[发明专利]一种基于Mesos容器云平台的统一安全认证方法及系统

说明书

本发明实施例涉及安全认证领域，具体涉及一种基于Mesos容器云平台的统一安全认证方法及系统，包括：用户提交身份信息进行身份验证；Mesos计算节点认证模块生成第一认证信息，并将所述第一认证信息发送到秘钥模块；所述秘钥模块进行身份认证，通过后返回第一确认信息，所述Mesos计算节点认证模块将所述第一确认信息发送到Mesos管理节点认证模块；所述Mesos管理节点认证模块生成第二认证信息，并将所述第二认证信息发送到所述秘钥模块；所述秘钥模块进行身份认证，认证通过后返回第二确认信息，所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息，并将所述通过安全认证信息发送到所述Mesos计算节点认证模块。

技术领域

本发明涉及安全认证领域，具体涉及一种基于Mesos容器云平台的统一安全认证方法及系统。

背景技术

安全认证是云平台的基础功能，有了安全认证功能后，只有信任的实体才能与云平台交互，并使用云平台的计算资源。现有的开源IaaS平台以及Amazon公有云都已经具备完善的安全认证框架，但是基于容器的云平台，目前除了Kubernetes容器云之外，还没有统一的安全认证框架。尤其是目前主流的基于Mesos的容器云和原生Docker云平台，都没有实现统一安全认证框架。

基于Mesos的容器云在以下三种场景下，需要使用安全认证功能:

·Frameworks向Master节点注册。

·Slave节点向Master节点注册。

·操作者调用Mesos的Http终端。

Mesos使用Cyrus SASL做为其认证引擎，可支持Anonymous,PLAIN,CRAM-MD5,GSSAPI等多种认证机制。当Mesos开启默认的CRAM-MD5认证机制时，需要通过认证的实体必须提供principal和secret键值对，也叫credential对象。Principal代表这个实体的身份，类似于用户名，secret则是用来验证实体身份的字符，类似于密码。但是相关数据必须以文件形式在Mesos启动时进行加载，在Mesos运行过程中，用户信息不能添加或修改，这些都不满足企业级运行环境的要求。

Mesos目前还没有满足企业级用户的统一安全认证框架，并且现有的安全认证框架还存在灵活性等问题。

Mesos现有的安全认证框架存在的具体问题如下：

credential采用文件的形式，在Master、Slave启动时候，一次性加载到相应守护进程的内存中。在增加，修改，删除用户场景下，必须重新启动Master、Slave守护进程来再次加载对应的credential文件，对于企业级云平台的用户影响巨大。

Mesos默认采用CRAM-MD5认证机制，很难与第三方身份识别框架进行快速集成。而现有的企业级云平台大多采用OpenID或者基于LDAP协议的目录服务器，Mesos现有的认证机制显然无法满足要求。

因此，构建一种基于Mesos容器云平台的统一安全认证方法及系统，以解决现有技术中的以上问题很有必要。

发明内容

本发明实施例提供了一种基于Mesos容器云平台的统一安全认证方法及系统，进行双重安全认证，更加符合企业级用户的实际需求。

本发明实施例提供的一种基于Mesos容器云平台的统一安全认证方法，包括：

用户提交身份信息到Mesos计算节点认证模块进行身份验证；所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息，并将所述第一认证信息发送到秘钥模块；