2021.2-3中国教育网络
87
随着信息科学技术的发展,学术信息出版模式发生了巨大变化,数字资源在师生学习、科研中发挥着越来越重要的作用。2020年的新冠疫情让数字资源成为高校线上教学科研中唯一可获得的学术资源,做好线上资源远程访问的服务保障,是高校图书馆的职责所在。
基于知识产权和版权保护要求,数据库商在与图书馆签订的授权协议中对电子资源的授权用户和授权使用方式做了明确约定,在授权方式上最常见的是提供基于高校校园网IP 地址的认证模式。基于该认证方式,高校图书馆目前普遍采用代理服务器、VPN、WebVPN 的方式满足用户在校园网外使用电子资源的需求[1]。
受疫情影响,校外使用数据库需求激增,造成代理服务器、VPN、WebVPN 用量增大,导致连接不稳定、并发数受限、网络带宽不足等问题。为解决上述问题,厦门大学图书馆和信息与网络中心协力合作,通过加入CARSI(中国教育和科研计算机网统一认证与资源共享基础设施)联盟,基于校园网身份认证系统,向用户提供电子资源的合法访问。CARSI 联盟的身份认证作为在疫情期间校外用户访问数据库电子资源的应急方案,具有部署简单、服务稳定、安全高效的特点,有力保障了校外用户正常使用数据库电子资源,对未来在国内高校推广基于身份认证的数据库访问打下了坚实的基础。
基于身份认证的数据库 访问技术基础与应用现状
1.联盟认证技术标准SAML
SAML(Security Assertion Markup Language)是基于XML 的一种安全断言标记语言,提供在各种环境下安全地交换数据和身份识别信息,其目标是在多个应用间实现联邦身份,解决联邦环境中如何识别身份信息共享的标准化问题,是一种独立于协议和平台的验证和授权交换机制[2]。SAML2.0是OASIS 组织安全服务技术委员会的产品,作为一种成熟的用户认证授权规范,被广泛应用于基于Web 的统一认证和单点登录系统中,SAML 通过令牌的方式进行授权数据交换,为保护用户隐私提供了基础条件。
SAML 规范包括:(1)断言与协议,定义XML 编码的断言的语法和语义,请求和响应的协议;(2)绑定与配置,定义在不同实体间请求与响应的数据包格式,以及如何使用通用的底层通信协议和在不同系统之间交换断言和请求响应消息的协议;(3)一致性规范,设置一种基
本标准,提高互操作性。
SAML 框架包含三个实体,主体(Subject)是拥有身份信息的实体;身份提供者IdP(Identity Provider)是为主体提供身份信息的实体;服务提供者SP (Service Provider)是为主体提供服务的实体。
SAML 可以使用不同的验证管理方式,如LDAP、AD、RADIUS、CAS、OAuth 等。同时,允许使用多
种安全方式,如SSL、 PKI、Kerberos 等。SAML 规范在可操作性、兼容性、安全性、保密性方面都十分完备。
2.Shibboleth 与OpenAthens
Shibboleth 是美国Internet2组织的一个开源项目,基于SAML 实现Web 上的用户身份认证和资源的安全访问和获取。Shibboleth 由身份提供者(IdP)、服务提供者(SP)、身份发现中心(DS)组成。IdP 提供用户属性信息管理、身份认证服务、属性信息查询、验证服务等功能;SP 提供资源管理、处理或重定向用户请求、
厦门大学:基于身份认证的数据库访问服务
厦门大学
处理属性信息等功能;DS主要功能是为用户提供IdP的重定向服务[3]。
Athens最早是由英国EduServ公司开发的用于提供单点登录服务的身份和访问管理系统,后来加入了SAML标准推出新的OpenAthens。
Shibboleth和OpenAthens同样是基于SAML的身份认证和访问管理系统,两者在技术实现上没有太大差异。其主要区别在于,Shibboleth是开源实现,由社区进行产品维护和支持,安装部署需要有关单位自行解决,对负责实施的联盟组织和图书馆有一定的技术门槛。OpenAthens属于商业产品,是一套成熟的基于云端的产品解决方案,由EBSCO公司负责其商业化运作并提供服务支持。对于图书馆来说不需要太多技术投入,EBSCO公司提供了从安装、测试到上线、运维的一系列完整服务[4]。
3.国内外学术数据库对身份认证访问模式的支持情况
