论文部分内容阅读
[摘要]校际间共享数字化教学资源已成为高校发展必然趋势.而在第三方资源平台集中共享或完全开放地共享数字化教学资源均遇到难以克服的困难。在“下一代互联网教师教育创新支持系统应用示范”系统中。通过跨校身份认证技术构建数字化教学资源共享联盟.将参与共享的各网络教学平台无缝连接.实现了不同平台上资源的统一访问,减少了资源重复建设或迁移所带来困难和成本.提高了教学效率并保护了资源建设者的权益。
[关键词]数字化教学资源:共享联盟:跨校身份认证;Shibboleth
[中图分类号]G434
[文献标识码]A
[文章编号]1672—0008(2011)06—0018—06
一、引言
教学资源共享已经成为高校发展的必要和趋势.国际上学生利用假期去异地某学校听课早已成为一种大学文化f俗称小学期):我国从上世纪九十年代中期开始也出现了一系列地理位置毗连的高校学生跨校选课的试点.比如北京大学和清华大学之间的文理互换课程.上海东北片、西南片高校联盟的跨校辅修课程。传统的课程共享方式受地域限制.增加了学习的成本.而理论上.校际间的数字化教学资源共享则能实现学生足不出校就可以完成跨校的课程学习.
所谓校际间教学资源共享是一种资源互换、互利的机制,是提高校课程水平和教学质量、促进科研合作,推进教育公平的有效手段。每一个参与的学校在享用其他学校资源的同时也贡献自己的资源.教学资源的共享平台从一对多的共享.过渡为多对多的共享。经过十余年的教育信息化建设.特别是网络教学平台的广泛使用.促使诸多高校积累了丰富的数字化教学资源。然而,实践中,这些资源都建设在高校各自使用、种类繁多的教学平台上。一方面,各高校承载教学信息的平台相互之间互不兼容、特定的信息只适用于特定的平台和技术接口.从而导致不同高校的资源库难以进行相互操作与利用。另一方面.不相同平台的使用方式差异较大.这也给已熟悉本校网络教学平台使用的教师将课程资源迁移到其他平台并共享教学服务带来了困难。由于无法实现教育信息和服务的交流与共享.各高校网络教学平台只得各自为政、形成信息孤岛,造成巨大的浪费,极大影响开放教学资源的使用。将分散在各高校不同平台上的教学资源整合起来是校际间资源共享的主要目标之一。
为了实现资源的共享.出现了若干所高校共同建立一个第三方的“教学共同体”平台.参与资源建设的学校将各自的数字化教学资源以各种形式呈现于平台之上.实现跨校选课、在线考试和教学,如“学院路地区教学共同体”(www.xyle.du.com)。但这一方式并没有实质性解决问题:(1)各校原有网络教学平台上的资源仍无法得到使用.需要在新平台上实施资源迁移、甚至重复建设;(2)任课教师不得不花时间和精力去掌握新教学平台的应用,增加了教师的负担:(3)需要另外投入较大成本维护第三方平台.在共享实践中也出现了完全开放的教学资源.比如国家精品课程网站。
但研究表明,完全开放教学资源共享存在如下问题:(1)资源单一.绝大部分教学资源共享平台主要是提供视频和电子文稿等展示:(2)学习过程不进行干预,普遍缺乏教学服务的支持.学习者使用最多的是“资源下载”和“信息共享”等“浅表学习”服务;(3)学习者无法与教师进行交流,相互间也不能自由讨论问题.这也导致了这些免费资源得不到充分利用。
当在第三方平台集中共享教学资源或完全开放共享教学资源之种种弊端日渐明显时.通过身份认证等技术手段将各校已有的网络教学平台有机联系.在可信的网络基础设施上进行共享,这种思路成为教学资源共享的新趋势。
因此.经过必要的身份验证.安全地进行信息资源共享.实现可信的跨校的教学资源访问成为建设数字化教学资源共享平台所要解决的关键问题。要做到这一点.在技术上有三种方法:
第一,资源共享者提供认证服务:参与共享的学校既提供资源也提供对用户的认证.此方案原理简单.实现难度低。但每一个学校的认证服务器需验证所有请求其资源的用户.该认证服务器的负载较大.而且为了提供认证服务需要知道其他学校所有人员信息.不利于保护用户隐私。
第二,建立共享资源的认证中心:由认证中心统一管理用户的校际间资源访问请求。虽然此方法的系统复杂度低.但所有参与跨校访问共享资源的用户都要去认证中心注册.对验证中心的可靠性要求很高.认证中心容易成为共享中的瓶颈.同时此共享方案在有学校加入或退出共享时灵活性较差。
第三,联盟式合作方式:共享联盟中各成员高校独立管理各自的用户与资源.以分布的形式组成一个联盟.用户从本校身份认证系统获取一个可以标识身份的令牌.该令牌在联盟中通用并可以被其他高校的身份认证系统识别。这样联盟成员各自的系统既不需要做很多修改.也不存在认证性能瓶颈并且利于保护用户的隐私.然而各院校网络教学平台采用的身份认证系统的框架与技术各异.整合协调原有身份认证系统.实现校际间的资源共享与协作.是实现联盟式合作方式的难点.
