云计算中的认证基础—

虽然AK还不为大家所熟知，但我敢百分百肯定，未来的几年里，AK在互联网业界的知名度绝对不会比AK47差，甚至会更强，会达到“无人不知，无人不晓”的程度。任何使用云计算的企业和个人，都必须首先经过AK的洗礼！

什么是AK

记得第一次和别人分享AK的时候，对方都先是一愣，然后调侃我怎么一个搞互联网的去搞军工了！这不是一个段子，也许你们脑海中想到的AK还是1974年11月7日在阅兵式上首次露面的这个家伙。但是今天我们的故事和它没有半毛钱关系。

AK47

那么AK是什么？它又有什么本事能做到人尽皆知呢？

云计算归根结底的产物就是API，也把它叫做API经济。即：云计算里面的API是产品，是能够为云计算提供商带来经济利益的。说白了，就是调用API需要花钱。这个逻辑就和用水用电需要交钱一个道理。用水的时候有水表，根据水表的编号能找到户主的身份。用电的时候有电表，根据电表的编号能找户主的身份。使用云计算API的时候，要根据什么来找到使用者的身份的呢？答案是AK。

AK的英文全称是Access Key，翻译成中文是访问密钥。它属于云计算中身份认证领域的范畴。用户在使用云计算API的时候出示AK，这样云服务提供商就能够根据AK来确定使用者的身份，进而向其收费了。

关于AK的定义，AWS在其文档Understanding and Getting Your Security Credentials中有详细的阐述：

Access Key包含两部分：access key id （例如AKIAIOSFODNN7EXAMPLE）和access key secret （例如wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY）。当访问AWS API的时候，可以使用Access Key对API请求进行签名。像用户名和密码一样，在签名的过程中，必须同时使用access key id 和access key secret。从安全的角度，你需要下你个对待用户名密码一样对待你的Access Key。

使用AK签名流程

正如上面的文档所述，当访问云计算API的时候，可以使用AK对API请求进行签名。签名就是给一个API请求添加认证的过程，可以简单的理解为给API请求“盖章”。有了签名的加持，云服务提供厂商就可以识别API调用是谁发起的了。使用AK进行签名的流程如下入所示。

AWS签名过程（来源AWS官网文档）

AWS V2签名过程细节

本文以AWS第二版签名为例，讲解下AK签名的流程。假设某用户持有AK的信息如下：

<AKIAIOSFODNN7EXAMPLE, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY>

要发起一个API请求，访问AWS中elasticmapreduce这款云产品的DescribeJobFlows接口，基础的请求信息如下：

https://elasticmapreduce.amazonaws.com?
Action=DescribeJobFlows
&Version=2009-03-31

AWS在收到这个请求以后，并不知道请求者是谁，也不知道该向谁收费了。为此，AWS要求用户在请求中添加如下参数：

AWSAccessKeyId：AK中的access key id
SignatureMethod：本次请求的签名方法
SignatureVersion：本次请求的签名版本
Timestamp：发起本次请求的时间戳
Signature：签名的值

在上面的参数中，前四个参数都是可以直接获取或者设定的，最后一个参数需要请求者自己计算。在添加签名之前的请求如下：

https://elasticmapreduce.amazonaws.com?
Action=DescribeJobFlows
&Version=2009-03-31
&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
&SignatureVersion=2
&SignatureMethod=HmacSHA256
&Timestamp=2011-10-03T15:19:30

在一切准备就绪之后，就可以按照AWS文档Signature Version 2 Signing Process规定的方式计算签名了。首先标准化待签名的字符串如下：

GET
elasticmapreduce.amazonaws.com
/
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersion=2&Timestamp=2011-10-03T15%3A19%3A30&Version=2009-03-31

接着使用SignatureMethod指定的算法和用户持有的access key secret进行签名，结果如下

i91nKc4PWAt0JJIdXwz9HxZCJDdiy6cf/Mj6vPxyYIs=

上面的签名值经过URL编码之后就可以添加到请求中了，最终用户向AWS发送的请求如下：

https://elasticmapreduce.amazonaws.com?
Action=DescribeJobFlows
&Version=2009-03-31
&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
&SignatureVersion=2
&SignatureMethod=HmacSHA256
&Timestamp=2011-10-03T15:19:30
&Signature=i91nKc4PWAt0JJIdXwz9HxZCJDdiy6cf%2FMj6vPxyYIs%3D

使用AK的意义

虽然在上文中频繁提到，使用AK是为了云服务提供上能够知道该向谁收费。但这仅仅是AK众多意义中的一丢丢。AWS在其文档Signing AWS API Requests 中做了详细描述。使用AK对API请求进行签名有如下三个意义：

1. 帮助云服务提供商验证API请求者的身份。

签名能够保证请求的发起者持有合法的access key secret

2. 防止数据在网络传输的过程中被篡改

将请求参数作为一部分来计算hash签名，并将签名作为API请求的一部分。AWS可以在收到请求时验证签名的合法性，以保证传输的数据没有被篡改。（一旦被篡改，签名就不对了）

3. 防止重放攻击

请求的参数中添加了时间戳信息，一旦超过一定的时间限制，请求将不再可用。这就降低了中间人截获API请求并进行重方的风险。

本文以AWS为例，讲解了在云计算场景中AK的基本概念、AK的使用方法、以及AK的意义和价值。正如开篇所讲，虽然AK还不为大家所熟知，但随着越来越多的人使用云计算，AK必将成为他们走上云计算的第一课。未来的几年里，AK在互联网业界的知名度会越来越高。当然，我们也要提前意识到，任何事情都有利有弊。AK的普及也必将带来一些新的值得关注的安全问题。本文就不一一赘述了。

觉得本文好的话，就来关注我吧！@E-臻。

广而告之，欢迎转发！！！

阿里云开放平台-企业IT治理团队招聘研发JAVA、C++都要，根据面试情况定级P6，P7，P8等你来拿。