池亞平，王慧麗，元智博，張 健，李 欣，2

(1.北京電子科技學(xué)院通信工程系，北京100070;2.西安電子科技大學(xué)通信工程學(xué)院，西安710071)

OpenStack 身份認(rèn)證機(jī)制研究與改進(jìn)

池亞平1，王慧麗1，元智博1，張 健1，李 欣1，2

(1.北京電子科技學(xué)院通信工程系，北京100070;2.西安電子科技大學(xué)通信工程學(xué)院，西安710071)

針對OpenStack認(rèn)證機(jī)制缺乏細(xì)粒度鑒權(quán)、數(shù)據(jù)庫利用率和數(shù)據(jù)安全性不足的問題，在分析OpenStack平臺架構(gòu)、虛擬機(jī)生成實例流程，以及安全組件Keystone與其他服務(wù)組件間的交互流程的基礎(chǔ)上，提出一個OpenStack身份認(rèn)證改進(jìn)方案。該方案將LDAP(Lightweight Directory Access Protocol)、RBAC(Role-Based Access Control)以及SSL/TLS(Secure Sockets Layer/Transport Layer Security)安全協(xié)議集成到Keystone安全服務(wù)組件中，加強(qiáng)了OpenStack對于用戶和虛擬資源的身份管理的可擴(kuò)展性和安全性。

OpenStack平臺;Keystone服務(wù);基于角色訪問控制;輕量級目錄訪問協(xié)議;認(rèn)證機(jī)制

0 引 言

OpenStack［1］是亞馬遜Web服務(wù)［2］(AWS:Amazon Web Services)的開源實現(xiàn)，一直以來，以其完全開源性引起國內(nèi)業(yè)界關(guān)注，OpenStack社區(qū)已經(jīng)成為開源社區(qū)活躍度最高的社區(qū)，目前OpenStack發(fā)展很快，現(xiàn)在已經(jīng)發(fā)展到K版本，系統(tǒng)功能得到極大增強(qiáng)，并在訪問控制方面有了很大擴(kuò)充。OpenStack采用分布式架構(gòu)，整個平臺按照功能不同分為多個模塊項目，項目之間通過消息隊列中間件和Restful形式的應(yīng)用程序編程接口(API:Application Programming Interface)進(jìn)行交互通信。

隨著OpenStack版本的不斷更新，其安全性也得到很多前人的探索。國外對該平臺研究重點在于易用性，包括資源調(diào)度、容錯強(qiáng)度等方面，而非安全性。國內(nèi)對于OpenStack的安全增強(qiáng)研究，主要有以下幾方面:1)通過虛擬機(jī)實例監(jiān)控和管理，如使用VPN(Virtual Private Network)技術(shù)保護(hù)虛擬機(jī)安全［3］，以及通過獲取監(jiān)控的虛擬機(jī)的性能信息，實現(xiàn)云平臺下的虛擬機(jī)監(jiān)控方案［4］;2)運(yùn)用虛擬化技術(shù)強(qiáng)化虛擬網(wǎng)絡(luò)管理和維護(hù)，實現(xiàn)虛擬資源隔離［5，6］;3)利用傳統(tǒng)信息安全技術(shù)強(qiáng)化平臺安全性，如在Keystone安全組件中集成公鑰基礎(chǔ)設(shè)施(PKI:Public Key Infrastructure)技術(shù)［7］。此外，也出現(xiàn)了面向云存儲安全的存儲組件與安全組件集成的安全方案，利用IP地址獲取訪問令牌，利用該令牌實現(xiàn)用戶的身份認(rèn)證［8］。但針對OpenStack平臺身份認(rèn)證安全增強(qiáng)方案尚未見文獻(xiàn)報道。

OpenStack在Essex版本之后開始全面支持Keystone，對于開發(fā)加強(qiáng)訪問控制有天然的優(yōu)勢。但仍然存在安全漏洞和脆弱性。筆者以Keystone服務(wù)組件著手研究，深入分析OpenStack授權(quán)及鑒權(quán)安全機(jī)制。