二、联盟合作方式跨域认证技术的技术背景
(一)Libenty Alliance
Liberty Alliance是由AOL、法国电信等多家企业发起的联盟组织,有逾150个成员。其核心是基于SAML(SecurityAssertion Markup Language)推出联盟的管理标准.联盟成员间形成信任域.通过虚拟身份把用户的身份和internet上所能获取的服务与资源对应起来.为用户提供一个更可信的Internet.提供了开放的单点登录规范可以提供联盟成员分散的授权与认证.允许服务提供方在认证中心不参与的情况下控制用户访问.并且该认证框架对未来可能出现的网络服务也提供了支持。Liberty联盟成员有较高的自由度,是一种松散结合的联盟组织。
(二)WS Federation
IBM、微软等公司推出了一组Web服务安全标准——WS-Federation.它以一组消息规范定义了不同的信任域间的代理信任、身份联合和认证信息模型.描述了如何管理各域之间的可由双方或多方共同建立的信任关系.微软的联合身份管理软件对WS-Federation进行了实现.提供了基于Web的单点登录服务。WS-Federation通过使用安全令牌保证消息的可靠性.完整性和保密性机制的核心功能.由安全令牌服务(STS)验证访问属于某域的资源请求并对用户所携带的安全令牌作出权限判定.
(三)Diameter协议
Diameter是验证远程拨号用户身份的协议.也是一种AAA(Authorization,Authentication,Accounting)协议。Diameter协议规定资源提供方在验证用户身份时.有权限获取用户身份信息之外的其他属性。Diameter认证请求只能由Diameter客户端创建.Diameter服务器在特定的域中处理由Diameter 客户端创建的认证、授权以及计费请求。Diameter协议多用于网络设备接入internet的解决方案中.
(四)Passport技术
Passport身份验证技术由微软开发并其产品中广泛使用.如Windows Live等。用户通过身份认证后.就可以访问所有Passport的合作网站.而不需要对每个站点进行重复登录。在Passport系统内部.认证消息以cookies形式存在。用户通过身份认证后.服务提供方会授权内容来判定用户是否可以访问某个资源.Passport技术的主要特点是认证集中但授权分散.并且使用ssl证书机制保证用户凭证不会在传输时被截获并解密。Passport技术原理简单,实现方便.但是在保护用户的隐私及安全性上有一定的缺陷。如果要使用Passport服务.那么一些敏感数据如用户的身份凭据必须存储在Pass.port服务器上.存在泄露用户隐私的风险.同时Passport只提供了“用户/密码”方式的认证.认证强度不够:此外.Passport的安全是基于对称加密算法DES.可以用穷举破解。
(五)Shibboleth中间件
Shibboleth是internet2上的研究项目.主要解决分布式资源的有效访问。Shibboleth是一个支持信任域之间服务与资源共享的系统框架.它基于SAML规范搭建.采用分散认证策略.共享者无需负责请求资源的用户的身份验证.验证的工作由用户所在组织自行负责.通过信任机制实现对共享资源的安全、高效访问。Shibboleth具有很好的隐私性,在资源共享过程中.用户的属性通过不透明的句柄传递:在访问共享资源时.只有在需要时才将用户的属性发送给资源共享者:同时使用SAML标准标记语言较好地解决了单点登录问题.
三、“下一代互联网教师教育创新支持系统应用示范”中的跨校身份认证系统
(一)跨校身份认证系统模型
“下一代互联网教师教育创新支持系统应用示范”由四所教育部直属师范院校联合开展.在ipv6网络基础设施上整合教师教育数字化资源.以形成优质的教师教育资源共享联盟。在该系统中.四所部属师范院校在各自网络教学平台上建设了众多优秀的课程与案例资源.形成课程与案例师范子系统.例如华东师范大学的课程与案例资源建设在Black.board8.0平台上.北京师范大学的资源建设在自行开发的网络教学平台中.此外该师范系统还包括教师教育评价子系统、教师教育实践支持子系统等.各子系统均有的自身的身份认证模块.为方便来自不同院校的用户统一访问这些资源.在参考Shibboleth的架构基础上.结合系统实际情况.我们设计了下一代互联网教师教育创新应用系统中的跨校认证系统.该跨校认证系统以各院校网络教学平台的原先使用的身份认证系统为可信认证源.从系统模型设计、属性规范标准及访问流程等角度.实现了校际数字化教学资源资源共享的基础架构。跨校身份认证系统架构设计原则如下:
——资源共享联盟中各院校共享数字化教育资时采用的原有身份认证方案相互独立.只需做少量修改即可与跨校身份认证系统进行协作:
——支持各个学校自己独立、分散建立资源系统,联盟内各高校的访问授权由资源所在组织负责.不同的用户类别可以得到不一样的授权:
——资源提供方仅获取访问资源所必需的用户属性.以提高系统安全性并保护用户的隐私:
——联盟各成员的资源访问日志的记录可查、可信.该访问日志可作为结算或评估效益的依据.同时也是维护系统稳定、排错纠错的根据。
基于这样的原则.跨校认证系统分为三个部分
1.身份提供者(Idenfity Provider。IdP)
主要功能是保存用户身份信息.提供认证服务并向资源提供者传送用户的属性信息.以使资源服务器根据用户属性对其访问请求做出响应。
2.资源提供者(Service Provider。SP)
为用户提供受控资源访问的入口.响应用户的资源请求.判断来访用户是否已经过认证并将未经身份认证的用户重定向至IdP。sP会接收IdP传送的用户属性.并根据属性判断用户是否可以访问受保护的资源。
3.跨校认证中心(Where Are You From.WAYF)
在WAYF注册的IdP和sP才能加入共享联盟.与传统的认证中心不同.WAYF并不参与用户的具体认证过程.它只维护一个IdP的目录.用户可通过WAYF提供的Web界面选择其所属的院校.并将用户请求转发给相应的IdP进行验证.用户的身份数据和属性依然由联盟各成员原有的身份认证系统维护,保护了各自学校用户的隐私。sP、WAYF会在IdP和句柄服务之见建立映射关系,并保存IdP选择规则,将满足认证请求的自动转发。跨校身份认证系统的模型如图1所示.
