基于数字化校园的车载管理系统研制技术报告.docx

1、基于数字化校园的车载管理系统研制技术报告鉴定会资料之三基于数字化校园的车载管理系统研制技术报告山 东 大 学网络信息中心二一八年九月二十四日基于数字化校园的车载管理系统研制技术报告一、开发背景及意义1.1 开发背景随着计算机技术、网络技术、通讯技术的不断发展，数字化校园以不可阻挡的潮流渗入我们的校园。信息化在学校教学、科研管理和生活服务等方面起到的作用越来越明显，“数字化校园”的概念也就应运而生。作为山东大学数字化校园建设的一个组成部分，针对山东大学班车和交通车运输的实际，我们提出了设计了“基于数字化校园的车载管理系统”，力争为我校班车和交通车运输提供更加高效便捷准确的服务。1.2 校园卡系统

2、简介非接触IC卡“校园卡”综合管理系统是“一卡通技术”的典型应用。校园卡采用了国际上先进的非接触IC卡技术，将学校中全体人员的证件、档案、考勤、食堂售饭、小额消费、出入控制、节能管理等互不关联的、相互独立的系统联系、统一了起来，可以把学校员工和学生的身份信息 、证件（包括学生证、图书借阅证、出入证等）、教职工考勤，教职工会议签到、食堂消费、用水管理、机房管理，停车场、游泳池管理、小卖部消费及其它小金额消费等管理功能综合到一张IC卡上，使学校摆脱繁琐、低效的管理方式，把更多的精力投入到员工教学工作和学生学习中去。 校园卡系统是一种非常有效的管理手段，它能将数量庞大、流动频繁的师生群体科学地管理起

3、来，它代表了校园信息化的发展趋势，是高校现代化管理和校园数字化的重要标志。 二、研制目标和研究内容作为国内首套将校园卡信息结合到体育测试过程中的体质检测系统，本系统的研制目标就是充分利用校园卡的方便性和实用性，以求提高高校体质达标测试工作的效率，增强达标测试过程中数据采集的高效性、安全性、精确性和透明性，实现成绩管理的标准化、规范性和共享性。在保证达标测试工作统一规范的进行的同时，尽量考虑到考生在达标测试过程中的个体性和主动性因素，允许考生根据自身的情况安排具体的测试时间、地点和测试内容，以便将自己的最好成绩充分地发挥出来。最终的测试结果格式要符合教育部学生体质健康标准国家库的规范标准，以备上

4、报国家库存档。淘汰现有的车载信息读取手持机，使得黑白名单能实时快速下发和信息的及时上传，减轻了乘务人员的工作负担，透明地完成了各种数据的采集三、系统需求分析四、系统主要功能山东大学车载POS管理系统是基于数字化校园的平台建立起来的，它由校园卡系统、无线车载POS、无线车载网关、车载网关控制系统、车载管理系统共同组成。其中，无线车载POS负责采集乘车刷卡产生的流水，无线车载网关主要用于接受车载POS的流水，并实时回传到校园卡系统后台；车载网关控制系统实现对车载网关的远程管理；车载管理系统用于车载卡片的管理，如制乘车卡、乘车交易信息查询等。4.1无线车载POS无线车载POS可以工作在两种工作模式下

5、，班车模式和交通车模式。在班车模式下，教师身份的卡片不收费，其它身份按照设置好的费率收费；在交通车模式下，所有身份按照已设定好的费率收费。在工作状态下，车载POS会根据身份和费率对卡片进行自动扣款，并显示消费额和卡内余额。车载POS目前32种身份，每一种身份对应一个费率。无线车载POS最大通信距离为300米，支持联网工作状态，也可以支持脱机工作状态，当POS机与网关失去联系时，会自动转入脱机工作状态，单车载POS可存储8000笔流水。4.2无线车载网关 无线车载网关承担接收车载POS流水并回传到校园卡系统后台，它既是一种工业化设计的专用通信设备，又是车载子网和中心数据库通信的桥梁和中继站。车载

