基于校园一卡通的虚拟电信运营商解决方案
在全球数字化浪潮的影响之下,高等学校数字化校园建设受到广泛的重视,全国各地的高校借中国教育科研网(CERNET)建设的强力推动,正在从各个侧面接触数字化校园建设这个主题。近年来,随着智能卡的推广和使用,将多项管理职能和社区服务、认证融为一体的校园“一卡通”正在各高校普及开来。校园“一卡通”不但提高了学校的管理效率,降低成本,方便了教师和学生,而且也为各电信运营商借助于校园“一卡通”的独特资源逐鹿校园打下了伏笔。
校园“一卡通”在校园管理中应用的对象是校内的教职员工和学生。对于学生,目前大多数校园“一卡通”已经实现就餐收费管理、图书借阅管理、医疗收费管理、上机计时收费管理、校内消费管理、早操出勤管理等,对教职工,同样也是实现了诸如图书借阅,身份认证、工资发放、校内消费、就餐等相似的管理。实际上,校园“一卡通”以智能卡为信息载体,结合了微电子技术、单片机技术、计算机网络技术及数据库技术等诸多高新科技,使其具有电子身份识别和电子钱包的功能,替代校园传统的日常生活所需的教师工作证、学生证、借书证,以及与现金相关交易的食堂饭卡(券)、医疗证、上机证、门票等,达到教、学、考、评、住、用的全面数字化和网络化,真正实现“一卡在手,走遍校园”。“校园一卡通系统”的建设,也是目前高校信息化发展的必然趋势。
校园“一卡通”系统在校园的内部资源方面带有强烈的“独占”和“垄断”的色彩,面对如此成熟的校园“一卡通”应用环境 ,我们走了一条和高校后勤集团下属的公共服务中心合作开发高校电信市场的路子,经过大量的调研和反复的论证,开发了基于校园“一卡通” 的虚拟电信运营商平台系统。
校园“一卡通”关键技术分析
“一卡通”涉及的关键问题是安全交易问题,下面着重分析一下典型的校园″一卡通″系统平台所涉及的关键性安全技术。
(1)卡片安全:校园应用对卡要求很高,而其中M1射频卡是非接触式IC卡中影响较大的一种。由于每张卡有独一无二的序列号,芯片有16个存储扇区,每个扇区读写需要独立双向三次论证,传递数据有严格的加密算法和密码保护。
(2)网络安全:一般采用三种网络相结合的架构,一卡通系统网络、基于校园网的专用虚拟网和物理隔离的金融网络。专网与校园网隔离,专用的物理通道保证了各校区、各层次网络连接和信息传输的安全性。银行方的数据交易,采用防火墙隔离技术,确保网络互联和边界的安全。网络内部通过MAC端口地址与IP地址绑定,封锁交换机空余的端口,配置用户口令,使用不同级别的命令等措施。从三方面即网络互联、网络边界、网络内部来确保整个专用网络的安全。
(3)数据安全:①通过制定一套完整的密钥管理体系,来保证消费过程的安全性和终端机具使用的安全性。“一卡通”系统交易过程中使用的密钥有:主密钥、工作密钥、扇区密钥、卡片扇区密钥、个人密码密钥、卡片个人密码密钥,由这六个密钥组成“一卡通”系统的密钥体系。②收费终端采用双CPU工作、UPS供电、以及无源存储保护数据技术。正常情况下,终端数据信息均具有代码标识,实时经专用网络上传到“结算中心”进行结算;异常发生时,启动收费终端的数据分析功能,迅速查出数据出错源,通过底层数据还原校验予以纠正。③数据库服务器的数据备份,同时采用磁盘阵列、磁带机等多重备份,提供足够的数据冗余;备份方式采用标准备份、增量备份、差量备份三种方法相结合保证数据的安全性。④软件安全:建立严格的用户权限管理系统,并在用操作权限分配、登录控制、身份验证、密码控制、日志跟踪等方面设计了严密的机制,来保证安全性。
目前各高校校园一卡通实施的项目大致如下: 一卡通专用网络、校园一卡通卡务中心、校园一卡通结算中心、银行圈存系统、数据库系统、设备管理系统、学籍教务管理系统、各类收费系统、图书馆管理系统、机房上机管理系统、门禁、通道管理系统、身份识别系统、医疗系统、后勤服务管理系统、各类信息查询系统。
综上所述,利用射频智能卡来开发电信业务中的智能电话卡(面向固话、公话)、充值卡(面向小灵通、宽带、增值业务)是此虚拟电信运营商平台的技术关键。
虚拟电信运营商平台的系统设计
考虑到原有的智能电话系统,为了减少系统的设计费用,我们将固话和公话子系统设计并入到原有的智能电话系统中,在硬件上,我们和相关厂家一起设计了新的电话机和公话机;在软件系统的设计上我们主要考虑如下的问题①考虑到不同的学校对射频卡的16个扇区的不同的功能定义,我们要求由软件来软定制话机对射频卡对应扇区的智能卡电话账号和密码的读入,这样来增强整个系统(软硬件)的通用性。②在原有的系统上增加开户、销户、挂失、解挂等相关卡类的管理③电话充值管理④密码更换。在上面的设计中,我们针对不同的学校开放不同的账户号码段,让每个学生都有唯一账号,这样一是让学生在校内可以方便地“刷卡”打电话(无须输入账号和密码),二是让学生在校外可以通过输入账号和密码的方式打电话,无论是从刺激客户的消费还是方便地管理好客户关系都是一个好的做法(如图1所示)。
考虑到校园卡的多态性,能直接和银行连接交易,我们设计了一套基于银行直接交易的电信自助业务子系统。硬件是我们和银行一起合作研发的,软件的设计主要考虑如下的问题①电话自助充值、小灵通自助充值②宽带业务开通、续费以及和学校的住宿管理系统之间的接口③挂失、解挂、改换密码④增值类业务的充值(如图2所示)。
电信业务网络和校园网联网的安全设计
