■文/迟文德



云计算环境中用户身份认证及访问控制的探索与实践

■文/迟文德

摘 要：本文在云计算技术广泛应用的背景下，结合在广播媒体的应用场景和实践经验，针对云安全服务体系中的用户身份认证和访问控制等安全机制进行分析，思考并总结出了一些解决思路与建设构想。

关键词：云计算；信息安全；身份认证；访问控制

1.广播媒体信息化建设的现状和趋势

随着云计算技术、大数据的迅猛发展，不仅影响了整个互联网产业，同时也对广播媒体行业带来了前所未有的巨大冲击和深刻变革。在这场新技术革命的推动力的作用下，以云计算为核心概念和基础架构，融合了分布式计算、网络存储、多媒体技术、虚拟化技术、负载均衡技术等，正在形成一整套新的广播云平台服务体系和运行模式［1］。

云计算的应用场景也迅速扩展到新闻节目采集、音频素材传输、音频稿件编辑、媒体资源管理、节目内容审核、公文合同流转等多个业务系统和工作流程当中。各个业务系统不再像过去那样单一、封闭运作，而是逐渐转向多层次、多维度、立体化的沟通协作与信息交互，正在逐步形成全台网络信息一体化的新格局。

此外，随着4G、WIFI等无线通信技术的广泛使用，以笔记本电脑、智能手机等移动终端为信息载体的新媒体技术逐渐成为广播媒体的新生力量。

所有这些发展趋势都为传统广播媒体的生存带来了极大的挑战，同时也为其在信息化浪潮中寻求创新和发展空间带来了机遇。

2.云平台安全体系中存在的问题及对策

正是由于云计算平台的诸多优点，搭建在其上的应用系统越来越多，云终端用户数量也越来越多。同时，由于每增加一个系统都要配置一套相应的用户访问安全机制，用户账户及其访问权限的管理与控制也随之变得越来越复杂。如果不解决由此带来的安全隐患，将会使得广播云服务平台的应用扩展受到很大限制，最终会成为制约广播媒体信息化发展的瓶颈。

首先，由于云环境下人员的流动性加大，固有的组织架构被打破，人员之间的角色分工不再是一成不变的。异地办公成为许多广播媒体从业者的工作常态，他们的工作性质往往具有跨系统、跨地域，跨网络特征［2］。访问者的身份验证和账户管理成为云平台安全体系中亟待解决的关键。

其次，由于云环境下网络资源的分布性、动态性和虚拟化特性，随时可能由于设备性能负载、存储空间和网络带宽等因素而发生数据迁移，用户无法确切得知他们的个人数据及访问的应用系统资源被放到了哪里。并且，目前保护个人虚拟资产的法律法规并不健全，一旦造成用户重要数据泄露将极大地削弱广播云平台的公信力和影响力。云服务平台必须设计可靠的访问规则和控制措施来保障其提供的服务是安全的和可信的。

因此，建立一套统一、完备且高效的用户身份认证与访问控制机制成为当前广播云服务平台安全体系建设的一项迫切要求。在云安全服务体系架构设计当中，身份认证和访问控制是重要的两个方面，既相对独立又相互关联，必须在云平台建设的整个过程和运行周期内综合考虑。

图1　云安全服务体系中的身份认证与访问控制

3.云安全服务体系中的身份认证机制

目前，在广播云平台中往往已经部署了很多在线应用系统，如新闻采编系统、媒资管理系统、数字音频内容版权系统、即时通讯系统等，而其中的用户账号信息却处于分离状态，分散于各个业务系统内部。而在以云计算为核心的信息系统中，就是要建立统一的用户信息资源管理中心，通过统一的注册、登记、查询和验证方式，实现用户账户信息统一管理及身份认证。

所谓身份认证（authentication），就是判断一个用户是否确如他所声称的身份的处理过程。最常用的身份认证方式是系统通过核对用户输入的用户名称和口令是否与系统中该用户已登记的相应用户名称和口令完全一致，来判断该用户身份的真实性与合法性。复杂一些的身份认证方式则可能采用某种加密算法和通信协议，需要认证主体提供更多的身份信息（如指纹、特征码等）来证明其身份，如kerberes。［3］根据不同的应用场景，广播云平台可以考虑采取以下几种身份认证模式。

