云计算中的身份认证技术研究_余幸杰
云计算安全性技术之身份认证
云计算安全性技术之身份认证一、概述随着云计算技术的发展,越来越多的企业和组织开始将业务和数据迁移到云平台上。
在这种情况下,身份认证成为了云安全性的重要组成部分。
身份认证能够确保用户的身份得到验证,从而保证只有经过授权的用户才能够访问云平台上的资源和数据。
二、传统的身份认证方案存在的问题传统身份认证方案通常采用基于口令的身份认证方法,用户需要输入正确的用户名和密码才能够登录系统。
这种方法的缺点在于口令很容易被猜测或者被盗用,因此容易导致身份被冒用。
此外,对于过于简单的口令,攻击者可以通过暴力破解等手段轻易地获取用户的账号和密码。
三、云计算中的身份认证技术针对传统身份认证方案存在的问题,云计算提出了一系列新的身份认证技术,包括多因素身份认证、单点登录、生物识别技术等。
1. 多因素身份认证多因素身份认证包括至少两个不同的身份认证因素,比如用户口令加上指纹识别、短信验证等。
这种方法可以大大提高身份认证的安全级别,因为攻击者必须同时拥有多个身份认证因素才有可能冒用用户身份。
2. 单点登录单点登录技术可以让用户在一个平台上完成多个应用的登录,而且只需要输入一次账号和密码即可。
这种技术可以降低用户登录的复杂度,同时也可以提高管理者对用户行为的可追踪性。
3. 生物识别技术生物识别技术通过人体的生物特征识别来完成身份验证,比如指纹、虹膜、面部识别等。
这种技术可以避免用户账号被盗用的问题,因为生物特征不可复制。
四、常见的身份认证方案1. Kerberos认证Kerberos是一种基于密钥的网络认证协议,在互联网上广泛应用。
它为用户提供了一个独立的安全领域,用户需要在安全领域中的认证服务器上申请一次票据,然后就可以在该领域中进行非对称加密通信。
2. SAML认证SAML是Security Assertion Markup Language的缩写,是一种基于XML的认证和授权标准,被广泛应用于互联网身份管理和单点登录。
云计算中的数据隐私保护与身份认证技术
云计算中的数据隐私保护与身份认证技术云计算作为一种先进的信息技术,为企业和个人提供了便捷的存储和计算资源。
然而,在云计算环境中,数据隐私和身份认证问题也日益凸显。
本文将探讨云计算中的数据隐私保护与身份认证技术。
一、数据隐私保护技术1. 数据加密技术数据加密是保护数据隐私的重要手段之一。
在云计算环境中,对敏感数据进行加密可以防止未经授权的访问和窃取。
常用的数据加密技术包括对称加密和非对称加密。
对称加密使用相同的密钥对数据进行加密和解密,而非对称加密使用一对密钥进行加密和解密,安全性更高。
2. 访问控制技术访问控制是根据用户的身份和权限来限制对数据的访问。
在云计算环境中,可以通过身份验证、访问策略和权限控制来实现访问控制。
例如,使用用户名和密码进行身份认证,采用访问策略定义用户的访问权限,对敏感数据进行细粒度的权限控制。
3. 数据去标识化技术数据去标识化是为了在云环境中使用数据而不泄漏用户的身份信息。
通过去标识化,数据可以在云环境中进行存储和处理,同时保护用户的隐私。
常见的数据去标识化方法包括匿名化、脱敏和数据泛化等。
二、身份认证技术1. 双因素身份认证双因素身份认证是在传统的用户名和密码认证基础上增加了第二个因素,提高了身份验证的安全性。
第二个因素可以是手机验证码、指纹识别、智能卡等。
通过双因素身份认证,可以有效防止密码被猜测或窃取的情况。
2. 生物特征识别技术生物特征识别技术利用个体生理特征或行为特征来进行身份验证,具有较高的准确性和安全性。
常用的生物特征识别技术包括指纹识别、虹膜识别、人脸识别等。
这些技术可以有效防止身份被冒用或伪造的情况。
3. 单点登录技术单点登录技术允许用户只需通过一次登录就可以访问多个云服务,提高了用户的便利性和工作效率。
同时,单点登录技术还可以通过统一的身份认证来管理用户的访问权限,降低了管理成本和安全风险。
