探寻中国古典园林与现代景观设计的交融之路 ——北 …...近,与依据古典名著考建的大观园公园紧紧相连。建 筑风格中西结合,采用中式的大屋顶,现代的瓷砖墙
数字校园一卡通系统的 建设策略与实现
description
Transcript of 数字校园一卡通系统的 建设策略与实现
Page 2CERNET2004CERNET2004
摘要摘要
2
3
4
1
· 基于校园金融服务平台为核心的网络
· 从数字化校园服务、一卡通系统建设和管理,以及整个系统的安全等多个角度讨论了构建一卡通信息管理的解决方案
· 不仅从业务角度提出了一系列管理策略
· 也从技术角度阐述了系统的构架和实现
· 详细讨论了整个系统的安全防范措施
· 还对将来数字化校园进一步可以实现的前景进行了规划
· 不仅适用于数字校园环境下的一卡通系统的建设
· 也为类似系统提出了一套构建策略
校园一卡通系统的现代化管理策略
Page 3CERNET2004CERNET2004
议题议题
引言引言数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略结语
Page 4CERNET2004CERNET2004
引言引言
校园信息化两大应用领域数字校园环境下的校园一卡通
Page 5CERNET2004CERNET2004
校园信息化校园信息化校园信息化
数字校园环境下的一卡通是现代化校园管理的重要应用,必须依托学校现有的校园网进行建设
社会服务信息化校园管理信息化
校园信息化
数字化校园 校园一卡通
· 作为整个数字化校园的核心,设计上必须符合数字化校园的设计思想
· 不仅仅是消费系统,还具备管理功能和具备身份识别功能
· 建立的身份信息库能与中央信息库实现数据交换,为与其它 MIS、 OA 系统的互连互通打好基础
Page 6CERNET2004CERNET2004
议题议题
引言数字校园环境下一卡通系统的构建数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略结语
Page 7CERNET2004CERNET2004
数字校园环境下一卡通系统的构建数字校园环境下一卡通系统的构建
数字校园的发展新一代的数字校园校园卡发展和银行校园卡校园一卡通
Page 8CERNET2004CERNET2004
数字校园的发展数字校园的发展从广义的角度而言,校园管理信息化都可以认为是数字校园的存在形态
局域网加部门级应用校园网加简单的数据集中
单机加文档级应用 数字校园的发展1
23
第三代数字校园系统
· 有了一定的校级数据集中的设计
· 是基本意义上的“数字校园”
· 但也存在着缺乏统一的技术标准、缺乏平台化的设计等问题
Page 9CERNET2004CERNET2004
新一代的数字校园新一代的数字校园
活动实现
全部数字化
以网络为基础
先进的信息化手段和工具
资源
……教学 管理服务 办公
… …
图书 讲义 课件… …
环境
……
设备 教 室… …
Page 10CERNET2004CERNET2004
校园卡发展和银行校园卡校园卡发展和银行校园卡从 20 世纪 80 年代出现的校园就餐卡算起,校园卡的发展
有后勤服务的逻辑加密卡加大食堂卡
具有银行金融结算功能的智能卡加银行卡
不加密的 ID 卡加食堂卡 校园就餐卡的发展
1
23
银行校园卡
· 以银行结算平台为基础
· 通过充分利用安全性高、结算功能齐全、使用范围广泛的银行金融结算系统
· 实现校园电子货币一卡通
· 不但解决了资金风险问题
· 而且使校园卡具有充分的开放性和前瞻性
Page 11CERNET2004CERNET2004
校园一卡通校园一卡通校园一卡通在卡的基础上开发各类应用与服务
缴费……
消费
身份认证 取款
储蓄个人信息查询
functionconsumption system
information systemcovers of the campus
Based on Card
综合消费系统
信息查询系统
· 收缴费及各类款项支取
· 校内各类消费
· 身份认证、门禁、考勤、图书借阅、保安巡更
· 水电费用、科研课题、教学情况、学籍学分、课程成绩、管理信息查询及统计分析等
Page 12CERNET2004CERNET2004
议题议题引言数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略结语
Page 13CERNET2004CERNET2004
