1、SJJ1009(III)SJJ1009(III)電能計量密碼機電能計量密碼機用戶操作手冊用戶操作手冊（備備注注： 封封面面是是上上面面的的文文字字。 封封底底添添加加地地址址。地地址址：北北京京市市海海淀淀區區清清河河小小營營東東路路1 15 5 號號郵郵編編： 1 10 00 01 19 92 2電電話話： 0 01 10 0- -5 57 71 12 23 32 29 91 1（技技術術支支持持） 網網址址： w ww ww w. .e ep pr ri i. .s sg gc cc c. .c co om m. .c cn n） - i -目目 錄錄1產產品品概概述述 .12設設備備清清

2、單單 .13產產品品介介紹紹 .23.1功能 .23.2技術 指標 .23.2.1密碼體制 .23.2.2工作方式 .33.2.3通信協議 .33.2.4兼容標準 .33.2.5穩定性指標 .33.2.6環境要求 .33.2.7物理特性 .43.2.8性能指標 .44物物理理結結構構和和設設備備安安裝裝 .54.1系統結構 .54.2設備部件圖示 .54.3設備安裝 .64.4設備開機 .84.5設備關機 .104.6控制臺軟件按鍵功能 .104.7系統狀態 .115參參數數配配置置 .125.1網絡配置 .125.1.1設置密碼機 IP 地址和服務端口 .13- ii -5.1.2防火墻及網

3、關配置.146進進入入交交易易狀狀態態 .19附附錄錄 A 注注意意事事項項 .21附附錄錄 B 常常見見硬硬件件故故障障識識別別與與排排除除.23- 1 -1 1 產產品品概概述述電能計量密碼機（以下簡稱密碼機）是由 中國電力科學研究院 研制的國內第一種符合 電力行業國產 SM1 算法 的基于主機的新型計算機網絡通信數據密碼機 。密碼機 在設計時 結合產品在電力行業的應用特點，采用國際領先技術 設計 ，滿足了電力行業對密碼機的要求。密碼機 屬于敏感的電子設備，安裝和使用前請仔細閱讀本手冊，對需要特別注意的地方，手冊中將盡量加以提醒。本手冊主要包括以下章節：產品清單：介紹了 密碼機 的產品組成

4、。產品介紹：詳細介紹 密碼機 的主要功能 及性能指標。物理結構和設備安裝：介紹密碼機 的硬件組成，指導用戶完成設備安裝工作。參數配置：指導用戶如何配置密碼機 的通訊參數。進入交易狀態：指導用戶如何進入交易工作狀態。在附錄中， 說明 注意事項 、常見故障識別等。- 1 -2 2 設設備備清清單單請檢查包裝箱內下列物品是否齊全，若有缺件，請與我們聯系；本清單僅提供參考，具體以單頁清單為準：名稱名稱數量數量密碼機1 臺直通以太網線2 根交叉以太網線2 根接地線1 根電源線1 根用戶 Key2 個裝箱清單1 張售后服務指南1 本光盤（增強型密碼機參數配置手冊及使用操作說明）1 張設備驗貨報告1 份用戶

5、手冊1 本產品合格證1 份螺絲和螺母5 套- 2 -3 3 產產品品介介紹紹3 3. .1 1功功能能密碼機主要用于各地電力營銷業務系統，為系統提供數據加密與安全保護。密碼機 支持如下功能：(1)密鑰管理：密鑰產生、分發、分散、存儲、銷毀(2)SM1 數據加解密(3)對 PIN 的加 /解密、驗證及轉發(4)消息來源正確性驗證的產生、驗證及轉發(5)交易正確性驗證（ TAC）的產生、驗證密碼機 具有完善的密鑰管理體系，具體包括：(1)提供由全硬件噪聲源產生的隨機密鑰(2)通過 USBKey 注入和備份密鑰(3)物理鎖防撬(4)任何時候的人工銷毀密鑰功能利用 密碼機 能有效防止通信信道上的主動攻

