一種證書(shū)管理系統(tǒng)，該證書(shū)管理系統(tǒng)用于包括資源實(shí)例的云網(wǎng)絡(luò)，該證書(shū)管理系統(tǒng)包括：證書(shū)管理應(yīng)用，該證書(shū)管理應(yīng)用被存儲(chǔ)在存儲(chǔ)器中并且由處理器執(zhí)行，并且證書(shū)管理應(yīng)用被配置用于向云網(wǎng)絡(luò)中的資源實(shí)例選擇性地分配來(lái)自第一根證書(shū)認(rèn)證機(jī)構(gòu)的第一證書(shū)和來(lái)自第二根證書(shū)認(rèn)證機(jī)構(gòu)的第二證書(shū)，第二根證書(shū)認(rèn)證機(jī)構(gòu)獨(dú)立于第一根證書(shū)認(rèn)證機(jī)構(gòu)。響應(yīng)于來(lái)自第一根證書(shū)認(rèn)證機(jī)構(gòu)的第一證書(shū)的撤銷，證書(shū)管理應(yīng)用被配置用于在云網(wǎng)絡(luò)中的資源實(shí)例中，利用來(lái)自第二根證書(shū)認(rèn)證機(jī)構(gòu)的第二證書(shū)，來(lái)替換來(lái)自云網(wǎng)絡(luò)中的資源實(shí)例的、來(lái)自第一根證書(shū)認(rèn)證機(jī)構(gòu)的第一證書(shū)。

技術(shù)領(lǐng)域

本公開(kāi)內(nèi)容涉及云網(wǎng)絡(luò)，并且更特定地涉及云網(wǎng)絡(luò)中的公共密鑰基礎(chǔ)架構(gòu)。

背景技術(shù)

本文提供的背景技術(shù)描述僅是為了總體上呈現(xiàn)本公開(kāi)內(nèi)容的上下文。在本背景技術(shù)部分中描述的工作的范圍內(nèi)，目前稱為發(fā)明人的工作以及在提交時(shí)否則可能不具備資格作為現(xiàn)有技術(shù)的描述的方面，既不明確也不暗示地被接納為本公開(kāi)內(nèi)容的現(xiàn)有技術(shù)。

云服務(wù)提供者支持許多不同類型的服務(wù)，包括云存儲(chǔ)、基礎(chǔ)架構(gòu)即服務(wù)(IaaS)、物聯(lián)網(wǎng)(IoT)、平臺(tái)即服務(wù)(PaaS)等。在云網(wǎng)絡(luò)中使用不同的云資源支持不同的服務(wù)。在一些示例中，資源通過(guò)虛擬機(jī)(VM)和/或容器實(shí)例來(lái)實(shí)現(xiàn)。容器實(shí)例可以包括一個(gè)或多個(gè)軟件模塊和庫(kù)，并且需要使用操作系統(tǒng)和硬件的一些部分。

為了保證云網(wǎng)絡(luò)內(nèi)部和外部的安全，公共密鑰基礎(chǔ)架構(gòu)(PKI)可以用于創(chuàng)建、管理、分發(fā)、使用、存儲(chǔ)和撤銷數(shù)字證書(shū)，并且管理用于資源中的每一個(gè)的公共密鑰加密。PKI促進(jìn)信息的安全電子傳送，并且在密碼是不充分驗(yàn)證方法時(shí)使用。

PKI是一種密碼技術(shù)形式，其將公共密鑰與具有計(jì)算資源的實(shí)體(如個(gè)人和組織)的相應(yīng)身份綁定。綁定由證書(shū)認(rèn)證機(jī)構(gòu)(CA)通過(guò)注冊(cè)和證書(shū)發(fā)布來(lái)建立。當(dāng)根CA被泄漏時(shí)，根CA的鏈中的所有證書(shū)都需要被替換或翻轉(zhuǎn)。在云級(jí)環(huán)境中翻轉(zhuǎn)所有證書(shū)是緩慢并且易于出錯(cuò)的過(guò)程。在緩慢的翻轉(zhuǎn)過(guò)程的情況下，租戶被迫關(guān)閉相對(duì)應(yīng)的資源或者冒著將數(shù)據(jù)暴露于攻擊下的危險(xiǎn)，直到泄漏的根CA可以被替換。

