技术成果鉴定资料之二
鉴定项目: 山东大学数字化校园建设项目—校园卡系统工程
题 目: 技术总结报告
山东大学信息化工作办公室
哈尔滨新中新电子股份有限公司
山东大学数字化校园建设项目
— 校园卡系统工程
技术报告
一、系统的设计目标
2.1目标定位
校园卡系统的目标定位为:
l 将校园卡系统纳入到数字化校园的整体规划中,充分考虑校园卡作为一个公共的信息平台和核心的应用,信息的格式标准要遵循《教育部管理信息化标准》有关内容,便于进一步信息交换、共享。
l 要充分考虑借助已有的校园网、网络中心基础设备,主流技术要考虑与数字化校园整体主流技术相吻合。
l 要将校园卡的平台建设成一个安全、可靠、实时、高效、精确的平台,未来一段时期内,在网络任何位置扩展任何类型、任何数量的应用子系统,都不需对平台进行扩充,甚至重新建设。
l 要全面体现作为银行在校园特殊环境下的金融结算系统的特点,从系统结构、安全体系、可靠性强度、业务模式、数据流程等方面都要与金融信息系统相一致,系统采用金融强度的硬件加密措施来保证接入的合法性与传输的安全性。
l 要全面体现网络化、自助化、自动化的服务特点,充分利用自助终端、触摸屏、网站、电话等信息化现代手段,转变以往的以人工服务为主的模式,采用以自动服务为主、人工服务为辅的模式。
l 建立统一的第三方产品接入模式,将该服务作成一个标准产品,采用封装技术,将涉及到卡片管理、身份识别、消费结算的功能统一封装到系统底层,方便各种已有信息管理系统的接入。
l 要充分体现真正意义上的校园卡,同时做到功能、地域、时间上的彻底三通,能够做到无论是商务消费还是身份认证都能连通,无论在校园网的任何地方都能接入、连通,不受位置、数量的限制,无论任何时间都能提供服务,一处挂失,全网各处立即生效,消费流水信息可以及时查询。
2.2主要功能
系统的主要功能从以下几个方面进行论述:
数据中心平台
系统平台
各应用子系统平台
第三方系统接入
其他功能
2.2.1 数据中心平台
校园卡系统的数据中心平台,由校园卡数据中心、综合前置机系统、查询前置机系统、身份前置机系统、银行转帐前置机系统组成。
1、校园卡数据中心
校园卡系统数据中心采用双机热备方案,磁盘阵列柜提供数据共享。操作系统数据中心采用最安全的Solaris 9操作系统平台、ORACLE数据库系统存放中心数据,达到C2级安全标准。校园卡系统中心的电子钱包平台和身份认证平台相分离,电子钱包平台负责所有与金融相关的业务,身份认证平台负责持卡人所有与身份相关的业务,对于二者的结合,数据中心提供信息同步程序,是持卡人的身份信息与其相应的持卡人账户相对应。
2、综合前置机系统
综合前置机系统负责向各应用子系统分发密钥,同时监控各应用子系统的接入请求。综合前置机还负责系统白名单的同步、持卡人补助的下发、各种卡片的制作等相关操作。
3、查询前置机系统
查询前置机系统由四部分组成:网站查询、触摸屏查询、语音查询。网站查询系统提供持卡人可以在任何接入校园网的终端设备上进行持卡人信息的查询,极大的方便了持卡人对于个人账户的监控。
4、身份前置机系统
负责身份管理子系统的接入和身份管理系统的维护,进行身份的统一认证和管理。
5、银行转账前置机系统
银行转账前置机系统是实现把银行账户的资金转入到校园卡的资金账户中,提供两种转账模式:自助转帐、自动转账。自助转帐是持卡人可以在遍布校园各处的圈存机上实时自助的进行银行卡和校园卡之间的转帐;自动转帐是经持卡人授权,由银行转账系统通过相关的程序控制,自动对校园卡账户内少于一定金额的账户进行发起银行转账的申请,批量进行银行转账,可以达到实时触发转帐,持卡人在不消费的情况下到消费终端上就可以领取相应的转账金额。
