吳玉寧，王歡，2，蘇偉，2，嚴(yán)曄，秦雪

（1.長(zhǎng)春理工大學(xué)　計(jì)算機(jī)科學(xué)技術(shù)學(xué)院，長(zhǎng)春　130022；2.長(zhǎng)春理工大學(xué)　信息化中心，長(zhǎng)春　130022）

OpenStack身份認(rèn)證安全性分析與改進(jìn)

吳玉寧1，王歡1，2，蘇偉1，2，嚴(yán)曄1，秦雪1

（1.長(zhǎng)春理工大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院，長(zhǎng)春130022；2.長(zhǎng)春理工大學(xué)信息化中心，長(zhǎng)春130022）

OpenStack是一個(gè)開源的云平臺(tái)管理項(xiàng)目，旨在提供可靠的云部署方案和良好的可擴(kuò)展性，但在重復(fù)失敗登錄、密碼強(qiáng)度、密鑰和數(shù)字證書管理等方面存在安全性問題。本文采用USB Key存儲(chǔ)用戶的密鑰及數(shù)字證書，保證了雙因子認(rèn)證。采用基于角色的訪問控制進(jìn)行業(yè)務(wù)鑒權(quán)，同時(shí)設(shè)置反向認(rèn)證令牌，實(shí)現(xiàn)用戶和業(yè)務(wù)系統(tǒng)間的雙向認(rèn)證。利用PKI在Keystone進(jìn)行密鑰和數(shù)字證書頒發(fā)以及對(duì)數(shù)字證書的驗(yàn)證，增強(qiáng)認(rèn)證的安全性。實(shí)現(xiàn)了OpenStack身份認(rèn)證安全性的改進(jìn)。方案已在校園網(wǎng)云存儲(chǔ)平臺(tái)上應(yīng)用，為OpenStack安全性改進(jìn)提供了參考。

云計(jì)算；OpenStack；身份認(rèn)證；安全性

OpenStack是由Rackspace和美國(guó)國(guó)家航空航天局合作研制的云計(jì)算管理軟件［1］，并以Apache許可證授權(quán)，是一個(gè)開放源代碼項(xiàng)目，提供可靠的云部署方案，從而實(shí)現(xiàn)類似于亞馬遜云基礎(chǔ)架構(gòu)服務(wù)。到目前為止，OpenStack已經(jīng)發(fā)行了11個(gè)版本，其系統(tǒng)功能也在逐漸完善。從Essex版本開始，Keystone開始為OpenStack提供統(tǒng)一的身份認(rèn)證服務(wù)，其帶來的安全性問題也隨之被人們關(guān)注。OpenStack安全組織（OSSG）在每次發(fā)布的安全指南中，都會(huì)提出新的安全問題，但是研究人員并沒有給出明確的解決措施。

1　OpenStack架構(gòu)及服務(wù)分析

OpenStack是目前最火的開源IaaS方案，其本身的設(shè)計(jì)架構(gòu)賦予了其高度的可擴(kuò)展性［2］。由于其功能豐富，OpenStack中所包含的組件與其他開源平臺(tái)相比是相對(duì)較多的，各個(gè)組件都通過PasteDeploy來定制WSGI服務(wù)。每個(gè)組件可以單獨(dú)部署，對(duì)外提供服務(wù)，也可以在一起協(xié)同完成某項(xiàng)工作。OpenStack的6個(gè)核心組件如圖1所示。

圖1　OpenStack核心組件關(guān)系圖

界面（Horizon）：為管理員和普通用戶提供一套訪問和自動(dòng)化管理OpenStack各種資源的圖形化界面；

計(jì)算管理（Nova）：是計(jì)算組織控制器，基于用戶需求為虛擬機(jī)（VM）提供資源管理，它由多個(gè)子服務(wù)構(gòu)成，這些子服務(wù)通過RPC實(shí)現(xiàn)通信，各服務(wù)之間具有很松的耦合性；

