《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 數(shù)字化校園一卡通系統(tǒng)安全性探討
數(shù)字化校園一卡通系統(tǒng)安全性探討
一卡通世界
王學(xué)敏
摘要: 1數(shù)字化校園與校園一卡通隨著中國高等教育信息化建設(shè)的蓬勃發(fā)展,現(xiàn)在各個高校更重視全面發(fā)展“數(shù)字化校園”的建設(shè)。希望能通過“數(shù)字化校園”整合校園內(nèi)各信息管理系統(tǒng),使各信息系統(tǒng)能夠在統(tǒng)一的數(shù)據(jù)平臺實(shí)現(xiàn)信息共享,實(shí)現(xiàn)校園的信息共享和資源合理分配,從而提高教學(xué)質(zhì)量、科研水平和管理水平。而校園一卡通系統(tǒng)是數(shù)字化校園的基礎(chǔ)工程和重要的有機(jī)組成部分,旨在為廣大師生員工的教學(xué)、科研和生活提供方便、快捷的電子化服務(wù)。校園一卡通系統(tǒng)是以軟件集成為主、硬件集成為輔的綜合信息集成系統(tǒng),構(gòu)建在數(shù)字化校園之上的統(tǒng)一身份認(rèn)證、中央共享數(shù)
Abstract:
Key words :

        1數(shù)字化校園與校園一卡通
        隨著中國高等教育信息化建設(shè)的蓬勃發(fā)展,現(xiàn)在各個高校更重視全面發(fā)展“數(shù)字化校園”的建設(shè)。希望能通過“數(shù)字化校園”整合校園內(nèi)各信息管理系統(tǒng),使各信息系統(tǒng)能夠在統(tǒng)一的數(shù)據(jù)平臺實(shí)現(xiàn)信息共享,實(shí)現(xiàn)校園的信息共享和資源合理分配,從而提高教學(xué)質(zhì)量、科研水平和管理水平。而一卡通" title="校園一卡通">校園一卡通系統(tǒng)是數(shù)字化校園的基礎(chǔ)工程和重要的有機(jī)組成部分,旨在為廣大師生員工的教學(xué)、科研和生活提供方便、快捷的電子化服務(wù)。校園一卡通系統(tǒng)是以軟件集成為主、硬件集成為輔的綜合信息集成系統(tǒng),構(gòu)建在數(shù)字化校園之上的統(tǒng)一身份認(rèn)證、中央共享數(shù)據(jù)庫、統(tǒng)一信息門戶等基礎(chǔ)平臺,與學(xué)校其它業(yè)務(wù)管理信息系統(tǒng)緊密結(jié)合,實(shí)現(xiàn)數(shù)據(jù)共享和交換,組成數(shù)字化校園的重要信息采集網(wǎng)絡(luò),為學(xué)校提供實(shí)時可靠的信息來源和決策依據(jù)。


        2校園一卡通的系統(tǒng)安全體系
        校園一卡通系統(tǒng)中所傳輸?shù)臄?shù)據(jù)的特殊性———金融交易數(shù)據(jù),以及其它MIS數(shù)據(jù)、身份信息、認(rèn)證信息、密鑰傳遞等,因此對整個系統(tǒng)的安全性要有全面的考慮。下面我們將從不同的角度的探討系統(tǒng)的安全性。
        2.1網(wǎng)絡(luò)安全
        在高校的局域網(wǎng)中,用戶量大,病毒也多,而且擴(kuò)散快。而對于一卡通這對網(wǎng)絡(luò)安全要求比較高而言,如果建立在局域網(wǎng)上,那么勢必導(dǎo)致較高風(fēng)險,所以采用一卡通專網(wǎng)是比較安全的。該一卡通系統(tǒng)按其服務(wù)對象來分可分為:銀行接入?yún)^(qū)、核心服務(wù)器區(qū)、對外服務(wù)區(qū)和用戶服務(wù)區(qū)。銀行與“一卡通”專用主干網(wǎng)之間是互連采用租用DDN專線接入的方式。連接設(shè)備基本采用路由器+網(wǎng)關(guān)隔離機(jī)進(jìn)行互連。在路由器上配置訪問控制列表(ACL),提供與銀行間的網(wǎng)絡(luò)的安全隔離。網(wǎng)關(guān)隔離機(jī)上配置雙網(wǎng)卡,一端連接外圍,一端連接校內(nèi)網(wǎng),保證與銀行互連在數(shù)據(jù)鏈路層進(jìn)行安全隔離。一卡通專網(wǎng)與校園網(wǎng)的唯一接口處(用于校園網(wǎng)用戶通過Web方式從校園網(wǎng)直接訪問一卡通系統(tǒng)的Web服務(wù)器)配置高性能的防火墻并虛擬其地址。其總體邏輯拓?fù)浣Y(jié)構(gòu)如下圖所示。
        2.2服務(wù)器的安全
