淺談校園一卡通的設計與安全性

楊夢希

（無錫商業職業技術學院，江蘇　無錫　214000）

淺談校園一卡通的設計與安全性

楊夢希

（無錫商業職業技術學院，江蘇無錫214000）

校園一卡通系統能將多項管理職能融為一體，實現校園內一卡通用的目標。文章通過無錫商業職業技術學院的校園一卡通系統建設，簡述了校園一卡通系統的設計目標，并簡略地對系統結構和應用子系統進行了可行性和安全性分析。

校園一卡通；智能卡；網絡管理

1　校園一卡通研究現狀

計算機和網絡技術的迅速發展給社會帶來了日新月異的變化。目前，圖書管理系統、機房管理系統等各類管理系統已在高等院校中普遍應用。但是，由于當時技術能力的限制以及缺乏整體的規劃，這些系統采用的技術和規范往往不統一，各應用系統的證件無法通用，給用戶使用和系統管理帶來了相當的不便。高等院校校園內實現一卡通是網絡技術進步帶來的必然后果。校園一卡通的實質就是指在校園范圍內通過一張卡就能完成基本的證件和身份識別功能。而實際上部分校園卡系統只能實現簡單的一卡多用，同時還存在通訊、安全、通用性等問題。具體表現在：不同的軟件，不同的發行系統；不同的數據庫和消費終端。另外，除了食堂，校園內的超市、文印店等同樣可以使用校園卡，這就有必要建立適用、完善的校園卡系統。與此同時，各類系統的連通、重復投資建設、缺乏統一規劃的弊端以及安全性的問題越來越突出。

2　校園一卡通設計與實現方案

校園一卡通系統是整合微電子、單片機、數據庫及網絡技術，將智能卡作為信息載體，賦予其電子身份識別和電子錢包的功能，替代校園內學生證、借書證和飯卡之類的傳統卡證，真正實現一卡通的功效。完整的校園一卡通系統是一個非常復雜的系統，不僅要采用合適的軟硬件設施滿足當前需求，還要考慮學校發展規劃，確保在今后一段時間內系統能夠隨著需求升級，避免迅速淘汰。考慮到無錫商業職業技術學院的校園規模和建設經費，一卡通的建設可分階段進行，各子系統保留升級擴展的余地，逐步完善整個系統的功能。

校園一卡通的核心內容是利用IC卡的強大功能，在銀行網絡系統和校園網的支持下，建設一個高質量的、便捷化的智能卡應用系統。作為數字化校園的一部分，校園一卡通在設計之初就必須考慮數字化校園的規劃，符合整體設計思路。

要實現校園范圍內的信息共享這個目標，校園一卡通建設應從戰略的角度考慮。因此從設計開始階段就要考慮統一的網絡平臺、數據庫、身份認證、安全策略等要素，從源頭上把控全局，使各個子系統能完美連接，確保整個系統穩定、高效地運行。考慮學校需求的變化及其系統擴充和升級的方便性和靈活性，系統軟、硬件均應采用模塊化結構設計，提供標準、通用的信息接口，以便未來升級或擴展。

根據無錫商業職業技術學院校園一卡通系統的建設規劃，通過多階段持續建設，在無錫商業職業技術學院將實現以下目標：

（1）建立統一的一卡通平臺；（2）校園內實現一卡通用；（3）銀行卡、校園卡有機結合；（4）實現財務統管。

無錫商業職業學院校園一卡通的總體結構是按照以下幾個模塊實現的：

（1）系統網絡結構設計；（2）一卡通系統分布式數據庫實現方案；（3）卡片選擇設計；（4）第三方產品接入方案。

2.1系統網絡結構設計

從安全的角度出發，校園一卡通網絡宜采用單獨組網的方案。但由于該方案建設成本高、擴展困難，因此實際采用此方案的高職院校并不多。絕大部分高職院校從性價比的角度出發，兼顧安全性，選擇了利用原來的校園網與一卡通系統單獨組網相結合的方式建設。

基于校園一卡通系統信息共享、可擴展的特點，兼顧系統安全性和管理便捷性，一卡通一般采用B/S和C/S混合模式，并且是專用網絡。

2.2一卡通系統數據庫設計方案

一卡通系統的平臺層次結構劃分為3層，分別為中心數據庫服務器、各應用服務器、第二層局域網的網絡工作站。由這3個層次架構的一卡通系統的優點在于，日后的維護、擴展和升級比較方便。校園一卡通系統中心數據庫存貯的數據為整個系統的公共基礎數據，非常重要，因此在數據庫選型時應充分考慮系統對數據庫的設計要求。

校園一卡通系統中，將全部數據按不同的應用子系統的需要分成若干子集，安置在不同子系統所在局域網的數據庫服務器上。每一個子系統都必須在注冊后通過系統授權、系統認證才能接入平臺，對一卡通中心數據庫服務器的訪問，使用一卡通資源。

