一種加密設備的配置方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種加密設備的配置方法及系統(tǒng),該方法包括:啟動OpenSSL的engine機制�,基于所述engine機制獲取目標加密設備的認證信息和配置信息;基于所述engine機制根據(jù)所述認證信息和配置信息實現(xiàn)HTTPS網(wǎng)站與所述目標加密設備之間的認證配置���;并在認證成功后�,基于所述engine機制采用所述目標加密設備對所述HTTPS網(wǎng)站的SSL/TLS握手過程中待私鑰解密或簽名的數(shù)據(jù)進行解密或簽名運算���。本發(fā)明技術方案通過engine機制實現(xiàn)加密設備的配置���,解決現(xiàn)有加密設備的配置過程操作復雜,風險難以控制的問題�,能夠?qū)⒎掌鞫说呐渲煤托薷慕档阶畹停唵?��、可靠地實現(xiàn)加密設備的配置���,促進加密設備的部署和推廣。
【專利說明】
一種加密設備的配置方法及系統(tǒng)
技術領域
[0001]本發(fā)明涉及通信技術領域��,尤其涉及一種加密設備的配置方法及系統(tǒng)���。
【背景技術】
[0002]HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer�����,安全套接字層超文本傳輸協(xié)議)�����,是以安全為目標的HTTP通道����,即HTTP的安全版�����。HTTPS的安全基礎是SSL/TLS協(xié)議���,HTTPS默認使用端口 443����,而不是像HTTP那樣默認使用端口 80來通信。HTTPS使用X.509數(shù)字認證以確認網(wǎng)站或者用戶的身份���。HTTPS因為安全可靠��,并且由瀏覽器內(nèi)置支持�����,被廣泛用于互聯(lián)網(wǎng)的網(wǎng)站和APP���。
[0003]目前,HTTPS網(wǎng)站使用加密設備時����,如KeyOffload云,HTTPS服務器需要按照加密設備的要求��,修改SSL代碼��,配置加密設備以及相關認證和參數(shù)信息����,并且實現(xiàn)加密設備通信協(xié)議��,完成與KeyOffload云的認證,將帶解密和簽名數(shù)據(jù)交由加密設備處理��,接收返回的結(jié)果��,然后完成后續(xù)SSL/TLS握手和安全通信����。
[0004]但是,現(xiàn)有HTTPS網(wǎng)站在進行加密設備的配置過程中����,HTTPS服務器需要完成兩個主要的修改,一是增加相關的KeyOfTload云配置信息����,二是修改SSL的相關處理代碼。在實際使用過程中���,增加配置和修改代碼����,操作都比較復雜,風險較難控制���,不易于KeyOfTload云部署和推廣���。
【發(fā)明內(nèi)容】
[0005]鑒于上述問題,本發(fā)明提出了一種加密設備的配置方法及系統(tǒng)��,有效地解決了現(xiàn)有加密設備的配置過程操作復雜�,風險難以控制的問題。
[0006]根據(jù)本發(fā)明的第一方面����,提供了一種加密設備的配置方法,該方法包括:
[0007]啟動OpenSSL的engine機制�,基于所述engine機制獲取目標加密設備的認證信息和配置信息;
[0008]基于所述engine機制根據(jù)所述認證信息和配置信息實現(xiàn)HTTPS網(wǎng)站與所述目標加密設備之間的認證配置�����,以及
[0009]認證成功后����,基于所述engine機制采用所述目標加密設備對所述HTTPS網(wǎng)站的SSL/TLS握手過程中待私鑰解密或簽名的數(shù)據(jù)進行解密或簽名運算。
[0010]可選地����,所述基于所述engine機制獲取目標加密設備的認證信息和配置信息�,包括:
[0011 ]基于所述engine機制����,從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息,其中����,所述偽裝私鑰是根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及目標加密設備的認證信息和配置信息生成的�。
[0012]可選地,所述從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前�����,所述方法還包括:
