數字化校園建設中校園一卡通系統的設計

汪利琴

（長江大學工程技術學院信息系，湖北 荊州434020）

陳琳

（長江大學計算機科學學院，湖北 荊州434023）

瞿詩高

（長江大學工程技術學院信息系，湖北 荊州434020）

伴隨計算機應用技術和數據庫安全技術的飛速發展，目前一種以IC卡為信息載體，把校園消費和校園的各項管理工作有效結合在一起的綜合性的應用系統——校園一卡通系統在各個高校的應用也正成為一種趨勢。校園一卡通系統借助互聯網、計算機、網絡設備、各個應用終端以及現代化的系統開發技術、系統安全的保護和防范技術實現了身份認證、權限管理安全防護、消費、充值、門禁、圖書管理、學籍管理等各項功能，實現了先進的校園信息化管理，實現了一卡通用、一卡多用、一卡在手走遍校園的功能。下面，筆者以長江大學工程技術學院為例，對數字化校園建設中校園一卡通系統進行了分析和設計。

1 校園一卡通系統設計原則及建設目標

校園一卡通系統的應用，是一種改善校園管理的有效措施，是高校迫切需要實施的校園信息化平臺。校園一卡通系統的建設，主要有以下幾個方面的現實意義：第一，校園一卡通系統是數字化校園建設的重要部分，能夠實現校園資源的充分利用和有效配置，提高校園中的各項校務管理和服務工作的效率和水平；第二，校園一卡通系統的建設，使師生能夠方便地在各自助終端或銀行網點實現存取款、轉賬、消費等功能，能夠通過集成在校園卡功能內的電子錢包實現上機、就餐、校內購物等校園消費［1］；第三，校園一卡通系統是信息化發展在高校應用的必然趨勢，是現代化高校建設和管理的重要標志。

1.1 設計原則

1）易用性 要把為師生提供高效的服務，簡化各項校務管理做為第一要務，要能夠提供友好美觀的操作界面，操作簡單直觀、快捷方便。

2）高安全性 安全性主要體現在卡的安全、服務器系統安全、網絡通信安全、數據庫安全等諸多方面，而大約80%的安全隱患都來源于數據庫的安全，在校園一卡通系統的設計中著重考慮數據庫系統的安全策略，保證數據庫能夠在任何時候都能夠安全高效地提供不間斷服務。

3）先進性 系統的設計必須采用當前先進的設備和技術，另外，由于系統要應用于生活實際，因而在追求技術和手段先進的同時也要保證先進技術的成熟性，并評估高校現有的資源和條件以及未來的發展，以使本系統既能保證可靠性，也能具有較高的先進性。

4）易維護性和可擴展性 易維護性是指系統在運行中出現各類故障時能方便有效地排除，可擴展性指系統能夠適應學校的發展，方便擴展，這2項指標是影響應用系統開發成功與否的重要因素。

1.2 建設目標

圍繞校園一卡通系統建設的總原則——立足當前、面向未來、技術先進、功能實用、安全可靠、統籌規劃、靈活擴展，該系統的建設目標如下：建立一體化的系統平臺、實現身份識別一卡通、實現消費一卡通、實現財務統一管理、校務管理一卡通。

2 校園一卡通系統的網絡體系結構

傳統的校園一卡通的網絡方案采用的是系統單獨組網的方式，這樣雖然能夠較好地保證系統的安全性，但是組網費用大擴展能力差，因此筆者設計的系統采用的是一卡通系統的專用網絡、金融網絡和基于校園網的專業虛擬網3種網絡相結合的網絡體系結構，如圖1所示。

圖1 網絡體系結構

基于.NET框架應用下的多層架構體系結構，該系統由系統管理和監控、數據傳輸平臺、人機界面、第三方應用、Web Service、業務邏輯層、數據訪問層、校園一卡通系統的中心數據庫組成，其軟件層次結構如圖2所示。