用户属性由“身份提供者IdP”(各高校维护用户身份信息的系统)负责.资源属性由“服务提供者SP"(各高校提供共享资源的系统)负责.用户和资源之间的访问关系则可交由“跨校认证中心”统一管理.由此解决用户对资源访问的权限问题.加入联盟的学校需要通过IdP中的组件句柄服务和属性管理器将学校内部的身份认证系统与跨校身份认证系统连接。如果该成员也通过sP提供共享资源.则sP通过属性请求者和断言使用服务来接入跨校身份认证系统。跨校身份认证系统中各组件的功能如表1描述.
根据这样的跨校认证系统模型.各高校只需认证本校用户.维护校内用户的身份信息。通过所在学校身份认证后的用户具有访问联盟内其他学校资源的合法身份.从而实现了共享联盟的跨校身份认证和单点登录功能.同时身份信息通过不透明的句柄传输保证了信息传递安全。
(二)跨校身份认证系统的属性规范
跨校身份认证系统中.用户通过IdP与sP的数据交换获取资源.而用户的属性定义了具体需要交换哪些数据.说明了哪些信息可以为IdP和sP共同识别。
用户的属性信息由其所在学校存储并保护。系统中每个参与资源建设与共享的学校能够认证属于自己的用户.一般来说,用户的属性存储于目录服务(如LDAP、Active Directo.rv)或关系数据库(如Oracle)中,跨校认证系统可以从中取得用户的属性.并进行认证。
在下一代互联网教师教育应用示范系统中.参与跨校身份认证的用户属性如表2所示.属性的元数据统一描述了属性的规则,提供了数据共享和交换的原则。包括:取值范围、属性要求、ldap语法、取值数量和参考值等。
IdP作为属性的提供方.需要保护用户属性的安全和隐私.IdP可以通过设置属性发布规则来控制哪些信息可以被sP获取。从sP的角度看.跨校认证系统中有两类不同的属性.一种是全局属性.所有加入共享联盟的sP都可以获取该类属性.另外一种为指定接收者属性.IdP可声明该类属性可被哪些sP可接收。未被声明的sP不能接收此类属性。属性 发布规则可通过配置文件修改。
相应的.sP作为受保护资源的提供方.也可通过属性控制达到保护资源的目的.首先sP可声明访问其保护资源时所必须提供的属性.即使通过了身份认证.但未能提供sP所需属性的请求也会被拒绝。其次。sP可根据获取的用户属性灵活制订访问策略.以实现不同的服务质量。例如在本项目中.sP会对属性Sfsf的值为Yes的用户特别提供只属于免费师范生的资源.
(三)跨校认证系统的统计功能
出于安全、评估和计费的需要跨校身份认证系统举杯统计功能,各学校能够提供资源访问记录、用户信息交换记录等作为访问统计的凭证。身份提供方(IdP)统计认证和信息交换记录.共享资源提供方(sP)统计资源访问的记录.IDP和sP将各自的统计信息提供给WAYF.WAYF作为可信的第三方统计中心汇总各成员的统计信息并根据资源访问的统计情况进行业务结算。访问统计主要完成对系统运行日志的监控和查询统计.对于异常访问行为的追踪.以及提供日志的导出和备份。尽管WAYF作为统计中心,但IDP和sP会保留其各自的统计信息.以备发生争议时核查。
IdP、sP、WAYF分别应记录的统计信息如下表所示。
(四)跨校身份认证系统的部署
为实现校际间课程与案例资源的可靠访问.我们为每个共享教学资源的学校部署了sP.为每个有获取教学资源需求的学校部署了IdP.将WAYF部署在华东师范大学.整个跨校认证系统的部署如图2所示。
部署跨校认证系统所需环境如表4所示:
1.IdP的部署
(1)安装IdP系统组件.同时应取消web容器的AJP身份认证.并对HTYP SERVER配置反向代理。(2)设定配置文件。通常用户的身份认证和属性获取都通过ldap获得.但实际上跨校身份认证还支持通过Active Directory进行认证.属性也可以从关系数据库中获得。部署在华东师范大学的IdP就是通过ldap服务进行认证.而用户相关属性是从Oracle中获得,主要配置文件说明如表5所示。(3)提交IdP系统注册信息给WAYF,注册IdP系统到WAYF服务中心。
2.SP的部署
sP需正确获取IdP传递来的属性。我们用Apache2.2做http转发.一是出于安全考虑.二是便于各跨校认证服务器安装ssl证书.同时利用Apache2.2的反向代理功能集成其他应用系统.通过配置文件.实现通过http请求头读取用户的属性,sP的部署方法如下:(1)安装sP基础组件;(2)修改httpd.conf文件配置Apache:(3)设置sP的保护URL(即用户访问该URL时需要进行身份认证)及访问受控资源所需属性.需修改配置文件中的Host name、entityID、homeURL、exportLocation、MetadataProvider等元素:(4)将生成的metadata文件提交给WAYF.进行注册。
3.WAYF的部署
安装WAYF各基础组件后.应注册加入跨校认证系统的IDP及sP.所涉及的配置文件具体说明如表6:
表6部署WAYF所需的配置文件
(五)跨校身份认证系统的应用
资源和服务的提供者(SP)把用户的身份认证和属性管理交由用户所在组织(IdP)处理,同时IdP负责向sP提供所需要的用户属性。当用户尝试访问某一资源,sP根据IdP所提供的属性做出访问控制的决定。
图3描述了一位来自北京师范大学的用户在访问华东师范大学共享资源时的页面跳转过程:用户首先试图访问华东师范大学受保护的资源时被重定向到WAYF.选择自己所属院校后.输入用户名和密码通过本校的身份验证并可以访问校际间被sP所保护的资源。
(六)跨校身份认证系统的特点
