Keystone's Token

2018-08-29  本文已影响0人  Maxwell_Li

作者:Maxwell Li
日期:2016/12/21
未经作者允许,禁止转载本文任何内容。如需转载请留言。

什么是 Token

Token 是一种用户访问凭证,需要使用正确的用户名和密码向Keystone申请后才能够获得。用户通过获得的 Token 作为凭据来访问 OpenStack API。如果用户直接使用用户名和密码来访问 OpenStack API,容易泄露用户信息,造成安全隐患。

在一个典型 OpenStack 环境中,可以指定 Project 凭借用户名和密码来获取 Token。将 project 名传递给环境变量 OS_PROJECT_NAME,将用户名传递给环境变量 OS_USERNAME,将密码传递给环境变量 OS_PASSWORD。然后运行 curl 命令去请求一个 Token。

$ curl -s -X POST $OS_AUTH_URL/tokens \
  -H "Content-Type: application/json" \
  -d '{"auth": \
          {"tenantName": "'"$OS_PROJECT_NAME"'", "passwordCredentials": \
              {"username": "'"$OS_USERNAME"'", "password": "'"$OS_PASSWORD"'" \
              }}}' | python -m json.tool

输出如下:

{
    "access": {
        "metadata": {
            "is_admin": 0,
            "roles": []
        },
        "serviceCatalog": [],
        "token": {
            "audit_ids": [
                "-qPHfpGFT_OLbe-7Qp8Cbw"
            ],
            "expires": "2016-11-18T06:00:51Z",
            "id": "7e44a249251e49788633351d514ab5b9",
            "issued_at": "2016-11-17T18:00:51.203529Z"
        },
        "user": {
            "id": "d762951d561248bda8228b9d4c70e6c2",
            "name": "admin",
            "roles": [],
            "roles_links": [],
            "username": "admin"
        }
    }
}

当发送 API 请求时,需要将 Token 信息包含在 "X-Auth-Token" 的消息头中。如果同时需要访问多个 OpenStack 服务时,就需要申请多个 Token。Token 只在一定的时间段内有效,并且也会因为一些其他的原因失效。例如当用户角色发生了变更。

OpenStack 发展至今,共产生了 UUID、PKI、PKIZ、Fernet 四种 Token。下面将分别介绍这四种 Token。

UUID

OpenStack D 版本之初,仅有 UUID 类型的 Token 可供使用。UUID Token 是一个长度固定为 32 Byte 的随机字符串,通过 uuid.uuid4().hex 生成。

uuid.png

UUID Token 虽然简单易用,但是很容易产生性能问题。由于 UUID Token 不携带其他信息,OpenStack API 收到该 Token 后,既不能判断该 Token 是否有效,也无法得知该 Token 携带的用户信息。从上图中可以看出,每当 OpenStack API 接收到用户的请求,就需要向 keystone 验证该 Token 的有效性,并获取用户信息。

UUID Token 简单易用,不携带其他信息,因此 keystone 必须实现 Token 的存储和认证。随着集群规模扩大,Keystone 成了最大的性能瓶颈。

另外,Keystone 不限制用户产生的 Token 数量,大量的 Token 会永久保留在数据库中。当用户频繁发出请求时,Token 的数量增长非常迅速,可以达到几十万条,直接降低 Token 的验证效率。在 Havana 版本中,Keystone 提供 keystone-manage token-flush 命令来清理过期的 Token。并且将 Token 的默认有效时间缩短为一个小时(此前为24小时),避免在大量请求的情况下,数据库中的 Token 太多而影响整个系统的性能。

我们也可以通过一些措施来提高 Keystone 的性能, 例如优化 mysql,使用 memcached 来代替数据库存储 UUID Token,使用 Apache server 来部署 Keystone 等等。这些措施对于单个 Region 和小规模部署的 OpenStack 环境是有效的,但是面对大规模部署,或者是多个 Region 部署,Keystone 将奔溃。主要有两个原因:

PKI

于是,从 Folsom 版本开始, 社区提出了 PKI(Public Key Infrastructure) Token,并在 Grizzly 版本中全面支持。在阐述 PKI Token 前,先了解一下公开密钥加密(public-key cryptography)和数字签名。

PKI 使用密钥对来实现服务本身的离线认证,Keystone 用私钥对 Token 进行数字签名,各个 API server 用公钥在本地验证该 Token。离线认证步骤如下:

  1. Keystone 服务器生成一对密钥,对于 OpenStack 中的服务,每个服务都会拥有一份 Keystone 的公钥,废弃名单和 CA 证书。
  2. 当 Keystone 接收到生成 Token 的请求,会创建 json 格式的对象,该对象包含了用户所授权的用户组、服务目录和 meta data 等信息。
  3. Keystone 会对这个 json 使用签名证书和私钥来签名和编码,生成 CMS 格式的Token。值得注意的是,在这个过程中,并没有对 Token 进行加密,如果此时 Token 在传输过程中被黑客截取,用户信息将会暴露。
  4. 用户可以使用这个 Token 来请求操作。

如下图所示:

pki_token.png

例如用户使用 Token 来请求 Nova 服务创建虚拟机。Nova 在收到 API 请求后,会对 PKI Token 进行解码,拿到编码前的 json 对象。在这个对象里已经包含了 Token 的有效期及其它相关信息,因此 Nova 不需要再请求 Keystone 来验证这个 Token,从而实现离线的验证。

pki.png

和 UUID 相比,PKI Token 携带更多用户信息的同时还附上了数字签名,以支持本地认证,从而分流了 Keystone 服务的工作负载。但这种 Token 格式也存在两个较大的问题。

除此之外,PKI Token 还有和 UUID Token 同样的问题,就是 Token 的持久化带来的对系统性能的开销,以及在多个 Region 部署时 Token 同步所带来的系统设计复杂性的开销。

PKIZ

PKIZ 在 PKI 的基础上利用 zlib 对 Token 进行压缩处理,但是压缩的效果极其有限,一般情况下,压缩后的大小为 PKI Token 的 90% 左右,所以 PKIZ 并不能友好的解决 Token size 太大问题。

Fernet

前三种 Token 都会持久性存于数据库,与日俱增积累的大量 Token 引起数据库性能下降。为了避免该问题,社区在 Kilo 版本提出了 Fernet Token,它携带了少量的用户信息,采用了对称加密,无需存于数据库中。

Fernet 是专为 API token 设计的一种轻量级安全消息格式,不需要存储于数据库,减少了磁盘的 IO,带来了一定的性能提升。并且可以通过使用 Key Rotation 更换密钥来提高安全性。

fernet.png

最后,Fernet Token 只加密必要的信息,长度一般不超过 255Byte,从而避免了 Token 过大的问题。

参考资料

Understanding OpenStack Authentication: Keystone PKI
OpenStack ReleaseNotes Grizzly
KeystonePerformance
Benchmarking OpenStack Keystone token formats
Support Compression of the PKI token
Compressed tokens
Fernet (symmetric encryption)
Fernet Spec

上一篇 下一篇

猜你喜欢

热点阅读