银行转账系统主要实现功能如下:银行卡向校园卡单向转帐;银行卡帐户余额查询;校园卡帐户余额查询;更改校园卡帐户密码;更改校园卡消费密码和查询密码;校园卡账户的挂失、解挂;利用校园卡进行代缴费用等。
2.2.2 系统平台
综合业务管理系统:主要负责持卡人、商户账户和帐务处理,各种报表的打印,以及日常系统的维护。
身份管理系统:主要负责发卡人信息的收集、整理、录入工作,并对持卡人信息进行确认和审核,只有通过信息审核的持卡人才能够给予办理校园卡,当身份信息发生变化时进行身份信息的维护。
可以以卡代证,卡面印有持卡人身份信息和照片,在校园内作为身份证件使用。在卡内存储有个人身份信息数据,校内所有需要识别个人身份信息的应用子系统都可以使用卡。
2.2.3 各应用子系统平台
各应用子系统平台,由商务管理系统、现金充值系统、上机管理系统、医疗管理系统、门禁管理系统、游泳馆管理系统、通道机管理系统、学籍管理系统组成。
1、 商务管理系统
商务管理子系统又分为集中商户消费和零散商户消费。对于集中商户消费的情况,采用商务网关的连接方式,所有消费窗口机都和商务网关相连,商务网关能够提供商户的消费餐累和日累报表,商户可以根据这些报表和综合业务系统所统计的商户报表进行核对,可以保障系统帐务的透明和可靠。对于零散商户只要这些点可以接入校园,就可以使用以太网POS进行消费,以太网POS可以打印出每一笔的交易明细以及最后的统计报表。
2、 现金充值系统
在每个校区设立校园卡管理分中心,为持卡人提供现金充值服务,学生可以直接在那里进行现金充值。现金充值员由信息办的相关人员来进行操作,所收的现金直接进入到银行,有利于资金的回收管理同时也方便了学生校园卡的使用。
3、 上机管理系统
校园卡可以取代原有的上机卡,只要在上机的时候在控制台上进行刷卡,通过了身份确认后,只要在客户端输入持卡人的账号、密码就可以上机。
4、 医疗管理系统
校园卡可以取代原有的医疗卡,持卡人在进行就诊的时候只要持校园卡,在通用读卡设备上进行读卡,通过身份验证后就可以进行挂号交费等相应操作。
5、 智能控水子系统
校园卡替代了澡票,自助洗浴取代了人工收费,系统实时通讯、实时结算,按出水时间计费,通过软件、控水器、电动阀门、卡片等装置,实现持卡人先购水、后用水、多用多收、少用少收、无费阀门自动关闭、停止供水的科学管理方式。系统变人工收费为自助收费,实现收费自动统计;控水器和阀门分体安装,便于使用者刷卡和观看余额;
6、 图书管理子系统
校园卡取代了借书证,通过在图书管理系统客户端的通用读卡装置上刷卡,进行身份认证,并办理图书借阅等功能。
7、 通道机管理系统
在图书馆、电子阅览室等公共场所为了控制人员的进出,或者是指允许制定的人员进入的地方,设置通道机,通道机的控制器可以根据用户的需求选择采用白名单方式还是黑名单方式或者是指定名单的方式进行控制,只有符合条件的人员才能够通过通道机。
8、 电话业务系统
校园卡取代了电话卡,本系统通过与铁通合作,校园卡持卡人在济南的任何一步铁通电话机上只要输入校园卡卡号和密码,并通过校园卡系统的合法性认证,即可直接拨打市内或国内、国际长途电话。
2.2.4 第三方系统接入
由于山东大学在管理方面已经应用了较为成熟且专业的应用管理系统,如:图书管理系统、上机管理系统、医疗管理系统、教务管理系统等,并且一些专业的生产厂家在某些方面已经开发出了较为成熟的应用系统,为了保护客户的前期投资和系统的平滑升级,校园卡平台提供“通用第三方接入套件”产品,与其他方产品耦合成一卡通系统。
