云計(jì)算背景下的用戶(hù)身份認(rèn)證安全分析

沈燕

（江蘇省南通中等專(zhuān)業(yè)學(xué)校，江蘇 南通 226011）

云計(jì)算背景下的用戶(hù)身份認(rèn)證安全分析

沈燕

（江蘇省南通中等專(zhuān)業(yè)學(xué)校，江蘇 南通 226011）

作為計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)結(jié)合的重要產(chǎn)物內(nèi)容，云計(jì)算已經(jīng)開(kāi)啟了IT界與信息領(lǐng)域的新一輪技術(shù)革命。然而，云計(jì)算存在著許多風(fēng)險(xiǎn)問(wèn)題，在目前的網(wǎng)絡(luò)監(jiān)管環(huán)境下依然還存在有許多漏洞性問(wèn)題，對(duì)于網(wǎng)絡(luò)用戶(hù)的信息安全產(chǎn)生了巨大的威脅，要想解決這一問(wèn)題，開(kāi)展云計(jì)算背景下的用戶(hù)身份認(rèn)證安全分析已經(jīng)迫在眉睫，對(duì)此本文將就云計(jì)算的安全問(wèn)題展開(kāi)具體的分析，并提出了一些具體的應(yīng)對(duì)措施。

云計(jì)算；用戶(hù)身份認(rèn)證；安全分析

1 引言

伴隨著網(wǎng)絡(luò)時(shí)代的持續(xù)發(fā)展，網(wǎng)絡(luò)信息技術(shù)的廣泛應(yīng)用為人們提供了大量的信息服務(wù)以及信息資源，進(jìn)而促使更多的云計(jì)算、云存儲(chǔ)技術(shù)廣泛應(yīng)用到日常的各項(xiàng)工作之中，極大地方便了人們的日常工作與生活，然而卻也出現(xiàn)了許多安全性方面的問(wèn)題。鑒于此種情況，本文就云計(jì)算背景下的用戶(hù)身份認(rèn)證安全問(wèn)題展開(kāi)具體的分析與探討，將具有極其重要的作用與價(jià)值，應(yīng)當(dāng)引起人們的重視與思考。據(jù)此下文將主要就用戶(hù)身份認(rèn)證安全問(wèn)題進(jìn)行具體的分析探討，以期能夠有效提升計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全性。

2 云計(jì)算

云計(jì)算被定義為一種可以自由調(diào)用的信息資源庫(kù)，這些資源可以根據(jù)用戶(hù)的需求進(jìn)行更新?lián)Q代，實(shí)現(xiàn)資源的最優(yōu)化利用。提供服務(wù)的一方可以提前將服務(wù)進(jìn)行等級(jí)劃分，每個(gè)等級(jí)有不同的資費(fèi)，用戶(hù)在使用前，先跟服務(wù)商進(jìn)行服務(wù)協(xié)議，再根據(jù)自己的需求進(jìn)行選擇，通過(guò)付費(fèi)獲得資源信息的利用。云系統(tǒng)的架構(gòu)較為簡(jiǎn)便，其主要是由兩方面所構(gòu)成，即：云計(jì)算與云存儲(chǔ)。云計(jì)算即為分布式計(jì)算方式，借助于不同地方的數(shù)據(jù)庫(kù)實(shí)施以計(jì)算機(jī)服務(wù)集群的安排，并利用網(wǎng)絡(luò)數(shù)據(jù)傳輸與配置給用戶(hù)提供個(gè)性化的服務(wù)內(nèi)容。云存儲(chǔ)的原理也基本類(lèi)似，把用戶(hù)的信息數(shù)據(jù)存儲(chǔ)到網(wǎng)絡(luò)環(huán)境當(dāng)中，從而減少對(duì)本地資源的占用率，并且能夠?qū)崿F(xiàn)對(duì)物理存儲(chǔ)路徑的超越，可以起到異地存儲(chǔ)與異地應(yīng)用的目的。