[0013]發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備��,以使所述目標加密設備生成認證信息和配置信息��,并根據(jù)所述RSA或ECC私鑰以及生成的認證信息和配置信息生成所述偽裝私鑰���;
[0014]接收所述目標加密設備返回的偽裝私鑰�。
[0015]可選地����,所述從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前����,所述方法還包括:
[0016]發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備�����,以使所述目標加密設備生成認證信息和配置信息�;
[0017]接收所述目標加密設備返回的認證信息和配置信息,根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及接收到的認證信息和配置信息生成所述偽裝私鑰����。
[0018]可選地,所述生成所述偽裝私鑰���,包括:
[0019]將所述目標加密設備的認證信息和配置信息合并成至少一個字節(jié)數(shù)組����,將所述字節(jié)數(shù)組生成至少一個數(shù)據(jù)信息��;
[0020]將所述數(shù)據(jù)信息作為附加參數(shù)封裝在所述HTTPS網(wǎng)站的RSA或ECC私鑰中��,生成所述偽裝私鑰。
[0021 ] 可選地����,所述基于所述engine機制獲取目標加密設備的認證信息和配置信息,包括:
[0022]查找預先設置的配置文件����,所述配置文件中預先寫入有所述目標加密設備的認證信息和配置信息;
[0023]基于所述engine機制讀取所述配置文件���,以獲取所述目標加密設備的認證信息和配置信息�。
[0024]根據(jù)本發(fā)明的第二方面�,提供了一種加密設備的配置系統(tǒng)����,該系統(tǒng)包括:
[0025]獲取模塊,用于啟動OpenSSL的engine機制�,基于所述engine機制獲取目標加密設備的認證信息和配置信息;
[0026]配置模塊��,用于基于所述engine機制根據(jù)所述認證信息和配置信息進行HTTPS網(wǎng)站與所述目標加密設備之間的認證和配置�;
[0027]處理模塊,用于在認證成功后���,基于所述engine機制采用所述目標加密設備對所述HTTPS網(wǎng)站的SSL/TLS握手過程中待私鑰解密或簽名的數(shù)據(jù)進行解密或簽名運算����。
[0028]可選地,所述獲取模塊��,具體用于基于所述engine機制�����,從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息��,其中���,所述偽裝私鑰是根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及目標加密設備的認證信息和配置信息生成的;或
[0029]查找預先設置的配置文件�,所述配置文件中預先寫入有所述目標加密設備的認證信息和配置信息�����,基于所述engine機制讀取所述配置文件���,以獲取所述目標加密設備的認證信息和配置信息����。
[0030]可選地,所述系統(tǒng)還包括:
[0031]第一發(fā)送模塊���,用于在所述獲取模塊從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前���,發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備,以使所述目標加密設備生成認證信息和配置信息�,并根據(jù)所述RSA或ECC私鑰以及生成的認證信息和配置信息生成所述偽裝私鑰;
[0032]第一接收模塊�����,用于接收所述目標加密設備返回的偽裝私鑰���。
[0033]可選地��,所述系統(tǒng)還包括:
[0034]第二發(fā)送模塊����,用于在所述獲取模塊從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前�,發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備��,以使所述目標加密設備生成認證信息和配置信息����;
[0035]第二接收模塊����,用于接收所述目標加密設備返回的認證信息和配置信息�,根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及接收到的認證信息和配置信息生成所述偽裝私鑰。
