2019云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系

云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系II目 錄云計(jì)算身份鑒別服務(wù)的研究背景及意義 1云計(jì)算身份鑒別服務(wù)需求和挑戰(zhàn) 3憑據(jù)管理 3強(qiáng)身份鑒別 4委托身份鑒別 4云計(jì)算身份鑒別標(biāo)準(zhǔn)研究現(xiàn)狀 5國際相關(guān)身份鑒別標(biāo)準(zhǔn)研究情況 6我國相關(guān)身份鑒別標(biāo)準(zhǔn)研究情況 13云計(jì)算中主要的身份鑒別相關(guān)標(biāo)準(zhǔn) 15業(yè)界典型的云計(jì)算身份鑒別服務(wù)及密碼技術(shù)應(yīng)用案例 32Google云身份鑒別技術(shù) 32Amazon云身份鑒別技術(shù) 34Microsoft云身份鑒別技術(shù) 35IBM云身份鑒別技術(shù) 37典型云身份鑒別服務(wù)及密碼應(yīng)用對(duì)比 37云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系架構(gòu) 385.1. 概述 38云環(huán)境中的身份鑒別密碼技術(shù)要求 38標(biāo)準(zhǔn)分類維度 41標(biāo)準(zhǔn)體系架構(gòu) 43PAGEPAGE10云計(jì)算身份鑒別服務(wù)的研究背景及意義務(wù)應(yīng)鑒別訪問者的身份。（一）云計(jì)算身份鑒別的安全性尤為重要和迫切。OWASPWeb262013NISTCloudComputingStandardsRoadmap》[32]文SAML（SecurityAssertionMarkupLanguage、OpenID（OpenIDAuthentication、OAuth（OpenAuthorizationProtocol）作為一種云計(jì)算服務(wù)，為其他云計(jì)算服務(wù)或者應(yīng)用提供身份鑒別服務(wù)。（二）身份鑒別技術(shù)發(fā)展迅速，除了傳統(tǒng)的用戶名/口令方式，基于智能設(shè)備、智能卡、生物識(shí)別技術(shù)的身份鑒別以及多因素鑒別逐漸發(fā)展成熟。（發(fā)展與研究。例如，基于用戶名/口令的身份鑒別技術(shù)已得到了普遍的使用；基于智能卡識(shí)別、基于生物特征識(shí)別的身份鑒別技術(shù)（FIDO制也已得到了較為成熟的研究，并被許多服務(wù)提供商應(yīng)用于其產(chǎn)品中。（三）云計(jì)算環(huán)境中身份鑒別面臨新的需求和挑戰(zhàn)-憑據(jù)管理、強(qiáng)身份鑒別、聯(lián)合身份鑒別（跨域、跨服務(wù)）等。（USB最后，云環(huán)境下需要方便快捷的技術(shù)來解決聯(lián)合身份鑒別（跨安全域或跨服務(wù)。（四服務(wù)標(biāo)準(zhǔn)體系。針對(duì)云環(huán)境中身份鑒別服務(wù)新的發(fā)展趨勢，國際相關(guān)標(biāo)準(zhǔn)組織均在研究云環(huán)境中的身份鑒別服務(wù)的技術(shù)和機(jī)制。美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST、第一聯(lián)合技術(shù)委員會(huì)（IS/IEO、結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OASS）均有相關(guān)的工作組在研究云環(huán)境中的（IETF）OAuth（OpenID）OpenIDOpenIDOAuth（五）SaaS云服務(wù)提供身份鑒別服務(wù)。（NationalInstituteofStandardsandTechnology，SP《云計(jì)算的定義（TheNISTDefinitionofCloudComputing）[33]基礎(chǔ)設(shè)施即服務(wù)（InfrastructureasaServce，IaaSIaaS服務(wù)提供商向用戶提供對(duì)所有計(jì)算基礎(chǔ)設(shè)施的使用，包括處理CPU選擇、存儲(chǔ)空間、部署的應(yīng)用，也有可能獲得有限制的網(wǎng)絡(luò)組件（器、防火墻、負(fù)載均衡器等）的控制能力。平臺(tái)即服務(wù)（PlatformasaService，PaaS：PaaSSaaS，IaaSPaaS軟件即服務(wù)（SoftwareasaService，SaaSSaaSWebWEB）或程序接口通過網(wǎng)絡(luò)訪問和使用云服務(wù)提供商提供的應(yīng)用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)、客如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)等，但可對(duì)應(yīng)用軟件進(jìn)行有限的配置管理。IaaSPaaSSaaS入方式（對(duì)服務(wù)、設(shè)備、數(shù)據(jù)資源的訪問接入方式、被訪問對(duì)象的資源管理方式（用SaaSSaaS鑒別服務(wù)的需求和挑戰(zhàn)、研究現(xiàn)狀、關(guān)鍵技術(shù)以及體系架構(gòu)。研究具體的云計(jì)算身份鑒別關(guān)鍵技術(shù)和身份鑒別技術(shù)在主要云服務(wù)提供商處的應(yīng)用情云計(jì)算身份鑒別服務(wù)需求和挑戰(zhàn)CSADomainGuidanceforIdentity&AccessManagement》[24]中提出，將應(yīng)用部署到云計(jì)算環(huán)（身份鑒別）等等，以云服務(wù)的方式提供的身份鑒別服務(wù)同樣面臨以上安全挑戰(zhàn)。憑據(jù)管理戰(zhàn)：保護(hù)口令的存儲(chǔ)和口令的安全傳輸；問權(quán)限的攻擊者可以在其他站點(diǎn)冒充用戶；保護(hù)口令防止受到字典暴力破解，以及防止針對(duì)口令重置自服務(wù)等的攻擊；魚攻擊還可以通過安裝惡意軟件或者鍵盤記錄來捕獲用戶的用戶名和口令。應(yīng)定義并強(qiáng)制實(shí)施一個(gè)口令/憑據(jù)安全策略，包括憑據(jù)生命周期。口令有效期有多久？憑據(jù)長度：口令長度，證書密鑰長度等等；存儲(chǔ)憑據(jù)的安全性：是否經(jīng)過單向散列？口令重置自服務(wù)；口令重置前的身份驗(yàn)證等等。同樣針對(duì)其他身份憑據(jù)，也存在以上安全需求和挑戰(zhàn)。云計(jì)算身份鑒別服務(wù)應(yīng)從以上幾個(gè)方面考慮其憑據(jù)管理的技術(shù)要求和規(guī)范。強(qiáng)身份鑒別用戶會(huì)通過下幾個(gè)方面選擇云服務(wù)提供商：支持更多的強(qiáng)身份鑒別機(jī)制；企業(yè)管理范圍應(yīng)包含特權(quán)用戶的管理；密碼重置自服務(wù)功能應(yīng)首先驗(yàn)證用戶的身份；應(yīng)能夠定義并實(shí)施強(qiáng)口令策略；3.3用戶為中心的身份鑒別（例如OpenID）-ID存在的憑據(jù)登錄第三方應(yīng)用，而不需要在該應(yīng)用方存儲(chǔ)憑據(jù)。Kerberos、令牌（SAMLFIDO委托身份鑒別提供商提供的身份鑒別服務(wù)。聯(lián)合身份鑒別是委托身份鑒別的一種實(shí)現(xiàn)方法。web術(shù)，便可方便地跨域或跨應(yīng)用訪問。其中，MicrosoftTivoli份管理器向多種應(yīng)用的用戶提供Web和聯(lián)合單點(diǎn)登錄。針對(duì)私有云部署、公共云部署和混合云部署，它結(jié)合使用單點(diǎn)登錄技術(shù)進(jìn)行高度安全的信息共享。等功能。鑒別解決方案，主要包括《GB/T29242-2012（SecurityAssertionMarkupLanguage，SAML，Web服務(wù)聯(lián)邦語言（WebServicesFederationLanguage，WS-Federation）等。云計(jì)算身份鑒別標(biāo)準(zhǔn)研究現(xiàn)狀別領(lǐng)域，開展了一系列的探索和研究工作。國際標(biāo)準(zhǔn)組織及其相關(guān)工作主要包括：美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsandTechnology，NIST。NIST的領(lǐng)導(dǎo)力并提供相關(guān)指導(dǎo)。