黄燕

〔摘 要〕为了改善数字资源访问问题，美国Intelnet2开发的Shibboleth资源共享管理系统已渐渐被很多国家使用。本文研究分析Shibboleth的工作流程及优势，并对其在英国、美国、澳洲、以及瑞士四国资源共享联盟中的应用进行深入的比较。

〔关键词〕Shibboleth；图书馆联盟；资源共享；单点登陆

目前国内外图书馆访问数字资源时，使用的方法有：（1）在校园的IP范围内使用，这种方法出了校园就无法使用，目前国内大多数高校都使用这种方式；（2）在校内使用IP限制访问，在校外的使用proxy服务器，这种方式提供使用者与校内IP的虚拟连接，而有些数据库平台对proxy的设定存在技术上的问题，也有些资源无法透过proxy使用，会给使用者造成一些困扰；（3）使用虚拟专用网络（virtual private network），这种方式下，如果使用者要使用两个成员馆的资源，必须分别进行登录；（4）使用共用的密码（share passwords），这种方式容易泄露用户名密码，威胁资源的安全。针对资源访问存在的问题，美、英等国积极投入Shibboleth数字资源访问系统的研究与发展，Shibboleth服务提供者的信心建立在使用者所属的机构要有一个健全且及时更新的认证系统，这是因信任的需求而导致联盟管理的概念[1]。

1 Shibboleth系统

1.1 Shibboleth计划

Shibboleth的本来意思为准则、教条、行话，也可以译为口令，在本文中它表示一个针对SSO（Single Sign-on）的开源项目，是开始于2000年美国Internet2/mace的一个计划，由美国国家科学基金会（NSF）资助发展Shibboleth的架构、政策以及应用技术[2]。Shibboleth是一种依据SAML语言标准的开放源代码中介软件，以交换属性的方式提供跨机构之间的网页单一登陆。可用于校园内以及跨校园间的应用系统用户认证及Web资源共享。Shibboleth系统是以联盟的方式来运作，当用户以个人的方式访问网站上的资源时，能够以保护隐私的方式做确认性的授权决定。服务提供者不必再维护和管理账号和密码，使用者是以自己所属的角色来获取资源访问的授权。Shibboleth依赖机构来建立身份资料，提供使用者机构资料，并在服务端确认访问权利。

1.2 Shibboleth的工作流程

Shibboleth系统的工作流程如图1[3]所示。Shibboleth身份提供者的4个元素：（1）属性权威——AA（Attribute Authority）：表示母机构分发属性；（2）管理服务——HS（Handle Service）：使用者登入服务，当一个使用者被授权后，Shibboleth的区域单位就会产生一个临时的参照给使用者，这个参照就叫Handle；（3）目录服务——DS（Directory Service）[4]；（4）区域登陆系统——LSS（Local Sign-on System）。服务提供者的3个要素：（1）声明使用者服务——ACS（Assertion Consumer Service）：声明指出使用者所属机构，其中WAYF（Where Are You From）是中央服务，提供机构的名单和数字资源，由ACS执行；（2）属性请求人——AR（Attribute Requester）：使用者请求登录服务提供者提供的属性权威，属性权威根据属性释放政策给其分配使用属性，服务提供端根据使用属性来回应相应的存取控制权限[5]。图1 Shibboleth作业流程图

流程说明：

（1）使用者试图到SP端的应用服务器去存取Shibboleth系统保护的数字资源；（2、3、4）使用者被指引到Shibboleth系统的WAYF的中央服务，在那里使用者被指出其所属机构（IDP）；（5）使用者被指引到IDP端的管理服务端（HS）；（6、7）使用者在自己的IDP的使用区域的凭证来认证；（8）管理服务系统产生惟一的身份识别（Handle），并指引使用者到服务提供网站的声明使用者服务（ACS），使用者服务证实该提供的声明，产生一个历程（Session），然后将使用者转移到属性请求端（AR）。（9、10）属性请求人使用Handle从IDP端的属性权威（AA）去请求属性，属性权威根据属性释放出政策来回应属性声明；服务提供端使用属性来做存取控制及其他应用层级的决定。Shibboleth系统的认证授权机制又称为认证与授权的基础建设。