[0036]本發(fā)明提供的加密設備的配置方法及系統(tǒng)�����,通過engine機制實現(xiàn)加密設備的配置��,解決現(xiàn)有加密設備的配置過程操作復雜��,風險難以控制的問題��,能夠?qū)⒎掌鞫说呐渲煤托薷慕档阶畹?���,簡單、可靠地實現(xiàn)加密設備的配置����,促進加密設備的部署和推廣。
【附圖說明】
[0037]通過閱讀下文優(yōu)選實施方式的詳細描述����,各種其他的優(yōu)點和益處對于本領域普通技術人員將變得清楚明了���。附圖僅用于示出優(yōu)選實施方式的目的,而并不認為是對本發(fā)明的限制���。而且在整個附圖中����,用相同的參考符號表示相同的部件���。在附圖中:
[0038]圖1為本發(fā)明實施例提出的加密設備的配置方法的流程圖����;
[0039]圖2為本發(fā)明實施例中engine機制的實現(xiàn)原理圖�����;
[0040]圖3為本發(fā)明實施例中實現(xiàn)偽裝私鑰的封裝的原理圖���。
[0041]圖4為本發(fā)明實施例提出的加密設備的配置方法的具體應用場景圖;
[0042]圖5為本發(fā)明另一實施例提出的加密設備的配置系統(tǒng)的結(jié)構示意圖��。
【具體實施方式】
[0043]下面詳細描述本發(fā)明的實施例,所述實施例的示例在附圖中示出��,其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件�。下面通過參考附圖描述的實施例是示例性的,僅用于解釋本發(fā)明��,而不能解釋為對本發(fā)明的限制�����。
[0044]圖1示出了本發(fā)明實施例的加密設備的配置方法的流程圖��。參照圖1����,本發(fā)明實施例提出的加密設備的配置方法具體包括以下步驟:
[0(Μ5] SlOl、啟動OpenSSL的engine機制����,基于所述engine機制獲取目標加密設備的認證信息和配置信息。
[0046] 實際應用中�����,HTTPS網(wǎng)站大部分使用OpenSSL來實現(xiàn)SSL/TLS協(xié)議�����。OpenSSL是一個開放源代碼安全項目,它的目標是開發(fā)一個健壯的����、商業(yè)級的、完整的開放源代碼的工具包�����,用強大的加密算法來實現(xiàn)安全的Socket層(Secure Sockets Layer,SSL v2/v3)和傳輸層的安全性(Transport Layer Security,TLS vl)����。它包含了完整的加密算法,數(shù)字簽名算法及證書算法等��。
[0047 ]需要說明的是�����,本發(fā)明實施例中的engine機制是為了使OpenSSL能夠透明地使用第三方提供的加密設備進行加密�,其中,加密設備包括軟件加密庫或者硬件加密設備�。OpenSSL的Engine機制提供了一個通用地加密接口,能夠與絕大部分加密庫或者加密設備協(xié)調(diào)工作�����。
[0048]本實施例中的認證信息�,包括認證賬號(以下稱ID)和認證口令(以下稱Pwd),配置信息����,包括加密設備的IP或DNS(以下稱IP)、以及是否啟用的標志(以下稱Flag)�����。
[0049]具體的��,所述加密設備可以為獨立的RSA/ECC運算主機或者集群����,以下稱為KeyOff load云。KeyOff load云可同時支持多個HTTPS網(wǎng)站���,以實現(xiàn)密碼計算資源的充分利用�����。
[0050]具體實現(xiàn)上����,KeyOff load云可以采用專門的硬件加密卡,包括ASIC����、FPGA和GPU,來實現(xiàn)RSA/ECC密碼運算��。同時KeyOf f load云作為云平臺的一個組成部分����,為HTTPS網(wǎng)站提供SaaS的網(wǎng)絡API接口,HTTPS網(wǎng)站的SSL/TLS可以直接調(diào)用該API����,將RSA私鑰解密和RSA/ECC私鑰簽名運算交由KeyOf f load云完成。本發(fā)明實施例中將私鑰運算“卸載”到遠程加密設備進行處理的方法稱為KeyOff load機制����,KeyOff load云即KeyOff load機制中的加密設備。其中��,加密設備的認證信息和配置信息包括KeyOffload云的認證賬號(以下稱ID)和認證口令(以下稱Pwd)����、Key0ffload云的IP或DNS(以下稱IP)�����、以及是否啟用的標志(以下稱Flag)�。[0051 ] S102�、基于所述engine機制根據(jù)所述認證信息和配置信息實現(xiàn)HTTPS網(wǎng)站與所述目標加密設備之間的認證配置����。
