文/馮騏　　朱宇紅　　　柯立新　　　沈富可

上海是怎么做區(qū)域教育身份認(rèn)證體系的？

文/馮騏1朱宇紅2柯立新2沈富可1

本文從區(qū)域信息化頂層設(shè)計(jì)的角度，探討各主體在信息化建設(shè)中所扮演的角色，以及如何互利互贏，共同推動區(qū)域信息化發(fā)展。

區(qū)域信息化的挑戰(zhàn)

在區(qū)域信息化的建設(shè)中，主要面臨三個(gè)方面的挑戰(zhàn)：

1.各自為政，共享困難

由于歷史原因形成的信息資源歸有關(guān)部門所有的慣例，政府各部門、學(xué)校甚至學(xué)校內(nèi)部各部門等由職能賦予的權(quán)力所采集的信息資源往往成為獨(dú)家壟斷，相互之間缺乏溝通，有效的信息共享制度和機(jī)制缺位，信息資源難以共享。

2.缺乏科學(xué)的頂層設(shè)計(jì)，數(shù)據(jù)分析困難

由于缺乏科學(xué)的頂層設(shè)計(jì)，總體的協(xié)調(diào)和信息建設(shè)規(guī)劃不到位，業(yè)務(wù)條塊化信息資源建設(shè)方式導(dǎo)致在開發(fā)的規(guī)劃、組織、資金和體制上都相互獨(dú)立，不僅低水平重復(fù)建設(shè)現(xiàn)象嚴(yán)重，而且多頭采集數(shù)據(jù)造成了數(shù)據(jù)不完整、不一致，使得進(jìn)一步的數(shù)據(jù)分析也十分困難，大數(shù)據(jù)成為空談的口號。

3.多主體之間沒有形成凝聚力

當(dāng)前區(qū)域教育信息化的主體主要包括三個(gè)方面：政府、學(xué)校、企業(yè)。其中，政府方面多項(xiàng)目、多線、多條塊的建設(shè)，事實(shí)上構(gòu)成了一個(gè)又一個(gè)的孤島；學(xué)校方面同樣存在大量的低水平重復(fù)建設(shè)，且由于人員、編制等方面的問題，在運(yùn)維上力不從心，對外包服務(wù)商等依賴較重，信息化整體的投入產(chǎn)出比較低；企業(yè)方面雖然有一定的積極性，然而在現(xiàn)有體制環(huán)境下，企業(yè)與政府/學(xué)校之間的合作模式較為僵化，更多的企業(yè)即便想?yún)⑴c其中，亦無從入手。

區(qū)域信息化的頂層設(shè)計(jì)

尊重各主體的獨(dú)立性

區(qū)域信息化建設(shè)過程中首先應(yīng)明確各主體的不同職責(zé)與相互關(guān)系?？茖W(xué)的頂層設(shè)計(jì)重點(diǎn)在于設(shè)計(jì)區(qū)域信息化整體的框架體系，并將所有主體接納進(jìn)來，多方進(jìn)行對接，共同形成區(qū)域信息化的生態(tài)圈。與此同時(shí)，應(yīng)當(dāng)尊重各主體的獨(dú)立性，不去干涉各主體內(nèi)部的信息化規(guī)劃、管理體制等。以下重點(diǎn)以身份管理和資源共享服務(wù)之間的關(guān)系闡述學(xué)校、政府、企業(yè)在頂層設(shè)計(jì)中所應(yīng)承擔(dān)的不同職責(zé)。

圖1　上海市教育身份認(rèn)證體系總體框架

1.學(xué)校

學(xué)校是身份的管理方，也是特色資源的提供方。

教育行業(yè)的用戶主要是老師和學(xué)生，他們的身份都由學(xué)校進(jìn)行管理。教育信息化中的線上身份認(rèn)證管理必然要與線下的身份管理相結(jié)合，因此合理的解決方案是由用戶的身份管理方——學(xué)校，建設(shè)身份認(rèn)證系統(tǒng)，為其用戶提供身份認(rèn)證服務(wù)。而學(xué)校的身份認(rèn)證系統(tǒng)則與區(qū)域信息化的大平臺進(jìn)行對接，從而在身份管理上能夠真正落地，與線下的身份管理緊密結(jié)合。也為針對不同用戶身份進(jìn)行不同類別的應(yīng)用授權(quán)提供了可能性。

另一方面，學(xué)校往往有一些特色的資源數(shù)據(jù)或資源應(yīng)用，這些有特色的、獨(dú)一無二的資源，在資源共享時(shí)就能更好地發(fā)揮價(jià)值。資源應(yīng)用的共享應(yīng)該把重點(diǎn)放在這些有特色的應(yīng)用之中。

