汕頭職業(yè)技術(shù)學院由院本部、金園校區(qū)、新津校區(qū)和東墩校區(qū)組成，現(xiàn)有各類學生1.5×104多個，教職工700余人。根據(jù)學院信息化發(fā)展規(guī)劃及系統(tǒng)部署進程安排，院本部和金園校區(qū)要實現(xiàn)網(wǎng)絡(luò)同城互聯(lián)并啟動一卡通系統(tǒng)建設(shè)項目。該項目分前、后兩期工程，前期工程包括：食堂售飯系統(tǒng)、智能水控系統(tǒng)、圖書借閱系統(tǒng)等。后期工程包括：教務(wù)系統(tǒng)、上機管理系統(tǒng)、門禁考勤管理系統(tǒng)、智能控電系統(tǒng)、銀行圈存轉(zhuǎn)賬系統(tǒng)等的擴展和接入，真正實現(xiàn)信息與資源的共享，實現(xiàn)全面一卡通應(yīng)用。本文根據(jù)學院校園一卡通系統(tǒng)的建設(shè)目標和需求，設(shè)計了該系統(tǒng)的技術(shù)解決方案并付諸實施。

    1系統(tǒng)建設(shè)目標及需求分析概述

    “校園一卡通”是指在學校范圍內(nèi)，凡涉及到現(xiàn)金或身份識別的場合均采用卡來完成。該卡集學生證、工作證、身份證、借書證、錢包等于一體，達到證件、消費等收費和管理的電子化和智能化。

    一卡通系統(tǒng)建設(shè)要實現(xiàn)：1）形成統(tǒng)一的信息平臺，促進教育信息的標準化，構(gòu)建優(yōu)良的數(shù)字空間和信息共享環(huán)境；2）在全校實現(xiàn)統(tǒng)一的電子支付和費用收繳管理，解決校園各類費用收繳煩、雜、難等問題；3）整合和帶動各類管理信息系統(tǒng)的建設(shè)，提升學校管理效率和管理水平；4）促進學校網(wǎng)絡(luò)應(yīng)用平臺的建設(shè)，逐步完成校內(nèi)應(yīng)用系統(tǒng)體系結(jié)構(gòu)的升級。

    系統(tǒng)的需求主要從業(yè)務(wù)、功能、技術(shù)等角度進行考察，下面筆者僅對技術(shù)需求分析進行論述。技術(shù)需求主要包括：1）身份信息來源于統(tǒng)一身份管理中心，數(shù)據(jù)同步機制基于統(tǒng)一的身份中心和數(shù)據(jù)中心；2）建設(shè)一卡通專網(wǎng)以提高系統(tǒng)安全性和可維護性；3）整合現(xiàn)有異構(gòu)系統(tǒng)；4）卡片結(jié)構(gòu)設(shè)計需具備身份認證信息區(qū)、電子錢包信息區(qū)、自定義信息區(qū)及多電子錢包并且有足夠冗余；5）可支持脫機支付；6）提供通用的開發(fā)接口，便于擴展和升級；7）須提供滿足各類應(yīng)用的集成、開發(fā)、運行和管理工具。

    校園卡方面主要的需求如下：選用非接觸式射頻卡；終端感應(yīng)距離范圍達到5~10cm；卡內(nèi)的數(shù)據(jù)區(qū)存儲身份信息和電子錢包信息，卡片采用目錄式管理；卡中的個人身份信息包括持卡人的姓名、性別、學/工號、身份證號碼等信息。

    2系統(tǒng)總體設(shè)計

    本系統(tǒng)的總體設(shè)計包括：系統(tǒng)總體框架、軟件體系架構(gòu)、數(shù)據(jù)流以及數(shù)據(jù)庫等。

    2.1系統(tǒng)總體框架

    系統(tǒng)由數(shù)據(jù)中心、一卡通平臺、接口服務(wù)器等三大部分構(gòu)成。其中，一卡通平臺采用COM+技術(shù)整合了卡應(yīng)用系統(tǒng)、自助系統(tǒng)和管理系統(tǒng)；接口服務(wù)器則采用COM/DELL接口技術(shù)連接圖書管理、教務(wù)系統(tǒng)、門禁系統(tǒng)等。如圖1所示。

    COM+是基于二進制組件和接口的編程，通過使用透明RPC層，可以跨越進程和計算機邊界進行遠程方法調(diào)用。COM+組件可以在成品中升級和擴展，不會對使用它們的客戶端應(yīng)用程序造成影響。COM+把COM組件提升到應(yīng)用層，它通過操作系統(tǒng)的各種支持，把所有組件的底層細節(jié)屏蔽。

