張寶飛

（南京市電化教育館，江蘇 南京 210008）

引言

智慧校園[1-5]是數(shù)字化校園建設結(jié)合物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新技術而產(chǎn)生的校園建設新概念，目的是為學校師生建立智能開放的教育教學環(huán)境和方便快捷的生活環(huán)境，改變師生與學校資源、環(huán)境的交互方式，實現(xiàn)以人為本的個性化創(chuàng)新服務。智慧校園需要從更高層面制定建設與應用標準，一方面有助于為學校開展實踐活動指明方向、明確目標，并為衡量學校實踐成效提供參考依據(jù)；另一方面也有助于對系統(tǒng)的建設進行規(guī)劃，提高建設水平，避免重復建設。

教育云平臺是以云計算技術為基礎的教育平臺，是實現(xiàn)智慧校園的基礎架構，它包括基礎設施管理、平臺管理和應用管理。學校通過教育云平臺可以實現(xiàn)校內(nèi)系統(tǒng)與區(qū)域數(shù)據(jù)中心的信息融合、互聯(lián)互通，充分利用區(qū)域數(shù)據(jù)中心資源，有效解決校園管理中的信息更新滯后、人力資源不足、信息孤島和設備重復投入等問題，達到校園管理中綠色節(jié)能、科學決策、及時管控、服務便捷的管理目標。

2016年，南京市啟動“智慧校園”示范校建設工作，大力推進云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術在智慧校園中的創(chuàng)新應用，建立電子身份及統(tǒng)一認證系統(tǒng)，構建課堂教學、教師教研、學生學習、管理評價、家校互通、學校安全管理等一體化智能校園環(huán)境。

一、建設現(xiàn)狀

當前，智慧校園建設主要以學校建設為主，各類信息化應用系統(tǒng)隨著學校教育教學需求驅(qū)動而建設，由于缺乏有效的規(guī)劃，與數(shù)字化校園建設階段相比，校園信息孤島等問題還沒有得到根本解決，主要問題表現(xiàn)在以下幾方面：

（1）頂層缺乏設計，缺少標準化研究。各學校都根據(jù)自身的理解做學校業(yè)務需要或者自己感興趣的部分，不注重基礎設施、數(shù)據(jù)標準和共建共享機制建設，導致智慧校園建設缺乏系統(tǒng)框架和整體設計。

（2）設施參差不齊，重視硬件忽視軟件。大部分學校還沒有建成無線校園網(wǎng)，或者剛剛建成，而且無線校園網(wǎng)覆蓋范圍差距較大。少部分學校建有基于物聯(lián)網(wǎng)等智能化技術的信息設施，大多數(shù)學校數(shù)據(jù)中心還未能形成真正意義上的云計算模式，部分學校網(wǎng)絡設備數(shù)量不足、陳舊問題仍然突出。

（3）管理不符合要求，應用時缺乏共享。學校業(yè)務系統(tǒng)總體上還處于離散的狀態(tài)，建設重復、管理分散、信息孤島、信息化與教育教學“兩張皮”等現(xiàn)象普遍存在。

（4）缺乏理論層面的指導，數(shù)據(jù)利用技術薄弱。部分學校雖然已經(jīng)積累了海量數(shù)據(jù)，但還處于統(tǒng)計應用的階段，尚未具備大數(shù)據(jù)分析能力，無法為學校管理提供關聯(lián)分析和輔助決策。

（5）系統(tǒng)安全缺乏保障。一些學校安全意識還比較淡薄，信息化建設和運維管理制度缺失，運維團隊實力薄弱，經(jīng)費投入不足，網(wǎng)絡安全機制保障、技術保障和應急處置保障不到位。

二、總體架構

南京教育云平臺以“融合”為目標，旨在對現(xiàn)有應用、服務和資源進行整合，建立統(tǒng)一身份認證、數(shù)據(jù)共享機制，實現(xiàn)資源和數(shù)據(jù)的有效管理，提高學校智慧校園建設的效率，減少學?；A設施投入，避免重復建設，逐步實現(xiàn)“智慧校園”的戰(zhàn)略目標，平臺的總體架構如圖1所示。