通用第三方接入套件由硬件加密卡、通用读卡器、服务驻留程序组成,对于需要接入校园卡平台的系统,在计算机中插入PCI总线的硬件加密卡,接入通用读卡器,只要是在windows平台下,安装服务驱动程序,在系统底层就驻留了连通校园卡中心数据库提取持卡人信息、回传消费流水账、自动维护白名单信息的程序。第三方子系统只要能够调用该服务程序就可以成为校园卡平台系统中的一个应用子系统。
对于无法进行对接或者联网不方便的地方,可以采用小钱包的方式来实现与校园卡系统的对接。
2.2.5 其他功能
1、使用非接触式的加密IC卡,采用感应的方式读写。
2、商户资金可以当日结算,隔日到帐,达到T+1的速度。
3、交易流水及时上传、入帐,离线信息查询可以在5分钟以内更新。
4、可以通过触摸屏、电话、网站、自助终端等形式为持卡人提供查询、挂失、解挂、修改密码等功能,挂失、解挂在系统内实时生效。
2.3主要性能
2.4主要特点
Ø 数字化校园中的重要有机组成部分
Ø 真正意义上的校园卡
Ø “金融化”架构设计贯穿于整个系统
Ø 校园网上金融级别的安全性
Ø 独特的实时性设计
Ø 独特的黑白名单共用机制
Ø 方便灵活的组合性、兼容性设计
Ø 丰富的可扩展性、良好的开放性设计
Ø 强大实用的校园卡、银行卡功能
Ø 提供全方位的理财服务
Ø 量身定做的、一体化完美设计
Ø 全天候运行、可在线维护的高可靠性设计
三、系统的总体方案
3.1银校标准架构
我们采用与银行业务系统相似模式的设计,具体体现在如下的三个方面:
Ø 技术体系
在体系架构上采用银行业务系统的系统架构:
在安全性、可靠性、实时性的实现技术上,充分使用了银行业务系统中的最新技术。
Ø 管理模式
系统的管理模式与银行业务系统的模式相同:
² 商户:校内各类商户都开立商户账户,并将他们按集团账户的模式分级;
² 业务模式:设置为持卡人、授权商户、系统管理方三方利益模式;
² 记账方法:采用标准的借贷记账法;
² 业务划分模式:与银行业务系统的划分模式相同,系统运行与安全监控等技术性强的业务由数据中心承担,持卡人的各项服务由身份管理子系统承担,商户管理、资金清算业务由综合业务子系统承担。
Ø 业务接口
校园卡系统通过专线将转账前置机与银行端的前置机相连,形成与银行系统的实时高速通道,银行卡与电子钱包、银行账户与电子钱包账户之间可以实时转账,共享黑名单库等等。
金融化校园卡系统具有其独特的特点:即每笔交易额度小,但总交易量大、高峰期明显、使用环境恶劣,对系统的特性要求与银行卡系统相似,但却不完全相同。
3.2 系统组织结构
1、为综合业务、电控、水控、考勤门禁、银行转帐、语音业务、网站业务、上机管理、第三方接入等提供相对完善的互连解决方案;
2、为山东大学日益复杂的资金流、信息流提供相对全面的商业化解决方案,对深层次的资源整合及跨公司合作进行有益的尝试;
3、 开发环境的整合:发挥各种开发工具的优势,避开其劣势;
4、 构造清晰的软件体系结构,设计结构级的容错手段;金融信息与管理信息区分开,内核与外部应用、展现逻辑区分开,力图构造微内核、高可靠性、高可扩展性、高适应性、高可伸缩性的系统,同时利于故障的局部化;
5、 秉承信息局部化原则,中心平台(中心控制台)只管理各系统的共性信息,与具体应用密切相关的管理逻辑和展现逻辑由各系统自主管理,此策略将避免互连中心陷入无休止的细节内或纠缠于大量的特性信息中;剔除不必要的易变逻辑将提高了互连中心的通用性、可靠性、适应性和可维护性;各子系统所能互通的是一小部分通用数据,这就是所谓共性;很大一部分子系统内部的专用数据是难以互通的,这就是所谓特性;系统互连的根本目的是互连各子系统的共性通用数据,而非纠缠它们的专用数据与逻辑;
