上海是怎么做區(qū)域教育身份認證體系的？

文/馮騏　　朱宇紅　　　柯立新　　　沈富可

上海是怎么做區(qū)域教育身份認證體系的？

文/馮騏1朱宇紅2柯立新2沈富可1

本文從區(qū)域信息化頂層設計的角度，探討各主體在信息化建設中所扮演的角色，以及如何互利互贏，共同推動區(qū)域信息化發(fā)展。

區(qū)域信息化的挑戰(zhàn)

在區(qū)域信息化的建設中，主要面臨三個方面的挑戰(zhàn)：

1.各自為政，共享困難

由于歷史原因形成的信息資源歸有關部門所有的慣例，政府各部門、學校甚至學校內(nèi)部各部門等由職能賦予的權力所采集的信息資源往往成為獨家壟斷，相互之間缺乏溝通，有效的信息共享制度和機制缺位，信息資源難以共享。

2.缺乏科學的頂層設計，數(shù)據(jù)分析困難

由于缺乏科學的頂層設計，總體的協(xié)調(diào)和信息建設規(guī)劃不到位，業(yè)務條塊化信息資源建設方式導致在開發(fā)的規(guī)劃、組織、資金和體制上都相互獨立，不僅低水平重復建設現(xiàn)象嚴重，而且多頭采集數(shù)據(jù)造成了數(shù)據(jù)不完整、不一致，使得進一步的數(shù)據(jù)分析也十分困難，大數(shù)據(jù)成為空談的口號。

3.多主體之間沒有形成凝聚力

當前區(qū)域教育信息化的主體主要包括三個方面：政府、學校、企業(yè)。其中，政府方面多項目、多線、多條塊的建設，事實上構成了一個又一個的孤島；學校方面同樣存在大量的低水平重復建設，且由于人員、編制等方面的問題，在運維上力不從心，對外包服務商等依賴較重，信息化整體的投入產(chǎn)出比較低；企業(yè)方面雖然有一定的積極性，然而在現(xiàn)有體制環(huán)境下，企業(yè)與政府/學校之間的合作模式較為僵化，更多的企業(yè)即便想?yún)⑴c其中，亦無從入手。

區(qū)域信息化的頂層設計

尊重各主體的獨立性

區(qū)域信息化建設過程中首先應明確各主體的不同職責與相互關系。科學的頂層設計重點在于設計區(qū)域信息化整體的框架體系，并將所有主體接納進來，多方進行對接，共同形成區(qū)域信息化的生態(tài)圈。與此同時，應當尊重各主體的獨立性，不去干涉各主體內(nèi)部的信息化規(guī)劃、管理體制等。以下重點以身份管理和資源共享服務之間的關系闡述學校、政府、企業(yè)在頂層設計中所應承擔的不同職責。

圖1　上海市教育身份認證體系總體框架

1.學校

學校是身份的管理方，也是特色資源的提供方。

教育行業(yè)的用戶主要是老師和學生，他們的身份都由學校進行管理。教育信息化中的線上身份認證管理必然要與線下的身份管理相結合，因此合理的解決方案是由用戶的身份管理方——學校，建設身份認證系統(tǒng)，為其用戶提供身份認證服務。而學校的身份認證系統(tǒng)則與區(qū)域信息化的大平臺進行對接，從而在身份管理上能夠真正落地，與線下的身份管理緊密結合。也為針對不同用戶身份進行不同類別的應用授權提供了可能性。

另一方面，學校往往有一些特色的資源數(shù)據(jù)或資源應用，這些有特色的、獨一無二的資源，在資源共享時就能更好地發(fā)揮價值。資源應用的共享應該把重點放在這些有特色的應用之中。

2.政府

政府是身份和應用資源的聯(lián)接主體，形成科學合理的共享機制。

教育信息的應用，針對不同的用戶群體往往有很強的個性化需求，很難統(tǒng)籌建設一個標準化的產(chǎn)品來滿足所有的用戶。這就要求政府不必去嘗試建設大而全的信息化系統(tǒng)，而是必須做好頂層設計層面的大框架和標準，引導各個應用系統(tǒng)、身份系統(tǒng)互相對接，依賴于市場的細分，為不同的用戶群體提供高服務質(zhì)量的、各不相同的個性化服務。并使各應用資源得到充分共享、充分利用。

3.企業(yè)

