校园一卡通系统建设.ppt

数字校园一卡通系统的数字校园一卡通系统的数字校园一卡通系统的数字校园一卡通系统的建设策略与实现建设策略与实现建设策略与实现建设策略与实现Page 2摘要摘要2341 基于校园金融服务基于校园金融服务平台为核心的网络平台为核心的网络 从数字化校园服务、从数字化校园服务、一卡通系统建设和管一卡通系统建设和管理，以及整个系统的理，以及整个系统的安全等多个角度讨论安全等多个角度讨论了构建一卡通信息管了构建一卡通信息管理的解决方案理的解决方案 不仅从业务角度提不仅从业务角度提出了一系列管理策略出了一系列管理策略 也从技术角度阐述也从技术角度阐述了系统的构架和实现了系统的构架和实现 详细讨论了整个详细讨论了整个系统的安全防范措施系统的安全防范措施 还对将来数字化还对将来数字化校园进一步可以实现校园进一步可以实现的前景进行了规划的前景进行了规划 不仅适用于数字校园环不仅适用于数字校园环境下的一卡通系统的建设境下的一卡通系统的建设 也为类似系统提出了一也为类似系统提出了一套构建策略套构建策略校园一卡通校园一卡通系统的现代系统的现代化管理策略化管理策略Page 3议题议题引言引言数字校园环境下一卡通系统的构建数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略数字校园一卡通系统安全管理策略结语结语Page 4引言引言校园信息化两大应用领域校园信息化两大应用领域数字校园环境下的校园一卡通数字校园环境下的校园一卡通Page 5校园信息化校园信息化校园信息化校园信息化数字校园环境下的一卡通是现代化校园管理的重数字校园环境下的一卡通是现代化校园管理的重要应用，必须依托学校现有的校园网进行建设要应用，必须依托学校现有的校园网进行建设社会服务信息化社会服务信息化校园管理信息化校园管理信息化校园信息化校园信息化数字化校园数字化校园校园一卡通校园一卡通 作为整个数字化校园的核心，设计上必须符合数字化校园的设计思想 不仅仅是消费系统，还具备管理功能和具备身份识别功能 建立的身份信息库能与中央信息库实现数据交换，为与其它MIS、OA系统的互连互通打好基础Page 6议题议题引言引言数字校园环境下一卡通系统的构建数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略数字校园一卡通系统安全管理策略结语结语Page 7数字校园环境下一卡通系统的构建数字校园环境下一卡通系统的构建数字校园的发展数字校园的发展新一代的数字校园新一代的数字校园校园卡发展和银行校园卡校园卡发展和银行校园卡校园一卡通校园一卡通Page 8数字校园的发展数字校园的发展从广义的角度而言，校园管理信息化都可从广义的角度而言，校园管理信息化都可以认为是数字校园的存在形态以认为是数字校园的存在形态局域网加部门级应用局域网加部门级应用校园网加简单的数据集中校园网加简单的数据集中单机加文档级应用单机加文档级应用数字校园的发展数字校园的发展123第三代数字校园系统第三代数字校园系统 有了一定的校级有了一定的校级数据集中的设计数据集中的设计 是基本意义上的是基本意义上的“数字校园数字校园”但也存在着缺乏统但也存在着缺乏统一的技术标准、缺乏一的技术标准、缺乏平台化的设计等问题平台化的设计等问题Page 9新一代的数字校园新一代的数字校园活动活动实现实现全部数字化全部数字化以网络为基础以网络为基础先进的信息化手段和先进的信息化手段和工具工具资源资源教学教学 管理管理服务服务 办公办公 图书图书 讲义讲义 课件课件 环境环境设备设备 教教 室室 Page 10校园卡发展和银行校园卡校园卡发展和银行校园卡从从20世纪世纪80年代出现的校园就餐卡算起，年代出现的校园就餐卡算起，校园卡的发展校园卡的发展有后勤服务的逻辑有后勤服务的逻辑加密卡加大食堂卡加密卡加大食堂卡具有银行金融结算功能具有银行金融结算功能的智能卡加银行卡的智能卡加银行卡不加密的不加密的ID卡卡加食堂卡加食堂卡校园就餐卡的发展校园就餐卡的发展123银行校园卡银行校园卡 以银行结算平台为基础 