【文章內(nèi)容簡介】 充分考慮系統(tǒng)容量及功能的擴展，方便系統(tǒng)擴容及平滑升級。 ? 可擴展 性 系統(tǒng) 軟件設(shè)計完要留有升級接口和升級空間 。 . 體系架構(gòu) . 總體架構(gòu) 系統(tǒng)依托公司現(xiàn)有信息化基礎(chǔ)設(shè)施構(gòu)建 ，采用分層的平臺化體系架構(gòu)，服從于集團信息化建設(shè)的整體框架。為充分整合已有的應(yīng)用和信息資源，向用戶提供多渠道、多種方式的服務(wù)，系統(tǒng)采用統(tǒng)一的標準規(guī)范（包括信息標準、接口標準等），通過統(tǒng)一的安全和運行保障體系，與集團內(nèi)各應(yīng)用系統(tǒng)以一種松散耦合的方式實現(xiàn)集成，協(xié)同完成信息的采集和處理。系統(tǒng)從總體上分為基礎(chǔ)設(shè)施層、數(shù)據(jù)層、中間件層和應(yīng)用層等四層。 標準規(guī)范及運行保障體系信息安全保障體系基 礎(chǔ) 設(shè) 施 層網(wǎng) 絡(luò) 系 統(tǒng) 數(shù) 據(jù) 中 心計 算 機 系統(tǒng)安 全 設(shè) 備數(shù) 據(jù) 層一 卡 通 中 心 數(shù)據(jù) 庫第 三 方 系 統(tǒng) 接入 數(shù) 據(jù) 庫數(shù) 據(jù) 庫交 換 平臺應(yīng) 用 層中 間件 層業(yè) 務(wù) 邏 輯 層數(shù) 據(jù) 訪 問 層中 心分 中 心 1分 中 心 2基礎(chǔ)平臺結(jié)算平臺門禁管理考勤管理會議管理卡片初始化停車場管理訪客管理 清華同方智能樓宇一卡通系統(tǒng)總體架構(gòu) 6 清華同方智能樓宇一卡通系統(tǒng) 是由一卡通中心平臺為基礎(chǔ)，輻射多個應(yīng)用擴展。一 卡通中心平臺由負責安全的密鑰管理系統(tǒng)，卡片初始化系統(tǒng)，負責卡務(wù)的基礎(chǔ)平臺，負責消費的結(jié)算平臺，負責自助服務(wù)的觸摸屏和 Web 查詢以及負責應(yīng)用和數(shù)據(jù)管理的數(shù)據(jù)中心組成。 樓宇 應(yīng)用擴展覆蓋人員出入，訪客，消費，考勤，門禁 、梯控 等多個應(yīng)用系統(tǒng)。 以 “高內(nèi)聚，低耦合”的 軟件架構(gòu) 思想 為 系統(tǒng)擴展 提供 分布式 地 應(yīng)用 管理。 系統(tǒng)提供 了 高可用性、高可靠性以及可擴展性的中間 件 層，增強了性能，提高了 系統(tǒng) 安全。 清華同方智能樓宇一卡通系統(tǒng) 采用兩級運營管理方式，即“集中制卡，分散管理”的方式實現(xiàn)了企業(yè)內(nèi)的管理中心和分中心合作運營的管理模式。采 用星型網(wǎng)絡(luò)結(jié)構(gòu)將管理中心和分中心連接起來，共享信息，交換數(shù)據(jù)。 . 技術(shù)架構(gòu) 系統(tǒng)采用 .NET 系統(tǒng)平臺框架來簡化企業(yè)解決方案的開發(fā)、部署和管理相關(guān)的復雜問題的體系結(jié)構(gòu)，系統(tǒng)應(yīng)用程序結(jié)構(gòu)采用 B/S 和 C/S 組合的架構(gòu)，根據(jù)各子系統(tǒng)應(yīng)用程序特點來確定應(yīng)用程序架構(gòu)，同時提供中間層集成框架高可用性、高可靠性以及可擴展性的應(yīng)用的需求。 前端業(yè)務(wù)與應(yīng)用服務(wù)器之間采用了 Socket + JSON 報文通訊，既保證數(shù)據(jù)包的大小在傳輸過程中盡量減少，同時采用了結(jié)構(gòu)化的數(shù)據(jù)存儲，可快速的序列化和反序列化轉(zhuǎn)換。 