晨风智能卡应用系统整体解决方案.docx
《晨风智能卡应用系统整体解决方案.docx》由会员分享,可在线阅读,更多相关《晨风智能卡应用系统整体解决方案.docx(80页珍藏版)》请在冰豆网上搜索。
晨风智能卡应用系统整体解决方案
企业一卡通系统
整
体
解
决
方
案
重庆市煦杨科技有限公司
二〇壹贰年叁月
第一章项目概述
一.1.项目背景
随着现代企业全面迅猛发展,厂区面积急剧扩大、员工快速增加,给公司的管理增加了成倍的压力;同时新的形势对公司的管理体系提出了新的挑战,因此需要采用更合理和人性化的管理模式,给员工的生活和日常消费提供便利,提升企业集团的竞争力。
一.2.总体需求
通过企业一卡通系统的建设,员工通过一张企业卡作为本人唯一的电子身份标识,在企业内按个人权限获取相关服务、访问相关资源、进行相关消费或实施相关管理工作,整个一卡通系统建设主要包括厂区出入管理、食堂就餐、银行圈存转账、上班考勤、访客登记及进出管理、车辆进出地下车库、会议签到等管理,所有管理服务均使用企业卡进行身份识别,所有消费均利用企业卡进行结算。
如下:
1)实现对员工厂门、宿舍的进出管理,对访客的登记及厂区进出管理。
2)实现员工消费的统一管理,通过与银行卡结合,员工可自助转账。
3)实现对车辆进出地下车库的管理,特别企业内部车辆的管理。
4)实现对公共会议室进出的管理,并对与会人员进行记录。
5)实现对员工考勤的管理,提供多种考勤方式,将考勤数据发给人力资源系统。
6)一卡通系统能与监控、消防系统结合,满足企业智能化要求。
一.3.建设内容
企业企业一卡通系统项目建设内容:
1)一卡通数据中心
2)一卡通网络平台
3)卡务管理子系统
4)门禁管理子系统
5)通道管理子系统
6)考勤管理子系统
7)电梯控制管理子系统
8)停车场管理子系统
9)访客管理子系统
10)食堂消费管理子系统
11)节水控制子系统
12)银行圈存子系统
13)会议签到管理子系统
14)自助服务子系统
与其它系统的接口
14)与HR系统的接口
15)与医疗管理系统的接口
16)与图书管理系统的接口
一.4.系统特点
本系统设计以“经济实用”为原则,遵循可靠性、先进性、实用性、安全性、开放性和经济性的原则,采用晨风公司的“基于TCP/IP通讯协议的C3一卡通企业整体解决方案”,系统混合C/S、B/S模式的多层体系,以“平台+应用”的1+N架构,基于企业内部办公网络,实现门禁、考勤、消费、巡更、访客、停车场等的集中统一管理,与其它系统相比具有以下特点:
系统具有以下特点:
1、先进的体系架构:
采用晨风公司自主研发的基于“TCP/IP的C3数字化校园一卡通系统”,采用“1+N(1个平台+N个子系统应用)”的体系架构,统一规划功能、数据库结构、卡片结构和通讯协议,在平台上可以根据企业需要增加用户应用子系统扩展而不需要改变平台,所构建的系统不仅可以满足企业当前一卡通应用的要求,还满足将来建设的技术要求,真正实现了卡通、库通、网通,决非仅共用卡片的拼凑型系统。
2、统一的数据平台:
数据中心设在公司总部,使用SQLSERVER数据库整合全企业基础数据资源,从而构建统一数据平台,实现数据共享、同步和交换,同时可实现对数据库的历史数据迁移归档管理,提高数据库的运行速度。
3、开放的数据接口:
提供通用的数据库接口、中间件接口、底层硬件动态库等多种数据接口,实现一卡通系统与图书管理系统、机房管理系统的数据交互、数据共享。
4、统一的客户端管理:
客户端采用采用统一部署管理,多个子模块无需安装多个不同客户端,只需在每个管理工作站安装一套软件即可,通过系统管理平台为每个操作员授权,操作员登录系统后可根据权限操作不同的管理系统。
11、个性化的员工自助查询服务:
员工自助查询服务可根据企业个性化需求定制,提供WEB查询、触摸屏查询和电话语音方式,满足企业个性化自助查询服务。
4、安全的密钥体系:
