大学校园一卡通系统解决方案.docx

大学校园一卡通系统解决方案1.LL项目分析1.1.1.1. 项目概述为适应信息化需要，学校将在完善现有的数字化校园的基础上，建立一卡通应用系统。在功能上融商务消费、身份识别和金融服务于一身，在地域上实现跨校区，在功能上融商务消费、身份识别和金融服务于一身，在时间上实现数据实时全局共享。本校园一卡通项目的建设必须按照大学的总体需求规化及相关的规范标准进行实施,在本校内部体现自身的管理特色,建设符合PBC)C2.0标准CPU卡一卡通系统，实现“一卡在手，走遍校园”的目标。1.1.1.2. 项目建设目标大学校园一卡通系统按照“一网”、“一库”、“一卡”、“一平台”，“一通用客户端”的一体化建设理念，采用“平台式”、"模块化”的建设方法，实现三大骨干平台：一卡通数据平台、一卡通管理与服务平台、一卡通应用平台，适应与银行系统、学校原有的各类应用系统衔接,和系统本身应用规模、应用层次不断扩大，将一卡通系统建设成一体化、开放式、标准化和用户可自我建设扩展的系统。1、建设符合PBc)C2.0标准的CPU卡校园一卡通，校园卡使用非接触式CPU卡，在校园内校园卡代替现金进行一切消费，校园卡代替一切证件进行认证。校园卡的充值可根据使用者的不同要求采用现金充值、银行圈存机圈存等多种方式灵活实现。2、建设校园一卡通数据中心平台；实现“一卡通”系统统一的数据存储、处理中心,数据交换中心。保证“一卡通”各子系统间、终端设备与中心数据库之间、一卡通系统与各对接管理系统之间的数据的同步和及时更新；某一子系统的数据发生变化，要及时在整个系统中反映出来。3、建设校园一卡通管理结算中心；实现卡户管理，账户处理：包括对普通持卡人账户(已开户)进行查询、冻结、解冻、挂失、解挂、销户、充值、取款、变更、换卡、打印、修改查询密码、修改卡内密码、转账等。以及实现商户管理及系统应用管理等。4、建设一卡通各应用子系统，包括银行圈存系统、各类查询系统、食堂消费系统、商场消费系统、图书馆系统、自助缴费系统等。5、实现一卡通系统和学校数字化校园的对接，包括统一门户、统一身份认证提供接口，从数字化校园系统取得职工、学生及其它资料，作为一卡通基础数据。能够通过校园卡进行学籍电子注册、成绩查询、课表查询、教学计划查询、教材选定、网上选课等等教务教学管理。6、实现通过一卡通系统实现网络自动交费。7、解决现有食堂收费系统的过渡转换方案。8、通过校园卡的使用，建立规范化项目建设和管理模式，进一步理顺服务和管理的流程，提高服务管理的质量和效率。1.1.1.3. 系统设计原则一、实用性系统应充分体现大学内部管理的模式和特点，各应用系统的开发，应做到功能完善、使用方便、切合实际、运作高效；二、先进性校园一卡通系统的建设要立足于当前先进且有发展前途的技术,系统应能够随着未来信息技术的发展而不断平滑升级；三、可管理性校园一卡通系统必需从整体架构上、具体功能上保证降低管理难度、降低维护成本、降低人员依赖，采用集中管理模式、图形化管理和监控工具，方便管理维护、出现故障能快速准确的定位问题；四、开放性校园一卡通系统应采用开放的架构、开放的平台、开放的产品，提供完备的文档资料和接口程序，开放数据结构、学校掌握密钥和算法、选择国标和开放的行业标准、支持多种硬件，系统建成后学校可自行扩展升级等；五、安全性校园一卡通系统涉及资金,身份等重要的信息,应采用严格的分级管理技术,管理人员、查询人员分级按权限操作;采用多层体系架构,单层次出现故障,系统可继续运行较长时间；系统运行中间层次、中间环节不能保留敏感数据，以避免财务风险;一旦系统恢复正常运行，系统能够自动切换，无需人工干预；对于脱机运行的设备，系统需要提供有效措施保障师生利益；提供审计功能，对于操作人员的各项操作进行审计。六、扩展性校园一卡通系统在容量和功能上不仅能满足目前用户的需求，而且也易于扩展以保障用户今后的扩容和升级，如：卡片结构扩展、新增收费模式、增加信息点等；七、可靠性校园一卡通系统必须针对交易的每个环节提供增强可靠性的措施,包括卡片可靠性设计、终端可靠性设计、布线和网络通讯可靠性设计、应用和数据库可靠性设计等全系列设计，确保系统在脱机状态下的可靠性高及在联机状态下的实时性强的要求，以及大规模并发交易情况下系统的稳定、高效和可靠性要求，不能出现单点故障。