教育电子身份认证服务体系建设中若干问题的思考

咸立亭

摘 要：本文从国家对信息安全的要求出发，为满足教育行业身份认证服务的需求，在分析教育行业特点的基础上，创新性地提出“二级签发、三级服务”模式的教育电子身份认证服务体系，并开发出可满足各种层次、各种规模，适合灵活部署与建设的相关系统。同时，描述了针对不同管理层次、不同学校建立教育电子身份认证服务系统的内容。

关键词：身份认证 数字证书 认证服务

中图分类号：TP393 文献标识码：A 文章编号：1673-8454（2009）07-0005-05

一、背景

1.国家对信息安全的要求

随着我国国民经济和社会信息化进程的全面加快，网络、信息与信息系统的基础性与全局性作用日益增强，国民经济和社会发展对网络、信息与信息系统的依赖也越来越大，网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统的运行客观上存在着潜在的风险。由此而产生的信息安全问题对国家安全的影响日益增加和突出，国家安全面临新的挑战。

党中央、国务院高度重视信息安全工作，提出了“积极防御、综合防范”的信息安全管理方针，明确了加强信息安全保障工作的总体要求和主要原则。为加强信息安全工作，国家相关部门发布了一系列的相关文件、政策和法规，制定了一系列的技术标准和规范。

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）提出：要在五年内建设中国信息安全保障体系。国家发布了《计算机信息系统安全保护条例》、《信息安全等级保护管理办法》等，并按《信息系统安全等级保护定级指南》确定信息系统的安全保护等级，明确提出5级等级保护：第一级自主性保护；第二级指导性保护；第三级监督性保护；第四级强制性保护；第五级专控性保护，并定义了每级应保护的范围和内容。

通过上述工作，使得我国的信息安全工作逐步迈入法制化、规范化、标准化的轨道。

最近几年，国家特别强调密码技术在解决信息安全方面的重要性。只有采用密码技术才能解决信息、信息系统的完整性、机密性、可用性、可控性和不可否认性等安全性问题，才能有效防止计算机系统与网络本身安全方面的漏洞。使用密码技术对信息及信息系统进行安全保护，既是解决信息安全最有效和最先进的技术，也是最经济、最可靠的方式。因此，推动以密码为核心，以身份认证、授权管理与责任认定为主要内容的密码应用技术体系的建设，是保障信息资源安全的关键与基础。

2.教育信息化发展的需要

教育信息化是国民经济和社会信息化的重要组成部分，教育部一直十分重视教育信息化建设，取得了许多可喜的成果：中国教育和科研计算机网与中国教育卫星宽带传输网覆盖全国，互联互通，初步形成了天地合一的现代远程教育传输网络，成为教育信息化的重要基础设施和构建学习型社会的重要平台；建设了各类教育信息化应用系统，并用于招生考试、学籍学历管理、教学管理、科研管理、后勤财务管理等，初步建成了相关教育信息资源库。

随着教育信息化的快速发展，对信息及信息系统的安全性要求也越来越高。例如，随着高等学校招生规模的不断扩大，招生管理的网络化、信息化已普及起来，如何保证招生考试信息在采集、生成、传输、存储、处理以及共享与应用等各个环节的安全已成为制约招生考试管理信息化推广应用的瓶颈。同时，黑客攻击和病毒干扰逐年增加，网上录取系统的安全不能得到有效保障。当前，许多重要信息与敏感信息，例如，教育公文、教育基础资源数据等在网上传输时，没有得到有效的安全保证，易被窃取、篡改与伪造，因此，为了进一步提升教育信息化的水平，必须加强教育信息、教育信息化应用系统的安全性，必须采用密码技术，以解决教育重要信息资源的完整性与机密性，教育业务应用系统的可用性与可控性，以及操作的不可否认性。

3.建设教育行业电子身份认证服务体系的可行性

公钥基础设施（Public Key Infrastructure，简称PKI）是一种遵循既定标准和规范，采用密码技术，为应用系统提供一整套安全服务基础平台，能够为各类业务应用系统提供信息加密和数字签名等密码服务，以及所有必须的密钥与证书管理服务。公钥基础设施就是能够对公私钥对进行管理、支持身份认证、机密性、完整性、可用性、可控性以及不可否认性服务的具有普适性的信息安全基础设施。

