CN106357820A - 一种云环境下ca基础设施资源分配系统及方法 - Google Patents

一种云环境下ca基础设施资源分配系统及方法 Download PDF

Info

Publication number
CN106357820A
CN106357820A CN201610990085.1A CN201610990085A CN106357820A CN 106357820 A CN106357820 A CN 106357820A CN 201610990085 A CN201610990085 A CN 201610990085A CN 106357820 A CN106357820 A CN 106357820A
Authority
CN
China
Prior art keywords
cloud service
cloud
service
center
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610990085.1A
Other languages
English (en)
Inventor
孙善宝
于治楼
金长新
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan Inspur Hi Tech Investment and Development Co Ltd
Original Assignee
Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan Inspur Hi Tech Investment and Development Co Ltd filed Critical Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority to CN201610990085.1A priority Critical patent/CN106357820A/zh
Publication of CN106357820A publication Critical patent/CN106357820A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种云环境下CA基础设施资源分配系统,所述系统包括云服务CA资源分配中心、云服务公共CA和数字证书信任中心,其中:云服务CA资源分配中心负责创建分配CA基础设施资源以及提供相关管理服务;云服务公共CA是运行在云中的一个CA系统,提供证书公共服务;数字证书信任中心负责云服务所属CA的数字证书间的相互信任服务。本发明有效的解决了云环境下CA基础设施资源分配问题,根据云服务应用的个性化需求,按需分配CA基础设施资源,实现云服务数字证书生命周期的管理,系统部署方便,同时提供了统一的CA资源管理信任中心,将为各个云服务提供粗粒度的云服务证书交叉认证服务,实现了云环境下各个云服务间的相互认证,保证了云服务间协作的安全性。

