一種在虛擬化環(huán)境中保護(hù)根ca證書的方法與系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域,特別涉及一種在虛擬化環(huán)境中保護(hù)根CA證書的方 法和系統(tǒng)�����。
【背景技術(shù)】
[0002] 公鑰基礎(chǔ)設(shè)施(PKI :Public Key Infrastructure))在公開密鑰密碼的基礎(chǔ)上,主 要解決密鑰屬于誰�,即密鑰認(rèn)證的問題。公鑰密碼技術(shù)的出現(xiàn)使得網(wǎng)絡(luò)上的數(shù)字簽名有了 理論上的安全保障����,PKI以CA(證書認(rèn)證中心)簽發(fā)數(shù)字證書的方式,來實(shí)現(xiàn)密鑰認(rèn)證的服 務(wù)��,也就是發(fā)布公鑰屬于誰的信息�����。通過數(shù)字證書�,PKI很好地證明了公鑰屬于誰的問題。
[0003] CA作為第三方的數(shù)字認(rèn)證中心��,是PKI系統(tǒng)中通信雙方都信任的實(shí)體�,由它負(fù)責(zé) 簽發(fā)數(shù)字證書。一個(gè)數(shù)字證書(簡(jiǎn)稱證書)中綁定了公鑰數(shù)據(jù)和相應(yīng)私鑰擁有者的身份信 息�,并帶有CA的數(shù)字簽名(簡(jiǎn)稱簽名)。CA的簽名�����,保證了對(duì)于數(shù)字證書的任意更改,都會(huì) 驗(yàn)證不通過����。證書中也包含有CA的名稱等信息�����,以便于依賴方找到CA的公鑰和驗(yàn)證證書 上的數(shù)字簽名���。
[0004] 數(shù)字證書在簽發(fā)的過程中����,可以是多個(gè)層次的���,即最上層CA作為根CA負(fù)責(zé)用自己 的私鑰為下級(jí)CA簽發(fā)證書��。下級(jí)CA同樣可以向下為CA簽發(fā)證書��,直到最底層CA用自己 的私鑰為用戶簽發(fā)數(shù)字證書��。在這個(gè)過程中�,所有的中間層次的CA(稱為子CA)同普通用 戶一樣擁有一個(gè)上級(jí)CA簽發(fā)的證書�。最上層的根CA擁有一個(gè)自簽名證書,稱為"根CA自 簽名證書",簡(jiǎn)稱為根CA證書�����。根CA證書中包括了根CA的公鑰和身份信息��,并使用根CA 自己的私鑰來計(jì)算上述信息的數(shù)字簽名����。根CA證書與其他各層次的證書共同組成一個(gè)證 書鏈。證書鏈可以只有兩級(jí)�,此時(shí)根CA直接為用戶簽發(fā)數(shù)字證書。
[0005] 為了驗(yàn)證數(shù)字證書上的信息沒有被惡意篡改���、以正確地獲得通信對(duì)方的公鑰���,PKI 用戶端需進(jìn)行以下步驟(1):首先,安全地獲得根CA自簽名證書���,保證來自于根CA且傳遞 過程沒有被篡改���,并安裝在自己的計(jì)算機(jī)系統(tǒng)上;(2):逐層驗(yàn)證證書�����,首先審查待驗(yàn)證的 數(shù)字證書是否有效,如查看有效期(以及撤銷狀態(tài)�����、證書擴(kuò)展等)��;(3):然后獲取該證書的 簽發(fā)者的數(shù)字證書�����,拿到簽發(fā)者證書后���,查看該證書的簽發(fā)者信息,再獲取該證書的簽發(fā)者 的數(shù)字證書��,逐層獲取簽發(fā)者證書����;(4):直到獲取根CA證書,由于是根CA證書是自簽名證 書��,不需要其他證書來驗(yàn)證根CA證書的簽名��,對(duì)根CA證書只需查看有效期;(5):用根CA 證書中的公鑰驗(yàn)證其所簽發(fā)的下層簽發(fā)者CA的證書上的簽名�����,確信該證書沒有被篡改���,然 后從證書讀取公鑰數(shù)據(jù)����,并同時(shí)檢查下層簽發(fā)者CA的數(shù)字證書是否有效���,如查看其有效期 (以及撤銷狀態(tài)�����、證書擴(kuò)展等)����;(6):再同樣的用下層簽發(fā)者CA的公鑰驗(yàn)證其下一層證書 上的簽名���,并檢查其下層數(shù)字證書是否有效��。