打造可信身份認證體系，提升教育應(yīng)用服務(wù)能力

李文晶 任劍洪 徐麗娜

摘要：本文依托大數(shù)據(jù)和人工智能等技術(shù)，以身份認證核驗為牽引，通過建設(shè)“四個一”，即一個教育系統(tǒng)身份基礎(chǔ)數(shù)據(jù)庫、一個終身學(xué)習(xí)賬號、一個教育身份中臺、一個密碼應(yīng)用綜合管理服務(wù)平臺，構(gòu)建覆蓋全省教育系統(tǒng)的可信身份認證體系。實踐表明，可信身份認證體系的建設(shè)可以解決各類教育應(yīng)用賬號管理混亂，以及各類跨校和跨領(lǐng)域應(yīng)用的身份識別問題，促進跨地區(qū)、跨部門、跨層級教育資源共享以及大數(shù)據(jù)匯聚分析，助推辦好人民滿意的教育。

關(guān)鍵詞：可信身份認證；身份基礎(chǔ)數(shù)據(jù)庫；資源共享；數(shù)據(jù)治理

中圖分類號：G434? 文獻標(biāo)識碼：A? 論文編號：1674-2117（2024）02-0088-05

建設(shè)背景

中央網(wǎng)絡(luò)安全和信息化委員會印發(fā)的《“十四五”國家信息化規(guī)劃》提出“優(yōu)化全國一體化政務(wù)服務(wù)平臺服務(wù)水平，完善統(tǒng)一身份認證、電子證照等共性支撐體系”。《中國教育現(xiàn)代化2035》提出“鼓勵基于大數(shù)據(jù)分析，制定符合學(xué)生發(fā)展需求的個性化培養(yǎng)方案”。《教育部關(guān)于加強新時代教育管理信息化工作的通知》（教科信函﹝2021﹞13號）提出“推動統(tǒng)一用戶管理，實現(xiàn)基于實名身份認證的集中授權(quán)和單點登錄”。教育部《高等學(xué)校數(shù)字校園建設(shè)規(guī)范（試行）》明確提出針對教師、學(xué)生等用戶群體建立統(tǒng)一身份管理服務(wù)。信息系統(tǒng)安全等級保護2.0國家標(biāo)準中也新增了“應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)”等要求。

2022年4月，《江西省“十四五”教育事業(yè)發(fā)展規(guī)劃》明確提出：推進教育與現(xiàn)代信息技術(shù)深度融合，加快教育治理體系和治理能力現(xiàn)代化；加強終身教育平臺建設(shè)，推動新技術(shù)賦能終身學(xué)習(xí)，完善終身學(xué)習(xí)推進機制，建立健全終身學(xué)習(xí)成果積累、認證、轉(zhuǎn)換機制，推進學(xué)習(xí)系統(tǒng)管理平臺和學(xué)分銀行研發(fā)建設(shè)，加快建成江西省終身學(xué)習(xí)系統(tǒng)。而教育治理現(xiàn)代化急需建立以數(shù)據(jù)驅(qū)動為核心的網(wǎng)絡(luò)化、數(shù)字化、智能化的全業(yè)務(wù)、全流程教育治理體系，實現(xiàn)治理模式向“數(shù)治”轉(zhuǎn)變，提升教育治理效能。

問題分析

近年來，江西省教育信息化不斷發(fā)展，數(shù)字信息化技術(shù)給傳統(tǒng)教育行業(yè)注入了活力，帶來了發(fā)展機遇。全省基本建成覆蓋基礎(chǔ)教育、職業(yè)教育、高等教育和繼續(xù)教育的數(shù)字教育資源公共服務(wù)體系，讓優(yōu)質(zhì)的教育資源惠及全省每一位師生，并建設(shè)了? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?學(xué)生管理、教師管理、教育督導(dǎo)、資助管理、招考管理等業(yè)務(wù)系統(tǒng)，使教育管理信息化水平得到顯著提升。但在取得成績的同時，也逐步暴露出了一些問題。

