论文部分内容阅读
摘要:银行圈存系统是校园一卡通系统和银行系统的完全对接,是数字化校园建设的又一应用。文章通过对一卡通圈存系统的架构和安全进行了分析,给出了圈存系统的设计方案。
关键词:校园一卡通;圈存;设计
中图分类号:TP311文献标识码:A文章编号:1009-3044(2012)22-5291-04
Design and Implementation of Campus Card Credit for Load System
YUAN Xue-song
(Information Management Center, Anhui Normal University, Wuhu 241000, China)
Abstract: Credit for Load system is a complete docking of the campus card system and the banking system is another application of the digital campus construction. The article give a design program through the analysis of the Credit for Load system architecture and security.
Key words: campus smart card; credit for load; design
1概述
1.1校园一卡通简介
随着金卡工程建设的不断深入,在全国范围内种类繁多的卡基应用系统工程也得到蓬勃发展。特别是集成电路IC卡。例如:以13.56MHz的读写射频卡,此种卡片上存储有不可改写的唯一编号,一卡通系统中使用的是这个编号的压缩格式。由于其具有信息存储量大、安全保密性好、读卡简单快捷等优点,已在电信、金融、商贸、交通、社会保障、医疗、卫生保健、税务、公安、海关、工商、组织机构代码和城市公共事业管理等众多领域得到广泛的应用,并取得了初步的社会效益和经济效益。它对实现各级政府的政务电子化,加强廉政建设、提高现代化管理水平和人民生活的质量,推动整个社会信息化进程正发挥着重要的作用。
校园一卡通系统是以IC卡为信息载体的适用于校园内支付和管理的计算机网络系统。IC卡取代了学校管理和生活中所使用的各种个人证件和现金支付手段,实现生活消费、学籍管理、身份认证等多种功能。校园一卡通系统的使用不仅极大地方便了学生、教工,消除他们携带多种证件,大量使用现金或各种有价证券的烦恼。而且能够大大提高学校内部的管理水平,堵塞各种漏洞,真正做到收、支两条线。
校园一卡通将智能IC卡的强大功能与计算机网络的数字化理念融入校园,将学校各个系统连为一体,因此,校园一卡通系统是各个大学、中学建设数字化校园所必须的基础信息平台。
银校一卡通系统是以银行借记卡为校外结算媒介,IC卡为校内结算媒介,并建立了两卡之间的转账关系的校园一卡通系统。由于银行的介入,显然给校园一卡通系统增添了新的活力,银行现有的各种资源优势,使得该系统的应用更加广泛、支付手段更加灵活。与银行联网的校园卡可以在校内外银行网点和指定商户圈存、取现、消费,真正做到一卡能通校内外。
1.2校园IC卡功能简介
校园IC卡的功能主要体现在三个方面:身份认证、金融与电子钱包功能、管理功能。
1)身份认证
各终端机能够准确识别持卡人的身份及相关信息,并在终端机上做出相应决策,如准入或禁入、准借或禁借、允许或禁止选课、允许、限制或禁止消费等。
能便捷地对持卡人的权限进行管理,并通过计算机终端、触摸屏、电话语音系统等多种方式,根据持卡人的不同权限,实时实现卡的挂失、禁用以及个人信息或各种政务信息的修改或查询等。
2)金融与电子钱包功能
具备借记卡的全部功能,全部或部分具备贷记卡功能,并进入财务前台,实现报账过程中的现金入卡以及工资津贴奖金代发与各类费用的代缴代扣。能够灵活地设置收费项目及收费标准。