圖1 教育云平臺總體架構

建設的內(nèi)容主要有：①基礎設施建設。包括城域網(wǎng)、無線網(wǎng)、數(shù)據(jù)中心建設。②應用支撐平臺建設。包括統(tǒng)一身份認證[6-7]、基礎數(shù)據(jù)庫、云存儲、微門戶建設。通過統(tǒng)一身份認證平臺，實現(xiàn)用戶的統(tǒng)一訪問、身份管理及權限控制；通過基礎數(shù)據(jù)庫建立公共數(shù)據(jù)平臺和數(shù)據(jù)交換平臺，實現(xiàn)信息共享；通過云存儲實現(xiàn)用戶數(shù)據(jù)的集中存儲和管理；通過微門戶實現(xiàn)統(tǒng)一訪問界面，展現(xiàn)數(shù)字校園的各類應用系統(tǒng)。③業(yè)務應用建設。包括區(qū)域公共應用和學校自建應用的建設。

通過教育云平臺建設，實現(xiàn)了三方面的目標：

（1）統(tǒng)一標準。制定基礎標準、接口標準、安全標準、服務標準。

（2）資源集中。統(tǒng)一IT基礎設施，集約化建設；對數(shù)據(jù)、安全性的統(tǒng)一控制；更高的服務質(zhì)量；快速部署上線能力。

（3）數(shù)據(jù)集中。數(shù)據(jù)的整合匯聚；提供有價值的教育數(shù)據(jù)支撐；通過數(shù)據(jù)服務平臺實現(xiàn)系統(tǒng)間數(shù)據(jù)傳遞；數(shù)據(jù)傳遞的規(guī)范化。

三、功能設計

南京教育云平臺面向全市教育行政部門、學校，為所有教師、學生、家長群體提供服務，平臺功能會隨著應用的深入不斷擴展，對其可伸縮性、靈活性、易維護性、穩(wěn)定性、高并發(fā)能力的要求比較高，為了滿足這些需要，平臺從基礎設施服務層、應用支撐服務層、業(yè)務應用服務層三個方面進行了設計。

1.基礎設施服務層

教育城域網(wǎng)是區(qū)域教育云平臺服務的基礎，是數(shù)據(jù)傳輸穩(wěn)定和安全的保障，也是師生用戶高效使用各類教育資源的保障。南京目前已有504所中小學實現(xiàn)光纖接入城域網(wǎng)，接入率達83%。以“分散部署、集中控制”為原則建設校園無線網(wǎng)絡，按照“市區(qū)兩級聯(lián)動、AP各自建設、認證互聯(lián)互通”的原則，實現(xiàn)全市校園無線網(wǎng)絡的統(tǒng)一身份認證，江寧、鼓樓已實現(xiàn)區(qū)內(nèi)學校的無線網(wǎng)絡全覆蓋和統(tǒng)一認證功能。目標到2020年，全面建成覆蓋全市各級各類學校的快速、高效、安全的教育信息化運行網(wǎng)絡，實現(xiàn)市、區(qū)、校三級網(wǎng)絡高效互聯(lián)互通。

（1）SDN 教育城域網(wǎng)

長期以來，教育城域網(wǎng)的建設和管理一直是教育部門的艱巨任務。首先是管理難。管理人員不足，需要管理數(shù)萬臺設備，設備種類復雜，對管理員能力要求極高。其次是運維難。傳統(tǒng)網(wǎng)絡用戶地址不斷變化，運維策略需要相應調(diào)整；發(fā)生網(wǎng)絡故障需要現(xiàn)場運維，效率低。還有就是防護難。安全設備數(shù)量多、分布廣、難統(tǒng)一管理，極易造成防護漏洞。