英国联合信息系统委员会JISC下属的身份认证管理联盟,致力于为教育和科研提供在线资源获取的单一解决方案,他们推荐使用遵循SAML协议的Shibboleth 和OpenAthens,并且对支持以上两种联邦身份认证的服务商进行了注册登记[5]。经统计共有107个数据库商的243种数据库提供基于SAML的联邦身份认证访问,包括著名的数据库商Thomson Reuters、Elsevier、ProQuest、Wiley、EBSCO、Gale、SAGE和他们旗下的相关数据库。可以看到,国外主流的数据库均已支持身份认证访问模式,并且已经得到了较好应用。
在对国内数据库商的调研后发现,中国知网于2019年11月开始对基于联邦身份认证的访问方式进行测试,本次疫情期间,应众多高校师生校外访问中国知网的需求,中国知网公司加紧推出了基于Shibboleth认证的测试版,并向各个接入认证的图书馆免费开通使用4个月。2020年3月,万方数据成功
加入CARSI联盟,正式上线提供服务。中国知网和万方数据成为目前国内仅有的两家支持联邦身份认证访问模式的学术数据
库。
4.中国教育和科研
计算机网统一认证与资
源共享基础设施CARSI
CARSI(CERNET
A u t h e n t i c a t i o n a n d
R e s o u r c e S h a r i n g
Infrastructure)由北京大
学发起,2008年获得国
家发改委CNGI08项目
支持;2011年与CALIS
合作,完成70余所高
校和7家数据库商的60
余项资源服务;2019年5月成功加入国际
身份联盟组织eduGAIN;2019年10月,
完成试验环境到产品环境的过渡,作为教
育网的基础服务推出。CARSI致力于为高
校用户建立身份认证和授权基础设施,整
合高校本地校园网统一用户管理和身份认
证系统,面向中国高校和科研机构提供跨
域身份认证和资源共享服务。CARSI基于
Shibboleth中间件建设,符合当前国际主流
国家级教育科研网络规范,为中国高校更
便利地获取全球教育科研资源提供了基础。
CARSI作为高校身份认证和授权联盟组织,
加入CARSI联盟的机构通过共享建立一种
互信机制,这样可避免作为IdP的高校单
独与每一个作为SP的数据库商建立单独的
属性断言,简化了高校和数据库商的对接
工作[6]。本次疫情期间,各高校用户对于
校外访问在线资源的需求猛增,CARSI团
队迅速组织投入工作,简化申请流程、缩
短审批时间、提高开通服务速度。
厦门大学服务实践
1.加入CARSI联盟
CARSI联盟接纳两类会员,第一类
是全资格会员,必须是CERNET会员单
位,必须且只能部署一个联盟身份提供
者IdP,由网络中心或图书馆提交申请;
第二类是服务提供会员,需要在全资格会
员推荐下,对教育科研感兴趣、致力于为
CARSI资源共享服务或者为联盟会员单位
提供服务的服务提供机构可申请成为服务
提供会员,只部署服务提供者软件SP[7]。
厦门大学作为CERNET会员,由图书馆
和信息与网络中心共同申请成为CARSI
全资格会员,并组成CARSI项目实施小
组。信息与网络中心负责IdP本地化部署
以及与校园统一身份认证系统对接等技术
问题,图书馆负责与数据库商联络,申请
Shibboleth服务开通。2019年6月25日,
厦门大学通过了CARSI联盟对本地IdP的
测试,正式启动服务。
2.本地IdP的部署
CARSI联盟提供了两种本地IdP的
部署方案,第一种是使用CARSI联盟提
供的虚拟机ova镜像进行安装和配置,镜
像采用CentOS系统,包含了已安装好的
Shibboleth IdP及相关组件,并提供了一定
的默认配置。用户只需要在此基础上根据
各校实际修改个别定制化配置,完成对接
本地认证系统、属性释放等即可;第二种
是使用CARSI提供的安装包,在CentOS
服务器上手动安装Shibboleth IdP及相关
组件,根据联盟提供的文档进行本地认证
系统对接和属性释放等配置。CARSI提供
了详尽的安装部署文档,整个安装过程只
需按照文档执行即可。其中,IdP与本地
认证系统对接,释放用户属性是较为重要
厦门大学图书馆
88中国教育网络 2021.2-3
的两步,需要根据学校自身情况进行配置。