一是每個系統(tǒng)都建立獨立的一套用戶身份管理認證體系，導(dǎo)致功能重復(fù)建設(shè)，資源浪費，數(shù)據(jù)治理難度增大；

二是隨著系統(tǒng)的增多，賬號管理成本加大，用戶體驗也越來越差；

三是教師、學(xué)生等身份信息在各類業(yè)務(wù)系統(tǒng)中存在差異，特別是多重身份的身份認證難，造成混淆；

四是傳統(tǒng)的系統(tǒng)建設(shè)方式導(dǎo)致“一數(shù)一源”難以保障，數(shù)據(jù)質(zhì)量不高，師生用戶身份標(biāo)識不統(tǒng)一，各業(yè)務(wù)系統(tǒng)數(shù)據(jù)難以歸集匯總、關(guān)聯(lián)分析，以及數(shù)據(jù)共享。

建設(shè)內(nèi)容

江西省現(xiàn)有各級各類學(xué)校2.38萬所，在校生1123.27萬人，教職工82.59萬人。為解決各類教育應(yīng)用賬號管理混亂，以及各類跨校和跨領(lǐng)域應(yīng)用的身份識別問題，促進跨地區(qū)、跨部門、跨層級教育資源共享以及大數(shù)據(jù)匯聚分析，江西省通過建設(shè)“四個一”，即一個教育系統(tǒng)身份基礎(chǔ)數(shù)據(jù)庫、一個終身學(xué)習(xí)賬號、一個教育身份中臺、一個密碼應(yīng)用綜合管理服務(wù)平臺，構(gòu)建了覆蓋全省教育系統(tǒng)的可信身份認證體系。身份認證體系架構(gòu)如圖1所示。

1.教育系統(tǒng)身份基礎(chǔ)數(shù)據(jù)庫

利用江西省教育廳數(shù)據(jù)治理平臺的數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)管控、數(shù)據(jù)處理、數(shù)據(jù)交換共享等功能，形成教育系統(tǒng)身份基礎(chǔ)數(shù)據(jù)庫。

①組織保障。根據(jù)《江西省教育廳數(shù)據(jù)管理辦法（暫行）》搭建了一套獨立完整的關(guān)于數(shù)據(jù)資產(chǎn)管理的組織架構(gòu)，并明確了各部門在數(shù)據(jù)治理中的角色和職責(zé)。

②數(shù)據(jù)標(biāo)準。依據(jù)教育部《教育信息化行業(yè)標(biāo)準》，編制發(fā)布了《江西省教育廳數(shù)據(jù)標(biāo)準規(guī)范》，建立了一套由內(nèi)容標(biāo)準、技術(shù)規(guī)范以及使用流程共同組成的教育數(shù)據(jù)標(biāo)準體系，其中涉及學(xué)生、教師、學(xué)校、科研、教學(xué)、資產(chǎn)、財務(wù)、辦公等10個數(shù)據(jù)子集。

③數(shù)據(jù)采集處理。利用數(shù)據(jù)治理平臺中專業(yè)的ETL工具完成了江西省學(xué)前教育管理信息系統(tǒng)、中小學(xué)生學(xué)籍信息管理系統(tǒng)、中職教育學(xué)生學(xué)籍管理系統(tǒng)、教師管理信息系統(tǒng)等數(shù)據(jù)庫數(shù)據(jù)的提取、轉(zhuǎn)換和加載。目前，每日通過數(shù)據(jù)治理平臺采集學(xué)生、教師、機構(gòu)等各類數(shù)據(jù)，通過數(shù)據(jù)處理功能，按照數(shù)據(jù)標(biāo)準進行數(shù)據(jù)清洗、轉(zhuǎn)換、裝載、封裝，從而生成教育系統(tǒng)身份基礎(chǔ)數(shù)據(jù)庫，每日數(shù)據(jù)處理量為1000萬左右。

