CN109802927A - 一种安全服务提供方法及装置 - Google Patents
一种安全服务提供方法及装置 Download PDFInfo
- Publication number
- CN109802927A CN109802927A CN201711145510.8A CN201711145510A CN109802927A CN 109802927 A CN109802927 A CN 109802927A CN 201711145510 A CN201711145510 A CN 201711145510A CN 109802927 A CN109802927 A CN 109802927A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- bill
- user identity
- kerberos system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种安全服务提供方法,根据用户认证请求,获得Kerberos系统生成的用户身份票据,利用用户身份票据进行用户认证。若用户认证通过,则获得Kerberos系统针对第一服务器生成的服务票据,利用服务票据生成用户的通信消息,并将通信消息发送至第一服务器。本发明可以通过获得Kerberos系统生成的用户身份票据和服务票据,实现用户与第一服务器之间的安全认证和通信。
Description
技术领域
本发明涉及Web服务领域,尤其涉及一种安全服务提供方法及装置。
背景技术
Web服务是一种新型的、分布式网络环境下的计算方法。在现有标准和规范的支持下,各异构平台之间通过Web服务实现松散耦合,进行动态交互和组合,不必关心各平台内部的具体实现。Web服务广泛应用的同时,也带来了诸多的安全性问题,主要表现在以下几个方面:
1)如何建立通信实体之间的信任关系。
2)Web服务消息传输过程中可能经过多个中间节点,如何保证消息端到端的安全。
3)在服务调用和组合的过程中,跨域访问非常频繁,同一个用户在不同安全域所具有的身份和权限不同,如何实现域间的身份映射、协调用户在不同安全域之间的权限、合理保护资源不被非法访问。
4)Web服务框架中引入安全机制后,往往会涉及安全信息的负责处理过程,需要进行相关的数据查询,导致对Web服务应用的功能响应延迟,如何降低安全机制对Web服务应用的影响程度,提高响应速度。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
现有的Web服务安全框架仍然无法解决上述问题。例如,Seraph是一个功能可定制的开源J2EE Web应用程序安全框架,在服务方法调用层面以及消息传输过程中的安全方面缺乏相应的保护机制;Apache Shiro是一个强大并易于使用的Java开源安全框架,在处理认证、授权、会话管理以及加密方面表现出较好的特质,但在跨域访问和服务方法层面却没有提出有效的访问控制方案;WS-Security规范提供了对Web服务的机密性、完整性和可用性的保护,但是它只是一套框架,本身并不提供完整的安全性解决方案。
发明内容
有鉴于此,本发明实施例所解决的技术问题之一在于提供一种安全服务提供方法及装置,用以克服现有技术中无法同时解决用户认证、安全通信、服务访问控制的缺陷,达到提供完整安全解决方案的效果。
本发明实施例提供一种安全服务提供方法,包括:
根据用户认证请求,获得Kerberos系统生成的用户身份票据;
利用所述用户身份票据进行用户认证;
若所述用户认证通过,则获得所述Kerberos系统针对第一服务器生成的服务票据;
利用所述服务票据生成用户的通信消息,并将所述通信消息发送至所述第一服务器。
可选地,在本发明一具体实施例中,所述若所述用户认证通过,则获得所述Kerberos系统针对第一服务器生成的服务票据的步骤还包括:
获得所述用户在所述第一服务器的权限数据。
可选地,在本发明一具体实施例中,所述获得所述用户在所述第一服务器的权限数据的步骤包括:
根据所述用户身份票据中的用户角色信息,从本地数据库或者鉴权服务器中获得所述用户角色信息对应的所述第一服务器的权限数据。
可选地,在本发明一具体实施例中,当所述用户通过所述第一服务器访问第二服务器时,所述获得所述用户在所述第一服务器的权限数据的步骤还包括:
获得所述用户在所述第二服务器的权限数据。
可选地,在本发明一具体实施例中,所述获得所述用户在所述第二服务器的权限数据的步骤包括:
从所述本地数据库或者鉴权服务器中获得所述用户在所述第二服务器的权限数据,所述用户角色信息对应的所述第二服务器的权限数据,所述第一服务器的权限数据与所述第二服务器的权限数据的对应关系,所述第一服务器的角色信息与所述第二服务器的角色信息对应关系中的至少其一。
可选地,在本发明一具体实施例中,所述根据用户认证请求,获得Kerberos系统生成的用户身份票据的步骤包括:
根据用户认证请求,判断本地数据库中是否已存储所述Kerberos系统生成的用户身份票据;
如果是,则从所述本地数据库中获得所述用户身份票据。
