企業正在探索將設備擴展到云端，并向市場提供了一些服務，例如：IaaS, PaaS, SaaS。本文將討論信息安全問題的三個挑戰：機密性，完整性和可用性。大多數企業分成關心他們數據的所有權。。

1 介紹

為了理解云計算是什么，首先我們需要獲得關于它的演變的想法。托夫勒認為人類三大文明浪潮：農業，工業和信息時代。 信息時代有幾個子浪潮，我們正朝著云計算的方向發展。它指的是通過互聯網或基于云基礎設施提供服務。云計算將為市場帶來幾個優勢，其中最重要的三項是：成本效益，安全性和可擴展性。我們主要關心的是討論一些用于保護云用戶的安全IAM協議，并總結出哪些協議最適合企業、哪些正在朝傷害云服務的方向發展。

最近，很多企業都在分析云技術在節約成本的應用，而忽略了云服務提供商(CSP)提供了什么級別的安全保障。只通過一個維度去衡量收益是很困難的，正如Richard Mayo 和 Charles Perng在IBM的一項研究中關于云計算Rate of Interest(Rol)的討論。Rol基于表中的五個維度。

下圖中是一個案例結果，一個銀行需要大量的server來管理業務，他們的業務比較適合云。

在不久的將來，云計算支出將快速增長，“美國政府2010年至2015年的項目將在云計算方向支出增加40%，年復合利率增長達700萬美元。”成本效益是使用云計算的主要動機之一。但是我們應該考慮其他挑戰，例如安全性。企業將上傳其數據庫，用戶相關信息，并且在某些情況下，整個基礎架構將托管在云中。企業對CSP的安全級別是否滿意？

本文中我們主要關注數據安全方面，即云中的IAM。首先，我們將在第二節中概述當前云計算架構，在第三節中討論安全和隱私需求。在了解需求之后，我們將在第四節詳細討論IAM挑戰。此外，IAM生命周期和一些協議分別在第五節和第六節討論。第七部分是IAM通過云服務的最佳實踐，如身份管理即服務(IDaaS)。最后，在第八節中總結。

2 云計算結構

云計算系統類型

主要有三種系統類別：IaaS, PaaS, IaaS，下面詳細介紹：

SaaS傳統軟件用戶將其安裝到硬盤然后使用。在云中，用戶不需要購買軟件，而是基于服務付費。它支持多租戶，這意味著后端基礎架構由多個用戶共享，但邏輯上它沒每個 用戶是唯一的。PaaSPaaS將開發環境作為服務提供。開發人員將使用供應商的代碼塊來創建他們自己的應用程序。該平臺將托管在云中，并將使用瀏覽器進行訪問。IaaS在IaaS中，供應商將基礎架構作為一項服務提供給客戶，這種服務以技術，數據中心和IT服務的形式提供，相當于商業世界中的傳統“外包”，但費用和努力要少得多。主要目的是根據所需的應用程序為客戶定制解決方案。表2顯示了幾個提供商當前使用的云計算服務。

Examples of Cloud Service

這里有一些云服務商及代表性的云服務舉例。本文重點介紹提供安全環境的身份管理和技術。具體來說，IAM安全性可以通過石洞的協議和標準來實現。為了理解云中IAM安全性需求，本文將在下一節討論云計算的安全性和隱私性。

3 CLOUD SECURITY AND PRIVACY

在云計算中，用戶數據存儲在服務提供商的數據中心而不是存儲在用戶的計算機上。這會讓用戶擔心他們的隱私。此外轉向集中式云服務將導致用戶的隱私和安全漏洞。部署期間可能會發生安全威脅；也可能會出現新的威脅。云環境應該保持數據完整性和用戶隱私，同時增強跨多個云服務提供商的互操作性。因此，我們想討論云中的數據完整性，機密性，可用性。與數據安全相關的三個方面：- Network Level云服務提供商將監控、維護和收集有關防火墻、入侵檢測/防御以及網絡內的數據流信息。- Host Level收集系統日志文件是非常重要的，可以知道何時何地app被登錄過- Application Level審計app日志，結果可能被用于事件響應或數字認證

在每個層面上都需要滿足安全要求，以保護云中的數據安全性，如機密性，完整性和可用性，如下：A. 機密性確保云中用戶數據不能被未授權訪問。這可以通過考慮加密技術實現：對稱或不對稱加密算法，以及對稱密碼情況下的密鑰長度和密鑰管理。這都是依賴云服務提供商。EMC MozyEnterprise采用加密技術保護用戶數據，而Amazon S3沒有使用加密技術，這也依賴于客戶意識到他們可以在上傳信息之前加密。CSP應保證加密技術符合NIST(美國標準局)標準B. 完整性除了數據機密性之外，用戶還關注數據的完整性。加密技術可以提供機密性，主要有兩種方法提供完整性保障：消息認證碼(MAC)和數據簽名(DS)。在MAC中，它基于對稱密鑰提供附加數據的校驗和。在DS算法中，它依賴于非對稱密鑰對。由于對稱算法比非對稱算法快的多，在這種情況下，我們認為MAC將提供完整性檢查機制的最佳方案。研究表明，PaaS和SaaS不提供任何完整性保護，在這種情況下，確保數據完整性至關重要。C. 可用性另一個問題是通過授權的用戶請求數據時的可用性。最強大的技術是通過避免威脅影響服務或數據的可用性來預防。監測針對可用性的威脅非常困難。以可用性為目標的威脅可能是網絡的攻擊，例如DDoS攻擊或CSP的可用性，例如AWS S3在2008年遭受兩個半小時停電以及2008年7月停電8小時。