2.政府

政府是身份和應(yīng)用資源的聯(lián)接主體，形成科學(xué)合理的共享機(jī)制。

教育信息的應(yīng)用，針對不同的用戶群體往往有很強(qiáng)的個(gè)性化需求，很難統(tǒng)籌建設(shè)一個(gè)標(biāo)準(zhǔn)化的產(chǎn)品來滿足所有的用戶。這就要求政府不必去嘗試建設(shè)大而全的信息化系統(tǒng)，而是必須做好頂層設(shè)計(jì)層面的大框架和標(biāo)準(zhǔn)，引導(dǎo)各個(gè)應(yīng)用系統(tǒng)、身份系統(tǒng)互相對接，依賴于市場的細(xì)分，為不同的用戶群體提供高服務(wù)質(zhì)量的、各不相同的個(gè)性化服務(wù)。并使各應(yīng)用資源得到充分共享、充分利用。

3.企業(yè)

企業(yè)揚(yáng)己所長，生產(chǎn)不同的應(yīng)用與資源，并為用戶提供高質(zhì)量的服務(wù)。

良好的教育信息化生態(tài)圈離不開企業(yè)的參與。企業(yè)能夠針對不同的市場，提供個(gè)性化的應(yīng)用，并在其中得到發(fā)展。與此同時(shí)，企業(yè)也應(yīng)當(dāng)適當(dāng)?shù)爻袚?dān)教育信息化生態(tài)圈的發(fā)展責(zé)任，共同承擔(dān)，共同成長。

頂層設(shè)計(jì)框架

基于以上認(rèn)識，我們認(rèn)為一個(gè)可持續(xù)發(fā)展的教育信息化框架，應(yīng)該在認(rèn)證/授權(quán)/數(shù)據(jù)三方面上建立起相應(yīng)的標(biāo)準(zhǔn)和框架。

1.認(rèn)證

在認(rèn)證上，應(yīng)該充分信任各主體的認(rèn)證結(jié)果。線上的身份管理與線下的身份管理相結(jié)合，由用戶的身份管理主體對其進(jìn)行身份管理，即認(rèn)證。在認(rèn)證時(shí)，應(yīng)傳遞用戶的相應(yīng)身份屬性，用于授權(quán)。

2.授權(quán)

授權(quán)應(yīng)分為兩個(gè)部分：

（1） 資源訪問的授權(quán)——即對用戶的授權(quán)。例如誰能夠訪問應(yīng)用、能夠看到應(yīng)用內(nèi)的什么內(nèi)容、能夠在應(yīng)用中做出怎樣的操作等，這些均應(yīng)通過對用戶的授權(quán)來進(jìn)行控制。而授權(quán)則應(yīng)基于用戶的身份屬性，例如根據(jù)不同學(xué)校之間的差異、不同角色（學(xué)生/教師/家長）之間的差異進(jìn)行授權(quán)。

（2）應(yīng)用開發(fā)的授權(quán)——即對應(yīng)用的授權(quán)。例如什么樣的應(yīng)用能夠加入生態(tài)圈、加入生態(tài)圈的應(yīng)用能夠獲得多少可利用的數(shù)據(jù)、能夠?qū)?shù)據(jù)做什么樣的操作等，這些應(yīng)該通過對應(yīng)用的授權(quán)進(jìn)行控制。

3.數(shù)據(jù)

數(shù)據(jù)是一切的基礎(chǔ)，無論是為頂層設(shè)計(jì)的決策支持，還是為個(gè)人教育發(fā)展的個(gè)性化服務(wù)，都離不開大數(shù)據(jù)的支持。一個(gè)良好的教育生態(tài)圈，其數(shù)據(jù)大致可分為基礎(chǔ)數(shù)據(jù)和運(yùn)行數(shù)據(jù)兩類。

基礎(chǔ)數(shù)據(jù)——即用戶的身份、角色等個(gè)人信息相關(guān)的基礎(chǔ)數(shù)據(jù)?；A(chǔ)數(shù)據(jù)的來源主要取決于線下。當(dāng)用戶從線下轉(zhuǎn)移到線上時(shí)，這些基礎(chǔ)數(shù)據(jù)通過其主體的認(rèn)證系統(tǒng)，進(jìn)入到線上的系統(tǒng)中。

運(yùn)行數(shù)據(jù)——即各線上系統(tǒng)在運(yùn)行過程中產(chǎn)生的數(shù)據(jù)。這些數(shù)據(jù)由應(yīng)用系統(tǒng)通過數(shù)據(jù)接口提供。

