一卡通系统技术解决方案

一、系统开发背景目前各大学在校园卡应用系统管理上存在诸多问题，主要表现在以下方面：•由于卡应用领域的日益扩大，校内各单位逐步建立起自已的卡应用系统，造成了目前学生身上持有多张卡。•学校校园网建立较晚，使学校各单位管理不能统一。目前，各大学校园网的建成投入使用，为校园一卡通系统的建立提供了可能非接触式IC卡系统的日渐成熟为校园一卡通系统的建立提供了技术保障，校园内实现一卡通管理已成为校园管理发展的必然趋势。南京鑫三强科技实业有限公司公司推出的“一卡通系统”可让持卡人真正意义地实现“一卡在手，走遍校园”。独具特色的“电信业务系统”、“财务收费系统”、“通用查询系统”，充当了管理学校日常消费、管理的角色，为领导的决策提供可靠的数据依据，同时也为教职员工和学生提供了方便。二、系统设计概要2.1、系统结构设计：采用一卡通系统金融数据与非金融数据严格划分的最优化设计。服务器平台划分为支付交易专用服务器，身份认证专用服务器，公用信息专用服务器。终端接入网络设备(LINEPORT)划分为支付交易专用，身份认证专用。从而，使一卡通支付交易子系统严格遵循银行业务系统规范，具有高安全性、可靠性和实时性；使一卡通身份认证子系统和公用信息作为数字化校园标准信息管理系统在校园网全局共享，为校园URP打下坚实基础。、卡片结构设计：一是采用了最先进的目录式管理多功能区域的技术，用户可以非常方便的定义卡片各区域的功能；二是可以存储充值累计记录和多笔交易记录；三是采用了科学的卡片数据自维护功能技术，使得电子钱包数据更加安全可靠；四是当卡片某扇区损坏后，采用最先进的扇区功能转移技术，大大降低了卡片的损坏率，方便了持卡用户，同时也减少了投资成本。2.3、终端设备结构设计：充分考虑了“一卡通”系统应用的特点，即：终端设备分布的离散性、终端设备脱网使用的安全性、终端设备使用单位对功能要求的个性化服务等。每台终端设备带有掉电数据保护，市备电自动切换功能，使得每台终端设备不仅可以联网工作，而且完全具备脱网独立工作的能力。每台终端设备均具有签到、结账功能，商户可以直接结账，查询统计2000笔对账数据；具有支持挂失、接收黑(白)名单的功能；可以存储最近2000笔支付交易记录；当终端设备脱网使用时，数据可以采集„„，具有很高的安全性、可靠性、稳定性，在外界环境发生突变时，系统能够保持正常工作。2.4、网络结构设计：充分利用了学校网络的资源，使得"一卡通"数据共享性大大提高；2.5、软件平台结构设计：数据服务器采用了unix操作系统和双机热备软件，打下了可靠运行的基础;应用服务器、工作站（客户端）采用WIN2000/98操作系统，方便了系统的扩展和应用。尤其是数据库平台采用了公认的最坚固的ORiCAL大型数据库，为数据的安全性、可靠性、稳定性打下了坚实基础。2.6、应用软件结构设计：采用了三层结构模式，1+X模块化技术，使得系统易于管理和维护，易于扩展和应用，确保用户投资的长期效益，避免资源重复浪费。2.7、会计账务系统设计：按照国家财政部企业财务的标准，完全支持按pos机和POS机分组结算的要求。具备与银行、商户、卡户对账、结算等功能。2.8、密钥管理规划设计：遵从中国人民银行有关标准，采用主密钥、工作密钥、扇区种子密钥、卡片扇区密钥、个人密码种子密钥、卡片个人密码密钥六个密钥组成一卡通系统的密钥体系，确保了支付交易各环节的安全性。2.9、一卡通系统离散点设计：采用全中文操作界面手持机，应用在如考场等各种流动人员和场所。根据实际需求，可在手持机下载不同的应用程序，使其具备收费机、考勤机、身份认证等功能，真正做到上门服务，解决了一卡通应用地点、环境限制问题。