校园一卡通系统设计方案.doc

第1章 校园一卡通系统1.1 项目概述1.1.1 需求分析A、业务需求分析 校园一卡通系统使用智能非接触式IC卡做为信息载体，在校园网的支持下，实现校内一卡通行，具有支付交易、身份识别、个人信息查询等功能。 学校财务管理部门实现校内财务的统一管理、资金结算和相应理财业务。实现财务收支两条线。校园卡的使用取代了校内的各种票证。支付交易信息传送格式按金融交易报文格式，实现与银行系统自助圈存、转账对账、账务结算、营业分配等数据对接，极大方便广大持卡人。 各种费用的收缴及各类款项的发放、校园一卡通系统直接和银行衔接，具有将持卡人的补助（或奖金）、工资等直接发放到银行账户的功能。也可以由银行提供代收持卡人各类各种费用。 在学校内实现电子钱包的支付交易功能。校园卡可作为电子钱包使用，持卡人将银行的存款通过圈存等方式充入校园卡的电子钱包中后，可在学校各校区内现金交易点进行支付交易，逐渐免去现金流通。在功能上，校园卡还可以采取一人一户、一户多卡、一卡多个钱包的格式设计，以满足一户对多个家庭成员卡、一卡对多个项目应用支付扩展需要。 为校内使用证件的各种应用提供身份认证的功能，实现校园管理功能。校园卡可记录个人的各类基本档案，校园卡系统可共享身份信息、黑（白）名单库等信息资源。因此，校园卡可验证持卡人的身份，实现图书借阅，门禁考勤、停车场等身份认证，从而代替以前的各种证件，使学校管理更加规范。 为持卡人提供自助业务服务功能，包括电话查询、网上查询、触摸屏查询等方式，实现校园卡自助挂失、解挂、信息查询等。各类自助业务功能可按需随时扩展，为持卡人提供更方便更高效的服务。 校园一卡通系统和学校的管理、科研、学籍、奖贷、教务、人事等各部门原有的MIS管理；信息系统部分数据对接，将建设学校统一人员、管理、科研等基本管理信息系统数据库，校园卡作为个人身份ID，通过一卡通实现校内信息充分共享。如学费的缴纳与教务、管理、学籍管理联系等。B、应用需求分析 校园一卡通系统作为数字化校园基础组成部分，与学校内其它管理信息系统协调一致。 校园一卡通系统主要由一卡通系统平台和应用子系统两大部分组成。应用子系统分为四个系列：支付交易类子系列、身份认证类子系列、综合业务类子系列，自助服务类子系列。 校园一卡通各应用子系统与一卡通平台系统的链接，可以按照数据中心数据、持卡人卡片数据、终端产品数据是否完全共享分为三种链接形式：无缝链接、有缝链接、不链接。 在一卡通平台上，可以在任何位置挂接子系统，增加子系统不需要再对一卡通平台系统进行扩充和改动。不仅如此，在应用软件界面上用户可以进行自定义菜单，实现操作使用一体化。 在一卡通平台上，可以实现身份信息、电子钱包信息的全局共享，同时实现对各个子系统的状态的监控，实现全局的财务信息的统一管理。C、技术需求分析 由于校园一卡通涉及多个应用系统及全校各类人员，因此，对校园卡的设计规划有较高要求，校园卡需满足各类身份类别需求并且要求有足够冗余，卡片结构设计需具备公用信息区，自定义信息区、银行信息区及多个电子钱包以真正实现一卡通，而不是一卡多用。 联机支付交易数据量大，实时性要求高。在网络故障时可以脱机支付交易，终端设备要求高。 由于校园一卡通终端设备数量较多，传统的单机型结构已不能满足大型系统的业务要求，需要采用网络通信协议做辅助，通过标准化结构化布线技术以保证数据传输的稳定性和实时性。 由于校园一卡通系统是学校数字化校园建设的基础工程，校园一卡通应用系统需为数字化校园搭建包括全校人员统一身份库的基础平台。并且搭建校园一卡通系统的基础平台，保证一卡通在扩充各类应用子系统和与第三方产品对接时无需再对一卡通平台进行修改。 由于校园一卡通系统中处理的大量是金融支付交易，所以对于系统的安全性、实时性、可靠性要求达到金融级别的标准。D、功能需求分析校园一卡通主要具有消费、身份认证、信息查询等功能，其应用覆盖综合消费系统，包括收、缴费及各类款项支取，校内各类小额消费；以及信息查询系统，包括身份认证，门禁、图书借阅、管理信息查询及统计分析等。整个系统应与银行系统和校内信息管理系统有良好的衔接。1.1.2 建设目标校园一卡通系统的总体设计，是在坚持先进性、实用性、稳定性、安全性、经济性、扩展性的基础上，直接借助校园网传输数据，实现学校各校区、各类商务收费、各种身份识别的一卡通行。系统的设计突出采用了目前国内、外最先进的技术和产品，具有明显的时代特色和预见性，留有十分灵活方便的扩展接口，为数字化校园建设的持续发展打下坚实的基础。依据以上建设原则和分析规划，校园一卡通系统应达到如下建设目标：以建立校园一卡通系统为契机，建立学校各类学生、教职员工、各种组织机构基本的、统一的信息化标准，并且作为公用数据在整个校园网实时共享，强化集中式的信息规范管理，促进数字化校园的建设。通过校园一卡通系统建成一个统一管理的校园基础数据总平台。