1.多校区目录问题。早期的目录的应用主要是单校区的应用，但高等教育与研究机构需要在多个校区之间协同工作。I2-MI/NMI建议在多校区环境下，需要有目录服务的命名规范，使多校区应用能横跨服务器进行查询。
　　2.技术问题。开发目录需要小心考虑与平衡一系列的技术参数，权衡中央分布管理、私有协议的问题、复制同步等问题。特别是要注意目录的互操作性与安全性。用于目录访问控制的安全系统是必不可少的，有了这个保障，目录就可以用于存储关键安全信息。另外，还需要就核心目录技术、分布式目录(Novell/AD)及历史遗留的数据库等多方面问题进行考虑。如果目录及目录的数据都是分散的，还应该考虑元目录(Meta-Directory)问题，元目录呈现给应用或最终用户的是一个单一的无缝的服务，但事实上它是充当中间“代理人”的角色，将请求发送到适当的分布式的服务器上。元目录需要解决的是数据的多版本、版本不一致及性能问题。
　　3. 政策问题。在高等学校中部署一个真正跨越校区的目录服务的最大困难是政策和资金问题。特别是在数据管理问题，许多高等学校没有清楚地考虑定义数据所有权和访问权限问题，而这是目录服务工程项目首要考虑的问题。类似地还有目录数据的隐私和可以公开的记录等问题。目录的建设资金问题也是需要考虑的，中央目录基础设施的成本包括服务器、为历史遗留系统开发接口、目录模式的管理等。

　　目前，各种不同的目录服务器软件系统都允许用户自行定制目录模式，加入自定义的对象类属性。因此在各种不同的目录服务器软件系统上实施eduPerson及eduOrg目录模式并不是一件困难的事情。

　　核心中间件服务证书(Certificates)

　　及公共密钥基础设施(PKI)

　　高等学校对应用X.509证书解决信息化中碰到的信息和网络安全问题寄予很大兴趣，但广泛地成功使用证书还需要克服一些主要的难题。为了有效利用证书，必须建立由软件、协议和法律协定构成的公共密钥基础设施(PKI)。

　　为了促进高校PKI的发展，Internet2、EDUCAUSE、Net@EDU建立了两个HEPKI小组，策略活动小组(HEPKI-PAG，<http://www.educause.edu/PolicyActivitiesGroup/1045>)和技术活动小组(HEPKI-TAG，http://middleware.internet2.edu/hepki-tag)。

　　建立一个PKI，高校需要制定“证书策略(Certificate Policy/CP)”和“认证操作管理规范(Certification Practices Statement/CPS)”。证书策略描述PKI操作需求，从证书的发放到生命周期管理等。认证操作管理规范，是高校落实证书策略的管理规范。证书策略和认证操作规范关心的议题包括：用户鉴别，注册中心或认证中心在签发证书前鉴别用户身份；证书撤销；CA私钥的保护；用户密钥对的生成和私钥的保护；证书用途；CA层次和信任模型等。

　　核心中间件服务授权(Authorization)

　　授权指的是被识别的个体或服务，当完全被认证后允许使用网络化的对象和资源进行特定工作。授权功能的一般要通过认证、目录服务器和证书等去实现。I2-MI在授权方面没有太大的建树，它是目前核心中间件中最不发达和最不定型的部分。造成这种状况的原因是明显的，因为授权是与不同的应用及资源有关，因此难以有比较统一的模式。

　　I2-MI认为授权面临许多难题：
　　1. 在什么地方存储授权的特征。授权特征一般存放在不同的地方，通常可以存放目录服务器，也可以是特定的系统或者是在校园网络基础设施中。授权特征也可以存储在文件系统、独立的数据系统、或一个外部的设备(智能卡)。
　　2. 如何将授权特征传送给应用程序。将授权特征传送给应用程序可以通过多种途径实现：应用程序可以从独立的授权服务器定期更新数据，或动态地从服务器通过RPC请求授权特征。另外用户在应用程序也可以将授权转换成认证的一部分。
　　3. 如何保证特征的内涵与特征值的正确性和一致性。使用授权值的继承等技术手段是有帮助的，另外授权的委派也是非常重要的功能。
　　4. 如何有效地表达复杂多样的、在属性处理列表中所暗藏的政策特征。将复杂的政策转换为更多基本属性自动化的结合体的需求，促使政策模型和政策描述语言研究的产生。

　　核心中间件服务认证(Authentiacation)

