王　群，李馥娟，錢煥延

（1.江蘇警官學院 計算機信息與網(wǎng)絡(luò)安全系，江蘇 南京210031；2.南京理工大學 計算機科學與技術(shù)學院，江蘇 南京210094）

云計算身份認證模型研究*

王群1，2，李馥娟1，錢煥延2

（1.江蘇警官學院 計算機信息與網(wǎng)絡(luò)安全系，江蘇 南京210031；2.南京理工大學 計算機科學與技術(shù)學院，江蘇 南京210094）

云計算是在繼承和融合眾多技術(shù)基礎(chǔ)上的一個突破性創(chuàng)新，已成為當前應(yīng)用和研究的重點與熱點。其中，云用戶與云服務(wù)之間以及云平臺中不同系統(tǒng)之間的身份認證與資源授權(quán)是確保云計算安全性的前提。在簡要介紹云計算信息基礎(chǔ)架構(gòu)的基礎(chǔ)上，針對云計算統(tǒng)一身份認證的特點和要求，綜合分析了SAML2.0、OAuth2.0和OpenID2.0等技術(shù)規(guī)范的功能特點，提出了一種開放標準的云計算身份認證模型，為云計算中邏輯安全域的形成與管理提供了參考。

云計算；身份認證；授權(quán)；單點登錄（SSO）；安全域

0　引言

任何一個授權(quán)系統(tǒng)至少需要同時解決認證和授權(quán)兩方面的問題，認證決定用戶是否具有對某一系統(tǒng)或資源的訪問權(quán)限，而授權(quán)則決定用戶能夠訪問特定系統(tǒng)或資源的具體內(nèi)容。由于云計算服務(wù)構(gòu)建在具有極高擴展能力的信息基礎(chǔ)架構(gòu)上，而且服務(wù)通過動態(tài)、靈活的可配置資源按需提供，所以身份認證和授權(quán)訪問在云計算中將顯得更為重要。本文在分析云計算信息基礎(chǔ)架構(gòu)的基礎(chǔ)上，立足當前技術(shù)現(xiàn)狀和應(yīng)用實踐，綜合傳統(tǒng)網(wǎng)絡(luò)中的SAML2.0、OAuth2.0和OpenID2.0等技術(shù)、標準與規(guī)范，提出了一種開放標準的云計算身份認證模型，為云計算中信息資源的整合提供了一種組織管理架構(gòu)。

1　云計算環(huán)境中的身份認證特點

云計算[1-2]是基于分布式計算、網(wǎng)格計算和虛擬化等技術(shù)，在信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用共同發(fā)展到一定階段時出現(xiàn)的一種新型信息服務(wù)方式，它使效用計算逐步變成了現(xiàn)實。與其他相關(guān)的主要技術(shù)相比，云計算中的認證和授權(quán)具有以下特點：(1)用戶管理采用集中式或委托第三方負責；(2)資源管理采用集中式和分布式相結(jié)合的模式，當采用分布式管理模式時，系統(tǒng)之間一般采用內(nèi)部高速網(wǎng)絡(luò)、高性能專網(wǎng)或虛擬專用網(wǎng)(Virtual Private Network，VPN)安全通道等方式互聯(lián)；(3)加強對用戶隱私的保護，實現(xiàn)對身份信息的安全管理；(4)計算任務(wù)調(diào)度采用集中式或分布式；(5)云計算中為每個用戶按需提供資源，資源分布既分散又集中；(6)通過虛擬化技術(shù)屏蔽掉了不同操作系統(tǒng)之間的異構(gòu)性。

云計算統(tǒng)一身份認證又稱為聯(lián)邦身份認證（Federal Identity），它是一個端到端、可擴展及前瞻性的實現(xiàn)身份驗證與資源配置的信息基礎(chǔ)設(shè)施，是解決組織內(nèi)部以及組織之間身份認證互信的基礎(chǔ)。云計算統(tǒng)一身份認證是一個完整的、電信級的基于邏輯安全域的身份驗證解決方案，在同一邏輯安全域中終端之間的信息交換不限使用哪一種協(xié)議，云計算統(tǒng)一身份認證系統(tǒng)可分為身份提供者(Identity Provider，IdP)和服務(wù)提供者(Service Provider，SP)兩部分來部署，如面1所示。其中，IdP負責對云終端創(chuàng)建身份、進行屬性過濾、管理認證憑證和維護當前會話，SP實現(xiàn)與IdP之間的屬性映射、身份關(guān)聯(lián)與屬性傳遞。

