清华同方企业园区一卡通系统建设方案.doc

清华同方企业园区一卡通系统建设方案同方锐安科技有限公司TONGFANG R.I.A COMPANY LIMITED2013年9月目 录1.方案综述11.1.系统概述11.2.建设背景11.3.需求分析11.4.建设内容11.5.建设目标32.方案设计42.1.设计思想42.2.设计原则42.3.设计依据52.4.体系架构72.4.1.总体架构72.4.2.技术架构82.5.网络拓扑92.6.卡片选型92.7.性能指标123.一卡通中心平台133.1.密钥管理133.2.系统管理183.3.卡务管理203.4.卡片初始化203.4.1.卡片个性化制作223.4.2.卡片业务管理233.5.结算管理244.一卡通金融交易类应用系统264.1.消费管理系统264.1.1.系统概述264.1.2.系统功能264.1.3.系统结构图294.1.4.工作流程304.1.5.设备选型及参数304.2.水控管理系统324.2.1.系统概述324.2.2.系统功能334.2.3.系统结构图344.2.4.设备选型及参数344.3.班车管理系统354.3.1.系统概述354.3.2.系统功能364.3.3.系统结构图364.3.4.设备选型及参数375.一卡通身份识别类应用系统385.1.门禁管理系统385.1.1.系统概述385.1.2.系统功能395.1.3.系统结构图425.1.4.工作流程425.1.5.设备选型及参数435.2.访客管理系统505.2.1.系统概述505.2.2.系统功能505.2.3.系统结构图525.2.4.工作流程535.2.5.设备选型及参数535.3.人员查验系统565.3.1.系统概述565.3.2.系统功能565.3.3.系统结构图575.3.4.设备选型及参数575.4.考勤管理系统585.4.1.系统概述585.4.2.系统功能585.4.3.系统结构图605.4.4.工作流程605.4.5.设备选型及参数615.5.会议签到系统635.5.1.系统概述635.5.2.系统功能635.5.3.系统结构图645.5.4.设备选型及参数655.6.梯控管理系统675.6.1.系统概述675.6.2.系统功能685.6.3.系统结构图695.6.4.设备选型及参数695.7.人员通道管理系统715.7.1.系统概述715.7.2.系统功能715.7.3.系统结构图725.7.4.设备选型及参数725.8.车辆出入管理系统815.8.1.系统概述815.8.2.系统功能815.8.3.系统结构图835.8.4.设备选型及参数835.9.电子门锁管理系统865.9.1.系统概述865.9.2.系统功能865.9.3.系统结构图875.9.4.设备选型及参数875.10.巡更管理系统（离线）885.10.1.系统概述885.10.2.系统功能895.10.3.系统结构图935.10.4.设备选型及参数946.一卡通自助服务类应用系统966.1.自助服务系统966.1.1.系统概述966.1.2.主要功能976.2.Web查询服务986.2.1.系统概述986.2.2.主要功能987.一卡通与第三方系统对接方案997.1.对接方案概述997.2.ERP系统1007.2.1.需求分析1007.2.2.解决方案1018.一卡通运行环境设计1018.1.一卡通数据中心1018.2.一卡通系统网络1029.同方整体优势1029.1.整体产业链实力的专业化公司1029.2.产品自主研发、应用系统多、涵盖面广1029.3.真正基于CPU卡应用的一卡通系统1039.4.密钥管理和初始化工作由用户主导1039.5.平台架构稳定1039.6.易扩展性和开放性1049.7.良好的兼容性1049.8.多级权限管理设计1059.9.系统成熟稳定，众多的CPU卡一卡通成功案例1059.10.专业、强大的实施团队1079.11.本地化售后服务10710.系统厂商简介10710.1.专业智能卡系统厂商10810.2.企业专业资质10810.3.完善的技术服务体系10911.售后服务承诺10911.1.售后技术支持10911.2.售后服务响应10912.典型案例介绍11012.1.中央电视台一卡通11012.2.中国神华国华电力一卡通11112.3.清华大学校园一卡通11112.4.中国纪检监察学院一卡通11212.5.中国科技馆新馆一卡通11212.6.司法部燕城监狱一卡通11312.7.中国中铁股份一卡通11312.8.中国三峡工程开发总公司一卡通11412.9.清华大学城市规划院一卡通11512.10.中国核工业建设集团一卡通11512.11.