深圳市公共交通结算管理中心深圳市“交通一卡通”工程项目方案建议书 180页

'深圳市“交通一卡通”工程项目方案建议书深圳市公共交通结算管理中心深圳市“交通一卡通”工程项目方案建议书目录v 深圳市“交通一卡通”工程项目方案建议书1.引言12.需求理解与分析32.1实体关系示意图32.2术语定义32.3现状描述72.3.1深圳市现行交通运营管理模式72.3.2香港“八达通”系统92.3.3兄弟城市交通IC卡项目建设、运行情况102.4需求概述102.5系统目标112.5.1近期目标122.5.2中期目标122.5.3远期目标133.目标系统运营模式143.1业务实体143.1.1结算管理中心143.1.2结算银行153.1.3运营商153.1.4发卡、充值点153.1.5数据采集点153.1.6POS终端用户163.1.7持卡用户163.1.8香港“八达通”中央信息中心163.2业务流程163.3主要运营商运营模式183.3.1公交大巴183.3.2中小巴213.3.3出租车243.3.4客运班轮263.3.5路桥收费283.3.6地铁303.3.7加油站323.3.8停车场334.应用系统构成与功能354.1消费终端系统354.1.1IC卡消费终端354.1.2数据采集设备364.2结算中心系统和运营商系统374.2.1功能模块划分374.2.2系统管理384.2.3卡发行管理42v 深圳市“交通一卡通”工程项目方案建议书4.2.4卡管理424.2.5充值454.2.6数据采集管理484.2.7结算处理494.2.8黑名单管理564.2.9与外系统的接口574.2.10应用系统安全保障624.2.11数据库维护625.网络方案设计645.1网络通讯需求645.1.1结算中心网络需求645.1.2运营商网络需求645.1.3服务商网络需求655.2网络系统设计原则655.2.1网络的开放性和标准化655.2.2网络的先进性655.2.3网络的可靠性655.2.4网络的安全保密性665.2.5网络的可扩充性665.2.6网络的可维护性665.2.7兼容性665.3结算中心局域网设计665.3.1局域网主干技术选择665.3.2局域网方案705.4“交通一卡通”广域骨干网设计735.4.1广域网线路选择735.4.2深圳市“交通一卡通”防火墙设置755.4.3深圳市“交通一卡通”广域网结构765.5网络设计中的可靠性考虑775.5.1局域网可靠性775.5.2广域网可靠性785.5.3防火墙热备份说明785.6运营商局域网与网络接入设计795.7服务提供商网络接入设计805.8独立网点网络接入设计815.9与政府有关机构连网825.10无线数据采集与传输825.10.1系统构成835.10.2系统内的无线通讯845.10.3数据采集过程855.10.4车载无线终端及基站信道机设计865.11关于“远期目标”的网络设计865.12网络与系统管理87v 深圳市“交通一卡通”工程项目方案建议书5.12.1需求分析875.12.2网络与系统管理方案895.12.3具体配置975.13网络设备及软件选型说明976.系统平台设计986.1结算管理中心系统平台设计986.1.1设计原则986.1.2主机系统选择及配置996.1.3结算中心数据库系统选择1066.2运营商计算机系统平台设计1106.2.1运营商业务系统运行服务器选择1106.2.2运营商业务系统数据库系统选择1116.3独立网点运营商计算机系统平台设计1116.4服务提供商计算机系统平台设计1117.卡及终端设备选型1127.1公交系统IC卡的选择1127.2本系统IC卡的选型1177.3读写机具1188.安全方案设计1248.1安全隐患分析1248.2安全方案结构1248.3IC卡的安全1258.3.1IC卡的安全体系1258.3.2IC卡、PSAM卡和相关机具的管理1278.4交易安全1288.4.1脱机消费交易的安全1288.4.2充值交易的安全1308.5数据安全1318.5.1数据采集安全1318.5.2数据传输安全1328.5.3数据存放的安全1348.6密钥管理1358.6.1密钥管理需求1358.6.2密钥管理方案1358.7网络安全1418.7.1网络安全需求分析1418.7.2网络安全方案1428.8安全方案分析1458.9与“香港八达通”系统互连考虑1469.项目管理与实施1479.1项目合作方式147v 深圳市“交通一卡通”工程项目方案建议书9.2项目组织机构1489.2.1组织机构1499.2.2执行机构1509.2.3人员组成1549.3建设实施原则1549.4项目进度计划15510.支持与服务15610.1支持服务的管理15610.2组织保障15610.2.1支持服务总中心的建立15610.2.2现场支持服务分中心的建立15710.2.3业主支持服务机构的建立15810.3支持服务的范围和措施15810.3.1支持服务范围15810.3.2硬件支持服务15810.3.3网络管理支持服务16110.3.4工程支持服务需求16310.4试运行阶段的支持服务16310.5更改控制和配置管理16310.5.1设备变更通知16410.5.2硬件安装步骤16410.6技术培训16510.6.1培训方式16510.6.2培训要点16611.关键问题分析与说明16711.1卡定位：非金融卡与联名卡16711.2IC卡选型16811.3基于消费终端的自动充值17011.4对无线网和无线技术的利用17011.5车辆调度定位系统与本系统的关系17111.6深圳市政府的全力支持17211.7银行的配合问题是影响项目进度的关键因素17211.8卡的营销策略和促销措施17311.9关于客户服务中心的建立17411.10集成商所面临的挑战174v 深圳市“交通一卡通”工程项目方案建议书1.引言173 深圳市“交通一卡通”工程项目方案建议书1.需求理解与分析1.1实体关系示意图深圳市“交通一卡通”系统涉及多个业务实体及单位，它们之间的关系如下图示意：1.2术语定义深圳市“交通一卡通”系统通过网络连接数据处理中心（DPC）、服务提供商及运营商数据采集点，为深圳市所辖范围内交通运输部门提供交通收费管理、结算服务及运营管理的IC卡及计算机综合应用系统。香港“八达通”系统173 深圳市“交通一卡通”工程项目方案建议书运行于香港特别行政区，服务于九广铁路、九广轻铁、地铁、机场快线、城巴、九巴（指定路线）、新巴（指定路线）、香港离岛及新市镇航线小轮，采用电子储值收费方式的通用车票系统。卡片采用日本SONY公司的非接触式逻辑加密卡。结算中心负责深圳市“交通一卡通”系统的建设、管理和维护，负责“交通一卡通”IC卡的发行、充值和管理，负责“交通一卡通”系统交易数据采集和结算的管理单位。香港“八达通”中央信息中心香港“八达通”系统的管理、控制及结算中心，负责“八达通”IC卡的发行、充值和管理，负责“八达通”交易数据采集和清算的管理单位。运营商加入深圳市“交通一卡通”系统的各种经营性企业。如：大巴公司、中小巴公司、出租车公司、地铁公司、路桥公司、石油公司等。服务提供商为深圳市“交通一卡通”系统的有关业务提供服务的企业或单位。如：结算银行、金融电子结算中心、IC卡充值点和代理点等。结算银行深圳市“交通一卡通”系统中最重要的服务提供商，其首要任务是负责按照结算中心支付指令执行结算资金的划拨。独立结算单位173 深圳市“交通一卡通”工程项目方案建议书在结算中心开立内部核算帐号，在商业银行开立结算帐号，与结算中心之间进行独立结算的经营实体。数据处理中心—DPC（DataProcessingCenter）是深圳市“交通一卡通”系统的管理、控制、数据采集与处理中心。DPC负责收集、整理消费流水，负责卡的发行与管理，还负责整个系统运行参数管理、内部各经营实体间的资金清算并转发支付指令至银行等。DPC设立在深圳市公共交通结算管理中心。售卡查验用户有效身份证件，进行个人信息联机登记并上传至结算中心，经检查合法后收取用户现金或转帐资金并向用户发售记名或不记名用户卡的过程。充值用户交纳现金或通过银行转帐增加其用户卡内储值金额，同时联机上报结算中心记录的过程。消费数据上传用户持卡消费后存储于消费终端设备内的数据通过无线或数据采集盒方式上传数据采集点，再通过网络上传至结算中心的过程。黑名单下传在结算中心因用户挂失和非法交易产生的黑名单，经网络下发到各数据采集点，再通过无线或数据采集盒方式下发到每一消费终端设备的过程。售卡点进行深圳市“交通一卡通”173 深圳市“交通一卡通”工程项目方案建议书用户IC卡发售活动的网点，其物理位置可能是银行营业网点，也可能是独立运营的用户卡专卖店或代销点。售卡点与结算中心实现网络连接，售卡活动发生时，售卡系统与DPC系统间进行联机交互。