【正文】 . 系統(tǒng)邏輯圖 。 在軟件部署方面，主要包括 ORACLE 10G 數(shù)據(jù)庫(kù)軟件、雙機(jī)備份軟件（建議使用 VERITAS）以及軟件中間件 ORACLE 10G AS 等。 第 31 頁(yè) . 集成規(guī)劃 校園一卡通數(shù)據(jù)中心可 將 與 高校 公共數(shù)據(jù)平臺(tái)中心統(tǒng)籌規(guī)劃，實(shí)現(xiàn)資源共享、異地容災(zāi)，負(fù)載均衡機(jī)制。 . 數(shù)據(jù)集成規(guī)劃 根據(jù)學(xué)校的需求， 一卡通數(shù)據(jù)中心的所有身份信息均以公共數(shù)據(jù)平臺(tái)的身份信息為準(zhǔn)，一卡通不單獨(dú)維護(hù)身份信息，只維護(hù)與自己系統(tǒng)有關(guān)的業(yè)務(wù)數(shù)據(jù)。 . 身份數(shù)據(jù)中心 一卡通的身份中心保存所有一卡通相關(guān)身份信息單位、部門(mén)和人員的信息包括身份認(rèn)證數(shù)據(jù)庫(kù)和相應(yīng)的后臺(tái)服務(wù)進(jìn)程。包括金融數(shù)據(jù)庫(kù)和相應(yīng)的后臺(tái)服務(wù)進(jìn)程。 “校園一卡通”數(shù)據(jù)中心主要由金融數(shù)據(jù)中心和身份數(shù)據(jù)中心組成。數(shù)據(jù)服務(wù)器及應(yīng)用服務(wù)器集群。 一卡通中心的操作系統(tǒng)軟件采用 UNIX 系統(tǒng)，數(shù)據(jù)庫(kù)管理軟件采用 Oracle 數(shù)據(jù)庫(kù)，并且系統(tǒng)采用雙機(jī)熱備軟件的數(shù)據(jù)服務(wù)器系統(tǒng)，保證多個(gè)實(shí)例能夠同時(shí)訪(fǎng)問(wèn)同一數(shù)據(jù)庫(kù)（存儲(chǔ)器）。 “校園一卡通”數(shù)據(jù)中心是一卡通的核心部分，所有的數(shù)據(jù)操作和業(yè)務(wù)邏輯都是由后臺(tái)系統(tǒng)的相應(yīng)處理程序來(lái)處理的。 每日系統(tǒng)在簽到時(shí)，采用交易報(bào)文通過(guò) K 銀行靜、 到銀行端獲得 K 銀交 用于與銀行交換數(shù)據(jù)的密鑰； ? 圈存機(jī) 每日圈存機(jī)在簽到時(shí)，采用交易報(bào)文通過(guò) K 銀行靜、 到銀行端獲得 K 銀 PIN用于加密持卡人的敏感數(shù)據(jù)。 在網(wǎng)絡(luò)上按銀行加密標(biāo)準(zhǔn)加密傳輸。 對(duì)傳輸?shù)慕灰讛?shù)據(jù)進(jìn)行加密 /解密。 ? 終端機(jī)，個(gè)人密碼校驗(yàn) 終端機(jī)在交易時(shí)，合成個(gè)人密 碼密鑰后，對(duì)輸入的個(gè)人密碼明文加密，與卡片上保存的個(gè)人密碼密文比較，判斷個(gè)人密碼是否正確。 各 子系統(tǒng)和 各 應(yīng)用終端在獲得加密卡時(shí)即刻獲得。 第 28 頁(yè) 終端機(jī) 終端機(jī)在交易時(shí)，使用 PSAM 卡中的 K 卡根 對(duì)扇區(qū)密種子密鑰解密，用分散因子產(chǎn)生扇區(qū)密鑰，驗(yàn)證卡片的登錄權(quán)限。初始化后的卡片在發(fā)卡中心通過(guò) K 卡根 和 K 卡 PIN 根 形成新的 K卡扇， 和 K 卡 PIN。