引入PKI技術(shù)的校園一卡通應用

文章出處：http://psychicreadingswithdeb.com 作者：北京握奇數據 胡鵬   人氣： 發(fā)表時(shí)間：2011年11月28日

•  引言  
    校園作為 IC卡重要的一個(gè)應用領(lǐng)域，在推動(dòng)我國IC卡發(fā)展中起到了不可或缺的作用。目前，我國大多數校園利用IC卡技術(shù)已經(jīng)實(shí)現了對教職工、學(xué)生的學(xué)習、生活等各方面的管理，如：師生在校園食堂內刷卡就餐；學(xué)校發(fā)放學(xué)生卡管理學(xué)生考勤；校內圖書(shū)館使用IC卡管理圖書(shū)借閱等。各高校由于其應用模式的不同，使用的卡片也有所不同，從早期的光卡到磁卡以至目前在各校園普遍使用的IC卡，校園卡也走過(guò)了一段不斷升級的過(guò)程。隨著(zhù)高校對實(shí)現真正意義上的“校園一卡通應用”的呼聲越來(lái)越高，特別是今年我國經(jīng)受過(guò)“非典”疫情的嚴重影響，各高校利用互聯(lián)網(wǎng)并結合IC卡技術(shù)保證校內師生正常工作、學(xué)習、生活的應用需求越來(lái)越迫切，如何選取更加安全，更加方便的IC卡作為校園一卡通應用實(shí)體已是教育 領(lǐng)域廣泛關(guān)注的一個(gè)話(huà)題 。  

•  校園內多元化應用的需求  
    近幾年來(lái)互聯(lián)網(wǎng)的迅猛發(fā)展和應用普及，是當初網(wǎng)絡(luò )設計者們始料未及的。當前，許多高校都建設了校園網(wǎng)，將校園網(wǎng)上教學(xué)、網(wǎng)上自動(dòng)化辦公等應用與現有的以校園內刷卡消費、學(xué)生考勤管理為主的 IC 卡應用模式相融合，實(shí)現高校內多元化“一卡通應用”，是我們要解決的問(wèn)題。  

2、1 校園內網(wǎng)絡(luò )化教學(xué)的發(fā)展  
    以互聯(lián)網(wǎng)網(wǎng)絡(luò )技術(shù)為基礎，在高校網(wǎng)絡(luò )硬件設備日益提高、改善的條件下，實(shí)現網(wǎng)絡(luò )化教學(xué)——空中課堂已不再是師生們的美好夢(mèng)想，而且依托于網(wǎng)絡(luò )技術(shù)實(shí)現的現代化遠程教育系統將在我國未來(lái)教育領(lǐng)域中發(fā)揮更重要的作用。  

在校園網(wǎng)中，網(wǎng)絡(luò )化教育可有以下幾方面應用：  

•  網(wǎng)上教學(xué)  

    使用實(shí)時(shí)采集和發(fā)布設備，配合流媒體技術(shù)可以利用校園網(wǎng)來(lái)現場(chǎng)直播課堂教學(xué)，學(xué)生在校園網(wǎng)的任何一個(gè)接入點(diǎn)都能實(shí)時(shí)觀(guān)看；也可以將制作好的教學(xué)節目存儲到校園網(wǎng)的服務(wù)器上，學(xué)生可隨時(shí)從服務(wù)器上學(xué)習課程；使用流媒體技術(shù)制作的動(dòng)畫(huà)或演示可以直接插入到網(wǎng)頁(yè)中，學(xué)生可以使用校園網(wǎng)獲得帶有文字、圖像、聲音和視頻的多媒體演示文件，使教學(xué)過(guò)程生動(dòng)形象。而且，學(xué)生在課下可以通過(guò)互聯(lián)網(wǎng)按個(gè)人的興趣進(jìn)行學(xué)習，通過(guò)電子郵件提交所完成的作業(yè)，師生通過(guò) BBS 在網(wǎng)絡(luò )上進(jìn)行有關(guān)課程的自由討論等。  

