國內外數字資源認證聯盟比較及啟示*

劉劍濤 唐崇忻 瞿輝

探索與交流

國內外數字資源認證聯盟比較及啟示*

劉劍濤 唐崇忻 瞿輝

（華僑大學圖書館，泉州 362021）

用戶獲取圖書館數字資源最先面臨且無法繞開的障礙是身份認證。在國外以聯盟形式集合教學研究機構和資源供應商共同參與的聯合認證已形成趨勢，而國內這項應用剛剛起步。本文從章程制定、管理體系、運營發展和規模服務等方面對國內外數字資源認證聯盟展開比較，分析國內聯盟面臨的問題，進而提出生態化建設、大數據應用、移動社交融合和數據隱私保護等發展策略。

高校圖書館；數字資源；認證聯盟

現今高校師生和科研人員遠程訪問圖書館數字資源的需求與日俱增，通過代理服務（Proxy）和虛擬專用網（VPN）進入校園網的訪問量隨之增加，如并發用戶受限、設置操作煩瑣、網絡環境變化、惡意訪問封鎖等問題頻發，嚴重影響用戶體驗[1]。由北京大學適時推廣的CERNET認證和資源共享基礎設施（CERNET Authentication and Resource Sharing Infrastructure，CARSI）在保障資源版權的前提下有效解決了此類問題，使得CARSI聯盟規模短期增長25倍[2]，起到了良好的示范效應。

數字資源認證聯盟已有十余年的發展歷程，國外首個聯盟是成立于2006年的美國InCommon[3]，我國聯盟建設始于2007年“863項目”支持下的CARSI。但在新型冠狀病毒肺炎疫情（以下簡稱“新冠疫情”）爆發之前接入CARSI的高校和資源商數量及影響力都非常有限[4]，相關的學術探討主要從技術角度研究聯合認證的可行性及操作性[5-8]，與資源認證聯盟運營和發展相關的論述不多。

現今資源遠程訪問逐漸成為一種常態，如果不能解決數字資源訪問的“最后一公里”問題，圖書館作為文獻資源保障中心的地位將會隨之削弱。本文將對國外和國內資源認證聯盟發展現狀進行比較，闡述國內在該領域所面臨的問題，進而提出促進數字資源認證聯盟可持續發展的策略。

1 數字資源認證聯盟概述

數字資源認證是指圖書館和資源商為保護版權及相關利益，對所提供的數字資源服務采取的使用限制措施，其目的是準確識別用戶的合法身份。圖書館在外購數字資源時，資源商會要求簽訂版權使用協議，嚴格規定資源的使用范圍、使用權限以及單位時間內的下載量等，一旦出現違規情況，資源服務可能被隨時暫停，甚至追償使用方侵權責任。IP認證和賬號認證是兩種常見的保護機制：IP認證實現簡單，適用于位置固定、人員較為集中的機構，資源平臺只要識別到用戶IP來自授權范圍即開放使用權限；賬號認證不受位置限制，但圖書館要分別向每個資源平臺同步一份白名單，只有通過賬號和密碼驗證的用戶才能訪問資源。

這兩種認證各有缺點，IP認證不能精確識別用戶個體，給越來越多的校外合法用戶帶來諸多不便；賬號認證不僅維護量大、數據更新不及時，用戶還要在不同資源平臺頻繁登錄，在實際應用中難以普及。認證聯盟概念的出現為解決上述問題提供了一個新的思路，即構建第三方認證平臺，由認證平臺、教學研究機構和數字資源商三方組成一個機構聯合體，以統一的技術標準在三方間實現跨域的身份聯合認證。簡單說，它允許圖書館用戶使用所在機構的身份信息登錄，在單點認證后即可訪問聯盟內所有資源方授權的數字資源。聯盟模式可以大大簡化認證流程，改善用戶體驗。