将身份信息与其公钥进行绑定，并由权威认证机构进行签名的数字证书，是当前进行身份认证的首选安全技术。基于PKI技术，我国已经研发出许多数字证书认证系统，并在有些行业以及省、市等推广应用。这些已建的证书认证体系，大多采用证书签发与证书服务合一的集中式、树型结构体系。这种认证体系的优点是安全强度高、设计与管理简单，其层次与行政管理模式同构，授权体系与管理体系一致，容易在观念上被认可和理解，但这种认证体系不适合分布式部署、灵活独立部署的需要。

为了提高教育信息的整体安全水平，教育部教育管理信息中心组织有关单位，在国家密码主管部门的大力指导和支持下，制定了《教育信息安全密码应用统一技术与平台》（以下简称密码应用统一技术平台），并获得了国家密码主管部门组织的权威专家评审通过。密码应用统一技术平台明确了教育电子身份认证服务体系（即证书签发与服务体系）在整个教育信息化的建设与应用中所处的安全基础性地位。

根据密码应用统一技术平台要求，结合教育行业的特点，研制开发了新型的教育电子身份认证服务体系，即创新性地提出了扁平结构的“二级签发、三级服务”的签发认证服务体系，奠定了教育电子身份认证服务体系建设与应用的基础。

二、建设教育电子身份认证服务体系的原则

1.遵循国家信息安全相关法律政策原则

教育电子身份认证服务体系必须遵照《中华人民共和国电子签名法》，以及遵守《国家商用密码管理条例》，必须按照国家对信息安全、密码管理等方面的要求进行建设，才能保障所设计和建设的教育电子身份认证服务系统所签发的数字证书及其提供的证书服务具有法律保障，并保证其安全性。

2.遵循国家商用密码管理标准规范原则

教育电子身份认证服务体系必须符合国家密码管理与电子认证服务管理的相关技术标准与规范，例如，《证书认证系统密码及相关安全技术规范》、《数字证书认证系统密码协议规范》、《公钥基础设施数字证书格式》、《数字证书认证系统检测规范》、《证书认证密钥管理系统检测规范》、《公钥基础设施在线证书状态查询协议》《公钥基础设施证书管理协议》等，以及PKCS、PKIX、LDAP、OCSP等国际标准。这样，才能满足证书统一认证，行业内统一服务的实际应用的需要。

3.满足教育行业管理特殊性需求原则

教育行业管理体系既存在纵向管理，又存在交叉管理，既有行业的“垂直行政管理”和“松散业务管理”特色，又有“直接经营管理”的各类学校与教育机构，各学校的自主管理性很强。

具体而言，教育部对全国各省（市、自治区）的教育厅（教委、教育局）有业务指导与行政管理职能，对70余所部属院校具有直接管理与业务指导职能，还对其他的教育机构（例如，培训机构、考试管理机构等）行使行业管理等职能；各省（市、自治区）的教育厅（教委、教育局）对行政管辖范围内的各地（市、州）教育局以及省属院校具有业务指导和管理职能；各地（市、州）、县教育局对本辖区的各中小学直接进行指导与管理。

根据教育行业管理体系的特点，教育电子身份认证服务系统既要能满足教育行政管理的需要，也要能满足学校自主管理的需要。

4.遵循统一技术平台、灵活部署的原则

各级教育行政管理机构与各级各类学校的信息化建设要求不尽相同，对于身份认证服务系统在建设规模、安全等级要求、策略配置、设备配备等方面，发达地区和不发达地区、高等院校与中小学学校、部属高等院校与其他普通高等院校，存在着较大的差异，对教育电子身份认证服务系统的需求也必然不同。因此，教育身份认证服务系统在设计上必须考虑能够实施“统一平台、灵活部署”，采用统一的技术平台，根据各单位的实际需求，进行灵活部署。这样，教育电子身份认证服务系统必须采用分布式证书认证服务体系，而不是集中式树形结构的证书认证服务体系。

