校园一卡通系统网络安全研究

毛乾任，王朝斌，邓 超，胡章荣

(西华师范大学 计算机学院，四川 南充 637009)

0 引 言

校园一卡通系统安全性要求主要涉及到三个部分:系统数据库安全、网络安全和系统终端设备及卡片的安全．目前为止，一卡通系统大多是架设在校园网的基础上，安全性不能保证，某些子系统也没有做到真正意义上的整合．本文在探究校园一卡通系统的网络安全的同时，提出一种校园一卡通专网的安全体系架构，实现一卡通系统在子系统的分散使用以及管理的安全整合．在一定程度上，基于专网的校园网一卡通系统，可以有效地防范校园一卡通系统的不安全隐患，有利于建设一个管理手段先进和服务质量优良的校园一卡通系统．

1 一卡通专用网络架构

1．1 专网概述

校园一卡通系统可以分为独立组网(“专网”)或基于校园局域网两种方式．为实现更高的一卡通系统安全性，采用在校园网原有冗余光纤的基础上建立一卡通系统专网［1］的建设方案．专网构建的一卡通系统由两部分组成:一卡通数据中心、校区的业务管理系统．一卡通数据中心位于学校网络中心，通过骨干节点的三层交换机接入．业务管理设施接入校园业务节点，提供一卡通应用服务．

1．2 专网的结构设计

专网系统采用基于三层交换技术的千兆以太网作为网络主干，骨干节点通过多链路链接到一卡通数据中心服务区，根据具体的条件选择光接入到校园每一个接入层交换机，一卡通专用网络通过校园网络中心外连互联网［2］．核心层设备采用链路聚合+OSPF 路由结构，实现高带宽，高转发性和冗余特性． 接入层设备，需保证数据交换安全、QoS 策略等安全特性［3］．可采用华为S5700 -LI 作为接入层交换机．终端设备通过网络服务器或三层交换机直接连接到主干网，各个终端与一卡通网络服务器构成RS -485 网络．商务网关将RS-485 通信协议转换为TCP/IP 以太网协议接入一卡通专网，并将数据自动实时传输到一卡通数据中心．

一卡通数据中心出口可以采用下一代防火墙设备与通用安全平台软件来防护一卡通专网的安全［4］．采用磁盘阵列构成双机热备系统，保护核心网络系统的服务器，并提供数据存储的安全［5］．

在终端圈存等设备的网络接口上采用独特的网关技术，使得应用子系统可以带载POS 终端设备整体脱网运行、POS 终端设备可脱离网关的脱网运行的双重脱机模式．如采用支持主从模式的WG-515 网关，这种技术可以在后台运用双机热备份的安全方案，前端的网关可主从模式部署，有效降低单点故障．

银行圈存系统通过DNN 专线与一卡通专网的银行前置机连接．外网查询节点访问专网，需使用X．509数字证书来实现开放式网络环境下的身份认证，并且只开放Web 应用实现查询功能．专用网络拓扑如下图:

图1 一卡通专网拓扑结构Fig.1 Campus E-card System network topology diagram

2 网络结构安全设计

校园一卡通系统安全保障体系建设的安全要求主要是三个方面［6，7］:敏感信息在传输过程中的安全性和完整性;一卡通系统专网与校园网的边界访问控制和Internet 安全隔离;有效的网络检测和监控管理机制．以下通过三个方面对一卡通系统的网络结构和实际网络安全环境进行安全性优化．

2．1 DMZ 应用

为保证服务器区出口安全，对数据中心内的服务器进行保护，在一卡通专网的数据中心出口布置出口防火墙［8］．一卡通专网对外服务采用DMZ 方式．DMZ 有效解决安装防火墙后，外网访问内网的问题，同时对内网进行保护．DMZ 区配置架构如图2．

配置一卡通专网的防火墙时，从三个方面进行配置:安全规则、地址映射、策略控制． 这里举例说明:假设内网有一台主机HostA 的私网地址10．0．0．1，由端口8080 提供Web 服务．让服务器ServerA 通过198．76．28．11:80 访问HostA 的Web 服务，则需要在防火墙上启用SAT(静态地址转换，并伴随Allow 规则)，并创建私网IP 和端口的10．0．0．1:8080 与端口198．76．28．11:80 的映射关系．

配置成功的安全规则测试举例:

图2 DMZ 区配置结构Fig.2 Configuration of the DMZ zone structure

2．2 VLAN 隔离

实现一卡通专网系统中的子系统的相互隔离，采用基于端口的VALN 划分方式，保证不同VLAN 内的报文在传输时是相互隔离的．同时在数据中心的数据库服务器、圈存机、银行转账前置机等专用设备必须铺设有专用线路，实现物理基础设施和逻辑基础设施的安全隔离．对于无法实现专网线路的场所，通过VLAN 和ACL 相结合来实现一卡通系统中的数据访问控制．