三、综合应用与发展趋势随着云计算的普及和发展,数据隐私保护和身份认证技术也不断演进。
云计算跨域身份认证技术研究
云计算跨域身份认证技术研究摘要:作为企业核心资产,云资源安全的重要性日益突显,在云计算大环境下,跨域身份认证技术是具有代表性的安全技术,在企业不断采用跨域协同的条件下,其变成了云安全的主要问题。
本文分析了云计算跨域身份认证技术,为增强云资源等企业核心资产安全防护提供支撑。
关键词:云计算;跨域身份认证技术;研究作为企业的核心资产,云平台提供数据的跨域协同计算,提高业务系统在应用一级部署、数据两级存储架构下的计算实时性,实现从“移动数据”向“移动计算”转变。
云计算环境拥有时代性意义,其可以转变资源获取的传统手段,而跨域认证技术是多域系统展开实际操作的关键,其本质是用户在跨域访问的时候对资源进行保护,不需要展开再次认证,经过联合性服务器,使各个服务器营造信任关系,加强身份信息的验证,一方面可以减少用户认证信息的频繁传递现象,另一方面也可以降低安全方面的风险问题。
一、云计算及其跨域身份认证技术概述(一)云计算云计算使用服务手段把互联网功能提供给相应的用户,虽然用户对其服务技术并不了解,缺少相应的知识技能,但是经过互联网便可以获得服务。
云环境具有生机,且充斥着诱惑,既有机遇也有挑战。
其一,带来的虚拟风险,因为实操系统的缺陷,导致数据信息非常容易出现泄漏现象,甚至为数据信息的安全情况带来更多的挑战。
其二,身份信息多样性带来的风险,在云计算环境之下,其用户非常多,并且安全区域的各种信息多样,一方面为你用户带来了更多的共享资源,另一方面为用户的身份信息认证带来了更多的挑战。
其三,安全界限并不明确带来的风险,在数据信息传统型安全防御中心,访问控制与边界情况非常重要,然而,在云计算大环境之下,由于虚拟技术的快速崛起以及运用,导致云桌面的边界越来越模糊,其储存与资源边界更加无序,使得设备安排边界也并不存在,这样的情况导致访问控制的不明确性,使设备检测成效降低。
(二)跨域身份认证技术现阶段所使用的身份认证技术主要有四种,分别是基于口令、IC卡、生物特征以及数字证书的身份认证技术,第一,基于口令的身份认证技术,其能够分成动态与静态两种口令,静态口令主要是用户的登录名以及密码等,其是应用最为广泛的手段,劣势主要是用户为了记忆把其安排为简单的内容,这样容易被破解,并且容易被内部人员使用非法手段破获。
云计算中的数据隐私保护与身份认证技术
云计算中的数据隐私保护与身份认证技术云计算为用户提供了便捷的数据存储和计算服务,但同时也带来了数据隐私安全的隐患。
因此,云计算中的数据隐私保护和身份认证技术变得尤为重要。
本文将就这一问题展开讨论和分析。
一、数据隐私保护技术1. 数据加密技术数据加密技术是一种常见的数据隐私保护手段。
通过对用户数据进行加密,可以避免数据在传输和储存过程中被窃取或篡改。
常用的加密算法有对称加密和非对称加密。
对称加密速度较快,但密钥传输存在较大问题;非对称加密相对安全,但计算成本较高。
因此,可以根据具体需求综合选择加密技术。
2. 数据脱敏技术数据脱敏技术通过将敏感数据转化为不可识别的形式,以保护数据的隐私性。
常见的数据脱敏方法有数据替换、数据泛化和数据扰动等。
例如,可以将用户的真实姓名替换为乱码或伪名,以防止敏感信息被泄露。
3. 访问控制技术访问控制技术是保护数据隐私的重要手段之一。
通过建立访问权限和身份验证机制,可以限制对数据的访问。
常见的访问控制方法有基于角色的访问控制(RBAC)、基于属性的访问控制(ABAC)和多因素认证等。
这些技术可以根据用户的身份和权限来控制其对云数据资源的访问。
二、身份认证技术1. 用户身份验证用户身份验证是身份认证技术的基础。
常见的身份验证方法有密码、指纹、声纹、面部识别等。
密码作为一种最常见且低成本的方法,广泛应用于各种系统中。
而生物特征识别技术则更加准确和安全,可以增加系统的抗攻击能力。
