一种基于网格服务的证书和私钥管理方法

技术领域

本发明涉及网络通信中的通信安全领域，特别涉及一种基于网格服务的证书和私钥管理方法。

背景技术

随着云技术的发展，传统的微服务架构的重模式已经无法满足云技术的快速发展，随之而来诞生了网格服务。网格服务，实际上是在每个业务应用旁边部署一个代理应用。代理应用负责业务应用之间的通信转发。

无论是传统的微服务。还是目前的网格服务，业务应用之间或者代理应用之间证书和私钥的管理方法通常是这样的：应用各自持有自身的私钥，并且应用之间交换彼此的证书，证书和私钥通常存储在磁盘的某个目录下。如果证书发生轮换则需要重启应用以便重新加载证书使其生效；同时证书私钥存储在应用磁盘上，也有被盗取的安全隐患。

发明内容

本发明要解决的技术问题是克服现有技术的缺陷，提供一种基于网格服务的证书和私钥管理方法。

为了解决上述技术问题，本发明提供了如下的技术方案：

本发明一种基于网格服务的证书和私钥管理方法，引入一个证书管理服务作为第三方授信机构；代理应用之间是互不信任的，代理应用和证书管理服务之间是相互信任的；代理应用启动后，生成证书和相应的私钥，证书和私钥不落盘，皆存储于代理应用的内存中；同时，代理应用把各自的证书上传到证书管理服务；具体包括以下步骤：

一、证书互信：

代理服务A和代理服务B，以下简称A和B，A发送证书A给B，B拿到证书A之后，向证书管理服务验证证书A的有效性，如果证书A有效，则B发送证书B给A，A拿到证书B之后，向证书管理服务验证正在B的有效性，如果证书B有效，则双方完成证书互信，建立互信访问；

二、当A的证书即将过期，A重新生成证书和私钥，然后将证书上传至证书管理服务，上传完成后，A通知B证书过期，并将证书A发给B，重复证书互信流程。

与现有技术相比，本发明的有益效果如下：

本发明中代理应用可以动态轮换证书，而不需要重启，提升系统可用性；证书和私钥存储在内存中，极大地提高了安全性。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是本发明的流程结构示意图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

实施例1

如图1所示，本发明提供一种基于网格服务的证书和私钥管理方法，引入一个证书管理服务作为第三方授信机构；代理应用之间是互不信任的，代理应用和证书管理服务之间是相互信任的；代理应用启动后，生成证书和相应的私钥，证书和私钥不落盘，皆存储于代理应用的内存中；同时，代理应用把各自的证书上传到证书管理服务；具体包括以下步骤：

一、证书互信：

代理服务A和代理服务B，以下简称A和B，A发送证书A给B，B拿到证书A之后，向证书管理服务验证证书A的有效性，如果证书A有效，则B发送证书B给A，A拿到证书B之后，向证书管理服务验证正在B的有效性，如果证书B有效，则双方完成证书互信，建立互信访问；

二、当A的证书即将过期，A重新生成证书和私钥，然后将证书上传至证书管理服务，上传完成后，A通知B证书过期，并将证书A发给B，重复证书互信流程。

如图1所示：

1、代理A将证书A发送给代理B；

2、代理B向证书管理服务验证证书A的有效性；

3、证书A验证有效，则代理B发送证书B给代理A；

4、代理A向证书管理服务验证证书B的有效性；

5、证书B验证有效，则代理A和代理B完成互信，进行正式通信。

与现有技术相比，本发明的有益效果如下：

本发明中代理应用可以动态轮换证书，而不需要重启，提升系统可用性；证书和私钥存储在内存中，极大地提高了安全性。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。