云計算身份管理標(biāo)準(zhǔn)有望加快云的應(yīng)用

　　云計算身份管理標(biāo)準(zhǔn)小組宣稱將確保在云供應(yīng)商和他們的客戶之間開放和安全的身份交換。

　　為建立云計算身份管理標(biāo)準(zhǔn)付諸最大努力之一的是InCommon，其參與者包括116個以上的高等教育機(jī)構(gòu)、41個服務(wù)提供商、6個聯(lián)邦機(jī)構(gòu)和非贏利團(tuán)體。該小組為身份提供者(如高等教育機(jī)構(gòu))和云服務(wù)供應(yīng)商之間的安全、隱私和數(shù)據(jù)交換達(dá)成共同的定義和準(zhǔn)則，以驗證雙方承諾的身份并善意行事。

　　然后這些信息將封裝在包含證書的元數(shù)據(jù)中，以允許身份提供商和服務(wù)提供商共享信息。InCommon目前使用兩個社區(qū)開發(fā)的產(chǎn)品用于交換信息：安全斷言標(biāo)記語言(Security Assertion Markup Language, SAML)和Shibboleth。SAML基于XML標(biāo)準(zhǔn)，用于組織之間交換身份信息。Shibboleth是基于Web的單點登錄服務(wù)，支持遠(yuǎn)程服務(wù)請求的認(rèn)證。

　　馬薩諸塞州眾議院和參議院臨時首席信息官、ING Americas美國金融服務(wù)部門前任部門級首席信息官Ed Bell預(yù)言，確保身份管理的安全和互操作性的標(biāo)準(zhǔn)將受到歡迎。他說：“在內(nèi)部，標(biāo)準(zhǔn)已經(jīng)變得如此強(qiáng)大，它是任何CIO的核心部分。他們將在外部采納[用于身份管理的]標(biāo)準(zhǔn)。”

　　在可信任云計算中

　　另一個標(biāo)準(zhǔn)組織，稱為可信任云端運算計劃(Trusted Cloud Initiative, TCI)，旨在幫助云提供商開發(fā)業(yè)界建議的、安全的和可互操作的解決方案。TCI聲稱自己是一個由Novell公司和云安全聯(lián)盟(Cloud Security Alliance, CSA)成立的廠商中立的運算計劃。TCI希望在今年年底發(fā)布業(yè)界首個云安全證書。

　　ING Americas IT戰(zhàn)略與企業(yè)架構(gòu)高級副總裁、CSA董事會成員Alan Boehme說：“如何管理身份信息，或者在云端，或者和云聯(lián)合，這是企業(yè)采用云服務(wù)的重大障礙。通過建立一個共識的安全參考指南和認(rèn)證路線圖……我們期望加快云應(yīng)用?！?/P>

　　關(guān)于在云環(huán)境中配置身份、認(rèn)證、聯(lián)盟和授權(quán)，CSA最近表示，TCI將建立在云計算上的最佳實踐準(zhǔn)則。這些建議被極大地調(diào)整以符合開放的標(biāo)準(zhǔn)。例如，CSA建議：使用云供應(yīng)商提供的標(biāo)準(zhǔn)連接器，最好是建立在服務(wù)配置標(biāo)記語言(Service Provisioning Markup Language, SPML)模式之上。如果云提供商目前不提供SPML，CSA建議企業(yè)提出要求。

　　評估軟件即服務(wù)(Software as a Service, SaaS)和平臺即服務(wù)(Platform as a Service, PaaS)供應(yīng)商所使用的專有的認(rèn)證模式，例如，共享加密的cookie。一般應(yīng)優(yōu)先使用開放標(biāo)準(zhǔn)。

　　確保應(yīng)用程序的設(shè)計支持SAML或WS-Federation格式，WS-Federation格式詳細(xì)說明了允許不同安全領(lǐng)域代理身份、屬性和認(rèn)證的信息。

　　檢查由云供應(yīng)商實現(xiàn)的任何本地認(rèn)證服務(wù)與開放認(rèn)證(Open Authentication, OATH)實現(xiàn)兼容，OATH是設(shè)備、平臺和應(yīng)用廠商的聯(lián)合，希望促進(jìn)跨網(wǎng)絡(luò)、設(shè)備和應(yīng)用的強(qiáng)認(rèn)證的使用。云供應(yīng)商應(yīng)該也可以委托認(rèn)證給企業(yè)，例如，通過SAML。

　　超越周邊的保護(hù)

　　但另一個稱為杰里科(Jericho)論壇的小組提出了一個云架構(gòu)，該架構(gòu)在設(shè)計中跨所有云層(基礎(chǔ)設(shè)施、平臺、軟件、流程)使用安全和身份管理，它被稱為面向協(xié)作構(gòu)架(collaboration-oriented architecture, COA)。這個概念涉及一個計算機(jī)系統(tǒng)，該系統(tǒng)被設(shè)計使用超越“周邊”或控制區(qū)域的第三方服務(wù)。COA以標(biāo)準(zhǔn)化的形式組織機(jī)構(gòu)、個人和系統(tǒng)的身份識別、認(rèn)證和授權(quán)證書，實現(xiàn)了跨云平臺的有效性。

　　COA基于面向服務(wù)架構(gòu)(service-oriented architecture, SOA)，而SOA是用于在基于Web的環(huán)境中集成分布廣泛、涉及多個不同平臺的應(yīng)用。SOA不使用具體的應(yīng)用程序編程接口，它根據(jù)協(xié)議和功能(包括XML)定義接口。SOA的目標(biāo)是允許用戶“編排”相當(dāng)大的功能塊以形成專門的應(yīng)用，該應(yīng)用幾乎完全從現(xiàn)有的軟件服務(wù)進(jìn)行構(gòu)建。

　　根據(jù)Burton Group Inc.分析師，鑒于云空間處于初始階段和不同的標(biāo)準(zhǔn)化努力，并不期待所有這些標(biāo)準(zhǔn)能夠生存下來或取得成果。特別是SPML，因為它的復(fù)雜性和置于連接上的性能負(fù)擔(dān)，已經(jīng)陷入困境。OASIS配置服務(wù)技術(shù)委員會曾試圖在第2版改善SPML，但其成員未能達(dá)成一個標(biāo)準(zhǔn)的用戶模式。

　　另一個配置選項可能是使用“拉”模式，該模式使用基于輕量目錄訪問協(xié)議(Lightweight Directory Access Protocol, LDAP)、由虛擬目錄支持的目錄服務(wù)。值得注意的是，Salesforce.com公司和谷歌公司都提供了一個通過LDAP的拉能力，可以在其應(yīng)用程序中，查詢現(xiàn)有的企業(yè)目錄以發(fā)現(xiàn)認(rèn)證和身份信息。