汕頭職業(yè)技術學院由院本部、金園校區(qū)、新津校區(qū)和東墩校區(qū)組成，現有各類學生1.5×104多個，教職工700余人。根據學院信息化發(fā)展規(guī)劃及系統部署進程安排，院本部和金園校區(qū)要實現網絡同城互聯并啟動一卡通系統建設項目。該項目分前、后兩期工程，前期工程包括：食堂售飯系統、智能水控系統、圖書借閱系統等。后期工程包括：教務系統、上機管理系統、門禁考勤管理系統、智能控電系統、銀行圈存轉賬系統等的擴展和接入，真正實現信息與資源的共享，實現全面一卡通應用。本文根據學院校園一卡通系統的建設目標和需求，設計了該系統的技術解決方案并付諸實施。

    1系統建設目標及需求分析概述

    “校園一卡通”是指在學校范圍內，凡涉及到現金或身份識別的場合均采用卡來完成。該卡集學生證、工作證、身份證、借書證、錢包等于一體，達到證件、消費等收費和管理的電子化和智能化。

    一卡通系統建設要實現：1）形成統一的信息平臺，促進教育信息的標準化，構建優(yōu)良的數字空間和信息共享環(huán)境；2）在全校實現統一的電子支付和費用收繳管理，解決校園各類費用收繳煩、雜、難等問題；3）整合和帶動各類管理信息系統的建設，提升學校管理效率和管理水平；4）促進學校網絡應用平臺的建設，逐步完成校內應用系統體系結構的升級。

    系統的需求主要從業(yè)務、功能、技術等角度進行考察，下面筆者僅對技術需求分析進行論述。技術需求主要包括：1）身份信息來源于統一身份管理中心，數據同步機制基于統一的身份中心和數據中心；2）建設一卡通專網以提高系統安全性和可維護性；3）整合現有異構系統；4）卡片結構設計需具備身份認證信息區(qū)、電子錢包信息區(qū)、自定義信息區(qū)及多電子錢包并且有足夠冗余；5）可支持脫機支付；6）提供通用的開發(fā)接口，便于擴展和升級；7）須提供滿足各類應用的集成、開發(fā)、運行和管理工具。

    校園卡方面主要的需求如下：選用非接觸式射頻卡；終端感應距離范圍達到5~10cm；卡內的數據區(qū)存儲身份信息和電子錢包信息，卡片采用目錄式管理；卡中的個人身份信息包括持卡人的姓名、性別、學/工號、身份證號碼等信息。

    2系統總體設計

    本系統的總體設計包括：系統總體框架、軟件體系架構、數據流以及數據庫等。

    2.1系統總體框架

    系統由數據中心、一卡通平臺、接口服務器等三大部分構成。其中，一卡通平臺采用COM+技術整合了卡應用系統、自助系統和管理系統；接口服務器則采用COM/DELL接口技術連接圖書管理、教務系統、門禁系統等。如圖1所示。

    COM+是基于二進制組件和接口的編程，通過使用透明RPC層，可以跨越進程和計算機邊界進行遠程方法調用。COM+組件可以在成品中升級和擴展，不會對使用它們的客戶端應用程序造成影響。COM+把COM組件提升到應用層，它通過操作系統的各種支持，把所有組件的底層細節(jié)屏蔽。

    良好接口技術的運用使該架構伸縮性良好，耦合度低，便于升級擴充。

    2.2軟件體系架構

    軟件體系架構如圖2所示。系統采用.NET開發(fā)環(huán)境，提供以COM+為中間通訊組件的三層結構，軟件體系架構由數據層、業(yè)務層和表現層組成。其中，業(yè)務層（即中間層）主要負責業(yè)務規(guī)則、數據訪問、合法性校驗等工作。采用三層體系的應用程序最大的優(yōu)點是把業(yè)務邏輯獨立出來，客戶端不直接與數據庫進行交互，而是通過COM/DCOM通訊與中間層建立連接，再由中間層與數據庫進行交互。在業(yè)務邏輯需要改變時不影響表現層和后端數據服務層，因此，它能夠滿足校園一卡通應用程序可伸縮性或可擴展性的需求。同時，該系統為財務系統、教務管理系統等其它系統提供標準接口、API、動態(tài)庫、第三方代理等，實時處理來自其它系統的業(yè)務請求，實現與其它系統的整合。

    2.3數據流圖

    系統主要的用戶群是學生和教職員工，因此，在對系統的數據流進行分析時筆者重點關注系統用戶的數據流向。由于系統功能龐大，數據流層次較多，為簡要說明系統的運行機制，此處僅將最為重要的頂層數據流圖作重點分析。數據流圖如圖3、圖4所示。系統的外部實體主要包括學生、教工、臨時人員以及管理員等；系統對數據的加工主要包括持卡人資料管理、卡用戶管理、系統管理、交易處理、銀行前置機以及帳務處理等；數據存儲主要包含歷史交易表、帳戶劃結表、日結月結明細報表以及統計報表等。

