大數據時代的智慧校園身份認證策略研究

王 怡

(福建師范大學 網絡與數據中心，福州 350117)

在《國家教育信息化十年發展規劃(2011-2020)》《教育信息化“十三五”規劃》《教育信息化2.0行動計劃》對高校信息化建設的發展要求指導下，伴隨著大數據、人工智能、云計算、物聯網等新技術的持續發展與應用，高校信息化建設更關注于支撐以人為本的教育理念、滿足師生個性化發展的需求，將信息技術高度融合、信息化應用深度整合，使得多方位資源及其業務的融合和共享，實現無所不在的信息服務綜合化和智慧化[1]。

大數據時代下的智慧校園應能夠實現數據的統一標準和規范管理，圍繞著師生全生命周期的活動，認證授權每個自然人相應的角色和權限，解決多身份、多組織、多應用的問題，提供多場景的業務服務，從而達到智慧校園“業務共融、數據互通、移動集成、服務感知”的目標[23]。因此，本文提出一種開放式的身份認證策略，采用多級實名認證的方式對用戶進行身份管理，通過身份標簽來統一管理用戶訪問系統資源的權限，實現高效的智慧校園數據服務管理。

1 大數據時代下的智慧校園現狀

當前我國大部分高校已經擁有成熟的基礎網絡環境、網絡架構規范和穩定運行的應用系統，基本上能夠支撐智慧校園的數據平臺和相關業務系統的服務器集群。校園內部已形成統一的信息化管理體系，擁有支撐智慧校園運行的數字化平臺，能夠提供基礎性服務，并且有部分高校已實現數據共享。信息化模式已融入學校日常辦公、學習、生活的方方面面，改變著學校行政、教學、科研、服務等業務管理形態，業務部門對信息化的依賴性日益增強，已經形成常態化工作[4]。校園服務的邊界也越來越模糊，服務的空間和時間已逐漸超越了校園區域和工作時段的局限。

智慧校園作為高校信息化的創新階段，也是數字校園的服務擴展和提升階段，其特點表現為用戶需求多元化、應用服務精細化、服務模式智能化，更關注用戶的行為、位置、時間、工具的感知和用戶服務的體驗[5-6]。大數據是智慧校園建設的核心驅動力，高校信息化發展已經從IT(Information Technology)時代走向DT(Data Technology)時代，由集中提供IT應用和基礎架構到通過DT驅動業務管理服務。在大數據時代，數據信息的重要性已經超越了流程本身，智慧校園建設應致力于促進DT支持的服務延伸和提高，依托數據、整合流程，形成創新性的服務體驗信息化。

目前，各個高校建設智慧校園的情況存在很大差異，不同的建校背景和基礎，使得不同學校對智慧校園建設的內容、側重點都不盡相同。很多高校在建設的過程中面臨信息孤島、信息安全隱患等方面的挑戰[7]。從智慧校園頂層設計的角度來看，大部分高校欠缺經驗，在建設過程中常常與學校實際需求相分離，導致信息化工作只是停留在表面建設，沒有真正實現智能化。從智慧校園的應用與管理角度來看，高校難以打破現有應用系統各自為政的現狀，忽略了業務系統之間的獨立性和關聯性，應用未覆蓋到學校各個業務層面以及各類使用人群，無法實現統一的事務流程化管理。從智慧校園相關技術設計的角度來看， 沒有從廣大師生的感受出發來考慮，沒有把智慧校園的建設與用戶的身份管理、應用授權等方面結合起來，因而無法從大數據層面實現真正意義上的“智慧校園”。目前，絕大多數高校處于智慧校園的建設階段或規劃立項中，我們應該探索更為開放的模式，構建新型智慧校園來適應大數據時代。

2 身份認證的重要性及存在的問題

多年來，高校信息系統累積的數量眾多，大部分缺乏標準化、規范化的設計，數據無法共享，互聯互通困難，存在“數據孤島”與 “數據柵欄”并存等現象，無法發揮統一管理效能。近幾年，高校陸續投入部署統一身份認證系統，將校內各個信息系統接入統一身份認證平臺，實現用戶單點登錄全網通行、系統管理員統一授權控制管理的目的。統一身份認證在智慧校園建設中起到關鍵性作用，一方面為用戶訪問校內信息系統帶來了便捷，也為信息系統管理節約了資源，避免分散的用戶管理帶來數據冗余，另一方面為新的信息系統開發提供統一的用戶認證接口，在降低開發成本的同時又能夠提高系統的安全性[8]。

隨著大數據對智慧校園建設的影響日趨深入，現有的身份認證模式已逐漸不適應智慧校園的發展，主要存在以下一些問題：

(1)身份認證接口存在通信安全風險

絕大多數統一身份認證系統使用LDAP接口來完成數據通信[9]，隨著接入的信息系統增多，開發技術不統一，數據標準不一致，而且認證的用戶群體身份繁雜，可能造成連接賬號及其通信安全，如果接入身份認證的系統被非法用戶惡意控制，很可能會篡改LDAP中的用戶信息。

