The invention discloses a system and a method for tenant division and authority authentication based on PKI. The present invention provides a method and system of PKI permissions Openstack cloud based authentication includes: using the CA system to the LDAP directory server CRL; user initiated the connection request to the cloud system based on Openstack through the digital certificate within the IE or USBKey inside the store; using the cloud system will get to the user the certificate information analysis, and through the Keystone module to send to the LDAP directory server; authentication of the certificate using the LDAP directory server, and verify that the user is legitimate, including whether it is valid certificate issued by CA, the presence of CRL in the list, and then return the check result to the authentication fails, the cloud system; the cloud system rejects the connection request of the user; authentication is successful, the connection request by the cloud system allows the user. The digital certificate registration system based on PKI can not only effectively protect the identity authentication of users, but also prevent the illegal users from forging or fake the identity of users, and thus has high security.
【技术实现步骤摘要】
一种基于PKI的租户划分及权限认证的系统和方法
本专利技术涉及云系统的身份认证领域,尤其涉及一种基于PKI的Openstack云系统中租户划分和权限认证的系统和方法。
技术介绍
PKI是PublicKeyInfrastructure的缩写,即公开密钥基础设施。它是一套解决开放式互联网络信息安全需求的体系。PKI用来支持身份认证、信息传输、存储的完整性、消息传输、存储的机密性以及操作的不可否认性。它的核心是认证中心CA,CA就像公安局发放身份证一样,发放一个数字证书的身份证明。它包含了用户的基本信息,例如所在地区,单位和组织等;也包括用户持有的公钥。数字证书上加盖了CA的数字签名,用来保证数字证书的完整性。PKI的核心技术是公钥密码学的加密和签名技术。Openstack是目前最火的开源云系统,它是由美国国家宇航局(NASA)和Rackspace合作开发的,其目的是为企业提供公有云和私有云服务。Openstack是一个IaaS软件,类似于Amazon的云基础架构服务(IaaS),具有良好的可扩展性和可靠的云部署方案。目前Openstack有众多的版本,随着新版本的发放,功能越来越完善,其系统的稳定性也大幅度提高。Openstack是一个庞大的系统,有众多组件组成,例如计算组件(nova)、网络组件(neutron)、存储组件(swift)和认证组件(Keystone)等等。其中Keystone是系统的安全认证结构,所有资源的申请、接口的调用都必须经过Keystone的认证通过才行。而在Keystone中有租户的划分概念,租户类似于公司的一个部门,部门中包括许多 ...
【技术保护点】
一种基于PKI的Openstack 云系统中权限认证的方法,其特征在于,包括:使用CA系统向LDAP目录服务器发送CRL;用户通过USBKey里面的或者储存在IE里面的数字证书向基于Openstack的云系统发起连接请求;利用所述云系统将获得到的用户的证书信息进行解析,并通过Keystone模块发送到LDAP目录服务器;利用所述LDAP目录服务器对该证书进行认证,并验证用户是否合法,其中包括是否是CA颁发的有效证书,是否存在CRL列表中,然后向所述云系统返回校验结果;认证失败,所述云系统拒绝该用户的连接请求;认证成功,所述云系统允许该用户的连接请求。
【技术特征摘要】
1.一种基于PKI的Openstack云系统中权限认证的方法,其特征在于,包括:使用CA系统向LDAP目录服务器发送CRL;用户通过USBKey里面的或者储存在IE里面的数字证书向基于Openstack的云系统发起连接请求;利用所述云系统将获得到的用户的证书信息进行解析,并通过Keystone模块发送到LDAP目录服务器;利用所述LDAP目录服务器对该证书进行认证,并验证用户是否合法,其中包括是否是CA颁发的有效证书,是否存在CRL列表中,然后向所述云系统返回校验结果;认证失败,所述云系统拒绝该用户的连接请求;认证成功,所述云系统允许该用户的连接请求。2.一种基于PKI的Openstack云系统中租户划分的方法,其特征在于,包括:使用CA系统向LDAP目录服务器发送CRL;用户通过USBKey里面的或者储存在IE里面的数字证书向基于Openstack的云系统发起连接请求;利用所述云系统将获得到的用户的证书信息进行解析,并通过Keystone模块发送到LDAP目录服务器;利用所述LDAP目录服务器对该证书进行认证,并验证用户是否合法,其中包括是否是CA颁发的有效证书,是否存在CRL列表中,然后向所述云系统返回校验结果;认证失败,所述云系统拒绝该用户的连接请求;认证成功,所述云系统允许该用户的连接请求;认证成功后,所述LDAP目录服务器对解析得到的证书信息中的租户验证信息进行验证;租户存在,完成租户划分,否则失败。3.根据权利要求1所述的基于PKI的Openstack云系统中权限认证的方法或根据权利要求2所述的一种基于PKI的Openstack云系统中租户划分的方法,其特征在于:使用CA系统定期向所述LDAP目录服务器发送CRL。4.根据权利要求1所述的基于PKI的Openstack云系统中权限认证的方法或根据权利要求2所述的一种基于PKI的Openstack云系统中租户划分的方法,其特征在于:所述数字证书里面包括证书的主题、有效期、Email、扩展选项;解析得到的所述证书信息包括证书序列号、用户的名称和证书的有效期。5.根据权利要求2所述的一种基于PKI的Openstack云系统中租户划分的方法,其特征在于:所述租户验证信息包括主题内容的OU、O信息。6.一种基于PKI的Openstack云系统中权限认证的系统,其特征在于,包括云系统门户、基于Opens...
【专利技术属性】
技术研发人员:张先强,林文辉,
申请(专利权)人:航天信息股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。