设为首页 - 加入收藏
广告 1000x90
您的当前位置:黄大仙www78345 > 交互主体 > 正文

辽宁工程技术大学硕士学位论文81 2信任值监测和处理信任值监测和

来源:未知 编辑:admin 时间:2019-07-30

  辽宁工程技术大学硕士学位论文81 2信任值监测和处理信任值监测和处理组件通过对联盟内的组织域、跨域来访和跨域出访主体信任值的监测并根据处理策略作以相应的处理 从而对防止本域与低信任值的域或主体交互 从而保证交互对方的可信。 在一个组织域内 信任值的监测和处理在某一时刻启动后对所有联盟、每个联盟内的所

  辽宁工程技术大学硕士学位论文81 2信任值监测和处理信任值监测和处理组件通过对联盟内的组织域、跨域来访和跨域出访主体信任值的监测并根据处理策略作以相应的处理 从而对防止本域与低信任值的域或主体交互 从而保证交互对方的可信。 在一个组织域内 信任值的监测和处理在某一时刻启动后对所有联盟、每个联盟内的所有组织域和个体都进行监测 并将相应的变动处理结果通知相关域 同时为了使监测和处理过程通用化 其中的每个部分都要可以单独执行。信任值监测和处理组件的类图如图5 10所示 其中最核心的类是TrustMonitorAndDeal 为了获取信任阈值的方便该类包含一个Trust类的对象 并通过initial函数进行初始化 之后可以调用monitorAndDeal对所有的联盟进行检查 其中包括盟主对组织域的检查 monitorAndDealOD 、对联合主体的检查 monitorAndDealFedSub 、对映射入主体的检查 monitorAndDealInSub 、对映射出主体的检查 monitorAndDealOutSub getTrustsetTrust initial monitorAndDeal monitorAndDealOD fedidmonitorAndDealFedSub fedidmonitorAndDealInSub fedidmonitorAndDealOutSub fedidtrustTrustMonitorAndDealSub FedDAOOrgDomainDAOOrgDomainSub Service RefDAOTrust11TrustDAO1 SubFed1 10信任值监测和处理类图 Fig5 10 Class diagram trustvalue 辽宁工程技术大学硕士学位论文 82 盟主对组织域信任值监测和处理的结果即不处理和驱逐出联盟 对联合主体的信任值监测和处理结果分为不处理和取消联合 对映射主体的信任值监测和处理的不同结果包括取消映射的外域身份和限制外域身份 信任值监测和处理下映射主体身份的状态图如图5 11所示。 域内的主体身份映射的外域身份跨域访问访问控制系统定期更新信任值外域对跨域身份信任值低于T 1受限的外域身份外域对该身份信任值高于T 1外域对该身份信任值低于T 2本域对该主体信任值低于T 2本域对主体信任值高于T 1访问控制系统定期更新信任值外域对该身份信任值低于T 11信任值监测和处理下映射主体身份状态图 Fig5 11 Monitoring trustvalue mapping statediagram 1安全信息数据库本文所涉及到的安全信息不仅包括用户信息、资源信息、设备信息、机构信息、岗位信息、联盟信息和组织域信息等实体信息 还包括身份票据、信任策略等。 用户信息集 描述本地组织域内用户的身份信息 包括鉴别时所需的鉴别信息和属性信息等。 资源信息集 描述本地组织域内和联盟内资源信息 其中ResType表示该资源的类型 ResAuthMode表示所实施的认证方式 其中对联盟内资源的存储只需存储必要的信息 如访问方式等。 辽宁工程技术大学硕士学位论文 83 设备信息集 描述本地组织域内和联盟内设备信息。 机构信息集和岗位信息集 描述本地组织域内的多级机构信息和在不同机构的岗位信息。 