校園一卡通工程的設計模式與網絡安全實現(xiàn)
文章出處:http://www.sgrivertours.com 作者:劉臻暉 人氣: 發(fā)表時間:2011年11月20日
引言
隨著信息技術的發(fā)展,我國各類校園網建設水平得到很大的提高。無論是小學、中學還是大學,都在積極加強學校內校園信息化的建設,而其中的智能卡(非接觸IC 卡)技術在校園信息系統(tǒng)建設中顯得尤為突出。一卡通以智能卡為信息載體,結合微電子技術、單片機技術、計算機網絡技術及數據庫技術等諸多高新科技,使其具有電子身份識別和電子錢包的功能,替代校園傳統(tǒng)的日常生活所需的教師工作證、學生證、借書證,以及與現(xiàn)金相關交易的食堂飯卡(券)、醫(yī)療證、上機證、門票等,達到教、學、考、評、住、用的全面數字化和網絡化,真正實現(xiàn)"一卡在手,走遍校園"。"校園一卡通系統(tǒng)"的建設,是目前高校信息化發(fā)展的必然趨勢。
1. 一卡通的流程概述
"校園一卡通系統(tǒng)"是數字化校園建設的重要部分,涉及到校園各個運行部門和師生,建設意義和對今后影響都十分深遠。目前高校校園網一卡通的建設流程主要如下:
建設模式:成立建設領導小組,專家小組和實施工作小組。提出總體設計和需求,決定采用哪種運營模式。
系統(tǒng)建設:建立覆蓋校區(qū)的"一卡通"專用網絡,采用相應的網絡拓樸結構。
安全策略:
(1)卡片安全:校園應用對卡要求很高,而其中M1射頻卡是非接觸式IC卡中影響較大的一種。由于每張卡有獨一無二的序列號,芯片有16個存儲扇區(qū),每個扇區(qū)讀寫需要獨立雙向三次論證,傳遞數據有嚴格的加密算法和密碼保護。這些優(yōu)點使這種卡成為高校IC卡應用的首選。
(2)網絡安全:可以采用三種網絡相結合的架構,一卡通系統(tǒng)網絡、基于校園網的專用虛擬網和物理隔離的金融網絡。
專網與校園網隔離,專用的物理通道保證了各校區(qū)、各層次網絡連接和信息傳輸的安全性。銀行方的數據交易,采用防火墻隔離技術,確保網絡互聯(lián)和邊界的安全。網絡內部通過MAC端口地址與IP地址綁定,封鎖交換機空余的端口,配置用戶口令,使用不同級別的命令等措施。從三方面即網絡互聯(lián)、網絡邊界、網絡內部來確保整個專用網絡的安全。
(3)數據安全:①通過制定一套完整的密鑰管理體系,來保證消費過程的安全性和終端機具使用的安全性。"一卡通"系統(tǒng)交易過程中使用的密鑰有:主密鑰、工作密鑰、扇區(qū)密鑰、卡片扇區(qū)密鑰、個人密碼密鑰、卡片個人密碼密鑰,由這六個密鑰組成"一卡通"系統(tǒng)的密鑰體系。
②收費終端采用雙CPU工作、UPS供電、以及無源存儲保護數據技術。正常情況下,終端數據信息均具有代碼標識,實時經專網上傳到"結算中心"進行結算;異常發(fā)生時,啟動收費終端的數據分析功能,迅速查出數據出錯源,通過底層數據還原校驗予以糾正。
③數據庫服務器的數據備份,同時采用磁盤陣列、磁帶機等多重備份,提供足夠的數據冗余;備份方式采用標準備份、增量備份、差量備份三種方法相結合保證數據的安全性。
④軟件安全:建立嚴格的用戶權限管理系統(tǒng),并在用操作權限分配、登錄控制、身份驗證、密碼控制、日志跟蹤等方面設計了嚴密的機制,來保證安全性。
