智慧校园一卡通系统的黑名单管理与优化模式研究
2020-07-09刘合富史永银江迎春廖莉莉
刘合富 史永银 江迎春 廖莉莉
摘 要:为了解决一卡通黑名单管理方面存在的许多问题,针对目前高校一卡通系统中的黑名单管理与优化模式进行探讨,说明一卡通黑名单的产生与管理等方面的原理,列出高校一卡通黑名单普遍存在的各种管理状况,最后提出黑名单管理方面的多种优化模式,该管理模式能长久有效地保证高校校园一卡通系统的安全性和稳定性的良性发展。
关键词:校园一卡通;模式优化;黑名单管理
中图分类号:TP399 文献标识码:A 文章编号:2096-4706(2020)02-0167-04
Abstract:This paper carries on the discussion in view of the present university centralized pattern card system blacklist processing mechanism,explained many aspects of production and management card blacklist,list the types of management situation universal existence in the university card blacklist,finally,the paper puts forward a variety of optimization models in blacklist management,which can effectively guarantee the healthy development of the security and stability of the campus card system for a long time.
Keywords:campus card;model optimization;blacklist management
0 引 言
校园一卡通管理系统既是学校信息化建设的核心项目,也是关键应用系统的重要集成之一,提供消费、身份认证、校务管理等多种模式的融合。该系统建成后能保障廣大师生员工正常的工作、学习和生活,能够实现高效的管理效率和服务质量,对于提高学校综合办学水平和校务管理具有积极的促进作用。目前许多高校已经建立起了稳定的一卡通系统,在实体卡和虚拟卡(统称校园卡)应用方面非常广泛,校园卡往往与指纹、人脸、虹膜等生物特征关联在一起使用,系统交易权限和数据的安全管理也备受重视,其中很大部分工作是运用校园卡黑名单的管理。一卡通系统采用黑白名单验证机制来确认校园卡使用的有效性和合法性,实现对一卡通黑名单的优化和管理,有利于保障一卡通合法业务的正常进行,能有效规范一卡通的使用权限,因此,如何管理好黑名单就显得至关重要。
1 高校一卡通黑名单管理普遍存在的状况及面临的问题
目前,各高校对于一卡通黑名单集中管理模式主要有:纯粹的库模式和卡库相结合的模式。
(1)纯粹的库模式是基于统一的数据库集中管理分发模式,所有校园卡的黑名单都保存在中心数据库的库表内,各个终端机具基本上不保存黑名单信息。这种模式的网络依赖程度高,具有管理效率高、管理方便等特点,但带来的后果是:网络维护压力大,系统或网络出现突发故障时,一卡通终端机具无法使用,系统使用近乎瘫痪,严重影响一卡通的日常使用,实时响应性不高。基于以上原因,该模式逐渐淡出高校一卡通市场。
(2)基于卡库相结合模式管理黑名单能有效解决以上绝大多数存在的问题,也是目前一卡通系统的主流发展方向,具有以下优点:网络维护压力小,终端机具能存储达百万个黑名单,校园卡内可同步保存各种卡状态和有效期,系统支持终端机具临时脱机使用等,在最大限度内有效地保证了师生员工一卡通的正常使用。
但是,基于卡库模式的一卡通系统黑名单往往出现以下情况:
1)黑名单数量日积月累地累加,各高校视人数规模不同,每年有1万~3万的黑名单累加,10年大约有20万甚至更庞大的黑名单数量;
2)基于网络通讯的不及时性和通讯速度慢(如485、NB-IoT协议通讯),导致黑名单不能及时传送到终端机具上,造成非法卡盗刷的危险现象时有发生;
3)各高校一卡通日常使用管理存在差异;
4)权限控制已经从单一实体卡禁止或允许身份识别向多样式识别媒介状态控制过渡。一卡通在使用过程中,多方面的管理缺失导致黑名单无法及时下传,容易造成黑名单的管理漏洞,比如:使用终端机具的人员随意关机,管理机制不健全,使用一卡通的管理机构管理意识淡薄而长期不关注黑名单的产生等。
