私有云下的用户身份管理解决方案.doc

私有云下的用户身份管理解决方案
用户面临的问题（或可能的机会）
由于对云服务的整体安全性仍然不够信任，很多企业机关仍然会在是否使用相关的云服务这个问题上犹豫不决，而涉及企业内部的重要机密文件或者关键信息更是慎之又慎。正因为如此，现在很多使用云服务支持的企业也并不是把所有关键信息全部依托于公有云，大多数有一定规模的企业既想拥有成本低廉服务便捷的云服务支持，又想获得更好的安全措施保证重要数据的安全，所以他们选择了一个折中的方法，那就是搭建自己的内部云环境，也就是“私有云”。
但是虽然私有云在一定程度上解决了外部的安全威胁，但是我们从多年来网络安全发展的情况看其实也都明白一个道理，内部网络环境的威胁比外部更可怕后果更严重。其根本的解决办法当然是做好内部人员的管理和维护，做好一定的审计和监察工作。但是有的时候就是会有一些特殊情况发生，可能是人本身也可能是网络配置或者软件等方面的问题。更有些特殊的情况，可能内部的网络环境有时候需要外来人员的一些技术支持或者其他方面的使用需求。但是这个时候你应该用什么方法去解决这些用户可能造成的安全问题呢？或者说如何做好对他们在私有云环境中的每一步操作进行有效的权限管理、身份认证和审计工作，以避免可能发生的内部安全问题。
为了在一定程度上解决上面的问题，我们提出了我们的一个安全解决方案，也就是《私有云下的用户身份管理解决方案》。他可以比较完善地做到对每一个接入私有云服务的用户进行全面的身份认证、权限控制和审计管理，不论是内部人员还是外部人员接入内部环境。
术语
U-Key：全称USB Key。它是一种USB接口的硬件存储设备。USB Key的模样跟普通的U盘差不多，不同的是它里面存放了单片机或智能卡芯片，USB Key有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法可以实现对用户身份的认证。目前USB Key被广泛应用于国内的网上银行领域，是公认的较为安全的身份认证技术。
SSO(Single Sign On):单点登录，SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。
LDAP(Lightweight Directory Access Protocol)：轻量目录访问协议，，但是简单多了并且可以根据需要定制。，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
CA(Certificate Authority)：认证授权机构，即数字证书的申请及签发机关，也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

RA(Registration Authority)：注册机构，即注册审批系统，该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能，为整个机构体系提供电子认证服务。
SSL (Secure Sockets Layer)：安全套阶层，Netscape所研发