校园一卡通系统工程的设计与网络及安全的实现

本文关键词：校园一卡通

本文内容简介： 一卡通以智能卡为信息载体，结合微电子技术、单片机技术、计算机网络技术及数据库技术等诸多高新科技，使其具有电子身份识别和电子钱包的功能，替代校园传统的日常生活所需的教师工作证、学生证、借书证，以及与现金相关交易的食堂饭卡（券）、医疗证、上机证、门票等，达到教、学、考、评、住、用的全面数字化和网络化，真正实现"一卡在手，走遍校园"。"校园一卡通系统"的建设，是目前高校信息化发展的必然趋势。





3．3 校园主干网的安全实现
校园主干网部分是整个校园一卡通系统的核心，消费结算中心各种数据服务器和圈存机通过校园主干网与各终端设备和银行网络的前置机进行通信。了保证网络系统的安全性和便于管理，一般采用专网形式，独立于校园网。

一卡通网络可以采用基于校园网的内部虚拟专用网（Virtual Private Network），即在校园网络基础设施上建成的专用数据通信网络。数据通过安全的加密隧道在校园网中传输，从而保证通信的保密性。VPN与一般网络互联的关键区别在于用户的数据通过校园网中建立逻辑隧道进行传输，数据包经过加密后，按隧道协议进行封装、传送，并通过相应的认证技术来实现网络数据的专有性。

校园网一卡通主干网（高速以太网）部分，要求所有的以太网设备在vlan部分和现有的校园网设备隔离，保证现有的校园网和一卡通部分是两个网络，设备不允许互相访问。

图3

同时为了共享已有的校园网资源，所以，一卡通与校园网采用防火墙进行单通道连接，保证一卡通网络能访问校园网数据，如：信息化校园建设必不可少的对统一身份认证服务器和门户网站的访问。但校园网不能随意访问一卡通专网，这样将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，使得一卡通网络上的设备能够安全、稳定的运行。

一卡通网络结构可以分为三层。

一卡通网络的中心层，是以数据库服务器为中心的局域网的分布式结构。（见图3）中心层设置中心交换机，与身份认证系统，卡务管理机，结算管理机，结算中心服务器一起构成一卡通网络与结算中心，它是一卡通系统的管理平台、身份认证平台和数据库中心。

通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构，设置二级交换机。

第三层为以第一层局域网的网络工作站作为控制主机的控制各个IC卡收费终端的网络。连接到专网的串口设备子网，以及专网计算机校园网和银行金融网的接口，要同期设计建设。一卡通专网采用TCP/IP网络协议。整个一卡通专网所用交换机，建议采用端口MAC地址绑定，使每个端口只能设置唯一的IP地址，连接特定的设备，从而保证了整个网络的安全性。

为了充分利用校园网原有资源，一般一卡通网络主干，启用校园网络原有光纤（8芯或者12芯）中的冗余部分，由于校园网工程光纤已经遍布全校各个角落，通过利用校园网的2芯冗余光纤构成一卡通网络主干。至于其他校区可以通过在原有基础上另外租用电信光纤连接到主校区建立一卡通专用局域网。

3.3.1网络分段实现：
A、网络分段
在实际应用过程中，通常采取物理分段（即在物理层和数据链路层）上分为若干网段与逻辑分段（即把网络分成若干IP子网）相结合的方法来实现对网络系统的安全性控制。

B、VLAN的实现
虚拟网技术主要基于近年高速发展的局域网交换技术（ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。以太网从本质上基于广播机制，但应用了交换机和VLAN技术后，实际上转变为点到点通讯。如上图，不同系统在网上划分为不同的虚拟网，如医疗系统和消费系统划分在不同的vlan段，通过以下相应的vlan划分方法来提高网络安全。

1、基于端口的VLAN，就是将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的计算机具有相同的网络地址，不同VLAN之间进行通讯需要通过三层路由协议，并配合MAC地址的端口过滤，就可以防止非法入侵和IP地址的盗用问题。
2、基于MAC地址的VLAN，这种VLAN一旦划分完成，无论节点在网络上怎样移动，由于MAC地址保持不变，因此不需要重新配置。但是如果新增加节点的话，需要对交换机进行复杂的配置，以确定该节点属于哪一个VLAN。
3、基于IP地址的VLAN，新增加节点时，无须进行太多配置，交换机根据IP地址会自动将其划分到不同的VLAN。这中VLAN智能化最高，实现最复杂。一旦离开该VLAN，原IP地址将不可用，从而防止了非法用户通过修改IP地址来越权使用资源。

3．4物理隔离的金融网络连接

一卡通系统中心与银行系统之间的连接是校园卡与银行卡圈存的数据通道，其安全性是一卡通结算中心与银行进行对帐结算的保证。为了系统连接的安全性和可靠性，银行金融网络与校园一卡通的专用虚拟网通过PSTN或者DDN方式相连，并通过PSTN或DDN方式连接自助转账设备（圈存机），实现转账与对帐分别在不同的物理网络上完成。在采用PSTN/DDN专线的基础上银行对接系统采用如下措施；（如图3,左上）
1、.关于涉及数据在公网或专网上传输，数据报文传输的安全，与银行前置机数据交换的安全主要由双向身份认证、加密和报文认证来保障。
2、防火墙作为保护网络的重要工具，在网络的对外出口处设置防火墙是理想的选择。防火墙在银行信息网中的安全防护原则：

任何外部网络对银行信息网的内部情况"看不见"
外部非法入侵者及特殊信息"进不来"
机要敏感信息"拿不走"
任何的非法对外访问"出不去"

转账安全性
采用设立银行网关方式，双网卡隔离网段，杜绝大学校园网络对银行网络的访问，仅银行转账前置机可以访问银行网络。
对传送的数据包加校验码（MAC或LRC）。
对关键数据可进行加密处理。
可按银行要求将数据打包成ISO8583格式报文。

4、结束语

随着我国高校日益加大信息化校园的建设步伐，许多先进的信息处理技术都被引入校园，它为数字化校园提供信息采集，涉及到校园生活的各个方面，使教育与信息技术真正地融合，逐步实现以人为本，从校园环境、资源到活动的全部数字化管理。本文在总结多种校园网一卡通的建设方式的基础上，提出了构架校园主干网络的安全解决方案，使"校园一卡通"工程成为数字化校园建设重要组成部分和基础工程。