校园一卡通方案建议书

校园一卡通方案建议书内容摘要：

店、超市、书店、理发店、社区服务中心、洗衣店、复印店、各种场馆的消费。 身份识别：如图书馆出入、借阅图书、计算机中心、体育馆、游泳馆、操场、设备科、宿舍出入、教师上下班考勤、学生上下课考勤等。 这些卡的应用又分别于以下信息系统有关，它们是： 学籍管理 教务管理 机房管理 用餐管理 图书馆管理 医疗管理 物业管理 考勤管理 校内支付由此形成的状况是，学生手中有学生证、饭卡、借阅卡、银行卡以及电话卡等等，少则三四张，多则六七张，给学生日常生活带来了诸多不便。 由于现有的各系统采用不同的信息储存和认证、消费方式，学校不能做到统一管理，资源无法得到合理应用和共享。 IC卡由于具有存储容量大、安全性好、使用寿命长、方便卫生的特点，在金融、公交、社保、通讯等领域获得了广泛的使用。 在学校这样一个相对独立的环境中，IC卡完全可以替代原有的学生证、饭票、图书证等票证，实Page 8 of 83现消费、图书借阅、学籍管理和身份认证等功能。 为了提高高校管理的信息化水平，优化资源配置，启动“数字校园”工程，“数字校园”系统以校园网络建设为基础，以IC卡为介质，以校园管理中央数据管理系统为中心，外挂各种交易终端和管理系统，利用先进的信息化手段和工具，实现从环境、资源到活动的全部数字化管理，从而提高校园管理效率，拓展学校管理功能，实现教育过程的全面信息化。 校园一卡通系统是大学的一个重要的子系统和组成部分，系统以校园网和学校中央数据管理系统为基础，针对目前校园中使用的证件繁多、管理繁杂的情况而设计的，用一张卡代替学校目前使用的学生证、借书证、开门钥匙、上机卡、菜饭票等等，从根本上实现“一卡在手，走遍校园”的设想。 校园卡具有如下功能： 身份识别功能：可以实现对各种公共场所和关键部门的准入自动管理 电子支付功能：利用智能卡中的电子钱包实现学生食堂、上机、用水用电、乘车、以及其它消费场所的支付功能 学籍管理功能：实现新生注册、报到、选课等学籍管理功能 医疗保健功能：在学校指定的医院持卡看病 图书借阅功能：代替借书证实现图书借阅、归还等功能 电信业务：通过与电信公司签署代理协议，在一卡通中实现IP电话代理业务 增值拓展功能：校园卡今后可具有银行卡借记卡所有功能，金融IC卡功能，可以在校园卡上实现消费积分、代收费等增值应用 本方案为“校园一卡通系统” （以下简称为校园卡系统）建设的建议书，在方案建议书中，本公司总结多年参与一卡通系统建设的经验，根据校园卡系统建设的需求，就系统设计、工程实施、工程组织管理等方面提出全面的解决方案。 公司简介Page 9 of 83 系统设计原则作为一个校园一卡通系统，在进行系统设计时不仅要考虑到系统的技术先进性、功能完备性、运行稳定可靠，还要考虑到系统的安全性、可维护性和可扩展性等重要因素，具体体现在： 高度的稳定性和可靠性，在系统设备选型、网络设计、软件设计等各个方面要充分考虑可靠性和稳定性。 在设计方面，要采用容错方式进行设计，在设备选型方面，要保证软件、硬件的可靠性 技术先进性，信息技术发展日新月异，各种新产品，新技术层出不穷，每一个新技术的出现都对我们的生活方式产生极大的影响，对我们工作效率的提高起到极大的推动作用。 在投资费用许可的情况下，应当充分利用现代最新技术，最可靠的成果，以便使系统在尽可能长的时间内与社会发展相适应，这一方面反映了系统所具有的先进水平，又使得系统具有强大的发展潜力。  可扩展性 校园一卡通平台必须具有良好的可扩展性，通过与终端系统和外围系统提供的接口满足校园一卡通应用扩展和功能扩充的需求，在进行系统设计时应留有余量，软件系统具有良好的扩充性和可定制性 系统安全性，由于具有电子支付和门禁系统、学籍管理系统功能，校园卡的安全性至关重要，如果出现非法卡片和伪造卡片，不仅会造成一定的经济损失，还会给学校的日常管理带来很大的麻烦，因此必须采用数字加密等安全技术保证校园一卡通系统的绝对安全 可维护、管理性 由于校园卡系统涉及的面比较广，系统必须具备高度的可维护和可管理性，日常维护工作必须操作简便、易于理解，异常处理必须及时、有效 规范性，为了保证系统的开发性及扩展性，系统在进行系统设计和设备选择时尽量参照通用的标准和规范进行 系统特色校园一卡通系统具有如下主要特点： 真正的“校园一卡通 ”系 统， 应该实现“一卡一库 一线”。 即所有的一卡通应用功能在一个统一的数据库基础上进行，而不是某个模块Page 10 of 83采用一个数据库，然后在完全不同的二套或更多套软件进行一些数据的导入和导出功能。 