Eduroam

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
eduroam
Тип организации:

международная организация

Материнская организация

TERENA

eduroam.org

eduroam - международный роуминговый сервис для лиц, занятых в сфере научно-исследовательской деятельности, высшего образования и дополнительного профессионального образования. С его помощью научные работники, преподаватели и учащиеся имеют легкодоступный и безопасный сетевой доступ во время посещения различных образовательных учреждений. Аутентификация пользователей проводится их организациями с использованием тех же входных данных, что и при локальном доступе, тогда как авторизация для доступа к интернету и другим возможным ресурсам лежит на посещаемом учреждении. За пользование сервисом платить не требуется.

На местном уровне сервис предоставляется участвующими учреждениями (университетами, колледжами, исследовательскими институтами и т.д.). На национальном уровне он организуется национальными операторами роуминга, которые часто являются национальными научно-исследовательскими и образовательными сетями(NREN(англ.)) своих стран. На глобальном уровне eduroam организуется с содействием TERENA(англ.), которая так же является владельцем товарного знака eduroam®. Архитектура eduroam'а для сетевого доступа определена в стандарте RFC 7593.

В некоторых странах сервис доступен не только в участвующих научных и образовательных учреждениях, а например в библиотеках, общественных зданиях, на железнодорожных вокзалах и в аэропортах.[1][2]

В Бельгии BELNET использует технологию eduroam для предоставления аналогичного сервиса govroam для бельгийского государственного управления.[3] Такой же сервис был запущен в Нидерландах в октябре 2013 года.[4]

История[править | править вики-текст]

Работа над сервисом началась в 2002 году, когда при подготовке к созданию рабочей группы TF-Mobility для TERENA Клаас Виеренга (Klaas Wierenga) из SURFnet поделился идеей совмещения инфраструктуры на основе протокола RADIUS и технологии IEEE 802.1X для предоставления роумингового сетевого доступа в научно-исследовательских и образовательных сетях.[5] Изначально сервис поддерживали учреждения в Нидерландах, Германии, Финляндии, Португалии, Хорватии и Великобритании.[6] Позже и другие национальные научно-исследовательские и образовательные сети в Европе поддержали идею и начали присоединяться к сервису, названному eduroam.[7] С 2004 года Европейский союз помогал в финансировании дальнейших исследований и разработки сервиса посредством проектов GN2[8] и GN3[9].[10] С сентября 2007 года Европейский союз через эти проекты так же финансировал поддержку и обслуживание сервиса на Европейском уровне.[11]

Первой из не европейских стран, присоединившейся к сервису, была Австралия в декабре 2004 года.[12] В Канаде eduroam появился по инициативе Университета Британской Колумбии, позже став одним из сервисов CANARIE(англ.).[13] В США eduroam изначально был экспериментальным проектом Национального научного фонда (NSF) и Университета Теннесси (UTK). В 2012 году Internet2 объявил о добавление eduroam к сервисам, предоставляемым программой NET+.[14] Американским оператором от имени Internet2 стала компания AnyRoam LLC, сформированная из бывших сотрудников UTK.

Технология[править | править вики-текст]

Сервис eduroam использует технологию IEEE 802.1X для аутентификации и иерархическую систему RADIUS-серверов.[15] Иерархия состоит из RADIUS-серверов участвующих учреждений, национальных RADIUS-серверов национальных операторов роуминга и региональных RADIUS-серверов высшего уровня для отдельных регионов. Когда пользователь A из учреждения B страны C с двухбуквенным национальным доменом верхнего уровня xy посещает учреждение P в стране Q, мобильное устройство пользователя A предоставляет его входные данные RADIUS-серверу учреждения P. Этот RADIUS-сервер обнаруживает, что B.xy не лежит в зоне его ответственности, поэтому передаёт запрос доступа национальному RADIUS-серверу страны Q. Если страны C и Q различны, тогда запрос доступа передаётся региональному RADIUS-серверу высшего уровня, а дальше национальному RADIUS-серверу страны C, содержащему список поддерживающих eduroam учреждений этой страны. Этот национальный сервер передаёт входные данные RADIUS-серверу учреждения B, где происходит их проверка. Наконец, подтверждение отправляется обратно по иерархической системе RADIUS-серверу посещённого учреждения P, где пользователю представляется доступ к сети.

