教育電子身份認證服務體系建設中若干問題的思考

咸立亭

摘 要：本文從國家對信息安全的要求出發，為滿足教育行業身份認證服務的需求，在分析教育行業特點的基礎上，創新性地提出“二級簽發、三級服務”模式的教育電子身份認證服務體系，并開發出可滿足各種層次、各種規模，適合靈活部署與建設的相關系統。同時，描述了針對不同管理層次、不同學校建立教育電子身份認證服務系統的內容。

關鍵詞：身份認證 數字證書 認證服務

中圖分類號：TP393 文獻標識碼：A 文章編號：1673-8454（2009）07-0005-05

一、背景

1.國家對信息安全的要求

隨著我國國民經濟和社會信息化進程的全面加快，網絡、信息與信息系統的基礎性與全局性作用日益增強，國民經濟和社會發展對網絡、信息與信息系統的依賴也越來越大，網絡與信息系統自身存在的缺陷、脆弱性以及面臨的威脅，使信息系統的運行客觀上存在著潛在的風險。由此而產生的信息安全問題對國家安全的影響日益增加和突出，國家安全面臨新的挑戰。

黨中央、國務院高度重視信息安全工作，提出了“積極防御、綜合防范”的信息安全管理方針，明確了加強信息安全保障工作的總體要求和主要原則。為加強信息安全工作，國家相關部門發布了一系列的相關文件、政策和法規，制定了一系列的技術標準和規范。

《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）提出：要在五年內建設中國信息安全保障體系。國家發布了《計算機信息系統安全保護條例》、《信息安全等級保護管理辦法》等，并按《信息系統安全等級保護定級指南》確定信息系統的安全保護等級，明確提出5級等級保護：第一級自主性保護；第二級指導性保護；第三級監督性保護；第四級強制性保護；第五級專控性保護，并定義了每級應保護的范圍和內容。

通過上述工作，使得我國的信息安全工作逐步邁入法制化、規范化、標準化的軌道。

最近幾年，國家特別強調密碼技術在解決信息安全方面的重要性。只有采用密碼技術才能解決信息、信息系統的完整性、機密性、可用性、可控性和不可否認性等安全性問題，才能有效防止計算機系統與網絡本身安全方面的漏洞。使用密碼技術對信息及信息系統進行安全保護，既是解決信息安全最有效和最先進的技術，也是最經濟、最可靠的方式。因此，推動以密碼為核心，以身份認證、授權管理與責任認定為主要內容的密碼應用技術體系的建設，是保障信息資源安全的關鍵與基礎。

2.教育信息化發展的需要

教育信息化是國民經濟和社會信息化的重要組成部分，教育部一直十分重視教育信息化建設，取得了許多可喜的成果：中國教育和科研計算機網與中國教育衛星寬帶傳輸網覆蓋全國，互聯互通，初步形成了天地合一的現代遠程教育傳輸網絡，成為教育信息化的重要基礎設施和構建學習型社會的重要平臺；建設了各類教育信息化應用系統，并用于招生考試、學籍學歷管理、教學管理、科研管理、后勤財務管理等，初步建成了相關教育信息資源庫。

隨著教育信息化的快速發展，對信息及信息系統的安全性要求也越來越高。例如，隨著高等學校招生規模的不斷擴大，招生管理的網絡化、信息化已普及起來，如何保證招生考試信息在采集、生成、傳輸、存儲、處理以及共享與應用等各個環節的安全已成為制約招生考試管理信息化推廣應用的瓶頸。同時，黑客攻擊和病毒干擾逐年增加，網上錄取系統的安全不能得到有效保障。當前，許多重要信息與敏感信息，例如，教育公文、教育基礎資源數據等在網上傳輸時，沒有得到有效的安全保證，易被竊取、篡改與偽造，因此，為了進一步提升教育信息化的水平，必須加強教育信息、教育信息化應用系統的安全性，必須采用密碼技術，以解決教育重要信息資源的完整性與機密性，教育業務應用系統的可用性與可控性，以及操作的不可否認性。

3.建設教育行業電子身份認證服務體系的可行性

公鑰基礎設施（Public Key Infrastructure，簡稱PKI）是一種遵循既定標準和規范，采用密碼技術，為應用系統提供一整套安全服務基礎平臺，能夠為各類業務應用系統提供信息加密和數字簽名等密碼服務，以及所有必須的密鑰與證書管理服務。公鑰基礎設施就是能夠對公私鑰對進行管理、支持身份認證、機密性、完整性、可用性、可控性以及不可否認性服務的具有普適性的信息安全基礎設施。

