基于PKI技術的多類型云存儲用戶身份認證應用研究

◆魯恩銘

（湖南生物機電職業技術學院 湖南 410128）

基于PKI技術的多類型云存儲用戶身份認證應用研究

◆魯恩銘

（湖南生物機電職業技術學院 湖南 410128）

本文論述了云存儲與PKI的結構，分析了PKI技術應用于企業級云存儲用戶身份認證的必要性及存在的問題，并提出了基于PKI技術的多類型云存儲用戶身份認證解決方案，從而使得兩種技術有機結合，進而推動云技術的廣泛應用。

PKI技術；云存儲；身份認證

0 引言

現代社會是一個信息大爆炸的社會，更是一個技術日新月異的社會，尤以互聯網+、大數據、云計算、云平臺為典型代表，它們正在引領著科技的發展、社會的變革和人們生活水平的提高。然而，目前企業級用戶并未積極地使用云存儲能力，究其原因是因為云生態系統并不成熟[1]，云安全問題已經成為云計算和云存儲發展的瓶頸問題，用戶身份認證和訪問控制管理也就順其自然地成為了首當其沖的問題，然而目前企業級云存儲用戶大多采取一次性的自定義解決方案，且沒有一個可信的和可管理的非常權威的統一用戶認證用以了解云服務提供商的能力、級別和層次，企業級云存儲用戶正在利用一個沒有良好身份認證和訪問控制策略的云存儲服務，云存儲用戶的身份認證和訪問控制能力成為云存儲服務能否得到廣泛應用的關鍵因素之一。因而研究云存儲用戶身份認證問題具有非常重要的現實意義和典型的應用價值。

1 云存儲結構

云計算具有高伸縮性、位置無關性、低成本，它需建立可控的云計算安全監管體系[2]。云生態系統是一個龐大的分布式系統，擁有海量的用戶，具有動態性、跨域性等特性[3]，它的云存儲服務能力為典型的SPI（SaaS，PaaS，IaaS）云交互三層模式：

SaaS軟件即服務：

云存儲用戶使用應用程序，軟件服務供應商，以租賃的方式提供客戶服務，普遍提供一組賬號和密碼。

PaaS平臺即服務：

云存儲用戶使用主機操作應用程序，能掌控運作應用程序的環境，并擁有主機部分掌控權，平臺通常是應用程序的基礎架構。

IaaS基礎架構即服務：

云存儲用戶使用基礎計算資源，如處理能力、存儲空間、網絡組件或中間件。能掌控操作系統、存儲空間、已部署的應用程序及網絡組件。

每一層擁有不同類型的用戶，每一層的用戶都需要身份認證和訪問控制的管理，如圖1所示：

圖1 SPI云交付模式和身份認證

2 PKI結構

PKI技術整合了認證中心、注冊中心、資料庫等基本組件，對數字證書的生命周期進行管理，主要目的是通過自動管理密鑰和證書，為用戶建立起一個安全的網絡運行環境，使用戶可以在多種應用環境下方便地使用加密和數字簽名技術。它能提供實體的認證、數據的完整性和機密性3個核心服務，PKI主要包括認證中心CA、注冊機構RA、證書庫、證書管理、PKI策略、用戶等，如圖2所示：

圖2 PKI技術

CA服務器：CA是PKI的核心，是PKI應用中權威的、可信任的、公正的第三方機構。CA用于創建、發布、撤銷和管理數字證書，它通常為一個稱為安全域的有限群體發放證書。創建證書的時候，CA系統首先獲取用戶的請求信息，其中包括用戶公鑰，CA將根據用戶的請求信息產生證書，并用自己的私鑰對證書進行簽名。其他用戶、應用程序或實體將使用CA的公鑰對證書進行驗證。具體功能描述如表1所示：

表1 CA的功能

RA服務器：RA是CA 功能的延伸。它負責申請者的登記、信息錄入、初始鑒別、審核以及證書發放等工作；同時，對發放的證書完成相應的管理功能。它在PKI體系結構中起承上啟下的作用，一方面向CA轉發證書的申請請求，另一方面轉發CA頒發的數字證書和證書撤消列表。

證書庫：證書庫是發布證書的地方，提供證書的分發機制。一般采用LDAP目錄訪問協議，能夠支持大量用戶同時訪問，對檢索請求有較好的響應能力。

PKI策略：PKI安全策略建立和定義一個組織信息安全方面的指導方針，并定義密碼系統使用的處理方法和原則。包括一個組織怎樣處理密鑰和有價值的信息，根據風險的級別定義安全控制的級別。

