本發(fā)明提供一種安全服務(wù)提供方法，根據(jù)用戶認(rèn)證請(qǐng)求，獲得Kerberos系統(tǒng)生成的用戶身份票據(jù)，利用用戶身份票據(jù)進(jìn)行用戶認(rèn)證。若用戶認(rèn)證通過，則獲得Kerberos系統(tǒng)針對(duì)第一服務(wù)器生成的服務(wù)票據(jù)，利用服務(wù)票據(jù)生成用戶的通信消息，并將通信消息發(fā)送至第一服務(wù)器。本發(fā)明可以通過獲得Kerberos系統(tǒng)生成的用戶身份票據(jù)和服務(wù)票據(jù)，實(shí)現(xiàn)用戶與第一服務(wù)器之間的安全認(rèn)證和通信。

技術(shù)領(lǐng)域

本發(fā)明涉及Web服務(wù)領(lǐng)域，尤其涉及一種安全服務(wù)提供方法及裝置。

背景技術(shù)

Web服務(wù)是一種新型的、分布式網(wǎng)絡(luò)環(huán)境下的計(jì)算方法。在現(xiàn)有標(biāo)準(zhǔn)和規(guī)范的支持下，各異構(gòu)平臺(tái)之間通過Web服務(wù)實(shí)現(xiàn)松散耦合，進(jìn)行動(dòng)態(tài)交互和組合，不必關(guān)心各平臺(tái)內(nèi)部的具體實(shí)現(xiàn)。Web服務(wù)廣泛應(yīng)用的同時(shí)，也帶來了諸多的安全性問題，主要表現(xiàn)在以下幾個(gè)方面：

1)如何建立通信實(shí)體之間的信任關(guān)系。

2)Web服務(wù)消息傳輸過程中可能經(jīng)過多個(gè)中間節(jié)點(diǎn)，如何保證消息端到端的安全。

3)在服務(wù)調(diào)用和組合的過程中，跨域訪問非常頻繁，同一個(gè)用戶在不同安全域所具有的身份和權(quán)限不同，如何實(shí)現(xiàn)域間的身份映射、協(xié)調(diào)用戶在不同安全域之間的權(quán)限、合理保護(hù)資源不被非法訪問。

4)Web服務(wù)框架中引入安全機(jī)制后，往往會(huì)涉及安全信息的負(fù)責(zé)處理過程，需要進(jìn)行相關(guān)的數(shù)據(jù)查詢，導(dǎo)致對(duì)Web服務(wù)應(yīng)用的功能響應(yīng)延遲，如何降低安全機(jī)制對(duì)Web服務(wù)應(yīng)用的影響程度，提高響應(yīng)速度。

在實(shí)現(xiàn)本發(fā)明過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題：

現(xiàn)有的Web服務(wù)安全框架仍然無法解決上述問題。例如，Seraph是一個(gè)功能可定制的開源J2EE Web應(yīng)用程序安全框架，在服務(wù)方法調(diào)用層面以及消息傳輸過程中的安全方面缺乏相應(yīng)的保護(hù)機(jī)制；Apache Shiro是一個(gè)強(qiáng)大并易于使用的Java開源安全框架，在處理認(rèn)證、授權(quán)、會(huì)話管理以及加密方面表現(xiàn)出較好的特質(zhì)，但在跨域訪問和服務(wù)方法層面卻沒有提出有效的訪問控制方案；WS-Security規(guī)范提供了對(duì)Web服務(wù)的機(jī)密性、完整性和可用性的保護(hù)，但是它只是一套框架，本身并不提供完整的安全性解決方案。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例所解決的技術(shù)問題之一在于提供一種安全服務(wù)提供方法及裝置，用以克服現(xiàn)有技術(shù)中無法同時(shí)解決用戶認(rèn)證、安全通信、服務(wù)訪問控制的缺陷，達(dá)到提供完整安全解決方案的效果。

本發(fā)明實(shí)施例提供一種安全服務(wù)提供方法，包括：

根據(jù)用戶認(rèn)證請(qǐng)求，獲得Kerberos系統(tǒng)生成的用戶身份票據(jù)；

利用所述用戶身份票據(jù)進(jìn)行用戶認(rèn)證；

若所述用戶認(rèn)證通過，則獲得所述Kerberos系統(tǒng)針對(duì)第一服務(wù)器生成的服務(wù)票據(jù)；

利用所述服務(wù)票據(jù)生成用戶的通信消息，并將所述通信消息發(fā)送至所述第一服務(wù)器。

可選地，在本發(fā)明一具體實(shí)施例中，所述若所述用戶認(rèn)證通過，則獲得所述Kerberos系統(tǒng)針對(duì)第一服務(wù)器生成的服務(wù)票據(jù)的步驟還包括：

獲得所述用戶在所述第一服務(wù)器的權(quán)限數(shù)據(jù)。

可選地，在本發(fā)明一具體實(shí)施例中，所述獲得所述用戶在所述第一服務(wù)器的權(quán)限數(shù)據(jù)的步驟包括：

根據(jù)所述用戶身份票據(jù)中的用戶角色信息，從本地?cái)?shù)據(jù)庫或者鑒權(quán)服務(wù)器中獲得所述用戶角色信息對(duì)應(yīng)的所述第一服務(wù)器的權(quán)限數(shù)據(jù)。

可選地，在本發(fā)明一具體實(shí)施例中，當(dāng)所述用戶通過所述第一服務(wù)器訪問第二服務(wù)器時(shí)，所述獲得所述用戶在所述第一服務(wù)器的權(quán)限數(shù)據(jù)的步驟還包括：

獲得所述用戶在所述第二服務(wù)器的權(quán)限數(shù)據(jù)。