上海中职学校一卡通方案设计规划方案模板.doc

中职学校校园一卡通设计规划方案上海中职学校校园一卡通设计规划方案上海酬勤科技有限公司2012-4-8通钢集团吉林钢铁智能卡方案目录第一章需求分析41.1 系统概述及项目目标41.2学校一卡通现状41.3功能需求41.4非功能性需求51.4.1技术指标51.4.2 进度需求81.4.3 质量需求91.5兼容上海市中等职业教育信息化建设行动计划要求91.5.1职业教育开放实训中心一卡通功能应用91.5.2职业教育开放实训中心一卡通终端要求91.5.3职业教育开放实训中心一卡通卡片要求10第二章系统总体框架102.1总体目标102.2项目目标112.3设计原则132.4网络拓扑图182.5系统结构图192.6技术性论证192.7系统安全性的论证212.8系统可靠性的论证252.9系统扩展性的论证26第三章 应用系统设计方案273.1一卡通管理平台简介273.2消费系统343.3门禁系统413.4考勤系统483.5实训室签到系统523.1车辆出入管理系统543.2访客系统573.7.1系统架构573.7.2系统功能573.7.3设备技术参数593.3水控系统603.4电控系统643.9.1系统功能643.9.2系统结构653.9.3 软件主要功能673.9.4设备技术参数683.5自助洗衣管理系统683.6图书馆管理系统693.11.1系统概述693.11.2设备技术参数693.7电子巡更系统703.8教务管理连接713.9上网机房管理系统713.10系统接口763.11银行转帐系统763.12机房建设79第四章 质量保证方案79第五章 工程实施及售后服务841.1第一章 需求分析11.1 系统概述及项目目标根据校园信息化建设整体规划，校园一卡通是“数字化校园”的基础工程之一，其实质是以校园一卡通系统建设为契机，学校的管理部门和后勤服务部门通过信息化手段，整合资源，实现信息共享和资源的优化配置，提高管理和服务效率，为领导决策提供支持等。因此，校园一卡通的目标：1) 统一证件管理：校园卡全面上线后，全校所有师生每人持校园卡一张，取代以前的各种证件（包括学生证、工作证、借书证、 饭卡饭票、上机证、水票、电卡等）的全部或绝大部分功能2) 统一服务模式：凭校园卡享受校内各类设施的服务（金融服务、身份识别服务）、查询用户的多种信息、校内经费管理结算等功能。使用户能随时了解自己的情况和周围的各种信息，积极主动地安排自己的学习、科研和生活，实现“一卡走遍校园”。3) 提升竞争能力：同时与校园信息化建设项目中各子系统实现统一身份认证、资源共享，从而带动学校各单位、各部门信息化、规范化管理的进程，提升教学、科研和行政管理与服务水平，为学校管理提供决策支持，实现教学、学习、生活过程的优化，从而提高各种管理和服务工作的效率、效果和效益，是实现教育现代化、国际化、信息化提升学校核心竞争力的必经之路。1.2学校一卡通现状1.3功能需求根据上述系统目标，可以将校园一卡通系统的总体需求概括为：1. 身份识别：实现各种场合的身份识别。如：门禁、通道、出入身份识别、考勤、签到、巡更、各种查询身份认证、物品领用等。2. 统一证件：学生证、工作证、借书证、物品租借证、存折、出入证全部或部分功能。3. 充值业务：目前阶段首先实现现金充值，未来可以实现银行向校园卡进行定向圈存。4. 自助业务：借助自助终端设备，持卡人可实现校园卡的自助业务，在各校区建立统一的校园自助查询系统，包括电话查询、网上查询、触摸屏查询，为持卡人提供24小时全天候服务。5. 收费/消费：在校园内，凡涉及到现金使用的任何一个消费网点，校园一卡通的电子钱包都能通用，所有商户单位不论其性质与规模都可以授权代理收款、结算，商户资金可以实时到账。如：缴费、食堂、超市、小卖部、用电、用水、淋浴、租赁体育场地/体育器材、上机收费管理、自主复印等进行各种付费。6. 集中监控：可通过图形化界面、集中监控各种POS机、各种业务运行状况、及时报警等。7. 教学管理：选课、图书借阅、教学安排、学生未到校通知、旷课通知等。8. 综合查询：个人综合信息、课程/教材信息、学习成绩、个人健康信息、个人消费信息、学校各类活动信息、考勤等。9. 服务功能：与新生报道、学期注册、离校等业务流程集合起来实现校园卡办理业务。