基于Shibboleth架构的跨域身份认证研究与设计

论文摘要

信息技术的迅猛发展,特别是互联网技术的普及应用,使得网络上的教育资源共享变得越来越方便。教育发展的最终目标就是要实现教材资源的共享、课程互选、学分互认,科研合作,不同学科之间的交叉和融合等功能。不同域中高校、机构之间经常需要通过网络来安全的交换重要的资料和数据,所以建立在不同高校、不同机构之间进行的身份认证系统就变的很重要了。如何在此基础上实现不同认证系统的整合,最终实现跨域认证就成了目前研究的热点问题。从长远来看实现跨域认证能减少资源建设的重复投入,提高信息化建设的投入产出效率；资源的开放、共享,充分利用高校的学术资源,面向社会,服务大众,已经成为建设学习型城市的有效途径。目前,上海市各个高校有各自的身份认证系统,均实现了统一身份认证系统和单点澄录(SSO)功能,也为建设跨校统一身份认证服务奠定了较好的技术基础。但由于前期进行数字化校园建设时,各高校均未实践跨校统一身份认证服务的技术方案,只是部分考虑了相关需求,总的来说缺乏一个统一的标准,各高校均使用自己的身份数据模型和技术方案,其底层平台也是由不同的原厂商提供,提高了跨校统一身份认证服务设计、开发、实施的综合难度。本文在分析身份认证和单点登录(SSO)功能和要求的基础上,比较了四种不同的跨域身份认证技术,对基于Shibboleth的跨校认证框架进行了研究和设计。首先介绍了身份认证应用的发展,由最初用户名/密码的认证方式,到单点登录的需求,到后来跨校,跨域的网络资源的访问需求。其次提出跨域身份认证的概念,分析当前主流的四种跨域认证技术。从研究目标、认证过程、SAML标准、跨域SSO等四方面来比较研究这四种认证技术。提出本文重点研究的是基于Shibboleth架构的跨域身份认证。第三,通过将Shibboleth的IdP组件与各个学校的统一身份认证系统集成,将身份数据的管理和身份凭据的认证交给各个学校自身的统一身份认证系统。跨域认证中心只是作为跨域认证的索引,并不维护任何身份数据。详细介绍用户跨域认证的整个过程,认证策略的设计以及组件接口的设计和安装。

论文目录

摘要

ABSTRACT

第1章绪论

1.1 论文选题的背景及其研究意义

1.2 国内研究现状

1.3 国外研究现状

1.4 论文的主要工作

第2章跨域身份认证技术分析

2.1 身份认证运用的发展

2.2 跨域身份认证概述

2.3 Shibboleth中间件

2.4 Liberty联盟

2.5 WEB服务联邦语言（WS-Federation）

2.6 Diameter协议认证

2.7 协议的对比

第3章基于Shibbleth架构的跨域身份认证的设计

3.1 系统设计目标

3.2 逻辑框架设计

3.2.1 全域架构设计

3.2.2 单一高校内部的系统架构设计

3.3 跨域认证过程

3.3.1 用户未登录时访问高校B的资源（系统视角）

3.3.2 用户未登录时访问高校B资源（用户视角）

3.3.3 用户登录后继续访高校B的其他资源

3.3.4 用户登录后继续访问其他高校的资源（系统视角）

3.3.5 用户登录后继续访问其他高校的资源（用户视角）

3.4 组件接口的设计

3.4.1 服务提供者（SP）控制的组件

3.4.2 源组织使用的组件

3.4.3 资源系统使用的组件

第4章组件安装

4.1 IDP安装配置指南

4.1.1 Web容器配置

4.1.2 安装IdP组件

4.1.3 IDP服务的启停

4.1.4 配置认证方式

4.1.5 配置IdP认证支持的SP

4.1.6 IDP属性获取方式配置

4.1.7 IDP属性安全配置

4.1.8 注册IDP

4.2 SP安装配置指南

4.2.1 基础组件安装

4.2.2 配置Apache

4.2.3 配置SP保护路径

4.2.4 配置此SP使用DS

4.2.5 配置此SP支持的IdP认证

4.2.6 配置SP需要的属性

4.2.7 安装完成,重启shibd服务和httpd

4.2.8 注册SP

4.2.9 反向代理集成应用

4.2.10 登出SP

4.2.11 开发接口

4.3 WAYF安装配置指南

4.3.1 解压和安装

4.3.2 部署war

4.3.3 在DS上配置所有IdP和SP

4.3.4 测试和常见错误

第5章总结与展望

5.1 本文工作的总结

5.2 下一步工作展望

致谢

攻读硕士学位期间发表的学术论文

参考文献

基于Shibboleth架构的跨域身份认证研究与设计

论文摘要

论文目录

相关论文文献

猜你喜欢