德阳建院,华东师范大学:电子校园卡应用与安全设置

2019-06-13 22:07:29 福州科技 125

  转变:从实体校园卡到电子校园卡

  众所周知,过去十年间高校信息化建设的主要内容之一就是校园卡建设,其目标是“一张卡打通所有服务”。以华东师范大学为例,校园卡不仅能够用于基本的图书馆入闸、食堂就餐,还能够用于沐浴、门禁、考勤、签到、宿舍充电等多种多样的校园生活场景。校园卡不仅是一项便利的信息化服务,在使用的过程中它还逐渐成为了一种校园文化,大部分学生毕业后都仍然希望保留一张实体校园卡,以作为一种情感的寄托和身份的象征,在此需求下,高校中还出现了“校友卡”等新的校园卡形态。经过了多年的建设,这样的校园卡体系已经逐渐定型、成熟,成为高校信息化整体拼图中不可或缺的一块,如图1所示。

德阳建院,华东师范大学:电子校园卡应用与安全设置

  而同时,实体校园卡的一些缺陷也逐渐暴露出来,如容易遗失,易被盗刷等。此外,在移动互联网浪潮的冲击下,师生对于信息化服务的诉求也在发生着变化,实体校园卡只能完成单向的信息输出,并不具备信息交互功能,充值和支付方式较为落后,不能较好支持移动支付,这些因素都对高校进一步推进“智慧校园”建设形成了制约。因此,在新的信息化建设阶段,我们有必要对校园卡的未来发展进行深入思考,尝试对校园卡的未来模式和形态进行新的描绘。

  根据这样的需求,华东师范大学开展了相关探索,通过与微信团队的合作,于2016年9月推出了新型的电子校园卡--“微信校园卡”。该电子卡模式是借助微信这一成熟的移动化载体,在实物校园卡之外,创造出一套独立的虚拟卡体系,将身份识别和消费支付这两大功能在实物卡和电子卡之间分离开来,使电子卡跳出实物卡的桎梏,实现“实物卡能做到的,在移动设备上也能实现”。目前,该微信校园卡提供了食堂就餐、图书馆入闸、校园卡查询、校园卡充值、消费查询、借阅查询、通知公告查询等诸多功能,如图2所示。

德阳建院,华东师范大学:电子校园卡应用与安全设置

  电子校园卡的安全问题及应对策略

  在微信校园卡的研发过程中,研发团队所面临的最大的问题即是安全问题。问题又主要聚焦在两个方面,一是如何确保电子校园卡身份识别的唯一性,二是如何确保将身份识别整合到电子校园卡消费支付的过程之中。这两方面的关键问题是否能够顺利解决,将决定电子校园卡是否能够真正落地并“存活”。

  身份识别

  电子校园卡的身份识别场景主要包括图书馆闸机出入、实验室门禁刷卡、自助考勤等,其目标是在刷卡的过程中确定用户身份,并尽可能确保使用者即持卡者本人。

  目前常见的电子卡身份识别技术为静态二维码,如屈臣氏、家乐福等商家在微信上发放的各种会员卡。但这一技术路径在高校校园环境中存在严重的安全隐患。首先,学工号作为判断身份的重要依据,实际上处于半公开状态,同一个班级的同学都能够知悉彼此的学号,在工作中教师的工号也是公开信息,由此生成的静态二维码容易被仿造;其次,一旦持有者的静态二维码被他人仿造或拍照,则获取者可以在任何时间、任何地点使用该二维码进行身份识别,相当于拥有了一张永不过期的身份凭证拷贝;再次,若电子校园卡持有者的手机被木马感染,二维码详情页面被截图,或卡数据被盗,二维码被通过多种方式还原,则该码也可在任何时间和地点被使用。

  为保证电子校园卡的身份认证安全,防止卡片被盗用,则必须采用安全性更高的方案,即动态二维码。在微信校园卡中,这一动态二维码体系是以原生方式在微信APP中实现的,其服务的稳定性和前后台运行环境的安全性均得到了强有力的保障,学校在这方面并不需要投入额外的精力。用户在微信中打开校园卡详情时,触发动态二维码的更新,其生成过程如图3所示。

德阳建院,华东师范大学:电子校园卡应用与安全设置

  为了保证动态二维码在用户使用过程中的安全性,每个码的有效时间均被加以限制,时间越短二维码的安全性越高(默认为1分钟变动一次)。此外,每个动态二维码都是唯一的,其最大长度为18位,其中一部分位数为分类号、版本编号和保留区域,另一部分位数为随机码。借助以上机制生成的动态二维码,其运行界面如图4所示。

德阳建院,华东师范大学:电子校园卡应用与安全设置