OpenStack互操作认证方法及内容

Openstack身份认证流程随着云计算技术的不断发展，OpenStack作为一个开源的云计算评台，为用户提供了弹性、可扩展、可靠的云计算服务。

身份认证是OpenStack评台的重要组成部分，它通过验证用户的身份和权限，确保用户能够安全地访问云服务，保护云计算评台的安全和稳定运行。

本文将介绍OpenStack身份认证的流程和工作原理，帮助读者更好地理解和运用OpenStack评台。

一、认证服务1.1 KeystoneKeystone是OpenStack的身份认证服务，它负责管理用户、角色和权限，验证用户的身份，颁发访问令牌，并对用户的请求进行授权。

Keystone支持多种认证机制，包括用户名密码认证、令牌认证和第三方身份认证，能够满足不同用户的需求。

1.2 认证流程OpenStack身份认证流程包括用户认证和访问控制两个阶段。

在用户认证阶段，用户需要提供身份信息，经过验证后获取访问令牌；在访问控制阶段，用户使用令牌访问云服务，根据令牌中的权限信息，进行访问控制。

二、认证流程详解2.1 用户认证用户认证是用户与OpenStack评台建立信任关系的第一步，用户需要提供自己的身份信息，通过验证后获取访问令牌，以便后续访问云服务。

1) 用户身份信息用户身份信息包括用户名和密码，用户通过提供正确的用户名和密码，证明自己的身份。

除了用户名和密码，用户还可以通过其他方式提供身份信息，例如证书、密钥等。

2) 身份验证用户提供身份信息后，Keystone会对用户的身份进行验证，根据用户提供的信息，判断用户是否合法。

如果用户身份验证通过，Keystone 会生成并颁发一个访问令牌给用户；否则，用户将无法访问云服务。

3) 访问令牌访问令牌是用户访问OpenStack云服务的凭证，用户在验证通过后会获得一个访问令牌，令牌中包含了用户的身份信息和权限信息。

用户在使用OpenStack的各项服务时，需要在请求中携带访问令牌，以证明自己的身份和权限。

项目四 OpenStack身份管理云计算技术OpenStack云计算平台能力要求CAPACITY了解OpenStack身份管理基础知识掌握项目、用户和角色的管理操作掌握基于oslo.policy的权限管理内容导航CONTENTS任务一理解身份服务任务二管理项目、用户和角色任务三通过oslo.policy库实现权限管理任务说明01OPTION02OPTION03OPTION了解Keystone的概念和功能理解Keystone的管理层次结构了解Keystone的认证流程04OPTION通过API操作来进一步理解Keystone认证知识引入•Keystone的基本概念•认证（Authentication）——确认用户身份的过程，又称身份验证。

•凭证（Credentials）——又称凭据，是用于确认用户身份的数据。

•令牌（Token）——访问OpenStack API和各种资源需要提供的一种特殊的文本字符串。

•用户（User）——使用OpenStack云服务的个人、系统或服务的账户名称。

•项目（Project）——分配和隔离资源或身份对象的一个容器，也是一个权限组织形式。

域（Domain）——项目和用户的集合，目的是为身份实体定义管理界限。

•组（Group）——表示域所拥有的用户集合的容器。

•角色（Role）——用于定义用户权利和权限的集合。

•端点（Endpoint）——OpenStack组件能够访问的网络地址，通常是一个URL。

•服务（Service）——提供一个或多个端点，供用户通过这些端点访问资源和执行操作。

•分区（Region）——OpenStack部署的通用分区。

知识引入•Keystone的主要功能•身份认证（Authentication）——令牌的发放和校验。

•用户授权（Authorization）——授予用户在一个服务中所拥有的权限。

•用户管理（Account）——管理用户账户。

•服务目录（Service Catalog）——为每个OpenStack服务对外提供一个可用的服务目录和相应的API端点。

虚拟机创建流程
第一步，图形界面输入用户名密码到keyston进行认证，认证通过之后会分配一个token，然后使用该token即可访问其他服务，
第二步将创建虚拟机的请求转换给REST API并发送给NOVA API，
第三步nova其拿着此token到keyston查询是否合法，
第四步NOV api和数据库进行交互，将要创建的虚拟机信息写入到数据库，
第五步发送消息大rabbitMQ，消息会发送给nova scheduler，
第六步nova scheduler算法确认虚拟机将被创建在哪个物理机上，
第七步nova scheduler和数据库进行交互，将虚拟机生成的信息写入到数据库，
第八步nova computer接收到消息进行虚拟机创建，
第九步nova computer到数据库查询该虚拟机要创建的信息，
第十步nova conductor和数据库进行沟通，新版的openstack使用nova conductor代替第九步的操作，
第十一步nova conductor更新数据库信息，然后nova computer从数据库获取到虚拟机的创建信息后进行下一步创建虚拟机的操作，
第十二步联系glance获取镜像，
第十三步glace联系keyston进行认证，
第十四步联系neutron获取网络，
第十五步neutron联系keyston进行认证，
第十六步nova computer再联系cinder获取磁盘，
第十七不cinder再到keyston进行认证，
第十八步nova computer调用KVM创建虚拟机。

标题：OpenStack中的常用命令随着云计算技术的迅速发展，OpenStack作为一种开源的云评台解决方案，受到了越来越多企业和个人的关注和应用。

在OpenStack的日常运维中，掌握一些常用的命令对于管理和维护OpenStack环境至关重要。

本文将介绍一些常见的OpenStack命令，并对其使用方法进行详细的解释。

一、OpenStack认证命令在使用OpenStack命令行工具之前，首先需要进行认证，以获取相应的访问权限。

OpenStack认证命令通常包括以下几个部分：1.1. 登入OpenStack```openstack login```该命令用于登入OpenStack评台，需输入用户名和密码进行认证。

1.2. 获取访问令牌```openstack token issue该命令用于获取认证后的访问令牌，以便后续的操作。

访问令牌具有一定的时效性，过期后需要重新获取。

1.3. 列出可用的服务```openstack catalog list```该命令可以列出当前OpenStack评台上可用的服务，包括计算、网络、存储等服务的列表。

二、OpenStack计算命令OpenStack的计算服务（Nova）是其中最核心的部分之一，下面介绍一些常用的计算命令：2.1. 创建虚拟机实例```openstack server create```该命令用于在OpenStack评台上创建新的虚拟机实例，需要指定实例的规格、镜像、网络等参数。

2.2. 查看虚拟机实例列表```openstack server list```该命令可以列出当前OpenStack评台上所有的虚拟机实例，包括其状态、IP位置区域等信息。

2.3. 启动/停止/重启虚拟机实例```openstack server start/stop/reboot```这些命令用于启动、停止或重启指定的虚拟机实例，可以对实例进行灵活的操作。

2.4. 删除虚拟机实例```openstack server delete```该命令用于删除指定的虚拟机实例，需要谨慎操作，以免误删重要数据。

实验二：认证服务Keystone的安装、配置实验目的本次实验的目的是为了让学生通过实际安装配置Keystone来加深对Keystone组件的理解。

（本次实验Keystone安装在controller上）实验内容配置认证服务配置apache服务创建服务实体和API端点创建一个domain，projects、users、roles验证操作创建OpenStack脚本实验步骤①、首先输入密码123456，登录进入虚拟机。

