基于分布式多層結(jié)構(gòu)的一卡通系統(tǒng)的規(guī)劃和設(shè)計
文章出處:http://56733.cn 作者: 人氣: 發(fā)表時間:2011年09月09日
IC卡具有安全性高、大容量、抗干擾、讀寫方便等優(yōu)點。經(jīng)過近幾年的迅速發(fā)展,已形成多種類卡并行,多種應(yīng)用模式共存的局面。目前,IC卡應(yīng)用系統(tǒng)多為一些中小規(guī)模系統(tǒng),應(yīng)用于如就餐收費系統(tǒng)、門控系統(tǒng)、消費管理系統(tǒng)等等。IC卡的應(yīng)用領(lǐng)域越來越廣,但由于缺乏統(tǒng)一規(guī)劃,沒有實現(xiàn)“一卡多用”,導致“一人多卡”,保管、使用極不方便。為了實現(xiàn)“一卡多能”,探索出一個基于分布式多層結(jié)構(gòu)系統(tǒng)的有效技術(shù)方案,本文結(jié)合IC卡一卡通信息管理服務(wù)系統(tǒng),采用面向?qū)ο蠓治龊驮O(shè)計的思想,主要從體系結(jié)構(gòu)和實現(xiàn)技術(shù)上對分布式多層模式的IC卡一卡通管理系統(tǒng)的規(guī)劃和設(shè)計進行了論述。
1 系統(tǒng)規(guī)劃
非接觸式邏輯加密卡CICC具有使用壽命長、成本低、安全可靠、抗干擾力強、使用方便等特點,是實現(xiàn)“一卡多能”比較理想的卡種。系統(tǒng)選用1KB存儲空間非接觸邏輯加密卡,其數(shù)據(jù)存儲結(jié)構(gòu)如下:邏輯加密卡的存儲區(qū)域分為16個存儲扇區(qū),編號為0~15,每個扇區(qū)又劃分成4個數(shù)據(jù)塊,每塊占用16個字節(jié)。在每個扇區(qū)內(nèi)塊的編號為0~3,其中第3塊作為保留數(shù)據(jù)塊用作記錄系統(tǒng)認證和讀寫控制碼,一般用戶數(shù)據(jù)不能存入該塊中,而第0扇區(qū)的第0數(shù)據(jù)塊是卡制造商的保留數(shù)據(jù)塊,不支持用戶的寫操作。這樣在一塊卡中共有64個數(shù)據(jù)塊(它們的絕對地址編號為0~63)。在卡中,數(shù)據(jù)塊是最小存儲單位,而在使用時,卡的讀寫操作是以扇區(qū)為單位進行的。
系統(tǒng)硬件設(shè)備應(yīng)配置有讀寫卡機具、計算機、網(wǎng)絡(luò)設(shè)備等。其中機具有發(fā)卡機、考勤機、門禁機、消費機等四種,以實現(xiàn)不同的讀寫卡操作功能。每個機具都與計算機相連接,組成一個相對獨立的應(yīng)用功能站點。計算機通過網(wǎng)絡(luò)相互連接,實現(xiàn)功能站點之間的相互溝通。這樣,機具、計算機、IC卡通過網(wǎng)絡(luò)相互連接和溝通,成為一個整體,構(gòu)成了整個系統(tǒng)的硬件服務(wù)平臺。在網(wǎng)絡(luò)配置上,系統(tǒng)中配備了一臺微機服務(wù)器,專門用于本系統(tǒng)數(shù)據(jù)存儲;另外配置一臺服務(wù)器作為應(yīng)用程序服務(wù)器,用于與數(shù)據(jù)庫服務(wù)器以及各應(yīng)用功能站點之間進行通訊聯(lián)絡(luò)和控制;為了充分利用企業(yè)現(xiàn)有的企業(yè)網(wǎng)絡(luò)資源,加快建設(shè)進度、降低成本,原企業(yè)網(wǎng)服務(wù)器可作為WEB服務(wù)器,并與系統(tǒng)中專用服務(wù)器相連,使企業(yè)網(wǎng)內(nèi)各工作站可以通過瀏覽器訪問數(shù)據(jù)庫中的數(shù)據(jù)。
由于傳統(tǒng)的基于客戶機/服務(wù)器結(jié)構(gòu)的應(yīng)用系統(tǒng)可維護性不好及系統(tǒng)的擴展性不強,本系統(tǒng)采用分布式結(jié)構(gòu)規(guī)劃,即將整個應(yīng)用系統(tǒng)的執(zhí)行分成數(shù)個不同的部分并且執(zhí)行在不同的機器中,基于分布式結(jié)構(gòu)的系統(tǒng)有更好的靈活性和適應(yīng)性,且系統(tǒng)的可維護性和可復用性更強并可實現(xiàn)負載平衡。基于這種思想采用的設(shè)計方案應(yīng)包括連接機具負責數(shù)據(jù)的采集、數(shù)據(jù)的處理和系統(tǒng)的初始化設(shè)置等功能的計算機客戶端應(yīng)用程序;提供執(zhí)行企業(yè)對象的環(huán)境,并且提供核心服務(wù),包括交易管理,安全服務(wù),容錯能力和負載平衡等功能的應(yīng)用程序服務(wù)器程序;以及提供瀏覽器頁面的WEB服務(wù)器程序;和數(shù)據(jù)庫存儲備份的數(shù)據(jù)庫管理系統(tǒng)。系統(tǒng)的整體規(guī)劃方案如圖1所示:
圖1 基于分布式多層結(jié)構(gòu)的一卡通系統(tǒng)的整體規(guī)劃圖
2 系統(tǒng)設(shè)計
系統(tǒng)設(shè)計包括數(shù)據(jù)庫設(shè)計、應(yīng)用程序服務(wù)器設(shè)計、WEB服務(wù)器設(shè)計和客戶端應(yīng)用程序設(shè)計。
2.1 數(shù)據(jù)庫設(shè)計
數(shù)據(jù)庫是系統(tǒng)的信息儲存和信息交換中心,系統(tǒng)中的所有操作狀態(tài)、操作過程和記錄都集中在此進行儲存和交換,因此數(shù)據(jù)庫在系統(tǒng)中起著特殊重要的作用。按數(shù)據(jù)庫中所儲存的信息類型的性質(zhì)和特點,大致可以分為以下幾大類:基本配置參數(shù)及控制信息,持卡用戶及單位信息,卡、機具信息和計算機信息,消費信息,考勤信息,門禁信息,黑名單信息,公用信息等。在系統(tǒng)中,持卡人、卡、機具和(連接有機具的)計算機構(gòu)成了系統(tǒng)的活動主體,因此,如何正確、有效、清晰地記錄和表達這些主體的屬性、它們之間的相互關(guān)系和相互作用過程是數(shù)據(jù)庫設(shè)計的主題之一,同時也是系統(tǒng)應(yīng)用這些信息的基礎(chǔ)。在數(shù)據(jù)庫結(jié)構(gòu)上,與軟件功能模塊的劃分相對應(yīng),采用分層設(shè)計思想,即將數(shù)據(jù)庫的設(shè)計在不同的應(yīng)用層面上分別進行。最底層是用于對系統(tǒng)中各主體的基本屬性描述的數(shù)據(jù)表,在其之上是用于描述這些主體之間相互關(guān)系和相互作用的數(shù)據(jù)表,最后是針對不同應(yīng)用需要的而設(shè)計的應(yīng)用層數(shù)據(jù)表。最后,各個數(shù)據(jù)庫表層相互關(guān)聯(lián),形成一個統(tǒng)一完整的數(shù)據(jù)信息應(yīng)用網(wǎng)絡(luò),構(gòu)成關(guān)系型數(shù)據(jù)庫框架體系結(jié)構(gòu)。
2.2 應(yīng)用程序服務(wù)器設(shè)計
在開發(fā)多層式應(yīng)用系統(tǒng)中,編寫應(yīng)用程序服務(wù)器是非常重要的工作。因為應(yīng)用程序服務(wù)器提供了客戶端應(yīng)用程序存取遠程數(shù)據(jù)庫的接口,可以編寫邏輯組件,在應(yīng)用程序服務(wù)器中,允許所有客戶端應(yīng)用程序調(diào)用和使用??蛻舳藨?yīng)用程序可以透過DCOM直接與應(yīng)用程序服務(wù)器溝通。系統(tǒng)的應(yīng)用程序服務(wù)器主要負責與數(shù)據(jù)庫服務(wù)器進行數(shù)據(jù)存取、并對取出的數(shù)據(jù)進行安全處理,提供給系統(tǒng)的各個需要服務(wù)的客戶端應(yīng)用程序和WEB服務(wù)器程序。它與數(shù)據(jù)庫服務(wù)器的存取方案如圖2所示。
圖2 應(yīng)用程序服務(wù)器的存取方案
2.3 WEB服務(wù)器程序設(shè)計
在分布式多層應(yīng)用系統(tǒng)中,為了讓WEB服務(wù)器能夠服務(wù)的客戶端用戶更多,反應(yīng)客戶端的要求更迅速,WEB服務(wù)器不直接與數(shù)據(jù)庫服務(wù)器連結(jié),而是通過應(yīng)用程序服務(wù)器與數(shù)據(jù)庫服務(wù)器相連。當WEB應(yīng)用程序接受到客戶端的查詢要求時,可將查詢工作交與應(yīng)用程序服務(wù)器執(zhí)行,當它執(zhí)行完畢之后再把結(jié)果通過WEB應(yīng)用程序傳遞給WEB服務(wù)器,最后再由WEB服務(wù)器回傳給客戶端的瀏覽器。