能够在校内各食堂、商店、机房、开水房等各终端网点实现消费或缴纳各种费用。各种消费或缴费应提供计次消费、单价消费或定值消费,以及在线消费或脱网消费等多种方式。在密码认证的基础上,可实现非限额消费。
3)管理功能
通过提供各种政务信息,使一卡通工程具有较强的管理功能,进一步提高学校的管理水平。各系统均应共享公用信息,提供多种方式的辅助管理功能,如门禁管理系统能够分时段设置开关门,并自动验证人员的进出权限,记录出入人员的基本信息和时间信息。水控管理系统能够针对校内的商业用水、绿化用水、公用浴室用水、开水房和学生宿舍用水、淋浴系统以及家属楼用水做到合理计费。电控管理系统通过预存电费制度以及设置用电终端的最大用电功率,做到无费停电、超载断电以及剩余电量与用电的查询,实现各办公楼、商业网点、家属楼和学生公寓用电的自助管理。图书管理系统与现有的汇文图书管理系统连接,能够实现校园卡图书借阅管理;宿舍管理系统与教室管理系统能够及时提供住宿与教室使用人员的基本情况以及床位与教室的利用情况,还应具备功能强大的校园网用户上网认证管理与自助缴费、校园计算机开方式机房安全认证管理和上网计费管理、电话自助缴费管理系统等。
1.3术语和定义
IC电子钱包:一种为方便持卡人小额消费而设计的校园IC卡应用。它支持圈存、消费等交易。
圈存:持卡人将其在银行相应帐户上的资金划转到电子钱包或电子存折中。圈存交易必须在金融终端上联机进行。一般情况下圈存到电子钱包中的资金不计付利息。
现金充值:标准圈存交易的延伸,主要的区别在于校园卡持卡人直接缴纳现金进行圈存处理,该交易需在校方手工充值点充值。
银行帐务主机:银行自行建设并运行的核心业务、数据处理主机。
银行管理网点:直接面向银行操作人员,完成当日日切、对帐等功能。
2圈存系统架构
2.1系统目标和原则
1)校园一卡通具有储蓄、取款、消费、身份认证、个人信息查询等功能
其应用覆盖校区综合消费系统,包括收、缴费及各类款项支取,校内各类小额消费;以及信息查询系统,包括身份认证,管理信息查询及统计分析等。整个系统应与银行系统和校内原有的软件系统及学校管理信息系统有良好的衔接。
在各个校区内,实现银行借记卡与校内电子钱包部分之间自动式和自助式两种形式的实时圈存转账,以及在校方自助终端查询持卡人银行账户信息。
2)强化异常信息处理,提高系统容错能力
在系统设计上充分考虑各类可能造成异常的情况,采取业务与技术相结合的手段确保完成相应的异常信息的处理,保证客户以及银行的资金安全。
3)充分利用银行现有核心业务系统的功能,提高系统整体的可靠性
银行已经建立了一套完善的后台帐务系统,提供了相应的记帐、资金清算、对帐等的基础功能,系统将充分利用这些基础资源来开发完整的IC卡交易,通过对成熟系统的有效重用可以提高系统整体的可靠性。
4)保证数据传输安全性
校园一卡通系统从卡片、终端、网络、软件、硬件、数据库等各个组成部分,到支付交易、数据存储、数据传输、数据处理、数据使用等各个环节,均遵从中国人民银行、银联POS机的密钥管理、数据加密、设备管理、交易报文等规范,有关专业银行以及国家计算机信息系统安全保护等级标准(GB 17859-1999),确保系统的安全性。
在整体实施方案中,我们将涉及到校园一卡通交易接口模块作为标准模块进行提供,保证校园一卡通接口数据处理统一化、标准化。
2.2系统架构图及数据流程图
整个系统的架构基于特色系统架构基础之上构建,如图1所示。系统主要由三个部分组成:
1)一卡通联机查询模块;
2)一卡通联机圈存转帐交易模块;
3)一卡通银行日终清算对帐模块。
2.3系统功能描述
2.3.1一卡通联机查询模块
自助圈存设备,除了自助圈存转帐功能外,还要实现账户余额查询。通过自助多媒体实现账户查询余额。通过圈存系统或多媒体终端发起查询余额交易请求数据流至银行方,银行方解析请求报文,做出查询响应,并结果返回至校方通讯前置机。
