技術領域

本發明屬于信息安全中的訪問控制領域，具體涉及一種基于動態跨域安全令牌的云資源訪問控制方法。

背景技術

隨著云計算技術的出現及廣泛應用，其具有的跨域和異構等特性使原來的資源共享模式正向資源消費模式轉變。在云資源消費者中，不僅有大量的用戶長期使用云資源，還有一些動態臨時用戶偶爾訪問云資源。近年來，一些科研機構和企業針對上述云資源的發展趨勢，提出了相應的解決方案。

OpenID是一個去中心化的網絡身份認證系統，它通過統一資源標識符(URL)對網絡用戶進行標識和身份認證，它將身份管理、身份認證從應用業務中分離出來，并托管給專業的身份服務提供商。由于OpenID使用URL標識用戶，URL的公開化不利于保護用戶的隱私。此外，OpenID是以用戶為中心的使用模式，不是以組織架構為中心，不適用于云資源中高效、跨域的訪問模式。

Amazon?Web?Service是其中較為典型的云資源服務商，它在向云用戶提供資源方面有其自身的優勢，但也存在一些不足之處。例如，它的簽名認證過程較為復雜。此外，Amazon沒有考慮用戶和云資源服務商之間進行安全通信時的會話密鑰，因此機密信息的安全傳輸無法得到保證。最后，沒有對動態臨時用戶的訪問控制策略進行設定。

發明內容

本發明旨在針對云資源中的身份認證及訪問控制問題所面臨的挑戰，提出了一種基于動態安全令牌的云資源訪問控制方法。本發明采用Restful標準模式對請求進行描述，簡化了身份認證過程。本發明涉及了身份管理、身份認證、會話密鑰的生成及使用、動態臨時用戶的訪問策略的設定。

下面簡要介紹本發明的基本思想。

具體來說，本發明的技術方案包括以下四個方面：

一、在本發明的身份管理中，采用在云資源處預埋代理的方式，代理通過機構內部的身份認證系統對這些動態臨時用戶進行認證，然后為他們提供動態安全令牌。臨時用戶使用這些動態安全令牌，可以在有效期內訪問特定的云資源服務。

二、在本發明的身份認證中，將云資源用戶的認證請求(即消息)具體化，并采用兩輪HMAC運算(即基于散列的消息認證碼；參考《信息安全原理與應用》第5.3節，電子工業出版社，王昭等著)，既加強了對身份密鑰(Identity?key)的保護，又使身份認證的過程不至于太復雜。其中，通過使用身份密鑰，創建了基于散列的消息認證碼。

三、本發明提出了用戶和云資源服務商之間進行安全通信時的會話密鑰(Session?key)。使用對稱加密算法AES，將隨機UUID標識以及與服務商的共享密鑰Identity?key作為輸入參數，生成Session?key，并說明了Session?key如何使用。該部分方案保證了用戶和云資源服務商之間進行會話的安全性。

四、訪問策略用于指定動態安全令牌的權限或普通云資源用戶的權限。在本發明中，把策略附在云資源用戶以及所有的動態安全令牌上，進一步限制了動態臨時用戶對云資源的訪問。本發明將動態臨時用戶的訪問控制策略進行了設定。

歸納起來，本發明與現有技術相比，具有以下顯著優點：

1.高效性。本發明使用動態跨域令牌，實現了更高效的跨域鑒權機制。

2.本發明采用HMAC方式，通過令牌中的身份密鑰，實現了消息鑒別和認證機制，實現方法簡便，避免了復雜的運算。

3.本發明通過由身份密鑰衍生出的會話密鑰，保證了機密信息的安全傳輸。

4.本發明通過設定動態臨時用戶的訪問策略，提高了判定效率。

附圖說明

圖1本發明的總體框架結構圖；

圖2本發明的身份認證過程圖；

圖3本發明的訪問策略規則1的示意圖；

圖4本發明的訪問策略規則2的示意圖；

圖5本發明的訪問策略規則3的示意圖；

圖6本發明的訪問策略規則4的示意圖。

具體實施方式

下面通過具體實施方式并結合附圖，對本發明進行詳細說明。

附圖1為該方案實施的總體框架，主要包括以下內容。

一、基于動態安全令牌的身份管理

隨著云計算技術的出現，其具有的跨域和異構等特性使原來的資源共享模式正向資源消費模式轉變。在云資源消費者中，不僅有大量的用戶長期使用云資源，還有一些動態臨時用戶偶爾訪問云資源。對于長期用戶來說，可以在云資源服務提供方處為它們建立賬戶。每個帳戶有其自己對云資源的計費，我們將這些長期用戶稱之為普通云資源用戶。