        一卡通系統(tǒng)的核心服務(wù)器(一卡通身份認(rèn)證服務(wù)器、核心數(shù)據(jù)庫服務(wù)器)采用的是SunFireV440和SunFireV880的高性能服務(wù)器,并雙機(jī)熱備,即當(dāng)一臺服務(wù)器停機(jī),另一臺機(jī)器馬上進(jìn)行切換。保障系統(tǒng)的正常穩(wěn)定的運(yùn)行。服務(wù)器機(jī)房為專用機(jī)房,ups斷電保護(hù),24小時恒溫,氣體消防,防靜電處理等。
        2.3終端設(shè)備安全
        一卡通網(wǎng)內(nèi)的各個終端設(shè)備都有唯一的標(biāo)識號,定位于限定的組織結(jié)構(gòu)以防止設(shè)備被隨意更換;設(shè)備斷電后再開機(jī),必須經(jīng)授權(quán)才能再使用。收費(fèi)終端采用UPS供電以及無源存儲保護(hù)數(shù)據(jù)技術(shù),正常情況下,終端數(shù)據(jù)信息均具有代碼標(biāo)識,實(shí)時上傳結(jié)算;異常發(fā)生時,啟動收費(fèi)終端的數(shù)據(jù)分析功能,迅速查出數(shù)據(jù)出錯源,通過底層數(shù)據(jù)還原校驗(yàn)予以糾正。         2.4操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全
        一卡通系統(tǒng)采用SUNSolaris操作系統(tǒng)以及Oracle作為整個系統(tǒng)的后臺中心數(shù)據(jù)庫。Oracle10.0數(shù)據(jù)庫平臺被廣大金融、證券、郵電業(yè)務(wù)處理系統(tǒng)所采用其安全性可靠,達(dá)到美國國防部安全標(biāo)準(zhǔn)C2級。其架構(gòu)在公認(rèn)系統(tǒng)級數(shù)據(jù)安全的基礎(chǔ)上,Oracle數(shù)據(jù)庫本身使用了多種手段來加強(qiáng)數(shù)據(jù)庫的安全性,常見的就有密碼、角色、權(quán)限等等。來源一卡通世界。而且,后臺中心數(shù)據(jù)庫采用雙機(jī)熱備份來保證系統(tǒng)安全穩(wěn)定運(yùn)行,使終端設(shè)備的批量交易數(shù)據(jù)能夠?qū)崟r回傳。中心數(shù)據(jù)存儲采用雙重保障機(jī)制,一方面通過磁盤陣列柜進(jìn)行交易數(shù)據(jù)的實(shí)時備份;另一方面通過磁帶機(jī)對每天日結(jié)后的數(shù)據(jù)進(jìn)行備份保存,絕對保證數(shù)據(jù)存儲的完備、安全、可靠。同時,在交易終端,也采取多種措施防止交易數(shù)據(jù)丟失。如在網(wǎng)路不通的情況下,終端機(jī)可以脫網(wǎng)運(yùn)行,終端本身能夠存儲2萬多筆脫機(jī)交易流水。另外,現(xiàn)場網(wǎng)絡(luò)的商務(wù)網(wǎng)關(guān)能夠存儲多達(dá)10萬筆的交易數(shù)據(jù),這些設(shè)備保證了系統(tǒng)的持續(xù)性,同時也為系統(tǒng)的網(wǎng)絡(luò)恢復(fù)提供了足夠的時間。
        2.5數(shù)據(jù)傳輸?shù)陌踩?br />         在系統(tǒng)中客戶機(jī)都是進(jìn)行過認(rèn)證,非本系統(tǒng)的客戶機(jī)無法接入系統(tǒng)。在數(shù)據(jù)傳輸時對傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)通過DES用動態(tài)密鑰進(jìn)行加密,該動態(tài)密鑰是每日一變,所以即使通訊包被非法截獲截獲者也無法解密,更得不到正確數(shù)據(jù)。
        2.6卡片的安全
        采用非接觸式IC卡作為系統(tǒng)的使用卡,非接觸式IC卡又稱射頻卡,是世界上最近幾年發(fā)展起來的一項(xiàng)新技術(shù),在卡片靠近讀寫器表面時即可完成卡中的數(shù)據(jù)的讀寫操作,它成功地將射頻識別技術(shù)和IC卡技術(shù)結(jié)合起來,解決了無源(卡中無電源)和免接觸這一難題,是電子器件領(lǐng)域的一大突破,具有以下優(yōu)點(diǎn):
        (1)可靠性高:非接觸式IC卡與讀寫器之間無機(jī)械接觸,避免了由于接觸讀寫而產(chǎn)生的各種故障。例如:由于粗暴插卡,非卡外物插入,灰塵或油污導(dǎo)致接觸不良等原因造成的故障。此外,非接觸式IC卡表面無裸露的芯片,無須擔(dān)心脫落,靜電擊穿彎曲,損壞等問題,既便于卡片的印刷,又提高了卡片使用的可能性。
        (2)操作方便、快捷:由于使用射頻通訊技術(shù),讀寫器在10cm范圍內(nèi)就可以對卡片進(jìn)行讀寫,沒有插拔卡的動作。非接觸式IC卡使用時沒有方向性,卡片可以任意方向掠過讀寫器表面,讀寫時間不大于0.1秒,大大提高了每次使用的速度。
