随着互联网的发展,计算机的使用范围和规模迅速扩大,人们对计算模式进行了新的思考,云计算的概念也随之提出。关于云计算的概念有很多种表述,一种比较典型的描述:云计算把资源、数据、应用都抽象为服务并通过互联网提供给用户,人们通过云计算环境使用这些服务如同日常生活里使用电网的电力一样。
云计算作为一种新型计算模式,带来了IT产业的巨大变革,在提高IT资源利用率,降低投资和运营成本,加速产业转型等方面都有很大优势。正如李德毅院士指出的那样:云计算正推动着信息技术向社会化、集约化和专业化转型。
桌面云是云计算的一种典型应用,以桌面虚拟化技术为基础,以网络为载体,为用户提供个性化的虚拟工作桌面。桌面云的一个显著特征是将虚拟化系统桌面作为服务提供给用户使用,通过虚拟化技术对虚拟桌面进行抽象,使得底层物理资源和设备的差异对应用层完全透明,从而可以实现以虚拟桌面为单位进行统一管理。
一个常见的桌面云应用架构如图1所示,整个桌面云架构分为三个层次:瘦客户端层、虚拟桌面服务层和硬件层。在瘦客户端层,用户通过Pc或者瘦客户端通过网络访问虚拟桌面服务。一般认为,采用瘦客户终端比使用Pc机更有优势,不仅占用空间小,降低了能耗,同时使用定制的操作系统,安全性得到了保证。虚拟桌面服务层包括虚拟化平台、桌面服务、虚拟化调度软件,应用软件系统、用户状态虚拟化、虚拟化管理软件。这一层是桌面云系统的基础设施,用户不仅可以使用这一层提供的桌面和应用服务,还对云计算系统进行管理。硬件层是桌面云系统运行的硬件平台.包括服务器、存储等。
图1 桌面云体系架构
图1描述的桌面云典型体系架构是一种面向服务的架构设计模式,通过这种设计'虚拟桌面和应用业务被直接转换成为能够通过互联网或本地网络访问的一组相互连接的服务模块。同时,桌面云为用户屏蔽了数据来源和平台的差异,从而可以以一种一致的方式提供服务。
既然桌面云是一种基础设施,能够为用户使用各种应用业务提供方便,那么最好的做法是桌面云本身以一种尽量透明的方式来为用户提供服务。而为了保证用户安全使用桌面云,必须对用户访问桌面云进行认证和授权,同时考虑到用户使用方便性,需要设计一种办法让已经通过桌面云系统认证的用户访问云中的其他应用或服务时,不用再次认证就可以使用这些应用或服务。
1 桌面云认证技术
桌面云在提高资源利用率,创造新的价值的同时,也带来了许多新的挑战。其中之·就是桌面云的身份认证,有效、快速地验证用户身份不仅是桌面云访问控制和管理的前提,而且也是提高用户体验,赢得用户信任的关键。
桌面云认证技术目前还处于探讨和完善阶段,Tim Mather等认为云计算的认证包括了认证、授权、审计'以及身份联合管理等方面的技术,并且描述了身份生命周期管理的各个阶段。如图2所示。
图2身份生命周期
在这个身份生命周期里,用户首先通过了桌面云系统的认证,然后根据系统授予的权限自助地访问各种应用和服务。由于桌面云和各个应用系统都有自己的身份认证和管理方式,以及用户信息保存方式,在这个过程中,可能需要用户进行多次认证。这给用户带来了不便,也容易引起一些混乱。因此身份联合和单点登录(SSO)也成为了桌面云系统的首选。这样在图2中的用户生命周期就可以这样描述,用户通过用户门户等方式访问桌面云系统,通过某种方式进行身份认证,桌面云根据用户信息进行授权,使得用户不需要再次认证就可以自助的访问应用和服务。
桌面云身份认证一般采用如图3所示的体系架构。在这个体系架构中,用户通过用户门户对桌面云系统进行了访问,桌面云系统通过身份认证管理服务对用户进行了认证,授权应用和管理模块根据用户信息数据库中的用户信息对用户进行了授权,桌面云调度和管理模块根据授权结果分配了给用户特定的虚拟机资源,同时用户根据授权结果访问授权范围内的其他应用和服务。