(2)管理賬號存在濫用風險

接入統一身份認證的系統有各自的管理賬號，這些賬號有著系統最高的管理權限。隨著系統管理人員發生變動，很可能出現多人共用管理賬號的現象，或在移交賬號時并未及時更換密碼，管理賬號因缺乏規范化管理容易存在賬號密碼外泄的風險，一旦系統數據發生差錯，我們也無法定位到使用人身份。

(3)無法確保所有認證賬號的權威性

學校信息系統的使用人員包括系統管理人員、教職工、校內外學生、系統服務商以及臨時人員等。學校人事系統、教務系統是只有校內在編在籍師生賬號的數據庫，而其他人員并沒有統一的歸口管理單位，這些人員無法通過用戶身份管理模塊進行統一管理，這就造成了應用系統臨時增加賬號帶來的數據不完整、不規范，數據冗余等安全隱患。

(4)存在身份數據混亂、授權分散的缺陷

現有業務系統身份數據缺乏標準化與一致性，用戶在不同系統中可能存在多種身份信息，這就造成了身份數據混亂的情況，無法為訪問控制提供統一接口與角色權限，無法為認證授權提供集中又可靠的身份數據，不利于應用系統之間的數據傳遞和共享。

3 開放式智慧校園身份認證策略

傳統的身份認證和數據管理服務模式已嚴重制約了高校信息化發展以及智慧校園的應用需求，本文提出一種開放式智慧校園身份認證策略，基于統一用戶中心實現用戶身份管理，采用多級實名認證方式將多系統多身份進行認證融合，通過身份標簽來統一管理用戶訪問系統資源的權限，讓用戶只需要使用一個身份賬號就能訪問校園內所有授權的服務。

3.1 統一用戶中心

圖1 統一用戶中心功能結構圖

統一用戶中心是對學校應用平臺所有用戶信息的集中管理。統一用戶中心實現組織與組織的連接、組織與人的連接、人與人的連接、人與業務的連接，構建標準化的校園用戶體系和組織管理平臺。用戶按照來源分為已有用戶和自注冊用戶。已有用戶指的是基礎數據中心的用戶，包括了人事庫、教師庫、學生庫等同步的用戶數據，能夠實現對這類用戶的基本信息管理、用戶組設置、組織歸屬、身份設定、權限分配等。對于從其他平臺自注冊的用戶，支持在統一用戶中心進行用戶審核、分類歸屬、權限分配等，并定期同步用戶數據到其他應用系統中。統一用戶中心基本功能結構如圖1所示。

用戶管理子系統：實現用戶的集中管理，包括新添用戶、編輯用戶、刪除用戶、修改密碼、查詢用戶、賬號凍結等。新增用戶包括了導入用戶、同步用戶、自注冊用戶審核。該子系統將分散在各個應用系統中的用戶，按照實際情況進行整合匯聚，并按照統一標準對用戶基本信息進行編輯和維護。

用戶身份管理子系統：用戶身份包括了校領導、管理者、教職工、學生、校友、服務組織、游客等類型，隨著業務需求的擴展，用戶身份類型也隨之增加。用戶身份管理子系統實現統一信息門戶、移動App、網上辦事服務大廳、業務系統等應用平臺上的多身份定制化展示。除此之外，用戶的服務模塊資源授權和操作權限分配也是依賴于用戶身份。

職務管理子系統：包括創建職務、職務與組織關系、編輯職務、刪除職務等。不同身份的用戶可配置不同類型的職務。如教職工身份用戶可配置職務：教授、副教授、講師、輔導員、行政人員等。

權限管理子系統：包括訪問權限設置、管理權限設置、數據權限設置等，根據用戶身份為用戶分配權限。訪問權限指的是用戶對某個應用系統及功能模塊的訪問權限。管理權限指的是用戶對某個應用系統及功能模塊設置管理員的權限。數據權限是指用戶對某個應用系統及功能模塊的數據操作權限。

3.2 統一身份認證平臺

圖2 統一身份認證平臺總體架構圖

統一身份認證平臺是提供給各個應用系統進行身份驗證和服務授權的基礎平臺。通過統一的認證服務、授權服務、管理服務等有效地解決智慧校園中身份認證安全、用戶訪問安全和服務安全等問題，從而構建統一標準、安全可靠、互聯互通、方便友好的身份認證平臺[10]。統一身份認證平臺總體架構如圖2所示。

統一身份認證平臺包括用戶注冊模塊、統一用戶登錄模塊、數據對接模塊、單點登錄模塊、與CA對接模塊、個人中心模塊、兼容性支持模塊等。同時，通過對接公安、運營商和銀行等機構建立實名認證服務體系，加強用戶身份信息的核實，確保用戶身份的真實性和準確性，為具有高安全性訪問需求的業務操作提供可靠的用戶身份認證。