一般來說，一卡通系統的組成部分包括中心主機系統、管理和服務系統、應用類系統及校務管理系統等。

2.3芯片卡的選擇

校園卡的功能主要包含消費和身份認證，因此校園卡的使用貫穿了整個校園活動，一旦校園卡出現故障，將造成嚴重的事故。由此可知，芯片卡的選擇是校園一卡通系統成功運行的關鍵。校園卡的使用有其獨特性，如卡的使用頻率高、具備三防性能、卡的保密性好。基于以上要求，Mifare One（M1）雙界面CPU型射頻卡是一個理想的選擇。

2.4第三方產品接入方案

考慮到校園卡系統建設的階段性和可擴展性，本校園一卡通系統提供了功能強大的第三方接入系統，為后期功能強化和平滑升級保留足夠余量。其可以同時支持當前比較流行的連接方式，具有良好的系統可擴展性。

2.5校園一卡通系統的設計特點

（1）專人專卡專賬戶，實現信息共享；（2）校園卡和銀行卡實時轉賬功能；（3）金融級安全性的系統架構；（4）具備交易和身份識別功能；（5）具有開放性和可擴展性的系統；（6）多功能的第三方接口。

3　系統安全性設計思路

校園一卡通系統涉及范圍廣泛，包含了學校、銀行、電信、商戶和消費者等多個群體，存在著大量交易、結算、查詢等業務，因此，其安全性的要求相當高。一般來說，校園一卡通系統的安全設計主要通過硬件設施（包含卡片、終端設備、服務器等）和軟件設施（數據庫、操作系統、監測系統等）來實現，在建設之初就通盤考慮安全性，制定相應的防范措施，以確保校園一卡通系統穩定、高效運行。

校園卡在設計中必須考慮卡的防偽造和防篡改信息功能，確保卡上的信息是真實有效的。可以利用M1卡的特點將其唯一序列號作為校園一卡通系統的卡號，確保持卡人的唯一性。在校園卡表面印刷卡帳號，同時在系統內部自動生成對應關系，解決了M1卡的不足之處，兼顧了卡片防偽的安全性和使用的方便性。

考慮到實際使用場合，校園一卡通系統中的銷售終端（Point Of Sale，POS）機要具備脫機使用的功能。設計時，必須考慮POS機運行的穩定性和安全性，防止在使用中出現數據丟失的事故。校園一卡通卡片的掛失和有效性也是POS機使用時必須考慮的方面。另外卡的單日消費限額和限制次數同樣在考慮范圍內。

對于網絡安全相關來說，一般采用一卡通專用網絡、專用虛擬網和專用金融網絡3種網絡相結合的架構。專用網絡與校園網相隔離，確保網絡連接和信息傳輸的安全性。

在實際操作層面，校園一卡通系統還需考慮具備數據自動整理功能、數據異常丟失恢復功能、數據防篡改功能等一系列便捷操作的內容。

對于銀行轉賬的安全性方面，在對校園一卡通進行系統設計時應考慮數據傳輸的安全措施、重要數據的加密傳輸和屏蔽校園內對銀行的攻擊等安全措施。數據雙重備份、數據庫雙重備份、是否采用密鑰機制、采用POS注冊管理以及防病毒、網絡保護措施等措施也必須在設計之初加以考慮。

對于系統可靠性來說，系統的備份、掉電保護以及數據容錯策略是重中之重，需要得到特別關注。

對于系統平臺的可升級和擴展性，可采用大機集中的模式，這樣的方式可維護性較好。另外可在軟件中設置各種自動監測功能，充分利用可更換的讀卡頭，方便日后維護。采用安全可靠效率較強的中心服務器，其負載較大，可以達到較好的可擴展性。

4　結語

校園一卡通系統整合了校園內的各項交易和認證系統，形成了完整的信息系統，實現了校園內的信息共享，提高了校園工作生活中的便捷性，從而大大提升了學校的管理水準。

本文根據校園一卡通建設的過程，對系統的硬件設施、軟件設施進行了充分設計及論證。針對一些具體問題，本文提出了一些新穎的觀點，列舉了應用系統實例，有效解決了一些實際問題。截至2016年6月，無錫商業職業技術學院的一卡通系統已投入實際運行，整個系統穩定高效。伴隨校園師生需求的進一步擴展，依靠技術的進步必將實現校園內一卡通用的目標。

［1］余雪麗.校園一卡通系統的設計與安全性分析［D］.天津：天津大學，2006.

［2］杭州立方.論“一卡通”技術的應用現狀與發展趨勢［J］.金卡工程，2003（12）：22-23.

［3］黃永剛.校園一卡通系統設計與開發［D］.青島：中國海洋大學，2005.

［4］夏聘.校園一卡通系統設計與網絡安全體系分析［D］.杭州：浙江大學，2005.

Analysis of design and safety of Campus IC Card system

Yang Mengxi
（Wuxi Vocational Institute of Commerce， Wuxi 214000， China）

Campus IC Card system can integrate multiple management functions to achieve the goal that one card is universal in campus. The article expounded the design goal of Campus IC Card system and the feasibility and safety of the system structure and its application subsystem were analyzed briefy through the construction of Campus IC Card system in Wuxi Vocational Institute of Commerce.

Campus IC Card； smart card； management of networks

楊夢希（1981— ），女，江蘇無錫，本科，助理實驗師；研究方向：網絡管理。