6、 持久流程与易变流程区分开,将全局的、通用的、持久的基础逻辑集成进内核中,将局部的、个性的、易变的应用逻辑建在外层;此处所谓的易变包括横向和纵向两个方面,横向易变是指不同用户的需求相差甚远,而纵向易变是指某些需求很容易时过境迁;此策略将削弱不断变化的市场需求对互连系统的冲击;
7、 采用信号驱动模型、多级任务队列和多线程等技术提高系统的并发性,采用数据库核心子集常驻内存映像和写直达等技术大幅度提高系统的响应时间,采用签名机制防止通用数据库中的数据和通信网上的数据被撰改,采用内部双向认证的方式实现主程序和动态链接库间的双向身份识别和权限验证以避免针对内部的攻击,采用受控存取设备降低静态密钥泄漏的风险;采用松耦合方式互连,实现点对点的隔离加密信道,大幅度提高了整个互连系统的抗攻击性,并将遭受网络攻击的风险局部化、短暂化;
8、 所有的帐户数据存放在校园卡管理中心, 各个子系统可以从中心获得系统的基础信息,如帐户、部门、身份等,可以向中心提交交易,如查询,消费等,可以获得系统的流水,用以同步自身帐户。子系统本地保留自身的管理数据,来完成系统功能。
9、 采用白名单和黑名单共用的机制对系统进行设计,系统的白名单最大容量可达到100万条,黑名单系统的最大存储容量达到5万条,根据具体的需求来决定采用哪种方式。
10、 系统体构第三方接口,包括交易、读卡器、加密卡等API函数,第三方系统通过该接口可以接入校园卡系统,从而系统功能得以扩展
3.3 软件版权控制机制和硬件加密技术
3.3.1软件版权控制机制
校园卡系统由多个子系统组成,运行在校园网之上,接入并共享校园卡平台提供的资源,为了保证每一个子系统接入的合法性与安全性,系统采取了严格的控制流程。
1. 发放申请流程
公司的软件授权管理平台以销售合同为依据,制作用户授权卡片。
2. 授权卡首次发放
Ø 将授权信息写入系统授权卡中。
Ø 在用户现场安装中要求运行银行、学校密钥授权程序,结合公司卡片授权代码生成学校的卡片密钥和数据传输密钥写入系统授权卡片中。如果没有授权过程则不能进行后续的操作。
Ø 在证书发布平台上进行子系统证书的发放。根据授权卡中绑定的处理机号制作子系统授权证书。
Ø 在校园卡软件安装过程中要求输入软件序列号,序列号从证书中读出,比较一致性。
每一个子系统都要通过系统授权、系统认证才能接入平台,使用校园卡资源。
3.3.2防设备欺骗的硬件加密卡
每一个需要接入系统平台的子系统,都需要配置一块PSAM加密卡,该加密卡可以保证重要数据存储的安全。
3.3.3动静态密钥双重认证
系统内部有两种密钥,静态密钥和动态密钥。静态密钥用于签到,通过签到来获得动态密钥;动态密钥用于除签到外的其它交易。动态密钥随机产生,每次不同。
针对不同用户产生不同的用户授权文件,由公司的授权卡产生系统的根密钥,根据根密钥产生子系统静态密钥,子系统签到时,由中心(前置机)根据根密钥,随机数和一定的运算规则产生签到子系统的动态密钥,用于和子系统之间进行后续的交易。
交易:经过认证后的子系统才能与中心数据库进行交易。如果不进行认证就进行交易申请,后台不会接受。
认证过程全部由校园卡统一接入接口自动完成,对子系统而言是透明的,并没有因为流程的复杂增加子系统接入的复杂度,但是通过以上措施却严格保证了子系统接入的安全。
3.4 银行转帐与现金充值(二期)
银行转帐与现金充值完成系统充值功能,银行转帐包括自助实时转帐和自动实时转帐。
1、自助实时转帐:持卡人利用自助终端(即圈存机)完成银行卡向校园卡的资金划转。
自助实时转帐流程
自动实时转帐:持卡人不参与,系统根据持卡人设定的转帐条件产生转帐申请,实现银行卡向校园卡的资金划转。
自动实时转帐流程
现金充值:通过以太网POS和前台业务子系统实现现金充值。