最早將認證聯盟概念付諸實施的是美國。2000年美國Internet2組織啟動開源認證項目Shibboleth，后來Shibboleth和結構化信息標準促進組織（Organization for the Advancement of Structured Information Standards）的SAML工作組合作，2006年發布的Shibboleth2.0版將SAML標準升級，首創一個包含多方參與并依托元數據的聯盟成員管理框架[9]，InCommon聯盟隨之成立。管理框架由三要素組成，即身份提供者（Identity Provider，IDP）、服務提供者（Service Provider，SP）和聯盟發現服務（Discovery Service，DS）。框架中的三要素分別與聯盟中各方成員相對應：IDP代表不同高校的身份認證中心；SP既可以是數字資源供應商，也可以是提供自建資源的高校圖書館；DS對應聯盟的平臺方，管理所有IDP和SP的元數據集合并提供認證服務。

依托Shibboleth成熟的架構與開源優勢，世界各國紛紛設立資源認證聯盟平臺。國外發展規模和趨勢較好的聯盟主要有美國InCommon、英國認證聯盟（the UK Access Management Federation，UKAMF）以及澳大利亞認證聯盟（Australian Access Federation，AAF）。國內現有3家聯盟，分別是CARSI、中國科學院下屬中國科技云認證聯盟（China Science and Technology Cloud，CSTCloud）以及區域性聯盟上海教育認證中心（Shanghai Education Authentication Center，SEAC）。除國家級聯盟外，歐盟還發起并贊助了一個國際級聯盟eduGAIN，用以實現全球數字資源認證的互聯互通，目前已吸引70多個國家級聯盟加入，連接全球2?600多家教育研究組織和機構以及1?800家服務供應商[10]。國內的CARSI和CSTCloud分別于2019年和2020年正式加盟eduGAIN。

2 國內外數字資源認證聯盟比較

從國內外數字資源認證聯盟的發展現狀來看，歐美發達國家具有建設早、規模大，以及組織管理和運營模式相對成熟的特點，因此本文嘗試對美國InComon、英國UKAMF、澳大利亞AAF數字認證聯盟與國內CARSI、CSTCloud、SEAC 3個認證聯盟進行對比分析，以期梳理出國內外數字資源認證聯盟發展的異同。參考張勤[11]、溫芳芳[12]的分析，并考慮到國內聯盟的實際情況，下文將比較內容綜合為章程制定、管理體系、運營發展和規模服務4個方面。其中規章和制度是維系聯盟穩定合作關系的重要保障，運營和規模能體現聯盟發展的實際狀況。

2.1 章程制定

國外聯盟大多數采用公司制形式，借鑒企業管理理念增強對聯盟組織的管理，其章程基本涵蓋了公司組織章程應具備的要素內容[13]，包括名稱術語、目標宗旨、管理機構的產生、成員權利和義務、加入和退出流程、責任認定和爭端解決、章程修訂及其他注意事項。

國內聯盟章程基本延續了國外的框架，但在部分條款上有所不同。如對于章程修訂，在提交執行委員會審批之前，國外聯盟要求經2/3成員代表投票通過，而國內運行團隊有權隨時修訂章程；在責任與賠償方面，不論損失和傷害是會員機構造成的還是聯盟平臺導致的，一般情況下國內聯盟平臺方均無須為聯盟成員或用戶的承擔責任；在爭端處理上，InCommon定義了一套完備的處置流程，按自行協商、指導委員會、教育署三級來處置，而CARSI在協商無果后直接提交有管轄權的法院處置?？傮w而言，國內聯盟參與機構相對弱勢，平臺方掌控更強話語權，考慮到我國法制仍在不斷健全，機構在參與聯盟時存在一定的隱憂。

2.2 管理體系

國外聯盟始于研究和教育網絡社區，其后以獨立的非營利機構運行。雖然InCommon和AAF實行公司制的商業化管理，但聯盟業務和事務管理仍保留社區共建的模式。如InCommon的指導委員會是最高管理機構，但聯盟標準制定、服務規范、白皮書、軟件，以及推薦做法等具體事務均來自社區，社區志愿者貢獻的軟件開發量占總量的30%以上，咨詢委員會成員超過50人，僅在2017年和2018年就舉行了12次公眾意見征詢。與分工明細的國外聯盟相比，國內聯盟的管理機構設置單一。如CARSI的指導委員會由CERNET技術專家委員會兼任，負責聯盟重大決策，下設的運行團隊負責技術開發、運行維護、市場推廣等多項工作，成員往往身兼數職。

