文/瞿雪萍 葛嘉敏 高偉勛

滬上大學：跨校無線全程游

文/瞿雪萍 葛嘉敏 高偉勛

上海市教委信息中心立項建設(shè)上海市高?？缧ＵJ證平臺，并在此基礎(chǔ)上啟動了對上海高校無線校園網(wǎng)資源共享共建的應用課題研究，并開始實現(xiàn)跨校無線網(wǎng)絡漫游接入。

無線網(wǎng)絡已經(jīng)成為高校校園網(wǎng)絡的重要組成部分。出于信息網(wǎng)絡安全管理的需要，在建和已建的高校無線校園網(wǎng)中，都會使用一些網(wǎng)絡安全接入管理機制，以確保用戶實名制登錄注冊，并限制未授權(quán)用戶的訪問?，F(xiàn)有的這種管理方式雖然滿足了校內(nèi)師生員工的使用，但對于外校來訪人員的使用就顯得非常不方便。

在信息技術(shù)高速發(fā)展的今天，大量科技和教育信息資源的使用都依賴于網(wǎng)絡平臺，而且校際間的交流和訪問日益頻繁。高校師生在其他高校訪學交流時，希望能夠使用該校無線資源的愿望越來越強烈。上海市教委信息中心為了解決此問題，于2007年立項建設(shè)上海市高?？缧ＵJ證平臺，并在此基礎(chǔ)上啟動了對上海高校無線校園網(wǎng)資源共享共建的應用課題研究。

無線通項目建設(shè)背景

上海各高校建設(shè)無線網(wǎng)絡的起步時間差距較大，有些高校已經(jīng)基本完成無線網(wǎng)絡的全校覆蓋，有些高校則剛開始著手建設(shè)；有些高校已經(jīng)完成了接入管理，有些則剛剛試探性地在部分區(qū)域開放接入試用。由于建設(shè)起步時間跨度較大，無線網(wǎng)絡接入技術(shù)的發(fā)展又十分迅速，許多早期建設(shè)的無線網(wǎng)絡使用胖AP設(shè)備，而新建設(shè)的無線網(wǎng)絡都使用瘦AP設(shè)備，對訪問控制、安全要求等的支持各不相同。使用的認證和控制設(shè)備廠商主要有Cisco、ARUBA、華為、H3C、城市熱點等。各個廠商對認證接口的支持也有差異性。

在接入認證方面，高校使用的各個廠商或集成商的應用方案中，大部分高校使用Web認證。即用戶首次使用網(wǎng)絡時會打開認證網(wǎng)頁，要求用戶輸入賬戶進行認證接入。但Web頁的后端認證方式。各個高校存在較大差異。主要有Radius認證、LDAP認證、數(shù)據(jù)庫認證等幾種方式，另外還有個別學校使用802.1x認證，即在用戶連接網(wǎng)絡時就要求用戶提供賬戶。這些差異性就給設(shè)計、開發(fā)和集成統(tǒng)一跨校認證帶來了難度，所需要的底層平臺必須兼容各個高校的主流認證構(gòu)架，同時還能支持跨校應用。

國外在跨機構(gòu)身份認證和授權(quán)方面的研究起步于2002年左右，影響較大的項目有Internet2的Shibboleth項目和Liberty聯(lián)盟計劃，二者都是遵循SAML(Security Assertion Markup Language)標準。Shibboleth項目始于2000年，由MACE小組提出，旨在解決擁有相對獨立身份認證系統(tǒng)組織之間的資源共享策略。Shibboleth系統(tǒng)發(fā)展至今，其構(gòu)架和原理已被國外多個組合和機構(gòu)所采用，上海教科網(wǎng)也在推進高校協(xié)作的過程中逐步建立了一個跨校認證平臺的試驗床，并在2008年成功部署。本應用就是基于此平臺。

無線通項目系統(tǒng)框架

1. 上海高校無線校園網(wǎng)建設(shè)現(xiàn)狀

據(jù)不完全統(tǒng)計，目前上海高校中的一般熱點區(qū)域均已建成了無線網(wǎng)絡。根據(jù)其建設(shè)方案的匯總歸類，無線校園網(wǎng)的整體方案可以歸結(jié)為“傳統(tǒng)AP+認證計費網(wǎng)關(guān)”的方式及“無線交換機”的方式，或兩種方式兼而有之。

