[轉載] 【每週推薦閱讀】PKI/X509：公有云的受權認證安全基礎體系

在Amazon AWS或者Google的App Engine開發平臺上使用各類公有云服務，都須要事先註冊並獲得一個關於我的身份的「證書」。就像咱們的我的身份證同樣，能夠用於證實本身的身份（Authentication）以及根據身份所在各個資源域所對應的角色得到資源使用的受權（Authorization）。由於全部資源提供者都信任身份證的發證機關（Cerfication Authentication），所以都按照事先約定好的規則對合法用戶進行受權（包括「對那些只有擁有什麼使用權限」（ACL）以及「使用量多少」（Quota））。這個身份證在互聯網上就是基於X509的工業標準（RFC3820/3821）所獲得的電子證書，記錄了PKI標示的惟一common name以及附屬的認證信息，還有一個擴展段能夠用來放用戶自定義信息。

 

百度公有云以及門神系統採用了Giano（或者BAAS）的認證體系。從設計角度來說，Giano使用的X509的認證體系，並但願經過相似於Globus的代理證書方式來實現離線認證（Single Sign-On，SSO）。但在實際的工程設計上，因爲Globus離線認證系統比較複雜，Giano實際上作了折中而採用基於kerberos的認證方式來實現SSO，這種基於kerberos方式採用帶時間週期的臨時ticket來代替X509代理證書（Proxy certificate）實質上下降了安全性，尤爲是在傳輸tiket的鏈路上若是沒有非對稱密鑰加密。

 

RFC3820/3821所設定的認證體系被認爲是目前最安全可靠的體系（國內銀行U盾也採用這樣的體系），最先其實發展自網絡計算時代的廣域網集羣調度計算任務。2006年，在我最先參與的國家863項目「國家網格系統GOS」以及歐盟XtreemOS項目中，就是專門研發基於X509以及代理證書的跨廣域網的集羣調度系統；但當時最有表明性的是Globus網格基礎組件。本週推薦閱讀的是2005年發表在ACM SIGSOFT的Globus security model for grid environment，會全面介紹廣域網使用證書進行離線安全認證的模型與機制。