本發(fā)明涉及云系統(tǒng)的身份認(rèn)證領(lǐng)域，尤其涉及一種基于pki的openstack云系統(tǒng)中租戶劃分和權(quán)限認(rèn)證的系統(tǒng)和方法。

背景技術(shù)：

pki是publickeyinfrastructure的縮寫，即公開密鑰基礎(chǔ)設(shè)施。它是一套解決開放式互聯(lián)網(wǎng)絡(luò)信息安全需求的體系。pki用來(lái)支持身份認(rèn)證、信息傳輸、存儲(chǔ)的完整性、消息傳輸、存儲(chǔ)的機(jī)密性以及操作的不可否認(rèn)性。它的核心是認(rèn)證中心ca，ca就像公安局發(fā)放身份證一樣，發(fā)放一個(gè)數(shù)字證書的身份證明。它包含了用戶的基本信息，例如所在地區(qū)，單位和組織等；也包括用戶持有的公鑰。數(shù)字證書上加蓋了ca的數(shù)字簽名，用來(lái)保證數(shù)字證書的完整性。pki的核心技術(shù)是公鑰密碼學(xué)的加密和簽名技術(shù)。

openstack是目前最火的開源云系統(tǒng)，它是由美國(guó)國(guó)家宇航局(nasa)和rackspace合作開發(fā)的，其目的是為企業(yè)提供公有云和私有云服務(wù)。openstack是一個(gè)iaas軟件，類似于amazon的云基礎(chǔ)架構(gòu)服務(wù)(iaas),具有良好的可擴(kuò)展性和可靠的云部署方案。目前openstack有眾多的版本，隨著新版本的發(fā)放，功能越來(lái)越完善，其系統(tǒng)的穩(wěn)定性也大幅度提高。openstack是一個(gè)龐大的系統(tǒng)，有眾多組件組成，例如計(jì)算組件(nova)、網(wǎng)絡(luò)組件(neutron)、存儲(chǔ)組件(swift)和認(rèn)證組件(keystone)等等。其中keystone是系統(tǒng)的安全認(rèn)證結(jié)構(gòu)，所有資源的申請(qǐng)、接口的調(diào)用都必須經(jīng)過keystone的認(rèn)證通過才行。而在keystone中有租戶的劃分概念，租戶類似于公司的一個(gè)部門，部門中包括許多員工，員工被分到哪個(gè)部門就具有哪個(gè)部門的服務(wù)，比如擁有這個(gè)部門的打印機(jī)、圖書和服務(wù)器等資源。一個(gè)租戶可以包含多個(gè)用戶，而一個(gè)用戶可以屬于不同的租戶。比如一個(gè)員工屬于這個(gè)部門，他也可以借調(diào)到其他部門工作。openstack的多租戶機(jī)制，就是為了保證不同的組織和團(tuán)隊(duì)之間能夠相互獨(dú)立的使用同一個(gè)云系統(tǒng)。

ldap目錄服務(wù)器用于存儲(chǔ)對(duì)象的各類屬性和信息，它定義了一個(gè)用來(lái)發(fā)布目錄信息到許多不同資源的協(xié)議，使得各種應(yīng)用可以通過標(biāo)準(zhǔn)接口目錄服務(wù)器獲取相應(yīng)信息。在pki平臺(tái)中l(wèi)dap目錄服務(wù)器主要用于發(fā)布證書信息和證書注銷列表（crl），通過該目錄服務(wù)器，應(yīng)用系統(tǒng)可以查詢到用戶的證書信息和證書狀態(tài)。

x.500是構(gòu)成全球分布式的目錄服務(wù)系統(tǒng)協(xié)議。x.500基本上是用來(lái)查詢有關(guān)人員的信息，包括所在國(guó)家、單位和組織等。這個(gè)目錄類似于樹形結(jié)構(gòu)，包括：國(guó)家、單位、部門和人。數(shù)字證書里面主題就是此結(jié)構(gòu)。

