本申请实施例提供了一种证书管理方法、装置及电子设备,该方法包括:获取授权信息,授权信息用于确定父证书的授权对象,授权对象为云平台的多个租户中的至少一个;根据授权信息,生成授权对象对应的子证书;子证书用于在授权对象与云平台通信时,根据子证书的秘钥对传送的数据进行加密和/或解密;对子证书的内容进行屏蔽处理,以限制所述授权对象对所述子证书的内容的读取权限;将屏蔽处理后的子证书发送至授权对象。至授权对象。至授权对象。
【技术实现步骤摘要】
证书管理方法、装置、设备及存储介质
[0001]本专利技术涉及一种证书管理方法,尤其涉及一种证书管理方法、装置、电子设备及计算机存储介质。
技术介绍
[0002]在云计算时代,许多企业都通过互联网将企业的业务部署到云平台上,且每个企业都可以在云平台上管理自己的业务,即多个企业可以同时使用一个云管平台,因此,多租户架构已经成为很多软件或者平台系统的需求。在多租户场景下,一个企业或者一个企业的一个部门可能就是云平台上的一个租户,租户根据持有的证书可以在云平台上管理自己的业务,每个租户使用的证书会有区别。目前,一般是各个租户管理自己持有的证书,容易导致证书泄露,若证书泄露,则其它租户或第三方可以根据泄露的证书盗取租户在云平台上的业务数据。
技术实现思路
[0003]本专利技术实施例主要提供一种证书管理方法、装置、电子设备及计算机存储介质。
[0004]本专利技术实施例提供了一种证书管理方法,应用于证书集中管理系统,所述证书集中管理系统用于管理云平台中的父证书;所述方法包括:
[0005]获取授权信息,所述授权信息用于确定所述父证书的授权对象,所述授权对象为所述云平台的多个租户中的至少一个;
[0006]根据所述授权信息,生成所述授权对象对应的子证书;所述子证书用于在所述授权对象与所述云平台通信时,根据所述子证书的秘钥对传送的数据进行加密和/或解密;
[0007]对所述子证书的内容进行屏蔽处理,以限制所述授权对象对所述子证书的内容的读取权限;
[0008]将所述屏蔽处理后的子证书发送至所述授权对象。
[0009]上述方案中,所述根据所述授权信息,生成所述授权对象对应的子证书之后,所述方法还包括:建立所述授权对象的标识信息与所述子证书的索引映射关系。
[0010]可以看出,通过建立授权对象的标识信息与子证书的索引映射关系,证书集中管理系统可以根据租户的标识信息,在索引映射关系中查找该租户被授权持有的子证书。
[0011]上述方案中,在建立所述授权对象的标识信息与所述子证书的索引映射关系后,所述方法还包括:在接收到租户发送的请求重新获取证书的信息的情况下,获取所述租户的标识信息;根据所述租户的标识信息,在所述索引映射关系中查找是否存在与所述租户的标识信息相同的标识信息;若存在,则确定与所述租户的标识信息对应的子证书,并向所述租户发送所述子证书。
[0012]可以看出,在接收到租户发送的请求重新获取证书的信息的情况下,可以根据租户的标识信息,在索引映射关系中查找是否存在与租户的标识信息相同的标识信息,从而确定租户是否存在被授权的子证书,实现证书集中管理系统对证书的有效管理。
[0013]上述方案中,所述获取授权信息,包括:获取云平台中的多个父证书;所述多个父证书中的每个证书中包括至少一个授权字段;针对所述多个父证书中的每个父证书,根据所述至少一个授权字段,提取所述授权信息。
[0014]可以看出,基于云平台中多个父证书中每个父证书的至少一个授权字段,提取得到授权信息,从而根据授权信息生成授权对象对应的子证书,则子证书是根据父证书生成的,无法进行配置,且租户仅能获取到子证书,而无法获取到父证书,能够有效实现租户与父证书之间的隔离。
[0015]上述方案中,在生成所述授权对象对应的子证书后,所述方法还包括:在接收到删除证书的指令后,根据所述父证书的至少一个授权字段,确定至少一个待删除的子证书;向所述父证书的授权对象发送删除所述至少一个待删除的子证书的指令。
[0016]可以看出,在接收到删除证书的指令后,可以向租户发送删除对应的子证书的指令,能够实现证书集中管理系统中的证书资源的一致性。
[0017]上述方案中,所述对所述子证书的内容进行屏蔽处理,以限制所述授权对象对所述子证书的内容的读取权限,包括:将所述授权对象对所述子证书的使用权限确定为允许使用,并将所述授权对象对所述子证书的内容的读取权限确定为禁止读取,以实现对所述子证书的内容进行屏蔽处理。
[0018]可以看出,由于授权对象仅能够使用证书集中管理系统下发的子证书,但无法读取子证书的内容,也就无法泄露子证书,从而能够有效降低云平台中证书泄露的风险。
[0019]本专利技术实施例还提供了一种证书管理装置,应用于证书集中管理系统,所述证书集中管理系统用于管理云平台中的父证书;所述装置包括:
