杜 炤，付小龙，佟秋利，蒋东兴

（清华大学 计算机与信息管理中心，北京 100084）

高校校园一卡通系统中卡片认证机制的研究与实践

杜 炤，付小龙，佟秋利，蒋东兴

（清华大学 计算机与信息管理中心，北京 100084）

校园一卡通系统是高校数字校园中的重要基础设施，身份认证和支付是高校校园一卡通系统的两项主要功能，而卡片认证则是支撑这两项功能的基础性服务。卡片认证要做到有效、高效，并实现整体性价比的最优。本文在介绍高校校园一卡通系统总体结构的基础上，着重讨论了系统中的卡片认证流程、认证机制以及其中的两个关键问题，最后介绍了清华大学校园卡二期系统中的卡片认证机制。

校园一卡通系统；卡片认证；密钥；黑名单

一、引言

随着高校信息化建设和应用的不断深入，校园一卡通系统在高校数字校园中迅速普及并成为其中的重要基础设施。身份认证和支付是高校校园一卡通系统的两项主要功能，而卡片认证则是支撑这两项功能的基础性服务，是系统中核心的组成部分。卡片认证首先要做到有效，即准确识别有效卡和无效卡；其次要做到高效，即要实现快速验证；最后还要综合考虑系统的建设和维护成本，实现整体性价比的最优。

校园卡卡片认证中最基础的环节是密钥验证和黑、白名单验证。密钥验证确认卡片和读卡设备是指定高校校园一卡通系统中合法的卡片和设备，黑、白名单验证则是各个校园一卡通应用系统和数字校园应用系统中验证卡片有效性以及对卡片应用的合法性的最重要方式。由于高校校园一卡通系统中使用最为广泛的门禁和消费两类应用均使用脱机模式，即门禁中使用的门禁控制器和消费中使用的POS机均采用脱机方式进行卡片验证，因此黑名单数量的控制是卡片认证中的一个关键问题，而设置卡片有效状态标志、卡片有效期和批次黑名单可以有效地减少黑名单的数量。

本文首先介绍高校校园一卡通系统的总体结构，然后讨论其中的卡片认证流程和认证机制，接下来分析黑、白名单的更新机制和黑名单数量的控制这两个卡片认证机制中的关键问题，最后介绍清华大学校园卡二期系统中的卡片认证机制。

二、高校校园一卡通系统的总体结构

如图1所示，一个较大规模的高校校园一卡通系统通常包括网络层、数据层、数据访问层、核心业务层、校园卡应用层、数字校园应用接口层和信息服务层共7层。网络层提供基础的网络服务，包括校园卡专网、校园网和银行专网，有的高校还建有财务专网。数据层提供数据的存储服务，包括身份信息中心数据库、账户信息中心数据库、校园卡系统信息发布数据库、校园卡应用该系统数据库和数字校园应用系统数据库等。其中，除账户信息中心数据库在校园卡专网中外，其他数据库都在校园网中。数据访问层提供数据交换和数据存取服务，包括数据交换平台和数据库访问引擎。核心业务层处理密钥管理、卡务管理、账户管理、资金结算、设备管理、信息发布、平台管理和运行监控等校园一卡通系统的专属业务，是校园一卡通系统中的核心部分。校园一卡通应用层包括门禁、通道、巡更管理、会议签到、圈存充值、通用消费、水控、班车管理等以校园卡作为身份识别或支付手段的应用系统，是用户在使用中直接接触的部分。数字校园应用接口层包括校园一卡通与人事管理、教务管理、财务管理、图书管理、医疗管理、宿舍管理、机房管理和网络计费等与校园一卡通相关的数字校园应用系统的接口。信息服务层是最上层，以网络、语音、圈存机、触摸屏等形式直接为用户提供与校园卡相关的各种信息查询和自助服务，并向管理人员提供数据统计分析服务。[1][2]