1.4非功能性需求1.4.1技术指标校园一卡通系统建成后可以达到指标如下：需求指标项目参数备注处理能力和系统系统帐户容量200万可进一步扩充日交易量200万笔可扩至1000万并发处理能力100笔/秒这里指完整的典型交易如1000人在同一时刻刷卡就餐，在应用系统的设计上，具体依赖网络吞吐能力、服务器处理能力、数据库处理能力联机交易响应1秒跨系统交易时间受对方响应速度影响，正常情况下3秒后台批量清算10分钟不包括数据备份时间网络综合查询3 秒依赖共享数据和其它系统的处理能力持续服务能力724小时服务工作日期切换需要与银行协商持卡人部门级数4级可以扩充无限级持卡人身份种类256种可以扩充至65536持卡人权限类别256种可进一步扩充商户帐户容量10万可扩充至100万结算单位层次无限制子系统接入数量1024每个前置管理POS512流水保留天数无限制用户可设定实时性消费立即结算1秒在学校内任何一处消费网点都能做到卡片及时结算。更改帐户信息立即生效5秒对卡片的存款、开户/撤户、更改密码1秒生效，挂失、解挂等需要全网广播信息在10内生效个人帐户数据实时性3秒其中需要广播的数据时间10秒挂失生效时间通讯服务器-应用服务器-数据库服务器）数据库服务器数据库管理工具应用服务器组件化应用业务逻辑和数据库操作、通讯服务分离通讯服务器通讯平台通讯平台成为总线应用终端通用终端成为简单的终端显示工具可扩展性接入请求紧耦合、松耦合、不耦合确保安全前提下，可：数据库层、URL、控件、API等多种形式接口接入信息提供XML还可提供数据层接口、URL、控件、API等中心设备采用集群技术在不修改应用的情况下，通过增加设备直接提升系统处理能力卡片卡片目录管理应用目录规划可确保应用无限可扩展系统主干网网络形式校园专网网络结构星型拓扑通讯协议TCP/IP通讯距离不限终端POS网络网络形式现有网络或者专用网络均可网络结构星型拓扑通讯协议TCP/IP，RS485转帐充值系统银行转帐方式自助和自动两种充值机联网方式TCP/IP或者RS485卡片充值方式圈存转帐、现金、经费本、支票等补助领取自助领取，手动/自动发放补助充值时间小于2秒终端POS机嵌入PSAM卡方式完全支持兼容的卡型飞利浦，微电子/1k，4k兼容，UPU卡根据上海中职校园一卡通建设标准规范的要求，方案采用13.56MHZ的M1卡联机/脱机模式完全兼容签到/签退完全支持黑白名单容量100万条/每台终端交易流水存储1万条/每台终端轧账流水存储256条/每台终端应用程序升级远程在线下载后备电源可配备卡片钱包钱包特点真正的电子钱包钱包数量6个钱包限额最大6万元1.4.2 进度需求所有设备的供货时间为1个月；系统建设时间为3个月；调试期为1个月。1.4.3 质量需求项目应该严格按照CMM（至少达到ISO9001：2000版）规范，进行项目质量管理，包括完备的过程控制、严格的系统测试等。1.5兼容上海市中等职业教育信息化建设行动计划要求按照上海市中等职业教育信息化建设行动计划（20112015）要求，全市中职学校将建成校园一卡通信息平台。在中职校园一卡通基础之上，本市将建立上海市职业教育开放实训中心统一管理平台(以下简称实训管理平台)，使各中职学校能够进行跨校实训，并在条件成熟后向社会开放，供劳动保障部门、社区居民、外来务工者等不同人员刷卡使用。本方案满足以下需求：1.5.1职业教育开放实训中心一卡通功能应用1) 使用开放实训中心的人员须实行刷卡进出。2) 刷卡信息可实时上传至全市实训平台。3) 非本校中职学生或其他经过实训平台授权的人员也可刷卡进出开放实训中心。4) 持卡人员进出开放实训中心采用时效制，超过有效期的卡片将被拒绝进入，需要延期使用的进入实训平台重新授权；1.5.2职业教育开放实训中心一卡通终端要求1) 全市中职校园一卡通综合管理平台统一向本市未使用一卡通系统的中职学校学生和社会人员发放工作频率为13.56MHZ的M1卡，学校在开放实训中心安装一卡通读写终端。2) 该一卡通读写终端通讯方式采用以太网TCP通讯。3) 该一卡通读写终端既能读取射频CPU卡，也可读取M1卡。4) 所有开放实训中心终端刷卡信息通过网络即时上传至全市中职校园一卡通综合管理平台。1.5.3职业教育开放实训中心一卡通卡片要求1) 校园一卡通系统待建学校，采用M1卡系统，在正常实现校园一卡通功能的同时，开放卡片第15扇区供开放实训中心使用；也可以使用射频CPU卡，需要在卡片中开辟200个字节的独立空间。2) 校园一卡通系统已建学校l 使用M1卡系统的学校，开辟第15扇区供开放实训中心使用。l 使用射频CPU卡系统的学校，重新在卡片空间内开辟一个200个字节的独立空间供开放实训中心使用。l 未使用M1卡或射频CPU卡系统的学校，需全部更换为M1卡或射频CPU卡系统，采用待建系统模式开放空间。3) M1卡的第15扇区的密钥和射频CPU卡的独立空间的主控密钥开放给实训平台，供实训平台读写相关信息；第二章 系统总体框架22.1总体目标职专一卡通的总体建设目标是：新一代学校一卡通项目建设为契机，制定校园一卡通标准。在一卡通基础平台上，结合考勤管理系统、签到系统、图书馆管理系统、各类消费系统、宿舍水电系统的建设，带动并支撑后续应用系统的开发运行。