论文部分内容阅读
摘 要:近年来,校园一卡通在高校中逐渐普及。本文针对校园一卡通的数据传输平台,作了简要的分析。
关键词:校园一卡通; 数据传输
中图分类号:TP393.18 文献标识码:A 文章编号:1006-3315(2010)6-129-001
随着我国校园数字化、信息化建设的不断深入,信息资源的整合逐渐进入了规划和实施阶段。目前很多学校正建设相关的MIS和应用系统来统一身份认证、人事、学工等。结合校园一卡通,通过共同的身份认证机制,实现数据管理的集成与共享,成为校园信息化建设的有机组成部分。这样的有机结合可以提高建设进度,避免重复投入,很好地实现了系统间的资源共享[1]。
目前,校园一卡通主要实现了身份认证、电子钱包等功能。通过结合计算机网络、数据库、单片机微电子等技术,可以代替校园内的传统证件,如学生证、工作证、借书证、上机证以及一些和现金消费有关的就餐卡、医疗卡等,达到了校园日常管理和教学的全面网络化和数字化。由此可以看出,校园一卡通建设也是未来高校数字化发展的必然趋势。
网络建设中,校园一卡通主要运用了三种数据传输平台,即VLAN技术、IPSEC技术和物理专网技术,下边就这3种技术的特点和运用做一些探讨。
一、VLAN技术
VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”,是一种将局域网设备从逻辑上划分成独立网段,从而实现虚拟工作组的新兴数据交换技术。
目前,众多集成公司建设校园一卡通首选校园VLAN技术。其主要原因是由于目前各高校校园网功能比较完善,大多采用了虚拟网络技术,具备较强的防火墙保护功能。具体实施方面,首先要从校园网的VLAN中划出一个专用虚拟网分配给一卡通。为了保证一卡通的虚拟网逻辑上和校园网分开,必须取消一卡通的虚拟网和其他校园网用户之间的路由功能。考虑到校园一卡通专网的安全性,还应该利用虚拟网将分布在不同网络节点的工作站和主机接入到一卡通管理系统中。一卡通专网可以通过双网卡网关或者是防火墙与校园网连接,这样全校师生就可以进行基于WEB的查询。同时,校园一卡通系统还可以提供实时的银联服务,方法是将一卡通专网经路由器与银行进行联网。
校园一卡通的虚拟专网的网络结构设计和单独组网的方式是一样的,采用隔离方式管理起来比较灵活。同时也易于实现,不用单独投资,增加额外费用。
虽然采用VLAN技术构建的校园一卡通系统更加安全、方便,但是也存在一些缺陷。比如在虚拟网络中透传的方式不具备较好的可扩展性。一方面,为了部署一卡通终端,必须将VLAN及时地部署到交换机上;另一方面网络配置的工作量随着终端的增加而增加,从而造成广播风暴的可能性随着二层网络范围的扩大而增加。由于校园网中存在多种多样的网络设备,快速链路恢复机制无法在二层上使用。即使目前存在一些二层保护协议,但其中一部分收敛速度较慢,如STP;还有一部分不能被全部厂商所支持,如一些EAPS私有协议[2]。
二、IPsec 技术
近年来随着高校的扩展和合并,很多学校都建设了新校区。这些新校区通常是跨区域设置跨全国的。然而很多高校在各个校区之间并未实现网络互通,这就造成了一卡通无法跨区“通”的问题。在不同校区,老师和学生有时可能需要使用不同的卡,这不仅浪费了资源,也大大降低了一卡通使用的方便性。VPN系统的出现有效地解决以上这些问题,且不会改变原有的系统和网络结构,投入成本也不高。
IPSec位于网络层,负责IP数据包的保护和认证。在IP层,IPSec可以保证网络两侧对等双方的数据私密性、完整性,并执行数据来源的认证。IPSec能对一对网关,一对主机或网关于主机之间的通道的安全。IPsec是一套比较完整体系的VPN技术,IPsec VPN提供了诸如数据来源认证、访问控制、数据认证、身份认证、数据加密等一系列的安全保护机制来确保数据包的安全。
