WO2016011827A1

WO2016011827A1 - 基于数字证书的信息安全实现方法及系统

Info

Publication number: WO2016011827A1
Application number: PCT/CN2015/075143
Authority: WO
Inventors: 彭亦辉
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-07-22
Filing date: 2015-03-26
Publication date: 2016-01-28
Also published as: CN105282122B; EP3197121A1; EP3197121B1; CN105282122A; EP3197121A4; US20170257221A1; US10411903B2

Abstract

一种基于数字证书的信息安全实现方法及系统，所述方法包括：为云管理主机、云计算物理主机以及云计算虚拟机分别发放数字证书；在所述云管理主机、云计算物理主机以及云计算虚拟机启动时或运行过程中，依据相应的数字证书进行合规性认证。本发明实施例提供的基于数字证书的信息安全实现方法及系统借鉴数字证书信任链的技术，与云管理系统结合，实现了云管理系统、物理主机、虚拟机的可信系统,着重于系统主机平台自身的安全防护，提高了云虚拟化平台的安全性。

Description

基于数字证书的信息安全实现方法及系统

技术领域

本发明实施例涉及网络通讯技术领域，尤指一种移动互联与云计算领域中的基于数字证书的信息安全实现方法及系统。

背景技术

随着互联网技术的快速进步，计算资源虚拟化系统被逐渐提出和发展起来，由于虚拟化技术能够给企业带来资源共享以及降低运营成本等实际利益，因此当前越来越多的企业选择云虚拟化平台作为自身业务的承载。

随着虚拟化技术的大规模应用，系统的安全性问题也开始被大量关注。传统的安全措施是从边界防护接入侧上入手，即在用户接入时进行用户名、口令认证，或采用证书授权中心(CA，Certificate Authority)证书的认证方式，以保证用户和接入通道的安全。

而在实际应用当中，云虚拟化平台的内部，其云计算物理主机、云计算虚拟机之间通常采用虚拟局域网(VLAN，Virtual Local Area Network)隔离，通过VLAN隔离技术，可以把一个网络系统中的网络设备分成若干个虚拟的工作组，组和组之间的网络设备在二层上相互隔离。由于VLAN隔离技术是基于二层和三层之间的隔离，因此，可以将不同的网络用户与网络资源进行分组，并通过支持VLAN技术的交换机来实现隔离不同组内网络设备间的数据交换，以此来达到网络安全的目的。这种方式允许同一VLAN上的用户互相通信，而处于不同VLAN的用户之间在数据链路层上是断开的，只能通过三层路由器才能访问。

VLAN隔离技术可以保证物理设备之间的隔离，但是对于同一台服务器，只能做到同时向多个VLAN组全面开放或者是只向某个VLAN组开放，而不能针对个别用户进行限制。并且在实际应用中，一台服务器担当多种服务器角色，同时为多个VLAN组用户提供不同的服务，这也带来了一定的安全隐患，基于该隔离技术使得云虚拟化系统易于被某些恶意个人或团体攻击破解，甚至被其非法创建以及控制云计算虚拟机，从而威胁到系统的安全。