校园卡应用的商务管理、银行转账、身份识别管理等各种应用子系统的建立都以该平台为基础，将来学校应用规模的扩大和卡片应用功能的增加只需增加相应子系统，不需再对一卡通平台进行扩充。在校园一卡通管理平台的基础上，通过系统预留的扩展接口和智能控制可以实现与学校现在已运行的各类MIS系统、OA系统的信息互通，形成全校范围的数字化管理空间和共享环境，动态实时地反映职能部门运作情况和统计分析数据，增强领导科学决策的依据，提高学校管理水平。在校园一卡通管理平台的基础上，可以随时向持卡人提供准确的校园卡使用情况，包括本人帐户数据、电子钱包数据以及在其他场合使用的流水帐，方便持卡人个人理财。校园一卡通内的“一卡通”电子钱包可以通用于各校区内的任何一个通用消费网点。校园卡内“专用”电子钱包按需求只能用于各校区内的专用消费网点。在校园一卡通系统中，校内的所有商户单位不论其性质与规模都可以授权代理收款、结算；商户资金可以及时到账，也可以按照银行规定进行结算。在各个校区内，实现银行借记卡与校内电子钱包部分之间自动式和自助式两种形式的实时圈存转账。建设财务结算中心，该结算中心与学校财务管理部分一体化设计，为财务管理提供更加科学、有效、安全、便捷的理财服务，实现各校区的财务统管。实现校内各类身份识别校内所有的证件都由校园卡代替；所有用证、用卡的信息管理系统，可扩展身份识别部分连通校园一卡通系统，实现身份识别的数据共享。一卡通系统与学校现有的图书管理系统数据的实时同步和自动交换。取代各校区原有的各类借书证、卡，实现与公用机房的机房管理系统,电子阅览室等系统的对接连通,取代各校区原有上机证等。与教务管理系统的对接，实现学生按学期的学籍注册管理；校医院挂号收费管理；实现图书馆，教学楼、宿舍楼等重场所出入门禁等对学校教学资源、生活设施的使用控制。通过借助校园一卡通各类终端设备，持卡人可实现全方位全天候的自助业务，包括银行借记卡的各类自助业务；校园卡的自助业务，包括电话语音服务系统，网上查询服务系统，触摸屏查询，领导查询系统，自助终端为持卡人提供365*7*24小时不间断服务。建设目标定位为：自助将银行存款圈存到校园卡，以完成学校内各类消费，并实现个人身份认证，进而与学校管理信息系统链接。实现持卡人各类自助业务，以及领导宏观管理的综合查询等，以校园一卡通系统建设为纽带促进数字化校园的建设。1.2 一卡通系统总体规划1.2.1 设计原则和依据先进性校园一卡通系统的技术层面上，含网络构架、硬件设备、卡片设计、协议选择、软件设计、安全控制等各个方面应充分体现和采用先进和成熟的技术。在管理层面上，含管理组织结构设计、管理流程、业务流程、使用流程等也应充分体现和采用先进和成熟的理念和方法。系统组成和拆分的灵活、运作的高效、用户个性化服务,体现出该系统的先进性。安全性校园一卡通系统从卡片、终端、网络、软件、硬件、数据库等各个组成部分，到支付交易、数据存储、数据传输、数据处理、数据使用等各个环节，均遵从中国人民银行、有关专业银行以及国家计算机信息系统安全保护等级标准(GB 17859-1999)，确保系统的安全性。实用性数字化校园一卡通系统充分体现了以人为本的人文化，无论是系统管理者、使用者，还是卡户（持卡人）、商户，易于使用、管理和维护。所以，在系统设计时，充分考虑界面友好、操作简便、容错能力强、性能稳定、功能强大、维护方便、文档齐全的实用标准，确保系统的实用性。扩展性校园一卡通系统充分考虑了用户的现状和今后不断发展以及多样化的需求，所有软件均采用标准模块化结构设计，集成、拆分、维护非常方便；所有终端产品均采用标准板块化结构设计，当功能改变需要进行个性化服务时，只需在计算机上修改原代码，通过网络下传给相应的终端机即可，不需要开盖更换应用程序芯片；所有终端产品可以提供各类应用接口，非常方便系统扩充和升级。卡片结构设计采用了最先进的目录式技术、自定义技术、扇区功能转移技术，不仅可以满足用户单位现行需要，而且可以满足发展的需要。所有网络产品均采用国际标准化产品，保证通用和扩展。显而易见，本系统的扩展性设计可以确保用户投资的长期效益，避免资源重复浪费。公司结合自己长期从事高校校园一卡通系统设计，实施的丰富经验，根据校方校园一卡通项目的需求，遵循“先进、实用、安全稳定、升级简便、扩充性好、开放性好”六项基本原则，设计了代表全国高校一流水平的、集商务、校务管理和金融服务为一体真正意义上的校园一卡通系统全面解决方案。在系统的设计过程中，遵循以下原则：校园一卡通系统需求书 ISO9001：2000，ISO90013 ISO14443 TYPE A IEEE 802.3网络标准 ISO8583金融交易报文格式标准军工产品GTB/Z 9001质量体系中国金融集成电路（IC）卡规范中国金融集成电路（IC）卡应用规范中国金融集成电路（IC）卡终端规范中国金融IC卡PSAM卡应用规范1.2.2 系统总体架构系统分为三级平台：银行作为一级平台，学校校园一卡通管理结算中心作为二级平台，各分管理中心为三级平台。系统充分体现了两个能力：系统实时性和对新扩展业务支持能力。