本發(fā)明涉及信息虛擬化和信息安全領(lǐng)域，特別涉及一種虛擬機(jī)證書快速申請系統(tǒng)及方法。

背景技術(shù)：

目前，云計算發(fā)展迅速，其核心理念是通過一個大規(guī)模的動態(tài)資源池向用戶提供靈活的服務(wù)，虛擬化技術(shù)是實現(xiàn)該理念的基礎(chǔ)，以虛擬機(jī)作為提供服務(wù)的邏輯單元，提高了資源利用率、方便了管理，為了保證能夠追蹤監(jiān)控虛擬機(jī)的運行狀態(tài)，需要為虛擬機(jī)頒發(fā)一個證書，以此作為虛擬機(jī)在云計算中心通信的身份憑證，同時也可以加密虛擬機(jī)之間的通信數(shù)據(jù)。

證書頒發(fā)中心一般接收到證書申請請求后，需要首先通過ra驗證申請方的真實性和安全性，然后才發(fā)放證書，導(dǎo)致了證書的發(fā)放不及時。對于云計算中心中的虛擬機(jī)來說，要求虛擬機(jī)創(chuàng)建即可使用，如果虛擬機(jī)創(chuàng)建后再申請證書，必將影響工作效率。

技術(shù)實現(xiàn)要素：

為了解決現(xiàn)有技術(shù)的問題，本發(fā)明提供了一種虛擬機(jī)證書快速申請系統(tǒng)及方法，其能夠提高證書發(fā)放的效率和安全性。

本發(fā)明所采用的技術(shù)方案如下：

一種虛擬機(jī)證書快速申請系統(tǒng)，包括證書存儲區(qū)、tpm芯片和證書管理器，證書存儲區(qū)是在磁盤上開設(shè)的一塊用來存儲預(yù)先申請的證書的存儲區(qū)；所述的tpm芯片用于對證書進(jìn)行加密；所述的證書管理器安裝在虛擬機(jī)監(jiān)控器層，負(fù)責(zé)接收和響應(yīng)虛擬機(jī)證書請求，可以直接訪問磁盤上的證書存儲區(qū)。

證書管理器中維護(hù)兩張表：表一記錄了證書序列號及其存放的地址；表二記錄了證書序列號、虛擬機(jī)唯一標(biāo)識號、證書狀態(tài)。

一種虛擬機(jī)證書快速申請方法，包括如下步驟：

a、虛擬機(jī)申請證書時，證書管理器查詢該虛擬機(jī)是否已經(jīng)有證書及證書狀態(tài)，如果虛擬機(jī)擁有證書且證書未吊銷，則不予發(fā)放證書，否則接收請求，轉(zhuǎn)到步驟b；

b、證書管理器查詢證書存放地址，從證書存儲區(qū)獲得加密證書；

c、證書管理器通過服務(wù)器操作系統(tǒng)中的tpm芯片接口請求解密，tpm芯片解密輸出證書明文至共享內(nèi)存，并通知證書管理器已解密；

d、證書管理器通知虛擬機(jī)到共享內(nèi)存頁獲取證書，并導(dǎo)入自己系統(tǒng)。

本發(fā)明提供的技術(shù)方案帶來的有益效果是：

本發(fā)明通過服務(wù)器磁盤預(yù)先存儲向證書頒發(fā)中心申請的證書，并使用本地tpm芯片加密，由虛擬機(jī)管理器層的證書管理器軟件直接管理，從而在需要進(jìn)行證書申請時，能夠直接調(diào)取已經(jīng)申請的證書進(jìn)行下載導(dǎo)入，避免了原有證書申請時的安全性和真實性的檢測，在不影響證書安全性的同時，大幅度提高了申請效率。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明的一種虛擬機(jī)證書快速申請系統(tǒng)及方法的原理圖。

具體實施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明實施方式作進(jìn)一步地詳細(xì)描述。

實施例一

如附圖1，支持虛擬機(jī)證書快速申請的服務(wù)器主要包括三個部分：證書存儲區(qū)、tpm和證書管理器。其中，證書存儲區(qū)是在磁盤上開設(shè)的一塊用來存儲預(yù)先申請的證書的存儲區(qū)，為了保護(hù)證書，在存儲證書時使用tpm芯片加密，虛擬機(jī)監(jiān)控器層安裝的證書管理器軟件，負(fù)責(zé)接收和響應(yīng)虛擬機(jī)證書請求，可以直接訪問磁盤上的證書存儲區(qū)。證書管理器中維護(hù)兩張表：表一記錄了證書序列號及其存放的地址；表二記錄了證書序列號、虛擬機(jī)唯一標(biāo)識號、證書狀態(tài)等。

虛擬機(jī)申請證書的流程如下：

（1）虛擬機(jī)申請證書（對應(yīng)附圖1的過程①）時，證書管理器查詢表二該虛擬機(jī)是否已經(jīng)有證書及證書狀態(tài)，如果虛擬機(jī)擁有證書且證書未吊銷，則不予發(fā)放證書（對應(yīng)附圖1的過程⑦），否則接收請求，轉(zhuǎn)到第（2）步；

（2）證書管理器查詢表一證書存放地址，從證書存儲區(qū)獲得加密證書（對應(yīng)附圖1的過程②）；

（3）證書管理器通過服務(wù)器操作系統(tǒng)中的tpm接口請求解密（對應(yīng)附圖1的過程③），tpm解密輸出證書明文至共享內(nèi)存（對應(yīng)附圖1的過程④），并通知證書管理器已解密（對應(yīng)附圖1的過程⑤）；

（4）證書管理器通知虛擬機(jī)（對應(yīng)附圖1的過程⑦）到共享內(nèi)存頁獲取證書（對應(yīng)附圖1的過程⑥），并導(dǎo)入自己系統(tǒng)。

以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。

技術(shù)特征：

技術(shù)總結(jié)
本發(fā)明涉及信息虛擬化和信息安全領(lǐng)域，特別涉及一種虛擬機(jī)證書快速申請系統(tǒng)及方法。本發(fā)明通過服務(wù)器磁盤預(yù)先存儲向證書頒發(fā)中心申請的證書，并使用本地TPM芯片加密，由虛擬機(jī)管理器層的證書管理器軟件直接管理，從而在需要進(jìn)行證書申請時，能夠直接調(diào)取已經(jīng)申請的證書進(jìn)行下載導(dǎo)入，避免了原有證書申請時的安全性和真實性的檢測，在不影響證書安全性的同時，大幅度提高了申請效率。

技術(shù)研發(fā)人員：郝虹;戴鴻君;于治樓
受保護(hù)的技術(shù)使用者：濟(jì)南浪潮高新科技投資發(fā)展有限公司
技術(shù)研發(fā)日：2017.04.01
技術(shù)公布日：2017.07.21