一卡通系统水控技术方案.docx
《一卡通系统水控技术方案.docx》由会员分享,可在线阅读,更多相关《一卡通系统水控技术方案.docx(51页珍藏版)》请在冰豆网上搜索。
一卡通系统水控技术方案
一卡通系统水控技术方案
一卡通系统水控
技术方案
神州数码系统集成服务有限公司
第一章数字化校园与校园一卡通
一.校园一卡通概念
所谓校园一卡通系统简单的来说就是:
使全校所有师生员工每人持一张校园卡,这张校园卡取代以前的各种证件(包括学生证、工作证、借书证、医疗证、出入证等)全部或部分功能师生员工在学校各处出入、办事、活动和消费均只凭这校园卡便可进行,并与银行卡实现自助圈存,最终实现“一卡在手,走遍校园”,同时带动学校各单位、各部门信息化、规范化管理的进程。
此种管理模式代替了传统的消费管理模式,为学校的管理带来了高效、方便与安全。
一卡通系统是数字化校园建设的重要组成部分,是为校园信息化提供信息采集的基础工程之一,具有学校管理决策支持系统的部分功能。
“校园一卡通”是“数字化校园”中的重要组成部分,它应主要具有综合消费类、身份识别类、金融服务类、公共信息服务类等功能。
整个系统应与银行系统、学校原有的系统和学校管理信息系统有良好的衔接,并为学校潜在管理信息系统预留合适的接口,在项目完成后随时为学校增加其它管理系统接口提供必要的协助。
二.数字化校园与校园一卡通
数字校园是以网络为基础,利用先进的信息化手段和工具,实现从环境(包括设备、教室等)、资源(如图书、讲义、课件等)到活动(包括教、学、管理、服务、办公等)的全部数字化,在传统校园的基础上构建一个数字空间,以拓展现实校园的时间和空间维度,提升传统校园的效率,扩展传统校园的功能,最终实现教育过程的全面信息化。
从而达到提高教育管理水平和效率的目的。
数字化校园就是网络化的信息传输、数字化的信息资源和智能化的用户终端,三者有机的结合。
随着校园的数字化、信息化建设的逐步深入,校园内的各种信息资源整合已经进入全面规划和实施阶段,校园一卡通以结合学校正在进行的统一身份认证、人事、学工等MIS和应用系统等建设。
校园一卡通为数字化校园提供重要数据决策信息,通过共同的身份认证机制,实现数据管理的集成与共享,使校园一卡通系统成为信息化数字校园建设的核心组成部分。
通过这样的有机结合,可以避免重复投入,提高建设进度,为系统间的资源共享、各子系统数据互联互通打下基础。
三.校园一卡通建设意义
1.校园一卡通系统的基本需求
校园一卡通系统最根本的需求是“信息共享、集中控制”,因此系统的设计不应是各单个功能的简单组合,从统一网络平台、统一数据库、统一的身份认证体系、数据传输安全、各类管理系统接口、异常处理等软件总体设计思路的技术实现考虑,使各管理系统,各读卡终端设备综合性能的智能化达到最佳系统设计。
系统设计应考虑学校统一的人员、教学、科研等基本管理信息系统数据库,校园卡作为个人身份ID,通过“校园一卡通”实现校园内信息充分共享,保证数据的实时性、准确性和完整性。
系统软、硬件均应采用模块化结构设计,充分考虑学校需求的变化,其系统扩充和升级的方便性和灵活性,提供标准、通用的信息接口,并能与原有各部门的管理系统相兼容,还需考虑可能与各校本部的“一卡通”系统友好相接。
可确保用户投资的长期效益,避免资源重复投资。
1.1.统一标准
遵循教育部《教育管理信息化标准》,以学校需求为目标,统一信息规范、统一身份认证、统一信息发布,构建一卡通的运行平台。
提供标准的接口套件,满足校园原有的MIS系统和扩展应用系统的对接整合,如教务系统、图书系统、财务系统等;面向公共服务、网络服务、MIS和OA的接口等,也可以根据学校的具体需求实现其它的接口程序,在校园网上运行。
1.2.提高效率
全面整合和优化业务流、数据流;提高办公质量,减少管理复杂度,规范办公流程。
1.3.保护原有投资
