【文章內容簡介】 新PHILIPS 高集成ISO14443A 讀卡芯片MF RC500；216。 總線供電整機電流小于120mA；216。 支持mifare1 S50/ S70卡；216。 提供豐富的動態(tài)庫接口函數(shù)；216。 有蜂鳴器及發(fā)光二極管進行報警；216。 要求尋卡速度小于40毫秒/次，讀卡速度小于80毫秒/塊，寫卡速度小于90毫秒/次串口接口讀卡機具，要求讀卡機具具有的技術標準216。 采用最新PHILIPS 高集成ISO14443A 讀卡芯片MF RC500；216。 采用RS232串口接口規(guī)范；216。 支持mifare1 S50/ S70卡；216。 提供豐富的動態(tài)庫接口函數(shù)；216。 有蜂鳴器及發(fā)光二極管進行報警；216。 要求尋卡速度小于160毫秒/次，讀卡速度小于250毫秒/塊，寫卡速度小于250毫秒/次；. 系統(tǒng)方案的特點量身定做的、一體化的完美設計以高校為典型代表，量身定做了大型高校的完整解決方案。將校務管理、校內消費與金融消費功能有機地融合在一起，充分考慮大型高校校園卡應用的特殊性，進行完整的一體化設計。將高校數(shù)字校園建設和校園一卡通系統(tǒng)建設有機的結合成為一個整體，以共享數(shù)據中心平臺為核心；校園一卡通系統(tǒng)的所有身份信息來源于共享數(shù)據中心，同時共享數(shù)據中心與各應用系統(tǒng)進行身份信息的同步；在進行金融交易時，與一卡通數(shù)據中心進行數(shù)據交換；在需要進行身份認證時，與統(tǒng)一身份認證平臺交互進行認證；在統(tǒng)一信息門戶進行信息查詢時，通過數(shù)據轉換平臺，將各應用系統(tǒng)的業(yè)務數(shù)據展現(xiàn)在門戶系統(tǒng)中，提供查詢者使用，這樣充分體現(xiàn)出數(shù)字化校園與校園一卡通系統(tǒng)建設的完美組合。真正意義上的一卡通根據學校的不同應用，能夠將各種應用子系統(tǒng)緊耦合成同時實現(xiàn)功能通、地域通、時間通的“三通”式的真正意義上的一卡通。金融化貫穿于整個數(shù)字化校園一卡通方案全天候運行的、在線維護的高可靠性設計系統(tǒng)要求724小時不停機全天候運行，要求系統(tǒng)具有較高的可靠性。獨特的實時性設計本方案的一個最大的特點是實時性設計，使得持卡人、商戶、學校、銀行各方所關心的數(shù)據實時共享。系統(tǒng)白名單和黑名單在全網可以實現(xiàn)實時生效?？傊?，本方案在各方面的特點是都具有非常強的優(yōu)越性的，顯示了新中新公司強大的實力，是同類方案難以比擬的。五、 系統(tǒng)設計方案. 系統(tǒng)總體架構高?！皵?shù)字化校園一卡通”系統(tǒng)是架構在校園網絡上，利用計算機、網絡設備、終端等設備，充分發(fā)揮網絡優(yōu)勢，借助于卡片載體，實現(xiàn)先進的信息化管理的系統(tǒng)。整個系統(tǒng)采用三級平臺結構：公共數(shù)據平臺作為一級平臺；應用平臺作為二級平臺；應用系統(tǒng)為三級平臺。在開發(fā)工具方面，采用了擁有廣泛業(yè)界支持的J2EE技術以及成熟的中間件工具，如：BEA WebLogic、Oracle AS以及免費的TOMCAT等，從而相應地縮短了開發(fā)時間，也有利于在任何操作系統(tǒng)和硬件配置上運行，保護用戶現(xiàn)有的投資和便于系統(tǒng)的擴展?！