1. 设备加载与初始化
1.1 查看驱动是否已经加载:使用lsmod命令
lsmod | grep swcsm
如下图所示,就是已经加载成功。
1.2 加载驱动
cd /opt
insmod swcsm.ko VFnum=-1
1.3 卸载驱动
rmmod swcsm
1.4 初始化
1) /opt/swcsmmgmt_GM0018_v5.10.1_x64进入工具,在主界面选1
2) 初始化会销毁所有密钥,需要输入两次口令“Init1234”
3) 初始化成功,此时所有的密钥都已被删除。
2. 密钥备份与恢复
2.1 备份密钥
1) 执行 /opt/swcsmmgmt_GM0018_v5.10.1_x64
2) 将密钥信息备份到文件:输入6,并回车
3) 选择备份:输入1
4) 需要输入一个8~16字符的口令(恢复的时候需要这个口令)
5) 选择保存路径,可以自己指定,默认是/tmp/
6) 显示备份完成。记住第4步的口令和第5步的路径。
7) 为防止文件丢失,可以在unispace的“文件服务器-备份集”里将该文件所在的文件夹添加成备份集,添加时注意备份副本不要加密,并且设置定期备份。
2.2 恢复密钥
1) /opt/swcsmmgmt_GM0018_v5.10.1_x64
2) 选6-备份恢复,下一步选2-恢复密钥信息
3) 输入恢复口令(即2.1 第4)步的口令),然后回车
4) 输入备份文件所在路径,必须是备份时的文件名,但路径可以更改。
5) 恢复成功
3. 密钥管理
设备支持RSA、SM2、SM9、对称加密4种算法,本产品支持用SM2、SM9、对称加密算法对存储仓进行加密。
3.1 SM2密钥管理
主菜单选3可以管理SM2密钥
3.1.1 生成SM2密钥
1) SM2密钥管理菜单选1产生新密钥对。
2) 需要输入密钥索引。如果索引位置已经有一个密钥了,新生成的密钥会覆盖原来的密钥。如果不确定指定的位置是否已经有密钥,可以参考3.1.4查看密钥状态。
3) 选择密钥对的用途
4) 成功后会回显密钥索引。
3.1.2 删除SM2密钥
1) 删除时会先展示密钥状态
2) 输入索引值删除指定位置的索引。
3.1.3 导入SM2密钥
如果本地已经有一个公钥文件,可以直接导入。
1) 在SM2密钥管理菜单里,选2导入密钥
2) 给密钥选择一个索引值
3) 选择密钥的用途
4) 选择公钥文件名,就可以导入
3.1.4 查看SM2密钥状态
1) 在密钥管理页面选4查看索引位置是否有密钥。
3.2 SM9密钥管理
主菜单选4管理SM9密钥
3.2.1 SM9加密主密钥对
选3进入加密主密钥管理
3.2.1.1 产生主密钥对
1) 在SM9加密主密钥对管理页面选1产生主密钥对
2) 输入密钥索引
3) 产生成功
3.2.1.2 导入主密钥对
1) 选2导入加密主密钥对
2) 首先输入密钥索引
3) 然后输入公钥文件名导入
3.2.1.3 删除主密钥对
1) 选3删除加密主密钥对
2) 输入索引删除对应位置的加密主密钥
3.2.1.4 查看密钥状态
选4查看密钥状态
3.2.2 SM9用户加密密钥管理
选4进入用户加密密钥管理
3.2.2.1 产生SM9用户加密密钥管理
1) 在SM9用户加密密钥管理页面选1产生用户加密密钥
2) 输入主密钥的索引,如果该位置没有主密钥,则会报错
3) 输入用户加密密钥索引
4) 选择编码方式,输入hid。
5) 选择编码方式,输入用户id
6) 产生成功
3.2.2.2 导入用户加密密钥
1) 选2导入用户加密密钥
2) 输入密钥索引
3) 首先输入加密主公钥文件名导入加密主公钥,再输入用户加密公钥文件名导入用户公钥
3.2.2.3 删除主密钥对
1) 选3删除加密主密钥对
2) 输入索引删除对应位置的加密密钥
3) 删除成功
3.2.2.4 查看密钥状态
选4查看密钥状态
3.3 对称密钥管理
主菜单选5可以管理对称加密密钥
3.3.1 生成对称加密密钥
1) 对称密钥管理菜单选1产生新密钥对。
