- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
22-加密卡用户管理配置
本章节下载: 22-加密卡用户管理配置 (271.98 KB)
加密卡用户管理是一种用户权限安全管理功能,它与网络数据加密业务处理单元(简称加密业务底板)和网络数据加密卡(简称加密卡)配合使用,采用SM2、SM3和SM4算法(统称SM算法)来保护通信方之间传输的用户数据。
一个加密卡出厂配备有6个U盾。加密卡上可以添加用户,即在加密卡上插入U盾并设置该U盾的用户角色为管理员或操作员。未赋予用户角色的U盾用于备份加密卡数据。
管理员用户是加密卡的最高权限管理者,具有添加/删除操作员用户、修改操作员用户密码、生成/销毁本地SM2密钥对和清除加密卡信息等权限。
加密卡上必须添加3个管理员用户。执行管理员操作时,同时必须只能有2个管理员登录。
操作员用户仅用来调用SM算法保护用户数据。只有当操作员登录时,SM算法相关配置才能生效。关于SM2、SM3和SM4算法的详细介绍,请参见“安全命令参考”中的“IPsec”。
加密卡上同时只能有一个操作员登录。
图1-1 加密卡状态转换示意图
表1 加密卡状态简介
|
状态 |
可执行的操作 |
|
出厂态 |
· 创建管理员用户 · 管理员授权加密卡数据恢复功能 · 将备份U盾上的数据恢复到加密卡上 |
|
就绪态 |
· 管理员用户登录加密卡 · 操作员用户登录加密卡 |
|
管理态 |
· 创建操作员用户 · 删除加密卡上的所有操作员 · 修改操作员用户的登录密码 · 生成/销毁本地SM2密钥对(详细配置介绍请参见“安全配置指导”中的“公钥管理”) · 清除加密卡上操作员信息和密钥信息 · 将加密卡上的所有信息备份到备份U盾上 |
|
工作态 |
应用SM算法保护通信方之间传输的用户数据,关于应用SM算法的详细介绍,请参见“安全配置指导”中的“IPsec” |
|
擦除态 |
· 管理员授权加密卡数据恢复功能 · 将备份U盾上的数据恢复到加密卡上 · 创建管理员用户(覆盖之前的管理员信息) |
配置本功能前,请确保U盾插入MIC-SM接口子卡上的USB AUTH接口,否则会配置失败。
加密卡上的U盾写入数据后不可擦除,且不能与其他加密卡配合使用。如果需要清除U盾上所有数据,请联系技术支持人员。
加密卡用户管理配置任务如下:
· 添加加密卡用户
· (可选)修改操作员用户的登录密码
· (可选)删除所有操作员用户
· (可选)备份加密卡上的数据
· 恢复备份数据到加密卡
恢复数据的目的加密卡上已存在用户信息和密钥信息时,必须配置。
加密卡上必须要添加管理员用户和操作员用户,添加用户的具体操作步骤为:
(1) 在加密卡上插入1个全新U盾。
(2) 指定该U盾的用户角色,并设置登录密码。
(3) 拔除已指定用户角色的U盾。
(4) 重复执行步骤(1)~(3),直到所有用户添加完成。
添加的用户角色必须包括3个管理员。
加密卡上的用户角色指定后无法变更。
创建3个管理员用户过程中,请确保加密业务底板和加密卡正常运行,否则会创建失败。
仅当加密卡上创建完3个管理员用户,且有2个管理员同时登录时,才可以创建操作员用户。
(1) 进入系统视图。
system-view
(独立运行模式)
encryption-card add user role { admin | operator } slot slot-number
(IRF模式)
encryption-card add user role { admin | operator } chassis chassis-number slot slot-number
配置用户登录加密卡,包括配置管理员登录加密卡和配置操作员登录加密卡。
· 配置管理员登录加密卡
创建完3个管理员用户,且必须有2个管理员用户登录加密卡时,才可以管理操作员和密钥信息。管理员用户登录加密卡的具体操作步骤为:
a. 在加密卡上插入1个管理员U盾。
b. 配置该管理员用户登录加密卡,登录密码必须与创建该用户时设置的密码一致。
c. 拔除已登录加密卡的管理员U盾,完成第1个管理员登录加密卡。
d. 插入另一个管理员U盾
e. 重复执行步骤(b)和(c),完成第2个管理员登录加密卡。
· 配置操作员登录加密卡
创建完管理员用户和操作员用户,操作员才可以登录加密卡,且同时只能有1名操作员登录。操作员用户登录加密卡的具体操作步骤为:
a. 在加密卡上插入1个操作员U盾。
b. 配置该操作员用户登录加密卡,登录密码必须与创建该用户时设置的密码一致。
c. 拔除已登录加密卡的操作员U盾,完成操作员登录加密卡。
操作员用户和管理员用户不能同时登录加密卡。
(1) 进入系统视图。
system-view
(2) 配置管理员或操作员用户登录加密卡。
(独立运行模式)