②、然后单击Terminal，进入命令行界面。

③、由于所有步骤与操作均需要在root权限下执行，所以需要切换到root用户下：su输入密码：1234561. 配置认证服务（CONTROLLER下）以root用户身份进入数据库（本环境中默认MYSQL数据库密码为123456）：mysql -u root -p创建keystone数据库：CREATE DATABASE keystone;赋予keystone相关权限（替换KEYSTONE_DBPASS为你自己的密码，如123456）：GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'localhost' IDENTIFIED BY '123456';GRANT ALL PRIVILEGES ON keystone.* TO 'keystone'@'%' IDENTIFIED BY '123456';退出数据库：quit生成一个20位随机值作为初始配置期间管理令牌并记录下来：openssl rand -hex 10例如：我们这里生成的值为34755335fed9c5827e34禁用keystone自动启动：echo "manual" > /etc/init/keystone.override安装软件包keystone apache2 libapache2-mod-wsgi：apt-get install keystone apache2 libapache2-mod-wsgi编辑/etc/keystone/keystone.conf：gedit /etc/keystone/keystone.conf在[DEFAULT]下面添加（替换ADMIN_TOKEN为之前生成的20位随机数，例如本例中生成的34755335fed9c5827e34）,记得把注释的#去掉。

openstack操作手册一、OpenStack简介与架构1.OpenStack概述OpenStack是一个开源的云计算平台，它提供了一整套解决方案，用于部署私有云和公有云。

OpenStack具有高度可扩展、弹性和易于管理的特点，广泛应用于全球各大企业及政府机构。

2.OpenStack核心组件OpenStack主要由以下几个核心组件组成：（1）Nova：计算服务组件，负责虚拟机实例的创建、启动、停止和删除等操作。

（2）Glance：镜像服务组件，用于管理虚拟机镜像的创建、存储和分发。

（3）Swift：对象存储服务组件，提供海量、高可用的对象存储服务。

（4）Keystone：认证服务组件，负责OpenStack整个系统的身份认证和权限管理。

二、OpenStack部署与运维1.部署流程OpenStack部署主要包括以下步骤：（1）准备环境：包括硬件、网络、操作系统等基础设施。

（2）安装OpenStack：根据官方文档，遵循相应的安装教程。

（3）配置OpenStack：配置各个组件之间的关系，如数据库、消息队列等。

（4）启动OpenStack：启动各个组件，并确保它们正常运行。

2.运维策略运维OpenStack时，需要注意以下几点：（1）监控：定期检查系统性能、资源使用情况，确保OpenStack稳定运行。

（2）备份：定期对关键数据进行备份，以防数据丢失或损坏。

（3）安全：确保OpenStack集群的安全性，采取必要的防火墙、加密等措施。

（4）升级：根据OpenStack版本更新计划，及时进行组件升级。

三、OpenStack常用操作教程1.创建与删除实例（1）登录OpenStack控制台，进入Nova组件。

（2）选择实例类型、镜像、存储等信息。

（3）确认配置无误后，创建实例。

（4）实例创建完成后，可以登录到虚拟机进行操作。

（5）若需要删除实例，请在Nova组件中进行操作。

2.配置网络与存储（1）进入Neutron组件，配置虚拟网络、子网和路由器。

文章标题：深度探析OpenStack等保测评操作手册一、引言在当今信息化时代，云计算已经成为企业IT建设的重要组成部分。

而OpenStack作为一种开源的云计算评台，其在企业中的应用越来越广泛。

然而，为了确保OpenStack评台的安全性、可靠性和可用性，进行等保测评至关重要。

本文将以深度和广度兼具的方式，探讨OpenStack等保测评操作手册，帮助读者更深入地理解和掌握这一重要的主题。

二、OpenStack等保测评操作手册的概述1. OpenStack的基本概念在开始探讨等保测评操作手册之前，首先需要了解OpenStack的基本概念。

OpenStack是一种开源的云计算评台，它由一系列服务组成，包括计算、存储、网络等。

其具有高度可扩展性、灵活性和可定制性，可以满足企业各种不同的云计算需求。

2. 等保测评的重要性等保测评是指对信息系统进行安全性评估和等级保护的过程。

在OpenStack评台上进行等保测评可以帮助企业识别和解决安全风险，确保系统的稳定性和安全性，提高系统的可信度和可用性。

3. 操作手册的作用OpenStack等保测评操作手册是为了指导企业在进行等保测评时的具体操作流程和注意事项。

它包括对评台各项功能和配置的具体要求，并指导评估人员如何进行测试和评估。

三、深度探究OpenStack等保测评操作手册1. 部署和配置在进行等保测评操作时，首先需要对OpenStack评台进行部署和配置。

这包括安装和配置各个组件，设定初始的安全策略和权限控制机制，确保系统的初始设置符合等保要求。

2. 安全策略和权限控制OpenStack评台的安全策略和权限控制是等保测评的关键内容。

操作手册应包括对安全策略和权限控制的详细要求，包括用户权限管理、网络访问控制、数据加密等方面的要求和操作步骤。

3. 日志和审计对系统的日志和审计功能进行评估也是等保测评的重要内容。

操作手册应包括对系统日志和审计功能的要求，以及如何进行日志记录、存储和分析的具体操作步骤。

openstack操作手册（最新版）目录一、OpenStack 概述二、OpenStack 组件介绍1.Glance2.Keystone3.Neutron4.Swift5.Nova三、OpenStack 的功能1.提供 REST API2.支持多种方式存储图像3.对实例执行 SN四、OpenStack 的配置与优化1.修改配置文件2.插件的使用五、OpenStack 的测试与实践1.Rally 压力测试2.Tempest 功能性测试正文OpenStack 是一个开源的云计算平台，旨在提供基础设施即服务（IaaS）和平台即服务（PaaS）功能。

它由多个组件组成，共同协作以实现计算、存储和网络资源的管理。

OpenStack 的主要组件包括：1.Glance：Glance 是一个用于管理 OpenStack 镜像的服务。

它能够上传、存储、查询和获取镜像的元数据和镜像本身。

Glance 还支持多种方式存储镜像，包括普通的文件系统、Swift、Amazon S3 等。

2.Keystone：Keystone 是 OpenStack 的身份认证服务，负责管理用户的凭据和访问控制。

它能够提供 REST API，让用户能够查询和获取镜像的元数据和镜像本身。

Keystone 的配置文件中，需要设置 authuri、pastedeploy 和 glancestore 等地方。

3.Neutron：Neutron 是 OpenStack 中负责提供网络服务的组件，基于软件定义网络的思想，实现了网络虚拟化下的资源管理，即：网络即服务。

Neutron 支持多种虚拟交换机，一般使用 Linux 桥接器、Open vSwitch 创建传统的 VLAN 网络，以及基于隧道技术的 Overlay 网络，如 VXLAN 和 GRE。

