[发明专利]使用目标网站的网站证书私钥进行解密的方法与设备

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种用于使用目标网站的网站证书私钥进行解密的技术。

背景技术

HTTPS(超文本传输协议，Hyper Text Transfer Protocol over Secure Socket Layer)，是以安全为目标的HTTP通道，用于安全的HTTP数据传输，目前已广泛用于万维网上安全敏感的通讯，例如交易支付等方面。而在https的实施过程中，网站证书私钥的安全性是一个非常重要的问题。如果网站证书私钥被泄露，攻击者可以伪装成合法的网站，或者在窃听的基础上对加密流量进行解密，从而对用户的隐私、密码及资产安全造成严重威胁。

由于在https握手阶段的计算中要使用网站证书私钥，网站证书私钥往往以文件的形式被永久存储在支持https接入的web服务器(或https代理服务器)中。在存储时，有时使用明文的形式；或者采用某些加密的方法来存储。即使是使用加密方法做永久存储，但在计算的过程中，仍然在服务器的系统内存(DRAM(动态随机存取存储器，Dynamic Random Access Memory))中以明文形式存在。这样的机制存在以下问题：1)首先，在计算过程中，证书私钥在内存中以明文形式存在，有可能被攻击者通过内存读取的工具获得；2)其次，在web服务器上持久存储的证书私钥虽然经过加密处理，但含有其解密密钥或解密方法的软件往往也持久存储在同一台服务器上。如果攻击者将证书私钥文件和这些软件都获取到，也有可能破解获得明文的证书私钥。

发明内容

本发明的一个目的是提供一种用于使用目标网站的网站证书私钥进行解密的方法与设备。

根据本发明的一个方面，提供了一种在与目标网站对应的CA证书网络设备端用于使用该目标网站的网站证书私钥进行解密的方法，其中，该方法包括：

根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理，以获得加密后的所述网站证书私钥，其中，所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应，所述硬件RSA解密卡被部署于对应解密网络设备，所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备；

将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备。

根据本发明的另一方面，提供了一种在解密网络设备端用于使用目标网站的网站证书私钥进行解密的方法，其中，所述解密网络设备中部署有至少一个硬件RSA解密卡，该方法包括：

向对应CA分发管理网络设备发送关于加密后的所述网站证书私钥的查询请求，其中，加密后的所述网站证书私钥由对应CA证书网络设备基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到；

接收所述CA分发管理网络设备响应于所述查询请求发送的加密后的所述网站证书私钥；

基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理，以获得该网站证书私钥的明文，其中，所述明文存储于该硬件RSA解密卡的内存中。

根据本发明的再一方面，提供了一种在CA分发管理网络设备端用于使用目标网站的网站证书私钥进行解密的方法，其中，所述CA分发管理网络设备中存储有部署于对应解密网络设备的硬件RSA解密卡的相关信息，其中，该方法包括：

接收对应解密网络设备发送的关于加密后的所述网站证书私钥的查询请求；

检测所述查询请求是否满足预定触发条件；

若满足所述触发条件，将所述加密后的网站证书私钥发送至所述解密网络设备。

根据本发明的另一方面，还提供了一种用于使用目标网站的网站证书私钥进行解密的对应于该目标网站的CA证书网络设备，其中，该CA证书网络设备包括：

用于根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理，以获得加密后的所述网站证书私钥的装置，其中，所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应，所述硬件RSA解密卡被部署于对应解密网络设备，所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备；

用于将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备的装置。

根据本发明的又一方面，还提供了一种用于使用目标网站的网站证书私钥进行解密的解密网络设备，其中，所述解密网络设备中部署有至少一个硬件RSA解密卡，其中，该解密网络设备包括：