校園一卡通的4層安全結構模型及關鍵技術
文章出處:http://hz-huyue.com 作者:馬明志等 人氣: 發表時間:2011年11月14日
隨著信息化產業的發展,全國各大高校都在積極推進“數字化校園”.校園一卡通系統是數字化校園的重要組成部分,它為數字化校園的建設提供了全面的數據采集和信息共享的環境.目前,關于校園一卡通系統設計方面的研究較多[1 ],但設計的系統結構還存在著安全方面的問題[4 ].筆者基于元數據應用集成技術,提出一個“四層安全”結構模型以保障校園信息系統的安全.該模型通過采用元數據技術、網絡通信技術、數據庫技術、自動控制技術和IC卡技術,集成了證件管理、檔案管理、師生考勤、教學管理、食堂管理、機房管理及其他多種服務功能于一體,可使學生通過“一卡”實現對校園綜合信息的共享.
1 4層安全結構模型
以元數據作為系統的數據組織與驅動策略,采用Web service應用集成接口標準對應用系統及網絡安全認證功能統一集成.其體系結構模型見圖1.圖1中最底層(第5層)為終端用戶與應用系統實現互聯的一卡通網絡,通過在該層引入四層安全結構模型來保障系統的安全.采用DESE 認證算法實現用戶的安全認證,保障合法用戶對系統的訪問;第4層為數據源頭層(各個部門數據庫),包括財務、教務、學工、圖書等各種數據源;第3層為元數據驅動層,是系統實現數據層集成的關鍵部分.通過在該層定義各種主題元數據,如圖書元數據、餐飲元數據、教務元數據、財務元數據、用戶界面元數據、用戶權限元數據等,并采用元數據建模技術對這些元數據進行建模,實現整個系統的靈活集成,保障各個子系統的異構性及可擴充性等需求;第2層是實現對大學園區中各種應用系統在應用級別的統一集成問題,采用web service/XML技術實現不同的應用系統在XML接口級上的應用集成;第1層為用戶的應用層,用戶通過卡片實現用戶認證及網絡訪問.
圖1 校園一卡通系統集成體系結構
2 系統的關鍵技術
2.1 元數據的集成
關于元數據概念的理解有多種觀點,綜合分析,可狹義理解為“描述數據的數據,描述數據的結構、數據的更新情況、數據之間的依賴關系、數據的質量等”;也可廣義理解為“不僅實現對數據的描述,而且描述并實現數據轉換、操作、管理”.狹義元數據概念和廣義元數據概念是從不同層次上對問題和操作數據進行描述.因此,元數據的概念可以理解為元數據是關于數據、操縱數據的過程和應用程序的結構與意義的描述信息,其主要目標是保持數據的一致性定義、數據間清晰明確的關系和數據間的信息共享,提供數據資源的全面指南.
數據庫應用系統的元數據是指有關數據庫應用的一些數據結構和對象的描述信息.它們規定了數據庫應用系統的用戶界面、系統行為和系統的數據來源.可見,應用系統元數據是系統框架結構的抽象.對于特定系統,元數據是相對穩定、相對靜止的,是整個系統的核心,對系統起控制作用.所以,基于元數據在數據集成方面的優勢,引入元數據技術,并針對需要集成的數據源,設計的數據集成中心框架模型,見圖2.
圖2 基本地數據的集成
2.2 模型功能
(1)VLAN隔離技術.基于校園寬帶環境下的校園一卡通系統,主干網絡部分要求所有的以太網設備在VLAN部分和現有的校園網相隔離,保證現有的校園網和一卡通部分是2個網絡,設備不允許互相訪問.在實際應用過程中,通常采取物理分段(即在物理層和數據鏈路層上分為若干網段)與邏輯分段(即把網絡分成若干IP子網)相結合的方法來實現對網絡系統的安全性控制.在分段方式中,主要采用VLAN的方式實現網絡安全.VLAN即虛擬網技術主要基于近年高速發展的局域網交換技術(ATM 和以太網交換)E4].交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術.以太網從本質上說是基于廣播機制,但應用了交換機和VLAN技術后,實際上轉變為點到點的通訊.劃分VLAN的方式有3種:① 基于端口的VLAN,就是將交換機中若干個端口定義為一個VLAN,同一個VLAN中的計算機具有相同的網絡地址,不同VLAN之間進行通訊需要通過三層路由協議,并配合MAC地址的端口過濾,就可以防止非法入侵和IP地址的盜用問題.② 基于MAC地址的VLAN,一旦劃分完成,無論節點在網絡上怎樣移動,由于MAC地址保持不變,因此不需要重新配置,但是如果新增加節點,就需要對交換機進行復雜的配置,以確定該節點的VLAN歸屬.③ 基于IP地址的VLAN,新增加節點時,無須進行太多配置,交換機根據IP地址會自動將其劃分到不同的VLAN,這種VLAN智能化最高,實現最復雜.一旦離開該VLAN,原IP地址將不可用,從而可防止非法用戶通過修改IP地址來越權使用資源.這3種劃分方式各有其優缺點,在實際應用時應從安全性和可擴展性等方面全面考慮.
(2)卡片與設備的雙向認證.設備具有防偽卡功能,卡片與設備雙向認證,對于POS機每筆交易明細大慶石油學院學報 第33卷2009年記錄都有流水號,所有交易帳目均帶校驗功能;POS機采用雙CPU機制(一個負責讀寫卡,另一個負責數據通訊)和雙FLASH 數據存儲方式.
(3)卡片的安全.卡片具有非常高的安全性,Mifare One卡物理破譯時間長;卡片分16個扇區,每一個扇區都有自己的讀卡密碼與寫卡密碼;卡片內所存儲的數據采用3層128位DES加密算法進行加密.
(4)數據安全.充分利用oracle數據庫的訪問控制,保證中心數據庫的安全性,并且對中心數據庫中的重要數據表加校驗,使之無法篡改;系統采用磁帶備份、雙機熱備份、數據自動存儲和異地備份等方式進一步保證一卡通數據的安全性。
2.3 基于DEC的數據加密算法
2.3.1 加密算法
DES是一個分組加密算法,它以64位為分組對數據加密,加密和解密用的是同一個算法,它的密匙長度為56位,密匙可以是任意的56位的數,而且可以任意改變.
(1)DES對64(bit)位的明文分組M 進行操作,M 經過一個初始置換IP置換成m。
(2)將m。明文劃分成左半部分和右半部分,m。=(L。,R。),左右部分各32位長.
(3)進行16輪完全相同的函數廠運算,在運算過程中數據與密匙結合.
(4)經過16輪后,左、右半部分合在一起經過一個末位置換.在每一輪中,密匙位移位,然后再從密匙的56位中選出48位.
(5)通過一個擴展置換將數據的右半部分擴展成48位,并通過一個異或操作替代成新的32位數據,再將其置換一次.這4步構成函數f.然后,通過另一個異或運算,函數 的輸出與左半部分結合,其結果成為新的右半部分,原來的右半部分成為新的左半部分,將該操作重復16次,計算完畢.DES算法框圖見圖3.
圖3 DES算法框圖
全文下載地址:http://www.yktchina.com/bbs/Read-b13-t8622.htm