摘要

  数字化校园建设发展到今天,统一身份认证平台作为重要的基础设施得到了普及与应用。  目前,高校信息化建设环境中,一般都有统一的身份认证系统(三大平台之一统一身份认证平台)供各应用系统使用,但授权控制多由各应用系统自己管理。  统一身份认证中心(Central Authentication Service 缩写:CAS)的目的,就是使分布在一个学校内部各个不同异构系统的认证工作集中在一起,通过一个...

 oldsrc=  数字化校园建设发展到今天,统一身份认证平台作为重要的基础设施得到了普及与应用。

  目前,高校信息化建设环境中,一般都有统一的身份认证系统(三大平台之一统一身份认证平台)供各应用系统使用,但授权控制多由各应用系统自己管理。

  统一身份认证中心(Central Authentication Service 缩写:CAS)的目的,就是使分布在一个学校内部各个不同异构系统的认证工作集中在一起,通过一个公用的认证系统统一管理和验证用户的身份,一般我们称之为统一身份认证平台。

  在CAS上认证的用户将获得CAS颁发的一个证书,使用这个证书,用户可以在承认CAS证书的各个系统上自由穿梭访问,不需要再次登录认证。统一身份认证中心一般包含两部分功能:数字身份管理和应用系统认证管理。

高校统一身份认证现状

  高校信息化领域,解决统一身份认证问题,主要采用单点登录(Single Sign On)方案,也是目前比较流行的高校业务整合解决方案之一。

  SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

  目前,教育信息化厂商的统一身份认证类产品,很多都是基于耶鲁大学开发的单点登录(Single Sign On)系统,是对CAS系统进行二次研发推出的。

  2012年前,相当多的统一身份认证产品定位于“一账号通行”,即在校园范围内对接入的系统只需登录一次即可访问,强大的CAS完全能满足需要,因此厂商也很少对CAS做改动(可能只改了Logo,主题)。

  2013~2017年,移动信息化的兴起,用户体验要求的提高,逐渐在CAS基础上衍生支持更多协议(如Oauth、SAML等),完善其管理功能(如用户管理、接入管理、安全管理等)。

  2017年至今,开始有厂商在鉴权方式、权限管理、安全审计等方面对产品加以升级,进一步提高用户体验,为构建智慧校园奠定基础。

  传统的典型CAS认证过程如图1所示:

 oldsrc=

图1 传统的典型CAS认证过程

  对于受保护资源的每个访问请求,CAS Client 会分析其 Http 请求中是否包含 Service Ticket,如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。

  用户在第 3 步中输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket,并缓存以待将来验证,然后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新产生的 Ticket 后,在第 5和第6 步中与 CAS Server 进行身份核实,以确保 Service Ticket 的合法性。

  所有与 CAS 的交互均采用 SSL 协议,以确保ST 和 TGC 的安全性。

  协议工作过程中会有两次重定向的过程,但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。

  简单而言,用户访问任何应用系统,都会被重定向到认证在中心,校验其身份后,发给用户一张访问门票 (Service Ticket),用户持此门票访问应用系统时,验证决定是否允许其通过。

  在传统的应用场景中,这种模式良好地解决了“一账号通行”的问题,也符合产品的核心定位——统一身份认证。

  目前,产品的改进也是增加鉴权方式、增加后台管理功能,核心本质不变,产品定位不变,但以现有的智慧校园建设场景,远远不能满足要求。

  如何满足智慧校园微服务架构下多维度、细粒度权限体系设计?如何满足跨业务域、跨校认证服务的需要,如eduroam、eduGAIN、图书馆馆际互认?如何满足个人数据安全防护的需要,确保类似“徐玉玉案件”不再发生?如何充分发挥好学校高质量、多维度的用户数据,为教学、管理、社会服务助力?这些都是新一代统一身份认证产品需要考虑的问题。