2) 需要输入密钥索引。如果索引位置已经有一个密钥了,新生成的密钥会覆盖原来的密钥。如果不确定指定的位置是否已经有密钥,可以参考3.3.4查看密钥状态。
3) 输入密钥长度
4) 成功后会显示索引值和密钥强度
3.3.2 删除对称密钥
在对称密钥管理菜单选3删除对称密钥
1) 删除时会先展示密钥状态
2) 输入索引值删除指定位置的索引。
3.3.3 导入对称加密明文密钥
如果本地已经有一个公钥文件,可以直接导入。
1) 在对称密钥管理菜单里,选2导入密钥
2) 给密钥选择一个索引值
3) 选择输入明文密钥值的方式
4) 输入明文密钥值,注意密钥长度必须为8字节的倍数,最大长度32字节
3.3.4 查看对称密钥状态
在密钥管理页面选4查看索引位置的密钥状态
4. Unispace备份副本加密设置
1) 在“服务计划-添加服务计划-添加副本”或者“副本组-添加副本组-添加副本”的“数据优化策略”栏打开“启动数据加密”开关
2) 加密厂商选择“SANSEC”
3) 加密算法可以选择3DES、AES、ECC、SM9四种,其与加密软件的对应关系如下表所示:
|
三未信安加密算法 |
Unispace配置时加密算法 |
|
SM2 |
ECC |
|
SM9 |
SM9 |
|
对称加密 |
3DES、AES |
4) 选择3DES、AES或者ECC时,在“KeyIndex”栏输入密钥索引值;选择SM9时,在“KeyIndex”栏输入密钥索引值,在“UserID”栏输入SM9用户密钥的用户ID,在“HID”栏输入SM9用户密钥的HID值。
5) 配置服务计划或者副本组的其他参数,点“确定”。
5. 使用参考
5.1 使用SM2加密副本
5.1.1 产生密钥
1) 主菜单选3进入SM2密钥管理
2) 选1产生新密钥对
3) 输入索引位置,这里写的是88
4) 选择密钥用途
5) 产生成功
5.1.2 页面配置(以添加服务计划为例)
在“数据优化策略”栏,打开“启用数据加密”开关,“加密方式”选硬件加密,“加密厂商”选SANSEC,“加密算法”选择ECC,“ KeyIndex”写5.1.1 第3)步的索引值88
5.2 使用SM9加密副本
5.2.1 产生密钥
1) 主菜单选4进入SM9密钥管理
2) 用户加密密钥必须对应一个主加密密钥。如果已经有主加密密钥了,可以直接参考本小节的6)配置用户加密密钥,否则需要先配置一个主加密密钥。选3配置加密主密钥对
3) 选1产生新的加密主密钥对,索引写的是4
4) 输入R返回SM9加密主密钥对管理菜单
5) 输入R再返回至SM9密钥管理
6) 选4管理用户加密密钥
7) 输入1产生用户加密密钥
8) 输入主加密密钥索引,这里写的是第3)步里输入的4
9) 输入用户密钥的索引位置,这里写的是4
10) 输入加密私钥生成函数识别符hid的方式,这里选择ASCII码方式。
如果选择的是ACSII,则只能输入一个字符,在Unispace页面配置时HID写该字符在ASCII码表里对应的十进制数字;如果选择16进制,需要以“0x数字”的格式输入,在Unispace页面配置时HID写该十六进制对应的十进制数字。
11) 输入hid,这里写的是3。
12) 输入用户标识ID的方式,这里也选择ASCII码方式
13) 输入用户ID,这里写的是“Bob”
5.2.2 页面配置(以添加服务计划为例)
在“数据优化策略”栏,打开“启用数据加密”开关,“加密方式”选硬件加密,“加密厂商”选SANSEC,“加密算法”选择SM9,“ KeyIndex”写用户加密密钥的索引值4,“UserID”写Bob,“HID”写’3’对应的ASCII码:51。
5.3 使用对称加密算法
5.3.1 产生密钥
1) 主菜单选5进入对称加密密钥管理
2) 选1产生新密钥对
3) 输入索引位置,这里写的是88
4) 选择密钥强度
5) 产生成功
6) 输入Q退出。
5.3.2 页面配置(以添加服务计划为例)
在“数据优化策略”栏,打开“启用数据加密”开关,“加密方式”选硬件加密,“加密厂商”选SANSEC,“加密算法”选择AES或者3DES,“ KeyIndex”写索引值88