6、擊行為。在通信網絡 中，線路上傳輸的所有數據全是經密碼機 加密后的密文，明文只在 密碼機 內部出現，所有的密鑰也保存在密碼機內部，可有效防止內外部人員的攻擊。3 3. .2 2技技術術指指標標3 3. .2 2. .1 1密密碼碼體體制制 對稱密碼算法： SM1,DES,3DES，支持多種運算模式- 3 - 非對稱密碼算法： RSA 摘要算法： SHA1,SHA2563 3. .2 2. .2 2工工作作方方式式 Ethernet：10M/100M/1000M 自適應3 3. .2 2. .3 3通通信信協協議議 TCP/IP3 3. .2 2. .4 4兼兼容容標標準準密碼機 完全兼容以下標

7、準 : ANSI X3.92 數據加密算法 ANSI X9.9 信息鑒別 ANSI X9.8 PIN 的管理與安全 ANSI X9.17 密鑰管理 中國人民銀行金融IC 卡規范（ PBOC 規范） 智能電能表信息交換安全認證技術規范3 3. .2 2. .5 5穩穩定定性性指指標標以 ISO 9001 認證體系保證產品的質量 系統平均無故障時間MTBF30000 小時 3 3. .2 2. .6 6環環境境要要求求 工作溫度： 040 存貯溫度： 4055- 4 - 相對濕度： 20%80% 電壓： 220V10%, 50Hz3%3 3. .2 2. .7 7物物理理特特性性 外型： 2U 機

8、架結構 體積尺寸： 418 mm402 mm 88 mm 整機凈重： Kg3 3. .2 2. .8 8性性能能指指標標 SM1 加解密速度： 85Mbps 3DES 加解密速度： 100Mbps 1024 模長 RSA 簽名： 180 次/秒 1024 模長 RSA 驗證： 1000 次/秒- 5 -4 4 物物理理結結構構和和設設備備安安裝裝4 4. .1 1系系統統結結構構密碼機 主要由以下幾個部分組成：（1） 密碼機 基本模塊：包括 密碼機 機殼及基本處理電路， 基本處理電路 負責 密碼機 任務調度和各模塊的協同處理，及運算處理。（2）密鑰管理模塊：負責 密鑰的產生、存貯、銷毀。（3）

9、PCI 密碼模塊：負責密碼算法的硬件運算。（4）用戶接口模塊： 指控制接口 模塊 ，該控制口是密碼機與 安裝控制臺軟件的計算機（以下簡稱“控制端計算機” ）相連的接口， 控制端計算機 通過 控制臺軟件 顯示菜單，并提供鍵盤 輸入 ，實現密鑰注入 、密碼機 參數配置以及工作狀態管理。（5）通訊模塊：以太網通訊接口，負責與主機的通訊功能。（6）電源模塊：提供 密碼機 內部各功能模塊 正常工作需要的電源。4 4. .2 2設設備備部部件件圖圖示示密碼機 前面板如下圖所示：- 6 -圖 1 前面板示意圖A LOGO B 設備名稱 C 電源指示燈 D USB 口 E 控制口 密碼機后面板如下圖所示：圖

10、2 后面板示意圖A 電源插座B 電源開關C 電源風扇 D 觸發 開關E 串口F USB 口G 散熱孔H 網口I 機箱鎖J 加密卡K 毀鑰孔L 接地柱4 4. .3 3設設備備安安裝裝安裝 密碼機 前，請確認滿足以下條件： 接收設備與裝箱清單對應且完好；ABCDEABCDEFGHIJKL- 7 - 密碼機 電源開關處于斷開位置； 確保 供電 電源電壓穩定在220V10%范圍內；具體安裝步驟如下：1)將密碼機 放在機柜里，并固定好螺釘。2)連接通信線纜。將隨機提供的工作網線一端插入機器背后的以太網口1，另一端插入集線器交換機或者是主機提供的以太網口。網口 1 為交易網口，在密碼機處于交易處理中保證

