隨著互聯(lián)網(wǎng)的發(fā)展,計算機的使用范圍和規(guī)模迅速擴大,人們對計算模式進行了新的思考,云計算的概念也隨之提出。關(guān)于云計算的概念有很多種表述,一種比較典型的描述:云計算把資源、數(shù)據(jù)、應用都抽象為服務并通過互聯(lián)網(wǎng)提供給用戶,人們通過云計算環(huán)境使用這些服務如同日常生活里使用電網(wǎng)的電力一樣。
云計算作為一種新型計算模式,帶來了IT產(chǎn)業(yè)的巨大變革,在提高IT資源利用率,降低投資和運營成本,加速產(chǎn)業(yè)轉(zhuǎn)型等方面都有很大優(yōu)勢。正如李德毅院士指出的那樣:云計算正推動著信息技術(shù)向社會化、集約化和專業(yè)化轉(zhuǎn)型。
桌面云是云計算的一種典型應用,以桌面虛擬化技術(shù)為基礎,以網(wǎng)絡為載體,為用戶提供個性化的虛擬工作桌面。桌面云的一個顯著特征是將虛擬化系統(tǒng)桌面作為服務提供給用戶使用,通過虛擬化技術(shù)對虛擬桌面進行抽象,使得底層物理資源和設備的差異對應用層完全透明,從而可以實現(xiàn)以虛擬桌面為單位進行統(tǒng)一管理。
一個常見的桌面云應用架構(gòu)如圖1所示,整個桌面云架構(gòu)分為三個層次:瘦客戶端層、虛擬桌面服務層和硬件層。在瘦客戶端層,用戶通過Pc或者瘦客戶端通過網(wǎng)絡訪問虛擬桌面服務。一般認為,采用瘦客戶終端比使用Pc機更有優(yōu)勢,不僅占用空間小,降低了能耗,同時使用定制的操作系統(tǒng),安全性得到了保證。虛擬桌面服務層包括虛擬化平臺、桌面服務、虛擬化調(diào)度軟件,應用軟件系統(tǒng)、用戶狀態(tài)虛擬化、虛擬化管理軟件。這一層是桌面云系統(tǒng)的基礎設施,用戶不僅可以使用這一層提供的桌面和應用服務,還對云計算系統(tǒng)進行管理。硬件層是桌面云系統(tǒng)運行的硬件平臺.包括服務器、存儲等。
圖1 桌面云體系架構(gòu)
圖1描述的桌面云典型體系架構(gòu)是一種面向服務的架構(gòu)設計模式,通過這種設計'虛擬桌面和應用業(yè)務被直接轉(zhuǎn)換成為能夠通過互聯(lián)網(wǎng)或本地網(wǎng)絡訪問的一組相互連接的服務模塊。同時,桌面云為用戶屏蔽了數(shù)據(jù)來源和平臺的差異,從而可以以一種一致的方式提供服務。
既然桌面云是一種基礎設施,能夠為用戶使用各種應用業(yè)務提供方便,那么最好的做法是桌面云本身以一種盡量透明的方式來為用戶提供服務。而為了保證用戶安全使用桌面云,必須對用戶訪問桌面云進行認證和授權(quán),同時考慮到用戶使用方便性,需要設計一種辦法讓已經(jīng)通過桌面云系統(tǒng)認證的用戶訪問云中的其他應用或服務時,不用再次認證就可以使用這些應用或服務。
1 桌面云認證技術(shù)
桌面云在提高資源利用率,創(chuàng)造新的價值的同時,也帶來了許多新的挑戰(zhàn)。其中之·就是桌面云的身份認證,有效、快速地驗證用戶身份不僅是桌面云訪問控制和管理的前提,而且也是提高用戶體驗,贏得用戶信任的關(guān)鍵。
桌面云認證技術(shù)目前還處于探討和完善階段,Tim Mather等認為云計算的認證包括了認證、授權(quán)、審計'以及身份聯(lián)合管理等方面的技術(shù),并且描述了身份生命周期管理的各個階段。如圖2所示。
圖2身份生命周期
在這個身份生命周期里,用戶首先通過了桌面云系統(tǒng)的認證,然后根據(jù)系統(tǒng)授予的權(quán)限自助地訪問各種應用和服務。由于桌面云和各個應用系統(tǒng)都有自己的身份認證和管理方式,以及用戶信息保存方式,在這個過程中,可能需要用戶進行多次認證。這給用戶帶來了不便,也容易引起一些混亂。因此身份聯(lián)合和單點登錄(SSO)也成為了桌面云系統(tǒng)的首選。這樣在圖2中的用戶生命周期就可以這樣描述,用戶通過用戶門戶等方式訪問桌面云系統(tǒng),通過某種方式進行身份認證,桌面云根據(jù)用戶信息進行授權(quán),使得用戶不需要再次認證就可以自助的訪問應用和服務。
桌面云身份認證一般采用如圖3所示的體系架構(gòu)。在這個體系架構(gòu)中,用戶通過用戶門戶對桌面云系統(tǒng)進行了訪問,桌面云系統(tǒng)通過身份認證管理服務對用戶進行了認證,授權(quán)應用和管理模塊根據(jù)用戶信息數(shù)據(jù)庫中的用戶信息對用戶進行了授權(quán),桌面云調(diào)度和管理模塊根據(jù)授權(quán)結(jié)果分配了給用戶特定的虛擬機資源,同時用戶根據(jù)授權(quán)結(jié)果訪問授權(quán)范圍內(nèi)的其他應用和服務。
