校园一卡通方案建议书.doc

校园一卡通方案建议书校园一卡通方案建议书校园一卡通方案建议书校园一卡通方案建议书 Page 2 of 83 目录目录 第第 1 章章前言及公司简介前言及公司简介.7 1.1项目概述.7 1.2公司简介.8 1.3系统设计原则.8 1.4系统特色.9 1.5我们的解决方案和对策.10 第第 2 章章系统总体设计系统总体设计.12 2.1系统设计原则.12 2.2系统架构.12 2.3网络解决方案.14 2.4银行接口.16 2.5系统数据传输架构.17 2.6系统软件结构.17 2.6.1校园卡管理平台.18 2.6.2校园卡应用系统.19 2.6.3交易终端.20 第第 3 章章校园卡管理平台建设方案校园卡管理平台建设方案.21 3.1系统设计原则.21 3.1.1兼顾成熟性与先进性.21 3.1.2独立性与整体性.21 3.1.3可扩展性.21 3.1.4可靠性.22 3.1.5开放性和标准化.22 3.2系统组成.22 3.2.1软件组成.22 3.2.2硬件组成.23 3.2.3支撑系统、周边系统.24 3.3校园卡发行管理系统.25 Page 3 of 83 3.3.1卡发行策略.25 3.3.2功能描述.25 3.3.3发卡系统的配置.26 3.4结算及账务处理系统.27 3.4.1业务要求分析.27 3.4.2结算及帐务处理功能描述.28 3.5银行划帐应用系统.29 3.6数据交换系统.29 3.6.1软件特点.30 3.6.2采用的技术.31 3.6.3软件性能.31 3.6.4数据传输客户端平台.32 3.6.5数据传输服务端平台.32 3.6.6多渠道数据采集平台.33 3.7业务管理系统.34 3.7.1交易清单管理子系统.34 3.7.2帐务管理子系统.35 3.7.3名单管理子系统.35 3.7.4统计报表子系统.35 3.7.5业务参数管理子系统.36 3.8应用管理系统.36 3.9卡务管理系统.37 3.9.1功能划分.37 3.9.2卡信息管理.38 3.9.3卡状态管理.38 3.9.4卡密钥管理.38 3.9.5交易权限管理.41 3.9.6一人一卡.41 3.9.7临时卡管理.42 3.9.8黑名单管理.42 3.9.9综合资料管理.43 3.10终端管理系统.43 3.11对外接口.44 3.11.1与学校综合管理系统接口.44 3.11.2与银行清算系统接口.45 Page 4 of 83 3.11.3与应用系统接口.45 第第 4 章章卡片解决方案卡片解决方案.46 4.1卡片种类.46 4.2卡片选型.47 4.2.1管理卡.47 4.2.2SAM卡.47 4.2.3用户卡.47 第第 5 章章机具选型方案机具选型方案.49 5.1POS消费机具.49 5.1.1基本物理配置.49 5.1.2通用技术要求.49 5.2非接触IC卡读写器.49 5.3IC卡自助圈存机.49 第第 6 章章系统安全措施系统安全措施.51 6.1系统安全目标和设计原则.51 6.2IC卡的安全保护机制.52 6.2.1IC卡的安全保护措施.52 6.2.2使用收费机POS机时的安全措施.52 6.2.3使用圈存机时的安全措施.52 6.3终端设备的安全和授权机制.52 6.3.1收费POS机操作.52 6.3.2圈存机操作.53 6.3.3校内各单位管理终端.53 6.4系统数据交换安全机制.53 6.4.1数据传输安全.53 6.4.2数据清算处理.54 6.5网络运行安全机制.54 6.6数据库安全机制.55 6.6.1访问控制策略.55 6.6.2外部接入点与核心数据库服务器的隔离.56 6.6.3数据库和数据文件的备份与恢复.56 6.7系统用户密码认证机制.58 Page 5 of 83 第第 7 章章一卡通应用系统建设方案一卡通应用系统建设方案.59 7.1学籍管理子系统.59 7.2校内消费管理系统.59 7.3上机控制子系统.59 7.4门禁控制子系统.59 7.5医疗收费管理子系统.60 7.6考勤管理子系统.60 7.7图书借阅管理子系统.60 7.8领导查询系统.60 7.9代缴费功能：.60 7.10其它子系统.60 7.11拓展业务.61 