神华集团李家豪煤矿一卡通11612.12.福建省广播影视集团一卡通系统11612.13.中国石油天然气管道工程公司一卡通11612.14.中钢集团滨海公司一卡通系统11712.15.清华同方科技广场一卡通11712.16.北海市公安局一卡通119 清华同方企业园区一卡通系统建设方案1. 方案综述1.1. 系统概述一卡通信息管理系统上是一套由卡片、机具设备和管理软件所构成的IC卡综合信息管理系统。其核心内容是利用卡片这种特定的物理媒介，实现从业务数据的生成、采集、传输到汇总分析的信息资源管理的规范化和自动化。同时企业一卡通作为企业信息化管理的一部分和企业的ERP系统、财务系统以及HR系统有着密不可分的联系。企业园区一卡通系统的建设，将使企业内部原有业务和管理体系相对独立、互不协调的现象得到有效整合，减少资源浪费和重复建设，达到业务流程重组，对于实现企业信息系统数据交互具有特别重要的意义。1.2. 建设背景（用户情况简述：园区简介、现状）。1.3. 需求分析企业园区一卡通应用需求可分为：消费管理类应用、身份识别类应用、自助服务类、其他扩展类应用。金融交易类应用：消费管理系统、水控管理系统、班车管理系统；身份识别类应用：门禁管理系统、考勤管理系统、会议签到系统、访客管理系统、电子巡更管理系统、人员通道管理系统、车辆出入管理系统、梯控管理系统、人员查验系统、电子门锁管理系统等；自助服务类应用：自助服务系统、WEB查询系统。其他扩展类应用：图书借阅管理、ERP等一卡通用；1.4. 建设内容基于对XX园区一卡通系统需求理解，本方案中，我方采用同方企业园区一卡通系统进行建设，卡片选用具有同方自主产权的高安全性的非接CPU卡。系统采用“平台+子系统+第三方接口”的结构化设计，所有应用系统基于该平台进行建设和扩展，并通过标准的第三方接口规范：报文接口、应用程序接口、卡操作接口，实现与相关系统的对接整合、数据共享，如：HR系统、OA系统等。企业园区一卡通系统项目建设，包括以下部分：n 一卡通系统中心平台 密钥管理系统； 卡片初始化系统； 平台系统：系统管理、卡务管理、结算管理。n 一卡通应用子系统 消费管理系统； 门禁管理系统； 通道管理系统； 考勤管理系统； 梯控管理系统； 班车管理系统； 访客管理系统； 人员查验系统； 车辆出入管理系统； 图书管理系统； 电子门锁管理系统； 水控管理系统； 电子巡更管理系统； 自助服务系统； Web查询服务。n 一卡通系统运行环境 一卡通系统数据中心、一卡通系统专网建设。1.5. 建设目标通过一卡通系统的建设，在企业园区建立统一的卡片管理平台，并依据此平台扩展实现安全认证，出入管理，小额支付，交易结算等应用。系统设计达到以下几个建设目标：u 统一身份管理平台在企业园区信息化管理中，每一个员工都拥有一个身份信息。如果加上员工卡，就等于给每个员工发了一张电子名片。企业园区信息化管理中的方方面面都需要用到这张电子名片。小到门禁出入、考勤请假、职工活动，大到档案管理、社会保险、员工福利都需要这张电子名片。随着应用的推广，企业园区管理方也就建立一套先进、高效的统一身份管理平台，对企业园区内部的人员做到集中化管理。u 统一支付平台和财务管理系统在一些大型的企业园区中会有很多应用到消费的部门和单位，他们会与园区内的员工的各项生活息息相关，为了方便各个部门的核算和管理，应该建立一套基于卡片的统一支付平台，同时结合各个企业或单位的自身的财务制度，与相关的财务系统做灵活的对接，就能够实现在整个园区内的基于卡的支付平台和财务管理系统。u 跨应用的数据通讯中心和数据交换平台在一个企业或一个企业园区内，信息化工作往往是纷繁、交错、复杂的。主要原因是企业内的各项信息化系统种类繁多，关系复杂。所以，应当建立一套跨应用的数据通讯中心和数据交换平台。由它向企业应用提供稳定、快速的信息传递、信息调度和信息共享。其实不管是否建设该项目，只要是在大型的企业信息化建设的过程中，数据中心的建设也都是非常重要的。u 统一安全认证应用体系企业内各项应用的安全是管理者非常关心的，在前面提到，通过该系统的建设为企业或者园区提供了一套统一的身份管理平台后，下一步要做的是建立一套立体的安全认证应用体系。它的范围既包括应用了门禁、通道和人员查验等终端设备，同时也包括了视频监控、消防管理以及周界探测等安防管理设备。u 统一消费和支付应用体系企业园区内的食堂、餐厅、便利店、医院是与员工的生活紧密相关的设施。同时也是一个庞大的消费市场。以一个6万人左右的大学校园为例，仅负责食堂的饮食中心每10天的结算款就有几百万。企业相对于校园来说是一个更大的消费群体，如何运营好这么大的一个消费市场无论对于商家还是管理者都充满了吸引力和挑战。