高校智慧身份管理平台的设计与应用研究*

陈红 陈晓军 王祎珺 王平 张瀚月

西南石油大学网络与信息化中心 成都 610500

1 高校身份平台的现状及问题

随着大数据、云计算、人工智能、物联网等新技术逐步广泛应用，经济社会各行业信息化步伐不断加快，社会整体信息化进程不断推进，互联网技术对教育的影响也日趋明显，可以有效促进教学管理、教务管理、学生管理等各领域各环节教育管理信息的互联互通[1]。

《教育信息化2.0 行动计划》指出，构建一体化的“互联网+教育”大平台，整合各级各类教育资源公共服务平台和支持系统，逐步实现资源平台、管理平台的互通、衔接与开放。推进学生核心素养与关键能力培养不仅是智慧校园建设与应用的立足点，也是显现智慧校园建设与应用成效的重要标志[2]。

为了解决在信息化建设的过程中面临的信息孤岛、信息安全隐患、资源无法共享等诸多难题，各大高校陆续投入部署统一身份认证平台，将校内各个信息系统接入统一身份认证平台，实现了用户单点登录全网通行、系统管理员统一授权控制管理[3]。但随着信息化建设的飞速发展，高校现阶段使用的身份平台在用户体验、产品功能方面已经远远不能满足实际需求，具体表现在以下几个方面。

1.1 缺乏人员多身份聚合能力

在高校中师生具有多种身份的情况普遍存在，在不同场景担任不同的角色，例如一个在读研究生，既担任学院的学生会主席，又担任学院的兼职辅导员；同时还存在一些身份不受所在部门机构管理的限制[4]，例如，某学院的教师，既担任该学院的专任教师又担任学院信息管理员。担任多种身份必然有多重职责，但学校现有系统均缺乏对多种身份的整合、关联、转换能力，多种身份可能存在多个ID，学校现有系统缺乏多身份ID 统一管理能力，用户多身份ID 间转换困难，导致用户体验差、人员信息管理混乱。

1.2 缺乏多组织机构的统一管理

高校的组织机构搭建、人员信息采集，通常由人事处来制定权威标准。一般情况下，人事系统构建的组织机构是实体行政机构，但学校还有各种其他类型的组织机构，比如党政机构、领导小组、委员会等各种工作组织或群体，各业务部门如果需要使用这些类型的组织机构，只能在业务系统上自行建立并自行管理，导致不同系统可能存在不同的组织架构，人员与组织关系也不一致。学校目前没有一个集中管理各种类型组织机构的平台，无法满足学校各业务系统的实际需求。

1.3 缺乏标准对接方式

学校信息中心管理着各业务部门的应用系统，为统一认证入口，各应用都需要与身份平台做对接，时间长了，对接应用增多，由于缺乏标准的对接方式，导致对接混乱，搞不清楚各应用系统调用了哪些API 接口，身份平台不敢轻易升级，担心升级后影响已对接的应用的正常运行。同时，数据流转不够灵活，人员变化不能及时同步给各应用，容易导致双方系统数据不一致，影响师生工作与生活，并且数据传输过程中存在安全隐患，给应用系统及数据的管理带来了很大不便。

1.4 缺乏多因子认证能力

学校门户网站目前使用的认证方式多为用户名密码，传统的用户名密码方式体验较差，还存在忘记密码的麻烦。仅靠用户名密码认证方式是极其不安全、不灵活的，单点登录各业务系统一通全通，存在着很大的安全隐患，单点认证成功后在终端访问任何系统都不需要密码，包括一些涉密的系统。认证方式单一，并且组合方式僵化，难以快速、有效满足各安全场景的需要。

2 平台整体架构设计

2.1 设计目标

随着各高校智慧校园的建设方案不断完善，传统智慧校园身份平台的架构模式和运维模式已经不足以支撑未来智慧校园发展的需求，为了更好地满足用户需求，服务广大师生，本研究旨在探究智慧身份平台的建设与应用。

2.1.1 构建全人员身份标准体系

对全校各种类型的人员进行统一管理，建立统一且弹性扩展的身份标准，为不同场景下的身份核验、身份授权提供精细化基础数据服务；构建人员终身身份体系，人人多身份，身份随人，从本科、研究生到留校任职人员、校友，创建师生学习、工作生涯的身份生涯标签库。

2.1.2 灵活扩展各种组织机构

构建多种组织机构、岗位体系、群组服务体系，帮助业务部门与应用系统直接使用、灵活扩展定义、组合所需的各种组织机构，创建区别于传统人事组织，用于科研团队、党政组织等管理的虚拟组织，促进业务部门与应用系统更加灵活运用于各类组织。

