基于虛擬卡的統一出入平臺研究

［摘 要］智慧校園統一出入平臺以虛擬卡為基礎，通過多介質認證方式如校園卡、人臉識別、身份證等進行統一的授權管理，提供多樣化的服務及管理，并根據認證情況及時回收用戶流水記錄，進一步進行數據分析統計，為管理層提供參考依據，提高管理水平，促進智慧型校園建設。

［關鍵詞］虛擬卡；智慧校園；層次架構；接入模式；安全機制

doi：10.3969/j.issn.1673-0194.2025.01.041

［中圖分類號］TP315 ［文獻標識碼］A ［文章編號］1673-0194（2025）01-0141-05

0" " "引 言

隨著智慧校園的建設，其信息化程度不斷提高，校園內智能門鎖、門禁、道閘等各類人員出入管理設施不斷增加，一個基于虛擬卡的統一認證平臺在構建現代化、高效、安全的校園信息系統管理中扮演著至關重要的角色。通過智慧校園統一出入平臺建設對于提升校園安全性、管理效率、優化資源配置、遠程管理、提升體驗和促進數據共享等方面都具有重要作用，它是智慧校園建設的重要組成部分，對于推動校園現代化、信息化進程具有重要意義。

1" " "平臺設計原則

統一出入平臺按照高起點、細規劃，實現跨部門、跨系統資源的有效整合與信息共享的規劃和要求。具體設計原則如下。

1.1" "開放性和擴展性

平臺設計秉承開放性與擴展性原則，采用廣泛認可的標準、技術架構、系統組件以及用戶接口，確保不同分系統能夠靈活、分階段地部署實施，且各系統間能無縫銜接，相互獨立運作而不受干擾。

1.2" "可靠性和穩定性

平臺設計充分融入了容錯處理機制，涵蓋系統架構、設備效能以及軟件邏輯等多個層面，以確保系統在面對潛在問題時能夠穩定運行。具體而言，主服務器、核心網絡組件及關鍵安全設備均配置了備份方案，實現了冗余部署，從而增強了系統的容錯能力。

1.3" "安全性和保密性

平臺在構建過程中，從網絡平臺架構的搭建、交互流程的規劃、數據存儲的管理到數據傳輸的每一個環節，均實施了多重嚴密的保密策略與安全保障措施，以雙重防護機制有效抵御外部網絡威脅與非法入侵。

1.4" "易維護和獨立性

終端和平臺均采用組件化設計，便于設備安裝、配置、維護和使用；各功能模塊之間保留相對獨立性，方便系統管理和業務拓展，也有利于系統的安全可靠性。

2" " "平臺識別介質

統一出入平臺基于一卡通虛擬卡[1]實現了多介質認證方式，極大地提高了師生的便利。支持一卡通虛擬卡、校園實體卡、人臉識別、身份證等多種方式。虛擬卡集成于校園App中，具有靈活、方便、不易丟失等特點。一卡通虛擬卡是電子化的校園卡，是原有實體校園卡在移動互聯網上的服務延伸，是實體校園卡的二維碼電子形態，提供基于手機移動端的一卡通服務。虛擬校園卡是與實體校園卡綁定的，能夠代替實體校園卡實現身份識別和消費等多種功能。統一出入平臺基于一卡通虛擬卡在門禁通行、身份驗證等方面需求進行設計與研究。

一卡通虛擬卡主要涉及虛擬卡的創建、存儲、使用以及與實體卡之間的數據同步。

2.1" "創建與存儲機制

一卡通虛擬卡依托移動支付或校園專屬App生成，其數據不再受限于傳統物理卡片，而是安全地存儲在服務器上。這樣用戶能夠借助智能手機或其他智能終端，在任何時間、任何地點輕松訪問并管理自己的虛擬卡片。

2.2" "便捷的使用流程

使用一卡通虛擬卡時，用戶需通過預設的身份驗證方式進行身份驗證。一旦驗證通過，用戶即可利用該虛擬卡執行包括身份認證、門禁控制在內的多種功能。這些操作均通過網絡與服務器無縫對接，服務器即時驗證用戶身份及權限，確保操作的有效執行。

2.3" "數據同步技術

為了保障用戶體驗的一致性和數據的準確性，一卡通虛擬卡與其實體卡片之間建立了高效的數據同步機制。實體卡上的任何狀態變更，如余額變動、權限更新等，都會即時同步至虛擬卡上，確保用戶在使用兩者時享有完全一致的權限和服務體驗。

