图3 跨校认证过程

　　平台层中跨校身份认证使用联盟式管理，服务提供者把用户的身份和属性管理留给用户的源组织处理，同时源组织负责向服务提供者提供所需要的用户属性。当用户尝试访问某一服务提供者时，服务提供者根据源组织所提供的属性做出访问控制的决定。基于WAYF架构模式的组网结构如图3所示，跨校认证过程:

　　1. 高校D的用户在高校A使用无线网络，A校的无线网络即为服务提供者SP；

　　2. 高校A的SP将用户的上网请求发送到上海高校无线通系统的WAYF服务；

　　3. 上海高校无线通认证的WAYF服务要求用户选择其所属学校；

　　4.  用户选择自己所属的学校（高校D），将信息发送给WAYF服务；

　　5. WAYF服务将根据用户所选的学校将用户重定向到高校D的身份提供者；

　　6. 高校D的身份提供者要求用户输入信息进行身份认证；

　　7. 用户向高校D的身份提供者提交自己的认证信息；

　　8. 高校D的身份提供者对用户提供的认证信息进行验证，并把验证信息反馈给高校A的服务提供者；

　　9. 高校A的服务提供者收到高校D身份提供者传来的用户信息后,根据预先定义的策略对用户权限进行检查, 如果用户有权限访问, 则将允许用户使用无线网络服务。