文/瞿雪萍 葛嘉敏 高伟勋

沪上大学：跨校无线全程游

文/瞿雪萍 葛嘉敏 高伟勋

上海市教委信息中心立项建设上海市高校跨校认证平台，并在此基础上启动了对上海高校无线校园网资源共享共建的应用课题研究，并开始实现跨校无线网络漫游接入。

无线网络已经成为高校校园网络的重要组成部分。出于信息网络安全管理的需要，在建和已建的高校无线校园网中，都会使用一些网络安全接入管理机制，以确保用户实名制登录注册，并限制未授权用户的访问。现有的这种管理方式虽然满足了校内师生员工的使用，但对于外校来访人员的使用就显得非常不方便。

在信息技术高速发展的今天，大量科技和教育信息资源的使用都依赖于网络平台，而且校际间的交流和访问日益频繁。高校师生在其他高校访学交流时，希望能够使用该校无线资源的愿望越来越强烈。上海市教委信息中心为了解决此问题，于2007年立项建设上海市高校跨校认证平台，并在此基础上启动了对上海高校无线校园网资源共享共建的应用课题研究。

无线通项目建设背景

上海各高校建设无线网络的起步时间差距较大，有些高校已经基本完成无线网络的全校覆盖，有些高校则刚开始着手建设；有些高校已经完成了接入管理，有些则刚刚试探性地在部分区域开放接入试用。由于建设起步时间跨度较大，无线网络接入技术的发展又十分迅速，许多早期建设的无线网络使用胖AP设备，而新建设的无线网络都使用瘦AP设备，对访问控制、安全要求等的支持各不相同。使用的认证和控制设备厂商主要有Cisco、ARUBA、华为、H3C、城市热点等。各个厂商对认证接口的支持也有差异性。

在接入认证方面，高校使用的各个厂商或集成商的应用方案中，大部分高校使用Web认证。即用户首次使用网络时会打开认证网页，要求用户输入账户进行认证接入。但Web页的后端认证方式。各个高校存在较大差异。主要有Radius认证、LDAP认证、数据库认证等几种方式，另外还有个别学校使用802.1x认证，即在用户连接网络时就要求用户提供账户。这些差异性就给设计、开发和集成统一跨校认证带来了难度，所需要的底层平台必须兼容各个高校的主流认证构架，同时还能支持跨校应用。

国外在跨机构身份认证和授权方面的研究起步于2002年左右，影响较大的项目有Internet2的Shibboleth项目和Liberty联盟计划，二者都是遵循SAML(Security Assertion Markup Language)标准。Shibboleth项目始于2000年，由MACE小组提出，旨在解决拥有相对独立身份认证系统组织之间的资源共享策略。Shibboleth系统发展至今，其构架和原理已被国外多个组合和机构所采用，上海教科网也在推进高校协作的过程中逐步建立了一个跨校认证平台的试验床，并在2008年成功部署。本应用就是基于此平台。

无线通项目系统框架

1. 上海高校无线校园网建设现状

据不完全统计，目前上海高校中的一般热点区域均已建成了无线网络。根据其建设方案的汇总归类，无线校园网的整体方案可以归结为“传统AP+认证计费网关”的方式及“无线交换机”的方式，或两种方式兼而有之。

传统AP相当于有线网络中的集线器，提供无线信号发射和接收的功能，可以对自身进行基本配置，如IP、SSID、基本安全设置等。传统AP架构的无线网络中，都会在无线网络的核心节点使用若干台A C（Access Controller）设备作为计费、认证网关进行无线网络用户的安全认证。

无线交换机集中实现射频监控、数据流量管理、安全认证、QoS、接入控制、负载均衡，以及AP的控制管理等功能。AP只实现802.11的空口功能，完成无线电波收发任务。

这两种架构的无线网络各有优缺点，且为互补。有些学校是保留部分老的无线覆盖项目，在新建的项目中使用更新的无线交换机技术建设，这样能够保护原有的投资。有些学校则根据单位面积的用户数量或者重要性，有选择地交替使用两种无线模型。

2. 无线校园网用户认证方式分析

在无线校园网建设中另一个重要的环节就是接入用户认证的方式。经过对上海十余所高校无线网络接入认证情况的调研和总结，高校内无线校园网络认证的后端结构大致有三个模式：多认证链路并存、轮询认证、认证委托。

