一种混合云计算环境中容器服务的认证系统和方法
【技术领域】
[0001]本发明涉及云计算环境中容器集群领域,尤其涉及一种混合云计算环境中容器服务的认证系统和方法。
【背景技术】
[0002]作为新一代云计算核心技术,容器技术已渐渐成为近年国内外云计算企业的发展重点,而与此同时,现有云计算环境的建立大多以虚拟机技术为基础。为了使云计算为企业所用,集成虚拟机云计算技术和容器技术的混合云技术成为云计算技术领域的重要发展方向。
[0003]现有的混合云计算环境,用户通过容器资源管理服务申请容器集群资源,而容器集群资源服务向第三方的云资源服务申请云计算资源;而典型的第三方云资源服务如亚马逊云服务AWS或Openstack基础设施服务(IaaS)。
[0004]典型的第三方云资源服务都有自己的认证授权系统。一般来说,云资源服务的认证需要处理两个典型场景:用户注册场景和用户认证授权。
[0005]用户注册场景的处理流程,简化的步骤为:用户使用匿名申请访问某项云计算资源;计算资源服务拒绝用户的访问,同时将用户导向登录和注册的服务;用户向认证服务发起注册用户的操作,注册用户名和用户的某一种密钥,用户完成注册,然后第三方云资源对注册的用户请求进行认证授权,具体为:资源使用者,即用户,以用户名和密钥登录云服务;云认证服务为资源使用者分配某个会话令牌;资源使用者向云计算资源服务申请云计算资源的同时,携带自己通过认证得到的令牌;云计算资源服务向云认证服务请求验证令牌的合法性;认证服务返回合法结果,则认证成功,完成认证。在认证成功的前提下。云计算资源服务授权资源使用者使用它所申请的资源。
[0006]如上所述,在一个传统由虚拟机构成的云计算系统中,云计算资源受到安全认证服务保护的。但是,在现有的混合云计算环境中,用户对容器集群资源的访问和对虚拟机云计算资源的访问,都没有得到安全认证的保护,故用户对容器集群资源的访问和对虚拟机云计算资源的访问不能获得安全保护。
【发明内容】
[0007]本发明的目的在于提供一种混合云计算环境中容器服务的认证系统和方法,从而解决现有技术中存在的前述问题。
[0008]为了实现上述目的,本发明所述混合云计算环境中容器服务的认证方法,该方法包括:
[0009]SI,判断要访问第三方云计算系统的用户信息是否为属于用户容器注册信息,如果是,则直接进入S3;如果否,则提示用户注册,进入S2;
[0010]S2,接收用户填写的容器注册信息并生成用于访问第三方云计算系统的密钥信息,同时建立容器注册信息与所述密钥信息的映射,用户注册成功,进入S3;
[0011]S3,容器认证模块验证并查找到与所述用户的容器注册信息存在映射的密钥信息后,向所述第三方云计算系统申请会话令牌;
[0012]S4,生成与所述会话令牌存在映射关系的容器会话令牌,保存所述会话令牌与所述容器会话令牌的映射,完成认证。
[0013]优选地,步骤S2,具体按照下述步骤实现:
[0014]S21,接收并存储用户填写的容器注册信息;
[0015]S22,根据所述容器注册信息通过单项映射函数生成并存储所述用户用于访问第三方云计算系统的密钥信息;
[0016]S23,以密钥信息向所述第三方云计算系统进行注册,所述第三方云计算系统返回注册成功的消息,完成注册;
[0017]建立并存储容器注册信息与所述密钥信息的映射发生在步骤S22至完成注册的任意时间段。
[0018]优选地,步骤S3,具体按照下述步骤实现:
[0019]S31,验证所述用户的容器注册信息是否合法,如果合法则,进入S32;如果不合法,则提示用户没有访问权限;
[0020]S32,容器认证模块获取用户的容器注册信息,查找到与所述用户的容器注册信息存在映射关系的密钥信息;
[0021]S33,根据所述密钥信息从所述第三方云计算系统认证并获取会话令牌。
[0022]优选地,步骤S4,具体按照下述步骤实现:
[0023]判断用户预先选择的是静态容器会话令牌还是动态容器会话令牌;
[0024]如果是静态容器会话令牌,则通过不可逆的映射计算函数,以所述会话令牌为基础生成静态容器会话令牌;
[0025]如果是动态容器会话令牌,动态容器会话令牌按照下述计算方法获得:
[0026]动态容器会话令牌=F(第三方会话令牌,预备容器会话令牌),其中,F表示任意一个映射函数;
[0027]所述预备容器会话令牌=H(容器用户信息,会话状态信息,容器认证模块信息),H表示任意一个不可逆的信息摘要算法。
[0028]优选地,所述用户的容器注册信息包括登录容器集群服务管理系统的用户名和密码。
[0029]优选地,所述密钥信息包括访问第三方云计算系统的用户名和密码。
[°03°]优选地,所述会话令牌中包括访问第三方云计算系统的会话期限。
[0031]一种混合云计算环境中容器服务的认证系统,所述系统包括:容器用户注册模块、容器认证模块、用户映射模块、会话令牌映射模块、容器用户存储服务模块;
[0032]所述容器用户注册模块,接收来自容器集群管理服务器的用户容器注册信息,并将所述用户容器注册信息发送给用户映射模块;
[0033]所述用户映射模块,根据收到的用户容器注册信息中包含的用户信息自动生成用于用户访问第三方云计算系统的密钥信息和所述用户容器注册信息到密钥信息的映射;
[0034]所述容器认证模块,验证所述用户容器注册信息和获取密钥信息,然后使用所述密钥信息向第三方云计算系统认证,并将认证成功的结果反馈给所述容器用户注册模块,将从第三方云计算系统得到的会话令牌发送会话令牌映射模块;
[0035]所述会话令牌映射模块,根据所述会话令牌自动生成相对应的容器会话令牌,及所述会话令牌与所述容器会话令牌的映射;
[0036]所述容器用户存储服务,用于存储所述述用户容器注册信息、所述密钥信息、所述用户容器注册信息到密钥信息的映射和所述会话令牌与所述容器会话令牌的映射。
[0037]优选地,所述容器认证模块与所述第三方云计算系统的第三方认证服务模块数据通信。
[0038]优选地,所述容器用户注册模块和所述容器认证模块均与所述容器集群管理服务模块数据通信连接;所述会话令牌映射模块与容器集群资源服务模块数据通信连接;
[0039]所述容器集群资源服务模块与第三方云资源服务数据通信连接。
[0040]本发明的有益效果是:
[0041]本发明所述系统和方法,用于在集成了容器集群系统和第三方云计算系统的混合云系统中提供注册、认证和授权功能。利用所述系统,在不限定任何一个第三方云计算系统的条件下,用户只需要向本发明的认证系统提出注册和认证请求,避免额外的向第三方云计算系统提出认证的请求,同时,在保证用户安全和混合云计算环境安全的基础上,为用户使用混合云系统提供了便利性。
【附图说明】
[0042]图1是传统混合云系统,当容器集群管理服务申请容器资源,而容器资源又需要申请第三方云资源服务时,两部分的资源申请都是通过无安全保护的方式直接访问;
[0043]图2是传统云服务的用户注册和认证授权