从统一身份认证到统一用户中心

  从图1可以看出,传统产品只聚焦于解决“认证”的问题,或者说只考虑校内系统统一认证的问题,完全不能满足互联网环境下智慧校园建设的需要。

  面向未来,下一代高校智慧校园场景中,用户信息应该集中起来进行管理,按需(系统的需要、用户的同意)提供给其他第三方系统使用。

  完整的统一用户中心应该包含签证、赋信、授权、安全等功能。

  1.鉴证

  继承传统的统一身份认证,这是核心功能之一。只是原来的认证中心鉴权方式较为单一,仅有账号密码一种。

  新的统一用户中心,作为核心签证库,应该是包含多种用户鉴权方式信息,包括账号密码、生物识别方式(人脸、FaceID、TouchID)、一卡通、NFC设备、微信(OpenID)、短信验证码方式等,以上多种验证方式统一于一个用户ID。

  接管了业务系统、微服务系统的认证部分后,以统一的方式提供统一的、多样的认证服务形式,有效提升用户体验。

  2.赋信

  这是统一用户中心相对于统一身份认证最大的改变之一。

  在传统数字化校园场景中,用户信息、组织信息在各业务系统中广泛存在。

  一方面,造成系统的极大冗余。这些信息是高度标准化、一致化的,信息同步不及时,数据集成层面解决不善,将会造成很多业务的问题;

  另一方面,个人信息广泛存在于各业务系统,管理水平不一,风险点增加,极大造成个人信息安全隐患。如果个人信息集中保存在统一用户中心,按需(系统需要、个人需要)提供给各业务系统使用,能极大提高数据安全管控水平,降低风险。

  统一用户中心在完成用户鉴权认证后,按照需要对系统赋于相关信息,一般系统在此只返回userID信息(如图1第6步),如下代码:

  Session.getAttribute(CASFilter.CAS_FILTER_USER);

  Session.getAttribute(“edu.yale.its.tp.cas.client.filter.user”);

  CAS v2 开始使用 XML 规范,大大增强了可扩展性, CAS v3.1配置树形属性仓库attributeRepository之后,可方便获得更多用户信息,如下代码:

  //获取远程用户

  request.getRemoteUser()

  //获取其他信息

  AttributePrincipal principal = (AttributePrincipal)

  request.getUserPrincipal(); Map attributes = principal.getAttributes();

  基于用户中台以API形式开放相关接口后,此过程亦可由用户进行干预,完全自主管控信息,如图2所示。

 oldsrc=

图2 用户远程干预

  3.授权

  很多厂商目前正在以微服务的形式重构所有业务系统,以客户需求为目标进行组合交付,消除传统应用系统与微服务系统的界限。在这种思路下,传统业务系统的授权体系也被解构的分崩离析。

  如何实现微服务架构下的多维度、细粒度权限体系设计?“授权”作为统一用户中心的重要功能,能够完整实现以上要求。

  从数据结构上来看,统一用户中心最重要的除鉴证库外,就是授权库,其中存放接入系统、微服务的接入、应用权限信息。在用户完成认证后,中心化的授权系统可将相应用户接入应用的授权信息返回给系统,实现统一管控。

  4.互联

  互联网化的今天,高校校园环境中的智慧校园建设,应该在聚焦学校核心业务的基础上,广泛利用优秀互联网厂商开放出来的能力、资源,为学校各业务场景进一步赋能。

  同时,统一用户中心以用户中台的形式把学校各种用户信息能力开放出去,解决很多传统领域难以解决的问题,再造许多新的业务场景,前景无限广大。

  统一用户中心作为学校权威的用户信息认证提供者,一方面做好与微信、微博等大用户平台的互联互通工作,进一步提升用户体验,另外也可关注与高校各业务领域场景的用户认证需求,如全球无线漫游eduroam服务,解决高校师生无线漫游问题,链接跨国身份联盟组织eduGAIN,解决其他国家教育科研网共享应用资源问题,各种地域联盟图书馆馆际互通问题等。

