智慧大学城解决方案V3.1
系统设定的阀值时,需要输入消费者自己的校园卡帐户密码才能继续消费,如果密码不正确,本次消费取消。这样持卡人在丢失卡和办理挂失手续这段时间内,可以限制丢失卡的消费金额,尽可能的保护持卡人的利益。
III.
备份机制
我们在卡内的重要信息都是采用备份的方法在卡内记录两次,这种使用方法是射频卡和M1卡的特性,我们在实践中发现并加以使用的,这种用法更好的保护了卡内信息的完整性和安全性。 IV. 性能检验
由于卡内存储空间足够大,我们在卡内记录了详细的金额信息,这些信息本身就有一套完善的卡内信息校验机制。在我们的卡记过的密码校验后,正常操作前,POS机或软件系统就可以根据卡内记录的校验信息确定卡的有效性。 V. 信息分区
我们在卡内写入了许多持卡人的信息:金额信息、姓名、学号等。根据使用频率不同和使用便利程度,我们把金额信息和其他身份信息放在不同的分区,这样校园卡收费系统和校园卡身份识别系统就可以使用各自的区域,相互之间互不干扰。同时在校园卡收费系统中占据很大比重的消费系统在卡的交易时间大大加快,适应了学校餐厅就餐集中,要求交易时间短的需求。
第26页
智慧大学城解决方案V3.1
3.4.2 POS机安全
POS机内存储卡的使用信息是电子钱包卡的特有属性,也是这种方式的关键所在,POS机内存储数据的安全性是非常重要的。POS机的安全包含机内数据的安全和POS机设备本身的安全,我们所采用的措施如下:
? POS内信息采用双备份机制
因为POS机存储信息的设备是物理设备,很有可能出现物理损伤,我们采用POS机内信息重复记录的方式,如果某一条信息的存储空间出现故障,不能通过校验,系统将自动采用机内存储的另一条信息,保证信息的完整性。
? 采用双通迅芯片机制
使用通讯芯片冗余的办法,防止雷击造成的信息传输故障,使POS机内的信息可以及时传输到电脑中。 ? 采用黑闸子数据保护机制
? 采用多种黑名单处理方式采用后备式电源方式
? 能够保证在市电故障的情况下待机使用6小时,正常使用6小时。
? 采用ZIF接插件FFC电缆方式
? POS机组件全流水线自动焊接,经过防潮、防霉和防高温处理。 ? POS机在临时停电和临时通信中断时,仍能继续工作。临时通信中断包
含事前准备通讯中断和突发通讯中断两种,这两种都能正常工作的POS机只有当卡作为电子钱包卡使用方式时才能实现。
第27页
智慧大学城解决方案V3.1
3.4.3网络安全
系统在校园网上运行,对系统的安全提出了很高的要求,我们采取的措施如下:
一般采用三种网络相结合的架构,一卡通系统网络、基于校园网的专用虚拟网和物理隔离的金融网络。专网与校园网隔离,专用的物理通道保证了各校区、各层次网络连接和信息传输的安全性。银行方的数据交易,采用防火墙隔离技术,确保网络互联和边界的安全。网络内部通过MAC端口地址与IP地址绑定,封锁交换机空余的端口,配置用户口令,使用不同级别的命令等措施。从三方面即网络互联、网络边界、网络内部来确保整个专用网络的安全。
大学的校园主干网部分是整个校园一卡通系统的核心,消费结算中心各种数据服务器和各种自助圈存设备通过校园主干网与各终端设备和银行网络的前置机进行通信。为了保证网络系统的安全性和便于管理,一般采用专网形式,独立于校园网。一卡通网络可以采用基于校园网的内部虚拟专用网(VirtualPrivate Network),即在校园网络基础设施上建成的专用数据通信网络。数据通过安全的加密隧道在校园网中传输,从而保证通信的保密性。VPN与一般网络互联的关键区别在于用户的数据通过校园网中建立逻辑隧道进行传输,数据包经过加密后,按隧道协议进行封装、传送,并通过相应的认证技术来实现网络数据的专有性。
校园网一卡通主干网(高速以太网)部分,要求所有的以太网设备在VLAN部分和现有的校园网设备隔离,保证现有的校园网和一卡通部分是两个网络,设备不允许互相访问。同时为了共享已有的校园网资源,所以,一卡通与校园网采用防火墙进行单通道连接,保证一卡通网络能访问校园网数据,如:信息化校园建设必不可少的对统一身份认证服务器和门户网站的访问。但校园网不能随意访问一卡通专网,这样将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,使得一卡通网络上的设备能够安全、稳定的运行。
一卡通网络结构可以分为三层。一卡通网络的中心层,是以数据库服务器为中心的局域网的分布式结构(如下图所示)。中心层设置中心交换机,与身份认证系统,卡务管理机,结算管理机,结算中心服务器一起构成一卡通网络与结算
第28页
智慧大学城解决方案V3.1
中心,它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构,设置二级交换机。第三层为以第一层局域网的网络工作站作为控制主机的控制各个IC卡收费终端的网络。连接到专网的串口设备子网,以及专网计算机校园网和银行金融网的接口,要同期设计建设。一卡通专网采用TCP/IP网络协议。整个一卡通专网所用交换机,建议采用端口MAC地址绑定,使每个端口只能设置唯一的IP地址,连接特定的设备,从而保证了整个网络的安全性。
一卡通系统中心与银行系统之间的连接是校园卡与银行卡圈存的数据通道,其安全性是一卡通系统与银行进行数据通讯的保证。为了系统连接的安全性和可靠性,银行金融网络与校园一卡通的专用虚拟网通过PSTN或者DDN方式相连,并通过VPN方式连接自助转账设备(专用圈存机等)与银行对接系统(如下图所示)采用如下措施:
? 银校通讯前置机采用A、B双网卡来作为“桥接”双方的安全网关。关
于涉及数据在专网上传输,数据报文传输的安全,与银行前置机数据交换的安全主要由双向身份认证、加密和报文认证来保障。
第29页
相关推荐:
loading