基于校園一卡通的虛擬電信運營商解決方案
在全球數(shù)字化浪潮的影響之下,高等學校數(shù)字化校園建設(shè)受到廣泛的重視,全國各地的高校借中國教育科研網(wǎng)(CERNET)建設(shè)的強力推動,正在從各個側(cè)面接觸數(shù)字化校園建設(shè)這個主題。近年來,隨著智能卡的推廣和使用,將多項管理職能和社區(qū)服務、認證融為一體的校園“一卡通”正在各高校普及開來。校園“一卡通”不但提高了學校的管理效率,降低成本,方便了教師和學生,而且也為各電信運營商借助于校園“一卡通”的獨特資源逐鹿校園打下了伏筆。
校園“一卡通”在校園管理中應用的對象是校內(nèi)的教職員工和學生。對于學生,目前大多數(shù)校園“一卡通”已經(jīng)實現(xiàn)就餐收費管理、圖書借閱管理、醫(yī)療收費管理、上機計時收費管理、校內(nèi)消費管理、早操出勤管理等,對教職工,同樣也是實現(xiàn)了諸如圖書借閱,身份認證、工資發(fā)放、校內(nèi)消費、就餐等相似的管理。實際上,校園“一卡通”以智能卡為信息載體,結(jié)合了微電子技術(shù)、單片機技術(shù)、計算機網(wǎng)絡(luò)技術(shù)及數(shù)據(jù)庫技術(shù)等諸多高新科技,使其具有電子身份識別和電子錢包的功能,替代校園傳統(tǒng)的日常生活所需的教師工作證、學生證、借書證,以及與現(xiàn)金相關(guān)交易的食堂飯卡(券)、醫(yī)療證、上機證、門票等,達到教、學、考、評、住、用的全面數(shù)字化和網(wǎng)絡(luò)化,真正實現(xiàn)“一卡在手,走遍校園”?!靶@一卡通系統(tǒng)”的建設(shè),也是目前高校信息化發(fā)展的必然趨勢。
校園“一卡通”系統(tǒng)在校園的內(nèi)部資源方面帶有強烈的“獨占”和“壟斷”的色彩,面對如此成熟的校園“一卡通”應用環(huán)境 ,我們走了一條和高校后勤集團下屬的公共服務中心合作開發(fā)高校電信市場的路子,經(jīng)過大量的調(diào)研和反復的論證,開發(fā)了基于校園“一卡通” 的虛擬電信運營商平臺系統(tǒng)。
校園“一卡通”關(guān)鍵技術(shù)分析
“一卡通”涉及的關(guān)鍵問題是安全交易問題,下面著重分析一下典型的校園″一卡通″系統(tǒng)平臺所涉及的關(guān)鍵性安全技術(shù)。
(1)卡片安全:校園應用對卡要求很高,而其中M1射頻卡是非接觸式IC卡中影響較大的一種。由于每張卡有獨一無二的序列號,芯片有16個存儲扇區(qū),每個扇區(qū)讀寫需要獨立雙向三次論證,傳遞數(shù)據(jù)有嚴格的加密算法和密碼保護。
(2)網(wǎng)絡(luò)安全:一般采用三種網(wǎng)絡(luò)相結(jié)合的架構(gòu),一卡通系統(tǒng)網(wǎng)絡(luò)、基于校園網(wǎng)的專用虛擬網(wǎng)和物理隔離的金融網(wǎng)絡(luò)。專網(wǎng)與校園網(wǎng)隔離,專用的物理通道保證了各校區(qū)、各層次網(wǎng)絡(luò)連接和信息傳輸?shù)陌踩?。銀行方的數(shù)據(jù)交易,采用防火墻隔離技術(shù),確保網(wǎng)絡(luò)互聯(lián)和邊界的安全。網(wǎng)絡(luò)內(nèi)部通過MAC端口地址與IP地址綁定,封鎖交換機空余的端口,配置用戶口令,使用不同級別的命令等措施。從三方面即網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)內(nèi)部來確保整個專用網(wǎng)絡(luò)的安全。
