跨域身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全域,跨域身份认证已成为云安全的难点问题。基于声明的身份认证(CBA)是微软提出的一种跨域身份认证技术,它是解决云计算跨域身份认证的一种重要手段。本文针对Windows域用户如何跨域访问云计算资源的问题,研究了三种跨域认证模型(基于网关的跨域认证模型、基于令牌的跨域认证模型以及基于代理的跨域认证模型)、基于声明的身份认证技术、SSL协议以及OpenStack后端集成AD等,提出了一种基于联合身份的云计算跨域身份认证方案。该方案在网关跨域认证模型基础上,运用声明的思想,采用联合身份提供者代替网关模型中的网关,从而实现本地认证的Windows域用户无需再次认证就能够访问云端资源。该方案通过SAML协议来交换不同域之间的用户身份信息,保证了系统的通用性和安全性,实现了不同安全域之间无缝安全通信。本文具体工作为:(1)首先设计了云计算跨域身份认证总体方案,并给出声明提供者、联合声明提供者、应用服务提供者三个关键模块的设计方案;(2)其次对各个模块之间信任关系的维护和安全传输通道进行了设计和安全性分析;(3)最后针对上述方案,设计并实现了一套OpenStack跨域身份认证系统,实现了Windows域与OpenStack域的跨越认证功能,对方案的可行性进行了验证。本文的研究对于解决云环境跨域身份认证问题和推进企业和政府将自己的业务迁移到云端具有很好的理论研究和实际参考价值,提高跨域认证的效率和系统的负载均衡性是下一步的研究重点。