專網(wǎng)和現(xiàn)網(wǎng)促進(jìn)校園一卡通建設(shè)
文章出處:http://xianjuhong.com 作者:葉新恩 劉璀 人氣: 發(fā)表時間:2011年11月07日
隨著校園信息化建設(shè)的不斷進(jìn)行,校園一卡通作為促進(jìn)校園信息建設(shè)的一個重要環(huán)節(jié),在方便師生員工工作、生活、學(xué)習(xí),加強(qiáng)學(xué)校財務(wù)管理等方面發(fā)揮著越來越重要的作用。一卡通應(yīng)用在各大高校中逐漸普及,甚至有些中學(xué)和技校也開始進(jìn)行相應(yīng)的校園一卡通系統(tǒng)建設(shè)。
總體思路
校園網(wǎng)的建設(shè)和卡片技術(shù)的日漸成熟,為校園一卡通系統(tǒng)的發(fā)展提供了技術(shù)保障。校園一卡通的應(yīng)用覆蓋學(xué)校綜合消費(fèi)系統(tǒng)(收、繳費(fèi)及各類款項支取,校內(nèi)各類消費(fèi))和信息查詢系統(tǒng)(身份認(rèn)證、門禁、考勤、圖書借閱等),已成為校園管理信息化發(fā)展的必然趨勢。
一卡通系統(tǒng)是比較復(fù)雜、龐大的系統(tǒng),因此其建設(shè)首先要考慮到學(xué)校未來發(fā)展規(guī)劃,所采用的技術(shù)、硬件設(shè)備、安全解決方案等不僅要滿足現(xiàn)有的需求,更應(yīng)該保證在未來若干年能夠進(jìn)行產(chǎn)品的升級或更新?lián)Q代。其次還應(yīng)考慮到為了有效利用學(xué)校的網(wǎng)絡(luò)資源,要在校園網(wǎng)基礎(chǔ)設(shè)施的支持下,建設(shè)一個體現(xiàn)先進(jìn)管理手段和服務(wù)質(zhì)量的、具有高應(yīng)用水平的校園一卡通卡應(yīng)用系統(tǒng)。
卡片的選擇和扇區(qū)功能設(shè)計
根據(jù)學(xué)校的實(shí)際情況,校園卡一般應(yīng)選用具有一定容量的非接觸式射頻卡(如飛利浦Mifare S70智能卡,卡片容量4K byte)。射頻卡在讀寫時處于非接觸操作狀態(tài),避免了由于接觸不良所造成的讀寫錯誤等誤操作,同時避免了灰塵、油污等外部不良環(huán)境對讀寫卡的影響。它具有以下優(yōu)良性能:(1)操作簡單、快捷。采取無線通迅方式,使用時無方向要求,所以使用起來十分方便。(2)防沖突??ㄖ写嬗锌焖俜罌_突機(jī)制,能防止卡片之間出現(xiàn)數(shù)據(jù)干擾,因此終端可以同時處理多張卡片。(3)卡中有多個分區(qū),每個分區(qū)都有自己的密碼,所以可以將不同的分區(qū)用于不同的應(yīng)用,實(shí)現(xiàn)一卡多用。
學(xué)校根據(jù)需求對卡片規(guī)劃進(jìn)行了初步的安排。
卡片0扇區(qū):0扇區(qū)存儲卡片序列號、相關(guān)參數(shù);
基礎(chǔ)扇區(qū):一卡通系統(tǒng)正常使用2個扇區(qū),包括身份信息公共區(qū)(1個扇區(qū))和金額區(qū)(1個扇區(qū));
備份扇區(qū):交易流水、余額備份,使用3個扇區(qū);
門禁扇區(qū):存儲門禁系統(tǒng)權(quán)限數(shù)據(jù),主要指宿舍門鎖的控制信息;
圖書扇區(qū):存儲現(xiàn)有圖書管理系統(tǒng)條碼號,讀卡時可直接模擬條碼信息;
水控扇區(qū):用于結(jié)算式浴室水控和開水房控制系統(tǒng);
預(yù)留扇區(qū):其他拓展應(yīng)用。
網(wǎng)絡(luò)系統(tǒng)的設(shè)計
目前校園一卡通網(wǎng)絡(luò)的建設(shè),一般有兩種方式:一是采用單獨(dú)構(gòu)建專網(wǎng)的方式;二是利用現(xiàn)有的校園網(wǎng)絡(luò)。
一卡通采用專網(wǎng)具有以下優(yōu)勢:
安全性高:與校園網(wǎng)隔離,易防范各種不安全因素;
穩(wěn)定性高:一卡通獨(dú)立使用帶寬,網(wǎng)絡(luò)環(huán)境良好。
存在的問題有:
投資高:所有一卡通相關(guān)地點(diǎn)都需要布設(shè)信息點(diǎn),隨著一卡通需求的增加,專網(wǎng)建設(shè)費(fèi)用增加;
項目周期長:一卡通專網(wǎng)需要大量的前期網(wǎng)絡(luò)布線工作;
