中��,證書撤銷列表管理器運(yùn)行在KVM-QEMU中��,由QEMU提供操作界面����,對證書撤銷列表管理器進(jìn)行配置,如設(shè)置各證書簽發(fā)者對應(yīng)的PKI資料庫地址�����、CRL下載周期等���。在客戶虛擬機(jī)中的證書依賴方提出證書撤銷狀態(tài)檢查服務(wù)請求并選擇證書撤銷狀態(tài)檢查方式后����,證書撤銷列表管理器響應(yīng)請求,根據(jù)客戶虛擬機(jī)中的證書依賴方選擇的方式��,提供證書撤銷狀態(tài)檢查服務(wù)�。該證書撤銷列表管理器通過KVM-QEMU,可以向上層客戶虛擬機(jī)提供讀取接口��,客戶虛擬機(jī)可以讀取CRL文件�����;也可以向上層客戶虛擬機(jī)提供證書撤銷狀態(tài)檢查接口��。證書撤銷列表管理器根據(jù)客戶虛擬機(jī)中的證書依賴方通過接口發(fā)過來的請求��,提供相應(yīng)的服務(wù):一種是將所需CRL文件通過讀取接口傳遞給上層客戶虛擬機(jī)中的證書依賴方��,另一種是完成證書撤銷狀態(tài)檢查并直接將結(jié)果通過證書撤銷狀態(tài)檢查接口返回給客戶虛擬機(jī)中的證書依賴方���。
[0047]在實(shí)施例中,采用Virt1技術(shù)完成證書撤銷列表管理器和客戶虛擬機(jī)之間證書撤銷狀態(tài)檢查服務(wù)請求和結(jié)果的傳遞����,Virt1的基本結(jié)構(gòu)框架如圖2所示:其中前端驅(qū)動(dòng)(front-end,如virt1-blk�����、virt1_net等)是在客戶虛擬機(jī)中存在的驅(qū)動(dòng)程序模塊�����,而后端處理程序(back-end)是在QEMU中實(shí)現(xiàn)的����。在本實(shí)施例中�����,前端驅(qū)動(dòng)是virt1_crl (虛擬證書撤銷列表設(shè)備)��,而后端處理程序是由證書撤銷列表管理器完成����,或是提供請求所需的CRL文件,或是完成證書撤銷狀態(tài)檢查并返回驗(yàn)證結(jié)果�。
[0048]在前后端驅(qū)動(dòng)之間,還定義了兩層結(jié)構(gòu)來支持客戶虛擬機(jī)與QEMU之間的通信�。其中,“virt1”這一層是虛擬隊(duì)列(virtqueues)接口,它在概念上將前端驅(qū)動(dòng)程序附加到后端處理程序�����,虛擬隊(duì)列通過調(diào)用下層virt1-ring使前端驅(qū)動(dòng)程序與后端處理程序在相同的應(yīng)用二進(jìn)制接口(AB1-Applicat1n Binary Interface)下���,能夠相互發(fā)送及接收數(shù)據(jù)���,為雙方通信提供通道。因此�,虛擬隊(duì)列被視為客戶虛擬機(jī)和VMM的銜接點(diǎn)。在本實(shí)例中virt1-crl在初始化時(shí)實(shí)例化一對虛擬隊(duì)列virtqueues用于傳遞證書撤銷狀態(tài)檢查服務(wù)消息�。
[0049]virt1_ring是virt1傳輸機(jī)制的實(shí)現(xiàn),它引入環(huán)形緩沖區(qū)(ring buffers)來作為數(shù)據(jù)傳輸?shù)妮d體�����,用于保存前端驅(qū)動(dòng)和后端處理程序執(zhí)行的信息��,并且它可以一次性保存前端驅(qū)動(dòng)的多次1/0請求�����,并且交由后端驅(qū)動(dòng)去批量處理���。virtqueue是一個(gè)簡單的隊(duì)列��,客戶虛擬機(jī)把環(huán)形緩沖區(qū)插入其中���,每個(gè)環(huán)形緩沖區(qū)都是一個(gè)分散-聚集數(shù)組。