隨著互聯網的發展,計算機的使用范圍和規模迅速擴大,人們對計算模式進行了新的思考,云計算的概念也隨之提出。關于云計算的概念有很多種表述,一種比較典型的描述:云計算把資源、數據、應用都抽象為服務并通過互聯網提供給用戶,人們通過云計算環境使用這些服務如同日常生活里使用電網的電力一樣。
云計算作為一種新型計算模式,帶來了IT產業的巨大變革,在提高IT資源利用率,降低投資和運營成本,加速產業轉型等方面都有很大優勢。正如李德毅院士指出的那樣:云計算正推動著信息技術向社會化、集約化和專業化轉型。
桌面云是云計算的一種典型應用,以桌面虛擬化技術為基礎,以網絡為載體,為用戶提供個性化的虛擬工作桌面。桌面云的一個顯著特征是將虛擬化系統桌面作為服務提供給用戶使用,通過虛擬化技術對虛擬桌面進行抽象,使得底層物理資源和設備的差異對應用層完全透明,從而可以實現以虛擬桌面為單位進行統一管理。
一個常見的桌面云應用架構如圖1所示,整個桌面云架構分為三個層次:瘦客戶端層、虛擬桌面服務層和硬件層。在瘦客戶端層,用戶通過Pc或者瘦客戶端通過網絡訪問虛擬桌面服務。一般認為,采用瘦客戶終端比使用Pc機更有優勢,不僅占用空間小,降低了能耗,同時使用定制的操作系統,安全性得到了保證。虛擬桌面服務層包括虛擬化平臺、桌面服務、虛擬化調度軟件,應用軟件系統、用戶狀態虛擬化、虛擬化管理軟件。這一層是桌面云系統的基礎設施,用戶不僅可以使用這一層提供的桌面和應用服務,還對云計算系統進行管理。硬件層是桌面云系統運行的硬件平臺.包括服務器、存儲等。
圖1 桌面云體系架構
圖1描述的桌面云典型體系架構是一種面向服務的架構設計模式,通過這種設計'虛擬桌面和應用業務被直接轉換成為能夠通過互聯網或本地網絡訪問的一組相互連接的服務模塊。同時,桌面云為用戶屏蔽了數據來源和平臺的差異,從而可以以一種一致的方式提供服務。
既然桌面云是一種基礎設施,能夠為用戶使用各種應用業務提供方便,那么最好的做法是桌面云本身以一種盡量透明的方式來為用戶提供服務。而為了保證用戶安全使用桌面云,必須對用戶訪問桌面云進行認證和授權,同時考慮到用戶使用方便性,需要設計一種辦法讓已經通過桌面云系統認證的用戶訪問云中的其他應用或服務時,不用再次認證就可以使用這些應用或服務。
1 桌面云認證技術
桌面云在提高資源利用率,創造新的價值的同時,也帶來了許多新的挑戰。其中之·就是桌面云的身份認證,有效、快速地驗證用戶身份不僅是桌面云訪問控制和管理的前提,而且也是提高用戶體驗,贏得用戶信任的關鍵。
桌面云認證技術目前還處于探討和完善階段,Tim Mather等認為云計算的認證包括了認證、授權、審計'以及身份聯合管理等方面的技術,并且描述了身份生命周期管理的各個階段。如圖2所示。
圖2身份生命周期
在這個身份生命周期里,用戶首先通過了桌面云系統的認證,然后根據系統授予的權限自助地訪問各種應用和服務。由于桌面云和各個應用系統都有自己的身份認證和管理方式,以及用戶信息保存方式,在這個過程中,可能需要用戶進行多次認證。這給用戶帶來了不便,也容易引起一些混亂。因此身份聯合和單點登錄(SSO)也成為了桌面云系統的首選。這樣在圖2中的用戶生命周期就可以這樣描述,用戶通過用戶門戶等方式訪問桌面云系統,通過某種方式進行身份認證,桌面云根據用戶信息進行授權,使得用戶不需要再次認證就可以自助的訪問應用和服務。
桌面云身份認證一般采用如圖3所示的體系架構。在這個體系架構中,用戶通過用戶門戶對桌面云系統進行了訪問,桌面云系統通過身份認證管理服務對用戶進行了認證,授權應用和管理模塊根據用戶信息數據庫中的用戶信息對用戶進行了授權,桌面云調度和管理模塊根據授權結果分配了給用戶特定的虛擬機資源,同時用戶根據授權結果訪問授權范圍內的其他應用和服務。
