池亞平，王慧麗，元智博，張 健，李 欣，2

(1.北京電子科技學(xué)院通信工程系，北京100070;2.西安電子科技大學(xué)通信工程學(xué)院，西安710071)

OpenStack 身份認(rèn)證機(jī)制研究與改進(jìn)

池亞平1，王慧麗1，元智博1，張 健1，李 欣1，2

(1.北京電子科技學(xué)院通信工程系，北京100070;2.西安電子科技大學(xué)通信工程學(xué)院，西安710071)

針對(duì)OpenStack認(rèn)證機(jī)制缺乏細(xì)粒度鑒權(quán)、數(shù)據(jù)庫(kù)利用率和數(shù)據(jù)安全性不足的問(wèn)題，在分析OpenStack平臺(tái)架構(gòu)、虛擬機(jī)生成實(shí)例流程，以及安全組件Keystone與其他服務(wù)組件間的交互流程的基礎(chǔ)上，提出一個(gè)OpenStack身份認(rèn)證改進(jìn)方案。該方案將LDAP(Lightweight Directory Access Protocol)、RBAC(Role-Based Access Control)以及SSL/TLS(Secure Sockets Layer/Transport Layer Security)安全協(xié)議集成到Keystone安全服務(wù)組件中，加強(qiáng)了OpenStack對(duì)于用戶(hù)和虛擬資源的身份管理的可擴(kuò)展性和安全性。

OpenStack平臺(tái);Keystone服務(wù);基于角色訪問(wèn)控制;輕量級(jí)目錄訪問(wèn)協(xié)議;認(rèn)證機(jī)制

0 引 言

OpenStack［1］是亞馬遜Web服務(wù)［2］(AWS:Amazon Web Services)的開(kāi)源實(shí)現(xiàn)，一直以來(lái)，以其完全開(kāi)源性引起國(guó)內(nèi)業(yè)界關(guān)注，OpenStack社區(qū)已經(jīng)成為開(kāi)源社區(qū)活躍度最高的社區(qū)，目前OpenStack發(fā)展很快，現(xiàn)在已經(jīng)發(fā)展到K版本，系統(tǒng)功能得到極大增強(qiáng)，并在訪問(wèn)控制方面有了很大擴(kuò)充。OpenStack采用分布式架構(gòu)，整個(gè)平臺(tái)按照功能不同分為多個(gè)模塊項(xiàng)目，項(xiàng)目之間通過(guò)消息隊(duì)列中間件和Restful形式的應(yīng)用程序編程接口(API:Application Programming Interface)進(jìn)行交互通信。

隨著OpenStack版本的不斷更新，其安全性也得到很多前人的探索。國(guó)外對(duì)該平臺(tái)研究重點(diǎn)在于易用性，包括資源調(diào)度、容錯(cuò)強(qiáng)度等方面，而非安全性。國(guó)內(nèi)對(duì)于OpenStack的安全增強(qiáng)研究，主要有以下幾方面:1)通過(guò)虛擬機(jī)實(shí)例監(jiān)控和管理，如使用VPN(Virtual Private Network)技術(shù)保護(hù)虛擬機(jī)安全［3］，以及通過(guò)獲取監(jiān)控的虛擬機(jī)的性能信息，實(shí)現(xiàn)云平臺(tái)下的虛擬機(jī)監(jiān)控方案［4］;2)運(yùn)用虛擬化技術(shù)強(qiáng)化虛擬網(wǎng)絡(luò)管理和維護(hù)，實(shí)現(xiàn)虛擬資源隔離［5，6］;3)利用傳統(tǒng)信息安全技術(shù)強(qiáng)化平臺(tái)安全性，如在Keystone安全組件中集成公鑰基礎(chǔ)設(shè)施(PKI:Public Key Infrastructure)技術(shù)［7］。此外，也出現(xiàn)了面向云存儲(chǔ)安全的存儲(chǔ)組件與安全組件集成的安全方案，利用IP地址獲取訪問(wèn)令牌，利用該令牌實(shí)現(xiàn)用戶(hù)的身份認(rèn)證［8］。但針對(duì)OpenStack平臺(tái)身份認(rèn)證安全增強(qiáng)方案尚未見(jiàn)文獻(xiàn)報(bào)道。