圖1　云計算身份認證中的主要組件

云計算統(tǒng)一身份認證主要涉及認證（authentication）、授權(quán)（authorization）和單點登錄（Single Sign On，SSO）3個方面。其中，認證用于判定“訪問者是誰”，授權(quán)用于決定 “訪問者能做什么”，而SSO實現(xiàn)了用戶在一個邏輯安全區(qū)域內(nèi)的一次登錄、多次訪問能力，即用戶只要正常登錄了邏輯安全域中的某一應(yīng)用系統(tǒng)，就可以自由訪問該域中其他應(yīng)用系統(tǒng)中的授權(quán)資源，SSO同時包含著認證和授權(quán)兩個過程。

2　云計算中的身份認證技術(shù)

2.1基于SAML2.0的身份認證

SAML(Security Assertion Markup Language，安全斷言標記語言)[3-4]是身份認證領(lǐng)域出現(xiàn)較早的基于 XML語言的信息架構(gòu)，其主要功能是實現(xiàn)邏輯安全域中IdP與SP之間的認證和授權(quán)信息傳輸以及斷言形式表達。SAML提供了基于Web方式的 SSO解決方案，是云計算尤其是私有云服務(wù)中整合不同應(yīng)用系統(tǒng)的首選方案。

SAML規(guī)范定義了基于 XML的 4種組件[4]：斷言（assertion）、協(xié)議（protocol）、綁定（binding）和配置（profile）。其中，SAML斷言分為認證、屬性和授權(quán) 3種類型，認證斷言確認用戶的身份，屬性斷言包含用戶的特定信息，授權(quán)斷言確認用戶獲得授權(quán)。協(xié)議定義了SAML如何請求和接收斷言，主要涉及請求（request）和響應(yīng)（respond）兩種信息類型。綁定定義了如何將SAML請求和響應(yīng)信息映射到標準的報文和協(xié)議上。簡單對象訪問協(xié)議（SOAP）是SAML中一個重要的綁定，另外SAML可以與HTTP、SMTP、FTP等主要協(xié)議實現(xiàn)綁定。如圖2所示，SAML斷言可以直接嵌入 SOAP信息頭部，SOAP再嵌入到標準的HTTP報文后進行傳輸。配置是對已定義的特定應(yīng)用實例的具體表現(xiàn)，它由斷言、協(xié)議和綁定組合而成。

圖2　SAML與HTTP和SOAP的嵌套式綁定

SAML規(guī)范中定義了 3種不同的角色（role）：用戶代理（通常為Web瀏覽器）、身份提供者（IdP）和服務(wù)提供者（SP）。用戶代理訪問SP，當SP接收到該訪問請求后便向IdP發(fā)送身份認證請求。此時 IdP將要求該用戶提供類似于用戶名、密碼等能夠證明其身份的信息，并以此作為其合法性的斷言。當 SP從 IdP獲取該身份斷言后，便可以決定是否為該用戶提供服務(wù)。在此過程中，因為一個IdP可以同時為多個SP提供SAML斷言，在IdP緩存機制的支持下，實現(xiàn)了用戶在邏輯安全域中的SSO。

SAML使用 SSL/TLS實現(xiàn)點到點的安全性，使用安全令牌來避免重放攻擊。僅從協(xié)議角度來看，SAML的工作原理類似于CAS和 Kerberos，CAS協(xié)議依賴于CAS Server，Kerberos依賴于KDC，而SAML則依賴于IdP。

2.2基于OAuth2.0的授權(quán)管理

OAuth(Open Authorization，開放授權(quán))[5]是一個開放標準的聯(lián)合協(xié)議，旨在幫助用戶將受保護的資源授權(quán)給第三方使用，且支持細粒度的權(quán)限控制。在授權(quán)過程中，OAuth不需要將用戶名和密碼以及其他認證憑證提供給第三方，增強了授權(quán)過程的安全性。OAuth標準主要針對個人用戶對資源的開放授權(quán)，也在組織內(nèi)部私有云服務(wù)網(wǎng)絡(luò)中發(fā)揮了其功能優(yōu)勢，可以與 OpenID、SAML等認證技術(shù)配合實現(xiàn)開放標準的基于SSO的授權(quán)服務(wù)。

