高校智慧身份管理平臺的設計與應用研究*

陳紅 陳曉軍 王祎珺 王平 張瀚月

西南石油大學網絡與信息化中心 成都 610500

1 高校身份平臺的現狀及問題

隨著大數據、云計算、人工智能、物聯網等新技術逐步廣泛應用，經濟社會各行業信息化步伐不斷加快，社會整體信息化進程不斷推進，互聯網技術對教育的影響也日趨明顯，可以有效促進教學管理、教務管理、學生管理等各領域各環節教育管理信息的互聯互通[1]。

《教育信息化2.0 行動計劃》指出，構建一體化的“互聯網+教育”大平臺，整合各級各類教育資源公共服務平臺和支持系統，逐步實現資源平臺、管理平臺的互通、銜接與開放。推進學生核心素養與關鍵能力培養不僅是智慧校園建設與應用的立足點，也是顯現智慧校園建設與應用成效的重要標志[2]。

為了解決在信息化建設的過程中面臨的信息孤島、信息安全隱患、資源無法共享等諸多難題，各大高校陸續投入部署統一身份認證平臺，將校內各個信息系統接入統一身份認證平臺，實現了用戶單點登錄全網通行、系統管理員統一授權控制管理[3]。但隨著信息化建設的飛速發展，高校現階段使用的身份平臺在用戶體驗、產品功能方面已經遠遠不能滿足實際需求，具體表現在以下幾個方面。

1.1 缺乏人員多身份聚合能力

在高校中師生具有多種身份的情況普遍存在，在不同場景擔任不同的角色，例如一個在讀研究生，既擔任學院的學生會主席，又擔任學院的兼職輔導員；同時還存在一些身份不受所在部門機構管理的限制[4]，例如，某學院的教師，既擔任該學院的專任教師又擔任學院信息管理員。擔任多種身份必然有多重職責，但學校現有系統均缺乏對多種身份的整合、關聯、轉換能力，多種身份可能存在多個ID，學校現有系統缺乏多身份ID 統一管理能力，用戶多身份ID 間轉換困難，導致用戶體驗差、人員信息管理混亂。

1.2 缺乏多組織機構的統一管理

高校的組織機構搭建、人員信息采集，通常由人事處來制定權威標準。一般情況下，人事系統構建的組織機構是實體行政機構，但學校還有各種其他類型的組織機構，比如黨政機構、領導小組、委員會等各種工作組織或群體，各業務部門如果需要使用這些類型的組織機構，只能在業務系統上自行建立并自行管理，導致不同系統可能存在不同的組織架構，人員與組織關系也不一致。學校目前沒有一個集中管理各種類型組織機構的平臺，無法滿足學校各業務系統的實際需求。

1.3 缺乏標準對接方式

學校信息中心管理著各業務部門的應用系統，為統一認證入口，各應用都需要與身份平臺做對接，時間長了，對接應用增多，由于缺乏標準的對接方式，導致對接混亂，搞不清楚各應用系統調用了哪些API 接口，身份平臺不敢輕易升級，擔心升級后影響已對接的應用的正常運行。同時，數據流轉不夠靈活，人員變化不能及時同步給各應用，容易導致雙方系統數據不一致，影響師生工作與生活，并且數據傳輸過程中存在安全隱患，給應用系統及數據的管理帶來了很大不便。

1.4 缺乏多因子認證能力

學校門戶網站目前使用的認證方式多為用戶名密碼，傳統的用戶名密碼方式體驗較差，還存在忘記密碼的麻煩。僅靠用戶名密碼認證方式是極其不安全、不靈活的，單點登錄各業務系統一通全通，存在著很大的安全隱患，單點認證成功后在終端訪問任何系統都不需要密碼，包括一些涉密的系統。認證方式單一，并且組合方式僵化，難以快速、有效滿足各安全場景的需要。

2 平臺整體架構設計

2.1 設計目標

隨著各高校智慧校園的建設方案不斷完善，傳統智慧校園身份平臺的架構模式和運維模式已經不足以支撐未來智慧校園發展的需求，為了更好地滿足用戶需求，服務廣大師生，本研究旨在探究智慧身份平臺的建設與應用。

2.1.1 構建全人員身份標準體系

對全校各種類型的人員進行統一管理，建立統一且彈性擴展的身份標準，為不同場景下的身份核驗、身份授權提供精細化基礎數據服務；構建人員終身身份體系，人人多身份，身份隨人，從本科、研究生到留校任職人員、校友，創建師生學習、工作生涯的身份生涯標簽庫。

2.1.2 靈活擴展各種組織機構

構建多種組織機構、崗位體系、群組服務體系，幫助業務部門與應用系統直接使用、靈活擴展定義、組合所需的各種組織機構，創建區別于傳統人事組織，用于科研團隊、黨政組織等管理的虛擬組織，促進業務部門與應用系統更加靈活運用于各類組織。