發(fā)卡系統(tǒng)利用 PSAM 卡中的 K 卡根 對(duì)扇區(qū)種子密鑰進(jìn)行解密，產(chǎn)生扇區(qū)密鑰對(duì)每張卡片進(jìn)行初始化形成 K 卡扇 。 各應(yīng)用系統(tǒng)及應(yīng)用終端從管理中心獲得各自 PSAM 卡，即獲得了卡片相關(guān)工作密鑰。 K 卡PIN 用于加密卡片的個(gè)人密碼（ PIN） 由一卡通”系統(tǒng)生成 ①終端機(jī)：保存一半（固定不變） ②卡片：保存另一半（變化） 不傳輸 ①發(fā)卡系統(tǒng)：合成固定和卡片變化的密鑰后，對(duì)個(gè)人密碼加密，對(duì)卡片公用扇區(qū)密碼塊進(jìn)行初始化； ②終端機(jī)：合成終端機(jī)和卡片的密鑰后，對(duì)個(gè)人密碼加密，判斷個(gè)人密碼的合法性。 ②發(fā)卡系統(tǒng)：保存在 PSAM 卡中 不在網(wǎng)絡(luò)上傳輸，由專(zhuān)業(yè)管理人員設(shè)置到PSAM 卡上。 第 27 頁(yè) K 卡PIN 根 用于分散卡片上保存的一半個(gè)人密鑰。 ①發(fā)卡系統(tǒng)：分散卡片扇區(qū)密鑰，對(duì)卡片控制扇區(qū)進(jìn)行初始化； ②終端機(jī)：分散卡片扇區(qū)密鑰，登錄卡片 K 卡扇 用于控制卡片扇區(qū)的登錄權(quán)限 由 K 卡根 及分散因子通過(guò)密鑰算法生成。 由 K 根生 成 ①終端機(jī)：保存在 PSAM 卡上。 第 26 頁(yè) . 卡片工作密鑰介紹 卡片相關(guān)密鑰有（扇區(qū)種子密鑰 K 卡根 、卡片扇區(qū)密鑰 K 卡扇 、卡片交易密鑰的根密鑰 K 卡 PIN 根、 卡片交易密鑰 K 卡 PIN），由以上密鑰組成“一卡通”系統(tǒng)的密鑰體系。 由“一卡通”證書(shū)卡系統(tǒng)生成 保存在各子系統(tǒng) PSAM卡上 PSAM 卡傳遞 子系統(tǒng)通過(guò) MD5算法采用 K 簽 ，進(jìn)行數(shù)字簽名，起到防抵賴(lài)作用。 用途 生成 存儲(chǔ) 傳輸 使用 K 靜 作為 一卡通系統(tǒng)身份認(rèn)證； 換取動(dòng)態(tài)工作密鑰 由“一卡通”證書(shū)卡系統(tǒng)生成 保存在各子系統(tǒng) PSAM卡上 PSAM 卡傳遞 在子系統(tǒng)簽到時(shí)按照 PKI 機(jī)制進(jìn)行認(rèn)證； 簽到后獲得動(dòng)態(tài)工作密鑰。 3 交易數(shù)據(jù)傳輸 每日子系統(tǒng)通過(guò)子系統(tǒng)認(rèn)證密鑰（靜態(tài)密鑰） K 靜，獲取當(dāng)日的子系統(tǒng)與數(shù)據(jù)中心數(shù)據(jù)傳輸加密密鑰 K 交； 工作密鑰 加密 算法和 解密算 法采 用 DES（ ANSI :1981 數(shù)據(jù)加密算法）。 . 子系統(tǒng)密鑰管理流程 序號(hào) 部門(mén) 流 程 1 管理中心 在證書(shū)卡管理系統(tǒng)，管理員通過(guò) K 根 PSAM 卡 為個(gè)子系統(tǒng)產(chǎn)生工作密鑰并存儲(chǔ) 在子系統(tǒng) PSAM 卡上 ，其中包括前置機(jī) PSAM 卡的制作 。管理中心將 PSAM 卡保管好，以備生成子系統(tǒng)工作密鑰。 通 過(guò) 證 書(shū) 卡 系統(tǒng)，再產(chǎn)生其他密鑰，如下圖所示。 保存在PSAM 卡上，由校方安全保存。 . 