咸立亭

摘 要：本文從國家對信息安全的要求出發(fā)，為滿足教育行業(yè)身份認證服務的需求，在分析教育行業(yè)特點的基礎(chǔ)上，創(chuàng)新性地提出“二級簽發(fā)、三級服務”模式的教育電子身份認證服務體系，并開發(fā)出可滿足各種層次、各種規(guī)模，適合靈活部署與建設(shè)的相關(guān)系統(tǒng)。同時，描述了針對不同管理層次、不同學校建立教育電子身份認證服務系統(tǒng)的內(nèi)容。

關(guān)鍵詞：身份認證 數(shù)字證書 認證服務

中圖分類號：TP393 文獻標識碼：A 文章編號：1673-8454（2009）07-0005-05

一、背景

1.國家對信息安全的要求

隨著我國國民經(jīng)濟和社會信息化進程的全面加快，網(wǎng)絡(luò)、信息與信息系統(tǒng)的基礎(chǔ)性與全局性作用日益增強，國民經(jīng)濟和社會發(fā)展對網(wǎng)絡(luò)、信息與信息系統(tǒng)的依賴也越來越大，網(wǎng)絡(luò)與信息系統(tǒng)自身存在的缺陷、脆弱性以及面臨的威脅，使信息系統(tǒng)的運行客觀上存在著潛在的風險。由此而產(chǎn)生的信息安全問題對國家安全的影響日益增加和突出，國家安全面臨新的挑戰(zhàn)。

黨中央、國務院高度重視信息安全工作，提出了“積極防御、綜合防范”的信息安全管理方針，明確了加強信息安全保障工作的總體要求和主要原則。為加強信息安全工作，國家相關(guān)部門發(fā)布了一系列的相關(guān)文件、政策和法規(guī)，制定了一系列的技術(shù)標準和規(guī)范。

《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）提出：要在五年內(nèi)建設(shè)中國信息安全保障體系。國家發(fā)布了《計算機信息系統(tǒng)安全保護條例》、《信息安全等級保護管理辦法》等，并按《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級，明確提出5級等級保護：第一級自主性保護；第二級指導性保護；第三級監(jiān)督性保護；第四級強制性保護；第五級?？匦员Ｗo，并定義了每級應保護的范圍和內(nèi)容。

通過上述工作，使得我國的信息安全工作逐步邁入法制化、規(guī)范化、標準化的軌道。

最近幾年，國家特別強調(diào)密碼技術(shù)在解決信息安全方面的重要性。只有采用密碼技術(shù)才能解決信息、信息系統(tǒng)的完整性、機密性、可用性、可控性和不可否認性等安全性問題，才能有效防止計算機系統(tǒng)與網(wǎng)絡(luò)本身安全方面的漏洞。使用密碼技術(shù)對信息及信息系統(tǒng)進行安全保護，既是解決信息安全最有效和最先進的技術(shù)，也是最經(jīng)濟、最可靠的方式。因此，推動以密碼為核心，以身份認證、授權(quán)管理與責任認定為主要內(nèi)容的密碼應用技術(shù)體系的建設(shè)，是保障信息資源安全的關(guān)鍵與基礎(chǔ)。

2.教育信息化發(fā)展的需要

教育信息化是國民經(jīng)濟和社會信息化的重要組成部分，教育部一直十分重視教育信息化建設(shè)，取得了許多可喜的成果：中國教育和科研計算機網(wǎng)與中國教育衛(wèi)星寬帶傳輸網(wǎng)覆蓋全國，互聯(lián)互通，初步形成了天地合一的現(xiàn)代遠程教育傳輸網(wǎng)絡(luò)，成為教育信息化的重要基礎(chǔ)設(shè)施和構(gòu)建學習型社會的重要平臺；建設(shè)了各類教育信息化應用系統(tǒng)，并用于招生考試、學籍學歷管理、教學管理、科研管理、后勤財務管理等，初步建成了相關(guān)教育信息資源庫。