2.4 應(yīng)用管理軟件設(shè)計
應(yīng)用管理軟件是分散在各個連結(jié)機具的工作站上,用以面向用戶機具,管理整個系統(tǒng)。系統(tǒng)以應(yīng)用功能為基礎(chǔ),共劃分出消費管理、考勤管理、門禁管理、卡管理、基本信息管理、操作權(quán)限管理等6個子系統(tǒng)。
3 系統(tǒng)安全機制
在系統(tǒng)中安全管理機制包括卡的加密和認證機制,卡權(quán)限管理機制,數(shù)據(jù)庫安全管理機制,應(yīng)用管理軟件的安全等幾個方面。對卡的加密和認證是保證系統(tǒng)能在安全狀態(tài)下運行的基礎(chǔ)。對卡的加密主要是利用邏輯卡本身所具有的安全加密特性完成的。邏輯卡使用的是一種符合ISO/IEC9789—2標準的三次DES加密算法,每張卡在出廠時都有一個唯一的編號,該編號不能被更改或復制;同時,卡上為用戶設(shè)有兩個專門的密匙存儲區(qū)域,該區(qū)域不能被任何設(shè)備讀出或復制(只有通過專門的系統(tǒng)卡才能進行讀寫)。通過兩個密匙之間的不同相互認證,以及其它狀態(tài)控制參數(shù)的設(shè)定來共同完成對卡的讀寫方式和權(quán)限的設(shè)定加密。利用邏輯卡的上述加密特點,在系統(tǒng)中對每張卡在特定的存儲區(qū)域都有保存有一個統(tǒng)一的系統(tǒng)識別標志,以判別卡是否是系統(tǒng)內(nèi)的合法用戶???quán)限管理就是對一張卡在不同機具上可操作性的賦權(quán)過程。在系統(tǒng)中按作用和工作狀態(tài)的不同機具分為門禁機,考勤機和消費結(jié)算機等三種,在對卡的控制機制上,門禁機和考勤機二者采用相同的方式——“白名單”方式。所謂的“白名單”方式就是對于每一張要求在機具上使用的卡,必須事先把機具所需要的卡信息(卡的識別符號、所要求的讀寫方式、控制參數(shù)等)發(fā)送到機具端并在機具端加以保存。當卡通過機具并請求其提供某種操作或服務(wù)時,機具首先讀取該卡的信息,然后在自己所保存的卡信息中查找該卡的信息記錄,若未找到或者發(fā)現(xiàn)是合法用戶但沒有所請求的服務(wù)權(quán)限,則機具就拒絕用戶請求,使用戶操作失敗。而消費結(jié)算機則采用“黑名單”方式。“黑名單”的工作方式與“白名單”的工作方式正好相反,它所保存的是禁用卡的信息,因此,在某消費結(jié)算機中留存有記錄的卡在進行消費結(jié)算時將被其拒絕,消費結(jié)算機也可采用特定方式進行卡的合法性檢查。
由于在IC卡系統(tǒng)中,采集來的數(shù)據(jù)最終是要通過應(yīng)用管理軟件來處理的,因此應(yīng)用管理軟件的安全技術(shù)也是非常重要的。常用的應(yīng)用管理軟功能件包括瀏覽查詢、報表處理、數(shù)據(jù)采集、數(shù)據(jù)處理、機具管理、卡管理和用戶管理等等。為了防止非法用戶進入管理軟件并通過管理軟件非法查看和篡改數(shù)據(jù),必須對進入者進行身份的鑒別,以及對訪問者進行訪問權(quán)限控制。
基于分布式多層結(jié)構(gòu)的一卡通應(yīng)用系統(tǒng)的開發(fā)適應(yīng)了現(xiàn)代化企事業(yè)單位進行科學而高效地管理需要。系統(tǒng)地研制成功有力地促進了企事業(yè)管理科學化的進程,目前已被江西省某大型企業(yè)使用,取得了良好的社會效益和經(jīng)濟效益。
參考文獻:
【1】李維 分布式多層應(yīng)用系統(tǒng)篇 北京:機械工業(yè)出版社 ,2000年
【2】李維 分布式多層應(yīng)用電子商務(wù)篇 北京:機械工業(yè)出版社 ,2000年
【3】王景中等 基于智能IC卡的網(wǎng)絡(luò)數(shù)據(jù)安全保密系統(tǒng) 計算機應(yīng)用,2001,21(7):53-55
【4】肖政宏 韓秋風 多層軟件結(jié)構(gòu)技術(shù)及其實現(xiàn) 電腦與信息技術(shù),2001,9(6):52-55
作者簡介:劉小東 周紹梅 南昌大學計算中心 鄧胡濱 華東交通大學信息學院