现金充值流程示意图
补助发放流程:由于采用了电子钱包方式,发放的补助需要后期写入卡片,流程如下:
补助发放实现流程
3.5 自助查询与增值服务
自助查询包括面向持卡人的网上查询、触摸屏、电话等系统,和面向管理者的领导查询系统。其中网上、触摸屏查询采用B/S结构WEB页方式,电话子系统采用C/S结构。
l 查询体系结构图
l WWW查询服务流程图
利用查询服务器,继续采用WEB服务方式,B/S结构,可以开展后续增值业务,如校内网上购物、票务预定等,为学生提供更方便更高效的服务,为一卡通的运营者带来利润。
l 电话查询流程图
3.6 商户管理与会计业务
校园卡系统结算通过综合业务来完成。
3.7 持卡人综合业务管理
持卡人可在综合业务系统办理开户、撤户、挂失、解挂、解冻、换卡、持卡人帐务等手续。所有数据全部来自后台数据库。
3.8 第三方产品接入方案
目前一些单位在管理方面已经应用了较为成熟且专业的应用管理系统,如:图书管理系统、教务管理系统等,并且一些专业的生产厂家在某些方面已经开发出了较为成熟的应用系统,为了保护客户的前期投资和系统的平滑升级,校园卡平台提供“通用它方接入套件”产品,与其他方产品耦合成一卡通系统。
通用它方接入套件由硬件加密卡、通用读卡器、服务驻留程序组成,对于需要接入校园卡平台的系统,在计算机中插入PCI总线的硬件加密卡,接入通用读卡器,只要是在windows平台下,安装服务驱动程序,在系统底层就驻留了连通校园卡管理中心数据库提取持卡人信息、回传消费流水账、自动维护白名单信息的程序。它方子系统只要能够调用该服务程序就可以成为校园卡平台系统中的一个应用子系统。
3.9 典型商务系统交易流程
持卡人在普通收银机或以太网POS上进行消费。
在普通收银机消费流程:联机时,卡片内的卡片信息经POS传输到商务网关,商务网关根据白名单进行卡片的有效性检查,如果卡片正常,则可以进行消费,消费流水经商务网关上传到后台数据库;脱机时,黑名单下载到收银机中,如果卡片的合法性检验通过,则可以进行消费,消费流水保存在收银机,在恢复网络连接后,流水经商务网关回传到后台数据库。
在以太网POS机上进行消费:以太网POS内有白名单,无论在联机或脱机时,都以白名单为准,进行卡片合法性检验,如果卡片状态正常,可以消费,消费流水直接由以太网POS回传到后台数据库。
3.10 典型身份识别控制流程
通道机系统是典型的身份识别系统,持卡人在通道机上刷卡,卡片信息传送到通道机控制系统,系统验持卡人的身份有效性,并发送控制信号到通道机,允许通过或不允许通过。
3.11 典型混合型应用控制流程
医疗系统是一个混合应用的系统,持卡人刷卡后,医疗系统需要对持卡人身份进行校验,如对应不同的费率。持卡人利用卡片进行结算。
四、系统特性的论证
4.1 系统业务量的计算
全校持卡人达到近4.5万人,考虑进一步的发展,人数应该预留到10万人,预计平均每人持卡消费6次,每天有80%的人数参与消费,则目前每天要发生:
45000×6×80% =21.6万笔交易流水,
每笔流水系统存储在中心数据库平均为100字节,
21.6 万 ×100字节/条流水=21.6MB(每日)
以ORACLE 9I的数据库存储能力,完全满足;
当系统帐户数量达到10万时:
仍能满足数据存储要求;
由于高峰期突出,这些交易大约集中在三个小时内完成,则要求系统每小时处理7.2万笔,相当于每分处理1200笔,当为10万人时,要求每分钟2667笔处理能力,中心服务器处理能力为3000笔/分,完全满足实际需要。
4.2 系统实时性的计算
