本栏目责任编辑:冯蕾 ......网络通汛与安全./厂
基于校园网一卡通系统解决
郜激扬,.都伟旭2,婪霄3.李英壮3
(1.走建理工大学计算中心,辽宁大连116000;2.郑州师范高等专科学校,河南郑州450044;3.河南省纺织高等专科学校.河南部州
450D44)
摘要:本文阐述了拉目一卡通系统的总体方囊设计:卡片厦机具设计、柱目一卡通系统的应用系统设计、枝目一卡通系统的安全设
计、校园一卡通系境的数据库设计。详细地描述了Ic卡变费充值系统部分功能实现。
关键词:一卡通;Ic卡变费充值系统
中国分类号:TP393文献标识码;A 立章编号:1009_3叫4(2∞雨1啪1539—03
。 B鹅edonACampusNetwon(∞e_∞吐柏roughSystemsolution
一 GAoJi一弘I】91,HAowei一邵jJ【ANGXia03.uYiIl『zhm培
、 p“姐univ嘣崎ofTechnology。z11e“萨houTcacherconc萨.He啪Tex出eCoⅡ剥
Abstract:E1abo碍tcd4口rIlpmone—cafd一‰ughsysbemoveraup1锄d6i驴:cird柚dmac}I嘛mdtoobd商gn.acar“pmone—cafd—
throu曲sysoem3pphc撕on5yncmdesi驴,a口Ir|P瑚one—card一吐Hou曲叩stemsa蠡desi萨,ac锄p埘蚰e—card一吐lrou曲syste】mda曲掷ed商gn.
Final}yd血a击cIe协h越car血dontlIedc虻砷6姗。眦byo耻nsillgdlc叫咖m如l埘on。illdc词des面bedtheIcc珂haspajdf醅吐lc姒伍一
ci∞c砌Ⅱesys咐n山。pam缸血Ilc妇rea】i髓don.
Keywonds:o眦card衄ou曲;删啪g啪eminfb咖曲“叩tem
1引言
校园一卡通就是代替教职员工和学生等在校内的所有个人
证件(工作证、图
证、医疗证、学生证卡、食堂饭卡、图书借圄卡、
上机卡、银行消费卡以及电话卡等等).并且都做在一十卡片上.
即在校园内.凡是需要现金、票证以及识别身份等的场合均采用
IC卡完成。
目前.基于校园网的“一卡通”在我国各个高校的应用主要处
于试运行和探索阶段,总的来说f11.在已经运行的高校“一卡通”
系统f21中.都多少存在一些问题,主要表现在以下几个方面:
f11校园卡设计为人像证卡、条码卡、射频lC卡三台一的组台
卡:这不是真正意义上的校园一卡通.只是把各自独立的一些子
系统统一起来,虽然组合成了一张卡.用在分散的几个子系统『31
中.但是由此带来很多问题.从长远来看,是一种短视行为.条码
卡本身的缺点就很多.其使用寿命也很短,资源不能共享等.这样
的复合卡优势就不在存在.所以说弊大于利。
(21很多高校采用的是逻辑加密卡:这种卡的缺欠是很明显
的,例如,分区个数在卡片初始化时就要确定.要想变动.只有收
回重新发行;由于卡的总容量固定,因此分区的个数越多,每个分
区的容量就越小.而在应用中保存数据量有可能超出分区容量.
