上海是怎么做區域教育身份認證體系的？

文/馮騏　　朱宇紅　　　柯立新　　　沈富可

上海是怎么做區域教育身份認證體系的？

文/馮騏1朱宇紅2柯立新2沈富可1

本文從區域信息化頂層設計的角度，探討各主體在信息化建設中所扮演的角色，以及如何互利互贏，共同推動區域信息化發展。

區域信息化的挑戰

在區域信息化的建設中，主要面臨三個方面的挑戰：

1.各自為政，共享困難

由于歷史原因形成的信息資源歸有關部門所有的慣例，政府各部門、學校甚至學校內部各部門等由職能賦予的權力所采集的信息資源往往成為獨家壟斷，相互之間缺乏溝通，有效的信息共享制度和機制缺位，信息資源難以共享。

2.缺乏科學的頂層設計，數據分析困難

由于缺乏科學的頂層設計，總體的協調和信息建設規劃不到位，業務條塊化信息資源建設方式導致在開發的規劃、組織、資金和體制上都相互獨立，不僅低水平重復建設現象嚴重，而且多頭采集數據造成了數據不完整、不一致，使得進一步的數據分析也十分困難，大數據成為空談的口號。

3.多主體之間沒有形成凝聚力

當前區域教育信息化的主體主要包括三個方面：政府、學校、企業。其中，政府方面多項目、多線、多條塊的建設，事實上構成了一個又一個的孤島；學校方面同樣存在大量的低水平重復建設，且由于人員、編制等方面的問題，在運維上力不從心，對外包服務商等依賴較重，信息化整體的投入產出比較低；企業方面雖然有一定的積極性，然而在現有體制環境下，企業與政府/學校之間的合作模式較為僵化，更多的企業即便想參與其中，亦無從入手。

區域信息化的頂層設計

尊重各主體的獨立性

區域信息化建設過程中首先應明確各主體的不同職責與相互關系。科學的頂層設計重點在于設計區域信息化整體的框架體系，并將所有主體接納進來，多方進行對接，共同形成區域信息化的生態圈。與此同時，應當尊重各主體的獨立性，不去干涉各主體內部的信息化規劃、管理體制等。以下重點以身份管理和資源共享服務之間的關系闡述學校、政府、企業在頂層設計中所應承擔的不同職責。

圖1　上海市教育身份認證體系總體框架

1.學校

學校是身份的管理方，也是特色資源的提供方。

教育行業的用戶主要是老師和學生，他們的身份都由學校進行管理。教育信息化中的線上身份認證管理必然要與線下的身份管理相結合，因此合理的解決方案是由用戶的身份管理方——學校，建設身份認證系統，為其用戶提供身份認證服務。而學校的身份認證系統則與區域信息化的大平臺進行對接，從而在身份管理上能夠真正落地，與線下的身份管理緊密結合。也為針對不同用戶身份進行不同類別的應用授權提供了可能性。

另一方面，學校往往有一些特色的資源數據或資源應用，這些有特色的、獨一無二的資源，在資源共享時就能更好地發揮價值。資源應用的共享應該把重點放在這些有特色的應用之中。

2.政府

政府是身份和應用資源的聯接主體，形成科學合理的共享機制。

教育信息的應用，針對不同的用戶群體往往有很強的個性化需求，很難統籌建設一個標準化的產品來滿足所有的用戶。這就要求政府不必去嘗試建設大而全的信息化系統，而是必須做好頂層設計層面的大框架和標準，引導各個應用系統、身份系統互相對接，依賴于市場的細分，為不同的用戶群體提供高服務質量的、各不相同的個性化服務。并使各應用資源得到充分共享、充分利用。

3.企業

企業揚己所長，生產不同的應用與資源，并為用戶提供高質量的服務。

良好的教育信息化生態圈離不開企業的參與。企業能夠針對不同的市場，提供個性化的應用，并在其中得到發展。與此同時，企業也應當適當地承擔教育信息化生態圈的發展責任，共同承擔，共同成長。

頂層設計框架

基于以上認識，我們認為一個可持續發展的教育信息化框架，應該在認證/授權/數據三方面上建立起相應的標準和框架。

1.認證

在認證上，應該充分信任各主體的認證結果。線上的身份管理與線下的身份管理相結合，由用戶的身份管理主體對其進行身份管理，即認證。在認證時，應傳遞用戶的相應身份屬性，用于授權。

2.授權

授權應分為兩個部分：

（1） 資源訪問的授權——即對用戶的授權。例如誰能夠訪問應用、能夠看到應用內的什么內容、能夠在應用中做出怎樣的操作等，這些均應通過對用戶的授權來進行控制。而授權則應基于用戶的身份屬性，例如根據不同學校之間的差異、不同角色（學生/教師/家長）之間的差異進行授權。

