数字校园和一卡通集成方案研究

    随着高校信息化的推进，校园一卡通的应用越来越广泛，在一卡通建设的过程中，不可避免要实现和数字校园其他应用系统的集成。统观各高校建设校园一卡通的过程，这种集成工作主要面临两种情形：数字校园尚未建设或数字校园已经完善。对前一种情形，可以将一卡通系统作为校园信息化的基础，通过推动一卡通的建设，部署和完善网络基础、管理平台，实现各种应用系统，这种开发方式结构清晰、易于实施，各校园卡集成系统供应商可提供成熟产品。

    后一种情形在国内高校中更具有普遍性，这是由于一卡通技术的成熟相对较晚。在这种情形下实现一卡通和数字校园的集成时，必须遵循不能破坏现有数字校园的原则，这给一卡通的实施带来许多困难。当前主要的集成方案是，在数字校园提供的硬件和软件基础上，建设各种使用IC卡的应用系统，如门禁系统，食堂消费系统等。这种方案在不改变数字校园基础架构的前提下，引入一卡通应用，为实现一卡通和数字校园的集成提供了一条有效途径。但是，这种方案有许多内在的缺陷。首先，它不能充分发挥一卡通的功能，例如，不能通过校园卡对学校的教学系统提供支持；其次，各高校的数字校园基础架构形式多样，因此，每个高校开发一卡通应用都是一份新的工作，相互之间无法形成可以借鉴的经验，开发成本很高。

    针对这些问题，本文提出一种新的数字校园和一卡通集成的方案。首先明确了校园卡包含的内容和校园卡在数字校园中的定位，然后描述集成方案的具体内容和方法，并展示集成后数字校园的架构。

    1 一卡通在数字校园中的定位

    一卡通是一个简称，狭义上它通常指一卡通应用，即可以使用IC卡的各种应用系统。广义上是指一卡通体系，这个体系的主体是提供基于IC卡的管理和应用服务的一卡通平台，同时还包括底层的硬件和软件基础架构，以及安全体系和运行维护体系。一卡通平台提供的管理包括卡务管理和财务管理，提供的应用服务包括身份认证类服务和消费类服务。

    数字校园是校园信息化的主要组成部分，使用信息技术为高校的日常教学、科学研究、校务管理提供支持。数字校园的信息建设分为两大类，即数字校园基础设施和数字校园应用系统。数字校园基础设施的建设包括网络、硬件、基础软件和公共平台；应用系统包括教务系统、人事系统、科研管理系统、后勤系统等。

    IC卡作为在校师生的身份标志和电子钱包，不仅可以应用于门禁、食堂等一卡通应用系统，也可以用于教务注册、科研费用管理、图书馆管理等已有的数字校园应用系统。一卡通平台对IC卡进行管理，实现IC卡的各种功能，为使用IC卡的应用系统提供公共服务，因此，一卡通应当作为数字校园的基础设施，而不是简单的应用系统。

    2 集成方案

    一卡通建设面临的现实情况是：首先，数字校园本身已经非常完善，其次，一卡通应当作为数字校园的基础设施，完成和数字校园的集成。因此，新的集成方案应当遵循以下原则： 

    1.一卡通的建设不能破坏现有数字校园的架构
    2.一卡通的建设能够提升现有数字校园的应用，同时要提供完备和标准化的公共服务。

    除此之外，还应当遵循一卡通建设本身的一些原则。

    基于上述原则的一卡通和数字校园的集成方案，主要内容包括网络、服务器、一卡通平台、一卡通应用和数字校园的集成。下面以清华大学一卡通建设过程为例，说明这种新的集成方案。

    2.1 一卡通专网和校园网的结合

    在完善的数字校园中，校园网是校内应用和数据交流的基础。一卡通的身份认证业务和数据可以通过校园网来传输。由于一卡通具有消费的功能，需要处理大量的财务数据。相对与采用基于校园网的虚拟专网，一卡通物理专网能够更好的保证财务应用和数据的安全。
一卡通体系的网络拓扑结构图如图1所示： 

图1 一卡通体系网络拓扑结构图

    一卡通专网和校园网之间是物理隔离的，一卡通体系中，凡是涉及消费、转账等财务功能的应用，部署在一卡通专网内，可以保证财务数据的安全；完成对身份的认证、查询等的应用，部署在校园网内，可以方便的和数字校园其他应用进行对接。财务应用包括一卡通消费数据库、消费交易流水处理前置机和银行交易流水处理前置机。由于一卡通消费数据库需要从校园网中获取校园卡的黑白名单信息，同时要向校园网用户提供对财务数据的查询，所以在一卡通专网和校园网之间通过设置网关和防火墙实现跨网的服务器之间的双向通讯。防火墙只允许两种服务通过：数据同步服务和Web Services转发服务。数据同步服务处理校园网中的各数据库服务器和一卡通专网中的数据库服务器之间的数据同步，这些服务器对普通用户都是不可见的。Web Service转发服务处理校园网用户对财务数据的查询请求，为保证一卡通专网的安全性，可以在校园网端新设一个转发代理服务器，屏蔽网关设备的可见性。