经过十多年的建设，CERNET发展迅速，已经成为高校教学科研必不可少的基础设施，大量应用运行于其上。越来越多的网络应用提供者开始考虑如何在保护应用资源的前提下扩大应用的使用范围。身份认证技术被广泛采纳。

　　从目前的发展来看，采用较多的身份认证方式有三种：第一，应用系统单独维护用户库进行身份认证方式。第二，采用统一身份认证技术，同一个用户库为多项网络应用提供认证服务。这种方式不仅解决了多个应用系统身份统一管理的问题，而且降低了用户管理成本。第三，采用单点登录技术，解决多个应用系统多次登录的问题，用户只需登录一次，就可以使用指定的多个系统。

　　在以上三种身份认证方式中，第一种方式在高校网络应用系统建设的初期采用较多。后两种方式在整合高校网络应用资源中发挥了很大作用。

　　但是，在一个高校内部完全实现单一用户身份还有很多困难，目前常见的情况是一个用户同时拥有多个身份、一个身份使用一个或几个应用系统。如何实现更进一步的整合？跨机构身份认证技术提供了一种在不改变用户原有使用习惯、不改变原有管理方式的情况下，多个用户系统互通的模式，达到一个用户身份访问更多应用系统的目标。

　　跨机构身份认证技术的另一种典型应用，是把大学看作机构，实现大学之间的用户库共享和网络应用资源共享，从而使原本只提供给大学内部某些用户访问的应用系统，可以扩大到允许机构联盟中其他院校的用户访问，其他院校用户只需要提供他在所属院校的用户身份即可。应用系统可以自己定制其他院校用户的访问策略。

　　除此之外，企业界更关注如何通过跨机构身份认证中间件技术，达到跨企业的业务融合和相关业务整合。

　　跨机构统一身份认证

　　跨机构身份认证技术把身份认证看作是各类网络应用的基础设施，以中间件的形式为网络应用提供统一的身份认证支持，应用系统开发者和提供者不需要再考虑身份认证和用户管理这个问题，把身份认证工作完全交给身份认证中间件去完成。

　　对于要求根据用户角色进行授权的网络应用，身份认证中间件提供属性访问接口。通过该接口，应用系统可以访问用户库中已经提供的属性，在此基础上实现应用系统的访问控制。最为重要的是，这一身份认证机制的工作基础是跨机构，也就是说，它以完全技术的手段把原本属于多个管理机构的多个用户库统一起来。用户只要提供在某个机构的身份就可以访问多个机构当中的应用，在更大范围内实现统一身份认证和单点登录。

　　国内外研究进展

　　国外在跨机构身份认证和授权方面的研究起步于2002年左右，现在有试验系统在运行，但还没有形成大规模产业。影响较大的项目有Internet2的Shibboleth项目和Liberty联盟计划，二者都是遵循SAML(Security Assertion Markup Language)标准。其他相关项目还有Microsoft联合IBM制定的WS-Federation标准、微软的ADFS(Active Directory Federation Service)等。它们采用了不同的机制，在不同方面实现了跨机构的身份认证，为大量的网络应用服务。

　　SAML标准

　　Shibboleth和Liberty联盟计划虽然在实现跨机构的方式上各有侧重，但都支持SAML标准，并且不同程度地影响了SAML标准和跨机构身份认证与授权技术标准的发展。

　　OASIS标准化国际组织(Organization for the Advancement of Structured Information Standards，结构信息标准推进组织)在2002年5月公布了SAML1.0标准，标准的主要内容是安全信息交换。这一点在它的1.0和1.x版本中体现得非常充分。

　　但是，随着Shibboleth和Liberty对SAML的采用，加上这两个项目在跨域认证、授权、单点登录等方面的影响越来越大，SAML标准在2.0版本中引入了Liberty的身份联合框架ID-FF，从而与Shibboleth的关系也越来越密切。自身的完善为SAML带来了更为广阔的发展空间，SAML标准在其他安全项目中也被广泛采用。　　

　　Shibboleth项目

　　Shibboleth是美国Internet2项目的一个中间件，于2003年公布了1.0版本，正在开发2.0和2.1版本。2.x版本将支持SAML2.0标准。Shibboleth是一种基于SAML标准的中间件，提供跨越组织边界的Web单点登录。

　　Shibboleth定义了一种机构间的合作架构，通过一个机构联邦可以查询所有参加合作的单位。网络服务需要主动申请被Shibboleth保护。

　　在用户访问某个受Shibboleth保护的网络应用的时候，应用通过中间件和机构联邦向用户所在机构申请认证该用户身份，并根据认证结果决定是否允许用户访问。认证工作由身份管理者完成。
　　认证通过后，共享服务将根据服务自身授权的要求向身份管理者提交属性请求，并根据返回的用户属性决定用户可以享有的访问权限，实现授权。授权策略由被访问的网络应用决定，授权过程由网络应用完成。