这个架构的优点在于实现了单点登录,提供给用户很好的用户体验,用户不需要多次登录,也不用特定应用和服务的用户认证信息,而且通过集中化的用户认证和访问管理,有效防止了用户未授权访问应用系统,因此提高了整个桌面云系统的安全性。虽然这个架构还是一个粗线条的框架,里面有很多具体的细节和标准还需要进一步完善,但是这个架构为桌面云产品或服务提供商提供一个参考,将这个架构与行业标准的身份管理协议如断言标记语言(SAML)、服务供应标记语言(SPML)、可扩展访问控制标记语言(XACML)等结合起来,有助于实现完善的桌面云用户身份认证技术方案。
图3桌面云通用身份认证架构
图3中描述的桌面云认证方式并不是唯一的认证技术架构,如XUE Kai等提出了_种针对云计算的双因子认证方法,WenBOMao等提出了无信任链可信计算技术,这些都是对云计算认证有益的技术尝试和研究。
2 一种基于桌面云的统一身份认证架构设计
图3中提出的桌面云认证架构是一种通用的身份认证方式,但不是最好的。其原因在于,这个架构里桌面云的核心一虚拟桌面服务被等同于其他普通应用和服务,而没有加以区别。这给桌面云的实现和部署带来了困难,甚至要改变桌面云原有的技术方案。因此,本文提出了新的桌面云统一身份认证技术架构,如图4所示。
图4新的桌面云认证架构
在这个架构里,用户使用瘦客户端、移动PC、pad等终端设备,通过用户门户连接到桌面云系统,经过重定向,用户的连接请求被提交给虚拟桌面认证调度服务器,认证调度服务器处理用户请求,根据用户信息数据中的用户脚色、权限等为用户分配特定的虚拟机和计算资源。之后用户通过虚拟桌面访问其他各种应用,此时由于存在统一身份管理服务,用户可以不用出示认证信息,其做法是应用服务和统一身份管理服务之间进行交互,通过统一身份管理服务获得用户使用应用系统的权限,类似于开放式身份认证(OAuth)。
在该架构模式中,统一身份管理服务是一个独立的模块,主要面向各种应用服务,实现用户只需要一次登录就可以方便的访问各种应用和服务,同时也保护了用户的一些隐私信息。各种应用可以动态的、分步骤的迁移到桌面云的环境中,这也意味着,对于新加入的应用系统的身份管理,统一身份认证模式也能够进行身份管理。统一身份管理服务的主要职责在于通过权限管理,给用户进行授权,使其可以访问其他受信任的系统和应用程序。与传统统一身份认证方式不同的是,统一身份管理服务不再负责用户的身份认证,而是把这部分工作认证交给桌面云系统处理,这样有助于统一身份管理服务与桌面云系统相分离。
除了上述优点之外,这个架构实现起来也非常容易,桌面云系统可以按照原有的方式部署实施,不需要重新设计和开发。此外,通过添加统一身份管理服务,桌面云系统和应用系统之间保持了最松散的耦合,桌面云和应用系统都不需要有太大改动,有助于桌面云系统与已有的应用系统融合。而且通过设计一个通用的统一身份管理服务,整个桌面云的可移植性得到了加强,可以适用于更多地情况。图5描述了用户登录桌面云并访问应用服务的流程,大致可以分为以下6个步骤。
1)用户通过Web方式登录桌面云,桌面云门户将用户信息提交给桌面云调度系统。
2)桌面云调度系统将为用户分配特定的虚拟桌面
3)用户通过虚拟桌面访问应用系统
4)用系统向应用授权服务器询问用户权限
5)授权服务器向应用系统返回用户权限
6)系统更具收到的用户权限允许或拒绝用户访问
3 结束语
桌面云是云计算的一种具体应用方式,在一些专有系统中应用较广,如何实现桌面云的统一身份认证是应用过程中面临的挑战之一。本文设计了一个基于桌面云的统一身份认证架构,能够实现与桌面云系统的松耦合,更加有利于桌面云系统在专有系统的部署实施,以及应用的动态添加。
本文提出的架构在理论上可以实现桌面云统一身份认证,还需要经过实际应用才能检验其优缺点。而设计更加通用、完善的桌面云统一身份认证模式,还需要学术界、产业界付出更多的努力。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:基于桌面云的统一身份认证架构研究
相关文章
