本文選題：Web服務(wù) + Web服務(wù)安全　； 參考：《武漢大學(xué)學(xué)報(bào)(理學(xué)版)》2017年02期

【摘要】：Web服務(wù)安全問題集中表現(xiàn)在信任建立、端到端消息安全保障以及資源訪問控制等方面.傳統(tǒng)的Web安全框架如Atlassian Seraph和Apache Shiro無法同時(shí)解決消息安全保護(hù)和跨域訪問控制的問題.本文提出并實(shí)現(xiàn)一種基于Kerberos的Web服務(wù)安全框架——KBW2SF,它包括用戶認(rèn)證、消息安全通信、服務(wù)訪問控制三個(gè)核心功能.用戶認(rèn)證使用Kerberos作為底層協(xié)議在服務(wù)請(qǐng)求發(fā)和提供方之間建立信任關(guān)系;安全通信使用WSSecurity規(guī)范及Kerberos票據(jù)中的密鑰保證消息端到端的完整性和機(jī)密性;服務(wù)訪問控制基于Kerberos票據(jù)中的用戶角色信息,由服務(wù)提供方對(duì)來訪用戶進(jìn)行角色映射(跨域訪問)和權(quán)限鑒定,以此保護(hù)服務(wù)資源不被非法或者低權(quán)限用戶訪問.同時(shí),KBW2SF引入緩存管理機(jī)制提高應(yīng)用效率,降低安全機(jī)制對(duì)Web服務(wù)應(yīng)用的影響程度.通過應(yīng)用場(chǎng)景的實(shí)驗(yàn)分析,該框架不但能夠有效解決Web服務(wù)消息的安全性以及跨域訪問控制問題,而且具有較高的效率,具備一定的實(shí)際應(yīng)用價(jià)值.
[Abstract]:The security problems of Web services focus on trust building, end-to-end message security and resource access control. Traditional Web security framework such as Atlassian Seraph and Apache Shiro can not solve the problem of message security and cross-domain access control simultaneously. This paper proposes and implements a Web service security framework based on Kerberos, which includes three core functions: user authentication, message security communication and service access control. User authentication uses Kerberos as the underlying protocol to establish a trust relationship between the service request sender and the provider, and the secure communication uses the WSSecurity specification and the key in the Kerberos ticket to ensure the end-to-end integrity and confidentiality of the message. Service access control is based on the user role information in the Kerberos ticket, and the service provider performs role mapping (cross-domain access) and authorization authentication to the visiting user, so as to protect the service resource from illegal or low-privilege user access. At the same time, KBW2SF introduces cache management mechanism to improve application efficiency and reduce the impact of security mechanism on Web services applications. Through the experimental analysis of the application scenario, the framework not only can effectively solve the security of Web service messages and cross-domain access control problems, but also has high efficiency and practical application value.
【作者單位】： 武漢大學(xué)空天信息安全與可信計(jì)算教育部重點(diǎn)實(shí)驗(yàn)室;武漢大學(xué)軟件工程國(guó)家重點(diǎn)實(shí)驗(yàn)室;武漢大學(xué)計(jì)算機(jī)學(xué)院;武漢理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院;中興通信有限公司;湖北省電力公司;
【基金】：國(guó)家自然科學(xué)基金資助項(xiàng)目(61303024) 江蘇省自然科學(xué)基金資助項(xiàng)目(BK20130372)
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 黃天戍,王海燕;Kerberos系統(tǒng)的分析和改進(jìn)方案[J];計(jì)算機(jī)應(yīng)用;2003年03期

2 張鳳梅,洪運(yùn)國(guó);Kerberos系統(tǒng)的分析和改進(jìn)方案[J];遼寧稅務(wù)高等�？茖W(xué)校學(xué)報(bào);2003年04期

3 姜平,戴闖,孫靜;實(shí)現(xiàn)Kerberos的優(yōu)化認(rèn)證[J];電腦開發(fā)與應(yīng)用;2004年04期

4 李毅 ,王道平;Kerberos原理及應(yīng)用[J];信息網(wǎng)絡(luò)安全;2004年03期

5 徐勇 ,李征,張玨;Kerberos身份認(rèn)證的分析和改進(jìn)[J];微計(jì)算機(jī)信息;2004年10期

6 馬佩勛;李杰;;Kerberos協(xié)議及其授權(quán)擴(kuò)展的研究與設(shè)計(jì)[J];計(jì)算機(jī)技術(shù)與發(fā)展;2006年05期

7 戈軍;;基于Kerberos身份認(rèn)證的分析和改進(jìn)[J];沈陽工程學(xué)院學(xué)報(bào)(自然科學(xué)版);2006年03期

8 張娜;;Kerberos與盲簽名的結(jié)合[J];計(jì)算機(jī)應(yīng)用與軟件;2006年11期

9 曹世華;;Active Directory和Kerberos的校園網(wǎng)絡(luò)統(tǒng)一認(rèn)證的實(shí)現(xiàn)[J];杭州師范學(xué)院學(xué)報(bào)(自然科學(xué)版);2007年04期

