安全云计算解决方案暨典型示范项目评审材料.docVIP

附件二： 云计算安全典型示范项目说明书（暨评审材料） 一、概述 1、项目名称、起止时间、主要功能、投资情况、当前运行情况 项目名称：基于动态密码的云身份管理系统及其在XXXX集团AAA系统动态认证改造中的应用。 起止时间： 主要功能： 统一帐号管理：是建立在虚拟化的资源池上的应用接口层，为云用户提供了一个统一的帐号和单点登录窗口，避免了在访问资源过程中频繁的帐号切换。 统一认证管理：解决身份凭证管理、强认证（通常为多因素身份认证）、委派身份认证、及跨越所有云服务类型的信任管理。 由于云计算环境下，资源分布具有很大的动态变化特性，静态密码的安全性已经很难满足要求，动态密码以其特有的随机性、一次性而更加适合云计算环境。 统一授权管理：根据各种资源对账号、角色、权限及各类关系的不同定义，抽象成统一的数据定义，采用关系型数据库存储方式，对账号/密码信息、系统及应用资源信息、角色及策略管理信息以及各信息之间的关联关系信息进行加密存放。并基于用户、主机、网段等参数添加访问控制策略，完全模拟主机与用户发起方，发送拆连请求，达到网络访问的控制。 统一审计管理：当用户根据授权访问资源时，系统用户业务行为进行实时解析，建立日志，事后处理归并，并为安全审计人员提供了视频、图标等以多种查询方式。，并且我司能够为用户提供资深的审计专家真实分析、展现审计结果。 投资情况： XX公司在云身份管理系统研发的投入累计已经超过200万，为XXXX集团实施改造而投入的研发、测试成本超过20万。 XXXX集团AAA系统动态认证改造投入总计：2000万元。 当前运行状况： 2、简述项目相关领域的现状、研究目的、意义及国内外技术概况 项目相关领域的现状 2010年6月，胡锦涛总书记在两院院士大会上就指出，“互联网、云计算、物联网、知识服务、智能服务的快速发展为个性化制造和服务创新提供了有力工具和环境”，将云计算应用提上了创新生产方式的高度。10月，国家发展和改革委员会、工业和信息化部联合发布《关于做好云计算服务创新发展试点示范工作的通知》，确定在北京、上海、深圳、杭州、无锡五个城市先行开展云计算服务创新发展试点示范工作，进一步明确了国家发展云计算的总体思路和战略布局。 身份管理是实现云环境下按需计算服务战略的先导，也是云计算安全的基础。 身份管理的研究工作在国外开展的较早，最初是一些行业组织与企业开展的商业部署方案。微软在20世纪末推广的“Passport”项目，就是互联网业务单点登录的早期应用。然而，由于大家担心微软会收集大量的用户个人信息，因此该项目并没有得到业内的广泛支持，最终以失败告终。 后来微软公司又启动了Windows Cardspace研究项目，致力于身份元系统的研究，即为不同的数字身份系统提供一个统一的抽象表示层，而这个系统可以取代传统的用户名和密码认证方式，可以提供更好的反钓鱼功能，防止其它网络犯罪等。 2001年，为了抗衡微软的Passport，由SUN牵头成立了自由联盟（LibertyAlliance），致力于研究开放的、具有引导与实践性的联邦身份管理机制。自由联盟重点解决企业之间身份系统的可互操作性问题，定义一些在企业内部和企业之间使用的统一身份技术和流程的公共规范。 近几年，Web2.0应用的蓬勃发展，个人参与互联网应用的创造与使用愈发广泛，一个用户可能有十几乃至上百个个人ID，极大地影响到了用户的多业务体验，OPenID就是解决跨业务域的单点认证问题，为用户提供一个全球惟一标识，进行一次认证，即可实现多业务的使用与体验。 　　随着各种网络、服务与业务系统逐渐向云上迁移，目前彼此独立设置、缺乏可互操作性的身份管理系统也需要迁移。为了实现全球一体的通用身份管理架构目标，ITU-T在2006年启动了身份管理标准化研究工作，鼓励全球所有的ICT领域的专家共同参与、推动通用身份管理架构的研究工作。在ITU-T的研究活动中，美国是研究工作的主导力量，目前已经批准发布了X.1250《全球可互操作的身份管理需求》，其它的配套标准也在加紧完善过程中。在X.1250的发布过程中，以德国为首的欧洲国家与美国展开了激烈且微妙的博弈。大家关注的焦点是身份管理的对象是否会涉及到自然人，身份提供商是否是一个集中设置的机构，它是否需要由国家来进行授权与管理等方面，因为这些问题会涉及到不同国家的组织架构设置，对不同国家的法律法规遵从和国家利益、国家安全密切相关的问题。 国内对网络身份管理的研究起步较晚，随着政府对网络监管力度的加强，网络实名制成为我国身份管理发展的重要里程碑。 研究目的和意义： 身份及身份管理贯穿于日常生活的方方面面，诸如普通公民的户籍、护照或者社会安全号码（SIN）等都是国籍身份的一部分，与之相对应的国家机构形成对它们的颁发、监控、撤销和恢复等管