基于數字化校園環境的一卡通設計與實現
文章出處:http://www.katarog.com 作者: 人氣: 發表時間:2011年09月09日
摘要:一卡通系統是校園數字信息化建設的重要組成部分,本文根據既定目標,合理規劃一卡通系統建設,討論了系統的結構、數據庫設計、系統網絡安全、應用集成、數據挖掘等關鍵技術和解決方案。該系統具有很強的適用性、安全性、可用性、可擴展性等特點。
關鍵詞:數字化校園;一卡通;網絡安全;采集監控;應用集成;數據挖掘
引言
1990 年由美國克萊蒙特大學教授凱尼斯•格林(Kenneth Green)發起并主持的一項大型科研項目“信息化校園計劃”(The Campus Computing Project),使數字化校園的概念最早出現。數字化校園是全面利用當代先進的信息技術,實現從環境(如:設備、教室、實驗室等)、資源(圖書、課件、講義、工具等)到活動(教、學、管理等)的全部數字化以及對各種資源的集成、整合和優化,實現資源的有效配置和充分利用,構建一個集教學、科研、管理、學習、生活為一體的,高度信息化的創新型人才培養環境,最終實現教育過程的全面信息化。
目前,多所高校都在實施數字化校園[1-3]的建設,但真正運行良好,發揮數字化校園作用的屈指可數,其主要原因多集中在數字化校園各組成部分缺乏必要的規劃和協調[4]。一卡通是數字化校園中一個重要、關鍵的組成部分,能為數字化校園平臺提供統一的用戶管理、資源管理和權限控制等核心功能,與其他組成部分有著千絲萬縷的聯系。因此,我院一卡通系統的實施是以數字化校園整體目標為指導。建設目標如下:
1、方便教職員工的教學生活,提高學院社會認知度和師生員工的集體榮譽感。
2、建立安全可靠系統結構,保證資金流安全。
3、完善的監控體系,保證設備高可用性和安全性。
4、溝通院內已有系統信息導向,避免信息孤島。
5、通過分析海量的日常信息,提供學院管理層決策。
下面本人圍繞以上5 個目標的實現,將我校建設中的經驗和教訓提出來供大家分享和借鑒。
1、合理規劃數字化校園下一卡通系統(實現目標1、2)。
體系結構設計:
我院數字化校園系統體系結構分四層,底層是基礎架構服務層,包含網絡及服務相關基礎軟硬件基礎設施;上面是集成服務層,實現各應用之間數據的交換和管理;再上層是應用系統層,包含一卡通、教務管理、辦公自動化等內容,負責具體的業務的管理;頂層是校園信息門戶,實現數據的統一展示和個性化可定制的綜合信息服務。一卡通平臺采用標準的三層架構,基于WEB 的企業級應用,采用.NET、XML 和WebService為核心技術,系統應用層由十余個子系統構成,充分滿足學院各方面需要,包括制卡中心、管理平臺、web 服務、采集與監控、自助服務、語音平臺、掃描助手、第三方數據傳輸等,框架結構圖如圖一。
圖一:一卡通系統架構
數據結構設計:
數據庫是系統的信息儲存和信息交換中心,系統中的所有操作狀態、操作過程和記錄都集中在此進行儲存和交換,因此數據庫在系統中起著特殊重要的作用。數據結構也分三層設計,中心數據庫位于中心機房,建立在Linux 上,采用ORACLE10G,保證數據安全和高效;通訊網關負責數據的暫存和轉發,分布在各主要機具集中的地方,如食堂、澡堂、宿舍等,采用SQL2000;本地數據主要位于機具和卡片上,主要記錄每次業務情況。各個數據層相互關聯,形成一個統一完整的數據信息應用網絡,一卡通關系型數據庫框架體系結構如圖二。
圖二:一卡通系統數據庫架構
業務數據最終保存在卡片和中心數據庫中,交易數據以卡片數據為根本,中心數據為補充,當中心數據與卡片數據不符時,以卡片數據為準。網絡暢通時,機具數據上傳至通訊網關,通訊網關再及時傳遞到中心數據庫,三層中只要卡片正常,就不會影響終端交易,保證了系統的高可用性;系統停電時,機具自帶UPS 電源和系統緩存,保證了正常使用。但設計弊端是當網絡不通時,無法進行卡片的掛失,也無法下發黑名單到機具,易造成黒卡消費。
2、網絡安全的設計(實現目標2)
一卡通系統網絡布線分為兩部分,一部分利用現有校園內公共網絡進行數據傳輸,主要為校園內主干線和機具少而分散且單獨布線代價大的部分,采用TCP/IP 協議傳輸;對于機具相對集中的另一部分,如:澡堂、食堂、開水房等,采用單獨布線,485 串口協議傳輸,轉換成RS232 協議進入計算機系統處理,如圖三。采用485 協議部分,范圍集中,容易監管,不易攻擊,相對安全;從通訊網關到中心機房,設備和信息暴露在整個校園網絡中,需要重點防護。防護方法為:邏輯隔離一卡通網絡與校園公網,采取基于端口的VLAN 劃分方式,將所有一卡通設備端口都置于同一VLAN 中間,如:port access vlan 100同時,通過ACL 控制,如:
rule 1 deny ip source 172.17.10.0 0.0.0.255
destination 172.17.100.0 0.0.0.255
以保證公網設備無法訪問vlan 100。但這是以接入層交換設備的支持為基礎的,如: H3C的S3 系列、E 系列、銳捷的S2 系列等大部分產品都支持該功能。
圖三:RS485 轉RS232 連接示意圖
一卡通服務器同其他業務服務器(如:教務、認證服務服務器)都位于防火墻后方,同處于專用VLAN,這樣既能保證服務器端信息流動的暢通,同時通過ACL 控制一卡通服務器端訪問控制策略,又解決了中心服務器的安全問題。
第1頁第2頁 |