聯合認證：搭建高校信息化合作基礎

文/張丹東

隨著高校信息化工作的不斷深入，高校間的合作在逐漸加強，而高校間信息化合作的基礎就是聯合認證，本文梳理目前國內高校的一些聯合認證項目的基本情況，提出一些對未來工作的思考。

Eduroam項目

Eduroam(education roaming)是專為科研和教育機構開發的安全的環球跨域無線漫游認證服務，現已覆蓋全球八十余個國家和地區的數千家科研機構和教育機構。

加入Eduroam聯盟的機構成員可使用本機構提供的合法賬號，可在全球已加入Eduroam聯盟的機構內實現無線網絡訪問的無障礙漫游。

Eduroam CN中國頂級節點于2014年引入中國并投入運行，由中國科學院計算機網絡信息中心負責運行與管理：http://eduroam.cstnet.cn/。

2015年4月，北京大學作為國內第一所高校加入了Eduroam聯盟，并作為該聯盟在中國高校的管理單位，截至2018年7月，已有126所國內高校接入Eduroam聯盟，另有43所高校在調試中。網址：http://www.eduroam.edu.cn。

其應用單一，覆蓋范圍明確。只為聯盟的機構成員間提供無線網絡漫游服務。認證簡便，自動連接，接入安全和賬戶安全設計合理，賬號密碼保持在原機構的控制范圍內。整個體系簡單高效，接入配置和日常管理很簡單。

中文資源數量巨大對國內的教育和學術活動影響巨大，需要建立一個以中國高校為主發起一個聯合認證項目，為所有學術資源提供一個易用的單點登錄服務。

因為中國網絡安全相關法律的要求，北京大學、清華大學等高校啟用了二次認證，需要本校教職工授權訪問后方可使用。

CARSI項目

中國教育和科研計算機網統一認證和資源共享基礎設施（CARSI, CERNET Authentication and Resource Sharing Infrastructure）是由北京大學發起的一項跨域認證授權服務，服務對象為中國高校和各科研院所。在國內高校已經普遍建設完成的校園網統一用戶管理和身份認證系統的基礎上，建設一套用戶身份和應用資源共享機制，將師生的校園網身份應用于訪問其他高校提供的優質資源或者互聯網優質資源。

CARSI以國際國家級教育科研網NREN（National Research and Education Network）普遍采用的美國Internet2 Shibboleth中間件為技術基礎，符合國際標準，方便接入在其他國家已經成功部署的Shibboleth應用資源，比如Thompson Reuters、EBSCO等圖書館電子資源。2017年8月，CARSI項目組向國際身份聯盟組織eduGAIN提交了加入申請。調試完成后，和其他國家教育科研網共享應用資源將變得更加容易，網址：http://www.carsi.edu.cn/index_zh.htm。

其應用面廣，可以為大多數Web應用提供認證服務，可以攜帶用戶屬性，將應用根據用戶屬性進行區別授權。

接入成員分為用戶類和資源類，截至2018年6月已有接入用戶類成員數量為77個，接入資源類成員數量為21個。接入程序復雜度和技術難度高于Eduroam，需要接入機構與資源類成員逐一接洽，接入Eudroam后的二次接入工作量比較大，且目前接入的資源類都是國外的學術資源，范圍較小。

eduGAIN項目

eduGAIN項目是一個致力于實現單點登錄訪問教育和科研資源的國際項目，目前有超過五十個國家和地區的2672個用戶類成員、1909個資源類成員接入。該項目接受身份認證聯盟申請加入，是Shibboleth認證聯盟的聯盟。中國的CARSI項目和科學院CST Cloud Federation項目都在申請加入eduGAIN項目，網址：https://edugain.org/。

上海教育認證中心項目

根據上海教育信息化頂層設計概要“一網三中心兩平臺”的總體需求，上海教育認證中心（以下簡稱EAC）是三大中心之一，它將實現基于多特征及多身份的教育對象全周期一體化認證信息管理。

在各區縣、各學校乃至各學段均可采用各自符合身份標準信息集的統一身份認證管理域的前提下，EAC將通過上海教育認證中心建設，實現多協議支持的跨校聯盟，一方面實現身份終身化和成長跟蹤，識別學生成長過程，并成為數據分析的重要依據；另一方面實現與互聯網主流標準的兼容，成為互聯網領域重要的身份來源，服務于教育系統內外的應用。

