今天——适应需求的跨校共享应用探索

　　《上海市教育信息化“十二五”发展规划》提出以“面向一线、提升服务、加强统筹、优化基础”为指导思想，围绕教育教学改革和创新人才培养的主题，把优化教育信息化基础设施环境、构建优质教育资源共建共享机制、探索教育教学手段和模式的创新、提升师生的信息化素养和应用能力、提高教育管理信息化公共服务水平作为主要任务，最终为每一个受教育者营造“老师总在我身边”的信息化学习环境。

　　显然，教育信息化的目标是服务于每一个受教育者，其实现有赖于教育资源的极大丰富和共享服务水平的极大提高，而经过十余年的教育信息化建设，各级各类学校内部的教育资源越来越丰富，如何充分发挥这些资源的作用，通过资源共享推进教育公平、提高教育质量、促进科研合作逐渐成为教育信息化的重要内容，“跨校、协作、共享”成为新一轮教育信息化建设的主题词。

　　目前，上海教科网正在教育宽带基础上，秉承上海教科网十几年所坚持的“技术到顶，应用到底”的原则，依托上海教科网IPv6实验室(由七大高校牵头组成)技术攻关，研发、实施、推广上海教育跨校身份认证系统，并基于此探索各类跨校共享应用，以构筑实用便捷和助推教育改革的信息化环境。

　　可信便捷的跨校身份认证

　　教育资源共享面临的问题之一是如何使资源拥有者和使用者相互信任，并方便地进行资源访问和资源最大化利用。目前大多数教育单位内部都已实现了统一身份认证，但由于各个学校投入分散，其SSO实现框架和技术各异，实现的时间和目标也不尽相同。在这种情况下，如何实现经过必要的身份验证后安全可信地进行信息资源共享，以实现跨校的信息访问，体现高校之间的资源共享与协作应用，是摆在我们面前的一大课题。

　　上海教育跨校身份认证系统正是在这一背景下通过项目研制和实施推广逐步形成和完善的，该系统以各学校的SSO为可信认证源，通过体系设计、策略与数据访问标准的制定及其实现，实现了校际信息资源共享的基础架构。在完成一定规模的部署后，开展了一系列的跨校资源共享与协作应用试点，取得了良好效果，也实证了该系统可以成为区域教育信息化发展的可信基础设施的重要组成部分，有利于充分发挥各校信息化投入效益，发挥上海教科网在上海教育现代化中的作用。上海教育跨校身份认证系统架构是参照Internet2上的研究项目Shibboleth的架构，并结合上海教育系统的实际情况制定的，目前已形成跨校身份认证系统说明草案、跨校身份认证用户属性草案、跨校身份认证属性规范草案、跨校身份认证访问统计方案草案和联盟草案等文档，并与企业联合实施跨校身份认证系统的搭建，逐步扩大接入范围，目前已有二十所高校接入，5000余用户使用过该认证系统，并基于跨校认证开展了诸如无线通、跨校选辅修、安全监测管理等应用探索。上海教育跨校身份认证系统逻辑架构如图2。

图2 上海教育跨校身份认证系统逻辑架构

　　共建共享的应用探索

　　1. 上海高校无线通

　　无线网络因其架设部署和实际使用的便捷，已经成为高校校园网络建设的重要组成部分，但为保证信息网络安全管理，在已建或正在建设的高校校园无线网中，都会使用一些网络安全接入管理机制确保本校用户实名制登录注册，限制未授权用户的无线网络的访问。这种管理方式给他校师生访学或交流中合理使用无线资源带来麻烦，而在校际间交流和访问日益频繁的情况下，能便捷地使用无线网络的需求也越来越强烈。为此，2009年开始基于跨校认证试点实施“上海高校无线通”应用项目，旨在实现跨校无线网络漫游接入。

　　高校无线通系统分为三个层次：平台层、系统管理层、用户接入层。其中，第一层是上海教育跨校身份认证平台，提供用户源地址认证的功能。第二层是各高校所提供的无线校园网资源组成的无线资源SP，该SP 由教委或其他联盟组织进行统一管理。根据实际部署情况也可在单独的高校设立无线资源SP管理结点。这一层完成的主要功能是对于参与认证联盟的各成员高校进行管理，同时为各高校设立无线网络管理员，由管理员负责对该学校参与共享的AC 进行管理，并制定不同的管理策略同时对相应的安全日志进行采集。第三层的用户接入层将根据不同的用户接入方式和不同的用户类型完成对用户认证请求的处理。

　　高校无线通在上海教育跨校身份认证系统基础上实现了已加入跨校认证联盟的各校师生使用其本单位帐户就能在他校接入无线网络的功能，目前已有十余个教育单位开放无线网接入资源，已为加入上海教育跨校身份认证系统的19所高校提供了超过60000人次的使用，取得了很好的应用效果，更多的单位正在申请加入。