作为高校信息化建设重要一环的校园一卡通,在高校发展、规划和管理中正在发挥着越来越重要的作用。要建立一个体现先进管理手段和服务质量的,具有较高应用能力的校园一卡通系统,就要充分利用高校现有的网络资源,在校园网基础设施和应用系统的支持下,建立一套可扩展、可管理,具有实用,安全、高效、可靠性的网络系统,为校园一卡通系统提供优质的服务平台。
1 设计目标,原则和途径
校园一卡通系统建立在校园卡专网上,它的各类终端设备通过网络服务器,在防火墙的安全保护下直接与校园主干网相连。并通过校园卡管理中心以校园网为通道直接管理各类终端设备,配置相关信息资源和参数,实现了遍布于教学部门、财务部门、图书馆,学生食堂、校园超市等相关部门机构以及自助设备网点的网络覆盖。同时负责黑(白)名单等实时信息的同步管理,并对接入的各种子系统设备进行动态监控和管理,保证系统具备高可靠性、高安全性、易维护的特点。
系统网络规划设计要包含一卡通专网设计、终端子网设计、银行专用网络设计等三个方面。
2 一卡通专网设计原则和技术分析
校园一卡通网络系统采用一卡通专网和高校校园网相结合方式。建立在校园局域网或专网上:采用具有汇聚层的星型结构,同时利川虚拟局域网(V1.AN)技术在校园网中划出一个或多个虚拟网,根据不同应用接入不同虚拟网,层次分明,实现各种应用之间的相互隔离而不受其它网络应用的影响,保证了安全可靠。
3 终端子网设计原则和技术分析
传统的单机独立工作的子系统运行模式已无法适应校园一卡通系统对大量信息共享的需要,因为传统的单机独立工作子系统是网络上所有终端设备与通过共享一条共同信息通道的总线型结构的子网来连接,采用共享访问链路的方式进行操作,遵循总线型RS485协议,通过工作站与管理中心通信。由于总线型结构的RS485网络本身存在“单点故障、全线瘫痪”的缺陷而逐步被淘汰,因此需要构建一种在稳定性及安全性上都有保障的网络拓扑结构,而星型拓扑结构不但满足这一要求,而月,有非常明显的优势。
3.1 组网技术选择
根据高校校园网的现状和实用性的原则,终端子网主要采用基于三层结构的一卡通系统,系统性能指标取决服务器性能、网络传输速度以及并发连接数量,彻底改变子网结构,抛弃终端设备入网的总线型传统方式。从而将终端设备通过某专有网络服务器(Line Port)直接连接TCP/IP主干网,各终端与Line Port采用结构化布线技术,构造RS485星型拓扑结构,既保留了RS485传输距离远、成本低的优点,也具有TCP/IP主干网实时性的优点,解决了各种终端连网的实时性、远距离传输数据等问题。而且既保证Line Port具有智能管理黑(白)名单的能力,智能管理予终端的能力以及自动收集数据的能力,又分担了大量上位机的工作,提高了整个系统通信效率及实时性。因而采用Line Port构造RS485星型拓扑结构。不但提高网络性能,而且极大地提高了终端设备能力的发挥,既节约了投资,又降低了管理难度,从而大大提高了整个系统的安全性、实时性,可靠性。
以支付交易POS机、身份识别POS机为代表的校园一卡通各类终端设备按星形结构方式分别与Line Port相连接,将RS-485通讯接口转换为TCP/IP以太网接口,分别接入校园网交换设备,直接将数据自动上传至校园Ic卡管理结算中心数据服务器。
3.2 网络服务器的特点
网络服务器Line Port是电子专利产品,其具有以下特点:
(1)多种协议转换功能。lane Port具有RS232/RS485,RS485/TGP/IP协议转换功能。每台Line.Port都具有10M/100M自适应RJ45接口,可以将其直接与校园网交换机端口相接,一卡通终端设备接在Line PortRS485端口直接完成协议转换和通信功能。
(2)通讯接口扩展功能。Line Port具有RS485串行通讯接口扩展功能。每台LinePort都具有8口(或16FI/241I)RS485与终端设备串行通讯接口,确保通信距离达到1200m左右。
(3)自动管理终端功能。Llne Port除了具有协调转换功能以外,还具有自动管理终端设备的功能,大大减轻了计算机的工作量,提高r整个系统的运行效率5-10倍。这一点对于终端设备数量多的系统求说,显得尤为重要。
(4)金融级安全级别。Line Port可选用终端安全控制模块(PSAM卡)接口,使数据传输安全性具备金融级别标准。
(5)超人存贮功能。Line Port内含硬时钟,每笔交易记录均有准确的交易时间,脱机存储量在20000笔/台以上。
(6)坐杯定位技术和同步机制。LinePort采用了先进的坐标定位技术和同步机制,可管理100万个黑(白)名单,确保挂失、解挂信息证即生效。
(7)补助、发放机制。Line Port采用了安全可靠的补助、扣款发放机制,保证持卡人可以在任何一个联网的消费点上自动领取补助、扣款。
(8)开放接口动态库。Line Port做为专用的网络通讯产品,具备标准接口动态链接库,并保证通讯接口动态库开放,方便二次开发和使用,以便顺利对接。
4 银行专用网络设计
一卡通系统通过银行网与银行前置机进行通信,从而最终实现与银行主机之间的互通。
银行网关主要完成监听、接受客户端提交的业务请求,例如用户要求查询其储蓄账户余额,由运行在银行网关(相当于前置机)上的程序完成TCP/SNA协议的转换,即将申请转换成银行主机能识别的操作请求并将操作结果上传给银行网关,银行网关则将查询结果显示给客户端。
银行网关的工作程序是由一个专门的接收线程接受一卡通系统送来的数据请求,每接收一个新的用户请求,就生成一个新的线程,该线程立即生成一个新的Socket连接银行TCP程序,并通过该Socket发送浒求串(send)到银行TCP程序,并且以阻塞方式等待银行TCP程序的返回。
银行TCP程序首先必须监听银行网关的连接请求(listen),一旦与银行网关连接,就接受一个新的Socket来建立连接,因为可能同时仔在有多个Socket连接的情况。因此银行TCP程序必须采取多线程的方式,每个线程负责维护一个Socket来进行与银行网关的通信。
在交易过程中,数据的传输可分为“前端”与“后端”两个部分。“前端”的数据传输安全性主要是指用户帐号、密码和交易数据经过校园网传到网关服务器,而“后端”的数据传输是指本系统与银行主机之间进行的数据交互过程。学校管理中心与银行系统之间存在大量的数据交换而且相隔比较远,所以管理中心与银行系统之间一般通过64k-2MbpS的DDN专线相连,保证数据传输的及时准确。
5 一卡通网络、校园网安全通道设计
在校园网、一卡通专网或虚拟网之间需要的安全数据交换通道,主要采用防火墙设备来隔离。因为校园一卡通系统要是围绕校园网进行设计与实施的,首先校园网的网络设备具备支持VLAN功能,其次是对校园网进行VLAN划分,在VLAN中划出一卡通专用虚拟网的网段,该网段与其他校园网之间取消路由功能,从而在逻辑上與校园网分开,保证了一卡通专网的安全性。这样,不但实现了两网之间的安全隔离,同时也能保证两网之间的数据传输。