4.Swift：Swift 是 OpenStack 的对象存储服务，用于存储非结构化数据，如文本文件、图片等。

OpenStack就像开源云评台的摇滚巨星。

但是，在我们被它所有酷酷的特征过度地冲走之前，我们需要确保它不会在其概念证明（PoC）
设置中隐藏任何弱点。

我们要去一个小的弱小的猎物寻找任何薄弱点。

这就像一个侦探，但为云安全！我们将采取一些关键步骤找出
这些弱点，评估它们，然后告诉他们谁是老板。

这就像一个高招的游戏隐藏和寻找，但与网络威胁。

让弱点核查冒险开始！
OpenStack PoC脆弱性验证过程的第一个激动人心的步骤是，通过环境开始一场令人激动的冒险，配备自动扫描工具，以发现隐藏的脆弱性。

这就像一个网络间谍搜索错误的配置，过时的软件，和潜伏在阴
影中的潜伏的安全问题。

等等，还有更多！我们还对OpenStack配置、网络架构和访问控制进行人工检查和分析，破解自动化工具可能
错过的潜在弱点。

这就像解开谜题，揭示OpenStack环境的安全秘密。

这个步骤对于深入了解现有的安全态势是绝对必要的——这是寻求知识和保护！
一旦我们发现了这些狡猾的弱点，是时候把袖子卷起来，并把它们真正测试！想象一下：我们谈论的是潜入细小的细节，看看这些发现有多严重和可开发。

我们谈论的是一些严肃的间谍行为渗透测试利用
这些薄弱点以及观察这一切在OpenStack的野生世界中的表现等等，还有更多！我们不只是停留在那里。

我们还在缩小每一种脆弱性给
我们的《行动纲领》环境带来的潜在风险。

这就像我们是IT世界的侦
探，评估，优先，确保那些坏人没有机会。

这就像一辆翻车车验证和验证，都是为了确保我们在游戏的顶端当它保持事物的安全。

openstack操作手册一、介绍OpenStack是一种开源的云计算平台，通过将计算、存储和网络资源整合起来，提供一个灵活可扩展的云基础设施。

本操作手册将为您提供关于OpenStack的详细指南，帮助您了解和操作这一强大的云计算平台。

二、OpenStack的组件1. NovaNova是OpenStack的计算服务组件，它提供虚拟机管理和资源调度。

您可以使用Nova创建、启动、暂停、删除和迁移虚拟机实例，以满足不同的计算需求。

2. NeutronNeutron是OpenStack的网络服务组件，它提供虚拟网络的创建和管理。

您可以使用Neutron创建和管理虚拟网络、子网和路由器，以及配置虚拟机实例的网络连接。

3. CinderCinder是OpenStack的块存储服务组件，它允许用户创建和管理块设备，并将其挂载到虚拟机实例上。

您可以使用Cinder创建、删除、扩展和快照块设备，以满足存储需求。

4. SwiftSwift是OpenStack的对象存储服务组件，它提供了一个高可扩展的对象存储系统。

您可以使用Swift上传、下载、复制和删除对象，并进行对象的元数据管理。

5. KeystoneKeystone是OpenStack的身份认证服务组件，它提供了用户和角色的管理，以及身份认证和授权功能。

您可以使用Keystone创建用户、角色和项目，并为其分配相应的权限。

6. GlanceGlance是OpenStack的镜像服务组件，它允许用户上传、注册和管理虚拟机镜像。

您可以使用Glance创建、删除、共享和复制虚拟机镜像，并为虚拟机实例的启动提供基础镜像。

三、安装和配置OpenStack1. 硬件和软件要求在安装OpenStack之前，您需要确保服务器满足一定的硬件要求，并安装了支持的操作系统和相关软件。

2. 安装OpenStack组件您可以根据需要选择安装和配置OpenStack的各个组件，以满足特定的云计算需求。

keystone认证服务流程
Keystone认证服务是OpenStack中的身份认证和访问管理服务，它提供了用户认证、角色管理、策略管理等功能。

这篇文章将介绍Keystone认证服务的流程。

Keystone认证服务的流程可以分为以下几个步骤：
1. 用户认证
用户通过客户端向Keystone发送认证请求，请求中包含用户名和密码。

Keystone通过验证用户名和密码来确定用户是否合法。

2. 访问令牌
如果用户认证成功，Keystone会为该用户生成一个访问令牌。

访问令牌是OpenStack中的一个重要概念，它是用户访问OpenStack 系统资源的凭证。

3. 访问控制
访问令牌生成后，Keystone会对用户所拥有的角色进行验证。

角色是Keystone中的另一个重要概念，它是用来定义用户对OpenStack资源的访问级别的。

4. 访问资源
如果用户的角色验证通过，Keystone会将访问令牌返回给客户端。

客户端通过携带访问令牌来访问OpenStack系统资源。

5. 访问限制
OpenStack在访问资源时还会进行访问限制。

访问限制是用来限制用户对资源的访问权限和访问范围的。

6. 访问日志
OpenStack还会记录用户的访问日志，这是为了方便监控和审计用户的操作，以保证系统的安全性和稳定性。

总之，Keystone认证服务是OpenStack中的重要组成部分，它能够确保只有经过认证的用户才能够访问OpenStack系统资源，并且能够限制用户的访问权限和访问范围，从而保证系统的安全性和稳定性。