2.4" "安全保障體系

作為校園一卡通系統的核心要素之一，平臺采用多重安全防護措施，包括先進的加密技術、嚴格的訪問控制策略以及遵循國際標準的安全協議，全方位保護用戶數據免受泄露、篡改及非法訪問的威脅，為校園安全管理筑起一道堅實的防線。

3" " "平臺層次架構

統一出入平臺的基礎數據支撐來源于共享數據庫、校園卡管理系統、宿舍管理系統及公房管理系統等業務系統，這些系統共同為平臺提供了全面的數據支持。平臺具備強大的兼容性，能夠整合來自不同廠商的出入控制設備，通過精細化的系統對接和設備硬件接口處理，靈活適應各種出入管理場景的需求。

平臺的整體架構設計遵循層次化原則[2]（如圖1所示），自上而下分為三層：應用層、傳輸層和感知層。

3.1" "應用層

應用層作為用戶交互的界面，負責提供直觀易用的操作界面和豐富的功能服務，應用層中的功能模塊涵蓋了統一出入平臺所涉及的關聯系統及需要接入的第三方門禁系統。包括統一出入平臺、門禁系統、門禁前置服務、數據交換平臺，以及與平臺相關聯的系統，如統一身份認證、校園一卡通、共享數據庫、公房管理和宿舍管理等系統。應用層提供三類接口對接和調用。

（1）數據交換接口。為了促進平臺與校內各業務系統之間的無縫協作，系統界定了數據交換的規則與范圍，確保能夠高效、準確地實現數據交換與業務互動。利用數據交換平臺[3]作為核心樞紐，負責門禁管理平臺與其他相關系統之間的數據流通。若該數據交換平臺無法直接滿足與所有關聯系統的數據交換需求，將采取靈活應對策略，允許出入平臺與第三方系統直接建立數據交換通道。

（2）門禁管理接口。平臺制定了詳細的第三方門禁系統接入統一出入平臺的規范標準，旨在實現兩者之間的高效協同。第三方門禁系統承擔從統一出入平臺獲取關鍵信息的任務，并同時向平臺返回刷卡流水記錄等數據。通過設立標準化的接口協議，不僅確保了多廠商門禁系統能夠順利接入統一出入平臺，還擴展了平臺的應用范圍與靈活性。通過接口可以實現門禁狀態的實時查詢、門禁設備工作狀態的監控、門禁設備的遠程操控命令發送、門禁黑白名單的上傳與下載，以及門禁刷卡流水記錄的自動化上傳等功能。

（3）設備接入規范。制定了詳盡的終端設備接入平臺規范，以支持來自不同廠商、種類繁多、型號各異的終端設備順利接入。規范明確界定了門禁記錄的類型與格式標準，確保各類終端設備產生的門禁數據能夠統一、準確地被平臺識別與處理。通過遵循這些規范，能夠實現多廠商、多類型、多型號終端設備的無縫集成，進一步提升平臺的整體效能與用戶體驗。

3.2" "傳輸層

傳輸層負責在終端設備與應用平臺之間搭建起高效的信息傳輸通道，為實現這一目標，平臺支持多種通信方式，包括但不限于局域網連接、Wi-Fi無線傳輸以及傳統的485總線通信，以靈活應對不同的應用場景。在傳輸協議的選擇上，優先采用TCP/IP作為主要的傳輸模式，以確保數據傳輸的可靠性、穩定性和高效性；同時，Wi-Fi作為輔助手段，也進一步增強了數據傳輸的靈活性和便捷性。

3.3" "感知層

感知層作為智慧校園出入管理的核心基礎，為用戶構建了一個多元化、便捷化的門禁、門鎖及道閘等應用場景。在這一層次上，用戶能夠輕松利用校園卡、虛擬卡等多種身份識別媒介，與各類智能終端設備進行高效的信息交互。這種信息交互不僅簡化了出入管理流程，還極大地提升了用戶體驗，使得智慧校園的出入管理更加智能化、人性化。

4" " "平臺組成及接入模式

4.1" "平臺組成

統一出入平臺與校內多個業務系統實現數據交換，可實現基礎數據及權限統一管理，具備開放性，可與多個廠商門禁系統接入或多個硬件廠商設備直接接入。同時兼有門禁管理和監控功能，依據模塊化、分布式部署[4]、低耦合原則構建。平臺主要由平臺門戶、管理系統、門禁業務服務、門禁前置服務、監控平臺、監控服務、數據交換服務等部分組成（如圖2所示）。

