在互联网云计算时代,每个人都持有着许多账号,比如QQ,淘宝,新浪,Google等等,维护账号的成本和安全性都成为问题。随着各种应用服务特别是web应用的大量增长,这种现象越发严重。为了解决这个问题,单点登录方案、IPMaaS、统一身份认证等技术应运而生。OpenID是一系列统一身份认证协议中的代表。这类统一身份技术支持用户使用同一个ID在网络上访问多个不同服务商的应用服务,给终端用户带来了极大的便利。对于以web为主的应用服务来说,兼容多种统一身份的访问可以显著增加其访问量,但同时需要付出对其认证系统再次开发的代价。用户拥有的统一身份认证账号各不相同,这意味着应用服务需要多次修改其认证模块以兼容每一种身份的访问。身份认证服务便是针对这种情况而提出的一种面向应用程序的服务。作为云计算的一种模式,PaaS为开发者的应用程序提供运行平台。PaaS环境的诸多特点使其特别适合由PaaS务提供商向其租户在PaaS服务的基础上提供额外的身份认证服务,其优点包括身份认证服务交付便利；App信任PaaS提供商不会增加额外信任风险；PaaS平台能够使用公钥可用目录的方式向App分发公钥等等。综合以上的考虑,本文提出了一种模型,由PaaS平台向其租户应用程序提供身份认证服务,使其能够兼容多种统一身份账号的访问。模型有多种优点,包括切合了云关系的动态性,兼容更多身份的扩展性,最小化用户注册；认证协议借鉴Kerberos协议实现了单点登录,并对其加以修改使其更适合在PaaS环境下工作,引入了公钥机制解决了Kerberos协议中TGS管理着所有应用程序密钥从而导致的高风险问题。最后从功能,安全两个方面对模型进行了客观的评价,证明模型是解决PaaS环境下身份认证问题的一种可行思路。