基于認(rèn)證和授權(quán)的新一代校園卡身份平臺(tái)設(shè)計(jì)

葉鎰娟 徐鋒

摘 ?要： 針對(duì)現(xiàn)有校園卡系統(tǒng)存在的身份數(shù)據(jù)混亂、授權(quán)分散、認(rèn)證流水不回收等缺陷，提出建設(shè)身份平臺(tái)與支付平臺(tái)分離、松耦合關(guān)聯(lián)的新一代校園卡體系，設(shè)計(jì)了基于認(rèn)證和授權(quán)的新一代校園卡身份平臺(tái)架構(gòu)體系，重點(diǎn)實(shí)現(xiàn)校園卡身份的數(shù)據(jù)統(tǒng)一、認(rèn)證授權(quán)集中、動(dòng)態(tài)流水回傳等功能，為智慧校園數(shù)據(jù)分析挖掘提供基礎(chǔ)，為新一代校園卡建設(shè)提供參考模式。

關(guān)鍵詞： 新一代校園卡; 身份認(rèn)證; 身份授權(quán); 智慧校園

中圖分類號(hào)：TP311 ? ? ? ? ?文獻(xiàn)標(biāo)志碼：A ? ?文章編號(hào)：1006-8228（2015）01-21-03

Design of next generation campus card identifier platform with authentication and authorization

Ye Yijuan， Xu Feng

（Library and Information Center， Zhejiang University， Hangzhou， Zhejiang 310027， China）

Abstract： To solve the existing campus card system's issues， such as confused identification data， dispersed authentication and unrecyclable service log data， the next-generation campus card system is proposed by separating identification platform from payment platform and loose coupling among component.The next generation campus card identification platform architecture is designed based on authentication and authorization， which realizes the key functions of unified identification data， centralized authentication and dynamic service log data collection. It builds the foundation for data mining and analysis of wisdom campus， providing the reference model for the next generation campus card deployment.

Key words： next generation campus card; authentication; authorization; wisdom campus

0 引言

智慧校園的開(kāi)展，對(duì)校園卡支撐及服務(wù)提出了更高的要求，新一代校園卡建設(shè)不僅需要解決支付問(wèn)題，更需要解決基于校園卡身份認(rèn)證和授權(quán)管理問(wèn)題，為房產(chǎn)、財(cái)物、道閘、門(mén)禁等智慧應(yīng)用提供服務(wù)。針對(duì)目前校園卡系統(tǒng)普遍存在的數(shù)據(jù)不完整，認(rèn)證不統(tǒng)一，授權(quán)困難等問(wèn)題，新一代校園卡的設(shè)計(jì)應(yīng)注重核心數(shù)據(jù)倉(cāng)庫(kù)建設(shè)，注重身份數(shù)據(jù)管理、身份數(shù)據(jù)授權(quán)和身份數(shù)據(jù)認(rèn)證[1]。為此，我們?cè)O(shè)計(jì)了基于認(rèn)證和授權(quán)的校園卡身份平臺(tái)架構(gòu)體系，該平臺(tái)體系集身份管理、授權(quán)和認(rèn)證于一體，利用校園卡數(shù)據(jù)的完整性和權(quán)威性完成應(yīng)用和服務(wù)的認(rèn)證及授權(quán)，在此基礎(chǔ)上規(guī)范數(shù)據(jù)的統(tǒng)一回收和篩選規(guī)則，形成全校范圍的靜態(tài)身份數(shù)據(jù)中心和動(dòng)態(tài)行為數(shù)據(jù)中心，為智慧校園的各類智能應(yīng)用提供綜合決策分析[2]。

