雲計算將傳統的以主機為主的封閉模式變為了開放模式,而且雲服務成為了一種新的IT交付服務模式。雲計算帶來了包括虛擬化安全、數據安全、身份和訪問管理安全等新的安全挑戰。OpenStack是雲計算管理廠商廣泛採用的開源平台,Keystone負責其中的安全部分,主要包括身份驗證、服務規則和服務令牌的功能,它實現了OpenStack的驗證API。Keystone在OpenStack中起服務總線作用,或者說是整個OpenStack框架的註冊表,其他服務通過Keystone來註冊其服務的端點(服務訪問的URL)。任何服務之間的相互調用,需要經過Keystone進行身份驗證,以獲得目標服務的端點,從而找到目標服務。
對基於令牌的認證,Keystone可以與成熟的PKI體系對接。Keystone引入PKI體系,生成簽名證書的令牌及在服務請求中對用戶的令牌進行驗簽等流程與標準的PKI流程完全一樣。通過引入PKI體系來實現對令牌的認證,可以極大地提高雲計算中用戶認證的安全性。
雲計算安全和可信的雲計算是兩個有既有區別和又相關的概念,安全是可信的必要條件,但不充分。可信除了保證安全外,還要求對事前的預警、事中的監督和事後的審查過程,強調對安全的監控和度量。OpenStack借助可信雲關鍵技術(包括可信鏈的建立,可信的審查和監控,用戶行為的監控和可信管理等)建立可信計算池,當客戶有可信雲計算的差異化安全需求時,可以在可信計算池的目標主機環境中創建用戶實例,提升用戶安全並滿足用戶安全的差異化需求。