基于数字化校园的车载管理系统研制技术报告.doc

鉴定会资料之三基于数字化校园的车载管理系统研制技术报告山 东 大 学网络信息中心二一九二一九年一月十七日基于数字化校园的车载管理系统研制技术报告一、开发背景及意义1.1 开发背景随着计算机技术、网络技术、通讯技术的不断发展，数字化校园以不可阻挡的潮流渗入我们的校园。信息化在学校教学、科研管理和生活服务等方面起到的作用越来越明显，“数字化校园”的概念也就应运而生。作为山东大学数字化校园建设的一个组成部分，针对山东大学班车和交通车运输的实际，我们提出了设计了“基于数字化校园的车载管理系统”，力争为我校班车和交通车运输提供更加高效便捷准确的服务。1.2 校园卡系统简介非接触ic卡“校园卡”综合管理系统是“一卡通技术”的典型应用。校园卡采用了国际上先进的非接触ic卡技术，将学校中全体人员的证件、档案、考勤、食堂售饭、小额消费、出入控制、节能管理等互不关联的、相互独立的系统联系、统一了起来，可以把学校员工和学生的身份信息 、证件（包括学生证、图书借阅证、出入证等）、教职工考勤，教职工会议签到、食堂消费、用水管理、机房管理，停车场、游泳池管理、小卖部消费及其它小金额消费等管理功能综合到一张ic卡上，使学校摆脱繁琐、低效的管理方式，把更多的精力投入到员工教学工作和学生学习中去。 校园卡系统是一种非常有效的管理手段，它能将数量庞大、流动频繁的师生群体科学地管理起来，它代表了校园信息化的发展趋势，是高校现代化管理和校园数字化的重要标志。 二、研制目标和研究内容作为国内首套将校园卡信息结合到体育测试过程中的体质检测系统，本系统的研制目标就是充分利用校园卡的方便性和实用性，以求提高高校体质达标测试工作的效率，增强达标测试过程中数据采集的高效性、安全性、精确性和透明性，实现成绩管理的标准化、规范性和共享性。在保证达标测试工作统一规范的进行的同时，尽量考虑到考生在达标测试过程中的个体性和主动性因素，允许考生根据自身的情况安排具体的测试时间、地点和测试内容，以便将自己的最好成绩充分地发挥出来。最终的测试结果格式要符合教育部学生体质健康标准国家库的规范标准，以备上报国家库存档。淘汰现有的车载信息读取手持机，使得黑白名单能实时快速下发和信息的及时上传，减轻了乘务人员的工作负担，透明地完成了各种数据的采集三、系统需求分析四、系统主要功能山东大学车载pos管理系统是基于数字化校园的平台建立起来的，它由校园卡系统、无线车载pos、无线车载网关、车载网关控制系统、车载管理系统共同组成。其中，无线车载pos负责采集乘车刷卡产生的流水，无线车载网关主要用于接受车载pos的流水，并实时回传到校园卡系统后台；车载网关控制系统实现对车载网关的远程管理；车载管理系统用于车载卡片的管理，如制乘车卡、乘车交易信息查询等。4.1无线车载pos无线车载pos可以工作在两种工作模式下，班车模式和交通车模式。在班车模式下，教师身份的卡片不收费，其它身份按照设置好的费率收费；在交通车模式下，所有身份按照已设定好的费率收费。在工作状态下，车载pos会根据身份和费率对卡片进行自动扣款，并显示消费额和卡内余额。车载pos目前32种身份，每一种身份对应一个费率。无线车载pos最大通信距离为300米，支持联网工作状态，也可以支持脱机工作状态，当pos机与网关失去联系时，会自动转入脱机工作状态，单车载pos可存储8000笔流水。4.2无线车载网关无线车载网关承担接收车载pos流水并回传到校园卡系统后台，它既是一种工业化设计的专用通信设备，又是车载子网和中心数据库通信的桥梁和中继站。车载网关通过tcp/ip通讯协议直接连接到校园网中，并通过rs-485通讯方式与车载pos形成车载子网，同时又能进行简单的营业统计和参数设置功能。4.3车载管理系统1乘车卡片的制作。在校园卡系统中已经开户的卡片，即可以在本系统当中进行制卡操作，车载系统的卡片分为以下四种：普通卡、学期卡、子女卡和免费卡。其中除普通卡外，其它三种类型的卡都可以在有效期内免费使用，且可以灵活定制有效期；同时制作学期卡、子女卡、免费卡可灵活设置是否收取一定的费用。普通卡指的是已经在校园卡系统中开户的卡片，按正常预设置标准收取费用。为了契合系统间的无缝连接，对于校园卡系统中已经开户的卡片不需在本系统中制作普通卡即可正常使用，按正常乘车收费价格收费。学期卡是针对学生跨校区上课而设立的卡片类型。在学期卡的有效期即当学期内，刷卡乘车免费，过有效期后，自动终止该功能。子女卡是针对教工子女设立的卡片类型。对于教工子女的乘车收费采用优惠或者免费的方式。免费卡是针对贫困学生设立的卡片类型。对于学校认定的贫困生，可办理免费的乘车卡。2消费信息的查询和统计。车载子系统提供了乘车卡信息查询、乘车卡交易查询、乘车流水查询的功能。4.4车载网关控制系统车载网关控制系统负责身份消费权限方案的设定、身份消费系数设置的设置、车载网关的远程设置、车载网关的远程重启等。