1 校園卡系統(tǒng)架構(gòu)現(xiàn)狀及身份管理問(wèn)題

高校校園卡系統(tǒng)的身份管理模塊一般都架構(gòu)在學(xué)校統(tǒng)一身份認(rèn)證中心和公共數(shù)據(jù)中心之上[3]。統(tǒng)一身份認(rèn)證解決用戶身份的注冊(cè)、登錄，公共數(shù)據(jù)中心提供權(quán)威數(shù)據(jù)[4]，通過(guò)同步形成校園卡身份庫(kù)，最后由身份庫(kù)向一卡通系統(tǒng)提供身份數(shù)據(jù)以進(jìn)行開(kāi)卡、制卡，其架構(gòu)如圖1所示，身份庫(kù)服務(wù)的重點(diǎn)是一卡通綜合平臺(tái)及后臺(tái)管理系統(tǒng)。

[公共數(shù)據(jù)中心][統(tǒng)一身份認(rèn)證][校園卡身份證][綜合前置機(jī)][前臺(tái)管理系統(tǒng)][查詢服務(wù)系統(tǒng)][校園卡綜合平臺(tái)][支持服務(wù)接口][支付類系統(tǒng)][身份服務(wù)接口][身份識(shí)別類系統(tǒng)][轉(zhuǎn)賬充值系統(tǒng)][銀行前置機(jī)]

圖1 ?現(xiàn)有校園卡系統(tǒng)架構(gòu)圖

該系統(tǒng)架構(gòu)在應(yīng)用中暴露出以下一些問(wèn)題。

⑴ 身份數(shù)據(jù)同步效率直接影響數(shù)據(jù)準(zhǔn)確性和及時(shí)性。建立在數(shù)據(jù)中心和統(tǒng)一身份認(rèn)證基礎(chǔ)上的校園卡管理系統(tǒng)，其身份數(shù)據(jù)分兩條線路從統(tǒng)一身份認(rèn)證和公共數(shù)據(jù)中心獲取，由于同步的時(shí)間差或者同步過(guò)程網(wǎng)絡(luò)延遲，會(huì)出現(xiàn)數(shù)據(jù)獲取困難或上下數(shù)據(jù)不吻合的情況，對(duì)校園卡身份數(shù)據(jù)的權(quán)威性、校園卡制卡效率等影響很大。

⑵ 未實(shí)現(xiàn)基于校園卡身份的統(tǒng)一授權(quán)和統(tǒng)一認(rèn)證?，F(xiàn)有校園卡身份數(shù)據(jù)只為新卡制作和支付交易提供認(rèn)證，沒(méi)有實(shí)現(xiàn)基于該身份數(shù)據(jù)模塊直屬的認(rèn)證和授權(quán)，第三方應(yīng)用系統(tǒng)需通過(guò)與校園卡綜合平臺(tái)作數(shù)據(jù)交換作認(rèn)證，沒(méi)有發(fā)揮校園卡身份數(shù)據(jù)應(yīng)有作用，也增加綜合平臺(tái)的負(fù)擔(dān)。

⑶ 身份數(shù)據(jù)交換接口不完善、不統(tǒng)一，數(shù)據(jù)不回流。第三方應(yīng)用隨需求不同而以多種方式與校園卡綜合平臺(tái)對(duì)接，接口復(fù)雜凌亂、時(shí)效性差、管理難度高，而業(yè)務(wù)流水回收機(jī)制的缺乏，造成數(shù)據(jù)只下發(fā)不回傳，動(dòng)態(tài)業(yè)務(wù)數(shù)據(jù)流失。

⑷ 基于C/S架構(gòu)的校園卡綜合管理系統(tǒng)，依賴PSAM卡和動(dòng)態(tài)SIOS及客戶端管理校園卡系統(tǒng)及用戶，適應(yīng)性弱、受網(wǎng)絡(luò)和加密卡限制多，無(wú)法實(shí)現(xiàn)隨時(shí)隨地業(yè)務(wù)管理。