2012年12月第32卷第12期现？代？情？报Journal of Modern InformationDec，2012Vol32 No122012年12月第32卷第12期Shibboleth系统在欧美资源共享联盟的应用比较Dec，2012Vol.32 No122 Shibboleth系统的优势

目前数字资源存取的认证方式主要有两种：IP认证和用户名密码认证，这两种认证是当今运用的最为广泛的数字资源访问方式。IP认证的原理是在数字资源的服务器端的管理平台上添加允许访问的IP地址，当使用者访问数字资源时，数据库管理端会获取访问地址并与后台进行对比，如果对比成功，就授权使用者可以访问；如果对比失败，使用者就无法访问数字资源；用户名密码认证，这种方式是为使用者建立一个用户名和密码，当使用者登陆访问数字资源时，主网页会提示使用者输入用户名和密码，使用者输入确认后，数字资源平台会在后台进行对比，如果成功，就授权使用者可以访问，如果对比失败，使用者将无法访问。Shibboleth认证系统出现之后，超越了这两种认证方式，下面从安全性，灵活性，支持多数字资源访问性，地域局限性来进行比较，具体情况如表1。由此可以看出，Shibboleth系统更安全、便捷，无论在任何地方登陆都可以访问，在访问多个数字资源时，只1次登陆即可。另外，在国内，VPN是在校园外访问其内部数字资源主流方式， VPN技术可以将校园外的计算机的IP地址虚拟成机构或校园内的网络地址，以达到在校外访问校内资源的目的，但是这种方式有一定的缺陷，随着数据库平台的不断升级完善，协议的不断更新，有一些数字资源将无法访问成功，必须对VPN的硬件设备进行升级；对于图书馆联盟来说，VPN技术也有一定的局限，如果1个成员馆要访问其他成员馆的数字资源，必须在其他每一个成员馆都注册1个VPN账号，要登陆不同的域名地址，才能达到获取资源的目的，而使用Shibboleth认证系统，成员馆的读者只需要注册1个账户就可以在任何地方访问图书馆联盟中的所有数字资源。

表1 认证方式比较表

认证方式安全性便捷性是否支持多数字资源访问地域局限性IP认证很安全直接就访问，很方便支 持只能在允许的IP范围之内用户名密码认证不安全，用户名密码

容易被窃取每次访问，都要输入，

比较麻烦不支持，每个数字资源都要

设置一个用户名和密码任何网络终端均可Shibboleth系统认证有单独的认证系统，很安全单点登录，方便快捷支 持任何网络终端均可

3 Shibboleth系统在欧美资源存取联盟的应用

目前已有美国、澳洲、瑞士、英国等四国的存取联盟比较健全，分别为：美国In Common、英国UK Federation、瑞士SWITCH aai、澳洲Australian Access Federation，这4个联盟由国家层级主导经营发展，经费来源稳定，主要服务在高等教育以及研究机构，是目前运作稳定成功的4个国家的资源存取联盟。

3.1 各联盟组织运作情况

（1）In Common是LLC的单一会员，由联盟参与者组成公司以及由指导委员会管理，指导委员会由美国高等教育单位及公司等代表组成。联盟另设有技术咨询委员会，负责提供In Common有关技术方面的运作与管理建议，联盟由Internet2员工运作，包括业务及政策的执行、技术操作、身份确认以及支援In Common及联盟成员等工作；（2）英国联盟下设有咨询委员会和技术咨询小组，经费由英国联合资讯系统委员会提供，由其提名3名会员至咨询委员会并同意1个合聘主席。联盟由JANET（英国的教育与研究机构）来运作；（3）瑞士联盟下设有两个委员会：咨询委员会和操作委员会。前者负责策略方面，后者则较重执行方面。（4）澳洲设有执行委员会，执行委员会下设政策及管理小组、技术小组、营销及宣传小组。