(1)身份消费权限方案.。即设定每种身份所对应的收费标准。(2)身份消费系数设置。可以设定某类方案中对应的身份类型不同的消费额度，采用10消费系统的算法。(3)车载网关设置。商户设置，用于设置车载网关控制商户；餐次设置，用于即网关营业时间的设置；pos设置，可以设置网关所带pos的相关参数，如pos机号、餐次、商户、身份消费权限方案、身份消费系数方案、键值表、补助标志等。(4)车载网关远程重启。当身份消费设置、车载网关设置完毕后，必须通知车载网关下载最新配置信息，使配置信息生效，车载网关控制系统提供了远程控制重启的功能，能够非常方便地完成这个操作。五、系统创新点5.1系统实时性（改）车载管理系统采用大机数据集中的模式，能够从根本上保证与校园卡中心服务器数据保持高度一致。确定以中心服务器中的公共信息为准，各车载网关实时接收下传的变更流水信息，做到基本信息的同步。车载网关内设置数据库高速缓冲引擎，可以保证白名单、黑名单、自动充值表的实时更新。车载管理系统基于校园网架构，车载网关和校园卡中心服务器使用100m的专用线路，考虑到系统数据传输峰值和有效数据在传输中所占的比率，每秒能够完成20000笔流水的传送；在白名单同步方面，全部白名单10万条记录，每条记录16字节，共计1.6mb,在校园网的架构下，全部重传需要时间为0.128秒。全部子系统重建白名单在2分钟内完成；完全能够满足系统的实时性要求。5.3基于 sn75174无线模块的无线车载pos设计 车载pos采用北京捷麦f49p无线数传模块和车载网关进行通信，通信模式使用rs485电平模式。无线车载pos采用低功耗的sm5964 cpu 作为中央处理器，sm5964是一种高性能的cpu芯片，工作频率可以达到40mhz；flash数据存储器采用am29f040b/39sf020；复位芯片选择imp810，485通信芯片使用sn75174和max487。无线车载pos中增加了校验程序模块。读卡器在读卡过程中，先对该卡进行识别，判断该卡是否为有效卡。即先读出卡上的金额与检验位，然后根据事先写好的程序获取一个校验位，再与从卡上读出的校验位进行比较，相同说明该卡为有效卡，否则表明该卡为无效卡，不允许通过。5.4异构网络车载网关的设计（补）无线车载网关设计承担车载pos流水接收并回传到校园卡系统后台，它既是一种工业化设计的专用通信设备，又是车载子网和中心数据库通信的桥梁和中继站。车载网关通过tcp/ip通讯协议直接连接到校园网中，并通过rs-485通讯方式与车载pos形成车载子网。车载网关内置了rj45以太网接口，通过双绞线与以太网相连，网速100mbps，主要用于将车载网关连接到校园卡系后台。车载网关设计了4路rs-485通讯接口用于连接无线车载pos，不受接口位置限制，可任意连接车载pos，每一路接口可连接32台无线车载pos，共可以连接128台车载pos。同时，车载网关内部设计了针式票据打印机，主要用于打印车载pos机统计报表商户统计报表。为了保证车载网关信息的安全性，网关内嵌了psam卡读卡器，用于读取psam卡证书卡信息，未经psam卡授权认证的网关是无法使用的。车载网关同时配备了大屏幕的显示屏，采用图形化的网关管理程序，使得用户可以方便地本地操作车载网关。5.5基于visual c+6.0的数据处理技术ado数据访问技术ado(activex data objects)是建立在ole db(ole database)基础之上的基于对 象的高层数据库 ；ado通过封装在低层ole db功能中的不同对象；方法和属性以提供高层接口，ado基于activex标准,扩展性强。ado的主要特点是使用更加容易，访问速度更快，而对磁盘和存储容量的要求更小；ado支持建立各种客户/服务器模式与基于web的应用程序，具有远程数据服务rds(remote data service)的特性，通过rds能够在一次往返中将服务器端的数据传送到客户端的应用程序或web页面中，并在客户端对数据进行处理后，立即更新服务器端的数据。ado通过activex脚本可以方便的建立数据库与任何odbc数据源的连接或者数据库的连接。ado工作原理对于异种数据库的访问，首先需要一个简单而统一的应用程序接口apd，应用程序通过它访问和修改各种各样的数据。典型的数据源是支持odbc(open data base connectivity)标准的关系型数据库，通过一系列sql命令进行数据操作。ado定义一个设计原型，其中概括了一系列进行数据存取和更新所必须的行为说明。设计原型表示了一个对象模型，包括实现原型所对应的对象集，定义进行数据操作的对象方法，表示数据或对象方法行为控制的属性等。与对象相关的事件说明了将要发生或已经发生的数据操作过程。组件中提供了一组强有力的数据库操作命令让你容易地操纵数据以产生数据驱动的web页面。