一種基于Kerberos擴(kuò)展的Web服務(wù)安全框架

摘要：Web服務(wù)安全問(wèn)題集中表現(xiàn)在信任建立、端到端消息安全保障以及資源訪問(wèn)控制等方面.傳統(tǒng)的Web安全框架如Atlassian Seraph和Apache Shiro無(wú)法同時(shí)解決消息安全保護(hù)和跨域訪問(wèn)控制的問(wèn)題.本文提出并實(shí)現(xiàn)一種基于Kerberos的Web服務(wù)安全框架——KBW2SF,它包括用戶認(rèn)證、消息安全通信、服務(wù)訪問(wèn)控制三個(gè)核心功能.用戶認(rèn)證使用Kerberos作為底層協(xié)議在服務(wù)請(qǐng)求發(fā)和提供方之間建立信任關(guān)系;安全通信使用WSSecurity規(guī)范及Kerberos票據(jù)中的密鑰保證消息端到端的完整性和機(jī)密性;服務(wù)訪問(wèn)控制基于Kerberos票據(jù)中的用戶角色信息,由服務(wù)提供方對(duì)來(lái)訪用戶進(jìn)行角色映射（跨域訪問(wèn)）和權(quán)限鑒定,以此保護(hù)服務(wù)資源不被非法或者低權(quán)限用戶訪問(wèn).同時(shí),KBW2SF引入緩存管理機(jī)制提高應(yīng)用效率,降低安全機(jī)制對(duì)Web服務(wù)應(yīng)用的影響程度.通過(guò)應(yīng)用場(chǎng)景的實(shí)驗(yàn)分析,該框架不但能夠有效解決Web服務(wù)消息的安全性以及跨域訪問(wèn)控制問(wèn)題,而且具有較高的效率,具備一定的實(shí)際應(yīng)用價(jià)值.