一种安全服务提供方法及装置制造方法及图纸

本发明专利技术提供一种安全服务提供方法，根据用户认证请求，获得Kerberos系统生成的用户身份票据，利用用户身份票据进行用户认证。若用户认证通过，则获得Kerberos系统针对第一服务器生成的服务票据，利用服务票据生成用户的通信消息，并将通信消息发送至第一服务器。本发明专利技术可以通过获得Kerberos系统生成的用户身份票据和服务票据，实现用户与第一服务器之间的安全认证和通信。

A Safety Service Provision Method and Device

The invention provides a security service providing method, which obtains the user identity ticket generated by Kerberos system according to the user authentication request, and uses the user identity ticket to authenticate the user. If the user authenticates, the service ticket generated by Kerberos system for the first server is obtained, and the user's communication message is generated by the service ticket, and the communication message is sent to the first server. The invention can realize the secure authentication and communication between the user and the first server by obtaining the user identity ticket and service ticket generated by the Kerberos system.

【技术实现步骤摘要】
一种安全服务提供方法及装置
本专利技术涉及Web服务领域，尤其涉及一种安全服务提供方法及装置。
技术介绍
Web服务是一种新型的、分布式网络环境下的计算方法。在现有标准和规范的支持下，各异构平台之间通过Web服务实现松散耦合，进行动态交互和组合，不必关心各平台内部的具体实现。Web服务广泛应用的同时，也带来了诸多的安全性问题，主要表现在以下几个方面：1)如何建立通信实体之间的信任关系。2)Web服务消息传输过程中可能经过多个中间节点，如何保证消息端到端的安全。3)在服务调用和组合的过程中，跨域访问非常频繁，同一个用户在不同安全域所具有的身份和权限不同，如何实现域间的身份映射、协调用户在不同安全域之间的权限、合理保护资源不被非法访问。4)Web服务框架中引入安全机制后，往往会涉及安全信息的负责处理过程，需要进行相关的数据查询，导致对Web服务应用的功能响应延迟，如何降低安全机制对Web服务应用的影响程度，提高响应速度。在实现本专利技术过程中，专利技术人发现现有技术中至少存在如下问题：现有的Web服务安全框架仍然无法解决上述问题。例如，Seraph是一个功能可定制的开源J2EEWeb应用程序安全框架，在服务方法调用层面以及消息传输过程中的安全方面缺乏相应的保护机制；ApacheShiro是一个强大并易于使用的Java开源安全框架，在处理认证、授权、会话管理以及加密方面表现出较好的特质，但在跨域访问和服务方法层面却没有提出有效的访问控制方案；WS-Security规范提供了对Web服务的机密性、完整性和可用性的保护，但是它只是一套框架，本身并不提供完整的安全性解决方案。
技术实现思路
有鉴于此，本专利技术实施例所解决的技术问题之一在于提供一种安全服务提供方法及装置，用以克服现有技术中无法同时解决用户认证、安全通信、服务访问控制的缺陷，达到提供完整安全解决方案的效果。本专利技术实施例提供一种安全服务提供方法，包括：根据用户认证请求，获得Kerberos系统生成的用户身份票据；利用所述用户身份票据进行用户认证；若所述用户认证通过，则获得所述Kerberos系统针对第一服务器生成的服务票据；利用所述服务票据生成用户的通信消息，并将所述通信消息发送至所述第一服务器。可选地，在本专利技术一具体实施例中，所述若所述用户认证通过，则获得所述Kerberos系统针对第一服务器生成的服务票据的步骤还包括：获得所述用户在所述第一服务器的权限数据。可选地，在本专利技术一具体实施例中，所述获得所述用户在所述第一服务器的权限数据的步骤包括：根据所述用户身份票据中的用户角色信息，从本地数据库或者鉴权服务器中获得所述用户角色信息对应的所述第一服务器的权限数据。可选地，在本专利技术一具体实施例中，当所述用户通过所述第一服务器访问第二服务器时，所述获得所述用户在所述第一服务器的权限数据的步骤还包括：获得所述用户在所述第二服务器的权限数据。可选地，在本专利技术一具体实施例中，所述获得所述用户在所述第二服务器的权限数据的步骤包括：从所述本地数据库或者鉴权服务器中获得所述用户在所述第二服务器的权限数据，所述用户角色信息对应的所述第二服务器的权限数据，所述第一服务器的权限数据与所述第二服务器的权限数据的对应关系，所述第一服务器的角色信息与所述第二服务器的角色信息对应关系中的至少其一。可选地，在本专利技术一具体实施例中，所述根据用户认证请求，获得Kerberos系统生成的用户身份票据的步骤包括：根据用户认证请求，判断本地数据库中是否已存储所述Kerberos系统生成的用户身份票据；如果是，则从所述本地数据库中获得所述用户身份票据。可选地，在本专利技术一具体实施例中，所述根据用户认证请求，获得Kerberos系统生成的用户身份票据的步骤包括：根据用户认证请求，判断本地数据库中是否已存储所述Kerberos系统生成的用户身份票据；如果否，则利用所述用户认证请求中的用户标识信息和密码，从所述Kerberos系统中获得所述用户身份票据。可选地，在本专利技术一具体实施例中，若所述用户认证通过，则获得所述Kerberos系统针对第一服务器生成的服务票据的步骤包括：若所述用户认证通过，判断本地数据库中是否已存储所述Kerberos系统针对第一服务器生成的服务票据；如果是，则从所述本地数据库中获得所述服务票据；如果否，则利用所述用户身份票据从所述Kerberos系统中获得所述服务票据。可选地，在本专利技术一具体实施例中，所述本地数据库为Redis数据库。本专利技术实施例还提供一种安全服务提供装置，包括：第一获得模块，用于根据用户认证请求，获得Kerberos系统生成的用户身份票据；认证模块，用于利用所述用户身份票据进行用户认证；第二获得模块，用于若所述用户认证通过，则获得所述Kerberos系统针对第一服务器生成的服务票据；发送模块，用于利用所述服务票据生成用户的通信消息，并将所述通信消息发送至所述第一服务器。可选地，在本专利技术一具体实施例中，第二获得模块还用于获得所述用户在所述第一服务器的权限数据。可选地，在本专利技术一具体实施例中，第二获得模块包括第一权限数据获得单元，用于根据所述用户身份票据中的用户角色信息，从本地数据库或者鉴权服务器中获得所述用户角色信息对应的所述第一服务器的权限数据。可选地，在本专利技术一具体实施例中，当所述用户通过所述第一服务器访问第二服务器时，第二获得模块还用于获得所述用户在所述第二服务器的权限数据。可选地，在本专利技术一具体实施例中，第二获得模块还包括第二权限数据获得单元，用于从所述本地数据库或者鉴权服务器中获得所述用户在所述第二服务器的权限数据，所述用户角色信息对应的所述第二服务器的权限数据，所述第一服务器的权限数据与所述第二服务器的权限数据的对应关系，所述第一服务器的角色信息与所述第二服务器的角色信息对应关系中的至少其一。可选地，在本专利技术一具体实施例中，第一获得模块包括第一判断单元和第一票据获得单元，其中第一判断单元用于根据用户认证请求，判断本地数据库中是否已存储所述Kerberos系统生成的用户身份票据；第一票据获得单元用于从所述本地数据库中获得所述用户身份票据。可选地，在本专利技术一具体实施例中，第一获得模块还包括第二票据获得单元，用于从所述用户认证请求中的用户标识信息和密码，从所述Kerberos系统中获得所述用户身份票据。可选地，在本专利技术一具体实施例中，第二获得模块还包括第二判断单元、第三票据获得单元和第四票据获得单元，其中第二判断单元用于若所述用户认证通过，判断本地数据库中是否已存储所述Kerberos系统针对第一服务器生成的服务票据；第三票据获得单元用于从所述本地数据库中获得所述服务票据；第四票据获得单元用于利用所述用户身份票据从所述Kerberos系统中获得所述服务票据。可选地，在本专利技术一具体实施例中，所述本地数据库为Redis数据库。由以上技术方案可见，本专利技术提供的安全服务提供方法及装置可以根据用户认证请求，获得Kerberos系统生成的用户身份票据，利用用户身份票据进行用户认证。若用户认证通过，则获得Kerberos系统针对第一服务器生成的服务票据，利用服务票据生成用户的通信消息，并将通信消息发送至第一服务器。因此，本专利技术实施例可以通过获得Kerberos系统生成的用户身份票本文档来自技高网...

