文/張丹東

隨著高校信息化工作的不斷深入，高校間的合作在逐漸加強(qiáng)，而高校間信息化合作的基礎(chǔ)就是聯(lián)合認(rèn)證，本文梳理目前國內(nèi)高校的一些聯(lián)合認(rèn)證項(xiàng)目的基本情況，提出一些對未來工作的思考。

Eduroam項(xiàng)目

Eduroam(education roaming)是專為科研和教育機(jī)構(gòu)開發(fā)的安全的環(huán)球跨域無線漫游認(rèn)證服務(wù)，現(xiàn)已覆蓋全球八十余個(gè)國家和地區(qū)的數(shù)千家科研機(jī)構(gòu)和教育機(jī)構(gòu)。

加入Eduroam聯(lián)盟的機(jī)構(gòu)成員可使用本機(jī)構(gòu)提供的合法賬號，可在全球已加入Eduroam聯(lián)盟的機(jī)構(gòu)內(nèi)實(shí)現(xiàn)無線網(wǎng)絡(luò)訪問的無障礙漫游。

Eduroam CN中國頂級節(jié)點(diǎn)于2014年引入中國并投入運(yùn)行，由中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心負(fù)責(zé)運(yùn)行與管理：http://eduroam.cstnet.cn/。

2015年4月，北京大學(xué)作為國內(nèi)第一所高校加入了Eduroam聯(lián)盟，并作為該聯(lián)盟在中國高校的管理單位，截至2018年7月，已有126所國內(nèi)高校接入Eduroam聯(lián)盟，另有43所高校在調(diào)試中。網(wǎng)址：http://www.eduroam.edu.cn。

其應(yīng)用單一，覆蓋范圍明確。只為聯(lián)盟的機(jī)構(gòu)成員間提供無線網(wǎng)絡(luò)漫游服務(wù)。認(rèn)證簡便，自動連接，接入安全和賬戶安全設(shè)計(jì)合理，賬號密碼保持在原機(jī)構(gòu)的控制范圍內(nèi)。整個(gè)體系簡單高效，接入配置和日常管理很簡單。

中文資源數(shù)量巨大對國內(nèi)的教育和學(xué)術(shù)活動影響巨大，需要建立一個(gè)以中國高校為主發(fā)起一個(gè)聯(lián)合認(rèn)證項(xiàng)目，為所有學(xué)術(shù)資源提供一個(gè)易用的單點(diǎn)登錄服務(wù)。

因?yàn)橹袊W(wǎng)絡(luò)安全相關(guān)法律的要求，北京大學(xué)、清華大學(xué)等高校啟用了二次認(rèn)證，需要本校教職工授權(quán)訪問后方可使用。

CARSI項(xiàng)目

中國教育和科研計(jì)算機(jī)網(wǎng)統(tǒng)一認(rèn)證和資源共享基礎(chǔ)設(shè)施（CARSI, CERNET Authentication and Resource Sharing Infrastructure）是由北京大學(xué)發(fā)起的一項(xiàng)跨域認(rèn)證授權(quán)服務(wù)，服務(wù)對象為中國高校和各科研院所。在國內(nèi)高校已經(jīng)普遍建設(shè)完成的校園網(wǎng)統(tǒng)一用戶管理和身份認(rèn)證系統(tǒng)的基礎(chǔ)上，建設(shè)一套用戶身份和應(yīng)用資源共享機(jī)制，將師生的校園網(wǎng)身份應(yīng)用于訪問其他高校提供的優(yōu)質(zhì)資源或者互聯(lián)網(wǎng)優(yōu)質(zhì)資源。

CARSI以國際國家級教育科研網(wǎng)NREN（National Research and Education Network）普遍采用的美國Internet2 Shibboleth中間件為技術(shù)基礎(chǔ)，符合國際標(biāo)準(zhǔn)，方便接入在其他國家已經(jīng)成功部署的Shibboleth應(yīng)用資源，比如Thompson Reuters、EBSCO等圖書館電子資源。2017年8月，CARSI項(xiàng)目組向國際身份聯(lián)盟組織eduGAIN提交了加入申請。調(diào)試完成后，和其他國家教育科研網(wǎng)共享應(yīng)用資源將變得更加容易，網(wǎng)址：http://www.carsi.edu.cn/index_zh.htm。

其應(yīng)用面廣，可以為大多數(shù)Web應(yīng)用提供認(rèn)證服務(wù)，可以攜帶用戶屬性，將應(yīng)用根據(jù)用戶屬性進(jìn)行區(qū)別授權(quán)。