建设以卡片为载体的系统，可以帮助企业或是园区建立一套先进科学的消费和支付应用体系，有效的将这个消费市场管理好，为这个消费群体服务好。u 实现“一卡多用，一卡通用”的全新用户体验借助各类智能读写设备以及与之相配套的中心平台软件和应用管理软件，实现为持卡人的各项日常活动提供服务的综合信息化服务管理技术。一张小小的卡片记载着持卡人日常生产生活中方方面面的信息要素，提供便捷、精确、高效、安全的信息服务。“一卡多用，一卡通用”不再是一个概念或是一个口号，而已经成为实实在在的一项服务。2. 方案设计2.1. 设计思想系统利用高安全性非接触式CPU卡作为主要介质，设计采用二级管理运营方式和三层应用结构的系统框架，系统由一个统一的管理平台、多个应用子系统构成，系统之间采用TCP/IP网络连接方式，实现系统数据共享和统一管理、分散授权；统一的身份认证识别管理；建立规范化信息平台系统接口，与相关应用管理子系统对接扩展。2.2. 设计原则在进行系统设计时，不仅要考虑软件的功能性需求，还要考虑非功能性需求，比如软件的性能、可扩展性、系统的稳定性、部署和更新，可维护性，版本的管理，系统的安全，界面的友好程度可用性等。园区一卡通系统遵循以下设计原则： u 便利性系统设计一张卡片完成持卡人在公司或楼宇内的出入管理、消费管理、考勤管理、自助服务等应用，真正的达到一卡通用的功能，给持卡人的日常工作及生活带来极大的便利。u 安全性系统采用真正的CPU卡技术，硬件集成PSAM认证模块，软件采用PBOC标准交易流程。系统密钥采用卡号及随机数分散，真正做到一卡一密，一次一密。u 可靠性系统对于规范要求以外的输入能够自动判断，并能有合理的处理方式。u 易用性系统通过智能化的导入导出等工具，引导系统操作人员使用，使得具备一定电脑和电子技术基础的人员，在经过短期培训后，能合格的管理和使用系统内的所有设备及软件。 u 标准性在结构上实现开放，基于业界开放式标准，符合国家相关部门的规范。 u 先进性在产品设计上，整个系统软硬件设备的设计符合高新技术的潮流，关键设备均处于国际领先的技术水平。在满足现期功能的前提下，系统设计具有前瞻性，在今后较长一段时间内保持一定的技术先进性。u 合理性根据用户的现状及需求，量身设计网络结构、管理系统结构，使系统达到最优性能；系统结构与用户的管理机构相吻合，方便系统管理与维护。同时，在系统设计时，充分考虑系统容量及功能的扩展，方便系统扩容及平滑升级。u 可扩展性系统软件设计完要留有升级接口和升级空间。2.3. 设计依据本项目建设方案，遵循以下相关要求及规范：1) 智能建筑设计标准 GB/T50314-20062) 智能建筑工程质量验收规范 GB50339-20033) 建筑电气工程施工质量验收规范 GB50303-20024) 综合布线系统工程设计规范 GB50311-20075) 综合布线系统工程验收规范 GB50312-20076) 建筑物防雷设计规范（2000 版） GB50057-947) 建筑物电子信息系统防雷技术规范 GB50343-20048) 电气装置安装工程接地施工及验收规范 GB50169-20069) 电子计算机机房设计规范 GB50174-200810) 信息安全技术 信息系统安全通用技术要求 TC 260-N007311) 民用建筑电气设计规范JGJ/T16-9212) 防盗报警控制器通用技术条件GBI2663-9013) 建筑电气工程施工质量验收规范GB0303-200214) 软件工程术语GB/T11457-199515) 软件维护指南GB/T14079-9316) 安全防范工程技术规范（GB 50348-2004）17) 安全防范系统验收规则（GA 308-2001）18) 安全防范工程程序与要求（GA/T75-1994）19) 安全防范系统通用图形符号（GA/T74-2000）20) 中华人民共和国公共安全行业标准（GA38-2004）21) 公安部监控设备安装规范（GA/T70-94）22) 涉外建设项目安保电视系统设计规范（DBJ 08161999）23) 民用闭路电视系统工程技术规范（GB050198-94）24) 视频安防监控系统工程设计规范（GB 50395-2007）25) 视频安防监控系统技术要求（GA/T367-2001）26) 显示屏通用规范（SJ/T11141-2003）27) 彩色电视图像质量主观评价方法（GB7401-1987）28) 入侵报警系统技术要求（GA/T368-2001）29) 入侵报警系统工程设计规范（GB 50394-2007）30) 防盗报警控制器通用技术条件（GB12663-2001）31) 防盗报警控制器通用技术条件（GB12663-2001）32) 出入口控制系统工程设计规范（GB 50396-2007）33) 出入口控制系统技术要求（GA/T 3942002）2.4. 