Description

一种云环境下CA基础设施资源分配系统及方法
技术领域
本发明涉及信息安全技术和云计算技术领域,具体涉及一种云环境下CA基础设施资源分配系统及方法。
背景技术
近年来,随着云计算和虚拟技术的推广普及,涌现出很多优秀的云计算应用服务平台,其聚合了大量的物理硬件资源,并采用虚拟化技术将物理硬件设备的硬件资源进行抽象,实现异构网络计算资源的统一的分配、调度和管理,从而达到充分利用软硬件资源、提高利用率的目的。
在云计算环境下,云服务的安全认证问题越来越受到关注。传统的安全认证解决方案多是基于数字证书的,通过数字证书来实现安全认证,确保数据的机密性、完整性以及行为的不可抵赖性。
CA(Certificate Authority)认证中心作为权威可信的第三方,是公钥基础设施的重要组成部分,主要负责数字证书的申请、审核、签发、注销等证书全生命周期管理。
然而在云环境下,CA基础设施需要结合云环境的特点,部署在云中,但其本身的运维安全级别很高,这样就对CA基础设施有了新的要求。如何更合理安全的利用CA基础设施资源,如何满足云服务对CA基础设施资源的个性化需求,如何实现各云服务间安全认证成为亟需解决的问题。
发明内容
本发明要解决的技术问题是:本发明针对以上问题,提供一种云环境下CA基础设施资源分配系统及方法,以解决云计算环境中CA基础设施资源分配问题,根据云服务应用的个性化需求,按需分配CA基础设施资源,实现云服务数字证书生命周期的管理,满足云环境下高效、可靠的数字证书签发应用需求。
本发明所采用的技术方案为:
一种云环境下CA基础设施资源分配系统,所述系统包括云服务CA资源分配中心、云服务公共CA和数字证书信任中心,其中:
云服务CA资源分配中心负责创建分配CA基础设施资源以及提供相关管理服务;
云服务公共CA是运行在云中的一个CA系统,提供证书公共服务;
数字证书信任中心负责云服务所属CA的数字证书间的相互信任服务。
一种云环境下CA基础设施资源分配方法,所述方法在云计算环境下,为云服务应用创建独享的CA基础设施资源(创建的CA只为此云服务应用提供数字证书签发管理服务),步骤包括:
步骤101、云服务应用向云服务CA资源分配中心提出独享CA基础设施资源申请;
步骤102、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建密钥管理子系统;
步骤103、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建数字证书公共查询子系统;
步骤104、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建数字证书签发子系统;
步骤105、云服务CA资源分配中心将步骤104创建的数字证书签发子系统的根证书注册到所述的数字证书信任中心;
步骤106、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建数字证书注册子系统;
步骤107、云服务应用获得CA系统的访问权限,并且能够通过CA对外服务接口来实现证书签发管理业务。
所述方法在云计算环境下,为云服务应用创建共享的CA基础设施资源(CA是以公共服务的形式提供数字证书签发管理服务),创建步骤包括:
步骤201、云服务应用向云服务CA资源分配中心提出共享CA基础设施资源申请;
步骤202、云服务CA资源分配中心在云服务公共CA中的证书注册子系统中申请一个受理点;
步骤203、云服务CA资源分配中心将所述的公共CA的根证书注册到所述的数字证书信任中心
步骤204、云服务应用获得CA系统的访问权限,并且能够通过CA对外服务接口来实现证书签发管理业务。
所述方法实现云服务应用间的认证步骤包括:
步骤301、云服务应用A向数字证书信任中心提出信任云服务应用B的数字证书的申请;
步骤302、数字证书信任中心将云服务应用B的根证书加入到云服务应用A的信任列表中;
步骤303、云服务应用A将信任云服务应用B的根证书下的所有数字证书。
本发明的有益效果为:
本发明有效的解决了云环境下CA基础设施资源分配问题,根据云服务应用的个性化需求,按需分配CA基础设施资源,实现云服务数字证书生命周期的管理,满足云环境下高效、可靠的数字证书签发应用需求。系统部署方便,同时提供了统一的CA资源管理信任中心,将为各个云服务提供粗粒度的云服务证书交叉认证服务,实现了云环境下各个云服务间的相互认证,保证了云服务间协作的安全性。
附图说明
图1为CA系统组成示意图;
图2为CA基础设施资源分配系统结构示意图。
具体实施方式
下面根据说明书附图,结合具体实施方式对本发明进一步说明:
实施例1
如图1所示,一种云环境下CA基础设施资源分配系统,所述系统包括云服务CA资源分配中心、云服务公共CA和数字证书信任中心,其中:
云服务CA资源分配中心负责创建分配CA基础设施资源以及提供相关管理服务;
所述的云服务CA资源分配中心分配基础资源,会根据云服务提出的CA基础设施资源申请的不同,创建CA资源的过程也不同;
云服务公共CA是运行在云中的一个CA系统,提供证书公共服务;
数字证书信任中心负责云服务所属CA的数字证书间的相互信任服务。
CA基础设施资源的维护是由专门的安全服务CA运营商来提供,保证了CA系统运行的安全性和可靠性。另外,系统提供了统一的CA资源管理信任中心,将为各个云服务提供粗粒度的云服务证书交叉认证服务,实现了云环境下各个云服务间的相互认证,保证了云服务间协作的安全性。
实施例2
如图2所示,基于实施例1的一种云环境下CA基础设施资源分配方法,所述方法在云计算环境下,为云服务应用创建独享的CA基础设施资源(创建的CA只为此云服务应用提供数字证书签发管理服务),步骤包括:
步骤101、云服务应用向云服务CA资源分配中心提出独享CA基础设施资源申请;
步骤102、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建密钥管理子系统;
步骤103、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建数字证书公共查询子系统;
步骤104、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建数字证书签发子系统;
步骤105、云服务CA资源分配中心将步骤104创建的数字证书签发子系统的根证书注册到所述的数字证书信任中心;
步骤106、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建数字证书注册子系统;
步骤107、云服务应用获得CA系统的访问权限,并且能够通过CA对外服务接口来实现证书签发管理业务。
实施例3
在实施例2的基础上,本实施例所述方法在云计算环境下,为云服务应用创建共享的CA基础设施资源(CA是以公共服务的形式提供数字证书签发管理服务),创建步骤包括:
步骤201、云服务应用向云服务CA资源分配中心提出共享CA基础设施资源申请;
步骤202、云服务CA资源分配中心在云服务公共CA中的证书注册子系统中申请一个受理点;
步骤203、云服务CA资源分配中心将所述的公共CA的根证书注册到所述的数字证书信任中心
步骤204、云服务应用获得CA系统的访问权限,并且能够通过CA对外服务接口来实现证书签发管理业务。
实施例4
在实施例3的基础上,本实施例所述方法实现云服务应用间的认证步骤包括:
步骤301、云服务应用A向数字证书信任中心提出信任云服务应用B的数字证书的申请;
步骤302、数字证书信任中心将云服务应用B的根证书加入到云服务应用A的信任列表中;
步骤303、云服务应用A将信任云服务应用B的根证书下的所有数字证书。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (4)

