1.一種基于動態跨域安全令牌的云資源訪問控制方法，其步驟為：

1)在云資源服務提供方預設一訪問代理，所述訪問代理為一普通云資源用戶；

2)所述訪問代理對通過該訪問代理進行云資源訪問的動態臨時用戶進行身份認證，為認證通過后的每一動態臨時用戶向云資源服務提供方請求一動態安全令牌；

3)云資源服務提供方生成具有唯一標識的動態安全令牌并設定其訪問策略，然后經所述訪問代理將動態安全令牌發送給對應動態臨時用戶；所述動態安全令牌包括：訪問密鑰ID，身份密鑰，有效期；

4)每一動態臨時用戶與云資源服務提供方之間分別設定一相同的共享密鑰；

5)動態臨時用戶用自己的共享密鑰對訪問請求進行簽名，生成并發送一認證請求消息給云資源服務提供方；所述認證請求消息包括：簽名、訪問請求和動態安全令牌的標識；

6)云資源服務提供方接收到認證請求消息后，分別獲取簽名和動態安全令牌的標識，然后依據令牌標識對應的共享密鑰對該認證請求消息進行簽名，如果該簽名與收到的簽名相同，則對該動態臨時用戶的認證通過；

7)云資源服務提供方判定動態安全令牌及其訪問代理的訪問策略，根據判定結果響應該動態臨時用戶的訪問請求。

2.如權利要求1所述的方法，其特征在于所述訪問請求Request采用Restful標準格式：

Request＝(Requestpoint，Time)；其中，Requestpoint指具體的操作請求，Time指提出訪問請求的時間。

3.如權利要求2所述的方法，其特征在于所述簽名的方法為：首先使用所述共享密鑰和所述訪問請求中的Time作為HMAC函數的兩個輸入參數，生成派生密鑰derived?key；然后使用第一輪的派生密鑰derived?key和Requestpoint作為HMAC函數兩個輸入參數，進行第二輪HMAC運算，創建所述簽名。

4.如權利要求1所述的方法，其特征在于步驟7)之前，云資源服務提供方與動態臨時用戶進行雙向確認，其方法為：動態臨時用戶發送所述認證請求消息給云資源服務提供方時，生成一隨機UUID標識；然后使用對稱加密算法AES用所述共享密鑰對該UUID標識進行加密，生成一會話密鑰；然后使用所述會話密鑰對發送的訪問請求進行加密，將加密后的訪問請求和該UUID傳給云資源服務提供方；云資源服務提供方采用相同的對稱加密算法AES，根據該UUID標識和共享密鑰，產生所述會話密鑰；然后用所述會話密鑰對訪問請求進行解密；云資源服務提供方將該UUID值加1后用所述會話密鑰對返回一會話確認消息給該動態臨時用戶，該動態臨時用戶確認后進行步驟7)。

5.如權利要求4所述的方法，其特征在于云資源服務提供方利用所述會話密鑰對該動態臨時用戶訪問請求的響應進行加密后發送給該動態臨時用戶。

6.如權利要求1所述的方法，其特征在于所述云資源服務提供方判定動態安全令牌及其訪問代理的訪問策略，得到所述判定結果的方法為：

a)當動態安全令牌附帶的訪問策略的權限范圍小于訪問代理的訪問權限范圍時，則動態安全令牌附帶的訪問策略優先；

b)當動態安全令牌附帶的訪問策略的權限范圍和訪問代理的訪問權限范圍發生沖突時，則訪問代理的訪問權限優先；

c)當動態安全令牌及其訪問代理的訪問資源相同，且訪問策略的權限類型相同，動態安全令牌附帶的訪問策略的權限范圍和訪問代理的訪問權限范圍有交集時，則動態臨時用戶的訪問權限是該交集部分；

d)對于同一資源，動態安全令牌附帶的訪問策略和訪問代理的訪問策略一個是允許，另一個是拒絕時，則拒絕優先。

7.如權利要求1所述的方法，其特征在于步驟6)中，云資源服務提供方收到該認證請求消息后，先判定請求的時間是否在該動態安全令牌的有效期內，如果不在有效期內，則終止認證過程。

8.如權利要求1～7任一權利要求所述的方法，其特征在于所述共享密鑰為所述身份密鑰。

9.如權利要求8所述的方法，其特征在于所述身份密鑰是由云資源服務提供方根據訪問代理的訪問密鑰ID隨機生成唯一的身份密鑰。