網(wǎng)絡(luò)管理（Neutron）：通過對(duì)物理網(wǎng)絡(luò)資源的劃分與管理，為每個(gè)租戶提供獨(dú)立的虛擬網(wǎng)絡(luò)環(huán)境；

鏡像管理（Glance）：用來存放管理虛擬機(jī)鏡像和快照的服務(wù)，Glance支持兩種鏡像存儲(chǔ)機(jī)制，簡(jiǎn)單文件系統(tǒng)和Swift服務(wù)存儲(chǔ)鏡像機(jī)制；

對(duì)象存儲(chǔ)（Swift）：提供了高可用、持久性、大文件的對(duì)象存儲(chǔ)，適合存放靜態(tài)數(shù)據(jù)；

身份認(rèn)證（Keystone）：為OpenStack的用戶提供身份認(rèn)證、令牌管理和權(quán)限管理，以及基于用戶角色的訪問控制。

由圖1可以看出，OpenStack的各個(gè)組件之間都是交互的，Keystone是OpenStack架構(gòu)中的重要組成部件，組件之間的通信都需要通過Keystone的認(rèn)證來獲得目標(biāo)服務(wù)。用戶訪問系統(tǒng)的用戶名是否正確，令牌的頒發(fā)，服務(wù)端點(diǎn)的注冊(cè)，以及該用戶是否具有訪問特定資源的權(quán)限等。這些都離不開Keystone的參與。與OpenStack中其他項(xiàng)目一樣，Keystone表示一個(gè)抽象層［3］，會(huì)提供插件接口，開發(fā)者可以利用其當(dāng)前的身份驗(yàn)證服務(wù)，也可以選擇其他的身份認(rèn)證系統(tǒng)。由此可見Keystone的安全性將會(huì)影響到整個(gè)系統(tǒng)的安全性。

2　Keystone身份認(rèn)證機(jī)制

Keystone對(duì)全部租戶和用戶進(jìn)行注冊(cè)，對(duì)用戶進(jìn)行身份驗(yàn)證并授予其身份驗(yàn)證令牌，管理服務(wù)端點(diǎn)目錄，創(chuàng)建橫跨所有用戶和服務(wù)的策略。Keystone的認(rèn)證是雙向的。首先OpenStack必須認(rèn)證用戶的身份是合法的，同時(shí)有足夠的權(quán)限執(zhí)行相應(yīng)的操作；其次用戶需要確定OpenStack的其他組件是可信的。在Keystone中，有兩種生成令牌（Token）的方式：UUID和PKI。

2.1UUID方式

UUID方式認(rèn)證流程如圖2所示。

圖2　UUID方式認(rèn)證流程

用戶使用用戶名及密碼在Keystone通過認(rèn)證后，Keystone就返回一個(gè)Token給用戶，這個(gè)Token就是一個(gè)UUID。以后用戶進(jìn)行服務(wù)請(qǐng)求時(shí)，需攜帶此Token。服務(wù)模塊收到請(qǐng)求時(shí)，會(huì)使用這個(gè)Token向Keystone進(jìn)行驗(yàn)證。Keystone通過比對(duì)Token的合法性，將結(jié)果反饋給服務(wù)模塊。

2.2PKI方式

Keystone利用PKI對(duì)令牌相關(guān)數(shù)據(jù)進(jìn)行簽名，從而每一個(gè)服務(wù)端點(diǎn)會(huì)保存一份簽名公鑰證書、CA公鑰證書以及證書吊銷列表，其認(rèn)證流程如圖3所示。

首先Keystone初始化時(shí)，Keystone生成CA的公鑰CA.pem和私鑰CA.key。同時(shí)，產(chǎn)生Keystone自己的公鑰keystone.pub和私鑰keystone.key，然后對(duì)keystone.pub進(jìn)行CA的簽名，生成keystone. pem。當(dāng)用戶使用有效用戶名及密碼在Keystone通過認(rèn)證后，Keystone就使用keystone.key對(duì)用戶的基本信息進(jìn)行加密，并將密文作為Token返回給用戶。用戶向服務(wù)模塊發(fā)出服務(wù)請(qǐng)求時(shí)，服務(wù)模塊首先要拿到Keystone的證書keystone.pem，然后使用keystone.pub對(duì)其解密，獲取用戶的信息，進(jìn)而判斷該用戶的合法性。此外還需要對(duì)用戶Token的合法時(shí)間，以及Token是否存在進(jìn)行判斷。

