文/冯骐　　朱宇红　　　柯立新　　　沈富可

上海是怎么做区域教育身份认证体系的？

文/冯骐1朱宇红2柯立新2沈富可1

本文从区域信息化顶层设计的角度，探讨各主体在信息化建设中所扮演的角色，以及如何互利互赢，共同推动区域信息化发展。

区域信息化的挑战

在区域信息化的建设中，主要面临三个方面的挑战：

1.各自为政，共享困难

由于历史原因形成的信息资源归有关部门所有的惯例，政府各部门、学校甚至学校内部各部门等由职能赋予的权力所采集的信息资源往往成为独家垄断，相互之间缺乏沟通，有效的信息共享制度和机制缺位，信息资源难以共享。

2.缺乏科学的顶层设计，数据分析困难

由于缺乏科学的顶层设计，总体的协调和信息建设规划不到位，业务条块化信息资源建设方式导致在开发的规划、组织、资金和体制上都相互独立，不仅低水平重复建设现象严重，而且多头采集数据造成了数据不完整、不一致，使得进一步的数据分析也十分困难，大数据成为空谈的口号。

3.多主体之间没有形成凝聚力

当前区域教育信息化的主体主要包括三个方面：政府、学校、企业。其中，政府方面多项目、多线、多条块的建设，事实上构成了一个又一个的孤岛；学校方面同样存在大量的低水平重复建设，且由于人员、编制等方面的问题，在运维上力不从心，对外包服务商等依赖较重，信息化整体的投入产出比较低；企业方面虽然有一定的积极性，然而在现有体制环境下，企业与政府/学校之间的合作模式较为僵化，更多的企业即便想参与其中，亦无从入手。

区域信息化的顶层设计

尊重各主体的独立性

区域信息化建设过程中首先应明确各主体的不同职责与相互关系。科学的顶层设计重点在于设计区域信息化整体的框架体系，并将所有主体接纳进来，多方进行对接，共同形成区域信息化的生态圈。与此同时，应当尊重各主体的独立性，不去干涉各主体内部的信息化规划、管理体制等。以下重点以身份管理和资源共享服务之间的关系阐述学校、政府、企业在顶层设计中所应承担的不同职责。

图1　上海市教育身份认证体系总体框架

1.学校

学校是身份的管理方，也是特色资源的提供方。

教育行业的用户主要是老师和学生，他们的身份都由学校进行管理。教育信息化中的线上身份认证管理必然要与线下的身份管理相结合，因此合理的解决方案是由用户的身份管理方——学校，建设身份认证系统，为其用户提供身份认证服务。而学校的身份认证系统则与区域信息化的大平台进行对接，从而在身份管理上能够真正落地，与线下的身份管理紧密结合。也为针对不同用户身份进行不同类别的应用授权提供了可能性。

另一方面，学校往往有一些特色的资源数据或资源应用，这些有特色的、独一无二的资源，在资源共享时就能更好地发挥价值。资源应用的共享应该把重点放在这些有特色的应用之中。

2.政府

政府是身份和应用资源的联接主体，形成科学合理的共享机制。

教育信息的应用，针对不同的用户群体往往有很强的个性化需求，很难统筹建设一个标准化的产品来满足所有的用户。这就要求政府不必去尝试建设大而全的信息化系统，而是必须做好顶层设计层面的大框架和标准，引导各个应用系统、身份系统互相对接，依赖于市场的细分，为不同的用户群体提供高服务质量的、各不相同的个性化服务。并使各应用资源得到充分共享、充分利用。

3.企业

企业扬己所长，生产不同的应用与资源，并为用户提供高质量的服务。

良好的教育信息化生态圈离不开企业的参与。企业能够针对不同的市场，提供个性化的应用，并在其中得到发展。与此同时，企业也应当适当地承担教育信息化生态圈的发展责任，共同承担，共同成长。

顶层设计框架

基于以上认识，我们认为一个可持续发展的教育信息化框架，应该在认证/授权/数据三方面上建立起相应的标准和框架。

1.认证

在认证上，应该充分信任各主体的认证结果。线上的身份管理与线下的身份管理相结合，由用户的身份管理主体对其进行身份管理，即认证。在认证时，应传递用户的相应身份属性，用于授权。

2.授权

授权应分为两个部分：

（1） 资源访问的授权——即对用户的授权。例如谁能够访问应用、能够看到应用内的什么内容、能够在应用中做出怎样的操作等，这些均应通过对用户的授权来进行控制。而授权则应基于用户的身份属性，例如根据不同学校之间的差异、不同角色（学生/教师/家长）之间的差异进行授权。