這個架構的優點在于實現了單點登錄,提供給用戶很好的用戶體驗,用戶不需要多次登錄,也不用特定應用和服務的用戶認證信息,而且通過集中化的用戶認證和訪問管理,有效防止了用戶未授權訪問應用系統,因此提高了整個桌面云系統的安全性。雖然這個架構還是一個粗線條的框架,里面有很多具體的細節和標準還需要進一步完善,但是這個架構為桌面云產品或服務提供商提供一個參考,將這個架構與行業標準的身份管理協議如斷言標記語言(SAML)、服務供應標記語言(SPML)、可擴展訪問控制標記語言(XACML)等結合起來,有助于實現完善的桌面云用戶身份認證技術方案。
圖3桌面云通用身份認證架構
圖3中描述的桌面云認證方式并不是唯一的認證技術架構,如XUE Kai等提出了_種針對云計算的雙因子認證方法,WenBOMao等提出了無信任鏈可信計算技術,這些都是對云計算認證有益的技術嘗試和研究。
2 一種基于桌面云的統一身份認證架構設計
圖3中提出的桌面云認證架構是一種通用的身份認證方式,但不是最好的。其原因在于,這個架構里桌面云的核心一虛擬桌面服務被等同于其他普通應用和服務,而沒有加以區別。這給桌面云的實現和部署帶來了困難,甚至要改變桌面云原有的技術方案。因此,本文提出了新的桌面云統一身份認證技術架構,如圖4所示。
圖4新的桌面云認證架構
在這個架構里,用戶使用瘦客戶端、移動PC、pad等終端設備,通過用戶門戶連接到桌面云系統,經過重定向,用戶的連接請求被提交給虛擬桌面認證調度服務器,認證調度服務器處理用戶請求,根據用戶信息數據中的用戶腳色、權限等為用戶分配特定的虛擬機和計算資源。之后用戶通過虛擬桌面訪問其他各種應用,此時由于存在統一身份管理服務,用戶可以不用出示認證信息,其做法是應用服務和統一身份管理服務之間進行交互,通過統一身份管理服務獲得用戶使用應用系統的權限,類似于開放式身份認證(OAuth)。
在該架構模式中,統一身份管理服務是一個獨立的模塊,主要面向各種應用服務,實現用戶只需要一次登錄就可以方便的訪問各種應用和服務,同時也保護了用戶的一些隱私信息。各種應用可以動態的、分步驟的遷移到桌面云的環境中,這也意味著,對于新加入的應用系統的身份管理,統一身份認證模式也能夠進行身份管理。統一身份管理服務的主要職責在于通過權限管理,給用戶進行授權,使其可以訪問其他受信任的系統和應用程序。與傳統統一身份認證方式不同的是,統一身份管理服務不再負責用戶的身份認證,而是把這部分工作認證交給桌面云系統處理,這樣有助于統一身份管理服務與桌面云系統相分離。
除了上述優點之外,這個架構實現起來也非常容易,桌面云系統可以按照原有的方式部署實施,不需要重新設計和開發。此外,通過添加統一身份管理服務,桌面云系統和應用系統之間保持了最松散的耦合,桌面云和應用系統都不需要有太大改動,有助于桌面云系統與已有的應用系統融合。而且通過設計一個通用的統一身份管理服務,整個桌面云的可移植性得到了加強,可以適用于更多地情況。圖5描述了用戶登錄桌面云并訪問應用服務的流程,大致可以分為以下6個步驟。
1)用戶通過Web方式登錄桌面云,桌面云門戶將用戶信息提交給桌面云調度系統。
2)桌面云調度系統將為用戶分配特定的虛擬桌面
3)用戶通過虛擬桌面訪問應用系統
4)用系統向應用授權服務器詢問用戶權限
5)授權服務器向應用系統返回用戶權限
6)系統更具收到的用戶權限允許或拒絕用戶訪問
3 結束語
桌面云是云計算的一種具體應用方式,在一些專有系統中應用較廣,如何實現桌面云的統一身份認證是應用過程中面臨的挑戰之一。本文設計了一個基于桌面云的統一身份認證架構,能夠實現與桌面云系統的松耦合,更加有利于桌面云系統在專有系統的部署實施,以及應用的動態添加。
本文提出的架構在理論上可以實現桌面云統一身份認證,還需要經過實際應用才能檢驗其優缺點。而設計更加通用、完善的桌面云統一身份認證模式,還需要學術界、產業界付出更多的努力。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:基于桌面云的統一身份認證架構研究
相關文章