校园一卡通系统在结构设计上充分考虑了联网/脱网的两用性和兼容性。系统的运行模式一般有实时通讯和非实时通讯方式之分。结合多年的工程实施经验，一个稳定、安全的校园一卡通系统必须是两种运行模式紧密结合使用的系统，即不仅可以联网使用，也可以脱网使用。联网时，系统以联机通讯方式进行，各种数据自动进行交换。一但网络出现故障，支付识别介质的卡片及终端设备仍然可以脱网正常使用，终端设备具有联网/脱网使用自适应功能。 一卡通网络拓扑示意图相对于目前主流的一卡通网络方案，我们的一卡通系统中将一卡通中心数据库进行了重新规划，并将数据统一保存到学校的IDC中，其中用户数据存储到目录服务器中。增加了两组服务器，一组是作为数字化校园建设的统一身份认证中心，另一组是个人信息门户。我们新型一卡通系统的网络层次分明，具有典型的三层结构，包括了客户端、应用服务器、数据中心，有利于系统的扩展和安全管理。 一卡通系统功能逻辑结构图 一卡通系统设计示意图 新型一卡通系统的特点新型的校园一卡通系统，其设计的核心思路是：改变了目前的以射频卡16个扇区的功能规划为核心对应用系统进行集成的思路，提出了建设统一身份认证中心和个人信息门户，并以此为核心进行系统整合。1 设统一身份认证中心，针对各个集成到身份认证系统的应用系统，提供身份相关服务随着数字化校园建设的逐步深入，逐步会建成更多的校园应用系统。应用系统各自可能存在不同的身份认证方式，用户可能必须记忆不同的密码和身份，在各级管理及共享资源中分级的管理和资源分级共享方式的存在，加大系统使用的难度和出现重复投资。数字化校园建设初期应注重建成以目录服务为基础的统一身份认证系统，在此基础上逐步完成应用支撑平台的建设以及应用系统的建设。建立统一的身份认证中心，集中进行身份认证，提高数字化校园应用系统的安全性。提高了用户使用的方便性，实现全网应用的单点登录（Single Sign On）。集中管理数字化校园应用系统内的用户，实现每一个用户在访问各个应用系统时更加方便可靠。在学校工作人员进行了调动、调级、调职等变更后，或者学校体制改革、组织机构变动后，使用户的身份和权限在各系统之间协调同步，减少了应用系统的开发量和维护量。统一身份认证系统的核心思想是将机构、用户、应用统一存储，对应用系统统一授权、规范应用系统的用户认证方式，从而达到提高整个系统的整体性、可管理性和安全性的效果。从功能上来看，统一身份认证系统由七个子系统组成，分别机构和用户组管理、用户管理、应用管理、权限管理、统一身份管理服务器、统一身份认证服务器、目录服务器七个部分。其中目录服务器也可以和CA服务之间留有接口，CA可以将发放的数字证书可以存储在目录服务器中。建成了统一身份认证系统，用户和机构的管理（增、删、改）均在此处集中完成，一卡通系统中需要的用户信息也可以从身份认证中心获取，避免了信息的重复和不一致。l 最权威的用户基本信息的集中存储，用户身份信息的唯一入口；l 对每个应用提供用户组的定义，为权限管理提供了手段；l 提供了用户身份认证的服务和单点登陆（SSO）的方法；l “数据同步服务”提供用户数据同步复制的机制，支持应用建立单独的数据库，并保持两边数据的一致不冗余；l “数据访问服务”提供了安全的、有权限控制的应用系统访问用户身份信息的方法；2 建设个人信息门户，作为个人单点登陆和信息发布的集中点信息发布及管理系统主要解决以下问题：1现有系统间缺乏互联，校务信息无法有效共享。2统一的身份认证连接。3信息的管理集中在某些职能机构上，一是加重了这些部门的负担，使他们忙于收集、编辑、排版其他部门汇总过来的资料，信息的发布变得迟缓；二是不能提高形成这些校务信息的直接部门的信息采集、编辑积极性。4缺乏个性化服务，一般的信息网站只能按照某一种固定格式让读者去浏览信息，在栏目众多层次复杂的情况下，读者要找一条信息，可能必须点击好几层页面才可以获得。页面的色彩都比较单调，也没有选择的余地。5目前在网站中流通的信息偏重于静态的文本格式，而对报表格式的信息支持不够，并且不能够让用户进行动态分析，比如汇总、透视等。在统一身份认证系统和信息发布与管理系统已经建设完成的前提下，与校园一卡通进行集成，师生可以在网上查询到他自己消费记录、图书借阅情况、医疗情况等种种信息，不需要再去专用终端进行查询，极大的方便了师生对校园卡的使用。面向个人用户：l 如果个人不登陆，在信息门户上可以获取公共的信息；l 用户在信息门户登陆一次以后查询到所有与其个人相关的信息及进行某些业务系统的操作；l 提供链接，对于某些集成到统一身份认证系统且有单独WEB信息发布的应用，可以平滑进入，无需再次身份认证；面向应用开发：l 提供了统一的应用开发模式；l 提供了基于WEB的统一的权限管理模式；l 提供了统一的界面表现形式，可以将来源于各种应用系统的数据集中发布，互不干扰。