浅谈校园一卡通的设计与安全性
2016-03-28杨梦希
杨梦希
(无锡商业职业技术学院,江苏 无锡 214000)
浅谈校园一卡通的设计与安全性
杨梦希
(无锡商业职业技术学院,江苏无锡214000)
校园一卡通系统能将多项管理职能融为一体,实现校园内一卡通用的目标。文章通过无锡商业职业技术学院的校园一卡通系统建设,简述了校园一卡通系统的设计目标,并简略地对系统结构和应用子系统进行了可行性和安全性分析。
校园一卡通;智能卡;网络管理
1 校园一卡通研究现状
计算机和网络技术的迅速发展给社会带来了日新月异的变化。目前,图书管理系统、机房管理系统等各类管理系统已在高等院校中普遍应用。但是,由于当时技术能力的限制以及缺乏整体的规划,这些系统采用的技术和规范往往不统一,各应用系统的证件无法通用,给用户使用和系统管理带来了相当的不便。高等院校校园内实现一卡通是网络技术进步带来的必然后果。校园一卡通的实质就是指在校园范围内通过一张卡就能完成基本的证件和身份识别功能。而实际上部分校园卡系统只能实现简单的一卡多用,同时还存在通讯、安全、通用性等问题。具体表现在:不同的软件,不同的发行系统;不同的数据库和消费终端。另外,除了食堂,校园内的超市、文印店等同样可以使用校园卡,这就有必要建立适用、完善的校园卡系统。与此同时,各类系统的连通、重复投资建设、缺乏统一规划的弊端以及安全性的问题越来越突出。
2 校园一卡通设计与实现方案
校园一卡通系统是整合微电子、单片机、数据库及网络技术,将智能卡作为信息载体,赋予其电子身份识别和电子钱包的功能,替代校园内学生证、借书证和饭卡之类的传统卡证,真正实现一卡通的功效。完整的校园一卡通系统是一个非常复杂的系统,不仅要采用合适的软硬件设施满足当前需求,还要考虑学校发展规划,确保在今后一段时间内系统能够随着需求升级,避免迅速淘汰。考虑到无锡商业职业技术学院的校园规模和建设经费,一卡通的建设可分阶段进行,各子系统保留升级扩展的余地,逐步完善整个系统的功能。
校园一卡通的核心内容是利用IC卡的强大功能,在银行网络系统和校园网的支持下,建设一个高质量的、便捷化的智能卡应用系统。作为数字化校园的一部分,校园一卡通在设计之初就必须考虑数字化校园的规划,符合整体设计思路。
要实现校园范围内的信息共享这个目标,校园一卡通建设应从战略的角度考虑。因此从设计开始阶段就要考虑统一的网络平台、数据库、身份认证、安全策略等要素,从源头上把控全局,使各个子系统能完美连接,确保整个系统稳定、高效地运行。考虑学校需求的变化及其系统扩充和升级的方便性和灵活性,系统软、硬件均应采用模块化结构设计,提供标准、通用的信息接口,以便未来升级或扩展。
根据无锡商业职业技术学院校园一卡通系统的建设规划,通过多阶段持续建设,在无锡商业职业技术学院将实现以下目标:
(1)建立统一的一卡通平台;(2)校园内实现一卡通用;(3)银行卡、校园卡有机结合;(4)实现财务统管。
无锡商业职业学院校园一卡通的总体结构是按照以下几个模块实现的:
(1)系统网络结构设计;(2)一卡通系统分布式数据库实现方案;(3)卡片选择设计;(4)第三方产品接入方案。
2.1系统网络结构设计
从安全的角度出发,校园一卡通网络宜采用单独组网的方案。但由于该方案建设成本高、扩展困难,因此实际采用此方案的高职院校并不多。绝大部分高职院校从性价比的角度出发,兼顾安全性,选择了利用原来的校园网与一卡通系统单独组网相结合的方式建设。
基于校园一卡通系统信息共享、可扩展的特点,兼顾系统安全性和管理便捷性,一卡通一般采用B/S和C/S混合模式,并且是专用网络。
2.2一卡通系统数据库设计方案
一卡通系统的平台层次结构划分为3层,分别为中心数据库服务器、各应用服务器、第二层局域网的网络工作站。由这3个层次架构的一卡通系统的优点在于,日后的维护、扩展和升级比较方便。校园一卡通系统中心数据库存贮的数据为整个系统的公共基础数据,非常重要,因此在数据库选型时应充分考虑系统对数据库的设计要求。
校园一卡通系统中,将全部数据按不同的应用子系统的需要分成若干子集,安置在不同子系统所在局域网的数据库服务器上。每一个子系统都必须在注册后通过系统授权、系统认证才能接入平台,对一卡通中心数据库服务器的访问,使用一卡通资源。
一般来说,一卡通系统的组成部分包括中心主机系统、管理和服务系统、应用类系统及校务管理系统等。
2.3芯片卡的选择
校园卡的功能主要包含消费和身份认证,因此校园卡的使用贯穿了整个校园活动,一旦校园卡出现故障,将造成严重的事故。由此可知,芯片卡的选择是校园一卡通系统成功运行的关键。校园卡的使用有其独特性,如卡的使用频率高、具备三防性能、卡的保密性好。基于以上要求,Mifare One(M1)双界面CPU型射频卡是一个理想的选择。
2.4第三方产品接入方案
考虑到校园卡系统建设的阶段性和可扩展性,本校园一卡通系统提供了功能强大的第三方接入系统,为后期功能强化和平滑升级保留足够余量。其可以同时支持当前比较流行的连接方式,具有良好的系统可扩展性。