根据本系统的情况，数据库连接是采用ado技术并利用oledb来连接数据库的。数据库连接池技术由于web预约及综合管理平台包含大量的功能操作，在事务繁忙时，服务器端应用系统对数据库的操作将非常频繁，并发量也将特别多，为了提高服务器端系统的运行效率和优化对数据库的访问性能，本系统使用了数据库连接池技术。连接池是众多连接对象的“缓冲存储池”，在系统初始化的时候，便在其中建立了若干个连接对象。当系统需要访问数据库时，并非建立一个新的连接，而是从连接池中取出一个已建立的空闲连接对象。使用完毕后，用户也并非将连接关闭，而是将连接放回连接池中，以等待下一个访问请求使用。当需要一个数据库连接时，通过此管理程序来获得连接，当结束一个数据库连接时，此连接交还给连接池管理程序。使用这种方法解决了传统方法中的缺陷，即创建连接需要时间的问题、共享连接会造成多线程的问题以及连接的资源有限的问题，可以达到系统中资源和性能的平衡。5.6 oracle数据库的安全机制（修改一下）一个安全的数据库，合理有效地解决数据库中的数据信息的共享问题。在安全的数据库中，既要保证授权的合法用户对数据的有效存取，又能严格拒绝非法用户的攻击企图。具体地说，数据库安全系统的设计目标要求主要有以下三个方面:第一，数据的完整性：数据的完整性指数据的正确性、一致性和相容性；第二，数据的可用性:采用的安全机制不能明显降低数据库系统的操作性能；第三，数据的保密性:安全系统应该提供一个高强度的加密方案，对数据库中的机敏数据进行加密处理。身份认证在开放共享的多用户系统环境下，数据库系统必须要求用户进行身份认证。可以说，用户身份认证是安全系统防止非法用户侵入的第一道安全防线。它的目的是识别系统授权的合法用户，防止非法用户访问数据库系统。用户要登录系统时，必须向系统提供用户标识(userldentification)和鉴别信息(authentication)，以供安全系统识别认证。采用 的最 常用、最方便的方法是设置口令法。系统给每个合法用户分配一个唯一的userid和password。但是，由于password的先天不足，其可靠程度极差，容易被他人猜出或测得。近年，一些更加有效的身份认证技术迅速发展起来。例如智能卡技术，物理特征(指纹，声纹，手形等)认证技术等具有高强度的身份认证技术日益成熟，并取得了不少应用成果，为将来达到更高的安全强度要求打下了坚实的理论基础。存取控制存取控制是数据库系统内部对已经进入系统的用户的存取控制，是安全数据保护的前沿屏障。存取控制技术是数据库安全系统中的核心技术，也是最有效的安全手段。存取控制主要包括系统授权，确定存取权限和实施权限三个部分。存取控制系统定义和控制系统中的主体对客体的存取访问权限，以确保系统授权的合法用户能够可靠地访问数据库中的数据信息，并同时防止非授权用户的任何访问操作。存取控制模型可以分为:自主型存取控制(da)c、强制型存取控制(ma)c和基于角色的存取控制(rbac)。自主型存取控制:在这种存取控制模型中，系统用户对数据信息的存取控制主要是基于对用户身份的鉴别和存取访问规则的确定。每个用户对每个信息资源对象都要给定某个级别的存取权限，例如读权，写权等。一般，自主型存取控制将整个系统的用户授权状态表示为一个授权存取矩阵。在自主型存取控制中，由于用户可以自主地把自己所拥有的权限授给其他用户，而无需系统的确认。这样，系统的授权存取矩阵就可能被直接或间接地进行修改，给数据库系统造成不安全因素。强制型存取控制:在强制存取控制下，数据库系统给所有主体和客体分配了不同级别的安全属性，形成完整的系统授权状态。而且，该授权状态一般情况下不能被改变，这是强制型存取控制模型与自主型存取控制模型实质性的区别。一般用户或程序不能修改系统安全授权状态，只有特定的系统权限管理员才能根据系统实际的需要来有效地修改系统的授权状态，以保证数据库系统的安全性能。强制型存取控制系统主要通过对主体和客体的已分配的安全属性进行匹配判断，决定主体是否有权对客体进行进一步的访问操作。基于角色的存取控制:基于角色的存取控制的概念早在20世纪07年代由美国georgemason大学的ravisandu教授提出，但在相当长的一段时间内没有得到人们的关注。进入90年代，由于安全需求的发展，基于角色的存取控制又引起了人们极大的关注。基于角色的存取控制中涉及的基本元素包括用户(user)、角色(rlo)e、存取权(permission)和会话(sessions)。rbac与传统存取控制的差别在于在用户和存取许可权之间引入了角色这一层。角色是一组用户和一组操作权限的集合，角色中所属的用户可以有权执行这些操作权限。用户与角色间是多对多的关系，角色与存取许可权之间也是多对多关系。由于数据库应用层的角色的逻辑意义更为明显和直接，因此基于角色的存取控制非常适用于数据库应用层的安全模型。