3 消费类和管理类数据库可以分开管理考虑到管理模式、安全性等问题，在设计上支持消费类和管理类数据分开管理，因为管理类数据和学校的业务整合是很紧密的，很多应用系统需要频繁访问一卡通系统的管理类数据：例如考勤的记录，但是消费类数据是非常关键的数据，在某些地方甚至需要保存在专网中，只有少数应用可以访问到。目前消费系统社会化成为一种趋势，一卡通有可能分成消费系统和管理类系统两个部分并由不一样的厂商来建设，这都要求消费类数据和管理类数据是可以分开管理的。 新型一卡通与数字化校园融合的优势 用户、用户组数据集中传统的校园一卡通系统有自己的数据库保存用户、用户组的信息，由于设计、安全性要求高等多方面的原因，导致了一卡通用户信息很难被别的系统共享，而且一卡通系统的就构信息、用户信息、用户信息也不能满足其它应用系统的需求，因此一卡通不可能成为学校的统一身份认证中心，只能是集成到统一身份认证系统上的一个子系统。数字化校园建设要求所有与身份认证有关的用户基本必须要到统一身份认证系统集中存储，集中管理，所有的应用系统必须的身份认证和身份基本信息获取必须要到统一身份认证中心进行。用户的分组信息和大的权限也可以在统一身份认证中心中集中管理。小的权限各应用系统单独维护。一卡通系统的用户首先需要到统一身份认证中心中注册，用户的分组也需要在统一身份认证系统中有定义。统一身份认证系统用户信息变更后及时通知并复制到一卡通系统，一卡通的卡状态变更（挂失、解挂）后及时通知身份认证中心。 WEB信息集中发布在数字化校园中将给用户提供门户网站作为用户的入口，用户通过门户网站一次登陆即可进入所有应用系统。通过这个信息门户，师生可以进入教务系统、人事系统、邮件系统等等。一卡通作为数字化校园的一个应用，也同样需要在此门户上进行信息发布，内容可以是：消费记录、用户充值记录、门禁进出记录等等。 调整定位和分工一卡通系统专注于与卡、终端设备相关的应用系统的建设，例如消费系统、门禁系统。原有需要一卡通系统集成其它系统的时候，仅需要通过统一身份认证系统作为桥梁，按照统一身份认证系统的标准进行对接，而无需一卡通厂商和业务系统厂商单独协商接口，可以节省了大量的沟通和协调的工作量。1.2.3 主要业务流程 银行转账与现金充值银行转账与现金充值业务主要完成持卡人账户的充值功能，银行转账业务包括自助实时转账业务和自动实时转账业务。1、自助实时转账业务：持卡人利用自助转账终端完成银行卡向校园卡的资金划转。自助实时转账业务流程如下图：2、补助发放业务：持卡人不参与，系统根据持卡人的补助信息把数据提交到网络数据服务器上，在下一次消费时实现自动领取写入卡金额。3、现金充值业务：通过以太网POS和持卡人业务子系统可以实现现金充值业务。现金充值业务流程如下图：4、补助发放业务：由于采用了电子钱包方式，发放的补助需要后期写入卡片。 挂失查询等自助服务业务自助查询服务包括面向持卡人的网上、触摸屏、电话等查询系统，和面向管理者的领导查询系统。其中网上、触摸屏、领导查询采用B/S结构Web页方式，电话子系统采用C/S结构。查询体系结构如下图：WWW查询服务流程图如下：利用查询服务器，继续采用Web服务方式，B/S结构，可以开展后续增值业务，如校内网上购物、票务预定等，为学生提供更方便更高效的服务，为一卡通的运营者带来利润。电话查询服务流程图如下： 商户管理与会计业务一卡通系统的结算业务通过商户管理和会计业务来完成。流程如下图所示： 注册管理与财务缴费在每年新生录取时，学校将要录取的学生姓名、身份证号通知银行，银行为每一位新生发放银行借记卡。学校发放录取通知书时，告知学生银行卡号，用于缴纳学杂费等。学生信息采集完成，学校开始制作校园卡，在新生报到时发给学生使用。当新学期开始时，学生必须持银行卡通过圈存机缴纳学杂费，并进行注册，只有经过注册的校园卡才能正常使用，没有注册的校园卡的使用受到限制，例如只有简单的消费功能，不能到图书馆借书。卡片的日常管理是通过持卡人综合业务子系统完成。持卡人在此办理开户、撤户、挂失、解挂、解冻、换卡等手续。所有卡片数据全部来自后台数据库。数据可以从其他MIS系统批量导入，也可以通过信息录入子系统人工输入。当学生因为毕业、退学或转学而离开学校时，学校根据数据库中记录的数据查询该学生是否已经办理完所有的手续，检查通过后再注销校园卡，银行卡继续有效。财务缴费系统与校园一卡通系统是一种对接的关系。通过一卡通第三方接口，可以随时提供未交费清单的检索和查询，以及所有其他的功能接口。财务缴费业务，一般可以分为批量缴费和零散缴费，具体的业务流程如下：1、批量缴费业务流程由缴费系统进行收费名单和费额的设定，在此过程中，可以通过一卡通第三方接口取得持卡人相关身份信息。信息收集完毕后，通过第三方接口向一卡通中心平台提交。一卡通中心平台收到名单后，经验证完误后加入到数据库进行存贮。持卡人通过自助转账终端或是到管理中心进行交费，转账系统或是管理系统根据持卡人账号调出当前未交费明细清单，由持卡人确认后进行提交。这里系统不允许只交部分费用，必须全额交款。比如说显示费单为100元，则确认后交费一定是100元，而不能是其它数额。