随着云计算的不断发展,越来越多的组织开始进入云计算的领域。由于其技术成熟,OpenStack开源云平台成为了大多数组织的选择,并已成为了事实上的IaaS基础设施的部署标准。然而这些部署大多都是以内部私有云的方式进行部署的,虽然能够通过组织内部资源共享的方式来提高企业的资源利用率并产生经济效益,但是对于未来要实现的更广泛共享的经济模式来讲这是远远不够的。未来通过组织与组织之间建立广泛的信任关系来联合部署混合云的模式将会成为主流。然而要推动各组织通过建立广泛的信任关系来实现更广泛的资源共享和服务联合,一个关键的障碍就是安全问题。如何安全地建立信任关系,如何确保实际共享的资源就是组织所试图共享的资源,如何提高用户的体验并降低由于用户习惯所带来的间接安全隐患,如何有效确定安全事故的来源和安全事故的责任就成为当前亟待解决的问题。本文基于上述安全需求,在分析OpenStack内部认证授权机制和当前已有的几种身份联合解决方案基础之上,提出了一种基于身份联合的Keystone域间资源安全共享方案。该方案使用基于SAML规范和Shibboleth架构来对Keystone进行改造,使得其能够像Shibboleth的IDP和SP一样进行身份联合。同时为了实现对云平台共享资源的细粒度控制,将身份联合所带来的潜在安全隐患进行隔离,采用Keystone v3.0新支持的概念“域”来对需要共享的资源进行隔离,使得信任关系实际上只是建立信任域上,而不是整个OpenStack云平台的资源。采取本方案身份联合后,组织和组织之间的云平台可以在可控的范围内进行资源共享、负载均衡和服务联合。同时对于云用户,只需要在一个组织内注册就可以访问与其所在的身份提供者建立了信任关系的所有组织中经过授权的资源,从而有效的减少了用户所需要记住的用户名和密钥数,也有效的降低了由于用户密码习惯所带来的间接安全隐患。