体系架构2.4.1. 总体架构系统依托公司现有信息化基础设施构建，采用分层的平台化体系架构，服从于集团信息化建设的整体框架。为充分整合已有的应用和信息资源，向用户提供多渠道、多种方式的服务，系统采用统一的标准规范（包括信息标准、接口标准等），通过统一的安全和运行保障体系，与集团内各应用系统以一种松散耦合的方式实现集成，协同完成信息的采集和处理。系统从总体上分为基础设施层、数据层、中间件层和应用层等四层。清华同方企业园区一卡通系统总体架构清华同方企业园区一卡通系统是由一卡通中心平台为基础，辐射多个企业应用扩展。一卡通中心平台由负责安全的密钥管理系统，卡片初始化系统，负责卡务的基础平台，负责消费的结算平台，负责自助服务的触摸屏和Web查询以及负责应用和数据管理的数据中心组成。企业应用扩展覆盖人员出入，访客，班车，水控，消费，考勤，门禁等多个应用系统。以“高内聚，低耦合”的软件架构思想为系统扩展提供分布式地应用管理。系统提供了高可用性、高可靠性以及可扩展性的中间件层，增强了性能，提高了系统安全。清华同方企业园区一卡通系统采用两级运营管理方式，即“集中制卡，分散管理”的方式实现了企业内的管理中心和分中心合作运营的管理模式。采用星型网络结构将管理中心和分中心连接起来，共享信息，交换数据。2.4.2. 技术架构系统采用.NET系统平台框架来简化企业解决方案的开发、部署和管理相关的复杂问题的体系结构，系统应用程序结构采用B/S和C/S组合的架构，根据各子系统应用程序特点来确定应用程序架构，同时提供中间层集成框架高可用性、高可靠性以及可扩展性的应用的需求。前端业务与应用服务器之间采用了Socket + JSON报文通讯，既保证数据包的大小在传输过程中尽量减少，同时采用了结构化的数据存储，可快速的序列化和反序列化转换。清华同方企业园区一卡通系统技术架构通过提供统一的开发平台，降低了开发多层应用的费用和复杂性，同时提供对现有应用程序集成强有力支持，增强了安全机制，提高了性能。2.5. 网络拓扑清华同方企业园区一卡通系统网络架构2.6. 卡片选型2008年IC卡系统的M1芯片的安全算法遭到破解，工信部于2009年1月发出关于做好应对部分IC卡出现严重安全漏洞工作的通知，要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。国家密码管理局随后发出关于请协助做好IC卡系统密码管理工作的函和关于加强IC卡系统密码管理工作的通知在此基础上近日印发重要门禁系统密码应用指南，同时地方政府如北京市网络与信息安全协调小组办公室发出关于转发 重要门禁系统密码应用指南的通知。Mifare系列逻辑加密卡采用了一种NXP特有的加密算法来完成认证和加解密运算。这个过程可以简化为：非接触CPU卡与Mifare 1卡片相比，拥有独立的CPU处理器和芯片操作系统，所以可以更灵活的支持各种不同的应用需求，更安全的设计交易流程。非接触式CPU卡具有三种认证方式，持卡者合法性认证PIN校验，卡合法性认证内部认证，系统合法性认证外部认证，对交易的各个单元（持卡人、卡片、终端设备）进行相互认证，保证交易介质的合法性；在以上认证过程中，密钥是不在线路上以明文出现的，它每次的送出都是经过随机数加密的，而且因为有随机数的参加，确保每次传输的内容不同，保证了交易内容的合法性。所以，采用非接触式CPU卡可以杜绝伪造卡、伪造终端、伪造交易，最终保证了交易的安全性。基于安全性要求，系统采用同方TFCS2000系列非接触CPU卡，TF-CS2000系列非接触CPU卡是由同方自主研发的一款带TDES/DES硬件加速功能的非接触CPU卡。该产品支持多应用防火墙，支持内外部双向认证，具有硬件DES处理器和真随机数发生器，符合IEC/ISO14443标准。具备防冲突机制，支持防插拔处理和数据断电保护机制。产品特点： n非接触，兼容ISO/IEC 14443标准； 读写距离0-5 厘米； 8051/2 兼容CPU； 8K 字节EEPROM； EEPROM 同时映射到程序空间和数据空间，且映射地址相同； 支持页写入方式（一次写入32 字节）； 14K 字节Mask ROM； ROM 同时映射到程序空间和数据空间，且映射地址相同； 512 字节 RAM； 64 字节系统数据（含8 字节序列号），不可更改； TDES/DES 硬件加速引擎； 32 位随机数发生器； CRC 协处理器； 串行通信模块； 低电压检测和高电压保护电路；技术参数： 工作频率： 13.56MHz； 通讯速率： 106Kbps； 读写距离： 0-10cm； 数据保持： 10 年； 擦写次数： 100,000 次； 防静电保护： 4000 V；2.7. 