校園網與教育城單點登錄系統的異構對接

周軍

（廣州市建筑工程職業學校，廣東 廣州 510403）

校園網與教育城單點登錄系統的異構對接

周軍

（廣州市建筑工程職業學校，廣東 廣州 510403）

廣州市教育部門搭建了“數字教育城”，可以將各學校的應用系統通過單點登錄整合到其中，以實現較高級別的資源共享。但由于各學校的實際情況差異較大，整合過程必然會存在一些客觀問題。本文探討了廣州市中職、中小學在接入廣州市數字教育城單點登錄系統中可能遇到的部分特殊問題，尤其對已經有自己的單點登錄方案的學校如何進行異構對接，提出了比較適合現階段實際情況的良好解決方案。

單點登錄；SSO；異構

1 引言

目前，信息化建設在學校已經開展很多年了，而廣州的中職、中小學中，有一部分已經完成了校內系統的SSO（Single Sign-On，單點登錄）系統改造，有些則處于改造或觀望的過程中。考慮到廣州市多數中職、中小學技術力量薄弱，缺乏資金，廣州市教育部門搭建了“數字教育城”，將這些學校的應用系統納入到“數字教育城”統一認證平臺就能解決很多問題，實現更高級別的資源共享與單點登錄。但是，由于各學校自身的實際情況差異較大，比如地理位置、網絡環境、管理方式、應用系統具體情況等，部署過程中必然會遇到一些現實中的問題，而且相對于特定的“數字教育城”，有些學校現有的SSO系統要對接異構的SSO系統，更可能存在一定難度。那么本文希望找到合理方案解決這些實際問題。

2 廣州“數字教育城”信息系統介紹

廣州市教育局打造的廣州“數字教育城”信息系統，目前項目第一、二期已基本完成。該系統將分散、異構的應用和信息資源進行整合，通過統一的訪問入口，實現各種應用系統的無縫接入和集成[1]。那么各接入軟件系統就必須按該系統接口規范進行單點登錄整合，并按要求接收用戶基礎數據的下發與同步。如圖1所示。

“數字教育城”信息系統接口技術規范規定：

統一身份認證平臺的用戶基礎數據是權威數據，各業務子系統必須保存一份用戶基礎數據的備份。用戶登錄完成后，統一身份認證平臺捎帶給業務子系統的用戶基礎數據包含一個時間戳，業務子系統必須將該時間戳與本地備份進行比較，如果不一致，則更新為與權威數據一致[1]。即數據必須下發和備份，并且更新同步為從上往下的模式（“數字教育城”認證平臺的用戶基礎數據是權威數據）。

圖1 廣州市“數字教育城”統一認證平臺

3 接入“數字教育城”異構單點登錄平臺的問題

“數字教育城”信息系統項目為多數中小學校的教育資源接入與統一認證指明了方向，使多數學校有了一個未來的標準，也為教育資源的使用與交流提供了一個良好的平臺。但特定的方案對接入的具體學校來說也存在一定的難度：該方案實施之后，還需要在不同具體環境下實踐檢驗并繼續完善；各類學校原有應用系統種類多，且沒有統一的數據標準，要覆蓋所有應用系統短期還不太適合；各類應用系統要改造還需要長期的過程，尤其是那些連技術支持都沒有的應用系統，很難進行改造；有些學校有自己的單點登錄系統，如何接入“數字教育城”成為目前面臨的一大難題。

經分析，針對學校的一些實際情況，與一般單點登錄項目不同，接入“數字教育城”統一登錄平臺可能面臨如下問題：

（1）各應用系統用戶基礎信息條目不一致，校內各應用系統作用不同，要求的用戶基礎信息數據項差距也較大。對于“數字教育城”要求的數據下發備份，有些應用不便或不能修改。

（2）無需也無必要所有業務子系統都保存“數字教育城”下發的全部用戶基礎數據的備份。各學校應用種類繁多，權威數據塊的現有下發機制也不容許分散針對各應用系統進行分散處理。