5.遵循系统分步实施、分步建设的原则

由于我国地区经济发展不平衡的现状，不同地区、不同管理机构与不同学校教育信息化的建设发展水平不尽相同，对教育电子身份认证服务的需求必然存在较大差异。因此，教育电子身份认证服务系统的建设须配合本地区、本单位的信息化建设进程，结合并渗透至各个信息化应用系统的安全保障体系中，才能充分发挥其信息安全保障的作用，确保投资效益。教育电子身份认证服务系统必须能满足“分步实施，分步建设”的需要，不能一刀切。教育电子身份认证服务体系要能满足“成熟一个、建设一个，并最终建设能覆盖全行业的身份认证服务体系”的需要。

6.满足不同层次规模学校需求的原则

我国的高等院校有部属高等院校，也有省属高等院校、市属高等院校，还有经教育主管部门批准成立的民办高等院校等，这些学校的办学规模、拥有的资源、教育信息化建设水平均存在很大区别。

对于中小学校也存在类似情况，有省级重点中学，市级重点中学，也有偏远山区的中小学校，这些学校的办学规模、信息化建设水平差别更大。

因此，教育电子身份认证服务体系必须能够满足各级各类学校根据自身层次与规模，独立建设教育电子身份认证服务系统的需要。

7.遵循服务申请便捷、认证安全的原则

建立教育电子身份认证服务系统的目的是为身份认证、授权管理等安全服务，因此，在设计教育电子身份认证服务系统时，必须考虑证书申请的方便性。为此，新型的教育电子身份认证服务系统提供在线证书申请、审核与签发模式，同时支持在线申请信息提交，到身份认证服务中心签发证书，也支持到身份认证服务中心注册机构办理证书申请等业务。同时，必须考虑证书服务与证书查询的方便性，因此，证书认证路径不能长，越短越好。为了证书服务的方便性，必须建立相应的证书服务体系，既要支持全国的证书服务，也要支持局部、区域性证书服务。这样，才能适应教育行业的特点和需要。在国家密码管理专家的支持下，教育部教育管理信息中心提出了“二级签发、三层服务”证书认证服务体系，能满足以上要求。

三、教育电子身份认证服务体系的体系结构

1.“二级签发、三层服务”模式

（１）证书签发模型

证书认证体系由两个部分组成，其一为证书签发体系，其二为证书服务体系。证书服务体系（含证书认证）利用证书签发体系所签发的证书为用户提供证书服务。

根据教育行业的特点，教育证书认证系统按扁平结构的“二级签发”模型设计，其结构图如图1所示。

图1 教育证书认证体系模型

“二级签发”的模型描述如下：

设CA₁为离线方式部署证书签发系统，负责为各自独立的二级认证机构CA₂₁、CA₂₂、……CA₂N签发认证机构证书。由这些二级认证机构为所辖范围内的用户签发用户证书。注意，CA₂₁、CA₂₂、……CA₂N这些认证机构可以是各省（市、自治区）教育厅（局），也可以是部属高等院校，也可以是地（州、市）教育局或者省属高等院校等。

首先，离线的认证机构根证书签发系统（CA₁），必须生成自签名的一级证书，利用该证书为二级认证机构签发认证机构证书。例如，二级认证机构为湖南省教育厅（CA₂₂），那么湖南省教育厅要建立二级证书签发认证服务体系，其认证机构证书必须由CA₁签发；然后，湖南省教育厅的证书签发系统所签发的用户证书、机构证书、设备证书必须由该认证机构证书进行签发。

由此可见，湖南省教育厅所建立的签发系统为用户签发证书是非常方便与快捷的。当然认证证书的有效性就变得十分简单（这里从略）。

（２）证书服务模型

由教育证书认证体系可以看出，教育证书认证体系采用扁平结构，由一级证书认证系统和各自独立的二级证书认证系统组成。通过一级证书认证系统为各级证书认证系统签发认证机构证书，将这些独立的二级认证机构所签发的用户证书联系起来。

考虑到由各自独立的二级证书认证系统所签发的用户证书，既要能为本认证机构管辖范围内的用户服务，也要能为上级机构所管辖范围的用户服务，直至能为全国范围内的用户服务。因此，其证书服务体系模型如图2所示。

