[发明专利]一种云服务接口的安全认证机制及其认证系统

说明书

技术领域

本发明涉及云技术领域，特别是涉及一种云服务接口的安全认证机制及其认证系统。 

背景技术

云技术作为互联网技术中的重要应用，在大范围的普及使用时，由于涉及的众多用户使用，所以在安全方面显得非常重要，因此需要采用身份验证机制对用户进行验证，目前，身份认证安全机制主要有两种比较传统的技术：1、基于用户和密码的认证方式。服务器保存用户的用户名和密码信息。当用户提供正确的用户名和匹配的密码时候，用户身份认证成功。这是最古老也是当前应用最广的身份验证机制；2、基于证书文件的认证方式。服务器给授权的合法用户生成一个能够认证用户信息的证书文件。证书文件通常包含了用户的相关信息，并以特定的形式加密。当用户提供相应的证书文件申请服务器身份认证的时候，服务器校验证书合法后提供证书文件用户对应的身份和权限给申请用户。 

但是，密码和证书形式的身份认证都是一次性长授权操作，即在一次身份认证成功后就授予用户长时间多操作的合法权限。在B/S（浏览器/服务器）结构的程序中表现为身份认证后建立session会话，之后的身份权限操作都基于这个session进行；C/S（客户端/服务器）结构的程序表现为，有一个认证界面，当通过认证这个流程界面后，即进入获得了其他流程界面操作的权限。 

同时传统用户信息的传输做法是，作为调用函数方法的参数，在通信中传输。这样做法的弊端在于，用户信息（包括敏感的密码等信息）用显示的方式暴露在程序代码和通信过程中。 

针对，云服务扩展接口的实际情况。云服务扩展接口通常是web service等方式提供给外部程序功能方法调用。并不建立session会话，也没有认证界面流程控制。所以，如果采用传统的密码和证书文件进行身份认证，需要在每个功能方法参数中都包含密码或证书信息。这对密码和证书的管理存在很大挑战，密码证书也容易在网络传输中被截获破解。 

发明内容

为了克服现有技术的不足，本发明的一个技术目的是提供一种有效提高云服务接口安全的云服务接口的安全认证机制。 

为了克服现有技术的不足，本发明的另一个技术目的是提供一种有效提高云服务接口安全的云服务接口的安全认证系统。 

为实现上述第一个技术目的，本发明采用的技术方案如下： 

一种云服务接口的安全认证机制，用于客户端与服务端的连接，包括客户端认证和授权两个步骤，服务端对客户端认证后再进行授权，所述认证还包括以下步骤：

客户端发起连接请求时，对soap协议通信信息添加客户端的数字证书信息作为安全头，并发送到服务端；

服务端对soap协议通信信息的安全头进行合法性验证。

优选地，所述数字证书信息为服务端公钥和客户端私钥，所述数字证书信息为服务端统一生成并发放到客户端中。 

优选地，所述合法性验证为采用安全体系X.509的非对称密钥认证加密标准。 

优选地，所述授权为：服务端通过获取的用户的属性信息和服务器端预设的用户属性权限规则库进行匹配判定，根据用户的具体属性信息授予用户与该属性信息相应的源操作权限，所述用户的属性信息为预设的用户个人信息。 

优选地，所述匹配判定为：根据用户的属性与预设的用户属性权限规则库中的所有用户属性权限规则进行实时的判断，匹配出用户的属性信息所符合的用户属性权限规则，并根据用户属性权限规则授予用户相应的源操作权限。 

优选地，所述匹配判定还包括：为根据当前时间结合用户的属性信息与用户属性权限规则进行动态的匹配判定. 

为实现上述第二个技术目的，本发明采用的技术方案如下：

一种云服务接口的安全认证系统，用于客户端与服务端的连接，其特征在于，包括安全头附加模块，所述全头附加模块设置在客户端，所述安全头附加模块用于截获soap协议的通信信息，并把客户端的证书信息作为安全头信息附加到soap协议通信信息中一起发送到服务端，服务端对安全头进行合法性验证。

优选地，所述数字证书信息为服务端公钥和客户端私钥，所述数字证书信息为服务端统一生成并发放到客户端中。 

优选地，还包括授权模块，所述授权模块设置在服务端，所述授权模块根据务端对安全头进行合法性验证结果，对客户端进行授权。 

优选地，所述授权模块包括：用户属性权限规则库，所述用户属性权限规则库用于服务端通过获取的用户的属性信息和服务器端预设的用户属性权限规则库进行匹配判定，根据用户的具体属性信息授予用户与该属性信息相应的源操作权限，所述用户的属性信息为预设的用户个人信息。