引入PKI技术的校园一卡通应用
文章出处:http://www.singbon.com 作者:北京握奇数据 胡鹏 人气: 发表时间:2011年11月28日
• 引言
校园作为 IC卡重要的一个应用领域,在推动我国IC卡发展中起到了不可或缺的作用。目前,我国大多数校园利用IC卡技术已经实现了对教职工、学生的学习、生活等各方面的管理,如:师生在校园食堂内刷卡就餐;学校发放学生卡管理学生考勤;校内图书馆使用IC卡管理图书借阅等。各高校由于其应用模式的不同,使用的卡片也有所不同,从早期的光卡到磁卡以至目前在各校园普遍使用的IC卡,校园卡也走过了一段不断升级的过程。随着高校对实现真正意义上的“校园一卡通应用”的呼声越来越高,特别是今年我国经受过“非典”疫情的严重影响,各高校利用互联网并结合IC卡技术保证校内师生正常工作、学习、生活的应用需求越来越迫切,如何选取更加安全,更加方便的IC卡作为校园一卡通应用实体已是教育 领域广泛关注的一个话题 。
• 校园内多元化应用的需求
近几年来互联网的迅猛发展和应用普及,是当初网络设计者们始料未及的。当前,许多高校都建设了校园网,将校园网上教学、网上自动化办公等应用与现有的以校园内刷卡消费、学生考勤管理为主的 IC 卡应用模式相融合,实现高校内多元化“一卡通应用”,是我们要解决的问题。
2、1 校园内网络化教学的发展
以互联网网络技术为基础,在高校网络硬件设备日益提高、改善的条件下,实现网络化教学——空中课堂已不再是师生们的美好梦想,而且依托于网络技术实现的现代化远程教育系统将在我国未来教育领域中发挥更重要的作用。
在校园网中,网络化教育可有以下几方面应用:
• 网上教学
使用实时采集和发布设备,配合流媒体技术可以利用校园网来现场直播课堂教学,学生在校园网的任何一个接入点都能实时观看;也可以将制作好的教学节目存储到校园网的服务器上,学生可随时从服务器上学习课程;使用流媒体技术制作的动画或演示可以直接插入到网页中,学生可以使用校园网获得带有文字、图像、声音和视频的多媒体演示文件,使教学过程生动形象。而且,学生在课下可以通过互联网按个人的兴趣进行学习,通过电子邮件提交所完成的作业,师生通过 BBS 在网络上进行有关课程的自由讨论等。
• 在线考试
对于这个名词每个大学生都不会陌生,在很多国外的培训考试中早已用到,如流行的微软 MCSE的认证考试等。我国高校一般在计算机类课程的考试中多采取类似模式。学生通过操作学校指定的计算机或在校方允许的情况下使用某一台计算机,并进行身份认证后在线进行考试;考试用计算机从校内特定服务器的题库中随机抽取试题后,允许学生作答;考试结束后,计算机保存学生作答结果,并提交校内特定服务器的数据库进行处理。
• 教师网上自动化办公
校园内各部门之间关于校内管理制度的制定、发布,教师网上判卷,并将学生考试的成绩单发送给相关的学生管理部门等应用,都离不开网上自动化办公系统的协助。
正当人们以各种方式使用着互联网,感受着它给我们带来的信息交流的快捷与方便的时候,由于最初的网络协议的设计者们并没有考虑到安全性的问题,因而我们在设计校园网络化教育系统的多种应用时,安全问题成为了必须考虑的问题。目前已建设的校园中,存在着较多的安全漏洞,黑客攻击学校内网络服务器的事件也屡见不鲜。当今一名普通的计算机系大三的学生通过对相关网络攻击知识的学习,就可以成功侵入一台安全级别较低的网络服务器。
因此,为了保障校园内网络化教育在互联网上安全的实现,我们将 PKI技术引入网络化教育中,为网络安全提供基础保障。
2、2 PKI技术——网络安全保障的基础
PKI是Public Key Infrastructure(公开密钥基础设施)的缩写,是一种普遍适用的网络安全基础设施。 实际上, PKI技术的组成包括安全政策、证书机构(CA)、注册机构(RA)、证书分发系统、实现PKI的应用等主要系统。
3 引入 PKI 技术的校园一卡通安全解决方案
3、1 系统概述
校园一卡通应用系统是运用计算机网络和通信技术,采用带有 PKI 功能的双界面 IC 卡作为数据交换介质,以校园内部教职工、学生网上教学、办公,以及师生在校刷卡消费、考勤管理、门禁管理等应用为主体,实现校园一卡通应用建设,提高高校办学质量,促进我国现代化远程教育系统的健康发展。
在现有校园网的基础上,我们引入 PKI与IC卡技术,实现对登陆网络教学系统的教职工、学生进行身份验证、并将一些在网络中传递的敏感数据(如,学生在线考试的电子答卷,教师判卷的成绩结果等)完成卡内数字签名、加密等安全保护,完善网络教学系统的安全管理机制,从而解决目前校园网存在的冒名登陆、截取并篡改网络传输数据等各项安全隐患。此校园一卡通安全解决方案在非网络应用部分与以往传统应用模式相同。校内 师生使用 IC 卡在对应的 POS 机具上实现刷卡消费;在特定的办公室或实验室增加门禁控制器,利用 IC 卡实现人员考勤管理和人员出入控制。
3、2 网络教学应用系统架构
• Web服务器
