專利名稱:一種基于動(dòng)態(tài)跨域安全令牌的云資源訪問控制方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全中的訪問控制領(lǐng)域,具體涉及一種基于動(dòng)態(tài)跨域安全令牌的云資源訪問控制方法。
背景技術(shù):
隨著云計(jì)算技術(shù)的出現(xiàn)及廣泛應(yīng)用,其具有的跨域和異構(gòu)等特性使原來的資源共享模式正向資源消費(fèi)模式轉(zhuǎn)變。在云資源消費(fèi)者中,不僅有大量的用戶長(zhǎng)期使用云資源,還有一些動(dòng)態(tài)臨時(shí)用戶偶爾訪問云資源。近年來,一些科研機(jī)構(gòu)和企業(yè)針對(duì)上述云資源的發(fā)展趨勢(shì),提出了相應(yīng)的解決方案。OpenID是一個(gè)去中心化的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng),它通過統(tǒng)一資源標(biāo)識(shí)符(URL)對(duì)網(wǎng)絡(luò)用戶進(jìn)行標(biāo)識(shí)和身份認(rèn)證,它將身份管理、身份認(rèn)證從應(yīng)用業(yè)務(wù)中分離出來,并托管給專業(yè)的身份服務(wù)提供商。由于OpenID使用URL標(biāo)識(shí)用戶,URL的公開化不利于保護(hù)用戶的隱私。此外,OpenID是以用戶為中心的使用模式,不是以組織架構(gòu)為中心,不適用于云資源中高效、跨域的訪問模式。Amazon Web Service是其中較為典型的云資源服務(wù)商,它在向云用戶提供資源方面有其自身的優(yōu)勢(shì),但也存在一些不足之處。例如,它的簽名認(rèn)證過程較為復(fù)雜。此外,Amazon沒有考慮用戶和云資源服務(wù)商之間進(jìn)行安全通信時(shí)的會(huì)話密鑰,因此機(jī)密信息的安全傳輸無法得到保證。最后,沒有對(duì)動(dòng)態(tài)臨時(shí)用戶的訪問控制策略進(jìn)行設(shè)定。
發(fā)明內(nèi)容
本發(fā)明旨在針對(duì)云資源中的身份認(rèn)證及訪問控制問題所面臨的挑戰(zhàn),提出了一種基于動(dòng)態(tài)安全令牌的云資源訪問控制方法。本發(fā)明采用Restful標(biāo)準(zhǔn)模式對(duì)請(qǐng)求進(jìn)行描述,簡(jiǎn)化了身份認(rèn)證過程。本發(fā)明涉及了身份管理、身份認(rèn)證、會(huì)話密鑰的生成及使用、動(dòng)態(tài)臨時(shí)用戶的訪問策略的設(shè)定。下面簡(jiǎn)要介紹本發(fā)明的基本思想。具體來說,本發(fā)明的技術(shù)方案包括以下四個(gè)方面一、在本發(fā)明的身份管理中,采用在云資源處預(yù)埋代理的方式,代理通過機(jī)構(gòu)內(nèi)部的身份認(rèn)證系統(tǒng)對(duì)這些動(dòng)態(tài)臨時(shí)用戶進(jìn)行認(rèn)證,然后為他們提供動(dòng)態(tài)安全令牌。臨時(shí)用戶使用這些動(dòng)態(tài)安全令牌,可以在有效期內(nèi)訪問特定的云資源服務(wù)。二、在本發(fā)明的身份認(rèn)證中,將云資源用戶的認(rèn)證請(qǐng)求(即消息)具體化,并采用兩輪HMAC運(yùn)算(即基于散列的消息認(rèn)證碼;參考《信息安全原理與應(yīng)用》第5. 3節(jié),電子工業(yè)出版社,王昭等著),既加強(qiáng)了對(duì)身份密鑰(Identity key)的保護(hù),又使身份認(rèn)證的過程不至于太復(fù)雜。其中,通過使用身份密鑰,創(chuàng)建了基于散列的消息認(rèn)證碼。三、本發(fā)明提出了用戶和云資源服務(wù)商之間進(jìn)行安全通信時(shí)的會(huì)話密鑰(Sessionkey)。