IPsec通过包封装包的方法,在Internet上建立了一个通讯的隧道,通过这个隧道,建立起网络的连接。首先,IPsec将要传输的数据封装在IP里在互联网传播;其次,封装过的数据包被VPN网络层网关接受,经过拆包和转换等操作,发送给接收方。在VPN网关之间传递的信息即使被截获,也无法被篡改和偷窥,原因是数据的传递方式和在局域网内的数据传递方式是一样的。采用这种方法大大简化了在物理上分散的站点之间进行通讯和资源共享的实现方法。进一步提高了通过互联网连接的局域网间通信的保密性、安全性和完整性[3]。
两个一卡通站点可以通过IPsec VPN建立连接,也可以通过创建专用网络,构建起可信双方安全加密信息的传输通道,还可以建立多种机制访问一卡通的管理区域,如隧道、加密传输和安全认证等。除了VPN功能以外,在设备性能优异的前提下应用层的访问控制过滤也可以通过IPsec实现。
根据一卡通网络的规模,采用的连接方式也有所不同。在小型的一卡通网络中,点对点的IPsec VPN连接方式比较适用,对于中等规模的一卡通网络,可以使用网状的的隧道连接方式,而对于大型的一卡通网络,应该采用星型结构的的隧道连接方式,同时需要IPsec VPN的中心网关作为集中服务器。
三、物理專网技术
除了以上提到的2种常用的一卡通数据传输平台,如果光纤资源足够丰富,还可以考虑在物理上构造与现有校园网络完全隔绝的专用网络,方法是采用独立光纤连接专用的网络设备。
采用物理隔绝方式构建一卡通传输平台需要增加较高的投资成本,但是安全性能极高。很多单位在校园一卡通推广的初期阶段,往往考虑比较多的是系统的安全性,所以大多会采用这种物理网络的方式。正是由于采用这种方案建设成本高,扩展性能差,需要投入大量人力资源和配套的网管系统进行高成本维护,其推广性受到了很大约束。
关于高校计算机网络建设及在教学中应用的研究项目号:20090104
参考文献:
[1]李天全.校园一卡通的应用与实现《办公室业务》2009年5期
[2]方永胜.基于数字化校园的校园一卡通平台设计《运筹与管理》2006年第3期
[3]谢锐.典型数据传输平台在一卡通中的应用《中国教育网络》2008年7月刊
关键词:校园一卡通; 数据传输
中图分类号:TP393.18 文献标识码:A 文章编号:1006-3315(2010)6-129-001
随着我国校园数字化、信息化建设的不断深入,信息资源的整合逐渐进入了规划和实施阶段。目前很多学校正建设相关的MIS和应用系统来统一身份认证、人事、学工等。结合校园一卡通,通过共同的身份认证机制,实现数据管理的集成与共享,成为校园信息化建设的有机组成部分。这样的有机结合可以提高建设进度,避免重复投入,很好地实现了系统间的资源共享[1]。
目前,校园一卡通主要实现了身份认证、电子钱包等功能。通过结合计算机网络、数据库、单片机微电子等技术,可以代替校园内的传统证件,如学生证、工作证、借书证、上机证以及一些和现金消费有关的就餐卡、医疗卡等,达到了校园日常管理和教学的全面网络化和数字化。由此可以看出,校园一卡通建设也是未来高校数字化发展的必然趋势。
网络建设中,校园一卡通主要运用了三种数据传输平台,即VLAN技术、IPSEC技术和物理专网技术,下边就这3种技术的特点和运用做一些探讨。
一、VLAN技术
VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”,是一种将局域网设备从逻辑上划分成独立网段,从而实现虚拟工作组的新兴数据交换技术。
目前,众多集成公司建设校园一卡通首选校园VLAN技术。其主要原因是由于目前各高校校园网功能比较完善,大多采用了虚拟网络技术,具备较强的防火墙保护功能。具体实施方面,首先要从校园网的VLAN中划出一个专用虚拟网分配给一卡通。为了保证一卡通的虚拟网逻辑上和校园网分开,必须取消一卡通的虚拟网和其他校园网用户之间的路由功能。考虑到校园一卡通专网的安全性,还应该利用虚拟网将分布在不同网络节点的工作站和主机接入到一卡通管理系统中。一卡通专网可以通过双网卡网关或者是防火墙与校园网连接,这样全校师生就可以进行基于WEB的查询。同时,校园一卡通系统还可以提供实时的银联服务,方法是将一卡通专网经路由器与银行进行联网。