encryption-card login user-role { admin | operator } slot slot-number
(IRF模式)
encryption-card login user-role { admin | operator } chassis chassis-number slot slot-number
配置管理员或操作员用户登出加密卡前无需插入U盾。
(1) 进入系统视图。
system-view
(2) 配置所有管理员或操作员用户登出加密卡。
(独立运行模式)
encryption-card logout user-role { admin | operator } slot slot-number
(IRF模式)
encryption-card logout user-role { admin | operator } chassis chassis-number slot slot-number
仅当加密卡上有2个管理员用户登录,且操作员U盾已在位时,才可以修改该操作员用户的登录密码。
(1) 进入系统视图。
system-view
(2) 修改操作员用户的登录密码。
(独立运行模式)
encryption-card operator change-password slot slot-number
(IRF模式)
encryption-card operator change-password chassis chassis-number slot slot-number
仅当加密卡上有2个管理员用户登录时,才允许删除所有操作员用户。
删除所有操作员用户前无需插入U盾。
(1) 进入系统视图。
system-view
(2) 删除所有操作员用户。
(独立运行模式)
encryption-card delete operator slot slot-number
(IRF模式)
encryption-card delete operator chassis chassis-number slot slot-number
本功能用于将当前加密卡上包括管理员信息、操作员信息和密钥在内的所有数据备份到全新的U盾里。为了确保加密卡的数据安全,需要及时备份加密卡上的数据。
备份加密卡数据的具体操作步骤为:
(1) 在加密卡上登录2个管理员用户,具体步骤请参见1.5 配置用户登录加密卡。
(2) 在加密卡上插入1个全新的U盾。
(3) 执行命令备份加密卡上的数据。
(4) 拔除已备份好数据的备份U盾。
仅当2个管理员同时登录时,才可以备份加密卡上的数据。
备份加密卡上的数据前,请先插入备份U盾。
(1) 进入系统视图。
system-view
(2) 将加密卡上的数据备份到备份U盾上。
(独立运行模式)
encryption-card backup info slot slot-number
(IRF模式)
encryption-card backup info chassis chassis-number slot slot-number
如果发生加密卡故障等情况,需要及时更换加密卡,并将老加密卡的备份数据恢复到更换后的加密卡上。
· 恢复数据到全新加密卡
如果更换后的加密卡是全新加密卡,恢复数据到该加密卡的具体操作步骤为:
a. 确认加密业务底板已经处于下电状态,并更换加密卡。
b. 给加密业务底板上电,并确认加密业务底板及更换后的加密卡运行正常。
c. 在全新加密卡上插入老加密卡的1个管理员U盾。
d. 配置管理员授权加密卡数据恢复功能(通过encryption-card admin-authorization restoration命令),并输入该管理员的登录密码,完成第1个老加密卡管理员授权。
e. 拔除该管理员U盾。
f. 在新加密卡上插入老加密卡的另1个管理员U盾。
g. 重复步骤(d),完成第2个老加密卡管理员授权。
h. 拔除该管理员U盾。
i. 将已备份好数据的备份U盾插入到新加密卡。
j. 执行encryption-card restore info命令恢复备份数据到加密卡。
k. 完成数据恢复后,拔除备份U盾。
· 恢复数据到非全新加密卡
如果更换后的加密卡已存在管理员和操作员等信息,清除信息后恢复备份数据到该加密卡的具体操作步骤为:
a. 确认加密业务底板已经处于下电状态,并更换加密卡。
b. 给加密业务底板上电,并确认加密业务底板及更换后的加密卡运行正常。
c. 在更换后的加密卡上登录2个管理员用户,具体步骤请参见1.5 配置用户登录加密卡。
d. 清除加密卡上操作员信息和密钥信息(通过执行encryption-card delete info命令),加密卡进入擦除态。
e. 插入老加密卡的1个管理员U盾。
