校园一卡通系统工程的设计与网络及安全的实现
文章出处:http://www.singbon.com 作者:刘臻晖 人气: 发表时间:2010年08月24日
随着信息技术的发展,我国各类校园网建设水平得到很大的提高。无论是小学、中学还是大学,都在积极加强学校内校园信息化的建设,而其中的智能卡(非接触IC 卡)技术在校园信息系统建设中显得尤为突出。
一卡通以智能卡为信息载体,结合微电子技术、单片机技术、计算机网络技术及数据库技术等诸多高新科技,使其具有电子身份识别和电子钱包的功能,替代校园传统的日常生活所需的教师工作证、学生证、借书证,以及与现金相关交易的食堂饭卡(券)、医疗证、上机证、门票等,达到教、学、考、评、住、用的全面数字化和网络化,真正实现"一卡在手,走遍校园"。"校园一卡通系统"的建设,是目前高校信息化发展的必然趋势。
1. 一卡通的流程概述
"校园一卡通系统"是数字化校园建设的重要部分,涉及到校园各个运行部门和师生,建设意义和对今后影响都十分深远。目前高校校园网一卡通的建设流程主要如下:
建设模式:成立建设领导小组,专家小组和实施工作小组。提出总体设计和需求,决定采用哪种运营模式。
系统建设:建立覆盖校区的"一卡通"专用网络,采用相应的网络拓朴结构。
安全策略:
(1)卡片安全:校园应用对卡要求很高,而其中M1射频卡是非接触式IC卡中影响较大的一种。由于每张卡有独一无二的序列号,芯片有16个存储扇区,每个扇区读写需要独立双向三次论证,传递数据有严格的加密算法和密码保护。这些优点使这种卡成为高校IC卡应用的首选。
(2)网络安全:可以采用三种网络相结合的架构,一卡通系统网络、基于校园网的专用虚拟网和物理隔离的金融网络。
专网与校园网隔离,专用的物理通道保证了各校区、各层次网络连接和信息传输的安全性。银行方的数据交易,采用防火墙隔离技术,确保网络互联和边界的安全。网络内部通过MAC端口地址与IP地址绑定,封锁交换机空余的端口,配置用户口令,使用不同级别的命令等措施。从三方面即网络互联、网络边界、网络内部来确保整个专用网络的安全。
(3)数据安全:①通过制定一套完整的密钥管理体系,来保证消费过程的安全性和终端机具使用的安全性。"一卡通"系统交易过程中使用的密钥有:主密钥、工作密钥、扇区密钥、卡片扇区密钥、个人密码密钥、卡片个人密码密钥,由这六个密钥组成"一卡通"系统的密钥体系。
②收费终端采用双CPU工作、UPS供电、以及无源存储保护数据技术。正常情况下,终端数据信息均具有代码标识,实时经专网上传到"结算中心"进行结算;异常发生时,启动收费终端的数据分析功能,迅速查出数据出错源,通过底层数据还原校验予以纠正。
③数据库服务器的数据备份,同时采用磁盘阵列、磁带机等多重备份,提供足够的数据冗余;备份方式采用标准备份、增量备份、差量备份三种方法相结合保证数据的安全性。
④软件安全:建立严格的用户权限管理系统,并在用操作权限分配、登录控制、身份验证、密码控制、日志跟踪等方面设计了严密的机制,来保证安全性。
建设项目:目前各高校校园一卡通实施的项目大致如下: 一卡通专用网络、校园一卡通卡务中心、校园一卡通结算中心、银行圈存系统、数据库系统、设备管理系统、学籍教务管理系统、各类收费系统、图书馆管理系统、机房上机管理系统、门禁、通道管理系统、身份识别系统、医疗系统、后勤服务管理系统、各类信息查询系统。
2. 一卡通的几种运营方式比较
一卡通上运行的是金融交易数据及其他重要的MIS(管理信息系统)数据,在进行一卡通工程建设与实施过程中,出于系统安全和以后数字化校园建设的需要,不同高校建设可能采取不同的运营模式,而不同的运营模式直接关系到具体网络建设模式的设计。
这几种运营模式大致分为三种:1、部门级封闭式运营模式 2、银行圈存、校内发卡结算模式 3、银行圈存发卡、校内结算模式 。这3种模式涉及到学校、银行、师生(客户)、商户(校内企业)四类对象,银行、学校财务、商户、持卡人的关系如下图(图1)所示,这4类对象的特点分别如下:
图1
银行:随着银行业务发展和拓宽,项目投资也将增加,投资决定因素是存款数目、存款期限、帐户留存金额、客户群体稳定性、发展前景、可持续增长性等因素。银行可以通过银校一卡通通项目合作扩大业务范围和渠道,获得可观的资金积累。同时银行对教育的投入可以提高自身效益和知名度,从而使银校合作具有极大的推广价值。
学校:学校收费可以借助银行系统实现自动转帐,减少学校的结算工作量,同时通过银行可以提高安全性尤其大大提高学校每年新学期开始时学生从异地到校携带现金的安全性。
师生:通过圈存机将银行帐户转入学校校园卡(射频卡)帐户,避免现金交易的麻烦。
商家:校园内商家可以实现无纸币流通,防止出现假币、残币、找零的麻烦,可以和学校定期和数据中心结帐,也使学校更方便地管理学校内的商业运作。
