校園一卡通工程的設計模式與網(wǎng)絡安全實現(xiàn)

文章出處：http://m.botanicstilllife.com 作者：劉臻暉   人氣： 發(fā)表時間：2011年11月20日

    引言

    隨著信息技術的發(fā)展，我國各類校園網(wǎng)建設水平得到很大的提高。無論是小學、中學還是大學，都在積極加強學校內校園信息化的建設，而其中的智能卡（非接觸IC 卡）技術在校園信息系統(tǒng)建設中顯得尤為突出。一卡通以智能卡為信息載體，結合微電子技術、單片機技術、計算機網(wǎng)絡技術及數(shù)據(jù)庫技術等諸多高新科技，使其具有電子身份識別和電子錢包的功能，替代校園傳統(tǒng)的日常生活所需的教師工作證、學生證、借書證，以及與現(xiàn)金相關交易的食堂飯卡（券）、醫(yī)療證、上機證、門票等，達到教、學、考、評、住、用的全面數(shù)字化和網(wǎng)絡化，真正實現(xiàn)"一卡在手，走遍校園"。"校園一卡通系統(tǒng)"的建設，是目前高校信息化發(fā)展的必然趨勢。

    1. 一卡通的流程概述
    "校園一卡通系統(tǒng)"是數(shù)字化校園建設的重要部分，涉及到校園各個運行部門和師生，建設意義和對今后影響都十分深遠。目前高校校園網(wǎng)一卡通的建設流程主要如下：
    建設模式:成立建設領導小組，專家小組和實施工作小組。提出總體設計和需求，決定采用哪種運營模式。
    系統(tǒng)建設：建立覆蓋校區(qū)的"一卡通"專用網(wǎng)絡，采用相應的網(wǎng)絡拓樸結構。
    安全策略：
    （1）卡片安全：校園應用對卡要求很高，而其中M1射頻卡是非接觸式IC卡中影響較大的一種。由于每張卡有獨一無二的序列號，芯片有16個存儲扇區(qū)，每個扇區(qū)讀寫需要獨立雙向三次論證，傳遞數(shù)據(jù)有嚴格的加密算法和密碼保護。這些優(yōu)點使這種卡成為高校IC卡應用的首選。
    （2）網(wǎng)絡安全：可以采用三種網(wǎng)絡相結合的架構，一卡通系統(tǒng)網(wǎng)絡、基于校園網(wǎng)的專用虛擬網(wǎng)和物理隔離的金融網(wǎng)絡。
專網(wǎng)與校園網(wǎng)隔離，專用的物理通道保證了各校區(qū)、各層次網(wǎng)絡連接和信息傳輸?shù)陌踩浴ｃy行方的數(shù)據(jù)交易，采用防火墻隔離技術，確保網(wǎng)絡互聯(lián)和邊界的安全。網(wǎng)絡內部通過MAC端口地址與IP地址綁定，封鎖交換機空余的端口，配置用戶口令，使用不同級別的命令等措施。從三方面即網(wǎng)絡互聯(lián)、網(wǎng)絡邊界、網(wǎng)絡內部來確保整個專用網(wǎng)絡的安全。
    （3）數(shù)據(jù)安全：①通過制定一套完整的密鑰管理體系，來保證消費過程的安全性和終端機具使用的安全性。"一卡通"系統(tǒng)交易過程中使用的密鑰有：主密鑰、工作密鑰、扇區(qū)密鑰、卡片扇區(qū)密鑰、個人密碼密鑰、卡片個人密碼密鑰，由這六個密鑰組成"一卡通"系統(tǒng)的密鑰體系。
    ②收費終端采用雙CPU工作、UPS供電、以及無源存儲保護數(shù)據(jù)技術。正常情況下，終端數(shù)據(jù)信息均具有代碼標識，實時經(jīng)專網(wǎng)上傳到"結算中心"進行結算；異常發(fā)生時，啟動收費終端的數(shù)據(jù)分析功能，迅速查出數(shù)據(jù)出錯源，通過底層數(shù)據(jù)還原校驗予以糾正。
    ③數(shù)據(jù)庫服務器的數(shù)據(jù)備份，同時采用磁盤陣列、磁帶機等多重備份，提供足夠的數(shù)據(jù)冗余；備份方式采用標準備份、增量備份、差量備份三種方法相結合保證數(shù)據(jù)的安全性。
    ④軟件安全：建立嚴格的用戶權限管理系統(tǒng)，并在用操作權限分配、登錄控制、身份驗證、密碼控制、日志跟蹤等方面設計了嚴密的機制，來保證安全性。
    建設項目：目前各高校校園一卡通實施的項目大致如下： 一卡通專用網(wǎng)絡、校園一卡通卡務中心、校園一卡通結算中心、銀行圈存系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、設備管理系統(tǒng)、學籍教務管理系統(tǒng)、各類收費系統(tǒng)、圖書館管理系統(tǒng)、機房上機管理系統(tǒng)、門禁、通道管理系統(tǒng)、身份識別系統(tǒng)、醫(yī)療系統(tǒng)、后勤服務管理系統(tǒng)、各類信息查詢系統(tǒng)。

    2. 一卡通的幾種運營方式比較

    一卡通上運行的是金融交易數(shù)據(jù)及其他重要的MIS（管理信息系統(tǒng)）數(shù)據(jù)，在進行一卡通工程建設與實施過程中，出于系統(tǒng)安全和以后數(shù)字化校園建設的需要，不同高校建設可能采取不同的運營模式，而不同的運營模式直接關系到具體網(wǎng)絡建設模式的設計。這幾種運營模式大致分為三種：1、部門級封閉式運營模式 2、銀行圈存、校內發(fā)卡結算模式 3、銀行圈存發(fā)卡、校內結算模式 。這3種模式涉及到學校、銀行、師生（客戶）、商戶（校內企業(yè)）四類對象，銀行、學校財務、商戶、持卡人的關系如下圖（圖1）所示，這4類對象的特點分別如下： 

圖1

    銀行：隨著銀行業(yè)務發(fā)展和拓寬，項目投資也將增加，投資決定因素是存款數(shù)目、存款期限、帳戶留存金額、客戶群體穩(wěn)定性、發(fā)展前景、可持續(xù)增長性等因素。銀行可以通過銀校一卡通通項目合作擴大業(yè)務范圍和渠道，獲得可觀的資金積累。同時銀行對教育的投入可以提高自身效益和知名度，從而使銀校合作具有極大的推廣價值。
    學校：學校收費可以借助銀行系統(tǒng)實現(xiàn)自動轉帳，減少學校的結算工作量，同時通過銀行可以提高安全性尤其大大提高學校每年新學期開始時學生從異地到校攜帶現(xiàn)金的安全性。
    師生：通過圈存機將銀行帳戶轉入學校校園卡（射頻卡）帳戶，避免現(xiàn)金交易的麻煩。
    商家：校園內商家可以實現(xiàn)無紙幣流通，防止出現(xiàn)假幣、殘幣、找零的麻煩，可以和學校定期和數(shù)據(jù)中心結帳，也使學校更方便地管理學校內的商業(yè)運作。
    校園一卡通有以下三種運營模式：部門級封閉式運營；銀行圈存校內發(fā)卡結算；銀行圈存發(fā)卡校內結算。各自有如下的優(yōu)缺點: 

    以上幾種模式各有優(yōu)點，是目前高校建設采用的主要模式。第三種模式即和銀行合作，共同建設校園一卡通，可以利用銀行充裕的資金實現(xiàn)學校的一卡通建設規(guī)劃，這樣使銀行、學校、學生、商家在系統(tǒng)運作中達到互利的戰(zhàn)略目的，是一種適合高校的網(wǎng)絡建設模式。

    3. 一卡通的網(wǎng)絡安全實現(xiàn)

    進行一卡通工程建設與實施時，必須考慮網(wǎng)絡的安全問題。一個完整的網(wǎng)絡信息安全體系至少應包括三類措施：一是整個系統(tǒng)的操作人員的操作規(guī)程的規(guī)范，規(guī)章制度的規(guī)范。二是技術方面的措施，如防火墻技術，網(wǎng)絡防毒，通訊數(shù)據(jù)的加密，操作人員和使用用戶的身份認證，授權。三是審核和管理措施，其主要措施有實時監(jiān)控系統(tǒng)的安全狀態(tài)，對現(xiàn)有的安全系統(tǒng)實施安全檢查以防患于未然。
    3．1一卡通網(wǎng)絡構架
    一卡通運營方式一般采用采用2級管理模式，各系統(tǒng)之間采用"星型結構"相連接如圖（2）。實現(xiàn)IC卡"聯(lián)機交易、脫機交易、身份識別"三條流程，以滿足身份認證的松耦合應用和消費支付、查詢信息的緊耦合應用。 

圖2

    一個中心為統(tǒng)一的校園IC卡管理和資金結算中心，統(tǒng)一發(fā)卡，統(tǒng)一結算，作為系統(tǒng)后臺和其他系統(tǒng)和網(wǎng)點相連。在這個網(wǎng)絡架構中，采用了三種網(wǎng)絡校園主干網(wǎng)，現(xiàn)場總線聯(lián)入終端、金融網(wǎng)來構建一卡通運營平臺。 

    3．2 終端設備入網(wǎng)方式
    終端設備（如消費服務器與消費POS 終端之間、門禁、服務器與門禁讀卡器之間）可以通過CAN現(xiàn)場總線或者RS485星型拓撲結構通過校園網(wǎng)提供的面向端口的專用虛擬網(wǎng)聯(lián)入校園主干網(wǎng)。兩種方式都傳輸距離遠、成本低，也有TCP/IP安全性、實效性的優(yōu)點，解決了各終端連網(wǎng)的實效性、遠距離等問題。 

    3．3 校園主干網(wǎng)的安全實現(xiàn)
    校園主干網(wǎng)部分是整個校園一卡通系統(tǒng)的核心，消費結算中心各種數(shù)據(jù)服務器和圈存機通過校園主干網(wǎng)與各終端設備和銀行網(wǎng)絡的前置機進行通信。了保證網(wǎng)絡系統(tǒng)的安全性和便于管理，一般采用專網(wǎng)形式，獨立于校園網(wǎng)。一卡通網(wǎng)絡可以采用基于校園網(wǎng)的內部虛擬專用網(wǎng)（Virtual Private Network），即在校園網(wǎng)絡基礎設施上建成的專用數(shù)據(jù)通信網(wǎng)絡。數(shù)據(jù)通過安全的加密隧道在校園網(wǎng)中傳輸，從而保證通信的保密性。VPN與一般網(wǎng)絡互聯(lián)的關鍵區(qū)別在于用戶的數(shù)據(jù)通過校園網(wǎng)中建立邏輯隧道進行傳輸，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳送，并通過相應的認證技術來實現(xiàn)網(wǎng)絡數(shù)據(jù)的專有性。 

    校園網(wǎng)一卡通主干網(wǎng)（高速以太網(wǎng)）部分，要求所有的以太網(wǎng)設備在vlan部分和現(xiàn)有的校園網(wǎng)設備隔離，保證現(xiàn)有的校園網(wǎng)和一卡通部分是兩個網(wǎng)絡，設備不允許互相訪問。 

圖3

    同時為了共享已有的校園網(wǎng)資源，所以，一卡通與校園網(wǎng)采用防火墻進行單通道連接，保證一卡通網(wǎng)絡能訪問校園網(wǎng)數(shù)據(jù)，如：信息化校園建設必不可少的對統(tǒng)一身份認證服務器和門戶網(wǎng)站的訪問。但校園網(wǎng)不能隨意訪問一卡通專網(wǎng)，這樣將非法用戶與敏感的網(wǎng)絡資源相互隔離，從而防止可能的非法偵聽，使得一卡通網(wǎng)絡上的設備能夠安全、穩(wěn)定的運行。 

    一卡通網(wǎng)絡結構可以分為三層。一卡通網(wǎng)絡的中心層，是以數(shù)據(jù)庫服務器為中心的局域網(wǎng)的分布式結構。（見圖3）中心層設置中心交換機，與身份認證系統(tǒng)，卡務管理機，結算管理機，結算中心服務器一起構成一卡通網(wǎng)絡與結算中心，它是一卡通系統(tǒng)的管理平臺、身份認證平臺和數(shù)據(jù)庫中心。通過光纜與各結點相連與一卡通網(wǎng)絡的中心組成第一層網(wǎng)絡結構，設置二級交換機。第三層為以第一層局域網(wǎng)的網(wǎng)絡工作站作為控制主機的控制各個IC卡收費終端的網(wǎng)絡。連接到專網(wǎng)的串口設備子網(wǎng)，以及專網(wǎng)計算機校園網(wǎng)和銀行金融網(wǎng)的接口，要同期設計建設。一卡通專網(wǎng)采用TCP/IP網(wǎng)絡協(xié)議。整個一卡通專網(wǎng)所用交換機，建議采用端口MAC地址綁定，使每個端口只能設置唯一的IP地址，連接特定的設備，從而保證了整個網(wǎng)絡的安全性。 
    
    為了充分利用校園網(wǎng)原有資源，一般一卡通網(wǎng)絡主干，啟用校園網(wǎng)絡原有光纖（8芯或者12芯）中的冗余部分，由于校園網(wǎng)工程光纖已經(jīng)遍布全校各個角落，通過利用校園網(wǎng)的2芯冗余光纖構成一卡通網(wǎng)絡主干。至于其他校區(qū)可以通過在原有基礎上另外租用電信光纖連接到主校區(qū)建立一卡通專用局域網(wǎng)。 