發(fā)明內(nèi)容

一種證書(shū)管理系統(tǒng)，該證書(shū)管理系統(tǒng)用于包括資源實(shí)例的云網(wǎng)絡(luò)，該證書(shū)管理系統(tǒng)包括：證書(shū)管理應(yīng)用，該證書(shū)管理應(yīng)用被存儲(chǔ)在存儲(chǔ)器中并且由處理器執(zhí)行，并且證書(shū)管理應(yīng)用配置用于向云網(wǎng)絡(luò)中的資源實(shí)例選擇性地分配來(lái)自第一根證書(shū)認(rèn)證機(jī)構(gòu)的第一證書(shū)和來(lái)自第二根證書(shū)認(rèn)證機(jī)構(gòu)的第二證書(shū)，第二根證書(shū)認(rèn)證機(jī)構(gòu)獨(dú)立于第一根證書(shū)認(rèn)證機(jī)構(gòu)。響應(yīng)于來(lái)自第一根證書(shū)認(rèn)證機(jī)構(gòu)的第一證書(shū)的撤銷，證書(shū)管理應(yīng)用被配置用于利用云網(wǎng)絡(luò)中的資源實(shí)例中的、來(lái)自第二根證書(shū)認(rèn)證機(jī)構(gòu)的第二證書(shū)，來(lái)替換來(lái)自云網(wǎng)絡(luò)中的資源實(shí)例的、來(lái)自第一根證書(shū)認(rèn)證機(jī)構(gòu)的第一證書(shū)。

在其他特征中，證書(shū)管理應(yīng)用在技術(shù)上被約束以向云網(wǎng)絡(luò)的資源實(shí)例分配第一根證書(shū)和第二根證書(shū)。證書(shū)管理應(yīng)用被配置用于使用離線連接與第一根證書(shū)認(rèn)證機(jī)構(gòu)和第二根證書(shū)認(rèn)證機(jī)構(gòu)通信。

在其他特征中，證書(shū)管理應(yīng)用被配置用于檢測(cè)第一根證書(shū)認(rèn)證機(jī)構(gòu)的撤銷。證書(shū)管理應(yīng)用被配置用于通過(guò)與在線證書(shū)狀態(tài)協(xié)議(OCSP)服務(wù)器通信來(lái)檢測(cè)第一根證書(shū)認(rèn)證機(jī)構(gòu)的撤銷。

在其他特征中，證書(shū)管理應(yīng)用被配置用于通過(guò)與證書(shū)撤銷列表(CRL)服務(wù)器通信，來(lái)檢測(cè)第一根證書(shū)認(rèn)證機(jī)構(gòu)的撤銷。證書(shū)管理應(yīng)用被配置用于通過(guò)與證書(shū)信任服務(wù)器通信，來(lái)檢測(cè)第一根證書(shū)認(rèn)證機(jī)構(gòu)的撤銷。

在其他特征中，證書(shū)管理應(yīng)用被配置用于使用推送方法利用來(lái)自第二根證書(shū)認(rèn)證機(jī)構(gòu)的第二證書(shū)，來(lái)替換云網(wǎng)絡(luò)中的資源實(shí)例中的第一資源實(shí)例中的、來(lái)自第一根證書(shū)認(rèn)證機(jī)構(gòu)的第一證書(shū)。證書(shū)管理應(yīng)用被配置用于使用拉取方法利用來(lái)自第二根證書(shū)認(rèn)證機(jī)構(gòu)的第二證書(shū)，來(lái)替換云網(wǎng)絡(luò)中的資源實(shí)例中的第二資源實(shí)例中的、來(lái)自第一根證書(shū)認(rèn)證機(jī)構(gòu)的第一證書(shū)。

在其他特征中，證書(shū)管理應(yīng)用被配置用于在利用來(lái)自第二根證書(shū)認(rèn)證機(jī)構(gòu)的第二證書(shū)來(lái)替換云網(wǎng)絡(luò)中的資源實(shí)例的第一根證書(shū)時(shí)，使用自簽名證書(shū)。