校園一卡通系統(tǒng)建設(shè)方案設(shè)計(jì)與實(shí)施

    汕頭職業(yè)技術(shù)學(xué)院由院本部、金園校區(qū)、新津校區(qū)和東墩校區(qū)組成，現(xiàn)有各類學(xué)生1.5×104多個(gè)，教職工700余人。根據(jù)學(xué)院信息化發(fā)展規(guī)劃及系統(tǒng)部署進(jìn)程安排，院本部和金園校區(qū)要實(shí)現(xiàn)網(wǎng)絡(luò)同城互聯(lián)并啟動(dòng)一卡通系統(tǒng)建設(shè)項(xiàng)目。該項(xiàng)目分前、后兩期工程，前期工程包括：食堂售飯系統(tǒng)、智能水控系統(tǒng)、圖書借閱系統(tǒng)等。后期工程包括：教務(wù)系統(tǒng)、上機(jī)管理系統(tǒng)、門禁考勤管理系統(tǒng)、智能控電系統(tǒng)、銀行圈存轉(zhuǎn)賬系統(tǒng)等的擴(kuò)展和接入，真正實(shí)現(xiàn)信息與資源的共享，實(shí)現(xiàn)全面一卡通應(yīng)用。本文根據(jù)學(xué)院校園一卡通系統(tǒng)的建設(shè)目標(biāo)和需求，設(shè)計(jì)了該系統(tǒng)的技術(shù)解決方案并付諸實(shí)施。

    1系統(tǒng)建設(shè)目標(biāo)及需求分析概述

    “校園一卡通”是指在學(xué)校范圍內(nèi)，凡涉及到現(xiàn)金或身份識(shí)別的場(chǎng)合均采用卡來完成。該卡集學(xué)生證、工作證、身份證、借書證、錢包等于一體，達(dá)到證件、消費(fèi)等收費(fèi)和管理的電子化和智能化。

    一卡通系統(tǒng)建設(shè)要實(shí)現(xiàn)：1）形成統(tǒng)一的信息平臺(tái)，促進(jìn)教育信息的標(biāo)準(zhǔn)化，構(gòu)建優(yōu)良的數(shù)字空間和信息共享環(huán)境；2）在全校實(shí)現(xiàn)統(tǒng)一的電子支付和費(fèi)用收繳管理，解決校園各類費(fèi)用收繳煩、雜、難等問題；3）整合和帶動(dòng)各類管理信息系統(tǒng)的建設(shè)，提升學(xué)校管理效率和管理水平；4）促進(jìn)學(xué)校網(wǎng)絡(luò)應(yīng)用平臺(tái)的建設(shè)，逐步完成校內(nèi)應(yīng)用系統(tǒng)體系結(jié)構(gòu)的升級(jí)。

    系統(tǒng)的需求主要從業(yè)務(wù)、功能、技術(shù)等角度進(jìn)行考察，下面筆者僅對(duì)技術(shù)需求分析進(jìn)行論述。技術(shù)需求主要包括：1）身份信息來源于統(tǒng)一身份管理中心，數(shù)據(jù)同步機(jī)制基于統(tǒng)一的身份中心和數(shù)據(jù)中心；2）建設(shè)一卡通專網(wǎng)以提高系統(tǒng)安全性和可維護(hù)性；3）整合現(xiàn)有異構(gòu)系統(tǒng)；4）卡片結(jié)構(gòu)設(shè)計(jì)需具備身份認(rèn)證信息區(qū)、電子錢包信息區(qū)、自定義信息區(qū)及多電子錢包并且有足夠冗余；5）可支持脫機(jī)支付；6）提供通用的開發(fā)接口，便于擴(kuò)展和升級(jí)；7）須提供滿足各類應(yīng)用的集成、開發(fā)、運(yùn)行和管理工具。

    校園卡方面主要的需求如下：選用非接觸式射頻卡；終端感應(yīng)距離范圍達(dá)到5~10cm；卡內(nèi)的數(shù)據(jù)區(qū)存儲(chǔ)身份信息和電子錢包信息，卡片采用目錄式管理；卡中的個(gè)人身份信息包括持卡人的姓名、性別、學(xué)/工號(hào)、身份證號(hào)碼等信息。