2．3 交换机端口安全

对于二层报文的安全性控制主要体现在二层接入交换机上．可以限制端口或VLAN 下的MAC 地址的最大学习个数，来防止MAC 扫描．此外，在交换机上配置黑洞MAC 功能，收到的报文与黑洞MAC 表项进行匹配，屏蔽病毒源数据包．

对一些安全性要求比较高的设备可以配置“MAC+IP+端口”的绑定功能，实现设备对转发报文的过滤控制，提高安全性．绑定成功后，只有指定的MAC 和IP 的主机才能在指定端口上收发报文，访问网络资源，利于网络管理和监控．

3 服务器分级分类管理方案

为实现主动防御攻击并隔离网络中存在的攻击终端，以及提供一个有效的一卡通专网安全管理环境，本文将一种服务器分级分类管理方案应用于校园一卡通系统建设中，提高整个一卡通系统的安全性和管理的有效性． 服务器区采用H3C网络管理产品，支持如用户认证、准入控制、权限下发、计费管理、行为审计、桌面、资产管理等6 个主要功能［7，8］，以及防病毒、补丁、AD/LDAP(活动目录/轻型目录访问协议)等辅助功能．管理方案如图3．

安全管理系统区［9］主要是由进行网络管理的相关服务器及安全管理设备组成，这些设备与核心交换机通过千兆链路直接相连．

图3 服务器安全管理方案Fig.3 Server security management solution

管理服务器A 为主管理服务器，对整个专网设备包括网络出口区、服务器区及核心骨网区域所有的设备进行统一管理．在用户终端通过病毒、补丁等安全信息检查后，EAD 可基于用户的角色，通过下发接入控制策略，并按照用户角色权限去规范用户的网络使用行为．终端用户的所属VLAN 、ACL 访问策略等安全措施均可由管理服务器A 统一配置实施．

管理服务器B 架设有iMC 智能管理平台，QoS、ACL、VPN 管理平台．主要提供所有终端用户的身份认证和安全访问的审核，并对专网用户的访问行为统一管理，同时提供防病毒、软件应用管理．实现对网络的基础管理如:拓扑管理、告警管理、性能管理等，提供对网络的集中监视、智能的告警显示、过滤和关联，以及性能监视等功能［10］．

管理服务器C 安装网络流量分析管理组件，收集专网上数据流，生成相关的分析结果，以报表或图形显示．

安全管理中心收集来自网络出口区和服务器区以及核心骨干区域各个网络设备和安全设备发送过来的安全日志，进行安全攻击分析以及攻击的关联性分析．一旦发现有不安全事件的出现，系统通过管理服务器A 的EAD 组件以及管理服务器的B 的iMC 网管平台来实现让不安全的用户下线，或者关闭相关设备的接口，从而实现隔断存在攻击的终端设备，也就隔断了不安全终端设备与整个一卡通专网的联系．这种服务器安全管理的方案的实施，能够最大程度上增强一卡通系统的安全管控，并且增强了管理的有效性．

4 结 语

本文主要对校园一卡通系统的安全性结构进行探究．从VLAN、防火墙、交换设备端口安全三个方面出发，对校园一卡通网络的网络安全结构进行设计．结合校园一卡通专网的网络结构特点，文章最后把一种服务器安全管理方案应用在校园网一卡通系统建设中，优化了网络安全性能，并提高了校园一卡通系统管控的有效性．

［1］ 杨 明，郭树旭，王 隽． 基于虚拟专用网技术的一卡通网络安全设计与实现［J］．电子技术应用，2010，36(1):136 -138．

［2］ 杨延朋． 校园一卡通系统的安全性分析与设计［J］． 通信技术，2009，42(2):328 -329．

［3］ 杭州华三通信技术有限公司．路由交换技术第1 卷(下册)［M］．北京:清华大学出版社，2014．7．

［4］ 戴 莹，李坤伦． 基于数字化校园平台的一卡通系统的设计与实现［J］． 陕西科技大学学报(自然科学版)，2011，29(2):113 -117．

［5］ 罗 郁，李坤伦，孙 勇． 校园一卡通系统安全性分析与研究［J］． 计算机安全，2011，20(6):87 -91．

［6］ 杭州华三通信技术有限公司．路由交换技术第3 卷［M］．北京:清华大学出版社，2014．7．

［7］ 段智敏，王如龙，孙美青，佘 维． 基于一卡通的数字化校园资源整合研究与实现［J］． 计算机工程与科学，2008，30(1):8 -11．

［8］ 杭州华三通信技术有限公司．新一代网络建设理论与实践［M］．北京:电子工业出版社，2011．10．

［9］ DUAN，Z M，WANG R L，SUN M Q，et al． Research and Implementation of the Digital Campus Resource Integration Based on Packaged Campus Cards． Computer Engineering ＆ Science．2008，30(1):8 –11．

［10］ 汪成亮，陈娟娟，周亚鑫． 重庆城市一卡通系统设计及实现［J］． 计算机应用与软件，2008，25(9):127 -129．