擴(kuò)充應(yīng)用較困難:一卡通的應(yīng)用范圍較廣,分布在校園內(nèi)多個地方,而很多應(yīng)用系統(tǒng)的擴(kuò)充只需要一個或幾個信息點(diǎn)。
基于校園網(wǎng)的一卡通系統(tǒng)有以下優(yōu)勢:
投資低:無須購置更多的交換設(shè)備,充分利用校園網(wǎng)資源;
項目周期短:免去了專網(wǎng)設(shè)計、布線等大量工作;
擴(kuò)充應(yīng)用更加容易:多數(shù)應(yīng)用系統(tǒng)已被校園網(wǎng)覆蓋。
存在的問題有:
安全性較差:校園網(wǎng)容易受到內(nèi)外部多種途徑的攻擊,病毒、木馬等不安全因素較多;
穩(wěn)定性較差:校園網(wǎng)因?yàn)槭褂糜脩糁T多,容易發(fā)生網(wǎng)絡(luò)堵塞或故障;
中央財經(jīng)大學(xué)的一卡通網(wǎng)絡(luò)建設(shè)中,結(jié)合了以上兩種方式。校園一卡通核心交換機(jī)采用一臺獨(dú)立設(shè)備,與關(guān)鍵應(yīng)用部分(如食堂、澡堂等存在大量數(shù)據(jù)交換的地方)采用專網(wǎng),保證大量數(shù)據(jù)的及時傳輸。在其他一卡通應(yīng)用的地方(往往只有1~2個信息點(diǎn),如分布在學(xué)校各個角落的自助機(jī)和供學(xué)生查詢消費(fèi)流水用的服務(wù)器等),通過現(xiàn)有的校園網(wǎng)絡(luò)傳輸。在校園網(wǎng)上進(jìn)行VLAN劃分,劃出一卡通專用虛擬網(wǎng),在邏輯上與校園網(wǎng)分開,校園網(wǎng)核心交換機(jī)和一卡通核心交換機(jī)之間使用防火墻隔離,通過設(shè)置防火墻規(guī)則來保證一卡通系統(tǒng)的安全性。
數(shù)據(jù)中心和業(yè)務(wù)子系統(tǒng)的建設(shè)
一卡通系統(tǒng)分為數(shù)據(jù)中心和業(yè)務(wù)子系統(tǒng)兩大部分。數(shù)據(jù)中心包括后臺服務(wù)器和前置機(jī)。業(yè)務(wù)子系統(tǒng)包括校園涉及到一卡通服務(wù)接入的所有地方,包括消費(fèi)子系統(tǒng),門禁子系統(tǒng)和圖書借閱接口等。
1.?dāng)?shù)據(jù)中心
數(shù)據(jù)中心基于SAN光纖交換機(jī)來組建存儲網(wǎng)絡(luò),包括中心服務(wù)器、磁盤陣列等。學(xué)校中心服務(wù)器(使用IBM P550小型機(jī),操作系統(tǒng)為AIX 5L)由2臺服務(wù)器組成雙機(jī)熱備,采用共享的磁盤陣列(IBM DS4700)提供數(shù)據(jù)存儲服務(wù)。通過磁帶機(jī)與服務(wù)器相連,一方面可以定期數(shù)據(jù)備份,另一方面可以采用異地備份方式以備災(zāi)難恢復(fù)。
2.前置機(jī)
前置機(jī)包括綜合前置機(jī)、轉(zhuǎn)賬前置機(jī)和查詢前置機(jī)等,使用傳統(tǒng)的PC服務(wù)器即可。
綜合前置機(jī)負(fù)責(zé)提供全局配置參數(shù)的設(shè)定和更改、黑白名單等信息的實(shí)時同步管理、全系統(tǒng)各個接入子系統(tǒng)的安全性控制、密鑰的產(chǎn)生與更新管理、自動開工結(jié)賬、對接入校園卡平臺的各種子系統(tǒng)設(shè)備的狀態(tài)監(jiān)控等功能。
轉(zhuǎn)賬前置機(jī)作為學(xué)校端的唯一出口,負(fù)責(zé)與銀行前置機(jī)實(shí)時通訊,依靠專線連接,同時管理、監(jiān)控遍布各校區(qū)的自助轉(zhuǎn)賬終端。
查詢前置機(jī)是連接校園卡中心與全校查詢終端之間的關(guān)鍵樞紐,采用J2EE架構(gòu),提供網(wǎng)上查詢服務(wù)。
3. 校園一卡通中各個應(yīng)用子系統(tǒng)建設(shè)符合自己系統(tǒng)使用、管理的網(wǎng)絡(luò),應(yīng)用服務(wù)器或工作站通過VLAN同一卡通中心進(jìn)行連接,而應(yīng)用服務(wù)器或工作站到終端設(shè)備采用專業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)連接,如消費(fèi)和水控系統(tǒng)的RS485網(wǎng)絡(luò)、門禁RS485網(wǎng)絡(luò)等,以此形成校園一卡通的整體網(wǎng)絡(luò)結(jié)構(gòu)。
