数字校园一卡通系统的建设策略与实现.ppt
数字校园一卡通系统的建设策略与实现,习 捷,东北大学 软件中心 沈阳 110179,摘要,2,3,4,1,基于校园金融服务平台为核心的网络 从数字化校园服务、一卡通系统建设和管理,以及整个系统的安全等多个角度讨论了构建一卡通信息管理的解决方案,不仅从业务角度提出了一系列管理策略 也从技术角度阐述了系统的构架和实现,详细讨论了整个系统的安全防范措施 还对将来数字化校园进一步可以实现的前景进行了规划,不仅适用于数字校园环境下的一卡通系统的建设 也为类似系统提出了一套构建策略,校园一卡通系统的现代化管理策略,议题,引言数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略结语,引言,校园信息化两大应用领域数字校园环境下的校园一卡通,校园信息化,校园信息化数字校园环境下的一卡通是现代化校园管理的重要应用,必须依托学校现有的校园网进行建设,社会服务信息化,校园管理信息化,校园信息化,数字化校园,校园一卡通,作为整个数字化校园的核心,设计上必须符合数字化校园的设计思想 不仅仅是消费系统,还具备管理功能和具备身份识别功能 建立的身份信息库能与中央信息库实现数据交换,为与其它MIS、OA系统的互连互通打好基础,议题,引言数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略结语,数字校园环境下一卡通系统的构建,数字校园的发展新一代的数字校园校园卡发展和银行校园卡校园一卡通,数字校园的发展,从广义的角度而言,校园管理信息化都可以认为是数字校园的存在形态,局域网加部门级应用,校园网加简单的数据集中,单机加文档级应用,数字校园的发展,1,2,3,第三代数字校园系统,有了一定的校级数据集中的设计 是基本意义上的“数字校园”,但也存在着缺乏统一的技术标准、缺乏平台化的设计等问题,新一代的数字校园,活动,实现全部数字化,以网络为基础,先进的信息化手段和工具,资源,教学 管理服务 办公,图书 讲义 课件,环境,设备 教 室,校园卡发展和银行校园卡,从20世纪80年代出现的校园就餐卡算起,校园卡的发展,有后勤服务的逻辑加密卡加大食堂卡,具有银行金融结算功能的智能卡加银行卡,不加密的ID卡加食堂卡,校园就餐卡的发展,1,2,3,银行校园卡,以银行结算平台为基础 通过充分利用安全性高、结算功能齐全、使用范围广泛的银行金融结算系统 实现校园电子货币一卡通,不但解决了资金风险问题 而且使校园卡具有充分的开放性和前瞻性,校园一卡通,校园一卡通在卡的基础上开发各类应用与服务,身份认证,取款,个人信息查询,function,consumption system,information system,covers,of the campus,Based on Card,综合消费系统,信息查询系统,收缴费及各类款项支取 校内各类消费,身份认证、门禁、考勤、图书借阅、保安巡更 水电费用、科研课题、教学情况、学籍学分、课程成绩、管理信息查询及统计分析等,议题,引言数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略结语,校园一卡通系统建设的构架与实现,新一代校园一卡通校园一卡通软件系统架构校园一卡通系统逻辑架构,新一代校园一卡通,新一代的校园一卡通超越了传统的设计模式,one web,one database,one card,three networks,one database,multi-card,校园网(内网)互联网(外网)涉密信息部门之间或多个 校区之间通讯的专用网络,集中化的、标准化 校园基础数据库,卡片的选型应以应用为中心 而不是以卡片为中心 形成多卡并存、相辅相成、灵活方便的运行模式,校园一卡通软件系统架构,安 全 管 理,一 卡 通 公 共 信 息 库,一卡通认证相关信息,一卡通金融相关信息,存储层,POS消费,机务管理,多媒体教室管理,浴室管理,声像视听室管理,教室管理,体育活动房管理,电子阅览室管理,大门门禁管理,会议签到管理,电子看存柜管理,医疗收费管理,宾馆宿舍办公室门禁管理,业务逻辑管理维护,逻辑层,综合前置,表现层,银行系统 财务系统教务系统 图书系统,用户层,综合查询统计分析,身分认证,权限管理,清算管理,卡务管理,财务结算管理,人员信息管理,单位信息管理,公共组件,专用组件,消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏,Agent,业务逻辑入口,业务逻辑控制,整个软件系统架构分为数据存储层、逻辑层、表现层和用户层,校园一卡通软件系统架构,安 全 管 理,一 卡 通 公 共 信 息 库,一卡通认证相关信息,一卡通金融相关信息,存储层,POS消费,机务管理,多媒体教室管理,浴室管理,声像视听室管理,教室管理,体育活动房管理,电子阅览室管理,大门门禁管理,会议签到管理,电子看存柜管理,医疗收费管理,宾馆宿舍办公室门禁管理,业务逻辑管理维护,逻辑层,综合前置,表现层,银行系统 