一种用于教育机构的云与云之间的互操作平台及方法

摘要

本发明公开了一种用于教育机构的云与云之间的互操作平台及方法，其包括用户互信与认证系统和资源共享与数据交换系统，用户互信与认证系统实现了各个学校或教育部门云的用户可以跨安全域进行互相访问，资源共享与数据交换系统为各个学校或教育部门云之间的资源共享和数据交换提供了支持据。通过在每个云平台布置对应的数据中心门户，然后用户可以通过数据中心门户进行访问互操作系统内的任何一个云平台，建立了跨域的用户互信与认证机制，实现了数字校园云之间用户的交换。

说明书

技术领域

本发明涉及教育云计算领域，尤其涉及一种用于教育机构云与云之间的互操作平台及方法。

背景技术

云计算包括私有云(Privatecloud)、公有云(publiccloud)、混合云(Hybridcloud)三种部署模式。在教育领域，区域教育局会建立区域教育公有云，学校会建立私有云，实际应用中，这些云之间需要互通与互操作。而各级教育公有云与学校私有云，在实现技术上的不同，将导致不同学校的数字校园云以及上级教育部门所建立的公有云与下级单位的私有云之间，难以实现互通。

事实上，教育云IaaS层之外的互操作有两个关键。一是，不同区域、学校的用户能够在授权下，互相访问或访问公共平台。二是，不同类型和不同级别的教育云能够进行数据的共享和交换。但各个学校或教育部门云的用户信息是独立管理与独立认证的，相互间属于不同的安全域，无法完成数据的交换与共享。因此，应用系统间不能够跨安全域互访。

因此，现有技术还有待于改进和发展。

发明内容

鉴于上述现有技术的不足，本发明的目的在于提供一种用于教育机构的云与云之间的互操作平台及方法，旨在解决教育领域内云平台与云平台之间进行用户认证与流畅的数据交换问题。

本发明的技术方案如下：

一种用于教育机构的云与云之间的互操作平台——教育云互操作平台(ECIP,EducationCloudInteroperationPlatform)，其包括用户互信与认证系统和资源共享与数据交换系统。其中，用户互信与认证系统实现了各个学校或教育部门云的用户可以跨安全域进行互相访问，资源共享与数据交换系统为各个学校或教育部门云之间的资源共享和数据交换提供了支持数据。

所述的互操作平台，其中，上述用户互信与认证系统结合SAML标准和Shibboleth引擎，Shibboleth有三个主要的部分：身份提供商(IDP，identityprovider)、服务提供商(SP，serviceprovider)以及联合认证中心(即DiscoverService)，通过在顶级机构部署DiscoverService，将所有的单点认证系统联系起来，形成一个互信认证体系。

所述的互操作平台，其中资源共享与数据交换系统包括数据交换模块与资源共享模块，能进行上下级、同级云平台之间的共享与交换，同时也能够支持云平台内部的共享与交换。

所述的互操作平台，其中，资源共享模块包括资源目录服务单元、资源共享服务单元、资源管理服务单元以及统一存储单元；

资源目录服务单元用于存储数据中心门户的全部资源的目录信息，查询时辅助数据中心门户定位资源存储的位置；

资源共享服务单元用于对外提供资源的数据信息，并支持内部资源和外部资源的透明访问，数据中心门户能自动代理用户完成对外部资源的访问请求；

资源管理服务单元用于负责数据中心门户资源的编目、发布、审核流程管理，使静态的资源在一定流程下能被访问；

统一存储单元用于集中存储数据中心门户资源。

所述的互操作平台，其中，数据交换模块包括元数据管理服务单元、数据同步服务单元、数据路由服务单元以及数据加密与压缩服务单元。

元数据管理服务单元用于定义交换数据的数据结构、约束以及数据分布位置，并进行配置与管理；

数据同步服务单元用于同步系统中业务数据，是数据交换平台的核心功能；

数据路由服务单元用于根据交换数据的路由信息，将数据发送到不同的目标数据库；外部数据中心门户根据数据路由信息，获取自己有权访问的数据；

数据加密与压缩服务单元用于通过加密或压缩分包，使XML数据、文本文件、多媒体附件打包成统一的格式，通过数据交换模块传输。

一种使用所述互操作平台的互通方法，其包括以下步骤：

部署在教育云中的服务提供商SP会对调用方进行认证，若认证成功，则调用方可以直接访问提供方的共享资源或与其进行数据交换；若调用方认证失败，则访问教育云对应的DiscoverService，选择机构进入对应的身份提供商IDP；IDP对调用方进行身份验证，若认证成功，则生成认证信息，并将认证信息返回，若认证失败，则重定向到对应的认证页面；

