動位于所述客戶虛擬機中��,后端驅(qū)動位于所述虛擬機監(jiān)控器內(nèi)��;所述前端驅(qū)動與所述后端驅(qū)動將執(zhí)行信息存儲到一環(huán)形緩沖區(qū)�,所述前端驅(qū)動與所述后端驅(qū)動通過共享該環(huán)形緩沖區(qū)進行數(shù)據(jù)通信�。
[0025]進一步的,客戶虛擬機動態(tài)申請內(nèi)存����,并把所申請的虛擬內(nèi)存地址發(fā)送給所述證書撤銷列表管理器��,所述證書撤銷列表管理器通過添加一個偏移得到該內(nèi)存區(qū)域的虛擬地址���,該虛擬機與所述證書撤銷列表管理器通過共享該內(nèi)存區(qū)域進行通信。
[0026]一種虛擬化環(huán)境中數(shù)字證書撤銷狀態(tài)檢查系統(tǒng)�����,其特征在于�����,包括一宿主機�����,所述宿主機上創(chuàng)建有多個客戶虛擬機����,在該宿主機的虛擬機監(jiān)控器內(nèi)設(shè)置一證書撤銷列表管理器;所述證書撤銷列表管理器中存儲證書撤銷列表文件CRL和一配置CRL文件訪問地址的配置文件�����;其中,所述證書撤銷列表管理器����,用于管理每個客戶虛擬機中的證書依賴方對證書撤銷列表CRL的服務(wù)請求。
[0027]進一步的�,所述證書撤銷管理器定期地查看本地存儲的CRL文件�,將不在有效期內(nèi)的CRL文件刪除;或者在向客戶虛擬機中的證書依賴方提供查詢服務(wù)讀取對應(yīng)的CRL文件時檢查該CRL文件的有效期����,如果不在有效期內(nèi),則重新下載相應(yīng)的最新CRL文件�����。
[0028]進一步的����,所述證書撤銷列表管理器與所述客戶虛擬機之間采用Virt1技術(shù)進行通信;其中��,前端驅(qū)動位于所述客戶虛擬機中��,后端驅(qū)動位于所述虛擬機監(jiān)控器內(nèi)���;所述前端驅(qū)動與所述后端驅(qū)動將執(zhí)行信息存儲到一環(huán)形緩沖區(qū)��,所述前端驅(qū)動與所述后端驅(qū)動通過共享該環(huán)形緩沖區(qū)進行數(shù)據(jù)通信���。
[0029]本發(fā)明的證書撤銷列表管理器可以在基于Xen的虛擬化平臺中實現(xiàn)��,也可以在基于VMware ESX/ESXi和Hyper-V的虛擬化平臺中實現(xiàn)�����,還可以在基于Linux KVM-QEMU的虛擬化平臺中實現(xiàn)�����。
[0030]本發(fā)明利用證書撤銷列表管理器實現(xiàn)了在虛擬化環(huán)境中為客戶虛擬機中的證書依賴方提供證書撤銷狀態(tài)檢查服務(wù)�,證書撤銷列表管理器運行在VMM中�����。在證書撤銷列表管理器中存儲CRL文件��。上層的客戶虛擬機中的證書依賴方不再需要去直接訪問資料庫下載CRL文件��,它只需要通過證書撤銷列表管理器提供的接口向證書撤銷列表管理器發(fā)送所要驗證的證書信息或者是請求特定的CRL文件�,證書撤銷列表管理器就會返回相應(yīng)的證書撤銷狀態(tài)結(jié)果或相應(yīng)的CRL文件給上層的客戶虛擬機中的證書依賴方�����。
[0031]本發(fā)明通過把證書撤銷列表作為虛擬化資源的一部分�����,在虛擬化環(huán)境中��,為客戶虛擬機中的證書依賴方提供證書撤銷狀態(tài)查詢服務(wù)。從客戶虛擬機的角度看�,通過證書撤銷列表管理器獲得的證書撤銷列表如同是快速訪問所在計算機存儲的一個CRL文件,但實際上是由證書撤銷列表管理器從PKI資料庫中獲取并管理的���。