一卡通建设将分两个方面：第一个方面：一卡通应用建设，统一全集团师生各种“证、卡”、统一收费模式和经费结算，实现一卡通。第二个方面：一卡通信息平台建设。建设共享资源库、统一身份认证等学校基础平台，整合校园各种现有信息系统的业务流程，完成应用系统信息资源共享，为今后校园信息化建设的进一步建设奠定通用的可扩展的平台，极大的提升学院的信息化水平。一卡通系统包括以下功能模块：1) 一卡通管理平台 2) 考勤管理 3) 消费管理 4) 自助查询管理5) 实训室签到管理 6) 门禁管理 7) 车辆出入控制管理8) 访客管理9) 电子巡更 10) 机房上网管理 11) 图书馆管理 12) 宿舍水电管理 13) 物品租借管理14) 洗衣管理15) 数据接口16) 银行转帐管理17) 机房建设2.2项目目标项目本次项目的建设目标包括：建立以卡为媒介的、面向校园师生的综合性服务平台，覆盖身份识别、金融服务、信息服务、流程整合等领域，形成高效稳定、功能全面、扩展灵活、管理方便的新一代校园一卡通平台，实现“一卡在手，走遍校园”，成为数字化校园的核心内容之一。1) 实现证卡统一，为师生师生提供全面的、一体化的服务。本系统的主要服务对象是全校师生师生。新一代校园一卡通以实现“一卡在手，走遍校园”为目标，向学校师生师生提供全方位的服务，主要包括：l 身份识别一卡通。校园卡可以代替目前所使用的学生证、工作证、借书证、食堂就餐卡、上机证、医疗证等各种证件，起到以卡代证的作用。应用于需要身份验证的场所，如：宾馆、办公楼、图书馆、实验室、校门等。l 消费服务一卡通。校园卡可作为电子钱包使用，持卡人可以在各个校区的任意消费网点以卡代币进行消费结算。应用于校园的各个消费场所，如：食堂、餐厅、澡堂、洗衣房、超市、小卖部、机房、收费服务点等。l 金融服务一卡通。与财务、银行对接，实现自动结算、转帐、校内代缴代扣、消费查询等金融服务功能。l 信息服务一卡通。与学校的教学、科研、学籍、人事、财务等各部门的信息系统对接，实现各类信息的查询、统计、分析，为广大师生师生的教学、学习、生活提供信息支持。2) 建立完善的运营管理体系，支持日常管某某作。本系统将形成完善的、多层次的运营管理体系，为一卡通运营管理人员的日常运营管理和决策分析提供支持。具体包括：l 统一帐户管理。对系统所有客户及其帐户进行集中管理，建立客户档案，管理其帐户信息及交易记录，实现客户和帐户基本信息的全局共享。l 集中资金结算。集中的资金结算和财务管理模式，实现每日结算。l 多级管理模式。支持一卡通管理中心、分中心、网点等多层次的运营管理模式，根据学校的地理分布进行灵活部署。l 自动数据分析。每日产生一卡通运营的统计报表和分析数据，使学校管理人员对一卡通的运营情况一目了然。3) 为技术人员提供集中、便捷的系统管理和维护。系统采用大集中模式的技术架构，并且建立了集中管理监控体系，大大降低了技术人员系统管理、维护和新业务扩张的难度和成本。l 高效的交易处理平台。大集中模式的一卡通交易处理平台，在处理性能和稳定性上具有金融系统的表现，大大降低技术人员的日常维护成本。l 集中的管理监控体系。通过图形化的系统监控台，使技术人员能方便地监控整个系统所有硬件设备的运行情况，及时发现和解决故障。l 快速的新业务扩张。当学校增加新的服务项目时，能非常方便地加入到校园一卡通平台中，实现新业务的快速部署。4) 为学校领导和管理人员提供决策支持本系统充分利用一卡通核心数据库中积累的大量历史数据，进行科学的分析和挖掘，形成图形化的分析结果，为学校领导和各级管理人员的决策提供信息支持。本期一卡通系统实现以下功能模块：1) 一卡通管理平台 2) 考勤管理 3) 消费管理 4) 自助查询管理5) 签到管理 6) 门禁管理 7) 车辆出入控制管理8) 访客管理9) 电子巡更 10) 机房上网管理 11) 图书馆管理 12) 宿舍水电管理 13) 物品租借管理14) 洗衣管理15) 数据接口2.3设计原则一卡通建设是一个长期的过程，为此必须进行整体规划、分步实施，整个建设过程必须符合如下原则。2.3.1主动性原则一卡通系统作为信息化的基础，将支撑整个学校的卡应用系统。基于需求多样性和个性化决定了应用系统的复杂性原因，厂商的产品不可能直接搬到学校安装使用，而必须按学校的要求进行定制开发和实施，包括：项目总体规划，架构和多样化工具的选择，标准的制定与控制，密码、参数以及文档和源代码等的开放。同时，基于服务和性价比的考虑，学校有权选择多品牌的硬件产品。2.3.2实时性原则系统应适应网络状况不稳定情况下，信息变化也能够及时地在应用系统内部以及其与数字基础平台之间自动交换。系统提供学校一卡通的监控功能，及时发现系统运行隐患。