一種加密設(shè)備生產(chǎn)過程中注入帶簽名的證書的解決方法
【專利摘要】本發(fā)明涉及一種加密設(shè)備生產(chǎn)過程中注入帶簽名的證書的解決方法��,加密機(jī)和加密機(jī)控制臺(tái)都設(shè)置在防火墻的安全內(nèi)網(wǎng)的網(wǎng)區(qū)內(nèi)���;生產(chǎn)環(huán)境PC機(jī)通過互聯(lián)網(wǎng)訪問證書簽名服務(wù)器�;每臺(tái)生產(chǎn)環(huán)境PC機(jī)上外接一個(gè)USB接口的鑒權(quán)硬件加密設(shè)備;其中的RSA公鑰被保存在加密機(jī)上的白名單中��;如果生產(chǎn)環(huán)境PC機(jī)或鑒權(quán)硬件加密設(shè)備被盜���,能夠?qū)⑵鋸募用軝C(jī)的白名單中刪除�。本發(fā)明有益的效果是:能夠采用多臺(tái)PC機(jī)同時(shí)進(jìn)行證書的注入工作���;加密設(shè)備的RSA根密鑰對(duì)得到非常安全的保護(hù),包括:保存RSA根密鑰對(duì)的設(shè)備需要安放在高安全級(jí)別的機(jī)房,防盜��,防止非法訪問�����;經(jīng)過嚴(yán)密的管理措施�,能夠?qū)SA根密鑰對(duì)進(jìn)行備份和恢復(fù)���。
【專利說明】一種加密設(shè)備生產(chǎn)過程中注入帶簽名的證書的解決方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及加密設(shè)備【技術(shù)領(lǐng)域】,尤其是一種加密設(shè)備生產(chǎn)過程中注入帶簽名的證書的解決方法�����。
【背景技術(shù)】
[0002]在硬件加密設(shè)備(TF和USB接口)生產(chǎn)過程中����,用戶場(chǎng)景和需要解決的問題為:1�����、需要為每一個(gè)待出廠的硬件加密設(shè)備注入一個(gè)使用硬件加密設(shè)備生產(chǎn)公司的根密鑰(RSA根私鑰)簽名過的證書��。證書內(nèi)包含的主要信息為:當(dāng)前硬件加密設(shè)備的公鑰和序列號(hào)�����;2��、生產(chǎn)環(huán)境有多臺(tái)PC機(jī)同時(shí)進(jìn)行證書的注入工作�。3�、生產(chǎn)環(huán)境無法提供高安全級(jí)別的機(jī)房。
4��、加密設(shè)備的RSA根密鑰對(duì)需要得到非常安全的保護(hù)�,包括:1)保存RSA根密鑰對(duì)的設(shè)備需要安放在高安全級(jí)別的機(jī)房,防盜���,防止非法訪問�����;2)經(jīng)過嚴(yán)密的管理措施��,能夠?qū)SA根密鑰對(duì)進(jìn)行備份和恢復(fù)��。
【發(fā)明內(nèi)容】
[0003]本發(fā)明要解決上述現(xiàn)有技術(shù)的缺點(diǎn)���,提供一種加密設(shè)備生產(chǎn)過程中注入帶簽名的證書的解決方法���。
[0004]本發(fā)明解決其技術(shù)問題采用的技術(shù)方案:這種加密設(shè)備生產(chǎn)過程中注入帶簽名的證書的解決方法,加密機(jī)和加密機(jī)控制臺(tái)都設(shè)置在防火墻的安全內(nèi)網(wǎng)的網(wǎng)區(qū)內(nèi)��,每臺(tái)加密機(jī)通過USB接口外接一個(gè)加密機(jī)硬件加密設(shè)備����,加密機(jī)硬件加密設(shè)備包含加密設(shè)備生產(chǎn)公司的RSA公私密鑰對(duì);生產(chǎn)環(huán)境PC機(jī)通過互聯(lián)網(wǎng)訪問證書簽名服務(wù)器�,證書簽名服務(wù)器連接在防火墻的DMZ區(qū),證書簽名服務(wù)器采用TCP/IP的方式調(diào)用加密機(jī)的RSA簽名服務(wù)���;每臺(tái)生產(chǎn)環(huán)境PC機(jī)上外接一個(gè)USB接口的鑒權(quán)硬件加密設(shè)備����,鑒權(quán)硬件加密設(shè)備內(nèi)部有一對(duì)鑒權(quán)RSA公私密鑰對(duì)��;其中的RSA公鑰被保存在加密機(jī)上的白名單中�����;如果生產(chǎn)環(huán)境PC機(jī)或鑒權(quán)硬件加密設(shè)備被盜�,能夠?qū)⑵鋸募用軝C(jī)的白名單中刪除;對(duì)每一個(gè)待出廠的硬件加密設(shè)備��,生產(chǎn)環(huán)境PC機(jī)進(jìn)行以下操作:
[0005]I)調(diào)用待出廠的硬件加密設(shè)備的接口����,生成RSA公私密鑰對(duì),并導(dǎo)出序列號(hào)和公鑰����;
[0006]2)使用序列號(hào)和公鑰,填寫X509證書���;
[0007]3)用鑒權(quán)RSA私鑰���,對(duì)填寫好的X509證書進(jìn)行簽名,表明該證書出自受信任的生產(chǎn)環(huán)境PC機(jī)�����;
[0008]4)調(diào)用證書簽名服務(wù)器的RESTFUL接口,將簽名過的X509證書�,和鑒權(quán)RSA公鑰一起發(fā)送給證書簽名服務(wù)器;
[0009]5)證書簽名服務(wù)器收到請(qǐng)求����,調(diào)用加密機(jī)的接口,請(qǐng)求加密設(shè)備生產(chǎn)公司的簽名���;
[0010]6)加密機(jī)收到請(qǐng)求�����,首先判斷鑒權(quán)RSA公鑰是否在白名單中���;如果是,驗(yàn)證X509證書的生產(chǎn)環(huán)境PC機(jī)簽名���;驗(yàn)證通過后�����,使用加密設(shè)備生產(chǎn)公司的RSA根私鑰���,對(duì)X509證書進(jìn)行簽名,并返回給證書簽名服務(wù)器���;
[0011]7)簽名服務(wù)器將加密設(shè)備生產(chǎn)公司簽名后的X509證書返回給生產(chǎn)環(huán)境PC機(jī)����;
[0012]8)生產(chǎn)環(huán)境PC機(jī)將收到的X509證書導(dǎo)入到待出廠的硬件加密設(shè)備中����。
[0013]每臺(tái)生產(chǎn)環(huán)境PC機(jī)能夠通過USB集線器外接多個(gè)待出廠的硬件加密設(shè)備。
[0014]本發(fā)明有益的效果是:能夠采用多臺(tái)PC機(jī)同時(shí)進(jìn)行證書的注入工作�;加密設(shè)備的RSA根密鑰對(duì)得到非常安全的保護(hù),包括:1)保存RSA根密鑰對(duì)的設(shè)備需要安放在高安全級(jí)別的機(jī)房���,防盜��,防止非法訪問����;2)經(jīng)過嚴(yán)密的管理措施����,能夠?qū)SA根密鑰對(duì)進(jìn)行備份和恢復(fù)。
【專利附圖】
【附圖說明】
[0015]圖1是本發(fā)明的硬件結(jié)構(gòu)示意圖1 ;
[0016]圖2是本發(fā)明的硬件結(jié)構(gòu)示意圖2�����。
【具體實(shí)施方式】
[0017]下面結(jié)合實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明:
[0018]如圖所示,這種加密設(shè)備生產(chǎn)過程中注入帶簽名的證書的解決方法���,加密機(jī)和加密機(jī)控制臺(tái)都設(shè)置在防火墻的安全內(nèi)網(wǎng)的網(wǎng)區(qū)內(nèi)�,支持多臺(tái)加密機(jī)集群方式工作����,支持熱插拔,加密機(jī)可以隨時(shí)增加和減少�����;每臺(tái)加密機(jī)通過USB接口外接一個(gè)加密機(jī)硬件加密設(shè)備��,加密機(jī)硬件加密設(shè)備包含加密設(shè)備生產(chǎn)公司的RSA公私密鑰對(duì)�。