财务系统教务系统 图书系统,用户层,综合查询统计分析,身分认证,权限管理,清算管理,卡务管理,财务结算管理,人员信息管理,单位信息管理,公共组件,专用组件,消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏,Agent,业务逻辑入口,业务逻辑控制,数据存储层是整个信息系统的最底层,包括人员信息、单位信息、校园卡账户信息和消费信息等等,校园一卡通软件系统架构,安 全 管 理,一 卡 通 公 共 信 息 库,一卡通认证相关信息,一卡通金融相关信息,存储层,POS消费,机务管理,多媒体教室管理,浴室管理,声像视听室管理,教室管理,体育活动房管理,电子阅览室管理,大门门禁管理,会议签到管理,电子看存柜管理,医疗收费管理,宾馆宿舍办公室门禁管理,业务逻辑管理维护,逻辑层,综合前置,表现层,银行系统 财务系统教务系统 图书系统,用户层,综合查询统计分析,身分认证,权限管理,清算管理,卡务管理,财务结算管理,人员信息管理,单位信息管理,公共组件,专用组件,消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏,Agent,业务逻辑入口,业务逻辑控制,逻辑层包括公共组件、专用组件、业务逻辑控制三部分,是通用组件,为各业务子系统及接口所共享 提供了身份信息、各种信息管理维护查询等功能 可以很方便地为将来的数字化校园所用,为各业务模块提供个性化功能 多数组件在物理上可以分为两部分 一部分位于应用服务器端,一部分位于客户端,完成交易信息分发功能 将从用户层接收到的交易发送给相应的处理组件,校园一卡通软件系统架构,安 全 管 理,一 卡 通 公 共 信 息 库,一卡通认证相关信息,一卡通金融相关信息,存储层,POS消费,机务管理,多媒体教室管理,浴室管理,声像视听室管理,教室管理,体育活动房管理,电子阅览室管理,大门门禁管理,会议签到管理,电子看存柜管理,医疗收费管理,宾馆宿舍办公室门禁管理,业务逻辑管理维护,逻辑层,综合前置,表现层,银行系统 财务系统教务系统 图书系统,用户层,综合查询统计分析,身分认证,权限管理,清算管理,卡务管理,财务结算管理,人员信息管理,单位信息管理,公共组件,专用组件,消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏,Agent,业务逻辑入口,业务逻辑控制,表现层是用户与一卡通系统交互的接口,接收用户数据以及返回结果,校园一卡通软件系统架构,安 全 管 理,一 卡 通 公 共 信 息 库,一卡通认证相关信息,一卡通金融相关信息,存储层,POS消费,机务管理,多媒体教室管理,浴室管理,声像视听室管理,教室管理,体育活动房管理,电子阅览室管理,大门门禁管理,会议签到管理,电子看存柜管理,医疗收费管理,宾馆宿舍办公室门禁管理,业务逻辑管理维护,逻辑层,综合前置,表现层,银行系统 财务系统教务系统 图书系统,用户层,综合查询统计分析,身分认证,权限管理,清算管理,卡务管理,财务结算管理,人员信息管理,单位信息管理,公共组件,专用组件,消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏,Agent,业务逻辑入口,业务逻辑控制,用户层是用户可以实际看到的应用,校园一卡通软件系统架构,安 全 管 理,一 卡 通 公 共 信 息 库,一卡通认证相关信息,一卡通金融相关信息,存储层,POS消费,机务管理,多媒体教室管理,浴室管理,声像视听室管理,教室管理,体育活动房管理,电子阅览室管理,大门门禁管理,会议签到管理,电子看存柜管理,医疗收费管理,宾馆宿舍办公室门禁管理,业务逻辑管理维护,逻辑层,综合前置,表现层,银行系统 财务系统教务系统 图书系统,用户层,综合查询统计分析,身分认证,权限管理,清算管理,卡务管理,财务结算管理,人员信息管理,单位信息管理,公共组件,专用组件,消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏,Agent,业务逻辑入口,业务逻辑控制,通过这样的设计,使整个系统与银行系统和学校原有的软件系统及学校管理信息系统保持良好的接口,实现了数字校园环境下一卡通系统的建设,校园一卡通系统逻辑架构,消费终端、现金充值等业务通过一卡通专网完成;身份认证和其他管理系统通过校园网完成,校园一卡通系统逻辑架构,系统的核心是数据库服务器、主机应用服务器、前置服务器,数据库服务器存储数据,数据共享的基础,主机应用服务器后台服务程序,处理各类交易,前置服务器与银行交易的出口,安全校验,存储转发,校园一卡通系统逻辑架构,主机应用服务器,处理上传消费流水 与子系统对帐 下传变更信息 安全认证 一般性数据结算 特殊交易处理,校园一卡通系统逻辑架构,前置服务器,安全校验 配置管理 存储转发 