大学的校园主干网部分是整个校园一卡通系统的核心,消费结算中心各种数据服务器和各种自助圈存设备通过校园主干网与各终端设备和银行网络的前置机进行通信。为了保证网络系统的安全性和便于管理,一般采用专网形式,独立于校园网。一卡通网络可以采用基于校园网的内部虚拟专用网(Virtual Private Network),即在校园网络基础设施上建成的专用数据通信网络。数据通过安全的加密隧道在校园网中传输,从而保证通信的保密性。VPN与一般网络互联的关键区别在于用户的数据通过校园网中建立逻辑隧道进行传输,数据包经过加密后,按隧道协议进行封装、传送,并通过相应的认证技术来实现网络数据的专有性。
校园网一卡通主干网(高速以太网)部分,要求所有的以太网设备在vlan部分和现有的校园网设备隔离,保证现有的校园网和一卡通部分是两个网络,设备不允许互相访问。同时为了共享已有的校园网资源,所以,一卡通与校园网采用防火墙进行单通道连接,保证一卡通网络能访问校园网数据,如:信息化校园建设必不可少的对统一身份认证服务器和门户网站的访问。但校园网不能随意访问一卡通专网,这样将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,使得一卡通网络上的设备能够安全、稳定的运行。
一卡通网络结构可以分为三层。一卡通网络的中心层,是以数据库服务器为中心的局域网的分布式结构(见图3)。中心层设置中心交换机,与身份认证系统,卡务管理机,结算管理机,结算中心服务器一起构成一卡通网络与结算中心,它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构,设置二级交换机。第三层为以第一层局域网的网络工作站作为控制主机的控制各个IC卡收费终端的网络。连接到专网的串口设备子网,以及专网计算机校园网和银行金融网的接口,要同期设计建设。一卡通专网采用TCP/IP网络协议。整个一卡通专网所用交换机,建议采用端口MAC地址绑定,使每个端口只能设置唯一的IP地址,连接特定的设备,从而保证了整个网络的安全性。
(一)安全设计之网络分段实现
首先是网络分段。在实际应用过程中,通常采取物理分段(即在物理层和数据链路层)上分为若干网段与逻辑分段(即把网络分成若干IP子网)相结合的方法来实现对网络系统的安全性控制。
其次,关于VLAN的实现。虚拟网技术主要基于近年高速发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。以太网从本质上基于广播机制,但应用了交换机和VLAN技术后,实际上转变为点到点通讯。如上图,不同系统在网上划分为不同的虚拟网,如“一卡通”卡务中心和消费系统划分在不同的vlan段,通过以下相应的vlan划分方法来提高网络安全。
1、基于端口的VLAN,就是将交换机中的若干个端口定义为一个VLAN,同一个VLAN中的计算机具有相同的网络地址,不同VLAN之间进行通讯需要通过三层路由协议,并配合MAC地址的端口过滤,就可以防止非法入侵和IP地址的盗用问题。
2、基于MAC地址的VLAN,这种VLAN一旦划分完成,无论节点在网络上怎样移 动,由于MAC地址保持不变,因此不需要重新配置。但是如果新增加节点的话,需要对交换机进行复杂的配置,以确定该节点属于哪一个VLAN。
3、基于IP地址的VLAN,新增加节点时,无须进行太多配置,交换机根据IP地址会自动将其划分到不同的VLAN。这中VLAN智能化最高,实现最复杂。一旦离开该VLAN,原IP地址将不可用,从而防止了非法用户通过修改IP地址来越权使用资源。
(二)安全设计之物理隔离的金融、电信网络连接
一卡通系统中心与银行系统、电信系统之间的连接是校园卡与银行卡圈存和电信智能业务平台的数据通道,其安全性是一卡通结算中心与银行和电信进行对帐结算的保证。为了系统连接的安全性和可靠性,银行金融网络和电信智能网络与校园一卡通的专用虚拟网通过PSTN或者DDN方式相连,并通过VPN方式连接自助转账设备(圈存机或电信自助设备),实现转账与对帐分别在不同的物理网络上完成。与银行、电信的对接系统采用如下措施(如图3);
1、通讯前置机采用A、B双网卡来作为“桥接”双方的安全网关。关于涉及数据在公网或专网上传输,数据报文传输的安全,与银行、电信前置机数据交换的安全主要由双向身份认证、加密和报文认证来保障(如图4所示)。
2、防火墙作为保护网络的重要工具,在网络的对外出口处设置防火墙是理想的选择。防火墙在银行、电信信息网中的安全防护原则:
·任何外部网络对银行信息网的内部情况“看不见”
·外部非法入侵者及特殊信息“进不来”
·机要敏感信息“拿不走”
·任何的非法对外访问“出不去”
总的来说,随着我国高校日益加大信息化校园的建设步伐,许多先进的信息处理技术都被引入校园,校园“一卡通”不仅为数字化校园提供了便利的信息采集,更是涉及到校园生活的各个方面,使教育与信息技术真正地融合,逐步实现以人为本,从校园环境、资源到活动的全部数字化管理。
在总结电信业务与校园“一卡通”在业务上“互联互通”的基础上,我们提出了基于校园“一卡通”的、与高校公共服务中心合作的虚拟电信运营商解决方案,这不单是电信运营商针对高校市场的一个探索性的智能解决方案,也是针对大客户的一个增值业务解决方案,同时也为未来的虚拟电信运营商合作模式提供了一个好的借鉴和探索模式。