OpellStack对象存储身份和访问控制管理安全性分析与改进.docVIP

OpellStack对象存储身份和访问控制管理安全性分析与改进 　　摘要：随着云计算技术的蓬勃发展，OpenStack作为“云”家族中的新兴成员正在逐步成为该领域的核心技术。作为公有云和私有云的共同技术基础，OpenStack不但可以提供基础平台层的服务，而且能够实现统一的云管理平台自动化。然而，OpenStack作为一种新型的、动态的云服务，目前在安全性方面仍不完善。本文重点对OpenStack的对象存储进行安全性分析，发现OpenStack对象存储中身份认证、访问管理两个方面存在安全隐患。针对这些安全问题，本文提出相应的改进方案，提高了OpenStack对象存储的安全等级，为用户提供更为安全的平台服务。 　　关键词：云计算；OpenStack；对象存储；安全性 　　中图分类号：TP309 文献标识码：A DOI：10.3969/j.issn.1003-6970.2015.02.008 　　0 引言 　　云计算是一种计算模型，它将运算能力、存储、网络和软件等资源抽象成为服务，使用户能够通过互联网远程享用，云计算的形式也如同传统公共服务设施一样。 　　不同的“云”对应着不同的基础设施。下面是三种广义的“云”：IaaS（基础设施即服务），PaaS（平台即服务），SaaS（软件即服务）。OpenStack是IaaS（基础设施即服务）组件，旨在让所有用户都可以自行建立和提供云端运算服务。OpenStack是由美国国家航空航天局和Rackspace合作研发的，同时获得Apache许可证授权，最重要的是OpenStack是一个自由软件和开放源代码项目。因此，OpenStack作为一个云平台管理的项目，它既是一个社区，也是一个项目和开源软件，它提供了部署云的操作平台或工具集。OpenStack的研发目的就是帮助组织运行为虚拟计算或存储服务的云，同时为公有云、私有云，也能够为大云、小云提供可扩展的、灵活的云计算。 　　OpenStaek是一个开放源码技术产品，它创立了云计算的标准必须是一个可扩展的，安全的，同时是基于云计算的软件解决方案的。OpenStack目前正在开发的两个相互关联的技术：OpenStack云计算和OpenStack对象存储。OpenStack云计算的主要工作是创建和管理虚拟专用服务器大群体内部。而OpenStack对象存储的主要工作则是用于创建冗余软件，OpenStack对象存储所使用的商品服务器集群的数据可达到百万兆字节甚至字节。OpenStack对象能够通过一个REST API或是像cyberduck这样可以对接对象存储API的客户端加以恢复。本文专注于其中OpenStaek对象存储中身份和访问管理方面的安全问题。 　　1 基本原理 　　1.1 云计算 　　云计算是一个相对较新的课题一直备受关注。尽管越来越多的注意力转向云计算，但安全一直被评为最重要和具有挑战性的问题。云计算的形式也如同传统公共服务设施一样。尽管目前对云计算的关注程度已经达到相当的高度，但是云计算的安全问题通常被认为是最重要和具有挑战性的问题。随着全球的关注重心转向云计算，针对云计算投入了极大的资金支持，各种研究云计算相关的组织，以及在采用云技术所涉及到的过程不同机构对于云服务安全方向提供了指导方针和建议。 　　由于云计算是一种新的、动态的地区的并且没有普遍接受的云计算服务。在同一时间，不同组织尝试创建他们自己的云安全指南。未来OpenStack可以作为公有云和私有云的共同技术基础，通过统一的云管理平台利用OpenStack进行编排和实现自动化。OpenStack高速发展的同时对安全性的需求也随之不断提升。 　　1.2 OpenStack对象存储安全分析 　　OpenStack提供一种分布式、持续虚拟对象存储，它能够提供类似于Amazon Web Service的s3简单存储服务。OpenStack的对象存储的突出特点是具有跨节点百级对象的存储能力。在OpenStack的对象存储中建冗余和失效备援管理，能够处理归档和媒体流，特别是对大数据（千兆字节）和大容量（多对象数量）的测度非常高效。OpenStack对象存储具备以下功能及特点：海量的对象存储，大文件存储（对象存储），数据冗余管理，归档能力以及处理大数据集，OpenStack对象存储为虚拟机和云应用提供数据容器，处理流媒体，备份与归档提供了良好的可伸缩性。本文专注于其中OpenStack对象存储的安全问题。将针对OpenStack对象存储的身份和访问管理方面，对其安全漏洞加以分析并改进。 　　针对OpenStack对象存储中身份验证，用户的密码没有明确要求，密码长度和选定的字符。同样，字典检查也没有。因此准备对OpenStack对象存储的密码使用Python-crac