叶镒娟 徐锋

摘  要： 针对现有校园卡系统存在的身份数据混乱、授权分散、认证流水不回收等缺陷，提出建设身份平台与支付平台分离、松耦合关联的新一代校园卡体系，设计了基于认证和授权的新一代校园卡身份平台架构体系，重点实现校园卡身份的数据统一、认证授权集中、动态流水回传等功能，为智慧校园数据分析挖掘提供基础，为新一代校园卡建设提供参考模式。

关键词： 新一代校园卡; 身份认证; 身份授权; 智慧校园

中图分类号：TP311          文献标志码：A    文章编号：1006-8228（2015）01-21-03

Design of next generation campus card identifier platform with authentication and authorization

Ye Yijuan， Xu Feng

（Library and Information Center， Zhejiang University， Hangzhou， Zhejiang 310027， China）

Abstract： To solve the existing campus card system's issues， such as confused identification data， dispersed authentication and unrecyclable service log data， the next-generation campus card system is proposed by separating identification platform from payment platform and loose coupling among component.The next generation campus card identification platform architecture is designed based on authentication and authorization， which realizes the key functions of unified identification data， centralized authentication and dynamic service log data collection. It builds the foundation for data mining and analysis of wisdom campus， providing the reference model for the next generation campus card deployment.

Key words： next generation campus card; authentication; authorization; wisdom campus

0 引言

智慧校园的开展，对校园卡支撑及服务提出了更高的要求，新一代校园卡建设不仅需要解决支付问题，更需要解决基于校园卡身份认证和授权管理问题，为房产、财物、道闸、门禁等智慧应用提供服务。针对目前校园卡系统普遍存在的数据不完整，认证不统一，授权困难等问题，新一代校园卡的设计应注重核心数据仓库建设，注重身份数据管理、身份数据授权和身份数据认证[1]。为此，我们设计了基于认证和授权的校园卡身份平台架构体系，该平台体系集身份管理、授权和认证于一体，利用校园卡数据的完整性和权威性完成应用和服务的认证及授权，在此基础上规范数据的统一回收和筛选规则，形成全校范围的静态身份数据中心和动态行为数据中心，为智慧校园的各类智能应用提供综合决策分析[2]。

1 校园卡系统架构现状及身份管理问题

高校校园卡系统的身份管理模块一般都架构在学校统一身份认证中心和公共数据中心之上[3]。统一身份认证解决用户身份的注册、登录，公共数据中心提供权威数据[4]，通过同步形成校园卡身份库，最后由身份库向一卡通系统提供身份数据以进行开卡、制卡，其架构如图1所示，身份库服务的重点是一卡通综合平台及后台管理系统。

[公共数据中心][统一身份认证][校园卡身份证][综合前置机][前台管理系统][查询服务系统][校园卡综合平台][支持服务接口][支付类系统][身份服务接口][身份识别类系统][转账充值系统][银行前置机]

图1  现有校园卡系统架构图

该系统架构在应用中暴露出以下一些问题。

⑴ 身份数据同步效率直接影响数据准确性和及时性。建立在数据中心和统一身份认证基础上的校园卡管理系统，其身份数据分两条线路从统一身份认证和公共数据中心获取，由于同步的时间差或者同步过程网络延迟，会出现数据获取困难或上下数据不吻合的情况，对校园卡身份数据的权威性、校园卡制卡效率等影响很大。

⑵ 未实现基于校园卡身份的统一授权和统一认证。现有校园卡身份数据只为新卡制作和支付交易提供认证，没有实现基于该身份数据模块直属的认证和授权，第三方应用系统需通过与校园卡综合平台作数据交换作认证，没有发挥校园卡身份数据应有作用，也增加综合平台的负担。

⑶ 身份数据交换接口不完善、不统一，数据不回流。第三方应用随需求不同而以多种方式与校园卡综合平台对接，接口复杂凌乱、时效性差、管理难度高，而业务流水回收机制的缺乏，造成数据只下发不回传，动态业务数据流失。