（1）平臺門戶基于Web的平臺門戶，實現分級權限管理、基礎數據管理、第三方門禁系統接入管理、數據展示等。

（2）管理系統負責認證管理平臺運行的設備管理、參數管理、虛擬區域管理、授權授禁、數據統計分析等。

（3）門禁業務服務負責為采集工作站、門禁前置服務提供數據訪問和存儲服務。

（4）門禁前置服務通過調用門禁業務服務接口，實現和統一出入平臺的數據交互，同時可以和門禁終端設備直接通訊，實現設備數據上傳下載、設備狀態獲取等。

（5）監控平臺負責展示各類監控數據、報警數據，使用電子地圖、表格、圖形多種形式展示。

（6）監控服務負責監控設備狀態、設備記錄、軟件服務狀態等，并為監控網站提供展示數據，可聯動輸出報警信息給第三方系統。

（7）數據交換服務負責與各關聯業務系統交互，從關聯業務系統獲取用戶、組織機構、宿舍、房產等基礎數據，向關聯業務系統提供或推送門禁業務數據，為數據挖掘系統提供數據支撐。

4.2" "平臺接入模式

針對各認證系統，統一出入平臺提供3種接入模式，分別是直接設備接入模式、前置機接入模式和系統級接入模式，適用于不同的對接場景。

（1）直接設備接入模式：第三方門禁系統設備通過校園網、一卡通專網等多樣化通道直接與平臺相連，與平臺的門禁前置機進行交互。這種方式實現了對門禁設備的全面管控、數據通信及業務功能的無縫對接。它適用于已遵循平臺設備接入規范的系統，無論是已建成的門禁設備，還是新建成的門禁系統設備，都可以通過這種方式接入，并由統一身份認證管理平臺統一接管原有系統的功能。

（2）前置機接入模式：針對新建或相對獨立的門禁系統采用前置機接入模式。該模式遵循平臺的前置接入規范標準，通過前置機作為橋梁將門禁系統與管理平臺連接起來，實現門禁設備的有效管理、數據通信及業務功能的順暢交互。對于新增的門禁控制器，若其協議與平臺直接接入不兼容，也可通過前置機進行協議格式的轉換，從而實現無縫、透明的接入，確保系統的兼容性和擴展性。

（3）系統級接入模式：系統接入模式是一種更高層次的對接方式，它通過系統接口或數據庫層面的對接，能夠將原有門禁系統產生的流水數據實時同步到門禁管理平臺，并統一存放在統一身份認證管理平臺的數據庫中。這種方式不僅實現了數據的集中管理和分析，還確保了出入平臺與其他校園管理系統的數據一致性和協同性，為校園智慧化管理提供了堅實的數據基礎。

4.3" "平臺數據交換

統一出入平臺基礎數據來源于校內多個業務系統，第三方門禁系統刷卡流水記錄需要提供給門禁管理系統。統一出入平臺與關聯業務系統之間的數據交互支持手動和定時自動同步等方式，實現數據交換。在統一出入平臺和第三方關聯系統之間部署數據交換平臺，所有第三方系統都和數據交換中心做數據交換，統一出入平臺通過統一的接口與數據交換平臺進行數據同步。

5" " "平臺安全機制

5.1" "數據傳輸安全方案

在網絡環境中傳輸數據時，若缺乏數據加密等安全防范措施，或采用固定密鑰[5]的加密方式，將面臨數據易被截獲、破解、偽造及篡改的風險，進而引發后臺數據混亂。通過軟件精心管理“終端—密鑰”的映射關系，每個終端在系統中均被分配唯一的開通密鑰和工作密鑰。開通密鑰負責首次通訊時的終端身份驗證及工作密鑰的安全傳輸，而工作密鑰則進一步用于加密每次會話生成的臨時驗證密鑰與臨時加密密鑰，確保每次數據傳輸均使用獨一無二的臨時密鑰進行加密，從而極大地提升了信息通訊和數據傳輸的安全性，使其難以被破解。

針對讀卡機具與中心數據庫服務器、應用系統服務器之間的通信安全，系統實施了嚴格的注冊管理制度，僅允許已注冊的機具和卡片參與數據傳輸。同時，為防止刷卡流水數據在傳輸過程中被篡改，系統對所有刷卡數據進行校驗處理。一旦發現數據異常，系統將自動觸發重新采集機制，并智能篩選出未被篡改的有效數據，確保數據的準確性和完整性。

5.2" "數據庫信息安全驗證

為了保障平臺數據庫中基礎數據、刷卡記錄等關鍵信息的絕對安全，平臺實施了嚴格的數據校驗機制。為每一條數據都附加了日期戳和專用的校驗字段，通過這些技術手段，可以有效監控并驗證數據的完整性和真實性。

