上海是怎么做區(qū)域教育身份認證體系的？

文/馮騏　　朱宇紅　　　柯立新　　　沈富可

上海是怎么做區(qū)域教育身份認證體系的？

文/馮騏1朱宇紅2柯立新2沈富可1

本文從區(qū)域信息化頂層設(shè)計的角度，探討各主體在信息化建設(shè)中所扮演的角色，以及如何互利互贏，共同推動區(qū)域信息化發(fā)展。

區(qū)域信息化的挑戰(zhàn)

在區(qū)域信息化的建設(shè)中，主要面臨三個方面的挑戰(zhàn)：

1.各自為政，共享困難

由于歷史原因形成的信息資源歸有關(guān)部門所有的慣例，政府各部門、學校甚至學校內(nèi)部各部門等由職能賦予的權(quán)力所采集的信息資源往往成為獨家壟斷，相互之間缺乏溝通，有效的信息共享制度和機制缺位，信息資源難以共享。

2.缺乏科學的頂層設(shè)計，數(shù)據(jù)分析困難

由于缺乏科學的頂層設(shè)計，總體的協(xié)調(diào)和信息建設(shè)規(guī)劃不到位，業(yè)務(wù)條塊化信息資源建設(shè)方式導致在開發(fā)的規(guī)劃、組織、資金和體制上都相互獨立，不僅低水平重復建設(shè)現(xiàn)象嚴重，而且多頭采集數(shù)據(jù)造成了數(shù)據(jù)不完整、不一致，使得進一步的數(shù)據(jù)分析也十分困難，大數(shù)據(jù)成為空談的口號。

3.多主體之間沒有形成凝聚力

當前區(qū)域教育信息化的主體主要包括三個方面：政府、學校、企業(yè)。其中，政府方面多項目、多線、多條塊的建設(shè)，事實上構(gòu)成了一個又一個的孤島；學校方面同樣存在大量的低水平重復建設(shè)，且由于人員、編制等方面的問題，在運維上力不從心，對外包服務(wù)商等依賴較重，信息化整體的投入產(chǎn)出比較低；企業(yè)方面雖然有一定的積極性，然而在現(xiàn)有體制環(huán)境下，企業(yè)與政府/學校之間的合作模式較為僵化，更多的企業(yè)即便想?yún)⑴c其中，亦無從入手。

區(qū)域信息化的頂層設(shè)計

尊重各主體的獨立性

區(qū)域信息化建設(shè)過程中首先應(yīng)明確各主體的不同職責與相互關(guān)系?？茖W的頂層設(shè)計重點在于設(shè)計區(qū)域信息化整體的框架體系，并將所有主體接納進來，多方進行對接，共同形成區(qū)域信息化的生態(tài)圈。與此同時，應(yīng)當尊重各主體的獨立性，不去干涉各主體內(nèi)部的信息化規(guī)劃、管理體制等。以下重點以身份管理和資源共享服務(wù)之間的關(guān)系闡述學校、政府、企業(yè)在頂層設(shè)計中所應(yīng)承擔的不同職責。

圖1　上海市教育身份認證體系總體框架

1.學校

學校是身份的管理方，也是特色資源的提供方。

教育行業(yè)的用戶主要是老師和學生，他們的身份都由學校進行管理。教育信息化中的線上身份認證管理必然要與線下的身份管理相結(jié)合，因此合理的解決方案是由用戶的身份管理方——學校，建設(shè)身份認證系統(tǒng)，為其用戶提供身份認證服務(wù)。而學校的身份認證系統(tǒng)則與區(qū)域信息化的大平臺進行對接，從而在身份管理上能夠真正落地，與線下的身份管理緊密結(jié)合。也為針對不同用戶身份進行不同類別的應(yīng)用授權(quán)提供了可能性。

另一方面，學校往往有一些特色的資源數(shù)據(jù)或資源應(yīng)用，這些有特色的、獨一無二的資源，在資源共享時就能更好地發(fā)揮價值。資源應(yīng)用的共享應(yīng)該把重點放在這些有特色的應(yīng)用之中。