openstack知识点总结OpenStack是一个开源的云计算平台，它的目标是提供一个可伸缩的云计算平台，使用户能够轻松地构建和管理私有云和公有云。

OpenStack由一系列组件和项目组成，每个项目都提供不同的功能和服务。

在本文中，我们将对OpenStack的核心知识点进行总结，包括其架构、组件、网络、存储、身份认证等方面的内容。

一、OpenStack架构OpenStack的架构是一个由多个组件和服务构成的系统，其中各组件相互之间通过API进行通信，实现云计算服务。

OpenStack的架构主要包括以下几个组件：1.计算（Nova）：Nova是OpenStack的计算服务组件，用于虚拟机和其他实例的管理。

它提供了虚拟机的创建、启动、停止和销毁等功能。

2.网络（Neutron）：Neutron是OpenStack的网络服务组件，用于配置和管理虚拟网络。

它提供了网络拓扑的管理、IP地址分配、虚拟网络的连接等功能。

3.存储（Cinder、Swift）：Cinder是OpenStack的块存储服务组件，用于提供持久化存储。

Swift是OpenStack的对象存储服务组件，用于存储非结构化数据。

4.身份认证（Keystone）：Keystone是OpenStack的身份认证服务组件，用于用户和服务的身份认证、授权和访问控制。

5.图像（Glance）：Glance是OpenStack的镜像服务组件，用于创建和管理虚拟机的镜像。

6.数据库（Trove）：Trove是OpenStack的数据库服务组件，用于提供数据库即服务（DBaaS）。

7. 资源编排（Heat）：Heat是OpenStack的资源编排服务组件，用于定义和管理云资源的部署。

二、OpenStack组件1. NovaNova是OpenStack的计算服务组件，它通过管理和调度计算资源，为用户提供虚拟机和其他实例的创建和管理。

Nova提供了一组API，用于控制虚拟机的生命周期，包括创建、启动、暂停、恢复、停止、销毁等操作。

keystone认证服务流程Keystone认证服务流程Keystone是OpenStack中的一个重要组件，它提供了身份认证和授权服务。

在OpenStack中，用户需要通过Keystone认证才能访问其他服务。

本文将介绍Keystone认证服务的流程。

一、用户认证用户在访问OpenStack服务之前，需要先进行身份认证。

Keystone支持多种认证方式，包括用户名/密码、令牌、证书等。

其中，用户名/密码是最常用的认证方式。

用户在进行用户名/密码认证时，需要向Keystone发送认证请求。

Keystone会验证用户提供的用户名和密码是否正确。

如果验证通过，Keystone会生成一个令牌，并将该令牌返回给用户。

二、令牌验证用户在访问其他OpenStack服务时，需要携带令牌进行访问。

服务会向Keystone发送令牌验证请求。

Keystone会验证令牌的有效性，并返回验证结果。

如果令牌验证通过，服务会根据令牌中的信息进行授权。

如果令牌验证失败，服务将拒绝用户的访问请求。

三、令牌过期令牌有一定的有效期，过期后需要重新进行认证。

Keystone会定期清理过期的令牌，以释放资源。

四、权限管理Keystone还提供了权限管理功能。

管理员可以通过Keystone管理界面对用户进行授权，以限制用户的访问权限。

管理员可以为用户分配角色，角色包含一组权限。

用户在访问服务时，需要拥有相应的角色才能访问。

五、总结Keystone认证服务是OpenStack中的一个重要组件，它提供了身份认证和授权服务。

用户需要通过Keystone认证才能访问其他服务。

Keystone支持多种认证方式，包括用户名/密码、令牌、证书等。

令牌有一定的有效期，过期后需要重新进行认证。

管理员可以通过Keystone管理界面对用户进行授权，以限制用户的访问权限。

1. openStack互操作性认证内容DefCore（OpenStack CoreDefinition）是OpenStack 董事会在2014 年11 月提出的一个项目，即认定厂商的部署为合法OpenStack 的最基本的功能。

OpenStack 希望基于这一项目实现不同OpenStack 商业解决方案之间的互操作性。

OpenStack 的云计算运营商可以选择在其云计算部署许多其它部件，但它们都必须通过测试所需要的最基本的功能。

根据OpenStack 官方网站显示，OpenStack 互操作性测试包括三项不同的官方许可程序，包含OpenStack 软件的产品都可以申请运行这些程序，通过者就可以获得“OpenStack Powered”官方标识。

三项官方的许可程序分别是，●OpenStack Powered Platform●OpenStack Powered Compute●OpenStack Powered Object Storage。

其中，OpenStack Powered Platform 的测试结合了OpenStack Powered Compute 和OpenStack Powered Object Storage 的技术要求。

2. 互操作性测试工具- RefstackRefstack 是一个工具集用于OpenStack 云之间的互操作性测试。

它由两部分组成：服务器和客户端。

Refstack 服务器通过API 收集来自私有云和公有云供应商的互操作性的测试数据，使用UI 展现用户上传的数据并查看前面提到的DefCore 定义的基本功能的测试结果。

Refstack 客户端封装了OpenStack Tempest 测试框架，将运行Tempest API 测试，并会按照Refstack API 的期望来格式化测试结果，将数据上传到Refstack 服务器。