3 云計(jì)算的特征

（1）規(guī)模龐大

基于云計(jì)算技術(shù)所具備的技術(shù)領(lǐng)先性，其所具備的計(jì)算能力十分強(qiáng)大，可以針對(duì)海量的數(shù)據(jù)信息實(shí)時(shí)計(jì)算與處理，并且還可負(fù)擔(dān)大量服務(wù)器的同時(shí)運(yùn)行及協(xié)調(diào)配合。

（2）可靠性高

在云計(jì)算技術(shù)條件下其網(wǎng)絡(luò)架構(gòu)及數(shù)據(jù)處理流程十分繁雜，同時(shí)也正是基于這些繁雜的網(wǎng)絡(luò)架構(gòu)及數(shù)據(jù)處理流程給予云計(jì)算的發(fā)展帶來(lái)了極大的穩(wěn)定性，相應(yīng)地所使用的冗余站點(diǎn)越多，其可靠性也就越高。

（3）資源透明

在云計(jì)算之中所提供的各類(lèi)信息資源是高度透明的，用戶(hù)能夠及時(shí)查找到自身所需求的各類(lèi)數(shù)據(jù)內(nèi)容，同時(shí)也無(wú)需掌握以云計(jì)算服務(wù)的內(nèi)部系統(tǒng)架構(gòu)體系，僅需確定自身實(shí)際所需的信息內(nèi)容便可。

4 用戶(hù)身份認(rèn)證問(wèn)題

4.1 云計(jì)算環(huán)境的安全需求分析

云計(jì)算服務(wù)商在給予用戶(hù)提供以各類(lèi)資源之時(shí)，相應(yīng)的用戶(hù)在進(jìn)入到云計(jì)算系統(tǒng)以后，便可以及時(shí)獲取到所對(duì)應(yīng)的云計(jì)算信息內(nèi)容。因?yàn)槊恳幻脩?hù)其所處在的運(yùn)行環(huán)境是不盡相同的，因此為了有效保障用戶(hù)的信息安全，在為用戶(hù)提供相應(yīng)的信息服務(wù)時(shí)，還必須要涉及到用戶(hù)身份認(rèn)證的問(wèn)題。若身份認(rèn)證系統(tǒng)依然存在完善度較低、缺陷較為明顯等情況時(shí)用戶(hù)的信息便很容易會(huì)遭到泄露，從而使得整體系統(tǒng)的信息服務(wù)資源受損，同時(shí)導(dǎo)致云計(jì)算的安全性大打折扣。而作為網(wǎng)絡(luò)安全的首道關(guān)卡，同時(shí)也是確保整體網(wǎng)絡(luò)良好運(yùn)

我國(guó)第一個(gè)秸稈直燃發(fā)電示范項(xiàng)目——國(guó)能單縣25MW秸稈發(fā)電廠于2006年11月建成并網(wǎng)運(yùn)行。該電廠年消耗秸稈燃料15萬(wàn)噸，年發(fā)電1.8億kWh，與同等規(guī)模燃煤電廠相比，每年減少SO2排放量約600t，年可節(jié)省標(biāo)準(zhǔn)煤近40萬(wàn)噸[19]。

行的基礎(chǔ)，保障訪(fǎng)問(wèn)用戶(hù)的身份合法性是首先需要解決的問(wèn)題。

在目前的云計(jì)算內(nèi)容服務(wù)供應(yīng)者中一般會(huì)選用安全防護(hù)措施來(lái)加強(qiáng)對(duì)用戶(hù)身份合法性的驗(yàn)證。盡管這樣，基于云計(jì)算環(huán)境下的用戶(hù)身份認(rèn)證工作依然困難重重，用戶(hù)以及云服務(wù)提供商的信任邊界是呈現(xiàn)動(dòng)態(tài)性的，網(wǎng)絡(luò)攻擊者極易取得用戶(hù)的個(gè)人信息從而對(duì)于云計(jì)算網(wǎng)絡(luò)產(chǎn)生重大的安全威脅。

