基于PKI技术的多类型云存储用户身份认证应用研究

◆鲁恩铭

（湖南生物机电职业技术学院 湖南 410128）

基于PKI技术的多类型云存储用户身份认证应用研究

◆鲁恩铭

（湖南生物机电职业技术学院 湖南 410128）

本文论述了云存储与PKI的结构，分析了PKI技术应用于企业级云存储用户身份认证的必要性及存在的问题，并提出了基于PKI技术的多类型云存储用户身份认证解决方案，从而使得两种技术有机结合，进而推动云技术的广泛应用。

PKI技术；云存储；身份认证

0 引言

现代社会是一个信息大爆炸的社会，更是一个技术日新月异的社会，尤以互联网+、大数据、云计算、云平台为典型代表，它们正在引领着科技的发展、社会的变革和人们生活水平的提高。然而，目前企业级用户并未积极地使用云存储能力，究其原因是因为云生态系统并不成熟[1]，云安全问题已经成为云计算和云存储发展的瓶颈问题，用户身份认证和访问控制管理也就顺其自然地成为了首当其冲的问题，然而目前企业级云存储用户大多采取一次性的自定义解决方案，且没有一个可信的和可管理的非常权威的统一用户认证用以了解云服务提供商的能力、级别和层次，企业级云存储用户正在利用一个没有良好身份认证和访问控制策略的云存储服务，云存储用户的身份认证和访问控制能力成为云存储服务能否得到广泛应用的关键因素之一。因而研究云存储用户身份认证问题具有非常重要的现实意义和典型的应用价值。

1 云存储结构

云计算具有高伸缩性、位置无关性、低成本，它需建立可控的云计算安全监管体系[2]。云生态系统是一个庞大的分布式系统，拥有海量的用户，具有动态性、跨域性等特性[3]，它的云存储服务能力为典型的SPI（SaaS，PaaS，IaaS）云交互三层模式：

SaaS软件即服务：

云存储用户使用应用程序，软件服务供应商，以租赁的方式提供客户服务，普遍提供一组账号和密码。

PaaS平台即服务：

云存储用户使用主机操作应用程序，能掌控运作应用程序的环境，并拥有主机部分掌控权，平台通常是应用程序的基础架构。

IaaS基础架构即服务：

云存储用户使用基础计算资源，如处理能力、存储空间、网络组件或中间件。能掌控操作系统、存储空间、已部署的应用程序及网络组件。

每一层拥有不同类型的用户，每一层的用户都需要身份认证和访问控制的管理，如图1所示：

图1 SPI云交付模式和身份认证

2 PKI结构

PKI技术整合了认证中心、注册中心、资料库等基本组件，对数字证书的生命周期进行管理，主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术。它能提供实体的认证、数据的完整性和机密性3个核心服务，PKI主要包括认证中心CA、注册机构RA、证书库、证书管理、PKI策略、用户等，如图2所示：

图2 PKI技术

CA服务器：CA是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。CA用于创建、发布、撤销和管理数字证书，它通常为一个称为安全域的有限群体发放证书。创建证书的时候，CA系统首先获取用户的请求信息，其中包括用户公钥，CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。其他用户、应用程序或实体将使用CA的公钥对证书进行验证。具体功能描述如表1所示：

表1 CA的功能

RA服务器：RA是CA 功能的延伸。它负责申请者的登记、信息录入、初始鉴别、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。它在PKI体系结构中起承上启下的作用，一方面向CA转发证书的申请请求，另一方面转发CA颁发的数字证书和证书撤消列表。

证书库：证书库是发布证书的地方，提供证书的分发机制。一般采用LDAP目录访问协议，能够支持大量用户同时访问，对检索请求有较好的响应能力。

PKI策略：PKI安全策略建立和定义一个组织信息安全方面的指导方针，并定义密码系统使用的处理方法和原则。包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。