OAuth2.0定義了 4種不同的角色：RO(Resource Owner，資源擁有者)、RS(Resource Server，資源服務(wù)器)、Client（客戶端）和AS(Authorization Server，授權(quán)服務(wù)器)。其中，RO是指能夠?qū)κ鼙Ｗo資源進行授權(quán)的實體，一般是指一個具體的進行授權(quán)操作的人或系統(tǒng)進程。根據(jù)授權(quán)管理需要，授權(quán)操作既可以通過“在線授權(quán)”方式手動執(zhí)行，也可以通過系統(tǒng)默認設(shè)置自動進行“離線授權(quán)”。RS用于存放受保護資源，并處理對資源的訪問請求。Client指第三方應(yīng)用（這里的 Client作為“客戶端”理解時是針對RS而言的），它在獲得RO的授權(quán)許可后便可以去訪問由RO管理的在RS上的資源。Client可能是一個Web站點、一段JavaScript代碼或安裝在本地的一個應(yīng)用程序。不同的Client類型可使用不同的授權(quán)類型進行授權(quán)，如授權(quán)碼許可（Authorization Code Grant）授權(quán)、Client憑證許可（Client Credentials Grant）授權(quán)等。AS用于對RO的身份進行驗證和資源授權(quán)管理，并頒發(fā)訪問令牌（Access Token）。在具體應(yīng)用中，AS和RS一般由同一個服務(wù)器來提供服務(wù)。如圖3所示，OAuth2.0協(xié)議的基本工作流程如下：

圖3　OAuth 2.0協(xié)議基本工作流程

(1)Client向RO發(fā)送“授權(quán)請求”(authorization request)，請求報文中一般包含要訪問的資源路徑、操作類型、Client的身份等信息。

(2)RO同意 Client的授權(quán)請求，并將“授權(quán)許可”（Authorization Grant）發(fā)送給Client。一般情況下，在AS上會提供權(quán)限分配操作界面，讓RO進行細粒度的在線授權(quán)，或由系統(tǒng)自動完成離線授權(quán)操作。

(3)Client向AS請求“訪問令牌”(Access Token)。此時，AS需要驗證Client提交給自己的“授權(quán)許可”，并要求Client提供用于驗證其身份的信息 (多為用戶名和密碼)。

(4)AS在通過對Client的身份驗證后，便向它返回一個“訪問令牌”，只有持有訪問令牌的Client才能訪問資源。

(5)Client向RS提交“訪問令牌”。

(6)RS驗證“訪問令牌”的有效性，具體由令牌的頒發(fā)機構(gòu)、令牌頒發(fā)日期、時間戳等屬性決定。當驗證通過后，才允許Client訪問受保護的資源。其中，在令牌的有效期內(nèi)，Client可以多次攜帶同一個“訪問令牌”去訪問受保護的資源。

在OAuth協(xié)議的整個授權(quán)過程中沒有直接用到第三方（Client）的私有信息，而是使用“訪問令牌”和數(shù)字簽名方式，提高了協(xié)議的安全性。同時，任何第三方都可以使用OAuth AS，任何服務(wù)提供者都可以組建自己的OAuth授權(quán)服務(wù)系統(tǒng)，所以 OAuth是一個開放的標準。目前，OAuth2.0已經(jīng)成為開放平臺認證授權(quán)的事實上的標準。

2.3基于OpenID的身份認證

OpenID[6]技術(shù)的出現(xiàn)適應(yīng)了互聯(lián)網(wǎng)中分布式應(yīng)用與分散式控制的認證特點，由于它的開放、分散、自由以及以用戶為中心的特征，成為云計算中重要的數(shù)字身份認證基本架構(gòu)。正如OpenID在其官方網(wǎng)站的介紹：OpenID以免費、簡捷方式實現(xiàn)在Internet中單一數(shù)字身份認證，通過OpenID服務(wù)，用戶可以登錄所有喜歡的Web站點。在云計算中，用戶需要以SSO方式同時登錄多個應(yīng)用系統(tǒng)，實現(xiàn)以統(tǒng)一身份認證為核心的開放應(yīng)用，無論是公有云還是私有云環(huán)境，OpenID都發(fā)揮了其功能優(yōu)勢。

與SAML不同的是，OpenID是一個以Internet框架為基礎(chǔ)的數(shù)字身份認證規(guī)范，在 Internet空間中，以 URI（Uuniform Resource Identifier，統(tǒng)一資源標識符）來命名、定位和標識信息資源，OpenID采用了類似的方式，也以URI來標識用戶身份的唯一性，而放棄了目前大部分系統(tǒng)基于用戶名和密碼驗證的身份認證方式，逐步實現(xiàn)用戶身份標識與信息空間中資源標識的統(tǒng)一。在 OpenID認證過程中，請求/應(yīng)答信息通過 https協(xié)議在公共網(wǎng)絡(luò)中傳輸，OpenID認證服務(wù)器成為整個認證的中心，可以采取冗余方式提供服務(wù)保障，用戶身份信息全部集中在OpenID認證服務(wù)器上，避免了分散存儲帶來的不安全因素。