（2）应用开发的授权——即对应用的授权。例如什么样的应用能够加入生态圈、加入生态圈的应用能够获得多少可利用的数据、能够对数据做什么样的操作等，这些应该通过对应用的授权进行控制。

3.数据

数据是一切的基础，无论是为顶层设计的决策支持，还是为个人教育发展的个性化服务，都离不开大数据的支持。一个良好的教育生态圈，其数据大致可分为基础数据和运行数据两类。

基础数据——即用户的身份、角色等个人信息相关的基础数据。基础数据的来源主要取决于线下。当用户从线下转移到线上时，这些基础数据通过其主体的认证系统，进入到线上的系统中。

运行数据——即各线上系统在运行过程中产生的数据。这些数据由应用系统通过数据接口提供。

这两类数据共同构成大数据分析的基础。

顶层设计框架的关键点在于构建通道，形成连接，让数据在各个主体之间能顺利地流通。当今资源共享，数据流通过程中的一大阻碍便是数据的流向缺乏审计和控制，令共享者心存顾虑，难以扩大共享的范围。而身份的认证和授权正是打消这种顾虑的最佳方式，并且身份的认证和授权本身即是数据流通的一种入口。因此，一个有效的，完备的身份认证体系框架，是实现区域信息化顶层设计框架的关键。

以上海市为例，根据顶层设计所规划的上海教育身份认证体系总体框架如图1所示。

图2　上海教育系统跨校认证联盟逻辑架构

上海教育身份认证体系的设计与实践

上海教育系统跨校认证

上海教育系统跨校认证联盟是一个分布式的身份认证联盟。联盟内信任各个认证子域的认证结果，与各个子域的身份认证系统进行对接，实现跨校认证。目前已经有40个子域加入联盟，并且还在不断地扩展中，总用户规模超过100万，活跃用户近5万。

联盟内目前有上海教育无线通，上海地区高校优质资源共建共享平台，上海市东北片跨校辅修平台等多样化的优质资源应用，这些应用均基于跨校认证的平台进行开放和共享。

联盟的框架基于开源组件 Shibboleth实现。

1.Shibboleth 简介

Shibboleth是一种标准化的开源软件，用于组织成员之间通过Web进行单点登录。Shibboleth支持节点之间的个体在访问受保护的资源时，提供安全、隐私的身份认证服务。

其主要由三个部分组成：

（1）IDP（Identity Provider，身份提供者）

图3　 跨校认证访问

身份提供端：主要作用是向资源提供者提供用户的属性，以便使资源服务器根据其属性对其访问操作进行授权和响应。

（2）SP（Service Provider，资源提供者）

资源服务提供端，主要作用是响应用户的资源请求，并向该用户所在的IDP查询用户的属性，然后根据属性作出允许或拒绝访问资源的决策。

（3）WAYF（Where Are You From，认证中心。Shibboleth 2.0之后更名为DS，即DiscoveryService，但是习惯上依然称为WAYF)

2.应用发展现状

基于上海教育跨校认证，我们通过自主开发应用、与现有平台对接等方式，提供了一批优质的应用资源。由于跨校认证的特点，推广较为顺利，用户体验较好，获得了用户的好评。以下简单介绍三个较为有特点的跨校应用：

图4　身份认证节点使用分布

图5　用户终端分布

（1） 上海教育无线通

上海教育无线通是一个基于跨校认证的无线资源共享方案。其设计逻辑类似于全球无线漫游框架 Eduroam ，用户用自己学校的用户名和密码即可在支持的学校使用无线资源。区别在于 Eduroam 所使用的技术基于 802.1x 和 radius，完全采取分布式的管理，对提供漫游的学校技术管理要求较高，而上海教育无线通基于 Web portal，采取半中心式半分布式管理，对学校的技术管理要求相对较低，易于推广。

（2） 上海市东北片跨校选辅修平台

跨校辅修专业是上海市东北片高校合作办学教学协作组本着优势互补、资源共享、互惠互利、协调发展的合作精神，在上海市教委和上海市东北片高校合作办学管理委员会的直接领导和支持下的一种合作办学模式，它允许上海市东北片复旦、同济、财大、上外等12所高校的优秀学生选修其他学校开设的跨校辅修专业，经考核合格，可获得其他学校颁发的跨校辅修专业证书。上海市东北片跨校选辅修平台（http://www.kxxfx.shec.edu.cn）的认证方案采取跨校认证模式，传递登录人员的属性，避免了给用户二次开设账户的过程，也为开设和选修相关课程的师生带来了便利。