•  在線(xiàn)考試  

    對于這個(gè)名詞每個(gè)大學(xué)生都不會(huì )陌生，在很多國外的培訓考試中早已用到，如流行的微軟 MCSE的認證考試等。我國高校一般在計算機類(lèi)課程的考試中多采取類(lèi)似模式。學(xué)生通過(guò)操作學(xué)校指定的計算機或在校方允許的情況下使用某一臺計算機，并進(jìn)行身份認證后在線(xiàn)進(jìn)行考試；考試用計算機從校內特定服務(wù)器的題庫中隨機抽取試題后，允許學(xué)生作答；考試結束后，計算機保存學(xué)生作答結果，并提交校內特定服務(wù)器的數據庫進(jìn)行處理。  

•  教師網(wǎng)上自動(dòng)化辦公  

    校園內各部門(mén)之間關(guān)于校內管理制度的制定、發(fā)布，教師網(wǎng)上判卷，并將學(xué)生考試的成績(jì)單發(fā)送給相關(guān)的學(xué)生管理部門(mén)等應用，都離不開(kāi)網(wǎng)上自動(dòng)化辦公系統的協(xié)助。  

    正當人們以各種方式使用著(zhù)互聯(lián)網(wǎng)，感受著(zhù)它給我們帶來(lái)的信息交流的快捷與方便的時(shí)候，由于最初的網(wǎng)絡(luò )協(xié)議的設計者們并沒(méi)有考慮到安全性的問(wèn)題，因而我們在設計校園網(wǎng)絡(luò )化教育系統的多種應用時(shí)，安全問(wèn)題成為了必須考慮的問(wèn)題。目前已建設的校園中，存在著(zhù)較多的安全漏洞，黑客攻擊學(xué)校內網(wǎng)絡(luò )服務(wù)器的事件也屢見(jiàn)不鮮。當今一名普通的計算機系大三的學(xué)生通過(guò)對相關(guān)網(wǎng)絡(luò )攻擊知識的學(xué)習，就可以成功侵入一臺安全級別較低的網(wǎng)絡(luò )服務(wù)器。  

    因此，為了保障校園內網(wǎng)絡(luò )化教育在互聯(lián)網(wǎng)上安全的實(shí)現，我們將 PKI技術(shù)引入網(wǎng)絡(luò )化教育中，為網(wǎng)絡(luò )安全提供基礎保障。  

2、2 PKI技術(shù)——網(wǎng)絡(luò )安全保障的基礎  
    PKI是Public Key Infrastructure（公開(kāi)密鑰基礎設施）的縮寫(xiě)，是一種普遍適用的網(wǎng)絡(luò )安全基礎設施。 實(shí)際上， PKI技術(shù)的組成包括安全政策、證書(shū)機構（CA）、注冊機構（RA）、證書(shū)分發(fā)系統、實(shí)現PKI的應用等主要系統。  

3 引入 PKI 技術(shù)的校園一卡通安全解決方案  

3、1 系統概述  
    校園一卡通應用系統是運用計算機網(wǎng)絡(luò )和通信技術(shù)，采用帶有 PKI 功能的雙界面 IC 卡作為數據交換介質(zhì)，以校園內部教職工、學(xué)生網(wǎng)上教學(xué)、辦公，以及師生在校刷卡消費、考勤管理、門(mén)禁管理等應用為主體，實(shí)現校園一卡通應用建設，提高高校辦學(xué)質(zhì)量，促進(jìn)我國現代化遠程教育系統的健康發(fā)展。  

    在現有校園網(wǎng)的基礎上，我們引入 PKI與IC卡技術(shù)，實(shí)現對登陸網(wǎng)絡(luò )教學(xué)系統的教職工、學(xué)生進(jìn)行身份驗證、并將一些在網(wǎng)絡(luò )中傳遞的敏感數據（如，學(xué)生在線(xiàn)考試的電子答卷，教師判卷的成績(jì)結果等）完成卡內數字簽名、加密等安全保護，完善網(wǎng)絡(luò )教學(xué)系統的安全管理機制，從而解決目前校園網(wǎng)存在的冒名登陸、截取并篡改網(wǎng)絡(luò )傳輸數據等各項安全隱患。此校園一卡通安全解決方案在非網(wǎng)絡(luò )應用部分與以往傳統應用模式相同。校內 師生使用 IC 卡在對應的 POS 機具上實(shí)現刷卡消費；在特定的辦公室或實(shí)驗室增加門(mén)禁控制器，利用 IC 卡實(shí)現人員考勤管理和人員出入控制。  