云計算要求對大量的未知用戶以及虛擬資源進(jìn)行管理，不僅需要用戶在訪問云系統(tǒng)前進(jìn)行授權(quán)，還需要在訪問云系統(tǒng)的過程中根據(jù)實際安全需求進(jìn)行權(quán)限的優(yōu)化。筆者分析OpenStack身份認(rèn)證和授權(quán)機(jī)制，以此基礎(chǔ)設(shè)計云客戶端的安全接入與虛擬實例的安全應(yīng)用方案，完善OpenStack私有云平臺的易用性和安全性。

1 OpenStack平臺

1.1 OpenStack創(chuàng)建虛擬機(jī)流程分析

OpenStack由7個組件組成(見圖1)。Horizon是基于OpenStack API(Application Program Interface)接口的網(wǎng)頁實現(xiàn)，Nova提供虛擬主機(jī)服務(wù)，Swift提供對象存儲服務(wù)，Glance提供鏡像管理服務(wù)，Neutron提供虛擬機(jī)網(wǎng)絡(luò)管理服務(wù)，Cinder提供塊存儲管理服務(wù)，Keystone提供認(rèn)證管理服務(wù)，是OpenStack的認(rèn)證組件，每個環(huán)節(jié)均通過Keystone安全認(rèn)證其合法性。各組件間創(chuàng)建虛擬機(jī)流程如圖1所示。

圖1 Chart創(chuàng)建虛擬機(jī)流程Fig.1 Flow chart of creating virtualmachine

具體過程:1)Horizon通過Keystone獲取Compute組件的統(tǒng)一資源定位符(URL:Uniform Resource Locator)，并獲取授權(quán)令牌(Token);2)攜帶授權(quán)令牌，發(fā)送創(chuàng)建虛擬機(jī)指令;3)nova-compute組件通過glance-api下載虛擬機(jī)鏡像，Glance鏡像中有緩存機(jī)制，以支持鏡像從緩存復(fù)制到本地鏡像目錄，緩存機(jī)制可開啟或關(guān)閉;4)Glance檢索Swift存儲的鏡像;5)獲取網(wǎng)絡(luò)信息，決定虛擬機(jī)網(wǎng)絡(luò)模式及建立網(wǎng)絡(luò)連接;6)nova-compute發(fā)送啟動虛擬機(jī)指令;7)虛擬機(jī)創(chuàng)建完成。

2 Keystone安全服務(wù)

Keystone是OpenStack用來進(jìn)行身份驗證及高級授權(quán)的身份識別服務(wù)組件，Keystone提供OpenStack其他項目使用的身份識別、令牌、目錄及策略服務(wù)。Keystone有兩個主要功能:1)用戶管理，即追蹤用戶及其權(quán)限;2)服務(wù)管理，提供可用服務(wù)API終端目錄。

2.1 Keystone安全組件與其他服務(wù)組件的交互流程分析

調(diào)用OpenStack其他服務(wù)步驟如圖2所示。1)客戶端調(diào)用OpenStack服務(wù)將產(chǎn)生驗證令牌，如圖2中①和②所示;2)Keystone尋找并驗證令牌，并從中獲取相應(yīng)的附加信息，如圖2中③～⑤所示;3)其他組件與Keystone組件的交互以驗證客戶端信息如圖2中所示。

圖2 創(chuàng)建虛擬機(jī)流程中其他組件與Keystone交互認(rèn)證流程圖Fig.2 Flow of other services interactive authentication with keystone in the creating virtualmachine progress

2.2 Keystone令牌驗證機(jī)制分析

圖3 基于UUID的驗證Token過程Fig.3 Process of verifying tokens based on UUID

Keystone在OpenStack的項目中提供了公共、統(tǒng)一的身份驗證協(xié)議，使用基于令牌認(rèn)證機(jī)制實現(xiàn)認(rèn)證和授權(quán)。OpenStack的Keystone組件使用兩種Token完成認(rèn)證機(jī)制。G版以前使用通用唯一識別碼(UUID:Universally Unique Identifier)Token完成驗證過程，基于UUID的驗證過程如圖3所示，其中Token是一個序列號。

