馮 騏

（華東師范大學(xué)信息化辦公室，上海 20062）

0 引 言

校際間的數(shù)字化資源共享已經(jīng)成為必然趨勢，例如無線接入服務(wù)的跨域漫游認證，教學(xué)資源的跨校共享等，基于這些應(yīng)用需求，形成了多個跨校認證聯(lián)盟，例如上海市教育系統(tǒng)跨校身份認證聯(lián)盟（31所高校和區(qū)縣），由華東師范大學(xué)、新疆師范大學(xué)、山西師范大學(xué)等組成的跨校聯(lián)盟試點等．隨著Shibboleth的版本不斷更新和跨校聯(lián)盟的進一步擴大，工作的重心主要集中在跨校認證體系架構(gòu)的管理上，如何優(yōu)化管理、提高效率，成為眼下工作的重點．

1 跨校認證技術(shù)組成

現(xiàn)有的這一套跨校認證系統(tǒng)基于開源的Shibboleth技術(shù)構(gòu)建．

Shibboleth主要由三個部分組成：

（1）IDP（Identity Provider，身份提供者）

身份提供端：主要作用是向資源提供者提供用戶的屬性，以便使資源服務(wù)器根據(jù)其屬性對其訪問操作進行授權(quán)和響應(yīng)．

（2）SP（Service Provider，資源提供者）

資源服務(wù)提供端，主要作用是響應(yīng)用戶的資源請求，并向該用戶所在的IDP查詢用戶的屬性，然后根據(jù)屬性作出允許或拒絕訪問資源的決策．

（3）WAYF（Where Are You From，認證中心．Shibboleth 2．0之后更名為DS，即DiscoveryService，但是習(xí)慣上依然稱呼為WAYF）

圖1展示了目前跨校認證系統(tǒng)的邏輯架構(gòu)．

圖1 跨校認證邏輯圖

2 服務(wù)產(chǎn)品化對跨校認證運維的借鑒

2006年，在IBM服務(wù)部門成立10周年的時候，IBM提出全面轉(zhuǎn)型“服務(wù)產(chǎn)品化”．經(jīng)過IBM多年的實踐，服務(wù)產(chǎn)品化概念已經(jīng)影響到服務(wù)行業(yè)的各個方面．服務(wù)產(chǎn)品化是通過改變服務(wù)的生產(chǎn)方式，把服務(wù)的生產(chǎn)過程變得像產(chǎn)品制造一樣，把服務(wù)的內(nèi)容分解，實現(xiàn)標準化，然后按照傳統(tǒng)產(chǎn)品市場的原則，把服務(wù)產(chǎn)品交付給客戶．服務(wù)產(chǎn)品化讓服務(wù)有標準，能夠被評估，改變了目前服務(wù)行業(yè)里一些過去無法解決的效率、成本、標準、定價以及評估等難題．

2．1 跨校認證服務(wù)所面臨的困境

現(xiàn)有的上海市教育跨校認證系統(tǒng)，其實質(zhì)上源于早年的一個科研項目．在不斷推廣并獲得用戶的好評后，如今的跨校認證已經(jīng)成為覆蓋31所高校／區(qū)縣，提供10余種服務(wù)的跨校認證共享，日訪問量近萬的龐然大物．而對這個龐然大物的服務(wù)支持，卻沒有跟上它增長的步伐．如今面臨以下若干問題．

2．1．1 跨校認證系統(tǒng)部署不標準

跨校認證系統(tǒng)是基于開源組件Shibboleth進行構(gòu)建．其關(guān)鍵的IDP組件需要部署每個加盟的高校節(jié)點中，用于和高校自身的統(tǒng)一認證系統(tǒng)對接．傳統(tǒng)的服務(wù)模式下，IDP組件的部署質(zhì)量取決于的實際部署的技術(shù)人員自身．不同的技術(shù)人員所部署的組件，所使用的服務(wù)器、操作系統(tǒng)、java環(huán)境、IDP組件的版本等都可能不同．部分情況下還可能針對某些高校的特殊情況進行二次開發(fā)，而在技術(shù)人員發(fā)生流動后，這些二次開發(fā)的系統(tǒng)又缺乏針對性的維護．這些不標準的組件節(jié)點隨著整個跨校認證系統(tǒng)的擴大，極大的降低了運維的效率．

