周軍

（廣州市建筑工程職業(yè)學(xué)校，廣東 廣州 510403）

校園網(wǎng)與教育城單點(diǎn)登錄系統(tǒng)的異構(gòu)對接

周軍

（廣州市建筑工程職業(yè)學(xué)校，廣東 廣州 510403）

廣州市教育部門搭建了“數(shù)字教育城”，可以將各學(xué)校的應(yīng)用系統(tǒng)通過單點(diǎn)登錄整合到其中，以實(shí)現(xiàn)較高級別的資源共享。但由于各學(xué)校的實(shí)際情況差異較大，整合過程必然會存在一些客觀問題。本文探討了廣州市中職、中小學(xué)在接入廣州市數(shù)字教育城單點(diǎn)登錄系統(tǒng)中可能遇到的部分特殊問題，尤其對已經(jīng)有自己的單點(diǎn)登錄方案的學(xué)校如何進(jìn)行異構(gòu)對接，提出了比較適合現(xiàn)階段實(shí)際情況的良好解決方案。

單點(diǎn)登錄；SSO；異構(gòu)

1 引言

目前，信息化建設(shè)在學(xué)校已經(jīng)開展很多年了，而廣州的中職、中小學(xué)中，有一部分已經(jīng)完成了校內(nèi)系統(tǒng)的SSO（Single Sign-On，單點(diǎn)登錄）系統(tǒng)改造，有些則處于改造或觀望的過程中?？紤]到廣州市多數(shù)中職、中小學(xué)技術(shù)力量薄弱，缺乏資金，廣州市教育部門搭建了“數(shù)字教育城”，將這些學(xué)校的應(yīng)用系統(tǒng)納入到“數(shù)字教育城”統(tǒng)一認(rèn)證平臺就能解決很多問題，實(shí)現(xiàn)更高級別的資源共享與單點(diǎn)登錄。但是，由于各學(xué)校自身的實(shí)際情況差異較大，比如地理位置、網(wǎng)絡(luò)環(huán)境、管理方式、應(yīng)用系統(tǒng)具體情況等，部署過程中必然會遇到一些現(xiàn)實(shí)中的問題，而且相對于特定的“數(shù)字教育城”，有些學(xué)校現(xiàn)有的SSO系統(tǒng)要對接異構(gòu)的SSO系統(tǒng)，更可能存在一定難度。那么本文希望找到合理方案解決這些實(shí)際問題。

2 廣州“數(shù)字教育城”信息系統(tǒng)介紹

廣州市教育局打造的廣州“數(shù)字教育城”信息系統(tǒng)，目前項(xiàng)目第一、二期已基本完成。該系統(tǒng)將分散、異構(gòu)的應(yīng)用和信息資源進(jìn)行整合，通過統(tǒng)一的訪問入口，實(shí)現(xiàn)各種應(yīng)用系統(tǒng)的無縫接入和集成[1]。那么各接入軟件系統(tǒng)就必須按該系統(tǒng)接口規(guī)范進(jìn)行單點(diǎn)登錄整合，并按要求接收用戶基礎(chǔ)數(shù)據(jù)的下發(fā)與同步。如圖1所示。

“數(shù)字教育城”信息系統(tǒng)接口技術(shù)規(guī)范規(guī)定：

統(tǒng)一身份認(rèn)證平臺的用戶基礎(chǔ)數(shù)據(jù)是權(quán)威數(shù)據(jù)，各業(yè)務(wù)子系統(tǒng)必須保存一份用戶基礎(chǔ)數(shù)據(jù)的備份。用戶登錄完成后，統(tǒng)一身份認(rèn)證平臺捎帶給業(yè)務(wù)子系統(tǒng)的用戶基礎(chǔ)數(shù)據(jù)包含一個時間戳，業(yè)務(wù)子系統(tǒng)必須將該時間戳與本地備份進(jìn)行比較，如果不一致，則更新為與權(quán)威數(shù)據(jù)一致[1]。即數(shù)據(jù)必須下發(fā)和備份，并且更新同步為從上往下的模式（“數(shù)字教育城”認(rèn)證平臺的用戶基礎(chǔ)數(shù)據(jù)是權(quán)威數(shù)據(jù)）。

