Shibboleth系统在欧美资源共享联盟应用比较.docVIP

Shibboleth系统在欧美资源共享联盟应用比较 　　〔摘 要〕为了改善数字资源访问问题，美国Intelnet2开发的Shibboleth资源共享管理系统已渐渐被很多国家使用。本文研究分析Shibboleth的工作流程及优势，并对其在英国、美国、澳洲、以及瑞士四国资源共享联盟中的应用进行深入的比较。 　　〔关键词〕Shibboleth；图书馆联盟；资源共享；单点登陆 　　目前国内外图书馆访问数字资源时，使用的方法有：（1）在校园的IP范围内使用，这种方法出了校园就无法使用，目前国内大多数高校都使用这种方式；（2）在校内使用IP限制访问，在校外的使用proxy服务器，这种方式提供使用者与校内IP的虚拟连接，而有些数据库平台对proxy的设定存在技术上的问题，也有些资源无法透过proxy使用，会给使用者造成一些困扰；（3）使用虚拟专用网络（virtual private network），这种方式下，如果使用者要使用两个成员馆的资源，必须分别进行登录；（4）使用共用的密码（share passwords），这种方式容易泄露用户名密码，威胁资源的安全。针对资源访问存在的问题，美、英等国积极投入Shibboleth数字资源访问系统的研究与发展，Shibboleth服务提供者的信心建立在使用者所属的机构要有一个健全且及时更新的认证系统，这是因信任的需求而导致联盟管理的概念[1]。 　　1 Shibboleth系统 　　1.1 Shibboleth计划 　　Shibboleth的本来意思为准则、教条、行话，也可以译为口令，在本文中它表示一个针对SSO（Single Sign-on）的开源项目，是开始于2000年美国Internet2/mace的一个计划，由美国国家科学基金会（NSF）资助发展Shibboleth的架构、政策以及应用技术[2]。Shibboleth是一种依据SAML语言标准的开放源代码中介软件，以交换属性的方式提供跨机构之间的网页单一登陆。可用于校园内以及跨校园间的应用系统用户认证及Web资源共享。Shibboleth系统是以联盟的方式来运作，当用户以个人的方式访问网站上的资源时，能够以保护隐私的方式做确认性的授权决定。服务提供者不必再维护和管理账号和密码，使用者是以自己所属的角色来获取资源访问的授权。Shibboleth依赖机构来建立身份资料，提供使用者机构资料，并在服务端确认访问权利。 　　1.2 Shibboleth的工作流程 　　Shibboleth系统的工作流程如图1[3]所示。Shibboleth身份提供者的4个元素：（1）属性权威――AA（Attribute Authority）：表示母机构分发属性；（2）管理服务――HS（Handle Service）：使用者登入服务，当一个使用者被授权后，Shibboleth的区域单位就会产生一个临时的参照给使用者，这个参照就叫Handle；（3）目录服务――DS（Directory Service）[4]；（4）区域登陆系统――LSS（Local Sign-on System）。服务提供者的3个要素：（1）声明使用者服务――ACS（Assertion Consumer Service）：声明指出使用者所属机构，其中WAYF（Where Are You From）是中央服务，提供机构的名单和数字资源，由ACS执行；（2）属性请求人――AR（Attribute Requester）：使用者请求登录服务提供者提供的属性权威，属性权威根据属性释放政策给其分配使用属性，服务提供端根据使用属性来回应相应的存取控制权限[5]。图1 Shibboleth作业流程图 　　流程说明： 　　（1）使用者试图到SP端的应用服务器去存取Shibboleth系统保护的数字资源；（2、3、4）使用者被指引到Shibboleth系统的WAYF的中央服务，在那里使用者被指出其所属机构（IDP）；（5）使用者被指引到IDP端的管理服务端（HS）；（6、7）使用者在自己的IDP的使用区域的凭证来认证；（8）管理服务系统产生惟一的身份识别（Handle），并指引使用者到服务提供网站的声明使用者服务（ACS），使用者服务证实该提供的声明，产生一个历程（Session），然后将使用者转移到属性请求端（AR）。（9、10）属性请求人使用Handle从IDP端的属性权威（AA）去请求属性，属性权威根据属性释放出政策来回应属性声明；服务提供端使用属性来做存取控制及其他应用层级的决定。Shibboleth系统的认证授权机制又称为认证与授权的基础建设。 　　2012年12月第32卷第12期现？代？情？报Journal of Modern InformationDec，2012Vol32 No1220