与银行方对帐 交易处理 圈存:银行卡-校园卡 圈提:校园卡-银行卡,议题,引言数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略结语,数字校园一卡通系统安全管理策略,系统安全性要素系统安全防范体系通讯安全交易安全操作安全数据安全卡片安全,密钥管理系统传输安全POS机安全金融级安全,系统安全性要素(1),业务安全角度,运行安全角度,智能卡系统安全角度,财务系统严谨性角度,日常管理角度,传统安全角度,系 统 安 全,系统安全性要素(2),财务严谨性,系统安全,智能卡系统特性,运行角度,日常管理,业务角度,传统角度,7*24小时不间断运行高稳定性和高可靠性,严格的对账机制黑名单管理结算管理优化,加强病毒防范,通信安全网络安全,操作安全数据安全,密钥安全卡片安全终端安全,系统安全防范体系,新模式下的校园一卡通系统针对交易过程的每一个关键节点都设计了有针对性的安全措施,从而构筑了一个立体的、完整的安全防范体系,neteye,neteye,neteye,通讯安全,VLAN technology,Firewall,visiting id,校园数据中心系统对访问的权限有严格的限制,在数据区域的出入口放置防火墙,执行安全及访问控制功能,使用VLAN技术隔离不同业务部分 根据路由策略进行按需通讯,交易安全(1),系统通过黑白名单管理实现了交易的安全有效期识别功能能有效的防止过期卡片使用系统还提供了非法卡、黑卡报警功能,POS机每次开机时从校园一卡通系统服务器联机下载各类所需数据,各类卡交易都达到了高度的实时性,黑名单/白名单在POS每次开机时从校园一卡通系统服务器联机下载,因此脱机模式下仍可保持绝大部分黑/白名单的有效性,联机模式,脱机模式,交易安全(2),交易安全还通过数字签名、双向认证实现,终端和用户卡首先进行相互认证,用于该交易流水上送主机后进行合法性校验,储蓄卡交易,电子钱包的消费,银行和一卡通系统安全体系来保障,“安全认证”和“交易签名”来保障,操作安全,系统采取设置分级管理来保障操作的安全性,分级管理,各级管理员在自己权限范围内进行权限分配的工作,各部门间同级操作员,采用了部门隔离的处理方法,作为系统总管理员,只需管理各专业的分管理员,数据安全,负载均衡技术(Load-balance),数据传输的各个环节,采用报文加密和报文验证码的方式,系统采用国际通用的DES算法将敏感数据加密后保存到数据库,群集技术(Clusters),保证交易报文的可靠传输,保证系统数据的安全,保障大数据容量系统运行的高可靠性和系统交易的不间断性,卡片安全,系统通过“一卡多密、密钥分散”实现了卡片的安全IC卡中信息的读写均需经过密钥的认证,一卡多密 密钥分散,IC卡根据不同的应用划分不同的应用分区,各应用分区拥有各自不同的密钥管理,密钥管理系统,金融功能所需的密钥包括:,母卡的生成,种子密钥和主密钥的生成,PSAM卡的生成,密钥管理系统,消费安全认证模块卡(Purchase secure access module card),终端安全,系统通过“硬件加密、多级保护”实现了终端的安全,硬件加密 多级保护,终端设备专机专用,授权使用,终端设备的具有大容量数据存储区,支持历史数据重复采集功能,终端设备支持脱机消费功能,POS机安全,PSAM卡装载商户信息、终端信息,POS机只充当一个转发器,PSAM卡装有消费主密钥,所有的POS机均具有通用性,POS机的安全是基于PSAM卡实现的,POS机,金融级安全,系统采取了金融级的安全在交易的过程中,对每一个交易环节都进行了严格的认证与控制,the design of key management,the design of terminal management,hardware,无论是密钥管理系统,还是终端管理,都采用了硬件级的安全与加密模块进行设计,议题,引言数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略结语,展望,以及遍布校园及持卡人生活社区的各个角落的自助设备,通过媒体介入网上银行、电话银行和手机银行等前置群,逐步建立起一个以校园金融服务平台为核心的数字校园网络,享受众多先进的服务项目,持卡人可以根据实际应用情况任选组合,最终实现基于Intranet和客户服务中心,集中式管理,远程处理,动态核算和网络化的工作方式的电子商务 把学校建设成具有鲜明特色的,先进的数字化校园,银证通,移动银行,网上购物,代收代付专家理财,结语,conclusion,1,2,3,4,5,6,介绍了数字校园和一卡通系统的概念,尤其强调了交易、操作、卡片、传输、POS机以及密钥管理系统等多方面的安全策略,提出了新一代的数字校园和一卡通系统的组成和特点,对数字校园和一卡通系统发展的前景进行了展望,从多个角度讨论了系统的安全要素和防范策略,讨论了校园一卡通系统建设的构架与实现,Thanks,Our beautiful Neusoft Park,