國內外聯盟對于會員資格都有較嚴格審核。允許參與的機構包括教育機構、主管教育的政府部門、科研院所、數字資源服務商或與教育研究直接相關并得到會員推薦的贊助伙伴。為保障章程規定的權力和義務能夠得到切實行使和履行，UKAMF和AAF規定不具備法人資格的參與機構必須由上級機構與其達成協議并承擔聯盟會員的法律義務。國內聯盟條件適當寬松，高校參與者可由圖書館或網絡信息管理部門提出申請。

隱私保護是所有聯盟參與者共同關注的重點，國內外聯盟都單獨行文制定嚴格的隱私保護政策，在身份認證過程中強調數據最小化、數據保留、數據共享、數據合規等處理原則。然而國內外還沒有聯盟建立隱私數據的第三方監控或審核機制，隱私保護主要依賴參與者的自覺性。

2.3 運營發展

國外聯盟初創期往往得到政府資助，但后續經費由聯盟所有參與者共同繳納。InCommon參與者均需支付一次性注冊費和年費，其中注冊費用于加盟資格審核，年費作為日常運營經費。高校參與者基于卡內基分類法；研究機構根據全職等效人員（Full Time Equivalent，FTE）的人數；而資源商年費按公司年收入分級收取，即教育層次越高、人數越多、營業收入越高的參與者年費也越高。國內聯盟運營經費主要源于上級財政撥款，CARSI和CSTCloud目前實行免費政策，但在章程中均聲明保留后續收費的權利。

國外聯盟更加注重平臺的推廣，為吸引用戶關注和機構加盟，普遍在網站顯要位置向不同的受眾群體展示加盟的獲益。他們還會定期發放調查表，開展一些宣傳推介會和學術研討會，目的是吸引潛在機構并幫助現有成員提升參與度。相對而言，國內聯盟還處于平臺建設期。受制于預算，有限的經費更多用于平臺基礎設施的建設和維護，在宣傳推廣方面相對薄弱，僅CARSI在網站展示了一些高校加盟的成功經驗。

為保持聯盟良性運營和可持續發展，中外聯盟會因時因地開展特色服務。UKAMF在新冠疫情爆發后充分利用大數據優勢，指導IDP及時開放用以識別研究者身份的用戶屬性，使研究人員更容易加入新冠疫情防控相關的科研協作。國內聯盟為兼容更多的數字資源平臺，對國內廣泛應用的LDAP、OAuth2、CAS等認證協議進行了兼容適配，還初步嘗試將聯合認證技術接入移動端App[8]。

2.4 規模服務

參考高等教育規模，美國與中國相當，而澳大利亞與上海市接近，在參與機構和IDP數量上，國內外聯盟已相差不多。但是，觀察SP數量，InCommon是CARSI的70多倍，AAF是SEAC的近20倍，接入服務的數量差距巨大（見表1和表2）。從服務內容看，不管國外聯盟還是國內聯盟，核心服務內容都是圖書館數字資源，且優先加入的多數是知名的大型資源數據庫。

除學術資源更加豐富外，國外聯盟特別之處在于更加重視校園場景服務，InCommon有近1/4的SP是校園服務，內容涵蓋教學設施分配、校園日程管理、學校事務辦理、課程共享、展位申請、醫療衛生、招聘就業、住宿停車、師生優惠購等。這些SP不僅方便了師生，還可以豐富聯盟的營收渠道。

3 國內數字資源認證聯盟問題分析

比較發現，國內聯盟可以照搬國外的技術架構，但很難復制國外聯盟的管理運營模式，制度管理、運營發展和服務內容與國外聯盟存在一定差距，不同的國情是導致這些差異的主要因素。

3.1 三方合作存在壁壘

從政策上看，國內聯盟在管理權力分配上沒有給予參與方足夠的發言權，在責任認定和糾紛處置上，參與方處于相對不利的地位；在缺乏第三方監督的情況下，需承擔更多的風險和責任，這同時也削弱了眾多成員的參與意愿。認證聯盟作為一個合作型的組織，平臺方、教學研究機構和資源商三方的合作是一種相互博弈的過程，實現自身利益最大化或達到基本的付出與收益平衡是各合作方的基本動機和重要目標。在當前國內環境下，高校和資源方在加盟的風險支出上存在不同的顧慮。對于高校，在當前網絡安全法嚴格的要求下，如何保障IDP安保等級達標，如何保護用戶隱私安全，這些問題圖書館必須與網絡管理機關充分協商，并取得上級主管部門同意；對于資源商，用戶資源是其核心資產，轉移認證入口并不符合獨占的商業利益，短時間內要培養開放共享的意識并不容易。聯盟成員間的權力和義務的失衡長此以往不利于保持三方合作積極性。