自2015年起，南京教育城域網(wǎng)啟動SDN網(wǎng)絡建設，整體結(jié)構如圖2所示。

圖2 SDN網(wǎng)絡結(jié)構圖

SDN網(wǎng)絡與傳統(tǒng)網(wǎng)絡相比具有很大優(yōu)勢：

1）自帶“AI網(wǎng)管”，免現(xiàn)場運維的教育網(wǎng)絡。把分布式網(wǎng)絡進行集中式控制，從更高的層次管理整個網(wǎng)絡，可以通過軟件來控制網(wǎng)絡行為，控制器會自動收集整網(wǎng)拓撲結(jié)構、流量等信息，計算最優(yōu)轉(zhuǎn)發(fā)路徑。下屬學校內(nèi)任意一臺網(wǎng)絡設備出現(xiàn)故障都可自我修復，無需派遣專業(yè)人員到偏遠學校。

2）維護“三臺”設備，即是維護全網(wǎng)設備。城域網(wǎng)架構虛擬化為三個層次，數(shù)據(jù)中心核心交換層、學校核心交換層、學校接入交換層，每層次只維護一套配置，由SDN控制器自動完成整個網(wǎng)絡的部署，電教館只需維護這“三臺”設備即可維護整網(wǎng)數(shù)以萬計的網(wǎng)絡設備。

3）提供逃生機制，保障故障發(fā)生時網(wǎng)絡正常。當運營商鏈路或認證系統(tǒng)、DHCP等出現(xiàn)故障，SDN教育城域網(wǎng)方案提供了逃生機制，通過逃生機制保障網(wǎng)絡可以正常使用，不影響學校正常教學。

4）改變傳統(tǒng)安全部署模式，提升安全防護效率。通過SDN控制器及“安全服務鏈”技術改變傳統(tǒng)安全策略部署模式，提升防護效率。

SDN網(wǎng)絡搭建完成后，學校與市區(qū)數(shù)據(jù)中心之間訪問更加流暢，可以開展網(wǎng)絡教研直播活動，充分利用城域網(wǎng)內(nèi)的教學資源。

（2）支持統(tǒng)一管理的融合無線與物聯(lián)網(wǎng)

統(tǒng)一身份認證平臺同無線網(wǎng)絡設備對接后，用戶在請求訪問學校無線網(wǎng)絡時，會由無線網(wǎng)絡設備的認證服務器將身份認證請求直接重定向至統(tǒng)一身份認證平臺，平臺在身份驗證通過后通知無線設備，繼而允許該用戶使用無線網(wǎng)絡，認證流程如圖3。

圖3 無線認證流程圖

（3）支持云管理的虛擬化平臺

使用虛擬化技術建設數(shù)據(jù)中心，虛擬化可以幫助整合數(shù)據(jù)中心資源，實現(xiàn)集約化管理，方便業(yè)務應用靈活部署和管理，應用系統(tǒng)均搭建到云虛擬機上，并能提供場外服務器、存儲和網(wǎng)絡硬件供學校使用，節(jié)省了維護成本和辦公場地。

2.應用支撐服務層

傳統(tǒng)模式下的公共數(shù)據(jù)平臺無法支撐后期開放架構下的數(shù)據(jù)共享與管理。智慧校園時代下的公共數(shù)據(jù)平臺建設需要從以下幾個方面開展：

1）提升基礎支撐能力。從信息標準的執(zhí)行、公共數(shù)據(jù)平臺的結(jié)構、共享數(shù)據(jù)的開放、數(shù)據(jù)質(zhì)量的治理、歷史數(shù)據(jù)的積累幾個方面著手，對平臺的建設進行頂層設計，讓大家認識到基礎性工作的重要性，基礎平臺要優(yōu)先建設。

2）完善信息標準。信息標準建設是智慧校園建設的重點之一，對推進校園信息化建設，保證信息的交流與共享，有著重要的意義。信息標準架構包括代碼集、數(shù)據(jù)集和編碼規(guī)則3個部分，架構如圖4所示。

