一种客户虚拟机证书更新方法与流程

本发明公开一种客户虚拟机证书更新方法，涉及信息安全领域。

背景技术：

目前，云计算发展迅速并趋于成熟，通过大规模的动态资源池向用户提供灵活的服务，虚拟化技术是实现该理念的基础，以虚拟机作为提供服务的逻辑单元，提高了资源利用率、方便了管理，用户根据需求申请虚拟机后，虚拟机的所有行为就代表了该用户的行为，同时，用户会在虚拟机上存储个人数据，即使云服务提供商承诺会保护用户隐私，但是，依旧难以避免恶意的物理设施内部管理人员从服务器端盗取用户的隐私数据。

数字证书是保障通信安全的有效手段，被广泛应用在网络通信中。ca中心负责发放证书，并为用户生成一对公钥和私钥，同时公布公钥，将证书和私钥发给用户，即用户的公钥和私钥皆由ca中心产生。一些云服务提供商会创建内部ca中心，虚拟机自带的证书来自于此，但是用户使用虚拟机时，使用证书公钥加密个人数据，由于内部ca中心拥有虚拟机的私钥，能够解密出用户隐私数据，还是对客户虚拟机通信的安全性和不可抵赖性造成了威胁。

本发明提出一种客户虚拟机证书更新方法，客户虚拟机同时使用内部ca中心生成的密钥和自身生成的密钥产生新公钥和私钥，仅由内部ca中心发布公钥证书，而私钥由用户自身保管，有效避免用户信息被破解，保证了对用户虚拟机通信的安全性。

技术实现要素：

本发明针对现有技术的问题，提供一种客户虚拟机证书更新方法，有效避免用户信息被破解，保证了对用户虚拟机通信的安全性。

本发明提出的具体方案是：

一种客户虚拟机证书更新方法：

服务商的ca中心颁发虚拟机的数字证书给客户，

客户向ca中心申请更新虚拟机的数字证书，ca中心生成密钥发送给客户虚拟机，

客户利用所述的密钥和个人设置的密钥生成一对新公钥和私钥，使用新私钥签名ca中心生成的密钥和虚拟机唯一标识号，将新公钥、签名信息及虚拟机的原数字证书发送给ca中心，

ca中心分别对签名信息及虚拟机的原数字证书进行正确性和有效性验证，验证通过则ca中心更新客户虚拟机的数字证书并发布。

所述的方法中客户向服务商申请虚拟机，服务商的ca中心审核客户身份并颁发虚拟机的数字证书给客户，同时为确保客户虚拟机的身份，为客户虚拟机生成公钥和私钥。

所述的方法中客户向ca中心申请更新虚拟机的数字证书，申请信息中包括ca中心为客户虚拟机颁发的数字证书和客户虚拟机的唯一标识号，ca中心认证客户虚拟机的数字证书，生成密钥发送给客户虚拟机。

所述的方法中ca中心对虚拟机的原数字证书进行有效性验证，通过新公钥解密签名信息以验证签名的正确性。

所述的方法中ca中心利用新公钥和客户虚拟机的唯一标识号为客户虚拟机生成新的数字证书，更新客户虚拟机的数字证书并发布。

所述的方法中具体步骤为：

步骤1：客户向服务商申请虚拟机，服务商的ca中心审核客户身份并颁发虚拟机的数字证书给客户，并为客户虚拟机生成公钥和私钥；

步骤2：客户向ca中心申请更新虚拟机的数字证书，ca中心认证客户虚拟机的数字证书，并生成密钥发送给客户虚拟机；

步骤3：客户利用所述的密钥和个人设置的密钥生成一对新公钥和私钥，使用新私钥签名ca中心生成的密钥和虚拟机唯一标识号，将新公钥、签名信息及虚拟机的原数字证书发送给ca中心，

步骤4：ca中心接收新公钥、签名信息及虚拟机的原数字证书，对虚拟机的原数字证书进行有效性验证，通过新公钥解密签名信息以验证签名的正确性，验证通过则ca中心利用新公钥和客户虚拟机的唯一标识号为客户虚拟机生成新的数字证书，更新客户虚拟机的数字证书并发布。

一种客户虚拟机证书更新系统包括客户端和服务端，

服务端的服务商ca中心颁发虚拟机的数字证书给客户端，

客户端向ca中心申请更新虚拟机的数字证书，ca中心生成密钥发送给客户端虚拟机，

客户端利用所述的密钥和客户个人设置的密钥生成一对新公钥和私钥，使用新私钥签名ca中心生成的密钥和虚拟机唯一标识号，将新公钥、签名信息及虚拟机的原数字证书发送给ca中心，

ca中心分别对签名信息及虚拟机的原数字证书进行正确性和有效性验证，验证通过则ca中心更新客户虚拟机的数字证书并发布。

所述的系统中客户端向服务端的服务商申请虚拟机，服务商的ca中心审核客户身份并颁发虚拟机的数字证书给客户，同时为确保客户虚拟机的身份，为客户虚拟机生成公钥和私钥。

所述的系统中客户端向ca中心申请更新虚拟机的数字证书，申请信息中包括ca中心为客户虚拟机颁发的数字证书和客户虚拟机的唯一标识号，ca中心认证客户虚拟机的数字证书，生成密钥发送给客户虚拟机。

