2019云计算身份鉴别服务密码标准体系.docx

《2019云计算身份鉴别服务密码标准体系.docx》由会员分享，可在线阅读，更多相关《2019云计算身份鉴别服务密码标准体系.docx（52页珍藏版）》请在课桌文档上搜索。

1、云计算身份鉴别服务密码标准体系1 .云计算身份鉴别服务的研究背景及意义12 .云计算身份鉴别服务需求和挑战31. 1.凭据管理32. 2.弓虽另IJ42. 3.委托身份鉴别43.云计算身份鉴别标准研究现状53.1. 国际相关身份鉴别标准研究情况63. 2.我国相关身份鉴别标准研究情况133. 3.云计算中主要的身份鉴别相关标准154.业界典型的云计算身份鉴别服务及密码技术应用案例324.1. Google云身份鉴别技术324. 2.Amazon云身份鉴别技术344. 3.Microsoft云身份鉴别技术354. 4.IBM云身份鉴别技术374. 5.典型云身份鉴别服务及密码应用对比375.云计

2、算身份鉴别服务密码标准体系架构385. 1.概述385. 2.云环境中的身份鉴别密码技术要求385. 3.标准分类维度415. 4.标准体系架构431 .云计算身份鉴别服务的研究背景及意义云计算技术的发展促进了在线访问云服务的流行。人们通过网络可以随时随地访问其个人文档、照片、消费记录，甚至银行账户、医疗记录等敏感信息；企业也可借助于云计算丰富的资源、强大的计算能力和快速可扩展的特性，将计算服务和数据存储服务外包给云服务提供商。不同安全级别的数据和服务充斥于云环境中，云中资源的访问及其数据本身的安全问题自然成为了关注的焦点。为了保证云中数据的安全性，云端的服务应鉴别访问者的身份。（一）云计算身

3、份鉴别的安全性尤为重要和迫切。根据OWASP最新发布的Web应用安全威胁排名，鉴别与会话管理威胁排在第2位，敏感数据泄露排在第6位，可见在云计算服务中安全部署和实施身份鉴别技术的重要性和迫切性ONIST在2013发布的NISTCloudComputingStandardsRoadmap32文件中建议云计算身份鉴别采用SAML（SecurityAssertionMarkupLanguageOpenID（OpenIDAuthentication）OAuth（OpenAuthorizationProtocol）等协议验证用户的身份并实现联合身份鉴别，以便获取云应用或云服务，一旦用户完成身份鉴别，则用

4、户应该登录到云应用或云服务中，而无需再次鉴别。因此，云计算身份鉴别自身也可以作为一种云计算服务，为其他云计算服务或者应用提供身份鉴别服务。（二）身份鉴别技术发展迅速，除了传统的用户名/口令方式，基于智能设备、智能卡、生物识别技术的身份鉴别以及多因素鉴别逐渐发展成熟。作为云安全的第一道门槛，云身份鉴别服务使用的身份鉴别技术是各种安全措施可以正常实施的前提，也成为了工业界和学术界的研究重点。身份鉴别是确定实体（用户、服务器、应用程序等）身份的过程，可根据实体了解的知识、拥有的物品以及身体固有的生物特性来划分不同类型的身份鉴别技术。目前，身份鉴别技术已得到了较长时间的发展与研究。例如，基于用户名/口

5、令的身份鉴别技术已得到了普遍的使用；基于智能卡识别、基于生物特征识别的身份鉴别技术（线上快速身份鉴别联盟，即FIDO联盟）也不断出现在新的应用场景中；单点登录、委托鉴别、身份联合、多因素鉴别等鉴别机制也已得到了较为成熟的研窕，并被许多服务提供商应用于其产品中。（三）云计算环境中身份鉴别面临新的需求和挑战-凭据管理、强身份鉴别、联合身份鉴别（跨域、跨服务）等。在云计算环境中，由于云计算环境具有其特有的特性以及云计算客户新的需求，对身份鉴别技术有了不同的需求，身份鉴别技术也面临不同的挑战。另外，尽管国内外各标准组织在身份鉴别方面出台了一系列的标准，但是难以满足云计算环境身份鉴别服务对身份鉴别技术的