性能指标项目参数系统容量部门级数1024持卡人容量100万卡类别255种商户容量1万商户级数3级POS终端容量10万门禁控制器容量10万流水保留天数自由设定流水保存数量1000万笔子系统接入数量1024个系统处理能力系统工作特性724小时系统纠错处理自动、手动实时交易处理能力1000笔/分单笔交易处理时间小于1秒多机并发处理能力联机256台，脱机不限系统安全保护安全机制卡片、设备、数据密钥控制体系金融标准密钥分组数量6组加密算法3DES、国密两种加密签名算法MD5、HASH、3DES等卡片密码体系一卡一密、一次一密网络网络形式专网/原有网络网络结构星型拓扑或总线拓扑通信协议TCP/IP、RS232通信距离不限系统帐务处理对账模式自动、手动系统纠错处理自动、手动系统记账精度分帐务处理后台自动清分清算充值模式联机消费模式脱机、联机充值方式现金、补贴、补助、计数、班车专用消费方式自由金额、定额、编号、餐别、计次补贴补助领取限制自由设定终端PSAM支持支持（2个卡槽）兼容卡ID、M1、磁条卡、TypeA/B协议的CPU卡脱机模式支持联机模式支持黑（白）名单存储容量100万黑名单同步时间1秒(新机器由黑名单数量决定)黑名单判断时间100毫秒读写卡时间10小时嵌入式程序升级方式在线远程升级卡片存储容量8K字节钱包数量标准5个，可增加钱包限额自由设定读写卡距离010厘米第三方接入硬件对接支持卡面对接支持数据库对接支持3. 一卡通中心平台一卡通中心平台由密钥管理系统，密码加密机，卡片初始化系统以及基础平台构成，其中密钥管理系统实现密钥的创建、传输、管理及导出；密码加密机实现密钥的存储、计算；卡片初始化系统实现卡片结构创建、密钥灌装；基础平台实现组织机构、人员信息、证卡资料、操作员等基础信息的登记和管理。3.1. 密钥管理密钥管理系统是系统平台的安全保障，密钥的安全控制和管理是整个系统安全的关键，密钥的安全性将直接影响整个系统的安全。从卡的制造、运输、个人化发卡到使用的各个阶段中，持卡人的验证、卡与读卡器的相互认证、卡与消费终端的相互认证，均由密钥管理，并由加密/解密算法严格控制，以确保安全。 在以非接触CPU卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新，它直接关系到整个系统的安全。密钥管理一般采取分级的方式，这样做是为了满足跨不同应用区域、跨不同应用部门的共享密钥的需要。 密钥管理系统的目标就是安全地产生各类主密钥和各级子密钥，并将各级子密钥安全地下发，用来产生用户卡和PSAM卡的各种密钥。确保密钥在其整个生命周期各环节中的安全性和一致性。用户通过此软件自行生成和管理各类应用密钥保证用户拥有密钥管理和发卡的主动权。（1）相关硬件密钥管理系统主要和两种硬件设备打交道，即智能卡读卡器和硬件加密机。 智能卡读卡器是密钥管理系统与密钥卡交互的接口设备；硬件加密机是实际的应用系统的后台密钥管理的硬件加密设备，它需要装载应用主密钥，而这一过程是在密钥管理系统中完成的。 系统在处理各类联机交易过程中，需要使用硬件加密机，加密机中存储密钥和相关算法，负责联机交易操作的安全性。在终端的读卡设备上加装PSAM卡， 非接触CPU卡的操作需要采用PSAM卡进行密钥访问。（2）主要功能及其安全控制 从基本功能上来看，密钥管理系统是比较简单和清晰的，它的主要作用就是完成密钥的产生和密钥的传递这两类功能。在密钥管理系统中，我们将专门用于密钥管理的智能卡称为密钥卡。 密钥卡中新密钥的产生主要有两类方式，即直接在密钥卡中产生新密钥、在其它安全设备中产生新密钥然后装载到密钥卡中。 直接在密钥卡中产生新密钥这种方式比较简单实用，它直接将AB码单作为“生成密钥”命令的输入数据来完成该操作。它要求密钥卡提供对“生成密钥”命令的支持。 在其它安全设备中产生新密钥这种方式不需要密钥卡提供对“生成密钥”命令的支持，密钥卡的功能比较单一。由于要将密钥装载到密钥卡中，因此，必须保证密钥传递过程的安全。在基于对称密码体系的密钥管理系统中，只要安全设备和目标密钥卡中有相同的加密密钥，就可以确保在密钥的装载过程中密钥不被泄露。在产生新密钥的过程中，最主要的安全问题是对原始生成数据的保护问题。可能采取的措施是将原始生成数据分成几部分，分别由不同的人员来保管。原始生成数据的泄露会影响到整个系统的安全。在密钥管理中，涉及最多的操作就是密钥的传递。