引入PKI技術的校園一卡通應用

文章出處：http://www.lvewoqa.cn 作者：北京握奇數據 胡鵬  

•  引言  
    校園作為 IC卡重要的一個應用領域，在推動我國IC卡發展中起到了不可或缺的作用。目前，我國大多數校園利用IC卡技術已經實現了對教職工、學生的學習、生活等各方面的管理，如：師生在校園食堂內刷卡就餐；學校發放學生卡管理學生考勤；校內圖書館使用IC卡管理圖書借閱等。各高校由于其應用模式的不同，使用的卡片也有所不同，從早期的光卡到磁卡以至目前在各校園普遍使用的IC卡，校園卡也走過了一段不斷升級的過程。隨著高校對實現真正意義上的“校園一卡通應用”的呼聲越來越高，特別是今年我國經受過“非典”疫情的嚴重影響，各高校利用互聯網并結合IC卡技術保證校內師生正常工作、學習、生活的應用需求越來越迫切，如何選取更加安全，更加方便的IC卡作為校園一卡通應用實體已是教育 領域廣泛關注的一個話題 。  

•  校園內多元化應用的需求  
    近幾年來互聯網的迅猛發展和應用普及，是當初網絡設計者們始料未及的。當前，許多高校都建設了校園網，將校園網上教學、網上自動化辦公等應用與現有的以校園內刷卡消費、學生考勤管理為主的 IC 卡應用模式相融合，實現高校內多元化“一卡通應用”，是我們要解決的問題。  

2、1 校園內網絡化教學的發展  
    以互聯網網絡技術為基礎，在高校網絡硬件設備日益提高、改善的條件下，實現網絡化教學——空中課堂已不再是師生們的美好夢想，而且依托于網絡技術實現的現代化遠程教育系統將在我國未來教育領域中發揮更重要的作用。  

在校園網中，網絡化教育可有以下幾方面應用：  

•  網上教學  

    使用實時采集和發布設備，配合流媒體技術可以利用校園網來現場直播課堂教學，學生在校園網的任何一個接入點都能實時觀看；也可以將制作好的教學節目存儲到校園網的服務器上，學生可隨時從服務器上學習課程；使用流媒體技術制作的動畫或演示可以直接插入到網頁中，學生可以使用校園網獲得帶有文字、圖像、聲音和視頻的多媒體演示文件，使教學過程生動形象。而且，學生在課下可以通過互聯網按個人的興趣進行學習，通過電子郵件提交所完成的作業，師生通過 BBS 在網絡上進行有關課程的自由討論等。  

•  在線考試  

    對于這個名詞每個大學生都不會陌生，在很多國外的培訓考試中早已用到，如流行的微軟 MCSE的認證考試等。我國高校一般在計算機類課程的考試中多采取類似模式。學生通過操作學校指定的計算機或在校方允許的情況下使用某一臺計算機，并進行身份認證后在線進行考試；考試用計算機從校內特定服務器的題庫中隨機抽取試題后，允許學生作答；考試結束后，計算機保存學生作答結果，并提交校內特定服務器的數據庫進行處理。  

•  教師網上自動化辦公  

    校園內各部門之間關于校內管理制度的制定、發布，教師網上判卷，并將學生考試的成績單發送給相關的學生管理部門等應用，都離不開網上自動化辦公系統的協助。  

    正當人們以各種方式使用著互聯網，感受著它給我們帶來的信息交流的快捷與方便的時候，由于最初的網絡協議的設計者們并沒有考慮到安全性的問題，因而我們在設計校園網絡化教育系統的多種應用時，安全問題成為了必須考慮的問題。目前已建設的校園中，存在著較多的安全漏洞，黑客攻擊學校內網絡服務器的事件也屢見不鮮。當今一名普通的計算機系大三的學生通過對相關網絡攻擊知識的學習，就可以成功侵入一臺安全級別較低的網絡服務器。  