1.1.1.4. 系统设计依据大学校园卡平台技术需求IS09001:20,ISO90013>ISO14443TYPEA>ISO14443TYPEB>IEEE802.3标准军工产品GTB/Z9001质量体系中华人民共和国电子行业标准银行IC卡联合试点密钥管理系统总体方案SO8583金融交易报文格式标准中国金融集成电路(IC)卡规范(PBOC2.0)中国金融集成电路(IC)卡应用规范中国金融集成电路(IC)卡终端规范中国金融IC卡PSAM卡应用规范教育管理信息化标准-学校管理信息标准教育管理信息系统互操作规范(EMIF)标准财政部企业会计制度（1999年）财政部企业财务报告条例（2000年）财政部企业会计准则（2001年）1.l2设计方案优势特点1.1.2.1. 专业的一卡通厂商智慧电子自1996年成立以来，一直致力于IC卡技术的研究与开发，并逐步发展成国内领先的专业校园及企业“校园一卡通”整体解决方案供应商，公司遵循“先做强，再做大”的理念，拥有一批经验丰富、技术过硬的行业专家，产品设计超前、技术先进、产品过硬、服务优良，赢得了3000多家用户、500多万智能IC卡使用者的信赖，是国内同行中最具发展潜质、发展规模的科技实业型企业；是国内唯一一家多次获得国家、省部级科技奖励的专业校园一卡通企业。近10年来，公司拥有各行各业用户3000多家，发行卡片600多万张，成为国内在“校园一卡通”行业贡献最多的企业。1、建设了国内第一个集成化“校园一卡通”项目（1998年）2、建设了国内第一个金融化“校园一卡通”项目（2000年）3、建设了国内第一个通用化“校园一卡通”项目（2002年）4、业内第一个将一体化平台技术应用到“校园一卡通”项目（2002年）5、业内第一个将超大型数据库应用到“校园一卡通”项目（2002年）6、业内第一个将多层结构软件应用到“校园一卡通”项目（2002年）7、业内第一个将硬件嵌入式技术应用到“校园一卡通”项目（2003年）8、业内第一个将财政部标准财务应用到“校园一卡通”项目（2004年）9、业内第一个将二代身份证技术应用到“校园一卡通”项目（2004年）10、业内第一个将无关性设计技术应用到“校园一卡通”项目（2004年）11、业内第一个建设了符合PBOC2.0标准的高校CPU卡一卡通项目（2006年）目前，公司是国内完成大型高校CPU卡一卡通项目最多的一卡通厂家，积累了丰富的建设经验。通过众多项目沉淀了良好的用于CPU卡一卡通项目建设的技术，产品，人力资源，能够顺利保证学校一卡通项目的建设。1.1.2.2. 建立标准化平台，实现与国家教委、财政部，中国人民银行标准接轨国家教委、财政部、中国人民银行等有关国家业务主管机构先后已经制定并颁布了相关标准。在校园内部，也已经形成了许多内部通用的信息标准。为了同步各类管理信息，并有效的加以利用，必须建立以“数字校园”的统一标准为基础的标准化“校园一卡通”系统平台，从而实现：(一)国家教委标准教育部2002年最新颁布的教育管理信息化标准，对学校基本情况、学生信息、研究生招生信息、研究生非学历教育信息、教职工信息、教学管理信息、科研信息、体育卫生信息、办公管理信息、房产与设备信息、图书管理信息等均有规定，这对于规范学校的信息化建设，走标准化、平台化的道路，建立起学校标准的、统一的信息化基础设施，将学校多样的应用融合为一个统一的、协调的整体中是有相当重要作用的；同时，对于积累学校的核心信息资源，实现数据挖掘、价值再造，对于以数据资源的稳定性，来规避各种应用的易变性风险，实现学校信息化建设的可持续发展，提高信息化水平，提升学校品牌形象均有相当积极作用。校园一卡通系统作为信息化建设的一个重要组成部分，必须建立在“教育管理信息标准化”基础上，避免产生新的信息孤岛。(二)财政部标准财政部1999年颁布的企业会计制度、2000年颁布的企业财务报告条例和2001年颁布的企业会计准则，规定了会计核算的原则、会计政策的选择、会计要素的确认、计量标准等会计核算依据，又规定了会计科目的设置和运用方法、财务会计报告的编制方法等具体内容，为防止会计信息失真、提高会计信息质量、真实反映财务状况，提供了统一的、可靠的、标准化的保证。