7 數(shù)據(jù)庫SQL SERVER數(shù) 據(jù) 交 換 平 臺卡 務(wù) 數(shù) 據(jù) 適 配 器( S q l s e r v e r 適 配器 )基 于J S O N 報文 格 式的S O C K E T服 務(wù)結(jié) 算 數(shù) 據(jù) 適 配 器門 禁 數(shù) 據(jù) 適 配 器應(yīng) 用 子 系 統(tǒng)結(jié) 算 平 臺訪 客 管 理 出 入 管 理其 他 子 系 統(tǒng)自 助 服 務(wù)門 禁 管 理 考 勤 管 理清華同方智能樓宇一卡通系統(tǒng)技術(shù)架構(gòu) 通過提供統(tǒng)一的開發(fā)平臺，降低了開發(fā)多層應(yīng)用的費用和復雜性，同時提供對現(xiàn)有應(yīng)用程序集成強有力支持，增強了安全機制，提高了性能。 8 . 網(wǎng)絡(luò)拓撲 餐 廳大 門 崗辦 公 樓機 房數(shù) 據(jù) 中 心應(yīng) 用 服 務(wù) 器中 心 交 換 機管 理 P C門 禁 控 制器身 份 查驗自 助機消 費 機個 人 電 腦考 勤 機人 行 安 全 通道 機 清華同方智能樓宇一卡通網(wǎng)絡(luò)結(jié)構(gòu) . 卡片選型 2021 年 IC 卡系統(tǒng)的 M1 芯片的安全算法遭到破解 ，工信部于 2021 年 1 月發(fā)出《關(guān)于做好應(yīng)對部分 IC 卡出現(xiàn)嚴重安全漏洞工作的通知》， 要求各地各機關(guān)和部門開展對 IC 卡使用情況的調(diào)查及應(yīng)對工作。 國家密碼管理局隨 后發(fā)出《關(guān)于請協(xié)助做好 IC 卡系統(tǒng)密碼管理工作的函》和《關(guān)于加強 IC 卡系統(tǒng)密碼管理工作的通知》在此基礎(chǔ)上近日印發(fā)《重要門禁系統(tǒng)密碼應(yīng)用指南》，同時地方政府如北京市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室發(fā)出《關(guān)于轉(zhuǎn)發(fā) 《重要門禁系統(tǒng)密碼應(yīng)用指南》的通知》。 9 Mifare系列邏輯加密卡采用了一種 NXP特有的加密算法來完成認證和加解密運算。這個過程可以簡化為： 非接觸 CPU 卡與 Mifare 1 卡片相比，擁有獨立的 CPU 處理器和芯片操作系統(tǒng)，所以可以更靈活的支持各種不同的應(yīng)用需求，更安全的設(shè)計交易流程。 非接觸式 CPU 卡具有三種認證方式，持卡者合法性認證 —— PIN 校驗，卡合法性認證 —— 內(nèi)部認證，系統(tǒng)合法性認證 —— 外部認證，對交易的各個單元（持卡人、卡片、終端設(shè)備）進行相互認證，保證交易介質(zhì)的合法性；在以上認證過程中，密鑰是不在線路上以明文出現(xiàn)的，它每次的送出都是經(jīng)過隨機數(shù)加密的，而且因為有隨機數(shù)的參加，確保每次傳輸?shù)膬?nèi)容不同，保證了交易內(nèi)容的合法性。所以，采用非接觸式 CPU 卡可以杜絕偽造卡、偽造終端、偽造交 10 易，最終保證了交易的安全性。 基于安全性要求，系統(tǒng) 采用同方 TFCS2021 系列非接觸 CPU 卡， TFCS2021系列非接觸 CPU卡是由同方自主研發(fā)的一款帶 TDES/DES硬件加速功能的非接觸CPU 卡。該產(chǎn)品支持多應(yīng)用防火墻，支持內(nèi)外部雙向認證，具有硬件 DES 處理器和真隨機數(shù)發(fā)生器，符合 IEC/ISO14443 標準。具備防沖突機制，支持防插拔處理和數(shù)據(jù)斷電保護機制。 產(chǎn)品特點 ： ? 非接觸，兼容 ISO/IEC 14443 標準； ? 讀寫距離 05 厘米； ? 8051/2 兼容 CPU； ? 8K 字節(jié) EEPROM； ? EEPROM 同時映射到程序空間和數(shù)據(jù)空間，且映射地址相同； ? 支持頁寫入方式（一次寫入 32 字節(jié)）； ? 