單點登錄共享校際資源

文/彭偉 王珠鳳

隨著資源共享的日益頻繁，如何進行必要的身份驗證就可實現跨校的信息訪問，是擺在人們面前的一大課題。華東師范大學以IPv6重大應用示范項目《教師教育創新支持系統》為背景，設計出相應的統一身份認證架構，實現

跨校共享資源亟待實現

據統計，當前我國在校學生數量是美國在校學生數量的8倍，但我國的教師資源特別是優秀的教師資源緊缺。同時，教師資源還體現在區域性不平衡。從教師培養層面來看，在互聯網時代，要造就一大批優秀教師和未來教育家，就必須對現有教師培養與培訓模式進行系統的創新和改革，充分發揮互聯網技術對教師教育的支撐作用，特別是利用下一代互聯網的技術優勢，提供高水平的支撐平臺，全程追蹤教師成長的過程，提升教師整體的教育質量。因此，高水平的持續的師范教育非常重要。而國家倡導的6所部屬師范大學從事的下一代互聯網IPv6重大應用示范項目——教師教育創新支持系統，是解決這一問題的重要嘗試。

6所部屬師范大學擁有教師教育的大量優質資源，但是實體資源多，數字資源少。數字資源存在異構、標準不一、個性化和智能化服務水平低等問題。除國家精品課程和省市級精品課程外，數字資源的開放、整合和共享程度不高。可見，在傳統教育模式和手段的基礎上，建設以下一代網絡技術作為支撐的教師教育創新平臺，實現優質教師教育資源的共享，來提高教師教育的效率，滿足現代化優秀教師的培養需要，對解決教師資源短缺且人才資源不平衡的現狀具有重要意義。

因此，如何利用下一代互聯網技術，搭建優質教師教育共享平臺，實現教師教育資源共享，支持下一代互聯網的技術試驗和應用示范，成為下一代互聯網IPv6重大應用示范項目《教師教育創新支持系統》亟待解決的問題。

現有認證機制的缺陷

對于實現校際教師教育資源共享，現在的做法普遍比較簡單，不外乎從兩個方面考慮：一是資源管理，二是用戶管理。無法滿足資源管理的兩個前提

各個高校擁有獨立的教師教育資源庫，為了實現校際教師教育資源的共享，可將分布在其他高校內的教師教育資源備份整合到本校的系統中來，整合的過程可以采用人工錄入/導入方式，一次性將所有的現有教師教育資源都錄入/導入到系統中。就跨校選課來說，可以將其他學校的課程按本校的課程設計方式錄入/導入到本校的選課系統中，本校的學生就可以登錄選課系統來選擇其他學校的課程。一旦更新數據，就必須重新錄入/導入數據。針對這種情況，有些高校提供了Web Service接口，逐步改造已經存在的系統，通過調用相應的接口，把已經更新的教師教育資源復制到本地。在新系統中首先調用索引接口獲取相關的資源及其修改版本，如果版本比本地的新或者本地沒有相應的資源，則調用相應的接口把資源復制到本地。采用Web Service共享方式可實時獲取相關數據，只要源系統中的數據更新，系統中就會調用相應的接口獲取最新的資源數據。內容管理服務器將周期性地比對本地索引服務器和原有庫的索引服務器的軟件版本是否一致，如果遠端的索引更新，則訪問遠程內容服務器，獲取較新索引軟件的詳細信息，同時在本地保存，如圖1所示。

從資源管理角度來處理，就是將其他高校的教師教育資源同步到本地。這種資源共享的方式必須存在兩個前提：一是其他高校愿意向外提供本校的教師教育資源。而實際情況是，很多高校不愿意將資源存放在外校；二是如果某一資源需要被不同的高校共享，那么還要將此資源備份給不同的高校，這就需要建立相應的備份機制。當需要備份的高校很多時，工作量就比較大。

用戶管理缺乏可操作性

用戶可以在提供資源的學校建立相應的賬號，并獲取相應的權限。這種方法簡單，但是可操作性并不強。當需要建立的賬號較少時，可以采用這種方法；如果要批量建立賬號，那么對數據庫管理員來說，這是不小的工作量——一是數據量大，二是數據更新的頻繁度比較大。