2. 双因素认证双因素认证是指在用户身份验证过程中同时使用两个或多个不同类型的验证因素,提高身份认证的准确性和安全性。
一般包括以下几种因素:知识因素(例如密码)、所有因素(例如手机)、生物因素(例如指纹、虹膜)和位置因素(例如GPS)。
通过双因素认证可以避免单一因素存在的漏洞,提高系统的安全性。
三、综合应用与发展趋势1. 云数据隐私保护与身份认证技术的综合应用为了保护云计算中的数据隐私和确保用户身份的安全性,常常需要将数据隐私保护技术和身份认证技术综合应用。
云计算中的数据加密与身份认证解析
云计算中的数据加密与身份认证解析在云计算时代,数据的安全性和隐私保护成为了企业和个人必须直面的一项挑战。
为了确保用户数据的安全,云计算提供了诸多技术手段,其中数据加密与身份认证成为了保障数据安全的重要环节。
一、数据加密的原理与作用数据加密是指将原始数据通过特定的加密算法转换为密文,使其在传输或存储过程中无法被未经授权的人读取。
数据加密的原理主要包括对称加密和非对称加密两种方式。
对称加密采用同一密钥对明文进行加密和解密,优点在于加密速度快,缺点则是密钥的管理较为复杂;非对称加密则需要一对公私钥,公钥用于加密数据,私钥用于解密数据,它的优点在于密钥的管理更容易,但加密解密的速度较慢。
数据加密在保护用户隐私和敏感信息方面起到重要作用。
云计算中,用户的数据往往需要通过网络进行传输,而网络传输过程中易受黑客攻击,通过对数据进行加密,可以有效防止数据被窃取、篡改或伪造。
此外,数据在云服务器中储存时,即使服务器被入侵或泄露,也不会造成用户数据的泄露,保护用户隐私。
二、身份认证的应用与挑战在云计算中,身份认证是确认用户身份合法性的过程,是授权访问云资源的前提。
身份认证通常需要用户名、密码等信息进行验证,以确保只有合法用户可以访问资源。
同时,为了加强安全性,常常会通过多因素认证方式,如指纹、面容识别等技术提高身份认证的可靠性。
然而,云计算环境下的身份认证也面临着一些挑战。
首先,云计算平台容纳了大量的用户,每个用户都需要进行身份认证,传统的身份认证方式存在时间和资源消耗较大的问题。
其次,由于云计算中的数据分布在多个地理位置上,身份认证必须跨越多个边界进行,这增加了认证的复杂性和难度。
此外,身份认证的可信性也是云计算中的一大问题,防止冒充和偷盗他人身份是保护云计算环境安全的重点之一。
三、数据加密与身份认证的融合应用为了更好地保护云计算中的数据安全与身份认证,数据加密与身份认证技术常常被结合应用。
通过在数据存储和传输过程中加密数据,并且在身份认证环节使用加密密钥,可以进一步提高数据安全性。
身份认证技术研究及应用
身份认证技术研究及应用身份认证技术是当今互联网数字化时代中的重要组成部分,它实际上是融合了密码学、计算机技术、信息安全和网络安全等多个领域的技术。
身份认证技术主要应用于个人身份识别和认证、网络安全、电子商务等领域中。
本文主要探讨身份认证技术的发展和应用,在详细阐述一些基本技术的同时,分析了如何选择适当的身份认证技术方案。
一、身份认证发展的历程随着互联网技术的快速发展,身份认证技术在过去几年中取得了长足的进步。
在早期时,我们只有通过密码和用户名这种基本手段进行身份认证,但随着技术的不断发展,新的身份认证技术应运而生。
目前,主要的身份认证技术包括证书认证、双因素认证、生物特征识别以及单点登录系统等。
其中,双因素认证是最常见的一种技术,它结合了密码和验证码等两个元素,能够更加有效地保护用户的信息安全。
而生物特征识别技术则可以通过指纹、虹膜、人脸等个体身体特征进行身份识别,具有非常强大的安全性。
二、身份认证技术的应用身份认证技术的应用非常广泛,最常见的领域包括网络安全、在线支付、电子商务等。
随着数字化时代的到来,身份认证技术的应用范围也越来越广泛,未来它还将涉及到智能家居,自驾车辆等多种领域。
例如在企业内部的网络信息安全保护,可以采用单点登录系统来实现。