校园一卡通系统作为资金流通的一个重要组成部分，为了避免产生财务信息孤岛，失控甚至导致重大财务漏洞，必须将校园一卡通系统的资金管理建立在“财务标准化”基础上，严格按照财务标准作业。不能允许校园一卡通系统厂家自行定义财务流程和执行标准，自行诠释财务数据。智慧“校园一卡通”系统完全按照国家财政部企业财务的标准，结合院校财务的特点，支持各种结算户以及按PoS机和Pe)S机分组结算的要求，完全具备与银行、商户、卡户对账、结算等功能。（三）中国人民银行标准2005年3月，中国人民银行颁布了中国金融集成电路（IC）卡规范2.0（PBoC2.0）。明确规范国内非接触式IC卡电子钱包的设计。1.1.2.3. 建立“开放式”平台，实现学校享有主动权为了实现学校有效利用校园一卡通资源，必须建立开放式“校园一卡通”系统平台。其中包括：（一）架构的开放应用发布类的软件全部采用三层结构，与第三方接口全部采用WebServicesXML标准接口，支持多种开发语言（如C/C+、JAVA、PHP等开发环境）的调用。注：内部管理类的（如财务管理、终端监控等）软件，采用多层体系的C/S结构。（一）卡片的开放用户单位可以自行定义和使用卡片扇区数据，实现系统的良好扩展性。（三）终端设备的开放用户单位可以通过适配器，自行开发和使用终端设备；可以通过终端设备应用程序库函数，自行开发具有个性化的应用程序，调整终端设备的功能。可以通过中间套件，接入第三方设备，接入时，平台不需要进行大的改动。（四）应用数据的开放用户单位可以通过数据适配器，实现各应用系统间的数据共享，方便、快速集成第三方系统。（五）密钥的开放用户单位可以自行确定和掌握全部使用密钥，保证系统安全运营的主动权。1.1.2.4. 领先的产品设计方案一、成熟的“一体化”体系架构智慧“校园一卡通”系统平台完全按照“一体化”的原则进行设计，采用一个统一的数据平台，统一的管理使用平台，统一的终端基础软硬件平台，统一的卡片规划平台，使用户的总体投资小，售后服务成本低、升级容易、管理简单。更为重要的是一体化的架构使得系统平台结构关系变为简单，各个应用子系统在同一个平台上进行操作，降低了应用系统的扩展和实施的难度。二、先进的“1+X”结构智慧“校园一卡通”系统采用的是业界最先进的“1+X”体系结构，完全支持一个总校区，多个分校区的管理模式，让管理不再受地域限制。校园一卡通的终端设备拥有基于一个硬件平台的多个应用程序的功能，校园一卡通的软件采用1个管理平台加若干（X）个应用子系统的设计模式，充分地体现了平台化的设计理念。系统管理与应用完全采用l÷x的模式进行设计，整个系统分为管理层与应用层两个层面；其中，管理层包含前台（卡户、商户）、后台（前置通讯、数据中心）二部分业务；应用层分为五部分业务：即支付交易业务、身份认证业务、转账充值业务、查询服务业务和对接扩展业务。系统结构清晰明了，组织实施方便快捷，运行管理安全可靠。三、终端设备支持多类卡型技术智慧一卡通系统终端设备不但可以支持非接触式单界面CPU卡，也可以支持非接触式双界面CPU卡，同时也可以支持国产微电子CPU卡，同时根据发展的需要，终端设备也可以支持非接触式JAVA卡，支持的卡类型达到五种以上，确保用户对卡片的选择范围，也确保未来系统卡片升级无需更换设备，确保学校的投资。四、独创的“四大管理器”技术智慧“校园一卡通”系统根据校园一卡通系统中的卡片、终端设备、网络通信、应用软件四大组成部分，分别采用了“四大管理器”的独特技术，充分保障了整个系统使用的开放性和可扩展性。1、卡片功能管理器：用户可自行规划卡片数据，充分挖掘卡片空间资源；2、终端设备管理器：用户可自行定义终端功能，远程下载应用程序，满足个性化需求；3、通讯任务管理器：用户可以自行编排通讯任务，定点、定时实施监控；4、菜单功能管理器：用户可自行编排、增加、修改软件菜单功能、显示顺序等，满足不同场合、不同对象的使用。