【導(dǎo)讀】{ "error_code": 17, "error_msg": "Open api daily request limit reached" }

　　

【正文】 校園 一卡通系統(tǒng)可以對(duì)接第三方的設(shè)備， 比如第三方的讀卡器等。 在接入第三方設(shè)備時(shí)平臺(tái)不需要 做大的改動(dòng)，只需要設(shè)備遵循相關(guān)的標(biāo)準(zhǔn)，能夠讀取系統(tǒng)的密鑰就可以正 常的接入到一卡通系統(tǒng)中。 我公司提供的各類讀卡設(shè)備公開(kāi)讀卡函數(shù)，供第三方使用。 . 密鑰的開(kāi)放性 卡 及各軟件系統(tǒng)的接入控制密鑰等由學(xué)校自己掌握。 . 接口的開(kāi)放性 公共平臺(tái) 數(shù)據(jù)訪問(wèn)接口是針對(duì) 各 應(yīng)用 子系統(tǒng) 對(duì) 共享中心數(shù)據(jù)庫(kù)的 訪問(wèn)。我們提供一組 標(biāo)準(zhǔn)的訪問(wèn)中心數(shù)據(jù)庫(kù)表和視圖的訪問(wèn)接口，供以后新的應(yīng)用系統(tǒng)訪問(wèn)公共數(shù)據(jù)平臺(tái)。 我們提供了統(tǒng)一的、透明的 WEB Service 服務(wù)接口 ,完成各系統(tǒng)內(nèi)部數(shù)據(jù)庫(kù)之間的數(shù)據(jù)交換。 . 第三方接入方案的開(kāi)放性 第三方產(chǎn)品利用一卡通平臺(tái)系統(tǒng)的通用第三方接入套件適應(yīng)不同的管理模式和兼容已經(jīng)有的管理信息 系統(tǒng)，方便接入。我公司可提供第三方軟件的標(biāo)準(zhǔn)接口以及相關(guān)文檔供學(xué)校以后自主進(jìn)行第三方子系統(tǒng)的對(duì)接或者是進(jìn)行產(chǎn)品的二次開(kāi)發(fā)。 第 24 頁(yè) . 系統(tǒng)密鑰體系設(shè)計(jì) . 密鑰規(guī)劃 密鑰管理體系中的密鑰通常是分類規(guī)劃與使用的，“一卡通”系統(tǒng)使用的密鑰有： ? 系統(tǒng)根密鑰；代號(hào)： K 根 ? 子系統(tǒng)工作密鑰：子系統(tǒng)認(rèn)證密鑰（靜態(tài)密鑰） K 靜 、子系統(tǒng)與數(shù)據(jù)中心數(shù)據(jù)傳輸加密密鑰 K 交 、子系統(tǒng)與數(shù)據(jù)中心數(shù)據(jù)傳輸簽名密鑰 K 簽 ； ? 銀行轉(zhuǎn)賬系統(tǒng)相關(guān)密鑰（與銀行交換數(shù)據(jù)密鑰 K 銀交 、持卡人銀行敏感數(shù)據(jù)加密密鑰 K 銀 PIN）； ? 卡片相關(guān)密鑰（扇區(qū)種子密鑰 K 卡根 、卡片扇區(qū)密鑰 K 卡扇 、卡片交易密鑰 K 卡 PIN），由以上密鑰組成“一卡通”系統(tǒng)的密鑰體系。 . 系統(tǒng)根密鑰介紹 系統(tǒng)根密鑰是整個(gè)密鑰體系的基礎(chǔ)，根密鑰的生成必須由學(xué)校生成 (2 人以上輸入 )，其他密鑰的生成依賴于根密鑰。系統(tǒng)根密鑰；代號(hào)： K 根 .我公司根密鑰制作過(guò)程如下： 用途 生成 存儲(chǔ) 傳輸 使用 K 根 用于產(chǎn)生其他密鑰 由學(xué)校生成 (2人以上輸入 )由我公司提供的證書(shū)卡管理系統(tǒng)生成。 保存在PSAM 卡上，由校方安全保存。 不傳輸。 通 過(guò) 證 書(shū) 卡 系統(tǒng)，再產(chǎn)生其他密鑰，如下圖所示。 . 系統(tǒng)根 K 根 密鑰管理流程 系統(tǒng)根 K 根 密鑰由銀行及 學(xué)校生成 K 根 ，通過(guò)密鑰管理程序?qū)?K 根 寫(xiě)在 PSAM卡內(nèi)。