基于角色的存取控制的优点主要在以下几个方面:(1) 角色控制相对独立，根据配置可使某些角色接近自主存取控制，某些角色接近强制存取控制。(2) 基于角色的存取控制是一种策略无关的存取控制技术，它不局限于特定的安全策略，几乎可以描述任何的安全策略，甚至包括自主存取控制和强制存取控制。视图可以将视图作为安全机制，限制用户使用的数据，即用户可以访问某些数据，进行查询和修改，但是表或数据库的其余部分是不可见的，也不能进行访问。实际上无论在基础表(一个或多个)上的权限集合有多大，都必须授予、拒绝或废除访问视图中数据子集的权限。通过定义不同的视图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据子集内。例如:可以将访问限制在基表中行的子集内。如定义一个视图，其中只含有商业书籍或心理书籍的行，但向用户隐藏有关其他类型书籍的信息。可以将访问限制在基表中列的子集内。如定义一个视图，其中含有titles表中的所有列，但省略了royalty和advance列，因为这些信息比较敏感。可以将访问限制在基表中列和行的子集内。可以将访问限制在符合多个基表连接的行内。如可以定义一个视图，它连接表titles、authors和titleauthor表，以显示作者姓名及其撰写的书籍，但该视图隐藏作者的个人信息以及著作的财务信息。可以将访问限制在基表中数据的统计汇总内。如定义一个视图，其中只含有每类书籍的平均价格。可以将访问限制在另一个视图的子集内或视图和基表组合的子集内。权限和alterview使用alter viewtransact一sql语句可以更改视图的定义而不必除去视图并重新应用权限。应用到视图中列上的任何权限均基于视图中定义的列名，而不是表中的基础列。因此，如果用alter view更一改视图的定义，且使用相同的列名，但若使用表中不同的基础列，则新列的权限相同。备份与恢复尽管数据库系统中采取了各种保护措施来防止数据库的安全性和完整性被破坏，保证并发事务的正确执行，但是计算机系统中硬件的故障、软件的错误、操作员的失误以及恶意的破坏仍是不可避免的，将会造成事务故障、系统故障或介质故障，因此数据库管理系统必须具有把数据库从错误状态恢复到某一已知的正确状态的功能，这就是数据库的备份与恢复。数据库的恢复技术数据库恢复原理就是数据冗余，恢复机制涉及的两个关键问题是:如何建立冗余数据;如何利用这些冗余数据实施数据库恢复。建立冗余数据最常用的技术是数据转储和登录日志文件。通常在一个数据库系统中，这两种方法是一起使用的。(1) 数据转储所谓转储即dba定期地将整个数据库复制到磁带或另一个磁盘上保存起来的过程，这些备用的数据文本称为后备副本或后援副本。当数据库遭到破坏后可以将后备副本重新装入，但重装后备副本只能将数据库恢复到转储时的状态，要想恢复到故障发生时的状态，必须重新运行自转储以后的所有更新事务。转储分为静态转储和动态转储。静态转储是在系统中无运行事务时进行的转储操作，即转储操作开始的时刻，数据库处于一致性状态，转储期间不允许对数据库的任何存取、修改活动。显然，这会降低数据库的可用性。动态 转储是指转储期间允许对数据库进行存取或修改，即转储和用户事务可以并发执行。动态转储可克服静态转储的缺点，它不用等待正在运行的用户事务结束，也不会影响新事务的运行。但是，转储结束时后援副本上的数据并不能保证正确有效。为此，必须把转储期间各事务对数据库的修改活动登记下来，建立日志文件，这样，后援副本加上日志文件就能把数据库恢复到某一时刻的正确状态。(2)登记日志日志文件是用来记录事务对数据库的更新操作的文件。日志的作用:日志文件在数据库恢复中起着重要的作用，用来记录事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复。登记日志:为保证数据库是可恢复的，登记日志文件时必须遵循两条原则:严格按并发事务执行的时间次序；必须先写日志文件，后写数据库。六、系统的安全机制6.1 跨层次的安全保证机制6.1.1 硬件实体的安全性（硬件器件上描述）l 传输的数据采用加密形式，保护敏感信息。防止非法截取，破译。l 采用金融安全处理器为核心器件的加密卡，存储密钥等信息。l 数据中心的建设:数据中心机房应设立在防水、防火、防盗的场所，环境温度湿度稳定，清洁。l 系统运行与管理需要建立严格的规章制度，机房的管理人员必须严格按照操作手册和运行规范来进行日常的操作，数据备份，系统检测。6.1.2数据中心的安全性在数据的存储和数据的访问控制方面看，操作系统从根本上保障数据库的安全。在用户的访问控制和文件的访问控制方面，solaris是一个真正的多用户操作系统，它在用户控制和文件访问控制方面的独到之处是被业内人士所公认；solaris操作系统，直到目前还基本未发现病毒。