數字校園和一卡通集成方案研究
文章出處:http://www.katarog.com 作者:張兆雷 杜炤 佟秋利 人氣: 發表時間:2011年11月23日
隨著高校信息化的推進,校園一卡通的應用越來越廣泛,在一卡通建設的過程中,不可避免要實現和數字校園其他應用系統的集成。統觀各高校建設校園一卡通的過程,這種集成工作主要面臨兩種情形:數字校園尚未建設或數字校園已經完善。對前一種情形,可以將一卡通系統作為校園信息化的基礎,通過推動一卡通的建設,部署和完善網絡基礎、管理平臺,實現各種應用系統,這種開發方式結構清晰、易于實施,各校園卡集成系統供應商可提供成熟產品。
后一種情形在國內高校中更具有普遍性,這是由于一卡通技術的成熟相對較晚。在這種情形下實現一卡通和數字校園的集成時,必須遵循不能破壞現有數字校園的原則,這給一卡通的實施帶來許多困難。當前主要的集成方案是,在數字校園提供的硬件和軟件基礎上,建設各種使用IC卡的應用系統,如門禁系統,食堂消費系統等。這種方案在不改變數字校園基礎架構的前提下,引入一卡通應用,為實現一卡通和數字校園的集成提供了一條有效途徑。但是,這種方案有許多內在的缺陷。首先,它不能充分發揮一卡通的功能,例如,不能通過校園卡對學校的教學系統提供支持;其次,各高校的數字校園基礎架構形式多樣,因此,每個高校開發一卡通應用都是一份新的工作,相互之間無法形成可以借鑒的經驗,開發成本很高。
針對這些問題,本文提出一種新的數字校園和一卡通集成的方案。首先明確了校園卡包含的內容和校園卡在數字校園中的定位,然后描述集成方案的具體內容和方法,并展示集成后數字校園的架構。
1 一卡通在數字校園中的定位
一卡通是一個簡稱,狹義上它通常指一卡通應用,即可以使用IC卡的各種應用系統。廣義上是指一卡通體系,這個體系的主體是提供基于IC卡的管理和應用服務的一卡通平臺,同時還包括底層的硬件和軟件基礎架構,以及安全體系和運行維護體系。一卡通平臺提供的管理包括卡務管理和財務管理,提供的應用服務包括身份認證類服務和消費類服務。
數字校園是校園信息化的主要組成部分,使用信息技術為高校的日常教學、科學研究、校務管理提供支持。數字校園的信息建設分為兩大類,即數字校園基礎設施和數字校園應用系統。數字校園基礎設施的建設包括網絡、硬件、基礎軟件和公共平臺;應用系統包括教務系統、人事系統、科研管理系統、后勤系統等。
IC卡作為在校師生的身份標志和電子錢包,不僅可以應用于門禁、食堂等一卡通應用系統,也可以用于教務注冊、科研費用管理、圖書館管理等已有的數字校園應用系統。一卡通平臺對IC卡進行管理,實現IC卡的各種功能,為使用IC卡的應用系統提供公共服務,因此,一卡通應當作為數字校園的基礎設施,而不是簡單的應用系統。
2 集成方案
一卡通建設面臨的現實情況是:首先,數字校園本身已經非常完善,其次,一卡通應當作為數字校園的基礎設施,完成和數字校園的集成。因此,新的集成方案應當遵循以下原則:
1.一卡通的建設不能破壞現有數字校園的架構
2.一卡通的建設能夠提升現有數字校園的應用,同時要提供完備和標準化的公共服務。
除此之外,還應當遵循一卡通建設本身的一些原則。
基于上述原則的一卡通和數字校園的集成方案,主要內容包括網絡、服務器、一卡通平臺、一卡通應用和數字校園的集成。下面以清華大學一卡通建設過程為例,說明這種新的集成方案。
2.1 一卡通專網和校園網的結合
在完善的數字校園中,校園網是校內應用和數據交流的基礎。一卡通的身份認證業務和數據可以通過校園網來傳輸。由于一卡通具有消費的功能,需要處理大量的財務數據。相對與采用基于校園網的虛擬專網,一卡通物理專網能夠更好的保證財務應用和數據的安全。
一卡通體系的網絡拓撲結構圖如圖1所示:
圖1 一卡通體系網絡拓撲結構圖
一卡通專網和校園網之間是物理隔離的,一卡通體系中,凡是涉及消費、轉賬等財務功能的應用,部署在一卡通專網內,可以保證財務數據的安全;完成對身份的認證、查詢等的應用,部署在校園網內,可以方便的和數字校園其他應用進行對接。財務應用包括一卡通消費數據庫、消費交易流水處理前置機和銀行交易流水處理前置機。由于一卡通消費數據庫需要從校園網中獲取校園卡的黑白名單信息,同時要向校園網用戶提供對財務數據的查詢,所以在一卡通專網和校園網之間通過設置網關和防火墻實現跨網的服務器之間的雙向通訊。防火墻只允許兩種服務通過:數據同步服務和Web Services轉發服務。數據同步服務處理校園網中的各數據庫服務器和一卡通專網中的數據庫服務器之間的數據同步,這些服務器對普通用戶都是不可見的。Web Service轉發服務處理校園網用戶對財務數據的查詢請求,為保證一卡通專網的安全性,可以在校園網端新設一個轉發代理服務器,屏蔽網關設備的可見性。
