文献标识码:A
2008年北京奥运会实现了“科技奥运”的承诺,在奥运会期间充分运用现代信息技术,成功地支撑了奥运会各项工作。某局数字体育一卡通就是其中的实践项目。在数字体育项目中,一卡通系统是数字体育的基础工程和重要的组成部分,通过构建各类体育信息库和应用系统,实现内部管理、公众服务、在线支付和通讯等功能。支付安全是一卡通系统实现的核心内容,即防范交易数据在网上传输时,数据被监听、篡改和伪造。本文介绍了虚拟专用网(VPN)在一卡通支付系统的应用情况,通过不同类型虚拟专用网对比分析,改进了传统的一卡通安全机制和实现方式,较好地解决了网络支付安全问题。
1 系统安全分析
体育一卡通实现了对某局所有经营项目进行收费,除此之外,还要实时提供某局各个运动场馆完整、准确的票务数据,具有很高的安全性要求。未来还要实现电子商务、实时预定场馆票务。这就要求在安全设计时既要满足当前的业务需要,又要兼顾系统日后的发展。
传统的一卡通系统一般遵从双线工作的RS485标准,整个网络以总线形式存在,所有POS机都“挂”在总线上,服务器端通过查询方式定时读取各POS机内流水记录。由于标准的RS485采用串联方式,系统轮循在各个PC机或POS机采集数据,再上传到中央服务器进行处理。适合应用于一般餐饮、门禁等非独占资源系统。但是对于体育场馆独占资源的消费模式就会出现像操作系统中进程竞争的现象,给系统安全带来隐患。同时,由于调制解调过程以及传输距离的关系,所有设备要共享狭窄的传输带宽,网络传输速度较慢,RS485标准不适合大型分布式网络模式。此外,通过Internet实时预订场馆票务时,要求票据、消费金额等数据传输必须是安全的、保密的、不被篡改的。而传统的一卡通系统安全性主要体现在独立的局部网络数据专网中,其灵活性、扩展性受到制约。
为了满足政务、电子票务、财务等系统应用的高效、安全及远程互连,必须对传统的一卡通实现机制进行改进,并满足以下要求:
(1) 采用技术手段保证通过Internet的连接是安全的、加密的。
(2) 实现网络的边界安全,在网络的出入口设置安全控制。
(3) 实现内部各机构网络接口的安全,控制内外部访问的TCP/IP端口。
(4) 实施安全保护后,系统性能不受影响,确保网络服务的可用性。
2 系统安全的设计与实现
为了满足一卡通系统高效互连,对传统POS依靠RS485的安全机制进行了改进,开发了新一代基于TCP/IP协议的POS机,保证数据即时处理和数据的一致性。POS直接连接到以太网信息点,通过路由器(安全网关)与中央数据库通信。但是以TCP/IP协议为基础的互联网只注重网络的连接性、开放性和兼容性,而忽略了网络的安全性。在这样的网络环境下,传输过程中的消费信息完全可能被伪造、篡改或偷窥,信息的完整性、机密性、真实性和信息发送者的不可抵赖性得不到保证。
为了满足一卡通系统的安全性,采用基于IPSec(IP Security)协议的虚拟专用网技术[1],为通过1个公用网络建立1条临时、安全、稳定的隧道。采用加密、认证等技术在公共互连网上构建安全加密信息传输通道,解决基于互联网传输信息的安全隐患,达到一卡通专用网络的效果,方案中采用了3种实现方式[2-3]。
2.1 虚拟专用拨号网络
对于公司内部经常有流动人员远程办公的情况,采用虚拟专用拨号网VDPN(Virtual Private Dial Network)方式,实现了安全地连接移动用户、远程工作者或分支机构。通过一个拥有与专用网络相同策略的共享基础设施,提供用户对企业内部网资源随时、随地远程访问。用户只要连接到当地的ISP服务提供商,通过因特网虚拟专用通道就可实现与企业网连接,减少用于相关的调制解调器和终端服务设备的资金及远距离通信的费用。
2.2 企业内部虚拟网
对于不同地域间的场馆,采用了组建企业内部虚拟网(Intranet VPN)方式实现各分支机构网络互连、实时计费、内部资源共享、文件传递等。利用Internet线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。企业拥有与专用网络的相同政策(包括安全、服务质量、可管理性和可靠性),可节省租用专线所带来的高额费用。
2.3 企业扩展虚拟网
随着信息时代的到来,各个企业之间的合作关系也越来越多,信息交换日益频繁,利用VPN技术可以组建安全的企业扩展虚拟网(Extranet VPN)。以某局为例,通过因特网共享基础设施,将全球(美国体育集团公司、巴西体育集团公司)客户、供应商、合作伙伴或兴趣群体连接到企业内部网,企业扩展虚拟网连接如图1所示。
通过Extranet VPN能容易地对外部网进行部署和管理,保证通过互联网通信的安全性、机密性、可认证性和完整性等安全性能。
通过构建基于VPN技术的一卡通系统,实现了高效、安全的网络支付应用。这主要体现在以下方面:
(1)安全保障。VPN保证了公用网络平台传输数据的专用性和安全性,即在公共互连网上建立一条逻辑的、点对点的连接隧道,保证了数据的私有性和安全性。
(2)服务质量保证QoS(Quality of Service)。VPN为企业数据提供不同等级的服务质量保证,可以按照优先级分配带宽资源,预防阻塞的发生。
(3)可扩充性和灵活性。VPN支持通过设备增配满足对高质量数据传输以及带宽增加的需求,符合网络建设的可扩展性和灵活性的原则。
(4)可管理性。VPN可方便地进行管理、维护,使得企业将其网络管理功能从局域网无缝地延伸到公用网,实现对企业内部网的扩展。
(5)经济性。通过VPN构建,企业不必租用长途专线建设专网,不必投入大量的网络维护人员和设备,符合网络建设的经济合理性的原则。
3 系统安全的实施及测试
3.1系统的部署
一卡通系统由结算中心和运营单位组成,结算中心负责一卡通系统的发卡管理、密钥管理、清算管理、运营管理、设备管理;运营单位负责与一卡通结算管理中心及各种终端设备的网络通信和数据交换。通过城市通信网将结算中心与各个运营单位的电子收费系统联网,当在不安全的互联网上流通时,通过VPN网关的加密功能确保信息是密文形式。这样,即便信息被截取,也无法偷窥或篡改其内容,从而保证信息的安全性、机密性、可认证性和完整性,有效地控制企业风险[4]。同时由于POS机接入交换机,可以使整个系统的安全性承担到各个子系统中,即便某局部网络出现故障,也不会影响整个系统运行,具有良好的扩展性、兼容性和先进性。一卡通网络与安全部署如图2所示。
3.2系统安全的测试
3.2.1性能测试
(1)ping服务测试
在工作环境中,采用ping测试的网络服务,对该安全网关的数据包处理能力进行测试,测试结果如表1所示。
通过数据分析,在应用VPN(采用IPSec加密策略)后安全网关转发数据包的速度明显下降,这是因为采用IPSec 的ESP 加密IP 数据包需要一定时间,并且性能与采用具体加密算法有关。
(2) 应用测试
在工作环境中,网络连接登录时稍感延迟。但是连接网络后,日常操作与平常无明显异常。这是因为在首次网络登录连接过程中,IPSec要进行一系列的安全协商。这也是表1中ping的最大时间较大,而平均时间较小的原因。通过测试可见,在系统的性能上,采用VNP安全措施是完全可行的。
3.2.2 安全性测试
未实施VPN安全保护环境之前,采用Sniffer软件监听网络信息,不仅能监控到用户登录名及密码,而且会话协商内容也一览无遗,并且可以利用Sniffer工具对监听到的信息进行修改,对系统的正常运行构成了极大的安全隐患。图3所示的阴影部分显示出每次交易的信息。
在应用了VPN安全策略后,再使用Sniffer 进行监控[5],窃听结果就大不一样,会话协商的内容变成了一堆乱码,如图4所示。
利用VPN建立一个可选择的安全通道保证了信息传输的安全,使会话协商的安全性得到了保证,消费信息经过加密处理和认证处理,保证了数据的完整性、机密性和真实性。VPN保护是“透明性”的,系统提供的安全服务具有很强的灵活性和适应性,一般用户丝毫觉察不到安全网关的存在。
体育一卡通是某局信息化工程的核心工程,同时响应了数字北京、数字奥运的要求,迈出了积极探索、创新“数字体育”的重要一步。在Internet连接和基于IP网络错综复杂的环境下,这些新的通信需求已经超出了传统一卡通网络解决方案的处理能力。对比传统一卡通系统实现方式,通过技术的分析,突出了VPN的优势。基于IP的虚拟专用网解决方案将数据流转移到低成本的互联网网络上,可大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,简化了网络的设计和管理、方便了新用户与网站的连接、增强了网络安全。VPN技术已成为一种较为理想的一卡通系统远程互连及安全解决方案,对推动一卡通金卡工程、电子商务、电子贸易将起到不可低估的作用。
参考文献
[1] KENT S, ATKINSON R. Security architecture for the internet protocol[M]. RFC2401. 1998.
[2] BERNI D. Implementing IPsec—making security work on VPNs, intranets and extranets. Elsevier Science. 2000.
[3] GORALSKI W J. Introduction to VPN networking[M]. McGraw-Hill. 2000.
[4] 杨明,郭树旭. 北美电信企业风险管控的实践与分析[J]. 电信科学, 2009(6):86-89.
[5] 余鹏,夏永祥. 网络嗅探及对策研究[J]. 电脑知识与技术, 2008(12):77-79.