由此可知,目前一卡通黑名单管理急需解决的如下问题:
(1)即使校园卡采用高安全性的CPU卡,完成一个交易过程也不超过0.8秒,因此需要解决针对终端机具上存储的几万甚至数十万个黑名单信息,快速搜索定位到某个黑名单而不产生过多延时的问题,
(2)针对脱机终端如何确保黑名单的完整性。
(3)校园卡挂失后黑名单如何及时推送。
(4)多年之后黑名单数量如何控制。
(5)如何避免黑名单的数量超过终端机具的存储空间,不至于引发黑名单的不完整发放等等。
基于以上问题,必须针对一系列的黑名单管理模式进行综合管理和优化。需要改进黑名单的处理和管理机制,控制和优化黑名单的数量,确保整个系统运行若干年后不会因为黑名单数量剧增而瘫痪,集中体现黑名单管理的长期性和有效性。下面针对目前各高校的一卡通系统的黑名单管理问题提出主要优化模式。
2 校园一卡通黑名单管理模式的优化
校园一卡通黑名单的产生是由于校园一卡通使用超出系统规定的安全范围而将校园卡信息列入黑名单的管理过程,比如:卡挂失、卡注销、卡损坏、卡有效期超期、卡冻结、非法卡发现、账户异常等行为。由于系统长时间运行后,许多卡经常进行挂失解挂、冻结解冻、账户由异常状态恢复到正常状态等操作,导致系统产生黑名单版本数量很多并且频次比较高,势必会导致服务器和终端机具内黑名单数量越来越多,终端机具在读卡验证时处理速度也会相应减慢。因此,为保证一卡通校园卡正常使用的安全性,防止出现非法校园卡合法化的危险事件发生,大量黑名单需要进行常态性的合并、删除、优化等动态操作管理。
黑名单动态管理,主要是对黑名单的产生、分发、清理等进行优化管理,自动处理冗余的黑名单,保证每张非法的校园卡黑名单具有唯一性,能保证系统黑名单使用边界和管理高效性,可以采用如下模式进行综合考虑并予以实施。
2.1 加强黑名单日常系统管理,经常性进行清理和优化
校园一卡通系统对校园卡黑名单的日常管理,主要从卡挂失解挂、冻结解冻、补卡、坏卡回收、校园卡有效期是否已过、库中黑名单记录的核查等方面采取措施,保证库中的黑名单数量得到优化处理,尽量减少向终端设备下发黑名单的数量和次数,减少网络压力和通讯频次。本文设计的优化模式流程具体实现过程如图1所示。
在日常管理中要做到:一卡通的日常使用中,同一张校园卡可能存在挂失解挂、冻结解冻等多次操作,出现同一张校园卡有多个黑名单版本;系统可以对这些情况予以优化:只保存最新的版本进行下发,同时从数据库和终端设备中清除以前产生的黑名单版本。对于校园卡的有效期到期后,由于校园卡中保存了有效期的时间,各种终端机具对校园卡进行读写时会核对有效期,决定是否允许对校园卡进行禁用或允许下一步操作,因此,对于有延期的校园卡,系统可以下发解除黑名单的指令。在整个卡业务进行中,管理者要及时回收补卡过程中的坏卡,记录坏卡信息;校园卡销毁后保证系统产生黑名单删除批次号,并向终端设备下发删除指令,清除终端机具中涉及到的所有该校园卡的黑名单版本,同时数据库中不再保留该卡的黑名单信息。该模式的实现,使终端机具能在极短时间内完成下发优化后黑名单数量的任务,保证整个一卡通系统业务进行时具有业务完成及时、网络通讯快速、库中黑名单达到最优化状态、交易安全性高的特点。
2.2 加强改善一卡通使用环境,完善一卡通使用方式
完善一卡通日常使用方式,稳定活动校园卡的使用量,譬如:针对校外非正式人员,通过增设周转卡(流通卡)的循环使用,可以减少新卡办理的数量,在稳定活动校园卡的使用量、减缓库存卡信息容量急剧增加等方面有很大作用。
制定完备的一卡通使用各项规章制度,为一卡通使用创造良性使用环境。如设置校园卡操作说明和使用手册、商户管理制度、机具和系统的运行保障制度、异常账户处理机制等。
3 校园一卡通黑名单使用技术环境的保障和优化
3.1 优化黑名单信息搜索算法,提高终端设备黑名单检索速度
