杰赛威邦云平台的统一用户管理和身份认证服务架构

【摘要】主要总结了云平台中用户管理和身份认证的需求，并在此基础上阐述威邦云用户管理和身份认证组件的设计目标，详细说明其组件的架构，最后还将威邦云的架构与其他平台进行了优势比较。

【关键词】威邦 用户管理 身份认证 服务架构

1 引言

自2006年亚马逊（Amazon）推出弹性计算云（EC2，Elastic Compute Cloud）服务以来，世界各国政府和企业纷纷投入云计算领域。国内的企业也纷纷发展自身的云计算平台，鉴于云计算平台的复杂性，国内企业较多采用国外的开源平台进行改造，从而快速地推出自有平台。当前较为流行的开源云计算平台有Eucalyptus、OpenStack及CloudStack等[1]，这些开源平台各有所长，但各大平台的整体架构基本一致，如图1所示，这一架构源于Amazon的实践。

本文主要探究云平台中用户管理和身份认证问题，总结了在威邦云实施过程中客户对于用户管理、身份认证、登录控制及安全方面的需求，以及威邦云如何在这些方面提供更丰富完整的方案。

2 云平台中用户管理和身份认证设计目标

任何信息系统都需要有一套完整的用户管理功能，大多数情况下，它是以系统的子模块形式存在的，与系统融合在一起，系统基于它实现用户管理、权限管理等[2]。这种设计在普通的信息系统（如ERP、OA等业务系统）中可以很好的满足需求，因为在这一类系统中，用户使用的客户端一般包含客户端软件或者更为流行的Web浏览器。对于这些客户端，用户的身份都是保存在一个中心服务端，客户端发起登录请求到服务端进行认证。通过这种方式，服务端可以方便地控制用户的权限，但是在云平台中，这种用户管理和认证方式无法很好地满足需求，主要原因在于云平台提供的服务是虚拟机服务，给用户的服务就是一台安装有完整操作系统的虚拟机实例。然而简单地将用户的身份信息存储在一个服务器是远远不够的，如何能够对用户访问虚拟机进行控制、对虚拟机进行统一的软件安装等，都是符合政府和企业实际业务需要的切实需求。

本节首先总结了云平台中客户常见的需求，然后在此基础之上，提出了用户管理和身份认证设计的目标。

2.1 用户管理和身份认证的需求

在云平台中用户管理和身份认证的需求可以总结如下：

（1）统一的用户管理和身份认证中心，用户管理和身份认证以服务形式提供，提供标准接口；

（2）支持多种认证方式，比如AD、数据库及LDAP等，且支持混合使用不同的认证方式；

（3）支持虚拟机实例的访问控制，如Windows的登录控制；

（4）支持不同客户端之间的统一登录，即一次登录，到处使用；

（5）支持不同安全级别的用户管理服务。

2.2 用户管理和身份认证设计目标

威邦云团队在用户管理的组件设计上始终以满足用户的需求为核心，遵循组件化设计原则，提供独立部署的统一认证中心，总体设计目标如下：

（1）统一用户管理和认证接口层，提供可独立部署的认证中心

威邦云的基本设计原则即是将用户管理和身份认证作为独立服务抽象出来，服务包含一套完整的针对用户、资源操作的API（应用程序访问接口）。服务在整个平台中作为独立组件部署，作为整个平台的认证中心，以供不同的组件来访问。

（2）支持不同的通信协议

认证中心的服务可支持不同的通信协议，比如基于Socket实现的平台自有协议、基于SSL的安全自有协议以及基于HTTP的Web Service、LDAP（Lightweight Directory Access Protocol，轻型目录访问协议）等，协议的选择视用户的需要决定。

（3）提供丰富的认证实现，比如AD、数据库等，不同的认证方式可灵活切换

威邦云的用户管理和认证接口层提供的是一套标准服务，而服务具体的实现则有不同选择。平台中可选的认证实现有AD域、数据库、LDAP等，可根据用户的生产环境及业务场景来选择，但至少需要选一种实现。

（4）虚拟机的访问控制策略可定制，即用户可选择是否进行登录控制、登录方式等

针对很多客户对于机器的访问控制需求，威邦云提供了支持虚拟机登录控制的认证实现，比如AD域方式下，系统中提供的用户即可作为虚拟机的登录用户，可用平台来动态管理用户的登录，真正做到平台用户控制的一体化。

（5）支持不同客户端之间的统一登录

认证中心提供统一登录服务（SSO），支持在不同客户端之间做到一次登录，到处访问的效果。平台架构对统一登录服务进行抽象，在提供自有协议的统一登录的基础上，同时提供到开发协议（如OAUTH、SAML等）的转换，只需针对具体的协议开发一套适配器实现即可。

（6）根据用户需要，选择不同的安全方案，可选择的方案有口令认证（含简单和混合方式）、基于令牌、USB Key的数字签名方式或数字证书方式等。

用户对系统的安全性要求是多层次的，基于此，平台提供了不同安全级别的认证实现。认证的方式可归结为3类：用户知道什么、用户拥有什么及用户是什么[3]，因此平台中基于这三种方式分别提供了口令认证、数字签名方式以及数字证书方式。口令认证即用户名和密码方式，平台提供简单的口令密码方式和单行散列结合随机数的混合方式；数字签名支持令牌或USB Key方式；数字证书采用X.509标准认证方式。其中，口令认证方式安全级别较低，后两种安全级别较高。