    良好接口技術(shù)的運用使該架構(gòu)伸縮性良好，耦合度低，便于升級擴充。

    2.2軟件體系架構(gòu)

    軟件體系架構(gòu)如圖2所示。系統(tǒng)采用.NET開發(fā)環(huán)境，提供以COM+為中間通訊組件的三層結(jié)構(gòu)，軟件體系架構(gòu)由數(shù)據(jù)層、業(yè)務(wù)層和表現(xiàn)層組成。其中，業(yè)務(wù)層（即中間層）主要負責業(yè)務(wù)規(guī)則、數(shù)據(jù)訪問、合法性校驗等工作。采用三層體系的應(yīng)用程序最大的優(yōu)點是把業(yè)務(wù)邏輯獨立出來，客戶端不直接與數(shù)據(jù)庫進行交互，而是通過COM/DCOM通訊與中間層建立連接，再由中間層與數(shù)據(jù)庫進行交互。在業(yè)務(wù)邏輯需要改變時不影響表現(xiàn)層和后端數(shù)據(jù)服務(wù)層，因此，它能夠滿足校園一卡通應(yīng)用程序可伸縮性或可擴展性的需求。同時，該系統(tǒng)為財務(wù)系統(tǒng)、教務(wù)管理系統(tǒng)等其它系統(tǒng)提供標準接口、API、動態(tài)庫、第三方代理等，實時處理來自其它系統(tǒng)的業(yè)務(wù)請求，實現(xiàn)與其它系統(tǒng)的整合。

    2.3數(shù)據(jù)流圖

    系統(tǒng)主要的用戶群是學生和教職員工，因此，在對系統(tǒng)的數(shù)據(jù)流進行分析時筆者重點關(guān)注系統(tǒng)用戶的數(shù)據(jù)流向。由于系統(tǒng)功能龐大，數(shù)據(jù)流層次較多，為簡要說明系統(tǒng)的運行機制，此處僅將最為重要的頂層數(shù)據(jù)流圖作重點分析。數(shù)據(jù)流圖如圖3、圖4所示。系統(tǒng)的外部實體主要包括學生、教工、臨時人員以及管理員等；系統(tǒng)對數(shù)據(jù)的加工主要包括持卡人資料管理、卡用戶管理、系統(tǒng)管理、交易處理、銀行前置機以及帳務(wù)處理等；數(shù)據(jù)存儲主要包含歷史交易表、帳戶劃結(jié)表、日結(jié)月結(jié)明細報表以及統(tǒng)計報表等。

    3數(shù)據(jù)庫模型設(shè)計

    系統(tǒng)采用SQLServer2000數(shù)據(jù)庫管理系統(tǒng)。在系統(tǒng)數(shù)據(jù)庫中用于不同功能的表較多，主要有2類表：
    1）基本功能表。此類表的主要作用是記錄其它表所需要的一些基礎(chǔ)輔助信息。包括用戶密碼、學生個人信息、教師個人信息相應(yīng)的表、消費記錄信息表等；

    2）功能操作表。此類表用于記錄各系統(tǒng)功能操作生成的數(shù)據(jù)。

    數(shù)據(jù)庫的設(shè)計對于系統(tǒng)最終是否取得成功關(guān)系重大，各表及其字段的定義將直接影響到用戶使用的效果。特別是與用戶消費記錄、系統(tǒng)帳務(wù)記錄等相關(guān)的數(shù)據(jù)表的設(shè)計，更是重中之重。因此，采用性能良好的數(shù)據(jù)庫管理平臺對系統(tǒng)運行的穩(wěn)定性和底層數(shù)據(jù)的安全性將起到關(guān)鍵作用。

{$page$}

    本系統(tǒng)采用二維關(guān)系數(shù)據(jù)庫表，由于表數(shù)目較多，數(shù)據(jù)量龐大，而一卡通系統(tǒng)對數(shù)據(jù)記錄的計算、查詢、篩選以及排序等操作的性能（如時間、空間開銷）要求較高，因此，本系統(tǒng)采用較為先進的基于中間層的軟件體系結(jié)構(gòu)，由中間層與系統(tǒng)數(shù)據(jù)庫進行交互，這種交互封裝在特定的數(shù)據(jù)庫訪問模塊中，可確保數(shù)據(jù)庫操作的獨立性和可靠性。

