隨著互聯(lián)網(wǎng)的發(fā)展，計(jì)算機(jī)的使用范圍和規(guī)模迅速擴(kuò)大，人們對計(jì)算模式進(jìn)行了新的思考，云計(jì)算的概念也隨之提出。關(guān)于云計(jì)算的概念有很多種表述，一種比較典型的描述：云計(jì)算把資源、數(shù)據(jù)、應(yīng)用都抽象為服務(wù)并通過互聯(lián)網(wǎng)提供給用戶，人們通過云計(jì)算環(huán)境使用這些服務(wù)如同日常生活里使用電網(wǎng)的電力一樣。

    云計(jì)算作為一種新型計(jì)算模式，帶來了IT產(chǎn)業(yè)的巨大變革，在提高IT資源利用率，降低投資和運(yùn)營成本，加速產(chǎn)業(yè)轉(zhuǎn)型等方面都有很大優(yōu)勢。正如李德毅院士指出的那樣：云計(jì)算正推動著信息技術(shù)向社會化、集約化和專業(yè)化轉(zhuǎn)型。

    桌面云是云計(jì)算的一種典型應(yīng)用，以桌面虛擬化技術(shù)為基礎(chǔ)，以網(wǎng)絡(luò)為載體，為用戶提供個性化的虛擬工作桌面。桌面云的一個顯著特征是將虛擬化系統(tǒng)桌面作為服務(wù)提供給用戶使用，通過虛擬化技術(shù)對虛擬桌面進(jìn)行抽象，使得底層物理資源和設(shè)備的差異對應(yīng)用層完全透明，從而可以實(shí)現(xiàn)以虛擬桌面為單位進(jìn)行統(tǒng)一管理。

    一個常見的桌面云應(yīng)用架構(gòu)如圖1所示，整個桌面云架構(gòu)分為三個層次：瘦客戶端層、虛擬桌面服務(wù)層和硬件層。在瘦客戶端層，用戶通過Pc或者瘦客戶端通過網(wǎng)絡(luò)訪問虛擬桌面服務(wù)。一般認(rèn)為，采用瘦客戶終端比使用Pc機(jī)更有優(yōu)勢，不僅占用空間小，降低了能耗，同時使用定制的操作系統(tǒng)，安全性得到了保證。虛擬桌面服務(wù)層包括虛擬化平臺、桌面服務(wù)、虛擬化調(diào)度軟件，應(yīng)用軟件系統(tǒng)、用戶狀態(tài)虛擬化、虛擬化管理軟件。這一層是桌面云系統(tǒng)的基礎(chǔ)設(shè)施，用戶不僅可以使用這一層提供的桌面和應(yīng)用服務(wù)，還對云計(jì)算系統(tǒng)進(jìn)行管理。硬件層是桌面云系統(tǒng)運(yùn)行的硬件平臺．包括服務(wù)器、存儲等。

圖1 桌面云體系架構(gòu)

    圖1描述的桌面云典型體系架構(gòu)是一種面向服務(wù)的架構(gòu)設(shè)計(jì)模式，通過這種設(shè)計(jì)'虛擬桌面和應(yīng)用業(yè)務(wù)被直接轉(zhuǎn)換成為能夠通過互聯(lián)網(wǎng)或本地網(wǎng)絡(luò)訪問的一組相互連接的服務(wù)模塊。同時，桌面云為用戶屏蔽了數(shù)據(jù)來源和平臺的差異，從而可以以一種一致的方式提供服務(wù)。

    既然桌面云是一種基礎(chǔ)設(shè)施，能夠?yàn)橛脩羰褂酶鞣N應(yīng)用業(yè)務(wù)提供方便，那么最好的做法是桌面云本身以一種盡量透明的方式來為用戶提供服務(wù)。而為了保證用戶安全使用桌面云，必須對用戶訪問桌面云進(jìn)行認(rèn)證和授權(quán)，同時考慮到用戶使用方便性，需要設(shè)計(jì)一種辦法讓已經(jīng)通過桌面云系統(tǒng)認(rèn)證的用戶訪問云中的其他應(yīng)用或服務(wù)時，不用再次認(rèn)證就可以使用這些應(yīng)用或服務(wù)。

1 桌面云認(rèn)證技術(shù)

    桌面云在提高資源利用率，創(chuàng)造新的價(jià)值的同時，也帶來了許多新的挑戰(zhàn)。其中之·就是桌面云的身份認(rèn)證，有效、快速地驗(yàn)證用戶身份不僅是桌面云訪問控制和管理的前提，而且也是提高用戶體驗(yàn)，贏得用戶信任的關(guān)鍵。