本方案采用晨风公司专有的“智能卡一卡一密方法和系统”的发明专利技术设计一卡通系统密钥体系。
从卡片数据结构、机具读写卡片、机具存储数据、数据通讯加密、网络安全、数据库安全、用户权限、应用系统签到签退等一系列环节采取了完整严密的安全策略,确保一卡通所有数据的安全。
该安全体系的母密钥由企业掌控。
5、独立的多钱包管理:
系统的用户卡片支持PhilipsS50卡和PhilipsS70卡,规划了多个具有独立功能的小钱包,支持专款专用消费,多钱包账户结算和专款专用,支持银行圈存转账、现金充值、自动补助充值,可以满足企业子系统扩展的需要。
6、可靠的读写机具:
智能卡读写机具既可在线联网运行,也可离线单独工作,日常读写卡业务完全不依赖网络或计算机或数据库。
故障消除后数据可上传到数据中心进行处理。
7、严密的用户权限管理:
系统可严格按照业务流程、岗位职责分配不同的操作使用权限,一卡通设备和应用软件的签到和签退必须经过系统的认证,防止非法用户滥用功能和篡改重要的数据。
8、完整的数据记录:
每一张卡片的每一次刷卡、每一台机具的每一次读写卡、管理人员的每一次业务操作均有流水记录,保证在故障情况时丢失数据后可以追索任何一次交易行为的数据,为数据审计提供技术手段。
9、实用的自定义报表管理:
系统操作简单、功能强大。
特别是自定义报表功能和自定义桌面功能可以充分满足用户的个性化需求。
第二章企业一卡通系统总体设计
二.1.设计依据
1)GB/T50314-2006智能建筑设计标准
2)JGJ/T16-2008民用建筑电气设计规范
3)GB50339-2003智能建筑工程质量验收规范.
4)GB/T50311-2000建筑与建筑群综合布线系统工程设计规范
5)GB/T50312-2000建筑与建筑群综合布线系统工程验收规范
6)GB50303-2002建筑电气工程施工质量验收规范
7)GB50343-2004建筑物电子信息系统防雷技术规范
8)GB50348-2004安全防范工程技术规范
9)GB/T50311-2007综合布线系统工程设计规范
10)GB50396-2007出入口控制系统工程设计规范
11)GB16796-1997安全防范报警设备、安全要求和测试方法
12)BMZ1-2000涉及国家秘密的计算机信息系统保密技术要求
13)企业一卡通项目需求建议书
二.2.规划原则
C3系统建设遵循了以下几个原则:
1)先进性
C3系统在设计思想、系统架构、采用技术、选用平台上均要具有一定的先进性、前瞻性、扩充性。
在充分考虑技术上先进性的同时,尽量采用技术成熟、市场占有率比较高的产品,从而保证建成的系统具有良好的稳定性、可扩展性和安全性。
2)实用性
C3系统在尽量满足业务功能需求的前提下,要适应各业务角色的工作特点,做到简单、实用、人性化。
实现统一身份和资源管理、统一认证、统一内容管理、个性化界面和内容定制。
3)高可靠性和健壮性
C3系统建设必须保证系统的可靠性和安全性。
系统设计中,应有适量冗余及其他保护措施,平台和应用软件应具有容错性、健壮性等。
4)开放性
C3系统在系统构架、采用技术等都必须要有较好的开放性。
特别是在选择产品上,要符合开放性要求,遵循国际标准化组织的技术标准,对选定的产品既有自己独特优势,又能与其他多家优秀的产品进行组合,共同构成一个开放的、易扩充的、稳定的、统一软件的系统。
5)可维护性
C3系统系统设计应标准化、规范化,按照分层设计,软件构件化实现。
对于采用的软件构件化开发方式要满足:
一是系统结构分层,业务与实现分离,逻辑与数据分离;二是以统一的服务接口规范为核心,使用开放标准;三是构件语意描述要形式化;四是提炼封装构件要规范化。
6)可伸缩性和可升级性
考虑到企业一卡通系统建设是一个循序渐进、不断扩充的过程,C3系统采用积木式结构,整体构架的考虑要与现有系统进行无缝连接,为今后系统扩展和集成留有扩充余量。