Web 服务器上建立校方网站,并建立数据库存放网络教学所需教学课件、考试题库等。采用完善的防火墙来确保校园内网络应用的安全性。Web 服务器完成审核登录人员的身份,使通过验证的人员可以进行网上教学,考试,办公等工作,并将客户端提交上来的签名信息存储到数据库中的功能。
• 应用系统:
主要完成校园内网上教学、在线考试、 网上自动化办公 等业务处理功能,将服务器端提交的各种信息经过数据的真实性、完整性验证后分发给后台进行相应的业务处理。
• 银行网关:
可提供在线支付功能,实现在线交费。
• CA(Certificate Authority)认证中心:
完成审核、发放 Web服务器证书、和教职工、学生身份证书,教职工、学生身份证书直接发到智能卡中。通过证书验证可以确保网上教学、办公时各方具有合法身份。
• 客户端:
读卡器与计算机相连,并安装驱动软件。校园内师生可以通过浏览器访问校园网,并通过校园一卡通卡实现身份鉴别,数字签名等功能,进行安全、放心的网上教学、办公。
1、签名、验证及信息加解密模块:
提供客户端与服务器端对特定信息的签名、验证及加解密服务的标准接口,整个签名、验证及加解密过程对用户透明。服务器端提供 COM组件接口和JavaBeans组件接口,分别适用于ASP方式和JSP方式;客户端提供ActiveX接口。客户端控件与服务器端组件需配合使用。
2、日志:
客户端和服务器端日志对签名及验证等活动进行记录,以备日后查询。服务器端可以获取客户端的日志信息(可选)。
3、客户端智能IC卡:
主要存储用户的证书信息、用户的私钥及一部分加密算法。提供了 PIN口令验证机制,使用时要求用户输入PIN口令,若PIN口令输入错误5 次,IC卡即自锁死,必须到发卡中心解锁或重新发卡才能继续使用。PIN口令由用户自行设定及更改。客户端可以兼容多种智能IC卡。
4、发卡及证书服务中心:
负责处理校内师生的开户请求、生成并签发用户证书、 IC卡制作发放、证书的 备份 、证书的查询 服务、用户证书报废,以及证书黑名单的发布等。 发卡及证书服务中心的管理员必须使用有相应权限的IC卡才能登录,也可以设置多名管理员同时在场才能有效登录的方式。
5、服务器端加密硬件:
提供高强度的数据完整性验证、数字签名、签名验证及信息加解密服务。
6、客户端加密算法:
提供足够强度的数据完整性验证、数字签名、签名验证及信息加解密服务。依据客户端安全级别的不同,签名、加密算法可在客户端智能 IC卡内或卡外和系统工作平台上完成提交给服务器端。
7、客户端及服务端的环境设置与管理:
提供对整个数据安全平台运行环境进行设置及管理的界面。
3、3 CA中心的建立
数字证书是 PKI中最基本的元素,所有安全操作都主要通过证书来实现。而CA 中心正是签置、颁发数字证书的证书机构,其重要的作用不言而喻。
但是,我们也应该看到一个各个方面完善的 CA认证中心的建立价格不菲,对于一所普通高校来说资金上可能存在一定的困难,而且建立这样一个CA认证中心在一所普通高校内部使用也发挥不了它真正的作用。从这一方面考虑,我个人建议:一方面,高校可与当地的政府和CA运营商联系,协商使用他们已经建好的CA中心颁发校内数字证书;另一方面,高校可以采取使用现有产品技术建立校内的功能完整的小型化简易CA颁发数字证书,如:微软的CA证书服务系统。
• PKI 技术的校园一卡通产品选型
在我们为校园一卡通产品选型的时候要充分的考虑到一卡多应用的需求,将操作简便、使用安全、携带方便的 IC产品及配套软件推荐给高校。所以, 采用 握奇数据公司即将推出的 带有 PKI 功能 的 双界面 IC 卡作为数据交换介质 , 并在客户端选用其提供的 WatchSAFE 网络安全套件产品是理想的选择。
带有 PKI 功能 的 双界面 IC 卡在原先双界面 IC 卡芯片上增加了运算协处理器,使 此卡片具有支持非对称密码算法,可在卡内生成 RSA密钥对,并实现在卡内签名、验证、加密、解密等功能。
校园一卡通采用 带有 PKI 功能 的双界面卡,一方面,使用 IC卡非接触式特点进行 师生在校刷卡消费、考勤管理、门禁管理等应用;另一方面, 使用 IC卡接触式特点进行 校园内部教职工、学生网上教学、办公 应用。
为了与 IC卡配合实现网络教学应用系统的安全控制,我们需要相应的接口软件来完成网上教学、办公的客户端浏览器与IC卡的衔接。当客户端通过浏览器访问网页,能够读取卡内的证书与Web服务器建立SSL(Secure Sockets Layers)安全通道,使用卡内私钥完成签名及对读卡器、卡片的操作与读写。
• 结语
随着 IC卡在不同领域的拓展,用户也对IC卡技术提出了更高的要求,作为一种日趋成熟的技术,PKI技术将会逐步集成到更多的操作系统和应用中去,并实现对用户的透明。利用PKI作为安全基础平台,使用数字证书实现网上各项工作的认证加密功能,必将是实现安全电子商务、政务的主要发展方向。将PKI技术发布的数字证书与IC卡技术巧妙结合后,提出的应用解决方案可以说是安全级别最高的网络安全应用解决方案。引入PKI技术的校园一卡通将在未来的教育领域中表现其强大的生命力,给校园的生活带来新的变化。校园是社会的缩影,校园一卡通的顺利实现也将为我国各行业实现真正意义的一卡通应用提供良好的模型与典范。