將身份信息與其公鑰進行綁定，并由權威認證機構進行簽名的數字證書，是當前進行身份認證的首選安全技術。基于PKI技術，我國已經研發出許多數字證書認證系統，并在有些行業以及省、市等推廣應用。這些已建的證書認證體系，大多采用證書簽發與證書服務合一的集中式、樹型結構體系。這種認證體系的優點是安全強度高、設計與管理簡單，其層次與行政管理模式同構，授權體系與管理體系一致，容易在觀念上被認可和理解，但這種認證體系不適合分布式部署、靈活獨立部署的需要。

為了提高教育信息的整體安全水平，教育部教育管理信息中心組織有關單位，在國家密碼主管部門的大力指導和支持下，制定了《教育信息安全密碼應用統一技術與平臺》（以下簡稱密碼應用統一技術平臺），并獲得了國家密碼主管部門組織的權威專家評審通過。密碼應用統一技術平臺明確了教育電子身份認證服務體系（即證書簽發與服務體系）在整個教育信息化的建設與應用中所處的安全基礎性地位。

根據密碼應用統一技術平臺要求，結合教育行業的特點，研制開發了新型的教育電子身份認證服務體系，即創新性地提出了扁平結構的“二級簽發、三級服務”的簽發認證服務體系，奠定了教育電子身份認證服務體系建設與應用的基礎。

二、建設教育電子身份認證服務體系的原則

1.遵循國家信息安全相關法律政策原則

教育電子身份認證服務體系必須遵照《中華人民共和國電子簽名法》，以及遵守《國家商用密碼管理條例》，必須按照國家對信息安全、密碼管理等方面的要求進行建設，才能保障所設計和建設的教育電子身份認證服務系統所簽發的數字證書及其提供的證書服務具有法律保障，并保證其安全性。

2.遵循國家商用密碼管理標準規范原則

教育電子身份認證服務體系必須符合國家密碼管理與電子認證服務管理的相關技術標準與規范，例如，《證書認證系統密碼及相關安全技術規范》、《數字證書認證系統密碼協議規范》、《公鑰基礎設施數字證書格式》、《數字證書認證系統檢測規范》、《證書認證密鑰管理系統檢測規范》、《公鑰基礎設施在線證書狀態查詢協議》《公鑰基礎設施證書管理協議》等，以及PKCS、PKIX、LDAP、OCSP等國際標準。這樣，才能滿足證書統一認證，行業內統一服務的實際應用的需要。

3.滿足教育行業管理特殊性需求原則

教育行業管理體系既存在縱向管理，又存在交叉管理，既有行業的“垂直行政管理”和“松散業務管理”特色，又有“直接經營管理”的各類學校與教育機構，各學校的自主管理性很強。

具體而言，教育部對全國各省（市、自治區）的教育廳（教委、教育局）有業務指導與行政管理職能，對70余所部屬院校具有直接管理與業務指導職能，還對其他的教育機構（例如，培訓機構、考試管理機構等）行使行業管理等職能；各省（市、自治區）的教育廳（教委、教育局）對行政管轄范圍內的各地（市、州）教育局以及省屬院校具有業務指導和管理職能；各地（市、州）、縣教育局對本轄區的各中小學直接進行指導與管理。

根據教育行業管理體系的特點，教育電子身份認證服務系統既要能滿足教育行政管理的需要，也要能滿足學校自主管理的需要。

4.遵循統一技術平臺、靈活部署的原則

各級教育行政管理機構與各級各類學校的信息化建設要求不盡相同，對于身份認證服務系統在建設規模、安全等級要求、策略配置、設備配備等方面，發達地區和不發達地區、高等院校與中小學學校、部屬高等院校與其他普通高等院校，存在著較大的差異，對教育電子身份認證服務系統的需求也必然不同。因此，教育身份認證服務系統在設計上必須考慮能夠實施“統一平臺、靈活部署”，采用統一的技術平臺，根據各單位的實際需求，進行靈活部署。這樣，教育電子身份認證服務系統必須采用分布式證書認證服務體系，而不是集中式樹形結構的證書認證服務體系。