发明内容

为了解决上述技术问题，本发明实施例提供了一种基于数字证书的信息安全实现方法及系统，能够提高云虚拟化系统的安全性。

为了实现上述技术目的，本发明实施例提供的一种基于数字证书的信息安全实现方法，包括：

为云管理主机、云计算物理主机以及云计算虚拟机分别发放数字证书；

在所述云管理主机、云计算物理主机以及云计算虚拟机启动时或运行过程中，依据相应的数字证书进行合规性认证。

可选地，所述为云管理主机发放数字证书包括：

CA中心根据云管理主机关键属性信息生成云管理主机数字证书并制卡。

可选地，所述为云计算物理主机发放数字证书包括：

云管理主机通过部署于相应云计算物理主机上的证书代理获取该云计算物理主机关键属性信息，并据此向CA中心发起云计算物理主机数字证书申请；

CA中心验证云管理主机数字证书，在验证通过时根据云计算物理主机关键属性信息生成云计算物理主机数字证书并制卡。

可选地，所述为云计算虚拟机分别发放数字证书包括：

所述云管理主机在验证云计算虚拟机所归属的云计算物理主机正常后，获取该云计算虚拟机关键属性信息，并据此向CA中心发起云计算虚拟机数字证书申请；

CA中心验证云管理主机数字证书，在验证通过时根据云计算虚拟机关键属性信息生成云计算虚拟机数字证书文件；

CA中心向云管理主机返回加密的云计算虚拟机数字证书文件；

云管理主机向云计算虚拟机所归属的云计算物理主机返回加密的云计算虚拟机数字证书文件,云计算物理主机通过部署于其上的代理程序验证加密的云计算虚拟机数字证书文件，根据云计算虚拟机关键属性信息在证书key中创建隔离的证书容器，并将所述云计算虚拟机数字证书写入证书容器中。

可选地，所述证书key中的每个证书容器被配置为用于存储独立的数字证书。

可选地，在所述云管理主机启动时，依据相应的数字证书进行合规性认证包括：

部署于所述云管理主机上的证书代理向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；CA中心响应所述请求并返回认证随机数Rb；

云管理主机的证书代理根据云管理主机关键属性信息从证书key中读取云管理主机的数字证书，使用数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将所述签名结果、云管理主机的数字证书以及本次认证随机数Ra发送给CA中心；CA中心对接收到的信息进行认证，并在认证成功后，通知所述云管理主机继续启动流程。

可选地，在所述云计算物理主机启动时，依据相应的数字证书进行合规性认证包括：

部署于所述云计算物理主机上的证书代理根据其云计算物理主机关键属性信息从证书key中读取该云计算物理主机的数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；CA中心响应所述请求并返回认证随机数Rb；

云计算物理主机的证书代理根据云计算物理主机关键属性信息从证书key中读取该云计算物理主机的数字证书，使用数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将所述签名结果、云计算物理主机的数字证书以及本次认证随机数Ra发送给CA中心；CA中心对接收到的信息进行认证，并在认证成功后，通知所述云计算物理主机继续启动流程。

可选地，在所述云计算虚拟机启动时，依据相应的数字证书进行合规性认证包括：

所述云计算虚拟机所归属的云计算物理主机上的证书代理根据云计算虚拟机关键属性信息从证书key中的相应证书容器中读取云计算虚拟机数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；CA中心响应所述请求并返回认证随机数Rb；

云计算物理主机上的证书代理根据所述云计算虚拟机数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将签名结果、云计算虚拟机数字证书以及本次认证随机数Ra发送给CA中心；CA中心对接收到的信息进行认证，并在认证成功后，通知所述云计算虚拟机继续启动流程。

可选地，在所述云管理主机运行过程中，依据相应的数字证书进行合规性认证包括：

在预先设置的第一定时器时间到时，所述云管理主机的证书代理获取云管理主机关键属性信息，并据此从证书key中读取云管理主机的数字证书并向CA中心发起在线或离线认证请求：当CA中心认证通过时，所述云管理主机继续运行。

可选地，在所述云计算物理主机运行过程中，依据相应的数字证书进行合规性认证包括：

在预先设置的第二定时器时间到时，所述云计算物理主机的证书代理获取云计算物理主机关键属性信息，并据此从证书key中读取云计算物理主机的数字证书并向CA中心发起在线或离线认证请求：当CA中心认证通过时，所述云计算物理主机继续运行。

可选地，在所述云计算虚拟机运行过程中，依据相应的数字证书进行合规性认证包括：

在预先设置的第三定时器时间到时，所述云计算虚拟机所归属的云计算物理主机的证书代理获取云计算虚拟机关键属性信息，并据此从证书key中的相应证书容器中读取云计算虚拟机数字证书并向CA中心发起在线或离线认证请求：当CA中心认证通过时，所述云计算虚拟机继续运行。