在下一節中，我們將通過一些協議如SAML，OAuth以及二者之間的比較來討論IAM實踐，得出最佳方案。

4 IAM

身份和訪問管理可以定義為通過規則和策略為企業資源和數據提供適當級別的保護的方法，這些規則和策略通過各種技術強制執行，例如強制登錄密碼，為用戶分配權限和設置用戶賬戶。但是，定義不限于企業資源，同樣為用戶個人信息和行為提供隱私和保護。大部分企業的基于不同的信息系統提供服務，管理這些用戶信息并提供隱私和保護將是一大挑戰。

管理數字身份是不夠的，除非我們能描述與用戶數字身份相關的兩個主要用戶屬性：存在(在線)和位置。這三種特征用于當今的技術中。存在與實時通信系統相關聯，例如：IM及VoIP，其中提供關于通信期間或通信之后用戶狀態的所有必須描述，無論他們是空閑還是活動，在線還是脫機，并且在某些情況下提供他們正在執行的一些特定任務，例如寫文檔或電子郵件。位置信息指用戶的地理位置，如經緯度和高度，實體的IP可以指定的地理位置。

A. Challenges

• 任何企業在管理身份方面面臨的主要挑戰來自一個企業的用戶群體-客戶，雇主，合作伙伴等
• 根據市場業務及其功能，調整和維護組織內員工流動
• 在兼并和分拆情況下處理用戶身份
• 避免身份，屬性和憑證的重復

上述的挑戰和其他一些挑戰，讓企業尋求幾種和自動化的身份管理系統。這為我們引入聯邦用戶的概念。它是企業群體之間既有某種信任關系的合約，以便用戶可以使用相同的標識從授信的組獲得服務。核心職責是管理組織內部網絡之外的服務訪問控制。聯邦支持單點登錄(SSO)技術，用戶不必多次登錄或記住每個云特定服務的注冊信息。

因此，我們想討論當前IAM的實踐，這對正在使用云計算的用戶在提供認證、授權和審計有所幫助：- 認證云計算認證設計驗證用戶或系統的身份，例如，服務到服務的認證涉及對由另一個服務發來的請求信息驗證。- 授權一旦認證過程成功，確定權限的過程就可以提供給合法用戶，在這個階段，系統將執行安全策略。- 審計這是審查和檢驗授權和認證記錄的過程，以檢查是否符合預定義的安全標準和政策。此外，它將有助于監測系統維護。

B. 云環境準備

為準備好云，企業需要準備IAM策略，結構，了解IAM生命周期并制定好哪些設備型號將支持聯邦身份，要求如下：- 定義身份信息的授權來源- 為用戶配置文件定義必需的屬性- 定義企業內部身份管理系統的當前結構- 實施支持SSO技術的身份提供商，如OpenID，Microsoft CardSpace和Microsoft Novell Digital Me- 身份提供商與公司內部構建目錄兼容

為了管理數字身份，我們應該知道數字身份將通過哪些不同階段，從而為該階段提供合適的安全級別。這個討論引導我們討論IAM生命周期。在下一節我們將描述數字身份生命周期。

5 IAM 生命周期

在這個階段，我們應該考慮身份生命周期所經歷的不同階段。一個重要的問題是：我們應該關注從用戶的身份創建，使用和終止之后都發生了什么。根據Mather, Kumarasuamy and Latif，數字身份管理應該經過如下五個階段：- 配置和取消配置在此過程中，將根據組織中的角色為用戶分配必要的信息訪問權限，并且在用戶權限升級或降級的情況下，將分配適當的訪問角色。 這個過程需要大量的時間，精力和工作人員來保持身份分配的權限盡可能充分。但是，使用身份管理即服務（IDaaS）等適當技術的云管理可以減輕組織的負擔。- 認證和授權將需要一個中央身份驗證和授權基礎架構來構建滿足組織業務目標的自定義身份驗證和授權模型。擁有這樣的模型將執行應該遵循的安全策略來保護應用程序和數據庫。- 自助服務在身份管理中啟用自助服務將加強身份管理系統。在這個階段，用戶可以重置密碼，維護和更新自己的信息并查看查看能力。來自任何位置的組織信息。- 密碼管理通過實施支持單點登錄(SSO)訪問云基服務的聯合系統。密碼管理包括如何使用MD5或SHA1as將密碼存儲在云數據庫中。- 檢查和審計在這個過程中，訪問將被監控和跟蹤，以確保系統中不存在安全漏洞。它還將幫助審計人員驗證不同訪問控制策略的執行情況，定期審計和報告。