5.遵循系統分步實施、分步建設的原則

由于我國地區經濟發展不平衡的現狀，不同地區、不同管理機構與不同學校教育信息化的建設發展水平不盡相同，對教育電子身份認證服務的需求必然存在較大差異。因此，教育電子身份認證服務系統的建設須配合本地區、本單位的信息化建設進程，結合并滲透至各個信息化應用系統的安全保障體系中，才能充分發揮其信息安全保障的作用，確保投資效益。教育電子身份認證服務系統必須能滿足“分步實施，分步建設”的需要，不能一刀切。教育電子身份認證服務體系要能滿足“成熟一個、建設一個，并最終建設能覆蓋全行業的身份認證服務體系”的需要。

6.滿足不同層次規模學校需求的原則

我國的高等院校有部屬高等院校，也有省屬高等院校、市屬高等院校，還有經教育主管部門批準成立的民辦高等院校等，這些學校的辦學規模、擁有的資源、教育信息化建設水平均存在很大區別。

對于中小學校也存在類似情況，有省級重點中學，市級重點中學，也有偏遠山區的中小學校，這些學校的辦學規模、信息化建設水平差別更大。

因此，教育電子身份認證服務體系必須能夠滿足各級各類學校根據自身層次與規模，獨立建設教育電子身份認證服務系統的需要。

7.遵循服務申請便捷、認證安全的原則

建立教育電子身份認證服務系統的目的是為身份認證、授權管理等安全服務，因此，在設計教育電子身份認證服務系統時，必須考慮證書申請的方便性。為此，新型的教育電子身份認證服務系統提供在線證書申請、審核與簽發模式，同時支持在線申請信息提交，到身份認證服務中心簽發證書，也支持到身份認證服務中心注冊機構辦理證書申請等業務。同時，必須考慮證書服務與證書查詢的方便性，因此，證書認證路徑不能長，越短越好。為了證書服務的方便性，必須建立相應的證書服務體系，既要支持全國的證書服務，也要支持局部、區域性證書服務。這樣，才能適應教育行業的特點和需要。在國家密碼管理專家的支持下，教育部教育管理信息中心提出了“二級簽發、三層服務”證書認證服務體系，能滿足以上要求。

三、教育電子身份認證服務體系的體系結構

1.“二級簽發、三層服務”模式

（１）證書簽發模型

證書認證體系由兩個部分組成，其一為證書簽發體系，其二為證書服務體系。證書服務體系（含證書認證）利用證書簽發體系所簽發的證書為用戶提供證書服務。

根據教育行業的特點，教育證書認證系統按扁平結構的“二級簽發”模型設計，其結構圖如圖1所示。

圖1 教育證書認證體系模型

“二級簽發”的模型描述如下：

設CA₁為離線方式部署證書簽發系統，負責為各自獨立的二級認證機構CA₂₁、CA₂₂、……CA₂N簽發認證機構證書。由這些二級認證機構為所轄范圍內的用戶簽發用戶證書。注意，CA₂₁、CA₂₂、……CA₂N這些認證機構可以是各?。ㄊ?、自治區）教育廳（局），也可以是部屬高等院校，也可以是地（州、市）教育局或者省屬高等院校等。

首先，離線的認證機構根證書簽發系統（CA₁），必須生成自簽名的一級證書，利用該證書為二級認證機構簽發認證機構證書。例如，二級認證機構為湖南省教育廳（CA₂₂），那么湖南省教育廳要建立二級證書簽發認證服務體系，其認證機構證書必須由CA₁簽發；然后，湖南省教育廳的證書簽發系統所簽發的用戶證書、機構證書、設備證書必須由該認證機構證書進行簽發。

由此可見，湖南省教育廳所建立的簽發系統為用戶簽發證書是非常方便與快捷的。當然認證證書的有效性就變得十分簡單（這里從略）。

（２）證書服務模型

由教育證書認證體系可以看出，教育證書認證體系采用扁平結構，由一級證書認證系統和各自獨立的二級證書認證系統組成。通過一級證書認證系統為各級證書認證系統簽發認證機構證書，將這些獨立的二級認證機構所簽發的用戶證書聯系起來。

考慮到由各自獨立的二級證書認證系統所簽發的用戶證書，既要能為本認證機構管轄范圍內的用戶服務，也要能為上級機構所管轄范圍的用戶服務，直至能為全國范圍內的用戶服務。因此，其證書服務體系模型如圖2所示。