网络带宽:按每分钟1200笔流水计算,每秒20笔,流水每条50字节,则网络传输速率应不低于8kbps,考虑到系统数据传输峰值和有效数据在传输中所占的比率,干线带宽不能低于100kbps,系统才能正常工作。
白名单同步:全部白名单10万条记录,每条记录16字节,共计1.6MB,10Mb网络,全部重传需要时间为1.28秒。全部子系统重建白名单在3分钟内完成;
4.3 系统安全性的论证
4.3.1 系统安全的策略
1、系统性:校园卡系统的安全需要按系统工程来建设,保障。
2、完整性:系统涉及到的每一个环节都要考虑安全特性。
3、针对性:在系统薄弱环节作特殊处理,以提高整个系统的安全系数。
4.3.2 硬件实体的安全性
l 传输的数据采用加密形式,保护敏感信息。防止非法截取,破译。
l 采用金融安全处理器为核心器件的加密卡,存储密钥等信息。
l 数据中心的建设:数据中心机房应设立在防水、防火、防盗的场所,环境温度湿度稳定,清洁。
l 系统运行与管理需要建立严格的规章制度,机房的管理人员必须严格按照操作手册和运行规范来进行日常的操作,数据备份,系统检测。
4.3.3 数据中心的安全性
1、数据的存储和数据的访问控制方面:
l 操作系统方面的安全,它从根本上保障数据库的安全:
Ø 从用户的访问控制和文件的访问控制:Solaris是一个真正的多用户操作系统,它在用户控制和文件访问控制方面的独到之处是被业内人士所公认。
Ø 病毒方面的防患:Solaris操作系统,直到目前还基本未发现病毒。
l 数据库系统方面:
访问控制方面:
Ø 数据库的访问控制:ORACLE的访问控制共有三种:主机操作系统验证、网络验证、数据库验证。
Ø 用户对数据库对象的访问权限控制。
Ø ORACLE数据库多种数据备份方式,尤其是在线数据备份可保证系统7*24小时的运行;可靠支持机制可实现数据库系统的快速灾难恢复,确保数据的绝对可靠
数据库模型设计方面:
Ø 设计数据库表时将重要数据同普通数据存放在不同的表中。
Ø 重要的数据库表使用电子签名(防止有意纂该数据)
Ø 建立必要的视图,以隔离一些重要数据。
Ø 设计必要的日志跟踪
4.3.4 数据安全
在数据的安全上,我们采用如下方案:
1、 所有接入计算机上采用硬件加密卡,凡是涉及加、解密运算都要从加密卡中取密钥;
2、 数据在传输的过程中均为密文,在这个系统中我们将采用不少于三种加密算法,并且运用于不同方面。比如说对一个报文,会同时采用:1、基于MD5的网络签名段加密,2、基于DES64的数据段加密,3、有基于CRC32和DES64的MAC段校验。此外当涉及到用户密码3、或与钱额有关的交易还采用了基于MAR128的加密算法。
3、 通信点均采用动态密钥的方式进行通信,也就是说每两节点所采用的加密密钥均不相同。而且动态密钥是随机产生的,它与当时机器运行所处的状态有关;
4、 对于通信的机器,我们还采用了限制IP访问方式。没有在本系统内注册的IP地址均得不到服务响应。这样攻击者将无法做猜测攻击。
4.3.5 网络环境的安全性
l 采用VLAN划分,保证校园卡逻辑隔离;
由于交换技术的出现,才使VLAN技术得以实现,而VLAN技术对网络的发展又起着举足轻重的作用。VLAN的优势之一就是保证系统的安全性。因此,可以按照系统的安全性来划分VLAN。
VALN划分方式
1、基于端口的划分 2、按MAC地址定义
3、基于网络层的虚拟网络 4、通过IP广播组划分
通常使用基于端口的划分, VLAN的具体划分方式需要与网络中心协商决定。
l 加密校验数据
对于在网络上的TCP/IP通讯,我们采用直接Socket底层编程,MD5签名信道,在数据发送和接收时都采用数字签名,保证不被更改。
