本发明专利技术公开了一种基于密钥算法和日志审计的Openstack访问控制方法,包括:S1)获取当前用户的账号权限,资源访问路径信息以及访问IP地址信息;S2)记录用户信息,生成安全审计登陆日志,分析是否存在异常用户以及异常IP地址路径;S3)读取Openstack连接信息和安全策略,包括密钥算法策略,底层X86平台保护策略以及代码函数安全读取策略;S4)若用户访问符合安全策略,便直接登陆,反之则判定用户为非法访问。本发明专利技术通过多层维度和审计处理流程对Openstack安全进行优化,从业务角度,安全全局考虑,给出一种可靠的安全实施方法,能够保持云平台高效运行,有效避免因安全引起的相关性能问题。
【技术实现步骤摘要】
本专利技术涉及一种Openstack访问控制方法,尤其涉及一种基于密钥算法和日志审计的Openstack访问控制方法。
技术介绍
近年来,云计算发展迅速,特别是开源云OpenStack因其自带灵活性的DNA越发受到关注,与唱衰OpenStack,相反的是OpenStack积累了广泛的商业用户基础。然而作为最大的开源云,其运行稳定需要解决监控、管理、计费以及指标衡量等一系列问题。此外,随着网络安全上升至国家战略,防止出现“棱镜门”事件,“安全可控”成为阻碍云特别是开源云持续发展的最大阻力。基于此,真正实现从平台到安全解决方案的自主、可控、标准化,无后门,提供开放、可靠、安全的云服务,显得尤为重要。Openstack是一个SOA的架构,理论上各个子项目独立提供相关的服务,互不依赖。例如User提供登陆,Nova提供计算服务,Quantum提供对象存储服务,Glance提供镜像服务等。但是实际上,所有组件都依赖于Keystone提供3A(Account,Authentication,Authorization)服务。除了3A之外,Keystone还对外提供服务目录(ServiceCatalog)服务,类似于UDDI服务的概念,用户(无论是Dashboard,APIClient)都需要访问Keystone获取服务列表,以及每个服务的地址(Openstack中称为Endpoint),Keystone与其他服务交互如图1所示。目前市面上Openstack云平台都是以keystone组件为核心的身份认证与访问控制的,用户都是通过keystone的认证权限才能调用其他服务;比如调用网络组件Netutron,然后提供了安全组策略设置功能,用户在自行设置防火墙规则过滤不符合规则的数据请求,每个用户就可生成多个密钥对,再与自己的个人虚拟机资源绑定,用户凭借特有的私钥证书访问虚拟机。但是,现有安全手段对openstack平台整体运行状态有两大方面不足:一方面,监控相对薄弱,不够全面,缺少对用户访问行为、Openstack状态行为等关键信息记录。当云平台易受到恶意内部用户的访问攻击、破坏、甚至云资源的滥用等安全威胁。另一方面,由于X86架构代码公开,缺少字节码加解密设计和代码的函数细粒度的保护,这样容易受到外部黑客的攻击,从而造成不必要的损失。由上可见,随着默认Openstack架构系统部署上线后,平台安全直接影响着默认Openstack架构集群使用的持续性、高可用性、生命周期、应用访问的安全等,避免因为内部破坏和外部攻击,导致Openstack无法继续工作,因此需要一种新的基于密钥Openstack安全优化方法,既可解决内部审计问题又可解决外部异常攻击等。现将默认Openstack架构技术缺点总结如下:1)、缺乏审计安全:Openstack目前主要以keystone组件为核心的身份认证与访问控制功能,但是现有安全手段对Openstack平台整体运行状态的监控相对薄弱,不够全面,缺少对用户访问行为、虚拟机状态行为等关键信息记录。当云平台面临恶意内部用户的访问攻击、破坏、或者云资源的滥用等安全威胁时,这一弱点尤为突出,将会面临既缺乏及时处置的手段以避免或减少损失,又没有事后追踪、调查问责的证据。主要日志可以包括:访问日志、用户操作日志、审计模块设计等。2)、缺少X86底层安全保护:由于X86架构代码对外开放,而云平台Openstack是立足于X86构建的,所以只需要通过X86机器,然后接入Opensrack,就可以进行安全攻击,没有任何防护手段。3)、缺少函数的细粒度保护在使用云平台时必须了解使用软件的内部构造,明确需要保护的代码和在操作过程中可以保持稳定状态的代码,从而保证较好的兼容性。然而大部分云平台安全都是使用Openstack自带的代码安全保护,缺少对原生代码的细粒度保护,容易造成平台不稳定,出现兼容性问题。4)、缺少安全的字节码的加解密设计:保护好字节码也是一个十分重要的问题,由于Openstack代码开源,如果不注意字节码的解密设计,平台容易被破解,强制攻击。