3、2 網(wǎng)絡(luò )教學(xué)應用系統架構  
   
•  Web服務(wù)器  

    Web 服務(wù)器上建立校方網(wǎng)站，并建立數據庫存放網(wǎng)絡(luò )教學(xué)所需教學(xué)課件、考試題庫等。采用完善的防火墻來(lái)確保校園內網(wǎng)絡(luò )應用的安全性。Web 服務(wù)器完成審核登錄人員的身份，使通過(guò)驗證的人員可以進(jìn)行網(wǎng)上教學(xué)，考試，辦公等工作，并將客戶(hù)端提交上來(lái)的簽名信息存儲到數據庫中的功能。  

•  應用系統：  

    主要完成校園內網(wǎng)上教學(xué)、在線(xiàn)考試、 網(wǎng)上自動(dòng)化辦公 等業(yè)務(wù)處理功能，將服務(wù)器端提交的各種信息經(jīng)過(guò)數據的真實(shí)性、完整性驗證后分發(fā)給后臺進(jìn)行相應的業(yè)務(wù)處理。  

•  銀行網(wǎng)關(guān)：  

    可提供在線(xiàn)支付功能，實(shí)現在線(xiàn)交費。  

•  CA（Certificate Authority）認證中心：  

    完成審核、發(fā)放 Web服務(wù)器證書(shū)、和教職工、學(xué)生身份證書(shū)，教職工、學(xué)生身份證書(shū)直接發(fā)到智能卡中。通過(guò)證書(shū)驗證可以確保網(wǎng)上教學(xué)、辦公時(shí)各方具有合法身份。  

•  客戶(hù)端：  

    讀卡器與計算機相連，并安裝驅動(dòng)軟件。校園內師生可以通過(guò)瀏覽器訪(fǎng)問(wèn)校園網(wǎng)，并通過(guò)校園一卡通卡實(shí)現身份鑒別，數字簽名等功能，進(jìn)行安全、放心的網(wǎng)上教學(xué)、辦公。  

 1、簽名、驗證及信息加解密模塊：  

    提供客戶(hù)端與服務(wù)器端對特定信息的簽名、驗證及加解密服務(wù)的標準接口，整個(gè)簽名、驗證及加解密過(guò)程對用戶(hù)透明。服務(wù)器端提供 COM組件接口和JavaBeans組件接口，分別適用于A(yíng)SP方式和JSP方式；客戶(hù)端提供ActiveX接口?？蛻?hù)端控件與服務(wù)器端組件需配合使用。  

2、日志：  

    客戶(hù)端和服務(wù)器端日志對簽名及驗證等活動(dòng)進(jìn)行記錄，以備日后查詢(xún)。服務(wù)器端可以獲取客戶(hù)端的日志信息（可選）。  

3、客戶(hù)端智能IC卡：  

    主要存儲用戶(hù)的證書(shū)信息、用戶(hù)的私鑰及一部分加密算法。提供了 PIN口令驗證機制，使用時(shí)要求用戶(hù)輸入PIN口令，若PIN口令輸入錯誤5 次，IC卡即自鎖死，必須到發(fā)卡中心解鎖或重新發(fā)卡才能繼續使用。PIN口令由用戶(hù)自行設定及更改?？蛻?hù)端可以兼容多種智能IC卡。  

4、發(fā)卡及證書(shū)服務(wù)中心：  

    負責處理校內師生的開(kāi)戶(hù)請求、生成并簽發(fā)用戶(hù)證書(shū)、 IC卡制作發(fā)放、證書(shū)的 備份 、證書(shū)的查詢(xún) 服務(wù)、用戶(hù)證書(shū)報廢，以及證書(shū)黑名單的發(fā)布等。 發(fā)卡及證書(shū)服務(wù)中心的管理員必須使用有相應權限的IC卡才能登錄，也可以設置多名管理員同時(shí)在場(chǎng)才能有效登錄的方式。  

5、服務(wù)器端加密硬件：  

   提供高強度的數據完整性驗證、數字簽名、簽名驗證及信息加解密服務(wù)。  

6、客戶(hù)端加密算法：  

   提供足夠強度的數據完整性驗證、數字簽名、簽名驗證及信息加解密服務(wù)。依據客戶(hù)端安全級別的不同，簽名、加密算法可在客戶(hù)端智能 IC卡內或卡外和系統工作平臺上完成提交給服務(wù)器端。  