跨校身份认证系统是实现可信的校际间数字化教学资源共享的基础,它具有兼容性好、开放性大、安全性高和稳定性强的特点。它兼容各成员原有身份认证系统的“用户名/密码”的认证方式、用户名定义规则以及加密方式,兼容各成员原有身份认证系统的用户属性.兼容不同平台的身份认证系统。跨校认证采用联盟合作模式.基于SAML的标准数据格式交换信息并主动开放接口以便各系统集成。数据的传输为加密机制.不需要各成员开放自身的身份认证接口或数据内容.这加强了安全性。任何成员的接入和断开不会影响对联盟中其他学校对系统的使用.即便跨校身份认证中心出现问题也不会影响各高校内部的资源使用.从而确保了系统的稳定性。
四、总结与展望
“下一代互联网教师教育创新平台”采用的跨校身份认证系统作为联系参与教学资源共享联盟成员的纽带.运用跨校认证技术.在不改变现有网络教学平台登录机制的前提下.将各平台无缝连接.实现了华东师范大学blackboard教学平台与北京师范大学自主开发教学平台的跨域身份认证和已有数字化教学资源的互访、共享.并实现了教师教育评价子系统和教师教育实践支持系统的单点登录。截至目前.已有近6000个拥有独立IP地址的用户通过跨校认证系统访问华东师范大学提供的数字化教学资源.预计在2011年底.访问人数将突破20000人。
对于作为共享联盟成员的院校而言.一方面跨校认证技术避免了“下一代互联网教师教育创新平台”中各子系统成为信息孤岛,也减少了资源重复建设或迁移至新平台所带来困难和成本.提高了资源的可用性。另一方面.共享联盟成员只需建设一份自己的教学资源.就可以享受其他院校建设的多份资源,形成规模效应,做到“1+1>2”,从而降低整个联盟的课程实现成本.使得共享联盟整体教学资源内容丰富、质量优化。
对于资源的所有权保护和管理而言.联盟成员的数字化教学资源存放在各自的平台上.只有那些通过跨校认证的用户.才能根据属性获得授权并访问相应的资源.这保护了资源建设者的知识产权.也提高了资源建设者参与资源共享的积极性。每一位联盟成员按照联盟规则维护自己原有教学平台上的资源.避免增加了大量额外的资源管理成本。
对资源使用者而言.学生只需要掌握自己登录本校系统的用户名和密码.通过统一的门户.就可以自由的访问建设在其他学校的资源:而教师只需熟悉本校教学平台的操作方法.资源建设过程不必依赖信息部门的介入.从而提高教学效率。“下一代互联网教师教育创新平台”与国外的免费公开资源及国内精品课程共享有所不同.是一种有限的开放.除了显性课程资源(课程教案、教学大纲、习题、实验实习指导、参考文献资料、教学录像等)外,还运用了跨校认证技术整合的网络教学平台.提供与显性资源相配套的隐性课程资源(师生互动、教师经验)的交换和互补,通过教学服务扩大共享联盟的整体效率。
在建设和运行的过程中.跨校身份认证系统还面临着一些待完善的方面:
首先.需要形成稳定的保障运行的机制。例如组建专门的运行保障小组.在工作时间为加入共享联盟的成员提供电 话技术支持:建立联盟各成员跨校认证联系人档案.可在系统故障时迅速做出反应:积极培训关于IdP和sP的配置与维护方法等。但由于联盟中各院校地理位置相距甚远.保障小组难以到达现场处置问题.各校的信息化程度也有差异.因此认证登录系统的故障的发生一定程度上阻碍了跨校认证系统的进一步应用.跨校身份认证系统的运行维护机制尚的健全还有待进一步探索。今后应尽快建立的稳定运行机制.并在试运行和调整顺利的基础上积极拓展应用范围.使联盟中的学校有能力和有渠道加以应用.扩大使用规模.
其次.需要建设WAYF服务器的负载均衡。跨校认证中的WAYF服务器不负责具体的认证事务.比传统的认证中心服务器负载低许多.但WAYF服务器是各个sP访问转发的必经之地,也是服务的集中受理、转发、响应的瓶颈所在,服务负荷较大.因此提高系统性能.对WAYF进行负载均衡.可靠实现各用户跨校认证与资源接入是跨校认证系统进一步发挥作用的关键。
此外,需要制定共享联盟的使用规则,保护各方权益。数字化教学资源共享实现了联盟成员院校层面的互惠互利.在参与共享的三主体——学校(组织者)、学生(使用者)、教师(建设者)中,学生可以使用来自各院校的丰富教学资源,是显而易见的受益者:学校组织本校资源共享.维护和保障资源平台正常运行.提供教学资源共享的同时也获取其他院校资源为本校人员所用.而教师作为共享资源建设者需要为教学资源数字化付出巨大劳动.并承担通过网络与学生交流互动的任务.其利益却最不容易得到保护。教师通过教学资源共享能获得什么.是影响他们参与共享积极性的重要因素。目前大多数学校通过支付一定报酬来保证教师的利益.但支付报酬所需稳定长期的经费来源难以保证旧。利用跨校身份认证系统可在技术上实现对共享资源的量化评价并监督共享过程.定期公布统计数据等方案.辅以制定使用规则.能够很好地鼓励、宣传优质资源的建设者.提升其在相关学科领域中的知名度.从而给予他们隐形的回报。随着教学资源共享的深入无疑会促进校际间、教师间的互惠交流、比较和良性竞争.共享系统的不断提升和发展.从而真正保护各参与方的权益。
总之.通过跨校认证技术共享数字化教学资源在今后可推广、迁移到各级各类学校中,为大学资源的社会化、开放化积累有益的经验。
[关键词]数字化教学资源:共享联盟:跨校身份认证;Shibboleth
[中图分类号]G434
[文献标识码]A
[文章编号]1672—0008(2011)06—0018—06
一、引言
教学资源共享已经成为高校发展的必要和趋势.国际上学生利用假期去异地某学校听课早已成为一种大学文化f俗称小学期):我国从上世纪九十年代中期开始也出现了一系列地理位置毗连的高校学生跨校选课的试点.比如北京大学和清华大学之间的文理互换课程.上海东北片、西南片高校联盟的跨校辅修课程。传统的课程共享方式受地域限制.增加了学习的成本.而理论上.校际间的数字化教学资源共享则能实现学生足不出校就可以完成跨校的课程学习.
