一种基于saml的跨域单点登录模型的制作方法

一种基于saml的跨域单点登录模型的制作方法
【技术领域】
[0001] 本发明属于安全域内的单点登录技术领域，具体涉及一种基于SAML的跨域单点 登录模型。
【背景技术】
[0002] 单点登录模型解决安全域内应用系统的集中管理，给用户、管理员和开发人员带 来了极大的方便。但是网络信息化的发展促使大量的企业出现了分支，所有的分支企业要 求实现业务系统的共享和业务数据的同步，所以如何实现异域部署的业务系统的集中管理 和便捷的访问已经变得越来越重要。例如，A安全域内的用户想要访问B安全域内受限访 问的应用系统，由于这些应用系统属于不同的安全域，不存在互信关系，所以安全域需要对 外来用户的身份进行认证，所以用户需要记住大量的UserName和PassWord，使用户操作起 来极其的不方便。

【发明内容】

[0003] 本发明的目的在于提供一种基于SAML的跨域单点登录模型。
[0004]本发明的目的是这样实现的：
[0005] (1)认证子模块完成用户与计算机绑定关系的认证过程、安全域内用户的身份认 证和外安全域用户的身份认证；
[0006] (2)用户通过主机认证和人员身份认证后通过访问控制接口进行权限调用；
[0007] (3)通过调用相同的审计接口来实现各个模块相关功能点的集中审计；
[0008] (4)域内的用来鉴别用户身份的服务器从本域的CA中心取得数字证书；
[0009] (5)本域的CA中心向本安全域内的实体用户发放证书。
[0010] 在进行用户的身份认证时，首先确定用户是安全域内的用户还是安全域外的用 户，然后根据用户提交的证书，来完成用户身份的确认。
[0011] 通过两个接口建立域内和域间信任模型，其中issueCert模型用来向安全域内的 实体发放证书；当安全域内的用户离开或者有必要取其权限的时候，revokeCert模型用来 撤销实体的证书。
[0012] 本发明的有益效果在于：
[0013] (1)将前人提出的基于网关的单点登录模型中的单网关扩展成了网关群，网关群 中同时存在业务网关和断言网关，前者作为请求方和服务提供方之间的通信桥梁，后者主 要是用来存储所有用户的断言信息。为了增加整个网关群的稳定性，断言网关不是固定不 变的，业务网关可即随时替换当前出现故障的断言网关。网关群的提出很好的解决了单网 关负载低的严重问题，不但提高了数据转发效率，同时也使得整个跨域单点登录系统更加 稳定可靠。
[0014] (2)网关群的核心是负载均衡调度算法，基于SAML的跨域单点登录模型中的网关 群完成了对该算法的调度。该算法是在传统的加权轮转调度算法的基础之上进行改进后实 现的，它本身不要求网关群中的业务网关的负载能力完全一样，因为改进负载均衡调度算 法会实时的修改网关群中业务网关的负载权值，最终使得所有正常工作的业务网关之间实 现网络数据流量的负载均衡。
【附图说明】
[0015] 图1模型权限到用户的模型；
[0016] 图2域内信任模型建立过程；
[0017] 图3域间信任模型建立过程；
[0018] 图4WRR算法测试结果；
[0019] 图5改进算法测试结果。
【具体实施方式】
[0020] 下面结合附图对本发明做进一步描述。
[0021] 本发明提出的是一种基于SAML的跨域单点登录模型。（1)认证子模块完成用户 与计算机绑定关系的认证过程、安全域内用户的身份认证和外安全域用户的身份认证；（2) 用户通过主机认证和人员身份认证后通过访问控制接口进行权限调用；（3)通过调用相同 的审计接口来实现各个模块相关功能点的集中审计；(4)域内的用来鉴别用户身份的服务 器从本域的CA中心取得数字证书；（5)本域的CA中心向本安全域内的实体用户发放证书。 本发明提出的跨域单点登录模型是建立在安全域内的单点登录技术的基础之上，使用户在 访问不同安全域的应用系统时也能实现单点登录机制。
[0022] 本发明提出提出的跨域单点登录模型是建立在安全域内的单点登录技术的基础 之上，使用户在访问不同安全域的应用系统时也能实现单点登录机制。