3 威邦云用户管理和身份认证架构

3.1 架构说明

威邦云用户管理和身份认证组件的整体架构如图2所示，自上至下分别是客户端、认证中心、用户管理和认证实现层。

（1）认证中心

认证中心是整个组件的核心，对外提供标准接口服务，支持不同的通信协议和认证方式。认证中心分为通信接口层和身份认证接口层。

通信接口层针对不同的协议需求进行抽象，客户端可以灵活地选择其中一种或多种通信协议。

身份认证接口层包含认证层接口和用户管理层接口。

认证层接口是对身份认证接口的抽象，可以基于不同的安全需求分别实现具体的认证方式，系统提供的认证方式包括口令、数字签名以及数字证书三种。

口令方式包含简单口令加密码形式和利用单向哈希加随机数的混合方式，简单方式的实现较为简单，但无法避免重放攻击，安全性也较差，对于安全性要求不是特别高的系统可以采取此方式；混合式则是口令的改良版本，此方式下服务器会首先发送一个随机数给客户端，客户端将随机数与口令的散列值连接或异或后发送给服务端进行验证，可有效避免重放攻击。当然鉴于用户记忆口令的长度及随机性不好等问题，这种方式也只能是使用于安全性要求不高的场合。

数字签名方式的认证过程是服务端向用户发送一个随机数，客户端用其私钥对随机数签名，服务端通过用户的公钥验证后比较随机数，而用户的私钥可以存储于令牌或者USB Key中。

数字证书方式采用X.509标准的验证方式，此处不再赘述。

总体来说，三种方式中，口令的安全性最低，数字签名方式较高，数字证书最高，可根据用户的具体安全需要采取不同的方案。

用户管理接口层主要基于RBAC（基于角色访问控制）模型，对用户管理功能进行抽象，提供针对用户信息查询更改操作的标准接口。

（2）用户管理和身份认证实现层

用户管理和身份认证实现层是针对认证中心中认证接口和用户管理接口的具体实现。在认证中心中的接口层只提供整个服务的抽象，至于用户数据如何存取、使用什么认证方法则由具体的实现层决定，这样便于系统更好的满足用户的不同需求。

在该层中，每一种实现方案都需要提供完整的用户管理和身份认证实现，考虑到认证的方式是通用的，因此在本层中提供了一组通用认证实现，而具体的某种实现方式只需要添加一个认证适配器即可使用通用认证，也可以重写具体的认证实现；而具体的用户管理实现则由每种方式具体实现。

对于某些用户，只需要基本的用户信息管理，比如管理用户的信息、Web管理中的登录等，这时可以使用系统提供的数据库方式；而对于另一些用户，需要用户在平台管理界面中动态为虚拟机添加本地用户，以达到整个平台中所有资源统一用户的效果，这种情况下则可以使用AD域的方式。

3.2 架构分析

威邦云平台的用户管理和身份认证的架构突出的是其安全性和可扩展性，威邦云与其他平台（主要是成熟的开源产品如Eucalyptus等）的特性比较如表1所示。威邦云在安全性设计方面，引入了多种安全级别的实现方案，这对于服务政府和军工等系统安全性需求较高的组织结构有独特的优势。在架构的可扩展性方面，认证中心的设计将用户管理和身份认证服务进行业务层次的抽象，与具体的实现分离，极大提高了系统的扩展性，对于新增一种认证方式显得尤为简单。最后平台架构提供了一些个性化的支持，比如客户端多协议、虚拟机登录控制等，这些能满足很多不同的应用场景[4-5]。

4 结论

本文首先总结了实际应用中用户的需求，然后从最大化满足用户需求的角度阐述了威邦云平台的用户管理和身份认证的设计目标，最后对威邦云用户管理和身份认证的架构进行详细的介绍，并在此基础上对平台的架构与业界流行的其他云平台进行了优势对比。威邦云的用户管理和身份认证以安全性和可扩展性为设计理念，较其他平台而言，提供了不同级别的安全方案，能较好满足用户的安全性需求。同时，平台采用了接口与实现分离的原则，为平台提供了良好的可扩展性，以不断适应用户需求的变化。

参考文献：

[1] Research on Cloud Platform Architecture of Digital Library based on Cloud Computing[C]. 2012 IEEE International Conference on Engineering Technology and Economic Management（ICETEM 2012）.

[2] Ramanathan Venkatraman，Sitalakshmi Venkatraman. Towards Unified User Management for Achieving Cloud Adoption[C]. 2012 International Conference on Industrial and Intelligent Information（ICIII 2012）.

[3] 王凤英. 访问控制原理与实践[M]. 北京： 北京邮电大学出版社， 2012.

[4] 房晶，吴昊，白松林. 云计算安全研究综述[J]. 电信科学， 2011（4）.

[5] Benson T， Sahu S， Akella A， et al. A First Look at Problems in the Cloud[A]. HotCloud '10， 2010 USENIX Federated Conferences Week[C]. 2010.