企業(yè)揚己所長，生產(chǎn)不同的應用與資源，并為用戶提供高質(zhì)量的服務。

良好的教育信息化生態(tài)圈離不開企業(yè)的參與。企業(yè)能夠針對不同的市場，提供個性化的應用，并在其中得到發(fā)展。與此同時，企業(yè)也應當適當?shù)爻袚逃畔⒒鷳B(tài)圈的發(fā)展責任，共同承擔，共同成長。

頂層設計框架

基于以上認識，我們認為一個可持續(xù)發(fā)展的教育信息化框架，應該在認證/授權/數(shù)據(jù)三方面上建立起相應的標準和框架。

1.認證

在認證上，應該充分信任各主體的認證結果。線上的身份管理與線下的身份管理相結合，由用戶的身份管理主體對其進行身份管理，即認證。在認證時，應傳遞用戶的相應身份屬性，用于授權。

2.授權

授權應分為兩個部分：

（1） 資源訪問的授權——即對用戶的授權。例如誰能夠訪問應用、能夠看到應用內(nèi)的什么內(nèi)容、能夠在應用中做出怎樣的操作等，這些均應通過對用戶的授權來進行控制。而授權則應基于用戶的身份屬性，例如根據(jù)不同學校之間的差異、不同角色（學生/教師/家長）之間的差異進行授權。

（2）應用開發(fā)的授權——即對應用的授權。例如什么樣的應用能夠加入生態(tài)圈、加入生態(tài)圈的應用能夠獲得多少可利用的數(shù)據(jù)、能夠對數(shù)據(jù)做什么樣的操作等，這些應該通過對應用的授權進行控制。

3.數(shù)據(jù)

數(shù)據(jù)是一切的基礎，無論是為頂層設計的決策支持，還是為個人教育發(fā)展的個性化服務，都離不開大數(shù)據(jù)的支持。一個良好的教育生態(tài)圈，其數(shù)據(jù)大致可分為基礎數(shù)據(jù)和運行數(shù)據(jù)兩類。

基礎數(shù)據(jù)——即用戶的身份、角色等個人信息相關的基礎數(shù)據(jù)。基礎數(shù)據(jù)的來源主要取決于線下。當用戶從線下轉移到線上時，這些基礎數(shù)據(jù)通過其主體的認證系統(tǒng)，進入到線上的系統(tǒng)中。

運行數(shù)據(jù)——即各線上系統(tǒng)在運行過程中產(chǎn)生的數(shù)據(jù)。這些數(shù)據(jù)由應用系統(tǒng)通過數(shù)據(jù)接口提供。

這兩類數(shù)據(jù)共同構成大數(shù)據(jù)分析的基礎。

頂層設計框架的關鍵點在于構建通道，形成連接，讓數(shù)據(jù)在各個主體之間能順利地流通。當今資源共享，數(shù)據(jù)流通過程中的一大阻礙便是數(shù)據(jù)的流向缺乏審計和控制，令共享者心存顧慮，難以擴大共享的范圍。而身份的認證和授權正是打消這種顧慮的最佳方式，并且身份的認證和授權本身即是數(shù)據(jù)流通的一種入口。因此，一個有效的，完備的身份認證體系框架，是實現(xiàn)區(qū)域信息化頂層設計框架的關鍵。

以上海市為例，根據(jù)頂層設計所規(guī)劃的上海教育身份認證體系總體框架如圖1所示。

圖2　上海教育系統(tǒng)跨校認證聯(lián)盟邏輯架構

上海教育身份認證體系的設計與實踐

上海教育系統(tǒng)跨校認證

上海教育系統(tǒng)跨校認證聯(lián)盟是一個分布式的身份認證聯(lián)盟。聯(lián)盟內(nèi)信任各個認證子域的認證結果，與各個子域的身份認證系統(tǒng)進行對接，實現(xiàn)跨校認證。目前已經(jīng)有40個子域加入聯(lián)盟，并且還在不斷地擴展中，總用戶規(guī)模超過100萬，活躍用戶近5萬。

聯(lián)盟內(nèi)目前有上海教育無線通，上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺，上海市東北片跨校輔修平臺等多樣化的優(yōu)質(zhì)資源應用，這些應用均基于跨校認證的平臺進行開放和共享。