生產(chǎn)環(huán)境PC機(jī)通過互聯(lián)網(wǎng)訪問證書簽名服務(wù)器,為了保障安全����,可以使用HTTPS或VPN方式訪問。證書簽名服務(wù)器連接在防火墻的DMZ區(qū)����,證書簽名服務(wù)器采用TCP/IP的方式調(diào)用加密機(jī)的RSA簽名服務(wù)���;每臺(tái)生產(chǎn)環(huán)境PC機(jī)上外接一個(gè)USB接口的鑒權(quán)硬件加密設(shè)備,鑒權(quán)硬件加密設(shè)備內(nèi)部有一對(duì)鑒權(quán)RSA公私密鑰對(duì)����;其中的RSA公鑰被保存在加密機(jī)上的白名單中�;如果生產(chǎn)環(huán)境PC機(jī)或鑒權(quán)硬件加密設(shè)備被盜,能夠?qū)⑵鋸募用軝C(jī)的白名單中刪除���;對(duì)每一個(gè)待出廠的硬件加密設(shè)備���,生產(chǎn)環(huán)境PC機(jī)進(jìn)行以下操作:
[0019]I)調(diào)用待出廠的硬件加密設(shè)備的接口,生成RSA公私密鑰對(duì)��,并導(dǎo)出序列號(hào)和公鑰�����;
[0020]2)使用序列號(hào)和公鑰��,填寫X509證書�����;
[0021]3)用鑒權(quán)RSA私鑰,對(duì)填寫好的X509證書進(jìn)行簽名��,表明該證書出自受信任的生產(chǎn)環(huán)境PC機(jī)�����;
[0022]4)調(diào)用證書簽名服務(wù)器的RESTFUL接口����,將簽名過的X509證書,和鑒權(quán)RSA公鑰一起發(fā)送給證書簽名服務(wù)器�����;
[0023]5)證書簽名服務(wù)器收到請(qǐng)求���,調(diào)用加密機(jī)的接口����,請(qǐng)求加密設(shè)備生產(chǎn)公司的簽名��;
[0024]6)加密機(jī)收到請(qǐng)求�,首先判斷鑒權(quán)RSA公鑰是否在白名單中����;如果是����,驗(yàn)證X509證書的生產(chǎn)環(huán)境PC機(jī)簽名;驗(yàn)證通過后�,使用加密設(shè)備生產(chǎn)公司的RSA根私鑰,對(duì)X509證書進(jìn)行簽名����,并返回給證書簽名服務(wù)器�;
[0025]7)簽名服務(wù)器將加密設(shè)備生產(chǎn)公司簽名后的X509證書返回給生產(chǎn)環(huán)境PC機(jī);
[0026]8)生產(chǎn)環(huán)境PC機(jī)將收到的X509證書導(dǎo)入到待出廠的硬件加密設(shè)備中�。[0027]名詞解釋:
[0028]1、硬件加密設(shè)備生產(chǎn)公司:生產(chǎn)硬件加密設(shè)備的公司�����,例如:安徽云盾�����。
[0029]2����、硬件加密設(shè)備生產(chǎn)公司的RSA根密鑰:硬件加密設(shè)備生產(chǎn)公司采用硬件生成一對(duì)RSA公私密鑰對(duì)�����,其中的私鑰用來進(jìn)行簽名�����。
[0030]3�����、待出廠的硬件加密設(shè)備:每個(gè)硬件加密設(shè)備在出廠前����,需要使用生產(chǎn)環(huán)境PC機(jī)進(jìn)行一些初始化工作�����,此時(shí)的硬件加密設(shè)備被稱為待出廠的硬件加密設(shè)備��。
[0031]4�、白名單:生產(chǎn)環(huán)境PC機(jī)只有在得到授權(quán)的時(shí)候,才能夠進(jìn)行待出廠硬件加密設(shè)備的初始化工作��。白名單用來完成授權(quán)。在一個(gè)文件中�����,羅列出合法的生產(chǎn)環(huán)境PC機(jī)外接的鑒權(quán)硬件加密設(shè)備的相關(guān)信息(序列號(hào)����,公鑰),就生成了白名單���。
