文/彭伟 王珠凤

随着资源共享的日益频繁，如何进行必要的身份验证就可实现跨校的信息访问，是摆在人们面前的一大课题。华东师范大学以IPv6重大应用示范项目《教师教育创新支持系统》为背景，设计出相应的统一身份认证架构，实现

跨校共享资源亟待实现

据统计，当前我国在校学生数量是美国在校学生数量的8倍，但我国的教师资源特别是优秀的教师资源紧缺。同时，教师资源还体现在区域性不平衡。从教师培养层面来看，在互联网时代，要造就一大批优秀教师和未来教育家，就必须对现有教师培养与培训模式进行系统的创新和改革，充分发挥互联网技术对教师教育的支撑作用，特别是利用下一代互联网的技术优势，提供高水平的支撑平台，全程追踪教师成长的过程，提升教师整体的教育质量。因此，高水平的持续的师范教育非常重要。而国家倡导的6所部属师范大学从事的下一代互联网IPv6重大应用示范项目——教师教育创新支持系统，是解决这一问题的重要尝试。

6所部属师范大学拥有教师教育的大量优质资源，但是实体资源多，数字资源少。数字资源存在异构、标准不一、个性化和智能化服务水平低等问题。除国家精品课程和省市级精品课程外，数字资源的开放、整合和共享程度不高。可见，在传统教育模式和手段的基础上，建设以下一代网络技术作为支撑的教师教育创新平台，实现优质教师教育资源的共享，来提高教师教育的效率，满足现代化优秀教师的培养需要，对解决教师资源短缺且人才资源不平衡的现状具有重要意义。

因此，如何利用下一代互联网技术，搭建优质教师教育共享平台，实现教师教育资源共享，支持下一代互联网的技术试验和应用示范，成为下一代互联网IPv6重大应用示范项目《教师教育创新支持系统》亟待解决的问题。

现有认证机制的缺陷

对于实现校际教师教育资源共享，现在的做法普遍比较简单，不外乎从两个方面考虑：一是资源管理，二是用户管理。无法满足资源管理的两个前提

各个高校拥有独立的教师教育资源库，为了实现校际教师教育资源的共享，可将分布在其他高校内的教师教育资源备份整合到本校的系统中来，整合的过程可以采用人工录入/导入方式，一次性将所有的现有教师教育资源都录入/导入到系统中。就跨校选课来说，可以将其他学校的课程按本校的课程设计方式录入/导入到本校的选课系统中，本校的学生就可以登录选课系统来选择其他学校的课程。一旦更新数据，就必须重新录入/导入数据。针对这种情况，有些高校提供了Web Service接口，逐步改造已经存在的系统，通过调用相应的接口，把已经更新的教师教育资源复制到本地。在新系统中首先调用索引接口获取相关的资源及其修改版本，如果版本比本地的新或者本地没有相应的资源，则调用相应的接口把资源复制到本地。采用Web Service共享方式可实时获取相关数据，只要源系统中的数据更新，系统中就会调用相应的接口获取最新的资源数据。内容管理服务器将周期性地比对本地索引服务器和原有库的索引服务器的软件版本是否一致，如果远端的索引更新，则访问远程内容服务器，获取较新索引软件的详细信息，同时在本地保存，如图1所示。

从资源管理角度来处理，就是将其他高校的教师教育资源同步到本地。这种资源共享的方式必须存在两个前提：一是其他高校愿意向外提供本校的教师教育资源。而实际情况是，很多高校不愿意将资源存放在外校；二是如果某一资源需要被不同的高校共享，那么还要将此资源备份给不同的高校，这就需要建立相应的备份机制。当需要备份的高校很多时，工作量就比较大。

用户管理缺乏可操作性

用户可以在提供资源的学校建立相应的账号，并获取相应的权限。这种方法简单，但是可操作性并不强。当需要建立的账号较少时，可以采用这种方法；如果要批量建立账号，那么对数据库管理员来说，这是不小的工作量——一是数据量大，二是数据更新的频繁度比较大。

探索新型统一身份认证

由于现有的认证机制不能很好地解决校际教师教育资源共享的身份认证问题。因此，华东师范大学在参与“教育科研基础设施IPv6技术升级和应用示范”项目的背景下，设计出实现校际教师教育资源共享的统一身份认证架构。

具备三大特性

校际教师教育资源共享的统一身份认证应具有如下几个方面的特性：

1.单点登录

校际教师教育资源共享的统一身份认证只要求用户在主站点登录一次。一旦验证通过，用户就可以访问其他站点的资源，而不需要进行第二次登录。

2.联盟性

每个大学存储独立的数据库，建立身份联盟。

3.信任性

建立大学之间的信任关系，即一个大学在提供服务或应用时必须信任另一个大学的认证结果。为两种用户服务

在教师教育创新支持系统中，校际教师教育资源共享的统一身份认证的用户由两部分组成：

1.毕业生

在毕业时，6所师范院校的学生会得到母校赠送的一个唯一ID号，用户可以使用这个ID号码登录，比如华东师范大学某个学号为52081201001的学生在毕业后仍然可以使用这个号码，当他（她）登录6所学校中的任何一个登录页面时，只要输入52051201001@ecnu.edu.cn，就可以直接登录并使用这些资源。如果此用户第一次直接打开其他高校提供的登录页面，其他高校则需要将此用户提供的用户名与密码送到此用户的后缀所在的学校进行认证。如果认证通过，那么用户可以访问所有的资源，如果再转到其他的学校，那么就不需要再一次输入用户名与密码，从而实现用户的单点登录。

2.教师

已经进入工作岗位的教师可以从母校获取一个ID号码或从本省教育厅（委）获取一个惟一的ID号码。各个教育厅可以采用一个库用来存放所有的教师信息，也可以委托附近的高校来建立本省的用户数据库，例如，华东师范大学可以负责华东地区所有教师账户的维护。

便捷的认证流程

为了实现用户的漫游认证以及单点登录，需要建立一个密钥分发服务器。当用户在一个学校通过认证后，密钥分发服务器就会为此用户分发一个基于时间戳和用户密码的访问密钥（cookie），如果用户再访问其他高校的资源，其他高校就会将用户提供的密钥向密钥分发服务器进行验证，看其是否在生命期内，如果有效且在生命期内，就允许此用户访问资源。一旦用户关闭浏览器或注销，用户的cookie就会立即过期。

Client首先从Portal Server入口访问资源，输入ID@domain的用户名与密码后，系统会将用户名与密码发送到Identity Server Proxy进行认证，Identity Server Proxy收到相关的认证请求后，根据用户的domain将用户的认证信息发送到相应的domain域中的认证服务器（可以是LDAP Server、Radius Server或其他的服务器）进行认证。一旦认证通过，系统会自动向密钥分发服务器申请一个用户访问密钥。访问任何其他系统时，其他系统都会向密钥分发服务器验证用户访问密钥的合法性，如果合法，则不需要再次输入用户名与密码，从而实现单点登录访问，如图2所示。

目前，创新支持平台的架构已经搭建完毕，各个子系统正在建设。这个架构就是基于校际教师教育资源共享的统一身份认证平台，用户在访问教师教育网络资源时，资源提供者从安全等角度出发，需要对访问者的身份进行确认，根据身份认证情况，允许符合策略的用户使用资源而拒绝不能通过认证的用户。平台的特点是将认证模块放在用户端，也就是用户所在的高校或归属地，而不是资源提供者，资源提供者只需进行少量的验证工作，这样极大地减轻了资源提供者的负担，同时简化了访问程序，提高了访问资源的效率。