OpenStack在Essex版本之后開(kāi)始全面支持Keystone，對(duì)于開(kāi)發(fā)加強(qiáng)訪問(wèn)控制有天然的優(yōu)勢(shì)。但仍然存在安全漏洞和脆弱性。筆者以Keystone服務(wù)組件著手研究，深入分析OpenStack授權(quán)及鑒權(quán)安全機(jī)制。

云計(jì)算要求對(duì)大量的未知用戶(hù)以及虛擬資源進(jìn)行管理，不僅需要用戶(hù)在訪問(wèn)云系統(tǒng)前進(jìn)行授權(quán)，還需要在訪問(wèn)云系統(tǒng)的過(guò)程中根據(jù)實(shí)際安全需求進(jìn)行權(quán)限的優(yōu)化。筆者分析OpenStack身份認(rèn)證和授權(quán)機(jī)制，以此基礎(chǔ)設(shè)計(jì)云客戶(hù)端的安全接入與虛擬實(shí)例的安全應(yīng)用方案，完善OpenStack私有云平臺(tái)的易用性和安全性。

1 OpenStack平臺(tái)

1.1 OpenStack創(chuàng)建虛擬機(jī)流程分析

OpenStack由7個(gè)組件組成(見(jiàn)圖1)。Horizon是基于OpenStack API(Application Program Interface)接口的網(wǎng)頁(yè)實(shí)現(xiàn)，Nova提供虛擬主機(jī)服務(wù)，Swift提供對(duì)象存儲(chǔ)服務(wù)，Glance提供鏡像管理服務(wù)，Neutron提供虛擬機(jī)網(wǎng)絡(luò)管理服務(wù)，Cinder提供塊存儲(chǔ)管理服務(wù)，Keystone提供認(rèn)證管理服務(wù)，是OpenStack的認(rèn)證組件，每個(gè)環(huán)節(jié)均通過(guò)Keystone安全認(rèn)證其合法性。各組件間創(chuàng)建虛擬機(jī)流程如圖1所示。

圖1 Chart創(chuàng)建虛擬機(jī)流程Fig.1 Flow chart of creating virtualmachine

具體過(guò)程:1)Horizon通過(guò)Keystone獲取Compute組件的統(tǒng)一資源定位符(URL:Uniform Resource Locator)，并獲取授權(quán)令牌(Token);2)攜帶授權(quán)令牌，發(fā)送創(chuàng)建虛擬機(jī)指令;3)nova-compute組件通過(guò)glance-api下載虛擬機(jī)鏡像，Glance鏡像中有緩存機(jī)制，以支持鏡像從緩存復(fù)制到本地鏡像目錄，緩存機(jī)制可開(kāi)啟或關(guān)閉;4)Glance檢索Swift存儲(chǔ)的鏡像;5)獲取網(wǎng)絡(luò)信息，決定虛擬機(jī)網(wǎng)絡(luò)模式及建立網(wǎng)絡(luò)連接;6)nova-compute發(fā)送啟動(dòng)虛擬機(jī)指令;7)虛擬機(jī)創(chuàng)建完成。

2 Keystone安全服務(wù)

Keystone是OpenStack用來(lái)進(jìn)行身份驗(yàn)證及高級(jí)授權(quán)的身份識(shí)別服務(wù)組件，Keystone提供OpenStack其他項(xiàng)目使用的身份識(shí)別、令牌、目錄及策略服務(wù)。Keystone有兩個(gè)主要功能:1)用戶(hù)管理，即追蹤用戶(hù)及其權(quán)限;2)服務(wù)管理，提供可用服務(wù)API終端目錄。