接入成員分為用戶類和資源類，截至2018年6月已有接入用戶類成員數(shù)量為77個(gè)，接入資源類成員數(shù)量為21個(gè)。接入程序復(fù)雜度和技術(shù)難度高于Eduroam，需要接入機(jī)構(gòu)與資源類成員逐一接洽，接入Eudroam后的二次接入工作量比較大，且目前接入的資源類都是國外的學(xué)術(shù)資源，范圍較小。

eduGAIN項(xiàng)目

eduGAIN項(xiàng)目是一個(gè)致力于實(shí)現(xiàn)單點(diǎn)登錄訪問教育和科研資源的國際項(xiàng)目，目前有超過五十個(gè)國家和地區(qū)的2672個(gè)用戶類成員、1909個(gè)資源類成員接入。該項(xiàng)目接受身份認(rèn)證聯(lián)盟申請加入，是Shibboleth認(rèn)證聯(lián)盟的聯(lián)盟。中國的CARSI項(xiàng)目和科學(xué)院CST Cloud Federation項(xiàng)目都在申請加入eduGAIN項(xiàng)目，網(wǎng)址：https://edugain.org/。

上海教育認(rèn)證中心項(xiàng)目

根據(jù)上海教育信息化頂層設(shè)計(jì)概要“一網(wǎng)三中心兩平臺”的總體需求，上海教育認(rèn)證中心（以下簡稱EAC）是三大中心之一，它將實(shí)現(xiàn)基于多特征及多身份的教育對象全周期一體化認(rèn)證信息管理。

在各區(qū)縣、各學(xué)校乃至各學(xué)段均可采用各自符合身份標(biāo)準(zhǔn)信息集的統(tǒng)一身份認(rèn)證管理域的前提下，EAC將通過上海教育認(rèn)證中心建設(shè)，實(shí)現(xiàn)多協(xié)議支持的跨校聯(lián)盟，一方面實(shí)現(xiàn)身份終身化和成長跟蹤，識別學(xué)生成長過程，并成為數(shù)據(jù)分析的重要依據(jù)；另一方面實(shí)現(xiàn)與互聯(lián)網(wǎng)主流標(biāo)準(zhǔn)的兼容，成為互聯(lián)網(wǎng)領(lǐng)域重要的身份來源，服務(wù)于教育系統(tǒng)內(nèi)外的應(yīng)用。

上海教育認(rèn)證中心向各子域提供云端服務(wù)方式和IdP代理方式兩種接入方式。

上海教育認(rèn)證中心向各應(yīng)用提供SAML 原生，Shibboleth SP 代理, Oauth2三種對接方式。

典型應(yīng)用有四個(gè)：1.教育無線通，用于跨校無線網(wǎng)絡(luò)漫游。2.東航校園行是東方航空公司基于上海教育跨校認(rèn)證的特色應(yīng)用，有專屬購票優(yōu)惠政策。3.跨校輔修，2009年起，跨校輔修（東北片區(qū)）新系統(tǒng)結(jié)合上海市教委身份認(rèn)證平臺，可解決大部分高校學(xué)生登錄學(xué)習(xí)系統(tǒng)的問題。4.“慧源”——上海地區(qū)高校優(yōu)質(zhì)資源共建共享平臺（http://www.kxzy.sh.edu.cn）是在上海市教委的組織領(lǐng)導(dǎo)下構(gòu)建的一個(gè)資源共享項(xiàng)目，其宗旨是將上海地區(qū)高校的自建數(shù)據(jù)庫、特色資源數(shù)據(jù)庫、優(yōu)質(zhì)資源數(shù)據(jù)庫等進(jìn)行共建共享。

CALIS聯(lián)合認(rèn)證項(xiàng)目

中國高等教育文獻(xiàn)保障系統(tǒng)（China Academic Library & Information System,簡稱CALIS），是經(jīng)國務(wù)院批準(zhǔn)的我國高等教育“211工程”“九五”“十五”總體規(guī)劃中三個(gè)公共服務(wù)體系之一。CALIS的宗旨是，在教育部的領(lǐng)導(dǎo)下，把國家的投資、現(xiàn)代圖書館理念、先進(jìn)的技術(shù)手段、高校豐富的文獻(xiàn)資源和人力資源整合起來，建設(shè)以中國高等教育數(shù)字圖書館為核心的教育文獻(xiàn)聯(lián)合保障體系。

在CALIS項(xiàng)目實(shí)施過程中，建立了一套基于高校圖書館管理系統(tǒng)的高校認(rèn)證CALIS-UAS聯(lián)合認(rèn)證，目前加入高校800多所，服務(wù)于所有的CALIS聯(lián)盟高校，用于訪問項(xiàng)目資源和服務(wù)：http://www.calis.edu.cn/。