隨著教育信息化的快速發(fā)展，對信息及信息系統(tǒng)的安全性要求也越來越高。例如，隨著高等學校招生規(guī)模的不斷擴大，招生管理的網(wǎng)絡(luò)化、信息化已普及起來，如何保證招生考試信息在采集、生成、傳輸、存儲、處理以及共享與應用等各個環(huán)節(jié)的安全已成為制約招生考試管理信息化推廣應用的瓶頸。同時，黑客攻擊和病毒干擾逐年增加，網(wǎng)上錄取系統(tǒng)的安全不能得到有效保障。當前，許多重要信息與敏感信息，例如，教育公文、教育基礎(chǔ)資源數(shù)據(jù)等在網(wǎng)上傳輸時，沒有得到有效的安全保證，易被竊取、篡改與偽造，因此，為了進一步提升教育信息化的水平，必須加強教育信息、教育信息化應用系統(tǒng)的安全性，必須采用密碼技術(shù)，以解決教育重要信息資源的完整性與機密性，教育業(yè)務應用系統(tǒng)的可用性與可控性，以及操作的不可否認性。

3.建設(shè)教育行業(yè)電子身份認證服務體系的可行性

公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，簡稱PKI）是一種遵循既定標準和規(guī)范，采用密碼技術(shù)，為應用系統(tǒng)提供一整套安全服務基礎(chǔ)平臺，能夠為各類業(yè)務應用系統(tǒng)提供信息加密和數(shù)字簽名等密碼服務，以及所有必須的密鑰與證書管理服務。公鑰基礎(chǔ)設(shè)施就是能夠?qū)借€對進行管理、支持身份認證、機密性、完整性、可用性、可控性以及不可否認性服務的具有普適性的信息安全基礎(chǔ)設(shè)施。

將身份信息與其公鑰進行綁定，并由權(quán)威認證機構(gòu)進行簽名的數(shù)字證書，是當前進行身份認證的首選安全技術(shù)?；赑KI技術(shù)，我國已經(jīng)研發(fā)出許多數(shù)字證書認證系統(tǒng)，并在有些行業(yè)以及省、市等推廣應用。這些已建的證書認證體系，大多采用證書簽發(fā)與證書服務合一的集中式、樹型結(jié)構(gòu)體系。這種認證體系的優(yōu)點是安全強度高、設(shè)計與管理簡單，其層次與行政管理模式同構(gòu)，授權(quán)體系與管理體系一致，容易在觀念上被認可和理解，但這種認證體系不適合分布式部署、靈活獨立部署的需要。

為了提高教育信息的整體安全水平，教育部教育管理信息中心組織有關(guān)單位，在國家密碼主管部門的大力指導和支持下，制定了《教育信息安全密碼應用統(tǒng)一技術(shù)與平臺》（以下簡稱密碼應用統(tǒng)一技術(shù)平臺），并獲得了國家密碼主管部門組織的權(quán)威專家評審通過。密碼應用統(tǒng)一技術(shù)平臺明確了教育電子身份認證服務體系（即證書簽發(fā)與服務體系）在整個教育信息化的建設(shè)與應用中所處的安全基礎(chǔ)性地位。

根據(jù)密碼應用統(tǒng)一技術(shù)平臺要求，結(jié)合教育行業(yè)的特點，研制開發(fā)了新型的教育電子身份認證服務體系，即創(chuàng)新性地提出了扁平結(jié)構(gòu)的“二級簽發(fā)、三級服務”的簽發(fā)認證服務體系，奠定了教育電子身份認證服務體系建設(shè)與應用的基礎(chǔ)。

二、建設(shè)教育電子身份認證服務體系的原則

1.遵循國家信息安全相關(guān)法律政策原則

教育電子身份認證服務體系必須遵照《中華人民共和國電子簽名法》，以及遵守《國家商用密碼管理條例》，必須按照國家對信息安全、密碼管理等方面的要求進行建設(shè)，才能保障所設(shè)計和建設(shè)的教育電子身份認證服務系統(tǒng)所簽發(fā)的數(shù)字證書及其提供的證書服務具有法律保障，并保證其安全性。