单点登录系统是一种网页应用程序,它可以用一个有效的用户名和密码来访问企业内部的其他应用系统,而不是每个应用平台都需要输入用户名和密码,这样可以提高工作效率,并降低用户的信息泄露风险。
另外,身份认证技术也广泛应用于在线支付领域。
为了保护用户的账户安全,一些支付系统采用双因素认证或者生物识别技术来保护用户信息的安全。
这些技术可以避免用户账户被盗刷,提高交易安全性和可信度。
三、选择适当的身份认证技术方案身份认证技术方案的选择一直都是一个非常复杂的问题,因为不同的身份认证技术有着不同的安全级别和适用范围。
在选择身份认证技术方案时,需要考虑到系统的安全性,可扩展性和用户体验等问题,选择最适合自己的解决方案。
云计算身份认证模型研究
云计算身份认证模型研究云计算身份认证模型研究摘要:云计算是在继承和融合众多技术基础上的一个突破性创新,已成为当前应用和研究的重点与热点。
其中,云用户与云服务之间以及云平台中不同系统之间的身份认证与资源授权是确保云计算安全性的前提。
在简要介绍云计算信息基础架构的基础上,针对云计算统一身份认证的特点和要求,综合分析了SAML2.0、OAuth2.0和OpenID2.0等技术规范的功能特点,提出了一种开放标准的云计算身份认证模型,为云计算中逻辑安全域的形成与管理提供了参考。
关键词:云计算;身份认证;授权;单点登录(SSO);安全域0引言任何一个授权系统至少需要同时解决认证和授权两方面的问题,认证决定用户是否具有对某一系统或资源的访问权限,而授权则决定用户能够访问特定系统或资源的具体内容。
由于云计算服务构建在具有极高扩展能力的信息基础架构上,而且服务通过动态、灵活的可配置资源按需提供,所以身份认证和授权访问在云计算中将显得更为重要。
本文在分析云计算信息基础架构的基础上,立足当前技术现状和应用实践,综合传统网络中的SAML2.0、OAuth2.0和OpenID2.0等技术、标准与规范,提出了一种开放标准的云计算身份认证模型,为云计算中信息资源的整合提供了一种组织管理架构。
1云计算环境中的身份认证特点云计算[1-2]是基于分布式计算、网格计算和虚拟化等技术,在信息基础设施和网络应用共同发展到一定阶段时出现的一种新型信息服务方式,它使效用计算逐步变成了现实。
与其他相关的主要技术相比,云计算中的认证和授权具有以下特点:(1)用户管理采用集中式或委托第三方负责;(2)资源管理采用集中式和分布式相结合的模式,当采用分布式管理模式时,系统之间一般采用内部高速网络、高性能专网或虚拟专用网(Virtual Private Network,VPN)安全通道等方式互联;(3)加强对用户隐私的保护,实现对身份信息的安全管理;(4)计算任务调度采用集中式或分布式;(5)云计算中为每个用户按需提供资源,资源分布既分散又集中;(6)通过虚拟化技术屏蔽掉了不同操作系统之间的异构性。
网络安全中的身份认证技术与应用研究与探讨
网络安全中的身份认证技术与应用研究与探讨在当今数字化的时代,网络已经成为了人们生活和工作中不可或缺的一部分。
随着网络应用的不断扩展和深化,网络安全问题日益凸显。
其中,身份认证技术作为保障网络安全的第一道防线,其重要性不言而喻。
身份认证技术的核心目标是确保只有合法的用户能够访问特定的网络资源和服务。
这就像是给每个合法用户颁发了一把独一无二的“钥匙”,只有持有正确“钥匙”的人才能打开相应的“门”。
在网络环境中,如果身份认证出现漏洞,就如同家门大开,不法分子可以随意进出,窃取重要信息、破坏系统或者进行其他恶意活动。
常见的身份认证技术包括基于口令的认证、基于令牌的认证、生物特征认证等。
基于口令的认证是最为常见和传统的方式。
我们在登录各种网站、应用程序时输入的用户名和密码就属于这种类型。
然而,这种方式存在一些明显的缺陷。
首先,用户为了方便记忆,往往会设置简单易猜的密码,比如生日、电话号码等,这使得密码容易被破解。