针对百万级容量的黑名单信息搜索速度问题,如果采用原始的顺序检索方式,即使搜索1万个黑名单列表,经测试,基于ARM架构的终端机具所等待的时间也需要若干分钟以上,肯定不能满足高校食堂消费、门禁等场所刷卡后在极短时间tn(tn<1 s)内检索出黑名单是否存在的需求。解决上述问题的方法可以采取目前先进的计算机信息检索算法予以解决。这些算法包含软件检索算法和硬件检索算法;其中,软件检索算法如:二叉树查找算法、分块查找算法、哈希表查找算法等;硬件检索算法包含:专用可寻址的存储器、FPGA(现场可编程门阵列)实现的检索算法、专用硬件检索机芯片等。软件检索算法虽然可以节约大量的存储空间,能达到最大优化存储黑名单的数量,但是,速度上没有硬件检索算法搜索快。相对于管理高校约100万左右的黑名单数量,适当牺牲一定量的存储空间,采用硬件检索算法比较合适。专用可寻址的存储器检索算法复杂度相比FPGA检索算法和专用硬件检索机芯片比较简单,应用比较广泛。
其中,基于硬件检索算法的RAM(存储器)的查找算法是指将要搜索的对象信息以一定的算法存储到RAM中,在查找时采用同样的算法获取输出信息。最简单的RAM查找方案是采用专用可寻址的RAM检索算法查找,即在RAM中为所有搜索项按照地址全部建立一个对应的信息表项,进行查找时仅需要对RAM寻址一次就可以检索到需要的信息。但是这样的查找方法需要消耗一定的存储空间。例如:以100万个一卡通名单容量为例,每个名单需要存放一个字节信息,需要8位信息比特,总容量约100 MB,32比特(bit)地址线的RAM存储芯片(组)可以满足,因此采取专用可寻址的RAM(存储器)检索算法RAM查找,在一卡通终端机具中搜索黑名单信息算法简单、寻址速度快、技术简单且容易实现。该算法每次寻址的一个字节内容,寻址的信息量状态可达256种(2的8次方),可以充分将校园卡中的实体卡、虚拟卡以及关联身份认证媒介如指纹、人脸识别等权限状态(含禁止或允许)表示出来,搜索出来的信息量大。该算法在校园卡系统中黑名单检索和操作过程实现过程如图2所示。
3.2 选择性价比高的终端设备和高可靠的网络环境
校方需要对终端设备黑名单管理数提出百万容量甚至更高的要求,规定设备黑名单存储量应该有百万以上的存储空间,设备采用基于ARM或更优的硬件架构,才能满足目前高校一卡通黑名单数据量持续扩大的需要。整个一卡通系统网络通讯采用专网架设,建设三级等保的一卡通运维环境,加强数据稳定性和安全性。一卡通终端机具采用TCP/IP协议通讯,有利于提高通讯速度,降低通讯差错率,充分保障了一卡通黑名单实时和稳定使用。
4 结 论
通过以上各种黑名单的优化管理模式的运用,基本上能解决如下问题:能稳定一卡通库中缓慢增长黑名单的数量,能保持各个终端机具的黑名单具有足够的存储空间,能提供整个一卡通网络的通讯效率,对于校园卡黑名单的管理基本能达到良好的管理效果。以上模式提供的措施基本保证了终端機具内的黑名单完整有效,在实际使用中也基本杜绝了非法卡的消费和身份认证的现象。校园卡的循环利用避免了大量沉睡卡的存在,终端设备的定时联机验证确保了消费记录及时上传,改善了营业账务流水的结算周期。可见,加强对一卡通黑名单的有效管理,采取各种有效的措施,一卡通黑名单的日积月累的数量增长问题还是能很好地得到解决,同时能增强一卡通系统的安全性。
参考文献:
[1] 董兆殷.数字化校园一卡通系统的安全 [J].今日科苑,2010(10):114.
[2] 朱杰,夏艳东,弓英.校园一卡通系统安全分析 [J].数字化用户,2013(28):71.
[3] 任洪琴,辛萍,张兵兵,等.数字化校园一卡通系统安全问题探讨 [J].医学信息,2009,22(9):1720-1722.
[4] 安金聚.校园一卡通系统中的黑名单处理机制 [J].中国教育网络,2012(6):77.
[5] 谢希仁.计算机网络:第6版 [M].北京:电子工业出版社,2013.
[6] 黄震春.微型计算机原理 [M].北京:机械工业出版社,2014.
[7] 刘士峰.银行管理与IT架构 [M].上海:华东理工大学出版社,2014.
[8] 王爱英.智能卡技术(第四版)——IC卡、RFID标签与物联网 [M].北京:清华大学出版社,2015.
[9] 陈学武,李海波,侯现耀.城市公交IC卡数据分析方法及应用 [M].北京:科学出版社,2014.
[10] 《建设事业IC卡应用技术与发展》编委会.建设事业IC卡应用技术与发展 [M].北京:中国建筑工业出版社,2003.
[11] 李东荣.《中国金融集成电路(IC)卡规范(3.0版)》解读 [M].北京:中国金融出版社,2014.
[12] 国家密码管理局.智能IC卡密码检测规范:GM/T 00 41-2015 [S].北京:中国标准出版社,2015.
作者简介:刘合富(1972-),男,汉族,湖北阳新人,校园卡管理中心主任,硕士,高级工程师,研究方向:智慧校园和一卡通应用。