(3)數(shù)據(jù)安全:①通過制定一套完整的密鑰管理體系,來保證消費過程的安全性和終端機具使用的安全性?!耙豢ㄍā毕到y(tǒng)交易過程中使用的密鑰有:主密鑰、工作密鑰、扇區(qū)密鑰、卡片扇區(qū)密鑰、個人密碼密鑰、卡片個人密碼密鑰,由這六個密鑰組成“一卡通”系統(tǒng)的密鑰體系。②收費終端采用雙CPU工作、UPS供電、以及無源存儲保護數(shù)據(jù)技術(shù)。正常情況下,終端數(shù)據(jù)信息均具有代碼標識,實時經(jīng)專用網(wǎng)絡(luò)上傳到“結(jié)算中心”進行結(jié)算;異常發(fā)生時,啟動收費終端的數(shù)據(jù)分析功能,迅速查出數(shù)據(jù)出錯源,通過底層數(shù)據(jù)還原校驗予以糾正。③數(shù)據(jù)庫服務器的數(shù)據(jù)備份,同時采用磁盤陣列、磁帶機等多重備份,提供足夠的數(shù)據(jù)冗余;備份方式采用標準備份、增量備份、差量備份三種方法相結(jié)合保證數(shù)據(jù)的安全性。④軟件安全:建立嚴格的用戶權(quán)限管理系統(tǒng),并在用操作權(quán)限分配、登錄控制、身份驗證、密碼控制、日志跟蹤等方面設(shè)計了嚴密的機制,來保證安全性。
目前各高校校園一卡通實施的項目大致如下: 一卡通專用網(wǎng)絡(luò)、校園一卡通卡務中心、校園一卡通結(jié)算中心、銀行圈存系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、設(shè)備管理系統(tǒng)、學籍教務管理系統(tǒng)、各類收費系統(tǒng)、圖書館管理系統(tǒng)、機房上機管理系統(tǒng)、門禁、通道管理系統(tǒng)、身份識別系統(tǒng)、醫(yī)療系統(tǒng)、后勤服務管理系統(tǒng)、各類信息查詢系統(tǒng)。
綜上所述,利用射頻智能卡來開發(fā)電信業(yè)務中的智能電話卡(面向固話、公話)、充值卡(面向小靈通、寬帶、增值業(yè)務)是此虛擬電信運營商平臺的技術(shù)關(guān)鍵。
虛擬電信運營商平臺的系統(tǒng)設(shè)計
考慮到原有的智能電話系統(tǒng),為了減少系統(tǒng)的設(shè)計費用,我們將固話和公話子系統(tǒng)設(shè)計并入到原有的智能電話系統(tǒng)中,在硬件上,我們和相關(guān)廠家一起設(shè)計了新的電話機和公話機;在軟件系統(tǒng)的設(shè)計上我們主要考慮如下的問題①考慮到不同的學校對射頻卡的16個扇區(qū)的不同的功能定義,我們要求由軟件來軟定制話機對射頻卡對應扇區(qū)的智能卡電話賬號和密碼的讀入,這樣來增強整個系統(tǒng)(軟硬件)的通用性。②在原有的系統(tǒng)上增加開戶、銷戶、掛失、解掛等相關(guān)卡類的管理③電話充值管理④密碼更換。在上面的設(shè)計中,我們針對不同的學校開放不同的賬戶號碼段,讓每個學生都有唯一賬號,這樣一是讓學生在校內(nèi)可以方便地“刷卡”打電話(無須輸入賬號和密碼),二是讓學生在校外可以通過輸入賬號和密碼的方式打電話,無論是從刺激客戶的消費還是方便地管理好客戶關(guān)系都是一個好的做法(如圖1所示)。
考慮到校園卡的多態(tài)性,能直接和銀行連接交易,我們設(shè)計了一套基于銀行直接交易的電信自助業(yè)務子系統(tǒng)。硬件是我們和銀行一起合作研發(fā)的,軟件的設(shè)計主要考慮如下的問題①電話自助充值、小靈通自助充值②寬帶業(yè)務開通、續(xù)費以及和學校的住宿管理系統(tǒng)之間的接口③掛失、解掛、改換密碼④增值類業(yè)務的充值(如圖2所示)。
電信業(yè)務網(wǎng)絡(luò)和校園網(wǎng)聯(lián)網(wǎng)的安全設(shè)計
