數字校園環(huán)境下的統(tǒng)一身份認證平臺建設

張桂花

摘 要 對數字校園下的統(tǒng)一身份認證進行概述，分析現階段統(tǒng)一認證對區(qū)域內教育信息化的重要作用，對建設統(tǒng)一認證過程中遇到的問題進行剖析，并提出相應的解決策略。

關鍵詞 數字校園；教育信息化；統(tǒng)一身份認證

中圖分類號：G434 文獻標識碼：B

文章編號：1671-489X（2016）23-0002-03

1 前言

數字校園是在計算機和信息技術基礎上，依托數字化信息，充分優(yōu)化利用教學資源的虛擬教育環(huán)境。近十年北京市在開展數字化校園的建設工作上投入巨大，與此同時，隨著教育信息化的穩(wěn)步推進，延慶各學校的網站、教育信息化平臺也隨之完善，基于這些平臺的應用越來越豐富。

延慶區(qū)自2010年已有6所學校先后分三批投入數字校園建設中，投入資金達1200萬。各校已經建設了校園網站、校務系統(tǒng)、資源平臺等應用系統(tǒng)。數字校園現階段已有5300多用戶注冊。延慶區(qū)域范圍內供全區(qū)中小學師生使用的各業(yè)務系統(tǒng)如延慶教育網、視頻教研系統(tǒng)、教師研修網、新課程資源中心、社會大課堂等系統(tǒng)也已初具規(guī)模。

數字校園期間對區(qū)域內網絡進行升級，外網帶寬由原來的100 M升為370 M，內網為1000 M，所有中小學基本實現無線網絡延伸覆蓋。數字校園工程為全區(qū)建立了統(tǒng)一的用戶數據管理中心，為各參與學校健全了校內應用系統(tǒng)，在數字校園一期中已經建成統(tǒng)一身份認證，統(tǒng)一數據庫等系統(tǒng)；一中的教師備課系統(tǒng)、網絡閱卷及成績統(tǒng)計分析，十一學校的教學資源庫、課例分析系統(tǒng)已初具規(guī)模；四中和二小的數字辦公平臺、教務管理平臺、學生成長平臺、教師發(fā)展平臺、互動教學平臺和管理服務平臺、考務管理系統(tǒng)、文印管理系統(tǒng)、學生心理測評系統(tǒng)、資產管理系統(tǒng)、協同備課系統(tǒng)、數字辦公平臺的移動端等系統(tǒng)都在積極推進建設中。

2 統(tǒng)一身份認證的必要性

統(tǒng)一認證是指，將眾多應用系統(tǒng)納入統(tǒng)一用戶管理平臺之中，實現單點登錄，在眾多系統(tǒng)中一個用戶使用一個口令進行身份認證的系統(tǒng)。統(tǒng)一認證是數字校園的數據基礎，在數字校園建設中必不可少。

隨著延慶區(qū)教育系統(tǒng)內應用平臺越來越多，已建成和正在建設的各應用系統(tǒng)之間的身份認證和權限管理存在的問題逐漸暴露出來，這些問題給系統(tǒng)管理者和使用者都帶來了諸多不便。

給使用者帶來的不便 延慶教育網內各應用系統(tǒng)用戶基本統(tǒng)一，但是由于開發(fā)時間的不同，應用推廣使用程度不同，使用者對系統(tǒng)登錄地址，甚至個人信息都有遺忘現象，如社會大課堂系統(tǒng)是為各校每年一至兩次的社會實踐活動建成的，使用頻率較低，每次使用時均有部分學校管理員忘記用戶名密碼，需要重置。

各應用系統(tǒng)獨立運行，用戶登錄系統(tǒng)使用的認證機制也不同，用戶登錄不同平臺時，要多次輸入用戶名、密碼，操作煩瑣，也不便于記憶；各應用系統(tǒng)缺乏統(tǒng)一的授權管

理，權限控制上比較隨意，極易造成注冊用戶個人信息泄露等安全隱患。

給管理者帶來的不便 各系統(tǒng)的授權并未嚴格分級，如互動教研系統(tǒng)，各管理者均使用一個管理用戶登錄，導致出現問題時責任不明，不便于問題的解決。

延慶數字校園建設的每一個新系統(tǒng)都需要針對用戶和權限管理進行開發(fā)，不僅增加了開發(fā)成本，還增加了日常維護的工作量；各系統(tǒng)之間賬號不統(tǒng)一，形成信息孤島現

