引入PKI技術(shù)的校園一卡通應(yīng)用
文章出處:http://m.mjagi.com 作者:北京握奇數(shù)據(jù) 胡鵬 人氣: 發(fā)表時(shí)間:2011年11月28日
• 引言
校園作為 IC卡重要的一個(gè)應(yīng)用領(lǐng)域,在推動我國IC卡發(fā)展中起到了不可或缺的作用。目前,我國大多數(shù)校園利用IC卡技術(shù)已經(jīng)實(shí)現(xiàn)了對教職工、學(xué)生的學(xué)習(xí)、生活等各方面的管理,如:師生在校園食堂內(nèi)刷卡就餐;學(xué)校發(fā)放學(xué)生卡管理學(xué)生考勤;校內(nèi)圖書館使用IC卡管理圖書借閱等。各高校由于其應(yīng)用模式的不同,使用的卡片也有所不同,從早期的光卡到磁卡以至目前在各校園普遍使用的IC卡,校園卡也走過了一段不斷升級的過程。隨著高校對實(shí)現(xiàn)真正意義上的“校園一卡通應(yīng)用”的呼聲越來越高,特別是今年我國經(jīng)受過“非典”疫情的嚴(yán)重影響,各高校利用互聯(lián)網(wǎng)并結(jié)合IC卡技術(shù)保證校內(nèi)師生正常工作、學(xué)習(xí)、生活的應(yīng)用需求越來越迫切,如何選取更加安全,更加方便的IC卡作為校園一卡通應(yīng)用實(shí)體已是教育 領(lǐng)域廣泛關(guān)注的一個(gè)話題 。
• 校園內(nèi)多元化應(yīng)用的需求
近幾年來互聯(lián)網(wǎng)的迅猛發(fā)展和應(yīng)用普及,是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)者們始料未及的。當(dāng)前,許多高校都建設(shè)了校園網(wǎng),將校園網(wǎng)上教學(xué)、網(wǎng)上自動化辦公等應(yīng)用與現(xiàn)有的以校園內(nèi)刷卡消費(fèi)、學(xué)生考勤管理為主的 IC 卡應(yīng)用模式相融合,實(shí)現(xiàn)高校內(nèi)多元化“一卡通應(yīng)用”,是我們要解決的問題。
2、1 校園內(nèi)網(wǎng)絡(luò)化教學(xué)的發(fā)展
以互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)為基礎(chǔ),在高校網(wǎng)絡(luò)硬件設(shè)備日益提高、改善的條件下,實(shí)現(xiàn)網(wǎng)絡(luò)化教學(xué)——空中課堂已不再是師生們的美好夢想,而且依托于網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)的現(xiàn)代化遠(yuǎn)程教育系統(tǒng)將在我國未來教育領(lǐng)域中發(fā)揮更重要的作用。
在校園網(wǎng)中,網(wǎng)絡(luò)化教育可有以下幾方面應(yīng)用:
• 網(wǎng)上教學(xué)
使用實(shí)時(shí)采集和發(fā)布設(shè)備,配合流媒體技術(shù)可以利用校園網(wǎng)來現(xiàn)場直播課堂教學(xué),學(xué)生在校園網(wǎng)的任何一個(gè)接入點(diǎn)都能實(shí)時(shí)觀看;也可以將制作好的教學(xué)節(jié)目存儲到校園網(wǎng)的服務(wù)器上,學(xué)生可隨時(shí)從服務(wù)器上學(xué)習(xí)課程;使用流媒體技術(shù)制作的動畫或演示可以直接插入到網(wǎng)頁中,學(xué)生可以使用校園網(wǎng)獲得帶有文字、圖像、聲音和視頻的多媒體演示文件,使教學(xué)過程生動形象。而且,學(xué)生在課下可以通過互聯(lián)網(wǎng)按個(gè)人的興趣進(jìn)行學(xué)習(xí),通過電子郵件提交所完成的作業(yè),師生通過 BBS 在網(wǎng)絡(luò)上進(jìn)行有關(guān)課程的自由討論等。
• 在線考試