NIST（NISTCloudComputingStandardsRoadmap）為云計(jì)算標(biāo)準(zhǔn)體系化奠定了一定的基礎(chǔ)，在該文檔中涵蓋了云計(jì)算身份鑒別與授權(quán)建議采用的各個(gè)組織機(jī)構(gòu)的標(biāo)準(zhǔn)規(guī)范（OASISSAMLOpenIDOpenIDIETFOAuth等，是云計(jì)算身份鑒別服務(wù)標(biāo)準(zhǔn)體系架構(gòu)的重要參考文件。第一聯(lián)合技術(shù)委員會(huì)（Informationtechnology-Securitytechniques-Aframeworkforidentitymanagement，ISO/IEO。ISO/IEOJTC1SC27ISO/IEC處理者在公共云中PII和管理提供重要參考。ISO/IEC結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OrganizationfortheAdvancementofStructuredInformationStandards，OASIS。OASIS發(fā)布的SAML、WFdri算身份鑒別服務(wù)中提供強(qiáng)身份鑒別和聯(lián)合身份鑒別。（TheInternetEngineeringTaskForceIETF。IETFOAuthIETF（RFC7642、RFC7643、國際電信聯(lián)盟-電信標(biāo)準(zhǔn)化部（InternationalTelecommunicationUnion－TelecommunicationStandardizationSector，ITU-T。OpenIDOAuthOAuthOpenID構(gòu)有重要的參考意義。（OpenID該組織制定的OpenID的可解決用戶使用同一種身份憑據(jù)訪問多個(gè)網(wǎng)絡(luò)應(yīng)用或云服務(wù)的身份鑒別問別中應(yīng)用較為廣泛，是云計(jì)算身份鑒別標(biāo)準(zhǔn)體系重要組成部分。線上快速身份鑒別聯(lián)盟（FastIDentityOnline，簡稱FIDOFIDO規(guī)范針對(duì)安全設(shè)備和WebFIDO的設(shè)備通信，實(shí)現(xiàn)便捷、安全的在線用戶鑒別。FIDO系列標(biāo)準(zhǔn)提高了云計(jì)算身份鑒別服務(wù)的安全性，以應(yīng)對(duì)云計(jì)算身份鑒別服務(wù)的強(qiáng)身份鑒別挑戰(zhàn)。環(huán)境的生物識(shí)別身份鑒別協(xié)議》等草案。但是國內(nèi)外的相關(guān)機(jī)構(gòu)并沒有形成一整套的云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系，在這方面的研究都比較欠缺。本章后續(xù)小節(jié)將詳細(xì)介紹國內(nèi)外的相關(guān)標(biāo)準(zhǔn)研究情況。國際相關(guān)身份鑒別標(biāo)準(zhǔn)研究情況NISTNISTNISTNIST在云計(jì)算領(lǐng)域的五大工作組：參考架構(gòu)與分類工作組云計(jì)算架構(gòu)參考模型是對(duì)云計(jì)算概念與關(guān)系的抽提，為機(jī)構(gòu)應(yīng)用云計(jì)算概念提供了標(biāo)準(zhǔn)與指導(dǎo)。云計(jì)算應(yīng)用標(biāo)準(zhǔn)推進(jìn)工作組成。云安全工作組（CloudSecurity）NIST之一。該小組制定了以下標(biāo)準(zhǔn)：《云計(jì)算參考體系架構(gòu)（NISTCloudComputingReferenceArchitecture（準(zhǔn)，該標(biāo)準(zhǔn)定義云計(jì)算體系架構(gòu)、架構(gòu)組成部件及面臨的安全與隱私。（GuidetoSecurityforFullVirtualizationTechnologies（標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)對(duì)虛擬機(jī)隔離、虛擬機(jī)監(jiān)控以及虛擬機(jī)面臨的安全威脅進(jìn)行了描述。（NIST:GuidelinesonSecurityandPrivacyinPublicCloudComputing標(biāo)準(zhǔn)路線圖工作組（StandardsRoadmap）NIST的安全有效應(yīng)用。業(yè)務(wù)用例工作組（BusinessUseCases）NIST問題和限制。該機(jī)構(gòu)發(fā)布的與云計(jì)算相關(guān)的標(biāo)準(zhǔn)主要有：SP800-146《云計(jì)算梗概和建議》（NISTCloudComputingSynopsisandRecommendations）SP500-291（NISTCloudComputingStandardsRoadmap）SP800-145（TheNISTDefinitionofCloudComputing）SP500-292《云計(jì)算參考體系架構(gòu)》（NISTCloudComputingReferenceArchitecture）SP500-29《美國政府云計(jì)算技術(shù)路線圖（NISTUSGovernmentCLoudTechnologyRoadmapVolumeIRelease1.0（草案）NISTIR7904（TrustedGeolocationinCloud:ProofofConceptImplementation（草案）NISTNISTNIST（NISTCloudComputingStandardsRoadmap）要參考文件。ISO/IEOISO/IECCD17788（Distributedapplicationplatformsandservices-Cloudcomputing-OverviewandVocabulary，該標(biāo)準(zhǔn)規(guī)范了云計(jì)算的基本概念和常用詞匯ISO/IECCD17789云計(jì)算-參考架構(gòu)（CloudComputing-ReferenceArchitecture）ISO/IEC27017ISO/IEC27002ofpracticeforinformationsecuritycontrolsforcloudcomputingservicesbasedonISO/IEC27002（標(biāo)準(zhǔn)草案）（標(biāo)準(zhǔn)草案指導(dǎo)，目前正在制定過程中。ISO/IEC17826:2012云數(shù)據(jù)管理接口（CloudDataManagementInterfaceCDMI）ISO/IEC27018:2014《個(gè)人可識(shí)別信息（PII）PII（CodeofpracticeforPIIprotectioninpubliccloudsactingasPIIprocessors）ISO/IEC24760-1:20151（Aframeworkforidentitymanagement–Part1:Terminologyandconcepts）ISO/IEC24760-2:2015《身份管理框架第2frameworkforidentitymanagement–Part2:Referencearchitectureandrequirements）ISO/IECPIIISO/IECOASIS-SAML、WS-Federation、身份管理OASIS組織在鑒別、授權(quán)、身份管理、云身份管理等方面均有研究。鑒別方面：SAMLXML些都為云環(huán)境下身份鑒別的發(fā)展提供了一定的技術(shù)方案支持。SAML2.0GB/T20095WS-Federation（MicrosoftAzure、IBM的聯(lián)合身份管理（TivoliFederatedIdentityManager）WS-Federation授權(quán)方面：XACML（eXtensibleAccessControlMarkupLanguage）XACMLXACML2.0GB/T30281-2013OASISSaaS、PaaS、IaaS身份管理方面：（IDCloud）2010201121.0(IdentityintheCloudUseVersion1.0)。OASISSAMLXACMLOASISWS-FederationSAMLWS-FederationIETF-OAuth、跨域身份管理IETF一定權(quán)威的網(wǎng)絡(luò)相關(guān)技術(shù)研究團(tuán)體。IETF大量的技術(shù)性工作均由其內(nèi)部的各種工作組（WorkingGroup，簡稱WG）承擔(dān)和完成。這些工作組依據(jù)各項(xiàng)不同類別的研究課題而組建。相關(guān)標(biāo)準(zhǔn)研究工作組有：OAuth:OAuth（WebAuthorizationProtocolOAuthSCIM:跨域身份管理系統(tǒng)工作組（SystemforCross-domainIdentityManagement，主要從事跨域身份管理相關(guān)工作。