象，導致管理工作重復，如延慶教育網和辦公郵箱用戶采用AD域的認證和管理方式，研修網、新課程資源中心等網站則自帶用戶管理中心，社會大課堂使用的是自主開發(fā)的用戶管理中心，用戶數據是一套但各系統(tǒng)各管各的，管理者不得不在用戶管理方面進行大量的重復勞動；延慶家?；拥柔槍熒南到y(tǒng)，由于用戶信息不能統(tǒng)一管理，導致畢業(yè)學生、離退休教職工不能及時在系統(tǒng)中清除，造成數據冗余。

統(tǒng)一認證系統(tǒng)對延慶數字化校園實現用戶基礎數據統(tǒng)一管理、用戶身份統(tǒng)一認證和針對用戶角色的統(tǒng)一授權有重要意義，因此作為延慶數字化校園建設的首要工作被提上日程。

3 延慶統(tǒng)一認證平臺在數字化校園過程中的作用

用戶統(tǒng)一認證系統(tǒng)為數字化校園提供基礎數據，并在用戶登錄各系統(tǒng)前進行用戶合法性的確認，登錄后分別授權，系統(tǒng)為由延慶教育委員會及下屬幾十個學校、直屬單位組成的教育系統(tǒng)，提供用戶合法性認證和多個應用系統(tǒng)授權服務。不僅可以對現有延慶教育網、資源網、新課程中心、社會大課堂等應用系統(tǒng)進行認證接口的升級改造，將其接入新的認證系統(tǒng)內，還可以滿足如互動反饋平臺、家?；悠脚_、視頻會議系統(tǒng)等正在開發(fā)的新應用系統(tǒng)對身份認證接口提出的要求，并為新應用系統(tǒng)對接到統(tǒng)一身份認證系統(tǒng)提供無縫的服務，如圖1所示。

統(tǒng)一身份認證無論對用戶本身，還是對管理者都起著至關重要的作用。

對用戶的作用 統(tǒng)一身份認證系統(tǒng)有良好的通用性，為延慶各應用系統(tǒng)提供認證途徑，讓用戶在全網內一次登錄后，即可訪問被授權的所有系統(tǒng)。雖然各個應用系統(tǒng)開發(fā)時間使用技術不同，并分別運行在不同的平臺上，但統(tǒng)一認證平臺可以做到統(tǒng)一登錄和授權。系統(tǒng)將根據用戶性質，對權限進行分級，能夠做到對用戶個人信息、資源信息的有效保護。統(tǒng)一認證系統(tǒng)為學校已經建設、正在建設和將要建設的軟硬件平臺提供用戶數據，學校日后信息化建設中不僅可以省去管理模塊，而且降低了系統(tǒng)維護成本。

對系統(tǒng)維護人員的作用 延慶統(tǒng)一身份認證系統(tǒng)是延慶數字化校園正常運轉的基礎數據平臺，開發(fā)過程中會采取有效措施提升該系統(tǒng)的安全防護功能，確保整個數字校園系統(tǒng)的安全穩(wěn)定運行，使認證系統(tǒng)具有高度的穩(wěn)定性和安全性，它能保障系統(tǒng)管理員對用戶認證以及授權的正常開展。

延慶統(tǒng)一身份認證系統(tǒng)將用戶數據、用戶角色和用戶權限分別管理，并在它們之間建立對應關系，既能保證用戶數據獨立，又能對用戶的網絡訪問權限進行靈活配置，為延慶教育系統(tǒng)提供完善而細致的權限管理。

對教委的作用 延慶教育委員會全面部署和決策教育信息化工作。統(tǒng)一認證平臺為全區(qū)教育信息化提供便利，建成后可以為新系統(tǒng)提供用戶認證功能，減低經濟、人力投入。統(tǒng)一認證平臺還提高了全區(qū)的教師學生用戶個人數據安全，降低了因為用戶數據泄露帶來的安全風險，為教委信息化工作的安全有序開展提供保障。各自運行、獨立認證的各學校、各業(yè)務領域的信息系統(tǒng)有了統(tǒng)一的數據、角色訪問控制，使教育資源得到合理、高效利用。

對教育信息中心的作用 教育信息中心全面負責延慶區(qū)的信息化建設，落實教育委員會關于教育信息化的規(guī)劃、政策，保證教育系統(tǒng)信息安全。延慶統(tǒng)一身份認證對全區(qū)教育系統(tǒng)內的教師和學生數據進行收集、存儲，保障了數據安全，對降低因數據泄露和認證系統(tǒng)遭受攻擊的風險有重要作用。用戶登錄后所有行為都將被全程跟蹤記錄，出現問題時可根據記錄的內容進行排查，非法操作也將會較容易被發(fā)現，這也確保了信息訪問的安全性。