所谓校际间教学资源共享是一种资源互换、互利的机制,是提高校课程水平和教学质量、促进科研合作,推进教育公平的有效手段。每一个参与的学校在享用其他学校资源的同时也贡献自己的资源.教学资源的共享平台从一对多的共享.过渡为多对多的共享。经过十余年的教育信息化建设.特别是网络教学平台的广泛使用.促使诸多高校积累了丰富的数字化教学资源。然而,实践中,这些资源都建设在高校各自使用、种类繁多的教学平台上。一方面,各高校承载教学信息的平台相互之间互不兼容、特定的信息只适用于特定的平台和技术接口.从而导致不同高校的资源库难以进行相互操作与利用。另一方面.不相同平台的使用方式差异较大.这也给已熟悉本校网络教学平台使用的教师将课程资源迁移到其他平台并共享教学服务带来了困难。由于无法实现教育信息和服务的交流与共享.各高校网络教学平台只得各自为政、形成信息孤岛,造成巨大的浪费,极大影响开放教学资源的使用。将分散在各高校不同平台上的教学资源整合起来是校际间资源共享的主要目标之一。
为了实现资源的共享.出现了若干所高校共同建立一个第三方的“教学共同体”平台.参与资源建设的学校将各自的数字化教学资源以各种形式呈现于平台之上.实现跨校选课、在线考试和教学,如“学院路地区教学共同体”(www.xyle.du.com)。但这一方式并没有实质性解决问题:(1)各校原有网络教学平台上的资源仍无法得到使用.需要在新平台上实施资源迁移、甚至重复建设;(2)任课教师不得不花时间和精力去掌握新教学平台的应用,增加了教师的负担:(3)需要另外投入较大成本维护第三方平台.在共享实践中也出现了完全开放的教学资源.比如国家精品课程网站。
但研究表明,完全开放教学资源共享存在如下问题:(1)资源单一.绝大部分教学资源共享平台主要是提供视频和电子文稿等展示:(2)学习过程不进行干预,普遍缺乏教学服务的支持.学习者使用最多的是“资源下载”和“信息共享”等“浅表学习”服务;(3)学习者无法与教师进行交流,相互间也不能自由讨论问题.这也导致了这些免费资源得不到充分利用。
当在第三方平台集中共享教学资源或完全开放共享教学资源之种种弊端日渐明显时.通过身份认证等技术手段将各校已有的网络教学平台有机联系.在可信的网络基础设施上进行共享,这种思路成为教学资源共享的新趋势。
因此.经过必要的身份验证.安全地进行信息资源共享.实现可信的跨校的教学资源访问成为建设数字化教学资源共享平台所要解决的关键问题。要做到这一点.在技术上有三种方法:
第一,资源共享者提供认证服务:参与共享的学校既提供资源也提供对用户的认证.此方案原理简单.实现难度低。但每一个学校的认证服务器需验证所有请求其资源的用户.该认证服务器的负载较大.而且为了提供认证服务需要知道其他学校所有人员信息.不利于保护用户隐私。
第二,建立共享资源的认证中心:由认证中心统一管理用户的校际间资源访问请求。虽然此方法的系统复杂度低.但所有参与跨校访问共享资源的用户都要去认证中心注册.对验证中心的可靠性要求很高.认证中心容易成为共享中的瓶颈.同时此共享方案在有学校加入或退出共享时灵活性较差。
第三,联盟式合作方式:共享联盟中各成员高校独立管理各自的用户与资源.以分布的形式组成一个联盟.用户从本校身份认证系统获取一个可以标识身份的令牌.该令牌在联盟中通用并可以被其他高校的身份认证系统识别。这样联盟成员各自的系统既不需要做很多修改.也不存在认证性能瓶颈并且利于保护用户的隐私.然而各院校网络教学平台采用的身份认证系统的框架与技术各异.整合协调原有身份认证系统.实现校际间的资源共享与协作.是实现联盟式合作方式的难点.
二、联盟合作方式跨域认证技术的技术背景
(一)Libenty Alliance
Liberty Alliance是由AOL、法国电信等多家企业发起的联盟组织,有逾150个成员。其核心是基于SAML(SecurityAssertion Markup Language)推出联盟的管理标准.联盟成员间形成信任域.通过虚拟身份把用户的身份和internet上所能获取的服务与资源对应起来.为用户提供一个更可信的Internet.提供了开放的单点登录规范可以提供联盟成员分散的授权与认证.允许服务提供方在认证中心不参与的情况下控制用户访问.并且该认证框架对未来可能出现的网络服务也提供了支持。Liberty联盟成员有较高的自由度,是一种松散结合的联盟组织。
(二)WS Federation
IBM、微软等公司推出了一组Web服务安全标准——WS-Federation.它以一组消息规范定义了不同的信任域间的代理信任、身份联合和认证信息模型.描述了如何管理各域之间的可由双方或多方共同建立的信任关系.微软的联合身份管理软件对WS-Federation进行了实现.提供了基于Web的单点登录服务。WS-Federation通过使用安全令牌保证消息的可靠性.完整性和保密性机制的核心功能.由安全令牌服务(STS)验证访问属于某域的资源请求并对用户所携带的安全令牌作出权限判定.
