学生可信信息管理系统解决方案.doc

《学生可信信息管理系统解决方案.doc》由会员分享，可在线阅读，更多相关《学生可信信息管理系统解决方案.doc（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、学生可信信息管理系统解决方案内容摘要：针对当今社会上出现虚假文凭，就业虚假信息等大学生不诚信的问题：我们如何通过信息化技术来解决呢？针对这个问题，本文结合教育部相关规定，提出了采用学生可信信息管理系统的解决方案，具有一定的可行性和思考性。关键词：教育信息化、诚信、IC卡、可信信息管理系统。一、方案提出的背景 大学生诚信问题一直是社会关注的焦点。近年来考试作弊、抄袭作业、剽窃科研成果成为各高校开展学风建设的一大难题；而拖欠国家助学贷款、虚假文凭满天飞更是把大学生诚信度推向社会道德规范的审判台。为此，教育部下决心采取有力措施，解决这一问题。并公布了各高校必须从2001年开始实行毕业生电子注册工作，

2、要求各高校毕业生的情况在网上公布，便于社会查询，以抑制或杜绝日益泛滥假文凭歪风。由于网络的普及和发展，从网上查询文凭真假是一个方便可行的方法。但是网络的安全性问题，尚未解决。如果象中国人民银行一样建立一套CFCA那样的网络安全方案需要投入大量的人力、物力和财力。而且需要相当长时间开发CA认证体系、加、解密体系、密钥管理体系、数字证书管理体系等等。按此方法解决教育管理信息安全性问题是不现实的。为解决教育信息的安全性问题，教育部教育管理信息中心校园卡标准化研制所主持制定的校园IC卡规范，与银行的金融电子钱包IC卡一样，具有应用文件结构和密钥安全认证机制。为实现校园卡标准化研究所制定的中国教育集成电

3、路IC卡规范，教育部教育管理信息中心校园卡标准化研究所，提出了一套教育部教育管理信息安全性解决方案，即教育卡发卡方案及安全体系。因此，必须建立IC卡发卡软件和安全体系管理系统，必须建立数字证书管理系统，必须建立数字签名与验证系统，必须建立密钥管理与加解密算法管理系统。这里所指的数字证书，是将实体的属性信息用私有密钥进行加密运算得到的密文和对应的公钥捆绑在一起形成的文件结构。为解决由学校发布的学生信息的安全性问题，必须研制开发学生可信信息管理系统。二、方案的设计与实施1、 学生可信信息的组成将学生相关信息一方面存入系统数据库，一方面存入到IC卡中。我们把这种IC卡称为教育卡，亦称校园卡。该卡由教

4、育部统一规划，由各地教育管理部门或各学校实施，面向在校学生发放，应用于教育管理集成电路（IC）卡。将教育卡中信息分为四类：学生、学籍学业信息为A类，为教育卡的必选指标。通过教育卡CA认证可实现全国通用，其中学生基本信息、指纹信息等数据可被卡内其他应用共享。全国统一规定的教育管理领域应用为B类，包括考试信息、学生体育信息、学生救助信息。在开通了同类应用的地区，该卡可实现通用。全国统一规定的非教育管理领域的社会服务应用为C类，如银行、电信应用，发卡单位可选择进卡。发卡单位自行扩充的应用为D类，如学校的门禁、城市公交等，发卡单位可按统一规则扩充此类应用进卡。l 学生基本信息姓名、公民身份证号码、出生

5、年月、性别、民族、出生地、家庭住址、指纹、写入责任人签名信息l 学籍信息学校名称、学号、专业、院、系、班级、写入责任人签名信息l 学业信息各课成绩、考试时间、奖惩记录、毕业文凭、数字签名l 学校数字证书信息l 考试信息由考试院管理，用于由考试院主管的各类国家等级考试、自学考试。包含用于报考的考生基本信息、准考证号、考场与座位号、考试通过记录。l 体育信息体育号、体育达标记录、体育成绩记录、运动会获奖记录。l 学生救助信息由国际学生救助机构、管理。包含救助号、血型、病史。l 使用信息（可有多个）如电信部门使用信息银行部门使用信息铁道部门使用信息将这些信息组成一条记录存入数据库中，作为虚卡，同时将