圖1 廣州市“數(shù)字教育城”統(tǒng)一認(rèn)證平臺

3 接入“數(shù)字教育城”異構(gòu)單點(diǎn)登錄平臺的問題

“數(shù)字教育城”信息系統(tǒng)項(xiàng)目為多數(shù)中小學(xué)校的教育資源接入與統(tǒng)一認(rèn)證指明了方向，使多數(shù)學(xué)校有了一個未來的標(biāo)準(zhǔn)，也為教育資源的使用與交流提供了一個良好的平臺。但特定的方案對接入的具體學(xué)校來說也存在一定的難度：該方案實(shí)施之后，還需要在不同具體環(huán)境下實(shí)踐檢驗(yàn)并繼續(xù)完善；各類學(xué)校原有應(yīng)用系統(tǒng)種類多，且沒有統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，要覆蓋所有應(yīng)用系統(tǒng)短期還不太適合；各類應(yīng)用系統(tǒng)要改造還需要長期的過程，尤其是那些連技術(shù)支持都沒有的應(yīng)用系統(tǒng)，很難進(jìn)行改造；有些學(xué)校有自己的單點(diǎn)登錄系統(tǒng)，如何接入“數(shù)字教育城”成為目前面臨的一大難題。

經(jīng)分析，針對學(xué)校的一些實(shí)際情況，與一般單點(diǎn)登錄項(xiàng)目不同，接入“數(shù)字教育城”統(tǒng)一登錄平臺可能面臨如下問題：

（1）各應(yīng)用系統(tǒng)用戶基礎(chǔ)信息條目不一致，校內(nèi)各應(yīng)用系統(tǒng)作用不同，要求的用戶基礎(chǔ)信息數(shù)據(jù)項(xiàng)差距也較大。對于“數(shù)字教育城”要求的數(shù)據(jù)下發(fā)備份，有些應(yīng)用不便或不能修改。

（2）無需也無必要所有業(yè)務(wù)子系統(tǒng)都保存“數(shù)字教育城”下發(fā)的全部用戶基礎(chǔ)數(shù)據(jù)的備份。各學(xué)校應(yīng)用種類繁多，權(quán)威數(shù)據(jù)塊的現(xiàn)有下發(fā)機(jī)制也不容許分散針對各應(yīng)用系統(tǒng)進(jìn)行分散處理。

（3）校內(nèi)應(yīng)用多種多樣，使用的用戶也經(jīng)常有些特殊情況，比如短期臨時兼職教師，臨時任務(wù)工作人員，交流的學(xué)生，臨時考試的競賽學(xué)生等，他們僅僅需要臨時使用校內(nèi)少部分應(yīng)用系統(tǒng)，不涉及到大多數(shù)應(yīng)用系統(tǒng)更不涉及到“數(shù)字教育城”的應(yīng)用。那么就沒有必要使用“數(shù)字教育城”的統(tǒng)一登錄平臺，也避免從上往下大規(guī)模同步用戶基礎(chǔ)數(shù)據(jù)。

（4）線路狀況負(fù)載、帶寬有限，尤其是有些郊區(qū)學(xué)校只有100M的教育網(wǎng)帶寬，城市邊緣地區(qū)經(jīng)過匯聚往往可能導(dǎo)致線路特別擁擠繁忙，再加上“數(shù)字教育城”中心機(jī)房鼓勵學(xué)校托管各類應(yīng)用服務(wù)器甚至文件服務(wù)器。帶寬的不足導(dǎo)致延時與堵塞嚴(yán)重，應(yīng)用系統(tǒng)也受到極大影響，嚴(yán)重時甚至無法正常開展教學(xué)。若直接套用“數(shù)字教育城”統(tǒng)一登錄平臺的話，無疑將受到不同程度的影響。

（5）光纖線路經(jīng)過城市邊緣地區(qū)，根據(jù)以往經(jīng)驗(yàn)，常出現(xiàn)各類事件導(dǎo)致光纖中斷，而維修時間通常需要1-3天，線路中斷將會嚴(yán)重影響各應(yīng)用系統(tǒng)的使用。

（6）“數(shù)字教育城”統(tǒng)一登錄平臺中的偽單點(diǎn)登錄（模擬單點(diǎn)登錄）不能含有驗(yàn)證碼，那么對于陳舊的難于修改的應(yīng)用系統(tǒng)，其遭受機(jī)器人暴力登錄的風(fēng)險相對較大。為規(guī)避類似風(fēng)險，這部分應(yīng)用很難對接“數(shù)字教育城”，則很多舊應(yīng)用系統(tǒng)仍然會陷入各自登錄的現(xiàn)有狀態(tài)下。

（7）有些學(xué)校有自己的單點(diǎn)登錄系統(tǒng)，推倒重建可能存在較多的問題。如果保留原系統(tǒng)的話，數(shù)字教育城大方案如何接入。

4 背靠背的解決方案

為了解決上述存在的問題，需要對學(xué)校接入“數(shù)字教育城”統(tǒng)一登錄平臺的方式進(jìn)行改進(jìn)。我們設(shè)計了新的接入方案，采用對接的方式解決問題，尤其對存在上述問題的學(xué)?；蛘咭呀⒆约哼m用的單點(diǎn)登錄方案的學(xué)校將更有意義。以學(xué)校內(nèi)部采用CAS（Central Authentication Service）單點(diǎn)認(rèn)證為例，如圖2所示。

