Shibboleth系統在歐美資源共享聯盟的應用比較

黃燕

〔摘 要〕為了改善數字資源訪問問題，美國Intelnet2開發的Shibboleth資源共享管理系統已漸漸被很多國家使用。本文研究分析Shibboleth的工作流程及優勢，并對其在英國、美國、澳洲、以及瑞士四國資源共享聯盟中的應用進行深入的比較。

〔關鍵詞〕Shibboleth；圖書館聯盟；資源共享；單點登陸

目前國內外圖書館訪問數字資源時，使用的方法有：（1）在校園的IP范圍內使用，這種方法出了校園就無法使用，目前國內大多數高校都使用這種方式；（2）在校內使用IP限制訪問，在校外的使用proxy服務器，這種方式提供使用者與校內IP的虛擬連接，而有些數據庫平臺對proxy的設定存在技術上的問題，也有些資源無法透過proxy使用，會給使用者造成一些困擾；（3）使用虛擬專用網絡（virtual private network），這種方式下，如果使用者要使用兩個成員館的資源，必須分別進行登錄；（4）使用共用的密碼（share passwords），這種方式容易泄露用戶名密碼，威脅資源的安全。針對資源訪問存在的問題，美、英等國積極投入Shibboleth數字資源訪問系統的研究與發展，Shibboleth服務提供者的信心建立在使用者所屬的機構要有一個健全且及時更新的認證系統，這是因信任的需求而導致聯盟管理的概念[1]。

1 Shibboleth系統

1.1 Shibboleth計劃

Shibboleth的本來意思為準則、教條、行話，也可以譯為口令，在本文中它表示一個針對SSO（Single Sign-on）的開源項目，是開始于2000年美國Internet2/mace的一個計劃，由美國國家科學基金會（NSF）資助發展Shibboleth的架構、政策以及應用技術[2]。Shibboleth是一種依據SAML語言標準的開放源代碼中介軟件，以交換屬性的方式提供跨機構之間的網頁單一登陸。可用于校園內以及跨校園間的應用系統用戶認證及Web資源共享。Shibboleth系統是以聯盟的方式來運作，當用戶以個人的方式訪問網站上的資源時，能夠以保護隱私的方式做確認性的授權決定。服務提供者不必再維護和管理賬號和密碼，使用者是以自己所屬的角色來獲取資源訪問的授權。Shibboleth依賴機構來建立身份資料，提供使用者機構資料，并在服務端確認訪問權利。

1.2 Shibboleth的工作流程

Shibboleth系統的工作流程如圖1[3]所示。Shibboleth身份提供者的4個元素：（1）屬性權威——AA（Attribute Authority）：表示母機構分發屬性；（2）管理服務——HS（Handle Service）：使用者登入服務，當一個使用者被授權后，Shibboleth的區域單位就會產生一個臨時的參照給使用者，這個參照就叫Handle；（3）目錄服務——DS（Directory Service）[4]；（4）區域登陸系統——LSS（Local Sign-on System）。服務提供者的3個要素：（1）聲明使用者服務——ACS（Assertion Consumer Service）：聲明指出使用者所屬機構，其中WAYF（Where Are You From）是中央服務，提供機構的名單和數字資源，由ACS執行；（2）屬性請求人——AR（Attribute Requester）：使用者請求登錄服務提供者提供的屬性權威，屬性權威根據屬性釋放政策給其分配使用屬性，服務提供端根據使用屬性來回應相應的存取控制權限[5]。圖1 Shibboleth作業流程圖

流程說明：

（1）使用者試圖到SP端的應用服務器去存取Shibboleth系統保護的數字資源；（2、3、4）使用者被指引到Shibboleth系統的WAYF的中央服務，在那里使用者被指出其所屬機構（IDP）；（5）使用者被指引到IDP端的管理服務端（HS）；（6、7）使用者在自己的IDP的使用區域的憑證來認證；（8）管理服務系統產生惟一的身份識別（Handle），并指引使用者到服務提供網站的聲明使用者服務（ACS），使用者服務證實該提供的聲明，產生一個歷程（Session），然后將使用者轉移到屬性請求端（AR）。（9、10）屬性請求人使用Handle從IDP端的屬性權威（AA）去請求屬性，屬性權威根據屬性釋放出政策來回應屬性聲明；服務提供端使用屬性來做存取控制及其他應用層級的決定。Shibboleth系統的認證授權機制又稱為認證與授權的基礎建設。

