一种基于Kerberos扩展的Web服务安全框架
本文选题:Web服务 + Web服务安全 ; 参考:《武汉大学学报(理学版)》2017年02期
【摘要】:Web服务安全问题集中表现在信任建立、端到端消息安全保障以及资源访问控制等方面.传统的Web安全框架如Atlassian Seraph和Apache Shiro无法同时解决消息安全保护和跨域访问控制的问题.本文提出并实现一种基于Kerberos的Web服务安全框架——KBW2SF,它包括用户认证、消息安全通信、服务访问控制三个核心功能.用户认证使用Kerberos作为底层协议在服务请求发和提供方之间建立信任关系;安全通信使用WSSecurity规范及Kerberos票据中的密钥保证消息端到端的完整性和机密性;服务访问控制基于Kerberos票据中的用户角色信息,由服务提供方对来访用户进行角色映射(跨域访问)和权限鉴定,以此保护服务资源不被非法或者低权限用户访问.同时,KBW2SF引入缓存管理机制提高应用效率,降低安全机制对Web服务应用的影响程度.通过应用场景的实验分析,该框架不但能够有效解决Web服务消息的安全性以及跨域访问控制问题,而且具有较高的效率,具备一定的实际应用价值.
[Abstract]:The security problems of Web services focus on trust building, end-to-end message security and resource access control. Traditional Web security framework such as Atlassian Seraph and Apache Shiro can not solve the problem of message security and cross-domain access control simultaneously. This paper proposes and implements a Web service security framework based on Kerberos, which includes three core functions: user authentication, message security communication and service access control. User authentication uses Kerberos as the underlying protocol to establish a trust relationship between the service request sender and the provider, and the secure communication uses the WSSecurity specification and the key in the Kerberos ticket to ensure the end-to-end integrity and confidentiality of the message. Service access control is based on the user role information in the Kerberos ticket, and the service provider performs role mapping (cross-domain access) and authorization authentication to the visiting user, so as to protect the service resource from illegal or low-privilege user access. At the same time, KBW2SF introduces cache management mechanism to improve application efficiency and reduce the impact of security mechanism on Web services applications. Through the experimental analysis of the application scenario, the framework not only can effectively solve the security of Web service messages and cross-domain access control problems, but also has high efficiency and practical application value.
【作者单位】: 武汉大学空天信息安全与可信计算教育部重点实验室;武汉大学软件工程国家重点实验室;武汉大学计算机学院;武汉理工大学计算机科学与技术学院;中兴通信有限公司;湖北省电力公司;
【基金】:国家自然科学基金资助项目(61303024) 江苏省自然科学基金资助项目(BK20130372)
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 黄天戍,王海燕;Kerberos系统的分析和改进方案[J];计算机应用;2003年03期
2 张凤梅,洪运国;Kerberos系统的分析和改进方案[J];辽宁税务高等专科学校学报;2003年04期
3 姜平,戴闯,孙静;实现Kerberos的优化认证[J];电脑开发与应用;2004年04期
4 李毅 ,王道平;Kerberos原理及应用[J];信息网络安全;2004年03期
5 徐勇 ,李征,张珏;Kerberos身份认证的分析和改进[J];微计算机信息;2004年10期
6 马佩勋;李杰;;Kerberos协议及其授权扩展的研究与设计[J];计算机技术与发展;2006年05期
7 戈军;;基于Kerberos身份认证的分析和改进[J];沈阳工程学院学报(自然科学版);2006年03期
8 张娜;;Kerberos与盲签名的结合[J];计算机应用与软件;2006年11期
9 曹世华;;Active Directory和Kerberos的校园网络统一认证的实现[J];杭州师范学院学报(自然科学版);2007年04期
10 李翔;晁爱农;;Kerberos协议的应用与改进[J];微计算机信息;2008年36期
相关会议论文 前9条
1 姚传茂;;一种新的Kerberos认证系统改进方案[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(上册)[C];2009年
2 莫燕;张玉清;吴建耀;;对Kerberos协议的攻击及对策研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
3 郭甜滋;毛楠;司志刚;陈丽;;Kerberos协议在单点登录中的改进及应用[A];计算机研究新进展(2010)——河南省计算机学会2010年学术年会论文集[C];2010年
4 韩江洪;马学森;魏振春;;基于公钥机制的Kerberos多区域分布式认证[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
5 邓科峰;谭子军;周先奉;;基于数字证书和Kerberos协议的身份认证方案[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(上册)[C];2009年
6 余强;廖文浩;陈兴蜀;;Kerberos化的Socks V5系统的设计与实现[A];第十八次全国计算机安全学术交流会论文集[C];2003年
7 张熙;谷利泽;李忠献;;基于USBKEY的Kerberos认证协议的研究与实现[A];中国电子学会第十五届信息论学术年会暨第一届全国网络编码学术年会论文集(上册)[C];2008年
8 田俊峰;毕志明;张晶;;一种基于公钥的新型Kerberos域间认证方案[A];2008年全国开放式分布与并行计算机学术会议论文集(上册)[C];2008年
9 历优栋;;基于Kerberos在调度自动化的应用[A];第十九届输配电研讨会论文集[C];2011年
相关重要报纸文章 前4条
1 启然;网络认证协议Kerberos浅析[N];网络世界;2000年
2 陈耀光;Win2000的网络安全机制[N];网络世界;2001年
3 songwei;“多余”服务别忙关[N];电脑报;2004年
4 ;工具百宝箱[N];中国计算机报;2003年
相关博士学位论文 前2条
1 何伟;基于改进Kerberos认证协议的远程访问VPN密码系统研究[D];浙江大学;2003年
2 周倜;复杂安全协议的建模与验证[D];国防科学技术大学;2008年
相关硕士学位论文 前10条
1 傅娜娜;勘探生产门户统一身份认证模型的研究与应用[D];西安石油大学;2015年
2 杨萍;Kerberos的安全性分析及其认证模式的研究与改进[D];天津理工大学;2015年
3 潘泽波;基于指纹认证的Kerberos认证系统的设计[D];中南大学;2008年
4 任敏;基于公钥密码的Kerberos认证系统的研究[D];山东师范大学;2006年
5 曹璞;基于公钥密码的Kerberos认证协议研究[D];浙江工业大学;2003年
6 姚传茂;Kerberos认证系统的研究与改进[D];合肥工业大学;2003年
7 叶玺臣;基于改进型Kerberos协议的单点登录技术研究[D];武汉轻工大学;2013年
8 刘铮;基于改进Kerberos协议的单点登录系统研究与实现[D];重庆大学;2010年
9 张松林;基于Kerberos的安全认证模块设计与实现[D];哈尔滨工业大学;2010年
10 金晨光;基于Kerberos的计算机内部网络安全模型研究[D];西安电子科技大学;2001年
,本文编号:1886134
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1886134.html