3.2 各联盟的技术方面

Shibboleth目前的软件发展的经费主要来自于Intelnet2，部分由NSF资助；Shibboleth除了在学术联盟被使用之外，美国联邦政府的数字化认证系统也采用的Shibboleth；另外，Google以及微软也将计划Google Scholar以及微软的Card Space赋予Shibboleth的功能。

目前除英国少部分机构仍然采用Open Athens外，大都采用Shibboleth技术及SAML协议，Shibboleth技术的版本已发展到2X版，在安装上建议采用最新版本，以便在联盟之间可以互通；另外美国、英国以及澳洲都同意使用LDAP来建置使用者资料。使用者资料库的建设是整个Shibboleth系统的核心，建设前周详的设定属性规范是非常重要的；要决定每一事件应该包含哪些属性，哪些是不需要的属性，哪些是关键属性等。Eduperson及EduOrg是由美国Intelnet2 MACE-dir所发展及维护的；瑞士的Swiss Eduperson以及澳洲的AUEduperson都是由美国Intelnet2的Eduperson衍生发展来的。

基于Shibboleth系统的联盟凭证的签发有3种方式：（1）自签：身份提供者自行产生凭证，然后呈送给联盟，经联盟确认后将凭证资料加入系统后台资料库；（2）联盟签发；（3）联盟信任的凭证中心签发。当Shibboleth的实体互相沟通时，首先就会去验证使用者身份的凭证，可见凭证对IDP及SP的重要性。在安装Shibboleth的IDP及SP时就可以产生自签凭证并嵌入后台资料库。从四国联盟发展可以看出自签凭证以及凭证中心是一个趋势。一个成功的基于Shibboleth认证系统的资源共享联盟涉及的层面非常广泛，除了要有计算机软、硬件的支撑之外，还需要强大的管理政策和经费支持，所以周详合理的规划是资源共享联盟成功的关键。表2 联盟的技术协议

各联盟组织协议（Protocol）系统实作美国In CommonSAML；LDAPShibboleth英国UKFShibboleth13，正逐渐发展成Shibboleth21，任何与SAML相容的软件皆可；LDAP。大部分使用Shibboleth13或21版本及Open Athens。瑞士SWITCH aai仍使用Shibboleth13版本及SAML20版本约一半的IDP及SP采用Shibboleth13；另一半使用Shibboleth21澳洲AAFSAML11或SAML20；LDAP。Shibboleth13逐渐被淘汰；大部分的IDP及SP采用Shibboleth214 结束语

目前国内的区域性联盟正在蓬勃发展，陕西、重庆、吉林都在建设本区域的图书馆联盟来实现本区域的资源共享，全国性联盟也成立了很多如CALIS、CSDL、NSTL、CASHL等联盟，采用Shibboleth系统进行资源的存取认证，不但可以实现联盟内的资源共享，还可以实现联盟之间的数字资源的获取；由于Shibboleth系统有独立的使用者安全认证体系，提高了数字资源的安全性；没有绑定IP，使用者的访问没有了地域的局限性。希望Shibboleth系统能早日在我国资源共享联盟中得到广泛的运用，给使用者提供一个安全、便捷的资源获取环境。

参考文献

[1]Shibboleth[EB/OL].http：∥shibboleth.internet2.edu，2012-03-12.

[2]A project of the internet2 middleware initiative[EB/OL].http：∥shibboleth.internet2.edu，2010-08-12.

[3]Shibboleth Technical Introduction[EB/OL].http：∥shibboleth.internet2.edu/tech-intro.html，2007-07-13.

[4]李峰，郭晓军，于培民，等.企业门户应用整合中单点登录（SSO）的技术实现与应用[J].现代电子技术，2008，（23）：166-168.

[5]邱仕坦.基于SAML的校园联合身份认证的研究[J].福建电脑，2009，（11）：90-91.

（本文责任编辑：马 卓）