這個架構(gòu)的優(yōu)點在于實現(xiàn)了單點登錄,提供給用戶很好的用戶體驗,用戶不需要多次登錄,也不用特定應用和服務的用戶認證信息,而且通過集中化的用戶認證和訪問管理,有效防止了用戶未授權(quán)訪問應用系統(tǒng),因此提高了整個桌面云系統(tǒng)的安全性。雖然這個架構(gòu)還是一個粗線條的框架,里面有很多具體的細節(jié)和標準還需要進一步完善,但是這個架構(gòu)為桌面云產(chǎn)品或服務提供商提供一個參考,將這個架構(gòu)與行業(yè)標準的身份管理協(xié)議如斷言標記語言(SAML)、服務供應標記語言(SPML)、可擴展訪問控制標記語言(XACML)等結(jié)合起來,有助于實現(xiàn)完善的桌面云用戶身份認證技術(shù)方案。
圖3桌面云通用身份認證架構(gòu)
圖3中描述的桌面云認證方式并不是唯一的認證技術(shù)架構(gòu),如XUE Kai等提出了_種針對云計算的雙因子認證方法,WenBOMao等提出了無信任鏈可信計算技術(shù),這些都是對云計算認證有益的技術(shù)嘗試和研究。
2 一種基于桌面云的統(tǒng)一身份認證架構(gòu)設計
圖3中提出的桌面云認證架構(gòu)是一種通用的身份認證方式,但不是最好的。其原因在于,這個架構(gòu)里桌面云的核心一虛擬桌面服務被等同于其他普通應用和服務,而沒有加以區(qū)別。這給桌面云的實現(xiàn)和部署帶來了困難,甚至要改變桌面云原有的技術(shù)方案。因此,本文提出了新的桌面云統(tǒng)一身份認證技術(shù)架構(gòu),如圖4所示。
圖4新的桌面云認證架構(gòu)
在這個架構(gòu)里,用戶使用瘦客戶端、移動PC、pad等終端設備,通過用戶門戶連接到桌面云系統(tǒng),經(jīng)過重定向,用戶的連接請求被提交給虛擬桌面認證調(diào)度服務器,認證調(diào)度服務器處理用戶請求,根據(jù)用戶信息數(shù)據(jù)中的用戶腳色、權(quán)限等為用戶分配特定的虛擬機和計算資源。之后用戶通過虛擬桌面訪問其他各種應用,此時由于存在統(tǒng)一身份管理服務,用戶可以不用出示認證信息,其做法是應用服務和統(tǒng)一身份管理服務之間進行交互,通過統(tǒng)一身份管理服務獲得用戶使用應用系統(tǒng)的權(quán)限,類似于開放式身份認證(OAuth)。
在該架構(gòu)模式中,統(tǒng)一身份管理服務是一個獨立的模塊,主要面向各種應用服務,實現(xiàn)用戶只需要一次登錄就可以方便的訪問各種應用和服務,同時也保護了用戶的一些隱私信息。各種應用可以動態(tài)的、分步驟的遷移到桌面云的環(huán)境中,這也意味著,對于新加入的應用系統(tǒng)的身份管理,統(tǒng)一身份認證模式也能夠進行身份管理。統(tǒng)一身份管理服務的主要職責在于通過權(quán)限管理,給用戶進行授權(quán),使其可以訪問其他受信任的系統(tǒng)和應用程序。與傳統(tǒng)統(tǒng)一身份認證方式不同的是,統(tǒng)一身份管理服務不再負責用戶的身份認證,而是把這部分工作認證交給桌面云系統(tǒng)處理,這樣有助于統(tǒng)一身份管理服務與桌面云系統(tǒng)相分離。
除了上述優(yōu)點之外,這個架構(gòu)實現(xiàn)起來也非常容易,桌面云系統(tǒng)可以按照原有的方式部署實施,不需要重新設計和開發(fā)。此外,通過添加統(tǒng)一身份管理服務,桌面云系統(tǒng)和應用系統(tǒng)之間保持了最松散的耦合,桌面云和應用系統(tǒng)都不需要有太大改動,有助于桌面云系統(tǒng)與已有的應用系統(tǒng)融合。而且通過設計一個通用的統(tǒng)一身份管理服務,整個桌面云的可移植性得到了加強,可以適用于更多地情況。圖5描述了用戶登錄桌面云并訪問應用服務的流程,大致可以分為以下6個步驟。
1)用戶通過Web方式登錄桌面云,桌面云門戶將用戶信息提交給桌面云調(diào)度系統(tǒng)。
2)桌面云調(diào)度系統(tǒng)將為用戶分配特定的虛擬桌面
3)用戶通過虛擬桌面訪問應用系統(tǒng)
4)用系統(tǒng)向應用授權(quán)服務器詢問用戶權(quán)限
5)授權(quán)服務器向應用系統(tǒng)返回用戶權(quán)限
6)系統(tǒng)更具收到的用戶權(quán)限允許或拒絕用戶訪問
3 結(jié)束語
桌面云是云計算的一種具體應用方式,在一些專有系統(tǒng)中應用較廣,如何實現(xiàn)桌面云的統(tǒng)一身份認證是應用過程中面臨的挑戰(zhàn)之一。本文設計了一個基于桌面云的統(tǒng)一身份認證架構(gòu),能夠?qū)崿F(xiàn)與桌面云系統(tǒng)的松耦合,更加有利于桌面云系統(tǒng)在專有系統(tǒng)的部署實施,以及應用的動態(tài)添加。
本文提出的架構(gòu)在理論上可以實現(xiàn)桌面云統(tǒng)一身份認證,還需要經(jīng)過實際應用才能檢驗其優(yōu)缺點。而設計更加通用、完善的桌面云統(tǒng)一身份認證模式,還需要學術(shù)界、產(chǎn)業(yè)界付出更多的努力。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:基于桌面云的統(tǒng)一身份認證架構(gòu)研究
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112188076.html