2.政府

政府是身份和應(yīng)用資源的聯(lián)接主體，形成科學合理的共享機制。

教育信息的應(yīng)用，針對不同的用戶群體往往有很強的個性化需求，很難統(tǒng)籌建設(shè)一個標準化的產(chǎn)品來滿足所有的用戶。這就要求政府不必去嘗試建設(shè)大而全的信息化系統(tǒng)，而是必須做好頂層設(shè)計層面的大框架和標準，引導各個應(yīng)用系統(tǒng)、身份系統(tǒng)互相對接，依賴于市場的細分，為不同的用戶群體提供高服務(wù)質(zhì)量的、各不相同的個性化服務(wù)。并使各應(yīng)用資源得到充分共享、充分利用。

3.企業(yè)

企業(yè)揚己所長，生產(chǎn)不同的應(yīng)用與資源，并為用戶提供高質(zhì)量的服務(wù)。

良好的教育信息化生態(tài)圈離不開企業(yè)的參與。企業(yè)能夠針對不同的市場，提供個性化的應(yīng)用，并在其中得到發(fā)展。與此同時，企業(yè)也應(yīng)當適當?shù)爻袚逃畔⒒鷳B(tài)圈的發(fā)展責任，共同承擔，共同成長。

頂層設(shè)計框架

基于以上認識，我們認為一個可持續(xù)發(fā)展的教育信息化框架，應(yīng)該在認證/授權(quán)/數(shù)據(jù)三方面上建立起相應(yīng)的標準和框架。

1.認證

在認證上，應(yīng)該充分信任各主體的認證結(jié)果。線上的身份管理與線下的身份管理相結(jié)合，由用戶的身份管理主體對其進行身份管理，即認證。在認證時，應(yīng)傳遞用戶的相應(yīng)身份屬性，用于授權(quán)。

2.授權(quán)

授權(quán)應(yīng)分為兩個部分：

（1） 資源訪問的授權(quán)——即對用戶的授權(quán)。例如誰能夠訪問應(yīng)用、能夠看到應(yīng)用內(nèi)的什么內(nèi)容、能夠在應(yīng)用中做出怎樣的操作等，這些均應(yīng)通過對用戶的授權(quán)來進行控制。而授權(quán)則應(yīng)基于用戶的身份屬性，例如根據(jù)不同學校之間的差異、不同角色（學生/教師/家長）之間的差異進行授權(quán)。

（2）應(yīng)用開發(fā)的授權(quán)——即對應(yīng)用的授權(quán)。例如什么樣的應(yīng)用能夠加入生態(tài)圈、加入生態(tài)圈的應(yīng)用能夠獲得多少可利用的數(shù)據(jù)、能夠?qū)?shù)據(jù)做什么樣的操作等，這些應(yīng)該通過對應(yīng)用的授權(quán)進行控制。

3.數(shù)據(jù)

數(shù)據(jù)是一切的基礎(chǔ)，無論是為頂層設(shè)計的決策支持，還是為個人教育發(fā)展的個性化服務(wù)，都離不開大數(shù)據(jù)的支持。一個良好的教育生態(tài)圈，其數(shù)據(jù)大致可分為基礎(chǔ)數(shù)據(jù)和運行數(shù)據(jù)兩類。

基礎(chǔ)數(shù)據(jù)——即用戶的身份、角色等個人信息相關(guān)的基礎(chǔ)數(shù)據(jù)?；A(chǔ)數(shù)據(jù)的來源主要取決于線下。當用戶從線下轉(zhuǎn)移到線上時，這些基礎(chǔ)數(shù)據(jù)通過其主體的認證系統(tǒng)，進入到線上的系統(tǒng)中。