信息安全一般包括信息的完整性、保密性和可用性。當(dāng)前的云系統(tǒng)之間的通信是沒有采用加密方式的，極其容易入侵，就會(huì)發(fā)生用戶數(shù)據(jù)的泄露，篡改等危險(xiǎn)情況。一般的云系統(tǒng)在用戶登錄認(rèn)證的時(shí)候普遍采用簡(jiǎn)單的認(rèn)證方式，即采用賬號(hào)加密碼方式進(jìn)行登錄認(rèn)證，同時(shí)采用明文的形式進(jìn)行傳輸。顯然，這種機(jī)制存在安全問題，密碼以明文的方式進(jìn)行傳輸就可能被惡意監(jiān)聽，甚至被篡改。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明主要采用pki技術(shù)保障用戶登錄運(yùn)系統(tǒng)以及云系統(tǒng)中各個(gè)組件的安全通信同時(shí)利用數(shù)字證書的主題格式的x.500特性快速劃分用戶屬于哪個(gè)租戶，采用ldap最為keystone后端，根據(jù)證書的序列號(hào)來(lái)驗(yàn)證用戶的合法性和唯一性。ca系統(tǒng)定期向ldap發(fā)布crl列表，防止用戶證書撤消后仍能登錄到系統(tǒng)。所以用戶登錄云系統(tǒng)時(shí)，無(wú)需輸入用戶名和密碼，就可以完成認(rèn)證服務(wù)；無(wú)需顯示的在數(shù)據(jù)庫(kù)中定義用戶的租戶劃分，就能實(shí)現(xiàn)租戶劃分功能。

在該過程中用戶首先在系統(tǒng)的服務(wù)器中配置好數(shù)字證書，包括服務(wù)器證書的公鑰和私鑰，用戶使用該服務(wù)器證書簽發(fā)的公鑰證書登錄云系統(tǒng)，在登錄到云系統(tǒng)的過程中，ldap目錄服務(wù)器將獲取到的用戶證書驗(yàn)證是否在crl列表中，并解析證書獲取證書編號(hào)，判斷云系統(tǒng)是否含有該用戶，如果通過驗(yàn)證，將根據(jù)證書的主題中單位組織來(lái)確定該用戶具有的資源，然后成功登錄到系統(tǒng)中。反之，則根據(jù)相關(guān)返回結(jié)果值來(lái)告訴用戶無(wú)權(quán)登陸或者系統(tǒng)中不存在該用戶等信息。

本發(fā)明的技術(shù)方案如下所述：

一種基于pki的openstack云系統(tǒng)中權(quán)限認(rèn)證的方法，包括：

使用ca系統(tǒng)向ldap目錄服務(wù)器發(fā)送crl；

用戶通過usbkey里面的或者儲(chǔ)存在ie里面的數(shù)字證書向基于openstack的云系統(tǒng)發(fā)起連接請(qǐng)求；

利用所述云系統(tǒng)將獲得到的用戶的證書信息進(jìn)行解析，并通過keystone模塊發(fā)送到ldap目錄服務(wù)器；

利用所述ldap目錄服務(wù)器對(duì)該證書進(jìn)行認(rèn)證，并驗(yàn)證用戶是否合法，其中包括是否是ca頒發(fā)的有效證書，是否存在crl列表中，然后向所述云系統(tǒng)返回校驗(yàn)結(jié)果；

認(rèn)證失敗，所述云系統(tǒng)拒絕該用戶的連接請(qǐng)求；認(rèn)證成功，所述云系統(tǒng)允許該用戶的連接請(qǐng)求。

進(jìn)一步地，使用ca系統(tǒng)定期向ldap目錄服務(wù)器發(fā)送crl。

一種基于pki的openstack云系統(tǒng)中租戶劃分的方法，包括：

使用ca系統(tǒng)向ldap目錄服務(wù)器發(fā)送crl；

用戶通過usbkey里面的或者儲(chǔ)存在ie里面的數(shù)字證書向基于openstack的云系統(tǒng)發(fā)起連接請(qǐng)求；

利用所述云系統(tǒng)將獲得到的用戶的證書信息進(jìn)行解析，并通過keystone模塊發(fā)送到ldap目錄服務(wù)器；

利用所述ldap目錄服務(wù)器對(duì)該證書進(jìn)行認(rèn)證，并驗(yàn)證用戶是否合法，其中包括是否是ca頒發(fā)的有效證書，是否存在crl列表中，然后向所述云系統(tǒng)返回校驗(yàn)結(jié)果；