（3） 上海地区高校优质资源共建共享平台

“上海地区高校优质资源共建共享平台”（http://www.kxzy.sh.edu.cn） 是在上海市教委的组织领导下构建的一个资源共享项目，其宗旨是将上海地区高校自建数据库、特色资源数据库、优质资源数据库等共建共享。目前平台已整合了复旦大学、东华大学、上海师范大学、上海外国语大学、同济大学、上海海洋大学、上海电力学院等学校12个优质资源库，涉及民国书刊、古籍、图书、教参、学位论文等多种资源类型。平台共有资源超过30万条，其中85%的资源提供电子全文，15%的资源提供印本全文。其中电子资源的授权访问基于跨校认证平台实现。

（4） 应用数据分析

虽然在跨校认证的框架下，尚缺乏应用内的数据共享机制。但是根据用户通过跨校认证的流量数据，亦可见一斑。

如图3所示，跨校认证的日均访问人次在2000～4000不等。且在学期内，访问频次呈周期性现象，逢周末则访问量剧增。其原因可推断为周末时用户的跨校互访频率增加，且跨校选辅修学生在异校学习，因此跨校无线通的访问量较大，且部分跨校选辅修学生可使用基于跨校认证的教参系统中的相关教材。

如图 4所示，各学校的跨校认证用户分布较为平均，基本与学校的规模相当。

如图5 所示，用户的终端分布中，移动端的分布已经超过PC端的分布比重。可见如今的用户终端已经是移动端占据多数，应用的开发应以移动为先。

如图 6所示，用户的浏览器分布中，以Chrome 和 Safari 为主，传统的微软 IE浏览器占比已经不足 15%。这其中显然有移动端流量占据主流的原因。

图6　用浏览器端分布

上海教育认证中心

基于 Shibboleth 的跨校认证框架很好地解决了分布式认证的问题，并且为基于用户属性的授权提供了很好的方案。然而其对于应用的授权却比较简单，是基于认证节点的分布式授权，缺乏中心化的授权管理。因此，各认证节点向应用所传输的身份数据也缺乏标准，数据结构散乱，需要二次整合。分布式的框架架构必须要存在中心化的管理，否则必然会成为一盘散沙。

因此我们需要一个中心化的授权管理机制，来统筹应用节点与认证节点之间的对接。同时又不能破坏现有的分布式认证框架。我们给出的方案是Oauth2+Shibboleth。通过Oauth2进行授权管理，通过Shibboleth进行分布式的认证。其框架图如图7所示。

如图7所示，认证中心作为身份认证的统一交换平台，对接应用市场和跨校认证联盟框架。应用通过Oauth2的开放接口进行授权，授权时调用统一认证接口——即跨校认证接口对接Shibboleth框架进行分布式认证。通过认证传递用户属性数据，这些数据在身份认证中心的平台中进行整合清洗，封装为统一的数据标准格式，以API接口的形式发布予以应用调用。

认证中心采取的Oauth2授权模式，是互联网主流的授权方案，便于应用的快速接入，非常有利于推广。同时数据通过先流入认证中心，再授权给应用的模式，提供了数据清洗的契机，有利于数据结构的标准化，这对于应用的对接推广也是极有帮助的。基于此，我们就能够通过认证中心构建一个开放的授权平台，类似于微信/微博/人人网等开放授权平台，从而形成一个区域教育信息化的生态圈。

然而由于用户的身份数据将先进入认证中心再予以应用授权，因此存在数据隐私保护的问题。在这方面目前还缺乏相应的规定和标准，如何在数据隐私保护和数据整合之间取得平衡，是一个需要认真考虑的问题。

图7　Oauth2授权流程

总结和展望

资源共享的难点在于消除资源共享者的顾虑和不信任感，而身份认证正是一个极佳的途径。通过跨校认证的技术，我们在无线资源的共享上、在教学资源的共享上、在图书馆藏资源的共享上都做了一定的尝试，并得到了很好的效果。同时在这些资源共享的实践中，我们也在一定程度上形成了资源共享的标准规范，例如《跨校认证系统属性规范草案》，《上海教育身份认证体系标准规范》等，取得了一些成果。

在今后的工作中，我们将在三个方面做进一步的努力。在应用的接入推广上，利用上海教育认证中心的Oauth2框架，构建开放的认证授权平台，为应用提供更便捷更简单的对接方案；在用户的接入推广上，通过一部分应用的试点，推动更多的优质应用加入开放平台内，通过应用来驱动用户，推动用户的使用；在系统的稳定性和保障上，通过统一的监控平台，监控各个认证节点和应用的状态。并建立退出机制，对于系统维护不力，也没有意愿维护的节点和应用，允许其退出平台，进而提高整个平台的服务保障能力。

（作者单位1为华东师范大学信息化办公室,2为上海市教育委员会信息中心）