3.3 認證服務管理

認證服務是統一身份認證平臺最重要的功能模塊，包括了自然人認證、組織認證、資源認證和應用認證。本文提出的智慧校園身份認證采用了多級實名的認證服務管理策略。

多級實名的認證方式是根據用戶提供的身份證、銀行卡、人臉等憑證，對比該數據在數據庫中的信息，校驗憑證的有效性。通過有效性校驗后，根據不同的憑證和提供方式賦予用戶不同的實名認證等級。采用用戶分級認證的管理思想，可根據用戶使用服務的級別做相對應的認證，并能根據不同用戶自動判別需要用戶認證的等級，高級別認證用戶使用低級別的服務時無須再進行認證。

表1 多級實名信息認證列表

表1列出了L1～L4級認證需要采集的數據、檢驗方式以及用戶的身份和權限。L1級認證用戶通過手機短信校驗的方式即可瀏覽對外開放的信息資源。校內師生用戶通過姓名和身份證信息進行L2級認證，系統將用戶提交的信息與統一用戶中心的師生用戶信息庫進行核驗，校驗成功后即可成為實名用戶，實名用戶認證是支持用戶網上辦事服務的基礎。L2級用戶實名認證流程如圖3所示。如果認證用戶不在統一用戶中心的用戶信息庫中，那么用戶提交的信息將對接公安庫，公安庫作為信任的數據源進行用戶姓名和身份證的合法性校驗，驗證審核通過后則認證成功，并更新實名用戶信息庫。

圖3 用戶實名認證流程圖

圖4 用戶訪問系統資源流程圖

L3級認證是更高級別的實名認證，在用戶使用支付功能，涉及財產安全、資金安全的操作時，系統的鑒證級別會提升到L3級。該級別包括了人臉識別認證和銀行卡四要素認證，將對接公安庫和銀行庫進行信息比對審核，認證通過后用戶可獲得相應的事務申請和支付權限等。L4級認證是系統管理人員需要認證的級別，用戶必須到學校的信息中心采集身份證和活體照片信息，通過現場人工校驗后獲得系統管理員的權限。

3.4 統一授權管理

權限管理是實現用戶訪問系統的控制，按照安全策略控制用戶能夠訪問且只能訪問授權的系統資源。統一身份認證平臺通過實名的認證方式驗證了用戶身份的合法性，用戶就可以訪問學校的信息資源。但是，不同身份的用戶可訪問的資源權限各不相同，這就需要對用戶進行統一的授權管理。本文提出的用戶權限管理采用了賦予“身份標簽”的方式，即系統根據用戶認證的級別、身份信息、崗位信息等給其貼上相應的標簽，如游客、教師、學生、校友、系統管理員等標簽。每個用戶可擁有多個身份標簽，標簽會隨著用戶身份或崗位的變換而改變，用戶也可以根據需求向系統申請權限來獲得標簽。用戶訪問系統資源的流程如圖4所示，用戶在訪問系統資源時，首先需要通過身份認證，認證成功后系統根據其擁有的身份標簽來判斷是否具有訪問權限。

傳統的角色管理方式往往是基于業務管理需求而預先在系統中設定好固定的角色標簽，每個角色對應明確的系統權限，其所擁有的系統權限一般不會隨意更改。角色管理的方式能夠滿足單一系統權限控制的需要，但不適用于智慧校園建設中多系統、多應用、多身份的統一授權管理，本文采用的身份標簽則更為靈活，用戶在身份認證后即可獲得相應的身份標簽，根據身份標簽來識別用戶訪問系統資源的權限，并且身份標簽會隨著用戶身份的變化發生相應的改變，確保基礎數據的統一性、準確性和聯動性。

3.5 數據服務管理

數據服務管理是數據中心和業務系統之間雙向服務和管理過程。需要定義統一的數據接口和標準，數據中心一方面向業務系統提供身份數據和基礎數據服務；另一方面回收業務系統中產生的用戶數據流，形成動態用戶數據庫。數據服務是一個靜態管理和動態回溯的管理過程，其最重要的環節是制定數據交換標準和業務數據回寫標準，以保證數據輸入輸出的有效性和準確性。該服務實現了用戶身份數據與應用數據的關聯與回收，這些數據也將定期匯入智慧校園大數據中心，為智慧校園的數據共享、挖掘和分析提供保證。

4 結語

在高校信息化建設與管理模式的變革下，“以人為本、面向服務”已經成為智慧校園建設的根本要求，開放式的統一身份認證和授權管理方式能夠更加有效地整合校內數據資源，實現更高程度上的智能化和個性化，使得每個自然人都能成為校園資源應用與服務的受益者，從而建立良好的用戶全生命周期信息化生態環境，為大數據分析與決策優化提供有力的支撐。