認(rèn)證失敗，所述云系統(tǒng)拒絕該用戶的連接請(qǐng)求；認(rèn)證成功，所述云系統(tǒng)允許該用戶的連接請(qǐng)求；

認(rèn)證成功后，所述ldap目錄服務(wù)器對(duì)解析得到的證書信息中的租戶驗(yàn)證信息進(jìn)行驗(yàn)證；

租戶存在，完成租戶劃分，否則失敗。

進(jìn)一步地，使用ca系統(tǒng)定期向所述ldap目錄服務(wù)器發(fā)送crl。

進(jìn)一步地，所述數(shù)字證書里面包括證書的主題、有效期、email、擴(kuò)展選項(xiàng)；解析得到的所述證書信息包括證書序列號(hào)、用戶的名稱和證書的有效期。

進(jìn)一步地，所述租戶驗(yàn)證信息包括主題內(nèi)容的ou、o信息。

一種基于pki的openstack云系統(tǒng)中權(quán)限認(rèn)證的系統(tǒng)，包括：

云系統(tǒng)門戶、基于openstack的云系統(tǒng)、ldap目錄服務(wù)器、ca系統(tǒng)，其中，

所述ca系統(tǒng)向所述ldap目錄服務(wù)器發(fā)送crl；

所述云系統(tǒng)門戶用于使用戶通過usbkey里面的或者儲(chǔ)存在ie里面的數(shù)字證書向所述基于openstack的云系統(tǒng)發(fā)起連接請(qǐng)求；

所述云系統(tǒng)將獲得到的用戶的證書信息進(jìn)行解析，并通過keystone模塊發(fā)送到所述ldap目錄服務(wù)器；

所述ldap目錄服務(wù)器對(duì)該證書進(jìn)行認(rèn)證，并驗(yàn)證用戶是否合法，其中包括是否是ca頒發(fā)的有效證書，是否存在crl列表中，然后向所述云系統(tǒng)返回校驗(yàn)結(jié)果；

認(rèn)證失敗，所述云系統(tǒng)拒絕該用戶的連接請(qǐng)求；認(rèn)證成功，所述云系統(tǒng)允許該用戶的連接請(qǐng)求。

進(jìn)一步地，所述ca系統(tǒng)定期向所述ldap目錄服務(wù)器發(fā)送crl。

一種基于pki的openstack云系統(tǒng)中租戶劃分的系統(tǒng)，包括：

云系統(tǒng)門戶、基于openstack的云系統(tǒng)、ldap目錄服務(wù)器、ca系統(tǒng)，其中，

所述ca系統(tǒng)向所述ldap目錄服務(wù)器發(fā)送crl；

所述云系統(tǒng)門戶用于使用戶通過usbkey里面的或者儲(chǔ)存在ie里面的數(shù)字證書向所述基于openstack的云系統(tǒng)發(fā)起連接請(qǐng)求；

所述云系統(tǒng)將獲得到的用戶的證書信息進(jìn)行解析，并通過keystone模塊發(fā)送到所述ldap目錄服務(wù)器；

所述ldap目錄服務(wù)器對(duì)該證書進(jìn)行認(rèn)證，并驗(yàn)證用戶是否合法，其中包括是否是ca頒發(fā)的有效證書，是否存在crl列表中，然后向所述云系統(tǒng)返回校驗(yàn)結(jié)果；

