基于Shibboleth架構(gòu)的跨域身份認(rèn)證研究與設(shè)計.pdf

1、信息技術(shù)的迅猛發(fā)展,特別是互聯(lián)網(wǎng)技術(shù)的普及應(yīng)用,使得網(wǎng)絡(luò)上的教育資源共享變得越來越方便。教育發(fā)展的最終目標(biāo)就是要實現(xiàn)教材資源的共享、課程互選、學(xué)分互認(rèn),科研合作,不同學(xué)科之間的交叉和融合等功能。不同域中高校、機構(gòu)之間經(jīng)常需要通過網(wǎng)絡(luò)來安全的交換重要的資料和數(shù)據(jù),所以建立在不同高校、不同機構(gòu)之間進(jìn)行的身份認(rèn)證系統(tǒng)就變的很重要了。
　　 如何在此基礎(chǔ)上實現(xiàn)不同認(rèn)證系統(tǒng)的整合,最終實現(xiàn)跨域認(rèn)證就成了目前研究的熱點問題。從長遠(yuǎn)來看實現(xiàn)跨

2、域認(rèn)證能減少資源建設(shè)的重復(fù)投入,提高信息化建設(shè)的投入產(chǎn)出效率；資源的開放、共享,充分利用高校的學(xué)術(shù)資源,面向社會,服務(wù)大眾,已經(jīng)成為建設(shè)學(xué)習(xí)型城市的有效途徑。
　　 目前,上海市各個高校有各自的身份認(rèn)證系統(tǒng),均實現(xiàn)了統(tǒng)一身份認(rèn)證系統(tǒng)和單點登錄(SSO)功能,也為建設(shè)跨校統(tǒng)一身份認(rèn)證服務(wù)奠定了較好的技術(shù)基礎(chǔ)。但由于前期進(jìn)行數(shù)字化校園建設(shè)時,各高校均未實踐跨校統(tǒng)一身份認(rèn)證服務(wù)的技術(shù)方案,只是部分考慮了相關(guān)需求,總的來說缺乏一個統(tǒng)一的

3、標(biāo)準(zhǔn),各高校均使用自己的身份數(shù)據(jù)模型和技術(shù)方案,其底層平臺也是由不同的原廠商提供,提高了跨校統(tǒng)一身份認(rèn)證服務(wù)設(shè)計、開發(fā)、實施的綜合難度。
　　 本文在分析身份認(rèn)證和單點登錄(SSO)功能和要求的基礎(chǔ)上,比較了四種不同的跨域身份認(rèn)證技術(shù),對基于Shibboleth的跨校認(rèn)證框架進(jìn)行了研究和設(shè)計。首先介紹了身份認(rèn)證應(yīng)用的發(fā)展,由最初用戶名/密碼的認(rèn)證方式,到單點登錄的需求,到后來跨校,跨域的網(wǎng)絡(luò)資源的訪問需求。
　　 其次提

4、出跨域身份認(rèn)證的概念,分析當(dāng)前主流的四種跨域認(rèn)證技術(shù)。從研究目標(biāo)、認(rèn)證過程、SAML標(biāo)準(zhǔn)、跨域SSO等四方面來比較研究這四種認(rèn)證技術(shù)。提出本文重點研究的是基于Shibboleth架構(gòu)的跨域身份認(rèn)證。
　　 第三,通過將Shibboleth的IdP組件與各個學(xué)校的統(tǒng)一身份認(rèn)證系統(tǒng)集成,將身份數(shù)據(jù)的管理和身份憑據(jù)的認(rèn)證交給各個學(xué)校自身的統(tǒng)一身份認(rèn)證系統(tǒng)?？缬蛘J(rèn)證中心只是作為跨域認(rèn)證的索引,并不維護(hù)任何身份數(shù)據(jù)。詳細(xì)介紹用戶跨域認(rèn)證的