皵?shù)字化校園一卡通”系統(tǒng)的整體結構如下圖所示：. 系統(tǒng)開放性設計因為高校校園一卡通系統(tǒng)是數(shù)字化校園建設中的一個重要子項目，所以校園一卡通系統(tǒng)在建設過程中，必須服從于數(shù)字化校園系統(tǒng)的整體規(guī)劃，實現(xiàn)一卡通系統(tǒng)與數(shù)字化校園共享數(shù)據中心無縫數(shù)據共享；數(shù)字化校園共享數(shù)據中心與一卡通系統(tǒng)在建設過程中要為其他子系統(tǒng)的接入預留接口，充分體現(xiàn)系統(tǒng)的開放性。系統(tǒng)的開放性主要體現(xiàn)在應用軟件的開放性、設備的開放性、卡片的開放性、密鑰的開放性等，具體內容如下：. 應用軟件開放性校園一卡通系統(tǒng)的應用軟件的使用權全部提供給高校，未來學校在增加應用軟件的使用規(guī)模時，不額外再支付應用軟件的費用，而只需增加相關的硬件設備。同時對增加規(guī)模應用軟件的加密措施也對校方完全開放。. 設備開放性校園一卡通系統(tǒng)可以對接第三方的設備，比如第三方的讀卡器等。在接入第三方設備時平臺不需要做大的改動，只需要設備遵循相關的標準，能夠讀取系統(tǒng)的密鑰就可以正常的接入到一卡通系統(tǒng)中。我公司提供的各類讀卡設備公開讀卡函數(shù)，供第三方使用。. 密鑰的開放性卡及各軟件系統(tǒng)的接入控制密鑰等由學校自己掌握。. 接口的開放性公共平臺數(shù)據訪問接口是針對各應用子系統(tǒng)對共享中心數(shù)據庫的訪問。我們提供一組標準的訪問中心數(shù)據庫表和視圖的訪問接口，供以后新的應用系統(tǒng)訪問公共數(shù)據平臺。我們提供了統(tǒng)一的、透明的WEB Service服務接口,完成各系統(tǒng)內部數(shù)據庫之間的數(shù)據交換。. 第三方接入方案的開放性第三方產品利用一卡通平臺系統(tǒng)的通用第三方接入套件適應不同的管理模式和兼容已經有的管理信息系統(tǒng)，方便接入。我公司可提供第三方軟件的標準接口以及相關文檔供學校以后自主進行第三方子系統(tǒng)的對接或者是進行產品的二次開發(fā)。. 系統(tǒng)密鑰體系設計. 密鑰規(guī)劃密鑰管理體系中的密鑰通常是分類規(guī)劃與使用的，“一卡通”系統(tǒng)使用的密鑰有：216。 系統(tǒng)根密鑰；代號：K根216。 子系統(tǒng)工作密鑰：子系統(tǒng)認證密鑰（靜態(tài)密鑰）K靜、子系統(tǒng)與數(shù)據中心數(shù)據傳輸加密密鑰K交、子系統(tǒng)與數(shù)據中心數(shù)據傳輸簽名密鑰K簽；216。 銀行轉賬系統(tǒng)相關密鑰（與銀行交換數(shù)據密鑰K銀交、持卡人銀行敏感數(shù)據加密密鑰K銀PIN）；216。 卡片相關密鑰（扇區(qū)種子密鑰K卡根、卡片扇區(qū)密鑰K卡扇、卡片交易密鑰K卡PIN），由以上密鑰組成“一卡通”系統(tǒng)的密鑰體系。. 系統(tǒng)根密鑰介紹系統(tǒng)根密鑰是整個密鑰體系的基礎，根密鑰的生成必須由學校生成(2人以上輸入)，其他密鑰的生成依賴于根密鑰。