11、連通到交換機。注意 ：如果另一端接集線器或交換機時，應使用直通網線，如果另一端接主機的以太網口，應使用交叉 網線。通常隨機器提供的是直通網線。3)控制 端計算機 準備將隨機的光盤中的控制臺軟件（文件名為：CSJJ1009ConfigGui 的可執行程序）復制在 控制端計算機上，并將 控制端 計算機網絡配置中增加192.168.1.xx（2254 之間） ， 即增加 1 網段 IP 地址。4)連接 控制 端計算機5)網口 4 為控制網口，在設置密碼機參數時保證連通交換機或直連 控制端 計算機。 再次確認電源開關處于斷開狀態后，連接電源線。注意：如果電源開關處于閉合狀態，由于插入電源插頭的瞬間高壓

12、作用，可能損壞設備或縮短使用壽命。- 8 -4 4. .4 4設設備備開開機機密碼機的開機順序： 確認接通電源線后 ，打開電源總開關（機箱后標有I/O 的黑色按鈕），最后按啟動開關（機箱后標有白點的黑色按鈕） ；1) 上電之后，密碼機會有聲音提示“嘀。 。 。嘀。 。 。 ”提示。2) 在控制 端計算機的 DOS 命令窗口下輸入 “arp -d”直到出現 “The specified entry was not found” 。3) 在控制 端計算機的 DOS 命令窗口下輸入 “ping 192.168.1.1 -t” ，如圖 3 所示，一直到出現連通顯示，如圖 4 所示。- 9 -圖 3-

13、10 -圖 44) 打開控制臺軟件，出現 如下 界面，提示插入開機key。5) 插入開機 key 后進入管理界面，如圖所示。- 11 -其中進入 2、3 菜單，都會提示輸入系統管理員口令，如圖所示 。4 4. .5 5設設備備關關機機關機順序：先關閉電源總開關，然后斷開電源線。- 12 -4 4. .6 6控控制制臺臺軟軟件件按按鍵鍵功功能能密碼機的控制臺 軟件中 按鍵分兩種：功能鍵和數字鍵。其中數字鍵在 軟件 每次 啟動后位置都會隨機變化，增加 了安全性。功能鍵包括： 返回：退回上級菜單； 復位：進入工作狀態后，重啟動系統； 取消：刪除輸入的值； 確認：確認選項，執行選擇的菜單功能； 方向鍵

14、：包括向左鍵 “” 、向上鍵 “” 、向右鍵“” 、向下鍵 “” ，其中向左鍵與向上鍵功能相同，向右鍵與向下鍵功能相同，均用于選擇菜單或者跳出選擇； 數字鍵：從 0F，用于輸入密鑰和其他數字及口令信息。4 4. .7 7系系統統狀狀態態密碼機 總共有四種狀態，分別是：自檢狀態：系統對硬件進行檢測加載狀態：檢測密鑰庫狀態并開始加載系統維護狀態：進行密鑰管理及系統維護工作狀態（交易處理狀態）：監聽通信接口，接受和處- 13 -理主機請求。密碼機 狀態變遷如下圖所示：注注意意：只只有有 密密碼碼機機 進進入入工工作作狀狀態態后后，才才允允許許接接受受主主機機發發起起的的服服務務請請求求。加載完畢復位

15、交易處理發卡服務自檢狀態加載狀態維護狀態發卡狀態交易狀態狀態變遷圖狀態變遷圖加電自檢通過工作狀態加載完畢復位交易處理發卡服務自檢狀態加載狀態維護狀態發卡狀態交易狀態加電自檢通過工作狀態- 14 -5 5 參參數數配配置置密碼機支持通過控制臺軟件配置通訊參數，配置內容包括： 網絡配置；在主菜單上選擇 “參數配置 ”功能后，系統顯示如下：注注意意： 配置后的參數，轉入工作狀態后才能生效，也才能保存在設備內部。5 5. .1 1網網絡絡配配置置使用 密碼機 的以太網接口前，需對其進行網絡配置，密碼機 的以太網接口支持TCP/IP 協議。密碼機 網絡配置菜單選擇如下：密碼機 網絡配置包括以下功能： 設