大學的校園主干網(wǎng)部分是整個校園一卡通系統(tǒng)的核心,消費結(jié)算中心各種數(shù)據(jù)服務器和各種自助圈存設(shè)備通過校園主干網(wǎng)與各終端設(shè)備和銀行網(wǎng)絡(luò)的前置機進行通信。為了保證網(wǎng)絡(luò)系統(tǒng)的安全性和便于管理,一般采用專網(wǎng)形式,獨立于校園網(wǎng)。一卡通網(wǎng)絡(luò)可以采用基于校園網(wǎng)的內(nèi)部虛擬專用網(wǎng)(Virtual Private Network),即在校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建成的專用數(shù)據(jù)通信網(wǎng)絡(luò)。數(shù)據(jù)通過安全的加密隧道在校園網(wǎng)中傳輸,從而保證通信的保密性。VPN與一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵區(qū)別在于用戶的數(shù)據(jù)通過校園網(wǎng)中建立邏輯隧道進行傳輸,數(shù)據(jù)包經(jīng)過加密后,按隧道協(xié)議進行封裝、傳送,并通過相應的認證技術(shù)來實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。
校園網(wǎng)一卡通主干網(wǎng)(高速以太網(wǎng))部分,要求所有的以太網(wǎng)設(shè)備在vlan部分和現(xiàn)有的校園網(wǎng)設(shè)備隔離,保證現(xiàn)有的校園網(wǎng)和一卡通部分是兩個網(wǎng)絡(luò),設(shè)備不允許互相訪問。同時為了共享已有的校園網(wǎng)資源,所以,一卡通與校園網(wǎng)采用防火墻進行單通道連接,保證一卡通網(wǎng)絡(luò)能訪問校園網(wǎng)數(shù)據(jù),如:信息化校園建設(shè)必不可少的對統(tǒng)一身份認證服務器和門戶網(wǎng)站的訪問。但校園網(wǎng)不能隨意訪問一卡通專網(wǎng),這樣將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離,從而防止可能的非法偵聽,使得一卡通網(wǎng)絡(luò)上的設(shè)備能夠安全、穩(wěn)定的運行。
一卡通網(wǎng)絡(luò)結(jié)構(gòu)可以分為三層。一卡通網(wǎng)絡(luò)的中心層,是以數(shù)據(jù)庫服務器為中心的局域網(wǎng)的分布式結(jié)構(gòu)(見圖3)。中心層設(shè)置中心交換機,與身份認證系統(tǒng),卡務管理機,結(jié)算管理機,結(jié)算中心服務器一起構(gòu)成一卡通網(wǎng)絡(luò)與結(jié)算中心,它是一卡通系統(tǒng)的管理平臺、身份認證平臺和數(shù)據(jù)庫中心。通過光纜與各結(jié)點相連與一卡通網(wǎng)絡(luò)的中心組成第一層網(wǎng)絡(luò)結(jié)構(gòu),設(shè)置二級交換機。第三層為以第一層局域網(wǎng)的網(wǎng)絡(luò)工作站作為控制主機的控制各個IC卡收費終端的網(wǎng)絡(luò)。連接到專網(wǎng)的串口設(shè)備子網(wǎng),以及專網(wǎng)計算機校園網(wǎng)和銀行金融網(wǎng)的接口,要同期設(shè)計建設(shè)。一卡通專網(wǎng)采用TCP/IP網(wǎng)絡(luò)協(xié)議。整個一卡通專網(wǎng)所用交換機,建議采用端口MAC地址綁定,使每個端口只能設(shè)置唯一的IP地址,連接特定的設(shè)備,從而保證了整個網(wǎng)絡(luò)的安全性。
(一)安全設(shè)計之網(wǎng)絡(luò)分段實現(xiàn)
首先是網(wǎng)絡(luò)分段。在實際應用過程中,通常采取物理分段(即在物理層和數(shù)據(jù)鏈路層)上分為若干網(wǎng)段與邏輯分段(即把網(wǎng)絡(luò)分成若干IP子網(wǎng))相結(jié)合的方法來實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全性控制。