图2 教育证书服务体系模型

这种证书服务模型包括三个层次：

１）全国教育电子身份认证服务中心

证书服务体系第一层是全国教育电子身份认证服务中心，该中心亦称为一级教育电子身份认证服务中心。该中心必须建立教育证书服务系统，其作用是需要在全国范围内进行证书服务的所有证书必须集中在该中心，包括所有二级签发机构所签发的证书。

证书服务包括证书获取、证书查询、证书验证（有效期验证、签名验证以及证书状态检验）。

２）二级教育电子身份认证服务分中心

证书服务体系第二层包括行业性应用教育电子身份认证服务分中心、省级教育电子身份认证服务分中心与部属院校教育电子身份认证服务分中心。该层的各分中心必须建立教育证书服务系统，其作用是需要在本级内进行证书服务的所有证书必须集中在该中心，包括该分中心所管辖的各认证机构所签发的证书。

证书服务包括证书获取、证书查询、证书验证（有效期验证、签名验证以及证书状态检验）。

３）三级教育电子身份认证服务分中心

证书服务体系第三层包括省级以下地区教育管理部门、各级各类学校（部属院校除外）以及其他教育机构的教育电子身份认证服务分中心等。该层的各分中心也必须配置教育证书服务系统，其作用是需要在本级进行证书服务的证书必须集中在该中心，包括本分中心对应的二级签发机构所签发的证书。

证书服务包括证书获取、证书查询以及证书验证（有效期验证、签名验证以及证书状态检验）。

由图2不难看出，每个独立的认证机构所签发的证书，除为本认证机构管辖范围内的用户提供服务外，也要把所签发的证书同步发送到省级教育电子身份认证服务分中心，直至全国教育电子身份认证服务中心。

在这种证书服务体系下，如果三级教育电子身份认证服务分中心所对应的二级教育电子身份认证服务分中心尚未建立教育证书服务系统，该三级教育电子身份认证服务分中心可将所签发的证书同步发送到一级教育电子身份认证服务中心，由一级身份认证服务中心代管。待对应的二级教育电子身份认证服务分中心建立证书服务系统后，将证书由一级身份认证服务中心发送回二级教育电子身份认证服务分中心。

2.全国教育电子身份认证服务中心的建设

按照“二级签发、三级服务”模式，为推进教育行业电子身份认证服务体系的建设，必须首先建设全国教育电子身份认证服务中心，即一级教育电子身份认证服务中心（以下简称为一级中心）。

一级中心的建设内容为：

（１）建设为二级证书签发机构签发认证机构证书的一级证书认证系统，该系统主要包括证书签发系统与密钥管理系统，对应于“二级签发”模型中的第一级；

（２）建立一级教育电子身份认证系统，该系统主要包括证书签发系统与密钥管理系统。一级教育电子身份认证系统为个人、机构、设备签发证书、管理证书、存储证书、发布证书以及冻结证书、解冻证书、撤消证书、更新证书、归档证书等各种证书业务。管理与证书相关的密钥生成、密钥存储、密钥分发、密钥更新、密钥备份与恢复以及密钥归档等密钥管理业务，对应于“二级签发”模型第二级；

（３）建立一级证书服务系统，为一级教育电子身份认证系统所签发的证书提供证书服务，同时也可为全国各二级签发机构所签发且上传到本服务中心的证书提供证书服务，对应于“三层服务”模型的第一层；

（４）建立一级教育电子身份认证服务中心的业务门户网站，方便网上办理个人证书、机构证书、设备证书的申请、审核和签发，同时支持网上办理其他证书业务，包括证书冻结、证书解冻、证书撤消、证书更新、证书查询等；

（５）建立安全的数据传输系统，实现本中心与其他教育电子身份认证服务分中心之间的安全数据传输。

3.省级教育电子身份认证服务中心的建设

各省（市、自治区）教育厅（局、教委）可根据实际需求建设二级教育电子身份认证服务分中心（以下简称省级分中心），其建设内容主要包括：

（１）建立二级教育电子身份认证服务系统，该系统主要包括证书签发系统与密钥管理系统等。该系统可为管辖范围内的个人、机构、设备签发证书、管理证书、存储证书、发布证书、冻结证书、解冻证书、撤消证书、更新证书、归档证书等各种证书业务。管理与证书相关的密钥生成、密钥存储、密钥分发、密钥更新、密钥备份与恢复，以及密钥归档等密钥管理业务。对应于“二级签发”模型的第二级；