1.一种云环境下CA基础设施资源分配系统,其特征在于,所述系统包括云服务CA资源分配中心、云服务公共CA和数字证书信任中心,其中:
云服务CA资源分配中心负责创建分配CA基础设施资源以及提供相关管理服务;
云服务公共CA是运行在云中的一个CA系统,提供证书公共服务;
数字证书信任中心负责云服务所属CA的数字证书间的相互信任服务。
2.基于权利要求1的一种云环境下CA基础设施资源分配方法,其特征在于:所述方法在云计算环境下,为云服务应用创建独享的CA基础设施资源,步骤包括:
步骤101、云服务应用向云服务CA资源分配中心提出独享CA基础设施资源申请;
步骤102、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建密钥管理子系统;
步骤103、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建数字证书公共查询子系统;
步骤104、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建数字证书签发子系统;
步骤105、云服务CA资源分配中心将步骤104创建的数字证书签发子系统的根证书注册到所述的数字证书信任中心;
步骤106、云服务CA资源分配中心在云中分配虚拟机,并根据提出的申请内容,创建数字证书注册子系统;
步骤107、云服务应用获得CA系统的访问权限,并且能够通过CA对外服务接口来实现证书签发管理业务。
3.根据权利要求2所述的一种云环境下CA基础设施资源分配方法,其特征在于,所述方法在云计算环境下,为云服务应用创建共享的CA基础设施资源,创建步骤包括:
步骤201、云服务应用向云服务CA资源分配中心提出共享CA基础设施资源申请;
步骤202、云服务CA资源分配中心在云服务公共CA中的证书注册子系统中申请一个受理点;
步骤203、云服务CA资源分配中心将所述的公共CA的根证书注册到所述的数字证书信任中心
步骤204、云服务应用获得CA系统的访问权限,并且能够通过CA对外服务接口来实现证书签发管理业务。
4.根据权利要求3所述的一种云环境下CA基础设施资源分配方法,其特征在于,所述方法实现云服务应用间的认证步骤包括:
步骤301、云服务应用A向数字证书信任中心提出信任云服务应用B的数字证书的申请;
步骤302、数字证书信任中心将云服务应用B的根证书加入到云服务应用A的信任列表中;
步骤303、云服务应用A将信任云服务应用B的根证书下的所有数字证书。
CN201610990085.1A 2016-11-10 2016-11-10 一种云环境下ca基础设施资源分配系统及方法 Pending CN106357820A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610990085.1A CN106357820A (zh) 2016-11-10 2016-11-10 一种云环境下ca基础设施资源分配系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610990085.1A CN106357820A (zh) 2016-11-10 2016-11-10 一种云环境下ca基础设施资源分配系统及方法

Publications (1)

Publication Number Publication Date
CN106357820A true CN106357820A (zh) 2017-01-25

Family

ID=57862127

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610990085.1A Pending CN106357820A (zh) 2016-11-10 2016-11-10 一种云环境下ca基础设施资源分配系统及方法

Country Status (1)

Country Link
CN (1) CN106357820A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790278A (zh) * 2017-02-21 2017-05-31 中国信息安全测评中心 一种双向认证方法及通信系统
CN108134789A (zh) * 2017-12-21 2018-06-08 北京深思数盾科技股份有限公司 通过云进行设备间数据同步的方法和云服务器
CN108494562A (zh) * 2018-03-28 2018-09-04 湖南东方华龙信息科技有限公司 在云端创建私有ca的方法和数字签名认证方法
CN110463160A (zh) * 2017-04-03 2019-11-15 微软技术许可有限责任公司 用于云计算的弹性公共密钥基础架构