保證系統(tǒng)安全性
一卡通系統(tǒng)安全性應(yīng)從網(wǎng)絡(luò)環(huán)境的安全性、主機(jī)系統(tǒng)的安全性、應(yīng)用系統(tǒng)的安全性、卡片的安全性、密鑰管理體系以及數(shù)據(jù)的安全性幾個方面來討論。
1.網(wǎng)絡(luò)環(huán)境的安全性,校園網(wǎng)一卡通系統(tǒng)的部分網(wǎng)絡(luò)環(huán)境采用在校園網(wǎng)的基礎(chǔ)上劃分虛擬專網(wǎng)(VLAN)的方式,因此其安全性必須考慮以下方面:
(1)重要數(shù)據(jù)加密傳輸,保證數(shù)據(jù)的完整性和私密性。
系統(tǒng)對數(shù)據(jù)傳輸與存儲環(huán)節(jié)中所使用的密鑰和關(guān)鍵的加密算法采用嚴(yán)格的安全措施。學(xué)校轉(zhuǎn)帳前置機(jī)與銀行前置機(jī)之間數(shù)據(jù)采用金融業(yè)標(biāo)準(zhǔn)的MAC校驗(yàn)運(yùn)算。MAC運(yùn)算的DES密鑰采用動態(tài)密鑰。校園內(nèi)部自助終端與學(xué)校轉(zhuǎn)帳前置機(jī)之間采用DES加密,MD5數(shù)字簽名,動態(tài)密鑰。持卡人的銀行卡密碼由PSAM卡進(jìn)行金融標(biāo)準(zhǔn)的PIN加密處理,有效防止密碼外瀉,保護(hù)持卡人和銀行利益。
(2)通過應(yīng)用網(wǎng)關(guān),隔離校園卡專網(wǎng)和校園網(wǎng)。
為了進(jìn)一步提高系統(tǒng)的安全性,在網(wǎng)絡(luò)設(shè)計上,應(yīng)采用應(yīng)用網(wǎng)關(guān),隔離原有的校園網(wǎng)和校園卡網(wǎng)絡(luò),采用路由器加防加火墻的硬件保障機(jī)制。通過防火墻可以過濾掉不安全的數(shù)據(jù)包,控制用戶對系統(tǒng)的訪問,實(shí)現(xiàn)集中的安全管理。
2.主機(jī)系統(tǒng)的安全,包括采用安全的操作系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫提供多種數(shù)據(jù)備份方式,尤其是在線數(shù)據(jù)備份可保證系統(tǒng)7×24小時的運(yùn)行,同時可靠支持機(jī)制可能實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)的快速災(zāi)難恢復(fù),確保數(shù)據(jù)的絕對可靠。
3.應(yīng)用系統(tǒng)的安全,應(yīng)用系統(tǒng)原則上只保留自已私有的數(shù)據(jù),重要數(shù)據(jù)均存放于數(shù)據(jù)中心,從而實(shí)現(xiàn)應(yīng)用與數(shù)據(jù)處理分離,使得應(yīng)用系統(tǒng)安全可靠。
4.卡片的安全性,應(yīng)用中采用一卡一密、一區(qū)一密的加密機(jī)制,防止被盜濫用。加入專用標(biāo)識,采用專用算法,有效地防止偽卡。
5. 密鑰的安全性,系統(tǒng)每天都產(chǎn)生一個新的動態(tài)密鑰,密鑰生成后不會寫入到硬盤中,而是一直駐留在中心服務(wù)器的內(nèi)存中,在密鑰的整個生命周期中(一般為一個工作日),即使系統(tǒng)管理員也無法讀取密鑰內(nèi)容,這種機(jī)制可以很大程度上保證系統(tǒng)的安全性。
6.數(shù)據(jù)的安全,數(shù)據(jù)中心采用磁帶脫機(jī)保存一卡通系統(tǒng)的重要數(shù)據(jù),確保了數(shù)據(jù)的安全性。
校園一卡通工程是數(shù)字化校園建設(shè)的基礎(chǔ)工程,可以通過校園一卡通的建設(shè),逐步形成全校范圍的數(shù)字空間和共享環(huán)境。校園一卡通系統(tǒng)各項功能的實(shí)現(xiàn),不但在生活和學(xué)習(xí)上會為學(xué)校師生員工提供極大方便,同時也會極大地提升學(xué)校的管理水平和科學(xué)決策水平,成為學(xué)校實(shí)現(xiàn)現(xiàn)代化管理的標(biāo)志。