[0032]客戶虛擬機中的證書依賴方可以選擇請求證書撤銷列表管理器完成證書撤銷狀態(tài)的檢查����,證書撤銷列表管理器根據(jù)自己獲取的CRL文件來進行撤銷狀態(tài)的檢查�;也可以選擇請求證書列表管理器提供所需的CRL文件,此時��,證書撤銷列表管理器會向客戶虛擬機中的證書依賴方發(fā)送相應(yīng)的CRL文件�,客戶虛擬機中的證書依賴方獲取相應(yīng)的CRL文件后自行檢查證書是否在證書撤銷列表中。
[0033]客戶虛擬機中的證書依賴方向證書撤銷列表管理器提出證書撤銷狀態(tài)檢查服務(wù)請求或CRL文件請求的時候��,需要提供以下信息:證書簽發(fā)者名稱(即X.509證書中的Issuer域)和證書序列號(即X.509證書中的Serial Number域),如果證書上寫有CRL分發(fā)點擴展(即X.509證書中的CRL Distribut1n Points擴展域)����,則客戶虛擬機中的證書依賴方還可以同時提供該信息。證書撤銷列表管理器根據(jù)客戶虛擬機中的證書依賴方提供的信息查找管理器中是否存儲相應(yīng)的CRL文件��,如果存在則檢查該證書是否已經(jīng)被撤銷并將結(jié)果返回給客戶虛擬機中的證書依賴方����、或者返回該CRL文件。如果管理器中沒有存儲相應(yīng)的CRL文件����,則證書撤銷列表管理器首先根據(jù)客戶虛擬機中的證書依賴方提供的CRL分發(fā)點擴展信息訪問資料庫下載相應(yīng)的CRL文件,驗證CRL文件的有效性以后��,返回該CRL文件給客戶虛擬機中的證書依賴方或檢查證書是否已經(jīng)被撤銷并在完成檢查后將結(jié)果返回給客戶虛擬機中的證書依賴方�。如果客戶虛擬機中的證書依賴方?jīng)]有提供CRL分發(fā)點擴展信息,則證書列表管理器根據(jù)自己的預(yù)先配置��,首先根據(jù)證書簽發(fā)者名稱標識查找管理器中是否存儲相應(yīng)的CRL文件��,如果不存在�����,則訪問預(yù)先配置的該CRL資料庫地址,下載最新的CRL文件����,完成證書的撤銷狀態(tài)檢查過程。如果找不到該CRL資料庫地址����,則返回失敗。上述配置由證書撤銷列表管理器的管理員通過在宿主機的操作接口手動配置完成�。
[0034]相比于傳統(tǒng)的證書依賴方軟件程序(當客戶虛擬機中的證書依賴方需要檢查證書撤銷狀態(tài)的時候,直接去訪問PKI資料庫�����,下載最新的CRL文件���,檢查所要查詢的證書序列號是否在CRL文件列表中),本發(fā)明對證書依賴方軟件程序作出相應(yīng)改動:當客戶虛擬機中的證書撤銷依賴方需要檢查證書撤銷狀態(tài)的時候����,首先選擇查詢方式,或選擇證書撤銷狀態(tài)檢查服務(wù)或選擇獲取CRL文件服務(wù)��。此時����,證書撤銷依賴方軟件程序根據(jù)選擇情況�,向證書撤銷列表管理器發(fā)出相應(yīng)的請求����,并提供查詢所需要的證書信息。證書撤銷列表管理器完成服務(wù)請求���,并將結(jié)果返回給證書依賴方軟件程序做后續(xù)處理�。
[0035]與現(xiàn)有技術(shù)相比�,本發(fā)明的證書撤銷列表管理器具有以下優(yōu)點:
[0036]a.通過統(tǒng)一的接口為客戶虛擬機中的證書依賴方提供證書撤銷狀態(tài)查詢服務(wù),不需要客戶虛擬機同時支持多種不同的網(wǎng)絡(luò)訪問協(xié)議����。
[0037]b.將CRL文件從客戶虛擬機中隔離出來,進行集中管理��。
[0038]c.所有對CRL機制的配置在宿主機中通過操作接口訪問證書撤銷列表管理器來完成���,省去上文提到的每一臺客戶虛擬機使用者需要進行的繁瑣操作���。
[0039]在這種結(jié)構(gòu)下,證書撤銷列表管理器具有以下優(yōu)點:
[0040]a.簡化CRL機制配置管理。上層的各個客戶虛擬機無須分別進行配置����,只需要在下層的證書撤銷列表管理器中統(tǒng)一配置一次即可。
[0041]b.提高證書撤銷檢查效率����,減少延遲。在一個范圍內(nèi)(例如���,一個企業(yè)內(nèi)的所有虛擬桌面系統(tǒng))�,用戶們可能會與相同的對象群進行通信��,因此它們所要檢查的證書所屬的CRL文件大多是相同的��,即運行在同一 VMM之上的多個客戶虛擬機中的證書依賴方所用的證書撤銷列表大多時候是相同的����。當證書撤銷列表管理器根據(jù)某一客戶虛擬機中的證書依賴方的請求下載某一個CRL文件后�,后續(xù)的客戶虛擬機中的證書依賴方請求相同的CRL文件時,證書撤銷列表管理器就可以立即返回該CRL文件���、無須再去PKI資料庫下載���。而且����,證書撤銷列表管理器還可以周期性地���、預(yù)先下載最新的該CRL文件����,使得能夠更及時響應(yīng)下一次某一客戶虛擬機中的證書依賴方對該CRL的請求����。上述措施,可以減少客戶虛擬機中的證書依賴方檢查證書撤銷狀態(tài)的延遲���。這種高效性�,在上層客戶虛擬機越多的情況下�����,表現(xiàn)的越明顯��,特別適合企業(yè)級的虛擬桌面系統(tǒng)�。
【附圖說明】
[0042]圖1是實施例中證書撤銷狀態(tài)檢查服務(wù)示意圖。
[0043]圖2是實施例中Virt1體系結(jié)構(gòu)示意圖。
【具體實施方式】
[0044]為使本發(fā)明的上述目的�����、特征和優(yōu)點能夠更加明顯易懂����,下面通過具體實施例和附圖,對本發(fā)明做進一步說明�。
[0045]本實施例使用的證書撤銷列表管理器是在KVM-QEMU虛擬化平臺中實現(xiàn)的,其配置界面集成在QEMU控制臺����,并提供操作接口給證書撤銷列表管理器管理員,使得管理員可以在宿主機中直接對證書撤銷列表管理器進行配置���。KVM是Linux內(nèi)核的一個模塊����,它是整個KVM-QEMU虛擬化平臺的核心��,它負責初始化處理器���,并通過1ctl系統(tǒng)調(diào)用提供一系列的VMM管理接口,比如創(chuàng)建VM、映射VM的物理地址����、給VM分配虛擬CPU(vCPU)等。KVM模塊的工作主要是可以通過操作客戶虛擬機控制數(shù)據(jù)結(jié)構(gòu)(Virtual-Machine Control DataStructures, VMCS)捕捉客戶虛擬機的1指令(包括Port IC^Pmmap 10)以及實現(xiàn)中斷虛擬化���。QEMU進程提供對客戶虛擬機平臺的模擬����,通過調(diào)用KVM的接口來執(zhí)行客戶虛擬機的代碼����。
[0046]圖1是采用本發(fā)明方法在虛擬化環(huán)境中提供證書撤銷狀態(tài)檢查服務(wù)的示意圖。證書撤銷列表存儲在證書撤銷列表管理器