一种基于数字证书的信息安全实现系统，其包括：CA中心、云管理主机、云计算物理主机，以及，根据所述云计算物理主机而创建的至少一个云计算虚拟机；其中，

CA中心，设置为在云管理主机的管理控制下为云管理主机、云计算物理主机以及云计算虚拟机分别发放数字证书；

云管理主机，设置为在启动时或运行过程中，依据相应的数字证书进行合规性认证；

云计算物理主机，设置为在启动时或运行过程中，依据相应的数字证书进行合规性认证；

云计算虚拟机，设置为在启动时或运行过程中，依据相应的数字证书进行合规性认证。

本发明实施例提供的基于数字证书的信息安全实现方法借鉴数字证书信任链的技术，与云管理系统结合，实现了云管理系统、物理主机、虚拟机的可信系统,着重于系统主机平台自身的安全防护，提高了云虚拟化平台的安全性。

附图概述

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明实施例中云管理主机数字证书发放的流程图；

图2是本发明实施例中云计算物理主机数字证书发放的流程图；

图3是本发明实施例中云计算虚拟机数字证书发放的流程图；

图4是本发明实施例中云管理主机依据数字证书进行在线认证的流程图；

图5是本发明实施例中云计算物理主机依据数字证书进行在线认证的流程图；

图6是本发明实施例中云计算虚拟机在手工启动时依据数字证书进行在线认证的流程图；

图7是本发明实施例中云计算虚拟机在自动启动时依据数字证书进行在线认证的流程图。

本发明目的的实现、功能特点及优异效果，下面将结合具体实施例以及附图做进一步的说明。

本发明的较佳实施方式

为使本发明实施例的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明实施例中，CA中心即证书授权中心，或称证书授权机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

CA中心分别为云管理主机、云计算物理主机以及云计算虚拟机颁发数字证书。CA中心架构包括公钥基础设施(PKI，Public Key Infrastructure)结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等。从业务流程涉及的角色看，包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。

目前提供的CA数字证书业务主要包括：数字证书的申请、签发和发布；证书的查询、作废、更新、存档，并提供在线证书状态查询服务；密钥的管理，主要是密钥的产生、存贮、更新、备份和恢复。

在本发明实施例中，CA发证和在线认证通常是分离的物理设备。

在本发明实施例中，云管理主机为云虚拟化平台中起管理及调度作用的管理节点，可以监控云计算物理主机(计算节点)、存储节点等虚拟化资源的运行状况，并根据其运行状态进行调度；另外还可以对资源进行维护，包括本发明实施例中所述的虚机管理，云计算物理主机、云计算虚拟机的数字证书的在线申请发送和管理。

在本发明实施例中，云计算物理主机作为云虚拟化计算节点的物理机，主要负责为虚拟化系统提供计算能力，它是虚机的承载。

在本发明实施例中，对于所述云计算虚拟机，云管理主机对云计算物理主机虚拟化后，可以根据需要，将虚拟CPU资源、内存资源、网络资源等抽取组成云计算虚拟机。通常，一个云计算物理主机可以根据其资源和业务应用情况创建多个云计算虚拟机。

在本发明实施例中，证书key为负责存放数字证书的物理实体。包括但不限于USBkey、蓝牙KEY、移动终端的TF(Trans-flash)卡Key等形态。

例如在某些实施例中，云计算物理主机USB口插的USB key即用于存放云计算物理主机自身的数字证书，也存放依赖于该主机的云计算虚拟机的数字证书。

在本发明实施例中，证书代理为负责云计算物理主机、云计算虚拟机进行数字证书读取、认证的后台软件，通常其部署于各云计算物理主机上。

本发明实施例提供的基于数字证书的信息安全实现方法，包括：

为云管理主机、云计算物理主机以及云计算虚拟机分别发放数字证书；在这些网元启动时或运行过程中，依据相应的数字证书进行合规性认证。

在本实施例中，为云管理主机、云计算物理主机以及云计算虚拟机分别发放的数字证书被存放于证书key之中，所述证书key支持存放多个数字证书，并通过证书容器相互隔离，证书key中的每个证书容器被配置为用于存储独立的数字证书，每个数字证书的读取者只能根据权限读取到自己权限内的数字证书。

