數(shù)字校園和一卡通集成方案研究
文章出處:http://srpd123.com 作者:張兆雷 杜炤 佟秋利 人氣: 發(fā)表時間:2011年11月23日
隨著高校信息化的推進,校園一卡通的應用越來越廣泛,在一卡通建設的過程中,不可避免要實現(xiàn)和數(shù)字校園其他應用系統(tǒng)的集成。統(tǒng)觀各高校建設校園一卡通的過程,這種集成工作主要面臨兩種情形:數(shù)字校園尚未建設或數(shù)字校園已經(jīng)完善。對前一種情形,可以將一卡通系統(tǒng)作為校園信息化的基礎,通過推動一卡通的建設,部署和完善網(wǎng)絡基礎、管理平臺,實現(xiàn)各種應用系統(tǒng),這種開發(fā)方式結(jié)構(gòu)清晰、易于實施,各校園卡集成系統(tǒng)供應商可提供成熟產(chǎn)品。
后一種情形在國內(nèi)高校中更具有普遍性,這是由于一卡通技術(shù)的成熟相對較晚。在這種情形下實現(xiàn)一卡通和數(shù)字校園的集成時,必須遵循不能破壞現(xiàn)有數(shù)字校園的原則,這給一卡通的實施帶來許多困難。當前主要的集成方案是,在數(shù)字校園提供的硬件和軟件基礎上,建設各種使用IC卡的應用系統(tǒng),如門禁系統(tǒng),食堂消費系統(tǒng)等。這種方案在不改變數(shù)字校園基礎架構(gòu)的前提下,引入一卡通應用,為實現(xiàn)一卡通和數(shù)字校園的集成提供了一條有效途徑。但是,這種方案有許多內(nèi)在的缺陷。首先,它不能充分發(fā)揮一卡通的功能,例如,不能通過校園卡對學校的教學系統(tǒng)提供支持;其次,各高校的數(shù)字校園基礎架構(gòu)形式多樣,因此,每個高校開發(fā)一卡通應用都是一份新的工作,相互之間無法形成可以借鑒的經(jīng)驗,開發(fā)成本很高。
針對這些問題,本文提出一種新的數(shù)字校園和一卡通集成的方案。首先明確了校園卡包含的內(nèi)容和校園卡在數(shù)字校園中的定位,然后描述集成方案的具體內(nèi)容和方法,并展示集成后數(shù)字校園的架構(gòu)。
1 一卡通在數(shù)字校園中的定位
一卡通是一個簡稱,狹義上它通常指一卡通應用,即可以使用IC卡的各種應用系統(tǒng)。廣義上是指一卡通體系,這個體系的主體是提供基于IC卡的管理和應用服務的一卡通平臺,同時還包括底層的硬件和軟件基礎架構(gòu),以及安全體系和運行維護體系。一卡通平臺提供的管理包括卡務管理和財務管理,提供的應用服務包括身份認證類服務和消費類服務。
數(shù)字校園是校園信息化的主要組成部分,使用信息技術(shù)為高校的日常教學、科學研究、校務管理提供支持。數(shù)字校園的信息建設分為兩大類,即數(shù)字校園基礎設施和數(shù)字校園應用系統(tǒng)。數(shù)字校園基礎設施的建設包括網(wǎng)絡、硬件、基礎軟件和公共平臺;應用系統(tǒng)包括教務系統(tǒng)、人事系統(tǒng)、科研管理系統(tǒng)、后勤系統(tǒng)等。
IC卡作為在校師生的身份標志和電子錢包,不僅可以應用于門禁、食堂等一卡通應用系統(tǒng),也可以用于教務注冊、科研費用管理、圖書館管理等已有的數(shù)字校園應用系統(tǒng)。一卡通平臺對IC卡進行管理,實現(xiàn)IC卡的各種功能,為使用IC卡的應用系統(tǒng)提供公共服務,因此,一卡通應當作為數(shù)字校園的基礎設施,而不是簡單的應用系統(tǒng)。
2 集成方案
一卡通建設面臨的現(xiàn)實情況是:首先,數(shù)字校園本身已經(jīng)非常完善,其次,一卡通應當作為數(shù)字校園的基礎設施,完成和數(shù)字校園的集成。因此,新的集成方案應當遵循以下原則:
1.一卡通的建設不能破壞現(xiàn)有數(shù)字校園的架構(gòu)
2.一卡通的建設能夠提升現(xiàn)有數(shù)字校園的應用,同時要提供完備和標準化的公共服務。
除此之外,還應當遵循一卡通建設本身的一些原則。