充值点进行深圳市“交通一卡通”用户IC卡充值活动的网点，其物理位置可能是银行营业网点，也可能是独立运营的充值点或代充值点。充值点必须与结算中心实现网络连接，充值活动发生时，充值系统与DPC系统间进行联机交互。数据采集点进行深圳市“交通一卡通”系统消费数据采集的网点，其物理位置可能是银行营业网点，也可能是独立核算的运营商下属的数据采集点。数据采集点通过网络与结算中心连接，上传消费数据，接收黑名单；通过无线或数据采集盒等方式从交易终端设备采集消费数据，下载黑名单。用户IC卡（用户卡）深圳市“交通一卡通”系统用户用于消费的IC卡，包括记名用户卡和不记名定额用户卡。用户IC卡上存储金额，可以在交易终端上脱机消费，自动结算。每张用户卡具有全系统唯一标识号。记名用户卡深圳市“交通一卡通”系统用户IC卡的一种，也可称为长期卡，主要面向深圳市居民、暂住人口以及经常来往深圳的外地人士，卡上除了金额之外，还载有用户的个人资料等信息，并具有充值和挂失功能。不记名定额用户卡深圳市“交通一卡通”173 深圳市“交通一卡通”工程项目方案建议书系统用户IC卡的一种，也可称为临时卡，主要面向在深圳短期停留的人士。不记名定额用户卡的面值固定，卡上并不记载个人资料，可以充值和销卡，但无挂失功能。PSAM卡置于消费终端设备和充值终端设备内，存储各种主密钥，用于交易认证。每一PSAM卡在深圳市“交通一卡通”系统中具有唯一标识号。操作员卡用来与消费终端设备进行相互认证，从而确认设备操作员身份的IC卡。每一操作员卡在深圳市“交通一卡通”系统中具有唯一标识号，并存有操作员的个人资料等信息，其持有人可能是运营商下属的管理人员，也可能是独立运营的个体司机。物理网点深圳市“交通一卡通”系统中除结算中心外的其他物理运行点，分为一级物理网点和二级物理网点，其中与结算中心直接相连的是一级物理网点，其他的都是二级物理网点。一般来说，运营商中心系统、服务提供商中心系统以及独立的代理充值点属于一级物理网点，其他的售卡/充值点和数据采集点属于二级物理网点。1.1现状描述1.1.1深圳市现行交通运营管理模式173 深圳市“交通一卡通”工程项目方案建议书目前，深圳市民出行乘坐的主要交通工具包括：公共大巴(含郊县大巴、专线大巴、旅游观光巴)、中小巴、出租小汽车、客运班轮、高速公路巴士、区域轨道交通等。经过调研，我们对深圳市交通运行管理现状有一个初步的了解，大致情况如下表所示：交通运营类型计费方式运营单位管理模式主要客源公交大巴1)单一票制2)分段计费大巴公司由大巴公司和司机核算深圳市民香港市民国内流动人口中流动金巴、小巴1)单一票制2)分段计费中、小巴公司实行承包制，司机按月向中、小巴公司缴纳一定数量的租金深圳市民香港市民国内流动人口出租汽车按路程计价收费出租汽车公司松散管理，司机按月向中、小巴公司缴纳一定数量的管理费国内流动人口深圳市民香港市民客运班轮1)单一票制2)分段计费客运班轮公司由客运班轮公司对操作人员核算深圳市民香港市民高速公路巴士1)单一票制2)分段计费巴士公司由巴士公司和司机核算深圳市民其他近邻城市人口香港市民路桥收费1)单一票制2)分段计费路桥公司由路桥公司和收费人员核算国内流动人口路边停车咪表收费按停车时间收费由运营商和收费人员核算深圳市民停车场收费按停车时间收费停车场管理公司由停车场管理公司和收费人员核算深圳市民加油收费按加油量收费石油公司由石油公司和加油站核算，由加油站和操作人员核算深圳市民以上列表中大部分采取现金收费方式，只有部分公交大巴线路提供了单一票制的IC卡付费。路桥收费通常采用入口处发卡，出口处缴卡并付现金的方式。1.1.1香港“八达通”系统173 深圳市“交通一卡通”工程项目方案建议书香港“八达通”系统是一种采用电子储值收费方式的通用车票系统，其具体的发展和推广工作由香港多个公共交通机构组成的一家公司来负责。“八达通”卡采用了日本SONY公司的非接触式逻辑加密卡。用户只要将卡在地铁、公交、轮渡等的收费终端感应区内扫过，即可完成电子付费的过程。若卡上的余额不够，则需要给卡充值。香港自１９９７年开始发行“八达通”卡，因其方便快捷，“八达通”系统的应用领域和用户群一直在不断扩大。目前，“八达通”的发卡量已达到800多万张，每天的交易次数大约为570万次，交易额达到3000万港币。应用范围包括：九广东铁、九广轻铁、地铁、机场快线、城巴、九巴（指定路线）、新巴（指定路线）、香港油地小轮（离岛及新市镇航线）。随着“八达通”系统的改进和完善，装载八达通消费机具的交通工具越来越多，售卡/充值网点不断增加。“八达通”系统的应用范围已经向便利店的小额消费扩展，并且充值点已设在24小时营业的便利店中，充值方式由现金充值到银行自动转账方式应有尽有。“八达通”卡为香港市民提供了越来越多的方便，其应用范围和发卡量必将不断扩展和增加。1.1.1兄弟城市交通IC卡项目建设、运行情况IC卡作为一种新兴的支付工具，具有安全性高、不易损坏、可以一卡多用、支持脱机消费等特点。用IC卡代替各种车月票既方便了用户，也便于降低运营商的运营成本，提高运营商的管理水平，还可以强化行业管理。在国内，IC173 深圳市“交通一卡通”工程项目方案建议书卡与交通领域的结合成为各个城市市政建设的一场重头戏。目前，交通卡在上海、大连、北京、珠海、重庆等地方已部分开通，或正准备开始应用。其中，上海、珠海、重庆等地方目前采用的是非接触式逻辑加密卡；大连、北京准备采用是非接触式双界面CPU卡。应用的交通工具主要包括公交、地铁、轮渡、出租车等。目前，各市都在积极发展和推广交通卡的应用，使乘客真正可以持卡乘坐各种交通工具，并进一步可持卡进行其他公用事业和行业管理的交费。从各地的情况来看，随着交通卡的推广和应用范围的扩展，交通卡正给市民带来越来越多的方便，用户反响很好，用户群在不断扩大。1.1需求概述深圳市是中国对外开放的窗口，且毗邻香港，人们的观念新，创新意识强，对各种新生事物接受快，各种基于卡的支付系统的应用空间大、前景好。另外，深圳与香港毗邻，每天进出罗湖口岸的人非常多，深圳地铁和香港地铁并轨后，两地间人员的往来会更加频繁。香港庞大的消费群体将会使包括深圳交通在内的各个领域的消费呈指数增长，从而进一步带动深圳市经济的繁荣。香港及香港市民，是深圳市潜在的、巨大的市场。基于以上背景，总是走在时代前列的深圳市政府一直清醒地按照“统一规划，统一布暑，分期分批实施”的原则进行市政规划和建设，近期决定启动建设的深圳市“交通一卡通”系统是整个宏伟蓝图中的一部份，其目标是改善整个城市的交通服务环境，降低运营成本，为包括香港市民在内的辖内用户提供更方便、周到及更加人性化的服务。由于IC卡具有便捷、安全、可靠、高效，信息容量大等特点，而交通等公用事业收费具有客户数量巨大，消费额相对较低，消费频度高等特点。所以，在交通等领域用IC173 深圳市“交通一卡通”工程项目方案建议书卡支付方式代替传统的现金支付方式，对于方便用户，降低运营成本，快速采集运营数据，提高管理效率与水平，为运输管理提供辅助决策支持等方面具有特别重要的意义；IC卡与公用收费领域应用的紧密结合必定成为今后较长一段时间的大势所趋。深圳“交通一卡通”工程是一个庞大的系统工程,该工程时间跨度大、起点高、涉及面广、影响力大，既需多部门协同完成，更需要总揽全局、统一规划、分段施工，使各个阶段工程相互衔接和呼应。该项目涵盖的主要领域包括：公共大巴、中小巴、出租小汽车、地铁、轻轨、轮渡、路桥隧道收费、停车场管理、燃气、自来水、房租、物业管理、加油、公园景点、小区收费体育设施和部分购物场所等。项目的出发点是方便持卡人、方便运营商、提高运输管理水平，防范各种风险。在总体设计上，要充分考虑到系统涉及的所有领域在未来发展中的升级、扩容与兼容。1.1系统目标系统的总体目标是建成真正的城市通卡，并逐步扩大卡片的应用范围。整个工程应分阶段实施，每个阶段都应有明确的实现目标，并且阶段性目标要为总目标服务。1.1.1近期目标1.建立深圳市公共交通管理结算中心，实现该中心与市内各公交运营单位及服务商的网络连接；2.开发结算中心、运营商、服务商应用软件系统，IC173 深圳市“交通一卡通”工程项目方案建议书卡消费终端应用软件系统，并实现各系统间的有机连接，实现对消费操作、消费记录、消费数据上传以及消费结算等一系列业务活动的计算机管理；1.完成各种IC卡终端设备的装机；l出租车：IC卡计价器装车8500台l公共中、小巴：IC卡车载机2300台l公交大巴：IC卡车载机＞1000台l郊线大巴：IC卡车载机500台l设置150个售卡/充值点及数据采集点2.扩展“交通一卡通”应用范围，包括：l高速公路巴士、客运班轮、区域性轨道交通的应用；l轮渡、高速公路、桥梁等其他行业的应用；l加油站、停车场等领域的应用；l新增加的其它公共交通运输工具的应用；3.争取本阶段发卡量达到400万张。