淺析校園一卡通的數(shù)據(jù)傳輸平臺(tái)

摘 要:近年來(lái)，校園一卡通在高校中逐漸普及。本文針對(duì)校園一卡通的數(shù)據(jù)傳輸平臺(tái)，作了簡(jiǎn)要的分析。

關(guān)鍵詞:校園一卡通; 數(shù)據(jù)傳輸

中圖分類(lèi)號(hào):TP393.18 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-3315(2010)6-129-001

隨著我國(guó)校園數(shù)字化、信息化建設(shè)的不斷深入，信息資源的整合逐漸進(jìn)入了規(guī)劃和實(shí)施階段。目前很多學(xué)校正建設(shè)相關(guān)的MIS和應(yīng)用系統(tǒng)來(lái)統(tǒng)一身份認(rèn)證、人事、學(xué)工等。結(jié)合校園一卡通，通過(guò)共同的身份認(rèn)證機(jī)制，實(shí)現(xiàn)數(shù)據(jù)管理的集成與共享，成為校園信息化建設(shè)的有機(jī)組成部分。這樣的有機(jī)結(jié)合可以提高建設(shè)進(jìn)度，避免重復(fù)投入，很好地實(shí)現(xiàn)了系統(tǒng)間的資源共享[1]。

目前，校園一卡通主要實(shí)現(xiàn)了身份認(rèn)證、電子錢(qián)包等功能。通過(guò)結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、單片機(jī)微電子等技術(shù)，可以代替校園內(nèi)的傳統(tǒng)證件，如學(xué)生證、工作證、借書(shū)證、上機(jī)證以及一些和現(xiàn)金消費(fèi)有關(guān)的就餐卡、醫(yī)療卡等，達(dá)到了校園日常管理和教學(xué)的全面網(wǎng)絡(luò)化和數(shù)字化。由此可以看出，校園一卡通建設(shè)也是未來(lái)高校數(shù)字化發(fā)展的必然趨勢(shì)。

網(wǎng)絡(luò)建設(shè)中，校園一卡通主要運(yùn)用了三種數(shù)據(jù)傳輸平臺(tái)，即VLAN技術(shù)、IPSEC技術(shù)和物理專(zhuān)網(wǎng)技術(shù)，下邊就這3種技術(shù)的特點(diǎn)和運(yùn)用做一些探討。

一、VLAN技術(shù)

VLAN(Virtual Local Area Network)的中文名為“虛擬局域網(wǎng)”，是一種將局域網(wǎng)設(shè)備從邏輯上劃分成獨(dú)立網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。

目前，眾多集成公司建設(shè)校園一卡通首選校園VLAN技術(shù)。其主要原因是由于目前各高校校園網(wǎng)功能比較完善，大多采用了虛擬網(wǎng)絡(luò)技術(shù)，具備較強(qiáng)的防火墻保護(hù)功能。具體實(shí)施方面，首先要從校園網(wǎng)的VLAN中劃出一個(gè)專(zhuān)用虛擬網(wǎng)分配給一卡通。為了保證一卡通的虛擬網(wǎng)邏輯上和校園網(wǎng)分開(kāi)，必須取消一卡通的虛擬網(wǎng)和其他校園網(wǎng)用戶(hù)之間的路由功能。考慮到校園一卡通專(zhuān)網(wǎng)的安全性，還應(yīng)該利用虛擬網(wǎng)將分布在不同網(wǎng)絡(luò)節(jié)點(diǎn)的工作站和主機(jī)接入到一卡通管理系統(tǒng)中。一卡通專(zhuān)網(wǎng)可以通過(guò)雙網(wǎng)卡網(wǎng)關(guān)或者是防火墻與校園網(wǎng)連接，這樣全校師生就可以進(jìn)行基于WEB的查詢(xún)。同時(shí)，校園一卡通系統(tǒng)還可以提供實(shí)時(shí)的銀聯(lián)服務(wù)，方法是將一卡通專(zhuān)網(wǎng)經(jīng)路由器與銀行進(jìn)行聯(lián)網(wǎng)。

校園一卡通的虛擬專(zhuān)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和單獨(dú)組網(wǎng)的方式是一樣的，采用隔離方式管理起來(lái)比較靈活。同時(shí)也易于實(shí)現(xiàn)，不用單獨(dú)投資，增加額外費(fèi)用。

雖然采用VLAN技術(shù)構(gòu)建的校園一卡通系統(tǒng)更加安全、方便，但是也存在一些缺陷。比如在虛擬網(wǎng)絡(luò)中透?jìng)鞯姆绞讲痪邆漭^好的可擴(kuò)展性。一方面，為了部署一卡通終端，必須將VLAN及時(shí)地部署到交換機(jī)上;另一方面網(wǎng)絡(luò)配置的工作量隨著終端的增加而增加，從而造成廣播風(fēng)暴的可能性隨著二層網(wǎng)絡(luò)范圍的擴(kuò)大而增加。由于校園網(wǎng)中存在多種多樣的網(wǎng)絡(luò)設(shè)備，快速鏈路恢復(fù)機(jī)制無(wú)法在二層上使用。即使目前存在一些二層保護(hù)協(xié)議，但其中一部分收斂速度較慢，如STP;還有一部分不能被全部廠(chǎng)商所支持，如一些EAPS私有協(xié)議[2]。

二、IPsec 技術(shù)

