云安全：身份认证与访问管理

2025-09-30 理论教育版权反馈

【摘要】：身份认证和访问管理是一套业务处理流程，是一个支持数字身份管理与资源访问管理、审计的基础结构。身份认证主要是指在用户访问资源和使用系统服务时，系统确认用户身份的真实性、合法性和唯一性的过程。基于PKI的联合身份认证技术是目前广泛被采纳的一种联合身份认证方案。PKI提供的安全服务包括身份认证、数据保密性、数据完整性和不可抵赖性等，从而实现了认证、授权和安全通信等安全功能。

身份认证和访问管理是一套业务处理流程，是一个支持数字身份管理与资源访问管理、审计的基础结构。

身份认证主要是指在用户访问资源和使用系统服务时，系统确认用户身份的真实性、合法性和唯一性的过程。在远程系统接入的时候，用户必须获得一定的接入权限，最常用的就是基于口令的身份认证。在基于口令的身份认证协议中，每个用户必须在认证前先向系统注册，进而系统保留其用户的注册信息，当用户使用某种安全的通信信道与系统建立连接请求身份认证时，用户向系统传输口令信息，服务器端根据上传的口令信息与服务器上已保存的信息进行匹配，若匹配成功则认证通过。

对云服务来讲，双向认证是云计算中防止用户数据被非法访问的重要机制。一方面，如果云服务提供商不对用户进行严格的身份认证和访问管理，就会给攻击者以可乘之机，导致数据的冒名使用，给合法用户的数据安全带来威胁；另一方面，用户可能遭遇网络钓鱼和恶意软件攻击等安全威胁，导致数据被他人非法获取。

因此，无论用户在哪里登录，云服务提供商和应用程序都要确认用户的身份，只有通过认证的合法用户才能访问云中相应的服务和数据。在云计算中，用户可能使用不同云服务提供商所提供的服务，从而拥有不同的用户名和密码，很容易造成混淆与遗忘。为了减轻用户负担并提供良好的用户体验，单点登录、联合身份认证、PKI等技术和框架被广泛地应用到云计算的认证中。

在CSA的安全指南中，对单点登录的描述是：“安全地将身份信息和属性传递给云服务的能力”。简单地说就是利用单点登录协议，使用户在使用云服务时只需要注册和登录一次，从而减轻用户负担。比如，Google支持基于单点登录协议（OpenID）的单点登录技术、Salesforce采用基于单点登录开放标准（SAML）的单点登录技术。(https://www.chuimin.cn)

CSA安全指南对联合身份认证的描述是：“在不同云服务提供商的身份信息库间建立关联”。用户只需要在使用某个云服务时登录一次，就可以访问所有相互信任的云平台，而不需要在多个不同的云平台上重复注册和登录多个账号。简单地说就是用户可以使用一个账号登录相互信任的不同云服务平台。联合身份认证技术通常基于单点登录方案。

基于PKI的联合身份认证技术是目前广泛被采纳的一种联合身份认证方案。PKI提供的安全服务包括身份认证、数据保密性、数据完整性和不可抵赖性等，从而实现了认证、授权和安全通信等安全功能。PKI的基本要素是数字证书。数字证书是由认证权威CA发放的数字签名，包含了公开密钥的拥有者及相关信息的一种数据结构。比如基于X.509证书和PKI认证框架实现的SSL认证协议被用于Amazon提供的EC2云服务中，用于实现对用户的身份认证。

X.509证书是由云服务提供商为用户生成数字证书以及私钥文件，也可以由用户通过第三方工具生成，这种证书不需要由特定的CA来颁发，只要符合证书的规范，并且在有效期内，就会被验证服务器接受为合法的证书。X.509证书包括一个证书文件和相应的私钥文件，证书文件中包含该证书的公钥和其他数据，私钥文件中包含用户对API请求进行的数字签名的私钥，由用户唯一拥有，云服务系统不保存该私钥文件的任何副本信息。

在混合云环境下，由于具有用户所归属的认证域众多，用户和服务间信任关系动态变化的特点，不适宜采用PKI为用户建立信任关系。

云安全：身份认证与访问管理

相关推荐