　　认证是核实使用特定标识符的主体的真实性的过程。目前常用的认证方式有：

　　第一，传统的账号—密码认证方式；第二，聪明卡、Challenge-response(质询—回应)机制认证方式、PKI；第三，图像辨认、指纹和生物测定方式。

　　I2-MI认为，认证应该是安全的，它是一种可以被各种服务使用的“微粒性服务”。它应可以被扩展用于实施单点登录，使用户与整个环境得到真正的“实惠”。认证应该是有效率的，不应该给系统和用户资源带来额外的负担。应用系统应不可自由选用其他的认证方式。

　　高等学校最典型的身份认证方式就是账号-密码认证方式。通常网络传输会使用明文的方式传送账号和密码，密码嗅探将会造成安全隐患。因此不少应用和资源都使用独立的认证服务。

　　相当多的学校使用Kerberos认证工具，Kerberos的加密密码使登录过程变得安全。SSH也可以加密密码。数字证书也可以用来作为认证的备选方案。智能卡和生物认证技术等装置都在迅速发展，但还不够成熟，而且需要附加硬件设备。

　　建立校园范围的认证基础设施需要政策和技术密切配合，这取决于共同商讨大家都可接受的标识符和可接受的风险程度。现有的方法和技术也是需要商讨的内容。因此小心处理识别符和从风险管理开始是有必要的。风险管理本身是一个复杂的课题，它包括如了解弱点的本质和损害之间的因果关系，另外不同级别的安全政策的实现成本也是需要了解的内容。由于在线资源的数量增加，风险也会增加。在对认证方法进行选择评估时，I2-MI建议考虑以下问题：
　　1. 校园是否使用中央认证服务？
　　2. 是否在几个不同的认证系统中同步密码？
　　3. 是否检查密码的可靠性，使不容易被破解？
　　4. 是否定期让用户更改密码？
　　5. 如果检查到一个受威胁的密码，是否令用户账号无效？使用什么程序恢复用户的账号？
　　6. 是否有政策指导应用程序如何使用中央标识符/认证系统？

　　在认证方面，I2-MI/NMI的WebISO工作小组开发出一个“Web Initial Sign-On”(WebISO) 软件包，它允许用户在标准的浏览器上使用标准、典型的用户名/密码的中央认证服务，跨越多台Web服务器去进行基于Web服务的认证。与WebISO相关的关键项目包括：Internet2 Shibboleth项目、Open Knowledge Initiative和uPortal项目等。

　　>>>  I2-MI的分类及重点项目

　　中间件的定义与分类比较多，许多有趣的分类可以在RFC 2768中找到。这些分类方法都集中在促进应用程序使用网络化资源和服务的工具与数据集。

　　从层次架构上而言，I2-MI将中间件分为核心中间件(Core Middleware)和面向应用中间件(Application-Oriented Middleware)或称上层件(Upperware)。

　　核心中间件服务(Core middleware services)是指那些其他中间件服务都要依赖的中间件服务。规范这些服务无论从政策的角度还是从技术的角度，都是同等重要的。I2-MI定义了5个核心中间件服务，这5个中间件服务是一个完整的整体。

　　I2-MI将在核心中间件之上的服务称做面向应用中间件或上层件。I2-MI在面向应用中间件的描述上有点混乱。面向应用的中间件粗略可以分为：

　　第一，普适计算工具(Ubiquitous Computing Tools)或普适计算服务(Services for ubiquitous computing)。高等教育需要各种开放协议，并可让学生从任何地点访问他们自己的书签等资源，另外也允许机构和组织间共享文件系统和支援协作工具。

　　第二，研究应用中间件(Research Application Middleware)或科研计算支持(Support for research computing)，努力把分散的国家计算资源变成一个有凝聚力的网格，为来自不同架构的研究者提供一个一致性的访问方式，允许资源、数据和计算的统一协作调度。

　　第三，商业应用中间件(Business Application Middleware)或行政管理计算支持(Support for administrative computing)，新一代业务系统拥有各种依赖同一应用基础设施的松耦合组件，这些组件提供组件请求对象代理、组件间的信息处理、交易监测等服务。

　　I2-MI的重点项目包括eduPerson、eduOrg (LDAP、目录Schema)、Shibboleth Grouper(开源的组管理工具包)、MW-E2ED(中间件“端到端”诊断顾问小组)及Signet。

　　来源：《中国教育网络》