（2）應用開發的授權——即對應用的授權。例如什么樣的應用能夠加入生態圈、加入生態圈的應用能夠獲得多少可利用的數據、能夠對數據做什么樣的操作等，這些應該通過對應用的授權進行控制。

3.數據

數據是一切的基礎，無論是為頂層設計的決策支持，還是為個人教育發展的個性化服務，都離不開大數據的支持。一個良好的教育生態圈，其數據大致可分為基礎數據和運行數據兩類。

基礎數據——即用戶的身份、角色等個人信息相關的基礎數據。基礎數據的來源主要取決于線下。當用戶從線下轉移到線上時，這些基礎數據通過其主體的認證系統，進入到線上的系統中。

運行數據——即各線上系統在運行過程中產生的數據。這些數據由應用系統通過數據接口提供。

這兩類數據共同構成大數據分析的基礎。

頂層設計框架的關鍵點在于構建通道，形成連接，讓數據在各個主體之間能順利地流通。當今資源共享，數據流通過程中的一大阻礙便是數據的流向缺乏審計和控制，令共享者心存顧慮，難以擴大共享的范圍。而身份的認證和授權正是打消這種顧慮的最佳方式，并且身份的認證和授權本身即是數據流通的一種入口。因此，一個有效的，完備的身份認證體系框架，是實現區域信息化頂層設計框架的關鍵。

以上海市為例，根據頂層設計所規劃的上海教育身份認證體系總體框架如圖1所示。

圖2　上海教育系統跨校認證聯盟邏輯架構

上海教育身份認證體系的設計與實踐

上海教育系統跨校認證

上海教育系統跨校認證聯盟是一個分布式的身份認證聯盟。聯盟內信任各個認證子域的認證結果，與各個子域的身份認證系統進行對接，實現跨校認證。目前已經有40個子域加入聯盟，并且還在不斷地擴展中，總用戶規模超過100萬，活躍用戶近5萬。

聯盟內目前有上海教育無線通，上海地區高校優質資源共建共享平臺，上海市東北片跨校輔修平臺等多樣化的優質資源應用，這些應用均基于跨校認證的平臺進行開放和共享。

聯盟的框架基于開源組件 Shibboleth實現。

1.Shibboleth 簡介

Shibboleth是一種標準化的開源軟件，用于組織成員之間通過Web進行單點登錄。Shibboleth支持節點之間的個體在訪問受保護的資源時，提供安全、隱私的身份認證服務。

其主要由三個部分組成：

（1）IDP（Identity Provider，身份提供者）

圖3　 跨校認證訪問

身份提供端：主要作用是向資源提供者提供用戶的屬性，以便使資源服務器根據其屬性對其訪問操作進行授權和響應。

（2）SP（Service Provider，資源提供者）

資源服務提供端，主要作用是響應用戶的資源請求，并向該用戶所在的IDP查詢用戶的屬性，然后根據屬性作出允許或拒絕訪問資源的決策。

（3）WAYF（Where Are You From，認證中心。Shibboleth 2.0之后更名為DS，即DiscoveryService，但是習慣上依然稱為WAYF)

2.應用發展現狀

基于上海教育跨校認證，我們通過自主開發應用、與現有平臺對接等方式，提供了一批優質的應用資源。由于跨校認證的特點，推廣較為順利，用戶體驗較好，獲得了用戶的好評。以下簡單介紹三個較為有特點的跨校應用：

圖4　身份認證節點使用分布

圖5　用戶終端分布

（1） 上海教育無線通

上海教育無線通是一個基于跨校認證的無線資源共享方案。其設計邏輯類似于全球無線漫游框架 Eduroam ，用戶用自己學校的用戶名和密碼即可在支持的學校使用無線資源。區別在于 Eduroam 所使用的技術基于 802.1x 和 radius，完全采取分布式的管理，對提供漫游的學校技術管理要求較高，而上海教育無線通基于 Web portal，采取半中心式半分布式管理，對學校的技術管理要求相對較低，易于推廣。

（2） 上海市東北片跨校選輔修平臺

跨校輔修專業是上海市東北片高校合作辦學教學協作組本著優勢互補、資源共享、互惠互利、協調發展的合作精神，在上海市教委和上海市東北片高校合作辦學管理委員會的直接領導和支持下的一種合作辦學模式，它允許上海市東北片復旦、同濟、財大、上外等12所高校的優秀學生選修其他學校開設的跨校輔修專業，經考核合格，可獲得其他學校頒發的跨校輔修專業證書。上海市東北片跨校選輔修平臺（http://www.kxxfx.shec.edu.cn）的認證方案采取跨校認證模式，傳遞登錄人員的屬性，避免了給用戶二次開設賬戶的過程，也為開設和選修相關課程的師生帶來了便利。