[0052]在實際應用中,基于所述engine機制��,OpenSSL提供一個engine(以下稱engineK)���。在engineK里面提取KeyOffload云相關認證信息和參數(shù)信息�����,并且實現(xiàn)加密設備����,如KeyOff load云通信協(xié)議����,根據(jù)提取的認證信息和配置信息實現(xiàn)HTTPS網(wǎng)站與目標加密設備之間的認證配置�����。這樣HTTPS服務器就做到了不改動SSL/TLS代碼��,將HTTPS服務器的配置和修改降到最低�����。
[0053]S103����、認證成功后���,基于所述engine機制采用所述目標加密設備對所述HTTPS網(wǎng)站的SSL/TLS握手過程中待私鑰解密或簽名的數(shù)據(jù)進行解密或簽名運算�����。
[0054]本發(fā)明實施例提供的加密設備的配置方法��,通過engine機制獲取目標加密設備的認證信息和配置信息���,并根據(jù)獲取的認證信息和配置信息實現(xiàn)HTTPS網(wǎng)站與所述目標加密設備之間的認證配置,解決現(xiàn)有加密設備的配置過程操作復雜���,風險難以控制的問題,能夠?qū)⒎掌鞫说呐渲煤托薷慕档阶畹停唵?��、可靠地實現(xiàn)加密設備的配置�����,促進加密設備的部署和推廣。
[0055]在本發(fā)明的一個實施例中�,圖1所示步驟SlOl中的基于所述engine機制獲取目標加密設備的認證信息和配置信息�,包括:
[0056]基于所述engine機制,從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息���,其中���,所述偽裝私鑰是根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及目標加密設備的認證信息和配置信息生成的。
[0057]本發(fā)明實施例中�,將KeyOffload相關認證和參數(shù)信息,包括KeyOffload云的認證賬號(以下稱ID)和認證口令(以下稱Pwd)���、1^7(^10&(1云的1?或0略(以下稱1?)、以及是否啟用的標志(以下稱Flag)�����,“偽裝”成HTTPS服務器的私鑰����,以下稱偽裝私鑰,HTTPS服務器基于engine機制��,從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息���,以實現(xiàn)目標加密設備的認證信息和配置信息的獲取��。
[0058]在實際應用中���,在HTTPS服務器端用偽裝私鑰替換下原有的實際私鑰,并為SSL/TLS配置啟用engineK ATTPS服務器和SSL/TLS正常加載偽裝私鑰和engineK���。在HTTPS服務器進行SSL/TLS握手過程中����,涉及到私鑰解密和私鑰簽名時���,HTTPS服務器會將偽裝私鑰傳遞和待解密或簽名數(shù)據(jù)傳遞給engineLengineK解析偽裝私鑰���,取出ID、Pwd����、IP���、DNS和Flag等信息,首先根據(jù)信息判斷是否啟用KeyOff load機制�。如果不啟用KeyOff load機制(實際私鑰的情況),則調(diào)用默認的解密/簽名函數(shù)�,完整解密/簽名,返回結(jié)果給上層SSL/TLS模塊���;如果啟用KeyOf f load機制�����,貝IjengineK調(diào)用KeyOf f load協(xié)議����,和KeyOf f load云通信���,完成與和KeyOff load云的認證,將待解密或簽名數(shù)據(jù)傳給和KeyOff load云�,并接收KeyOff load云返回的結(jié)果,返回結(jié)果給上層SSL/TLS模塊��。Engine機制的實現(xiàn)原理如圖2所示。
[0059]在本發(fā)明的一個可選實施例中��,所述從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前�����,所述方法還包括:
[0060]發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備����,以使所述目標加密設備生成認證信息和配置信息,并根據(jù)所述RSA或ECC私鑰以及生成的認證信息和配置信息生成所述偽裝私鑰����;