学校一卡通系统应充分体现学校内部管理的模式和特点，各应用系统的开发，应做到功能完善、使用方便、切合实际、运作高效；2.3.3集中原则学校一卡通系统应尽量只部署一套数据库，各种学校一卡通架构下的应用子系统原则上只使用该集中式数据库，避免传统意义上敏感数据信息分布在多处的数据安全隐患。本方案采用集中式的一卡通核心数据库方案。2.3.4先进性原则选用先进的技术架构、运用先进的建设理念。人性化的设计方案，包括必须考虑脱机情况下如何最大限度减小师生的损失。一卡通系统的建设要立足于当今世界先进且有发展前途的技术，由此实现的系统能随着未来信息技术的发展而不断平滑升级。2.3.5标准化原则(1)数字基础平台采用国标、学校标准相集合的原则，解决信息交换、集成和共享的问题。(2)卡片结构需严格遵从有关行业标准前提下的独特设计。(3)终端结构尽量兼容总线型和星型布线方案，可脱机移动使用，可远程升级维护，支持标准的终端驱动模式，做到真正的开放性。(4)财务结算必须符合国家有关标准。(5)安全体系达到（准）金融安全标准。2.3.6开放性和可扩展性原则(1)应用系统完全开放。(2)结构化设计，适应5-10年的系统业务发展。(3)架构开放，软硬件平台开放且可扩展。(4)数据库、应用、通讯、卡片结构等开放和可扩展，方便业务系统接入，充分保护软硬件投资。一卡通系统将随着学校业务发展而不断更新，基于性价比、厂商风险等因素考虑，系统必需采用开放的架构、开放的平台、开放的产品，提供完备的文档资料和接口程序，开放数据结构、学校掌握密钥和算法、选择国标和开放的行业标准、支持多种硬件，系统建成后学校可自行扩展升级、自主决定采购多种品牌的终端设备等；系统在容量和功能上不仅能满足目前用户的需求，而且也易于扩展以保障用户今后的扩容和升级，如：卡片结构扩展、新增收费模式、增加信息点等，利用Web查询支持模块和Internet网，实现远程快速查询。2.3.7可靠性和安全性原则(1)网络完全性设计。系统应充分考虑网络隔离、防病毒和断电、断网的安全性。在外界环境或内部条件发生突变时，能保障系统正常工作。(2)主机系统的安全性设计。(3)数据安全性设计。各子系统之间的连接在保证规范、独立的前提下，应该保证系统的数据传输的可靠性与安全性。(4)卡片安全性设计。师生卡的金融功能能严格按照金融安全方面的要求来设计，保证用户使用上的安全。(5)设备的安全性设计和合法性校验。(6)接口安全性设计。(7)交易安全性设计。具备身份认证、节点认证、交易数据认证、加密传输、数据鉴别等一系列安全保障措施。(8)应用软件的安全性设计。(9)事后监督系统设计。考虑到用卡场所情况复杂，系统必须针对交易的每个环节提供增强可靠性的措施，包括卡片可靠性设计、终端可靠性设计、布线和网络通讯可靠性设计、应用和数据库可靠性设计等全系列设计，确保系统在脱机状态下的可靠性高及在联机状态下的实时性强的要求，以及大规模并发交易情况下系统的稳定、高效和可靠性要求，不能出现单点故障。系统涉及资金，身份等重要的信息，应采用严格的分级管理技术，管理人员、查询人员分级按权限操作；采用多层体系架构，单层次出现故障，系统可继续运行较长时间；系统运行中间层次、中间环节不能保留敏感数据，以避免财务风险；一旦系统恢复正常运行，系统能够自动切换，无需人工干预；对于脱机运行（手持设备等）的设备，系统需要提供有效措施保障师生利益；提供审计功能，对于操作人员的各项操作进行审计。2.3.8可行性原则(1)对于分校区的特殊情况需要提出可行的解决方案。(2)对于学校网的升级改造需要提出切实可行的解决方案及相应的造价。(3)实施方案可行。(4)运营方案和维护方案完整可行。2.3.9可管理性原则一卡通系统通过上千个终端机具来实现管理和服务功能，其管理难度大、维护成本高，系统必需从整体架构上、从具体功能上保证降低管理难度、降低维护成本、降低人员依赖，采用集中管理模式、图形化管理和监控工具，方便管理维护、出现故障能快速准确的定位问题；2.3.10保护原有投资尽可能的利用校方原有的软、硬件设备，或在其基础上进行升级，而对校方已有的投资项目，尽可能的以接口方式实现一卡通的管理，避免重复投资造成的浪费，而像校方标书中提到的财务管理、迎新系统、网络计费、图书馆管理等系统，我方会根据校方的要求以接口的方式实现其一卡通的综合管理和应用。2.3.11其他原则(1)数据流在多个环节内传输安全。(2)IC卡数据结构变化对终端透明，即终端能够自适应IC卡的数据结构变化。(3)由于实际应用存在离线式脱机运行的需要，一卡通终端设备必须满足系统联网、脱机二种工作状态，并具有大容量存贮能力和脱网状态下终端设备的上传数据（独立结算）功能。(4)所有终端产品具有足够大的容量保证脱机运行，包括流水、黑白名单容量等。