3.1USB-KEY+数字证书

在云环境下，网络间谍软件、病毒木马、恶意网站等安全威胁日益严重，传统的基于用户名及口令的认证方式极容易受到攻击和泄露。USBKEY属于智能卡（Smart Card）设备，是一种用户随身携带的用于鉴别该用户主体身份的电子器件。智能卡内部装有IC集成电路和微处理器，可通过与用户计算机终端的USB接口连接进行数据读写。为防止USB-KEY遗失或被窃，还可以要求用户登录时使用身份识别码（PIN码）进行双因素验证。数字证书（Digital Certificate）是标志用户身份信息的一系列加密数据，它提供了一种在网络上验证实体身份的方式，由一个公开独立的权威机构——证书授权（Certificate Authority，CA）中心发行，其作用类似于日常生活中的驾驶执照或身份证。数字证书通常包含公钥、证书序列号、证书有效期以及CA的数字签名。［4］通过USB-KEY可以生成并存储由CA中心下发的包含其身份信息的数字证书。由于USB-KEY芯片具有的物理特性，保证了数字证书的安全读写。

当发送加密消息的实体（个人、公司或代表它们的应用程序服务器）向CA提交验证申请后，CA向其发放一个包含了申请者公开密钥和它的身份信息的加密数字证书，USB-KEY内置解密程序使用CA的公开密钥来解开附接在消息上的数字证书，并验证该证书确实由CA发放，从而发送应答消息以响应该请求。

数字证书的通用格式符合ITUT X.509国际标准，采用USB-KEY+数字证书保证了安全的四大要素，即：

信息传输的保密性；

信息交互双方身份的确定性；

身份信息不可否认（不可抵赖）性；

数据的不可修改（防篡改）性。

目前，这种应用模式主要在新闻记者外出采访场合或某些地方记者站回传稿件资料时使用较多。

3.2动态口令卡（动态令牌）+ Radius认证

动态口令卡又称为动态令牌，基于时间同步算法，也是一种由用户随身携带的电子密钥。动态令牌口令由令牌内置晶振时钟和种子密钥通过伪随机算法［5］生成，一般每分钟改变一次，而且是一次性口令密码（即密码使用后立即失效，不能重复使用）。与USBKEY证书相比，其优势主要在于：

无需下载设备驱动程序，用户无须记忆口令密码，使用非常方便；

无需与计算机终端进行物理连接和数据连接，不易损坏；

动态口令随时间变化，不易被破解或泄露，安全性较高。

图2　动态令牌+Radius认证

Radius是一种最常见的C/S方式UDP标准认证协议，主要用来对用户进行认证、授权和计账等服务（即AAA，Authentication，Authorization and Accounting）。基于Radius协议，可以实现用户账户与动态令牌ID的捆绑，并在客户端和应用服务间建立安全连接（PAP）和握手服务（CHAP）。

另外，最新研制开发的一种可用于智能手机客户端的动态令牌，通过读取Radius报文中的用户手机号码等属性字段可以和短信认证方式相结合实现双因素认证。

目前，这种方式主要用于WEB应用资源的远程接入用户的访问。

3.3LDAP（或AD）+SSL/TLS认证

LDAP（Lightweight Directory Access Protocal）即轻量级目录访问协议［6］，它以树状结构存储用户身份信息，通过条目（ENTRY）、OU（Organization Unit）等属性来表示某机构内部组织结构，如部门、人员等。同时OU还可以有子OU，用来表示更为细致的分类。AD（Active Directory）支持LDAP协议，同时提供用户账户的编目、分类、存取以及对账户的增、删、查、改等操作，截取其配置过程如图3所示。

图3　LDAP认证配置截图

通过LDAP协议，可以实现整个用户根目录、目录子树、属性集、符合特定过滤条件的用户子集（用户组）或单个特定用户作为控制对象进行身份认证。

AD提供基于SSL/TLS［7］的安全通道服务，同时实现客户端和服务器端身份的双向验证。SSL/TLS利用数据加密技术，如消息摘要算法、对称加密算法、非对称加密算法、数字签名算法等，防止认证数据在传输过程中被截取或窃听，该技术被广泛用于基于WEB浏览器与服务器的用户身份认证。

