2AAA（認證、授權和計費）

  雲提供商提供雲資源，例如計算、網路、網路儲存資源，可以用最少的操作快速配置應用程式，而且僅需要支付消耗的資源[55]。 美國國家科學和技術研究院（NIST）[55]將這些資源分成三種模型：軟體即服務（SaaS），平臺即服務（PaaS）和基礎架構即服務（IaaS）。 雲提供商必須具備五個關鍵特性：多租戶或共享資源，大規模可擴充套件性，彈性，即用即付和自動配置資源[57,55]。
  認證，授權和計費（AAA）是雲提供商用於控制雲資源訪問、執行策略、審計和測量資源使用率的框架[74]。 雲提供商必須使用此框架來實現有效的資源、使用者、網路和安全管理。 AAA基於客戶端 - 伺服器模型[65]，其中雲使用者與客戶端和伺服器互動，它具有云資源、使用者、網路和安全管理所必需的業務邏輯。 認證是驗證使用者身份的過程，授權是決定使用者是否有足夠權利使用所請求的服務。 計費是跟蹤統計使用者對計費、審計和資料分析的資源使用情況的過程。

圖1 AAA通用架構

  圖1是具有客戶機 - 伺服器模型的通用AAA體系結構，其中客戶機是Web或移動應用程式，伺服器是主機提供認證，授權，計費的資源和服務。圖1分為兩部分，第一部分是雲使用者，第二部分是雲提供商。提供者需要獲取使用者的認證和授權的私有資源資料。使用者通過客戶端應用程式與提供者進行互動，客戶端應用程式將請求傳送給具有認證和授權功能的伺服器。如圖1所示，認證服務的作用是驗證使用者，如果驗證成功，則將請求轉發給授權服務；否則，將返回錯誤，並將使用者重定向到客戶端。授權服務的作用是確定使用者的許可權，如果授權成功，則返回使用者請求的資源的資源服務；否則，將返回錯誤並將使用者重定向到客戶端。計費服務的作用是攔截客戶端和伺服器之間的請求，並執行提供商提供的計算功能。 以下小節中詳細描述AAA的功能。

2.1認證

2.1.1使用者名稱和密碼

  使用者名稱和密碼是最常用的身份驗證方法。首先雲使用者使用使用者資料（例如使用者名稱、密碼、電子郵件、電話號碼以及信用卡詳細資訊等）向雲提供商註冊[30]賬號。註冊完成後，使用者可以使用使用者名稱和密碼訪問雲資源。雲提供商很容易實現這種功能，而且很多使用者都很熟悉該註冊登入流程。但是，它並不是非常安全的認證方法，因為這種方法的安全性取決於密碼的長度和特性。即使密碼很複雜，但是也可以通過猜測，蠻力偷取。例如，阿里巴巴電子商務網站TaoBao [71]大規模強力攻擊賬戶包含約2100萬賬戶。除此之外，複雜的密碼很難記住，因此使用者最終會對多個雲提供商使用相同的密碼或使用密碼管理器，這又導致了密碼被攻擊的概率 。

2.1.2公鑰基礎設施

  公鑰基礎設施（PKI）認證基於雲使用者生成的加密私鑰 - 公鑰，其中私鑰只通過雲使用者保留，而公鑰則分發給雲提供者[30]， 私鑰用於證明使用者的身份。 PKI還用於安全套接字層（SSL / TLS）和安全電子交易（SET）之類的安全協議，其目的是驗證和資料機密性、完整性和不可否認性。 PKI認證與使用者名稱密碼認證相比，因為私鑰和公鑰密碼生成並且不容易被破解，所以這種方法提供了更好的安全性。 因為它需要知道生成金鑰對並分發給雲提供商，對於大多數基本的雲使用者來說，這種方式並不簡單。 除此之外，在許多部署中，黑客有機會竊取私鑰，甚至能夠破解它。

2.1.3生物識別

  生物識別認證是最先進的認證方法之一，它使用生物特徵，例如可衡量的行為或用於使用者真實性的生理特徵[82]進行認證。 行為特徵是簽名識別、語音識別、擊鍵情況和步態分析。 生理特徵是指紋、虹膜和視網膜掃描臉部、手指或手部識別。 這些特徵在每個人中都是獨一無二的，因此真實性由私人證明。 除此之外，生物識別與其他身份驗證方法相比非常安全，因為竊取或破解使用者特徵非常困難。 生物識別技術認證使用方便，而且不需要記密碼，它不需要任何令牌並且能夠減少使用者身份被欺詐。它的不足之處在於實施起來很昂貴，因為它需要一套特定的硬體和軟體，而且這種技術的準確性需要提高。

2.1.4多因素

  多因素身份驗證是一種高階身份驗證方法，它使用您所知道及擁有的或者您知道以及將提供使用者真實性的組合[30]認證。 例如，使用者可以使用PIN或指紋保護的ATM卡； 同樣使用者可能會使用連結硬體（移動）裝置的密碼和密碼短語登入網站。 這種方法也稱為雙因素認證。 這是使用者友好的，但需要更高的部署成本。