運行數(shù)據(jù)——即各線上系統(tǒng)在運行過程中產(chǎn)生的數(shù)據(jù)。這些數(shù)據(jù)由應(yīng)用系統(tǒng)通過數(shù)據(jù)接口提供。

這兩類數(shù)據(jù)共同構(gòu)成大數(shù)據(jù)分析的基礎(chǔ)。

頂層設(shè)計框架的關(guān)鍵點在于構(gòu)建通道，形成連接，讓數(shù)據(jù)在各個主體之間能順利地流通。當今資源共享，數(shù)據(jù)流通過程中的一大阻礙便是數(shù)據(jù)的流向缺乏審計和控制，令共享者心存顧慮，難以擴大共享的范圍。而身份的認證和授權(quán)正是打消這種顧慮的最佳方式，并且身份的認證和授權(quán)本身即是數(shù)據(jù)流通的一種入口。因此，一個有效的，完備的身份認證體系框架，是實現(xiàn)區(qū)域信息化頂層設(shè)計框架的關(guān)鍵。

以上海市為例，根據(jù)頂層設(shè)計所規(guī)劃的上海教育身份認證體系總體框架如圖1所示。

圖2　上海教育系統(tǒng)跨校認證聯(lián)盟邏輯架構(gòu)

上海教育身份認證體系的設(shè)計與實踐

上海教育系統(tǒng)跨校認證

上海教育系統(tǒng)跨校認證聯(lián)盟是一個分布式的身份認證聯(lián)盟。聯(lián)盟內(nèi)信任各個認證子域的認證結(jié)果，與各個子域的身份認證系統(tǒng)進行對接，實現(xiàn)跨校認證。目前已經(jīng)有40個子域加入聯(lián)盟，并且還在不斷地擴展中，總用戶規(guī)模超過100萬，活躍用戶近5萬。

聯(lián)盟內(nèi)目前有上海教育無線通，上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺，上海市東北片跨校輔修平臺等多樣化的優(yōu)質(zhì)資源應(yīng)用，這些應(yīng)用均基于跨校認證的平臺進行開放和共享。

聯(lián)盟的框架基于開源組件 Shibboleth實現(xiàn)。

1.Shibboleth 簡介

Shibboleth是一種標準化的開源軟件，用于組織成員之間通過Web進行單點登錄。Shibboleth支持節(jié)點之間的個體在訪問受保護的資源時，提供安全、隱私的身份認證服務(wù)。

其主要由三個部分組成：

（1）IDP（Identity Provider，身份提供者）

圖3　 跨校認證訪問

身份提供端：主要作用是向資源提供者提供用戶的屬性，以便使資源服務(wù)器根據(jù)其屬性對其訪問操作進行授權(quán)和響應(yīng)。

（2）SP（Service Provider，資源提供者）

資源服務(wù)提供端，主要作用是響應(yīng)用戶的資源請求，并向該用戶所在的IDP查詢用戶的屬性，然后根據(jù)屬性作出允許或拒絕訪問資源的決策。

（3）WAYF（Where Are You From，認證中心。Shibboleth 2.0之后更名為DS，即DiscoveryService，但是習慣上依然稱為WAYF)

2.應(yīng)用發(fā)展現(xiàn)狀

基于上海教育跨校認證，我們通過自主開發(fā)應(yīng)用、與現(xiàn)有平臺對接等方式，提供了一批優(yōu)質(zhì)的應(yīng)用資源。由于跨校認證的特點，推廣較為順利，用戶體驗較好，獲得了用戶的好評。以下簡單介紹三個較為有特點的跨校應(yīng)用：

圖4　身份認證節(jié)點使用分布

圖5　用戶終端分布

（1） 上海教育無線通

上海教育無線通是一個基于跨校認證的無線資源共享方案。其設(shè)計邏輯類似于全球無線漫游框架 Eduroam ，用戶用自己學校的用戶名和密碼即可在支持的學校使用無線資源。區(qū)別在于 Eduroam 所使用的技術(shù)基于 802.1x 和 radius，完全采取分布式的管理，對提供漫游的學校技術(shù)管理要求較高，而上海教育無線通基于 Web portal，采取半中心式半分布式管理，對學校的技術(shù)管理要求相對較低，易于推廣。

