CN103825741A - 一种加密设备生产过程中注入带签名的证书的解决方法 - Google Patents
一种加密设备生产过程中注入带签名的证书的解决方法 Download PDFInfo
- Publication number
- CN103825741A CN103825741A CN201410035191.5A CN201410035191A CN103825741A CN 103825741 A CN103825741 A CN 103825741A CN 201410035191 A CN201410035191 A CN 201410035191A CN 103825741 A CN103825741 A CN 103825741A
- Authority
- CN
- China
- Prior art keywords
- certificate
- equipment
- encryption
- rsa
- production environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种加密设备生产过程中注入带签名的证书的解决方法,加密机和加密机控制台都设置在防火墙的安全内网的网区内;生产环境PC机通过互联网访问证书签名服务器;每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备;其中的RSA公钥被保存在加密机上的白名单中;如果生产环境PC机或鉴权硬件加密设备被盗,能够将其从加密机的白名单中删除。本发明有益的效果是:能够采用多台PC机同时进行证书的注入工作;加密设备的RSA根密钥对得到非常安全的保护,包括:保存RSA根密钥对的设备需要安放在高安全级别的机房,防盗,防止非法访问;经过严密的管理措施,能够对RSA根密钥对进行备份和恢复。
Description
技术领域
本发明涉及加密设备技术领域,尤其是一种加密设备生产过程中注入带签名的证书的解决方法。
背景技术
在硬件加密设备(TF和USB接口)生产过程中,用户场景和需要解决的问题为:1、需要为每一个待出厂的硬件加密设备注入一个使用硬件加密设备生产公司的根密钥(RSA根私钥)签名过的证书。证书内包含的主要信息为:当前硬件加密设备的公钥和序列号;2、生产环境有多台PC机同时进行证书的注入工作。3、生产环境无法提供高安全级别的机房。4、加密设备的RSA根密钥对需要得到非常安全的保护,包括:1)保存RSA根密钥对的设备需要安放在高安全级别的机房,防盗,防止非法访问;2)经过严密的管理措施,能够对RSA根密钥对进行备份和恢复。
发明内容
本发明要解决上述现有技术的缺点,提供一种加密设备生产过程中注入带签名的证书的解决方法。
本发明解决其技术问题采用的技术方案:这种加密设备生产过程中注入带签名的证书的解决方法,加密机和加密机控制台都设置在防火墙的安全内网的网区内,每台加密机通过USB接口外接一个加密机硬件加密设备,加密机硬件加密设备包含加密设备生产公司的RSA公私密钥对;生产环境PC机通过互联网访问证书签名服务器,证书签名服务器连接在防火墙的DMZ区,证书签名服务器采用TCP/IP的方式调用加密机的RSA签名服务;每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备,鉴权硬件加密设备内部有一对鉴权RSA公私密钥对;其中的RSA公钥被保存在加密机上的白名单中;如果生产环境PC机或鉴权硬件加密设备被盗,能够将其从加密机的白名单中删除;对每一个待出厂的硬件加密设备,生产环境PC机进行以下操作:
1)调用待出厂的硬件加密设备的接口,生成RSA公私密钥对,并导出序列号和公钥;
2)使用序列号和公钥,填写X509证书;
3)用鉴权RSA私钥,对填写好的X509证书进行签名,表明该证书出自受信任的生产环境PC机;
4)调用证书签名服务器的RESTFUL接口,将签名过的X509证书,和鉴权RSA公钥一起发送给证书签名服务器;
5)证书签名服务器收到请求,调用加密机的接口,请求加密设备生产公司的签名;
6)加密机收到请求,首先判断鉴权RSA公钥是否在白名单中;如果是,验证X509证书的生产环境PC机签名;验证通过后,使用加密设备生产公司的RSA根私钥,对X509证书进行签名,并返回给证书签名服务器;
7)签名服务器将加密设备生产公司签名后的X509证书返回给生产环境PC机;
8)生产环境PC机将收到的X509证书导入到待出厂的硬件加密设备中。
每台生产环境PC机能够通过USB集线器外接多个待出厂的硬件加密设备。
本发明有益的效果是:能够采用多台PC机同时进行证书的注入工作;加密设备的RSA根密钥对得到非常安全的保护,包括:1)保存RSA根密钥对的设备需要安放在高安全级别的机房,防盗,防止非法访问;2)经过严密的管理措施,能够对RSA根密钥对进行备份和恢复。
附图说明
图1是本发明的硬件结构示意图1;
图2是本发明的硬件结构示意图2。
具体实施方式
下面结合实施例对本发明作进一步说明:
如图所示,这种加密设备生产过程中注入带签名的证书的解决方法,加密机和加密机控制台都设置在防火墙的安全内网的网区内,支持多台加密机集群方式工作,支持热插拔,加密机可以随时增加和减少;每台加密机通过USB接口外接一个加密机硬件加密设备,加密机硬件加密设备包含加密设备生产公司的RSA公私密钥对。生产环境PC机通过互联网访问证书签名服务器,为了保障安全,可以使用HTTPS或VPN方式访问。证书签名服务器连接在防火墙的DMZ区,证书签名服务器采用TCP/IP的方式调用加密机的RSA签名服务;每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备,鉴权硬件加密设备内部有一对鉴权RSA公私密钥对;其中的RSA公钥被保存在加密机上的白名单中;如果生产环境PC机或鉴权硬件加密设备被盗,能够将其从加密机的白名单中删除;对每一个待出厂的硬件加密设备,生产环境PC机进行以下操作:
1)调用待出厂的硬件加密设备的接口,生成RSA公私密钥对,并导出序列号和公钥;
2)使用序列号和公钥,填写X509证书;
3)用鉴权RSA私钥,对填写好的X509证书进行签名,表明该证书出自受信任的生产环境PC机;
4)调用证书签名服务器的RESTFUL接口,将签名过的X509证书,和鉴权RSA公钥一起发送给证书签名服务器;
5)证书签名服务器收到请求,调用加密机的接口,请求加密设备生产公司的签名;
6)加密机收到请求,首先判断鉴权RSA公钥是否在白名单中;如果是,验证X509证书的生产环境PC机签名;验证通过后,使用加密设备生产公司的RSA根私钥,对X509证书进行签名,并返回给证书签名服务器;
7)签名服务器将加密设备生产公司签名后的X509证书返回给生产环境PC机;
8)生产环境PC机将收到的X509证书导入到待出厂的硬件加密设备中。
名词解释:
1、硬件加密设备生产公司:生产硬件加密设备的公司,例如:安徽云盾。
2、硬件加密设备生产公司的RSA根密钥:硬件加密设备生产公司采用硬件生成一对RSA公私密钥对,其中的私钥用来进行签名。
3、待出厂的硬件加密设备:每个硬件加密设备在出厂前,需要使用生产环境PC机进行一些初始化工作,此时的硬件加密设备被称为待出厂的硬件加密设备。
4、白名单:生产环境PC机只有在得到授权的时候,才能够进行待出厂硬件加密设备的初始化工作。白名单用来完成授权。在一个文件中,罗列出合法的生产环境PC机外接的鉴权硬件加密设备的相关信息(序列号,公钥),就生成了白名单。
除上述实施例外,本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围。
Claims (2)
1.一种加密设备生产过程中注入带签名的证书的解决方法,其特征在于:加密机和加密机控制台都设置在防火墙的安全内网的网区内,每台加密机通过USB接口外接一个加密机硬件加密设备,加密机硬件加密设备包含加密设备生产公司的RSA公私密钥对;生产环境PC机通过互联网访问证书签名服务器,证书签名服务器连接在防火墙的DMZ区,证书签名服务器采用TCP/IP的方式调用加密机的RSA签名服务;每台生产环境PC机上外接一个USB接口的鉴权硬件加密设备,鉴权硬件加密设备内部有一对鉴权RSA公私密钥对;其中的RSA公钥被保存在加密机上的白名单中;如果生产环境PC机或鉴权硬件加密设备被盗,能够将其从加密机的白名单中删除;对每一个待出厂的硬件加密设备,生产环境PC机进行以下操作:
1)调用待出厂的硬件加密设备的接口,生成RSA公私密钥对,并导出序列号和公钥;
2)使用序列号和公钥,填写X509证书;
3)用鉴权RSA私钥,对填写好的X509证书进行签名,表明该证书出自受信任的生产环境PC机;
4)调用证书签名服务器的RESTFUL接口,将签名过的X509证书,和鉴权RSA公钥一起发送给证书签名服务器;
5)证书签名服务器收到请求,调用加密机的接口,请求加密设备生产公司的签名;
6)加密机收到请求,首先判断鉴权RSA公钥是否在白名单中;如果是,验证X509证书的生产环境PC机签名;验证通过后,使用加密设备生产公司的RSA根私钥,对X509证书进行签名,并返回给证书签名服务器;
7)签名服务器将加密设备生产公司签名后的X509证书返回给生产环境PC机;
8)生产环境PC机将收到的X509证书导入到待出厂的硬件加密设备中。
2.根据权利要求1所述的加密设备生产过程中注入带签名的证书的解决方法,其特征在于:每台生产环境PC机能够通过USB集线器外接多个待出厂的硬件加密设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410035191.5A CN103825741B (zh) | 2014-01-24 | 2014-01-24 | 一种加密设备生产过程中注入带签名的证书的解决方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410035191.5A CN103825741B (zh) | 2014-01-24 | 2014-01-24 | 一种加密设备生产过程中注入带签名的证书的解决方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103825741A true CN103825741A (zh) | 2014-05-28 |
| CN103825741B CN103825741B (zh) | 2017-03-15 |
Family
ID=50760589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410035191.5A Expired - Fee Related CN103825741B (zh) | 2014-01-24 | 2014-01-24 | 一种加密设备生产过程中注入带签名的证书的解决方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103825741B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161402A (zh) * | 2015-04-22 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