oracle数据库多种数据备份方式，尤其是在线数据备份可保证系统7*24小时的运行；可靠支持机制可实现数据库系统的快速灾难恢复，确保数据的绝对可靠。 从数据库模型设计方面来看，设计数据库表时将重要数据同普通数据存放在不同的表中；重要的数据库表使用电子签名（防止有意篡该数据）；建立必要的视图，以隔离一些重要数据；设计必要的日志跟踪。6.1.3数据的安全在数据的安全上，所有接入计算机上采用硬件加密卡，凡是涉及加、解密运算都要从加密卡中取密钥；数据在传输的过程中均为密文，在这个系统中我们将采用不少于三种加密算法，并且运用于不同方面。比如说对一个报文，会同时采用：1、基于md5的网络签名段加密，2、基于des64的数据段加密，3、有基于crc32和des64的mac段校验。此外当涉及到用户密码3、或与钱额有关的交易还采用了基于mar128的加密算法。 通信点均采用动态密钥的方式进行通信，也就是说每两节点所采用的加密密钥均不相同。而且动态密钥是随机产生的，它与当时机器运行所处的状态有关；对于通信的机器，我们还采用了限制ip访问方式。没有在本系统内注册的ip地址均得不到服务响应。这样攻击者将无法做猜测攻击。6.1.4网络环境的安全采用vlan划分，保证校园卡逻辑隔离；由于交换技术的出现，才使vlan技术得以实现，而vlan技术对网络的发展又起着举足轻重的作用。vlan的优势之一就是保证系统的安全性。因此，可以按照系统的安全性来划分vlan。valn划分方式包括：基于端口的划分、按mac地址定义、基于网络层的虚拟网络、通过ip广播组划分等方式。我们选用基于端口的划分方式，当然vlan的具体划分方式需要与网络中心协商决定。加密校验数据，对于在网络上的tcp/ip通讯，我们采用直接socket底层编程，md5签名信道，在数据发送和接收时都采用数字签名，保证不被更改。加密方法更关键的是，我们对数据传输与存储环节中的加密算法所使用的密钥和关键的加密算法实行了硬件安全措施，这些密钥和关键加密算法全部存放在isa/pci总线的硬件加密卡中，卡中采用psam安全加密处理器作为核心器件，因其上的数据是随机打乱存放的，具有防破译自毁开关，是中国人民银行认可的安全处理器，从而保证了金额数据在网上的安全性，也能保证与银行信用卡业务系统的紧密联接。密钥采用动态形式。6.1.5卡片的安全性校园卡中采用一卡一密的加密机制、防止被盗滥用。采用des专有混合算法，形成一套有效的卡片密钥管理机制。采用公共、独立的信息共享区，形成一种统一而又分而治之的数据管理策略。对系统内卡片采用分类管理，授予不同权限和功能，增强安全性。校园卡数据区设计密钥控制，卡片内采用每扇区密码控制的原则，即对不同的数据区采用不同的密钥进行控制。将数据区分为两类，校园卡数据区和个性化子系统数据区，校园卡系统数据区采用卡片注册时生成的密钥进行读写控制。对于个性化子系统采用校园卡密码的，在建立该子系统时，更改该控制密码，可分为三类进行管理：1、根据我校校园卡系统密钥生成原则，可直接接入校园卡系统；2、由第三方进行升级：可以通过更换密钥，更改子系统扇区的读写密码，第三方产品提供最终的生成密钥给子系统专用读卡器，由读卡器控制该卡的读写权限；3、向第三方公开该数据块，全部由第三方控制读写。6.2 安全高效的密钥体系（理论上重点）6.2.1 密钥的产生系统内部有两种密钥，静态密钥和动态密钥。静态密钥用于签到，通过签到来获得动态密钥。动态密钥用于除签到外的其它交易。动态密钥随机产生，每次不同。中心与子系统之间的密钥为点对点，不同的子系统分配有不同的密钥，无论动态和静态。密钥的产生见图。针对不同用户产生不同的用户授权文件，由公司的授权文件产生系统的根密钥，根据根密钥产生子系统静态密钥，子系统签到时，由中心（前置机）根据根密钥，随机数和一定的运算规则产生签到子系统的动态密钥，用于和子系统之间进行后续的交易。6.2.2密钥的传递与保存公司的用户授权：采用授权卡片和磁盘文件。（过程1）静态密钥：校园卡管理中心（前置机）添加子系统节点时产生该子系统静态密钥，该密钥可以以子系统授权文件或开机卡片形式传递到子系统，由子系统加载。（过程2）动态密钥：子系统签到后，中心（前置机）产生，网络传输到子系统。校园卡管理中心（前置机）保存系统根密钥，存储在加密卡内，产生的各个子系统的静态密钥加密存放在数据库内，通过程序可以转出到卡片或磁盘文件，以传递给子系统使用。各个子系统静态密钥保存在子系统的加密卡内。多个子系统可以运行在同一计算机，系统密钥数据存放在同一块加密卡。6.2.3系统的认证管理必须通过校园卡管理中心（前置机）的签到认证后才能与作交易，认证的过程如下：子系统向中心（前置机）签到交易，中心（前置机）根据子系统配置作签到检查，判断子系统的合法性，然后产生动态密钥发送给子系统。子系统收到后作签到回执交易，中心（前置机）确认后，给子系统应答。至此子系统认证结束。