2．1．2 跨校認證運維工作效率低

跨校認證系統(tǒng)實質(zhì)上是連接用戶所在高校和用戶所訪問的業(yè)務(wù)系統(tǒng)的一個中間件．因此當用戶發(fā)生登陸異常時，其面臨的一個困境即是：“我應(yīng)該向哪里報修？”．其所在高校的信息辦無法直接處理，其所訪問的業(yè)務(wù)系統(tǒng)亦無法直接處理．而跨校認證系統(tǒng)本身并沒有直接面向用戶的服務(wù)窗口．因此一個用戶的故障通常需要層層轉(zhuǎn)交，最后到達技術(shù)支持者的手中，其服務(wù)效率顯然是很低的．

那如果用戶能夠直接面對技術(shù)人員呢？為了提高跨校認證的服務(wù)質(zhì)量，在2014年新的跨校認證的DS界面上，增加了技術(shù)支持者的郵箱．以便用戶在發(fā)送跨校認證故障時能直接反饋到技術(shù)人員處．然后事實上技術(shù)人員收到的大量郵件均為與業(yè)務(wù)系統(tǒng)相關(guān)的咨詢，例如成績查詢、選課咨詢，等等，真正跨校認證故障產(chǎn)生的報修卻少之又少．因此增加了大量的工作量的同時，反而在這些問題上，降低處理的效率（因為同樣需要轉(zhuǎn)交咨詢到具體的業(yè)務(wù)系統(tǒng)負責(zé)任人）．

2．1．3 跨校認證運維人員負荷高

跨校認證近年了推廣的力度在不斷加大．2013年一年間，所覆蓋的院校從23所增加到31所，所支持的業(yè)務(wù)系統(tǒng)也從4～5個增加到現(xiàn)在的將近10個．業(yè)務(wù)量的大幅度增加帶來的了更多的維護負擔(dān)．由于跨校認證系統(tǒng)存在一定的技術(shù)門檻，因此這些負擔(dān)被集中到了少數(shù)幾個技術(shù)人員身上，有時甚至集中在1個人身上．事實上，負責(zé)維護的高校技術(shù)人員通常并非全職負責(zé)跨校認證的工作，往往還要負責(zé)學(xué)校內(nèi)的其他工作，并且這些工作的優(yōu)先級在有些時候，往往還會排在跨校認證之前．

跨校認證系統(tǒng)還將面臨不斷的擴容，面臨新的節(jié)點部署，新的業(yè)務(wù)系統(tǒng)對接支持．這些都會產(chǎn)生較高的工作量，與技術(shù)人員學(xué)校內(nèi)其他的工作量疊加后，最終產(chǎn)生了很高的工作負荷．

2．1．4 跨校認證運維成效難評估

盡管跨校認證已經(jīng)得到了極大的推廣，用戶體量已經(jīng)非常龐大，并且在許多應(yīng)用上已經(jīng)廣泛在使用．例如上海市的教育無線通，每天通過跨校認證進行無線跨校認證的用戶數(shù)達三四千人．但這些統(tǒng)計數(shù)據(jù)都是孤立于每個業(yè)務(wù)系統(tǒng)自身，缺乏一個整體的針對跨校認證系統(tǒng)的使用情況數(shù)據(jù)．難以對整個跨校認證系統(tǒng)的使用現(xiàn)狀進行一個評估和分析．

跨校認證的運維中，每一次故障的保修，每一個新節(jié)點的申請和加入，每一個業(yè)務(wù)系統(tǒng)的跨校認證對接，均沒有形成相應(yīng)的固定流程，亦沒有專門的記錄和文檔．因此雖然跨校認證的運維負擔(dān)很高，卻無法對運維人員的工作量進行量化的統(tǒng)計和評估，這無疑打擊了運維者的工作積極性．

2．2 跨校認證服務(wù)的產(chǎn)品化

上文已經(jīng)描述，目前跨校認證服務(wù)的困擾最大來源即是缺乏標準和由于不標準帶來的額外成本，以及缺乏評估．而這些都是服務(wù)產(chǎn)品化所擅長解決的問題．

