《基于Shibboleth可信数字化校园架构与研究》由会员分享,可在线阅读,更多相关《基于Shibboleth可信数字化校园架构与研究(6页珍藏版)》请在金锄头文库上搜索。
1、. .基于Shibboleth的可信数字化校园架构研究王怀烨作者简介:王怀烨1984-,男,上海松江人,硕士研究生,主要研究方向:计算机网络;沈富可1967-,男,山东莱西人,博士研究生,主要研究方向:计算机网络Email:wanghuaiyegmail ; fkshen,沈富可2华东师范大学 计算机科学技术系,上海 200241摘要:Shibboleth系统是一个在多组织的范围内实现单点登录的系统,它的特点是基于标准和开源。本文在介绍Shibboleth系统架构的根底上,在实验室环境下搭建了一个Shibboleth系统的实例。结合该实验实例以及Shibboleth系统的特点,试图从部署、单点
2、登录、访问控制和平安性四个方面实现基于Shibboleth系统的可信数字化校园架构。关键字:Shibboleth系统;单点登录;身份提供者;效劳提供者;效劳发现者The Research on Reliable Digital Campus Architecture based on ShibbolethWANG Huai-ye1, SHEN Fu-ke2Department of computer science and technology East China Normal University, Shanghai 200241【Abstract】The Shibboleth Syste
3、m is a standards based, open source software package for web single sign-on across or within organizational boundaries. Based on the introduction of Shibboleth systems architecture, a case of Shibboleth system was set up in the laboratorys environment. Combining this case with the characteristics of
4、 Shibboleth system, four aspects related to Reliable Digital Campus Architecture based on Shibboleth were be implemented, including deployment, single sign-on, access control and security.【Key words】Shibboleth system;single sign-on;identity provider;service provider;discovery service1 Shibboleth系统架构
5、1.1 概述Shibboleth系统是由 MACE(Middleware Architecture Committee for Education)领导开发的一个工程。其目的是开发一个基于标准的体系构造、策略框架及一套开源软件,以用于支持组织间的、需要访问控制的Web资源共享。Shibboleth系统从1998年开场开发,在2003年发布了1.0版,2008年3月发布了2.0版。1.2 Shibboleth系统组件Shibboleth系统由身份提供者identity provider,IdP、效劳提供者service provider,SP以及可选的效劳发现者discovery service
6、,DS所组成。1) IdPIdP主要负责用户的认证和用户属性的传递,并在SP生成认证请求时,生成认证应答,该应答连同用户属性将会被一起传递给SP。IdP本身并不存储用户信息,而依赖于目录效劳存储用户信息。2) SPSP主要负责管理被保护的资源,并根据IdP传递过来的认证应答和用户属性执行访问控制。3) DSDS主要负责IdP的发现,并在SP生成认证请求时,提供可以选择的IdP列表。它是一个可选择的组件。主要应用在多IdP的环境下。三者的交互流程1如图1所示:用户1效劳提供者资源身份提供者效劳发现者234567图 1 SP, IdP 与 DS的交互流程1) 用户访问被SP保护的资源2) SP生成
7、认证请求,并把用户重定向到DS3) 用户重定向到DS4) 用户选择IdP,认证请求被重定向到用户所选择的IdP5) 用户重定向到所选择的IdP进展认证6) IdP根据用户提供的信息生成认证应答7) SP根据收到的认证应答来进展访问控制2 Shibboleth系统实例的搭建 为了更好地了解和掌握Shibboleth系统,我们在实验室环境下搭建了一个Shibboleth系统的实例。该系统由两个IdP,两个SP以及一个DS构成。实验所用的Shibboleth系统版本为2.0版。2.1 实验环境1) IdP1操作系统:Windows XP SP2 域名: 环境:JDK5.0 Tomcat 5.5.26