⑷ 基于C/S架构的校园卡综合管理系统，依赖PSAM卡和动态SIOS及客户端管理校园卡系统及用户，适应性弱、受网络和加密卡限制多，无法实现随时随地业务管理。

2 新一代校园卡身份平台设计思路

考虑到现有系统所存在的问题及智慧校园的应用需求，新一代校园卡系统设计将校园卡身份数据库与支付数据库分离，分别建立校园卡身份平台和校园卡支付平台，两平台根据各自功能特长和主要任务独立建设，再以松耦合方式进行关联。身份平台重点完成身份数据采集，解决基于校园卡的身份认证、授权，并作好数据的共享和挖掘，解决与校园卡相关的身份介质管理;支付平台负责校园卡的帐户、交易和支付;卡片作为身份和支付的介质，采取分离和捆绑相结合的发卡机制，卡片可以只承担身份数据功能，不分配支付功能，有效减少不必要的支付帐户资源浪费。

身份平台与支付平台的关系如图2所示。

2.1 身份平台总体架构及创新点

校园卡身份平台主要任务是实现静态身份数据的权威收集、身份数据的下发认证授权和动态业务数据的回流集中，设计时需要包含五个模块：身份数据中心、身份数据管理（包括卡片介质管理）、权限管理模块、数据服务模块、认证服务模块。身份平台给支付平台提供基于身份的认证服务和数据服务。其总体架构如图2所示。

建立校园卡身份数据中心，目的是考虑不依赖第三方系统获取数据，减少同步和共享所带来的不便。当下各高校正处于信息化建设高级阶段即集成阶段，许多信息化系统进入第三次升级改造[5-6]，可充分利用校园卡数据的广泛性和全面性，考虑将校园卡数据中心建立成全校依赖的权威数据中心，与学校公共数据中心共融共建，将权威数据集成为静态数据和动态数据相结合的大数据中心，如果能提前规划，就可避免重复建设造成浪费。

[数据中心][身份数据][业务数据][身份平台] [权限管理][身份数据管理][卡介质管理][认证服务][数据服务][支付平台] [金融数据中心][数据服务][数据服务][清算][支付][充值]

图2  新一代校园卡技术架构分层图

数据中心主要分身份数据和业务数据两大类。身份数据包含人、财、物等基础信息和身份属性，可分阶段先实现对人的身份的管理，逐渐扩大至财产和设备等身份数据的纳入;业务数据是各类服务开展后所回收的动态数据流水，如认证服务、权限服务和数据服务使用后所产生的数据流，是逐渐积累有价值的大数据，是高校数据分析和挖掘的原始资料和基础数据。

基于应用及安全的需求，整合原有分散的各个应用系统，构建身份、认证和授权管理系统，组成统一完善的安全管理认证体系。新一代身份平台和支付平台采用B/S服务模式，不再依赖PSAM卡控制下的客户端管理模式，管理员和用户均能实现基于浏览器的管理和服务。

该架构设计，能有效解决现有校园卡平台所存在的同步、认证、授权等问题以及数据回流的缺陷。

2.2 身份平台管理逻辑层次

作为相对独立的校园卡身份平台，其数据中心定义明确，由静态身份数据和动态业务数据共同组成，是数据存储的仓库，下属管理和服务的功能模块依据所承担的任务不同，从逻辑上划分层次，如图3所示。

⑴ 身份数据管理

身份数据管理是对静态数据的管理，包括对各类身份和卡片介质两大类的管理。身份管理是对人、财、物身份信息的收集和编码，一方面与学校权威数据源对接，另一方面开放自注册管理，确定统一编码;介质包括卡片、指纹、二维码等有特征的介质，基于卡片的特殊性和通用性，单独列出加以管理，并统一校内编码标准，通过一卡一号对应用户的身份、属性、权限，实现基于校园卡的应用。

⑵ 授权权限管理

作为校园身份平台的创新功能，授权权限管理模块基于身份数据的授权管理一方面是对应用系统作业务授权的配置和系统对接管理，另一方面是对普通用户权限配置和业务系统使用权限的管理，根据用户账号和权限的标识来判断用户是否享有某种权限，从而完成各种权限操作的验证。将用户属性和权限管理作为惟一可信的信息权威源，通过用户身份管理集成功能，保证用户身份数据的可靠性与一致性，可有效降低管理的复杂度和维护代价[7]。业务、人员和物资财产的权限授权数据，也将作为静态数据加以保存，是身份数据的附加属性。