Так как входные данные пользователя следуют через некоторое количество промежуточных серверов, неподконтрольных учреждению пользователя, важно, чтобы входные данные были надёжно защищены. Это условие ограничивает типы возможных аутентификационных методов. По существу есть 2 категории используемых методов: те, которые передают входные данные с помощью шифрования с открытым ключом с сертификатами, и те, которые используют для аутентификации туннелирование. Большинство учреждений используют методы из второй категории, которым нужны только серверные сертификаты. Эти сертификаты используются для установки защищенного туннеля между мобильным устройством и аутентификационным сервером, через который и происходит безопасная передача входных данных пользователя.

Возможно осложнение, если учреждение пользователя использует не двухбуквенный национальный домен верхнего уровня, а Общий домен верхнего уровня, например .edu или .org. По такому домену не понятно, какому национальному RADIUS-серверу нужно отправить запрос, поэтому по умолчанию такие домены не будут работать при межнациональном роуминге. Обходным путём этой проблемы является создание исключений в таблицах маршрутизации межнациональных RADIUS-серверов; однако это решение не масштабируется при росте количества исключений. Для будущего решения этой проблемы было предложено несколько решений, самым многообещающим среди которых является RADIUS через TLS с динамическим обнаружением. Это решение не использует статические таблицы маршрутизации в RADIUS-серверах для направления запросов.[16] Вместо этого, участвующие учреждения добавляют по одной ресурсной записи DNS к зонам DNS свои доменов, которая указывает на сервер, отвечающий за аутентификацию eduroam для этого домена.

Управление[править | править вики-текст]

TERENA учредила простую структуру глобального управления.[17] Учитывая большие различия в организации и финансировании научно-исследовательской деятельности и системы образования в различных странах и регионах, правила для операторов eduroam'а сведены к техническим и административным потребностям, необходимым для быстрой и безопасной работы сервиса. Более того, операторы eduroam'а играют ключевую роль в создании и поддержании правил для глобального управления сервисом.

Комитет по глобальному управлению eduroam (Global eduroam Governance Committee (GeGC)) занимает центральное место в структуре глобального управления eduroam'ом. Его члены выбираются Европейской конфедерацией eduroam в Европе и национальными операторами роуминга в других регионах, а потом утверждаются в TERENA. Комитет состоит из 3-х членов, представляющих Европу, 2-х, представляющих Азиатско-Тихоокеанский регион, 2-х, представляющих Северную Америку, 2-х, представляющих Латинскую Америку и 2-х, представляющих Африку. Дополнительно TERENA может назначить одного или нескольких сторонних экспертов в качестве членов комитета, не имеющих права голоса.

Географическое положение[править | править вики-текст]

eduroam доступен в следующих 67 странах, национальные операторы роуминга которых подписали заявление о соответствии eduroam[18]. Так же возможен экспериментальный доступ в странах, находящихся в процессе присоединения к сервису.

Европа[править | править вики-текст]

Члены консорциума проекта GN3[9] вступили в Европейскую конфедерацию eduroam[19], для чего нужно соответствовать более строгим техническим и организационным требованиям, чем при подписании заявления о соответствии eduroam. eduroam работает в следующих странах: Австрия (ACOnet), Бельгия (BELNET), Болгария (BREN(англ.)), Хорватия (CARNet), Кипр (CYNET), Чехия (CESNET), Дания (NORDUnet, подразделение UNI•C), Эстония (EENet), Финляндия (NORDUnet(англ.), подразделение FUNET), Франция (RENATER), Германия (DFN), Греция (GRNET), Венгрия (NIIF), Исландия (NORDUnet, подразделение RHnet), Ирландия (HEAnet), Израиль (IUCC), Италия (GARR), Латвия (SigmaNet), Литва (LITNET), Люксембург (RESTENA), Македония (MARNET), Мальта (Университет Мальты), Черногория (MREN), Нидерланды (SURFnet), Норвегия (NORDUnet, подразделение UNINETT), Польша (PSNC), Португалия (FCCN), Румыния (RoEduNet), Сербия (AMRES), Словакия (SANET), Словения (ARNES), Испания (RedIRIS), Швеция (NORDUnet, подразделение SUNET), Швейцария (SWITCH), Турция (ULAKBIM), Великобритания (JANET).