2.1 Keystone安全組件與其他服務(wù)組件的交互流程分析

調(diào)用OpenStack其他服務(wù)步驟如圖2所示。1)客戶(hù)端調(diào)用OpenStack服務(wù)將產(chǎn)生驗(yàn)證令牌，如圖2中①和②所示;2)Keystone尋找并驗(yàn)證令牌，并從中獲取相應(yīng)的附加信息，如圖2中③～⑤所示;3)其他組件與Keystone組件的交互以驗(yàn)證客戶(hù)端信息如圖2中所示。

圖2 創(chuàng)建虛擬機(jī)流程中其他組件與Keystone交互認(rèn)證流程圖Fig.2 Flow of other services interactive authentication with keystone in the creating virtualmachine progress

2.2 Keystone令牌驗(yàn)證機(jī)制分析

圖3 基于UUID的驗(yàn)證Token過(guò)程Fig.3 Process of verifying tokens based on UUID

Keystone在OpenStack的項(xiàng)目中提供了公共、統(tǒng)一的身份驗(yàn)證協(xié)議，使用基于令牌認(rèn)證機(jī)制實(shí)現(xiàn)認(rèn)證和授權(quán)。OpenStack的Keystone組件使用兩種Token完成認(rèn)證機(jī)制。G版以前使用通用唯一識(shí)別碼(UUID:Universally Unique Identifier)Token完成驗(yàn)證過(guò)程，基于UUID的驗(yàn)證過(guò)程如圖3所示，其中Token是一個(gè)序列號(hào)。

由圖3可看出，客戶(hù)端用戶(hù)發(fā)送用戶(hù)名和密碼，Keystone驗(yàn)證通過(guò)后返回UUID作為驗(yàn)證令牌。用戶(hù)獲取云服務(wù)時(shí)，攜帶UUID令牌進(jìn)行訪問(wèn)(圖3中發(fā)送調(diào)用指令)，Keystone根據(jù)令牌驗(yàn)證結(jié)果確定是否允許客戶(hù)端訪問(wèn)(圖3中請(qǐng)求執(zhí)行/請(qǐng)求駁回)。

3 OpenStack平臺(tái)認(rèn)證機(jī)制分析與改進(jìn)

3.1 OpenStack認(rèn)證機(jī)制安全性分析

經(jīng)過(guò)以上分析，筆者認(rèn)為OpenStack云平臺(tái)具有如下幾點(diǎn)安全問(wèn)題。

1)OpenStack驗(yàn)證機(jī)制是基于用戶(hù)名、密碼以及明文傳輸，所有通信通過(guò)HTTP協(xié)議執(zhí)行，沒(méi)有較強(qiáng)安全機(jī)制的保護(hù)，容易受到這3方面的攻擊，無(wú)法保證云環(huán)境下的數(shù)據(jù)安全。

2)OpenStack本身的身份認(rèn)證機(jī)制對(duì)用戶(hù)和虛擬資源達(dá)到細(xì)粒度的授權(quán)和鑒權(quán)。在Keystone安全組件的對(duì)象結(jié)構(gòu)中，用戶(hù)與角色、租戶(hù)連接在一起，角色與群組連接在一起，所以不能對(duì)用戶(hù)和虛擬資源達(dá)到細(xì)粒度的授權(quán)和鑒權(quán)，也不支持動(dòng)態(tài)實(shí)時(shí)身份變化。

3)OpenStack本身的身份認(rèn)證機(jī)制基于頻繁的調(diào)用Keystone安全組件服務(wù)，在調(diào)用各個(gè)組件服務(wù)的過(guò)程中，可通過(guò)頒發(fā)的Token，避免重復(fù)調(diào)用Keystone API以及傳回Token的冗余過(guò)程，提高效率。

