滬上大學：跨校無線全程游

文/瞿雪萍 葛嘉敏 高偉勛

滬上大學：跨校無線全程游

文/瞿雪萍 葛嘉敏 高偉勛

上海市教委信息中心立項建設上海市高校跨校認證平臺，并在此基礎上啟動了對上海高校無線校園網資源共享共建的應用課題研究，并開始實現跨校無線網絡漫游接入。

無線網絡已經成為高校校園網絡的重要組成部分。出于信息網絡安全管理的需要，在建和已建的高校無線校園網中，都會使用一些網絡安全接入管理機制，以確保用戶實名制登錄注冊，并限制未授權用戶的訪問。現有的這種管理方式雖然滿足了校內師生員工的使用，但對于外校來訪人員的使用就顯得非常不方便。

在信息技術高速發展的今天，大量科技和教育信息資源的使用都依賴于網絡平臺，而且校際間的交流和訪問日益頻繁。高校師生在其他高校訪學交流時，希望能夠使用該校無線資源的愿望越來越強烈。上海市教委信息中心為了解決此問題，于2007年立項建設上海市高校跨校認證平臺，并在此基礎上啟動了對上海高校無線校園網資源共享共建的應用課題研究。

無線通項目建設背景

上海各高校建設無線網絡的起步時間差距較大，有些高校已經基本完成無線網絡的全校覆蓋，有些高校則剛開始著手建設；有些高校已經完成了接入管理，有些則剛剛試探性地在部分區域開放接入試用。由于建設起步時間跨度較大，無線網絡接入技術的發展又十分迅速，許多早期建設的無線網絡使用胖AP設備，而新建設的無線網絡都使用瘦AP設備，對訪問控制、安全要求等的支持各不相同。使用的認證和控制設備廠商主要有Cisco、ARUBA、華為、H3C、城市熱點等。各個廠商對認證接口的支持也有差異性。

在接入認證方面，高校使用的各個廠商或集成商的應用方案中，大部分高校使用Web認證。即用戶首次使用網絡時會打開認證網頁，要求用戶輸入賬戶進行認證接入。但Web頁的后端認證方式。各個高校存在較大差異。主要有Radius認證、LDAP認證、數據庫認證等幾種方式，另外還有個別學校使用802.1x認證，即在用戶連接網絡時就要求用戶提供賬戶。這些差異性就給設計、開發和集成統一跨校認證帶來了難度，所需要的底層平臺必須兼容各個高校的主流認證構架，同時還能支持跨校應用。

國外在跨機構身份認證和授權方面的研究起步于2002年左右，影響較大的項目有Internet2的Shibboleth項目和Liberty聯盟計劃，二者都是遵循SAML(Security Assertion Markup Language)標準。Shibboleth項目始于2000年，由MACE小組提出，旨在解決擁有相對獨立身份認證系統組織之間的資源共享策略。Shibboleth系統發展至今，其構架和原理已被國外多個組合和機構所采用，上海教科網也在推進高校協作的過程中逐步建立了一個跨校認證平臺的試驗床，并在2008年成功部署。本應用就是基于此平臺。

無線通項目系統框架

1. 上海高校無線校園網建設現狀

據不完全統計，目前上海高校中的一般熱點區域均已建成了無線網絡。根據其建設方案的匯總歸類，無線校園網的整體方案可以歸結為“傳統AP+認證計費網關”的方式及“無線交換機”的方式，或兩種方式兼而有之。

傳統AP相當于有線網絡中的集線器，提供無線信號發射和接收的功能，可以對自身進行基本配置，如IP、SSID、基本安全設置等。傳統AP架構的無線網絡中，都會在無線網絡的核心節點使用若干臺A C（Access Controller）設備作為計費、認證網關進行無線網絡用戶的安全認證。

無線交換機集中實現射頻監控、數據流量管理、安全認證、QoS、接入控制、負載均衡，以及AP的控制管理等功能。AP只實現802.11的空口功能，完成無線電波收發任務。

這兩種架構的無線網絡各有優缺點，且為互補。有些學校是保留部分老的無線覆蓋項目，在新建的項目中使用更新的無線交換機技術建設，這樣能夠保護原有的投資。有些學校則根據單位面積的用戶數量或者重要性，有選擇地交替使用兩種無線模型。

2. 無線校園網用戶認證方式分析

在無線校園網建設中另一個重要的環節就是接入用戶認證的方式。經過對上海十余所高校無線網絡接入認證情況的調研和總結，高校內無線校園網絡認證的后端結構大致有三個模式：多認證鏈路并存、輪詢認證、認證委托。

