基于数字化校园环境的一卡通设计与实现

文章出处：http://www.singbon.com 作者： 人气： 发表时间：2011年09月09日

    摘要：一卡通系统是校园数字信息化建设的重要组成部分，本文根据既定目标，合理规划一卡通系统建设，讨论了系统的结构、数据库设计、系统网络安全、应用集成、数据挖掘等关键技术和解决方案。该系统具有很强的适用性、安全性、可用性、可扩展性等特点。
    关键词：数字化校园；一卡通；网络安全；采集监控；应用集成；数据挖掘

    引言

    1990 年由美国克莱蒙特大学教授凯尼斯•格林（Kenneth Green）发起并主持的一项大型科研项目“信息化校园计划”（The Campus Computing Project），使数字化校园的概念最早出现。数字化校园是全面利用当代先进的信息技术，实现从环境（如：设备、教室、实验室等）、资源（图书、课件、讲义、工具等）到活动（教、学、管理等）的全部数字化以及对各种资源的集成、整合和优化，实现资源的有效配置和充分利用，构建一个集教学、科研、管理、学习、生活为一体的，高度信息化的创新型人才培养环境，最终实现教育过程的全面信息化。

    目前，多所高校都在实施数字化校园[1-3]的建设，但真正运行良好，发挥数字化校园作用的屈指可数,其主要原因多集中在数字化校园各组成部分缺乏必要的规划和协调[4]。一卡通是数字化校园中一个重要、关键的组成部分，能为数字化校园平台提供统一的用户管理、资源管理和权限控制等核心功能，与其他组成部分有着千丝万缕的联系。因此，我院一卡通系统的实施是以数字化校园整体目标为指导。建设目标如下：

    1、方便教职员工的教学生活，提高学院社会认知度和师生员工的集体荣誉感。
    2、建立安全可靠系统结构，保证资金流安全。
    3、完善的监控体系，保证设备高可用性和安全性。
    4、沟通院内已有系统信息导向，避免信息孤岛。
    5、通过分析海量的日常信息，提供学院管理层决策。

    下面本人围绕以上5 个目标的实现，将我校建设中的经验和教训提出来供大家分享和借鉴。

    1、合理规划数字化校园下一卡通系统（实现目标1、2）。

    体系结构设计：

    我院数字化校园系统体系结构分四层，底层是基础架构服务层，包含网络及服务相关基础软硬件基础设施；上面是集成服务层，实现各应用之间数据的交换和管理；再上层是应用系统层，包含一卡通、教务管理、办公自动化等内容，负责具体的业务的管理；顶层是校园信息门户，实现数据的统一展示和个性化可定制的综合信息服务。一卡通平台采用标准的三层架构，基于WEB 的企业级应用，采用.NET、XML 和WebService为核心技术，系统应用层由十余个子系统构成，充分满足学院各方面需要，包括制卡中心、管理平台、web 服务、采集与监控、自助服务、语音平台、扫描助手、第三方数据传输等，框架结构图如图一。

图一：一卡通系统架构

    数据结构设计：

    数据库是系统的信息储存和信息交换中心，系统中的所有操作状态、操作过程和记录都集中在此进行储存和交换，因此数据库在系统中起着特殊重要的作用。数据结构也分三层设计，中心数据库位于中心机房，建立在Linux 上，采用ORACLE10G，保证数据安全和高效；通讯网关负责数据的暂存和转发，分布在各主要机具集中的地方，如食堂、澡堂、宿舍等，采用SQL2000；本地数据主要位于机具和卡片上，主要记录每次业务情况。各个数据层相互关联，形成一个统一完整的数据信息应用网络，一卡通关系型数据库框架体系结构如图二。

图二：一卡通系统数据库架构

    业务数据最终保存在卡片和中心数据库中，交易数据以卡片数据为根本，中心数据为补充，当中心数据与卡片数据不符时，以卡片数据为准。网络畅通时，机具数据上传至通讯网关，通讯网关再及时传递到中心数据库，三层中只要卡片正常，就不会影响终端交易，保证了系统的高可用性；系统停电时，机具自带UPS 电源和系统缓存，保证了正常使用。但设计弊端是当网络不通时，无法进行卡片的挂失，也无法下发黑名单到机具，易造成黒卡消费。

    2、网络安全的设计（实现目标2）

    一卡通系统网络布线分为两部分，一部分利用现有校园内公共网络进行数据传输，主要为校园内主干线和机具少而分散且单独布线代价大的部分，采用TCP/IP 协议传输；对于机具相对集中的另一部分，如：澡堂、食堂、开水房等，采用单独布线，485 串口协议传输，转换成RS232 协议进入计算机系统处理，如图三。采用485 协议部分，范围集中，容易监管，不易攻击，相对安全；从通讯网关到中心机房，设备和信息暴露在整个校园网络中，需要重点防护。防护方法为：逻辑隔离一卡通网络与校园公网，采取基于端口的VLAN 划分方式，将所有一卡通设备端口都置于同一VLAN 中间，如：port access vlan 100同时,通过ACL 控制，如：
    rule 1 deny ip source 172.17.10.0 0.0.0.255
    destination 172.17.100.0 0.0.0.255

    以保证公网设备无法访问vlan 100。但这是以接入层交换设备的支持为基础的，如: H3C的S3 系列、E 系列、锐捷的S2 系列等大部分产品都支持该功能。

图三：RS485 转RS232 连接示意图

    一卡通服务器同其他业务服务器（如：教务、认证服务服务器）都位于防火墙后方，同处于专用VLAN，这样既能保证服务器端信息流动的畅通，同时通过ACL 控制一卡通服务器端访问控制策略，又解决了中心服务器的安全问题。