文/彭偉 王珠鳳

隨著資源共享的日益頻繁，如何進(jìn)行必要的身份驗(yàn)證就可實(shí)現(xiàn)跨校的信息訪問，是擺在人們面前的一大課題。華東師范大學(xué)以IPv6重大應(yīng)用示范項(xiàng)目《教師教育創(chuàng)新支持系統(tǒng)》為背景，設(shè)計(jì)出相應(yīng)的統(tǒng)一身份認(rèn)證架構(gòu)，實(shí)現(xiàn)

跨校共享資源亟待實(shí)現(xiàn)

據(jù)統(tǒng)計(jì)，當(dāng)前我國(guó)在校學(xué)生數(shù)量是美國(guó)在校學(xué)生數(shù)量的8倍，但我國(guó)的教師資源特別是優(yōu)秀的教師資源緊缺。同時(shí)，教師資源還體現(xiàn)在區(qū)域性不平衡。從教師培養(yǎng)層面來看，在互聯(lián)網(wǎng)時(shí)代，要造就一大批優(yōu)秀教師和未來教育家，就必須對(duì)現(xiàn)有教師培養(yǎng)與培訓(xùn)模式進(jìn)行系統(tǒng)的創(chuàng)新和改革，充分發(fā)揮互聯(lián)網(wǎng)技術(shù)對(duì)教師教育的支撐作用，特別是利用下一代互聯(lián)網(wǎng)的技術(shù)優(yōu)勢(shì)，提供高水平的支撐平臺(tái)，全程追蹤教師成長(zhǎng)的過程，提升教師整體的教育質(zhì)量。因此，高水平的持續(xù)的師范教育非常重要。而國(guó)家倡導(dǎo)的6所部屬師范大學(xué)從事的下一代互聯(lián)網(wǎng)IPv6重大應(yīng)用示范項(xiàng)目——教師教育創(chuàng)新支持系統(tǒng)，是解決這一問題的重要嘗試。

6所部屬師范大學(xué)擁有教師教育的大量?jī)?yōu)質(zhì)資源，但是實(shí)體資源多，數(shù)字資源少。數(shù)字資源存在異構(gòu)、標(biāo)準(zhǔn)不一、個(gè)性化和智能化服務(wù)水平低等問題。除國(guó)家精品課程和省市級(jí)精品課程外，數(shù)字資源的開放、整合和共享程度不高?？梢姡趥鹘y(tǒng)教育模式和手段的基礎(chǔ)上，建設(shè)以下一代網(wǎng)絡(luò)技術(shù)作為支撐的教師教育創(chuàng)新平臺(tái)，實(shí)現(xiàn)優(yōu)質(zhì)教師教育資源的共享，來提高教師教育的效率，滿足現(xiàn)代化優(yōu)秀教師的培養(yǎng)需要，對(duì)解決教師資源短缺且人才資源不平衡的現(xiàn)狀具有重要意義。

因此，如何利用下一代互聯(lián)網(wǎng)技術(shù)，搭建優(yōu)質(zhì)教師教育共享平臺(tái)，實(shí)現(xiàn)教師教育資源共享，支持下一代互聯(lián)網(wǎng)的技術(shù)試驗(yàn)和應(yīng)用示范，成為下一代互聯(lián)網(wǎng)IPv6重大應(yīng)用示范項(xiàng)目《教師教育創(chuàng)新支持系統(tǒng)》亟待解決的問題。

現(xiàn)有認(rèn)證機(jī)制的缺陷

對(duì)于實(shí)現(xiàn)校際教師教育資源共享，現(xiàn)在的做法普遍比較簡(jiǎn)單，不外乎從兩個(gè)方面考慮：一是資源管理，二是用戶管理。無法滿足資源管理的兩個(gè)前提

