CN104980438B - 一种虚拟化环境中数字证书撤销状态检查的方法和系统 - Google Patents

一种虚拟化环境中数字证书撤销状态检查的方法和系统 Download PDF

Info

Publication number
CN104980438B
CN104980438B CN201510328899.4A CN201510328899A CN104980438B CN 104980438 B CN104980438 B CN 104980438B CN 201510328899 A CN201510328899 A CN 201510328899A CN 104980438 B CN104980438 B CN 104980438B
Authority
CN
China
Prior art keywords
certificate
crl
virtual machine
guest virtual
revocation list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510328899.4A
Other languages
English (en)
Other versions
CN104980438A (zh
Inventor
林璟锵
李冰雨
王展
荆继武
李从午
夏鲁宁
王琼霄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Data Assurance and Communication Security Research Center of CAS
Original Assignee
Institute of Information Engineering of CAS
Data Assurance and Communication Security Research Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS, Data Assurance and Communication Security Research Center of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201510328899.4A priority Critical patent/CN104980438B/zh
Priority to PCT/CN2015/084033 priority patent/WO2016201754A1/zh
Priority to US15/118,763 priority patent/US10135623B2/en
Publication of CN104980438A publication Critical patent/CN104980438A/zh
Application granted granted Critical
Publication of CN104980438B publication Critical patent/CN104980438B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45545Guest-host, i.e. hypervisor is an application program itself, e.g. VirtualBox
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种虚拟化环境中数字证书撤销状态检查的方法和系统。本方法为:1)在宿主机上创建多个客户虚拟机,在该宿主机的虚拟机监控器内设置一证书撤销列表管理器;2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求;3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应CRL文件:a)如果有则将该CRL文件返回给该客户虚拟机中的证书依赖方,或查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回;b)如果没有对应CRL文件,则下载并验证对应的CRL文件返回,或查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回。本发明大大提高了查询效率。