3.2 管理體系趨行政化

從管理體系看，國內聯盟隸屬于高校、科研機構或政府部門，具有較強的行政化管理特色，執行力強是其優勢，但在人手不足、分工不細的情況下常常陷入單打獨斗的境地，不能有效發揮群策群力的效率優勢。社區共建是歐美國家長期實踐的管理模式，政府并不直接干預聯盟的管理，事務由下設的多個委員會民主管理。在共享文化長期熏陶下，聯盟成員具有積極參與意愿和民主管理意識，特別是不斷涌現的志愿者以服務作為實現自我價值的體現，保持了聯盟持續發展的活力。而國內，不論是高校還是資源商參與社區治理的意識相對薄弱，多數還停留在自上而下的組織方式，志愿者活動也有待進一步發展。因此國內聯盟可借鑒社區式管理經驗，在保持原有優勢情況下進行管理體系的優化。

3.3 國內經費模式存在困境

從運營模式看，國內聯盟經費來源有限，不能實現自給自足，直接導致運維和推廣乏力，參與方對技術支持的力度和隱私保護的可靠性顧慮重重。由于社會體制的不同，國外聯盟更多采用公司制管理，設有專門的財務部門對經費進行管理和審核，當聯盟達到足夠規模后，年費制可以保障充足的日常運營經費。雖然國內聯盟在章程中保留了收費的權利，但在起步發展階段即開始收費，可能引發各方參與機構的抵觸心理，特別是一些經費緊張的高校或中小型資源商對收費問題較為敏感，反而不利于聯盟規模的擴大。國內聯盟是高?；蛘块T的下屬機構，經費主要源自上級下撥和項目申請，預算要提前申請并且專款專用，不僅周期較長，而且結果難以預期，不利于運營活動的靈活開展。然而，這種經費模式也有其優勢，同為公益事業的一部分，聯盟如果積極為成員機構申請優惠政策或財政補貼，可以從下游解決經費難題，但這仍然需要一個多方復雜的磨合過程。

3.4 小型資源升級存在障礙

從服務的規?？矗瑖鴥嚷撁瞬粌H數量較少，服務種類也顯單調，服務廣度的不足導致聯盟吸引力大打折扣。事實上，除大中型在線數字資源外，圖書館在長期發展中還積累了大量自建特色庫和本地鏡像庫，這些數字資源不僅是圖書館要長期保存的財富，還應作為SP接入認證聯盟，擴大資源服務的廣度。然而，認證升級并非易事。其一，資源平臺可能由于軟件版本的更疊與現有聯盟接口不兼容；其二，原有資源商可能無法聯系或已轉行，售后服務堪憂；其三，圖書館技術力量相對薄弱，無力承擔此繁重任務。因此，面對有一定的技術難度和安全門檻的升級，圖書館只有選擇外包服務，但這又要增添額外經費或不可預計的時間成本。在認證聯盟前景不夠明朗的情況下，多數圖書館很難下定決心作出改變和調整，而更愿意維持原有的運作模式。

綜上所述，多重不利因素被持續反復疊加，在馬太效應的負面影響下，所形成的惡性循環致使聯盟的發展呈現不利趨勢[14]，導致國內認證聯盟長期處于發展緩慢的狀態。隨著中國知網加入CARSI，加快了國內聯盟發展速度。但國內聯盟長期以來存在的固有問題并沒有消失，仍亟待解決。