16、置 密碼機 IP 地址和服務端口； 防火墻配置。選擇網絡配置菜單后，系統顯示如下：確認參數配置網絡配置- 15 -選擇 “設置 密碼機 IP 地址 ”可以設置 密碼機 IP 地址、子網掩碼及 TCP 服務端口；選擇 “防火墻及網關配置 ” ，可以設置 密碼機 缺省網關，及允許訪問 密碼機 的主機 IP 地址及 MAC 地址 。5 5. .1 1. .1 1設設置置 密密碼碼機機 I IP P 地地址址和和服服務務端端口口設置 密碼機 IP 地址菜單選擇如下圖所示：密碼機 使用的是 TCP/IP 標準是 IPV4，設置 密碼機 IP 地址，需配置以下三個參數： 密碼機 IP 地址； 子網掩碼；

17、密碼機 端口號密碼機 支持顯示當前 IP 地址功能。選擇設置 密碼機 IP地址后，系統自動顯示當前設置的IP 地址、子網掩碼和服務確認確認設置密碼機IP 地址網絡配置參數配置- 16 -端口。配置時，如需改動配置，先按“取消 ”功能鍵，刪除當前設置，配置新的參數值。選擇設置 密碼機 IP 地址菜單后，系統顯示如下：設置 密碼機 IP 地址步驟如下：1) 按上圖所示選擇設置 密碼機 IP 地址菜單；2) 配置 密碼機 IP 地址時，分四段按順序注入。注完一段后，如果該段有3 位，則自動跳至下一段；如果不足 3 位，則按向右鍵 “” ，系統轉至下一段開始錄入。3) 注入 IP 地址后，系統自動轉到

18、子網掩碼注入，進行子網掩碼注入。注意：密碼機 IP 地址與主機 IP地址使用相同 子網 掩碼。4) 注入子網掩碼后，系統自動轉到服務端口注入，進行密碼機 服務端口 注入 。此時，按 “確認 ”鍵，完成網絡配置。5) 配置完 成后，系統自動返回網絡配置主菜單。一臺密碼機只支持一個IP 地址，新配置的IP 地址，將- 17 -自動覆蓋以前配置。注注意意： 密碼機的 IP 地址不能設置成1 網段 ，因為 1 網段地址為控制使用，設置密碼機IP 時，請設置成其他網段。5 5. .1 1. .2 2防防火火墻墻及及網網關關配配置置密碼機 內置有防火墻，缺省狀態是禁止所有主機的訪問，只有系統管理員設置允許

19、訪問 的主機地址 和 MAC 地址 后，才可以訪問 密碼機 。配置好 密碼機 的 IP 地址與服務端口后，必須進行防火墻配置，將需訪問密碼機 的主機 IP 地址 和 MAC地址 添加在防火墻中。密碼機 防火墻配置提供以下功能： 設置默認網關地址； 添加主機 IP 地址； 刪除主機 IP 地址； 顯示已添加 IP 地址。防火墻配置的菜單選擇如下圖所示：按上圖所示選擇菜單后，系統顯示如下：確認確認防火墻配置網絡配置參數配置- 18 -注注意意： 首次使用 密碼機 時，請先利用 “刪除主機 IP 地址”功能刪除設定的所有IP 地址。5 5. .1 1. .2 2. .1 1 設設置置默默認認網網關關

20、地地址址密碼機 支持跨網段訪問功能，與密碼機 不在同一網段的訪問主機 ，可以經過網關轉發數據報文訪問密碼機 。缺省時密碼機 不啟動網關配置，啟動 密碼機 的網關配置，需利用“設置默認網關地址 ”功能將網關地址輸入 密碼機 中。設置默認網關地址的菜單選擇如下圖所示：選擇設置默認網關地址后，系統顯示如下：輸入網關地址后，按 “確認 ”鍵，系統返回防火墻及網關配置主界面。如果在 密碼機 中已經配置有網關地址，則選擇菜單后，系統自動顯示網關地址，要修改網關地址，需先按“取消 ”鍵，再輸入正確的網關地址。確認確認防火墻配置網絡配置參數配置設置默認網關地址確認- 19 -如果要刪除以前添加的網關地址，選擇