6、这些信息也写入教育卡中，可实现一卡多用。并保证学生在校期间实卡与虚卡信息的定时一致性。各种使用信息相互独立，所有使用信息均可共享学生基本信息和/或学籍信息和/或学业信息。2、学生信息的安全保障上述卡中记录的信息，如何保证这些信息的安全性是十分重要，要保证这些信息的可信性、完整性、不可抵赖性和不可篡改性。本方案将做如下处理：l 学生基本信息、学籍信息、学业信息由持卡人所在学校或地方教育局一卡通管理机构负责录入和安全保证，并负责将其教育卡CA证书写入卡中，用其私钥对这些信息做数字签名。l 考试信息、体育信息、学生救助信息、使用信息分别由相应的主管部门负责录入和安全保证，负责将教育卡CA证书，或证书

7、所在网址索引写入教育卡中，并用其私钥对信息做数字签名。l 对于卡中所有信息的可信性，由校园PK卡对学生信息进行数字签名和验证签名。这里所指PK卡是采用公开密钥加密体系的集成电路卡。教育部用软件产生非对称密钥对，并将其装入PK卡中，形成根证书，同时可根据需要生成PK控制卡。由密钥可重现性保证密钥是可控的，不会因为PK损坏而使密钥不可再用。当学校需要发放证书时，可向教育部提出书面申请，委托教育部产生公开、私有密钥对，形成PK卡，并将申请信息及学校公开密钥用教育部私有密钥签名后产生证书。l 本文档所提的数字签名是一种非对称的解密数据变换，数字签名的逆变换，采用校园PK卡中学校公有密钥对签名信息进行解

8、密运算，以验证信息的正确性，同时对学校来说，它具有不可抵赖性。3、学生可信信息管理系统的结构和功能该系统结构如图1所示：图1系统软件结构（1） 数据录入：学生基本信息录入学籍信息录入学业信息录入考试信息录入体育信息录入学业救助信息录入使用信息1录入使用信息2录入使用信息N录入信息录入完成后，对每类信息形成学生信息前缀，其前缀为单位代码项目代码，然后将前缀及信息写入数据库（注意写卡时不写前缀）。数据录入采用两种形式，其一为本系统提供数据录入界面，其二为外系统提供数据录入，此时外系统与本系统必须提供接口，由本系统从接口中获得录入数据。不管哪种方式，最后必须由录入人对所录数据实现数字签名。（2） 数

9、字签名：发卡部门应在向主管部门申请审批后，通过网络向教育部教育卡CA机构申请实体CA证书，教育部CA机构为其制作发卡母卡及控制卡，其中母卡中装有教育部对全国教育卡的安全管理对称密钥，以及教育卡CA实体证书。对称密钥用于全国教育卡真伪的鉴别。PK卡存入由教育部用软件方式产生的非对称密钥对，并可根据需要生成PK控制卡。不同级的PK卡具有不同的使用权限和使用条件，当PK卡向下发行PK卡时，必须通过PK控制卡的认证。教育部的PK卡和对应的PK控制卡通过PIN校验后，经过相互认证，通过后，才能进行下一级的PK卡发行。学校的PK卡通过PIN（个人密码）校验后即可对学生信息进行数字签名。当将密钥（由软件形成

10、）装入PK卡时，产生备份卡及备份控制卡。公开密钥用明文装入备份卡；私有密钥用备份控制卡中的加、解密密钥加密后装入备份控制卡中。备份卡及备份控制卡的使用条件是校验各自的PIN及相互之间的外部认证。公开密钥和私有密钥由备份卡恢复时，公开密钥可直接读出；私有密钥必须由备份控制卡解密读出。数字签名和验证签名是CA认证的两个相互联系又独立的操作过程。信息发出者对信息用压缩算法进行压缩，用自己的私有密钥采用数字签名算法对压缩后的信息进行数字签名，将数字签名结果与原文信息一起组成带数字签名的新信息发送给接收者。信息接收者对所接收信息的原文部分用发送者同样的压缩算法，对原文信息进行信息压缩，对压缩后的信息采用

