福建师范大学福清分校手机一卡通建设方案20100526

中国移动福清分公司2010年5月28日随着我国3G网络建设的逐步深入，利用手机平台进行电子支付与身份认证的技术已逐渐成熟，上海世博会手机支付、福州公交、连江公交、宁德公交手机支付等应用早已深入人心。校园手机一卡通以移动平台结合学校正在进行的统一身份认证、商务消费、人事、学工等MIS和应用系统等建设，实现数据管理的集成与共享，信息的及时与快捷，为全校的师生提供全新的校园综合管理和服务平台。手机一卡通背景2沟通从心开始•方案概述•系统安全及密钥管理体系•一卡通平台介绍•一卡通应用系统基于Mifareone/CPU卡手机一卡通方案汇报内容福建师大福清分校手机一卡通系统解决方案3沟通从心开始eCard2007一卡通平台：•数字化校园与手机一卡通的集成平台•基于Mifareone/CPU卡的完整解决方案•完善的密钥管理体系•完善的账务管理体系•全自助的设计理念•Web图形化集控平台•手机卡+指纹,身份识别技术•基于ARM的32位终端设备（建设部证书编号：JC-080108-1）方案概述4沟通从心开始基于通过建设部认证的终端设备，并参照建设部、中国人民银行的标准实现正常的消费和充值功能。采用中国人民银行标准（PBOC）、社保标准（SSSE）、建设部的标准（PSE），即可以在校园或企业独立使用，也可以与公交、社保等兼容，一卡多用。交易记录利用PSAM卡进行TAC验证，防篡改和防伪造。密钥的产生与传递参照建设部标准，建立三级密钥管理体系，能对密钥的产生、传递进行有效管理。兼容CPU卡、手机卡一卡通系统。方案概述5沟通从心开始•方案概述•系统安全及密钥管理体系•一卡通平台介绍•一卡通应用系统基于Mifareone/CPU卡手机一卡通方案汇报内容福建师大福清分校手机一卡通系统解决方案6沟通从心开始手机一卡通系统安全方案手机卡信息安全POS机数据安全数据采集安全系统数据库的安全网络数据安全措施账务安全策略密钥管理系统7沟通从心开始一区一密、一应用一密、一交易一密不同的应用采用不同的密钥，每次交易都有不同随机数参与。密钥不能被读出用户IC卡和PSAM卡中的密钥无法被读出，认证和加密均是在卡内部实现的。双向身份认证用户IC卡与机具的PSAM卡双向认证，实现卡的发行合法性和密钥一致性校验。交易认证码交易过程中生成消费交易认证码。交易认证码可以防止交易数据被篡改。中间结果不导出以上过程全部是在用户卡和PSAM卡内部完成，中间结果不能获取。手机一卡通系统安全方案校园手机卡信息安全8沟通从心开始卡片选型•在卡片选型中，我们采用RF-SIM/UIM卡方案，利用手机SIM/UIM卡来完成校园卡各项功能。RF-SIM/UIM卡，是可实现中近距离无线通信的手机智能卡。•在本方案中，因为我方只对RF-SIM/UIM卡中CPU卡组件或者模拟的MifareOne逻辑加密卡进行开发，并应用到我们的手机一卡通系统中，所以，有时为了描述方便，会将RF-SIM/UIM卡称为用户卡、校园卡或者简称为卡片。9沟通从心开始RF-SIM/UIM卡通讯特征•使用2.4G频段,自动选频•通信速率1M，高可靠性连接与通信•支持自动感应和主动出发连接两种通信方法•双向通信距离10CM-500CM，可以根据应用调整•单向数据广播（半径100M）•刷卡感应功能可自行启闭（节电）•数据空中传输自动TDES加密，防窃听数据，刷卡时双向认证。10沟通从心开始使用射频IC卡对终端设备进行认证管理；交易记录有完善的TAC验证；采用大容量Flash存储芯片POS内数据采用双备份机制采用大容量后备电池POS机数据安全手机一卡通系统安全方案11沟通从心开始与数据通讯网关或控制工作站安全通讯,专网专用，从网络上保证数据的安全性。使用动态删除技术，得到主机记录存放正确响应后，POS机才删除该条记录；重复采集和合计额机制。