    3.3.1網(wǎng)絡分段實現(xiàn)：
    A、網(wǎng)絡分段
    在實際應用過程中，通常采取物理分段（即在物理層和數(shù)據(jù)鏈路層）上分為若干網(wǎng)段與邏輯分段（即把網(wǎng)絡分成若干IP子網(wǎng)）相結合的方法來實現(xiàn)對網(wǎng)絡系統(tǒng)的安全性控制。 

    B、VLAN的實現(xiàn)
    虛擬網(wǎng)技術主要基于近年高速發(fā)展的局域網(wǎng)交換技術（ATM和以太網(wǎng)交換）。交換技術將傳統(tǒng)的基于廣播的局域網(wǎng)技術發(fā)展為面向連接的技術。以太網(wǎng)從本質上基于廣播機制，但應用了交換機和VLAN技術后，實際上轉變?yōu)辄c到點通訊。如上圖，不同系統(tǒng)在網(wǎng)上劃分為不同的虛擬網(wǎng)，如醫(yī)療系統(tǒng)和消費系統(tǒng)劃分在不同的vlan段，通過以下相應的vlan劃分方法來提高網(wǎng)絡安全。 

    1、基于端口的VLAN，就是將交換機中的若干個端口定義為一個VLAN，同一個VLAN中的計算機具有相同的網(wǎng)絡地址，不同VLAN之間進行通訊需要通過三層路由協(xié)議，并配合MAC地址的端口過濾，就可以防止非法入侵和IP地址的盜用問題。
    2、基于MAC地址的VLAN，這種VLAN一旦劃分完成，無論節(jié)點在網(wǎng)絡上怎樣移動，由于MAC地址保持不變，因此不需要重新配置。但是如果新增加節(jié)點的話，需要對交換機進行復雜的配置，以確定該節(jié)點屬于哪一個VLAN。
    3、基于IP地址的VLAN，新增加節(jié)點時，無須進行太多配置，交換機根據(jù)IP地址會自動將其劃分到不同的VLAN。這中VLAN智能化最高，實現(xiàn)最復雜。一旦離開該VLAN，原IP地址將不可用，從而防止了非法用戶通過修改IP地址來越權使用資源。 

    3．4物理隔離的金融網(wǎng)絡連接 

    一卡通系統(tǒng)中心與銀行系統(tǒng)之間的連接是校園卡與銀行卡圈存的數(shù)據(jù)通道，其安全性是一卡通結算中心與銀行進行對帳結算的保證。為了系統(tǒng)連接的安全性和可靠性，銀行金融網(wǎng)絡與校園一卡通的專用虛擬網(wǎng)通過PSTN或者DDN方式相連，并通過PSTN或DDN方式連接自助轉賬設備（圈存機），實現(xiàn)轉賬與對帳分別在不同的物理網(wǎng)絡上完成。在采用PSTN/DDN專線的基礎上銀行對接系統(tǒng)采用如下措施；（如圖3,左上）
    1、.關于涉及數(shù)據(jù)在公網(wǎng)或專網(wǎng)上傳輸，數(shù)據(jù)報文傳輸?shù)陌踩?，與銀行前置機數(shù)據(jù)交換的安全主要由雙向身份認證、加密和報文認證來保障。
    2、防火墻作為保護網(wǎng)絡的重要工具，在網(wǎng)絡的對外出口處設置防火墻是理想的選擇。防火墻在銀行信息網(wǎng)中的安全防護原則： 
 
    任何外部網(wǎng)絡對銀行信息網(wǎng)的內部情況"看不見"
    外部非法入侵者及特殊信息"進不來"
    機要敏感信息"拿不走"
    任何的非法對外訪問"出不去" 

    轉賬安全性
    采用設立銀行網(wǎng)關方式，雙網(wǎng)卡隔離網(wǎng)段，杜絕大學校園網(wǎng)絡對銀行網(wǎng)絡的訪問，僅銀行轉賬前置機可以訪問銀行網(wǎng)絡。
    對傳送的數(shù)據(jù)包加校驗碼（MAC或LRC）。
    對關鍵數(shù)據(jù)可進行加密處理。
    可按銀行要求將數(shù)據(jù)打包成ISO8583格式報文。

    4、結束語

    隨著我國高校日益加大信息化校園的建設步伐，許多先進的信息處理技術都被引入校園，它為數(shù)字化校園提供信息采集，涉及到校園生活的各個方面，使教育與信息技術真正地融合，逐步實現(xiàn)以人為本，從校園環(huán)境、資源到活動的全部數(shù)字化管理。本文在總結多種校園網(wǎng)一卡通的建設方式的基礎上，提出了構架校園主干網(wǎng)絡的安全解決方案，使"校園一卡通"工程成為數(shù)字化校園建設重要組成部分和基礎工程。