可选地,在本发明一具体实施例中,所述根据用户认证请求,获得Kerberos系统生成的用户身份票据的步骤包括:
根据用户认证请求,判断本地数据库中是否已存储所述Kerberos系统生成的用户身份票据;
如果否,则利用所述用户认证请求中的用户标识信息和密码,从所述Kerberos系统中获得所述用户身份票据。
可选地,在本发明一具体实施例中,若所述用户认证通过,则获得所述Kerberos系统针对第一服务器生成的服务票据的步骤包括:
若所述用户认证通过,判断本地数据库中是否已存储所述Kerberos系统针对第一服务器生成的服务票据;
如果是,则从所述本地数据库中获得所述服务票据;
如果否,则利用所述用户身份票据从所述Kerberos系统中获得所述服务票据。
可选地,在本发明一具体实施例中,所述本地数据库为Redis数据库。
本发明实施例还提供一种安全服务提供装置,包括:
第一获得模块,用于根据用户认证请求,获得Kerberos系统生成的用户身份票据;
认证模块,用于利用所述用户身份票据进行用户认证;
第二获得模块,用于若所述用户认证通过,则获得所述Kerberos系统针对第一服务器生成的服务票据;
发送模块,用于利用所述服务票据生成用户的通信消息,并将所述通信消息发送至所述第一服务器。
可选地,在本发明一具体实施例中,第二获得模块还用于获得所述用户在所述第一服务器的权限数据。
可选地,在本发明一具体实施例中,第二获得模块包括第一权限数据获得单元,用于根据所述用户身份票据中的用户角色信息,从本地数据库或者鉴权服务器中获得所述用户角色信息对应的所述第一服务器的权限数据。
可选地,在本发明一具体实施例中,当所述用户通过所述第一服务器访问第二服务器时,第二获得模块还用于获得所述用户在所述第二服务器的权限数据。
可选地,在本发明一具体实施例中,第二获得模块还包括第二权限数据获得单元,用于从所述本地数据库或者鉴权服务器中获得所述用户在所述第二服务器的权限数据,所述用户角色信息对应的所述第二服务器的权限数据,所述第一服务器的权限数据与所述第二服务器的权限数据的对应关系,所述第一服务器的角色信息与所述第二服务器的角色信息对应关系中的至少其一。
可选地,在本发明一具体实施例中,第一获得模块包括第一判断单元和第一票据获得单元,其中第一判断单元用于根据用户认证请求,判断本地数据库中是否已存储所述Kerberos系统生成的用户身份票据;
第一票据获得单元用于从所述本地数据库中获得所述用户身份票据。
可选地,在本发明一具体实施例中,第一获得模块还包括第二票据获得单元,用于从所述用户认证请求中的用户标识信息和密码,从所述Kerberos系统中获得所述用户身份票据。
可选地,在本发明一具体实施例中,第二获得模块还包括第二判断单元、第三票据获得单元和第四票据获得单元,其中第二判断单元用于若所述用户认证通过,判断本地数据库中是否已存储所述Kerberos系统针对第一服务器生成的服务票据;
第三票据获得单元用于从所述本地数据库中获得所述服务票据;
第四票据获得单元用于利用所述用户身份票据从所述Kerberos系统中获得所述服务票据。
可选地,在本发明一具体实施例中,所述本地数据库为Redis数据库。
由以上技术方案可见,本发明提供的安全服务提供方法及装置可以根据用户认证请求,获得Kerberos系统生成的用户身份票据,利用用户身份票据进行用户认证。若用户认证通过,则获得Kerberos系统针对第一服务器生成的服务票据,利用服务票据生成用户的通信消息,并将通信消息发送至第一服务器。因此,本发明实施例可以通过获得Kerberos系统生成的用户身份票据和服务票据,实现用户与第一服务器之间的安全认证和通信。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明一实施例的安全服务提供方法的流程示意图;
图2为本发明另一实施例安全服务提供方法的流程示意图;
图3为本发明一实施例的安全服务提供装置的结构框图;
图4为本发明另一实施例的安全服务提供装置的结构框图。
具体实施方式
为了使本领域的人员更好地理解本发明实施例中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明实施例一部分实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本发明实施例保护的范围。
图1是本发明一实施例的安全服务提供方法流程示意图,如图1所示,一种安全服务提供方法包括:
步骤S101,根据用户认证请求,获得Kerberos系统生成的用户身份票据。
本实施例中,为了实现用户与第一服务器之间的相互认证,可根据用户请求获得用户请求中包括的用户标识信息和密码信息,其中用户标识信息包括但不限于用户标识信息、手机号、邮箱等;然后利用用户标识信息,或者用户标识信息和密码信息,获得用户标识信息对应的Kerberos系统生成的用户身份票据。
步骤S102,利用用户身份票据进行用户认证。
本实施例中,利用Kerberos系统生成的用户身份票据可实现通信双方的相互身份认证,即建立用户与第一服务器之间的信任关系。
步骤S103,若用户认证通过,则获得Kerberos系统针对第一服务器生成的服务票据。
