摘要：身份实际上是一种标识，云计算中身份管理服务是一个富有挑战性的研究课题。云计算没有确切的定义，包括很多属性，属性与标识是相关的。

　　云计算是面向服务的。从计算模式的变化看整体上的云计算，搭建主机实际作业非常严格，但是个人计算机和网络化的计算机的时候创造了一个基于许可证的一个庞大的软件市场。能否将每个作业都很好的标识，做到可控可管理是非常具有挑战性的工作，软件计算、存储、设备和用户之间的关系都发生了很大的变化。
　　
　　在信任边界、存储模式发生变化以后所带来的挑战就是安全问题。比如说用户对网络、系统、应用程序的控制权发生了变化，在云端用户失去了对计算执行环境的控制权，甚至计算逻辑，用户无法干预运行环境和运行方式。安全同样是服务，实现应用服务化把安全控制前移到客户端也是一个很重要的挑战。解决此问题能够把安全性在技术层面和管理方面进行弥补。
　　
　　身份管理涉及身份的鉴别、属性的管理、授权的管理、访问控制，还有行为审计等很多方面。身份管理服务从整个计算模式的迁移经历了几代的发展，随着计算环境发生改变，应用更加丰富，操作系统里面的用户管理就无法满足要求了。在服务里面要处理身份的问题。在服务当中要把身份的东西把它整个的集中统一管理，因为不同的管理当中会带来很多问题。所以身份管理问题在基础设施里面具有一个基础的地位。
　　
　　北大网络和安全保障的重点实验室，从08年开始在教育部重点实验室建立以后，在安全体系方面尝试进行基础理论研究和应用的实践，利用标识密码做标识管理，以用户为中心，身份的认证、访问控制等。
　　
　　基于标识的加密体系。我们把在国内的组合体系和IBE结合起来，来试图解决规模化、安全和服务的问题。IBE为什么在云计算的时候得到更多的关注?
　　
　　我们做的工作还包括组合公钥，基于ECC的实现将CPK扩展到所有可组合的这种算法当中，将其作为一个标准的支持平台和库存，负荷现有的标准，使得企业和用户可以用CPK的技术来替代证书管理。CPK可以自主的管理自己封闭的用户体系，在国内，我们已经有一些标识可以用在银行或者是其他的这些应用当中，其中需要一些软件体系架构的支撑，基于证书的应用，向IBE的过渡。我们在CPK标识密码系统实现了一个安全服务的过渡，基于安全标准体系，以跨平台为定位，从组合公钥核心，到以用户为中心的标识管理机制，到认证，还有面向用户的授权访问控制，以及网络高系统的代码、可信征发等方面构建应用。
　　
　　我们提供了一个访问控制的策略引擎的基础设施，对于我们想构造访问控制的部分，可以基于这个来完成。关于代码可信征发，我们尝试着把安卓2.2解构成若干个模块，重新捆绑，按需下载;将安卓的APK进行解构和重组，通过审核以后来签名，在下载时刻、安装时刻和执行时刻，可以对代码进行签名的检查。
　　
　　在可信应用商店，我们可以把APP应用起来，凡是加锁的都是可验证的代码，不加锁的是原先的代码。这样的话，我们可以为几百的用户，或者是为特定的用户构造可信的应用商店。
　　
　　云计算环境更多关注代码的可信和安全，我们在北大的两个实验室，力图解决软件可信和软件安全问题。我们在北大有两个实验室，力图解决软件可信和软件安全问题。我们过去关注的包括数据在内的信息，希望用一个生命周期安全模型来刻划，因为数据容易标识，边界也相对清楚一点，但是面临着整个全生命过程中，从产生到销毁怎么做的问题。我们做了大概15年左右，去年获得了国家科技进步二等奖。五年前建立这个实验室的时候，我们考虑到代码的问题，代码静态还好说，动态的问题就更多了。这些代码安全的部分，将来是否能够导致在云计算当中新的软件的构成，或者是新的结构和信息，以有利于我们来实现安全和可信，这个还在探索之中，也希望我们的企业、研究机构能够共同来建立这个生命周期安全模型的理论体系和实际的实践方面，以期待我们在这个方面有所推动。
　　
　　责任编辑：Alice