RFC（SystemforCross-domainIdentityManagement:Definitions,Overview,Concepts,andRequirements）RFC（SystemforCross-domainIdentityManagement:CoreSchema）RFC7644：2015（SystemforCross-domainIdentityManagement:Protocol）ACE:受限環(huán)境下的鑒別與授權(quán)工作組（AuthenticationandAuthorizationforConstrainedEnvironmentsAAA:鑒別、授權(quán)和審計(jì)工作組（Authentication,AuthorizationandAccounting2006其中推出的第三方授權(quán)協(xié)議及框架OAuth系列技術(shù)規(guī)范已被廣泛應(yīng)用于云環(huán)境中的身份鑒別與授權(quán)領(lǐng)域。OAuthTwitter需要委托TwitterTwitterOSXDashboard4OAuth200710core1.0200811OAuthOAuth1.0的廣泛應(yīng)用，OAuth1.02009423，OAuthOAuth1.06OAuth（3OAuth。于是，OAuthOAuthCore1.0a20104RFC1.0OAuth1.0201212OAuth2.0（RFC6749）OAuthOAuth與傳統(tǒng)的授權(quán)機(jī)制不同，OAuth（即第三方應(yīng)用程序OAuthOAuth2.0WebOAuth2.0QQ、新浪微博、阿里巴巴淘寶、支付LiveWordPresseBayPayPal、FacebookGoogleYahooLinkedInVK.comMail.RuOdnoklassniki.ruGitHubOAuth問題。某研究通過分析通過瀏覽器的數(shù)據(jù)分析了實(shí)現(xiàn)的邏輯漏洞，攻破了Google、FacebookOAuthXSSCSRF類攻擊。20145OAuthOpenIDOAuth檔，以指導(dǎo)開放者避免實(shí)現(xiàn)漏洞。目前，OAuth系列技術(shù)規(guī)范文檔主要有：—RFC6749OAuth2.0授權(quán)框架—RFC6750OAuth2.0授權(quán)框架：不記名令牌使用—RFC6755OAuth的IETFURN子命名空間—RFC6819OAuth2.0威脅模型和安全考慮—RFC7009OAuth2.0令牌撤銷—RFC7519JSON網(wǎng)頁令牌（JWT）—RFC7521OAuth2.0客戶端鑒別與授權(quán)憑據(jù)的斷言框架—RFC7522OAuth2.0SMAL2.0IETFAAA（OAuth）別提供重要參考。ITU-TITU-T織。ITUITU-TSITU-TSG13WP6（云計(jì)算研究組Q26（云需求Q2（云架構(gòu)Q2（資源管理SG13JTC1/SC38準(zhǔn)。ITU-T20106FGCloud，201112(SG)7告。其中《云安全》報(bào)告旨在確定ITU-T與相關(guān)標(biāo)準(zhǔn)化制定組織需要合作開展的云安（包括網(wǎng)絡(luò)和業(yè)務(wù)的連續(xù)性跨云程序、接口與服務(wù)水平協(xié)議；用戶友好訪問、虛擬終端和生態(tài)友好的云。ITUOpenIDOAuth技術(shù)均廣泛應(yīng)用于云計(jì)算中。制定的相關(guān)標(biāo)準(zhǔn)有：《下一代網(wǎng)絡(luò)的OAuth（ITU-TY.2723SupportforOAuthinnextgenerationnetworks，201311）OpenID（ITU-TY.2725SupportofOpenIDingenerationnetworks，20147）（ITU-TX.1158Multi-factorauthenticationmechanismsusingamobiledevice，2014年11月發(fā)布）（ITU-TX.1256Guidelinesframeworkforsharingnetworkauthenticationresultswithserviceapplications，20163）《多身份服務(wù)提供商環(huán)境中的聯(lián)合鑒別通用框架》（ITU-TX.1154Generalframeworkofcombinedauthenticationonmultipleidentityserviceproviderenvironments，20134）（ITU-TX.idmccRequirementofIdMincomputing，在研標(biāo)準(zhǔn)）《身份管理鑒別集成（Authenticationintegrationinidentitymanagement，在研標(biāo)準(zhǔn)）《身份管理信息發(fā)現(xiàn)》（X.discoveryDiscoveryofidentitymanagementinformation）ITU（網(wǎng)絡(luò)會(huì)議等別等方面。隨后緊跟云計(jì)算的發(fā)展，在聯(lián)合身份、OpenID、OAuth、多因素鑒別等方面OpenIDOpenIDBradFitzpatrick，SixApartveriSignOpenID2007，OpenIDOpenID技術(shù)進(jìn)行管理和推廣，F(xiàn)acebook、IntelOIDF2007，OpenIDOpenID2.0（已經(jīng)廢棄。隨后，Light-WeightIdentityYadisSxipDIXprotocolXRI/i-namesOpenIDGoogleMicrosoftPayPalPingIdentity,Symantec、Verizon、Yahoo!、Salesforce、VMWare、Cisco342OpenIDOpenIDOpenID（OAuth2.0）協(xié)議之上的一個(gè)簡單身份鑒別框架。該框架使得依賴方（即為第三方應(yīng)用程序）OpenID（通常是一個(gè)授權(quán)服務(wù)器OpenIDOpenIDOpenIDURLOpenID系列標(biāo)準(zhǔn)成為云計(jì)算身份鑒別服務(wù)標(biāo)準(zhǔn)體系中用戶身份標(biāo)識(shí)以及鑒別協(xié)議的重要參考文件。FIDO針對(duì)傳統(tǒng)的用戶名/需要記憶多個(gè)用戶名/口令。如果口令簡單，容易被破解；如果口令復(fù)雜，用戶容易忘記。FIDOFIDO題。FIDOGoogle、PayPal、MasterCard515FIDO12FIDO1.0替口令。FIDO1.0主要包括兩類鑒別，即通用授權(quán)框架UniversalAuthenticationFramewor（UAF）UniversalSecondFactor（U2FAppNokNokLabs，Synaptics，PayPal，三星，Google，YubicoPlug-UpGalaxyS5FIDOMate7FIDOFIDO系列標(biāo)準(zhǔn)使用生物識(shí)別身份鑒別技術(shù)以及公鑰密碼技術(shù)提高了云計(jì)算身份鑒FIDO系列標(biāo)準(zhǔn)成為云計(jì)算身份鑒別服務(wù)強(qiáng)身份鑒別的重要參考文件。小結(jié)OpenIDSAML等標(biāo)準(zhǔn)技術(shù)來實(shí)現(xiàn)單點(diǎn)登錄已成為一種常用的選擇，身份的聯(lián)合可依賴于SAML、WS-Fedartion目前國際相關(guān)組織機(jī)構(gòu)研究特點(diǎn)和趨勢：重視基礎(chǔ)研究，針對(duì)PKI展。鑒別與授權(quán)領(lǐng)域多樣化發(fā)展，涉及領(lǐng)域廣泛，緊跟網(wǎng)絡(luò)應(yīng)用的發(fā)展鑒別與授權(quán)相關(guān)框架、協(xié)議、接口、語言規(guī)范全方位研究緊跟新的網(wǎng)絡(luò)技術(shù)和應(yīng)用模式，不斷更新和變化，出臺(tái)新的標(biāo)準(zhǔn)，如多媒體、無線網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)、智能設(shè)備、跨域的聯(lián)合身份等身份與訪問管理是近年來的工作重點(diǎn)重點(diǎn)研究身份管理方面的框架、互操作、元數(shù)據(jù)管理等通用技術(shù)不斷追蹤新應(yīng)用場景和領(lǐng)域中的要求進(jìn)行同步化研究，如跨域環(huán)境、云計(jì)算環(huán)境等新領(lǐng)域、新應(yīng)用中的鑒別與授權(quán)技術(shù)是發(fā)展趨勢緊跟云計(jì)算、物聯(lián)網(wǎng)、受限環(huán)境等新領(lǐng)域的需求，研究新領(lǐng)域中鑒別與授權(quán)技術(shù)。