專網(wǎng)和現(xiàn)網(wǎng)促進校園一卡通建設
文章出處:http://coolbang.cn 作者:葉新恩 劉璀 人氣: 發(fā)表時間:2011年11月07日
隨著校園信息化建設的不斷進行,校園一卡通作為促進校園信息建設的一個重要環(huán)節(jié),在方便師生員工工作、生活、學習,加強學校財務管理等方面發(fā)揮著越來越重要的作用。一卡通應用在各大高校中逐漸普及,甚至有些中學和技校也開始進行相應的校園一卡通系統(tǒng)建設。
總體思路
校園網(wǎng)的建設和卡片技術的日漸成熟,為校園一卡通系統(tǒng)的發(fā)展提供了技術保障。校園一卡通的應用覆蓋學校綜合消費系統(tǒng)(收、繳費及各類款項支取,校內(nèi)各類消費)和信息查詢系統(tǒng)(身份認證、門禁、考勤、圖書借閱等),已成為校園管理信息化發(fā)展的必然趨勢。
一卡通系統(tǒng)是比較復雜、龐大的系統(tǒng),因此其建設首先要考慮到學校未來發(fā)展規(guī)劃,所采用的技術、硬件設備、安全解決方案等不僅要滿足現(xiàn)有的需求,更應該保證在未來若干年能夠進行產(chǎn)品的升級或更新?lián)Q代。其次還應考慮到為了有效利用學校的網(wǎng)絡資源,要在校園網(wǎng)基礎設施的支持下,建設一個體現(xiàn)先進管理手段和服務質(zhì)量的、具有高應用水平的校園一卡通卡應用系統(tǒng)。
卡片的選擇和扇區(qū)功能設計
根據(jù)學校的實際情況,校園卡一般應選用具有一定容量的非接觸式射頻卡(如飛利浦Mifare S70智能卡,卡片容量4K byte)。射頻卡在讀寫時處于非接觸操作狀態(tài),避免了由于接觸不良所造成的讀寫錯誤等誤操作,同時避免了灰塵、油污等外部不良環(huán)境對讀寫卡的影響。它具有以下優(yōu)良性能:(1)操作簡單、快捷。采取無線通迅方式,使用時無方向要求,所以使用起來十分方便。(2)防沖突。卡中存有快速防沖突機制,能防止卡片之間出現(xiàn)數(shù)據(jù)干擾,因此終端可以同時處理多張卡片。(3)卡中有多個分區(qū),每個分區(qū)都有自己的密碼,所以可以將不同的分區(qū)用于不同的應用,實現(xiàn)一卡多用。
學校根據(jù)需求對卡片規(guī)劃進行了初步的安排。
卡片0扇區(qū):0扇區(qū)存儲卡片序列號、相關參數(shù);
基礎扇區(qū):一卡通系統(tǒng)正常使用2個扇區(qū),包括身份信息公共區(qū)(1個扇區(qū))和金額區(qū)(1個扇區(qū));
備份扇區(qū):交易流水、余額備份,使用3個扇區(qū);
門禁扇區(qū):存儲門禁系統(tǒng)權限數(shù)據(jù),主要指宿舍門鎖的控制信息;
圖書扇區(qū):存儲現(xiàn)有圖書管理系統(tǒng)條碼號,讀卡時可直接模擬條碼信息;
水控扇區(qū):用于結(jié)算式浴室水控和開水房控制系統(tǒng);
預留扇區(qū):其他拓展應用。
網(wǎng)絡系統(tǒng)的設計
目前校園一卡通網(wǎng)絡的建設,一般有兩種方式:一是采用單獨構建專網(wǎng)的方式;二是利用現(xiàn)有的校園網(wǎng)絡。
一卡通采用專網(wǎng)具有以下優(yōu)勢:
安全性高:與校園網(wǎng)隔離,易防范各種不安全因素;
穩(wěn)定性高:一卡通獨立使用帶寬,網(wǎng)絡環(huán)境良好。
存在的問題有:
投資高:所有一卡通相關地點都需要布設信息點,隨著一卡通需求的增加,專網(wǎng)建設費用增加;