厦门大学信息与网络中心已建立多种形式的校园统一身份认证系统,为加强安全防护和权限管理,采用了两套密码机制,一套密码用于统一身份认证,另一套密码用于校园Wi-Fi和VPN,所有在校教职工和在校生均可使用VPN。考虑到认证速度问题,厦门大学采用了IdP与LDAP对接的方式,需要根据本校LDAP 的目录结构跟字段定义,修改IdP的conf/ ldap.properties文件的具体配置信息,包括LDAP服务器地址、用户名、密码,人员所在的分支,登录用户名与LDAP哪个用户属性值对应。由于CARSI联盟对用户身份的标准取值为:faculty、student、staff、alum、member、affiliate、employee、other 几类,因此需要将从本校LDAP中获取的用户身份属性映射到CARSI联盟的用户身份属性。厦门大学LDAP中的用户身份属性值为数字,1代表教职工、2代表本专科生、3代表研究生。因此在IdP的/ l文件中,通过以下代码完成身份属性值的映射,表示将本地LDAP中的身份属性为1的映射为CARSI标准中的faculty用户属性,其他2、3的映射为student用户属性:
Values().get(0)==1) localpart = "faculty";
else localpart = "student";
完成IdP与本地LDAP身份认证系统对接后,再配置好IdP的日志管理、隐私保护配置,即可开始IdP测试。
3.向数据库商申请开通Shibboleth认证
图书馆作为学校负责数据库订购的单位,与各数据库商有着紧密的联系。已加入CARSI联盟的数据库商,可以通过下载CARSI网站上各个数据库商关于开通Shibboleth服务的申请说明,由图书馆资源采访部门向数据库商提交申请,一般数据库商可在三个工作日内完成SP服务开通。疫情开始后,厦门大学图书馆采访部快速响应,向数据库商发出通告,要求疫情期间,数据库商与图书馆共同配合,解决校外访问当下存在的问题。对支持Shibboleth
认证但未加入CARSI联盟的国外数据库商
发出倡议,呼吁其加入CARSI联盟,开
通Shibboleth认证服务。倡议得到多家数
据库商的积极反馈,IOP、JoVE先后加入
了CARSI联盟,Ovid在未加入CARSI联
盟的情况下与图书馆技术人员积极配合,
向厦门大学单独开通了Shibboleth认证服
务。Taylor & Francis、Wiley、Cambridge
University Press、SAGE等出版社积极与
CARSI联络商议加入CARSI联盟细节,并
承诺将在不久开通此项服务。
4.Shibboleth身份认证访问模式的推广
由于在长期使用数据库电子资源过程
中形成的习惯,校外用户对校园VPN的
依赖程度非常高。厦门大学虽然在2019
年6月已推出Shibboleth身份认证,但
在推出后的一段时期内,用户寥寥。归
其原因,一方面支持Shibboleth认证的
数据库以外文数据库为主,用户需求量
小,VPN已满足了使用需求;另一方面是
Shibboleth认证的过程较为复杂,且各个
数据库商的认证流程页面不统一,用户接
受度低。2020年疫情爆发后,校外用户
使用需求激增,校园VPN一时无法承载
大量用户,造成连接不成功、使用不稳定
的问题。图书馆适时加大宣传力度,通过
QQ/转发说明,解答使用问题。
5.厦门大学CARSI认证使用数据分析
经过CARSI管理服务平台的数据统
计,自2020年2月5日中国知网数据库
Shibboleth服务的开通以来,身份认证次
数不断提高,截至2月29日已有41286
人次认证。
对比同期CARSI身份认证人数和
WebVPN使用人数(见表1),可以看出
习惯使用WebVPN方式的用户数量仍然
较多,尤其是使用外文数据库资源的用户,
使用身份认证方式的偏少,说明图书馆仍
需继续加强这方面的宣传推广。
问题与对策
基于身份认证的数据库访问模式相较
于基于IP认证的访问模式,有诸多优点。
比如,避免了传统代理服务器模式的安全
性问题,分流了用户对VPN的使用,缓
解了VPN的高并发问题。用户在校外无
需通过图书馆导航,从搜索引擎或者浏览
器收藏的链接访问数据库时,通过机构身
份认证即可使用,操作流程便利,隐私保
护完善。本地部署实施简单,只需要一台
本地IdP服务器,与统一身份认证系统对
接,充分利用了校园信息化现有的基础设
施,投入小、成本低、见效快。此外,通