2.10、一卡通数据平台设计：采用的设计是典型的一体化一卡通设计要求。在整套一卡通系统平台中只用到了一套数据库oracleforunix（或oracleforwin2000可选），一种数据平台的使用，让用户的得到投资小，售后服务成本低、升级容易、管理简单的好处这也为系统的扩展、升级、维护提供了方便。2.11、一卡通管理、维护、突发事件处理设计：严格按照国际通行的质量控制标准ISO9000来规划和制定本项目的管理，维护和突发事件的处理。通过完善的质量控制（QC）体系措施来保证本项目按时按质的完成。我们本着以"技术先导、服务为本、长期合作、共同发展"的宗旨，规范了一卡通运营职能部门的职责、组织之间的关系，以及人员配备来解决一卡通的运行质量控制。本设计方案完全可以实现所有一卡通应用项目，同时贯通应用于所有校区，达到并符合下列环境下的正常运行使用要求：1） 各项管理（支付交易/身份认证/综合业务/自助业务）2） 各种场合（集中点/零星散店，固定交易点/移动交易点）3） 各类应用（一个钱包/多个钱包，开环/闭环，计时/计费/计次/计量）4） 各种交易（联机/脱机，转帐/现金/卡金，充值/消费，大额/小额）5） 各类结算（独立/统一，中心/分中心，出纳/会计，管理/财务/银行）6） 各种监控（应用软件/工作站/网络状态/终端交易，7*24小时全天候/定点/定时）；系统解决了卡户各类业务、商户各类结算业务、银行各类业务、以及利用公用电话、校园WEB、BBS等进行各类自助服务的业务，还解决了与校园各类管理应用的各类信息共享接口问题，充分保证了系统的先进性、安全性、实用性、扩展性；为数字化校园建设提供了一个较好的信息共享基础平台，同时也为各类OAMIS、BBS、财务软件、银行业务的对接提供了一个标准、安全、友好、简便、适应性强的接口软件包，能成功对接第三方系统。三、系统网络结构3.1、网络结构图：3.2、结构说明：系统将服务器按照所存储信息的重要程度划分为两级：第一级别以统一身份认证服务器、中心数据库服务器等为代表，这一级别的服务器里存放着核心数据因而必须保证数据的完好，不能损坏；第二级别以信息发布服务器为代表，这一类服务器里存放的数据原则上只是可公开的统计数据，通常是由第一级别的服务器中抽取而来，连接到这类服务器上的用户只拥有查询权，不具备修改和更新的权限，因此在安全保护上级别较低。我们建议在园区中设立数据中心，将中心数据库服务器、应用程序服务器等划分在第一级别的重要设备放在数据中心之中，加以特殊的管理和严格控制，而信息发布服务器等第二级别的服务器可放置在方便的位置，这样系统才具备较高的灵活性。中心数据库服务器中存放着所有的交易数据，应用程序服务器中存放着正式发布的系统应用程序，构成基于三层架构的中间件系统。统一身份认证服务器由于地位特殊，既可放置在数据中心之内，也可以选择建立单独的机房来存放。数据中心中的所有服务器通过数据中心的路由器接口连接到园区骨干网，与数据中心之外的客户机进行通信。在外部网络与数据中心的局域网之间，设立网络防火墙和病毒防火墙，以防止可能的攻击行为和病毒传染。园区中可建立VLAN进行更为严格的权限控制。

系统性能指标指标项目参数备注系统容量系统账户容量1〜23L1应用子系统接入数量<=1024流水账保留天数400天系统平台中心数据库ORACLE8i/9i操作系统ScoUnix（汉字包）双机热备工作部操作系统Windows98/2000通讯管理模式可自定义式任务管理器通讯处理能力>10万笔/分实时交易处理能力>1000笔/分并发交易处理能力不限台数、笔数/秒脱机状况下帐务系统记账方式借贷记账法符合国家财政部标准记账精度0.01元应用软件软件程序结构多层（COM+）软件组件结构1+X积木化标准模式数据访问操作方式C/S,B/S结构，三层主干网系统主干网平台通信协议TCP/IP主干网结构星型拓扑主干网平台干线通信距离不限终端子网系统子网平台通信协议RS485子网结构总线结构子网平台干线通信距离1200米密钥系统密钥生存控制体系动态分配