各個(gè)高校擁有獨(dú)立的教師教育資源庫(kù)，為了實(shí)現(xiàn)校際教師教育資源的共享，可將分布在其他高校內(nèi)的教師教育資源備份整合到本校的系統(tǒng)中來，整合的過程可以采用人工錄入/導(dǎo)入方式，一次性將所有的現(xiàn)有教師教育資源都錄入/導(dǎo)入到系統(tǒng)中。就跨校選課來說，可以將其他學(xué)校的課程按本校的課程設(shè)計(jì)方式錄入/導(dǎo)入到本校的選課系統(tǒng)中，本校的學(xué)生就可以登錄選課系統(tǒng)來選擇其他學(xué)校的課程。一旦更新數(shù)據(jù)，就必須重新錄入/導(dǎo)入數(shù)據(jù)。針對(duì)這種情況，有些高校提供了Web Service接口，逐步改造已經(jīng)存在的系統(tǒng)，通過調(diào)用相應(yīng)的接口，把已經(jīng)更新的教師教育資源復(fù)制到本地。在新系統(tǒng)中首先調(diào)用索引接口獲取相關(guān)的資源及其修改版本，如果版本比本地的新或者本地沒有相應(yīng)的資源，則調(diào)用相應(yīng)的接口把資源復(fù)制到本地。采用Web Service共享方式可實(shí)時(shí)獲取相關(guān)數(shù)據(jù)，只要源系統(tǒng)中的數(shù)據(jù)更新，系統(tǒng)中就會(huì)調(diào)用相應(yīng)的接口獲取最新的資源數(shù)據(jù)。內(nèi)容管理服務(wù)器將周期性地比對(duì)本地索引服務(wù)器和原有庫(kù)的索引服務(wù)器的軟件版本是否一致，如果遠(yuǎn)端的索引更新，則訪問遠(yuǎn)程內(nèi)容服務(wù)器，獲取較新索引軟件的詳細(xì)信息，同時(shí)在本地保存，如圖1所示。

從資源管理角度來處理，就是將其他高校的教師教育資源同步到本地。這種資源共享的方式必須存在兩個(gè)前提：一是其他高校愿意向外提供本校的教師教育資源。而實(shí)際情況是，很多高校不愿意將資源存放在外校；二是如果某一資源需要被不同的高校共享，那么還要將此資源備份給不同的高校，這就需要建立相應(yīng)的備份機(jī)制。當(dāng)需要備份的高校很多時(shí)，工作量就比較大。

用戶管理缺乏可操作性

用戶可以在提供資源的學(xué)校建立相應(yīng)的賬號(hào)，并獲取相應(yīng)的權(quán)限。這種方法簡(jiǎn)單，但是可操作性并不強(qiáng)。當(dāng)需要建立的賬號(hào)較少時(shí)，可以采用這種方法；如果要批量建立賬號(hào)，那么對(duì)數(shù)據(jù)庫(kù)管理員來說，這是不小的工作量——一是數(shù)據(jù)量大，二是數(shù)據(jù)更新的頻繁度比較大。

探索新型統(tǒng)一身份認(rèn)證

由于現(xiàn)有的認(rèn)證機(jī)制不能很好地解決校際教師教育資源共享的身份認(rèn)證問題。因此，華東師范大學(xué)在參與“教育科研基礎(chǔ)設(shè)施IPv6技術(shù)升級(jí)和應(yīng)用示范”項(xiàng)目的背景下，設(shè)計(jì)出實(shí)現(xiàn)校際教師教育資源共享的統(tǒng)一身份認(rèn)證架構(gòu)。

具備三大特性

校際教師教育資源共享的統(tǒng)一身份認(rèn)證應(yīng)具有如下幾個(gè)方面的特性：

1.單點(diǎn)登錄

校際教師教育資源共享的統(tǒng)一身份認(rèn)證只要求用戶在主站點(diǎn)登錄一次。一旦驗(yàn)證通過，用戶就可以訪問其他站點(diǎn)的資源，而不需要進(jìn)行第二次登錄。

2.聯(lián)盟性

每個(gè)大學(xué)存儲(chǔ)獨(dú)立的數(shù)據(jù)庫(kù)，建立身份聯(lián)盟。

3.信任性

建立大學(xué)之間的信任關(guān)系，即一個(gè)大學(xué)在提供服務(wù)或應(yīng)用時(shí)必須信任另一個(gè)大學(xué)的認(rèn)證結(jié)果。為兩種用戶服務(wù)