在本发明实施例中，需要分别为云管理主机、云计算物理主机以及云计算虚拟机发放数字证书，并在这些网元启动时或运行过程中，依据相应的数字证书进行合规性认证。具体地，例如通过云管理主机创建云计算虚拟机时，以云计算虚拟机设备的虚拟MAC地址、虚拟CPU信息等组成的关键属性向CA中心申请数字证书,CA中心根据云计算虚拟机的关键属性值生成相应的数字证书并加密传送给云计算虚拟机所在的云计算物理主机上的证书代理。云计算物理主机上的证书代理根据不同的云计算虚拟机的关键属性在证书key中创建隔离的证书容器，并将云计算虚拟机的数字证书写入证书容器中。

在云计算虚拟机启动时，需根据其关键属性信息从证书key中读取相应的加密的数字证书，并进行CA认证，验证成功后才容许继续后续启动。

另外，在云计算虚拟机运行过程中，采用通过证书代理定期自动认证的机制，保证了云平台运行态中的安全。且在认证过程中，其证书链相互验证，例如CA中心验证云管理主机签名，云管理主机验证云计算物理主机签名，云计算物理主机验证云计算虚拟机签名，以此来保证系统中每个节点都是可靠的。

具体地，在本实施例中，如图1所示，为云管理主机发放数字证书包括：

S101、CA中心根据云管理主机(云管理节点)关键属性信息采用hash算法生成唯一的字符串，作为云管理主机数字证书生成的输入来生成证书并写入证书key中完成制卡，在本实施例中，所述云管理主机关键属性信息包括但不限于云管理主机的MAC地址、CPU号。

具体地，参考图2所示，在本实施例中，为云计算物理主机发放数字证包括：

S102、收集指定云计算物理主机(云计算节点)属性信息，从而为指定云计算节点申请设备证书，具体地，云管理主机通过部署于相应云计算物理主机上的证书代理获取该云计算物理主机关键属性信息(如MAC地址、CPU号等关键信息)，并据此向CA中心发起云计算物理主机数字证书申请；

S103、CA中心验证云管理节点，从而为指定的云计算节点生成数字证书并制卡，具体地，CA中心验证云管理主机数字证书，在验证通过时根据云计算物理主机关键属性信息生成云计算物理主机数字证书并制卡。

具体地，参考图3所示，在本实施例中，为云计算虚拟机分别发放数字证书包括：

S104、云管理主机首先选择资源池，并创建云计算物理主机的云计算虚拟机，并在云管理主机验证云计算虚拟机所归属的云计算物理主机正常后，获取该云计算虚拟机关键属性信息，并据此向CA中心发起云计算虚拟机数字证书申请；

S105、CA中心验证云管理主机数字证书，在验证通过时根据云计算虚拟机关键属性信息生成云计算虚拟机数字证书文件；

S106、CA中心向云管理主机返回加密的云计算虚拟机数字证书文件；

S107、云管理主机向云计算虚拟机所归属的云计算物理主机返回加密的云计算虚拟机数字证书文件,云计算物理主机通过部署于其上的代理程序验证加密的云计算虚拟机数字证书文件，根据云计算虚拟机关键属性信息在证书key中创建隔离的证书容器，并将所述云计算虚拟机数字证书写入证书容器中。

具体地，如图4所示，在本实施例中，在云管理主机启动时，依据相应的数字证书进行合规性认证包括：

S201、在云管理主机启动时，部署于云管理主机上的证书代理向CA中心发起在线或离线认证请求并生成本次认证随机数Ra，以请求随机数Rb；

S202、CA中心响应所述请求并返回认证随机数Rb；

S203、云管理主机的证书代理根据云管理主机关键属性信息从证书key中读取云管理主机的数字证书，使用数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将所述签名结果、云管理主机的数字证书CerA以及本次认证随机数Ra发送给CA中心；

S204、CA中心对接收到的信息进行认证，并在认证成功后，通知云管理主机继续启动流程。其中如何认证属于本领域技术人员的公知技术，这里不再赘述。

具体地，如图5所示，在本实施例中，在云计算物理主机启动时，依据相应的数字证书进行合规性认证包括：

S205、在云计算物理主机启动时，部署于云计算物理主机上的证书代理根据其云计算物理主机关键属性信息从证书key中读取该云计算物理主机的数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra，以申请随机数Rb；

S206、CA中心响应所述请求并返回认证随机数Rb；

S207、云计算物理主机的证书代理根据云计算物理主机关键属性信息从证书key中读取该云计算物理主机的数字证书，使用数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将所述签名结果、云计算物理主机的数字证书CerA以及本次认证随机数Ra发送给CA中心；

