我所经历的校园信息化(二）

朱瑞明

VPN在校园一卡通平台中的应用
作为数字化校园的一部分，“校园一卡通平台系统”已经深入到各个高校的各个角落，这是高校信息化发展的必然趋势，也是高校现代化管理的标志。
一卡通系统就是将智能卡的强大功能和计算机网络融合，把传统相对独立的学籍管理、图书借阅、上机管理、门禁出入、消费结算等各个系统合为一体，实现管理的统一和资源的整合，提高学校的管理效率。
引入一卡通后，学生只要带一张卡即可在校内食堂、洗浴中心、洗衣房、游泳池、商店、书店等场所消费，也可以在图书馆查阅资料、借阅书籍，或在学校机房使用网络等。真正意义地实现“实现一卡走遍校园，一卡通用、一卡多用”。
然而，因为一些投资成本、系统兼容性、校园网络现状等原因，一卡通系统依然存在一些瓶颈问题，导致应有的系统价值没有充分的得到体现。这些问题主要是：
        校园信息孤岛。高校的合并和扩招，使得每个学校建立了众多的分校区，这些校区常常是跨区域甚至是全国性的。而在网络建设上，这些校区却并没有实现互联互通。这就造成了一卡通无法跨区“通”的问题，一个学生在不同的校区不得不使用不同的智能卡。这不仅方便性得不到实现，也是资源的一种浪费。
        智能卡信息传输不加密，容易被伪造。因为一些原因，大多数智能卡系统的数据在网络上传输都是不加密的。从理论上讲，卡本身是个很强的口令密码介质，是不容易被伪造的。但是，一个攻击者很方便的仿制空记录卡，再加上校园网络的开放性，他很容易窃取传输数据，从而制造出合法的智能卡，给卡的使用者带来损失。
        网络资源发布的身份认证依然比较麻烦。许多高校都有校园图书馆、视频点播等资源系统，供学生使用，一般都是通过网络发布。学生使用都需要申请不同的账号，这和一卡通的主体思想是矛盾的。因为学生又要面对许多的账号记忆，系统管理员也要管理更多的账号。
可喜的是，我们发现，VPN系统可以有效地解决以上这些问题，且投入和运营的成本不高，也不会改变原有的网络和系统结构。
冰峰网络的S系列产品，集合了IPSec和SSL两种VPN系统，拥有“8+6密钥策略”、“虚拟桌面”、“远程镜像”等独有功能，再加上可靠优越的性能，可以说是解决校园一卡通一些固有问题的最佳解决方案。
多个校区互联

解决互联互通问题，一般的想法是使用专线网络。但专线网络的租用成本一般比较高昂，且专线网络上的数据传输是不经过加密的。
相对而言，多个一卡通站点之间通过IPsec VPN的方式连接，是比较适合的方案。通过安全认证、建立隧道、加密传输等机制对一卡通管理区域进行访问，构建相互信任方之间的安全加密信息传输通道，达到专用网络的效果。同时，还能实现应用层的访问控制过滤。
随着技术研发的不断深入，冰峰网络的IPsec VPN的性能愈加得到提高，可以轻松面对动辄几十万的会话并发。因此，不论从成本还是从使用方便性考虑，IPsec VPN是解决多个一卡通站点互联的最好的方案。
卡信息传输加密

高校内，有着许多种不同的读卡终端，有些是基于电脑终端平台，有些是专门的读卡设备。
对于电脑终端的读卡设备，使用SSL VPN实现传输的加密。SSL协议是基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。只要是能使用浏览器的终端设备，均可以使用SSL协议建立起安全的加密传输通道。因此，绝大多数的读卡设备都是可支持的。
另外，一些专门的读卡设备就要研究其操作机制。某些可以使用PPTP的连接方式接入网络，某些就需要涉及到具体的开发。
卡信息传输加密的流程，一般是读卡器读出卡信息，加密协议负责建立对信息进行加密并通过通道传输到中心设备。中心设备进行解密，读取信息后做响应。
资源发布身份认证

使用一卡通账户作为身份认证的标示符，不但方便学生使用，也减轻了管理员的工作量，也是属于统一身份认证系统的一个重要组成部分。
管理员只需将冰峰的VPN设备和原一卡通账户管理服务器之间建立一个通道，所有用户向VPN提交的认证请求，设备均会向账户服务器转发。服务器判断后，返回通过或未通过的消息，VPN设备以此判断是否允许用户的接入，对用户而言是透明。
一般的，是使用一卡通的序列号做为用户名，用户自行设定密码。新发放的智能卡，管理员可以预先绑定用户信息，设定初始密码。已发放的智能卡，可要求用户申请开通。
总之，冰峰的VPN解决方案，在校园的一卡通平台上，通过以上的三种应用，解决了原先困挠高校的诸多问题，使得一卡通平台能更好的为广大的师生服务，推进数字化校园的进一步发展。