2.1.3 应用对接可视化管理

建立应用对接、API 接口调用的标准和流程，解决因应用对接太多、API 调用泛滥带来的信息安全问题，可以无顾虑地随时升级。支持多种标准认证协议对接，在身份平台的应用管理板块即可配置对接协议，各应用对接方式一目了然。同时，支持多源数据采集，集中管理维护组织信息、用户身份信息，并对外提供数据同步服务。实现多种对外数据同步机制，满足各种应用的使用场景需求。

2.1.4 实现认证方式多样化

传统的用户名密码的认证方式逐渐被淘汰，取而代之的是更安全、更可信、更便捷的认证方式，例如：短信验证码认证、人脸认证、微信认证、第三方授权中心认证等，认证方式的多样化极大程度地提升了用户的体验。同时可以根据不同的访问场景设置不同的认证策略，实现在不同业务场景下的不同认证方式。

2.1.5 满足生物识别应用需求

生物识别技术逐渐成熟，学校对生物识别的应用需求也将越来越多，如宿舍楼、学校大门等门禁系统都需要人脸或指纹等生物识别。生物身份也将成为智慧校园统一身份管理的一项重要内容，身份平台需要有支撑生物身份存储和使用的能力。

2.2 智慧身份管理平台整体架构

智慧身份管理平台遵循设计目标，打造可持续聚合多元身份的能力、灵活扩展的多因子认证能力、强大的多维授权能力，持续聚合身份数据，不断完善用户画像，是以用户为中心作为平台设计理念，高效支撑未来智慧校园发展的多方位身份服务平台。智慧身份管理平台整体架构如图1 所示。

2.2.1 身份管理

平台以身份管理为核心，建立人员身份标准管理模式，基于人员身份类型、生命状态、数据集字段三元标准管理用户数据，规范校内人员身份管理。在学校里，存在学生、教职工、家属、临时人员等多种人员身份类型，平台将根据用户身份类型，对权限进行分级[5]。每种身份对应若干状态，例如学生对应在读、毕业、结业等状态；教师对应在职、离职、退休等状态。人人都有多种身份ID，例如身份证号、学号、教工号、电话号等。在计算机系统中可以定义UID 串连各系统用户ID 信息，在生活中可以使用身份证、护照、人脸等实名ID 作为身份标识，平台将多种用户身份ID 聚合管理，多身份用户在使用校内系统时无须登出，多个账号，一个密码，一键切换身份，在使用过程中无感知，做到以人为本，身份聚合，身份随人。

2.2.2 组织管理

平台构建多组织体系模型，灵活定义多种类型组织结构、岗位体系，满足学校各业务部门的需求、各种维度的管理需求。组织架构是支撑学校各种业务正常运行流转的重要基础，所有的业务、管理、服务都脱离不了组织，其中包括学校通用的权威组织机构以及业务部门自定义的组织机构。学校以人事处制定的组织为官方权威组织机构，对于学校的科研团队、党政组织、领导小组等设置相应的虚拟组织机构，虚拟组织中可以对应独立的虚拟岗位。由信息中心标准化虚拟组织及虚拟岗位定义，统一组织语言，各虚拟组织牵头单位负责管理，有效支撑各平台、业务、流程的正常流转。

2.2.3 标签管理

平台支持从多维度定义用户身份，将用户数据标签化，多维度的身份标签能够让人员身份有更加清晰的定位、更加符合实际业务需求。平台可以对人员身份标签进行分类，例如：可以根据人员状态制定状态标签、根据要推送数据的应用系统制定应用标签、根据人员的岗位职务制定人员标签等。在每一类别中通过定义人员身份标签规则，自动维护符合规则的标签名单，同时也可以手动补充人员名单，为各个业务部门、业务系统推送多维度人员数据、提供多维度人员名单，支撑各项业务的开展。

2.2.4 生物特征管理

建设统一的人脸特征库及人脸对比平台，以人脸特征库为数据基础，以人脸识别技术为核心[6]，规范人脸特征值对接方式，面对不同生物特征，厂商需要考虑系统兼容性、开发可行性问题，建立标准的接口体系。学校信息中心统一存储学校师生的人脸照片，通过特征下发的方式将特征值同步给业务部门，实现学校师生人脸数据及特征值的统一管理。业务系统通过特征同步，接收更新的全量特征，实现特征的比对分析，终端不需要展现人脸图像，确保了用户生物特征的安全性。

2.2.5 授权管理

平台提供可适应全场景的授权管理能力，授权管理重点体现在对学校不同人员、不同角色进行授权。基于人员身份类型、组织架构、岗位体系、身份状态、身份标签构建多维度身份授权管理体系，对各类人员支持的业务系统进行统一授权，无须单独操作，实现对身份认证、应用访问、数据同步等各类资源的权限管理。同时，设立分级分权管理模式，按照不同等级的管理员类别划分不同的管理权限，信息中心拥有超级管理权限，可以根据各单位职责需求划分具体权限。