7)可移植性
C3系统选择开放的应用平台,建设一套与平台无关,以统一的服务接口规范和与各种数据库相连的应用组件。
二.3.总体设计思想
通过对企业的需求进行分析,我们按照“总体规划、分布实施”的原则,并根据根据企业的实际需求,在满足企业目前要求基础上,我们提出了“C3数字化企业一卡通整体解决方案(以下简称C3系统)”,对企业一卡通系统进行规划,实现身份识别、电子支付、信息管理,建立整正意义上的数字化企业一卡通系统。
二.4.体系结构
我公司自主研发的C3系统采用混合C/S、B/S模式的多层体系,以“平台+应用”的1+N架构,即是以控制台、人员信息、设备卡和账套平台为基础,可实现权限管理、消费管理、银行圈存、门禁管理、考勤管理、巡更管理、会议签到管理、访客管理、停车管理、电梯控制、综合服务等,同时可实现与企业的HR系统、安放系统等系统的集成,并且可随着企业以后业务需求增加而扩展,无需改变平台,如下图:
二.5.“卡通、库通、网通”
⏹卡通
卡通指卡片上各应用子系统的数据可以互通互用,但又不失各应用子系统的独立安全要求。
“C3系统”各子系统公用数据存放在基础信息区,可被各子系统读取但不可改写。
每个子系统专用的数据均存放在指定的一个专用业务数据区,只能被该子系统读写,其它子系统无法访问。
而各子系统之间需要交换使用的数据则存放在数据交换区,可以互相调用。
通过建立基础信息区、数据交换区和专用业务数据区机制,完美地实现了“卡通”的技术要求。
使得一张卡只发行一次,便可通用于各类应用子系统。
⏹库通
库通指平台及各业务子系统共享一个数据库。
“C3系统”采用大型数据库,人员信息、设备卡片信息、控制台信息和帐套信息共同组成了C3系统的基础业务平台,可被N个业务子系统所共享,各业务子系统的专用信息(如考勤、门禁、消费、巡更等)作为独立的第二层数据库群组,既体现了系统数据的统一性,又保证了各业务数据的独立性。
依托C3系统良好的数据平台,可实现对其版本的升级平滑以及与第三方软件的无缝连接。
⏹网通
网通指一卡通系统的硬件和软件设备都可通过工业总线、局域网、广域网等连通成一个有机体,共同实现一卡通系统的功能。
“C3系统”通过设计统一的应用层通讯协议,使用标准的硬件通讯接口,兼容总线、局域网、广域网等多种联网方式,将计算机、智能卡读写终端设备以及各种应用系统集成为一个协调的有机统一体;同时也能融合正在发展中最新通讯技术,如蓝牙技术、无线局域网、虚拟局域网等。
二.6.系统密钥体系的设计
根据企业的实际情况,系统的密钥体系基于晨风公司“智能卡一卡一密方法和系统”的发明专利技术采用“一区一密”,保证一卡通所有数据的安全。
每个企业卡的密钥基于“智能卡一卡一密方法和系统”的发明专利技术,通过“一卡一密”技术生成系统的母钥和各应用系统的子钥。
系统母钥作为一个因子,根据每张IC卡的固有ID号和每个扇区号生成每个扇区的密钥。
一卡通系统的母密钥由企业掌控,并可向企业开放加密算法,在没有密钥的情况下,任何人(包括设备厂商)都不能获取一卡通系统的重要数据。
每套智能卡系统只有一张系统母卡,出厂时含有1/2的主密钥,另1/2的主密钥在客户安装软件时生成。
软件的主密钥是分开生成的,也是唯一的,不可复制的。
如下图:
二.7.员工卡片选型与扇区规划设计
⏹卡片选型
根据企业实际情况,企业卡采用符合PhilipsMifareOne标准的S50卡,发卡对象为内部员工、临时来访人员。
内部管理员人员停车采用2.4G微波卡、其他人员停车采用PhilipsMifareOne标准的S50卡。
⏹用户卡类型
卡片采用M1卡(射频IC卡),分为长效卡和临时卡等类型的卡。
1)长效卡:
对象为企业内部人员,记载有持卡人个人身份信息和储值金额,用于考勤、门禁、消费的IC卡,
2)临时卡:
对象为外部来访临时人员,实现某些子系统应用功能,如访客管理、停车管理等。
