CloudID云认证

国内面向政企市场最重要的云计算会展 - CCS云计算高峰论坛 （ccs.d1net.com），于5月15,16日在北京国家会议中心盛大举行。同期举行的还有CENCE中国企业网络通信大会暨展览（cence.d1net.com）。

作为强调实战，重视落地的政企行业的IT盛会，历届CENCE和CCS荟萃了包括中国电信、中国移动、中国联通、法国电信、AT&T、IBM、HP、Dell 、Cisco、Avaya、微软、VMware、Oracle 、华为、中兴、NetApp、Salesforce、阿尔卡特朗讯等许多主流厂商。

今日，北京云安世纪科技有限公司亮相“云计算高峰论坛”，北京云安世纪科技有限公司CEO李勇奇发表精彩主题演讲，主题为“CloudID云认证”。以下是现场速递。（声明：本稿件来源为现场速记，可能有笔误和别字，仅供参考）

北京云安世纪科技有限公司CEO李勇奇

主持人：

谢谢！接下来有请北京云安世纪科技有限公司CEO李勇奇先生跟我们分享CloudID云认证。

李勇奇：

很高兴有机会跟大家说说云安全，今天主要给大家介绍的是互联网上云认证，首先讲一下云认证的背景，因为互联网的应用相对已经很多，主要包括互联网上，不管是油箱还是微博，大量采用静态口令，安全性相对来说非常低，所以说帐号的安全性，这是一个比较突出的问题，企业认证也做过一段时间，后来碰到互联网厂商给我们打电话，想解决互联网应用认证的安全，想做长认证。以前的一个方案，可能会购买一个企业级的身份认证产品，比如说采用硬盘还是动态口令，这种情况下，如果直接购买产品的话，他的成本非常高，比如说一个设备，贵的可能有几十万块钱，便宜的最少几十万块钱，并且不单单是购买成本，他的维护使用后边升级的成本都非常高。后来都提出一个问题，怎样能够在互联网上快速的把身份认证的安全信息提高，并且要非常方便，而且价格尽量能够低，我们知道在互联网上很多应用，本身是免费的，如果为了增强认证的安全性，额外付出的成本太高的话，这样企业来说互联网上的运营商可能会觉得接受不了。云安世纪基于SAAS的认证，取名叫CLoudID。

第一种方式在互联网上提供OTP的活动，保持原来的用户名和静态口令登录方式不变，额外等价一个动态口令认证。作为云安世纪来说首先把手机令牌，不管是iPhone、还是安卓，基于手机动态口令已经做的很完善，包括有的互联网厂商也需要硬件令牌我们也提供。身份认证都是为互联网应用服务，在互联网上提供接口，这个接口是替HttP（S）来做。把手机关联到令牌上，中间用户觉得使用麻烦，可能会解除绑定，需要做一个查询和认证的接口。我们为什么只提供ODP，而不是完整的帐号，在互联网上的云，比较大的问题就是信任问题，如果说我把企业的帐号，互联网提供的是电子邮件，把所有电子邮件的帐号放到我这个地方托管，他肯定首先不相信我，不信任我，所以我们通过只提供ODP，让原来的互联网厂商，帐号还是你自己管，所以说避开了信任问题。

示意图，左边是用户名+静态口令，CloudID通过动态口令进行认证。流程图，集成CloudID，互联网用户首先登录，登录过程中还是输入原来帐号和动态口令，这个时候应用会到CloudID查询，这个人绑定过没有，如果绑定过会继续输入一次性的动态口令，这个动态口令也是用户输入到应用，应用拿到动态口令以后到CloudID进行校验，校验之后才会成功。对应用来说要多一个API调用，这都是我们做的手机硬盘，我们专门做一个比较中性的网站，提供各个智能手机的硬盘，其中苹果发布的是APP Stero。网游登录方式首先是输入用户口号，如果基于CloudID会多一个绑定令牌的过程，绑定令牌，手机事先下载APP，在手机上激活以后，每一个手机有一个唯一的序列号，这上面有一个一分钟一遍的动态口令，这个时候绑定的时候，用户需要把他手上拿的手机硬盘序号和当前的动态口令输进去，这样完全绑定，绑定完以后他下次登陆的时候，如果还是输入帐号和他的口令，如果输入成功，这个时候系统在应用里边调用，就能检测到绑定令牌，这个时候就要求用户继续输入动态口令，如果这个口令输对了，他就直接进去了。当然这个过程我们给互联网厂商推荐的时候，也是做成可选的，大概我们做过一个调查和统计，互联网毕竟多一个步骤，大概有20%-25%的用户，有可能会自己愿意绑定这个硬盘，为了增加他的安全性，这个方式也是做成可选的。