结合即时通讯系统功能，通过这种方式可以实现全台员工账户信息同步和数据一致性。并且由于LDAP协议的跨平台优势和AD组织架构的安全通用性，可以最大程度地实现不同广播应用系统用户账户信息的整合与统一认证管理。

3.4合认证

对于安全性要求较高的应用场景，也可以采纳多种认证相结合的方式，要求多种认证方式同时满足或选择其中一种作为主认证方式，其余为辅认证方式。

图4　多种认证方式组合

4.云安全服务体系中的访问控制机制

身份认证通常与访问控制（anthorization）逻辑关联，访问控制是指一旦用户的身份通过系统认证以后，云系统就要根据该用户属性特征及所属组织结构来制定相应的访问控制规则列表，以授权该用户可以访问哪些资源以及以何种方式操作（读、写、存储、下载等）的问题。常见的访问控制策略有自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）［8］。

目前，云系统较多采用基于RBAC进行访问控制，但由于广播云平台往往用户组织关系及类型变化繁多，而传统RBAC主要针对的是单个客体，因此需要扩展RBAC，主要涉及到用户资源空间和相应用户身份属性间的角色映射关系。可依据用户属性自动映射到指定用户（组），并通过与该用户（组）所绑定的角色获得对指定网络资源的访问授权。对于角色定义需要遵循以下几个原则：

4.1任务角色分离原则

即防止系统中相互冲突的权限功能被分配给同一用户。

4.2关联最小原则

即应尽量减少不同用户组（非继承关系）之间的访问权限交集，使得资源利用率达到最大化。

4.3策略继承原则

即下层用户（组）自动继承上层用户组的组属性和角色定义，下层用户（组）是上层用户组的权限子集。

4.4不可见原则

即不在用户角色访问权限范围内的资源对该用户应是不可见的。

云系统管理员可根据角色定义及URL资源、C/S资源、IP资源等网络资源类型，为不同用户（组）分配不同粗细粒度的访问权限及控制规则。

5.总结

为了更快适应当前云计算发展趋势，必须加快广播云平台安全基础体系建设步伐，加强并完善面向广播新闻媒体业者的统一身份认证及访问控制安全机制。这是一项长期而艰巨的系统工程，涉及多个技术领域，如密码学、虚拟化技术、信息安全技术等。

必须将分散于各个应用系统的用户账户资源集中管理起来，建立统一而独立于用户应用系统的集注册、身份鉴定和证书管理等于一体的CA认证中心，才能制定面向全局应用的云安全策略。同样，只有将用户资源与网络服务资源建立角色关联并制定相应的访问控制规则，才能充分发挥广播云服务平台的资源共享机能和灵活机动特性。

参考文献

［1］ 罗军舟，金嘉晖，宋爱波等.云计算体系架构与关键技术［J］.通信学报，2011，32（7）：3-18.

［2］ 沈传宝.浅谈广电行业信息安全建设.现代电视技术，2010（3）：118-119.

［3］ 高传善，毛迪林，曹袖.数据通信与计算机网络（第2版）.北京：高等教育出版社，2004（12）：522-531.

［4］白妙青.云计算技术在广播电视网中的应用［J］.现代电子技术，2013，36（11）：142-144.

［5］ 电力信息系统统一身份认证体系的建设研究［J］.信息网络安全，2010 （01）：32-35.

［6］ 田燕，张新刚，梁晶晶等.基于身份认证和访问控制的云安全管理平台［J］.测控技术，2013，32（2）：97-99.

［7］ 刘东霖.SSL VPN 技术研究及仿真分析［J］.现代电子技术，2013，36 （13）：102-104.

［8］ 谭武征.云安全存储解决方案［J］.信息安全与通信保密，2012（11）：147-149.

（作者单位：中央人民广播电台技术管理中心）

中图分类号：TP37

文献标识码：A