本发明专利技术公开了一种虚拟化环境中数字证书撤销状态检查的方法和系统。本方法为:1)在宿主机上创建多个客户虚拟机,在该宿主机的虚拟机监控器内设置一证书撤销列表管理器;2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求;3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应CRL文件:a)如果有则将该CRL文件返回给该客户虚拟机中的证书依赖方,或查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回;b)如果没有对应CRL文件,则下载并验证对应的CRL文件返回,或查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回。本发明专利技术大大提高了查询效率。
【技术实现步骤摘要】
本专利技术涉及计算机安全领域,特别涉及一种在虚拟化环境中进行数字证书撤销状态检查的方法和系统。
技术介绍
公钥基础设施(PKI:Public Key Infrastructure)在公钥密码技术的基础上,主要解决密钥属于谁,即密钥认证的问题。PKI通过由数字证书认证中心(CA -Certificat1nAuthority)签发数字证书来实现密钥认证的服务,也就是发布公钥属于谁的信息,使得网络上的数字签名等各种安全服务有了基础的安全保障。CA作为第三方的数字证书认证中心,是PKI系统中通信双方都信任的实体,由它负责签发数字证书。一个数字证书(简称证书)中绑定了公钥数据和相应私钥拥有者的身份信息,并带有CA的数字签名(简称签名)。通过数字证书,PKI很好地证明了公钥属于谁的问题。证书是有时限的,在有效期之后,证书就不再是有效的证书,证书所表示的绑定关系也就不再存在。由于密钥泄露、证书持有者身份信息改变、公钥算法被破解等原因,使证书在到期之前,解除绑定关系、中途作废证书的行为称为证书撤销。如果缺少证书撤销,PKI就会面临很大的安全威胁。例如,Alice在证书到期之前,其私钥被攻击者Oscar窃取,如果没有证书撤销机制,Oscar就可以冒充Alice登录到Alice的应用系统、解密其他人发送给Alice的机密信息。发布证书撤销信息的最基本思路是:PKI系统中的CA将当前被撤销证书的标识(通常是证书序列号)集中到一个列表中,向PKI系统的所有用户公布。为了防止伪造和篡改,CA需要对这个列表进行数字签名。这个被CA签名的、包含了当前被撤销证书标识的列表,就被称为证书撤销列表(CRL-Certificate Revocat1n List)。使用CRL来检查证书撤销状态的基本过程大致如下:a.首先,证书依赖方(证书依赖方是指使用其他人的证书来进行加密通信、身份鉴别、数字签名验证等安全操作的实体)可以从资料库查询下载得到CRL,验证CRL本身的有效性,包括:验证CRL的数字签名是否正确、CRL是否处于有效期内。b.构造被撤销证书的证书序列号列表。对于不同的CRL机制,有着不同的方法来构造被撤销证书的证书序列号列表。对于基本的CRL机制,从每一个单独的CRL文件就能够得到完整的、当前被撤销证书的证书序列号列表。c.检查证书是否已经被撤销。检查被撤销证书的证书序列号列表,查看被验证证书的序列号是否在其中。如果在列表中,则表示证书已经被撤销;如果不在其中,则表示证书没有被撤销。CRL具有时效性。因为证书撤销状态是随时间变化,而且是不可预测的,所以CRL上面的信息也必须随时变化,才能正确地反应最新的情况。证书依赖方需要及时地获取CRL。不同应用场合,对撤销信息的及时性要求会有所不同。考虑到只有在极少数安全事件发生的时候才需要撤销证书,而大多数情况下,证书是不用被撤销的。一般来说,CA采用周期性的发布CRL的方式来发布证书撤销信息,更新周期长短由PKI系统根据应用需求的不同而具体设定。例如,用于大额电子交易的CRL,其更新周期设定为I小时;用于日常电子邮件保护的CRL,其更新周期设定为48小时。证书依赖方从同一个CRL文件中能够同时知道多个证书的撤销状态。这种服务方式非常适用于证书依赖方与同时许多人进行通信、需要验证很多证书的情况。例如,对于要求用户使用证书登录的网络游戏服务器,服务器只需要定期地从资料库下载到最新的CRL,就能够检查所有用户证书的撤销状态,并没有必要在验证每一个证书的时候与PKI资料库通信。对于CA,提供CRL下载的方式有很多种,如使用CRL分发点机制、增量CRL机制、重定向CRL机制等,证书依赖方要按照不同CA的服务方式进行分别进行配置。CRL的下载方式,有的时候以证书扩展的形式直接写在证书中,则证书依赖方可以自动知道、然后自动去相应的资料库下载CRL。但是,有的时候,CRL的下载方式不写在证书中,就需要证书依赖方在每一个机器上一一手工配置,比较麻烦。