2.3.2一卡通联机圈存转帐交易模块
通过一台圈存机与银行对接,持卡人可以从银行卡上向校园卡自助充值转帐。一卡通系统首先是学校内部的一卡通,通过银行前置机可以实现和银行的转账。
联机圈存转帐交易模块提供完整的联机业务处理流程,提供包括单笔转帐充值等易,完成对于安全信息的处理、交易单据打印等功能。
图1圈存系统架构
图2圈存数据流程图
2.3.3一卡通银行日终清算对帐模块
主要的功能包括:每日由校方发来对帐数据与后台系统对帐处理、产生相应的清算数据由后台系统进行清算处理,产生每日的圈存转帐交易业务报表。
3圈存系统的安全机制
3.1加密传输敏感信息,传输信息采取MAC校验
使用符合国家规范、银行要求的加密体系,对网络传输的敏感数据进行加密传输,保证信息不会在网络上泄漏。
对于网络上传输的信息采取MAC校验的方式保证信息不会被非法篡改。
3.2加密保存敏感数据
使用符合国家规范、银行要求的加密体系,对数据库中保存的敏感数据进行加密保存,保证信息不会非法泄漏。
3.3对储存数据进行DAC校验,保证信息不被非法修改
使用符合国家规范、银行要求的加密体系,对数据库中储存的数据进行DAC校验,保证信息不会被非法修改。
3.4按交易授权,实现交易的访问控制
针对交易对不同级别的操作人员授权,实现交易的访问控制,同时记录相应的操作日志,便于审计和查询。
3.5利用现有安全体系,实现网络访问控制
外联企业接入网是银行网络的重要组成部分,覆盖面广,承载各类外联业务。保障接入网的安全非常重要,目前我行接入网的安全性主要体现在以下几个方面:
1)物理安全
网络实体的物理安全是网络安全的基础,包括网络的设备(对于接入网部分提供多层防火墙、入侵检测及入侵防御系统)、线路和环境等几个方面;保障网络物理安全,加强网络设备管理、通信线路管理和网络机房出入管理。
2)服务安全
关闭网络设备上不必要的协议和服务,保证协议和服务的安全性。严格控制各类外联业务交易数据报文的交换,确保交易的可靠性、完整性、安全性。充分利用现有的网络安全访问体系,制定了完整的访问控制策略。校方的一卡通系统网络与银行业务系统网络采用硬件物理隔离与软件“防火墙”方式加以隔离和保护。
3)安全制度
除了先进的网络安全设备和各种安全软件系统的支撑,单位还建立了完善的信息安全制度及操作规范,并配有一支高素质的IT专业技术团队。例如:专人负责对于中心机房网络设备及通信线路的24小时的管理和监控。
4一卡通联机交易系统的业务流程
4.1圈存转帐充值
4.1.1交易功能描述
通过校方圈存机完成圈存转帐充值,持卡人可将其已经在一卡通系统设置对应关系的银行卡中的资金划入到校园卡中。这种交易必须在校方圈存机上联机进行。
4.1.2业务处理流程
图3圈存转账流程
5结束语
银行圈存系统是校园一卡通系统和银行系统的完全对接,是数字化校园建设的又一应用,能够实现银行帐号到校园卡的转账,比人工转账服务更快捷、方便。当然,随着校园一卡通功能的不断拓展,安全性问题也日益突显。通过对校园一卡通系统安全问题的深入分析,采用一些有效的解决方案,就能杜绝了校园一卡通系统的安全隐患。
参考文献:
[1]王爱英.智能卡技术[M].2版.北京:清华大学出版社,2000.
[2]李一鸣,韩博.高校开放模式的数字校园建设探讨[J].中国教育信息化,2009(17):21-23.
[3]林葱,蔡秀珊.校园一卡通系统的设计与管理[J].科技广场,2006(7):57-59.
[4]刘建,张敦华.银证转账系统浅析[J].计算机与数字工程,2004(1).
[5]郭豫民.天津农行IC卡应用系统安全性研究[D] .成都:四川大学,2003.
[6]李胜利,孙名松,王海涛,李民.高校校园卡系统建设实践与思考[J].厦门大学学报:自然科学版,2007(S2):162-165.
