打造可信身份認證體系，提升教育應用服務能力

李文晶 任劍洪 徐麗娜

摘要：本文依托大數據和人工智能等技術，以身份認證核驗為牽引，通過建設“四個一”，即一個教育系統身份基礎數據庫、一個終身學習賬號、一個教育身份中臺、一個密碼應用綜合管理服務平臺，構建覆蓋全省教育系統的可信身份認證體系。實踐表明，可信身份認證體系的建設可以解決各類教育應用賬號管理混亂，以及各類跨校和跨領域應用的身份識別問題，促進跨地區、跨部門、跨層級教育資源共享以及大數據匯聚分析，助推辦好人民滿意的教育。

關鍵詞：可信身份認證；身份基礎數據庫；資源共享；數據治理

中圖分類號：G434? 文獻標識碼：A? 論文編號：1674-2117（2024）02-0088-05

建設背景

中央網絡安全和信息化委員會印發的《“十四五”國家信息化規劃》提出“優化全國一體化政務服務平臺服務水平，完善統一身份認證、電子證照等共性支撐體系”?！吨袊逃F代化2035》提出“鼓勵基于大數據分析，制定符合學生發展需求的個性化培養方案”?！督逃筷P于加強新時代教育管理信息化工作的通知》（教科信函﹝2021﹞13號）提出“推動統一用戶管理，實現基于實名身份認證的集中授權和單點登錄”。教育部《高等學校數字校園建設規范（試行）》明確提出針對教師、學生等用戶群體建立統一身份管理服務。信息系統安全等級保護2.0國家標準中也新增了“應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現”等要求。

2022年4月，《江西省“十四五”教育事業發展規劃》明確提出：推進教育與現代信息技術深度融合，加快教育治理體系和治理能力現代化；加強終身教育平臺建設，推動新技術賦能終身學習，完善終身學習推進機制，建立健全終身學習成果積累、認證、轉換機制，推進學習系統管理平臺和學分銀行研發建設，加快建成江西省終身學習系統。而教育治理現代化急需建立以數據驅動為核心的網絡化、數字化、智能化的全業務、全流程教育治理體系，實現治理模式向“數治”轉變，提升教育治理效能。

問題分析

近年來，江西省教育信息化不斷發展，數字信息化技術給傳統教育行業注入了活力，帶來了發展機遇。全省基本建成覆蓋基礎教育、職業教育、高等教育和繼續教育的數字教育資源公共服務體系，讓優質的教育資源惠及全省每一位師生，并建設了? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?學生管理、教師管理、教育督導、資助管理、招考管理等業務系統，使教育管理信息化水平得到顯著提升。但在取得成績的同時，也逐步暴露出了一些問題。

一是每個系統都建立獨立的一套用戶身份管理認證體系，導致功能重復建設，資源浪費，數據治理難度增大；

二是隨著系統的增多，賬號管理成本加大，用戶體驗也越來越差；

三是教師、學生等身份信息在各類業務系統中存在差異，特別是多重身份的身份認證難，造成混淆；

四是傳統的系統建設方式導致“一數一源”難以保障，數據質量不高，師生用戶身份標識不統一，各業務系統數據難以歸集匯總、關聯分析，以及數據共享。

建設內容

江西省現有各級各類學校2.38萬所，在校生1123.27萬人，教職工82.59萬人。為解決各類教育應用賬號管理混亂，以及各類跨校和跨領域應用的身份識別問題，促進跨地區、跨部門、跨層級教育資源共享以及大數據匯聚分析，江西省通過建設“四個一”，即一個教育系統身份基礎數據庫、一個終身學習賬號、一個教育身份中臺、一個密碼應用綜合管理服務平臺，構建了覆蓋全省教育系統的可信身份認證體系。身份認證體系架構如圖1所示。