因此需要一套属于自己的加解密设计,从而保护平台安全。5)、对技术人员的依赖:目前云平台安全策略实施,都是工程师人员人工手动参与分析保护,这就需要维护人员具有较高的技术能力,丰富的平台和代码经验,以及对现场综合环境熟悉,对业务知识存在依赖,因此若有种安全认证平台,将会大大降低人员水平技术依赖。基于以上原因,需要一种安全优化方法解决以上问题,因此需建立审计制度,实现X86的底层保护,特有的字节码加解密设计和函数的细粒度保护。安全策略要从全局出发,具有持续的安全保护和审计分析能力,当受到安全威胁时,增大黑客破解难度,给予工程师反映时间,采取相应的安全措施,最终实现对平台的保护。
技术实现思路
本专利技术所要解决的技术问题是提供一种基于密钥算法和日志审计的Openstack访问控制方法,能够保持云平台高效运行,有效避免因安全引起的相关性能问题,精简易行,且广泛适用于以Openstack为核心的业务生产系统,适用范围广泛。本专利技术为解决上述技术问题而采用的技术方案是提供一种基于密钥算法和日志审计的Openstack访问控制方法,包括如下步骤:S1)获取当前用户的账号权限,资源访问路径信息以及访问IP地址信息;S2)记录用户信息,生成安全审计登陆日志,分析是否存在异常用户以及异常IP地址路径;S3)读取Openstack连接信息和安全策略,所述安全策略包括密钥算法策略,底层X86平台保护策略以及代码函数安全读取策略;S4)若用户访问符合安全策略,便直接登陆,反之则判定用户为非法访问。上述的基于密钥算法和日志审计的Openstack访问控制方法,其中,所述步骤S2)包括账号审计、权限审计、资源访问审计、操作行为审计、内容审计以及安全行为的审计,所述步骤S2)定义一次登录或同一用户多次登录为同一类型,通过信息采集和审计分析,使用预设的安全规则判定审计记录中的异常行为。上述的基于密钥算法和日志审计的Openstack访问控制方法,其中,所述步骤S3)采用局部加密的方式,将解密算法放到每条指令中,且使得每条指令的加/解密算法均不相同,并可进行重置。上述的基于密钥算法和日志审计的Openstack访问控制方法,其中,所述步骤S3)选取预先设定的某个内存值作为密钥,防止对密钥尾部字码进行篡改;所述步骤S3)采用指令Hash值算法作为随后指令的加/解密密钥,并采用对称算法对具体登录数据进行加/解密运算。上述的基于密钥算法和日志审计的Openstack访问控制方法,其中,所述步骤S4)包括:当用户上的所有任务完成密钥交互,成功登录后,用户提交相应的活跃作业被终止,向Openstack用户发送作业执行结果,并同时向所有参与作业执行的用户发送作业,当用户完成消息,收到作业完成消息,则删除当前连接的用户会话U_Session、代理证书和对称Hash加密算法{Hash,Encrypt本文档来自技高网...
【技术保护点】
一种基于密钥算法和日志审计的Openstack访问控制方法,其特征在于,包括如下步骤:S1)获取当前用户的账号权限,资源访问路径信息以及访问IP地址信息;S2)记录用户信息,生成安全审计登陆日志,分析是否存在异常用户以及异常IP地址路径;S3)读取Openstack连接信息和安全策略,所述安全策略包括密钥算法策略,底层X86平台保护策略以及代码函数安全读取策略;S4)若用户访问符合安全策略,便直接登陆,反之则判定用户为非法访问。
【技术特征摘要】
1.一种基于密钥算法和日志审计的Openstack访问控制方法,其特征在于,包括如下步骤:S1)获取当前用户的账号权限,资源访问路径信息以及访问IP地址信息;S2)记录用户信息,生成安全审计登陆日志,分析是否存在异常用户以及异常IP地址路径;S3)读取Openstack连接信息和安全策略,所述安全策略包括密钥算法策略,底层X86平台保护策略以及代码函数安全读取策略;S4)若用户访问符合安全策略,便直接登陆,反之则判定用户为非法访问。2.如权利要求1所述的基于密钥算法和日志审计的Openstack访问控制方法,其特征在于,所述步骤S2)包括账号审计、权限审计、资源访问审计、操作行为审计、内容审计以及安全行为的审计,所述步骤S2)定义一次登录或同一用户多次登录为同一类型,通过信息采集和审计分析,使用预设的安全规则判定审计记录中的异常行为。3.如权利要求1所述的基于密钥算法和日志审计的Openstack访问控...
【专利技术属性】
技术研发人员:程永新,孙玉颖,管俊俊,
申请(专利权)人:上海新炬网络信息技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。