④數(shù)據(jù)質(zhì)量管理。根據(jù)數(shù)據(jù)質(zhì)量稽核目標(biāo)和策略要求，分類制訂了數(shù)據(jù)質(zhì)量稽核規(guī)則（如完整性、一致性、有效性等），通過數(shù)據(jù)質(zhì)量管理功能，實時監(jiān)控身份基礎(chǔ)數(shù)據(jù)庫新增或存量數(shù)據(jù)，及時發(fā)現(xiàn)有問題的數(shù)據(jù)。針對學(xué)生、教師、學(xué)校基礎(chǔ)數(shù)據(jù)進行重點排查并形成數(shù)據(jù)質(zhì)量報告，報告中指明了數(shù)據(jù)缺失、數(shù)據(jù)異常、數(shù)據(jù)錯誤等各類問題并附有詳細列表，根據(jù)《江西省教育廳數(shù)據(jù)管理辦法（暫行）》，各業(yè)務(wù)部門對問題數(shù)據(jù)進行進一步的治理。

⑤數(shù)據(jù)回流。通過教育身份中臺匯聚的各類教育數(shù)據(jù)，會回流至數(shù)據(jù)治理平臺，通過治理后，進一步充實教育系統(tǒng)各類基礎(chǔ)數(shù)據(jù)庫。數(shù)據(jù)治理平臺架構(gòu)如圖2所示。

2.終身學(xué)習(xí)賬號

（1）設(shè)計原則

①保護個人隱私，賬號去規(guī)則。身份證號屬于個人隱私，包含了很多個人信息。以身份證號作為賬號，在互聯(lián)網(wǎng)上使用，存在很大的安全風(fēng)險，為此采用無序的數(shù)字作為江西省終身學(xué)習(xí)賬號（以下簡稱“學(xué)習(xí)號”）。

②防止“學(xué)習(xí)號”位數(shù)過長，將數(shù)字降到最低。賬號主要以江西省人群為主，江西省近幾年每年出生人數(shù)不到百萬，因此7位能滿足一生一號的需求。考慮到外省、教師、繼續(xù)教育學(xué)生以及老年大學(xué)學(xué)生等各類人群，加上個人比較容易記住省份代碼（2位）和出生年份（4位），“學(xué)習(xí)號”由省份代碼（2位）+出生年份（4位）+隨機數(shù)（7位），共計13位組成。

（2）展現(xiàn)形態(tài)與應(yīng)用

基于教育系統(tǒng)身份基礎(chǔ)數(shù)據(jù)庫，為每一位師生生成一個“學(xué)習(xí)號”，其展現(xiàn)形態(tài)為一串唯一的數(shù)字、一個二維碼或一個條形碼。“學(xué)習(xí)號”可作為師生在教育系統(tǒng)內(nèi)的身份證明，在需要驗證身份的場合，通過“學(xué)習(xí)號”即可完成身份驗證。

3.教育身份中臺

教育身份中臺主要由中臺數(shù)據(jù)中心、身份認證中心、開放平臺、運營治理后臺、管理后臺等組成。教育身份中臺總體架構(gòu)如圖3所示。

（1）中臺數(shù)據(jù)中心

以教育系統(tǒng)身份基礎(chǔ)數(shù)據(jù)庫為基礎(chǔ)，打造全省統(tǒng)一的學(xué)生、教師、公眾等用戶身份統(tǒng)一的身份數(shù)據(jù)中心，用戶身份的增加、刪除、修改等操作均通過中臺數(shù)據(jù)中心實現(xiàn)，保證了教師、學(xué)生、公眾等用戶身份的唯一性，同時，用戶身份數(shù)據(jù)與微信、支付寶、釘釘、學(xué)習(xí)號關(guān)聯(lián)綁定，用戶身份的變更需要通過手機號或郵箱等其他方式并結(jié)合身份證進行雙重實名認證，保證用戶信息的安全性。

（2）身份認證中心

身份認證中心是教育身份中臺服務(wù)的核心功能，身份認證中心將用戶體系與各系統(tǒng)賬戶關(guān)聯(lián)，通過發(fā)行加密身份憑證到不同應(yīng)用的服務(wù)端進行認證，實現(xiàn)賬號體系統(tǒng)一、身份認證及單點登錄。一鍵完成數(shù)據(jù)對接及統(tǒng)一身份認證。

