[发明专利]一种加密设备生产过程中注入带签名的证书的解决方法有效
| 申请号: | 201410035191.5 | 申请日: | 2014-01-24 |
| 公开(公告)号: | CN103825741B | 公开(公告)日: | 2017-03-15 |
| 发明(设计)人: | 赵彬;沈宁;罗鸣;陈波;肖先玺 | 申请(专利权)人: | 安徽云盾信息技术有限公司 |
| 主分类号: | H04L9/32 | 分类号: | H04L9/32 |
| 代理公司: | 杭州九洲专利事务所有限公司33101 | 代理人: | 陈继亮 |
| 地址: | 310012 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种加密设备生产过程中注入带签名的证书的解决方法,加密机和加密机控制台都设置在防火墙的安全内网的网区内;生产环境PC机通过互联网访问证书签名服务器;每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备;其中的RSA公钥被保存在加密机上的白名单中;如果生产环境PC机或鉴权硬件加密设备被盗,能够将其从加密机的白名单中删除。本发明有益的效果是能够采用多台PC机同时进行证书的注入工作;加密设备的RSA根密钥对得到非常安全的保护,包括保存RSA根密钥对的设备需要安放在高安全级别的机房,防盗,防止非法访问;经过严密的管理措施,能够对RSA根密钥对进行备份和恢复。 | ||
| 搜索关键词: | 一种 加密 设备 生产过程 注入 签名 证书 解决方法 | ||
【主权项】:
一种加密设备生产过程中注入带签名的证书的解决方法,其特征在于:加密机和加密机控制台都设置在防火墙的安全内网的网区内,每台加密机通过USB接口外接一个加密机硬件加密设备,加密机硬件加密设备包含加密设备生产公司的RSA公私密钥对;生产环境PC机通过互联网访问证书签名服务器,证书签名服务器连接在防火墙的DMZ区,证书签名服务器采用TCP/IP的方式调用加密机的RSA签名服务;每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备,鉴权硬件加密设备内部有一对鉴权RSA公私密钥对;其中的鉴权RSA公钥被保存在加密机上的白名单中;如果生产环境PC机或鉴权硬件加密设备被盗,能够将鉴权RSA公钥从加密机的白名单中删除;对每一个待出厂的硬件加密设备,生产环境PC机进行以下操作:1)调用待出厂的硬件加密设备的接口,生成加密设备生产公司的RSA公私密钥对,并导出序列号和公钥;2)使用序列号和公钥,填写X509证书;3)用鉴权RSA私钥,对填写好的X509证书进行签名,表明该证书出自受信任的生产环境PC机;4)调用证书签名服务器的RESTFUL接口,将签名过的X509证书,和鉴权RSA公钥一起发送给证书签名服务器;5)证书签名服务器收到请求,调用加密机的接口,请求加密设备生产公司的签名;6)加密机收到请求,首先判断鉴权RSA公钥是否在白名单中;如果是,验证X509证书的生产环境PC机签名;验证通过后,使用加密设备生产公司的RSA根私钥,对X509证书进行签名,并返回给证书签名服务器;7)证书签名服务器将加密设备生产公司签名后的X509证书返回给生产环境PC机;8)生产环境PC机将收到的X509证书导入到待出厂的硬件加密设备中。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于安徽云盾信息技术有限公司,未经安徽云盾信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410035191.5/,转载请声明来源钻瓜专利网。
