[发明专利]一种openstack系统中token认证的秘钥管理方法及系统

说明书

本申请公开了一种openstack系统中token认证的秘钥管理方法及系统，该方法包括：节点启动时确定主节点和普通节点，在主节点生成秘钥并在普通节点拉取秘钥；根据所获取的轮转秘钥命令，同步秘钥库；判断openstack系统中任意两个节点之间的秘钥是否一致，如果是判定没发生token认证故障，否则判定发生故障，当发生token认证故障时，拉取秘钥库恢复。该系统包括：节点确定模块、秘钥处理模块、判断模块和故障处理模块。通过本申请，能够避免访问延迟，大大提高同步效率，而且能够避免出现A节点下发的token在B节点验证不通过的现象，有利于提高系统的兼容性，以及openstack系统运行的稳定性和通信可靠性。

技术领域

本申请涉及秘钥管理技术领域，特别是涉及一种openstack系统中token认证的秘钥管理方法及系统。

背景技术

在openstack系统中，通常使用keystone组件进行认证操作，而keystone广泛使用fernet token生成形式来生成token，fernet token形式生成的token信息，长度较短，方便传输，减少了token存储、验证的空间和时间复杂度。且fernet token是基于秘钥生成的，该秘钥存储在特定文件夹下。当openstack系统大规模部署时，会部署多个keystone节点来平均负载系统压力，因此，如何实现多个节点的秘钥同步，避免出现A节点下发的token在B节点验证不通过的现象，从而确保系统稳定运行，是个重要技术问题。

目前，实现多个keystone节点秘钥同步的方法，通常是将秘钥key的存储路径使用共享存储保存，而不是存储在存储节点上，别的节点通过访问本地节点的共享存储实现秘钥同步。

然而，目前实现多个keystone节点秘钥同步的方法中，由于秘钥采用共享存储，并非存储在节点存储上，其他节点的访问延迟受限于本地节点访问共享存储的延迟，而验证token是高频操作，对访问延迟比较敏感，这种访问延迟使得整个系统的兼容性，以及通信的可靠性和稳定性较差。

发明内容

本申请提供了一种openstack系统中token认证的秘钥管理方法及系统，以解决现有技术中的方法使得系统兼容性、通信可靠性和稳定性较差的问题。

为了解决上述技术问题，本申请实施例公开了如下技术方案：

一种openstack系统中token认证的秘钥管理方法，所述openstack系统中keystone服务部署在多节点上，所述方法包括：

节点启动时确定主节点和普通节点；

在所述主节点生成秘钥，并在所述普通节点拉取秘钥；

主节点生成秘钥后，openstack系统执行过程中根据所获取的轮转秘钥命令，同步秘钥库；

判断openstack系统中任意两个节点之间的秘钥是否一致；

如果是，判定没有发生token认证故障，所述token认证故障包括：轮转秘钥故障、拉取秘钥故障以及误操作；

如果否，判定已发生token认证故障；

当发生token认证故障时，拉取秘钥库恢复。

可选地，所述节点启动时确定主节点和普通节点，包括：

Keystone服务启动时，根据非负载均衡IP，采用服务注册的方式自注册节点；

获取所有节点keystone服务的通信地址；

所有节点按照时间先后顺序抢占主节点；

判断任一节点是否抢占成功；

如果是，判定所述任一节点为主节点；

如果否，判定所述任一节点为普通节点。