基于分布式多層結(jié)構(gòu)的一卡通系統(tǒng)的規(guī)劃和設(shè)計(jì)
文章出處:http://www.hungpor.com 作者: 人氣: 發(fā)表時(shí)間:2011年09月09日
IC卡具有安全性高、大容量、抗干擾、讀寫方便等優(yōu)點(diǎn)。經(jīng)過近幾年的迅速發(fā)展,已形成多種類卡并行,多種應(yīng)用模式共存的局面。目前,IC卡應(yīng)用系統(tǒng)多為一些中小規(guī)模系統(tǒng),應(yīng)用于如就餐收費(fèi)系統(tǒng)、門控系統(tǒng)、消費(fèi)管理系統(tǒng)等等。IC卡的應(yīng)用領(lǐng)域越來越廣,但由于缺乏統(tǒng)一規(guī)劃,沒有實(shí)現(xiàn)“一卡多用”,導(dǎo)致“一人多卡”,保管、使用極不方便。為了實(shí)現(xiàn)“一卡多能”,探索出一個(gè)基于分布式多層結(jié)構(gòu)系統(tǒng)的有效技術(shù)方案,本文結(jié)合IC卡一卡通信息管理服務(wù)系統(tǒng),采用面向?qū)ο蠓治龊驮O(shè)計(jì)的思想,主要從體系結(jié)構(gòu)和實(shí)現(xiàn)技術(shù)上對(duì)分布式多層模式的IC卡一卡通管理系統(tǒng)的規(guī)劃和設(shè)計(jì)進(jìn)行了論述。
1 系統(tǒng)規(guī)劃
非接觸式邏輯加密卡CICC具有使用壽命長、成本低、安全可靠、抗干擾力強(qiáng)、使用方便等特點(diǎn),是實(shí)現(xiàn)“一卡多能”比較理想的卡種。系統(tǒng)選用1KB存儲(chǔ)空間非接觸邏輯加密卡,其數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)如下:邏輯加密卡的存儲(chǔ)區(qū)域分為16個(gè)存儲(chǔ)扇區(qū),編號(hào)為0~15,每個(gè)扇區(qū)又劃分成4個(gè)數(shù)據(jù)塊,每塊占用16個(gè)字節(jié)。在每個(gè)扇區(qū)內(nèi)塊的編號(hào)為0~3,其中第3塊作為保留數(shù)據(jù)塊用作記錄系統(tǒng)認(rèn)證和讀寫控制碼,一般用戶數(shù)據(jù)不能存入該塊中,而第0扇區(qū)的第0數(shù)據(jù)塊是卡制造商的保留數(shù)據(jù)塊,不支持用戶的寫操作。這樣在一塊卡中共有64個(gè)數(shù)據(jù)塊(它們的絕對(duì)地址編號(hào)為0~63)。在卡中,數(shù)據(jù)塊是最小存儲(chǔ)單位,而在使用時(shí),卡的讀寫操作是以扇區(qū)為單位進(jìn)行的。
系統(tǒng)硬件設(shè)備應(yīng)配置有讀寫卡機(jī)具、計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等。其中機(jī)具有發(fā)卡機(jī)、考勤機(jī)、門禁機(jī)、消費(fèi)機(jī)等四種,以實(shí)現(xiàn)不同的讀寫卡操作功能。每個(gè)機(jī)具都與計(jì)算機(jī)相連接,組成一個(gè)相對(duì)獨(dú)立的應(yīng)用功能站點(diǎn)。計(jì)算機(jī)通過網(wǎng)絡(luò)相互連接,實(shí)現(xiàn)功能站點(diǎn)之間的相互溝通。這樣,機(jī)具、計(jì)算機(jī)、IC卡通過網(wǎng)絡(luò)相互連接和溝通,成為一個(gè)整體,構(gòu)成了整個(gè)系統(tǒng)的硬件服務(wù)平臺(tái)。