1.1.1中期目标中期工程的主要目标是进一步拓展深圳市“交通一卡通”的应用领域，将其推广至地铁、燃气、物业管理及部分消费领域等，从而实现深圳市“交通一卡通”工程的总体建设目标，使“交通一卡通”成为真正的“城市一卡通”。考虑到香港市场的巨大潜力，我们建议结合深圳市地铁的开通，将《招标文件》中原定的本系统与香港“八达通”系统互联的远期目标，提前到中期工程中实现，以尽早方便深港两地的持卡人。173 深圳市“交通一卡通”工程项目方案建议书1.1.1远期目标开拓周边市场，完善深圳市“交通一卡通”系统功能，并实现与广州、珠海、澳门等周边地区的交通卡系统的互连，进一步扩大系统的应用范围。我们相信，深圳市“交通一卡通”工程的建成及运行，必将极大地改善深圳市及周边地区的交通运营及管理现状，极大地方便当地民众的交通出行，提高市民的生活质量，改善投资环境。深圳市“交通一卡通”系统工程的建设，对促进深圳市、乃至整个珠江三角洲的经济发展具有伟大的现实意义和深远的历史意义。我们也有信心与业主一道将该系统规划好、建设好、推广应用好，以造福一方百姓。173 深圳市“交通一卡通”工程项目方案建议书1.目标系统运营模式1.1业务实体参与深圳市“交通一卡通”系统运营的业务实体主要有：1.1.1结算管理中心是整个“交通一卡通”系统的核心，对整个系统实施管理监控，并负责采集、管理所有运营商的消费交易数据和充值、挂失等服务数据，通过与运营商、结算银行的接口完成结算。同时，结算管理中心还负责卡片的发行管理，运营商终端设备的发行管理以及运营参数的管理。结算中心将运行以下几个系统：1.卡片发行管理系统2.密钥管理系统3.结算管理系统4.运营管理系统5.设备管理系统6.系统维护管理系统7.信息统计与分析系统8.“深港互联”管理系统173 深圳市“交通一卡通”工程项目方案建议书1.1.1结算银行结算银行是“交通一卡通”系统中最重要的服务提供商，“交通一卡通”系统应充分利用结算银行现有的营业网点和系统网络资源，为广大持卡用户和运营商提供方便周到的服务，包括：1.结算2.代理发卡3.代理充值4.代理挂失、解挂和销卡5.代理数据采集、下载黑名单以及其它运营参数1.1.2运营商加入“交通一卡通”系统的运营商，是直接与结算中心进行结算的独立核算单位，它包括大巴公司、中小巴司机、出租小汽车公司、地铁公司、轮渡公司、路桥公司、石油公司等。1.1.3发卡、充值点出售用户卡，为持卡用户充值，同时提供受理挂失申报、解挂申报、销卡申报等服务。1.1.4数据采集点173 深圳市“交通一卡通”工程项目方案建议书采集POS终端上的消费交易记录，上传至结算中心；从结算中心下载黑名单和运营参数，下达至POS终端。1.1.1POS终端用户POS终端用户，指能提供深圳市“交通一卡通”消费服务的业主。可能是独立的结算个体，如出租司机，也可能是隶属于某个运营商的经营个体，如大巴司机等。1.1.2持卡用户是深圳市“交通一卡通”系统的服务对象和实际的消费者。在系统中，以卡ID作为其唯一标识。1.1.3香港“八达通”中央信息中心是香港“八大通”系统的管理中心，深圳市“交通一卡通”与之互联后可为深港两地的用户提供极大的便利，也能为双方带来极大的社会效益和经济效益。1.2业务流程深圳市“交通一卡通”系统运营的业务流程如下图所示：173 深圳市“交通一卡通”工程项目方案建议书说明：POS终端用户，每天要将POS终端内的交易数据及时上传结算中心，同时下载黑名单和运营参数。数据采集可以通过以下三个主要途径：数据采集点、运营商管理系统和结算银行，其中“结算银行”的数据采集点可能是营业网点柜台、自动充值机和ATM机，其中，自动充值机和ATM机均可采取自助方式。结算管理中心对交易数据进行清算，向结算银行发出资金划拨指令，结算银行按指令向运营商或POS终端用户结算帐户划拨资金。香港“八达通”173 深圳市“交通一卡通”工程项目方案建议书卡在深圳POS终端上的交易记录，将由结算管理中心发送到香港“八达通”中央信息中心，经其确认并清算后向结算银行发出资金划拨指令，结算银行按指令将资金划拨到结算管理中心结算帐户上。各发卡点、充值点的发卡、充值记录也将上传结算管理中心，结算管理中心与结算银行对帐，结算银行将相应收入划拨到结算管理中心结算帐户上。1.1主要运营商运营模式1.1.1公交大巴1.1.1.1现状分析目前深圳市共有大巴经营企业21家，共有大巴车辆2255辆，其中1000多辆安装了IC卡车载收费机，已发行了80万张用户卡，为了维护持卡人的利益和保障国有财产不流失，建议在“交通一卡通”实施初期，两种IC卡都能使用，经过一段过度渡期后，再逐步淘汰旧的IC卡和车载收费机具。公交大巴运营企业大部分具有比较完善的办公场地和设施，因此完全有条件建设运营商管理系统。运营商管理系统的建立，能够大大提高公交大巴运营企业的管理水平，降低运营成本，增加经济效益。1.1.1.2系统终端设备l操作员卡由交通结算管理中心统一发行，操作员中存有公交大巴运营公司资料、173 深圳市“交通一卡通”工程项目方案建议书司机的个人资料和司机标识代码。公交大巴运营公司用操作员卡进行营运管理和内部考核。l车载收费机由交通结算管理中心统一发行和管理，具有唯一标识代码。l无线通讯移动站车载无线通讯设备，通过串口与车载收费机相连。l无线通讯基站公交总站无线通讯设备。l充值机由交通结算管理中心统一发行和管理，具有唯一标识代码。1.1.1.1运营流程173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1计费、收费方式公交大巴共分两种计费、收费方式：l单一票制乘客上车刷卡，IC卡车载收费机根据运营参数扣费。l分段计费改造现有语音报站设备，在语音报站的同时，向车载收费机内输入车站标识。173 深圳市“交通一卡通”工程项目方案建议书乘客上车刷卡，IC卡车载收费机在用户卡内特定区域记录上车站标识，乘客下车刷卡，IC卡车载收费机从用户卡中读出上车站标识，再根据下车站标识以及运营参数计算出车费，扣费。1.1.1.1数据采集方式车载收费机交易数据采集采用先进的无线通讯方式。在每台公交大巴上安装无线移动站，无线移动站通过RS232串口与IC卡车载收费机相连，在公交总站设置无线基站，当公交大巴回到总站时，在无线基站1000米范围内即可与公交运营管理系统进行通讯，上传运营交易数据，下传黑名单和运营参数，整个过程可在一分钟内自动完成，无须司机参与。关于数据无线采集的技术方案在后面相关章节详述。1.1.1.2内部核算方式根据司机的交易记录（工作量）和加油数据（油耗）进行考核，每月由运营商管理系统自动核算出每个司机的工资收入。这样既能调动每个司机的工作积极性，又能控制油耗，降低运营成本。1.1.2中小巴1.1.2.1现状分析173 深圳市“交通一卡通”工程项目方案建议书目前深圳市共有中小巴经营企业45家，营运车辆总数为2649辆，大部分采用单车承包方式，企业办公场地较小或没有，各类设施不全，目前还不具备建设运营商管理系统的条件，以后随着运营公司经营规模的不断扩大，可逐步实施运营商管理系统的建设。1.1.1.1系统终端设备l操作员卡由交通结算管理中心统一发行，操作员中存有中小巴运营公司资料、司机的个人资料和司机标识代码。l数据采集盒由交通结算管理中心统一发行数据采集盒，数据采集盒中存有中小巴运营公司资料、承包者的个人资料和承包者标识代码。中小巴司机采用数据采集盒采集并上传交易数据，下载黑名单和运营参数。l车载收费机由交通结算管理中心统一发行和管理，具有唯一标识代码。1.1.1.2运营流程173 深圳市“交通一卡通”工程项目方案建议书中小巴司机l持操作员卡和数据采集盒上岗IC卡车载收费机l对操作员卡进行确认l从数据采集盒中下载黑名单和运营参数中小巴出车运营IC卡车载收费机l计费扣款l存储每一笔交易记录中小巴司机l用数据采集盒收取交易记录结算银行l将数据采集盒内的交易记录（带有承包者标识）上传结算管理中心。l根据结算中心指令，将资金划拨到承包者银行帐户上。l从结算管理中心下载黑名单和运营参数，写入数据采集盒中。l打印结算凭证。1.1.1.1计费、收费方式为了杜绝多收费、乱收费现象，计费方式采用单一票制。乘客上车刷卡，IC卡车载收费机根据运营参数扣费。1.1.1.2数据采集方式173 深圳市“交通一卡通”工程项目方案建议书使用数据采集盒，通过结算银行营业柜台、自动充值机和ATM机，将交易记录（带有承包者标识）上传结算管理中心，并从结算管理中心下载黑名单和运营参数。1.1.1.1内部核算方式采用单车承包方式，当日运营收入，直接划拨到承包者银行帐户上，承包者每月向运营公司交纳固定承包费用。1.1.2出租车1.1.2.1现状分析目前深圳市共有出租车经营企业79家，出租车总数8505辆。出租车经营企业大多数采用单车承包制，属松散管理，经营场地规模很小或没有，司机人员流动性较大，目前还不具备建设运营商管理系统的条件，今后可在经营规模较大的运营公司中逐步试行。