2.遵循國家商用密碼管理標準規(guī)范原則

教育電子身份認證服務體系必須符合國家密碼管理與電子認證服務管理的相關(guān)技術(shù)標準與規(guī)范，例如，《證書認證系統(tǒng)密碼及相關(guān)安全技術(shù)規(guī)范》、《數(shù)字證書認證系統(tǒng)密碼協(xié)議規(guī)范》、《公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》、《數(shù)字證書認證系統(tǒng)檢測規(guī)范》、《證書認證密鑰管理系統(tǒng)檢測規(guī)范》、《公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)查詢協(xié)議》《公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》等，以及PKCS、PKIX、LDAP、OCSP等國際標準。這樣，才能滿足證書統(tǒng)一認證，行業(yè)內(nèi)統(tǒng)一服務的實際應用的需要。

3.滿足教育行業(yè)管理特殊性需求原則

教育行業(yè)管理體系既存在縱向管理，又存在交叉管理，既有行業(yè)的“垂直行政管理”和“松散業(yè)務管理”特色，又有“直接經(jīng)營管理”的各類學校與教育機構(gòu)，各學校的自主管理性很強。

具體而言，教育部對全國各省（市、自治區(qū)）的教育廳（教委、教育局）有業(yè)務指導與行政管理職能，對70余所部屬院校具有直接管理與業(yè)務指導職能，還對其他的教育機構(gòu)（例如，培訓機構(gòu)、考試管理機構(gòu)等）行使行業(yè)管理等職能；各?。ㄊ小⒆灾螀^(qū)）的教育廳（教委、教育局）對行政管轄范圍內(nèi)的各地（市、州）教育局以及省屬院校具有業(yè)務指導和管理職能；各地（市、州）、縣教育局對本轄區(qū)的各中小學直接進行指導與管理。

根據(jù)教育行業(yè)管理體系的特點，教育電子身份認證服務系統(tǒng)既要能滿足教育行政管理的需要，也要能滿足學校自主管理的需要。

4.遵循統(tǒng)一技術(shù)平臺、靈活部署的原則

各級教育行政管理機構(gòu)與各級各類學校的信息化建設(shè)要求不盡相同，對于身份認證服務系統(tǒng)在建設(shè)規(guī)模、安全等級要求、策略配置、設(shè)備配備等方面，發(fā)達地區(qū)和不發(fā)達地區(qū)、高等院校與中小學學校、部屬高等院校與其他普通高等院校，存在著較大的差異，對教育電子身份認證服務系統(tǒng)的需求也必然不同。因此，教育身份認證服務系統(tǒng)在設(shè)計上必須考慮能夠?qū)嵤敖y(tǒng)一平臺、靈活部署”，采用統(tǒng)一的技術(shù)平臺，根據(jù)各單位的實際需求，進行靈活部署。這樣，教育電子身份認證服務系統(tǒng)必須采用分布式證書認證服務體系，而不是集中式樹形結(jié)構(gòu)的證書認證服務體系。

5.遵循系統(tǒng)分步實施、分步建設(shè)的原則

由于我國地區(qū)經(jīng)濟發(fā)展不平衡的現(xiàn)狀，不同地區(qū)、不同管理機構(gòu)與不同學校教育信息化的建設(shè)發(fā)展水平不盡相同，對教育電子身份認證服務的需求必然存在較大差異。因此，教育電子身份認證服務系統(tǒng)的建設(shè)須配合本地區(qū)、本單位的信息化建設(shè)進程，結(jié)合并滲透至各個信息化應用系統(tǒng)的安全保障體系中，才能充分發(fā)揮其信息安全保障的作用，確保投資效益。教育電子身份認證服務系統(tǒng)必須能滿足“分步實施，分步建設(shè)”的需要，不能一刀切。教育電子身份認證服務體系要能滿足“成熟一個、建設(shè)一個，并最終建設(shè)能覆蓋全行業(yè)的身份認證服務體系”的需要。

