基于多介质身份核验的智慧一卡通建设研究

2022-01-09 05:20王海勇
计算机技术与发展 2021年12期
关键词:校园卡一卡通架构

徐 伟,王海勇

(1.南京邮电大学 信息化建设与管理办公室,江苏 南京 210023;2.南京邮电大学 智慧校园研究中心,江苏 南京 210023)

0 引 言

当前全国高等学校基本均接入校园一卡通系统,校园卡是校园消费的主要渠道,占有校园支付市场份额达90%以上。随着移动支付的普及,校内单一的校园卡支付模式受到冲击,传统的一卡通已经难以满足师生对校内支付及身份验证场景使用的便捷性需求,越来越多的高校选择将传统的一卡通进行数字化、虚拟化,通过手机来拓展实体校园卡的各类功能[1]。因此,如何在现有校园一卡通系统的基础上,开拓思路,探索智慧一卡通系统建设,成为了高校智慧校园建设的重要研究课题。

随着移动互联网时代的到来,资源共享、移动化、智能化、可视化正在对传统系统进行优化和升级。国家“互联网+”行动计划启动实施后,教育部也相继出台了一系列推进教育信息化的政策和指导文件,对学校的教育信息化提出了明确的要求。通过智慧一卡通系统建设,可以打通第三方支付通道,升级扩容一卡通核心平台和支付能力以提升系统性能、打通瓶颈;通过引入新技术、新架构,可以增扩诸多符合学校智慧校园发展规划的智慧化应用,极大地彰显学校特色,为未来发展打下坚实基础,对于学校建设双一流大学,具有十分重要的战略意义和现实意义[2]。

1 现有一卡通系统现状

一卡通系统是学校日常运行中必不可少、不容有差错的重要业务系统,具有全天候、全空间运行的特征,其运行效果直接影响到学校的业务开展、管理服务和生活秩序。一卡通系统应用功能丰富,在学校的教学、科研、管理、服务中发挥了巨大的作用[3]。校园卡既是身份识别的工具,同时也是校内重要的支付手段,涵盖了校园内大多消费服务领域,包括食堂、超市、浴室、开水房、校医院、校车、图书馆、行政办公楼、教室、实验室等;还与校内第三方业务系统对接共享数据,包括图书借阅系统、宿舍电控系统、上网认证系统、门禁系统和财务系统等。

南京邮电大学的校园一卡通系统于2013年开始建设,2016年进行过升级,但核心平台沿用的仍是早期“三层构架”的平台结构。随着信息化建设新时代的到来,服务移动化、生活智能化的需求逐渐显露出来,核心平台对业务系统支撑能力不足的问题逐渐凸显,主要存在以下问题。

(1)互联网的快速发展改变了人们的工作与生活,人们与移动终端交互的时间越来越多,好友聊天、查阅新闻、文学阅读、购物移动支付等日益普及,移动化已经完全融入到了人们的生活中。校园一卡通为师生提供校内消费、门禁、登记等功能,但使用过程中都需要实体卡,存在携带不方便、丢卡挂失补办操作费时费力的问题,给一卡通管理工作带来诸多麻烦[4]。

(2)现有的校园卡支付渠道单一,学校财务处的缴费平台只能作为一个支付通道实现学费等大额费用的收取,无法满足其他职能部门对零散的小额收费项目、小额支付的需求。随着移动支付在全社会的普及,校内师生希望使用移动支付,不再依赖于单一的校园卡;同时校内部分服务资源希望向社会开放,涉及到支付的服务需要通过校园卡消费来实现,但现有一卡通系统对于校园卡用户无法区分校内外身份、难以区别管理和服务,在财务对账、统计等环节也存在诸多问题[5-6]。

(3)现有校园一卡通系统采用的是两个账户(卡钱包、电子钱包)设计体系,用户需要分清刷卡是用卡钱包,网上交易是用电子钱包。两个账户虽然实现了在消费场景下有卡和无卡的分离,但是存在脱机消费后补写卡片失败、网上充值后领取补助异常所产生的卡、库不平的情况,易造成两个账户之间数据同步的异常[7]。