　　可以说，形容Shibboleth最好的词汇是“框架”，它只实现了建立联盟最主要的部分，具体的认证工作由某一机构的身份认证服务器完成，与应用相关的授权工作由网络应用完成。　　

　　Liberty联盟

　　Liberty联盟成立于2001年9月，截至2006年12月，全球有超过150家企业、非盈利组织和政府部门加入该联盟，包括法国电信、SUN、IBM、爱立信、甲骨文、Intel、HP、AOL等在网络安全领域国际领先的企业。Liberty计划提出了身份联合框架(Identity Federation Framework，ID-FF)、身份Web服务框架(Identity Web Services Framework，ID-WSF)、服务接口规范(Service Interface Specifications，ID-SIS)，见图1。

　　Liberty的研究核心是用户身份(Identity)，通过在多个身份认证机构之间建立一种信任关系缔结身份联盟，构成信任圈，实现用户身份的安全性和私密性保护。这种信任关系让一个用户在一个网站登录，也可以访问另一个网站，实现了信任域内部的单点登录和简化登录(Single Sign On，Simplified Sign On，SSO)。

　　WS-Federation

　　Microsoft和IBM是WS-Federation的主要开发者，WS-Federation是两家公司开发的多个Web服务规范之一，定义了在不同的信任域之间代理信任、身份联合和认证信息的模型以及一组消息规范，来帮助管理员允许组织之间安全地共享用户身份信息。

　　联合系统跨越组织边界工作，把采用不同技术、身份存储方式、安全方法和编程模型的多个系统连接起来。这项规范不是建立在SAML标准之上，虽然它与SAML和自由联盟ID-FF相似。

　　WS-Federation涵盖与自由联盟ID-FF 1.2同样广泛的功能性，包括对多边身份联邦、账户链接、SSO以及隐私保护的支持。同SAML和自由联盟一样，WS-Federation主要通过浏览器限制和一种交换安全令牌的请求/回答协议，实现其目标。

　　WS-Federation的典型实现是微软的联合身份管理软件ADFS-Active Directory Federation Services。2005年10月，微软在Windows Server 2003 R2中内嵌此功能，提供基于Web的单点登录。

　　国内情况

　　国内也于近两年启动了跨机构身份认证和授权相关的试验研究，目前尚处于起步阶段。一直以来，跨高校的资源共享、特别是与国际上其他高校的资源共享是教育科研网络发展的主要目标之一，跨机构统一身份认证和授权技术的发展为这一目标的实现提供了基础。

　　2005年下半年，北京大学开始相关技术的研究，采用Shibboleth技术，先后与北京邮电大学、成都电子科技大学、华南理工大学、山东大学、重庆大学进行了大学之间的身份互相认证和互相授权试验，并且已经完成了与部分大学内部统一身份认证和授权系统的衔接，实际部署跨校网络应用正在进展中。该系统已经成功衔接的本地身份认证方法包括：CAS、diameter、ldap、UNIX系统用户、BBS用户库等等。

　　技术优势

　　跨机构身份认证中间件的技术优势体现在：

　　第一，为扩大网络应用使用范围、增进应用共享提供了基础设施，保护国家投资。

　　跨机构身份认证中间件技术提供了机构之间互相认证用户的基础。对于那些原来已经采用了身份认证机制进行访问控制的网络应用系统来讲，该中间件可以扩大应用系统的用户范围，推动系统的推广和使用。在较少修改应用系统的前提下，该技术使得原本限制给某个用户群体使用的应用，共享给更大范围的用户使用。在这样的技术支持下，像高校图书馆资源、网络版精品课程等国家级建设成果，将被更多的用户使用。

　　第二，多个身份认证机构共享用户库，简化用户使用习惯。

　　跨机构身份认证中间件以各个机构现有的用户库和身份认证机制为基础，以中间件的形式整合已有用户库，提供用户使用原有身份访问更大范围网络应用资源的权限。用户使用习惯改动不大，原有用户身份不变。

　　第三，为新型网络应用开发提供基础。

　　作为一项产生于传统技术又超越传统技术的新型网络基础设施，跨机构身份认证中间件将打破传统的院校壁垒、企业壁垒和部门壁垒，带动一大批的新型网络应用。

　　比如，高校间的课程通选、学分互认、网上合作研究、网上远程教育资源共享、跨校图书资源和电子数据库共享等等。如果能够在不远的将来实现高等院校与电信部门、银行部门的身份互通，人们的生活将变得更加简单，便捷。