其次,如果多个网站使用相同的密码,一旦其中一个网站的密码被泄露,其他网站的账户也会面临风险。
另外,网络攻击者还可以通过钓鱼网站、恶意软件等手段窃取用户的口令信息。
基于令牌的认证则相对更加安全。
令牌可以是硬件设备,如 U 盾,也可以是软件生成的动态密码。
硬件令牌通常需要插入计算机的 USB接口,在登录时输入显示的密码。
软件令牌则是在手机等设备上安装相应的应用程序,每隔一段时间生成一个新的动态密码。
由于密码是不断变化的,即使被攻击者获取了某个时刻的密码,也无法在后续的登录中使用,大大提高了安全性。
生物特征认证是近年来发展迅速的一种技术,包括指纹识别、面部识别、虹膜识别等。
这些技术利用了人体独特的生理特征来进行身份认证。
例如,指纹识别通过读取手指上的指纹纹路来确认身份;面部识别则通过分析人脸的轮廓、五官特征等进行认证;虹膜识别则是基于眼睛虹膜的纹理和颜色等特征。
生物特征具有唯一性和稳定性,难以被伪造,因此具有很高的安全性。
网络安全中的身份认证技术研究
网络安全中的身份认证技术研究在当今数字化的时代,网络已经成为人们生活和工作中不可或缺的一部分。
然而,随着网络的广泛应用,网络安全问题也日益凸显。
身份认证技术作为网络安全的第一道防线,其重要性不言而喻。
它就像是一把钥匙,只有正确的钥匙才能打开网络世界的大门,确保只有合法的用户能够访问和使用相关的资源和服务。
身份认证技术的目的是验证用户的身份,确保其声称的身份与实际身份相符。
这不仅可以防止未经授权的访问,还可以保护用户的个人信息和重要数据不被窃取或滥用。
在网络环境中,身份认证技术的应用场景非常广泛,包括登录电子邮件、网上银行、电子商务平台、企业内部网络等等。
常见的身份认证技术主要包括以下几种:用户名和密码认证是最为常见和基础的方式。
用户通过输入预先设定的用户名和密码来证明自己的身份。
这种方式简单易用,但也存在一些明显的缺陷。
比如,用户可能会选择过于简单或容易猜测的密码,或者在多个平台使用相同的密码,一旦其中一个平台的密码被泄露,其他平台的账户也会面临风险。
而且,密码还有可能被黑客通过暴力破解、字典攻击等手段获取。
基于令牌的认证则相对更加安全。
令牌可以是硬件设备,如 U 盾,也可以是软件生成的动态密码。
硬件令牌通常需要插入计算机的 USB接口,然后用户输入令牌上显示的密码进行认证。
软件令牌则通过手机应用程序生成动态密码,用户在登录时输入该密码。
由于动态密码是不断变化的,大大增加了破解的难度。
生物特征认证是近年来发展迅速的一种技术。
它利用人体固有的生理特征或行为特征来进行身份认证,如指纹识别、面部识别、虹膜识别、声音识别等。
这些生物特征具有唯一性和稳定性,难以被伪造或模仿。
然而,生物特征认证也并非完美无缺。
例如,指纹可能会因为受伤或磨损而影响识别准确性,面部识别可能会受到光线、角度等因素的干扰。
数字证书认证是一种基于公钥基础设施(PKI)的认证方式。
数字证书包含了用户的身份信息和公钥,由权威的证书颁发机构(CA)颁发和签名。
云计算环境下的身份验证技术研究
云计算环境下的身份验证技术研究随着云计算的发展,越来越多的人和公司选择将业务运行在云平台上,从而享受到云计算带来的高效、灵活、低成本的优势。
然而,随之而来的安全风险也日益凸显。
而身份验证技术是云安全的基石之一,下面就从云计算环境的特点、认证技术的原理和常见技术进行分析,探讨身份验证技术在云计算环境下的应用和研究。
一、云计算环境的特点云计算环境与传统的计算环境有许多不同之处,其中最具有代表性的特点有以下几点:(1)共享性:云计算采用虚拟化技术,可以将多个用户的业务数据存储在同一台服务器上,在计算、存储、网络等方面达到资源共享和利用效率的最优化。
(2)多租户性:云计算平台上的资源可以被多个用户共享,虚拟化技术也可以将不同用户的系统资源隔离开来,实现多租户的管理。
(3)弹性伸缩性:随着业务的变化,云计算环境可以根据需要快速变更计算、存储、网络等资源的规模和配置。
