教育云平台的敏感信息保护技术研究

李以斌++牟大伟

【 摘 要 】 教育云平台为广大师生带来便利的同时，信息数据的安全性也日渐凸显。为确保教育资源符合中小学教育的绿色、安全要求，需要重点解决平台中教育资源的内容安全、敏感信息保护、整体云服务安全保障等问题。敏感数据主要是学生和教师的个人信息，这些信息数据需经数字签名验证服务器进行完整性校验和加密后存入相应数据库，在读取时进行完整性校验。基于KPI的数字证书及加密技术是实现这一方案的重要技术基础，文章将对其进行深入探讨并研究其在教育云平台中的实际应用。

【 关键词 】 信息保护；PKI；数字证书；加密算法；教育云

The Research of Protection Technology to Sensitive Information in Education Cloud Platform

Li Yi-bin Mu Da-wei

（1.Taiji Computer Corporation Limited Beijing 100083；2. Beijing Certificate Authority Beijing 100080）

【 Abstract 】 Education cloud platform for the majority of teachers and students to bring convenience， at the same time， the security of the information data are increasingly highlighted.In order to ensure the education resources can meet the demands of primary and secondary school education of green， safety， and need to focus on the content of the education resources in the platform security， sensitive information protection， the whole cloud service security and other issues.Sensitive data is mainly students and teachers' personal information， the information data need to the digital signature and authentication server for integrity check deposit encrypted with the corresponding database， when reading for integrity checking.Based on KPI digital certificates and encryption technology is the important technical foundation to realize the scheme， this article carries on the in-depth discussion and research its actual application in education cloud platform.

【 Keywords 】 information protection； pki； digital certificate； encryption algorithm； education cloud

1 引言

2010年7月29日，中共中央、国务院印发了《国家中长期教育改革和发展规划纲要（2010-2020年）》，从现代化建设的全局出发，确定了十年战略目标，提出了“优先发展、育人为本、改革创新、促进公平、提高质量”的工作方针。《纲要》明确指出，“加快教育信息基础设施建设，把教育信息化纳入国家信息化发展整体战略，超前部署教育信息网络。”为此，中央电化教育馆推进了国家教育云试点项目，并将建设国家教育云平台看作是教育部在教育信息化领域的战略重点。

国家教育云平台建设本质即是对教育资源信息化、共享化、运营化的过程。 目前信息化的教育资源大致分为两类。

第一类为素材类。这类资源包括素材库、课件库、案例和库题库等，具有数据量极大（多数为P乃至10P级别的存储需求）、数据类型多（包括文本、图像、音频、视频、动画等多种形式）等特征。

第二类为工具类。这类资源包括成绩分析、学生综合素质评价、在线考试、在线课堂、互动教育社区等。这类资源应用类型多，一般会涉及学校、教师、学生、家长、教学管理及科研机构等多个群体的多类应用需求；同时个性化需求强，因为每个学校、每个班级基本上都有自身的特色化需求。

在上述资源中，都会涉及到大量教师、学生、家长的姓名、住址、联系方式等隐私数据和敏感信息，因此，需要对这些敏感信息进行有效保护。

2 教育云敏感信息保护需求分析

2.1 安全隐患

云计算虚拟化、多租户和动态性引入了一系列的安全问题。近年来针对云计算安全性的研究重点涉及数据安全、内容安全、隐私保护、运行环境安全、虚拟资源安全等几个方面，而敏感信息的保护问题，在虚拟化环境下尤为突出。从近年来发生的网络信息平台用户信息泄露的事件来看，大多系统安全隐患在两方面：一方面是用户Web应用系统的后门或漏洞，另一方面是用户IT支撑系统安全防护手段的缺失。这些事件都反映出云平台敏感信息保护工作的复杂性和多样性。

2.2 应用需求分析

教育云平台为广大师生带来便利的同时，信息数据的安全性也日渐凸显。针对教育云平台中信息的不同安全等级，应采取不同的数据保护技术，将师生个人信息等敏感数据和教学音、视频等非敏感数据依安全等级进行分离，在物理上分散存储，并为敏感数据实施进一步加密保护。为了防止教育云中敏感数据被非法篡改，保障教育云服务平台信息的安全，保证合法的用户正确地使用教育云服务，在数据分散存储和加密保护的基础上，还需要对数据的完整性进行验证。

为了解决敏感信息安全保护问题，系统设计必须达到几条基本的要求。

（1）机密性——确保敏感数据能够保持私有或保存为一个秘密的格式。

（2）鉴别与授权——确认信息使用者的身份并确保其不越权，使需要它的人可以简单方便的访问到数据。

（3）完整性——确保信息在传输过程中没有被篡改。例如，在云平台管理者或者审计者提出查验某些信息的请求时，系统必须能够确信其所收到的请求信息正是当事人所发出的。这一点非常重要。

