校園“一卡通”關鍵技術分析與解決方案

　在全球數字化浪潮的影響之下，高等學校數字化校園建設受到廣泛的重視，全國各地的高校借中國教育科研網(CERNET)建設的強力推動，正在從各個側面接觸數字化校園建設這個主題。近年來，隨著智能卡的推廣和使用，將多項管理職能和社區服務、認證融為一體的校園“一卡通”正在各高校普及開來。校園“一卡通”不但提高了學校的管理效率，降低了成本，方便了教師和學生，而且也為各電信運營商借助于校園“一卡通”的獨特資源逐鹿校園打下了伏筆。

　　校園“一卡通”在校園管理中應用的對象是校內的教職員工和學生。對于學生，目前大多數校園“一卡通”已經實現就餐收費管理、圖書借閱管理、醫療收費管理、上機計時收費管理、校內消費管理、早操出勤管理等，對教職工，同樣也是實現了諸如圖書借閱，身份認證、工資發放、校內消費、就餐等相似的管理。實際上，校園“一卡通”以智能卡為信息載體，結合了微電子技術、單片機技術、計算機網絡技術及數據庫技術等諸多高新科技，使其具有電子身份識別和電子錢包的功能，替代校園傳統的日常生活所需的教師工作證、學生證、借書證，以及與現金相關交易的食堂飯卡(券)、醫療證、上機證、門票等，達到教、學、考、評、住、用的全面數字化和網絡化，真正實現“一卡在手，走遍校園”。“校園一卡通系統”的建設，也是目前高校信息化發展的必然趨勢。


　　校園“一卡通”系統在校園的內部資源方面帶有強烈的“獨占”和“壟斷”的色彩，面對如此成熟的校園“一卡通”應用環境 ，我們走了一條和高校后勤集團下屬的公共服務中心合作開發高校電信市場的路子，經過大量的調研和反復的論證，開發了基于校園“一卡通” 的虛擬電信運營商平臺系統。


　　校園“一卡通”關鍵技術分析


　　“一卡通”涉及的關鍵問題是安全交易問題，下面著重分析一下典型的校園″一卡通″系統平臺所涉及的關鍵性安全技術。


　　(1)卡片安全：校園應用對卡要求很高，而其中M1射頻卡是非接觸式IC卡中影響較大的一種。由于每張卡有獨一無二的序列號，芯片有16個存儲扇區，每個扇區讀寫需要獨立雙向三次論證，傳遞數據有嚴格的加密算法和密碼保護。


　　(2)網絡安全：一般采用三種網絡相結合的架構，一卡通系統網絡、基于校園網的專用虛擬網和物理隔離的金融網絡。專網與校園網隔離，專用的物理通道保證了各校區、各層次網絡連接和信息傳輸的安全性。銀行方的數據交易，采用防火墻隔離技術，確保網絡互聯和邊界的安全。網絡內部通過MAC端口地址與IP地址綁定，封鎖交換機空余的端口，配置用戶口令，使用不同級別的命令等措施。從三方面即網絡互聯、網絡邊界、網絡內部來確保整個專用網絡的安全。


　　(3)數據安全：①通過制定一套完整的密鑰管理體系，來保證消費過程的安全性和終端機具使用的安全性。“一卡通”系統交易過程中使用的密鑰有：主密鑰、工作密鑰、扇區密鑰、卡片扇區密鑰、個人密碼密鑰、卡片個人密碼密鑰，由這六個密鑰組成“一卡通”系統的密鑰體系。②收費終端采用雙CPU工作、UPS供電、以及無源存儲保護數據技術。正常情況下，終端數據信息均具有代碼標識，實時經專用網絡上傳到“結算中心”進行結算；異常發生時，啟動收費終端的數據分析功能，迅速查出數據出錯源，通過底層數據還原校驗予以糾正。③數據庫服務器的數據備份，同時采用磁盤陣列、磁帶機等多重備份，提供足夠的數據冗余；備份方式采用標準備份、增量備份、差量備份三種方法相結合保證數據的安全性。④軟件安全：建立嚴格的用戶權限管理系統，并在用操作權限分配、登錄控制、身份驗證、密碼控制、日志跟蹤等方面設計了嚴密的機制，來保證安全性。