因此造成一个分区不能对应一种应用:由于应用对象数据量超过
相应的分区容量.要使用连续的多个分区.当数据量不足单个分
区容量的整倍,就造成剩余空区,这样导致Ic卡容量的浪费:逻
辑加密卡中的数据加密是依据预先设计的逻辑步骤进行的.因
此.受到攻击时不能做出相应的变化,若一旦加密破解,会导致整
个系统的崩溃:逻辑加密卡的密钥数量是固定的.若满足多个不
同应用就要增加分区数.而对应于每一分区所配属的密钥数量就
要减少.从而降低了每一个分区用户的安全控制性:在IC卡密钥
组中.只有一个为主密钥(发行密钥I—Key),权限级别最高,其余
为使用密钥(应用A—K吖).使用密钥的授权和变更必须要经过发
行密钥的授权,因此每个分机构受到发行者的控制嘲。
目前,高校都建成了校园网。为一卡通『5保统提供网络基础;
卡片的应用技术逐渐成熟.特别是双界面CPU卡在大连公交上的
大批量成功的应用.为一卡通提供了技术基础:这样在结构上便
显示出独特优势,例如:资源共享,加快资源交换速度;有利于信
息检索和统计;提高效率:能实时监控和查询记录。
另外.因一卡通采用的IC卡为双界面CPU卡.具有独特优越
性,如卡上分区灵活;由徽处理器及操作系统进行安全管理;可靠
的密钥管理体系。
就目前情况.基于现有校园网基础.开辟一卡通专用虚拟同
络.无需重新布线.降低学校投资;所有系统设计研发均经过多方
考察,满足学校实际使用情况;系统采用客户定制的方式.向客户
提供个性化软件,能够完全满足学校特殊需求。
“基于校园罔一卡通系统。是将采用满足中国人民银行金融
集成电路Ic卡技术规范.满足国家有关部委关于Ic卡密钥管理
办法和规定.具有很强的安全性、自适应性、可扩展性,满足校园
一卡通要求的,:使各种银行卡能与我校发行校园卡转储;应用于
需要身份识别的各个MIs系统.也可以通过设在非接触式Ic芯
片内的电子钱包实现餐饮、校内购物、上机上网、医疗等棱内的各
种消费。
“基于校园网一卡通系统”是高校信息化发展的必然趋势.是
高校现代化管理和校园数字化的标志。遗将使处在我国改革开放
前沿地区.继续引领全国高校信息化、现代化建设的潮流,将管
理、服务与世界水平相接轨;
‘
“基于校园网一卡通系统”将有效促进我校数字化校园建设
的进程.它是散字化大学中的核心骨干系统.是数字化校园的先
行官.将为其它MlS系统提供良好的开发平台:
。基于校园网一卡通系统”将有效缓解我校的校务管理和后
勤服务的繁重的业务.提高学校的管理水平.提高后勤的服务质
量.做到减员增效、提高效率。成为全校师生员工的工作、学习和
生活中不可缺少的部分;
“基于校园网一卡通系统”的建设.将给高校实现财务统一管
理提供科学的、现代化的手段.将加速资金周转的效率。
本课题基于校同网这个特定的应用场所.充分利用最新双界
面cPU卡技术.构建真正意义上的校园一卡通系统.促进校园的
数字化建设。具有着深远的意义。
2系统设计
2.1系统结构
选择合适的网络模式是基于校园网的一卡通系统的重要方
面之一.根据大连理工校园网的情况,校园一卡通系统的需求和
状况.系统结构如图l所示.建议采用两种运行模式:
收稿日期:2007—0B一14
作者琦介:部教扬(1969一).男.辽宁盘连人.硕士.工程师,主要研究方向计算机鞔件开发。
1539
万方数据万方数据
·网络通汛与安全⋯··· 本栏目责任编辑:冯■
(1)基于B,s结构模式,系统采用三层架构,即第一层为后台
数据中心:第二层为应用系统;第三层为web。t
f21采用“3层”模式的c,s架构.进行系统开发,采用三层客
户,服务器.第一层为后台数据中心:第二层为应用系统.所有系统
的应用操作都在这一层实现:第三层为客户机。
B,s和c,s模式在很多应用系统都有应用.例如:Ic卡教务,
教学管理系统既有B,S又有C,S.