校园一卡通系统建设的构架与实现校园一卡通系统建设的构架与实现
新一代校园一卡通校园一卡通软件系统架构校园一卡通系统逻辑架构
Page 14CERNET2004CERNET2004
新一代校园一卡通新一代校园一卡通新一代的校园一卡通超越了传统的设计模式
one web
one database
one card
three networks
one database
multi-card
· 校园网(内网)
· 互联网(外网)
· 涉密信息部门之间或多个 校区之间通讯的专用网络
· 集中化的、标准化 校园基础数据库
· 卡片的选型应以应用为中心 而不是以卡片为中心
· 形成多卡并存、相辅相成、 灵活方便的运行模式
Page 15CERNET2004CERNET2004
校园一卡通软件系统架构校园一卡通软件系统架构
安
全
管
理
一 卡 通 公 共 信 息 库一卡通认证相关信息一卡通金融相关信息存
储层
POS 消费 机务管理 多媒体教室管理
浴室管理 声像视听室管理
教室管理 体育活动房管理
电子阅览室管理 大门门禁管理
会议签到管理
电子看存柜管理 ……
医疗收费管理
宾馆宿舍办公室
门禁管理
业务逻辑管理维护
逻辑层
综合前置表现层
银行系统 财务系统教务系统 图书系统
……
用户层
综合查询统计分
析身分认证
权限管理
清算管理
卡务管理
财务结算管理
人员信息管理
单位信息管理
公共组件 专用组件
消费 POS 机 移动 PDA 读写卡 语音服务 Web 服务 触摸屏 …Agent
业务逻辑入口业务逻辑控制
整个软件系统架构分为数据存储层、逻辑层、表现层和用户层
Page 16CERNET2004CERNET2004
校园一卡通软件系统架构校园一卡通软件系统架构
安
全
管
理
一 卡 通 公 共 信 息 库一卡通认证相关信息一卡通金融相关信息存
储层
POS 消费 机务管理 多媒体教室管理
浴室管理 声像视听室管理
教室管理 体育活动房管理
电子阅览室管理 大门门禁管理
会议签到管理
电子看存柜管理 ……
医疗收费管理
宾馆宿舍办公室
门禁管理
业务逻辑管理维护
逻辑层
综合前置表现层
银行系统 财务系统教务系统 图书系统
……
用户层
综合查询统计分
析身分认证
权限管理
清算管理
卡务管理
财务结算管理
人员信息管理
单位信息管理
公共组件 专用组件
消费 POS 机 移动 PDA 读写卡 语音服务 Web 服务 触摸屏 …Agent
业务逻辑入口业务逻辑控制
数据存储层是整个信息系统的最底层,包括人员信息、单位信息、校园卡 账户信息和消费信息等等
Page 17CERNET2004CERNET2004
校园一卡通软件系统架构校园一卡通软件系统架构
安
全
管
理
一 卡 通 公 共 信 息 库一卡通认证相关信息一卡通金融相关信息存
储层
POS 消费 机务管理 多媒体教室管理
浴室管理 声像视听室管理
教室管理 体育活动房管理
电子阅览室管理 大门门禁管理
会议签到管理
电子看存柜管理 ……
医疗收费管理
宾馆宿舍办公室
门禁管理
业务逻辑管理维护
逻辑层
综合前置表现层
银行系统 财务系统教务系统 图书系统
……
用户层
综合查询统计分
析身分认证
权限管理
清算管理
卡务管理
财务结算管理
人员信息管理
单位信息管理
公共组件 专用组件
消费 POS 机 移动 PDA 读写卡 语音服务 Web 服务 触摸屏 …Agent
业务逻辑入口业务逻辑控制
逻辑层包括公共组件、专用组件、业务逻辑控制三部分
· 是通用组件,为各业务子系统及接口所共享· 提供了身份信息、各种信息管理维护查询等功能· 可以很方便地为将来的数字化校园所用
· 为各业务模块提供个性化功能· 多数组件在物理上可以分为两部分· 一部分位于应用服务器端,一部分位于客户端
· 完成交易信息分发功能· 将从用户层接收到的交易发送给相应的处理组件
Page 18CERNET2004CERNET2004
校园一卡通软件系统架构校园一卡通软件系统架构
安
全
管
理
一 卡 通 公 共 信 息 库一卡通认证相关信息一卡通金融相关信息存
储层
POS 消费 机务管理 多媒体教室管理
浴室管理 声像视听室管理
教室管理 体育活动房管理
电子阅览室管理 大门门禁管理
会议签到管理
电子看存柜管理 ……
医疗收费管理
宾馆宿舍办公室
门禁管理
业务逻辑管理维护
逻辑层
综合前置表现层
银行系统 财务系统教务系统 图书系统
……
用户层
综合查询统计分
析身分认证
权限管理
清算管理
卡务管理
财务结算管理
人员信息管理