6、网关通过TCP/IP通讯协议直接连接到校园网中，并通过RS-485通讯方式与车载POS形成车载子网，同时又能进行简单的营业统计和参数设置功能。4.3车载管理系统1乘车卡片的制作。在校园卡系统中已经开户的卡片，即可以在本系统当中进行制卡操作，车载系统的卡片分为以下四种：普通卡、学期卡、子女卡和免费卡。其中除普通卡外，其它三种类型的卡都可以在有效期内免费使用，且可以灵活定制有效期；同时制作学期卡、子女卡、免费卡可灵活设置是否收取一定的费用。普通卡指的是已经在校园卡系统中开户的卡片，按正常预设置标准收取费用。为了契合系统间的无缝连接，对于校园卡系统中已经开户的卡片不需在本系统中制作普通卡即可正常使用

7、，按正常乘车收费价格收费。学期卡是针对学生跨校区上课而设立的卡片类型。在学期卡的有效期即当学期内，刷卡乘车免费，过有效期后，自动终止该功能。子女卡是针对教工子女设立的卡片类型。对于教工子女的乘车收费采用优惠或者免费的方式。免费卡是针对贫困学生设立的卡片类型。对于学校认定的贫困生，可办理免费的乘车卡。2消费信息的查询和统计。车载子系统提供了乘车卡信息查询、乘车卡交易查询、乘车流水查询的功能。4.4车载网关控制系统 车载网关控制系统负责身份消费权限方案的设定、身份消费系数设置的设置、车载网关的远程设置、车载网关的远程重启等。(1)身份消费权限方案.。即设定每种身份所对应的收费标准。(2)身份消费系

8、数设置。可以设定某类方案中对应的身份类型不同的消费额度，采用10消费系统的算法。(3)车载网关设置。商户设置，用于设置车载网关控制商户；餐次设置，用于即网关营业时间的设置；POS设置，可以设置网关所带POS的相关参数，如POS机号、餐次、商户、身份消费权限方案、身份消费系数方案、键值表、补助标志等。(4)车载网关远程重启。当身份消费设置、车载网关设置完毕后，必须通知车载网关下载最新配置信息，使配置信息生效，车载网关控制系统提供了远程控制重启的功能，能够非常方便地完成这个操作。五、系统创新点5.1系统实时性（改）车载管理系统采用大机数据集中的模式，能够从根本上保证与校园卡中心服务器数据保持高度一

9、致。确定以中心服务器中的公共信息为准，各车载网关实时接收下传的变更流水信息，做到基本信息的同步。车载网关内设置数据库高速缓冲引擎，可以保证白名单、黑名单、自动充值表的实时更新。车载管理系统基于校园网架构，车载网关和校园卡中心服务器使用100M的专用线路，考虑到系统数据传输峰值和有效数据在传输中所占的比率，每秒能够完成20000笔流水的传送；在白名单同步方面，全部白名单10万条记录，每条记录16字节，共计1.6MB,在校园网的架构下，全部重传需要时间为0.128秒。全部子系统重建白名单在2分钟内完成；完全能够满足系统的实时性要求。5.3基于 SN75174无线模块的无线车载POS设计 车载POS

10、采用北京捷麦F49P无线数传模块和车载网关进行通信，通信模式使用RS485电平模式。无线车载POS采用低功耗的SM5964 CPU 作为中央处理器，SM5964是一种高性能的CPU芯片，工作频率可以达到40MHz；FLASH数据存储器采用AM29F040B/39SF020；复位芯片选择IMP810，485通信芯片使用SN75174和MAX487。 无线车载POS中增加了校验程序模块。读卡器在读卡过程中，先对该卡进行识别，判断该卡是否为有效卡。即先读出卡上的金额与检验位，然后根据事先写好的程序获取一个校验位，再与从卡上读出的校验位进行比较，相同说明该卡为有效卡，否则表明该卡为无效卡，不允许通过。

11、5.4异构网络车载网关的设计（补） 无线车载网关设计承担车载POS流水接收并回传到校园卡系统后台，它既是一种工业化设计的专用通信设备，又是车载子网和中心数据库通信的桥梁和中继站。车载网关通过TCP/IP通讯协议直接连接到校园网中，并通过RS-485通讯方式与车载POS形成车载子网。 车载网关内置了RJ45以太网接口，通过双绞线与以太网相连，网速100Mbps，主要用于将车载网关连接到校园卡系后台。车载网关设计了4路RS-485通讯接口用于连接无线车载POS，不受接口位置限制，可任意连接车载POS，每一路接口可连接32台无线车载POS，共可以连接128台车载POS。同时，车载网关内部设计了针式票