    2系統(tǒng)總體設(shè)計(jì)

    本系統(tǒng)的總體設(shè)計(jì)包括：系統(tǒng)總體框架、軟件體系架構(gòu)、數(shù)據(jù)流以及數(shù)據(jù)庫等。

    2.1系統(tǒng)總體框架

    系統(tǒng)由數(shù)據(jù)中心、一卡通平臺(tái)、接口服務(wù)器等三大部分構(gòu)成。其中，一卡通平臺(tái)采用COM+技術(shù)整合了卡應(yīng)用系統(tǒng)、自助系統(tǒng)和管理系統(tǒng)；接口服務(wù)器則采用COM/DELL接口技術(shù)連接圖書管理、教務(wù)系統(tǒng)、門禁系統(tǒng)等。如圖1所示。

    COM+是基于二進(jìn)制組件和接口的編程，通過使用透明RPC層，可以跨越進(jìn)程和計(jì)算機(jī)邊界進(jìn)行遠(yuǎn)程方法調(diào)用。COM+組件可以在成品中升級(jí)和擴(kuò)展，不會(huì)對(duì)使用它們的客戶端應(yīng)用程序造成影響。COM+把COM組件提升到應(yīng)用層，它通過操作系統(tǒng)的各種支持，把所有組件的底層細(xì)節(jié)屏蔽。

    良好接口技術(shù)的運(yùn)用使該架構(gòu)伸縮性良好，耦合度低，便于升級(jí)擴(kuò)充。

    2.2軟件體系架構(gòu)

    軟件體系架構(gòu)如圖2所示。系統(tǒng)采用.NET開發(fā)環(huán)境，提供以COM+為中間通訊組件的三層結(jié)構(gòu)，軟件體系架構(gòu)由數(shù)據(jù)層、業(yè)務(wù)層和表現(xiàn)層組成。其中，業(yè)務(wù)層（即中間層）主要負(fù)責(zé)業(yè)務(wù)規(guī)則、數(shù)據(jù)訪問、合法性校驗(yàn)等工作。采用三層體系的應(yīng)用程序最大的優(yōu)點(diǎn)是把業(yè)務(wù)邏輯獨(dú)立出來，客戶端不直接與數(shù)據(jù)庫進(jìn)行交互，而是通過COM/DCOM通訊與中間層建立連接，再由中間層與數(shù)據(jù)庫進(jìn)行交互。在業(yè)務(wù)邏輯需要改變時(shí)不影響表現(xiàn)層和后端數(shù)據(jù)服務(wù)層，因此，它能夠滿足校園一卡通應(yīng)用程序可伸縮性或可擴(kuò)展性的需求。同時(shí)，該系統(tǒng)為財(cái)務(wù)系統(tǒng)、教務(wù)管理系統(tǒng)等其它系統(tǒng)提供標(biāo)準(zhǔn)接口、API、動(dòng)態(tài)庫、第三方代理等，實(shí)時(shí)處理來自其它系統(tǒng)的業(yè)務(wù)請(qǐng)求，實(shí)現(xiàn)與其它系統(tǒng)的整合。

    2.3數(shù)據(jù)流圖

    系統(tǒng)主要的用戶群是學(xué)生和教職員工，因此，在對(duì)系統(tǒng)的數(shù)據(jù)流進(jìn)行分析時(shí)筆者重點(diǎn)關(guān)注系統(tǒng)用戶的數(shù)據(jù)流向。由于系統(tǒng)功能龐大，數(shù)據(jù)流層次較多，為簡要說明系統(tǒng)的運(yùn)行機(jī)制，此處僅將最為重要的頂層數(shù)據(jù)流圖作重點(diǎn)分析。數(shù)據(jù)流圖如圖3、圖4所示。系統(tǒng)的外部實(shí)體主要包括學(xué)生、教工、臨時(shí)人員以及管理員等；系統(tǒng)對(duì)數(shù)據(jù)的加工主要包括持卡人資料管理、卡用戶管理、系統(tǒng)管理、交易處理、銀行前置機(jī)以及帳務(wù)處理等；數(shù)據(jù)存儲(chǔ)主要包含歷史交易表、帳戶劃結(jié)表、日結(jié)月結(jié)明細(xì)報(bào)表以及統(tǒng)計(jì)報(bào)表等。