现教务信息的集中管理、分散操作、信息共享.使传统的教务
管理朝数字化、无纸化、智能化、综合化的方向发展,并为进一步
实现完善的计算机教务管理系统和全校信息系统打下良好的基
础。教务管理系统从管理和使用的角度分为两个部分:学校教务
管理端和学生使用端.前者主要有系统管理员和教务处人员和各
院系教务员及任课
使用.采用了B,S和C,s相界结合的方式.
后者则是主要面对在校学生.采用的B,s方式.利用校园网浏览
器.在选课系统开放期间.本校学生可以在任意一十可以上网的
地方.通过浏览器进人到选课系统。选课学生有自己的选课密码.
根据冉己的实际情况和总课表.选择自己要选的曝程。在选课期
间还可以进行选课调整.在选课过程中可以随时查询课程设置情
况。在平时学生可以随时查询自己的课表和成绩。
图1枝因一卡通系统的结构图
2.2系统组成
系统主要功能如图2所示。
一旦加密被破解.会导致整个系统的崩溃:其密钥数量是固定的
降低了每一个分区用户的安全控制性。
田3较团一卡通的应甩系统主要功能图
双界面CPu卡具有优点:每个分区的大小依据使用对象确
定.且分区个数根据使用对象的变化而调整:卡的分区虚址数量
的增加(减少)可通过授权滨卡机完成.不需收缴卡片.提高卡片
应用灵活性:分区数据的变化不影响每一个分区自己使用密刳的
数量:由于卡有微处理器及操作系统.具备数字运箅能力.可以实
施DEs、RSA加密算法.提高卡片的安全强度.密钥发行管理方式
更适合于开放系统中的应用:卡片除具有一个发行密钥和若十使
用密功能外.还可以在划分虚卡后变成每一个虚卡都具有自己的
一个发行密钥和若干使用密钥.且每一个虚卡密钥数量保持不
变.每一个虚卡中的使用密钥变更和授权都可以用自己虚卡中的
发行密钥完成.各虚卡的发行密钥、使用密铜的变更不受主卡发
行密钥的控制.使得此卡能做到一卡多用。根据表一的比较。我们
选用了双界面CPU卡。
裹1各种lC卡的比较
安 img蛳应{±#蛐1月&#唧#m女m#咔#
全 擞#{妊 m∞m£■一£姓&
&
&●拭:*ia£§-*;Ⅷ§*l,月fNN;№&m
{女Ht:鹘Ⅱ摩*-读写女4l女,月fm§女.MB∞●}张^*g№*∞
厮詈 .
月f■$■i—《Bg女皇&
■$∞ie·嫩目}∞j冶,∞^,≈lⅢ鱼、E
种口长}#髓 口m■《{#R&g赫,l和自E}存折
H∞mi
圈2校固一卡通糸境主要功能田
2.2.1卡片及机具设计
高校一卡通项且是校园数字化的重要标志。各种Ic卡比较
如表l所示。从现在国内一些已经使用IC卡的高校看.Ic卡的一
卡多用,是高校今后发展方向。
目前高校使用一卡通用的是逻辑加密卡(Ml卡),其缺点是
分区个数确定后.不容易变动:一个分区不能对应一种应用;容易
导致IC卡容量的浪费:逻辑加密卡中的数据加密是依据预先设
计的逻辑步骤进行的.因此。受到攻击时不能做出相应的变化.若 铡)。
1j黟电-知识j#}
fl汴片的结构
MF(主文件)——KEY文件
DIR目录数据文件
用户基本数据文件
行业消费交易记录文件
;ADFl
KEY
符合金融标准的电子存折’
符合金融标准的电子钱包
公共应用基本数据文件
持卡人基本数据文件
交易明细文件
ADF2
KEY
计量(钱包)文件
行业基本数据文件
f21校同卡类型设计
校园卡的类型包括用户卡、管理卡、密钥卡(主密钥、应用密
针对学校的多种应用.其中用户卡的类型见表2所示。
万方数据万方数据
本栏目责任编辑:玛■ ......网络通讯与安全./厂
裹2校园卡的类型
22.2应用系统设计 ‘
校园卡应用系统是基于校园网网络化设计故从理论上本系
统各种信息可以随着网络的延伸而延伸:由于我们采用模块化设
计.除IC卡管理模块外其他模块可独立运行.这样校园卡应用系
统既可一次性构建,也可分批构建。.