用戶：亦稱證書信任方，PKI為證書信任方提供了檢查證書申請者身份以及與證書申請者進行安全數據交換的功能，用戶通常扮演證書申請者和證書信任方的雙重角色。

證書管理：根據CA服務器中的證書申請、證書頒發、證書更新、證書查詢、證書撤銷、證書歸檔、證書吊銷等命令，更新證書庫中的內容，完成相應的證書管理工作。

3 解決方案

目前企業級用戶大多采取一次性的自定義解決方案，并不能適應云存儲系統中每個層次的各類用戶的需要和今后發展變化的需要，并且沒有一個可信的和可管理的非常權威的統一用戶認證用以了解云服務提供商的能力、級別和層次等，云服務提供商沒有針對不同用戶或不同工作職能的需要而提供不同的權限，我們應延伸云存儲用戶在云中的身份，用以滿足各類云用戶的需要，我們應尋求第三方權威機構來組織和管理云用戶，我們急需一個可信的評估組織，以進行基于云的身份服務和訪問管理，在云用戶和云服務提供商之間進行大量的身份認證和訪問控制管理，并同時了解云服務提供商的能力。傳統的PKI技術主要是以域為中心的身份認證方法，是在安全域的有限群體發放證書[4]，而云存儲系統屬于分布式系統，當基礎設施向基于云的解決方案遷移時，可選擇的云服務提供商較多，并且云存儲系統擁有不同需求的海量用戶，其具有動態性、跨域性等特點，為了滿足此類需求，我們應擴展云存儲用戶的身份信息，擴大PKI安全域的范圍，建立不同級別、不同層次、不同需求的用戶，有效利用根 CA 之間的交叉認證實現信任的傳遞，并允許松散的聯合身份管理，從而一定程度上滿足云存儲系統的跨域性特點。云存儲用戶的類型主要如下：

IaaS用戶類型：主要滿足開發人員和IT管理員，主要包括計費管理員，系統管理員，網絡工程師，備份管理員和防火墻管理員。

PaaS用戶類型：主要滿足管理員，開發人員，測試人員，終端用戶。

SaaS用戶類型：主要滿足快速周轉的大量企業用戶，以及第三方用以支持外包業務處理。企業用戶也會要求提供不同級別的權限（角色）用以滿足用戶工作職能的需要。

在PKI體系中有兩種類型的策略：

一是證書策略，用于管理證書的使用，包括證書的審查、私鑰的安全以及個人信息的提交方式；將此策略應用于典型的SPI三層云存儲服務模式中時，證書的審查針對不同類型的云存儲用戶設置成非常嚴格、嚴格和合格三個策略等級；私鑰的安全針對不同類型的云存儲用戶設置成軟硬件保護、硬件保護和軟件保護三個策略等級；而個人信息的提交方式針對不同類型的云存儲用戶設置成實名和非實名兩個策略等級，如表2所示：

表2 云存儲用戶類型和證書策略

二是證書操作管理規范CPS，主要包括在實踐中增強和支持安全策略的一些操作過程的詳細文檔。包括CA的建立和運作，證書的發行、接收和廢除，密鑰的產生、注冊，以及密鑰的存儲等。將此策略應用于云存儲服務模式中時，亦設置成非常嚴格、嚴格和合格三個等級，如表3所示：

表3 云存儲用戶類型和CPS

不同類型云存儲用戶的訪問權限主要分為讀、寫和執行，它們所獲取的具體權限如表4所示：

表4 云存儲用戶類型和訪問控制權限

由于同一層相同類型的云存儲用戶在不同的條件和環境下面，所需要的服務不盡相同，為了滿足云存儲用戶工作職能的需要，我們需要適當的調整證書策略和訪問控制權限，這時就需要特權訪問，需要設置特定權限用以滿足特定用戶的特定需求，從而達到靈活處理的目的。

4 結語

云生態系統是一個龐大的分布式系統，擁有海量的用戶，具有動態性、跨域性等特性，云存儲技術為典型的三層云存儲結構，每一層對應不同需求的用戶類型，當把傳統的PKI技術應用于云存儲領域時，應相應建立不同級別、不同層次、不同類型的用戶，努力擴展云存儲用戶的身份信息，擴大PKI安全域的適用范圍，使得PKI技術能夠普適于云存儲技術，從而使得兩種技術能夠有機結合，并最終有效推動云計算技術的發展和企業級云存儲的廣泛應用。

[1]商業伙伴咨詢機構.中國云計算生態系統白皮書（2014～2015）.2015.

[2]羅軍舟，金嘉暉，宋愛波，東方.云計算：體系架構與關鍵技術[J].通信學報，2011.

[3]李健，張笈.PKI在云計算中的應用研究[J].信息網絡安全，2011.

[4]（美）溫克勒，劉戈舟.劉戈舟譯.云計算安全架構、戰略、標準和運營[M].北京：機械工業出版社，2013.

[5]云安全聯盟.域12：身份和訪問控制管理指南V2.1.2010.

[6]張元茂，劉玓.PKI中RA的功能模型及一種實現方式[J].成都信息工程學院學報，2005.

[7]劉鏹.基于PKI技術的電子認證云平臺研究[J].信息安全與技術，2014.