2 新一代校園卡身份平臺(tái)設(shè)計(jì)思路

考慮到現(xiàn)有系統(tǒng)所存在的問(wèn)題及智慧校園的應(yīng)用需求，新一代校園卡系統(tǒng)設(shè)計(jì)將校園卡身份數(shù)據(jù)庫(kù)與支付數(shù)據(jù)庫(kù)分離，分別建立校園卡身份平臺(tái)和校園卡支付平臺(tái)，兩平臺(tái)根據(jù)各自功能特長(zhǎng)和主要任務(wù)獨(dú)立建設(shè)，再以松耦合方式進(jìn)行關(guān)聯(lián)。身份平臺(tái)重點(diǎn)完成身份數(shù)據(jù)采集，解決基于校園卡的身份認(rèn)證、授權(quán)，并作好數(shù)據(jù)的共享和挖掘，解決與校園卡相關(guān)的身份介質(zhì)管理;支付平臺(tái)負(fù)責(zé)校園卡的帳戶、交易和支付;卡片作為身份和支付的介質(zhì)，采取分離和捆綁相結(jié)合的發(fā)卡機(jī)制，卡片可以只承擔(dān)身份數(shù)據(jù)功能，不分配支付功能，有效減少不必要的支付帳戶資源浪費(fèi)。

身份平臺(tái)與支付平臺(tái)的關(guān)系如圖2所示。

2.1 身份平臺(tái)總體架構(gòu)及創(chuàng)新點(diǎn)

校園卡身份平臺(tái)主要任務(wù)是實(shí)現(xiàn)靜態(tài)身份數(shù)據(jù)的權(quán)威收集、身份數(shù)據(jù)的下發(fā)認(rèn)證授權(quán)和動(dòng)態(tài)業(yè)務(wù)數(shù)據(jù)的回流集中，設(shè)計(jì)時(shí)需要包含五個(gè)模塊：身份數(shù)據(jù)中心、身份數(shù)據(jù)管理（包括卡片介質(zhì)管理）、權(quán)限管理模塊、數(shù)據(jù)服務(wù)模塊、認(rèn)證服務(wù)模塊。身份平臺(tái)給支付平臺(tái)提供基于身份的認(rèn)證服務(wù)和數(shù)據(jù)服務(wù)。其總體架構(gòu)如圖2所示。

建立校園卡身份數(shù)據(jù)中心，目的是考慮不依賴第三方系統(tǒng)獲取數(shù)據(jù)，減少同步和共享所帶來(lái)的不便。當(dāng)下各高校正處于信息化建設(shè)高級(jí)階段即集成階段，許多信息化系統(tǒng)進(jìn)入第三次升級(jí)改造[5-6]，可充分利用校園卡數(shù)據(jù)的廣泛性和全面性，考慮將校園卡數(shù)據(jù)中心建立成全校依賴的權(quán)威數(shù)據(jù)中心，與學(xué)校公共數(shù)據(jù)中心共融共建，將權(quán)威數(shù)據(jù)集成為靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)相結(jié)合的大數(shù)據(jù)中心，如果能提前規(guī)劃，就可避免重復(fù)建設(shè)造成浪費(fèi)。

[數(shù)據(jù)中心][身份數(shù)據(jù)][業(yè)務(wù)數(shù)據(jù)][身份平臺(tái)] [權(quán)限管理][身份數(shù)據(jù)管理][卡介質(zhì)管理][認(rèn)證服務(wù)][數(shù)據(jù)服務(wù)][支付平臺(tái)] [金融數(shù)據(jù)中心][數(shù)據(jù)服務(wù)][數(shù)據(jù)服務(wù)][清算][支付][充值]