[7] Andrew S.Tanenbaum,et.al.计算机网络[M].4版.潘爱民,等,译.北京:清华大学出版社,2003.
关键词:校园一卡通;圈存;设计
中图分类号:TP311文献标识码:A文章编号:1009-3044(2012)22-5291-04
Design and Implementation of Campus Card Credit for Load System
YUAN Xue-song
(Information Management Center, Anhui Normal University, Wuhu 241000, China)
Abstract: Credit for Load system is a complete docking of the campus card system and the banking system is another application of the digital campus construction. The article give a design program through the analysis of the Credit for Load system architecture and security.
Key words: campus smart card; credit for load; design
1概述
1.1校园一卡通简介
随着金卡工程建设的不断深入,在全国范围内种类繁多的卡基应用系统工程也得到蓬勃发展。特别是集成电路IC卡。例如:以13.56MHz的读写射频卡,此种卡片上存储有不可改写的唯一编号,一卡通系统中使用的是这个编号的压缩格式。由于其具有信息存储量大、安全保密性好、读卡简单快捷等优点,已在电信、金融、商贸、交通、社会保障、医疗、卫生保健、税务、公安、海关、工商、组织机构代码和城市公共事业管理等众多领域得到广泛的应用,并取得了初步的社会效益和经济效益。它对实现各级政府的政务电子化,加强廉政建设、提高现代化管理水平和人民生活的质量,推动整个社会信息化进程正发挥着重要的作用。
校园一卡通系统是以IC卡为信息载体的适用于校园内支付和管理的计算机网络系统。IC卡取代了学校管理和生活中所使用的各种个人证件和现金支付手段,实现生活消费、学籍管理、身份认证等多种功能。校园一卡通系统的使用不仅极大地方便了学生、教工,消除他们携带多种证件,大量使用现金或各种有价证券的烦恼。而且能够大大提高学校内部的管理水平,堵塞各种漏洞,真正做到收、支两条线。
校园一卡通将智能IC卡的强大功能与计算机网络的数字化理念融入校园,将学校各个系统连为一体,因此,校园一卡通系统是各个大学、中学建设数字化校园所必须的基础信息平台。
银校一卡通系统是以银行借记卡为校外结算媒介,IC卡为校内结算媒介,并建立了两卡之间的转账关系的校园一卡通系统。由于银行的介入,显然给校园一卡通系统增添了新的活力,银行现有的各种资源优势,使得该系统的应用更加广泛、支付手段更加灵活。与银行联网的校园卡可以在校内外银行网点和指定商户圈存、取现、消费,真正做到一卡能通校内外。
1.2校园IC卡功能简介
校园IC卡的功能主要体现在三个方面:身份认证、金融与电子钱包功能、管理功能。
1)身份认证
各终端机能够准确识别持卡人的身份及相关信息,并在终端机上做出相应决策,如准入或禁入、准借或禁借、允许或禁止选课、允许、限制或禁止消费等。
能便捷地对持卡人的权限进行管理,并通过计算机终端、触摸屏、电话语音系统等多种方式,根据持卡人的不同权限,实时实现卡的挂失、禁用以及个人信息或各种政务信息的修改或查询等。
2)金融与电子钱包功能
具备借记卡的全部功能,全部或部分具备贷记卡功能,并进入财务前台,实现报账过程中的现金入卡以及工资津贴奖金代发与各类费用的代缴代扣。能够灵活地设置收费项目及收费标准。