[0032]除上述實(shí)施例外�,本發(fā)明還可以有其他實(shí)施方式�����。凡采用等同替換或等效變換形成的技術(shù)方案�,均落在本發(fā)明要求的保護(hù)范圍�。
【權(quán)利要求】
1.一種加密設(shè)備生產(chǎn)過程中注入帶簽名的證書的解決方法,其特征在于:加密機(jī)和加密機(jī)控制臺(tái)都設(shè)置在防火墻的安全內(nèi)網(wǎng)的網(wǎng)區(qū)內(nèi)��,每臺(tái)加密機(jī)通過USB接口外接一個(gè)加密機(jī)硬件加密設(shè)備���,加密機(jī)硬件加密設(shè)備包含加密設(shè)備生產(chǎn)公司的RSA公私密鑰對(duì)�;生產(chǎn)環(huán)境PC機(jī)通過互聯(lián)網(wǎng)訪問證書簽名服務(wù)器,證書簽名服務(wù)器連接在防火墻的DMZ區(qū)���,證書簽名服務(wù)器采用TCP/IP的方式調(diào)用加密機(jī)的RSA簽名服務(wù)����;每臺(tái)生產(chǎn)環(huán)境PC機(jī)上外接一個(gè)USB接口的鑒權(quán)硬件加密設(shè)備�����,鑒權(quán)硬件加密設(shè)備內(nèi)部有一對(duì)鑒權(quán)RSA公私密鑰對(duì)����;其中的RSA公鑰被保存在加密機(jī)上的白名單中;如果生產(chǎn)環(huán)境PC機(jī)或鑒權(quán)硬件加密設(shè)備被盜���,能夠?qū)⑵鋸募用軝C(jī)的白名單中刪除����;對(duì)每一個(gè)待出廠的硬件加密設(shè)備��,生產(chǎn)環(huán)境PC機(jī)進(jìn)行以下操作: 1)調(diào)用待出廠的硬件加密設(shè)備的接口�����,生成RSA公私密鑰對(duì),并導(dǎo)出序列號(hào)和公鑰���; 2)使用序列號(hào)和公鑰���,填寫X509證書; 3)用鑒權(quán)RSA私鑰�,對(duì)填寫好的X509證書進(jìn)行簽名,表明該證書出自受信任的生產(chǎn)環(huán)境PC機(jī)�����; 4)調(diào)用證書簽名服務(wù)器的RESTFUL接口��,將簽名過的X509證書�����,和鑒權(quán)RSA公鑰一起發(fā)送給證書簽名服務(wù)器��; 5)證書簽名服務(wù)器收到請(qǐng)求�����,調(diào)用加密機(jī)的接口��,請(qǐng)求加密設(shè)備生產(chǎn)公司的簽名�; 6)加密機(jī)收到請(qǐng)求,首先判斷鑒權(quán)RSA公鑰是否在白名單中��;如果是�,驗(yàn)證X509證書的生產(chǎn)環(huán)境PC機(jī)簽名;驗(yàn)證通過后��,使用加密設(shè)備生產(chǎn)公司的RSA根私鑰��,對(duì)X509證書進(jìn)行簽名�����,并返回給證書簽名服務(wù)器���; 7)簽名服務(wù)器將加密設(shè)備生產(chǎn)公司簽名后的X509證書返回給生產(chǎn)環(huán)境PC機(jī)�����; 8)生產(chǎn)環(huán)境PC機(jī)將收到的X509證書導(dǎo)入到待出廠的硬件加密設(shè)備中�����。
2.根據(jù)權(quán)利要求1所述的加密設(shè)備生產(chǎn)過程中注入帶簽名的證書的解決方法����,其特征在于:每臺(tái)生產(chǎn)環(huán)境PC機(jī)能夠通過USB集線器外接多個(gè)待出廠的硬件加密設(shè)備。
【文檔編號(hào)】H04L9/32GK103825741SQ201410035191
【公開日】2014年5月28日 申請(qǐng)日期:2014年1月24日 優(yōu)先權(quán)日:2014年1月24日
【發(fā)明者】趙彬, 沈?qū)? 羅鳴, 陳波, 肖先璽 申請(qǐng)人:安徽云盾信息技術(shù)有限公司