2.1.3 應用對接可視化管理

建立應用對接、API 接口調用的標準和流程，解決因應用對接太多、API 調用泛濫帶來的信息安全問題，可以無顧慮地隨時升級。支持多種標準認證協議對接，在身份平臺的應用管理板塊即可配置對接協議，各應用對接方式一目了然。同時，支持多源數據采集，集中管理維護組織信息、用戶身份信息，并對外提供數據同步服務。實現多種對外數據同步機制，滿足各種應用的使用場景需求。

2.1.4 實現認證方式多樣化

傳統的用戶名密碼的認證方式逐漸被淘汰，取而代之的是更安全、更可信、更便捷的認證方式，例如：短信驗證碼認證、人臉認證、微信認證、第三方授權中心認證等，認證方式的多樣化極大程度地提升了用戶的體驗。同時可以根據不同的訪問場景設置不同的認證策略，實現在不同業務場景下的不同認證方式。

2.1.5 滿足生物識別應用需求

生物識別技術逐漸成熟，學校對生物識別的應用需求也將越來越多，如宿舍樓、學校大門等門禁系統都需要人臉或指紋等生物識別。生物身份也將成為智慧校園統一身份管理的一項重要內容，身份平臺需要有支撐生物身份存儲和使用的能力。

2.2 智慧身份管理平臺整體架構

智慧身份管理平臺遵循設計目標，打造可持續聚合多元身份的能力、靈活擴展的多因子認證能力、強大的多維授權能力，持續聚合身份數據，不斷完善用戶畫像，是以用戶為中心作為平臺設計理念，高效支撐未來智慧校園發展的多方位身份服務平臺。智慧身份管理平臺整體架構如圖1 所示。

2.2.1 身份管理

平臺以身份管理為核心，建立人員身份標準管理模式，基于人員身份類型、生命狀態、數據集字段三元標準管理用戶數據，規范校內人員身份管理。在學校里，存在學生、教職工、家屬、臨時人員等多種人員身份類型，平臺將根據用戶身份類型，對權限進行分級[5]。每種身份對應若干狀態，例如學生對應在讀、畢業、結業等狀態；教師對應在職、離職、退休等狀態。人人都有多種身份ID，例如身份證號、學號、教工號、電話號等。在計算機系統中可以定義UID 串連各系統用戶ID 信息，在生活中可以使用身份證、護照、人臉等實名ID 作為身份標識，平臺將多種用戶身份ID 聚合管理，多身份用戶在使用校內系統時無須登出，多個賬號，一個密碼，一鍵切換身份，在使用過程中無感知，做到以人為本，身份聚合，身份隨人。

2.2.2 組織管理

平臺構建多組織體系模型，靈活定義多種類型組織結構、崗位體系，滿足學校各業務部門的需求、各種維度的管理需求。組織架構是支撐學校各種業務正常運行流轉的重要基礎，所有的業務、管理、服務都脫離不了組織，其中包括學校通用的權威組織機構以及業務部門自定義的組織機構。學校以人事處制定的組織為官方權威組織機構，對于學校的科研團隊、黨政組織、領導小組等設置相應的虛擬組織機構，虛擬組織中可以對應獨立的虛擬崗位。由信息中心標準化虛擬組織及虛擬崗位定義，統一組織語言，各虛擬組織牽頭單位負責管理，有效支撐各平臺、業務、流程的正常流轉。

2.2.3 標簽管理

平臺支持從多維度定義用戶身份，將用戶數據標簽化，多維度的身份標簽能夠讓人員身份有更加清晰的定位、更加符合實際業務需求。平臺可以對人員身份標簽進行分類，例如：可以根據人員狀態制定狀態標簽、根據要推送數據的應用系統制定應用標簽、根據人員的崗位職務制定人員標簽等。在每一類別中通過定義人員身份標簽規則，自動維護符合規則的標簽名單，同時也可以手動補充人員名單，為各個業務部門、業務系統推送多維度人員數據、提供多維度人員名單，支撐各項業務的開展。

2.2.4 生物特征管理

建設統一的人臉特征庫及人臉對比平臺，以人臉特征庫為數據基礎，以人臉識別技術為核心[6]，規范人臉特征值對接方式，面對不同生物特征，廠商需要考慮系統兼容性、開發可行性問題，建立標準的接口體系。學校信息中心統一存儲學校師生的人臉照片，通過特征下發的方式將特征值同步給業務部門，實現學校師生人臉數據及特征值的統一管理。業務系統通過特征同步，接收更新的全量特征，實現特征的比對分析，終端不需要展現人臉圖像，確保了用戶生物特征的安全性。

2.2.5 授權管理

平臺提供可適應全場景的授權管理能力，授權管理重點體現在對學校不同人員、不同角色進行授權。基于人員身份類型、組織架構、崗位體系、身份狀態、身份標簽構建多維度身份授權管理體系，對各類人員支持的業務系統進行統一授權，無須單獨操作，實現對身份認證、應用訪問、數據同步等各類資源的權限管理。同時，設立分級分權管理模式，按照不同等級的管理員類別劃分不同的管理權限，信息中心擁有超級管理權限，可以根據各單位職責需求劃分具體權限。