(4)校园一卡通系统作为数字化校园核心平台系统,其丰富的功能和应用品类每天都在产生大量的数据,而这些数据并没有得到充分的挖掘和利用。现在学校团委、学工处、各个学院都有学生“画像”业务的需求,希望从一卡通系统获取学生与校内生活相关的消费大数据和身份识别行为的大数据,从而完成学生从入校到毕业的定制化“画像”。

2 智慧一卡通系统架构设计

针对上述一卡通系统存在的问题,南京邮电大学信息化建设与管理办公室结合本校实际情况提出了基于多介质身份核验的智慧一卡通系统的理念,并进行规划和设计,决定采用融合式技术架构来解决上述现存的问题,以实现新老系统平稳过渡。

2.1 总体框架

随着移动互联网的发展及信息技术的不断更新,在南京邮电大学“十四五”信息化规划及智慧校园的发展战略目标的指导下,对一卡通系统的信息化内容进行整体规划,全面系统地指导学校一卡通系统建设的规划与发展进程,优化学校一卡通业务流程,为学校的业务战略目标服务。智慧一卡通系统在智慧校园的整体框架中,通过顶层设计进行整体规划,总体框架如图1所示。

图1 智慧一卡通系统总体框架

在横向上,智慧一卡通系统包含五个层面:

(1)基础设施服务层,在学校分配的计算、存储、网络等云资源中,搭建集中式存储、虚拟化、微服务、容器等环境,构建支撑智慧一卡通系统“分布式+集中式”有机统一的融合式架构所需要的高可用、高安全的基础资源环境。

(2)数据资源服务层,在学校智慧校园框架内,在身份介质数据库、金融支付数据库等专用数据库的基础上,增添了人脸生物特征库、生活主题数据库,与统一身份认证、共享数据库等共同构成学校数据资源层。

(3)应用支撑平台层,提供融合式架构下的虚拟卡支付交易、多介质身份核验两大后台,以及聚合支付、软网关接入、物联网感知、能力开放、权限管理、数据分析等分工明确、功能强大的中台。

(4)业务应用服务层,提供品类众多、功能丰富的交易支付、身份核验两类独立或混合的应用,有一卡通系统自有的以及大量的第三方系统对接,包括线上应用和线下应用。

(5)门户展现与服务交付层,在综合业务和服务大厅的基础上,进一步与校园综合门户、移动校园门户进行集成,并通过各类消费终端、自助设备等人机交互终端,实现服务的提供与交付。

在纵向上,智慧一卡通系统包含三大体系:

(1)标准规范体系,建立业务标准、技术规范,便于数据共享交换、实现更好的开放性。相关标准规范符合学校相关信息化建设的要求,并作为学校标准规范体系中的有机组成部分。

(2)安全保障体系,参照学校信息安全与风控措施进行体系化设计,遵循国家、信息行业与教育行业的安全标准规范,达到国家信息安全等级保护三级的要求。

(3)运维监控服务体系,建立智慧一卡通系统的智能运维监控服务平台,参照ITSS系统运维监控标准规范,建立运维组织、流程与制度规范,形成健全的、自动化的运维监控服务体系,并纳入学校智慧校园的运维监控服务体系中[8]。

2.2 技术架构

智慧一卡通系统以在线支付、在线认证、线上线下支付协调发展作为发展方向,采用融合式技术架构进行拓展。通过Nginx、Zuul、MySQL等技术的引入与设计,实现核心平台的整体升级;同时引入主流的移动互联网、虚拟卡二维码、AI识别、人脸识别、IPV6等技术,实现业务能力提升和交易安全等级提升。

智慧一卡通系统采用“分布式+集中式”有机统一的融合式技术架构,通过基于微服务的分布式架构与集中式的金融架构,实现了金融交易的一致性与完整性和非金融类交易的弹性扩展的有机结合[9-10]。融合式技术架构汇聚了分布式与集中式优势,规避了缺点,达到先进性与成熟性的平衡[11]。