系統(tǒng)根密鑰介紹 系統(tǒng)根密鑰是整個(gè)密鑰體系的基礎(chǔ)，根密鑰的生成必須由學(xué)校生成 (2 人以上輸入 )，其他密鑰的生成依賴(lài)于根密鑰。我公司可提供第三方軟件的標(biāo)準(zhǔn)接口以及相關(guān)文檔供學(xué)校以后自主進(jìn)行第三方子系統(tǒng)的對(duì)接或者是進(jìn)行產(chǎn)品的二次開(kāi)發(fā)。 我們提供了統(tǒng)一的、透明的 WEB Service 服務(wù)接口 ,完成各系統(tǒng)內(nèi)部數(shù)據(jù)庫(kù)之間的數(shù)據(jù)交換。 . 接口的開(kāi)放性 公共平臺(tái) 數(shù)據(jù)訪(fǎng)問(wèn)接口是針對(duì) 各 應(yīng)用 子系統(tǒng) 對(duì) 共享中心數(shù)據(jù)庫(kù)的 訪(fǎng)問(wèn)。 我公司提供的各類(lèi)讀卡設(shè)備公開(kāi)讀卡函數(shù)，供第三方使用。 . 設(shè)備開(kāi)放性 校園 一卡通系統(tǒng)可以對(duì)接第三方的設(shè)備， 比如第三方的讀卡器等。系統(tǒng)的開(kāi)放性主要體現(xiàn)在應(yīng)用軟件的開(kāi)放性、設(shè)備的開(kāi)放性、卡片的開(kāi)放性、密鑰的開(kāi)放性等，具體內(nèi)容如下： . 應(yīng)用軟件開(kāi)放性 校園一卡通系統(tǒng)的應(yīng)用軟件的使用權(quán)全部提供給 高校 ，未來(lái)學(xué)校在增加應(yīng)用軟件的使用規(guī)模時(shí)，不額外再 支付應(yīng)用軟件的費(fèi)用，而只需增加相關(guān)的硬件設(shè)備 。 在開(kāi)發(fā)工具方面，采用了擁有廣泛業(yè)界支持的 J2EE 技術(shù)以及成熟的中間件工具，如： BEA WebLogic、 Oracle AS 以及免費(fèi)的 TOMCAT 等，從而相應(yīng)地縮短了開(kāi)發(fā)時(shí)間，也有利于在任何操作系統(tǒng)和硬件配置上運(yùn)行，保護(hù)用戶(hù)現(xiàn)有的投資和便于系統(tǒng)的擴(kuò)展。 五、 系統(tǒng)設(shè)計(jì)方案 . 系統(tǒng)總體架構(gòu) 高校 “ 數(shù)字化校園一卡通 ” 系統(tǒng)是架構(gòu)在校園網(wǎng)絡(luò)上，利用計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、終端等設(shè)備，充分發(fā)揮網(wǎng)絡(luò)優(yōu)勢(shì)，借助于卡片載體，實(shí)現(xiàn)先進(jìn)的信息化管理的系統(tǒng)。系統(tǒng)白名單 和黑名單在全網(wǎng)可以實(shí)現(xiàn)實(shí)時(shí)生效。 金融化貫穿于整個(gè)數(shù)字化校園一卡通方案 全天候運(yùn)行的、在線(xiàn)維護(hù)的高可靠性設(shè)計(jì) 系統(tǒng)要求 7 24 小時(shí)不停機(jī)全天候運(yùn)行，要求系統(tǒng)具有較高的可靠性。 