10 李翔;晁愛農(nóng);;Kerberos協(xié)議的應(yīng)用與改進(jìn)[J];微計(jì)算機(jī)信息;2008年36期

相關(guān)會(huì)議論文 前9條

1 姚傳茂;;一種新的Kerberos認(rèn)證系統(tǒng)改進(jìn)方案[A];全國(guó)第20屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議（CACIS·2009）暨全國(guó)第1屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集（上冊(cè)）[C];2009年

2 莫燕;張玉清;吳建耀;;對(duì)Kerberos協(xié)議的攻擊及對(duì)策研究[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)’2004論文集[C];2004年

3 郭甜滋;毛楠;司志剛;陳麗;;Kerberos協(xié)議在單點(diǎn)登錄中的改進(jìn)及應(yīng)用[A];計(jì)算機(jī)研究新進(jìn)展（2010）——河南省計(jì)算機(jī)學(xué)會(huì)2010年學(xué)術(shù)年會(huì)論文集[C];2010年

4 韓江洪;馬學(xué)森;魏振春;;基于公鑰機(jī)制的Kerberos多區(qū)域分布式認(rèn)證[A];計(jì)算機(jī)技術(shù)與應(yīng)用進(jìn)展·2007——全國(guó)第18屆計(jì)算機(jī)技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會(huì)議論文集[C];2007年

5 鄧科峰;譚子軍;周先奉;;基于數(shù)字證書和Kerberos協(xié)議的身份認(rèn)證方案[A];全國(guó)第20屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議（CACIS·2009）暨全國(guó)第1屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集（上冊(cè)）[C];2009年

6 余強(qiáng);廖文浩;陳興蜀;;Kerberos化的Socks V5系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];第十八次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2003年

7 張熙;谷利澤;李忠獻(xiàn);;基于USBKEY的Kerberos認(rèn)證協(xié)議的研究與實(shí)現(xiàn)[A];中國(guó)電子學(xué)會(huì)第十五屆信息論學(xué)術(shù)年會(huì)暨第一屆全國(guó)網(wǎng)絡(luò)編碼學(xué)術(shù)年會(huì)論文集（上冊(cè)）[C];2008年

8 田俊峰;畢志明;張晶;;一種基于公鑰的新型Kerberos域間認(rèn)證方案[A];2008年全國(guó)開放式分布與并行計(jì)算機(jī)學(xué)術(shù)會(huì)議論文集(上冊(cè))[C];2008年

9 歷優(yōu)棟;;基于Kerberos在調(diào)度自動(dòng)化的應(yīng)用[A];第十九屆輸配電研討會(huì)論文集[C];2011年

相關(guān)重要報(bào)紙文章 前4條

1 啟然;網(wǎng)絡(luò)認(rèn)證協(xié)議Kerberos淺析[N];網(wǎng)絡(luò)世界;2000年

2 陳耀光;Win2000的網(wǎng)絡(luò)安全機(jī)制[N];網(wǎng)絡(luò)世界;2001年

3 songwei;“多余”服務(wù)別忙關(guān)[N];電腦報(bào);2004年

4 ;工具百寶箱[N];中國(guó)計(jì)算機(jī)報(bào);2003年

相關(guān)博士學(xué)位論文 前2條

1 何偉;基于改進(jìn)Kerberos認(rèn)證協(xié)議的遠(yuǎn)程訪問VPN密碼系統(tǒng)研究[D];浙江大學(xué);2003年

2 周倜;復(fù)雜安全協(xié)議的建模與驗(yàn)證[D];國(guó)防科學(xué)技術(shù)大學(xué);2008年

相關(guān)碩士學(xué)位論文 前10條

1 傅娜娜;勘探生產(chǎn)門戶統(tǒng)一身份認(rèn)證模型的研究與應(yīng)用[D];西安石油大學(xué);2015年

2 楊萍;Kerberos的安全性分析及其認(rèn)證模式的研究與改進(jìn)[D];天津理工大學(xué);2015年

3 潘澤波;基于指紋認(rèn)證的Kerberos認(rèn)證系統(tǒng)的設(shè)計(jì)[D];中南大學(xué);2008年

4 任敏;基于公鑰密碼的Kerberos認(rèn)證系統(tǒng)的研究[D];山東師范大學(xué);2006年

5 曹璞;基于公鑰密碼的Kerberos認(rèn)證協(xié)議研究[D];浙江工業(yè)大學(xué);2003年

6 姚傳茂;Kerberos認(rèn)證系統(tǒng)的研究與改進(jìn)[D];合肥工業(yè)大學(xué);2003年

7 葉璽臣;基于改進(jìn)型Kerberos協(xié)議的單點(diǎn)登錄技術(shù)研究[D];武漢輕工大學(xué);2013年

8 劉錚;基于改進(jìn)Kerberos協(xié)議的單點(diǎn)登錄系統(tǒng)研究與實(shí)現(xiàn)[D];重慶大學(xué);2010年

9 張松林;基于Kerberos的安全認(rèn)證模塊設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2010年

10 金晨光;基于Kerberos的計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)安全模型研究[D];西安電子科技大學(xué);2001年

，

本文編號(hào)：1886134