基于上述原則的一卡通和數(shù)字校園的集成方案,主要內(nèi)容包括網(wǎng)絡、服務器、一卡通平臺、一卡通應用和數(shù)字校園的集成。下面以清華大學一卡通建設過程為例,說明這種新的集成方案。
2.1 一卡通專網(wǎng)和校園網(wǎng)的結(jié)合
在完善的數(shù)字校園中,校園網(wǎng)是校內(nèi)應用和數(shù)據(jù)交流的基礎。一卡通的身份認證業(yè)務和數(shù)據(jù)可以通過校園網(wǎng)來傳輸。由于一卡通具有消費的功能,需要處理大量的財務數(shù)據(jù)。相對與采用基于校園網(wǎng)的虛擬專網(wǎng),一卡通物理專網(wǎng)能夠更好的保證財務應用和數(shù)據(jù)的安全。
一卡通體系的網(wǎng)絡拓撲結(jié)構(gòu)圖如圖1所示:
圖1 一卡通體系網(wǎng)絡拓撲結(jié)構(gòu)圖
一卡通專網(wǎng)和校園網(wǎng)之間是物理隔離的,一卡通體系中,凡是涉及消費、轉(zhuǎn)賬等財務功能的應用,部署在一卡通專網(wǎng)內(nèi),可以保證財務數(shù)據(jù)的安全;完成對身份的認證、查詢等的應用,部署在校園網(wǎng)內(nèi),可以方便的和數(shù)字校園其他應用進行對接。財務應用包括一卡通消費數(shù)據(jù)庫、消費交易流水處理前置機和銀行交易流水處理前置機。由于一卡通消費數(shù)據(jù)庫需要從校園網(wǎng)中獲取校園卡的黑白名單信息,同時要向校園網(wǎng)用戶提供對財務數(shù)據(jù)的查詢,所以在一卡通專網(wǎng)和校園網(wǎng)之間通過設置網(wǎng)關(guān)和防火墻實現(xiàn)跨網(wǎng)的服務器之間的雙向通訊。防火墻只允許兩種服務通過:數(shù)據(jù)同步服務和Web Services轉(zhuǎn)發(fā)服務。數(shù)據(jù)同步服務處理校園網(wǎng)中的各數(shù)據(jù)庫服務器和一卡通專網(wǎng)中的數(shù)據(jù)庫服務器之間的數(shù)據(jù)同步,這些服務器對普通用戶都是不可見的。Web Service轉(zhuǎn)發(fā)服務處理校園網(wǎng)用戶對財務數(shù)據(jù)的查詢請求,為保證一卡通專網(wǎng)的安全性,可以在校園網(wǎng)端新設一個轉(zhuǎn)發(fā)代理服務器,屏蔽網(wǎng)關(guān)設備的可見性。
2.2一卡通平臺
一卡通平臺是校園卡的主體,主要實現(xiàn)對一卡通的卡務管理和財務管理,并提供基于IC卡的身份認證服務和消費服務?;谝豢ㄍㄆ脚_的功能和學校的組織結(jié)構(gòu),對一卡通的管理分為兩個部分,卡結(jié)算中心負責一卡通的財務管理,教務處和人事處負責一卡通的身份管理。
(1)卡務管理和財務管理
卡務管理功能基于校園網(wǎng)實現(xiàn),包括卡狀態(tài)管理和卡信息管理??顟B(tài)包括未發(fā)卡狀態(tài)、有效狀態(tài)、掛失狀態(tài)和注銷狀態(tài)。在狀態(tài)轉(zhuǎn)化過程中,一卡通平臺生成和更新IC卡黑名單。并同步給相關(guān)應用系統(tǒng)。
卡信息包括學生的學籍信息、教職工的基本信息、照片信息等??ㄐ畔⒐芾硪獙崿F(xiàn)根據(jù)數(shù)字校園中教務和人事數(shù)據(jù)的變動同步更新一卡通平臺中的數(shù)據(jù);響應校園網(wǎng)用戶對一卡通信息的查詢請求,包括網(wǎng)上查詢、電話查詢等多種方式。
財務管理功能基于一卡通專網(wǎng)實現(xiàn),每個校園卡的參與者擁有一個財務帳戶,帳戶分為持卡人帳戶、商戶帳戶、銀行帳戶、個人代發(fā)帳戶等;財務相關(guān)的業(yè)務主要包括消費、圈存、代發(fā)、結(jié)算等;不同類型的帳戶只和特定的業(yè)務相關(guān)。例如,商戶只和消費、結(jié)算業(yè)務相關(guān),在消費業(yè)務中,商戶帳戶余額增加;結(jié)算業(yè)務中,商戶帳戶余額減少。
