OpenStack平台身份管理安全研究与开发

作     者：邱翔宇 

作者单位：西安电子科技大学 

学位级别：硕士

导师姓名：苏锐丹;吴德

授予年度：2022年

学科分类：08[工学] 0812[工学-计算机科学与技术（可授工学、理学学位）] 081202[工学-计算机软件与理论] 

主      题：OpenStack 安全认证 国密 Keycloak Keystone 

摘      要：OpenStack是由一系列开源项目结合而成的云平台,能够提供可靠的云部署方案,是目前云计算研究领域中较为热门的项目。在OpenStack中负责认证和授权的组件是Keystone,用户和OpenStack的其他组件都需要Keystone为其提供认证和授权服务,但Keystone只提供了简单的认证流程。对于OpenStack的安全认证方式,其中应用最为广泛的是基于用户名/密码的认证方式,这存在诸多安全性问题,且OpenStack不能满足用户对不同安全等级的认证方式进行选择的需求,同时随着国家商用密码算法产业化应用需求的增加,大量企业对安全认证中使用的加解密算法有了新的需求。因此在实现生产应用时有必要通过OpenStack提供的第三方接口实现更加可靠的安全认证方案。本文针对OpenStack存在的安全认证问题,对OpenStack原有的认证框架进行了拓展,实现了更加安全的认证模式,具体的工作内容如下:首先,通过Keystone的联合认证功能,结合身份验证与访问管理的开源工具Keycloak对OpenStack验证用户身份的渠道进行拓展,为用户登录OpenStack云环境提供了更多的选择。同时将云服务提供商对用户的信息管理和维护交给Keycloak完成,使得用户信息的管理更加方便和安全。其次,在以Keycloak作为OpenStack的认证模块的基础上,对Keycloak的认证方式进行扩展。通过Keycloak提供的SPI实现了多种不同安全等级的认证方式,包括手机短信验证码认证、基于国密算法的TOTP认证、基于国密算法的USB Key认证等,并完善了系统的登录和注册流程。另外,通过对OpenStack安全认证架构的分析,对其认证过程中密码复杂度、登录失败处理、密码的加密存储等存在不足的方面提出了修改方案。最后,本文基于Linux系统搭建了实验环境,对上述方案进行了功能测试。结果表明:管理员可以通过Keycloak定制OpenStack的认证流程,用户可以根据不同的安全需求自行选择认证方式,同时对密码复杂度等进行修改的方案能有效的提高系统的安全性。