基于CARSI平台构建统一认证和资源共享服务

◆刘占文 李瑞山

基于CARSI平台构建统一认证和资源共享服务

◆刘占文 李瑞山

（沈阳农业大学 信息中心 辽宁 110866）

本文分析了当前高校普遍使用的认证和资源共享模式，尤其以图书馆电子资源数据库认证共享模式为例进行了分析；详细阐述了基于Shibboleth中间件建设的CARSI平台实现原理；然后分别从系统对接、属性释放、系统安全等方面详细介绍了CARSI平台部署的难点和解决办法；结合学校师生使用情况，从SP接入和短网址等角度对系统进行了优化；最后介绍了平台整体运行情况和效果。

CARSI；Shibboleth；认证

目前，随着高校智慧校园建设不断深入发展，学校统一身份认证系统与校内外各类信息服务对接认证和共享资源成为常态。本文以沈阳农业大学基于CARSI平台构建的认证系统和资源共享服务平台为例，该系统目前服务于全校2万名师生，对接了12家国内外服务提供商，每日提供约1500余人次认证，使用人数增长趋势明显，系统运行安全稳定。本文介绍了以基于Shibboleth中间件建设的CARSI平台的原理、部署、调试和优化，为其他高校信息化建设提供参考。

1 传统认证共享模式

当前，国内多数高校都在进行智慧校园建设，身份认证是智慧校园建设的基础组成部分。身份认证形式也是多样化的，比如基于统一认证系统的LDAP、CAS，或基于学校校园网络IP地址/电子邮箱地址，或基于学校微信/QQ等公众平台，或基于生物特征的指纹识别、人脸识别等等。

但是，多数高校的统一身份认证仅限应用于学校自有的信息系统的对接，对于校外的服务，多数采取粗放形式的认证，认证手段往往体验不佳，不能精细化的管理，还存在手工交换数据的方式，存在信息安全风险。甚至有一些校外服务厂商要求师生提供证件照片和信息进行身份鉴别和审核，导致师生个人信息具有严重的泄露风险和安全隐患。

以学校图书馆电子资源数据库校外访问为例：

学校购买的电子资源数据库大都以学校的IP地址为主要的认证依据，师生必须使用学校IP地址才能访问电子资源，学校变更IP地址必须及时通知服务商；一些高校校园网出口采用NAT地址转换技术，全校电脑终端对外访问使用有限的几个IP地址，经常被服务商认定为非法下载，封禁IP地址，造成短时间大量用户无法访问；VPN代理模式虽然解决了校外访问问题，但账号借用、滥用导致信息安全问题日益增多，校园内网不再安全；用户终端的多样化，造成了VPN代理的兼容性差；学校难于对电子资源服务商的访问进行统计和分析，缺少采购决策和建议。

2 CARSI平台原理分析

CARSI是中国教育科研计算机网统一认证与资源共享基础设施（CERNET Authentication and Resource Sharing Infrastructure），2008年由北京大学计算中心发起建设，2019年正式成为eduGAIN会员。CARSI是在国内高校已经普遍建设完成的校园网统一用户管理和身份认证系统基础上，面向中国高校和科研机构提供跨域身份认证和资源共享服务。

CARSI基于美国下一代互联网组织Internet2 主导的Shibboleth中间件建设，该中间件被国际上国家级教育科研网NREN（National Research and Education Network）普遍采用。Shibboleth是一种基于标准的开源软件包，可用于跨组织边界或在组织边界内进行SSO（Single Sign On）单点登录，实现资源的授权访问。Shibboleth主要使用SAML（Security Assertion Markup Language）联合身份标准，并实现联合的单点登录和属性交换框架。通过Shibboleth软件，身份提供者IdP（Identity Provider）提供必要的属性信息给服务提供者SP（Service Provider），以便服务提供者启用资源访问授权。

图1 Shibboleth信息交互示意图

Shibboleth基本工作原理如图1所示：

① User访问SP提供的需要授权访问的资源。

② SP提出身份验证请求，并发送到用户的IdP。

③ IdP向User推送身份验证请求。

④ User提供身份验证信息，提交至IdP。

⑤ IdP验证User通过后，携带用户属性信息至SP。

⑥ SP授权访问资源。

Shibboleth的metadata元数据文件提供了每个IdP或SP的详细信息，包括互联网网址、签名、联系人、联系方式等等。IdP与SP之间通过彼此识别、验证metadata元数据才能完成相互通信。CARSI联盟提供了加入其联盟的所有IdP和SP的metadata元数据，并将该文件在联盟成员之间实现实时共享。联盟内成员在更改其元数据时不需要联系每个成员，而只需将其提供给CARSI审核验证。

3 平台部署与建设

3.1 认证系统的对接

从学校信息化规划角度来看，学校的IdP服务是学校现有认证系统的延伸和扩展，所以IdP一般应基于学校的统一身份认证系统构建。对接成功后，用户的增删改都在统一身份认证系统内进行，保证了学校数据的权威性；学校用户只需记忆一套账号密码，提高了用户的便捷性。