①單點登錄，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)，可設(shè)置靈活的單點登錄方式，包含但不限于“學(xué)習(xí)號”、微信掃碼、支付寶掃碼、釘釘認證、短信動態(tài)碼、人臉認證、賬號綁定等方式，管理員可自行設(shè)定認證方式啟用或禁用；

②實現(xiàn)用戶自定義選擇通過“學(xué)習(xí)號”、手機號、郵箱、身份證號、護照號，作為登錄時可用作用戶名的數(shù)據(jù)項，實現(xiàn)多選和任意組合；

③支持常用的單點登錄（SSO）協(xié)議，包括CAS、SAML、OAuth、OpenID等，已完成江西省初/高中綜合素質(zhì)評價信息管理系統(tǒng)、江西省教育發(fā)布APP、江西省職業(yè)信息開放化服務(wù)平臺等教育應(yīng)用對接；

④支持多種操作系統(tǒng)的跨平臺部署，包括Unix、Linux、Windows、Mac OS，支持運行于各種實體或虛擬的平臺上，不對特定硬件有依賴；

⑤實現(xiàn)自由配置業(yè)務(wù)系統(tǒng)的單點登錄，用戶可自行選擇業(yè)務(wù)系統(tǒng)是否采用單點登錄進行免認證登錄；

⑥提供靈活的多因子認證，包含但不限于微信認證、手機短信、支付寶認證等任一組合方式，系統(tǒng)原生支持本項功能，無需對應(yīng)多因子認證業(yè)務(wù)系統(tǒng)做任何修改定制化開發(fā)即可實現(xiàn)。

（3）開放平臺

開放平臺是第三方業(yè)務(wù)系統(tǒng)與教育身份中臺交互的入口，通過API接口對接全省各類教育應(yīng)用，為全省業(yè)務(wù)系統(tǒng)提供統(tǒng)一的身份認證、用戶組織結(jié)構(gòu)、第三方單點登錄、集中授權(quán)以及用戶日志審計等服務(wù)。同時，支持主流的OAuth2.0身份認證協(xié)議，也可以與微信、支付寶等身份源打通，獲取穩(wěn)定可靠的數(shù)據(jù)源，做到統(tǒng)一的身份權(quán)限管理和人員組織架構(gòu)管理。

（4）運營治理后臺

通過建立數(shù)據(jù)統(tǒng)計模型，根據(jù)地市、學(xué)校、用戶身份、數(shù)據(jù)來源、數(shù)據(jù)增長情況等不同維度，將教育身份中臺中所有用戶信息以統(tǒng)計視圖形式展示，并為每位用戶形成一個用戶畫像。

（5）管理后臺

實現(xiàn)對開放平臺提交的資質(zhì)認證及應(yīng)用入駐進行審批，對用戶數(shù)據(jù)的調(diào)取、修改、應(yīng)用審批、用戶登錄及操作日志進行記錄，并實時監(jiān)控教育身份中臺服務(wù)器的運行情況，全方位保證教育身份中臺的正常運行與數(shù)據(jù)安全。

4.密碼應(yīng)用綜合管理服務(wù)平臺

按照“集中建設(shè)、統(tǒng)一服務(wù)”的核心理念，遵從“密碼基礎(chǔ)資源化、密碼管理一體化、密碼服務(wù)統(tǒng)一化”的技術(shù)架構(gòu)，整合國產(chǎn)密碼技術(shù)和服務(wù)，在完全自主可控、統(tǒng)一管理前提下，建設(shè)密碼應(yīng)用綜合管理服務(wù)平臺（以下簡稱“密碼平臺”）。密碼平臺賦能教育身份中臺，支撐數(shù)字證書高安全性認證方式，以及數(shù)據(jù)加密傳輸?shù)取?/p>

