密码机管理配置步骤及说明_中文

4.2 LK
导入 LMK（脱机下使用） 密码机在第一次投入使用及密钥被销毁后，均需重新导入 LMK；
7
北京江南歌盟科技有限公司
BEIJING JIANGNAN GEMEN TECHNOLOGY CO., LTD.
脱机>LK
警告：该操作过程将清除密码机中主密钥, 还继续吗? [Y/N]Y 请将警戒钥匙开关转到警戒位置。 脱机[警戒]> 请将警戒钥匙开关转到常规位置。 本地主密钥奇偶错!
CC
11 取消授权
C
附件 《SJL22 金融数据密码机 LMK 管理表》电子版
备注 各指令详细说明中带下划线的字符为用户输入
1. 连接管理终端
SJL22 金融数据密码机是采用字符终端模式对密码机进行配置管理和密钥管理，也可通 过 Windows 系统下的超级终端仿真程序进行密钥管理。下面对使用 Windows 超级终端模式 进行介绍。
允许终端 PIN 加密(Y/N)
N
即 BK 指令 － 使用 TPK 加密明文 PIN
配置是否禁止检查十进制转换表
在 IBM 方式 PIN 的产生和转换校验运算中，
禁 止 检 查 十 进 制 转 换 表 ’Y’，不检查十进制转换表的正确性；
N
(Y/N)
’N’，检查转换表的正确性－包含 8 个不同的数字，每数字出现
8
系统最终返回 LMK 的校验值；
北京江南歌盟科技有限公司
BEIJING JIANGNAN GEMEN TECHNOLOGY CO., LTD.
按回车键，终端上显示“联机>”，表明成功连接上，此后可对密码机进行管理操作，； 密码机启动后默认为联机状态，若后面的管理操作中被提示“命令不允许执行”，则需 将密码机置入脱机状态：密码机后面板有一脱机开关，插入脱机开关钥匙转动一下即可；
2. FC
SJL22 金融数据密码机主密钥成份保存、密码机授权及密钥备份等可由智能 CPU 卡管理。厂商提供的是空白智能卡，每张卡片的用途可由用户自行设置管 理。使用前必须对智能卡进行格式化。
FC
3 配置密码机的安全属性
CS
4.1 产生 2－3 张主密钥成份卡
GK
4 初始化密码机 4.2 导入LMK
LK
4.3 制作两张授权卡
CO
5 授权
A
6 配置密码机主机端口属性
CH
7 配置允许连接密码机的应用主机 IP 及物理地址
CF
8 选择打印端口为串口或并口
CP
9 配置密码机的打印端口属性
CA
10 配置密码机的管理端口属性
’Y’，允许标识为 X/Y 的密钥导入进行运算；
Y
入(Y/N)
’N’，不允许标识为 X/Y 的密钥导入应用；
配置是否允许 ANSI X9.17 方式导出
允许 ANSI X9.17 方式导
’Y’，允许合成输出标识为 X/Y 的密钥；
Y
出(Y/N)
’N’，不允许合成输出标识为 X/Y 的密钥；
配置是否允许终端 PIN 加密命令的执行
北京江南歌盟科技有限公司
BEIJING JIANGNAN GEMEN TECHNOLOGY CO., LTD.
SJL22 金融数据密码机操作管理步骤
本步骤是对 SJL22 金融数据密码机《管理员操作手册》的简化，详细要求请参考该手 册。
配置管理步骤和简介
1 为密码机连接管理终端
2 格式化 5 张空白 IC 卡，备用
3
北京江南歌盟科技有限公司
BEIJING JIANGNAN GEMEN TECHNOLOGY CO., LTD.
脱机>CS
个人标识码(PIN)长度(4-12): 6 回显(oN/oFf): F Atalla ZMK 变种支持(oN/oFf): F 用户存储区密钥长度(S/D/T): S 警告：该操作过程将清除密码机中主密钥, 还继续吗? [Y/N]Y 请将警戒钥匙开关转到警戒位置。 脱机[警戒]> 请将警戒钥匙开关转到常规位置。 本地主密钥奇偶错!