使用對(duì)稱加密算法AES,將隨機(jī)UUID標(biāo)識(shí)以及與服務(wù)商的共享密鑰Identity key作為輸入?yún)?shù),生成Session key,并說明了 Session key如何使用。該部分方案保證了用戶和云資源服務(wù)商之間進(jìn)行會(huì)話的安全性。四、訪問策略用于指定動(dòng)態(tài)安全令牌的權(quán)限或普通云資源用戶的權(quán)限。在本發(fā)明中,把策略附在云資源用戶以及所有的動(dòng)態(tài)安全令牌上,進(jìn)一步限制了動(dòng)態(tài)臨時(shí)用戶對(duì)云資源的訪問。本發(fā)明將動(dòng)態(tài)臨時(shí)用戶的訪問控制策略進(jìn)行了設(shè)定。歸納起來,本發(fā)明與現(xiàn)有技術(shù)相比,具有以下顯著優(yōu)點(diǎn)I.高效性。本發(fā)明使用動(dòng)態(tài)跨域令牌,實(shí)現(xiàn)了更高效的跨域鑒權(quán)機(jī)制。2.本發(fā)明采用HMAC方式,通過令牌中的身份密鑰,實(shí)現(xiàn)了消息鑒別和認(rèn)證機(jī)制,實(shí)現(xiàn)方法簡(jiǎn)便,避免了復(fù)雜的運(yùn)算。3.本發(fā)明通過由身份密鑰衍生出的會(huì)話密鑰,保證了機(jī)密信息的安全傳輸。
4.本發(fā)明通過設(shè)定動(dòng)態(tài)臨時(shí)用戶的訪問策略,提高了判定效率。
圖I本發(fā)明的總體框架結(jié)構(gòu)圖;圖2本發(fā)明的身份認(rèn)證過程圖;圖3本發(fā)明的訪問策略規(guī)則I的示意圖;圖4本發(fā)明的訪問策略規(guī)則2的示意圖;圖5本發(fā)明的訪問策略規(guī)則3的示意圖;圖6本發(fā)明的訪問策略規(guī)則4的示意圖。
具體實(shí)施例方式下面通過具體實(shí)施方式
并結(jié)合附圖,對(duì)本發(fā)明進(jìn)行詳細(xì)說明。附圖I為該方案實(shí)施的總體框架,主要包括以下內(nèi)容。一、基于動(dòng)態(tài)安全令牌的身份管理隨著云計(jì)算技術(shù)的出現(xiàn),其具有的跨域和異構(gòu)等特性使原來的資源共享模式正向資源消費(fèi)模式轉(zhuǎn)變。在云資源消費(fèi)者中,不僅有大量的用戶長(zhǎng)期使用云資源,還有一些動(dòng)態(tài)臨時(shí)用戶偶爾訪問云資源。對(duì)于長(zhǎng)期用戶來說,可以在云資源服務(wù)提供方處為它們建立賬戶。每個(gè)帳戶有其自己對(duì)云資源的計(jì)費(fèi),我們將這些長(zhǎng)期用戶稱之為普通云資源用戶。對(duì)于偶爾訪問云資源的用戶來說,沒有必要分別為他們建立賬戶,這些用戶稱之為動(dòng)態(tài)臨時(shí)用戶。動(dòng)態(tài)臨時(shí)用戶的訪問可以通過使用代理。首先將代理agent預(yù)埋在云資源服務(wù)提供方處,他相當(dāng)于一個(gè)普通的云資源用戶,具有訪問云資源的一些權(quán)限。Agent通過機(jī)構(gòu)內(nèi)部的身份認(rèn)證系統(tǒng)對(duì)這些動(dòng)態(tài)臨時(shí)用戶進(jìn)行身份認(rèn)證,然后代理為動(dòng)態(tài)臨時(shí)用戶向云資源服務(wù)提供方發(fā)送動(dòng)態(tài)安全令牌請(qǐng)求消息,云資源服務(wù)提供方接收到代理發(fā)送動(dòng)態(tài)安全令牌請(qǐng)求后,為動(dòng)態(tài)臨時(shí)用戶生成動(dòng)態(tài)安全令牌并發(fā)送給相應(yīng)的代理,由代理通過安全信道統(tǒng)一分發(fā)給相應(yīng)的動(dòng)態(tài)臨時(shí)用戶。動(dòng)態(tài)安全令牌具有有效期,臨時(shí)用戶使用動(dòng)態(tài)安全令牌,可以在有效期內(nèi)訪問云資源。