GM/Y5002- 2018 云计算身份鉴别服务 密码标准体系 2018 年 6 月 目 录 前言 ................................................................. II 1. 云计算身份鉴别服务的研究背景及意义 ................................ 1 2. 云计算身份鉴别服务需求和挑战 ...................................... 3 2.1. 凭据管理 ...................................................... 3 2.2. 强身份鉴别 .................................................... 4 2.3. 委托身份鉴别 .................................................. 4 3. 云计算身份鉴别标准研究现状 ........................................ 5 3.1. 国际相关身份鉴别标准研究情况 .................................. 6 3.2. 我国相关身份鉴别标准研究情况 ................................. 13 3.3. 云计算中主要的身份鉴别相关标准 ............................... 15 4. 业界典型的云计算身份鉴别服务及密码技术应用案例 ................... 32 4.1. Google 云身份鉴别技术 ........................................ 32 4.2. Amazon 云身份鉴别技术 ........................................ 34 4.3. Microsoft 云身份鉴别技术 ..................................... 35 4.4. IBM 云身份鉴别技术 ........................................... 37 4.5. 典型云身份鉴别服务及密码应用对比 ............................. 37 5. 云计算身份鉴别服务密码标准体系架构 ............................... 38 5.1. 概述 ......................................................... 38 5.2. 云环境中的身份鉴别密码技术要求 ............................... 38 5.3. 标准分类维度 ................................................. 41 5.4. 标准体系架构 ................................................. 43 参考文献 ............................................................. 52 I 前 言 “云计算身份鉴别服务密码标准体系”标准研究项目是 2014 年 3 月密码行业标准 化技术委员会下发的云计算领域密码标准相关的研究任务。该标准研究报告的目标范围 与定位是研究云计算领域的身份鉴别服务中的密码应用相关标准和技术。 该标准的主要研究内容是： 1） 首先分析了云计算身份鉴别服务的研究背景和意义，调研了国内外云计算领 域身份鉴别服务的需求，理清复杂云计算环境中身份鉴别服务的重要性及其应 用情况。 2） 随后，给出了云计算身份鉴别相关标准进行现状和趋势分析。其次，研究主 流云提供商的云计算身份鉴别服务应用情况，从而为云计算身份鉴别服务密码 标准体系的构建提供参考。 3） 最后，根据国内外云计算中身份鉴别的标准及技术的研究和应用情况，提出 云计算身份鉴别服务密码标准体系架构。 “云计算身份鉴别服务密码标准体系”标准研究项目组于 2014 年 3 月正式成立， 标准项目组成员单位涵盖了国内主要的科研机构、商用密码检测检测机构、电子认证企 业、商用密码产品生产企业等。 本研究报告的主要编制单位：中国科学院数据与通信保护研究教育中心，国家密码 管理局商用密码检测中心，北京数字认证股份有限公司，兴唐通信科技有限公司，北京 三未信安科技发展有限公司，卫士通信息产业股份有限公司。 本研究报告的主要编制人：高能，江伟玉，刘丽敏，高志权，李敏，彭佳，屠晨阳， 张众，李向锋，吕春梅，刘尚焱，关旭，宋飞。 II 1. 云计算身份鉴别服务的研究背景及意义 云计算技术的发展促进了在线访问云服务的流行。人们通过网络可以随时随地访问 其个人文档、照片、消费记录，甚至银行账户、医疗记录等敏感信息；企业也可借助于 云计算丰富的资源、强大的计算能力和快速可扩展的特性，将计算服务和数据存储服务 外包给云服务提供商。不同安全级别的数据和服务充斥于云环境中，云中资源的访问及 其数据本身的安全问题自然成为了关注的焦点。为了保证云中数据的安全性，云端的服 务应鉴别访问者的身份。 （一）云计算身份鉴别的安全性尤为重要和迫切。 根据 OWASP 最新发布的 Web 应用安全威胁排名，鉴别与会话管理威胁排在第 2 位， 敏感数据泄露排在第 6 位，可见在云计算服务中安全部署和实施身份鉴别技术的重要性 和迫切性。NIST 在 2013 发布的《NIST Cloud Computing Standards Roadmap》[32]文 件中建议云计算身份鉴别采用 SAML（Security Assertion Markup Language）、OpenID （OpenID Authentication）、OAuth（Open Authorization Protocol）等协议验证用户 的身份并实现联合身份鉴别，以便获取云应用或云服务，一旦用户完成身份鉴别，则用 户应该登录到云应用或云服务中，而无需再次鉴别。因此，云计算身份鉴别自身也可以 作为一种云计算服务，为其他云计算服务或者应用提供身份鉴别服务。 （二）身份鉴别技术发展迅速，除了传统的用户名/口令方式，基于智能设备、智 能卡、生物识别技术的身份鉴别以及多因素鉴别逐渐发展成熟。 作为云安全的第一道门槛，云身份鉴别服务使用的身份鉴别技术是各种安全措施可 以正常实施的前提，也成为了工业界和学术界的研究重点。身份鉴别是确定实体（用户、 服务器、应用程序等）身份的过程，可根据实体了解的知识、拥有的物品以及身体固有 的生物特性来划分不同类型的身份鉴别技术。目前，身份鉴别技术已得到了较长时间的 发展与研究。例如，基于用户名/口令的身份鉴别技术已得到了普遍的使用；基于智能 卡识别、基于生物特征识别的身份鉴别技术（线上快速身份鉴别联盟，即 FIDO 联盟） 也不断出现在新的应用场景中；单点登录、委托鉴别、身份联合、多因素鉴别等鉴别机 制也已得到了较为成熟的研究，并被许多服务提供商应用于其产品中。 （三）云计算环境中身份鉴别面临新的需求和挑战-凭据管理、强身份鉴别、联合 身份鉴别（跨域、跨服务）等。 在云计算环境中，由于云计算环境具有其特有的特性以及云计算客户新的需求，对 身份鉴别技术有了不同的需求，身份鉴别技术也面临不同的挑战。另外，尽管国内外各 标准组织在身份鉴别方面出台了一系列的标准，但是难以满足云计算环境身份鉴别服务 对身份鉴别技术的新需求。首先，云环境中的用户身份凭据的管理面临的安全威胁比传 统的应用场景中更加严峻，安全性要求更高；其次，对于云中高度敏感的数据，需要更 加安全的、用户可控的身份鉴别机制，可以使用一次性口令、基于生物特征（指纹、人 脸、虹膜、生物行为等）的鉴别技术以及基于 USB 等智能卡识别的技术等强鉴别机制； 最后，云环境下需要方便快捷的技术来解决联合身份鉴别（跨安全域或跨服务）。 （四）国内外研究机构纷纷出台相关云计算身份鉴别标准，但没有形成一个完整的 服务标准体系。 针对云环境中身份鉴别服务新的发展趋势，国际相关标准组织均在研究云环境中的 1 身份鉴别服务的技术和机制。美国国家标准技术研究所（NIST）、第一联合技术委员会 （ISO/IEO）、结构化信息标准促进组织（OASIS）均有相关的工作组在研究云环境中的 身份管理和鉴别授权问题。国际互联网工作组（IETF）针对第三方资源访问问题，出台 了一系列可用于云中身份鉴别的 OAuth 相关文档；开放的身份标识联盟（OpenID）提出 的 OpenID 框架和系列规范已应用在各主要云服务提供商的服务中；国际电信联盟 ITU 也在其下一代网络中提出了支持 OpenID 和 OAuth 的技术规范；另外，新成立的在线快 捷身份鉴别联盟（FIDO）近两年也制订了一系列基于生物识别技术的身份鉴别标准。 我国也在推动云计算环境中的身份鉴别技术标准化。例如，目前正在研制相关密码 行业标准《开放的第三方资源授权协议框架》、 《开放的身份标识鉴别框架》、 《在线快捷 身份鉴别密码技术应用规范》。但是，相比于国际标准组织对云计算中身份鉴别标准的 研究情况，我国的相关研究还相对滞后，缺乏云计算身份鉴别服务的体系化研究成果。 因此，我国亟需结合我国的实际国情，进行云计算身份鉴别服务的体系化研究，尤其是 云计算身份鉴别服务的密码标准体系化研究。 （五）云计算身份鉴别服务是构建在 SaaS 层的云服务，为不同云计算服务模式的 云服务提供身份鉴别服务。 在美国国家标准与技术研究院（National Institute of Standards and Technology， 简称 NIST）的 SP 800-145《云计算的定义》 （The NIST Definition of Cloud Computing） [33]文档中，根据云服务提供商提供的资源服务类型不同，云计算的服务模式主要可分 为以下三类： — 基础设施即服务（Infrastructure as a Service，IaaS）：在 IaaS 模式下，云 服务提供商向用户提供对所有计算基础设施的使用，包括处理 CPU、内存、存 储、网络和其它基本的计算资源。用户能够部署和运行任意软件，包括操作系 统和应用程序。用户不管理或控制任何云计算基础设施，但能控制操作系统的 选择、存储空间、部署的应用，也有可能获得有限制的网络组件（例如，路由 器、防火墙、负载均衡器等）的控制能力。 — 平台即服务（Platform as a Service，P