12、据打印机，主要用于打印车载POS机统计报表商户统计报表。 为了保证车载网关信息的安全性，网关内嵌了PSAM卡读卡器，用于读取PSAM卡证书卡信息，未经PSAM卡授权认证的网关是无法使用的。 车载网关同时配备了大屏幕的显示屏，采用图形化的网关管理程序，使得用户可以方便地本地操作车载网关。5.5基于visual C+6.0的数据处理技术ADO数据访问技术ADO(ActiveX Data Objects)是建立在OLE DB(OLE DataBase)基础之上的基于对 象的高层数据库 ；ADO通过封装在低层OLE DB功能中的不同对象；方法和属性以提供高层接口，ADO基于ActiveX标准,扩展性强

13、。ADO的主要特点是使用更加容易，访问速度更快，而对磁盘和存储容量的要求更小；ADO支持建立各种客户/服务器模式与基于Web的应用程序，具有远程数据服务RDS(Remote Data Service)的特性，通过RDS能够在一次往返中将服务器端的数据传送到客户端的应用程序或Web页面中，并在客户端对数据进行处理后，立即更新服务器端的数据。ADO通过ActiveX脚本可以方便的建立数据库与任何ODBC数据源的连接或者数据库的连接。ADO工作原理对于异种数据库的访问，首先需要一个简单而统一的应用程序接口APD，应用程序通过它访问和修改各种各样的数据。典型的数据源是支持ODBC(Open Data

14、Base Connectivity)标准的关系型数据库，通过一系列SQL命令进行数据操作。ADO定义一个设计原型，其中概括了一系列进行数据存取和更新所必须的行为说明。设计原型表示了一个对象模型，包括实现原型所对应的对象集，定义进行数据操作的对象方法，表示数据或对象方法行为控制的属性等。与对象相关的事件说明了将要发生或已经发生的数据操作过程。组件中提供了一组强有力的数据库操作命令让你容易地操纵数据以产生数据驱动的Web页面。根据本系统的情况，数据库连接是采用ADO技术并利用OLEDB来连接数据库的。数据库连接池技术由于Web预约及综合管理平台包含大量的功能操作，在事务繁忙时，服务器端应用系统对数

15、据库的操作将非常频繁，并发量也将特别多，为了提高服务器端系统的运行效率和优化对数据库的访问性能，本系统使用了数据库连接池技术。连接池是众多连接对象的“缓冲存储池”，在系统初始化的时候，便在其中建立了若干个连接对象。当系统需要访问数据库时，并非建立一个新的连接，而是从连接池中取出一个已建立的空闲连接对象。使用完毕后，用户也并非将连接关闭，而是将连接放回连接池中，以等待下一个访问请求使用。当需要一个数据库连接时，通过此管理程序来获得连接，当结束一个数据库连接时，此连接交还给连接池管理程序。使用这种方法解决了传统方法中的缺陷，即创建连接需要时间的问题、共享连接会造成多线程的问题以及连接的资源有限的问

16、题，可以达到系统中资源和性能的平衡。5.6 ORACLE数据库的安全机制（修改一下）一个安全的数据库，合理有效地解决数据库中的数据信息的共享问题。在安全的数据库中，既要保证授权的合法用户对数据的有效存取，又能严格拒绝非法用户的攻击企图。具体地说，数据库安全系统的设计目标要求主要有以下三个方面:第一，数据的完整性：数据的完整性指数据的正确性、一致性和相容性；第二，数据的可用性:采用的安全机制不能明显降低数据库系统的操作性能；第三，数据的保密性:安全系统应该提供一个高强度的加密方案，对数据库中的机敏数据进行加密处理。身份认证在开放共享的多用户系统环境下，数据库系统必须要求用户进行身份认证。可以说，