Description

一种虚拟化环境中数字证书撤销状态检查的方法和系统
技术领域
本发明涉及计算机安全领域,特别涉及一种在虚拟化环境中进行数字证书撤销状态检查的方法和系统。
背景技术
公钥基础设施(PKI:Public Key Infrastructure)在公钥密码技术的基础上,主要解决密钥属于谁,即密钥认证的问题。PKI通过由数字证书认证中心(CA:CertificationAuthority)签发数字证书来实现密钥认证的服务,也就是发布公钥属于谁的信息,使得网络上的数字签名等各种安全服务有了基础的安全保障。
CA作为第三方的数字证书认证中心,是PKI系统中通信双方都信任的实体,由它负责签发数字证书。一个数字证书(简称证书)中绑定了公钥数据和相应私钥拥有者的身份信息,并带有CA的数字签名(简称签名)。通过数字证书,PKI很好地证明了公钥属于谁的问题。证书是有时限的,在有效期之后,证书就不再是有效的证书,证书所表示的绑定关系也就不再存在。
由于密钥泄露、证书持有者身份信息改变、公钥算法被破解等原因,使证书在到期之前,解除绑定关系、中途作废证书的行为称为证书撤销。如果缺少证书撤销,PKI就会面临很大的安全威胁。例如,Alice在证书到期之前,其私钥被攻击者Oscar窃取,如果没有证书撤销机制,Oscar就可以冒充Alice登录到Alice的应用系统、解密其他人发送给Alice的机密信息。
发布证书撤销信息的最基本思路是:PKI系统中的CA将当前被撤销证书的标识(通常是证书序列号)集中到一个列表中,向PKI系统的所有用户公布。为了防止伪造和篡改,CA需要对这个列表进行数字签名。这个被CA签名的、包含了当前被撤销证书标识的列表,就被称为证书撤销列表(CRL:Certificate Revocation List)。
使用CRL来检查证书撤销状态的基本过程大致如下:
a.首先,证书依赖方(证书依赖方是指使用其他人的证书来进行加密通信、身份鉴别、数字签名验证等安全操作的实体)可以从资料库查询下载得到CRL,验证CRL本身的有效性,包括:验证CRL的数字签名是否正确、CRL是否处于有效期内。
b.构造被撤销证书的证书序列号列表。对于不同的CRL机制,有着不同的方法来构造被撤销证书的证书序列号列表。对于基本的CRL机制,从每一个单独的CRL文件就能够得到完整的、当前被撤销证书的证书序列号列表。
c.检查证书是否已经被撤销。检查被撤销证书的证书序列号列表,查看被验证证书的序列号是否在其中。如果在列表中,则表示证书已经被撤销;如果不在其中,则表示证书没有被撤销。
CRL具有时效性。因为证书撤销状态是随时间变化,而且是不可预测的,所以CRL上面的信息也必须随时变化,才能正确地反应最新的情况。证书依赖方需要及时地获取CRL。不同应用场合,对撤销信息的及时性要求会有所不同。考虑到只有在极少数安全事件发生的时候才需要撤销证书,而大多数情况下,证书是不用被撤销的。一般来说,CA采用周期性的发布CRL的方式来发布证书撤销信息,更新周期长短由PKI系统根据应用需求的不同而具体设定。例如,用于大额电子交易的CRL,其更新周期设定为1小时;用于日常电子邮件保护的CRL,其更新周期设定为48小时。
证书依赖方从同一个CRL文件中能够同时知道多个证书的撤销状态。这种服务方式非常适用于证书依赖方与同时许多人进行通信、需要验证很多证书的情况。例如,对于要求用户使用证书登录的网络游戏服务器,服务器只需要定期地从资料库下载到最新的CRL,就能够检查所有用户证书的撤销状态,并没有必要在验证每一个证书的时候与PKI资料库通信。
对于CA,提供CRL下载的方式有很多种,如使用CRL分发点机制、增量CRL机制、重定向CRL机制等,证书依赖方要按照不同CA的服务方式进行分别进行配置。CRL的下载方式,有的时候以证书扩展的形式直接写在证书中,则证书依赖方可以自动知道、然后自动去相应的资料库下载CRL。但是,有的时候,CRL的下载方式不写在证书中,就需要证书依赖方在每一个机器上一一手工配置,比较麻烦。而且,有的时候,虽然CRL的下载方式已经写在证书中,但是该方式是某些证书依赖方的计算机系统不支持的,例如LDAP协议,就不一定所有证书依赖方都支持。如上述所说,这些都会带来PKI客户端设计和实现的复杂性,也会给应用系统和使用者带来混乱。另外,证书依赖方收到证书之后,才开始下载CRL,考虑到CRL文件有可能比较大(有的时候,超过1M字节),会带来延迟(因为要等到CRL下载之后,才能够进行后续步骤的工作)。如果能够提前下载,就能够减少通信带来的延迟。
随着AMD和Intel相继推出支持硬件虚拟化的产品,虚拟化技术得到广泛应用。企业利用虚拟化,可以减少资金成本、降低空间需求、提高可用性、提升业务的灵活适应力、提高安全性。通过虚拟化技术,可以在同一份物理计算机上运行多个客户虚拟机(VirtualMachine,简称VM),此时物理计算机称为宿主机。虚拟化平台一个重要的组成部分是虚拟机监控器(Virtual Machine Monitor,VMM),它的主要作用是管理宿主机的资源,以使在其之上运行的客户虚拟机可以共享同一套物理主机的资源。虚拟化平台,提供了对多台虚拟机统一管理的能力:通过虚拟化技术实现对客户虚拟机屏蔽底层的差异,上层的客户虚拟机可以用统一的方式使用下层的资源,不论该资源的具体实现方式是什么(可以是软件实现或硬件实现,可以是使用不同形式的硬件来实现)。
发明内容
本发明提供一种在虚拟化环境中进行数字证书撤销状态检查的方法和系统,通过证书撤销列表管理器管理每个客户虚拟机中的证书依赖方对证书撤销列表CRL的访问;证书撤销列表管理器运行在VMM中,独立于虚拟机之外,作为一个虚拟设备用来管理客户虚拟机中的证书依赖方的证书撤销状态检查服务请求行为,并提供相应的服务。
本发明的技术方案为:
一种虚拟化环境中数字证书撤销状态检查的方法,其步骤为:
1)在宿主机上创建多个客户虚拟机,在该宿主机的虚拟机监控器内设置一证书撤销列表管理器;其中,所述证书撤销列表管理器中存储证书撤销列表文件CRL和一配置CRL文件访问地址的配置文件;
2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求;其中,所述证书撤销状态检查服务请求包括:证书签发者名称和可选的证书序列号;
3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应的CRL文件:a)如果有对应的CRL文件,则将该CRL文件返回给该客户虚拟机中的证书依赖方,或者查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回给该客户虚拟机中的证书依赖方;b)如果没有对应的CRL文件,则根据所述配置文件下载并验证对应的CRL文件,然后将该CRL文件返回给该客户虚拟机中的证书依赖方,或者查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回给该客户虚拟机中的证书依赖方。