系統(tǒng)根密鑰；代號：：用途生成存儲傳輸使用K根用于產生其他密鑰由學校生成(2人以上輸入)由我公司提供的證書卡管理系統(tǒng)生成。保存在PSAM卡上，由校方安全保存。不傳輸。通過證書卡系統(tǒng)，再產生其他密鑰，如下圖所示。. 系統(tǒng)根K根密鑰管理流程系統(tǒng)根K根密鑰由銀行及學校生成K根，通過密鑰管理程序將K根寫在PSAM卡內。管理中心將PSAM卡保管好，以備生成子系統(tǒng)工作密鑰。. 子系統(tǒng)工作密鑰介紹子系統(tǒng)工作密鑰有：子系統(tǒng)認證密鑰（靜態(tài)密鑰）K靜、子系統(tǒng)與數(shù)據中心數(shù)據傳輸加密密鑰K交、子系統(tǒng)與數(shù)據中心數(shù)據傳輸簽名密鑰K簽。用途生成存儲傳輸使用K靜作為一卡通系統(tǒng)身份認證；換取動態(tài)工作密鑰由“一卡通”證書卡系統(tǒng)生成保存在各子系統(tǒng)PSAM卡上PSAM卡傳遞在子系統(tǒng)簽到時按照PKI機制進行認證；簽到后獲得動態(tài)工作密鑰。K簽用于對傳輸?shù)臄?shù)據，生成數(shù)據摘要。由“一卡通”證書卡系統(tǒng)生成保存在各子系統(tǒng)PSAM卡上PSAM卡傳遞子系統(tǒng)通過MD5算法采用K簽，進行數(shù)字簽名，起到防抵賴作用。K交用于對傳輸數(shù)據的加密由“一卡通”綜合前置機系統(tǒng)生成保存在各子系統(tǒng)PSAM卡上網絡上加密傳輸子系統(tǒng)通過的DES算法采用K交，對數(shù)據進行加解密。. 子系統(tǒng)密鑰管理流程序號部門流 程1管理中心在證書卡管理系統(tǒng)，管理員通過K根PSAM卡為個子系統(tǒng)產生工作密鑰并存儲在子系統(tǒng)PSAM卡上，其中包括前置機PSAM卡的制作。2各子系統(tǒng)終端機各子系統(tǒng)的管理員到管理中心領取本系統(tǒng)PSAM卡，回去后安裝到子系統(tǒng)服務器上。3交易數(shù)據傳輸每日子系統(tǒng)通過子系統(tǒng)認證密鑰（靜態(tài)密鑰）K靜，獲取當日的子系統(tǒng)與數(shù)據中心數(shù)據傳輸加密密鑰K交；工作密鑰加密算法和解密算法采用DES（ANSI :1981 數(shù)據加密算法）。傳輸交易數(shù)據時按銀行加密標準對傳輸?shù)臄?shù)據進行加密。. 卡片工作密鑰介紹卡片相關密鑰有（扇區(qū)種子密鑰K卡根、卡片扇區(qū)密鑰K卡扇、卡片交易密鑰的根密鑰K卡PIN根、卡片交易密鑰K卡PIN），由以上密鑰組成“一卡通”系統(tǒng)的密鑰體系。用途生成存儲傳輸使用K卡根用于分散卡片扇區(qū)密鑰。由K根生成①終端機：保存在PSAM卡上。②發(fā)卡系統(tǒng)：保存在PSAM卡上不在網絡上傳輸，由專業(yè)管理人員設置到PSAM卡上。①發(fā)卡系統(tǒng)：分散卡片扇區(qū)密鑰，對卡片控制扇區(qū)進行初始化；②終端機：分散卡片扇區(qū)密鑰，登錄卡片K卡扇用于控制卡片扇區(qū)的登錄權限由K卡根及分散因子通過密鑰算法生成。①卡片：保存在控制扇區(qū)②終端機：根據種子密鑰及卡片的分散因子動態(tài)生成不傳輸①發(fā)卡系統(tǒng)：登錄卡片扇區(qū)，對卡片數(shù)據扇區(qū)進行初始化；②終端機：控制對卡片扇區(qū)的登錄，判斷卡片的合法性。