高校“一卡通”解决方案

网络使用中不使用动态地址分配,网段的划分采用三层交换技术,方便“一卡通”系统网络的管理，同时保证“一卡通”系统的网络安全。 

“一卡通”专用网和校园网对接设计

出于安全考虑，“一卡通”专用网和校园网在物理上应进行完全隔离，由于它们之间需要进行大量的数据交换，而且是相互独立又相互联系的网络系统。所以，“一卡通”专用网和校园网连接时必须采用网关和防火墙来实现它们之间的路由功能，来完成信息的查询和发布。

 “一卡通”与银行专网设计

 1.银行网关

“一卡通”系统通过银行网关与银行前置机进行通信，从而最终实现与银行主机之间的通信。银行网关主要完成监听、接受客户端提交的业务请求，如用户要求查询某储蓄账户的余额，由运行在银行的网关（相当于前置机）程序完成TCP/SNA协议的转换。即将申请转换成银行主机所能识别的操作请求，并将操作结果返回给银行网关，银行网关接受银行TCP程序发送的查询结果包，返回给客户端。

银行网关由一个专门的接收线程接收校园卡系统传来的请求数据,每接收一个新用户请求,就生成一个新线程,该线程生成一个新Socket连接银行TCP程序,并且等待(阻塞方式)银行TCP程序的返回,收到(recv)返回串后送IVR放音,并且立即断开Socket连接和清除该线程。

 银行TCP程序必须首先监听银行网关的连接请求(listen),一旦收到银行网关的连接,就生成(accpet)一个新Socket来建立一个连接,因为可能存在多个Socket连接的情况,因此，银行TCP程序必须采用多线程的方式,每个线程负责维护一个Socket来进行与银行网关的通信。

 2.多种通信方式的实现

 银行网关与银行前置机采用TCP/IP通讯,银行网关完成监听、接收客户端提交的业务请求，由运行在银行前置机上的银行TCP/SNA协议的转换，即将业务请求转换成银行主机所能识别的操作请求。

 通过调用微软公司的SNA Server所提供的API实现银行与银行前置机通讯（SNA）协议。

 通过一个第三方软件所提供的消息循环队列完成接收和发送业务请求或操纵结果。从而实现银行网关与银行前置机的通讯。

 3.网络互联

 学校管理中心与银行系统之间存在大量的数据交换，而且相隔比较远，所以管理中心与银行系统之间通过64Kbps～2Mbps的DDN专线连接。

 网络及系统数据库安全

  校园“一卡通”专用网与校园网隔离，专用的物理通道保证了各校区、各层次网络连接和信息传输的安全性。银行方的数据交易和校内人员的网上查询，采用防火墙隔离技术，确保网络互联和边界的安全。

  数据库服务器的数据同时采用磁盘阵列、磁带机等多重备份，提供足够的数据冗余；备份方式采用双机热备份以及标准备份、增量备份、差量备份等方法相结合，既要解决备份的速度，又要保证数据的安全性。系统使用一套与服务器数据库不同的用户权限管理系统，并在用户管理、权限分级、程序资源等方面设计了严密的机制，在保证管理安全性的同时提供了操作的灵活性。

  总结

  本文所讨论的校园“一卡通”解决方案旨在运用智能卡技术，结合本学校的实际情况，提供一个切实可行经济实用的技术方案。以提升学校的现代化管理水平，使数字化校园的设想成为可能。