本实施例中,当用户向第一服务器请求服务时,为了实现第一服务器与用户的安全通信,可利用Kerberos系统针对第一服务器生成的服务票据对消息进行签名和加密,因此需要获得Kerberos系统针对第一服务器生成的服务票据。
步骤S104,利用服务票据生成用户的通信消息,并将通信消息发送至第一服务器。
本实施例中,可首先将服务票据中的信息序列化到通信消息中,并且对通信消息进行加密和签名,其中加密可仅针对通信消息中的部分信息,例如仅针对通信消息中的敏感信息;然后将加密和签名后的通信消息发送至第一服务器;第一服务器接收到通信消息后,解析通信消息中包括的服务票据中的信息,并对通信消息进行验证和解密,从而完成用户与第一服务器之间的一次安全通信。
由以上本发明实施例可见,本发明可以根据用户认证请求,获得Kerberos系统生成的用户身份票据,利用用户身份票据进行用户认证。若用户认证通过,则获得Kerberos系统针对第一服务器生成的服务票据,利用服务票据生成用户的通信消息,并将通信消息发送至第一服务器。因此,本发明实施例可以通过获得Kerberos系统生成的用户身份票据和服务票据,实现用户与第一服务器之间的安全认证和通信。
图2是本发明另一实施例的安全服务提供方法流程示意图,如图2所示,一种安全服务提供方法包括:
步骤S200,接收用户认证请求。
具体的,用户可通过Web安全协议将用户认证请求发送至实现安全服务功能的服务端。
步骤S201,根据用户认证请求,判断本地数据库中是否已存储Kerberos系统生成的用户身份票据。
本实施例中,由于用户身份票据可能已被存储在服务端的本地数据库中,因此可通过用户认证请求中的用户标识信息查找服务端的本地数据库中是否已存储Kerberos系统生成的用户身份票据。
如果是,则执行步骤S202a,从本地数据库中获得用户身份票据。
如果否,则执行步骤S202b,利用用户认证请求中的用户标识信息和密码,从Kerberos系统中获得Kerberos系统生成的用户身份票据。
具体的,服务端可从用户认证请求中获得用户标识信息和密码,将用户标识信息和密码发送至Kerberos系统;如果Kerberos系统根据密码可解开用户标识信息对应的用户身份票据,则将该用户身份票据发送给服务端;服务端接收后即可获得Kerberos系统生成的用户身份票据。
本实施例中,为了便于用户今后认证的便捷性,在获得Kerberos系统返回的用户标识信息对应的用户身份票据之后,步骤S202b还可包括将用户身份票据保存在本地数据库中。
本实施例中,本地数据库为Redis数据库。
具体的,Redis数据库是一种Key-Value类型的内存数据库,与Memcached一样,为了保证效率,Redis数据都是缓存在内存中,但与Memcached只是用来做缓存相比,Redis数据库适用的场景更多,可以直接用于数据存储服务,方便数据备份,而且具有更多优秀的特性,如支持多种数据结构、支持简单事务控制、支持持久化、支持主从复制功能。使用Redis数据库可降低安全机制对Web服务应用的影响程度。
步骤S203,利用用户身份票据进行用户认证。
本实施例中,服务端可利用Kerberos系统生成的用户身份票据对用户进行认证,实现用户安全登录。
步骤S204,若用户认证通过,则获得Kerberos系统针对第一服务器生成的服务票据,以及获得用户在第一服务器的权限数据。
本实施例中,获得Kerberos系统针对第一服务器生成的服务票据的步骤包括:
判断本地数据库中是否已存储Kerberos系统针对第一服务器生成的服务票据。
如果是,则从本地数据库中获得服务票据;
如果否,则利用用户身份票据从Kerberos系统中获得服务票据。
具体的,当服务端本地数据库中未存储Kerberos系统针对第一服务器生成的服务票据时,可将步骤S202a或者步骤S202b中获得的用户身份票据发送至Kerberos系统;Kerberos系统根据用户身份票据获得针对第一服务器生成的服务票据,并将服务票据发送给服务端;服务端从而可接收并获得储Kerberos系统针对第一服务器生成的服务票据。
本实施例中,为了便于用户今后与第一服务器进行安全通信,在利用用户身份票据从Kerberos系统中获得服务票据步骤之后,还包括将服务票据存储至本地数据库中。
本实施例中,为了防止第一服务器被非法或者被低权限用户访问,除了获得Kerberos系统针对第一服务器生成的服务票据外,还需获得用户在第一服务器的权限数据。当用户使用第一服务器提供的服务资源时,利用用户在第一服务器的权限数据进行服务资源的授权。
本实施例中,用户在第一服务器的权限数据可从本地数据库或者鉴权服务器获得。
具体的,可首先根据用户标识信息,判断本地数据库是否已存储用户在第一服务器的权限数据;如果是,则从本地数据库中获得用户在第一服务器的权限数据;如果否,则根据用户标识信息,从鉴权服务器中获得用户在第一服务器的权限数据。
本实施例中,用户在第一服务器的权限数据可根据用户身份票据中的用户角色信息,从本地数据库或者鉴权服务器中获得用户角色信息对应的第一服务器的权限数据,用户角色信息对应的第一服务器的权限数据即为用户在第一服务器的权限数据。通常服务器会针对不同的权限数据设定不同的角色信息,即权限数据与角色信息存在对应关系,因此可通过用户的角色信息和权限数据与角色信息存在对应关系,获得用户在第一服务器的权限数据。