尽可能的利用校方原有的软、硬件设备,或在其基础上进行升级,而对校方已有的投资项目,尽可能的以接口方式实现一卡通的管理,避免重复投资造成的浪费,而像校方标书中提到的财务管理、迎新系统、网络计费、图书馆管理等系统,我方会根据校方的要求以接口的方式实现其一卡通的综合管理和应用。
1.4.开放性和自主扩展性
模块化结构设计,为不断发展的应用需求提供相应个性化服务功能
开放:
可以向最终用户开放卡空间结构、密钥体系的主密钥、标准的交易流程以及数据库的访问接口等相关资料,以便第三方的卡片、设备、系统及软件可以接入校园一卡通。
2.基础信息完善
校园一卡通建设中基础信息的完善是至关重要的,这不仅是系统设计、实施成败的关键,也直接影响到数字化校园模式下一卡通的建设。
基础信息分为数据库信息和卡信息两类。
2.1.一卡通系统数据库中的基础信息
Ø基本信息:
姓名、性别、学/工号、民族、国籍、拼音、身份证、院系班级、单位信息等;
Ø扩展信息:
入学录取信息、准考证号码、家庭住址、Email、医疗收费、学费缴费信息;
Ø个人账户信息
账户余额、总额、交易流水计数器、津贴余额、银行圈存信息,以及消费、充值、津贴发放、银行转账等交易流水明细记录;
Ø身份识别信息
持卡人身份(教师、学生等)、权限、借书证号、学生证号、医疗证号、照片、指纹;
Ø汇总统计信息
各个收费/消费网点的收入支出汇总、各个身份识别应用点的统计汇总等。
2.2.校园卡中的信息
Ø个人信息:
姓名、性别、民族、学/工号、身份证号码等;
Ø卡信息:
卡类别、发卡日期、帐号、卡号、卡序号、卡批次号、卡状态等;
Ø电子钱包信息:
卡余额、累积消费次数、餐别、本日、餐别消费累积、当日消费累积等;
Ø操作权限特区:
对读卡设备的不同操作权限信息、权限校验信息等;
Ø卡的有效性信息:
有效截止期、暂时失效期限控制信息等;
Ø以及保密信息(个人六位消费密码)、学生注册信息、单位信息、补助相关信息等重要信息。
3.全面数据共享
全面的数据共享,要遵循统一化和标准化,以便于信息共享和交流及将来的维护,具备灵活的扩展性和良好的可移植性,设计中硬件产品的选择和软件结构的设计都要坚持标准化原则。
同时,信息的全面共享,必须以有效的系统安全机制为基础。
3.1.系统内共享
系统采用分布式数据库设计。
分数据库与主数据库之间的数据共享,通过数据同步复制与分发系统完成,达到系统信息的实时同步,全面共享。
一卡通系统内,基础信息一次输入,多处、多点、多系统共享使用,根据不同访问权限,可以随时查询流水记录、汇总信息。
综合查询、自助查询、WEB查询、电话语音等系统,为在校师生提供在任意地点、多种方式信息查询服务。
3.2.系统外共享
完善的基于数字化校园平台的综合管理集控中心和数据交换共享中心,是系统数据交换和信息共享的基础平台,通过这个平台可以实现校园一卡通各种子系统以及其他管理MIS系统的数据与一卡通中心数据系统之间的数据相互共享,通过Webservice接口、卡应用接口及动态应用接口,实现安全有效的第三方接入方案,达到信息共享。
3.3.信息共享的安全
要在网络连接、软件登录、子系统和终端设备的管理、第三方接入等多个方面解决信息共享的安全。
4.实现集中控制
一卡通系统平台中的系统集控中心,实时对整个系统中运行的子系统、登录用户、以及设备实行集中控制,集中控制主要体现在提高系统的安全级别、以及对各个子系统之间的管理。
一卡通系统中所有应用程序登录授权,必须通过管理中心的统一授权,提供多种登录认证方式。
系统的认证方式有:
口令认证、授权卡认证、数字签名认证、混合认证等,根据数据的安全级别,可使用一种认证方式或多种方式联合使用,以达到访问控制的安全。
子系统和终端设备的增减需通过相关的管理软件进行授权。
对于身份识别类应用,例如门禁、宿管等系统支持远程授权和控制。
只有被许可的计算机或终端设备可以接入一卡通系统。
