随着师生对校园卡应用拓展需求的日益增长,以及物联网、移动支付等新兴信息技术的发展,校园卡平台建设迎来新的机遇,国内各高校掀起了校园卡平台更新换代的建设热潮。南京航空航天大学(以下简称“南航”)在“十三五”期间也开展了校园卡平台的升级换代建设。
建设背景
南航原校园卡平台始建于2002年,有各类消费POS机1500余台,多媒体机60余台,承载了食堂消费、门禁考勤、校车补贴、宿舍水电缴费、校园网络缴费等多种校园卡业务,支持自助圈存、现金充值、支付宝充值等充值方式。原平台建设年代久远,设备技术老旧,师生使用体验不佳,满意度很难提升,主要表现为:
1.早期基于非网管型交换机及光猫构建校园卡网络,卡机设备型号老旧,先进性不足,平台超期服役,设备故障频繁。
2.采用离线交易模式,当设备或网络发生故障时无法实时上传交易数据,易造成卡库不平的问题,带来账务风险。
3.使用传统M1卡作为载体,而M1卡易被破解和易被复制的缺陷,使系统的安全性难以得到有效保证。
4.平台功能较简单,开放性和扩展性有限,难以满足师生日益增长的线上使用需求。
针对以上问题,南航提出建设融合、实用、开放、先进的“新一代”校园卡平台的目标,实现校园卡从实体卡向虚拟卡、NFC、生物特征等多介质扩展,“线下为主”向“线上为主”的虚拟化扩展,并与校园信息化应用深度融合,满足全校师生在校园里综合消费、身份识别、信息查询、业务办理等需求。
“新一代”校园卡平台建设的具体目标包括:
1.多元支付,走遍校园。在满足校园卡支付认证功能的基础上,融合移动支付和移动认证功能,全面支持校园卡、NFC手机卡、虚拟卡、人脸识别等支付方式。
2.面向服务,管理便捷。满足师生用户、运维人员、财务人员、各级领导、业务部门等不同群体的服务和管理需求。
3.开放友好,学校自主。采用开放的架构、开放的平台、开放的产品,学校掌握卡片密钥,自主选择卡机硬件设备,不被厂商绑定。
4.安全稳定,技术先进。确保数据的安全与可靠,确保系统平台的高安全性和高可靠性。
总体架构
南航“新一代”校园卡平台总体架构设计(图1)遵循学校智慧校园顶层设计规范,大体分成以下几层:
图1 南航“新一代”校园卡平台总体架构
1.基础设施层。充分利用学校专有云平台安全、稳定、易扩展的特性,利用云资源部署相关的微服务应用,提供基础设施支撑能力。
2.数据资源层。包括校园卡相关的基础库、主题库、业务库、生物特征库、数据仓库等,提供数据处理与存储服务能力。
3.支撑平台层。校园卡核心平台,如聚合支付、介质管理、支付平台、虚拟卡平台等,为一卡通提供平台支撑。同时,支撑平台层与学校流程平台、统一身份认证、共享数据平台实现数据的互联互通、流程整合,共同为智慧校园提供基础平台业务。
4.业务应用层。主要提供校园卡平台前端业务,包括餐饮、门禁、水控、电控、缴费等应用,提供各场景服务能力。
5.门户展现层。提供基于校园卡的Web门户、App门户的后端服务支撑,前端由学校App、企业微信等移动入口完成。
6.用户服务层。基于校园卡账户体系的各类介质与载体,如人脸、二维码、实体卡、NFC等介质,所有介质统一由介质管理平台进行统一管理。
建设内容
南航“新一代”校园卡平台的建设实施主要包括平台规划、核心系统部署、业务子系统部署、各类软硬件对接、终端硬件部署等内容。
1.平台规划
纯在线联机交易架构:原系统采用了卡库结合的方式,卡库不平的问题非常突出,卡片开了多个扇区,有消费、浴室水控、开水炉水控、车载等多个钱包,转账即认为是消费,数据无法实时。经综合考量,南航采用了纯在线金融架构设计、联机交易,校园卡账户采用一个账户管理各类资金。
网络分区及安全防护:按服务端、前置机、终端硬件类型等进行网络分区,设置白名单进行网络通信控制。
虚拟化部署:除了各校区前置服务器之外,所有服务器均在学校专有云上进行虚拟化部署,充分利用学校专有云平台安全和稳定的特性。
2.核心系统部署
核心平台:实现了对人员身份的认证管理,黑白名单的同步、金融交易的处理统计,同时对校园卡参数设置等进行统一管理,图2为校园卡核心平台架构图。
图2 校园卡核心平台架构
校级生物特征平台:作为全校门禁系统、人脸道闸、上课考勤、会议签到等介质源头,从每个人的人脸、卡片数据等介质的录入到数据授权给第三方系统使用,调取接口使用情况做详细的管理,形成闭环。
智能门禁管理平台:配合校园卡平台的更换,南航对全校所有楼宇门禁系统进行了更换,实现主通道人脸识别,次通道刷卡或刷二维码进出。门禁系统还集成了人脸门禁、电子门锁、刷卡、扫码门禁等不同类型和不同厂家的硬件,并与实验室预约门禁,大型仪器平台,流程平台、宿管系统等进行了对接和联动,通过智能门禁管理平台实现了管理权限分级授权。
统一支付及智能风控管理系统:实现线上线下统一支付,对各终端机具、服务器及软件服务进行有效的状态监控,从而提升系统的可管理性、可维护性。通过整合整体业务状况包括POS流水笔数、活跃账户数等,显示校园卡平台整体业务的运行情况。当设备出现故障时,显示屏自动提示,方便维护人员及时维修。