过加入CARSI联盟,使用户通过校园身份
可访问更多资源,简化了与不同SP的技术
沟通成本。CARSI联盟兼容多个国家地区
及全球化身份认证联盟协议,可扩展性强。
经过一段时间的使用,我们发现目前
基于身份认证的电子资源访问模式还存在
一些问题,建议从以下几个方面加以改进,
以便更好地促进基于身份认证的数据库访
问模式在国内高校的应用。
1.提高IdP服务器的安全性
本地IdP
服务器用于用户身份认证和表1 厦门大学CARSI身份认证人数与WebVPN
使用人数对比(2020.2.5-2020.2.29)
2021.2-3中国教育网络 89
属性释放,系统安全性至关重要。IdP系统主要功能由开源软件Shibboleth提供,整个系统的安全性高度依赖操作系统、Web应用服务器和Shibboleth IdP的安全性。建议采用操作系统的包管理器安装各个软件而不用自行编译的方式安装,操作系统配置安全更新的自动更新机制,订阅各个组件的安全通知邮件,以便保持Web 应用服务器和Shibboleth IdP组件的更新。对操作系统进行安全加固,比如限制严格的防火墙,只允许管理员登录管理端口,限制root远程登录,操作时使用普通用户登录后利用sudo命令提升权限执行有关操作。Linux操作系统应当开启SELinux,启用较小的系统空闲等待时间。对于Web 应用服务器,比如Apache或Nginx,应当隐藏版本,关闭不需要的模块和HTTP Method等。Web容器Tomcat不建议直接暴露在互联网,而应当隐藏在Web应用服务器后面。采用TLS加密传输,配置CA证书或免费的Let's Encrypt证书。系统首次安装完毕应对系统进行上线前安全检查,日常定期使用漏洞扫描工具对服务器进行检查,进行系统渗透测试。
2.增加CARSI联盟的SP数量
目前已加入CARSI联盟的SP仅有13个数据库商的26种服务,对比在JISC份认证管理联盟中登记的107个数据库商的243种服务,数量严重不足。如果学校单独与数据库商联系开通Shibboleth认证服务,由于国外数据库商在国内的机构主要以业务咨询为主,缺少技术支持,对学校来说增加了额外的沟通成本;并且在技术上还需要针对每个单独的数据库商进行额外的配置,也增加了维护成本。另外,国内数据库商目前只有中国知网和万方数据开通了Shibboleth认证服务,其他数据库商还未支持,极大地影响了国内高校应用身份认证访问模式的积极性。同时,用户并不清楚哪些数据库可以使用基于身份认证模式访问、哪些数据库只能使用IP认证方式使用,在使用数据库的时候,选择何种方式访问,会对用户造成困扰、影响用户体验。因此,建议图书馆一方面号召
国内数据库商能够及早支持身份认证访问
模式;另一方面推动更多国外主流数据库
商加入CARSI联盟,共同促进国内联邦
身份认证模式的发展。
3.WAYFLess解决身份认证流程繁琐
的问题
在Shibboleth认证模式下,由于各个数
据库商的机构发现服务在界面和使用方式
上各有不同,对用户而言,在使用过程中
到机构认证入口是一项挑战,这直接影
响了用户使用身份认证模式访问数据库的
态度,在经历一两次使用困难后,用户宁
可使用更为直接的WebVPN,而不是身份
认证。为解决这一问题,JISC身份认证管
理联盟推出WAYFLess最佳实践[8],通过将
IdP地址组合在WAYFLess的链接中,从而
绕过机构发现的选择页面,使用户可以直
达机构认证页面,降低用户使用身份认证
的门槛,避免用户在不同数据库中使用不
同机构发现页面的复杂情况。目前大多数主
流数据库已经支持WAYFLess的最佳实践,
图书馆只需在数据库使用页面提供针对本校
IdP的该数据库的WAYFLess链接,用户便
可通过该链接,打开机构身份认证登录页面,
完成认证后,访问数据库电子资源。
4.拥抱RA21最佳实践方案
WAYFLess的最佳实践虽然极大地方
便了用户使用身份认证模式访问数据库,
但依然需要用户通过图书馆的数据库导
航,到WAYFLess链接,再进行访问。
对于不经过图书馆数据库导航的用户,仍
需面对复杂的认证流程。
由国际科学、技术和医学出版商协会
(STM)和美国国家信息标准组织(NISO)
联合发起的RA21(Resource Access for 21st
Century)项目,旨在满足用户随时随地访
