1、引言

　　“一卡通”系统最根本的需求是“信息共享、集中控制”，因此系统的设计不应是各单个系统的简单组合，而应该从统一网络平台、统一数据库、统一的身份认证体系、数据传输安全、各类管理系统接口、异常处理等总体思路的来设计实现，使各管理系统，各读卡终端设备综合性能的智能化达到最佳系统设计。 “一卡通”系统应遵循“总体规划、分布实施”的原则，混合C/S、B/S模式的多层体系，以“平台+应用”的1+N架构，即是以控制台、人员信息、设备卡和账套平台为基础，整合消费管理、银行圈存、考勤管理、自助服务，并可根据企业的业务需求增加巡更管理、会议签到管理、访客管理、停车管理、电梯控制等应用。

　　2、系统管理方式设计

　　整个一卡通系统的数据库应采用同一数据库，实现数据库的统一集中管理。各个业务子系统分共同采用一张卡，实现各业务子系统的功能。系统的卡片发行由发卡中心统一完成，各卡务中心挂靠各分公司财务处，卡务管理中心由各分公司财务处负责管理。消费结算中心设在卡务中心，实现对消费系统的统一管理；整个公司考勤系统由总部人力资源部和分部人力资源处负责，实行集中管理各自分部员工考勤信息。

　　所有的客户端软件连接到同一数据库，各个客户端软件的信息保存到一个数据库中，实现一卡通系统的“数据集中”。各个系统操作员的权限由系统管理员授予，各个操作员根据权限实现分级管理。一卡通系统操作员权限的施行集中管理，在每台管理工作站上安装一套管理软件，各个操作员登录系统根据自己的权限选择进入的系统，无需每个应用模块单独安装客户端软件。

　　3、系统安全性设计

　　“一卡通”系统应具有极为严密的密码体系，并从卡片安全、硬件安全、数据传输、工作站接入、网络安全等各个环节均采取了不同措施。

　　3.1 卡片的安全性

　　企业卡可采用PHILIPS标准的S70卡，卡内的每个扇区有两组密码（KEY_A、KEY_B）和存取控制字，每个扇区的密码和存取控制都是相互独立的。卡内有加密逻辑和通讯逻辑电路，每次读卡时IC卡会先进行三重密码校验，然后才能读写卡上其它信息。卡与读写器交换数据时采用13.56Mhz的射频信号，不易被截获，即使非法截获，也因无读写密码而不能访问卡内数据。卡片采用“一卡一密”的加密机制，采用与金融系统相同的DES算法，以一套有效的卡片密钥管理机制，有效地防止伪卡。同时对不同的扇区采用不同的密钥进行控制；分为公共、独立的信息区，各个子应用系统使用独立的信息区扇区，具有不同的密码，除两个公用信息扇区能被各系统的设备访问外，各业务应用子系统在卡上的数据不能被其它子系统读写。根据持卡人的不同身份，对卡片采用分类管理，授予不同权限和功能，增强安全性。每张卡有唯一的序列号，卡在本系统内使用前要先注册发行。对系统内卡片采用分类管理，授予每张卡片不同权限和功能。

　　3.2 网络访问的安全性

　　“一卡通”系统通常会涉及到两种网络环境，一种是基于传统的工业总线如RS485网络，一种是通用的TCP/IP通信数据网。“一卡通”系统可以使用专门建设的RS485网络，该网络与其它网络是物理隔离的，可以防止非法窃听；即使被窃听，由于系统的RS485通信协议是私有的协议，信息也无法被直接读取。“一卡通”系统也可以使用采用公网，利用VLAN划分专网，使一卡通系统与智能专网逻辑隔离，使一卡通系统的网络与其它的数据网络分离，保证数据传输的安全性。

　　3.3 硬件的安全性

　　“一卡通”所有终端设备需要在管理中心注册后才能入网，入网设备要经过身份认证才能使用，防止用户私自把设备接入一卡通专网使用。系统的机具内保存有系统子卡传入的通讯密码，以保证所有敏感数据不会泄露。机具按注册和权限信息处理刷卡行为。各子应用系统不识别未注册发行的空卡（发卡器除外），其它系统发行的卡以及被列入黑名单和无权限的卡也不能正常使用。机具对传入传出的数据均经DES加密后传送，以防被窃取和更改。每台机具均有唯一的地址号，计算机与机具之间的数据通讯采用带地址和通讯口令的通讯协议，只有地址和通讯口令均核对无误时才可访问机具内的数据。机具可附加密码键盘，由持卡人输入密码进行校验。不同权限的系统管理操作卡对机具进行不同层次功能的操作，如系统卡，应用子系统卡，消费系统的操作员卡等。

　　3.4 工作站接入安全性

　　“一卡通”系统所有工作站需要在管理中心注册后才能入网，入网工作站要经过身份认证才能使用，防止用户私自把设备接入一卡通专网使用或修改一卡通系统的重要数据。每个工作站可配有一个USB加密狗，狗内注册有运行密码、软件功能授权信息和软件发行信息，防止非授权工作站侵入本系统。

　　3.5 应用系统的安全性

　　每个独立的应用子系统通过一张系统子卡（或称授权卡）进行唯一性标识，可以防止其它系统的卡片或机具甚至管理平台混入本系统使用。应用系统的操作功能采用分级、分组授权，如查看、设置、增减等，未被授权的功能在该工作站上不可见，更不可用，杜绝越权操作使用。系统的所有操作保留日志，可跟踪、追溯责任人，系统中每一个操作员都有自己的帐号和密码，所有操作都有日志跟踪。