    3數(shù)據(jù)庫模型設(shè)計(jì)

    系統(tǒng)采用SQLServer2000數(shù)據(jù)庫管理系統(tǒng)。在系統(tǒng)數(shù)據(jù)庫中用于不同功能的表較多，主要有2類表：
    1）基本功能表。此類表的主要作用是記錄其它表所需要的一些基礎(chǔ)輔助信息。包括用戶密碼、學(xué)生個(gè)人信息、教師個(gè)人信息相應(yīng)的表、消費(fèi)記錄信息表等；

    2）功能操作表。此類表用于記錄各系統(tǒng)功能操作生成的數(shù)據(jù)。

    數(shù)據(jù)庫的設(shè)計(jì)對(duì)于系統(tǒng)最終是否取得成功關(guān)系重大，各表及其字段的定義將直接影響到用戶使用的效果。特別是與用戶消費(fèi)記錄、系統(tǒng)帳務(wù)記錄等相關(guān)的數(shù)據(jù)表的設(shè)計(jì)，更是重中之重。因此，采用性能良好的數(shù)據(jù)庫管理平臺(tái)對(duì)系統(tǒng)運(yùn)行的穩(wěn)定性和底層數(shù)據(jù)的安全性將起到關(guān)鍵作用。

{$page$}

    本系統(tǒng)采用二維關(guān)系數(shù)據(jù)庫表，由于表數(shù)目較多，數(shù)據(jù)量龐大，而一卡通系統(tǒng)對(duì)數(shù)據(jù)記錄的計(jì)算、查詢、篩選以及排序等操作的性能（如時(shí)間、空間開銷）要求較高，因此，本系統(tǒng)采用較為先進(jìn)的基于中間層的軟件體系結(jié)構(gòu)，由中間層與系統(tǒng)數(shù)據(jù)庫進(jìn)行交互，這種交互封裝在特定的數(shù)據(jù)庫訪問模塊中，可確保數(shù)據(jù)庫操作的獨(dú)立性和可靠性。

    4系統(tǒng)安全設(shè)計(jì)

    為了確保一卡通系統(tǒng)運(yùn)行的高可靠性和可用性，必須針對(duì)卡片進(jìn)行安全方面的規(guī)劃，同時(shí)，網(wǎng)絡(luò)信息安全也不可忽視。

    4.1校園卡安全設(shè)計(jì)

    針對(duì)校園卡的安全性，主要采取卡加密、備份、性能檢驗(yàn)以及信息分區(qū)等方法來確?？ㄆ褂玫陌踩玔4]。具體安全方案如下：

    1）卡區(qū)加密。卡共分為32個(gè)區(qū)，每個(gè)區(qū)都有獨(dú)立的密碼信息，在對(duì)每個(gè)區(qū)的信息進(jìn)行讀寫前，都要先進(jìn)行密碼校驗(yàn)，校驗(yàn)正確后才能對(duì)本區(qū)的信息進(jìn)行訪問；

    2）信息備份。卡內(nèi)的信息都采用備份的方法記錄2次，這樣，信息的可靠性更有保證；

    3）性能檢驗(yàn)。由于卡內(nèi)存儲(chǔ)空間較大，系統(tǒng)在卡內(nèi)記錄了詳細(xì)的金額信息，這些信息本身就有一套完善的信息校驗(yàn)機(jī)制，POS機(jī)或軟件系統(tǒng)可根據(jù)校驗(yàn)信息確定卡的有效性；

