sjl05金融数据加密机程序员手册wt363ma02ewv10309

SJL05型金融数据加密机程序员手册卫士通信息产业股份有限公司二ＯＯ五年十月四川省成都市高新区创业大道6号邮政编码：610041电话：（028）85141541 8008861133《SJL05金融数据加密机程序员手册》JRIC第五版（2005年6月）本手册是由卫士通信息产业股份有限公司编撰，仅赠送给用户和其他合作伙伴。

“卫士通”及是卫士通信息产业股份有限公司在中国境内的注册商标，卫士通信息产业股份有限公司保留对本书的所有版权，任何单位和个人未经许可，不得以任一方式进行仿制、拷贝、誊写或转译。

卫士通公司保留对本书进行重新修订的权利，随时可能对本书中的打印错误、与最新资料不符之处、程序或设备的更新做必要的改动，这些改动恕不另行通知，但会编入新版书内。

本书主要为命令参考，适合以下读者：SJL05应用开发人员，及其他所有对SJL05产品感兴趣的读者。

请妥善保存本手册以备以后使用目录1简介 (1)加密机主要功能 (1)加密机与主机的通信 (2)1.1.1接口与协议 (2)1.1.2数据格式 (3)1.1.3调用加密机过程 (3)SJL05命令集划分 (4)2磁条卡业务类 (4)请求返回系统信息<0X00> (4)返回本地主密钥状态<0X01> (6)返回指定区域主密钥状态<0X03> (7)定义打印格式<0X07> (8)产生并存储一个指定长度的主密钥，并打印明文到密码信封<0X08> .. 10产生并存储一个指定长度的区域主密钥分量，并打印明文到密码信封<0X09> (13)产生一个数据密钥，并用BMK加密后返回<0X10> (16)产生索引的区域主密钥<0X11> (17)产生一个直联POS的数据密钥<0X12> (18)生成随机POK，并用ZMK和TMK加密后返回<0X13> (19)产生指定长度的随机区域数据密钥<0X15> (20)存储一个索引的区域主密钥<0X20> (22)产生并存储指定长度的TMK<0X21> (23)存储一个索引的区域主密钥<0X22> (26)银行主密钥加密的密钥转换成次主密钥<0X24> (28)取回一个索引的区域主密钥<0X31> (29)取回一个索引的终端主密钥<0X32> (30)加密一个TMK密钥<0X40> (31)用BMK解密PIK<0X41> (32)SSF02加密的PINB LOCK验证<0X42> (33)SSF02算法计算MAC<0X43> (35)SSF02验证MAC<0X44> (36)SSF02加/解密<0X45> (37)注：在数据加密时，数据长度不够8的倍数时，在数据后补0X00补齐。