在網(wǎng)絡(luò)配置上,系統(tǒng)中配備了一臺(tái)微機(jī)服務(wù)器,專門用于本系統(tǒng)數(shù)據(jù)存儲(chǔ);另外配置一臺(tái)服務(wù)器作為應(yīng)用程序服務(wù)器,用于與數(shù)據(jù)庫服務(wù)器以及各應(yīng)用功能站點(diǎn)之間進(jìn)行通訊聯(lián)絡(luò)和控制;為了充分利用企業(yè)現(xiàn)有的企業(yè)網(wǎng)絡(luò)資源,加快建設(shè)進(jìn)度、降低成本,原企業(yè)網(wǎng)服務(wù)器可作為WEB服務(wù)器,并與系統(tǒng)中專用服務(wù)器相連,使企業(yè)網(wǎng)內(nèi)各工作站可以通過瀏覽器訪問數(shù)據(jù)庫中的數(shù)據(jù)。
由于傳統(tǒng)的基于客戶機(jī)/服務(wù)器結(jié)構(gòu)的應(yīng)用系統(tǒng)可維護(hù)性不好及系統(tǒng)的擴(kuò)展性不強(qiáng),本系統(tǒng)采用分布式結(jié)構(gòu)規(guī)劃,即將整個(gè)應(yīng)用系統(tǒng)的執(zhí)行分成數(shù)個(gè)不同的部分并且執(zhí)行在不同的機(jī)器中,基于分布式結(jié)構(gòu)的系統(tǒng)有更好的靈活性和適應(yīng)性,且系統(tǒng)的可維護(hù)性和可復(fù)用性更強(qiáng)并可實(shí)現(xiàn)負(fù)載平衡?;谶@種思想采用的設(shè)計(jì)方案應(yīng)包括連接機(jī)具負(fù)責(zé)數(shù)據(jù)的采集、數(shù)據(jù)的處理和系統(tǒng)的初始化設(shè)置等功能的計(jì)算機(jī)客戶端應(yīng)用程序;提供執(zhí)行企業(yè)對(duì)象的環(huán)境,并且提供核心服務(wù),包括交易管理,安全服務(wù),容錯(cuò)能力和負(fù)載平衡等功能的應(yīng)用程序服務(wù)器程序;以及提供瀏覽器頁面的WEB服務(wù)器程序;和數(shù)據(jù)庫存儲(chǔ)備份的數(shù)據(jù)庫管理系統(tǒng)。系統(tǒng)的整體規(guī)劃方案如圖1所示:
圖1 基于分布式多層結(jié)構(gòu)的一卡通系統(tǒng)的整體規(guī)劃圖
2 系統(tǒng)設(shè)計(jì)
系統(tǒng)設(shè)計(jì)包括數(shù)據(jù)庫設(shè)計(jì)、應(yīng)用程序服務(wù)器設(shè)計(jì)、WEB服務(wù)器設(shè)計(jì)和客戶端應(yīng)用程序設(shè)計(jì)。
2.1 數(shù)據(jù)庫設(shè)計(jì)
數(shù)據(jù)庫是系統(tǒng)的信息儲(chǔ)存和信息交換中心,系統(tǒng)中的所有操作狀態(tài)、操作過程和記錄都集中在此進(jìn)行儲(chǔ)存和交換,因此數(shù)據(jù)庫在系統(tǒng)中起著特殊重要的作用。按數(shù)據(jù)庫中所儲(chǔ)存的信息類型的性質(zhì)和特點(diǎn),大致可以分為以下幾大類:基本配置參數(shù)及控制信息,持卡用戶及單位信息,卡、機(jī)具信息和計(jì)算機(jī)信息,消費(fèi)信息,考勤信息,門禁信息,黑名單信息,公用信息等。在系統(tǒng)中,持卡人、卡、機(jī)具和(連接有機(jī)具的)計(jì)算機(jī)構(gòu)成了系統(tǒng)的活動(dòng)主體,因此,如何正確、有效、清晰地記錄和表達(dá)這些主體的屬性、它們之間的相互關(guān)系和相互作用過程是數(shù)據(jù)庫設(shè)計(jì)的主題之一,同時(shí)也是系統(tǒng)應(yīng)用這些信息的基礎(chǔ)。在數(shù)據(jù)庫結(jié)構(gòu)上,與軟件功能模塊的劃分相對(duì)應(yīng),采用分層設(shè)計(jì)思想,即將數(shù)據(jù)庫的設(shè)計(jì)在不同的應(yīng)用層面上分別進(jìn)行。