一卡通中心收到缴费数据后，进行账户扣款，形成清算数据，并核消未交费清单。财务缴费系统根据一卡通中心处理的结果进行相应的处理。日终时，一卡通系统将本日交费形成的清算数据通过一卡通银行转账系统传给银行，进行实际的资金划转。2、零散缴费业务流程由财务缴费系统通过通用读卡器读取卡片信息。输入收费金额和收费项目。通过第三方接口向一卡通中心提交缴费业务请求。一卡通中心收到缴费数据后，进行账户扣款，形成清算数据，并核消未交费清单。财务缴费系统根据一卡通中心处理的结果进行相应的处理。日终时，一卡通系统将本日交费形成的清算数据通过一卡通银行转账系统传给银行，进行实际的资金划转。在实际运行中，必须对财务缴费系统进行相应的改造，以满足实时缴费业务的传送要求，必须在一卡通系统中开设虚拟核算账户，也必须在银行开设清算账户。 第三方产品接入方案目前学校在管理方面已经应用了较为成熟且专业的应用管理系统，如：图书管理系统、教务管理系统等，并且一些专业的生产厂家在某些方面已经开发出了较为成熟的应用系统，为了保护客户的前期投资和系统的平滑升级，一卡通平台提供“通用第三方接入套件”产品，与其他方产品耦合成一卡通系统。“通用第三方接入套件”由通用读卡器、服务程序等组成，对于需要接入一卡通平台的系统，在计算机上接入通用读卡器，只要在Windows平台下，安装服务驱动程序，在系统底层就驻留了连通一卡通中心数据库提取持卡人信息、回传消费流水账、自动维护白名单信息的程序。第三方子系统只要能够调用该服务程序就可以成为一卡通平台系统中的一个应用子系统。典型的第三方产品接入方案如下图所示。第三方子系统可以以三种耦合程度连接一卡通平台。1、紧耦合此方式为推荐的互联方式，它完全符合一卡通系统的总体设计目标；由第三方产品提供商或客户根据我公司提供的应用程序接口API进行原系统的改造，或者由我公司有偿依据原系统的源代码或数据结构进行改造。第三方应用程序接口API主要包括：进行日间业务的函数、操作员签到/签退、操作员改密、操作员统计、开通/关闭（相对于开通操作的反悔操作）、查询、挂失/解挂、转账、改密、撤消操作、对流水账等。2、松耦合此方式不完全符合一卡通系统的总设计目标。但它对系统的改造要求相对较小，互联的实质是：实现一卡多用。互联的具体方法有两种：1）第一种方式：在卡片上提供应用区，供第三方读写使用。产品组成通用读卡器和通用读卡器的驱动程序。该应用区的读写算法。(同读写卡的通用模块)。2）第二种方式：在卡片上提供一个应用区，供第三方只读使用。产品组成通用读卡器：我公司协助将通用读卡器接入第三方系统，取代原有系统的各种录入信息的设备，将读入并处理后的数据提交原系统。3、不耦合采用小钱包的方式，比如自助复印机、校内公交车、自助洗衣机、饮水机等，这些设备只扣除小钱包中的金额，不回传流水，不联网，可以非常方便地布置在校区的各个部分。 典型商务消费类应用系统流程持卡人在普通收银机或以太网POS上进行消费，是2种最典型的商务消费交易过程。在普通收银机消费的交易流程：联机时，POS对卡片进行安全认证，合法通过后，卡片应用信息经POS传输到网络数据服务器，网络数据服务器根据白名单进行卡片的有效性检查，如果卡片正常，则可以进行消费，消费流水经网络数据服务器上传到后台数据库；脱机时，黑名单下载到收银机中，如果卡片的合法性检验通过，则可以进行消费，消费流水保存在收银机，在恢复网络连接后，流水经网络数据服务器回传到后台数据库。在以太网POS机消费的交易流程：以太网POS内有白名单，无论在联机或脱机时，都以白名单为准，进行卡片的合法性检验，如果卡片状态正常，可以消费，消费流水直接由以太网POS回传到后台数据库。 典型身份识别类应用系统流程门禁系统是典型的身份识别类应用系统，门禁系统可以分为宿舍门禁和通道机门禁，两者的基本原理是一样的。门禁的控制流程：持卡人在门禁读卡器上刷卡，卡片信息传送到门禁控制系统，门禁控制系统检验持卡人的身份有效性，并发送控制信号到门禁控制器，允许通过或不允许通过。 典型接口类应用系统流程医疗系统是一个混合应用的系统，既包括了身份识别的控制，又包括了商务消费的交易。医疗系统的流程：持卡人刷卡后，医疗系统需要对持卡人身份进行校验，以对应不同的费率，同时持卡人利用卡片进行结算。1.3 一卡通系统功能规划1.3.1 支付交易类子系统用非接触式IC卡，用电子货币取代传统的交易媒介，广泛地运用于餐厅、食堂、洗衣店、沐浴房、商场、医疗等所有内部消费，持卡人可用一张卡在实施范围内实现无纸化电子货币结算，通过该系统的智能化管理提升工作效率和管理水平。 收费子系统普遍应用于食堂、超市、场馆收费等，终端采用485收费机和TCP/IP收费机，系统具有强大的管理功能，用户可以进行自定义查询和综合查询，满足各种统计报表的需要。 