论文部分内容阅读
近年来,随着教育信息化的不断深入与发展,各级各类教育应用系统呈现越来越丰富的态势且发展速度迅猛。随着应用系统的不断增多,在教育信息化建设进程中形成了多应用系统独立运行、资源分散和分别管理的状况。所有应用系统都有各自的用户管理和认证方式,包括基于windows AD管理资源的系统。这些系统彼此独立、资源分散,加大了管理难度,降低了工作效率。通过研究分析,笔者发现主要存在如下问题:
1.使用不便:各个应用系统往往由不同的单位开发,因此呈现出多个应用系统、多个登录界面、多个用户、多个口令的状况。这日渐成为阻碍管理员管理和用户使用的“瓶颈”。
2.维护困难:多个应用系统,不同的用户身份信息库,不同的用户权限库,多种用户管理和认证方式,这加大了应用系统的维护成本。
3.安全隐患:很多用户为了便于记忆,在各个应用系统中使用相同的用户名、密码,而多数系统在认证过程中的密码是明文传送的,这给整体信息化体系带来了巨大的安全隐患。在这种情况下,只要一个系统出现问题,整个体系都将处于暴露的威胁之中。
4.效率低下:多个应用系统,各自独立的用户管理模式,使各个系统成为“信息孤岛”;用户信息无法共享,需要重复建设用户管理和认证方式。各系统间不能形成一个统一、联动的整体,使得管理效率低下,违背了信息化发展的趋势。
综合以上分析,为了加速信息化建设与应用,不仅需要关注信息化建设对业务的覆盖程度,更需要以人为本,关注信息化应用的使用效率,提升各应用系统之间合理和高效的资源分配,这些都迫切需要摒弃原有应用系统的分散管理模式,采用集中统一的用户管理模式,搭建一个服务于多应用系统的统一认证平台。
一、规划与设计
在前期分析研究的基础上,结合北京的实际需求,我们统一规划设计了北京市教育应用认证系统。
该系统的建设目标是:建设一个多级部署、集中与分布相结合、易于扩展、具有良好弹性的统一认证系统。它将在各个教育应用系统中起到粘合剂的作用。通过本认证系统,各教育应用系统将形成一个有机的整体,充分体现用户体验,为实现数据整合与业务融通奠定基础。
该认证系统规划的应用范围涵盖了市、区县及学校级(主要指高校),适合于应用系统和网络环境的多样性,同时支持与第三方认证系统的互信认证。
该认证系统的设计思路如下:
统一的用户管理:多个应用系统实行统一的用户身份信息、角色信息和组织机构信息,由一个管理平台进行统一维护和管理,从而降低整体维护成本和管理风险。
统一的认证方式:多个应用系统实行统一的用户注册、身份认证和权限管理,用户只需注册一次即可访问所有授权的应用系统。另外,由于各应用系统自身的安全等级不同,统一认证系统应能支持不同安全等级的注册与身份认证方式。
单点登录,多点漫游:在统一身份认证的基础上,实现单点登录,用户只需登录一次就可以访问其权限范围内的各应用系统,并且可以方便地在各应用系统间切换访问,极大地方便用户,实现“单点登录,多点漫游”。
安全性、高效性、扩展性:认证系统是其他应用系统的入口,必须保证用户认证过程的安全性,并满足大量应用系统的认证请求,同时满足认证接口的多样性需求,使各种各样的应用系统都可以使用本系统进行身份认证。
共享的信息服务:各应用系统用户信息可以通过统一管理平台共享,供其内部流程使用,为应用整合奠定基础。
支持终端多样性:支持PC(BS/CS应用)、POS、智能设备、手机等终端设备的应用。
分级管理、灵活授权:采用市、区县分级管理模式,按照各区县实际需求,提供多种互联方案,在保持数据同步的基础上,同时满足市、区县的多种应用。
系统从上至下分为三大模块,即系统接口、后台管理和身份数据存储。系统接口包括认证、互信、数据同步和数据采集等接口;后台管理包括用户管理、权限管理、审计管理、证书管理和系统管理等模块。用户管理是系统的核心功能模板,主要涉及四方面的内容:用户资料、角色、组织机构、用户组。权限管理模块主要包括两方面的内容:系统内部管理的授权和接人系统的授权。审计管理主要包括:统一记录应用系统情况,创建登录日志,检查安全漏洞并提出修复建议,全方位实现安全控制。证书管理模块,即系统采用数字证书解决在网络环境下认证过程和数据传输过程中的安全问题。系统管理模块则主要包括:系统角色管理、接入系统管理、系统参数设置及其他管理。
二、市区应用与互联