1.1.2.2系统终端设备l操作员卡由交通结算管理中心统一发行，操作员中存有出租运营公司资料、司机的个人资料和司机标识代码。l数据采集盒173 深圳市“交通一卡通”工程项目方案建议书由交通结算管理中心统一发行数据采集盒，数据采集盒中存有出租车运营公司资料、承包者的个人资料和承包者标识代码。中小巴司机用数据采集盒采集并上传交易数据，下载黑名单和运营参数。l出租车收费计价器由交通结算管理中心统一发行和管理，具有唯一标识代码。出租车司机l持操作员卡和数据采集盒上岗1.1.1.1运营流程出租车收费计价器l对操作员卡进行确认l从数据采集盒中下载黑名单和运营参数出租车开始运营出租车收费计价器l计费扣款l存储每一笔交易记录出租车司机l用数据采集盒收取交易记录结算银行l将交易记录（带有司机标识）上传结算管理中心。l根据结算中心指令，将资金划拨到司机银行帐户上。l下载黑名单和运营参数，写入数据采集盒中。l打印结算凭证。173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1计费、收费方式出租车收费计价器记录行驶里程、等待时间等数据，根据交通结算管理中心下传的运营参数，计算出车费，下车刷卡扣款。1.1.1.2数据采集方式使用数据采集盒，通过银行营业柜台、自动充值机和ATM机，将交易记录（带有承包者标识）上传结算管理中心，并从结算管理中心下载黑名单和运营参数。1.1.1.3内部核算方式采用单车承包方式，当日运营收入，直接划拨到承包者银行帐户上，承包者每月向运营公司交纳固定承包费用。1.1.2客运班轮1.1.2.1现状分析深圳至珠海、澳门、香港等地的客运班轮，是深圳水路交通的重要工具，班轮进出港频繁，客流量较大。使用“交通一卡通”收费，能够缩短乘客上下船时间，可大大提高班轮的营运效率。1.1.2.2系统终端设备l检票收费闸机173 深圳市“交通一卡通”工程项目方案建议书由交通结算管理中心统一发行和管理，具有唯一标识代码。l充值机由交通结算管理中心统一发行和管理，具有唯一标识代码。1.1.1.1运营流程在客运班轮码头建设客运班轮运营管理系统，所有客运班轮的运营情况都由该系统统一管理。客运班轮运营管理系统l根据班轮时刻表分配客运班轮停靠码头l为乘客指定上船通道l向上船通道上的检票收费闸机输入班轮标识代码和运营参数乘客l在通道检票收费闸机上刷卡检票收费闸机l根据运营参数计费、扣款l开启闸机放行l存储每一笔交易记录（带有班轮标识代码）客运班轮运营管理系统l根据交易记录，分配运营收入173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1计费、收费方式计费方式采用单一票制。乘客在通道检票收费闸机上刷卡，检票收费闸机根据运营参数扣费。1.1.1.2数据采集方式数据采集采用专线通讯，检票收费闸机直接将运营数据上传客运班轮运营管理系统，同时下载黑名单。1.1.1.3内部核算方式客运班轮运营管理系统可以统计出每艘客运班轮的运营收入明细；内部核算方式，可以采用单船承包形式，运营商每月扣除承包费用和管理费用，其余运营收入划拨到承包者帐户上。1.1.2路桥收费1.1.2.1现状分析目前深圳市的各路桥管理公司都有自己的一套收费系统，“交通一卡通”在路桥收费上应用初期，或采取两套收费系统并用的方式。随着“交通一卡通”发卡量的增加及应用程度的提高，可逐步替代原收费系统。1.1.2.2系统终端设备l车道收费机、路闸173 深圳市“交通一卡通”工程项目方案建议书由交通结算管理中心统一发放和管理，具有唯一标识代码。l充值机由交通结算管理中心统一发行和管理，具有唯一标识代码。1.1.1.1收费流程在每个进出口车道旁设置车道收费机，计费、收费过程自动完成，无须人工完成。下面是分段计费运营流程：车辆驾驶员l在入口车道收费机上划卡车道收费机l向用户卡上指定区域内写入进口标识代码l开启闸机放行车辆驾驶员l在出口车道收费机上划卡车道收费机l从用户卡上读出进口标识代码l根据出口标识代码以及运营参数计算费用，扣费。l开启闸机放行l存储交易记录路桥收费管理系统上传交易记录下传运营参数1.1.1.2记费、收费方式173 深圳市“交通一卡通”工程项目方案建议书路桥收费共分两种计费、收费方式：1.单一票制车辆驾驶员入口刷卡，车道收费机根据运营参数扣费。2.分段计费车辆驾驶员入口刷卡，车道收费机向用户卡上特定区域内写入标识代码，车辆驾驶员出口刷卡，车道收费机从用户卡中读出入口标识代码，再根据出口标识代码以及运营参数计算出费用，扣费。1.1.1.1数据采集方式数据采集采用专线通讯，车道收费机直接将交易数据上传路桥收费管理系统，经由广域网上传至结算中心，同时下载黑名单和运营参数。1.1.2地铁1.1.2.1现状分析正在建设中的深圳市地铁预计2003年通车，地铁将有一套独立的运营管理系统。针对“交通一卡通”应用，可在原地铁系统基础上增加“交通一卡通”应用子系统：在每一个地铁出入站口设置“交通一卡通”专用通道，专用通道上设置检票收费闸机，“交通一卡通”持卡用户由专用通道进出地铁车站，检票收费闸机记录每一笔交易数据，并定时上传到地铁管理系统，由地铁系统将数据整理后上传“交通一卡通”173 深圳市“交通一卡通”工程项目方案建议书结算管理中心，结算管理中心确认后向结算银行下达资金划拨指令，将运营收入划拨至地铁公司结算帐户。1.1.1.1系统终端设备l检票收费闸机由交通结算管理中心统一发行和管理，具有唯一标识代码。l充值机由交通结算管理中心统一发行和管理，具有唯一标识代码。1.1.1.2运营流程乘客l在进站口检票收费闸机上划卡检票收费闸机l向用户卡上指定区域内写进站口标识代码l开启闸机放行乘客l在出站口检票收费闸机上划卡检票收费闸机l从用户卡上读出进站口标识代码l根据出站口标识代码以及运营参数计算费用，扣费。l开启闸机放行l存储交易记录地铁收费管理系统上传交易记录下传黑名单和运营参数173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1记费、收费方式采用分段计费方式：乘客进站口刷卡，检票收费闸机向用户卡上特定区域内写入进站口标识代码，乘客在出站口刷卡，检票收费闸机从用户卡中读出进站口标识代码，再根据出站口标识代码以及运营参数计算出费用，扣费。1.1.1.2数据采集方式数据采集采用专线通讯方式，检票收费闸机直接将交易数据上传地铁收费管理系统，经由广域网上传至结算中心，同时下载黑名单和运营参数。1.1.2加油站1.1.2.1系统终端设备l操作员卡由交通结算管理中心统一发行，操作员中存有加油企业资料、操作员的个人资料和标识代码。l卡机联动加油收费机由交通结算管理中心统一发行和管理，具有唯一标识代码。l充值机由交通结算管理中心统一发行和管理，具有唯一标识代码。173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1工作流程顾客进入加油站加油，工作人员根据顾客要求加油，加油完毕后，卡机联动加油收费机显示应付金额，顾客刷卡付费，加油收费机记录交易数据。1.1.1.2数据采集方式数据采集采用专线通讯，卡机联动加油收费机直接将交易数据上传加油站收费管理系统，经由广域网上传至结算中心，同时下载黑名单和收费参数。1.1.2停车场1.1.2.1路边停车位在路边停车位旁设置收费咪表，用户停车后，在收费咪表上输入停车时间，刷卡付费，收费咪表开始倒计时，到时如果车辆未驶离停车位，管理人员将锁住车轮，收费咪表将自动记录超时时间，并显示出应补交金额（停车费+超时罚款），用户刷卡付费后，管理人员解锁放行。由交通结算管理中心统一发行数据采集盒，数据采集盒中存有路边停车公司资料和标识代码。管理人员用数据采集盒通过结算银行采集并上传交易数据，下载黑名单。1.1.2.2停车场173 深圳市“交通一卡通”工程项目方案建议书在停车场进出口设置车道收费机，车辆驾驶员在入口车道收费机上刷卡，车道收费机在用户卡上特定区域内记录进场时间，开启路闸放行，车辆离开时，驾驶员在出口车道收费机上刷卡，车道收费机读出进场时间，并根据出场时间和收费参数计费、扣款，开启路闸放行。数据采集采用专线通讯方式，车道收费机直接将交易数据上传停车场收费管理终端，同时下载黑名单和收费参数。173 深圳市“交通一卡通”工程项目方案建议书1.应用系统构成与功能深圳“交通一卡通”应用系统将由消费终端子系统、结算中心子系统、运营商子系统及结算银行子系统等部分构成。其中结算银行子系统将由结算银行自己改造其应用系统，以满足深圳“交通一卡通”系统中相应功能要求，并通过与结算中心系统的接口进行应用连接。1.1消费终端系统1.1.1IC卡消费终端“交通一卡通”系统IC卡消费终端是整个系统的前端，是系统中非常重要的一环，它具有以下几个基本功能：1.