|
|
 |
|
ET199超级多功能锁常见问题与解答
下面列出了一些您或您的客户可能遇到的一些问题,同时提出了解决方案。
A、软件保护注意事项
B、身份认证注意事项
C、一些问题的通常处理手段
D、常见问题
A、软件保护注意事项
-
快速入门及注意事项
- ET199超级多功能锁出厂设置为
- 根目录开发商口令:“123456781234567812345678”。
- 根目录用户口令:“12345678”。
- 没有重试次数限制。如果您设置了根目录开发商口令的重试次数,那么当使用者连续输入错误的次数达到了最大限制的次数,根目录开发商口令被锁死,这时只能退回给我公司重新生产。
- ET199硬件有三种状态:空锁,加密锁(加密锁格式),身份认证锁(PKI格式)。
- 出厂默认为加密锁格式,当需要使用身份认功能时,需要使用5.2.2节中介绍的加密锁设置工具或者API接口(见7.1.15节中的说明),将ET199格式化为空锁,然后再使用PKI设置工具进行PKI格式化(见《ET199超级多功能锁用户手册-身份认证篇》中的4.2.2节)。
- 将PKI格式的ET199恢复为加密锁时,需要先使用PKI设置工具格式化为空锁(见《ET199超级多功能锁用户手册-身份认证篇》中的4.2.1节),然后再使用5.2.2节中介绍的加密锁设置工具或者API接口(见7.1.15节中的说明),将ET199格式化为加密锁。
- 如果您需要使用ET199超级多功能锁进行开发或者测试请与我公司联系。开发需要的相关资料和软件接口请从我公司网站上下载。网址: http://www.rockey.com.cn
- ET199超级多功能锁是USB接口的HID设备,在Win98SE以上的Windows操作系统,及多种平台下都有系统自带的驱动支持,不需要安装额外的驱动程序。
- ET199超级多功能锁具有64位(8个字节)全球唯一硬件序列号,及软件加密功能和身份认证功能于一身,适用于软件保护和安全系统身份认证。
- ET199用户空间为64K。硬件擦写次数10万次,读没有限制。工作温度:0℃-70℃。
- 进行开发时请参见本手册的接口说明,以及开发包中的示例,特别是Samples\CaseStudy目录下的示例演示,可以直接运行SampleBrowser.exe工具进行查看。
- 在使用RSA进行加密时,为了防止被加密的数据大于n的情况,请将原文数据的第一个字节设为0。
-
ET199的口令
在使用ET199进行软件保护时,ET199提供了两个级别的口令:开发商口令和用户口令。不同的口令具有不同的安全权限。当硬件被关闭,重新插拔或者断电时,安全权限都会被重置成没有认证过的状态。
- 开发商口令(24字节):该口令是开发商在进行软件保护开发时使用到的,其作用主要是对ET199硬件进行设置,如:创建文件/目录,删除文件/目录等。该口令为24个字节,初始值为:“123456781234567812345678”,十六进制表示为“0x31 0x32 0x33 0x34 0x35 0x36 0x37 0x38 0x31 0x32 0x33 0x34 0x35 0x36 0x37 0x38 0x31 0x32 0x33 0x34 0x35 0x36 0x37 0x38”。虽然开发商口令只能向锁内写入和删除文件,而不能获取锁内的任何数据,但还是建议开发商在创建完成一个目录后,将默认的开发商口令更改成自己的设定的独特值,以防止被非法者获取。
- 用户口令(8字节):该口令是用来调用ET199中的可执行文件的。在应用程序中调用加密锁内可执行文件时,需要先验证该用户口令。用户口令为8个字节,初始值为:“12345678”,十六进制表示为“0x31 0x32 0x33 0x34 0x35 0x36 0x37 0x38”。
- 开发商口令和用户口令的相关事项