所述的系统中服务端的ca中心对虚拟机的原数字证书进行有效性验证，通过新公钥解密签名信息以验证签名的正确性。

本发明的有益之处是：

本发明提供一种客户虚拟机证书更新方法：服务商的ca中心颁发虚拟机的数字证书给客户，客户向ca中心申请更新虚拟机的数字证书，ca中心生成密钥发送给客户虚拟机，客户利用所述的密钥和个人设置的密钥生成一对新公钥和私钥，使用新私钥签名ca中心生成的密钥和虚拟机唯一标识号，将新公钥、签名信息及虚拟机的原数字证书发送给ca中心，ca中心分别对签名信息及虚拟机的原数字证书进行正确性和有效性验证，验证通过则ca中心更新客户虚拟机的数字证书并发布；利用本发明方法客户虚拟机同时使用内部ca中心生成的密钥和自身生成的密钥产生新公钥和私钥，仅由内部ca中心发布公钥证书，而私钥由用户自身保管，有效避免用户信息被破解，保证了对用户虚拟机通信的安全性。

附图说明

图1是本发明方法流程示意图。

具体实施方式

本发明提供一种客户虚拟机证书更新方法：

服务商的ca中心颁发虚拟机的数字证书给客户，

客户向ca中心申请更新虚拟机的数字证书，ca中心生成密钥发送给客户虚拟机，

客户利用所述的密钥和个人设置的密钥生成一对新公钥和私钥，使用新私钥签名ca中心生成的密钥和虚拟机唯一标识号，将新公钥、签名信息及虚拟机的原数字证书发送给ca中心，

ca中心分别对签名信息及虚拟机的原数字证书进行正确性和有效性验证，验证通过则ca中心更新客户虚拟机的数字证书并发布。

同时提供于上述方法相对应的一种客户虚拟机证书更新系统包括客户端和服务端，

服务端的服务商ca中心颁发虚拟机的数字证书给客户端，

客户端向ca中心申请更新虚拟机的数字证书，ca中心生成密钥发送给客户端虚拟机，

客户端利用所述的密钥和客户个人设置的密钥生成一对新公钥和私钥，使用新私钥签名ca中心生成的密钥和虚拟机唯一标识号，将新公钥、签名信息及虚拟机的原数字证书发送给ca中心，

ca中心分别对签名信息及虚拟机的原数字证书进行正确性和有效性验证，验证通过则ca中心更新客户虚拟机的数字证书并发布。

下面结合附图和具体实施例对本发明作进一步说明，以使本领域的技术人员可以更好地理解本发明并能予以实施，但所举实施例不作为对本发明的限定。

某服务商提供虚拟机服务，利用本发明方法和系统，说明客户进行虚拟机证书更新的方法。其中客户和用户含义相同，都指使用虚拟机服务的人。

本发明方法主要包括两个阶段：p1阶段和p2阶段，p2阶段包括p21-p25步骤。

其中p1：虚拟机证书自动发放：

具体为：用户申请虚拟机，服务商内部ca中心审核用户身份并颁发数字证书certf，由内部ca中心确保客户虚拟机的身份，另为客户虚拟机生成公钥pkf和私钥skf。

p2：证书更新，具体步骤如下：

p21：用户向内部ca中心申请更新数字证书，申请信息中包括内部ca中心为客户虚拟机颁发的证书，客户虚拟机的唯一标识号；

p22：内部ca中心收到用户证书更新请求后，首先认证客户虚拟机的数字证书，然后生成一个密钥k＇c，并将k＇c发送给客户虚拟机；

p23：客户虚拟机利用内部ca中心发送的密钥k＇c及自身生成的密钥k＇f，生成一对新的公钥npkf和私钥nskf，使用新私钥nskf签名k＇c和客户虚拟机唯一标识号生成签名信息s，并将新公钥npkf、签名信息s、原证书certf发送给内部ca中心；

p24：内部ca中心验证certf的合法性，并通过接收的npkf解密签名信息以验证签名的正确性；

p25：内部ca中心验证通过后，利用npkf和客户虚拟机的唯一标识为客户虚拟机生成新的数字证书ncertf，并发布。

以上所述实施例仅是为充分说明本发明而所举的较佳的实施例，本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换，均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。