在多级的密钥管理体系中，密钥需要在各级之间进行分散传递，最后传递到用户卡中。在基于对称密码体系的安全系统中需要数据传递双方拥有相同的加密密钥，这样才能保证数据的安全传输。密钥在密钥卡之间传递的基本流程如下所示。密钥生成流程及密钥管理系统软著证书通过密钥管理系统系统生成各组密钥并发送到硬件加密机（软加密机）中，未来需要加解密运算时，则统一通过加密机进行安全获取（卡片初始化、联机充值、消费结算等业务）。注：设备配置在密钥管理部门设置密钥管理主机1台，配套密钥管理软件、读写器、Ukey、码单卡、密钥母卡。双界面发卡器:同方读写器内置非接触通讯模块，TF-RF3000系列读写器能够支持包括同方双界面卡在内的符合ISO14443 通讯协议的Type A/B卡。具有两个SAM卡槽方便用户实现对非接触智能卡诸如加密解密、卡片双向认证、发卡等卡片交互操作，一台读写器即可完成用户卡与SAM卡间的整个交易流程。主要技术参数： 通讯接口：RS232； 读取范围：非接触方式最远5cm 电源：外接12V DC； 功耗： 0.5W； 电磁兼容性：符合GB9813-88 4.7中B级要求； 工作频率：13.56MHz（非接触方式）； 读取时间：50ms； 卡座寿命：10万次； 工作温度：050（环境温度）； 工作相对湿度：35%80%； 非接触卡支持类型：符合ISO14443 通讯协议Type A/B卡。3.2. 系统管理主要进行系统的初始设置操作，包括部门机构设置、操作员管理、用户信息管理等。（1）部门机构管理实现用户各级部门的维护：添加、修改、删除等，系统可支持256级部门结构。（2）系统操作员管理实现系统各级管理员的建立、及多级权限的设置等： 管理员维护：管理员的添加、修改、删除； 权限维护：功能权限：管理员可进行何种业务的操作，如超级管理员，可具有基础平台、结算、卡务等权限。数据权限：管理员所负责班级机构，及该班级下的人员、商户、设备的操作权限。（3）人员信息管理实现人员信息的添加、删除、修改，并可按一定格式进行人员信息的批量导入。人员信息包括：姓名、工号、性别、出生日期、身份证号等。并可进行重置用户卡密码、重置Web查询密码。3.3. 卡务管理卡务管理是一卡通系统的基础和核心，负责整个系统中用户卡的制作及日常卡的维护等。园区一卡通项目中通常需要建设卡务中心，此部门为卡务管理的核心部门，负责卡片初始化、卡片个性化印刷、卡片个人化等管理操作。卡务管理流程3.3.1. 卡片初始化CPU卡的发行工作流程不同于以往的逻辑加密卡，通过CPU卡的卡片初始化功能实现CPU卡的密钥灌装和卡内结构初始化，针对用户卡建立卡片文件结构、写入卡片应用序列号、安装各类工作密钥等卡片初始化工作，确保卡片加密的安全性。通过门禁设置卡初始化实现门禁读卡器SAM模块密钥灌装。n 卡片初始化通过非接触CPU卡的卡片初始化功能，实现非接触CPU卡的密钥灌装和卡内结构初始化的工作。n 门禁设置卡发行，用于设置人员通道读头密钥。n 发行消费PSAM卡。注：设备配置在相关管理部门设置卡片初始化管理主机1台，配套卡片初始化软件、读写器1台。管理主机和读写器可与密钥管理系统共用。3.3.2. 卡片个性化制作卡务中心可以完成对人员照片信息的统一采集、存储、卡制作一系列工作，支持在线式（选用数码摄像机、摄像头等）照片采集，和离线式照片采集（选用设备数码照相机、电子文档、原照片扫描等方式）。证照卡制作系统一界面即可完成照片存储、证照卡制作、卡发行等工作，提高效率，轻松方便。 支持多种照片采集方式，联动制卡、所见即所得，同一界面操作； 多种数据录入方式，持卡人信息修改确认，可实现快速现场制卡； 系统有方便易操作的批量办卡的功能，支持批量录入数据，批量导入照片，批量打印卡片，批量发卡； 每种卡类长期卡、短期卡、临时卡等，可灵活进行卡面设计：背景图、照片、卡面文字信息如姓名、学号、班级、卡面编号等。根据园区一卡通项目的实际需求，用户卡面可印刷园区LOGO及人员照片、姓名、部门等个人信息，第一次采用卡厂批量印刷、后续少量的制卡工作采用证卡打印机打印实现。 3.3.3. 卡片业务管理1）卡类型管理用户卡类型的定义：支持0255种卡类型，并可设置每种卡类的日消费限额、折扣率、有效期、卡押金等参数。2）卡业务处理用户卡的发行、挂失、解挂、补卡、换卡、卡信息修正，单个注销和成批注销等工作，并生成相应的报表和流水记录等，流水记录如发卡记录、挂失记录等。3.4. 结算管理消费结算负责系统所有金融数据如：消费、现金充值、补贴等的清分清算、商户财务结算等。结算管理中心将配置管理终端及读写设备，结算中心可以根据条件放置一或多台管理终端，中心业务人员通过结算管理系统进行日常工作，并可根据授权分别负责不同的业务。