CN108512832A - 一种针对OpenStack身份认证的安全增强方法 - Google Patents
一种针对OpenStack身份认证的安全增强方法 Download PDFInfo
- Publication number
- CN108512832A CN108512832A CN201810183889.XA CN201810183889A CN108512832A CN 108512832 A CN108512832 A CN 108512832A CN 201810183889 A CN201810183889 A CN 201810183889A CN 108512832 A CN108512832 A CN 108512832A
- Authority
- CN
- China
- Prior art keywords
- client
- openstack
- control node
- server
- signing messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明涉及一种针对OpenStack身份认证的安全增强方法,包括:(1)在客户端插入USB Key设备,输入PIN码,验证通过后,成功启用该USB Key设备;(2)在客户端与控制节点服务器端之间完成基于USB Key的身份认证;(3)用户在客户端输入密码,Keystone组件进行认证,认证通过后,向客户端返回token,(4)客户端将token、相应请求发送到Nova组件,访问OpenStack云系统。本发明通过USBKey认证方式,确保用户身份的合法性,使得云计算环境具有更高的安全性,保证了OpenStack用户的合法性,杜绝了伪造用户身份的情况。
Description
技术领域
本发明涉及一种针对OpenStack身份认证的安全增强方法,属于云计算安全保密技术领域。
背景技术
OpenStack是一个开源的云计算管理平台项目,其安全性至关重要。Keystone(OpenStack Identity Service)是OpenStack框架中负责身份验证、服务规则和服务令牌的组件。OpenStack其他服务需要通过Keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的调用都需要经过Keystone的身份验证,来获得目标服务的Endpoint来找到目标服务。如果用户每次都采用用户名/密码访问OpenStack API,容易泄露用户信息,带来安全隐患。所以,OpenStack要求用户访问其API前,必须先获取token,然后用token作为用户凭据访问OpenStack API。
OpenStack中,用户凭借正确的用户名/密码向Keystone证明自己的身份,然后才能得到token。为了提高安全性,Keystone支持的token类型逐步完善,目前已经支持uuid、pkiz、pki、fernet四种toke类型。但是,用户向Keystone证明自己身份时,目前只能采用用户名/密码的方式,即基于用户名和口令的身份认证方式,这是最原始、最简单、也是最不安全的认证方式。由于用户名和口令很容易外泄或者通过口令猜测、线路窃听、重放攻击等技术手段获取,用户的身份很容易被伪造,从而造成用户的损失。因此,必须为OpenStack提供更加安全的身份认证方式。
目前,常用的身份认证除了基于用户名和口令的身份认证方式,还有基于生物特征识别技术的身份认证方式和基于USBKey的身份认证方式。基于生物特征识别技术的身份认证方式利用的是人类生物特征的唯一性,比如指纹、声音、手迹、虹膜等都是唯一的。这种认证方式非常的安全并且有效,但是它也存在很多的问题。生物特征识别技术非常复杂,而且技术不成熟,实施成本昂贵,因此不适合大范围的推广。基于USBKey的身份认证方式是电子政务和电子商务领域中最流行的一种身份认证方式。USBKey结合了现代密码学技术、智能卡技术和USB技术,是新一代的身份认证产品,具有安全性高、技术成熟、成本低的特点,适合于大范围的推广使用。
中国专利文献CN106936760A公开了一种基于USBKey登录Openstack云系统虚拟机的装置和方法,用户可以使用安全的USBKey来登录到虚拟机,可以保证整个通信过程的安全性和可靠性;此外,通过CA认证中心和用户认证中心,来保证用户的合法性。但是,1、该专利云系统用户认证过程中需要与OpenStack中原有数据库交互,与OpenStack紧耦合,而OpenStack版本更新较快,紧耦合会带来一定的阻碍;2、该专利仅向服务器证明客户端的合法性,却未向客户端证明服务器的合法性。
发明内容
针对现有技术的不足,本发明提供了一种针对OpenStack身份认证的安全增强方法;
本发明在OpenStack中,添加基于USBKey的身份认证方式,与基于口令的身份认证方式结合,共同完成OpenStack身份认证功能,实现OpenStack身份认证的安全增强,打造更加安全的云计算环境。
本发明的技术方案为:
一种针对OpenStack身份认证的安全增强方法,运行于OpenStack云系统,所述OpenStack云系统包括客户端、OpenStack平台,所述客户端连接所述OpenStack平台,所述OpenStack平台包括控制节点以及与该控制节点连接的多个计算节点;所述客户端和所述控制节点均连接证书颁发中心;包括:
