5.7.2 身份及访问管理对用户的标准、协议和规范

　　下列协议和规范是面向用户云计算服务的，与企业云计算立场无关。

　　5.7.2.1 开放式认证系统(OpenID)

　　OpenID 是对用户认证和访问控制的开放的分散标准，允许用户使用相同的数字身份登录许多服务，例如使用支持OpenID 的服务实现单点登录用户体验。因此，OpenID 代替了使用登录用户名和密码的常用登录过程，而允许用户登录一次便获得对多个软件系统资源的访问。OpenID 主要针对由互联网公司提供的用户服务，这些公司包括Google 、eBay 、Yahoo! 、Microsoft 、AOL 、BBC 、PayPal 等。由于信任问题，采用OpenID 作为企业用途(例如非用户用途)几乎是不存在的。一些研究发现OpenID 可能加速钓鱼攻击，而这可能会损害用户证书。

　　5.7.2.2 信息卡(Information card)

　　信息卡是对于网络身份的另一个开放标准。这个标准自身是由信息卡基金会管理的，信息卡基金会的督导委员包括来自Google 、Microsoft 、PayPal 、Oracle Novell 和Equifax 的代表。基金会声明其任务是“保障数字身份的安全并取代传统的登录和密码，以此减少身份盗窃的事件”。这个标准的目标是为用户提供一个安全、一致、可抵御钓鱼攻击的用户接口，而并不需要用户名和密码。人们为了获得方便，可以使用信息卡数字身份跨越多个站点，而不用担心他们的登录信息陷入危险(类似使用OpenID 身份跨越多个站点)。信息卡协议是设计使用在高价值的情况下，例如银行业，对钓鱼攻击的抵御以及对安全认证机制例如智能卡的支持是关键的业务需求。

　　任何服务提供商都可以实施、发布和接受信息卡(也称作i-card )。信息卡是使用Web 服务联合语言(WS-* )规范构建的，而不是HTTP 重定向，因此与OpenID 相比信息卡的规范要明显复杂。虽然这个系统对于身份盗窃和钓鱼攻击提供了非常大的保护，但还是存在一些阻止实现其任务的问题。系统的最大问题是，只有用户使用的网站参与并接受信息卡，系统才能工作。如果不存在这个联系，信息卡便是没有用的。随着越来越多的网站接受信息卡，系统也将变得越来越有用，但即便到了那个时候，使用也还是有限定的。例如，用户可以使用由Microsoft Windows Live ID 发行的受监管的信息卡，提供对大多数Microsoft 的网站的单点登录，这些网站包括MSDN 、TechNet 、Live 和Connect 。

　　5.7.2.3 开放式身份认证(OATH)

　　OATH 是IT 行业领导者协作的成果，为了提供可以跨越网络上所有用户及所有设备并广泛适用的强认证的参考架构。这个方案的目标是解决三个主要的认证方法：

　　基于用户识别模块(SIM )的认证(使用全球移动通信系统GSM/ 通用无线分组业务GPRS 用户识别模块)。

　　基于公钥基础设施(PKI )的认证(使用X.509v3 证书)。

　　基于一次性密码(OTP )的认证。

　　OATH 认证协议利用了行之有效的基础设施组件，例如目录服务器和远程认证拨号用户服务(RADIUS )服务器，并利用了身份联合协议。

　　5.7.2.4 开放式身份认证应用程序接口(OpenAuth)

　　OpenAuth 是美国在线(AOL )专有的应用程序接口(API )，它使得第三方网站和应用程序可以通过网站和程序认证美国在线以及美国在线即时消息(AIM )用户。使用这种认证方法，美国在线即时消息或者美国在线的注册用户可以登录第三方网站或者应用程序，并访问美国在线服务或者在美国在线服务上搭建的新的服务。根据美国在线的材料，OpenAuth 应用程序接口提供下面的功能：

　　一种登录的安全方法。用户证书不会暴露给用户登录的网站或者应用程序。

　　一种控制允许哪个网站读取隐私或者受保护的内容的安全方法。

　　当用户在同意页面选择了总是允许时，自动授予权限。

　　当网站或者应用程序试图读取任何隐私或者受保护的内容时(例如，对好友信息、即时消息和相册读取的单独同意请求)，征求用户同意的提示。

　　无须创建一个新的账户便可以访问其他非美国在线网站(支持美国在线OpenAuth 应用程序接口的网站)。

　　考虑到该协议的私有性，云计算团体没有把OpenAuth 作为开放式标准，OpenAuth 在美国在线网络之外也不被采用。