⏹卡面设计的建议
根据企业的实际情况,员工卡卡面的印刷可根据企业的要求进行个性化定制,可印制持卡人的彩色照片、姓名、单位信息、工号等。
同时可在卡片上设计具有比较明显的信息,方便保安人员的管理:
1)颜色:
可根据员工的级别、工作部门、工作地点设置颜色。
2)图案:
可以选择企业代表的大厦、持卡人照片等。
3)内容:
持卡人信息,以及用卡注意事项。
⏹卡片规划设计
1)基础扇区——包含了员工的身份证号、流水号、姓名、卡片有效期等基本内容
2)交换扇区——主要用于将来扩大功能需求时通过统一的交换区域来进行卡上的数据交换
3)功能扇区——用于区别各不能应用系统,能相对保护各自保密的内容,共享数据存储在交换区,可满足各个不同应用钱包的要求,系统支持多钱包。
二.8.系统客户端部署方式设计
根据企业的实际情况,各个应用系统采用“集中管理、分散控制”的原则,设计如下:
1)所有的客户端软件连接到同一数据库,各个客户端软件的各种信息保存到一个数据库中,实现一卡通系统“数据集中、信息共享”。
2)各个系统操作员的权限由系统管理员授予,各个操作员根据权限可实现分级管理。
实现一卡通系统操作员权限的“集中管理”。
3)在每台管理工作站上安装一套管理软件,各个操作员登录系统是根据自己的权限选择进入的系统,无需每个应用模块单独安装客户端软件,实现”分散控制”。
二.9.系统安全性设计
本方案密钥体系基于我公司的“智能卡一卡一密方法和系统”的专利技术,采用“一区一密”,从卡片安全、硬件安全、数据传输、数据存储、工作站接入、网络安全、应用系统、操作权限、银行转帐等各个环节均采取了不同措施,保证系统的数据安全。
二.10.系统可靠性设计
本系统的卡片使用有效期、电子钱包、身份和权限等信息均存储在卡片、读写卡机具中,在网络故障时可以独立完成卡片的合法性、有效性、可用性判断,进行电子钱包扣款、身份识别、权限判断操作,并将交易数据存储在本机,因此断网不会影响机具处理卡片业务。
特别是基于TCP/IP协议的机具可以实时监测网络状态,自动连接网络通讯。
二.11.系统实用性设计
晨风公司拥有自主知识产权的“C3一卡通系统”着眼“以人为本”,从用户的角度出发进行整体设计,使用户在学习和使用本系统的过程当中所花费的学习时间和成本降到最低。
C3一卡通系统在长期的客户使用和实践当中,不断在实用性方面进行了重新的设计和完善,使得C3一卡通系统在人性化设计当中日臻完美并不断获得用户的青睐。
C3一卡通系统采用模块化设计方式,其整体结构全部组件化,大大方便了系统的功能扩展和未来业务模块的延伸,同时增强了系统的可维护性。
所有的POS终端具有在线升级功能,其内部程序的维护升级无须拆机重新刻录,而直接采用在线式下载升级即可。
二.12.系统扩展性
C3系统考虑扩充系统的需求,预先设计了相关接口,以便于与日后的扩展需求;系统结构采用C/S、B/S混合结构体系,三层标准结构,工作平台与各业务应用采用模块化设计,符合有关国家标准和国际标准,具备良好的开放性。
系统使用统一的工作平台,组合式的业务模块,它不仅能满足设备和业务软件能平滑升级和扩展,还能够根据系统的功能需求溶合业界其它的优质产品,提供二次开发工具包,最大限度地保证项目投资产生持久的效益。
第三章系统平台
三.1.数据中心
三.1.1.概述
C3系统数据中心是系统的核心,负责支撑整个C3系统数据,保证C3系统各子系统间、终端设备与中心数据库之间、系统与各对接管理系统之间的数据的同步和及时更新。
三.1.2.设计方案
根据企业的实际情况,晨风公司的“C3系统”数据库采用SQLSERVER,服务器、存储设备、网络设备由企业自备。
所有一卡通信息保存在一个数据库中,系统操作员由授予权限,系统管理员根据各自的操作权限进行系统管理。
服务器操作系统用Windows2003servers企业版,用户终端操作系统使用Windows98/2000/XP。