自检：设备具有自动检测功能，能够对设备的关键部件进行检测，发现故障，自动报警。2.检索：具有黑名单检索能力，能够及时发现黑名单卡，并锁卡、报警。3.认证：能够对用户卡的合法性进行认证，若发现非法用户卡，则锁卡，并报警，保障交易安全。4.计费：能够根据运营参数和相关数据计算应收费用。5.扣费：对用户卡上电子钱包进行扣款操作。6.数据存储：保存每一笔交易记录，确保数据安全。可保存10000条交易记录和30000条黑名单。173 深圳市“交通一卡通”工程项目方案建议书1.通讯：具有通讯能力，可通过通讯端口上传交易记录，并下传黑名单和运营参数。2.兼容性：能够同时读写MIFARE卡和香港“八大通”用户卡，实现深港互联。3.安全性：CPU采用DALLAS芯片，具有信息加密功能和自毁保护功能，能够保障控制程序无法被盗取、篡改，使设备具有极高的安全性。1.1.1数据采集设备数据采集设备是消费终端设备和结算管理中心之间的桥梁，终端交易记录通过数据采集设备上传到结算管理中心，黑名单和运营参数则通过数据采集设备下传到消费终端设备中。不同的运营商采用不同的数据采集设备，数据采集设备共有以下三种：1.有线电缆：使用RS232/RS485通讯口，通过有线电缆，建立通讯联系。2.数据采集盒：l采用安全设计，数据加密存储，具有防篡改功能。l具有大容量存储空间，可存储10000条交易记录和30000条黑名单。l可通过ATM机和自动充值机采集数据。l便携式设计，携带方便。3.无线数据传输设备：173 深圳市“交通一卡通”工程项目方案建议书无线数据传输系统由无线基站和移动站组成，无线基站通过串口与运营商管理系统相连，移动站通过串口与车载收费机相连。整个系统具有以下特点：l通讯距离1000米。无线基站在方圆1000米范围内可从公交大巴上的移动站读取车载收费机内的交易数据。l通讯速度快，可在一分钟内完成通讯操作，读取交易记录，下传黑名单和运营数据。l通讯抗干扰能力强，可有效防止外界干扰，保障通讯正常可靠。l整个通讯过程自动完成，无须人工干预。l基站可同时与几个移动站通讯，通讯快捷方便，保障公交大巴进出总站不受影响。1.1结算中心系统和运营商系统1.1.1功能模块划分由于结算中心子系统与运营商子系统关系密切，为叙述方便，我们按照业务功能对这两个子系统进行综合描述。结算中心子系统应包含以下功能模块：173 深圳市“交通一卡通”工程项目方案建议书运营商子系统应包含以下功能模块：在以下章节中，我们将按照以上功能划分详细描述述各个模块应该具备的功能。1.1.1系统管理173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1网点管理网点，或物理网点，是在深圳“交通一卡通”系统中除结算中心外的其他物理运行点，分为一级网点和二级网点，其中与结算中心直接相连的是一级网点，其他的都是二级网点。每一网点在深圳“交通一卡通”系统中应具有唯一的网点号，并具有以下属性：名称、地址、节点名、级别等。结算中心负责对网点进行管理，提供网点的增加、删除、修改、查询等功能。而在一级或二级网点上的系统通过下载，获得网点信息，并只有查询的功能。1.1.1.1.1运营实体管理参与深圳“交通一卡通”系统运营的业务实体主要有：运营商、服务提供商、售卡点、充值点、数据采集点。深圳“交通一卡通”系统对其进行分类管理。1.1.1.1.2核算单位管理核算单位是指与结算中心直接进行结算的单位，包括运营商、结算银行、充值代理商等。每一核算单位在深圳“交通一卡通”系统中具有唯一标识号，并具有如下属性：单位名称、单位地址、联系人、联系电话、结算账号、开户行、网点号等。结算中心系统提供对核算单位的增加、删除、修改、查询等管理功能。1.1.1.1.3售卡点管理173 深圳市“交通一卡通”工程项目方案建议书售卡点是为用户提供售卡、挂失、销卡等服务的网点，主要分为结算银行柜面、ATM以及结算中心专设的代理售卡点等。每一售卡点在深圳“交通一卡通”系统中具有唯一标识号，并具有如下属性：名称、地址、联系人、联系电话、所属核算单位、网点号等。结算中心系统对售卡点提供增加、删除、修改、查询等管理功能。运营商系统通过下载获取本系统下属售卡点信息，并可以查询。1.1.1.1.1充值点管理充值点是为用户提供充值服务的网点，主要分为结算银行柜面、ATM以及结算中心专设的代理充值点。每一充值点在深圳“交通一卡通”系统中具有唯一标识号，并具有如下属性：名称、地址、联系人、联系电话、所属核算单位、网点号等。结算中心系统对充值点提供增加、删除、修改、查询等管理功能。运营商系统通过下载获取本系统下属充值点信息，并可以查询。1.1.1.1.2数据采集点管理数据采集点是采集消费数据和分发黑名单的网点：通过无线连接或数据采集盒的方式从交易终端设备中下载消费数据，上载黑名单；通过网络与结算中心连接，上载消费数据，下载黑名单。每一数据采集点在深圳“交通一卡通”系统中具有唯一标识号，并具有以下属性：名称、地点、联系电话、负责人、网点号等等。结算中心对数据采集点提供增加、删除、修改、查询等功能。运营商系统通过下载获取本系统下属数据采集点信息，并可以查询。173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1运行参数管理结算中心系统提供对各种系统运行参数的管理功能，如系统时间、手续费、汇率、运行时刻表等。系统安装时，将预设所有的系统运行参数，由结算中心管理人员进行统一维护。结算中心每日定时下发系统运行参数到运营商系统、数据采集点、结算银行、售卡充值点，直至各种交易设备和充值设备。下发方式，可以由网点自行下载，或随数据采集时的下发数据一块下发。如系统时间，为了能够在全网统一时间，所有的交易终端每天都必须进行一次数据采集，从而调整系统时间，以期基本与结算中心一致。1.1.1.2设备管理本系统的设备主要包括制卡机、充值机、交易终端等，其中交易终端又分为车载机、计价器、检票收费闸机、收费咪表、车道收费机、卡机联动加油收费机等。这些设备均由PSAM卡驱动，具有系统内唯一标识号。结算中心系统对设备提供发放、维修、报废、查询、打印等管理功能。发放时，由使用单位填写申请表，结算中心制作相应PSAM卡，一并发放给使用单位，同时系统记录设备信息和用户信息。设备发生故障需要维修或只能报废时，由使用单位填写维修申请表或报废申请表，结算中心记录相关信息。结算中心根据记录信息定期出具报表，如设备发放清单、设备故障清单、设备报废清单、设备故障统计分析报表等。173 深圳市“交通一卡通”工程项目方案建议书运营商系统通过下载获取本系统内的设备使用明细，可以实现相关的查询打印功能。1.1.1卡发行管理发卡系统和密钥管理是紧密联系的。发卡时，需要生成用户卡或PSAM卡或操作员卡中的密钥，并把密钥写入卡中。所有的密钥都是在结算中心生成并写入卡中的。密钥的详细信息可参照安全方案设计章节中的密钥管理一节。对于记名用户卡，为了实现实时开卡(即把用户的个人信息实时写入卡中)，在售卡点也需要有IC卡读写设备。发卡的过程分两步，首先，结算中心生成装入密钥的用户卡，售卡点从结算中心领取已装入密钥的用户卡，第二，用户申请记名卡时，联机申请开卡，确认后把用户的个人信息写入卡中.完成整个发卡的过程。对于其他的卡，都是在结算中心直接完成发卡的过程。1.1.2卡管理卡管理主要包括用户卡的管理、PSAM卡的管理和操作员卡的管理。1.1.2.1用户卡的管理用户卡的管理主要包括记名用户卡的售卡、挂失、补卡、销卡、换卡；不记名用户卡的售卡、销卡，交易描述如下图所示：交易类型应用场景前提条件限制条件交易方式网点操作结算中心操作售卡售卡点记名卡：身份证(本人他人)+卡费+个人信息(联系电话、实际住址)不记名卡：卡费记名卡：一人一卡（本身分证未开卡）联机1.选取一张初始卡，插入机具；2.由售卡人员输入卡号、身份证号、其他个人信息4．接收开卡申报信息，验证后，插入开卡信息到数据库中，返回应答173 深圳市“交通一卡通”工程项目方案建议书1.上传中心“申报开卡”；5．开卡成功后，将卡及初始PIN口令写卡。修改PIN口令售卡点合法记名用户卡（不在黑名单上，卡未被锁定，能被正确识别）旧口令输入正确脱机1.用户输入旧口令，验证通过后，两次输入新口令。挂失售卡点记名用户卡卡主身份证，挂失人身份证被挂失卡是合法记名用户卡联机1.验明身份证；2.输入卡主身份证号及持失人身份证号；3.上送挂失请求到结算中心；5．结算中心返回确认后打印挂失凭证。4.接收挂失请求，将相应卡号插入黑名单库中；解挂售卡点记名用户卡卡主身份证，挂失人身份证是已挂失卡的合法卡主联机1.验明身份证；2.插卡（可选）；3.上送解挂失请求到结算中心；5.结算中心返回确认后打印解挂凭证。4.