(1)分布式架构,针对服务量大、并发需求高的平台,采用微服务体系的分布式实现。主要有:虚拟卡账户交易平台、多介质身份核验平台、聚合支付平台、软网关、能力开放平台、物联网平台等,同时门户和服务大厅的后台系统也采用分布式实现。通过部署集群、负载均衡等措施,系统不会因为单点故障而停止服务。

采用基于Spring Cloud微服务的分布式架构,很好地解决移动支付、移动服务带来的高并发量影响系统性能的问题。采用微服务部署,通过K8/Docker进行编排,按需弹性扩展,可以有效满足高弹性、灵活扩展性的需求。

(2)集中式架构,针对服务量小、并发需求低的平台,采用集中式实现。主要有:综合业务平台、权限管理平台、数据分析平台等。

采用金融行业的集中式架构模式,用于虚拟卡交易及账户体系,在性能、安全、扩展层面借助已有的基础设施通过水平Scale Out方式扩展,保证了整体架构的安全性、稳定性和扩展性。集中式架构可以很好地满足金融交易的高安全、一致性要求。

融合式架构统一对数据底层进行了封装,实现数据库无关性,同时也针对未来学校大数据的应用扩展提供了支持。融合式架构将微服务的分布式架构与集中式架构有机地结合在一起,基于两类架构下实现的服务可以横向调用,最大化地实现性能最优的保障。整体架构通过服务网关对应用层提供统一服务,对内部业务及服务的故障、性能、流量、容量、应用响应、监控、业务扩展等进行统一管理,简化一体化运维与部署,实现架构可迭代升级而不影响业务的使用,极大地满足自主扩展的需求。

3 现有一卡通系统升级建设

基于融合式架构的智慧一卡通系统对系统的核心平台、网络架构和终端机具都提出了新的要求,南京邮电大学根据业务发展需要,在一卡通系统厂商的支持下,对以下几个方面进行升级建设,以确保支付安全、稳定、高速和开放。

3.1 一卡通核心平台升级

智慧一卡通系统采用与学校现有一卡通系统的核心平台一体化设计,无缝兼容集成,构建面向学校用户的统一的校内聚合支付服务一体化平台,本次升级主要包括聚合支付平台、大数据分析平台和多介质身份核验平台的建设。

(1)聚合支付平台建设。

聚合支付平台的主要功能为系统提供判断交易类型,验证人员身份,根据不同的交易类型分发交易处理,是一卡通系统与银联聚合支付通道的中转系统。

聚合支付平台主要提供身份识别能力和统一条码支付接入能力。身份识别能力为用户分配唯一索引凭证userid,在消费环节,进行userid的比对,根据比对结果进行用户权限的控制。统一条码支付接入能力,整合银联、微信、支付宝各种支付通道,实现由一点接入完成多渠道聚合支付[12-13]。

(2)大数据分析平台建设。

大数据分析平台主要包括消费行为分析、服务优化、宏观监控、个人服务中心等多个方面,通过统计消费金额、消费人次、商户类型等指标,结合消费、教学、科研等多方面数据进行综合分析,为学校管理提供决策依据。

大数据分析平台将校园各类应用服务系统产生的业务数据高效集成与融合,通过ETL工具,对数据资源中心的数据进行清洗、转换,实现校内各种数据的存储与处理,平台架构如图2所示。大数据分析平台通过对系统中电控和水控等消费、缴费、门禁、考勤、会议等相关数据的统计与分析,通过图形化的界面轻松搭建可视化应用,满足业务预警、数据分析等多种业务的展示需求。

图2 大数据分析平台架构

相对于传统的业务系统统计报表,如今的数据可视化致力于更生动、友好的形式,即时呈现隐藏在瞬息万变且庞杂数据背后的业务价值,可以在一个界面上显示不同维度、不同场景下的数据。通过交互式实时数据的可视化视屏墙来帮助管理人员发现、诊断业务问题,掌握校园内事物的规律,通过多样的智能终端为师生用户群体提供个性化、及时化、主动化的智能服务。

