云計算中的身份管理研究

蘇紅軍 尤振華 王國華

1.介紹

云計算是一種按使用量服務的模式，這種模式提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池（資源包括網絡，服務器，存儲，應用軟件，服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。云計算一般來講具有如下特點：

1）隨需應變自助服務；

2）隨時隨地用任何網絡設備訪問；

3）多人共享資源池；

4）快速重新部署靈活度；

5）可被監控與量測的服務；

6）基于虛擬化技術快速部署資源或獲得服務；

7）減少用戶終端的處理負擔：

8）降低了用戶對于IT專業知識的依賴。

身份管理（IDM）是一個綜合的概念，其基本定義為：在相關法律法規的指導下，按照一定的業務模式，為降低管理用戶身份、訪問權限的成本，提高管理用戶身份效率和安全性，保護用戶的隱私，方便信息共享，提高工作效率和安全性能，采用各種新技術開發的集身份認證、授權管理、責任認定于一體的基礎設施框架。具體來講，身份管理系統的功能包括信息存儲、身份認證和授權、用戶注冊和登錄、認證信息的管理、責任認定、用戶自助服務、集中和代理管理。

IDM應具備的功能：

（1）IDM系統應能夠在分布式異構網絡環境下，使用相關的協議、規范以及技術將分散的身份信息進行集中管理，實現單點登錄。也可以方便的擴充跨身份標識域的訪問等功能。

（2）提供友好的體驗環境，保護用戶隱私。有效的對用戶的行為進行審計。

雖然有各種技術可用，但是一個IDM系統仍然需要解決許多關鍵問題，其中包括：

1）體系結構。IDM的體系結構決定了系統的效能，決定了采用的相關技術，由于身份管理要求不斷應用新技術解決日益復雜的管理和安全問題，體系結構也將隨之不斷地更新，如何采用新型體系結構，是適應身份管理需求發展的關鍵問題。

2）信任模型。實施跨域訪問以及建立身份聯盟的先決條件是信任，解決好信任問題直接關系到身份管理系統的安全與效率。這其中包含了信任關系的建立、信任度量及信任傳遞。。

3）身份認證。身份認證是IDM系統的重要工作，這有別于傳統身份認證，只有通過綜合、先進的技術手段才能實現對用戶信息的高效管理。

4）隱私保護。通過各種協議、標準和技術支持，保護用戶隱私，在減輕系統負擔的同時，實現單點登錄。

各種用戶訪問和使用云服務，這些用戶的憑據，如用戶名，密碼和用戶標識等取決于服務提供商的身份管理系統。這些身份信息在云環境下采用加密的方式單獨存儲。存儲和安全對服務商而言是非常重要的問題，普通用戶也是通過這些措施和服務商建立信任關系。在本文中，我們提出一個以信任為基礎的系統，來實現身份管理系統的各種基本需求。本文所述的信任定義基本如下：信任是指一個范圍，在這個范圍內，在給定的條件下一方以一個相對安全感愿意依靠某些組織或某些人，即使可能產生負面結果。

2.相關研究

IDM目前已經得到了廣泛關注，在業內也形成了一些共識。根據管理考慮的角度不同可分為以服務提供者為中心的身份管理系統和以用戶為中心的身份管理系統；根據體系結構的不同可分為獨立身份管理系統、聯盟身份管理系統以及集中身份管理系統，按照通信方式的不同可劃分為計算機網絡身份管理系統，移動網絡身份管理系統；根據應用目的的不同可分為專用身份管理系統，通用身份管理系統；根據使用的安全技術的不同又可分為基于可信計算的身份管理系統與基于傳統安全技術的身份管理系統。從另外一個角度看，好的IDM系統應具備良好的可用性、擴展性和安全性。IDM的研究也需要跨學科的理論知識來創新性的開闊思路，完善方案。對于IDM的研究目前也有了很多模型、技術路線，以及不同見解的發展思路，但是大量的研究仍然處于探索階段，還有待于進一步成熟和完善。

IDM不適于單系統的情況，由于用戶通常會需要訪問多個提供商提供的服務，因此聯盟用戶身份管理的概念更適合云模式。

聯盟身份管理實際上是一種分布式的身份管理模型，對于某個Web站點，為了讓用戶使用所提供的服務，又從自身效率和效益的角度考慮，將身份信息和認證操作的維護工作交由另外一個網站來實現。聯盟的本意是指在站點間建立某種信任協議或者基于密碼學的信任關系。聯盟身份管理應用的典型案例是Web單點登錄，用戶登錄到某個站點后，就可以基于這次認證訪問其它聯盟站點的資源。提供服務的站點并不直接提供用戶認證和登錄的服務，而是依賴另一個站點來做認證。在這種單點登錄模式中，聯盟身份管理可以降低賬戶維護和管理成本，并可以降低安全隱患。

在云計算環境中，身份管理是為大量客戶提供服務所必要的手段。眾多的云用戶訪問和使用云服務，因此存儲和身份管理是非常重要的安全問題，需要一個完善的解決方案。

3.系統設計

在云計算系統中的聯盟身份管理首先自身必須是強大的，一個基于信任的解決方案如下所述。

基本組件包括：

1）身份配置：

在用戶請求服務時可以自己填寫和配置相關基本信息，包括名稱，密碼等，同時創建一個基于數字和字符的身份。系統會根據用戶填寫的信息進行分析和查重等工作。

2）密碼系統：

用戶信息和相關憑證可以存儲在獨立的位置或設備。信息只能有授權的用戶或管理員才可以維護，需加強系統的身份認證強度，訪問密碼應該經過加密處理。

3）通信通道：

用戶訪問服務時，云服務提供者的身份管理系統應通過加密信息和通道進行信息交換，通信安全強度取決于通信加密的強度和消息加密強度。

4.聯盟身份管理

在云計算環境中聯盟身份管理是非常重要的概念，云服務商們分享服務，滿足各自用戶的需求。因此，用戶身份管理就成為具有挑戰性的工作。關于云計算系統的聯盟身份管理程序可以提出如下觀點：聯盟的實現可以用靜態和動態的加密方法。靜態加密采用偽身份和代理簽名。動態方法應隨需求的變化而變化。當用戶在任意時間需要更多資源，不具備此項能力的服務商會將用戶請求轉給其他服務商，用戶信息必須由新的身份驗證系統接收管理。系統通過日志維護用戶的訪問細節、登錄和注銷時間、訪問記錄等，以及服務商的相關信息。

5.結論

身份管理為保護個人身份隱私和提高組織工作效率提供了安全保障，其應用與開發越來越受到重視。IDM技術已經作為一個重要的信息安全技術得到了廣泛的應用，但還存在如信任精確度量等難點問題有待于進一步解決，有著廣闊的研究空間和發展前景。接下來，IDM將會是云計算環境中一個關鍵的點，針對這種情況本文提出了一個簡單的基于信任的云計算環境下的聯盟身份管理方案。