校園一卡通虛擬電信運(yùn)營(yíng)商解決方案

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

在全球數(shù)字化浪潮的影響之下，高等學(xué)校數(shù)字化校園建設(shè)受到廣泛的重視，全國(guó)各地的高校借中國(guó)教育科研網(wǎng)(cernet)建設(shè)的強(qiáng)力推動(dòng)，正在從各個(gè)側(cè)面接觸數(shù)字化校園建設(shè)這個(gè)主題。近年來(lái)，隨著智能卡的推廣和使用，將多項(xiàng)管理職能和社區(qū)服務(wù)、認(rèn)證融為一體的校園“一卡通”正在各高校普及開(kāi)來(lái)。校園“一卡通”不但提高了學(xué)校的管理效率，降低了成本，方便了教師和學(xué)生，而且也為各電信運(yùn)營(yíng)商借助于校園“一卡通”的獨(dú)特資源逐鹿校園打下了伏筆。

　　校園“一卡通”在校園管理中應(yīng)用的對(duì)象是校內(nèi)的教職員工和學(xué)生。對(duì)于學(xué)生，目前大多數(shù)校園“一卡通”已經(jīng)實(shí)現(xiàn)就餐收費(fèi)管理、圖書(shū)借閱管理、醫(yī)療收費(fèi)管理、上機(jī)計(jì)時(shí)收費(fèi)管理、校內(nèi)消費(fèi)管理、早操出勤管理等，對(duì)教職工，同樣也是實(shí)現(xiàn)了諸如圖書(shū)借閱，身份認(rèn)證、工資發(fā)放、校內(nèi)消費(fèi)、就餐等相似的管理。實(shí)際上，校園“一卡通”以智能卡為信息載體，結(jié)合了微電子技術(shù)、單片機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及數(shù)據(jù)庫(kù)技術(shù)等諸多高新科技，使其具有電子身份識(shí)別和電子錢(qián)包的功能，替代校園傳統(tǒng)的日常生活所需的教師工作證、學(xué)生證、借書(shū)證，以及與現(xiàn)金相關(guān)交易的食堂飯卡(券)、醫(yī)療證、上機(jī)證、門(mén)票等，達(dá)到教、學(xué)、考、評(píng)、住、用的全面數(shù)字化和網(wǎng)絡(luò)化，真正實(shí)現(xiàn)“一卡在手，走遍校園”?！靶@一卡通系統(tǒng)”的建設(shè)，也是目前高校信息化發(fā)展的必然趨勢(shì)。

　　校園“一卡通”系統(tǒng)在校園的內(nèi)部資源方面帶有強(qiáng)烈的“獨(dú)占”和“壟斷”的色彩，面對(duì)如此成熟的校園“一卡通”應(yīng)用環(huán)境 ，我們走了一條和高校后勤集團(tuán)下屬的公共服務(wù)中心合作開(kāi)發(fā)高校電信市場(chǎng)的路子，經(jīng)過(guò)大量的調(diào)研和反復(fù)的論證，開(kāi)發(fā)了基于校園“一卡通” 的虛擬電信運(yùn)營(yíng)商平臺(tái)系統(tǒng)。

　　校園“一卡通”關(guān)鍵技術(shù)分析

　　“一卡通”涉及的關(guān)鍵問(wèn)題是安全交易問(wèn)題，下面著重分析一下典型的校園″一卡通″系統(tǒng)平臺(tái)所涉及的關(guān)鍵性安全技術(shù)。

　　(1)卡片安全：校園應(yīng)用對(duì)卡要求很高，而其中m1射頻卡是非接觸式ic卡中影響較大的一種。由于每張卡有獨(dú)一無(wú)二的序列號(hào)，芯片有16個(gè)存儲(chǔ)扇區(qū)，每個(gè)扇區(qū)讀寫(xiě)需要獨(dú)立雙向三次論證，傳遞數(shù)據(jù)有嚴(yán)格的加密算法和密碼保護(hù)。