【技术保护点】
1.一种安全服务提供方法，其特征在于，所述方法包括：根据用户认证请求，获得Kerberos系统生成的用户身份票据；利用所述用户身份票据进行用户认证；若所述用户认证通过，则获得所述Kerberos系统针对第一服务器生成的服务票据；利用所述服务票据生成用户的通信消息，并将所述通信消息发送至所述第一服务器。

【技术特征摘要】
1.一种安全服务提供方法，其特征在于，所述方法包括：根据用户认证请求，获得Kerberos系统生成的用户身份票据；利用所述用户身份票据进行用户认证；若所述用户认证通过，则获得所述Kerberos系统针对第一服务器生成的服务票据；利用所述服务票据生成用户的通信消息，并将所述通信消息发送至所述第一服务器。2.根据权利要求1所述的安全服务提供方法，其特征在于，所述若所述用户认证通过，则获得所述Kerberos系统针对第一服务器生成的服务票据的步骤还包括：获得所述用户在所述第一服务器的权限数据。3.根据权利要求2所述的安全服务提供方法，其特征在于，所述获得所述用户在所述第一服务器的权限数据的步骤包括：根据所述用户身份票据中的用户角色信息，从本地数据库或者鉴权服务器中获得所述用户角色信息对应的所述第一服务器的权限数据。4.根据权利要求2所述的安全服务提供方法，其特征在于，当所述用户通过所述第一服务器访问第二服务器时，所述获得所述用户在所述第一服务器的权限数据的步骤还包括：获得所述用户在所述第二服务器的权限数据。5.根据权利要求4所述的安全服务提供方法，其特征在于，所述获得所述用户在所述第二服务器的权限数据的步骤包括：从所述本地数据库或者鉴权服务器中获得所述用户在所述第二服务器的权限数据，所述用户角色信息对应的所述第二服务器的权限数据，所述第一服务器的权限数据与所述第二服务器的权限数据的对应关系，所述第一服务器的角色信息与所述第二服务器的角色信息对应关系中的至少其一。6.根据权利要求1所述的安全服务提供方法，其特征在于，所述根据用户认证请求...

【专利技术属性】
技术研发人员：孟媛媛，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京,11