通过充分利用安全性高、结算功能齐全、使用范围广泛的银行金融结算系统 实现校园电子货币一卡通 不但解决了资金风险问题 而且使校园卡具有充分的开放性和前瞻性Page 11校园一卡通校园一卡通校园一卡通在卡的基础上开发各类应用与校园一卡通在卡的基础上开发各类应用与服务服务缴费缴费消费消费身份认证身份认证取款取款储蓄储蓄个人信息查询个人信息查询functionconsumption systeminformation systemcoversof the campusBased on Card综合消费系统综合消费系统信息查询系统信息查询系统 收缴费及各类款项支取 校内各类消费 身份认证、门禁、考勤、图书借阅、保安巡更 水电费用、科研课题、教学情况、学籍学分、课程成绩、管理信息查询及统计分析等Page 12议题议题引言引言数字校园环境下一卡通系统的构建数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略数字校园一卡通系统安全管理策略结语结语Page 13校园一卡通系统建设的构架与实现校园一卡通系统建设的构架与实现新一代校园一卡通新一代校园一卡通校园一卡通软件系统架构校园一卡通软件系统架构校园一卡通系统逻辑架构校园一卡通系统逻辑架构Page 14新一代校园一卡通新一代校园一卡通新一代的校园一卡通超越了传统的设计模新一代的校园一卡通超越了传统的设计模式式one webone databaseone cardthree networksone databasemulti-card 校园网（内网）互联网（外网）涉密信息部门之间或多个 校区之间通讯的专用网络 集中化的、标准化 校园基础数据库 卡片的选型应以应用为中心 而不是以卡片为中心 形成多卡并存、相辅相成、灵活方便的运行模式Page 15校园一卡通软件系统架构校园一卡通软件系统架构安安 全全 管管 理理一一 卡卡 通通 公公 共共 信信 息息 库库一卡通认证相关信息一卡通认证相关信息一卡通金融相关信息一卡通金融相关信息存存储储层层POS消费机务管理多媒体教室管理浴室管理声像视听室管理教室管理体育活动房管理电子阅览室管理大门门禁管理会议签到管理电子看存柜管理医疗收费管理宾馆宿舍办公室门禁管理业务逻辑业务逻辑管理维护管理维护逻逻辑辑层层综合前置综合前置表表现现层层银行系统 财务系统教务系统 图书系统用用户户层层综合查询统计分析身分认证权限管理清算管理卡务管理财务结算管理人员信息管理单位信息管理公共组件公共组件专用组件专用组件消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏 Agent业务逻辑入口业务逻辑入口业务逻辑控制业务逻辑控制整个软件系统架构分为数据存储层、逻辑层、表现层和用户层Page 16校园一卡通软件系统架构校园一卡通软件系统架构安安 全全 管管 理理一一 卡卡 通通 公公 共共 信信 息息 库库一卡通认证相关信息一卡通认证相关信息一卡通金融相关信息一卡通金融相关信息存存储储层层POS消费机务管理多媒体教室管理浴室管理声像视听室管理教室管理体育活动房管理电子阅览室管理大门门禁管理会议签到管理电子看存柜管理医疗收费管理宾馆宿舍办公室门禁管理业务逻辑业务逻辑管理维护管理维护逻逻辑辑层层综合前置综合前置表表现现层层银行系统 财务系统教务系统 图书系统用用户户层层综合查询统计分析身分认证权限管理清算管理卡务管理财务结算管理人员信息管理单位信息管理公共组件公共组件专用组件专用组件消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏 Agent业务逻辑入口业务逻辑入口业务逻辑控制业务逻辑控制数据存储层是整个信息系统的最底层，包括人员信息、单位信息、校园卡账户信息和消费信息等等Page 17校园一卡通软件系统架构校园一卡通软件系统架构安安 全全 管管 理理一一 卡卡 通通 公公 共共 信信 息息 