①支撐教育身份中臺對用戶基于數(shù)字證書的高安全性身份認證、通信鏈路保護、單點登錄、口令代填、訪問控制等功能；

②利用密碼平臺的數(shù)字簽名驗簽和時間戳等服務(wù)，實現(xiàn)對教育身份中臺數(shù)據(jù)傳輸保密性、完整性和對關(guān)鍵業(yè)務(wù)操作抗抵賴進行安全防護，包括提供數(shù)據(jù)簽名功能，實現(xiàn)身份驗證、數(shù)據(jù)完整性保護及行為的抗抵賴性；支持對用戶、系統(tǒng)、APK等簽名；提供數(shù)據(jù)信封功能，實現(xiàn)數(shù)據(jù)私密性保護等。

③通過軟認證方式，實現(xiàn)移動應(yīng)用用戶身份可信，數(shù)據(jù)傳輸保密性、完整性、防抵賴，達到支持移動應(yīng)用辦公場景的目的，實現(xiàn)移動數(shù)字證書對數(shù)據(jù)進行數(shù)字簽名、加解密，以及身份認證。

應(yīng)用場景與成效

1.多樣的身份核驗，助力線上線下身份識別

利用“學(xué)習(xí)號”實現(xiàn)基于實名身份認證的集中授權(quán)，解決各類教育應(yīng)用賬號管理混亂問題，為不同場景下的身份核驗、身份授權(quán)提供精細化服務(wù)。目前，“學(xué)習(xí)號”已與江西省校園防疫、智慧作業(yè)、精品課程、初高中綜合素質(zhì)評價等線上應(yīng)用打通，解決學(xué)生1185.7萬人、教師63.2萬人、公眾197.7萬人線上身份識別問題，實現(xiàn)“一號登錄”。利用“學(xué)習(xí)號”生成一張終身學(xué)習(xí)電子卡，作為師生和社會公眾在教育系統(tǒng)內(nèi)的身份證明，在需要驗證身份的場合，通過手機刷碼即可完成身份驗證，解決各類跨校和跨領(lǐng)域線下應(yīng)用的身份識別問題，實現(xiàn)“一卡通辦”。依托終身學(xué)習(xí)電子卡身份核驗功能，部分高校圖書館正逐步有序?qū)ν忾_放館藏圖書資源。

2.精準的身份識別，推動各類教育資源共享

利用可信身份認證體系，支撐江西省高校大學(xué)生進行跨校選課，推動各類教育資源在教育系統(tǒng)內(nèi)共享；支撐省職業(yè)院校開放體育場館，推動各類教育資源面向社會有序開放；對接各紅色教育基地和旅游景點，推動將社會資源引入教育系統(tǒng)為師生提供更好的服務(wù)；逐步推動構(gòu)建教育資源共建共治共享的生態(tài)體系。

3.權(quán)威的數(shù)據(jù)共享，促進數(shù)據(jù)“一數(shù)一源”

通過對省級重要系統(tǒng)的數(shù)據(jù)治理，形成權(quán)威的教育系統(tǒng)身份基礎(chǔ)數(shù)據(jù)庫。根據(jù)其他業(yè)務(wù)系統(tǒng)需求，按照最小化原則，將部分教育系統(tǒng)身份基礎(chǔ)數(shù)據(jù)庫中的數(shù)據(jù)通過數(shù)據(jù)交換平臺或接口，共享給其他業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)的初始化設(shè)置或支撐業(yè)務(wù)服務(wù)。通過數(shù)據(jù)共享打通數(shù)據(jù)孤島，減少數(shù)據(jù)的重復(fù)采集，提升數(shù)據(jù)應(yīng)用效能，促進數(shù)據(jù)“一數(shù)一源”。