對于這個(gè)名詞每個(gè)大學(xué)生都不會陌生,在很多國外的培訓(xùn)考試中早已用到,如流行的微軟 MCSE的認(rèn)證考試等。我國高校一般在計(jì)算機(jī)類課程的考試中多采取類似模式。學(xué)生通過操作學(xué)校指定的計(jì)算機(jī)或在校方允許的情況下使用某一臺計(jì)算機(jī),并進(jìn)行身份認(rèn)證后在線進(jìn)行考試;考試用計(jì)算機(jī)從校內(nèi)特定服務(wù)器的題庫中隨機(jī)抽取試題后,允許學(xué)生作答;考試結(jié)束后,計(jì)算機(jī)保存學(xué)生作答結(jié)果,并提交校內(nèi)特定服務(wù)器的數(shù)據(jù)庫進(jìn)行處理。
• 教師網(wǎng)上自動化辦公
校園內(nèi)各部門之間關(guān)于校內(nèi)管理制度的制定、發(fā)布,教師網(wǎng)上判卷,并將學(xué)生考試的成績單發(fā)送給相關(guān)的學(xué)生管理部門等應(yīng)用,都離不開網(wǎng)上自動化辦公系統(tǒng)的協(xié)助。
正當(dāng)人們以各種方式使用著互聯(lián)網(wǎng),感受著它給我們帶來的信息交流的快捷與方便的時(shí)候,由于最初的網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)者們并沒有考慮到安全性的問題,因而我們在設(shè)計(jì)校園網(wǎng)絡(luò)化教育系統(tǒng)的多種應(yīng)用時(shí),安全問題成為了必須考慮的問題。目前已建設(shè)的校園中,存在著較多的安全漏洞,黑客攻擊學(xué)校內(nèi)網(wǎng)絡(luò)服務(wù)器的事件也屢見不鮮。當(dāng)今一名普通的計(jì)算機(jī)系大三的學(xué)生通過對相關(guān)網(wǎng)絡(luò)攻擊知識的學(xué)習(xí),就可以成功侵入一臺安全級別較低的網(wǎng)絡(luò)服務(wù)器。
因此,為了保障校園內(nèi)網(wǎng)絡(luò)化教育在互聯(lián)網(wǎng)上安全的實(shí)現(xiàn),我們將 PKI技術(shù)引入網(wǎng)絡(luò)化教育中,為網(wǎng)絡(luò)安全提供基礎(chǔ)保障。
2、2 PKI技術(shù)——網(wǎng)絡(luò)安全保障的基礎(chǔ)
PKI是Public Key Infrastructure(公開密鑰基礎(chǔ)設(shè)施)的縮寫,是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。 實(shí)際上, PKI技術(shù)的組成包括安全政策、證書機(jī)構(gòu)(CA)、注冊機(jī)構(gòu)(RA)、證書分發(fā)系統(tǒng)、實(shí)現(xiàn)PKI的應(yīng)用等主要系統(tǒng)。
3 引入 PKI 技術(shù)的校園一卡通安全解決方案
3、1 系統(tǒng)概述
校園一卡通應(yīng)用系統(tǒng)是運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)和通信技術(shù),采用帶有 PKI 功能的雙界面 IC 卡作為數(shù)據(jù)交換介質(zhì),以校園內(nèi)部教職工、學(xué)生網(wǎng)上教學(xué)、辦公,以及師生在校刷卡消費(fèi)、考勤管理、門禁管理等應(yīng)用為主體,實(shí)現(xiàn)校園一卡通應(yīng)用建設(shè),提高高校辦學(xué)質(zhì)量,促進(jìn)我國現(xiàn)代化遠(yuǎn)程教育系統(tǒng)的健康發(fā)展。
在現(xiàn)有校園網(wǎng)的基礎(chǔ)上,我們引入 PKI與IC卡技術(shù),實(shí)現(xiàn)對登陸網(wǎng)絡(luò)教學(xué)系統(tǒng)的教職工、學(xué)生進(jìn)行身份驗(yàn)證、并將一些在網(wǎng)絡(luò)中傳遞的敏感數(shù)據(jù)(如,學(xué)生在線考試的電子答卷,教師判卷的成績結(jié)果等)完成卡內(nèi)數(shù)字簽名、加密等安全保護(hù),完善網(wǎng)絡(luò)教學(xué)系統(tǒng)的安全管理機(jī)制,從而解決目前校園網(wǎng)存在的冒名登陸、截取并篡改網(wǎng)絡(luò)傳輸數(shù)據(jù)等各項(xiàng)安全隱患。此校園一卡通安全解決方案在非網(wǎng)絡(luò)應(yīng)用部分與以往傳統(tǒng)應(yīng)用模式相同。校內(nèi) 師生使用 IC 卡在對應(yīng)的 POS 機(jī)具上實(shí)現(xiàn)刷卡消費(fèi);在特定的辦公室或?qū)嶒?yàn)室增加門禁控制器,利用 IC 卡實(shí)現(xiàn)人員考勤管理和人員出入控制。