探索新型統一身份認證

由于現有的認證機制不能很好地解決校際教師教育資源共享的身份認證問題。因此，華東師范大學在參與“教育科研基礎設施IPv6技術升級和應用示范”項目的背景下，設計出實現校際教師教育資源共享的統一身份認證架構。

具備三大特性

校際教師教育資源共享的統一身份認證應具有如下幾個方面的特性：

1.單點登錄

校際教師教育資源共享的統一身份認證只要求用戶在主站點登錄一次。一旦驗證通過，用戶就可以訪問其他站點的資源，而不需要進行第二次登錄。

2.聯盟性

每個大學存儲獨立的數據庫，建立身份聯盟。

3.信任性

建立大學之間的信任關系，即一個大學在提供服務或應用時必須信任另一個大學的認證結果。為兩種用戶服務

在教師教育創新支持系統中，校際教師教育資源共享的統一身份認證的用戶由兩部分組成：

1.畢業生

在畢業時，6所師范院校的學生會得到母校贈送的一個唯一ID號，用戶可以使用這個ID號碼登錄，比如華東師范大學某個學號為52081201001的學生在畢業后仍然可以使用這個號碼，當他（她）登錄6所學校中的任何一個登錄頁面時，只要輸入52051201001@ecnu.edu.cn，就可以直接登錄并使用這些資源。如果此用戶第一次直接打開其他高校提供的登錄頁面，其他高校則需要將此用戶提供的用戶名與密碼送到此用戶的后綴所在的學校進行認證。如果認證通過，那么用戶可以訪問所有的資源，如果再轉到其他的學校，那么就不需要再一次輸入用戶名與密碼，從而實現用戶的單點登錄。

2.教師

已經進入工作崗位的教師可以從母校獲取一個ID號碼或從本省教育廳（委）獲取一個惟一的ID號碼。各個教育廳可以采用一個庫用來存放所有的教師信息，也可以委托附近的高校來建立本省的用戶數據庫，例如，華東師范大學可以負責華東地區所有教師賬戶的維護。

便捷的認證流程

為了實現用戶的漫游認證以及單點登錄，需要建立一個密鑰分發服務器。當用戶在一個學校通過認證后，密鑰分發服務器就會為此用戶分發一個基于時間戳和用戶密碼的訪問密鑰（cookie），如果用戶再訪問其他高校的資源，其他高校就會將用戶提供的密鑰向密鑰分發服務器進行驗證，看其是否在生命期內，如果有效且在生命期內，就允許此用戶訪問資源。一旦用戶關閉瀏覽器或注銷，用戶的cookie就會立即過期。

Client首先從Portal Server入口訪問資源，輸入ID@domain的用戶名與密碼后，系統會將用戶名與密碼發送到Identity Server Proxy進行認證，Identity Server Proxy收到相關的認證請求后，根據用戶的domain將用戶的認證信息發送到相應的domain域中的認證服務器（可以是LDAP Server、Radius Server或其他的服務器）進行認證。一旦認證通過，系統會自動向密鑰分發服務器申請一個用戶訪問密鑰。訪問任何其他系統時，其他系統都會向密鑰分發服務器驗證用戶訪問密鑰的合法性，如果合法，則不需要再次輸入用戶名與密碼，從而實現單點登錄訪問，如圖2所示。

目前，創新支持平臺的架構已經搭建完畢，各個子系統正在建設。這個架構就是基于校際教師教育資源共享的統一身份認證平臺，用戶在訪問教師教育網絡資源時，資源提供者從安全等角度出發，需要對訪問者的身份進行確認，根據身份認證情況，允許符合策略的用戶使用資源而拒絕不能通過認證的用戶。平臺的特點是將認證模塊放在用戶端，也就是用戶所在的高校或歸屬地，而不是資源提供者，資源提供者只需進行少量的驗證工作，這樣極大地減輕了資源提供者的負擔，同時簡化了訪問程序，提高了訪問資源的效率。