联合认证:搭建高校信息化合作基础
2018-09-17张丹东
文/张丹东
随着高校信息化工作的不断深入,高校间的合作在逐渐加强,而高校间信息化合作的基础就是联合认证,本文梳理目前国内高校的一些联合认证项目的基本情况,提出一些对未来工作的思考。
Eduroam项目
Eduroam(education roaming)是专为科研和教育机构开发的安全的环球跨域无线漫游认证服务,现已覆盖全球八十余个国家和地区的数千家科研机构和教育机构。
加入Eduroam联盟的机构成员可使用本机构提供的合法账号,可在全球已加入Eduroam联盟的机构内实现无线网络访问的无障碍漫游。
Eduroam CN中国顶级节点于2014年引入中国并投入运行,由中国科学院计算机网络信息中心负责运行与管理:http://eduroam.cstnet.cn/。
2015年4月,北京大学作为国内第一所高校加入了Eduroam联盟,并作为该联盟在中国高校的管理单位,截至2018年7月,已有126所国内高校接入Eduroam联盟,另有43所高校在调试中。网址:http://www.eduroam.edu.cn。
其应用单一,覆盖范围明确。只为联盟的机构成员间提供无线网络漫游服务。认证简便,自动连接,接入安全和账户安全设计合理,账号密码保持在原机构的控制范围内。整个体系简单高效,接入配置和日常管理很简单。
中文资源数量巨大对国内的教育和学术活动影响巨大,需要建立一个以中国高校为主发起一个联合认证项目,为所有学术资源提供一个易用的单点登录服务。
因为中国网络安全相关法律的要求,北京大学、清华大学等高校启用了二次认证,需要本校教职工授权访问后方可使用。
CARSI项目
中国教育和科研计算机网统一认证和资源共享基础设施(CARSI, CERNET Authentication and Resource Sharing Infrastructure)是由北京大学发起的一项跨域认证授权服务,服务对象为中国高校和各科研院所。在国内高校已经普遍建设完成的校园网统一用户管理和身份认证系统的基础上,建设一套用户身份和应用资源共享机制,将师生的校园网身份应用于访问其他高校提供的优质资源或者互联网优质资源。
CARSI以国际国家级教育科研网NREN(National Research and Education Network)普遍采用的美国Internet2 Shibboleth中间件为技术基础,符合国际标准,方便接入在其他国家已经成功部署的Shibboleth应用资源,比如Thompson Reuters、EBSCO等图书馆电子资源。2017年8月,CARSI项目组向国际身份联盟组织eduGAIN提交了加入申请。调试完成后,和其他国家教育科研网共享应用资源将变得更加容易,网址:http://www.carsi.edu.cn/index_zh.htm。
其应用面广,可以为大多数Web应用提供认证服务,可以携带用户属性,将应用根据用户属性进行区别授权。
接入成员分为用户类和资源类,截至2018年6月已有接入用户类成员数量为77个,接入资源类成员数量为21个。接入程序复杂度和技术难度高于Eduroam,需要接入机构与资源类成员逐一接洽,接入Eudroam后的二次接入工作量比较大,且目前接入的资源类都是国外的学术资源,范围较小。
eduGAIN项目
eduGAIN项目是一个致力于实现单点登录访问教育和科研资源的国际项目,目前有超过五十个国家和地区的2672个用户类成员、1909个资源类成员接入。该项目接受身份认证联盟申请加入,是Shibboleth认证联盟的联盟。中国的CARSI项目和科学院CST Cloud Federation项目都在申请加入eduGAIN项目,网址:https://edugain.org/。
上海教育认证中心项目
根据上海教育信息化顶层设计概要“一网三中心两平台”的总体需求,上海教育认证中心(以下简称EAC)是三大中心之一,它将实现基于多特征及多身份的教育对象全周期一体化认证信息管理。
在各区县、各学校乃至各学段均可采用各自符合身份标准信息集的统一身份认证管理域的前提下,EAC将通过上海教育认证中心建设,实现多协议支持的跨校联盟,一方面实现身份终身化和成长跟踪,识别学生成长过程,并成为数据分析的重要依据;另一方面实现与互联网主流标准的兼容,成为互联网领域重要的身份来源,服务于教育系统内外的应用。