  通过中台化开放的用户能力,以先进的技术、产品加以引领,在公司、组织级别的层面拿出解决方案,促进此类服务广泛、全面提升。

  另外,高校作为学生最主要的活动场所,拥有完整且多方面的学生信息,例如学生基本信息,成绩记录,校园卡消费记录,图书借阅记录,上网记录等,涉及维度广泛且健全。

  高校比任何组织、任何互联网公司、任何个人都更了解学生,建立相关主题数据模型后,如果将此数据能力以用户中台的形式开放出去,前景不可限量。

  目前,校园贷问题十分突出,关键在于无法正确评估学生信用,持牌金融机构无法获利,导致非法网贷机构趁虚而入,对学生权益造成很大损害。如果学校建立相关信用评估模型,并将其以用户中台的形式开放出去,整个业务领域将被重构与改写。

以用户中台形式呈现的统一用户中心

  中台产生于互联网公司,目前这个话题非常火热,也深深影响到了教育信息化领域。中台的作用如图3所示。

 oldsrc=

图3 中台的作用

  1.中台化让用户数据发挥价值

  在企业中,中台是为了更好地整合后端的计算、业务、数据资源,更敏捷、高效地为前台服务而生,在高校中同样如此。

  但有所区别的是,高校中最有价值的是海量高维度、准确的数据资源,而互联网公司则是强大的技术、业务资源。

  开放高校海量的数据资源,尤其是用户信息的需求场景在社会中广泛存在。

  如在校学生验证,不论是校招、社招,或者兼职,“在读学生证明”广泛存在,为何不能以技术手段解决?统一用户中心可以以API形式提供服务,获得更广泛的业务场景。

  学生成绩等级服务,以绩点形式提供服务,优良中差判定,既保护学生隐私,又满足社会需要;学生画像服务,可经过学生同意授权后使用。

  以上服务可以让第三方多元化、全景化了解学生,消除信息不对称造成的巨大鸿沟,用平台化形式,真正把学生多维度数据资源释放出来。

  首先应该在平台层面,在技术上加以解决,从而为产业环境酝酿生长奠定基础。

  什么样的平台能够把高校优秀的数据资源开放出来为广大用户所用,真正发挥其价值?这是广大高校教育信息化厂商值得思考的问题。

  2.统一化满足个人数据保护的要求

  传统的数字化校园,每个业务系统都存有一套用户信息,包括自然信息、组织信息等,造成个人信息防护最大的不确定性,存在的风险点极多,信息泄露事件时有发生。

  每个业务系统的开发水平、管理水平不一,“木桶原理”决定,现实情况中,最短的那块木板往往超乎想象的“短”,个人数据泄露是大概率事件,区别只是是否造成了相应损害而已。

  在传统的系统架构,用户数据分散管理模式已经无法满足目前用户个人数据保护的需要。集中统一管理用户数据,应该是解决此类问题比较好的方案。

  用户信息、组织信息统一存放在统一用户中心,按照个人需要、系统需要差异化提供数据服务。

  业务系统不得留存相关用户信息,如同账号、密码不在系统留存,有效解决了用户账号的安全性,用户信息的集中管理,很大程度满足了个人数据安全性的要求。

  2018年5月25日,欧洲联盟出台《通用数据保护条例》(General Data Protection Regulation,简称GDPR),规定个人数据是属于个人的资产,敏感个人数据的使用,必须经过个人的同意。

  2019年7月30日,中央网信办提出“要加快出台数据安全法、数据安全管理办法等一系列法规,规范数据采集、存储、使用、共享相关的活动”。政策环境的不断收紧也在要求产品、服务做出相应改变。

  信息技术在教育教学、教育管理中发挥着支撑与引领的作用,但一直是支撑多、引领少,赋能多、再造少,迫切需要在模式上、场景上以“深度融合”为目标加以突破。

  把视野提高,不要局限在一个系统、一个平台、一个校园,而是从高校职能、改革发展的角度以点带面加以突破,切实提高我国教育信息化应用与服务水平。

  (作者:东北财经大学网络信息管理中心 陈伟 刘丹)

  进入专题>>2019高校信息化创新实践方案展示

华人教育信息订阅号二维码