17、用户身份认证是安全系统防止非法用户侵入的第一道安全防线。它的目的是识别系统授权的合法用户，防止非法用户访问数据库系统。用户要登录系统时，必须向系统提供用户标识(userldentification)和鉴别信息(Authentication)，以供安全系统识别认证。采用 的最 常用、最方便的方法是设置口令法。系统给每个合法用户分配一个唯一的UserID和Password。但是，由于Password的先天不足，其可靠程度极差，容易被他人猜出或测得。近年，一些更加有效的身份认证技术迅速发展起来。例如智能卡技术，物理特征(指纹，声纹，手形等)认证技术等具有高强度的身份认证技术日益成熟，并取得了不少应用

18、成果，为将来达到更高的安全强度要求打下了坚实的理论基础。存取控制存取控制是数据库系统内部对已经进入系统的用户的存取控制，是安全数据保护的前沿屏障。存取控制技术是数据库安全系统中的核心技术，也是最有效的安全手段。存取控制主要包括系统授权，确定存取权限和实施权限三个部分。存取控制系统定义和控制系统中的主体对客体的存取访问权限，以确保系统授权的合法用户能够可靠地访问数据库中的数据信息，并同时防止非授权用户的任何访问操作。存取控制模型可以分为:自主型存取控制(DA)C、强制型存取控制(MA)C和基于角色的存取控制(RBAC)。自主型存取控制:在这种存取控制模型中，系统用户对数据信息的存取控制主要是基于

19、对用户身份的鉴别和存取访问规则的确定。每个用户对每个信息资源对象都要给定某个级别的存取权限，例如读权，写权等。一般，自主型存取控制将整个系统的用户授权状态表示为一个授权存取矩阵。在自主型存取控制中，由于用户可以自主地把自己所拥有的权限授给其他用户，而无需系统的确认。这样，系统的授权存取矩阵就可能被直接或间接地进行修改，给数据库系统造成不安全因素。强制型存取控制:在强制存取控制下，数据库系统给所有主体和客体分配了不同级别的安全属性，形成完整的系统授权状态。而且，该授权状态一般情况下不能被改变，这是强制型存取控制模型与自主型存取控制模型实质性的区别。一般用户或程序不能修改系统安全授权状态，只有特定

20、的系统权限管理员才能根据系统实际的需要来有效地修改系统的授权状态，以保证数据库系统的安全性能。强制型存取控制系统主要通过对主体和客体的已分配的安全属性进行匹配判断，决定主体是否有权对客体进行进一步的访问操作。基于角色的存取控制:基于角色的存取控制的概念早在20世纪07年代由美国GeorgeMason大学的Ravisandu教授提出，但在相当长的一段时间内没有得到人们的关注。进入90年代，由于安全需求的发展，基于角色的存取控制又引起了人们极大的关注。基于角色的存取控制中涉及的基本元素包括用户(User)、角色(Rlo)e、存取权(Permission)和会话(Sessions)。RBAc与传统存

21、取控制的差别在于在用户和存取许可权之间引入了角色这一层。角色是一组用户和一组操作权限的集合，角色中所属的用户可以有权执行这些操作权限。用户与角色间是多对多的关系，角色与存取许可权之间也是多对多关系。由于数据库应用层的角色的逻辑意义更为明显和直接，因此基于角色的存取控制非常适用于数据库应用层的安全模型。基于角色的存取控制的优点主要在以下几个方面:(1) 角色控制相对独立，根据配置可使某些角色接近自主存取控制，某些角色接近强制存取控制。(2) 基于角色的存取控制是一种策略无关的存取控制技术，它不局限于特定的安全策略，几乎可以描述任何的安全策略，甚至包括自主存取控制和强制存取控制。视图可以将视图作为

22、安全机制，限制用户使用的数据，即用户可以访问某些数据，进行查询和修改，但是表或数据库的其余部分是不可见的，也不能进行访问。实际上无论在基础表(一个或多个)上的权限集合有多大，都必须授予、拒绝或废除访问视图中数据子集的权限。通过定义不同的视图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据子集内。例如:可以将访问限制在基表中行的子集内。如定义一个视图，其中只含有商业书籍或心理书籍的行，但向用户隐藏有关其他类型书籍的信息。可以将访问限制在基表中列的子集内。如定义一个视图，其中含有Titles表中的所有列，但省略了Royalty和Advance列，因为这些信息比较敏感。可以将访问限制