多认证链路并存是指同时存在多条无线链路，可按校区、行政、教学、宿舍等规则划分，每条链路的认证是独立的，有些链路建设较早，使用胖AP模式，有些链路是新建设的，使用瘦AP模式。虽然每条认证链路都是独立的，但其认证源可能是同一个，或者不同链路使用不同认证源。如校中心LDAP、Radius服务、校数据中心、校邮箱POP3认证等。这样既便于用户的管理，又解决了不同时期建设的无线网络的兼容问题。不同的认证链路可以受同一个总AC控制器控制，这样能方便、策略地配置下发，实际的认证也可以灵活变动。

轮询认证是指AC在收到用户的认证信息后，按顺序去多个认证源检查用户的认证信息，只要有一个认证源通过认证即放行该用户。例如用户接入无线网络并输入认证信息后，AC控制器会先在校LDAP上认证用户账户，若没有通过认证再到校数据中心检查，然后再依次到Radius服务、邮箱POP3、访客系统等认证源中进行检查，AC控制器可能会有级联，每个AC可能会到不同的认证源认证，只要有一个认证源通过，所有AC都会放行。该认证模式的用户管理较灵活，适应高校内用户账户数据分散的现状。此外有些高校建立了认证中心或统一身份认证来完成轮询的各步骤。

认证委托是指将认证委托给其他系统，如校信息门户、校统一身份认证、校认证中心等。无线网络接入认证时将页面重定向到委托的认证系统，然后等待接受其他系统的认证结果，通过认证后放行。

3. 上海高校无线通系统架构

在设计上海高校无线通方案之前，首先对跨校认证做一个简单理解并对Shibboleth在上海高校无线通跨域认证中的作用作一个定位。

跨校身份认证是使用联盟式管理，一个资源系统把用户的身份和属性管理留给用户的源组织处理，同时源组织负责向资源系统提供所需要的用户属性。当一个用户尝试访问某一资源系统时，资源系统根据源组织所提供的属性做出访问控制的决定。由此，用户仅需要在它的源组织中进行注册而不需要在每个资源系统中注册。

Shibboleth系统可以实现跨认证域的构成。Shibboleth是基于SAML规范的支持联合身份管理的信任引擎中间件。Shibboleth包含三大部分组件：标识提供者I d P（Identity Provider），服务提供者SP（Service Provider），可选的WAYF（Where Are You From）服务。Shibboleth提供跨域的单点登录，并采用基于属性的授权框架对用户的请求进行授权。使用Shibboleth信任引擎中间件，能够简化跨校认证中身份认证的流程，同时做到安全，高效。

图 1 WAYF跨校身份认证模型

图 2 上海高校无线通系统架构总体设计

跨校身份认证模型的核心功能就是把用户与资源在认证和授权的过程中所需要使用的三个基本交互紧紧地联系起来。这三个基本交互是：

1. 用户认证，由用户的源组织实现；

2. 访问请求；

3. 把授权属性从源组织发送到被访问的资源系统，传输到访问控制管理者的授权属性集合必须是可配置和扩展的，这取决于被访问的资源系统的需要。

在这个模型中，当接收到用户源组织的认证确认和授权属性之后，代表资源主利益的访问控制管理者能够做出同意还是拒绝用户访问资源的决定。

经过多年的发展，作为解决跨机构资源共享，的中间件，Shibboleth系统已经在高等教育领域得到了广泛认可，并在比较大的范围内得到了部署。因此在设计上海高校无线通方案时采用了Shibboleth技术。

上海高校无线通系统分为三个层次，第一层为平台层，第二层为系统管理层，第三层为用户接入层。其中，第一层是由各高校IdP服务器以及由教委或其他联盟组织设立的WAYF服务器构成的高校跨校认证平台，该平台主要提供用户源地址认证的功能。第二层是各高校所提供的无线校园网资源组成的无线资源SP，该SP由教委或其他联盟组织进行统一管理。根据实际部署情况也可在单独的高校设立无线资源SP管理结点。这一层完成的主要功能是对于参与认证联盟的各成员高校进行管理，同时为各高校设立无线网络管理员，由管理员负责对该校参与共享的AC进行管理。第三层的用户接入层将根据不同的用户接入方式和不同的用户类型完成对用户认证请求的处理。