跨校認證服務(wù)的產(chǎn)品化，即是將目前的跨校認證服務(wù)進行規(guī)范和整合，打包為若干個標準化的產(chǎn)品，形成一套多個產(chǎn)品組合的跨校認證解決方案，從而大幅度地提高跨校認證的服務(wù)質(zhì)量和運維效率．

從跨校認證的部署，運維和評估3個角度入手，我們組成以下3個跨校認證產(chǎn)品．

· 跨校認證接入組件（IDP）

· 跨校認證監(jiān)控與分析平臺

下文將詳細描述這3個產(chǎn)品的具體組成和其中部分產(chǎn)品的應(yīng)用現(xiàn)狀．

3 跨校認證產(chǎn)品

3．1 跨校認證接入組件（IDP）

傳統(tǒng)的部署過程中，需要服務(wù)方和用戶方共同配合了完成整個系統(tǒng)的構(gòu)建．圖2展示了傳統(tǒng)部署模式下的工作流．

圖2 工作流圖

從圖2可見，大量的流程和時間，其實都消耗在了部署安裝前的協(xié)調(diào)準備上．而打包后的產(chǎn)品——跨校認證接入組件（IDP）則將解決這一問題．

基于標準產(chǎn)品的跨校認證接入組件部署的工作流圖3所示．

昨天，唐小果跟爸媽去“唐家大院”拍攝一期關(guān)于古代大門的視頻。當他們拍攝到一半的時候，遇到了一個賣糖人的老爺爺，他拿著一坨糖漿，一捏一揉，然后輕輕吹幾下，一拉一扯，一個惟妙惟肖的孫悟空糖人就做好了。

產(chǎn)品由表組成．

產(chǎn)品化的IDP組件帶來了以下3個優(yōu)點：

（1）產(chǎn)品內(nèi)容標準化

基于虛擬化的方式統(tǒng)一制作的模板，在正式打包進產(chǎn)品前都經(jīng)過了嚴格的測試．因此無論在安全性、兼容性和穩(wěn)定性上都得到了保障，從而為所有的接入用戶均提供統(tǒng)一的標準化產(chǎn)品．

（2）產(chǎn)品響應(yīng)快速化

打包整合后的產(chǎn)品，使得服務(wù)方在接受到請求之后，即可直接向用戶提供產(chǎn)品，而無需協(xié)調(diào)用戶準備一些底層環(huán)境．同時打包整合后的產(chǎn)品，使得技術(shù)人員只需要做極小的改動，即可完成部署．從而極大的提高了服務(wù)的相應(yīng)速度．

表1 跨校認證接入組件組成

圖3 產(chǎn)品化后的工作流

（3）產(chǎn)品部署簡單化

由于打包的產(chǎn)品已經(jīng)完成基本的安裝和調(diào)試，最終的服務(wù)人員只需要針對具體不同的學(xué)校做少量的修改（例如修改域名、修改logo之類）．因此所需的技術(shù)門檻也大大地降低．較為繁瑣和重復(fù)的部署服務(wù)，可以有一般的技術(shù)人員完成，甚至可以外包．而核心技術(shù)人員只需要對產(chǎn)品進行升級調(diào)優(yōu)，并發(fā)布新的版本即可．從而降低了IDP的部署難度和門檻，提高了工作效率．

在上海市跨校認證最近新增的一些節(jié)點中，已經(jīng)使用了標準化IDP組件的部署方式，使得IDP組件的部署時間從過去的1周左右，下降至半天，效率提高了14倍．

3．2 跨校認證運維服務(wù)

跨校認證的運維，實質(zhì)上也是一種IT服務(wù)運維．因此很自然想到，要將其產(chǎn)品化和標準化，必須要應(yīng)用ITIL流程化的運維體系．

跨校認證系統(tǒng)涉及幾十所高校和多個業(yè)務(wù)系統(tǒng)．在這樣松散的結(jié)構(gòu)里實現(xiàn)嚴格的ITIL流程顯然不現(xiàn)實．但是一些基本的流程和結(jié)構(gòu)需要確立，一些基本的角色層級需要形成．