2.2一卡通平臺
一卡通平臺是校園卡的主體,主要實現對一卡通的卡務管理和財務管理,并提供基于IC卡的身份認證服務和消費服務。基于一卡通平臺的功能和學校的組織結構,對一卡通的管理分為兩個部分,卡結算中心負責一卡通的財務管理,教務處和人事處負責一卡通的身份管理。
(1)卡務管理和財務管理
卡務管理功能基于校園網實現,包括卡狀態管理和卡信息管理。卡狀態包括未發卡狀態、有效狀態、掛失狀態和注銷狀態。在狀態轉化過程中,一卡通平臺生成和更新IC卡黑名單。并同步給相關應用系統。
卡信息包括學生的學籍信息、教職工的基本信息、照片信息等。卡信息管理要實現根據數字校園中教務和人事數據的變動同步更新一卡通平臺中的數據;響應校園網用戶對一卡通信息的查詢請求,包括網上查詢、電話查詢等多種方式。
財務管理功能基于一卡通專網實現,每個校園卡的參與者擁有一個財務帳戶,帳戶分為持卡人帳戶、商戶帳戶、銀行帳戶、個人代發帳戶等;財務相關的業務主要包括消費、圈存、代發、結算等;不同類型的帳戶只和特定的業務相關。例如,商戶只和消費、結算業務相關,在消費業務中,商戶帳戶余額增加;結算業務中,商戶帳戶余額減少。
同一種業務中,對不同的帳戶有不同的處理流程。在消費業務中,各消費終端將交易流水上傳到上位機,通過網關或代理服務器將上位機收集的交易流水轉發到一卡通平臺后臺服務器,對每筆交易,從相應的持卡人帳戶中扣除交易的金額,向商戶帳戶中增加交易的金額。
圈存業務需要和銀行交互,必須執行嚴格的密鑰管理。此業務包括轉賬過程和對賬過程,一卡通平臺和持卡人、銀行之間的交互過程如圖2所示:
圖2 圈存業務流程圖
代發業務是指單位委托一卡通結算中心將發放的金額轉入持卡人帳戶,需要由單位向一卡通結算中心提供代發款和代發名單,一卡通中心核對后,在代發名單里的持卡人帳戶中添加余額。結算業務中,在商戶和一卡通中心對結算單核實無誤后,由一卡通中心將結算款劃撥給商戶。
(2)身份認證服務和消費服務
一卡通平臺建設的目的是向數字校園提供公共服務。這些服務主要分為兩類:身份認證類服務和消費類服務。
身份認證類服務主要應用于校園網內的各種應用,這類服務包括宿舍門禁身份認證、機房通道身份認證、圖書館通道身份認證、會議簽到身份認證等。通過設置讀卡器和上位機,收集IC卡信息并提交認證請求。完成認證的方式包括C/S模式和遠程過程調用(RPC)模式如Web Service。在C/S模式中,在應用系統本地配置一卡通的分服務器,其中包含人員信息的拷貝,通過實時的數據同步保證分服務器和一卡通中心服務器數據的一致性。上位機將驗證請求提交給分服務器,分服務器通過查詢本地數據完成驗證,并將結果返回給上位機。在RPC模式中,如果使用web services, 則由一卡通服務器提供Web服務,并向校內UDDI注冊中心注冊;上位機程序通過查找UDDI注冊中心的注冊服務,獲取身份驗證服務的指針,根據此指針調用一卡通服務器的web服務,完成驗證。
消費類服務主要包括應用于校園卡專網內的各種服務,如食堂刷卡消費、超市刷卡消費、醫療消費等。消費類服務通過刷卡交易來完成,通過POS機完成對IC卡內錢包的讀寫操作,同時,POS機將交易流水上傳到與之相連的上位機。刷卡交易分為在線交易和離線交易,在線交易中,上位機中的交易流水直接通過web服務發送給一卡通平臺前置機;離線交易中,交易流水暫存在上位機中的數據庫中,通過人工的方式向一卡通平臺提交。
3 集成了一卡通的數字校園架構
這種集成方案在原有的數字校園中,集成校園卡專網和一卡通平臺。基于它們提供的公共服務,提升了已有的數字校園應用系統如醫療、教學、人力等;同時,這種新的集成方案,通過重用數字校園的網絡、服務器、運維和安全體系,向數字校園引入了基于IC卡的新應用,如門禁、消費、簽到等。集成了一卡通的數字校園架構如圖3所示:
圖3 集成一卡通的清華大學數字校園架構圖
一卡通基礎設施提供的公共服務包括身份認證服務和消費服務,這些服務可以方便地被數字校園應用所使用。例如,在教務注冊業務中,通過讀卡器和讀卡助手軟件,可以快速地通過IC卡獲取學生的學籍信息,完成注冊。在這個過程中,原有注冊系統基本不用做新的改變。
4 總結
越來越多的高校開始建設和應用校園一卡通,如何將一卡通集成到數字校園的架構中,一直是一卡通建設過程中不斷探討的問題。將一卡通作為數字校園的基礎設施,通過建設一卡通平臺提供公共服務,實現一卡通和現有數字校園應用的松散耦合。這種新的集成方案,能夠在保持現有數字校園架構的基礎上,以較小的建設成本,充分發揮校園一卡通的功能。
(文/北京清華大學計算中心 張兆雷 杜炤 佟秋利)