[发明专利]一种加密设备生产过程中注入带签名的证书的解决方法

说明书

技术领域

本发明涉及加密设备技术领域，尤其是一种加密设备生产过程中注入带签名的证书的解决方法。

背景技术

在硬件加密设备（TF和USB接口）生产过程中，用户场景和需要解决的问题为：1、需要为每一个待出厂的硬件加密设备注入一个使用硬件加密设备生产公司的根密钥（RSA根私钥）签名过的证书。证书内包含的主要信息为：当前硬件加密设备的公钥和序列号；2、生产环境有多台PC机同时进行证书的注入工作。3、生产环境无法提供高安全级别的机房。4、加密设备的RSA根密钥对需要得到非常安全的保护,包括：1）保存RSA根密钥对的设备需要安放在高安全级别的机房,防盗，防止非法访问；2）经过严密的管理措施，能够对RSA根密钥对进行备份和恢复。

发明内容

本发明要解决上述现有技术的缺点，提供一种加密设备生产过程中注入带签名的证书的解决方法。

本发明解决其技术问题采用的技术方案：这种加密设备生产过程中注入带签名的证书的解决方法，加密机和加密机控制台都设置在防火墙的安全内网的网区内，每台加密机通过USB接口外接一个加密机硬件加密设备，加密机硬件加密设备包含加密设备生产公司的RSA公私密钥对；生产环境PC机通过互联网访问证书签名服务器,证书签名服务器连接在防火墙的DMZ区,证书签名服务器采用TCP/IP的方式调用加密机的RSA签名服务；每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备，鉴权硬件加密设备内部有一对鉴权RSA公私密钥对；其中的RSA公钥被保存在加密机上的白名单中；如果生产环境PC机或鉴权硬件加密设备被盗，能够将其从加密机的白名单中删除；对每一个待出厂的硬件加密设备，生产环境PC机进行以下操作：

1）调用待出厂的硬件加密设备的接口，生成RSA公私密钥对，并导出序列号和公钥；

2）使用序列号和公钥，填写X509证书；

3）用鉴权RSA私钥，对填写好的X509证书进行签名，表明该证书出自受信任的生产环境PC机；

4）调用证书签名服务器的RESTFUL接口，将签名过的X509证书，和鉴权RSA公钥一起发送给证书签名服务器；

5）证书签名服务器收到请求，调用加密机的接口，请求加密设备生产公司的签名；

6）加密机收到请求，首先判断鉴权RSA公钥是否在白名单中；如果是，验证X509证书的生产环境PC机签名；验证通过后，使用加密设备生产公司的RSA根私钥，对X509证书进行签名，并返回给证书签名服务器；

7）签名服务器将加密设备生产公司签名后的X509证书返回给生产环境PC机；

8）生产环境PC机将收到的X509证书导入到待出厂的硬件加密设备中。

每台生产环境PC机能够通过USB集线器外接多个待出厂的硬件加密设备。

本发明有益的效果是：能够采用多台PC机同时进行证书的注入工作；加密设备的RSA根密钥对得到非常安全的保护,包括：1）保存RSA根密钥对的设备需要安放在高安全级别的机房,防盗，防止非法访问；2）经过严密的管理措施，能够对RSA根密钥对进行备份和恢复。

附图说明

图1是本发明的硬件结构示意图1；

图2是本发明的硬件结构示意图2。

具体实施方式

下面结合实施例对本发明作进一步说明：

如图所示，这种加密设备生产过程中注入带签名的证书的解决方法，加密机和加密机控制台都设置在防火墙的安全内网的网区内，支持多台加密机集群方式工作，支持热插拔，加密机可以随时增加和减少；每台加密机通过USB接口外接一个加密机硬件加密设备，加密机硬件加密设备包含加密设备生产公司的RSA公私密钥对。生产环境PC机通过互联网访问证书签名服务器,为了保障安全，可以使用HTTPS或VPN方式访问。证书签名服务器连接在防火墙的DMZ区,证书签名服务器采用TCP/IP的方式调用加密机的RSA签名服务；每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备，鉴权硬件加密设备内部有一对鉴权RSA公私密钥对；其中的RSA公钥被保存在加密机上的白名单中；如果生产环境PC机或鉴权硬件加密设备被盗，能够将其从加密机的白名单中删除；对每一个待出厂的硬件加密设备，生产环境PC机进行以下操作：

1）调用待出厂的硬件加密设备的接口，生成RSA公私密钥对，并导出序列号和公钥；

2）使用序列号和公钥，填写X509证书；

3）用鉴权RSA私钥，对填写好的X509证书进行签名，表明该证书出自受信任的生产环境PC机；