Keystone跨域身份聯(lián)合研究與實(shí)現(xiàn).pdf

1、隨著云計(jì)算的不斷發(fā)展，越來越多的組織開始進(jìn)入云計(jì)算的領(lǐng)域。由于其技術(shù)成熟，OpenStack開源云平臺(tái)成為了大多數(shù)組織的選擇，并已成為了事實(shí)上的IaaS基礎(chǔ)設(shè)施的部署標(biāo)準(zhǔn)。然而這些部署大多都是以內(nèi)部私有云的方式進(jìn)行部署的，雖然能夠通過組織內(nèi)部資源共享的方式來提高企業(yè)的資源利用率并產(chǎn)生經(jīng)濟(jì)效益，但是對(duì)于未來要實(shí)現(xiàn)的更廣泛共享的經(jīng)濟(jì)模式來講這是遠(yuǎn)遠(yuǎn)不夠的。未來通過組織與組織之間建立廣泛的信任關(guān)系來聯(lián)合部署混合云的模式將會(huì)成為主流。然而要推動(dòng)

2、各組織通過建立廣泛的信任關(guān)系來實(shí)現(xiàn)更廣泛的資源共享和服務(wù)聯(lián)合，一個(gè)關(guān)鍵的障礙就是安全問題。如何安全地建立信任關(guān)系，如何確保實(shí)際共享的資源就是組織所試圖共享的資源，如何提高用戶的體驗(yàn)并降低由于用戶習(xí)慣所帶來的間接安全隱患，如何有效確定安全事故的來源和安全事故的責(zé)任就成為當(dāng)前亟待解決的問題。
　　本文基于上述安全需求，在分析OpenStack內(nèi)部認(rèn)證授權(quán)機(jī)制和當(dāng)前已有的幾種身份聯(lián)合解決方案基礎(chǔ)之上，提出了一種基于身份聯(lián)合的Keysto

3、ne域間資源安全共享方案。該方案使用基于SAML規(guī)范和Shibboleth架構(gòu)來對(duì)Keystone進(jìn)行改造，使得其能夠像Shibboleth的IDP和SP一樣進(jìn)行身份聯(lián)合。同時(shí)為了實(shí)現(xiàn)對(duì)云平臺(tái)共享資源的細(xì)粒度控制，將身份聯(lián)合所帶來的潛在安全隱患進(jìn)行隔離，采用Keystone v3.0新支持的概念“域”來對(duì)需要共享的資源進(jìn)行隔離，使得信任關(guān)系實(shí)際上只是建立信任域上，而不是整個(gè)OpenStack云平臺(tái)的資源。采取本方案身份聯(lián)合后，組織和組織