服務(wù)層：面向用戶的服務(wù)窗口，接受所有請求（加盟申請，故障報修等），提供一線的支持；生成對應(yīng)的工單，協(xié)調(diào)二線的技術(shù)人員；跟蹤工單以了解事件的處理進程；回訪用戶獲取確認并終止事件；生成事件的報告．

技術(shù)層：根據(jù)一線提交的工單，提供二線的技術(shù)服務(wù)支持；

決策層：根據(jù)運維的運行狀況進行作為決策依據(jù)和參考．對一些重大事件（節(jié)點加盟申請，重大故障事故等）進行處理和協(xié)調(diào)工作．

圖4展示了基于ITIL流程下的跨校認證事件處理流程圖．

在基于ITIL流程化的服務(wù)產(chǎn)品中，很容易就跨校認證的運維工作量和工作效率進行精確到人的評估和分析，形成對應(yīng)的獎懲機制，從而調(diào)動服務(wù)人員的積極性．通過對工單的追蹤和分析，能夠精確的了解跨校認證目前的用戶體驗，從而為決策提供依據(jù)．

3．3 跨校認證監(jiān)控與分析平臺

跨校認證系統(tǒng)是一個分布式的松散結(jié)構(gòu)，因此在日志處理和系統(tǒng)監(jiān)控上先天存在不足．一方面，每個IDP服務(wù)器的日志都只保存在服務(wù)器本地，既有本地服務(wù)器空間存滿的風(fēng)險，也有日志存儲分散、日志僅能以文本方式展示、不易查詢分析等缺點．另一方面，傳統(tǒng)的系統(tǒng)監(jiān)控僅能監(jiān)控服務(wù)器的運作正常與否，無法檢測系統(tǒng)內(nèi)的IDP服務(wù)是否正常工作，無法第一時間感知到跨校認證故障的發(fā)生．因此需要一個產(chǎn)品來對整個跨校聯(lián)盟內(nèi)的IDP服務(wù)進行日志收集分析，實時監(jiān)控和告警，即“跨校認證監(jiān)控和分析平臺”．

圖4 事務(wù)處理流程

該產(chǎn)品應(yīng)該能實現(xiàn)以下功能：

統(tǒng)一日志收集：系統(tǒng)要求能夠?qū)⒎植荚诟鞯氐膇dp服務(wù)器的log，進行實時的收集儲存．

實時監(jiān)控和告警：系統(tǒng)要求能夠?qū)崟r監(jiān)控idp服務(wù)的運行狀態(tài)，并對影響跨校認證的異常錯誤給出及時的告警（通過系統(tǒng)web提示和告警郵件的兩種方式）．

數(shù)據(jù)分析和挖掘：對跨校認證采集的日志數(shù)據(jù)進行提取分析處理，將其錄入數(shù)據(jù)庫．同時可對數(shù)據(jù)庫進行分析和挖掘，提供跨校認證系統(tǒng)使用情況的趨勢分析報告．

圖5為系統(tǒng)的結(jié)構(gòu)邏輯圖．

該產(chǎn)品的開發(fā)已經(jīng)完成demo版本．目前已經(jīng)在試運行中，并已經(jīng)得到了一些相當有趣的數(shù)據(jù)．圖6展示了目前跨校認證系統(tǒng)中不同業(yè)務(wù)系統(tǒng)的流量占比．

可以看到shec－wc－test2這個SP，即上海市教育無線通的流量占了絕大多數(shù)的比率．．

針對無線通的使用情況做進一步的分析，能夠得到一些更有趣的信息

圖7從左至右分別展示華東師范大學(xué)、上海對外經(jīng)貿(mào)大學(xué)、上海交通大學(xué)醫(yī)學(xué)院、復(fù)旦大學(xué)的無線通流量．

圖8從左至右分別展示上海師范大學(xué)、上海大學(xué)、上海外國語大學(xué)的無線通流量．

可以看到，上海師范大學(xué)、上海大學(xué)和上海外國語大學(xué)的流量周期性非常明顯，而華東師范大學(xué)、上海對外貿(mào)易大學(xué)、上海交通大學(xué)醫(yī)學(xué)院和復(fù)旦大學(xué)的流量周期性則不太顯著．