（3） 上海地區高校優質資源共建共享平臺

“上海地區高校優質資源共建共享平臺”（http://www.kxzy.sh.edu.cn） 是在上海市教委的組織領導下構建的一個資源共享項目，其宗旨是將上海地區高校自建數據庫、特色資源數據庫、優質資源數據庫等共建共享。目前平臺已整合了復旦大學、東華大學、上海師范大學、上海外國語大學、同濟大學、上海海洋大學、上海電力學院等學校12個優質資源庫，涉及民國書刊、古籍、圖書、教參、學位論文等多種資源類型。平臺共有資源超過30萬條，其中85%的資源提供電子全文，15%的資源提供印本全文。其中電子資源的授權訪問基于跨校認證平臺實現。

（4） 應用數據分析

雖然在跨校認證的框架下，尚缺乏應用內的數據共享機制。但是根據用戶通過跨校認證的流量數據，亦可見一斑。

如圖3所示，跨校認證的日均訪問人次在2000～4000不等。且在學期內，訪問頻次呈周期性現象，逢周末則訪問量劇增。其原因可推斷為周末時用戶的跨校互訪頻率增加，且跨校選輔修學生在異校學習，因此跨校無線通的訪問量較大，且部分跨校選輔修學生可使用基于跨校認證的教參系統中的相關教材。

如圖 4所示，各學校的跨校認證用戶分布較為平均，基本與學校的規模相當。

如圖5 所示，用戶的終端分布中，移動端的分布已經超過PC端的分布比重。可見如今的用戶終端已經是移動端占據多數，應用的開發應以移動為先。

如圖 6所示，用戶的瀏覽器分布中，以Chrome 和 Safari 為主，傳統的微軟 IE瀏覽器占比已經不足 15%。這其中顯然有移動端流量占據主流的原因。

圖6　用瀏覽器端分布

上海教育認證中心

基于 Shibboleth 的跨校認證框架很好地解決了分布式認證的問題，并且為基于用戶屬性的授權提供了很好的方案。然而其對于應用的授權卻比較簡單，是基于認證節點的分布式授權，缺乏中心化的授權管理。因此，各認證節點向應用所傳輸的身份數據也缺乏標準，數據結構散亂，需要二次整合。分布式的框架架構必須要存在中心化的管理，否則必然會成為一盤散沙。

因此我們需要一個中心化的授權管理機制，來統籌應用節點與認證節點之間的對接。同時又不能破壞現有的分布式認證框架。我們給出的方案是Oauth2+Shibboleth。通過Oauth2進行授權管理，通過Shibboleth進行分布式的認證。其框架圖如圖7所示。

如圖7所示，認證中心作為身份認證的統一交換平臺，對接應用市場和跨校認證聯盟框架。應用通過Oauth2的開放接口進行授權，授權時調用統一認證接口——即跨校認證接口對接Shibboleth框架進行分布式認證。通過認證傳遞用戶屬性數據，這些數據在身份認證中心的平臺中進行整合清洗，封裝為統一的數據標準格式，以API接口的形式發布予以應用調用。

認證中心采取的Oauth2授權模式，是互聯網主流的授權方案，便于應用的快速接入，非常有利于推廣。同時數據通過先流入認證中心，再授權給應用的模式，提供了數據清洗的契機，有利于數據結構的標準化，這對于應用的對接推廣也是極有幫助的。基于此，我們就能夠通過認證中心構建一個開放的授權平臺，類似于微信/微博/人人網等開放授權平臺，從而形成一個區域教育信息化的生態圈。

然而由于用戶的身份數據將先進入認證中心再予以應用授權，因此存在數據隱私保護的問題。在這方面目前還缺乏相應的規定和標準，如何在數據隱私保護和數據整合之間取得平衡，是一個需要認真考慮的問題。

圖7　Oauth2授權流程

總結和展望

資源共享的難點在于消除資源共享者的顧慮和不信任感，而身份認證正是一個極佳的途徑。通過跨校認證的技術，我們在無線資源的共享上、在教學資源的共享上、在圖書館藏資源的共享上都做了一定的嘗試，并得到了很好的效果。同時在這些資源共享的實踐中，我們也在一定程度上形成了資源共享的標準規范，例如《跨校認證系統屬性規范草案》，《上海教育身份認證體系標準規范》等，取得了一些成果。

在今后的工作中，我們將在三個方面做進一步的努力。在應用的接入推廣上，利用上海教育認證中心的Oauth2框架，構建開放的認證授權平臺，為應用提供更便捷更簡單的對接方案；在用戶的接入推廣上，通過一部分應用的試點，推動更多的優質應用加入開放平臺內，通過應用來驅動用戶，推動用戶的使用；在系統的穩定性和保障上，通過統一的監控平臺，監控各個認證節點和應用的狀態。并建立退出機制，對于系統維護不力，也沒有意愿維護的節點和應用，允許其退出平臺，進而提高整個平臺的服務保障能力。

（作者單位1為華東師范大學信息化辦公室,2為上海市教育委員會信息中心）