第三方系统的接入,需要通过管理中心的授权和认证。
5.一卡通行校园
1).建立全校的教职工、学生基础信息数据库,各校区校园网之间的互联互通,实现人员、财务、单位的多种信息在多个校区之间共享。
2).校内统一的财务管理,针对校内行政、科研经费管理,食堂、浴室、水电收费,教学上机、图书借阅、学费、考务费等,多种消费、收费的资金综合管理。
3).银校通校园卡,从餐饮、超市、洗浴等校内消费,图书馆、身份识别,到银行网点、自助终端ATM等,为师生提供校内外的多方位、立体化的综合服务体系。
4).电子钱包的消费,在各校区内,凡涉及到现金使用的任何一个消费网点,校园一卡通的电子钱包都能通用,如:
缴费、食堂、超市、小卖部、浴室、洗衣等收费管理等。
5).身份识别,用校园一卡通取代各个校区以前的各种证卡(包括学生证、工作证、借书证/卡、出入证等),实现身份识别一卡通。
如在各校区内图书借阅、重要场所出入管理、会议签到等处的身份识别功能。
6).教务、学籍管理,涉及新生注册、交费、学生毕业/退学,以及教学管理中的教材、课程安排、上机管理、电教中心、实验室、成绩管理等内容,系统主要通过以身份识别为主,附带相关收费管理的综合应用。
7).系统设计时充分考虑校园内原有管理系统的接入要求,预留多种第三方系统接入方案。
8).自助业务:
在各校区建立统一的校园自助服务系统,包括网上查询、触摸屏查询、领导查询、综合信息查询、电话语音查询挂失服务等,为持卡人提供7*24小时的全天候服务。
9).银行卡、校园卡二者物理分离。
其中校园卡在校园内通用;银行卡在银行网点通用,进行电子货币结算,如:
银行网点、银行ATM机、商场、宾馆、酒店等。
通过自助圈存、自动圈存等方式实现持卡人从银行卡到校园卡的实时自助、自动转账功能。
可实现校园卡与多银行卡之间的转账。
第二章数字化校园体系下的一卡通规划设计
一.校园一卡通系统结构示意图
二.校园一卡通系统应用框架图
三.校园一卡通技术特色
1.系统采用三层架构,统一的子系统管理平台
系统采用真正的三层架构,实现中心数据库和应用层的隔离,屏蔽用户直接对数据库的操作,所有的数据操作通过预先定义的接口,通过数据访问层对数据库进行操作,所有的接口规范都是统一的,在保证数据安全的前提下,通过这些接口对中心数据库进行间接的访问。
支持多数据库操作系统,多操作系统支持的数据访问层具有标准的接口定义,后台数据库操作系统变化,前台的应用系统无需变化。
在应用层面,所有的子系统经过管理中心的授权,可以方便接入一卡通中心平台,接受系统集控平台的统一管理。
2.统一的接口
所有的子系统应用,最终是接受一卡通集控中心的管理,而所有的数据交换与共享,则是通过一卡通中心平台的数据访问层进行数据交换,在数据访问层中,我们定义了一系列的标准接口和应用规范,在相关的子系统开发中,我们严格依据这些接口标准和规范,进行统一的数据接口的二次定义和开发,使得每个应用子系统在接入一卡通平台时,只需要通过数据集控平台的授权,即可以安全、快捷的接入一卡通系统。
3.系统集控机制完善
●用户授权:
通过集控中心,实时监控所有登录用户的操作权限和对数据访问的区域控制。
保证所有系统用户合法接入和对系统的合法管理。
●对子系统运行进行集中监控、授权和管理,对所有接入的子系统进行接入的授权以及资源的分配,进行统一的管理,保证子系统的合法接入并正常运行。
●利用通讯网关,7X24小时不间断的集中采集交易、流水记录,集中处理汇总信息,实时监测数据流量及数据通讯能力,监测非法数据的入侵和对数据的传输进行有效的资源分配。
●对系统的接入设备进行集中授权控制:
所有在系统中运行的设备,必须经过集控中心的授权,并有相关的接入控制代码后,可以在指定的区域运行并接受中心集控平台的控制和管理。
●接入设备有唯一的设备序列号编码控制。