圖2 教育證書服務體系模型

這種證書服務模型包括三個層次：

１）全國教育電子身份認證服務中心

證書服務體系第一層是全國教育電子身份認證服務中心，該中心亦稱為一級教育電子身份認證服務中心。該中心必須建立教育證書服務系統，其作用是需要在全國范圍內進行證書服務的所有證書必須集中在該中心，包括所有二級簽發機構所簽發的證書。

證書服務包括證書獲取、證書查詢、證書驗證（有效期驗證、簽名驗證以及證書狀態檢驗）。

２）二級教育電子身份認證服務分中心

證書服務體系第二層包括行業性應用教育電子身份認證服務分中心、省級教育電子身份認證服務分中心與部屬院校教育電子身份認證服務分中心。該層的各分中心必須建立教育證書服務系統，其作用是需要在本級內進行證書服務的所有證書必須集中在該中心，包括該分中心所管轄的各認證機構所簽發的證書。

證書服務包括證書獲取、證書查詢、證書驗證（有效期驗證、簽名驗證以及證書狀態檢驗）。

３）三級教育電子身份認證服務分中心

證書服務體系第三層包括省級以下地區教育管理部門、各級各類學校（部屬院校除外）以及其他教育機構的教育電子身份認證服務分中心等。該層的各分中心也必須配置教育證書服務系統，其作用是需要在本級進行證書服務的證書必須集中在該中心，包括本分中心對應的二級簽發機構所簽發的證書。

證書服務包括證書獲取、證書查詢以及證書驗證（有效期驗證、簽名驗證以及證書狀態檢驗）。

由圖2不難看出，每個獨立的認證機構所簽發的證書，除為本認證機構管轄范圍內的用戶提供服務外，也要把所簽發的證書同步發送到省級教育電子身份認證服務分中心，直至全國教育電子身份認證服務中心。

在這種證書服務體系下，如果三級教育電子身份認證服務分中心所對應的二級教育電子身份認證服務分中心尚未建立教育證書服務系統，該三級教育電子身份認證服務分中心可將所簽發的證書同步發送到一級教育電子身份認證服務中心，由一級身份認證服務中心代管。待對應的二級教育電子身份認證服務分中心建立證書服務系統后，將證書由一級身份認證服務中心發送回二級教育電子身份認證服務分中心。

2.全國教育電子身份認證服務中心的建設

按照“二級簽發、三級服務”模式，為推進教育行業電子身份認證服務體系的建設，必須首先建設全國教育電子身份認證服務中心，即一級教育電子身份認證服務中心（以下簡稱為一級中心）。

一級中心的建設內容為：

（１）建設為二級證書簽發機構簽發認證機構證書的一級證書認證系統，該系統主要包括證書簽發系統與密鑰管理系統，對應于“二級簽發”模型中的第一級；

（２）建立一級教育電子身份認證系統，該系統主要包括證書簽發系統與密鑰管理系統。一級教育電子身份認證系統為個人、機構、設備簽發證書、管理證書、存儲證書、發布證書以及凍結證書、解凍證書、撤消證書、更新證書、歸檔證書等各種證書業務。管理與證書相關的密鑰生成、密鑰存儲、密鑰分發、密鑰更新、密鑰備份與恢復以及密鑰歸檔等密鑰管理業務，對應于“二級簽發”模型第二級；

（３）建立一級證書服務系統，為一級教育電子身份認證系統所簽發的證書提供證書服務，同時也可為全國各二級簽發機構所簽發且上傳到本服務中心的證書提供證書服務，對應于“三層服務”模型的第一層；

（４）建立一級教育電子身份認證服務中心的業務門戶網站，方便網上辦理個人證書、機構證書、設備證書的申請、審核和簽發，同時支持網上辦理其他證書業務，包括證書凍結、證書解凍、證書撤消、證書更新、證書查詢等；

（５）建立安全的數據傳輸系統，實現本中心與其他教育電子身份認證服務分中心之間的安全數據傳輸。

3.省級教育電子身份認證服務中心的建設

各省（市、自治區）教育廳（局、教委）可根據實際需求建設二級教育電子身份認證服務分中心（以下簡稱省級分中心），其建設內容主要包括：

（１）建立二級教育電子身份認證服務系統，該系統主要包括證書簽發系統與密鑰管理系統等。該系統可為管轄范圍內的個人、機構、設備簽發證書、管理證書、存儲證書、發布證書、凍結證書、解凍證書、撤消證書、更新證書、歸檔證書等各種證書業務。管理與證書相關的密鑰生成、密鑰存儲、密鑰分發、密鑰更新、密鑰備份與恢復，以及密鑰歸檔等密鑰管理業務。對應于“二級簽發”模型的第二級；