（3）校內應用多種多樣，使用的用戶也經常有些特殊情況，比如短期臨時兼職教師，臨時任務工作人員，交流的學生，臨時考試的競賽學生等，他們僅僅需要臨時使用校內少部分應用系統，不涉及到大多數應用系統更不涉及到“數字教育城”的應用。那么就沒有必要使用“數字教育城”的統一登錄平臺，也避免從上往下大規模同步用戶基礎數據。

（4）線路狀況負載、帶寬有限，尤其是有些郊區學校只有100M的教育網帶寬，城市邊緣地區經過匯聚往往可能導致線路特別擁擠繁忙，再加上“數字教育城”中心機房鼓勵學校托管各類應用服務器甚至文件服務器。帶寬的不足導致延時與堵塞嚴重，應用系統也受到極大影響，嚴重時甚至無法正常開展教學。若直接套用“數字教育城”統一登錄平臺的話，無疑將受到不同程度的影響。

（5）光纖線路經過城市邊緣地區，根據以往經驗，常出現各類事件導致光纖中斷，而維修時間通常需要1-3天，線路中斷將會嚴重影響各應用系統的使用。

（6）“數字教育城”統一登錄平臺中的偽單點登錄（模擬單點登錄）不能含有驗證碼，那么對于陳舊的難于修改的應用系統，其遭受機器人暴力登錄的風險相對較大。為規避類似風險，這部分應用很難對接“數字教育城”，則很多舊應用系統仍然會陷入各自登錄的現有狀態下。

（7）有些學校有自己的單點登錄系統，推倒重建可能存在較多的問題。如果保留原系統的話，數字教育城大方案如何接入。

4 背靠背的解決方案

為了解決上述存在的問題，需要對學校接入“數字教育城”統一登錄平臺的方式進行改進。我們設計了新的接入方案，采用對接的方式解決問題，尤其對存在上述問題的學校或者已建立自己適用的單點登錄方案的學校將更有意義。以學校內部采用CAS（Central Authentication Service）單點認證為例，如圖2所示。

圖2 校內SSO認證平臺對接“數字教育城”統一認證平臺

（1）學校保留內部的單點登錄系統平臺不變，校內應用系統仍然使用校內CAS認證平臺進行身份認證。

（2）將“數字教育城”統一登錄平臺及其應用系統看成是一個特殊的封閉應用系統，我們使用基于自配置的模擬登錄方式將其集成到校內的CAS單點登錄系統之內。通常的單點登錄方案是將各應用系統置于頂層SSO架構之下，而本方案是從“學校”視角將上級SSO架構置于下層SSO架構之內或者進行對接，屬于異構SSO的對接。

（3）反過來，從“數字教育城”的視角，則學校就是一個普通的應用系統，只不過是一個較大的綜合應用整體，與一般單點登錄方案中應用系統整合到單點登錄系統中無異。但該應用系統卻整體上符合“數字教育城”的接口規范接入條件。

（4）由于“數字教育城”規范方案發布的時間不是很長，且各種客觀條件暫時還不完善，各學校接入“數字教育城”容易存在一些客觀問題，但若將其看成是一個陳舊的封閉應用系統，以此視角來解決問題卻并無不便，反而可以提出新的解決方案。等將來客觀條件完善了，我們再根據當時的客觀情況來進行一些方案調整。

（5）此種方案可以保證校內認證系統架構的穩定不變，不會對現有業務造成較大影響，對各內部外部系統的設計目標與未來改進方向也影響較少，兼容性較佳，修改起來也方便。該方案極大地減少了改造的困難度、資金成本、人力投入，并能縮短改造時間，降低風險。

使用此種改進模式，在CAS認證服務器與“數字教育城”統一認證平臺之間的接口處，需建立一套自配置的應用系統認證信息[2]，這些信息按照“數字教育城”接口規范的要求建立用戶基礎數據，并且這些用戶的賬號與校內CAS系統賬號相映射，組織成賬戶映射表。當用戶登錄“數字教育城”的應用時，后臺直接對“數字教育城”提交相對應的驗證信息，完成登錄的過程。

