葉鎰娟 徐鋒

摘 ?要： 針對現(xiàn)有校園卡系統(tǒng)存在的身份數(shù)據(jù)混亂、授權(quán)分散、認證流水不回收等缺陷，提出建設身份平臺與支付平臺分離、松耦合關(guān)聯(lián)的新一代校園卡體系，設計了基于認證和授權(quán)的新一代校園卡身份平臺架構(gòu)體系，重點實現(xiàn)校園卡身份的數(shù)據(jù)統(tǒng)一、認證授權(quán)集中、動態(tài)流水回傳等功能，為智慧校園數(shù)據(jù)分析挖掘提供基礎，為新一代校園卡建設提供參考模式。

關(guān)鍵詞： 新一代校園卡; 身份認證; 身份授權(quán); 智慧校園

中圖分類號：TP311 ? ? ? ? ?文獻標志碼：A ? ?文章編號：1006-8228（2015）01-21-03

Design of next generation campus card identifier platform with authentication and authorization

Ye Yijuan， Xu Feng

（Library and Information Center， Zhejiang University， Hangzhou， Zhejiang 310027， China）

Abstract： To solve the existing campus card system's issues， such as confused identification data， dispersed authentication and unrecyclable service log data， the next-generation campus card system is proposed by separating identification platform from payment platform and loose coupling among component.The next generation campus card identification platform architecture is designed based on authentication and authorization， which realizes the key functions of unified identification data， centralized authentication and dynamic service log data collection. It builds the foundation for data mining and analysis of wisdom campus， providing the reference model for the next generation campus card deployment.

Key words： next generation campus card; authentication; authorization; wisdom campus

0 引言

智慧校園的開展，對校園卡支撐及服務提出了更高的要求，新一代校園卡建設不僅需要解決支付問題，更需要解決基于校園卡身份認證和授權(quán)管理問題，為房產(chǎn)、財物、道閘、門禁等智慧應用提供服務。針對目前校園卡系統(tǒng)普遍存在的數(shù)據(jù)不完整，認證不統(tǒng)一，授權(quán)困難等問題，新一代校園卡的設計應注重核心數(shù)據(jù)倉庫建設，注重身份數(shù)據(jù)管理、身份數(shù)據(jù)授權(quán)和身份數(shù)據(jù)認證[1]。為此，我們設計了基于認證和授權(quán)的校園卡身份平臺架構(gòu)體系，該平臺體系集身份管理、授權(quán)和認證于一體，利用校園卡數(shù)據(jù)的完整性和權(quán)威性完成應用和服務的認證及授權(quán)，在此基礎上規(guī)范數(shù)據(jù)的統(tǒng)一回收和篩選規(guī)則，形成全校范圍的靜態(tài)身份數(shù)據(jù)中心和動態(tài)行為數(shù)據(jù)中心，為智慧校園的各類智能應用提供綜合決策分析[2]。

1 校園卡系統(tǒng)架構(gòu)現(xiàn)狀及身份管理問題

高校校園卡系統(tǒng)的身份管理模塊一般都架構(gòu)在學校統(tǒng)一身份認證中心和公共數(shù)據(jù)中心之上[3]。統(tǒng)一身份認證解決用戶身份的注冊、登錄，公共數(shù)據(jù)中心提供權(quán)威數(shù)據(jù)[4]，通過同步形成校園卡身份庫，最后由身份庫向一卡通系統(tǒng)提供身份數(shù)據(jù)以進行開卡、制卡，其架構(gòu)如圖1所示，身份庫服務的重點是一卡通綜合平臺及后臺管理系統(tǒng)。

[公共數(shù)據(jù)中心][統(tǒng)一身份認證][校園卡身份證][綜合前置機][前臺管理系統(tǒng)][查詢服務系統(tǒng)][校園卡綜合平臺][支持服務接口][支付類系統(tǒng)][身份服務接口][身份識別類系統(tǒng)][轉(zhuǎn)賬充值系統(tǒng)][銀行前置機]

圖1 ?現(xiàn)有校園卡系統(tǒng)架構(gòu)圖

該系統(tǒng)架構(gòu)在應用中暴露出以下一些問題。

⑴ 身份數(shù)據(jù)同步效率直接影響數(shù)據(jù)準確性和及時性。建立在數(shù)據(jù)中心和統(tǒng)一身份認證基礎上的校園卡管理系統(tǒng)，其身份數(shù)據(jù)分兩條線路從統(tǒng)一身份認證和公共數(shù)據(jù)中心獲取，由于同步的時間差或者同步過程網(wǎng)絡延遲，會出現(xiàn)數(shù)據(jù)獲取困難或上下數(shù)據(jù)不吻合的情況，對校園卡身份數(shù)據(jù)的權(quán)威性、校園卡制卡效率等影響很大。