2.2.6 认证管理

平台支持灵活定义多因子认证策略，包括用户名密码、短信验证码、刷脸、飞书、微信等方式。身份认证的场景日益丰富，对于一些重要系统，支持二次或多次认证策略，可以自由搭配组合在不同层级和密级上的需要，从而提高系统认证的安全强度。新用户的初始密码为随机强密码，确保不被盗用，新生入学、新教师入职采用“校内核验加校外公安实名认证”的方式进行账号激活并设置高强度密码，多维度精准实名核身，确保人员身份信息准确，杜绝冒名顶替；同时，新用户自主完成线上修改密码，大幅降低了信息中心的工作量，提高办事效率。

2.3 平台性能

2.3.1 安全性

由于认证中心存储着全校人员信息，系统的数据可能涉及全社会各类人群，而且认证数据是核心的敏感数据，其泄露会造成重大的负面影响。特别是密码、身份证号、手机号会被人销售、恶意使用等。系统架构必须具备安全传送数据、安全存储数据、数据脱敏的能力与架构设计。

2.3.2 兼容性

学校中存在各种类型的业务系统，例如：教务系统、财务系统、人事系统、学工系统等。这些业务系统实现的方式以及建设厂家都是不同的，但需要与身份认证对接。身份认证中心需要考虑各业务系统获取用户信息的需求以及对接方式，为其提供身份服务，因此必须要考虑系统的兼容性。

2.3.3 并发弹性

校园中存在一些用户会集中访问的系统。例如选课系统，学生会在选课期间高并发访问；新生入学时，大量新生需要在身份平台进行账号激活，认证平台相应存在使用高峰以及低谷。系统设计时，除了考虑系统的并发，还需要考虑资源（CPU、MEM）的合理使用，系统架构必须具备弹性的高并发能力。

2.3.4 容量扩展

身份平台面向全校智慧校园建设，包含当下或未来的各种人员：学生、教职工、校友、家属等。随着每年毕业校友的保存、新生的加入，总体人数会不断增加，因此需要支持容量的水平扩展。

2.3.5 无感容灾

身份认证平台是学校所有业务认证的集中地，因此需要保证24 小时的稳定服务。系统架构必须具备变更影响范围最小化、升级终端用户无感的能力。在发生意外停止工作时，整个系统可以切换到另一处,可实现远程灾备的部署要求[7],保证系统的可用性。

3 平台的应用场景

3.1 实现全身份通达

身兼多重角色的师生可以在认证后直接切换身份角色，例如学生身份切换为助教身份，并传递给应用，应用随即切换配套权限服务，师生可以享受到使用多种ID 认证的便利，不论哪个ID 都能识别用户本人。管理与服务动作都可以统一指向人，而不是账号，真正做到身份随人，如遇到锁定某疑似攻击的学号，锁定的是该用户，如果他使用其他任一ID 认证，都可以统一锁定。

传统身份平台无法标识的身份，智慧身份管理平台可以通过身份标签定义并组合，如2022 年入学来自山西的党员学生。根据这种清晰的定位，可以快速找人、找组织，并为智慧校园建设所需的身份提供标准的数据。身份标签、组织关系、群组信息可以按照一定规则创建，当人员发生变动时，应用自动感知，无须管理员手动逐个调整。

3.2 融合物联设备

物联设备在后端通常也需要定位“人”的信息，如寝室的电卡、水卡需要绑定寝室或者是寝室内的责任人；设备管理也需要与设备负责人做相应的绑定。通过打通智慧身份管理平台与物联网平台后端的管理平台，我们就可以清楚地定位“物”与“人”的关系。

同时还可以和生物识别设备结合实现生物身份认证，如在食堂刷脸就餐、图书馆打卡等，极大程度地提升了智慧化校园的应用程度，更便捷地满足了师生的学习工作生活需求。

3.3 联动数据平台

数据平台与统一身份平台对接之后，可以将两种数据联动起来，实现基于身份特点的数据分析。如学生成绩数据分析，可以通过分析学生专业成绩判断学生擅长的学习方向，并提出针对个人的就业指导；教职工业务办理数据分析，可以通过分析教职工办理各项业务的频次和使用偏好，自动调整各项应用或业务入口的布局，提高用户的办事效率。

根据学校用户每天的业务数据、生活数据、行为数据，源源不断地生产每个人、群体、组织鲜活、丰富的身份标签，为教师、学生、家属、临时人员等提供精准教育、精准关怀、精准招聘、精准培养等服务。