一种基于PKI的租户划分及权限认证的系统和方法技术方案

本发明专利技术公开了一种基于PKI的租户划分及权限认证的系统和方法。本发明专利技术提供了一种基于PKI的Openstack云系统中权限认证的方法，包括：使用CA系统向LDAP目录服务器发送CRL；用户通过USBKey里面的或者储存在IE里面的数字证书向基于Openstack的云系统发起连接请求；利用所述云系统将获得到的用户的证书信息进行解析，并通过Keystone模块发送到LDAP目录服务器；利用所述LDAP目录服务器对该证书进行认证，并验证用户是否合法，其中包括是否是CA颁发的有效证书，是否存在CRL列表中，然后向所述云系统返回校验结果；认证失败，所述云系统拒绝该用户的连接请求；认证成功，所述云系统允许该用户的连接请求。采用基于PKI的数字证书登录系统，不仅能够有效地保障用户的身份认证问题，防止非法用户伪造或假冒用户身份，具有很高的安全性。

System and method for tenant division and authority authentication based on PKI

The invention discloses a system and a method for tenant division and authority authentication based on PKI. The present invention provides a method and system of PKI permissions Openstack cloud based authentication includes: using the CA system to the LDAP directory server CRL; user initiated the connection request to the cloud system based on Openstack through the digital certificate within the IE or USBKey inside the store; using the cloud system will get to the user the certificate information analysis, and through the Keystone module to send to the LDAP directory server; authentication of the certificate using the LDAP directory server, and verify that the user is legitimate, including whether it is valid certificate issued by CA, the presence of CRL in the list, and then return the check result to the authentication fails, the cloud system; the cloud system rejects the connection request of the user; authentication is successful, the connection request by the cloud system allows the user. The digital certificate registration system based on PKI can not only effectively protect the identity authentication of users, but also prevent the illegal users from forging or fake the identity of users, and thus has high security.