（２）建立二级证书服务系统，为该级所签发的证书提供证书服务，同时也可为本省（市、自治区）管辖范围内的其他二级签发机构所签发且上传到本服务分中心的证书提供证书服务，并将本分中心所有证书（包括管辖范围内其他二级认证机构签发的证书）同步发送到一级中心。对应于“三层服务”模型的第二层；

（３）建立教育电子身份认证服务分中心的门户网站，实现网上办理个人证书、机构证书、设备证书的申请、审核与签发，同时支持网上办理证书其他业务，包括证书冻结、证书解冻、证书撤消、证书更新、证书查询、证书下载等证书业务。

（４）建立安全数据传输系统，实现本分中心与一级中心之间，本分中心与下级分中心之间的安全数据传输。

4.部属高等学校电子身份认证服务分中心的建设

部属高等学校可根据实际需求建立二级教育电子身份认证服务中心，其建设内容为：

（１）根据学校规模，可选择适合要求的二级教育电子身份认证服务系统，该系统主要包括证书签发系统与密钥管理系统。该系统可为学校个人、机构、设备签发证书、管理证书、存储证书、发布证书，以及冻结证书、解冻证书、撤消证书、更新证书、归档证书等各种证书业务。管理与证书相关的密钥生成、密钥存储、密钥分发、密钥更新、密钥备份与恢复以及密钥归档等密钥管理业务。对应于“二级签发”模型的第二级；

（２）建立二级证书服务系统，为学校提供证书服务。同时，要求把所签发的证书，同步发送到一级教育电子身份认证服务中心。对应于“三层服务”模型的第二层；

（３）建立教育电子身份认证服务分中心的门户网站，由该门户提供网上办理个人证书、机构证书、设备证书的申请、审核与签发，同时提供网上办理其他证书业务，包括证书冻结、证书解冻、证书撤消、证书更新、证书查询、证书下载等证书业务；

（４）建立数据安全传输系统，实现本分中心与一级中心之间的数据安全传输。

5.其他教育管理部门（学校）教育电子身份认证服务分中心的建设

其他教育管理部门或学校可根据本地区、本单位的实际需要建设教育电子身份认证服务分中心，其建设内容包括：

（１）根据本地区、本单位（学校）管辖范围及规模，建立能满足要求的二级教育电子身份认证服务系统，该系统主要包括证书签发系统与密钥管理系统。该系统可为管辖范围内的个人、机构、设备签发证书，管理证书、存储证书、发布证书以及冻结证书、解冻证书、撤消证书、更新证书、归档证书等各种证书业务。管理与证书相关的密钥生成、密钥存储、密钥分发、密钥更新、密钥备份与恢复，以及密钥归档等密钥管理业务。对应于“二级签发”模型的第二级；

（２）建立三级证书服务系统，为管辖范围内的证书提供证书服务。同时要求将所签发的证书，同步上传到对应的省级分中心，对应于“三层服务”模型的第三层；

（３）建立教育电子身份认证服务分中心门户网站，由该门户提供网上办理个人证书、机构证书、设备证书的申请、审核与签发，同时提供网上办理证书冻结、证书解冻、证书撤消、证书更新、证书查询、证书下载等证书业务；

（４）建立数据安全传输系统，实现本分中心与省级分中心之间的数据安全传输。

四、结论

根据国家对信息安全的要求，结合教育行业信息化的具体情况，采用PKI技术，创新性地研制开发了扁平结构的“二级签发、三层服务”模式的教育电子身份认证服务体系。根据管理范围、规模，采用统一的教育电子身份认证服务系统技术平台，在建设部署上可实现成熟一个，建设一个，适用于教育行业“灵活分布式部署，并最终形成行业统一的电子身份认证服务体系”的建设要求，可满足教育行业的需要。