實際創建過程中，若學校還存在其它的難于改造的老舊系統，無論已進行單點登錄整合還是未整合，都可以將本對接工作綜合起來考慮，減少工作量。

5 自配置賬戶基礎信息的創建與查詢

“數字教育城”單點登錄系統在完成驗證后，會將用戶基礎信息以XML的形式傳回到學校應用子系統，包括學校、年級、班級、用戶、所教學科等基礎數據，學校自配置賬戶可根據這些內容構建數據項，并且建立與內部CAS單點登錄平臺相關的賬戶映射表。具體內容如表1和表2：

表1 教師用戶基礎信息[1]

表2 學生用戶基礎信息[1]

學校可根據“數字教育城”提供的接口向用戶基礎信息服務器進行查詢，查詢時必須攜帶日期信息，基礎信息服務器根據該日期將此日期后發生變動的數據下發給學校子系統。

6 自配置賬戶基于捎帶的時間戳同步機制

為了保持接入“數字教育城”各應用系統的用戶基礎數據與權威源數據一致，在學校端的自配置賬戶基礎信息中，需攜帶時間戳，然后采用基于捎帶的時間戳同步技術同步上層數據[1]。

在“數字教育城”統一登錄平臺權威數據中的源用戶基礎信息中有一個時間戳字段，記錄數據被修改的時間，同時學校應用子系統也保存有用戶基礎信息，那么該信息需要加上一個時間戳。當用戶用單點登錄技術登錄到統一登錄平臺時，該用戶的基礎信息以及時間戳會以XML的形式捎帶到應用子系統，應用系統只需比較捎帶過來的時間戳與自己的是否相同，如果不同，則以源系統數據為準修改應用系統的用戶基礎信息。

具體流程如圖3所示：

圖3 基于時間戳的同步方法

7 小結

本文探討了學校接入廣州市“數字教育城”信息系統后將可能遇到的一些問題，然后提出合理的背靠背解決方案，并對該方案的實現要點進行了分析，可以將數字教育城方案更好地落實下來。我們希望通過本文的探討能起到拋磚引玉、廣開思路的作用，用合適的方式，解決具體環境實踐過程中產生的一些問題。

[1]謝嶸，方昆陽．廣州“數字教育城”接口技術規范(征求意見稿)[S].廣州市教育局，2014．

[2]張齊，鐘觀寶．基于用戶映射的CAS單點登錄系統設計與實現[J].信息通信技術，2009(04)：6-10．

[3]龍超．單點登錄方法研究及模型實現[D]．北京：北京交通大學，2011．

[4]曹曄．基于校園網的單點登錄系統的研究與設計[D]．北京：首都經貿大學，2009．

[5]鄧軍，葉柏龍，薛輝．基于驗證代理的單點登錄技術解決方案[J].電腦與信息技術，2006(3)：77-79．

[6]嚴悍，張宏，許滿武．基于角色訪問控制對象建模及實現[J]．計算機學報，2000，23(10)：1065-1069．

[7]林滿山，郭荷清．單點登錄技術的現狀及發展[J]．計算機應用，2004，6(24)：248-250．

Heterogeneous Docking between Campus Network and Guangzhou Digital Education City SSO System

Zhou Jun
(Guangzhou Construction Engineering Vocational School,Guangzhou 510403,Guangdong)

The Guangzhou Digital Education City has been set up by the Education Department of Guangzhou,and the application system of each school can be integrated through SSO to realize the sharing of higher level resources.But because the actual situation of each school is quite different,the integration process is bound to have some objective problems.This paper discusses on some special problems that may be encountered in the access of Guangzhou Digital Education City SSO system in secondary vocational schools,especially on how to realize heterogeneous docking for the schools which have its own SSO system,and puts forward a good solution for the actual situation.

single sign-on;SSO;heterogeneous

TP311.52

A

1008-6609(2017)07-0038-04

周軍（1977-），男，江西萍鄉人，本科，計算機實驗師，研究方向為計算機網絡技術。