f. 配置管理员授权加密卡数据恢复功能(通过encryption-card admin-authorization restoration命令),并输入该管理员的登录密码,完成第1个老加密卡管理员授权。
g. 拔除该管理员U盾。
h. 在更换后的加密卡上插入老加密卡的另1个管理员U盾。
i. 重复步骤(f),完成第2个老加密卡管理员授权。
j. 拔除该管理员U盾。
k. 将已备份好数据的备份U盾插入到加密卡。
l. 执行encryption-card restore info命令恢复备份数据到加密卡。
m. 完成数据恢复后,拔除备份U盾。
仅当2个管理员同时登录时,才可以配置本功能。
清除加密卡上操作员信息和密钥信息前不需要插入U盾。
执行本功能会导致加密卡出厂配套U盾不可用。操作前请先确认是否需要备份本加密卡上的数据,否则本加密卡上的数据无法恢复。
(1) 进入系统视图。
system-view
(2) 清除加密卡上操作员信息和密钥信息。
(独立运行模式)
encryption-card delete info slot slot-number
(IRF模式)
encryption-card delete info chassis chassis-number slot slot-number
备份老加密卡的数据到新加密卡(通过encryption-card restore info命令)前,必须配置本功能授权新加密卡数据恢复功能。
仅在加密卡处于出厂态和擦除态时,才可以配置本功能。
必须有2个管理员授权加密卡恢复数据,才表示授权成功。
(1) 进入系统视图。
system-view
(2) 配置管理员授权加密卡数据恢复功能。
(独立运行模式)
encryption-card admin-authorization restoration slot slot-number
(IRF模式)
encryption-card admin-authorization restoration chassis chassis-number slot slot-number
本功能用于将备份U盾中老加密卡数据恢复到新加密卡上。
仅在加密卡处于出厂态和擦除态时,才可以配置本功能。
请依次在新加密卡上插入老加密卡的2个管理员U盾,并完成授权新加密卡数据恢复功能(通过encryption-card admin-authorization restoration命令)后,再备份老加密卡的数据到新加密卡。
(1) 进入系统视图。
system-view
(2) 将备份U盾上的数据恢复到加密卡上。
(独立运行模式)
encryption-card restore info slot slot-number
(IRF模式)
encryption-card restore info chassis chassis-number slot slot-number
在完成上述配置后,在任意视图下执行display命令可以显示加密卡的信息,通过查看显示信息验证配置的效果。
表1-1 加密卡用户管理显示和维护
|
操作 |
命令 |
|
显示加密卡状态 |
(独立运行模式) display encryption-card state slot slot-number (IRF模式) display encryption-card state chassis chassis-number slot slot-number |
Device A和Device B相连,具体要求如下:
· 采用SM算法对两台设备之间的通信数据进行加解密。
· 备份Device A上的加密卡数据。
· Device A上的加密卡故障,更换加密卡后恢复备份数据到全新加密卡上。
图1-2 加密卡用户管理基础配置举例组网图
在Device A和Device B上安装加密业务底板及加密卡,并确认加密业务底板及加密卡运行正常。
(1) 添加加密卡的3个管理员用户
# 在加密卡上插入1个全新U盾。
# 添加第1个管理员用户,并设置该管理员用户的登录密码。
<DeviceA> system-view
[DeviceA] encryption-card add user role admin slot 1
The USB key is steady. Continue? [Y/N]:y
Enter password:
Confirm password:
Operation succeeded.
# 拔除第1个管理员用户的U盾。
# 插入第2个全新U盾添加第2个管理员用户,并设置该管理员用户的登录密码。
[DeviceA] encryption-card add user role admin slot 1
The USB key is steady. Continue? [Y/N]:y
Enter password:
Confirm password:
Operation succeeded.