擁有動(dòng)態(tài)安全令牌的用戶在何種程度上可以訪問云資源,取決于訪問策略的設(shè)置。動(dòng)態(tài)安全令牌提供了增強(qiáng)的安全性,它們生命周期短,到期后不能重復(fù)使用。舉例說明使用動(dòng)態(tài)安全令牌的情況。例如公司有許多員工需要訪問云資源,公司有自己的身份認(rèn)證系統(tǒng),并且員工已經(jīng)擁有公司的身份標(biāo)識(shí)。首先,公司將agent預(yù)埋在云資源服務(wù)提供方處,agent成為一個(gè)普通的云資源用戶。然后,agent使用公司現(xiàn)有的身份認(rèn)證系統(tǒng)對(duì)員工進(jìn)行身份驗(yàn)證,并向云資源服務(wù)提供方發(fā)送請(qǐng)求為員工創(chuàng)建具有唯一標(biāo)識(shí)的動(dòng)態(tài)安全令牌。Agent為員工向云資源服務(wù)提供方請(qǐng)求動(dòng)態(tài)安全令牌時(shí),云資源服務(wù)提供方為動(dòng)態(tài)安全令牌設(shè)置訪問策略并發(fā)放動(dòng)態(tài)安全令牌。員工可以使用這些動(dòng)態(tài)安全令牌訪問云資源,直到動(dòng)態(tài)安全令牌過期,而無需在云資源服務(wù)提供方處為每個(gè)需要訪問的員工創(chuàng)建新的身份。動(dòng)態(tài)安全令牌允許用戶訪問特定的云資源服務(wù),甚至是云資源服務(wù)提供的功能子集。臨時(shí)用戶的訪問權(quán)限由動(dòng)態(tài)安全令牌附帶的訪問策略和代理的訪問策略確定。動(dòng)態(tài)安全令牌包括訪問密鑰ID (Access key ID),身份密鑰(Identity key),有效期(Expirationtime)。其中,訪問密鑰ID是代理的標(biāo)識(shí);身份密鑰是代理請(qǐng)求動(dòng)態(tài)安全令牌時(shí)由云資源服務(wù)提供方根據(jù)代理的訪問密鑰ID,通過某個(gè)算法隨機(jī)生成唯一的身份密鑰;有效期是由云資源服務(wù)提供方在生成動(dòng)態(tài)安全令牌時(shí)設(shè)定。二、云資源中的身份認(rèn)證
一般來說,進(jìn)行通信的雙方基于安全的考慮需要對(duì)對(duì)方發(fā)過來的消息進(jìn)行認(rèn)證,以確定消息是未經(jīng)第三方修改過的。認(rèn)證過程如下(I)動(dòng)態(tài)臨時(shí)用戶根據(jù)其動(dòng)態(tài)安全令牌與云資源服務(wù)提供方共同約定一個(gè)共享密鑰,可以將身份密鑰(Identity key)作為共享密鑰,這個(gè)共享密鑰是對(duì)第三方保密的;(2)消息的發(fā)送方(即動(dòng)態(tài)臨時(shí)用戶)使用該共享密鑰對(duì)發(fā)送的消息產(chǎn)生一個(gè)認(rèn)證碼(簽名),并發(fā)送認(rèn)證請(qǐng)求消息,認(rèn)證請(qǐng)求消息包括認(rèn)證碼(簽名)、消息和動(dòng)態(tài)安全令牌的標(biāo)識(shí);(3)消息的接收方(即云資源服務(wù)提供方)在接收到認(rèn)證請(qǐng)求消息之后,分別獲取認(rèn)證碼和動(dòng)態(tài)安全令牌的標(biāo)識(shí)。然后,云資源服務(wù)提供方依據(jù)令牌標(biāo)識(shí)從安全令牌中取出身份密鑰作為共享密鑰,對(duì)該消息生成一個(gè)認(rèn)證碼;(4)然后將兩個(gè)校驗(yàn)碼進(jìn)行比較,如果相同,說明消息未經(jīng)第三方修改;如果不同,說明消息很可能被非法修改過,則該消息不可信,需要對(duì)方重發(fā)。其中,生成校驗(yàn)碼的算法一般采用HMAC,第三方在不知密鑰的情況下,不可能在修改消息后能同時(shí)修改校驗(yàn)碼,使之與修改后的消息匹配。