文档介绍:基于 Shibboleth 无线校园网访客管理系统研究与设计
1 绪论
本论文研究的目标和内容
我国高校网络建设已经初具规模,而其中无线网络已经成为校园网络建设的新重
点。在已经建成或者正在建设的高校校园无线网中,根据网络安全的管理要求,用户
接入管理的方式都非常严格,没有用户接入帐号就不能使用无线网络服务。而随着校
园信息化建设的日益展开,越来越多的应用和资源提供都依赖于网络,尤其在校际交
流日益频繁的今天,随着学术交流和开放式大学的建设,校园网应该支持访客接入的
呼声越来越高。部分高校因此提供了访客帐号服务,但需要用户有一个二次申请的过
程,而其申请过程也较为复杂,有时候需要人工干预就未能及时地解决实际问题。如
果各高校能够实行网络帐号互认,那么只要有无线网络的地方,用户就可以访问互联
网,使得学术交流更加便捷、高效[1]。
针对此问题,本文通过对 Shibboleth 技术的研究,设计一个支持跨校无线校园
网用户认证的管理系统,使认证联盟单位的用户在其他成员单位也可以根据预先设定
的访问策略访问无线网络,为真正实现高校间无线网络的互联互通、资源共享奠定基
础。
本论文研究并实现了以下几个方面的内容:
(1) 研究分析 Shibboleth 框架结构的特点
Shibboleth 系统由身份提供者、服务提供者和可选的WAYF (Where are you from?)
服务以及各种交互子组件组成。研究各组件的功能以及 Shibboleth 的工作流程,分
析掌握 Shibboleth 的特点。
(2) Shibboleth 框架结构设计并实现无线校园网访客管理系统
本文将基于 Shibboleth 的框架进行开发,根据用户的实际需求对 Shibboleth
进行改造。通过将 Shibboleth 的 IdP 组件与各个学校的用户身份认证系统集成,将
身份数据的管理和身份凭据的认证交给各个学校认证系统自行处理。Shibboleth 的
框架结构将认证模块放在用户端, 资源提供者只需进行很少的验证工作, 这样极大
地减轻了资源提供者的负担, 同时简化了访问程序, 提高了访问资源的效率,安全性
也得到了保证。目前各个高校的无线网络服务都需要经过身份认证之后才能使用,并
且认证机制也各不相同。为了方便用户使用这些无线网络服务,需要通过建立一个
Shibboleth 结构无线 SP 基础设施,来实现用户的跨机构认证。
(3) 对于无线校园网访客管理系统的整体部署和应用
基于 Shibboleth 框架结构的无线校园网访客管理系统在上海师范大学校园网上
1
基于 Shibboleth 无线校园网访客管理系统研究与设计
进行了整体部署,为校园网访客用户提供便利快捷的上网方式和安全的管理机制。从
无线访客用户使用情况的具体数据来看,系统部署实施后取得了良好的实际应用效
果。
基于 Shibboleth 框架跨机构认证研究的现状
国外基于 Shibboleth 框架跨机构认证研究的现状
国外在跨机构身份认证和授权方面的研究起步于 2002 年左右,现在有试验系统
在运行,但还没有形成大规模产业。影响较大的项目有 2 的 Shibboleth 项
目和 Liberty 联盟计划,二者都是遵循SAML [2](Security Assertion Markup Language)
标准。其他相关项目还有 Microsoft 联合 IBM 制定的 WS-Federation 标准、微软的
ADFS(Active Directory Federation Service)等。它们采用了不同的机制,在不同
方面实现了跨机构的身份认证,为大量的网络应用提供服务。
Shibboleth 项目始于 2000 年,由 MACE 小组提出,旨在解决拥有相对独立身份
认证系统组织之间的资源共享策略。Shibboleth 系统发展至今,其构架和原理已被
国外多个组合和机构所采用,除了 GridShib 项目以外还有位于乔治城大学和威斯康
辛大学的美国校园的分布式科研计算网络中的 CondorShibboleth 项目,瑞士大学联
盟 AAI(Authentication and Authorization Infrastructure)项目,由澳洲政府发
起的澳洲校园联盟系统 MAMS(Meta Access Management System)和 Yale 大学发起的
旨在为 WEB 应用系统提供一种可靠的单点登录方法的 CAS 项目等,都是基于
Shibboleth 系统开发的资源整合项