使用目标网站的网站证书私钥进行解密的方法与设备技术
The method and equipment for decryption using the private key of the website's website certificate
The aim of the present invention is to provide a method and device for decryption using a website certificate private key of a target website. Specifically, the website certificate private key to decrypt the network equipment to the corresponding CA distribution network equipment management on sending encrypted query request; receiving CA distribution network equipment management in response to the web site certificate private key to the query request to send encrypted decryption card; corresponding hardware RSA generated private key on the website after the certificate private key encryption decryption processing based on the site, in order to get the private key certificate plaintext. Compared with the prior art, the invention has the following advantages: the private key of the certificate issued in the website in the process of Web site certificate private key is encrypted, and the use of asymmetric encryption, to further ensure the security of the encryption key; hardware RSA decryption card and the decryption of network equipment was not lasting the private key storage site the certificate of plaintext or ciphertext, further reducing the risk of the site to steal the private key of the certificate.
【技术实现步骤摘要】
使用目标网站的网站证书私钥进行解密的方法与设备
本专利技术涉及互联网
,尤其涉及一种用于使用目标网站的网站证书私钥进行解密的技术。
技术介绍
HTTPS(超文本传输协议,HyperTextTransferProtocoloverSecureSocketLayer),是以安全为目标的HTTP通道,用于安全的HTTP数据传输,目前已广泛用于万维网上安全敏感的通讯,例如交易支付等方面。而在https的实施过程中,网站证书私钥的安全性是一个非常重要的问题。如果网站证书私钥被泄露,攻击者可以伪装成合法的网站,或者在窃听的基础上对加密流量进行解密,从而对用户的隐私、密码及资产安全造成严重威胁。由于在https握手阶段的计算中要使用网站证书私钥,网站证书私钥往往以文件的形式被永久存储在支持https接入的web服务器(或https代理服务器)中。在存储时,有时使用明文的形式;或者采用某些加密的方法来存储。即使是使用加密方法做永久存储,但在计算的过程中,仍然在服务器的系统内存(DRAM(动态随机存取存储器,DynamicRandomAccessMemory))中以明文形式存...
【技术保护点】
一种在与目标网站对应的CA证书网络设备端用于使用该目标网站的网站证书私钥进行解密的方法,其中,该方法包括:根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备;将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备。
【技术特征摘要】
1.一种在与目标网站对应的CA证书网络设备端用于使用该目标网站的网站证书私钥进行解密的方法,其中,该方法包括:根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备;将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备。2.根据权利要求1所述的方法,其中,根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥包括:-获取硬件RSA解密卡生成的公钥;-根据所述公钥,对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备。3.根据权利要求1或2所述的方法,其中,所述硬件RSA解密卡的相关信息包括以下至少任一项:-所述硬件RSA解密卡所部署的位置信息;-所述硬件RSA解密卡生成的所述公钥;-所述硬件RSA解密卡的标识信息;-所述硬件RSA解密卡的上线信息。4.一种在解密网络设备端用于使用目标网站的网站证书私钥进行解密的方法,其中,所述解密网络设备中部署有至少一个硬件RSA解密卡,该方法包括:向对应CA分发管理网络设备发送关于加密后的所述网站证书私钥的查询请求,其中,加密后的所述网站证书私钥由对应CA证书网络设备基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到;接收所述CA分发管理网络设备响应于所述查询请求发送的加密后的所述网站证书私钥;基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文,其中,所述明文存储于该硬件RSA解密卡的内存中。5.根据权利要求4所述的方法,其中,该方法还包括:-获取所述公钥。6.一种在CA分发管理网络设备端用于使用目标网站的网站证书私钥进行解密的方法,其中,所述CA分发管理网络设备中存储有部署于对应解密网络设备的硬件RSA解密卡的相关信息,其中,该方法包括:接收对应解密网络设备发送的关于加密后的所述网站证书私钥的查询请求;检测所述查询请求是否满足预定触发条件;若满足所述触发条件,将所述加密后的网站证书私钥发送至所述解密网络设备。7.根据权利要求6所述的方法,其中,所述预定触发条件包括以下至少任一项:-生成所述公钥的硬件RSA解密卡满足第一预定条件、且所述查询请求所对应的IP地址满足第二预定条件;-所述查询请求满足预定认证条件。8.根据权利要求7所述的方法,其中,所述预定认证条件包括基于对所述网站证书私钥进行加密的公钥进行的认证。9.根据权利要求6至8中任一项所述的方法,其中,该方法还包括:-对所述硬件RSA解密卡的相关信息进行管理。10.一种用于使用目标网站的网站证书私钥进行解密的对应于该目标网站的CA证书网络设备,其中,该CA证书网络设备包括:用于根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥的装置,其中,所述硬件R...
【专利技术属性】
技术研发人员:韦韬,欧阳剑,章淼,
申请(专利权)人:百度在线网络技术北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。