6、新需求。首先，云环境中的用户身份凭据的管理面临的安全威胁比传统的应用场景中更加严峻，安全性要求更高；其次，对于云中高度敏感的数据，需要更加安全的、用户可控的身份鉴别机制，可以使用一次性口令、基于生物特征（指纹、人脸、虹膜、生物行为等）的鉴别技术以及基于USB等智能卡识别的技术等强鉴别机制；最后，云环境下需要方便快捷的技术来解决联合身份鉴别（跨安全域或跨服务）。（四）国内外研究机构纷纷出台相关云计算身份鉴别标准，但没有形成一个完整的服务标准体系。针对云环境中身份鉴别服务新的发展趋势，国际相关标准组织均在研究云环境中的身份鉴别服务的技术和机制。美国国家标准技术研究所(NIST)、第一联合技术委员会

7、(ISO/IEO),结构化信息标准促进组织(OASlS)均有相关的工作组在研究云环境中的身份管理和鉴别授权问题。国际互联网工作组(IETF)针对第三方资源访问问题，出台了一系列可用于云中身份鉴别的OAUth相关文档；开放的身份标识联盟(OpenID)提出的OpenID框架和系列规范已应用在各主要云服务提供商的服务中；国际电信联盟ITU也在其下一代网络中提出了支持OpenID和OAUth的技术规范；另外，新成立的在线快捷身份鉴别联盟(FlDo)近两年也制订了一系列基于生物识别技术的身份鉴别标准。我国也在推动云计算环境中的身份鉴别技术标准化。例如，目前正在研制相关密码行业标准开放的第三方资源授权协

8、议框架、开放的身份标识鉴别框架、在线快捷身份鉴别密码技术应用规范。但是，相比于国际标准组织对云计算中身份鉴别标准的研究情况，我国的相关研究还相对滞后，缺乏云计算身份鉴别服务的体系化研究成果。因此，我国亟需结合我国的实际国情，进行云计算身份鉴别服务的体系化研究，尤其是云计算身份鉴别服务的密码标准体系化研究。(五)云计算身份鉴别服务是构建在SaaS层的云服务，为不同云计算服务模式的云服务提供身份鉴别服务。在美国国家标准与技术研究院(NatiOnalInstituteofStandardsandTechnology,简称NlST)的SP800-145云计算的定义(ThCNlSTDefinitiOnO

9、fCIoUdeOmPUting)33文档中，根据云服务提供商提供的资源服务类型不同，云计算的服务模式主要可分为以下三类：基础设施即服务(InfrastructureasaService,IaaS):在IaaS模式下,云服务提供商向用户提供对所有计算基础设施的使用，包括处理CPU、内存、存储、网络和其它基本的计算资源。用户能够部署和运行任意软件，包括操作系统和应用程序。用户不管理或控制任何云计算基础设施，但能控制操作系统的选择、存储空间、部署的应用，也有可能获得有限制的网络组件(例如，路由器、防火墙、负载均衡器等)的控制能力。一平台即服务(PlatfOnllasaService,PaaS)：Pa

10、aS平台是指云环境中的应用基础设施服务，也可以说是中间件即服务。PaaS平台在云架构中位于中间层，其上层是SaaS,其下层是laaS。在PaaS模式下，云服务提供商向用户提供运行在云计算基础设施之上的软件开发和运行平台，如：标准语言与工具、数据访问、通用接口等。云客户可以利用该平台开发和部署自己的软件，通常不能管理或控制支撑平台运行所需的底层资源，如网络、服务器、操作系统、存储等，但可控制自己部署的应用程序，以及控制运行应用程序的托管环境配置。一软件即服务(SoftwareasaService,简称SaaS)：在SaaS模式下，云服务提供商通过网络向用户提供运行在云基础设施之上的应用软件、开发

11、软件等。云客户无需购买软件，而是向云服务提供商租用基于Web的软件，来管理其业务活动，可利用不同设备上的客户端(如WEB浏览器)或程序接口通过网络访问和使用云服务提供商提供的应用软件，如电子邮件系统、协同办公系统、客户关系管理系统等。云客户通常不能管理或控制支撑应用软件运行的底层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。与传统软件相比，SaaS服务依托于软件和互联网，不论从技术角度还是商务角度都拥有与传统软件不同的特性，表现在：互联网特性、多租户特性以及服务特性。IaaS.PaaSSaaS三种云服务模式提供的服务类型不同，面向的用户类型、访问接入方式（对服务、设

