基于国产密码算法的安全虚拟校园卡体系解决方案

时间: 2020-01-20 15:15:20     来源: 数字证书|电子签名|电子签章|身份认证

1方案背景

数字化时代背景下,校园管理同样需要向智能化方向迈进。随着学校环境的升级拓展,各类设施与服务纷纷被纳入校园管理体系中,使校园管理的规模和内容不断膨胀,如果依然按照传统的管理模式,极易出现高成本、低效率、混乱无序的问题。信息技术的进步以及校园管理的实际需求,催生了校园一卡通系统的出现。校园一卡通(实体卡)出现后,一张卡就可以完成开门、考勤、就餐、消费、会议签到、借书、上机、用水、用电、公共设施使用等各项活动,使众多院校摆脱繁琐、低效的管理模式。

但是随着校园一卡通(实体卡)的应用和普及,实体卡自身的、无法克服的一些问题逐渐摆在人们面前了,比如实体卡不便携带,易丢失易损坏,且丢失后易别人恶意使用,不能与现在校园里的移动应用很好结合应用等。为此,陕西省数字证书认证中心股份有限公司(简称陕西CA中心或SNCA)提出基于国产密码体系的电子校园卡应用解决方案,方案以PKI技术体系为基础,通过签发的权威身份标识与非对称密钥捆绑结合,实现校园虚拟卡的签发、管理、身份认证、电子签名等应用,虚拟校园卡既能满足实体校园卡原有功能应用,又可满足校园卡移动应用、安全应用、便捷应用等相关问题。

2需求分析

虚拟校园卡,也简称电子校园卡。它既要满足实体校园卡原有的职能应用外,还需要满足移动互联网环境下校园里的各类移动应用,具体需求如下:

2.1    能标识用户真实身份的需求

通过虚拟校园卡能有效标识学校老师、管理人员、学生、其它人员等的真实身份。虚拟校园卡需要结合用户的学号或工号、身份证号、手机号等因子由专用安全密码设备生成,学校可对签发的虚拟校园卡进行有效管理。

2.2    场景应用需求

虚拟校园卡需要满足学生、教工等用户在PC环境和移动环境下应用需求。移动环境下需要支持IOSAndroidPC环境支持通过虚拟卡扫码登录、扫码签名。

2.3    身份认证需求

为校园建设相应虚拟校园卡身份认证服务功能,在开门、考勤、就餐、消费、会议签到、借书、上机、用水、用电、公共设施使用等各项校园活动中,虚拟校园卡可做到先身份认证后使用,杜绝恶意用户假冒他人身份的操作行为。

2.4    电子签名需求

为了有效约束教工、学生在校园各类业务应用系统中的操作行为,使其对操作行为负责,且不可否认,保障应用系统中业务数据的完整性、防篡改性,虚拟校园卡应用需要与校园现有各类业务应用系统进行结合,在业务应用系统利用虚拟卡对应的签名私钥对业务数据进行电子签名应用。

3方案设计

3.1 平台总体架构


在基于国产密码算法的虚拟校园卡体系平台设计中,虚拟校园卡所使用的标识&证书的生产环境作为校园卡体系的基础平台由权威合法电子认证机构(SNCA)建设,并向学校本地的代理标识注册管理系统提供标识&证书签发受理服务,同时将已签发的标识&证书数据同步至学校的本地的认证安全服务支撑平台,用于学校日常标识认证服务;由学校本地的校园卡认证安全支撑平台向学校业务系统提供标识证书认证服务、签名服务、电子签章服务、时间戳等安全服务;由学校本地的虚拟卡签发应用平台向校园用户(教工、学生)提供标识&证书注册申请服务,然后标识&证书与业务系统应用结合,通过二维码方式实现标识&证书在学校教学、办公、生活中的服务应用。

3.2    平台网络部署

通常情况下,学校通过在安全设备中进行规则设置,允许外网对指定应用的访问,那么,部署学校内网环境中的虚拟校园卡应用服务支撑平台便可直接通过互联网自动从陕西CA认证中心同步标识发布信息。

部署图说明:

1)在校园机房,部署校园本地虚拟校园卡认证安全服务支撑平台及签发应用平台,平台由身份标识注册管理系统、标识身份认证系统、时间戳系统、电子签章系统、本地标识&证书发布系统、二维码服务系统、密码机组成。

2)由虚拟校园卡认证安全支撑平台向校园的各个业务应用系统提供标识身份认证、电子签名(签章)、时间戳、加解密等服务。

3)教工和学生的身份标识将通过部署的身份标识注册管理系统来完成,身份标识注册管理系统与陕西CA认证中心的RA系统对接,校园标识管理员可通本地的身份标识注册管理系统对校园内所签发的标识信息进行日常管理。

4)虚拟校园卡认证安全支撑平台与陕西CA认证中心之间采用在线自动同步方式完成标识发布数据的同步更新处理。

5)虚拟校园卡师生通过学校实名认证后,可自行申请,然后在校园各类场景中通过二维码形式实现快捷、安全应用。

4 虚拟校园卡业务应用场景设计  

虚拟校园卡(校园一卡通)可与校园众多业务应用流程系统进行集成应用,在功能上涉及信息收集、权限管理、资源整合、金融支付等诸多方面,达到“一卡多用”的校园应用目标。虚拟校园卡主要应用场景,如下图所示:

5-1 虚拟校园卡应用场景示意图

4.1小额消费

虚拟校园卡通过在校园食堂、浴室、开水房、班车等场所部署终端设备,实现各应用场所的刷卡小额消费功能,方便快捷,方便师生校内生活。还可与在线支付平台对接,师生可在线进行考试费、网费等小额缴费支付业务。

4.2图书馆综合管理

虚拟校园卡可与电子阅览室管理系统、自助文印系统、智能存包柜系统对接等。针对学校图书馆、电子阅览室、学生文印以及存包柜统一采用二维码扫码使用,无卡或非法卡人员无法使用,使学校图书馆管理科学规范,提高了运行效率,降低了管理成本。

4.3校园自助服务

虚拟校园卡与学样自助服务系统对接,可向学校师生提供了丰富的自助服务功能,用户可通过自助服务平台自助查询账户状态、自助挂失、自助补卡、现金充值、圈存充值、自助洗衣等,使学生校园生活更加便捷。

4.4校门安全出入管理

虚拟校园卡与校门安全管理系统对接,校门安全管理系统包含了车辆出入管理人员通道管理以及访客管理等子系统。通过系统对接,实现学校大门人车分流,各行其道,系统扫码验证身份,通行效率高,无卡或无权限人员车辆不予放行。学校门岗可通过访客管理系统规范来访人员登记,使访客来访及离开有据可查。

4.5教务教学管理

虚拟校园卡与教务教学管理系统对接,教务教学管理系统涉及师生日常学习及各类考试。虚拟校园卡还充分考虑到不同院校的不同需求,进行定制化的功能开发。借助虚拟校园卡安全应用服务平台,在学校教务教学过程中实现电子签名签章应用,既可有效规范教学管理秩序,提高管理效率,又能辅助提高教学成果共享程度。

4.6 就业合同管理

在学校的就业服务管理中,每年毕业的学生都需要与用人单位、学校签订三方《普通高等学校毕业生、毕业研究生就业协议书》,传统方式是三方在纸质材料上分别签字或盖章,协议签署花费时间长、效率低,借助虚拟校园卡的电子签名功能应用,只需学校对用人单位进行应用授权,学生、学校、用人单位便可使用各自的电子签章直接在学校的就业服务管理平台中在线签署电子就业协议书,这样将会大幅提高学校就业协议书的签署效率和管理水平。