4.2 身份認(rèn)證管理協(xié)議

（1）安全性斷言標(biāo)記語(yǔ)言

由OASIS組織所發(fā)布的安全性斷言標(biāo)記語(yǔ)言(SAML)是云計(jì)算環(huán)境之中的一類(lèi)安全規(guī)范，此類(lèi)語(yǔ)言是基于XML，并應(yīng)用在對(duì)SAML所規(guī)定范圍之內(nèi)有業(yè)務(wù)往來(lái)的各個(gè)信息主體進(jìn)行身份驗(yàn)證的一種信息憑據(jù)，身份驗(yàn)證一類(lèi)的信息能夠借助于對(duì)SAML進(jìn)行規(guī)范來(lái)促使身份驗(yàn)證信息能夠在各信任域間傳導(dǎo)。SAML標(biāo)準(zhǔn)規(guī)范能夠給予斷言由提出到建立、傳輸、響應(yīng)以至最終的應(yīng)用定義均做出明確、完整的規(guī)范。

（2）可擴(kuò)展訪(fǎng)問(wèn)控制標(biāo)記語(yǔ)言

此類(lèi)訪(fǎng)問(wèn)控制語(yǔ)言標(biāo)記（XACML）是一類(lèi)基于XML的開(kāi)放式標(biāo)準(zhǔn)語(yǔ)言，其設(shè)計(jì)的主要目的是為了對(duì)安全策略以及網(wǎng)絡(luò)服務(wù)予以描述，為企業(yè)提供以數(shù)字版權(quán)化的管理以及企業(yè)安全應(yīng)用訪(fǎng)問(wèn)權(quán)限。XACML同時(shí)也較常被人們稱(chēng)之為可擴(kuò)展訪(fǎng)問(wèn)控制語(yǔ)言（XACL）。

5 云計(jì)算身份認(rèn)證系統(tǒng)設(shè)計(jì)

5.1 系統(tǒng)技術(shù)路線(xiàn)

本次研究所設(shè)計(jì)的云計(jì)算身份認(rèn)證系統(tǒng)，是基于對(duì)統(tǒng)一身份的管理標(biāo)準(zhǔn)、SAML2.0以及XACML，并采用了Java編程語(yǔ)言來(lái)作為基礎(chǔ)開(kāi)發(fā)支撐平臺(tái)，建構(gòu)起了涵括用戶(hù)身份認(rèn)證、服務(wù)供應(yīng)商、第三方認(rèn)證等相關(guān)實(shí)體的統(tǒng)一身份認(rèn)證監(jiān)管體系。能夠滿(mǎn)足于用戶(hù)注冊(cè)、登陸、登出以及基于不同等級(jí)權(quán)限的訪(fǎng)問(wèn)控制等功能。

5.2 認(rèn)證模型設(shè)計(jì)

當(dāng)前，用戶(hù)在登陸基于云端的系統(tǒng)時(shí)，往往會(huì)被要求輸入所對(duì)應(yīng)的賬戶(hù)信息，由于大量的云計(jì)算服務(wù)提供者針對(duì)其提供服務(wù)的用戶(hù)大多所選用的均為單點(diǎn)登錄方式，這極易會(huì)被惡意網(wǎng)絡(luò)攻擊人員所利用，從而竊取相關(guān)用戶(hù)的信息數(shù)據(jù)。因此為了確保用戶(hù)在登陸云計(jì)算系統(tǒng)時(shí)能夠有效地保障其自身的信息安全性，在本次研究當(dāng)中便設(shè)計(jì)出了一類(lèi)基于動(dòng)態(tài)雙因子的認(rèn)證模型。在應(yīng)用此類(lèi)用戶(hù)身份認(rèn)證形式時(shí)，用戶(hù)要想登陸到系統(tǒng)中不但需要輸入以相對(duì)應(yīng)的數(shù)據(jù)信息，還需要輸入一項(xiàng)額外的信息，此即為二重認(rèn)證密碼。二重認(rèn)證密碼可利用數(shù)學(xué)算法動(dòng)態(tài)生成，同時(shí)還可對(duì)其限定一定的時(shí)效性，和以往所較常采用的用戶(hù)身份認(rèn)證形式對(duì)比來(lái)說(shuō)，此認(rèn)證方式不僅能夠有效增強(qiáng)用戶(hù)認(rèn)證的安全性，同時(shí)還可極大地減少成本支出，真正意義上達(dá)到了便捷性與廉價(jià)性。