12、备、数据资源的访问接入方式）、被访问对象的资源管理方式（用户数据资源、计算和存储设备、应用程序或服务等）也不尽相同，但是这三种云服务模式都面临对用户身份进行鉴别的需求和挑战。不管是这三种云服务模式，还是其他应用方,使用以云服务的方式提供的身份鉴别服务都是未来的发展方向。从本质上讲，云身份鉴别服务是部署在SaaS层的一种服务，本研究报告主要研究部署在SaaS层的云身份鉴别服务的需求和挑战、研究现状、关键技术以及体系架构。本研究报告主要针对云计算环境中身份鉴别服务进行研究，尤其是其中使用的身份鉴别技术。本报告首先将分析云计算身份鉴别服务的技术需求和挑战，理清复杂云计算身份鉴别服务中身份鉴别技术的应

13、用情况；随后，给出国内外相关标准组织对云计算中身份鉴别技术的标准研究情况，并对身份鉴别技术相关标准进行现状和趋势分析；其次，研究具体的云计算身份鉴别关键技术和身份鉴别技术在主要云服务提供商处的应用情况，从而为云计算身份鉴别密码标准体系的构建提供参考。最后，根据云计算中身份鉴别技术的需求分析、标准研究情况以及身份鉴别技术研究和应用情况，提出云计算身份鉴别服务密码标准体系构建的建议。2.云计算身份鉴别服务需求和挑战当企业和组织机构等将他们的应用部署到云环境时，将遇到身份鉴别相关的新的需求和挑战，以云服务的方式提供身份鉴别是一种合适的解决方案。在CSA的omain12:GuidanceforIden

14、tity&AccessManagement24中提出，将应用部署到云计算环境中时面临的身份鉴别挑战有凭据管理、强身份鉴别、委托身份鉴别（跨域或者跨服务身份鉴别）等等，以云服务的方式提供的身份鉴别服务同样面临以上安全挑战。2.1. 凭据管理凭据包括口令、数字证书、动态凭据等等。凭据管理包含凭据的发放和管理，在云环境中面临的挑战更加严峻。例如使用用户名口令来验证用户的身份鉴别应考虑以下挑战：a）保护口令的存储和口令的安全传输；b）冒充：当多个云服务使用相同的口令时，内部人员或者能够获得到口令存储访问权限的攻击者可以在其他站点冒充用户；c）保护口令防止受到字典暴力破解，以及防止针对口令重置自服务等的

15、攻击；d）钓鱼攻击：云用户可能会被恶意钓鱼网站欺诈从而交付出其用户名和口令。钓鱼攻击还可以通过安装恶意软件或者键盘记录来捕获用户的用户名和口令。e）应定义并强制实施一个口令/凭据安全策略，包括 凭据生命周期。口令有效期有多久？ 凭据长度：口令长度，证书密钥长度等等； 存储凭据的安全性：是否经过单向散列？ 口令重置自服务； 口令重置前的身份验证等等。同样针对其他身份凭据，也存在以上安全需求和挑战。云计算身份鉴别服务应从以上几个方面考虑其凭据管理的技术要求和规范。2.2. 强身份鉴别高风险和高价值的应用程序会选择强身份鉴别技术，例如一次性口令或者数字证书。尤其是大企业，安全性较高的多因素身份鉴别的

16、应用越来越普遍。根据成本、管理成本以及用户接受度，可以选择不同机制的强身份鉴别。为了解决用户的需求而支持多种强身份鉴别机制成本效益并不是很高，这个同样也是云服务提供商遇到的挑战。用户会通过下几个方面选择云服务提供商：a）至少支持用户名口令的方式鉴别用户，并能够随着支持的服务风险的增加能够支持更多的强身份鉴别机制；b）企业管理范围应包含特权用户的管理；c）密码重置自服务功能应首先验证用户的身份；d）应能够定义并实施强口令策略；e）联合身份鉴别：委托身份鉴别的一种实现方法，见第3.3节；f）用户为中心的身份鉴别（例如OPenlD）-尤其是当应用能够被个人用户访问时应支持这种方式。用户为中心的身份鉴