CARSI提供了标准的虚拟机镜像文件，这使得部署平台系统变得非常的容易。IdP服务需要从学校认证系统中提取用户ID、用户身份等多个字段信息。IdP服务支持多种认证数据的对接，常用的本地认证方式有LDAP、CAS和OAuth2。多数高校统一身份认证系统是支持LDAP和CAS认证的，文档较多，容易配置。对于尚未建设认证系统的学校来说，可直接搭建LDAP服务，导入学校师生认证数据，支撑IdP服务建设。

3.2 IdP属性的释放

IdP和SP之间属性传递是CARSI联盟区分用户身份认证方和用户身份使用方、在应用系统资源中实现基于用户的访问控制的技术基础。每个SP都想获得尽量多的用户数据，如图2所示，那么释放哪些属性，怎么保护用户隐私，是一个值得思考的问题。根据“CARSI资源共享服务属性要求”，CARSI IdP目前需要定义四个属性，分别是eduPersonScopedAffiliation、eduPersonTargetedID、eduPersonEntitlement、eduPersonPrincipalName，可根据SP实际需求，酌情释放前三个属性。eduPersonPrincipalName是一个带有学号或者工号的用户身份属性，信息比较敏感；此属性值可经IdP加密后，生成可读性不强，能唯一标识用户身份的eduPersonTargetedID属性，释放给SP，实现在保护用户隐私的前提下支持SP区分用户。

图2 释放属性与保护隐私示意图

3.3 数据安全

通常情况下，Shibboleth会话基于cookie，因此建议在所有IdP和SP的系统上部署使用SSL技术，保障信息传输安全。SSL数字证书能实现网站HTTPS化，加密用户与服务器之间的交互访问，防劫持、防篡改、防监听。采用通配符SSL证书可以保护同一主域名下同一级所有的子域名，不限个数，性价比较高。

由于采用了https协议传输数据，传统方式部署WAF设备，分析拦截功能受到限制。部署HTTP 反向代理服务是一个较好的办法，用户通过HTTPS 协议连接代理服务器，代理服务器向后端的真实IdP服务器发送 HTTP 协议请求，调整WAF设备部署位置识别HTTP协议，精确感知用户操作行为，保障IdP系统安全。充分利用好校园网或数据中心出口防火墙等安全设备，做好Linux自身的安全策略，仅保留必要的端口和服务，动态调整iptables规则，拦截频繁扫描与攻击行为，及时修复操作系统与应用软件的漏洞。

4 系统优化

4.1 对接联盟外的服务提供商

每个学校都有众多的服务提供商SP，对于已经加入到CARSI联盟的SP来说，对接是十分简单的事情；而某些SP可能尚未加入CARSI联盟，与这些SP互连，则需要学校IdP与SP互相交换metadata数据。交换过程中，要保证数据的准确性，尤其是要仔细核对metadata的有效期、互联网网址和签名数据等等。在学校IdP服务中正确加载metadata文件，即可互连成功。

4.2 应用短网址，实现快捷登录

在使用过程中，用户在SP网站登录过程往往比较复杂。为了简化操作，避免用户在采用Shibboleth认证时必须先选择自己所在机构，一些高校提出了WAYFless方法，即通过将IdP地址组合在 URL中，精简了用户复杂认证步骤，提高了认证使用效率。我校在此基础上，一是将大多数SP的WAYFless网址链接到学校的资源列表网页上；二是构造短网址进行跳转，比如：https://idp.xxx.edu.cn/sp/?examle链接能跳转到examle资源认证页面，这样极大方便了用户保存网址和资源网址变更。用户可根据自己的习惯选择使用最便捷的方法。

图3 SP访问数据分析图

5 平台应用效果

自2020年学校CARSI平台部署应用以来，学校相继对接了中国知网、Nature、Web of Science等国内外12家电子资源服务提供商，日均认证人次达1500余人次，增长趋势明显。学校部署CARSI平台后，无论校内外，学校师生访问电子资源数据库，全程浏览器操作，比VPN便捷，不需要插件和软件，不关注浏览器版本；大大降低使用门槛，提升用户体验。访问过程中严格落实用户实名制，所有数据能溯源可查；少数用户行为不当，能够及时发现和处理，减少对其他用户影响。CARSI平台系统提供各类应用服务的访问分析（如图3所示），为学校的各类资源决策提供了数字依据。

6 结束语

学校基于CARSI平台构建统一认证和资源共享服务，为跨域、跨国、跨校身份认证和资源共享服务提供了平台基础，身份认证更安全，提供服务更便捷，开发时间更短，维护成本更低；随着CARSI联盟国内外成员数量的不断增加，学校共享全球范围内的教育科研资源将更加规范、便利，资源更加丰富，学校国际化办学水平也将不断提升。

[1]CARSI[EB/OL]. https://www.carsi.edu.cn/.

[2]Shibboleth[EB/OL]. https://www.shibboleth.net/.

[3]WAYFless[EB/OL]. https://github.com/szulwm/WAYFless.