(3)多介质身份核验平台建设

多介质身份核验平台是智慧一卡通系统建设的核心平台,平台基于CAS方案实现,它的主要功能包括统一认证管理、统一认证门户和相关的管理及审计,平台架构如图3所示[14-15]。其中统一认证管理是核心的产品价值体现,它被校园生活中众多应用使用的同时也要应付纷繁的介质账户,如:二维码、人脸、指纹等。多介质身份核验平台就是对多种生物介质管理、认证的平台。

图3 多介质身份核验平台架构

智慧一卡通系统通过多介质身份核验平台建设统一开放标准和数据交换接口,实现各业务系统的互联互通与数据共享。针对有人脸识别、指纹等需求的各种应用场景,支持后期各种生物介质的无缝接入;同时也具有良好的兼容性,可支持多种接口接入,对外提供统一接口。多介质身份核验平台集成各个系统的认证方式,数据资源统一管理,实现校内用户的电子身份认证管理;同时为学校提供统一的一卡通认证与支付服务,采用统一账户支付机制,提供实体卡、虚拟卡、人脸识别等满足不同人群使用需求,所有介质关联同一账户,实现统一管理财务结算、资金对账、权限管控,识别过程安全可靠、可追溯,保证个人数据的安全性。

3.2 一卡通网络及终端机具升级

智慧一卡通系统对网络提出了新要求,原有一卡通网络虽然采用了物理专网,但原有简单的2层网络已不再适用,需要调整升级为专用3层网络,将核心后台服务、数据库、终端机具等按照应用重要级别对应划分Vlan并设置相应的DMZ域来保证安全性,需要和银联等外部资源访问的一律通过防火墙映射,不再允许内、外网双网卡使用。

终端机具由原有只支持刷卡的单一消费模式,升级后支持人脸识别、微信、支付宝、云闪付、校园卡等多渠道支付模式,同时会对用户身份进行统一认证,消费数据均会保存在智慧一卡通系统的大数据分析平台,方便日后数据分析使用。终端机具除了支持在线消费模式(人脸识别、扫码、校园卡),还支持脱机消费模式(校园卡、扫码),确保网络中断时业务不中断。

4 智慧一卡通系统优势

南京邮电大学智慧一卡通系统的建设以信息技术的广泛应用为指导,以基础设施的建设为支撑,以应用系统和信息资源建设为重点,按照学校“十四五”信息化规划要求,结合学校信息化发展实际需求,消除信息孤岛和资源瓶颈,为学校的教学、科研、管理和生活等提供智能的数字化服务,为学校实现战略发展目标提供坚实的智能化支撑平台。

智慧一卡通系统作为学校主要的支付系统,具备消费、身份识别的功能,保障着饮食、超市、门禁、签到等多方位的服务有序进行。智慧一卡通系统提供面向未来发展的移动在线支付、在线认证功能,打通了校内外主要消费通道,提供了更广泛、更全面的生活服务,为校内师生提供便捷、高效、健康的数字化生活环境,实现与智慧校园整体架构的深度融合。

(1)技术先进化。

智慧一卡通系统引入先进技术、安全支付渠道,支持聚合支付多渠道并发,性能强大、交易安全、系统稳定,从根本上解决了原先平台能力不足、支付渠道单一带来的相关问题。智慧一卡通系统提升了整体在线支付能力、在线认证能力、并发响应能力,打造了基于校园卡账户体系为标准的线上线下完美融合的支付认证体系,丰富了校内支付、认证体验,惠师惠生,进一步提升了学校的支付服务能力。

(2)支付多元化。

智慧一卡通系统构建了基于多种聚合渠道、多种介质、多种聚合终端的核心服务平台,提供了多种渠道、统一出口、管理便捷的聚合支付服务,支持多种支付方式在主要支付场景下任选,包括银联云闪付、微信、支付宝等付款码认证支付,以及线上线下一体化的多功能聚合支付方式,进一步提升了师生的体验感,为拓展校园卡在校内的应用奠定了坚实的基础。