逐層進(jìn)行�,直到驗(yàn)證完通信對(duì)方的數(shù)字證書, 從證書中讀出公鑰數(shù)據(jù)�����,確認(rèn)了證書持有者的公鑰�����。至此PKI用戶方可利用通信對(duì)方的數(shù) 字證書上的公鑰加密通信內(nèi)容或利用其公鑰驗(yàn)證數(shù)字簽名等�����。
[0006] 在上述驗(yàn)證數(shù)字證書的步驟中��,所有參與驗(yàn)證的中間簽發(fā)者CA及通信方的數(shù)字 證書都經(jīng)過了上層簽發(fā)者公鑰的驗(yàn)證����、能夠保證沒有被篡改����,只有根CA自簽名證書作為數(shù) 字證書驗(yàn)證過程中的起點(diǎn)沒有被其他的可信數(shù)據(jù)來驗(yàn)證。一旦用戶選擇信任該根CA自簽 名證書���,則該根CA利用所對(duì)應(yīng)的私鑰來簽發(fā)的所有證書都將被信任���。因此���,根CA自簽名證 書必須從可信的途徑獲取,而且在用戶的計(jì)算機(jī)上應(yīng)該被妥善地保存���、不會(huì)被惡意地替換 或添加����;否則可能會(huì)給用戶造成危害��,如一個(gè)惡意的攻擊者可以將一個(gè)自簽發(fā)的根CA證書 插入到用戶的根CA證書列表中���,那么這個(gè)攻擊者就可以對(duì)該用戶發(fā)起攻擊��,如用戶訪問一 個(gè)擁有該根CA證書簽發(fā)的數(shù)字證書的釣魚網(wǎng)站���,用戶使用該根CA公鑰驗(yàn)證數(shù)字證書上的 數(shù)字簽名通過后,會(huì)信任該釣魚網(wǎng)站��,而用戶在釣魚網(wǎng)站上進(jìn)行個(gè)人賬號(hào)密碼的輸入等信 息都可能被竊取��,造成損失�����。
[0007] 在現(xiàn)有的操作系統(tǒng)中,例如Windows�����,根CA自簽名證書列表由操作系統(tǒng)維護(hù)�����;安裝 根CA自簽名證書�����,需要經(jīng)過用戶的同意���。然而,很多情況下��,用戶不了解一個(gè)根CA證書的 添加給系統(tǒng)所帶來的影響��,可能隨意地允許添加根CA證書�;而且,在實(shí)際環(huán)境中�����,各種原因 都可能造成根CA自簽名證書被偽造、添加�、惡意利用等,如CA管理員的疏忽���、不當(dāng)?shù)能浖?實(shí)現(xiàn)��、滲透攻擊等���。例如,惡意第三方可以通過多種方法使得在用戶不知情的狀態(tài)下�,偷偷 添加惡意根CA自簽名證書,如:通過病毒�、特洛伊木馬、甚至一個(gè)簡(jiǎn)單的腳本���。一旦成功添 加惡意的根CA自簽名證書����,那么以該證書為起點(diǎn)的證書鏈所能夠驗(yàn)證的所有數(shù)字簽名�����,例 如:請(qǐng)求安裝于用戶計(jì)算機(jī)的惡意代碼的數(shù)字簽名、惡意方發(fā)起的同用戶進(jìn)行通信時(shí)使用 的數(shù)字證書等都將被信任�����。此時(shí)惡意代碼在用戶計(jì)算機(jī)可以發(fā)起攻擊���,如竊取用戶隱私數(shù) 據(jù)等��,惡意方偽裝身份同用戶進(jìn)行通信等����,會(huì)對(duì)用戶造成很大的危害�����,所以根CA證書的安 全性尤為重要�。
