一种基于Mesos容器云平台的统一安全认证方法及系统技术方案

本发明专利技术实施例涉及安全认证领域，具体涉及一种基于Mesos容器云平台的统一安全认证方法及系统，包括：用户提交身份信息进行身份验证；Mesos计算节点认证模块生成第一认证信息，并将所述第一认证信息发送到秘钥模块；所述秘钥模块进行身份认证，通过后返回第一确认信息，所述Mesos计算节点认证模块将所述第一确认信息发送到Mesos管理节点认证模块；所述Mesos管理节点认证模块生成第二认证信息，并将所述第二认证信息发送到所述秘钥模块；所述秘钥模块进行身份认证，认证通过后返回第二确认信息，所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息，并将所述通过安全认证信息发送到所述Mesos计算节点认证模块。

A unified security authentication method and system based on Mesos container cloud platform

The embodiment of the invention relates to the field of safety certification, in particular to a unified security authentication method and system, the Mesos container based on cloud platform includes: user authentication to submit identity information; Mesos computing node authentication module generates the first authentication information, and the first authentication information is sent to the key module; the key module identity authentication, after returning the first confirmation message, the Mesos node is the first authentication module will send the identification information to Mesos node authentication management module; the Mesos management module into second node authentication authentication information, and transmits the second authentication information to the key module; the key module of identity after the return of second certification, certification through the confirmation message, the Mesos management node authentication module receives the confirmation message after second The Mesos computing node authentication module is transmitted through security authentication information and the said security authentication information.

【技术实现步骤摘要】
一种基于Mesos容器云平台的统一安全认证方法及系统
本专利技术涉及安全认证领域，具体涉及一种基于Mesos容器云平台的统一安全认证方法及系统。
技术介绍
安全认证是云平台的基础功能，有了安全认证功能后，只有信任的实体才能与云平台交互，并使用云平台的计算资源。现有的开源IaaS平台以及Amazon公有云都已经具备完善的安全认证框架，但是基于容器的云平台，目前除了Kubernetes容器云之外，还没有统一的安全认证框架。尤其是目前主流的基于Mesos的容器云和原生Docker云平台，都没有实现统一安全认证框架。基于Mesos的容器云在以下三种场景下，需要使用安全认证功能:·Frameworks向Master节点注册。·Slave节点向Master节点注册。·操作者调用Mesos的Http终端。Mesos使用CyrusSASL做为其认证引擎，可支持Anonymous,PLAIN,CRAM-MD5,GSSAPI等多种认证机制。当Mesos开启默认的CRAM-MD5认证机制时，需要通过认证的实体必须提供principal和secret键值对，也叫credential对象。Principal代表这个实体的身份，类似于用户名，secret则是用来验证实体身份的字符，类似于密码。但是相关数据必须以文件形式在Mesos启动时进行加载，在Mesos运行过程中，用户信息不能添加或修改，这些都不满足企业级运行环境的要求。Mesos目前还没有满足企业级用户的统一安全认证框架，并且现有的安全认证框架还存在灵活性等问题。Mesos现有的安全认证框架存在的具体问题如下：credential采用文件的形式，在Master、Slave启动时候，一次性加载到相应守护进程的内存中。在增加，修改，删除用户场景下，必须重新启动Master、Slave守护进程来再次加载对应的credential文件，对于企业级云平台的用户影响巨大。Mesos默认采用CRAM-MD5认证机制，很难与第三方身份识别框架进行快速集成。而现有的企业级云平台大多采用OpenID或者基于LDAP协议的目录服务器，Mesos现有的认证机制显然无法满足要求。因此，构建一种基于Mesos容器云平台的统一安全认证方法及系统，以解决现有技术中的以上问题很有必要。
技术实现思路
本专利技术实施例提供了一种基于Mesos容器云平台的统一安全认证方法及系统，进行双重安全认证，更加符合企业级用户的实际需求。本专利技术实施例提供的一种基于Mesos容器云平台的统一安全认证方法，包括：用户提交身份信息到Mesos计算节点认证模块进行身份验证；所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息，并将所述第一认证信息发送到秘钥模块；所述秘钥模块接收到所述第一认证信息后，进行身份认证，认证通过后返回第一确认信息，所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块；所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息，并将所述第二认证信息发送到所述秘钥模块；所述秘钥模块接收到所述第二认证信息后，进行身份认证，认证通过后返回第二确认信息，所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息，并将所述通过安全认证信息发送到所述Mesos计算节点认证模块；所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。进一步的，所述用户提交身份信息到Mesos计算节点认证模块进行身份验证；所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息，并将所述第一认证信息发送到秘钥模块，包括：所述用户提交身份信息到Mesos计算节点认证模块的从秘钥验证模块进行身份验证；所述从秘钥验证模块接收到所述身份信息后生成第一认证信息，并将所述第一认证信息发送到从Restful客户端模块，所述从Restful客户端模块将所述第一认证信息发送到秘钥模块。进一步的，所述秘钥模块接收到所述第一认证信息后，进行身份认证，认证通过后返回第一确认信息，所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块，包括：所述秘钥模块通过RestfulAPI接口接收到所述第一认证信息后，进行身份认证，认证通过后从RestfulAPI接口返回第一确认信息，所述Mesos计算节点认证模块的所述从Restful客户端模块接收到所述第一确认信息后，又通过所述从Restful客户端模块将所述第一确认信息发送到Mesos管理节点认证模块。进一步的，所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息，并将所述第二认证信息发送到所述秘钥模块，包括：所述Mesos管理节点认证模块的主秘钥验证模块接收到所述第一确认信息后生成第二认证信息，并将所述第二认证信息发送到主Restful客户端，并经所述主Restful客户端发送到所述秘钥模块。进一步的，所述秘钥模块接收到所述第二认证信息后，进行身份认证，认证通过后返回第二确认信息，所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息，并将所述通过安全认证信息发送到所述Mesos计算节点认证模块，包括：所述秘钥模块通过所述RestfulAPI接口接收到所述第二认证信息后，进行身份认证，认证通过后通过所述RestfulAPI接口返回第二确认信息，所述Mesos管理节点认证模块的所述主Restful客户端接收到所述第二确认信息后生成通过安全认证信息，并将所述通过安全认证信息发送到所述Mesos计算节点认证模块。本专利技术实施例提供一种基于Mesos容器云平台的统一安全认证系统，包括：Mesos计算节点认证模块：用户提交身份信息到Mesos计算节点认证模块进行身份验证；所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息，并发送所述第一认证信息；秘钥模块：所述秘钥模块接收到所述第一认证信息后，进行身份认证，认证通过后返回第一确认信息，所述Mesos计算节点认证模块接收到所述第一确认信息后发送所述第一确认信息；Mesos管理节点认证模块：所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息，并将所述第二认证信息发送到所述秘钥模块；所述秘钥模块接收到所述第二认证信息后，进行身份认证，认证通过后返回第二确认信息，所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息，并将所述通过安全认证信息发送到所述Mesos计算节点认证模块；所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。本专利技术具有以下技术效果：将流行的身份认证服务(Keystone)纳入为安全认证框架，更加符合企业级用户的实际需求。用户信息动态来自于后台身份认证服务而非本地化，当认证信息发生变更后，无需重启所有的MesosMaster节点。任何需要安全认证的实体，不是向Master节点直接进行安全认证，而是先通过身份认证之后，然后交由Master节点进行二次安全认证，有效缓解了恶意待认证的实体对容器云现有业务的攻击。所有的安全认证通信信息均采用https加密。附图说明为了更清楚地说明本专利技术实施例中本文档来自技高网...

