基于數(shù)字證書的信息安全實(shí)現(xiàn)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通訊技術(shù)領(lǐng)域���,具體而言��,尤其涉及移動(dòng)互聯(lián)與云計(jì)算領(lǐng)域中一種基于數(shù)字證書的信息安全實(shí)現(xiàn)方法及系統(tǒng)����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的快速進(jìn)步�,計(jì)算資源虛擬化系統(tǒng)被逐漸提出和發(fā)展起來����,由于虛擬化技術(shù)能夠給企業(yè)帶來資源共享以及降低運(yùn)營成本等實(shí)際利益�����,因此當(dāng)前越來越多的企業(yè)選擇云虛擬化平臺(tái)作為自身業(yè)務(wù)的承載����。
[0003]隨著虛擬化技術(shù)的大規(guī)模應(yīng)用,系統(tǒng)的安全性問題也開始被大量關(guān)注��。傳統(tǒng)的安全措施是在邊界防護(hù)接入側(cè)上入手�,即在用戶接入時(shí)進(jìn)行用戶名�����、口令認(rèn)證或CA(Certificate Authority,證書授權(quán)中心)證書的認(rèn)證方式��,以保證用戶和接入通道的安全����。
[0004]而在實(shí)際應(yīng)用當(dāng)中,云虛擬化平臺(tái)的內(nèi)部����,其云計(jì)算物理主機(jī)�����、云計(jì)算虛擬機(jī)的隔離通常采用VLAN(Virtual Local Area Network,虛擬局域網(wǎng))隔離的方式��,通過VLAN隔離技術(shù)�,可以把一個(gè)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備分成若干個(gè)虛擬的工作組,組和組之間的網(wǎng)絡(luò)設(shè)備在二層上相互隔離�。由于VLAN隔離技術(shù)是基于二層和三層之間的隔離,可以將不同的網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)資源進(jìn)行分組����,并通過支持VLAN技術(shù)的交換機(jī)隔離不同組內(nèi)網(wǎng)絡(luò)設(shè)備間的數(shù)據(jù)交換,以此來達(dá)到網(wǎng)絡(luò)安全的目的����。該方式允許同一 VLAN上的用戶互相通信,而處于不同VLAN的用戶之間在數(shù)據(jù)鏈路層上是斷開的����,只能通過三層路由器才能訪問。
[0005]VLAN隔離技術(shù)可以保證物理設(shè)備之間的隔離���,但是對于同一臺(tái)服務(wù)器��,只能做到同時(shí)向多個(gè)VLAN組全面開放或者是只向某個(gè)VLAN組開放�����,而不能針對個(gè)別用戶進(jìn)行限制��。并且在實(shí)際應(yīng)用中�����,一臺(tái)服務(wù)器擔(dān)當(dāng)多種服務(wù)器角色�,同時(shí)為多個(gè)VLAN組用戶提供不同的服務(wù),這也帶來了一定的安全隱患���,基于該隔離技術(shù)使得云虛擬化系統(tǒng)易于被某些惡意個(gè)人或團(tuán)體攻擊破解����,甚至被其非法創(chuàng)建以及控制云計(jì)算虛擬機(jī)���,從而威脅到系統(tǒng)的安全。
【發(fā)明內(nèi)容】
[0006]鑒于此��,本發(fā)明實(shí)施例提供了一種基于數(shù)字證書的信息安全實(shí)現(xiàn)方法及系統(tǒng)���。
[0007]本發(fā)明實(shí)施例采用以下技術(shù)方案實(shí)現(xiàn):
[0008]一種基于數(shù)字證書的信息安全實(shí)現(xiàn)方法���,包括:
[0009]為云管理主機(jī)�����、云計(jì)算物理主機(jī)以及云計(jì)算虛擬機(jī)分別發(fā)放數(shù)字證書����;
[0010]在所述云管理主機(jī)�����、云計(jì)算物理主機(jī)以及云計(jì)算虛擬機(jī)啟動(dòng)時(shí)或運(yùn)行過程中���,依據(jù)相應(yīng)的數(shù)字證書進(jìn)行合規(guī)性認(rèn)證��。
[0011]優(yōu)選地����,為云管理主機(jī)發(fā)放數(shù)字證書的步驟包括:
[0012]CA中心根據(jù)云管理主機(jī)關(guān)鍵屬性信息生成云管理主機(jī)數(shù)字證書����。
[0013]優(yōu)選地���,為云計(jì)算物理主機(jī)發(fā)放數(shù)字證書的步驟包括:
[0014]云管理主機(jī)通過部署于相應(yīng)云計(jì)算物理主機(jī)上的證書代理獲取該云計(jì)算物理主機(jī)關(guān)鍵屬性信息,并據(jù)此向CA中心發(fā)起云計(jì)算物理主機(jī)數(shù)字證書申請��;
[0015]CA中心驗(yàn)證云管理主機(jī)數(shù)字證書��,在驗(yàn)證通過時(shí)根據(jù)云計(jì)算物理主機(jī)關(guān)鍵屬性信息生成云計(jì)算物理主機(jī)數(shù)字證書�����。
[0016]優(yōu)選地���,為云計(jì)算虛擬機(jī)分別發(fā)放數(shù)字證書的步驟包括:
[0017]云管理主機(jī)在驗(yàn)證云計(jì)算虛擬機(jī)所歸屬的云計(jì)算物理主機(jī)正常后���,獲取該云計(jì)算虛擬機(jī)關(guān)鍵屬性信息,并據(jù)此向CA中心發(fā)起云計(jì)算虛擬機(jī)數(shù)字證書申請����;
[0018]CA中心驗(yàn)證云管理主機(jī)數(shù)字證書,在驗(yàn)證通過時(shí)根據(jù)云計(jì)算虛擬機(jī)關(guān)鍵屬性信息生成云計(jì)算虛擬機(jī)數(shù)字證書文件���;
[0019]CA中心向云管理主機(jī)返回加密的云計(jì)算虛擬機(jī)數(shù)字證書文件;
[0020]云管理主機(jī)向云計(jì)算虛擬機(jī)所歸屬的云計(jì)算物理主機(jī)返回加密的云計(jì)算虛擬機(jī)數(shù)字證書文件,云計(jì)算物理主機(jī)通過部署于其上的代理程序驗(yàn)證加密的云計(jì)算虛擬機(jī)數(shù)字證書文件���,根據(jù)云計(jì)算虛擬機(jī)關(guān)鍵屬性信息在證書key中創(chuàng)建隔離的證書容器�����,并將所述云計(jì)算虛擬機(jī)數(shù)字證書寫入證書容器中�。
[0021]優(yōu)選地��,證書key中的每個(gè)證書容器被配置為用于存儲(chǔ)獨(dú)立的數(shù)字證書�����。
[0022]優(yōu)選地�,在云管理主機(jī)啟動(dòng)時(shí),依據(jù)相應(yīng)的數(shù)字證書進(jìn)行合規(guī)性認(rèn)證的步驟包括:
[0023]在云管理主機(jī)啟動(dòng)時(shí)���,部署于云管理主機(jī)上的證書代理向CA中心發(fā)起在線或離線認(rèn)證請求并生成本次認(rèn)證隨機(jī)數(shù)Ra ��;
[0024]CA中心響應(yīng)所述請求并返回認(rèn)證隨機(jī)數(shù)Rb ;
[0025]云管理主機(jī)的證書代理根據(jù)云管理主機(jī)關(guān)鍵屬性信息從證書key中讀取云管理主機(jī)的數(shù)字證書�,使用數(shù)字證書對所述本次認(rèn)證隨機(jī)數(shù)Ra以及認(rèn)證隨機(jī)數(shù)Rb進(jìn)行數(shù)字簽名����,并將所述簽名結(jié)果、云管理主機(jī)的數(shù)字證書以及本次認(rèn)證隨機(jī)數(shù)Ra發(fā)送給CA中心;
