加密机和个人化.ppt

一、加密机在社保中的应用 1.加密机的功能和使用方法 2.加密机的密钥结构及其在社保应用的常用指令 注：以SJL06型加密机为原型 SJL06E实物 1.加密机的功能 1.加密机的功能 通过加密机分散出子钥； 通过加密机对社保卡进行圈存，包括验证圈存MAC1、计算圈存MAC2、以及验证圈存TAC。 1.加密机的使用方法 密码机在使用之前应先注入主密钥，否则不能正常使用密码机。 注入主密钥的方法： 1.通过密码机后面板上的9针插座与PC机相连， 在PC机上运行密钥管理程序注入； 2.通过密码机上的面板操作完成各种密钥的注入。 1.加密机的使用方法 密码机在使用之前必须注入主密钥的原因： 密码机中所有的信息均以密文方式导出，此时使用主密钥对导出的信息加密得到密文。 即：主密钥是保护其他密钥的密钥。 1.加密机的使用方法 加密机的两种模式： 管理模式（需要插入A卡启动） 加密机面板操作 P C 机终端管理(通过串口运行密钥管理软件) 生产模式 通过加密机后面板的RJ45接口建立TCP连接。 1.加密机的使用方法 加密机附带的IC卡： 用于存贮银行主密钥的密码和主密钥的成份；又是实现密钥管理的一种手段，它可实现操作人员的身份认证、使用权限划分及可方便地将密钥安装/恢复到密码机中 。 IC卡共分 A、B、C 三种类型： A 卡：保存主密钥的成份一，对密码机具有最高控制权限； B 卡：保存主密钥的成份二、三，其控制权限是A卡权限的子集，没有输入主密钥和修改配置等功能 ； C 卡：保存卡主密钥，权限最低。共有5张，序号为1～5。总容量为512个卡主密钥（000-511）。 1.加密机的使用方法 密钥的导入、导出： 卡密钥可通过加密机主密钥(或指定的卡密钥)导出到加密机外， 得到卡密钥的密文。 密钥可通过IC卡(加密机面板操作)导入导出，也可通过*.bmk文件(PC机 运行的密钥管理软件操作)导入导出。 1.加密机的使用方法 进入管理模式： 1.在开机或复位之前插入A卡; 2.复位加密机后，出现菜单 1.加密机的使用方法 设置加密机IP ： 在连接加密机之前，首先在加密机管理模式下输入加密机的IP地址和需 要访问加密机的客户机IP地址，操作方法是： 1.插入A卡，启动加密机后选择“加密机面板操作”； 2.进入A卡菜单，选择“系统设置”； 3.选择“设置密码机IP”即可如输入密码机IP，协议端口号默认为8，不必 修改端口号； 4.选择“安全设置”下的“增加新客户”即可添加需要访问加密机的客户机IP； 5.设置好IP地址后，退出菜单项，拔出A卡，重启加密机。 1.加密机的使用方法 连接加密机： 设置IP后，即可通过TCP/IP协议访问加密机，使用WinHsm源程序中提供 的UnionInitHSM(char* ip, char* port)函数，输入加密机的IP地址和端口号， 若该函数执行失败返回－1，成功则返回一个句柄h_dev，保存这个句柄，供 发送加密机指令报文的函数使用，保持这个句柄直到不使用这个连接。 调用UnionCloseHSM(h_dev),释放这个句柄。 2.加密机的密钥结构 版本、组、索引： 密钥存在多个版本，密码机内可保存最多3个版本。 VERSION = 0，1，2 每一版本可含多个组 ，每组具有一个索引号，密码机内可保存最多32个组。 GROUP_INDEX = 0，1，……，31 每组包含一套卡片密钥 ，称为 M * KEY，每组10个； M_number = 1 ，……，10 2.加密机的密钥结构 基础主密钥用于保护卡片密钥和终端主密钥。每台密码机只有一个基础主密钥 ，基础主密钥为128bits密钥，其三个成分3×128bits分别由三个人保管。 基础主密钥只受密码机的保护，不能读出。 卡片主密钥也为128 bits密钥，其两个成分（2×128bits）分别由两个人保管。 卡片主密钥还可由密码机随机产生。卡片主密钥受密码机的保护。卡片主密钥在基础主密钥的保护下，可输出密码机外，既可存放在主机数据库中，也可存在其他载体（如软盘）上。 卡片主密钥在使用时，要指定版本号、组索引号、密钥号。 终端主密钥是64bits密钥。它由一个成分组成，由一个人保管。 2.加密机的密钥结构 密钥的校验值 可通过加密机面板或密钥管理软件查看