K卡PIN根用于分散卡片上保存的一半個人密鑰。由K根生成或由學校生成(2人以上輸入)①終端機：不保存。②發(fā)卡系統(tǒng)：保存在PSAM卡中不在網絡上傳輸，由專業(yè)管理人員設置到PSAM卡上。①發(fā)卡系統(tǒng)：分散卡片的個人密鑰，對卡片公用扇區(qū)密碼塊進行初始化；②終端機：不使用。K卡PIN用于加密卡片的個人密碼（PIN）由一卡通”系統(tǒng)生成①終端機：保存一半（固定不變）②卡片：保存另一半（變化）不傳輸①發(fā)卡系統(tǒng)：合成固定和卡片變化的密鑰后，對個人密碼加密，對卡片公用扇區(qū)密碼塊進行初始化；②終端機：合成終端機和卡片的密鑰后，對個人密碼加密，判斷個人密碼的合法性。. 卡片密鑰管理流程管理中心由K根或銀行及學校生成扇區(qū)種子密鑰K卡根，通過密鑰管理程序將扇區(qū)種子密鑰寫到在各子系統(tǒng)的PSAM卡上。各應用系統(tǒng)及應用終端從管理中心獲得各自PSAM卡，即獲得了卡片相關工作密鑰。發(fā)卡中心216。 卡片初始化。發(fā)卡系統(tǒng)利用PSAM卡中的K卡根對扇區(qū)種子密鑰進行解密，產生扇區(qū)密鑰對每張卡片進行初始化形成K卡扇。216。 卡片注冊。初始化后的卡片在發(fā)卡中心通過K卡根和K卡PIN根形成新的K卡扇，和K卡PIN。并在卡片個扇區(qū)寫入相應信息。終端機終端機在交易時，使用PSAM卡中的K卡根對扇區(qū)密種子密鑰解密，用分散因子產生扇區(qū)密鑰，驗證卡片的登錄權限。個人密碼種子密鑰和個人密碼密鑰管理216。 管理中心銀行及學校生成個人密碼種子密鑰，密鑰保存在發(fā)卡系統(tǒng)和各子系統(tǒng)的PSAM卡上內。各子系統(tǒng)和各應用終端在獲得加密卡時即刻獲得。216。 發(fā)卡中心發(fā)卡系統(tǒng)利用PSAM卡上的K卡PIN根 形成個人密碼種子密鑰的密文寫到卡片上。216。 終端機，個人密碼校驗終端機在交易時，合成個人密碼密鑰后，對輸入的個人密碼明文加密，與卡片上保存的個人密碼密文比較，判斷個人密碼是否正確。. 銀行轉賬系統(tǒng)密鑰介紹銀行轉賬系統(tǒng)相關密鑰（與銀行交換數(shù)據密鑰K銀交、持卡人銀行敏感數(shù)據加密密鑰K銀PIN）；用途生成存儲傳輸使用K銀交用于加密傳輸?shù)臄?shù)據域，生成數(shù)據包的信息校驗碼（MAC）每天動態(tài)由銀行獲得保存在銀行轉賬前置機的PSAM卡上在網絡上按銀行加密標準加密傳輸。對傳輸?shù)慕灰讛?shù)據進行加密/解密。K銀PIN用于加密個人銀行密碼和銀行卡信息（PIN，ID）每天動態(tài)由銀行獲得保存在圈存機的PSAM卡上。在網絡上按銀行加密標準加密傳輸。對傳輸?shù)慕灰讛?shù)據進行加密/解密. 銀行密鑰管理流程216。 轉賬前置機建立銀行轉賬系統(tǒng)時由銀行和集成商約定K銀行靜，并約定獲得方式，最后是通過密鑰管理程序寫到的銀行轉賬前置機的PSAM卡上。每日系統(tǒng)在簽到時，采用交易報文通過K銀行靜、到銀行端獲得K銀交用于與銀行交換數(shù)據的密鑰；216。 圈存機每日圈存機在簽到時，采用交易報文通過K銀行靜、到銀行端獲得K銀PIN用于加密持卡人的敏感數(shù)據。六、 系統(tǒng)建設方案. 