进一步的,所述证书撤销状态检查服务请求还包括CRL分发点扩展信息;所述步骤3)中,如果没有对应的CRL文件,所述证书撤销列表管理器首先根据该CRL分发点扩展信息访问资料库下载并验证CRL文件,然后查询对应证书的撤销状态信息并将查询结果返回给该客户虚拟机中的证书依赖方。
进一步的,当所述证书撤销列表管理器根据该证书撤销状态检查服务请求下载对应的CRL文件后,所述证书撤销列表管理器重新配置该CRL文件的下载周期。
进一步的,所述证书撤销列表管理器根据所述配置文件定期更新本地的CRL文件。
进一步的,所述证书撤销管理器定期地查看本地存储的CRL文件,将不在有效期内的CRL文件删除;或者在向客户虚拟机中的证书依赖方提供查询服务读取对应的CRL文件时检查该CRL文件的有效期,如果不在有效期内,则重新下载相应的最新CRL文件。
进一步的,所述证书撤销列表管理器与所述客户虚拟机之间采用Virtio技术进行通信;其中,前端驱动位于所述客户虚拟机中,后端驱动位于所述虚拟机监控器内;所述前端驱动与所述后端驱动将执行信息存储到一环形缓冲区,所述前端驱动与所述后端驱动通过共享该环形缓冲区进行数据通信。
进一步的,客户虚拟机动态申请内存,并把所申请的虚拟内存地址发送给所述证书撤销列表管理器,所述证书撤销列表管理器通过添加一个偏移得到该内存区域的虚拟地址,该虚拟机与所述证书撤销列表管理器通过共享该内存区域进行通信。
一种虚拟化环境中数字证书撤销状态检查系统,其特征在于,包括一宿主机,所述宿主机上创建有多个客户虚拟机,在该宿主机的虚拟机监控器内设置一证书撤销列表管理器;所述证书撤销列表管理器中存储证书撤销列表文件CRL和一配置CRL文件访问地址的配置文件;其中,所述证书撤销列表管理器,用于管理每个客户虚拟机中的证书依赖方对证书撤销列表CRL的服务请求。
进一步的,所述证书撤销管理器定期地查看本地存储的CRL文件,将不在有效期内的CRL文件删除;或者在向客户虚拟机中的证书依赖方提供查询服务读取对应的CRL文件时检查该CRL文件的有效期,如果不在有效期内,则重新下载相应的最新CRL文件。
进一步的,所述证书撤销列表管理器与所述客户虚拟机之间采用Virtio技术进行通信;其中,前端驱动位于所述客户虚拟机中,后端驱动位于所述虚拟机监控器内;所述前端驱动与所述后端驱动将执行信息存储到一环形缓冲区,所述前端驱动与所述后端驱动通过共享该环形缓冲区进行数据通信。
本发明的证书撤销列表管理器可以在基于Xen的虚拟化平台中实现,也可以在基于VMware ESX/ESXi和Hyper-V的虚拟化平台中实现,还可以在基于Linux KVM-QEMU的虚拟化平台中实现。
本发明利用证书撤销列表管理器实现了在虚拟化环境中为客户虚拟机中的证书依赖方提供证书撤销状态检查服务,证书撤销列表管理器运行在VMM中。在证书撤销列表管理器中存储CRL文件。上层的客户虚拟机中的证书依赖方不再需要去直接访问资料库下载CRL文件,它只需要通过证书撤销列表管理器提供的接口向证书撤销列表管理器发送所要验证的证书信息或者是请求特定的CRL文件,证书撤销列表管理器就会返回相应的证书撤销状态结果或相应的CRL文件给上层的客户虚拟机中的证书依赖方。
本发明通过把证书撤销列表作为虚拟化资源的一部分,在虚拟化环境中,为客户虚拟机中的证书依赖方提供证书撤销状态查询服务。从客户虚拟机的角度看,通过证书撤销列表管理器获得的证书撤销列表如同是快速访问所在计算机存储的一个CRL文件,但实际上是由证书撤销列表管理器从PKI资料库中获取并管理的。
客户虚拟机中的证书依赖方可以选择请求证书撤销列表管理器完成证书撤销状态的检查,证书撤销列表管理器根据自己获取的CRL文件来进行撤销状态的检查;也可以选择请求证书列表管理器提供所需的CRL文件,此时,证书撤销列表管理器会向客户虚拟机中的证书依赖方发送相应的CRL文件,客户虚拟机中的证书依赖方获取相应的CRL文件后自行检查证书是否在证书撤销列表中。
客户虚拟机中的证书依赖方向证书撤销列表管理器提出证书撤销状态检查服务请求或CRL文件请求的时候,需要提供以下信息:证书签发者名称(即X.509证书中的Issuer域)和证书序列号(即X.509证书中的Serial Number域),如果证书上写有CRL分发点扩展(即X.509证书中的CRL Distribution Points扩展域),则客户虚拟机中的证书依赖方还可以同时提供该信息。证书撤销列表管理器根据客户虚拟机中的证书依赖方提供的信息查找管理器中是否存储相应的CRL文件,如果存在则检查该证书是否已经被撤销并将结果返回给客户虚拟机中的证书依赖方、或者返回该CRL文件。如果管理器中没有存储相应的CRL文件,则证书撤销列表管理器首先根据客户虚拟机中的证书依赖方提供的CRL分发点扩展信息访问资料库下载相应的CRL文件,验证CRL文件的有效性以后,返回该CRL文件给客户虚拟机中的证书依赖方或检查证书是否已经被撤销并在完成检查后将结果返回给客户虚拟机中的证书依赖方。如果客户虚拟机中的证书依赖方没有提供CRL分发点扩展信息,则证书列表管理器根据自己的预先配置,首先根据证书签发者名称标识查找管理器中是否存储相应的CRL文件,如果不存在,则访问预先配置的该CRL资料库地址,下载最新的CRL文件,完成证书的撤销状态检查过程。如果找不到该CRL资料库地址,则返回失败。上述配置由证书撤销列表管理器的管理员通过在宿主机的操作接口手动配置完成。
相比于传统的证书依赖方软件程序(当客户虚拟机中的证书依赖方需要检查证书撤销状态的时候,直接去访问PKI资料库,下载最新的CRL文件,检查所要查询的证书序列号是否在CRL文件列表中),本发明对证书依赖方软件程序作出相应改动:当客户虚拟机中的证书撤销依赖方需要检查证书撤销状态的时候,首先选择查询方式,或选择证书撤销状态检查服务或选择获取CRL文件服务。此时,证书撤销依赖方软件程序根据选择情况,向证书撤销列表管理器发出相应的请求,并提供查询所需要的证书信息。证书撤销列表管理器完成服务请求,并将结果返回给证书依赖方软件程序做后续处理。
与现有技术相比,本发明的证书撤销列表管理器具有以下优点:
a.通过统一的接口为客户虚拟机中的证书依赖方提供证书撤销状态查询服务,不需要客户虚拟机同时支持多种不同的网络访问协议。
b.将CRL文件从客户虚拟机中隔离出来,进行集中管理。
c.所有对CRL机制的配置在宿主机中通过操作接口访问证书撤销列表管理器来完成,省去上文提到的每一台客户虚拟机使用者需要进行的繁琐操作。