(4)异构性:云计算平台通常由多个硬件与软件组件构成,不同的组件之间可能存在着差异,例如,不同的操作系统、存储架构等。
(5)不安全性:云计算环境通常存在于第三方云服务商提供的服务中,因此,虽然用户可以控制存储在云环境中的数据和应用,但无法直接控制云服务商的管理和保护措施。
二、认证技术的原理公认身份验证技术的原理是“三因素认证”:首先是知道,指用户知道自己的用户名、密码等信息;其次是拥有,指用户拥有证书、USB Key等硬件令牌;最后是本体,指用户的生物指纹、虹膜、面容等身体特征。
认证的目的是为了确定用户所声称的身份是否正确,防止未经授权的人访问云环境中的业务数据。
三、常见身份验证技术(1)口令认证技术口令认证技术是目前最常见的身份验证技术之一。
用户在登录云环境时,需要输入用户名和正确的密码。
在云环境中,一般会采用加密算法对明文口令进行加密处理,以增加安全性。
(2)生物特征认证技术生物特征认证技术可以通过分析人体特征来判断用户身份是否合法。
例如,面容识别技术、指纹识别技术、虹膜识别技术等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
71余幸杰1,2,高能1,2,江伟玉1(1.中国科学院信息工程研究所信息安全国家重点实验室,北京 100093;2.中国科学院研究生院,北京 100049)摘 要:文章对目前云计算中典型的身份认证技术——基于安全凭证的身份认证和基于单点登录的联合认证,进行了系统的综述,并对现有的几种方案进行了深入的分析和比较,提出了一些改进意见。
关键词:身份认证;安全凭证;单点登录;OpenID ;SAML 中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2012)08-0071-04Research on the Authentication in Cloud ComputingYU Xing-jie 1,2, GAO Neng 1,2, JIANG Wei-yu 1( 1. State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences,Beijing 100093, China )Abstract: We analyze the security-credentials-based authentication and the single sign-on-based federated authentication, and make a comparison among the popular schemes. In addition, we present some methods and suggestions to improve the authentication mechanisms in cloud computing.Key words: identity authentication; security credential; single sign-on; OpenID; SAMLdoi :10.3969/j.issn.1671-1122.2012.08.022云计算中的身份认证技术研究收稿时间:2012-07-12基金项目:中国科学院战略性先导专项子课题海云信息安全共性关键技术研究[XDA06010702]、国家自然科学基金[70890084/G021102、61003274]作者简介:余幸杰(1988-),女,湖南,硕士研究生,主要研究方向:云安全;高能(1976-),女,陕西,副研究员,主要研究方向:云安全、PKI 技术、网络与系统安全;江伟玉(1987-),女,湖南,博士研究生,主要研究方向:云计算安全。
0 引言用户对计算资源的控制程度大大降低。