在該身份認(rèn)證過程中,通過只傳輸校驗(yàn)碼(簽名)而不傳輸身份密鑰,實(shí)現(xiàn)了對(duì)身份密鑰進(jìn)行了保護(hù)。在本發(fā)明的身份認(rèn)證中,利用云資源用戶的認(rèn)證請(qǐng)求信息,采用HMAC-SHA512算法,進(jìn)行兩輪HMAC運(yùn)算,加強(qiáng)了對(duì)Identity key的保護(hù)。通過使用Identity key,創(chuàng)建了基于散列的消息校驗(yàn)碼。其中,HMAC算法表示HMAC-SHA512函數(shù)。步驟如下I. Request 格式Request 米用 Restful 標(biāo)準(zhǔn)格式,Request = (Requestpoint, Time)。其中,Requestpoint指具體的請(qǐng)求,Time指用戶提出請(qǐng)求的時(shí)間。Requestpoint 的格式為Action/object servicelD.Action 指讀取(Get)、創(chuàng)建(Post)、更新(Put)和刪除(Delete)操作。Obiect是Action具體作用的對(duì)象。servicelD是服務(wù)接口的標(biāo)識(shí)。例如,Requestpoint:Get/name = John&age = 20&sex = man API = Qwerty2012
Time采用UTC時(shí)間,精確到秒,格式為YYYYMMDDhhmmssZ.例如,Time20121020091508Z.2.第一輪HMAC運(yùn)算使用Identity key和Time作為HMAC函數(shù)的兩個(gè)輸入?yún)?shù),生成派生密鑰derived key。第 二輪HMAC運(yùn)算使用第一輪的派生密鑰derived key和Requestpoint作為兩個(gè)輸入?yún)?shù),進(jìn)行HMAC運(yùn)算,生成用戶校驗(yàn)碼,即創(chuàng)建簽名。簽名的生成過程derived key = HMAC(Identity key, Time)Signature = HMAC(derived key, Requestpoint)3.用戶和云資源服務(wù)商進(jìn)行交互時(shí),經(jīng)常通過SSL(Https)協(xié)議建立一種安全通道。用戶將請(qǐng)求Request和用戶校驗(yàn)碼Signature發(fā)送給云資源服務(wù)提供方。云資源服務(wù)提供方收到請(qǐng)求后,首先判定請(qǐng)求的時(shí)間是否在安全令牌的有效期內(nèi),如果在有效期內(nèi),繼續(xù)進(jìn)行下一步;如果不在有效期內(nèi),終止認(rèn)證過程。4.云資源服務(wù)商對(duì)該請(qǐng)求進(jìn)行認(rèn)證,同樣經(jīng)過兩輪HMAC運(yùn)算得到用戶身份認(rèn)證碼Signature。將兩個(gè)Signature進(jìn)行比較,如果相同,就認(rèn)證該請(qǐng)求沒有被修改過。本發(fā)明的身份認(rèn)證過程如圖2所示。三、安全通信的會(huì)話密鑰會(huì)話密鑰(Session key)是為了保證用戶和云資源服務(wù)提供方之間進(jìn)行安全通信會(huì)話而隨機(jī)產(chǎn)生的加密和解密密鑰。I.本發(fā)明基于會(huì)話隨機(jī)通用唯一識(shí)別UUID,會(huì)話方每次提出會(huì)話請(qǐng)求,產(chǎn)生一個(gè)128位的隨機(jī)UUID標(biāo)識(shí),表示為UUID128,Session issuer通過使用對(duì)稱加密算法AES,用128位的共享密鑰Identity key對(duì)128位的隨機(jī)UUID標(biāo)識(shí)進(jìn)行加密,生成一個(gè)128位的會(huì)話密鑰 Session key。2.會(huì)話發(fā)起方(Session issuer),即動(dòng)態(tài)臨時(shí)用戶,使用會(huì)話密鑰Session key對(duì)發(fā)送的訪問請(qǐng)求進(jìn)行加密,將加密后的訪問請(qǐng)求和UUID傳給云資源服務(wù)提供方(Cloudprovider)。3.云資源服務(wù)提供方(Cloud provider)采用相同的對(duì)稱加密算法AES,輸入128位會(huì)話方UUID標(biāo)識(shí)和共享密鑰Identity key,產(chǎn)生相同的會(huì)話密鑰Session key。4. Cloud provider用會(huì)話密鑰Session key對(duì)訪問請(qǐng)求進(jìn)行解密,恢復(fù)原始信息。5.回復(fù)會(huì)話確認(rèn)消息。Cloud provider將收到的UUID值加I,用Session key進(jìn)行加密,返回至Session issuer。Session issuer進(jìn)行解密,驗(yàn)證本次會(huì)話是否正常。6.然后,對(duì)資源的訪問使用步驟四中的訪問策略對(duì)臨時(shí)用戶的請(qǐng)求進(jìn)行判定。四、動(dòng)態(tài)臨時(shí)用戶的訪問策略使用訪問策略給用戶授予權(quán)限。策略是一個(gè)文件,正式聲明一個(gè)或多個(gè)權(quán)限。為了給云資源用戶權(quán)限,編寫策略并將其附在用戶上。將策略附在用戶上,即授予它在策略中聲明的權(quán)限。策略用于指定動(dòng)態(tài)安全令牌的權(quán)限或普通云資源用戶的權(quán)限。在云資源中,把策略附在云資源用戶以及所有的動(dòng)態(tài)安全令牌上。通過對(duì)動(dòng)態(tài)安全令牌附一個(gè)額外的策略,進(jìn)一步限制了動(dòng)態(tài)臨時(shí)用戶訪問云資源。Agent是云資源的普通用戶,它有自己的訪問策略。對(duì)于動(dòng)態(tài)臨時(shí)用戶來說,動(dòng)態(tài)安全令牌也附帶策略。云資源服務(wù)提供方判定動(dòng)態(tài)安全令牌的策略和agent的策略是否發(fā)生沖突。假設(shè)agent的訪問權(quán)限用橢圓A表示,動(dòng)態(tài)安全令牌的訪問權(quán)限用橢圓B表示。A代表了普通用戶agent的云資源權(quán)限集合,B是擁有動(dòng)態(tài)安全令牌的臨時(shí)用戶可以訪問的資源集合。動(dòng)態(tài)臨時(shí)用戶的訪問策略設(shè)定如下I.當(dāng)動(dòng)態(tài)安全令牌附帶的策略權(quán)限范圍小于agent的訪問權(quán)限范圍時(shí),則動(dòng)態(tài)安全令牌附帶的訪問權(quán)限優(yōu)先,即動(dòng)態(tài)臨時(shí)用戶的訪問權(quán)限是集合B。如圖3所示。2.當(dāng)動(dòng)態(tài)安全令牌附帶的訪問權(quán)限范圍和agent的訪問權(quán)限范圍發(fā)生沖突時(shí),則agent的訪問權(quán)限優(yōu)先,即動(dòng)態(tài)臨時(shí)用戶的訪問權(quán)限是集合A。如圖4所示。3.當(dāng)訪問的資源相同,且訪問權(quán)限類型相同時(shí)(即,同時(shí)為允許或拒絕),動(dòng)態(tài)安全令牌附帶的訪問權(quán)限范圍和agent的訪問權(quán)限范圍有交集時(shí),則動(dòng)態(tài)臨時(shí)用戶的訪問權(quán) 限是交集部分。如圖5所示。4.對(duì)于同一資源,動(dòng)態(tài)安全令牌附帶的訪問策略和agent的訪問策略一個(gè)是允許,另一個(gè)是拒絕時(shí),顯式拒絕優(yōu)先。顯式拒絕覆蓋任何策略的允許,如圖6所示。
權(quán)利要求
1.一種基于動(dòng)態(tài)跨域安全令牌的云資源訪問控制方法,其步驟為 1)在云資源服務(wù)提供方預(yù)設(shè)一訪問代理,所述訪問代理為一普通云資源用戶; 2)所述訪問代理對(duì)通過該訪問代理進(jìn)行云資源訪問的動(dòng)態(tài)臨時(shí)用戶進(jìn)行身份認(rèn)證,為認(rèn)證通過后的每一動(dòng)態(tài)臨時(shí)用戶向云資源服務(wù)提供方請(qǐng)求一動(dòng)態(tài)安全令牌; 3)云資源服務(wù)提供方生成具有唯一標(biāo)識(shí)的動(dòng)態(tài)安全令牌并設(shè)定其訪問策略,然后經(jīng)所述訪問代理將動(dòng)態(tài)安全令牌發(fā)送給對(duì)應(yīng)動(dòng)態(tài)臨時(shí)用戶;所述動(dòng)態(tài)安全令牌包括訪問密鑰ID,身份密鑰,有效期; 4)每一動(dòng)態(tài)臨時(shí)用戶與云資源服務(wù)提供方之間分別設(shè)定一相同的共享密鑰; 5)動(dòng)態(tài)臨時(shí)用戶用自己的共享密鑰對(duì)訪問請(qǐng)求進(jìn)行簽名,生成并發(fā)送一認(rèn)證請(qǐng)求消息給云資源服務(wù)提供方;所述認(rèn)證請(qǐng)求消息包括簽名、訪問請(qǐng)求和動(dòng)態(tài)安全令牌的標(biāo)識(shí); 6)云資源服務(wù)提供方接收到認(rèn)證請(qǐng)求消息后,分別獲取簽名和動(dòng)態(tài)安全令牌的標(biāo)識(shí),然后依據(jù)令牌標(biāo)識(shí)對(duì)應(yīng)的共享密鑰對(duì)該認(rèn)證請(qǐng)求消息進(jìn)行簽名,如果該簽名與收到的簽名相同,則對(duì)該動(dòng)態(tài)臨時(shí)用戶的認(rèn)證通過; 7)云資源服務(wù)提供方判定動(dòng)態(tài)安全令牌及其訪問代理的訪問策略,根據(jù)判定結(jié)果響應(yīng)該動(dòng)態(tài)臨時(shí)用戶的訪問請(qǐng)求。
2.如權(quán)利要求I所述的方法,其特征在于所述訪問請(qǐng)求Request采用Restful標(biāo)準(zhǔn)格式 Request = (Requestpoint, Time);其中,Requestpoint 指具體的操作請(qǐng)求,Time 指提出訪問請(qǐng)求的時(shí)間。
3.如權(quán)利要求2所述的方法,其特征在于所述簽名的方法為首先使用所述共享密鑰和所述訪問請(qǐng)求中的Time作為HMAC函數(shù)的兩個(gè)輸入?yún)?shù),生成派生密鑰derived key ;然后使用第一輪的派生密鑰derived key和Requestpoint作為HMAC函數(shù)兩個(gè)輸入?yún)?shù),進(jìn)行第二輪HMAC運(yùn)算,創(chuàng)建所述簽名。
4.如權(quán)利要求I所述的方法,其特征在于步驟7)之前,云資源服務(wù)提供方與動(dòng)態(tài)臨時(shí)用戶進(jìn)行雙向確認(rèn),其方法為動(dòng)態(tài)臨時(shí)用戶發(fā)送所述認(rèn)證請(qǐng)求消息給云資源服務(wù)提供方時(shí),生成一隨機(jī)UUID標(biāo)識(shí);然后使用對(duì)稱加密算法AES用所述共享密鑰對(duì)該UUID標(biāo)識(shí)進(jìn)行加密,生成一會(huì)話密鑰;然后使用所述會(huì)話密鑰對(duì)發(fā)送的訪問請(qǐng)求進(jìn)行加密,將加密后的訪問請(qǐng)求和該UUID傳給云資源服務(wù)提供方;云資源服務(wù)提供方采用相同的對(duì)稱加密算法AES,根據(jù)該UUID標(biāo)識(shí)和共享密鑰,產(chǎn)生所述會(huì)話密鑰;然后用所述會(huì)話密鑰對(duì)訪問請(qǐng)求進(jìn)行解密;云資源服務(wù)提供方將該UUID值加I后用所述會(huì)話密鑰對(duì)返回一會(huì)話確認(rèn)消息給該動(dòng)態(tài)臨時(shí)用戶,該動(dòng)態(tài)臨時(shí)用戶確認(rèn)后進(jìn)行步驟7)。
5.如權(quán)利要求4所述的方法,其特征在于云資源服務(wù)提供方利用所述會(huì)話密鑰對(duì)該動(dòng)態(tài)臨時(shí)用戶訪問請(qǐng)求的響應(yīng)進(jìn)行加密后發(fā)送給該動(dòng)態(tài)臨時(shí)用戶。
6.如權(quán)利要求I所述的方法,其特征在于所述云資源服務(wù)提供方判定動(dòng)態(tài)安全令牌及其訪問代理的訪問策略,得到所述判定結(jié)果的方法為 a)當(dāng)動(dòng)態(tài)安全令牌附帶的訪問策略的權(quán)限范圍小于訪問代理的訪問權(quán)限范圍時(shí),則動(dòng)態(tài)安全令牌附帶的訪問策略優(yōu)先; b)當(dāng)動(dòng)態(tài)安全令牌附帶的訪問策略的權(quán)限范圍和訪問代理的訪問權(quán)限范圍發(fā)生沖突時(shí),則訪問代理的訪問權(quán)限優(yōu)先;c)當(dāng)動(dòng)態(tài)安全令牌及其訪問代理的訪問資源相同,且訪問策略的權(quán)限類型相同,動(dòng)態(tài)安全令牌附帶的訪問策略的權(quán)限范圍和訪問代理的訪問權(quán)限范圍有交集時(shí),則動(dòng)態(tài)臨時(shí)用戶的訪問權(quán)限是該交集部分; d)對(duì)于同一資源,動(dòng)態(tài)安全令牌附帶的訪問策略和訪問代理的訪問策略一個(gè)是允許,另一個(gè)是拒絕時(shí),則拒絕優(yōu)先。
7.如權(quán)利要求I所述的方法,其特征在于步驟6)中,云資源服務(wù)提供方收到該認(rèn)證請(qǐng)求消息后,先判定請(qǐng)求的時(shí)間是否在該動(dòng)態(tài)安全令牌的有效期內(nèi),如果不在有效期內(nèi),則終止認(rèn)證過程。
8.如權(quán)利要求I 7任一權(quán)利要求所述的方法,其特征在于所述共享密鑰為所述身份密鑰。
9.如權(quán)利要求8所述的方法,其特征在于所述身份密鑰是由云資源服務(wù)提供方根據(jù)訪問代理的訪問密鑰ID隨機(jī)生成唯一的身份密鑰。
全文摘要
本發(fā)明公開了一種基于動(dòng)態(tài)跨域安全令牌的云資源訪問控制方法。本方法為1)在云資源服務(wù)提供方預(yù)設(shè)一訪問代理;代理對(duì)動(dòng)態(tài)臨時(shí)用戶身份認(rèn)證后,為每一動(dòng)態(tài)臨時(shí)用戶向云資源提供方請(qǐng)求一動(dòng)態(tài)安全令牌;2)云資源提供方生成動(dòng)態(tài)安全令牌并設(shè)定其訪問策略,發(fā)送給動(dòng)態(tài)臨時(shí)用戶;3)每一動(dòng)態(tài)臨時(shí)用戶與云資源提供方之間分別設(shè)定一共享密鑰;4)動(dòng)態(tài)臨時(shí)用戶用共享密鑰對(duì)訪問請(qǐng)求進(jìn)行簽名,并發(fā)送一認(rèn)證請(qǐng)求消息給云資源提供方;5)云資源提供方用共享密鑰對(duì)該認(rèn)證請(qǐng)求消息簽名,如果簽名相同,則認(rèn)證通過;判定動(dòng)態(tài)安全令牌及其訪問代理的訪問策略,根據(jù)判定結(jié)果響應(yīng)該動(dòng)態(tài)臨時(shí)用戶的訪問請(qǐng)求。本發(fā)明實(shí)現(xiàn)了高效的跨域鑒權(quán)機(jī)制,判定效率高。
文檔編號(hào)H04L29/06GK102984252SQ20121048860
公開日2013年3月20日 申請(qǐng)日期2012年11月26日 優(yōu)先權(quán)日2012年11月26日
發(fā)明者王雅哲, 馬書南, 林東岱, 王瑜 申請(qǐng)人:中國科學(xué)院信息工程研究所