17、别，例如谷歌ID可以使得用户使用已经存在的凭据登录第三方应用，而不需要在该应用方存储凭据。因此，云计算身份鉴别服务也应从以上几个方面考虑强身份鉴别的技术机制和规范，可以使用Kerberos,令牌（如SAML令牌）、智能设备、智能卡或者FIDO协议等形成强身份鉴别机制。2.3.委托身份鉴别云计算服务或者其他应用由于成本等原因无法实现对用户的身份鉴别，或者身份鉴别参与方需要对用户的身份进行身份属性交换等场景，会使用其他云计算身份鉴别服务提供商提供的身份鉴别服务。联合身份鉴别是委托身份鉴别的一种实现方法。联合身份鉴别是在跨域身份鉴别需求下，企业采用的一种管理用户电子身份和属性的方法，能够用来实现企业

18、间的联合身份鉴别和web服务之间的联合身份鉴别。联合身份技术与单点登录技术有很大的关联性，在实现了身份联合的基础上，结合单点登录技术，便可方便地跨域或跨应用访问。其中，Microsoft利用活动目录技术提供了联合身份的单点登录服务，可实现不同安全域中的合作伙伴的相互访问；IBM的TiVoli联合身份管理器向多种应用的用户提供Web和联合单点登录。针对私有云部署、公共云部署和混合云部署，它结合使用单点登录技术进行高度安全的信息共享。在云环境中，联合身份鉴别在实现联盟组织之间的身份鉴别方面扮演重要角色，能够为多个不同的云计算安全域之间的服务提供单点登录、统一身份鉴别和交换身份属性等功能。为了实现一

19、个可操作的联合身份鉴别的云环境，应根据开放的标准来实现一个身份鉴别解决方案，主要包括GB/T29242-2012信息安全技术鉴别与授权安全断言标记语言规范（SecurityAssertionMarkupLanguage,SAML）,Web服务联邦语言（WebServicesFederationLanguage,WS-Federation）等。国内外大部分标准化组织和机构都致力于身份鉴别的研究，并在云计算下的身份鉴别领域，开展了一系列的探索和研究工作。国际标准组织及其相关工作主要包括：一美国国家标准与技术研究院(NationalInstituteofStandardsandTechnology,

20、简称NIST)0NIST成立云计算工作组，目标是确立在云计算方面的领导力并提供相关指导。NIST发布的云计算标准路线图(NlSTCloudComputingStandardsRoadmap)为云计算标准体系化奠定了一定的基础，在该文档中涵盖了云计算身份鉴别与授权建议采用的各个组织机构的标准规范(例如OASlS的SAML标准，OpenID联盟的OpenID标准，IETF的OAuth标准等)，是云计算身份鉴别服务标准体系架构的重要参考文件。一第一联合技术委员会(InfOrmationtechnology-Securitytechniques-Aframeworkforidentitymanagem

21、ent,简称IS0IE0)oISO/IEO在JTCl下成立SC27工作组，主要完成云计算领域的标准化工作，规范了云计算的基本概念和常用词汇，并从使用者角度和功能角度阐述云计算参考架构，不仅为云服务提供者和开发者搭建了一个基本的功能参考模型，也为云服务的评估和审计人员提供相关指南。ISO/IEC提出的个人可识别信息(PlD处理者在公共云中除1PII的实践规程为云计算身份鉴别服务中用户的个人可识别信息的定义和管理提供重要参考。ISO/IEC提出的身份管理架构对云计算环境中的身份鉴别体系和身份管理架构有重要的参考意义。一结构化信息标准促进组织(OrganiZationfortheAdvancemen

22、tofStructuredInformationStandards,简称OASIS)。OASIS发布的SAML、WS-Federation系列标准已被广泛应用，主要应用于单点登录、身份联合和授权技术，在云计算身份鉴别服务中提供强身份鉴别和联合身份鉴别。一国际互联网工程任务组(TheInternetEngineeringTaskForce,简称IETF)OIETF发布的OAUth系列实现了第三方应用使用授权服务器发放的访问令牌访问受保护资源。另外，IETF提出的跨域身份管理系统(RFC7642、RFC7643RFC7644)为云计算身份鉴别服务的跨域身份鉴别和身份管理提供重要的参考。一国际电信联