[0008] 隨著AMD和Intel相繼推出支持硬件虛擬化的產(chǎn)品,虛擬化技術(shù)得到廣泛應(yīng)用���。 企業(yè)利用虛擬化,可以減少資金成本�、降低空間需求、提高可用性�����、提升業(yè)務(wù)的靈活適應(yīng)力、 提高安全性����。通過虛擬化技術(shù),可以在同一份物理計(jì)算機(jī)上運(yùn)行多個(gè)客戶虛擬機(jī)(Virtual Machine����,簡(jiǎn)稱VM),此時(shí)物理計(jì)算機(jī)稱為宿主機(jī)�����。虛擬化隔離了客戶虛擬機(jī)�����,提供了另一層 次的軟件隔離��,這使得即使暴露于Internet的客戶虛擬機(jī)被攻擊和感染��,也不會(huì)對(duì)整個(gè)虛 擬化平臺(tái)的安全性造成威脅���,更不能威脅其他的客戶虛擬機(jī)��。虛擬化平臺(tái)一個(gè)重要的組成 部分是虛擬機(jī)監(jiān)控器(Virtual Machine Monitor�����,VMM)��,它的主要作用是管理宿主機(jī)的資 源���,以使在其之上運(yùn)行的客戶虛擬機(jī)可以共享同一套主機(jī)的資源����。
【發(fā)明內(nèi)容】
[0009] 本發(fā)明提供一種在虛擬化環(huán)境中保護(hù)根CA證書的方法和系統(tǒng)��,通過根CA證書安 全管理器管理宿主機(jī)上可用的根CA證書資源����,管理每個(gè)客戶虛擬機(jī)對(duì)根CA證書列表的訪 問;根CA安全證書管理器在客戶虛擬機(jī)之外����,作為一個(gè)虛擬設(shè)備用來管理和檢查客戶虛擬 機(jī)的證書驗(yàn)證服務(wù)請(qǐng)求行為。
[0010] 本發(fā)明的根CA證書安全管理器可以在基于Xen的虛擬化系統(tǒng)實(shí)現(xiàn)����,也可以在基于 VMware ESX/ESXi和Hyper-V的虛擬化系統(tǒng)實(shí)現(xiàn),還可以在基于KVM-QEMU的虛擬化系統(tǒng)中 實(shí)現(xiàn)�。
[0011] 本發(fā)明采用根CA證書安全管理器實(shí)現(xiàn)了在虛擬化環(huán)境中為客戶虛擬機(jī)提供根CA 證書驗(yàn)證服務(wù)。在根CA證書安全管理器中存儲(chǔ)根CA證書列表文件�。上層的客戶虛擬機(jī)不 再存儲(chǔ)根CA證書列表,上層的客戶虛擬機(jī)只能夠以只讀的方式從根CA證書安全管理器獲 取根CA證書列表���。對(duì)根CA證書列表進(jìn)行配置時(shí)�����,只能通過宿主機(jī)提供的操作接口在根CA 證書安全管理器上完成�����。根CA證書安全管理器運(yùn)行在VMM中���。
[0012] 本發(fā)明通過把根CA證書列表作為虛擬化資源的一部分,在虛擬化環(huán)境中為客戶 虛擬機(jī)提供根CA證書驗(yàn)證服務(wù)���,而該根CA證書列表在客戶虛擬機(jī)看來就是屬于自己的一 個(gè)標(biāo)準(zhǔn)的根CA證書列表�,但由根CA證書安全管理器管理���。在根CA證書安全管理器中設(shè)有 配置文件夾��,該文件夾內(nèi)為每個(gè)客戶虛擬機(jī)設(shè)有一個(gè)配置文件�����,用于配置管理每個(gè)客戶虛 擬機(jī)可以訪問的根證書列表信息等�����。
[0013] 客戶虛擬機(jī)可以選擇請(qǐng)求根CA證書安全管理器完成證書的驗(yàn)證�;也可以選擇請(qǐng) 求根CA證書安全管理器提供所需的根CA證書,此時(shí)根CA證書安全管理器會(huì)向客戶虛擬機(jī) 發(fā)送根CA證書信息���,客戶虛擬機(jī)以只讀的方式獲取相應(yīng)根CA證書信息���,客戶虛擬機(jī)自己 完成證書的驗(yàn)證?���?蛻籼摂M機(jī)向根CA證書安全管理器提出證書驗(yàn)證服務(wù)請(qǐng)求的時(shí)候,需 要提供根CA證書的簽發(fā)者名稱(即根CA的X. 509證書中的Issuer域��;對(duì)于根CA證書�����, Iss