[0061 ]接收所述目標加密設備返回的偽裝私鑰。
[0062]在本發(fā)明的另一個可選實施例中��,所述從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前����,所述方法還包括:
[0063]發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備,以使所述目標加密設備生成認證信息和配置信息��;
[0064]接收所述目標加密設備返回的認證信息和配置信息��,根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及接收到的認證信息和配置信息生成所述偽裝私鑰�����。
[0065]本發(fā)明實施例中,在從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前�����,還包括偽裝私鑰的封裝步驟���。具體的�����,如圖3所示���,偽裝私鑰的封裝可以通過兩個途徑完成。一個途徑是��,將HTTPS服務器提交私鑰給KeyOffload云的時候�,KeyOffload云生成ID、Pwd�、IP、DNS和Flag等信息�,直接生成偽裝私鑰��,并返回偽裝私鑰。另外一個途徑是��,將HTTPS服務器提交私鑰給KeyOff load云的時候�����,KeyOff load云生成ID��、Pwd�、IP、DNS和Flag等信息�,返回這些信息,在HTTPS服務器完成偽裝私鑰的封裝�。
[0066]下面以云主機為例,通過一個具體實施例對本發(fā)明技術方案進行清楚地解釋說明���。
[0067]云主機上的HTTPS網(wǎng)站A部署了單向認證的RSA證書C�����,將RSA私鑰K提交給加密設備���,本實施例中采用KeyOff load云實現(xiàn)作為加密設備,KeyOff load云為網(wǎng)站A生成KeyOff load云的認證信息和配置信息,對所述私鑰K以及認證和配置信息封裝并返回一個偽裝私鑰K2����。網(wǎng)站A配置SSL/TLS的engine為engineK,并為SSL/TLS配置證書C和偽裝私鑰K2o
[0068]用戶通過HTTPS訪問網(wǎng)站Α�����,在用戶瀏覽器和網(wǎng)站A完成SSL/TLS握手的過程中�,網(wǎng)站A需要處理RSA私鑰解密運算時,HTTPS服務器將偽裝私鑰K2和待解密數(shù)據(jù)傳給engineK�。engineK解析偽裝私鑰K2,提取相關認證信息和配置信息�,然后使用該認證信息和配置信息與KeyOffload云通信,完成與Key Offload云的身份認證���,并將待解密數(shù)據(jù)傳遞給KeyOff load云�����,KeyOff load云使用對應的實際私鑰完成解密�����,將解密結(jié)果返回給engineK���,engineK將解密結(jié)果返回給上層SSL/TLS模塊��。HTTPS服務器完成后續(xù)SSL/TLS握手,具體如附圖4所示��。
[0069]在本發(fā)明的一個實施例中�����,所述生成所述偽裝私鑰的步驟具體包括:將所述目標加密設備的認證信息和配置信息合并成至少一個字節(jié)數(shù)組�����,將所述字節(jié)數(shù)組生成至少一個數(shù)據(jù)信息;將所述數(shù)據(jù)信息作為附加參數(shù)封裝在所述HTTPS網(wǎng)站的RSA或ECC私鑰中����,生成所述偽裝私鑰。
[0070]在實際應用中�����,生成偽裝私鑰的流程具體如下:將KeyOff load云的認證信息和配置信息���,如ID��、Pwd��、IP和Flag等信息���,合并成一個或多個字節(jié)數(shù)組�����,在這些字節(jié)數(shù)組上構造成一個或者多個大整數(shù)����,將得到的大整數(shù)作為HTTPS服務器的RSA或ECC私鑰里面的參數(shù)�����,從而封裝出偽裝私鑰�。
[0071 ]此外,在本發(fā)明的另一個可選實施例中�,圖1所示步驟SlOl中的基于所述engine機制獲取目標加密設備的認證信息和配置信息,包括:查找預先設置的配置文件���,所述配置文件中預先寫入有所述目標加密設備的認證信息和配置信息;基于所述engine機制讀取所述配置文件�����,以獲取所述目標加密設備的認證信息和配置信息�����。