NFC研究趨勢我國相關(guān)身份鑒別標(biāo)準(zhǔn)研究情況近年來，我國標(biāo)準(zhǔn)化組織一直不間斷在身份鑒別、身份管理相關(guān)技術(shù)方面的研究。國家標(biāo)準(zhǔn)公鑰基礎(chǔ)設(shè)施PKIPKI方面發(fā)展完善，緊跟國際標(biāo)準(zhǔn)發(fā)展方向。例如，PKI系統(tǒng)類的標(biāo)準(zhǔn)《PKIPKI2部分：基于身份的機(jī)制》等也已指導(dǎo)相關(guān)電子簽名系統(tǒng)或應(yīng)用的實(shí)施多年。鑒別與授權(quán)語言規(guī)范》和《可擴(kuò)展訪問控制置標(biāo)語言》等標(biāo)準(zhǔn)。身份管理云計(jì)算安全2014GB/T31168-2014中，對(duì)標(biāo)識(shí)符管理、鑒別憑證管理、鑒別憑證反饋等方面提出了安全能力要求。標(biāo)識(shí)符管理一般要求云服務(wù)商應(yīng)通過以下步驟管理云計(jì)算平臺(tái)中的標(biāo)識(shí)符：明確由授權(quán)人員分配個(gè)人、組、角色或設(shè)備標(biāo)識(shí)符；設(shè)定或選擇個(gè)人、組、角色或設(shè)備的標(biāo)識(shí)符；將標(biāo)識(shí)符分配給有關(guān)個(gè)人、組、角色或設(shè)備；在[]在[]增強(qiáng)要求對(duì)[賦值：云服務(wù)商定義的人員類型]進(jìn)行進(jìn)一步標(biāo)識(shí)，如合同商或境外公民，便于了解通信方的身份（人員相區(qū)分；或平臺(tái)的標(biāo)識(shí)符管理策略。鑒別憑證管理一般要求通過以下步驟管理鑒別憑證：驗(yàn)證鑒別憑證接收對(duì)象（個(gè)人、組、角色或設(shè)備）的身份；確定鑒別憑證的初始內(nèi)容；確保鑒別憑證能夠有效防止偽造和篡改；針對(duì)鑒別憑證的初始分發(fā)、丟失處置以及收回，建立和實(shí)施管理規(guī)程；強(qiáng)制要求用戶修改鑒別憑證的默認(rèn)內(nèi)容；明確鑒別憑證的最小和最大生存時(shí)間限制以及再用條件；對(duì)[賦值：云服務(wù)商定義的鑒別憑證]，強(qiáng)制要求在[賦值：云服務(wù)商定義的時(shí)間段]保護(hù)鑒別憑證內(nèi)容，以防泄露和篡改；采取由設(shè)備實(shí)現(xiàn)的特定安全保護(hù)措施來保護(hù)鑒別憑證；當(dāng)組或角色賬號(hào)的成員資格發(fā)生變化時(shí)，變更該賬號(hào)的鑒別憑證。對(duì)于基于口令的鑒別：建立相關(guān)機(jī)制，能夠強(qiáng)制執(zhí)行最小口令復(fù)雜度，該復(fù)雜度滿足[賦值：云服務(wù)商定義的口令復(fù)雜度規(guī)則]；建立相關(guān)機(jī)制，能夠在用戶更新口令時(shí)，強(qiáng)制變更[賦值：云服務(wù)商定義的數(shù)目]對(duì)存儲(chǔ)和傳輸?shù)目诹钸M(jìn)行加密；強(qiáng)制執(zhí)行最小和最大生存時(shí)間限制，以滿足[賦值：云服務(wù)商定義的最小生存時(shí)間和最大生存時(shí)間]。PKI的令牌。增強(qiáng)要求PKI的鑒別：確保認(rèn)證過程的安全；對(duì)相應(yīng)私鑰進(jìn)行保護(hù)。確保未加密的靜態(tài)鑒別憑證未被嵌入到應(yīng)用、訪問腳本中；接受[]鑒別憑證反饋一般要求云服務(wù)商應(yīng)確保信息系統(tǒng)在鑒別過程中能夠隱藏鑒別信息的反饋，以防止鑒別信息被非授權(quán)人員利用。無。密碼行業(yè)標(biāo)準(zhǔn)（OpenIDOAuthFIDO）草案。《開放的身份標(biāo)識(shí)鑒別框架》《開放的第三方資源授權(quán)協(xié)議框架》場景中，身份鑒別與授權(quán)服務(wù)的開發(fā)、測試、評(píng)估和采購?！对诰€快捷身份鑒別密碼技術(shù)應(yīng)用規(guī)范》該標(biāo)準(zhǔn)規(guī)定了基于生物特征識(shí)別的在線快捷身份鑒別協(xié)議。小結(jié)16LDAP、SAML3OpenIDOAuth云計(jì)算中主要的身份鑒別相關(guān)標(biāo)準(zhǔn)SAMLSAML（SecurityAssertionMarkupLanguage，安全斷言標(biāo)記語言）OASIS織安全服務(wù)技術(shù)委員會(huì)（SecurityServicesTechnicalCommittee）為解決認(rèn)證和授2001ShibbolethSAML2.0圍的應(yīng)用。近年來，SAML，SAMLRSA、IBM、Oracle、BEA、MicrosoftSAMLSAML是一個(gè)基于XML的標(biāo)準(zhǔn)，用于在不同的安全域（securitydomain）之間交認(rèn)證和授權(quán)數(shù)據(jù)。SAML標(biāo)準(zhǔn)定義了身份提供者（IdentityProvider，即IDP）和服提供（ServiceProvider）兩個(gè)參與實(shí)體二者構(gòu)成了不同的安全域SAML標(biāo)準(zhǔn)中要包括認(rèn)證聲明、屬性聲明、授權(quán)聲明。在SAML協(xié)議通信中，只要通信實(shí)體之間存信任關(guān)系，符合SAML接口和消息交互定義，以及應(yīng)用場景，實(shí)體之間就可相互通信。SAML 的基本部分包括 Protocol、Bingding、Profile、Metadata、AuthenticationContext。其中 Protocol 是交互消息的格式，例如AuthnRequest/Response（認(rèn)證請(qǐng)求/響應(yīng)消息對(duì)是指協(xié)議所采用的傳輸式，例如使用HTTPRedirect或HTTPPOST或SOAP的方式傳輸協(xié)議中所定義的消息Profile是系統(tǒng)角色間交互消息的各種場景，例如單點(diǎn)登錄是一種Profile、單點(diǎn)登也是一種Profile、身份聯(lián)合也是一種Profile；各個(gè)參與方所提供的服務(wù)描述信息SAMLUserPasswordKerberosRadius，或者是動(dòng)態(tài)密碼卡。SAMLSSLX.509SAMLSAML相關(guān)協(xié)議可用于實(shí)現(xiàn)單點(diǎn)登錄，其應(yīng)用場景如圖1所示。圖1SAML應(yīng)用場景IDP，IDPSAMLSAML在國際上己經(jīng)通過SAML2.0互操作性測試的主要產(chǎn)品有如下一些：ShibbolethShibbolethSAMLShibbolethInCommon135，800EntrustIdentityGuardFederationModule9.2EntrustIdentityGuardSAML2.0SAML2.0組織、機(jī)構(gòu)有權(quán)為他們的用戶訪問選擇正確的身份驗(yàn)證方法，支持包括用戶名&密碼，數(shù)字證書，IP，ID，問題和答案，OTP（通過語音、短信、電子郵件、以O(shè)TPIBMTivoliFederatedIdentityManager（TFIM）IBMTivoliFederatedIdentityManager（TFIM）提供了一個(gè)全功能的web面向服務(wù)的體系架構(gòu)(SOA)WebServices，TFIMWebServicesTFIM:SAML1.0/1.1/2.0OpenIDAuthentication1.1/2.0，InformationCardProfile，WS-FederationRequestorProfile，LibertyID-FF1.1/1.2，WS-Trust1.2/1.3。SAPNetWeaverIdentityManagementSAPNetWeaverIdentityManagement7.2SAML2.0IdentityProvider)(STS)。集中管理用戶身份信息的認(rèn)證中心和虛擬目錄服務(wù)組件被擴(kuò)展以支持和其他的身份提供者(IDP)IDPSTS的身份管理，為企業(yè)級(jí)的單點(diǎn)登錄集成提供了解決方案。除此之外，還包括以下產(chǎn)品：IBMTivoliAccessManagerWeblogicOblixNetPointSunONEIdentityServerBaltimore,SelectAccessEntegritySolutionsAssureAccessInternet2OpenSAMLYaleCAS3NetegritySiteMinderSigabaSecureMessagingSolutionsRSASecurityClearTrustVeriSignTrustIntegrationToolkitEntrustGetAccess7SAMLXML用。