云计算中的身份认证技术研究-信息网络安全.PDFVIP

第27次全国计算机安全学术交流会 论文集 2012年第08期 入 选 论 文 ： doi 10.3969/j.issn.1671-1122.2012.08.022 云计算中的身份认证技术研究 1,2 1,2 1 余幸杰，高能 ，江伟玉 （1.中国科学院信息工程研究所信息安全国家重点实验室，北京100093； 2.中国科学院研究生院，北京100049） 摘　要：文章对目前云计算中典型的身份认证技术——基于安全凭证的身份认证和基于单点登录的联 合认证，进行了系统的综述，并对现有的几种方案进行了深入的分析和比较，提出了一些改进意见。 关键词：身份认证；安全凭证；单点登录；OpenID；SAML 中图分类号：TP393.08 文献标识码：A 文章编号：1671-1122（2012）08-0071-04 Research on the Authentication in Cloud Computing YU Xing-jie1,2, GAO Neng1,2, JIANG Wei-yu1 ( 1. State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China ) Abstract: We analyze the security-credentials-based authentication and the single sign-on-based federated authentication, and make a comparison among the popular schemes. In addition, we present some methods and suggestions to improve the authentication mechanisms in cloud computing. Key words: identity authentication; security credential; single sign-on; OpenID; SAML 0 引言 用户对计算资源的控制程度大大降低。因此，云计算的发展带来了海量的访问认证请求和复杂的用户权限管理，推动了身份 认证技术的不断发展。云计算中出现了基于多种安全凭证的身份认证技术。随着云计算的普及，云端存储了大量的用户敏感数据， 一旦用户身份被仿冒，就很容易造成隐私和敏感数据的泄露。传统的基于单一凭证的身份认证技术已经不能满足用户的安全需求， 许多云服务提供商都采用了基于多种安全凭证的身份认证技术，但是目前缺少对这些技术的总结和比较。因此，本文对目前云 计算中广泛使用的基于多种凭证的身份认证技术进行了总结。云计算中有着复杂的身份认证场景，API调用源鉴别就是一种典型 的认证场景。根据API种类的不同，API调用源鉴别使用的安全凭证也有所不同。本文重点阐述了基于不同安全凭证的API调 用源鉴别机制。云计算的发展推动了基于单点登录的联合身份认证技术的发展。联合身份认证技术的发展使用户可以通过单一 账号登录多个云服务，极大地简化了用户操作，基于单点登录方案可以很好地实现联合身份认证机制。本文详细介绍了目前使用 最为广泛的单点登录方案——OpenID协议和基于SAML的单点登录方案，并进行了分析和比较，提出了一些改进意见。 1 基于安全凭证的身份认证 传统的身份认证，往往基于用户名和口令。面对云计算中复杂的应用环境和角色定义，以用户名和口令作为单一安全凭证 Microsoft等云计算环境中使用的多种基于安全凭证的身