单位信息管理
公共组件 专用组件
消费 POS 机 移动 PDA 读写卡 语音服务 Web 服务 触摸屏 …Agent
业务逻辑入口业务逻辑控制
表现层是用户与一卡通系统交互的接口,接收用户数据以及返回结果
Page 19CERNET2004CERNET2004
校园一卡通软件系统架构校园一卡通软件系统架构
安
全
管
理
一 卡 通 公 共 信 息 库一卡通认证相关信息一卡通金融相关信息存
储层
POS 消费 机务管理 多媒体教室管理
浴室管理 声像视听室管理
教室管理 体育活动房管理
电子阅览室管理 大门门禁管理
会议签到管理
电子看存柜管理 ……
医疗收费管理
宾馆宿舍办公室
门禁管理
业务逻辑管理维护
逻辑层
综合前置表现层
银行系统 财务系统教务系统 图书系统
……
用户层
综合查询统计分
析身分认证
权限管理
清算管理
卡务管理
财务结算管理
人员信息管理
单位信息管理
公共组件 专用组件
消费 POS 机 移动 PDA 读写卡 语音服务 Web 服务 触摸屏 …Agent
业务逻辑入口业务逻辑控制
用户层是用户可以实际看到的应用
Page 20CERNET2004CERNET2004
校园一卡通软件系统架构校园一卡通软件系统架构
安
全
管
理
一 卡 通 公 共 信 息 库一卡通认证相关信息一卡通金融相关信息存
储层
POS 消费 机务管理 多媒体教室管理
浴室管理 声像视听室管理
教室管理 体育活动房管理
电子阅览室管理 大门门禁管理
会议签到管理
电子看存柜管理 ……
医疗收费管理
宾馆宿舍办公室
门禁管理
业务逻辑管理维护
逻辑层
综合前置表现层
银行系统 财务系统教务系统 图书系统
……
用户层
综合查询统计分
析身分认证
权限管理
清算管理
卡务管理
财务结算管理
人员信息管理
单位信息管理
公共组件 专用组件
消费 POS 机 移动 PDA 读写卡 语音服务 Web 服务 触摸屏 …Agent
业务逻辑入口业务逻辑控制
通过这样的设计,使整个系统与银行系统和学校原有的软件系统及学校管理信息系统保持良好的接口,实现了数字校园环境下一卡通系统的建设
Page 21CERNET2004CERNET2004
校园一卡通系统逻辑架构校园一卡通系统逻辑架构
DDN/ISDN
现金充值
防火墙
•密码访问•权限 控制•加密传输
一卡通数据库红线: RS232篮线: RS485黑线: TCP/IP
CIF 应用服务器
网控器
银行端
VPN防火墙
Router
银行端前置
WWW 服务器
圈存机
消费终端
班车管理系统
智能电表
读卡器
RS485/232转换
RS485/232转换
RS485/232转换
网控器
网控器
一卡通应用服务器 VPN防火墙
触摸屏查询一体机
财务管理系统
图书管理系统
人事管理系统
教务管理系统
CIF 数据库
研究生管理系统
门禁
签到
校
园
网
一卡通专
网
其他应用系统
智能水表
通道机
控水器
语音 IVR查询挂失
消费终端、现金充值等业务通过一卡通专网完成;身份认证和其他管理系统通过校园网完成
Page 22CERNET2004CERNET2004
校园一卡通系统逻辑架构校园一卡通系统逻辑架构
DDN/ISDN
现金充值
防火墙
•密码访问•权限 控制•加密传输
一卡通数据库红线: RS232篮线: RS485黑线: TCP/IP
CIF 应用服务器
网控器
银行端
VPN防火墙
Router
银行端前置
WWW 服务器
圈存机
消费终端
班车管理系统
智能电表
读卡器
RS485/232转换
RS485/232转换
RS485/232转换
网控器
网控器
一卡通应用服务器 VPN防火墙
触摸屏查询一体机
财务管理系统
图书管理系统
人事管理系统
教务管理系统
CIF 数据库
研究生管理系统
门禁
签到
校
园
网
一卡通专
网
其他应用系统
智能水表
通道机
控水器
语音 IVR查询挂失
系统的核心是数据库服务器、主机应用服务器、前置服务器
数据库服务器存储数据,数据共享的基础
主机应用服务器后台服务程序,处理各类交易
前置服务器与银行交易的出口,安全校验,存储转发
Page 23CERNET2004CERNET2004
校园一卡通系统逻辑架构校园一卡通系统逻辑架构
DDN/ISDN
现金充值
防火墙
•密码访问•权限 控制•加密传输
一卡通数据库红线: RS232篮线: RS485黑线: TCP/IP
CIF 应用服务器
网控器
银行端
VPN防火墙
Router
银行端前置
WWW 服务器
圈存机
消费终端