联盟信息集 描述本地组织域域所属联盟的基本信息 如联盟名称、盟主等。 组织域信息集 描述本地组织域的基本信息以及其所包含的安全域信息、与资源的对应关系等 以及联盟内其他组织域的基本信息。 身份票据信息集 主体在访问外域资源时 本地组织域所创建的访问票据的信息集。 信任策略信息集 本地组织域所设定的信任阈值等信息的集合。 以上这些安全信息为TFIM机制的实现和AIU系统的运行提供了基础。 2数据访问实现由前文可知 本系统对安全信息采取了两种存储方式 采用LDAP目录服务存储安全信息的子集 采用关系数据库Oracle存储系统运最全最新的信息 这就涉及到对多个异构数据源的访问。数据访问组件是所有其它组件的子组件 是实现所有AIU功能的基础。 为了向其它组件提供统一的数据访问接口 本文的IDataAccess接口根据不同的数据源类型返回不同的数据处理对象 OracleDataAccess和LdapDataAccess 由工厂类DataAccessFactory类创建。 getType int 接口 IDataAccess getDataSourceUtils DataSourceUtils getDatasource string dataSourceUtils DataSourceUtils datasource stringOracleDataAccess getNodeManager NodeManager nodeManager NodeManagerLdapDataAccess getInstance DataAccessFactory getDataAccess IDataAccess singleton DataAccessFactoryDataAccessFactorycreat图5 12 异构数据源访问组件类图 Fig5 12 Heterogeneous data source access component class diagram 辽宁工程技术大学硕士学位论文 84 6本章小结本章介绍了联盟可信身份管理机制TFIM的具体实现 将其分为联盟组件、联盟身份组件、信任组件共三个最上层的组件 并详细阐述他们的子组件 通过组件图、类图说明各个组件的工作原理和工作流程。 首先介绍了联盟的实现、联盟基本信息管理、联盟服务管理 其次介绍了联盟身份组件中的映射、联合组件和跨域身份供应组件 并对映射组件进行了详细的介绍 之后介绍了信任组件中的信任获取和更新以及信任值的监测和处理 最后介绍了AIU系统实现的基础 安全信息数据库所存储的信息以及数据访问的实现。 下一章是论文的最后一章 在下一章中将对TFIM的实现结果进行测试和分析 并给出简单的评价。 辽宁工程技术大学硕士学位论文 85 应用实例及结果分析本章对TFIM机制在AIU系统中的应用设置了不同应用场景 对他们分别进行测试 给出试验结果和简单的分析 用以验证TFIM机制控制和限制低信任值主体的跨域访问的作用。同时 从下面的叙述中将能看到AIU系统应用和TFIM机制运行的一个线部署环境和模拟背景在实验室环境中 我们模拟两个组织域 辽工大组织域 简称辽工大 和XX分局组织域 简称分局 每个组织域都有自己的集中身份管理系统AIU部署在应用服务器上 对应的具有AIU的数据库服务器对应用服务器提供支持 在辽工大中有IP为192 168 201的客户端在分局中部署有一个应用系统“保安系统”和一个IP为192 168 139的客户端。这里将客户端单独出来含义就是 这是普通用户使用网络资源的一个入口 其也是一台普通的计算机。 保安系统是分局委托本实验室完成的一个项目 其主要功能是对XX区所有保安人员信息的管理。在项目的部署、试运行阶段 辽工大的师生具有跨域访问XX分局系统的需求 有些时候分局的工作人员也需要访问辽工大的主机。在这种情况下 两个组织域建立了联盟“公安系统联盟”。下面的应用实例将在这个背景下展开。 