在这种结构下,证书撤销列表管理器具有以下优点:
a.简化CRL机制配置管理。上层的各个客户虚拟机无须分别进行配置,只需要在下层的证书撤销列表管理器中统一配置一次即可。
b.提高证书撤销检查效率,减少延迟。在一个范围内(例如,一个企业内的所有虚拟桌面系统),用户们可能会与相同的对象群进行通信,因此它们所要检查的证书所属的CRL文件大多是相同的,即运行在同一VMM之上的多个客户虚拟机中的证书依赖方所用的证书撤销列表大多时候是相同的。当证书撤销列表管理器根据某一客户虚拟机中的证书依赖方的请求下载某一个CRL文件后,后续的客户虚拟机中的证书依赖方请求相同的CRL文件时,证书撤销列表管理器就可以立即返回该CRL文件、无须再去PKI资料库下载。而且,证书撤销列表管理器还可以周期性地、预先下载最新的该CRL文件,使得能够更及时响应下一次某一客户虚拟机中的证书依赖方对该CRL的请求。上述措施,可以减少客户虚拟机中的证书依赖方检查证书撤销状态的延迟。这种高效性,在上层客户虚拟机越多的情况下,表现的越明显,特别适合企业级的虚拟桌面系统。
附图说明
图1是实施例中证书撤销状态检查服务示意图。
图2是实施例中Virtio体系结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附图,对本发明做进一步说明。
本实施例使用的证书撤销列表管理器是在KVM-QEMU虚拟化平台中实现的,其配置界面集成在QEMU控制台,并提供操作接口给证书撤销列表管理器管理员,使得管理员可以在宿主机中直接对证书撤销列表管理器进行配置。KVM是Linux内核的一个模块,它是整个KVM-QEMU虚拟化平台的核心,它负责初始化处理器,并通过ioctl系统调用提供一系列的VMM管理接口,比如创建VM、映射VM的物理地址、给VM分配虚拟CPU(vCPU)等。KVM模块的工作主要是可以通过操作客户虚拟机控制数据结构(Virtual-Machine Control DataStructures,VMCS)捕捉客户虚拟机的IO指令(包括Port IO和mmap IO)以及实现中断虚拟化。QEMU进程提供对客户虚拟机平台的模拟,通过调用KVM的接口来执行客户虚拟机的代码。
图1是采用本发明方法在虚拟化环境中提供证书撤销状态检查服务的示意图。证书撤销列表存储在证书撤销列表管理器中,证书撤销列表管理器运行在KVM-QEMU中,由QEMU提供操作界面,对证书撤销列表管理器进行配置,如设置各证书签发者对应的PKI资料库地址、CRL下载周期等。在客户虚拟机中的证书依赖方提出证书撤销状态检查服务请求并选择证书撤销状态检查方式后,证书撤销列表管理器响应请求,根据客户虚拟机中的证书依赖方选择的方式,提供证书撤销状态检查服务。该证书撤销列表管理器通过KVM-QEMU,可以向上层客户虚拟机提供读取接口,客户虚拟机可以读取CRL文件;也可以向上层客户虚拟机提供证书撤销状态检查接口。证书撤销列表管理器根据客户虚拟机中的证书依赖方通过接口发过来的请求,提供相应的服务:一种是将所需CRL文件通过读取接口传递给上层客户虚拟机中的证书依赖方,另一种是完成证书撤销状态检查并直接将结果通过证书撤销状态检查接口返回给客户虚拟机中的证书依赖方。
在实施例中,采用Virtio技术完成证书撤销列表管理器和客户虚拟机之间证书撤销状态检查服务请求和结果的传递,Virtio的基本结构框架如图2所示:其中前端驱动(front-end,如virtio-blk、virtio-net等)是在客户虚拟机中存在的驱动程序模块,而后端处理程序(back-end)是在QEMU中实现的。在本实施例中,前端驱动是virtio-crl(虚拟证书撤销列表设备),而后端处理程序是由证书撤销列表管理器完成,或是提供请求所需的CRL文件,或是完成证书撤销状态检查并返回验证结果。
在前后端驱动之间,还定义了两层结构来支持客户虚拟机与QEMU之间的通信。其中,“virtio”这一层是虚拟队列(virtqueues)接口,它在概念上将前端驱动程序附加到后端处理程序,虚拟队列通过调用下层virtio-ring使前端驱动程序与后端处理程序在相同的应用二进制接口(ABI:Application Binary Interface)下,能够相互发送及接收数据,为双方通信提供通道。因此,虚拟队列被视为客户虚拟机和VMM的衔接点。在本实例中virtio-crl在初始化时实例化一对虚拟队列virtqueues用于传递证书撤销状态检查服务消息。
virtio_ring是virtio传输机制的实现,它引入环形缓冲区(ring buffers)来作为数据传输的载体,用于保存前端驱动和后端处理程序执行的信息,并且它可以一次性保存前端驱动的多次I/O请求,并且交由后端驱动去批量处理。virtqueue是一个简单的队列,客户虚拟机把环形缓冲区插入其中,每个环形缓冲区都是一个分散-聚集数组。virtio_ring包含3部分:描述符表格(descriptor table)用于存储一些关联的描述符,每个描述符都是一个对buffer的描述,包含一个地址/长度的配对;可用的ring(available ring)用于客户虚拟机端表示哪些描述符链当前是可用的;使用过的ring(used ring)用于宿主机端表示哪些描述符已经使用。通过函数add_buf来向QEMU提供请求,该请求以散集列表的形式存在。客户虚拟机通过函数add_buf将请求添加到队列virtqueue中、提供散集列表(包括:地址和长度的数组)等。当通过add_buf函数向QEMU发出请求时,首先将buffer信息添加到描述符表格中,填充地址,长度,然后更新available ring head(它指向客户虚拟机提供的可用的ring链表的头),最后客户虚拟机通过kick函数通知QEMU新的请求。为了获得最佳的性能,客户虚拟机应该在通过kick发出通知之前将尽可能多的环形缓冲区装载到virtqueue。宿主机收到新的请求后,使用virtqueue_pop()函数从描述符表格中找到available ring中添加的环形缓冲区,映射内存,从分散-聚集的缓冲区中读取数据,处理请求。宿主机完成处理后,将处理结果写入到使用过的环形缓冲区中。客户虚拟机通过get_buf函数触发来自QEMU的响应。客户虚拟机仅需调用该函数或通过提供的virtqueuecallback函数等待通知就可以实现轮询。当客户虚拟机知道环形缓冲区可用时,调用get_buf返回使用过的环形缓冲区,获取数据,释放环形缓冲区,更新环形缓冲区描述符表格中的标记。至此,客户虚拟机与宿主机完成了一次通信。在本实施例中,客户虚拟机动态申请内存,并把所申请的客户虚拟机上的物理内存地址通过PCI配置接口发送给证书撤销列表管理器。KVM用一个kvm_memory_slot数据结构来记录每一个客户虚拟机地址区间到宿主机的映射关系,此数据结构包含了对应此映射区间的起始客户虚拟机页帧号(Guest FrameNumber,GFN),映射的内存页数目以及起始宿主机虚拟地址。所以KVM就可以实现对客户虚拟机物理地址到宿主机虚拟地址之间的转换,也即首先根据客户虚拟机物理地址找到对应的映射区间,然后根据此客户虚拟机物理地址在此映射区间的偏移量就可以得到其对应的宿主机虚拟地址。因此证书撤销列表管理器在找到对应的映射区间后通过添加描述符中提供的地址偏移量得到该内存区域的虚拟地址,两者通过该共享的内存区域(即环形缓冲区)进行通信。