這兩類數(shù)據(jù)共同構(gòu)成大數(shù)據(jù)分析的基礎(chǔ)。

頂層設(shè)計(jì)框架的關(guān)鍵點(diǎn)在于構(gòu)建通道，形成連接，讓數(shù)據(jù)在各個(gè)主體之間能順利地流通。當(dāng)今資源共享，數(shù)據(jù)流通過程中的一大阻礙便是數(shù)據(jù)的流向缺乏審計(jì)和控制，令共享者心存顧慮，難以擴(kuò)大共享的范圍。而身份的認(rèn)證和授權(quán)正是打消這種顧慮的最佳方式，并且身份的認(rèn)證和授權(quán)本身即是數(shù)據(jù)流通的一種入口。因此，一個(gè)有效的，完備的身份認(rèn)證體系框架，是實(shí)現(xiàn)區(qū)域信息化頂層設(shè)計(jì)框架的關(guān)鍵。

以上海市為例，根據(jù)頂層設(shè)計(jì)所規(guī)劃的上海教育身份認(rèn)證體系總體框架如圖1所示。

圖2　上海教育系統(tǒng)跨校認(rèn)證聯(lián)盟邏輯架構(gòu)

上海教育身份認(rèn)證體系的設(shè)計(jì)與實(shí)踐

上海教育系統(tǒng)跨校認(rèn)證

上海教育系統(tǒng)跨校認(rèn)證聯(lián)盟是一個(gè)分布式的身份認(rèn)證聯(lián)盟。聯(lián)盟內(nèi)信任各個(gè)認(rèn)證子域的認(rèn)證結(jié)果，與各個(gè)子域的身份認(rèn)證系統(tǒng)進(jìn)行對接，實(shí)現(xiàn)跨校認(rèn)證。目前已經(jīng)有40個(gè)子域加入聯(lián)盟，并且還在不斷地?cái)U(kuò)展中，總用戶規(guī)模超過100萬，活躍用戶近5萬。

聯(lián)盟內(nèi)目前有上海教育無線通，上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺，上海市東北片跨校輔修平臺等多樣化的優(yōu)質(zhì)資源應(yīng)用，這些應(yīng)用均基于跨校認(rèn)證的平臺進(jìn)行開放和共享。

聯(lián)盟的框架基于開源組件 Shibboleth實(shí)現(xiàn)。

1.Shibboleth 簡介

Shibboleth是一種標(biāo)準(zhǔn)化的開源軟件，用于組織成員之間通過Web進(jìn)行單點(diǎn)登錄。Shibboleth支持節(jié)點(diǎn)之間的個(gè)體在訪問受保護(hù)的資源時(shí)，提供安全、隱私的身份認(rèn)證服務(wù)。

其主要由三個(gè)部分組成：

（1）IDP（Identity Provider，身份提供者）

圖3　 跨校認(rèn)證訪問

身份提供端：主要作用是向資源提供者提供用戶的屬性，以便使資源服務(wù)器根據(jù)其屬性對其訪問操作進(jìn)行授權(quán)和響應(yīng)。

（2）SP（Service Provider，資源提供者）

資源服務(wù)提供端，主要作用是響應(yīng)用戶的資源請求，并向該用戶所在的IDP查詢用戶的屬性，然后根據(jù)屬性作出允許或拒絕訪問資源的決策。

（3）WAYF（Where Are You From，認(rèn)證中心。Shibboleth 2.0之后更名為DS，即DiscoveryService，但是習(xí)慣上依然稱為WAYF)

2.應(yīng)用發(fā)展現(xiàn)狀

基于上海教育跨校認(rèn)證，我們通過自主開發(fā)應(yīng)用、與現(xiàn)有平臺對接等方式，提供了一批優(yōu)質(zhì)的應(yīng)用資源。由于跨校認(rèn)證的特點(diǎn)，推廣較為順利，用戶體驗(yàn)較好，獲得了用戶的好評。以下簡單介紹三個(gè)較為有特點(diǎn)的跨校應(yīng)用：

圖4　身份認(rèn)證節(jié)點(diǎn)使用分布

圖5　用戶終端分布

（1） 上海教育無線通

上海教育無線通是一個(gè)基于跨校認(rèn)證的無線資源共享方案。其設(shè)計(jì)邏輯類似于全球無線漫游框架 Eduroam ，用戶用自己學(xué)校的用戶名和密碼即可在支持的學(xué)校使用無線資源。區(qū)別在于 Eduroam 所使用的技術(shù)基于 802.1x 和 radius，完全采取分布式的管理，對提供漫游的學(xué)校技術(shù)管理要求較高，而上海教育無線通基于 Web portal，采取半中心式半分布式管理，對學(xué)校的技術(shù)管理要求相對較低，易于推廣。