（2） 上海市東北片跨校選輔修平臺

跨校輔修專業(yè)是上海市東北片高校合作辦學教學協(xié)作組本著優(yōu)勢互補、資源共享、互惠互利、協(xié)調(diào)發(fā)展的合作精神，在上海市教委和上海市東北片高校合作辦學管理委員會的直接領(lǐng)導和支持下的一種合作辦學模式，它允許上海市東北片復旦、同濟、財大、上外等12所高校的優(yōu)秀學生選修其他學校開設(shè)的跨校輔修專業(yè)，經(jīng)考核合格，可獲得其他學校頒發(fā)的跨校輔修專業(yè)證書。上海市東北片跨校選輔修平臺（http://www.kxxfx.shec.edu.cn）的認證方案采取跨校認證模式，傳遞登錄人員的屬性，避免了給用戶二次開設(shè)賬戶的過程，也為開設(shè)和選修相關(guān)課程的師生帶來了便利。

（3） 上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺

“上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺”（http://www.kxzy.sh.edu.cn） 是在上海市教委的組織領(lǐng)導下構(gòu)建的一個資源共享項目，其宗旨是將上海地區(qū)高校自建數(shù)據(jù)庫、特色資源數(shù)據(jù)庫、優(yōu)質(zhì)資源數(shù)據(jù)庫等共建共享。目前平臺已整合了復旦大學、東華大學、上海師范大學、上海外國語大學、同濟大學、上海海洋大學、上海電力學院等學校12個優(yōu)質(zhì)資源庫，涉及民國書刊、古籍、圖書、教參、學位論文等多種資源類型。平臺共有資源超過30萬條，其中85%的資源提供電子全文，15%的資源提供印本全文。其中電子資源的授權(quán)訪問基于跨校認證平臺實現(xiàn)。

（4） 應(yīng)用數(shù)據(jù)分析

雖然在跨校認證的框架下，尚缺乏應(yīng)用內(nèi)的數(shù)據(jù)共享機制。但是根據(jù)用戶通過跨校認證的流量數(shù)據(jù)，亦可見一斑。

如圖3所示，跨校認證的日均訪問人次在2000～4000不等。且在學期內(nèi)，訪問頻次呈周期性現(xiàn)象，逢周末則訪問量劇增。其原因可推斷為周末時用戶的跨?；ピL頻率增加，且跨校選輔修學生在異校學習，因此跨校無線通的訪問量較大，且部分跨校選輔修學生可使用基于跨校認證的教參系統(tǒng)中的相關(guān)教材。

如圖 4所示，各學校的跨校認證用戶分布較為平均，基本與學校的規(guī)模相當。

如圖5 所示，用戶的終端分布中，移動端的分布已經(jīng)超過PC端的分布比重?？梢娙缃竦挠脩艚K端已經(jīng)是移動端占據(jù)多數(shù)，應(yīng)用的開發(fā)應(yīng)以移動為先。

如圖 6所示，用戶的瀏覽器分布中，以Chrome 和 Safari 為主，傳統(tǒng)的微軟 IE瀏覽器占比已經(jīng)不足 15%。這其中顯然有移動端流量占據(jù)主流的原因。

圖6　用瀏覽器端分布

上海教育認證中心

基于 Shibboleth 的跨校認證框架很好地解決了分布式認證的問題，并且為基于用戶屬性的授權(quán)提供了很好的方案。然而其對于應(yīng)用的授權(quán)卻比較簡單，是基于認證節(jié)點的分布式授權(quán)，缺乏中心化的授權(quán)管理。因此，各認證節(jié)點向應(yīng)用所傳輸?shù)纳矸輸?shù)據(jù)也缺乏標準，數(shù)據(jù)結(jié)構(gòu)散亂，需要二次整合。分布式的框架架構(gòu)必須要存在中心化的管理，否則必然會成為一盤散沙。