能够在校内各食堂、商店、机房、开水房等各终端网点实现消费或缴纳各种费用。各种消费或缴费应提供计次消费、单价消费或定值消费,以及在线消费或脱网消费等多种方式。在密码认证的基础上,可实现非限额消费。
3)管理功能
通过提供各种政务信息,使一卡通工程具有较强的管理功能,进一步提高学校的管理水平。各系统均应共享公用信息,提供多种方式的辅助管理功能,如门禁管理系统能够分时段设置开关门,并自动验证人员的进出权限,记录出入人员的基本信息和时间信息。水控管理系统能够针对校内的商业用水、绿化用水、公用浴室用水、开水房和学生宿舍用水、淋浴系统以及家属楼用水做到合理计费。电控管理系统通过预存电费制度以及设置用电终端的最大用电功率,做到无费停电、超载断电以及剩余电量与用电的查询,实现各办公楼、商业网点、家属楼和学生公寓用电的自助管理。图书管理系统与现有的汇文图书管理系统连接,能够实现校园卡图书借阅管理;宿舍管理系统与教室管理系统能够及时提供住宿与教室使用人员的基本情况以及床位与教室的利用情况,还应具备功能强大的校园网用户上网认证管理与自助缴费、校园计算机开方式机房安全认证管理和上网计费管理、电话自助缴费管理系统等。
1.3术语和定义
IC电子钱包:一种为方便持卡人小额消费而设计的校园IC卡应用。它支持圈存、消费等交易。
圈存:持卡人将其在银行相应帐户上的资金划转到电子钱包或电子存折中。圈存交易必须在金融终端上联机进行。一般情况下圈存到电子钱包中的资金不计付利息。
现金充值:标准圈存交易的延伸,主要的区别在于校园卡持卡人直接缴纳现金进行圈存处理,该交易需在校方手工充值点充值。
银行帐务主机:银行自行建设并运行的核心业务、数据处理主机。
银行管理网点:直接面向银行操作人员,完成当日日切、对帐等功能。
2圈存系统架构
2.1系统目标和原则
1)校园一卡通具有储蓄、取款、消费、身份认证、个人信息查询等功能
其应用覆盖校区综合消费系统,包括收、缴费及各类款项支取,校内各类小额消费;以及信息查询系统,包括身份认证,管理信息查询及统计分析等。整个系统应与银行系统和校内原有的软件系统及学校管理信息系统有良好的衔接。
在各个校区内,实现银行借记卡与校内电子钱包部分之间自动式和自助式两种形式的实时圈存转账,以及在校方自助终端查询持卡人银行账户信息。
2)强化异常信息处理,提高系统容错能力
在系统设计上充分考虑各类可能造成异常的情况,采取业务与技术相结合的手段确保完成相应的异常信息的处理,保证客户以及银行的资金安全。
3)充分利用银行现有核心业务系统的功能,提高系统整体的可靠性
银行已经建立了一套完善的后台帐务系统,提供了相应的记帐、资金清算、对帐等的基础功能,系统将充分利用这些基础资源来开发完整的IC卡交易,通过对成熟系统的有效重用可以提高系统整体的可靠性。
4)保证数据传输安全性
校园一卡通系统从卡片、终端、网络、软件、硬件、数据库等各个组成部分,到支付交易、数据存储、数据传输、数据处理、数据使用等各个环节,均遵从中国人民银行、银联POS机的密钥管理、数据加密、设备管理、交易报文等规范,有关专业银行以及国家计算机信息系统安全保护等级标准(GB 17859-1999),确保系统的安全性。
在整体实施方案中,我们将涉及到校园一卡通交易接口模块作为标准模块进行提供,保证校园一卡通接口数据处理统一化、标准化。
2.2系统架构图及数据流程图
整个系统的架构基于特色系统架构基础之上构建,如图1所示。系统主要由三个部分组成:
1)一卡通联机查询模块;
2)一卡通联机圈存转帐交易模块;
3)一卡通银行日终清算对帐模块。
2.3系统功能描述
2.3.1一卡通联机查询模块
自助圈存设备,除了自助圈存转帐功能外,还要实现账户余额查询。通过自助多媒体实现账户查询余额。通过圈存系统或多媒体终端发起查询余额交易请求数据流至银行方,银行方解析请求报文,做出查询响应,并结果返回至校方通讯前置机。
2.3.2一卡通联机圈存转帐交易模块
通过一台圈存机与银行对接,持卡人可以从银行卡上向校园卡自助充值转帐。一卡通系统首先是学校内部的一卡通,通过银行前置机可以实现和银行的转账。
联机圈存转帐交易模块提供完整的联机业务处理流程,提供包括单笔转帐充值等易,完成对于安全信息的处理、交易单据打印等功能。
图1圈存系统架构
图2圈存数据流程图
2.3.3一卡通银行日终清算对帐模块
主要的功能包括:每日由校方发来对帐数据与后台系统对帐处理、产生相应的清算数据由后台系统进行清算处理,产生每日的圈存转帐交易业务报表。
3圈存系统的安全机制
3.1加密传输敏感信息,传输信息采取MAC校验
使用符合国家规范、银行要求的加密体系,对网络传输的敏感数据进行加密传输,保证信息不会在网络上泄漏。
对于网络上传输的信息采取MAC校验的方式保证信息不会被非法篡改。
3.2加密保存敏感数据
使用符合国家规范、银行要求的加密体系,对数据库中保存的敏感数据进行加密保存,保证信息不会非法泄漏。
3.3对储存数据进行DAC校验,保证信息不被非法修改
使用符合国家规范、银行要求的加密体系,对数据库中储存的数据进行DAC校验,保证信息不会被非法修改。
3.4按交易授权,实现交易的访问控制
针对交易对不同级别的操作人员授权,实现交易的访问控制,同时记录相应的操作日志,便于审计和查询。
3.5利用现有安全体系,实现网络访问控制
外联企业接入网是银行网络的重要组成部分,覆盖面广,承载各类外联业务。保障接入网的安全非常重要,目前我行接入网的安全性主要体现在以下几个方面:
1)物理安全
网络实体的物理安全是网络安全的基础,包括网络的设备(对于接入网部分提供多层防火墙、入侵检测及入侵防御系统)、线路和环境等几个方面;保障网络物理安全,加强网络设备管理、通信线路管理和网络机房出入管理。
2)服务安全
关闭网络设备上不必要的协议和服务,保证协议和服务的安全性。严格控制各类外联业务交易数据报文的交换,确保交易的可靠性、完整性、安全性。充分利用现有的网络安全访问体系,制定了完整的访问控制策略。校方的一卡通系统网络与银行业务系统网络采用硬件物理隔离与软件“防火墙”方式加以隔离和保护。
3)安全制度
除了先进的网络安全设备和各种安全软件系统的支撑,单位还建立了完善的信息安全制度及操作规范,并配有一支高素质的IT专业技术团队。例如:专人负责对于中心机房网络设备及通信线路的24小时的管理和监控。
4一卡通联机交易系统的业务流程
4.1圈存转帐充值
4.1.1交易功能描述
通过校方圈存机完成圈存转帐充值,持卡人可将其已经在一卡通系统设置对应关系的银行卡中的资金划入到校园卡中。这种交易必须在校方圈存机上联机进行。
4.1.2业务处理流程
图3圈存转账流程
5结束语
银行圈存系统是校园一卡通系统和银行系统的完全对接,是数字化校园建设的又一应用,能够实现银行帐号到校园卡的转账,比人工转账服务更快捷、方便。当然,随着校园一卡通功能的不断拓展,安全性问题也日益突显。通过对校园一卡通系统安全问题的深入分析,采用一些有效的解决方案,就能杜绝了校园一卡通系统的安全隐患。
参考文献:
[1]王爱英.智能卡技术[M].2版.北京:清华大学出版社,2000.
[2]李一鸣,韩博.高校开放模式的数字校园建设探讨[J].中国教育信息化,2009(17):21-23.
[3]林葱,蔡秀珊.校园一卡通系统的设计与管理[J].科技广场,2006(7):57-59.
[4]刘建,张敦华.银证转账系统浅析[J].计算机与数字工程,2004(1).
[5]郭豫民.天津农行IC卡应用系统安全性研究[D] .成都:四川大学,2003.
[6]李胜利,孙名松,王海涛,李民.高校校园卡系统建设实践与思考[J].厦门大学学报:自然科学版,2007(S2):162-165.
[7] Andrew S.Tanenbaum,et.al.计算机网络[M].4版.潘爱民,等,译.北京:清华大学出版社,2003.