2012年12月第32卷第12期現？代？情？報Journal of Modern InformationDec，2012Vol32 No122012年12月第32卷第12期Shibboleth系統在歐美資源共享聯盟的應用比較Dec，2012Vol.32 No122 Shibboleth系統的優勢

目前數字資源存取的認證方式主要有兩種：IP認證和用戶名密碼認證，這兩種認證是當今運用的最為廣泛的數字資源訪問方式。IP認證的原理是在數字資源的服務器端的管理平臺上添加允許訪問的IP地址，當使用者訪問數字資源時，數據庫管理端會獲取訪問地址并與后臺進行對比，如果對比成功，就授權使用者可以訪問；如果對比失敗，使用者就無法訪問數字資源；用戶名密碼認證，這種方式是為使用者建立一個用戶名和密碼，當使用者登陸訪問數字資源時，主網頁會提示使用者輸入用戶名和密碼，使用者輸入確認后，數字資源平臺會在后臺進行對比，如果成功，就授權使用者可以訪問，如果對比失敗，使用者將無法訪問。Shibboleth認證系統出現之后，超越了這兩種認證方式，下面從安全性，靈活性，支持多數字資源訪問性，地域局限性來進行比較，具體情況如表1。由此可以看出，Shibboleth系統更安全、便捷，無論在任何地方登陸都可以訪問，在訪問多個數字資源時，只1次登陸即可。另外，在國內，VPN是在校園外訪問其內部數字資源主流方式， VPN技術可以將校園外的計算機的IP地址虛擬成機構或校園內的網絡地址，以達到在校外訪問校內資源的目的，但是這種方式有一定的缺陷，隨著數據庫平臺的不斷升級完善，協議的不斷更新，有一些數字資源將無法訪問成功，必須對VPN的硬件設備進行升級；對于圖書館聯盟來說，VPN技術也有一定的局限，如果1個成員館要訪問其他成員館的數字資源，必須在其他每一個成員館都注冊1個VPN賬號，要登陸不同的域名地址，才能達到獲取資源的目的，而使用Shibboleth認證系統，成員館的讀者只需要注冊1個賬戶就可以在任何地方訪問圖書館聯盟中的所有數字資源。

表1 認證方式比較表

認證方式安全性便捷性是否支持多數字資源訪問地域局限性IP認證很安全直接就訪問，很方便支 持只能在允許的IP范圍之內用戶名密碼認證不安全，用戶名密碼

容易被竊取每次訪問，都要輸入，

比較麻煩不支持，每個數字資源都要

設置一個用戶名和密碼任何網絡終端均可Shibboleth系統認證有單獨的認證系統，很安全單點登錄，方便快捷支 持任何網絡終端均可

3 Shibboleth系統在歐美資源存取聯盟的應用

目前已有美國、澳洲、瑞士、英國等四國的存取聯盟比較健全，分別為：美國In Common、英國UK Federation、瑞士SWITCH aai、澳洲Australian Access Federation，這4個聯盟由國家層級主導經營發展，經費來源穩定，主要服務在高等教育以及研究機構，是目前運作穩定成功的4個國家的資源存取聯盟。

3.1 各聯盟組織運作情況

（1）In Common是LLC的單一會員，由聯盟參與者組成公司以及由指導委員會管理，指導委員會由美國高等教育單位及公司等代表組成。聯盟另設有技術咨詢委員會，負責提供In Common有關技術方面的運作與管理建議，聯盟由Internet2員工運作，包括業務及政策的執行、技術操作、身份確認以及支援In Common及聯盟成員等工作；（2）英國聯盟下設有咨詢委員會和技術咨詢小組，經費由英國聯合資訊系統委員會提供，由其提名3名會員至咨詢委員會并同意1個合聘主席。聯盟由JANET（英國的教育與研究機構）來運作；（3）瑞士聯盟下設有兩個委員會：咨詢委員會和操作委員會。前者負責策略方面，后者則較重執行方面。（4）澳洲設有執行委員會，執行委員會下設政策及管理小組、技術小組、營銷及宣傳小組。

