协同管理软件国密机配置指南.pdfVIP

三未信安加密机加密配置手册

前言

加密机加密过程本质是将数据从应用服务器（以下简称全文检索）发送到加密机服务器通过数字密

码学处理后返回密文数据的过程

整个过程如下所示：

发起发起数据加密/解密/加签/验签请求加密机服务器

全文检索服务器加密/解密/加签/验签处理全文检索数据

因此关键点主要是：

1.全文检索与加密机服务器的通信方式。即全文检索使用什么协议去访问加密机，全文检索与机密机

如何相互确认加密机的身份

2.java如何调用加密机算法。注意：这里算法是指的隐式调用，全文检索工程代码不用引入加密机

提供的依赖jar，通过的JCEprovider匹配算法

目前三未信安的解决方式是：

1.数据访问协议集成在crypto_全文检索.3.2.8.jar和swxajce_全文检索.3.2.8.jar文件中，而相

互确认身份方式为地址+秘钥方式确认，其信息配置在swsds.ini，里面定义了加密机ip+端口+密

码等信息，以此保证连接身份问题

2.三位信安提供的jar包不需要引入全文检索工程的依赖，是以jdk外部拓展jar方式注册JCE的，

因此需要在jdk\jre\lib\security\java.security文件中注册对应的拓展算法信息

加密机配置步骤

理解了上述原理后，就明白加密机配置过程只需要三步：1.添加依赖文件2.改配置3.注册JCE

步骤1

将文件下列文件添加到jdk\jre\lib\ext\路径下：

注意是jdk/jre下的lib不是jdk下的lib:

步骤2

配置swsds.ini将加密机IP+端口+密码配置进去:

注意：配置中的日志路径一定要合法！！！不然会导致配置失败。如：服务器只有C盘，但是配置

日志路径写成了E:\swsds.log，加密机客户端无法写入日志,则会造成整个加密服务不可用。同时，

我们建议尽量不要使用系统盘，避免出现权限问题，导致无法访问文件而造成加密服务启动失败。

更多配置项说明请参阅swsds.ini配置说明.pdf

其中ip和port为加密机对外提供的服务地址信息，passwd为加密机的连接密码，其配置信息可在加

密机服务端web管理界面服务配置下进行配置，具体操作方法请参阅三未信安服务器密码机-WEB管理用

户指南V4.0.pdf

步骤3

JCE（JavaCryptographyExtension）是一组包，它们提供用于加密、密钥生成和协商以及

MessageAuthenticationCode（MAC）算法的框架和实现。

注册的目的是为了已java原生的方式隐式调用拓展的外部算法，而无需任何三方算法依赖注入。

配置完毕后将三未信安加密机算法注册到JCE中，编辑jdk\jre\lib\security\java.security文

件，将下列代码注册到JCE中：

注意符号n需要按需替换，比如这里配置文件中最后一个是security.provider.10则我们配置的

n=11，完成此步骤后则完成了所有配置。

验证

配置完毕后可以用通过以下命令验证：

{配置的jdk路径}\bin\java-jar{配置的jdk路径}\jre\lib\ext\crypto_全文检索.3.2.8.jar

{配置的jdk路径}是指的全文检索所使用的jdk路径，而非系统环境变量JAVA_HOME

如能出现下列配置界面则说明配置成功，重启全文检索即可使用