机房计费管理子系统每个机房设置代理服务器并设有通用读卡器，通过局域网与上机终端形成一个上机管理子系统，子系统的数量不受限制；用户进门刷卡，系统分配机号，也可个人或集体预约上机，支持管理任务；用软件进行底层监控，自动识别是普通上机、上校园网、还是上互联网；支持用户中间更换机器；上机依据身份、是否持卡、上机时段设定收费标准，按时收费，上网按时和按流量两种收费模式，兼容现金和卡片收费。 待缴费子系统为了减轻大量学生收费给财务人员带来的沉重压力，采用第三方对接的方式将学生交费功能融入到校园一卡通系统中。通过与银行的数据接口，一卡通系统可以获得学生在银行网点的缴费信息，包括在营业点、自助储存机(圈存机)、电话银行方式，学生的缴费信息将统一反馈至学校的一卡通管理中心及财务处。缴费的业务流程详见第二章主要业务流程相应描述。1.3.2 身份识别类子系统 门禁管理子系统主要用于网络中心、学生公寓等场所需安全防范、出入控制的门和通道的进出控制，防止无卡人员和非法持卡人员的进出，通过刷卡控制师生出入，并进行出入统计，只让合法或经受权人员通过，门禁采用刷卡和密码认证的方式进行认证，按照建筑电气国家标准与安防、消防系统集成。一旦发生火警等紧急情况，门禁系统功能失效，便于人群的疏散。 巡更管理子系统保安人员用IC卡作为巡更器,在规定的时间段按照预先设定的巡更路径到达巡更点进行刷卡，实现在线式IC卡巡更管理，并保存巡更记录。如果保安人员不按照规定的时间和路径巡更，管理中心会实时报警提示，巡更系统与闭路监控系统进行联动，启动录像。实现了实时管理保安巡逻人员的巡视情况、确保保安防范的实效。 停车管理子系统该系统选择专业厂商的成熟产品，以非接触式IC卡为信息载体，以计算机通信、数据库、多媒体等技术为手段，有机结合闭路电视监控系统、对讲系统、图像捕捉系统、电子显示屏提示系统、信号灯指示系统、车位导航系统等辅助系统，通过一种全新的高科技管理模式实现了对停车场的高效智能化管理，确保对进出车辆进行有效监管，达到车场车辆进出快捷有序、车辆监控防盗、规范收费标准、堵塞管理漏洞等目的，系统不仅有利于提高停车场管理水准和运营效率，同时也提升了停车场的安防系数和学校形象。 电梯控制子系统在每台电梯安装控制点。各电梯控制器与电梯控制系统接口，并联结到电梯管理系统工作站。人员到达楼层的权限根据需要预先设置。根据校内公寓楼具体的应用场景，IC卡电梯控制模式有以下两种：1、 IC卡只控制电梯门启动电梯内楼层按钮，通过楼层按钮设置允许进出任意楼层。2、 楼层按钮无效，IC卡控制电梯门及楼层，只允许进入指定楼层。1.3.3 综合业务接口类子系统 图书管理子系统图书馆是一卡通系统重要的应用领域之一，一卡通系统在图书馆管理方面的应用有：门禁、图书借阅管理体制，书超期、损坏、丢失等扣款管理、资料检索、复印收费管理等。 由于图书馆各方面管理发展较早，多数已采用成熟的专业管理软件进行管理，所以在“一卡通”中要解决的是，“一卡通”中发行的卡片可以在原图书管理软件中使用，取代原有的借书凭证，同时保留原图书管理软件的功能，并且尽可能不对原图书管理软件进行修改。 医疗管理子系统将一卡通系统和现有的医疗管理系统进行整合，主要达到如下功能：主要功能用于医院的门诊管理挂号管理刷卡自动挂号挂号自动显示刷卡人的详细资料及过往病历药品管理药品价格调整药品出入库、库存管理交接班管理医务值班人员交接班手续管理划价收费按不同身份自动按比例划价自行设置收费比例联机刷卡、自动收费卡收费、现金收费兼容打印、重打、作废收费发票支持药品多种输入法，方便医生的习惯操作信息查询即时查询药品库存、用量、价格情况即时查询病人过往病历、消费情况即时查询医生的出诊、开药情况查询信息可以以多种数据形式输出统计报表统计分析各种药品的用量情况统计分析个人或团体的就诊情况统计分析医院的日、月、年营业状况统计分析医生的出诊、开药情况权限管理进入系统身份验证分级操作权限管理操作流程日志管理 学籍管理子系统该系统的内容贯穿学生从新生入校到毕业离校全部学习过程，可以即时了解和跟踪学生学籍的动态信息。迎新系统：由发卡前的数据准备，现场迎新，迎新后数据处理这几个环节组成。现场迎新系统由一套先进的B/S模式的应用软件及pos机，pc等硬件组成。它用于管理迎新工作，记录新生到各部门的报到信息，查询统计新生报到情况，从而提高新生的报到注册效率，师生也可以查询到学生个人报到流程完成情况。根据新生报到注册各环节，该系统可以动态增删相应的模块。（基本模块有交录取通知书，财务缴费/绿色通道，宿舍钥匙及物品领取，交户口档案和组织关系）在系统中可以自动判断学生是否缴费且限制其IC的部分功能（如消费等）。但也可以关闭该项功能开关，对此不做限制。该系统是基于校园网的，但也支持离线操作。老生入学：老生入学管理：刷卡交费，自动统计，交费成功自动开启卡上的管理功能并注册成功。此时该生就可以选课、进入图书馆等。利用以上系统可以获得准确的学生信息。学生退学、毕业离校管理：1、 分为毕业审核管理，毕业手续办理（此模块留有与财务处，图书馆，食堂等单位的接口）。