校园一卡通的虚拟专网的网络结构设计和单独组网的方式是一样的,采用隔离方式管理起来比较灵活。同时也易于实现,不用单独投资,增加额外费用。
虽然采用VLAN技术构建的校园一卡通系统更加安全、方便,但是也存在一些缺陷。比如在虚拟网络中透传的方式不具备较好的可扩展性。一方面,为了部署一卡通终端,必须将VLAN及时地部署到交换机上;另一方面网络配置的工作量随着终端的增加而增加,从而造成广播风暴的可能性随着二层网络范围的扩大而增加。由于校园网中存在多种多样的网络设备,快速链路恢复机制无法在二层上使用。即使目前存在一些二层保护协议,但其中一部分收敛速度较慢,如STP;还有一部分不能被全部厂商所支持,如一些EAPS私有协议[2]。
二、IPsec 技术
近年来随着高校的扩展和合并,很多学校都建设了新校区。这些新校区通常是跨区域设置跨全国的。然而很多高校在各个校区之间并未实现网络互通,这就造成了一卡通无法跨区“通”的问题。在不同校区,老师和学生有时可能需要使用不同的卡,这不仅浪费了资源,也大大降低了一卡通使用的方便性。VPN系统的出现有效地解决以上这些问题,且不会改变原有的系统和网络结构,投入成本也不高。
IPSec位于网络层,负责IP数据包的保护和认证。在IP层,IPSec可以保证网络两侧对等双方的数据私密性、完整性,并执行数据来源的认证。IPSec能对一对网关,一对主机或网关于主机之间的通道的安全。IPsec是一套比较完整体系的VPN技术,IPsec VPN提供了诸如数据来源认证、访问控制、数据认证、身份认证、数据加密等一系列的安全保护机制来确保数据包的安全。
IPsec通过包封装包的方法,在Internet上建立了一个通讯的隧道,通过这个隧道,建立起网络的连接。首先,IPsec将要传输的数据封装在IP里在互联网传播;其次,封装过的数据包被VPN网络层网关接受,经过拆包和转换等操作,发送给接收方。在VPN网关之间传递的信息即使被截获,也无法被篡改和偷窥,原因是数据的传递方式和在局域网内的数据传递方式是一样的。采用这种方法大大简化了在物理上分散的站点之间进行通讯和资源共享的实现方法。进一步提高了通过互联网连接的局域网间通信的保密性、安全性和完整性[3]。
两个一卡通站点可以通过IPsec VPN建立连接,也可以通过创建专用网络,构建起可信双方安全加密信息的传输通道,还可以建立多种机制访问一卡通的管理区域,如隧道、加密传输和安全认证等。除了VPN功能以外,在设备性能优异的前提下应用层的访问控制过滤也可以通过IPsec实现。
根据一卡通网络的规模,采用的连接方式也有所不同。在小型的一卡通网络中,点对点的IPsec VPN连接方式比较适用,对于中等规模的一卡通网络,可以使用网状的的隧道连接方式,而对于大型的一卡通网络,应该采用星型结构的的隧道连接方式,同时需要IPsec VPN的中心网关作为集中服务器。
三、物理專网技术
除了以上提到的2种常用的一卡通数据传输平台,如果光纤资源足够丰富,还可以考虑在物理上构造与现有校园网络完全隔绝的专用网络,方法是采用独立光纤连接专用的网络设备。
采用物理隔绝方式构建一卡通传输平台需要增加较高的投资成本,但是安全性能极高。很多单位在校园一卡通推广的初期阶段,往往考虑比较多的是系统的安全性,所以大多会采用这种物理网络的方式。正是由于采用这种方案建设成本高,扩展性能差,需要投入大量人力资源和配套的网管系统进行高成本维护,其推广性受到了很大约束。
关于高校计算机网络建设及在教学中应用的研究项目号:20090104
参考文献:
[1]李天全.校园一卡通的应用与实现《办公室业务》2009年5期
[2]方永胜.基于数字化校园的校园一卡通平台设计《运筹与管理》2006年第3期
[3]谢锐.典型数据传输平台在一卡通中的应用《中国教育网络》2008年7月刊