6.滿足不同層次規(guī)模學校需求的原則

我國的高等院校有部屬高等院校，也有省屬高等院校、市屬高等院校，還有經(jīng)教育主管部門批準成立的民辦高等院校等，這些學校的辦學規(guī)模、擁有的資源、教育信息化建設(shè)水平均存在很大區(qū)別。

對于中小學校也存在類似情況，有省級重點中學，市級重點中學，也有偏遠山區(qū)的中小學校，這些學校的辦學規(guī)模、信息化建設(shè)水平差別更大。

因此，教育電子身份認證服務體系必須能夠滿足各級各類學校根據(jù)自身層次與規(guī)模，獨立建設(shè)教育電子身份認證服務系統(tǒng)的需要。

7.遵循服務申請便捷、認證安全的原則

建立教育電子身份認證服務系統(tǒng)的目的是為身份認證、授權(quán)管理等安全服務，因此，在設(shè)計教育電子身份認證服務系統(tǒng)時，必須考慮證書申請的方便性。為此，新型的教育電子身份認證服務系統(tǒng)提供在線證書申請、審核與簽發(fā)模式，同時支持在線申請信息提交，到身份認證服務中心簽發(fā)證書，也支持到身份認證服務中心注冊機構(gòu)辦理證書申請等業(yè)務。同時，必須考慮證書服務與證書查詢的方便性，因此，證書認證路徑不能長，越短越好。為了證書服務的方便性，必須建立相應的證書服務體系，既要支持全國的證書服務，也要支持局部、區(qū)域性證書服務。這樣，才能適應教育行業(yè)的特點和需要。在國家密碼管理專家的支持下，教育部教育管理信息中心提出了“二級簽發(fā)、三層服務”證書認證服務體系，能滿足以上要求。

三、教育電子身份認證服務體系的體系結(jié)構(gòu)

1.“二級簽發(fā)、三層服務”模式

（１）證書簽發(fā)模型

證書認證體系由兩個部分組成，其一為證書簽發(fā)體系，其二為證書服務體系。證書服務體系（含證書認證）利用證書簽發(fā)體系所簽發(fā)的證書為用戶提供證書服務。

根據(jù)教育行業(yè)的特點，教育證書認證系統(tǒng)按扁平結(jié)構(gòu)的“二級簽發(fā)”模型設(shè)計，其結(jié)構(gòu)圖如圖1所示。

圖1 教育證書認證體系模型

“二級簽發(fā)”的模型描述如下：

設(shè)CA₁為離線方式部署證書簽發(fā)系統(tǒng)，負責為各自獨立的二級認證機構(gòu)CA₂₁、CA₂₂、……CA₂N簽發(fā)認證機構(gòu)證書。由這些二級認證機構(gòu)為所轄范圍內(nèi)的用戶簽發(fā)用戶證書。注意，CA₂₁、CA₂₂、……CA₂N這些認證機構(gòu)可以是各?。ㄊ小⒆灾螀^(qū)）教育廳（局），也可以是部屬高等院校，也可以是地（州、市）教育局或者省屬高等院校等。

首先，離線的認證機構(gòu)根證書簽發(fā)系統(tǒng)（CA₁），必須生成自簽名的一級證書，利用該證書為二級認證機構(gòu)簽發(fā)認證機構(gòu)證書。例如，二級認證機構(gòu)為湖南省教育廳（CA₂₂），那么湖南省教育廳要建立二級證書簽發(fā)認證服務體系，其認證機構(gòu)證書必須由CA₁簽發(fā)；然后，湖南省教育廳的證書簽發(fā)系統(tǒng)所簽發(fā)的用戶證書、機構(gòu)證書、設(shè)備證書必須由該認證機構(gòu)證書進行簽發(fā)。

由此可見，湖南省教育廳所建立的簽發(fā)系統(tǒng)為用戶簽發(fā)證書是非常方便與快捷的。當然認證證書的有效性就變得十分簡單（這里從略）。

（２）證書服務模型

由教育證書認證體系可以看出，教育證書認證體系采用扁平結(jié)構(gòu)，由一級證書認證系統(tǒng)和各自獨立的二級證書認證系統(tǒng)組成。通過一級證書認證系統(tǒng)為各級證書認證系統(tǒng)簽發(fā)認證機構(gòu)證書，將這些獨立的二級認證機構(gòu)所簽發(fā)的用戶證書聯(lián)系起來。

