Keystone's Token

作者:Maxwell Li
日期:2016/12/21
未经作者允许,禁止转载本文任何内容。如需转载请留言。


什么是 Token

Token 是一种用户访问凭证,需要使用正确的用户名和密码向Keystone申请后才能够获得。用户通过获得的 Token 作为凭据来访问 OpenStack API。如果用户直接使用用户名和密码来访问 OpenStack API,容易泄露用户信息,造成安全隐患。

在一个典型 OpenStack 环境中,可以指定 Project 凭借用户名和密码来获取 Token。将 project 名传递给环境变量 OS_PROJECT_NAME,将用户名传递给环境变量 OS_USERNAME,将密码传递给环境变量 OS_PASSWORD。然后运行 curl 命令去请求一个 Token。

$ curl -s -X POST $OS_AUTH_URL/tokens \
  -H "Content-Type: application/json" \
  -d '{"auth": \
          {"tenantName": "'"$OS_PROJECT_NAME"'", "passwordCredentials": \
              {"username": "'"$OS_USERNAME"'", "password": "'"$OS_PASSWORD"'" \
              }}}' | python -m json.tool

输出如下:

{
    "access": {
        "metadata": {
            "is_admin": 0,
            "roles": []
        },
        "serviceCatalog": [],
        "token": {
            "audit_ids": [
                "-qPHfpGFT_OLbe-7Qp8Cbw"
            ],
            "expires": "2016-11-18T06:00:51Z",
            "id": "7e44a249251e49788633351d514ab5b9",
            "issued_at": "2016-11-17T18:00:51.203529Z"
        },
        "user": {
            "id": "d762951d561248bda8228b9d4c70e6c2",
            "name": "admin",
            "roles": [],
            "roles_links": [],
            "username": "admin"
        }
    }
}

当发送 API 请求时,需要将 Token 信息包含在 "X-Auth-Token" 的消息头中。如果同时需要访问多个 OpenStack 服务时,就需要申请多个 Token。Token 只在一定的时间段内有效,并且也会因为一些其他的原因失效。例如当用户角色发生了变更。

OpenStack 发展至今,共产生了 UUID、PKI、PKIZ、Fernet 四种 Token。下面将分别介绍这四种 Token。

UUID

OpenStack D 版本之初,仅有 UUID 类型的 Token 可供使用。UUID Token 是一个长度固定为 32 Byte 的随机字符串,通过 uuid.uuid4().hex 生成。

uuid.png

UUID Token 虽然简单易用,但是很容易产生性能问题。由于 UUID Token 不携带其他信息,OpenStack API 收到该 Token 后,既不能判断该 Token 是否有效,也无法得知该 Token 携带的用户信息。从上图中可以看出,每当 OpenStack API 接收到用户的请求,就需要向 keystone 验证该 Token 的有效性,并获取用户信息。

UUID Token 简单易用,不携带其他信息,因此 keystone 必须实现 Token 的存储和认证。随着集群规模扩大,Keystone 成了最大的性能瓶颈。

另外,Keystone 不限制用户产生的 Token 数量,大量的 Token 会永久保留在数据库中。当用户频繁发出请求时,Token 的数量增长非常迅速,可以达到几十万条,直接降低 Token 的验证效率。在 Havana 版本中,Keystone 提供 keystone-manage token-flush 命令来清理过期的 Token。并且将 Token 的默认有效时间缩短为一个小时(此前为24小时),避免在大量请求的情况下,数据库中的 Token 太多而影响整个系统的性能。

我们也可以通过一些措施来提高 Keystone 的性能, 例如优化 mysql,使用 memcached 来代替数据库存储 UUID Token,使用 Apache server 来部署 Keystone 等等。这些措施对于单个 Region 和小规模部署的 OpenStack 环境是有效的,但是面对大规模部署,或者是多个 Region 部署,Keystone 将奔溃。主要有两个原因:

  • Keystone 对处理多个并发请的性能低下
  • UUID Token 在不同 Region 之间存在同步问题

PKI

于是,从 Folsom 版本开始, 社区提出了 PKI(Public Key Infrastructure) Token,并在 Grizzly 版本中全面支持。在阐述 PKI Token 前,先了解一下公开密钥加密(public-key cryptography)和数字签名。

  • 公开密钥加密,也称为非对称加密(asymmetric cryptography,加密密钥和解密密钥不相同)。在这种密码学方法中,需要一对密钥,分别为公钥(Public Key)和私钥(Private Key),公钥是公开的,私钥是非公开的,需用户妥善保管。