上海教育認證中心向各子域提供云端服務方式和IdP代理方式兩種接入方式。

上海教育認證中心向各應用提供SAML 原生，Shibboleth SP 代理, Oauth2三種對接方式。

典型應用有四個：1.教育無線通，用于跨校無線網絡漫游。2.東航校園行是東方航空公司基于上海教育跨校認證的特色應用，有專屬購票優惠政策。3.跨校輔修，2009年起，跨校輔修（東北片區）新系統結合上海市教委身份認證平臺，可解決大部分高校學生登錄學習系統的問題。4.“慧源”——上海地區高校優質資源共建共享平臺（http://www.kxzy.sh.edu.cn）是在上海市教委的組織領導下構建的一個資源共享項目，其宗旨是將上海地區高校的自建數據庫、特色資源數據庫、優質資源數據庫等進行共建共享。

CALIS聯合認證項目

中國高等教育文獻保障系統（China Academic Library & Information System,簡稱CALIS），是經國務院批準的我國高等教育“211工程”“九五”“十五”總體規劃中三個公共服務體系之一。CALIS的宗旨是，在教育部的領導下，把國家的投資、現代圖書館理念、先進的技術手段、高校豐富的文獻資源和人力資源整合起來，建設以中國高等教育數字圖書館為核心的教育文獻聯合保障體系。

在CALIS項目實施過程中，建立了一套基于高校圖書館管理系統的高校認證CALIS-UAS聯合認證，目前加入高校800多所，服務于所有的CALIS聯盟高校，用于訪問項目資源和服務：http://www.calis.edu.cn/。

類似于CALIS的還有CASHL、CADAL等一些圖書資源類的共享聯盟，也建立了相關的聯合認證。

OpenAthens聯合認證項目

OpenAthens是一個非營利性的國際認證服務項目，目的是簡化用戶與資源間的使用成本。用戶接入后，可以免于逐一與資源進行接洽。此項目收取一定服務費用，網址：https://openathens.org/。

思考與分析

目前了解到的適合高校加入的聯合認證項目基本就是這些。從加入項目的用戶機構數量、資源服務數量和易用性幾個方面來看，各國項目的實施時間早，接入用戶數量巨大，資源豐富。

國際網絡聯合認證Eduroam項目只應用于網絡漫游認證，國際上普及度極高。目前接入高校數量增加較快。

地區認證聯盟的聯盟eduGAIN也比較成熟，各國的地區認證聯盟大多已經加入或者正在申請加入，以便降低聯盟的管理工作量。因為成員高校的管理工作量較大，催生了Athens認證聯盟，適度收費降低成員的管理工作量，也得到了廣泛的應用。目前國際上主流學術資源服務都支持shibboleth認證（通過某個地區聯盟或者eduGAIN）和Athens認證。

國內來看，上海地區教育認證中心項目，局部的普及度高，接入應用全面，在接入應用方面突破了教學科研的限制，東方航空公司的接入，為未來各種商業資源的接入做出了示范。在認證標準方面，也做了擴展，適合國內各種資源和應用接入。目前只對上海地區學校服務。

此外，CARSI項目完全符合國際標準，目前在逐步推廣應用中。

未來來看，中國高校數量眾多，在校師生數量巨大，中文資源數量巨大，信息化服務質量對國內的教育和學術活動影響巨大。需要以中國高校為主發起一個聯合認證項目，為所有學術資源提供一個易用的單點登錄服務，優先為中文資源服務基于用戶登錄的資源服務，有多種益處：

1.可以基于用戶登錄訪問資源，不受用戶所在地點的限制，徹底擺脫使用VPN和代理的不便和問題。

2.服務方將能夠提供更加細致的服務統計報告，為高校采購數字資源決策和科研管理與服務工作提供重要的基礎數據。

3.數字資源的采購模式也可能會發生改變，高校可以采購精確的用戶數或者基于下載、瀏覽資源的數量按照單價付費。

4.可以對接商業資源，為高校師生提供定向精確的優惠服務，拓展高校聯合認證的價值。

5.兼容國內高校的網絡漫游認證需求。

6.可以建立跨校的資源，基于實際使用量分擔建設費用。

建立中國高校聯合認證的想法目前得到一定的認可。如上海市教委和上海高校正在研究如何對非上海地區的高校開放上海市教育認證中心的認證服務，以及建立中國高校聯合認證的可行性。同時，中國高校圖書館行業，基于自身工作的需要以及前期聯合認證的實踐，也在討論如何將聯合認證與中文資源結合。