[发明专利]一种虚拟化环境中数字证书撤销状态检查的方法和系统

权利要求书

1.一种虚拟化环境中数字证书撤销状态检查的方法，其步骤为：

1)在宿主机上创建多个客户虚拟机，在该宿主机的虚拟机监控器内设置一证书撤销列表管理器；其中，所述证书撤销列表管理器中存储证书撤销列表文件CRL和一配置CRL文件访问地址的配置文件；

2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求；其中，所述证书撤销状态检查服务请求包括：证书签发者名称和可选的证书序列号；其中，所述证书撤销列表管理器与所述客户虚拟机之间采用Virtio技术进行通信；其中，前端驱动位于所述客户虚拟机中，后端驱动位于所述虚拟机监控器内；所述前端驱动与所述后端驱动将执行信息存储到一环形缓冲区，所述前端驱动与所述后端驱动通过共享该环形缓冲区进行数据通信；

3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应的CRL文件：a)如果有对应的CRL文件，则将该CRL文件返回给该客户虚拟机中的证书依赖方，或者查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回给该客户虚拟机中的证书依赖方；b)如果没有对应的CRL文件，则根据所述配置文件下载并验证对应的CRL文件，然后将该CRL文件返回给该客户虚拟机中的证书依赖方，或者查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回给该客户虚拟机中的证书依赖方。

2.如权利要求1所述的方法，其特征在于，所述证书撤销状态检查服务请求还包括CRL分发点扩展信息；所述步骤3)中，如果没有对应的CRL文件，所述证书撤销列表管理器首先根据该CRL分发点扩展信息访问资料库下载并验证CRL文件，然后查询对应证书的撤销状态信息并将查询结果返回给该客户虚拟机中的证书依赖方。

3.如权利要求2所述的方法，其特征在于，当所述证书撤销列表管理器根据该证书撤销状态检查服务请求下载对应的CRL文件后，所述证书撤销列表管理器重新配置该CRL文件的下载周期。

4.如权利要求1或2所述的方法，其特征在于，所述证书撤销列表管理器根据所述配置文件定期更新本地的CRL文件。

5.如权利要求1或2所述的方法，其特征在于，所述证书撤销管理器定期地查看本地存储的CRL文件，将不在有效期内的CRL文件删除；或者在向客户虚拟机中的证书依赖方提供查询服务读取对应的CRL文件时检查该CRL文件的有效期，如果不在有效期内，则重新下载相应的最新CRL文件。

6.如权利要求1或2所述的方法，其特征在于，客户虚拟机动态申请内存，并把所申请的虚拟内存地址发送给所述证书撤销列表管理器，所述证书撤销列表管理器通过添加一个偏移得到该内存区域的虚拟地址，该虚拟机与所述证书撤销列表管理器通过共享该内存区域进行通信。

7.一种虚拟化环境中数字证书撤销状态检查系统，其特征在于，包括一宿主机，所述宿主机上创建有多个客户虚拟机，在该宿主机的虚拟机监控器内设置一证书撤销列表管理器；所述证书撤销列表管理器中存储证书撤销列表文件CRL和一配置CRL文件访问地址的配置文件；其中，所述证书撤销列表管理器，用于管理每个客户虚拟机中的证书依赖方对证书撤销列表CRL的服务请求；所述证书撤销列表管理器与所述客户虚拟机之间采用Virtio技术进行通信；其中，前端驱动位于所述客户虚拟机中，后端驱动位于所述虚拟机监控器内；所述前端驱动与所述后端驱动将执行信息存储到一环形缓冲区，所述前端驱动与所述后端驱动通过共享该环形缓冲区进行数据通信。

8.如权利要求7所述的系统，其特征在于，所述证书撤销管理器定期地查看本地存储的CRL文件，将不在有效期内的CRL文件删除；或者在向客户虚拟机中的证书依赖方提供查询服务读取对应的CRL文件时检查该CRL文件的有效期，如果不在有效期内，则重新下载相应的最新CRL文件。