圖2 ?新一代校園卡技術(shù)架構(gòu)分層圖

數(shù)據(jù)中心主要分身份數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)兩大類。身份數(shù)據(jù)包含人、財(cái)、物等基礎(chǔ)信息和身份屬性，可分階段先實(shí)現(xiàn)對(duì)人的身份的管理，逐漸擴(kuò)大至財(cái)產(chǎn)和設(shè)備等身份數(shù)據(jù)的納入;業(yè)務(wù)數(shù)據(jù)是各類服務(wù)開(kāi)展后所回收的動(dòng)態(tài)數(shù)據(jù)流水，如認(rèn)證服務(wù)、權(quán)限服務(wù)和數(shù)據(jù)服務(wù)使用后所產(chǎn)生的數(shù)據(jù)流，是逐漸積累有價(jià)值的大數(shù)據(jù)，是高校數(shù)據(jù)分析和挖掘的原始資料和基礎(chǔ)數(shù)據(jù)。

基于應(yīng)用及安全的需求，整合原有分散的各個(gè)應(yīng)用系統(tǒng)，構(gòu)建身份、認(rèn)證和授權(quán)管理系統(tǒng)，組成統(tǒng)一完善的安全管理認(rèn)證體系。新一代身份平臺(tái)和支付平臺(tái)采用B/S服務(wù)模式，不再依賴PSAM卡控制下的客戶端管理模式，管理員和用戶均能實(shí)現(xiàn)基于瀏覽器的管理和服務(wù)。

該架構(gòu)設(shè)計(jì)，能有效解決現(xiàn)有校園卡平臺(tái)所存在的同步、認(rèn)證、授權(quán)等問(wèn)題以及數(shù)據(jù)回流的缺陷。

2.2 身份平臺(tái)管理邏輯層次

作為相對(duì)獨(dú)立的校園卡身份平臺(tái)，其數(shù)據(jù)中心定義明確，由靜態(tài)身份數(shù)據(jù)和動(dòng)態(tài)業(yè)務(wù)數(shù)據(jù)共同組成，是數(shù)據(jù)存儲(chǔ)的倉(cāng)庫(kù)，下屬管理和服務(wù)的功能模塊依據(jù)所承擔(dān)的任務(wù)不同，從邏輯上劃分層次，如圖3所示。

⑴ 身份數(shù)據(jù)管理

身份數(shù)據(jù)管理是對(duì)靜態(tài)數(shù)據(jù)的管理，包括對(duì)各類身份和卡片介質(zhì)兩大類的管理。身份管理是對(duì)人、財(cái)、物身份信息的收集和編碼，一方面與學(xué)校權(quán)威數(shù)據(jù)源對(duì)接，另一方面開(kāi)放自注冊(cè)管理，確定統(tǒng)一編碼;介質(zhì)包括卡片、指紋、二維碼等有特征的介質(zhì)，基于卡片的特殊性和通用性，單獨(dú)列出加以管理，并統(tǒng)一校內(nèi)編碼標(biāo)準(zhǔn)，通過(guò)一卡一號(hào)對(duì)應(yīng)用戶的身份、屬性、權(quán)限，實(shí)現(xiàn)基于校園卡的應(yīng)用。

⑵ 授權(quán)權(quán)限管理

作為校園身份平臺(tái)的創(chuàng)新功能，授權(quán)權(quán)限管理模塊基于身份數(shù)據(jù)的授權(quán)管理一方面是對(duì)應(yīng)用系統(tǒng)作業(yè)務(wù)授權(quán)的配置和系統(tǒng)對(duì)接管理，另一方面是對(duì)普通用戶權(quán)限配置和業(yè)務(wù)系統(tǒng)使用權(quán)限的管理，根據(jù)用戶賬號(hào)和權(quán)限的標(biāo)識(shí)來(lái)判斷用戶是否享有某種權(quán)限，從而完成各種權(quán)限操作的驗(yàn)證。將用戶屬性和權(quán)限管理作為惟一可信的信息權(quán)威源，通過(guò)用戶身份管理集成功能，保證用戶身份數(shù)據(jù)的可靠性與一致性，可有效降低管理的復(fù)雜度和維護(hù)代價(jià)[7]。業(yè)務(wù)、人員和物資財(cái)產(chǎn)的權(quán)限授權(quán)數(shù)據(jù)，也將作為靜態(tài)數(shù)據(jù)加以保存，是身份數(shù)據(jù)的附加屬性。

