文/瞿雪萍 葛嘉敏 高偉勛

滬上大學(xué)：跨校無線全程游

文/瞿雪萍 葛嘉敏 高偉勛

上海市教委信息中心立項(xiàng)建設(shè)上海市高?？缧ＵJ(rèn)證平臺(tái)，并在此基礎(chǔ)上啟動(dòng)了對(duì)上海高校無線校園網(wǎng)資源共享共建的應(yīng)用課題研究，并開始實(shí)現(xiàn)跨校無線網(wǎng)絡(luò)漫游接入。

無線網(wǎng)絡(luò)已經(jīng)成為高校校園網(wǎng)絡(luò)的重要組成部分。出于信息網(wǎng)絡(luò)安全管理的需要，在建和已建的高校無線校園網(wǎng)中，都會(huì)使用一些網(wǎng)絡(luò)安全接入管理機(jī)制，以確保用戶實(shí)名制登錄注冊(cè)，并限制未授權(quán)用戶的訪問。現(xiàn)有的這種管理方式雖然滿足了校內(nèi)師生員工的使用，但對(duì)于外校來訪人員的使用就顯得非常不方便。

在信息技術(shù)高速發(fā)展的今天，大量科技和教育信息資源的使用都依賴于網(wǎng)絡(luò)平臺(tái)，而且校際間的交流和訪問日益頻繁。高校師生在其他高校訪學(xué)交流時(shí)，希望能夠使用該校無線資源的愿望越來越強(qiáng)烈。上海市教委信息中心為了解決此問題，于2007年立項(xiàng)建設(shè)上海市高?？缧ＵJ(rèn)證平臺(tái)，并在此基礎(chǔ)上啟動(dòng)了對(duì)上海高校無線校園網(wǎng)資源共享共建的應(yīng)用課題研究。

無線通項(xiàng)目建設(shè)背景

上海各高校建設(shè)無線網(wǎng)絡(luò)的起步時(shí)間差距較大，有些高校已經(jīng)基本完成無線網(wǎng)絡(luò)的全校覆蓋，有些高校則剛開始著手建設(shè)；有些高校已經(jīng)完成了接入管理，有些則剛剛試探性地在部分區(qū)域開放接入試用。由于建設(shè)起步時(shí)間跨度較大，無線網(wǎng)絡(luò)接入技術(shù)的發(fā)展又十分迅速，許多早期建設(shè)的無線網(wǎng)絡(luò)使用胖AP設(shè)備，而新建設(shè)的無線網(wǎng)絡(luò)都使用瘦AP設(shè)備，對(duì)訪問控制、安全要求等的支持各不相同。使用的認(rèn)證和控制設(shè)備廠商主要有Cisco、ARUBA、華為、H3C、城市熱點(diǎn)等。各個(gè)廠商對(duì)認(rèn)證接口的支持也有差異性。

在接入認(rèn)證方面，高校使用的各個(gè)廠商或集成商的應(yīng)用方案中，大部分高校使用Web認(rèn)證。即用戶首次使用網(wǎng)絡(luò)時(shí)會(huì)打開認(rèn)證網(wǎng)頁，要求用戶輸入賬戶進(jìn)行認(rèn)證接入。但Web頁的后端認(rèn)證方式。各個(gè)高校存在較大差異。主要有Radius認(rèn)證、LDAP認(rèn)證、數(shù)據(jù)庫認(rèn)證等幾種方式，另外還有個(gè)別學(xué)校使用802.1x認(rèn)證，即在用戶連接網(wǎng)絡(luò)時(shí)就要求用戶提供賬戶。這些差異性就給設(shè)計(jì)、開發(fā)和集成統(tǒng)一跨校認(rèn)證帶來了難度，所需要的底層平臺(tái)必須兼容各個(gè)高校的主流認(rèn)證構(gòu)架，同時(shí)還能支持跨校應(yīng)用。

國外在跨機(jī)構(gòu)身份認(rèn)證和授權(quán)方面的研究起步于2002年左右，影響較大的項(xiàng)目有Internet2的Shibboleth項(xiàng)目和Liberty聯(lián)盟計(jì)劃，二者都是遵循SAML(Security Assertion Markup Language)標(biāo)準(zhǔn)。Shibboleth項(xiàng)目始于2000年，由MACE小組提出，旨在解決擁有相對(duì)獨(dú)立身份認(rèn)證系統(tǒng)組織之間的資源共享策略。Shibboleth系統(tǒng)發(fā)展至今，其構(gòu)架和原理已被國外多個(gè)組合和機(jī)構(gòu)所采用，上海教科網(wǎng)也在推進(jìn)高校協(xié)作的過程中逐步建立了一個(gè)跨校認(rèn)證平臺(tái)的試驗(yàn)床，并在2008年成功部署。本應(yīng)用就是基于此平臺(tái)。