加密方法更关键的是,我们对数据传输与存储环节中的加密算法所使用的密钥和关键的加密算法实行了硬件安全措施,这些密钥和关键加密算法全部存放在ISA/PCI总线的硬件加密卡中,卡中采用PSAM安全加密处理器作为核心器件,因其上的数据是随机打乱存放的,具有防破译自毁开关,是中国人民银行认可的安全处理器,从而保证了金额数据在网上的安全性,也能保证与银行信用卡业务系统的紧密联接。密钥采用动态形式;
4.3.6 银行转帐安全性
采用设立银行网关方式,双网卡隔离网段,杜绝校园网内部对银行网络的访问,仅银行转帐前置机可以访问银行网络。
4.3.7 应用系统的安全性
l 用户管理、权限分级、程序资源、操作权限分配等方面设计了严密的机制。
l 操作员登录控制:操作员卡验证身份,密码控制。
l 所有操作日志跟踪,追溯责任人。
4.3.8 卡片的安全性
l 卡片的安全原则
1. 应用中采用一卡一密的加密机制、防止被盗滥用。
2. 加入公司专用标识,采用专用算法,有效地防止伪卡。
3. 采用DES专有混合算法,形成一套有效的卡片密钥管理机制。
4. 采用公共、独立的信息共享区,形成一种统一而又分而治之的数据管理策略。
5. 对系统内卡片采用分类管理,授予不同权限和功能,增强安全性。
l 卡片内的安全管理
数据区密钥控制原则:卡片内采用每扇区密码控制的原则,即对不同的数据区采用不同的密钥进行控制。
将数据区分为两类,校园卡数据区和个性化子系统数据区,校园卡系统数据区采用卡片注册时生成的密钥进行读写控制,对于个性化子系统,采用我校校园卡密码,在建立该子系统时,更改该控制密码,可分为三类进行管理:
1、根据我校校园卡系统密钥生成原则,可直接接入校园卡系统;
2、由第三方进行升级:可以通过更换密钥,更改子系统扇区的读写密码,第三方产品提供最终的生成密钥给子系统专用读卡器,由读卡器控制该卡的读写权限;
3、向第三方公开该数据块,全部由第三方控制读写。
l 通用发卡流程
1、卡片出厂:卡片在出厂时根据卡片厂家代码、新中新公司标识、卡号等通过加密算法生成我公司卡片出厂密钥,从而防止伪卡的应用。
2、校园卡卡片注册流程:卡片在校园卡系统注册时,首先验证卡片出厂密码,再根据卡片厂家代码、公司标识、院校代码、卡号、生成本系统卡片密钥,根据基加密算法,得出卡片的读写控制密钥,写入卡内。杜绝不同校园卡系统之间的卡片滥用。
4.3.9 系统的密钥体系
4.3.10 密钥的产生
系统内部有两种密钥,静态密钥和动态密钥;
静态密钥用于签到,通过签到来获得动态密钥。
动态密钥用于除签到外的其它交易。动态密钥随机产生,每次不同。
中心与子系统之间的密钥为点对点,不同的子系统分配有不同的密钥,无论动态和静态。
密钥的产生见图。
针对不同用户产生不同的用户授权文件,由公司的授权文件产生系统的根密钥,根据根密钥产生子系统静态密钥,子系统签到时,由中心(前置机)根据根密钥,随机数和一定的运算规则产生签到子系统的动态密钥,用于和子系统之间进行后续的交易。
4.3.11 密钥的传递与保存
公司的用户授权:采用授权卡片和磁盘文件。(过程1)
静态密钥:校园卡管理中心(前置机)添加子系统节点时产生该子系统静态密钥,该密钥可以以子系统授权文件或开机卡片形式传递到子系统,由子系统加载。(过程2)
动态密钥:子系统签到后,中心(前置机)产生,网络传输到子系统。
校园卡管理中心(前置机)保存系统根密钥,存储在加密卡内,产生的各个子系统的静态密钥加密存放在数据库内,通过程序可以转出到卡片或磁盘文件,以传递给子系统使用。各个子系统静态密钥保存在子系统的加密卡内。多个子系统可以运行在同一计算机,系统密钥数据存放在同一块加密卡。
4.3.12 系统的认证
必须通过校园卡管理中心(前置机)的签到认证后才能与作交易。