| CN107666420A (zh) * | 2017-08-30 | 2018-02-06 | 宁波梦居智能科技有限公司 | 一种智能家居网关生产控制和身份鉴别的方法 |
| CN108173653A (zh) * | 2018-03-13 | 2018-06-15 | 江苏信源久安信息科技有限公司 | 通过标识密码算法生成具有生命周期密钥的方法 |
| CN109818746A (zh) * | 2018-12-28 | 2019-05-28 | 深圳竹云科技有限公司 | 一种安全的提供restful接口的方法 |
| CN111147259A (zh) * | 2019-12-26 | 2020-05-12 | 华为技术有限公司 | 鉴权方法和设备 |
| WO2020187053A1 (zh) * | 2019-03-20 | 2020-09-24 | 华为技术有限公司 | 一种确定网络设备状态的方法、相关设备及系统 |
| CN113661681A (zh) * | 2019-04-04 | 2021-11-16 | 美光科技公司 | 将软件载入在安全装置上以生成装置身份以向远程服务器进行认证 |
| CN113709109A (zh) * | 2021-07-27 | 2021-11-26 | 云南昆钢电子信息科技有限公司 | 一种基于云端与边缘端数据交换的安全系统和方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616165A (zh) * | 2009-07-28 | 2009-12-30 | 江苏先安科技有限公司 | 一种新型x509数字证书白名单发布查询验证的方法 |
| US20100199099A1 (en) * | 2009-02-05 | 2010-08-05 | Junling Wu | User friendly Authentication and Login Method Using Multiple X509 Digital Certificates |
| CN101820342A (zh) * | 2010-03-31 | 2010-09-01 | 北京飞天诚信科技有限公司 | 硬件加密引擎的实现方法 |
| CN102307096A (zh) * | 2011-08-26 | 2012-01-04 | 武汉理工大学 | 一种基于伪rsa密钥的新近公开密钥加密算法的应用实现方法 |
| CN103493058A (zh) * | 2011-04-28 | 2014-01-01 | 株式会社东芝 | 数据记录装置、主机装置以及处理数据记录装置的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1231847C (zh) * | 2002-09-09 | 2005-12-14 | 中国科学院研究生院 | 一种网络设备身份认证装置及方法 |
| CN102231729B (zh) * | 2011-05-18 | 2014-09-17 | 浪潮通用软件有限公司 | 支持多种ca身份认证的方法 |
-
2014
- 2014-01-24 CN CN201410035191.5A patent/CN103825741B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100199099A1 (en) * | 2009-02-05 | 2010-08-05 | Junling Wu | User friendly Authentication and Login Method Using Multiple X509 Digital Certificates |
| CN101616165A (zh) * | 2009-07-28 | 2009-12-30 | 江苏先安科技有限公司 | 一种新型x509数字证书白名单发布查询验证的方法 |
| CN101820342A (zh) * | 2010-03-31 | 2010-09-01 | 北京飞天诚信科技有限公司 | 硬件加密引擎的实现方法 |
| CN103493058A (zh) * | 2011-04-28 | 2014-01-01 | 株式会社东芝 | 数据记录装置、主机装置以及处理数据记录装置的方法 |
| CN102307096A (zh) * | 2011-08-26 | 2012-01-04 | 武汉理工大学 | 一种基于伪rsa密钥的新近公开密钥加密算法的应用实现方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161402A (zh) * | 2015-04-22 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
| CN106161402B (zh) * | 2015-04-22 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
| CN107666420A (zh) * | 2017-08-30 | 2018-02-06 | 宁波梦居智能科技有限公司 | 一种智能家居网关生产控制和身份鉴别的方法 |