最底層是用于對(duì)系統(tǒng)中各主體的基本屬性描述的數(shù)據(jù)表,在其之上是用于描述這些主體之間相互關(guān)系和相互作用的數(shù)據(jù)表,最后是針對(duì)不同應(yīng)用需要的而設(shè)計(jì)的應(yīng)用層數(shù)據(jù)表。最后,各個(gè)數(shù)據(jù)庫表層相互關(guān)聯(lián),形成一個(gè)統(tǒng)一完整的數(shù)據(jù)信息應(yīng)用網(wǎng)絡(luò),構(gòu)成關(guān)系型數(shù)據(jù)庫框架體系結(jié)構(gòu)。
2.2 應(yīng)用程序服務(wù)器設(shè)計(jì)
在開發(fā)多層式應(yīng)用系統(tǒng)中,編寫應(yīng)用程序服務(wù)器是非常重要的工作。因?yàn)閼?yīng)用程序服務(wù)器提供了客戶端應(yīng)用程序存取遠(yuǎn)程數(shù)據(jù)庫的接口,可以編寫邏輯組件,在應(yīng)用程序服務(wù)器中,允許所有客戶端應(yīng)用程序調(diào)用和使用??蛻舳藨?yīng)用程序可以透過DCOM直接與應(yīng)用程序服務(wù)器溝通。系統(tǒng)的應(yīng)用程序服務(wù)器主要負(fù)責(zé)與數(shù)據(jù)庫服務(wù)器進(jìn)行數(shù)據(jù)存取、并對(duì)取出的數(shù)據(jù)進(jìn)行安全處理,提供給系統(tǒng)的各個(gè)需要服務(wù)的客戶端應(yīng)用程序和WEB服務(wù)器程序。它與數(shù)據(jù)庫服務(wù)器的存取方案如圖2所示。
圖2 應(yīng)用程序服務(wù)器的存取方案
2.3 WEB服務(wù)器程序設(shè)計(jì)
在分布式多層應(yīng)用系統(tǒng)中,為了讓W(xué)EB服務(wù)器能夠服務(wù)的客戶端用戶更多,反應(yīng)客戶端的要求更迅速,WEB服務(wù)器不直接與數(shù)據(jù)庫服務(wù)器連結(jié),而是通過應(yīng)用程序服務(wù)器與數(shù)據(jù)庫服務(wù)器相連。當(dāng)WEB應(yīng)用程序接受到客戶端的查詢要求時(shí),可將查詢工作交與應(yīng)用程序服務(wù)器執(zhí)行,當(dāng)它執(zhí)行完畢之后再把結(jié)果通過WEB應(yīng)用程序傳遞給WEB服務(wù)器,最后再由WEB服務(wù)器回傳給客戶端的瀏覽器。
2.4 應(yīng)用管理軟件設(shè)計(jì)
應(yīng)用管理軟件是分散在各個(gè)連結(jié)機(jī)具的工作站上,用以面向用戶機(jī)具,管理整個(gè)系統(tǒng)。系統(tǒng)以應(yīng)用功能為基礎(chǔ),共劃分出消費(fèi)管理、考勤管理、門禁管理、卡管理、基本信息管理、操作權(quán)限管理等6個(gè)子系統(tǒng)。
3 系統(tǒng)安全機(jī)制
在系統(tǒng)中安全管理機(jī)制包括卡的加密和認(rèn)證機(jī)制,卡權(quán)限管理機(jī)制,數(shù)據(jù)庫安全管理機(jī)制,應(yīng)用管理軟件的安全等幾個(gè)方面。對(duì)卡的加密和認(rèn)證是保證系統(tǒng)能在安全狀態(tài)下運(yùn)行的基礎(chǔ)。對(duì)卡的加密主要是利用邏輯卡本身所具有的安全加密特性完成的。邏輯卡使用的是一種符合ISO/IEC9789—2標(biāo)準(zhǔn)的三次DES加密算法,每張卡在出廠時(shí)都有一個(gè)唯一的編號(hào),該編號(hào)不能被更改或復(fù)制;同時(shí),卡上為用戶設(shè)有兩個(gè)專門的密匙存儲(chǔ)區(qū)域,該區(qū)域不能被任何設(shè)備讀出或復(fù)制(只有通過專門的系統(tǒng)卡才能進(jìn)行讀寫)。