    4）信息分區(qū)。把金額信息和身份信息放在不同的分區(qū)，提高數(shù)據(jù)獨(dú)立性和可控性。

    4.2網(wǎng)絡(luò)安全設(shè)計(jì)思路

    一卡通系統(tǒng)的數(shù)據(jù)庫平臺(tái)連接在校園網(wǎng)上，為保證數(shù)據(jù)的安全性，應(yīng)減少未授權(quán)的用戶訪問數(shù)據(jù)庫系統(tǒng)及應(yīng)用系統(tǒng)。可采用靜態(tài)VLAN技術(shù)，將所有需要訪問數(shù)據(jù)庫服務(wù)器的主機(jī)和終端設(shè)備，指定到特定VLAN的端口，并將MAC地址與交換機(jī)端口進(jìn)行綁定，確保數(shù)據(jù)訪問的合法性。

    另一方面，可采用基于校園網(wǎng)的VPN，即在校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施上創(chuàng)建專用數(shù)據(jù)通信網(wǎng)絡(luò)。數(shù)據(jù)通過安全的加密隧道在校園網(wǎng)中傳輸，從而保證了通信的保密性和專有性。

    為了共享校園網(wǎng)資源，一卡通專網(wǎng)與校園網(wǎng)采用防火墻進(jìn)行單通道通信，保證一卡通網(wǎng)絡(luò)能訪問校園網(wǎng)資源，但校園網(wǎng)不能訪問一卡通專網(wǎng)，從而防止可能的非法偵聽，使一卡通網(wǎng)絡(luò)上的設(shè)備能夠安全、穩(wěn)定的運(yùn)行。

    5多校區(qū)一卡通系統(tǒng)建設(shè)

    多校區(qū)一卡通系統(tǒng)部署如圖5所示。

    為有效利用多校區(qū)校園網(wǎng)絡(luò)信息資源，在設(shè)計(jì)多校區(qū)一卡通系統(tǒng)時(shí)，要充分考慮學(xué)院各校區(qū)之間的互聯(lián)。本系統(tǒng)采用VPN通道將多校區(qū)一卡通分系統(tǒng)進(jìn)行互聯(lián)，并設(shè)計(jì)了良好的系統(tǒng)運(yùn)行機(jī)制以確保系統(tǒng)的穩(wěn)定性和統(tǒng)一性。

    校本部設(shè)立主中心，校區(qū)設(shè)立分中心并部署應(yīng)急服務(wù)器及中間層。當(dāng)VPN通道正常連通時(shí)，所有分中心業(yè)務(wù)都通過主中間層來處理；當(dāng)VPN通道不通時(shí)，分中心中間層接管校區(qū)的業(yè)務(wù)；當(dāng)VPN通道通暢后，程序?qū)⒆詣?dòng)傳送最新業(yè)務(wù)數(shù)據(jù)到主服務(wù)器，并切換至主中間層。這種運(yùn)行機(jī)制可以有效確保系統(tǒng)的健壯性。

    校園一卡通工程宜采用“統(tǒng)一規(guī)劃、分步實(shí)施”的建設(shè)思路。先從小規(guī)模的應(yīng)用開始實(shí)施，再逐步過渡和擴(kuò)展到中等規(guī)模的應(yīng)用部署，最后真正實(shí)現(xiàn)“一卡通”建設(shè)的總體目標(biāo)。經(jīng)過詳細(xì)論證，本系統(tǒng)采用的主要技術(shù)參數(shù)如表1所示。

    6結(jié)語

    本系統(tǒng)采用基于中間層的軟件架構(gòu)，在.NET框架下進(jìn)行開發(fā)，數(shù)據(jù)庫采用SQLServer2000，系統(tǒng)運(yùn)行在與校園網(wǎng)絡(luò)進(jìn)行邏輯隔離的一卡通專網(wǎng)之上，良好的卡片安全和網(wǎng)絡(luò)安全機(jī)制確保了系統(tǒng)運(yùn)行的可靠性。本系統(tǒng)功能強(qiáng)大，運(yùn)行穩(wěn)定，可管理性和可擴(kuò)展性強(qiáng)，實(shí)現(xiàn)了項(xiàng)目預(yù)定目標(biāo)。