一種基于Kerberos擴展的Web服務安全框架

發(fā)布時間：2018-05-14 03:25

本文選題：Web服務 + Web服務安全�。� 參考：《武漢大學學報(理學版)》2017年02期

【摘要】：Web服務安全問題集中表現(xiàn)在信任建立、端到端消息安全保障以及資源訪問控制等方面.傳統(tǒng)的Web安全框架如Atlassian Seraph和Apache Shiro無法同時解決消息安全保護和跨域訪問控制的問題.本文提出并實現(xiàn)一種基于Kerberos的Web服務安全框架——KBW2SF,它包括用戶認證、消息安全通信、服務訪問控制三個核心功能.用戶認證使用Kerberos作為底層協(xié)議在服務請求發(fā)和提供方之間建立信任關系;安全通信使用WSSecurity規(guī)范及Kerberos票據(jù)中的密鑰保證消息端到端的完整性和機密性;服務訪問控制基于Kerberos票據(jù)中的用戶角色信息,由服務提供方對來訪用戶進行角色映射(跨域訪問)和權限鑒定,以此保護服務資源不被非法或者低權限用戶訪問.同時,KBW2SF引入緩存管理機制提高應用效率,降低安全機制對Web服務應用的影響程度.通過應用場景的實驗分析,該框架不但能夠有效解決Web服務消息的安全性以及跨域訪問控制問題,而且具有較高的效率,具備一定的實際應用價值.
[Abstract]:The security problems of Web services focus on trust building, end-to-end message security and resource access control. Traditional Web security framework such as Atlassian Seraph and Apache Shiro can not solve the problem of message security and cross-domain access control simultaneously. This paper proposes and implements a Web service security framework based on Kerberos, which includes three core functions: user authentication, message security communication and service access control. User authentication uses Kerberos as the underlying protocol to establish a trust relationship between the service request sender and the provider, and the secure communication uses the WSSecurity specification and the key in the Kerberos ticket to ensure the end-to-end integrity and confidentiality of the message. Service access control is based on the user role information in the Kerberos ticket, and the service provider performs role mapping (cross-domain access) and authorization authentication to the visiting user, so as to protect the service resource from illegal or low-privilege user access. At the same time, KBW2SF introduces cache management mechanism to improve application efficiency and reduce the impact of security mechanism on Web services applications. Through the experimental analysis of the application scenario, the framework not only can effectively solve the security of Web service messages and cross-domain access control problems, but also has high efficiency and practical application value.
【作者單位】：武漢大學空天信息安全與可信計算教育部重點實驗室;武漢大學軟件工程國家重點實驗室;武漢大學計算機學院;武漢理工大學計算機科學與技術學院;中興通信有限公司;湖北省電力公司;
【基金】：國家自然科學基金資助項目(61303024) 江蘇省自然科學基金資助項目(BK20130372)
【分類號】：TP393.08

【相似文獻】

相關期刊論文前10條

1 黃天戍,王海燕;Kerberos系統(tǒng)的分析和改進方案[J];計算機應用;2003年03期

2 張鳳梅,洪運國;Kerberos系統(tǒng)的分析和改進方案[J];遼寧稅務高等�？茖W校學報;2003年04期

3 姜平,戴闖,孫靜;實現(xiàn)Kerberos的優(yōu)化認證[J];電腦開發(fā)與應用;2004年04期

4 李毅 ,王道平;Kerberos原理及應用[J];信息網(wǎng)絡安全;2004年03期

5 徐勇 ,李征,張玨;Kerberos身份認證的分析和改進[J];微計算機信息;2004年10期

6 馬佩勛;李杰;;Kerberos協(xié)議及其授權擴展的研究與設計[J];計算機技術與發(fā)展;2006年05期

7 戈軍;;基于Kerberos身份認證的分析和改進[J];沈陽工程學院學報(自然科學版);2006年03期

8 張娜;;Kerberos與盲簽名的結合[J];計算機應用與軟件;2006年11期

9 曹世華;;Active Directory和Kerberos的校園網(wǎng)絡統(tǒng)一認證的實現(xiàn)[J];杭州師范學院學報(自然科學版);2007年04期

10 李翔;晁愛農(nóng);;Kerberos協(xié)議的應用與改進[J];微計算機信息;2008年36期

相關會議論文前9條

1 姚傳茂;;一種新的Kerberos認證系統(tǒng)改進方案[A];全國第20屆計算機技術與應用學術會議（CACIS·2009）暨全國第1屆安全關鍵技術與應用學術會議論文集（上冊）[C];2009年