五、严谨的安全体系智慧“校园一卡通”系统遵循安全设计的基本原则，按照银行PBOC标准的密钥体系，采用主密钥、工作密钥、扇区种子密钥、卡片扇区密钥、个人密码种子密钥、卡片个人密码密钥六个密钥组成校园一卡通系统的密钥体系，确保了从设计、开发、管理、使用和维护等各环节的安全性，达到七大目标：卡安全、终端安全、交易安全、网络安全、系统安全、数据安全和应用安全。六、完善的保障体系智慧“校园一卡通”系统严格按照国际通行的质量控制标准S09000来规划和制定项目的管理、维护和突发事件的处理。通过完善的质量控制（QC）体系措施来保证项目按时按质按量的完成。我们本着以“技术先导、服务为本、长期合作、共同发展”的宗旨，规范了校园一卡通运营职能部门的职责、组织之间的关系，以及人员配备来解决校园一卡通项目的运营质量控制。1.1.2.5. 完善的知识转移体系智慧电子拥有一套完善的知识转移体系，主要表现在以下几个方面：1、完善的项目培训制度，包括项目导入培训、项目实施阶段培训、项目上线培训、项目移交培训；2、科学全面的培训教材，智慧公司结合多年的“校园一卡通”实施经验，总结出一套科学的、有效的、实用的培训教材，根据用户的实际情况，因材施教，让用户在较短的时间内完全掌握系统的使用与维护；3、定期的项目会议制度，通过定期的项目组会议，不断将项目实施过程中的经验传授给用户项目组成员，总结项目实施过程中的经验，发现问题，解决问题，这种潜移墨化的交流，使用户项目人员更快掌握系统的使用与维护；4、完整的项目文档，系统提供一套完整的项目文档，包括系统管理员手册、系统安装手册、用户使用手册、常见问题解决方法、以及售后服务手册，这些文档为用户提供了丰富的使用与维护资料。1.1.3.系统总体设计方案U.3.1.一卡通系统总体架构设计大学校园一卡通系统结合学校的需求特点进行总体设计,该系统系统架构在校园网及专网基础上，利用计算机、网络设备、终端等设备，充分发挥网络优势，借助于卡片载体，以信息门户层及读写设备，实现先进的信息化管理的系统。一卡通管理与应用门户应用系统层管理体系一卡通W EB网站 补助管理子系统 网络交费子系统门禁管理子系统考勤管理子系统领导查询子系统电话查询子系统触摸屏管理子系统银行圈存管理子系统商务管理子系统食堂消费管理子系统密钥管理子系统财务结算管理子系统设备监控管理子系统通信任务管理子系统商务管理子系统卡户管理子系统人事管理子系统系统配置管理系统安全体应用支撑层 数据交换系统资源管理统身份认证系统校园一卡通系统从总体架构上分为：校园一卡通核心平台以及四大应用，在一卡通核心平台的支撑下实现金融服务类、身份识别类、信息服务类、流程整合类四类应用系统。校园一卡通核心数据库采用Oracle,架设在LinUX服务器上。校园一卡通应用采用al+Xn的模式。1个一卡通核心平台，若干个可选的四类应用管理子系统组成一卡通的应用系统。采用三层架构模式，一卡通应用程序驻留在中间层应用服务器（一卡通应用支撑平台）±o权限集中管理，一卡通各子系统无需安装数据库及数据库客户端，无需安装应用程序，避免由于在子系统安装数据库及应用平台容易产生的人为误操作，病毒等影响，即各应用部门的工作站上不安装应用程序,只需装统一的客户端程序以及通过WEB登录,用户用账号、密码登陆后，只能看到与本部门业务相关的应用模块及相应操作权限。1.1.3.2.一卡通软件系统架构设计系统采用了C/S和B/S的混合体系架构，采用CoM+应用服务器。一、校园一卡通系统架构图客户层应用层数据层应用COM客户+客户XUj 牺XLU 顺WlNDC)WS 系统COM+服务XlU 撕应用 模块WINDc)WS系统.数据库图卡通系统架构校园一卡通软件系统是架构在Cc）M+体系下的C/S模式。整个软件基础平台由以下几个部分组成：1、应用客户端：应用客户端提供系统与用户的操作界面，前端业务功能组织上传包，然后调用COM+组件接口，组件接口调用组件服务模块，完成业务功能，前端业务功能解析下传包，完成前端业务功能。2、COM+客户端接口：提供客户端系统与CoM+服务器组件的远程调用接口。3、COM+服务端：提供CoM+容器，识别远程接口所请求的服务，然后调用相应的业务模块，完成业务功能。