傳統(tǒng)AP相當于有線網(wǎng)絡中的集線器，提供無線信號發(fā)射和接收的功能，可以對自身進行基本配置，如IP、SSID、基本安全設(shè)置等。傳統(tǒng)AP架構(gòu)的無線網(wǎng)絡中，都會在無線網(wǎng)絡的核心節(jié)點使用若干臺A C（Access Controller）設(shè)備作為計費、認證網(wǎng)關(guān)進行無線網(wǎng)絡用戶的安全認證。

無線交換機集中實現(xiàn)射頻監(jiān)控、數(shù)據(jù)流量管理、安全認證、QoS、接入控制、負載均衡，以及AP的控制管理等功能。AP只實現(xiàn)802.11的空口功能，完成無線電波收發(fā)任務。

這兩種架構(gòu)的無線網(wǎng)絡各有優(yōu)缺點，且為互補。有些學校是保留部分老的無線覆蓋項目，在新建的項目中使用更新的無線交換機技術(shù)建設(shè)，這樣能夠保護原有的投資。有些學校則根據(jù)單位面積的用戶數(shù)量或者重要性，有選擇地交替使用兩種無線模型。

2. 無線校園網(wǎng)用戶認證方式分析

在無線校園網(wǎng)建設(shè)中另一個重要的環(huán)節(jié)就是接入用戶認證的方式。經(jīng)過對上海十余所高校無線網(wǎng)絡接入認證情況的調(diào)研和總結(jié)，高校內(nèi)無線校園網(wǎng)絡認證的后端結(jié)構(gòu)大致有三個模式：多認證鏈路并存、輪詢認證、認證委托。

多認證鏈路并存是指同時存在多條無線鏈路，可按校區(qū)、行政、教學、宿舍等規(guī)則劃分，每條鏈路的認證是獨立的，有些鏈路建設(shè)較早，使用胖AP模式，有些鏈路是新建設(shè)的，使用瘦AP模式。雖然每條認證鏈路都是獨立的，但其認證源可能是同一個，或者不同鏈路使用不同認證源。如校中心LDAP、Radius服務、校數(shù)據(jù)中心、校郵箱POP3認證等。這樣既便于用戶的管理，又解決了不同時期建設(shè)的無線網(wǎng)絡的兼容問題。不同的認證鏈路可以受同一個總AC控制器控制，這樣能方便、策略地配置下發(fā)，實際的認證也可以靈活變動。

輪詢認證是指AC在收到用戶的認證信息后，按順序去多個認證源檢查用戶的認證信息，只要有一個認證源通過認證即放行該用戶。例如用戶接入無線網(wǎng)絡并輸入認證信息后，AC控制器會先在校LDAP上認證用戶賬戶，若沒有通過認證再到校數(shù)據(jù)中心檢查，然后再依次到Radius服務、郵箱POP3、訪客系統(tǒng)等認證源中進行檢查，AC控制器可能會有級聯(lián)，每個AC可能會到不同的認證源認證，只要有一個認證源通過，所有AC都會放行。該認證模式的用戶管理較靈活，適應高校內(nèi)用戶賬戶數(shù)據(jù)分散的現(xiàn)狀。此外有些高校建立了認證中心或統(tǒng)一身份認證來完成輪詢的各步驟。

認證委托是指將認證委托給其他系統(tǒng)，如校信息門戶、校統(tǒng)一身份認證、校認證中心等。無線網(wǎng)絡接入認證時將頁面重定向到委托的認證系統(tǒng)，然后等待接受其他系統(tǒng)的認證結(jié)果，通過認證后放行。

3. 上海高校無線通系統(tǒng)架構(gòu)

在設(shè)計上海高校無線通方案之前，首先對跨校認證做一個簡單理解并對Shibboleth在上海高校無線通跨域認證中的作用作一個定位。

跨校身份認證是使用聯(lián)盟式管理，一個資源系統(tǒng)把用戶的身份和屬性管理留給用戶的源組織處理，同時源組織負責向資源系統(tǒng)提供所需要的用戶屬性。當一個用戶嘗試訪問某一資源系統(tǒng)時，資源系統(tǒng)根據(jù)源組織所提供的屬性做出訪問控制的決定。由此，用戶僅需要在它的源組織中進行注冊而不需要在每個資源系統(tǒng)中注冊。