    4系統(tǒng)安全設(shè)計

    為了確保一卡通系統(tǒng)運行的高可靠性和可用性，必須針對卡片進行安全方面的規(guī)劃，同時，網(wǎng)絡(luò)信息安全也不可忽視。

    4.1校園卡安全設(shè)計

    針對校園卡的安全性，主要采取卡加密、備份、性能檢驗以及信息分區(qū)等方法來確?？ㄆ褂玫陌踩玔4]。具體安全方案如下：

    1）卡區(qū)加密?？ü卜譃?2個區(qū)，每個區(qū)都有獨立的密碼信息，在對每個區(qū)的信息進行讀寫前，都要先進行密碼校驗，校驗正確后才能對本區(qū)的信息進行訪問；

    2）信息備份?？▋?nèi)的信息都采用備份的方法記錄2次，這樣，信息的可靠性更有保證；

    3）性能檢驗。由于卡內(nèi)存儲空間較大，系統(tǒng)在卡內(nèi)記錄了詳細的金額信息，這些信息本身就有一套完善的信息校驗機制，POS機或軟件系統(tǒng)可根據(jù)校驗信息確定卡的有效性；

    4）信息分區(qū)。把金額信息和身份信息放在不同的分區(qū)，提高數(shù)據(jù)獨立性和可控性。

    4.2網(wǎng)絡(luò)安全設(shè)計思路

    一卡通系統(tǒng)的數(shù)據(jù)庫平臺連接在校園網(wǎng)上，為保證數(shù)據(jù)的安全性，應(yīng)減少未授權(quán)的用戶訪問數(shù)據(jù)庫系統(tǒng)及應(yīng)用系統(tǒng)。可采用靜態(tài)VLAN技術(shù)，將所有需要訪問數(shù)據(jù)庫服務(wù)器的主機和終端設(shè)備，指定到特定VLAN的端口，并將MAC地址與交換機端口進行綁定，確保數(shù)據(jù)訪問的合法性。

    另一方面，可采用基于校園網(wǎng)的VPN，即在校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施上創(chuàng)建專用數(shù)據(jù)通信網(wǎng)絡(luò)。數(shù)據(jù)通過安全的加密隧道在校園網(wǎng)中傳輸，從而保證了通信的保密性和專有性。

    為了共享校園網(wǎng)資源，一卡通專網(wǎng)與校園網(wǎng)采用防火墻進行單通道通信，保證一卡通網(wǎng)絡(luò)能訪問校園網(wǎng)資源，但校園網(wǎng)不能訪問一卡通專網(wǎng)，從而防止可能的非法偵聽，使一卡通網(wǎng)絡(luò)上的設(shè)備能夠安全、穩(wěn)定的運行。

    5多校區(qū)一卡通系統(tǒng)建設(shè)

    多校區(qū)一卡通系統(tǒng)部署如圖5所示。

    為有效利用多校區(qū)校園網(wǎng)絡(luò)信息資源，在設(shè)計多校區(qū)一卡通系統(tǒng)時，要充分考慮學院各校區(qū)之間的互聯(lián)。本系統(tǒng)采用VPN通道將多校區(qū)一卡通分系統(tǒng)進行互聯(lián)，并設(shè)計了良好的系統(tǒng)運行機制以確保系統(tǒng)的穩(wěn)定性和統(tǒng)一性。

    校本部設(shè)立主中心，校區(qū)設(shè)立分中心并部署應(yīng)急服務(wù)器及中間層。當VPN通道正常連通時，所有分中心業(yè)務(wù)都通過主中間層來處理；當VPN通道不通時，分中心中間層接管校區(qū)的業(yè)務(wù)；當VPN通道通暢后，程序?qū)⒆詣觽魉妥钚聵I(yè)務(wù)數(shù)據(jù)到主服務(wù)器，并切換至主中間層。這種運行機制可以有效確保系統(tǒng)的健壯性。

    校園一卡通工程宜采用“統(tǒng)一規(guī)劃、分步實施”的建設(shè)思路。先從小規(guī)模的應(yīng)用開始實施，再逐步過渡和擴展到中等規(guī)模的應(yīng)用部署，最后真正實現(xiàn)“一卡通”建設(shè)的總體目標。經(jīng)過詳細論證，本系統(tǒng)采用的主要技術(shù)參數(shù)如表1所示。

    6結(jié)語

    本系統(tǒng)采用基于中間層的軟件架構(gòu)，在.NET框架下進行開發(fā)，數(shù)據(jù)庫采用SQLServer2000，系統(tǒng)運行在與校園網(wǎng)絡(luò)進行邏輯隔離的一卡通專網(wǎng)之上，良好的卡片安全和網(wǎng)絡(luò)安全機制確保了系統(tǒng)運行的可靠性。本系統(tǒng)功能強大，運行穩(wěn)定，可管理性和可擴展性強，實現(xiàn)了項目預(yù)定目標。