14K 字節(jié) Mask ROM； ? ROM 同時映射到程序空間和數(shù)據(jù)空間，且映射地址相同； ? 512 字節(jié) RAM； ? 64 字節(jié)系統(tǒng)數(shù)據(jù)（含 8 字節(jié)序列號），不可更改； ? TDES/DES 硬件加速引擎 ； ? 32 位 隨機數(shù)發(fā)生器； ? CRC 協(xié)處理器； ? 串行通信模塊； ? 低電壓檢測和高電壓保護電路； 技術(shù)參數(shù)： ? 工作頻率： ； ? 通訊速率： 106Kbps； 11 ? 讀寫距離： 010cm； ? 數(shù)據(jù)保持： 10 年； ? 擦寫次數(shù)： 100,000 次； ? 防靜電保護： 4000 V； . 性能指標 項目 參數(shù) 系統(tǒng)容量 部門級數(shù) 1024 持卡人容量 100萬 卡類別 255種 商戶容量 1萬 商戶級數(shù) 3級 POS終端容量 10萬 門禁控制器容量 10萬 流水保留天數(shù) 自由設(shè)定 流水保存數(shù)量 1000萬筆 子系統(tǒng)接入數(shù)量 1024個 系統(tǒng)處理能力 系統(tǒng)工作特性 7 24小時 系統(tǒng)糾錯處理 自動、手動 實時交易處理能力 1000 筆 /分 單筆交易處理時間 小于 1秒 多機并發(fā)處理能力 聯(lián)機 256臺，脫機不限 系統(tǒng)安全保護 安全機制 卡片、設(shè)備、數(shù)據(jù) ? 密鑰控制體系 金融標準 密鑰分組數(shù)量 6組 加密算法 3DES、國密兩種 加密簽名算法 MD HASH、 3DES等 卡片密碼體系 一卡一密、一次一密 網(wǎng)絡(luò) 網(wǎng)絡(luò)形式 專網(wǎng) /原有網(wǎng)絡(luò) 網(wǎng)絡(luò)結(jié)構(gòu) 星型拓撲或總線拓撲 通信協(xié)議 TCP/IP、 RS232 通信距離 不限 系統(tǒng)帳務(wù)處理 對賬模式 自動、手動 系統(tǒng)糾錯處理 自動、手動 系統(tǒng)記賬精度 分 帳務(wù)處理 后臺自動清分清算 充值模式 聯(lián)機 消費模式 脫機、聯(lián)機 充值方式 現(xiàn)金、補貼、補助、計數(shù)、班車專用 12 消費方式 自由金額、 定額、編號、餐別、計次 補貼補助領(lǐng)取限制 自由設(shè)定 終端 PSAM支持 支持（ 2個卡槽） 兼容卡 ID、 M磁條卡、 TypeA/B協(xié)議的 CPU卡 脫機模式 支持 聯(lián)機模式 支持 黑（白）名單存儲容量 100萬 黑名單同步時間 1秒 (新機器由黑名單數(shù)量決定 ) 黑名單判斷時間 100毫秒 讀寫卡時間 400毫秒 簽到簽退模式 支持 通訊速率 9600～ 38400 出錯重傳 支持 后續(xù)電源 可擴展，工作時間 10小時 嵌入式程序升級方式 在線遠程升級 卡片 存儲容量 8K字節(jié) 錢包數(shù)量 標準 5個，可增加 錢包限額 自由設(shè)定 讀寫卡距離 0～ 10厘米 第三方接入 硬件對接 支持 卡面對接 支持 數(shù)據(jù)庫對接 支持 平臺 一卡通 中心 平臺由密鑰管理系統(tǒng)，密碼加密機，卡片初始化系統(tǒng)以及基礎(chǔ)平臺構(gòu)成， 其中密鑰管理系統(tǒng) 實現(xiàn)密鑰的創(chuàng)建、傳輸、管理及 導出；密碼加密機實現(xiàn)密鑰的存儲、計算；卡片初始化系統(tǒng)實現(xiàn)卡片結(jié)構(gòu)創(chuàng)建、密鑰灌裝；基礎(chǔ)平臺實現(xiàn)組織機構(gòu)、人員信息、證卡資料、操作員等基礎(chǔ)信息的登記和管理 。 . 密鑰管理 密鑰管理系統(tǒng)是系統(tǒng)平臺的安全保 障，密鑰的安全控制和管理是整個系統(tǒng)安全的關(guān)鍵，密鑰的安全性將直接影響整個系統(tǒng)的安全。