我们以校园卡应用为主线.将以前学校中彼此独立的各种信
息联系在一起.起着通行桥梁作用,真正做到信息资源的一致和
共享。
通过校园卡应用系统(应用系统功能如图3所示).可以实现
学校资源数字化、传输网络化、用户终端智能化和管理结算自动
化。本系航所具有模块:校园一卡通管理控制中心、IC卡食堂售餐
管理系统、lc卡教务,教学管理系统.Ic卡,学生,学籍管理系统、Ic
卡机房管理系统、IC卡固书馆管理系统、Ic卡考勤管理系统、IC
卡消费系统、Ic卡交费充值系统、Ic卡校内医疗管理系统、lc卡
门禁管理系统、触摸屏自助查询系统、辅助决策系统等等。 ·
下面就校园一卡通管理控制中心系统设计进行简单描述:根
据需求
,设计了四大模块:卡片管理、数据汇总、统计及查询、
数据库维护、设备管理。
(11卡片管理包括卡片初始化.日常处理,结帐处理.数据统
计.设备发行管理.库存管理:
(21系统维护包括字典维护。参数设定,非法数据处理,备份和
恢复。日志维护.口令维护:。
(3)数据查询包括日志查询,非法数据查询.帐户查询,结算
报表,消费分配查询.充值查询.卡片情况查询.设备状态查询;
(41设备管理主要功能POs机、读卡器、查询机的发行、查询、
统计、状态处理等 ‘。
用图4的数据流图描述本系统的数据流向、数据加工的方
法。 二 ,
囤4枝固一卡通管理控制中心系统的教据流圜
2.2.3校园~卡通系统安全设计
校园一卡通系统由于完成的是电子货币的交易和结算.对系
统的安全可靠性要求非常高。
卡片的认证机制如下:
f11终端读取用户卡序列号.送名SAM模块;
f21sAM模块中用内部认证主密钥对卡序列号加密.生成内部
认证工作密钥:
f3)终端送加密指令及随机数给用户卡.用户卡用内部认证密
钥加密.并将加密结果D1选终端:
”f41终端送加密指令及随机数给SAM模块。SAM模块用工作
密钥对随机数加密.将加密结果D2进回终端:
(5)终端比较D1、D2。
由于篇幅有限,如本系统的网络安全策略、卡片的安全设计、
IC卡终端的安全设计、防内部人员对控制卡的攻击、应用系统安
全设计、数据备份的层次、数据库安全策略.不详细介绍.下面就
卡片的安全设计进行简单描述。
本系统所设计的安全保密体系利用双界面CPU卡中的一组
密码进行各种校验,使得在发行、消费、克值、查询等各个环节时
设备都可按这一安全认证体系对IC卡进行确认.杜绝了伪卡的
流A。另外,想对卡攻击人员,由于CPU卡中有密钥进行保护.因
此对此卡也不能非法处理:进而想利用该卡进行非法充值导致的
损失是在可预计的范围.配合系统的检查功能.完全可以将违法
情况都检查出来。
卡片的密钥管理机制直接关系到整个系统的安全控制.密钥
的生成、发行、更新、管理和应用是系境的核心问题.占有非常重
要的地位。本系统的密钥管理是按照国家标准设计的。
密钥系统分为密钥生成分散、密钥管理和密钥应用三大部
分。从密钥系统的角度.校园一卡通项目中用的Ic卡分为密钥
卡、应用卡(用户卡、PAsM卡、IsAM卡)和管理卡三类。
.2.2.4校园一卡通系统数据库设计
校周一卡通中心服务器中的基本数据库包括用户信息库、期
刊库、书库、图书位置库、病历数据库、药品数据库、处方数据庠、
课程名数据库、授课信息库、学生成绩数据库以及门禁信息库。为
各个应用系统模块调用.数据库必须具有查询优化、智能文件系
统强大的文本处理和搜索、完整的数据保护、有选择性的数据加
密、安全的数据共享等。 。