無線通項(xiàng)目系統(tǒng)框架

1. 上海高校無線校園網(wǎng)建設(shè)現(xiàn)狀

據(jù)不完全統(tǒng)計(jì)，目前上海高校中的一般熱點(diǎn)區(qū)域均已建成了無線網(wǎng)絡(luò)。根據(jù)其建設(shè)方案的匯總歸類，無線校園網(wǎng)的整體方案可以歸結(jié)為“傳統(tǒng)AP+認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)”的方式及“無線交換機(jī)”的方式，或兩種方式兼而有之。

傳統(tǒng)AP相當(dāng)于有線網(wǎng)絡(luò)中的集線器，提供無線信號(hào)發(fā)射和接收的功能，可以對(duì)自身進(jìn)行基本配置，如IP、SSID、基本安全設(shè)置等。傳統(tǒng)AP架構(gòu)的無線網(wǎng)絡(luò)中，都會(huì)在無線網(wǎng)絡(luò)的核心節(jié)點(diǎn)使用若干臺(tái)A C（Access Controller）設(shè)備作為計(jì)費(fèi)、認(rèn)證網(wǎng)關(guān)進(jìn)行無線網(wǎng)絡(luò)用戶的安全認(rèn)證。

無線交換機(jī)集中實(shí)現(xiàn)射頻監(jiān)控、數(shù)據(jù)流量管理、安全認(rèn)證、QoS、接入控制、負(fù)載均衡，以及AP的控制管理等功能。AP只實(shí)現(xiàn)802.11的空口功能，完成無線電波收發(fā)任務(wù)。

這兩種架構(gòu)的無線網(wǎng)絡(luò)各有優(yōu)缺點(diǎn)，且為互補(bǔ)。有些學(xué)校是保留部分老的無線覆蓋項(xiàng)目，在新建的項(xiàng)目中使用更新的無線交換機(jī)技術(shù)建設(shè)，這樣能夠保護(hù)原有的投資。有些學(xué)校則根據(jù)單位面積的用戶數(shù)量或者重要性，有選擇地交替使用兩種無線模型。

2. 無線校園網(wǎng)用戶認(rèn)證方式分析

在無線校園網(wǎng)建設(shè)中另一個(gè)重要的環(huán)節(jié)就是接入用戶認(rèn)證的方式。經(jīng)過對(duì)上海十余所高校無線網(wǎng)絡(luò)接入認(rèn)證情況的調(diào)研和總結(jié)，高校內(nèi)無線校園網(wǎng)絡(luò)認(rèn)證的后端結(jié)構(gòu)大致有三個(gè)模式：多認(rèn)證鏈路并存、輪詢認(rèn)證、認(rèn)證委托。

多認(rèn)證鏈路并存是指同時(shí)存在多條無線鏈路，可按校區(qū)、行政、教學(xué)、宿舍等規(guī)則劃分，每條鏈路的認(rèn)證是獨(dú)立的，有些鏈路建設(shè)較早，使用胖AP模式，有些鏈路是新建設(shè)的，使用瘦AP模式。雖然每條認(rèn)證鏈路都是獨(dú)立的，但其認(rèn)證源可能是同一個(gè)，或者不同鏈路使用不同認(rèn)證源。如校中心LDAP、Radius服務(wù)、校數(shù)據(jù)中心、校郵箱POP3認(rèn)證等。這樣既便于用戶的管理，又解決了不同時(shí)期建設(shè)的無線網(wǎng)絡(luò)的兼容問題。不同的認(rèn)證鏈路可以受同一個(gè)總AC控制器控制，這樣能方便、策略地配置下發(fā)，實(shí)際的認(rèn)證也可以靈活變動(dòng)。