因此,云计算的发展带来了海量的访问认证请求和复杂的用户权限管理,推动了身份认证技术的不断发展。
云计算中出现了基于多种安全凭证的身份认证技术。
随着云计算的普及,云端存储了大量的用户敏感数据,一旦用户身份被仿冒,就很容易造成隐私和敏感数据的泄露。
传统的基于单一凭证的身份认证技术已经不能满足用户的安全需求,许多云服务提供商都采用了基于多种安全凭证的身份认证技术,但是目前缺少对这些技术的总结和比较。
因此,本文对目前云计算中广泛使用的基于多种凭证的身份认证技术进行了总结。
云计算中有着复杂的身份认证场景,API 调用源鉴别就是一种典型的认证场景。
根据API 种类的不同,API 调用源鉴别使用的安全凭证也有所不同。
本文重点阐述了基于不同安全凭证的API 调用源鉴别机制。
云计算的发展推动了基于单点登录的联合身份认证技术的发展。
联合身份认证技术的发展使用户可以通过单一账号登录多个云服务,极大地简化了用户操作,基于单点登录方案可以很好地实现联合身份认证机制。
本文详细介绍了目前使用最为广泛的单点登录方案——OpenID 协议和基于SAML 的单点登录方案,并进行了分析和比较,提出了一些改进意见。
1 基于安全凭证的身份认证传统的身份认证,往往基于用户名和口令。
面对云计算中复杂的应用环境和角色定义,以用户名和口令作为单一安全凭证的方式,已经不能满足云计算中多种认证场景的安全需求。
因此,云计算中出现了多种安全凭证,本节分析了Google、Amazon、Microsoft 等云计算环境中使用的多种基于安全凭证的身份认证技术,并进行了比较。
1.1 基于安全凭证的API调用源鉴别在云计算环境中,云服务提供商为用户提供了大量的API 访问资源和使用服务,用户使用云服务的实质就是调用API。
与传统的本地API 调用不同,云计算中的API 调用通常是基于Web 的调用,除了资源所有者以外,其他合法第三方也可以通过API 调用实现对资源的访问。
而且,在调用一个API 时,大多数情况下会涉及对敏感数据的获取。
因此,基于安全凭证对API 请求的发起者进行身份鉴别是云计算中必不可少的安全技术。
API调用的源鉴别中,API调用请求的发起者可以是云用户也可以是某个部署在云环境中的应用程序,为了叙述的简洁,本小节将API调用请求的发起者统称为用户。
图1 基于安全凭证的API调用源鉴别基本流程基于安全凭证的API调用源鉴别的基本流程如图1所示。
首先,用户利用安全凭证中的密钥对API请求的部分内容创建一个数字签名,并将该签名和API请求包一起发送给云服务提供商。
然后,验证服务器对该签名进行验证,鉴别API调用源是否合法。
如果签名通过了验证,用户才能对相应的API进行访问;否则,返回拒绝访问的信息。
1.1.1 API调用源鉴别中的安全凭证用户使用何种类型的安全凭证取决于请求的API的类型,目前主要有Access Key和证书两种类型的安全凭证。
1)Access Key安全凭证。
Access Key由Access Key ID和Secret Access Key组成。
用户在创建账户时,由云服务提供商为该账户分配Access Key。
另外,对于某些部署在云环境中的应用程序,可以由该应用程序的用户管理员为其域内的用户创建Access Key 。
例如,使用Google App Engine的应用程序管理员,可以通过API控制台为其用户创建Access Key[1]。
Access Key ID用于标识API请求的发起者,通常包含在API请求中。
每个Access Key ID都关联一个Secret Access Key,API请求的发起者使用Secret Access Key对该请求进行数字签名,用户与验证服务器共享Secret Access Key。
当用户发起一次API请求时,使用Secret Access Key为该请求创建一个数字签名,并将Access Key ID包含在API请求包中一起发送给验证服务器。