考慮到由各自獨立的二級證書認證系統(tǒng)所簽發(fā)的用戶證書，既要能為本認證機構(gòu)管轄范圍內(nèi)的用戶服務，也要能為上級機構(gòu)所管轄范圍的用戶服務，直至能為全國范圍內(nèi)的用戶服務。因此，其證書服務體系模型如圖2所示。

圖2 教育證書服務體系模型

這種證書服務模型包括三個層次：

１）全國教育電子身份認證服務中心

證書服務體系第一層是全國教育電子身份認證服務中心，該中心亦稱為一級教育電子身份認證服務中心。該中心必須建立教育證書服務系統(tǒng)，其作用是需要在全國范圍內(nèi)進行證書服務的所有證書必須集中在該中心，包括所有二級簽發(fā)機構(gòu)所簽發(fā)的證書。

證書服務包括證書獲取、證書查詢、證書驗證（有效期驗證、簽名驗證以及證書狀態(tài)檢驗）。

２）二級教育電子身份認證服務分中心

證書服務體系第二層包括行業(yè)性應用教育電子身份認證服務分中心、省級教育電子身份認證服務分中心與部屬院校教育電子身份認證服務分中心。該層的各分中心必須建立教育證書服務系統(tǒng)，其作用是需要在本級內(nèi)進行證書服務的所有證書必須集中在該中心，包括該分中心所管轄的各認證機構(gòu)所簽發(fā)的證書。

證書服務包括證書獲取、證書查詢、證書驗證（有效期驗證、簽名驗證以及證書狀態(tài)檢驗）。

３）三級教育電子身份認證服務分中心

證書服務體系第三層包括省級以下地區(qū)教育管理部門、各級各類學校（部屬院校除外）以及其他教育機構(gòu)的教育電子身份認證服務分中心等。該層的各分中心也必須配置教育證書服務系統(tǒng)，其作用是需要在本級進行證書服務的證書必須集中在該中心，包括本分中心對應的二級簽發(fā)機構(gòu)所簽發(fā)的證書。

證書服務包括證書獲取、證書查詢以及證書驗證（有效期驗證、簽名驗證以及證書狀態(tài)檢驗）。

由圖2不難看出，每個獨立的認證機構(gòu)所簽發(fā)的證書，除為本認證機構(gòu)管轄范圍內(nèi)的用戶提供服務外，也要把所簽發(fā)的證書同步發(fā)送到省級教育電子身份認證服務分中心，直至全國教育電子身份認證服務中心。

在這種證書服務體系下，如果三級教育電子身份認證服務分中心所對應的二級教育電子身份認證服務分中心尚未建立教育證書服務系統(tǒng)，該三級教育電子身份認證服務分中心可將所簽發(fā)的證書同步發(fā)送到一級教育電子身份認證服務中心，由一級身份認證服務中心代管。待對應的二級教育電子身份認證服務分中心建立證書服務系統(tǒng)后，將證書由一級身份認證服務中心發(fā)送回二級教育電子身份認證服務分中心。

2.全國教育電子身份認證服務中心的建設(shè)

按照“二級簽發(fā)、三級服務”模式，為推進教育行業(yè)電子身份認證服務體系的建設(shè)，必須首先建設(shè)全國教育電子身份認證服務中心，即一級教育電子身份認證服務中心（以下簡稱為一級中心）。

一級中心的建設(shè)內(nèi)容為：

（１）建設(shè)為二級證書簽發(fā)機構(gòu)簽發(fā)認證機構(gòu)證書的一級證書認證系統(tǒng)，該系統(tǒng)主要包括證書簽發(fā)系統(tǒng)與密鑰管理系統(tǒng)，對應于“二級簽發(fā)”模型中的第一級；