圖2 校內(nèi)SSO認(rèn)證平臺對接“數(shù)字教育城”統(tǒng)一認(rèn)證平臺

（1）學(xué)校保留內(nèi)部的單點(diǎn)登錄系統(tǒng)平臺不變，校內(nèi)應(yīng)用系統(tǒng)仍然使用校內(nèi)CAS認(rèn)證平臺進(jìn)行身份認(rèn)證。

（2）將“數(shù)字教育城”統(tǒng)一登錄平臺及其應(yīng)用系統(tǒng)看成是一個特殊的封閉應(yīng)用系統(tǒng)，我們使用基于自配置的模擬登錄方式將其集成到校內(nèi)的CAS單點(diǎn)登錄系統(tǒng)之內(nèi)。通常的單點(diǎn)登錄方案是將各應(yīng)用系統(tǒng)置于頂層SSO架構(gòu)之下，而本方案是從“學(xué)?！币暯菍⑸霞塖SO架構(gòu)置于下層SSO架構(gòu)之內(nèi)或者進(jìn)行對接，屬于異構(gòu)SSO的對接。

（3）反過來，從“數(shù)字教育城”的視角，則學(xué)校就是一個普通的應(yīng)用系統(tǒng)，只不過是一個較大的綜合應(yīng)用整體，與一般單點(diǎn)登錄方案中應(yīng)用系統(tǒng)整合到單點(diǎn)登錄系統(tǒng)中無異。但該應(yīng)用系統(tǒng)卻整體上符合“數(shù)字教育城”的接口規(guī)范接入條件。

（4）由于“數(shù)字教育城”規(guī)范方案發(fā)布的時間不是很長，且各種客觀條件暫時還不完善，各學(xué)校接入“數(shù)字教育城”容易存在一些客觀問題，但若將其看成是一個陳舊的封閉應(yīng)用系統(tǒng)，以此視角來解決問題卻并無不便，反而可以提出新的解決方案。等將來客觀條件完善了，我們再根據(jù)當(dāng)時的客觀情況來進(jìn)行一些方案調(diào)整。

（5）此種方案可以保證校內(nèi)認(rèn)證系統(tǒng)架構(gòu)的穩(wěn)定不變，不會對現(xiàn)有業(yè)務(wù)造成較大影響，對各內(nèi)部外部系統(tǒng)的設(shè)計目標(biāo)與未來改進(jìn)方向也影響較少，兼容性較佳，修改起來也方便。該方案極大地減少了改造的困難度、資金成本、人力投入，并能縮短改造時間，降低風(fēng)險。

使用此種改進(jìn)模式，在CAS認(rèn)證服務(wù)器與“數(shù)字教育城”統(tǒng)一認(rèn)證平臺之間的接口處，需建立一套自配置的應(yīng)用系統(tǒng)認(rèn)證信息[2]，這些信息按照“數(shù)字教育城”接口規(guī)范的要求建立用戶基礎(chǔ)數(shù)據(jù)，并且這些用戶的賬號與校內(nèi)CAS系統(tǒng)賬號相映射，組織成賬戶映射表。當(dāng)用戶登錄“數(shù)字教育城”的應(yīng)用時，后臺直接對“數(shù)字教育城”提交相對應(yīng)的驗(yàn)證信息，完成登錄的過程。

實(shí)際創(chuàng)建過程中，若學(xué)校還存在其它的難于改造的老舊系統(tǒng)，無論已進(jìn)行單點(diǎn)登錄整合還是未整合，都可以將本對接工作綜合起來考慮，減少工作量。

5 自配置賬戶基礎(chǔ)信息的創(chuàng)建與查詢

“數(shù)字教育城”單點(diǎn)登錄系統(tǒng)在完成驗(yàn)證后，會將用戶基礎(chǔ)信息以XML的形式傳回到學(xué)校應(yīng)用子系統(tǒng)，包括學(xué)校、年級、班級、用戶、所教學(xué)科等基礎(chǔ)數(shù)據(jù)，學(xué)校自配置賬戶可根據(jù)這些內(nèi)容構(gòu)建數(shù)據(jù)項(xiàng)，并且建立與內(nèi)部CAS單點(diǎn)登錄平臺相關(guān)的賬戶映射表。具體內(nèi)容如表1和表2：

表1 教師用戶基礎(chǔ)信息[1]

表2 學(xué)生用戶基礎(chǔ)信息[1]