3. Refstack 客户端安装refstack-client 可以被安装在Ubuntu、Centos, RHEL 和OpenSUSE 这些平台。

第２９卷第４期北京电子科技学院学报２０２１年１２月Ｖｏｌ.２９Ｎｏ.４ＪｏｕｒｎａｌｏｆＢｅｉｊｉｎｇＥｌｅｃｔｒｏｎｉｃＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙＩｎｓｔｉｔｕｔｅＤｅｃ.２０２１基于ＳＭ９的ＯｐｅｎＳｔａｃｋ双向认证方案研究与设计∗张柁苧㊀王㊀雄㊀池亚平北京电子科技学院ꎬ北京市㊀１０００７０摘㊀要:ＯｐｅｎＳｔａｃｋ作为主流的开源云平台ꎬ其安全认证基于Ｋｅｙｓｔｏｎｅ组件提供的ＵＵＩＤＴｏｋｅｎ㊁ＰＫＩＴｏｋｅｎ等方式ꎬ在总结分析ＯｐｅｎＳｔａｃｋ云平台目前基于Ｔｏｋｅｎ认证的安全问题基础上ꎬ设计一种基于ＳＭ９的双向身份认证方案ꎬ利用ＳＭ９根据身份标识产生私钥的优点ꎬ解决了ＵＵＩＤＴｏｋｅｎ无法本地认证㊁ＰＫＩＴｏｋｅｎ证书管理复杂等问题ꎬ并在认证流程中完成ＳＭ９的安全密钥分发ꎮ经分析ꎬ该方案不仅简化了认证流程ꎬ同时也增强了Ｔｏｋｅｎ的安全性ꎮ关键词:ＳＭ９算法ꎻ身份认证ꎻＯｐｅｎＳｔａｃｋ中图分类号:ＴＮ３０９㊀㊀㊀文献标识码:Ａ文章编号:１６７２－４６４Ｘ(２０２１)４－４５－５０∗㊀基金项目:国家重点研发计划项目(２０１８ＹＦＢ１００４１００)∗∗㊀作者简介:张柁苧(１９９８ )ꎬ女ꎬ重庆巫溪人ꎬ硕士研究生ꎬ主要研究方向为云计算安全ꎮ王雄(１９７７ )ꎬ男ꎬ河北保定人ꎬ副教授ꎬ硕士ꎬ主要研究方向为密码系统设计ꎮ池亚平(１９６９ )ꎬ女ꎬ河北沙河人ꎬ教授ꎬ硕士ꎬ主要研究方向为云计算安全ꎮ引言随着互联网产业的飞速发展ꎬ云计算得到了广泛运用ꎮ云计算技术通过整合分布式资源ꎬ构建出灵活㊁可扩展的虚拟计算环境[１][２]ꎬ用户通过云计算平台的身份认证后ꎬ即可使用计算资源㊁存储资源㊁网络资源等ꎬ并且不受时间和空间的限制ꎮ故用户的合法身份认证ꎬ是保障云端数据安全的重要前提ꎮ本文对主流开源云平台ＯｐｅｎＳｔａｃｋ的身份认证机制进行研究ꎬ分析其现有的身份认证机制存在的问题ꎬ针对其无法本地认证㊁证书管理复杂㊁明文传输等安全性问题ꎬ提出基于国密ＳＭ９算法的双向身份认证方案ꎬ并分析证明其能够抵抗的网络攻击ꎮ１㊀相关工作１ １㊀ＯｐｅｎＳｔａｃｋ云平台身份认证机制分析１ １ １㊀ＯｐｅｎＳｔａｃｋ架构ＯｐｅｎＳｔａｃｋ是由美国国家航空航天局与Ｒａｃｋｓｐａｃｅ联合推出的开源云平台ꎬ其因为模块松耦合㊁组件配置灵活㊁二次开发容易等优点而受到广泛关注ꎮＯｐｅｎＳｔａｃｋ的核心组件模块如下:(１)Ｎｏｖａ 管理虚拟机的生命周期ꎬ是ＯｐｅｎＳｔａｃｋ最为核心的模块ꎻ(２)Ｎｅｕｔｒｏｎ 为ＯｐｅｎＳｔａｃｋ提供各种网络功能ꎬ负责Ｌ２层(数据链路层)㊁Ｌ３层(网络层)网络的创建和管理ꎬ打通虚拟机与物理机的网络通信ꎻ(３)Ｃｉｎｄｅｒ 为虚拟机提供块存储服务ꎬ将Ｖｏｌｕｍｅ作为虚拟硬盘挂载在虚拟机上ꎻ(４)Ｋｅｙｓｔｏｎｅ 认证授权模块ꎬ不论是用户还是其它模块ꎬ都需要通过Ｋｅｙｓｔｏｎｅ认证授权ꎻ. All Rights Reserved.北京电子科技学院学报２０２１年(５)Ｇｌａｎｃｅ 管理虚拟机镜像ꎬＯｐｅｎＳｔａｃｋ启动虚拟机所使用的镜像㊁用户备份的快照等都由此模块管理ꎻ(６)Ｓｗｉｆｔ 为虚拟机提供对象存储服务ꎬ作为一种高级的备选存储方案ꎬ一般用作Ｃｉｎｄｅｒ的备份后端和Ｇｌａｎｃｅ存储镜像ꎻ(７)Ｈｏｒｉｚｏｎ 为用户提供一个Ｗｅｂ交互界面ꎮ各组件之间的关系如图１所示ꎬＶＭ(ＶｉｒｔｕａｌＭａｃｈｉｎｅꎬ虚拟机)作为整个系统服务的对象ꎬ各个模块分别为ＶＭ提供其所需的各类资源或服务ꎬ而各个服务又以Ｋｅｙｓｔｏｎｅ为中心ꎬ由Ｋｅｙｓｔｏｎｅ提供认证和授权ꎮ图１㊀ＯｐｅｎＳｔａｃｋ组件关系ＯｐｅｎＳｔａｃｋ的组件通过开放标准的ＡＰＩ接口来提供服务ꎬ而且所有与服务ＡＰＩ有关的调用都与Ｋｅｙｓｔｏｎｅ有关ꎮ以认证ＡＰＩ的方式为ＯｐｅｎＳｔａｃｋ提供身份验证㊁规则管理和令牌(Ｔｏ￣ｋｅｎ)颁发服务ꎮ计算㊁对象存储等服务首先需要向Ｋｅｙｓｔｏｎｅ注册其服务地址ꎬ然后服务之间的相互调用ꎬ要先经过Ｋｅｙｓｔｏｎｅ的身份验证ꎬ获得一个Ｔｏｋｅｎ和目标服务地址ꎬ根据这个Ｔｏｋｅｎ访问目标服务地址来获取目标服务[３]ꎮ以用户创建虚拟机为例ꎬ用户完成登录认证后ꎬ收到Ｋｅｙ￣ｓｔｏｎｅ颁发的Ｔｏｋｅｎꎬ凭借Ｔｏｋｅｎ依次向Ｎｏｖａ请求创建虚拟机㊁Ｇｌａｎｃｅ请求镜像㊁Ｎｅｕｒｏｎ请求网络ꎬＮｏｖａ㊁Ｇｌａｎｃｅ㊁Ｎｅｕｒｏｎ收到服务请求后ꎬ首先向Ｋｅｙｓｔｏｎｅ验证Ｔｏｋｅｎ有效性ꎬ再为用户提供下一步服务ꎮＫｅｙｓｔｏｎｅ类似于ＯｐｅｎＳｔａｃｋ的一个服务总线ꎬ其安全问题直接影响系统和其他组件的安全ꎮ在进行身份认证时ꎬ除Ｋｅｙｓｔｏｎｅ外的其他组件均可视为资源服务器ꎮ１ １ ２㊀基于Ｋｅｙｓｔｏｎｅ组件的身份认证机制分析根据ＯｐｅｎＳｔａｃｋ的组件机制可将其身份认证分为两步:用户登录时提供ｃｒｅｄｅｎｔｉａｌｓ(用户名/密码等)ꎬＫｅｙｓｔｏｎｅ从数据库进行查询验证ꎬ验证通过并为用户颁发Ｔｏｋｅｎꎻ用户凭借Ｔｏｋｅｎ访问资源服务器ꎬ资源服务器验证用户身份合法性并为其提供服务ꎮ在Ｇｒｉｚｚｌｙ版之前ＯｐｅｎＳｔａｃｋ使用ＵＵＩＤＴｏ￣ｋｅｎꎬ㊀Ｇｒｉｚｚｌｙ版之后ＯｐｅｎＳｔａｃｋ引入了ＰＫＩＴｏ￣ｋｅｎꎬ这是因为ＰＫＩ(ＰｕｂｌｉｃＫｅｙＩｎｆｒａｓｔｒｕｃｔｕｒｅꎬ公钥基础设施)不但提高了身份认证两个步骤过程的安全性ꎬ同时使得第二步中的扩展性更好ꎮ(１)ＵＵＩＤＴｏｋｅｎ认证方案分析ＵＵＩＤＴｏｋｅｎ是最原始的认证方法ꎮ认证流程如图２所示ꎮ用户请求时ꎬＫｅｙｓｔｏｎｅ将ＵＵＩＤＴｏｋｅｎ分配给用户ꎬ用户得到Ｔｏｋｅｎ后将其缓存到本地ꎮ用户请求资源服务器时调用特定的ＡＰＩꎬ将ＵＵＩＤＴｏｋｅｎ作为参数传递ꎮ资源服务器收到请求后ꎬ将ＵＵＩＤＴｏｋｅｎ传给Ｋｅｙｓｔｏｎｅ进行验证ꎬ根据验证结果判断是否为用户提供服务ꎮ图２㊀ＵＵＩＤＴｏｋｅｎ认证过程６４. All Rights Reserved.第２９卷基于ＳＭ９的ＯｐｅｎＳｔａｃｋ双向认证方案研究与设计㊀㊀㊀(２)ＰＫＩＴｏｋｅｎ认证方案分析认证流程如图３所示ꎮ在ＰＫＩＴｏｋｅｎ验证过程中ꎬＯｐｅｎＳｔａｃｋ将Ｋｅｙｓｔｏｎｅ作为数字签名认证中心使用ꎮＫｅｙｓｔｏｎｅ使用签名密钥和数字证书对Ｔｏｋｅｎ进行签名ꎬ避免每次请求都需要向Ｋｅｙｓｔｏｎｅ验证Ｔｏｋｅｎ的有效性ꎮ每个资源服务器都持有Ｋｅｙｓｔｏｎｅ的ＣＡ数字签名㊁签名证书和证书撤销列表ꎬ资源服务器使用这些信息直接验证用户的Ｔｏｋｅｎꎮ图３㊀ＰＫＩＴｏｋｅｎ认证过程１ １ ３㊀安全性分析上述基于Ｋｅｙｓｔｏｎｅ组件的认证机制存在以下问题:(１)ＵＵＩＤ认证方式中ꎬ每个用户请求都需要资源服务器向Ｋｅｙｓｔｏｎｅ验证ꎬ而在云计算环境下ꎬ海量的用户请求带来高并发问题ꎬ使Ｋｅｙｓｔｏｎｅ存在性能瓶颈ꎻＰＫＩ认证方式中ꎬ由于证书携带的信息增加ꎬ容易超出最大ＨＴＴＰ请求头ꎬ导致ＨＴＴＰ请求失败ꎮ(２)２０１９年５月发布的«信息安全技术网络安全等级保护基本要求»(简称等保２ ０)中ꎬ针对云计算等新技术应用ꎬ提出了新的安全扩展要求ꎬ其明确指出管理终端和云计算平台之间应建立双向身份验证机制[４]ꎬ即用户请求资源时ꎬ不仅服务器对用户进行身份认证ꎬ用户也应当对服务器进行认证ꎬ以此避免篡改㊁重放㊁中间人攻击等问题ꎮ(３)认证过程中ꎬ用户名密码等信息以明文的形式进行传输ꎬ一旦被攻击者窃听或截获ꎬ则直接导致信息泄露ꎮ２㊀基于ＳＭ９的身份认证方案设计中国标识密码ＳＭ９算法于２０１６年３月正式对外发布ꎬ于２０１８年１１月正式成为国际标准ꎮ近年来ꎬＳＭ９算法凭借自身相对简洁低耗的优势ꎬ在电子邮件系统㊁物联网㊁区块链等领域都得到了广泛的使用和发展ꎮ国密ＳＭ９算法作为标识密码算法的一种ꎬ利用主密钥和用户标识ꎬ通过密钥生成中心(ＫｅｙＧｅｎｅｒａｔｉｏｎＣｅｎｔｅｒꎬＫＧＣ)产生用户私钥ꎬ而用户的公钥由用户唯一的标识信息(如姓名㊁邮箱地址㊁手机号码等)产生ꎬ不需要第三方(ＣＡ认证中心等)来保证公钥来源的真实性[５][６]ꎬ是去中心化的典型体现ꎮ将ＳＭ９算法应用到基于ＯｐｅｎＳｔａｃｋ云平台的身份认证中ꎬ不仅保有传统ＰＫＩ技术支持本地验证㊁减轻Ｋｅｙｓｔｏｎｅ压力的优点ꎬ还不需要面对ＰＫＩ机制中复杂的证书交换问题带来的管理开销㊁运维成本ꎮ基于Ｋｅｙｓｔｏｎｅ认证机制存在的问题以及等保２ ０中对云计算身份认证的要求ꎬ提出基于国密ＳＭ９算法的双向认证方案ꎮ截止到２０２０年４月２８日发布的中国国家标准«ＧＢ/Ｔ３８６３５ ２－２０２０信息安全技术ＳＭ９标识密码算法»ꎬ各个标准中的算法流程都基于通信双方已持有私钥ꎬ而未给出私钥分发方案ꎬ故本文还将结合对称密码算法在身份认证过程中保证ＳＭ９密钥的安全分发ꎮ在本方案中ꎬ将密钥生成中心(ＫＧＣ)集成于Ｋｅｙｓｔｏｎｅ组件ꎮ２.１㊀认证流程设计在ＯｐｅｎＳｔａｃｋ云平台系统初始化阶段及用户注册成功后ꎬ各资源服务器㊁用户均首先向Ｋｅｙｓｔｏｎｅ申请ＳＭ９标识私钥ꎬ实质上也就是向７４. All Rights Reserved.北京电子科技学院学报２０２１年Ｋｅｙｓｔｏｎｅ下的密钥生成中心申请私钥ꎮ下面以用户为例说明密钥分发过程ꎬ其中用到的符号及描述如表１所示ꎮ表１㊀身份认证协议符号记法符号描述ＫＳＫｅｙｓｔｏｎｅＵＳ用户Ｓ资源服务器ｒａｎｄｏｍ随机数ＳｙｓＫＳＭ４对称密钥ＫＰＫＫｅｙｓｔｏｎｅ标识公钥ＫＳＫＫｅｙｓｔｏｎｅ标识私钥ＵＰＫ用户标识公钥ＵＳＫ用户标识私钥ＳＰＫ资源服务器标识公钥ＳＳＫ资源服务器标识私钥Ｅ( )加密操作ＳＩＧ( )签名操作ＩＤ用户身份标识ＡＵ用户权限ｍ消息｜｜字符串连接符密钥分发过程如图４所示ꎮ(１)用户随机生成ＳＭ４对称密钥和一个随机数ꎬ并使用Ｋｅｙｓｔｏｎｅ的标识公钥加密ＳＭ４对称密钥㊁随机数㊁用户ＩＤ及密码ꎬ即:ＵＳңＫＳ:ＥＫＰＫ(ＳｙｓＫ｜｜ｒａｎｄｏｍ｜｜ＩＤ｜｜ｐａｓｓ￣ｗｏｒｄ)(２)Ｋｅｙｓｔｏｎｅ使用自己的ＳＭ９私钥解密