一建设背景
2021年12月,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》提出“优化全国一体化政务服务平台服务水平,完善统一身份认证、电子证照等共性支撑体系”的要求。《中国教育现代化2035》提出“鼓励基于大数据分析,制定符合学生发展需求的个性化培养方案”。《教育部关于加强新时代教育管理信息化工作的通知》(教科信函﹝2021﹞13号)提出“推动统一用户管理,实现基于实名身份认证的集中授权和单点登录”。教育部《高等学校数字校园建设规范(试行)》中明确提出针对教师、学生等用户群体建立统一身份管理服务。等保2.0国家标准中也新增了“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现”等要求。2022年4月,《江西省“十四五”教育事业发展规划》明确提出推进教育与现代信息技术深度融合,加快教育治理体系和治理能力现代化。加强终身教育平台建设,推动新技术赋能终身学习,完善终身学习推进机制,建立健全终身学习成果积累、认证、转换机制,推进学习系统管理平台和学分银行研发建设,加快建成江西省终身学习系统。教育治理现代化亟需建立以数据驱动为核心,网络化、数字化、智能化的全业务、全流程教育治理体系,实现治理模式向“数治”转变,提升教育治理效能。
二问题分析
近年来,随着江西省教育信息化的不断发展,数字信息化技术给传统教育行业带来了发展和活力。基本建成覆盖基础教育、职业教育、高等教育和继续教育的数字教育资源公共服务体系,让优质的教育资源惠及到了全省每一位师生。同时江西省还建设学生管理、教师管理、教育督导、资助管理、招考管理等业务系统,使教育管理信息化水平得到显著提升。然而在取得成绩的同时,也逐步暴露出了一些问题。
一是每个系统都建立独立的一套用户身份管理认证体系,导致了功能重复建设,资源浪费,数据治理难度增大;
二是随着系统越多,账号管理成本加大,用户体验也越差;
三是教师、学生等身份信息在各类业务系统中存在差异,特别是多重身份时,身份认证难,造成混淆;
四是传统的系统建设方式导致“一数一源”难以保障,数据质量不高,师生用户身份标识不统一,各业务系统数据难以归集汇总、关联分析,以及数据共享。
三建设内容
江西省现有各级各类学校2.38万所,在校生1123.27万人,教职工82.59万人,为解决各类教育应用账号管理混乱以及各类跨校和跨领域应用的身份识别问题,促进跨地区、跨部门、跨层级教育资源共享以及大数据汇聚分析。通过“四个一”的建设,即一个教育系统身份基础数据库、一个终身学习账号、一个教育身份中台、一个密码应用综合管理服务平台,构建覆盖全省教育系统的可信身份认证体系。身份认证体系架构如图1所示:
图1 身份认证体系架构图
(一)教育系统身份基础数据库
利用江西省教育厅数据治理平台的数据采集、数据存储、数据管控、数据处理、数据交换共享等功能,形成教育系统身份基础数据库。
1.组织保障。根据《江西省教育厅数据管理办法(暂行)》搭建了一套独立完整的关于数据资产管理的组织架构,并明确了各部门在数据治理中的角色和职责。
2.数据标准。依据教育部《教育信息化行业标准》,编制发布了《江西省教育厅数据标准规范》,建立了一套由内容标准、技术规范以及使用流程共同组成的教育数据标准体系,涉及学生、教师、学校、科研、教学、资产、财务、办公等10个数据子集。
3.数据采集处理。利用数据治理平台中专业的ETL工具完成了从江西省学前教育管理信息系统、中小学生学籍信息管理系统、中职教育学生学籍管理系统、教师管理信息系统等数据库数据的提取、转换和加载。目前,每日通过数据治理平台采集学生、教师、机构等各类数据,通过数据处理功能,按照数据标准进行数据清洗、转换、装载、封装,从而生成教育系统身份基础数据库,每日数据处理量为1000万左右。