数据采集安全手机一卡通系统安全方案12沟通从心开始双机热备一台服务器出现故障，另一台服务器根据心跳线的侦听信号，自动启用，自动切换，保证系统正常运行．应用服务器中心服务器与应用服务器建立互信机制，保证数据库的访问安全数据存储采用磁盘阵列，使用RAID技术，保证数据的存储安全数据冷备（如数据流带、NAS,可选）异地数据备份防止自然灾难性损失,可选系统数据库的安全手机一卡通系统安全方案13沟通从心开始•一卡通专网，校园网控制访问•应用子系统VLAN划分管理•病毒防护，安装企业级病毒防杀软件•安装防火墙，实现访问控制、网络攻击防护、入侵检测、安全审计网络数据安全措施手机一卡通系统安全方案14沟通从心开始•交易流水处理机制•系统平衡帐•个人平衡帐•补助、代发平衡帐•出纳员对帐•银行对帐•校银对帐•商户对帐•系统对账•异常帐处理•灰色记录•系统平帐对帐机制完善的账务管理15沟通从心开始完善的账务管理系统异常报警/预警机制•报警/预警消息级别由高到低分为紧急、重要、次要、一般四种•报警/预警消息通知分为界面提醒、邮件提醒、短信提醒；•报警/预警范围主要监控12种信息数据。系统平衡帐异常采集工作站长时间不联机终端机长时间无交易数据终端机记录号不连续报警非法终端机日结异常余额、操作额异常加款额异常圈存系统报警个人平衡帐监控月结异常年结异常16沟通从心开始密钥体系特点采用高安全性的加密机作为密钥的产生、存储和传递介质，保证了密钥数据的安全性；利用硬件加密技术，对传递过程进行线路加密，保证了在生成和传递过程的安全性；分级传递结构，使系统具有一定的扩展性，既支持独立系统，也可用于分布式系统；系统具有自愈合功能，对关键数据进行备份，保证了系统具有一定的抗毁能力；系统结构简单、实现方便、性价比较高。安全密钥管理体系17沟通从心开始•方案概述•系统安全及密钥管理体系•一卡通平台介绍•一卡通应用系统基于Mifareone/CPU卡手机一卡通方案汇报内容福建师大福清分校手机一卡通系统解决方案18沟通从心开始手机一卡通系统结构19沟通从心开始运营维护应用接入(WebServic/XML/WSE/CA)业务逻辑数据访问业务中间件层数字校园中心数据库一卡通中心数据库数据层安全管理手机一卡通应用系统框架一卡通中心制卡中心管理中心结算中心客户中心集控中心自助服务触摸屏网页服务电话语音应用界面层身份识别应用银校联网应用密钥管理消费类应用20沟通从心开始•体系架构•管理中心•结算中心•制卡中心•集控中心•密钥管理手机一卡通运维平台一卡通中心平台21沟通从心开始体系架构22沟通从心开始业务流程23沟通从心开始24沟通从心开始手机S/UTK菜单UTK（SIM/UIMTOOLKIT），简称“用户识别应用发展工具”，可以理解为一组开发增值业务的命令，一种小型编程语言，它允许基于智能卡的用户身份识别模块SIM/UIM运行自己的应用软件。UTK可以为用户提供额外的菜单，包括信息点播，手机银行、校园卡应用、行业应用等。25沟通从心开始菜单主界面26沟通从心开始校园卡管理27沟通从心开始校园信息28沟通从心开始校园卡管理29沟通从心开始掌上图书馆30沟通从心开始消费信息查询31沟通从心开始短信提醒服务账户重要信息变更提醒：证件号变更、银行签约卡变更、校园卡挂失起效、解挂成功、灰色卡等提醒告知；账户资金信息变更提醒：大额账户、金额低于自定标准、冻结款启效、后台自动批量代发代扣等提醒告知；消费重要信息提醒：卡异常消费、单笔大额消费、日累计大额消费、消费记录调帐、挂失起效前消费、周或月消费总账报告等提醒告知；到帐提醒：充值到帐、圈存领款、补助到达、稿费类综合款项到达等提醒告知；其它提醒：电余额过低、网费缴费、教务小额缴费等提醒告知。32沟通从心开始公共信息发布公告通知：一卡通管理人员可以给指定的人群发送一卡通管理公告通知、失物通知、设备检修通知等各种管理类公告；催缴通知：财务、教务等接入系统，获得授权的管理员可以通过本系统对欠费、通知用户直接发送催缴、业务办理通知等。