作为服务全市教育系统的统一认证系统,本系统采用数据大集中的方式,提供市级各应用系统的认证支持,同时兼顾网络环境等各种因素,建立区县(或者学校)级的分认证中心,各级认证中心之间逐级通过同步引擎实现数据的同步。
为了促进认证系统的应用与服务,我们在规划设计全市认证系统的同时,还结合各接入单位(主要是区县)的实际情况,规划了三种市区县认证互联方案,各区县可根据自身现状,选择一种方案实现与市级认证系统的教育认证互联。
方案一:采用区县级自建认证系统
该方案采用的是区县自行建设本区自用的认证系统。从系统功能上看,区县系统可以根据自身需求开展个性化的设计,充分实现多方位的扩展应用,但必须遵循市级统一的数据规范和接口标准,即:区县自建认证系统需要按照市级统一认证平台的要求,实现实名数据信息的同步,采用市级互操作规范将本区用户的实名信息同步至市级认证系统。从部署角度看,自建认证系统完全独立于市级认证系统,与市级认证系统进行互信认证,但仍可归属为分级认证系统。
方案二:采用市级分认证系统
该方案采用的市级分认证系统是整个市级系统的分级认证系统,由市级统一免费下发。从系统功能上看,区县系统拥有市级系统的大部分功能和接口,从部署角度看属于分级认证系统。两个系统是相对独立,但可利用市级提供的“数据交换平台”技术实现市级认证系统和分认证系统之间的实名数据信息的同步。
方案三:直接采用市级认证系统
该方案是将需要进行统一认证管理的区县级应用系统或本区学校级应用系统全部接入市级认证系统,由市级认证系统统一进行身份认证。区县不设立独立的认证系统,该区县用户信息只存储在市级认证系统内,区县本地不存储用户实名身份数据。市级授权采用“方案三”的区县在市级认证系统中自主维护本区用户实名数据信息。
以上三种方案充分考虑了各区县的情况,在确保全市认证数据统一、准确的前提下,给予了各区县较大的自主发展空间,有利于在全市推进统一认证系统的应用。
三、校级认证系统的规划建设
在市区县级认证系统逐步建成应用的同时,随着数字校园建设工作的逐渐兴起与深入,校级认证 系统的规划与建设也日益成为学校层面信息化建设的热点问题。
我们倡导学校建设校级统一认证系统要基于中小学应用环境,实现与北京市中小学校园管理信息系统对接,以减少重复性建设,根据本校已实施的应用环境,还有可能需要与Windows AD对接。在系统建设时,提供基于单点登录(SSO)的认证方式来解决大量B/S应用系统的统一认证问题,从而减少用户使用各系统的难度。为了解决大量C/S应用的统一认证问题,统一认证系统应该实现基于Web Service的认证方式。
建设学校级的统一认证系统应包含以下要点:
统一认证方式:多个应用系统实行统一的用户注册、身份认证和权限管理,用户只需注册一次,即可访问所有应用系统。
单点登录(SSO):在统一身份认证的基础上,实现单点登录,用户只需登录一次就可以访问其权限范围内的各应用系统,并且可以方便地在各应用系统间切换访问,无需反复登录。
安全性:在设计时要考虑认证过程的安全、数据传输的安全、关键操作不可抵赖等,并且根据学校自身的环境,支持在认证过程中采用HTTPS安全连接,进一步提高安全性。
高效性:由于大量的应用系统都要接入到统一认证系统实现身份认证,认证过程必须效率很高。
扩展性:信息化建设是循序渐进的过程,一个系统不可能永远满足未来的应用,而统一认证系统是各个系统的认证纽带,因此必须在设计时充分考虑系统的可扩展性,在未来可以方便地通过系统扩展满足新的需求,而不是重新建设新系统。
与北京市中小学校园管理信息系统相结合:建设统一认证系统时应考虑与北京市中小学校园管理信息系统无缝对接,用户可以直接使用北京市中小学校园管理信息系统中的账号密码登录所有与认证系统对接的业务系统。
提供Windows
AD的凭证同步:如果本校已经采用Windows AD来实现应用系统的认证,统一认证系统在设计时应增加与Windows AD对接的模块,避免两套认证体系给用户带来的不便。
此外,市级规划的统一认证规范和体系架构是信息化建设的趋势,建设学校级统一认证系统时应该考虑与此相关的规范和互联互通性,并在区域统一认证体系规划建设成熟的基础上,实现校与区的认证互通。
统一身份认证是区域教育信息化发展的趋势,是实现基于用户的个性化服务、安全管理及数据整合的基础性工作,是促进应用与服务,提升管理效率的有效手段。北京市教育应用认证系统已初步完成市级层面的规划与建设,实现了以资源为聚合的市级各主要应用系统的统一实名认证与单点登录,在此基础上完成部分试点区县的分认证系统部署及市区的认证互联。未来将逐步实现服务全市、市区互动、安全便捷、个性服务,并以统一认证系统为基础,推进全市教育信息化应用的新发展。