4)數(shù)據(jù)庫(kù)利用資源低，讀取速度慢，數(shù)據(jù)庫(kù)讀取不安全。通過(guò)前面分析可知，在創(chuàng)建云桌面和云存儲(chǔ)的過(guò)程中會(huì)頻繁調(diào)用OpenStack的各個(gè)組件及其包含的模塊，每個(gè)組件及模塊被調(diào)用時(shí)都將調(diào)用Keystone API，在這個(gè)過(guò)程中，會(huì)大量且頻繁地訪問(wèn)后端數(shù)據(jù)庫(kù)。而OpenStack默認(rèn)數(shù)據(jù)庫(kù)為MySql數(shù)據(jù)庫(kù)，而Mysql數(shù)據(jù)庫(kù)是個(gè)關(guān)系型數(shù)據(jù)庫(kù)，訪問(wèn)速度會(huì)隨著訪問(wèn)量的增加而變慢。此外，外部進(jìn)入數(shù)據(jù)庫(kù)讀取敏感信息，安全性得不到保障。

鑒于以上研究，筆者探索在云平臺(tái)的可用性和易用性上，將細(xì)粒度身份認(rèn)證和鑒權(quán)的身份認(rèn)證機(jī)制融合到平臺(tái)中，克服了數(shù)據(jù)庫(kù)利用資源低、讀取速度慢的缺陷及系統(tǒng)數(shù)據(jù)易被竊取的不足。

4 OpenStack身份認(rèn)證改進(jìn)方案

4.1 總體架構(gòu)設(shè)計(jì)

鑒于OpenStack云平臺(tái)認(rèn)證機(jī)制存在的安全缺陷，筆者給出一種結(jié)合輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP: Lightweight Directory Access Protocol)及安全協(xié)議，強(qiáng)化基于角色訪問(wèn)控制(RBAC:Role-Based Access Control)機(jī)制的OpenStack身份認(rèn)證機(jī)制改進(jìn)方案，方案架構(gòu)如圖4所示。

圖4 身份認(rèn)證機(jī)制改進(jìn)方案圖Fig.4 Chart of identity authentication mechanism improvement project

4.2 Keystone交互認(rèn)證流程改進(jìn)方案

總體架構(gòu)中第3部分身份管理平臺(tái)由用戶(hù)管理模塊、授權(quán)管理模塊、監(jiān)控和審計(jì)模塊、以及認(rèn)證服務(wù)模塊4個(gè)安全模塊和1個(gè)LDAP數(shù)據(jù)庫(kù)組成，并通過(guò)API將其與Keystone集成。同時(shí)采用TLS/SSL代替HTTP明文傳輸協(xié)議，保障系統(tǒng)的安全性。其他組件與Keystone組件的交互流程中認(rèn)證過(guò)程如圖5所示。

圖5 改進(jìn)的Keystone組件交互認(rèn)證過(guò)程Fig.5 Improved interactive authenticating process between services and authenticating

4.3 引入基于PKIToken的認(rèn)證機(jī)制

對(duì)比OpenStack云平臺(tái)UUID Token驗(yàn)證機(jī)制(見(jiàn)圖3)，筆者引入了新方法驗(yàn)證Token，使用公鑰基礎(chǔ)實(shí)施(PKI:Public Key Infrastructure)Token。其認(rèn)證機(jī)制過(guò)程如圖6所示。

圖6 基于PKIToken的認(rèn)證機(jī)制Fig.6 Process of verifying tokens based on PKI

客戶(hù)端發(fā)送用戶(hù)和密碼，Keystone驗(yàn)證后到身份認(rèn)證平臺(tái)驗(yàn)證API端點(diǎn)(圖6中驗(yàn)證用戶(hù)名、密碼、租戶(hù))。API與Keystone組件互通，共享簽名證書(shū)、撤銷(xiāo)列表和CA數(shù)字簽名。身份認(rèn)證平臺(tái)認(rèn)證用戶(hù)信息(圖6中返回用戶(hù)元數(shù)據(jù)、數(shù)字密鑰和數(shù)字證書(shū))，Keystone根據(jù)令牌驗(yàn)證結(jié)果確定是否允許客戶(hù)端訪問(wèn)(圖6中請(qǐng)求執(zhí)行/請(qǐng)求駁回)。在創(chuàng)建虛擬機(jī)的過(guò)程中，每調(diào)用一個(gè)服務(wù)都要通過(guò)Keytone認(rèn)證，系統(tǒng)負(fù)擔(dān)過(guò)重，在改進(jìn)Token機(jī)制中，API端點(diǎn)可繞過(guò)Keystone直接驗(yàn)證用戶(hù)的請(qǐng)求。此外，PKIToken以文件的形式出現(xiàn)，使用公私密鑰對(duì)實(shí)現(xiàn)簽名和認(rèn)證。