6 IAM 標準和協議

以前，我們討論了應用IAM結構的要求是什么。在下文中，我們將討論一些標準和協議來管理云中的身份;然而，這里值得一提的是，IAM標準和協議應該由雙方來考慮：組織和消費者。

在本文中，我們主要關心的是討論組織如何使用協議來處理IAM。有幾種協議和標準企業應該考慮，如：安全聲明標記語言（SAML）和開放認證（OAuth）協議。下面將分別詳細介紹，如下所述：

A. SAML

SAML 基于XML標準，用作交換兩個實體(在云計算場景下，身份提供商IdP和云服務提供商CSP)之間的授權和認證屬性的工具。SAML主要目標是通過互聯網支持SSO。有不同版本的SAML，支持數字簽名和加密，下面例子幫助理解用戶, IdP和CSP之間基于SAML的SSO。- 1，User 請求CSP的網頁- 2，CSP返回將用戶瀏覽器重定向到idp網站- 3，用戶瀏覽器處理重定向，訪問IDP- 4，IdP和用戶之間的身份驗證協議進行身份驗證。- 5，IdP使用編碼的SAML向用戶做出響應。- 6，用戶瀏覽器將SAML響應發送到CSP訪問URL- 7，csp將信息返回用戶

B. OAuth

OAuth是一個非常具有互動性和趣味性的協議，它允許一個CSP用戶與另一個CSP共享他們的照片、文件等私人資源，而不會暴露用戶名和密碼等個人身份信息。它的主要目標是為安全API的授權訪問提供開放的標準。從CSP的角度來看，它提供了一項服務，用戶可以在不透露身份憑證的情況下訪問托管在不同服務提供商處的可編程應用程序。例如，消費者（網站或代表用戶訪問存儲文件的應用程序）從存儲文件的服務提供商那里請求打印服務，結果打印將被執行而不透露文件所有者證書。使用OAuth協議的用戶和服務提供商之間的通信過程如下：- 1，web app 訪問Google賬戶認證服務請求OAuth request token- 2，Google返回未授權請求token- 3，web app重定向User到Google web 認證頁面，授權請求token- 4，用戶訪問Google認證頁面，確認是否同意web app訪問用戶數據- 5，如果用戶拒絕訪問，用戶將被重定向到Google page- 6，如果授權訪問，用戶將重定向到web app頁面，并包含授權的請求token- 7，授權的請求token會在web app和Google 認證服務之間進行交換- 8，Google確認請求并發送Access Token- 9，web app攜帶Access Token訪問Google service用戶數據- 10，Google Service驗證Access Token，通過后返回用戶請求的數據

7 WHICH IS BETTER SOLUTION

很難說哪一個協議更好，它完全依賴于組織的行為來實現其業務目標。由于技術重疊，大多數CSP可能更愿意使用多個認證協議來提供更好的安全模型來控制其用戶身份。SAML常用于企業和學校，用戶只需登錄一次，即可在內部或外部與其他網站進行身份驗證。SAML是數字身份“企業”組的一部分，它擁有更多的經驗，并且其庫已經開發了很長時間。但是，在OAuth中，它屬于“開放源代碼”庫，其中這些庫是新的庫，需要做更多工作來改進此類別的協議。從我們的角度來看，OAuth將成為研究人員改善它的非常有競爭力的環境。但是，SAML將成為在云中部署SSO和聯盟的最佳選擇。SAML已經成熟并且暴露于各種漏洞和威脅之中，因此我們建議將它作為部署IAM安全性和維護用戶信息隱私的最佳解決方案。

8 IDENTITY MANAGEMENT-AS-A-SERVICE

由于云環境達到服務提供商可以提供任何服務（XaaS）的水平，這將導致我們考慮外包身份提供商，如服務（IDaaS）。然而，大多數組織可能傾向于外包合作伙伴和消費者身份管理，但他們有義務管理其員工身份和內部資源訪問權限。該模型基于軟件即服務（SaaS），支持多種服務，例如：賬戶配置，審計，密碼管理和用戶自助服務。通過采用這種架構，組織可以完全自動化用戶賬戶的提供和審計。市場上有多種解決方案可以提供身份管理，例如：簡化和Ping身份。

外包身份管理的主要優勢是擁有一個多協議環境，其中包含SAML，OAuth等等，以便與不同的云服務聯合系統進行交互。 在通過瀏覽器SSO訪問任何基于云的服務之前，IDaaS將對用戶進行身份驗證。

與任何基于云的服務一樣，任何組織都可以采用這種模式，這會有一點變化或者沒有任何變化。IDaaS的主要缺點是企業不知道CSP的結構，實施和服務。此外，生成的有關用戶的報告可能與組織要求不匹配，即使有編輯報告的功能，它也會限制為CSP功能。