3、2 網(wǎng)絡(luò)教學(xué)應(yīng)用系統(tǒng)架構(gòu)
• Web服務(wù)器
Web 服務(wù)器上建立校方網(wǎng)站,并建立數(shù)據(jù)庫存放網(wǎng)絡(luò)教學(xué)所需教學(xué)課件、考試題庫等。采用完善的防火墻來確保校園內(nèi)網(wǎng)絡(luò)應(yīng)用的安全性。Web 服務(wù)器完成審核登錄人員的身份,使通過驗(yàn)證的人員可以進(jìn)行網(wǎng)上教學(xué),考試,辦公等工作,并將客戶端提交上來的簽名信息存儲到數(shù)據(jù)庫中的功能。
• 應(yīng)用系統(tǒng):
主要完成校園內(nèi)網(wǎng)上教學(xué)、在線考試、 網(wǎng)上自動化辦公 等業(yè)務(wù)處理功能,將服務(wù)器端提交的各種信息經(jīng)過數(shù)據(jù)的真實(shí)性、完整性驗(yàn)證后分發(fā)給后臺進(jìn)行相應(yīng)的業(yè)務(wù)處理。
• 銀行網(wǎng)關(guān):
可提供在線支付功能,實(shí)現(xiàn)在線交費(fèi)。
• CA(Certificate Authority)認(rèn)證中心:
完成審核、發(fā)放 Web服務(wù)器證書、和教職工、學(xué)生身份證書,教職工、學(xué)生身份證書直接發(fā)到智能卡中。通過證書驗(yàn)證可以確保網(wǎng)上教學(xué)、辦公時(shí)各方具有合法身份。
• 客戶端:
讀卡器與計(jì)算機(jī)相連,并安裝驅(qū)動軟件。校園內(nèi)師生可以通過瀏覽器訪問校園網(wǎng),并通過校園一卡通卡實(shí)現(xiàn)身份鑒別,數(shù)字簽名等功能,進(jìn)行安全、放心的網(wǎng)上教學(xué)、辦公。
1、簽名、驗(yàn)證及信息加解密模塊:
提供客戶端與服務(wù)器端對特定信息的簽名、驗(yàn)證及加解密服務(wù)的標(biāo)準(zhǔn)接口,整個(gè)簽名、驗(yàn)證及加解密過程對用戶透明。服務(wù)器端提供 COM組件接口和JavaBeans組件接口,分別適用于ASP方式和JSP方式;客戶端提供ActiveX接口??蛻舳丝丶c服務(wù)器端組件需配合使用。
2、日志:
客戶端和服務(wù)器端日志對簽名及驗(yàn)證等活動進(jìn)行記錄,以備日后查詢。服務(wù)器端可以獲取客戶端的日志信息(可選)。
3、客戶端智能IC卡:
主要存儲用戶的證書信息、用戶的私鑰及一部分加密算法。提供了 PIN口令驗(yàn)證機(jī)制,使用時(shí)要求用戶輸入PIN口令,若PIN口令輸入錯(cuò)誤5 次,IC卡即自鎖死,必須到發(fā)卡中心解鎖或重新發(fā)卡才能繼續(xù)使用。PIN口令由用戶自行設(shè)定及更改??蛻舳丝梢约嫒荻喾N智能IC卡。
4、發(fā)卡及證書服務(wù)中心:
負(fù)責(zé)處理校內(nèi)師生的開戶請求、生成并簽發(fā)用戶證書、 IC卡制作發(fā)放、證書的 備份 、證書的查詢 服務(wù)、用戶證書報(bào)廢,以及證書黑名單的發(fā)布等。 發(fā)卡及證書服務(wù)中心的管理員必須使用有相應(yīng)權(quán)限的IC卡才能登錄,也可以設(shè)置多名管理員同時(shí)在場才能有效登錄的方式。
5、服務(wù)器端加密硬件:
提供高強(qiáng)度的數(shù)據(jù)完整性驗(yàn)證、數(shù)字簽名、簽名驗(yàn)證及信息加解密服務(wù)。
6、客戶端加密算法:
提供足夠強(qiáng)度的數(shù)據(jù)完整性驗(yàn)證、數(shù)字簽名、簽名驗(yàn)證及信息加解密服務(wù)。依據(jù)客戶端安全級別的不同,簽名、加密算法可在客戶端智能 IC卡內(nèi)或卡外和系統(tǒng)工作平臺上完成提交給服務(wù)器端。