2.4网络拓扑图“校园一卡通系统”属于应用层的程序，网络层采用TCP/IP协议，对网络层以下透明。支持光纤、双绞线、无线等各类线缆，支持10M、100M、1000M等各种以太网技术，支持路由器、交换机、集线器、防火墙、入侵检测设备、加密机等各种网络设备。“校园一卡通系统”的网络环境可以采用2种方式，一种是在原有的校园网基础上划分逻辑网段，采用VLAN技术隔离一卡通网和校园网；另一种是搭建专网，通过应用网关与校园网联接。相对而言，专网的方案提高了安全性，缺点是造价高。考虑到贵校校园网能为“校园一卡通系统”提供足够的带宽，推荐采用第1种方式。在下面的章节里会详细介绍网络的安全性。2.5系统结构图2.6技术性论证2.6.1系统业务量的计算全校持卡人按照1万人，考虑进一步的发展，人数应该预留到10万人，预计平均每人持卡消费6次，每天有80%的人数参与消费，则目前每天要发生：10000680% = 4.8万笔交易流水，每笔流水系统存储在中心数据库平均为100字节：4.8万100字节/条流水4.8MB(每日)周期流水数量(万笔)流水存储容量(MB)每日4.84.8每月144144每年17521752以Oracle或者SQL Server2005数据库的存储能力，完全能够满足。当系统账户数量达到10万时：周期流水数量(万笔)流水存储容量(MB)每日4848每月14401440每年29202920仍能满足数据存储要求。由于高峰期突出，这些交易大约集中在三个小时内完成，则要求系统每小时处理12.8万笔，相当于每分处理2133笔，当为10万人时，要求每分钟2667笔处理能力，中心服务器处理能力完全满足实际需要。2.6.2系统实时性的计算网络带宽：按每分钟2667笔流水计算，每秒44.45笔，流水每100字节，则网络传输速率应不低于44.45x100x8=35.56kbps，考虑到系统数据传输峰值和有效数据在传输中所占的比率，支线带宽不能低于10Mbps，干线带宽不能低于100Mbps，系统才能正常工作。白名单同步：全部白名单10万条记录，每条记录16字节，共计1.6Mbyte，在10Mbps网络环境中，全部更新所需时间为1.6x8/10=2秒。考虑到网络的复杂情况，全部子系统重建白名单大约在3分钟内完成。2.7系统安全性的论证2.7.1系统安全策略l 系统性：一卡通系统的安全需要按系统工程来建设、保障。l 完整性：系统涉及到的每一个环节都要考虑安全特性。l 针对性：在系统薄弱环节作特殊处理，以提高整个系统的安全系数。2.7.2硬件实体的安全性传输的数据采用加密形式，保护敏感信息。防止非法截取，破译。采用金融安全处理器为核心器件的加密卡，存储密钥等信息。数据中心的建设：数据中心机房应设立在防水、防火、防盗的场所，环境温度湿度稳定，清洁。系统运行与管理需要建立严格的规章制度，机房的管理人员必须严格按照操作手册和运行规范来进行日常的操作，数据备份，系统检测。2.7.3数据中心的安全性l 操作系统安全性能：l 数据库系统安全性：l 消费数据通路加密，存储加密2.7.4网络环境的安全性“校园一卡通系统”的网络环境可以采用在校园网的基础上划分虚拟局域网（VLAN）的方式，也可以单独构建专网，与原有校园网分离。两种方式各有利弊，专网方案的安全性高一些，但造价也很高。学校可以根据自己的实际情况进行取舍。1) 通过划分VLAN，保证一卡通系统逻辑隔离由于交换技术的出现，才使VLAN技术得以实现，而VLAN技术对网络的发展又起着举足轻重的作用。VLAN的优势在于既可以减少广播风暴提高网络带宽，又可以提高网络的安全性。VLAN的划分原则，一是网络节点之间的访问量，二是网络节点的安全性等级。通过VLAN技术，将访问量、安全等级近似的节点划分成同一个VLAN（通常是一个部门）。再通过VLAN之间路由表、访问控制列表（ACL）的设置，就可以有效隔离不同访问级别的节点。VALN划分方式包括：l 基于端口的划分l 按MAC地址定义l 基于网络层的虚拟网络l 通过IP广播组划分通常使用基于端口的划分，VLAN的具体划分方式需要与学校网络中心协商决定。2) 重要数据加密传输，保证不被篡改对于在网络上的TCP/IP通讯，系统直接采用Socket底层编程，MD5签名信道，在数据发送和接收时都采用数字签名，保证不被更改。更为关键的是，系统对数据传输与存储环节中所使用的密钥和关键的加密算法采用了更严格的硬件安全措施。这些密钥和关键加密算法全部存放在ISA/PCI总线的硬件加密卡中。加密卡中采用DS5002FP安全加密处理器作为核心器件，其上的数据是随机打乱存放的，具有防破译自毁开关，是中国人民银行认可的安全处理器，从而保证了金额数据在网上的安全性，也能保证与银行信用卡业务系统的紧密联接。