圖2 軟件層次結構圖

3 校園一卡通系統的軟件層次結構

3.1 系統管理和監控

監控各類終端設備的交易記錄的上傳情況、聯機或脫機狀態、運行狀態等，以及對各子系統的運行狀態進行監控、實時業務數據進行管理、設置子系統的參數等。

3.2 數據傳輸平臺

通過安全的SOAP／X.509協議對校園一卡通的各個子系統之間或者其與第三方系統進行數據分發和同步復制時進行數據傳輸。

3.3 應用層

系統的所有前端應用（如身份識別、充值、借書等）都在 Web Service之上，為了保證應用層與Web Ser vice之間進行數據和信息交互的安全，采用通過加密的XML文件在公共網絡上進行數據傳輸。

3.4 Web Service

通過 Web Ser vice的分布式應用程序架構，為校園一卡通系統真正成為跨校區使用的大型應用系統并能大大降低系統的應用成本提供了更高效、先進的運行模式。

3.5 業務邏輯層

采用面向對象的編程技術，將系統的各項應用功能以及對數據庫的各種訪問請求映射為業務邏輯對象或數據庫對象，全部在業務邏輯層交互，增強系統靈活性和安全性，實現應用與數據的隔離，如在制卡中心，將卡的管理劃分成制卡、補卡、注銷卡、卡掛失、掛失、卡認證等多個業務邏輯和持卡人信息等數據庫對象，實現應用和數據分離。

3.6 數據訪問層

數據訪問層是應用程序或第三方應用程序與數據庫的服務期進行交互的數據平臺，系統采用先進的數據連接池技術和快速安全的數據訪問控制機制來提高系統的性能和信息交換效率。

3.7 中心數據庫

存儲一卡通系統所有的賬戶信息、操作記錄、消費信息等數據。校園一卡通系統采用的是基于.NET框架下的新一代多層架構體系，真正做到了數據庫和操作系統的平臺的無關性，中心數據庫可以在網絡上為校園一卡通的各個子系統提供數據信息的資源共享功能。

4 系統功能

校園一卡通系統集成了縱多的子系統，有銀校轉賬子系統、身份識別子系統、消費管理子系統、機房管理子系統、圖書管理子系統、卡務管理中心子系統等，這里筆者僅挑選幾個有代表性的核心功能的進行介紹。

4.1 銀校轉賬系統的功能

轉賬（由銀行卡向校園卡進行轉賬的單項功能）；沖賬（根據業務需要銀校轉賬系統主動向銀行端系統所提交的沖賬的業務請求，在沖賬請求提交不成功時可以反復提交3次，3次均不成功則將留待對賬時進行處理，將相應的沖賬根據對賬結果再次進行處理）；清算功能；對賬功能和統計功能。

4.2 卡務管理中心

卡務管理中心負責管理卡的充值、卡掛失、卡解除掛失、換新卡、卡片流水的查詢、卡凍結、卡密碼的修改等柜臺業務，具有卡發放、庫存卡管、卡登記、卡回收等卡維護功能。

4.3 綜合消費系統

綜合消費系統是校園一卡通系統的核心功能，主要用于實現和管理窗口機的消費，如圖書的超期罰款、洗衣房、開水房、食堂售飯、澡堂等的消費管理，包括查看消費名稱、標號窗口機數量等信息；啟動窗口機；關閉窗口機、查看窗口機的經營情況；獲取經營記錄；制作經營報表等功能［2］。校園一卡通系統中設置了電子錢包用來實現各類消費的付款功能，電子錢包與現實生活中的錢包的功能差不多，它存放了貨幣信息、消費記錄等在綜合消費系統中進行集中管理，使用電子錢包除了可以到食堂吃飯，進機房上網等各類消費外還能夠對消費記錄進行保存和查詢。

4.4 身份識別功能

校園卡里邊存放有詳細的用戶個人信息，因此在出入考場、進行圖書圖閱覽期刊、出入宿舍樓等能夠使用校園卡實現身份識別功能。

5 校園一卡通系統數據庫安全要求

校園一卡通系統規模龐大，功能也復雜，系統涉及的敏感數據較多，許多關鍵的業務系統也都運行在數據庫平臺上，在系統的實際應用中存在較為突出的數據庫安全問題，需要對其從以下幾個方面進行重點研究和設計。