⑵ 未實現(xiàn)基于校園卡身份的統(tǒng)一授權(quán)和統(tǒng)一認證?，F(xiàn)有校園卡身份數(shù)據(jù)只為新卡制作和支付交易提供認證，沒有實現(xiàn)基于該身份數(shù)據(jù)模塊直屬的認證和授權(quán)，第三方應用系統(tǒng)需通過與校園卡綜合平臺作數(shù)據(jù)交換作認證，沒有發(fā)揮校園卡身份數(shù)據(jù)應有作用，也增加綜合平臺的負擔。

⑶ 身份數(shù)據(jù)交換接口不完善、不統(tǒng)一，數(shù)據(jù)不回流。第三方應用隨需求不同而以多種方式與校園卡綜合平臺對接，接口復雜凌亂、時效性差、管理難度高，而業(yè)務流水回收機制的缺乏，造成數(shù)據(jù)只下發(fā)不回傳，動態(tài)業(yè)務數(shù)據(jù)流失。

⑷ 基于C/S架構(gòu)的校園卡綜合管理系統(tǒng)，依賴PSAM卡和動態(tài)SIOS及客戶端管理校園卡系統(tǒng)及用戶，適應性弱、受網(wǎng)絡和加密卡限制多，無法實現(xiàn)隨時隨地業(yè)務管理。

2 新一代校園卡身份平臺設計思路

考慮到現(xiàn)有系統(tǒng)所存在的問題及智慧校園的應用需求，新一代校園卡系統(tǒng)設計將校園卡身份數(shù)據(jù)庫與支付數(shù)據(jù)庫分離，分別建立校園卡身份平臺和校園卡支付平臺，兩平臺根據(jù)各自功能特長和主要任務獨立建設，再以松耦合方式進行關(guān)聯(lián)。身份平臺重點完成身份數(shù)據(jù)采集，解決基于校園卡的身份認證、授權(quán)，并作好數(shù)據(jù)的共享和挖掘，解決與校園卡相關(guān)的身份介質(zhì)管理;支付平臺負責校園卡的帳戶、交易和支付;卡片作為身份和支付的介質(zhì)，采取分離和捆綁相結(jié)合的發(fā)卡機制，卡片可以只承擔身份數(shù)據(jù)功能，不分配支付功能，有效減少不必要的支付帳戶資源浪費。

身份平臺與支付平臺的關(guān)系如圖2所示。

2.1 身份平臺總體架構(gòu)及創(chuàng)新點

校園卡身份平臺主要任務是實現(xiàn)靜態(tài)身份數(shù)據(jù)的權(quán)威收集、身份數(shù)據(jù)的下發(fā)認證授權(quán)和動態(tài)業(yè)務數(shù)據(jù)的回流集中，設計時需要包含五個模塊：身份數(shù)據(jù)中心、身份數(shù)據(jù)管理（包括卡片介質(zhì)管理）、權(quán)限管理模塊、數(shù)據(jù)服務模塊、認證服務模塊。身份平臺給支付平臺提供基于身份的認證服務和數(shù)據(jù)服務。其總體架構(gòu)如圖2所示。

建立校園卡身份數(shù)據(jù)中心，目的是考慮不依賴第三方系統(tǒng)獲取數(shù)據(jù)，減少同步和共享所帶來的不便。當下各高校正處于信息化建設高級階段即集成階段，許多信息化系統(tǒng)進入第三次升級改造[5-6]，可充分利用校園卡數(shù)據(jù)的廣泛性和全面性，考慮將校園卡數(shù)據(jù)中心建立成全校依賴的權(quán)威數(shù)據(jù)中心，與學校公共數(shù)據(jù)中心共融共建，將權(quán)威數(shù)據(jù)集成為靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)相結(jié)合的大數(shù)據(jù)中心，如果能提前規(guī)劃，就可避免重復建設造成浪費。

[數(shù)據(jù)中心][身份數(shù)據(jù)][業(yè)務數(shù)據(jù)][身份平臺] [權(quán)限管理][身份數(shù)據(jù)管理][卡介質(zhì)管理][認證服務][數(shù)據(jù)服務][支付平臺] [金融數(shù)據(jù)中心][數(shù)據(jù)服務][數(shù)據(jù)服務][清算][支付][充值]

