云计算服务的IAM 相关标准和协议(5)

任何服务提供商都可以实施、发布和接受信息卡(也称作i-card )。信息卡是使用Web 服务联合语言(WS-* )规范构建的，而不是HTTP 重定向，因此与OpenID 相比信息卡的规范要明显复杂。虽然这个系统对于身份盗窃和钓鱼攻击提供了非常大的保护，但还是存在一些阻止实现其任务的问题。系统的最大问题是，只有用户使用的网站参与并接受信息卡，系统才能工作。如果不存在这个联系，信息卡便是没有用的。随着越来越多的网站接受信息卡，系统也将变得越来越有用，但即便到了那个时候，使用也还是有限定的。例如，用户可以使用由Microsoft Windows Live ID 发行的受监管的信息卡，提供对大多数Microsoft 的网站的单点登录，这些网站包括MSDN 、TechNet 、Live 和Connect 。

5.7.2.3 开放式身份认证(OATH)

OATH 是IT 行业领导者协作的成果，为了提供可以跨越网络上所有用户及所有设备并广泛适用的强认证的参考架构。这个方案的目标是解决三个主要的认证方法：

基于用户识别模块(SIM )的认证(使用全球移动通信系统GSM/ 通用无线分组业务GPRS 用户识别模块)。

基于公钥基础设施(PKI )的认证(使用X.509v3 证书)。

基于一次性密码(OTP )的认证。

OATH 认证协议利用了行之有效的基础设施组件，例如目录服务器和远程认证拨号用户服务(RADIUS )服务器，并利用了身份联合协议。

5.7.2.4 开放式身份认证应用程序接口(OpenAuth)

OpenAuth 是美国在线(AOL )专有的应用程序接口(API )，它使得第三方网站和应用程序可以通过网站和程序认证美国在线以及美国在线即时消息(AIM )用户。使用这种认证方法，美国在线即时消息或者美国在线的注册用户可以登录第三方网站或者应用程序，并访问美国在线服务或者在美国在线服务上搭建的新的服务。根据美国在线的材料，OpenAuth 应用程序接口提供下面的功能：

一种登录的安全方法。用户证书不会暴露给用户登录的网站或者应用程序。

一种控制允许哪个网站读取隐私或者受保护的内容的安全方法。

当用户在同意页面选择了总是允许时，自动授予权限。

当网站或者应用程序试图读取任何隐私或者受保护的内容时(例如，对好友信息、即时消息和相册读取的单独同意请求)，征求用户同意的提示。

无须创建一个新的账户便可以访问其他非美国在线网站(支持美国在线OpenAuth 应用程序接口的网站)。

考虑到该协议的私有性，云计算团体没有把OpenAuth 作为开放式标准，OpenAuth 在美国在线网络之外也不被采用。(责任编辑：admin)