云计算将传统的以主机为主的封闭模式变为了开放模式,而且云服务成为了一种新的IT交付服务模式。云计算带来了包括虚拟化安全、数据安全、身份和访问管理安全等新的安全挑战。OpenStack是云计算管理厂商广泛采用的开源平台,Keystone负责其中的安全部分,主要包括身份验证、服务规则和服务令牌的功能,它实现了OpenStack的验证API。Keystone在OpenStack中起服务总线作用,或者说是整个OpenStack框架的注册表,其他服务通过Keystone来注册其服务的端点(服务访问的URL)。任何服务之间的相互调用,需要经过Keystone进行身份验证,以获得目标服务的端点,从而找到目标服务。
对基于令牌的认证,Keystone可以与成熟的PKI体系对接。Keystone引入PKI体系,生成签名证书的令牌及在服务请求中对用户的令牌进行验签等流程与标准的PKI流程完全一样。通过引入PKI体系来实现对令牌的认证,可以极大地提高云计算中用户认证的安全性。
云计算安全和可信的云计算是两个有既有区别和又相关的概念,安全是可信的必要条件,但不充分。可信除了保证安全外,还要求对事前的预警、事中的监督和事后的审查过程,强调对安全的监控和度量。OpenStack借助可信云关键技术(包括可信链的建立,可信的审查和监控,用户行为的监控和可信管理等)建立可信计算池,当客户有可信云计算的差异化安全需求时,可以在可信计算池的目标主机环境中创建用户实例,提升用户安全并满足用户安全的差异化需求。