这样对系统使用者来说将会带来很麻烦，如一同学的卡丢失或补办，要到每套系统都要去重复办理麻烦的手续。  采用三层体系结构，目前,国内的校园一卡通系统都仍然是传统两层的客户端／服务器结构（C/S结构），部分系统甚至是桌面数据库的单机版本。 随着信息技术的不断发展，尤其是近年来Inter/Intra的兴起对于企业运作的方式有着极大的影响。 传统的C/S结构已经远远满足不了发展的需要，软件的三层结构在“校园一卡通 ”系统的应用 实现了真正意义上软件模 块化，更加安全可靠的网络数据传输机制，并可同时兼容多数据库平台。 三层软件结构具有良好的扩展性，使系统的安装、升级更为方便。  系统采用实时的通信方式和兼顾终端设备脱机交易的互补性，各个子系统和交易终端均可实现与校园一卡通系统的实时通讯。 这种方式不仅能保证系统数据库的数据的完整性和真实性，而且能实时有效的黑名单管理，避免因卡片丢失而造成的风险。 一旦发生网络中断，某些终端设备必须能完成脱机交易，且将数据保存于本地，待网络恢复后，再将数据上传。 如售饭POS 机等。  系统的安全性高，本公司长期从事IC卡产品的研制和开发工作，具有丰富的经验和完善的安全产品，系统采用严格的安全分级管理措施，采用IC卡进行身份认证和用户权限管理，能有效的避免对系统的非法攻击和越权使用，采用数据加密技术和安全认证方Page 11 of 83式保证应用和卡片的安全性，并采用“黑名单”管理措施，避免了对校园卡的非法复制和伪造。 我们的解决方案和对策鉴于校园卡，交易金额小、交易量大、速度要求快及使用环境恶劣的特点，以非接触式卡Mifare1为载体是最好的选择，但是Mifare1是逻辑加密卡，安全性非常有限，为了充分发挥Mifare1的优点，克服其自身的不足，我们公司在总结多年为公共交通、银行、社保、电信等领域开发IC卡系统的经验，提出类CPU卡的概念，通过定义卡片结构与相配套的密钥系统、终端交易规范和结算机制，实现一卡一密、一交易一密、交易电子签名、卡片存放交易记录，从而实现通过Mifare1实现模拟CPU卡系统的安全性、有效性、完整性。 本系统采用数据大集中的方式来进行管理，所有的交易数据都上传至系统系统中央主机进行处理。 尽管采用了类CPU的技术大幅提高了系统的安全可靠性，但是与严密的银行系统相比，在记录的完整性方面还是存在一定的差距。 与目前国内许多校园卡系统集成商对此问题讳莫如深不同，我们一方面在技术方案上实现绝对保护学校和银行的利益和安全，另一方面在校园卡的日常实施和管理过程中我们也可以为学校和银行提供一些行之有效的管理建议，从制度上保证使用方的利益。 在技术实现，我们采用两级结构体系，消费记录由消费管理终端采集后在食堂管理人员处进行第一次的过滤、整理与统计；然后交易记录上送到学校校园卡主机，学校校园卡主机按照银行卡类似处理流程对消费记录进行第二次过滤、整理及结算，形成各帐户已结算消费清单和未结算消费清单，更新校园卡主机内的各帐户信息。 在该体系结构中，提交给主机的消费记录在各管理终端中已经经过预结算处理，而且把由于各种各样原因的异常记录已经剔除出来，所以进入主机系统处理的数据是绝对正确和完整的，保证了主机帐务系统的安全性和完整性。 对于在校园主机中未通过结算的数据，系统也会进行汇总并与结算对帐表格一起交给客户，由客户进行核对。 此种方式最大限度保证了银行、持卡人、商户的利益，方便了学校的管理，同时将商户与银行之间发生矛盾的可能性减到了最低。 同时，我们系统这种良好的体系结构，整个系统已变成一个通用的产品，具有非常好的移植性。 主机系统通过校园卡前置机连接很多个不同地点的校园卡系统或类校园卡系统，并能实现各子系统之间的互通互用。 Page 12 of 83Page 13 of 83第 2 章 系统总体设计本章节基于本公司对用户需求的理解，对贵校校园卡系统结构、软件组成、系统架构、IC卡结构等进行了总体设计，方便用户对校园卡系统进行整体的、全局性的了解。 系统设计原则校园一卡通系统是一个与校内、校外网络同时连接，提供多种类型服务，并且可扩展的网络应用平台，一卡通中心网络具有下列特点： 安全性 网络系统应具有良好的安全性，由于校园一卡通系统对内连接校园网，安全管理就显得尤其重要。 应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。 还有数据包是在公众网传送，因此，必须有良好的数据安全保密机制。  