按照 yymmddHH 格式正确输入，例如：09050112；
授权口令
为授权口令，如 CS 配置中设置了 IC 方式授权，则此项无效不需输入；
产生主密钥成份卡 2
步骤同上，LMK 成份集 项输入 2； 产生主密钥成份卡 3
步骤同上，LMK 成份集 项输入 3；
每张成份卡建议重复操作两次，比对校验值是否一致，一致则说明秘密值的输入正确，成份 卡与纸版 LMK 管理表内容一致有效。
主密钥校验值: 8109 3818 B1ED 439C
如需要, 请在授权状态下使用'LO'命令将旧本地主密钥装入密钥变更存储区.
脱机>
LK 过程中
警告:…....
输入 N，退出 LK 操作； 输入 Y，继续； 用户需根据系统提示转动警戒开关钥匙；
根据系统提示，依次插入上一步骤生成的第一、第二…张主密钥成份卡，并输入 其密码；
准备一台配有串口的 windows 操作系统主机做管理终端； 将终端管理线（密码机配件）分别连接 Windows 作为管理终端的串口和密码机的管理 端口；
1
北京江南歌盟科技有限公司
BEIJING JIANGNAN GEMEN TECHNOLOGY CO., LTD.
启动 windows 系统的超级终端，在“连接时使用：”框中选择 COM，端口设置中设置 “每秒位数”为 19200，8 个奇偶位，无奇偶位，1 个停止位（密码机出厂默认，如在密码 机管理配置过程中修改了此项则应设为相应的新值）；
联机>
2
参照系统提示插入要格式化的 IC 卡后回车，
北京江南歌盟科技有限公司
BEIJING JIANGNAN GEMEN TECHNOLOGY CO., LTD.
时间/日期/用户标识/发卡机构标识，可按格式输入，无输入则采用系统时间和默 认标识值；
3. CS
配置密码机的安全参数（脱机下使用）。 注意，该设置将清除密码机主密钥，所以应在初始化密码机前进行正确的设置， 其后不可轻易更改。
警告……
清除当前本地主密钥
根据系统提示，转动警戒钥匙开关到警戒状态； 然后再转动警戒钥匙开关到常规状态；注意：以下配置需要清除主密钥。
用户密钥存储区密钥长度，歌盟扩展功能，密码机掉电仍保存数
用户密钥存储区密钥长度
据，由侵害自动销毁密钥安全机制保证密钥的安全；
S
(S/D/T)
RACAL 体系中目前无效
脱机> 用户密钥存储区密钥长度(S/D/T): S 选择个人标识码(PIN)明文(Y/N): N 允许 ZMK 转换命令执行(Y/N): Y 允许 ANSI X9.17 方式导入(Y/N): Y 允许 ANSI X9.17 方式导出(Y/N): Y 允许终端 PIN 加密(Y/N): N 禁止检查十进制转换表(Y/N): N 禁止加密十进制转换表(Y/N): Y 允许扩展密钥校验值输出(Y/N): N 密码申请函批处理存储空间大小(1-2048): 2048 ZMK 为单长度或双长度(S/D): S PIN 加密算法(A/B): A 密码机授权采用智能卡方式或口令方式(C/P): C
本地主密钥奇偶错!
脱机>
各选项说明：
密码机安全参数属性解析
缺省
个人标识码(PIN)长度
明文个人标识码长度，4～12 个字符
6
回显(oN/oFf)
配置回显属性，管理终端上输入口令或秘密数据时是否回显
F
Atalla ZMK 变 种 支 持
是否支持 Atalla ZMK 变种；一般设置为 Off。
F
(oN/oFf)
LMK 下加密等）中，
N
(Y/N)
’Y’，响应报文中包含校验值字段项；
’N’，响应报文中不包含校验值字段项；
密码申请函批处理存储空 配置密码申请函批处理存储空间大小（单位：字节）
间大小(1-2048)
影响 QA/QC 指令（将申请函数据存入用户存储区中）
ZMK 为单长度/双长度
ZMK 为 单 长 度 或 双 长 度 ’S’，指令中 ZMK 字段项：16H-单长度，1A+32H-双长度…
用 户 存 储 区 密 钥 长 度 用户存储区密钥长度，单长度 S/双长度 D/三长度 T
S
(S/D/T)
此部分密钥以’Knnn’和’knnnn’索引模式进行访问，密码机关
4
北京江南歌盟科技有限公司
BEIJING JIANGNAN GEMEN TECHNOLOGY CO., LTD.