在本实例中证书撤销列表管理器由virtio-crl驱动,后者利用PCI接口被客户机操作系统识别。挂载证书撤销列表管理器的客户虚拟机启动时,virtio-crl-pci驱动的probe函数被触发,并通过register_virtio_driver向virtio-crl注册,表示该证书撤销列表管理器对应于virtio-crl驱动程序。此时,virtio-crl与证书撤销列表管理器之间建立了通信信道。客户虚拟机可以利用virtio-crl向证书撤销列表管理器发送请求信息,并接受证书撤销列表管理器返回的信息。为了给客户虚拟机提供识别证书撤销列表管理器的支持,需要给QEMU启动命令添加virtio-crl-pci选项。
在使用证书撤销列表管理器之前,首先需要管理员完成对证书撤销列表管理器的配置工作,主要配置证书撤销列表管理器在以下两种情况下的工作机制:
a.客户虚拟机中的证书依赖方请求证书撤销状态检查的时候提供了CRL分发点:
证书撤销列表管理器首先根据客户虚拟机中的证书依赖方提供的信息,查找管理器中是否存储相应的CRL文件,如果存在,则在检查有效后,直接使用该CRL文件,完成客户虚拟机中的证书依赖方的请求:或返回证书撤销状态检查结果,或返回客户虚拟机中的证书依赖方该CRL文件。
如果管理器中没有存储相应的CRL文件,则证书撤销列表管理器根据客户虚拟机中的证书依赖方提供的CRL分发点地址,访问相应的资料库,下载最新的CRL文件,在验证CRL文件的有效性通过以后,使用该CRL文件完成客户虚拟机中的证书依赖方的请求。同时,管理器会将该CRL文件存储在管理器中,用于后续的客户虚拟机中的证书依赖方请求。
b.客户虚拟机中的证书依赖方请求证书撤销状态检查的时候没有提供CRL分发点:
管理员提前配置对于指定证书签发者的CRL文件获取途径,并将该地址存储在证书撤销列表管理器中。
设置证书撤销列表管理器首先根据证书签发者标识查找配置文件是否存有对应的CRL文件,如果存在,则直接使用该CRL文件;如果不存在,则根据配置文件中的CRL文件资料库访问地址,下载最新的CRL文件,并返回给客户虚拟机;同时,管理器会将该CRL文件存储在管理器中,用于后续的客户虚拟机中的证书依赖方请求。如果管理器中没有存储对应的CRL文件以及资料库访问地址都不存在,则证书撤销列表管理器返回失败标识给客户虚拟机中的证书依赖方。
管理员还需要配置证书撤销列表管理器对不在有效期内的CRL文件的删除工作,证书撤销列表管理器可以通过两种途径完成,具体如下:证书撤销管理器定期地查看管理器中存储的CRL文件,将不在有效期内的CRL文件删除;也可以是,在向客户虚拟机中的证书依赖方提供服务时,读取管理器中存储的CRL文件后,检查有效期,如果发现已经不在有效期内,就重新根据证书提供的CRL分发点或根据配置文件中配置的CRL文件访问地址访问资料库下载相应的最新CRL文件。
客户虚拟机中的证书依赖方向证书撤销列表管理器提出证书撤销状态检查服务请求的步骤如下(分为两种方式):
a.方式一,客户虚拟机中的证书依赖方请求证书撤销列表管理器完成证书撤销状态的检查:
1)客户虚拟机中的证书依赖方通过virtio-crl向证书撤销列表管理器提供所需检查撤销状态的证书信息。
2)证书撤销列表管理器根据证书的信息查找管理器中是否存储相应的CRL文件。信息包括证书签发者名称(即X.509证书中的Issuer域)以及证书序列号(即X.509证书中的Serial Number域),如果证书上写有CRL分发点扩展(即X.509证书中的CRL DistributionPoints扩展域),则客户虚拟机中的证书依赖方还需要提供该信息。
3)如果管理器中存在所需要的CRL文件:则检查该证书的序列号是否在其中,如果在列表之中,则表示证书已经被撤销;如果不在其中,则表示证书没有被撤销。证书撤销列表管理器在完成检查后将结果返回给客户虚拟机中的证书依赖方,本次证书撤销状态检查服务结束。如果管理器中没有存储相应的CRL文件,则跳转到步骤4)。
4)如果管理器中没有存储相应的CRL文件:则证书撤销列表管理器首先根据证书提供的CRL分发点或根据配置文件中配置的CRL文件访问地址访问资料库下载相应的最新CRL文件,验证CRL文件的有效性通过以后,管理器会将该CRL文件存储在管理器中。然后,证书撤销列表管理器根据该CRL检查证书是否已经被撤销,并将检查结果返回给客户虚拟机中的证书依赖方。本次证书撤销状态检查服务结束。
b.方式二,客户虚拟机中的证书依赖方请求证书撤销列表管理器提供所需的CRL文件:
1)客户虚拟机中的证书依赖方通过virtio-crl向证书撤销列表管理器提供签发者名称,如果证书上写有CRL分发点扩展,则客户虚拟机中的证书依赖方还需要提供该信息。
2)证书撤销列表管理器根据客户虚拟机中的证书依赖方提供的信息查找管理器中是否存储相应的CRL文件。
3)如果管理器中存在所需要的CRL文件:则证书撤销列表管理器将CRL文件提交给客户虚拟机。本次证书撤销状态请求服务结束。如果管理器中没有存储相应的CRL文件,则跳转到步骤4)。
4)如果管理器中没有存储相应的CRL文件:则证书撤销列表管理器首先根据证书提供的CRL分发点或根据配置文件中配置的CRL文件访问地址访问资料库下载相应的最新CRL文件,验证CRL文件的有效性通过以后,管理器会将该CRL文件存储在管理器中。然后,证书撤销列表管理器将CRL文件提交给客户虚拟机中的证书依赖方,由客户虚拟机中的证书依赖方自己完成证书撤销状态的检查过程。本次证书撤销状态检查服务结束。
在以上两种方式中,当证书撤销列表管理器根据某一客户虚拟机中的证书依赖方的请求下载某一个CRL文件后,可以进一步通过证书撤销列表管理器写配置文件,配置该CRL的重新下载周期,证书撤销列表管理器根据配置文件周期性地下载最新的CRL文件,使得能够更及时地响应下一次某一客户虚拟机中的证书依赖方对该CRL的请求,减少客户虚拟机中的证书依赖方检查证书撤销状态的延迟。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。