平台层中跨校身份认证使用联盟式管理，服务提供者把用户的身份和属性管理留给用户的源组织处理，同时源组织负责向服务提供者提供所需要的用户属性。当用户尝试访问某一服务提供者时，服务提供者根据源组织所提供的属性做出访问控制的决定。基于WAYF架构模式的组网结构，如图3所示，跨校认证过程:

1. 高校D的用户在高校A使用无线网络，A校的无线网络即为服务提供者SP；

2. 高校A的SP将用户的上网请求发送到上海高校无线通系统的WAYF服务；

3. 上海高校无线通认证的WAYF服务要求用户选择其所属学校；

4. 用户选择自己所属的学校（高校D），将信息发送给WAYF服务；

5. WAYF服务将根据用户所选的学校，将用户重定向到高校D的身份提供者；

6. 高校D的身份提供者要求用户输入信息进行身份认证；

7. 用户向高校D的身份提供者提交自己的认证信息；

8. 高校D的身份提供者对用户提供的认证信息进行验证，并把验证信息反馈给高校A的服务提供者；

9. 高校A的服务提供者收到高校D身份提供者传来的用户信息后,根据预先定义的策略对用户权限进行检查, 如果用户有权限访问, 则将允许用户使用无线网络服务。

图3 跨校认证过程

应用情况

2010年，上海市教委信息中心分别选取复旦大学、华东师范大学、华东理工大学、上海大学、上海师范大学、立信会计学院、上海外国语大学、上海财经大学、上海学生事务中心、第二工业大学、松江大学城公共区域等十多个教育单位进行了本系统的部署试验。本系统自2010年初开始部署，截至2012年3月已为参加上海教科研跨校协作平台的19个高校提供了超过187000人次的使用，取得了很好的应用效果。

下面我们以一个应用场景为例介绍一下该系统的用户使用过程。某日，一位上海师范大学的教师因进修到复旦大学学习，当他想使用笔记本上网查询资料时，就可以通过高校无线通来完成复旦无线校园网的接入。

1. 第一步：漫游接入申请

搜索并连接复旦大学的无线校园网信号，进行Web浏览时会出现复旦大学的无线网络接入认证页。

在上海高校无线通的授权区域内搜索该学校无线网络信号，自动连接后获得IP地址。各个高校的无线区域、地址分配情况等，按各个高校提供的无线服务为准。在获得IP地址之后，当首次访问Internet时，各个高校的无线访问会要求认证，在各个高校的W E B认证页中会有高校无线通的图标，点击图标即向无线通提出跨校使用无线的申请。

2. 第二步：跨校身份认证

点击认证页中的高校无线通图标后，即已提出漫游申请，系统会显示高校选择页。在高校列表中选择漫游申请用户所属的高校后点击“确定”按钮，系统会定向到各个高校自己的认证页面做认证。

在用户所属高校的认证页上输入自己高校身份认证的用户名及密码后点击登录，如果认证通过则成功接入，否则回到用户所属高校的认证页。各个高校使用的认证账户由各个高校自身决定，用户可以咨询所属高校的分管部门。

3. 第三步：完成无线接入

认证成功后，系统会批准该用户的漫游请求，无线校园网提供单位会放行该用户的漫游请求，用户即可使用所在地的无线网络访问Internet。

如果用户的浏览器窗口屏蔽了弹出窗口，则该页面就不会显示，但并不影响该用户的正常使用。用户在一段时间内不使用接入访问的话，所在高校的无线接入会被自动断开，如果要继续使用，则重复第一步就可以了。

在网络技术飞速发展，以及信息技术不断进步的信息时代，越来越多的教学活动的开展和教学资源的使用都离不开网络信息技术。尤其在高校，各类教学科研的交流活动日益增多，外校的师生用户需要使用无线网络的需求也在不断增加。基于跨校认证的上海高校无线通的建设及应用就是依赖Shibboleth架构技术，充分利用上海市各高校已建和将建的无线系统，简化跨校访问认证流程, 提高网络资源的使用效率，同时也保证了安全性。上海高校无线通使已实现跨校认证的各校师生在具备无线系统的他校学习、工作时可以方便地完成无线校园网的接入。

基于跨校认证的上海高校无线通的建设及应用，是整个上海教育信息化建设中实现高校间网络互联互通、资源共享的一小步。随着高校教育信息化的推进，不断丰富网上的共享资源、建设更多的跨校应用，才能更好地实现“跨校、协作、共享”的目标。

（作者单位为上海师范大学信息化办公室）