1.使用不便:各个应用系统往往由不同的单位开发,因此呈现出多个应用系统、多个登录界面、多个用户、多个口令的状况。这日渐成为阻碍管理员管理和用户使用的“瓶颈”。
2.维护困难:多个应用系统,不同的用户身份信息库,不同的用户权限库,多种用户管理和认证方式,这加大了应用系统的维护成本。
3.安全隐患:很多用户为了便于记忆,在各个应用系统中使用相同的用户名、密码,而多数系统在认证过程中的密码是明文传送的,这给整体信息化体系带来了巨大的安全隐患。在这种情况下,只要一个系统出现问题,整个体系都将处于暴露的威胁之中。
4.效率低下:多个应用系统,各自独立的用户管理模式,使各个系统成为“信息孤岛”;用户信息无法共享,需要重复建设用户管理和认证方式。各系统间不能形成一个统一、联动的整体,使得管理效率低下,违背了信息化发展的趋势。
综合以上分析,为了加速信息化建设与应用,不仅需要关注信息化建设对业务的覆盖程度,更需要以人为本,关注信息化应用的使用效率,提升各应用系统之间合理和高效的资源分配,这些都迫切需要摒弃原有应用系统的分散管理模式,采用集中统一的用户管理模式,搭建一个服务于多应用系统的统一认证平台。
一、规划与设计
在前期分析研究的基础上,结合北京的实际需求,我们统一规划设计了北京市教育应用认证系统。
该系统的建设目标是:建设一个多级部署、集中与分布相结合、易于扩展、具有良好弹性的统一认证系统。它将在各个教育应用系统中起到粘合剂的作用。通过本认证系统,各教育应用系统将形成一个有机的整体,充分体现用户体验,为实现数据整合与业务融通奠定基础。
该认证系统规划的应用范围涵盖了市、区县及学校级(主要指高校),适合于应用系统和网络环境的多样性,同时支持与第三方认证系统的互信认证。
该认证系统的设计思路如下:
统一的用户管理:多个应用系统实行统一的用户身份信息、角色信息和组织机构信息,由一个管理平台进行统一维护和管理,从而降低整体维护成本和管理风险。
统一的认证方式:多个应用系统实行统一的用户注册、身份认证和权限管理,用户只需注册一次即可访问所有授权的应用系统。另外,由于各应用系统自身的安全等级不同,统一认证系统应能支持不同安全等级的注册与身份认证方式。
单点登录,多点漫游:在统一身份认证的基础上,实现单点登录,用户只需登录一次就可以访问其权限范围内的各应用系统,并且可以方便地在各应用系统间切换访问,极大地方便用户,实现“单点登录,多点漫游”。
安全性、高效性、扩展性:认证系统是其他应用系统的入口,必须保证用户认证过程的安全性,并满足大量应用系统的认证请求,同时满足认证接口的多样性需求,使各种各样的应用系统都可以使用本系统进行身份认证。
共享的信息服务:各应用系统用户信息可以通过统一管理平台共享,供其内部流程使用,为应用整合奠定基础。
支持终端多样性:支持PC(BS/CS应用)、POS、智能设备、手机等终端设备的应用。
分级管理、灵活授权:采用市、区县分级管理模式,按照各区县实际需求,提供多种互联方案,在保持数据同步的基础上,同时满足市、区县的多种应用。
系统从上至下分为三大模块,即系统接口、后台管理和身份数据存储。系统接口包括认证、互信、数据同步和数据采集等接口;后台管理包括用户管理、权限管理、审计管理、证书管理和系统管理等模块。用户管理是系统的核心功能模板,主要涉及四方面的内容:用户资料、角色、组织机构、用户组。权限管理模块主要包括两方面的内容:系统内部管理的授权和接人系统的授权。审计管理主要包括:统一记录应用系统情况,创建登录日志,检查安全漏洞并提出修复建议,全方位实现安全控制。证书管理模块,即系统采用数字证书解决在网络环境下认证过程和数据传输过程中的安全问题。系统管理模块则主要包括:系统角色管理、接入系统管理、系统参数设置及其他管理。
二、市区应用与互联
作为服务全市教育系统的统一认证系统,本系统采用数据大集中的方式,提供市级各应用系统的认证支持,同时兼顾网络环境等各种因素,建立区县(或者学校)级的分认证中心,各级认证中心之间逐级通过同步引擎实现数据的同步。