三.1.3.系统结构图
根据企业的实际情况,C3系统数据中心由数据库服务器、磁盘阵列、应用服务器、防火墙等组成(可根据企业实际情况设计),数据库服务器采用双机热备,规划整个数据中心的规划结构图如下:
三.1.4.系统功能
1)数据中心:
负责C3系统和各子系统所有数据的集中存储、更新、备份、维护、采集;数据的分类、检索等;
2)数据交换:
负责C3系统各子系统间、终端设备与中心数据库之间、系统与各对接管理系统之间的数据的同步和及时更新;
3)数据维护:
可实现批量数据导入/导出功能。
4)系统管理:
负责C3系统的基本参数管理的设置、修改等的管理与维护。
5)统一身份认证:
负责系统的各人员信息的统一管理。
6)历史数据归档管理:
可对数据库的历史数据实现迁移归档管理,提高数据库的运行速度。
三.2.系统网络
三.2.1.系统简介
企业的一卡通系统所有设备采用TCP/IP的通讯方式,基于企业内部办公网络基础上在交换机上为一卡通系统采用划分VLAN方式进行建设。
三.2.2.设计方案
企业的一卡通系统网络基于企业办公大楼智能专网基础上,消费机、门禁控制器、会议签到器等采用TCP/IP通讯方式,接入企业办公大楼智能专网,在交换机上为一卡通系统采用划分VLAN方式进行建设,一卡通系统的各设备通过骨干交换网和中心服务器联结进行数据交换。
三.2.3.网络安全的设计
三.2.3.1.一卡通系统网络与内部办公网络的连接的设计
根据企业的实际情况,企业的一卡通系统网络基于企业办公大楼内部网络基础上,在交换机上为一卡通系统采用划分VLAN方式进行建设,一卡通系统的各设备通过骨干交换网和中心服务器联结进行数据交换。
三.2.3.2.数据中心网络的安全
根据企业的实际情况,,一卡通系统数据中心网络利用企业IT管理中心的网络和安全设备,防止外部入侵窃取或破坏数据。
第四章智能卡应用系统
四.1.5卡务管理子系统
四.1.1.系统简介
卡务管理子系统是一卡通系统的用户接待中心,是面向用户服务的综合接待窗口,负责接待和处理IC卡用户的各种服务请求,负责全企业持卡人的综合业务,分为个别和批量的业务,包括开户、授权、撤户、换卡、挂失/解挂、冻结/解冻、卡转账、查询、身份参数维护以及补助发放、现金充值等。
四.1.2.设计方案
根据企业的实际情况,在企业企业建立统一的发卡中心,各部门新人员入职后到企业发卡中心统一领取IC卡。
四.1.3.系统组成
卡务管理子系统包括计算机、制卡设备(数码相机、扫描仪、证卡打印机等,根据企业需求配置)、读写器、管理软件组成,如下图:
四.1.4.主要功能
1)系统初始化:
发行系统子卡、下载系统密钥。
2)参数设置:
设置系统日常的各种参数,如日期、时间、部门等;
3)信息采集:
主要包括员工的工号、身份证号、照片等信息的采集。
4)卡片发放管理:
主要包括卡片的制作、发放、授权、报损、挂失、解挂以及回收等日常卡片管理。
同时系统支持批量发卡。
5)卡片充值管理:
系统支持多种充值方式,如自动充值、团体充值、转账充值和现金充值等。
6)补助发放:
可根据表格自动生成补助信息表充值到员工卡中。
7)帐户管理:
可进行开户、销户的管理。
8)帐务管理:
可查询、统计消费数据的管理,可进行日统计、月统计、消费明细查询等。
9)其它特殊管理:
如卡片的修卡管理等。
四.2.门禁管理子系统
四.2.1.系统简介
C3门禁管理子系统是将智能卡技术、计算机控制技术与电子门锁有机结合,利用IC卡卡替代工作证实现对员工的身份验证,配合计算机实现智能化门禁控制和管理的系统,为内部人力资源管理、提高重要部门和地点的安全防范能力等带来良好的效果。
四.2.2.设计方案
根据企业的要求,共安装门禁点个,采用“进门刷卡开门、出门按钮开门”的方式,整个门禁系统由控制室统一监控,对各出入口的位置状态、出入对象及出入时间等进行实时控制或设定程序进行控制。