依據(jù)以上設(shè)計(jì)思路，用戶(hù)在發(fā)出云計(jì)算的服務(wù)請(qǐng)求之后，便可下載以相應(yīng)的動(dòng)態(tài)認(rèn)證程序，每一個(gè)用戶(hù)均有其完全獨(dú)立的認(rèn)證程序。在用戶(hù)要登陸系統(tǒng)時(shí)，除了輸入相應(yīng)的登陸信息還要能夠輸入相對(duì)應(yīng)的動(dòng)態(tài)認(rèn)證信息。在用戶(hù)運(yùn)行認(rèn)證程序之后，系統(tǒng)也將同步運(yùn)行與之對(duì)應(yīng)的程序，進(jìn)而兩方面可同步產(chǎn)生相應(yīng)的認(rèn)證碼，這時(shí)用戶(hù)便可依據(jù)這一認(rèn)證碼登陸到系統(tǒng)當(dāng)中。需要說(shuō)明的是這一認(rèn)證碼在輸出之后會(huì)具有一定的時(shí)效性，在超過(guò)了一定的時(shí)間范圍限定后便會(huì)失去效用，此時(shí)用戶(hù)便需要再次運(yùn)行程序以獲取新的動(dòng)態(tài)認(rèn)證碼?；谶@一認(rèn)證模型設(shè)計(jì)方式，可以十分有效地起到對(duì)用戶(hù)私人信息的有效保護(hù)。在進(jìn)行動(dòng)態(tài)性的設(shè)計(jì)時(shí)，我們可以運(yùn)用時(shí)間要素來(lái)予以實(shí)現(xiàn)，在程序運(yùn)行的過(guò)程中，每一次運(yùn)行的具體實(shí)踐均不相同，這樣也就將時(shí)間作為一項(xiàng)十分重要的參考變量，同時(shí)還能夠生成相應(yīng)的動(dòng)態(tài)認(rèn)證碼。下面，將具體的工作流程羅列如下：

第一，用戶(hù)進(jìn)入到云計(jì)算登錄顯示窗口。

第二，依據(jù)登錄顯示窗口的指示，用戶(hù)需將登陸信息輸入至彈出的窗口中，而后系統(tǒng)便會(huì)對(duì)信息進(jìn)行自主判定，若判定有誤則需再次輸入，反之即可進(jìn)入系統(tǒng)當(dāng)中。

第三，在獲取正確信息回應(yīng)后，用戶(hù)便可執(zhí)行此系統(tǒng)程序，其中先要對(duì)自身所下載的認(rèn)證碼算法同系統(tǒng)算法進(jìn)行核對(duì)，通過(guò)核對(duì)明確其完全一致后，系統(tǒng)便可執(zhí)行相應(yīng)的程序，使得云計(jì)算系統(tǒng)與終端均生成這一認(rèn)證碼。

第四，用戶(hù)可輸入以所對(duì)應(yīng)的認(rèn)證碼，而后系統(tǒng)便會(huì)同程序認(rèn)證碼進(jìn)行比對(duì)，若兩者相一致，用戶(hù)即可被獲準(zhǔn)進(jìn)入系統(tǒng)當(dāng)中，并且去除掉認(rèn)證碼的時(shí)效性，反之則返回第一步重新操作。

5.3 實(shí)驗(yàn)結(jié)果分析

對(duì)于上述設(shè)計(jì)內(nèi)容可以利用Java語(yǔ)言進(jìn)行實(shí)際檢驗(yàn)，在此設(shè)計(jì)系統(tǒng)中時(shí)間是關(guān)鍵要素，必須要保障其設(shè)計(jì)時(shí)間的確切性以及變化性，方能表明此系統(tǒng)的實(shí)際應(yīng)用效果。在具體測(cè)試時(shí)，便可按照流程步驟進(jìn)行程序執(zhí)行，將初始時(shí)間設(shè)置為3月9號(hào)，11:12:15，而后將數(shù)據(jù)3、9、11、12、15作為程序的輸入數(shù)據(jù)，并利用z=(xn+y)mod60算法，在這一算法中x=15，y=12，n依次為3、9、11、12、15，在進(jìn)行計(jì)算處理后便會(huì)得到另外5項(xiàng)數(shù)字，將其合并起來(lái)便形成了一個(gè)10位數(shù)的認(rèn)證碼。