將 高校 數(shù)字校園 建設(shè)和校園一卡通系統(tǒng)建設(shè)有機(jī)的結(jié)合成為一個(gè)整體，以共享數(shù)據(jù)中心平臺(tái)為核心；校園一卡通系統(tǒng)的所有身份信息來(lái)源于共享數(shù)據(jù)中心，同時(shí)共享數(shù)據(jù)中心與各應(yīng)用系統(tǒng)進(jìn)行身份信息的同步；在進(jìn)行金融交易時(shí)，與一卡通數(shù)據(jù)中心進(jìn)行數(shù)據(jù)交換；在需要進(jìn)行身份認(rèn)證時(shí)，與統(tǒng)一身份認(rèn)證平臺(tái)交互進(jìn)行認(rèn)證；在統(tǒng)一信息門(mén)戶(hù)進(jìn)行信息查詢(xún)時(shí)，通過(guò)數(shù)據(jù)轉(zhuǎn)換平臺(tái)，將各應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)展現(xiàn)在門(mén)戶(hù)系統(tǒng)中，提供查詢(xún)者使用，這樣充分體現(xiàn)出數(shù)字化校園與校園一卡通系統(tǒng)建設(shè)的完美組合。 USB 接口讀卡機(jī)具，要求讀卡機(jī)具具有的技術(shù)標(biāo)準(zhǔn) ? 采用最新 PHILIPS 高集成 ISO14443A 讀卡芯片 MF RC500； ? 采用 以上接口規(guī)范 總線(xiàn)供電整機(jī)電流小于 120mA； ? 支持 mifare1 S50/ S70 卡； ? 提供豐富的動(dòng)態(tài)庫(kù)接口函數(shù)； ? 有蜂鳴器及發(fā)光二極管進(jìn)行報(bào)警； 第 21 頁(yè) ? 要求尋卡速度小于 40 毫秒 /次，讀卡速度小于 80 毫秒 /塊，寫(xiě)卡速度小于 90 毫秒 /次 串口接口讀卡機(jī)具，要求讀卡機(jī)具具有的技術(shù)標(biāo)準(zhǔn) ? 采用最新 PHILIPS 高集成 ISO14443A 讀卡芯片 MF RC500； ? 采用 RS232 串口接口規(guī)范； ? 支持 mifare1 S50/ S70 卡； ? 提供豐富的動(dòng)態(tài)庫(kù)接口函數(shù)； ? 有蜂鳴器及發(fā)光二極管進(jìn)行報(bào)警； ? 要求尋卡速度小于 160 毫秒 /次，讀卡速度小于 250 毫秒 /塊，寫(xiě)卡速度小于 250 毫秒 /次； . 系統(tǒng)方案的特點(diǎn) 量身定做的、一體化的完美設(shè)計(jì) 以 高校 為典型代表，量身定做了大型高校的完整解決方案。脫機(jī)不限 4 通訊處理能力 1000 筆 /分（可達(dá) 10000 筆 /分 ） 5 讀寫(xiě)卡時(shí)間（網(wǎng)絡(luò) 狀況 正常） 1 秒 6 POS 機(jī)通訊速率 20K 7 POS 機(jī)傳輸數(shù)據(jù)出錯(cuò)率，重傳率 〈 2/10000 三、系統(tǒng)運(yùn)行環(huán)境 3． 1 系統(tǒng)運(yùn)行平臺(tái) 1 數(shù)據(jù)中心主機(jī)操作系統(tǒng) UNIX 2 中心數(shù)據(jù)庫(kù) ORACLE 10g 第 19 頁(yè) 3 一卡通中心平臺(tái)操作系統(tǒng) UNIX 4 應(yīng)用服務(wù)器 操作系統(tǒng) Windows 2021 server 5 終端操作系統(tǒng) 中文版 Windows98/2021/2021 3． 2 網(wǎng)絡(luò)平臺(tái) 1 主干網(wǎng)絡(luò)平臺(tái) 校園網(wǎng)絡(luò) 及金融專(zhuān)網(wǎng) 2 主干網(wǎng)絡(luò)結(jié)構(gòu) 星型拓?fù)? 