11、验证签名算法，用信息发出者的公开密钥计算验证签名值。如果发送者的数字签名值与验证签名值相等，则说明所接收的信息是正确的，并且发出者也是所需要的。用此方法实现对信息的真实性、可靠性和不可抵赖性的鉴别。综上所述，当各类责任人录入完数据后，通过学校或教育部门发放的PK卡（该卡除有责任人的私有密钥外，还可根据私有密钥计算TAC(Transaction authorization cryptogram)），计算出TAC（办理认可码）放入所录信息的后面，作为该信息的后缀，这样后缀为“责任人姓名办理认可码”。当学生毕业时，利用学校的PK卡（该卡含有学校的私有密钥），对教育卡中的文凭信息文件进行数字签名，并将

12、结果保存到教育卡的数字签名文件中。数字签名之所以采用PK卡而不是使用功能函数，主要是考虑到使用PK卡这种物理实体，CA授权单一化，操作性和安全性得到保证，便于学校管理与保管，可设定安全使用权限，PK卡上电时需验证PIN后才能使用签名功能。数字签名可采用B/S模式在校园网上自助进行，签名前卡中文件信息的可靠性由学校的对称密钥保证，其流程如图2所示。图2数字签名流程首先客户端计算机与学校服务器分别在读写器上插入教育卡和PK卡（此卡中含有学校对称密钥），利用该密钥实现教育卡与学校PK卡之间的互相认证。然后客户端从教育卡中读出要签名的文件信息，利用学校私有密钥（在学校PK卡中）为其签名，然后把签名信息

13、写入数据库。（3）数据修改如果发现所录入的数据有错误，则必须经相关领导批准后，在专门的时间，由两个人以上（其中一人为非数据录入人员）在场的情况下，修改数据库中该学生的相关信息，并将修改人、修改日期、修改的数据项名称、修改前的值、修改后的值以及办理确认代码保存在修改日志中，以备检查。（4）验证签名验证签名采用如图3所示。图3验证签名流程由教育卡中读出学校CA证书，利用教育系统公钥对学校CA证书进行认证，由卡中读出需要认证的信息及其数字签名，再采用学校公钥对所读出信息进行文件签名认证，最后回送认证结果及通过认证的文件信息。（5）密钥生成密钥生成描述：教育部：学校：密钥生成示意如图4所示。图4密钥生

14、成示意图教育卡CA授权开发公开、私有密钥对生成系统，生成教育部的公开私有密钥对，公开密钥嵌入应用设备或应用软件中，用于验证教育卡中的以学校为证书、持有人的教育部CA证书。私有密钥用于对学校的教育部CA证书数字签名，形成完整的教育部CA证书。生成学校的公开私有密钥对，公开密钥用于生成学校的教育部CA证书，私有密钥使用安全管理策略装载进PK卡中，用于为教育卡中的文件信息进行数字签名。（6）系统维护l 学生可信信息的备份l 学校密钥与个人教育卡私有密钥的安全备份管理l 密钥更新管理l 密钥撤消管理三小 结综上，学生可信管理信息系统是教育部主管部门为规范教育信息推出的新概念，由各学校生成，教育主管部门审查，整个社会使用，对打造教育诚信、解决学生信息安全性具有较好的解决效果，具有一定的社会推广意义和可行性。也是教育市场化竞争的挑战和社会发展的必然趋势。参考文献1 吴海容校园一卡通系统的设计与实现J 宁夏大学学报2002 .52 陈莹莹诚信评价为诚信道德撑起一片蓝天华南师范大学学报 2004.113 校园一卡通系统说明书、中国教育集成电路IC卡规范等