云计算用户身份认证

云计算系统应建立统一、集中的认证和授权系统，以满足云计算多租户环境下复杂的用户权限策略管理和海量访问认证要求，提高云计算系统身份管理和认证的安全性。

1．集中用户认证

采用主流认证方式，如LDAP、数字证书认证、令牌卡认证、硬件信息绑定认证、生物特征认证等，支持多因子认证。

对不同类型和等级的系统、服务、端口采用相应等级的一种或多种组合认证方式，以满足云计算系统中不同子系统的安全等级与成本及易用性的平衡要求。

提供用户访问日志记录，记录用户登录信息，包括系统标识、登录用户、登录时间、登录IP、登录终端等标识。

2．集中用户授权

根据用户、用户组、用户级别的定义来对云计算系统资源的访问进行集中授权。

采用集中授权或分级授权机制。

支持细颗粒度授权策略。

3．访问授权策略管理

身份认证策略：采用用户身份与终端绑定的策略、完整性认证检查策略和口令策略。

授权策略：支持采用集中授权或分级授权策略。

账号策略：设置账号安全策略，包括口令连续错误锁定账号、长期不用导致账号失效、用户账号未退出时禁止重复登录等。

4．其他功能要求

日志管理：支持对用户认证信息、授权信息等详细日志的集中存储和查询。

加密机制：支持对认证、授权等敏感数据的加密存储及传输。