上海教育认证中心向各子域提供云端服务方式和IdP代理方式两种接入方式。
上海教育认证中心向各应用提供SAML 原生,Shibboleth SP 代理, Oauth2三种对接方式。
典型应用有四个:1.教育无线通,用于跨校无线网络漫游。2.东航校园行是东方航空公司基于上海教育跨校认证的特色应用,有专属购票优惠政策。3.跨校辅修,2009年起,跨校辅修(东北片区)新系统结合上海市教委身份认证平台,可解决大部分高校学生登录学习系统的问题。4.“慧源”——上海地区高校优质资源共建共享平台(http://www.kxzy.sh.edu.cn)是在上海市教委的组织领导下构建的一个资源共享项目,其宗旨是将上海地区高校的自建数据库、特色资源数据库、优质资源数据库等进行共建共享。
CALIS联合认证项目
中国高等教育文献保障系统(China Academic Library & Information System,简称CALIS),是经国务院批准的我国高等教育“211工程”“九五”“十五”总体规划中三个公共服务体系之一。CALIS的宗旨是,在教育部的领导下,把国家的投资、现代图书馆理念、先进的技术手段、高校丰富的文献资源和人力资源整合起来,建设以中国高等教育数字图书馆为核心的教育文献联合保障体系。
在CALIS项目实施过程中,建立了一套基于高校图书馆管理系统的高校认证CALIS-UAS联合认证,目前加入高校800多所,服务于所有的CALIS联盟高校,用于访问项目资源和服务:http://www.calis.edu.cn/。
类似于CALIS的还有CASHL、CADAL等一些图书资源类的共享联盟,也建立了相关的联合认证。
OpenAthens联合认证项目
OpenAthens是一个非营利性的国际认证服务项目,目的是简化用户与资源间的使用成本。用户接入后,可以免于逐一与资源进行接洽。此项目收取一定服务费用,网址:https://openathens.org/。
思考与分析
目前了解到的适合高校加入的联合认证项目基本就是这些。从加入项目的用户机构数量、资源服务数量和易用性几个方面来看,各国项目的实施时间早,接入用户数量巨大,资源丰富。
国际网络联合认证Eduroam项目只应用于网络漫游认证,国际上普及度极高。目前接入高校数量增加较快。
地区认证联盟的联盟eduGAIN也比较成熟,各国的地区认证联盟大多已经加入或者正在申请加入,以便降低联盟的管理工作量。因为成员高校的管理工作量较大,催生了Athens认证联盟,适度收费降低成员的管理工作量,也得到了广泛的应用。目前国际上主流学术资源服务都支持shibboleth认证(通过某个地区联盟或者eduGAIN)和Athens认证。
国内来看,上海地区教育认证中心项目,局部的普及度高,接入应用全面,在接入应用方面突破了教学科研的限制,东方航空公司的接入,为未来各种商业资源的接入做出了示范。在认证标准方面,也做了扩展,适合国内各种资源和应用接入。目前只对上海地区学校服务。
此外,CARSI项目完全符合国际标准,目前在逐步推广应用中。
未来来看,中国高校数量众多,在校师生数量巨大,中文资源数量巨大,信息化服务质量对国内的教育和学术活动影响巨大。需要以中国高校为主发起一个联合认证项目,为所有学术资源提供一个易用的单点登录服务,优先为中文资源服务基于用户登录的资源服务,有多种益处:
1.可以基于用户登录访问资源,不受用户所在地点的限制,彻底摆脱使用VPN和代理的不便和问题。
2.服务方将能够提供更加细致的服务统计报告,为高校采购数字资源决策和科研管理与服务工作提供重要的基础数据。
3.数字资源的采购模式也可能会发生改变,高校可以采购精确的用户数或者基于下载、浏览资源的数量按照单价付费。
4.可以对接商业资源,为高校师生提供定向精确的优惠服务,拓展高校联合认证的价值。
5.兼容国内高校的网络漫游认证需求。
6.可以建立跨校的资源,基于实际使用量分担建设费用。
建立中国高校联合认证的想法目前得到一定的认可。如上海市教委和上海高校正在研究如何对非上海地区的高校开放上海市教育认证中心的认证服务,以及建立中国高校联合认证的可行性。同时,中国高校图书馆行业,基于自身工作的需要以及前期联合认证的实践,也在讨论如何将联合认证与中文资源结合。