項目周期長:一卡通專網(wǎng)需要大量的前期網(wǎng)絡布線工作;
擴充應用較困難:一卡通的應用范圍較廣,分布在校園內(nèi)多個地方,而很多應用系統(tǒng)的擴充只需要一個或幾個信息點。
基于校園網(wǎng)的一卡通系統(tǒng)有以下優(yōu)勢:
投資低:無須購置更多的交換設備,充分利用校園網(wǎng)資源;
項目周期短:免去了專網(wǎng)設計、布線等大量工作;
擴充應用更加容易:多數(shù)應用系統(tǒng)已被校園網(wǎng)覆蓋。
存在的問題有:
安全性較差:校園網(wǎng)容易受到內(nèi)外部多種途徑的攻擊,病毒、木馬等不安全因素較多;
穩(wěn)定性較差:校園網(wǎng)因為使用用戶諸多,容易發(fā)生網(wǎng)絡堵塞或故障;
中央財經(jīng)大學的一卡通網(wǎng)絡建設中,結(jié)合了以上兩種方式。校園一卡通核心交換機采用一臺獨立設備,與關鍵應用部分(如食堂、澡堂等存在大量數(shù)據(jù)交換的地方)采用專網(wǎng),保證大量數(shù)據(jù)的及時傳輸。在其他一卡通應用的地方(往往只有1~2個信息點,如分布在學校各個角落的自助機和供學生查詢消費流水用的服務器等),通過現(xiàn)有的校園網(wǎng)絡傳輸。在校園網(wǎng)上進行VLAN劃分,劃出一卡通專用虛擬網(wǎng),在邏輯上與校園網(wǎng)分開,校園網(wǎng)核心交換機和一卡通核心交換機之間使用防火墻隔離,通過設置防火墻規(guī)則來保證一卡通系統(tǒng)的安全性。
數(shù)據(jù)中心和業(yè)務子系統(tǒng)的建設
一卡通系統(tǒng)分為數(shù)據(jù)中心和業(yè)務子系統(tǒng)兩大部分。數(shù)據(jù)中心包括后臺服務器和前置機。業(yè)務子系統(tǒng)包括校園涉及到一卡通服務接入的所有地方,包括消費子系統(tǒng),門禁子系統(tǒng)和圖書借閱接口等。
1.數(shù)據(jù)中心
數(shù)據(jù)中心基于SAN光纖交換機來組建存儲網(wǎng)絡,包括中心服務器、磁盤陣列等。學校中心服務器(使用IBM P550小型機,操作系統(tǒng)為AIX 5L)由2臺服務器組成雙機熱備,采用共享的磁盤陣列(IBM DS4700)提供數(shù)據(jù)存儲服務。通過磁帶機與服務器相連,一方面可以定期數(shù)據(jù)備份,另一方面可以采用異地備份方式以備災難恢復。
2.前置機
前置機包括綜合前置機、轉(zhuǎn)賬前置機和查詢前置機等,使用傳統(tǒng)的PC服務器即可。
綜合前置機負責提供全局配置參數(shù)的設定和更改、黑白名單等信息的實時同步管理、全系統(tǒng)各個接入子系統(tǒng)的安全性控制、密鑰的產(chǎn)生與更新管理、自動開工結(jié)賬、對接入校園卡平臺的各種子系統(tǒng)設備的狀態(tài)監(jiān)控等功能。
轉(zhuǎn)賬前置機作為學校端的唯一出口,負責與銀行前置機實時通訊,依靠專線連接,同時管理、監(jiān)控遍布各校區(qū)的自助轉(zhuǎn)賬終端。
查詢前置機是連接校園卡中心與全校查詢終端之間的關鍵樞紐,采用J2EE架構,提供網(wǎng)上查詢服務。
3. 校園一卡通中各個應用子系統(tǒng)建設符合自己系統(tǒng)使用、管理的網(wǎng)絡,應用服務器或工作站通過VLAN同一卡通中心進行連接,而應用服務器或工作站到終端設備采用專業(yè)網(wǎng)絡實現(xiàn)連接,如消費和水控系統(tǒng)的RS485網(wǎng)絡、門禁RS485網(wǎng)絡等,以此形成校園一卡通的整體網(wǎng)絡結(jié)構。