        (3)安全防沖突:非接觸式IC卡的序列號是唯一的,制造廠家在產(chǎn)品出廠前已將此序列號固化,不可更改。世界上沒有任何兩張卡的序列號會相同。非接觸式IC卡與讀寫器之間采用雙向驗(yàn)證機(jī)制,即讀寫器驗(yàn)證卡的合法性,同時卡也驗(yàn)證讀寫器的合法性。非接觸式IC卡在操作前要與讀寫器進(jìn)行三次相互認(rèn)證,而且在通訊過程中所有數(shù)據(jù)被加密??ㄖ懈鱾€扇區(qū)都有自己的操作密碼和訪問條件。
        另外,非接觸式IC卡與讀寫器之間無機(jī)械接觸,從而避免了由于接觸讀寫而產(chǎn)生的各種故障。非接觸式卡表面無裸露的芯片,無需擔(dān)心芯片脫落、靜電擊穿、彎曲損壞等問題。使用時沒有方向性,卡可以任意方向掠過讀寫器表面,避免了接觸式讀寫中由于座口鋏小而難以把卡插入的困難。采用雙向驗(yàn)證機(jī)制,讀寫器驗(yàn)證IC卡的合法性,同時驗(yàn)證讀寫器合法性,而多數(shù)普通有接觸式IC卡均為單向驗(yàn)證。每張卡均有唯一的序列號。制造廠家在產(chǎn)品出廠前已將序列號固化,不可再更改,該序列號具有唯一性,且卡片上同時印有用戶的姓名、性別、照片等個人信息,更加提高了卡片的安全性。         2.7防病毒系統(tǒng)
        采用目前SymantecAntiVirusCorporate(諾頓殺毒軟件企業(yè)版本)作為一卡通專網(wǎng)的防病毒系統(tǒng),作為世界上最優(yōu)秀的殺毒軟件之一,諾頓殺毒企業(yè)版能夠提供自動殺除桌面系統(tǒng)和網(wǎng)絡(luò)服務(wù)器中的病毒、蠕蟲和特洛伊木馬并及時發(fā)送更新,為客戶端提供主動威脅防護(hù),如間諜軟件、廣告軟件和多種黑客工具。為專網(wǎng)中的網(wǎng)關(guān)及服務(wù)器環(huán)境提供內(nèi)容過濾和垃圾郵件防護(hù),以及提供惡意軟件防護(hù),能夠做到在每一個網(wǎng)絡(luò)層提供有效的防護(hù)。
        諾頓殺毒軟件企業(yè)版可以在整個一卡通專網(wǎng)內(nèi)的工作站和網(wǎng)路服務(wù)器層提供最佳的多平臺病毒防護(hù)。能夠訪問智慧化后端服務(wù)以及獨(dú)有的自動回應(yīng)機(jī)制,可以分析并部署比病毒擴(kuò)散更快的經(jīng)過質(zhì)量測試的對策。即使在受到快速擴(kuò)散的攻擊時面臨極大的需求,諾頓的可延伸性后端結(jié)構(gòu)能夠確保更快地提供病毒定義碼更新。同時諾頓的集中化管理功能使得系統(tǒng)可時時受到保護(hù),使得管理人員可以管理按照邏輯關(guān)系組織的客戶和服務(wù)器,建立、部署和鎖定策略和設(shè)置,從而保證系統(tǒng)在所有時候都能夠保持最新狀態(tài),也保證了DOS、Windows以及Netware服務(wù)器和工作站都能夠得到更新并且適當(dāng)配置。
        2.8持卡人的利益保證
        對于持卡人而言,他的利益是否能得到保證是考核一卡通的安全性的一重要參數(shù)。本校園一卡通系統(tǒng)從以下幾個方面做到持卡人的利益保障。
        (1)密碼限額大額消費(fèi)啟用個人密碼:根據(jù)持卡人設(shè)置,當(dāng)一次消費(fèi)或一天消費(fèi)超過一定額度時,系統(tǒng)將啟用個人消費(fèi)密碼。
        (2)掛失實(shí)時生效:掛失可分為電話語音掛失、圈存機(jī)掛失、卡務(wù)中心掛失。一經(jīng)掛失,在各個終端上立即生效。
        (3)實(shí)時更新黑名單
        (4)脫機(jī)消費(fèi)限額:當(dāng)卡片脫機(jī)消費(fèi)時分別采用不同的限額來啟用個人密碼、禁止消費(fèi)從而使丟失但來不及掛失的卡造成的損失最小。


        3結(jié)束語
        基于校園數(shù)字化的一卡通系統(tǒng)是一個管理層次上的系統(tǒng),系統(tǒng)中涉及到金融、用戶、權(quán)限、資源等關(guān)鍵且敏感數(shù)據(jù),從而一卡通系統(tǒng)的安全體系尤為重要,直接關(guān)系到系統(tǒng)的成效以及后續(xù)的數(shù)字化校園的建設(shè)。通過一卡通的安全體系的分析探討,得到切實(shí)可行的安全解決方案,并在我校的一卡通系統(tǒng)中,取得良好的效果。
       

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。