其次,關(guān)于VLAN的實現(xiàn)。虛擬網(wǎng)技術(shù)主要基于近年高速發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。以太網(wǎng)從本質(zhì)上基于廣播機制,但應用了交換機和VLAN技術(shù)后,實際上轉(zhuǎn)變?yōu)辄c到點通訊。如上圖,不同系統(tǒng)在網(wǎng)上劃分為不同的虛擬網(wǎng),如“一卡通”卡務中心和消費系統(tǒng)劃分在不同的vlan段,通過以下相應的vlan劃分方法來提高網(wǎng)絡(luò)安全。
1、基于端口的VLAN,就是將交換機中的若干個端口定義為一個VLAN,同一個VLAN中的計算機具有相同的網(wǎng)絡(luò)地址,不同VLAN之間進行通訊需要通過三層路由協(xié)議,并配合MAC地址的端口過濾,就可以防止非法入侵和IP地址的盜用問題。
2、基于MAC地址的VLAN,這種VLAN一旦劃分完成,無論節(jié)點在網(wǎng)絡(luò)上怎樣移 動,由于MAC地址保持不變,因此不需要重新配置。但是如果新增加節(jié)點的話,需要對交換機進行復雜的配置,以確定該節(jié)點屬于哪一個VLAN。
3、基于IP地址的VLAN,新增加節(jié)點時,無須進行太多配置,交換機根據(jù)IP地址會自動將其劃分到不同的VLAN。這中VLAN智能化最高,實現(xiàn)最復雜。一旦離開該VLAN,原IP地址將不可用,從而防止了非法用戶通過修改IP地址來越權(quán)使用資源。
(二)安全設(shè)計之物理隔離的金融、電信網(wǎng)絡(luò)連接
一卡通系統(tǒng)中心與銀行系統(tǒng)、電信系統(tǒng)之間的連接是校園卡與銀行卡圈存和電信智能業(yè)務平臺的數(shù)據(jù)通道,其安全性是一卡通結(jié)算中心與銀行和電信進行對帳結(jié)算的保證。為了系統(tǒng)連接的安全性和可靠性,銀行金融網(wǎng)絡(luò)和電信智能網(wǎng)絡(luò)與校園一卡通的專用虛擬網(wǎng)通過PSTN或者DDN方式相連,并通過VPN方式連接自助轉(zhuǎn)賬設(shè)備(圈存機或電信自助設(shè)備),實現(xiàn)轉(zhuǎn)賬與對帳分別在不同的物理網(wǎng)絡(luò)上完成。與銀行、電信的對接系統(tǒng)采用如下措施(如圖3);
1、通訊前置機采用A、B雙網(wǎng)卡來作為“橋接”雙方的安全網(wǎng)關(guān)。關(guān)于涉及數(shù)據(jù)在公網(wǎng)或?qū)>W(wǎng)上傳輸,數(shù)據(jù)報文傳輸?shù)陌踩?,與銀行、電信前置機數(shù)據(jù)交換的安全主要由雙向身份認證、加密和報文認證來保障(如圖4所示)。
2、防火墻作為保護網(wǎng)絡(luò)的重要工具,在網(wǎng)絡(luò)的對外出口處設(shè)置防火墻是理想的選擇。防火墻在銀行、電信信息網(wǎng)中的安全防護原則:
·任何外部網(wǎng)絡(luò)對銀行信息網(wǎng)的內(nèi)部情況“看不見”
·外部非法入侵者及特殊信息“進不來”
·機要敏感信息“拿不走”
·任何的非法對外訪問“出不去”
總的來說,隨著我國高校日益加大信息化校園的建設(shè)步伐,許多先進的信息處理技術(shù)都被引入校園,校園“一卡通”不僅為數(shù)字化校園提供了便利的信息采集,更是涉及到校園生活的各個方面,使教育與信息技術(shù)真正地融合,逐步實現(xiàn)以人為本,從校園環(huán)境、資源到活動的全部數(shù)字化管理。
在總結(jié)電信業(yè)務與校園“一卡通”在業(yè)務上“互聯(lián)互通”的基礎(chǔ)上,我們提出了基于校園“一卡通”的、與高校公共服務中心合作的虛擬電信運營商解決方案,這不單是電信運營商針對高校市場的一個探索性的智能解決方案,也是針對大客戶的一個增值業(yè)務解決方案,同時也為未來的虛擬電信運營商合作模式提供了一個好的借鑒和探索模式。