[转载] 【每周推荐阅读】PKI/X509：公有云的授权认证安全基础体系

在Amazon AWS或者Google的App Engine开发平台上使用各种公有云服务，都需要事先注册并得到一个关于个人身份的“证书”。就像我们的个人身份证一样，可以用于证明自己的身份（Authentication）以及根据身份所在各个资源域所对应的角色获得资源使用的授权（Authorization）。因为所有资源提供者都信任身份证的发证机关（Cerfication Authentication），因此都按照事先约定好的规则对合法用户进行授权（包括“对那些只有拥有什么使用权限”（ACL）以及“使用量多少”（Quota））。这个身份证在互联网上就是基于X509的工业标准（RFC3820/3821）所得到的电子证书，记录了PKI标示的唯一common name以及附属的认证信息，还有一个扩展段可以用来放用户自定义信息。

百度公有云以及门神系统采用了Giano（或者BAAS）的认证体系。从设计角度来讲，Giano使用的X509的认证体系，并希望通过类似于Globus的代理证书方式来实现离线认证（Single Sign-On，SSO）。但在实际的工程设计上，由于Globus离线认证系统比较复杂，Giano实际上做了折中而采用基于kerberos的认证方式来实现SSO，这种基于kerberos方式采用带时间周期的临时ticket来代替X509代理证书（Proxy certificate）实质上降低了安全性，尤其是在传输tiket的链路上如果没有非对称密钥加密。

RFC3820/3821所设定的认证体系被认为是目前最安全可靠的体系（国内银行U盾也采用这样的体系），最早其实发展自网络计算时代的广域网集群调度计算任务。2006年，在我最早参与的国家863项目“国家网格系统GOS”以及欧盟XtreemOS项目中，就是专门研发基于X509以及代理证书的跨广域网的集群调度系统；但当时最有代表性的是Globus网格基础组件。本周推荐阅读的是2005年发表在ACM SIGSOFT的Globus security model for grid environment，会全面介绍广域网使用证书进行离线安全认证的模型与机制。