班车管理系统
智能电表
读卡器
RS485/232转换
RS485/232转换
RS485/232转换
网控器
网控器
一卡通应用服务器 VPN防火墙
触摸屏查询一体机
财务管理系统
图书管理系统
人事管理系统
教务管理系统
CIF 数据库
研究生管理系统
门禁
签到
校
园
网
一卡通专
网
其他应用系统
智能水表
通道机
控水器
语音 IVR查询挂失
主机应用服务器
· 处理上传消费流水 · 与子系统对帐· 下传变更信息 · 安全认证· 一般性数据结算 · 特殊交易处理
Page 24CERNET2004CERNET2004
校园一卡通系统逻辑架构校园一卡通系统逻辑架构
DDN/ISDN
现金充值
防火墙
•密码访问•权限 控制•加密传输
一卡通数据库红线: RS232篮线: RS485黑线: TCP/IP
CIF 应用服务器
网控器
银行端
VPN防火墙
Router
银行端前置
WWW 服务器
圈存机
消费终端
班车管理系统
智能电表
读卡器
RS485/232转换
RS485/232转换
RS485/232转换
网控器
网控器
一卡通应用服务器 VPN防火墙
触摸屏查询一体机
财务管理系统
图书管理系统
人事管理系统
教务管理系统
CIF 数据库
研究生管理系统
门禁
签到
校
园
网
一卡通专
网
其他应用系统
智能水表
通道机
控水器
语音 IVR查询挂失
前置服务器
· 安全校验 · 配置管理· 存储转发 · 与银行方对帐· 交易处理 圈存:银行卡 -> 校园卡 圈提:校园卡 -> 银行卡
Page 25CERNET2004CERNET2004
议题议题引言数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略数字校园一卡通系统安全管理策略结语
Page 26CERNET2004CERNET2004
数字校园一卡通系统安全管理策略数字校园一卡通系统安全管理策略系统安全性要素系统安全防范体系
通讯安全交易安全操作安全数据安全卡片安全
密钥管理系统传输安全POS 机安全金融级安全
Page 27CERNET2004CERNET2004
系统安全性要素 (1)系统安全性要素 (1)
业务安全角度
运行安全角度
智能卡系统安全角度
财务系统严谨性角度
日常管理角度
传统安全角度
系 统 安 全
Page 28CERNET2004CERNET2004
系统安全性要素 (2)系统安全性要素 (2)
财务严谨性系统安全
智能卡系统特性
运行角度
日常管理
业务角度
传统角度 7*24小时不间断运行
高稳定性和高可靠性
7*24小时不间断运行
高稳定性和高可靠性
严格的对账机制
黑名单管理
结算管理优化
严格的对账机制
黑名单管理
结算管理优化
加强病毒防范加强病毒防范
通信安全
网络安全
通信安全
网络安全
操作安全
数据安全
操作安全
数据安全
密钥安全卡片安全终端安全
密钥安全卡片安全终端安全
Page 29CERNET2004CERNET2004
系统安全防范体系系统安全防范体系
防火墙一卡通应用服务器 前置机
银行前置
数据库
消费终端
DDN/ISDN
校园各种管理系统
· 密码访问· 权限控制· 敏感数据加密保存· 限制访问IP
校园网
路由器访问控制列表ACL
· 加密传输· MAC校验
· 一卡一密· 密码消费· 本次消费限额· 有效期· 退役期· 密文保存数据
· 加密传输· MAC校验
防火墙(内部网段隔离)
防火墙路由器访问控制列表ACL
· 加密传输· MAC校验
新模式下的校园一卡通系统针对交易过程的每一个关键节点都设计了有针对性的安全措施,从而构筑了一个立体的、完整的安全防范体系
neteye
neteye
neteye
Page 30CERNET2004CERNET2004
通讯安全通讯安全
VLAN technology
Firewallvisiting id· 校园数据中心系统对访问的权限有严格的限制
· 在数据区域的出入口放置防火墙,执行安全及访问控制功能
· 使用 VLAN 技术隔离不同业务部分
· 根据路由策略进行按需通讯
Page 31CERNET2004CERNET2004
交易安全 (1)交易安全 (1)
系统通过黑白名单管理实现了交易的安全
有效期识别功能能有效的防止过期卡片使用
系统还提供了非法卡、黑卡报警功能
POS 机每次开机时从校园一卡通系统服务器联机下载各类所需数据,各类卡交易都达到了高度的实时性
黑名单 /白名单在 POS每次开机时从校园一卡通系统服务器联机下载,因此脱机模式下仍可保持绝大部分黑 /白名单的有效性
