基于数字化校园一卡通系统的安全管理的研究 - 中国一卡通网
用户名密码 [免费注册] [找回密码] 推广技巧 发布求购 建商铺  发产品  会员体制比较  
 

基于数字化校园一卡通系统的安全管理的研究

来源:中国一卡通网  作者:湖南科技大学 尹风雨等  发布时间:2007-08-16 15:08:58  字体:[ ]

关键字:数字化校园  校园一卡通  一卡通  非接触式ic卡  校园卡应用  校园网络  

摘   要:介绍了校园一卡通管理系统的总体设计方案,并针对数字校园用户访问量大且多数用户访问权限有限的特点,提出了一种基于数字化校园的一卡通系统的安全管理方案。

    数字校园是以网络为基础,利用先进的信息化手段和工具,实现从环境(包括设备、办公空间、研究空间、教学空间等)、资源(如图书资料及专业数据库、教师讲义和课件、全球网上专业资讯)到活动(包括教、学、科研、管理、服务、办公等)的全部数字化。在传统校园的基础上构建一个既对应又有本质不同的数字空间,拓展现实校园的时间和空间维度,从而提升传统校园的效率,扩展传统校园的功能,最终实现电子校务(信息发布平台、办公自动化、数据中心、集成的信息系统)、教育资源(网上教学、数字图书馆等)、虚拟社区(后勤服务、校园一卡通等)、网络服务与网络安全为一体的数字化教育环境。作为整个数字化校园的核心应用项目,校园一卡通系统针对目前校园中使用的证件多、管理繁杂的情况,用一张卡代替学校目前使用的各种证件(包括学生证、工作证、借书证、医疗卡、出人证等)。师生员工在学校各处出入、办事、活动和消费均只凭这张校园卡便可进行。该系统不仅仅是消费系统,还具备身份识别以及信息管理功能。

    目前各大学在校园卡应用系统管理上存在诸多不便,主要表现在以下几个方面: 

    (1)由于卡应用的快速发展,校内各单位逐步建立起自己的卡应用系统,而这些系统采用的技术与规范不统一,造成了各种卡应用系统无法兼容,资源不能合理配置和共享; 
    (2)学生手中的学生证卡、食堂饭卡、图书馆借阅卡、银行消费卡以及电话卡等等,少则三、四张,多则六、七张,给学生用卡带来了不便; 
    (3)各部门独立开发,使学校各单位管理不能统一。 

    目前,各大学校园网的网络基础建设都已成熟,为校园一卡通系统的建立提供了可能,射频Ic卡应用系统的日渐成熟为校园一卡通系统的建立提供了技术保障,校园内实现一卡通管理己成为校园管理发展的必然趋势。

1 系统总体设计方案 

    数字校园一卡通管理系统是建立在校园网络的基础之上,运用先进的计算机网络技术、通信技术及非接触式Ic卡技术,为学校的各项管理功能提供现代化手段,以提高管理质量和水平。其系统结构如图1所示。 

校园一卡通结构图

图1 校园一卡通结构图

    该系统的具体实现目标如下: 

    (1)IC卡各子系统的工作站和上位机居于系统的高速管理信息域,采用以太网,通过路由器可连接校园局域网和广域网,包括Intranet和Internet。 
    (2)通过TCP/IP控制器(TCP/IP通讯协议)与管理主机进行通讯。确保在联机状态下的完全实时性要求。 
    (3)一卡通系统数据库采用同一数据库管理,数据库平台用sQL Server 2000,自控系统集成可通过局域网与其建立通讯连接,并对其数据库进行读、写访问。
    (4)所有Ic卡在管理中心授权(发卡或挂失)后无须再到各子系统进行任何授权操作,便可实现身份识别、电子门禁、考勤、消费、图书借阅等多种功能,真正做到“一卡通行”。

2 安全管理的研究 

    安全管理是数字校园核心功能块,其安全控制平台通过校园网基础设施(防火墙或代理服务器),限制内部用户和外来用户对特定资源的特定操作以及防御网络攻击外,还提供户身份认证、用户权限校验、数据安全加密等功能,能够灵活的依据用户应用环境的需要,方便的设置这个系统的组织结构和各种不同用户对于系统应用程序和资源的操作情况。权限管理是安全控制平台的主体,对于学校的复杂应用而言,仅仅依赖数字证书等,不能完全保障系统的安全。还要考虑以下的需求:

    (1)安全性要求更高:在局域网内部,域用户的登陆名和密码,很容易被侦听,会导致密码被盗用。 
    (2)数据量大:数字校园使用用户总数很容易超过3万,超过3万的用户结合数字证书,导致系统负载过重,极大影响系统运行。 
    (3)安全层次和灵活配置的需要:针对上述访问量巨大的情况,而大多数的学生权限小,根本没有信息管理权限,对于安全性要求比较低。而且这一类的用户流动性强。所以针对他们都建立数字证书是没有必要甚至浪费的。

2.1 安全策略的设计 

    平台的安全策略采用基于角色的安全控制模型,通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则和操作检查规则,如下图2所示。例如:安全管理人员根据需要定义各种角色,并设置合适的访问权限,再根据用户的责任和资历指派为不同的角色。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。

基于角色的控制思想

图2 基于角色的控制思想

    由于实现了用户与访问权限的逻辑相对分离,基于角色的策略极大的方便了权限管理如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可。研究表明,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并且委派用户到角色不需要很多技术,可以由行政管理人员来执行。部门管理人员只可以在自己的权限范围内,将自己有的权限授权给下级角色。这与现实中隋况正好一致。除了方便权限管理之外,基于角色的访问控制方法还可以很好的地描述角色层次关系,实现最少权限原则和职责分离的原则。 

更多

新闻投稿合作邮箱:yktchina-admin@163.com    字体[ ] [收藏] [进入论坛]

推荐文章

论坛热帖