(三)Diameter协议
Diameter是验证远程拨号用户身份的协议.也是一种AAA(Authorization,Authentication,Accounting)协议。Diameter协议规定资源提供方在验证用户身份时.有权限获取用户身份信息之外的其他属性。Diameter认证请求只能由Diameter客户端创建.Diameter服务器在特定的域中处理由Diameter 客户端创建的认证、授权以及计费请求。Diameter协议多用于网络设备接入internet的解决方案中.
(四)Passport技术
Passport身份验证技术由微软开发并其产品中广泛使用.如Windows Live等。用户通过身份认证后.就可以访问所有Passport的合作网站.而不需要对每个站点进行重复登录。在Passport系统内部.认证消息以cookies形式存在。用户通过身份认证后.服务提供方会授权内容来判定用户是否可以访问某个资源.Passport技术的主要特点是认证集中但授权分散.并且使用ssl证书机制保证用户凭证不会在传输时被截获并解密。Passport技术原理简单,实现方便.但是在保护用户的隐私及安全性上有一定的缺陷。如果要使用Passport服务.那么一些敏感数据如用户的身份凭据必须存储在Pass.port服务器上.存在泄露用户隐私的风险.同时Passport只提供了“用户/密码”方式的认证.认证强度不够:此外.Passport的安全是基于对称加密算法DES.可以用穷举破解。
(五)Shibboleth中间件
Shibboleth是internet2上的研究项目.主要解决分布式资源的有效访问。Shibboleth是一个支持信任域之间服务与资源共享的系统框架.它基于SAML规范搭建.采用分散认证策略.共享者无需负责请求资源的用户的身份验证.验证的工作由用户所在组织自行负责.通过信任机制实现对共享资源的安全、高效访问。Shibboleth具有很好的隐私性,在资源共享过程中.用户的属性通过不透明的句柄传递:在访问共享资源时.只有在需要时才将用户的属性发送给资源共享者:同时使用SAML标准标记语言较好地解决了单点登录问题.
三、“下一代互联网教师教育创新支持系统应用示范”中的跨校身份认证系统
(一)跨校身份认证系统模型
“下一代互联网教师教育创新支持系统应用示范”由四所教育部直属师范院校联合开展.在ipv6网络基础设施上整合教师教育数字化资源.以形成优质的教师教育资源共享联盟。在该系统中.四所部属师范院校在各自网络教学平台上建设了众多优秀的课程与案例资源.形成课程与案例师范子系统.例如华东师范大学的课程与案例资源建设在Black.board8.0平台上.北京师范大学的资源建设在自行开发的网络教学平台中.此外该师范系统还包括教师教育评价子系统、教师教育实践支持子系统等.各子系统均有的自身的身份认证模块.为方便来自不同院校的用户统一访问这些资源.在参考Shibboleth的架构基础上.结合系统实际情况.我们设计了下一代互联网教师教育创新应用系统中的跨校认证系统.该跨校认证系统以各院校网络教学平台的原先使用的身份认证系统为可信认证源.从系统模型设计、属性规范标准及访问流程等角度.实现了校际数字化教学资源资源共享的基础架构。跨校身份认证系统架构设计原则如下:
——资源共享联盟中各院校共享数字化教育资时采用的原有身份认证方案相互独立.只需做少量修改即可与跨校身份认证系统进行协作:
——支持各个学校自己独立、分散建立资源系统,联盟内各高校的访问授权由资源所在组织负责.不同的用户类别可以得到不一样的授权:
——资源提供方仅获取访问资源所必需的用户属性.以提高系统安全性并保护用户的隐私:
——联盟各成员的资源访问日志的记录可查、可信.该访问日志可作为结算或评估效益的依据.同时也是维护系统稳定、排错纠错的根据。
基于这样的原则.跨校认证系统分为三个部分
1.身份提供者(Idenfity Provider。IdP)
主要功能是保存用户身份信息.提供认证服务并向资源提供者传送用户的属性信息.以使资源服务器根据用户属性对其访问请求做出响应。
2.资源提供者(Service Provider。SP)
为用户提供受控资源访问的入口.响应用户的资源请求.判断来访用户是否已经过认证并将未经身份认证的用户重定向至IdP。sP会接收IdP传送的用户属性.并根据属性判断用户是否可以访问受保护的资源。
3.跨校认证中心(Where Are You From.WAYF)
在WAYF注册的IdP和sP才能加入共享联盟.与传统的认证中心不同.WAYF并不参与用户的具体认证过程.它只维护一个IdP的目录.用户可通过WAYF提供的Web界面选择其所属的院校.并将用户请求转发给相应的IdP进行验证.用户的身份数据和属性依然由联盟各成员原有的身份认证系统维护,保护了各自学校用户的隐私。sP、WAYF会在IdP和句柄服务之见建立映射关系,并保存IdP选择规则,将满足认证请求的自动转发。跨校身份认证系统的模型如图1所示.