4 國內數字資源認證聯盟發展策略

4.1 構建生態化的數字資源認證聯盟

生態化聯盟由兩個維度組成。縱向維度是一個以學術資源為核心的垂直生態鏈。資源、信息、知識成為主要的產品，高校師生和科研人員是消費者，數字資源廠商是生產者，而高校圖書館作為中介負責資源采購和管理。這三者依托真實可靠的身份認證形成封閉式利益共同體。在這個共同體中，信息流、資源流和資金流可以健康有效地流動，構成一個良性循環的生態鏈。橫向維度是與校園生活息息相關的開放生態圈。除了學術資源，各種與校園有關的活動均可提供電子身份驗證。隨著網絡場景的不斷深化和運用范圍的擴展，認證聯盟將助推更加豐富和便捷的校園生活，商業服務的介入更可以幫助校園用戶獲得高質量的服務，也有助于打破校內外的商業壁壘，進一步加強校園內外的聯系，創造新的用戶價值。

如SEAC嘗試引入的“東航校園行”頗具吸引力，上海高校師生簡單通過聯盟認證后即可享受教育特惠機票?？梢灶A見，當參與者達到一定規模時，龐大的用戶量必然會吸引更多的資源商、應用商、社會機構的參與。反之更加優質豐富的資源與應用又助力更多學術機構的加入?？v向生態鏈和橫向生態圈互助互推，聯盟整體將進入共生、共享、共贏的良性循環。

4.2 推進大數據供需精準服務

傳統模式下，圖書館全面統計資源用量困難重重，無論在資源導航中計數，還是利用網絡日志分析，或者從資源商獲取再匯總，統計結果都不精確，不僅效率低，還容易泄露用戶隱私。聯盟認證統一了資源訪問渠道，身份提供機構可選擇性地提供用戶屬性，服務商也可以將資源使用記錄反饋回聯盟平臺。這些數據經過脫敏并不斷地積累，聯盟充分利用大數據技術深度挖掘，將結果以可視化的形式展現。這樣不僅資源方可以精準把握用戶需求，用戶也可以更充分了解資源產品，圖書館還實現了精準采購和管理，提高資金利用率。此外，大數據應用還有助于促進學術交流和研究合作。在全方位資源訪問數據的支持下，聯盟獲取的用戶畫像將更加精準，大數據成為紐帶把世界各地學者和研究人員聯系起來。

4.3 深度融合新媒體與社交網絡

移動互聯時代，如何適應新的數字化環境并利用好新媒體成為提升高校師生學習科研效率的關鍵。然而大多數的移動社交應用并不能認證用戶的學術身份，網絡虛擬社交的真實性和可信度不可避免受到影響。

當前各大資源商已逐步發力布局移動端應用。如中國知網的“全球學術快報”除資源訪問外，還實現了按學科、學者、項目、熱點定制信息流，以及個人專屬成果庫。這類具備社交屬性的資源App吸引的用戶越來越多，黏性越來越強。國內認證聯盟應當具備更加靈敏的嗅覺與這些App全面融合，如借助用戶黏性極強的微信平臺實現更多資源的接入，滿足日益泛在化和社交化的用戶需求。

4.4 完善自律、他律與第三方監管安全體系

國內外聯盟為保障聯盟的政策運行都制定了較為完整的政策文件，包括資源共享服務的基本規則、聯盟會員機構的權利和義務、數據保護要求、服務提供者和身份提供者管理標準等，但這些都屬于聯盟自律性文件?，F階段特別是大數據技術的推廣使用，隱私安全成為制約聯盟發展的一大隱患。因此，聯盟首先要保持對新技術進展的關注，如RA21的強化隱私保護計劃P3W[15]；其次，要嚴格遵守新出臺的《中華人民共和國網絡安全法》《個人信息安全規范》等法律法規，從法律的角度規范數據和個人隱私的安全問題；最后，從第三方角度，加速建立公正、客觀的第三方監管機構或組織，最終打造自律、他律、第三方監管三位一體的立體監管體系，推動聯盟平臺向規范化、制度化發展。

5 結語

雖然數字資源認證聯盟的發展已形成趨勢，但國外和國內聯盟在建設規模、管理方式、運營模式和服務范圍上存在差異。相對而言，國外發展較早，投入也較多，當前處于發展的前列。國內在該領域還處于起步階段，但頗具后發優勢，特別是龐大的高等教育規模和繁榮的移動互聯網應用蘊含巨大的潛力，有望推動聯盟進一步融合和發展。以生態發展的眼光來看，聯盟的可持續發展不僅需要技術的支持和運營的投入，更加迫切的是要建立一個各方參與者各盡其力、互惠互利的生態閉環。其中開放與共享是首要的理念，聯盟應該充分利用日益增長的用戶需求，通過服務模式創新或提升附加值的方式吸引更多參與者，規模化將是數字資源認證聯盟可持續發展的先決條件。

［1］ 宋爽，張國棟. 高校圖書館校外訪問系統最優建設策略研究［J］. 大學圖書館學報，2013，31（5）：101-105.