S208、CA中心对接收到的信息进行认证，并在认证成功后，通知云计算物理主机继续启动流程。

具体地，在本实施例中，在云计算虚拟机启动时，依据相应的数字证书进行合规性认证包括：

S209、在云计算虚拟机启动时，其所归属的云计算物理主机上的证书代理根据云计算虚拟机关键属性信息(例如MAC地址、CPU号等)从证书key中的相应证书容器中读取云计算虚拟机数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；

S210、CA中心响应所述请求并返回认证随机数Rb；

S211、云计算物理主机上的证书代理根据所述云计算虚拟机数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将签名结果、云计算虚拟机数字证书以及本次认证随机数Ra发送给CA中心；

S212、CA中心对接收到的信息进行认证，并在认证成功后，通知云计算虚拟机继续启动流程。

当然，所述云计算虚拟机可以由管理员登录云管理主机节点后，手工启动相应的云计算虚拟机，也可以预先配置启动策略，并由系统自动启动相应的云计算虚拟机。如图6所示，其示出了手工启动云计算虚拟机流程示意图，其具体包括：

步骤61、管理员手工启动某云计算虚拟机，其手工启动云计算虚拟机的方式为本领域的现有技术；

步骤62、在云计算虚拟机启动后，其所归属的云计算物理主机根据云计算虚拟机关键属性信息(例如MAC地址、CPU号等)从证书key中的相应证书容器中读取云计算虚拟机数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra，以申请随机数Rb；

步骤63、CA中心响应所述请求并返回认证随机数Rb；

步骤64、云计算物理主机上的证书代理根据所述云计算虚拟机数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将签名结果、云计算虚拟机数字证书CerA以及本次认证随机数Ra发送给CA中心；

步骤65、CA中心对接收到的信息进行认证，并在认证成功后，通知云计算虚拟机继续启动流程。

如图7所示，其示出了自动启动云计算虚拟机的流程示意图，其包括：

步骤71、某云计算虚拟机依据预设的自动启动策略自动重启，其中所述自动启动策略为本领域的现有技术；

步骤72、在云计算虚拟机启动后，其所归属的云计算物理主机根据云计算虚拟机关键属性信息(例如MAC地址、CPU号等)从证书key中的相应证书容器中读取云计算虚拟机数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra，以申请随机数Rb；

步骤73、CA中心响应所述请求并返回认证随机数Rb；

步骤74、云计算物理主机上的证书代理根据所述云计算虚拟机数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将签名结果、云计算虚拟机数字证书CerA以及本次认证随机数Ra发送给CA中心；

步骤75、CA中心对接收到的信息进行认证，并在认证成功后，通知云计算虚拟机继续启动流程。

具体地，在本实施例中，在云管理主机运行过程中，依据相应的数字证书进行合规性认证的具体包括：

云管理主机的证书代理循环检验证书的合规性，在监控定时器时间到时，证书代理获取云管理主机关键属性信息，并据此从证书key中读取云管理主机的数字证书并向CA中心发起在线或离线认证请求：当CA中心认证通过时，云管理主机继续运行；否则，CA中心生成告警，并发送通知消息以通知管理员进行处理。其中，依据所述第一定时器，实现在云管理主机运行过程中，定时地依据相应的数字证书进行合规性认证。

具体地，在本实施例中，在云计算物理主机运行过程中，依据相应的数字证书进行合规性认证的步骤包括：

云物理主机的证书代理循环检验证书的合规性，在监控定时器时间到时，证书代理获取云计算物理主机关键属性信息，并据此从证书key中读取云计算物理主机的数字证书并向CA中心发起在线或离线认证请求：当CA中心认证通过时，云计算物理主机继续运行；否则，CA中心生成告警，并发送通知消息以通知管理员进行处理。其中，依据所述第二定时器，实现在云计算物理主机运行过程中，定时地依据相应的数字证书进行合规性认证。