认证的过程:
子系统向中心(前置机)签到交易,中心(前置机)根据子系统配置作签到检查,判断子系统的合法性,然后产生动态密钥发送给子系统。子系统收到后作签到回执交易,中心(前置机)确认后,给子系统应答。至此子系统认证结束。
4.3.13 系统的数据处理安全
网络传输:数据要加密传输,采用DES,MD5,并包含有签名。
本地数据:关键数据加密,校验,充分利用发挥数据库的安全机制,数据库用户安全,数据一致性检查。
系统的使用需要操作员验证,并有日志记录。
4.4 系统可靠性的论证
4.4.1 系统可靠性的关键环节
1、双机热备份
中心所有服务器部分均采用双机热备份及磁盘阵列,可以在系统故障情况下做到系统的稳定运行。
2、数据备份
对关键数据除进行磁带备份外,还进行跨校区异地存储,即使在灾难情况下,也能把损失降到最小。
3、备用线路
由于采用架构在校园网的网络方案,降低了维护工作量,网络中心保证了网络的安全和畅通,而且校区间具有备用线路方案。
4、故障无关性
商务网关之间互相独立,一个网关出现问题时不影响其他网关。
5、脱机
当网络出现故障时,POS机可以脱机工作,卡内存有余额可以脱机使用。
6、各环节均采用流水号自动对帐,不错帐。
7、采用宽松放入式读卡头,保证可靠读写。
8、网点间的干线采用校园网免受雷击破坏。
9、掉电保护
当系统掉电恢复时具备自动断点恢复功能。
10、误操作提示、阻挡
当出现误操作时系统自动提示、阻挡等等,以上诸多措施都能使系统可靠地、稳定地运行。
4.4.2 主要部分故障容错策略
系统中采用了非常有效的措施,保证数据的一致性。
1、校园卡管理中心与子系统数据的一致
采用大机数据集中的模式,是数据保持高度一致的根本保证。确定以中心服务器中的公共信息为准,各子系统实时接收下传的变更流水信息,做到基本信息的同步。
2、商务网关内设置数据库高速缓冲引擎,可以保证白名单、自动充值表的实时更新。
3、自动对帐
系统具有自动对帐机制,从POS机到网关,从网关到中心服务器,相互之间的流水同步都采用不同的流水号进行自动对帐。
4、卡片与数据库的一致
在卡片与数据库的金额中,采用卡库对帐机制,确保持卡人在脱机POS与联网POS上混合使用时具有数据的一致性。
4.5 系统扩展性的论证
4.5.1 系统平台的升级与扩展
系统在可维护性上的措施也很多,比如:由于采用了大机集中的模式,因而使得中心的维护变得集中而有效,投资也可以达到集中。
各子系统、终端都采用了自助式、浏览器式的操作,因而可维护性也好。
软件中设置了在线通讯质量监测、数据监测维护等功能,读卡头采用可拔插替换方式,等等,使得在现场维护十分方便。
4.5.2 应用子系统规模的扩展
由于采用安全性、可靠性、效率较强的中心服务器,所以能够带的负载较大,网关的数量、子系统的数量都不受限制,可以达到较好的扩展性。
子系统可以是:纯管理/纯商务/管理与商务混合类型的是真正意义上的校园卡系统。
4.5.3 其他第三方产品的接入
第三方产品利用校园卡平台系统的,紧耦合、松耦合、不耦合,在校园卡系统中均需要并存,以适应不同的管理模式和兼容已经有的管理信息系统,方便接入。
五、结语
综上所述,我们结合山东大学数字化校园的整体规划,开发出的山东大学校园卡系统,全部达到了据实际用户需求设定的技术目标定位与功能性能各项的指标要求,当然也肯定存在许多不足之处,恳请验收委员会各位专家批评指正。
同时我们也表示,我们与专业化从事数字化校园中校园卡及其MIS/OA应用系统的公司合作,致力于数字化校园的建设,我们有能力、有信心在今后的日子里在山东大学数字化校园建设和校园信息化管理的领域中做出更大的成绩。