    因此，為了保障校園內網絡化教育在互聯網上安全的實現，我們將 PKI技術引入網絡化教育中，為網絡安全提供基礎保障。  

2、2 PKI技術——網絡安全保障的基礎  
    PKI是Public Key Infrastructure（公開密鑰基礎設施）的縮寫，是一種普遍適用的網絡安全基礎設施。 實際上， PKI技術的組成包括安全政策、證書機構（CA）、注冊機構（RA）、證書分發系統、實現PKI的應用等主要系統。  

3 引入 PKI 技術的校園一卡通安全解決方案  

3、1 系統概述  
    校園一卡通應用系統是運用計算機網絡和通信技術，采用帶有 PKI 功能的雙界面 IC 卡作為數據交換介質，以校園內部教職工、學生網上教學、辦公，以及師生在校刷卡消費、考勤管理、門禁管理等應用為主體，實現校園一卡通應用建設，提高高校辦學質量，促進我國現代化遠程教育系統的健康發展。  

    在現有校園網的基礎上，我們引入 PKI與IC卡技術，實現對登陸網絡教學系統的教職工、學生進行身份驗證、并將一些在網絡中傳遞的敏感數據（如，學生在線考試的電子答卷，教師判卷的成績結果等）完成卡內數字簽名、加密等安全保護，完善網絡教學系統的安全管理機制，從而解決目前校園網存在的冒名登陸、截取并篡改網絡傳輸數據等各項安全隱患。此校園一卡通安全解決方案在非網絡應用部分與以往傳統應用模式相同。校內 師生使用 IC 卡在對應的 POS 機具上實現刷卡消費；在特定的辦公室或實驗室增加門禁控制器，利用 IC 卡實現人員考勤管理和人員出入控制。  

3、2 網絡教學應用系統架構  
   
•  Web服務器  

    Web 服務器上建立校方網站，并建立數據庫存放網絡教學所需教學課件、考試題庫等。采用完善的防火墻來確保校園內網絡應用的安全性。Web 服務器完成審核登錄人員的身份，使通過驗證的人員可以進行網上教學，考試，辦公等工作，并將客戶端提交上來的簽名信息存儲到數據庫中的功能。  

•  應用系統：  

    主要完成校園內網上教學、在線考試、 網上自動化辦公 等業務處理功能，將服務器端提交的各種信息經過數據的真實性、完整性驗證后分發給后臺進行相應的業務處理。  

•  銀行網關：  

    可提供在線支付功能，實現在線交費。  

•  CA（Certificate Authority）認證中心：  

    完成審核、發放 Web服務器證書、和教職工、學生身份證書，教職工、學生身份證書直接發到智能卡中。通過證書驗證可以確保網上教學、辦公時各方具有合法身份。  

•  客戶端：  

    讀卡器與計算機相連，并安裝驅動軟件。校園內師生可以通過瀏覽器訪問校園網，并通過校園一卡通卡實現身份鑒別，數字簽名等功能，進行安全、放心的網上教學、辦公。  

 1、簽名、驗證及信息加解密模塊：  

    提供客戶端與服務器端對特定信息的簽名、驗證及加解密服務的標準接口，整個簽名、驗證及加解密過程對用戶透明。服務器端提供 COM組件接口和JavaBeans組件接口，分別適用于ASP方式和JSP方式；客戶端提供ActiveX接口。客戶端控件與服務器端組件需配合使用。  

2、日志：  

    客戶端和服務器端日志對簽名及驗證等活動進行記錄，以備日后查詢。服務器端可以獲取客戶端的日志信息（可選）。  

3、客戶端智能IC卡：  

    主要存儲用戶的證書信息、用戶的私鑰及一部分加密算法。提供了 PIN口令驗證機制，使用時要求用戶輸入PIN口令，若PIN口令輸入錯誤5 次，IC卡即自鎖死，必須到發卡中心解鎖或重新發卡才能繼續使用。PIN口令由用戶自行設定及更改。客戶端可以兼容多種智能IC卡。  