Shibboleth系統(tǒng)可以實現(xiàn)跨認證域的構(gòu)成。Shibboleth是基于SAML規(guī)范的支持聯(lián)合身份管理的信任引擎中間件。Shibboleth包含三大部分組件：標識提供者I d P（Identity Provider），服務提供者SP（Service Provider），可選的WAYF（Where Are You From）服務。Shibboleth提供跨域的單點登錄，并采用基于屬性的授權(quán)框架對用戶的請求進行授權(quán)。使用Shibboleth信任引擎中間件，能夠簡化跨校認證中身份認證的流程，同時做到安全，高效。

圖 1 WAYF跨校身份認證模型

圖 2 上海高校無線通系統(tǒng)架構(gòu)總體設(shè)計

跨校身份認證模型的核心功能就是把用戶與資源在認證和授權(quán)的過程中所需要使用的三個基本交互緊緊地聯(lián)系起來。這三個基本交互是：

1. 用戶認證，由用戶的源組織實現(xiàn)；

2. 訪問請求；

3. 把授權(quán)屬性從源組織發(fā)送到被訪問的資源系統(tǒng)，傳輸?shù)皆L問控制管理者的授權(quán)屬性集合必須是可配置和擴展的，這取決于被訪問的資源系統(tǒng)的需要。

在這個模型中，當接收到用戶源組織的認證確認和授權(quán)屬性之后，代表資源主利益的訪問控制管理者能夠做出同意還是拒絕用戶訪問資源的決定。

經(jīng)過多年的發(fā)展，作為解決跨機構(gòu)資源共享，的中間件，Shibboleth系統(tǒng)已經(jīng)在高等教育領(lǐng)域得到了廣泛認可，并在比較大的范圍內(nèi)得到了部署。因此在設(shè)計上海高校無線通方案時采用了Shibboleth技術(shù)。

上海高校無線通系統(tǒng)分為三個層次，第一層為平臺層，第二層為系統(tǒng)管理層，第三層為用戶接入層。其中，第一層是由各高校IdP服務器以及由教委或其他聯(lián)盟組織設(shè)立的WAYF服務器構(gòu)成的高?？缧ＵJ證平臺，該平臺主要提供用戶源地址認證的功能。第二層是各高校所提供的無線校園網(wǎng)資源組成的無線資源SP，該SP由教委或其他聯(lián)盟組織進行統(tǒng)一管理。根據(jù)實際部署情況也可在單獨的高校設(shè)立無線資源SP管理結(jié)點。這一層完成的主要功能是對于參與認證聯(lián)盟的各成員高校進行管理，同時為各高校設(shè)立無線網(wǎng)絡管理員，由管理員負責對該校參與共享的AC進行管理。第三層的用戶接入層將根據(jù)不同的用戶接入方式和不同的用戶類型完成對用戶認證請求的處理。

平臺層中跨校身份認證使用聯(lián)盟式管理，服務提供者把用戶的身份和屬性管理留給用戶的源組織處理，同時源組織負責向服務提供者提供所需要的用戶屬性。當用戶嘗試訪問某一服務提供者時，服務提供者根據(jù)源組織所提供的屬性做出訪問控制的決定?；赪AYF架構(gòu)模式的組網(wǎng)結(jié)構(gòu)，如圖3所示，跨校認證過程:

1. 高校D的用戶在高校A使用無線網(wǎng)絡，A校的無線網(wǎng)絡即為服務提供者SP；

2. 高校A的SP將用戶的上網(wǎng)請求發(fā)送到上海高校無線通系統(tǒng)的WAYF服務；

3. 上海高校無線通認證的WAYF服務要求用戶選擇其所屬學校；

4. 用戶選擇自己所屬的學校（高校D），將信息發(fā)送給WAYF服務；

5. WAYF服務將根據(jù)用戶所選的學校，將用戶重定向到高校D的身份提供者；

6. 高校D的身份提供者要求用戶輸入信息進行身份認證；

7. 用戶向高校D的身份提供者提交自己的認證信息；

8. 高校D的身份提供者對用戶提供的認證信息進行驗證，并把驗證信息反饋給高校A的服務提供者；

9. 高校A的服務提供者收到高校D身份提供者傳來的用戶信息后,根據(jù)預先定義的策略對用戶權(quán)限進行檢查, 如果用戶有權(quán)限訪問, 則將允許用戶使用無線網(wǎng)絡服務。

