基于数字化校园环境的一卡通设计与实现
文章出处:http://www.singbon.com 作者: 人气: 发表时间:2011年09月09日
摘要:一卡通系统是校园数字信息化建设的重要组成部分,本文根据既定目标,合理规划一卡通系统建设,讨论了系统的结构、数据库设计、系统网络安全、应用集成、数据挖掘等关键技术和解决方案。该系统具有很强的适用性、安全性、可用性、可扩展性等特点。
关键词:数字化校园;一卡通;网络安全;采集监控;应用集成;数据挖掘
引言
1990 年由美国克莱蒙特大学教授凯尼斯•格林(Kenneth Green)发起并主持的一项大型科研项目“信息化校园计划”(The Campus Computing Project),使数字化校园的概念最早出现。数字化校园是全面利用当代先进的信息技术,实现从环境(如:设备、教室、实验室等)、资源(图书、课件、讲义、工具等)到活动(教、学、管理等)的全部数字化以及对各种资源的集成、整合和优化,实现资源的有效配置和充分利用,构建一个集教学、科研、管理、学习、生活为一体的,高度信息化的创新型人才培养环境,最终实现教育过程的全面信息化。
目前,多所高校都在实施数字化校园[1-3]的建设,但真正运行良好,发挥数字化校园作用的屈指可数,其主要原因多集中在数字化校园各组成部分缺乏必要的规划和协调[4]。一卡通是数字化校园中一个重要、关键的组成部分,能为数字化校园平台提供统一的用户管理、资源管理和权限控制等核心功能,与其他组成部分有着千丝万缕的联系。因此,我院一卡通系统的实施是以数字化校园整体目标为指导。建设目标如下:
1、方便教职员工的教学生活,提高学院社会认知度和师生员工的集体荣誉感。
2、建立安全可靠系统结构,保证资金流安全。
3、完善的监控体系,保证设备高可用性和安全性。
4、沟通院内已有系统信息导向,避免信息孤岛。
5、通过分析海量的日常信息,提供学院管理层决策。
下面本人围绕以上5 个目标的实现,将我校建设中的经验和教训提出来供大家分享和借鉴。
1、合理规划数字化校园下一卡通系统(实现目标1、2)。
体系结构设计:
我院数字化校园系统体系结构分四层,底层是基础架构服务层,包含网络及服务相关基础软硬件基础设施;上面是集成服务层,实现各应用之间数据的交换和管理;再上层是应用系统层,包含一卡通、教务管理、办公自动化等内容,负责具体的业务的管理;顶层是校园信息门户,实现数据的统一展示和个性化可定制的综合信息服务。一卡通平台采用标准的三层架构,基于WEB 的企业级应用,采用.NET、XML 和WebService为核心技术,系统应用层由十余个子系统构成,充分满足学院各方面需要,包括制卡中心、管理平台、web 服务、采集与监控、自助服务、语音平台、扫描助手、第三方数据传输等,框架结构图如图一。
图一:一卡通系统架构
数据结构设计:
数据库是系统的信息储存和信息交换中心,系统中的所有操作状态、操作过程和记录都集中在此进行储存和交换,因此数据库在系统中起着特殊重要的作用。数据结构也分三层设计,中心数据库位于中心机房,建立在Linux 上,采用ORACLE10G,保证数据安全和高效;通讯网关负责数据的暂存和转发,分布在各主要机具集中的地方,如食堂、澡堂、宿舍等,采用SQL2000;本地数据主要位于机具和卡片上,主要记录每次业务情况。各个数据层相互关联,形成一个统一完整的数据信息应用网络,一卡通关系型数据库框架体系结构如图二。
图二:一卡通系统数据库架构
业务数据最终保存在卡片和中心数据库中,交易数据以卡片数据为根本,中心数据为补充,当中心数据与卡片数据不符时,以卡片数据为准。网络畅通时,机具数据上传至通讯网关,通讯网关再及时传递到中心数据库,三层中只要卡片正常,就不会影响终端交易,保证了系统的高可用性;系统停电时,机具自带UPS 电源和系统缓存,保证了正常使用。但设计弊端是当网络不通时,无法进行卡片的挂失,也无法下发黑名单到机具,易造成黒卡消费。
2、网络安全的设计(实现目标2)
一卡通系统网络布线分为两部分,一部分利用现有校园内公共网络进行数据传输,主要为校园内主干线和机具少而分散且单独布线代价大的部分,采用TCP/IP 协议传输;对于机具相对集中的另一部分,如:澡堂、食堂、开水房等,采用单独布线,485 串口协议传输,转换成RS232 协议进入计算机系统处理,如图三。采用485 协议部分,范围集中,容易监管,不易攻击,相对安全;从通讯网关到中心机房,设备和信息暴露在整个校园网络中,需要重点防护。防护方法为:逻辑隔离一卡通网络与校园公网,采取基于端口的VLAN 划分方式,将所有一卡通设备端口都置于同一VLAN 中间,如:port access vlan 100同时,通过ACL 控制,如:
rule 1 deny ip source 172.17.10.0 0.0.0.255
destination 172.17.100.0 0.0.0.255
以保证公网设备无法访问vlan 100。但这是以接入层交换设备的支持为基础的,如: H3C的S3 系列、E 系列、锐捷的S2 系列等大部分产品都支持该功能。
图三:RS485 转RS232 连接示意图
一卡通服务器同其他业务服务器(如:教务、认证服务服务器)都位于防火墙后方,同处于专用VLAN,这样既能保证服务器端信息流动的畅通,同时通过ACL 控制一卡通服务器端访问控制策略,又解决了中心服务器的安全问题。
第1页第2页 |