23、在基表中列和行的子集内。可以将访问限制在符合多个基表连接的行内。如可以定义一个视图，它连接表Titles、authors和Titleauthor表，以显示作者姓名及其撰写的书籍，但该视图隐藏作者的个人信息以及著作的财务信息。可以将访问限制在基表中数据的统计汇总内。如定义一个视图，其中只含有每类书籍的平均价格。可以将访问限制在另一个视图的子集内或视图和基表组合的子集内。权限和ALTERvIEw使用ALTER vIEwTransact一SQL语句可以更改视图的定义而不必除去视图并重新应用权限。应用到视图中列上的任何权限均基于视图中定义的列名，而不是表中的基础列。因此，如果用ALTER VIEW更一

24、改视图的定义，且使用相同的列名，但若使用表中不同的基础列，则新列的权限相同。备份与恢复尽管数据库系统中采取了各种保护措施来防止数据库的安全性和完整性被破坏，保证并发事务的正确执行，但是计算机系统中硬件的故障、软件的错误、操作员的失误以及恶意的破坏仍是不可避免的，将会造成事务故障、系统故障或介质故障，因此数据库管理系统必须具有把数据库从错误状态恢复到某一已知的正确状态的功能，这就是数据库的备份与恢复。数据库的恢复技术数据库恢复原理就是数据冗余，恢复机制涉及的两个关键问题是:如何建立冗余数据;如何利用这些冗余数据实施数据库恢复。建立冗余数据最常用的技术是数据转储和登录日志文件。通常在一个数据库系统

25、中，这两种方法是一起使用的。(1) 数据转储所谓转储即DBA定期地将整个数据库复制到磁带或另一个磁盘上保存起来的过程，这些备用的数据文本称为后备副本或后援副本。当数据库遭到破坏后可以将后备副本重新装入，但重装后备副本只能将数据库恢复到转储时的状态，要想恢复到故障发生时的状态，必须重新运行自转储以后的所有更新事务。转储分为静态转储和动态转储。静态转储是在系统中无运行事务时进行的转储操作，即转储操作开始的时刻，数据库处于一致性状态，转储期间不允许对数据库的任何存取、修改活动。显然，这会降低数据库的可用性。动态 转储是指转储期间允许对数据库进行存取或修改，即转储和用户事务可以并发执行。动态转储可克服

26、静态转储的缺点，它不用等待正在运行的用户事务结束，也不会影响新事务的运行。但是，转储结束时后援副本上的数据并不能保证正确有效。为此，必须把转储期间各事务对数据库的修改活动登记下来，建立日志文件，这样，后援副本加上日志文件就能把数据库恢复到某一时刻的正确状态。(2)登记日志日志文件是用来记录事务对数据库的更新操作的文件。日志的作用:日志文件在数据库恢复中起着重要的作用，用来记录事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复。登记日志:为保证数据库是可恢复的，登记日志文件时必须遵循两条原则:严格按并发事务执行的时间次序；必须先写日志文件，后写数据库。 六、系统的安全机制6.1 跨层次的

27、安全保证机制6.1.1 硬件实体的安全性（硬件器件上描述） 传输的数据采用加密形式，保护敏感信息。防止非法截取，破译。 采用金融安全处理器为核心器件的加密卡，存储密钥等信息。 数据中心的建设:数据中心机房应设立在防水、防火、防盗的场所，环境温度湿度稳定，清洁。 系统运行与管理需要建立严格的规章制度，机房的管理人员必须严格按照操作手册和运行规范来进行日常的操作，数据备份，系统检测。6.1.2数据中心的安全性在数据的存储和数据的访问控制方面看，操作系统从根本上保障数据库的安全。在用户的访问控制和文件的访问控制方面，Solaris是一个真正的多用户操作系统，它在用户控制和文件访问控制方面的独到之处是