1.教育系統身份基礎數據庫

利用江西省教育廳數據治理平臺的數據采集、數據存儲、數據管控、數據處理、數據交換共享等功能，形成教育系統身份基礎數據庫。

①組織保障。根據《江西省教育廳數據管理辦法（暫行）》搭建了一套獨立完整的關于數據資產管理的組織架構，并明確了各部門在數據治理中的角色和職責。

②數據標準。依據教育部《教育信息化行業標準》，編制發布了《江西省教育廳數據標準規范》，建立了一套由內容標準、技術規范以及使用流程共同組成的教育數據標準體系，其中涉及學生、教師、學校、科研、教學、資產、財務、辦公等10個數據子集。

③數據采集處理。利用數據治理平臺中專業的ETL工具完成了江西省學前教育管理信息系統、中小學生學籍信息管理系統、中職教育學生學籍管理系統、教師管理信息系統等數據庫數據的提取、轉換和加載。目前，每日通過數據治理平臺采集學生、教師、機構等各類數據，通過數據處理功能，按照數據標準進行數據清洗、轉換、裝載、封裝，從而生成教育系統身份基礎數據庫，每日數據處理量為1000萬左右。

④數據質量管理。根據數據質量稽核目標和策略要求，分類制訂了數據質量稽核規則（如完整性、一致性、有效性等），通過數據質量管理功能，實時監控身份基礎數據庫新增或存量數據，及時發現有問題的數據。針對學生、教師、學?；A數據進行重點排查并形成數據質量報告，報告中指明了數據缺失、數據異常、數據錯誤等各類問題并附有詳細列表，根據《江西省教育廳數據管理辦法（暫行）》，各業務部門對問題數據進行進一步的治理。

⑤數據回流。通過教育身份中臺匯聚的各類教育數據，會回流至數據治理平臺，通過治理后，進一步充實教育系統各類基礎數據庫。數據治理平臺架構如圖2所示。

2.終身學習賬號

（1）設計原則

①保護個人隱私，賬號去規則。身份證號屬于個人隱私，包含了很多個人信息。以身份證號作為賬號，在互聯網上使用，存在很大的安全風險，為此采用無序的數字作為江西省終身學習賬號（以下簡稱“學習號”）。

②防止“學習號”位數過長，將數字降到最低。賬號主要以江西省人群為主，江西省近幾年每年出生人數不到百萬，因此7位能滿足一生一號的需求。考慮到外省、教師、繼續教育學生以及老年大學學生等各類人群，加上個人比較容易記住省份代碼（2位）和出生年份（4位），“學習號”由省份代碼（2位）+出生年份（4位）+隨機數（7位），共計13位組成。

（2）展現形態與應用

基于教育系統身份基礎數據庫，為每一位師生生成一個“學習號”，其展現形態為一串唯一的數字、一個二維碼或一個條形碼?！皩W習號”可作為師生在教育系統內的身份證明，在需要驗證身份的場合，通過“學習號”即可完成身份驗證。

3.教育身份中臺

教育身份中臺主要由中臺數據中心、身份認證中心、開放平臺、運營治理后臺、管理后臺等組成。教育身份中臺總體架構如圖3所示。

（1）中臺數據中心

以教育系統身份基礎數據庫為基礎，打造全省統一的學生、教師、公眾等用戶身份統一的身份數據中心，用戶身份的增加、刪除、修改等操作均通過中臺數據中心實現，保證了教師、學生、公眾等用戶身份的唯一性，同時，用戶身份數據與微信、支付寶、釘釘、學習號關聯綁定，用戶身份的變更需要通過手機號或郵箱等其他方式并結合身份證進行雙重實名認證，保證用戶信息的安全性。

（2）身份認證中心

身份認證中心是教育身份中臺服務的核心功能，身份認證中心將用戶體系與各系統賬戶關聯，通過發行加密身份憑證到不同應用的服務端進行認證，實現賬號體系統一、身份認證及單點登錄。一鍵完成數據對接及統一身份認證。

①單點登錄，用戶只需要登錄一次就可以訪問所有相互信任的應用系統，可設置靈活的單點登錄方式，包含但不限于“學習號”、微信掃碼、支付寶掃碼、釘釘認證、短信動態碼、人臉認證、賬號綁定等方式，管理員可自行設定認證方式啟用或禁用；