圖5 系統(tǒng)邏輯圖

圖6 流量拼圖

為何用戶的跨校無線通的流量會在周末出現(xiàn)高峰，這是一個很值得研究的話題．一個可能的解釋是學(xué)生們在周末參加其他學(xué)?？缧］o修上課，但這又不足以解釋為何復(fù)旦的流量周期性不那么顯著．

總之，整合了日志數(shù)據(jù)后的跨校認證監(jiān)控與分析平臺，能夠給與越來越多的數(shù)據(jù)供挖掘分析，從而不僅僅對跨校認證的決策產(chǎn)生影響，甚至能夠?qū)Ω咝５慕虒W(xué)合作等方面的決策提供幫助．

4 總結(jié)與展望

基于Shibboleth的跨校認證技術(shù)為數(shù)字化資源的共享提供了技術(shù)平臺，形成了由多所高校所共同組成的跨校聯(lián)盟．隨著跨校聯(lián)盟規(guī)模和范圍的擴大，認證系統(tǒng)的維護負擔(dān)也隨之增大．為了從根本上提高跨校認證服務(wù)的運維質(zhì)量，本文提出了以產(chǎn)品化的概念來運維跨校認證服務(wù)，并提出了3個跨校認證產(chǎn)品，從產(chǎn)品的理念，技術(shù)組成和部分的應(yīng)用的情況都給予了介紹．在運維的標準和評估上，提供了充分的支持．

然而產(chǎn)品化的3大特點標準，定價，評估中，定價亦是其至關(guān)重要的一環(huán)．在商業(yè)的服務(wù)產(chǎn)品化中，甚至能夠產(chǎn)生準確合理的定價才是其將服務(wù)產(chǎn)品化的最主要原因．產(chǎn)品本身就指的是能夠提供給市場，被人們使用和消費，并能夠滿足人們某種需求的東西．但是在現(xiàn)有的體制框架下，卻很難以市場化的方式對產(chǎn)品進行定價，更難以將產(chǎn)品的價值轉(zhuǎn)換成合理的報酬，直接回饋給這些產(chǎn)品的生產(chǎn)團隊．

本文所提供的3個跨校認證產(chǎn)品中，跨校認證接入組件（IDP）已經(jīng)正式運行，并取得了極好的效果．跨校認證監(jiān)控和分析平臺正在試運行demo，也收到了一定的成效．跨校認證運維服務(wù)，其基于ITIL的運維理念，已經(jīng)在筆者所在學(xué)校的信息化部門運行了2年，收效斐然．但是基于整個跨校認證聯(lián)盟來組建基于ITIL的服務(wù)流程，還需要更多的協(xié)調(diào)和溝通．

圖7 流量圖1

圖8 流量圖2

總之，通過產(chǎn)品化的概念來運維跨校認證服務(wù)能夠顯著的提高運維效率和質(zhì)量，并降低運維成本．本文提供的跨校認證產(chǎn)品和理念，均經(jīng)過實際應(yīng)用的檢驗，適用于進一步推廣．

［1］ 馮騏，張赫，劉莉，張增修．虛擬化跨校認證IDP的部署［J］．中國教育網(wǎng)絡(luò)，2013，7：74－77．

［2］ IBM踐行“服務(wù)產(chǎn)品化”戰(zhàn)略：“企業(yè)IT安全”服務(wù)產(chǎn)品線全線出爐［J］．通信世界．2006，47：B19．

［3］ 方延峰．基于ITIL的高校IT服務(wù)管理系統(tǒng)的設(shè)計與實現(xiàn)［D］．長沙國防科技大學(xué)，2009．

［4］ 王朗．服務(wù)產(chǎn)品化對高校圖書館的借鑒價值［J］．圖書館論壇，2012，32（2）：29－32．

［5］ Shibboleth home page［EB－OL］．［2014－09－05］．http：／／shibboleth．net．

［6］ Shibboleth 2 home page［EB－OL］．［2014－09－05］．https：／／wiki．shibboleth．net／confluence／display／SHIB2／Home．

［7］ 百度百科．服務(wù)產(chǎn)品化［EB－OL］．［2014－09－05］．http：／／baike．baidu．com／view／10328882．htm．