【技术保护点】
一种基于Mesos容器云平台的统一安全认证方法，其特征在于，包括：用户提交身份信息到Mesos计算节点认证模块进行身份验证；所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息，并将所述第一认证信息发送到秘钥模块；所述秘钥模块接收到所述第一认证信息后，进行身份认证，认证通过后返回第一确认信息，所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块；所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息，并将所述第二认证信息发送到所述秘钥模块；所述秘钥模块接收到所述第二认证信息后，进行身份认证，认证通过后返回第二确认信息，所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息，并将所述通过安全认证信息发送到所述Mesos计算节点认证模块；所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。

【技术特征摘要】
1.一种基于Mesos容器云平台的统一安全认证方法，其特征在于，包括：用户提交身份信息到Mesos计算节点认证模块进行身份验证；所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息，并将所述第一认证信息发送到秘钥模块；所述秘钥模块接收到所述第一认证信息后，进行身份认证，认证通过后返回第一确认信息，所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块；所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息，并将所述第二认证信息发送到所述秘钥模块；所述秘钥模块接收到所述第二认证信息后，进行身份认证，认证通过后返回第二确认信息，所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息，并将所述通过安全认证信息发送到所述Mesos计算节点认证模块；所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。2.如权利要求1所述的方法，其特征在于，所述用户提交身份信息到Mesos计算节点认证模块进行身份验证；所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息，并将所述第一认证信息发送到秘钥模块，包括：所述用户提交身份信息到Mesos计算节点认证模块的从秘钥验证模块进行身份验证；所述从秘钥验证模块接收到所述身份信息后生成第一认证信息，并将所述第一认证信息发送到从Restful客户端模块，所述从Restful客户端模块将所述第一认证信息发送到秘钥模块。3.如权利要求2所述的方法，其特征在于，所述秘钥模块接收到所述第一认证信息后，进行身份认证，认证通过后返回第一确认信息，所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块，包括：所述秘钥模块通过RestfulAPI接口接收到所述第一认证信息后，进行身份认证，认证通过后从RestfulAPI接口返回第一确认信息，所述Mesos计算节点认证模块的所述从Restful客户端模块接收到所述第一确认信息后，又通过所述从Restful客户端模块将所述第一确认信息发...

【专利技术属性】
技术研发人员：陈海江，
申请(专利权)人：北京溢思得瑞智能科技研究院有限公司，北京聚睿智能科技有限公司，
类型：发明
国别省市：北京,11