4.海量的數(shù)據(jù)匯聚，創(chuàng)新數(shù)據(jù)應(yīng)用服務(wù)水平

通過教育身份中臺，匯聚接入的各應(yīng)用訪問使用數(shù)據(jù)。通過“學(xué)習(xí)號”，將各業(yè)務(wù)系統(tǒng)數(shù)據(jù)進行關(guān)聯(lián)匯聚，形成學(xué)生、教師、機構(gòu)及辦學(xué)條件等主題數(shù)據(jù)庫。推進教育數(shù)據(jù)從單一領(lǐng)域向全領(lǐng)域的數(shù)據(jù)匯聚，解決各類數(shù)據(jù)割裂問題，形成數(shù)據(jù)統(tǒng)一分析基礎(chǔ)，具備多源教育數(shù)據(jù)從接入、存儲、加工到分析的完整能力。精準繪制的用戶畫像，支撐提供個性化教育服務(wù)；海量的數(shù)據(jù)分析建模，為教育評價等改革任務(wù)提供數(shù)據(jù)支撐，促進建立“用數(shù)據(jù)說話、用數(shù)據(jù)決策、用數(shù)據(jù)管理、用數(shù)據(jù)創(chuàng)新”的工作模式，推動教育高質(zhì)量發(fā)展。

結(jié)語

通過可信身份認證體系的建立解決了各類教育應(yīng)用賬號管理混亂以及各類跨校和跨領(lǐng)域應(yīng)用的身份識別問題，促進了跨地區(qū)、跨部門、跨層級教育資源共享以及大數(shù)據(jù)匯聚分析。下一步，江西省將在可信身份認證體系的基礎(chǔ)上，探索更多的教育資源共享，為教育系統(tǒng)各類應(yīng)用提供便利的服務(wù)，助力教育管理信息化水平邁向新的臺階。

參考文獻：

[1]郝久月，楊林，李頔，等.關(guān)于區(qū)塊鏈支撐網(wǎng)絡(luò)可信身份發(fā)展的研究與探索[J].警察技術(shù)，2023（01）：5.

[2]李寶.基于用戶畫像的高校圖書館個性化資源推薦服務(wù)設(shè)計[J].新世紀圖書館，2021（04）：8.

[3]巫莉莉，張波.高校數(shù)據(jù)治理中提升數(shù)據(jù)質(zhì)量的方法研究[J].重慶理工大學(xué)學(xué)報：自然科學(xué)，2019，33（08）：149-156.

[4]姚峰，程筱箐.數(shù)據(jù)中臺架構(gòu)在智慧校園建設(shè)中的應(yīng)用與研究——以南京財經(jīng)高等職業(yè)技術(shù)學(xué)校智慧校園建設(shè)為例[J].數(shù)字通信世界，2022（12）：5.

[5]張東靖.基于知識服務(wù)視角下智慧圖書館服務(wù)的情境建構(gòu)策略[J].遵義師范學(xué)院學(xué)報，2022，24（06）：4.

[6]羅云.5G技術(shù)背景下智慧圖書館知識服務(wù)延伸效用及體系構(gòu)建[J].河南圖書館學(xué)刊，2021，41（04）：123-125+131.

[7]石玲玲，李敬兆.智慧校園建設(shè)中安全數(shù)據(jù)治理策略研究及應(yīng)用[J].電腦知識與技術(shù)：學(xué)術(shù)版，2022，18（35）：3.

[8]曹琳.智慧校園建設(shè)中的高校檔案館數(shù)據(jù)治理路徑研究[J].浙江檔案，2020（05）：3.

[9]翟雪松，楚肖燕，張紫徽，等.基于中臺架構(gòu)的教育信息化數(shù)字治理研究[J].電化教育研究，2021，42（06）：7.

[10]劉靜怡.數(shù)據(jù)中臺三層構(gòu)架在高校的優(yōu)化與實踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（03）：3.

作者簡介：李文晶（1991.11—），女，江西撫州人，高級工程師，主要從事教育信息化工作；任劍洪（1980.2—），女，江西南昌人，高級工程師，主要從事網(wǎng)絡(luò)安全工作；徐麗娜（1983.3—），女，江西南昌人，高級工程師，主要從事教育信息化工作。

本文系江西省教育廳科學(xué)技術(shù)研究項目“基于微服務(wù)的身份中臺建設(shè)與應(yīng)用”（課題編號：GJJ2210710）研究成果。