具体地，在本实施例中，在云计算虚拟机运行过程中，依据相应的数字证书进行合规性认证的步骤包括：

云计算虚拟机所归属的云计算物理主机的证书代理循环检验证书的合规性在监控定时器时间到时，证书代理获取云计算虚拟机关键属性信息，并据此从证书key中的相应证书容器中读取云计算虚拟机数字证书并向CA中心发起在线或离线认证请求：当CA中心认证通过时，云计算虚拟机继续运行；否则，CA中心生成告警，并发送通知消息以通知管理员进行处理。其中，依据所述第三定时器，实现在云计算虚拟机运行过程中，定时地依据相应的数字证书进行合规性认证。

当然，上文均以运用于云环境予以阐述本发明的要旨，应当理解，本发明实施例提供的所述方法非仅仅适用于云环境，非云环境也同样可以适用本发明。例如在基于docker容器方式而不是基于虚机方式的系统中，采用本发明实施例，对于一个docker关联一个虚拟数字证书，并对其他网元均配置相对应的数字证书，在后续的启动、运行过程中，均采取这些配置的数字证书执行相应的合规认证，从而确保系统的信息安全。

相应地，本发明实施例还提供了一种基于数字证书的信息安全实现系统，其包括：CA中心、云管理主机、云计算物理主机，以及，根据所述云计算物理主机而创建的至少一个云计算虚拟机；其中，

具体地，在本实施例中，CA中心具体设置为：根据云管理主机关键属性信息生成云管理主机数字证书并制卡；

验证云管理主机数字证书，在验证通过时根据云计算物理主机关键属性信息生成云计算物理主机数字证书并制卡。

验证云管理主机数字证书，在验证通过时根据云计算虚拟机关键属性信息生成云计算虚拟机数字证书文件；向云管理主机返回加密的云计算虚拟机数字证书文件；

相应地，

云管理主机，还设置为通过部署于相应云计算物理主机上的证书代理获取该云计算物理主机关键属性信息(如MAC地址、CPU号等关键信息)，并据此向CA中心发起云计算物理主机数字证书申请；

在验证云计算虚拟机所归属的云计算物理主机正常后，获取该云计算虚拟机关键属性信息，并据此向CA中心发起云计算虚拟机数字证书申请；向云计算虚拟机所归属的云计算物理主机返回加密的云计算虚拟机数字证书文件；

云计算物理主机，还设置为通过部署于其上的代理程序验证加密的云计算虚拟机数字证书文件，根据云计算虚拟机关键属性信息在证书key中创建隔离的证书容器，并将所述云计算虚拟机数字证书写入证书容器中。其中，在本实施例中，证书key中的每个证书容器被配置为用于存储独立的数字证书，每个数字证书的读取者只能根据权限读取到自己权限内的数字证书。

具体地，在本实施例中，云管理主机、云计算物理主机以及云计算虚拟机在在启动时，依据相应的数字证书进行合规性认证具体包括：

云管理主机具体设置为：

在启动时，部署于云管理主机上的证书代理向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；接收来自CA中心响应所述请求并返回的认证随机数Rb；云管理主机的证书代理根据云管理主机关键属性信息从证书key中读取云管理主机的数字证书，使用数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将所述签名结果、云管理主机的数字证书以及本次认证随机数Ra发送给CA中心；接收到来自CA中心对接收到的信息进行认证成功的通知，继续启动流程。

云计算物理主机具体设置为：

在启动时，部署于云计算物理主机上的证书代理根据其云计算物理主机关键属性信息从证书key中读取该云计算物理主机的数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；接收来自CA中心响应所述请求并返回的认证随机数Rb；云计算物理主机的证书代理根据云计算物理主机关键属性信息从证书key中读取该云计算物理主机的数字证书，使用数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将所述签名结果、云计算物理主机的数字证书以及本次认证随机数Ra发送给CA中心；接收来自CA中心对接收到的信息进行认证成功的通知，继续启动流程。

在云计算虚拟机具体设置为：

在启动时，其所归属的云计算物理主机上的证书代理根据云计算虚拟机关键属性信息从证书key中的相应证书容器中读取云计算虚拟机数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；接收来自CA中心响应所述请求并返回的认证随机数Rb；云计算物理主机上的证书代理根据所述云计算虚拟机数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将签名结果、云计算虚拟机数字证书以及本次认证随机数Ra发送给CA中心；接收来自CA中心对接收到的信息认证成功的通知，继续启动流程。