近年來(lái)隨著高校的擴(kuò)展和合并，很多學(xué)校都建設(shè)了新校區(qū)。這些新校區(qū)通常是跨區(qū)域設(shè)置跨全國(guó)的。然而很多高校在各個(gè)校區(qū)之間并未實(shí)現(xiàn)網(wǎng)絡(luò)互通，這就造成了一卡通無(wú)法跨區(qū)“通”的問(wèn)題。在不同校區(qū)，老師和學(xué)生有時(shí)可能需要使用不同的卡，這不僅浪費(fèi)了資源，也大大降低了一卡通使用的方便性。VPN系統(tǒng)的出現(xiàn)有效地解決以上這些問(wèn)題，且不會(huì)改變?cè)械南到y(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)，投入成本也不高。

IPSec位于網(wǎng)絡(luò)層，負(fù)責(zé)IP數(shù)據(jù)包的保護(hù)和認(rèn)證。在IP層，IPSec可以保證網(wǎng)絡(luò)兩側(cè)對(duì)等雙方的數(shù)據(jù)私密性、完整性，并執(zhí)行數(shù)據(jù)來(lái)源的認(rèn)證。IPSec能對(duì)一對(duì)網(wǎng)關(guān)，一對(duì)主機(jī)或網(wǎng)關(guān)于主機(jī)之間的通道的安全。IPsec是一套比較完整體系的VPN技術(shù)，IPsec VPN提供了諸如數(shù)據(jù)來(lái)源認(rèn)證、訪(fǎng)問(wèn)控制、數(shù)據(jù)認(rèn)證、身份認(rèn)證、數(shù)據(jù)加密等一系列的安全保護(hù)機(jī)制來(lái)確保數(shù)據(jù)包的安全。

IPsec通過(guò)包封裝包的方法，在Internet上建立了一個(gè)通訊的隧道，通過(guò)這個(gè)隧道，建立起網(wǎng)絡(luò)的連接。首先，IPsec將要傳輸?shù)臄?shù)據(jù)封裝在IP里在互聯(lián)網(wǎng)傳播;其次，封裝過(guò)的數(shù)據(jù)包被VPN網(wǎng)絡(luò)層網(wǎng)關(guān)接受，經(jīng)過(guò)拆包和轉(zhuǎn)換等操作，發(fā)送給接收方。在VPN網(wǎng)關(guān)之間傳遞的信息即使被截獲，也無(wú)法被篡改和偷窺，原因是數(shù)據(jù)的傳遞方式和在局域網(wǎng)內(nèi)的數(shù)據(jù)傳遞方式是一樣的。采用這種方法大大簡(jiǎn)化了在物理上分散的站點(diǎn)之間進(jìn)行通訊和資源共享的實(shí)現(xiàn)方法。進(jìn)一步提高了通過(guò)互聯(lián)網(wǎng)連接的局域網(wǎng)間通信的保密性、安全性和完整性[3]。

兩個(gè)一卡通站點(diǎn)可以通過(guò)IPsec VPN建立連接，也可以通過(guò)創(chuàng)建專(zhuān)用網(wǎng)絡(luò)，構(gòu)建起可信雙方安全加密信息的傳輸通道，還可以建立多種機(jī)制訪(fǎng)問(wèn)一卡通的管理區(qū)域，如隧道、加密傳輸和安全認(rèn)證等。除了VPN功能以外，在設(shè)備性能優(yōu)異的前提下應(yīng)用層的訪(fǎng)問(wèn)控制過(guò)濾也可以通過(guò)IPsec實(shí)現(xiàn)。

根據(jù)一卡通網(wǎng)絡(luò)的規(guī)模，采用的連接方式也有所不同。在小型的一卡通網(wǎng)絡(luò)中，點(diǎn)對(duì)點(diǎn)的IPsec VPN連接方式比較適用，對(duì)于中等規(guī)模的一卡通網(wǎng)絡(luò)，可以使用網(wǎng)狀的的隧道連接方式，而對(duì)于大型的一卡通網(wǎng)絡(luò)，應(yīng)該采用星型結(jié)構(gòu)的的隧道連接方式，同時(shí)需要IPsec VPN的中心網(wǎng)關(guān)作為集中服務(wù)器。

三、物理專(zhuān)網(wǎng)技術(shù)

除了以上提到的2種常用的一卡通數(shù)據(jù)傳輸平臺(tái)，如果光纖資源足夠豐富，還可以考慮在物理上構(gòu)造與現(xiàn)有校園網(wǎng)絡(luò)完全隔絕的專(zhuān)用網(wǎng)絡(luò)，方法是采用獨(dú)立光纖連接專(zhuān)用的網(wǎng)絡(luò)設(shè)備。

采用物理隔絕方式構(gòu)建一卡通傳輸平臺(tái)需要增加較高的投資成本，但是安全性能極高。很多單位在校園一卡通推廣的初期階段，往往考慮比較多的是系統(tǒng)的安全性，所以大多會(huì)采用這種物理網(wǎng)絡(luò)的方式。正是由于采用這種方案建設(shè)成本高，擴(kuò)展性能差，需要投入大量人力資源和配套的網(wǎng)管系統(tǒng)進(jìn)行高成本維護(hù)，其推廣性受到了很大約束。

關(guān)于高校計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)及在教學(xué)中應(yīng)用的研究項(xiàng)目號(hào):20090104

參考文獻(xiàn):

[1]李天全.校園一卡通的應(yīng)用與實(shí)現(xiàn)《辦公室業(yè)務(wù)》2009年5期

[2]方永勝.基于數(shù)字化校園的校園一卡通平臺(tái)設(shè)計(jì)《運(yùn)籌與管理》2006年第3期

[3]謝銳.典型數(shù)據(jù)傳輸平臺(tái)在一卡通中的應(yīng)用《中國(guó)教育網(wǎng)絡(luò)》2008年7月刊