接收解挂请求，从黑名单库中删除此卡记录；销卡申请售卡点记名用户卡（可选）卡主身份证，代消人身份证卡存在联机1.验明卡主、消卡人身份证；2.插卡（可选）3.输入卡主、消卡人身份证号并记录；4.上传销卡申请至结算中心；6．接到结算中心返回确认后打印销卡申请凭条。5．接收销卡请求，返回应答；销卡退款售卡点“销卡申请”提出时间已过10天联机1.验明卡主身份证；2.验明销卡申请凭条；3.上送销卡退款请求至结算中心；5．接收到结算中心确认信息后，退款并打印退款凭证。4．接收销卡退款请求，返回卡余额；补卡售卡点记名用户卡卡主身份证联机相当与先做销卡后做开卡。把卡主原卡号注销，再把新开卡信息插入库中。173 深圳市“交通一卡通”工程项目方案建议书换卡售卡点记名用户卡卡主身份证联机相当与先做销卡后坐开卡。把卡主原卡号注销，再把新开卡信息插入库中。1.1.1.1PSAM卡的管理PSAM卡是置于交易终端设备和充值设备内，存储各种密钥，用于交易认证和合法使用认证的IC卡。每一PSAM卡在深圳交通“一卡通”系统中具有唯一标识号。结算中心系统对PSAM卡提供制卡、报损、查询打印等功能。网点系统对PSAM卡提供PSAM卡的登记、报损和查询打印等功能。PSAM卡由结算中心制卡，并随设备一块发放。制卡时，结算中心系统记录有关信息，如卡号、领用单位，对应设备等，并将各种密钥写入卡中。当PSAM卡损坏时，领用单位需向结算中心报损，由结算中心系统进行备案处理。1.1.1.2操作员卡操作员卡是用来与交易终端设备进行相互认证，从而确认设备操作员身份的IC卡。每一操作员卡在深圳交通“一卡通”系统中具有唯一标识号，其可能隶属于某一核算单位，也可能隶属于一个独立核算人（如出租车司机）。结算中心系统中记录操作员的有关信息，如姓名、身份证号、联系电话，所属核算单位，PIN口令，操作交易终端种类，银行结算帐号等。结算中心系统对操作员卡提供制卡、销卡、报损、查询打印等管理功能。运营商系统对操作员卡提供开卡申请、销卡申请、报损、查询打印等管理功能。制卡时，由操作员所属单位填写“操作员卡领用申请表”173 深圳市“交通一卡通”工程项目方案建议书，结算中心系统记录操作员信息，并写入卡中。这样，一张出厂白卡就变成一张合法的操作员卡。报损是指操作员卡损坏，在结算中心系统进行备案处理。1.1.1充值充值主要包括现金充值、存折转账充值、银行卡转账充值、银行转账自动充值等。除了银行所能提供的充值点外，其他充值点只有现金充值方式。l现金充值现金充值业务流程如下：Ø插卡入机具，显示余额；Ø操作员收取现金；Ø由操作员输入现金额，发送充值请求到结算中心Ø结算中心确认后，给卡上账户增值，并返回应答Ø接收到确认后，机具给卡充值l银行卡转账充值银行卡转账充值是把用户银行卡账户上的资金转到用户的交通IC卡上，可用银行改造后的ATM或自动充值机完成银行卡转账充值功能，其业务流程如图所示。173 深圳市“交通一卡通”工程项目方案建议书l存折转账充值存折转账充值的交易地点是银行网点，业务流程如下：Ø插交通卡入IC卡读写设备中，验证卡的合法性（本地机具验证）并显示结果；Ø输入存折信息，验证卡合法性（本地机具验证），显示卡内余额;173 深圳市“交通一卡通”工程项目方案建议书Ø“请输入转帐充值额”，操作员输入；Ø银行主机校验银行卡成功后，传送“充值请求”至结算中心；Ø中心校验交通卡的合法性并返回校验结果：如不合法，返回不成功信息至柜面，退卡；Ø如成功，银行主机将充值金额从个人账户转划至结算中心账户；Ø柜面系统对交通卡进行充值操作，不成功进行“冲正”，操作成功后将充值明细送结算中心记录。Ø柜面系统打印充值交易凭条，经用户签字认可，加盖银行业务专用章，网点、用户各保留一份。l自动充值银行可为用户提供记名用户卡的自动转账充值服务。提供该服务的前提条件是：需提供该服务的持卡人持有记名用户卡并在银行开设信用卡账户，和银行和结算中心签订相关协议，在记名用户卡上打上可以自动充值的标志。业务流程：173 深圳市“交通一卡通”工程项目方案建议书当用户使用交通卡交费时，若收费器检测出卡上余额已达零或不足以支付费用时，银行自动为持卡人垫付某一定金额的人民币，并在消费机上实时充值，然后，自动减去应付费用。自动充值交易明细上送到结算中心后，结算中心需把该数据传送到银行，银行月末可将自动充值的账目详细列在信用卡月结单上，用户只要在某一期限之前缴纳信用卡欠款即可。如果用户未按期缴纳欠款，则银行需把该用户信息作为黑名单信息传到结算中心作为黑名单处理。优点：方便了用户缺点：在消费机具上增加的充值功能，在安全性上打了折扣，一旦机具被攻破，可以用消费机具给卡非法增值，有一定的风险性。1.1.1数据采集管理数据采集管理主要完成的是消费数据、卡管理数据以及卡充值数据上传至结算中心的过程。对于卡管理和卡充值，其操作行为均是联机操作，因此其数据采集过程已包含于其操作过程之中，在此不再赘述。消费数据则不同，由于用户使用IC卡脱机消费，消费数据仅仅存储于交易终端设备中，因此结算中心必须采集完整的消费数据，才能完成对用户卡的结算。数据采集的数据流向如下图所示：由上图可知，消费数据的采集过程如下：1.用户在交易终端上消费，并保存了相应的消费数据；173 深圳市“交通一卡通”工程项目方案建议书1.操作员通过数据采集盒或无线的方式，将交易终端上的消费数据传递给数据采集点；2.数据采集点通过网络向结算中心上报消费数据；3.结算中心检查消费数据的合法性，发送应答。对于不同运营商，其消费数据的上传途径也有所不同：1.对于公交公司、轮渡等运营商，其下属数据采集点一般采用批量处理的办法，定时向结算中心上传消费数据；2.对于出租车公司、中小巴公司等下属的司机，或运营个体，通过银行网点向结算中心上传消费数据。由于运营个体需与结算中心直接结算，因此其数据采集过程采用实时传送的方式，结算中心收到消费数据后，立即检查和统计，并向银行的数据采集点发送支付指令应答。1.1.1结算处理1.1.1.1结算管理模式在“交通一卡通”系统中，对不同种类的运营商将采取不同的清算管理模式：173 深圳市“交通一卡通”工程项目方案建议书出租车和中小巴等属于松散管理，无固定的经营场所，运营商规模较小，司机本身即为结算主体，我们不妨称之为运营个体。运营个体的经营数据（即消费终端中记载的消费明细）需通过银行网点上传到结算中心，结算中心认可并结算后，指令结算银行将相应的资金从结算中心的结算帐户划拨到运营个体在结算银行的个人帐户中：借记结算中心帐户，贷记运营个体的帐户。结算中心对司机的结算可以实时进行清算，即只要有消费明细上传，就发生一次结算。公共大巴、地铁、轮渡、道路收费点等有固定的运营场所的运营商，规模较大，建有独立的运营商系统，其数据采集方式为：运营商辖下的数据采集点收集与之相关的交易终端上的消费数据，上传到运营商，运营商再上传到结算中心。结算中心与运营商日终对帐正确后，与运营商进行结算，结算中心发送指令让银行将相应的资金从结算中心的结算帐户划拨到运营商的结算帐户中：借记结算中心帐户，贷记运营商的帐户。运营商根据自己收集的消费数据及相应规则再进行内部结算。另外，“交通一卡通”系统还将与香港“八达通”系统等外部系统相连，以实现用户卡的通用，我们暂称之为“联网系统”。这样，“交通一卡通”系统还必须与联网系统进行消费总额结算，在结算银行表现为：借记联网系统帐户，贷记结算中心帐户。每日“交通一卡通”系统定时与联网系统交换消费数据和黑名单信息，各自完成对本系统用户卡的结算。“交通一卡通”系统的售卡/充值点分为两类：一为普通代理点，用户只能用现金进行交易；其可以直接与结算中心结算，也可以隶属于运营商，作为运营商与结算中心结算的一部分；二为结算银行营业网点、ATM机或自动充值机，可以收现金，也可以为用户提供转帐方式进行充值。对于普通代理点，每日结算时，结算中心与售卡/充值点比对当日的交易总额，并由售卡/充值点打印出一份对帐单。售卡/充值点根据对帐单到结算银行交纳现金，由结算银行将现金贷记结算中心账号。如此即完成结算中心与普通代理点的现金结算。173 深圳市“交通一卡通”工程项目方案建议书对于结算银行网点，所有的售卡充值交易，无论是现金方式，还是转帐方式，结算银行都直接贷记结算银行账号，借记现金账号或用户账号。日终结算时，结算中心只需与结算银行将交易总额和相应入帐总额对平即可。“交通一卡通”系统中用户与结算中心的结算相对比较简单。用户在售卡/充值点增加资金时，结算中心贷记用户卡在结算中心内部帐号上资金余额；用户在售卡/充值点销卡、挂失或中心接收到用户卡的消费数据时，结算中心借记用户卡在结算中心内部帐号相应消费金额。