# 拔除第2个管理员用户的U盾。
# 插入第3个全新U盾添加第3个管理员用户,并设置该管理员用户的登录密码。
[DeviceA] encryption-card add user role admin slot 1
The USB key is steady. Continue? [Y/N]:y
Enter password:
Confirm password:
Operation succeeded.
# 拔除第3个管理员用户的U盾。
(2) 配置2个管理员用户登录加密卡
# 插入1个管理员用户的U盾。
# 配置该管理员用户登录加密卡。
[DeviceA] encryption-card login user-role admin slot 1
The USB key is steady. Continue? [Y/N]: y
Password:
Operation succeeded.
# 拔除已登录管理员的U盾。
# 插入另一个管理员用户的U盾。
# 配置该管理员用户登录加密卡。
[DeviceA] encryption-card login user-role admin slot 1
The USB key is steady. Continue? [Y/N]: y
Password:
Operation succeeded.
# 拔除已登录管理员的U盾。
(3) 添加1个操作员用户
# 在加密卡上插入1个全新U盾。
# 添加操作员用户,并设置该操作员用户的登录密码。
[DeviceA] encryption-card add user role operator slot 1
The USB key is steady. Continue? [Y/N]:y
Enter password:
Confirm password:
Operation succeeded.
# 拔除操作员用户的U盾。
(4) 配置所有管理员用户登出Slot 1业务底板上的加密卡
[DeviceA] encryption-card logout user-role admin slot 1
The admin logout operation success!
(5) 配置操作员用户登录加密卡
# 在加密卡上插入操作员的U盾。
# 配置操作员用户登录。
[DeviceA] encryption-card login user-role operator slot 1
The USB key is steady. Continue? [Y/N]:y
Password:
Operation succeeded.
# 拔除已登录操作员的U盾。
(6) 应用SM算法保护通信方之间传输的用户数据
详细介绍请参见“安全配置指导”中的“IPsec”。
(1)~(6)同配置Device A中步骤(1)~(6)。
(7) 备份当前加密卡数据
# 配置2个管理员用户登录加密卡,配置步骤同配置Device A中步骤(2)。
# 在加密卡上插入1个全新的U盾。
# 备份加密卡上的数据。
[DeviceB] encryption-card backup info slot 1
The USB key is steady. Continue? [Y/N]:y
Enter password:
Confirm:
Operation succeeded.
# 拔除已备份好数据的备份U盾。
(8) 更换加密卡
# 确保加密业务底板处于下电状态,拔除Device B上的加密卡,并安装全新加密卡。
# 给加密业务底板上电,并确认加密业务底板及全新加密卡运行正常。
(9) 恢复备份数据到新加密卡上
# 在新加密卡上插入老加密卡的1个管理员U盾。
# 配置管理员授权加密卡数据恢复功能,完成第1个老加密卡管理员授权。
[DeviceB] encryption-card admin-authorization restoration slot 1
The USB key is steady. Continue? [Y/N]:y
Password:
Operation succeeded.
# 拔除已完成授权的管理员U盾。
# 在新加密卡上插入老加密卡的另1个管理员U盾。
# 配置管理员授权加密卡数据恢复功能,完成第2个老加密卡管理员授权。
[DeviceB] encryption-card admin-authorization restoration slot 1
The USB key is steady. Continue? [Y/N]:y
Password:
Operation succeeded.
# 拔除已完成授权的管理员U盾。
# 插入已备份好数据的备份U盾。
# 恢复数据到新加密卡。
[DeviceB] encryption-card restore info slot 1
The USB key is steady. Continue? [Y/N]:y
Password:
Operation succeeded.
# 拔除备份U盾。
以上配置完成后,新加密卡上可以使用老加密卡配套的U盾。
# 在新加密卡上插入老加密卡管理员U盾。
# 配置老加密卡管理员用户登录新加密卡。
[DeviceB] encryption-card login user-role admin slot 1
The USB key is steady. Continue? [Y/N]:y
Password:
Operation succeeded.
# 拔除已登录管理员的U盾。
# 插入另一个管理员用户的U盾,并配置该管理员用户登录加密卡。
[DeviceB] encryption-card login user-role admin slot 1
The USB key is steady. Continue? [Y/N]:y
Password:
Operation succeeded.
# 拔除已登录管理员的U盾。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