6.3系统的可靠性保证机制（增加）车载管理系统能够可靠运行，保证在各种恶劣的环境下正常工作，具有较强的适应能力。除了数据传输的安全以外，系统还必须考虑各种突发状况，如突然停电、雷击等，在这些极端状态下系统应能保证所存储数据的完整性、可恢复性和可靠性6.3.1可靠保证关键环节双机热备份：中心所有服务器部分均采用双机热备份及磁盘阵列，可以在系统故障情况下做到系统的稳定运行。数据备份：对关键数据除进行磁带备份外，还进行跨校区异地存储，即使在灾难情况下，也能把损失降到最小。备用线路：由于采用架构在校园网的网络方案，降低了维护工作量，网络中心保证了网络的安全和畅通，而且校区间具有备用线路方案。故障无关性：车载网关之间互相独立，一个网关出现问题时不影响其他网关。脱机：当网络出现故障时，pos机可以脱机工作，卡内存有余额可以脱机使用。掉电保护：当系统掉电恢复时具备自动断点恢复功能。误操作提示、阻挡：当出现误操作时系统自动提示、阻挡等等，以上诸多措施都能使系统可靠地、稳定地运行。6.3.2故障容错策略校园卡管理中心与子系统数据的一致：采用大机数据集中的模式，是数据保持高度一致的根本保证。确定以中心服务器中的公共信息为准，各子系统实时接收下传的变更流水信息，做到基本信息的同步。车载网关内设置数据库高速缓冲引擎，可以保证白名单、自动充值表的实时更新。业务相关容错同步过程的问题硬件容错，通信范围外等 信号七、系统设计和实现7.1 非接触式ic卡设计7.1.1非接触式ic卡介绍（修改题目和内容）技术切入点非接触式ic卡又称射频卡，是世界上最近几年发展起来的一项新技术，它成功地将射频识别技术和ic卡技术结合起来，解决了无源和免接触的难题，是电子器件领域的一大突破。非接触式ic卡内含有唯一的独立的卡号，使用时，持卡人员需在读感器有效读感区内(一般为5cm)将卡片轻轻一晃，便可将卡内的信息，如学号号码等输入读感器内，实现上机等功能。工作原理非接触式ic卡工作的基本原理是:射频读写器向ic卡发一组固定频率的电磁波，卡片内有一个ic串联协振电路，其频率与读写器发射的频率相同，这样在电磁波激励下，lc协振电路产生共振，从而使电容内有了电荷;在这个电荷的另一端，接有一个单向导通的电子泵，将电容内的电荷送到另一个电容内存储，当所积累的电荷达到2v时，此电容可作为电源为其它电路提供工作电压，将卡内数据发射出去或接受读写器的数据。主要指标l 容量为8k位eeproml 分为16个扇区，每个扇区为4块，每块16个字节,以块为存取单位l 每个扇区有独立的一组密码及访问控制l 每张卡有唯一序列号，为32位l 具有防冲突机制，支持多卡操作l 无电源，自带天线，内含加密控制逻辑和通讯逻辑电路l 数据保存期为10年，可改写10万次，读无限次l 工作温度：-2050l 工作频率：13.56mhzl 通信速率：106kbpsl 读写距离：10mm以内（与读写器有关）存储结构1、 m1卡分为16个扇区，每个扇区由4块（块0、块1、块2、块3）组成，（我们也将16个扇区的64个块按绝对地址编号为063，存贮结构如下图所示： 块0 数据块0扇区0 块1数据块1块2数据块2块3密码a 存取控制 密码b控制块3 块0数据块4扇区1块1数据块5块2数据块6块3密码a 存取控制 密码b控制块7 0数据块60扇区15 1数据块61 2数据块62 3密码a 存取控制 密码b控制块63图 存储结构2、 第0扇区的块0（即绝对地址0块），它用于存放厂商代码，已经固化，不可更改。3、 每个扇区的块0、块1、块2为数据块，可用于存贮数据。 数据块可作两种应用： 用作一般的数据保存，可以进行读、写操作。 用作数据值，可以进行初始化值、加值、减值、读值操作。4、 每个扇区的块3为控制块，包括了密码a、存取控制、密码b。具体结构如下：a0 a1 a2 a3 a4 a5 ff 07 80 69 b0 b1 b2 b3 b4 b5 密码a（6字节） 存取控制（4字节） 密码b（6字节） 5、 每个扇区的密码和存取控制都是独立的，可以根据实际需要设定各自的密码及存取控制。存取控制为4个字节，共32位，扇区中的每个块（包括数据块和控制块）的存取条件是由密码和存取控制共同决定的，在存取控制中每个块都有相应的三个控制位,定义如下： 块0： c10 c20 c30 块1： c11 c21 c31 块2： c12 c22 c32 块3： c13 c23 c33 三个控制位以正和反两种形式存在于存取控制字节中，决定了该块的访问权限（如进行减值操作必须验证key a，进行加值操作必须验证key b，等等）。