多認證鏈路并存是指同時存在多條無線鏈路，可按校區、行政、教學、宿舍等規則劃分，每條鏈路的認證是獨立的，有些鏈路建設較早，使用胖AP模式，有些鏈路是新建設的，使用瘦AP模式。雖然每條認證鏈路都是獨立的，但其認證源可能是同一個，或者不同鏈路使用不同認證源。如校中心LDAP、Radius服務、校數據中心、校郵箱POP3認證等。這樣既便于用戶的管理，又解決了不同時期建設的無線網絡的兼容問題。不同的認證鏈路可以受同一個總AC控制器控制，這樣能方便、策略地配置下發，實際的認證也可以靈活變動。

輪詢認證是指AC在收到用戶的認證信息后，按順序去多個認證源檢查用戶的認證信息，只要有一個認證源通過認證即放行該用戶。例如用戶接入無線網絡并輸入認證信息后，AC控制器會先在校LDAP上認證用戶賬戶，若沒有通過認證再到校數據中心檢查，然后再依次到Radius服務、郵箱POP3、訪客系統等認證源中進行檢查，AC控制器可能會有級聯，每個AC可能會到不同的認證源認證，只要有一個認證源通過，所有AC都會放行。該認證模式的用戶管理較靈活，適應高校內用戶賬戶數據分散的現狀。此外有些高校建立了認證中心或統一身份認證來完成輪詢的各步驟。

認證委托是指將認證委托給其他系統，如校信息門戶、校統一身份認證、校認證中心等。無線網絡接入認證時將頁面重定向到委托的認證系統，然后等待接受其他系統的認證結果，通過認證后放行。

3. 上海高校無線通系統架構

在設計上海高校無線通方案之前，首先對跨校認證做一個簡單理解并對Shibboleth在上海高校無線通跨域認證中的作用作一個定位。

跨校身份認證是使用聯盟式管理，一個資源系統把用戶的身份和屬性管理留給用戶的源組織處理，同時源組織負責向資源系統提供所需要的用戶屬性。當一個用戶嘗試訪問某一資源系統時，資源系統根據源組織所提供的屬性做出訪問控制的決定。由此，用戶僅需要在它的源組織中進行注冊而不需要在每個資源系統中注冊。

Shibboleth系統可以實現跨認證域的構成。Shibboleth是基于SAML規范的支持聯合身份管理的信任引擎中間件。Shibboleth包含三大部分組件：標識提供者I d P（Identity Provider），服務提供者SP（Service Provider），可選的WAYF（Where Are You From）服務。Shibboleth提供跨域的單點登錄，并采用基于屬性的授權框架對用戶的請求進行授權。使用Shibboleth信任引擎中間件，能夠簡化跨校認證中身份認證的流程，同時做到安全，高效。

圖 1 WAYF跨校身份認證模型

圖 2 上海高校無線通系統架構總體設計

跨校身份認證模型的核心功能就是把用戶與資源在認證和授權的過程中所需要使用的三個基本交互緊緊地聯系起來。這三個基本交互是：

1. 用戶認證，由用戶的源組織實現；

2. 訪問請求；

3. 把授權屬性從源組織發送到被訪問的資源系統，傳輸到訪問控制管理者的授權屬性集合必須是可配置和擴展的，這取決于被訪問的資源系統的需要。

在這個模型中，當接收到用戶源組織的認證確認和授權屬性之后，代表資源主利益的訪問控制管理者能夠做出同意還是拒絕用戶訪問資源的決定。

經過多年的發展，作為解決跨機構資源共享，的中間件，Shibboleth系統已經在高等教育領域得到了廣泛認可，并在比較大的范圍內得到了部署。因此在設計上海高校無線通方案時采用了Shibboleth技術。

上海高校無線通系統分為三個層次，第一層為平臺層，第二層為系統管理層，第三層為用戶接入層。其中，第一層是由各高校IdP服務器以及由教委或其他聯盟組織設立的WAYF服務器構成的高校跨校認證平臺，該平臺主要提供用戶源地址認證的功能。第二層是各高校所提供的無線校園網資源組成的無線資源SP，該SP由教委或其他聯盟組織進行統一管理。根據實際部署情況也可在單獨的高校設立無線資源SP管理結點。這一層完成的主要功能是對于參與認證聯盟的各成員高校進行管理，同時為各高校設立無線網絡管理員，由管理員負責對該校參與共享的AC進行管理。第三層的用戶接入層將根據不同的用戶接入方式和不同的用戶類型完成對用戶認證請求的處理。