SJL05金融数据加密机成都卫士通信息产业股份有限公司目录1产品概述............................ 错误!未定义书签。

2设备清单............................ 错误!未定义书签。

3产品介绍............................ 错误!未定义书签。

主要功能 ................................................ 错误!未定义书签。

技术指标 ................................................ 错误!未定义书签。

密码体制 ................................................ 错误!未定义书签。

工作方式 ................................................ 错误!未定义书签。

兼容标准 ................................................ 错误!未定义书签。

环境要求 ................................................ 错误!未定义书签。

物理特性 ................................................ 错误!未定义书签。

4设备安装............................ 错误!未定义书签。

安装条件 ................................................ 错误!未定义书签。

密码机示意图 ............................................ 错误!未定义书签。

密码机硬件安装方法 ...................................... 错误!未定义书签。

SJL05金融数据加密机1.00 成都卫士通信息产业股份有限公司SJL05金融数据加密机用户手册目录1产品概述 (1)2设备清单 (1)3产品介绍 (2)3.1主要功能 (2)3.2技术指标 (4)3.3密码体制 (4)3.4工作方式 (4)3.5兼容标准 (4)3.6环境要求 (5)3.7物理特性 (5)4设备安装 (5)4.1安装条件 (5)4.2密码机示意图 (5)4.3密码机硬件安装方法 (6)4.4控制台终端管理程序安装方法 (7)5控制台终端操作 (9)5.1基本信息 (9)5.1.1版本查看 (9)5.2参数设置 (10)5.2.1打印端口配置 (10)5.2.2交易端口配置 (11)5.2.3特殊授权控制 (12)5.2.4设置通信格式 (13)5.3网络配置 (14)5.3.1安全访问设置 (14)5.3.2设置密码机IP地址 (18)5.3.3设置密码机路由 (21)5.4密钥管理 (24)5.4.1密钥注入 (24)5.4.2本地主密钥校验值 (33)5.4.3密钥备份恢复 (33)5.5密钥产生 (35)5.5.1随机密钥 (35)5.6口令和令牌管理 (36)5.6.1key操作 (36)5.7恢复出厂设置 (38)5.7.1销毁密钥 (38)附录A 密码机提示音 (39)1产品概述SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一种符合中国人民银行金融IC卡规范(PBOC)的专用于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。

该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。

鉴定委员会一致认为：“SJL05金融数据加密机设计合理，技术先进，适用范围广，保护措施可靠，操作使用方便，技术资料齐备，整体技术达到国内先进水平，填补了我国ATM/POS金融数据加密设备的空白，具有推广应用价值”。

SJL05在设计时采用国际领先的技术，几年来，公司根据客户要求，不断对产品进行完善，提供友好的用户界面，已成为银行联网工程中，替代Racal、Atalla等国外加密设备的首选国内产品。