当然，所述云计算虚拟机可以由管理员登录云管理主机节点后，手工启动相应的云计算虚拟机，也可以预先配置启动策略，并由系统自动启动相应的云计算虚拟机。继续参考图6所示，其示出了手工启动云计算虚拟机流程示意图，继续参考图7所示，其示出了自动启动云计算虚拟机的流程示意图。

具体地，在本实施例中，云管理主机、云计算物理主机以及云计算虚拟机在在运行过程中，依据相应的数字证书进行合规性认证具体包括：

云管理主机具体设置为：在预先设置的第一定时器时间到时，云管理主机的证书代理获取云管理主机关键属性信息，并据此从证书key中读取云管理主机的数字证书并向CA中心发起在线或离线认证请求：当接收到来自CA中心的认证通过通知时，继续运行；

否则，CA中心还设置为：生成告警，并发送通知消息以通知管理员进行处理。

云计算物理主机具体设置为：在预先设置的第二定时器时间到时，云计算物理主机的证书代理获取云计算物理主机关键属性信息，并据此从证书 key中读取云计算物理主机的数字证书并向CA中心发起在线或离线认证请求：当接收到来自CA中心的认证通过通知时，继续运行；

云计算虚拟机具体设置为：在预先设置的第三定时器时间到时，云计算虚拟机所归属的云计算物理主机的证书代理获取云计算虚拟机关键属性信息，并据此从证书key中的相应证书容器中读取云计算虚拟机数字证书并向CA中心发起在线或离线认证请求：当接收到来自CA中心的认证通过通知时，继续运行；

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

工业实用性

本发明实施例提出的基于数字证书的信息安全实现方法及系统，所述方法包括：为云管理主机、云计算物理主机以及云计算虚拟机分别发放数字证书；在所述云管理主机、云计算物理主机以及云计算虚拟机启动时或运行过程中，依据相应的数字证书进行合规性认证。本发明实施例提供的基于数字证书的信息安全实现方法及系统借鉴数字证书信任链的技术，与云管理系统结合，实现了云管理系统、物理主机、虚拟机的可信系统,着重于系统主机平台自身的安全防护，提高了云虚拟化平台的安全性。

Claims

一种基于数字证书的信息安全实现方法，其特征在于，包括：

为云管理主机、云计算物理主机以及云计算虚拟机分别发放数字证书；

在所述云管理主机、云计算物理主机以及云计算虚拟机启动时或运行过程中，依据相应的数字证书进行合规性认证。
如权利要求1所述的信息安全实现方法，其特征在于，所述为云管理主机发放数字证书包括：

证书授权CA中心根据所述云管理主机关键属性信息生成云管理主机数字证书并制卡。
如权利要求1所述的信息安全实现方法，其特征在于，所述为云计算物理主机发放数字证书包括：

云管理主机通过部署于相应云计算物理主机上的证书代理获取该云计算物理主机关键属性信息，并据此向CA中心发起云计算物理主机数字证书申请；

CA中心验证云管理主机数字证书，在验证通过时根据云计算物理主机关键属性信息生成云计算物理主机数字证书并制卡。
如权利要求1所述的信息安全实现方法，其特征在于，所述为云计算虚拟机分别发放数字证书包括：

所述云管理主机在验证云计算虚拟机所归属的云计算物理主机正常后，获取该云计算虚拟机关键属性信息，并据此向CA中心发起云计算虚拟机数字证书申请；

CA中心验证云管理主机数字证书，在验证通过时根据云计算虚拟机关键属性信息生成云计算虚拟机数字证书文件；

CA中心向云管理主机返回加密的云计算虚拟机数字证书文件；

云管理主机向云计算虚拟机所归属的云计算物理主机返回加密的云计算虚拟机数字证书文件,云计算物理主机通过部署于其上的代理程序验证加密的云计算虚拟机数字证书文件，根据云计算虚拟机关键属性信息在证书 key中创建隔离的证书容器，并将所述云计算虚拟机数字证书写入证书容器中。
如权利要求4所述的信息安全实现方法，其特征在于，所述证书key中的每个证书容器被配置为用于存储独立的数字证书。
如权利要求2所述的信息安全实现方法，其特征在于，在所述云管理主机启动时，依据相应的数字证书进行合规性认证包括：