因此我們需要一個中心化的授權(quán)管理機制，來統(tǒng)籌應(yīng)用節(jié)點與認證節(jié)點之間的對接。同時又不能破壞現(xiàn)有的分布式認證框架。我們給出的方案是Oauth2+Shibboleth。通過Oauth2進行授權(quán)管理，通過Shibboleth進行分布式的認證。其框架圖如圖7所示。

如圖7所示，認證中心作為身份認證的統(tǒng)一交換平臺，對接應(yīng)用市場和跨校認證聯(lián)盟框架。應(yīng)用通過Oauth2的開放接口進行授權(quán)，授權(quán)時調(diào)用統(tǒng)一認證接口——即跨校認證接口對接Shibboleth框架進行分布式認證。通過認證傳遞用戶屬性數(shù)據(jù)，這些數(shù)據(jù)在身份認證中心的平臺中進行整合清洗，封裝為統(tǒng)一的數(shù)據(jù)標準格式，以API接口的形式發(fā)布予以應(yīng)用調(diào)用。

認證中心采取的Oauth2授權(quán)模式，是互聯(lián)網(wǎng)主流的授權(quán)方案，便于應(yīng)用的快速接入，非常有利于推廣。同時數(shù)據(jù)通過先流入認證中心，再授權(quán)給應(yīng)用的模式，提供了數(shù)據(jù)清洗的契機，有利于數(shù)據(jù)結(jié)構(gòu)的標準化，這對于應(yīng)用的對接推廣也是極有幫助的?；诖耍覀兙湍軌蛲ㄟ^認證中心構(gòu)建一個開放的授權(quán)平臺，類似于微信/微博/人人網(wǎng)等開放授權(quán)平臺，從而形成一個區(qū)域教育信息化的生態(tài)圈。

然而由于用戶的身份數(shù)據(jù)將先進入認證中心再予以應(yīng)用授權(quán)，因此存在數(shù)據(jù)隱私保護的問題。在這方面目前還缺乏相應(yīng)的規(guī)定和標準，如何在數(shù)據(jù)隱私保護和數(shù)據(jù)整合之間取得平衡，是一個需要認真考慮的問題。

圖7　Oauth2授權(quán)流程

總結(jié)和展望

資源共享的難點在于消除資源共享者的顧慮和不信任感，而身份認證正是一個極佳的途徑。通過跨校認證的技術(shù)，我們在無線資源的共享上、在教學資源的共享上、在圖書館藏資源的共享上都做了一定的嘗試，并得到了很好的效果。同時在這些資源共享的實踐中，我們也在一定程度上形成了資源共享的標準規(guī)范，例如《跨校認證系統(tǒng)屬性規(guī)范草案》，《上海教育身份認證體系標準規(guī)范》等，取得了一些成果。

在今后的工作中，我們將在三個方面做進一步的努力。在應(yīng)用的接入推廣上，利用上海教育認證中心的Oauth2框架，構(gòu)建開放的認證授權(quán)平臺，為應(yīng)用提供更便捷更簡單的對接方案；在用戶的接入推廣上，通過一部分應(yīng)用的試點，推動更多的優(yōu)質(zhì)應(yīng)用加入開放平臺內(nèi)，通過應(yīng)用來驅(qū)動用戶，推動用戶的使用；在系統(tǒng)的穩(wěn)定性和保障上，通過統(tǒng)一的監(jiān)控平臺，監(jiān)控各個認證節(jié)點和應(yīng)用的狀態(tài)。并建立退出機制，對于系統(tǒng)維護不力，也沒有意愿維護的節(jié)點和應(yīng)用，允許其退出平臺，進而提高整個平臺的服務(wù)保障能力。

（作者單位1為華東師范大學信息化辦公室,2為上海市教育委員會信息中心）