認(rèn)證失敗，所述云系統(tǒng)拒絕該用戶的連接請(qǐng)求；認(rèn)證成功，所述云系統(tǒng)允許該用戶的連接請(qǐng)求；

認(rèn)證成功后，所述ldap目錄服務(wù)器對(duì)解析得到的所述證書信息中的租戶驗(yàn)證信息進(jìn)行驗(yàn)證；

租戶存在，完成租戶劃分，否則失敗。

進(jìn)一步地，所述ca系統(tǒng)定期向所述ldap目錄服務(wù)器發(fā)送crl。

進(jìn)一步地，所述數(shù)字證書里面包括證書的主題、有效期、email、擴(kuò)展選項(xiàng)；解析得到的證書信息包括證書序列號(hào)、用戶的名稱和證書的有效期。

進(jìn)一步地，所述租戶驗(yàn)證信息包括主題內(nèi)容的ou、o信息。

有益效果：由上述提供的本發(fā)明的技術(shù)方案可以看出，本發(fā)明具有以下優(yōu)點(diǎn)，該系統(tǒng)采用基于pki的數(shù)字證書登錄系統(tǒng)，不僅能夠有效地保障用戶的身份認(rèn)證問題，防止非法用戶偽造或假冒用戶身份，同時(shí)用戶在通信過程中對(duì)關(guān)鍵信息均采用了加密技術(shù)，保障信息安全保密，即使在被不法分子截取信息的情況下，用戶信息也無(wú)法被不法分子獲取以及篡改，可以對(duì)信息的完整性進(jìn)行保護(hù)，具有很高的安全性，而且能夠保證用戶操作的簡(jiǎn)便性和易用性，使用戶無(wú)需輸入云系統(tǒng)的用戶名和密碼，即可完成用戶的認(rèn)證操作。其次，由于用戶數(shù)字證書的主題的x.500特性，特別吻合中小企業(yè)根據(jù)員工所在單位進(jìn)行租戶的劃分。最后ca系統(tǒng)定期的發(fā)送crl，可以有效的防止注銷證書的可操作性，保護(hù)的系統(tǒng)的安全性和可靠性。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例一、二提供的基于pki的openstack云系統(tǒng)中權(quán)限認(rèn)證的系統(tǒng)和方法示意圖；

圖2為本發(fā)明實(shí)施例三、四提供的基于pki的openstack云系統(tǒng)中租戶劃分的系統(tǒng)和方法示意圖。

具體實(shí)施方式

為便于對(duì)本發(fā)明實(shí)施例的理解，下面將結(jié)合附圖以幾個(gè)具體實(shí)施例為例作進(jìn)一步的解釋說(shuō)明，且各個(gè)實(shí)施例并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定。

下面將就本發(fā)明中基于pki的openstack云系統(tǒng)中租戶劃分和權(quán)限認(rèn)證的方法系統(tǒng)進(jìn)行詳細(xì)說(shuō)明。前提是：管理員添加用戶或者用戶注冊(cè)系統(tǒng)的時(shí)候，是按照ra注冊(cè)證書的格式進(jìn)行的。

實(shí)施例一：

本發(fā)明實(shí)施例一提供了一種基于pki的openstack云系統(tǒng)中權(quán)限認(rèn)證的方法，并結(jié)合圖1對(duì)權(quán)限認(rèn)證的具體流程作了詳細(xì)介紹。由于已經(jīng)有了管理員添加用戶或者用戶注冊(cè)系統(tǒng)的時(shí)候，是按照ra注冊(cè)證書的格式進(jìn)行的前提，因此，首先進(jìn)行的是使用ca系統(tǒng)向ldap目錄服務(wù)器發(fā)送crl。接下來(lái)，流程如下：

用戶通過usbkey里面的或者儲(chǔ)存在ie里面的數(shù)字證書向基于openstack的云系統(tǒng)發(fā)起連接請(qǐng)求，證書里面包括證書的主題、有效期、email、擴(kuò)展選項(xiàng)和其它附帶信息等內(nèi)容；