輪詢認(rèn)證是指AC在收到用戶的認(rèn)證信息后，按順序去多個(gè)認(rèn)證源檢查用戶的認(rèn)證信息，只要有一個(gè)認(rèn)證源通過認(rèn)證即放行該用戶。例如用戶接入無線網(wǎng)絡(luò)并輸入認(rèn)證信息后，AC控制器會(huì)先在校LDAP上認(rèn)證用戶賬戶，若沒有通過認(rèn)證再到校數(shù)據(jù)中心檢查，然后再依次到Radius服務(wù)、郵箱POP3、訪客系統(tǒng)等認(rèn)證源中進(jìn)行檢查，AC控制器可能會(huì)有級(jí)聯(lián)，每個(gè)AC可能會(huì)到不同的認(rèn)證源認(rèn)證，只要有一個(gè)認(rèn)證源通過，所有AC都會(huì)放行。該認(rèn)證模式的用戶管理較靈活，適應(yīng)高校內(nèi)用戶賬戶數(shù)據(jù)分散的現(xiàn)狀。此外有些高校建立了認(rèn)證中心或統(tǒng)一身份認(rèn)證來完成輪詢的各步驟。

認(rèn)證委托是指將認(rèn)證委托給其他系統(tǒng)，如校信息門戶、校統(tǒng)一身份認(rèn)證、校認(rèn)證中心等。無線網(wǎng)絡(luò)接入認(rèn)證時(shí)將頁面重定向到委托的認(rèn)證系統(tǒng)，然后等待接受其他系統(tǒng)的認(rèn)證結(jié)果，通過認(rèn)證后放行。

3. 上海高校無線通系統(tǒng)架構(gòu)

在設(shè)計(jì)上海高校無線通方案之前，首先對(duì)跨校認(rèn)證做一個(gè)簡單理解并對(duì)Shibboleth在上海高校無線通跨域認(rèn)證中的作用作一個(gè)定位。

跨校身份認(rèn)證是使用聯(lián)盟式管理，一個(gè)資源系統(tǒng)把用戶的身份和屬性管理留給用戶的源組織處理，同時(shí)源組織負(fù)責(zé)向資源系統(tǒng)提供所需要的用戶屬性。當(dāng)一個(gè)用戶嘗試訪問某一資源系統(tǒng)時(shí)，資源系統(tǒng)根據(jù)源組織所提供的屬性做出訪問控制的決定。由此，用戶僅需要在它的源組織中進(jìn)行注冊(cè)而不需要在每個(gè)資源系統(tǒng)中注冊(cè)。

Shibboleth系統(tǒng)可以實(shí)現(xiàn)跨認(rèn)證域的構(gòu)成。Shibboleth是基于SAML規(guī)范的支持聯(lián)合身份管理的信任引擎中間件。Shibboleth包含三大部分組件：標(biāo)識(shí)提供者I d P（Identity Provider），服務(wù)提供者SP（Service Provider），可選的WAYF（Where Are You From）服務(wù)。Shibboleth提供跨域的單點(diǎn)登錄，并采用基于屬性的授權(quán)框架對(duì)用戶的請(qǐng)求進(jìn)行授權(quán)。使用Shibboleth信任引擎中間件，能夠簡化跨校認(rèn)證中身份認(rèn)證的流程，同時(shí)做到安全，高效。

圖 1 WAYF跨校身份認(rèn)證模型

圖 2 上海高校無線通系統(tǒng)架構(gòu)總體設(shè)計(jì)

跨校身份認(rèn)證模型的核心功能就是把用戶與資源在認(rèn)證和授權(quán)的過程中所需要使用的三個(gè)基本交互緊緊地聯(lián)系起來。這三個(gè)基本交互是：

1. 用戶認(rèn)證，由用戶的源組織實(shí)現(xiàn)；

2. 訪問請(qǐng)求；

3. 把授權(quán)屬性從源組織發(fā)送到被訪問的資源系統(tǒng)，傳輸?shù)皆L問控制管理者的授權(quán)屬性集合必須是可配置和擴(kuò)展的，這取決于被訪問的資源系統(tǒng)的需要。

在這個(gè)模型中，當(dāng)接收到用戶源組織的認(rèn)證確認(rèn)和授權(quán)屬性之后，代表資源主利益的訪問控制管理者能夠做出同意還是拒絕用戶訪問資源的決定。

經(jīng)過多年的發(fā)展，作為解決跨機(jī)構(gòu)資源共享，的中間件，Shibboleth系統(tǒng)已經(jīng)在高等教育領(lǐng)域得到了廣泛認(rèn)可，并在比較大的范圍內(nèi)得到了部署。因此在設(shè)計(jì)上海高校無線通方案時(shí)采用了Shibboleth技術(shù)。