移动服务平台:移动服务平台以学校“i·南航”App、微信企业号整合集成为主要服务入口,实现统一身份鉴权功能,实现校园卡服务、缴费服务、查询服务等的整合,提供在线查询、在线缴费、帮他人充、账户管理等校园卡服务及周边延展服务。
数据可视化平台:实时进行消费数据展示,方便对系统数据进行监控。
校园卡开放平台:提供丰富的接口,支持第三方软硬件接入,并建立开发者中心,方便第三方应用调阅文档,查看实例,对所有API接口进行审核审计,保证安全。
3.业务子系统部署、各类软硬件对接及终端硬件部署
包括十余套综合业务子系统及与校园App、网银、市民卡、网络缴费、电控缴费、图书馆借还书、校医院扣费、自助照片采集等接口的对接,以及包括扫码POS机、控水POS、人脸门禁、扫码门禁、电子门锁、智盘POS、自助服务终端一体机等终端硬件的部署。
建设成效
第一,实现新老系统的平稳切换。南航校园卡平台历时一年完成建设并上线运行。校园卡平台涉及系统多、用户覆盖广,切换工作尤为重要,要从系统升级平稳性、对师生影响最小化出发,实现新系统与老系统的无缝衔接替换。
第二,为师生提供更为便捷的生活服务。除了线上线下一体化消费支付外,校内淋浴管理系统和开水管理系统纳入联网消费,学生可以扫码(打开水时)、刷卡或者输入预约码用水,可线上查询水控终端使用情况,并可提前预约,合理安排时间。学生的用水补助发放到对应水控系统,并优先使用补助。
校内师生还可通过Web、手机等方式获取当日校车运行和班次情况,教师领取班车补贴后刷卡乘车,学生及其他人员持校园卡刷卡乘车。天目湖校区的师生可以在线上预约座位后扫码乘车。各校区放置了自助拍照设备,为保证人脸数据的真实性,自助拍照机通过刷身份证比对人脸,验证为本人后,再自动上传到生物特征管理平台,进而对全校所有的信息系统的照片进行同步更新。
第三,拓展校园卡的社会化应用。南航将校园卡与公交卡进行“多卡合一”融合,在一张物理卡上虚拟多张逻辑卡,各卡之间互相独立,可以在不同业务终端上完成各自的自动识别、充值和消费等功能,满足师生校外消费及出行需要,实现跨出校园的“一卡多用”,为师生提供便捷的校园卡校外应用服务。选择具有市民卡功能的卡片后可在校园自助一体机、智汇自助机或智汇App中充值,并可在各校区学生服务中心或全市智汇卡各营业厅同步挂失与补办。此外,拓展各类品牌手机的NFC卡应用,实现NFC手机无需点亮屏幕,即可消费交易、识别门禁身份、会议签到等,极大方便了师生。
建设思考
第一,从安全角度看,校园卡建设要做好高可用保障。校园卡平台终端多,应用多,尤其是虚拟卡的应用,带来的安全隐患也多。校园卡平台产品本身在账户安全等方面提供了系统而严密的风控体系,保证系统的坚固性。除此以外,南航还在以下方面做了防护考虑:
1.校园卡核心平台,采用学校云数据中心部署方式,共使用56台虚拟主机。校园卡核心平台采用专用防火墙,终端网络采用专用链路进行访问隔离。
2.聚合支付采用银联商服聚合通道,交通银行圈存充值采用专线通道。
3.外部访问采用安全代理方式,各子系统、平台网站通过白名单发布方式进行安全保护。
4.数据中心采用两地三中心方式,实现云数据中心整体双活、故障预警,并做到实时切换,保障校园卡数据库、网络、应用系统的可靠性。明故宫校区设置实体机灾备应急中心,应急保障校园卡核心业务的运行。
第二,从管理角度看,校园卡建设要全校协同配合。校园卡平台的建设是一项系统的复杂的工程,不仅需要人员设备、技术知识等积累和贮备,还需要统一领导、全面论证、整体规划和周密设计,更需要各部门步调一致的通力合作。
校园卡平台的管理机构有的学校设在信息化部门,有的设在财务部门,也有少部分设在后勤部门。采取何种管理模式更好,实质上并不重要,重要的是要理清各部门职责,各部门分工合作,才能有效开展校园卡管理工作。南航通过制定《校园卡管理办法》对各部门职责进行了梳理和明确。
第三,从技术角度看,校园卡建设要开放共享。校园卡是校园信息化的应用基础,是大数据分析的数据基础。校园卡的开放指校园卡平台应采用开放架构、开放平台、开放产品,为学校提供规范、通用的信息标准。结合标准规范接入开放型终端设备和完善的平台接口、开放的卡片密钥和卡片结构,确保学校对系统的自主权,避免厂商绑架学校的风险。具体来说,可以从以下几点入手:
1.校园卡须与学校数据平台对接,以实现数据的互通、共享。
2.生物特征管理平台须与流程平台及应用系统互通,从数据获取到数据调用,实现生物特征信息的互通、共享。
3.统一支付平台聚合充值、聚合消费,校内缴费可以分配支付码支付,实现多种方式支付。
4.门禁平台兼容第三方硬件、软件,权限分级管理,实现权限数据互通、共享。
5.学工等大数据平台能读取校园卡数据,以开展师生画像等多场景的数据分析。
第四,从服务角度看,校园卡建设要以师生为中心。校园卡建设,一是要适应用户以“线下为主”到“线上为主”的使用方式的转变,“i·南航”App、自助机、新教工报到、临时人员办卡等办事渠道可实现不见面办卡和自助补卡;二是要适应师生由实体卡为主到虚拟卡、无卡化为主的使用习惯的改变。
作者:何安元、钱鑫、彭湘涛(南京航空航天大学)
责编:陈荣