⑶ 數(shù)據(jù)服務(wù)管理

數(shù)據(jù)服務(wù)管理是一個(gè)雙向的服務(wù)和管理過(guò)程，包括定義數(shù)據(jù)接口標(biāo)準(zhǔn)，基于校園卡身份平臺(tái)的數(shù)據(jù)服務(wù)，一方面向業(yè)務(wù)系統(tǒng)提供校園卡身份數(shù)據(jù)服務(wù)，另一方面回收基于校園卡身份數(shù)據(jù)的應(yīng)用流水，形成動(dòng)態(tài)業(yè)務(wù)數(shù)據(jù)庫(kù)，最終匯入校園卡數(shù)據(jù)中心。數(shù)據(jù)服務(wù)是一個(gè)靜態(tài)提供和動(dòng)態(tài)回收的管理過(guò)程，其最重要的職責(zé)就是確定數(shù)據(jù)下放標(biāo)準(zhǔn)和業(yè)務(wù)流水回收標(biāo)準(zhǔn)，以保證輸入輸出的有效性和準(zhǔn)確性。該服務(wù)實(shí)現(xiàn)了應(yīng)用數(shù)據(jù)流水的回收，是原有系統(tǒng)所不具備的功能，為智慧校園的數(shù)據(jù)挖掘和分析提供保證。

⑷ 認(rèn)證服務(wù)

分業(yè)務(wù)、應(yīng)用系統(tǒng)的認(rèn)證和個(gè)人用戶的身份認(rèn)證，是校園卡身份平臺(tái)最主要的功能，也是校園卡本身所具有的傳統(tǒng)功能。在新一代校園卡身份平臺(tái)里，該功能的強(qiáng)調(diào)的一卡或一號(hào)認(rèn)證制，認(rèn)證的方式不再是單一的讀卡認(rèn)證，將實(shí)現(xiàn)有卡認(rèn)證、無(wú)卡認(rèn)證和基于其他介質(zhì)的身份認(rèn)證，無(wú)論是有卡還是無(wú)卡，其后臺(tái)都基于一號(hào)的原則。一人一卡一號(hào)在認(rèn)證服務(wù)中體現(xiàn)，身份認(rèn)證模塊確保用戶身份的可靠性，為認(rèn)證系統(tǒng)實(shí)施正確認(rèn)證提供依據(jù)。數(shù)據(jù)傳輸過(guò)程中采用加密模塊保證傳輸數(shù)據(jù)的安全性，其中的身份認(rèn)證負(fù)責(zé)對(duì)校園卡體系中的各應(yīng)用系統(tǒng)端進(jìn)行數(shù)字身份的簽發(fā)和管理[8]。

3 新一代身份平臺(tái)設(shè)計(jì)創(chuàng)新點(diǎn)

與現(xiàn)有校園卡系統(tǒng)對(duì)比，新一代身份平臺(tái)設(shè)計(jì)主要體現(xiàn)了以下幾方面的創(chuàng)新。

首先，對(duì)卡片和介質(zhì)實(shí)行統(tǒng)一的管理，實(shí)質(zhì)是對(duì)身份實(shí)行了統(tǒng)一管理，卡片只是充當(dāng)身份的前端介質(zhì)，是身份認(rèn)證的一種讀取載體。

其次，對(duì)基于校園卡的授權(quán)實(shí)行了統(tǒng)一的管理，充分利用校園卡數(shù)據(jù)采集的權(quán)威性和廣泛性，擴(kuò)大校園卡身份數(shù)據(jù)服務(wù)范圍，將分散在各業(yè)務(wù)系統(tǒng)的的授權(quán)集中在身份平臺(tái)實(shí)現(xiàn)，保證數(shù)據(jù)和權(quán)限的一致性，使校園卡身份數(shù)據(jù)逐漸增強(qiáng)為授權(quán)的中心。