[0072]本發(fā)明技術方案中也可以在HTTPS網(wǎng)站中使用實際私鑰����,但將相關認證信息和配置信息寫入預先設置的配置文件���,engineK通過讀取該配置文件來獲取目標加密設備的認證信息和配置信息��。該方法配置簡單����,容易實現(xiàn)�,進一步促進了KeyOff load云的部署和推廣。
[0073]可理解的��,本發(fā)明實施例中的HTTPS網(wǎng)站不局限于云主機�,同樣也適用于物理主機。
[0074]本發(fā)明實施例提供的加密設備的配置方法不局限于網(wǎng)站的HTTPS加速�����,也適用其他基于SSL/TLS的服務器加速。
[0075]本發(fā)明實施例提供的加密設備的配置方法也適用于國密SM2算法(ECC算法變種)和國密SSL協(xié)議(SSL/TLS變種)等多種加密算法�。
[0076]本發(fā)明實施例中提供的加密設備的配置方法不僅可以基于OpenSSLEngine實現(xiàn),同樣適用于Java語言環(huán)境下的JCE機制��。
[0077]對于方法實施例�,為了簡單描述,故將其都表述為一系列的動作組合�,但是本領域技術人員應該知悉,本發(fā)明實施例并不受所描述的動作順序的限制����,因為依據(jù)本發(fā)明實施例,某些步驟可以采用其他順序或者同時進行���。其次��,本領域技術人員也應該知悉���,說明書中所描述的實施例均屬于優(yōu)選實施例,所涉及的動作并不一定是本發(fā)明實施例所必須的�。
[0078]圖5示出了本發(fā)明實施例的加密設備的配置系統(tǒng)的結(jié)構示意圖。
[0079]參照圖5�,本發(fā)明實施例的加密設備的配置系統(tǒng),獲取模塊501����、配置模塊502以及處理模塊503����,其中����,獲取模塊501用于啟動OpenSSL的engine機制,基于所述engine機制獲取目標加密設備的認證信息和配置信息��;配置模塊502用于基于所述engine機制根據(jù)所述認證信息和配置信息進行HTTPS網(wǎng)站與所述目標加密設備之間的認證和配置;處理模塊503用于在認證成功后��,基于所述engine機制采用所述目標加密設備對所述HTTPS網(wǎng)站的SSL/TLS握手過程中待私鑰解密或簽名的數(shù)據(jù)進行解密或簽名運算�。
[0080]在本發(fā)明的一個可選實施例中���,所述獲取模塊501�,具體用于基于所述engine機制���,從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息����,其中���,所述偽裝私鑰是根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及目標加密設備的認證信息和配置信息生成的;或
[0081]查找預先設置的配置文件�,所述配置文件中預先寫入有所述目標加密設備的認證信息和配置信息,基于所述engine機制讀取所述配置文件�,以獲取所述目標加密設備的認證信息和配置信息。
[0082]在本發(fā)明的一個可選實施例中�����,所述系統(tǒng)還包括:
[0083]第一發(fā)送模塊���,用于在所述獲取模塊從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前��,發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備���,以使所述目標加密設備生成認證信息和配置信息,并根據(jù)所述RSA或ECC私鑰以及生成的認證信息和配置信息生成所述偽裝私鑰��。具體的���,所述第一發(fā)送模塊����,具體用于將所述目標加密設備的認證信息和配置信息合并成至少一個字節(jié)數(shù)組����,將所述字節(jié)數(shù)組生成至少一個數(shù)據(jù)信息;將所述數(shù)據(jù)信息作為附加參數(shù)封裝在所述HTTPS網(wǎng)站的RSA或ECC私鑰中�����,生成所述偽裝私鑰�����。
[0084]第一接收模塊�,用于接收所述目標加密設備返回的偽裝私鑰����。
[0085]在本發(fā)明的另一個可選實施例中,所述系統(tǒng)還包括:
[0086]第二發(fā)送模塊�����,用于在所述獲取模塊從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前�,發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備���,以使所述目標加密設備生成認證信息和配置信息�;
