基于PKI的云计算认证研究与应用

摘要: 本文在对PKI技术、云计算的概念、标准、应用实施等情况了解、研究的基础上，分析了云安全对PKI技术的需求，结合云计算网络框架的特点，设计了一个基于pki技术的云计算安全认证系统，并且详细的阐述了设计思想和各个部分的具体功能。

1.PKI技术

公开密钥基础设施(Public Key Infrastructure，PKI)是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。PKI是一种遵循标准的利用公钥加密技术为电子商务、电子政务的开展提供一整套安全的基础设施。它是保障大型开放式网络环境下网络和信息安全的最可行、最有效的措施。它基于Internet保密性应用要求，有一个真正可靠、稳定、高性能、安全、互操作性强、完全支持交叉认证的系统。PKI的本质就是实现了大规模网络中的公钥分发问题，建立了大规模网络中的信任基础。概括地说，PKI是创建、管理、存储、分发和撤消基于公钥加密的公钥证书所需要的一套硬件、软件、策略和过程的集合。

2.云计算

云计算是由分布式计算、并行处理、网格计算发展来的，是一种新兴的商业计算模型。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，随时扩展，按需使用，按使用付费。现有的云计算服务模式主要有基础设施即服务(IaaS )、平台即服务(PaaS)和软件即服务(SaaS )，此外还有硬件即服务(Haas)等。这就意味着云服务可以是IT和软件、互联网相关的，也可以是任意其他的服务。

3.云安全对PKI技术的需求

（1）用户把数据交给云服务商,具有数据优先访问权的并不是用户，而是云服务商，云服务商所享有的超级用户权限如果监管不严，就不能排除用户数据被泄露出去或非法操作的可能。这就需要引入权威的第三方认证。

（2）云计算是一个庞大的分布式系统，拥有海量的用户，如果云服务商对登记和验证程序管理不严，就会给犯罪分子可乘之机，导致云服务的滥用和云系统的安全隐患。这就要求云服务商需要有严格的注册制度和身份认证制度，不管用户在哪里登陆，云服务商和应用程序都需要知道用户身份，只有通过认证的授权用户才能访问云中相应的数据。

（3）云计算中数据在存储和传输过程中时刻面临被泄露或篡改的风险。因此，云服务商向用户提供服务时应该以安全的交互过程进行，构建一个信息安全传输平台，不管是跨公共Internet还是从办公室访问云，都需要确保数据传输过程中的保密性和完整性，使云用户可以方便的利用加密技术、数字签名技术，解决数据传输安全的问题。

（4）云计算的未来发展方向是跨云服务，用户不会把自己所需的服务全部选择一个云服务商来完成。例如一个企业把自己的数据交给云服务商A保管，而处理这些数据的软件系统却使用的是云服务商B提供的，而处理后得到的数据仍要交给云服务商A保管。这样如何相互认证彼此的身份相互调用数据同样需要强大的第三方认证。

4.总体设计

4.1云计算环境下PKI认证策略的选择

选择一种合适的认证策略是实现云计算安全传输的前提保障，在分析了各种PKI信任模型的优缺点后，结合云计算网络框架的特点，提出了基于桥接CA的PKI信任模型。不同于分布式结构的PKI，桥CA不直接向用户发放证书，也不同于严格层次结构的PKI，桥CA不作为一个可信任点供PKI中的用户使用。桥CA与不同的用户群体建立对等可信任关系，允许用户保持原有的可信任点，这些关系被结合形成“信任桥”，使得来自不同用户群体的用户通过指定信任级别的桥CA相互作用。

桥CA模型的优点：(1)现实性强 (2)证书路径较易发现 (3)证书路径较短（4）扩展性强

4.2系统各部分的设计思想和功能介绍

本系统框架是基于“云”中大规模认证和安全传输的需求设计的，在保留PKI系统和云计算平台基本架构的基础上，将两个相对独立的系统进行有机组合。

系统的网络拓扑图

1.根CA服务器(RCA)：是各个认证系统互相交叉认证的媒介。它的主要功能是制定CA系统的总体政策；管理CA证书和CA证书注销列表；与其他CA系统进行交叉认证；签发功能CA的证书。

2．功能CA服务器：本系统中将功能CA服务器分给两个服务器完成它的工作，一个作用是保持离线方式进行签名，另一个功能是公布信息以及完成CA其它的在线服务，但不包括CA签名。这样既保证了安全又提高了服务效率。

3.RA服务器:在本系统中，由于各个PKI域中都设立了功能RA，所以许多本应由认证中心RA完成的工作都由功能RA完成了。RA服务器的职责是对功能RA签名的用户证书申请信息进行二次审核，通过后提交给功能CA给其签发证书。同时向PKI域中FLDAP服务器转发签发的数字证书和CRL。

4．LDAP服务器：为了满足可靠性和一些大型应用系统的性能要求，本系统采用双库热备份机制，LDAP服务器在认证中心CA中，功能LDAP在各个PKI域中，两库间通过VPN高速信道进行连接。功能CA对LDAP的任何修改操作可通过服务器的目录复制功能由LDAP实时的反应到功能LDAP中。两库如有一方发生故障，仍可以保持证书库的正常服务。

5.OCSP服务器：在OCSP响应应用系统以OCSP协议查询证书状态的请求，例如确定证书是否是本CA签发、是否已被撤销、并将结果返回给应用系统。

6.功能RA(FRA)：把云计算平台的服务目录和功能RA整合到一台服务器中既可以响应用户的云服务请求和操作，又方便在用户使用云服务之前对其进行身份信息的审核与认证。作为分注册中心负责录入本PKI域内用户的证书申请信息，只有通过功能RA的审核才能将其交给认证中心RA，经审核后功能CA才能给其签发证书。

7.功能LDAP服务器：对外本PKI域中的用户证书，供用户查询／下载；对外本PKI域中用户证书注销列表库(CRL)。

结语：

云计算发展迅速，前景广阔，蕴含丰富商机。而安全问题始终是广大用户权衡是否使用云计算服务的重要指标，是云计算健康可持续发展的基础。本文通过对PKI技术和云计算技术的研究和分析，利用PKI中的桥接信任模型，把云计算平台的服务目录和PKI的功能RA整合到一台服务器中，设计出了一个适合于云计算网络的安全认证系统。较好的解决了云计算所面临的身份认证、数据安全传输等问题。同时在功能CA服务器、RA服务器和LDAP服务器的设置和功能上做了一定的改进，有效的提高了整个网络安全控制的工作效率。

但在本设计中也存在一些缺陷:

（1）过多的双服务器在实际应用中会增加云服务商的成本，也就提高了用户的使用费用。

（2）同一个用户可能会申请多个不同的PKI域的证书，这样增加了整个系统证书的管理难度。

参考文献

[1]谢冬青，冷健.《PKI原理与技术》.北京:清华大学出版社.2004

[2] 王庆波等.《云计算实践之道》.北京：电子工业出版社.2011

[3]邓劲生，徐捷，王鸿谷.认证中心构建的关键技术及实现.计算机工程.2005

[4]王鹏.走近云计算.北京:人民邮电出版社.2009

[5]李胜勇等.PKI技术及其存在问题的分析.微计算机信息.2005