（２）建立一級教育電子身份認證系統(tǒng)，該系統(tǒng)主要包括證書簽發(fā)系統(tǒng)與密鑰管理系統(tǒng)。一級教育電子身份認證系統(tǒng)為個人、機構(gòu)、設(shè)備簽發(fā)證書、管理證書、存儲證書、發(fā)布證書以及凍結(jié)證書、解凍證書、撤消證書、更新證書、歸檔證書等各種證書業(yè)務。管理與證書相關(guān)的密鑰生成、密鑰存儲、密鑰分發(fā)、密鑰更新、密鑰備份與恢復以及密鑰歸檔等密鑰管理業(yè)務，對應于“二級簽發(fā)”模型第二級；

（３）建立一級證書服務系統(tǒng)，為一級教育電子身份認證系統(tǒng)所簽發(fā)的證書提供證書服務，同時也可為全國各二級簽發(fā)機構(gòu)所簽發(fā)且上傳到本服務中心的證書提供證書服務，對應于“三層服務”模型的第一層；

（４）建立一級教育電子身份認證服務中心的業(yè)務門戶網(wǎng)站，方便網(wǎng)上辦理個人證書、機構(gòu)證書、設(shè)備證書的申請、審核和簽發(fā)，同時支持網(wǎng)上辦理其他證書業(yè)務，包括證書凍結(jié)、證書解凍、證書撤消、證書更新、證書查詢等；

（５）建立安全的數(shù)據(jù)傳輸系統(tǒng)，實現(xiàn)本中心與其他教育電子身份認證服務分中心之間的安全數(shù)據(jù)傳輸。

3.省級教育電子身份認證服務中心的建設(shè)

各?。ㄊ?、自治區(qū)）教育廳（局、教委）可根據(jù)實際需求建設(shè)二級教育電子身份認證服務分中心（以下簡稱省級分中心），其建設(shè)內(nèi)容主要包括：

（１）建立二級教育電子身份認證服務系統(tǒng)，該系統(tǒng)主要包括證書簽發(fā)系統(tǒng)與密鑰管理系統(tǒng)等。該系統(tǒng)可為管轄范圍內(nèi)的個人、機構(gòu)、設(shè)備簽發(fā)證書、管理證書、存儲證書、發(fā)布證書、凍結(jié)證書、解凍證書、撤消證書、更新證書、歸檔證書等各種證書業(yè)務。管理與證書相關(guān)的密鑰生成、密鑰存儲、密鑰分發(fā)、密鑰更新、密鑰備份與恢復，以及密鑰歸檔等密鑰管理業(yè)務。對應于“二級簽發(fā)”模型的第二級；

（２）建立二級證書服務系統(tǒng)，為該級所簽發(fā)的證書提供證書服務，同時也可為本省（市、自治區(qū)）管轄范圍內(nèi)的其他二級簽發(fā)機構(gòu)所簽發(fā)且上傳到本服務分中心的證書提供證書服務，并將本分中心所有證書（包括管轄范圍內(nèi)其他二級認證機構(gòu)簽發(fā)的證書）同步發(fā)送到一級中心。對應于“三層服務”模型的第二層；

（３）建立教育電子身份認證服務分中心的門戶網(wǎng)站，實現(xiàn)網(wǎng)上辦理個人證書、機構(gòu)證書、設(shè)備證書的申請、審核與簽發(fā)，同時支持網(wǎng)上辦理證書其他業(yè)務，包括證書凍結(jié)、證書解凍、證書撤消、證書更新、證書查詢、證書下載等證書業(yè)務。

（４）建立安全數(shù)據(jù)傳輸系統(tǒng)，實現(xiàn)本分中心與一級中心之間，本分中心與下級分中心之間的安全數(shù)據(jù)傳輸。

4.部屬高等學校電子身份認證服務分中心的建設(shè)