金融行业密码键盘使用说明书使用说明书一、产品概述密码键盘是金融行业中一种重要的安全设备，用于在金融交易中输入密码。

本使用说明书将详细介绍密码键盘的功能、特点以及正确的使用方法，以帮助用户充分发挥该设备的作用，确保交易过程的安全性。

二、产品功能1. 密码输入：密码键盘具备快速、准确的密码输入功能，支持数字、字母和符号的组合输入，以满足不同系统的密码要求。

2. 加密传输：密码键盘采用高级加密算法，确保用户输入的密码在传输过程中不被窃取或篡改，保护用户的账户安全。

3. 防窃听设计：密码键盘内置窃听防护装置，有效防止恶意程序或设备通过窃听技术获取用户的密码信息。

4. 用户认证：密码键盘支持用户指纹、声纹和虹膜等生物特征识别技术，进一步提高用户身份验证的安全性。

5. 兼容性强：密码键盘兼容多种操作系统和接口，可与主流的银行系统和ATM设备无缝集成，便于用户实现多样化的金融操作需求。

三、安装与配置1. 解包验货：打开包装箱，逐一核对密码键盘及相关附件是否完好，并保留购买凭证。

2. 连接设备：将密码键盘通过USB接口或其他适配器连接至计算机或终端设备，确保连接端口稳定可靠。

3. 驱动安装：根据操作系统提示，进行密码键盘驱动程序的安装，确保设备能够正常被系统识别和使用。

4. 参数配置：根据实际需求，进入系统设置界面，对密码键盘进行相关参数的配置，包括密码长度、键盘灵敏度、声音提示等，以满足个性化的使用需求。

四、使用方法1. 准备工作：确保密码键盘与终端设备正常连接，并开启相关金融系统或应用程序。

2. 密码输入：根据系统提示，在密码输入界面正确输入密码，注意遮挡输入过程，以防他人偷窥密码。

3. 身份验证：根据系统要求，进行用户身份验证，如指纹或声纹等，确保只有合法用户可以进行交易操作。

4. 密码修改：如需修改密码，根据系统设置进入密码修改界面，按照规定的流程进行密码的重设，确保密码的安全性。

5. 维护保养：定期清洁密码键盘表面，避免灰尘或污渍进入键盘影响正常使用，注意避免使用含有酸碱性物质的清洁剂。

SJL05金融数据加密机技术白皮书Westone Host Security Module Serial White Paper Version 4.0成都卫士通信息产业股份有限公司Chengdu Westone Information Industry Inc.目录1 技术背景 (1)2 产品概述 (1)2.1 产品简介 (1)2.2 产品功能 (2)2.3 技术指标 (3)2.3.1 密码体制 (3)2.3.2 工作方式 (3)2.3.3 接口协议 (3)2.3.4 稳定性指标 (4)2.3.5 处理能力 (4)2.3.6 工作环境 (4)3 技术特点 (5)3.1 安全性 (5)3.2 兼容性 (5)3.3 标准性 (5)3.4 成熟性 (6)3.5 稳定性 (6)4 典型应用 (6)4.1 在有中心模式中的应用 (6)4.2 在无中心模式中的应用 (8)4.3 在大集中系统中的应用 (9)4.4 在手机移动银行中的应用 (9)4.5 替换RACAL加密机 (10)4.6 与VISA、MASTER互连 (10)4.7 其它应用 (10)5 成功案例 (11)1背景随着社会信息化的发展，我国银行界的电子化工程正在经历着结构，职能和性质的转化和飞跃,柜台业务电子化和清算业务网络化已初具规模，在与国际金融接轨方面和在加速资金周转和提高资金利用效率方面，都发挥了巨大的作用。

其中，电子资金传送系统（EFT）更是国内外金融界研究的热门课题，也是全面实现金融电子化及“金卡”工程的关键技术。

EFT要解决的关键问题就是金融系统的安全。

以往银行在这方面几乎都是采取用软件加密的方式，但其加密程度低，稳定性差，极易受到攻击。

而且EFT和电子联行，直接涉及到巨额资金的传送，其风险性也是相当大的，巨额资金的诱惑更增大了被攻击的风险。

因此，研制适合我国国情的金融数据加密机已迫在眉睫。

1994年信息产业部电子第三十研究所在上海信用卡网络公司的大力协助下，研制出了国内唯一专用于金卡工程的SJL05金融数据加密机，主要适用于银行卡跨行支付交易的保密的ATM联网信息系统，构成金融卡实时消费转帐和销售点信息管理的保密POS联网信息加密系统，金融IC卡消费转账系统、社保卡安全系统、公交卡安全系统等。

密码机操作手册版本5.1.3V5.1.3中钞格尔智能卡科技（上海）有限公司2014年8月1修改记录23目录1 操作手册 (6)1.1 前言 (6)1.2 目的 (7)1.3 适用对象 (7)1.4 文档范围 (7)2 环境 (8)2.1 系统硬件结构 (8)2.2 系统交互界面 (9)3 操作指南 (10)3.1 角色 (10)3.1.1 超级管理员 (10)3.1.2 操作员 (11)3.2 功能 (12)3.2.1 用户管理 (12)3.2.2 系统管理 (15)3.2.3 卡片管理 (23)3.2.4 密钥管理 (27)4 附录 (37)4.1 卡片说明 (37)4.1.1 初始化卡 (37)4.1.2 超级管理员卡 (37)4.1.3 操作员卡 (37)4.1.4 传输卡 (37)4.1.5 备份卡 (37)4.2 密码机管理客户端 (38)4.3 密码机部署流程 (38)4.3.1 初始化卡登录 (38)44.3.2 超级管理员登录 (38)4.3.3 操作员登录 (38)51.1前言IC卡作为新一代卡基数据载体和支付手段，在国际、国内得到了日益广泛的应用，其应用领域已经扩展到社会的各个方面，如：公用电话IC卡和移动电话SIM卡、银行卡和各种由银行发行的专用卡、联名卡医疗保险卡和社会保险卡交通卡、各类身份识别ID卡（身份证卡、驾驶证卡、行车证卡）、校园卡、商场积分卡等等。