结算功能的主要包括：n负责对持卡人在系统平台中的资金和账目进行管理。n结算功能包括商户和消费终端管理与结算、系统综合报表、补助的管理与发放、卡业务注销与清算、主机现金充值、分类明细报表（年、月、日等报表）等。n支持清分清算功能。支持商户结算。n支持各种资金往来业务：现金充值、生活补助、消费、商户收入支付。n各种查询：对持卡人、商户、消费单位的帐目进行多种条件的组合查询。报表一、现金消费结算数据：报表二、流水查询（现金充值）报表三、业务汇总统计4. 一卡通金融交易类应用系统4.1. 消费管理系统4.1.1. 系统概述企业园区消费管理系统建设实现对CPU卡电子钱包和对商户账务的管理，在各大行企业园区内涉及众多消费结算系统应用的场所：食堂、超市、医院、KTV等消费网点。通过在各消费网点安装消费POS机实现一卡通卡片电子化支付，使消费行为变得方便、快捷，提高消费效率和节省消费需配备的人工成本。系统主要功能包括消费扣款、发放补助、现金充值、报表统计等。4.1.2. 系统功能1） 商户及设备终端维护可进行系统商户如食堂、超市进行添加设置，并可对商户所属的终端POS机进行添加维护。2） 消费参数设置 日消费限额、次消费限额（超过限额需输入用户密码，可有效保护持卡人利益）、消费模式、打折费率、餐别时段等参数灵活设置，并可通过软件联机下发至消费终端。3） 终端刷卡消费POS终端支持金额模式、定额模式、菜号模式、消费时段模式（早，中，晚，夜宵时间段）；可按卡类进行打折优惠，并可收取相应的管理费用。终端机内有后备电池，平时使用市电，在出现电路或网络故障时，可以脱机使用，在故障排除后可立即传入计算机中处理，上传到中心数据库。终端机内有大容量存储器，存储器采用FLASH芯片，可防掉电丢失数据。临时人员只进行就餐消费，可在食堂设置的管理点购买临时餐卡，就餐后退回。4） 打印消费凭证持卡人在超市、签约商户进行购物时，可打印消费凭证；商户也可对当天该POS机的刷卡消费情况进行查询打印，便于账目结算核对。票样一、消费凭证格式如下：- 消费凭证帐号： 1001卡号： 997消费前余额：12.90元消费金额： 3.00元消费后余额：9.90元验证码： FF01DDE3操作员编号：2003终端机编号：123 消费时间： 2010-05-26 09:10:13打印时间： 2010-05-26 10:10:10-票样二、日营业汇总单据格式如下：-当日营业汇总单据营业日期： 2010-05-26消费总笔数：889笔消费总金额：10987.00元未上传笔数：3终端机编号：123打印时间： 2010-05-26 10:10:10-5） 消费异常提示、纠错误操作提示、修正：在操作员对员工卡进行扣款操作时，如操作员或员工刷卡发生任何异常时，系统均有提示，并能进行现场修正，也可事后在管理部门如财务进行消费纠错、卡值修正。6） 卡充值（现金）用户卡余额不足时，在充值点通过读写器联机进行现金充值。7） 补贴管理 系统可按卡类、部门、个人等方式（及一定格式的文件），灵活地进行各类员工的餐补管理，并通过专用设备自助服务机进行补贴领取。8） POS终端数据同步消费终端支持TCP/IP通讯，终端机通过以太网络实现数据同步将消费数据实时上传至数据库服务器，并将时间、黑名单等系统参数下载至终端机；POS机支持脱网运行，可存储10万条消费记录；对于POS机脱网时，终端监控程序给予提示，脱机超过一定时间，可限制消费功能使用。9） 报表查询 交易结算平台提供相关报表，满足不通的用户查询所授权限内的数据，比如部门交易报表，终端交易报表，终端明细报表等，这些报表可以按日，月，年，期等时间进行查询。消费系统界面4.1.3. 系统结构图消费管理系统结构图4.1.4. 工作流程消费管理工作流程4.1.5. 设备选型及参数1) 消费POS机TFXF-8121-D技术参数： 支持符合IS014443-4协议的Type A/ B CPU卡； 采用32位嵌入式CPU开发平台； 同时可附加3个符合GSM 11.11的SIM的卡尺寸SAM卡座； 支持20个输入按键，可按用户要求定义，满足功能菜单的需求； 支持操作屏：160*160点阵液晶,多种字体和图形操作界面； 用户屏：双排6位数码管LED显示消费金额和余额； 支持蜂鸣器提示音； 高速静音热敏打印，支持多种字体及图形打印。