综合考虑以上各种因索.本系统最重要要有可靠安全性、存
储量大和具有数据仓库功能的要求.即使服务嚣崩溃了都不会宕
机.我们选择了0眦le9i。
分布式数据库设计采用混合式分布策略.即将全部数据按不
同的应用系统的业务操作需要分成若干子集.安置在不同系统所
在校园网的站点数据库服务器上,但是在一卡通控制中心数据库
服务器上.存放了各个子集于对外共享的数据的副本.减少各个
系统之间数据访问的复杂性。
3结束语
该系统利用现有的校园网.将双界面cPU卡的强大功能与计
算机网络的数字化理念融人校园.将学校各个系统连为一体,动
态掌握每一持卡人情况.极大提高学校的管理水平.“手持一卡,
走遍校园”.构成真正意义上的校圊一卡通系统,并为数字化大学
建设创造了条件。在项目的实施上.学校可根据财力、物力、人力、
资源的具有需求.既可以一步到位.也可分批实施。目前实施的难
点:校级领导重视、师生观念转变、充足的资金支持。
参考文献:
『11颜全生.非接触智能卡校园管理系统的设计与实现叨.电
力系统及其自动化学报,2001.4,13f2):62—64.
『21“校园管理一卡通”通过教育部科技成果鉴定【J】.湘潭大学
自然科学学报,2001.(1)130.
『31(德1芬肯泽勒(Firlken舱uer,K.)著;陈大才编译.射频识别
(RHD)技术——无线电感应的应答器和非接触IC卡的原理与应
用.北京二电子工业出版社.2001.6:10l—105.
『41(英)亨德利(Hend甲M.)著.杨义先,等译.国瑞数码安全
系列丛书智能卡安全与应用『M】.北京:人民邮电出版社。2002.2:
80—85,
『51校园“一卡通”皿在校园网上建设的体会.中山大学学报
f自然科学版)。2002.第4l卷增刊:118一120.
1541
万方数据万方数据
基于校园网一卡通系统解决方案
作者: 郜激扬, 郝伟旭, 姜霄, 李英壮, GAO Ji-yang, HAO Wei-xu, JIANG Xiao, LI
Ying-zhuang
作者单位: 郜激扬,GAO Ji-yang(大连理工大学,计算中心,辽宁,大连,116000), 郝伟旭,HAO Wei-
xu(郑州师范高等专科学校,河南,郑州,450044), 姜霄,李英壮,JIANG Xiao,LI Ying-
zhuang(河南省纺织高等专科学校,河南,郑州,450044)
刊名: 电脑知识与技术(学术交流)
英文刊名: COMPUTER KNOWLEDGE AND TECHNOLOGY
年,卷(期): 2007,3(18)
被引用次数: 0次
参考文献(5条)
1.颜全生 非接触智能卡校园管理系统的设计与实现[期刊
]-电力系统及其自动化学报 2001(02)
2.校园管理一卡通通过教育部科技成果鉴定 2001(01)
3.芬肯泽勒.陈大才 射频识别(RFID)技术--无线电感应的应答器和非接触IC卡的原理与应用 2001
4.亨德利.杨义先 国瑞数码安全系列丛书智能卡安全与应用 2002
5.校园一卡通及在校园网上建设的体会[期刊论文]-中山大学学报(自然科学版) 2002(zk)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_dnzsyjs-itrzyksb200718035.aspx
授权使用:山西大学(shanxidx),授权号:d3fba9bf-1848-49d7-8325-9e9900be5421
下载时间:2011年3月1日