非接觸CPU卡技術(shù)在中國科技館的應(yīng)用

　　門禁管理系統(tǒng)采用了CPU卡安全門禁讀卡器，采用SAM與CPU卡的安全認(rèn)證，建立了完整、嚴(yán)密的密鑰管理系統(tǒng)，充分使用了CPU卡安全特性。密鑰注入SAM卡后，外部無法讀取。將SAM卡插入讀寫卡設(shè)備內(nèi)，通過SAM卡和CPU卡進(jìn)行雙向驗證。驗證報文是由隨機(jī)因子參與計算的，同一張卡在一臺設(shè)備上刷卡，每次都不相同，徹底杜絕“偽卡”的出現(xiàn)。

　　·人員訪客管理系統(tǒng)

　　訪客系統(tǒng)客戶端部署在進(jìn)出辦公大樓的門衛(wèi)管理窗口，系統(tǒng)由管理軟件、發(fā)卡器、一二代身份證閱讀設(shè)備、數(shù)碼相機(jī)等組成，并與一卡通中心的身份認(rèn)證服務(wù)器進(jìn)行數(shù)據(jù)通訊。訪客獲得臨時的出入卡后，可以在允許的范圍內(nèi)通行。

　　根據(jù)公司的實際需求，訪客管理可與現(xiàn)有門禁系統(tǒng)、梯控系統(tǒng)對接，實現(xiàn)被訪者到門衛(wèi)處刷卡確認(rèn)（更安全、可靠）、同時對來賓所發(fā)的訪客卡自動授權(quán)活動區(qū)域（最多為被訪者的權(quán)限），拜訪結(jié)束后在門衛(wèi)處刷卡自動完成退卡注銷。

　　·考勤管理系統(tǒng)

　　考勤管理系統(tǒng)是以員工使用CPU卡在門禁或考勤機(jī)刷卡數(shù)據(jù)為基礎(chǔ)，經(jīng)后臺考勤管理模塊處理，全面實現(xiàn)員工考勤管理自動化。該系統(tǒng)可靈活地設(shè)置上下班時間、班次，制定不同的考勤制度，根據(jù)員工的刷卡記錄能夠快而準(zhǔn)地計算出員工上、下班時間，并生成用戶所需的考勤報表，匯總結(jié)果經(jīng)處理后可直接計算出員工工資。

　　·停車場管理系統(tǒng)

　　停車場管理系統(tǒng)類似于一般的門禁管理系統(tǒng)。員工憑有效卡自動進(jìn)、出停車場，訪客進(jìn)入停車場前在出票口獲得臨時進(jìn)門卡。系統(tǒng)實時收集進(jìn)出車輛數(shù)據(jù)，可隨時查詢停車場停車狀況，隨時生成各種報表。停車場管理系統(tǒng)可分為免收費(fèi)停車和收費(fèi)停車兩類。

　　·消費(fèi)管理系統(tǒng)

　　CPU卡消費(fèi)管理系統(tǒng)可實現(xiàn)企業(yè)內(nèi)部員工就餐、企業(yè)或園區(qū)內(nèi)購物等消費(fèi)管理。該系統(tǒng)能夠?qū)κ程谩⑿≠u部等消費(fèi)功能和操作人員進(jìn)行授權(quán)和設(shè)定，建立消費(fèi)項目和帳目，員工憑卡消費(fèi)，系統(tǒng)對卡進(jìn)行安全認(rèn)證并對消費(fèi)信息進(jìn)行加密存儲，消費(fèi)信息實時或定時發(fā)送到后臺中心系統(tǒng)，做為統(tǒng)一清算和帳務(wù)管理的依據(jù)。

　　·在線巡更管理系統(tǒng)

　　系統(tǒng)可根據(jù)管理需求設(shè)定保安員的巡更路線、時間，值班的保安員必須在指定的時間內(nèi)觸發(fā)指定的巡更點。在巡查線路上安裝一系列代表不同點的感應(yīng)卡，巡查到各點時巡查人員用手持式巡更機(jī)讀卡，把代表該點的卡號和時間同時記錄下來。巡查完成后巡更機(jī)通過通訊線把數(shù)據(jù)傳給后臺系統(tǒng)處理，就可以對巡查情況（人員、地點、時間、事件等）進(jìn)行記錄和考核。

　　·自助查詢服務(wù)系統(tǒng)

　　提供企業(yè)一卡通系統(tǒng)全部交易和管理信息（如帳戶信息、交易信息、卡服務(wù)信息等）的查詢，可以按崗位設(shè)置查詢內(nèi)容，不同崗位的人可以查詢不同的信息。