圖2 ?新一代校園卡技術(shù)架構(gòu)分層圖

數(shù)據(jù)中心主要分身份數(shù)據(jù)和業(yè)務數(shù)據(jù)兩大類。身份數(shù)據(jù)包含人、財、物等基礎信息和身份屬性，可分階段先實現(xiàn)對人的身份的管理，逐漸擴大至財產(chǎn)和設備等身份數(shù)據(jù)的納入;業(yè)務數(shù)據(jù)是各類服務開展后所回收的動態(tài)數(shù)據(jù)流水，如認證服務、權(quán)限服務和數(shù)據(jù)服務使用后所產(chǎn)生的數(shù)據(jù)流，是逐漸積累有價值的大數(shù)據(jù)，是高校數(shù)據(jù)分析和挖掘的原始資料和基礎數(shù)據(jù)。

基于應用及安全的需求，整合原有分散的各個應用系統(tǒng)，構(gòu)建身份、認證和授權(quán)管理系統(tǒng)，組成統(tǒng)一完善的安全管理認證體系。新一代身份平臺和支付平臺采用B/S服務模式，不再依賴PSAM卡控制下的客戶端管理模式，管理員和用戶均能實現(xiàn)基于瀏覽器的管理和服務。

該架構(gòu)設計，能有效解決現(xiàn)有校園卡平臺所存在的同步、認證、授權(quán)等問題以及數(shù)據(jù)回流的缺陷。

2.2 身份平臺管理邏輯層次

作為相對獨立的校園卡身份平臺，其數(shù)據(jù)中心定義明確，由靜態(tài)身份數(shù)據(jù)和動態(tài)業(yè)務數(shù)據(jù)共同組成，是數(shù)據(jù)存儲的倉庫，下屬管理和服務的功能模塊依據(jù)所承擔的任務不同，從邏輯上劃分層次，如圖3所示。

⑴ 身份數(shù)據(jù)管理

身份數(shù)據(jù)管理是對靜態(tài)數(shù)據(jù)的管理，包括對各類身份和卡片介質(zhì)兩大類的管理。身份管理是對人、財、物身份信息的收集和編碼，一方面與學校權(quán)威數(shù)據(jù)源對接，另一方面開放自注冊管理，確定統(tǒng)一編碼;介質(zhì)包括卡片、指紋、二維碼等有特征的介質(zhì)，基于卡片的特殊性和通用性，單獨列出加以管理，并統(tǒng)一校內(nèi)編碼標準，通過一卡一號對應用戶的身份、屬性、權(quán)限，實現(xiàn)基于校園卡的應用。

⑵ 授權(quán)權(quán)限管理

作為校園身份平臺的創(chuàng)新功能，授權(quán)權(quán)限管理模塊基于身份數(shù)據(jù)的授權(quán)管理一方面是對應用系統(tǒng)作業(yè)務授權(quán)的配置和系統(tǒng)對接管理，另一方面是對普通用戶權(quán)限配置和業(yè)務系統(tǒng)使用權(quán)限的管理，根據(jù)用戶賬號和權(quán)限的標識來判斷用戶是否享有某種權(quán)限，從而完成各種權(quán)限操作的驗證。將用戶屬性和權(quán)限管理作為惟一可信的信息權(quán)威源，通過用戶身份管理集成功能，保證用戶身份數(shù)據(jù)的可靠性與一致性，可有效降低管理的復雜度和維護代價[7]。業(yè)務、人員和物資財產(chǎn)的權(quán)限授權(quán)數(shù)據(jù)，也將作為靜態(tài)數(shù)據(jù)加以保存，是身份數(shù)據(jù)的附加屬性。

⑶ 數(shù)據(jù)服務管理

數(shù)據(jù)服務管理是一個雙向的服務和管理過程，包括定義數(shù)據(jù)接口標準，基于校園卡身份平臺的數(shù)據(jù)服務，一方面向業(yè)務系統(tǒng)提供校園卡身份數(shù)據(jù)服務，另一方面回收基于校園卡身份數(shù)據(jù)的應用流水，形成動態(tài)業(yè)務數(shù)據(jù)庫，最終匯入校園卡數(shù)據(jù)中心。數(shù)據(jù)服務是一個靜態(tài)提供和動態(tài)回收的管理過程，其最重要的職責就是確定數(shù)據(jù)下放標準和業(yè)務流水回收標準，以保證輸入輸出的有效性和準確性。該服務實現(xiàn)了應用數(shù)據(jù)流水的回收，是原有系統(tǒng)所不具備的功能，為智慧校園的數(shù)據(jù)挖掘和分析提供保證。

