当前在武汉,一卡通采用了组建企业内部虚拟网(IntranetVPN方式实现各分支机构网络互连、实时计费、内部资源共享、文件传递等。利用Internet线路保证网络的互联性, 对于不同地域间的场馆。而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。企业拥有与专用网络的相同政策(包括安全、服务质量、可管理性和可靠性)可节省租用专线所带来的高额费用。
奥运会期间充分运用现代信息技术,2008年北京奥运会实现了科技奥运”承诺。成功地支撑了奥运会各项工作。某局数字体育一卡通就是其中的实践项目。数字体育项目中,一卡通系统是数字体育的基础工程和重要的组成部分,通过构建各类体育信息库和应用系统,实现内部管理、公众服务、线支付和通讯等功能。支付安全是一卡通系统实现的核心内容,即防范交易数据在网上传输时,数据被监听、篡改和伪造。本文介绍了虚拟专用网(VPN一卡通支付系统的应用情况,通过不同类型虚拟专用网对比分析,改进了传统的一卡通安全机制和实现方式,较好地解决了网络支付安全问题。
除此之外, 体育一卡通实现了对某局所有经营项目进行收费。还要实时提供某局各个运动场馆完整、准确的票务数据,具有很高的安全性要求。未来还要实现电子商务、实时预定场馆票务。这就要求在安全设计时既要满足当前的业务需要,又要兼顾系统日后的发展。
整个网络以总线形式存在所有POS机都“挂”总线上,服务器端通过查询方式定时读取各POS机内流水记录。由于标准的RS485采用串联方式,系统轮循在各个PC机或POS机采集数据,再上传到中央服务器进行处理。适合应用于一般餐饮、门禁等非独占资源系统。但是对于体育场馆独占资源的消费模式就会出现像操作系统中进程竞争的现象,给系统安全带来隐患。同时,由于调制解调过程以及传输距离的关系,所有设备要共享狭窄的传输带宽, 传统的一卡通系统一般遵从双线工作的RS485标准。网络传输速度较慢,RS485标准不适合大型分布式网络模式。此外,通过Internet实时预订场馆票务时,要求票据、消费金额等数据传输必须是安全的保密的不被篡改的而传统的一卡通系统安全性主要体现在独立的局部网络数据专网中,其灵活性、扩展性受到制约。
必须对传统的一卡通实现机制进行改进, 为了满足政务、电子票务、财务等系统应用的高效、安全及远程互连。并满足以下要求:
1采用技术手段保证通过Internet连接是安全的加密的
网络的出入口设置安全控制。 2实现网络的边界安全。
控制内外部访问的TCP/IP端口。 3实现内部各机构网络接口的安全。
系统性能不受影响, 4实施安全保护后。确保网络服务的可用性。
对传统POS依靠RS485安全机制进行了改进, 为了满足一卡通系统高效互连。开发了新一代基于TCP/IP协议的POS机,保证数据即时处理和数据的一致性。POS直接连接到以太网信息点,通过路由器(安全网关)与中央数据库通信。但是以TCP/IP协议为基础的互联网只注重网络的连接性、开放性和兼容性,而忽略了网络的安全性。这样的网络环境下,传输过程中的消费信息完全可能被伪造、篡改或偷窥,信息的完整性、机密性、真实性和信息发送者的不可抵赖性得不到保证。
采用基于IPSecIPSecur协议的虚拟专用网技术[1]为通过1个公用网络建立1条临时、安全、稳定的隧道。采用加密、认证等技术在公共互连网上构建安全加密信息传输通道, 为了满足一卡通系统的安全性。解决基于互联网传输信息的安全隐患,达到一卡通专用网络的效果,方案中采用了3种实现方式[2-3]
2.1虚拟专用拨号网络
采用虚拟专用拨号网VDPNVirtualPrivatDialNetwork方式, 对于公司内部经常有流动人员远程办公的情况。实现了安全地连接移动用户、远程工作者或分支机构。通过一个拥有与专用网络相同策略的共享基础设施,提供用户对企业内部网资源随时、随地远程访问。用户只要连接到当地的ISP服务提供商,通过因特网虚拟专用通道就可实现与企业网连接,减少用于相关的调制解调器和终端服务设备的资金及远距离通信的费用。