圖3　PKI方式認(rèn)證流程

2.3兩種認(rèn)證方式的比較

UUID格式比較簡(jiǎn)單，就是隨機(jī)地生成一串UUID作為Token的ID，而PKI格式是通過OpenSSL首先對(duì)Token的內(nèi)容進(jìn)行簽名，然后將簽名的結(jié)果作為Token的ID；UUID方式中每個(gè)請(qǐng)求都帶著一個(gè)Token，Token不管到哪個(gè)服務(wù)，該服務(wù)都會(huì)先去驗(yàn)證Token的合法性，然后再去執(zhí)行用戶請(qǐng)求的操作，所以每個(gè)請(qǐng)求都會(huì)經(jīng)過Keystone，在大量業(yè)務(wù)場(chǎng)景下，會(huì)造成Keystone負(fù)載很重。PKI中沒有服務(wù)模塊再去Keystone發(fā)請(qǐng)求進(jìn)行驗(yàn)證的過程，因此PKI方式能減輕Keystone的壓力。

3　Keystone安全性改進(jìn)

Keystone并沒有提供方法在重復(fù)失敗登錄時(shí)限制賬戶訪問［4］，重復(fù)失敗登錄可能存在暴力破解攻擊行為。通過經(jīng)常審查日志，可以確定未經(jīng)授權(quán)擅自訪問的賬戶；用戶名/密碼是最常見的認(rèn)證方式，Keystone沒有對(duì)用戶密碼提出明確的要求，如密碼的長(zhǎng)度和字符的選定。利用外部的身份認(rèn)證系統(tǒng)能使弱密碼的風(fēng)險(xiǎn)最小化；OpenStack的客戶端和服務(wù)器之間的通信是通過RESTful API來實(shí)現(xiàn)的。各個(gè)組件或者在命令行執(zhí)行Keystone命令時(shí)，都要通過Keystone Client來向Keystone服務(wù)器發(fā)送HTTP請(qǐng)求，在這個(gè)過程中，用戶名密碼以及通信協(xié)議可能受到攻擊。

3.1基于USB Key的身份認(rèn)證

USB Key技術(shù)是一種雙因子認(rèn)證技術(shù)，能夠保證身份認(rèn)證的安全可靠。用戶只有同時(shí)擁有USB Key及PIN碼才能登錄系統(tǒng)。USB Key會(huì)由OpenStack用戶本人保管，即便USB Key丟失了，只要PIN碼沒被攻擊者竊取，用戶的身份就不會(huì)被仿冒；如果PIN碼被攻擊者竊取了，沒有USB Key硬件，攻擊者也無(wú)法代替合法用戶完成身份認(rèn)證。將USB Key技術(shù)應(yīng)用到Keystone中，能避免用戶使用弱密碼帶來的風(fēng)險(xiǎn)。

另外USB Key具有一定的數(shù)據(jù)存儲(chǔ)空間，用戶可以存儲(chǔ)密鑰及數(shù)字證書［5］，用戶的密鑰一旦寫入不可讀出，USB Key的數(shù)據(jù)處理機(jī)制使得它成為密鑰和數(shù)字證書的安全載體。

改進(jìn)方案基于USB Key技術(shù)，并結(jié)合PKI技術(shù)能有效保證OpenStack用戶身份和數(shù)據(jù)傳輸中安全性。PKI需要在Keystone中單獨(dú)實(shí)施，作為證書頒發(fā)機(jī)構(gòu)，并且通過對(duì)數(shù)字證書進(jìn)行加密運(yùn)算，保證了數(shù)字證書傳輸?shù)谋Ｃ苄?。用戶使用USB Key存儲(chǔ)PKI頒發(fā)的密鑰和數(shù)字證書，只有持有USB Key的用戶才能對(duì)數(shù)字證書進(jìn)行操作，這就杜絕了證書被非法復(fù)制的可能性，用戶的密鑰不會(huì)在網(wǎng)絡(luò)中傳播，所有有關(guān)密鑰的運(yùn)算都將在USB Key中實(shí)現(xiàn)，增強(qiáng)了OpenStack用戶身份認(rèn)證的安全性。方案如圖4所示。