库库一卡通认证相关信息一卡通认证相关信息一卡通金融相关信息一卡通金融相关信息存存储储层层POS消费机务管理多媒体教室管理浴室管理声像视听室管理教室管理体育活动房管理电子阅览室管理大门门禁管理会议签到管理电子看存柜管理医疗收费管理宾馆宿舍办公室门禁管理业务逻辑业务逻辑管理维护管理维护逻逻辑辑层层综合前置综合前置表表现现层层银行系统 财务系统教务系统 图书系统用用户户层层综合查询统计分析身分认证权限管理清算管理卡务管理财务结算管理人员信息管理单位信息管理公共组件公共组件专用组件专用组件消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏 Agent业务逻辑入口业务逻辑入口业务逻辑控制业务逻辑控制逻辑层包括公共组件、专用组件、业务逻辑控制三部分 是通用组件，为各业务子系统及接口所共享 提供了身份信息、各种信息管理维护查询等功能 可以很方便地为将来的数字化校园所用 为各业务模块提供个性化功能 多数组件在物理上可以分为两部分 一部分位于应用服务器端，一部分位于客户端 完成交易信息分发功能 将从用户层接收到的交易发送给相应的处理组件Page 18校园一卡通软件系统架构校园一卡通软件系统架构安安 全全 管管 理理一一 卡卡 通通 公公 共共 信信 息息 库库一卡通认证相关信息一卡通认证相关信息一卡通金融相关信息一卡通金融相关信息存存储储层层POS消费机务管理多媒体教室管理浴室管理声像视听室管理教室管理体育活动房管理电子阅览室管理大门门禁管理会议签到管理电子看存柜管理医疗收费管理宾馆宿舍办公室门禁管理业务逻辑业务逻辑管理维护管理维护逻逻辑辑层层综合前置综合前置表表现现层层银行系统 财务系统教务系统 图书系统用用户户层层综合查询统计分析身分认证权限管理清算管理卡务管理财务结算管理人员信息管理单位信息管理公共组件公共组件专用组件专用组件消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏 Agent业务逻辑入口业务逻辑入口业务逻辑控制业务逻辑控制表现层是用户与一卡通系统交互的接口，接收用户数据以及返回结果Page 19校园一卡通软件系统架构校园一卡通软件系统架构安安 全全 管管 理理一一 卡卡 通通 公公 共共 信信 息息 库库一卡通认证相关信息一卡通认证相关信息一卡通金融相关信息一卡通金融相关信息存存储储层层POS消费机务管理多媒体教室管理浴室管理声像视听室管理教室管理体育活动房管理电子阅览室管理大门门禁管理会议签到管理电子看存柜管理医疗收费管理宾馆宿舍办公室门禁管理业务逻辑业务逻辑管理维护管理维护逻逻辑辑层层综合前置综合前置表表现现层层银行系统银行系统 财务系统财务系统教务系统教务系统 图书系统图书系统用用户户层层综合查询统计分析身分认证权限管理清算管理卡务管理财务结算管理人员信息管理单位信息管理公共组件公共组件专用组件专用组件消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏 Agent业务逻辑入口业务逻辑入口业务逻辑控制业务逻辑控制用户层是用户可以实际看到的应用Page 20校园一卡通软件系统架构校园一卡通软件系统架构安安 全全 管管 理理一一 卡卡 通通 公公 共共 信信 息息 库库一卡通认证相关信息一卡通认证相关信息一卡通金融相关信息一卡通金融相关信息存存储储层层POS消费机务管理多媒体教室管理浴室管理声像视听室管理教室管理体育活动房管理电子阅览室管理大门门禁管理会议签到管理电子看存柜管理医疗收费管理宾馆宿舍办公室门禁管理业务逻辑业务逻辑管理维护管理维护逻逻辑辑层层综合前置综合前置表表现现层层银行系统 财务系统教务系统 图书系统用用户户层层综合查询统计分析身分认证权限管理清算管理卡务管理财务结算管理人员信息管理单位信息管理公共组件公共组件专用组件专用组件消费POS机 移动PDA 读写卡 语音服务 Web服务 触摸屏 Agent业务逻辑入口业务逻辑入口业务逻辑控制业务逻辑控制通过这样的设计，使整个系统与银行系统和学校原有的软件系统及学校管理信息系统保持良好的接口，实现了数字校园环境下一卡通系统的建设Page 