校園一卡通系統的規范化部署方案

2011-01-09 06:27:00張瑩

科技傳播 2011年15期

關鍵詞：安全性數據庫校園

張瑩

長春市工業機械學校，吉林長春 30011

校園一卡通系統的規范化部署方案

張瑩

長春市工業機械學校，吉林長春 30011

隨著一卡通系統在校園內廣泛應用，合理和安全的部署方案顯得越來越重要。本文針對這兩點問題進行了詳細的闡述，意在使校園一卡通系統的可擴展性、可維護性、可信賴性有所提升。

一卡通；規范化設計；系統安全

隨著信息集成化時代的到來，一卡通對校園生活快捷化和簡單化的推進作用越來越明顯。而智能IC技術的日趨成熟，為校園一卡通建設提供了保障。目前校園卡主要應用包含學生證卡、食堂飯卡、開水卡、用電卡、節水控制卡、圖書借閱卡、銀行卡以及電話卡等應用。如何合理的部署該系統，直接涉及到管理和應用的方便性、系統的安全性以及數據的準確性等問題，因此我們從硬件、軟件和安全三個方面展開設計。

1 硬件方面

數據庫服務器使用兩臺基于UNIX系統的IBM P6 570小型機，一臺陣列。兩臺小型機共享一臺磁盤陣列，陣列使用安全性較高的RAID5。前置機服務器全部使用基于LINUX系統的IBM3650。均采用雙網卡工作方式，一個負責與數據庫服務器通訊，另外一個負責與終端機通訊。為了保證數據庫服務器的安全性，與數據庫服務器通訊的前置機網卡IP一律使用C類地址192.168.0.1～192.168.0.255。與校園網終端通訊的網卡則配置接入校園網VLAN的獨立IP地址段。這樣前置機可以啟到防火墻作用，阻止黑客對數據中心的直接攻擊。負責圈存業務的轉賬服務器與銀行數據中心采用專線互聯，服務器不直接連入校園網，只允許前置機服務器直接訪問。所有終端機則配以加密狗，確保通訊數據流的安全性。

圖1 系統總拓撲圖

2 軟件方面

軟件系統采用三層架構的形式，分別為數據庫/前置機/終端機。按功能可分為操作系統、數據庫系統、服務器端應用軟件、終端機應用軟件。為了方便一卡通功能擴充，軟件在架構上必須分為系統管理層和工作站子系統層。由系統管理中心統一管理各個應用子系統，各個子系統可以靈活由用戶定制，用戶可以自己開發子系統加入一卡通系統。

為了確保穩定性和安全性，數據庫服務器將使用較為穩定的UNIX（AIX6）操作系統，并裝載HA熱備系統。數據庫系統使用oracle10gr2，選擇oracle數據庫是因為在海量數據處理、災難恢復、數據備份等方面該系統具有極高的可靠性和穩定性，而且久經市場考驗，是被廣泛認可的數據中心應用平臺。數據庫系統的應用文件安裝在每臺小型中，庫文件系統則只安裝在磁盤陣列中，實現了數據統一性管理。

前置機服務器將使用LINUX(REDHAT9)和windows2003操作系統。前置機系統是直接于數據庫通訊的服務器，負責與終端機、接口和數據庫的數據加密、解密、密匙分配、數據中轉，日結等工作。因此前置機中將安裝MYSQL、SQLSERVER等中型數據庫，作為保存緩沖數據之用。

綜合業務前置機服務器中安裝了綜合業務管理中心系統。綜合業務管理中心是整個系統應用管理和安全的核心，負責系統密鑰的生成和管理以及整個系統中心數據庫的維護和管理，同時負責接處理所有交易流水，并定期進行結算。管理中心終端可以管理所有系統操作人員信息、負責分配子系統操作員權限、統計和處理消費記錄、負責所有設備的添加刪除等等功能。同時系統管理中心還負責整個系統安全管理、系統運行監控等工作。身份認證前置機中安裝了身份認證系統，主要負責校驗和查詢持卡人詳細信息，主要負責與會議簽到、考勤等系統的通訊工作。

通訊方面系統以校園網作為系統網絡的基礎，這樣做可以節約成本，不二次布線帶來工程上的巨大開銷。缺點是安全性面臨挑戰。路由方面采用劃分VLAN 的方法，VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬路由的新興數據交換技術。采用VLAN技術可以簡化網絡管理，并增強網絡的安全性。實施中將所有一卡通系統的計算機全部接入校園主干網，然后采用VLAN技術將一卡通系統的計算機從校園網中劃分到一個VLAN中，以達到一卡通網絡與校園網邏輯上分開，互相不能訪問。為了進一步確保安全性我們還通過設置交換機的access-list對VLAN做了相應安全控制，只開放系統通訊必須用到的端口，杜絕黑客利用系統可能存在的后門進行攻擊。

3 安全方面

小型機采用雙機熱備份的設計，可確保數據庫系統在意外情況下不間斷工作。前置機服務器中建立中型數據庫，可以用于緩沖用戶身份信息，并保存所有操作日志。交易流水網關可以在斷網情況下保存一周的交易流水數據，因此即便出現網絡故障或服務器故障時，消費終端仍然可以繼續工作，數據都會保存在各個讀寫終端中，一但網絡恢復，所有數據將會自動回送至系統中心數據庫。避免了影響師生餐飲和日常生活的需要。由于校園IC 卡中存儲有個人的身份識別和賬目信息，系統可以將IC 卡中的個人信息恢復到一卡通系統數據庫中，重新建立個人的身份識別和賬目信息。如果賬目信息不匹配，系統可以通過平賬處理，取最低消費記錄為原則，使用戶賬目信息同步。同時可以最大程度的恢復系統各種賬目信息，將損失降到最低點。在數據通訊方面，為了保證數據傳輸的安全性，我們在通訊的過程中，使用3DES方法不斷變換加密密鑰，對數據包進行加密，保證了數據通信的安全性。

通過對問題的深入分析、合理的設計和部署，我們基本可以實現集管理的規范性、安全性、開放性于一體的校園一卡通系統。全面促進了校園信息化的建設,構建了優良的數字空間和信息共享環境。努力提升校園一卡通系統的安全性，將規范化設計原則應用到校園一卡通系統項目實施當中，方可逐漸擴大校園一卡通系統應用的領域。

[1]劉恩軍，王克生，孫桂江.校園一卡通系統安全策略的研究[J].網絡通訊及安全，2010(8)：6170-6171.

[2]王洪軍.淺談高校一卡通系統的數據安全[J].科技創新導報，2010，24.

[3]何大為，李曉航.多功能IC卡系統設計與系統安全性[J].計算機應用，1999，9.

TN91

1674-6708（2011）48-0207-02