(1)在所述客户端插入USBKey设备,输入PIN码,验证通过后,成功启用该USBKey设备;
(2)在所述客户端与所述控制节点之间完成基于USBKey设备的身份认证;
(3)用户在所述客户端输入密码,Keystone组件进行认证,认证通过后,向所述客户端返回token,进入步骤(4);否则,重复该步骤(3);
(4)所述客户端将token、相应请求发送到Nova组件,Nova组件完成相应请求。例如,客户端要发起创建虚拟机等请求时,需要将token和创建虚拟机请求一起发送到Nova组件,由Nova组件负责后续虚拟机具体的创建过程。
本发明在OpenStack中,添加基于USBKey的身份认证方式,与基于口令的身份认证方式结合,共同完成OpenStack身份认证功能,实现OpenStack身份认证的安全增强。
进一步优选的,所述步骤(2),在所述客户端与所述控制节点之间完成基于USBKey设备的身份认证,包括:
A、所述客户端向所述控制节点发送签名信息S1,S1=(r1+server)sk-c,r1为随机数,server为服务器名称,sk-c为客户端USBKey中的私钥;
B、所述控制节点接收到签名信息S1后,使用pk-c解密该签名信息S1,获得r1’+server’,pk-c为客户端USBKey中对应的公钥,r1’为r1加密再解密后的数据,server’为server加密再解密后的数据;
C、所述控制节点向所述客户端发送签名信息S2,S2=(r1’+r2+client)sk-s,r2为随机数,client为客户端名称,sk-s为服务器的私钥;
D、所述客户端接收到签名信息S2后,使用pk-s解密该签名信息S2,获得r1’+r2’+client;pk-s为服务器对应的公钥、r2’为r2加密再解密后的数据,client’为client加密再解密后的数据;比较r1和r1’两个随机数是否相等,如果相等,进入步骤E,否则,身份认证失败,结束;
E、所述客户端向所述控制节点发送签名信息S3,S3=(r2’)sk-c;
F、所述控制节点接收到签名信息S3后,使用pk-c解密该签名信息S3,获得r2’;比较r2和r2’两个随机数是否相等,如果相等,进入步骤G,否则,身份认证失败,结束;
G、USB Key认证通过。
本发明的有益效果为:
1、在OpenStack管理的云计算环境下,本发明为客户端配置USB Key设备,通过USBKey认证方式,确保用户身份和控制节点服务器身份的合法性,比原有的基于用户和口令的认证方式相比,使得云计算环境具有更高的安全性,保证了OpenStack用户的合法性,杜绝了伪造用户身份的情况。
2、基于USBKey的OpenStack身份认证过程与OpenStack自身的认证松耦合,能够兼容不同OpenStack版本。
附图说明
图1为本发明OpenStack云系统的结构示意图;
图2为本发明针对OpenStack身份认证的安全增强方法的流程示意图;
具体实施方式
下面结合说明书附图和实施例对本发明作进一步限定,但不限于此。
实施例
一种针对OpenStack身份认证的安全增强方法,如图2所示,运行于OpenStack云系统,OpenStack云系统包括客户端、OpenStack平台,客户端连接OpenStack平台,OpenStack平台包括控制节点以及与该控制节点连接的多个计算节点;客户端和控制节点均连接证书颁发中心;如图1所示,包括:
(1)在客户端插入USBKey设备,输入PIN码,验证通过后,成功启用该USBKey设备;
(2)在客户端与控制节点之间完成基于USB Key设备的身份认证;包括:
A、客户端向控制节点发送签名信息S1,S1=(r1+server)sk-c,r1为随机数,server为服务器名称,sk-c为客户端USB Key中的私钥;
B、控制节点接收到签名信息S1后,使用pk-c解密该签名信息S1,获得r1’+server’,pk-c为客户端USB Key中对应的公钥,r1’为r1加密再解密后的数据,server’为server加密再解密后的数据;
C、控制节点向客户端发送签名信息S2,S2=(r1’+r2+client)sk-s,r2为随机数,client为客户端名称,sk-s为服务器的私钥;
D、客户端接收到签名信息S2后,使用pk-s解密该签名信息S2,获得r1’+r2’+client;pk-s为服务器对应的公钥、r2’为r2加密再解密后的数据,client’为client加密再解密后的数据;比较r1和r1’两个随机数是否相等,如果相等,进入步骤E,否则,身份认证失败,结束;
E、客户端向控制节点发送签名信息S3,S3=(r2’)sk-c;
F、控制节点接收到签名信息S3后,使用pk-c解密该签名信息S3,获得r2’;比较r2和r2’两个随机数是否相等,如果相等,进入步骤G,否则,身份认证失败,结束;
G、USB Key认证通过。
(3)用户在客户端输入密码,Keystone组件进行认证,认证通过后,向客户端返回token,进入步骤(4);否则,重复该步骤(3);
(4)客户端将token、相应请求发送到Nova组件,Nova组件完成相应请求。例如,客户端要发起创建虚拟机等请求时,需要将token和创建虚拟机请求一起发送到Nova组件,由Nova组件负责后续虚拟机具体的创建过程。
本发明在OpenStack中,添加基于USBKey的身份认证方式,与基于口令的身份认证方式结合,共同完成OpenStack身份认证功能,实现OpenStack身份认证的安全增强。
Claims (2)
1.一种针对OpenStack身份认证的安全增强方法,其特征在于,运行于OpenStack云系统,所述OpenStack云系统包括客户端、OpenStack平台,所述客户端连接所述OpenStack平台,所述OpenStack平台包括控制节点以及与该控制节点连接的多个计算节点;所述客户端和所述控制节点均连接证书颁发中心;包括:
(1)在所述客户端插入USBKey设备,输入PIN码,验证通过后,成功启用该USBKey设备;
(2)在所述客户端与所述控制节点之间完成基于USB Key设备的身份认证;
(3)用户在所述客户端输入密码,Keystone组件进行认证,认证通过后,向所述客户端返回token,进入步骤(4);否则,重复该步骤(3);
(4)所述客户端将token、相应请求发送到Nova组件,Nova组件完成相应请求。
2.根据权利要求1所述的一种针对OpenStack身份认证的安全增强方法,其特征在于,所述步骤(2),在所述客户端与所述控制节点之间完成基于USB Key设备的身份认证,包括:
A、所述客户端向所述控制节点发送签名信息S1,S1=(r1+server)sk-c,r1为随机数,server为服务器名称,sk-c为客户端USB Key中的私钥;
B、所述控制节点接收到签名信息S1后,使用pk-c解密该签名信息S1,获得r1’+server’,pk-c为客户端USB Key中对应的公钥,r1’为r1加密再解密后的数据,server’为server加密再解密后的数据;
C、所述控制节点向所述客户端发送签名信息S2,S2=(r1’+r2+client)sk-s,r2为随机数,client为客户端名称,sk-s为服务器的私钥;
D、所述客户端接收到签名信息S2后,使用pk-s解密该签名信息S2,获得r1’+r2’+client;pk-s为服务器对应的公钥、r2’为r2加密再解密后的数据,client’为client加密再解密后的数据;比较r1和r1’两个随机数是否相等,如果相等,进入步骤E,否则,身份认证失败,结束;
E、所述客户端向所述控制节点发送签名信息S3,S3=(r2’)sk-c;
F、所述控制节点接收到签名信息S3后,使用pk-c解密该签名信息S3,获得r2’;比较r2和r2’两个随机数是否相等,如果相等,进入步骤G,否则,身份认证失败,结束;
G、USB Key认证通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810183889.XA CN108512832A (zh) | 2018-03-07 | 2018-03-07 | 一种针对OpenStack身份认证的安全增强方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810183889.XA CN108512832A (zh) | 2018-03-07 | 2018-03-07 | 一种针对OpenStack身份认证的安全增强方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108512832A true CN108512832A (zh) | 2018-09-07 |
Family
ID=63377257
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810183889.XA Pending CN108512832A (zh) | 2018-03-07 | 2018-03-07 | 一种针对OpenStack身份认证的安全增强方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108512832A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109344632A (zh) * | 2018-09-28 | 2019-02-15 | 山东超越数控电子股份有限公司 | 一种基于硬件加密卡的openstack卷加密方法 |
| CN114675938A (zh) * | 2022-04-21 | 2022-06-28 | 江苏安超云软件有限公司 | 一种异构集群虚拟机迁移方法、系统及云平台 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102567683A (zh) * | 2011-12-31 | 2012-07-11 | 曙光信息产业股份有限公司 | 云计算系统和云计算实现方法 |
| CN103391197A (zh) * | 2013-07-19 | 2013-11-13 | 武汉大学 | 一种基于手机令牌和NFC技术的Web身份认证方法 |
| US8640206B2 (en) * | 2010-08-20 | 2014-01-28 | Regis J. Betsch | System and method for controlling access to information stored at plurality of sites |
-
2018
- 2018-03-07 CN CN201810183889.XA patent/CN108512832A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8640206B2 (en) * | 2010-08-20 | 2014-01-28 | Regis J. Betsch | System and method for controlling access to information stored at plurality of sites |
| CN102567683A (zh) * | 2011-12-31 | 2012-07-11 | 曙光信息产业股份有限公司 | 云计算系统和云计算实现方法 |
| CN103391197A (zh) * | 2013-07-19 | 2013-11-13 | 武汉大学 | 一种基于手机令牌和NFC技术的Web身份认证方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109344632A (zh) * | 2018-09-28 | 2019-02-15 | 山东超越数控电子股份有限公司 | 一种基于硬件加密卡的openstack卷加密方法 |
| CN114675938A (zh) * | 2022-04-21 | 2022-06-28 | 江苏安超云软件有限公司 | 一种异构集群虚拟机迁移方法、系统及云平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108810029B (zh) | 一种微服务架构服务间鉴权系统及优化方法 | |
| US10516538B2 (en) | System and method for digitally signing documents using biometric data in a blockchain or PKI | |
| JP7121459B2 (ja) | ハード/ソフトトークン検証を介したブロックチェーン認証 | |
| US11329981B2 (en) | Issuing, storing and verifying a rich credential | |
| US11824991B2 (en) | Securing transactions with a blockchain network | |
| US10728027B2 (en) | One-time passcodes with asymmetric keys | |
| CN111931144B (zh) | 一种操作系统与业务应用统一安全登录认证方法及装置 | |
| EP4016920A1 (en) | Confidential authentication and provisioning | |
| CN105743638B (zh) | 基于b/s架构系统客户端授权认证的方法 | |
| CN107733933B (zh) | 一种基于生物识别技术的双因子身份认证的方法及系统 | |
| CN107294725A (zh) | 一种多服务器环境下的三因素认证方法 | |
| Nagaraju et al. | SecAuthn: Provably secure multi-factor authentication for the cloud computing systems | |
| Odelu et al. | A secure and efficient ECC‐based user anonymity preserving single sign‐on scheme for distributed computer networks | |
| Kim et al. | A design of one-time password mechanism using public key infrastructure | |
| CN106533677B (zh) | 一种用户登录方法、用户终端及服务器 | |
| KR102157695B1 (ko) | 익명 디지털 아이덴티티 수립 방법 | |
| CN111010279A (zh) | 一种基于零知识证明的远程多因子认证协议 | |
| Kizza | Authentication | |
| Wong et al. | Secure biometric-based authentication for cloud computing | |
| CN108512832A (zh) | 一种针对OpenStack身份认证的安全增强方法 | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| CN113545004A (zh) | 具有减少攻击面的认证系统 | |
| Wong et al. | Towards Biometric-based Authentication for Cloud Computing. | |
| Form | Content | |
| Wu et al. | A blockchain-based hierarchical authentication scheme for multiserver architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180907 |
|
| WD01 | Invention patent application deemed withdrawn after publication |