(长江大学计算机科学学院)
摘要:云计算是信息化时代的代表性技术,应用范围十分广泛,为了保证数据传输与访问安全,相关人员必须重视跨域安全认证技术的必要性。本文重点阐述KPI技术、OpenStack技术在云计算跨域安全认证中的应用,基于先进技术构建系统模型,有利于强化云计算跨域访问的安全性,极大程度上避免信息恶意泄露。
关键词:云计算;跨域认证;安全技术
前言:
云计算平台上存储着大量数据信息资源,主要通过将其部署于共享资源池实现为用户提供服务的目的。用户终端在访问共享资源池时,云计算平台会涉及身份认证、密钥匹配、访问限制等多项安全问题,为了进一步提高服务水平、降低信息泄露风险,相关人员要利用现代先进技术革新传统跨域安全认证方式。
一、基于PKI技术创设跨域安全认证系统
(一)电子认证服务
电子认证服务是基于PKI技术构建的云计算跨域安全认证系统的基础功能,又被称为“CA”,主要利用数字证书为网络平台的数字信息提供安全保障。数字证书与个人、团体、公开密钥紧密相连,拥有第一无二性,是用户终端在云计算平台的身份象征,由于其安全性相对较强,所以已经成为目前被广泛采用的信息安全防护手段之一[1]。电子认证服务是PKI安全认证系统的核心,必须由权威性较强的第三方机构签发,例如电子认证服务中心和注册审批机构,只有保证数字证书的公正性、可信任性,才能有效增强用户终端访问云资源环境的安全性。
(二)数字证书库
数字证书的颁发、更新、注销等信息都会被储存在数字证书库中,为了确保其作用全面发挥,相关人员在构建数字证书库时,需要明确数据库镜像技术的重要性,以分布式的形式将已经签发的证书储存于本地,有利于提高数字证书查询效率。在此支持条件下,用户终端可通过开放式地查询获取所需公钥与证书,由于查询信息已经在数据库备案,所以当用户访问共享资源库时,数字证书库可自动验证访问者持有证书是否在有效期或黑名单内,有利于及时阻拦恶意访问。
(三)备份与恢复功能
云计算跨域安全认证系统所具有的备份与恢复功能主要面向对象是密钥,若是用户意外迷失密钥,发挥该功能作用便可对原始数据备份中提取相关信息,重新设置或恢复密钥,有效解决无法访问云计算平台的问题。值得注意的是,备份与恢复功能只针对解密密钥,不能作用于签名密钥。
(四)证书注销中心
数字证书具有时效性,与之相对应的密钥也存在有效期限制,PKI安全认证系统会定期对数字证书与密钥的有效期进行检查,当发现超过使用期的证书与密钥时,系统会自动对其进行更新与注销处理,因此所有用户名下都会存在多个旧证书与一个最新日期证书。数字证书与密钥的历史档案具有十分重要的作用,若是A用户使用B用户的公钥加密数据,且数字证书与密钥在后期进行了多次更新,A用户便无法用持有密钥获取数据,如果想要解决该问题,A用户可以从历史档案中查询最初加密时对应的私钥进行解密。
(五)交叉认证程序
交叉认证在PKI安全认证系统中占据重要地位,具体认证过程是:第一,当两个数字证书通过桥接或相互签发根证书的方式建立信任关系后,双方证书代表用户方可以在较安全的环境下交换签名公钥,同时使用私钥为对方签发数字证书,以此确保二者皆获得交叉证书;第二,在PKI安全认证系统中形成的交叉证书能够对最终用户的数字证书进行验证,例如现实生活中常见的用户名/密码加短信验证的表现意义便是上述交叉认证的具体表现。
二、基于OpenStack构建跨域安全联合访问模型
(一)OpenStack支持下的云计算平台
基于OpenStack构建的云计算跨域安全联合访问模型主要包括计算组件(Nova)、存储组件(Swift)、镜像服务(Glance)三个核心模块(如下图所示)。其中计算组件是的主要功能是为其他模块提供计算服务与虚拟服务器部署;存储组件的整体结构表现为分布式云储存,与镜像服务配合发挥作用;镜像服务主要用来为用户提供虚拟机镜像储存与检索服务,在存储组件的支持下,能够同时向多个用户提供备份服务[2]。
图1OpenStack云平台功能模块示意图
(二)联合身份标识
若想保证跨域安全联合访问模型作用得以全面发挥,必须综合分析云计算跨域访问对安全性提出的要求,根据分析结果创建联合身份标识。具体可采用的方法有两种:一种是临时性标识,用户在对另一个安全域进行访问时,模型会先生成临时身份标识并与用户身份绑定,再将标识分配给用户,当用户完成访问之后,临时标识自动作废;另一种是持久性标识,同样访问情况下,模型针对用户生成永久性有效的身份标识,在与用户身份绑定之后始终保存在系统中,如此一来用户每次访问资源数据库时便不必再申请临时标识。联合访问模型在创建联合身份标识后,IdP会在用户申请访问时,通过持久性标识对其身份进行辨别,同时向安全域中的SP提供用户身份断言。基于OpenStack的跨域安全联合模型的应用优势主要有:第一,有利于在用户跨域访问时增强信息数据安全保护能力;第二,可以避免信息被恶意泄露;第三,能够防止用户隐私被窃取。
结束语:
综上所述,KPI技术与OpenStack技术在云计算跨域安全认证方面皆具有较强的应用性,若想充分发挥二者的价值与优势,可以对该两项技术进行深入分析,构建可靠性与高效性较强的系统模型,同时结合云计算跨域安全认证要求设计功能模块,以此实现为用户终端安全访问云资源平台提供有力支持的目的。
参考文献
[1]王晓丽,卓泽朋.云环境下基于PKI技术身份认证研究[J].江苏理工学院学报,2018,24(04):16-19.
[2]王柳,曹珍富,董晓蕾.基于身份的指定验证者签名在跨域认证中的应用[J].信息网络安全,2017(10):63-68.
作者简介:张超宇(1978-),男,湖北省荆州市长江大学计算机科学学院,硕士,讲师。