管理中心將 PSAM 卡保管好，以備生成子系統(tǒng)工作密鑰。 第 25 頁(yè) . 子系統(tǒng)工作密鑰介紹 子系統(tǒng)工作密鑰有：子系統(tǒng)認(rèn)證密鑰（靜態(tài)密鑰） K 靜 、子系統(tǒng)與數(shù)據(jù)中心數(shù)據(jù)傳輸加密密鑰 K 交 、子系統(tǒng)與數(shù)據(jù)中心數(shù)據(jù)傳輸簽名密鑰 K 簽 。 . 子系統(tǒng)密鑰管理流程 序號(hào) 部門(mén) 流 程 1 管理中心 在證書(shū)卡管理系統(tǒng)，管理員通過(guò) K 根 PSAM 卡 為個(gè)子系統(tǒng)產(chǎn)生工作密鑰并存儲(chǔ) 在子系統(tǒng) PSAM 卡上 ，其中包括前置機(jī) PSAM 卡的制作 。 2 各子系統(tǒng)終端 機(jī) 各子系統(tǒng)的管理員到管理中心領(lǐng)取本系統(tǒng) PSAM 卡，回去后安裝到子系統(tǒng)服務(wù)器上。 3 交易數(shù)據(jù)傳輸 每日子系統(tǒng)通過(guò)子系統(tǒng)認(rèn)證密鑰（靜態(tài)密鑰） K 靜，獲取當(dāng)日的子系統(tǒng)與數(shù)據(jù)中心數(shù)據(jù)傳輸加密密鑰 K 交； 工作密鑰 加密 算法和 解密算 法采 用 DES（ ANSI :1981 數(shù)據(jù)加密算法）。 傳輸交易數(shù)據(jù)時(shí)按銀行加密標(biāo)準(zhǔn)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密。 用途 生成 存儲(chǔ) 傳輸 使用 K 靜 作為 一卡通系統(tǒng)身份認(rèn)證； 換取動(dòng)態(tài)工作密鑰 由“一卡通”證書(shū)卡系統(tǒng)生成 保存在各子系統(tǒng) PSAM卡上 PSAM 卡傳遞 在子系統(tǒng)簽到時(shí)按照 PKI 機(jī)制進(jìn)行認(rèn)證； 簽到后獲得動(dòng)態(tài)工作密鑰。 K 簽 用于對(duì)傳輸?shù)臄?shù)據(jù)，生成數(shù)據(jù)摘要。 由“一卡通”證書(shū)卡系統(tǒng)生成 保存在各子系統(tǒng) PSAM卡上 PSAM 卡傳遞 子系統(tǒng)通過(guò) MD5算法采用 K 簽 ，進(jìn)行數(shù)字簽名，起到防抵賴作用。 K 交 用于對(duì)傳輸數(shù)據(jù)的加密 由“一卡通”綜合前置機(jī)系統(tǒng)生成 保存在各子系統(tǒng) PSAM卡上 網(wǎng)絡(luò)上加密傳輸 子系統(tǒng)通過(guò)的 DES算法采用 K 交 ，對(duì)數(shù)據(jù)進(jìn)行加解密。 第 26 頁(yè) . 卡片工作密鑰介紹 卡片相關(guān)密鑰有（扇區(qū)種子密鑰 K 卡根 、卡片扇區(qū)密鑰 K 卡扇 、卡片交易密鑰的根密鑰 K 卡 PIN 根、 卡片交易密鑰 K 卡 PIN），由以上密鑰組成“一卡通”系統(tǒng)的密鑰體系。 用途 生成 存儲(chǔ) 傳輸 使用 K 卡根 用于分散卡片扇區(qū)密鑰。 由 K 根生 成 ①終端機(jī)：保存在 PSAM 卡上。 ②發(fā)卡系統(tǒng)：保存在 PSAM 卡上 不在網(wǎng)絡(luò)上傳輸，由專業(yè)管理人員設(shè)置到PSAM 卡上。 ①發(fā)卡系統(tǒng)：分散卡片扇區(qū)密鑰，對(duì)卡片控制扇區(qū)進(jìn)行初始化； ②終端機(jī)：分散卡片扇區(qū)密鑰，登錄卡片 K 卡扇 用于控制卡片扇區(qū)的登錄權(quán)限 由 K 卡根 及分散因子通過(guò)密鑰算法生成。 ①卡片：保存在控制扇區(qū) ②終端機(jī)：根據(jù)種子密 鑰及卡片的分散因子動(dòng)態(tài)生成 不傳輸 ①發(fā)卡系統(tǒng)：登錄卡片扇區(qū)，對(duì)卡片數(shù)據(jù)扇區(qū)進(jìn)行初始化； ②終 端機(jī)：控制對(duì)卡片扇區(qū)的登錄，判斷卡片的合法性。 第 27 頁(yè) K 卡PIN 根 用于分散卡片上保存的一半個(gè)人密鑰。 由 K 根生 成或由學(xué)校生成 (2人以上輸入 ) ①終端機(jī)：不保存。 ②發(fā)卡系統(tǒng)：保存在 PSAM 卡中 不在網(wǎng)絡(luò)上傳輸，由專業(yè)管理人員設(shè)置到PSAM 卡上。 ①發(fā)卡系統(tǒng)：分散卡片的個(gè)人密鑰，對(duì)卡片公用扇區(qū)密碼塊進(jìn)行初始化； ②終端機(jī)：不使用。 K 卡PIN 用于加密卡片的個(gè)人密碼（ PIN） 由一卡通”系統(tǒng)生成 ①終端機(jī)：保存一半（固定不變） ②卡片：保存另一半（變化） 不傳輸 ①發(fā)卡系統(tǒng)：合成固定和卡片變化的密鑰后，對(duì)個(gè)人密碼加密，對(duì)卡片公用扇區(qū)密碼塊進(jìn)行初始化； ②終端機(jī)：合成終端機(jī)和卡片的密鑰后，對(duì)個(gè)人密碼加密，判斷個(gè)人密碼的合法性。 . 卡片密鑰 管理流程 管理中心 由 K 根 或銀行及學(xué)校生成扇區(qū)種子密鑰 K 卡根 ，通過(guò)密鑰管理程序?qū)⑸葏^(qū)種子密鑰寫(xiě)到在各子系統(tǒng)的 PSAM 卡上。 各應(yīng)用系統(tǒng)及應(yīng)用終端從管理中心獲得各自 PSAM 卡，即獲得了卡片相關(guān)工作密鑰。 發(fā)卡中心 ? 卡片初始化。發(fā)卡系統(tǒng)利用 PSAM 卡中的 K 卡根 對(duì)扇區(qū)種子密鑰進(jìn)行解密，產(chǎn)生扇區(qū)密鑰對(duì)每張卡片進(jìn)行初始化形成 K 卡扇 。 ? 卡片注冊(cè)。初始化后的卡片在發(fā)卡中心通過(guò) K 卡根 和 K 卡 PIN 根 形成新的 K卡扇， 和 K 卡 PIN。 并在卡片個(gè)扇區(qū)寫(xiě)入相應(yīng)信息。 第 28 頁(yè) 終端機(jī) 終端機(jī)在交易時(shí)，使用 PSAM 卡中的 K 卡根 對(duì)扇區(qū)密種子密鑰解密，用分散因子產(chǎn)生扇區(qū)密鑰，驗(yàn)證卡片的登錄權(quán)限。 個(gè)人密碼種子密鑰和個(gè)人密碼密鑰管理 ? 管理中心 銀行及學(xué)校生成個(gè)人密碼種子密鑰，密 鑰 保存在發(fā)卡系統(tǒng)和各子系統(tǒng)的PSAM 卡上內(nèi)。 各 子系統(tǒng)和 各 應(yīng)用終端在獲得加密卡時(shí)即刻獲得。 ? 發(fā)卡中心 發(fā)卡系統(tǒng)利用 PSAM 卡上的 K 卡 PIN 根 形成個(gè)人密碼種子密鑰的密文寫(xiě)到卡片上。 ? 終端機(jī)，個(gè)人密碼校驗(yàn) 終端機(jī)在交易時(shí)，合成個(gè)人密 碼密鑰后，對(duì)輸入的個(gè)人密碼明文加密，與卡片上保存的個(gè)人密碼密文比較，判斷個(gè)人密碼是否正確。 . 銀行轉(zhuǎn)賬系統(tǒng)密鑰介紹 銀行轉(zhuǎn)賬系統(tǒng)相關(guān)密鑰（與銀行交換數(shù)據(jù)密鑰 K 銀交 、持卡人銀行敏感數(shù)據(jù)加密密鑰 K 銀 PIN）； 用途 生成 存儲(chǔ) 傳輸 使用 K 銀交 用 于加密傳 輸?shù)臄?shù)據(jù)域，生成數(shù) 據(jù)包的信 息校驗(yàn)碼（ MAC） 每天動(dòng)態(tài)由銀行獲得 保存在銀行轉(zhuǎn)賬前置機(jī)的 PSAM 卡 上 在網(wǎng)絡(luò)上按銀行加密標(biāo)準(zhǔn)加密傳輸。 