电力专用纵向加密认证装置使用说明书

I电力专用纵向加密认证装置SJW07-A使用手册版本1.0。出版日期2007年6月。著作权注意事项本书版权为信息产业部数据通信科学技术研究所所有。未经信息产业部数据通信科学技术研究所书面同意，任何公司、单位或个人，不得用任何手段复制本手册的部分或全部内容。对印刷错误的更正，所述信息谬误的勘误，以及产品的改进，均由信息产业部数据通信科学技术研究所随时作出解释，恕不预先通知，修正内容将编入再版说明书中。商标所有在本手册使用的商标为该商标所有人的资产。业务联系方式：北京东方京海电子科技有限公司地址：北京海淀区上地科贸大厦二层邮编：100085联系人：张涛15901208599电话：(010)82899476-233II兴唐通信科技有限公司................................错误!未定义书签。******网络密码机.................................错误!未定义书签。使用手册.......................................................I1引言.........................................................11.1设备简介.....................................................11.2预期读者.....................................................11.3文档结构.....................................................12安装.........................................................32.1装箱单.......................................................32.2外观图.......................................................42.3密码机的安装.................................................42.4安装完成后检查...............................................72.5配置管理软件安装.............................................83工作原理....................................................103.1典型应用拓扑................................................103.2双机与主主隧道..............................................113.3安全证书机制................................................113.4密钥体系....................................................113.5人机卡认证..................................................123.6远程管理....................................................123.7设备状态说明................................................12目录III3.8日志和审计..................................................123.9声光指示....................................................133.10旁路开关....................................................134日常使用....................................................144.1开机和关机..................................................144.2工作环境....................................................144.3常见故障的识别和排除........................................15附录A：常见问题解答..............................................1611引言1.1设备简介******网络密码机（以下简称******）用于实现在IP网络上的数据加密传输，用于商用密码领域。通过******可在公网（如Internet或其他商业性网络）之上构造安全的VPN系统。******主要应用于全国电力二次系统，基于全国电力调度数据网络构建安全VPN，为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。******在电力系统中的专用称谓是“电力专用纵向加密认证装置（简称装置）”，除非做特别说明，本文不区分******和装置。1.2预期读者本手册对******的功能、使用方法及日常维护做了详细的介绍。预期读者是******的使用和维护人员，请相关人员在使用或维护密码机前认真阅读本手册。1.3文档结构为了能够更快的了解本手册的内容，现将手册的基本结构介绍如下：第一章：引言简述******网络密码机的适用领域及本手册的基本结构。引言Chapter12第二章：安装介绍如何安装******的软硬件。