4、应用模块：以组件的形式存放在CoM+容器中，提供公共业务服务，以及与数据库间的业务功能。5、数据中心：是整个平台的数据核心，数据中心由用户数据库和卡应用数据库组成。数据中心提供数据的访问服务、存贮服务、备份服务等。智慧一卡通系统采用的是业界最先进的“1+X”体系结构，系统管理与应用完全采用1+X的模式进行设计，整个系统分为管理层与应用层两个层面；其中，管理层包含前台（卡户、商户）、后台（一卡通平台、数据中心）二部分业务；应用层分为五部分业务：即支付交易业务、身份认证业务、转账充值业务、查询服务业务和对接扩展业务。系统结构清晰明7,组织实施方便快捷，运行管理安全可靠，一卡通管理控制中心采用统一的平台。包括统一数据库平台，统一应用平台，确保数据集中管理和数据实时性，确保数据和系统应用安全性和可靠性。一卡通平台建立后，各子系统的扩建无须对一卡通平台进行改动。一卡通前台具备对一卡通各终端设备工作情况实时图形监控，很方便系统管理与维护。一卡通系统管理,应用各级权限统一管理,不同的使用人员由管理中心分配相应的权限。真正实现“一卡一库一平台一通用客户端”的目标。一卡通各子系统无需安装数据库及数据库客户端，无需安装应用程序，避免由于在子系统安装数据库及应用平台容易产生的人为误操作，病毒等影响，即各应用部门的工作站上不安装应用程序，只需装统一的客户端程序，用户用账号、密码登陆后，只能看到与本部门业务相关的应用模块及相应操作权限。1.1.3.3.卡片设计方案1.1.3.3.1. 卡片选型校园卡卡片须符合ISo/IECI4443-TYPE-A或ISo/IECI4443-TYPE-B国际标准，符合中国人民银行颁布的中国金融集成电路(IC)卡规范PBOC2.0标准的非接触式8KCPU卡。1.1.3.3.2. 技术指标及要求(一)技术指标产品描述非接触式CPU卡国际标准非接触面：ISO14443TYPE-A电子钱包标准PBOC2.0卡片操作系统Smartcos-ta载频13.56MHZ防冲撞机制有环境温度-35+70。C内存EEPROM8KRAM:256ROM:20K安全性唯一不变的序列号3DES协处理器符合ISO/IEC9798-2认证规范自身操作系统,安全性高典型传输时间100ms擦写次数3100,000次数据保持10年典型应用访问识别控制、银行支付产品特点高速、准确、可靠、安全性高防静电、有接触不防磨损（二）应用要求1、防伪：卡面采用证件防伪印刷技术。允许多重密钥管理模式，具有严密的密匙算法保护，读取时通过非接触式感应，传到读写器里面，不易空中拦截、解密和对卡的破坏2、可靠：每次交易成功的健全的数据经判别后，要写入读写区域里面。如果交易数据残缺，不健全，要取消交易。3、防冲撞功能：几张卡一起工作不受干扰，可以与其它卡放在一起读；4、一卡多用，综合管理：能够在卡上划分多个具有单独设密码的区域，可以存取多种相互独立、互不相干的信息资料，能满足各种不同使用功能的款项交易和管理；5、卡的寿命长：智能卡须能够防水、防油污、防灰尘、使用寿命50年，10万次读写。1.1.3.3.3. 卡片规划（一）卡面设计1、根据学校需求，校园一卡通卡面设计分三种：教师卡、学生卡、临时卡。2、卡正面可彩印银行和用户单位标志，预留个人证照、姓名、证号等个人信息位置，达到卡证（智能身份证件）合一效果，背面可标有使用注意事项等内容。（一）卡片种类设计以学生证号或职工编号作为身份识别的唯一代码，临时外来人员使用身份证号作为唯一代码。学生卡上包括：卡号、学号、姓名、系别、照片等信息；教师卡上包括：卡号、职工编号、姓名、照片等信息。临时卡上包括：卡号、临时编号等信息。1.1.3.3.4. 卡片使用身份类别设计持卡人具体使用身份类别的区分，建议使用每张卡片内部规划设计的“卡类”来实现,可根据身份类别（最多分256类）授权使用，不同的“卡类”可按系统划分，也可以按商户组织划分；可按每台终端设备划分，也可以按允许的使用时段、区域、消费额、使用次数等条件划分。不仅可以满足不同的“卡类”，授权使用范围也不同的广泛应用，而且也可以满足在特定场所只有特定人员才可以使用特定“卡类”的管理需要。