　　3、第三方接口

　　企業(yè)/園區(qū)一卡通系統(tǒng)將提供與現(xiàn)有信息系統(tǒng)如財務(wù)統(tǒng)計信息、人事工資系統(tǒng)、圖書管理、醫(yī)務(wù)管理等系統(tǒng)、智能樓宇自控系統(tǒng)接口，實現(xiàn)與現(xiàn)有信息資源的整合，保護(hù)現(xiàn)有投資。

系統(tǒng)優(yōu)勢

　　與傳統(tǒng)的基于Mifare 1邏輯加密卡的企業(yè)一卡通相比，同方CPU卡企業(yè)一卡通有如下優(yōu)勢：

　　1、基于CPU卡技術(shù)的安全門禁系統(tǒng)

　　門禁管理系統(tǒng)采用了國有自主知識產(chǎn)權(quán)的CPU卡安全門禁讀卡器，CPU卡安全門禁讀卡器內(nèi)置有PSAM卡插槽和SAM模塊，通過發(fā)行PSAM卡或使用SAM認(rèn)證模塊來存儲各類應(yīng)用密鑰，通過內(nèi)/外部認(rèn)證方式，對交易的卡片、終端設(shè)備進(jìn)行相互認(rèn)證，保證交易介質(zhì)的合法性。

　　采用SAM與CPU卡的安全認(rèn)證，建立了完整、嚴(yán)密的密鑰管理系統(tǒng)，充分使用了CPU卡安全特性，徹底解決Mifare 1邏輯加密卡的安全漏洞。確保整個門禁安防系統(tǒng)的安全性。

　　2、密鑰管理和初始化工作由用戶主導(dǎo)

　　在以CPU卡為應(yīng)用載體的信息系統(tǒng)中,密鑰的管理是整個系統(tǒng)安全運(yùn)行的基礎(chǔ)。密鑰管理系統(tǒng)的主要任務(wù)是進(jìn)行密鑰的生成、發(fā)行和更新，它直接關(guān)系到整個系統(tǒng)的安全?？蛻裟苓^同方CPU卡企業(yè)一卡通的密鑰管理模塊自行生成和管理各類應(yīng)用密鑰，自行完成卡片的初始化工作，保證了客戶擁有密鑰管理和發(fā)卡的主動權(quán)。

　　3、終端的設(shè)備支持SAM卡插槽和認(rèn)證

　　同方CPU卡企業(yè)一卡通中的終端設(shè)備可分為幾類，一是消費(fèi)類，二是充值類，三是身份認(rèn)證類，消費(fèi)類終端內(nèi)嵌的PSAM卡只減錢的密鑰，充值終端需要聯(lián)機(jī)去硬件加密機(jī)獲取充值類密鑰，身份類可以根據(jù)實際情況來做，可以發(fā)行身份類的PSAM卡，如門禁讀卡器內(nèi)放置這類PSAM卡后，才能正確讀出卡片內(nèi)容，確保CPU卡信息的讀寫的高安全性。

　　4、嚴(yán)格遵循CPU卡的交易標(biāo)準(zhǔn)規(guī)范

　　同方CPU卡企業(yè)一卡通將采用中國人民銀行金融CPU卡交易標(biāo)準(zhǔn)規(guī)范，在CPU卡的金融交易過程中與后臺的金融加密機(jī)進(jìn)行認(rèn)證。計算交易認(rèn)證碼的密鑰和算法將存儲到金融加密機(jī)中，在進(jìn)行日終交易流水的清分清算時，需要與硬件加密機(jī)實時連接，驗證交易流水的TAC碼,以保證交易記錄的準(zhǔn)確與安全。

　　5、軟件平臺架構(gòu)的穩(wěn)定性和可擴(kuò)展性

　　同方CPU卡企業(yè)一卡通系統(tǒng)采用J2EE來簡化企業(yè)解決方案的開發(fā)、部署和管理相關(guān)的復(fù)雜問題的體系結(jié)構(gòu)，提供中間層集成框架高可用性、高可靠性以及可擴(kuò)展性的應(yīng)用的需求。

　　一卡通系統(tǒng)融合當(dāng)前最流行的三層體系架構(gòu)，將整個業(yè)務(wù)應(yīng)用劃分為：表現(xiàn)層（UI）、業(yè)務(wù)邏輯層（BLL）、數(shù)據(jù)訪問層（DAL）。便于系統(tǒng)擴(kuò)展和分布式應(yīng)用。平臺開發(fā)使用JAVA語言，采用Struts + Spring + Hibernate 的框架結(jié)構(gòu)，數(shù)據(jù)庫采用oracle 10g大型數(shù)據(jù)庫。充分滿足大中型萬人以上的企業(yè)一卡通對穩(wěn)定性、擴(kuò)展性建設(shè)需求。