部署于所述云管理主机上的证书代理向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；CA中心响应所述请求并返回认证随机数Rb；

云管理主机的证书代理根据云管理主机关键属性信息从证书key中读取云管理主机的数字证书，使用数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将所述签名结果、云管理主机的数字证书以及本次认证随机数Ra发送给CA中心；CA中心对接收到的信息进行认证，并在认证成功后，通知所述云管理主机继续启动流程。
如权利要求3所述的信息安全实现方法，其特征在于，在所述云计算物理主机启动时，依据相应的数字证书进行合规性认证的包括：

部署于所述云计算物理主机上的证书代理根据其云计算物理主机关键属性信息从证书key中读取该云计算物理主机的数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；CA中心响应所述请求并返回认证随机数Rb；

云计算物理主机的证书代理根据云计算物理主机关键属性信息从证书key中读取该云计算物理主机的数字证书，使用数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将所述签名结果、云计算物理主机的数字证书以及本次认证随机数Ra发送给CA中心；CA中心对接收到的信息进行认证，并在认证成功后，通知所述云计算物理主机继续启动流程。
如权利要求4所述的信息安全实现方法，其特征在于，在所述云计算虚拟机启动时，依据相应的数字证书进行合规性认证包括：

所述云计算虚拟机所归属的云计算物理主机上的证书代理根据云计算虚拟机关键属性信息从证书key中的相应证书容器中读取云计算虚拟机数字证书，向CA中心发起在线或离线认证请求并生成本次认证随机数Ra；CA中心响应所述请求并返回认证随机数Rb；

云计算物理主机上的证书代理根据所述云计算虚拟机数字证书对所述本次认证随机数Ra以及认证随机数Rb进行数字签名，并将签名结果、云计算虚拟机数字证书以及本次认证随机数Ra发送给CA中心；CA中心对接收到的信息进行认证，并在认证成功后，通知所述云计算虚拟机继续启动流程。
如权利要求1所述的信息安全实现方法，其特征在于，在所述云管理主机运行过程中，依据相应的数字证书进行合规性认证包括：

在预先设置的第一定时器时间到时，所述云管理主机的证书代理获取云管理主机关键属性信息，并据此从证书key中读取云管理主机的数字证书并向CA中心发起在线或离线认证请求：当CA中心认证通过时，所述云管理主机继续运行。
如权利要求1所述的信息安全实现方法，其特征在于，在所述云计算物理主机运行过程中，依据相应的数字证书进行合规性认证包括：

在预先设置的第二定时器时间到时，所述云计算物理主机的证书代理获取云计算物理主机关键属性信息，并据此从证书key中读取云计算物理主机的数字证书并向CA中心发起在线或离线认证请求：当CA中心认证通过时，所述云计算物理主机继续运行。
如权利要求1所述的信息安全实现方法，其特征在于，在所述云计算虚拟机运行过程中，依据相应的数字证书进行合规性认证包括：

在预先设置的第三定时器时间到时，所述云计算虚拟机所归属的云计算物理主机的证书代理获取云计算虚拟机关键属性信息，并据此从证书key中的相应证书容器中读取云计算虚拟机数字证书并向CA中心发起在线或离线认证请求：当CA中心认证通过时，所述云计算虚拟机继续运行。
一种基于数字证书的信息安全实现系统，其特征在于，包括：CA中心、云管理主机、云计算物理主机，以及，根据所述云计算物理主机而创建的至少一个云计算虚拟机；其中，

CA中心，设置为在云管理主机的管理控制下为云管理主机、云计算物理主机以及云计算虚拟机分别发放数字证书；

云管理主机，设置为在启动时或运行过程中，依据相应的数字证书进行合规性认证；

云计算物理主机，设置为在启动时或运行过程中，依据相应的数字证书进行合规性认证；

云计算虚拟机，设置为启动时或运行过程中，依据相应的数字证书进行合规性认证。