[0023] 本发明以现有的研究成果为依托，提出了改进的跨域单点登录模型。该模型由安 全域、网关群和应用系统等组成。安全域其实就是本地的一个比较独立的系统；网关群是安 全域的核心，它是在传统的基于网关的单点登录模型基础之上提出来的，应用系统隶属于 不同的SS0系统，它们主要是为发起请求的用户提供服务。具体步骤包括：
[0024] 1.对改进负载均衡调度算法进行预处理。
[0025] 动态加权轮转调度算法主要根据网关群中每台业务网关的整体性能指标和整体 负载指标来动态的更新其负载权值。整体性能指标在系统运行的过程中一般是不会改变 的，所有这些性能参数在系统启动的过程中，网关中的业务网关就会将自己的性能参数 (包括CPU的处理速率、内存的大小以及读写磁盘的速率）交给负载均衡器。整体负载指标 在系统的运行过程中是不断的变化的，本算法要求网关群中的业务网关实时的将负载性能 参数传给负载均衡器，以便其做出修改业务网关负载权值的动态决策。假如当前网关群中 有n台业务网关正常工作，同时用一个集合W= {Wi,i= 1，2,…，n}表示，在改进的负载均 衡调度算法中Q表示网关群中W1这台业务网关的CPU处理速度，Mi表示网关群中Wi这台 业务网关内存的大小，Fi表示网关群中W1这台业务网关读取磁盘速度的大小。
[0026] 首先，负载均衡调度器读取网关群中具体业务网关提交过来的各个性能参数的 值；
[0027] 其次，求出网关群中所有的业务网关的各个性能参数的最大值，具体计算公式可 以表示如下：
[0028] CMAX=max (C1; C2,…，Cn);
[0029] MMAX=max (M^ M2,???,Mn)；
[0030] FMAX=max (F^ F2,???,Fn)；
[0031] 其中，CMAX表示当前所有的业务网关中，CPU处理速率的最大值;MMAX表示当前所 有的业务网关中，内存的最大值；FMAX表不当如所有的业务网关中，读与磁盘速率的最大 值。
[0032] 再次，求出网关群中各个业务网关的每个性能参数值与网关群中相对应的该性能 参数最大值的比值，具体计算公式如下：
[0036] 其中，CP1表示^这台业务网关的CPU处理速度和CMAX的比值；MP1表示^这台业 务网关的内存大小和MMAX的比值；FP1表示Wi这台业务网关的磁盘读写速率和FMAX的比 值。
[0037] 2、算法的实现。
[0038] 依据模糊集理论的加权平均方法对业务网关的性能参数进行整合处理，最终得到 一个能代表业务网关当前整体性能水平的数值。在改进的负载均衡调度算法中引进1^，K2 和1(3三个参数（他们的大小都介于0和1之间，同时满足Ki+K2+K3= 1，其中K^K2、1(3这 三个参数值不是固定不变的，要根据网关群的负载均衡的效果做相应的调整），本算法中将 业务网关的综合性能指标表不如下：
[0039]
[0040] 改进算法中用Q来表示^这台业务网关的承担的业务转发情况，具体的计算公式 表示如下：
[0041] 其中：U"表示Wi这台业务网关当前的CPU的整体利用率；Ufl表示Wi这台业务网 关的磁盘平均读写速率的使用率；表示Wi这台业务网关当前内存使用率。
[0042] 在改进的负载均衡调度算法中，TPi表示Wi这台业务网关的整体性能指标，Li表示 ^的整体负载指标，由于真实环境中TPi不仅仅是与算法中列举的几个性能参数（CPU处理 速率、内存的大小、磁盘的读写速率大小）有关系，还可能和一些不可控的因素有关系，例 如温度、湿度、风速等。在该算法中引入Q大小为0-1)这个变量来度量这些不可控因素对 于业务网关的数据处理能力的影响。如果业务网关的性能相对稳定，Q的值可以取的稍大， 如果业务网关的性能水平不是很稳定，那么Q的值可以取的较小。该算法中用(：1打?1的结 果来衡量业务网关的运行稳定性。
[0043] 在该算法中，用C^TPi-Li大小来表示t这台业务网关当前剩余的负载能力。综合 上面的算法的设计思路，得出最终的权值％计算公式