[0020]获取模块,用于获取授权信息,所述授权信息用于确定所述父证书的授权对象,所述授权对象为所述云平台的多个租户中的至少一个;
[0021]证书生成模块,用于根据所述授权信息,生成所述授权对象对应的子证书;所述子证书用于在所述授权对象与所述云平台通信时,根据所述子证书的秘钥对传送的数据进行加密和/或解密;
[0022]屏蔽模块,用于对所述子证书的内容进行屏蔽处理,以限制所述授权对象对所述子证书的内容的读取权限;
[0023]发送模块,用于将所述屏蔽处理后的子证书发送至所述授权对象。
[0024]在一种实现方式中,所述处理模块,在根据所述授权信息,生成所述授权对象对应的子证书之后,还用于:
[0025]建立所述授权对象的标识信息与所述子证书的索引映射关系。
[0026]在一种实现方式中,所述处理模块还用于在建立所述授权对象的标识信息与所述子证书的索引映射关系后,在接收到租户发送的请求重新获取证书的信息的情况下,获取所述租户的标识信息;根据所述租户的标识信息,在所述索引映射关系中查找是否存在与所述租户的标识信息相同的标识信息;若存在,则确定与所述租户的标识信息对应的子证书,并向所述租户发送所述子证书。
[0027]在一种实现方式中,所述获取模块,用于获取授权信息,包括:
[0028]获取云平台中的多个父证书;所述多个父证书中的每个父证书中包括至少一个授权字段;
[0029]针对所述多个父证书中的每个父证书,根据所述至少一个授权字段,提取所述授权信息。
[0030]在一种实现方式中,所述装置还包括删除模块,所述删除模块用于在生成所述授权对象对应的子证书,且在接收到删除证书的指令后,根据所述证书的至少一个授权字段,确定至少一个待删除的子证书;向所述证书的授权对象发送删除所述至少一个待删除的子证书的指令。
[0031]在一种实现方式中,所述屏蔽模块,用于对所述子证书的内容进行屏蔽处理,以限制所述授权对象对所述子证书的内容的读取权限,包括:将所述授权对象对所述子证书的使用权限确定为允许使用,并将所述授权对象对所述子证书的内容的读取权限确定为禁止读取,以实现对所述子证书的内容进行屏蔽处理。
[0032]本专利技术实施例还提供了一种电子设备,该电子设备包括通信接口、处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,
[0033]所述通信接口,用于与所述云平台的各个租户进行信息交互;
[0034]所述处理器运行所述计算机程序以执行以下步骤:获取授权信息,所述授权信息用于确定所述父证书的授权本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种证书管理方法,其特征在于,应用于证书集中管理系统,所述证书集中管理系统用于管理云平台中的父证书;所述方法包括:获取授权信息,所述授权信息用于确定所述父证书的授权对象,所述授权对象为所述云平台的多个租户中的至少一个;根据所述授权信息,生成所述授权对象对应的子证书;所述子证书用于在所述授权对象与所述云平台通信时,根据所述子证书的秘钥对传送的数据进行加密和/或解密;对所述子证书的内容进行屏蔽处理,以限制所述授权对象对所述子证书的内容的读取权限;将所述屏蔽处理后的子证书发送至所述授权对象。2.根据权利要求1所述的方法,其特征在于,所述根据所述授权信息,生成所述授权对象对应的子证书之后,所述方法还包括:建立所述授权对象的标识信息与所述子证书的索引映射关系。3.根据权利要求2所述的方法,其特征在于,在建立所述授权对象的标识信息与所述子证书的索引映射关系后,所述方法还包括:在接收到租户发送的请求重新获取证书的信息的情况下,获取所述租户的标识信息;根据所述租户的标识信息,在所述索引映射关系中查找是否存在与所述租户的标识信息相同的标识信息;若存在,则确定与所述租户的标识信息对应的子证书,并向所述租户发送所述子证书。4.根据权利要求1至3中任意一项所述的方法,其特征在于,所述获取授权信息,包括:获取云平台中的多个父证书;所述多个父证书中的每个父证书中包括至少一个授权字段;针对所述多个父证书中的每个父证书,根据所述至少一个授权字段,提取所述授权信息。5.根据权利要求1至3中任意一项所述的方法,其特征在于,在生成所述授权对象对应的子证书后,所述方法还包括:在接收到删除证书的指令后,根据所述父证书的至少一个授权字段,确定至少一个待删除的子证书;向所述父证书的授权对象发送删除所述至少一个待删除的子证书的指令。6.根据权利要求1至3中任意一项所述的方法,其特征在于,所述对所述子证书的内容进行屏蔽处理,以限制所述授权对象对所述子证书的内容的读取权限...
【专利技术属性】
技术研发人员:方鹏斌,
申请(专利权)人:深圳市深信服信息安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。