校園一卡通工程的設(shè)計(jì)模式與網(wǎng)絡(luò)安全實(shí)現(xiàn)
文章出處:http://www.hungpor.com 作者:劉臻暉 人氣: 發(fā)表時(shí)間:2011年11月20日
引言
隨著信息技術(shù)的發(fā)展,我國(guó)各類校園網(wǎng)建設(shè)水平得到很大的提高。無論是小學(xué)、中學(xué)還是大學(xué),都在積極加強(qiáng)學(xué)校內(nèi)校園信息化的建設(shè),而其中的智能卡(非接觸IC 卡)技術(shù)在校園信息系統(tǒng)建設(shè)中顯得尤為突出。一卡通以智能卡為信息載體,結(jié)合微電子技術(shù)、單片機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及數(shù)據(jù)庫(kù)技術(shù)等諸多高新科技,使其具有電子身份識(shí)別和電子錢包的功能,替代校園傳統(tǒng)的日常生活所需的教師工作證、學(xué)生證、借書證,以及與現(xiàn)金相關(guān)交易的食堂飯卡(券)、醫(yī)療證、上機(jī)證、門票等,達(dá)到教、學(xué)、考、評(píng)、住、用的全面數(shù)字化和網(wǎng)絡(luò)化,真正實(shí)現(xiàn)"一卡在手,走遍校園"。"校園一卡通系統(tǒng)"的建設(shè),是目前高校信息化發(fā)展的必然趨勢(shì)。
1. 一卡通的流程概述
"校園一卡通系統(tǒng)"是數(shù)字化校園建設(shè)的重要部分,涉及到校園各個(gè)運(yùn)行部門和師生,建設(shè)意義和對(duì)今后影響都十分深遠(yuǎn)。目前高校校園網(wǎng)一卡通的建設(shè)流程主要如下:
建設(shè)模式:成立建設(shè)領(lǐng)導(dǎo)小組,專家小組和實(shí)施工作小組。提出總體設(shè)計(jì)和需求,決定采用哪種運(yùn)營(yíng)模式。
系統(tǒng)建設(shè):建立覆蓋校區(qū)的"一卡通"專用網(wǎng)絡(luò),采用相應(yīng)的網(wǎng)絡(luò)拓樸結(jié)構(gòu)。
安全策略:
(1)卡片安全:校園應(yīng)用對(duì)卡要求很高,而其中M1射頻卡是非接觸式IC卡中影響較大的一種。由于每張卡有獨(dú)一無二的序列號(hào),芯片有16個(gè)存儲(chǔ)扇區(qū),每個(gè)扇區(qū)讀寫需要獨(dú)立雙向三次論證,傳遞數(shù)據(jù)有嚴(yán)格的加密算法和密碼保護(hù)。這些優(yōu)點(diǎn)使這種卡成為高校IC卡應(yīng)用的首選。
(2)網(wǎng)絡(luò)安全:可以采用三種網(wǎng)絡(luò)相結(jié)合的架構(gòu),一卡通系統(tǒng)網(wǎng)絡(luò)、基于校園網(wǎng)的專用虛擬網(wǎng)和物理隔離的金融網(wǎng)絡(luò)。
專網(wǎng)與校園網(wǎng)隔離,專用的物理通道保證了各校區(qū)、各層次網(wǎng)絡(luò)連接和信息傳輸?shù)陌踩?。銀行方的數(shù)據(jù)交易,采用防火墻隔離技術(shù),確保網(wǎng)絡(luò)互聯(lián)和邊界的安全。網(wǎng)絡(luò)內(nèi)部通過MAC端口地址與IP地址綁定,封鎖交換機(jī)空余的端口,配置用戶口令,使用不同級(jí)別的命令等措施。從三方面即網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)內(nèi)部來確保整個(gè)專用網(wǎng)絡(luò)的安全。
(3)數(shù)據(jù)安全:①通過制定一套完整的密鑰管理體系,來保證消費(fèi)過程的安全性和終端機(jī)具使用的安全性。"一卡通"系統(tǒng)交易過程中使用的密鑰有:主密鑰、工作密鑰、扇區(qū)密鑰、卡片扇區(qū)密鑰、個(gè)人密碼密鑰、卡片個(gè)人密碼密鑰,由這六個(gè)密鑰組成"一卡通"系統(tǒng)的密鑰體系。
②收費(fèi)終端采用雙CPU工作、UPS供電、以及無源存儲(chǔ)保護(hù)數(shù)據(jù)技術(shù)。正常情況下,終端數(shù)據(jù)信息均具有代碼標(biāo)識(shí),實(shí)時(shí)經(jīng)專網(wǎng)上傳到"結(jié)算中心"進(jìn)行結(jié)算;異常發(fā)生時(shí),啟動(dòng)收費(fèi)終端的數(shù)據(jù)分析功能,迅速查出數(shù)據(jù)出錯(cuò)源,通過底層數(shù)據(jù)還原校驗(yàn)予以糾正。
③數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)備份,同時(shí)采用磁盤陣列、磁帶機(jī)等多重備份,提供足夠的數(shù)據(jù)冗余;備份方式采用標(biāo)準(zhǔn)備份、增量備份、差量備份三種方法相結(jié)合保證數(shù)據(jù)的安全性。
④軟件安全:建立嚴(yán)格的用戶權(quán)限管理系統(tǒng),并在用操作權(quán)限分配、登錄控制、身份驗(yàn)證、密碼控制、日志跟蹤等方面設(shè)計(jì)了嚴(yán)密的機(jī)制,來保證安全性。
建設(shè)項(xiàng)目:目前各高校校園一卡通實(shí)施的項(xiàng)目大致如下: 一卡通專用網(wǎng)絡(luò)、校園一卡通卡務(wù)中心、校園一卡通結(jié)算中心、銀行圈存系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、設(shè)備管理系統(tǒng)、學(xué)籍教務(wù)管理系統(tǒng)、各類收費(fèi)系統(tǒng)、圖書館管理系統(tǒng)、機(jī)房上機(jī)管理系統(tǒng)、門禁、通道管理系統(tǒng)、身份識(shí)別系統(tǒng)、醫(yī)療系統(tǒng)、后勤服務(wù)管理系統(tǒng)、各類信息查詢系統(tǒng)。
2. 一卡通的幾種運(yùn)營(yíng)方式比較
一卡通上運(yùn)行的是金融交易數(shù)據(jù)及其他重要的MIS(管理信息系統(tǒng))數(shù)據(jù),在進(jìn)行一卡通工程建設(shè)與實(shí)施過程中,出于系統(tǒng)安全和以后數(shù)字化校園建設(shè)的需要,不同高校建設(shè)可能采取不同的運(yùn)營(yíng)模式,而不同的運(yùn)營(yíng)模式直接關(guān)系到具體網(wǎng)絡(luò)建設(shè)模式的設(shè)計(jì)。這幾種運(yùn)營(yíng)模式大致分為三種:1、部門級(jí)封閉式運(yùn)營(yíng)模式 2、銀行圈存、校內(nèi)發(fā)卡結(jié)算模式 3、銀行圈存發(fā)卡、校內(nèi)結(jié)算模式 。這3種模式涉及到學(xué)校、銀行、師生(客戶)、商戶(校內(nèi)企業(yè))四類對(duì)象,銀行、學(xué)校財(cái)務(wù)、商戶、持卡人的關(guān)系如下圖(圖1)所示,這4類對(duì)象的特點(diǎn)分別如下:
圖1
銀行:隨著銀行業(yè)務(wù)發(fā)展和拓寬,項(xiàng)目投資也將增加,投資決定因素是存款數(shù)目、存款期限、帳戶留存金額、客戶群體穩(wěn)定性、發(fā)展前景、可持續(xù)增長(zhǎng)性等因素。銀行可以通過銀校一卡通通項(xiàng)目合作擴(kuò)大業(yè)務(wù)范圍和渠道,獲得可觀的資金積累。同時(shí)銀行對(duì)教育的投入可以提高自身效益和知名度,從而使銀校合作具有極大的推廣價(jià)值。
學(xué)校:學(xué)校收費(fèi)可以借助銀行系統(tǒng)實(shí)現(xiàn)自動(dòng)轉(zhuǎn)帳,減少學(xué)校的結(jié)算工作量,同時(shí)通過銀行可以提高安全性尤其大大提高學(xué)校每年新學(xué)期開始時(shí)學(xué)生從異地到校攜帶現(xiàn)金的安全性。
師生:通過圈存機(jī)將銀行帳戶轉(zhuǎn)入學(xué)校校園卡(射頻卡)帳戶,避免現(xiàn)金交易的麻煩。
商家:校園內(nèi)商家可以實(shí)現(xiàn)無紙幣流通,防止出現(xiàn)假幣、殘幣、找零的麻煩,可以和學(xué)校定期和數(shù)據(jù)中心結(jié)帳,也使學(xué)校更方便地管理學(xué)校內(nèi)的商業(yè)運(yùn)作。
校園一卡通有以下三種運(yùn)營(yíng)模式:部門級(jí)封閉式運(yùn)營(yíng);銀行圈存校內(nèi)發(fā)卡結(jié)算;銀行圈存發(fā)卡校內(nèi)結(jié)算。各自有如下的優(yōu)缺點(diǎn):
以上幾種模式各有優(yōu)點(diǎn),是目前高校建設(shè)采用的主要模式。第三種模式即和銀行合作,共同建設(shè)校園一卡通,可以利用銀行充裕的資金實(shí)現(xiàn)學(xué)校的一卡通建設(shè)規(guī)劃,這樣使銀行、學(xué)校、學(xué)生、商家在系統(tǒng)運(yùn)作中達(dá)到互利的戰(zhàn)略目的,是一種適合高校的網(wǎng)絡(luò)建設(shè)模式。
3. 一卡通的網(wǎng)絡(luò)安全實(shí)現(xiàn)
進(jìn)行一卡通工程建設(shè)與實(shí)施時(shí),必須考慮網(wǎng)絡(luò)的安全問題。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施:一是整個(gè)系統(tǒng)的操作人員的操作規(guī)程的規(guī)范,規(guī)章制度的規(guī)范。二是技術(shù)方面的措施,如防火墻技術(shù),網(wǎng)絡(luò)防毒,通訊數(shù)據(jù)的加密,操作人員和使用用戶的身份認(rèn)證,授權(quán)。三是審核和管理措施,其主要措施有實(shí)時(shí)監(jiān)控系統(tǒng)的安全狀態(tài),對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施安全檢查以防患于未然。
3.1一卡通網(wǎng)絡(luò)構(gòu)架
一卡通運(yùn)營(yíng)方式一般采用采用2級(jí)管理模式,各系統(tǒng)之間采用"星型結(jié)構(gòu)"相連接如圖(2)。實(shí)現(xiàn)IC卡"聯(lián)機(jī)交易、脫機(jī)交易、身份識(shí)別"三條流程,以滿足身份認(rèn)證的松耦合應(yīng)用和消費(fèi)支付、查詢信息的緊耦合應(yīng)用。
圖2
一個(gè)中心為統(tǒng)一的校園IC卡管理和資金結(jié)算中心,統(tǒng)一發(fā)卡,統(tǒng)一結(jié)算,作為系統(tǒng)后臺(tái)和其他系統(tǒng)和網(wǎng)點(diǎn)相連。在這個(gè)網(wǎng)絡(luò)架構(gòu)中,采用了三種網(wǎng)絡(luò)校園主干網(wǎng),現(xiàn)場(chǎng)總線聯(lián)入終端、金融網(wǎng)來構(gòu)建一卡通運(yùn)營(yíng)平臺(tái)。
3.2 終端設(shè)備入網(wǎng)方式
終端設(shè)備(如消費(fèi)服務(wù)器與消費(fèi)POS 終端之間、門禁、服務(wù)器與門禁讀卡器之間)可以通過CAN現(xiàn)場(chǎng)總線或者RS485星型拓?fù)浣Y(jié)構(gòu)通過校園網(wǎng)提供的面向端口的專用虛擬網(wǎng)聯(lián)入校園主干網(wǎng)。兩種方式都傳輸距離遠(yuǎn)、成本低,也有TCP/IP安全性、實(shí)效性的優(yōu)點(diǎn),解決了各終端連網(wǎng)的實(shí)效性、遠(yuǎn)距離等問題。
3.3 校園主干網(wǎng)的安全實(shí)現(xiàn)
校園主干網(wǎng)部分是整個(gè)校園一卡通系統(tǒng)的核心,消費(fèi)結(jié)算中心各種數(shù)據(jù)服務(wù)器和圈存機(jī)通過校園主干網(wǎng)與各終端設(shè)備和銀行網(wǎng)絡(luò)的前置機(jī)進(jìn)行通信。了保證網(wǎng)絡(luò)系統(tǒng)的安全性和便于管理,一般采用專網(wǎng)形式,獨(dú)立于校園網(wǎng)。一卡通網(wǎng)絡(luò)可以采用基于校園網(wǎng)的內(nèi)部虛擬專用網(wǎng)(Virtual Private Network),即在校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建成的專用數(shù)據(jù)通信網(wǎng)絡(luò)。數(shù)據(jù)通過安全的加密隧道在校園網(wǎng)中傳輸,從而保證通信的保密性。VPN與一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵區(qū)別在于用戶的數(shù)據(jù)通過校園網(wǎng)中建立邏輯隧道進(jìn)行傳輸,數(shù)據(jù)包經(jīng)過加密后,按隧道協(xié)議進(jìn)行封裝、傳送,并通過相應(yīng)的認(rèn)證技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。
校園網(wǎng)一卡通主干網(wǎng)(高速以太網(wǎng))部分,要求所有的以太網(wǎng)設(shè)備在vlan部分和現(xiàn)有的校園網(wǎng)設(shè)備隔離,保證現(xiàn)有的校園網(wǎng)和一卡通部分是兩個(gè)網(wǎng)絡(luò),設(shè)備不允許互相訪問。
圖3
同時(shí)為了共享已有的校園網(wǎng)資源,所以,一卡通與校園網(wǎng)采用防火墻進(jìn)行單通道連接,保證一卡通網(wǎng)絡(luò)能訪問校園網(wǎng)數(shù)據(jù),如:信息化校園建設(shè)必不可少的對(duì)統(tǒng)一身份認(rèn)證服務(wù)器和門戶網(wǎng)站的訪問。但校園網(wǎng)不能隨意訪問一卡通專網(wǎng),這樣將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離,從而防止可能的非法偵聽,使得一卡通網(wǎng)絡(luò)上的設(shè)備能夠安全、穩(wěn)定的運(yùn)行。
一卡通網(wǎng)絡(luò)結(jié)構(gòu)可以分為三層。一卡通網(wǎng)絡(luò)的中心層,是以數(shù)據(jù)庫(kù)服務(wù)器為中心的局域網(wǎng)的分布式結(jié)構(gòu)。(見圖3)中心層設(shè)置中心交換機(jī),與身份認(rèn)證系統(tǒng),卡務(wù)管理機(jī),結(jié)算管理機(jī),結(jié)算中心服務(wù)器一起構(gòu)成一卡通網(wǎng)絡(luò)與結(jié)算中心,它是一卡通系統(tǒng)的管理平臺(tái)、身份認(rèn)證平臺(tái)和數(shù)據(jù)庫(kù)中心。通過光纜與各結(jié)點(diǎn)相連與一卡通網(wǎng)絡(luò)的中心組成第一層網(wǎng)絡(luò)結(jié)構(gòu),設(shè)置二級(jí)交換機(jī)。第三層為以第一層局域網(wǎng)的網(wǎng)絡(luò)工作站作為控制主機(jī)的控制各個(gè)IC卡收費(fèi)終端的網(wǎng)絡(luò)。連接到專網(wǎng)的串口設(shè)備子網(wǎng),以及專網(wǎng)計(jì)算機(jī)校園網(wǎng)和銀行金融網(wǎng)的接口,要同期設(shè)計(jì)建設(shè)。一卡通專網(wǎng)采用TCP/IP網(wǎng)絡(luò)協(xié)議。整個(gè)一卡通專網(wǎng)所用交換機(jī),建議采用端口MAC地址綁定,使每個(gè)端口只能設(shè)置唯一的IP地址,連接特定的設(shè)備,從而保證了整個(gè)網(wǎng)絡(luò)的安全性。
為了充分利用校園網(wǎng)原有資源,一般一卡通網(wǎng)絡(luò)主干,啟用校園網(wǎng)絡(luò)原有光纖(8芯或者12芯)中的冗余部分,由于校園網(wǎng)工程光纖已經(jīng)遍布全校各個(gè)角落,通過利用校園網(wǎng)的2芯冗余光纖構(gòu)成一卡通網(wǎng)絡(luò)主干。至于其他校區(qū)可以通過在原有基礎(chǔ)上另外租用電信光纖連接到主校區(qū)建立一卡通專用局域網(wǎng)。
3.3.1網(wǎng)絡(luò)分段實(shí)現(xiàn):
A、網(wǎng)絡(luò)分段
在實(shí)際應(yīng)用過程中,通常采取物理分段(即在物理層和數(shù)據(jù)鏈路層)上分為若干網(wǎng)段與邏輯分段(即把網(wǎng)絡(luò)分成若干IP子網(wǎng))相結(jié)合的方法來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性控制。
B、VLAN的實(shí)現(xiàn)
虛擬網(wǎng)技術(shù)主要基于近年高速發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制,但應(yīng)用了交換機(jī)和VLAN技術(shù)后,實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊。如上圖,不同系統(tǒng)在網(wǎng)上劃分為不同的虛擬網(wǎng),如醫(yī)療系統(tǒng)和消費(fèi)系統(tǒng)劃分在不同的vlan段,通過以下相應(yīng)的vlan劃分方法來提高網(wǎng)絡(luò)安全。
1、基于端口的VLAN,就是將交換機(jī)中的若干個(gè)端口定義為一個(gè)VLAN,同一個(gè)VLAN中的計(jì)算機(jī)具有相同的網(wǎng)絡(luò)地址,不同VLAN之間進(jìn)行通訊需要通過三層路由協(xié)議,并配合MAC地址的端口過濾,就可以防止非法入侵和IP地址的盜用問題。
2、基于MAC地址的VLAN,這種VLAN一旦劃分完成,無論節(jié)點(diǎn)在網(wǎng)絡(luò)上怎樣移動(dòng),由于MAC地址保持不變,因此不需要重新配置。但是如果新增加節(jié)點(diǎn)的話,需要對(duì)交換機(jī)進(jìn)行復(fù)雜的配置,以確定該節(jié)點(diǎn)屬于哪一個(gè)VLAN。
3、基于IP地址的VLAN,新增加節(jié)點(diǎn)時(shí),無須進(jìn)行太多配置,交換機(jī)根據(jù)IP地址會(huì)自動(dòng)將其劃分到不同的VLAN。這中VLAN智能化最高,實(shí)現(xiàn)最復(fù)雜。一旦離開該VLAN,原IP地址將不可用,從而防止了非法用戶通過修改IP地址來越權(quán)使用資源。
3.4物理隔離的金融網(wǎng)絡(luò)連接
一卡通系統(tǒng)中心與銀行系統(tǒng)之間的連接是校園卡與銀行卡圈存的數(shù)據(jù)通道,其安全性是一卡通結(jié)算中心與銀行進(jìn)行對(duì)帳結(jié)算的保證。為了系統(tǒng)連接的安全性和可靠性,銀行金融網(wǎng)絡(luò)與校園一卡通的專用虛擬網(wǎng)通過PSTN或者DDN方式相連,并通過PSTN或DDN方式連接自助轉(zhuǎn)賬設(shè)備(圈存機(jī)),實(shí)現(xiàn)轉(zhuǎn)賬與對(duì)帳分別在不同的物理網(wǎng)絡(luò)上完成。在采用PSTN/DDN專線的基礎(chǔ)上銀行對(duì)接系統(tǒng)采用如下措施;(如圖3,左上)
1、.關(guān)于涉及數(shù)據(jù)在公網(wǎng)或?qū)>W(wǎng)上傳輸,數(shù)據(jù)報(bào)文傳輸?shù)陌踩?,與銀行前置機(jī)數(shù)據(jù)交換的安全主要由雙向身份認(rèn)證、加密和報(bào)文認(rèn)證來保障。
2、防火墻作為保護(hù)網(wǎng)絡(luò)的重要工具,在網(wǎng)絡(luò)的對(duì)外出口處設(shè)置防火墻是理想的選擇。防火墻在銀行信息網(wǎng)中的安全防護(hù)原則:
任何外部網(wǎng)絡(luò)對(duì)銀行信息網(wǎng)的內(nèi)部情況"看不見"
外部非法入侵者及特殊信息"進(jìn)不來"
機(jī)要敏感信息"拿不走"
任何的非法對(duì)外訪問"出不去"
轉(zhuǎn)賬安全性
采用設(shè)立銀行網(wǎng)關(guān)方式,雙網(wǎng)卡隔離網(wǎng)段,杜絕大學(xué)校園網(wǎng)絡(luò)對(duì)銀行網(wǎng)絡(luò)的訪問,僅銀行轉(zhuǎn)賬前置機(jī)可以訪問銀行網(wǎng)絡(luò)。
對(duì)傳送的數(shù)據(jù)包加校驗(yàn)碼(MAC或LRC)。
對(duì)關(guān)鍵數(shù)據(jù)可進(jìn)行加密處理。
可按銀行要求將數(shù)據(jù)打包成ISO8583格式報(bào)文。
4、結(jié)束語
隨著我國(guó)高校日益加大信息化校園的建設(shè)步伐,許多先進(jìn)的信息處理技術(shù)都被引入校園,它為數(shù)字化校園提供信息采集,涉及到校園生活的各個(gè)方面,使教育與信息技術(shù)真正地融合,逐步實(shí)現(xiàn)以人為本,從校園環(huán)境、資源到活動(dòng)的全部數(shù)字化管理。本文在總結(jié)多種校園網(wǎng)一卡通的建設(shè)方式的基礎(chǔ)上,提出了構(gòu)架校園主干網(wǎng)絡(luò)的安全解決方案,使"校園一卡通"工程成為數(shù)字化校園建設(shè)重要組成部分和基礎(chǔ)工程。