virt1_ring包含3部分:描述符表格(descriptor table)用于存儲(chǔ)一些關(guān)聯(lián)的描述符�����,每個(gè)描述符都是一個(gè)對buffer的描述�����,包含一個(gè)地址/長度的配對���;可用的ring (availablering)用于客戶虛擬機(jī)端表示哪些描述符鏈當(dāng)前是可用的�;使用過的ring (used ring)用于宿主機(jī)端表示哪些描述符已經(jīng)使用����。通過函數(shù)add_buf來向QEMU提供請求,該請求以散集列表的形式存在��?��?蛻籼摂M機(jī)通過函數(shù)add_buf將請求添加到隊(duì)列virtqueue中�����、提供散集列表(包括:地址和長度的數(shù)組)等���。當(dāng)通過add_buf函數(shù)向QEMU發(fā)出請求時(shí)�����,首先將buffer信息添加到描述符表格中�,填充地址�����,長度�����,然后更新available ring head(它指向客戶虛擬機(jī)提供的可用的ring鏈表的頭)�����,最后客戶虛擬機(jī)通過kick函數(shù)通知QEMU新的請求����。為了獲得最佳的性能��,客戶虛擬機(jī)應(yīng)該在通過kick發(fā)出通知之前將盡可能多的環(huán)形緩沖區(qū)裝載到virtqueue����。宿主機(jī)收到新的請求后�����,使用virtqueue_pop O函數(shù)從描述符表格中找到available ring中添加的環(huán)形緩沖區(qū)�,映射內(nèi)存���,從分散-聚集的緩沖區(qū)中讀取數(shù)據(jù)����,處理請求�。宿主機(jī)完成處理后,將處理結(jié)果寫入到使用過的環(huán)形緩沖區(qū)中��?���?蛻籼摂M機(jī)通過get_buf函數(shù)觸發(fā)來自QEMU的響應(yīng)���。客戶虛擬機(jī)僅需調(diào)用該函數(shù)或通過提供的virtqueue callback函數(shù)等待通知就可以實(shí)現(xiàn)輪詢����。當(dāng)客戶虛擬機(jī)知道環(huán)形緩沖區(qū)可用時(shí),調(diào)用get_buf返回使用過的環(huán)形緩沖區(qū)���,獲取數(shù)據(jù)���,釋放環(huán)形緩沖區(qū),更新環(huán)形緩沖區(qū)描述符表格中的標(biāo)記���。至此����,客戶虛擬機(jī)與宿主機(jī)完成了一次通信�。在本實(shí)施例中,客戶虛擬機(jī)動(dòng)態(tài)申請內(nèi)存�,并把所申請的客戶虛擬機(jī)上的物理內(nèi)存地址通過PCI配置接口發(fā)送給證書撤銷列表管理器。KVM用一個(gè)kvm_memory_slot數(shù)據(jù)結(jié)構(gòu)來記錄每一個(gè)客戶虛擬機(jī)地址區(qū)間到宿主機(jī)的映射關(guān)系����,此數(shù)據(jù)結(jié)構(gòu)包含了對應(yīng)此映射區(qū)間的起始客戶虛擬機(jī)頁幀號(Guest Frame Number, GFN)��,映射的內(nèi)存頁數(shù)目以及起始宿主機(jī)虛擬地址�。所以KVM就可以實(shí)現(xiàn)對客戶虛擬機(jī)物理地址到宿主機(jī)虛擬地址之間的轉(zhuǎn)換��,也即首先根據(jù)客戶虛擬機(jī)物理地址找到對應(yīng)的映射區(qū)間���,然后根據(jù)此客戶虛擬機(jī)物理地址在此映射區(qū)間的偏移量就可以得到其對應(yīng)的宿主機(jī)虛擬地址����。因此證書撤銷列表管理器在找到對應(yīng)的映射區(qū)間后通過添加描述符中提供的地址偏移量得到該內(nèi)存區(qū)域的虛擬地址��,兩者通過該共享的內(nèi)存區(qū)域(即環(huán)形緩沖區(qū))進(jìn)行通信��。