2实验数据由于AIU系统在TFIM机制实现之前已经具有了身份基础服务和基础信息服务 完成基本的身份管理 这里我们不再详细叙述这些TFIM实现的基础。下面将实验的数据列表如下 辽宁工程技术大学硕士学位论文 86 实验基础数据列表Tab experimentsfoundation data 所属节点 类别 数据 辽工大AIU 联盟 名称 公安系统联盟 盟主 分局 成员 本域、分局 联盟 名称 中央组织部联盟 成员 本域、辽宁组织部 本地主体 用户zz 张展、用户zxg 朱学刚、用户tgx 徐老师 信任阈值 分局AIU联盟 名称 公安系统联盟 盟主 成员本域、辽工大 服务 保安系统 本地 本地主体 用户账号lntu tgx 辽工大徐老师 USBKEY鉴别 信任阈值 辽宁工程技术大学硕士学位论文87 实验基础数据列表Tab experimentsfoundation data 信任主体 信任对象 信任值 信任主体 信任对象 信任值 辽工大AIU zz 85分局AIU lntu tgx 辽工大徐老师 tgx徐老师 82保安系统 zxg朱学刚 82辽工大 1可以看出辽工大AIU和分局AIU已经分别记录了联盟、盟主和联盟成员相关信息。两个组织域已经对本地服务和信任阈值进行了设置。其中公安系统联盟的服务“保安系统”已经在盟主分局AIU中存在 这个时侯辽工大的管理员可以使用从盟主更新服务列表功能 即可获得保安系统的基本信息 但如果想要使用户访问保安系统还需要做些工作 本章将详述。两域分别维护自己的主体信息 其中zz、zxg分别代表学生的账号 tgx代表一个老师的账号 lntu tgx是该老师在XX分局中的另一个账号 使用USBKEY鉴别方式 并且可以登录保安系统。 2是我们进行本章实验的模拟信任值状态下面的几个实验内容将在这一场景下展开。另外 对信任值的计算使用了如下公式简单模拟 即我们更多的考虑了组织域间的信任 AAABBIdPSSTIdPIdPTIdPSTIdP 其中 3实验内容本章以下实验的实验目标为 通过身份供应使保安系统项目组成员可以在保安系统中新增保安辽宁工程技术大学硕士学位论文 88 执行一次信任值监测和处理观察运行结果 以上实验内容是模拟一个真实的应用环境下 联盟内跨域访问的情况 其中我们将重点关注信任值对整个身份管理流程的影响。由于TFIM机制涉及联盟身份管理的各个细节 在实验中不可能把每种情况都遍历到。其中部分内容 如虚拟主体信任值的无条件供应、身份映射和联合的取消、SAML票据的查询等简单功能已经在AIU系统中实现 本章不做详细阐述。 2应用场景一身份联合与身份映射 1身份联合为了节省时间 辽工大的用户tgx希望通过AIU系统的身份联合功能将本地账号与XX分局的账号进行联合 以查看保安系统是否正常运行。于是他在192 168 201主机登录AIU系统首界面显示其当前信任值为0 82。之后该用户点击“身份联合入口”进入联合界面。 在联合界面用户选择了XX分局组织域 并尝试用USBKEY鉴别方式进行身份联合。根据第三章的介绍 该联合需要满足条件IdP辽工大 tgxTSU1 辽工大 lntutgx TSU1 分局 显而易见分局对lntu tgx的信任值不满足条件。所以当该用户点击联合请求联合操作的时候 系统提示远程组织域对要联合的账号信任值过低不允许联合。有了这种经验 该用户以后就会在分局的系统中正常行为 提高其信任值 从而在需要的时候可以使用联合服务。联合成功后在页面下方将显示联合的帐户列表。 2身份映射身份映射涉及两个组织域的交互 首先是分局设置可以访问保安系统的虚拟主体 通过分局管理员在AIU系统中设置来完成。 之后 辽工大就可以向分局提出身份映射请求 同样也由辽工大管理员来操作。整个界面被划分为四列。左侧两列属于本域 辽工大 的设置 第一列用户树以树状结构展示了本域下所有用户 以及每个联盟中组织域的来访和出访的用户 通过点击该用户树中的用户可以将其选择至需要映射的主体列表中 即第二列 图中我们选择了用户朱学刚和张展。