1.1.3.3.5. CPU卡系统密钥管理（一）设计原则CPU卡校园一卡通系统密钥的安全控制和管理，是应用系统安全的关键，本方案遵循以下几条设计原则：1、密钥管理系统采用标准3DES加密算法，采用学校密钥管理总中心，数字化校园系统管理应用中心两级管理体制，实现公共主密钥的安全共享；2、在充分保证密钥安全性的基础上，支持密钥的生成、注入、导出、备份、恢复、更新、服务等功能，实现密钥的安全管理；3、密钥受到严格的权限控制，不同机构或人员对不同密钥的读、写、更新、使用等操作具有不同的权限；4、用户可根据实际使用的需要，选择密钥管理系统不同的配置和不同功能；5、密钥服务以密钥卡的形式提供；6、密钥存储以密钥卡的形式提供，而密钥备份采用密钥卡的形式。（二）系统结构发行总控卡及其传输卡学校级密铜管理中心业务总控卡业务主密钥卡及传输卡I加密机-卡通系统密钥管理中心用户卡IPSAM卡1PSAM卡2PSAM卡N图密钥体系结构图注：上图PSAM卡HPSAM卡n是指多种类型的PSAM卡（因用途不同而导入的密钥数量不一样）（三）各类型卡功能描述发行总控卡（及其传输卡）：存放总控密钥，总控密钥是密钥系统的根密钥，由2位领导依次输入密码,系统根据一定算法生成;其传输卡,用来认证发行总控卡及产生保护密钥，保护其它密钥装载到中心主密钥卡中。业务总控卡：存放有区别不同业务的分散码，例如区别充值、消费、外部认证、内部认证、应用维护密钥、PlN重装、应用PlN解锁等业务的分散码。分散码由院校业务部门人工输入或由系统随机产生。中心主密钥卡（及其传输卡）：存放各类工作密钥，包括外部认证密钥、应用维护密钥、消费密钥、充值密钥、PIN解锁密钥等。工作密钥由发行总控卡的根密钥经过业务总控卡的分散码分散后导出而生成。（四）密钥卡类型及数量根据以上设计和相关要求，确定本系统采用的密钥卡类型及数量如下：密钥卡名称使用空白卡类型数量（张）发行总控卡密钥母卡1发行总控卡传输卡CPU卡1业务总控卡CPU卡1中心主密钥卡密钥母卡1中心主密钥传输卡CPU卡1合计如下:CPU卡3张密钥母卡2张以上为做一套密钥保存介质所需最少卡片数量，为了防止密钥卡在保存过程中有卡片意外损坏，而导致系统有可能无法正常运行，建议做两套密钥卡。（五）密钥系统密钥的产生与保存1、发行总控卡及传输卡的生成发行总控密钥由院校相关负责人负责生成。在制作人员辅助下,并保证环境安全情况下,由2位领导依次输入8位数字的密码，系统根据一定算法产生发行总控密钥，制作出发行总控卡及其传输卡。图发行总控卡产生流程图发行总控卡密钥产生说明：发行总控卡中主要存放了三条密钥：主控密钥、总控密钥以及保护密钥（传输密钥），具体产生如下：主控密钥：系统随机生成总控密钥：领导输入保护密钥（又称传输密钥）：总控卡中取16字节的随机数作为保护密钥2、业务总控卡的生成业务总控卡中的所有业务分散码均由业务总控卡随机产生。保证环境安全情况下，根据业务分散码和保护密码，制作出业务总控卡。图业务分散卡产生流程图业务总控卡密钥产生说明：主控密钥：系统随机生成。PIN密码：一个固定的6个字符的密码，校园卡管理中心输入。3、中心主密钥卡及传输卡的生成中心主密钥卡由校园卡管理中心负责生成。系统验证业务总控卡保护密码，用业务分散码分别对发行总控密钥进行分散产生中心主密钥，制作出中心主密钥卡及其传输卡。图中心主密钥卡产生流程图中心主密钥卡密钥产生说明：中心主密钥卡中主要存放了多条密钥：卡片主控密钥、保护密钥（传输密钥）和多条工作密钥，具体产生如下：主控密钥：由发行总控传输卡的保护密钥，通过PBe）C分散算法分散中心主密钥卡的出厂序列号。保护密钥（又称传输密钥）：直接从中心主密钥卡取16字节的随机数作为保护密钥。密钥KEYl.密钥KEYrI:这n个密钥的产生过程是：用业务总控卡的n个分散码，分别对发行总控卡中的总控密钥进行分散自动产生而输出卡外。所有加解密均是在卡片中进行，外界无法获取，断电自动清除。中心主密传输卡密钥产生说明：主控密钥：固定值写入到卡片中；保护密钥（又称传输密钥）：与中心主密钥卡的保护密钥值一致；在中心主密传输卡中的密钥属性为内部认证密钥。1.1.3.4. 终端设计方案1.1.3.4.1. 