一种加密设备生产过程中注入带签名的证书的解决方法

摘要

本发明涉及一种加密设备生产过程中注入带签名的证书的解决方法，加密机和加密机控制台都设置在防火墙的安全内网的网区内；生产环境PC机通过互联网访问证书签名服务器；每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备；其中的RSA公钥被保存在加密机上的白名单中；如果生产环境PC机或鉴权硬件加密设备被盗，能够将其从加密机的白名单中删除。本发明有益的效果是：能够采用多台PC机同时进行证书的注入工作；加密设备的RSA根密钥对得到非常安全的保护,包括：保存RSA根密钥对的设备需要安放在高安全级别的机房,防盗，防止非法访问；经过严密的管理措施，能够对RSA根密钥对进行备份和恢复。

说明书

技术领域

本发明涉及加密设备技术领域，尤其是一种加密设备生产过程中注入带签名的证书的解决方法。

背景技术

在硬件加密设备（TF和USB接口）生产过程中，用户场景和需要解决的问题为：1、需要为每一个待 出厂的硬件加密设备注入一个使用硬件加密设备生产公司的根密钥（RSA根私钥）签名过的证书。证书内 包含的主要信息为：当前硬件加密设备的公钥和序列号；2、生产环境有多台PC机同时进行证书的注入工 作。3、生产环境无法提供高安全级别的机房。4、加密设备的RSA根密钥对需要得到非常安全的保护,包 括：1）保存RSA根密钥对的设备需要安放在高安全级别的机房,防盗，防止非法访问；2）经过严密的管 理措施，能够对RSA根密钥对进行备份和恢复。

发明内容

本发明要解决上述现有技术的缺点，提供一种加密设备生产过程中注入带签名的证书的解决方法。

本发明解决其技术问题采用的技术方案：这种加密设备生产过程中注入带签名的证书的解决方法，加 密机和加密机控制台都设置在防火墙的安全内网的网区内，每台加密机通过USB接口外接一个加密机硬件 加密设备，加密机硬件加密设备包含加密设备生产公司的RSA公私密钥对；生产环境PC机通过互联网访 问证书签名服务器,证书签名服务器连接在防火墙的DMZ区,证书签名服务器采用TCP/IP的方式调用加密 机的RSA签名服务；每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备，鉴权硬件加密设备内 部有一对鉴权RSA公私密钥对；其中的RSA公钥被保存在加密机上的白名单中；如果生产环境PC机或鉴 权硬件加密设备被盗，能够将其从加密机的白名单中删除；对每一个待出厂的硬件加密设备，生产环境PC 机进行以下操作：

1）调用待出厂的硬件加密设备的接口，生成RSA公私密钥对，并导出序列号和公钥；

2）使用序列号和公钥，填写X509证书；

3）用鉴权RSA私钥，对填写好的X509证书进行签名，表明该证书出自受信任的生产环境PC机；

4）调用证书签名服务器的RESTFUL接口，将签名过的X509证书，和鉴权RSA公钥一起发送给证书签 名服务器；

5）证书签名服务器收到请求，调用加密机的接口，请求加密设备生产公司的签名；

6）加密机收到请求，首先判断鉴权RSA公钥是否在白名单中；如果是，验证X509证书的生产环境PC 机签名；验证通过后，使用加密设备生产公司的RSA根私钥，对X509证书进行签名，并返回给证书签名 服务器；

7）签名服务器将加密设备生产公司签名后的X509证书返回给生产环境PC机；

8）生产环境PC机将收到的X509证书导入到待出厂的硬件加密设备中。

每台生产环境PC机能够通过USB集线器外接多个待出厂的硬件加密设备。

本发明有益的效果是：能够采用多台PC机同时进行证书的注入工作；加密设备的RSA根密钥对得到 非常安全的保护,包括：1）保存RSA根密钥对的设备需要安放在高安全级别的机房,防盗，防止非法访问； 2）经过严密的管理措施，能够对RSA根密钥对进行备份和恢复。

附图说明

图1是本发明的硬件结构示意图1；

图2是本发明的硬件结构示意图2。

具体实施方式

下面结合实施例对本发明作进一步说明：

如图所示，这种加密设备生产过程中注入带签名的证书的解决方法，加密机和加密机控制台都设置在 防火墙的安全内网的网区内，支持多台加密机集群方式工作，支持热插拔，加密机可以随时增加和减少； 每台加密机通过USB接口外接一个加密机硬件加密设备，加密机硬件加密设备包含加密设备生产公司的RSA 公私密钥对。生产环境PC机通过互联网访问证书签名服务器,为了保障安全，可以使用HTTPS或VPN方 式访问。证书签名服务器连接在防火墙的DMZ区,证书签名服务器采用TCP/IP的方式调用加密机的RSA签 名服务；每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备，鉴权硬件加密设备内部有一对鉴 权RSA公私密钥对；其中的RSA公钥被保存在加密机上的白名单中；如果生产环境PC机或鉴权硬件加密 设备被盗，能够将其从加密机的白名单中删除；对每一个待出厂的硬件加密设备，生产环境PC机进行以 下操作：

1）调用待出厂的硬件加密设备的接口，生成RSA公私密钥对，并导出序列号和公钥；

2）使用序列号和公钥，填写X509证书；

3）用鉴权RSA私钥，对填写好的X509证书进行签名，表明该证书出自受信任的生产环境PC机；

4）调用证书签名服务器的RESTFUL接口，将签名过的X509证书，和鉴权RSA公钥一起发送给证书签 名服务器；

5）证书签名服务器收到请求，调用加密机的接口，请求加密设备生产公司的签名；

6）加密机收到请求，首先判断鉴权RSA公钥是否在白名单中；如果是，验证X509证书的生产环境PC 机签名；验证通过后，使用加密设备生产公司的RSA根私钥，对X509证书进行签名，并返回给证书签名 服务器；

7）签名服务器将加密设备生产公司签名后的X509证书返回给生产环境PC机；

8）生产环境PC机将收到的X509证书导入到待出厂的硬件加密设备中。

名词解释：

1、硬件加密设备生产公司：生产硬件加密设备的公司，例如：安徽云盾。

2、硬件加密设备生产公司的RSA根密钥：硬件加密设备生产公司采用硬件生成一对RSA公私密钥对，其 中的私钥用来进行签名。

3、待出厂的硬件加密设备：每个硬件加密设备在出厂前，需要使用生产环境PC机进行一些初始化工作， 此时的硬件加密设备被称为待出厂的硬件加密设备。

4、白名单：生产环境PC机只有在得到授权的时候，才能够进行待出厂硬件加密设备的初始化工作。白名 单用来完成授权。在一个文件中，罗列出合法的生产环境PC机外接的鉴权硬件加密设备的相关信息（序 列号，公钥）,就生成了白名单。

除上述实施例外，本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案，均落 在本发明要求的保护范围。