　　(2)網(wǎng)絡(luò)安全：一般采用三種網(wǎng)絡(luò)相結(jié)合的架構(gòu)，一卡通系統(tǒng)網(wǎng)絡(luò)、基于校園網(wǎng)的專(zhuān)用虛擬網(wǎng)和物理隔離的金融網(wǎng)絡(luò)。專(zhuān)網(wǎng)與校園網(wǎng)隔離，專(zhuān)用的物理通道保證了各校區(qū)、各層次網(wǎng)絡(luò)連接和信息傳輸?shù)陌踩?。銀行方的數(shù)據(jù)交易，采用防火墻隔離技術(shù)，確保網(wǎng)絡(luò)互聯(lián)和邊界的安全。網(wǎng)絡(luò)內(nèi)部通過(guò)mac端口地址與ip地址綁定，封鎖交換機(jī)空余的端口，配置用戶(hù)口令，使用不同級(jí)別的命令等措施。從三方面即網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)內(nèi)部來(lái)確保整個(gè)專(zhuān)用網(wǎng)絡(luò)的安全。

　　(3)數(shù)據(jù)安全：①通過(guò)制定一套完整的密鑰管理體系，來(lái)保證消費(fèi)過(guò)程的安全性和終端機(jī)具使用的安全性。“一卡通”系統(tǒng)交易過(guò)程中使用的密鑰有：主密鑰、工作密鑰、扇區(qū)密鑰、卡片扇區(qū)密鑰、個(gè)人密碼密鑰、卡片個(gè)人密碼密鑰，由這六個(gè)密鑰組成“一卡通”系統(tǒng)的密鑰體系。②收費(fèi)終端采用雙cpu工作、ups供電、以及無(wú)源存儲(chǔ)保護(hù)數(shù)據(jù)技術(shù)。正常情況下，終端數(shù)據(jù)信息均具有代碼標(biāo)識(shí)，實(shí)時(shí)經(jīng)專(zhuān)用網(wǎng)絡(luò)上傳到“結(jié)算中心”進(jìn)行結(jié)算；異常發(fā)生時(shí)，啟動(dòng)收費(fèi)終端的數(shù)據(jù)分析功能，迅速查出數(shù)據(jù)出錯(cuò)源，通過(guò)底層數(shù)據(jù)還原校驗(yàn)予以糾正。③數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)備份，同時(shí)采用磁盤(pán)陣列、磁帶機(jī)等多重備份，提供足夠的數(shù)據(jù)冗余；備份方式采用標(biāo)準(zhǔn)備份、增量備份、差量備份三種方法相結(jié)合保證數(shù)據(jù)的安全性。④軟件安全：建立嚴(yán)格的用戶(hù)權(quán)限管理系統(tǒng)，并在用操作權(quán)限分配、登錄控制、身份驗(yàn)證、密碼控制、日志跟蹤等方面設(shè)計(jì)了嚴(yán)密的機(jī)制，來(lái)保證安全性。

　　目前各高校校園一卡通實(shí)施的項(xiàng)目大致如下： 一卡通專(zhuān)用網(wǎng)絡(luò)、校園一卡通卡務(wù)中心、校園一卡通結(jié)算中心、銀行圈存系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、設(shè)備管理系統(tǒng)、學(xué)籍教務(wù)管理系統(tǒng)、各類(lèi)收費(fèi)系統(tǒng)、圖書(shū)館管理系統(tǒng)、機(jī)房上機(jī)管理系統(tǒng)、門(mén)禁、通道管理系統(tǒng)、身份識(shí)別系統(tǒng)、醫(yī)療系統(tǒng)、后勤服務(wù)管理系統(tǒng)、各類(lèi)信息查詢(xún)系統(tǒng)。

　　綜上所述，利用射頻智能卡來(lái)開(kāi)發(fā)電信業(yè)務(wù)中的智能電話(huà)卡(面向固話(huà)、公話(huà))、充值卡(面向小靈通、寬帶、增值業(yè)務(wù))是此虛擬電信運(yùn)營(yíng)商平臺(tái)的技術(shù)關(guān)鍵。

　　虛擬電信運(yùn)營(yíng)商平臺(tái)的系統(tǒng)設(shè)計(jì)