⑷ 認證服務

分業(yè)務、應用系統(tǒng)的認證和個人用戶的身份認證，是校園卡身份平臺最主要的功能，也是校園卡本身所具有的傳統(tǒng)功能。在新一代校園卡身份平臺里，該功能的強調(diào)的一卡或一號認證制，認證的方式不再是單一的讀卡認證，將實現(xiàn)有卡認證、無卡認證和基于其他介質(zhì)的身份認證，無論是有卡還是無卡，其后臺都基于一號的原則。一人一卡一號在認證服務中體現(xiàn)，身份認證模塊確保用戶身份的可靠性，為認證系統(tǒng)實施正確認證提供依據(jù)。數(shù)據(jù)傳輸過程中采用加密模塊保證傳輸數(shù)據(jù)的安全性，其中的身份認證負責對校園卡體系中的各應用系統(tǒng)端進行數(shù)字身份的簽發(fā)和管理[8]。

3 新一代身份平臺設計創(chuàng)新點

與現(xiàn)有校園卡系統(tǒng)對比，新一代身份平臺設計主要體現(xiàn)了以下幾方面的創(chuàng)新。

首先，對卡片和介質(zhì)實行統(tǒng)一的管理，實質(zhì)是對身份實行了統(tǒng)一管理，卡片只是充當身份的前端介質(zhì)，是身份認證的一種讀取載體。

其次，對基于校園卡的授權(quán)實行了統(tǒng)一的管理，充分利用校園卡數(shù)據(jù)采集的權(quán)威性和廣泛性，擴大校園卡身份數(shù)據(jù)服務范圍，將分散在各業(yè)務系統(tǒng)的的授權(quán)集中在身份平臺實現(xiàn)，保證數(shù)據(jù)和權(quán)限的一致性，使校園卡身份數(shù)據(jù)逐漸增強為授權(quán)的中心。

再次，加強基于校園卡的認證服務，實現(xiàn)有卡認證、無卡認證、其他介質(zhì)認證，以一人一卡一號為原則，把校園認證做成全校的認證中心，在保證安全的條件下，實現(xiàn)多種身份認證模式支撐的核心應用。

最后，實現(xiàn)動態(tài)數(shù)據(jù)回流，解決現(xiàn)有系統(tǒng)只回流校園卡消費流水的問題，通過接口定義和規(guī)范，回流所有動態(tài)業(yè)務流水，將數(shù)據(jù)最終匯入校園卡數(shù)據(jù)中心，為大數(shù)據(jù)挖掘分析利用提供基礎。

4 結(jié)束語

新一代校園卡身份平臺設計，修正了現(xiàn)行校園卡系統(tǒng)普遍存在的身份數(shù)據(jù)不統(tǒng)一、授權(quán)認證分散、身份動態(tài)數(shù)據(jù)不回收等問題，重點實現(xiàn)身份集中管理、認證授權(quán)統(tǒng)一、規(guī)范數(shù)據(jù)回收機制，為智慧校園實行統(tǒng)一數(shù)據(jù)管理、統(tǒng)一數(shù)據(jù)挖掘應用提供支撐。但如何將老系統(tǒng)應用數(shù)據(jù)轉(zhuǎn)換成標準數(shù)據(jù)回流，如何確定身份接入標準、支付接入標準、第三方系統(tǒng)接入標準等，需要在規(guī)劃時重點考慮。該設計方案的可行性和科學性有待在實踐中檢驗和修正。

參考文獻：

[1] 葉鎰娟，徐鋒，程艷旗等.基于智慧校園的下一代校園卡系統(tǒng)設計[J].

中國教育信息化，2013.3：41-43

[2] 宗平，朱洪波，黃剛等.智慧校園設計方法的研究[J].南京郵電大學學

報（自然科學版），2010.8：15-19

[3] 葛泓.中國人民大學校園卡系統(tǒng)方案設計[J].微型機與應用，2005.4：

43-45

[4] 王高亮.基于校園卡系統(tǒng)的統(tǒng)一身份系統(tǒng)設計[J].科技信息（科學教

研），2007.25：308

[5] 黃松.基于諾蘭模型的高校信息化建設趨勢分析與展望[J].江漢大學

學報（自然科學版），2013.2：71-75

[6] 孫宙，李世收，姚敏.中國高校信息化現(xiàn)狀研究 基于江蘇高校的實證

分析[J].南京工業(yè)大學學報（社會科學版），2009.12：91-96

[7] 杜炤，付小龍，佟秋利等.高校校園一卡通系統(tǒng)中卡片認證機制的研

究與實踐[J].中國教育信息化，2011.19：14-16

[8] 章全.基于IC卡的校園網(wǎng)統(tǒng)一身份認證系統(tǒng)研究[J].科技廣場，

2013.8：29-31