三、高校校园一卡通系统中的卡片认证流程和认证机制

如图2所示，高校校园一卡通系统中的卡片认证流程包括密钥验证、卡片有效性验证、卡片有效期验证和黑白名单验证共4个环节。密钥用来验证卡片和读卡设备是否是指定高校校园一卡通系统中合法的卡片和设备，是系统中最基础的安全保护措施。[3]卡片的有效性验证和有效期验证是指对卡片有效状态标志和卡片有效期的验证，设置这两个验证环节的目的是减少黑名单数量，以实现快速识别并防止门禁控制、POS机等设备中出现黑名单溢出。黑、白名单验证是高校校园一卡通系统中应用最为广泛的两种。黑名单是系统中无效卡的名单，用在面向全校性的应用中，如图书馆的门禁系统和通道系统、通用消费系统、圈存充值系统、班车管理系统和水控系统等；白名单是能够在指定应用中使用的有效卡的名单，用在面向部分用户的应用中，如单位或院系的门禁系统和会议签到系统等。[4]

高校校园一卡通系统中的用户管理与认证机制如图3所示。首先，密钥管理系统生成和分发系统中的密钥，密钥分发的途径包括卡务管理系统、校园卡和读卡设备（读卡器和POS机）共3条。其次，卡务管理系统以从人事管理系统和教务管理系统中获得的教师基本信息和学生基本信息为基础，在验证卡片密钥之后执行发卡生成卡片信息，并通知账户管理信息创建账户生成账户信息。需要说明的是，由于挂失、换卡、退卡、学生毕业和教职工离校等产生的黑名单信息也包含在卡片信息中。接下来，卡片信息和账户信息通过数据交换平台或者数字校园应用接口同步到校园一卡通的应用系统和数字校园应用系统中。最后，校园一卡通应用系统和数字校园应用系统为用户提供各类与校园卡相关的身份认证、消费和自助服务。

图3的上部列出了门禁、会议签到和消费这三类典型的、应用广泛的校园一卡通应用，它们通过三种不同方式来完成卡片的认证。其中，门禁和消费采用脱机模式工作，会议签到采用联机模式工作，二者的区别在于黑、白名单的验证方式和刷卡记录或交易记录的存储方式。脱机模式的应用使用黑名单，黑名单存储在门禁控制器或POS机等功能单一的、具有简单处理能力和少量存储能力的设备中；联机模式的应用使用白名单，白名单储存在与读卡器相连的计算机中。此外，在脱机模式的应用中，刷卡记录或者消费记录首先存储在门禁控制器或POS机中，然后再批量上传到与门禁控制器或POS机相连的服务器中；在联机模式的应用中，刷卡记录直接存储在于读卡器相连的计算机中。在这三类应用中，密钥验证、卡片有效性验证和卡片有效期验证都是由读卡设备来完成的。门禁和会议签到中使用的读卡设备是读卡器，而消费中使用的读卡设备是POS机。

四、高校校园一卡通系统中卡片认证机制的关键问题分析

黑、白名单是高校校园一卡通系统中卡片认证机制中最关键的要素之一。它们不仅具有数量大、更新频繁的特点，而且是各个校园一卡通应用系统和数字校园应用系统都必须使用的关键数据。因此，如何将黑、白名单的变化情况及时更新到相关应用系统中，是卡片认证机制中首先需要解决的关键问题。此外，因为高校校园一卡通系统中使用量最大的门禁管理系统和通用消费系统均采用脱机模式，而门禁控制器和POS机的处理能力和存储能力也都十分有限，所以如何有效地减少黑名单的数量，以加快黑名单验证的速度和防止设备中出现黑名单溢出的情况，是卡片认证机制中应当解决的另一个关键问题。

1．黑、白名单的更新机制

总地来说，黑、白名单的更新方式包括实时更新和批量更新两种。实时更新通常适用于联机系统，批量更新通常适用于脱机系统。批量更新中需要解决的核心问题是如何确定合适的黑、白名单更新的周期。由于每所高校的发卡规模、应用规模、用户使用情况、网络状况、数据交换模式以及卡硬件和服务器配置等情况都各不相同，因此并没有确定的算法来计算最优方案。一般可以先根据发卡规模、应用规模和用户使用情况，估算出每次更新黑、白名单所需传输的平均数据量；然后根据这一数量，结合网络状况、数据交换模式以及卡硬件和服务器配置确定黑、白名单更新周期的初始值；在运行过程中，再根据运行监控系统统计的情况进行调整并得到一段时期内适用的黑、白名单更新周期值。