信息通知：发布最新就业信息、新书到货通知等信息33沟通从心开始34管理中心监控系统运行状态，设备运行日志维护与管理，系统的参数管理；终端机的授权与维护，监控所有接入读卡设备的联机日志、运行状态、黑名单版本。方便的硬件设备管理、监控；操作员、部门、用户分级授权与管理；沟通从心开始35结算中心对银行、学校、商户、持卡人服务统一分层次分业务结算和管理负责一卡通系统中的资金和账目进行管理。系统综合财务报表学生补助的管理与发放分类明细报表各种财务查询打印或结算结算报表、终端审计报表、系统平衡报表、辅助决策报表。沟通从心开始36制卡中心（普通卡务管理）一卡通系统卡务管理业务卡的制作、发行各类操作卡、功能卡的制作支持实时证卡制作证卡自定义模版现场制卡照片采集指纹采集沟通从心开始37沟通从心开始制卡中心系统现场展示（一）客户现场：华东师范大学38沟通从心开始客户现场：北京交通大学客户现场：厦门集美大学诚毅学院制卡中心系统现场展示（二）39沟通从心开始系统集控平台手机一卡通中心模块基于B/S架构的集控平台,集中监控各种设备、软件运行状况并能进行控制。监控对象：各类终端、工作站、服务器、服务(没有界面的软件系统)等终端监控主要信息：黑名单版本未采记录条数设备状态业务记录日志记录警报信息工作站服务器监控信息CPU占用率硬盘空间使用状况内存占用状况控制信息发黑名单、校时、补助发放授权与回收、发送授权名单、发送各种参数等40沟通从心开始系统集控平台手机一卡通中心模块41沟通从心开始•方案概述•系统安全及密钥管理体系•一卡通平台介绍•一卡通应用系统基于Mifareone/CPU卡手机一卡通方案汇报内容福建师大福清分校手机一卡通系统解决方案42沟通从心开始•消费管理系统•公寓水控管理系统•公寓电控管理系统•银行圈存系统•充值转账系统金融服务应用一卡通金融服务类应用43沟通从心开始1、食堂、超市消费系统双钱包设置：主钱包＋补助钱包，可指定卡类别、指定终端消费，补助定向消费支持采用联机交易模式,系统脱机时不能使用,也可以设置硬件设备脱机后允许使用的时间。出纳机联机存取款,所有加款类联机交易业务同一后台接口,如出纳机加款、圈存加款、软件加款、补助代发网络中断，脱机安全消费校园卡挂失、解挂、租退业务报表丰富、查询便利金融消费类应用参见彩页P10-1244沟通从心开始支持PBOC2.0电子钱包/存折和借记/贷记获得国家金卡工程IC卡及机具产品检验中心颁发证书支持射频卡读写，符合ISO14443-A标准完善的文件系统，满足参数、流水和黑名单文件的管理需求终端机固化全球唯一授权认证码，集控授权使用安全的签到、签退功能，脱机、联机记录识别，持在线升级通讯数据采用金融级PSAM加密安全灵活的黑名单管理，批次、零散级别控制采用FLASH存储芯片，数据有效存储10年脱机可存储10000条记录，数据双备份保存配备高性能后备电池，机具模块化，机壳、键盘防水设计支持多种通讯模式：RS-485、TCP/IP等消费系统－POS机特点参见彩页P10-1145沟通从心开始46消费系统现场展示客户现场：集美大学金融消费类应用沟通从心开始2、智能卡水控管理系统全防水设计，24V低压供电，保障人身安全支持PSAM/ESAM安全模块快速电动阀先放卡、扣款后放水，按时间/按流量扣款，自助、节水红外探测控制，持卡人移离或取走智能卡自动停水可分为联网型和小钱包型含淋浴水控器和开水水控器Ethernet网络数据库控制主机RS485控制器控制器控制器控制器金融消费类应用参见彩页P15-1747沟通从心开始开水计费系统开水计费管理系统也是水控系统的一部分，主要用分体式水控器（小钱包版），现有开水机继续使用。一体化水控器分体水控器电磁阀参见彩页P15-1748沟通从心开始淋浴控制系统示意图49沟通从心开始5050水控系统现场展示客户现场：华东师范大学客户现场：河南工业大学金融消费类应用沟通从心开始3、学生公寓电控系统（