密钥采用动态形式。2.7.5银行转账的安全性采用设立转账前置机的方式，通过双网卡隔离2个逻辑网段，杜绝校园网内部对银行网络的访问，仅银行转账前置机可以访问银行网络。1) 数据传输的安全措施学校转账前置机与银行前置机之间数据采用金融业标准的MAC校验运算。MAC运算的DES密钥采用动态密钥，在每天建立连接签到时，由银行动态生成分配。密钥采用加密传输，敏感数据加密处理。校园内部自助转账终端与学校转账前置机之间采用DES加密，MD5数字签名，动态密钥。持卡人的银行卡密码由位于专用加密卡上的DS5002安全处理器进行金融标准的PIN加密处理，有效防止密码外泻，保护持卡人和银行利益。DS5002安全处理器具有防侦测、数据加密存储、数据自毁性等特点，可以有效防止不法分子对敏感数据的获取。2) 屏蔽校园网内的对银行攻击学校转账前置机采用双网卡，通过双网段的IP地址进行逻辑网段隔离。关闭转账前置机的IP转发路由功能，校园网内部的数据只能到达转账前置机的A网卡，而无法通过前置机的B网卡到达银行前置机。这样就屏蔽了校园网内部的攻击。学校转账前置机关闭远程管理维护功能，避免对其攻击，必要时可以采用软件防火墙。3) 屏蔽校园前置机对银行内部的攻击银行的前置机同样采用双网卡，关闭IP转发路由功能，这样就阻止了攻击数据到达银行网络内部，所有来自校园端（专线）的数据仅能到达1网卡，不能通过前置机的2网卡进入银行内部网络。银行前置机关闭远程登录等功能，防止非法远程登录。银行前置机只能响应规定好的转账交易。2.7.6应用系统的安全性应用系统中不存放中心数据，而以数据中心为准，从而实现应用与数据处理分离，使得应用系统安全可靠。采用“事权分离”机制设计应用系统，用户管理、权限分级、程序资源、操作权限分配等方面设计了严密的机制；操作员登录控制：操作员卡验证身份，密码控制；所有操作日志跟踪，追溯责任人。2.7.7卡片的安全性1) 卡片的安全原则应用中采用一卡一密、一区一密的加密机制、防止被盗滥用。加入公司专用标识，采用专用算法，有效地防止伪卡。采用DES专有混合算法，形成一套有效的卡片密钥管理机制。采用公共、独立的信息共享区，形成一种统一而又分而治之的数据管理策略。对系统内卡片采用分类管理，授予不同权限和功能，增强安全性。2) 卡片内的安全管理数据区密钥控制原则：卡片内采用每扇区密码控制的原则，即对不同的数据区采用不同的密钥进行控制。将数据区分为两类，一卡通数据区和个性化子系统数据区。一卡通系统数据区采用卡片注册时生成的密钥进行读写控制；对于个性化子系统，采用公司出厂密码，在建立该子系统时，更改该控制密码，可分为三类进行管理，由我公司负责进行升级：根据我公司一卡通系统密钥生成原则，可直接接入一卡通系统。由第三方进行升级：可以通过更换密钥，更改子系统扇区的读写密码，第三方产品提供最终的生成密钥给子系统专用读卡器，由读卡器控制该卡的读写权限。向第三方公开该数据块，全部由第三方控制读写。3) 通用发卡流程卡片出厂：卡片在出厂时根据卡片厂家代码、我公司标识、卡号等通过加密算法生成我公司卡片出厂密钥，从而防止伪卡的应用。一卡通卡片注册流程：卡片在一卡通系统注册时，首先验证出厂密码，再根据卡片厂家代码、我公司标识、院校代码、卡号、生成本系统卡片密钥，根据加密算法，得出卡片的读写控制密钥，写入卡内。杜绝不同一卡通系统之间的卡片滥用。种子密钥的生成：管理单位在发卡前通过我公司提供的密钥系统管理软件生成系统的种子密钥。4) 持卡人利益的保证杜绝恶性透支。挂失实时生效。实时更新黑名单。密码限额，大额消费启用个人密码。脱机消费限额：当卡片脱机消费时，分别采用不同的限额来启用个人密码、禁止消费，从而使丢失但来不及挂失的卡造成的损失最小。个人密码保密：在系统上操作员看不到持卡人的个人密码，保障了持卡人的权利。2.8系统可靠性的论证2.8.1系统可靠性的关键环节双机热备份：中心服务器部分采用双机热备份及磁盘阵列，可以在系统故障情况下做到系统的稳定运行。异地备份：对关键数据进行磁带备份，异地存储，即使在灾难情况下，也能把损失降到最小。备用线路：由于采用标准化的网络方案，可以在系统故障的情况下考虑备用线路方案。故障无关性：商务网关之间互相独立，一个网关出现问题时不影响其他网关。脱机：当网络出现故障时，POS机可以脱机工作，卡内存有余额可以脱机使用。各环节均采用流水号自动对账，不错账。网点间的干线采用校园网免受雷击破坏。掉电保护。当系统掉电恢复时具备自动断点恢复功能。误操作提示、阻挡：当出现误操作时系统自动提示、阻挡等等，以上诸多措施都能使系统可靠地、稳定地运行。2.8.2数据容错策略系统中采用了非常有效的措施，保证数据的一致性。