校园一卡通工程的设计模式与网络安全实现 - 中国一卡通网
用户名密码 [免费注册] [找回密码] 推广技巧 发布求购 建商铺  发产品  会员体制比较  
 

校园一卡通工程的设计模式与网络安全实现

来源:计算机与信息技术  作者:刘臻晖  发布时间:2010-08-24 10:52:57  字体:[ ]

关键字:校园一卡通  一卡通工程  网络安全  设计模式  

摘   要:总结了目前高校普遍实施的"校园一卡通"工程的几种网络设计模式的优缺点,对校园一卡通的网络安全建设进行研究和分析。

    引言

    随着信息技术的发展,我国各类校园网建设水平得到很大的提高。无论是小学、中学还是大学,都在积极加强学校内校园信息化的建设,而其中的智能卡(非接触IC 卡)技术在校园信息系统建设中显得尤为突出。一卡通以智能卡为信息载体,结合微电子技术、单片机技术、计算机网络技术及数据库技术等诸多高新科技,使其具有电子身份识别和电子钱包的功能,替代校园传统的日常生活所需的教师工作证、学生证、借书证,以及与现金相关交易的食堂饭卡(券)、医疗证、上机证、门票等,达到教、学、考、评、住、用的全面数字化和网络化,真正实现"一卡在手,走遍校园"。"校园一卡通系统"的建设,是目前高校信息化发展的必然趋势。

    1. 一卡通的流程概述
    "校园一卡通系统"是数字化校园建设的重要部分,涉及到校园各个运行部门和师生,建设意义和对今后影响都十分深远。目前高校校园网一卡通的建设流程主要如下:
    建设模式:成立建设领导小组,专家小组和实施工作小组。提出总体设计和需求,决定采用哪种运营模式。
    系统建设:建立覆盖校区的"一卡通"专用网络,采用相应的网络拓朴结构。
    安全策略:
    (1)卡片安全:校园应用对卡要求很高,而其中M1射频卡是非接触式IC卡中影响较大的一种。由于每张卡有独一无二的序列号,芯片有16个存储扇区,每个扇区读写需要独立双向三次论证,传递数据有严格的加密算法和密码保护。这些优点使这种卡成为高校IC卡应用的首选。
    (2)网络安全:可以采用三种网络相结合的架构,一卡通系统网络、基于校园网的专用虚拟网和物理隔离的金融网络。
专网与校园网隔离,专用的物理通道保证了各校区、各层次网络连接和信息传输的安全性。银行方的数据交易,采用防火墙隔离技术,确保网络互联和边界的安全。网络内部通过MAC端口地址与IP地址绑定,封锁交换机空余的端口,配置用户口令,使用不同级别的命令等措施。从三方面即网络互联、网络边界、网络内部来确保整个专用网络的安全。
    (3)数据安全:①通过制定一套完整的密钥管理体系,来保证消费过程的安全性和终端机具使用的安全性。"一卡通"系统交易过程中使用的密钥有:主密钥、工作密钥、扇区密钥、卡片扇区密钥、个人密码密钥、卡片个人密码密钥,由这六个密钥组成"一卡通"系统的密钥体系。
    ②收费终端采用双CPU工作、UPS供电、以及无源存储保护数据技术。正常情况下,终端数据信息均具有代码标识,实时经专网上传到"结算中心"进行结算;异常发生时,启动收费终端的数据分析功能,迅速查出数据出错源,通过底层数据还原校验予以纠正。
    ③数据库服务器的数据备份,同时采用磁盘阵列、磁带机等多重备份,提供足够的数据冗余;备份方式采用标准备份、增量备份、差量备份三种方法相结合保证数据的安全性。
    ④软件安全:建立严格的用户权限管理系统,并在用操作权限分配、登录控制、身份验证、密码控制、日志跟踪等方面设计了严密的机制,来保证安全性。
    建设项目:目前各高校校园一卡通实施的项目大致如下: 一卡通专用网络、校园一卡通卡务中心、校园一卡通结算中心、银行圈存系统、数据库系统、设备管理系统、学籍教务管理系统、各类收费系统、图书馆管理系统、机房上机管理系统、门禁、通道管理系统、身份识别系统、医疗系统、后勤服务管理系统、各类信息查询系统。

    2. 一卡通的几种运营方式比较

    一卡通上运行的是金融交易数据及其他重要的MIS(管理信息系统)数据,在进行一卡通工程建设与实施过程中,出于系统安全和以后数字化校园建设的需要,不同高校建设可能采取不同的运营模式,而不同的运营模式直接关系到具体网络建设模式的设计。这几种运营模式大致分为三种:1、部门级封闭式运营模式 2、银行圈存、校内发卡结算模式 3、银行圈存发卡、校内结算模式 。这3种模式涉及到学校、银行、师生(客户)、商户(校内企业)四类对象,银行、学校财务、商户、持卡人的关系如下图(图1)所示,这4类对象的特点分别如下: 


图1

    银行:随着银行业务发展和拓宽,项目投资也将增加,投资决定因素是存款数目、存款期限、帐户留存金额、客户群体稳定性、发展前景、可持续增长性等因素。银行可以通过银校一卡通通项目合作扩大业务范围和渠道,获得可观的资金积累。同时银行对教育的投入可以提高自身效益和知名度,从而使银校合作具有极大的推广价值。
    学校:学校收费可以借助银行系统实现自动转帐,减少学校的结算工作量,同时通过银行可以提高安全性尤其大大提高学校每年新学期开始时学生从异地到校携带现金的安全性。
    师生:通过圈存机将银行帐户转入学校校园卡(射频卡)帐户,避免现金交易的麻烦。
    商家:校园内商家可以实现无纸币流通,防止出现假币、残币、找零的麻烦,可以和学校定期和数据中心结帐,也使学校更方便地管理学校内的商业运作。
    校园一卡通有以下三种运营模式:部门级封闭式运营;银行圈存校内发卡结算;银行圈存发卡校内结算。各自有如下的优缺点: 

    以上几种模式各有优点,是目前高校建设采用的主要模式。第三种模式即和银行合作,共同建设校园一卡通,可以利用银行充裕的资金实现学校的一卡通建设规划,这样使银行、学校、学生、商家在系统运作中达到互利的战略目的,是一种适合高校的网络建设模式。

    3. 一卡通的网络安全实现

    进行一卡通工程建设与实施时,必须考虑网络的安全问题。一个完整的网络信息安全体系至少应包括三类措施:一是整个系统的操作人员的操作规程的规范,规章制度的规范。二是技术方面的措施,如防火墙技术,网络防毒,通讯数据的加密,操作人员和使用用户的身份认证,授权。三是审核和管理措施,其主要措施有实时监控系统的安全状态,对现有的安全系统实施安全检查以防患于未然。
    3.1一卡通网络构架
    一卡通运营方式一般采用采用2级管理模式,各系统之间采用"星型结构"相连接如图(2)。实现IC卡"联机交易、脱机交易、身份识别"三条流程,以满足身份认证的松耦合应用和消费支付、查询信息的紧耦合应用。 


图2

    一个中心为统一的校园IC卡管理和资金结算中心,统一发卡,统一结算,作为系统后台和其他系统和网点相连。在这个网络架构中,采用了三种网络校园主干网,现场总线联入终端、金融网来构建一卡通运营平台。 

    3.2 终端设备入网方式
    终端设备(如消费服务器与消费POS 终端之间、门禁、服务器与门禁读卡器之间)可以通过CAN现场总线或者RS485星型拓扑结构通过校园网提供的面向端口的专用虚拟网联入校园主干网。两种方式都传输距离远、成本低,也有TCP/IP安全性、实效性的优点,解决了各终端连网的实效性、远距离等问题。 

    3.3 校园主干网的安全实现
    校园主干网部分是整个校园一卡通系统的核心,消费结算中心各种数据服务器和圈存机通过校园主干网与各终端设备和银行网络的前置机进行通信。了保证网络系统的安全性和便于管理,一般采用专网形式,独立于校园网。一卡通网络可以采用基于校园网的内部虚拟专用网(Virtual Private Network),即在校园网络基础设施上建成的专用数据通信网络。数据通过安全的加密隧道在校园网中传输,从而保证通信的保密性。VPN与一般网络互联的关键区别在于用户的数据通过校园网中建立逻辑隧道进行传输,数据包经过加密后,按隧道协议进行封装、传送,并通过相应的认证技术来实现网络数据的专有性。 

    校园网一卡通主干网(高速以太网)部分,要求所有的以太网设备在vlan部分和现有的校园网设备隔离,保证现有的校园网和一卡通部分是两个网络,设备不允许互相访问。 


图3

    同时为了共享已有的校园网资源,所以,一卡通与校园网采用防火墙进行单通道连接,保证一卡通网络能访问校园网数据,如:信息化校园建设必不可少的对统一身份认证服务器和门户网站的访问。但校园网不能随意访问一卡通专网,这样将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,使得一卡通网络上的设备能够安全、稳定的运行。 

    一卡通网络结构可以分为三层。一卡通网络的中心层,是以数据库服务器为中心的局域网的分布式结构。(见图3)中心层设置中心交换机,与身份认证系统,卡务管理机,结算管理机,结算中心服务器一起构成一卡通网络与结算中心,它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构,设置二级交换机。第三层为以第一层局域网的网络工作站作为控制主机的控制各个IC卡收费终端的网络。连接到专网的串口设备子网,以及专网计算机校园网和银行金融网的接口,要同期设计建设。一卡通专网采用TCP/IP网络协议。整个一卡通专网所用交换机,建议采用端口MAC地址绑定,使每个端口只能设置唯一的IP地址,连接特定的设备,从而保证了整个网络的安全性。 
    
    为了充分利用校园网原有资源,一般一卡通网络主干,启用校园网络原有光纤(8芯或者12芯)中的冗余部分,由于校园网工程光纤已经遍布全校各个角落,通过利用校园网的2芯冗余光纤构成一卡通网络主干。至于其他校区可以通过在原有基础上另外租用电信光纤连接到主校区建立一卡通专用局域网。 

    3.3.1网络分段实现:
    A、网络分段
    在实际应用过程中,通常采取物理分段(即在物理层和数据链路层)上分为若干网段与逻辑分段(即把网络分成若干IP子网)相结合的方法来实现对网络系统的安全性控制。 

    B、VLAN的实现
    虚拟网技术主要基于近年高速发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。以太网从本质上基于广播机制,但应用了交换机和VLAN技术后,实际上转变为点到点通讯。如上图,不同系统在网上划分为不同的虚拟网,如医疗系统和消费系统划分在不同的vlan段,通过以下相应的vlan划分方法来提高网络安全。 

    1、基于端口的VLAN,就是将交换机中的若干个端口定义为一个VLAN,同一个VLAN中的计算机具有相同的网络地址,不同VLAN之间进行通讯需要通过三层路由协议,并配合MAC地址的端口过滤,就可以防止非法入侵和IP地址的盗用问题。
    2、基于MAC地址的VLAN,这种VLAN一旦划分完成,无论节点在网络上怎样移动,由于MAC地址保持不变,因此不需要重新配置。但是如果新增加节点的话,需要对交换机进行复杂的配置,以确定该节点属于哪一个VLAN。
    3、基于IP地址的VLAN,新增加节点时,无须进行太多配置,交换机根据IP地址会自动将其划分到不同的VLAN。这中VLAN智能化最高,实现最复杂。一旦离开该VLAN,原IP地址将不可用,从而防止了非法用户通过修改IP地址来越权使用资源。 

    3.4物理隔离的金融网络连接 

    一卡通系统中心与银行系统之间的连接是校园卡与银行卡圈存的数据通道,其安全性是一卡通结算中心与银行进行对帐结算的保证。为了系统连接的安全性和可靠性,银行金融网络与校园一卡通的专用虚拟网通过PSTN或者DDN方式相连,并通过PSTN或DDN方式连接自助转账设备(圈存机),实现转账与对帐分别在不同的物理网络上完成。在采用PSTN/DDN专线的基础上银行对接系统采用如下措施;(如图3,左上)
    1、.关于涉及数据在公网或专网上传输,数据报文传输的安全,与银行前置机数据交换的安全主要由双向身份认证、加密和报文认证来保障。
    2、防火墙作为保护网络的重要工具,在网络的对外出口处设置防火墙是理想的选择。防火墙在银行信息网中的安全防护原则: 
 
    任何外部网络对银行信息网的内部情况"看不见"
    外部非法入侵者及特殊信息"进不来"
    机要敏感信息"拿不走"
    任何的非法对外访问"出不去" 

    转账安全性
    采用设立银行网关方式,双网卡隔离网段,杜绝大学校园网络对银行网络的访问,仅银行转账前置机可以访问银行网络。
    对传送的数据包加校验码(MAC或LRC)。
    对关键数据可进行加密处理。
    可按银行要求将数据打包成ISO8583格式报文。

    4、结束语

    随着我国高校日益加大信息化校园的建设步伐,许多先进的信息处理技术都被引入校园,它为数字化校园提供信息采集,涉及到校园生活的各个方面,使教育与信息技术真正地融合,逐步实现以人为本,从校园环境、资源到活动的全部数字化管理。本文在总结多种校园网一卡通的建设方式的基础上,提出了构架校园主干网络的安全解决方案,使"校园一卡通"工程成为数字化校园建设重要组成部分和基础工程。

更多

新闻投稿合作邮箱:yktchina-admin@163.com    字体[ ] [收藏] [进入论坛]

推荐文章

论坛热帖