　　目前各高校校園一卡通實施的項目大致如下： 一卡通專用網絡、校園一卡通卡務中心、校園一卡通結算中心、銀行圈存系統、數據庫系統、設備管理系統、學籍教務管理系統、各類收費系統、圖書館管理系統、機房上機管理系統、門禁、通道管理系統、身份識別系統、醫療系統、后勤服務管理系統、各類信息查詢系統。

　　綜上所述，利用射頻智能卡來開發電信業務中的智能電話卡(面向固話、公話)、充值卡(面向小靈通、寬帶、增值業務)是此虛擬電信運營商平臺的技術關鍵。


　　虛擬電信運營商平臺的系統設計


　　考慮到原有的智能電話系統，為了減少系統的設計費用，我們將固話和公話子系統設計并入到原有的智能電話系統中，在硬件上，我們和相關廠家一起設計了新的電話機和公話機；在軟件系統的設計上我們主要考慮如下的問題①考慮到不同的學校對射頻卡的16個扇區的不同的功能定義，我們要求由軟件來軟定制話機對射頻卡對應扇區的智能卡電話賬號和密碼的讀入，這樣來增強整個系統(軟硬件)的通用性。②在原有的系統上增加開戶、銷戶、掛失、解掛等相關卡類的管理③電話充值管理④密碼更換。在上面的設計中，我們針對不同的學校開放不同的賬戶號碼段，讓每個學生都有唯一賬號，這樣一是讓學生在校內可以方便地“刷卡”打電話(無須輸入賬號和密碼)，二是讓學生在校外可以通過輸入賬號和密碼的方式打電話，無論是從刺激客戶的消費還是方便地管理好客戶關系都是一個好的做法。


　　考慮到校園卡的多態性，能直接和銀行連接交易，我們設計了一套基于銀行直接交易的電信自助業務子系統。硬件是我們和銀行一起合作研發的，軟件的設計主要考慮如下的問題①電話自助充值、小靈通自助充值②寬帶業務開通、續費以及和學校的住宿管理系統之間的接口③掛失、解掛、改換密碼④增值類業務的充值。


　　電信業務網絡和校園網聯網的安全設計


　　大學的校園主干網部分是整個校園一卡通系統的核心，消費結算中心各種數據服務器和各種自助圈存設備通過校園主干網與各終端設備和銀行網絡的前置機進行通信。為了保證網絡系統的安全性和便于管理，一般采用專網形式，獨立于校園網。一卡通網絡可以采用基于校園網的內部虛擬專用網(Virtual Private Network)，即在校園網絡基礎設施上建成的專用數據通信網絡。數據通過安全的加密隧道在校園網中傳輸，從而保證通信的保密性。VPN與一般網絡互聯的關鍵區別在于用戶的數據通過校園網中建立邏輯隧道進行傳輸，數據包經過加密后，按隧道協議進行封裝、傳送，并通過相應的認證技術來實現網絡數據的專有性。


　　校園網一卡通主干網(高速以太網)部分，要求所有的以太網設備在vlan部分和現有的校園網設備隔離，保證現有的校園網和一卡通部分是兩個網絡，設備不允許互相訪問。同時為了共享已有的校園網資源，所以，一卡通與校園網采用防火墻進行單通道連接，保證一卡通網絡能訪問校園網數據，如：信息化校園建設必不可少的對統一身份認證服務器和門戶網站的訪問。但校園網不能隨意訪問一卡通專網，這樣將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，使得一卡通網絡上的設備能夠安全、穩定的運行。


　一卡通網絡結構可以分為三層。一卡通網絡的中心層，是以數據庫服務器為中心的局域網的分布式結構(見圖3)。中心層設置中心交換機，與身份認證系統，卡務管理機，結算管理機，結算中心服務器一起構成一卡通網絡與結算中心，它是一卡通系統的管理平臺、身份認證平臺和數據庫中心。通過光纜與各結點相連與一卡通網絡的中心組成第一層網絡結構，設置二級交換機。第三層為以第一層局域網的網絡工作站作為控制主機的控制各個IC卡收費終端的網絡。連接到專網的串口設備子網，以及專網計算機校園網和銀行金融網的接口，要同期設計建設。一卡通專網采用TCP／IP網絡協議。整個一卡通專網所用交換機，建議采用端口MAC地址綁定，使每個端口只能設置唯一的IP地址，連接特定的設備，從而保證了整個網絡的安全性。