WS-FederationWS-Federation（WebServicesFederationLanguage，Web服務(wù)聯(lián)邦語言）是由OASIS（WebServicesFederationTechnicalCommittee）20095WS-FederationBEASystems、BMCSoftware、CAInc.、IBM、Microsoft、Novell、HPEnterprise和VeriSign等公司聯(lián)合制定。作為網(wǎng)絡(luò)服務(wù)安全框架（WebServicesSecurityframework）的一部分，WS-FederationWS-Federation通用的聯(lián)邦框架必須在不增加基礎(chǔ)設(shè)施投資的情況下將已有的基礎(chǔ)設(shè)施集成到框WS-FederationWS-SecurityWS-TrustWS上，提供了豐富的可擴(kuò)展機(jī)制。WS-Security、WS-Trust基礎(chǔ)設(shè)施和信任拓?fù)浣Y(jié)構(gòu)，WS-Federation則定義額外的聯(lián)邦機(jī)制來擴(kuò)展以上標(biāo)準(zhǔn)。WS-FederationWeb（Webbrowserrequestors）使用，Web（Webservicerequestors）Web者必須支持WS-Security、WS-Trust，并且有能力和Web服務(wù)提供方（WebserviceWebWSHTTP參與方之間傳輸?shù)臋C(jī)制。WS-Federation/Web，WS-Federation圖2A圖3B圖4聯(lián)邦應(yīng)用場景CWS-FederationWS-FederationWS-Security（X.509Kerberos/SAMLWS-Trust（MicrosoftAzureIBM的聯(lián)合身份管理（TivoliFederatedIdentityManager）WS-Federation標(biāo)準(zhǔn)。OpenIDOpenIDURIOpenIDOpenIDOpenIDOpenID（OpenIDOpenIDOpenIDOpenIDOpenIDOpenIDOpenID（（程，以驗(yàn)證終端用戶的身份，并獲取關(guān)于終端用戶身份標(biāo)識(shí)的基本配置信息。OpenIDOAuth2.0雙方傳輸關(guān)于終端用戶的信息。OpenID具有以下特點(diǎn)：提供統(tǒng)一的身份鑒別框架，建立云內(nèi)用戶的“身份證”；減輕用戶記憶負(fù)擔(dān)，提高用戶認(rèn)證效率；實(shí)現(xiàn)用戶在第三方應(yīng)用的匿名認(rèn)證，降低隱私泄露風(fēng)險(xiǎn)。OpenID協(xié)議建立在OAuth2.0授權(quán)框架基礎(chǔ)之上，將用戶身份信息作為一種資源：OpenIDIDIDOpenID行注冊(cè)流程就可以使用第三方應(yīng)用程序提供的服務(wù)。OpenIDOpenID（Google,Microsoft（站）都可以使用開放統(tǒng)一的身份標(biāo)識(shí)來進(jìn)行登錄。主要應(yīng)用場景如圖5所示。圖5OpenID應(yīng)用場景執(zhí)行以下協(xié)議流程（6所示。圖6OpenID基本協(xié)議流程依賴方向身份服務(wù)提供方發(fā)送一個(gè)關(guān)于終端用戶的鑒別請(qǐng)求。權(quán)。ID步的請(qǐng)求。依賴方發(fā)送帶有訪問令牌的請(qǐng)求到身份服務(wù)提供方的用戶信息端點(diǎn)。用戶信息端點(diǎn)返回關(guān)于終端用戶的聲明信息。OpenIDOAuthIDID的授權(quán)信息，使得第三方應(yīng)用能夠?qū)τ脩暨M(jìn)行身份鑒別。第三方應(yīng)用還可以使用與IDOpenIDOAuth2.0鑒別流程。OpenIDID圖7所示。圖7授權(quán)碼鑒別流程隱式鑒別流程主要用于在瀏覽器中使用腳本語言實(shí)現(xiàn)的依賴方或本機(jī)應(yīng)用程序類型的依賴方。隱式鑒別流程如圖8所示。圖8隱式鑒別流程令牌、訪問令牌和授權(quán)碼的任意組合?；旌翔b別流程如圖9所示。圖9混合鑒別流程以下介紹幾個(gè)有代表性的云服務(wù)提供商對(duì)OpenID的支持情況：GoogleGoogleGoogleOpenID2.0GoogleAppsGoogleAppsforBusiness、GoogleAppsforEducationGoogleAppsforISPsOpenID2.0OpenID一些安全問題的暴露和研究，OpenIDOpenID，GoogleOpenID2.0OpenIDMicrosoftMicrosoftAzureActiveDirectory(AzureAD)中支持OpenIDConnect1.0實(shí)現(xiàn)了在OAuth2.0協(xié)議基礎(chǔ)上的單一登錄功能。OAuth2.0是一種授權(quán)協(xié)議，但OpenIDConnect擴(kuò)展了OAuth2.0的身份驗(yàn)證協(xié)議用途。OpenIDConnect協(xié)議的主id_token，后者用于對(duì)用戶進(jìn)行身份驗(yàn)證。FacebookFacebookRPOpenID—2009519facebookGmailOpenIDFacebookGmail賬號(hào)登錄Facebook，也就是說，當(dāng)用戶在Gmail里瀏覽郵件時(shí)，點(diǎn)擊了一個(gè)FacebookFacebookOpenID為中心的身份鑒別框架。另外，OpenID2.0OAuthOAuth同時(shí)使用，完成對(duì)用戶的身份鑒別和資源授權(quán)。OAuthOAut（OpenAuthorizationProtocolFrameworkIETFOAuthCore1.02007124，2009624OAuthCore1.0RevisionAOAuthCore1.020104，OAuthRFCRFC5849：TheOAuth1.0Protocol。201210OAuth2.0RFC6749：TheOAuth2.0AuthorizationFramework，OAuth1.0OAuth2.0OAuth2.0（即授權(quán)服務(wù)器長是由資源擁有者授權(quán)同意的，并由資源服務(wù)器和授權(quán)服務(wù)器實(shí)施。OAuth10所示：圖10OAuth授權(quán)模型通過引入授權(quán)層（即授權(quán)服務(wù)器，每個(gè)第三方應(yīng)用使用授權(quán)服務(wù)器發(fā)放的訪問令OAuth2.0應(yīng)用場景如圖11所示：圖11OAuth應(yīng)用場景第三方應(yīng)用程序是當(dāng)前互聯(lián)網(wǎng)上廣泛部署的Web應(yīng)用程序、云服務(wù)或者其他手機(jī)APP方應(yīng)用程序有時(shí)效性的訪問令牌，第三方應(yīng)用程序使用訪問令牌訪問受保護(hù)資源。OAuth2.0（Web器的請(qǐng)求（通過重定向。授權(quán)碼許可流程如圖12所示。圖12授權(quán)碼許可流程URIJavacript）實(shí)現(xiàn)的。隱式許可類型沒有包含第三方應(yīng)用程序的身URIURI第三方應(yīng)用程序應(yīng)能夠與資源擁有者的用戶代理（Web）并能夠接收到來自授權(quán)服務(wù)器的請(qǐng)求（通過重定向。隱式許可流程如圖13所示。圖13OAuth隱式許可流程資源擁有者口令憑據(jù)許可類型適用于資源擁有者與第三方應(yīng)用程序之間存在互信擁有者口令憑據(jù)許可流程如圖14所示。圖14OAuth資源擁有者口令憑據(jù)許可流程圖15圖15第三方應(yīng)用程序憑據(jù)許可流程OAuth應(yīng)用廣泛。目前，很多互聯(lián)網(wǎng)服務(wù)公司如Twitter、Google、Microsoft、新浪、騰訊OAuthTwitter、GoogleOAuthFIDOFIDO規(guī)范主要依賴于安全設(shè)備和Web瀏覽器作為客戶端來實(shí)現(xiàn)FIDO客戶端的安全FIDO別。2014年2月，F(xiàn)IDO-UAF-V1.0和FIDO-U2F-V1.0草案發(fā)布，2014年12月，F(xiàn)IDO-UAF-V1.0FIDO-U2F-V1.0FIDO1.0FIDO1.0ECDSA用戶所擁有的設(shè)備中的私鑰，必須經(jīng)過用戶解鎖（如虹膜掃描，刷取指紋等，才能被FIDOFIDO應(yīng)用場景如圖16所示?！獰o口令鑒別（UAF）