- 开发商口令和用户口令都是针对加密锁中的目录来讲的。ET199中可以创建3级目录,每个目录都有各自的开发商口令和用户口令。每个目录的口令都是各自独立的,如:修改了父目录的口令,子目录口令并不更改;取得了父目录的权限,但不会取得子目录的相应权限。
- 在重新创建目录,或者清空目录后,目录的两级口令都会恢复为初始值。为了安全考虑,这时请开发商一定要设置成自己的特定口令。
- 每个目录的开发商口令默认没有重试次数的限制,但为了防止暴力破解,我们建议开发商自己设定这个口令的重试次数,可以设置为1-254次(见7.1.11节中ETChangePin函数的说明),当设置为0或者255(0xFF)次时,表明没有限制。这时应注意:
在验证开发商口令时,当口令不正确,并且连续验证的次数超过了重试次数,口令将被锁死。这时即使再输入正确的口令,该目录也不能被打开。当根目录被锁死后,没有任何办法可以恢复。为了最大限度的保护您的安全性,我们也无法进行解锁和重新设置,只能退回我公司重新生产。所以请开发商妥善保存好根目录的开发商口令。当子目录锁死后,开发商可以使用其父目录的口令,清除父目录(见7.1.9节中ETEraseDir函数的说明)。如:父目录下有A,B两个目录,当A目录锁死时,这时必须清除父目录,清除父目录后,父目录下的所有目录和文件都被删除,父目录的开发商口令和用户口令恢复为默认值。开发商口令:“123456781234567812345678”,用户口令:“12345678”。然后再创建新的目录。您也可以使用加密锁设置工具重新建立根目录(见5.2.2节)。
- 当开发商口令被泄漏或者被盗取时,由于ET199设计上和硬件上的安全性,也不会对软件带来任何安全上的影响,开发商完全可以不必担心。开发商口令验证后只能写入和删除锁内的数据,而不能获取锁内的任何数据。那么非法拥有该口令的人只能破坏加密锁中的数据,而不能读到锁内的任何内容,不能进行软件或者硬件上的仿真,应用软件还是无法使用。必须拥有数据完好的加密锁,软件才能正确执行。即便如此,我们还是建议开发商要妥善的保存好自己的口令,增加一道安全措施。
- 用户口令与开发商口令一样,默认没有重试次数的限制,但为了防止暴力破解,我们建议开发商自己设定这个口令的重试次数,可以设置为1-254次(见7.1.11节中ETChangePin函数的说明),当设置为0或者255次时,表明没有限制。如果用户口令锁死了,这时可以使用开发商口令清除该目录(见7.1.9节中ETEraseDir函数的说明),则目录的开发商口令和用户口令恢复为默认值。开发商口令:“123456781234567812345678”,用户口令:“12345678”。
-
ET199的文件系统
ET199中的文件系统与Windows的文件系统一样,是目录/文件结构,文件包括:可执行文件,数据文件和密钥文件。每个文件和目录都有自己的ID,这个ID为2个字节,例如:0x1002,0x100A等。同一级目录和文件的ID不能重复。
- ET199目录特性
- 只有一个根目录,根目录下可以创建子目录。ET199只支持三级目录结构(包括根目录,如:\0001\0002,表示根目录(“\”,第一级)下ID为0x0001的目录(“0001”,第二级)下的ID为0x0002的目录(“0002”,第三级))。根目录占有ET199中所有的用户空间。
- 每个目录都有自己的开发商口令和用户口令,请注意不要将根目录的开发商口令锁死,具体内容参看上面的2.2节。
- 建立目录时,需要指定目录所占的空间大小。目录建立后,无法修改目录所占有的空间尺寸。注意:子目录的空间不能超过其所在目录的可使用空间。
- 子目录不能被删除,只能将子目录中的内容(包括子目录下的目录和文件)清空,在清空后,子目录的开发商口令和用户口令恢复为初始值,具体内容参看上面的2.2节中的说明。如果要删除这个目录,只能将该目录的父目录进行清空操作。如果目录为根目录,则删除根目录。再次使用时需要重新创建根目录。