　　(一)安全設計之網絡分段實現


　　首先是網絡分段。在實際應用過程中，通常采取物理分段(即在物理層和數據鏈路層)上分為若干網段與邏輯分段(即把網絡分成若干IP子網)相結合的方法來實現對網絡系統的安全性控制。


　　其次，關于VLAN的實現。虛擬網技術主要基于近年高速發展的局域網交換技術(ATM和以太網交換)。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。以太網從本質上基于廣播機制，但應用了交換機和VLAN技術后，實際上轉變為點到點通訊。如上圖，不同系統在網上劃分為不同的虛擬網，如“一卡通”卡務中心和消費系統劃分在不同的vlan段，通過以下相應的vlan劃分方法來提高網絡安全。


　　1、基于端口的VLAN，就是將交換機中的若干個端口定義為一個VLAN，同一個VLAN中的計算機具有相同的網絡地址，不同VLAN之間進行通訊需要通過三層路由協議，并配合MAC地址的端口過濾，就可以防止非法入侵和IP地址的盜用問題。


　　2、基于MAC地址的VLAN，這種VLAN一旦劃分完成，無論節點在網絡上怎樣移 動，由于MAC地址保持不變，因此不需要重新配置。但是如果新增加節點的話，需要對交換機進行復雜的配置，以確定該節點屬于哪一個VLAN。


　　3、基于IP地址的VLAN，新增加節點時，無須進行太多配置，交換機根據IP地址會自動將其劃分到不同的VLAN。這中VLAN智能化最高，實現最復雜。一旦離開該VLAN，原IP地址將不可用，從而防止了非法用戶通過修改IP地址來越權使用資源。


　(二)安全設計之物理隔離的金融、電信網絡連接


　　一卡通系統中心與銀行系統、電信系統之間的連接是校園卡與銀行卡圈存和電信智能業務平臺的數據通道，其安全性是一卡通結算中心與銀行和電信進行對帳結算的保證。為了系統連接的安全性和可靠性，銀行金融網絡和電信智能網絡與校園一卡通的專用虛擬網通過PSTN或者DDN方式相連，并通過VPN方式連接自助轉賬設備(圈存機或電信自助設備)，實現轉賬與對帳分別在不同的物理網絡上完成。與銀行、電信的對接系統采用如下措施：


　　1、通訊前置機采用A、B雙網卡來作為“橋接”雙方的安全網關。關于涉及數據在公網或專網上傳輸，數據報文傳輸的安全，與銀行、電信前置機數據交換的安全主要由雙向身份認證、加密和報文認證來保障。


　　2、防火墻作為保護網絡的重要工具，在網絡的對外出口處設置防火墻是理想的選擇。防火墻在銀行、電信信息網中的安全防護原則：


　　·任何外部網絡對銀行信息網的內部情況“看不見”


　　·外部非法入侵者及特殊信息“進不來”


　　·機要敏感信息“拿不走”


　　·任何的非法對外訪問“出不去”


　　總的來說，隨著我國高校日益加大信息化校園的建設步伐，許多先進的信息處理技術都被引入校園，校園“一卡通”不僅為數字化校園提供了便利的信息采集，更是涉及到校園生活的各個方面，使教育與信息技術真正地融合，逐步實現以人為本，從校園環境、資源到活動的全部數字化管理。


　　在總結電信業務與校園“一卡通”在業務上“互聯互通”的基礎上，我們提出了基于校園“一卡通”的、與高校公共服務中心合作的虛擬電信運營商解決方案，這不單是電信運營商針對高校市場的一個探索性的智能解決方案，也是針對大客戶的一個增值業務解決方案，同時也為未來的虛擬電信運營商合作模式提供了一個好的借鑒和探索模式。