Keystone跨域身份聯合研究與實現.pdf

1、隨著云計算的不斷發(fā)展，越來越多的組織開始進入云計算的領域。由于其技術成熟，OpenStack開源云平臺成為了大多數組織的選擇，并已成為了事實上的IaaS基礎設施的部署標準。然而這些部署大多都是以內部私有云的方式進行部署的，雖然能夠通過組織內部資源共享的方式來提高企業(yè)的資源利用率并產生經濟效益，但是對于未來要實現的更廣泛共享的經濟模式來講這是遠遠不夠的。未來通過組織與組織之間建立廣泛的信任關系來聯合部署混合云的模式將會成為主流。然而要推動

2、各組織通過建立廣泛的信任關系來實現更廣泛的資源共享和服務聯合，一個關鍵的障礙就是安全問題。如何安全地建立信任關系，如何確保實際共享的資源就是組織所試圖共享的資源，如何提高用戶的體驗并降低由于用戶習慣所帶來的間接安全隱患，如何有效確定安全事故的來源和安全事故的責任就成為當前亟待解決的問題。
　　本文基于上述安全需求，在分析OpenStack內部認證授權機制和當前已有的幾種身份聯合解決方案基礎之上，提出了一種基于身份聯合的Keysto

3、ne域間資源安全共享方案。該方案使用基于SAML規(guī)范和Shibboleth架構來對Keystone進行改造，使得其能夠像Shibboleth的IDP和SP一樣進行身份聯合。同時為了實現對云平臺共享資源的細粒度控制，將身份聯合所帶來的潛在安全隱患進行隔離，采用Keystone v3.0新支持的概念“域”來對需要共享的資源進行隔離，使得信任關系實際上只是建立信任域上，而不是整個OpenStack云平臺的資源。采取本方案身份聯合后，組織和組織