用户：亦称证书信任方，PKI为证书信任方提供了检查证书申请者身份以及与证书申请者进行安全数据交换的功能，用户通常扮演证书申请者和证书信任方的双重角色。

证书管理：根据CA服务器中的证书申请、证书颁发、证书更新、证书查询、证书撤销、证书归档、证书吊销等命令，更新证书库中的内容，完成相应的证书管理工作。

3 解决方案

目前企业级用户大多采取一次性的自定义解决方案，并不能适应云存储系统中每个层次的各类用户的需要和今后发展变化的需要，并且没有一个可信的和可管理的非常权威的统一用户认证用以了解云服务提供商的能力、级别和层次等，云服务提供商没有针对不同用户或不同工作职能的需要而提供不同的权限，我们应延伸云存储用户在云中的身份，用以满足各类云用户的需要，我们应寻求第三方权威机构来组织和管理云用户，我们急需一个可信的评估组织，以进行基于云的身份服务和访问管理，在云用户和云服务提供商之间进行大量的身份认证和访问控制管理，并同时了解云服务提供商的能力。传统的PKI技术主要是以域为中心的身份认证方法，是在安全域的有限群体发放证书[4]，而云存储系统属于分布式系统，当基础设施向基于云的解决方案迁移时，可选择的云服务提供商较多，并且云存储系统拥有不同需求的海量用户，其具有动态性、跨域性等特点，为了满足此类需求，我们应扩展云存储用户的身份信息，扩大PKI安全域的范围，建立不同级别、不同层次、不同需求的用户，有效利用根 CA 之间的交叉认证实现信任的传递，并允许松散的联合身份管理，从而一定程度上满足云存储系统的跨域性特点。云存储用户的类型主要如下：

IaaS用户类型：主要满足开发人员和IT管理员，主要包括计费管理员，系统管理员，网络工程师，备份管理员和防火墙管理员。

PaaS用户类型：主要满足管理员，开发人员，测试人员，终端用户。

SaaS用户类型：主要满足快速周转的大量企业用户，以及第三方用以支持外包业务处理。企业用户也会要求提供不同级别的权限（角色）用以满足用户工作职能的需要。

在PKI体系中有两种类型的策略：

一是证书策略，用于管理证书的使用，包括证书的审查、私钥的安全以及个人信息的提交方式；将此策略应用于典型的SPI三层云存储服务模式中时，证书的审查针对不同类型的云存储用户设置成非常严格、严格和合格三个策略等级；私钥的安全针对不同类型的云存储用户设置成软硬件保护、硬件保护和软件保护三个策略等级；而个人信息的提交方式针对不同类型的云存储用户设置成实名和非实名两个策略等级，如表2所示：

表2 云存储用户类型和证书策略

二是证书操作管理规范CPS，主要包括在实践中增强和支持安全策略的一些操作过程的详细文档。包括CA的建立和运作，证书的发行、接收和废除，密钥的产生、注册，以及密钥的存储等。将此策略应用于云存储服务模式中时，亦设置成非常严格、严格和合格三个等级，如表3所示：

表3 云存储用户类型和CPS

不同类型云存储用户的访问权限主要分为读、写和执行，它们所获取的具体权限如表4所示：

表4 云存储用户类型和访问控制权限

由于同一层相同类型的云存储用户在不同的条件和环境下面，所需要的服务不尽相同，为了满足云存储用户工作职能的需要，我们需要适当的调整证书策略和访问控制权限，这时就需要特权访问，需要设置特定权限用以满足特定用户的特定需求，从而达到灵活处理的目的。

4 结语

云生态系统是一个庞大的分布式系统，拥有海量的用户，具有动态性、跨域性等特性，云存储技术为典型的三层云存储结构，每一层对应不同需求的用户类型，当把传统的PKI技术应用于云存储领域时，应相应建立不同级别、不同层次、不同类型的用户，努力扩展云存储用户的身份信息，扩大PKI安全域的适用范围，使得PKI技术能够普适于云存储技术，从而使得两种技术能够有机结合，并最终有效推动云计算技术的发展和企业级云存储的广泛应用。

[1]商业伙伴咨询机构.中国云计算生态系统白皮书（2014～2015）.2015.

[2]罗军舟，金嘉晖，宋爱波，东方.云计算：体系架构与关键技术[J].通信学报，2011.

[3]李健，张笈.PKI在云计算中的应用研究[J].信息网络安全，2011.

[4]（美）温克勒，刘戈舟.刘戈舟译.云计算安全架构、战略、标准和运营[M].北京：机械工业出版社，2013.

[5]云安全联盟.域12：身份和访问控制管理指南V2.1.2010.

[6]张元茂，刘玓.PKI中RA的功能模型及一种实现方式[J].成都信息工程学院学报，2005.

[7]刘镪.基于PKI技术的电子认证云平台研究[J].信息安全与技术，2014.