建設項目:目前各高校校園一卡通實施的項目大致如下: 一卡通專用網絡、校園一卡通卡務中心、校園一卡通結算中心、銀行圈存系統(tǒng)、數據庫系統(tǒng)、設備管理系統(tǒng)、學籍教務管理系統(tǒng)、各類收費系統(tǒng)、圖書館管理系統(tǒng)、機房上機管理系統(tǒng)、門禁、通道管理系統(tǒng)、身份識別系統(tǒng)、醫(yī)療系統(tǒng)、后勤服務管理系統(tǒng)、各類信息查詢系統(tǒng)。
2. 一卡通的幾種運營方式比較
一卡通上運行的是金融交易數據及其他重要的MIS(管理信息系統(tǒng))數據,在進行一卡通工程建設與實施過程中,出于系統(tǒng)安全和以后數字化校園建設的需要,不同高校建設可能采取不同的運營模式,而不同的運營模式直接關系到具體網絡建設模式的設計。這幾種運營模式大致分為三種:1、部門級封閉式運營模式 2、銀行圈存、校內發(fā)卡結算模式 3、銀行圈存發(fā)卡、校內結算模式 。這3種模式涉及到學校、銀行、師生(客戶)、商戶(校內企業(yè))四類對象,銀行、學校財務、商戶、持卡人的關系如下圖(圖1)所示,這4類對象的特點分別如下:
圖1
銀行:隨著銀行業(yè)務發(fā)展和拓寬,項目投資也將增加,投資決定因素是存款數目、存款期限、帳戶留存金額、客戶群體穩(wěn)定性、發(fā)展前景、可持續(xù)增長性等因素。銀行可以通過銀校一卡通通項目合作擴大業(yè)務范圍和渠道,獲得可觀的資金積累。同時銀行對教育的投入可以提高自身效益和知名度,從而使銀校合作具有極大的推廣價值。
學校:學校收費可以借助銀行系統(tǒng)實現(xiàn)自動轉帳,減少學校的結算工作量,同時通過銀行可以提高安全性尤其大大提高學校每年新學期開始時學生從異地到校攜帶現(xiàn)金的安全性。
師生:通過圈存機將銀行帳戶轉入學校校園卡(射頻卡)帳戶,避免現(xiàn)金交易的麻煩。
商家:校園內商家可以實現(xiàn)無紙幣流通,防止出現(xiàn)假幣、殘幣、找零的麻煩,可以和學校定期和數據中心結帳,也使學校更方便地管理學校內的商業(yè)運作。
校園一卡通有以下三種運營模式:部門級封閉式運營;銀行圈存校內發(fā)卡結算;銀行圈存發(fā)卡校內結算。各自有如下的優(yōu)缺點:
以上幾種模式各有優(yōu)點,是目前高校建設采用的主要模式。第三種模式即和銀行合作,共同建設校園一卡通,可以利用銀行充裕的資金實現(xiàn)學校的一卡通建設規(guī)劃,這樣使銀行、學校、學生、商家在系統(tǒng)運作中達到互利的戰(zhàn)略目的,是一種適合高校的網絡建設模式。
3. 一卡通的網絡安全實現(xiàn)
進行一卡通工程建設與實施時,必須考慮網絡的安全問題。一個完整的網絡信息安全體系至少應包括三類措施:一是整個系統(tǒng)的操作人員的操作規(guī)程的規(guī)范,規(guī)章制度的規(guī)范。二是技術方面的措施,如防火墻技術,網絡防毒,通訊數據的加密,操作人員和使用用戶的身份認證,授權。三是審核和管理措施,其主要措施有實時監(jiān)控系統(tǒng)的安全狀態(tài),對現(xiàn)有的安全系統(tǒng)實施安全檢查以防患于未然。
3.1一卡通網絡構架
一卡通運營方式一般采用采用2級管理模式,各系統(tǒng)之間采用"星型結構"相連接如圖(2)。實現(xiàn)IC卡"聯(lián)機交易、脫機交易、身份識別"三條流程,以滿足身份認證的松耦合應用和消費支付、查詢信息的緊耦合應用。
圖2
一個中心為統(tǒng)一的校園IC卡管理和資金結算中心,統(tǒng)一發(fā)卡,統(tǒng)一結算,作為系統(tǒng)后臺和其他系統(tǒng)和網點相連。在這個網絡架構中,采用了三種網絡校園主干網,現(xiàn)場總線聯(lián)入終端、金融網來構建一卡通運營平臺。
3.2 終端設備入網方式
終端設備(如消費服務器與消費POS 終端之間、門禁、服務器與門禁讀卡器之間)可以通過CAN現(xiàn)場總線或者RS485星型拓撲結構通過校園網提供的面向端口的專用虛擬網聯(lián)入校園主干網。兩種方式都傳輸距離遠、成本低,也有TCP/IP安全性、實效性的優(yōu)點,解決了各終端連網的實效性、遠距離等問題。
3.3 校園主干網的安全實現(xiàn)
校園主干網部分是整個校園一卡通系統(tǒng)的核心,消費結算中心各種數據服務器和圈存機通過校園主干網與各終端設備和銀行網絡的前置機進行通信。了保證網絡系統(tǒng)的安全性和便于管理,一般采用專網形式,獨立于校園網。一卡通網絡可以采用基于校園網的內部虛擬專用網(Virtual Private Network),即在校園網絡基礎設施上建成的專用數據通信網絡。數據通過安全的加密隧道在校園網中傳輸,從而保證通信的保密性。VPN與一般網絡互聯(lián)的關鍵區(qū)別在于用戶的數據通過校園網中建立邏輯隧道進行傳輸,數據包經過加密后,按隧道協(xié)議進行封裝、傳送,并通過相應的認證技術來實現(xiàn)網絡數據的專有性。
校園網一卡通主干網(高速以太網)部分,要求所有的以太網設備在vlan部分和現(xiàn)有的校園網設備隔離,保證現(xiàn)有的校園網和一卡通部分是兩個網絡,設備不允許互相訪問。
圖3
同時為了共享已有的校園網資源,所以,一卡通與校園網采用防火墻進行單通道連接,保證一卡通網絡能訪問校園網數據,如:信息化校園建設必不可少的對統(tǒng)一身份認證服務器和門戶網站的訪問。但校園網不能隨意訪問一卡通專網,這樣將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法偵聽,使得一卡通網絡上的設備能夠安全、穩(wěn)定的運行。
一卡通網絡結構可以分為三層。一卡通網絡的中心層,是以數據庫服務器為中心的局域網的分布式結構。(見圖3)中心層設置中心交換機,與身份認證系統(tǒng),卡務管理機,結算管理機,結算中心服務器一起構成一卡通網絡與結算中心,它是一卡通系統(tǒng)的管理平臺、身份認證平臺和數據庫中心。通過光纜與各結點相連與一卡通網絡的中心組成第一層網絡結構,設置二級交換機。第三層為以第一層局域網的網絡工作站作為控制主機的控制各個IC卡收費終端的網絡。連接到專網的串口設備子網,以及專網計算機校園網和銀行金融網的接口,要同期設計建設。一卡通專網采用TCP/IP網絡協(xié)議。整個一卡通專網所用交換機,建議采用端口MAC地址綁定,使每個端口只能設置唯一的IP地址,連接特定的設備,從而保證了整個網絡的安全性。
為了充分利用校園網原有資源,一般一卡通網絡主干,啟用校園網絡原有光纖(8芯或者12芯)中的冗余部分,由于校園網工程光纖已經遍布全校各個角落,通過利用校園網的2芯冗余光纖構成一卡通網絡主干。至于其他校區(qū)可以通過在原有基礎上另外租用電信光纖連接到主校區(qū)建立一卡通專用局域網。
3.3.1網絡分段實現(xiàn):
A、網絡分段
在實際應用過程中,通常采取物理分段(即在物理層和數據鏈路層)上分為若干網段與邏輯分段(即把網絡分成若干IP子網)相結合的方法來實現(xiàn)對網絡系統(tǒng)的安全性控制。
B、VLAN的實現(xiàn)
虛擬網技術主要基于近年高速發(fā)展的局域網交換技術(ATM和以太網交換)。交換技術將傳統(tǒng)的基于廣播的局域網技術發(fā)展為面向連接的技術。以太網從本質上基于廣播機制,但應用了交換機和VLAN技術后,實際上轉變?yōu)辄c到點通訊。如上圖,不同系統(tǒng)在網上劃分為不同的虛擬網,如醫(yī)療系統(tǒng)和消費系統(tǒng)劃分在不同的vlan段,通過以下相應的vlan劃分方法來提高網絡安全。
1、基于端口的VLAN,就是將交換機中的若干個端口定義為一個VLAN,同一個VLAN中的計算機具有相同的網絡地址,不同VLAN之間進行通訊需要通過三層路由協(xié)議,并配合MAC地址的端口過濾,就可以防止非法入侵和IP地址的盜用問題。
2、基于MAC地址的VLAN,這種VLAN一旦劃分完成,無論節(jié)點在網絡上怎樣移動,由于MAC地址保持不變,因此不需要重新配置。但是如果新增加節(jié)點的話,需要對交換機進行復雜的配置,以確定該節(jié)點屬于哪一個VLAN。
3、基于IP地址的VLAN,新增加節(jié)點時,無須進行太多配置,交換機根據IP地址會自動將其劃分到不同的VLAN。這中VLAN智能化最高,實現(xiàn)最復雜。一旦離開該VLAN,原IP地址將不可用,從而防止了非法用戶通過修改IP地址來越權使用資源。
3.4物理隔離的金融網絡連接
一卡通系統(tǒng)中心與銀行系統(tǒng)之間的連接是校園卡與銀行卡圈存的數據通道,其安全性是一卡通結算中心與銀行進行對帳結算的保證。為了系統(tǒng)連接的安全性和可靠性,銀行金融網絡與校園一卡通的專用虛擬網通過PSTN或者DDN方式相連,并通過PSTN或DDN方式連接自助轉賬設備(圈存機),實現(xiàn)轉賬與對帳分別在不同的物理網絡上完成。在采用PSTN/DDN專線的基礎上銀行對接系統(tǒng)采用如下措施;(如圖3,左上)
1、.關于涉及數據在公網或專網上傳輸,數據報文傳輸的安全,與銀行前置機數據交換的安全主要由雙向身份認證、加密和報文認證來保障。
2、防火墻作為保護網絡的重要工具,在網絡的對外出口處設置防火墻是理想的選擇。防火墻在銀行信息網中的安全防護原則:
任何外部網絡對銀行信息網的內部情況"看不見"
外部非法入侵者及特殊信息"進不來"
機要敏感信息"拿不走"
任何的非法對外訪問"出不去"
轉賬安全性
采用設立銀行網關方式,雙網卡隔離網段,杜絕大學校園網絡對銀行網絡的訪問,僅銀行轉賬前置機可以訪問銀行網絡。
對傳送的數據包加校驗碼(MAC或LRC)。
對關鍵數據可進行加密處理。
可按銀行要求將數據打包成ISO8583格式報文。
4、結束語
隨著我國高校日益加大信息化校園的建設步伐,許多先進的信息處理技術都被引入校園,它為數字化校園提供信息采集,涉及到校園生活的各個方面,使教育與信息技術真正地融合,逐步實現(xiàn)以人為本,從校園環(huán)境、資源到活動的全部數字化管理。本文在總結多種校園網一卡通的建設方式的基礎上,提出了構架校園主干網絡的安全解決方案,使"校園一卡通"工程成為數字化校園建設重要組成部分和基礎工程。