3 主干通訊協(xié)議 TCP/IP 4 POS 子網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu) 總線(xiàn)型 5 POS 子網(wǎng)通訊協(xié)議 RS485 6 充值機(jī)聯(lián)網(wǎng)方式 以太網(wǎng)、 TCP/IP 協(xié)議 四、系統(tǒng)軟件架構(gòu) 1 軟件架構(gòu) 采用三層體系的 J2EE架構(gòu)，以 B/S 結(jié)構(gòu)為主， C/S 結(jié)構(gòu)為輔 2 對(duì)外開(kāi)放接口 一卡通的平臺(tái)為其他系統(tǒng)的接入提供公用的接口標(biāo)準(zhǔn)和接口程序 3 第三方接入接口 為多種軟件系統(tǒng)提供統(tǒng)一公共的服務(wù)接口、提供緊耦合、 松耦 合、不耦合等接入方式 4 數(shù)據(jù)訪(fǎng)問(wèn)操作方式 只有應(yīng)用服務(wù)器可以訪(fǎng)問(wèn)數(shù)據(jù)庫(kù) 五、系統(tǒng)賬務(wù)處理 5． 1 系統(tǒng)糾錯(cuò)能力 1 銀校對(duì)賬方式 自動(dòng)對(duì)賬 2 系統(tǒng)糾錯(cuò)處理 自動(dòng) 對(duì)帳 、手動(dòng)回沖、手工平賬 3 不平賬目出現(xiàn)概率 〈 1/10000 5． 2 系統(tǒng)賬務(wù)處理 1 系統(tǒng)記賬 方法 按照國(guó)家財(cái)政部企業(yè)財(cái)務(wù)的標(biāo)準(zhǔn) 2 系統(tǒng)記賬方式 借貸記賬法 3 系統(tǒng)對(duì)賬機(jī)制 以流水帳為依據(jù)， 卡庫(kù) 自動(dòng) 對(duì)賬 4 銀行轉(zhuǎn)賬方式 自助、自動(dòng)實(shí)時(shí)等 5 賬務(wù)處理 自動(dòng)清分清算 6 系統(tǒng)記賬精度 元 7 銀行代收、 代付 自動(dòng)實(shí)時(shí) 8 補(bǔ)助領(lǐng)取限制 不受時(shí)間、地點(diǎn)限制。 7. 現(xiàn)實(shí)與前瞻原則：系統(tǒng)管理平臺(tái)的整體規(guī)劃設(shè)計(jì)、各項(xiàng)技術(shù)性能指標(biāo)以及采用設(shè)備產(chǎn)品，既要充分體現(xiàn)時(shí)代現(xiàn)實(shí)性，又要充分考慮項(xiàng)目工程未來(lái)發(fā)展 的前瞻性，為后期建設(shè)留有充分發(fā)展的余地。 5. 為了保障 高校 數(shù)字校園 一卡通 金融數(shù)據(jù)的安全，防止校園網(wǎng)絡(luò)的攻擊，決定在現(xiàn)有校園網(wǎng)冗余光纖的基礎(chǔ)上，為一卡通金融系統(tǒng)建立物理專(zhuān)網(wǎng)。 3. 暢通便捷原則：必須確保各系統(tǒng)運(yùn)行的暢通性和便捷性，使廣大師生員 第 18 頁(yè) 工得到“校園一卡通”的優(yōu)質(zhì)服務(wù)，為其學(xué)習(xí)、工作和生活提供 方便。 1. 科學(xué)先進(jìn)原則：不論在 技術(shù)上，還是在軟件和硬件設(shè)備上，均 采用目前屬于領(lǐng)先水平的技術(shù)和產(chǎn)品，充分體現(xiàn)技術(shù)和產(chǎn)品的科學(xué)先進(jìn)性。 