車兆東

摘 要 校園智能卡系統(tǒng)是數(shù)字化校園的基礎(chǔ)工程， 數(shù)字化校園是以校園網(wǎng)為依托。通過對校園智能卡系統(tǒng)在數(shù)字化校園中部署方式的分析可知，網(wǎng)絡(luò)虛擬化技術(shù)進行隔離的手段以及層次化的服務(wù)器安全部署方案，可以全方位的確保證校園智能卡系統(tǒng)的安全、可靠運行。

關(guān)鍵詞 校園網(wǎng)；智能卡；虛擬化；安全性；MPLS VPN

一、引言

校園智能卡系統(tǒng)是數(shù)字化校園的基礎(chǔ)工程，已經(jīng)逐漸成為數(shù)字化校園建設(shè)的基礎(chǔ)性標志，更是整個數(shù)字化校園的核心應(yīng)用項目。該系統(tǒng)代替了傳統(tǒng)的校園管理模式，給校園的日常管理、生活帶來了極大的方便。該系統(tǒng)不僅僅是單一的消費系統(tǒng)，它還具備管理功能，與學校管理信息系統(tǒng)無縫鏈接，并且具備身份識別功能，該系統(tǒng)既要為數(shù)字化校園提供數(shù)據(jù)平臺，又要為校內(nèi)消費提供安全可靠的金融平臺，必須確保系統(tǒng)在各方面的安全性能，防止和避免系統(tǒng)在任何可能遭受的攻擊和破壞下使用戶蒙受損失。數(shù)字化校園是以校園網(wǎng)為依托，因此，校園智能卡系統(tǒng)在校園網(wǎng)系統(tǒng)的安全問題也就變的至關(guān)重要。

二、智能卡系統(tǒng)的幾種部署方式

校園智能卡系統(tǒng)是一個必須具有銀行級別安全保障的重要的信息系統(tǒng)。目前，該系統(tǒng)在數(shù)字化校園中一般有三種部署方式：（2）與現(xiàn)有校園網(wǎng)混合；（2）使用與校園網(wǎng)物理隔離的專用網(wǎng)絡(luò)；（3）通過網(wǎng)絡(luò)虛擬化技術(shù)進行隔離。

第一種方式，與現(xiàn)有校園網(wǎng)混合。通過在網(wǎng)絡(luò)設(shè)備上設(shè)置VLAN、ACL（Access Control List，訪問控制列表，是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包）進行簡單的訪問控制，存在一定的安全風險。

第二種方式，使用與校園網(wǎng)物理隔離的專用網(wǎng)絡(luò)。通過專網(wǎng)把校園智能卡系統(tǒng)與校園網(wǎng)絡(luò)物理分開，安全性非常高，但是，需要另外購置專用的網(wǎng)絡(luò)設(shè)備，并且需要在校園內(nèi)另外鋪設(shè)光纖、雙絞線等綜合布線系統(tǒng)，建設(shè)一套獨立于校園網(wǎng)的校園智能卡系統(tǒng)專用網(wǎng)絡(luò)，花費比較大。

第三種方式，通過網(wǎng)絡(luò)虛擬化技術(shù)進行隔離的手段。雖然物理上，校園智能卡業(yè)務(wù)與其他校園網(wǎng)業(yè)務(wù)共用一套網(wǎng)絡(luò)設(shè)備，共用一套布線系統(tǒng)；但是邏輯上，通過各種虛擬化技術(shù)，校園智能卡業(yè)務(wù)和校園網(wǎng)中其他業(yè)務(wù)是完全隔離的，客戶端到服務(wù)器從混合網(wǎng)絡(luò)中隔離出來，路由表及轉(zhuǎn)發(fā)表與其他網(wǎng)絡(luò)完全隔離，還可以單獨對校園智能卡流量進行QOS（Quality of Service，服務(wù)質(zhì)量保障，是網(wǎng)絡(luò)的一種安全機制，用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)）控制。

三、智能卡系統(tǒng)的安全性分析

目前的校園智能卡系統(tǒng)大多采取第一種方式部署，有專門的校園智能卡網(wǎng)段，通過ACL與其他業(yè)務(wù)隔離。前置服務(wù)器負責發(fā)布信息到校園網(wǎng)，該服務(wù)器有兩個網(wǎng)卡，一個網(wǎng)卡與校園智能卡網(wǎng)段內(nèi)的客戶端互通，另一個網(wǎng)卡連接到校園網(wǎng)上，允許校園網(wǎng)用戶直接訪問這臺服務(wù)器，查詢校園智能卡的交易數(shù)據(jù)、個人信息。但是這種方式校園網(wǎng)用戶可以直接訪問到校園智能卡系統(tǒng)的核心服務(wù)器，存在一定的安全風險。

