“银校卡”模式在东华大学一卡通系统中的应用

    注：Key AlB表示密码A或密码B，Never表示没有条件实现；x=0~15，y=块O、块1、块2

    例如当某区块0的存取控制位C10，C20，C30 的设置均为100时，表示验证密码A或密码B正确后可读出其数据；只有验证密码B正确后才可允许改写数据；不能进行加值、减值等操作．

    据此通过授权机制，对特定操作用户实现不同级别的读写控制．只有知道特定密码组合的操作用户才能更新卡中数据，从而大大增强了系统的安全性．

1．2 扇区规划 

    M1卡虽然有15个扇区可用(第0扇区用于厂商代码，不可用)，但对于松江大学城的一卡通应用来说，必须对这些扇区做合理的规划．

    松江大学城共有7所大学，由同一家银行发卡，银行每发一张卡会自动生成一个卡号．因为安全性的考虑，银行扇区对于学校来说是个黑匣子，读写扇区都需要专门的POS机以及专门的接口软件，给学校的一卡通应用扩展带来不便．7所大学如果要有自己的应用，则必须要有自己的扇区，因此，必须合理地规划扇区．在松江大学城的一卡通应用中，将15个扇区分为两部分：前10个扇区为银行扇区，留做银行功能扩展；后5 个扇区为学校扇区，学校扇区的密码为各所学校所拥有．这样，各所学校可以在自己的扇区内进行各自的应用．当然，如果今后各所学校联系紧密了，可以再开一个具有公共密钥的“公共扇区”．

    这样会带来一个问题，就是二次发卡．因为学校自己的扇区必须学校自己来写卡，这样每张卡银行发一次，学校又要发一次，给实际的应用带来麻烦．设置“共享扇区”可以很好地解决这一问题．所谓“共享”，即与银行扇区共享信息：包括卡号、持卡人姓名、学工号、身份证号、性别、部门等．在银行发卡时，将银行扇区部分对学校有用信息复制到学校扇区来，学校可以避免二次发卡．具体的写扇区数据结构可以由学校来定义，东华大学“共享扇区”数据结构如图1所示．个人编号：ASC型，例如：“A20004321” = 0x65 Ox32 Ox3O Ox3O Ox3O Ox34 Ox33 Ox32 Ox3 1；部门编号：ASC一>BCD型，例如：“9212o1”=0x92 0xl2 0x01，其他不再赘述．

图1 共享扇区数据结构

1．3 系统架构及数据运行 

    一卡通系统是在校园网的基础上，通过划分一卡通虚拟子网的方式与校园网公网隔离，该虚网与其他虚网之间取消路由功能，并通过防火墙与校园网连接，从而在逻辑上与校园网隔开．专用的物理通道保证了各部分、各层次网络连接和信息传输的安全性．

    银行发卡、卡挂失、补卡数据流是通过数据同步机制在一卡通系统中运行的．整个同步系统是以共享数据库为中心，并作为权威数据源向各应用系统同步人员及组织数据，以保持各应用系统间人员数据及身份的一致和统一．

    目前东华大学的人员数据来源于人事处和教务处两个部门，分别管理着教工和学生的数据，卡管理中心也是从这两个部门获取申请开通一卡通服务的人员数据，然后把这些数据由卡中心审核后通过FTP提交给银行．当银行完成开通卡后，银行把开户信息和黑名单返回给卡管理中心(也包括卡挂失、补卡信息)．数据同步服务取得用户的各种变更信息及银行传送的黑名单信息后，将根据各应用系统的需要把相应的信息同步到各应用系统，如图书馆、机房等．

    食堂、超市、书店等带有消费POS机的地方，配置一台PC机，消费数据由PC机汇总，通过银行VPN上传银行专用服务器，同时将银行黑名单下载到各个POS机终端．消费数据的统计、结算、维护、安全等工作均由银行来完成，银行将持卡人的消费数据及各商户的统计报表传给学校．东华大学一卡通系统结构如图2所示．

图2 东华大学一卡通系统架构

2 东华大学一卡通系统的成功应用及不足 

    目前系统应用于在校的2万多名学生和2干多名教工．持卡人可以把这张卡作为普通的银联卡在任何银行或ATM／CDM上存款、取款，学生家长也可以在异地将生活费打在学生的账号里，持卡人可以通过校园内放置的自助圈存机或人工充值机将储蓄账户里的钱转到电子钱包中进行消费，可以在松江大学城的任何POS机上刷卡消费，可以在学校图书馆借书，可以刷卡上机，可以进行各种考勤、门禁，学生还可以进行体育锻炼达标测试，教师还可以刷卡乘班车．总之，一卡通作为师生身份的有效标识，集学生证或工作证、银行卡、借书证、医疗卡、就餐卡、上机卡等功能于一身，使“一卡在手，校园通用，全城通行”得以实 现，为整所学校的师生员工带来了极大的便利．

    同时，该方案也有不足之处．主要表现在：银行发卡、补办卡时间上还是比较慢，而且不方便，不如学校自己发卡快捷方便；数据同步机制的实现上， 存在一些问题，如对数据的同步监控、容错等．前一个问题可以通过和银行协调来尽量缩短发卡、补办卡时间，减少不便；后一个问题可以通过不断完善系统设计来解决．

3 结语 

    东华大学对安全、便捷、多功能的非接触式射频M1卡的扇区进行合理的规划，通过设立“共享扇区”，拓展了“银校卡”模式一卡通应用；稳定安全的系统架构，保证了一卡通系统的正常运行；通过卡数据的同步机制，使得校园一卡通系统成为学校数 字化校园建设的基础平台，对学校信息化建设起到重要的作用． 

作者简介：
姜 涛1969-)，男，江苏丹阳人，工程师硕士，研究方向为一卡通建设和管理工作．E-mail：raojiang@dhu.edu.cn
东华大学信息化办公室   姜 涛 刘素平 蒲 芳

参考文献 
[1] 黄丽萍．试论“校园一卡通”的运营模式与网络安全实现[J]．教育信息化(数字化校园)，2005，(4)：34—35．
[2] 马秀丽．MIFARE 1非接触式Ic卡的技术特点及应用浅析[J]．金卡工程，2005，(2)；46—50．
[3] 宋广为．MIFARE 1非接触式Ic射频卡的一卡通系统实现[J]．现代电子技术，2005，(11)：27—29．