4.数据质量管理。根据数据质量稽核目标和策略要求,分类制定了数据质量稽核规则(如完整性、一致性、有效性等),通过数据质量管理功能,实时监控身份基础数据库新增或存量数据,及时发现有问题的数据。针对学生、教师、学校基础数据进行重点排查并形成数据质量报告,报告中指明了数据缺失、数据异常、数据错误等各类问题并附有详细列表,根据《江西省教育厅数据管理办法(暂行)》,各业务部门对问题数据进行进一步的治理。
5.数据回流。通过教育身份中台汇聚的各类教育数据,会回流至数据治理平台,通过治理后,进一步充实教育系统各类基础数据库。数据治理平台架构如图2所示:
图2 数据治理平台架构图
(二)终身学习账号
1.设计原则
(1)保护个人隐私,账号去规则。身份证号属于个人隐私,包含了很多个人信息。以身份证号作为账号,在互联网上使用,存在很大的安全风险,为此采用无序的数字作为江西省终身学习账号(以下简称“学习号”)。
(2)防止“学习号”位数过长,将数字降到最少。账号主要以江西省人群为主,江西省近几年每年出生人数不到百万,则7位能满足一生一号的需求。考虑到外省、教师、继续教育学生以及老年大学学生等各类人群,加上个人比较容易记住省份代码(2位)和出生年份(4位),“学习号”由省份代码(2位)+出生年份(4位)+随机数(7位),共计13位组成。
2.展现形态与应用
基于教育系统身份基础数据库,为每一位师生生成1个“学习号”。展现形态为一串唯一的数字、一个二维码或一个条形码。“学习号”作为师生在教育系统内的身份证明,在需要验证身份的场合,通过“学习号”即可完成身份验证。“学习号”电子卡展现形态如图3所示:
图3 “学习号”电子卡展现形态图
(三)教育身份中台
教育身份中台主要包括中台数据中心、身份认证中心、开放平台、运营治理后台、管理后台等功能。教育身份中台总体架构如图4所示:
图4 教育身份中台总体架构
1.中台数据中心
以教育系统身份基础数据库为基础,打造全省统一的学生、教师、公众等用户身份统一的身份数据中心,用户身份的增加、删除、修改等操作均通过中台数据中心实现,保证了教师、学生、公众等用户身份的唯一性,同时将用户身份数据与微信、支付宝、钉钉、学习号关联绑定,用户身份的变更需要手机号或邮箱等其他方式并结合身份证的双重实名认证,保证用户信息的安全性。
2.身份认证中心
身份认证中心是教育身份中台服务的核心功能,身份认证中心将用户体系与各系统账户关联,通过发行加密身份凭证到不同应用的服务端进行认证,实现账号体系统一、身份认证及单点登录。一键完成数据对接及统一身份认证。
(1)单点登录,用户只需要登录一次就可以访问所有相互信任的应用系统,可设置灵活的单点登录方式,包含但不限于“学习号”、微信扫码、支付宝扫码、钉钉认证、短信动态码、人脸认证、账号绑定等方式,管理员可自行设定认证方式启用或禁用;
(2)实现用户自定义选择通过“学习号”、手机号、邮箱、身份证号、护照号,作为登录时可用作用户名的数据项,实现多选和任意组合;
(3)支持常用的单点登录(SSO)协议,包括CAS、SAML、OAuth、OpenID等,已完成江西省初/高中综合素质评价信息管理系统、江西省教育发布APP、江西省职业信息开放化服务平台等教育应用对接;
(4)支持多种操作系统的跨平台部署,包括Unix、Linux、Windows、Mac OS;支持运行于各种实体或虚拟的平台上,不对特定硬件有依赖;
(5)实现自由配置业务系统的单点登录,用户可自行选择业务系统是否采用单点登录进行免认证登录;
(6)提供灵活的多因子认证,包含但不限于微信认证、手机短信、支付宝认证等任一组合方式,系统原生支持本项功能,无需对应多因子认证业务系统做任何修改定制化开发即可实现。
3.开放平台