上海高校無線通系統(tǒng)分為三個(gè)層次，第一層為平臺(tái)層，第二層為系統(tǒng)管理層，第三層為用戶接入層。其中，第一層是由各高校IdP服務(wù)器以及由教委或其他聯(lián)盟組織設(shè)立的WAYF服務(wù)器構(gòu)成的高?？缧ＵJ(rèn)證平臺(tái)，該平臺(tái)主要提供用戶源地址認(rèn)證的功能。第二層是各高校所提供的無線校園網(wǎng)資源組成的無線資源SP，該SP由教委或其他聯(lián)盟組織進(jìn)行統(tǒng)一管理。根據(jù)實(shí)際部署情況也可在單獨(dú)的高校設(shè)立無線資源SP管理結(jié)點(diǎn)。這一層完成的主要功能是對(duì)于參與認(rèn)證聯(lián)盟的各成員高校進(jìn)行管理，同時(shí)為各高校設(shè)立無線網(wǎng)絡(luò)管理員，由管理員負(fù)責(zé)對(duì)該校參與共享的AC進(jìn)行管理。第三層的用戶接入層將根據(jù)不同的用戶接入方式和不同的用戶類型完成對(duì)用戶認(rèn)證請(qǐng)求的處理。

平臺(tái)層中跨校身份認(rèn)證使用聯(lián)盟式管理，服務(wù)提供者把用戶的身份和屬性管理留給用戶的源組織處理，同時(shí)源組織負(fù)責(zé)向服務(wù)提供者提供所需要的用戶屬性。當(dāng)用戶嘗試訪問某一服務(wù)提供者時(shí)，服務(wù)提供者根據(jù)源組織所提供的屬性做出訪問控制的決定。基于WAYF架構(gòu)模式的組網(wǎng)結(jié)構(gòu)，如圖3所示，跨校認(rèn)證過程:

1. 高校D的用戶在高校A使用無線網(wǎng)絡(luò)，A校的無線網(wǎng)絡(luò)即為服務(wù)提供者SP；

2. 高校A的SP將用戶的上網(wǎng)請(qǐng)求發(fā)送到上海高校無線通系統(tǒng)的WAYF服務(wù)；

3. 上海高校無線通認(rèn)證的WAYF服務(wù)要求用戶選擇其所屬學(xué)校；

4. 用戶選擇自己所屬的學(xué)校（高校D），將信息發(fā)送給WAYF服務(wù)；

5. WAYF服務(wù)將根據(jù)用戶所選的學(xué)校，將用戶重定向到高校D的身份提供者；

6. 高校D的身份提供者要求用戶輸入信息進(jìn)行身份認(rèn)證；

7. 用戶向高校D的身份提供者提交自己的認(rèn)證信息；

8. 高校D的身份提供者對(duì)用戶提供的認(rèn)證信息進(jìn)行驗(yàn)證，并把驗(yàn)證信息反饋給高校A的服務(wù)提供者；

9. 高校A的服務(wù)提供者收到高校D身份提供者傳來的用戶信息后,根據(jù)預(yù)先定義的策略對(duì)用戶權(quán)限進(jìn)行檢查, 如果用戶有權(quán)限訪問, 則將允許用戶使用無線網(wǎng)絡(luò)服務(wù)。

圖3 跨校認(rèn)證過程

應(yīng)用情況

2010年，上海市教委信息中心分別選取復(fù)旦大學(xué)、華東師范大學(xué)、華東理工大學(xué)、上海大學(xué)、上海師范大學(xué)、立信會(huì)計(jì)學(xué)院、上海外國語大學(xué)、上海財(cái)經(jīng)大學(xué)、上海學(xué)生事務(wù)中心、第二工業(yè)大學(xué)、松江大學(xué)城公共區(qū)域等十多個(gè)教育單位進(jìn)行了本系統(tǒng)的部署試驗(yàn)。本系統(tǒng)自2010年初開始部署，截至2012年3月已為參加上海教科研跨校協(xié)作平臺(tái)的19個(gè)高校提供了超過187000人次的使用，取得了很好的應(yīng)用效果。

下面我們以一個(gè)應(yīng)用場景為例介紹一下該系統(tǒng)的用戶使用過程。某日，一位上海師范大學(xué)的教師因進(jìn)修到復(fù)旦大學(xué)學(xué)習(xí)，當(dāng)他想使用筆記本上網(wǎng)查詢資料時(shí)，就可以通過高校無線通來完成復(fù)旦無線校園網(wǎng)的接入。

