2019云计算身份鉴别服务密码标准体系.docx

云计算身份鉴别服务密码标准体系

I

I

目 录

云计算身份鉴别服务的研究背景及意义 1

云计算身份鉴别服务需求和挑战 3

凭据管理 3

强身份鉴别 4

委托身份鉴别 4

云计算身份鉴别标准研究现状 5

国际相关身份鉴别标准研究情况 6

我国相关身份鉴别标准研究情况 13

云计算中主要的身份鉴别相关标准 15

业界典型的云计算身份鉴别服务及密码技术应用案例 32

Google云身份鉴别技术 32

Amazon云身份鉴别技术 34

Microsoft云身份鉴别技术 35

IBM云身份鉴别技术 37

典型云身份鉴别服务及密码应用对比 37

云计算身份鉴别服务密码标准体系架构 38

5.1. 概述 38

云环境中的身份鉴别密码技术要求 38

标准分类维度 41

标准体系架构 43

PAGE

PAGE10

云计算身份鉴别服务的研究背景及意义

云计算技术的发展促进了在线访问云服务的流行。人们通过网络可以随时随地访问其个人文档、照片、消费记录，甚至银行账户、医疗记录等敏感信息；企业也可借助于云计算丰富的资源、强大的计算能力和快速可扩展的特性，将计算服务和数据存储服务外包给云服务提供商。不同安全级别的数据和服务充斥于云环境中，云中资源的访问及其数据本身的安全问题自然成为了关注的焦点。为了保证云中数据的安全性，云端的服务应鉴别访问者的身份。

（一）云计算身份鉴别的安全性尤为重要和迫切。

根据OWASP最新发布的Web应用安全威胁排名，鉴别与会话管理威胁排在第2位，敏感数据泄露排在第6位，可见在云计算服务中安全部署和实施身份鉴别技术的重要性和迫切性。NIST在2013发布的《NISTCloudComputingStandardsRoadmap》[32]文件中建议云计算身份鉴别采用SAML（SecurityAssertionMarkupLanguage）、OpenID

（OpenIDAuthentication）、OAuth（OpenAuthorizationProtocol）等协议验证用户的身份并实现联合身份鉴别，以便获取云应用或云服务，一旦用户完成身份鉴别，则用户应该登录到云应用或云服务中，而无需再次鉴别。因此，云计算身份鉴别自身也可以作为一种云计算服务，为其他云计算服务或者应用提供身份鉴别服务。

（二）身份鉴别技术发展迅速，除了传统的用户名/口令方式，基于智能设备、智能卡、生物识别技术的身份鉴别以及多因素鉴别逐渐发展成熟。

作为云安全的第一道门槛，云身份鉴别服务使用的身份鉴别技术是各种安全措施可以正常实施的前提，也成为了工业界和学术界的研究重点。身份鉴别是确定实体（用户、服务器、应用程序等）身份的过程，可根据实体了解的知识、拥有的物品以及身体固有的生物特性来划分不同类型的身份鉴别技术。目前，身份鉴别技术已得到了较长时间的发展与研究。例如，基于用户名/口令的身份鉴别技术已得到了普遍的使用；基于智能卡识别、基于生物特征识别的身份鉴别技术（线上快速身份鉴别联盟，即FIDO联盟）也不断出现在新的应用场景中；单点登录、委托鉴别、身份联合、多因素鉴别等鉴别机制也已得到了较为成熟的研究，并被许多服务提供商应用于其产品中。

（三）云计算环境中身份鉴别面临新的需求和挑战-凭据管理、强身份鉴别、联合身份鉴别（跨域、跨服务）等。

在云计算环境中，由于云计算环境具有其特有的特性以及云计算客户新的需求，对身份鉴别技术有了不同的需求，身份鉴别技术也面临不同的挑战。另外，尽管国内外各标准组织在身份鉴别方面出台了一系列的标准，但是难以满足云计算环境身份鉴别服务对身份鉴别技术的新需求。首先，云环境中的用户身份凭据的管理面临的安全威胁比传统的应用场景中更加严峻，安全性要求更高；其次，对于云中高度敏感的数据，需要更加安全的、用户可控的身份鉴别机制，可以使用一次性口令、基于生物特征（指纹、人脸、虹膜、生物行为等）的鉴别技术以及基于USB等智能卡识别的技术等强鉴别机制；最后，云环境下需要方便快捷的技术来解决联合身份鉴别（跨安全域或跨服务）。

（四）国内外研究机构纷纷出台相关云计算身份鉴别标准，但没有形成一个完整的服务标准体系。

针对云环境中身份鉴别服务新的发展趋势，国际相关标准组织均在研究云环境中的

身份鉴别服务的技术和机制。美国国家标准技术研究所（NIST）、第一联合技术委员会

（ISO/IEO）、结构化信息标准促进组织（OASIS）均有相关的工作组在研究云环境中的身份管理和鉴别授权问题。国际互联网工作组（IETF）针对第三方资源访问问题，出台了一系列可用于云中身份鉴别的OAuth相关文档；开放的身份标识联盟（OpenID）