⑶ 数据服务管理

数据服务管理是一个双向的服务和管理过程，包括定义数据接口标准，基于校园卡身份平台的数据服务，一方面向业务系统提供校园卡身份数据服务，另一方面回收基于校园卡身份数据的应用流水，形成动态业务数据库，最终汇入校园卡数据中心。数据服务是一个静态提供和动态回收的管理过程，其最重要的职责就是确定数据下放标准和业务流水回收标准，以保证输入输出的有效性和准确性。该服务实现了应用数据流水的回收，是原有系统所不具备的功能，为智慧校园的数据挖掘和分析提供保证。

⑷ 认证服务

分业务、应用系统的认证和个人用户的身份认证，是校园卡身份平台最主要的功能，也是校园卡本身所具有的传统功能。在新一代校园卡身份平台里，该功能的强调的一卡或一号认证制，认证的方式不再是单一的读卡认证，将实现有卡认证、无卡认证和基于其他介质的身份认证，无论是有卡还是无卡，其后台都基于一号的原则。一人一卡一号在认证服务中体现，身份认证模块确保用户身份的可靠性，为认证系统实施正确认证提供依据。数据传输过程中采用加密模块保证传输数据的安全性，其中的身份认证负责对校园卡体系中的各应用系统端进行数字身份的签发和管理[8]。

3 新一代身份平台设计创新点

与现有校园卡系统对比，新一代身份平台设计主要体现了以下几方面的创新。

首先，对卡片和介质实行统一的管理，实质是对身份实行了统一管理，卡片只是充当身份的前端介质，是身份认证的一种读取载体。

其次，对基于校园卡的授权实行了统一的管理，充分利用校园卡数据采集的权威性和广泛性，扩大校园卡身份数据服务范围，将分散在各业务系统的的授权集中在身份平台实现，保证数据和权限的一致性，使校园卡身份数据逐渐增强为授权的中心。

再次，加强基于校园卡的认证服务，实现有卡认证、无卡认证、其他介质认证，以一人一卡一号为原则，把校园认证做成全校的认证中心，在保证安全的条件下，实现多种身份认证模式支撑的核心应用。

最后，实现动态数据回流，解决现有系统只回流校园卡消费流水的问题，通过接口定义和规范，回流所有动态业务流水，将数据最终汇入校园卡数据中心，为大数据挖掘分析利用提供基础。

4 结束语

新一代校园卡身份平台设计，修正了现行校园卡系统普遍存在的身份数据不统一、授权认证分散、身份动态数据不回收等问题，重点实现身份集中管理、认证授权统一、规范数据回收机制，为智慧校园实行统一数据管理、统一数据挖掘应用提供支撑。但如何将老系统应用数据转换成标准数据回流，如何确定身份接入标准、支付接入标准、第三方系统接入标准等，需要在规划时重点考虑。该设计方案的可行性和科学性有待在实践中检验和修正。

参考文献：

[1] 叶镒娟，徐锋，程艳旗等.基于智慧校园的下一代校园卡系统设计[J].

中国教育信息化，2013.3：41-43

[2] 宗平，朱洪波，黄刚等.智慧校园设计方法的研究[J].南京邮电大学学

报（自然科学版），2010.8：15-19

[3] 葛泓.中国人民大学校园卡系统方案设计[J].微型机与应用，2005.4：

43-45

[4] 王高亮.基于校园卡系统的统一身份系统设计[J].科技信息（科学教

研），2007.25：308

[5] 黄松.基于诺兰模型的高校信息化建设趋势分析与展望[J].江汉大学

学报（自然科学版），2013.2：71-75

[6] 孙宙，李世收，姚敏.中国高校信息化现状研究 基于江苏高校的实证

分析[J].南京工业大学学报（社会科学版），2009.12：91-96

[7] 杜炤，付小龙，佟秋利等.高校校园一卡通系统中卡片认证机制的研

究与实践[J].中国教育信息化，2011.19：14-16

[8] 章全.基于IC卡的校园网统一身份认证系统研究[J].科技广场，

2013.8：29-31