平臺層中跨校身份認證使用聯盟式管理，服務提供者把用戶的身份和屬性管理留給用戶的源組織處理，同時源組織負責向服務提供者提供所需要的用戶屬性。當用戶嘗試訪問某一服務提供者時，服務提供者根據源組織所提供的屬性做出訪問控制的決定。基于WAYF架構模式的組網結構，如圖3所示，跨校認證過程:

1. 高校D的用戶在高校A使用無線網絡，A校的無線網絡即為服務提供者SP；

2. 高校A的SP將用戶的上網請求發送到上海高校無線通系統的WAYF服務；

3. 上海高校無線通認證的WAYF服務要求用戶選擇其所屬學校；

4. 用戶選擇自己所屬的學校（高校D），將信息發送給WAYF服務；

5. WAYF服務將根據用戶所選的學校，將用戶重定向到高校D的身份提供者；

6. 高校D的身份提供者要求用戶輸入信息進行身份認證；

7. 用戶向高校D的身份提供者提交自己的認證信息；

8. 高校D的身份提供者對用戶提供的認證信息進行驗證，并把驗證信息反饋給高校A的服務提供者；

9. 高校A的服務提供者收到高校D身份提供者傳來的用戶信息后,根據預先定義的策略對用戶權限進行檢查, 如果用戶有權限訪問, 則將允許用戶使用無線網絡服務。

圖3 跨校認證過程

應用情況

2010年，上海市教委信息中心分別選取復旦大學、華東師范大學、華東理工大學、上海大學、上海師范大學、立信會計學院、上海外國語大學、上海財經大學、上海學生事務中心、第二工業大學、松江大學城公共區域等十多個教育單位進行了本系統的部署試驗。本系統自2010年初開始部署，截至2012年3月已為參加上海教科研跨校協作平臺的19個高校提供了超過187000人次的使用，取得了很好的應用效果。

下面我們以一個應用場景為例介紹一下該系統的用戶使用過程。某日，一位上海師范大學的教師因進修到復旦大學學習，當他想使用筆記本上網查詢資料時，就可以通過高校無線通來完成復旦無線校園網的接入。

1. 第一步：漫游接入申請

搜索并連接復旦大學的無線校園網信號，進行Web瀏覽時會出現復旦大學的無線網絡接入認證頁。

在上海高校無線通的授權區域內搜索該學校無線網絡信號，自動連接后獲得IP地址。各個高校的無線區域、地址分配情況等，按各個高校提供的無線服務為準。在獲得IP地址之后，當首次訪問Internet時，各個高校的無線訪問會要求認證，在各個高校的W E B認證頁中會有高校無線通的圖標，點擊圖標即向無線通提出跨校使用無線的申請。

2. 第二步：跨校身份認證

點擊認證頁中的高校無線通圖標后，即已提出漫游申請，系統會顯示高校選擇頁。在高校列表中選擇漫游申請用戶所屬的高校后點擊“確定”按鈕，系統會定向到各個高校自己的認證頁面做認證。

在用戶所屬高校的認證頁上輸入自己高校身份認證的用戶名及密碼后點擊登錄，如果認證通過則成功接入，否則回到用戶所屬高校的認證頁。各個高校使用的認證賬戶由各個高校自身決定，用戶可以咨詢所屬高校的分管部門。

3. 第三步：完成無線接入

認證成功后，系統會批準該用戶的漫游請求，無線校園網提供單位會放行該用戶的漫游請求，用戶即可使用所在地的無線網絡訪問Internet。

如果用戶的瀏覽器窗口屏蔽了彈出窗口，則該頁面就不會顯示，但并不影響該用戶的正常使用。用戶在一段時間內不使用接入訪問的話，所在高校的無線接入會被自動斷開，如果要繼續使用，則重復第一步就可以了。

在網絡技術飛速發展，以及信息技術不斷進步的信息時代，越來越多的教學活動的開展和教學資源的使用都離不開網絡信息技術。尤其在高校，各類教學科研的交流活動日益增多，外校的師生用戶需要使用無線網絡的需求也在不斷增加。基于跨校認證的上海高校無線通的建設及應用就是依賴Shibboleth架構技術，充分利用上海市各高校已建和將建的無線系統，簡化跨校訪問認證流程, 提高網絡資源的使用效率，同時也保證了安全性。上海高校無線通使已實現跨校認證的各校師生在具備無線系統的他校學習、工作時可以方便地完成無線校園網的接入。

基于跨校認證的上海高校無線通的建設及應用，是整個上海教育信息化建設中實現高校間網絡互聯互通、資源共享的一小步。隨著高校教育信息化的推進，不斷豐富網上的共享資源、建設更多的跨校應用，才能更好地實現“跨校、協作、共享”的目標。

（作者單位為上海師范大學信息化辦公室）