在教師教育創(chuàng)新支持系統(tǒng)中，校際教師教育資源共享的統(tǒng)一身份認(rèn)證的用戶由兩部分組成：

1.畢業(yè)生

在畢業(yè)時(shí)，6所師范院校的學(xué)生會(huì)得到母校贈(zèng)送的一個(gè)唯一ID號(hào)，用戶可以使用這個(gè)ID號(hào)碼登錄，比如華東師范大學(xué)某個(gè)學(xué)號(hào)為52081201001的學(xué)生在畢業(yè)后仍然可以使用這個(gè)號(hào)碼，當(dāng)他（她）登錄6所學(xué)校中的任何一個(gè)登錄頁(yè)面時(shí)，只要輸入52051201001@ecnu.edu.cn，就可以直接登錄并使用這些資源。如果此用戶第一次直接打開其他高校提供的登錄頁(yè)面，其他高校則需要將此用戶提供的用戶名與密碼送到此用戶的后綴所在的學(xué)校進(jìn)行認(rèn)證。如果認(rèn)證通過，那么用戶可以訪問所有的資源，如果再轉(zhuǎn)到其他的學(xué)校，那么就不需要再一次輸入用戶名與密碼，從而實(shí)現(xiàn)用戶的單點(diǎn)登錄。

2.教師

已經(jīng)進(jìn)入工作崗位的教師可以從母校獲取一個(gè)ID號(hào)碼或從本省教育廳（委）獲取一個(gè)惟一的ID號(hào)碼。各個(gè)教育廳可以采用一個(gè)庫(kù)用來存放所有的教師信息，也可以委托附近的高校來建立本省的用戶數(shù)據(jù)庫(kù)，例如，華東師范大學(xué)可以負(fù)責(zé)華東地區(qū)所有教師賬戶的維護(hù)。

便捷的認(rèn)證流程

為了實(shí)現(xiàn)用戶的漫游認(rèn)證以及單點(diǎn)登錄，需要建立一個(gè)密鑰分發(fā)服務(wù)器。當(dāng)用戶在一個(gè)學(xué)校通過認(rèn)證后，密鑰分發(fā)服務(wù)器就會(huì)為此用戶分發(fā)一個(gè)基于時(shí)間戳和用戶密碼的訪問密鑰（cookie），如果用戶再訪問其他高校的資源，其他高校就會(huì)將用戶提供的密鑰向密鑰分發(fā)服務(wù)器進(jìn)行驗(yàn)證，看其是否在生命期內(nèi)，如果有效且在生命期內(nèi)，就允許此用戶訪問資源。一旦用戶關(guān)閉瀏覽器或注銷，用戶的cookie就會(huì)立即過期。

Client首先從Portal Server入口訪問資源，輸入ID@domain的用戶名與密碼后，系統(tǒng)會(huì)將用戶名與密碼發(fā)送到Identity Server Proxy進(jìn)行認(rèn)證，Identity Server Proxy收到相關(guān)的認(rèn)證請(qǐng)求后，根據(jù)用戶的domain將用戶的認(rèn)證信息發(fā)送到相應(yīng)的domain域中的認(rèn)證服務(wù)器（可以是LDAP Server、Radius Server或其他的服務(wù)器）進(jìn)行認(rèn)證。一旦認(rèn)證通過，系統(tǒng)會(huì)自動(dòng)向密鑰分發(fā)服務(wù)器申請(qǐng)一個(gè)用戶訪問密鑰。訪問任何其他系統(tǒng)時(shí)，其他系統(tǒng)都會(huì)向密鑰分發(fā)服務(wù)器驗(yàn)證用戶訪問密鑰的合法性，如果合法，則不需要再次輸入用戶名與密碼，從而實(shí)現(xiàn)單點(diǎn)登錄訪問，如圖2所示。

目前，創(chuàng)新支持平臺(tái)的架構(gòu)已經(jīng)搭建完畢，各個(gè)子系統(tǒng)正在建設(shè)。這個(gè)架構(gòu)就是基于校際教師教育資源共享的統(tǒng)一身份認(rèn)證平臺(tái)，用戶在訪問教師教育網(wǎng)絡(luò)資源時(shí)，資源提供者從安全等角度出發(fā)，需要對(duì)訪問者的身份進(jìn)行確認(rèn)，根據(jù)身份認(rèn)證情況，允許符合策略的用戶使用資源而拒絕不能通過認(rèn)證的用戶。平臺(tái)的特點(diǎn)是將認(rèn)證模塊放在用戶端，也就是用戶所在的高?；驓w屬地，而不是資源提供者，資源提供者只需進(jìn)行少量的驗(yàn)證工作，這樣極大地減輕了資源提供者的負(fù)擔(dān)，同時(shí)簡(jiǎn)化了訪問程序，提高了訪問資源的效率。