稳定可靠的网络 只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素。 校园一卡通中心关键机器之间应采用独立的局域网，以保证网络连接可靠。 服务网点可在脱机方式下运行，在应用层上防止网络故障。  易扩展的网络 系统要有可扩展性和可升级性，随着业务的增长和访问量的增加，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。 易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性，只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展，无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。 系统架构在校园网的基础上，将“校园一卡通”网络建设与现行校园网设施有机Page 14 of 83结合，另外建设“一卡通”专用网。 校园一卡通系统按功能可分为三个层次： 综合管理中心 子系统管理层 前端应用控制层。 整个系统基于客户/服务器模式，支持多种网络协议。 为了保证系统的稳定性和可靠性，系统服务器采用双机热备份的方式。 服务器中除安装有系统平台软件及数据库以供网络各终端共享之外，还可提供诸如文件共享、打印共享以及系统安全保护等网络功能。 综合管理中心整个系统应用和安全的核心，负责对所有挂接的各个子系统进行数据管理、卡片初始化、发行卡片、退卡、挂失、销卡及黑名单管理、帐务管理等。 同时，系统管理中心还负责整个系统的设备管理、安全管理、数据库维护等工作。 除了管理中心和帐务管理子系统之外，系统还包括学籍管理子系统、上机管理子系统、消费管理子系 统、 门禁管理子系统、图书 借阅管理子系统、医疗管理子系统，所有子系统均通 过校园网挂接到服务器，进行统一管理。 整个系统的示意图如下：Page 15 of 83 网络解决方案网络的安全是指对计算机网络的脆弱性而采取的相应保障措施，由于“校园一卡通”网作为整个校园多种应用的核心，决定了必须将网络的安全和可靠性放在十分重要的位置。 针对大学校园网的校内公开性和开放性，为了确保整个一卡通系统的安全和保密性，我们以虚拟专用网的形式来实现了整个系统的联网。 自 助 查询 终 端机 房 计 费 管理 系 统 食 堂 消 费 管理 系 统 门 禁 管理 系 统 图 书 借 阅管 理 系 统 领 导 查 询系 统学 籍 (考 勤 )管 理 系 统 密 钥 /卡务 管 理 系统 帐 务 管理 系 统 主 、 备 用 服务 器 UPS系 统 管 理终 端 体 育 娱 乐 管理 系 统 医 疗 门 诊系 统校 园 骨 干 网打 印 机Page 16 of 83 考虑到不同校区卡务管理的需要，方便师生的发卡、充值、挂失、解挂及其它一些有关卡的日常操作和使用，系统在不同校区均专门各设置校园卡管理终端。 不同校区的管理终端通过VPN的方式接入主校区的校园卡管理中心。 PWROKWIC0AT/HCT/1WIC0AT/HCT/1ETHACOL校 园 卡 服 务 器 服 务 器X校 区 校 园 网X校 区 校 园 网VPN路 由 器带 VPN CLIENT消 费 管 理 终 端带 VPN CLIENT消 费 管 理 终 端系 统 管 理 终 端校 园 卡 服 务 器 网 管 中 心 路 由 器 服 务 器学 校 网 络 中 心校 园 卡 管 理 中 心带 VPN CLIENT卡 务 管 理 终 端密 钥 管 理 系 统带 VPN CLIENT门 禁 管 理 终 端 带 VPN CLIENT门 禁 管 理 终 端带 VPN第 三 方 管 理 终 端Page 17 of 83 银行接口为了实现银行账户与校园内部之间的资金划帐转移，本系统采用圈存机来实现银行与校园之间的接口。 学生（或家长）将钱存在校园卡的银行账户内，当需要使用的时候学生通过圈存机将银行账户的钱圈存到学校账户和校园卡上，学生就可持卡在校内消费。 此时，相应的功能和管理就由学校来实现，银行和学校之间只须确保圈存的记录和金额一致即可。 /PSTN银行前置机 银行主机圈存机 校园主机银行网络校园网络NACPage 18 of 83 系统数据传输架构“校园一卡通”系统的数据传输分为五个层次，即交易数据的采集、转发、传输、处理和应用。 各类终端设备以标准的RS485通信接口收集上传的交易数据，通过串口通讯联网设备，将RS。