开放平台是第三方业务系统与教育身份中台交互的入口,通过API接口对接全省各类教育应用,为全省业务系统提供统一的身份认证、用户组织结构、第三方单点登录、集中授权,以及用户日志审计等服务。同时支持主流的OAuth2.0身份认证协议,也可以与微信、支付宝等身份源打通,获取稳定可靠的数据源,做到统一的身份权限管理和人员组织架构管理。
4.运营治理后台
通过建立数据统计模型,根据地市、学校、用户身份、数据来源、数据增长情况等不同维度,将教育身份中台中所有用户信息以统计视图形式展示,并为每位用户形成一个用户画像。
5.管理后台
实现对开放平台提交的资质认证及应用入驻进行审批,对用户数据的调取、修改、应用审批、用户登录及操作日志进行记录。并实时监控教育身份中台服务器的运行情况,全方位保证教育身份中台的正常运行与数据安全。
(四)密码应用综合管理服务平台
按照“集中建设、统一服务”的核心理念,遵从“密码基础资源化、密码管理一体化、密码服务统一化”的技术架构,整合国产密码技术和服务,在完全自主可控、统一管理前提下,建设密码应用综合管理服务平台(以下简称“密码平台”)。密码平台赋能教育身份中台,支撑数字证书高安全性认证方式,以及数据加密传输等。
1.支撑教育身份中台对用户基于数字证书的高安全性身份认证、通信链路保护、单点登录、口令代填、访问控制等功能;
2.利用密码平台的数字签名验签和时间戳等服务,实现对教育身份中台数据传输保密性、完整性和对关键业务操作抗抵赖进行安全防护。包括:提供数据签名功能,实现身份验证,数据完整性保护及行为的抗抵赖性;支持对于用户、系统、APK等签名;提供数据信封功能,实现数据私密性保护等;
3.通过软认证方式,实现移动应用用户身份可信,数据传输保密性、完整性、防抵赖,达到支持移动应用办公场景的目的,实现移动数字证书对数据进行数字签名、加解密,以及身份认证。
四应用场景与成效
(一)多样的身份核验,助力线上线下身份识别
利用“学习号”实现基于实名身份认证的集中授权,解决各类教育应用账号管理混乱问题,为不同场景下的身份核验、身份授权提供精细化服务。目前“学习号”已与我省校园防疫、智慧作业、精品课程、初高中综合素质评价等线上应用打通,解决学生1185.7万人、教师63.2万人、公众197.7万人线上身份识别问题,实现“一号登录”。此外利用“学习号”生成一张终身学习电子卡,作为师生和社会公众在教育系统内的身份证明,在需要验证身份的场合,通过手机刷码即可完成身份验证,解决各类跨校和跨领域线下应用的身份识别问题,实现“一卡通办”。依托终身学习电子卡身份核验功能,部分高校图书馆正逐步有序对外开放馆藏图书资源。
(二)精准的身份识别,推动各类教育资源共享
利用可信身份认证体系,支撑我省高校大学生进行跨校选课,推动各类教育资源在教育系统内共享;支撑我省职业院校开放体育场馆,推动各类教育资源面向社会有序开放;对接各红色教育基地和旅游景点,推动将社会资源引入教育系统为师生提供更好的服务;逐步推动构建教育资源共建共治共享的生态体系。
(三)权威的数据共享,促进数据“一数一源”
通过对省级重要系统的数据治理,形成权威的教育系统身份基础数据库。根据其他业务系统需求,按照最小化原则,将部分教育系统身份基础数据库中的数据通过数据交换平台或接口,共享给其他业务系统进行数据的初始化设置或支撑业务服务。通过数据共享打通数据孤岛,减少数据的重复采集,提升数据应用效能,促进数据“一数一源”。
(四)海量的数据汇聚,创新数据应用服务水平
通过教育身份中台,汇聚接入的各应用访问使用数据。通过“学习号”,将各业务系统数据进行关联汇聚,形成学生、教师、机构及办学条件等主题数据库。推进教育数据从单一领域向全领域的数据汇聚,解决各类数据割裂问题,形成数据统一分析基础,形成具备多源教育数据从接入、存储、加工到分析的完整能力。精准绘制的用户画像,支撑提供个性化教育服务;海量的数据分析建模,为教育评价等改革任务提供数据支撑,促进建立“用数据说话、用数据决策、用数据管理、用数据创新”的工作模式,推动教育高质量发展。