三个控制位在存取控制字节中的位置，以块0为例： 对块0的控制： bit 7 6 5 4 3 2 1 0字节6c20_bc10_b字节7c10c30_b字节8c30c20字节9 ( 注： c10_b表示c10取反 ) 存取控制（4字节，其中字节9为备用字节）结构如下所示： bit 7 6 5 4 3 2 1 0字节6c23_bc22_bc21_bc20_bc13_bc12_bc11_bc10_b字节7c13c12c11c10c33_bc32_bc31_bc30_b字节8c33c32c31c30c23c22c21c20字节9 ( 注： _b表示取反 ) 6、数据块（块0、块1、块2）的存取控制如下： 控制位（x=0.1.2） 访 问 条 件 （对数据块 0、1、2）c1xc2xc3x read write incrementdecrement, transfer,restore000keya|bkeya|bkeya|bkeya|b010keya|bnevernevernever100keya|bkeybnevernever110keya|bkeybkeybkeya|b001keya|bneverneverkeya|b011keybkeybnevernever101keybnevernevernever111nevernevernevernever （keya|b 表示密码a或密码b，never表示任何条件下不能实现） 例如：当块0的存取控制位c10 c20 c30= 0 0 1时，验证密码a或密码b正确后可读；验证密码b正确后可写；不能进行加值、减值操作。 7、控制块块3的存取控制与数据块（块0、1、2）不同，它的存取控制如下：密码a存取控制密码bc13c23c33readwrite readwritereadwrite000neverkeya|bkeya|bneverkeya|bkeya|b010neverneverkeya|bneverkeya|bnever100neverkeybkeya|bneverneverkeyb110neverneverkeya|bnevernevernever001neverkeya|bkeya|bkeya|bkeya|bkeya|b011neverkeybkeya|bkeybneverkeyb101neverneverkeya|bkeybnevernever111neverneverkeya|bnevernevernever 例如：当块3的存取控制位c13 c23 c33= 0 0 1时，表示：密码a：不可读，验证keya或keyb正确后，可写（更改）。存取控制：验证keya或keyb正确后，可读、可写。密码b：验证keya或keyb正确后，可读、可写。新卡片中的控制字（ff 07 80 69）密码a可用，密码b不可用；7.1.2车载管理系统卡片控制字车载管理系统卡片控制字如下：数据块：用密码a或b都可以读写；控制块：密码a：由密码b来写，不可读；密码b：由密码b来写，不可读；控制字：用密码a或b都可读，由密码b写；7.1.3车载管理系统卡片组成卡片的电气部分只由一个天线和asic组成。天线：卡片的天线是只有几组绕线的线圈，很适于封装到is0卡片中。asic：卡片的asic由一个高速（106kb波特率）的rf接口，一个控制单元和一个8k位eeprom组成。7.1.4车载管理系统卡片读写操作读 (read)：读一个块；写 (write）：写一个块；加（increment）：对数值块进行加值；减（decrement）：对数值块进行减值；存储（restore）：将块中的内容存到数据寄存器中；传输（transfer）：将数据寄存器中的内容写入块中； 中止（halt）：将卡置于暂停工作状态；7.2 无线模块的车载刷卡pos设计车载pos采用北京捷麦f49p无线数传模块和车载网关进行通信，通信模式使用rs485电平模式。无线车载pos采用低功耗的sm5964 cpu 作为中央处理器，flash数据存储器采用am29f040b/39sf020、复位芯片imp810、485通信芯片sn75174和max487、惠众卡读卡器、射频卡读卡器，顾客面led显示器、操作面led显示器、线性电源、主键盘、密码键盘接口等组成。图 无线车载pos简要原理框图7.2.1 无线数传模块f49p （重点）通信距离：300-400m,可调信道：8 个（设置）,接口形式：异步串口,串口电平：ttl、rs-232、rs-485 可选,串口帧格式：（1，8，1）、（1，9，1）可选（设置）,串口速率：1200、2400、4800、9600,天线类型：鞭状,无线通讯方式：半双工rs485 电平时各端子的作用及模块与上位机（设备）的连接见下面图及表：模块的连接及与有线通信方式的区别如果用tx 表示在设备的端口上数据发送（数据离开功能块）的端子，用rx 表示在设备的端口上数据接收（数据进入功能块）的端子，则设备a与设备b 之间的串口连接如下图1 所示。图1 如果将串口连线也看成一个两端口的设备并把这两个端口的端子做标注，则两设备通过绿框内的连线进行串口通讯的连接如下图2 所示.图2如果用无线数传模块替代串口连接线，则设备a与设备b之间的通信连接如下图3 所示。