（2） 上海市東北片跨校選輔修平臺

跨校輔修專業(yè)是上海市東北片高校合作辦學(xué)教學(xué)協(xié)作組本著優(yōu)勢互補(bǔ)、資源共享、互惠互利、協(xié)調(diào)發(fā)展的合作精神，在上海市教委和上海市東北片高校合作辦學(xué)管理委員會的直接領(lǐng)導(dǎo)和支持下的一種合作辦學(xué)模式，它允許上海市東北片復(fù)旦、同濟(jì)、財(cái)大、上外等12所高校的優(yōu)秀學(xué)生選修其他學(xué)校開設(shè)的跨校輔修專業(yè)，經(jīng)考核合格，可獲得其他學(xué)校頒發(fā)的跨校輔修專業(yè)證書。上海市東北片跨校選輔修平臺（http://www.kxxfx.shec.edu.cn）的認(rèn)證方案采取跨校認(rèn)證模式，傳遞登錄人員的屬性，避免了給用戶二次開設(shè)賬戶的過程，也為開設(shè)和選修相關(guān)課程的師生帶來了便利。

（3） 上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺

“上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺”（http://www.kxzy.sh.edu.cn） 是在上海市教委的組織領(lǐng)導(dǎo)下構(gòu)建的一個(gè)資源共享項(xiàng)目，其宗旨是將上海地區(qū)高校自建數(shù)據(jù)庫、特色資源數(shù)據(jù)庫、優(yōu)質(zhì)資源數(shù)據(jù)庫等共建共享。目前平臺已整合了復(fù)旦大學(xué)、東華大學(xué)、上海師范大學(xué)、上海外國語大學(xué)、同濟(jì)大學(xué)、上海海洋大學(xué)、上海電力學(xué)院等學(xué)校12個(gè)優(yōu)質(zhì)資源庫，涉及民國書刊、古籍、圖書、教參、學(xué)位論文等多種資源類型。平臺共有資源超過30萬條，其中85%的資源提供電子全文，15%的資源提供印本全文。其中電子資源的授權(quán)訪問基于跨校認(rèn)證平臺實(shí)現(xiàn)。

（4） 應(yīng)用數(shù)據(jù)分析

雖然在跨校認(rèn)證的框架下，尚缺乏應(yīng)用內(nèi)的數(shù)據(jù)共享機(jī)制。但是根據(jù)用戶通過跨校認(rèn)證的流量數(shù)據(jù)，亦可見一斑。

如圖3所示，跨校認(rèn)證的日均訪問人次在2000～4000不等。且在學(xué)期內(nèi)，訪問頻次呈周期性現(xiàn)象，逢周末則訪問量劇增。其原因可推斷為周末時(shí)用戶的跨校互訪頻率增加，且跨校選輔修學(xué)生在異校學(xué)習(xí)，因此跨校無線通的訪問量較大，且部分跨校選輔修學(xué)生可使用基于跨校認(rèn)證的教參系統(tǒng)中的相關(guān)教材。

如圖 4所示，各學(xué)校的跨校認(rèn)證用戶分布較為平均，基本與學(xué)校的規(guī)模相當(dāng)。

如圖5 所示，用戶的終端分布中，移動端的分布已經(jīng)超過PC端的分布比重?？梢娙缃竦挠脩艚K端已經(jīng)是移動端占據(jù)多數(shù)，應(yīng)用的開發(fā)應(yīng)以移動為先。

如圖 6所示，用戶的瀏覽器分布中，以Chrome 和 Safari 為主，傳統(tǒng)的微軟 IE瀏覽器占比已經(jīng)不足 15%。這其中顯然有移動端流量占據(jù)主流的原因。

圖6　用瀏覽器端分布

上海教育認(rèn)證中心

基于 Shibboleth 的跨校認(rèn)證框架很好地解決了分布式認(rèn)證的問題，并且為基于用戶屬性的授權(quán)提供了很好的方案。然而其對于應(yīng)用的授權(quán)卻比較簡單，是基于認(rèn)證節(jié)點(diǎn)的分布式授權(quán)，缺乏中心化的授權(quán)管理。因此，各認(rèn)證節(jié)點(diǎn)向應(yīng)用所傳輸?shù)纳矸輸?shù)據(jù)也缺乏標(biāo)準(zhǔn)，數(shù)據(jù)結(jié)構(gòu)散亂，需要二次整合。分布式的框架架構(gòu)必須要存在中心化的管理，否則必然會成為一盤散沙。