（２）建立二級證書服務系統，為該級所簽發的證書提供證書服務，同時也可為本省（市、自治區）管轄范圍內的其他二級簽發機構所簽發且上傳到本服務分中心的證書提供證書服務，并將本分中心所有證書（包括管轄范圍內其他二級認證機構簽發的證書）同步發送到一級中心。對應于“三層服務”模型的第二層；

（３）建立教育電子身份認證服務分中心的門戶網站，實現網上辦理個人證書、機構證書、設備證書的申請、審核與簽發，同時支持網上辦理證書其他業務，包括證書凍結、證書解凍、證書撤消、證書更新、證書查詢、證書下載等證書業務。

（４）建立安全數據傳輸系統，實現本分中心與一級中心之間，本分中心與下級分中心之間的安全數據傳輸。

4.部屬高等學校電子身份認證服務分中心的建設

部屬高等學?？筛鶕嶋H需求建立二級教育電子身份認證服務中心，其建設內容為：

（１）根據學校規模，可選擇適合要求的二級教育電子身份認證服務系統，該系統主要包括證書簽發系統與密鑰管理系統。該系統可為學校個人、機構、設備簽發證書、管理證書、存儲證書、發布證書，以及凍結證書、解凍證書、撤消證書、更新證書、歸檔證書等各種證書業務。管理與證書相關的密鑰生成、密鑰存儲、密鑰分發、密鑰更新、密鑰備份與恢復以及密鑰歸檔等密鑰管理業務。對應于“二級簽發”模型的第二級；

（２）建立二級證書服務系統，為學校提供證書服務。同時，要求把所簽發的證書，同步發送到一級教育電子身份認證服務中心。對應于“三層服務”模型的第二層；

（３）建立教育電子身份認證服務分中心的門戶網站，由該門戶提供網上辦理個人證書、機構證書、設備證書的申請、審核與簽發，同時提供網上辦理其他證書業務，包括證書凍結、證書解凍、證書撤消、證書更新、證書查詢、證書下載等證書業務；

（４）建立數據安全傳輸系統，實現本分中心與一級中心之間的數據安全傳輸。

5.其他教育管理部門（學校）教育電子身份認證服務分中心的建設

其他教育管理部門或學校可根據本地區、本單位的實際需要建設教育電子身份認證服務分中心，其建設內容包括：

（１）根據本地區、本單位（學校）管轄范圍及規模，建立能滿足要求的二級教育電子身份認證服務系統，該系統主要包括證書簽發系統與密鑰管理系統。該系統可為管轄范圍內的個人、機構、設備簽發證書，管理證書、存儲證書、發布證書以及凍結證書、解凍證書、撤消證書、更新證書、歸檔證書等各種證書業務。管理與證書相關的密鑰生成、密鑰存儲、密鑰分發、密鑰更新、密鑰備份與恢復，以及密鑰歸檔等密鑰管理業務。對應于“二級簽發”模型的第二級；

（２）建立三級證書服務系統，為管轄范圍內的證書提供證書服務。同時要求將所簽發的證書，同步上傳到對應的省級分中心，對應于“三層服務”模型的第三層；

（３）建立教育電子身份認證服務分中心門戶網站，由該門戶提供網上辦理個人證書、機構證書、設備證書的申請、審核與簽發，同時提供網上辦理證書凍結、證書解凍、證書撤消、證書更新、證書查詢、證書下載等證書業務；

（４）建立數據安全傳輸系統，實現本分中心與省級分中心之間的數據安全傳輸。

四、結論

根據國家對信息安全的要求，結合教育行業信息化的具體情況，采用PKI技術，創新性地研制開發了扁平結構的“二級簽發、三層服務”模式的教育電子身份認證服務體系。根據管理范圍、規模，采用統一的教育電子身份認證服務系統技術平臺，在建設部署上可實現成熟一個，建設一個，適用于教育行業“靈活分布式部署，并最終形成行業統一的電子身份認證服務體系”的建設要求，可滿足教育行業的需要。