②實現用戶自定義選擇通過“學習號”、手機號、郵箱、身份證號、護照號，作為登錄時可用作用戶名的數據項，實現多選和任意組合；

③支持常用的單點登錄（SSO）協議，包括CAS、SAML、OAuth、OpenID等，已完成江西省初/高中綜合素質評價信息管理系統、江西省教育發布APP、江西省職業信息開放化服務平臺等教育應用對接；

④支持多種操作系統的跨平臺部署，包括Unix、Linux、Windows、Mac OS，支持運行于各種實體或虛擬的平臺上，不對特定硬件有依賴；

⑤實現自由配置業務系統的單點登錄，用戶可自行選擇業務系統是否采用單點登錄進行免認證登錄；

⑥提供靈活的多因子認證，包含但不限于微信認證、手機短信、支付寶認證等任一組合方式，系統原生支持本項功能，無需對應多因子認證業務系統做任何修改定制化開發即可實現。

（3）開放平臺

開放平臺是第三方業務系統與教育身份中臺交互的入口，通過API接口對接全省各類教育應用，為全省業務系統提供統一的身份認證、用戶組織結構、第三方單點登錄、集中授權以及用戶日志審計等服務。同時，支持主流的OAuth2.0身份認證協議，也可以與微信、支付寶等身份源打通，獲取穩定可靠的數據源，做到統一的身份權限管理和人員組織架構管理。

（4）運營治理后臺

通過建立數據統計模型，根據地市、學校、用戶身份、數據來源、數據增長情況等不同維度，將教育身份中臺中所有用戶信息以統計視圖形式展示，并為每位用戶形成一個用戶畫像。

（5）管理后臺

實現對開放平臺提交的資質認證及應用入駐進行審批，對用戶數據的調取、修改、應用審批、用戶登錄及操作日志進行記錄，并實時監控教育身份中臺服務器的運行情況，全方位保證教育身份中臺的正常運行與數據安全。

4.密碼應用綜合管理服務平臺

按照“集中建設、統一服務”的核心理念，遵從“密碼基礎資源化、密碼管理一體化、密碼服務統一化”的技術架構，整合國產密碼技術和服務，在完全自主可控、統一管理前提下，建設密碼應用綜合管理服務平臺（以下簡稱“密碼平臺”）。密碼平臺賦能教育身份中臺，支撐數字證書高安全性認證方式，以及數據加密傳輸等。

①支撐教育身份中臺對用戶基于數字證書的高安全性身份認證、通信鏈路保護、單點登錄、口令代填、訪問控制等功能；

②利用密碼平臺的數字簽名驗簽和時間戳等服務，實現對教育身份中臺數據傳輸保密性、完整性和對關鍵業務操作抗抵賴進行安全防護，包括提供數據簽名功能，實現身份驗證、數據完整性保護及行為的抗抵賴性；支持對用戶、系統、APK等簽名；提供數據信封功能，實現數據私密性保護等。

③通過軟認證方式，實現移動應用用戶身份可信，數據傳輸保密性、完整性、防抵賴，達到支持移動應用辦公場景的目的，實現移動數字證書對數據進行數字簽名、加解密，以及身份認證。

應用場景與成效

1.多樣的身份核驗，助力線上線下身份識別

利用“學習號”實現基于實名身份認證的集中授權，解決各類教育應用賬號管理混亂問題，為不同場景下的身份核驗、身份授權提供精細化服務。目前，“學習號”已與江西省校園防疫、智慧作業、精品課程、初高中綜合素質評價等線上應用打通，解決學生1185.7萬人、教師63.2萬人、公眾197.7萬人線上身份識別問題，實現“一號登錄”。利用“學習號”生成一張終身學習電子卡，作為師生和社會公眾在教育系統內的身份證明，在需要驗證身份的場合，通過手機刷碼即可完成身份驗證，解決各類跨校和跨領域線下應用的身份識別問題，實現“一卡通辦”。依托終身學習電子卡身份核驗功能，部分高校圖書館正逐步有序對外開放館藏圖書資源。