移動支付一卡通基礎平臺. “移動校園一卡通“中心平臺“校園一卡通”數(shù)據中心是整個系統(tǒng)的數(shù)據管理和存儲中心，保證數(shù)據的安全性、可靠性、唯一性，它為應用服務中心平臺及應用子系統(tǒng)提供高效數(shù)據訪問和處理服務。“校園一卡通”數(shù)據中心是一卡通的核心部分，所有的數(shù)據操作和業(yè)務邏輯都是由后臺系統(tǒng)的相應處理程序來處理的。所以后臺系統(tǒng)的安裝質量和日常運行的狀態(tài)都直接影響整個系統(tǒng)的運行穩(wěn)定性。一卡通中心的操作系統(tǒng)軟件采用UNIX系統(tǒng)，數(shù)據庫管理軟件采用Oracle數(shù)據庫，并且系統(tǒng)采用雙機熱備軟件的數(shù)據服務器系統(tǒng)，保證多個實例能夠同時訪問同一數(shù)據庫（存儲器）。為整個系統(tǒng)數(shù)據提供了容錯、負載均衡和性能效益。數(shù)據服務器及應用服務器集群。管理中心機房采用獨立電源和獨立的UPS電源?！靶@一卡通”數(shù)據中心主要由金融數(shù)據中心和身份數(shù)據中心組成。. 金融數(shù)據中心一卡通的金融中心是所有金融交易的業(yè)務控制中心和所有金融交易的數(shù)據存貯中心。包括金融數(shù)據庫和相應的后臺服務進程。金融數(shù)據庫包含以下幾方面信息：一卡通帳戶數(shù)據字典、一卡通帳戶字典、開通登記表、卡銷戶表、商戶和管理帳戶數(shù)據字典、商戶帳戶字典、全局設置數(shù)據字典、學校代碼、日報字典、操作費用設定、各種代碼、持卡人消費折扣、系統(tǒng)管理和運行環(huán)境設置數(shù)據字典、組織部門、系統(tǒng)登記、系統(tǒng)參數(shù)、操作員、操作員權限、事件代碼、系統(tǒng)信息、操作員日志、流水帳數(shù)據字典、交易流水、補助發(fā)放流水、歷史流水、收費明細、報表部分數(shù)據字典、對帳不符清單、業(yè)務統(tǒng)計報表、清算報表、商戶歷史表、 按部門統(tǒng)計報表、日報表、核算單位統(tǒng)計報表等。. 身份數(shù)據中心一卡通的身份中心保存所有一卡通相關身份信息單位、部門和人員的信息包括身份認證數(shù)據庫和相應的后臺服務進程。身份認證數(shù)據庫主要包含以下幾方面內容：身份數(shù)據基本字典信息、國籍信息、民族信息、身份類別信息、證件類型信息、校/廠區(qū)信息、卡樣管理表、部門組織信息、黑名單信息表、技術職稱、行政職務、文化程度、宿舍(苑/棟)、政治面貌信息、身份數(shù)據基本信息表、學生擴展信息表、教職工擴展信息表、校外人員擴展信息表、相片信息、學生相片信息表、教職工相片信息表、校外人員相片信息表、操作員及權限信息、操作員代碼信息、操作員權限信息等。. 數(shù)據集成規(guī)劃根據學校的需求，一卡通數(shù)據中心的所有身份信息均以公共數(shù)據平臺的身份信息為準，一卡通不單獨維護身份信息，只維護與自己系統(tǒng)有關的業(yè)務數(shù)據。鑒于學校的數(shù)字化校園系統(tǒng)正在籌建過程中，在數(shù)字化校園系統(tǒng)未投入使用前，一卡通系統(tǒng)將單獨維護自己的身份信息，待數(shù)字化校園系統(tǒng)開始部署后再進行數(shù)據集成。. 集成規(guī)劃校園一卡通數(shù)據中心可將與高校公共數(shù)據