问所需学术资源的需求,为用户提供一种
简单、无缝、可定制、安全的方式获取学
术资源。RA21提出在已被各机构广泛采
用的联邦身份认证系统的基础上,通过实
验性项目来探索联邦认证的最佳实践[9]。
目前,该项目已通过NISO发布了最佳实
参考文献
[1]李瑞芬, 赵美泽, 马爱芳. 我国高校校外访问图书
馆电子资源服务现状的调查与建议——以“211工程”
院校为例[J]. 情报理论与实践, 2007(03): 366-368.
[2]陆志刚, 王杰, 魏峻. 基于SAML的真单点登录框架
[J]. 计算机系统应用, 2016, 25(02): 52-57.
[3]EGGLESTON H, GINANNI K. Simplifying Licensed
Resource Access Through Shibboleth[J]. The Serials
Librarian, 2009, 56(1-4): 209-214.
[4]FERGUSON C L. Authentication Issues and Updates[J].
Serials Review, Routledge, 2020, 0(0): 1-7.
[5]UK FEDERATION INFORMATION CENTRE.
Documents / AvailableServices browse[EB/OL]. [2020-03-
04]. uk/content/Documents/
AvailableServices.
[6]北京大学计算中心. CARSI服务 - CARSI WIKI[EB/
OL]. [2020-03-04]. wiki.carsi.edu/pages/
viewpage.action?pageId=327683.
[7]CARSI. 疫情当前,CARSI助力高校停课不停
学[EB/OL]. [2020-03-04]. www.carsi.edu/
info/1031/1182.htm.
[8]RHYS SMITH, JOHN MURISON. Best Practice:
WAYFless Access to Resources.[EB/OL]. .
uk/library/uploads/Documents/
WAYFlessGuidance.pdf.
[9]N A T I O N A L I N F O R M A T I O N S T A N D A R D S
O R G A N I Z A T I O N. R e c o m m e n d e d P r a c t i c e s f o r
Improved Access to Institutionally-Provided Information
Resources[EB/OL]. . /apps/group_
public/download.php/21376/NISO_RP-27-2019_RA21_
Identity_Discovery_and_Persistence-public_comment.pdf.
[10] 吴至艺,林俊伟,肖铮.RA21:网络学术资源
访问解决方案的创新与探索[J].图书馆研究与工
作,2020(01):29-34+47.
践指导意见,在用户隐私安全保护、联
邦认证界面统一、认证流程优化等方面进
行了改进,以在学术环境中实现一个与
目前互联网使用体验相一致的、现代的、
基于标准的资源访问模式,使任何设备在
任何时间和地点,都能安全便捷地合法获
取电子资源,更好地满足用户对学术资
源的获取使用[10]。根据RA21最佳实践,
SeamelessAccess已推出面向数据库商、图
书馆、研究机构的云服务,对国内基于身
份认证的电子资源访问模式的发展提供了
借鉴意义。
新冠疫情对人们的生活、学习、工作
产生了重要影响,远程办公、在线教育成
为高校师生的日常。随着5G时代的来临,
用户在任何时间、任何地点、任何网络环
境下访问获取电子资源的需求必将日益增
长,基于IP的数据库访问模式将成为用户
微软数据库认证
便捷获取电子资源的阻碍。(责编:项阳)
(作者单位1为厦门大学图书馆,2为厦门大学信息
与网络中心)
90中国教育网络 2021.2-3
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论