机或重启时不保存数据； Knnn 为 RACAL 兼容模式；knnnn 为 GMN 扩展模式；
测试时，可应用测试主密钥，所以此过程只需导入测试主密钥即可；测试过程中如密码 机运行正常无须再次初始化密码机；
4.1 GK
产生主密钥成份卡 1（脱机下使用）
脱机>GK
LMK 成份集 [1-9]: 1 输入秘密值 A: **************** 输入秘密值 B: **************** 输入秘密值 C: **************** 输入日期时间(yymmddHH): 09022716 输入授权口令: 插入已格式化好的空白 IC 卡，并输入密码: ****** 正在保存主密钥成份... 主密钥成份已正确保存 ... 主密钥成份校验值: 7543 01FA BEBD 4A0F
选择个人标识码(PIN)明文
选择 PIN 明文，控制是否允许 PIN 明文输出（NG 指令）
N
(Y/N)
允许 ZMK 转换命令执行 配置是否允许 ZMK 转换命令执行
Y
(Y/N)
即 BY 指令 － 转换 ZMK 加密的 ZMK 到 LMK 下加密
配置是否允许 ANSI X9.17 方式导入
允许 ANSI X9.17 方式导
S
(S/D)
’D’，指令中 ZMK 字段项：32H-双长度，1A+32H-双长度…，
不支持单长度的 ZMK 应用
PIN 加密算法
PIN 加密算法(A/B)
A
’A’，密文 PIN 为全数字，’0’ ~ ’9’；
5
北京江南歌盟科技有限公司
BEIJING JIANGNAN GEMEN TECHNOLOGY CO., LTD.
’B’，密文 PIN 为 16 进制数，’0’ ~ ’9’ , ’a’ ~ ’f’；
密码机授权采用智能卡方 配置授权方式
C
式或口令方式(C/P)
’C’，IC 卡方式授权； ’P’，口令模式授权；
配置过程中，各项如无输入则使用其缺省值；
4. 初始化密码机
投入生产应用时，此过程包括：填写《SJL22 金融数据密码机 LMK 管理表》文件（纸 版）；参照 LMK 管理表中内容生成至少三个主密钥成份卡；导入 LMK；制作授权卡； 将主密钥成份卡和 LMK 管理表安全绝密存储；
格式化 IC 卡
随机附有 6 张 IC 卡：其中一张蓝色卡为测试主密钥卡,注意不要将此卡格式 化,其默认口令为"123456"；其余的 5 张均为空白卡，可用做主密钥成份卡、授权 卡，需分别进行格式化后备用；
注意：CPU 卡密码必须是 6 位数字。
联机>FC
插入智能卡并按回车键:
警告：智能卡已经格式化，还继续吗? [Y/N] Y 正在擦除卡片 ... 为今后访问智能卡输入一个密码: ****** 重新输入一遍刚选定的密码: ****** 输入时间 [hhmmss]: 154550 输入日期 [YYMMDD]: 090227 输入用户标识: GMN 输入发卡机构标识: GEMEN TECHNOLOGY 正在格式化智能卡卡片 ... 卡片格式化操作已正常结束.
脱机> 插入智能卡准备好后按回车键:
输入智能卡密码: ****** 正在读取智能卡数据... 主密钥成份校验值: 433E B43F C1E9 658C 还需要继续装入主密钥成份卡吗? [Y/N] Y 插入智能卡准备好后按回车键:
输入智能卡密码: ****** 正在读取智能卡数据... 主密钥成份校验值: 40EF 5729 D7BD 8437 还需要继续装入主密钥成份卡吗? [Y/N] N
需要制作另一份备份吗？[Y/N] N 已制作 1 份备份!
脱机>
其中，
6
秘密值 A/B/C
北京江南歌盟科技有限公司
BEIJwenku.baidu.comNG JIANGNAN GEMEN TECHNOLOGY CO., LTD.
为 16H 字符，需与《SJL22 金融数据密码机 LMK 管理表》中填写的对应字 段一致；
输入日期时间
次数不能超过 4；
不建议禁止该项检查；
配置是否禁止加密十进制转换表
禁 止 加 密 十 进 制 转 换 表 即指令中十进制转换表字段，
Y
(Y/N)
’Y’，使用其明文（16N）；
’N’，使用其密文（16H）；
配置是否允许扩展密钥校验值输出
即各密钥转换指令（包括转换密钥标识/旧 LMK 下加密转换到新
允许扩展密钥校验值输出