[0026]CA中心對接收到的信息進(jìn)行認(rèn)證���,并在認(rèn)證成功后��,通知云管理主機(jī)繼續(xù)啟動(dòng)流程����。
[0027]優(yōu)選地�,在云計(jì)算物理主機(jī)啟動(dòng)時(shí),依據(jù)相應(yīng)的數(shù)字證書進(jìn)行合規(guī)性認(rèn)證的步驟包括:
[0028]在云計(jì)算物理主機(jī)啟動(dòng)時(shí)�����,部署于云計(jì)算物理主機(jī)上的證書代理根據(jù)其云計(jì)算物理主機(jī)關(guān)鍵屬性信息從證書key中讀取該云計(jì)算物理主機(jī)的數(shù)字證書��,向CA中心發(fā)起在線或離線認(rèn)證請求并生成本次認(rèn)證隨機(jī)數(shù)Ra �;
[0029]CA中心響應(yīng)所述請求并返回認(rèn)證隨機(jī)數(shù)Rb ;
[0030]云計(jì)算物理主機(jī)的證書代理根據(jù)云計(jì)算物理主機(jī)關(guān)鍵屬性信息從證書key中讀取該云計(jì)算物理主機(jī)的數(shù)字證書��,使用數(shù)字證書對所述本次認(rèn)證隨機(jī)數(shù)Ra以及認(rèn)證隨機(jī)數(shù)Rb進(jìn)行數(shù)字簽名�,并將所述簽名結(jié)果、云計(jì)算物理主機(jī)的數(shù)字證書以及本次認(rèn)證隨機(jī)數(shù)Ra發(fā)送給CA中心��;
[0031]CA中心對接收到的信息進(jìn)行認(rèn)證�,并在認(rèn)證成功后�,通知云計(jì)算物理主機(jī)繼續(xù)啟動(dòng)流程�����。
[0032]優(yōu)選地�,在云計(jì)算虛擬機(jī)啟動(dòng)時(shí)�����,依據(jù)相應(yīng)的數(shù)字證書進(jìn)行合規(guī)性認(rèn)證的步驟包括:
[0033]在云計(jì)算虛擬機(jī)啟動(dòng)時(shí)����,其所歸屬的云計(jì)算物理主機(jī)上的證書代理根據(jù)云計(jì)算虛擬機(jī)關(guān)鍵屬性信息從證書key中的相應(yīng)證書容器中讀取云計(jì)算虛擬機(jī)數(shù)字證書,向CA中心發(fā)起在線或離線認(rèn)證請求并生成本次認(rèn)證隨機(jī)數(shù)Ra �;
[0034]CA中心響應(yīng)所述請求并返回認(rèn)證隨機(jī)數(shù)Rb ;
[0035]云計(jì)算物理主機(jī)上的證書代理根據(jù)所述云計(jì)算虛擬機(jī)數(shù)字證書對所述本次認(rèn)證隨機(jī)數(shù)Ra以及認(rèn)證隨機(jī)數(shù)Rb進(jìn)行數(shù)字簽名��,并將簽名結(jié)果���、云計(jì)算虛擬機(jī)數(shù)字證書以及本次認(rèn)證隨機(jī)數(shù)Ra發(fā)送給CA中心����;
[0036]CA中心對接收到的信息進(jìn)行認(rèn)證���,并在認(rèn)證成功后��,通知云計(jì)算虛擬機(jī)繼續(xù)啟動(dòng)流程�����。
[0037]優(yōu)選地�,在云管理主機(jī)運(yùn)行過程中,依據(jù)相應(yīng)的數(shù)字證書進(jìn)行合規(guī)性認(rèn)證的步驟包括:
[0038]在第一定時(shí)器時(shí)間到時(shí)�����,云管理主機(jī)的證書代理獲取云管理主機(jī)關(guān)鍵屬性信息��,并據(jù)此從證書key中讀取云管理主機(jī)的數(shù)字證書并向CA中心發(fā)起在線或離線認(rèn)證請求:當(dāng)CA中心認(rèn)證通過時(shí)��,云管理主機(jī)繼續(xù)運(yùn)行�;否則,CA中心生成告警���,并發(fā)送通知消息以通知管理員進(jìn)行處理���。