Ещё 3 страны являются ассоциированными членами консорциума проекта GN3, не имеющими права голоса. Это Беларусь (UIIP), Молдавия (RENAM) и Россия (Межведомственный суперкомпьютерный центр РАН).

Наконец, 5 стран, не участвующих в проекте GN3, на добровольной основе присоединились к Европейской конфедерацией eduroam, разрешив размещение сервиса на своей территории. Это Андорра (Университет Андорры), Армения (ASNET-AM), Азербайджан (AzScienceNet), Казахстан (KazRENA) и Киргизия (KRENA).

Европейские RADIUS-серверы высшего уровня управляются SURFnet'ом (Нидерланды) и исследовательской сетью Дании.

Азиатско-Тихоокеанский регион[править | править вики-текст]

Австралия (AARNet), Китай (CSTNET), Гонконг (Harnet), Индия (ERNET), Япония (NII), Макао (Университет Макао), Малайзия (UPM), Новая Зеландия (REANNZ), Саудовская Аравия (KAUST), Сингапур (SingAREN), Южная Корея (KREONET), Шри-Ланка (Университет Моратува), Тайвань (Министерство образования) и Таиланд (UniNet).

RADIUS-сервера высшего уровня Азиатско-Тихоокеанского региона управляются AARNet'ом (Австралия) и Университетом Гонконга.

Северная Америка[править | править вики-текст]

Канада (CANARIE) и США (Internet2, подразделение AnyRoam LLC).

Латинская Америка[править | править вики-текст]

Аргентина (Innova-RED), Бразилия (RNP), Чили (REUNA), Колумбия (RENATA), Коста-Рика (RedCONARE), Эквадор (CEDIA),[20] Мексика (CUDI) и Перу (RAAP).

Африка[править | править вики-текст]

Кения (KENET), Марокко (MARWAN) и ЮАР (TENET).

Примечания[править | править вики-текст]

  1. 600,000 students and researchers in Sweden go mobile with eduroam and The Cloud (2 October 2012). Проверено 17 сентября 2016.
  2. eduroam at Norwegian airports (4 July 2013). Проверено 23 августа 2013.
  3. Belnet govroam service. Проверено 23 августа 2013.
  4. govroam: het nieuwe zusje van eduroam (6 November 2013). Проверено 7 ноября 2013.
  5. eduroam® celebrates a decade of providing secure roaming Internet access for users (24 May 2012). Проверено 24 августа 2013.
  6. Carol de Groot. TERENA Annual Report 2003. — TERENA, 2004. — P. 34.
  7. (2005) «eduroam: past, present and future». Computational Methods in Science and Technology 11 (2): 169–173.
  8. Multi-gigabit European academic network (GN2) (1 September 2004). Проверено 12 августа 2012.
  9. 1 2 Multi-gigabit european research and education network and associated services (GN3) (1 April 2009). Проверено 20 июля 2012.
  10. Carol de Groot. TERENA Annual Report 2005. — TERENA, 2006. — P. 32–33.
  11. TERENA Annual Report 2009. — TERENA, 2010. — P. 31.
  12. eduroam goes global (15 December 2004). Проверено 23 августа 2013. Архивировано 5 июля 2011 года.
  13. A million times a month, CANARIE enables mobile research and learning (29 November 2012). Проверено 24 августа 2013.
  14. Over 220 Universities and Research Labs Gain Easy and Secure Wi-Fi Access to the Internet (2 October 2012). Проверено 23 августа 2013.
  15. Building the Mobile Internet. — Cisco Press, 2011. — P. 45–48. — ISBN 978-1-58714-243-7.
  16. Transport Layer Security (TLS) Encryption for RADIUS. RFC 6614. — The Internet Society, 2012.
  17. Karel Vietsch. Global eduroam Governance. — TERENA, 2010.
  18. eduroam Compliance Statement. — TERENA, 2011.
  19. eduroam Service Definition and Implementation Plan. — DANTE, 2008.
  20. https://www.cedia.org.ec/

Ссылки[править | править вики-текст]

  • eduroam.org — официальный сайт Eduroam