對(duì)傳輸?shù)慕灰讛?shù)據(jù)進(jìn)行加密 /解密。 第 29 頁(yè) K 銀PIN 用 于加密個(gè) 人銀行密 碼和銀行 卡信息（ PIN， ID） 每天動(dòng)態(tài)由銀行獲得 保 存 在 圈 存 機(jī) 的PSAM 卡上。 在網(wǎng)絡(luò)上按銀行加密標(biāo)準(zhǔn)加密傳輸。 對(duì)傳輸?shù)慕灰讛?shù)據(jù)進(jìn)行加密 /解密 . 銀行密鑰 管理流程 ? 轉(zhuǎn)賬前置機(jī) 建立銀行轉(zhuǎn)賬系統(tǒng)時(shí)由銀行和集成商約定 K 銀行靜， 并約定獲得方式，最后是通過(guò)密鑰管理程序?qū)懙降你y行轉(zhuǎn)賬前置機(jī)的 PSAM 卡上。 每日系統(tǒng)在簽到時(shí)，采用交易報(bào)文通過(guò) K 銀行靜、 到銀行端獲得 K 銀交 用于與銀行交換數(shù)據(jù)的密鑰； ? 圈存機(jī) 每日圈存機(jī)在簽到時(shí)，采用交易報(bào)文通過(guò) K 銀行靜、 到銀行端獲得 K 銀 PIN用于加密持卡人的敏感數(shù)據(jù)。 六、 系統(tǒng)建設(shè)方案 . 移動(dòng)支付 一卡通基礎(chǔ)平臺(tái) . “ 移動(dòng) 校園一卡通“中心平 臺(tái) “校園一卡通”數(shù)據(jù)中心是整個(gè)系統(tǒng)的數(shù)據(jù)管理和存儲(chǔ)中心，保證數(shù)據(jù)的安全性、可靠性、唯一性，它為應(yīng)用服務(wù)中心平臺(tái)及應(yīng)用子系統(tǒng)提供高效數(shù)據(jù)訪問(wèn)和處理服務(wù)。 “校園一卡通”數(shù)據(jù)中心是一卡通的核心部分，所有的數(shù)據(jù)操作和業(yè)務(wù)邏輯都是由后臺(tái)系統(tǒng)的相應(yīng)處理程序來(lái)處理的。所以后臺(tái)系統(tǒng)的安裝質(zhì)量和日常運(yùn)行的狀態(tài)都直接影響整個(gè)系統(tǒng)的運(yùn)行穩(wěn)定性。 一卡通中心的操作系統(tǒng)軟件采用 UNIX 系統(tǒng)，數(shù)據(jù)庫(kù)管理軟件采用 Oracle 數(shù)據(jù)庫(kù)，并且系統(tǒng)采用雙機(jī)熱備軟件的數(shù)據(jù)服務(wù)器系統(tǒng)，保證多個(gè)實(shí)例能夠同時(shí)訪問(wèn)同一數(shù)據(jù)庫(kù)（存儲(chǔ)器）。為整個(gè)系統(tǒng)數(shù)據(jù) 提供了容錯(cuò)、負(fù)載均衡和性能效益。數(shù)據(jù)服務(wù)器及應(yīng)用服務(wù)器集群。管理中心機(jī)房采用獨(dú)立電源和獨(dú)立的 UPS 電源。 “校園一卡通”數(shù)據(jù)中心主要由金融數(shù)據(jù)中心和身份數(shù)據(jù)中心組成。 第 30 頁(yè) . 金融數(shù)據(jù)中心 一卡通的金融中心是所有金融交易的業(yè)務(wù)控制中心和所有金融交易的數(shù)據(jù)存貯中心。包括金融數(shù)據(jù)庫(kù)和相應(yīng)的后臺(tái)服務(wù)進(jìn)程。 