Claims (8)

1.一种虚拟化环境中数字证书撤销状态检查的方法,其步骤为:
1)在宿主机上创建多个客户虚拟机,在该宿主机的虚拟机监控器内设置一证书撤销列表管理器;其中,所述证书撤销列表管理器中存储证书撤销列表文件CRL和一配置CRL文件访问地址的配置文件;
2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求;其中,所述证书撤销状态检查服务请求包括:证书签发者名称和可选的证书序列号;其中,所述证书撤销列表管理器与所述客户虚拟机之间采用Virtio技术进行通信;其中,前端驱动位于所述客户虚拟机中,后端驱动位于所述虚拟机监控器内;所述前端驱动与所述后端驱动将执行信息存储到一环形缓冲区,所述前端驱动与所述后端驱动通过共享该环形缓冲区进行数据通信;
3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应的CRL文件:a)如果有对应的CRL文件,则将该CRL文件返回给该客户虚拟机中的证书依赖方,或者查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回给该客户虚拟机中的证书依赖方;b)如果没有对应的CRL文件,则根据所述配置文件下载并验证对应的CRL文件,然后将该CRL文件返回给该客户虚拟机中的证书依赖方,或者查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回给该客户虚拟机中的证书依赖方。
2.如权利要求1所述的方法,其特征在于,所述证书撤销状态检查服务请求还包括CRL分发点扩展信息;所述步骤3)中,如果没有对应的CRL文件,所述证书撤销列表管理器首先根据该CRL分发点扩展信息访问资料库下载并验证CRL文件,然后查询对应证书的撤销状态信息并将查询结果返回给该客户虚拟机中的证书依赖方。
3.如权利要求2所述的方法,其特征在于,当所述证书撤销列表管理器根据该证书撤销状态检查服务请求下载对应的CRL文件后,所述证书撤销列表管理器重新配置该CRL文件的下载周期。
4.如权利要求1或2所述的方法,其特征在于,所述证书撤销列表管理器根据所述配置文件定期更新本地的CRL文件。
5.如权利要求1或2所述的方法,其特征在于,所述证书撤销管理器定期地查看本地存储的CRL文件,将不在有效期内的CRL文件删除;或者在向客户虚拟机中的证书依赖方提供查询服务读取对应的CRL文件时检查该CRL文件的有效期,如果不在有效期内,则重新下载相应的最新CRL文件。
6.如权利要求1或2所述的方法,其特征在于,客户虚拟机动态申请内存,并把所申请的虚拟内存地址发送给所述证书撤销列表管理器,所述证书撤销列表管理器通过添加一个偏移得到该内存区域的虚拟地址,该虚拟机与所述证书撤销列表管理器通过共享该内存区域进行通信。
7.一种虚拟化环境中数字证书撤销状态检查系统,其特征在于,包括一宿主机,所述宿主机上创建有多个客户虚拟机,在该宿主机的虚拟机监控器内设置一证书撤销列表管理器;所述证书撤销列表管理器中存储证书撤销列表文件CRL和一配置CRL文件访问地址的配置文件;其中,所述证书撤销列表管理器,用于管理每个客户虚拟机中的证书依赖方对证书撤销列表CRL的服务请求;所述证书撤销列表管理器与所述客户虚拟机之间采用Virtio技术进行通信;其中,前端驱动位于所述客户虚拟机中,后端驱动位于所述虚拟机监控器内;所述前端驱动与所述后端驱动将执行信息存储到一环形缓冲区,所述前端驱动与所述后端驱动通过共享该环形缓冲区进行数据通信。
8.如权利要求7所述的系统,其特征在于,所述证书撤销管理器定期地查看本地存储的CRL文件,将不在有效期内的CRL文件删除;或者在向客户虚拟机中的证书依赖方提供查询服务读取对应的CRL文件时检查该CRL文件的有效期,如果不在有效期内,则重新下载相应的最新CRL文件。
CN201510328899.4A 2015-06-15 2015-06-15 一种虚拟化环境中数字证书撤销状态检查的方法和系统 Active CN104980438B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201510328899.4A CN104980438B (zh) 2015-06-15 2015-06-15 一种虚拟化环境中数字证书撤销状态检查的方法和系统
PCT/CN2015/084033 WO2016201754A1 (zh) 2015-06-15 2015-07-15 一种虚拟化环境中数字证书撤销状态检查的方法和系统
US15/118,763 US10135623B2 (en) 2015-06-15 2015-07-15 Method and system for checking revocation status of digital certificates in a virtualization environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510328899.4A CN104980438B (zh) 2015-06-15 2015-06-15 一种虚拟化环境中数字证书撤销状态检查的方法和系统