圖16FIDO應(yīng)用場景無口令鑒別通過UAF（UniversalAuthenticationFramework）PIN注冊(cè)后，再次向在線服務(wù)進(jìn)行鑒別只需重復(fù)之前的本地驗(yàn)證操作即可，而無需通過設(shè)備再次輸入密碼。UAF同樣支持組合使用多種驗(yàn)證機(jī)制，比如指紋+PIN?！诙蛩罔b別（U2F）第二因素鑒別（UniversalSecondFactor，簡稱U2F）即在傳統(tǒng)用戶名/（4PIN，但并不犧牲安全性。USBNFCWebU2FFIDOU2FFIDO注冊(cè)流程如圖17所示。圖17FIDO注冊(cè)流程FIDO1.0FIDO（FIDOFIDOFIDO鑒別流程如圖18所示。圖18FIDO鑒別流程FIDO，F(xiàn)IDOFIDO，其中可以包含事務(wù)明細(xì)（UAF細(xì)，然后將該請(qǐng)求發(fā)送到本地設(shè)備進(jìn)行本地設(shè)備鑒別，本地設(shè)備鑒別可以通過指紋、FIDOFIDOFIDOFIDONokNokLabsGoogleBlackBerryARMPayPalLenovoMasterCardFIDOFIDOGoogleChromeFIDOU2FFIDO系列標(biāo)準(zhǔn)使用生物識(shí)別身份鑒別技術(shù)以及公鑰密碼技術(shù)加強(qiáng)了傳統(tǒng)的用戶名口令高了云計(jì)算身份鑒別服務(wù)的安全性，以應(yīng)對(duì)云計(jì)算身份鑒別服務(wù)的強(qiáng)身份鑒別挑戰(zhàn)。KerberosKerberos生成票據(jù)以實(shí)現(xiàn)安全的認(rèn)證。該協(xié)議面向客戶端/Kerberos對(duì)稱加密算法加密，能夠提供數(shù)據(jù)的機(jī)密性和完整性。目前，Windows2000作系統(tǒng)、MacOSX、RedhatEnterpriseLinux4及其后續(xù)操作系統(tǒng)均用到了KeberosKerberos1-341980ProjectAthena。Kerberos51993RFC15102005RFC41204ASKerberos具體的協(xié)議流程如下圖所示AS1.登錄請(qǐng)求{用戶ID}1.登錄請(qǐng)求{用戶ID}2.sk1加密的客戶端/TGSsk2加密的認(rèn)證許可票據(jù)：{TGT}a.用戶輸入用戶名/口令b.用戶私鑰sk1客戶端3.{TGT,服務(wù)ID}k1{用戶ID,時(shí)間戳A}4.k1加密的客戶端/SS會(huì)話密鑰：｛k2}sk3{CST}{CST}加密的新的{用戶時(shí)間戳B}k2加密的時(shí)間戳｛B｝SS問服務(wù)私鑰：sk3KDCAS:服務(wù)器TGS服務(wù)器私鑰：sk2圖19Kerberos協(xié)議協(xié)議流程如下：用戶在客戶端輸入用戶名和口令后，客戶端根據(jù)口令計(jì)算出用戶私鑰（sk1KDCID。KDCID，sk1，TGSk1，TGT={sk1TGSsk2TGT，Ek1(sk1)Esk2(TGT)戶端。sk1k1TGTID{TGT,ID}｛IDAk1{TGT,ID}TGS。TGSsk2TGT，k1，CST={ID，k1k2，sk3CST，k2CST客戶端向目標(biāo)服務(wù)發(fā)送訪問請(qǐng)求時(shí)，發(fā)送一個(gè)新的被加密的認(rèn)證子｛用戶B｝CSTk2CST，k2，k2k2最后，客戶端可驗(yàn)證收到的時(shí)間戳的正確性。如果時(shí)間戳正確，客戶端信任該SS返回的消息。Windows2000KerberosRFC3244Kerberos“Windows2000KerberosMacOSXRedHatEnterpriseKerberosKerberosHadoop分布式環(huán)境中。小結(jié)在云計(jì)算服務(wù)場景中，可以分成三種不同的應(yīng)用場景：1、開放的身份標(biāo)識(shí)鑒別場景，即用戶使用某一種身份標(biāo)識(shí)可以隨時(shí)登陸不同的應(yīng)OAuthOpenID身份信息。圖20開放身份標(biāo)識(shí)鑒別場景2、單點(diǎn)登錄場景，用戶在企業(yè)或者組織內(nèi)部有多個(gè)應(yīng)用時(shí)，登陸其中一個(gè)應(yīng)用后（例如重新輸入用戶名/口令SAML（身份提供方和依賴方可以在一個(gè)私有云中，也可以部署在不同的云中。圖21單點(diǎn)登錄場景3、跨域的聯(lián)合身份場景，不同安全域之間可以代理身份、身份屬性以及認(rèn)證等信服務(wù)提供給另一個(gè)安全域內(nèi)的訪問資源管理授權(quán)服務(wù)。典型的解決方案是WS-Federation管理和鑒別功能。圖22跨域聯(lián)合身份應(yīng)用場景在以上三種應(yīng)用場景中，當(dāng)用戶身份驗(yàn)證時(shí)，可以采用FIDO協(xié)議的生物識(shí)別鑒別技術(shù)機(jī)制加強(qiáng)傳統(tǒng)的用戶名口令機(jī)制的安全性，以提高用戶體驗(yàn)和身份鑒別的安全性。業(yè)界典型的云計(jì)算身份鑒別服務(wù)及密碼技術(shù)應(yīng)用案例本章描述各典型云服務(wù)提供商在其各產(chǎn)品中應(yīng)用的身份鑒別技術(shù)以及這些身份鑒別技術(shù)需要結(jié)合使用的密碼技術(shù)。GoogleBigQueryAPI（或者直接通過用戶界面或命令行工具API谷歌云存儲(chǔ)的身份鑒別通常包括以下幾種方式：OAuth2.0OAuth2.0APIGmailYouTubeOAuthAPIOAuthScopesready-onlyread-writefull-control、Cloudplatformread-only、cloud-platformScopesOAuthOAuth所有的權(quán)限。該屬性可以使用戶將憑證限制在所有權(quán)限的一個(gè)子集中。谷歌云存儲(chǔ)服務(wù)推薦使用OAuth完成身份鑒別。GsutilGsutilPythonLinuxOAuth作均是手動(dòng)完成。使用客戶端庫進(jìn)行身份鑒別APIJavaJavaScriptPythonCWindowsCookieURLURLcookie儲(chǔ)驗(yàn)證該用戶允許讀該對(duì)象，然后將所需對(duì)象下載到計(jì)算機(jī)。賬戶憑證服務(wù)賬戶憑證訪問令牌，然后使用該訪問令牌訪問云存儲(chǔ)服務(wù)。服務(wù)賬戶憑證的生成OAuthIDJSONPKCS12JSONPKCS12OpenSSLJSONOAuthIDIDIDIDRSA用戶賬戶憑證（Web端數(shù)據(jù)時(shí)使用用戶賬戶憑證。Google需采用密碼技術(shù)來保護(hù)憑證的機(jī)密性和完整性以防止內(nèi)外部網(wǎng)絡(luò)攻擊竊取或破壞OAuth法來確保協(xié)議的安全，以防止敏感的信息的被竊取和防止攻擊者假冒等。Amazon亞馬遜云服務(wù)（AmazonWebService，AWS）通過實(shí)施和采用身份和訪問管理服務(wù)（IdentityandAccessManagement，IAM）安全地控制用戶（用戶可以是一個(gè)自然人、系統(tǒng)或應(yīng)用程序AWS如圖IAMAWSAWSAWSAWSIAMIAM

圖23AWS安全身份憑證管理IAMAWS（CommandLineAPIIAMAWS/CLIAPIAWS訪問密鑰（ID）IAMURLAWS用戶安全憑證及管理AWS，IAMAWSCLIAPIAPICLI用戶憑證可以采用多因素鑒別的方式。用戶名/口令A(yù)WS（根賬號(hào)或者超級(jí)賬號(hào)）AWSAWS口令字符組成限制、口令更改周期、口令過期無效等。IAMAWSCLIAPIIAM口令進(jìn)行創(chuàng)建、更改、刪除等操作。訪問密鑰IDAPI用請(qǐng)求，該訪問密鑰可以被執(zhí)行禁用、啟用、撤銷、更改、刪除操作。AWSIAMIAMAWSAWSCLIAPI作。多因素鑒別AWSIAMAWSAWSMFAMFAAPI，（硬件設(shè)備（AmazonResourceNameARN）MFAIAMMFAMFAAWSIAMIAMAPIIAMIAMIAMIAM括可讀的名稱和路徑、IAMARNIDIDIAMAPIAWSCLIIAM路徑不應(yīng)相同。IAMARNs，AWS嚴(yán)格的格式要求。IAMIAMAWS部身份提供方之間的信任關(guān)系。IAMSAMLOpenIDAmazonAmazonSAML、OpenID數(shù)字簽名技術(shù)來防止協(xié)議消息被篡改等。Microsoft微軟云服務(wù)（MicrosoftAzure）利用活動(dòng)目錄技術(shù)（AzureActiveDirectory，AzureAD）提供了聯(lián)合身份的單點(diǎn)登錄服務(wù)，可實(shí)現(xiàn)不同安全域中的合作伙伴的相互訪AzureADSAML、OpenIDOAuth、WS-Federation協(xié)議，同時(shí)支持不同開發(fā)平臺(tái)的開源庫。