1) 中心与子系统数据的一致采用大机数据集中的模式，是数据保持高度一致的根本保证。确定以中心服务器中的公共信息为准，各子系统实时接收下传的变更流水信息，做到基本信息的同步。2) 实时更新商务消费网关、身份识别网关内设置数据库高速缓冲引擎，可以保证白名单、自动充值表的实时更新。3) 自动对账系统具有自动对账机制，从POS机到网关，从网关到中心服务器，相互之间的流水同步都采用不同的流水号进行自动对账。4) 卡片与数据库的一致在卡片与数据库的金额中，采用卡库对账机制，确保持卡人在脱机POS与联网POS上混合使用时具有数据的一致性。2.9系统扩展性的论证2.9.1系统平台的升级与扩展系统在可维护性上的措施也很多，比如：由于采用了大机集中的模式，因而使得中心的维护变得集中而有效，投资也可以达到集中。各子系统、终端都采用了自助式、浏览器式的操作，因而可维护性也好。软件中设置了在线通讯质量监测、数据监测维护等功能，读卡头采用可拔插替换方式，等等，使得在现场维护十分方便。2.9.2应用子系统规模的扩展由于采用安全性、可靠性、效率较强的中心服务器，所以能够带的负载较大，网关的数量、子系统的数量都不受限制，可以达到较好的扩展性。子系统可以是纯管理、纯商务、管理与商务混合类型的，做到真正意义上的校园一卡通系统。2.9.3其他第三方产品的接入第三方产品利用一卡通平台系统的,紧耦合、松耦合、不耦合，在一卡通系统中均需要并存，以适应不同的管理模式和兼容已经有的管理信息系统，方便接入。2.9.4与其他应用系统的连接提供数据的导入导出接口，利用已有系统的数据，和为其他应用系统提供系统数据。第三章 应用系统设计方案33.1一卡通管理平台简介3.1.1应用管理层一卡通管理平台应用管理层分系统核心管理平台和扩展平台。其中系统应用管理层承担整个一卡通管理的核心业务处理，其功能设计强大、体系结构灵活，主要业务有卡务中心、结算中心、监控中心。 1. 卡务管理1) 批量发行卡按区域、单位等查询条件查询一批师生信息，大批量连续发卡。2) 发行正式卡按区域、单位、工号等查询条件查询人员信息，单独发卡。3) 发行过渡临时卡对挂失补办未到期的师生，单独发行过渡临时卡。过渡临时卡有效期可以设定，一般设为2周，2周后来补办正式卡，收取卡成本费。4) 发行非记名临时卡对外来人员、临时人员发行非记名临时卡，收取卡成本费、手续费。5) 补办正式卡对正式卡丢失的用户、待到达挂失补办期后，办理新的正式卡，同时退掉过渡临时卡，并将过渡临时卡和挂失卡上的资金转移到新的正式卡上，原挂失卡作废、过渡临时卡回收继续使用。6) 回收卡对不再要使用的用户卡，进行回收处理，退还卡中的现金，对于卡可以继续回收使用的退还卡成本费。本功能包含退正式卡、退过渡临时卡、腿非记名临时卡、退挂失的卡。7) 补写卡信息对在发卡、充值、支取等交易中出现的 写卡失败等异常情况、再次补写卡的信息。卡信息变更修改。对卡内部存储的卡信息、持卡人的信息进行修改。8) 修改卡密码修改卡的密码9) 挂失卡持卡人卡丢失后，可通过挂失渠道（管理中心、电话、网上、自助挂失机等）对卡进行挂失处理，卡挂失后，卡就不能进行消费、充值、支取等交易。10) 解挂卡持卡人卡找到丢失的卡后，可通过挂失机或管理中心对卡进行解挂处理，卡解挂后，卡就可以继续使用。11) 冻结卡当一卡通管理中心发现有异常的卡，可以在管理中心对有问题的卡进行冻结，卡冻结后，该卡就不能进行消费、充值、支取等交易。12) 解冻卡当一卡通管理中心需要恢复冻结卡的状态，让卡继续使用时，可以在管理中心进行解冻，卡解后，该卡就可以正常进行消费、充值、支取等交易。2. 结算中心资金结算主要是对帐户管理中开设的有效帐户，根据其交易明细、采用金融标准结算办法、结算流程进行结算，包括以下过程：基础设置，记账，冲账，批入账，账务查询，交易结算，日常扎账，日(月、年)终结账，日(月、年)报表以及一卡通卡片与银行卡片互通，职工在一定范围内消费后可从银行账户上扣除。 电子对帐：确认之前交易的有效性、一致性，不一致则查错纠正； 财务管理：平衡状态监测、错账处理、坏账处理。 资金结算：明细核算和综合核算，分别完成持卡人和收费部门间的结算 资金划拨：根据结算结果完成资金在帐户间的实际划拨 报表管理：结算报表、对账单（日、月、季、年度、任意阶段）。 日志审计：开户统计，销户统计，出纳统计，换卡统计；挂失解挂；冻结解冻。 银行圈存机，将学校一卡通与银行卡互通，师生可以在一定范围内消费后可从银行账户上扣除。3. 监控中心基于可管理性、可维护性等考虑，必须对一卡通系统整体运行状态进行有效的监控，降低系统管理难度、降低维护成本、降低人员依赖。