7.11.1电信业务.61 7.11.2公交业务.61 第第 8 章章工程实施计划工程实施计划.63 8.1工程目标.63 8.2工程实施策略.63 8.3质量管理和控制.63 8.3.1质量管理目标.63 8.3.2项目质量实施步骤.64 8.3.3文档.67 第第 9 章章服务支持与培训服务支持与培训.69 9.1培训.69 9.1.1培训方案.69 9.1.2培训内容.69 9.2服务.70 9.2.1服务体系、结构.70 9.2.2服务承诺.70 9.2.3服务职责.70 9.2.4系统的技术保障和维护.70 9.2.5专项服务.71 9.2.6服务保障体系.72 Page 6 of 83 Page 7 of 83 第第 1 章章前言及公司简介前言及公司简介 1.1 项目概述项目概述 伴随着我国教育产业化的浪潮，各种高科技管理工具在全国大中专院校 中得到普遍应用。目前各学校应用最多的是校园卡。卡的种类几乎涵盖了， 条形码、光电卡、磁卡、接触式IC卡、非接触式IC卡（射频卡）等的所有 卡。而林林种种的卡又分别应用在以下不同的场合： 日常消费：如学生食堂、教工餐厅、商店、超市、书店、理发店、社区 服务中心、洗衣店、复印店、各种场馆的消费。 身份识别：如图书馆出入、借阅图书、计算机中心、体育馆、游泳馆、 操场、设备科、宿舍出入、教师上下班考勤、学生上下课考勤等。 这些卡的应用又分别于以下信息系统有关，它们是： 学籍管理 教务管理 机房管理 用餐管理 图书馆管理 医疗管理 物业管理 考勤管理 校内支付 由此形成的状况是，学生手中有学生证、饭卡、借阅卡、银行卡以及电 话卡等等，少则三四张，多则六七张，给学生日常生活带来了诸多不便。由 于现有的各系统采用不同的信息储存和认证、消费方式，学校不能做到统一 管理，资源无法得到合理应用和共享。 IC卡由于具有存储容量大、安全性好、使用寿命长、方便卫生的特点， 在金融、公交、社保、通讯等领域获得了广泛的使用。在学校这样一个相对 独立的环境中，IC卡完全可以替代原有的学生证、饭票、图书证等票证，实 Page 8 of 83 现消费、图书借阅、学籍管理和身份认证等功能。 为了提高高校管理的信息化水平，优化资源配置，启动“数字校园”工 程，“数字校园”系统以校园网络建设为基础，以IC卡为介质，以校园管理 中央数据管理系统为中心，外挂各种交易终端和管理系统，利用先进的信息 化手段和工具，实现从环境、资源到活动的全部数字化管理，从而提高校园 管理效率，拓展学校管理功能，实现教育过程的全面信息化。 校园一卡通系统是大学的一个重要的子系统和组成部分，系统以校园网 和学校中央数据管理系统为基础，针对目前校园中使用的证件繁多、管理繁 杂的情况而设计的，用一张卡代替学校目前使用的学生证、借书证、开门钥 匙、上机卡、菜饭票等等，从根本上实现“一卡在手，走遍校园”的设想。 校园卡具有如下功能： 身份识别功能：可以实现对各种公共场所和关键部门的准入自动 管理 电子支付功能：利用智能卡中的电子钱包实现学生食堂、上机、 用水用电、乘车、以及其它消费场所的支付功能 学籍管理功能：实现新生注册、报到、选课等学籍管理功能 医疗保健功能：在学校指定的医院持卡看病 图书借阅功能：代替借书证实现图书借阅、归还等功能 电信业务：通过与电信公司签署代理协议，在一卡通中实现IP电 话代理业务 增值拓展功能：校园卡今后可具有银行卡借记卡所有功能，金融 IC卡功能，可以在校园卡上实现消费积分、代收费等增值应用 本方案为“校园一卡通系统” （以下简称为校园卡系统）建设的 建议书，在方案建议书中，本公司总结多年参与一卡通系统建设 的经验，根据校园卡系统建设的需求，就系统设计、工程实施、 工程组织管理等方面提出全面的解决方案。 1.2 公司简介公司简介 Page 9 of 83 1.3 系统设计原则系统设计原则 作为一个校园一卡通系统，在进行系统设计时不仅要考虑到系统的技术 先进性、功能完备性、运行稳定可靠，还要考虑到系统的安全性、可维护性 和可扩展性等重要因素，具体体现在： 高度的稳定性和可靠性，在系统设备选型、网络设计、软件设计 等各个方面要充分考虑可靠性和稳定性。