8、 OpenLDAP2.2.29 表1 IdP1中目录效劳的条目uid用来唯一标识用户ou用户所属机构title用户身份ZhangHaiLIBAdminLiMingLIBUserLiuXinNICUser2) IdP2操作系统:Windows 2003 SP1域名: 环境:JDK5.0 Tomcat 5.5.26 Windows 2003自带的 ActiveDirectory 表2 IdP2中目录效劳的条目cn用来唯一标识用户ou用户所属机构title用户身份WangHaiCSAdminLiHongEDUUser3) SP1操作系统:Windows XP SP2 域名: 环境:IIS5.14)
9、SP2操作系统:Windows XP SP2 域名: 环境:IIS5.15) DS操作系统:Windows XP SP2 域名: 环境:JDK5.0 Tomcat 5.5.262.2 实例部署1) 下有一资源,URL为2) 下有一资源,URL为3) SP1与IdP1属于同一个组织ECNU LIB,他们的用户都注册在IdP1的目录效劳中,用户信息如表1所示。SP2与IdP2属于另一个组织ECNU DEP,他们的用户都注册在IdP2的Active Directory中,用户信息如表2所示。3 对基于Shibboleth的可信数字化校园架构的研究 通过上述实例的部署和运行,并结合Shibboleth
10、系统的特点,从以下四个方面对基于Shibboleth的可信数字化校园架构进展了研究和分析。3.1 部署3.1.1 安装基于Shibboleth的可信数字化校园架构中的所有组件都可以在Windows或者Linux平台下安装,但由于Shibboleth声明现阶段官方支持的Linux版本只有CentOS 4和5的32位或64位版本,实验中统一使用了Windows平台。IdP与DS的运行需要Java servlet 容器的支持,实验中所使用的servlet容器是Shibboleth官方推荐的Apache Tomcat。另外,IdP的运行还需要目录效劳的支持。IdP本身并不存储用户信息,而是需要借助外部
11、的目录效劳来进展存储。实验实例中的两个IdP分别使用了OpenLDAP和Active Directory。其中,OpenLDAP是跨平台的,可以在Linux和Windows平台下使用;Active Directory那么是Windows 2003自带的目录效劳。3.1.2 配置架构中各个组件的配置主要是依靠它们各自的配置文件和元数据文件2,它们都是XML格式的文件。配置文件主要用来配置组件本身的一些属性,而元数据文件并不描述组件本身的信息,而是用来描述Relying-Party的信息。Relying-Party在Shibboleth系统中代表可信方。举个例子来说,一个最简单的Shibbolet
12、h系统,只有一个IdP和一个SP, IdP凭什么响应SP生成的认证请求?SP凭什么信任IdP生成的认证应答?当SP和IdP互为Relying-Party时,即SP的元数据文件描述了IdP的相关信息,IdP的元数据文件描述了SP的相关信息,SP与IdP的信任关系就建立起来了,这也就组成了一个最小的可信联盟。配置文件采取本地载入的方式,元数据文件那么采取本地载入或远程载入两种方式,可以根据需要灵活配置载入方式。如果应用范围较小,比方实验实例中只涉及到两个SP和两个IdP,那么可以采取本地载入的方式来提高系统的响应速度。如果应用范围较大,比方一般的校园网都会涉及到多个院系和管理部门,那么可以采取远程
13、载入的方式,将元数据文件统一存放在一台效劳器上,方便集中管理。当然,为了增加系统的冗余性,一般都会采取同时配置本地和远程载入方式。3.2 单点登录随着数字化校园建立的不断深入,越来越多的效劳被数字化、网络化,我们完全可以在网上办理几乎所有与我们学习生活相关的业务,如收发邮件,维护个人信息,使用图书馆数字资源。在享受数字化校园所带来的便利的同时,我们也会经常遇到如下情况:去学校邮箱收发邮件,首先需要输入用户名和密码来进展登录。去学校公共数据库维护个人信息,也首先需要输入用户名和密码来进展登录。访问学校图书馆数字资源,还是需要首先输入用户名和密码来进展登录。使用不同的资源和效劳就需要一次额外的登录
14、,这显然与数字化校园所倡导的方便、快捷不相符合。单点登录的思想就是用户只需登录一次,就可以访问多个不同域的资源和效劳,无需再重复登录。微软的.NET Passport是一个比拟典型的单点登录系统,它通过建立中心效劳器,使用户拥有一个全网唯一的身份来实现单点登录。而Shibboleth系统那么使用分布式方式,在不同的IdP和SP之间通过联盟的方式建立信任关系,实现单点登录。以实验实例来说,IdP1和SP1属于一个组织ECNU LIB,IdP2和SP2属于另一个组织ECNU DEP,IdP1与IdP2的目录效劳中注册用户的交集为空集。IdP1和IdP2所加载的元数据文件必须包含SP1和SP2的相关信息,SP1和SP2所加载的元数据文件必须包含IdP1和IdP2的相关信息,DS所加载的元数据文件必须包含IdP1、IdP2、SP1和SP2的相关信息。这样,IdP1、IdP2、SP1、SP2、DS之间就建立起了一个包括五个实体的可信联盟3。以此类推,在基于Shibboleth的数字化校园架构中,每个IdP