再次，加強(qiáng)基于校園卡的認(rèn)證服務(wù)，實(shí)現(xiàn)有卡認(rèn)證、無(wú)卡認(rèn)證、其他介質(zhì)認(rèn)證，以一人一卡一號(hào)為原則，把校園認(rèn)證做成全校的認(rèn)證中心，在保證安全的條件下，實(shí)現(xiàn)多種身份認(rèn)證模式支撐的核心應(yīng)用。

最后，實(shí)現(xiàn)動(dòng)態(tài)數(shù)據(jù)回流，解決現(xiàn)有系統(tǒng)只回流校園卡消費(fèi)流水的問(wèn)題，通過(guò)接口定義和規(guī)范，回流所有動(dòng)態(tài)業(yè)務(wù)流水，將數(shù)據(jù)最終匯入校園卡數(shù)據(jù)中心，為大數(shù)據(jù)挖掘分析利用提供基礎(chǔ)。

4 結(jié)束語(yǔ)

新一代校園卡身份平臺(tái)設(shè)計(jì)，修正了現(xiàn)行校園卡系統(tǒng)普遍存在的身份數(shù)據(jù)不統(tǒng)一、授權(quán)認(rèn)證分散、身份動(dòng)態(tài)數(shù)據(jù)不回收等問(wèn)題，重點(diǎn)實(shí)現(xiàn)身份集中管理、認(rèn)證授權(quán)統(tǒng)一、規(guī)范數(shù)據(jù)回收機(jī)制，為智慧校園實(shí)行統(tǒng)一數(shù)據(jù)管理、統(tǒng)一數(shù)據(jù)挖掘應(yīng)用提供支撐。但如何將老系統(tǒng)應(yīng)用數(shù)據(jù)轉(zhuǎn)換成標(biāo)準(zhǔn)數(shù)據(jù)回流，如何確定身份接入標(biāo)準(zhǔn)、支付接入標(biāo)準(zhǔn)、第三方系統(tǒng)接入標(biāo)準(zhǔn)等，需要在規(guī)劃時(shí)重點(diǎn)考慮。該設(shè)計(jì)方案的可行性和科學(xué)性有待在實(shí)踐中檢驗(yàn)和修正。

參考文獻(xiàn)：

[1] 葉鎰娟，徐鋒，程艷旗等.基于智慧校園的下一代校園卡系統(tǒng)設(shè)計(jì)[J].

中國(guó)教育信息化，2013.3：41-43

[2] 宗平，朱洪波，黃剛等.智慧校園設(shè)計(jì)方法的研究[J].南京郵電大學(xué)學(xué)

報(bào)（自然科學(xué)版），2010.8：15-19

[3] 葛泓.中國(guó)人民大學(xué)校園卡系統(tǒng)方案設(shè)計(jì)[J].微型機(jī)與應(yīng)用，2005.4：

43-45

[4] 王高亮.基于校園卡系統(tǒng)的統(tǒng)一身份系統(tǒng)設(shè)計(jì)[J].科技信息（科學(xué)教

研），2007.25：308

[5] 黃松.基于諾蘭模型的高校信息化建設(shè)趨勢(shì)分析與展望[J].江漢大學(xué)

學(xué)報(bào)（自然科學(xué)版），2013.2：71-75

[6] 孫宙，李世收，姚敏.中國(guó)高校信息化現(xiàn)狀研究 基于江蘇高校的實(shí)證

分析[J].南京工業(yè)大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2009.12：91-96

[7] 杜炤，付小龍，佟秋利等.高校校園一卡通系統(tǒng)中卡片認(rèn)證機(jī)制的研

究與實(shí)踐[J].中國(guó)教育信息化，2011.19：14-16

[8] 章全.基于IC卡的校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)研究[J].科技廣場(chǎng)，

2013.8：29-31