  • 数字签名又称为公钥数字签名,首先采用 Hash 函数对消息生成摘要,摘要经私钥加密后称为数字签名。接收方用公钥解密该数字签名,并与接收消息生成的摘要做对比,如果二者一致,便可以确认该消息的完整性和真实性。

PKI 使用密钥对来实现服务本身的离线认证,Keystone 用私钥对 Token 进行数字签名,各个 API server 用公钥在本地验证该 Token。离线认证步骤如下:

  1. Keystone 服务器生成一对密钥,对于 OpenStack 中的服务,每个服务都会拥有一份 Keystone 的公钥,废弃名单和 CA 证书。
  2. 当 Keystone 接收到生成 Token 的请求,会创建 json 格式的对象,该对象包含了用户所授权的用户组、服务目录和 meta data 等信息。
  3. Keystone 会对这个 json 使用签名证书和私钥来签名和编码,生成 CMS 格式的Token。值得注意的是,在这个过程中,并没有对 Token 进行加密,如果此时 Token 在传输过程中被黑客截取,用户信息将会暴露。
  4. 用户可以使用这个 Token 来请求操作。

如下图所示:

pki_token.png

例如用户使用 Token 来请求 Nova 服务创建虚拟机。Nova 在收到 API 请求后,会对 PKI Token 进行解码,拿到编码前的 json 对象。在这个对象里已经包含了 Token 的有效期及其它相关信息,因此 Nova 不需要再请求 Keystone 来验证这个 Token,从而实现离线的验证。

pki.png

和 UUID 相比,PKI Token 携带更多用户信息的同时还附上了数字签名,以支持本地认证,从而分流了 Keystone 服务的工作负载。但这种 Token 格式也存在两个较大的问题。

  • PKI Token 本身的性能问题。通过 OpenStack wiki 上的 KeystonePerformance 一文可以看出,PKI 的性能是低于 UUID 的,尤其是对于创建 Token 的压力测试情景。

  • PKI Token 的长度问题。PKI 编码和签名方式是基于整个 json 对象的,如果在服务目录里 endpoint 比较多的情况下,获取到的 Token 会轻松超过 8K。而 HTTP header 的长度是有限制的,Apache 服务的长度限制是 8K,如果使用 haproxy 做负载均衡,haproxy 默认支持 4K。可以通过重新编译 Apache 或者 haproxy 来增加更长的 header,但并不能解决根本问题。

除此之外,PKI Token 还有和 UUID Token 同样的问题,就是 Token 的持久化带来的对系统性能的开销,以及在多个 Region 部署时 Token 同步所带来的系统设计复杂性的开销。

PKIZ

PKIZ 在 PKI 的基础上利用 zlib 对 Token 进行压缩处理,但是压缩的效果极其有限,一般情况下,压缩后的大小为 PKI Token 的 90% 左右,所以 PKIZ 并不能友好的解决 Token size 太大问题。

Fernet

前三种 Token 都会持久性存于数据库,与日俱增积累的大量 Token 引起数据库性能下降。为了避免该问题,社区在 Kilo 版本提出了 Fernet Token,它携带了少量的用户信息,采用了对称加密,无需存于数据库中。

Fernet 是专为 API token 设计的一种轻量级安全消息格式,不需要存储于数据库,减少了磁盘的 IO,带来了一定的性能提升。并且可以通过使用 Key Rotation 更换密钥来提高安全性。

  • Fernet Token 使用 Fernet 标准。Fernet 是一种采用 Cryptography 对称加密库(symmetric cryptography,加密密钥和解密密钥相同)方法的认证系统实现,广泛应用于 Heroku 项目。简单来说,Fernet 使用 AES-CBC 来加密并使用 SHA256 散列函数来签名用户提供的信息,其中包含了加密时的时间戳信息。这个 Token 中所包含的信息只能使用加密和签名时使用的 Key 来读取和更改。

  • Keystone 中的 Fernet Token 不使用任何持久化的后端。相反,对于多个 Keystone 节点的部署,只需要将相同的 Key 同步到所有的 Keystone 节点上,然后无论通过哪个节点所生成的 Token,都可以被其他 Keystone 节点所验证。

fernet.png

最后,Fernet Token 只加密必要的信息,长度一般不超过 255Byte,从而避免了 Token 过大的问题。

参考资料

Understanding OpenStack Authentication: Keystone PKI
OpenStack ReleaseNotes Grizzly
KeystonePerformance
Benchmarking OpenStack Keystone token formats
Support Compression of the PKI token
Compressed tokens
Fernet (symmetric encryption)
Fernet Spec

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,530评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,403评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,120评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,770评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,758评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,649评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,021评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,675评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,931评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,751评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,410评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,004评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,969评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,042评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,493评论 2 343

推荐阅读更多精彩内容