验证服务器收到API请求时,根据Access Key ID查找对应的Secret Access Key,对数字签名进行验证。
2)证书安全凭证。
证书是指一个X.509证书,可以由云服务提供商为用户生成数字证书及私钥文件,也可以由用户自己通过第三方工具(如Open SSL等)生成。
如果用户使用自己生成的证书作为安全凭证,必须在发起API请求之前将证书上传至验证服务器,该证书不需要由特定的CA签发,只要语法和密码逻辑正确,并且在有效期内,就会被验证服务器认定为合法证书。
X.509证书包括一个证书文件和相应的私钥文件。
证书文件中包含该证书的公钥和其他一些元数据。
私钥文件中包含用户对API请求进行数字签名的私钥,由用户唯一持有,验证服务器不保存该私钥文件的任何副本。
当用户发起一次API请求时,使用证书私钥对该请求进行数字签名,并将证书文件包含在API请求包中一起发送给验证服务器。
验证服务器收到API请求后,检查接收到的用户证书与服务器端的证书备份是否匹配,并对数字签名进行验证。
1.1.2 Access Key与证书的比较Access Key基于对称密码学中的概念,而证书基于公钥密码学。
使用Access Key对API请求进行签名和验证的过程,与使用证书作为安全凭证的模式相比,更为方便。
但是,Access Key安全凭证使用对称密码算法,用户和验证服务器共享Secret Access Key。
因此,恶意的云服务提供商可以利用用户的Secret Access Key伪造对API的调用,进而依据伪造的API调用作为计费标准向用户多收取费用。
以证书作为安全凭证,基于非对称密码算法,可以有效的避免上述情况的发生。
1.2 多因素认证除了在API调用源鉴别中使用了多种安全凭证之外,用户在登录云计算平台或者某个云服务时,可以根据自身的安全需求,在使用传统的标准安全凭证的基础上附加使用多种安全凭证,这样的用户登录机制采用了多因素身份认证技术。
多因素认证机制中,用户首先提供用户名和口令,然后提供验证码,验证码由云服务提供商支持的多因素认证设备生成。
认证设备可以是手机、电脑等用户本身拥有的设备,用户通过手机短信、电话接收验证码,或者通过手机、电脑上运行的身份验证应用程序生成验证码[7];也可以是云服务提供商专门提供给用户的动态口令卡。
许多云服务提供商都支持上述两类认证设备。
如果使用手机、电脑等作为认证设备,这些设备本身很可能存有用户云服务账户的口令。
所以,如果想要保证更强的安全性,用户应当使用专用动态口令卡。
不过,一些云服务提供商基于手机、电脑等非专用认证设备的多因素认证服务是免费提供给用户的,基于专门的动态口令卡的多因素认证服务则需要收取一定的费用[8]。
所以,用户在选择多因素认证方案时需要综合考虑安全性和经济性的要求。
2 基于单点登录的联合身份认证除了第二节中介绍的基于多种安全凭证的身份认证技术,云计算中另一种迅速发展的身份认证技术是基于单点登录(SSO, Single Sign-On)的联合身份认证技术。
随着云计算的发展和普及,用户往往使用了许多不同的云服务提供商的云73服务,拥有了大量不同的口令,很容易造成口令的混淆与遗忘。
联合身份认证技术就是为了解决这一问题,用户只需要在使用某个云服务时登录一次,就可以访问所有相互信任的云平台,而不需要重复注册和登录多个账号。
单点登录方案是实现联合身份认证的有效手段,目前许多云服务提供商都支持基于单点登录的联合认证。
本节介绍了两种典型的单点登录实现方案:OpenID 协议和基于SAML 的单点登录,并对两种方案进行了比较和讨论。
2.1 OpenID协议OpenID 是一个以用户为中心的身份识别框架,以统一的身份标识来唯一的标记用户身份[9],用户使用自己的身份标识登录支持OpenID 协议的各个网站。
用户可以自己建立一个OpenID 服务网站,也可以选择一个可信任的OpenID 服务网站,完成OpenID 的注册。