AzureADAzureADADAzureADAzureADAzureJWT（JSONWebToken）SAML應(yīng)信息流取決于所采用的鑒別協(xié)議?！狝zureAD及其管理AzureAD為微軟云服務(wù)提供核心目錄和身份管理功能，如Azure、Office365、MicrosoftIntune等云服務(wù)。微軟云用戶注冊(cè)其中任意一個(gè)云服務(wù)賬戶后，便可獲得AzureADAzureAzureAD，微軟云服務(wù)訂閱者的管理者可以使用Azure管理門戶、微軟Intune賬戶門戶、Office365管理中心管理目錄中的數(shù)據(jù)，或者運(yùn)行支持WindowsPowerShell的微軟AzureADAzureAD戶和用戶組賬號(hào)，并管理用戶相關(guān)的云服務(wù)。AzureAD（目錄的管理者成員列表，如部門經(jīng)理或管理員。AzureADAzureAD用該斷言信息驗(yàn)證令牌、識(shí)別對(duì)象的目錄租戶、顯示用戶信息、確定對(duì)象權(quán)限等。AzureAD通過WebWeb：WebADADSAML、OpenID、WS-Federation單頁面應(yīng)用程序：當(dāng)用戶登錄時(shí)，JavaScriptJavaScriptAzureADIDWebAPIWebAPIOAuth，WebAPI成功后授權(quán)用戶并返回相應(yīng)的請(qǐng)求資源。WebAPIWeb，Web鑒別和訪問WebAPIOpenIDOAuth。WebAPIOAuthAzureAD20161AzureAzureADAzure（來提供強(qiáng)大的機(jī)、管理存儲(chǔ)或使用其他Azure服務(wù)。如，Office365Azure用戶身份的合法性進(jìn)行驗(yàn)證。AzureADMicrosoftAzure密鑰保管庫發(fā)出的所有請(qǐng)求必須經(jīng)過身份驗(yàn)證。AzureOAuthAzureActiveDirectory微軟云服務(wù)對(duì)各個(gè)協(xié)議的支持較為完善，包括了SAMLOpenIDOAuthFIDO協(xié)議。IBM20151IBM該技術(shù)稱為身份混合器（IBMIdentityMixer，是一個(gè)身份鑒別隱私保護(hù)和認(rèn)證屬性安全傳輸?shù)拿艽a協(xié)議套件。需采集用戶個(gè)人數(shù)據(jù)信息。IBMBlueMix（IBM）份混合器結(jié)合。IBM的Tivoli聯(lián)合身份管理器向多種應(yīng)用的用戶提供單點(diǎn)登錄。典型云身份鑒別服務(wù)及密碼應(yīng)用對(duì)比表1典型云身份鑒別服務(wù)及密碼應(yīng)用對(duì)比采用的技術(shù)支持的協(xié)議特色GoogleOAuth2.0鑒別、Gsutil端庫鑒別、基于Cookie戶憑證等技術(shù)OAuth、OpenID、FIDO支持多種身份鑒別方式，所有的身份鑒別方式的安全都依賴于身份憑證的安全以及身份鑒別流程中協(xié)議交互的安全Amazon使用身份和訪問管理服務(wù)（IdentityandAccessSAML、OpenIDAmazonIAM提供身份鑒別服務(wù)，云中有專門的密鑰管理機(jī)制來管理其云服務(wù)中所用到的密鑰Microsoft活動(dòng)目錄技術(shù)OAuthSAMLOpenID、LDAPWS-FederationAzureADAzure管庫管理密鑰IBM身份混合器技術(shù)SAML 、 OpenID WS-Federation身份混合器提供發(fā)行服務(wù)和驗(yàn)證服務(wù)完成云身份鑒別服務(wù)，BlueMixIBMTivoli多種應(yīng)用的用戶提供單點(diǎn)登錄。云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系架構(gòu)概述全，應(yīng)采取相應(yīng)的密碼技術(shù)應(yīng)對(duì)可能存在的網(wǎng)絡(luò)攻擊和安全漏洞帶來的安全威脅。本研究報(bào)告給出了支撐云計(jì)算身份鑒別的密碼標(biāo)準(zhǔn)體系框架。此外，通過提供一個(gè)有共同依據(jù)的、具有互操作性的、技術(shù)整合的標(biāo)準(zhǔn)體系規(guī)范，可以確保各個(gè)解決方案能夠符合相關(guān)規(guī)范并具有互操作性。云環(huán)境中的身份鑒別密碼技術(shù)要求云身份鑒別需求和技術(shù)框架云服務(wù)可以認(rèn)為包括以下幾個(gè)層級(jí)的服務(wù)：基礎(chǔ)設(shè)施即服務(wù)（IaaS、平臺(tái)即服務(wù)（Paa\hS）和軟件即服務(wù)（SaaS，在各個(gè)服務(wù)層級(jí)中，不同的服務(wù)功能具有不同的安全/解密、數(shù)字簽名等密碼技術(shù)提供支撐。通過前面章節(jié)對(duì)云計(jì)算中涉及的安全風(fēng)險(xiǎn)和身份鑒別需求分析，進(jìn)行綜合和提煉，構(gòu)建了如下圖所示的云計(jì)算身份鑒別服務(wù)框架。該框架包括如下幾部分：云計(jì)算身份鑒別服務(wù)安全及需求圖24云計(jì)算身份鑒別服務(wù)技術(shù)體系框架IaaSIaaS物理設(shè)備接入鑒別IaaS（用戶名+口令+多因素鑒別碼）FIDO虛擬化安全鑒別性。在通信雙方身份合法性鑒別方面，為了確保應(yīng)用程序、用戶、虛擬機(jī)之間的通信安全，防止非授權(quán)用戶的非法訪問，需要對(duì)通信雙方進(jìn)行身份鑒別。APIAPIAPI并通過受信任的實(shí)體簽署公鑰證書，云服務(wù)提供商通過該公鑰證書驗(yàn)證云用戶身份的合法性。VM的通信的安全。IaaSroot/VMVMTLS在桌面虛擬化模式下，云用戶的相關(guān)的所有程序和數(shù)據(jù)均存儲(chǔ)在云端，因此應(yīng)當(dāng)采取云用戶和云端設(shè)備與資源的雙向鑒別和訪問控制機(jī)制來確保數(shù)據(jù)的訪問安全。為了滿足虛擬機(jī)的匿名身份、隱藏虛擬機(jī)的身份信息和具體的地理位置，虛擬化安全鑒別可以采用匿名鑒別機(jī)制。存儲(chǔ)數(shù)據(jù)訪問控制分配不同的訪問密鑰的方式來確保資源的合法授權(quán)訪問。網(wǎng)絡(luò)身份鑒別為了避免來自網(wǎng)絡(luò)的非法訪問，需要對(duì)用戶、目標(biāo)資源進(jìn)行雙向的身份鑒別，并結(jié)合訪問控制技術(shù)防止對(duì)資源的非法訪問，如單點(diǎn)登錄、數(shù)據(jù)源鑒別等技術(shù)手段。OAuth、OpenIDIaaS（如令牌、口令、訪問密鑰等實(shí)施保護(hù)。PaaSPaaS層主要為開發(fā)或部署應(yīng)用程序的云用戶提供可信計(jì)算平臺(tái)和一組必要的應(yīng)用PaaSPaaSAPI訪問平臺(tái)、應(yīng)用程序之間相互訪問等的安全性，安全鑒別應(yīng)包括如下幾個(gè)方面：云用戶接入鑒別在云用戶訪問云服務(wù)提供商提供的應(yīng)用程序或開發(fā)工具前，需對(duì)用戶身份的合法性進(jìn)行驗(yàn)證，為了提高安全性，可以進(jìn)行云用戶與云服務(wù)之間的雙向鑒別。APIAPIAPIOAuth2.0API以及分配訪問密鑰的方式進(jìn)行驗(yàn)證。平臺(tái)遷移鑒別為了保證平臺(tái)遷移過程的安全，需要采取基于身份鑒別與訪問控制技術(shù)對(duì)云管理員和云用戶的身份和權(quán)限進(jìn)行管理。APIOAuthOpenIDSAMLPaaS的安全（如令牌、口令、訪問密鑰等、通信協(xié)議的安全需要采取加密、數(shù)字簽名等密碼措施實(shí)施保護(hù)。SaaSSaaSSaaSSaaS別包括終端鑒別、SaaSSaaS制等。終端鑒別包括用戶終端鑒別以及云服務(wù)客戶端程序鑒別。用戶在登錄終端系統(tǒng)時(shí)，需對(duì)用戶身份的合法性進(jìn)行驗(yàn)證，比如提供正確的用戶名/口令或其他身份憑證。云服用程序或某個(gè)門戶網(wǎng)站，云用戶需提供正確的用戶名/口令、訪問密鑰或其他身份憑證才能訪問。SaaS份進(jìn)行合法性驗(yàn)證。SaaS要采用一種角色清楚、權(quán)限分明的訪問控制方式對(duì)用戶的訪問權(quán)限進(jìn)行控制。OAuth（情況下進(jìn)行第三方授權(quán)訪問，OpenID（用于聯(lián)合身份鑒別、單點(diǎn)登錄。OAuthOpenIDSAMLSaaSFIDO（等、通信協(xié)議的安全需要采取加密、數(shù)字簽名等密碼措施實(shí)施保護(hù)。