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102299793A (zh) * 2010-06-22 2011-12-28 清大安科(北京)科技有限公司 一种基于可信计算密码支撑平台的证书认证系统
CN104202164A (zh) * 2014-08-28 2014-12-10 西安宙合网络科技有限公司 一种采用数字证书保护云服务信息的方法及云服务器
CN105282122A (zh) * 2014-07-22 2016-01-27 中兴通讯股份有限公司 基于数字证书的信息安全实现方法及系统
CN105681047A (zh) * 2016-03-25 2016-06-15 中国互联网络信息中心 一种ca证书签发方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102299793A (zh) * 2010-06-22 2011-12-28 清大安科(北京)科技有限公司 一种基于可信计算密码支撑平台的证书认证系统
CN105282122A (zh) * 2014-07-22 2016-01-27 中兴通讯股份有限公司 基于数字证书的信息安全实现方法及系统
CN104202164A (zh) * 2014-08-28 2014-12-10 西安宙合网络科技有限公司 一种采用数字证书保护云服务信息的方法及云服务器
CN105681047A (zh) * 2016-03-25 2016-06-15 中国互联网络信息中心 一种ca证书签发方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
盛宇伟: "云计算环境下CA认证中心的研究与设计", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790278A (zh) * 2017-02-21 2017-05-31 中国信息安全测评中心 一种双向认证方法及通信系统
CN110463160A (zh) * 2017-04-03 2019-11-15 微软技术许可有限责任公司 用于云计算的弹性公共密钥基础架构
CN108134789A (zh) * 2017-12-21 2018-06-08 北京深思数盾科技股份有限公司 通过云进行设备间数据同步的方法和云服务器
CN108134789B (zh) * 2017-12-21 2020-03-17 北京深思数盾科技股份有限公司 通过云进行设备间数据同步的方法和云服务器
CN108494562A (zh) * 2018-03-28 2018-09-04 湖南东方华龙信息科技有限公司 在云端创建私有ca的方法和数字签名认证方法

Similar Documents

Publication Publication Date Title
CN109819061B (zh) 一种在云系统中处理云服务的方法、装置和设备
Puthal et al. Cloud computing features, issues, and challenges: a big picture
Liu Research on cloud computing security problem and strategy
CN106357820A (zh) 一种云环境下ca基础设施资源分配系统及方法
US8578452B2 (en) Method for securely creating a new user identity within an existing cloud account in a cloud computing system
CN106302334B (zh) 访问角色获取方法、装置及系统
CN101026481A (zh) 一种集中用户安全管理方法及装置
CN103152179A (zh) 一种适用于多应用系统的统一身份认证方法
CN104267991A (zh) 基于快速服务封装的移动应用平台
CN103051455A (zh) 一种云计算环境下的可信密码模块密码功能授权代理的实现方法
CN108306972A (zh) 一种云密码服务方法、平台、系统及计算机可读存储介质
CN105357197A (zh) 一种云计算平台身份认证和权限管理系统和方法
Tang et al. Cross-tenant trust models in cloud computing
CN106411941B (zh) 一种云环境下安全认证资源分配和管理方法
Ngo et al. Policy and context management in dynamically provisioned access control service for virtualized cloud infrastructures
CN103139183A (zh) 一种基于云平台的应用虚拟化技术
Lu et al. ATMCC: design of the integration architecture of cloud computing and blockchain for air traffic management
CN110881039A (zh) 一种云安全管理系统
Zwattendorfer et al. Towards a federated identity as a service model
CN104636960A (zh) 一种基于云计算技术的电子发票安全中间件构建方法
CN104363217A (zh) 一种Web系统的CA数字签名认证系统及认证方法
KR20130049791A (ko) 데이터통합 및 개방형의 클라우드컴퓨팅 전자정부플랫폼시스템
CN110109731B (zh) 一种云环境下虚拟可信根的管理方法与系统
TW201351196A (zh) 具子系統暨認證之網頁架構系統
Tewari et al. Conceptual framework for cloud supported e-Governance services

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170125

RJ01 Rejection of invention patent application after publication