OpenID主要由標識符(identifier)、依賴方(relying party，RP)和 OpenID提供者(OpenID Provider，OP)組成。其中，標識符為 http/https形式的 URI（目前在互聯(lián)網(wǎng)中多使用 URL）或 XRI(eXtensible Resource Identifier，可擴展的資源標識符)[7-8]，XRI是一套與 URI兼容的抽象標識符體系；RP是需要對訪問者的身份進行驗證的Web系統(tǒng)或受保護的在線資源，依賴OP的身份認證服務(wù)；OP即OpenID認證服務(wù)器，在為用戶提供和管理標識符的同時，還為用戶提供在線身份認證服務(wù)，是整個 OpenID系統(tǒng)的核心。

在采用OpenID的網(wǎng)絡(luò)中，用戶首先需要向OP申請一個標識符，之后當訪問受OpenID保護的RP時，RP會將該訪問重定向到OP。OP通過標識符對訪問者的身份進行驗證，無誤后將用戶訪問返回到RP（同時，OP也將驗證結(jié)果告知RP）。

3　云計算身份認證模型

根據(jù)當前云計算的技術(shù)和應(yīng)用現(xiàn)狀，結(jié)合具體實踐項目，提出了融合SAML2.0、OAuth2.0和OpenID2.0接入標準和開放接口的云計算身份認證模型，如圖4所示。該模型的建立，在為當前云計算統(tǒng)一身份認證提供基本服務(wù)架構(gòu)的基礎(chǔ)上，也為將來實現(xiàn)不同安全域（不同組織的資源系統(tǒng)）之間的資源和管理整合提供了強有力的支持和適應(yīng)能力。例如，當不同的安全域之間需要進行整合從而形成更大范圍的邏輯安全域時，原來的安全域只需要通過各自的身份認證平臺進行基于身份互信的訪問，各安全域中原來的認證方式還可以繼續(xù)使用。

圖4　云計算統(tǒng)一身份認證模型

在圖4所示的模型中，OAuth是整個資源的授權(quán)管理中心，無論是單個“安全域”中的私有云服務(wù)，還是基于整個邏輯安全域的公有云環(huán)境，OAuth都能夠滿足授權(quán)管理需要。本模型中同時提供了可供選擇的SAML和OpenID兩種身份認證方式，其主要原因有兩點：(1)考慮到SAML應(yīng)用的廣泛性和用戶的認可度，尤其在通過私有云整合原有資源時，SAML發(fā)揮了其優(yōu)勢。同時，SAML也可以為OAuth授權(quán)信息的交換與傳輸提供安全保護。(2)考慮到用戶對資源標識方式的習慣和接受過程，Open-ID使用URI和XRI作為標識符，順應(yīng)了Internet信息空間中對資源的定位和標識要求，但考慮到云計算還處于起步階段，還需要考慮用戶和資源建設(shè)與管理者的已有習慣，改變是必須的，但需要一個過程。

圖4所示的云計算統(tǒng)一身份認證模型是一個開放的標準，其主要功能是將云資源服務(wù)以安全便捷的方式提供給眾多的用戶，并通過開放的接入標準將更多的資源和用戶加入其中，不斷擴大邏輯安全域的范圍，真正將云計算提出的SaaS、PaaS和IaaS理念變成現(xiàn)實。該模型兼容早期主流的SSO方式，可對原有系統(tǒng)進行平穩(wěn)升級，在最大限度地保護用戶原有投資和體驗的同時，擴大了可共享資源的類型、數(shù)量和范圍。該模型具有的開放性實現(xiàn)了更多“安全域”的無縫加入，具體體現(xiàn)在具體操作和技術(shù)細節(jié)兩個方面。其中，具體操作規(guī)定了IdP和SP加入邏輯安全域時需要滿足的條件，如怎樣建立信任關(guān)系、約定身份信息和服務(wù)信息的共享規(guī)則、規(guī)定互相之間彼此信任和保密等；技術(shù)細節(jié)主要規(guī)定了IdP和SP加入邏輯安全域時需要滿足的技術(shù)條件以及如何執(zhí)行接入工作的技術(shù)細節(jié)，如必備的標準類庫及二次開發(fā)接口等。