第三章：工作原理介绍******的应用拓扑和基本概念。第四章：日常使用介绍******的日常使用方法和常见故障排除32安装2.1装箱单打开设备包装箱后，请先确认配件是否齐全：1.******网络密码机1台2.操作员卡2张3.电源线2条4.专用配置电缆1条5.非屏蔽五类直通网线2条6.非屏蔽五类交叉网线1条7.上架耳片2件（沉头螺钉8个）8.机箱钥匙2把9.司环胶垫1套（4个）10.上架螺钉和螺母各4个11.用户使用说明书1本12.用户光盘1张13.产品合格证如果发现配件与装箱单不符，请及时与供货商联系。安装Chapter242.2外观图2.2.1前面板示意图智能IC卡插槽智能IC卡指示灯告警指示灯加解密状态指示灯系统运行指示灯电源指示灯图1******前面板示意图2.2.2后面板示意图机箱锁接地端子主备装置心跳网口外网以太网口内网以太网口旁路开关配置串口热备电源1交流电源插座热备电源1电源开关热备电源1指示灯热备电源2交流电源插座热备电源2电源开关热备电源2指示灯旁路非旁路图2******后面板示意图2.3密码机的安装2.3.1安装密码机到19英寸机柜******的高度是1U，宽度为19英寸，可以安装在19英寸标准机柜上。为保障密码机稳定、可靠地运行，推荐把密码机安装在机柜上。安装过程如下：第一步：检查机柜的接地与稳定性。用螺钉将安装挂耳固定在密码机前面板两侧；第二步：将密码机放置在机柜的一个托盘上，根据实际情况，沿5机柜导槽移动密码机至合适位置，注意保证密码机与导槽间的合适位置；第三步：用螺钉将安装挂耳固定在机柜两端的固定导槽上，保证机柜每个槽位的托架和密码机的安装挂耳将密码机稳定地固定在机柜上。密码机的固定角铁并不用来承重，它只起固定作用，密码机安装于19英寸机柜时，密码机机箱的下边要有滑道（固定在机架上）来支撑密码机。2.3.2安装密码机到工作台很多情况下，用户并不具备19英寸标准机柜，此时，人们经常用到的方法就是将密码机放置在干净的工作台上，此种操作比较简单，操作中，只要注意如下事项即可：保证工作台的平稳性与良好接地。密码机四周留出10cm的散热空间。不要在密码机上放置重物。2.3.3电源线及地线连接1.电源插座（建议）建议使用有中性点接头的单相三线电源插座，或多功能PC电源插座。电源的中性点在建筑物中要可靠接地，一般楼房在施工6布线时，已将本楼供电系统的电源中性点埋地，用户需要确认本楼电源是否已经接地。2.交流电源线连接第一步：将机壳接地线一端接到密码机后面板的接地柱上，另一端接至机房接地排的接线柱上，拧紧固定螺母，以保证良好接地。第二步：将密码机的电源线一端插到密码机机箱后面板的电源插座上，另一端插到外部的供电交流电源插座上。注意：密码机上电之前，必须先连接好地线。建议：为确保密码机稳定、可靠地运行，推荐使用稳压电源。2.3.4密码机网线连接密码机通过10BaseT/100BaseTXRJ45以太网口与路由器、交换机或集线器等网络设备相连。密码机的外网口与外部网相连，内网口与内部网相连，心跳口用于双机互备。将随机附带的非屏蔽五类直通/交叉网线一端连接到密码机的外/内网口，另一端连接到路由器、交换机或集线器的以太网口。有关网络设备端口的更多的信息请参考网络设备使用手册。设置为双机互备的两台密码机必须用随机附带非屏蔽五类交叉网线将心跳口连接起来。72.3.5配置电缆连接1.配置电缆配置电缆是一根8芯电缆，一端是压接的RJ-45插头，插入密码机的配置口里；另一端则同时带有一个DB-9（孔）插头，可插入配置终端的9芯（针）串口插座。2.配置电缆连接通过终端配置密码机时，配置电缆的连接步骤如下：第一步：将配置电缆的DB-9孔式插头接到要对密码机进行配置的PC或终端的串口上。第二步：将配置电缆的RJ-45一端连到密码机的配置口（Console）上。由于PC机串口不支持热插拔，不能在密码机带电的情况下，将串口插入或者拔出PC机。当连接PC和密码机时，应先安装配置电缆的DB9端到PC机，再连接RJ45到密码机；在拆下时，先拔出RJ45端，再拔下DB9端。连接时请认准接口上的标识，以免误插入其它接口。只有当需要设置密码机时，才需要用配置电缆连接密码机和PC。2.4安装完成后检查检查选用电源与密码机的标识电源是否一致；检查地线是否连接；检查配置电缆、电源输入电缆连接关系是否正确；8检查接口线缆是否都在室内走线，无户外走线现象；若有户外走线情况，请检查是否进行了交流电源防雷插排、网口防雷器等的连接。2.5配置管理软件安装操作员可以使用随机光盘中附带的配置管理软件在WINDOWSPC上对密码机进行配置管理。配置管理软件的安装步骤如下：首先执行随机光盘中的安装文件setup.exe，弹出安装对话框，如图：点击下一步弹出选择安装目录对话框，如图：9点击下一步弹出快捷方式对话框，如图：点击下一步弹出安装对话框，点击安装按钮，安装结束。在桌面上会有一个配置终端的快捷方式，点击快捷方式即可进入配置终端软件。103工作原理3.1典型应用拓扑密码机管理中心证书服务系统局域网广域网局域网局域网图3三个局域网通过******构成安全VPN的示意图上图为******网络密码机的典型应用拓扑：1.每一个局域网根据具体情况可在由一到两台密码机保护下，同其它局域网互联；从而使整个系统成为一个安全的VPN系统。2.装置证书服务系统采用离线方式工作，不与广域网相连。3.密码机管理中心直接与各密码机通信，实现对全系统密码机的集中管理。工作原理Chapter3113.2双机与主主隧道当局域网中配备两台******网络密码机时，可将密码机配置成主主隧道运行模式，即两台密码机之间不需要心跳口连线，都以主密码机身份工作。即当主密码机发生故障时，对端密码机能够快速发现这条主隧道不可用，并将认证和加密传输处理工作切换到另外一条主隧道上，保障通信连续性。推荐每个局域网中配备两台******网络密码机，并把密码机配置成主主隧道运行模式，以提高系统可用性。3.3安全证书机制证书采用X.509格式，共有