[发明专利]一种安全服务提供方法及装置

说明书

本发明提供一种安全服务提供方法，根据用户认证请求，获得Kerberos系统生成的用户身份票据，利用用户身份票据进行用户认证。若用户认证通过，则获得Kerberos系统针对第一服务器生成的服务票据，利用服务票据生成用户的通信消息，并将通信消息发送至第一服务器。本发明可以通过获得Kerberos系统生成的用户身份票据和服务票据，实现用户与第一服务器之间的安全认证和通信。

技术领域

本发明涉及Web服务领域，尤其涉及一种安全服务提供方法及装置。

背景技术

Web服务是一种新型的、分布式网络环境下的计算方法。在现有标准和规范的支持下，各异构平台之间通过Web服务实现松散耦合，进行动态交互和组合，不必关心各平台内部的具体实现。Web服务广泛应用的同时，也带来了诸多的安全性问题，主要表现在以下几个方面：

1)如何建立通信实体之间的信任关系。

2)Web服务消息传输过程中可能经过多个中间节点，如何保证消息端到端的安全。

3)在服务调用和组合的过程中，跨域访问非常频繁，同一个用户在不同安全域所具有的身份和权限不同，如何实现域间的身份映射、协调用户在不同安全域之间的权限、合理保护资源不被非法访问。

4)Web服务框架中引入安全机制后，往往会涉及安全信息的负责处理过程，需要进行相关的数据查询，导致对Web服务应用的功能响应延迟，如何降低安全机制对Web服务应用的影响程度，提高响应速度。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

现有的Web服务安全框架仍然无法解决上述问题。例如，Seraph是一个功能可定制的开源J2EE Web应用程序安全框架，在服务方法调用层面以及消息传输过程中的安全方面缺乏相应的保护机制；Apache Shiro是一个强大并易于使用的Java开源安全框架，在处理认证、授权、会话管理以及加密方面表现出较好的特质，但在跨域访问和服务方法层面却没有提出有效的访问控制方案；WS-Security规范提供了对Web服务的机密性、完整性和可用性的保护，但是它只是一套框架，本身并不提供完整的安全性解决方案。

发明内容

有鉴于此，本发明实施例所解决的技术问题之一在于提供一种安全服务提供方法及装置，用以克服现有技术中无法同时解决用户认证、安全通信、服务访问控制的缺陷，达到提供完整安全解决方案的效果。

本发明实施例提供一种安全服务提供方法，包括：

根据用户认证请求，获得Kerberos系统生成的用户身份票据；

利用所述用户身份票据进行用户认证；

若所述用户认证通过，则获得所述Kerberos系统针对第一服务器生成的服务票据；

利用所述服务票据生成用户的通信消息，并将所述通信消息发送至所述第一服务器。

可选地，在本发明一具体实施例中，所述若所述用户认证通过，则获得所述Kerberos系统针对第一服务器生成的服务票据的步骤还包括：

获得所述用户在所述第一服务器的权限数据。

可选地，在本发明一具体实施例中，所述获得所述用户在所述第一服务器的权限数据的步骤包括：

根据所述用户身份票据中的用户角色信息，从本地数据库或者鉴权服务器中获得所述用户角色信息对应的所述第一服务器的权限数据。

可选地，在本发明一具体实施例中，当所述用户通过所述第一服务器访问第二服务器时，所述获得所述用户在所述第一服务器的权限数据的步骤还包括：

获得所述用户在所述第二服务器的权限数据。