    桌面云認(rèn)證技術(shù)目前還處于探討和完善階段，Tim Mather等認(rèn)為云計(jì)算的認(rèn)證包括了認(rèn)證、授權(quán)、審計(jì)'以及身份聯(lián)合管理等方面的技術(shù)，并且描述了身份生命周期管理的各個階段。如圖2所示。

圖2身份生命周期

    在這個身份生命周期里，用戶首先通過了桌面云系統(tǒng)的認(rèn)證，然后根據(jù)系統(tǒng)授予的權(quán)限自助地訪問各種應(yīng)用和服務(wù)。由于桌面云和各個應(yīng)用系統(tǒng)都有自己的身份認(rèn)證和管理方式，以及用戶信息保存方式，在這個過程中，可能需要用戶進(jìn)行多次認(rèn)證。這給用戶帶來了不便，也容易引起一些混亂。因此身份聯(lián)合和單點(diǎn)登錄(SSO)也成為了桌面云系統(tǒng)的首選。這樣在圖2中的用戶生命周期就可以這樣描述，用戶通過用戶門戶等方式訪問桌面云系統(tǒng)，通過某種方式進(jìn)行身份認(rèn)證，桌面云根據(jù)用戶信息進(jìn)行授權(quán)，使得用戶不需要再次認(rèn)證就可以自助的訪問應(yīng)用和服務(wù)。

    桌面云身份認(rèn)證一般采用如圖3所示的體系架構(gòu)。在這個體系架構(gòu)中，用戶通過用戶門戶對桌面云系統(tǒng)進(jìn)行了訪問，桌面云系統(tǒng)通過身份認(rèn)證管理服務(wù)對用戶進(jìn)行了認(rèn)證，授權(quán)應(yīng)用和管理模塊根據(jù)用戶信息數(shù)據(jù)庫中的用戶信息對用戶進(jìn)行了授權(quán)，桌面云調(diào)度和管理模塊根據(jù)授權(quán)結(jié)果分配了給用戶特定的虛擬機(jī)資源，同時用戶根據(jù)授權(quán)結(jié)果訪問授權(quán)范圍內(nèi)的其他應(yīng)用和服務(wù)。

    這個架構(gòu)的優(yōu)點(diǎn)在于實(shí)現(xiàn)了單點(diǎn)登錄，提供給用戶很好的用戶體驗(yàn)，用戶不需要多次登錄，也不用特定應(yīng)用和服務(wù)的用戶認(rèn)證信息，而且通過集中化的用戶認(rèn)證和訪問管理，有效防止了用戶未授權(quán)訪問應(yīng)用系統(tǒng)，因此提高了整個桌面云系統(tǒng)的安全性。雖然這個架構(gòu)還是一個粗線條的框架，里面有很多具體的細(xì)節(jié)和標(biāo)準(zhǔn)還需要進(jìn)一步完善，但是這個架構(gòu)為桌面云產(chǎn)品或服務(wù)提供商提供一個參考，將這個架構(gòu)與行業(yè)標(biāo)準(zhǔn)的身份管理協(xié)議如斷言標(biāo)記語言(SAML)、服務(wù)供應(yīng)標(biāo)記語言(SPML)、可擴(kuò)展訪問控制標(biāo)記語言(XACML)等結(jié)合起來，有助于實(shí)現(xiàn)完善的桌面云用戶身份認(rèn)證技術(shù)方案。

圖3桌面云通用身份認(rèn)證架構(gòu)

    圖3中描述的桌面云認(rèn)證方式并不是唯一的認(rèn)證技術(shù)架構(gòu)，如XUE Kai等提出了_種針對云計(jì)算的雙因子認(rèn)證方法，WenBOMao等提出了無信任鏈可信計(jì)算技術(shù)，這些都是對云計(jì)算認(rèn)證有益的技術(shù)嘗試和研究。

2 一種基于桌面云的統(tǒng)一身份認(rèn)證架構(gòu)設(shè)計(jì)

    圖3中提出的桌面云認(rèn)證架構(gòu)是一種通用的身份認(rèn)證方式，但不是最好的。其原因在于，這個架構(gòu)里桌面云的核心一虛擬桌面服務(wù)被等同于其他普通應(yīng)用和服務(wù)，而沒有加以區(qū)別。這給桌面云的實(shí)現(xiàn)和部署帶來了困難，甚至要改變桌面云原有的技術(shù)方案。因此，本文提出了新的桌面云統(tǒng)一身份認(rèn)證技術(shù)架構(gòu)，如圖4所示。

圖4新的桌面云認(rèn)證架構(gòu)