28、被业内人士所公认；Solaris操作系统，直到目前还基本未发现病毒。ORACLE数据库多种数据备份方式，尤其是在线数据备份可保证系统7*24小时的运行；可靠支持机制可实现数据库系统的快速灾难恢复，确保数据的绝对可靠。 从数据库模型设计方面来看，设计数据库表时将重要数据同普通数据存放在不同的表中；重要的数据库表使用电子签名（防止有意篡该数据）；建立必要的视图，以隔离一些重要数据；设计必要的日志跟踪。6.1.3数据的安全在数据的安全上，所有接入计算机上采用硬件加密卡，凡是涉及加、解密运算都要从加密卡中取密钥；数据在传输的过程中均为密文，在这个系统中我们将采用不少于三种加密算法，并且运用于不同方面。

29、比如说对一个报文，会同时采用：1、基于MD5的网络签名段加密，2、基于DES64的数据段加密，3、有基于CRC32和DES64的MAC段校验。此外当涉及到用户密码3、或与钱额有关的交易还采用了基于MAR128的加密算法。 通信点均采用动态密钥的方式进行通信，也就是说每两节点所采用的加密密钥均不相同。而且动态密钥是随机产生的，它与当时机器运行所处的状态有关；对于通信的机器，我们还采用了限制IP访问方式。没有在本系统内注册的IP地址均得不到服务响应。这样攻击者将无法做猜测攻击。6.1.4网络环境的安全采用VLAN划分，保证校园卡逻辑隔离；由于交换技术的出现，才使VLAN技术得以实现，而VLAN技术

30、对网络的发展又起着举足轻重的作用。VLAN的优势之一就是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN。VALN划分方式包括：基于端口的划分、按MAC地址定义、基于网络层的虚拟网络、通过IP广播组划分等方式。我们选用基于端口的划分方式，当然VLAN的具体划分方式需要与网络中心协商决定。加密校验数据，对于在网络上的TCP/IP通讯，我们采用直接Socket底层编程，MD5签名信道，在数据发送和接收时都采用数字签名，保证不被更改。加密方法更关键的是，我们对数据传输与存储环节中的加密算法所使用的密钥和关键的加密算法实行了硬件安全措施，这些密钥和关键加密算法全部存放在ISA/PCI总线的硬

31、件加密卡中，卡中采用PSAM安全加密处理器作为核心器件，因其上的数据是随机打乱存放的，具有防破译自毁开关，是中国人民银行认可的安全处理器，从而保证了金额数据在网上的安全性，也能保证与银行信用卡业务系统的紧密联接。密钥采用动态形式。6.1.5卡片的安全性校园卡中采用一卡一密的加密机制、防止被盗滥用。采用DES专有混合算法，形成一套有效的卡片密钥管理机制。采用公共、独立的信息共享区，形成一种统一而又分而治之的数据管理策略。对系统内卡片采用分类管理，授予不同权限和功能，增强安全性。校园卡数据区设计密钥控制，卡片内采用每扇区密码控制的原则，即对不同的数据区采用不同的密钥进行控制。将数据区分为两类，校园

32、卡数据区和个性化子系统数据区，校园卡系统数据区采用卡片注册时生成的密钥进行读写控制。对于个性化子系统采用校园卡密码的，在建立该子系统时，更改该控制密码，可分为三类进行管理：1、根据我校校园卡系统密钥生成原则，可直接接入校园卡系统；2、由第三方进行升级：可以通过更换密钥，更改子系统扇区的读写密码，第三方产品提供最终的生成密钥给子系统专用读卡器，由读卡器控制该卡的读写权限；3、向第三方公开该数据块，全部由第三方控制读写。6.2 安全高效的密钥体系（理论上重点）6.2.1 密钥的产生系统内部有两种密钥，静态密钥和动态密钥。静态密钥用于签到，通过签到来获得动态密钥。动态密钥用于除签到外的其它交易。动态密钥随机产生，每次不同。中心与子系统之间的密钥为点对点，不同的子系统分配有不同的密钥，无论动态和静态。密钥的产生见图。针对不同用户产生不同的用户授权文件，由公司的授权文件产生系统的根密钥，根据根密钥产生子系统静态密钥，子系统签到时，由中心（前置机）根据根密钥，随机数和一定的运算规则产生