Publications (2)

Publication Number Publication Date
CN104980438A CN104980438A (zh) 2015-10-14
CN104980438B true CN104980438B (zh) 2018-07-24

Family

ID=54276542

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510328899.4A Active CN104980438B (zh) 2015-06-15 2015-06-15 一种虚拟化环境中数字证书撤销状态检查的方法和系统

Country Status (3)

Country Link
US (1) US10135623B2 (zh)
CN (1) CN104980438B (zh)
WO (1) WO2016201754A1 (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10223647B1 (en) * 2012-03-27 2019-03-05 Amazon Technologies, Inc. Dynamic modification of interruptibility settings for network-accessible resources
JP2018511206A (ja) 2015-02-09 2018-04-19 華為技術有限公司Huawei Technologies Co.,Ltd. 証明書管理方法、デバイス、及びシステム
KR20180066148A (ko) 2015-10-21 2018-06-18 후아웨이 테크놀러지 컴퍼니 리미티드 네트워크 기능 가상화 아키텍처에서의 인증서 관리 방법 및 디바이스
US10764067B2 (en) * 2016-05-23 2020-09-01 Pomian & Corella, Llc Operation of a certificate authority on a distributed ledger
US10447478B2 (en) * 2016-06-06 2019-10-15 Microsoft Technology Licensing, Llc Cryptographic applications for a blockchain system
CN106878002B (zh) 2016-07-05 2020-04-24 阿里巴巴集团控股有限公司 一种权限撤销方法及装置
US11349673B2 (en) * 2018-01-19 2022-05-31 Cable Television Laboratories, Inc. Systems and methods for enhanced online certificate status protocol
CN109240802B (zh) * 2018-09-21 2022-02-18 北京百度网讯科技有限公司 请求处理方法和装置
US10915352B2 (en) * 2019-02-14 2021-02-09 Red Hat, Inc. Asserting initialization status of virtualized system
CN109976877B (zh) * 2019-03-22 2021-05-04 优刻得科技股份有限公司 利用virtio驱动实现请求的方法、装置和存储介质
EP3851923B1 (de) * 2020-01-14 2023-07-12 Siemens Aktiengesellschaft Leitsystem für technische anlagen mit zertifikatsmanagement
EP3993339B1 (de) * 2020-10-29 2023-05-31 Siemens Aktiengesellschaft Zertifikatsmanagement in einer technischen anlage
CN114866243B (zh) * 2021-01-20 2024-03-15 华为技术有限公司 证书吊销列表管理方法、装置及电子设备
CN115001697B (zh) * 2022-04-26 2024-04-02 互联网域名系统北京市工程研究中心有限公司 基于rpki的证书链局部验证方法、系统及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101136098A (zh) * 2006-08-30 2008-03-05 阿里巴巴公司 一种访问证书吊销列表的方法、装置和系统
CN103873240A (zh) * 2012-12-10 2014-06-18 华为技术有限公司 一种crl传输方法、装置及系统
CN104580188A (zh) * 2014-12-29 2015-04-29 中国科学院信息工程研究所 一种在虚拟化环境中保护根ca证书的方法与系统