【技术实现步骤摘要】
一种基于PKI的租户划分及权限认证的系统和方法
本专利技术涉及云系统的身份认证领域，尤其涉及一种基于PKI的Openstack云系统中租户划分和权限认证的系统和方法。
技术介绍
PKI是PublicKeyInfrastructure的缩写，即公开密钥基础设施。它是一套解决开放式互联网络信息安全需求的体系。PKI用来支持身份认证、信息传输、存储的完整性、消息传输、存储的机密性以及操作的不可否认性。它的核心是认证中心CA，CA就像公安局发放身份证一样，发放一个数字证书的身份证明。它包含了用户的基本信息，例如所在地区，单位和组织等；也包括用户持有的公钥。数字证书上加盖了CA的数字签名，用来保证数字证书的完整性。PKI的核心技术是公钥密码学的加密和签名技术。Openstack是目前最火的开源云系统，它是由美国国家宇航局(NASA)和Rackspace合作开发的，其目的是为企业提供公有云和私有云服务。Openstack是一个IaaS软件，类似于Amazon的云基础架构服务(IaaS),具有良好的可扩展性和可靠的云部署方案。目前Openstack有众多的版本，随着新版本的发放，功能越来越完善，其系统的稳定性也大幅度提高。Openstack是一个庞大的系统，有众多组件组成，例如计算组件(nova)、网络组件(neutron)、存储组件(swift)和认证组件(Keystone)等等。其中Keystone是系统的安全认证结构，所有资源的申请、接口的调用都必须经过Keystone的认证通过才行。而在Keystone中有租户的划分概念，租户类似于公司的一个部门，部门中包括许多员工，员工被分到哪个部门就具有哪个部门的服务，比如拥有这个部门的打印机、图书和服务器等资源。一个租户可以包含多个用户，而一个用户可以属于不同的租户。比如一个员工属于这个部门，他也可以借调到其他部门工作。Openstack的多租户机制，就是为了保证不同的组织和团队之间能够相互独立的使用同一个云系统。LDAP目录服务器用于存储对象的各类属性和信息，它定义了一个用来发布目录信息到许多不同资源的协议，使得各种应用可以通过标准接口目录服务器获取相应信息。在PKI平台中LDAP目录服务器主要用于发布证书信息和证书注销列表（CRL），通过该目录服务器，应用系统可以查询到用户的证书信息和证书状态。X.500是构成全球分布式的目录服务系统协议。X.500基本上是用来查询有关人员的信息，包括所在国家、单位和组织等。这个目录类似于树形结构，包括：国家、单位、部门和人。数字证书里面主题就是此结构。信息安全一般包括信息的完整性、保密性和可用性。当前的云系统之间的通信是没有采用加密方式的，极其容易入侵，就会发生用户数据的泄露，篡改等危险情况。一般的云系统在用户登录认证的时候普遍采用简单的认证方式，即采用账号加密码方式进行登录认证，同时采用明文的形式进行传输。显然，这种机制存在安全问题，密码以明文的方式进行传输就可能被恶意监听，甚至被篡改。
技术实现思路
本专利技术主要采用PKI技术保障用户登录运系统以及云系统中各个组件的安全通信同时利用数字证书的主题格式的X.500特性快速划分用户属于哪个租户，采用LDAP最为Keystone后端，根据证书的序列号来验证用户的合法性和唯一性。CA系统定期向LDAP发布CRL列表，防止用户证书撤消后仍能登录到系统。所以用户登录云系统时，无需输入用户名和密码，就可以完成认证服务；无需显示的在数据库中定义用户的租户划分，就能实现租户划分功能。在该过程中用户首先在系统的服务器中配置好数字证书，包括服务器证书的公钥和私钥，用户使用该服务器证书签发的公钥证书登录云系统，在登录到云系统的过程中，LDAP目录服务器将获取到的用户证书验证是否在CRL列表中，并解析证书获取证书编号，判断云系统是否含有该用户，如果通过验证，将根据证书的主题中单位组织来确定该用户具有的资源，然后成功登录到系统中。反之，则根据相关返回结果值来告诉用户无权登陆或者系统中不存在该用户等信息。本专利技术的技术方案如下所述：一种基于PKI的Openstack云系统中权限认证的方法，包括：使用CA系统向LDAP目录服务器发送CRL；用户通过USBKey里面的或者储存在IE里面的数字证书向基于Openstack的云系统发起连接请求；利用所述云系统将获得到的用户的证书信息进行解析，并通过Keystone模块发送到LDAP目录服务器；利用所述LDAP目录服务器对该证书进行认证，并验证用户是否合法，其中包括是否是CA颁发的有效证书，是否存在CRL列表中，然后向所述云系统返回校验结果；认证失败，所述云系统拒绝该用户的连接请求；认证成功，所述云系统允许该用户的连接请求。进一步地，使用CA系统定期向LDAP目录服务器发送CRL。一种基于PKI的Openstack云系统中租户划分的方法，包括：使用CA系统向LDAP目录服务器发送CRL；用户通过USBKey里面的或者储存在IE里面的数字证书向基于Openstack的云系统发起连接请求；利用所述云系统将获得到的用户的证书信息进行解析，并通过Keystone模块发送到LDAP目录服务器；利用所述LDAP目录服务器对该证书进行认证，并验证用户是否合法，其中包括是否是CA颁发的有效证书，是否存在CRL列表中，然后向所述云系统返回校验结果；认证失败，所述云系统拒绝该用户的连接请求；认证成功，所述云系统允许该用户的连接请求；认证成功后，所述LDAP目录服务器对解析得到的证书信息中的租户验证信息进行验证；租户存在，完成租户划分，否则失败。进一步地，使用CA系统定期向所述LDAP目录服务器发送CRL。进一步地，所述数字证书里面包括证书的主题、有效期、Email、扩展选项；解析得到的所述证书信息包括证书序列号、用户的名称和证书的有效期。进一步地，所述租户验证信息包括主题内容的OU、O信息。一种基于PKI的Openstack云系统中权限认证的系统，包括：云系统门户、基于Openstack的云系统、LDAP目录服务器、CA系统，其中，所述CA系统向所述LDAP目录服务器发送CRL；所述云系统门户用于使用户通过USBKey里面的或者储存在IE里面的数字证书向所述基于Openstack的云系统发起连接请求；所述云系统将获得到的用户的证书信息进行解析，并通过Keystone模块发送到所述LDAP目录服务器；所述LDAP目录服务器对该证书进行认证，并验证用户是否合法，其中包括是否是CA颁发的有效证书，是否存在CRL列表中，然后向所述云系统返回校验结果；认证失败，所述云系统拒绝该用户的连接请求；认证成功，所述云系统允许该用户的连接请求。进一步地，所述CA系统定期向所述LDAP目录服务器发送CRL。一种基于PKI的Openstack云系统中租户划分的系统，包括：云系统门户、基于Openstack的云系统、LDAP目录服务器、CA系统，其中，所述CA系统向所述LDAP目录服务器发送CRL；所述云系统门户用于使用户通过USBKey里面的或者储存在IE里面的数字证书向所述基于Openstack的云系统发起连接请求；所述云系统将获得到的用户的证书信息进行解析，并通过Keystone模块发送到所述LDAP目本文档来自技高网...