每台接入系统运行的终端设备都有全球唯一序列号作为授权码,保证系统设备的唯一性并保证运行中数据的安全性和合法性。
4.真正电子钱包应用
真正的电子钱包方式,以卡为准,保证个人账户的一致性、连续性。
支持主钱包和多个小钱包的应用。
5.系统账务平衡管理
系统每日进行定时扎账处理,有脱网数据未上传时,自动采用挂账方式,做到个人账户的账务平衡,出现异常情况,系统自动分析和报告异常原因,方便管理者分析处理。
6.动态优化黑名单优化技术
黑名单动态管理,批次和零散两级控制,对黑名单的产生、分发、消亡进行优化管理,自动处理冗余黑名单,保证黑名单使用的高效性。
系统支持255个黑名单批次,毎个批次下可容纳65535个黑名单。
单台终端设备可存储10万条零散黑名单和254个批次黑名单。
7.联机验证白名单技术
系统在控制器联网状态下联机验证卡片的有效性。
8.系统数据备份冗余
●完善的数据库备份机制;
●各工作站数据库账务数据总和与中心数据库账务数据一致;
●终端机内的记录数据备份;
●卡内重要数据信息备份;
9.系统数据安全措施
●数据库内关键数据密文方式存储;
●POS机内记录有CRC校验,检验POS机记录的合法性和有效性;
10.保护持卡人利益
●消费限额功能
●提供24小时不间断挂失
四.校园卡及设备选型
1.校园卡选型介绍(MifareS50选配)
MifareS50:
1KByte(8KBit)非接触式IC卡,主要性能指标如下:
●容量为1KByteEEPROM;
●分为16个扇区,每个扇区为4块,每块16个字节,以块为存取单位;
●每张卡有唯一序列号,为32位;
●具有防冲突机制,支持多卡操作;
●无电源,自带天线,内含加密控制逻辑和通讯逻辑电路;
●工作温度:
-20℃~70℃;
●工作频率:
13.56MHZ;
●通信速率:
106KBPS;
●读写距离:
100mm以内(与硬件设计有关);
●数据保存期为10年,可改写10万次,读不限次;
●控制属性:
每个扇区的密码和存取控制都是独立的,可以根据实际需要设定各自的密码及存取控制。
2.校园卡选型介绍(MifareS70选配)
我们选用的非接触式IC卡为飞利浦MifareOneS70芯片。
质量可靠,一年内非人为损坏的免费更换。
S70芯片具有实用快捷、方便、寿命长、可靠等特点,尤其是其方便快捷的特性:
只要持卡者进入读写器的检测范围之内(如0-100mm),读写器就可以快速读出数据。
●容量为4Kbyte(32KB)EEPROM,支持多扇区存贮并有分区安全机制,支持分区授权,卡片的编程拉口可以向学校指定的技术人员开放;
●分为40个扇区,其中32个扇区中每个扇区存储容量为64个字节,每个扇区分为4块,每块16个字节;8个扇区中每个扇区存储容量为256个字节,分为16块,每块16个字节;以块为存取单位每个扇区有独立的一组密码及访问控制。
●每张卡有全球唯一序列号,为32位;
●具有防冲突机制,支持多卡操作;
●无电源,自带天线,内含加密控制逻辑和通讯逻辑电路;
●工作温度:
-20℃~50℃;
●工作频率:
13.56MHZ;
●通信速率:
106Kbps;
●读写距离:
50~100mm以内(与硬件设计有关);
●数据保存期为10年,可改写10万次,读不限次;
●控制属性:
每个扇区的密码和存取控制都是独立的,可以根据实际需要设定各自的密码及存取控制。
3.校园卡功能设计
Ø校园卡与银行金融卡在物理上分为两卡,便于卡发行和管理方便。
Ø卡面印有持卡人的彩色照片、姓名、学号(工号)、卡号和学校LOGO、图书馆借书证条码(过渡阶段时在图书馆使用,过渡期后,图书馆直接使用卡内信息)等。
Ø卡存储区合理分配,当前功能满足的同时,为系统将来的功能扩充留下的充足的功能空间。
Ø卡具有非线性特性,卡内数据安全可靠,不可复制。
Ø提供多种类型卡:
●教师卡:
教师使用,卡面上与学生卡有明显区别,具有校园卡的所有消费和身份识别功能;