    在這個架構(gòu)里，用戶使用瘦客戶端、移動PC、pad等終端設(shè)備，通過用戶門戶連接到桌面云系統(tǒng)，經(jīng)過重定向，用戶的連接請求被提交給虛擬桌面認(rèn)證調(diào)度服務(wù)器，認(rèn)證調(diào)度服務(wù)器處理用戶請求，根據(jù)用戶信息數(shù)據(jù)中的用戶腳色、權(quán)限等為用戶分配特定的虛擬機(jī)和計(jì)算資源。之后用戶通過虛擬桌面訪問其他各種應(yīng)用，此時由于存在統(tǒng)一身份管理服務(wù)，用戶可以不用出示認(rèn)證信息，其做法是應(yīng)用服務(wù)和統(tǒng)一身份管理服務(wù)之間進(jìn)行交互，通過統(tǒng)一身份管理服務(wù)獲得用戶使用應(yīng)用系統(tǒng)的權(quán)限，類似于開放式身份認(rèn)證(OAuth)。

    在該架構(gòu)模式中，統(tǒng)一身份管理服務(wù)是一個獨(dú)立的模塊，主要面向各種應(yīng)用服務(wù)，實(shí)現(xiàn)用戶只需要一次登錄就可以方便的訪問各種應(yīng)用和服務(wù)，同時也保護(hù)了用戶的一些隱私信息。各種應(yīng)用可以動態(tài)的、分步驟的遷移到桌面云的環(huán)境中，這也意味著，對于新加入的應(yīng)用系統(tǒng)的身份管理，統(tǒng)一身份認(rèn)證模式也能夠進(jìn)行身份管理。統(tǒng)一身份管理服務(wù)的主要職責(zé)在于通過權(quán)限管理，給用戶進(jìn)行授權(quán)，使其可以訪問其他受信任的系統(tǒng)和應(yīng)用程序。與傳統(tǒng)統(tǒng)一身份認(rèn)證方式不同的是，統(tǒng)一身份管理服務(wù)不再負(fù)責(zé)用戶的身份認(rèn)證，而是把這部分工作認(rèn)證交給桌面云系統(tǒng)處理，這樣有助于統(tǒng)一身份管理服務(wù)與桌面云系統(tǒng)相分離。

    除了上述優(yōu)點(diǎn)之外，這個架構(gòu)實(shí)現(xiàn)起來也非常容易，桌面云系統(tǒng)可以按照原有的方式部署實(shí)施，不需要重新設(shè)計(jì)和開發(fā)。此外，通過添加統(tǒng)一身份管理服務(wù)，桌面云系統(tǒng)和應(yīng)用系統(tǒng)之間保持了最松散的耦合，桌面云和應(yīng)用系統(tǒng)都不需要有太大改動，有助于桌面云系統(tǒng)與已有的應(yīng)用系統(tǒng)融合。而且通過設(shè)計(jì)一個通用的統(tǒng)一身份管理服務(wù)，整個桌面云的可移植性得到了加強(qiáng)，可以適用于更多地情況。圖5描述了用戶登錄桌面云并訪問應(yīng)用服務(wù)的流程，大致可以分為以下6個步驟。

    1)用戶通過Web方式登錄桌面云，桌面云門戶將用戶信息提交給桌面云調(diào)度系統(tǒng)。

    2)桌面云調(diào)度系統(tǒng)將為用戶分配特定的虛擬桌面

    3)用戶通過虛擬桌面訪問應(yīng)用系統(tǒng)

    4)用系統(tǒng)向應(yīng)用授權(quán)服務(wù)器詢問用戶權(quán)限

    5)授權(quán)服務(wù)器向應(yīng)用系統(tǒng)返回用戶權(quán)限

    6)系統(tǒng)更具收到的用戶權(quán)限允許或拒絕用戶訪問

3 結(jié)束語

    桌面云是云計(jì)算的一種具體應(yīng)用方式，在一些專有系統(tǒng)中應(yīng)用較廣，如何實(shí)現(xiàn)桌面云的統(tǒng)一身份認(rèn)證是應(yīng)用過程中面臨的挑戰(zhàn)之一。本文設(shè)計(jì)了一個基于桌面云的統(tǒng)一身份認(rèn)證架構(gòu)，能夠?qū)崿F(xiàn)與桌面云系統(tǒng)的松耦合，更加有利于桌面云系統(tǒng)在專有系統(tǒng)的部署實(shí)施，以及應(yīng)用的動態(tài)添加。

    本文提出的架構(gòu)在理論上可以實(shí)現(xiàn)桌面云統(tǒng)一身份認(rèn)證，還需要經(jīng)過實(shí)際應(yīng)用才能檢驗(yàn)其優(yōu)缺點(diǎn)。而設(shè)計(jì)更加通用、完善的桌面云統(tǒng)一身份認(rèn)證模式，還需要學(xué)術(shù)界、產(chǎn)業(yè)界付出更多的努力。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：基于桌面云的統(tǒng)一身份認(rèn)證架構(gòu)研究

本文網(wǎng)址：http://www.oesoe.com/html/support/1112188076.html