学生持离校通知书领取离校程序单到程序单上的各部门办理各种手续并刷卡，最后由卡管理中心检查该生各种情况，自动关闭卡上的所有管理功能并收回注销校园卡。2、 学籍管理子系统的检索和报表设计：可提供几种常用的查询，可以进行自定义查询和综合查询，满足各种统计报表的需要，自定义报表的生成和打印。 校园其它子系统基于一卡通管理平台，可以根据实际需要不断增加校园卡应用范围。对于校内的具体业务管理，也可以采用行业内的专业厂商的管理系统产品，并依据需要与一卡通系统进行融合和对接。1.3.4 自助服务类子系统 电话语音服务系统可以提供64路并发电话语音服务，第一时间内、365*7*24小时不分地点地为用户提供挂失、解挂，余额查询，圈存等服务，方便持卡人。 自助设备服务系统通过设在主教学楼、图书馆等公共场所的触摸屏、挂失机等进行挂失、解挂，及余额、消费查询等。 Web服务系统为了让广大师生能方便快捷的查询个人的交易记录及各商户及时了解营业结算情况，同时考虑到数据库的安全性，本系统自动复制到WEB服务器由WEB服务器向用户提供查询、挂失、解挂等服务，并可辅助身份认证进行权限分配查询。自助服务子系统作为用户获取信息的手段，归并为信息发布平台的组成部分。 领导查询子系统校园领导及管理部门结合管理信息查询、后勤信息查询、消费信息查询等统计、分析校内师生的学习、工作、生活等数据，有助于校园集中管理，为领导决策提供依据。具体内容有：功能分类功能细则说明单位总体自然状况统计单位中部门/商户的自然分布情况统计部门/商户层次关系树状图单位持卡人按身份类别统计人数、总人数。单位整体账务变动情况统计（包括商户）借（现金/转账）、贷（现金/转账）、存款、押金、管理费整个单位持卡人的账户/账务变动情况统计借（现金/转账）、贷（现金/转账）、存款、押金、管理费，发生额（含统计图）持卡人总数，挂失、冻结总数等整个单位持卡人的消费情况统计消费发生笔数（含日人均）消费发生额（含日人均）消费率统计按部门查询（1、2、3、4级）部门员工按身份类别统计人数、总人数。部门持卡人的账户/账务情况统计（按月计）持卡人总数，挂失、冻结总数，借（现金/转账）、贷（现金/转账）、存款、押金、管理费，发生额（含统计图）部门持卡人的消费情况统计（含各消费子系统消费情况按月计）消费发生笔数（含日人均）消费发生额（含日人均）按商户查询商户整体账务变动信息统计营业额、转账额等各商户营业情况对比（总额/月发生额）含统计图各个商户账务变动信息统计营业额、转账额等员工基本信息查找员工基本信息以主表的组合查询统计特殊员工信息查找特殊员工（如特困生）查找保证每天最低划卡次数前提下，按日均消费额低于XX查询各消费子系统按月消费统计含统计图1.4 一卡通系统技术设计1.4.1 一卡通卡片规划设计可采用银行卡、校园卡二卡物理分离或两卡合一。校园一卡通中的校园卡部分在校园内通用，银行卡部分在银行网点通用。 卡片选型目前，非接触式IC卡已经得到广泛的应用。普遍采用的Mifare one 卡片具有如下特点。 卡片规划卡面设计 根据大量高校校园卡案例的经验，以及便于管理出发，建议校园卡卡面设计分三种：正卡、副卡（或称临时卡、消费卡）、单位卡。 卡正面可彩印银行和用户单位标志，预留个人证照、姓名、证号等个人信息位置，达到卡证（智能身份证件）合一效果，背面可标有使用注意事项等内容。 卡片种类设计正式卡：记名。可用于校内外金融支付以及校内管理使用（作个人化制作）。临时卡：不记名。只具备校内金融支付以及管理使用（不作个人化制作）。 身份类别设计持卡人具体身份类别的区分，建议使用每张卡片内部规划设计的“卡类”来实现，可根据身份类别（最多分256类）授权使用，不同的“卡类”可按系统划分，也可以按商户组织划分；可按每台终端设备划分，也可以按允许的使用时段、区域、消费额、使用次数等条件划分，不仅可以满足不同“卡类”授权使用范围也不同的广泛应用，而且也可以满足在特定场所只有特定人员才可以使用的管理需要。 结构规划我们的校园卡结构设计为第三代技术，卡内设有一个目录区域，多个应用区域。 卡片应用功能规划校园卡具有支付交易功能及校园管理（身份认证）的能力，能满足学校各项需求。 卡片设计特点我公司集多年一卡通系统实施的案例，采用了许多先进的管理思想和独有的技术，成功设计了卡片结构，定义了非常丰富的个人化信息，使得卡片能适应多种场合、多种需求的使用。1.4.2 一卡通终端设备设计 设计目标根据多年从事智能卡应用终端设备的研究开发、用户单位现场需求和实际使用情况的深入调研，并结合国内外同业的发展趋势，一卡通终端设备总体设计目标为：卡片平台：全部支持“一卡通”系统卡片平台，满足银行、用户单位确认的卡种、卡型及卡片结构规划，一张卡片可以在各类终端设备上使用。所有读卡、写卡设备不仅支持Mifare卡片系列中的1k 卡（MF1、S50），而且同时支持 4k卡片（MF S70）；除此之外，所有读卡、写卡设备还留有支持Mifare卡片系列中的非接触式CPU卡MifarePRO（2K/4K/8K/16K规格型号）等Mifare系列所有卡片。