【技术保护点】
一种基于PKI的Openstack 云系统中权限认证的方法，其特征在于，包括：使用CA系统向LDAP目录服务器发送CRL；用户通过USBKey里面的或者储存在IE里面的数字证书向基于Openstack的云系统发起连接请求；利用所述云系统将获得到的用户的证书信息进行解析，并通过Keystone模块发送到LDAP目录服务器；利用所述LDAP目录服务器对该证书进行认证，并验证用户是否合法，其中包括是否是CA颁发的有效证书，是否存在CRL列表中，然后向所述云系统返回校验结果；认证失败，所述云系统拒绝该用户的连接请求；认证成功，所述云系统允许该用户的连接请求。

【技术特征摘要】
1.一种基于PKI的Openstack云系统中权限认证的方法，其特征在于，包括：使用CA系统向LDAP目录服务器发送CRL；用户通过USBKey里面的或者储存在IE里面的数字证书向基于Openstack的云系统发起连接请求；利用所述云系统将获得到的用户的证书信息进行解析，并通过Keystone模块发送到LDAP目录服务器；利用所述LDAP目录服务器对该证书进行认证，并验证用户是否合法，其中包括是否是CA颁发的有效证书，是否存在CRL列表中，然后向所述云系统返回校验结果；认证失败，所述云系统拒绝该用户的连接请求；认证成功，所述云系统允许该用户的连接请求。2.一种基于PKI的Openstack云系统中租户划分的方法，其特征在于，包括：使用CA系统向LDAP目录服务器发送CRL；用户通过USBKey里面的或者储存在IE里面的数字证书向基于Openstack的云系统发起连接请求；利用所述云系统将获得到的用户的证书信息进行解析，并通过Keystone模块发送到LDAP目录服务器；利用所述LDAP目录服务器对该证书进行认证，并验证用户是否合法，其中包括是否是CA颁发的有效证书，是否存在CRL列表中，然后向所述云系统返回校验结果；认证失败，所述云系统拒绝该用户的连接请求；认证成功，所述云系统允许该用户的连接请求；认证成功后，所述LDAP目录服务器对解析得到的证书信息中的租户验证信息进行验证；租户存在，完成租户划分，否则失败。3.根据权利要求1所述的基于PKI的Openstack云系统中权限认证的方法或根据权利要求2所述的一种基于PKI的Openstack云系统中租户划分的方法，其特征在于：使用CA系统定期向所述LDAP目录服务器发送CRL。4.根据权利要求1所述的基于PKI的Openstack云系统中权限认证的方法或根据权利要求2所述的一种基于PKI的Openstack云系统中租户划分的方法，其特征在于：所述数字证书里面包括证书的主题、有效期、Email、扩展选项；解析得到的所述证书信息包括证书序列号、用户的名称和证书的有效期。5.根据权利要求2所述的一种基于PKI的Openstack云系统中租户划分的方法，其特征在于：所述租户验证信息包括主题内容的OU、O信息。6.一种基于PKI的Openstack云系统中权限认证的系统，其特征在于，包括云系统门户、基于Opens...

【专利技术属性】
技术研发人员：张先强，林文辉，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京,11