云系統(tǒng)將獲得得到的證書信息進(jìn)行解析，獲取對(duì)應(yīng)的證書序列號(hào)、用戶的名稱和證書的有效期等內(nèi)容，然后通過keystone模塊中l(wèi)dap服務(wù)接口，發(fā)送到ldap目錄服務(wù)器；

ldap目錄服務(wù)器對(duì)該證書進(jìn)行校驗(yàn)，首先驗(yàn)證該證書序列號(hào)是否存在，即云系統(tǒng)中是否存在該用戶，如果驗(yàn)證成功，那么繼續(xù)校驗(yàn)，包括用戶數(shù)字證書是否在有效期內(nèi)，是否是該ca頒發(fā)的有效證書，是否存在crl列表中，以及對(duì)用戶dn和擴(kuò)展信息進(jìn)行校驗(yàn)確認(rèn)其是否有效。最后向云系統(tǒng)返回校驗(yàn)結(jié)果；

當(dāng)用戶不存在或者證書無(wú)效時(shí)，云系統(tǒng)拒絕該用戶的連接請(qǐng)求；若用戶存在且證書有效，則允許該用戶的連接請(qǐng)求；

ca系統(tǒng)要定期向ldap目錄服務(wù)器發(fā)送crl，以防止失效的證書登錄到系統(tǒng)。

實(shí)施例二：

同時(shí)，圖1對(duì)應(yīng)提供一種基于pki的openstack云系統(tǒng)中權(quán)限認(rèn)證的系統(tǒng)，包括：云系統(tǒng)門戶、基于openstack的云系統(tǒng)、ldap目錄服務(wù)器、ca系統(tǒng)，其中，所述ca系統(tǒng)向所述ldap目錄服務(wù)器發(fā)送crl；所述云系統(tǒng)門戶用于使用戶通過usbkey里面的或者儲(chǔ)存在ie里面的數(shù)字證書向所述基于openstack的云系統(tǒng)發(fā)起連接請(qǐng)求，證書里面包括證書的主題、有效期、email、擴(kuò)展選項(xiàng)和其它附帶信息等內(nèi)容；所述云系統(tǒng)將獲得到的用戶的證書信息進(jìn)行解析，獲取對(duì)應(yīng)的證書序列號(hào)、用戶的名稱和證書的有效期等內(nèi)容，然后通過keystone模塊中l(wèi)dap服務(wù)接口，發(fā)送到所述ldap目錄服務(wù)器；所述ldap目錄服務(wù)器對(duì)該證書進(jìn)行認(rèn)證，首先驗(yàn)證該證書序列號(hào)是否存在，即云系統(tǒng)中是否存在該用戶，如果驗(yàn)證成功，那么繼續(xù)校驗(yàn)，包括用戶數(shù)字證書是否在有效期內(nèi)，是否是該ca頒發(fā)的有效證書，是否存在crl列表中，以及對(duì)用戶dn和擴(kuò)展信息進(jìn)行校驗(yàn)確認(rèn)其是否有效（即驗(yàn)證用戶是否合法），然后向所述云系統(tǒng)返回校驗(yàn)結(jié)果；若認(rèn)證失?。ㄈ绠?dāng)用戶不存在或者證書無(wú)效時(shí)），所述云系統(tǒng)拒絕該用戶的連接請(qǐng)求；若認(rèn)證成功（即用戶存在且證書有效），所述云系統(tǒng)允許該用戶的連接請(qǐng)求。進(jìn)一步地，所述ca系統(tǒng)定期向所述ldap目錄服務(wù)器發(fā)送crl，以防止失效的證書登錄到系統(tǒng)。

實(shí)施例三：

本發(fā)明實(shí)施例三提供了一種基于pki的openstack云系統(tǒng)中租戶劃分的方法，并結(jié)合圖2對(duì)租戶劃分的具體過程作了詳細(xì)介紹。由于已經(jīng)有了管理員添加用戶或者用戶注冊(cè)系統(tǒng)的時(shí)候，是按照ra注冊(cè)證書的格式進(jìn)行的前提，因此，首先進(jìn)行的是使用ca系統(tǒng)向ldap目錄服務(wù)器發(fā)送crl。接下來(lái)，流程如下：