通過兩個(gè)密匙之間的不同相互認(rèn)證,以及其它狀態(tài)控制參數(shù)的設(shè)定來共同完成對(duì)卡的讀寫方式和權(quán)限的設(shè)定加密。利用邏輯卡的上述加密特點(diǎn),在系統(tǒng)中對(duì)每張卡在特定的存儲(chǔ)區(qū)域都有保存有一個(gè)統(tǒng)一的系統(tǒng)識(shí)別標(biāo)志,以判別卡是否是系統(tǒng)內(nèi)的合法用戶???quán)限管理就是對(duì)一張卡在不同機(jī)具上可操作性的賦權(quán)過程。在系統(tǒng)中按作用和工作狀態(tài)的不同機(jī)具分為門禁機(jī),考勤機(jī)和消費(fèi)結(jié)算機(jī)等三種,在對(duì)卡的控制機(jī)制上,門禁機(jī)和考勤機(jī)二者采用相同的方式——“白名單”方式。所謂的“白名單”方式就是對(duì)于每一張要求在機(jī)具上使用的卡,必須事先把機(jī)具所需要的卡信息(卡的識(shí)別符號(hào)、所要求的讀寫方式、控制參數(shù)等)發(fā)送到機(jī)具端并在機(jī)具端加以保存。當(dāng)卡通過機(jī)具并請(qǐng)求其提供某種操作或服務(wù)時(shí),機(jī)具首先讀取該卡的信息,然后在自己所保存的卡信息中查找該卡的信息記錄,若未找到或者發(fā)現(xiàn)是合法用戶但沒有所請(qǐng)求的服務(wù)權(quán)限,則機(jī)具就拒絕用戶請(qǐng)求,使用戶操作失敗。而消費(fèi)結(jié)算機(jī)則采用“黑名單”方式。“黑名單”的工作方式與“白名單”的工作方式正好相反,它所保存的是禁用卡的信息,因此,在某消費(fèi)結(jié)算機(jī)中留存有記錄的卡在進(jìn)行消費(fèi)結(jié)算時(shí)將被其拒絕,消費(fèi)結(jié)算機(jī)也可采用特定方式進(jìn)行卡的合法性檢查。
由于在IC卡系統(tǒng)中,采集來的數(shù)據(jù)最終是要通過應(yīng)用管理軟件來處理的,因此應(yīng)用管理軟件的安全技術(shù)也是非常重要的。常用的應(yīng)用管理軟功能件包括瀏覽查詢、報(bào)表處理、數(shù)據(jù)采集、數(shù)據(jù)處理、機(jī)具管理、卡管理和用戶管理等等。為了防止非法用戶進(jìn)入管理軟件并通過管理軟件非法查看和篡改數(shù)據(jù),必須對(duì)進(jìn)入者進(jìn)行身份的鑒別,以及對(duì)訪問者進(jìn)行訪問權(quán)限控制。
基于分布式多層結(jié)構(gòu)的一卡通應(yīng)用系統(tǒng)的開發(fā)適應(yīng)了現(xiàn)代化企事業(yè)單位進(jìn)行科學(xué)而高效地管理需要。系統(tǒng)地研制成功有力地促進(jìn)了企事業(yè)管理科學(xué)化的進(jìn)程,目前已被江西省某大型企業(yè)使用,取得了良好的社會(huì)效益和經(jīng)濟(jì)效益。
參考文獻(xiàn):
【1】李維 分布式多層應(yīng)用系統(tǒng)篇 北京:機(jī)械工業(yè)出版社 ,2000年
【2】李維 分布式多層應(yīng)用電子商務(wù)篇 北京:機(jī)械工業(yè)出版社 ,2000年
【3】王景中等 基于智能IC卡的網(wǎng)絡(luò)數(shù)據(jù)安全保密系統(tǒng) 計(jì)算機(jī)應(yīng)用,2001,21(7):53-55
【4】肖政宏 韓秋風(fēng) 多層軟件結(jié)構(gòu)技術(shù)及其實(shí)現(xiàn) 電腦與信息技術(shù),2001,9(6):52-55
作者簡介:劉小東 周紹梅 南昌大學(xué)計(jì)算中心 鄧胡濱 華東交通大學(xué)信息學(xué)院