一种基于Openstack的Horizon系统权域控制的安全机制设计方法技术方案

本发明专利技术公开了一种基于Openstack的Horizon系统权域控制的安全机制设计方法，涉及计算机信息安全技术领域，包括：1、权域功能总体设计；2、权域功能的API设计；3、中间件的API设计；4、中间件的Hash算法逻辑单元设计，采用时间控制方法，按照时间的瞬间加密方式进行加密方式规划；5、中间件与权域功能的API的交互配合，以所述中间件的API对权域功能的API进行调用，所述中间件的API在数据读取、刷新和更新时，进行hash加密，使用时通过相应加密后的密钥数据进行解码，解码后数据还原回变量。本发明专利技术针对权域控制的安全机制设计的hash加密方法，解决API的安全性问题，增强权域控制功能安全性。安全性。安全性。

【技术实现步骤摘要】
一种基于Openstack的Horizon系统权域控制的安全机制设计方法


[0001]本专利技术涉及计算机信息安全
，尤其涉及一种基于Openstack的Horizon系统权域控制的安全机制设计方法。

技术介绍

[0002]OpenStack是一个开源的云计算管理平台项目，是一系列软件开源项目的组合。OpenStack为私有云和公有云提供可扩展的弹性的云计算服务。项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。尽管OpenStack从诞生到现在已经变得日渐成熟，基本上已经能够满足云计算用户的大部分的需求。但随着云计算技术的发展，OpenStack必然也需要不断地完善。OpenStack已经逐渐成为市场上主流的一个云计算平台解决方案。
[0003]安全问题一直是整个云计算行业的问题，尽管Open Stack中存在对用户身份信息的验证等安全措施，甚至划分出可以单独或合并表征安全信任等级的域，但随着用户需求的变化和发展，安全问题仍然不可小觑。
[0004]Horizon是一个用以管理、控制OpenStack服务的Web控制面板。用户可以通过这个界面对OpenStack状态进行查看和管理，Horizon主要作用是为Openstack提供一个管理员操作平台。采用Horizon对用户进行管理，不同的用户，登录后拥有的权限各不相同，这就是Horizon上面的权域控制功能，有了这个作为基础，会方便为不同级别的客户赋能，但是，一旦有黑客将权域控制的粗粒度数据返回的接口role_simpledate进行破解，就能将低权限用户，通过修改role_simpledate，达到获得高用户权限的效果，也就是用户获取了自己本不应该获得的权限，这个在实际生产环境中会造成大量的损失。