［2］ 加入eduGAIN一周年！CARSI服務亮點突出 用戶增長25倍［EB/OL］.［2020-10-20］. http://news.pku.edu.cn/xwzh/b72ad5c850c645ef8320a7243a76b09b.htm.

［3］ MITRANO T. InCommon：Toward building a global university［J］. Educause Review，2006，41（2）：74-75.

［4］ 陳萍. 教育網資源共享服務CARSI服務進展匯報［EB/OL］.［2020-10-20］. http://free.eol.cn/edu_net/edudown/2019/cernet25/eduroam/cp.pdf.

［5］ 王文清，柴麗娜，陳萍，等. Shibboleth與CALIS統一認證云服務中心的跨域認證集成模式［J］. 國家圖書館學刊，2015，24（4）：45-50.

［6］ 呂潔，陳萍，王文清，等. 基于聯盟身份認證和CALIS聯合認證的圖書館資源訪問方案［J］. 通信學報，2013，34（S2）：69-73.

［7］ 柴麗娜. 基于Shibboleth的跨域認證訪問系統設計與實現［D］. 北京：中國科學院大學（工程管理與信息技術學院），2016.

［8］ 王軍輝，錢慶，周琴，等. 數字圖書館移動身份認證系統研究與實踐［J］. 圖書館理論與實踐，2018（10）：98-103.

［9］ Shibboleth［EB/OL］.［2020-11-26］. https://www.shibboleth.net/.

［10］ eduGAIN［EB/OL］.［2020-11-26］. https://technical.edugain.org/status.

［11］ 張勤. 中美圖書館聯盟比較研究［J］. 圖書館理論與實踐，2005（2）：5-7，33.

［12］ 溫芳芳. 國內外圖書館聯盟發展模式比較研究［J］. 圖書館理論與實踐，2014（12）：43-46.

［13］ 胡芬琴，詹慶東. 法律視角下中美區域圖書館聯盟章程制定的比較分析［J］. 圖書情報工作，2016，60（16）：66-72.

［14］ 巢來春，聶娟，李楠. 動態聯盟內的馬太效應分析及對策［J］. 技術經濟，2006（9）：126-128.

［15］ GOULD E M. Authentication methods and recent developments［J］. Serials Review，2018，44（3）：247-250.

A Comparative Analysis of Chinese and Overseas Digital Resource Authentication Federations

LIU JianTao TANG ChongXin QU Hui

( Library of Huaqiao University, Quanzhou 362021, China )

The first step for the end users to obtain library digital resources is identity authentication. The federal authentication method in which educational organizations, research institutions and resource suppliers are jointly participated in the form of federations has become a trend in foreign countries. However, this application in China has just started. By comparing the differences among digital resource authentication federations in China and abroad, the article proposes some development strategies according to the domestic status quo, such as ecological construction, big data application, mobile social integration and data privacy protection.

Academic Library; Digital Resource; Authentication Federation

G250.7

10.3772/j.issn.1673-2286.2021.01.010

劉劍濤，唐崇忻，瞿輝. 國內外數字資源認證聯盟比較及啟示[J]. 數字圖書館論壇，2021（1）：67-72.

*本研究得到國家社會科學基金青年項目“區域創新中的知識擴散規律與保障機制研究”（編號：14CTQ020）資助。

劉劍濤，男，1976年生，碩士，館員，研究方向：數字資源、信息服務，E-mail：liujet@126.com。

唐崇忻，男，1968年生，本科，館員，研究方向：數字資源、計量分析。

瞿輝，男，1980年生，博士，副教授，研究方向：信息計量、知識管理。

（收稿日期：2021-01-02）