具体的,可首先根据用户身份票据中的用户角色信息,判断本地数据库是否已存储用户角色信息对应的第一服务器的权限数据;如果是,则从本地数据库中获得用户角色信息对应的第一服务器的权限数据;如果否,则根据用户身份票据中的用户角色信息,从鉴权服务器中获得用户角色信息对应的第一服务器的权限数据。
具体的,在从鉴权服务器中获得用户角色信息对应的第一服务器的权限数据之后,还包括将用户角色信息对应的第一服务器的权限数据存储至本地数据库;或者将角色信息对应的第一服务器的权限数据与用户标识信息关联,作为用户在第一服务器的权限数据存储至本地数据库。
本实施例中,由于在服务调用和组合的过程中,跨域访问非常频繁,同一个用户在不同安全域所具有的角色和权限数据不同,因此为了实现域间的身份映射,协调用户在不同安全域之间的权限,当用户通过第一服务器访问第二服务器时,在获得用户在第一服务器的权限数据的步骤之后,还包括:获得用户在第二服务器的权限数据。当用户通过第一服务器使用第二服务器提供的服务资源时,利用用户在第二服务器的权限数据进行服务资源的授权。
本实施例中,用户在第二服务器的权限数据可从本地数据库或者鉴权服务器获得。
具体的,可首先根据用户标识信息,判断本地数据库是否已存储用户在第二服务器的权限数据;如果是,则从本地数据库中获得用户在第二服务器的权限数据;如果否,则根据用户标识信息,从鉴权服务器中获得用户在第二服务器的权限数据。
本实施例中,可根据用户身份票据中的用户角色信息对应的第二服务器的权限数据,用户在第一服务器的权限数据与第二服务器的权限数据的对应关系,用户在第一服务器的角色信息与第二服务器的角色信息对应关系中的至少其一,从本地数据库或者鉴权服务器中获得用户在第二服务器的权限数据。
具体的,本地数据库或者鉴权服务器可存储用户身份票据中的用户角色信息对应的第二服务器的权限数据,利用用户身份票据中的用户角色信息便可获得用户在第二服务器的权限数据。
具体的,本地数据库或者鉴权服务器还可存储用户在第一服务器的权限数据与第二服务器的权限数据对应关系。获得用户在第一服务器的权限数据后,可利用第一服务器的权限数据与第二服务器的权限数据对应关系,确定并获得用户在第二服务器的权限数据。
具体的,本地数据库或者鉴权服务器还可存储第一服务器的角色信息与第二服务器的角色信息对应关系。获得用户在第一服务器的用户角色信息后,可利用用户在第一服务器的角色信息与第二服务器的角色信息对应关系,确定并获得用户在第二服务器的角色信息,再通过用户在第二服务器的角色信息确定并获得用户在第二服务器的权限数据。
具体的,还包括将从鉴权服务器中获得用户在第二服务器的权限数据,用户身份票据中的用户角色信息对应的第二服务器的权限数据,用户在第一服务器的权限数据与第二服务器的权限数据的对应关系,用户在第一服务器的角色信息与第二服务器的角色信息对应关系中的至少其一存储至本地数据库。
步骤S205,利用服务票据生成用户的通信消息,并将通信消息发送至第一服务器。
由以上本发明实施例可见,本发明实施例可以通过获得Kerberos系统生成的用户身份票据和服务票据,实现用户与第一服务器之间的安全认证和通信,还可实现对用户在第一服务器和第二服务器的服务请求进行授权,保证了用户和服务器双方的安全通信。此外,采用Redis数据库可提高安全服务的效率。
图3是本发明一实施例的安全服务提供装置的结构框图,如图3所示,一种安全服务提供装置,包括:
第一获得模块301,用于根据用户认证请求,获得Kerberos系统生成的用户身份票据.
认证模块302,用于利用用户身份票据进行用户认证。
第二获得模块303,用于若用户认证通过,则获得Kerberos系统针对第一服务器生成的服务票据。
本实施例中,第二获得模块303还包括第一权限获得单元,用于获得所述用户在所述第一服务器的权限数据。
发送模块304,利用服务票据生成用户的通信消息,并将通信消息发送至第一服务器。
上述装置可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
需要说明的是,安全服务提供并不局限于图3这种特定结构,在本实施例的启发下,本领域普通技术人员还可以使用其他可替代方案,详细不再赘述。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
图4是本发明另一实施例的安全服务提供装置的结构框图,如图4所示,一种安全服务提供装置,包括:
第一获得模块401,用于根据用户认证请求,获得Kerberos系统生成的用户身份票据。
本实施例中,第一获得模块401包括第一判断单元和第一票据获得单元,其中第一判断单元用于根据用户认证请求,判断本地数据库中是否已存储Kerberos系统生成的用户身份票据;
第一票据获得单元用于从本地数据库中获得用户身份票据。
本实施例中,第一获得模块401还包括第二票据获得单元,用于从用户认证请求中的用户标识信息和密码,从Kerberos系统中获得用户身份票据。
本实施例中,本地数据库为Redis数据库。