门禁管理根据实际情况实现“集中管理、分散控制”的方式,各个操作员由系统管理员授权,操作员可实现多级管理。
门禁控制器可根据实际情况采用我公司的四门禁控制器和双门门禁控制器:
1)双门门禁控制器采用RS485通讯方式,一个控制器可接2个门禁感应器;
2)四门门禁控制器采用TCP/IP通讯方式,一个控制器可接4个门禁感应器,可直接接入企业内部网络。
四.2.3.与视频监控系统的联动
根据企业的实际情况,我公司的四门门禁控制器和双门门禁控制器可实现与视频监控系统的联动,采用硬件的方式与本地摄像机联动,根据系统的设置在门禁事件发生时联动摄像机拍照并保存到系统指定的目录下,通过C3系统即可查看抓拍的照片,无需到视频监控系统中查看,保证门禁系统的门禁事件实时管理。
四.2.4.与消防系统的联动
我公司的门禁控制器具有消防联动的硬件接口,设计如下:
1、,根据企业的实际情况,将需要与消防系统联动的门禁控制器与消防系统连接,接到消防系统报警信息后,门禁控制器自动打开所控制的门,方便人员逃生,如下图:
接线示意图如下:
2、如果有些比较重要的办公室(如财务室)如果不允许在消防事件产生后门自动打开,我们建议将控制此类办公室的门禁控制器的消防联动接口不与消防系统相连,但是办公室的电锁必须带有机械钥匙开门功能,保证在消防事件发生后可通过机械钥匙开门。
3、我公司的门禁控制器消防联动的接口采用硬件的方式,不通过软件进行逻辑判断,如果大楼设计比较重要的办公室(如财务室)门在消防事件产生后不能自动打开,此类门必须单独接入没有与消防系统联动的门禁控制器,防止在消防事件产生后门自动打开。
四.2.5.布防、撤防功能的实现
根据企业的实际情况,我公司的四门门禁控制器和双门门禁控制器可实现企业重要区域的布放和撤防,设计如下:
每个门(双门门禁控制器是0号门、1号门,四门门禁控制器是0号门、1号门、2号门、3号门)都具有独立的布防、撤防功能,每个门都可以接一个红外探头、可联动一个声/光报警器和一个摄象机。
系统可通过按布防密码+刷卡进行布防、撤防,也可以通过软件远程进行布防、撤防;在布防状态下有人进入监控区域,控制器立即启动声/光报警器报警,同时联动摄象机摄象,并且产生报警事件、保存报警记录。
布防、撤防密码和布防延时时间(布防延时时间:
布防后到布防启动之间的时间,延时目的:
让布防的人有时间走出监控区域)可通过软件设置。
此功能的增加提高了人员和财产的安全性。
四.2.6.与IBMS系统的接口
根据企业的实际情况,我公司的门禁系统具有标准的OPC接口,可实现与IBMS等系统的接口,最多支持3个客户端相连,满足用户的IBMS系统等与一卡通系统的链接需要。
四.2.7.电子地图功能的实现
根据企业的实际情况,可根据企业的实际平面图和门禁点设置情况,对电子地图上门禁设备端口的分布情况进行编辑,设置要监控的设备、端口图形标识及门禁事件、报警下的各种图形标识,设置完毕后启动电子地图实时监控即可实现对电子地图上各端口进行实时监控。
在有门禁实现发生时系统自动根据设置显示或报警,可对实时所有门禁设备端口的状态及人员刷卡的行迹进行跟踪管理,方便系统管理。
四.2.8.系统组成
根据实际设计方案,C3门禁管理子系统主要有管理软件、计算机、门禁控制器、门禁感应器、电锁等组成,如下图:
四.2.9.主要功能
1)系统初始化:
发行系统子卡、并初始化门禁设备、下载系统密钥。
2)参数设置:
设置系统日常的各种参数,如日期、时间、部门等;
3)设备管理:
设置门禁控制器的各种参数,如设备编号、IP地址、名称等,
4)时限设置:
可对系统的时限实现设置,可设置256个时间段、16个用户时段组、128个节假日。
5)门禁权限管理:
对人员的权限及时限进行统一管理,如人员分组、时间段设置、权限和实现设置,可按个人及部门两种方式进行权限的设置及自动下载。
6)门禁权限批量
升级会员 