同一種業(yè)務中,對不同的帳戶有不同的處理流程。在消費業(yè)務中,各消費終端將交易流水上傳到上位機,通過網(wǎng)關(guān)或代理服務器將上位機收集的交易流水轉(zhuǎn)發(fā)到一卡通平臺后臺服務器,對每筆交易,從相應的持卡人帳戶中扣除交易的金額,向商戶帳戶中增加交易的金額。
圈存業(yè)務需要和銀行交互,必須執(zhí)行嚴格的密鑰管理。此業(yè)務包括轉(zhuǎn)賬過程和對賬過程,一卡通平臺和持卡人、銀行之間的交互過程如圖2所示:
圖2 圈存業(yè)務流程圖
代發(fā)業(yè)務是指單位委托一卡通結(jié)算中心將發(fā)放的金額轉(zhuǎn)入持卡人帳戶,需要由單位向一卡通結(jié)算中心提供代發(fā)款和代發(fā)名單,一卡通中心核對后,在代發(fā)名單里的持卡人帳戶中添加余額。結(jié)算業(yè)務中,在商戶和一卡通中心對結(jié)算單核實無誤后,由一卡通中心將結(jié)算款劃撥給商戶。
(2)身份認證服務和消費服務
一卡通平臺建設的目的是向數(shù)字校園提供公共服務。這些服務主要分為兩類:身份認證類服務和消費類服務。
身份認證類服務主要應用于校園網(wǎng)內(nèi)的各種應用,這類服務包括宿舍門禁身份認證、機房通道身份認證、圖書館通道身份認證、會議簽到身份認證等。通過設置讀卡器和上位機,收集IC卡信息并提交認證請求。完成認證的方式包括C/S模式和遠程過程調(diào)用(RPC)模式如Web Service。在C/S模式中,在應用系統(tǒng)本地配置一卡通的分服務器,其中包含人員信息的拷貝,通過實時的數(shù)據(jù)同步保證分服務器和一卡通中心服務器數(shù)據(jù)的一致性。上位機將驗證請求提交給分服務器,分服務器通過查詢本地數(shù)據(jù)完成驗證,并將結(jié)果返回給上位機。在RPC模式中,如果使用web services, 則由一卡通服務器提供Web服務,并向校內(nèi)UDDI注冊中心注冊;上位機程序通過查找UDDI注冊中心的注冊服務,獲取身份驗證服務的指針,根據(jù)此指針調(diào)用一卡通服務器的web服務,完成驗證。
消費類服務主要包括應用于校園卡專網(wǎng)內(nèi)的各種服務,如食堂刷卡消費、超市刷卡消費、醫(yī)療消費等。消費類服務通過刷卡交易來完成,通過POS機完成對IC卡內(nèi)錢包的讀寫操作,同時,POS機將交易流水上傳到與之相連的上位機。刷卡交易分為在線交易和離線交易,在線交易中,上位機中的交易流水直接通過web服務發(fā)送給一卡通平臺前置機;離線交易中,交易流水暫存在上位機中的數(shù)據(jù)庫中,通過人工的方式向一卡通平臺提交。
3 集成了一卡通的數(shù)字校園架構(gòu)
這種集成方案在原有的數(shù)字校園中,集成校園卡專網(wǎng)和一卡通平臺?;谒鼈兲峁┑墓卜?,提升了已有的數(shù)字校園應用系統(tǒng)如醫(yī)療、教學、人力等;同時,這種新的集成方案,通過重用數(shù)字校園的網(wǎng)絡、服務器、運維和安全體系,向數(shù)字校園引入了基于IC卡的新應用,如門禁、消費、簽到等。集成了一卡通的數(shù)字校園架構(gòu)如圖3所示:
圖3 集成一卡通的清華大學數(shù)字校園架構(gòu)圖
一卡通基礎設施提供的公共服務包括身份認證服務和消費服務,這些服務可以方便地被數(shù)字校園應用所使用。例如,在教務注冊業(yè)務中,通過讀卡器和讀卡助手軟件,可以快速地通過IC卡獲取學生的學籍信息,完成注冊。在這個過程中,原有注冊系統(tǒng)基本不用做新的改變。
4 總結(jié)
越來越多的高校開始建設和應用校園一卡通,如何將一卡通集成到數(shù)字校園的架構(gòu)中,一直是一卡通建設過程中不斷探討的問題。將一卡通作為數(shù)字校園的基礎設施,通過建設一卡通平臺提供公共服務,實現(xiàn)一卡通和現(xiàn)有數(shù)字校園應用的松散耦合。這種新的集成方案,能夠在保持現(xiàn)有數(shù)字校園架構(gòu)的基礎上,以較小的建設成本,充分發(fā)揮校園一卡通的功能。
(文/北京清華大學計算中心 張兆雷 杜炤 佟秋利)