认证模块402,用于利用用户身份票据进行用户认证。
第二获得模块403,用于若用户认证通过,则获得Kerberos系统针对第一服务器生成的服务票据。
本实施例中,第二获得模块403还用于获得用户在第一服务器的权限数据。
本实施例中,第二获得模块403包括第一权限数据获得单元,用于根据用户身份票据中的用户角色信息,从本地数据库或者鉴权服务器中获得用户角色信息对应的第一服务器的权限数据。
本实施例中,当用户通过第一服务器访问第二服务器时,第二获得模块403还用于获得用户在第二服务器的权限数据。
本实施例中,第二获得模块403还包括第二权限数据获得单元,用于从本地数据库或者鉴权服务器中获得用户在第二服务器的权限数据,用户角色信息对应的第二服务器的权限数据,第一服务器的权限数据与第二服务器的权限数据的对应关系,第一服务器的角色信息与第二服务器的角色信息对应关系中的至少其一。
本实施例中,第二获得模块403还包括第二判断单元、第三票据获得单元和第四票据获得单元,其中第二判断单元用于若用户认证通过,判断本地数据库中是否已存储Kerberos系统针对第一服务器生成的服务票据;
第三票据获得单元用于从本地数据库中获得服务票据;
第四票据获得单元用于利用用户身份票据从Kerberos系统中获得服务票据。
发送模块404。利用服务票据生成用户的通信消息,并将通信消息发送至第一服务器。
上述装置可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
需要说明的是,安全服务提供并不局限于图4这种特定结构,在本实施例的启发下,本领域普通技术人员还可以使用其他可替代方案,详细不再赘述。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
本领域的技术人员应明白,本发明实施例的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包括有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应说明的是:以上实施例仅用以说明本申请实施例的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种安全服务提供方法,其特征在于,所述方法包括:
根据用户认证请求,获得Kerberos系统生成的用户身份票据;
利用所述用户身份票据进行用户认证;
若所述用户认证通过,则获得所述Kerberos系统针对第一服务器生成的服务票据;
利用所述服务票据生成用户的通信消息,并将所述通信消息发送至所述第一服务器。
2.根据权利要求1所述的安全服务提供方法,其特征在于,所述若所述用户认证通过,则获得所述Kerberos系统针对第一服务器生成的服务票据的步骤还包括:
获得所述用户在所述第一服务器的权限数据。
3.根据权利要求2所述的安全服务提供方法,其特征在于,所述获得所述用户在所述第一服务器的权限数据的步骤包括:
根据所述用户身份票据中的用户角色信息,从本地数据库或者鉴权服务器中获得所述用户角色信息对应的所述第一服务器的权限数据。
4.根据权利要求2所述的安全服务提供方法,其特征在于,当所述用户通过所述第一服务器访问第二服务器时,所述获得所述用户在所述第一服务器的权限数据的步骤还包括:
获得所述用户在所述第二服务器的权限数据。
5.根据权利要求4所述的安全服务提供方法,其特征在于,所述获得所述用户在所述第二服务器的权限数据的步骤包括:
从所述本地数据库或者鉴权服务器中获得所述用户在所述第二服务器的权限数据,所述用户角色信息对应的所述第二服务器的权限数据,所述第一服务器的权限数据与所述第二服务器的权限数据的对应关系,所述第一服务器的角色信息与所述第二服务器的角色信息对应关系中的至少其一。
6.根据权利要求1所述的安全服务提供方法,其特征在于,所述根据用户认证请求,获得Kerberos系统生成的用户身份票据的步骤包括:
根据用户认证请求,判断本地数据库中是否已存储所述Kerberos系统生成的用户身份票据;
如果是,则从所述本地数据库中获得所述用户身份票据。
7.根据权利要求1所述的安全服务提供方法,其特征在于,所述根据用户认证请求,获得Kerberos系统生成的用户身份票据的步骤包括:
根据用户认证请求,判断本地数据库中是否已存储所述Kerberos系统生成的用户身份票据;
如果否,则利用所述用户认证请求中的用户标识信息和密码,从所述Kerberos系统中获得所述用户身份票据。
8.根据权利要求1所述的安全服务提供方法,其特征在于,若所述用户认证通过,则获得所述Kerberos系统针对第一服务器生成的服务票据的步骤包括:
若所述用户认证通过,判断本地数据库中是否已存储所述Kerberos系统针对第一服务器生成的服务票据;
如果是,则从所述本地数据库中获得所述服务票据;
如果否,则利用所述用户身份票据从所述Kerberos系统中获得所述服务票据。
9.根据权利要求3至8中任一项所述的安全服务提供方法,其特征在于,所述本地数据库为Redis数据库。
10.一种安全服务提供装置,其特征在于,所述装置包括:
第一获得模块,用于根据用户认证请求,获得Kerberos系统生成的用户身份票据;
