密码卡使用手册
经过安装之后,密码卡可以初步运行加解密样例程序。此文档需要进一步介绍密码卡的用户管理、安全机制、功能、编程接口等内容。
适用范围
此手册适用于派科信安的如下PCIE密码卡:
- A系列:A1、A2、A11、A12
- C系列:C1
适用于派科信安的如下Mini PCIE密码卡:
- M10、M10U
- M11、M11U
- M50
适用于派科信安的如下USB密码卡:
- U11
密钥
密码卡内,与使用直接相关的密钥,主要包括:
- SM2密钥(非对称密钥)
- KEK(密钥加密密钥)
- 会话密钥(对称密钥)
密码卡管理工具
在tools目录下有密码卡管理工具piicoToolWP,用户可以通过该管理工具对密码卡进行初始化、密钥管理、用户管理、权限登录等不同操作。piicoToolWP适用于PIN口令认证的密码卡管理。
piicoToolWP具体参数与功能如下:
| 参数 | 范例 | 说明 |
|---|---|---|
| -s | ./piicoToolWP -s | 显示密码当前登录权限与状态 |
| -rs | ./piicoToolWP -rs | 注册超级管理员,需要在出厂状态下执行 |
| -ra | ./piicoToolWP -ra | 注册管理员,需要在出厂状态、超级管理员权限下执行 |
| -ro | ./piicoToolWP -ro | 注册操作员,需要在出厂状态、超级管理员权限下执行 |
| -li | ./piicoToolWP -li | 身份登录 |
| -lo | ./piicoToolWP -lo | 身份登出 |
| -ic | ./piicoToolWP -ic | 初始化文件系统和密钥容器空间,需要在出厂状态和超级管理员权限下执行,可使用[-p] [pin]参数指定私钥权限码 |
| -gd | ./piicoToolWP -gd | 生成0号设备密钥,需要在初始状态和管理员权限下执行,可使用[-p] [pin]参数指定私钥权限码 |
| -gu | ./piicoToolWP -gu | 生成1~KEYPAIR_MAX_INDEX号用户密钥,需要在就绪状态和管理员权限下执行,可使用[-p] [pin]参数指定私钥权限码 |
| -gk | ./piicoToolWP -gk | 生成0~KEK_MAX_INDEX号密钥加密密钥(KEK),需要在就绪状态和管理员权限下执行,可使用[-p] [pin]参数指定私钥权限码 |
| -bu | ./piicoToolWP -bu 目标目录/ | 备份设备内所有密钥,需要在就绪状态和管理员权限下执行。执行完成后会创建目标目录,并将密码卡内所有密钥以目录同名文件抬头的方式加密导出。 |
| -rd | ./piicoToolWP -rd 目标目录/ | 恢复设备密钥,需要在管理员权限和初始化状态下执行。工具从目标目录读取备份文件,在卡内恢复出分散的备份密钥,随后恢复目标目录下加密保护的0号设备密钥 |
| -ru | ./piicoToolWP -ru 目标目录/ | 恢复用户密钥和KEK密钥,需要在管理员权限和就绪状态下执行。工具从目标目录读取备份文件,在卡内恢复出分散的备份密钥,随后恢复目标目录下加密保护的所有用户密钥和KEK密钥 |
| -ri | ./piicoToolWP -ri | 密码卡恢复出厂设置,需要在超级管理员权限下使用,不限制密码卡状态 |
| -mp | ./piicoToolWP -mp index | 修改私钥使用权限,需要在管理员权限下使用,index为用户密钥索引值 |
| -mk | ./piicoToolWP -mk | 修改管理员认证口令 |
密码卡管理员
管理员权限划分
密码卡管理者可以有管理员、操作员和超级管理员三种不同的身份,对应三种不同权限。每种身份对应不同的宏值,选择宏值通过函数登陆密码卡即可获得对应的权限。
| 宏描述 | 预定义值 | 说明 |
|---|---|---|
| #define SUPPER_ADMIN | 0x00000001 | 超级管理员权限 |
| #define ADMIN | 0x00000002 | 管理员权限 |
| #define ASSISTANT1 | 0x00000003 | 操作员1 |
