公开(公告)号：CN104580188A

公开(公告)日：2015-04-29

申请号：CN201410849125.1

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN104461678A

公开(公告)日：2015-03-25

申请号：CN201410609724.6

申请日：2014-11-03

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  汪婧 ,  李冰雨 ,  王跃武 ,  潘无穷

IPC: G06F9/455 ,  G06F21/31

Abstract: 本发明涉及一种在虚拟化环境中提供密码服务的方法和系统。通过虚拟密码设备管理器管理宿主机上可用的密码计算资源，并提供虚拟的密码运算设备，供客户虚拟机访问；客户虚拟机向虚拟的密码运算设备提出密码服务请求，虚拟密码设备管理器使用虚拟机自省方法主动检查客户虚拟机提出的密码服务请求是否有效，如果检查通过，则在虚拟密码设备管理器中完成密码运算，并将运算结果返回给客户虚拟机；如果检查未通过则不完成密码运算服务。本发明提供了在虚拟化环境中为客户虚拟机提供密码运算服务的方案，可以在虚拟密码设备管理器上对每个客户虚拟机的虚拟密码设备进行按需分配，同时对客户虚拟机对虚拟密码设备的访问进行审计和主动的检查。