认证模块,用于利用所述用户身份票据进行用户认证;
第二获得模块,用于若所述用户认证通过,则获得所述Kerberos系统针对第一服务器生成的服务票据;
发送模块,用于利用所述服务票据生成用户的通信消息,并将所述通信消息发送至所述第一服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711145510.8A CN109802927B (zh) | 2017-11-17 | 2017-11-17 | 一种安全服务提供方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711145510.8A CN109802927B (zh) | 2017-11-17 | 2017-11-17 | 一种安全服务提供方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109802927A true CN109802927A (zh) | 2019-05-24 |
| CN109802927B CN109802927B (zh) | 2021-06-11 |
Family
ID=66555113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711145510.8A Active CN109802927B (zh) | 2017-11-17 | 2017-11-17 | 一种安全服务提供方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109802927B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110891067A (zh) * | 2019-12-10 | 2020-03-17 | 成都工业学院 | 一种可撤销的多服务器隐私保护认证方法及系统 |
| CN111817860A (zh) * | 2020-09-01 | 2020-10-23 | 苏州浪潮智能科技有限公司 | 一种通信认证方法、装置、设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6014666A (en) * | 1997-10-28 | 2000-01-11 | Microsoft Corporation | Declarative and programmatic access control of component-based server applications using roles |
| EP1372292A1 (en) * | 2002-06-10 | 2003-12-17 | Microsoft Corporation | Secure key exchange with mutual authentication |
| CN102457377A (zh) * | 2011-08-08 | 2012-05-16 | 中标软件有限公司 | 基于角色的Web远程认证与授权方法及系统 |
| CN103634265A (zh) * | 2012-08-20 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 安全认证的方法、设备及系统 |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
| CN106375323A (zh) * | 2016-09-09 | 2017-02-01 | 浪潮软件股份有限公司 | 一种多租户模式下kerberos身份认证的方法 |
| CN107172054A (zh) * | 2017-05-26 | 2017-09-15 | 努比亚技术有限公司 | 一种基于cas的权限认证方法、装置及系统 |
| CN107257334A (zh) * | 2017-06-08 | 2017-10-17 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
-
2017
- 2017-11-17 CN CN201711145510.8A patent/CN109802927B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6014666A (en) * | 1997-10-28 | 2000-01-11 | Microsoft Corporation | Declarative and programmatic access control of component-based server applications using roles |
| EP1372292A1 (en) * | 2002-06-10 | 2003-12-17 | Microsoft Corporation | Secure key exchange with mutual authentication |