数据保护EpassMD5哈希算法国家保密委认证加密签名算法DES/MD5/HASH等18种金融级卡片密码体系人密，卡16密，区密电话系统电话系统并发处理能力最多64路并发语音卡接口PCI/ISA第二方接入第二方接入接口方式无缝链接、有缝链接、不链接三种方式具有保证安全措施银校卡绑定银校卡绑定方式校园卡通与银行卡有机结合银校两卡物理分离或结合均可兼容转账系统银行转账方式自助实时、自动实时校园卡通之间转账支持充值系统充值机联网方式以太网，TCP/IP协议卡片充值方式实时转账、现金充值、自助圈存卡户系统持卡人部门级数可达13级持卡人身份种类>1024持卡人卡片使用类型可达256类商户系统商户账户最大容量>1万户可达13级商户部门等级补助系统补助领取限制不受时间地点限制补助充值时间最大不超过3秒终端机交易流水数据存储量2000笔/每台终端设备交易模式兼容联机/脱机交易模式应用程序升级方式嵌入式，在线下载兼容使用的卡型MIFAREONES50后备电源有（8小时）可由用户选择挂失挂失卡生效时间1-30秒/500台终端前提必须网络通畅五、系统特点•系统适用于大专院校和企业的大型数据管理平台。主要应用在学校的日常生活、日常工作以及与银行间的转帐业务中,能够完成从持卡人身份认证、权限控制到电子钱包、自动计费和在线支付等多项功能。系统还具备强大的管理监控能力，管理员能够灵活地设置各种用户身份和权限，能为使用单位提供实时而详尽的各项相关细节数据和统计数据，便于进行宏观决策和资源调控。系统实现了多种数据备份和灾难恢复功能，能够在最大限度上保证学校日常生活和学习秩序以及学生银行卡的资金安全。系统采取的技术方案具备技术先进、数据安全、运行可靠、系统效率高、可扩展性强和易学易用等特点。具体介绍如下：技术先进、为巨量用户提供强大的OLTP处理能力一卡通的后台采用关系数据库管理系统Oracle作为其数据库管理系统,能够最大限度地满足巨量用户并发处理的要求。由于系统采用了强大的后台数据库系统和高效的前端设备，从而能轻松地支持大规模企事业机构和政府部门的日常业务。随着院校规模的不断扩大，对于多校区联网的院校，消费者只需在任何一个系统上注册，就可以在联网的任何系统上消费、存款、取款。真正地做到一卡在手，走遍任何一个校区。5.1.2、良好的效率、易用性和可移植性本系统采用C/S＋B/S模式设计，其中C/S模式主要应用在各个子系统的管理终端与数据库平台的连接之上，能够确保管理终端与数据库平台间数据交互的效率；B/S模式主要应用在数据查询终端（包括触摸屏系统）和数据库平台之间的连接，能够使数据查询终端更加容易安装、配置和维护，其易用性也将更强。同时由于全系统采用模块化设计，还将具有良好的可移植性。5.1.3、统一身份认证整个校园。因此，校园卡理应能够作为每个用户的基本身份认证依据和标识符。从这个意义上来说，在构园卡的基础上实现统一身份认证，是建立真正意义上的一卡通系统的必由之路。统一身份认证能够对所有使用校园卡任何一个信息系统的用户进行身份识别和鉴别权，从而能够彻底解决在校园中存在多个不同的信息系统的情况下，对于用户身份和用户角色的识别问题和保证一致性问题。5.1.4、强大的数据查询和分析功能对于系统中存放的大量数据，一卡通平台提供了强大的数据查询和分析功能，以用于决策支持。