通過(guò)實(shí)驗(yàn)分析，即便是相差1秒鐘，最終所得到的程序結(jié)

果也完全不同，從而實(shí)現(xiàn)了運(yùn)用系統(tǒng)時(shí)間的改變來(lái)生成相對(duì)應(yīng)的動(dòng)態(tài)認(rèn)證碼?；谠诰W(wǎng)絡(luò)環(huán)境中系統(tǒng)遭受惡意攻擊時(shí)攻擊者無(wú)法獲知認(rèn)證碼條件算法的前提下，再加之對(duì)認(rèn)證碼的時(shí)間限定設(shè)置，從而真正有效保障了云服務(wù)背景下的用戶(hù)個(gè)人信息的安全性。

6 結(jié)束語(yǔ)

通過(guò)上述研究表明，“大數(shù)據(jù)”時(shí)代的來(lái)臨不僅給計(jì)算機(jī)信息處理技術(shù)帶來(lái)了新的發(fā)展機(jī)遇，并且相關(guān)計(jì)算機(jī)技術(shù)的信息分析及處理人員也日益增多，這也就給“大數(shù)據(jù)”時(shí)代的計(jì)算機(jī)信息技術(shù)推廣打下了堅(jiān)實(shí)的基礎(chǔ)。然而迎接巨大發(fā)展機(jī)遇的同時(shí)也需面臨巨大的挑戰(zhàn)，人們對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的安全性需求日益提升。這就促使相關(guān)的技術(shù)人員運(yùn)用更加科學(xué)化的網(wǎng)絡(luò)設(shè)計(jì)，來(lái)構(gòu)建起更加完善、安全的網(wǎng)絡(luò)環(huán)境，并持續(xù)提升計(jì)算機(jī)的信息處理能力，使之能夠更好地服務(wù)于人們?nèi)粘Ｉ畹姆椒矫婷妗?/p>

[1]王一川，馬建峰，盧笛等．面向云環(huán)境內(nèi)部DDoS攻擊檢測(cè)的博弈論優(yōu)化[J]．計(jì)算機(jī)研究與發(fā)展，2015(8)：1873-1882．

[2]郭祖華，李揚(yáng)波，徐立新等．面向云計(jì)算的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)測(cè)模型的研究[J]．計(jì)算機(jī)應(yīng)用研究，2015(11)：3421-3425．

[3]陳良維．云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全估計(jì)模型態(tài)勢(shì)仿真[J]．現(xiàn)代電子技術(shù)，2015(20)：15-19．

[4]杜璞．引入自適應(yīng)轉(zhuǎn)發(fā)控制的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)[J]．科技通報(bào)，2014(10)：58-60．

[5]王琮，吳帆，閆蒞等．移動(dòng)云計(jì)算領(lǐng)域的網(wǎng)絡(luò)安全策略研究[J]．軟件產(chǎn)業(yè)與工程，2015(6)：42-46．

[6]陳牮華．基于云計(jì)算的網(wǎng)絡(luò)安全數(shù)據(jù)傳遞方法研究[J]．計(jì)算機(jī)仿真，2012，29(8)：139-141．

SecurityAnalysis of User IdentityAuthentication in the Background of Cloud Computing

Shen Yan
(Nantong Secondary Vocational School of Jiangsu Province,Nantong 226011,Jiangsu)

As an important product of the combination of computer technology and the Internet,cloud computing has opened a new round of technological revolution in the field of IT and information.However,cloud computing has a lot of risk problems. There are still many vulnerability problems under the current regulatory network environment,producing a huge threat for the information security of the network users.In order to solve this problem,it is imminent to carry out the user authentication security analysis in the background of cloud computing.This paper will focus on the cloud computing security problems and puts forward some specific measures.

cloud computing;user identity authentication;security analysis

TP393.08

A

1008-6609(2016)08-0055-03

沈燕，女，江蘇南通人，本科，講師，研究方向：計(jì)算機(jī)技術(shù)與應(yīng)用、計(jì)算機(jī)平面設(shè)計(jì)。