30所加密机的使用的一些常用诊断

金融数据加密机是金融数据安全保护的一种有效物理工具，它能可靠、安全地保护金融网络中的PIN（个人身份识别号），包括对PIN的加/解密、验证及转发；消息来源正确性验证（MAC）的产生、验证及转发，有效地防止伪卡的诈骗行为。加密机还有完善的密钥管理体系，能提供由全硬件噪声源产生的随机密钥以及密钥的人工输入接口。能有效防止通信信道上的主动攻击行为。该加密机本身提供多种物理接口，能方便地与各种银行主机系统相连接。

以下加密机201为例，介绍加密机使用的一些常用诊断。
加密机IP为172.17.248.201
加密机端口为：6666

1. 要使用加密机，首先应该确定网络上的连通。

248.1是加密机的网关
ping 172.17.248.1  
应该可以连通。
 
2. 确定当前主机是否有权限访问加密机

ping 172.17.248.201
应该可以连通。

tn 172.17.248.201 6666

如果有权限，则出现Escape 字样。Trying...
Connected to 172.17.248.201.
Escape character is '^T'.

（按Ctrl+t就可以输入 ^T字符）
否则可能需要开通该主机访问加密机的权限。
这时候，需要提供该主机访问加密机的IP，
（当一个主机有多网卡的时候，该主机的Telnet IP并不一定就是该主机用来访问248网段的IP，请注意）


3. 和加密机的报文交换

3.1 发送报文给加密机以后没有反应？

通常因为发送给加密机的报文不符合加密机的报文规范，
被加密机丢弃。
由于加密机处于性能的考虑没有做很多的输入检查，
所以发送给加密机的报文需要应用保证正确。
比如BMK_INDEX的范围是1～3999，
如果超过这个范围，错误的报文会引起加密机处理错误。

3.2 加密机应答报文不是正确报文？

找不到加密机里面相应的配置或者算法等报文不正确性会引起加密机返回错误。
如果加密机的应答报文如果去掉了报文头第一位是'E'，
则说明出现了加密机返回的是错误报文。请查阅相关文档和错误码判断错误。

4. 连接加密机有时候失败？

连接加密机有时候失败,有时候成功,这说明不适用1和2的情况.
这时候可能是加密机保持的连接太多了,导致连接失败.
加密机可以同时保持的TCP长连接上限是200.
可能是应用同时保持过多连接,被加密机拒绝.

可以写一个简单的脚本命令,来监控主机连接加密机的数目,比如:
while true
do
netstat -an | grep 248.201 |wc
sleep 1
done