图3对比图2与图3可以看出如果将两个无线模块组成的无线信道也看成是一个两端口的设备，则对设备a与设备b而言，串口通讯时有线连接与无线连接的端子对应关系是一样的。用无线信道替代有线连接后的通信程序与有线连接下的通信程序的编制基本相同，无线模块的连接与有线通信方式有以下3点不同：1 有线连接的通讯程序中串口帧格式、串口速率可任意设置。连接线本身对上述两个参数无任何限制。数传模块的串口帧格式、串口速率为一固定值，串口帧格式可设置成（1，8，1）或（1，9，1）。串口速率为固定的9600bit/s。使用无线模块的通信程序在这两个参数上应与模块一致。2 如果是设备a 发出数据，设备b 接收数据。有线连接时发端发出数据的时刻与收端收到数据的时刻无时间间隔。示意图如下：因为无线模块在发送数据时要进行收发转换及时钟同步，无线通信时设备a 发出数据的时刻与设备收到数据的时刻有时间间隔。这个时间间隔就叫延时时间记为t。f49p 的t 为19ms。示意图如下：3.有线连接时串口通信是全双工的,无线模块的通信是半双工的。既无线模块发射数据时模块不能接收数据，接收数据时模块不能发射数据。因此在通信编程时应将收发的时间错开。一般问答式的通信程序收发的时间均是错开的。7.2.2 sm5964 cpucpu模块包括cpu 芯片及其外围的晶振电路和复位电路。目前使用的sm5964是采用cmos制造工艺的一种高性能、低功耗的8位cpu。工作电压4.05.5v,工作频率可以达到40mhz,内置64kb的在系统可编程flash,1kb的内部ram,32个可编程i/o口线,2个16位的定时/计数器。复位芯片采用imp810l,复位时输出端产生高电平,门槛电平4.63v,电源恢复到门槛电平以后复位信号至少延续140ms。cpu的资源分配如下:p1.0-ri r6c 001a的串行数据输入din；p1.1-ri r6c 001a的串行数据输出dout；p1.2-ri r6c 001a的串行时钟sclk；p1.3-ri r6c 001a的曼切斯特协议错误标志位m-err,用以判断卡冲突的存在；p3.0、p3.1-串口uart的txd、rxd。7.2.3键盘 主键盘采用5*4矩阵结构，用sm5964 p1口的5条线（p1.0-p1.4)直接作为扫描线，四条回复线经过端口锁存器被读入sm5964内进行处理，单片机依次只向一条扫描线输出低电平，并从端口锁存器检查每条回复线的状态。如果有按键操作，则相应于该键的回复线为低电平，未按下键的回复线均为高电平，根据对应的扫描状态和检测结果，便可识别出按键的位置。7.2.4显示器 显示模块由高亮数码管（led），电路板两部分组成。通过驱动管（三极管）与主板端口相连。sm5964通过片内定时器周期性地轮扫数码管，保证了无闪烁显示。7.2.5射频卡读卡板射频卡读卡板采用mfrc500作为接口芯片，通过总线方式与主板通信。主板控制器sm5964通过复位线（p1.5）将mfrc500复位后，以端口读写方式通过系统总线对其进行初始化及读写操作。而mfcr500则将数字信号进行调幅处理并送往天线端，天线端的高频信号则通过mfcr500进行解调处理后送往sm5964进行处理。7.2.6主板以sm5964作为控制器，其内带（60+4）kb的flash程序存储器，支持在线编程技术。数据，地址总线经过译码进行总线扩展，作为显示、键盘，读卡等功能模块的i/o口选择。通过总线控制外扩256kb的flash（am29f040b）作为数据存储器，存放流水和其他信息（如键表，身份限额等）。cpu的串行口通过485通讯芯片max487和sn75174n与服务器进行通讯。7.2.7电源 电源板将220v/50hz市电通过变压器变为7.5v的交流电，再经桥式整流电路，变为脉动直流电，经电容滤波，滤去脉动直流电中的交流成分，输出电压为10v左右，再通过稳压电路（7805和电容）输出基本上不随电网电压和负载电流的变动而改变的稳定的+5v直流电压。7.3 异构网络车载网关设计车载网关内置了rj45以太网接口，通过双绞线与以太网相连，网速100mbps，主要用于将车载网关连接到校园卡系后台。车载网关设计了4路rs-485通讯接口用于连接无线车载pos，不受接口位置限制，可任意连接车载pos，每一路接口可连接32台无线车载pos，共可以连接128台车载pos。同时，车载网关内部设计了针式票据打印机，主要用于打印车载pos机统计报表商户统计报表。为了保证车载网关信息的安全性，网关内嵌了psam卡读卡器，用于读取psam卡证书卡信息，未经psam卡授权认证的网关是无法使用的。车载网关同时配备了大屏幕的显示屏，采用图形化的网关管理程序，使得用户可以方便地本地操作车载网关。车载网关的主机外形主要部件如下图：7.3.1 键盘 17个橡胶膜按键，分两区设置，分别