互联网上提供认证，他能够提供简单的安全认证和单点登录，这种认证要求所有的帐号完全由云认证中心管理，相当于把应用帐号从帐号管理中解脱出来，我们走的一个标准协议是OpenID，所以说我们通过OppenID的方式来给用户提供帐号管理。包括我们的帐号管理，硬盘方式也都会提供，这种方式在国内也是有类似的，举一个例子，登录一个论坛的时候，下面可以用人人网登录或者新浪微博帐号登录，平常做登录用OpenID会更好一些。大家在网上会有很多的帐号和口令，这样用户特别麻烦，安全风险相对比较大。通过OpenID提供一个模式提供单点登录，当然也需要用户来做集成。这是他的流程图，平时在淘宝上做支付的比较类似，第一部用户登到应用，如果用户看到你没有登录的话，会自动重新有一个认证服务器，用户并不关心也没有必要知道，认证成功以后他会重新到应用里边去，并且携带了刚才用户登陆的身份信息。应用拿到身份信息会在后边做一个交验，每次点会员登录，同时支付第三方OpenID，也支持本地登录，如果用CloudID登录，自动跳到云认证的门户，在这儿提供完整的用户注册，安全增强，包括刚才所说的动态口令，他登录完了以后帐号刚好绑定手机令牌，第一步输入动态口令，结束之后自动调转。这样的话，这个电商就能知道你的ID号是什么样的，实际上这个情况下，对LEPU来说不需要每一个用户在我这儿注册，只是通过认证是真实的用户就可以了。这对于电商来说免除注册过程，潜在的客户量也会大一些，并且对个人而言，我有一个安全的帐号，可以到各个互联网应用登陆，这样就简化登录，增强了安全性。

所以说核心还是做云认证，但当时为什么选认证，因为云，认证也可以作为一种服务，认证的特点是什么，对互联网上计算资源、存储资源和带宽，相对要求比较低，并且身份认证是互联网上第一个步骤，首先不管什么应用都要做一个登录的过程，他是作为一个应用的入口，并且安全系数强调的越来越多，认证作为入口越来越重要，第二符合云服务的特点。我本人一直做安全，后来做企业安全，企业安全考虑到能做一些创新，我们考虑哪些安全是可以作为部署在互联网上作为云，后来我们发现比如说防火墙，可能没法推出云防火墙，因为他的带宽是网关的，光流量就承担不了成本。身份认证，根据他的特点，把他的身份认证作为云上的SAAS是非常合适的。这样对应用或者对个人来说，或者说对互联网云应用来说，他的投入会非常小。对于云的厂商来说，投入小，回报会非常大，并且安全性解决的是比较适度安全，不能强调绝对安全。我们觉得他可以作为以后，因为认证是必须品，我们觉得安全的认证以后也可以成为互联网应用的一个必须品。我们在互联网上提供云服务，提供用户的自主管理，包括企业，做成云，整个流程都是在互联网上做，企业和个人很分辨的注册、升级或者续费，或者通过快钱来支付。我们提供云服务，也很在乎我们的服务质量，服务质量主要是两个方面，第一个是可靠性，因为企业级的产品要求可靠性更高一些。从原理上涉及到一个主重模式，每个企业至少有两台认证服务器，同时为你服务。本身的机制我们的API就是组成模式，给一个企业分配的两台认证服务器，我们本身用的是阿里云的服务，阿里云在杭州有节点，在青岛就节点，我们把认证服务器同一个节点分配，一个是在青岛，一个是在杭州。这种方式可靠性非常高，即便说青岛发生海啸通过杭州的节点也可以提供正常服务。同时提供实时监控，异地备份，企业自己可以选择策略，个多长时间异地备份，同时给企业管理员提供实时监控，分配给两台服务器，是不是当时所可用的，在中国电信三元桥单独部署了异地监控，就在互联网上随时检测我们提供的云认证是不是不可用的，如果不可用会发告警。在互联网上的帐号出现问题比较多，特别是2012年包括今年有很多帐号被泄露，这个时候我们在云上做部署的时候，我们从操作系统和数据库，包括在网络方面，我们都做了很多的安全加固，包括数据库，本身做安全，包括字段的加密，包括操作系统的采截，我们提供的API或者互联网上提供的都可以基于对传输性的安全系统，我们也都考虑到了。

互联网应用像邮件，现在用的多的是软盘、网游，还有的是电商，还有是云应用。很多传统的应用开发商，像OA，ERPCL，也在互联网上提供云的应用。我们也可以为云的应用提供OGP服务，或者单点接入服务。我们也可以在有些行业做私有云的认证中心，我们现在也在做一些尝试。

举三个案例，DOC88，做电子交易，卖家把文档放到网上，买家去买，买家和卖家网站都是有钱的，安全性对他来说是比较高的。所以通过我们解决买家帐号的安全性问题，实际的保证了他钱的安全性和文档安全性。开心麻花在各个省都会有代理商，代理商登陆票务系统的时候需要提供安全性。私有云的模式部署到大的行业内网，我们在部队也在，现在建设一个比较小的云认证中心，部队有很多研究所院校、部队单位，现在部署了很多应用，现在也想用一种比较方便的方式解决帐号登录的安全性。

简单介绍一下我们，我们是创业的一个小公司，我们在上地，云安实际是2010年创立，在创立之前一直在做身份认证企业级产品，研发人正在身份认证最长的时间超过15年，我们不是空中楼阁，我们在做CloudID之前有企业级的4A产品，包括认证、帐号、授权、审计，所以在认证这一块积累是比较多的。云认证网站是CloudID，公司名字在2010年创立的时候就想到云安全，具体到了云认证。

我们的总结起来一句话，我们做的越多，而您作为个人或者互联网厂商您就更简单。

谢谢大家！

关键词:CloudID 云认证

分享到： 0