2 莫燕;張玉清;吳建耀;;對Kerberos協(xié)議的攻擊及對策研究[A];全國網(wǎng)絡與信息安全技術研討會’2004論文集[C];2004年

3 郭甜滋;毛楠;司志剛;陳麗;;Kerberos協(xié)議在單點登錄中的改進及應用[A];計算機研究新進展（2010）——河南省計算機學會2010年學術年會論文集[C];2010年

4 韓江洪;馬學森;魏振春;;基于公鑰機制的Kerberos多區(qū)域分布式認證[A];計算機技術與應用進展·2007——全國第18屆計算機技術與應用（CACIS）學術會議論文集[C];2007年

5 鄧科峰;譚子軍;周先奉;;基于數(shù)字證書和Kerberos協(xié)議的身份認證方案[A];全國第20屆計算機技術與應用學術會議（CACIS·2009）暨全國第1屆安全關鍵技術與應用學術會議論文集（上冊）[C];2009年

6 余強;廖文浩;陳興蜀;;Kerberos化的Socks V5系統(tǒng)的設計與實現(xiàn)[A];第十八次全國計算機安全學術交流會論文集[C];2003年

7 張熙;谷利澤;李忠獻;;基于USBKEY的Kerberos認證協(xié)議的研究與實現(xiàn)[A];中國電子學會第十五屆信息論學術年會暨第一屆全國網(wǎng)絡編碼學術年會論文集（上冊）[C];2008年

8 田俊峰;畢志明;張晶;;一種基于公鑰的新型Kerberos域間認證方案[A];2008年全國開放式分布與并行計算機學術會議論文集(上冊)[C];2008年

9 歷優(yōu)棟;;基于Kerberos在調度自動化的應用[A];第十九屆輸配電研討會論文集[C];2011年

相關重要報紙文章前4條

1 啟然;網(wǎng)絡認證協(xié)議Kerberos淺析[N];網(wǎng)絡世界;2000年

2 陳耀光;Win2000的網(wǎng)絡安全機制[N];網(wǎng)絡世界;2001年

3 songwei;“多余”服務別忙關[N];電腦報;2004年

4 ;工具百寶箱[N];中國計算機報;2003年

相關博士學位論文前2條

1 何偉;基于改進Kerberos認證協(xié)議的遠程訪問VPN密碼系統(tǒng)研究[D];浙江大學;2003年

2 周倜;復雜安全協(xié)議的建模與驗證[D];國防科學技術大學;2008年

相關碩士學位論文前10條

1 傅娜娜;勘探生產(chǎn)門戶統(tǒng)一身份認證模型的研究與應用[D];西安石油大學;2015年

2 楊萍;Kerberos的安全性分析及其認證模式的研究與改進[D];天津理工大學;2015年

3 潘澤波;基于指紋認證的Kerberos認證系統(tǒng)的設計[D];中南大學;2008年

4 任敏;基于公鑰密碼的Kerberos認證系統(tǒng)的研究[D];山東師范大學;2006年

5 曹璞;基于公鑰密碼的Kerberos認證協(xié)議研究[D];浙江工業(yè)大學;2003年

6 姚傳茂;Kerberos認證系統(tǒng)的研究與改進[D];合肥工業(yè)大學;2003年

7 葉璽臣;基于改進型Kerberos協(xié)議的單點登錄技術研究[D];武漢輕工大學;2013年

8 劉錚;基于改進Kerberos協(xié)議的單點登錄系統(tǒng)研究與實現(xiàn)[D];重慶大學;2010年

9 張松林;基于Kerberos的安全認證模塊設計與實現(xiàn)[D];哈爾濱工業(yè)大學;2010年

10 金晨光;基于Kerberos的計算機內部網(wǎng)絡安全模型研究[D];西安電子科技大學;2001年

，

本文編號：1886134

資料下載

論文發(fā)表

支付寶下載

Download by Alipay
微信下載

Download by Wechat
會員下載

Download by Member

本文鏈接：http://sikaile.net/guanlilunwen/ydhl/1886134.html

上一篇：云環(huán)境中數(shù)據(jù)安全及訪問控制模型研究
下一篇：基于親緣性分析的惡意代碼檢測技術研究與實現(xiàn)

論文發(fā)表

·知網(wǎng)|萬方|維普|龍源|省級|國家級|科技核心|北大核心|南大核心CSSCI|EI|SCI|SSCI|

天堂国产午夜亚洲专区-少妇人妻综合久久蜜臀-国产成人户外露出视频在线-国产91传媒一区二区三区

一種基于Kerberos擴展的Web服務安全框架