[0087]第二接收模塊�,用于接收所述目標加密設備返回的認證信息和配置信息����,根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及接收到的認證信息和配置信息生成所述偽裝私鑰��。進一步地�����,所述第二接收模塊����,具體用于將所述目標加密設備的認證信息和配置信息合并成至少一個字節(jié)數(shù)組,將所述字節(jié)數(shù)組生成至少一個數(shù)據(jù)信息;將所述數(shù)據(jù)信息作為附加參數(shù)封裝在所述HTTPS網(wǎng)站的RSA或ECC私鑰中�,生成所述偽裝私鑰。
[0088]對于系統(tǒng)實施例而言�����,由于其與方法實施例基本相似���,所以描述的比較簡單�,相關之處參見方法實施例的部分說明即可�����。
[0089]綜上所述,本發(fā)明實施例提供的加密設備的配置方法及系統(tǒng)���,通過engine機制實現(xiàn)加密設備的配置�����,解決現(xiàn)有加密設備的配置過程操作復雜�,風險難以控制的問題��,能夠?qū)⒎掌鞫说呐渲煤托薷慕档阶畹?,簡單、可靠地實現(xiàn)加密設備的配置��,促進加密設備的部署和推廣�。
[0090]通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本發(fā)明可以通過硬件實現(xiàn)��,也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)�����?���;谶@樣的理解,本發(fā)明的技術方案可以以軟件產(chǎn)品的形式體現(xiàn)出來����,該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-R0M,U盤�����,移動硬盤等)中����,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器��,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法�����。
[0091]本領域技術人員可以理解附圖只是一個優(yōu)選實施例的示意圖��,附圖中的模塊或流程并不一定是實施本發(fā)明所必須的��。
[0092]本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分布于實施例的裝置中�,也可以進行相應變化位于不同于本實施例的一個或多個裝置中����。上述實施例的單元可以合并為一個單元�,也可以進一步拆分成多個子模塊。
[0093]以上所述僅是本發(fā)明的部分實施方式�,應當指出,對于本技術領域的普通技術人員來說���,在不脫離本發(fā)明原理的前提下�,還可以做出若干改進和潤飾�����,這些改進和潤飾也應視為本發(fā)明的保護范圍����。
【主權項】
1.一種加密設備的配置方法,其特征在于��,該方法包括: 啟動OpenSSL的engine機制���,基于所述engine機制獲取目標加密設備的認證信息和配置信息�����; 基于所述engine機制根據(jù)所述認證信息和配置信息實現(xiàn)HTTPS網(wǎng)站與所述目標加密設備之間的認證配置��,以及 認證成功后����,基于所述engine機制采用所述目標加密設備對所述HTTPS網(wǎng)站的SSL/TLS握手過程中待私鑰解密或簽名的數(shù)據(jù)進行解密或簽名運算�����。2.根據(jù)權利要求1所述的方法��,其特征在于���,所述基于所述engine機制獲取目標加密設備的認證信息和配置信息��,包括: 基于所述engine機制����,從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息��,其中��,所述偽裝私鑰是根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及所述目標加密設備的認證信息和配置信息生成的���。3.根據(jù)權利要求2所述的方法���,其特征在于����,所述從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前���,所述方法還包括: 發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備�,以使所述目標加密設備生成認證信息和配置信息�����,并根據(jù)所述RSA或ECC私鑰以及生成的認證信息和配置信息生成所述偽裝私鑰�; 接收所述目標加密設備返回的偽裝私鑰。