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7743248B2 (en) * 1995-01-17 2010-06-22 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
CN1182479C (zh) * 2000-01-07 2004-12-29 国际商业机器公司 有效地收集、整理和访问证书吊销表的系统和方法
US6938155B2 (en) * 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes
US7003662B2 (en) * 2001-05-24 2006-02-21 International Business Machines Corporation System and method for dynamically determining CRL locations and access methods
EP1870814B1 (en) * 2006-06-19 2014-08-13 Texas Instruments France Method and apparatus for secure demand paging for processor devices
US8074262B2 (en) * 2005-05-13 2011-12-06 Intel Corporation Method and apparatus for migrating virtual trusted platform modules
US7613921B2 (en) * 2005-05-13 2009-11-03 Intel Corporation Method and apparatus for remotely provisioning software-based security coprocessors
US7571312B2 (en) * 2005-05-13 2009-08-04 Intel Corporation Methods and apparatus for generating endorsement credentials for software-based security coprocessors
US8145737B2 (en) * 2005-12-30 2012-03-27 Microsoft Corporation Implementing computer application topologies on virtual machines
US7739731B2 (en) * 2006-01-09 2010-06-15 Oracle America, Inc. Method and apparatus for protection domain based security
US20080320594A1 (en) * 2007-03-19 2008-12-25 Xuxian Jiang Malware Detector
US9055041B2 (en) * 2007-08-31 2015-06-09 International Business Machines Corporation Device certificate based appliance configuration
US8521966B2 (en) * 2007-11-16 2013-08-27 Vmware, Inc. VM inter-process communications
US9432356B1 (en) * 2009-05-05 2016-08-30 Amazon Technologies, Inc. Host identity bootstrapping
US8181019B2 (en) * 2009-06-22 2012-05-15 Citrix Systems, Inc. Systems and methods for managing CRLS for a multi-core system
US8966623B2 (en) * 2010-03-08 2015-02-24 Vmware, Inc. Managing execution of a running-page in a virtual machine
US8819414B2 (en) * 2010-04-19 2014-08-26 GM Global Technology Operations LLC Threat mitigation in a vehicle-to-vehicle communication network
EP2609537A1 (en) * 2010-08-26 2013-07-03 Verisign, Inc. Method and system for automatic detection and analysis of malware
US8856516B2 (en) * 2010-09-17 2014-10-07 Skype Certificate revocation
GB2487049A (en) * 2011-01-04 2012-07-11 Vestas Wind Sys As Remote and local authentication of user for local access to computer system
CN102868709B (zh) * 2011-07-04 2016-01-20 中国移动通信集团公司 一种基于p2p的证书管理方法及其装置
US8856518B2 (en) * 2011-09-07 2014-10-07 Microsoft Corporation Secure and efficient offloading of network policies to network interface cards
US8677449B1 (en) * 2012-03-19 2014-03-18 Google Inc. Exposing data to virtual machines
US9503454B2 (en) * 2012-10-18 2016-11-22 Electronics & Telecommunications Research Institute Smart card service method and apparatus for performing the same
US20140281560A1 (en) * 2013-03-15 2014-09-18 Ologn Technologies Ag Secure zone on a virtual machine for digital communications
DE102013010171A1 (de) * 2013-06-19 2014-12-24 Airbus Defence and Space GmbH Rechnernetz, Netzknoten und Verfahren zur Bereitstellung von Zertifizierungsinformationen
US9876803B2 (en) * 2013-08-23 2018-01-23 Morphotrust Usa, Llc System and method for identity management
US9852100B2 (en) * 2014-02-26 2017-12-26 Red Hat Israel, Ltd. Guest-programmable location of advanced configuration and power interface (ACPI) tables in virtualized systems
TWI507912B (zh) * 2014-04-03 2015-11-11 Wistron Corp 輸出入重定向方法、輸出入指令虛擬化系統與方法以及其電腦程式產品
US9798559B2 (en) * 2014-12-27 2017-10-24 Mcafee, Inc. Trusted binary translation
US9819497B2 (en) * 2015-06-30 2017-11-14 Vmware, Inc. Automated provisioning of certificates

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101136098A (zh) * 2006-08-30 2008-03-05 阿里巴巴公司 一种访问证书吊销列表的方法、装置和系统
CN103873240A (zh) * 2012-12-10 2014-06-18 华为技术有限公司 一种crl传输方法、装置及系统
CN104580188A (zh) * 2014-12-29 2015-04-29 中国科学院信息工程研究所 一种在虚拟化环境中保护根ca证书的方法与系统

Also Published As

Publication number Publication date
US20180102904A1 (en) 2018-04-12
WO2016201754A1 (zh) 2016-12-22
CN104980438A (zh) 2015-10-14
US10135623B2 (en) 2018-11-20

Similar Documents

Publication Publication Date Title
CN104980438B (zh) 一种虚拟化环境中数字证书撤销状态检查的方法和系统
US10621366B2 (en) Chained security systems
US9819496B2 (en) Method and system for protecting root CA certificate in a virtualization environment
US9575790B2 (en) Secure communication using a trusted virtual machine
CN107113300B (zh) 多面计算实例身份
JP5516821B2 (ja) 仮想化及び認証を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法
US8549288B2 (en) Dynamic creation and hierarchical organization of trusted platform modules
CN112887160B (zh) 区块链一体机及其多节点部署方法、装置、存储介质
EP2973147B1 (en) Policy-based secure web boot
TWI380216B (en) System and method for automated operating system installation
US20160219041A1 (en) Sharing usb key by multiple virtual machines located at different hosts
EP4158869A1 (en) Ephemeral cryptography keys for authenticating computing services
JP2022522731A (ja) セキュア・ドメインと非セキュア・エンティティとの間のストレージ共用
CN115427952A (zh) 计算服务的无密钥认证方案
US11861406B2 (en) Dynamic microservices allocation mechanism
US10691356B2 (en) Operating a secure storage device
US20220329570A1 (en) Two-Way Secure Channels with Certification by One Party
US11297065B2 (en) Technology for computing resource liaison
US20230388289A1 (en) Bypassing a user passcode when accessing a gateway of a virtual disktop infrastructure system
WO2022078069A1 (en) Secure data storage device access control and sharing
Ozga et al. Wawel: Architecture for Scalable Attestation of Heterogeneous Virtual Execution Environments
WO2024064425A1 (en) Managing unique secrets in distributed systems

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant