校園一卡通工程的設計模式與網絡安全實現

文章出處：http://www.jrzgy.com 作者：劉臻暉   人氣： 發表時間：2011年11月20日

    引言

    隨著信息技術的發展，我國各類校園網建設水平得到很大的提高。無論是小學、中學還是大學，都在積極加強學校內校園信息化的建設，而其中的智能卡（非接觸IC 卡）技術在校園信息系統建設中顯得尤為突出。一卡通以智能卡為信息載體，結合微電子技術、單片機技術、計算機網絡技術及數據庫技術等諸多高新科技，使其具有電子身份識別和電子錢包的功能，替代校園傳統的日常生活所需的教師工作證、學生證、借書證，以及與現金相關交易的食堂飯卡（券）、醫療證、上機證、門票等，達到教、學、考、評、住、用的全面數字化和網絡化，真正實現"一卡在手，走遍校園"。"校園一卡通系統"的建設，是目前高校信息化發展的必然趨勢。

    1. 一卡通的流程概述
    "校園一卡通系統"是數字化校園建設的重要部分，涉及到校園各個運行部門和師生，建設意義和對今后影響都十分深遠。目前高校校園網一卡通的建設流程主要如下：
    建設模式:成立建設領導小組，專家小組和實施工作小組。提出總體設計和需求，決定采用哪種運營模式。
    系統建設：建立覆蓋校區的"一卡通"專用網絡，采用相應的網絡拓樸結構。
    安全策略：
    （1）卡片安全：校園應用對卡要求很高，而其中M1射頻卡是非接觸式IC卡中影響較大的一種。由于每張卡有獨一無二的序列號，芯片有16個存儲扇區，每個扇區讀寫需要獨立雙向三次論證，傳遞數據有嚴格的加密算法和密碼保護。這些優點使這種卡成為高校IC卡應用的首選。
    （2）網絡安全：可以采用三種網絡相結合的架構，一卡通系統網絡、基于校園網的專用虛擬網和物理隔離的金融網絡。
專網與校園網隔離，專用的物理通道保證了各校區、各層次網絡連接和信息傳輸的安全性。銀行方的數據交易，采用防火墻隔離技術，確保網絡互聯和邊界的安全。網絡內部通過MAC端口地址與IP地址綁定，封鎖交換機空余的端口，配置用戶口令，使用不同級別的命令等措施。從三方面即網絡互聯、網絡邊界、網絡內部來確保整個專用網絡的安全。
    （3）數據安全：①通過制定一套完整的密鑰管理體系，來保證消費過程的安全性和終端機具使用的安全性。"一卡通"系統交易過程中使用的密鑰有：主密鑰、工作密鑰、扇區密鑰、卡片扇區密鑰、個人密碼密鑰、卡片個人密碼密鑰，由這六個密鑰組成"一卡通"系統的密鑰體系。
    ②收費終端采用雙CPU工作、UPS供電、以及無源存儲保護數據技術。正常情況下，終端數據信息均具有代碼標識，實時經專網上傳到"結算中心"進行結算；異常發生時，啟動收費終端的數據分析功能，迅速查出數據出錯源，通過底層數據還原校驗予以糾正。
    ③數據庫服務器的數據備份，同時采用磁盤陣列、磁帶機等多重備份，提供足夠的數據冗余；備份方式采用標準備份、增量備份、差量備份三種方法相結合保證數據的安全性。
    ④軟件安全：建立嚴格的用戶權限管理系統，并在用操作權限分配、登錄控制、身份驗證、密碼控制、日志跟蹤等方面設計了嚴密的機制，來保證安全性。
    建設項目：目前各高校校園一卡通實施的項目大致如下： 一卡通專用網絡、校園一卡通卡務中心、校園一卡通結算中心、銀行圈存系統、數據庫系統、設備管理系統、學籍教務管理系統、各類收費系統、圖書館管理系統、機房上機管理系統、門禁、通道管理系統、身份識別系統、醫療系統、后勤服務管理系統、各類信息查詢系統。

    2. 一卡通的幾種運營方式比較

    一卡通上運行的是金融交易數據及其他重要的MIS（管理信息系統）數據，在進行一卡通工程建設與實施過程中，出于系統安全和以后數字化校園建設的需要，不同高校建設可能采取不同的運營模式，而不同的運營模式直接關系到具體網絡建設模式的設計。這幾種運營模式大致分為三種：1、部門級封閉式運營模式 2、銀行圈存、校內發卡結算模式 3、銀行圈存發卡、校內結算模式 。這3種模式涉及到學校、銀行、師生（客戶）、商戶（校內企業）四類對象，銀行、學校財務、商戶、持卡人的關系如下圖（圖1）所示，這4類對象的特點分別如下： 

圖1

    銀行：隨著銀行業務發展和拓寬，項目投資也將增加，投資決定因素是存款數目、存款期限、帳戶留存金額、客戶群體穩定性、發展前景、可持續增長性等因素。銀行可以通過銀校一卡通通項目合作擴大業務范圍和渠道，獲得可觀的資金積累。同時銀行對教育的投入可以提高自身效益和知名度，從而使銀校合作具有極大的推廣價值。
    學校：學校收費可以借助銀行系統實現自動轉帳，減少學校的結算工作量，同時通過銀行可以提高安全性尤其大大提高學校每年新學期開始時學生從異地到校攜帶現金的安全性。
    師生：通過圈存機將銀行帳戶轉入學校校園卡（射頻卡）帳戶，避免現金交易的麻煩。
    商家：校園內商家可以實現無紙幣流通，防止出現假幣、殘幣、找零的麻煩，可以和學校定期和數據中心結帳，也使學校更方便地管理學校內的商業運作。
    校園一卡通有以下三種運營模式：部門級封閉式運營；銀行圈存校內發卡結算；銀行圈存發卡校內結算。各自有如下的優缺點: 

    以上幾種模式各有優點，是目前高校建設采用的主要模式。第三種模式即和銀行合作，共同建設校園一卡通，可以利用銀行充裕的資金實現學校的一卡通建設規劃，這樣使銀行、學校、學生、商家在系統運作中達到互利的戰略目的，是一種適合高校的網絡建設模式。

    3. 一卡通的網絡安全實現

    進行一卡通工程建設與實施時，必須考慮網絡的安全問題。一個完整的網絡信息安全體系至少應包括三類措施：一是整個系統的操作人員的操作規程的規范，規章制度的規范。二是技術方面的措施，如防火墻技術，網絡防毒，通訊數據的加密，操作人員和使用用戶的身份認證，授權。三是審核和管理措施，其主要措施有實時監控系統的安全狀態，對現有的安全系統實施安全檢查以防患于未然。
    3．1一卡通網絡構架
    一卡通運營方式一般采用采用2級管理模式，各系統之間采用"星型結構"相連接如圖（2）。實現IC卡"聯機交易、脫機交易、身份識別"三條流程，以滿足身份認證的松耦合應用和消費支付、查詢信息的緊耦合應用。 

圖2

    一個中心為統一的校園IC卡管理和資金結算中心，統一發卡，統一結算，作為系統后臺和其他系統和網點相連。在這個網絡架構中，采用了三種網絡校園主干網，現場總線聯入終端、金融網來構建一卡通運營平臺。 

    3．2 終端設備入網方式
    終端設備（如消費服務器與消費POS 終端之間、門禁、服務器與門禁讀卡器之間）可以通過CAN現場總線或者RS485星型拓撲結構通過校園網提供的面向端口的專用虛擬網聯入校園主干網。兩種方式都傳輸距離遠、成本低，也有TCP/IP安全性、實效性的優點，解決了各終端連網的實效性、遠距離等問題。 

    3．3 校園主干網的安全實現
    校園主干網部分是整個校園一卡通系統的核心，消費結算中心各種數據服務器和圈存機通過校園主干網與各終端設備和銀行網絡的前置機進行通信。了保證網絡系統的安全性和便于管理，一般采用專網形式，獨立于校園網。一卡通網絡可以采用基于校園網的內部虛擬專用網（Virtual Private Network），即在校園網絡基礎設施上建成的專用數據通信網絡。數據通過安全的加密隧道在校園網中傳輸，從而保證通信的保密性。VPN與一般網絡互聯的關鍵區別在于用戶的數據通過校園網中建立邏輯隧道進行傳輸，數據包經過加密后，按隧道協議進行封裝、傳送，并通過相應的認證技術來實現網絡數據的專有性。 

    校園網一卡通主干網（高速以太網）部分，要求所有的以太網設備在vlan部分和現有的校園網設備隔離，保證現有的校園網和一卡通部分是兩個網絡，設備不允許互相訪問。 

圖3

    同時為了共享已有的校園網資源，所以，一卡通與校園網采用防火墻進行單通道連接，保證一卡通網絡能訪問校園網數據，如：信息化校園建設必不可少的對統一身份認證服務器和門戶網站的訪問。但校園網不能隨意訪問一卡通專網，這樣將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，使得一卡通網絡上的設備能夠安全、穩定的運行。 