ꎬ得到ＳＭ４会话密钥㊁随机数㊁用户ＩＤ及密码ꎬ查询数据库验证用户信息是否有效ꎬ如果有效则继续下一步ꎬ否则拒绝请求ꎮ(３)Ｋｅｙｓｔｏｎｅ调用密钥分发中心为此用户ＩＤ生成ＳＭ９私钥ꎬ使用ＳＭ４会话密钥加密该用户的ＳＭ９私钥㊁随机数ꎬ即:ＫＳңＵＳ:ＥＳｙｓＫ(ＵＳＫ｜｜ｒａｎｄｏｍ) (４)用户使用第１步生成的ＳＭ４对称密钥解密ꎬ得到自己的ＳＭ９私钥㊁随机数ꎬ将该随机数与第１步的随机数进行对比ꎬ验证Ｋｅｙｓｔｏｎｅ的合法性ꎮ若验证通过ꎬ则ＳＭ９密钥分发完毕ꎬ且通信双方完成双向认证ꎮ图４㊀密钥分发流程根据上述密钥分发方案ꎬ默认后续身份认证流程中用户及资源服务器等均拥有自己的ＳＭ９标识私钥ꎮ本身份认证方案中用到的符号及描述见表１ꎮ本方案的认证流程如图５所示ꎮ(１)用户发送用户名/密码和请求信息给Ｋｅｙｓｔｏｎｅꎬ消息使用Ｋｅｙｓｔｏｎｅ标识公钥加密ꎬ即:ＵＳңＫＳ:ＥＫＰＫ(ｍ)(２)Ｋｅｙｓｔｏｎｅ解密后首先验证用户身份ꎬ然后对用户身份㊁时间戳㊁权限等进行签名作为Ｔｏｋｅｎꎬ即ＳＩＧＫＳＫ(ＩＤ｜｜Ｔ｜｜ＡＵ)ꎬ使用用户的ＳＭ９标识公钥对Ｔｏｋｅｎ进行加密ꎬ即:ＫＳңＵＳ:ＥＵＰＫ(Ｔｏｋｅｎ｜｜ＩＤ｜｜Ｔ｜｜ＡＵ) (３)用户使用自己的ＳＭ９标识私钥对Ｔｏｋｅｎ进行解密ꎬ同时生成一个随机数ꎬ再次使用私钥对Ｔｏｋｅｎ及随机数进行签名ꎬ将二次签名的Ｔｏｋｅｎ及随机数加密发送给资源服务器请求服务ꎬ即:ＵＳңＳ:ＥＳＰＫ(ＳＩＧＵＳＫ(Ｔｏｋｅｎ｜｜ｒａｎｄｏｍ)｜｜ＩＤ｜｜Ｔ｜｜ＡＵ｜｜ｒａｎｄｏｍ)(４)资源服务器使用自己的标识私钥解密后ꎬ首先根据用户身份得到用户标识公钥ꎬ使用该公钥对消息验签ꎬ若验证通过ꎬ不仅可以确定用户的合法身份ꎬ还可以防止用户抵赖ꎮ第一次８４. All Rights Reserved.第２９卷基于ＳＭ９的ＯｐｅｎＳｔａｃｋ双向认证方案研究与设计㊀验证通过后ꎬ再使用Ｋｅｙｓｔｏｎｅ标识公钥验签ꎬ对比二次验签后得到的用户ＩＤ与第一次验签时使用的用户ＩＤ一致ꎬ若验证通过ꎬ则使用用户标识公钥加密随机数并发送给用户ꎬ提供服务ꎬ即:ＳңＵＳ:ＥＵＰＫ(ｒａｎｄｏｍ)(５)用户使用自己的标识私钥解密ꎬ将得到的随机数与第３步的随机数进行对比ꎬ若一致ꎬ则继续后续请求ꎮ图５㊀基于ＳＭ９的身份认证流程２ ２㊀方案分析在本方案中ꎬ不仅减少了身份验证时对Ｋｅｙｓｔｏｎｅ的依赖ꎬ支持本地验证ꎬ还发挥了标识密码算法的优势ꎬ不需要各通信节点保存所有其他节点的公钥ꎬ减轻了密钥管理的压力ꎬ提高了安全性ꎮ文献[８]提出基于数字证书的身份认证协议ꎬ虽然安全性有所提高ꎬ但认证过程中对话高达１７次ꎬ效率较低ꎮ文献[９]依赖ＣＡ认证中心颁发的证书ꎬ通过加密技术来提高身份认证安全性ꎬ没有解决ＰＫＩＴｏｋｅｎ的本质问题ꎮ以下从加密传输㊁双向认证㊁抗重放攻击三个方面对改进方案的安全性进行分析ꎮ(１)加密传输在Ｋｅｙｓｔｏｎｅ认证过程中ꎬ用户名/口令等都是以明文形式发送ꎬ默认使用ＨＴＴＰ协议进行认证[７]ꎬ即使是在ＰＫＩＴｏｋｅｎ认证方式中ꎬ也只是通过非对称加密技术实现了ＨＴＴＰＳ加密ꎬ而Ｔｏ￣ｋｅｎ交互过程仍为明文传输ꎬ无法保证数据安全ꎮ本文方案借助ＳＭ９标识密码算法在密钥管理上的优势ꎬ利用通信各方的公钥公开ꎬ保证数据流全加密ꎬ即使攻击者截获消息ꎬ也无法得到有效信息ꎬ具有更高的数据安全性ꎮ(２)双向认证Ｋｅｙｓｔｏｎｅ作为ＯｐｅｎＳｔａｃｋ云平台最重要的组件之一ꎬ默认其身份是可信的ꎬ即在交互过程中只有Ｋｅｙｓｔｏｎｅ对用户的身份认证ꎬ没有用户对Ｋｅｙｓｔｏｎｅ的身份认证ꎬ而伪造一个假的Ｋｅｙｓｔｏｎｅ是完全可行的ꎬ故实现双向认证对提高ＯｐｅｎＳｔａｃｋ的安全性有至关重要的作用ꎮ本文方案中的资源服务器和Ｋｅｙｓｔｏｎｅ均拥有自己的ＳＭ９公私钥ꎬ通过发送随机数实现资源服务器对Ｋｅｙｓｔｏｎｅ的验证ꎬ在一定程度上可以抵御中间人攻击ꎮ(３)抗重放攻击在用户请求资源服务器的服务时ꎬ若存在攻击者截获用户的ＡＰＩ请求ꎬ并利用该请求对ＡＰＩ接口发动重放攻击ꎮ在本方案中ꎬ客户端与服务器端发送请求或响应请求时会附加随机数及时间戳ꎬ并在随后接收到的响应中检查该随机数ꎬ若随机数重复接收ꎬ则可以判断受到了重放攻击ꎮ３㊀结束语本文首先着重介绍了ＯｐｅｎＳｔａｃｋ云平台下基于Ｋｅｙｓｔｏｎｅ组件的身份认证机制ꎬ分析了ＵＵＩＤＴｏｋｅｎ㊁ＰＫＩＴｏｋｅｎ两种基本认证方式的安全性问题ꎬ在此基础上提出了基于ＳＭ９的双向认证方案ꎮ在本方案中ꎬ借助对称密码算法实现了ＳＭ９标识私钥的安全分发ꎬ在身份认证流程中各通信双方的信息均通过加密处理ꎬ窃听者无法直接获取明文ꎬ保密性较高ꎬ同时也解决了ＵＵＩＤＴｏｋｅｎ认证时无法本地认证㊁ＰＫＩＴｏｋｅｎ证书管理复杂的问题ꎬ通过用户与资源服务器的双９４. All Rights Reserved.北京电子科技学院学报２０２１年向认证避免中间人攻击等ꎬ具有较高的安全性ꎬ密钥管理相对简单ꎬ认证效率有所提高ꎮ下一步工作应对该方案中的密钥生成中心等进行设计评估ꎬ提高性能及系统工作效率ꎮ参考文献[１]㊀王斌锋ꎬ苏金树ꎬ陈琳.