在设计方面，要采用容 错方式进行设计，在设备选型方面，要保证软件、硬件的可靠性 技术先进性，信息技术发展日新月异，各种新产品，新技术层出 不穷，每一个新技术的出现都对我们的生活方式产生极大的影响， 对我们工作效率的提高起到极大的推动作用。在投资费用许可的 情况下，应当充分利用现代最新技术，最可靠的成果，以便使系 统在尽可能长的时间内与社会发展相适应，这一方面反映了系统 所具有的先进水平，又使得系统具有强大的发展潜力。 可扩展性 校园一卡通平台必须具有良好的可扩展性，通过与终 端系统和外围系统提供的接口满足校园一卡通应用扩展和功能扩 充的需求，在进行系统设计时应留有余量，软件系统具有良好的 扩充性和可定制性 系统安全性，由于具有电子支付和门禁系统、学籍管理系统功能， 校园卡的安全性至关重要，如果出现非法卡片和伪造卡片，不仅 会造成一定的经济损失，还会给学校的日常管理带来很大的麻烦， 因此必须采用数字加密等安全技术保证校园一卡通系统的绝对安 全 可维护、管理性 由于校园卡系统涉及的面比较广，系统必须具 备高度的可维护和可管理性，日常维护工作必须操作简便、易于 理解，异常处理必须及时、有效 规范性，为了保证系统的开发性及扩展性，系统在进行系统设计 和设备选择时尽量参照通用的标准和规范进行 1.4 系统特色系统特色 校园一卡通系统具有如下主要特点： 真正的“校园一卡通”系统，应该实现“一卡一库一线”。即所有的一 卡通应用功能在一个统一的数据库基础上进行，而不是某个模块 Page 10 of 83 采用一个数据库，然后在完全不同的二套或更多套软件进行一些 数据的导入和导出功能。这样对系统使用者来说将会带来很麻烦， 如一同学的卡丢失或补办，要到每套系统都要去重复办理麻烦的 手续。 采用三层体系结构，目前,国内的校园一卡通系统都仍然是传统两 层的客户端服务器结构（C/S结构），部分系统甚至是桌面数据库 的单机版本。随着信息技术的不断发展，尤其是近年来 Internet/Intranet的兴起对于企业运作的方式有着极大的影响。 传统的C/S结构已经远远满足不了发展的需要，软件的三层结构在 “校园一卡通”系统的应用实现了真正意义上软件模块化，更加安 全可靠的网络数据传输机制，并可同时兼容多数据库平台。三层 软件结构具有良好的扩展性，使系统的安装、升级更为方便。 系统采用实时的通信方式和兼顾终端设备脱机交易的互补性，各 个子系统和交易终端均可实现与校园一卡通系统的实时通讯。这 种方式不仅能保证系统数据库的数据的完整性和真实性，而且能 实时有效的黑名单管理，避免因卡片丢失而造成的风险。一旦发 生网络中断，某些终端设备必须能完成脱机交易，且将数据保存 于本地，待网络恢复后，再将数据上传。如售饭POS机等。 系统的安全性高，本公司长期从事IC卡产品的研制和开发工作， 具有丰富的经验和完善的安全产品，系统采用严格的安全分级管 理措施，采用IC卡进行身份认证和用户权限管理，能有效的避免 对系统的非法攻击和越权使用，采用数据加密技术和安全认证方 Page 11 of 83 式保证应用和卡片的安全性，并采用“黑名单”管理措施，避免了对 校园卡的非法复制和伪造。 1.5 我们的解决方案和对策我们的解决方案和对策 鉴于校园卡，交易金额小、交易量大、速度要求快及使用环境恶劣的特 点，以非接触式卡Mifare1为载体是最好的选择，但是Mifare1是逻辑加密卡， 安全性非常有限，为了充分发挥Mifare1的优点，克服其自身的不足，我们公 司在总结多年为公共交通、银行、社保、电信等领域开发IC卡系统的经验， 提出类CPU卡的概念，通过定义卡片结构与相配套的密钥系统、终端交易规范 和结算机制，实现一卡一密、一交易一密、交易电子签名、卡片存放交易记 录，从而实现通过Mifare1实现模拟CPU卡系统的安全性、有效性、完整性。 本系统采用数据大集中的方式来进行管理，所有的交易数据都上传至 系统系统中央主机进行处理。尽管采用了类CPU的技术大幅提高了系统的安全 可靠性，但是与严密的银行系统相比，在记录的完整性方面还是存在一定的 差距。与目前国内许多校园卡系统集成商对此问题讳莫如深不同，我们一方 面在技术方案上实现绝对保护学校和银行的利益和安全，另一方面在校园卡 的日常实施和管理过程中我们也可以为学校和银行提供一些行之有效的管理 建议，从制度上保证使用方的利益。