3. 上海高校无线通系统架构

　　在设计上海高校无线通方案之前，首先对跨校认证做一个简单理解并对Shibbo-leth在上海高校无线通跨域认证中的作用作一个定位。

　　跨校身份认证是使用联盟式管理，一个资源系统把用户的身份和属性管理留给用户的源组织处理，同时源组织负责向资源系统提供所需要的用户属性。当一个用户尝试访问某一资源系统时，资源系统根据源组织所提供的属性做出访问控制的决定。由此，用户仅需要在它的源组织中进行注册而不需要在每个资源系统中注册。

　　Shibboleth系统可以实现跨认证域的构成。Shibboleth 是基于SAML规范的支持联合身份管理的信任引擎中间件。Shibboleth包含三大部分组件：标识提供者I dP（Identity Provider），服务提供者SP（ServiceProvider），可选的WAYF（Where  AreYou  From）服务。Shibboleth提供跨域的单点登录，并采用基于属性的授权框架对用户的请求进行授权。使用Shibboleth信任引擎中间件，能够简化跨校认证中身份认证的流程，同时做到安全，高效。

图1 WAYF跨校身份认证模型

　　跨校身份认证模型的核心功能就是把用户与资源在认证和授权的过程中所需要使用的三个基本交互紧紧地联系起来。这三个基本交互是：

　　1. 用户认证，由用户的源组织实现；

　　2. 访问请求；

　　3. 把授权属性从源组织发送到被访问的资源系统，传输到访问控制管理者的授权属性集合必须是可配置和扩展的，这取决于被访问的资源系统的需要。