用户属性由“身份提供者IdP”(各高校维护用户身份信息的系统)负责.资源属性由“服务提供者SP"(各高校提供共享资源的系统)负责.用户和资源之间的访问关系则可交由“跨校认证中心”统一管理.由此解决用户对资源访问的权限问题.加入联盟的学校需要通过IdP中的组件句柄服务和属性管理器将学校内部的身份认证系统与跨校身份认证系统连接。如果该成员也通过sP提供共享资源.则sP通过属性请求者和断言使用服务来接入跨校身份认证系统。跨校身份认证系统中各组件的功能如表1描述.
根据这样的跨校认证系统模型.各高校只需认证本校用户.维护校内用户的身份信息。通过所在学校身份认证后的用户具有访问联盟内其他学校资源的合法身份.从而实现了共享联盟的跨校身份认证和单点登录功能.同时身份信息通过不透明的句柄传输保证了信息传递安全。
(二)跨校身份认证系统的属性规范
跨校身份认证系统中.用户通过IdP与sP的数据交换获取资源.而用户的属性定义了具体需要交换哪些数据.说明了哪些信息可以为IdP和sP共同识别。
用户的属性信息由其所在学校存储并保护。系统中每个参与资源建设与共享的学校能够认证属于自己的用户.一般来说,用户的属性存储于目录服务(如LDAP、Active Directo.rv)或关系数据库(如Oracle)中,跨校认证系统可以从中取得用户的属性.并进行认证。
在下一代互联网教师教育应用示范系统中.参与跨校身份认证的用户属性如表2所示.属性的元数据统一描述了属性的规则,提供了数据共享和交换的原则。包括:取值范围、属性要求、ldap语法、取值数量和参考值等。
IdP作为属性的提供方.需要保护用户属性的安全和隐私.IdP可以通过设置属性发布规则来控制哪些信息可以被sP获取。从sP的角度看.跨校认证系统中有两类不同的属性.一种是全局属性.所有加入共享联盟的sP都可以获取该类属性.另外一种为指定接收者属性.IdP可声明该类属性可被哪些sP可接收。未被声明的sP不能接收此类属性。属性 发布规则可通过配置文件修改。
相应的.sP作为受保护资源的提供方.也可通过属性控制达到保护资源的目的.首先sP可声明访问其保护资源时所必须提供的属性.即使通过了身份认证.但未能提供sP所需属性的请求也会被拒绝。其次。sP可根据获取的用户属性灵活制订访问策略.以实现不同的服务质量。例如在本项目中.sP会对属性Sfsf的值为Yes的用户特别提供只属于免费师范生的资源.
(三)跨校认证系统的统计功能
出于安全、评估和计费的需要跨校身份认证系统举杯统计功能,各学校能够提供资源访问记录、用户信息交换记录等作为访问统计的凭证。身份提供方(IdP)统计认证和信息交换记录.共享资源提供方(sP)统计资源访问的记录.IDP和sP将各自的统计信息提供给WAYF.WAYF作为可信的第三方统计中心汇总各成员的统计信息并根据资源访问的统计情况进行业务结算。访问统计主要完成对系统运行日志的监控和查询统计.对于异常访问行为的追踪.以及提供日志的导出和备份。尽管WAYF作为统计中心,但IDP和sP会保留其各自的统计信息.以备发生争议时核查。
IdP、sP、WAYF分别应记录的统计信息如下表所示。
(四)跨校身份认证系统的部署
为实现校际间课程与案例资源的可靠访问.我们为每个共享教学资源的学校部署了sP.为每个有获取教学资源需求的学校部署了IdP.将WAYF部署在华东师范大学.整个跨校认证系统的部署如图2所示。
部署跨校认证系统所需环境如表4所示:
1.IdP的部署
(1)安装IdP系统组件.同时应取消web容器的AJP身份认证.并对HTYP SERVER配置反向代理。(2)设定配置文件。通常用户的身份认证和属性获取都通过ldap获得.但实际上跨校身份认证还支持通过Active Directory进行认证.属性也可以从关系数据库中获得。部署在华东师范大学的IdP就是通过ldap服务进行认证.而用户相关属性是从Oracle中获得,主要配置文件说明如表5所示。(3)提交IdP系统注册信息给WAYF,注册IdP系统到WAYF服务中心。
2.SP的部署
sP需正确获取IdP传递来的属性。我们用Apache2.2做http转发.一是出于安全考虑.二是便于各跨校认证服务器安装ssl证书.同时利用Apache2.2的反向代理功能集成其他应用系统.通过配置文件.实现通过http请求头读取用户的属性,sP的部署方法如下:(1)安装sP基础组件;(2)修改httpd.conf文件配置Apache:(3)设置sP的保护URL(即用户访问该URL时需要进行身份认证)及访问受控资源所需属性.需修改配置文件中的Host name、entityID、homeURL、exportLocation、MetadataProvider等元素:(4)将生成的metadata文件提交给WAYF.进行注册。
3.WAYF的部署
安装WAYF各基础组件后.应注册加入跨校认证系统的IDP及sP.所涉及的配置文件具体说明如表6:
表6部署WAYF所需的配置文件
(五)跨校身份认证系统的应用
资源和服务的提供者(SP)把用户的身份认证和属性管理交由用户所在组织(IdP)处理,同时IdP负责向sP提供所需要的用户属性。当用户尝试访问某一资源,sP根据IdP所提供的属性做出访问控制的决定。
