[发明专利]一种基于云计算平台的安全云控制器访问方法

摘要

一种基于云计算平台的安全云控制器访问方法，通过使用本发明的方法，能够在即使出现可扩展标记语言XML攻击和对时间戳不敏感的攻击时，也能安全访问云控制器。首先对简单对象访问协议SOAP消息头进行扩展，将安全断言标记语言SAML断言、时间戳、序列号、发送者、接收者等信息加入SOAP头中作为安全令牌，保障SOAP消息的安全性。接着对SOAP消息进行加密以及签名，并将其发送到云控制器端。云控制器端在完成签名验证之后，在返回的布尔值后增加已签名数据的位置信息。业务逻辑根据此数据位置信息判断即将要处理的数据是否已被签名，从而保障SOAP消息的完整性，消除由于SOAP处理框架中对任务模块的拆分而带来的问题。

主权项

一种基于云计算平台的安全云控制器访问方法，其特征在于该方法根据安全断言标记语言SAML思想设计了一个简单对象访问协议SOAP消息传输方法，然后通过加密、数字签名的方法安全访问云控制器；该方法的主要流程如下：客户端请求：步骤1. 客户端首先发起一个请求，这个请求包括客户端需要获得的数据项；步骤2. 将对客户端做出的包括身份验证、属性、授权断言的SAML断言加入简单对象访问协议SOAP头中作为安全令牌；步骤3. 在简单对象访问协议SOAP请求消息中加入包括时间戳、序列号、发送者、接收者的安全属性信息；步骤4. 生成对称公钥，使用对称公钥及加密算法加密简单对象访问协议SOAP消息中需要保密的安全断言标记语言SAML断言和简单对象访问协议SOAP消息的机密信息，然后使用云计算平台内存库中的公钥加密已生成的对称公钥，并把已加密的对称公钥用密钥信息元素加入简单对象访问协议SOAP消息中；步骤5. 使用客户端的密钥库密码及其私钥密码，从密钥库中提取其私钥，使用签名算法对安全断言标记语言SAML令牌、安全属性及需要保证完整性的元素进行签名，并在签名元素的密钥信息中包含其公钥信息；公钥信息包括密钥名称及数字证书标准X.509数据；步骤6. 把已经经过加密及签名安全处理过的安全简单对象访问协议SOAP消息发送到云控制器CLC的8773端口；云控制器端：步骤7. 云控制器CLC接收到安全消息以后，检查安全属性，判断是否重放，是否为相应的接收者和发送者；步骤8. 提取签名的密钥信息元素，从云计算平台的内存库将有关请求者的公钥详细信息和验证状态发回，然后使用该公钥验证签名；步骤9. 在完成签名验证之后，在返回的布尔值后增加已签名数据的位置信息；步骤10. 业务逻辑根据数据的位置信息判断即将要处理的数据是否已被签名，从而保障简单对象访问协议SOAP消息的完整性；步骤11. 根据密钥信息元素中的公钥信息，从密钥库中提取己方的私钥，对密钥进行解密，然后对加密内容实施解密；步骤12. 对简单对象访问协议SOAP中包含的安全断言标记语言SAML断言进行处理，根据安全断言标记语言SAML断言中包含的有关用户的验证、授权、属性信息以及简单对象访问协议SOAP消息构造授权决策请求，根据授权决策结果决定是否允许其进行相关操作；步骤13. 若允许访问，则根据用户的请求信息以及相关参数进行相关操作并返回相应客户端想要的数据。