（4）不可抵赖性——有证据保证对云平台的任何操作不被否认。例如上个例子中，信息的请求者不能事后否认他曾经发出过这个请求。

把机密性、鉴别与授权、完整性和不可抵赖性结合起来，才能组成一个高安全性的云平台，确保平台中敏感信息不易泄露。

加密技术是保障信息安全的基石，它以较小的代价，对信息提供一种强有力的安全保护。今年来密码学得到了前所未有的重视并迅速普及，同时其应用领域也广泛扩展，不仅服务于信息的加密和解密，还是身份认证、访问控制、信息保护等多种安全机制的基础。理论上，信息加密技术是利用密码学的原理与方法对数据提供保护的方法。本文就密码技术在云平台敏感信息保护中的应用进行探讨，并提出解决方案。

3 教育云敏感信息保护技术基础

3.1 公钥基础设施（PKI）

PKI是一个用公钥密码算法原理和技术来提供安全服务的通用性基础平台，该技术通过公钥密码体系中的用户私钥的机密性来提供用户身份的唯一性验证，并通过公钥数字证书的方式为每个合法用户的公钥提供一个合法性的证明，建立了用户公钥到证书ID号之间的映射关系。数字证书中的信息通过数字信封技术和数字签名技术提供了完整性的保护，因此可以通过公开的方式（如LDAP服务）对外发布。由此可见，PKI技术体系可以实现上述应用需求分析中的机密性、鉴别与授权、完整性、不可抵赖性的需求。

由于数字证书本身是公开的，因此在身份验证过程中必须通过公钥与私钥之间的唯一映射关系来间接建立用户私钥和证书ID之间的映射关系。在统一的PKI安全平台实现中，用户私钥一般储存在物理存储介质中。

公钥基础设施是利用非对称技术来实现对实体身份提供身份凭证的安全基础设施，PKI最核心的内容是数字证书，包括电子认证服务机构、证书持有者，以及提供安全支撑服务的电子认证服务机构、证书发布和存储、提供证书状态查询服务器、数字签名验证服务器、时间戳服务器、电子签章系统和证书管理服务器及其依赖的运行系统。

3.2 电子认证服务机构

电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。电子认证服务机构是作为PKI基础实施系统对外开展电子认证服务，并受工信部、国家密码管理局监管、指导的第三方认证机构，按照《电子认证服务管理办法》开展电子认证业务。电子认证服务机构负责发放和管理数字证书，并作为受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

由CA签发的数字证书是该用户被CA信任的证明。这样，通过CA这一第三方信任机构，任何两名用户之间也建立了信任关系。如图1所示。

CA是电子证书系统的核心部分，电子证书系统内的所有信任关系都是通过CA建立的。CA不但负责签发证书及CRL，还管理中央数据库，对其他系统提出的请求给出应答。CA应该支持证书模板、支持多种数据库平台和多种加密设备。

3.3 数字证书

数字证书由用于标志通讯各方身份信息的一系列数据组成，一般由CA认证机构颁发。证书的格式及内容遵循X.509标准，这是为了保证使用数字证书的各系统间的互操作性而制定的标准。一个标准的X.509证书的内容如图2所示。

其中，签名算法标示符域指出了CA使用的证书签名的公钥算法和哈希算法（例如RSA和MD5）。有效期域指定了证书的起始时间和结束时间。主体公钥信息域标识了两个重要的信息：主体拥有的公钥的值和公钥所应用的算法的标识符。同样的，算法标识符指定了公钥算法和哈希算法（例如RSA和SHA-1）。

3.4 加密算法

如前所述，建立一个安全的数据环境需要实现数据的真实性、完整性及不可否认性。在PKI体系中，一般采用非对称算法实现这些需求。在非对称算法加密体系中，会生成一对密钥，一个是公钥，一个是私钥。公钥是公开的，任何人都可以得到；而私钥则只有加密者私人所有。用公钥或私钥加密的信息，只有用它对应的私钥或公钥才能解正确密。

有些情况下，我们还需要用到哈希（Hash）算法。哈希是一种单向算法，它对原数据进行摘要，得到一个摘要信息。如果原数据发生了哪怕轻微的变化，摘要信息也会大为不同。

利用上述算法和技术，就可以实现三点。

（1） 若以公钥作为加密密钥而以私钥作为解密密钥，则在用户安全保存私钥的前提下，只有拥有私钥的用户才能解密信息，这就保证了数据的机密性。

（2）如果以用户私钥为加密密钥而以公钥为解密密钥，由于公钥与私钥对应关系的唯一性，这就可以保证加密行为的不可否认性。

（3）使用算法对数据原文进行计算，得到一小段附加数据，这一小段数据与原文的每一位都相关，使得原文数据的任何一点改动都能反映到这段附加数据上，这就可以用来验证原文数据是否被改变，保证了数据的原始性和完整性。

3.5 数字签名验证技术

通过数字签名验证技术，实现基于数字证书的身份认证，对文件提供数字签名和数字签名验证功能。数字签名验证服务主要包括签名验证核心服务模块和安全管理模块。签名验证核心服务通过应用端部署的API，接收应用端发送的签名服务请求，并返回签名或验证服务结果。安全管理以B/S方式提供，管理员可以通过Web浏览器直接对各种证书服务和系统进行集中管理和配置。

6 教育云敏感信息保护方案设计

考虑到上述技术实现基础和教育云运行现状，采用基于数字证书的强身份认证方式实现对管理用户的有效管理，保证登录平台的管理用户身份真实可信势在必行。同时，这也为相关人员对操作的不可抵赖和保障数据的安全奠定基础。

6.1 方案设计

本方案旨在建设符合国家标准、满足课题需求的数字签名验证系统，实现数据的加解密和完整性校验功能。在教育云服务平台上部署数字签名验证服务器来实现对云平台中敏感隐私信息的机密性和完整性保护。根据教育云服务平台中信息的特性，将敏感数据和非敏感数据进行分散存储，依托基于电子签名技术的数字签名验证服务器，对敏感数据进行哈希运算和签名动作实现对数据的加密保护。其中，敏感数据主要是学生和教师的个人信息，包括教育ID、身份证号、联系方式、家庭地址、家庭成员及社会关系等。

为了提高数据安全性，教育云对敏感信息数据采用了分片存储的方式。敏感信息数据经数字签名验证服务器进行完整性校验和加密后存入相应数据库，当应用系统对敏感数据进行读取操作时，数字签名验证服务器将对对应数据进行解密操作，并再次进行完整性校验，防止敏感数据被篡改。

通过对教育云服务平台安全需求的分析，本方案设计的逻辑架构如图3所示。

这种方案实现对教育云服务平台敏感数据的安全保障，方案思路：数字签名验证服务器对教育云平台上的敏感信息进行完整性校验后加密保存。广大师生或教育云平台的管理人员通过互联网，在平台登陆门户进行接入认证通过后，将可访问各自权限范围内的应用功能，当应用需要访问学生、教师个人信息等敏感信息时，通过调用数字签名验证服务器对应API接口，对相应信息进行解密，并利用电子签名技术对其进行完整性校验，验证通过后将明文信息提供给业务系统。

6.2 系统部署

本方案使用高性能的数字签名验证服务器实现数据安全保护，确保服务的可用性和稳定性。本方案将数字签名验签服务器设备部署在安全管理域，并经过安全策略过滤后，与云平台应用服务域设备互联，为应用服务域的业务信息系统提供数据加解密和完整性校验的功能。在安全管理域中，配置相互独立的核心服务网络接口和Web管理服务网络接口，分别用于签名验证服务和后台管理服务。

教育云平台的应用系统需要与数字签名验签服务器进行集成整合，才能实现数据加解密和完整性校验等安全功能，需要进行的改造包括数据库结构调整、程序代码改造等工作。主要安全集成工作包括三项。

（1）根据提供的产品和集成所需要的演示环境Demo、接口说明、测试证书等，教育云平台业务系统的相关开发人员进行程序代码改造。

（2）根据业务需求，教育云平台业务应用系统开发人员调用对应的安全组件接口，实现数据加解密、完整性校验功能，主要改造工作是敏感信息保存、修改及读取等环节。

（3）应用集成完成后，需要进行应用系统测试，确保系统集成数字签名验证服务器各项功能的可用性和有效性。

数字签名验证服务器具有多种接口形态，可以满足所有主流操作系统和主流开发语言的应用，支持 Windows系列/Unix/Linux/AIX等操作系统，支持C语言/Java语言/ASP/ASP.Net等语言的应用系统，支持B/S、C/S应用架构。服务器端接口形态包括：COM组件、DLL动态库、SO动态库、JAR格式的Java组件。客户端接口形态包括ActiveX控件、DLL动态库、JAR格式的Java客户端开发包；另外，为了方便应用系统集成，ActiveX控件的功能函数封装在JS文件中，各类网页（如JSP、ASP、ASP.Net等），只需引用JS文件，在网页中加入数行SCRIPT脚本，即可实现客户端网页代码的改造。

7 结束语

作为面向广大教职工及学生的教育云平台，做好用户敏感信息的保护，既是保护自身机密数据的根本需要，也是社会责任感的体现。事实证明，基于PKI架构的数据加密及签名验签技术可以对敏感信息进行有效的保护。本文介绍的敏感信息保护方案已经在中央电教馆教育云试点项目中得到了实际应用，并取得了良好的效果。

参考文献

[1] 王昱镔，李超，程楠.互联网个人敏感信息保护研究[J].信息网络安全. 2014（09）.

[2] 冯登国，张敏，李昊.大数据安全与隐私保护[J].计算机学报，2014（01） .

[3] 谢颖莹.基于PKI的身份认证系统的研究与实现[D].华北电力大学 2007.

基金项目：

课题名称：教育云绿色安全服务保障。

作者简介：

李以斌（1984-），男，汉族，山东德州人，毕业于山东建筑大学，本科，太极计算机股份有限公司，项目经理，高级工程师；主要研究方向和关注领域：大数据云计算。

牟大伟（1980-），男，汉族，甘肃会宁人，毕业于北京理工大学，硕士，北京数字认证股份有限公司，咨询顾问；主要研究方向和关注领域：数据加密及信息安全。