运行平台：全部支持“一卡通”系统运行平台，满足一卡通各应用子系统所需建立、使用和扩展的终端设备。数据平台：全部支持“一卡通”系统数据平台，所有终端设备满足数据共享和业务分流、权限管理的要求。扩展平台：全部支持“一卡通”系统扩展平台，所有终端设备满足银行、用户单位进行二次开发的要求。安全性：所有支付交易类终端设备均有安全管理体系作保障，保证卡机交易、数据传输、数据存储等过程的安全性。联机/脱机交易两用性：所有终端设备具有硬时钟，能独立存储达万笔交易记录。联机使用时按先签到后交易方式进行，脱机使用时按先授权后交易方式进行。黑（白）名单管理：终端设备均能独立管理达100万条黑（白）名单，以便进行脱机交易。系统发布黑（白）名单消息，所有终端设备均能实时响应。链接接口：终端设备均提供动态链接库及接口函数，便于管理、使用开发。724不间断连续运行：终端设备均采用可靠性设计，MTBF大于10000小时，可以长年不关断电源、不间断连续运行。 终端设备结构设计一卡通终端设备是指包括台式、挂式、立式、手持式POS机，以及各类专用配套机，如读写器、 “考勤机”系列（进行各类考勤、门禁、身份认证、会议签到、保安巡更等）、“触摸屏”系列（进行各类自助业务，如个人账户、交易的查询，密码修改，挂失，钱包转账，其他一卡通信息的查询等）、通道机，车载机、水控器、电控器等全套一卡通系列专用终端设备。1.4.3 一卡通服务器平台设计 设计目标本方案中采用了当前国际最新的软硬件技术，使得一卡通系统运行在一个安全、稳定、可靠的高质量系统平台上。为了保证系统7*24小时不停机全天候运行，管理中心除了要有尖端的计算机硬件支持之外，还要有大容量在线式、双路供电不间断电源（UPS）作后盾，建议UPS的延时时间为8小时以上。 中心服务器中心服务器是整个“校园一卡通系统”的核心，中心服务器的组成如下：硬件配置：可以采用PC服务器，磁盘阵列，双机热备份，建议配备磁带机备份数据。软件平台： Unix操作系统，Oracle系列数据库，双机热备份软件。应用软件：一卡通中心平台软件，一卡通数据库。详细功能模块如下：功能类型模块备注操作员管理操作员签到，操作员签退增加系统安全账户管理1)开销卡、换卡、修改卡户信息、改密。2)存款：现金存款；特殊款项的发放（补助发放、奖学金发放等）。3)现金取款。4)转账：校园卡同校园卡的转账；银行卡同校园卡的转账；消费处理；转账销户。5)修改卡状态：挂失/解挂、冻结。6)查询：查询条件：各种条件的结合查询、模糊查询；查询对象：流水、账户信息、余额、对账流水表。7)管理费处理、修改控制信息模块（提供预修改）。个别账户处理个别账户发放款项、个别账户扣款操作商户管理商户开销户、查询撤销操作开销卡、存取款、换卡、转账等操作的取消操作。提供系统的易操作性账户异常处理平账处理、不动户处理、呆账处理、冲账处理账户信息统计黑名单统计、总户数的统计、当日开户统计、当日销户统计、操作员的营业统计、统计报表（冲账统计报表、平账处理统计、不动户处理统计、呆账处理统计）同步信息同步账户详细信息、所有名称同代码对照表、影响白名单内容的流水、补助设置表、费用设置表 应用服务器应用服务器包括综合前置机、转账前置机、查询前置机等。.1 综合前置机采用Windows 2000 Server操作系统。主要功能为数据库维护、系统管理、系统监视，及时向本校区内的各个应用子系统同步白名单；为持卡人业务及自有功能子系统数据的服务；为外挂子系统的数据及其协议提供接口服务。综合前置机的作用前置机在一卡通系统中处于控制子系统和一卡通中心的连接位置。同时综合前置机是一卡通系统的安全中心，由综合前置机来产生每天一换的动态密钥。综合前置机系统功能结构图如下。综合前置机的主要功能系统维护系统在不退出程序的情况下，手工进行日结、手工创建白名单、启动和停止网络服务、系统锁定等操作。参数设置参数设置菜单用于对一卡通系统运行所需要的各种数据表进行设置，通常在系统安装后，即进行此项操作。.2 转账前置机转账前置机的作用转账前置机是连接银行与一卡通系统的关键枢纽，它实现了将校园卡持卡人在银行账户的资金转入校园卡账户的全过程。转账前置机系统功能结构图如下。.3 查询前置机查询前置机是网上查询、电话查询、触摸屏查询的WEB服务器，使用Windows 2000 Server操作系统，Oracle数据库+IIS；在其上使用ASP开发程序，由用户用浏览器进行查询。电话查询子系统也安装在此前置机上。查询前置机从中心服务器接收所有流水，同步本地流水，响应来自客户端的请求，将查询信息返给持卡人。1.4.4 一卡通网络系统设计 设计目标以学校校园网作为校园一卡通系统的网络平台，校园一卡通系统各类终端设备通过网络数据服务器直接接入校园网一卡通，校园卡管理中心以校园网为通道直接管理各类终端设备，全局配置参数的设定、更改,负责黑（白）名单等实时信息的实时同步管理，对接入的各种子系统设备进行状态监控。系统