聯(lián)盟的框架基于開源組件 Shibboleth實現(xiàn)。

1.Shibboleth 簡介

Shibboleth是一種標準化的開源軟件，用于組織成員之間通過Web進行單點登錄。Shibboleth支持節(jié)點之間的個體在訪問受保護的資源時，提供安全、隱私的身份認證服務。

其主要由三個部分組成：

（1）IDP（Identity Provider，身份提供者）

圖3　 跨校認證訪問

身份提供端：主要作用是向資源提供者提供用戶的屬性，以便使資源服務器根據(jù)其屬性對其訪問操作進行授權和響應。

（2）SP（Service Provider，資源提供者）

資源服務提供端，主要作用是響應用戶的資源請求，并向該用戶所在的IDP查詢用戶的屬性，然后根據(jù)屬性作出允許或拒絕訪問資源的決策。

（3）WAYF（Where Are You From，認證中心。Shibboleth 2.0之后更名為DS，即DiscoveryService，但是習慣上依然稱為WAYF)

2.應用發(fā)展現(xiàn)狀

基于上海教育跨校認證，我們通過自主開發(fā)應用、與現(xiàn)有平臺對接等方式，提供了一批優(yōu)質(zhì)的應用資源。由于跨校認證的特點，推廣較為順利，用戶體驗較好，獲得了用戶的好評。以下簡單介紹三個較為有特點的跨校應用：

圖4　身份認證節(jié)點使用分布

圖5　用戶終端分布

（1） 上海教育無線通

上海教育無線通是一個基于跨校認證的無線資源共享方案。其設計邏輯類似于全球無線漫游框架 Eduroam ，用戶用自己學校的用戶名和密碼即可在支持的學校使用無線資源。區(qū)別在于 Eduroam 所使用的技術基于 802.1x 和 radius，完全采取分布式的管理，對提供漫游的學校技術管理要求較高，而上海教育無線通基于 Web portal，采取半中心式半分布式管理，對學校的技術管理要求相對較低，易于推廣。

（2） 上海市東北片跨校選輔修平臺

跨校輔修專業(yè)是上海市東北片高校合作辦學教學協(xié)作組本著優(yōu)勢互補、資源共享、互惠互利、協(xié)調(diào)發(fā)展的合作精神，在上海市教委和上海市東北片高校合作辦學管理委員會的直接領導和支持下的一種合作辦學模式，它允許上海市東北片復旦、同濟、財大、上外等12所高校的優(yōu)秀學生選修其他學校開設的跨校輔修專業(yè)，經(jīng)考核合格，可獲得其他學校頒發(fā)的跨校輔修專業(yè)證書。上海市東北片跨校選輔修平臺（http://www.kxxfx.shec.edu.cn）的認證方案采取跨校認證模式，傳遞登錄人員的屬性，避免了給用戶二次開設賬戶的過程，也為開設和選修相關課程的師生帶來了便利。

（3） 上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺

“上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺”（http://www.kxzy.sh.edu.cn） 是在上海市教委的組織領導下構建的一個資源共享項目，其宗旨是將上海地區(qū)高校自建數(shù)據(jù)庫、特色資源數(shù)據(jù)庫、優(yōu)質(zhì)資源數(shù)據(jù)庫等共建共享。目前平臺已整合了復旦大學、東華大學、上海師范大學、上海外國語大學、同濟大學、上海海洋大學、上海電力學院等學校12個優(yōu)質(zhì)資源庫，涉及民國書刊、古籍、圖書、教參、學位論文等多種資源類型。平臺共有資源超過30萬條，其中85%的資源提供電子全文，15%的資源提供印本全文。其中電子資源的授權訪問基于跨校認證平臺實現(xiàn)。

（4） 應用數(shù)據(jù)分析

雖然在跨校認證的框架下，尚缺乏應用內(nèi)的數(shù)據(jù)共享機制。但是根據(jù)用戶通過跨校認證的流量數(shù)據(jù)，亦可見一斑。

如圖3所示，跨校認證的日均訪問人次在2000～4000不等。且在學期內(nèi)，訪問頻次呈周期性現(xiàn)象，逢周末則訪問量劇增。其原因可推斷為周末時用戶的跨校互訪頻率增加，且跨校選輔修學生在異校學習，因此跨校無線通的訪問量較大，且部分跨校選輔修學生可使用基于跨校認證的教參系統(tǒng)中的相關教材。