2.精準的身份識別，推動各類教育資源共享

利用可信身份認證體系，支撐江西省高校大學生進行跨校選課，推動各類教育資源在教育系統內共享；支撐省職業院校開放體育場館，推動各類教育資源面向社會有序開放；對接各紅色教育基地和旅游景點，推動將社會資源引入教育系統為師生提供更好的服務；逐步推動構建教育資源共建共治共享的生態體系。

3.權威的數據共享，促進數據“一數一源”

通過對省級重要系統的數據治理，形成權威的教育系統身份基礎數據庫。根據其他業務系統需求，按照最小化原則，將部分教育系統身份基礎數據庫中的數據通過數據交換平臺或接口，共享給其他業務系統進行數據的初始化設置或支撐業務服務。通過數據共享打通數據孤島，減少數據的重復采集，提升數據應用效能，促進數據“一數一源”。

4.海量的數據匯聚，創新數據應用服務水平

通過教育身份中臺，匯聚接入的各應用訪問使用數據。通過“學習號”，將各業務系統數據進行關聯匯聚，形成學生、教師、機構及辦學條件等主題數據庫。推進教育數據從單一領域向全領域的數據匯聚，解決各類數據割裂問題，形成數據統一分析基礎，具備多源教育數據從接入、存儲、加工到分析的完整能力。精準繪制的用戶畫像，支撐提供個性化教育服務；海量的數據分析建模，為教育評價等改革任務提供數據支撐，促進建立“用數據說話、用數據決策、用數據管理、用數據創新”的工作模式，推動教育高質量發展。

結語

通過可信身份認證體系的建立解決了各類教育應用賬號管理混亂以及各類跨校和跨領域應用的身份識別問題，促進了跨地區、跨部門、跨層級教育資源共享以及大數據匯聚分析。下一步，江西省將在可信身份認證體系的基礎上，探索更多的教育資源共享，為教育系統各類應用提供便利的服務，助力教育管理信息化水平邁向新的臺階。

參考文獻：

[1]郝久月，楊林，李頔，等.關于區塊鏈支撐網絡可信身份發展的研究與探索[J].警察技術，2023（01）：5.

[2]李寶.基于用戶畫像的高校圖書館個性化資源推薦服務設計[J].新世紀圖書館，2021（04）：8.

[3]巫莉莉，張波.高校數據治理中提升數據質量的方法研究[J].重慶理工大學學報：自然科學，2019，33（08）：149-156.

[4]姚峰，程筱箐.數據中臺架構在智慧校園建設中的應用與研究——以南京財經高等職業技術學校智慧校園建設為例[J].數字通信世界，2022（12）：5.

[5]張東靖.基于知識服務視角下智慧圖書館服務的情境建構策略[J].遵義師范學院學報，2022，24（06）：4.

[6]羅云.5G技術背景下智慧圖書館知識服務延伸效用及體系構建[J].河南圖書館學刊，2021，41（04）：123-125+131.

[7]石玲玲，李敬兆.智慧校園建設中安全數據治理策略研究及應用[J].電腦知識與技術：學術版，2022，18（35）：3.

[8]曹琳.智慧校園建設中的高校檔案館數據治理路徑研究[J].浙江檔案，2020（05）：3.

[9]翟雪松，楚肖燕，張紫徽，等.基于中臺架構的教育信息化數字治理研究[J].電化教育研究，2021，42（06）：7.

[10]劉靜怡.數據中臺三層構架在高校的優化與實踐[J].網絡安全技術與應用，2023（03）：3.

作者簡介：李文晶（1991.11—），女，江西撫州人，高級工程師，主要從事教育信息化工作；任劍洪（1980.2—），女，江西南昌人，高級工程師，主要從事網絡安全工作；徐麗娜（1983.3—），女，江西南昌人，高級工程師，主要從事教育信息化工作。

本文系江西省教育廳科學技術研究項目“基于微服務的身份中臺建設與應用”（課題編號：GJJ2210710）研究成果。