云计算数据中心网络设计综述[Ｊ].计算机研究与发展ꎬ２０１６ꎬ５３(９):２０８５－２１０６.[２]㊀张玉清ꎬ王晓菲ꎬ刘雪峰ꎬ刘玲.云计算环境安全综述[Ｊ].软件学报ꎬ２０１６ꎬ２７(６):１３２８－１３４８.[３]㊀ＭａｒｋｅｌｏｖＡ.ＧｅｔｔｉｎｇｔｏＫｎｏｗＯｐｅｎＳｔａｃｋ[Ｍ]//ＣｅｒｔｉｆｉｅｄＯｐｅｎＳｔａｃｋＡｄｍｉｎｉｓｔｒａｔｏｒＳｔｕｄｙＧｕｉｄｅ.Ａｐｒｅｓｓꎬ２０１６:３２－４１.[４]㊀赖静ꎬ韦湘ꎬ陈妍.等保２ ０云计算安全扩展要求及分析[Ｊ].网络空间安全ꎬ２０１９ꎬ１０(７):２４－３１.[５]㊀袁峰ꎬ程朝辉.ＳＭ９标识密码算法综述[Ｊ].信息安全研究ꎬ２０１６ꎬ２(１１):１００８－１０２７.[６]㊀ＣｈｅｎＴꎬＭａＳ.ＡＳｅｃｕｒｅＥｍａｉｌＥｎｃｒｙｐｔｉｏｎＰｒｏｘｙＢａｓｅｄｏｎＩｄｅｎｔｉｔｙ￣ＢａｓｅｄＣｒｙｐｔｏｇｒａｐｈｙ[Ｃ]//ＭｕｌｔｉＭｅｄｉａａｎｄＩｎｆｏｒｍａｔｉｏｎＴｅｃｈｎｏｌｏｇｙꎬ２００８.ＭＭＩＴ'０８.ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎ.２００９.[７]㊀ＡＢＤＵＬＬＡＮꎬＥＲÇＥＬＥＢＩＥ.Ｉｄｅｎｔｉｆｙｃｌｏｕｄｓｅｃｕｒｉｔｙｗｅａｋｎｅｓｓｒｅｌａｔｅｄｔｏａｕｔｈｅｎｔｉｃａｔｉｏｎａｎｄｉｄｅｎｔｉｔｙｍａｎａｇｅｍｅｎｔ(ＩＡＭ)ｕｓｉｎｇｏｐｅｎｓｔａｃｋｋｅｙｓｔｏｎｅｍｏｄｅｌ[Ｃ]//ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎＥｎｇｉｎｅｅｒｉｎｇａｎｄＴｅｃｈｎｏｌｏｇｙꎬＣｏｍｐｕｔｅｒꎬＢａｓｉｃｓａｎｄＡｐｐｌｉｅｄＳｃｉｅｎｃｅｓ.２０１７:１－５.[８]㊀朱智强ꎬ林韧昊ꎬ胡翠云.基于数字证书的ＯｐｅｎＳｔａｃｋ身份认证协议[Ｊ].通信学报ꎬ２０１９ꎬ４０(２):１８８－１９６.[９]㊀ＣｕｉꎬＢ.Ｊ.ａｎｄＸｉꎬＴ.(２０１５)ＳｅｃｕｒｉｔｙＡｎａｌｙｓｉｓｏｆＯｐｅｎＳｔａｃｋＫｅｙｓｔｏｎｅ.ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎＩｎｎｏｖａｔｉｖｅＭｏｂｉｌｅ＆ＩｎｔｅｒｎｅｔＳｅｒｖｉｃｅｓｉｎＵｂｉｑｕｉｔｏｕｓＣｏｍｐｕｔｉｎｇꎬＢｌｕｍｅｎａｕꎬ８－１０Ｊｕｌｙ２０１５ꎬ２８３－２８８.ＲｅｓｅａｒｃｈａｎｄＤｅｓｉｇｎｏｆＯｐｅｎＳｔａｃｋＭｕｔｕａｌＡｕｔｈｅｎｔｉｃａｔｉｏｎＳｃｈｅｍｅＢａｓｅｄｏｎＳＭ９ＺＨＡＮＧＴｕｏｎｉｎｇ㊀ＷＡＮＧＸｉｏｎｇ㊀ＣＨＩＹａｐｉｎｇＢｅｉｊｉｎｇＥｌｅｃｔｒｏｎｉｃＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙＩｎｓｔｉｔｕｔｅꎬＢｅｉｊｉｎｇ１０００７０ꎬＰ.Ｒ.ＣｈｉｎａＡｂｓｔｒａｃｔ:ＯｐｅｎＳｔａｃｋｉｓａｐｒｅｖａｉｌｉｎｇｏｐｅｎｓｏｕｒｃｅｃｌｏｕｄｐｌａｔｆｏｒｍꎬｗｈｏｓｅｓｅｃｕｒｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｉｓｂａｓｅｄｏｎｔｈｅＵＵＩＤｔｏｋｅｎａｎｄｔｈｅＰＫＩｔｏｋｅｎｐｒｏｖｉｄｅｄｂｙｔｈｅｋｅｙｓｔｏｎｅｃｏｍｐｏｎｅｎｔ.Ｗｉｔｈａｓｕｍｍａｒｙａｎｄａｎａｌｙ￣ｓｉｓｏｆｔｈｅｃｕｒｒｅｎｔｓｅｃｕｒｉｔｙｉｓｓｕｅｓｏｆｔｏｋｅｎａｕｔｈｅｎｔｉｃａｔｉｏｎｂａｓｅｄＯｐｅｎＳｔａｃｋｃｌｏｕｄｐｌａｔｆｏｒｍꎬｉｎｔｈｉｓｐａｐｅｒꎬａｍｕｔｕａｌｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｓｃｈｅｍｅｂａｓｅｄｏｎｔｈｅＳＭ９ｉｓｄｅｓｉｇｎｅｄ.ＩｎｔｈｅｓｃｈｅｍｅꎬｔｈｅａｄｖａｎｔａｇｅｏｆＳＭ９ｔｈａｔｔｈｅｐｒｉｖａｔｅｋｅｙｉｓｇｅｎｅｒａｔｅｄａｃｃｏｒｄｉｎｇｔｏｔｈｅｉｄｅｎｔｉｔｙｌａｂｅｌｉｓｕｔｉｌｉｚｅｄｔｏｓｏｌｖｅｔｈｅｐｒｏｂｌｅｍｓｔｈａｔｔｈｅＵＵＩＤｔｏｋｅｎｌａｃｋｓｔｈｅｃａｐａｂｉｌｉｔｙｏｆｂｅｉｎｇａｕｔｈｅｎｔｉｃａｔｅｄｌｏｃａｌｌｙａｎｄｍａｎａｇｉｎｇｔｈｅＰＫＩｔｏｋｅｎｃｅｒｔｉｆｉ￣ｃａｔｅｉｓｃｏｍｐｌｅｘ.ＭｅａｎｗｈｉｌｅꎬＳＭ９ｓｅｃｕｒｉｔｙｋｅｙｄｉｓｔｒｉｂｕｔｉｏｎｉｓｃｏｍｐｌｅｔｅｄｉｎｔｈｅａｕｔｈｅｎｔｉｃａｔｉｏｎｐｒｏｃｅｓｓ.Ａｎａｌｙｓｉｓｉｎｄｉｃａｔｅｓｔｈａｔｔｈｅｓｃｈｅｍｅｓｉｍｐｌｉｆｉｅｓｔｈｅａｕｔｈｅｎｔｉｃａｔｉｏｎｐｒｏｃｅｓｓａｎｄｅｎｈａｎｃｅｓｔｈｅｓｅｃｕｒｉｔｙｏｆｔｈｅｔｏｋｅｎ.Ｋｅｙｗｏｒｄｓ:ＳＭ９ａｌｇｏｒｉｔｈｍꎻｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎꎻＯｐｅｎＳｔａｃｋ(责任编辑:张卷美)０５ . All Rights Reserved.。