圖3 跨校認證過程

應用情況

2010年，上海市教委信息中心分別選取復旦大學、華東師范大學、華東理工大學、上海大學、上海師范大學、立信會計學院、上海外國語大學、上海財經(jīng)大學、上海學生事務中心、第二工業(yè)大學、松江大學城公共區(qū)域等十多個教育單位進行了本系統(tǒng)的部署試驗。本系統(tǒng)自2010年初開始部署，截至2012年3月已為參加上海教科研跨校協(xié)作平臺的19個高校提供了超過187000人次的使用，取得了很好的應用效果。

下面我們以一個應用場景為例介紹一下該系統(tǒng)的用戶使用過程。某日，一位上海師范大學的教師因進修到復旦大學學習，當他想使用筆記本上網(wǎng)查詢資料時，就可以通過高校無線通來完成復旦無線校園網(wǎng)的接入。

1. 第一步：漫游接入申請

搜索并連接復旦大學的無線校園網(wǎng)信號，進行Web瀏覽時會出現(xiàn)復旦大學的無線網(wǎng)絡接入認證頁。

在上海高校無線通的授權(quán)區(qū)域內(nèi)搜索該學校無線網(wǎng)絡信號，自動連接后獲得IP地址。各個高校的無線區(qū)域、地址分配情況等，按各個高校提供的無線服務為準。在獲得IP地址之后，當首次訪問Internet時，各個高校的無線訪問會要求認證，在各個高校的W E B認證頁中會有高校無線通的圖標，點擊圖標即向無線通提出跨校使用無線的申請。

2. 第二步：跨校身份認證

點擊認證頁中的高校無線通圖標后，即已提出漫游申請，系統(tǒng)會顯示高校選擇頁。在高校列表中選擇漫游申請用戶所屬的高校后點擊“確定”按鈕，系統(tǒng)會定向到各個高校自己的認證頁面做認證。

在用戶所屬高校的認證頁上輸入自己高校身份認證的用戶名及密碼后點擊登錄，如果認證通過則成功接入，否則回到用戶所屬高校的認證頁。各個高校使用的認證賬戶由各個高校自身決定，用戶可以咨詢所屬高校的分管部門。

3. 第三步：完成無線接入

認證成功后，系統(tǒng)會批準該用戶的漫游請求，無線校園網(wǎng)提供單位會放行該用戶的漫游請求，用戶即可使用所在地的無線網(wǎng)絡訪問Internet。

如果用戶的瀏覽器窗口屏蔽了彈出窗口，則該頁面就不會顯示，但并不影響該用戶的正常使用。用戶在一段時間內(nèi)不使用接入訪問的話，所在高校的無線接入會被自動斷開，如果要繼續(xù)使用，則重復第一步就可以了。

在網(wǎng)絡技術(shù)飛速發(fā)展，以及信息技術(shù)不斷進步的信息時代，越來越多的教學活動的開展和教學資源的使用都離不開網(wǎng)絡信息技術(shù)。尤其在高校，各類教學科研的交流活動日益增多，外校的師生用戶需要使用無線網(wǎng)絡的需求也在不斷增加?；诳缧ＵJ證的上海高校無線通的建設(shè)及應用就是依賴Shibboleth架構(gòu)技術(shù)，充分利用上海市各高校已建和將建的無線系統(tǒng)，簡化跨校訪問認證流程, 提高網(wǎng)絡資源的使用效率，同時也保證了安全性。上海高校無線通使已實現(xiàn)跨校認證的各校師生在具備無線系統(tǒng)的他校學習、工作時可以方便地完成無線校園網(wǎng)的接入。

基于跨校認證的上海高校無線通的建設(shè)及應用，是整個上海教育信息化建設(shè)中實現(xiàn)高校間網(wǎng)絡互聯(lián)互通、資源共享的一小步。隨著高校教育信息化的推進，不斷豐富網(wǎng)上的共享資源、建設(shè)更多的跨校應用，才能更好地實現(xiàn)“跨校、協(xié)作、共享”的目標。

（作者單位為上海師范大學信息化辦公室）