21议题议题引言引言数字校园环境下一卡通系统的构建数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略数字校园一卡通系统安全管理策略结语结语Page 22数字校园一卡通系统安全管理策略数字校园一卡通系统安全管理策略系统安全性要素系统安全性要素系统安全防范体系系统安全防范体系通讯安全通讯安全交易安全交易安全操作安全操作安全数据安全数据安全卡片安全卡片安全密钥管理系统密钥管理系统传输安全传输安全POS机安全机安全金融级安全金融级安全Page 23系统安全性要素系统安全性要素(1)(1)业务安全角度业务安全角度运行安全角度运行安全角度智能卡系统安全角度智能卡系统安全角度财务系统严谨性角度财务系统严谨性角度日常管理角度日常管理角度传统安全角度传统安全角度系系 统统 安安 全全Page 24系统安全性要素系统安全性要素(2)(2)财务严谨性财务严谨性系统安全系统安全智能卡系统特性智能卡系统特性运行角度运行角度日常管理日常管理业务角度业务角度传统角度传统角度7*24小时不间断运行小时不间断运行高稳定性和高可靠性高稳定性和高可靠性严格的对账机制严格的对账机制黑名单管理黑名单管理结算管理优化结算管理优化加强病毒防范加强病毒防范通信安全通信安全网络安全网络安全操作安全操作安全数据安全数据安全密钥安全密钥安全卡片安全卡片安全终端安全终端安全Page 25系统安全防范体系系统安全防范体系新模式下的校园一卡通系统针对交易过程的每一个关键节点都设计了有针对性的安全措施，从而构筑了一个立体的、完整的安全防范体系neteyeneteyeneteyePage 26通讯安全通讯安全VLAN technologyFirewallvisiting id 校园数据中校园数据中心系统对访问的心系统对访问的权限有严格的限权限有严格的限制制 在数据区域的在数据区域的出入口放置防火墙，出入口放置防火墙，执行安全及访问控执行安全及访问控制功能制功能 使用使用VLAN技术隔离不同业务部分技术隔离不同业务部分 根据路由策略进行按需通讯根据路由策略进行按需通讯Page 27交易安全交易安全(1)(1)系统通过黑白名单管理实现了交易的安全系统通过黑白名单管理实现了交易的安全有效期识别功能有效期识别功能能有效的防止过期卡片使用系统还提供了非法卡、黑卡报警功能系统还提供了非法卡、黑卡报警功能POS机每次开机时从校园一卡通系统服务器联机每次开机时从校园一卡通系统服务器联机下载各类所需数据，各类卡交易都达到了高机下载各类所需数据，各类卡交易都达到了高度的实时性度的实时性黑名单黑名单/白名单在白名单在POS每次开机时从校园一卡每次开机时从校园一卡通系统服务器联机下载，因此脱机模式下仍可通系统服务器联机下载，因此脱机模式下仍可保持绝大部分黑保持绝大部分黑/白名单的有效性白名单的有效性 联机模式联机模式 脱机模式脱机模式Page 28交易安全交易安全(2)(2)交易安全还通过数字签名、双向认证实现交易安全还通过数字签名、双向认证实现终端和用户卡首终端和用户卡首先进行相互认证先进行相互认证用于该交易流水用于该交易流水上送主机后进行上送主机后进行合法性校验合法性校验储储蓄卡交易蓄卡交易电电子子钱钱包的消包的消费费银银行和一卡通系行和一卡通系统统安全体系来保障安全体系来保障“安全安全认证认证”和和 “交易交易签签名名”来保障来保障Page 29操作安全操作安全系统采取设置分级管理来保障操作的安全系统采取设置分级管理来保障操作的安全性性分级管理分级管理 各级管理员在自各级管理员在自己权限范围内进行己权限范围内进行权限分配的工作权限分配的工作 各部门间同级操各部门间同级操作员，采用了部门作员，采用了部门隔离的处理方法隔离的处理方法作为系统总管理员，只需管理各专业的分管理员Page 30数据安全数据安全负载均衡技术负载均衡技术(Load-balance)数据传输的各个环节，数据传输的各个环节，采用报文加密和报文采用报文加密和报文验证码的方式验证码的方式系统采用国际通用的系统采用国际通用的DES算法将敏感数据算法将敏感数据加密后保存到数据库加密后保存到数据库群集技术群集技术(Clusters)保证交易报文保证交易报文的可靠传输的可靠传输保证系统数保证系统数据的安全据的安全保障大数据容保障大数据容量系统运行的量系统运行的高可靠性和系高可靠性和系统交易的不间统交易的不间断性断性Page 