7、客戶端及服務(wù)端的環(huán)境設(shè)置與管理:
提供對整個(gè)數(shù)據(jù)安全平臺運(yùn)行環(huán)境進(jìn)行設(shè)置及管理的界面。
3、3 CA中心的建立
數(shù)字證書是 PKI中最基本的元素,所有安全操作都主要通過證書來實(shí)現(xiàn)。而CA 中心正是簽置、頒發(fā)數(shù)字證書的證書機(jī)構(gòu),其重要的作用不言而喻。
但是,我們也應(yīng)該看到一個(gè)各個(gè)方面完善的 CA認(rèn)證中心的建立價(jià)格不菲,對于一所普通高校來說資金上可能存在一定的困難,而且建立這樣一個(gè)CA認(rèn)證中心在一所普通高校內(nèi)部使用也發(fā)揮不了它真正的作用。從這一方面考慮,我個(gè)人建議:一方面,高??膳c當(dāng)?shù)氐恼虲A運(yùn)營商聯(lián)系,協(xié)商使用他們已經(jīng)建好的CA中心頒發(fā)校內(nèi)數(shù)字證書;另一方面,高??梢圆扇∈褂矛F(xiàn)有產(chǎn)品技術(shù)建立校內(nèi)的功能完整的小型化簡易CA頒發(fā)數(shù)字證書,如:微軟的CA證書服務(wù)系統(tǒng)。
• PKI 技術(shù)的校園一卡通產(chǎn)品選型
在我們?yōu)樾@一卡通產(chǎn)品選型的時(shí)候要充分的考慮到一卡多應(yīng)用的需求,將操作簡便、使用安全、攜帶方便的 IC產(chǎn)品及配套軟件推薦給高校。所以, 采用 握奇數(shù)據(jù)公司即將推出的 帶有 PKI 功能 的 雙界面 IC 卡作為數(shù)據(jù)交換介質(zhì) , 并在客戶端選用其提供的 WatchSAFE 網(wǎng)絡(luò)安全套件產(chǎn)品是理想的選擇。
帶有 PKI 功能 的 雙界面 IC 卡在原先雙界面 IC 卡芯片上增加了運(yùn)算協(xié)處理器,使 此卡片具有支持非對稱密碼算法,可在卡內(nèi)生成 RSA密鑰對,并實(shí)現(xiàn)在卡內(nèi)簽名、驗(yàn)證、加密、解密等功能。
校園一卡通采用 帶有 PKI 功能 的雙界面卡,一方面,使用 IC卡非接觸式特點(diǎn)進(jìn)行 師生在校刷卡消費(fèi)、考勤管理、門禁管理等應(yīng)用;另一方面, 使用 IC卡接觸式特點(diǎn)進(jìn)行 校園內(nèi)部教職工、學(xué)生網(wǎng)上教學(xué)、辦公 應(yīng)用。
為了與 IC卡配合實(shí)現(xiàn)網(wǎng)絡(luò)教學(xué)應(yīng)用系統(tǒng)的安全控制,我們需要相應(yīng)的接口軟件來完成網(wǎng)上教學(xué)、辦公的客戶端瀏覽器與IC卡的銜接。當(dāng)客戶端通過瀏覽器訪問網(wǎng)頁,能夠讀取卡內(nèi)的證書與Web服務(wù)器建立SSL(Secure Sockets Layers)安全通道,使用卡內(nèi)私鑰完成簽名及對讀卡器、卡片的操作與讀寫。
• 結(jié)語
隨著 IC卡在不同領(lǐng)域的拓展,用戶也對IC卡技術(shù)提出了更高的要求,作為一種日趨成熟的技術(shù),PKI技術(shù)將會逐步集成到更多的操作系統(tǒng)和應(yīng)用中去,并實(shí)現(xiàn)對用戶的透明。利用PKI作為安全基礎(chǔ)平臺,使用數(shù)字證書實(shí)現(xiàn)網(wǎng)上各項(xiàng)工作的認(rèn)證加密功能,必將是實(shí)現(xiàn)安全電子商務(wù)、政務(wù)的主要發(fā)展方向。將PKI技術(shù)發(fā)布的數(shù)字證書與IC卡技術(shù)巧妙結(jié)合后,提出的應(yīng)用解決方案可以說是安全級別最高的網(wǎng)絡(luò)安全應(yīng)用解決方案。引入PKI技術(shù)的校園一卡通將在未來的教育領(lǐng)域中表現(xiàn)其強(qiáng)大的生命力,給校園的生活帶來新的變化。校園是社會的縮影,校園一卡通的順利實(shí)現(xiàn)也將為我國各行業(yè)實(shí)現(xiàn)真正意義的一卡通應(yīng)用提供良好的模型與典范。