由圖3可看出，客戶端用戶發(fā)送用戶名和密碼，Keystone驗證通過后返回UUID作為驗證令牌。用戶獲取云服務(wù)時，攜帶UUID令牌進(jìn)行訪問(圖3中發(fā)送調(diào)用指令)，Keystone根據(jù)令牌驗證結(jié)果確定是否允許客戶端訪問(圖3中請求執(zhí)行/請求駁回)。

3 OpenStack平臺認(rèn)證機(jī)制分析與改進(jìn)

3.1 OpenStack認(rèn)證機(jī)制安全性分析

經(jīng)過以上分析，筆者認(rèn)為OpenStack云平臺具有如下幾點安全問題。

1)OpenStack驗證機(jī)制是基于用戶名、密碼以及明文傳輸，所有通信通過HTTP協(xié)議執(zhí)行，沒有較強(qiáng)安全機(jī)制的保護(hù)，容易受到這3方面的攻擊，無法保證云環(huán)境下的數(shù)據(jù)安全。

2)OpenStack本身的身份認(rèn)證機(jī)制對用戶和虛擬資源達(dá)到細(xì)粒度的授權(quán)和鑒權(quán)。在Keystone安全組件的對象結(jié)構(gòu)中，用戶與角色、租戶連接在一起，角色與群組連接在一起，所以不能對用戶和虛擬資源達(dá)到細(xì)粒度的授權(quán)和鑒權(quán)，也不支持動態(tài)實時身份變化。

3)OpenStack本身的身份認(rèn)證機(jī)制基于頻繁的調(diào)用Keystone安全組件服務(wù)，在調(diào)用各個組件服務(wù)的過程中，可通過頒發(fā)的Token，避免重復(fù)調(diào)用Keystone API以及傳回Token的冗余過程，提高效率。

4)數(shù)據(jù)庫利用資源低，讀取速度慢，數(shù)據(jù)庫讀取不安全。通過前面分析可知，在創(chuàng)建云桌面和云存儲的過程中會頻繁調(diào)用OpenStack的各個組件及其包含的模塊，每個組件及模塊被調(diào)用時都將調(diào)用Keystone API，在這個過程中，會大量且頻繁地訪問后端數(shù)據(jù)庫。而OpenStack默認(rèn)數(shù)據(jù)庫為MySql數(shù)據(jù)庫，而Mysql數(shù)據(jù)庫是個關(guān)系型數(shù)據(jù)庫，訪問速度會隨著訪問量的增加而變慢。此外，外部進(jìn)入數(shù)據(jù)庫讀取敏感信息，安全性得不到保障。

鑒于以上研究，筆者探索在云平臺的可用性和易用性上，將細(xì)粒度身份認(rèn)證和鑒權(quán)的身份認(rèn)證機(jī)制融合到平臺中，克服了數(shù)據(jù)庫利用資源低、讀取速度慢的缺陷及系統(tǒng)數(shù)據(jù)易被竊取的不足。

4 OpenStack身份認(rèn)證改進(jìn)方案

4.1 總體架構(gòu)設(shè)計

鑒于OpenStack云平臺認(rèn)證機(jī)制存在的安全缺陷，筆者給出一種結(jié)合輕量級目錄訪問協(xié)議(LDAP: Lightweight Directory Access Protocol)及安全協(xié)議，強(qiáng)化基于角色訪問控制(RBAC:Role-Based Access Control)機(jī)制的OpenStack身份認(rèn)證機(jī)制改進(jìn)方案，方案架構(gòu)如圖4所示。

圖4 身份認(rèn)證機(jī)制改進(jìn)方案圖Fig.4 Chart of identity authentication mechanism improvement project

4.2 Keystone交互認(rèn)證流程改進(jìn)方案

總體架構(gòu)中第3部分身份管理平臺由用戶管理模塊、授權(quán)管理模塊、監(jiān)控和審計模塊、以及認(rèn)證服務(wù)模塊4個安全模塊和1個LDAP數(shù)據(jù)庫組成，并通過API將其與Keystone集成。同時采用TLS/SSL代替HTTP明文傳輸協(xié)議，保障系統(tǒng)的安全性。其他組件與Keystone組件的交互流程中認(rèn)證過程如圖5所示。

圖5 改進(jìn)的Keystone組件交互認(rèn)證過程Fig.5 Improved interactive authenticating process between services and authenticating

4.3 引入基于PKIToken的認(rèn)證機(jī)制

對比OpenStack云平臺UUID Token驗證機(jī)制(見圖3)，筆者引入了新方法驗證Token，使用公鑰基礎(chǔ)實施(PKI:Public Key Infrastructure)Token。其認(rèn)證機(jī)制過程如圖6所示。

圖6 基于PKIToken的認(rèn)證機(jī)制Fig.6 Process of verifying tokens based on PKI

客戶端發(fā)送用戶和密碼，Keystone驗證后到身份認(rèn)證平臺驗證API端點(圖6中驗證用戶名、密碼、租戶)。API與Keystone組件互通，共享簽名證書、撤銷列表和CA數(shù)字簽名。身份認(rèn)證平臺認(rèn)證用戶信息(圖6中返回用戶元數(shù)據(jù)、數(shù)字密鑰和數(shù)字證書)，Keystone根據(jù)令牌驗證結(jié)果確定是否允許客戶端訪問(圖6中請求執(zhí)行/請求駁回)。在創(chuàng)建虛擬機(jī)的過程中，每調(diào)用一個服務(wù)都要通過Keytone認(rèn)證，系統(tǒng)負(fù)擔(dān)過重，在改進(jìn)Token機(jī)制中，API端點可繞過Keystone直接驗證用戶的請求。此外，PKIToken以文件的形式出現(xiàn)，使用公私密鑰對實現(xiàn)簽名和認(rèn)證。

4.4 集成LDAP目錄服務(wù)

LDAP是一種組織和管理信息的機(jī)制，可用來描述用戶和資源屬性，采用LDAP針對用戶和資源提供集中式的身份認(rèn)證和授權(quán)。LDAP的授權(quán)功能主要采用訪問控制列表，LDAP的身份認(rèn)證主要有4種方式:匿名驗證、基礎(chǔ)驗證、簡單身份驗證和安全層(SASL:Simple Authentication and Security Layer)驗證、Kerberos驗證。

該方案將LDAP的開源項目OpenLDAP作為存儲Keystone組件中用戶、租戶、角色以及其他屬性信息的數(shù)據(jù)庫，并采用Kerberos驗證作為其主要認(rèn)證方式。

LDAP的優(yōu)勢體現(xiàn)在3點:1)易于獲得數(shù)目不斷增加的LDAP的客戶端程序以訪問LDAP目錄;2)更加易于定制安全策略;3)使用認(rèn)證服務(wù)支持安全傳輸層協(xié)議TLS(Transport Layer Security)加密LDAP傳輸，加強(qiáng)保密性和數(shù)據(jù)完整性。

KeyStone集成LDAP過程為:1)搭建OpenLDAP服務(wù)器并修改配置文件，設(shè)置具有管理員權(quán)限的賬號;2)創(chuàng)建OpenLDAP對象，并為對象設(shè)置登錄密碼;3)更改keystone配置文件中后端，由默認(rèn)的Mysql更改為LDAP;4)更改keystone配置文件中LDAP組織結(jié)構(gòu);5)添加OpenStack租戶，在租戶下創(chuàng)建用戶，并將用戶綁定到特定角色中。

4.5 強(qiáng)化RBAC機(jī)制的細(xì)粒度訪問控制

RBAC是基于角色的訪問控制，用戶的權(quán)限通過角色賦予。在OpenStack認(rèn)證改進(jìn)方案中，通過定義策略規(guī)則實現(xiàn)訪問控制以支持對API的保護(hù)。策略文件包含某些域中的某些角色對于某些服務(wù)的某些行為的權(quán)限。

4.6 集成HTTPs和TLS安全協(xié)議

HTTP的連接很簡單，是無狀態(tài)的，Https是HTTP的安全版本，是以安全為目標(biāo)的HTTP。TLS被稱為是SSL的繼任者。

該方案在用戶登錄云桌面時使用HTTPS協(xié)議，并使用PKIToken，而非UUID Token，強(qiáng)化系統(tǒng)登錄安全性能。LDAP數(shù)據(jù)傳輸使用TLS協(xié)議，防止數(shù)據(jù)傳輸過程中的數(shù)據(jù)篡改。使用TLS保證LDAP服務(wù)器與各個認(rèn)證、管理和審計等組件間數(shù)據(jù)正確并完整傳輸。

5 部署實現(xiàn)

5.1 系統(tǒng)部署方案

為測試設(shè)計方案的可行性，首先搭建OpenStack私有云平臺(雙節(jié)點)，并在云平臺上部署了身份管理平臺。云環(huán)境集群部署方案如圖7所示。

圖7 云環(huán)境集群部署方案Fig.7 Cluster deployment project in cloud environment

5.2 方案功能測試

部署OpenStack云平臺，將身份管理平臺與其整合，完成自動管理方案，進(jìn)行測試。

1)與Keystone集成的LDAP的目錄結(jié)構(gòu)需要按照Keystone映射的組織結(jié)構(gòu)設(shè)置。在LDAP服務(wù)器中，管理員添加租戶、用戶，設(shè)置密碼、角色及權(quán)限。圖8為添加用戶admin和ad。

圖8 LDAP服務(wù)器中添加用戶Fig.8 Add users upon LDAP server

圖9 用戶啟動的虛擬云桌面Fig.9 The virtual cloud desktop that the user lauched

2)用戶在客戶端使用用戶名 ad和密碼進(jìn)行登錄。

3)用戶啟動Windows7系統(tǒng)虛擬云桌面如圖9所示。

4)查看用戶ad的Token，如圖10所示，是一個文件，而不是序列號格式的UUID Token。

5)用戶使用其他未在LDAP服務(wù)器中設(shè)置的用戶名登陸以訪問未授權(quán)虛擬資源時，平臺顯示錯誤，如圖11所示。

圖10 用戶令牌Fig.10 The user’s token

圖11 平臺顯示錯誤Fig.11 The platform displayed errormessage

6 結(jié) 語

本方案探索云計算新技術(shù)與密碼技術(shù)的結(jié)合，嘗試通過OpenStack云平臺與各安全模塊的整合，改變OpenStack原有的認(rèn)證方式。體現(xiàn)在3點:1)引入PKI認(rèn)證機(jī)制，增強(qiáng)使用令牌的安全性和擴(kuò)展性; 2)集成LDAP目錄服務(wù)，設(shè)計符合實際管理需求的組織關(guān)系，并利用其快速的查詢和讀取功能，提高數(shù)據(jù)庫可用性;3)在LDAP上添加會話加密和目錄服務(wù)器復(fù)制等功能，并與Kerberos聯(lián)合提供安全性能。

［1］OpenStack Installation Guide for Ubuntu 12.04/14.04(LTS)［DB/OL］.［2015-06-01］.http://docs.openstack.org/ icehouse/install-guide/install/apt/content/.

［2］Amazon web services.An Introduction to High Performance Computing on AWS［DB/OL］.［2015-08-01］.https://d0. awsstatic.com/whitepapers/Intro_to_HPC_on_AWS.pdf.

［3］馬友禮，陳世平.OpenStack云虛擬機(jī)安全策略研究［J］.信息技術(shù)，2014(1):35-38. MA Youli，CHEN Shiping.Research of OpenStack Cloud VirtalMachine Security Strategy［J］.Information Technology，2014 (1):35-38.