7、客戶(hù)端及服務(wù)端的環(huán)境設置與管理：  

  提供對整個(gè)數據安全平臺運行環(huán)境進(jìn)行設置及管理的界面。  

3、3 CA中心的建立  
    數字證書(shū)是 PKI中最基本的元素，所有安全操作都主要通過(guò)證書(shū)來(lái)實(shí)現。而CA 中心正是簽置、頒發(fā)數字證書(shū)的證書(shū)機構，其重要的作用不言而喻。  

    但是，我們也應該看到一個(gè)各個(gè)方面完善的 CA認證中心的建立價(jià)格不菲，對于一所普通高校來(lái)說(shuō)資金上可能存在一定的困難，而且建立這樣一個(gè)CA認證中心在一所普通高校內部使用也發(fā)揮不了它真正的作用。從這一方面考慮，我個(gè)人建議：一方面，高?？膳c當地的政府和CA運營(yíng)商聯(lián)系，協(xié)商使用他們已經(jīng)建好的CA中心頒發(fā)校內數字證書(shū)；另一方面，高?？梢圆扇∈褂矛F有產(chǎn)品技術(shù)建立校內的功能完整的小型化簡(jiǎn)易CA頒發(fā)數字證書(shū)，如：微軟的CA證書(shū)服務(wù)系統。  

•  PKI 技術(shù)的校園一卡通產(chǎn)品選型  
    在我們?yōu)樾@一卡通產(chǎn)品選型的時(shí)候要充分的考慮到一卡多應用的需求，將操作簡(jiǎn)便、使用安全、攜帶方便的 IC產(chǎn)品及配套軟件推薦給高校。所以， 采用 握奇數據公司即將推出的 帶有 PKI 功能 的 雙界面 IC 卡作為數據交換介質(zhì) , 并在客戶(hù)端選用其提供的 WatchSAFE 網(wǎng)絡(luò )安全套件產(chǎn)品是理想的選擇。  

    帶有 PKI 功能 的 雙界面 IC 卡在原先雙界面 IC 卡芯片上增加了運算協(xié)處理器，使 此卡片具有支持非對稱(chēng)密碼算法，可在卡內生成 RSA密鑰對，并實(shí)現在卡內簽名、驗證、加密、解密等功能。  

    校園一卡通采用 帶有 PKI 功能 的雙界面卡，一方面，使用 IC卡非接觸式特點(diǎn)進(jìn)行 師生在校刷卡消費、考勤管理、門(mén)禁管理等應用；另一方面， 使用 IC卡接觸式特點(diǎn)進(jìn)行 校園內部教職工、學(xué)生網(wǎng)上教學(xué)、辦公 應用。  

    為了與 IC卡配合實(shí)現網(wǎng)絡(luò )教學(xué)應用系統的安全控制，我們需要相應的接口軟件來(lái)完成網(wǎng)上教學(xué)、辦公的客戶(hù)端瀏覽器與IC卡的銜接。當客戶(hù)端通過(guò)瀏覽器訪(fǎng)問(wèn)網(wǎng)頁(yè)，能夠讀取卡內的證書(shū)與Web服務(wù)器建立SSL（Secure Sockets Layers）安全通道，使用卡內私鑰完成簽名及對讀卡器、卡片的操作與讀寫(xiě)。  

•  結語(yǔ)  
    隨著(zhù) IC卡在不同領(lǐng)域的拓展，用戶(hù)也對IC卡技術(shù)提出了更高的要求，作為一種日趨成熟的技術(shù)，PKI技術(shù)將會(huì )逐步集成到更多的操作系統和應用中去，并實(shí)現對用戶(hù)的透明。利用PKI作為安全基礎平臺，使用數字證書(shū)實(shí)現網(wǎng)上各項工作的認證加密功能，必將是實(shí)現安全電子商務(wù)、政務(wù)的主要發(fā)展方向。將PKI技術(shù)發(fā)布的數字證書(shū)與IC卡技術(shù)巧妙結合后，提出的應用解決方案可以說(shuō)是安全級別最高的網(wǎng)絡(luò )安全應用解決方案。引入PKI技術(shù)的校園一卡通將在未來(lái)的教育領(lǐng)域中表現其強大的生命力，給校園的生活帶來(lái)新的變化。校園是社會(huì )的縮影，校園一卡通的順利實(shí)現也將為我國各行業(yè)實(shí)現真正意義的一卡通應用提供良好的模型與典范。