　　考慮到原有的智能電話(huà)系統(tǒng)，為了減少系統(tǒng)的設(shè)計(jì)費(fèi)用，我們將固話(huà)和公話(huà)子系統(tǒng)設(shè)計(jì)并入到原有的智能電話(huà)系統(tǒng)中，在硬件上，我們和相關(guān)廠家一起設(shè)計(jì)了新的電話(huà)機(jī)和公話(huà)機(jī)；在軟件系統(tǒng)的設(shè)計(jì)上我們主要考慮如下的問(wèn)題①考慮到不同的學(xué)校對(duì)射頻卡的16個(gè)扇區(qū)的不同的功能定義，我們要求由軟件來(lái)軟定制話(huà)機(jī)對(duì)射頻卡對(duì)應(yīng)扇區(qū)的智能卡電話(huà)賬號(hào)和密碼的讀入，這樣來(lái)增強(qiáng)整個(gè)系統(tǒng)(軟硬件)的通用性。

②在原有的系統(tǒng)上增加開(kāi)戶(hù)、銷(xiāo)戶(hù)、掛失、解掛等相關(guān)卡類(lèi)的管理③電話(huà)充值管理④密碼更換。在上面的設(shè)計(jì)中，我們針對(duì)不同的學(xué)校開(kāi)放不同的賬戶(hù)號(hào)碼段，讓每個(gè)學(xué)生都有唯一賬號(hào)，這樣一是讓學(xué)生在校內(nèi)可以方便地“刷卡”打電話(huà)(無(wú)須輸入賬號(hào)和密碼)，二是讓學(xué)生在校外可以通過(guò)輸入賬號(hào)和密碼的方式打電話(huà)，無(wú)論是從刺激客戶(hù)的消費(fèi)還是方便地管理好客戶(hù)關(guān)系都是一個(gè)好的做法。

　　考慮到校園卡的多態(tài)性，能直接和銀行連接交易，我們?cè)O(shè)計(jì)了一套基于銀行直接交易的電信自助業(yè)務(wù)子系統(tǒng)。硬件是我們和銀行一起合作研發(fā)的，軟件的設(shè)計(jì)主要考慮如下的問(wèn)題①電話(huà)自助充值、小靈通自助充值②寬帶業(yè)務(wù)開(kāi)通、續(xù)費(fèi)以及和學(xué)校的住宿管理系統(tǒng)之間的接口③掛失、解掛、改換密碼④增值類(lèi)業(yè)務(wù)的充值。
電信業(yè)務(wù)網(wǎng)絡(luò)和校園網(wǎng)聯(lián)網(wǎng)的安全設(shè)計(jì)

　　大學(xué)的校園主干網(wǎng)部分是整個(gè)校園一卡通系統(tǒng)的核心，消費(fèi)結(jié)算中心各種數(shù)據(jù)服務(wù)器和各種自助圈存設(shè)備通過(guò)校園主干網(wǎng)與各終端設(shè)備和銀行網(wǎng)絡(luò)的前置機(jī)進(jìn)行通信。為了保證網(wǎng)絡(luò)系統(tǒng)的安全性和便于管理，一般采用專(zhuān)網(wǎng)形式，獨(dú)立于校園網(wǎng)。一卡通網(wǎng)絡(luò)可以采用基于校園網(wǎng)的內(nèi)部虛擬專(zhuān)用網(wǎng)(virtual private network)，即在校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建成的專(zhuān)用數(shù)據(jù)通信網(wǎng)絡(luò)。數(shù)據(jù)通過(guò)安全的加密隧道在校園網(wǎng)中傳輸，從而保證通信的保密性。vpn與一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵區(qū)別在于用戶(hù)的數(shù)據(jù)通過(guò)校園網(wǎng)中建立邏輯隧道進(jìn)行傳輸，數(shù)據(jù)包經(jīng)過(guò)加密后，按隧道協(xié)議進(jìn)行封裝、傳送，并通過(guò)相應(yīng)的認(rèn)證技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專(zhuān)有性。