［4］劉飛宇.OpenStack云平臺下的虛擬機(jī)監(jiān)控與控制的研究與實現(xiàn)［D］.成都:電子科技大學(xué)計算機(jī)應(yīng)用技術(shù)學(xué)院，2013. LIU Feiyu.Research and Achieving Monitoring and Controlling Virtual Machine upon OpenStack Cloud Platform［D］. Chengdu:College of Computer Applications Technology，University of Electronic Science and Technology，2013.

［5］常立偉.Quantum中多租戶隔離與網(wǎng)絡(luò)服務(wù)擴(kuò)展研究［D］.成都:電子科技大學(xué)電子與通信工程學(xué)院，2013. CHANG Liwei.Research of Multitenant Isolation and Network Services Expansion in Quantum［D］.Chengdu:College of Electronics and Communication Engineering，University of Electronic Science and Technology，2013.

［6］郭志斌，李璐穎，王志軍.Openstack Trove與沃云數(shù)據(jù)庫即服務(wù)對比［J］.信息通信技術(shù)，2014(6):33-37. GUO Zhibin，LI Luying，WANG Zhijun.The Compare between Openstack Trove and Wo Cloud Database as a Service［J］. Information and Communication Technology，2014(6):33-37.

［7］熊微，房秉毅，張云勇，等.OpenStack認(rèn)證安全問題研究［J］.郵電設(shè)計技術(shù)，2014(7):21-25. XIONGWei，F(xiàn)ANG Bingyi，ZHANG Yunyong，et al.The Research of OpenStack's Identitiy Security Flaw［J］.Posts and Design Technology，2014(7):21-25.

［8］陳慧，李陶深，岑霄.OpenStack核心存儲件Swift與Keystone集群的整合方法［C］∥廣西計算機(jī)學(xué)會學(xué)術(shù)年會.中國，廣西，北海:中國學(xué)術(shù)期刊電子雜志出版社，2014. CHEN Hui，LITaoshen，CEN Xiao.The Connection of OpenStack Core Storage Service Swiftwith Keystone Clusters［C］∥Guangxi Computer Society Academic Conference.Beihai，Guangxi，China:China Academic Journal Electronic Publishing House，2014.

(責(zé)任編輯:劉俏亮)

Research and Improvement of OpenStack's Authorization Mechanism

CHIYaping1，WANG Huili1，YUAN Zhibo1，ZHANG Jian1，LIXin1，2
(1.College of Communication Engineering，Beijing Institute of Electronic Technology，Beijing 100070，China; 2.College of Communication Engineering，Xi'an University of Electronic Science and Technology，Xi'an 710071，China)

Based on the analysis of the interactive process between the OpenStack's platform structure，generating process，securitymechanism and other service components，an improved ID authentication project is proposed to solve the deficiency of fine-grained authentication，low-usage of database and security flaw of data. This project integrates the LDAP(Lightweight Directory Access Protocol)，RBAC(Role-Based Access Control)，and SSL/TLS(Secure Sockets Layer/Transport Layer Security)into Keystone service，which strengthens the performance of Opentack's cloud platform in the aspect of the extension and security of ID management.

OpenStack;Keystone service;role-based access control(RBAC);lightweight directory access protocol(LDAP);authentication mechanism

TP39

A

1671-5896(2015)06-0700-07

2015-04-24

中央高?；究蒲袠I(yè)務(wù)費(fèi)專項基金資助項目(YZDJ1202);中央高校基本科研業(yè)務(wù)費(fèi)基金資助項目(328201537)

池亞平(1969— )，女，河北沙河人，北京電子科技學(xué)院教授，主要從事網(wǎng)絡(luò)安全研究，(Tel)86-13651012769(E-mail) chiyp_besti@163.com;通訊作者:王慧麗(1991— )，女，吉林公主嶺人，北京電子科技學(xué)院碩士研究生，主要從事網(wǎng)絡(luò)安全研究，(Tel)86-13146174290(E-mail)1018952306@qq.com。