按照“一網(wǎng)”、“一庫(kù)”、“一卡”的一體化建設(shè)理念，建立 公共數(shù)據(jù)平臺(tái)、 統(tǒng)一的身份認(rèn)證中心、統(tǒng)一的信息門(mén)戶(hù)及統(tǒng)一的管理應(yīng)用中心，采用平臺(tái)式、模塊化的建設(shè)方法，實(shí)現(xiàn)三大骨干平臺(tái)：一卡通網(wǎng)絡(luò)平臺(tái)、一卡通管理與服務(wù)平臺(tái)、一卡通應(yīng)用平臺(tái)，適應(yīng)與銀行系統(tǒng)、學(xué)校原有的各類(lèi)應(yīng)用系統(tǒng)銜接和系統(tǒng)本身應(yīng)用規(guī)模、應(yīng)用層次不斷擴(kuò)大的銜接，將一卡通系統(tǒng)建設(shè)成一體化、開(kāi)放式、標(biāo)準(zhǔn)化和用戶(hù)自我建設(shè)擴(kuò)展的系統(tǒng)，為使學(xué)校校園從真正意義上實(shí)現(xiàn)由傳統(tǒng)校園向數(shù)字化校園的質(zhì)的轉(zhuǎn)變奠定良好的基礎(chǔ)。 ? 公 司化運(yùn)作、項(xiàng)目化管理、合作化開(kāi)發(fā)。 ? 實(shí)現(xiàn)高起點(diǎn)、大規(guī)模、入主流、跨越式的建設(shè)模式。 . 系統(tǒng)設(shè)計(jì)指導(dǎo)思想 校園一卡通系統(tǒng)建設(shè)應(yīng)緊密結(jié)合 高校 的實(shí)際情況，將其作為實(shí)現(xiàn)數(shù)字化校園建設(shè)的重要組成部分和重要基礎(chǔ)工程，納入學(xué)校數(shù)字化建設(shè)的整體規(guī)劃之中。 系統(tǒng)結(jié)構(gòu)要考慮無(wú)關(guān)性原則，即系統(tǒng)應(yīng)用不受所采用的數(shù)據(jù)庫(kù)、操作系統(tǒng)、開(kāi)發(fā)語(yǔ)言、卡片類(lèi)型、通訊網(wǎng)絡(luò)等具體類(lèi)型限制，可適應(yīng)各類(lèi)環(huán)境的運(yùn)行。 我們的設(shè)計(jì)理念是 建設(shè)“ 3+N”的開(kāi)放型系統(tǒng)結(jié)構(gòu) ，即基于一個(gè)統(tǒng)一的共享 第 17 頁(yè) 數(shù)據(jù)中心平臺(tái)、統(tǒng)一身份認(rèn)證系統(tǒng)、統(tǒng)一信息門(mén)戶(hù)系統(tǒng)，外加上 N 個(gè)獨(dú)立的應(yīng)用管理子系統(tǒng)。通過(guò)上述系統(tǒng)的有機(jī)結(jié)合，可以使數(shù)字化校園與校園一卡通系統(tǒng)應(yīng)用有機(jī)的結(jié)合在一起，充分體現(xiàn)數(shù)字校園的魅力。公共數(shù)據(jù)平臺(tái)的建設(shè)完成，標(biāo)志著建立了全校統(tǒng)一的信息標(biāo)準(zhǔn)，將來(lái)各應(yīng)用子系統(tǒng)的建設(shè)必須要遵循數(shù)字化校園建設(shè)的信息標(biāo)準(zhǔn)來(lái)建設(shè)，否則將無(wú)法與數(shù)字化 校園相對(duì)接。 四、 總體方案 概述 高校 數(shù)字 手機(jī) 一卡通系統(tǒng)主要建設(shè)完成公共數(shù)據(jù)平臺(tái)，在完成公共數(shù)據(jù)平臺(tái)建設(shè)的基礎(chǔ)上實(shí)現(xiàn)一卡通系統(tǒng)的建設(shè)。 . 校園一卡通系統(tǒng)平滑過(guò)渡到手機(jī)一