類似于CALIS的還有CASHL、CADAL等一些圖書資源類的共享聯(lián)盟，也建立了相關(guān)的聯(lián)合認(rèn)證。

OpenAthens聯(lián)合認(rèn)證項(xiàng)目

OpenAthens是一個(gè)非營利性的國際認(rèn)證服務(wù)項(xiàng)目，目的是簡化用戶與資源間的使用成本。用戶接入后，可以免于逐一與資源進(jìn)行接洽。此項(xiàng)目收取一定服務(wù)費(fèi)用，網(wǎng)址：https://openathens.org/。

思考與分析

目前了解到的適合高校加入的聯(lián)合認(rèn)證項(xiàng)目基本就是這些。從加入項(xiàng)目的用戶機(jī)構(gòu)數(shù)量、資源服務(wù)數(shù)量和易用性幾個(gè)方面來看，各國項(xiàng)目的實(shí)施時(shí)間早，接入用戶數(shù)量巨大，資源豐富。

國際網(wǎng)絡(luò)聯(lián)合認(rèn)證Eduroam項(xiàng)目只應(yīng)用于網(wǎng)絡(luò)漫游認(rèn)證，國際上普及度極高。目前接入高校數(shù)量增加較快。

地區(qū)認(rèn)證聯(lián)盟的聯(lián)盟eduGAIN也比較成熟，各國的地區(qū)認(rèn)證聯(lián)盟大多已經(jīng)加入或者正在申請加入，以便降低聯(lián)盟的管理工作量。因?yàn)槌蓡T高校的管理工作量較大，催生了Athens認(rèn)證聯(lián)盟，適度收費(fèi)降低成員的管理工作量，也得到了廣泛的應(yīng)用。目前國際上主流學(xué)術(shù)資源服務(wù)都支持shibboleth認(rèn)證（通過某個(gè)地區(qū)聯(lián)盟或者eduGAIN）和Athens認(rèn)證。

國內(nèi)來看，上海地區(qū)教育認(rèn)證中心項(xiàng)目，局部的普及度高，接入應(yīng)用全面，在接入應(yīng)用方面突破了教學(xué)科研的限制，東方航空公司的接入，為未來各種商業(yè)資源的接入做出了示范。在認(rèn)證標(biāo)準(zhǔn)方面，也做了擴(kuò)展，適合國內(nèi)各種資源和應(yīng)用接入。目前只對上海地區(qū)學(xué)校服務(wù)。

此外，CARSI項(xiàng)目完全符合國際標(biāo)準(zhǔn)，目前在逐步推廣應(yīng)用中。

未來來看，中國高校數(shù)量眾多，在校師生數(shù)量巨大，中文資源數(shù)量巨大，信息化服務(wù)質(zhì)量對國內(nèi)的教育和學(xué)術(shù)活動影響巨大。需要以中國高校為主發(fā)起一個(gè)聯(lián)合認(rèn)證項(xiàng)目，為所有學(xué)術(shù)資源提供一個(gè)易用的單點(diǎn)登錄服務(wù)，優(yōu)先為中文資源服務(wù)基于用戶登錄的資源服務(wù)，有多種益處：

1.可以基于用戶登錄訪問資源，不受用戶所在地點(diǎn)的限制，徹底擺脫使用VPN和代理的不便和問題。

2.服務(wù)方將能夠提供更加細(xì)致的服務(wù)統(tǒng)計(jì)報(bào)告，為高校采購數(shù)字資源決策和科研管理與服務(wù)工作提供重要的基礎(chǔ)數(shù)據(jù)。

3.數(shù)字資源的采購模式也可能會發(fā)生改變，高?？梢圆少従_的用戶數(shù)或者基于下載、瀏覽資源的數(shù)量按照單價(jià)付費(fèi)。

4.可以對接商業(yè)資源，為高校師生提供定向精確的優(yōu)惠服務(wù)，拓展高校聯(lián)合認(rèn)證的價(jià)值。

5.兼容國內(nèi)高校的網(wǎng)絡(luò)漫游認(rèn)證需求。

6.可以建立跨校的資源，基于實(shí)際使用量分擔(dān)建設(shè)費(fèi)用。

建立中國高校聯(lián)合認(rèn)證的想法目前得到一定的認(rèn)可。如上海市教委和上海高校正在研究如何對非上海地區(qū)的高校開放上海市教育認(rèn)證中心的認(rèn)證服務(wù)，以及建立中國高校聯(lián)合認(rèn)證的可行性。同時(shí)，中國高校圖書館行業(yè)，基于自身工作的需要以及前期聯(lián)合認(rèn)證的實(shí)踐，也在討論如何將聯(lián)合認(rèn)證與中文資源結(jié)合。