4 延慶統(tǒng)一認證平臺的建設

多平臺統(tǒng)一規(guī)劃需解決的問題 延慶現有的平臺有延慶教育網、延慶社會大課堂、延慶教育資源云、教師研修網、延慶教委郵箱等多個網絡平臺。這些網絡平臺系統(tǒng)是在不同的時間伴隨著不同的技術背景建立起來的，運行平臺和體系結構各不相同。

1）現有應用平臺的用戶認證中，教委網站和郵件系統(tǒng)是基于微軟的域用戶認證；研修網、視頻教研系統(tǒng)、新課程資源中心系統(tǒng)等平臺使用自主開發(fā)的用戶認證系統(tǒng)；延慶教育資源云是統(tǒng)一認證系統(tǒng)提上日程后開發(fā)的第一個應用系統(tǒng)，還沒有自己的用戶認證系統(tǒng)。因此，要將復雜的多個系統(tǒng)集成到一起是新的統(tǒng)一認證系統(tǒng)需要解決的第一個問題。

2）各平臺開發(fā)的語言不同，如教委網站和郵件是使用C#開發(fā)的，研修網是使用JSP開發(fā)的，社會大課堂是用asp.net開發(fā)的。有平臺多年沒有更新和進行版本的升級，運維也出現了問題，若要與統(tǒng)一認證對接，存在一定難度。

3）本市范圍內，教育系統(tǒng)并沒有成功的經驗可以借鑒。使用什么技術，能否保證各平臺的穩(wěn)定運行，沒有先例。

4）權限控制和用戶信息如何管理，是統(tǒng)一管理，還是進行分布式授權管理，這也是開發(fā)前需要考慮和認真解決的問題。

因為各系統(tǒng)現有的認證方式不同，給統(tǒng)一認證系統(tǒng)的開發(fā)帶來了問題。究竟是將其他系統(tǒng)用戶都導入域中使用域用戶認證，還是使用統(tǒng)一接口新的認證系統(tǒng)方式。這是最關鍵也是最亟待解決的問題。

解決策略 針對現有平臺的復雜度和運行狀況，對以上提到的問題分成四個步驟來解決。

1）對延慶數字校園一、二、三期項目涉及的十一學校、一中、三中、四中、五中、二小和信息中心現有軟硬件系統(tǒng)進行調查研究，對其使用的用戶認證方式進行歸類。由于這些單位幾乎包括了區(qū)域內所有類型學校，軟件平臺也具代表性。

2）分析現有系統(tǒng)使用的語言、技術、認證方式，對統(tǒng)一認證平臺制作總體規(guī)劃篩選有實力、有經驗的開發(fā)制作公司，并與公司一起對現有諸多軟件平臺進行評估、分析，在此基礎上對統(tǒng)一認證系統(tǒng)開發(fā)方式進行論證。

3）確認系統(tǒng)使用何種開發(fā)技術。根據教育及其他行業(yè)的成功實現案例，可以選擇諸如LDAP目錄服務數據庫與Web Services 集成服務方式、Windows域與802.1x統(tǒng)一認證等多種方式。

4）功能模塊確認后，對用戶數據中心、權限管理中心、角色用戶組管理系統(tǒng)等分別進行建設，并將現有平臺分別接入統(tǒng)一認證系統(tǒng)。如對信息中心現有平臺，首先，將延慶教育資源云和新課程資源中心等沒有用戶認證系統(tǒng)和自主開發(fā)的平臺納入其中；其次，將延慶教育網和政務郵箱等還在服務期內，維護起來較容易的平臺接入；最后，將延慶教師研修網等接入難度大的平臺納入。

5 結語

數字校園大環(huán)境下，建設統(tǒng)一認證平臺對目前延慶區(qū)教育特別是信息化建設十分必要。統(tǒng)一認證平臺通過建設統(tǒng)一的用戶數據庫、用戶認證系統(tǒng)、角色權限分配系統(tǒng)、應用分配系統(tǒng)，解決了用戶以往在使用平臺過程中多次身份認證的問題，保證了用戶數據統(tǒng)一，完備的審計功能有效地保證了用戶的數據信息安全，對用戶、學校、信息中心以及教委在使用和管理上都帶來方便。