监控中心系统的主要功能有：1) 参数设置：可设置监控范围（区域、设备类型、具体设备等）、应用类型、报警方式（MAIL、短信等），可绘制和显示网络拓扑图并支持矢量化图形操作等2) 设备监控：监控指定范围或者全部设备的当前运行状态、用卡流水情况、设备参数情况、名单版本和时钟情况等，并一不同颜色区分设备运行状态3) 应用监控：可监控黑卡交易、名单广播情况、流水采集情况、卡库平衡状况、流水异常情况等，并可从应用准确定位到应用发生的终端位置等4) 网络监控：监控网络运行状况，以不同颜色区分网络运行状况5) 报警处理：根据设置的报警参数、问题严重程度、问题的责任人等属性，发送报警信息给有关人员6) 故障定位：可从监控图上直接定位故障发生的准确位置、故障类型、建议的处理方法等。7) 统计分析：可对故障类型、发生次数、发生区域或设备等多角度进行统计分析等。本模块为可选模块。监控流程监控中心的总体业务流程是：1) 参数设置由前台设置设备监控、应用监控和报警处理的相关参数，比如设备发送心跳的间隔时间、设备的硬盘应用百分比警戒值、大额消费的报警额度、定长时间消费次数阀值、警戒级别与报警联系人等。2) 监控数据采集对于设备监控来说，此步骤完成采集设备发送的心跳数据，对于应用监控来说，此步骤已由采集消费流水等其他模块完成。3) 后台分析后台定时分析采集到的设备心跳数据、各种应用数据（包括各种流水），找出其中异常的数据，分配警戒号（标识其严重程度的数据），并将其记录到监控异常表中。4) 前台显示对于设备监控来说，此步骤，前台定时刷新设备当前的心跳数据，并根据其警戒号进行不同的显示。对于应用监控来说，前台监控所有应用监控项是否出现异常，如果出现，则可以查看具体信息，同时，前台也可以监控当前所发生的所有流水（包括正常、异常）。5) 报警处理后台定时分析异常表中数据，根据其警戒号，判断其是否需要人工处理，如果则通过指定的方式（如Email、短信等）发送报警信息给相应处理人员（报警联系人）。由相应人员处理完毕后，录入该报警记录的完成结果。6) 监控内容l 系统运行监控根据预设的监控参数，在线监控网络、终端设备、应用系统等的运行状况，主动报告设备运行状况，及时发现隐患，并主动报警。主要包括： 设备运行状态监控 终端设备联机、脱机状态监控； 终端设备的黑名单版本监控； 终端设备时钟监控； 终端设备上传流水监控; 应用系统运行状态监控 系统当前状态监控； 工作日志监控； 异常工作日志查询；l 数据一致性监控监控诸如卡、收费POS机、核心数据库的金额一致性等。如持卡师生消费时系统监控卡电子钱包的余额与数据库记录的余额是否一致，不一致的及时提醒系统管理员进行处理，而不必等待结算对帐时才发现数据不一致此时持卡人已经不在现场、或者已经忘记当时的情景了等。本功能和“资金结算系统”的对帐功能有相似之处，但有各自不同： 处理时机不同：结算系统的结算是定时、批量进行核对、平帐；本功能是联机实时监控每张卡的数据一致性 处理方法不同：结算系统如果发现不一致，需要报警提示、自动收集原始数据进行全面核对、验证、人工智能分析、及人工判断，可能进行手工处理，处理完毕后才能进行下一步工作；而监控功能对于发现不一致的情况，只需要及时报警提示即可，交易是否可以继续由业务人员/系统管理人员决定（比如就餐是如果发现数据不一致，可能需要允许师生继续就餐，结束后才能查原因等） 处理部门不同：监控功能主要由技术人员/系统管理员负责，结算对帐则主要由结算部门负责l 业务状态监控根据一卡通业务运行中的异常状态进行监控。一般采用阀值监控方法，即通过设定监控指标和监控阀值进行报警。主要监控指标包括： 操作未成功记录监控； 消费时间监控： 定长时间消费次数监控； 单次消费额度监控； 非法卡操作（挂失卡等）监控； 黑名单监控； 操作员监控；3.1.2中间件层中间件平台是基于一卡通系统硬件层之上，为一卡通系统核心平台提供数据缓存，设备驱动的管理平台，具体又分：终端设备服务层、应用服务层和数据缓存层、中间件控制层；其中中间件控制层由中间件控制台和中间件驱动所组成。3.1.3设备技术参数根据用户要求，本方案选择非接触式IC卡（又称射频卡），且采用目前流行的两卡分离模式（与银行卡物理上分开为两张卡片）。非接触式IC卡，由IC芯片、感应天线组成，封装在一个标准的PVC卡片内，芯片及天线无任何外露部分。是最近几年发展起来的一项新技术,它成功的将射频识别技术和IC卡技术结合起来,结束了无源(卡中无电源)和免接触这一难题,是电子器件领域的一大突破.卡片在一定距离范围(通常为510mm)靠近读写器表面，通过无线电波的传递来完成数据的读写操作。非接触式IC卡片结构以及与读卡设备之间的关系如下图所示：与接触式IC卡相比较,非接触式IC卡具有以下优点:Philips MF1 IC s50性能参数卡片与芯片非接触式射频卡，数据速率100Kbit/