4.4 集成LDAP目錄服務(wù)

LDAP是一種組織和管理信息的機(jī)制，可用來(lái)描述用戶(hù)和資源屬性，采用LDAP針對(duì)用戶(hù)和資源提供集中式的身份認(rèn)證和授權(quán)。LDAP的授權(quán)功能主要采用訪問(wèn)控制列表，LDAP的身份認(rèn)證主要有4種方式:匿名驗(yàn)證、基礎(chǔ)驗(yàn)證、簡(jiǎn)單身份驗(yàn)證和安全層(SASL:Simple Authentication and Security Layer)驗(yàn)證、Kerberos驗(yàn)證。

該方案將LDAP的開(kāi)源項(xiàng)目OpenLDAP作為存儲(chǔ)Keystone組件中用戶(hù)、租戶(hù)、角色以及其他屬性信息的數(shù)據(jù)庫(kù)，并采用Kerberos驗(yàn)證作為其主要認(rèn)證方式。

LDAP的優(yōu)勢(shì)體現(xiàn)在3點(diǎn):1)易于獲得數(shù)目不斷增加的LDAP的客戶(hù)端程序以訪問(wèn)LDAP目錄;2)更加易于定制安全策略;3)使用認(rèn)證服務(wù)支持安全傳輸層協(xié)議TLS(Transport Layer Security)加密LDAP傳輸，加強(qiáng)保密性和數(shù)據(jù)完整性。

KeyStone集成LDAP過(guò)程為:1)搭建OpenLDAP服務(wù)器并修改配置文件，設(shè)置具有管理員權(quán)限的賬號(hào);2)創(chuàng)建OpenLDAP對(duì)象，并為對(duì)象設(shè)置登錄密碼;3)更改keystone配置文件中后端，由默認(rèn)的Mysql更改為L(zhǎng)DAP;4)更改keystone配置文件中LDAP組織結(jié)構(gòu);5)添加OpenStack租戶(hù)，在租戶(hù)下創(chuàng)建用戶(hù)，并將用戶(hù)綁定到特定角色中。

4.5 強(qiáng)化RBAC機(jī)制的細(xì)粒度訪問(wèn)控制

RBAC是基于角色的訪問(wèn)控制，用戶(hù)的權(quán)限通過(guò)角色賦予。在OpenStack認(rèn)證改進(jìn)方案中，通過(guò)定義策略規(guī)則實(shí)現(xiàn)訪問(wèn)控制以支持對(duì)API的保護(hù)。策略文件包含某些域中的某些角色對(duì)于某些服務(wù)的某些行為的權(quán)限。

4.6 集成HTTPs和TLS安全協(xié)議

HTTP的連接很簡(jiǎn)單，是無(wú)狀態(tài)的，Https是HTTP的安全版本，是以安全為目標(biāo)的HTTP。TLS被稱(chēng)為是SSL的繼任者。

該方案在用戶(hù)登錄云桌面時(shí)使用HTTPS協(xié)議，并使用PKIToken，而非UUID Token，強(qiáng)化系統(tǒng)登錄安全性能。LDAP數(shù)據(jù)傳輸使用TLS協(xié)議，防止數(shù)據(jù)傳輸過(guò)程中的數(shù)據(jù)篡改。使用TLS保證LDAP服務(wù)器與各個(gè)認(rèn)證、管理和審計(jì)等組件間數(shù)據(jù)正確并完整傳輸。