21、菜單后，先按“取消 ”鍵，再輸入 000.000.000.000 的網關地址。5 5. .1 1. .2 2. .2 2 添添加加主主機機 I IP P 地地址址添加主機 IP 地址菜單選擇如下圖所示：選擇添加主機 IP 地址菜單后系統顯示如下：添加主機 IP 地址的步驟如下：1) 按上圖所示選擇添加主機IP 地址菜單；2) 分四段注入 IP 地址；3) 注入完按 “確認 ”鍵， 分六段輸入對應主機的MAC地址；4) 注入完按 “確認 ”鍵，主機信息添加到 密碼機 中5) 繼續添加其他主機IP 地址；6) 全部 IP 地址添加成功后，按 “返回 ”功能鍵，系統確認確認防火墻配置網絡配置參數配置

22、添加主機IP 地址確認- 20 -返回網絡配置主菜單。5 5. .1 1. .2 2. .3 3 刪刪除除主主機機 I IP P 地地址址當發現添加的主機IP 地址輸錯或以前使用的IP 地址不再使用，請使用 “刪除 IP”功能刪除已添加的IP 地址。刪除主機 IP 地址菜單選擇如下圖所示：選擇菜單后，系統顯示如下：在刪除主機 IP 地址時，系統自動顯示已添加的主機地址，通過使用向上鍵和向下鍵/，可以檢查所有添加的主機地址。當出現要刪除的主機地址時，按確認鍵刪除。檢查完畢，按返回鍵，返回系統配置主菜單。所有主機 IP 地址都被刪除或未添加主機時，系統顯示如下：確認確認防火墻配置網絡配置參數配置刪

23、除主機IP 地址確認- 21 -5 5. .1 1. .2 2. .4 4 顯顯示示添添加加的的主主機機I IP P 地地址址利用 密碼機 提供的 “顯示添加的 IP 地址 ”功能，可以瀏覽密碼機 主機地址庫中添加的所有主機IP 地址。顯示添加的主機IP 地址菜單選擇如下圖所示：按上圖所示選擇顯示已添加主機IP 地址后，系統將顯示所有主機 IP 地址，當一屏顯示不下時，可以通過方向鍵使系統滾動顯示。如圖所示：查看完畢，使用 “返回 ”鍵，系統自動返回網絡配置主菜單。6 6 進進入入交交易易狀狀態態退回到主界面，選擇進入“交易處理 ”界面，如圖所示，說明密碼機已進入交易處理狀態，該狀態也可以通過

24、系統功能的信息查詢 選項查詢 到。確認確認顯示添加的IP 地址網絡配置參數配置- 22 - 23 - 24 -附附錄錄 A A 注注意意事事項項1)請勿帶電插拔 密碼機 電纜，以免損壞接口。2)處于交易處理狀態下的密碼機重新上電后，聽到“嘀。 。嘀。 。 。 。 ”提示 音后插入開機 USBKey 直接進入交易處理狀態；如果需要修改交易處理狀態下密碼機的參數，則應遵循以下操作順序：密碼機控制口網線連接控制端計算機、密碼機上電、 確認控制端計算機與密碼機連通（參見本手冊4.4） 、打開控制臺軟件、聽到密碼機“嘀。 。 。嘀。 。 。 。 ”提示 音后插入開機 USBKey 進入主界面 、修改參數

25、 。3)根據 相關 部門規定，密碼設備不得擅自開啟。密碼機設計時帶有開箱自毀裝置，請勿自行打開密碼機 機箱，以免密碼機 啟動自毀程序。4)正常 使用的 密碼機 在運行過程中出現故障后，首先按照附件 B 中的常見故障判斷和處理，無法自行處理的，在聯系我公司的技術支持后，需要將設備返廠處理時應先毀鑰再發貨。密碼機在正常運行過程中，請謹慎使用毀鑰功能。第一次配置 IP 地址時，先刪除所有舊的主機地址，再進行地址配置。5)嚴格控制添加的主機IP 地址，嚴禁將不需訪問 密碼機的主機 IP 地址添加至 密碼機 。注：對違反上述要求，造成密碼機 故障或其他事故，我公司不承擔責任。- 25 - 26 -附附錄錄 B B 常常見見硬硬件件故故障障識識別別與與排排除除本書不是 密碼機 維修手冊，本部份內容主要是便于用戶正確識別 密碼機 故障現象，以共同促進我單位 產品和服務質量，當密碼機 出現故障時，不提倡用