從卡的制造、運輸、個人化發(fā)卡到使用的各個階段中，持卡人的驗證、卡與讀卡器的相互認證、卡 13 與消費終端的相互認證，均由密鑰管理，并由加密 /解密算法嚴格控制，以確保安全。 在以非接觸 CPU 卡為應(yīng)用載體的信息系統(tǒng)中 ,密鑰的管理是整個系統(tǒng)安全運行的基礎(chǔ)。密鑰管理系統(tǒng)的主要任務(wù)是進行密鑰的生成、發(fā)行和更新，它直接關(guān)系到整個系統(tǒng)的安全。密鑰管理一般采取分級的方式，這樣做是為了滿足跨不同應(yīng)用區(qū)域、跨不同應(yīng)用部門的共享密鑰的需要。 密鑰管理系統(tǒng)的目標就是安全地產(chǎn)生各類主密鑰和各級子密鑰，并將各級子密鑰安全地下發(fā)，用來產(chǎn)生用戶卡和 PSAM 卡的各種密鑰。確保密鑰在其整個生命周期各環(huán)節(jié)中的安全性和一致性。 用戶通過此軟件自行生成和管理各類應(yīng)用密鑰保證用戶擁有密鑰管理和發(fā)卡的主動權(quán)。 （ 1）相關(guān)硬件 密鑰管理系統(tǒng)主要和兩種硬件設(shè)備打交道，即智能卡讀卡器和硬件加密機。 智能卡讀卡器是密鑰管理系統(tǒng)與密鑰卡交互的接口設(shè)備；硬件加密機是實際的應(yīng)用系統(tǒng)的后臺密鑰管理的硬件加密設(shè)備，它需要裝載應(yīng)用主密鑰，而這一過程是在密鑰管理系統(tǒng)中完 成的。 系統(tǒng)在處理各類聯(lián)機交易過程中，需要使用硬件加密機，加密機中存儲密鑰和相關(guān)算法，負責聯(lián)機交易操作的安全性。在終端的讀卡設(shè)備上加裝 PSAM 卡， 非接觸 CPU 卡的操作需要采用 PSAM 卡進行密鑰訪問。 （ 2）主要功能及其安全控制 從基本功能上來看，密鑰管理系統(tǒng)是比較簡單和清晰的，它的主要作用就是完成密鑰的產(chǎn)生和密鑰的傳遞這兩類功能。在密鑰管理系統(tǒng)中，我們將專門用于密鑰管理的智能卡稱為密鑰卡。 14 密鑰卡中新密鑰的產(chǎn)生主要有兩類方式，即直接在密鑰卡中產(chǎn)生新密鑰、在其它安全設(shè)備中產(chǎn)生新密鑰然 后裝載到密鑰卡中。 ? 直接在密鑰卡中產(chǎn)生新密鑰 這種方式比較簡單實用，它直接將 AB 碼單作為“生成密鑰”命令的輸入數(shù)據(jù)來完成該操作。它要求密鑰卡提供對“生成密鑰”命令的支持。 ? 在其它安全設(shè)備中產(chǎn)生新密鑰 這種方式不需要密鑰卡提供對“生成密鑰”命令的支持，密鑰卡的功能比較單一。由于要將密鑰裝載到密鑰卡中，因此，必須保證密鑰傳遞過程的安全。在基于對稱密碼體系的密鑰管理系統(tǒng)中，只要安全設(shè)備和目標密鑰卡中有相同的加密密鑰，就可以確保在密鑰的裝載過程中密鑰不被泄露。 在產(chǎn)生新密鑰的過程中，最主要的安全問題是對原始 生成數(shù)據(jù)的保護問題?？赡懿扇〉拇胧┦菍⒃忌蓴?shù)據(jù)分成幾部分，分別由不同的人員來保管。原始生成數(shù)據(jù)的泄露會影響到整個系統(tǒng)的安全。 15 在密鑰管理中，涉及最多的操作就是密鑰的傳遞。在多級的密鑰管理體系中，密鑰需要在各級之間進行分散傳遞，最后傳遞到用戶卡中。在基于對稱密碼體系的安全系統(tǒng)中需要數(shù)據(jù)傳遞雙方擁有相同的加密密鑰，這樣才能保證數(shù)據(jù)的安全傳輸。密鑰在密鑰卡之間傳遞的基本流程如下所示。 密鑰生成流程及密鑰管理系統(tǒng)軟著證書 通過密鑰管理系統(tǒng)系統(tǒng)生成各組密鑰并發(fā)送到硬件加密機（軟加密機）中，未來需要加解密運 算時，則統(tǒng)一通過加密機進行安全獲?。ㄆ跏蓟?、聯(lián)機充值、消費結(jié)算等業(yè)務(wù)）。 16 注：設(shè)備配置 在 密鑰 管理部門 設(shè)置密鑰管理主機 1 臺，配套密鑰管理軟件、讀寫器、 Ukey、碼單卡、密鑰母卡。 雙界面發(fā)卡器 : 同方讀寫器內(nèi)置非接觸通訊模塊， TFRF