系统管理员能够方便地自定义出需要的各式报表，并按照实现指定的时间间隔将相关报表数据发送至Web服务器与电话语音查询服务器上。用户能够通过电话查询、自助终端查询和Web方式查询等多种方式，查询本人账号和账目的信息。系统管理人员和决策分析人员能够在系统中实现对数据的查询、校对和分析等操作。由于系统采用上述设计方案，使得整个系统能够不受距离、速度、容量的限制，做到管理灵活、使用方便，使用人员仅需简单培训即可达到岗位需求。数据安全、运行可靠在一卡通系统的设计中，系统的安全性和可靠性被认为是最为重要的性能指标，因而在系统中采取了各种措施来保证系统数据安全、运行可靠。下面将本系统设计中的安全机制和故障恢复机制分为数据库安全性、网络安全性以及应用系统安全性三部分加以介绍。数据库安全性、严谨的数据库安全策略由于整个系统中的用户数据采用统一数据库系统进行存放，因此如果校园一卡通数据库遭到外来的攻击或产生故障造成数据丢失，后果将不堪设想，针对这些问题，本系统在设计上对数据库采取了广泛的安全防范措施。本系统中采用的安全策略能够做到当计算机系统发生故障（硬件故障、软件故障、网络故障和系统故障）影响数据库系统的操作，影响数据库中数据的正确性，甚至破坏数据库使数据库中全部或部分数据丢失，整个系统都将处于瘫痪状态时，仍能保证数据的安全、稳定，为用户提供正确的数据。Oracle数据库本身就能够采用数据库后备、日志、回滚段和控制文件几种方式保护数据，系统数据库运行在ARCHIVELOG（归档）方式下，归档日志存放于另一映像的逻辑磁盘上。每晚进行一次联机备份操作，备份所有数据文件、所有归档日志文件和一个控制文件。每周进行一次输出（Export）操作。除上述几种常见手段外，本系统中，在操作系统级，建议使用大容量磁盘阵列，通过磁盘映像技术使每一个数据库文件自动分布于每个物理磁盘。这样，当某个磁盘出现物理损坏时，操作系统会自动引发映像磁盘来取代失效的磁盘，保证数据库的正常运行。在服务器选型和配置上，建议使用双服务器进行热备份，在另一服务器上保留一个备份数据库。备份数据库与正在使用的数据库具有相同的参数状态，这样在数据库故障中，只需作必须的最少恢复，最大限度地缩短了恢复时间。同时系统将在多个不同的物理磁盘上保持多个控制文件的备份。控制文件在数据库恢复期间用于引导Oracle，因此保持多个控制文件的备份，可以确保在出现磁盘故障后，能有可用的控制文件用于数据库恢复。基于上述Oracle数据库的安全策略，无论在数据库系统之上发生实例失败、控制文件丢失还是数据丢失，都能够方便地实现数据库的恢复。、严格的数据库角色管理和权限控制机制对所有客户端按工作性质分类，分别授予不同的数据库用户角色；对不同的用户角色，根据其使用的数据源，分别授予不同的数据库对象存取权限。基于以上的安全策略，不仅可以防止非法用户访问数据库，限制合法用户操纵数据库的权限，而且可以使数据库在故障发生后，能够迅速恢复到故障发生前的那一时间点上，从而最大限度地保证数据的安全和整个系统的连续运行。网络安全性、设立专用VLAN一卡通系统的数据库平台连接在校园主干网上，为保证系统的安全性，尽量减少未受权的用户访问数据库系统及应用系统。一卡通平台在设计中采用静态VLAN技术，将所有需要访问数据库服务器的网络主机和终端设备，指定到交换机特定VLAN的端口之上，必要时甚至可以进一步将网络主机的MAC地址与固定的交换机端口绑定，从而杜绝其他无访问权限网段的用户登录和访问核心数据库服务器的可能性。、加密数据传输为保证在数据传输过程中不被窃听或嗅探，一卡通系统在设计时即内置加密模块，对所有应用子系统和数据库系统之间传送的数据均采用符合金融加密标准的MAC加密算法进行加密。一卡通系统与银行业务系统进行通信时必须通过签名确认。