具有缺纸保护，过热保护功能；打印速度最大为60mm/秒，打印纸宽58mm； 提供30Mbyte的用户存储数据容量，根据用户交易记录的存储情况，可定制存储容量； 采用Linux系统； 内部实时时钟； 支持通讯方式TCP/IP； 12V5A直流电源,具有过压保护，选配高容量后备电池； 外形规格：170MM*180MM*70MM(长*宽*高)； 重量：1200g； 温度适用范围：0到+60C； 湿度：95； 所遵循的标准：ISO 7816、IS014443、GSM11.11、FCC、ROHS、CE、CCC；2) 消费POS机TFXF-8221-E技术参数： Linux系统；32位ARM处理器,主频为400MHz； PSAM卡接口：附加2个符合GSM 11.11的SIM的卡尺寸SAM卡座； 采用TCP/IP通讯方式； 存储空间：ROM 128M；RAM 64M； 黑名单和消费记录可根据ROM空间动态调整； 可自动或手工更新最新消费参数； 未上传笔数自定义； 支持普通、编号、定额、餐别、计次等多种消费模式； 消费时间 0.2 s； 双面6位，两行显示。主操作屏256*64OLED，用户屏LED数码管两行显示； 20 键防污机械按键； 锂电池 2000mA； 电源 AC220V/50HZ； 功耗小于 8W； 外型尺寸(mm): 220210100； 计算精度：0.01 元； 使用环境：温度 0-50，湿度：50-95RH，气压：88-106Kpa。4.2. 水控管理系统4.2.1. 系统概述水控系统是企业园区用来对一卡通系统中用水服务进行有效地电子化管理，提高节水意识和防止水资源浪费。它采用智能卡作为用水和扣费的凭证，可以实现按流量计费和按时间计费两种计量方式。系统采用预付费方式，通过智能卡上的小钱包实现用水扣费管理。一卡通系统持卡人通过自助服务系统进行水控转账，也可以通过水控管理系统进行水控转账。水控系统可发行的设置卡可对水控POS机进行初始化、消费费率等相关参数设置操作。节水控制系统界面4.2.2. 系统功能1） 配置管理 水控密钥设定可杜绝非系统的用户卡使用； 转账限额灵活配置； 近距离红外触发配置；2） 水控管理 水控金额转账； 水控设置卡发行和清除； 水控卡检测；4.2.3. 系统结构图水控系统结构图4.2.4. 设备选型及参数1） 水控器TFSK-680刷卡式节水控制器TFSK-680-H红外式节水控制器技术参数： 卡片种类：TYPE A/B类卡片； 读卡距离：50mm以内； 工作频率：13.56MHz； 卡操作时间：0.3秒； 工作电压：9-15VDC； 使用环境：温度：0-100，湿度：50-95RH； 安装方式：壁挂或暗装； 计费精度：0.01元； 计时精度：1秒； 最大累积消费总额：2000万元； 卡发行量：无限量；2） 电磁阀TFSK-DCF-01电磁阀技术参数： 输入电压：+12VDC； 启动电流：0.5A； 额定电流：0.4A； 阀类型：单向阀；4.3. 班车管理系统4.3.1. 系统概述企业园区班车管理系统是基于IC卡应用的管理系统，通过班车管理软件、非接触CPU卡片和车载POS 机的协同工作，可实现乘车人员和班车的有效管理、资源合理分配的信息化管理。充分满足员工利用一卡通用户卡乘坐单位班车时刷卡验证、收费，实现班车乘坐、管理一卡通。通过本系统建设，可以有效解决企业园区非法人员乘坐班车问题，并可实现收费标准的灵活设置。大幅度降低班车运营成本、提高班车管理及运营效率。4.3.2. 系统功能1） 乘车权限管理 通过员工乘车线路规划，建立乘车人员与线路、班车之间的对应关系，并为管理部门车辆调度提供依据。2） 乘车收费管理 对允许乘坐人员按其卡类灵活设置收费标准，乘车刷卡、自动扣费； 设置车补钱包：乘车扣费专用，也可按一定周期（如以月为单位）乘车计次管理。3） 数据处理（采集、统计、查询） 班车车载POS数据的采集上传，乘坐信息查询，及相关报表的汇总统计。4.3.3. 系统结构图班车管理系统结构图4.3.4. 设备选型及参数1） 车载POS机JC-5200A/B/C非接触读写机具完全兼容ISO14443 Type B和Sony felica协议，完全符合建设部应用技术标准，以PSAM卡为核心的安全加密体系，以极高的安全性保证交易完成， Type A、Type B、felica全兼容读写机具，以及符合Type A 、Type B、felica协议的独立读写机具，同样适用于国内外其它企业矿区及城市一卡通及小额消费项目。技术参数： 工作环境：温度-20 +70、湿度 85%； 保存环境：温度-10 +55、湿度 90%； 传输速度：115200bps； 数据下载通讯接口：RS232/IRDA； 记录容量：3万条； 交易时间（次/卡）：300ms； 机器功率：10W； 机器尺寸：220(长)135(宽)50(高)mm； 机器重量：1000g；2） 手持采集仪技术参数： CPU：嵌入式； ROM：512KB（可固化程序空间150KB左右）； RAM：2