    3數據庫模型設計

    系統采用SQLServer2000數據庫管理系統。在系統數據庫中用于不同功能的表較多，主要有2類表：
    1）基本功能表。此類表的主要作用是記錄其它表所需要的一些基礎輔助信息。包括用戶密碼、學生個人信息、教師個人信息相應的表、消費記錄信息表等；

    2）功能操作表。此類表用于記錄各系統功能操作生成的數據。

    數據庫的設計對于系統最終是否取得成功關系重大，各表及其字段的定義將直接影響到用戶使用的效果。特別是與用戶消費記錄、系統帳務記錄等相關的數據表的設計，更是重中之重。因此，采用性能良好的數據庫管理平臺對系統運行的穩(wěn)定性和底層數據的安全性將起到關鍵作用。

{$page$}

    本系統采用二維關系數據庫表，由于表數目較多，數據量龐大，而一卡通系統對數據記錄的計算、查詢、篩選以及排序等操作的性能（如時間、空間開銷）要求較高，因此，本系統采用較為先進的基于中間層的軟件體系結構，由中間層與系統數據庫進行交互，這種交互封裝在特定的數據庫訪問模塊中，可確保數據庫操作的獨立性和可靠性。

    4系統安全設計

    為了確保一卡通系統運行的高可靠性和可用性，必須針對卡片進行安全方面的規(guī)劃，同時，網絡信息安全也不可忽視。

    4.1校園卡安全設計

    針對校園卡的安全性，主要采取卡加密、備份、性能檢驗以及信息分區(qū)等方法來確?？ㄆ褂玫陌踩玔4]。具體安全方案如下：

    1）卡區(qū)加密?？ü卜譃?2個區(qū)，每個區(qū)都有獨立的密碼信息，在對每個區(qū)的信息進行讀寫前，都要先進行密碼校驗，校驗正確后才能對本區(qū)的信息進行訪問；

    2）信息備份?？▋鹊男畔⒍疾捎脗浞莸姆椒ㄓ涗?次，這樣，信息的可靠性更有保證；

    3）性能檢驗。由于卡內存儲空間較大，系統在卡內記錄了詳細的金額信息，這些信息本身就有一套完善的信息校驗機制，POS機或軟件系統可根據校驗信息確定卡的有效性；

    4）信息分區(qū)。把金額信息和身份信息放在不同的分區(qū)，提高數據獨立性和可控性。

    4.2網絡安全設計思路

    一卡通系統的數據庫平臺連接在校園網上，為保證數據的安全性，應減少未授權的用戶訪問數據庫系統及應用系統。可采用靜態(tài)VLAN技術，將所有需要訪問數據庫服務器的主機和終端設備，指定到特定VLAN的端口，并將MAC地址與交換機端口進行綁定，確保數據訪問的合法性。

    另一方面，可采用基于校園網的VPN，即在校園網絡基礎設施上創(chuàng)建專用數據通信網絡。數據通過安全的加密隧道在校園網中傳輸，從而保證了通信的保密性和專有性。

    為了共享校園網資源，一卡通專網與校園網采用防火墻進行單通道通信，保證一卡通網絡能訪問校園網資源，但校園網不能訪問一卡通專網，從而防止可能的非法偵聽，使一卡通網絡上的設備能夠安全、穩(wěn)定的運行。

    5多校區(qū)一卡通系統建設

    多校區(qū)一卡通系統部署如圖5所示。

    為有效利用多校區(qū)校園網絡信息資源，在設計多校區(qū)一卡通系統時，要充分考慮學院各校區(qū)之間的互聯。本系統采用VPN通道將多校區(qū)一卡通分系統進行互聯，并設計了良好的系統運行機制以確保系統的穩(wěn)定性和統一性。

    校本部設立主中心，校區(qū)設立分中心并部署應急服務器及中間層。當VPN通道正常連通時，所有分中心業(yè)務都通過主中間層來處理；當VPN通道不通時，分中心中間層接管校區(qū)的業(yè)務；當VPN通道通暢后，程序將自動傳送最新業(yè)務數據到主服務器，并切換至主中間層。這種運行機制可以有效確保系統的健壯性。

    校園一卡通工程宜采用“統一規(guī)劃、分步實施”的建設思路。先從小規(guī)模的應用開始實施，再逐步過渡和擴展到中等規(guī)模的應用部署，最后真正實現“一卡通”建設的總體目標。經過詳細論證，本系統采用的主要技術參數如表1所示。

    6結語

    本系統采用基于中間層的軟件架構，在.NET框架下進行開發(fā)，數據庫采用SQLServer2000，系統運行在與校園網絡進行邏輯隔離的一卡通專網之上，良好的卡片安全和網絡安全機制確保了系統運行的可靠性。本系統功能強大，運行穩(wěn)定，可管理性和可擴展性強，實現了項目預定目標。