1. 第一步：漫游接入申請(qǐng)

搜索并連接復(fù)旦大學(xué)的無線校園網(wǎng)信號(hào)，進(jìn)行Web瀏覽時(shí)會(huì)出現(xiàn)復(fù)旦大學(xué)的無線網(wǎng)絡(luò)接入認(rèn)證頁。

在上海高校無線通的授權(quán)區(qū)域內(nèi)搜索該學(xué)校無線網(wǎng)絡(luò)信號(hào)，自動(dòng)連接后獲得IP地址。各個(gè)高校的無線區(qū)域、地址分配情況等，按各個(gè)高校提供的無線服務(wù)為準(zhǔn)。在獲得IP地址之后，當(dāng)首次訪問Internet時(shí)，各個(gè)高校的無線訪問會(huì)要求認(rèn)證，在各個(gè)高校的W E B認(rèn)證頁中會(huì)有高校無線通的圖標(biāo)，點(diǎn)擊圖標(biāo)即向無線通提出跨校使用無線的申請(qǐng)。

2. 第二步：跨校身份認(rèn)證

點(diǎn)擊認(rèn)證頁中的高校無線通圖標(biāo)后，即已提出漫游申請(qǐng)，系統(tǒng)會(huì)顯示高校選擇頁。在高校列表中選擇漫游申請(qǐng)用戶所屬的高校后點(diǎn)擊“確定”按鈕，系統(tǒng)會(huì)定向到各個(gè)高校自己的認(rèn)證頁面做認(rèn)證。

在用戶所屬高校的認(rèn)證頁上輸入自己高校身份認(rèn)證的用戶名及密碼后點(diǎn)擊登錄，如果認(rèn)證通過則成功接入，否則回到用戶所屬高校的認(rèn)證頁。各個(gè)高校使用的認(rèn)證賬戶由各個(gè)高校自身決定，用戶可以咨詢所屬高校的分管部門。

3. 第三步：完成無線接入

認(rèn)證成功后，系統(tǒng)會(huì)批準(zhǔn)該用戶的漫游請(qǐng)求，無線校園網(wǎng)提供單位會(huì)放行該用戶的漫游請(qǐng)求，用戶即可使用所在地的無線網(wǎng)絡(luò)訪問Internet。

如果用戶的瀏覽器窗口屏蔽了彈出窗口，則該頁面就不會(huì)顯示，但并不影響該用戶的正常使用。用戶在一段時(shí)間內(nèi)不使用接入訪問的話，所在高校的無線接入會(huì)被自動(dòng)斷開，如果要繼續(xù)使用，則重復(fù)第一步就可以了。

在網(wǎng)絡(luò)技術(shù)飛速發(fā)展，以及信息技術(shù)不斷進(jìn)步的信息時(shí)代，越來越多的教學(xué)活動(dòng)的開展和教學(xué)資源的使用都離不開網(wǎng)絡(luò)信息技術(shù)。尤其在高校，各類教學(xué)科研的交流活動(dòng)日益增多，外校的師生用戶需要使用無線網(wǎng)絡(luò)的需求也在不斷增加?；诳缧ＵJ(rèn)證的上海高校無線通的建設(shè)及應(yīng)用就是依賴Shibboleth架構(gòu)技術(shù)，充分利用上海市各高校已建和將建的無線系統(tǒng)，簡化跨校訪問認(rèn)證流程, 提高網(wǎng)絡(luò)資源的使用效率，同時(shí)也保證了安全性。上海高校無線通使已實(shí)現(xiàn)跨校認(rèn)證的各校師生在具備無線系統(tǒng)的他校學(xué)習(xí)、工作時(shí)可以方便地完成無線校園網(wǎng)的接入。

基于跨校認(rèn)證的上海高校無線通的建設(shè)及應(yīng)用，是整個(gè)上海教育信息化建設(shè)中實(shí)現(xiàn)高校間網(wǎng)絡(luò)互聯(lián)互通、資源共享的一小步。隨著高校教育信息化的推進(jìn)，不斷豐富網(wǎng)上的共享資源、建設(shè)更多的跨校應(yīng)用，才能更好地實(shí)現(xiàn)“跨校、協(xié)作、共享”的目標(biāo)。

（作者單位為上海師范大學(xué)信息化辦公室）