圖4　Keystone改進(jìn)方案

方案中需要設(shè)置客戶代理，負(fù)責(zé)用戶與Keystone之間完成雙向認(rèn)證。用戶訪問業(yè)務(wù)服務(wù)器的訪問Token需要客戶代理生成，業(yè)務(wù)服務(wù)器發(fā)送給用戶的授權(quán)Token也需要客戶代理負(fù)責(zé)接收?？蛻舸磉€用于維護(hù)用戶與Keystone以及用戶與業(yè)務(wù)服務(wù)器之間的共享密鑰。Keystone和業(yè)務(wù)服務(wù)器之間設(shè)置業(yè)務(wù)代理，負(fù)責(zé)二者之間的密鑰協(xié)商工作，并維護(hù)共享密鑰，對(duì)用戶的訪問Token進(jìn)行鑒權(quán)，并返回反向認(rèn)證Token給用戶。

3.2業(yè)務(wù)鑒權(quán)

業(yè)務(wù)鑒權(quán)的主要工作包括業(yè)務(wù)系統(tǒng)對(duì)Open-Stack用戶的角色信息進(jìn)行鑒別，以及用戶對(duì)業(yè)務(wù)系統(tǒng)的合法性進(jìn)行反向認(rèn)證。用戶向客戶代理申請(qǐng)并獲得訪問業(yè)務(wù)系統(tǒng)的訪問Token。用戶將訪問Token發(fā)送到業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)會(huì)將訪問Token和業(yè)務(wù)系統(tǒng)標(biāo)識(shí)一起發(fā)送給業(yè)務(wù)代理。業(yè)務(wù)代理驗(yàn)證訪問Token和業(yè)務(wù)系統(tǒng)標(biāo)識(shí)，并為業(yè)務(wù)系統(tǒng)生成反向認(rèn)證Token；業(yè)務(wù)系統(tǒng)將反向認(rèn)證Token反饋給用戶。用戶發(fā)送反向認(rèn)證Token到客戶代理，客戶代理根據(jù)反向認(rèn)證Token里包含的用戶標(biāo)識(shí)和業(yè)務(wù)系統(tǒng)標(biāo)識(shí)判斷業(yè)務(wù)系統(tǒng)的合法性并將結(jié)果返回給用戶。完成以上操作后，OpenStack用戶再發(fā)送業(yè)務(wù)訪問請(qǐng)求時(shí)，業(yè)務(wù)系統(tǒng)通過讀取請(qǐng)求中授權(quán)Token包含的用戶角色信息，對(duì)用戶采取基于角色的訪問控制［6］。

3.3證書頒發(fā)機(jī)構(gòu)

在方案中PKI作為證書頒發(fā)機(jī)構(gòu)，需要單獨(dú)在Keystone中實(shí)施。負(fù)責(zé)為OpenStack用戶頒發(fā)和管理用戶公私鑰及數(shù)字證書；向Keystone提供證書下載以及證書吊銷列表下載；實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)對(duì)數(shù)字證書的在線驗(yàn)證功能。

3.4工作流程

方案工作流程如下：

（1）首先由證書頒發(fā)機(jī)構(gòu)分別為Keystone、用戶和業(yè)務(wù)系統(tǒng)頒發(fā)密鑰和數(shù)字證書。用戶使用USB Key存儲(chǔ)私鑰和數(shù)字證書；

（2）Keystone開始提供認(rèn)證服務(wù)之前，需要通過PKI的服務(wù)接口，對(duì)全部用戶的證書進(jìn)行下載。由于證書中包含用戶的信息，從而實(shí)現(xiàn)了Keystone對(duì)用戶統(tǒng)一管理；