在技术实现，我们采用两级结构体系， 消费记录由消费管理终端采集后在食堂管理人员处进行第一次的过滤、整理 与统计；然后交易记录上送到学校校园卡主机，学校校园卡主机按照银行卡 类似处理流程对消费记录进行第二次过滤、整理及结算，形成各帐户已结算 消费清单和未结算消费清单，更新校园卡主机内的各帐户信息。在该体系结 构中，提交给主机的消费记录在各管理终端中已经经过预结算处理，而且把 由于各种各样原因的异常记录已经剔除出来，所以进入主机系统处理的数据 是绝对正确和完整的，保证了主机帐务系统的安全性和完整性。对于在校园 主机中未通过结算的数据，系统也会进行汇总并与结算对帐表格一起交给客 户，由客户进行核对。此种方式最大限度保证了银行、持卡人、商户的利益， 方便了学校的管理，同时将商户与银行之间发生矛盾的可能性减到了最低。 同时，我们系统这种良好的体系结构，整个系统已变成一个通用的产 品，具有非常好的移植性。主机系统通过校园卡前置机连接很多个不同地点 的校园卡系统或类校园卡系统，并能实现各子系统之间的互通互用。 Page 12 of 83 Page 13 of 83 第第 2 章章系统总体设计系统总体设计 本章节基于本公司对用户需求的理解，对贵校校园卡系统结构、软件组 成、系统架构、IC卡结构等进行了总体设计，方便用户对校园卡系统进行整 体的、全局性的了解。 2.1 系统设计原则系统设计原则 校园一卡通系统是一个与校内、校外网络同时连接，提供多种类型服务，并 且可扩展的网络应用平台，一卡通中心网络具有下列特点： 安全性 网络系统应具有良好的安全性，由于校园一卡通系统对内连接校园网， 安全管理就显得尤其重要。应支持VLAN的划分，并能在VLAN之间进行第三层 交换时进行有效的安全控制，以保证系统的安全性。还有数据包是在公众网 传送，因此，必须有良好的数据安全保密机制。 稳定可靠的网络 只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因 素。 校园一卡通中心关键机器之间应采用独立的局域网，以保证网络连接可 靠。服务网点可在脱机方式下运行，在应用层上防止网络故障。 易扩展的网络 系统要有可扩展性和可升级性，随着业务的增长和访问量的增加，网络 中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技 术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩 展性，只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已 有网络；网络协议的易扩展，无论是选择第三层网络路由协议，还是规划第 二层虚拟网的划分，都应注意其扩展能力。 2.2 系统架构系统架构 在校园网的基础上，将“校园一卡通”网络建设与现行校园网设施有机 Page 14 of 83 结合，另外建设“一卡通”专用网。 校园一卡通系统按功能可分为三个层次： 综合管理中心 子系统管理层 前端应用控制层。 整个系统基于客户/服务器模式，支持多种网络协议。为了保证系统的稳 定性和可靠性，系统服务器采用双机热备份的方式。服务器中除安装有系统 平台软件及数据库以供网络各终端共享之外，还可提供诸如文件共享、打印 共享以及系统安全保护等网络功能。 综合管理中心整个系统应用和安全的核心，负责对所有挂接的各个子系统 进行数据管理、卡片初始化、发行卡片、退卡、挂失、销卡及黑名单管理、帐务管 理等。同时，系统管理中心还负责整个系统的设备管理、安全管理、数据库维护 等工作。 除了管理中心和帐务管理子系统之外，系统还包括学籍管理子系统、上机 管理子系统、消费管理子系统、门禁管理子系统、图书借阅管理子系统、医疗管 理子系统，所有子系统均通过校园网挂接到服务器，进行统一管理。 整个系统的示意图如下： Page 15 of 83 2.3 网络解决方案网络解决方案 网络的安全是指对计算机网络的脆弱性而采取的相应保障措施，由于 “校园一卡通”网作为整个校园多种应用的核心，决定了必须将网络的安全 和可靠性放在十分重要的位置。 针对大学校园网的校内公开性和开放性，为了确保整个一卡通系统的安全 和保密性，我们以虚拟专用网的形式来实现了整个系统的联网。 