因此我們需要一個(gè)中心化的授權(quán)管理機(jī)制，來統(tǒng)籌應(yīng)用節(jié)點(diǎn)與認(rèn)證節(jié)點(diǎn)之間的對接。同時(shí)又不能破壞現(xiàn)有的分布式認(rèn)證框架。我們給出的方案是Oauth2+Shibboleth。通過Oauth2進(jìn)行授權(quán)管理，通過Shibboleth進(jìn)行分布式的認(rèn)證。其框架圖如圖7所示。

如圖7所示，認(rèn)證中心作為身份認(rèn)證的統(tǒng)一交換平臺，對接應(yīng)用市場和跨校認(rèn)證聯(lián)盟框架。應(yīng)用通過Oauth2的開放接口進(jìn)行授權(quán)，授權(quán)時(shí)調(diào)用統(tǒng)一認(rèn)證接口——即跨校認(rèn)證接口對接Shibboleth框架進(jìn)行分布式認(rèn)證。通過認(rèn)證傳遞用戶屬性數(shù)據(jù)，這些數(shù)據(jù)在身份認(rèn)證中心的平臺中進(jìn)行整合清洗，封裝為統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)格式，以API接口的形式發(fā)布予以應(yīng)用調(diào)用。

認(rèn)證中心采取的Oauth2授權(quán)模式，是互聯(lián)網(wǎng)主流的授權(quán)方案，便于應(yīng)用的快速接入，非常有利于推廣。同時(shí)數(shù)據(jù)通過先流入認(rèn)證中心，再授權(quán)給應(yīng)用的模式，提供了數(shù)據(jù)清洗的契機(jī)，有利于數(shù)據(jù)結(jié)構(gòu)的標(biāo)準(zhǔn)化，這對于應(yīng)用的對接推廣也是極有幫助的。基于此，我們就能夠通過認(rèn)證中心構(gòu)建一個(gè)開放的授權(quán)平臺，類似于微信/微博/人人網(wǎng)等開放授權(quán)平臺，從而形成一個(gè)區(qū)域教育信息化的生態(tài)圈。

然而由于用戶的身份數(shù)據(jù)將先進(jìn)入認(rèn)證中心再予以應(yīng)用授權(quán)，因此存在數(shù)據(jù)隱私保護(hù)的問題。在這方面目前還缺乏相應(yīng)的規(guī)定和標(biāo)準(zhǔn)，如何在數(shù)據(jù)隱私保護(hù)和數(shù)據(jù)整合之間取得平衡，是一個(gè)需要認(rèn)真考慮的問題。

圖7　Oauth2授權(quán)流程

總結(jié)和展望

資源共享的難點(diǎn)在于消除資源共享者的顧慮和不信任感，而身份認(rèn)證正是一個(gè)極佳的途徑。通過跨校認(rèn)證的技術(shù)，我們在無線資源的共享上、在教學(xué)資源的共享上、在圖書館藏資源的共享上都做了一定的嘗試，并得到了很好的效果。同時(shí)在這些資源共享的實(shí)踐中，我們也在一定程度上形成了資源共享的標(biāo)準(zhǔn)規(guī)范，例如《跨校認(rèn)證系統(tǒng)屬性規(guī)范草案》，《上海教育身份認(rèn)證體系標(biāo)準(zhǔn)規(guī)范》等，取得了一些成果。

在今后的工作中，我們將在三個(gè)方面做進(jìn)一步的努力。在應(yīng)用的接入推廣上，利用上海教育認(rèn)證中心的Oauth2框架，構(gòu)建開放的認(rèn)證授權(quán)平臺，為應(yīng)用提供更便捷更簡單的對接方案；在用戶的接入推廣上，通過一部分應(yīng)用的試點(diǎn)，推動更多的優(yōu)質(zhì)應(yīng)用加入開放平臺內(nèi)，通過應(yīng)用來驅(qū)動用戶，推動用戶的使用；在系統(tǒng)的穩(wěn)定性和保障上，通過統(tǒng)一的監(jiān)控平臺，監(jiān)控各個(gè)認(rèn)證節(jié)點(diǎn)和應(yīng)用的狀態(tài)。并建立退出機(jī)制，對于系統(tǒng)維護(hù)不力，也沒有意愿維護(hù)的節(jié)點(diǎn)和應(yīng)用，允許其退出平臺，進(jìn)而提高整個(gè)平臺的服務(wù)保障能力。

（作者單位1為華東師范大學(xué)信息化辦公室,2為上海市教育委員會信息中心）