23、盟-电信标准化部(InternationalTelecommunicationUnion-TelecommunicationStandardizationSector,简称ITU-T)O该组织发布了对OPenlD和OAUth的支持标准，推进了OAUth和OPenlD在云计算中的应用，且其成立的身份管理工作组发布的多身份服务提供商环境中的联合鉴别通用框架以及其他身份管理相关标准对云计算环境中的跨域身份鉴别和身份管理架构有重要的参考意义。 开放的身份标识联盟(OPenlD)。该组织制定的OpenID系列标准是一种分布式的可解决用户使用同一种身份凭据访问多个网络应用或云服务的身份鉴别问题的解决方案，

24、是以用户为中心的数字身份识别框架，该标准在云计算身份鉴别中应用较为广泛，是云计算身份鉴别标准体系重要组成部分。 线上快速身份鉴别联盟(FaStIDentityOnline,简称FIDO)。该组织提出的FIDO规范针对安全设备和Web浏览器的规范，允许任何网站和云应用与支持FIDO的设备通信，实现便捷、安全的在线用户鉴别。FIDO系列标准提高了云计算身份鉴别服务的安全性，以应对云计算身份鉴别服务的强身份鉴别挑战。我国也紧跟国际标准发展方向，在身份鉴别方面进行研究，发布了引入可信第三方的实体鉴别及接入架构规范、鉴别与授权数字身份信息服务框架标准等标准，形成开放的身份标识鉴别框架、开放的第三方资源授

25、权协议框架、基于可信执行环境的生物识别身份鉴别协议等草案。但是国内外的相关机构并没有形成一整套的云计算身份鉴别服务密码标准体系，在这方面的研究都比较欠缺。本章后续小节将详细介绍国内外的相关标准研究情况。3.1. 国际相关身份鉴别标准研究情况3.1.1. NIST的相关研究-标准路线图NIST的职责是推动测量科学、标准和技术的发展，改善经济安全与国民生活质量，并提高美国的创新能力和产业竞争力。NIST云计算工作组的长期目标是确立在云计算方面的思维领导力并提供相关指导，以促进云计算在产业界和政府的应用。NIST在云计算领域的五大工作组：a) 考架构与分类工作组云计算架构参考模型是对云计算概念与关系

26、的抽提，为机构应用云计算概念提供了标准与指导。b) 计算应用标准推进工作组工作组的主要任务是通过工作实例展示云系统是如何支持关键用例的，其中的云系统执行了一套获得鉴别的公共云系统规范，该工作的目标是推动高质量云计算标准的形成。一云安全工作组(ClOUdSecurity)云计算安全工作组的成立是NIST促进云服务在整个美国政府部门安全采用的举措之一。该小组制定了以下标准：a)云计算参考体系架构(NISTCloudComputingReferenceArChiteCtUre)(标准)，该标准定义云计算体系架构、架构组成部件及面临的安全与隐私。b)完全虚拟化技术安全指南(GuidetoSecurit

27、yforFullVirtualizationTechnologies)(标准)，该标准对虚拟机隔离、虚拟机监控以及虚拟机面临的安全威胁进行了描述。c)公有云中的安全和隐私(NIST:GuidelinesonSecurityandPrivacyinPublicCloudComputing),该标准对公有云中身份管理和隐私保护进行标准化。一标准路线图工作组(StandardSRoadmap)NIST负责领导美国政府云计算技术路线图的制定。该路线图将确定美国政府对云计算互操作性、可移植性和安全的需求及这些需求的优先程度，以支持云计算在美国政府的安全有效应用。一业务用例工作组(BusinessUseC

28、ases)NIST将领导相关的政府部门和产业界界定目标云计算业务用例，以确定具体的风险、问题和限制。该机构发布的与云计算相关的标准主要有：c) SP800-146云计算梗概和建议(NlSTCloudComputingSynopsisandRecommendations)d) SP500-291云计算标准路线图(NlSTCloudComputingStandardsRoadmap)e) SP800-145云计算的定义(TheNISTDefinitionofCloudComputing)f) SP500-292云计算参考体系架构(NISTCloudComputingReferenceArchite

29、cture)g) SP500-293美国政府云计算技术路线图(NISTUSGovernmentCLoudComputingTechnologyRoadmapVolumeIRelease1.0)(草案)h) NISTIR7904云中的可信定位：概念实现证明(TrustedGeolocationintheCloud:ProofofConceptImplementation)(草案)NIST对于云计算下的身份鉴别技术已经开始研究。NIST对云计算中的参考体系架构、公有云中的安全和隐私、云计算下的用户身份鉴别等方面的研究推动了云计算身份鉴别技术的发展。NIST发布的云计算标准路线图(NISTCloud