(3)多介质认证。

智慧一卡通系统构建了多介质身份核验平台,将实体卡、二维码、生物特征等多认证介质有机融合,自然应用在身份识别与消费支付等场景中。在校园里,统一身份认证才是学校师生的唯一网上“身份证”,本平台接入统一身份认证系统后,广大师生在各个系统的页面登录时,除了可以通过原有的账户密码登录方式,还可以通过扫描二维码或电脑的前置摄像头进行身份认证,丰富了统一身份认证的方式,提升了统一身份认证的安全性。同时,它还可以通过强大的能力开放平台,为学校的业务场景扩展、各部门应用衔接、第三方系统接入提供统一认证服务,便于学校构建自主授权管理的校园支付服务生态。

(4)大数据分析。

智慧一卡通系统构建了硬件设备物联网平台,实现了多厂家、多协议标准的终端硬件统一接入,实现硬件设备无关性,为大数据采集提供有力支持。智慧一卡通系统的数据占据了师生校园生活的绝大部分,系统利用数据资源优势,实现免于清洗、自动入库,构建了智慧校园层面的生活主题数据库,利用数据分析平台,为学校领导与业务部门提供相应的数据展示、模型分析和决策支持服务。

(5)对账统一化。

智慧一卡通系统可获取到校园卡、聚合支付的统一对账文件,通过聚合支付平台,将市面上主流的支付渠道整合为一个付款渠道接口,提供给学校作为独立的商户使用。学校作为统一的商户,只向平台申请一次就可以接入全部的主流支付,不用校内商户逐个去申请,便于快速有效实现校内商户的新增、变更和删除。学校在第三方支付系统(对接的是工商银行)开立相应的账户,支付的交易金额直接打入学校开立的账户,学校财务不与微信、支付宝、银联等多方收单机构一一对账,只需与提供聚合支付的收单机构(工商银行)对账,减轻对账压力,保证了资金安全。

5 结束语

遵循移动互联网应用的发展趋势,智慧一卡通系统提供更加智能、便捷、简单、可操作的支付及身份识别认证,贴合新生代用户的支付习惯,推动移动支付在学校各类场景的全面受理与落地。智慧一卡通系统在兼容原有校园卡支付认证功能的基础上,扩展移动支付和移动认证功能,实现多种支付方式的聚合,提高支付的一致性和效率性;通过实体卡、虚拟卡、支付宝、微信、手机二维码、人脸生物识别等多介质提高身份认证的安全性和便利性,保证在各种应用场景下支付的安全、效率和便利;实现统一账户管理,包含虚拟化校园卡及其他实体卡介质,开启全新的“线上校园生活”,提升校园服务水平。

智慧一卡通系统正式上线后,师生们在校园消费时都很愿意尝试新技术,使用人脸识别消费和二维码支付,提大地提高了师生校园消费的便利性,得到了师生们的认可;同时解决了以往师生因忘带校园卡无法消费的问题,提高了餐饮商户的满意度。作为系统建设者,在今后还要不断总结前期运行中遇到的一些问题,优化用户交互功能,提升师生使用体验;深化大数据分析平台的应用,提供多维度数据分析和预测,让数据管理更便捷、更精准;引入物联网技术加强终端机具管控,为商户使用终端机具提供精细化管理手段,提高服务质量。

猜你喜欢
校园卡一卡通架构
一卡通失卡招领系统设计
基于云控平台雾计算架构的网联汽车路径控制
构建富有活力和效率的社会治理架构
关键词:有尊严的资助;保护个人隐私;用大数据说话……
卡没了,小美文召回它
一种校园卡考勤签到系统的设计
考研热致高校校园卡贵达千元,这个责谁来担
向心加速度学习一卡通
VIE:从何而来,去向何方
企业架构的最佳实践