2.2.6 認證管理

平臺支持靈活定義多因子認證策略，包括用戶名密碼、短信驗證碼、刷臉、飛書、微信等方式。身份認證的場景日益豐富，對于一些重要系統，支持二次或多次認證策略，可以自由搭配組合在不同層級和密級上的需要，從而提高系統認證的安全強度。新用戶的初始密碼為隨機強密碼，確保不被盜用，新生入學、新教師入職采用“校內核驗加校外公安實名認證”的方式進行賬號激活并設置高強度密碼，多維度精準實名核身，確保人員身份信息準確，杜絕冒名頂替；同時，新用戶自主完成線上修改密碼，大幅降低了信息中心的工作量，提高辦事效率。

2.3 平臺性能

2.3.1 安全性

由于認證中心存儲著全校人員信息，系統的數據可能涉及全社會各類人群，而且認證數據是核心的敏感數據，其泄露會造成重大的負面影響。特別是密碼、身份證號、手機號會被人銷售、惡意使用等。系統架構必須具備安全傳送數據、安全存儲數據、數據脫敏的能力與架構設計。

2.3.2 兼容性

學校中存在各種類型的業務系統，例如：教務系統、財務系統、人事系統、學工系統等。這些業務系統實現的方式以及建設廠家都是不同的，但需要與身份認證對接。身份認證中心需要考慮各業務系統獲取用戶信息的需求以及對接方式，為其提供身份服務，因此必須要考慮系統的兼容性。

2.3.3 并發彈性

校園中存在一些用戶會集中訪問的系統。例如選課系統，學生會在選課期間高并發訪問；新生入學時，大量新生需要在身份平臺進行賬號激活，認證平臺相應存在使用高峰以及低谷。系統設計時，除了考慮系統的并發，還需要考慮資源（CPU、MEM）的合理使用，系統架構必須具備彈性的高并發能力。

2.3.4 容量擴展

身份平臺面向全校智慧校園建設，包含當下或未來的各種人員：學生、教職工、校友、家屬等。隨著每年畢業校友的保存、新生的加入，總體人數會不斷增加，因此需要支持容量的水平擴展。

2.3.5 無感容災

身份認證平臺是學校所有業務認證的集中地，因此需要保證24 小時的穩定服務。系統架構必須具備變更影響范圍最小化、升級終端用戶無感的能力。在發生意外停止工作時，整個系統可以切換到另一處,可實現遠程災備的部署要求[7],保證系統的可用性。

3 平臺的應用場景

3.1 實現全身份通達

身兼多重角色的師生可以在認證后直接切換身份角色，例如學生身份切換為助教身份，并傳遞給應用，應用隨即切換配套權限服務，師生可以享受到使用多種ID 認證的便利，不論哪個ID 都能識別用戶本人。管理與服務動作都可以統一指向人，而不是賬號，真正做到身份隨人，如遇到鎖定某疑似攻擊的學號，鎖定的是該用戶，如果他使用其他任一ID 認證，都可以統一鎖定。

傳統身份平臺無法標識的身份，智慧身份管理平臺可以通過身份標簽定義并組合，如2022 年入學來自山西的黨員學生。根據這種清晰的定位，可以快速找人、找組織，并為智慧校園建設所需的身份提供標準的數據。身份標簽、組織關系、群組信息可以按照一定規則創建，當人員發生變動時，應用自動感知，無須管理員手動逐個調整。

3.2 融合物聯設備

物聯設備在后端通常也需要定位“人”的信息，如寢室的電卡、水卡需要綁定寢室或者是寢室內的責任人；設備管理也需要與設備負責人做相應的綁定。通過打通智慧身份管理平臺與物聯網平臺后端的管理平臺，我們就可以清楚地定位“物”與“人”的關系。

同時還可以和生物識別設備結合實現生物身份認證，如在食堂刷臉就餐、圖書館打卡等，極大程度地提升了智慧化校園的應用程度，更便捷地滿足了師生的學習工作生活需求。

3.3 聯動數據平臺

數據平臺與統一身份平臺對接之后，可以將兩種數據聯動起來，實現基于身份特點的數據分析。如學生成績數據分析，可以通過分析學生專業成績判斷學生擅長的學習方向，并提出針對個人的就業指導；教職工業務辦理數據分析，可以通過分析教職工辦理各項業務的頻次和使用偏好，自動調整各項應用或業務入口的布局，提高用戶的辦事效率。

根據學校用戶每天的業務數據、生活數據、行為數據，源源不斷地生產每個人、群體、組織鮮活、豐富的身份標簽，為教師、學生、家屬、臨時人員等提供精準教育、精準關懷、精準招聘、精準培養等服務。