云計算的開放架構設計

　　2.5 安全的服務開放

　　保證服務穩定可靠的關鍵是提供可信服務，它有3層含義：需要有手段去驗證服務的使用者身份，只有授權的用戶才能訪問特定服務；服務本身是可靠的，非法用戶或非法訪問不會影響正常的用戶訪問；服務的數據保存是安全可靠的，只有可信賴的人能夠訪問可信賴的數據。

　　保證訪問安全有如下一些做法：

　　訪問應用的授權與簽名。客戶端系統或應用接入云服務前，必須經過云服務商的認證。認證結果以授權碼方式交給客戶方。以后的每次訪問，客戶方都需要出示授權碼，或請求使用授權碼進行簽名。系統返回的結果也同樣由系統證書進行簽名，以達到通信雙方的互信［8］。

　　時間戳方式。對于異步系統，使用時間戳及唯一的客戶端ID作為請求的序列號，系統返回時同樣使用相同的方式構造序列號以進行適配。

　　冪等檢查。通過客戶端生成唯一的序列號，服務端可以檢測客戶端命令是否重復發送，如有重復將直接拋棄。冪等檢查可以保證所有服務請求都是一次性且唯一的，即使被惡意截獲并通過網絡設備重播，也不會執行。

　　通過安全白名單進行控制。通過白名單制度，系統保證只有經過安全認證的客戶端能夠接入，通常可以通過認證證書實現，這是最嚴格的訪問限制。

　　如果涉及到第三方開發的應用，可以使用系統反向調用方式保證用戶輸入的認證信息不被第三方應用獲取，并且可以通知第三方應用使用者是否有相關授權。

　　圖8說明了用戶聯邦模式的關系，實現用戶聯邦模式下的統一用戶開放具體步驟如下：

　　（1） 用戶訪問第三方應用。

　　（2） 第三方應用將用戶引導到平臺側進行認證。

　　（3） 平臺對用戶在平臺所屬界面進行權限認證。

　　（4） 平臺生成令牌，反向調用第三方應用接口，將用戶、用戶令牌以及所屬授權信息交給第三方應用。

　　（5） 第三方應用將用戶與用戶令牌綁定。

　　（6） 第三方應用需要訪問平臺側用戶數據時，出示用戶令牌，即可按用戶權限進行訪問。

　　（7） 訪問完成后，第三方應用通知平臺注銷令牌。

　　3 SaaS能力開放架構

　　Force.com的CRM軟件巨頭Salesforce建立了企業級的云計算平臺，它允許其客戶在Force.com上開發用于內部使用的應用。2009年，Force.com推出了一個新的分銷途徑：增值零售商（VAR）。這些VAR通常是為大公司做IT咨詢的顧問和系統集成的公司，它們可以基于Force.com開發應用，并把這些應用連同Force.com的基礎數據庫打包銷售給大公司。比如，一個人力資源顧問公司可以基于Force.com數據開發一套招聘應用，賣給財富500強。

　　這些VAR伙伴不僅能夠分銷Force.com的云計算平臺，也能分銷諸如移動能力、存儲、建站、開發沙箱等附加功能。為Force.com平臺開發企業級應用的可能性非常多。目前，有超過12 萬個圍繞Force.com開發的應用，如供應鏈管理、貨物跟蹤、品牌管理、應收賬款、投訴處理等等。

　　中興通訊針對電信業務，打造了電信服務能力開放平臺，第三方可以通過這個平臺定制化開發電信業務的各種能力。這個平臺還能夠將電信業務的各種原子服務進行組合，在免編程情況下組合成為復雜業務對外提供。

　　中興通訊的電信能力開放平臺主要由業務開發環境，業務執行環境及管理模塊構成，如圖9 所示。

　　4 結束語

　　云計算作為通用的服務基礎設施，必須能夠被各種業務和應用使用才能夠體現價值，否則只是封閉的專用系統。就像水和電，必須要有標準化的水管與電路才能夠引入千家萬戶。因此云計算的各個層面，均需要進行開放并遵循相關的開放標準，實現通用的云服務。在IaaS層有OVF的虛擬化標準、標準的文件訪問以及對象存儲和塊存儲；PaaS層是業務的提供和能力開放平臺，這個層面服務本身千變萬化，但我們可以遵循一些通用的設計原則保證服務接口的平滑升級以及服務的安全提供；SaaS層面是完整的業務提供，中興通訊在這個層面關注如何提供平臺，讓第三方也能夠快速開發各種業務。

　　5 參考文獻

　　［1］ 劉鵬。云計算［M］。 北京：電子工業出版社，2010.

　　［2］ 黃然。 虛擬化格式開放推動虛擬化進程［EB/OL］。（2010-01-12）.http://virtual.51cto.com/art/200901/106039.htm

　　［3］ FACTOR M， METH K， NAOR D，et al. Object Storage： The Future Building Block for Storage Systems［C］// Local to Global Data Interoperability-Challenges and Technologies： Proceedings of the 2nd International IEEE Symposium on Mass Storage Systems and Technologies（MMST’05）， Jun 20-24，2005， Sardinia， Italy. Washington， DC， USA ： IEEE Computer Society， 2005:119-123.

　　［4］ SNIA-Storage Networking Industry Association.OSD： Object Based Storage Devices Technical Work Group［EB/OL］.http://www.snia.org/tech _ activities/workgroups/osd/。

　　［5］ 楊志強，張炎。構建移動互聯網應用基礎設施—打造“開放花園”［J］。中興通訊技術，2009，15（4）：1-4.

　　［6］ 王英浩。網絡存儲技術初探［J］。中小企業管理與科技，2009（4）：238.

　　［7］ 李崴。基于SAML聯邦身份管理機制研究［C］//全國第19屆計算機技術與應用學術會議（CACIS2008），2008 年7月15-20日，樂山。

　　［8］ KING. Salesforce推面向開源的Force云運算架構［N］。 計算機世界，2008-01-19.