30、ComputingStandardsRoad三p)为云计算标准体系化奠定了一定的基础，在该文档中涵盖了云计算身份鉴别与授权建议采用的各个组织机构的标准规范，是云计算身份鉴别服务标准体系架构的重要参考文件。3.1.2. ISO/IEO的相关研究-个人可识别信息、身份管理ISO/IEO目前已有的与云计算或云安全相关标准如下：a) ISO/IECCD17788分布式应用平台和服务-云计算-概述和词汇(Distributedapplicationplatformsandservices-Cloudcomputing-OverviewandVocabulary),该标准规范了云计算的基本概念和常用词汇b

31、) ISO/IECCD17789云计算-参考架构(CloudComputing-ReferenceArchitecture)c) ISO/IEC27017基于ISO/IEC27002云计算服务器信息安全控制实施规程(CodeofpracticeforinformationsecuritycontrolsforcloudcomputingservicesbasedonISO/IEC27002)(标准草案)d)云计算安全与隐私管理系统(标准草案)，为云计算服务过程中的安全控制提供指导，目前正在制定过程中。e) ISO/IEC17826:2012云数据管理接口(CloudDataManagement

32、Interface,简称CDMI)f) ISO/IEC27018:2014个人可识别信息(Pll)处理者在公共云中保护PII的实践规程(CodeofpracticeforPIIprotectioninpubliccloudsactingasPIIprocessors)g) ISO/IEC24760-1:2015身份管理框架第1部分：术语和概念(AframewOrkforidentitymanagement-Part1:Terminologyandconcepts)h) ISO/IEC24760-2:2015身份管理框架第2部分：参考体系结构和要求(Aframeworkforidentityma

33、nagement-Part2:Referencearchitectureandrequirements)以上云计算国际标准，规范了云计算的基本概念和常用词汇，并从使用者角度和功能角度阐述云计算参考架构，不仅为云服务提供者和开发者搭建了一个基本的功能参考模型，也为云服务的评估和审计人员提供相关指南。在鉴别方面，主要包含了实体鉴别、匿名鉴别、抗抵赖等方面，并逐渐发展成体系，这些标准是我国标准研制工作的重要指导。个人可识别信息方面成为一个重要发展方向，ISO/IEC提出的个人可识别信息(PII)处理者在公共云中保护PII的实践规程为云计算身份鉴别服务中用户的个人可识别信息的定义和管理提供重要参考，我

34、国在此方面滞后发展。IS0/IEC提出的身份架构对云计算环境中的身份鉴别体系和身份管理架构有重要的参考意义。然而，针对云环境下的身份鉴别服务,目前还没具体且明确的标准。3.1. 3.OASIS的相关研究-SAML、WS-Federation身份管理OASIS组织在鉴别、授权、身份管理、云身份管理等方面均有研究。-鉴别方面：a) SAML标准是一种基于XML的单点登录开放标准，是实现站点之间相互操作的安全访问控制框架，适用于复杂环境下交换用户的身份识别信息，己被多个云服务提供商采用。用户仅需在一个安全域中登录，就可以使用由其他信任该域的站点提供的服务，此外，SAML可以实现不同安全域之间的鉴别和

35、数据交换，这些都为云环境下身份鉴别的发展提供了一定的技术方案支持。SAML2.0已被国标GB/T29242-2012信息安全技术鉴别与授权安全断言标记语言采标。b) 2009年5月推出的WS-Federation标准主要用于身份联合场景，以解决联邦鉴别和授权信息交换问题。目前微软云服务(MicrosoftAzure).IBM的联合身份管理(TiVoliFederatedIdentityManager)使用了WS-Federation标准。-授权方面：XACML(extensibleAccessControlMarkupLanguage)标准现已被广泛应用，并提供基于XACML的配套技术规范。X

36、ACML2.0已被国标GB/T30281-2013信息安全技术鉴别与授权可扩展访问控制置标语言采标。另外，OASlS国际开放标准联盟成立了云授权技术委员会，旨在改进SaaS.PaaS.IaaS中的管理授权模型。-身份管理方面：该组织的云身份(IDelOUd)技术委员会于2010年成立，致力于解决云计算中身份管理带来的严重的安全挑战。主要的工作内容包括身份管理标准研究与制定、描述身份管理在云环境中的安全挑战、研究身份管理配置需求等。该组织的身份在云中的使用于2011年2月发布，对租户身份的部署，配置和管理用例进行定义。目前产出的成果包括云中的身份用例版本1.0(IdentityintheClou