　　校園網(wǎng)一卡通主干網(wǎng)(高速以太網(wǎng))部分，要求所有的以太網(wǎng)設(shè)備在vlan部分和現(xiàn)有的校園網(wǎng)設(shè)備隔離，保證現(xiàn)有的校園網(wǎng)和一卡通部分是兩個(gè)網(wǎng)絡(luò)，設(shè)備不允許互相訪問(wèn)。同時(shí)為了共享已有的校園網(wǎng)資源，所以，一卡通與校園網(wǎng)采用防火墻進(jìn)行單通道連接，保證一卡通網(wǎng)絡(luò)能訪問(wèn)校園網(wǎng)數(shù)據(jù)，如：信息化校園建設(shè)必不可少的對(duì)統(tǒng)一身份認(rèn)證服務(wù)器和門(mén)戶(hù)網(wǎng)站的訪問(wèn)。但校園網(wǎng)不能隨意訪問(wèn)一卡通專(zhuān)網(wǎng)，這樣將非法用戶(hù)與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽(tīng)，使得一卡通網(wǎng)絡(luò)上的設(shè)備能夠安全、穩(wěn)定的運(yùn)行。

　　一卡通網(wǎng)絡(luò)結(jié)構(gòu)可以分為三層。一卡通網(wǎng)絡(luò)的中心層，是以數(shù)據(jù)庫(kù)服務(wù)器為中心的局域網(wǎng)的分布式結(jié)構(gòu)。中心層設(shè)置中心交換機(jī)，與身份認(rèn)證系統(tǒng)，卡務(wù)管理機(jī)，結(jié)算管理機(jī)，結(jié)算中心服務(wù)器一起構(gòu)成一卡通網(wǎng)絡(luò)與結(jié)算中心，它是一卡通系統(tǒng)的管理平臺(tái)、身份認(rèn)證平臺(tái)和數(shù)據(jù)庫(kù)中心。通過(guò)光纜與各結(jié)點(diǎn)相連與一卡通網(wǎng)絡(luò)的中心組成第一層網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)置二級(jí)交換機(jī)。第三層為以第一層局域網(wǎng)的網(wǎng)絡(luò)工作站作為控制主機(jī)的控制各個(gè)ic卡收費(fèi)終端的網(wǎng)絡(luò)。連接到專(zhuān)網(wǎng)的串口設(shè)備子網(wǎng)，以及專(zhuān)網(wǎng)計(jì)算機(jī)校園網(wǎng)和銀行金融網(wǎng)的接口，要同期設(shè)計(jì)建設(shè)。一卡通專(zhuān)網(wǎng)采用tcp/ip網(wǎng)絡(luò)協(xié)議。整個(gè)一卡通專(zhuān)網(wǎng)所用交換機(jī)，建議采用端口mac地址綁定，使每個(gè)端口只能設(shè)置唯一的ip地址，連接特定的設(shè)備，從而保證了整個(gè)網(wǎng)絡(luò)的安全性。

　　(一)安全設(shè)計(jì)之網(wǎng)絡(luò)分段實(shí)現(xiàn)

　　首先是網(wǎng)絡(luò)分段。在實(shí)際應(yīng)用過(guò)程中，通常采取物理分段(即在物理層和數(shù)據(jù)鏈路層)上分為若干網(wǎng)段與邏輯分段(即把網(wǎng)絡(luò)分成若干ip子網(wǎng))相結(jié)合的方法來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性控制。

　　其次，關(guān)于vlan的實(shí)現(xiàn)。虛擬網(wǎng)技術(shù)主要基于近年高速發(fā)展的局域網(wǎng)交換技術(shù)(atm和以太網(wǎng)交換)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和vlan技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊。如上圖，不同系統(tǒng)在網(wǎng)上劃分為不同的虛擬網(wǎng)，如“一卡通”卡務(wù)中心和消費(fèi)系統(tǒng)劃分在不同的vlan段，通過(guò)以下相應(yīng)的vlan劃分方法來(lái)提高網(wǎng)絡(luò)安全。

　　1、基于端口的vlan，就是將交換機(jī)中的若干個(gè)端口定義為一個(gè)vlan，同一個(gè)vlan中的計(jì)算機(jī)具有相同的網(wǎng)絡(luò)地址，不同vlan之間進(jìn)行通訊需要通過(guò)三層路由協(xié)議，并配合mac地址的端口過(guò)濾，就可以防止非法入侵和ip地址的盜用問(wèn)題。