4、發卡及證書服務中心：  

    負責處理校內師生的開戶請求、生成并簽發用戶證書、 IC卡制作發放、證書的 備份 、證書的查詢 服務、用戶證書報廢，以及證書黑名單的發布等。 發卡及證書服務中心的管理員必須使用有相應權限的IC卡才能登錄，也可以設置多名管理員同時在場才能有效登錄的方式。  

5、服務器端加密硬件：  

   提供高強度的數據完整性驗證、數字簽名、簽名驗證及信息加解密服務。  

6、客戶端加密算法：  

   提供足夠強度的數據完整性驗證、數字簽名、簽名驗證及信息加解密服務。依據客戶端安全級別的不同，簽名、加密算法可在客戶端智能 IC卡內或卡外和系統工作平臺上完成提交給服務器端。  

7、客戶端及服務端的環境設置與管理：  

  提供對整個數據安全平臺運行環境進行設置及管理的界面。  

3、3 CA中心的建立  
    數字證書是 PKI中最基本的元素，所有安全操作都主要通過證書來實現。而CA 中心正是簽置、頒發數字證書的證書機構，其重要的作用不言而喻。  

    但是，我們也應該看到一個各個方面完善的 CA認證中心的建立價格不菲，對于一所普通高校來說資金上可能存在一定的困難，而且建立這樣一個CA認證中心在一所普通高校內部使用也發揮不了它真正的作用。從這一方面考慮，我個人建議：一方面，高校可與當地的政府和CA運營商聯系，協商使用他們已經建好的CA中心頒發校內數字證書；另一方面，高校可以采取使用現有產品技術建立校內的功能完整的小型化簡易CA頒發數字證書，如：微軟的CA證書服務系統。  

•  PKI 技術的校園一卡通產品選型  
    在我們為校園一卡通產品選型的時候要充分的考慮到一卡多應用的需求，將操作簡便、使用安全、攜帶方便的 IC產品及配套軟件推薦給高校。所以， 采用 握奇數據公司即將推出的 帶有 PKI 功能 的 雙界面 IC 卡作為數據交換介質 , 并在客戶端選用其提供的 WatchSAFE 網絡安全套件產品是理想的選擇。  

    帶有 PKI 功能 的 雙界面 IC 卡在原先雙界面 IC 卡芯片上增加了運算協處理器，使 此卡片具有支持非對稱密碼算法，可在卡內生成 RSA密鑰對，并實現在卡內簽名、驗證、加密、解密等功能。  

    校園一卡通采用 帶有 PKI 功能 的雙界面卡，一方面，使用 IC卡非接觸式特點進行 師生在校刷卡消費、考勤管理、門禁管理等應用；另一方面， 使用 IC卡接觸式特點進行 校園內部教職工、學生網上教學、辦公 應用。  

    為了與 IC卡配合實現網絡教學應用系統的安全控制，我們需要相應的接口軟件來完成網上教學、辦公的客戶端瀏覽器與IC卡的銜接。當客戶端通過瀏覽器訪問網頁，能夠讀取卡內的證書與Web服務器建立SSL（Secure Sockets Layers）安全通道，使用卡內私鑰完成簽名及對讀卡器、卡片的操作與讀寫。  

•  結語  
    隨著 IC卡在不同領域的拓展，用戶也對IC卡技術提出了更高的要求，作為一種日趨成熟的技術，PKI技術將會逐步集成到更多的操作系統和應用中去，并實現對用戶的透明。利用PKI作為安全基礎平臺，使用數字證書實現網上各項工作的認證加密功能，必將是實現安全電子商務、政務的主要發展方向。將PKI技術發布的數字證書與IC卡技術巧妙結合后，提出的應用解決方案可以說是安全級別最高的網絡安全應用解決方案。引入PKI技術的校園一卡通將在未來的教育領域中表現其強大的生命力，給校園的生活帶來新的變化。校園是社會的縮影，校園一卡通的順利實現也將為我國各行業實現真正意義的一卡通應用提供良好的模型與典范。