为了促进认证系统的应用与服务,我们在规划设计全市认证系统的同时,还结合各接入单位(主要是区县)的实际情况,规划了三种市区县认证互联方案,各区县可根据自身现状,选择一种方案实现与市级认证系统的教育认证互联。
方案一:采用区县级自建认证系统
该方案采用的是区县自行建设本区自用的认证系统。从系统功能上看,区县系统可以根据自身需求开展个性化的设计,充分实现多方位的扩展应用,但必须遵循市级统一的数据规范和接口标准,即:区县自建认证系统需要按照市级统一认证平台的要求,实现实名数据信息的同步,采用市级互操作规范将本区用户的实名信息同步至市级认证系统。从部署角度看,自建认证系统完全独立于市级认证系统,与市级认证系统进行互信认证,但仍可归属为分级认证系统。
方案二:采用市级分认证系统
该方案采用的市级分认证系统是整个市级系统的分级认证系统,由市级统一免费下发。从系统功能上看,区县系统拥有市级系统的大部分功能和接口,从部署角度看属于分级认证系统。两个系统是相对独立,但可利用市级提供的“数据交换平台”技术实现市级认证系统和分认证系统之间的实名数据信息的同步。
方案三:直接采用市级认证系统
该方案是将需要进行统一认证管理的区县级应用系统或本区学校级应用系统全部接入市级认证系统,由市级认证系统统一进行身份认证。区县不设立独立的认证系统,该区县用户信息只存储在市级认证系统内,区县本地不存储用户实名身份数据。市级授权采用“方案三”的区县在市级认证系统中自主维护本区用户实名数据信息。
以上三种方案充分考虑了各区县的情况,在确保全市认证数据统一、准确的前提下,给予了各区县较大的自主发展空间,有利于在全市推进统一认证系统的应用。
三、校级认证系统的规划建设
在市区县级认证系统逐步建成应用的同时,随着数字校园建设工作的逐渐兴起与深入,校级认证 系统的规划与建设也日益成为学校层面信息化建设的热点问题。
我们倡导学校建设校级统一认证系统要基于中小学应用环境,实现与北京市中小学校园管理信息系统对接,以减少重复性建设,根据本校已实施的应用环境,还有可能需要与Windows AD对接。在系统建设时,提供基于单点登录(SSO)的认证方式来解决大量B/S应用系统的统一认证问题,从而减少用户使用各系统的难度。为了解决大量C/S应用的统一认证问题,统一认证系统应该实现基于Web Service的认证方式。
建设学校级的统一认证系统应包含以下要点:
统一认证方式:多个应用系统实行统一的用户注册、身份认证和权限管理,用户只需注册一次,即可访问所有应用系统。
单点登录(SSO):在统一身份认证的基础上,实现单点登录,用户只需登录一次就可以访问其权限范围内的各应用系统,并且可以方便地在各应用系统间切换访问,无需反复登录。
安全性:在设计时要考虑认证过程的安全、数据传输的安全、关键操作不可抵赖等,并且根据学校自身的环境,支持在认证过程中采用HTTPS安全连接,进一步提高安全性。
高效性:由于大量的应用系统都要接入到统一认证系统实现身份认证,认证过程必须效率很高。
扩展性:信息化建设是循序渐进的过程,一个系统不可能永远满足未来的应用,而统一认证系统是各个系统的认证纽带,因此必须在设计时充分考虑系统的可扩展性,在未来可以方便地通过系统扩展满足新的需求,而不是重新建设新系统。
与北京市中小学校园管理信息系统相结合:建设统一认证系统时应考虑与北京市中小学校园管理信息系统无缝对接,用户可以直接使用北京市中小学校园管理信息系统中的账号密码登录所有与认证系统对接的业务系统。
提供Windows
AD的凭证同步:如果本校已经采用Windows AD来实现应用系统的认证,统一认证系统在设计时应增加与Windows AD对接的模块,避免两套认证体系给用户带来的不便。
此外,市级规划的统一认证规范和体系架构是信息化建设的趋势,建设学校级统一认证系统时应该考虑与此相关的规范和互联互通性,并在区域统一认证体系规划建设成熟的基础上,实现校与区的认证互通。
统一身份认证是区域教育信息化发展的趋势,是实现基于用户的个性化服务、安全管理及数据整合的基础性工作,是促进应用与服务,提升管理效率的有效手段。北京市教育应用认证系统已初步完成市级层面的规划与建设,实现了以资源为聚合的市级各主要应用系统的统一实名认证与单点登录,在此基础上完成部分试点区县的分认证系统部署及市区的认证互联。未来将逐步实现服务全市、市区互动、安全便捷、个性服务,并以统一认证系统为基础,推进全市教育信息化应用的新发展。