自助查 询终端 机房计费管 理系统 食堂消费管 理系统 门禁管 理系统 图书借阅 管理系统 领导查询 系统 学籍(考勤) 管理系统 密钥/卡 务管理系 统 帐务管 理系统 主、备用服 务器 UPS 系统管理 终端 体育娱乐管 理系统 医疗门诊 系统 校园骨干网 打印机 Page 16 of 83 考虑到不同校区卡务管理的需要，方便师生的发卡、充值、挂失、解挂及其它一些有关卡的日常操作 和使用，系统在不同校区均专门各设置校园卡管理终端。不同校区的管理终端通过VPN的方式接入主校区的校园 卡管理中心。 PWR OK WIC0 ACT/CH0 ACT/CH1 WIC0 ACT/CH0 ACT/CH1 ETH ACT COL 校校园园卡卡服服务务器器 服服务务器器 X XX X校校区区校校园园网网 X XX X校校区区校校园园网网 V VP PN N路路由由器器 带VPN CLIENT消费管理终端 带VPN CLIENT消费管理终端 系统管理终端 校校园园卡卡服服务务器器 网管中心路由器 服务器 学学校校网网络络中中心心 校校园园卡卡管管理理中中心心 带VPN CLIENT卡务管理终端 密钥管理系统 带VPN CLIENT门禁管理终端 带VPN CLIENT门禁管理终端 带VPN第三方管理终端 Page 17 of 83 2.4 银行接口银行接口 为了实现银行账户与校园内部之间的资金划帐转移，本系统采用圈存 机来实现银行与校园之间的接口。学生（或家长）将钱存在校园卡的银行 账户内，当需要使用的时候学生通过圈存机将银行账户的钱圈存到学校账 户和校园卡上，学生就可持卡在校内消费。此时，相应的功能和管理就由 学校来实现，银行和学校之间只须确保圈存的记录和金额一致即可。 X.25/帧中继网 /PSTN 银行前置机银行主机 圈存机校园主机 银行网络 校园网络 NAC Page 18 of 83 2.5 系统数据传输架构系统数据传输架构 “校园一卡通”系统的数据传输分为五个层次，即交易数据的采集、转 发、传输、处理和应用。各类终端设备以标准的RS485通信接口收集上传的交 易数据，通过串口通讯联网设备，将RS485通讯协议转换为TCP/IP协议，进入 “校园一卡通”专网主干，上传到“校园一卡通管理结算中心”的主服务器， 保证了数据的实时性和完整性，信息传输层次结构如下图所示。 图表 2“校园一卡通”系统信息传输层次结构图 2.6 系统软件结构系统软件结构 校园卡系统软件结构图如下所示： 东 山 西 山 新 学 区 国 合 Page 19 of 83 校校园园卡卡管管 理理平平台台 银银行行系系统统 数据库 密钥管理系统发卡系统 卡务管理系统终端管理系统 银行接口 数据管理系统应用系统接口 数字校园接口 校园卡清算系统 银行卡发卡系统 卡业务系统 综合业务系统 应应用用系系统统 医疗管理系统 考勤管理系统 学籍管理系统 消费管理系统 门禁管理系统 图书管理系统 自助设备管理 巡更管理系统 。 终终端端系系统统 门禁 消消费费终终端端查查询询终终端端 考勤机 训训更更设设备备 图表 3 软件系统结构图 校园卡软件系统包括校园卡管理平台、校园卡应用系统和校园卡终端系 统。 2.6.1 校园卡管理平台校园卡管理平台 校园卡管理平台是整个校园一卡通系统的核心系统，由发卡系统、安全 管理系统、终端管理系统、数据管理系统组成，对应用系统提供接入接口， 方便对校园卡系统进行扩充，通过与银行系统接口与清算银行的校园卡结算 系统连接，通过与数字校园系统的接口实现与校园中央数据信息系统的对 接，校园卡管理软件采用接口方式实现与外围系统的无缝对接，即保证了系 统的功能完整性和相对独立性，有具有良好的可扩展性，不是一个封闭的 “系统”而是一个开放的软件平台，平台提供系统配置功能，利用XML语言和 系统设置工具，系统管理人员可以方便地进行系统扩充和应用扩展，而无需 软件开发商对系统进行“二次开发”。 关于一卡通应用平台的功能，组成和设计方案，在本方案书的第三部分 “校园一卡通平台系统建设方案”中进行详细说明。 Page 20 of 83 2.6.2 校园卡应用系统校园卡应用系统 应用系统实现某种具体的校园卡应用功能，包括： 学生管理系统 多媒体教室管理系统 会议签到管理系统 门禁通道管