5 部署實(shí)現(xiàn)

5.1 系統(tǒng)部署方案

為測(cè)試設(shè)計(jì)方案的可行性，首先搭建OpenStack私有云平臺(tái)(雙節(jié)點(diǎn))，并在云平臺(tái)上部署了身份管理平臺(tái)。云環(huán)境集群部署方案如圖7所示。

圖7 云環(huán)境集群部署方案Fig.7 Cluster deployment project in cloud environment

5.2 方案功能測(cè)試

部署OpenStack云平臺(tái)，將身份管理平臺(tái)與其整合，完成自動(dòng)管理方案，進(jìn)行測(cè)試。

1)與Keystone集成的LDAP的目錄結(jié)構(gòu)需要按照Keystone映射的組織結(jié)構(gòu)設(shè)置。在LDAP服務(wù)器中，管理員添加租戶(hù)、用戶(hù)，設(shè)置密碼、角色及權(quán)限。圖8為添加用戶(hù)admin和ad。

圖8 LDAP服務(wù)器中添加用戶(hù)Fig.8 Add users upon LDAP server

圖9 用戶(hù)啟動(dòng)的虛擬云桌面Fig.9 The virtual cloud desktop that the user lauched

2)用戶(hù)在客戶(hù)端使用用戶(hù)名 ad和密碼進(jìn)行登錄。

3)用戶(hù)啟動(dòng)Windows7系統(tǒng)虛擬云桌面如圖9所示。

4)查看用戶(hù)ad的Token，如圖10所示，是一個(gè)文件，而不是序列號(hào)格式的UUID Token。

5)用戶(hù)使用其他未在LDAP服務(wù)器中設(shè)置的用戶(hù)名登陸以訪問(wèn)未授權(quán)虛擬資源時(shí)，平臺(tái)顯示錯(cuò)誤，如圖11所示。

圖10 用戶(hù)令牌Fig.10 The user’s token

圖11 平臺(tái)顯示錯(cuò)誤Fig.11 The platform displayed errormessage

6 結(jié) 語(yǔ)

本方案探索云計(jì)算新技術(shù)與密碼技術(shù)的結(jié)合，嘗試通過(guò)OpenStack云平臺(tái)與各安全模塊的整合，改變OpenStack原有的認(rèn)證方式。體現(xiàn)在3點(diǎn):1)引入PKI認(rèn)證機(jī)制，增強(qiáng)使用令牌的安全性和擴(kuò)展性; 2)集成LDAP目錄服務(wù)，設(shè)計(jì)符合實(shí)際管理需求的組織關(guān)系，并利用其快速的查詢(xún)和讀取功能，提高數(shù)據(jù)庫(kù)可用性;3)在LDAP上添加會(huì)話(huà)加密和目錄服務(wù)器復(fù)制等功能，并與Kerberos聯(lián)合提供安全性能。

［1］OpenStack Installation Guide for Ubuntu 12.04/14.04(LTS)［DB/OL］.［2015-06-01］.http://docs.openstack.org/ icehouse/install-guide/install/apt/content/.

［2］Amazon web services.An Introduction to High Performance Computing on AWS［DB/OL］.［2015-08-01］.https://d0. awsstatic.com/whitepapers/Intro_to_HPC_on_AWS.pdf.

［3］馬友禮，陳世平.OpenStack云虛擬機(jī)安全策略研究［J］.信息技術(shù)，2014(1):35-38. MA Youli，CHEN Shiping.Research of OpenStack Cloud VirtalMachine Security Strategy［J］.Information Technology，2014 (1):35-38.

［4］劉飛宇.OpenStack云平臺(tái)下的虛擬機(jī)監(jiān)控與控制的研究與實(shí)現(xiàn)［D］.成都:電子科技大學(xué)計(jì)算機(jī)應(yīng)用技術(shù)學(xué)院，2013. LIU Feiyu.Research and Achieving Monitoring and Controlling Virtual Machine upon OpenStack Cloud Platform［D］. Chengdu:College of Computer Applications Technology，University of Electronic Science and Technology，2013.