31卡片安全卡片安全系统通过系统通过“一卡多密、密钥分散一卡多密、密钥分散”实现了卡实现了卡片的安全片的安全IC卡中信息的读写均需经过密钥的认证卡中信息的读写均需经过密钥的认证 一卡多密一卡多密 密密钥钥分散分散ICIC卡根据不同的应用卡根据不同的应用划分不同的应用分区划分不同的应用分区各应用分区拥有各各应用分区拥有各自不同的密钥管理自不同的密钥管理Page 32密钥管理系统密钥管理系统金融功能所需的密钥包括金融功能所需的密钥包括:母卡的生成母卡的生成种子密钥和主密钥的生成种子密钥和主密钥的生成PSAMPSAM卡的生成卡的生成密钥管理系统密钥管理系统消费安全认证模块卡消费安全认证模块卡(Purchase secure access module card)Page 33终端安全终端安全系统通过系统通过“硬件加密、多级保护硬件加密、多级保护”实现了终实现了终端的安全端的安全硬件加密硬件加密 多级保护多级保护终端设备专机专终端设备专机专用，授权使用用，授权使用终端设备的具有大容量终端设备的具有大容量数据存储区，支持历史数据存储区，支持历史数据重复采集功能数据重复采集功能终端设备支持终端设备支持脱机消费功能脱机消费功能Page 34POSPOS机安全机安全PSAMPSAM卡装载商户卡装载商户信息、终端信息信息、终端信息POSPOS机只充当一机只充当一个转发器个转发器PSAMPSAM卡装有消卡装有消费主密钥费主密钥所有的所有的POSPOS机均机均具有通用性具有通用性POSPOS机的安全是基机的安全是基于于PSAMPSAM卡实现的卡实现的POSPOS机机Page 35金融级安全金融级安全系统采取了金融级的安全系统采取了金融级的安全在交易的过程中，对每一个交易环节都进在交易的过程中，对每一个交易环节都进行了严格的认证与控制行了严格的认证与控制the design of key managementthe design of terminal managementhardware无论是密钥管理系统，还是终端管理，都采用了硬件级的安全与加密模块进行设计Page 36议题议题引言引言数字校园环境下一卡通系统的构建数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略数字校园一卡通系统安全管理策略结语结语Page 37展望展望以及遍布校园及持卡以及遍布校园及持卡人生活社区的各个角人生活社区的各个角落的自助设备落的自助设备通过媒体介入网上银通过媒体介入网上银行、电话银行和手机行、电话银行和手机银行等前置群银行等前置群逐步建立起一个以校园金融服逐步建立起一个以校园金融服务平台为核心的数字校园网络务平台为核心的数字校园网络享受众多先进的服务项目享受众多先进的服务项目持卡人可以根据实际应用情况任选组合持卡人可以根据实际应用情况任选组合 最终实现基于最终实现基于Intranet和客户服务中心，集中式管理，和客户服务中心，集中式管理，远程处理，动态核算和网络化的工作方式的电子商务远程处理，动态核算和网络化的工作方式的电子商务 把学校建设成具有鲜明特色的，先进的数字化校园把学校建设成具有鲜明特色的，先进的数字化校园银证通银证通移动银行移动银行网上购物网上购物代收代付专家理财代收代付专家理财Page 38结语结语conclusion123456介绍了数字校园和介绍了数字校园和一卡通系统的概念一卡通系统的概念尤其强调了交易、操作、尤其强调了交易、操作、卡片、传输、卡片、传输、POS机以机以及密钥管理系统等多方及密钥管理系统等多方面的安全策略面的安全策略提出了新一代的数提出了新一代的数字校园和一卡通系字校园和一卡通系统的组成和特点统的组成和特点对数字校园和一卡通系统对数字校园和一卡通系统发展的前景进行了展望发展的前景进行了展望从多个角度讨论了系统的从多个角度讨论了系统的安全要素和防范策略安全要素和防范策略讨论了校园一卡通系讨论了校园一卡通系统建设的构架与实现统建设的构架与实现