（3）業(yè)務(wù)服務(wù)器啟動(dòng)之前，需要與Keystone完成一次雙向認(rèn)證，以及協(xié)商共享密鑰；

（4）業(yè)務(wù)系統(tǒng)向Keystone提交自己擁有的角色類型信息以及身份標(biāo)識(shí)，從而為用戶分配角色；

（5）用戶在發(fā)送訪問請(qǐng)求前，先完成與Keystone的雙向認(rèn)證，即使用USB Key，并輸入已知的PIN碼。認(rèn)證通過之后，用戶獲得與業(yè)務(wù)服務(wù)器，以及與Keystone之間的共享密鑰，在這個(gè)過程中，業(yè)務(wù)系統(tǒng)的授權(quán)Token也會(huì)發(fā)送給用戶；

（6）客戶代理為用戶生成訪問Token，用戶向業(yè)務(wù)服務(wù)器發(fā)送訪問請(qǐng)求時(shí)，先提交此Token。業(yè)務(wù)服務(wù)器使用共享密鑰對(duì)Token合法性進(jìn)行驗(yàn)證，驗(yàn)證通過后，用戶會(huì)得到一個(gè)反正認(rèn)證Token，從而用戶和業(yè)務(wù)系統(tǒng)之間實(shí)現(xiàn)了雙向認(rèn)證；

（7）完成與業(yè)務(wù)系統(tǒng)的雙向認(rèn)證后，用戶對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行下一步訪問，業(yè)務(wù)系統(tǒng)通過Token中用戶角色信息，實(shí)施基于角色的訪問控制。

3.5改進(jìn)方案安全性分析

（1）防范身份假冒攻擊。數(shù)字證書作為用戶唯一標(biāo)識(shí)，PKI提供了驗(yàn)證這些證書的服務(wù)接口，攻擊者可以通過接口下載到任意用戶的證書。但是攻擊者需要得到私鑰以向系統(tǒng)證明擁有的證書的合法性，由于私鑰存儲(chǔ)在USB Key中，攻擊者無(wú)法假冒身份完成與Keystone之間的認(rèn)證。

（2）防范非法授權(quán)。方案中對(duì)授權(quán)Token進(jìn)行了加密運(yùn)算，加密密鑰只有Keystone和業(yè)務(wù)代理持有。為了抵御攻擊者對(duì)Keystone的攻擊，方案采用的是雙向認(rèn)證機(jī)制，不僅Keystone要驗(yàn)證請(qǐng)求者的身份，請(qǐng)求者也可以對(duì)Keystone的合法性進(jìn)行驗(yàn)證。

（3）防范DoS攻擊。用戶向Keystone發(fā)送登錄和授權(quán)請(qǐng)求時(shí)，需同時(shí)持有USB Key和PIN碼。否則Keystone可以拒絕此次請(qǐng)求，有效抵御了DoS攻擊。

4　實(shí)驗(yàn)云平臺(tái)應(yīng)用效果

為了方便信息化中心的日產(chǎn)管理，在學(xué)校校園網(wǎng)應(yīng)用了此方案。方案部署環(huán)境使用了4臺(tái)服務(wù)器，Server1負(fù)責(zé)Keystone身份認(rèn)證服務(wù)，Server2為PKI證書頒發(fā)機(jī)構(gòu)，Server3和Server4為業(yè)務(wù)服務(wù)器，操作系統(tǒng)均為Ubuntu 14.04 LTS。各服務(wù)器配置信息如表1所示。

表1　服務(wù)器配置信息

實(shí)驗(yàn)云平臺(tái)應(yīng)用于信息化中心日常管理中，用戶使用云平臺(tái)前需從PKI下載個(gè)人數(shù)字證書及私鑰，并存儲(chǔ)至USB Key中。用戶在終端持有USB Key并輸入正確的PIN碼，通過云平臺(tái)驗(yàn)證后，用戶可以向云平臺(tái)上傳自定義鏡像文件；創(chuàng)建并訪問云主機(jī)，向云主機(jī)添加云硬盤；用戶也可以創(chuàng)建快照，捕捉硬盤在某一時(shí)刻的狀態(tài)，未來可以隨時(shí)恢復(fù)到這個(gè)狀態(tài)。通過實(shí)踐證明，改進(jìn)方案在實(shí)驗(yàn)云平臺(tái)實(shí)施，滿足了用戶對(duì)云存儲(chǔ)平臺(tái)的安全需求和使用需求。

5　結(jié)論

本文重點(diǎn)對(duì)Keystone的身份認(rèn)證機(jī)制進(jìn)行了研究，分析了Keystone的安全性在整個(gè)系統(tǒng)中的重要性。設(shè)計(jì)了一套基于USB Key和PKI技術(shù)的改進(jìn)方案，實(shí)現(xiàn)了對(duì)用戶的雙因子認(rèn)證，保證了用戶密鑰和數(shù)字證書的保密性，采用基于角色的訪問控制進(jìn)行業(yè)務(wù)鑒權(quán)，設(shè)置反向令牌，用戶和業(yè)務(wù)系統(tǒng)間也能實(shí)現(xiàn)雙向認(rèn)證，OpenStack身份認(rèn)證安全性得到了改進(jìn)。改進(jìn)方案已在校園網(wǎng)云存儲(chǔ)平臺(tái)上應(yīng)用，下一步研究工作主要是將更多的身份認(rèn)證技術(shù)引入到Keystone中，得到最佳的解決方案。

［1］ 王霄飛.基于OpenStack構(gòu)建私有云計(jì)算平臺(tái)［D］.廣州：華南理工大學(xué)，2012.

［2］ 姜毅，王偉軍，曹麗，等.基于開源軟件的私有云計(jì)算平臺(tái)構(gòu)建［J］.電信科學(xué)，2013（01）：68-75.

［3］John Rhoton.發(fā)現(xiàn)OpenStack：Identity組件Keystone ［EB/OL］.http：//www.ibm.com/developerworks/cn/ cloud/library/cl-openstack-keystone/.2014.

［4］John David Cooper.Analysis of security in cloud platforms using OpenStack as case study［D］.Agder：TheUniversityofAgderFacultyofEngineering and Science，2013.

［5］ 羅斌，裘正定.網(wǎng)絡(luò)身份認(rèn)證新技術(shù)［J］.計(jì)算機(jī)安全，2005（10）：29-31.

［6］ 從立鋼，郭利菊.云存儲(chǔ)系統(tǒng)安全技術(shù)研究［J］.長(zhǎng)春理工大學(xué)學(xué)報(bào)：自然科學(xué)版，2014，37（03）：132-134.

Security Analysis and Improvement of OpenStack Identity Authentication

WU Yuning1，WANG Huan1，2，SU Wei1，2，YAN Ye1，QIN Xue1
（1.School of Computer Science and Technology，Changchun University of Science and Technology，Changchun 130022；2.Information of Center，Changchun University of Science and Technology，Changchun 130022）

OpenStack is an open source cloud platform management program，designed to provide reliable cloud deployment and good scalability，but there are some security problems about repeat failed login，password strength，key and digital certificate management and so on.The paper uses the USB Key to store the user's key and digital certificate，which can guarantee the double factor authentication.The business authentication is based on the role of access control，while the reverse authentication token is set up to realize two-way authentication between users and business systems. Use the PKI in the Keystone to be responsible for the key and certificates and verification of digital certificates，which enhances the security of authentication.The improvement of the security of OpenStack identity authentication is realized. Finally，the security of the improved scheme is analyzed.The scheme has been applied to the campus network cloud storage platform，and it provides a reference for the improvement of OpenStack security.

cloud computing；OpenStack；identity authentication；safety

TP399

A

1672-9870（2015）05-0112-04

2015-06-24

吳玉寧（1989-），男，碩士研究生，E-mail：wuyuning0513@126.com

王歡（1987-），男，碩士，助理工程師，E-mail：wanghuan@cust.edu.cn