圖4 信息標準架構

3）打造數(shù)據(jù)管理平臺。數(shù)據(jù)管理平臺包括數(shù)據(jù)標準管理子系統(tǒng)、元數(shù)據(jù)管理子系統(tǒng)、主數(shù)據(jù)管理子系統(tǒng)、數(shù)據(jù)質(zhì)量管理子系統(tǒng)，正是通過這些子系統(tǒng)模塊完成數(shù)據(jù)治理、教育基礎數(shù)據(jù)庫構建、數(shù)據(jù)清洗與整合、數(shù)據(jù)安全防護等工作。

4）搭建應用服務支撐平臺。應用服務支撐平臺包含服務中心、應用中心、消息中心、接口中心四大部分，[5]實現(xiàn)用戶統(tǒng)一身份認證、權限分配控制、日志、統(tǒng)計、應用配置管理、數(shù)據(jù)分發(fā)與同步等功能，為應用的接入提供全面、可擴展、便利的支撐。

南京教育云平臺鼓勵各區(qū)、學校使用市級平臺以及在市建平臺基礎上深化資源建設與應用推廣，新建平臺要與市級平臺實現(xiàn)對接，通過統(tǒng)一平臺建設推進全市教育系統(tǒng)各平臺的整合與數(shù)據(jù)互通，已建成的平臺主要包括統(tǒng)一身份認證、基礎數(shù)據(jù)庫、云存儲等。

（1）統(tǒng)一身份認證平臺

統(tǒng)一身份認證平臺是教育云平臺的基本需求，南京教育云統(tǒng)一身份認證平臺基于Yale CAS開發(fā)，Yale CAS是目前常用的統(tǒng)一認證解決方案，其應用廣泛，具有獨立于平臺的、易于理解、支持代理等功能，在各個大學如耶魯大學、加州大學、劍橋大學、香港科技大學等得到應用。

Yale CAS的工作原理基于票據(jù)（Ticket）來實現(xiàn)。票據(jù)存儲在TicketRegistry中，為了實現(xiàn)CAS的負載均衡，采用統(tǒng)一的TicketRegistry讓多臺CAS之間共享所有的Ticket。缺省的CAS備置是在內(nèi)存中實現(xiàn)TicketRegistry，不同的CAS服務器使用自己獨立的TicketRegistry，這種模式不支持分布式集群。幸運的是CAS為我們提供了支持TicketRegistry分布式的接口，我們只要采用內(nèi)存數(shù)據(jù)庫Redis來實現(xiàn)TicketRegistry分布式,就可以通過這個接口實現(xiàn)多臺CAS服務器TicketRegistry共享，從而實現(xiàn)CAS集群。

南京教育云統(tǒng)一身份認證平臺，用戶可以選擇賬號、手機號、電子郵箱、二維碼多種登錄方式進行登錄，登錄后首先進入個人的應用中心，系統(tǒng)根據(jù)個人所在區(qū)縣、學校和權限顯示個性化應用導航。

學?？梢酝ㄟ^開放平臺提交應用接入申請，根據(jù)應用平臺是否需要在自身平臺管理用戶和權限，可以選擇兩種接入模式：①完全集成子系統(tǒng)，用戶名與統(tǒng)一身份認證用戶名為同一賬戶，子系統(tǒng)沒有單獨的登錄模塊，用戶合法性驗證由統(tǒng)一身份認證系統(tǒng)完成，登錄流程如圖5所示；②非完全集成子系統(tǒng)，有獨立的用戶管理模塊和用戶群，不與統(tǒng)一身份認證系統(tǒng)使用相同的賬戶，用戶需要在統(tǒng)一身份認證系統(tǒng)中進行統(tǒng)一身份認證賬戶與本子系統(tǒng)賬戶關聯(lián)設置，這樣，統(tǒng)一身份認證賬戶才能登錄進入該子系統(tǒng)，登錄該系統(tǒng)后，仍然使用本子系統(tǒng)的賬戶。

圖5 完全集成子系統(tǒng)認證流程圖

（2）基礎數(shù)據(jù)庫

基礎數(shù)據(jù)庫作為南京市師生信息的管理平臺，負責用戶信息的集中維護，為各信息系統(tǒng)間用戶對接與數(shù)據(jù)整合提供了保障。對于需要使用教師信息的系統(tǒng)，只要與基礎信息庫對接，通過平臺提供的增量訂閱接口就可以快速實現(xiàn)師生信息的實時同步，同步訂閱接口的類型如表1所示。