　　2、基于mac地址的vlan，這種vlan一旦劃分完成，無(wú)論節(jié)點(diǎn)在網(wǎng)絡(luò)上怎樣移 動(dòng)，由于mac地址保持不變，因此不需要重新配置。但是如果新增加節(jié)點(diǎn)的話(huà)，需要對(duì)交換機(jī)進(jìn)行復(fù)雜的配置，以確定該節(jié)點(diǎn)屬于哪一個(gè)vlan。

　　3、基于ip地址的vlan，新增加節(jié)點(diǎn)時(shí)，無(wú)須進(jìn)行太多配置，交換機(jī)根據(jù)ip地址會(huì)自動(dòng)將其劃分到不同的vlan。這中vlan智能化最高，實(shí)現(xiàn)最復(fù)雜。一旦離開(kāi)該vlan，原ip地址將不可用，從而防止了非法用戶(hù)通過(guò)修改ip地址來(lái)越權(quán)使用資源。

(二)安全設(shè)計(jì)之物理隔離的金融、電信網(wǎng)絡(luò)連接

　　一卡通系統(tǒng)中心與銀行系統(tǒng)、電信系統(tǒng)之間的連接是校園卡與銀行卡圈存和電信智能業(yè)務(wù)平臺(tái)的數(shù)據(jù)通道，其安全性是一卡通結(jié)算中心與銀行和電信進(jìn)行對(duì)帳結(jié)算的保證。為了系統(tǒng)連接的安全性和可靠性，銀行金融網(wǎng)絡(luò)和電信智能網(wǎng)絡(luò)與校園一卡通的專(zhuān)用虛擬網(wǎng)通過(guò)pstn或者ddn方式相連，并通過(guò)vpn方式連接自助轉(zhuǎn)賬設(shè)備(圈存機(jī)或電信自助設(shè)備)，實(shí)現(xiàn)轉(zhuǎn)賬與對(duì)帳分別在不同的物理網(wǎng)絡(luò)上完成。與銀行、電信的對(duì)接系統(tǒng)采用如下措施；

　　1、通訊前置機(jī)采用a、b雙網(wǎng)卡來(lái)作為“橋接”雙方的安全網(wǎng)關(guān)。關(guān)于涉及數(shù)據(jù)在公網(wǎng)或?qū)＞W(wǎng)上傳輸，數(shù)據(jù)報(bào)文傳輸?shù)陌踩c銀行、電信前置機(jī)數(shù)據(jù)交換的安全主要由雙向身份認(rèn)證、加密和報(bào)文認(rèn)證來(lái)保障。

　　2、防火墻作為保護(hù)網(wǎng)絡(luò)的重要工具，在網(wǎng)絡(luò)的對(duì)外出口處設(shè)置防火墻是理想的選擇。防火墻在銀行、電信信息網(wǎng)中的安全防護(hù)原則： 

　　·任何外部網(wǎng)絡(luò)對(duì)銀行信息網(wǎng)的內(nèi)部情況“看不見(jiàn)”

　　·外部非法入侵者及特殊信息“進(jìn)不來(lái)”

　　·機(jī)要敏感信息“拿不走”

　　·任何的非法對(duì)外訪問(wèn)“出不去”

　　總的來(lái)說(shuō)，隨著我國(guó)高校日益加大信息化校園的建設(shè)步伐，許多先進(jìn)的信息處理技術(shù)都被引入校園，校園“一卡通”不僅為數(shù)字化校園提供了便利的信息采集，更是涉及到校園生活的各個(gè)方面，使教育與信息技術(shù)真正地融合，逐步實(shí)現(xiàn)以人為本，從校園環(huán)境、資源到活動(dòng)的全部數(shù)字化管理。

　　在總結(jié)電信業(yè)務(wù)與校園“一卡通”在業(yè)務(wù)上“互聯(lián)互通”的基礎(chǔ)上，我們提出了基于校園“一卡通”的、與高校公共服務(wù)中心合作的虛擬電信運(yùn)營(yíng)商解決方案，這不單是電信運(yùn)營(yíng)商針對(duì)高校市場(chǎng)的一個(gè)探索性的智能解決方案，也是針對(duì)大客戶(hù)的一個(gè)增值業(yè)務(wù)解決方案，同時(shí)也為未來(lái)的虛擬電信運(yùn)營(yíng)商合作模式提供了一個(gè)好的借鑒和探索模式。