一种云环境下CA基础设施资源分配系统及方法与流程

本发明涉及信息安全技术和云计算技术领域，具体涉及一种云环境下CA基础设施资源分配系统及方法。

背景技术：

近年来，随着云计算和虚拟技术的推广普及，涌现出很多优秀的云计算应用服务平台，其聚合了大量的物理硬件资源，并采用虚拟化技术将物理硬件设备的硬件资源进行抽象，实现异构网络计算资源的统一的分配、调度和管理，从而达到充分利用软硬件资源、提高利用率的目的。

在云计算环境下，云服务的安全认证问题越来越受到关注。传统的安全认证解决方案多是基于数字证书的，通过数字证书来实现安全认证，确保数据的机密性、完整性以及行为的不可抵赖性。

CA（Certificate Authority）认证中心作为权威可信的第三方，是公钥基础设施的重要组成部分，主要负责数字证书的申请、审核、签发、注销等证书全生命周期管理。

然而在云环境下，CA基础设施需要结合云环境的特点，部署在云中，但其本身的运维安全级别很高，这样就对CA基础设施有了新的要求。如何更合理安全的利用CA基础设施资源，如何满足云服务对CA基础设施资源的个性化需求，如何实现各云服务间安全认证成为亟需解决的问题。

技术实现要素：

本发明要解决的技术问题是：本发明针对以上问题，提供一种云环境下CA基础设施资源分配系统及方法，以解决云计算环境中CA基础设施资源分配问题，根据云服务应用的个性化需求，按需分配CA基础设施资源，实现云服务数字证书生命周期的管理，满足云环境下高效、可靠的数字证书签发应用需求。

本发明所采用的技术方案为：

一种云环境下CA基础设施资源分配系统，所述系统包括云服务CA资源分配中心、云服务公共CA和数字证书信任中心，其中：

云服务CA资源分配中心负责创建分配CA基础设施资源以及提供相关管理服务；

云服务公共CA是运行在云中的一个CA系统，提供证书公共服务；

数字证书信任中心负责云服务所属CA的数字证书间的相互信任服务。

一种云环境下CA基础设施资源分配方法，所述方法在云计算环境下，为云服务应用创建独享的CA基础设施资源（创建的CA只为此云服务应用提供数字证书签发管理服务），步骤包括：