表1 同步的接口類型

同時，系統(tǒng)還為第三方系統(tǒng)建立初期數(shù)據(jù)的初始化提供了數(shù)據(jù)獲取接口，通過這些接口，第三方系統(tǒng)可以獲取授權范圍內(nèi)的數(shù)據(jù)，并對各系統(tǒng)可以使用的字段進行授權管理，主要接口如表2所示。

表2 數(shù)據(jù)獲取接口

目前教育政務平臺、網(wǎng)絡教研活動平臺已經(jīng)通過以上的接口實現(xiàn)了用戶數(shù)據(jù)對接，在用戶信息修改后，平臺會實時分發(fā)數(shù)據(jù)修改，保障各系統(tǒng)的數(shù)據(jù)一致。

3.業(yè)務應用服務層

南京教育云平臺不僅向全市師生、家長提供教育云盤、教育政務微信企業(yè)號、期刊庫等市級應用，還能通過統(tǒng)一身份認證系統(tǒng)的單點登錄功能訪問到學校應用。南京教育云平臺建立本地化應用中心，對第三方應用進行集中管理，按照用戶的所在區(qū)域和權限顯示個性化應用導航，應用中心根據(jù)用戶終端形式分為兩部分：由單點登錄平臺實現(xiàn)Web端的管理；由教育政務微信平臺實現(xiàn)移動端的管理。

單點登錄平臺已整合期刊庫等第三方應用，對已有系統(tǒng)進行融合，實現(xiàn)了一次登錄多次訪問的目標，并且完成了網(wǎng)絡資源的實名訪問工作。

教育政務微信平臺是移動端的統(tǒng)一入口，選擇基于微信企業(yè)號的平臺架構，信息接收端的用戶不需要在手機端再下載任何應用，而只需關注微信企業(yè)號就可以使用各項功能，平臺提供了非常良好的基礎功能和架構，為移動端開發(fā)節(jié)省大量的開發(fā)時間和平臺維護成本，面向用戶提供部分共性的基礎功能模塊：通知公告、消息推送、問卷調(diào)查、活動管理、工作日程和資源預約等，界面如圖6所示。

四、結(jié)論

南京教育云平臺通過多年的努力，在基礎設施建設上得到了全面提升，實現(xiàn)了全市的SDN網(wǎng)絡部署，構建了區(qū)域教育信息化應用服務平臺、開放標準和服務體系，建成了全市的教師基礎數(shù)據(jù)庫。同時，通過統(tǒng)一身份認證平臺和教育政務信息平臺，教師無需知道賬號和密碼就可以直接掃描二維碼登錄應用系統(tǒng)，不僅簡化了平臺推廣過程，提高了用戶的訪問體驗，而且符合當前對于實名使用網(wǎng)絡資源的安全要求。

圖6 教育政務微信平臺

[1]門威.智慧校園架構下公共數(shù)據(jù)平臺建設策略研究[J].中國教育信息化,2017(9):51-54.

[2]段春梅.智慧校園的云數(shù)據(jù)中心架構設計[J].計算機應用技術,2016(8):55-56.

[3]付珍珍,吳寒飛.南通大學以整合為核心建設一體化智慧校園[J].中國教育網(wǎng)絡,2017(8)65-67.

[4]李秀敏,史海燕,王希杰.“互聯(lián)網(wǎng)+”背景下智慧校園建設模式分析[J].計算機時代,2016(10):22-24+28.

[5]于長虹.智慧校園智慧服務和運維平臺構建研究[J].中國電化教育,2015(8):16-20+28.

[6]許柳威,田文雅.基于LDAP的統(tǒng)一身份認證平臺的研究與應用[J].中國教育信息化,2013(11):82-85.

[7]段海波.高校數(shù)字化校園的統(tǒng)一身份認證解決方案[J].中國教育信息化,2010(17):43-46.