[0039]優(yōu)選地,在云計(jì)算物理主機(jī)運(yùn)行過程中����,依據(jù)相應(yīng)的數(shù)字證書進(jìn)行合規(guī)性認(rèn)證的步驟包括:
[0040]在第二定時(shí)器時(shí)間到時(shí)��,云計(jì)算物理主機(jī)的證書代理獲取云計(jì)算物理主機(jī)關(guān)鍵屬性信息��,并據(jù)此從證書key中讀取云計(jì)算物理主機(jī)的數(shù)字證書并向CA中心發(fā)起在線或離線認(rèn)證請求:當(dāng)CA中心認(rèn)證通過時(shí)��,云計(jì)算物理主機(jī)繼續(xù)運(yùn)行;否則��,CA中心生成告警�����,并發(fā)送通知消息以通知管理員進(jìn)行處理����。
[0041]優(yōu)選地,在云計(jì)算虛擬機(jī)運(yùn)行過程中�,依據(jù)相應(yīng)的數(shù)字證書進(jìn)行合規(guī)性認(rèn)證的步驟包括:
[0042]在第三定時(shí)器時(shí)間到時(shí),云計(jì)算虛擬機(jī)所歸屬的云計(jì)算物理主機(jī)的證書代理獲取云計(jì)算虛擬機(jī)關(guān)鍵屬性信息�����,并據(jù)此從證書key中的相應(yīng)證書容器中讀取云計(jì)算虛擬機(jī)數(shù)字證書并向CA中心發(fā)起在線或離線認(rèn)證請求:當(dāng)CA中心認(rèn)證通過時(shí),云計(jì)算虛擬機(jī)繼續(xù)運(yùn)行����;否則���,CA中心生成告警,并發(fā)送通知消息以通知管理員進(jìn)行處理����。
[0043]一種基于數(shù)字證書的信息安全實(shí)現(xiàn)系統(tǒng),其包括:
[0044]CA 中心���;
[0045]云管理主機(jī)���;
[0046]云計(jì)算物理主機(jī);
[0047]以及�����,根據(jù)所述云計(jì)算物理主機(jī)而創(chuàng)建的至少一個(gè)云計(jì)算虛擬機(jī)����;
[0048]CA中心在云管理主機(jī)的管理控制下為云管理主機(jī)、云計(jì)算物理主機(jī)以及云計(jì)算虛擬機(jī)分別發(fā)放數(shù)字證書��,以及�����,在所述云管理主機(jī)、云計(jì)算物理主機(jī)以及云計(jì)算虛擬機(jī)啟動(dòng)時(shí)或運(yùn)行過程中���,其均依據(jù)相應(yīng)的數(shù)字證書進(jìn)行合規(guī)性認(rèn)證����。
[0049]本發(fā)明實(shí)施例提供的基于數(shù)字證書的信息安全實(shí)現(xiàn)方法借鑒數(shù)字證書信任鏈的技術(shù)��,與云管理系統(tǒng)結(jié)合��,打造從云管理系統(tǒng)�、物理主機(jī)�����、虛擬機(jī)的可信系統(tǒng)����,著重于系統(tǒng)主機(jī)平臺(tái)自身的安全防護(hù),提高了云虛擬化平臺(tái)的安全性�����。
【附圖說明】
[0050]圖1是本發(fā)明實(shí)施例中云管理主機(jī)數(shù)字證書發(fā)放的流程圖;
[0051]圖2是本發(fā)明實(shí)施例中云計(jì)算物理主機(jī)數(shù)字證書發(fā)放的流程圖����;
[0052]圖3是本發(fā)明實(shí)施例中云計(jì)算虛擬機(jī)數(shù)字證書發(fā)放的流程圖;
[0053]圖4是本發(fā)明實(shí)施例中云管理主機(jī)依據(jù)數(shù)字證書進(jìn)行在線認(rèn)證的流程圖����;
[0054]圖5是本發(fā)明實(shí)施例中云計(jì)算物理主機(jī)依據(jù)數(shù)字證書進(jìn)行在線認(rèn)證的流程圖;
[0055]圖6是本發(fā)明實(shí)施例中云計(jì)算虛擬機(jī)在手工啟動(dòng)時(shí)依據(jù)數(shù)字證書進(jìn)行在線認(rèn)證的流程圖����;