5.1 數據的完整性

存儲在數據庫中的數據的一致性、正確性和可靠性就是數據的完整性，SQL Ser ver 2005為了保證數據的完整性提供了定義、檢查和控制數據完整性的機制，比如為數據庫中的表數據設置主鍵約束、外鍵約束、CHECK約束、DEFAULT約束、UNIQUE約束；或者使用數據庫的默認值和規則對象；或者編寫存儲過程、觸發器來實現數據的數據完整性。校園一卡通系統中存在很多的用戶信息、消費和收費的信息，這些服務的實時性對數據庫的要求非常高，必須要合理有效地使用好SQL Server 2005的數據完整性的機制，保證數據庫中所物理存儲的數據的正確性、可靠性和一致性。

5.2 用戶身份認證

SQL Server 2005為用戶提供了WINDOWS身份驗證和混合身份驗證模式，校園一卡通系統的用戶賬戶的特殊要求使得該系統對數據庫的訪問要求非常高，因此該系統除了應用好數據庫系統所提供的身份認證方案以外，往往還需要結合其他的身份驗證技術，來實現更安全更高級別的用戶身份認證方案。

5.3 數據庫存取權限的控制

雖然SQL Server 2005提供了登錄賬戶、數據庫用戶、角色、固定系統角色以及權限控制管理實現的辦法，但是校園一卡通系統的用戶有系統管理員、各個子系統的管理員、教師、學生等，用戶類型多，數量龐大，而且不同的用戶具有不同的訪問權限，因此，必須在數據庫本身提供的訪問控制的機制上，引進新的存取權限控制技術并深入分析系統的現實運行情況，設計合理高效安全的數據庫訪問控制方案。

5.4 數據保密

校園一卡通系統中的用戶賬戶信息、權限信息屬于機密信息，一旦被監聽、竊取或遭受破壞，數據庫的損失將無法估量，因此，必須設計數據庫的加密系統，來為數據庫中的敏感數據進行加密，保證其安全性。

5.5 細粒度審計跟蹤

財務清算系統、充值系統、各類消費子系統里邊都包含很多的充值、消費的敏感數據信息，為了保證數據庫中這類重要數據在遭到非法訪問或篡改以后，能夠進行數據庫的恢復，能夠找到非法使用的用戶的相關信息，有必要為系統設計有效的審計功能。

5.6 入侵檢測與響應

網絡上存在大量的黑客，犯罪份子任何時候都想找到機會通過非法手段獲取利益，在校園一卡通系統中存儲著數以萬計的用戶的資金信息以及其他的重要信息，為了保證數據庫中數據的安全，有必要設計入侵檢測與響應系統，用以及時捕獲非法入侵信息，并及時進行響應（如阻止入侵行為的發生，發送報告給管理員等方式）來保護數據的安全［3］。

5.7 備份與恢復

對于自然災害等意外情況的發生對數據庫所造成的毀滅性侵害，可能無法預測和避免，但是可以為系統設計合理有效的備份和恢復措施來保護數據庫的安全。在數據庫備份方案的設計中要考慮數據庫中每天都有大量的消費信息等新數據的產生，系統的運行要求提供高效的無間斷服務，所以在數據庫的備份和恢復方案的研究中盡量想辦法降低海量數據的備份對系統運行效率的影響，同時保證任何時候數據庫都不會損失重要數據。

6 結語

校園一卡通系統是一個綜合性強大的系統，它依托智能卡作為信息載體，結合數據庫技術、計算機網絡、微電子技術等高新科技，具有電子身份識別、電子錢包等功能，用以替代傳統的教師證、飯卡、圖書證，醫療本、學生證等，較好地實現了校務和校內消費管理等的全面數字化和網絡一體化目標。校園一卡通系統同時也是一個對數據庫安全要求很高的系統，該系統的設計結合了數字化校園建設的實際情況和長遠發展，能夠較好地保證其安全性、先進性、穩定性和可以持續發展。

［1］郭紅芳.校園一卡通系統的設計與實現 ［J］.信息安全與通信保密，2011（7）：66－69.

［2］陳恒.淺談校園一卡通系統的設計與實現 ［J］.科技創新導報，2008（18）：202－202.

［3］蔣文沛，李奇國.校園一卡通系統的設計 ［J］.福建電腦，2008（2）：155－156.