2．黑名单数量的控制

黑名单数量控制的目标是实现校园一卡通系统中黑名单数量的最小化。黑名单的来源包括挂失、换卡、退卡、学生毕业和教职工离校等。其中，挂失、单个换卡和单个退卡每次产生一条黑名单，批量换卡、批量退卡、学生毕业和教职工离校每次产生一批黑名单。对于前一种情况，可以通过在校园卡中设置有效状态标志来减少黑名单的数量；对于后一种情况，可以通过在发卡时设置批次、将批次记录在校园卡中并设置批次黑名单中来减少黑名单的数量。此外，在校园卡中记录卡片的有效期也是一种行之有效的减少黑名单数量的方法。需要注意的是，在校园卡中设置有效状态标志和记录卡片的有效期是两种通用的减少黑名单数量的方法，而在发卡时设置批次、将批次记录在校园卡中并设置批次黑名单则要考虑高校的学生和人事管理制度来选择。

五、清华大学校园卡二期系统中的卡片认证机制

清华大学校园卡二期工程建设从2006年启动，在2008年底完成试点发卡并开始试运行，于2009年完成全校30000多张学生卡、教职工卡和门禁卡的发放并进入正式运行，至今已稳定运行近两年。系统设计发卡量超过十万张，设计发卡类别包括学生卡、教职工卡、门禁卡和消费卡，安装门禁设备1300多套、POS机500多台、圈存机和触摸屏等自助服务设备50多台。总地来说，发卡量和应用规模都很大。

此外，因为学校在学生管理和人事管理方面都比较灵活，而且校内与校园卡应用相关的部门在各自的业务管理方面都形成了一套比较成熟的、由信息化手段支持的体系，所以要求校园卡二期系统中的卡片认证方式能够以服务的形式提供，以便与各类业务系统进行衔接。同时，由于清华大学的数字校园已经较为成熟，且前期发放的学生卡和教师卡以及各单位自行发放的各类卡片在学校身份认证方面的应用已经具有较好的基础，因此校园卡二期系统中的卡片认证机制在考虑二期新增应用的同时，也要考虑一期应用过渡。

考虑上述要求，清华大学的校园卡二期系统中采用了第三部分描述的认证流程和认证机制，同时引入了支持自定义任务调度周期和优先级的高效数据交换平台，以实现系统中黑、白名单的准实时更新。在黑名单数量的控制方面，不仅在校园卡中设置了卡片有效状态标志和有效期，而且在所有门禁控制器和POS机上都增加了将处于黑名单中的卡片的有效性标志设为无效的机制，从而进一步减少黑名单的数量。但是，考虑到学校在学生管理和人事管理方面的灵活性，系统中未使用批次黑名单。

六、结束语

随着高校信息化的发展，校园一卡通也得到了迅速发展并成为其中的重要基础设施。卡片认证是支撑身份认证和支付这两项功能高校校园一卡通系统中的主要功能的基础性服务。卡片认证的目标是有效、高效和系统整体性价比最优。为了实现这一目标，一方面应当根据学校的实际情况确定适用的黑、白名单更新机制；另一方面，还可以在密钥验证和黑、白名单验证这项卡片验证的基本环节的基础上增加卡片的有效性和有效期验证，学生管理较为规范化的高校还可以使用批次黑名单，以最大程度地减少黑名单的数量。随着计算机技术的不断发展和校园一卡通在高校中应用的不断深入，硬件的处理、存储能力也会不断提高，校园一卡通系统的复杂度也会不断增加，卡片认证中现有的问题可能会迎刃而解，新的挑战也会不断出现。

[1]宗薇.一卡通在校园信息化管理中的应用[J].中国教育信息化,2010(15):35-37.

[2]于九红,施静蔚,何振华.高校校园“一卡通”系统的设计与实施[J].实验室研究与探索,2007,26(2):63-66.

[3]彭旭荣,阳王东.一卡通密钥管理系统的设计与实现[J].计算机安全,2010(7):69-82.

[4]郭明超,饶增仁.校园射频IC卡电子交易系统的关键设计[J].兰州大学学报(自然科学版).2008,44(S1):216-218.

TP315

B

1673-8454(2011)19-0014-03

（编辑：金冉）