    一卡通網絡結構可以分為三層。一卡通網絡的中心層，是以數據庫服務器為中心的局域網的分布式結構。（見圖3）中心層設置中心交換機，與身份認證系統，卡務管理機，結算管理機，結算中心服務器一起構成一卡通網絡與結算中心，它是一卡通系統的管理平臺、身份認證平臺和數據庫中心。通過光纜與各結點相連與一卡通網絡的中心組成第一層網絡結構，設置二級交換機。第三層為以第一層局域網的網絡工作站作為控制主機的控制各個IC卡收費終端的網絡。連接到專網的串口設備子網，以及專網計算機校園網和銀行金融網的接口，要同期設計建設。一卡通專網采用TCP/IP網絡協議。整個一卡通專網所用交換機，建議采用端口MAC地址綁定，使每個端口只能設置唯一的IP地址，連接特定的設備，從而保證了整個網絡的安全性。 
    
    為了充分利用校園網原有資源，一般一卡通網絡主干，啟用校園網絡原有光纖（8芯或者12芯）中的冗余部分，由于校園網工程光纖已經遍布全校各個角落，通過利用校園網的2芯冗余光纖構成一卡通網絡主干。至于其他校區可以通過在原有基礎上另外租用電信光纖連接到主校區建立一卡通專用局域網。 

    3.3.1網絡分段實現：
    A、網絡分段
    在實際應用過程中，通常采取物理分段（即在物理層和數據鏈路層）上分為若干網段與邏輯分段（即把網絡分成若干IP子網）相結合的方法來實現對網絡系統的安全性控制。 

    B、VLAN的實現
    虛擬網技術主要基于近年高速發展的局域網交換技術（ATM和以太網交換）。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。以太網從本質上基于廣播機制，但應用了交換機和VLAN技術后，實際上轉變為點到點通訊。如上圖，不同系統在網上劃分為不同的虛擬網，如醫療系統和消費系統劃分在不同的vlan段，通過以下相應的vlan劃分方法來提高網絡安全。 

    1、基于端口的VLAN，就是將交換機中的若干個端口定義為一個VLAN，同一個VLAN中的計算機具有相同的網絡地址，不同VLAN之間進行通訊需要通過三層路由協議，并配合MAC地址的端口過濾，就可以防止非法入侵和IP地址的盜用問題。
    2、基于MAC地址的VLAN，這種VLAN一旦劃分完成，無論節點在網絡上怎樣移動，由于MAC地址保持不變，因此不需要重新配置。但是如果新增加節點的話，需要對交換機進行復雜的配置，以確定該節點屬于哪一個VLAN。
    3、基于IP地址的VLAN，新增加節點時，無須進行太多配置，交換機根據IP地址會自動將其劃分到不同的VLAN。這中VLAN智能化最高，實現最復雜。一旦離開該VLAN，原IP地址將不可用，從而防止了非法用戶通過修改IP地址來越權使用資源。 

    3．4物理隔離的金融網絡連接 

    一卡通系統中心與銀行系統之間的連接是校園卡與銀行卡圈存的數據通道，其安全性是一卡通結算中心與銀行進行對帳結算的保證。為了系統連接的安全性和可靠性，銀行金融網絡與校園一卡通的專用虛擬網通過PSTN或者DDN方式相連，并通過PSTN或DDN方式連接自助轉賬設備（圈存機），實現轉賬與對帳分別在不同的物理網絡上完成。在采用PSTN/DDN專線的基礎上銀行對接系統采用如下措施；（如圖3,左上）
    1、.關于涉及數據在公網或專網上傳輸，數據報文傳輸的安全，與銀行前置機數據交換的安全主要由雙向身份認證、加密和報文認證來保障。
    2、防火墻作為保護網絡的重要工具，在網絡的對外出口處設置防火墻是理想的選擇。防火墻在銀行信息網中的安全防護原則： 
 
    任何外部網絡對銀行信息網的內部情況"看不見"
    外部非法入侵者及特殊信息"進不來"
    機要敏感信息"拿不走"
    任何的非法對外訪問"出不去" 

    轉賬安全性
    采用設立銀行網關方式，雙網卡隔離網段，杜絕大學校園網絡對銀行網絡的訪問，僅銀行轉賬前置機可以訪問銀行網絡。
    對傳送的數據包加校驗碼（MAC或LRC）。
    對關鍵數據可進行加密處理。
    可按銀行要求將數據打包成ISO8583格式報文。

    4、結束語

    隨著我國高校日益加大信息化校園的建設步伐，許多先進的信息處理技術都被引入校園，它為數字化校園提供信息采集，涉及到校園生活的各個方面，使教育與信息技術真正地融合，逐步實現以人為本，從校園環境、資源到活動的全部數字化管理。本文在總結多種校園網一卡通的建設方式的基礎上，提出了構架校園主干網絡的安全解決方案，使"校園一卡通"工程成為數字化校園建設重要組成部分和基礎工程。