通過采用本文提出的模型，在不影響用戶對現(xiàn)有基于OpenSSO的統(tǒng)一身份認證系統(tǒng)正常使用的同時，減少了應(yīng)用開發(fā)的工作量，并實現(xiàn)了原認證系統(tǒng)與新建平臺的有機對接，而且保留了原有的Agent、反向代理（Reverse Proxy）、API接入等應(yīng)用模式?；?3種協(xié)議規(guī)范的認證和授權(quán)，使得在邏輯安全域中本單位的“安全域”可同時提供IdP和SP雙重服務(wù)功能。

4　結(jié)論

統(tǒng)一身份認證與云計算的融合，使得統(tǒng)一身份認證技術(shù)成為云計算的助推器和催化劑，同時統(tǒng)一身份認證技術(shù)也在云計算中找到了新的位置和發(fā)展方向。本文在繼承和發(fā)展身份認證與資源授權(quán)領(lǐng)域已有技術(shù)、標準和規(guī)范的同時，針對云計算安全管理，并聯(lián)系云計算項目研究實際，提出了云計算統(tǒng)一身份模型，具有較好的應(yīng)用價值和一定的借鑒意義。從總體來看，云計算尚處于快速發(fā)展階段，云計算中與系統(tǒng)安全與用戶管理相關(guān)的大量關(guān)鍵問題還需要深入研究。

[1]羅軍舟，金嘉暉，宋愛波，等.云計算：體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學報，2011，32(7)：3-31.

[2]林闖，蘇文博，孟坤，等.云計算安全:架構(gòu)、機制與模型評價[J].計算機學報，2013，36(9)：1765-1784.

[3]OASIS.Security Assertion Markup Language(SAML)V2.0 echnical overview(committee draft 02)[EB/OL].(2008-03-25)[2014-09-24].https：//www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02. pdf.

[4]OASIS.Security Assertion Markup Language(SAML)v2.0 (OASIS standard set)[EB/OL].(2005-03-15)[2014-09-24]. http://docs.oasis-open.org/security/saml/v2.0/saml-2.0-os.zip.

[5]Internet Engineering Task Force(IETF).The OAuth 2.0 authorization framework(RFC 6749)[EB/OL].(2012-10) [2014-09].http://www.rfc-editor.org/rfc/pdfrfc/rfc6749.txt. pdf.

[6]OpenID authentication 2.0-final[EB/OL].(2007-12-05) [2014-09-24].http://openid.net/specs/openid-authentication-2_0.html.

[7]OASIS.Extensible Resource Identifier(XRI)resolution version 2.0(committee draft 02)[EB/OL].(2007-10-25)[2014-09-24].http://docs.oasis-open.org/xri/2.0/specs/cd02/xriresolution-V2.0-cd-02.pdf.

[8]Joaquin Miller.Yadis specification 1.0[EB/OL].(2006-03-18)[2014-09-24].http://yadis.org/papers/yadis-v1.0.pdf.

An identity authentication model for cloud computing

Wang Qun1，2，Li Fujuan1，Qian Huanyan2
(1.Department of Computer Information and Cyber Security，Jiangsu Police Institute，Nanjing 210031，China；2.School of Computer Science and Technology，Nanjing University of Science and Technology，Nanjing 210094，China)

Cloud computing is a groundbreaking applications on the basis of a number of technologies,which has become the focus of the current application and research.Among them,the authentication and authorization between cloud users and cloud services,and between different systems of cloud computing platform are a precondition for ensuring security of cloud computing.This paper briefly introduces information infrastructure on the basis of authentication and authorization for cloud computing,comprehensive analysis of the SAML2.0,OAuth2.0 and OpenID2.0 technical specifications and other features.On this basis,this paper presents an identity authentication model of cloud computing with open standard.This model provides a reference for the formation and management of cloud computing logical security domain.

cloud computing；authentication；authorization；single sign on(SSO)；security domain

TP393

A

0258-7998(2015)02-0135-04

10.16157/j.issn.0258-7998.2015.02.033

江蘇省高等學校重點學科建設(shè)專項資金“公安技術(shù)”(JS110838)；2013年江蘇省高等教育教改研究立項課題(2013JSJG150)

2014-09-24)

王群(1971-)，男，博士研究生，教授，主要研究方向：計算機網(wǎng)絡(luò)理論、網(wǎng)絡(luò)安全與管理。

李馥娟(1974-)，女，碩士，副教授，主要研究方向：計算機網(wǎng)絡(luò)技術(shù)與應(yīng)用。

錢煥延(1950-)，男，博士生導師，教授，主要研究方向：網(wǎng)絡(luò)技術(shù)與應(yīng)用、無線傳感器網(wǎng)絡(luò)、物聯(lián)網(wǎng)等。