部屬高等學?？筛鶕?jù)實際需求建立二級教育電子身份認證服務中心，其建設(shè)內(nèi)容為：

（１）根據(jù)學校規(guī)模，可選擇適合要求的二級教育電子身份認證服務系統(tǒng)，該系統(tǒng)主要包括證書簽發(fā)系統(tǒng)與密鑰管理系統(tǒng)。該系統(tǒng)可為學校個人、機構(gòu)、設(shè)備簽發(fā)證書、管理證書、存儲證書、發(fā)布證書，以及凍結(jié)證書、解凍證書、撤消證書、更新證書、歸檔證書等各種證書業(yè)務。管理與證書相關(guān)的密鑰生成、密鑰存儲、密鑰分發(fā)、密鑰更新、密鑰備份與恢復以及密鑰歸檔等密鑰管理業(yè)務。對應于“二級簽發(fā)”模型的第二級；

（２）建立二級證書服務系統(tǒng)，為學校提供證書服務。同時，要求把所簽發(fā)的證書，同步發(fā)送到一級教育電子身份認證服務中心。對應于“三層服務”模型的第二層；

（３）建立教育電子身份認證服務分中心的門戶網(wǎng)站，由該門戶提供網(wǎng)上辦理個人證書、機構(gòu)證書、設(shè)備證書的申請、審核與簽發(fā)，同時提供網(wǎng)上辦理其他證書業(yè)務，包括證書凍結(jié)、證書解凍、證書撤消、證書更新、證書查詢、證書下載等證書業(yè)務；

（４）建立數(shù)據(jù)安全傳輸系統(tǒng)，實現(xiàn)本分中心與一級中心之間的數(shù)據(jù)安全傳輸。

5.其他教育管理部門（學校）教育電子身份認證服務分中心的建設(shè)

其他教育管理部門或?qū)W?？筛鶕?jù)本地區(qū)、本單位的實際需要建設(shè)教育電子身份認證服務分中心，其建設(shè)內(nèi)容包括：

（１）根據(jù)本地區(qū)、本單位（學校）管轄范圍及規(guī)模，建立能滿足要求的二級教育電子身份認證服務系統(tǒng)，該系統(tǒng)主要包括證書簽發(fā)系統(tǒng)與密鑰管理系統(tǒng)。該系統(tǒng)可為管轄范圍內(nèi)的個人、機構(gòu)、設(shè)備簽發(fā)證書，管理證書、存儲證書、發(fā)布證書以及凍結(jié)證書、解凍證書、撤消證書、更新證書、歸檔證書等各種證書業(yè)務。管理與證書相關(guān)的密鑰生成、密鑰存儲、密鑰分發(fā)、密鑰更新、密鑰備份與恢復，以及密鑰歸檔等密鑰管理業(yè)務。對應于“二級簽發(fā)”模型的第二級；

（２）建立三級證書服務系統(tǒng)，為管轄范圍內(nèi)的證書提供證書服務。同時要求將所簽發(fā)的證書，同步上傳到對應的省級分中心，對應于“三層服務”模型的第三層；

（３）建立教育電子身份認證服務分中心門戶網(wǎng)站，由該門戶提供網(wǎng)上辦理個人證書、機構(gòu)證書、設(shè)備證書的申請、審核與簽發(fā)，同時提供網(wǎng)上辦理證書凍結(jié)、證書解凍、證書撤消、證書更新、證書查詢、證書下載等證書業(yè)務；

（４）建立數(shù)據(jù)安全傳輸系統(tǒng)，實現(xiàn)本分中心與省級分中心之間的數(shù)據(jù)安全傳輸。

四、結(jié)論

根據(jù)國家對信息安全的要求，結(jié)合教育行業(yè)信息化的具體情況，采用PKI技術(shù)，創(chuàng)新性地研制開發(fā)了扁平結(jié)構(gòu)的“二級簽發(fā)、三層服務”模式的教育電子身份認證服務體系。根據(jù)管理范圍、規(guī)模，采用統(tǒng)一的教育電子身份認證服務系統(tǒng)技術(shù)平臺，在建設(shè)部署上可實現(xiàn)成熟一個，建設(shè)一個，適用于教育行業(yè)“靈活分布式部署，并最終形成行業(yè)統(tǒng)一的電子身份認證服務體系”的建設(shè)要求，可滿足教育行業(yè)的需要。