5.3" "平臺軟件安全機制

平臺軟件架構涵蓋了兩大核心部分：首先是基礎性的系統軟件，它作為所有進出平臺的統一門戶，確保系統安全有序；其次是應用系統軟件，這些軟件與平臺緊密關聯，實現具體業務功能。

在構建統一出入平臺的系統軟件時，著重從四個維度強化安全與管理：登錄驗證機制確保只有合法用戶能訪問系統，通過控制策略攔截非法客戶端的請求；權限管理系統則細化操作員的角色與職責，限制操作范圍至其權限內；數據庫防護層面，采用數據校驗與定期掃描機制，預防合法用戶誤操作或惡意篡改關鍵數據；操作日志記錄功能，為系統行為追溯提供了堅實的數據基礎，確保任何操作都可追溯、可查詢[6]。

5.4" "終端設備安全管理

統一出入平臺中涉及眾多的設備管理，包括：卡片、門禁讀頭、門禁控制器、門鎖、中心數據庫服務器、應用系統服務器、網絡交換機、路由器和網絡線路等。這些設備的安全是整個統一出入平臺安全、穩定運行的基礎。統一出入平臺需要對所有的門禁終端設備進行統一的管理和備案。系統中的終端機具要有信息管理功能，符合整體的安全要求，后臺數據中心接收到的所有交易記錄必須是系統備案和授權的終端機具產生的。

5.5" "接口訪問安全機制

為了加固統一出入平臺WebService接口[7]的安全性，充分利用Windows系統的IIS服務器，它提供了三種靈活的WebService訪問控制模式：匿名訪問、Windows集成驗證以及數字證書[8]服務。考慮到不同用戶的訪問需求及減輕開發負擔，本設計巧妙地將這三種模式[9]整合于一體，使得用戶只需通過修改配置文件中的設置，即可輕松切換訪問模式，而無須改動代碼。在調用WebService的登錄功能時，采取了額外的安全措施：將用戶名與一次性的隨機SessionID記錄至數據庫中，并將該SessionID加密后返給請求方，由應用程序妥善保存。這一策略顯著提升了WebService接口的安全性，有效抵御了潛在的安全威脅。

6" " "結束語

基于虛擬卡的統一出入平臺能夠顯著提升校園的安全防護水平，平臺通過高精度的身份驗證機制，確保只有授權人員方能進出校園，有效遏制了非授權訪問，增強了校園的安全防線。平臺具備強大的數據記錄與分析功能，能夠實時捕捉并保存所有出入信息，為校園管理者提供了寶貴的數據資源。這些數據不僅有助于管理者全面了解校園動態，還能輔助其制定更加科學合理的決策策略，推動校園管理的精細化與智能化發展。統一出入平臺還在提升師生體驗、促進教育資源共享以及加速校園數字化轉型升級等方面發揮著積極作用。

主要參考文獻

［1］劉恩軍.基于虛擬卡的新型校園一卡通系統［J］.齊齊哈爾大學學報（自然科學版），2021，37（5）：31-34.

［2］王麗，杜鵬程，許一鳴，等.基于分層架構模式識別的軟件架構重構技術［J］.電子學報，2021，49（1）：201-208.

［3］程子傲，董博，趙悅，等.基于Kettle的數據交換平臺研究與實踐［J］.遼寧大學學報（自然科學版），2018，45（1）：13-18.

［4］郭延臣，徐沛東，王振，等.一種分布式文件集中管理部署系統［J］.電子技術與軟件工程，2023，2：212-215.

［5］蘇威積，湯敬浩，李劍.一種對稱密鑰的密鑰管理方法及系統［J］.信息安全研究，2018，4（1）：80-83.

［6］付健，沈蘇彬.一種基于SDN的QoS應用編程接口設計方案［J］.計算機技術與發展，2015，25（11）：99-104.

［7］李明欣，張靚，申巧俐.基于WebService的Android移動訪問方案［J］.成都航空職業技術學院學報，2017，33（1）：58-60.

［8］劉學忠，李冰雨，王聰麗，等.一種集成化的PKI數字證書驗證安全增強方案［J］.計算機應用研究，2020，37（7）：2104-2107.

［9］劉偉，孫童心，杜薇面.向訪問模式的混合內存緩存替換策略［J］.計算機科學，2020，47（10）：130-135.

［收稿日期］2024-06-18

［作者簡介］李虎群（1982— ），男，碩士，工程師，主要研究方向：網絡安全、物聯網。