- ET199文件特性
- 可执行文件:可执行文件是由C51语言编写的,在加密锁内部运行的文件。您的应用程序运行时,调用我们提供的各种语言的API接口,向该文件传入输入数据,可执行文件在加密锁内部运行后,将结果返回给外部的应用程序。
普通可执行文件:可以被其他可执行文件改写,开发商口令可以创建和写入,用户口令只能运行。文件中的内容不能被任何人读取。当需要远程升级时,只能创建普通可执行文件,这样可以通过程序改写锁内的可执行文件(见3.2.8节中的说明)。
内部可执行文件:不能被其他可执行文件改写,开发商口令可以创建和写入,用户口令只能运行。文件中的内容不能被任何人读取。由于内部可执行文件不能被改写,因此开发商需要远程升级时,不能创建这种类型的文件。
- 内部数据文件:存放数据信息的文件。该文件在开发商口令验证后,可以通过API接口写入。或者通过锁内可执行文件来读取和写入。即应用程序调用外部的API接口,API接口调用ET199内部的可执行文件,可执行文件(通过C51语言)读写内部数据文件。
- 密钥文件:存储RSA密钥对(公钥和私钥)的文件。对于公钥文件开发商口令可以写,可执行文件可以读写。对于私钥文件,开发商口令可以写,但文件中的内容不能被任何人读取。在使用ET199加密锁设置工具(见5.2节中的说明)产生RSA密钥对时会返回公钥和私钥的数据,因为私钥文件不能读取,只有在这时才能备份相关数据,因此开发商需要妥善保存,以备以后使用。
各种文件与口令的权限关系总结如下:
表2-1 文件与口令权限关系表
| |
开发商口令验证 |
用户口令验证 |
可执行文件 |
| 可执行文件 |
普通 |
写入 |
调用 |
写入 |
| 内部 |
写入 |
调用 |
无 |
| 内部数据文件 |
写入 |
无 |
写入/读取 |
| 密钥文件 |
公钥 |
写入 |
无 |
写入/读取 |
| 私钥 |
写入 |
无 |
写入 |
-
客户号,ATR文件和硬件序列号
- 客户号:为了区分不同的ET199使用者,方便管理,不同的软件开发商订购的ET199硬件的客户号是不同的。客户号为4个字节,开发商可以通过API接口函数得到这个客户号,来判断是否是自己购买的ET199。
- ATR文件:ET199内置一个16字节的ATR文件,用户可以通过API接口来写入和读取这个文件中的内容。在写入ATR文件时,需要验证根目录开发商口令。开发商可以设定ATR文件中的内容,然后根据这个内容来判断是否是自己所购买的锁。
- 硬件序列号:每一把ET199都有一个唯一的硬件序列号,8个字节(64位),开发商可以通过这个特性在软件中进行处理。
开发商可以通过ETControl接口来对客户号,ATR文件和硬件序列号进行操作,详见“ET199超级多功能锁用户手册加密锁篇”7.1.5节。
B、身份认证注意事项
-
快速入门及注意事项
- ET199硬件有三种状态:空锁,加密锁(加密锁格式),身份认证锁(PKI格式)。
- 出厂默认为加密锁格式,当需要使用身份认功能时,需要使用《ET199超级多功能锁用户手册-加密锁篇》中5.2.2节中介绍的工具,将ET199格式化为空锁,然后再使用PKI工具(见《ET199超级多功能锁用户手册-身份认证篇》4.2节)进行PKI格式化。
- 将PKI格式的ET199恢复为加密锁时,需要先使用PKI设置工具(见《ET199超级多功能锁用户手册-身份认证篇》4.2.1节)格式化为空锁,然后再使用《ET199超级多功能锁用户手册-加密锁篇》中5.2.2节中介绍的工具,将ET199格式化为加密锁。
- 如果您需要使用ET199多功能锁进行开发或者测试请与我公司联系。开发需要的相关资料和软件接口请从我公司网站上下载。网址: http://www.rockey.com.cn