●学生卡:
学生使用,卡面上与教师卡有明显区别,根据学校的情况可以分为本科生、研究生等,具有校园卡的所有消费和身份识别功能;
●临时卡:
供学校师生员工在等待补卡或尚未取得正式卡前使用。
只有“钱包”功能
●钱包卡:
供临时人员在食堂用膳或小卖部消费时使用。
只有“钱包”功能
●部门卡:
校内单位使用,可代替部门经费卡,应用于专项经费、授权信息查询和特定范围消费和使用场合。
●身份卡:
只有身份标识,无“钱包”功能
所有卡中都将设置有效时间段的信息,当有效期结束后,各子系统自动拒绝使用该卡,需要继续使用时,持卡及有效证件到校园卡中心延长有效期。
4.校园卡信息结构
4.1.卡内基本信息
姓名、性别、卡号、学号(或教师工资号)、身份证号、录取号、准考证号、图书馆条码号、单位标识、身份标识、批次号、补卡次数、个人密码、卡片标识、卡片用途、卡片状态、卡片类型、有效方式、有效期、卡金额、计划内机时额、透支额、消费日志、转账日志、补助发放日志、指纹等。
4.2.卡面信息
在IC卡基面上可选的打印信息可以包括学生姓名、照片、学号(教师工资号)、类别、院、系、专业、图书证条码等(包括以上内容但不止以上内容),图书证条码一般是通过软件设置将原图书证条码信息与IC卡中的信息统一起来,而不需要印制在卡片表面。
4.3.卡内电子钱包
在卡上设立一个电子钱包,进行消费,包括:
食堂、超市、机房、教务等,这些消费在服务器上存有使用明细,当卡丢失时可以冻结补回;同时要求具有新建多个电子钱包的功能。
特殊钱包,用于存放计划内机时、水票等不需要学生付费而由学校定额配给的专用费用。
4.4.特殊补助钱包
补助作为一种特殊小的钱包来使用。
之所以特殊,是因为补助领取到小钱包后,既可以设置成专款专用模式(如餐补只能在食堂消费),也可以设置成和主钱包一样无自由使用。
无论哪种模式,在消费允许范围类,优先使用补助钱包,补助钱包余额不足时,和主钱包余额叠加使用。
4.5.主钱包与小钱包
校园一卡通系统中校园卡的消费、收费等操作,均依靠卡中的电子钱包实现。
电子钱包又分成一主六小,七个钱包。
电子钱包信息既满足普通的消费需求,也能满足一些特殊的消费需求,例如:
●如:
非学生、辅导员和班主任在学生食堂就餐时,需收取一定的手续费等;
●特殊消费需求可通过在卡内单独分区的方式解决,也可考虑采取其它方式实现。
●电子钱包应用方案:
主钱包一般与通常讲的电子钱包是一致的,其中主要存放持卡人的现金充值额、银行自助圈存充值额、各种补助津贴款等账目信息,与一卡通中心数据库保持同步,每笔消费均形成流水,计入总帐。
主要应用在金额较大,流水数量较多的场合,如:
餐厅消费、校医院收费、各种行政收费、考务费机房上机等。
●小钱包应用方案:
小钱包中的金额是通过专用校园卡转款充值机,将主钱包余额的一部分,转入其中,同时生成转款流水记录,小钱包只能在授权的终端机上使用,不形成流水记录,小钱包终端机只记录本机的交易总额等信息,小钱包主要应用在浴室、开水房等比较分散或不易联机运行的消费环境。
系统共支持六个小钱包,独立使用,账目独立核算。
4.6.卡内身份认证信息
●身份识别在一卡通系统中的应用:
校园卡取代以前的多种证件(如学生证、工作证、借书证、医疗证、出入证等)全部或部分功能,身份识别是在一卡通应用中对持卡人身份的验证,主要是通过卡有效性、持卡人身份、通道权限等,以单独或联合的方式进行验证。
对于不同的应用环境,验证的方式不同。
主要应用在教学管理(成绩、排课、学籍等)、宿舍门禁、校门出入管理、会议签到、图书馆(图书借阅、阅览室出入控制等)。
五.系统架构设计及应用方案
1.数字校园下的三级平台架构
系统架构采用三级平台结构:
数字校园中心作为一级平台;银行、教务、财务、校园卡管理中心作为二级平台;各应用系统为三级平台。
一级平台:
数字校园的共享数据中心、统一身份认证和统一门户系统作为数据交换和共享的核心;
二级平台:
银行网络系统,通过电信线路与学校校园卡管理中心实时连接,实现用户的实时圈存、银行卡挂失、每日业务结算等。
校园网作为“校园智能卡”系统的骨干通讯平台,主要实现校园卡在学校内的各种业务。
三级平台:
本项目的各种应用子系统和与校园卡相关联的其它应用子系统。
2.基于校园网的应用系统
“校园一卡通”系统必须基于校园网运行,使之成为覆盖全校范围的网上应用系统。
在校园网上划出供其运行的虚拟专用网(VLAN),并采用完善的安全技术,通过网络实现跨校区互连,在校园网上提供综合信息门户服务。
为提高系统安全性,尤其是部分金融服务的子系统(如圈存),同时需要铺设部分专网,利用路由和软件交互方式实现网关切换。
一卡通系统中主要有TCP/IP和RS485两种协议,在系统网络建设结构中,提高了建设的灵活性、安全性、可维护性。
在人员消费比较集成的地方,推存使用485模式,比如餐厅、食堂,对于布线有困难或有校园网的地方,可以安装TCP/IPPOS机,简单方便。
3.数据库平台选择
系统数据库可以选用性能最稳定的Oracle10g数据库,也可以选用性价比较高MSSQLServer数据库,操作系统平台可以选用性价比高的LINUX平台,也可以选用最为成熟稳定的UNIX操作系统,当然,基于SQLServer的数据库要选用WindowsServer系列操作系统,灵活的搭配为系统的建设灵活性和稳定性提供了基础保障。
4.系统安全体系设计
系统三级结构体系,分别应用到校园网、VLAN虚拟网,485总线网。
网络结构和应用体系复杂,为了使用这种情况错综复杂体系。
系统分别从:
数据库系统存储安全,系统密钥设计安全,网络访问安全,网络数据访问安全,Web策略安全,软件设计安全措施,数据通讯安全等多方面采取对应的安全措施,从而保证正常安全的运行。
5.完善的第三方接入方案
实施数字化校园下的一卡通系统,为客户提供全面的信息化解决方案的同时,为了确保用户投资的长期效益,避免系统重复建设和浪费,需要接入许多第三方应用系统,如图书馆管理系统、教务管理系统、学校财务管理系统、学校医疗管理系统、网络计费系统、资产管理系统、学校人事管理系统等。
第三方系统接入后,有效解决各个相对独立系统的统一管理、协同工作、信息自动同步处理。
原有系统的正常运行保护了原有的投资,同时进步方便师生在校生活,减轻工作人员的工作量,提高工作和管理效率。
和第三方系统对接时,传输基于TCP/IP网络实现;系统软件分别从WebService接口层、应用程序层、卡片读写层提供多种接口实现:
WebService标准方法引用、工业级标准XML文件交换、扫描助手、服务组件包、二次开发SDK动态库(DLL)、协议报文数据包交换、数据库视图映射等。
灵活的组网方式,接口的多样化和标准化,为第三方系统接入提供了坚实的基础。
6.系统的运行结构设计
系统的主要运行特点使用真正的电子钱包方式,系统支持联机和脱机两种运行模式,这种特点为系统中的灵活应用提供了基础,为类似车载收费等移动收费提供了可能性和可靠性。
设计有设备的授权集控管理机制,保证设备接入的合法性,设计有设备的使用签到和签退功能,保证交易的完整性和合法性。
利用数据通讯网关,对联机终端进行7*24小时不间断的集中数据采集,保证数据的安全、可靠。
7.一卡通对突发事件的处理方案
Ø设计有完善可行数据的容错方案,保证数据库在突发故障情况时可以减少系统的数据风险,数据库的完整性和一致性同时缩短系统的恢复时间;
Ø中心数据库的双机热备方案,利用双通道保证对中心数据库的有效访问。
Ø异地备份方案,对于中心数据库系统利用磁带机或磁带库进行异地备份,也可以根据校方需求增加基于网络在线存储NAS备份方案,最大可能的减少灾难性事故带来的危害。
Ø二级缓存机制,在数据通讯网关上保存有持
升级会员 