3.2 各聯盟的技術方面

Shibboleth目前的軟件發展的經費主要來自于Intelnet2，部分由NSF資助；Shibboleth除了在學術聯盟被使用之外，美國聯邦政府的數字化認證系統也采用的Shibboleth；另外，Google以及微軟也將計劃Google Scholar以及微軟的Card Space賦予Shibboleth的功能。

目前除英國少部分機構仍然采用Open Athens外，大都采用Shibboleth技術及SAML協議，Shibboleth技術的版本已發展到2X版，在安裝上建議采用最新版本，以便在聯盟之間可以互通；另外美國、英國以及澳洲都同意使用LDAP來建置使用者資料。使用者資料庫的建設是整個Shibboleth系統的核心，建設前周詳的設定屬性規范是非常重要的；要決定每一事件應該包含哪些屬性，哪些是不需要的屬性，哪些是關鍵屬性等。Eduperson及EduOrg是由美國Intelnet2 MACE-dir所發展及維護的；瑞士的Swiss Eduperson以及澳洲的AUEduperson都是由美國Intelnet2的Eduperson衍生發展來的。

基于Shibboleth系統的聯盟憑證的簽發有3種方式：（1）自簽：身份提供者自行產生憑證，然后呈送給聯盟，經聯盟確認后將憑證資料加入系統后臺資料庫；（2）聯盟簽發；（3）聯盟信任的憑證中心簽發。當Shibboleth的實體互相溝通時，首先就會去驗證使用者身份的憑證，可見憑證對IDP及SP的重要性。在安裝Shibboleth的IDP及SP時就可以產生自簽憑證并嵌入后臺資料庫。從四國聯盟發展可以看出自簽憑證以及憑證中心是一個趨勢。一個成功的基于Shibboleth認證系統的資源共享聯盟涉及的層面非常廣泛，除了要有計算機軟、硬件的支撐之外，還需要強大的管理政策和經費支持，所以周詳合理的規劃是資源共享聯盟成功的關鍵。表2 聯盟的技術協議

各聯盟組織協議（Protocol）系統實作美國In CommonSAML；LDAPShibboleth英國UKFShibboleth13，正逐漸發展成Shibboleth21，任何與SAML相容的軟件皆可；LDAP。大部分使用Shibboleth13或21版本及Open Athens。瑞士SWITCH aai仍使用Shibboleth13版本及SAML20版本約一半的IDP及SP采用Shibboleth13；另一半使用Shibboleth21澳洲AAFSAML11或SAML20；LDAP。Shibboleth13逐漸被淘汰；大部分的IDP及SP采用Shibboleth214 結束語

目前國內的區域性聯盟正在蓬勃發展，陜西、重慶、吉林都在建設本區域的圖書館聯盟來實現本區域的資源共享，全國性聯盟也成立了很多如CALIS、CSDL、NSTL、CASHL等聯盟，采用Shibboleth系統進行資源的存取認證，不但可以實現聯盟內的資源共享，還可以實現聯盟之間的數字資源的獲取；由于Shibboleth系統有獨立的使用者安全認證體系，提高了數字資源的安全性；沒有綁定IP，使用者的訪問沒有了地域的局限性。希望Shibboleth系統能早日在我國資源共享聯盟中得到廣泛的運用，給使用者提供一個安全、便捷的資源獲取環境。

參考文獻

[1]Shibboleth[EB/OL].http：∥shibboleth.internet2.edu，2012-03-12.

[2]A project of the internet2 middleware initiative[EB/OL].http：∥shibboleth.internet2.edu，2010-08-12.

[3]Shibboleth Technical Introduction[EB/OL].http：∥shibboleth.internet2.edu/tech-intro.html，2007-07-13.

[4]李峰，郭曉軍，于培民，等.企業門戶應用整合中單點登錄（SSO）的技術實現與應用[J].現代電子技術，2008，（23）：166-168.

[5]邱仕坦.基于SAML的校園聯合身份認證的研究[J].福建電腦，2009，（11）：90-91.

（本文責任編輯：馬 卓）