互信认证成功后，教育云之间就即可进行数据交换或访问共享资源。当访问共享资源时，教育云中的资源目录服务单元会查询资源目录，定位资源位置，然后即可访问共享资源。当进行数据交换时，教育云中的元数据管理服务查询到数据分布位置，然后对数据进行加密以及压缩，接着发送数据，最后根据路由信息传输到数据调用方，调用方接收数据并进行解密以及解压处理。

本发明提供的一种用于教育机构的云与云之间的互操作平台及方法，通过部署该教育云互操作平台，用户可以通过该平台访问加入互操作平台的任意教育云资源，建立了跨域的用户互信与认证机制，实现了教育云的数据交换与资源共享。

附图说明：

图1为本发明中教育云互操作平台的结构示意图；

图2为本发明中资源共享与数据交换系统的结构示意图；

图3为本发明中互信认证的流程示意图；

图4为本发明中访问共享资源的流程示意图；

图5为本发明中数据交换的流程示意图。

具体实施方式

本发明提供了一种用于教育机构的云与云之间的互操作平台及方法，为使本发明的目的、技术方案及效果更加清楚、明确，以下对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明提供了一种用于教育机构的云与云之间的互操作平台——教育云互操作平台1，如图1所示的，其包括用户互信与认证系统2和资源共享与数据交换系统3。其中，资源共享与数据交换系统3包括资源共享模块5和数据交换模块6。加入互操作平台的教育云平台通过Shibboleth技术形成一个认证联盟，认证联盟内的任何一个用户都能通过认证联盟认证后获取对应云平台的数据。

更进一步的，如图2所示的，数据交换模块6包括元数据管理服务单元7、数据同步服务单元8、数据路由服务单元9以及数据加密与压缩服务单元10；

元数据管理服务单元7用于定义交换数据的数据结构、约束以及数据分布位置，并进行配置与管理；

数据同步服务单元8用于同步系统中业务数据，是数据交换平台的核心功能；

数据路由服务单元9用于根据交换数据的路由信息，将数据发送到不同的目标数据库；外部数据中心门户根据数据路由信息，获取自己有权访问的数据；

数据加密与压缩服务单元10用于通过加密或压缩分包，使XML数据、文本文件、多媒体附件打包成统一的格式，通过数据交换模块传输。

资源共享模块5包括资源目录服务单元11、资源共享服务单元12、资源管理服务单元13以及统一存储单元15；

资源目录服务单元11用于存储数据中心门户的全部资源的目录信息，查询时辅助数据中心门户定位资源存储的位置；

资源共享服务单元12用于对外提供资源的数据信息，并支持内部资源和外部资源的透明访问，数据中心门户能自动代理用户完成对外部资源的访问请求；

资源管理服务单元13用于负责数据中心门户资源的编目、发布、审核流程管理，使静态的资源在一定流程下能被访问；

统一存储单元15用于集中存储数据中心门户资源。

而且上述资源共享与数据交换系统3能进行上下级、同级云平台之间的共享与交换，同时也能够支持云平台内部的共享与交换。

本发明还提供了一种使用所述互操作平台的互通方法，以教育云A与教育云B进行互操作为例，教育云A访问教育云B中的共享资源或与其进行数据交换，教育云A作为调用方，教育云B作为提供方，其步骤如下：

部署在B中的服务提供商SP对调用方进行认证，若认证成功，则调用方可以直接访问提供方的共享资源或与其进行数据交换；若调用方认证失败，则访问教育云B对应的DiscoverService，选择机构进入对应的身份提供商IDP；IDP对调用方进行身份验证，若认证成功，则生成认证信息，并将认证信息返回，若认证失败，则重定向到对应的认证页面。

互信认证成功后，教育云A与教育云B之间就可以进行数据交换或访问共享资源；当访问共享资源时，教育云B中的资源目录服务单元会查询资源目录，定位资源位置，然后教育云A即可访问共享资源；当进行数据交换时，教育云B中的元数据管理服务查询到数据分布位置，然后对数据进行加密以及压缩，接着发送数据，最后根据路由信息传输到数据调用方，调用方接收数据并进行解密以及解压处理。

应当理解的是，本发明的应用不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。