學(xué)?？筛鶕?jù)“數(shù)字教育城”提供的接口向用戶基礎(chǔ)信息服務(wù)器進(jìn)行查詢，查詢時必須攜帶日期信息，基礎(chǔ)信息服務(wù)器根據(jù)該日期將此日期后發(fā)生變動的數(shù)據(jù)下發(fā)給學(xué)校子系統(tǒng)。

6 自配置賬戶基于捎帶的時間戳同步機(jī)制

為了保持接入“數(shù)字教育城”各應(yīng)用系統(tǒng)的用戶基礎(chǔ)數(shù)據(jù)與權(quán)威源數(shù)據(jù)一致，在學(xué)校端的自配置賬戶基礎(chǔ)信息中，需攜帶時間戳，然后采用基于捎帶的時間戳同步技術(shù)同步上層數(shù)據(jù)[1]。

在“數(shù)字教育城”統(tǒng)一登錄平臺權(quán)威數(shù)據(jù)中的源用戶基礎(chǔ)信息中有一個時間戳字段，記錄數(shù)據(jù)被修改的時間，同時學(xué)校應(yīng)用子系統(tǒng)也保存有用戶基礎(chǔ)信息，那么該信息需要加上一個時間戳。當(dāng)用戶用單點(diǎn)登錄技術(shù)登錄到統(tǒng)一登錄平臺時，該用戶的基礎(chǔ)信息以及時間戳?xí)訶ML的形式捎帶到應(yīng)用子系統(tǒng)，應(yīng)用系統(tǒng)只需比較捎帶過來的時間戳與自己的是否相同，如果不同，則以源系統(tǒng)數(shù)據(jù)為準(zhǔn)修改應(yīng)用系統(tǒng)的用戶基礎(chǔ)信息。

具體流程如圖3所示：

圖3 基于時間戳的同步方法

7 小結(jié)

本文探討了學(xué)校接入廣州市“數(shù)字教育城”信息系統(tǒng)后將可能遇到的一些問題，然后提出合理的背靠背解決方案，并對該方案的實(shí)現(xiàn)要點(diǎn)進(jìn)行了分析，可以將數(shù)字教育城方案更好地落實(shí)下來。我們希望通過本文的探討能起到拋磚引玉、廣開思路的作用，用合適的方式，解決具體環(huán)境實(shí)踐過程中產(chǎn)生的一些問題。

[1]謝嶸，方昆陽．廣州“數(shù)字教育城”接口技術(shù)規(guī)范(征求意見稿)[S].廣州市教育局，2014．

[2]張齊，鐘觀寶．基于用戶映射的CAS單點(diǎn)登錄系統(tǒng)設(shè)計與實(shí)現(xiàn)[J].信息通信技術(shù)，2009(04)：6-10．

[3]龍超．單點(diǎn)登錄方法研究及模型實(shí)現(xiàn)[D]．北京：北京交通大學(xué)，2011．

[4]曹曄．基于校園網(wǎng)的單點(diǎn)登錄系統(tǒng)的研究與設(shè)計[D]．北京：首都經(jīng)貿(mào)大學(xué)，2009．

[5]鄧軍，葉柏龍，薛輝．基于驗(yàn)證代理的單點(diǎn)登錄技術(shù)解決方案[J].電腦與信息技術(shù)，2006(3)：77-79．

[6]嚴(yán)悍，張宏，許滿武．基于角色訪問控制對象建模及實(shí)現(xiàn)[J]．計算機(jī)學(xué)報，2000，23(10)：1065-1069．

[7]林滿山，郭荷清．單點(diǎn)登錄技術(shù)的現(xiàn)狀及發(fā)展[J]．計算機(jī)應(yīng)用，2004，6(24)：248-250．

Heterogeneous Docking between Campus Network and Guangzhou Digital Education City SSO System

Zhou Jun
(Guangzhou Construction Engineering Vocational School,Guangzhou 510403,Guangdong)

The Guangzhou Digital Education City has been set up by the Education Department of Guangzhou,and the application system of each school can be integrated through SSO to realize the sharing of higher level resources.But because the actual situation of each school is quite different,the integration process is bound to have some objective problems.This paper discusses on some special problems that may be encountered in the access of Guangzhou Digital Education City SSO system in secondary vocational schools,especially on how to realize heterogeneous docking for the schools which have its own SSO system,and puts forward a good solution for the actual situation.

single sign-on;SSO;heterogeneous

TP311.52

A

1008-6609(2017)07-0038-04

周軍（1977-），男，江西萍鄉(xiāng)人，本科，計算機(jī)實(shí)驗(yàn)師，研究方向?yàn)橛嬎銠C(jī)網(wǎng)絡(luò)技術(shù)。