首頁 > 期刊 > 自然科學與工程技術 > 工程科技I > 綜合科技A類綜合 > 武漢大學學報·理學版 > 一種基于Kerberos擴展的Web服務安全框架 【正文】
一種基于Kerberos擴展的Web服務安全框架
張立強; 何凡; 葉衛軍; 應時; 李晶 武漢大學空天信息安全與可信計算教育部重點實驗室; 湖北武漢430072; 武漢大學軟件工程國家重點實驗室; 湖北武漢430072; 武漢大學計算機學院; 湖北武漢430072; 武漢理工大學計算機科學與技術學院; 湖北武漢430070; 中興通信有限公司; 陜西西安710065; 湖北省電力公司; 湖北武漢430077
- web服務
- web服務安全
- kerberos
- 訪問控制
摘要:Web服務安全問題集中表現在信任建立、端到端消息安全保障以及資源訪問控制等方面.傳統的Web安全框架如Atlassian Seraph和Apache Shiro無法同時解決消息安全保護和跨域訪問控制的問題.本文提出并實現一種基于Kerberos的Web服務安全框架——KBW2SF,它包括用戶認證、消息安全通信、服務訪問控制三個核心功能.用戶認證使用Kerberos作為底層協議在服務請求發和提供方之間建立信任關系;安全通信使用WSSecurity規范及Kerberos票據中的密鑰保證消息端到端的完整性和機密性;服務訪問控制基于Kerberos票據中的用戶角色信息,由服務提供方對來訪用戶進行角色映射(跨域訪問)和權限鑒定,以此保護服務資源不被非法或者低權限用戶訪問.同時,KBW2SF引入緩存管理機制提高應用效率,降低安全機制對Web服務應用的影響程度.通過應用場景的實驗分析,該框架不但能夠有效解決Web服務消息的安全性以及跨域訪問控制問題,而且具有較高的效率,具備一定的實際應用價值.
- web服務
- web服務安全
- kerberos
- 訪問控制
摘要:Web服務安全問題集中表現在信任建立、端到端消息安全保障以及資源訪問控制等方面.傳統的Web安全框架如Atlassian Seraph和Apache Shiro無法同時解決消息安全保護和跨域訪問控制的問題.本文提出并實現一種基于Kerberos的Web服務安全框架——KBW2SF,它包括用戶認證、消息安全通信、服務訪問控制三個核心功能.用戶認證使用Kerberos作為底層協議在服務請求發和提供方之間建立信任關系;安全通信使用WSSecurity規范及Kerberos票據中的密鑰保證消息端到端的完整性和機密性;服務訪問控制基于Kerberos票據中的用戶角色信息,由服務提供方對來訪用戶進行角色映射(跨域訪問)和權限鑒定,以此保護服務資源不被非法或者低權限用戶訪問.同時,KBW2SF引入緩存管理機制提高應用效率,降低安全機制對Web服務應用的影響程度.通過應用場景的實驗分析,該框架不但能夠有效解決Web服務消息的安全性以及跨域訪問控制問題,而且具有較高的效率,具備一定的實際應用價值.
注:因版權方要求,不能公開全文,如需全文,請咨詢雜志社