2.5校园一卡通系统的设计特点
(1)专人专卡专账户,实现信息共享;(2)校园卡和银行卡实时转账功能;(3)金融级安全性的系统架构;(4)具备交易和身份识别功能;(5)具有开放性和可扩展性的系统;(6)多功能的第三方接口。
3 系统安全性设计思路
校园一卡通系统涉及范围广泛,包含了学校、银行、电信、商户和消费者等多个群体,存在着大量交易、结算、查询等业务,因此,其安全性的要求相当高。一般来说,校园一卡通系统的安全设计主要通过硬件设施(包含卡片、终端设备、服务器等)和软件设施(数据库、操作系统、监测系统等)来实现,在建设之初就通盘考虑安全性,制定相应的防范措施,以确保校园一卡通系统稳定、高效运行。
校园卡在设计中必须考虑卡的防伪造和防篡改信息功能,确保卡上的信息是真实有效的。可以利用M1卡的特点将其唯一序列号作为校园一卡通系统的卡号,确保持卡人的唯一性。在校园卡表面印刷卡帐号,同时在系统内部自动生成对应关系,解决了M1卡的不足之处,兼顾了卡片防伪的安全性和使用的方便性。
考虑到实际使用场合,校园一卡通系统中的销售终端(Point Of Sale,POS)机要具备脱机使用的功能。设计时,必须考虑POS机运行的稳定性和安全性,防止在使用中出现数据丢失的事故。校园一卡通卡片的挂失和有效性也是POS机使用时必须考虑的方面。另外卡的单日消费限额和限制次数同样在考虑范围内。
对于网络安全相关来说,一般采用一卡通专用网络、专用虚拟网和专用金融网络3种网络相结合的架构。专用网络与校园网相隔离,确保网络连接和信息传输的安全性。
在实际操作层面,校园一卡通系统还需考虑具备数据自动整理功能、数据异常丢失恢复功能、数据防篡改功能等一系列便捷操作的内容。
对于银行转账的安全性方面,在对校园一卡通进行系统设计时应考虑数据传输的安全措施、重要数据的加密传输和屏蔽校园内对银行的攻击等安全措施。数据双重备份、数据库双重备份、是否采用密钥机制、采用POS注册管理以及防病毒、网络保护措施等措施也必须在设计之初加以考虑。
对于系统可靠性来说,系统的备份、掉电保护以及数据容错策略是重中之重,需要得到特别关注。
对于系统平台的可升级和扩展性,可采用大机集中的模式,这样的方式可维护性较好。另外可在软件中设置各种自动监测功能,充分利用可更换的读卡头,方便日后维护。采用安全可靠效率较强的中心服务器,其负载较大,可以达到较好的可扩展性。
4 结语
校园一卡通系统整合了校园内的各项交易和认证系统,形成了完整的信息系统,实现了校园内的信息共享,提高了校园工作生活中的便捷性,从而大大提升了学校的管理水准。
本文根据校园一卡通建设的过程,对系统的硬件设施、软件设施进行了充分设计及论证。针对一些具体问题,本文提出了一些新颖的观点,列举了应用系统实例,有效解决了一些实际问题。截至2016年6月,无锡商业职业技术学院的一卡通系统已投入实际运行,整个系统稳定高效。伴随校园师生需求的进一步扩展,依靠技术的进步必将实现校园内一卡通用的目标。
[1]余雪丽.校园一卡通系统的设计与安全性分析[D].天津:天津大学,2006.
[2]杭州立方.论“一卡通”技术的应用现状与发展趋势[J].金卡工程,2003(12):22-23.
[3]黄永刚.校园一卡通系统设计与开发[D].青岛:中国海洋大学,2005.
[4]夏聘.校园一卡通系统设计与网络安全体系分析[D].杭州:浙江大学,2005.
Analysis of design and safety of Campus IC Card system
Yang Mengxi
(Wuxi Vocational Institute of Commerce, Wuxi 214000, China)
Campus IC Card system can integrate multiple management functions to achieve the goal that one card is universal in campus. The article expounded the design goal of Campus IC Card system and the feasibility and safety of the system structure and its application subsystem were analyzed briefy through the construction of Campus IC Card system in Wuxi Vocational Institute of Commerce.
Campus IC Card; smart card; management of networks
杨梦希(1981— ),女,江苏无锡,本科,助理实验师;研究方向:网络管理。