用戶通過usbkey里面的或者儲(chǔ)存在ie里面的數(shù)字證書向基于openstack的云系統(tǒng)發(fā)起連接請(qǐng)求，證書里面包括證書的主題、有效期、email、擴(kuò)展選項(xiàng)和其它附帶信息等內(nèi)容；

云系統(tǒng)將獲得得到的證書信息進(jìn)行解析，獲取對(duì)應(yīng)的證書序列號(hào)、用戶的名稱和證書的有效期等內(nèi)容，然后通過keystone模塊中l(wèi)dap服務(wù)接口，發(fā)送到ldap目錄服務(wù)器；

ldap目錄服務(wù)器對(duì)該證書進(jìn)行校驗(yàn)，首先驗(yàn)證該證書序列號(hào)是否存在，即云系統(tǒng)中是否存在該用戶，如果驗(yàn)證成功，那么繼續(xù)校驗(yàn)，包括用戶數(shù)字證書是否在有效期內(nèi)，是否是該ca頒發(fā)的有效證書，是否存在crl列表中，以及對(duì)用戶dn和擴(kuò)展信息進(jìn)行校驗(yàn)確認(rèn)其是否有效。最后向云系統(tǒng)返回校驗(yàn)結(jié)果；

當(dāng)用戶不存在或者證書無(wú)效時(shí)，云系統(tǒng)拒絕該用戶的連接請(qǐng)求；若用戶存在且證書有效，則允許該用戶的連接請(qǐng)求；然后將步驟2中解析得到的主題內(nèi)容的ou、o信息進(jìn)行驗(yàn)證，看該租戶是否存在；

如果租戶存在的話，則返回租戶劃分的結(jié)果，否則，提示不存在該租戶；

根據(jù)返回的結(jié)果，云系統(tǒng)門戶決定返回該租戶的前臺(tái)頁(yè)面，顯示租戶具有的資源，否則，提示該用戶沒有任何資源。

實(shí)施例四：

同時(shí)，圖2對(duì)應(yīng)提供一種基于pki的openstack云系統(tǒng)中租戶劃分的系統(tǒng)，包括：云系統(tǒng)門戶、基于openstack的云系統(tǒng)、ldap目錄服務(wù)器、ca系統(tǒng)，其中，所述ca系統(tǒng)向所述ldap目錄服務(wù)器發(fā)送crl；所述云系統(tǒng)門戶用于使用戶通過usbkey里面的或者儲(chǔ)存在ie里面的數(shù)字證書向所述基于openstack的云系統(tǒng)發(fā)起連接請(qǐng)求，證書里面包括證書的主題、有效期、email、擴(kuò)展選項(xiàng)和其它附帶信息等內(nèi)容；所述云系統(tǒng)將獲得到的用戶的證書信息進(jìn)行解析，獲取對(duì)應(yīng)的證書序列號(hào)、用戶的名稱和證書的有效期等內(nèi)容，然后通過keystone模塊中l(wèi)dap服務(wù)接口，發(fā)送到所述ldap目錄服務(wù)器；所述ldap目錄服務(wù)器對(duì)該證書進(jìn)行認(rèn)證，首先驗(yàn)證該證書序列號(hào)是否存在，即云系統(tǒng)中是否存在該用戶，如果驗(yàn)證成功，那么繼續(xù)校驗(yàn)，包括用戶數(shù)字證書是否在有效期內(nèi)，是否是該ca頒發(fā)的有效證書，是否存在crl列表中，以及對(duì)用戶dn和擴(kuò)展信息進(jìn)行校驗(yàn)確認(rèn)其是否有效（即驗(yàn)證用戶是否合法），然后向所述云系統(tǒng)返回校驗(yàn)結(jié)果；若認(rèn)證失?。ㄈ绠?dāng)用戶不存在或者證書無(wú)效時(shí)），所述云系統(tǒng)拒絕該用戶的連接請(qǐng)求；若認(rèn)證成功（即用戶存在且證書有效），所述云系統(tǒng)允許該用戶的連接請(qǐng)求；認(rèn)證成功后，所述ldap目錄服務(wù)器對(duì)解析得到的所述證書信息中的租戶驗(yàn)證信息（如包括主題內(nèi)容的ou、o信息等）進(jìn)行驗(yàn)證，看該租戶是否存在；若租戶存在，完成租戶劃分，否則失敗（如提示不存在該租戶）。根據(jù)返回的結(jié)果，云系統(tǒng)門戶決定返回該租戶的前臺(tái)頁(yè)面，顯示租戶具有的資源，否則，提示該用戶沒有任何資源。所述ca系統(tǒng)定期向所述ldap目錄服務(wù)器發(fā)送crl，以防止失效的證書登錄到系統(tǒng)進(jìn)行租戶劃分。