37、dUseCasesVersion1.0)oOASIS提出的SAML标准和XACML标准主要应用于云计算身份鉴别和授权中的强身份鉴别、跨域身份鉴别以及授权，提高了云计算身份鉴别服务以及授权的安全性和可用性OASIS提出的WS-FederatiOn系列标准在云计算身份管理和身份联合领域应用广泛，提高了身份管理和身份鉴别的安全性和便利性。SAML.WS-Federation以及身份管理相关标准是云计算身份鉴别服务标准体系中强身份鉴别和联合身份鉴别的重要参考文件。3.1.4.IETF的相关研究-OAUth、跨域身份管理IETF的主要任务是负责互联网相关技术标准的研发和制定，是国际互联网业界具有一定权威

38、的网络相关技术研究团体。IETF大量的技术性工作均由其内部的各种工作组(WorkingGroup,简称WG)承担和完成。这些工作组依据各项不同类别的研究课题而组建。相关标准研究工作组有：a) Outh:Outh授权协议工作组(WebAuthorizationProtocol)0OAuth标准b) SCIM:跨域身份管理系统工作组(SyStelnforCross-domainIdentityManagement),主要从事跨域身份管理相关工作。 RFC7642：2015跨域身份管理系统：定义、概述、概念和要求(SyStemforCross-domainIdentityManagement:Def

39、initions,Overview,Concepts,andRequirements) RFC7643：2015跨域身份管理系统：核心机制(SyStemforCross-domainIdentityManagement:CoreSchema) RFC7644：2015跨域身份管理系统：协议(SyStemforCross-domainIdentityManagement:Protocol)c) ACE:受限环境下的鉴别与授权工作组(AuthenticationandAuthorizationforConstrainedEnvironments)od) AAA:鉴别、授权和审计工作组(Authen

40、tication,AuthorizationandAccounting),该工作组于2006年已经终止，其工作逐渐分布到其他工作组。其中推出的第三方授权协议及框架OAUth系列技术规范已被广泛应用于云环境中的身份鉴别与授权领域。OAUth起源于TWitter身份鉴别服务器的委托鉴别问题。当时，某网络收藏夹应用需要委托TWitter的身份鉴别服务器来实现鉴别，允许通过TWitter鉴别的用户采用MaCOSX操作系统平台的应用程序Dashboard访问网络收藏夹服务，但尚没有开发标准解决委托鉴别问题。于是，2007年4月成立了OAUth讨论组，并于2007年10月发布了OAUthcore1.0草案

41、。2008年11月，IETF将OAUth纳入规范化工作中。但是，随着OAuth1.0的广泛应用，OAuthLO的漏洞也不断暴露。2009年4月23日，OAUth宣告了一个LO协议的安全漏洞。该漏洞影响了OAUth1.0核心规范第6节的OAUth的鉴别流程(也称作3阶段OAUth)O于是，OAUth工作组发布了OAUthCore协议1.Oa版本来解决这一问题。2010年4月发布RFC5849(OAuth1.0协议)。随着对OAUthL0进行不断修正，IETF于2012年12月发公布了OAUth2.0(RFC6749)版本，即OAUth协议的最新版本，该版本考虑了不同OAUth工作流中的安全漏洞，

42、给出了相应的安全考虑和应对措施。与传统的授权机制不同，OAUth协议通过引入授权层，将用户使用的客户端应用程序(即第三方应用程序)和资源拥有者的角色分开。在OAUth中，用户请求访问资源拥有者在服务器中的资源时，需要得到资源拥有者的授权。资源拥有者可以不向客户端应用程序揭露其身份凭证，通过发放一个访问令牌(一个字符串，包含具体的使用范围，使用时间,以及其他一些访问属性)给客户端应用程序的方式实现授权。在获得资源拥有者的授权后，客户端应用程序就可以使用这个访问令牌访问存储在资源服务器上的受保护资源。OAuth2.0关注开发的简易性，及Web应用、桌面应用和移动终端的广泛适用性，因而得到广泛的应用