| #define ASSISTANT2 | 0x00000004 | 操作员2(piicoToolWP工具未使用此身份) |
管理权限功能表如下
| 操作\角色 | 管理员 | 操作员 | 超级管理员 |
|---|---|---|---|
| 用户管理 | - | - | √ |
| 查看产品基本信息 | √ | √ | √ |
| 查看设备运行信息 | √ | √ | √ |
| 设备重置操作 | - | - | √ |
| 初始化私钥访问控制码 | - | - | √ |
| 初始化文件系统 | - | - | √ |
| 修改私钥访问控制码 | √ | - | - |
| 产生密钥对 | √ | - | - |
| 导入密钥对 | √ | - | - |
| 密钥备份 | √ | - | - |
| 密钥恢复 | √ | - | - |
| 用户密钥使用 | √ | √ | - |
| 设备密钥使用 | √ | - | - |
| 符合GM/T 0018标准函数 | √ | √ | - |
初始化口令
密码卡的私钥使用权限和管理权限PIN码初始化为”wuxipiico”或“3.1415926”。
登录流程
密码卡交付时处于可供测试的就绪状态,已经设置有超级管理员、管理员和操作员,密码卡内生成有全部的设备密钥、用户密钥和KEK密钥。
使用者可以通过“piicoToolWP -li”命令输入PIN码和选择身份进行登录获得管理权限。
登录成功后,可执行”piicoToolWP -lo”登出权限,或改变密码卡登录权限——当再次执行”piicoToolWP -li”并成功后,新的权限将覆盖原有权限。
恢复出厂(重置)
1、选择超级管理员身份登录密码卡。
2、执行”piicoToolWP -ri”命令清空密码卡内所有信息,包括注册用户、密钥容器、文件系统、设备密钥、用户密钥和KEK信息。
3、此时执行”piicoToolWP -s”命令可以看到密码卡处于出厂、无用户状态。
密码卡初始化
1、执行”piicoToolWP -rs”命令注册超级管理员身份。
2、执行”piicoToolWP -li”命令以超级管理员身份登录并取得其对应权限
3、执行”piicoToolWP -ra”命令注册管理员身份
4、执行”piicoToolWP -ro”命令注册操作员身份
5、执行”piicoToolWP -ic -p 3.1415926”命令执行初始化密钥系统和文件系统操作,并设置私钥权限码为3.1415926(私钥权限码值可自行设置)
6、此时密码卡进入初始化状态,只有管理员权限可以在初始化状态进行工作,因此执行”piicoToolWP -li”命令,更换管理员身份登录并取得其对应权限
7、执行”piicoToolWP -gd -p 3.1415926”命令生成设备密钥,使用的私钥权限码为3.1415926(私钥权限码为自行设置值时按实际自行设置值修改)
8、此时密码卡进入就绪状态,执行”piicoToolWP -gu -p 3.1415926”命令生成密码卡的所有用户密钥,使用的私钥权限码为3.1415926(私钥权限码为自行设置值时按实际自行设置值修改)
9、执行”piicoToolWP -gk”命令生成密码卡所有KEK密钥。
此时密码卡初始化完成,可以进行加解密等操作测试。关机重起后密码卡状态及密钥状况不会改变,重新登录即可恢复使用。
备份与恢复
备份流程
密码卡初始化完成后,可以对卡内的密钥信息进行备份操作,备份需要管理员权限,其流程如下。
(1)执行”piicoToolWP -li”命令以管理员身份登录并取得对应权限,如已登录则略过此步骤。
(2)执行”piicoToolWP -bu /dir/”命令可以对密码卡内所有密钥加密成密文文件备份到指定的目录中。
恢复流程
当两块密码卡需要做信息同步时,或者因故障导致密钥丢失时,可以通过恢复流程将密钥恢复进密码卡。
(1)设备密钥的恢复,在密码卡初始化流程中以”piicoToolWP -rd /dir/”指令代替第7步骤生成指令,可将已备份的设备密钥恢复进密码卡
(2)用户密钥的恢复,在密码卡初始化流程中以”piicoToolWP -ru /dir/”指令代替第8、9步骤生成指令,可将已备份的用户密钥和KEK恢复进密码卡。