[0050]在本實(shí)例中證書撤銷列表管理器由virt1-crl驅(qū)動(dòng)����,后者利用PCI接口被客戶機(jī)操作系統(tǒng)識別����。掛載證書撤銷列表管理器的客戶虛擬機(jī)啟動(dòng)時(shí),virt1-crl-pci驅(qū)動(dòng)的probe函數(shù)被觸發(fā)���,并通過register_virt1_driver向virt1-crl注冊���,表示該證書撤銷列表管理器對應(yīng)于virt1-crl驅(qū)動(dòng)程序����。此時(shí)����,virt1-crl與證書撤銷列表管理器之間建立了通信信道?�?蛻籼摂M機(jī)可以利用virt1-crl向證書撤銷列表管理器發(fā)送請求信息����,并接受證書撤銷列表管理器返回的信息。為了給客戶虛擬機(jī)提供識別證書撤銷列表管理器的支持�����,需要給QEMU啟動(dòng)命令添加virt1-crl-pci選項(xiàng)��。
[0051]在使用證書撤銷列表管理器之前����,首先需要管理員完成對證書撤銷列表管理器的配置工作,主要配置證書撤銷列表管理器在以下兩種情況下的工作機(jī)制:
[0052]a.客戶虛擬機(jī)中的證書依賴方請求證書撤銷狀態(tài)檢查的時(shí)候提供了 CRL分發(fā)點(diǎn):
[0053]證書撤銷列表管理器首先根據(jù)客戶虛擬機(jī)中的證書依賴方提供的信息���,查找管理器中是否存儲(chǔ)相應(yīng)的CRL文件��,如果存在��,則在檢查有效后��,直接使用該CRL文件��,完成客戶虛擬機(jī)中的證書依賴方的請求:或返回證書撤銷狀態(tài)檢查結(jié)果�,或返回客戶虛擬機(jī)中的證書依賴方該CRL文件。
[0054]如果管理器中沒有存儲(chǔ)相應(yīng)的CRL文件�,則證書撤銷列表管理器根據(jù)客戶虛擬機(jī)中的證書依賴方提供的CRL分發(fā)點(diǎn)地址,訪問相應(yīng)的資料庫����,下載最新的CRL文件����,在驗(yàn)證CRL文件的有效性通過以后,使用該CRL文件完成客戶虛擬機(jī)中的證書依賴方的請求����。同時(shí),管理器會(huì)將該CRL文件存儲(chǔ)在管理器中��,用于后續(xù)的客戶虛擬機(jī)中的證書依賴方請求。
[0055]b.客戶虛擬機(jī)中的證書依賴方請求證書撤銷狀態(tài)檢查的時(shí)候沒有提供CRL分發(fā)占.V.
[0056]管理員提前配置對于指定證書簽發(fā)者的CRL文件獲取途徑�����,并將該地址存儲(chǔ)在證書撤銷列表管理器中�����。
[0057]設(shè)置證書撤銷列表管理器首先根據(jù)證書簽發(fā)者標(biāo)識查找配置文件是否存有對應(yīng)的CRL文件����,如果存在,則直接使用該CRL文件��;如果不存在���,則根據(jù)配置文件中的CRL文件資料庫訪問地址����,下載最新的CRL文件�,并返回給客戶虛擬機(jī);同時(shí)�����,管理器會(huì)將該CRL文件存儲(chǔ)在管理器中,用于后續(xù)的客戶虛擬機(jī)中的證書依賴方請求����。如果管理器中沒有存儲(chǔ)對應(yīng)的CRL文件以及資料庫訪問地址都不存在,則證書撤銷列表管理器返回失敗標(biāo)識給客戶虛擬機(jī)中的證書依賴方����。
[0058]管理員還需要配置證書撤銷列表管理器對不在有效期內(nèi)的CRL文件的刪除工作,證書撤銷列表管理器可以通過兩種途徑完成���,具體如下:證書撤銷管理器定期地查看管理器中存儲(chǔ)的CRL文件��,將不在有效期內(nèi)的CRL文件刪除����;也可以是�����,在向客戶虛擬機(jī)中的證書依賴方提供服務(wù)時(shí)�����,讀取管理器中存儲(chǔ)的CRL文件后�����,檢查有效期���,如果發(fā)現(xiàn)已經(jīng)不在有效期內(nèi)���,就重新根據(jù)證書提供的CRL分發(fā)點(diǎn)或根據(jù)配置文件中配置的CRL文件訪問地址訪問資料庫下載相應(yīng)的最新CRL文件。
[0059]客戶虛擬機(jī)中的證書依賴方向證書撤銷列表管理器提出證書撤銷狀態(tài)檢查服務(wù)請求的步驟如下(分為兩種方式):
[0060]a.方式一��,客戶虛擬機(jī)中的證書依賴