而且,有的时候,虽然CRL的下载方式已经写在证书中,但是该方式是某些证书依赖方的计算机系统不支持的,例如LDAP协议,就不一定所有证书依赖方都支持。如上述所说,这些都会带来PKI客户端设计和实现的复杂性,也会给应用系统和使用者带来混乱。另外,证书依赖方收到证书之后,才开始下载CRL,考虑到CRL文件有可能比较大(有的时候,超过IM字节),会带来延迟(因为要等到CRL下载之后,才能够进行后续步骤的工作)。如果能够提前下载,就能够减少通信带来的延迟。随着AMD和Intel相继推出支持硬件虚拟化的产品,虚拟化技术得到广泛应用。企业利用虚拟化,可以减少资金成本、降低空间需求、提高可用性、提升业务的灵活适应力、提高安全性。通过虚拟化技术,可以在同一份物理计算机上运行多个客户虚拟机(VirtualMachine,简称VM),此时物理计算机称为宿主机。虚拟化平台一个重要的组成部分是虚拟机监控器(Virtual Machine Monitor,VMM),它的主要作用是管理宿主机的资源,以使在其之上运行的客户虚拟机可以共享同一套物理主机的资源。虚拟化平台,提供了对多台虚拟机统一管理的能力:通过虚拟化技术实现对客户虚拟机屏蔽底层的差异,上层的客户虚拟机可以用统一的方式使用下层的资源,不论该资源的具体实现方式是什么(可以是软件实现或硬件实现,可以是使用不同形式的硬件来实现)。
技术实现思路
本专利技术提供一种在虚拟化环境中进行数字证书撤销状态检查的方法和系统,通过证书撤销列表管理器管理每个客户虚拟机中的证书依赖方对证书撤销列表CRL的访问;证书撤销列表管理器运行在VMM中,独立于虚拟机之外,作为一个虚拟设备用来管理客户虚拟机中的证书依赖方的证书撤销状态检查服务请求行为,并提供相应的服务。本专利技术的技术方案为:一种虚拟化环境中数字证书撤销状态检查的方法,其步骤为:I)在宿主机上创建多个客户虚拟机,在该宿主机的虚拟机监控器内设置一证书撤销列表管理器;其中,所述证书撤销列表管理器中存储证书撤销列表文件CRL和一配置CRL文件访问地址的配置文件;2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求;其中,所述证书撤销状态检查服务请求包括:证书签发者名称和可选的证书序列号;3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应的CRL文件:a)如果有对应的CRL文件,则将该CRL文件返回给该客户虚拟机中的证书依赖方,或者查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回给该客户虚拟机中的证书依赖方;b)如果没有对应的CRL文件,则根据所述配置文件下载并验证对应的CRL文件,然后将该CRL文件返回给该客户虚拟机中的证书依赖方,或者查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回给该客户虚拟机中的证书依赖方。进一步的,所述证书撤销状态检查服务请求还包括CRL分发点扩展信息;所述步骤3)中,如果没有对应的CRL文件,所述证书撤销列表管理器首先根据该CRL分发点扩展信息访问资料库下载并验证CRL文件,然后查询对应证书的撤销状态信息并将查询结果返回给该客户虚拟机中的证书依赖方。进一步的,当所述证书撤销列表管理器根据该证书撤本文档来自技高网...
【技术保护点】
一种虚拟化环境中数字证书撤销状态检查的方法,其步骤为:1)在宿主机上创建多个客户虚拟机,在该宿主机的虚拟机监控器内设置一证书撤销列表管理器;其中,所述证书撤销列表管理器中存储证书撤销列表文件CRL和一配置CRL文件访问地址的配置文件;2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求;其中,所述证书撤销状态检查服务请求包括:证书签发者名称和可选的证书序列号;3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应的CRL文件:a)如果有对应的CRL文件,则将该CRL文件返回给该客户虚拟机中的证书依赖方,或者查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回给该客户虚拟机中的证书依赖方;b)如果没有对应的CRL文件,则根据所述配置文件下载并验证对应的CRL文件,然后将该CRL文件返回给该客户虚拟机中的证书依赖方,或者查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回给该客户虚拟机中的证书依赖方。
【技术特征摘要】
【专利技术属性】
技术研发人员:林璟锵,李冰雨,王展,荆继武,李从午,夏鲁宁,王琼霄,
申请(专利权)人:中国科学院信息工程研究所,中国科学院数据与通信保护研究教育中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。