设计特点支持多卡种：全部支持满足银行、用户单位确认的卡种、卡型及卡片结构规划，一张卡片可以在各类终端设备上使用。智慧一卡通系统终端设备不但可以支持非接触式单界面CPU卡，也可以支持非接触式双界面CPU卡，同时也可以支持国产微电子CPU卡，同时根据发展的需要，终端设备也可以支持非接触式JAVA卡，以及上海微电子生产的各类型CPU卡片O支持多通讯口：终端设备可以支持RS485、RS232sTCP/IP等多种通讯模式。高安全性：所有支付交易类终端设备均备有PSAM卡接口，安全交易保障体系，保证卡机交易、数据传输、数据存储等过程的安全性。联机/脱机交易两用性：所有终端设备具有硬时钟，均能独立存储1万笔交易记录（真正能在终端机上保存的数据量而非在网关处所存的数据），100笔对账统计记录。联机使用时按先签到后交易方式进行，脱机使用时按先授权后交易方式进行。大容量黑（白）名单管理：所有终端设备均能独立管理100万条黑（白）名单，以便进行脱机交易。系统发布黑（白）名单消息，所有终端设备均能实时响应。开放通讯指令接口：提供DLL、ACtiV6X等多种方式的通讯接口，便于管理、使用开发。开放编程接口：提供丰富的业务函数，用户自行根据业务需要扩展终端产品功能。7X24小时不间断运行：所有终端设备均采用可靠性设计,MTBF（MeonTimeBetweenFailures平均故障时间）大于100Oc）小时，可以长年不关断电源、不间断连续运行。1.1.3.42终端设备结构设计智慧校园一卡通终端设备采用“1+X”的应用模式,是由终端设备（1个硬件平台含嵌入式软件平台）和各类功能定义模块（X个应用模块）组成的校园一卡通终端设备应用模式。（一）1个基础平台智慧电子设计的Pe）S机，就硬件平台本身而言就是一台微电脑,在硬件平台上具备电源管理、时钟管理、键盘输入、显示输出、公共安全信息模块、交易信息存储模块、通用接口模块等基本模块；同时含有一个嵌入式软件平台，该软件平台具备时钟管理、黑白名单管理、数据存储、安全认证、统一公共信息管理、各种卡片读写管理等功能，由此搭建成校园一卡通系统终端设备的公共的基础平台。（一）X个应用模块智慧电子所有终端产品均采用标准模块化式结构设计，当功能改变需要进行个性化服务时，只需配置不同的硬件模块，例如：读卡模块、控制模块、通讯模块、打印模块等，从而构成不同应用场合终端设备的整体硬件框架，同时根据业务不同，加载不同的应用软件模块，构成不同应用类型的终端设备。这时只需要在管理中心，通过网络下传终端机即可，不需要开盖更换应用程序芯片。1.1.3.4.3.食堂收费POS机1、具有联网、脱网自适应功能收费PoS机备有PSAM卡接口，使得每台终端设备不仅可以联网工作，而且完全具备脱网独立工作的能力。联网时，收费PoS机的交易数据实时传输到数据中心；网络不连通时，收费PoS机完全可以进行正常交易，异常交易报警。具有支持挂失、接收黑（白）名单的功能，可以独立管理100万个黑（白）名单；无论联网还是脱网，每台收费PoS机都可以存储最近1万笔支付交易记录（真正能在终端机上保存的数据量而非在网关处所存的数据）。2、板块化、嵌入式应用程序，提供通信接品动态库收费PoS机采用了1+X嵌入式技术，更有利于为客户提供个性化服务；为用户对终端设备的二次开发提供了良好平台。3、具有注册授权双向互认功能产品具有特定的注册/授权双向互认功能，防止非法产品入网流通使用。每台终端设备出厂时都有唯一的标识号码（ID号）。在多台终端设备联网使用时，每台终端设备的标识号码（ID号）必须得到管理计算机的认定，认定通过了的则在管理计算机上进行注册，取得注册号。管理计算机对注册后的终端设备，将授于一个号码，即授权号。每台终端的授权号经算法加密，确保唯一性。具有授权号的增值机与管理计算机相互交换重要数据信息时，将严格校验注册号和授权号。凡是没有通过相互认定的，管理计算机将其视为非法产品，不提供重要数据信息。4、具有签到签退功能每台终端设备均具有签到、签退功能，保证交易的合法性。5、具有扎账对账功能每台终端设备均具有查询统计最近128笔扎账数据的功能，方便用户自己查看营业情况，也为商户与结算中心、银行核对交易数据提供了便利，解决了长期以来商户营业情况由电脑管理方说了算的单边账问题。