隨著網(wǎng)絡(luò)技術(shù)以及虛擬化技術(shù)的不斷發(fā)展，為確保校園智能卡系統(tǒng)的安全性建議采用第三種方式，通過網(wǎng)絡(luò)虛擬化技術(shù)進行隔離的手段，即通過網(wǎng)絡(luò)設(shè)備的虛擬化MPLS VPN（一種利用多協(xié)議標簽交換技術(shù)來產(chǎn)生虛擬專網(wǎng)的方法）技術(shù)來實現(xiàn)業(yè)務(wù)的安全隔離。這樣既可以保證安全，又可以節(jié)約資金。具體方式是將校園智能卡系統(tǒng)的服務(wù)器部署在校園網(wǎng)的中心機房，終端設(shè)備分散在校園內(nèi)的多個位置。

1.部署MPLS L3VPN

通過在中心機房核心設(shè)備上針對校園智能卡系統(tǒng)的網(wǎng)絡(luò)接口部署MPLS L3VPN，完成校園智能卡系統(tǒng)的網(wǎng)絡(luò)隔離。為了增加高可靠性，可在中心機房核心設(shè)備上開啟雙PE Multihoming（多宿主技術(shù)），當其中一臺設(shè)備出現(xiàn)問題時，MPLS VPN不受影響，校園智能卡業(yè)務(wù)不受影響。

MPLS L3VPN是服務(wù)提供商VPN解決方案中一種基于PE的L3VPN技術(shù)，它使用BGP（Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議）在服務(wù)提供商骨干網(wǎng)上發(fā)布VPN路由，使用MPLS在服務(wù)提供商骨干網(wǎng)上轉(zhuǎn)發(fā)VPN報文。

●CE（Customer Edge）設(shè)備：用戶網(wǎng)絡(luò)邊緣設(shè)備，有接口直接與SP（Service Provider，服務(wù)提供商）相連。CE可以是路由器或交換機，也可以是一臺主機。CE“感知”不到VPN的存在，也不需要必須支持MPLS。

●PE（Provider Edge）路由器：服務(wù)提供商邊緣路由器，是服務(wù)提供商網(wǎng)絡(luò)的邊緣設(shè)備，與用戶的CE直接相連。在MPLS網(wǎng)絡(luò)中，對VPN的所有處理都發(fā)生在PE上。

●P（Provider）路由器：服務(wù)提供商網(wǎng)絡(luò)中的骨干路由器，不與CE直接相連。P設(shè)備只需要具備基本MPLS轉(zhuǎn)發(fā)能力。

2.服務(wù)器的部署

校園智能卡系統(tǒng)服務(wù)器本身的安全防護，可以參照金融行業(yè)網(wǎng)上銀行的部署方式：用戶在通過互聯(lián)網(wǎng)訪問到網(wǎng)上銀行業(yè)務(wù)的時候，銀行只開放WEB服務(wù)器的80或者443端口，而WEB服務(wù)器只提供HTTP或者HTTPS的服務(wù)。所有網(wǎng)上銀行的應(yīng)用都由WEB服務(wù)器直接調(diào)用APP（應(yīng)用）服務(wù)器，而數(shù)據(jù)是由APP服務(wù)器調(diào)用DB（數(shù)據(jù)庫）服務(wù)器，整個業(yè)務(wù)系統(tǒng)在服務(wù)器層面分為三層，每個層次之間都有安全設(shè)備進行防護。

四、結(jié)論

通過以上分析可知，網(wǎng)絡(luò)虛擬化技術(shù)進行隔離的手段以及層次化的服務(wù)器安全部署方案，可以全方位的確保證校園智能卡系統(tǒng)在數(shù)字化校園中安全、可靠的運行。

參考文獻：

[1]杭州華三通信技術(shù)有限公司.MPLS L3VPN技術(shù)介紹. [DB/OL]，2011（11）.

[2]李雷.基于MPLS VPN的校園網(wǎng)多業(yè)務(wù)系統(tǒng)運用[J].中國教育信息化，2011，（2）：19-21.