· 联机模式
· 脱机模式
Page 32CERNET2004CERNET2004
交易安全 (2)交易安全 (2)
交易安全还通过数字签名、双向认证实现
终端和用户卡 首先进行相互认证
用于该交易流水上送主机后进行合法性校验
储蓄卡交易
电子钱包的消费
银行和一卡通系统安全体系来保障
“安全认证” 和 “交易签名” 来保障
Page 33CERNET2004CERNET2004
操作安全操作安全系统采取设置分级管理来保障操作的安全性
< level 1 >
< level 2 >
< level 3 >
< level 4 >
< level 5 >
分级管理
· 各级管理员在自己权限范围内进行权限分配的工作
· 各部门间同级操作员,采用了部门隔离的处理方法
作为系统总管理员, 只需管理各专业的分管理员
Page 34CERNET2004CERNET2004
数据安全数据安全
负载均衡技术(Load-balance)数据传输的各个环节,
采用报文加密和报文验证码的方式
系统采用国际通用的DES算法将敏感数据加密后保存到数据库
群集技术(Clusters)
保证交易报文的可靠传输
保证系统数据的安全
保障大数据容量系统运行的高可靠性和系统交易的不间断性
Page 35CERNET2004CERNET2004
卡片安全卡片安全系统通过“一卡多密、密钥分散”实现了卡片的安全
IC 卡中信息的读写均需经过密钥的认证
一卡多密 密钥分散
IC 卡根据不同的应用划分不同的应用分区
各应用分区拥有各自不同的密钥管理
Page 36CERNET2004CERNET2004
密钥管理系统密钥管理系统金融功能所需的密钥包括 :
母卡的生成
种子密钥和主密钥的生成 PSAM 卡的生成
密钥管理系统
消费安全认证模块卡( Purchase secure
access module card)
消费安全认证模块卡( Purchase secure
access module card)
Page 37CERNET2004CERNET2004
终端安全终端安全系统通过“硬件加密、多级保护”实现了终端的安全
硬件加密 多级保护
终端设备专机专用,授权使用
终端设备的具有大容量数据存储区,支持历史数据重复采集功能
终端设备支持脱机消费功能
Page 38CERNET2004CERNET2004
POS 机安全POS 机安全
PSAM 卡装载商户信息、 终端信息
POS 机只充当一个转发器
PSAM 卡装有消费主密钥
所有的 POS 机均具有通用性
POS 机的安全是基于 PSAM 卡实现的
POS 机
Page 39CERNET2004CERNET2004
金融级安全金融级安全系统采取了金融级的安全
在交易的过程中,对每一个交易环节都进行了严格的认证与控制
the design of key management
the design of terminal management
hardware
无论是密钥管理系统,还是终端管理,都采用了硬件级的安全与加密模块进行设计
Page 40CERNET2004CERNET2004
议题议题引言数字校园环境下一卡通系统的构建校园一卡通系统建设的构架与实现数字校园一卡通系统安全管理策略结语结语
Page 41CERNET2004CERNET2004
展望…展望…
以及遍布校园及持卡人生活社区的各个角落的自助设备
通过媒体介入网上银行、电话银行和手机
银行等前置群
逐步建立起一个以校园金融服务平台为核心的数字校园网络
享受众多先进的服务项目
持卡人可以根据实际应用情况任选组合
· 最终实现基于 Intranet 和客户服务中心,集中式管理,远程处理,动态核算和网络化的工作方式的电子商务· 把学校建设成具有鲜明特色的,先进的数字化校园
银证通 移动银行 网上购物
代收代付专家理财 ……
Page 42CERNET2004CERNET2004
结语结语
conclusion
1
2
3
4
5
6
介绍了数字校园和一卡通系统的概念
尤其强调了交易、操作、卡片、传输、 POS机以及密钥管理系统等多方面的安全策略
提出了新一代的数字校园和一卡通系统的组成和特点
对数字校园和一卡通系统发展的前景进行了展望
从多个角度讨论了系统的安全要素和防范策略
讨论了校园一卡通系统建设的构架与实现
Page 43CERNET2004CERNET2004
Thanks…Thanks…
Our beautiful Neusoft Park