综上所述，“交通一卡通”系统中与资金结算有关的实体及其结算形式可分为以下几种：用户：通过现金、结算银行存折或银行卡帐户在“交通一卡通”系统中充值；系统自动对用户结算消费金额；运营个体：通过结算银行存折或银行卡帐户与结算中心进行结算；售卡/充值点：通过结算银行的对公帐户与结算中心进行结算；运营商：通过在结算银行的对公帐户与结算中心进行资金结算；然后在系统内与下辖单位或个人进行二次结算；联网系统：通过在结算银行中对公帐户与结算中心进行消费总额结算，联网系统再根据消费明细对本系统用户进行结算；结算中心：通过在结算银行的对公结算帐户与其他结算主体进行结算和资金划拨。交通一卡通的结算功能主要包括：1.对用户卡消费金额的结算；2.对运营个体的结算；3.对运营商的结算；173 深圳市“交通一卡通”工程项目方案建议书1.对代理充值点的结算；2.对联网系统的结算。3.对结算银行的结算1.1.1.1结算处理过程“交通一卡通”系统的使用结构图如下：根据上图的说明，现将结算中心在用户卡管理和用户消费数据处理过程中与其他系统有关的相应清算处理列表如下：事件触发动作条件处理日初处理接收联网系统的黑名单,接收港币汇率；准备日初下发数据,等待网点下载数据.开卡开卡申请为合法的开户申请在结算中心的数据库中记录相应用户信息.充值充值请求为合法的充值请求修改相应的用户的资金余额,贷记该用户在结算中心的内部资金余额帐户，借记充值点在结算中心的内部结算帐户。销卡申请销卡申请为合法的销卡将相应的用户卡置为销卡申请标志。销卡退款173 深圳市“交通一卡通”工程项目方案建议书销卡退款请求合法的销卡退款请求将用户卡的状态置为销卡，借记该用户在结算中心的资金余额帐户，贷记充值点在结算中心的内部结算帐户，修改相应的用户的资金余额为零。挂失挂失请求合法的挂失请求将相应的用户卡置为挂失，将其用户号加入到黑名单中；消费数据结算处理收到消费数据1.合法的一卡通消费数据，并且从运营商处采集根据消费数据，借记结算中心中一卡通用户的内部资金账号，贷记运营商在结算中心的内部结算账号；2.合法的一卡通消费数据，并且从结算银行处采集（如出租车司机）根据消费数据，借记结算中心中一卡通用户的内部资金账号，贷记出租车司机在结算中心的内部结算账号，同时贷记结算银行在结算中心的内部结算账号；向结算银行发送支付指令，由结算银行将资金划拨到出租车司机银行帐号。3.合法的联网系统消费数据，并且从运营商处采集根据消费数据，借记联网系统用户在结算中心中的内部资金账号，贷记运营商在结算中心的内部结算账号，同时借记联网系统结算中心在结算中心的内部结算账号；4.合法的联网系统消费数据，并且从结算银行处采集根据消费数据，借记结算中心中一卡通用户的内部资金账号，贷记出租车司机在结算中心的内部结算账号，同时贷记结算银行在结算中心的内部结算账号，借记联网系统结算中心在结算中心的内部结算账号；5.一卡通用户为黑名单中用户，且该用户在挂失等待期间与正常一卡通用户一样处理，见第1，2条。6.一卡通用户为黑名单中用户，且该用户为非法操作用户该笔消费数据作为非法交易数据，记录到非法交易库便于事后核查；同时将结算结果通知相应运营商等结算个体；损失由结算个体承担；7.173 深圳市“交通一卡通”工程项目方案建议书联网系统用户为黑名单中用户，且该用户在挂失等待期间与正常联网系统用户一样处理，见第3，4条。8.联网系统用户为黑名单中用户，且该用户为非法操作用户该笔消费数据作为非法交易数据，记录到非法交易库便于事后核查；同时将结算结果通知相应运营商等结算个体；损失由结算个体承担；9.一卡通用户正常用户且不允许透支，但消费金额大于资金余额将该用户加入黑名单中，下发给全系统；根据相关的规定对相应账号作处理；10.一卡通用户正常用户但允许透支，消费金额大于资金余额，小于资金余额加上透支限额之和根据消费数据，借记结算中心中一卡通用户的内部资金账号，贷记出租车司机或运营商在结算中心的内部结算账号，同时贷记结算银行在结算中心的内部结算账号；将用户透支的信息传递给结算银行，进行后续处理。日结对帐处理与运营商结算中心发送以下数据与运营商核对：当日运营商采集每个司机消费数据的结算汇总数据；2．各个运营商下辖充值点应上缴资金清单。与售卡/充值点结算中心发送以下数据与售卡/充值点核对：1．各个售卡/充值点应上缴资金清单与结算银行进行日终对帐处理，银行发送以下数据与结算中心核对：1．当日结算银行充值点收取资金汇总表（包括收款和退款）；2．当日结算银行数据采集点收集的每个出租车上的消费数据的汇总数据；173 深圳市“交通一卡通”工程项目方案建议书3：如果允许记名卡透支消费，发送已透支用户的信息与联网系统结算中心1．所有联网系统结算中心所发卡用户在深圳消费总额和各个用户个人汇总明细。日结对帐后资金结算和划拨运营商到结算中心日结对帐处理正确后，通过结算银行进行资金划拨：1．各个运营商代理充值点应上缴资金。结算中心到运营商1．各个当日运营商采集用户卡消费数据的资金汇总数据；售卡/充值点到结算中心日结对帐处理正确后，通过结算银行进行资金划拨：1．各个售卡/充值点应上缴资金。结算银行到结算中心结算银行划拨以下资金到结算中心的结算账号：1．当日结算银行充值点收取资金总额（包括收款和退款）；结算中心到结算银行1．结算银行所采集的出租车上合法消费数据的总金额；2：如果允许记名卡透支消费，已透支用户透支资金的总额。结算中心与联网系统结算中心1．所有联网系统结算中心所发卡用户在深圳消费总额。1.1.1.1结算管理功能本模块在日终对帐结束后，根据采集和结算的数据进行后续处理，为清算管理提供有效途径；主要完成以下功能：1.根据当日发生的所有交易，生成交易汇总表、对帐报表和客流分析报表；2.产生分帐表、资金结算报表，便于结算银行及时划帐；3.对IC卡沉淀资金进行统计和分析；4.针对异常交易进行提示，并产生异常交易报表；173 深圳市“交通一卡通”工程项目方案建议书1.在日终对帐后，产生现金和转帐收入与充值交易总额平衡检查；1.1.1黑名单管理黑名单是指非法用户卡的清单。黑名单的产生原因来自用户卡的挂失和非法交易。黑名单产生以后，必须下发到系统内每一台充值设备和交易终端设备上，这样，这些设备就可以辨认非法用户卡，并进行锁卡报警。据前所述，用户卡挂失后，该卡即被列入黑名单。而另外一种情形，非法交易，则与用户卡结算有关。结算中心系统收到交易数据后，将依次对相关用户卡进行结算，用当前卡上余额减去交易金额，如果余额不足且不能透支，或可以透支，但透支额仍超过透支限额均视为非法交易，该卡即被列入黑名单；其他均为合法交易。为尽量减少损失，黑名单的产生也是越快越好，因此结算中心系统将实时进行用户卡结算，但为了不妨碍数据采集，用户卡结算和数据采集将分为两条线进行后台操作。一方面，数据采集进程接收数据采集点发来的数据，同时下发最新的黑名单，这样就能及时更新数据采集点的黑名单了，这样与之相连的充值机和交易终端也能及时地更新黑名单了；另一方面，一旦数据采集上来，用户卡结算进程立即逐一清算，如果发生非法交易，可以立刻更新黑名单，这之后上报交易数据的数据采集点就能得到最新的黑名单了。173 深圳市“交通一卡通”工程项目方案建议书考虑到黑名单数据的不断增长，如果数据采集点每次都全部下载，可能造成网络拥塞、资源浪费。可以考虑将黑名单按其在结算中心产生的时间顺序排列、编号。每当数据采集点上报消费数据时，同时携带本地黑名单最大序号，结算中心服务进程检查中心黑名单最大序号，如果中心的序号大，则将该点黑名单序号以上的黑名单下发给该数据采集点。数据采集点对计价器上黑名单的更新同样可以采取该办法。这样不但能利用每一次连接下发黑名单，而且让下载量保持到最小。另外，由于交易终端设备存储空间有限，对黑名单实行动态管理显得特别重要。黑名单本身也并不是只增加、不减少，而是动态变化的。引起黑名单增加的原因一般是用户挂失和系统检测出非法卡。当用户找到自己的卡后，可以销卡，被销的卡将立即从黑名单中去掉。另外，前面已经提到，用户卡应有一定的时效，即超过一定时限未使用的IC卡，将被判为非法卡。即：如果一张卡过了有效期，即使它不在黑名单中，该卡也不能再使用了。故，黑名单管理程序应即时将黑名单中在有效期之外的卡去掉，从而保证黑名单的最小和最有效的存储。1.1.1与外系统的接口深圳“交通一卡通”系统与外系统的接口包括与结算银行的接口，与香港“八达通”系统的接口和与运营商内部管理系统的接口。1.1.1.1与结算银行的接口从系统的整个运营模式中可以看出，结算银行和深圳“交通一卡通”173 深圳市“交通一卡通”工程项目方案建议书系统各部分联系比较紧密，结算银行提供的服务功能应包括售卡、挂失、销卡、充值、余额查询、资金结算、个体司机结算（消费明细数据采集、结算及黑名单下载）等功能。其中，充值方式包括现金充值、银行卡转账充值、自动充值等。结算银行和工程中各实体的逻辑关系如下图所示：1.1.1.1.1结算银行自身的改造为达到深圳“交通一卡通”工程的业务需求，结算银行所需的系统和设备改造涉及到：1)ATM的改造173 深圳市“交通一卡通”工程项目方案建议书1)自动充值机的装载2)营业网点服务功能的增加3)银行主机系统相应软件的开发lATM的改造ATM的改造包括机具和软件的改造。