| CN107666420B (zh) * | 2017-08-30 | 2020-12-15 | 宁波梦居智能科技有限公司 | 一种智能家居网关生产控制和身份鉴别的方法 |
| CN108173653A (zh) * | 2018-03-13 | 2018-06-15 | 江苏信源久安信息科技有限公司 | 通过标识密码算法生成具有生命周期密钥的方法 |
| CN109818746A (zh) * | 2018-12-28 | 2019-05-28 | 深圳竹云科技有限公司 | 一种安全的提供restful接口的方法 |
| WO2020187053A1 (zh) * | 2019-03-20 | 2020-09-24 | 华为技术有限公司 | 一种确定网络设备状态的方法、相关设备及系统 |
| CN111726325A (zh) * | 2019-03-20 | 2020-09-29 | 华为技术有限公司 | 一种确定网络设备状态的方法、相关设备及系统 |
| CN111726325B (zh) * | 2019-03-20 | 2021-12-03 | 华为技术有限公司 | 一种确定网络设备状态的方法、相关设备及系统 |
| CN113661681A (zh) * | 2019-04-04 | 2021-11-16 | 美光科技公司 | 将软件载入在安全装置上以生成装置身份以向远程服务器进行认证 |
| CN111147259A (zh) * | 2019-12-26 | 2020-05-12 | 华为技术有限公司 | 鉴权方法和设备 |
| CN111147259B (zh) * | 2019-12-26 | 2022-01-14 | 华为技术有限公司 | 鉴权方法和设备 |
| CN113709109A (zh) * | 2021-07-27 | 2021-11-26 | 云南昆钢电子信息科技有限公司 | 一种基于云端与边缘端数据交换的安全系统和方法 |
| CN113709109B (zh) * | 2021-07-27 | 2024-02-27 | 云南昆钢电子信息科技有限公司 | 一种基于云端与边缘端数据交换的安全系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103825741B (zh) | 2017-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103825741A (zh) | 一种加密设备生产过程中注入带签名的证书的解决方法 | |
| CN105656859B (zh) | 税控设备软件安全在线升级方法及系统 | |
| CN103067160B (zh) | 一种加密sd卡的动态密钥生成的方法及系统 | |
| GB2496354B (en) | A method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors | |
| CN105260663A (zh) | 一种基于TrustZone技术的安全存储服务系统及方法 | |
| KR101729960B1 (ko) | 신뢰 보안 플랫폼 모듈을 이용한 보안 애플리케이션 인증 및 관리 방법 및 장치 | |
| TWI724555B (zh) | 金鑰管理方法、安全晶片、業務伺服器及資訊系統 | |
| WO2011149214A3 (ko) | 오티피를 생성하기 위해 홍채정보를 이용한 쓰리-팩터 사용자 인증방식과 무선통신단말기의 오티피 인증모듈을 이용한 안전한 상호인증시스템 | |
| CN104573549A (zh) | 一种可信的数据库机密性保护方法及系统 | |
| CN104753953A (zh) | 访问控制系统 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN106027503A (zh) | 一种基于tpm的云存储数据加密方法 | |
| CN105873031A (zh) | 基于可信平台的分布式无人机认证和密钥协商方法 | |
| CN102831359A (zh) | 一种便携式移动存储设备的加密文件系统 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN103746801A (zh) | 一种智能手机或平板电脑上动态口令种子密钥保护方法 | |
| CN112422500B (zh) | 跨平台数据传输方法以及装置、存储介质、电子装置 | |
| CN107368737A (zh) | 一种防止拷贝攻击的处理方法、服务器及客户端 | |
| CN104994095A (zh) | 一种设备认证方法、客户端、服务器及系统 | |
| CN107181589B (zh) | 一种堡垒机私钥管理方法及装置 | |
| CN106992978B (zh) | 网络安全管理方法及服务器 | |
| CN105812338B (zh) | 一种数据访问管控方法及网络管理设备 | |
| CN104486322A (zh) | 终端接入认证授权方法及终端接入认证授权系统 | |
| JP2019501469A (ja) | Usb攻撃保護を保証すること | |
| CN111274570A (zh) | 一种加密认证方法、装置、服务器、可读存储介质及空调器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170315 Termination date: 20180124 |