4.根據(jù)權利要求2所述的方法��,其特征在于���,所述從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前���,所述方法還包括: 發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備,以使所述目標加密設備生成認證信息和配置信息�; 接收所述目標加密設備返回的認證信息和配置信息�����,根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及接收到的認證信息和配置信息生成所述偽裝私鑰。5.根據(jù)權利要求3或4所述的方法��,其特征在于��,所述生成所述偽裝私鑰���,包括: 將所述目標加密設備的認證信息和配置信息合并成至少一個字節(jié)數(shù)組�����,將所述字節(jié)數(shù)組生成至少一個數(shù)據(jù)信息��; 將所述數(shù)據(jù)信息作為附加參數(shù)封裝在所述HTTPS網(wǎng)站的RSA或ECC私鑰中,生成所述偽裝私鑰���。6.根據(jù)權利要求1所述的方法�,其特征在于��,所述基于所述engine機制獲取目標加密設備的認證信息和配置信息���,包括: 查找預先設置的配置文件���,所述配置文件中預先寫入有所述目標加密設備的認證信息和配置信息����; 基于所述engine機制讀取所述配置文件�����,以獲取所述目標加密設備的認證信息和配置?目息O7.一種加密設備的配置系統(tǒng)���,其特征在于����,該系統(tǒng)包括: 獲取模塊�,用于啟動OpenSSL的engine機制,基于所述engine機制獲取目標加密設備的認證信息和配置信息�; 配置模塊,用于基于所述engine機制根據(jù)所述認證信息和配置信息進行HTTPS網(wǎng)站與所述目標加密設備之間的認證和配置�����; 處理模塊,用于在認證成功后���,基于所述engine機制采用所述目標加密設備對所述HTTPS網(wǎng)站的SSL/TLS握手過程中待私鑰解密或簽名的數(shù)據(jù)進行解密或簽名運算����。8.根據(jù)權利要求1所述的系統(tǒng)���,其特征在于�����,所述獲取模塊����,具體用于基于所述engine機制����,從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息��,其中���,所述偽裝私鑰是根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及目標加密設備的認證信息和配置信息生成的;或 查找預先設置的配置文件���,所述配置文件中預先寫入有所述目標加密設備的認證信息和配置信息,基于所述engine機制讀取所述配置文件����,以獲取所述目標加密設備的認證信息和配置信息��。9.根據(jù)權利要求8所述的系統(tǒng)��,其特征在于�����,所述系統(tǒng)還包括: 第一發(fā)送模塊��,用于在所述獲取模塊從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前���,發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備,以使所述目標加密設備生成認證信息和配置信息���,并根據(jù)所述RSA或ECC私鑰以及生成的認證信息和配置信息生成所述偽裝私鑰�����; 第一接收模塊�����,用于接收所述目標加密設備返回的偽裝私鑰���。10.根據(jù)權利要求8所述的系統(tǒng)�����,其特征在于,所述系統(tǒng)還包括: 第二發(fā)送模塊�����,用于在所述獲取模塊從偽裝私鑰中提取所述目標加密設備的認證信息和配置信息之前���,發(fā)送HTTPS網(wǎng)站的RSA或ECC私鑰至所述目標加密設備�,以使所述目標加密設備生成認證信息和配置信息�; 第二接收模塊,用于接收所述目標加密設備返回的認證信息和配置信息���,根據(jù)所述HTTPS網(wǎng)站的RSA或ECC私鑰以及接收到的認證信息和配置信息生成所述偽裝私鑰。
【文檔編號】H04L29/08GK106060022SQ201610340874
【公開日】2016年10月26日
【申請日】2016年5月19日
【發(fā)明人】杜在東
【申請人】杜在東