［5］常立偉.Quantum中多租戶(hù)隔離與網(wǎng)絡(luò)服務(wù)擴(kuò)展研究［D］.成都:電子科技大學(xué)電子與通信工程學(xué)院，2013. CHANG Liwei.Research of Multitenant Isolation and Network Services Expansion in Quantum［D］.Chengdu:College of Electronics and Communication Engineering，University of Electronic Science and Technology，2013.

［6］郭志斌，李璐穎，王志軍.Openstack Trove與沃云數(shù)據(jù)庫(kù)即服務(wù)對(duì)比［J］.信息通信技術(shù)，2014(6):33-37. GUO Zhibin，LI Luying，WANG Zhijun.The Compare between Openstack Trove and Wo Cloud Database as a Service［J］. Information and Communication Technology，2014(6):33-37.

［7］熊微，房秉毅，張?jiān)朴?，?OpenStack認(rèn)證安全問(wèn)題研究［J］.郵電設(shè)計(jì)技術(shù)，2014(7):21-25. XIONGWei，F(xiàn)ANG Bingyi，ZHANG Yunyong，et al.The Research of OpenStack's Identitiy Security Flaw［J］.Posts and Design Technology，2014(7):21-25.

［8］陳慧，李陶深，岑霄.OpenStack核心存儲(chǔ)件Swift與Keystone集群的整合方法［C］∥廣西計(jì)算機(jī)學(xué)會(huì)學(xué)術(shù)年會(huì).中國(guó)，廣西，北海:中國(guó)學(xué)術(shù)期刊電子雜志出版社，2014. CHEN Hui，LITaoshen，CEN Xiao.The Connection of OpenStack Core Storage Service Swiftwith Keystone Clusters［C］∥Guangxi Computer Society Academic Conference.Beihai，Guangxi，China:China Academic Journal Electronic Publishing House，2014.

(責(zé)任編輯:劉俏亮)

Research and Improvement of OpenStack's Authorization Mechanism

CHIYaping1，WANG Huili1，YUAN Zhibo1，ZHANG Jian1，LIXin1，2
(1.College of Communication Engineering，Beijing Institute of Electronic Technology，Beijing 100070，China; 2.College of Communication Engineering，Xi'an University of Electronic Science and Technology，Xi'an 710071，China)

Based on the analysis of the interactive process between the OpenStack's platform structure，generating process，securitymechanism and other service components，an improved ID authentication project is proposed to solve the deficiency of fine-grained authentication，low-usage of database and security flaw of data. This project integrates the LDAP(Lightweight Directory Access Protocol)，RBAC(Role-Based Access Control)，and SSL/TLS(Secure Sockets Layer/Transport Layer Security)into Keystone service，which strengthens the performance of Opentack's cloud platform in the aspect of the extension and security of ID management.

OpenStack;Keystone service;role-based access control(RBAC);lightweight directory access protocol(LDAP);authentication mechanism

TP39

A

1671-5896(2015)06-0700-07

2015-04-24

中央高?；究蒲袠I(yè)務(wù)費(fèi)專(zhuān)項(xiàng)基金資助項(xiàng)目(YZDJ1202);中央高?；究蒲袠I(yè)務(wù)費(fèi)基金資助項(xiàng)目(328201537)

池亞平(1969— )，女，河北沙河人，北京電子科技學(xué)院教授，主要從事網(wǎng)絡(luò)安全研究，(Tel)86-13651012769(E-mail) chiyp_besti@163.com;通訊作者:王慧麗(1991— )，女，吉林公主嶺人，北京電子科技學(xué)院碩士研究生，主要從事網(wǎng)絡(luò)安全研究，(Tel)86-13146174290(E-mail)1018952306@qq.com。