保證系統(tǒng)安全性
一卡通系統(tǒng)安全性應從網(wǎng)絡環(huán)境的安全性、主機系統(tǒng)的安全性、應用系統(tǒng)的安全性、卡片的安全性、密鑰管理體系以及數(shù)據(jù)的安全性幾個方面來討論。
1.網(wǎng)絡環(huán)境的安全性,校園網(wǎng)一卡通系統(tǒng)的部分網(wǎng)絡環(huán)境采用在校園網(wǎng)的基礎上劃分虛擬專網(wǎng)(VLAN)的方式,因此其安全性必須考慮以下方面:
(1)重要數(shù)據(jù)加密傳輸,保證數(shù)據(jù)的完整性和私密性。
系統(tǒng)對數(shù)據(jù)傳輸與存儲環(huán)節(jié)中所使用的密鑰和關鍵的加密算法采用嚴格的安全措施。學校轉(zhuǎn)帳前置機與銀行前置機之間數(shù)據(jù)采用金融業(yè)標準的MAC校驗運算。MAC運算的DES密鑰采用動態(tài)密鑰。校園內(nèi)部自助終端與學校轉(zhuǎn)帳前置機之間采用DES加密,MD5數(shù)字簽名,動態(tài)密鑰。持卡人的銀行卡密碼由PSAM卡進行金融標準的PIN加密處理,有效防止密碼外瀉,保護持卡人和銀行利益。
(2)通過應用網(wǎng)關,隔離校園卡專網(wǎng)和校園網(wǎng)。
為了進一步提高系統(tǒng)的安全性,在網(wǎng)絡設計上,應采用應用網(wǎng)關,隔離原有的校園網(wǎng)和校園卡網(wǎng)絡,采用路由器加防加火墻的硬件保障機制。通過防火墻可以過濾掉不安全的數(shù)據(jù)包,控制用戶對系統(tǒng)的訪問,實現(xiàn)集中的安全管理。
2.主機系統(tǒng)的安全,包括采用安全的操作系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫提供多種數(shù)據(jù)備份方式,尤其是在線數(shù)據(jù)備份可保證系統(tǒng)7×24小時的運行,同時可靠支持機制可能實現(xiàn)數(shù)據(jù)庫系統(tǒng)的快速災難恢復,確保數(shù)據(jù)的絕對可靠。
3.應用系統(tǒng)的安全,應用系統(tǒng)原則上只保留自已私有的數(shù)據(jù),重要數(shù)據(jù)均存放于數(shù)據(jù)中心,從而實現(xiàn)應用與數(shù)據(jù)處理分離,使得應用系統(tǒng)安全可靠。
4.卡片的安全性,應用中采用一卡一密、一區(qū)一密的加密機制,防止被盜濫用。加入專用標識,采用專用算法,有效地防止偽卡。
5. 密鑰的安全性,系統(tǒng)每天都產(chǎn)生一個新的動態(tài)密鑰,密鑰生成后不會寫入到硬盤中,而是一直駐留在中心服務器的內(nèi)存中,在密鑰的整個生命周期中(一般為一個工作日),即使系統(tǒng)管理員也無法讀取密鑰內(nèi)容,這種機制可以很大程度上保證系統(tǒng)的安全性。
6.數(shù)據(jù)的安全,數(shù)據(jù)中心采用磁帶脫機保存一卡通系統(tǒng)的重要數(shù)據(jù),確保了數(shù)據(jù)的安全性。
校園一卡通工程是數(shù)字化校園建設的基礎工程,可以通過校園一卡通的建設,逐步形成全校范圍的數(shù)字空間和共享環(huán)境。校園一卡通系統(tǒng)各項功能的實現(xiàn),不但在生活和學習上會為學校師生員工提供極大方便,同時也會極大地提升學校的管理水平和科學決策水平,成為學校實現(xiàn)現(xiàn)代化管理的標志。