- ET199多功能锁是USB接口的HID设备,支持Win98SE以上的Windows操作系统,包括最新的Vista系统,不需要安装额外的驱动程序。
- ET199多功能锁具有64位全球唯一硬件序列号,集软件加密功能和身份认证功能于一身,适用于软件保护和安全系统身份认证。
- ET199工作温度:0℃-70℃。硬件擦写次数10万次,读没有限制。
- 在使用ET199PKI功能前,需要先安装PKI运行时环境(即安装redist\setup 目录下的ET199-SimpChinese.exe),安装时需要有操作系统的管理员权限。
- 当管理员PIN锁死时,可以使用PKI设置工具重新初始化(见《ET199超级多功能锁用户手册-身份认证篇》4.2.2节)。
-
ET199 管理员PIN(SO PIN 默认:rockey)和用户PIN(User PIN 默认:1234)
ET199有3种状态:匿名,用户PIN验证通过,管理员PIN验证通过
- 管理员PIN(以下简称SO PIN 默认:rockey):验证管理员PIN通过后,可以对ET199进行PKI初始化和解锁用户PIN。
- 用户PIN(以下简称User PIN 默认:1234):验证用户PIN通过后,可以访问写在私有区中的数据和使用RSA私钥进行运算。
如果设置了管理员PIN和用户PIN的重试次数。当使用者连续输入错误的次数达到了最大限制的次数,就会被锁死。用户PIN被锁死后可以使用管理员进行解锁,当管理员PIN被锁死后,只能重新进行PKI初始化。
-
公有区和私有区
经过PKI初始化后,ET199中64K用户空间分为公有区和私有区。
- 公有区:存放一般数据的区域,不需要进行用户PIN验证就可以读写。一般数字证书中的证书数据和公钥数据存放在这里
- 私有区:存放保密数据的区域,需要进行用户PIN验证才可以读写。签章数据,数值证书的私钥的属性信息存储在这里。
注:私钥不是存储在这两个区域中的。
-
ET199的中间件
在使用ET199进行身份认证时需要先安装中间件,中间件是进行PKI身份认证时需要的运行环境,包括MS CAPI接口和RSA PKCS#11接口。
C、一些问题的通常处理手段
- 请留意我们的站点 http://www.rockey.com.cn 我们会经常更新这个站点。
- 换另一台计算机进行测试,是否问题还出现。
- 检查计算机是否受病毒感染(病毒可能阻止程序的正常运行)。
D、常见问题
- 什么是USB接口,它有何优点? 答:USB接口的含义是通用串行总线,英文全称是Universal Serial Bus。是一种新的接口标准。可详见www.usb.org。优点是即插即用、支持热插拔、传输速度快、可通过扩展连接多达127个USB设备,不用担心USB多功能锁与打印机等外设的冲突。
- 为什么我的USB多功能锁插上后显示未知设备? 答:一般有3种情况。(1)有干扰或是接触不良,重新插入或者更换计算机上的其它USB插口。(2)ET199超级多功能锁采用无驱设计,在win98二版以上的操作系统使用系统自带的驱动,不需要独立安装驱动。但在不完善的操作系统安装过程中会去掉系统驱动,用户需要在同版本的操作系统种将WINDOWS\Driver Cache\i386\driver.cab文件拷贝到不完善的操作系统的相应目录中。(3)请检查是否关闭了BIOS中的USB支持选项。
- 硬件安装问题? 答:win98二版安装时需要win98的系统安装盘上的base6.cab包。win2000/XP/2003/Vista不需要系统安装盘。如果在计算机上不能认到多功能锁,请使用USB鼠标或者USB键盘来检测计算机的系统是否支持标准HID设备。
- 开发时请注意ET199超级多功能锁的出厂设置。参看ET199超级多功能锁用户手册开始的快速入门及注意事项。
|
|
| |
|