注：扎账数据128笔的功能说明。如果每台终端设备按照每天结一次账计算，则可以核对128天的营业数据；如果按照每天3餐每餐结一次账计算，则可以核对128+3=42天的营业数据，也就是核对当月每天每餐的数据是完全足够的；该功能还可以用于交接班的扎账。如早班的营业员下班时，做一次结帐，则可以立即得到当班的营业数据，依次类推，各班次的营业数据一目了然。6、具有多种收速方式单价式一以“分”为计价单位的收费方式，适用于各类计费。编号式一按品种编号计价收费。餐厅使用时，可方便品种或菜谱分析。本机可存储99个编号品种及计费标准。定值式一以固定计价单位为收费标准。特别适用于提供套餐的快餐厅以及按份计价的场所。定值式收费，无须管理人员操作；定值式收费实用于已经设定好商品对应的收费的数目，只要在收费时消费者直接刷卡即可。快捷式一按品种编号计价收费。特别适用于品种编号在10个以下的计费。管理人员只需按单个键便可确认计费工作，操作简便。自助式一按固定金额按份收费。是针对收费品种单一或单价只有一种而提供的收费金额可方便设置的自助定值收费方式，收费时，消费者只要在感应区内正常刷卡便可。7、具有特大数据存储容，每台终端机均自带非易失性存储芯片，可保存最近1万笔支付交易记录，128笔最近结账对账记录，100万条黑（白）名单，数据保存时间10年；系统还提供了这些数据的提取还原功能，可作为突发事件时，重要数据凭证的还原参考。8、具有多种个性化服务功能终端机内含硬时钟（内含锂电池保护），可精确记录每笔记录的打卡时间，便于管理跟踪。个人密码使用：可选使用，可设置消费与个人密码使用的对应关系；逻辑开机锁：具有键盘锁定与开锁功能；卡使用期限：可以自动监管卡片使用期限；音响提示：内含蜂鸣器，各种正常、异常使用均有音响提示；通讯波特率：1200/4800/9600/192003840057600bps可选。食堂pos机小结：双面LED显示；POS存储交易记录1万笔以上；支持多种型号的非接触式CPU卡；提供单价式、编号式、定值式、快捷式操作方式；提供扎帐记录以方便商户核对营业情况；能自动更新黑名单，可存储100万黑名单；程序可通过网络下载更新，无需更换Pe）S芯片；联网方式要求单个Pc）S机故障，不影响其他Pe）S机工作;超市POS可外接密码小键盘，超过限额要求输密码消费。1.134.4.以太网门禁机表一：功能参数主要功能非接触式智能卡内的信息读取和校验，信息存储和传输适用卡类非接触式CPU卡卡读写速度0.5秒/次卡管理功能可识别有效/无效/非法卡；读写有效卡单机使用人数最大1048575条/机单机黑白名单管理数最大100万条/机挂失报警功能使用非法卡时,本机将自动报警脱网/联网性能可脱网/联网两用显示方式液晶；音响提示方式蜂鸣器（1个）键盘参数16位防水薄膜（1个）时钟自带硬时钟芯片（内含锂电池保护）使用时段支持分时段考勤数据存储容量20000条刷卡记录（可扩充）数据存储时间存储时间可10年（非易失性芯片）表二：技术参数感应器数量内置1个，外置1一8个（可选），内置和外置感应头总数量不得超过8个。通讯接口10/100MTCP/IP协议通讯距离TCP/IP100m通讯模式定时/实时（可选）输出状态延长时间163秒（可调）设备ID识别号具有32位（Bit）ID地址供电电源DC12V±10%功耗DC3W运行环境温度0°C40°C相对湿度10%95%安装方式挂式：壁挂安装外形尺寸139mm×200mm×45mm重量IKg1.1.3.4.5.POS机智能管理设备LINE-PORt1.in6Port是智慧电子公司专利产品，其具有以下特点：1、多种协议转换功能：1.inePortARS232RS485,RS485/TCP/IP协议转换功能。每台LINEPORT都具有10M100M自适应RJ45接口,可以将其直接与校园网交换机端口相接，校园一卡通终端设备接在LINEPORTRS485端口直接完成协议转换和通信功能。2、通讯接口扩展功能：1.inePort具有RS485串行通讯接口扩展功能。每台LINEPoRT都具有16路（或8路/24路）RS485与