右侧两列属于远程组织域 分局 的设置 选择第三列的虚拟主体 第四列就会相应的变化服务的选中状态。管理员可以通过第四列列表的选中状辽宁工程技术大学硕士学位论文 89 态获知该主体可以访问的服务列表 从而确定了我们要将这两个本域用户映射成为保安系统用户。之后点击“映射”按钮就向分局提出了映射请求。 情形1 分局使用手动映射批准。此时 分局管理员可以看到请求映射的用户列表 在映射入的用户名后面还可以看到本域分别对这两个用户的综合信任值大小 可以做映射批准的参考。如 对用户张展的综合信任值 IdP分局 81对用户朱学刚的综合信任值计算类似。 情形2 分局使用自动映射批准。在自动映射的情形下 分局的管理员只需要设置自动映射的信任值条件或者时间条件或者组织域条件 就可以使分局AIU自动完成映射的审核。 假如用户张展通过了分局的映射审核 那么他就可以在登录AIU系统之后 在首界面更新系统列表 从而单点登录到保安系统。 在AIU进行集中的身份管理时 对每个用户都分配AIU系统的权限 使其可以在系统列表页面点击各个系统的链接进行单点登录 使用户不必记录多个冗长的URL。 3应用场景二身份供应 保安系统的首界面是查询界面 默认情况下映射入的保安系统用户都可以进行保安的查询。登录过来的用户可能会不经意间点击菜单“新增人员” 分局为了防止辽工大映射入的用户随意新增保安人员信息 设置只有保安系统项目组的成员才能新增人员。但是人员的机构信息不会在登录的时候携带 当用户点击“新增人员”时 会调用身份供应 请求供应当前登录用户的机构信息。 用户张展属于保安系统项目组 同样是映射过来的用户朱学刚 由于他不属于保安系统项目组 点击“新增人员”菜单时 将出现图6 1的错误。另外 在身份供应阶段 系统还做了信任值的检查 这里不再一一对比。 4应用场景三信任值监测和处理 信任值的监测和处理对于管理员来说只是一项十分简单的操作 可以在信任阈值设置页面操作。在设置好组织域和主体信任阈值之后开始信任值监测和处理 系统提供了上一次信任值处理的结果。 辽宁工程技术大学硕士学位论文 90 信任值监测和处理界面图Fig Trustvalue processinginterface Figure 若选择“信任值监测和处理”操作 执行完毕后 系统会提供刚刚执行的信任值监测和处理的结果 为某一时刻辽工大组织域的信任值监测和处理的结果。从这一处理结果中 可以看出 辽工大组织域首先检查了公安系统联盟的映射入的虚拟主体“141主机访问用户”、“普通用户” 由于这两个虚拟主体的信任值较低 调整其访问许可。之后检查映射出主体“张展”和“朱学刚” 信任值符合映射出的条件不作处理。最后辽工大检查了“中组部联盟” 由于辽工大组织域是该联盟的盟主 所以检查了“辽宁组织部”的信任值 发现其信任值过低 将其驱逐出该联盟。结果中记录了检查开始和完毕的时间 留作以后参考。 1实验结果将上面的实验结果总结如下 由于辽工大用户tgx在分局的信任值过低账号联合没有成功 辽工大管理员完成了用户zz和zxg的身份映射 使他们可以访问保安系统。 辽工大用户zz属于机构保安系统项目组通过身份供应可以使用新增保安功能 而辽工大用户zxg不属于保安系统项目组 身份供应后未能使用新增保安功能。 信任值监测和处理对组织域、映射入的主体、映射出的主体执行正常能够限制信任值较低的虚拟主体的访问权限 对信任值处于TSU1以上的主体不作处理 将信任值过低 辽工大对辽宁组织域的信任值为0

本文链接:http://apkhealth.com/jiaohuzhuti/540.html

相关推荐:

网友评论:

栏目分类

现金彩票 联系QQ:24498872301 邮箱:24498872301@qq.com

Copyright © 2002-2011 DEDECMS. 现金彩票 版权所有 Power by DedeCms

Top