与此同时，随着计算机及网络技术的迅速发展和网络规模的不断扩大，计算机应用所面临的安全问题也日益复杂，如何保证传输数据的完整、可靠和保密性已经成为当今计算机应用的核心问题，IC卡应用同样面临这样的安全问题。

密钥管理系统是IC卡应用系统的安全核心，密钥管理系统的安全性将直接影响到整个系统的安全。

一旦相关密钥泄漏或篡改，造成的损失将是无法估量的。

因此，对IC卡应用中密钥的安全控制和管理对整个应用系统安全是至关重要的，建立一套与之适应的安全体系，保证系统正常可靠的运行是其中关键。

编号：Array版本：金融数据密码机SJL06E技术白皮书江南计算机技术研究所2005年10月目录1.功能说明 (1)1.1.基本功能 (1)1.1.1.用户密码（PIN）加密／验证功能 (1)1.1.2.数据加密／解密功能 (2)1.1.3.随机数产生功能 (2)1.1.4.消息验证码（MAC）产生／严整功能 (2)1.1.5.用户个人密码（PIN）信封打印功能 (2)1.1.6.密钥信封打印功能 (3)1.1.7.密钥防护功能 ............................................................................... 错误！未定义书签。

1.2.扩展功能 (3)1.2.1.数字签名／验证功能 (3)1.2.2.数据摘要产生／验证功能 (3)1.2.3.密钥管理功能 (4)1.2.4.ＩＣ卡发卡功能 (4)1.2.5.多线程支持及性能扩展 (5)2.技术指标 (1)2.1.硬件指标 (6)2.1.1.外观 (6)2.1.2.性能 (6)2.2.软件指标 (6)2.2.1.包含的密码算法 (6)2.2.2.通信协议方式 ............................................................................... 错误！未定义书签。

2.2.3.实现的应用 (7)2.2.4.密钥库容量 (7)2.2.5.通信速率 (7)3.支持标准 (7)4.设备特点 (10)5.应用说明 (10)5.1.应用环境 (10)5.2.适用范围 (11)5.3.典型应用 (11)1.概要SJL06系列加密机是有江南计算技术研究所专门针对金融行业的特殊要求设计开发的基于应用的硬件密码设备。

其以保护证金融交易中用户密码（PIN）不被任何人非法获取（保密性）和保证金融信息在交易过程中的完整性为核心，建立了一套完整的安全体系，完全能够满足中国银联以及VISA、MASTER等国际金融组织对金融交易的各种安全要求。

SJL06金融数据密码机产品概述SJL06金融数据加密机是江南计算技术研究所专门针对金融行业的特殊要求设计开发的基于应用的硬件密码设备。

其主要功能是实现对网络上传输的信息进行保护或鉴别，以保证金融信息的正确性，能够有效防止对通信数据的非法窃取或篡改，完全能够满足VISA、MASTER国际金融组织对金融数据的安全要求。

可以广泛应用于银行、移动、电信、社保、交通等多个行业的电子支付计算机网络系统中。

图1 SJL06外观图产品功能⏹ PIN 加密：能支持多种 PIN 格式的加密和转换。

⏹ 消息鉴别：提供消息鉴别码 MAC 的产生、验证等。

⏹ 数据加密：支持国际DES和3DES分组密码算法，支持国产 SSF33 分组密码算法。

⏹ 数字签名/验证：支持 RSA-1024/4096 bit公钥密码算法。

⏹ 打印密码信封：支持串行或并行打印机。

⏹ 密钥管理：具有自主密钥管理机制，能保证密钥从产生、存储、传输、注入、使用和销毁各个环节的安全。

产品特点⏹支持多种通信协议。

⏹支持多种算法保密机制⏹具有密钥库的自动维护功能。

两种密钥管理方式：PC机上的密钥管理；IC卡的密钥管理。

包括密钥的生产、分发、注入和销毁。

⏹密码机具有完善的掉电密钥保护功能及非法操作时的密钥销毁功能。

⏹具有完善的系统监测功能，可监测密码机硬件及软件的运行状态，并可对故障进行自动恢复，恢复无效时能够自动报警。

⏹可以通过软件、硬件来设置、检测各部分的功能，设定系统的运行参数，具有较完善的人机界面。

⏹能方便地满足用户各类需求，具有很好的扩展性。

⏹运算速度快：执行一次DES分组运算只需要2微妙。

性能指标⏹处理能力：VISA PIN验证速度约7000次/秒，144字节MAC验证速度约8000次/秒⏹SSF33算法加解密速率： 10Mbps⏹1024位RSA签名速率：1000次/秒⏹1024位RSA验签速率：2500次/秒应用方案图2 SJL06金融数据加密机网络拓补图。

金融行业密钥基础知识1密钥管理SJL05金融数据加密机采用三级密钥管理方法（遵循ANSI 标准），其密钥层次如下图：图密钥层次1.1各种密钥在密钥层次中的作用1.1.1本地主密钥（Local Master Key）又称主机主密钥（Master Key），主要用来保护它下一级的区域主密钥（Zone Master Key）(银行主密钥（Bank Master Key）、终端主密钥（Terminal Master Key）)。

当区域主密钥需要导出或保存到加密机以外时，通常需要用本地主密钥（或衍生的密钥对）加密区域主密钥。

这一点在RACAL系列的加密机中有最好的体现，在RACAL加密机中，区域主密钥都由主机主密钥加密存放于主机数据库中，加密机不保存区域主密钥。

1.1.2区域主密钥主要有两种，一种是金卡中心与成员行之间的传输密钥(通常称为银行主密钥)，另一种是成员行主机与ATM或POS之间的传输密钥(通常称为终端主密钥)。

它主要用来加密下一层次的数据密钥(如：PIK、MAK)。

1.1.3数据加密密钥（Date Encrypt Key）又称工作密钥（Working Key），是最终用于加密传输数据的密钥，其上层两种密钥可以称为密钥加密/交换密钥（Key Encrypt/Exchange Key，简称KEK）。

数据密钥一般分为两种，一种是用来加密PIN的密钥称为PIK（Pin Key），另一种是用来计算MAC的密钥称为MAK（Mac Key）。

1.2各种密钥的注入与分发1.2.1本地主密钥通常由各成员行（或下属机构）采用加密机前面板上的键盘或直接通过IC卡注入到加密机中，各成员行的本地主密钥各不相同。

一般本地主密钥的注入都由成员行的三位高层领导注入，三人分别保存一部分密钥（密钥分量Component），三部分密钥可以在加密机中以一定的算法（异或）合成为最终的本地主密钥（或通过衍生（Derive）生成密钥对）。

1.1B MK到LMK的转加密<0X D002> 说明：将用BMK加密的工作密钥WK,转为用LMK加密。

消息格式：计算过程：1、读取加密机LMK。

2、用LMK对输入BMK解密,得到BMK明文。

3、用BMK明文对输入WK解密,得到WK明文。

4、用LMK对WK明文加密。

1.2L MK到BMK的转加密<0X D004> 说明：将用LMK加密的工作密钥WK,转为用BMK加密。

消息格式：计算过程：1、读取加密机LMK。

2、用LMK对输入的BMK解密,得到BMK明文。

3、用LMK对输入的WK解密,得到WK明文。

4、用BMK明文对WK明文加密。

1.3产生随钥<0X D006>说明：生成指定长度的随钥,并用LMK加密后返回其密文和CheckValue。

消息格式：1.4用LMK加密明文密钥<0X D008>说明：用LMK加密输入的明文密钥,并返回CheckValue。

消息格式1.5校验密钥<0X D00A>说明：输入指定长度的密文密钥,并校验密钥的校验码。

消息格式：1.6用密钥分量合成密钥<0X D00C>说明：用输入分量合成一个密钥,分量最多为9个。

消息格式：1.7用输入密钥加密数据<0X D012> 说明：用输入密钥对数据进行加密。

消息格式：1.8用输入密钥解密数据<0X D014> 说明：用输入密钥对数据进行加密。

消息格式：1.9数据转加密<0X D016>说明：将由Key1加密的数据,转为由Key2加密。

消息格式：计算过程：1、读取加密机LMK。

2、用LMK解密Key1,用Key1明文对数据密文解密。

3、用LMK解密Key2,用Key2明文对数据明文加密。

1.10数据掩盖<0X D018>说明：采用部算法对一段数据进行"掩盖",输出密文。

消息格式：1.11数据还原<0X D019>说明：采用部算法对一段经过"掩盖"的数据进行还原,输出明文。

SJL05金融数据加密机成都卫士通信息产业股份有限公司目录1产品概述............................ 错误!未定义书签。

2设备清单............................ 错误!未定义书签。

3产品介绍............................ 错误!未定义书签。

主要功能 ................................................ 错误!未定义书签。

技术指标 ................................................ 错误!未定义书签。

密码体制 ................................................ 错误!未定义书签。

工作方式 ................................................ 错误!未定义书签。

兼容标准 ................................................ 错误!未定义书签。

环境要求 ................................................ 错误!未定义书签。

物理特性 ................................................ 错误!未定义书签。

4设备安装............................ 错误!未定义书签。

安装条件 ................................................ 错误!未定义书签。

密码机示意图 ............................................ 错误!未定义书签。

密码机硬件安装方法 ...................................... 错误!未定义书签。

SJJ1309加密机使⽤⼿册分解⽀持国密算法的⾦融数据密码机（⾼端）⽤户⼿册⽆锡江南信息安全⼯程技术中⼼2013年04⽉⽬录第1章⾦融数据密码机（⾼端）简介 (1)1.1密码机的功能 (1)1.2密码机的技术特点 (1)1.3密码机的技术指标 (1)1.4密码机的外形结构 (2)第2章⾦融数据密码机（⾼端）的使⽤ (4)2.1密码机的配套清单 (4)2.2密码机的安装 (4)2.2.1安装步骤 (4)2.2.2密码机的初始化 (4)2.2.3注⼊密钥 (4)2.3密码机各部分的说明 (5)2.3.1IC卡插座 (5)2.3.2密钥销毁锁 (5)2.3.3机仓后部的锁 (5)2.3.4蜂鸣器 (5)2.4密码机的接⼝ (5)2.5注意事项 (5)第3章IC卡的管理和使⽤ (7)3.1IC卡的功能 (7)3.2IC卡的管理 (8)第4章密钥管理哑终端使⽤说明 (9)4.1使⽤说明 (9)4.1.1终端配置 (9)4.1.2操作特点 (9)4.1.3操作状态 (9)4.2常⽤哑终端命令 (10)4.2.1哑终端命令列表 (10)4.2.2哑终端命令详解 (11)第1章⾦融数据密码机（⾼端）简介⾦融数据密码机（⾼端）是⽤于银⾏卡⽹络系统的⽀持多进程的主机节点数据密码机，直接与主机相连接，以规定的协议通讯。

此密码机设计可靠，结构合理，使⽤⽅便，外型美观。

1.1密码机的功能⾦融数据密码机（⾼端）是⾦融⽹络安全系统的重要组成部分之⼀，主要的功能是实现对⽹络上传输的信息进⾏保护或鉴别，以保证⾦融信息的正确性，能够有效防⽌对通信数据的⾮法窃取或篡改。

1.2密码机的技术特点⽤于TCP/IP协议。

所有密钥库的⾃动维护功能，包括密钥的产⽣、分发、注⼊和销毁。

⽀持哑终端密钥管理⽅式。

密码机具有完善的密钥保护功能，即使掉电，也能保护好密钥不被丢失；另外还有⾮法操作时的密钥销毁功能。

具有完善的系统监测功能，可监测密码机硬件及软件的运⾏状态，并可对故障进⾏⾃动恢复。