图3描述了一位来自北京师范大学的用户在访问华东师范大学共享资源时的页面跳转过程:用户首先试图访问华东师范大学受保护的资源时被重定向到WAYF.选择自己所属院校后.输入用户名和密码通过本校的身份验证并可以访问校际间被sP所保护的资源。
(六)跨校身份认证系统的特点
跨校身份认证系统是实现可信的校际间数字化教学资源共享的基础,它具有兼容性好、开放性大、安全性高和稳定性强的特点。它兼容各成员原有身份认证系统的“用户名/密码”的认证方式、用户名定义规则以及加密方式,兼容各成员原有身份认证系统的用户属性.兼容不同平台的身份认证系统。跨校认证采用联盟合作模式.基于SAML的标准数据格式交换信息并主动开放接口以便各系统集成。数据的传输为加密机制.不需要各成员开放自身的身份认证接口或数据内容.这加强了安全性。任何成员的接入和断开不会影响对联盟中其他学校对系统的使用.即便跨校身份认证中心出现问题也不会影响各高校内部的资源使用.从而确保了系统的稳定性。
四、总结与展望
“下一代互联网教师教育创新平台”采用的跨校身份认证系统作为联系参与教学资源共享联盟成员的纽带.运用跨校认证技术.在不改变现有网络教学平台登录机制的前提下.将各平台无缝连接.实现了华东师范大学blackboard教学平台与北京师范大学自主开发教学平台的跨域身份认证和已有数字化教学资源的互访、共享.并实现了教师教育评价子系统和教师教育实践支持系统的单点登录。截至目前.已有近6000个拥有独立IP地址的用户通过跨校认证系统访问华东师范大学提供的数字化教学资源.预计在2011年底.访问人数将突破20000人。
对于作为共享联盟成员的院校而言.一方面跨校认证技术避免了“下一代互联网教师教育创新平台”中各子系统成为信息孤岛,也减少了资源重复建设或迁移至新平台所带来困难和成本.提高了资源的可用性。另一方面.共享联盟成员只需建设一份自己的教学资源.就可以享受其他院校建设的多份资源,形成规模效应,做到“1+1>2”,从而降低整个联盟的课程实现成本.使得共享联盟整体教学资源内容丰富、质量优化。
对于资源的所有权保护和管理而言.联盟成员的数字化教学资源存放在各自的平台上.只有那些通过跨校认证的用户.才能根据属性获得授权并访问相应的资源.这保护了资源建设者的知识产权.也提高了资源建设者参与资源共享的积极性。每一位联盟成员按照联盟规则维护自己原有教学平台上的资源.避免增加了大量额外的资源管理成本。
对资源使用者而言.学生只需要掌握自己登录本校系统的用户名和密码.通过统一的门户.就可以自由的访问建设在其他学校的资源:而教师只需熟悉本校教学平台的操作方法.资源建设过程不必依赖信息部门的介入.从而提高教学效率。“下一代互联网教师教育创新平台”与国外的免费公开资源及国内精品课程共享有所不同.是一种有限的开放.除了显性课程资源(课程教案、教学大纲、习题、实验实习指导、参考文献资料、教学录像等)外,还运用了跨校认证技术整合的网络教学平台.提供与显性资源相配套的隐性课程资源(师生互动、教师经验)的交换和互补,通过教学服务扩大共享联盟的整体效率。
在建设和运行的过程中.跨校身份认证系统还面临着一些待完善的方面:
首先.需要形成稳定的保障运行的机制。例如组建专门的运行保障小组.在工作时间为加入共享联盟的成员提供电 话技术支持:建立联盟各成员跨校认证联系人档案.可在系统故障时迅速做出反应:积极培训关于IdP和sP的配置与维护方法等。但由于联盟中各院校地理位置相距甚远.保障小组难以到达现场处置问题.各校的信息化程度也有差异.因此认证登录系统的故障的发生一定程度上阻碍了跨校认证系统的进一步应用.跨校身份认证系统的运行维护机制尚的健全还有待进一步探索。今后应尽快建立的稳定运行机制.并在试运行和调整顺利的基础上积极拓展应用范围.使联盟中的学校有能力和有渠道加以应用.扩大使用规模.
其次.需要建设WAYF服务器的负载均衡。跨校认证中的WAYF服务器不负责具体的认证事务.比传统的认证中心服务器负载低许多.但WAYF服务器是各个sP访问转发的必经之地,也是服务的集中受理、转发、响应的瓶颈所在,服务负荷较大.因此提高系统性能.对WAYF进行负载均衡.可靠实现各用户跨校认证与资源接入是跨校认证系统进一步发挥作用的关键。
此外,需要制定共享联盟的使用规则,保护各方权益。数字化教学资源共享实现了联盟成员院校层面的互惠互利.在参与共享的三主体——学校(组织者)、学生(使用者)、教师(建设者)中,学生可以使用来自各院校的丰富教学资源,是显而易见的受益者:学校组织本校资源共享.维护和保障资源平台正常运行.提供教学资源共享的同时也获取其他院校资源为本校人员所用.而教师作为共享资源建设者需要为教学资源数字化付出巨大劳动.并承担通过网络与学生交流互动的任务.其利益却最不容易得到保护。教师通过教学资源共享能获得什么.是影响他们参与共享积极性的重要因素。目前大多数学校通过支付一定报酬来保证教师的利益.但支付报酬所需稳定长期的经费来源难以保证旧。利用跨校身份认证系统可在技术上实现对共享资源的量化评价并监督共享过程.定期公布统计数据等方案.辅以制定使用规则.能够很好地鼓励、宣传优质资源的建设者.提升其在相关学科领域中的知名度.从而给予他们隐形的回报。随着教学资源共享的深入无疑会促进校际间、教师间的互惠交流、比较和良性竞争.共享系统的不断提升和发展.从而真正保护各参与方的权益。
总之.通过跨校认证技术共享数字化教学资源在今后可推广、迁移到各级各类学校中,为大学资源的社会化、开放化积累有益的经验。