金融數(shù)據(jù)庫(kù)包含以下幾方面信息： 一卡通帳戶數(shù)據(jù)字典、一卡通帳戶字典、開(kāi)通登記表、卡銷戶表、商戶和管理帳戶數(shù)據(jù)字典、商戶帳戶字典、全局設(shè)置數(shù)據(jù)字典、學(xué)校代碼、日?qǐng)?bào)字典、操作費(fèi)用設(shè)定、各種代碼、持卡人消費(fèi)折扣、系統(tǒng)管理和 運(yùn)行環(huán)境設(shè)置數(shù)據(jù)字典、組織部門(mén)、系統(tǒng)登記、系統(tǒng)參數(shù)、操作員、操作員權(quán)限、事件代碼、系統(tǒng)信息、操作員日志、流水帳數(shù)據(jù)字典、交易流水、補(bǔ)助發(fā)放流水、歷史流水、收費(fèi)明細(xì)、報(bào)表部分?jǐn)?shù)據(jù)字典、對(duì)帳不符清單、業(yè)務(wù)統(tǒng)計(jì)報(bào)表、清算報(bào)表、商戶歷史表、 按部門(mén)統(tǒng)計(jì)報(bào)表、日?qǐng)?bào)表、核算單位統(tǒng)計(jì)報(bào)表等。 . 身份數(shù)據(jù)中心 一卡通的身份中心保存所有一卡通相關(guān)身份信息單位、部門(mén)和人員的信息包括身份認(rèn)證數(shù)據(jù)庫(kù)和相應(yīng)的后臺(tái)服務(wù)進(jìn)程。 身份認(rèn)證數(shù)據(jù)庫(kù)主要包含以下幾方面內(nèi)容： 身份數(shù)據(jù)基本字典信息、國(guó)籍信息、民族信息、身份類別信息、證件類型信息 、校 /廠區(qū)信息、卡樣管理表、部門(mén)組織信息、黑名單信息表、技術(shù)職稱、行政職務(wù)、文化程度、宿舍 (苑 /棟 )、政治面貌信息、身份數(shù)據(jù)基本信息表、學(xué)生擴(kuò)展信息表、教職工擴(kuò)展信息表、校外人員擴(kuò)展信息表、相片信息、學(xué)生相片信息表、教職工相片信息表、校外人員相片信息表、操作員及權(quán)限信息、操作員代碼信息、操作員權(quán)限信息等。 . 數(shù)據(jù)集成規(guī)劃 根據(jù)學(xué)校的需求， 一卡通數(shù)據(jù)中心的所有身份信息均以公共數(shù)據(jù)平臺(tái)的身份信息為準(zhǔn)，一卡通不單獨(dú)維護(hù)身份信息，只維護(hù)與自己系統(tǒng)有關(guān)的業(yè)務(wù)數(shù)據(jù)。 鑒于學(xué)校的數(shù)字化校園系統(tǒng)正在籌建過(guò)程中，在數(shù)字化校園系 統(tǒng)未投入使用前，一卡通系統(tǒng) 將單獨(dú)維護(hù)自己的身份信息，待數(shù)字化校園系統(tǒng)開(kāi)始部署后再進(jìn)行數(shù)據(jù)集成。 第 31 頁(yè) . 集成規(guī)劃 校園一卡通數(shù)據(jù)中心可 將 與 高校 公共數(shù)據(jù)平臺(tái)中心統(tǒng)籌規(guī)劃，實(shí)現(xiàn)資源共享、異地容災(zāi)，負(fù)載均衡機(jī)制。 在硬件部署方面 ， 包括 這幾方面的建設(shè) ―― 數(shù)字化校園數(shù)據(jù)庫(kù)服務(wù)器群集、身份認(rèn)證中心服務(wù)器群集、校園 一卡通中心服務(wù)器 集群 。 在軟件部署方面，主要包括 ORACLE 10G 數(shù)據(jù)庫(kù)軟件、雙機(jī)備份軟件（建議使用 VERITAS）以及軟件中間件 ORACLE 10G AS 等。 . 綜合前置系統(tǒng) . 系統(tǒng)概述 綜合前置機(jī)系統(tǒng)是整個(gè)一卡通系統(tǒng) 最基礎(chǔ)的系統(tǒng)之一，她是一卡通系統(tǒng)的總控中心，所有系統(tǒng)中的處理機(jī)都通過(guò)綜合前置機(jī)來(lái)控制接入和在線狀態(tài)以及白名單和控制文件的同步；同時(shí)她 也是系統(tǒng)的 控制中心，一卡通后臺(tái)的日結(jié)和開(kāi)工狀態(tài)都是由她來(lái)更替的，以實(shí)現(xiàn)一卡通的換天操作；還有她是一卡通系統(tǒng)的安全中心，所有系統(tǒng)在傳輸信息時(shí)所采用的密鑰都是由她來(lái)生成的。 . 系統(tǒng)邏輯圖