| CN102457377A (zh) * | 2011-08-08 | 2012-05-16 | 中标软件有限公司 | 基于角色的Web远程认证与授权方法及系统 |
| CN103634265A (zh) * | 2012-08-20 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 安全认证的方法、设备及系统 |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
| CN106375323A (zh) * | 2016-09-09 | 2017-02-01 | 浪潮软件股份有限公司 | 一种多租户模式下kerberos身份认证的方法 |
| CN107172054A (zh) * | 2017-05-26 | 2017-09-15 | 努比亚技术有限公司 | 一种基于cas的权限认证方法、装置及系统 |
| CN107257334A (zh) * | 2017-06-08 | 2017-10-17 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110891067A (zh) * | 2019-12-10 | 2020-03-17 | 成都工业学院 | 一种可撤销的多服务器隐私保护认证方法及系统 |
| CN111817860A (zh) * | 2020-09-01 | 2020-10-23 | 苏州浪潮智能科技有限公司 | 一种通信认证方法、装置、设备及存储介质 |
| CN111817860B (zh) * | 2020-09-01 | 2021-02-23 | 苏州浪潮智能科技有限公司 | 一种通信认证方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109802927B (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11963006B2 (en) | Secure mobile initiated authentication | |
| CN104969201B (zh) | 用于调用特权操作的安全接口 | |
| CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
| CN105164633B (zh) | 由可信提供商进行的配置和验证 | |
| WO2015196659A1 (zh) | 一种桌面云客户端和服务端之间连接认证的方法及装置 | |
| US9009469B2 (en) | Systems and methods for securing data in a cloud computing environment using in-memory techniques and secret key encryption | |
| US20230370265A1 (en) | Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control | |
| US11121876B2 (en) | Distributed access control | |
| CN104980477A (zh) | 云存储环境下的数据访问控制方法和系统 | |
| CN106302606B (zh) | 一种跨应用访问方法及装置 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| KR101817152B1 (ko) | 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법 | |
| CN112632164A (zh) | 一种实现可信权限访问的通用跨链编程接口方法 | |
| CN105915338A (zh) | 生成密钥的方法和系统 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| CN107040520A (zh) | 一种云计算数据共享系统及方法 | |
| CN110069909A (zh) | 一种免密登录第三方系统的方法及装置 | |
| US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
| CN111563279A (zh) | 一种基于区块链的云数据隐私保护系统 | |
| CN106411941B (zh) | 一种云环境下安全认证资源分配和管理方法 | |
| CN109802927A (zh) | 一种安全服务提供方法及装置 | |
| CN106713228A (zh) | 一种云平台密钥管理方法和系统 | |
| US9509503B1 (en) | Encrypted boot volume access in resource-on-demand environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |