[发明专利]一种云平台资源访问控制的令牌构造方法、装置及设备

权利要求书

1.一种云平台资源访问控制的令牌构造方法，其特征在于，包括：

获取认证用户的令牌申请请求；其中，所述认证用户为身份认证成功的用户，所述令牌申请请求包括用户公钥；

根据所述令牌申请请求，生成所述认证用户对应的授权元数据令牌；其中，所述授权元数据令牌包括所述认证用户对应的默克尔树数据的叶子节点，所述叶子节点包括各访问资源授权信息各自对应的哈希值；

利用数字证书对所述授权元数据令牌进行数字签名，生成用户令牌；

利用所述用户公钥对所述用户令牌进行加密，生成加密用户令牌，并将所述加密用户令牌和所述数字证书发送到所述认证用户的客户端，以使所述客户端利用所述授权元数据令牌进行资源访问的挑战响应。

2.根据权利要求1所述的云平台资源访问控制的令牌构造方法，其特征在于，所述叶子节点包括：云平台中的各端点信息、用户信息、项目信息、角色信息和授权时间信息对应的哈希值。

3.根据权利要求2所述的云平台资源访问控制的令牌构造方法，其特征在于，各所述端点信息、所述用户信息、所述项目信息、所述角色信息和所述授权时间信息中均包括各自对应的随机数。

4.根据权利要求1所述的云平台资源访问控制的令牌构造方法，其特征在于，默克尔树数据具体为叶子节点数量为偶数的完全二叉树结构。

5.根据权利要求1所述的云平台资源访问控制的令牌构造方法，其特征在于，所述令牌申请请求包括用户名和密码时，所述根据所述令牌申请请求，生成所述认证用户对应的授权元数据令牌，包括：

根据所述用户名和所述密码，对所述令牌申请请求对应的用户进行身份认证；

若身份验证成功，则将所述令牌申请请求对应的用户确定为所述认证用户，并生成所述认证用户对应的授权元数据令牌。

6.根据权利要求1所述的云平台资源访问控制的令牌构造方法，其特征在于，所述授权元数据令牌包括用户ID和所述叶子节点时，所述利用数字证书对所述元数据令牌进行数字签名，生成用户令牌，包括：

利用所述数字证书对所述用户ID和所述叶子节点分别进行数字签名，组合得到所述用户令牌。

7.根据权利要求1所述的云平台资源访问控制的令牌构造方法，其特征在于，所述授权元数据令牌包括所述默克尔树数据中的目标数据；所述目标数据只包括所述叶子节点，所述目标数据小于或等于1KB。

8.根据权利要求1至7任一项所述的云平台资源访问控制的令牌构造方法，其特征在于，还包括：

根据所述默克尔树数据，生成每个目标暴露端口各自对应的默克尔树端口数据；其中，所述目标暴露端口为云平台中所述认证用户被授权访问的暴露端口；

将所述默克尔树端口数据发送到各自对应的目标暴露端口中存储。

9.根据权利要求8所述的云平台资源访问控制的令牌构造方法，其特征在于，所述叶子节点包括云平台中的各端点信息各自对应的哈希值时，所述默克尔树端口数据包括目标叶子节点对应的元数据和非目标叶子节点，所述非目标叶子节点与所述目标叶子节点组成所述默克尔树数据的全部叶子节点，所述非目标叶子节点为所述默克尔树数据中对应的目标暴露端口之外的各所述端口信息对应的叶子节点，所述元数据为所述默克尔树数据中所述目标叶子节点哈希加密前的数据。