綜上所述，本發(fā)明提出了一種基于pki的openstack云系統(tǒng)中租戶劃分、權(quán)限認(rèn)證的方法和系統(tǒng)。該系統(tǒng)主要包括云門戶網(wǎng)站、基于openstack的云系統(tǒng)、ldap目錄服務(wù)器和ca系統(tǒng)。它的主要特點(diǎn)為用戶使用ca系統(tǒng)頒發(fā)的數(shù)字證書來(lái)登錄到云系統(tǒng)，保證了通信的安全性和用戶的唯一性。同時(shí)，數(shù)字證書中的主題的x.500特性，比如用戶的名字，所在的地址，所在的公司和部門等信息和云系統(tǒng)中keystone模塊的租戶具有對(duì)應(yīng)的特性，所以正好利用這一性質(zhì)進(jìn)行快速的租戶定位以及劃分。在通信過程中對(duì)關(guān)鍵信息均采用了加密技術(shù)，保障信息安全保密。主要的流程包括用戶通過使用數(shù)字證書登錄系統(tǒng)，openstack中的keystone模塊解析證書，將證書的有效信息發(fā)送的ldap目錄服務(wù)器，此時(shí)，ldap目錄服務(wù)器不僅驗(yàn)證證書的有效性，而且驗(yàn)證該證書的用戶是否存在，如果都滿足條件的話，然后判斷用戶所在的租戶是否存在。ca系統(tǒng)定期要向ldap目錄服務(wù)器發(fā)送crl，防止用戶證書注銷后還可以被使用。

本發(fā)明具有采用pki數(shù)字證書驗(yàn)證用戶身份的有效性，而不僅僅只是簡(jiǎn)單的賬號(hào)密碼登陸，同時(shí)采用證書主題x.500格式來(lái)有效的組織安排公司員工的租戶劃分，使其具有條理性和簡(jiǎn)便性。其次云門戶網(wǎng)站采用用戶數(shù)字證書與云系統(tǒng)建立ssl安全連接，保障了通信過程的安全性。最后使用ldap目錄服務(wù)器驗(yàn)證用戶證書，且ca系統(tǒng)定期發(fā)布crl，保障了用戶證書的有效性。

本領(lǐng)域普通技術(shù)人員可以理解：附圖只是一個(gè)實(shí)施例的示意圖，附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的。

通過以上的實(shí)施方式的描述可知，本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中，如rom/ram、磁碟、光盤等，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。

本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，各個(gè)實(shí)施例之間相同相似的部分互相參見即可，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其，對(duì)于系統(tǒng)或系統(tǒng)實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述得比較簡(jiǎn)單，相關(guān)之處參見方法實(shí)施例的部分說(shuō)明即可。以上所描述的系統(tǒng)及系統(tǒng)實(shí)施例僅僅是示意性的，其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下，即可以理解并實(shí)施。

以上所述，僅為本發(fā)明較佳的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。