技术实现思路

[0005]有鉴于现有技术的上述缺陷，本专利技术所要解决的技术问题是：提供一种基于Openstack的Horizon系统权域控制的安全机制设计方法，设计了一种针对其安全性的hash加密方法，有效解决API的安全性问题，同时能够让数据防范彩虹表攻击，增强整个权域控制功能安全性。
[0006]为实现上述目的，本专利技术提供了一种基于Openstack的Horizon系统权域控制的安全机制设计方法，包括如下步骤：
[0007]步骤S1、权域功能总体设计，通过role绑定权限数据，为用户添加不同的role以实现不同的权限效果；
[0008]步骤S2、权域功能的API设计，设计权域功能的API，所述权域功能的API交互采用异步调用，触发选择role的选项以触发所述权域功能的API，所述权域功能的API将数据发送给其它API或者数据库，以完成功能的实现；
[0009]步骤S3、中间件的API设计，所述中间件的API利用openstack的nova组件提供的
API，采用定时刷新机制，提供数据读取和数据更新功能；
[0010]步骤S4、中间件的Hash算法逻辑单元设计，采用时间控制方法，按照时间的瞬间加密方式进行加密方式规划；
[0011]步骤S5、中间件与权域功能的API的交互配合，在异步调用所述权域功能的API的基础上引入Hash加密机制，以所述中间件的API对所述权域功能的API进行调用，所述中间件的API在数据读取、刷新和更新时，进行hash加密，使用时再通过相应加密后的密钥数据进行解码，解码后数据还原回变量，通过异步调用直接使用其权限值完成功能的验证，验证后在horizon页面上显示。
[0012]优选的，步骤S2中，所述权域功能的API设计包括roles API设计和role
‑
realdata API设计，所述中间件的API收集所述权域功能的API数据进行hash加密。
[0013]优选的，所述roles API设计采用中间件进行hash加密，提供role数据的增删改功能，对应post、delete、put方法，并提供keystone访问的方式实现数据库读写操作，数据控制模块采用数据模板的形式进行。
[0014]优选的，所述role
‑
realdata API设计在执行数据更新时向数据库增加读取，完成一次数据库访问，中间件作为加密内核，以所述role
‑
realdata API的情况设计加密逻辑，在此位置增加一个逻辑调用，然后进行hash加密。
[0015]优选的，所述步骤3中，所述中间件的API包括Nova
‑
Hash
‑
API，所述Nova
‑
Hash
‑
API由GET方法提供数据读取和数据更新功能，数据使用所述Nova
‑
Hash
‑
API时进行转换处理，将数据进行加密，数据的输出值直接以变量的形式被赋值到异步调用相应的位置。
[0016]优选的，所述步骤S3中，所述中间件的API采用定时刷新机制，缓存内的内容每隔预设时间进行刷新，所述预设时间封装在nova的配置文件内，根据安全性要求可预先配置。
[0017]优选的，所述预设时间为10秒，对应6种Nova
‑
Hash
‑
API hash加密函数，所述6种Nova
‑
Hash
‑
API hash加密函数按照时间的瞬间加密方式进行规划，按照时间顺序自由切换。
[0018]优选的，所述6种Nova
‑
Hash
‑
API hash加密函数表达式为：
[0019]Nova
‑
Hash
‑
API
‑
Model
‑
1对应的hash加密函数称为R＝H1(S)
[0020]hash[i]＝hash[i
‑
1]*base+str[i]‑
'a'+1；
[0021]Nova
‑
Hash
‑
API
‑
Model
‑
2对应的hash加密函数称为R＝H2(S)
[0022]hash[i]＝hash[i
‑
1]*base+str[i]‑
'a'+80；
[0023]Nova
‑
Hash
‑
API
‑
Model
‑
3对应的hash加密函数称为R＝H3(S)
[0024]hash[i]＝hash[i
‑
1]*base+str[i]‑
'a'+300；
[0025]Nova
‑
Hash
‑
API
‑
Model
‑
4对应的hash加密函数称为R＝H4(S)
[0026]hash[i]＝hash[i
‑
1]*b本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于Openstack的Horizon系统权域控制的安全机制设计方法，其特征在于，包括如下步骤：步骤S1、权域功能总体设计，通过role绑定权限数据，为用户添加不同的role以实现不同的权限效果；步骤S2、权域功能的API设计，所述权域功能的API交互采用异步调用，触发选择role的选项以触发所述权域功能的API，所述权域功能的API将数据发送给其它API或者数据库，以完成功能的实现；步骤S3、中间件的API设计，所述中间件的API利用openstack的nova组件提供的API，采用定时刷新机制，提供数据读取和数据更新功能；步骤S4、中间件的Hash算法逻辑单元设计，采用时间控制方法，按照时间的瞬间加密方式进行加密方式规划；步骤S5、中间件与权域功能的API的交互配合，在异步调用所述权域功能的API的基础上引入Hash加密机制，以所述中间件的API对所述权域功能的API进行调用，所述中间件的API在数据读取、刷新和更新时，进行hash加密，使用时再通过相应加密后的密钥数据进行解码，解码后数据还原回变量，通过异步调用直接使用其权限值完成功能的验证，验证后在horizon页面上显示。2.如权利要求1所述的基于Openstack的Horizon系统权域控制的安全机制设计方法，其特征在于，所述步骤S2中，所述权域功能的API设计包括roles API设计和role
‑
realdata API设计，所述中间件的API收集所述权域功能的API数据进行hash加密。3.如权利要求2所述的基于Openstack的Horizon系统权域控制的安全机制设计方法，其特征在于，所述roles API设计采用中间件进行hash加密，提供role数据的增删改功能，对应post、delete、put方法，并提供keystone访问的方式实现数据库读写操作，数据控制模块采用数据模板的形式进行。4.如权利要求2所述的基于Openstack的Horizon系统权域控制的安全机制设计方法，其特征在于，所述role
‑
realdata API设计在执行数据更新时向数据库增加读取，完成一次数据库访问，中间件作为加密内核，以所述role
‑
realdata API的情况设计加密逻辑，在此位置增加一个逻辑调用，然后进行hash加密。5.如权利要求1所述的基于Openstack的Horizon系统权域控制的安全机制设计方法，其特征在于，所述步骤3中，所述中间件的API包括Nova
‑
Hash
‑
API，所述Nova
‑
Hash
‑
API由GET方法提供数据读取和数据更新功能，数据使用所述Nova
‑
Hash
‑
API时进行转换处理，将数据进行加密，数据的输出值直接以变量的形式被赋值到异步调用相应的位置。6.如权利要求1所述的基于Openstack的Horizon系统权域控制的安全机制设计方法，其特征在于，所述步骤S3中，所述中间件的API采用定时刷新机制，缓存内的内容每隔预设时间进行刷新，所述预设时间封装在nova的配置文件内，根据安全性要求预先配置。7.如权利要求6所述的基于Openstack的Horizon系统权域控制的安全机制设计方法，其特征在于，所述预设时间为10秒，对应6种Nova
‑
Hash
‑
API hash加密函数，所述6种Nova
‑
Hash
‑

【专利技术属性】
技术研发人员：张磊，胡林，杨经纬，
申请(专利权)人：中电信数智科技有限公司，
类型：发明
国别省市：