银行前置机采用双网卡，数据传送时也同样采用MAC加密算法进行加密。、按需拨号路由与银行间的连接将采用DDR（按需拨号路由）技术，以DDN链路作为主路由,以PSTN拨号作为候选路由，一旦主路由失效，候选路由将自动通过拨号建立，所需发送的数据报仍然能够通过候选拨号路由到达银行，确保数据发送的可靠性和安全性。、建立网络防火墙和病毒防火墙为保证中心数据库系统不被外界恶意入侵，不受病毒和木马的破坏，在中心数据库与外部网络之间，系统建议使用网络防火墙和病毒防火墙，以阻止外界进程对数据库服务器网络端口的可疑探测，拒绝特定的恶意访问,保护系统的正常运作。5.2.3、应用系统安全性、高安全性射频卡本系统采用的射频卡均具有唯一的序列号，制造厂家在产品出厂前已将此序列号固化，不可更改；射频卡与读写器之间采用双向验证机制，即读写器验证IC卡的合法性，同时IC卡也验证读写器的合法性；射频卡在处理前要与读写器进行三次相互认证，而且在通讯过程中所有数据都加密；卡中的每个扇区都有自己的操作密码和访问条件。、强大的终端脱机处理能力系统终端通过园区主干网与中心数据库服务器连接，因此，必须考虑一旦园区主干网由于故障或事故无法使用，如何保证使用者的正常消费。为解决这个问题，本系统中，POS终端既能够在网络畅通的情况下，实时地与中心数据库系统进行交互，也能够做到在出现网络故障时，脱机处理全部交易。POS收银机增设了存储记忆功能，一旦线路或计算机出现故障，POS机不仅能识别出伪卡，而且有效卡的消费数据也暂存在POS机中，每台POS收款机能存储2000笔交易数据。通讯线路或计算机修复之后，再传到主机中进行汇总，保证数据万无一失。上述整个切换过程完全对用户透明，从而可保证无论园区主干网是否有故障，数据库系统是否能够连接，所有通过POS终端进行的业务均能正常运作，不受任何影响。在本系统中，所有硬件（代购产品除外）如：前置机、窗口机等均具备脱机功能和掉电自动恢复功能。POS机自备UPS，即使电源或线路出现故障，POS机自动切换，系统也会照常工作，停电后收款机还可以工作8小时以上。、完善的同步机制一卡通系统要保证运行的稳定性、数据的安全性、信息的快速同步、线路及自然灾害的故障恢复、保证各部门的工作有条不紊，关键在于系统设计时是否能够尽可能多地考虑到这几个方面。鑫三强鑫龙一卡通系统在设计时就充分考虑到这几点,在每个子系统中都专门设置有信息同步与数据交换模块,以便发生故障时能及时恢复并确保数据不丢失。★下载中心数据库数据各个子系统的公用数据不仅存放在中心数据库服务器上，各子系统本身也可存放。该模块能够实时地从一卡通服务器获取最新公用数据更新本地数据库。在进行身份识别时可直接使用本地数据库,从而减轻对中心数据库系统的负担,降低了对园区主干网络的带宽需求。在网络出现故障或中心服务器不响应时，也能支持园区各项相关业务的正常运作。★上传交易数据：IC卡最大优点就是以卡为准，可脱机运行。但由于数据不实时上传也就会导致卡帐不平。我们这样实现优点就是保证数据实时上传到服务器。子系统不滞留数据。（网络不通除外）★交易流水的存放：各子系统的本地交易流水上传服务器后，流水仍然保留。用上传标志来区分是否已上传到服务器。这样实现的好处是，相当于又给服务增加了一层备份。当然服务器的正常备份是不可少的。5.2.4、独特的应用系统级数据恢复功能由于子系统本地也有公用数据库，因此当网络故障或发生自然灾害后，在进行身份识别时可用本地数据库，不影响各子系统的正常工作。由于子系统的本地交易流水即使是已上传给服务器，本地数据库仍然存在，用上传标志来区分是否已上传到服务器。因此即使服务器与备份服务器或备份数据均遇自然灾害或人为破坏，仍然可用本地交易