43、。尽管OAUth2.0已经被腾讯QQ、新浪微博、阿里巴巴淘宝、支付宝、搜狐网、网易、人人网、开心网、亚马逊、微软LiveaWordPresseBay、PayPal、Facebook、Google、YahooLinkedlnVK.comMail.Ru、Oclnoklassniki.ru、GitHubOAuth等使用，但是由于实现时缺乏全面地安全考虑，实现技术门槛低，开发者往往忽视安全问题。某研究通过分析通过浏览器的数据分析了实现的逻辑漏洞，攻破了Google.Facebook等的实现机制。另有文章则专门分析了OAUth协议在实现中存在的安全威胁，发现了访问令牌窃听、通过XSS窃取访问令牌、假冒、

44、会话交换和强制登录型CSRF等5类攻击。2014年5月，有文章指出OAUth和OPenlD开源登录工具存在“隐蔽重定向漏洞”。目前，OAUth针对发现的安全漏洞，已制定了专门的OAUth威胁模型和安全考虑文档，以指导开放者避免实现漏洞。目前，OAUth系列技术规范文档主要有:一RFC6749OAuth2.0授权框架RFC6750OAuth2.0授权框架：不记名令牌使用一RFC6755OAuth的IETFURN子命名空间RFC6819OAuth2.0威胁模型和安全考虑一RFC70090uth2.0令牌撤销RFC7519JSON网页令牌（JWT）RFC7521OAuth2.0客户端鉴别与授权凭据的

45、断言框架RFC75220uth2.0客户端鉴别与授权凭据的SMAL2.0轮廓IETF多年来不间断鉴别与授权相关标准的研究工作，多领域发展，涉及AAA.网络传输协议、无线局域网、多媒体等多方面的鉴别与授权。其中第三方授权框架及相关协议体系化（即OAUth）发展迅速，近年来已被网络服务和应用广泛采用，在云计算中的应用也发展迅速，成为云计算身份鉴别服务的重要参考。跨域身份管理方面成为近几年的研究重点，跨域身份管理系统相关的三个标准也为云计算身份鉴别服务的联合身份鉴别提供重要参考。3.1.5. ITU-T的相关研究-联合身份管理ITU-T是一个研究和制定除无线电以外的所有电信领域设备和系统标准的国际性

46、组织。ITU对云环境下身份鉴别技术的研究逐步完善，正在研制云计算中的身份管理需求）。ITU-T的电信云安全研究小组SG17于2009年成立，该小组制定了电信领域云计算安全指南o2012年2月，ITU-TSG13WP6（云计算研究组），下设Q26（云需求）、Q27（云架构）和Q28（资源管理）三个工作组从事云计算标准的研制工作。SG13和IS0/IECJTCl/SC38成立联合工作组，共同研制云计算概述和词汇和云计算参考架构标准。ITU-T于2010年6月成立了云计算焦点组FGCloud,致力于从通信角度为云计算提供支持，该组运行时间截止到2011年12月，后续云工作已经分散到别的研究组（SG）

47、。云计算焦点组发布了包含云安全和云计算标准制定组织综述在内的7份技术报告。其中云安全报告旨在确定ITUT与相关标准化制定组织需要合作开展的云安全研究课题。云计算标准制定组织综述报告包括：云生态系统、使用案例、需求和商业部署场景；功能需求和参考架构；安全、审计和隐私（包括网络和业务的连续性）；云服务和资源管理、平台及中间件；实现云的基础设施和网络；用于多个云资源分配的跨云程序、接口与服务水平协议；用户友好访问、虚拟终端和生态友好的云。ITU在联合身份、OPenID、OAutk多因素鉴别等方面均有相关研究，这些身份鉴别技术均广泛应用于云计算中。制定的相关标准有： 下一代网络的OAUth支持（ITU

48、-TY.2723SupportforOAuthinnextgenerationnetworks,2013年11月发布） 下一代网络中OpenID的知$（ITU-TY.2725SupportofOpenIDinnextgenerationnetworks,2014年7月发布） 使用移动设备的多因素鉴别机制（11J-TX.1158Multi-factorauthenticationmechanismsusingamobiledevice,2014年11月发布)应用程序间共享网络鉴别结果的指南和框架(ITU-TX.1256Guidelinesandframeworkforsharingnetworkauthenticationresultswithserviceapplications,2016年3月发布) 多身