步骤101、云服务应用向云服务CA资源分配中心提出独享CA基础设施资源申请；

步骤102、云服务CA资源分配中心在云中分配虚拟机，并根据提出的申请内容，创建密钥管理子系统；

步骤103、云服务CA资源分配中心在云中分配虚拟机，并根据提出的申请内容，创建数字证书公共查询子系统；

步骤104、云服务CA资源分配中心在云中分配虚拟机，并根据提出的申请内容，创建数字证书签发子系统；

步骤105、云服务CA资源分配中心将步骤104创建的数字证书签发子系统的根证书注册到所述的数字证书信任中心；

步骤106、云服务CA资源分配中心在云中分配虚拟机，并根据提出的申请内容，创建数字证书注册子系统；

步骤107、云服务应用获得CA系统的访问权限，并且能够通过CA对外服务接口来实现证书签发管理业务。

所述方法在云计算环境下，为云服务应用创建共享的CA基础设施资源（CA是以公共服务的形式提供数字证书签发管理服务），创建步骤包括：

步骤201、云服务应用向云服务CA资源分配中心提出共享CA基础设施资源申请；

步骤202、云服务CA资源分配中心在云服务公共CA中的证书注册子系统中申请一个受理点；

步骤203、云服务CA资源分配中心将所述的公共CA的根证书注册到所述的数字证书信任中心

步骤204、云服务应用获得CA系统的访问权限，并且能够通过CA对外服务接口来实现证书签发管理业务。

所述方法实现云服务应用间的认证步骤包括：

步骤301、云服务应用A向数字证书信任中心提出信任云服务应用B的数字证书的申请；

步骤302、数字证书信任中心将云服务应用B的根证书加入到云服务应用A的信任列表中；

步骤303、云服务应用A将信任云服务应用B的根证书下的所有数字证书。

本发明的有益效果为：

本发明有效的解决了云环境下CA基础设施资源分配问题，根据云服务应用的个性化需求，按需分配CA基础设施资源，实现云服务数字证书生命周期的管理，满足云环境下高效、可靠的数字证书签发应用需求。系统部署方便，同时提供了统一的CA资源管理信任中心，将为各个云服务提供粗粒度的云服务证书交叉认证服务，实现了云环境下各个云服务间的相互认证，保证了云服务间协作的安全性。

附图说明

图1为CA系统组成示意图；

图2为CA基础设施资源分配系统结构示意图。

具体实施方式

下面根据说明书附图，结合具体实施方式对本发明进一步说明：

实施例1

如图1所示，一种云环境下CA基础设施资源分配系统，所述系统包括云服务CA资源分配中心、云服务公共CA和数字证书信任中心，其中：

云服务CA资源分配中心负责创建分配CA基础设施资源以及提供相关管理服务；

所述的云服务CA资源分配中心分配基础资源，会根据云服务提出的CA基础设施资源申请的不同，创建CA资源的过程也不同；

云服务公共CA是运行在云中的一个CA系统，提供证书公共服务；

数字证书信任中心负责云服务所属CA的数字证书间的相互信任服务。

CA基础设施资源的维护是由专门的安全服务CA运营商来提供，保证了CA系统运行的安全性和可靠性。另外，系统提供了统一的CA资源管理信任中心，将为各个云服务提供粗粒度的云服务证书交叉认证服务，实现了云环境下各个云服务间的相互认证，保证了云服务间协作的安全性。

实施例2

如图2所示，基于实施例1的一种云环境下CA基础设施资源分配方法，所述方法在云计算环境下，为云服务应用创建独享的CA基础设施资源（创建的CA只为此云服务应用提供数字证书签发管理服务），步骤包括：

步骤101、云服务应用向云服务CA资源分配中心提出独享CA基础设施资源申请；

步骤102、云服务CA资源分配中心在云中分配虚拟机，并根据提出的申请内容，创建密钥管理子系统；

步骤103、云服务CA资源分配中心在云中分配虚拟机，并根据提出的申请内容，创建数字证书公共查询子系统；

步骤104、云服务CA资源分配中心在云中分配虚拟机，并根据提出的申请内容，创建数字证书签发子系统；

步骤105、云服务CA资源分配中心将步骤104创建的数字证书签发子系统的根证书注册到所述的数字证书信任中心；

步骤106、云服务CA资源分配中心在云中分配虚拟机，并根据提出的申请内容，创建数字证书注册子系统；

步骤107、云服务应用获得CA系统的访问权限，并且能够通过CA对外服务接口来实现证书签发管理业务。

实施例3

在实施例2的基础上，本实施例所述方法在云计算环境下，为云服务应用创建共享的CA基础设施资源（CA是以公共服务的形式提供数字证书签发管理服务），创建步骤包括：

步骤201、云服务应用向云服务CA资源分配中心提出共享CA基础设施资源申请；

步骤202、云服务CA资源分配中心在云服务公共CA中的证书注册子系统中申请一个受理点；

步骤203、云服务CA资源分配中心将所述的公共CA的根证书注册到所述的数字证书信任中心

步骤204、云服务应用获得CA系统的访问权限，并且能够通过CA对外服务接口来实现证书签发管理业务。

实施例4

在实施例3的基础上，本实施例所述方法实现云服务应用间的认证步骤包括：

步骤301、云服务应用A向数字证书信任中心提出信任云服务应用B的数字证书的申请；

步骤302、数字证书信任中心将云服务应用B的根证书加入到云服务应用A的信任列表中；

步骤303、云服务应用A将信任云服务应用B的根证书下的所有数字证书。

实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。