標(biāo)準(zhǔn)分類維度為了滿足云計(jì)算身份鑒別服務(wù)需求，應(yīng)對(duì)其挑戰(zhàn)，本研究報(bào)告提出了以下云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系架構(gòu)分類方案。本研究報(bào)告從技術(shù)維度和標(biāo)準(zhǔn)體系維度分別將云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系44技術(shù)維度454功能領(lǐng)域云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系技術(shù)架構(gòu)如下圖所示。圖25云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系技術(shù)架構(gòu)該體系技術(shù)架構(gòu)包括如下幾個(gè)功能領(lǐng)域：身份鑒別機(jī)制類5要求類、身份管理類等。鑒別設(shè)備類鑒別設(shè)備涉及安全身份鑒別設(shè)備以及其他相關(guān)設(shè)備等。云計(jì)算身份鑒別過程中所使用的各種密碼設(shè)備，如數(shù)字簽名驗(yàn)證服務(wù)器、時(shí)間戳服務(wù)器、服務(wù)器密碼機(jī)等，應(yīng)遵循相應(yīng)的產(chǎn)品和技術(shù)規(guī)范。密碼算法套件類密碼算法套件包括與云計(jì)算身份鑒別服務(wù)密鑰生成算法、對(duì)稱加密算法、公鑰算法、雜湊算法等。云計(jì)算身份鑒別服務(wù)提供商類云計(jì)算身份鑒別服務(wù)提供商是指提供云計(jì)算身份鑒別服務(wù)的提供商等。該功能領(lǐng)域主要規(guī)范云計(jì)算身份鑒別服務(wù)提供商的策略、安全要求及實(shí)施和管理要求等。標(biāo)準(zhǔn)類型在第6.2.1四種類型：基礎(chǔ)類標(biāo)準(zhǔn)求和規(guī)范并提供指南。應(yīng)用類標(biāo)準(zhǔn)應(yīng)用類技術(shù)規(guī)范是對(duì)云計(jì)算身份鑒別服務(wù)所涉及到的各種具體的身份鑒別服務(wù)業(yè)務(wù)，基于云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系總體框架和各密碼要素，做出密碼應(yīng)用的技術(shù)要求和規(guī)范。檢測類標(biāo)準(zhǔn)檢測類規(guī)范主要用來確保云計(jì)算身份鑒別服務(wù)對(duì)密碼技術(shù)應(yīng)用的有效性和合規(guī)性。管理類標(biāo)準(zhǔn)管理類規(guī)范面向云計(jì)算身份鑒別服務(wù)系統(tǒng)的密碼使用管理、運(yùn)營機(jī)構(gòu)管理、資質(zhì)申請(qǐng)和維護(hù)提出一系列管理上的規(guī)定。從非技術(shù)因素的角度來保障云計(jì)算身份鑒別服務(wù)的的合規(guī)性。表2體系結(jié)構(gòu)中的標(biāo)準(zhǔn)文檔類型基礎(chǔ)類技術(shù)規(guī)范應(yīng)用類技術(shù)規(guī)范檢測類技術(shù)規(guī)范管理類技術(shù)規(guī)范標(biāo)準(zhǔn)體系架構(gòu)在本研究報(bào)告提出的體系架構(gòu)中，建議的技術(shù)規(guī)范使用以下縮寫表示：TS：技術(shù)規(guī)范TS0000XXX整體架構(gòu)按照功能領(lǐng)域維度，標(biāo)準(zhǔn)體系整體架構(gòu)下圖所示。圖26云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系整體架構(gòu)27制定新的標(biāo)準(zhǔn)。定定定范范范網(wǎng)絡(luò)身份服務(wù)分級(jí)要求架抗抵賴碼實(shí)體鑒別SSLVPN求架求管理類規(guī)范檢測類規(guī)范應(yīng)用類技術(shù)規(guī)范范圖27云計(jì)算身份鑒別服務(wù)密碼標(biāo)準(zhǔn)體系架構(gòu)總體技術(shù)要求3表3總體技術(shù)要求制定情況總體技術(shù)要求TS000云計(jì)算身份鑒別服務(wù)密碼應(yīng)用技術(shù)要求TS001云計(jì)算身份鑒別服務(wù)密碼應(yīng)用總體框架TS002云計(jì)算身份鑒別服務(wù)密碼分級(jí)實(shí)施要求TS000《云計(jì)算身份鑒別服務(wù)密碼技術(shù)應(yīng)用要求》《云計(jì)算身份鑒別服務(wù)密碼應(yīng)用技術(shù)要求》提出云計(jì)算身份鑒別服務(wù)的密碼分級(jí)要求、密碼要素以及各密碼要素針對(duì)不同密碼分級(jí)的具體應(yīng)用要求。TS001《云計(jì)算身份鑒別服務(wù)密碼應(yīng)用總體框架》《云計(jì)算身份鑒別服務(wù)密碼應(yīng)用總體框架》提出云計(jì)算身份鑒別服務(wù)的密碼應(yīng)用總體技術(shù)框架并對(duì)該框架的組成結(jié)構(gòu)、各組成要素進(jìn)行具體的描述和說明。TS002《云計(jì)算身份鑒別服務(wù)密碼分級(jí)實(shí)施要求》該文檔對(duì)云計(jì)算身份鑒別服務(wù)密碼分級(jí)的具體實(shí)施方法提出要求并提供指南。身份鑒別機(jī)制類規(guī)范主要內(nèi)容有五個(gè)部分，分別是身份標(biāo)識(shí)類、鑒別機(jī)制類、身份鑒別框架與協(xié)議類、系統(tǒng)實(shí)現(xiàn)與安全要求類、身份管理類等。身份標(biāo)識(shí)類身份標(biāo)識(shí)類如表4所示，下面將對(duì)每個(gè)標(biāo)準(zhǔn)進(jìn)行具體描述。表4身份標(biāo)識(shí)類制定情況身份標(biāo)識(shí)類子領(lǐng)域應(yīng)用類TS1-110云計(jì)算身份鑒別服務(wù)個(gè)人可識(shí)別信息技ISO/IEC270182014術(shù)規(guī)范《CodeofpracticeforPIIprotectioninpubliccloudsasPIIprocessors800-122(2010)《PII機(jī)密性保護(hù)》應(yīng)用類TS1-110《云計(jì)算身份鑒別服務(wù)個(gè)人可識(shí)別信息技術(shù)規(guī)范》ISO/IEC27018:2014《CodeofpracticeforPIIprotectionpubliccloudsactingasPIIprocessors鑒別機(jī)制類鑒別機(jī)制類如表5所示，下面將對(duì)每個(gè)技術(shù)規(guī)范進(jìn)行具體描述。表5鑒別機(jī)制類制定情況鑒別機(jī)制類子領(lǐng)域應(yīng)用類TS1-210實(shí)體鑒別已發(fā)布國家標(biāo)準(zhǔn)：GB/T15843共以及《GB/T28455-2012信息安全技術(shù)引入可信第三方的實(shí)體鑒別及接入架構(gòu)規(guī)范》TS1-211消息鑒別碼已發(fā)布國家標(biāo)準(zhǔn)：GB/T15852消息鑒別碼（共兩部分）TS1-212抗抵賴已發(fā)布國家標(biāo)準(zhǔn)：GB/T17903抗抵賴（共兩部分）TS1-213匿名實(shí)體鑒別國家標(biāo)準(zhǔn)在研：（）應(yīng)用類TS1-210《實(shí)體鑒別》已發(fā)布國家標(biāo)準(zhǔn)：GB/T15843實(shí)體鑒別（共五部分，第六部分在研。以及《GB/T28455-2012信息安全技術(shù)引入可信第三方的實(shí)體鑒別及接入架構(gòu)規(guī)范》。TS1-211《消息鑒別碼》已發(fā)布國家標(biāo)準(zhǔn)：GB/T15852消息鑒別碼（共兩部分）TS1-212《抗抵賴》已發(fā)布國家標(biāo)準(zhǔn)：GB/T17903抗抵賴（共兩部分）TS1-213《匿名實(shí)體鑒別》國家標(biāo)準(zhǔn)在研：匿名實(shí)體鑒別（共四部分）鑒別框架與協(xié)議類鑒別框架與協(xié)議類如表6所示，下面將對(duì)每個(gè)技術(shù)規(guī)范進(jìn)行具體描述。表6鑒別框架與協(xié)議類制定情況鑒別框架與協(xié)議類子領(lǐng)域應(yīng)用類TS1-310安全斷言標(biāo)記語言（SAML）已發(fā)布國家標(biāo)準(zhǔn)：《GB/T29242-2012信息安全技術(shù)鑒別與授權(quán)安全斷言標(biāo)記語言規(guī)范》TS1-311開放的身份標(biāo)識(shí)鑒別協(xié)議框架密碼行業(yè)標(biāo)準(zhǔn)在研：《開放