如圖 4所示，各學校的跨校認證用戶分布較為平均，基本與學校的規(guī)模相當。

如圖5 所示，用戶的終端分布中，移動端的分布已經(jīng)超過PC端的分布比重。可見如今的用戶終端已經(jīng)是移動端占據(jù)多數(shù)，應用的開發(fā)應以移動為先。

如圖 6所示，用戶的瀏覽器分布中，以Chrome 和 Safari 為主，傳統(tǒng)的微軟 IE瀏覽器占比已經(jīng)不足 15%。這其中顯然有移動端流量占據(jù)主流的原因。

圖6　用瀏覽器端分布

上海教育認證中心

基于 Shibboleth 的跨校認證框架很好地解決了分布式認證的問題，并且為基于用戶屬性的授權提供了很好的方案。然而其對于應用的授權卻比較簡單，是基于認證節(jié)點的分布式授權，缺乏中心化的授權管理。因此，各認證節(jié)點向應用所傳輸?shù)纳矸輸?shù)據(jù)也缺乏標準，數(shù)據(jù)結構散亂，需要二次整合。分布式的框架架構必須要存在中心化的管理，否則必然會成為一盤散沙。

因此我們需要一個中心化的授權管理機制，來統(tǒng)籌應用節(jié)點與認證節(jié)點之間的對接。同時又不能破壞現(xiàn)有的分布式認證框架。我們給出的方案是Oauth2+Shibboleth。通過Oauth2進行授權管理，通過Shibboleth進行分布式的認證。其框架圖如圖7所示。

如圖7所示，認證中心作為身份認證的統(tǒng)一交換平臺，對接應用市場和跨校認證聯(lián)盟框架。應用通過Oauth2的開放接口進行授權，授權時調(diào)用統(tǒng)一認證接口——即跨校認證接口對接Shibboleth框架進行分布式認證。通過認證傳遞用戶屬性數(shù)據(jù)，這些數(shù)據(jù)在身份認證中心的平臺中進行整合清洗，封裝為統(tǒng)一的數(shù)據(jù)標準格式，以API接口的形式發(fā)布予以應用調(diào)用。

認證中心采取的Oauth2授權模式，是互聯(lián)網(wǎng)主流的授權方案，便于應用的快速接入，非常有利于推廣。同時數(shù)據(jù)通過先流入認證中心，再授權給應用的模式，提供了數(shù)據(jù)清洗的契機，有利于數(shù)據(jù)結構的標準化，這對于應用的對接推廣也是極有幫助的。基于此，我們就能夠通過認證中心構建一個開放的授權平臺，類似于微信/微博/人人網(wǎng)等開放授權平臺，從而形成一個區(qū)域教育信息化的生態(tài)圈。

然而由于用戶的身份數(shù)據(jù)將先進入認證中心再予以應用授權，因此存在數(shù)據(jù)隱私保護的問題。在這方面目前還缺乏相應的規(guī)定和標準，如何在數(shù)據(jù)隱私保護和數(shù)據(jù)整合之間取得平衡，是一個需要認真考慮的問題。

圖7　Oauth2授權流程

總結和展望

資源共享的難點在于消除資源共享者的顧慮和不信任感，而身份認證正是一個極佳的途徑。通過跨校認證的技術，我們在無線資源的共享上、在教學資源的共享上、在圖書館藏資源的共享上都做了一定的嘗試，并得到了很好的效果。同時在這些資源共享的實踐中，我們也在一定程度上形成了資源共享的標準規(guī)范，例如《跨校認證系統(tǒng)屬性規(guī)范草案》，《上海教育身份認證體系標準規(guī)范》等，取得了一些成果。

在今后的工作中，我們將在三個方面做進一步的努力。在應用的接入推廣上，利用上海教育認證中心的Oauth2框架，構建開放的認證授權平臺，為應用提供更便捷更簡單的對接方案；在用戶的接入推廣上，通過一部分應用的試點，推動更多的優(yōu)質(zhì)應用加入開放平臺內(nèi)，通過應用來驅動用戶，推動用戶的使用；在系統(tǒng)的穩(wěn)定性和保障上，通過統(tǒng)一的監(jiān)控平臺，監(jiān)控各個認證節(jié)點和應用的狀態(tài)。并建立退出機制，對于系統(tǒng)維護不力，也沒有意愿維護的節(jié)點和應用，允許其退出平臺，進而提高整個平臺的服務保障能力。

（作者單位1為華東師范大學信息化辦公室,2為上海市教育委員會信息中心）