1）机具改造增加交通IC卡的读写功能增加和数据采集盒的接口2）软件改造增加银行卡转账充值交易增加数据采集功能增加黑名单下传功能增加交通卡余额查询功能l自动充值机自动充值机主要提供银行卡转账充值和数据采集功能。自动充值机需能够读磁条信息和读写交通IC卡，具有与数据采集盒的接口。能完成银行卡转账充值、数据采集和黑名单下载。l营业网点的改造硬件：安装开卡和充值设备软件：完成售卡、挂失、销卡、补卡、换卡的卡管理和现金充值及数据采集和黑名单下载l银行主机系统软件系统的改造173 深圳市“交通一卡通”工程项目方案建议书1）完成和结算中心的通信连接2）资金结算3）卡管理、充值、数据采集和黑名单下发等交易的处理和转发。1.1.1.1.1和结算银行的接口结算中心和结算银行的接口包括：1．结算银行接收结算中心的资金划拨指令，划拨资金；2．结算银行代理充值、售卡、挂失、销卡等交易时向结算中心所传送的交易请求及从结算中心接收的交易应答；3．结算中心向结算银行下发黑名单；4．结算银行代理个体司机结算时，需批量上送消费交易明细到结算中心；5．如果系统采用和八达通卡相同的卡片，每天还需增加传输当天汇率的工作。终端交易系统和结算银行的接口包括：1．消费终端上送消费明细；2．结算银行向消费终端转发运营参数；3．结算银行向消费终端转发黑名单；1.1.1.2和香港“八达通”系统的接口和香港八达通系统的接口主要包括：1．接收八达通系统的黑名单并下发到消费终端173 深圳市“交通一卡通”工程项目方案建议书1．把八达通卡的消费明细传送到八达通结算中心2．与八达通系统间的资金划拨1.1.1.1和运营商内部管理系统的接口深圳市“交通一卡通”系统所涵盖的运营商很多。有些运营商可能已经有自己的内部管理系统。所以，在系统设计中还应考虑到和各运营商内部管理系统的接口。1.1.1.1.1地铁深圳将要建成的地铁有一套自己的票务系统。地铁的运营商系统和其票务系统的接口是交通卡的消费明细数据，地铁公司需把交通卡消费明细和其自身票务系统的消费明细整合到一起。1.1.1.1.2路桥收费目前深圳市的各路桥管理公司也有自己的一套收费系统，路桥公司的运营商系统和现有收费系统的接口是交通卡的消费明细数据、业务数据和财务数据报表。1.1.1.1.3其他运营商对于其他运营商，运营商系统和其内部管理系统的接口也主要是交通卡的消费明细数据和业务数据、财务数据报表。1.1.2应用系统安全保障173 深圳市“交通一卡通”工程项目方案建议书为充分保证业务数据的安全有效，在应用系统中必须考虑增加安全机制，解决数据传输过程的安全和数据安全存放的问题。具体细节请参考“安全方案设计”中的“数据安全”部分。1.1.1数据库维护结算中心和运营商系统均提供全面的数据库维护功能：1.标准的数据库设计，保证数据的完整性和一致性，实现正确更新和处理；2.提供数据库备份和恢复功能，包括全备份和全恢复、增量备份和增量恢复、环境备份和环境恢复等。173 深圳市“交通一卡通”工程项目方案建议书1.网络方案设计1.1网络通讯需求深圳市“交通一卡通”是运用先进的计算机、通讯和IC卡技术建立的交通运输行业的结算管理系统，以IC卡传递消费者与交通运输部门之间的消费服务数据及结算信息。通过在深圳市交通运输行业推广使用规范的IC卡，使消费者手持IC卡可以方便地代替现金结算，任意乘坐深圳市公共大巴、中小巴、出租汽车、地铁等交通工具，并预留了加油、停车场管理、物业管理、公园景点等数据应用接口，为将来减少重复投资，实现一卡多用打下基础。要实现上述目标，需要根据业务系统的要求建立结算中心网络、运营商网络以及同服务提供商的网络接口。1.1.1结算中心网络需求实现结算中心所有计算机的互连，实现结算中心计算机系统同各个系统运营商计算机系统、系统服务提供商计算机系统和有关政府部门计算机系统的互连。同时结算中心本地局域网需要实现虚拟网络和流量控制等网络管理能力。结算中心广域网需要满足结算中心与众多运营商和服务提供商网络的网络通讯和数据传输要求。1.1.2运营商网络需求实现运营商所有计算机互连，实现运营商计算机系统与结算中心网络系统互连。173 深圳市“交通一卡通”工程项目方案建议书1.1.1服务商网络需求实现“交通一卡通”结算中心网络系统同“交通一卡通”系统服务提供商系统之间的通讯连接，考虑两者间的数据交换方式、接口标准和通讯协议。1.2网络系统设计原则根据上述网络通讯需求，我们认为在设计网络通讯系统时应充分考虑网络通讯系统的先进性、实用性、兼容性、可靠性及容错能力，同时还应考虑网络通讯系统的扩展性和灵活性。我们充分考虑到今后发卡量增长速度及相应数据传输、处理能力及存储容量、清算时间对网络和主机负荷的要求，充分考虑到系统今后的低成本升级与扩充，将来可在交通、建设行业应用的基础上，增加其他领域的应用。1.2.1网络的开放性和标准化网络系统设计中广泛采用国际IEEE、ISO等标准化组织的标准、工业标准，广域网和局域网内部采用TCP/IP通讯协议，网管采用SNMP或SNMPV2标准。同时要考虑传输介质的兼容性。1.2.2网络的先进性主干通讯网络采用成熟的、先进的技术和设备，以保证系统运行的安全可靠，并具有较长的生命周期。1.2.3网络的可靠性173 深圳市“交通一卡通”工程项目方案建议书所设计的网络系统必须可靠，核心交换机采取冗余和备份措施，消除单点故障，对于重要的网点，要有冗余路由，并采用先进的容错技术。1.1.1网络的安全保密性网络的安全十分重要。在设计网络时，除应考虑各种外界干扰外，还需在各环节提供安全措施，以防非法侵入。如对拨号用户进行认证、授权和记帐，防止外部非法侵入，对重要的数据传输应采用加密传输。1.1.2网络的可扩充性所设计的网络要充分考虑扩充的可能。根据应用规模的发展，能灵活方便地将各类设备或应用系统连接入网，满足系统规模扩充的要求；而现有设备不做任何修改，就能与扩容的设备进行联接。1.1.3网络的可维护性所设计的网络必须做到安装方便，配置方便，维护方便。1.1.4兼容性充分利用现有的资源，保护原有投资，充分重视网络及系统的开放性。1.2结算中心局域网设计1.2.1局域网主干技术选择局域网主干的容量直接关系到网络的传输能力，10Mbps173 深圳市“交通一卡通”工程项目方案建议书带宽的网络显然不能胜任如此重负，必须采用高速网络技术，才能保证局域主干网有足够的容量。目前高速网络技术主要有FDDI、FastEthernet、ATM和1000M交换以太网等。为帮助决策，我们对这几种技术做如下简单介绍。FastEthernet即快速以太网（100Base-X），是前几年在以太网的基础上发展起来的高速网络技术。其网络结构和基本原理与传统以太网相同，使用的基本上是现成的技术，其数据包与以太网相同，在链路层仍然沿用载波侦听多路访问冲突检测协议──CSMA/CD协议，主要区别是把网络的传输速率从10Mbps提高到100Mbps，代价是缩短了传输距离。快速以太网采用双绞线时传输距离是100米。快速以太网的网络构造和升级比较容易，支持的厂家和设备很多。100M交换以太网具有带宽高、吞吐量大、延迟小且易于升级的优点，是一种局域网主干技术，但对某些多媒体应用带宽仍不够，此为低端建设方案，资金缺乏且多媒体应用较少的学校可采用100M交换式以太网作为校园网的主干，待应用及资金到位后可方便升级到千兆位以太网或ATM。FDDI在目前可供选择的几种传输速率能够达到100Mbps的网络技术中，FDDI是技术最成熟、性能最可靠的，在过去的校园网中大量采用。但是用现代网络眼光来看，FDDI有六大局限性：1、FDDI本身是共享型网络，它限制了网络的容量，如果网络上的节点太多，就会发生拥挤，影响网络的畅通；2、协议复杂，其网卡、集中器的价格较高，并且难以管理；173 深圳市“交通一卡通”工程项目方案建议书3、FDDI交换机的端口较少，并且价格昂贵；4、FDDI与以太网帧的格式不同，从FDDI到以太网的转换效率不高，而且价格昂贵；5、其总线型共享技术、不固定的帧长及令牌传输机制不适合多媒体信息的实时传输，而多媒体是未来计算机应用的主流；6、FDDI难与未来网络保持兼容，FDDI的传输速率的最高极限是100Mbps，而未来网络的发展将是几个Gbps的带宽，而且FDDI的环型拓扑结构和设备向ATM升级比较困难。由于上述原因，FDDI目前正被传输速率更高和性能更好、或更经济、升级能力更强的新型网络技术所取代。所以现在新建的计算机网络一般不再采用价格不菲、性能不先进的FDDI技术。而且国际上主要的网络厂商，目前已基本上停止继续开发FDDI，FDDI已经没有发展前途。所以，我们不主张采用FDDI作为主干网。千兆位以太网千兆位以太网是10M以太网及100M快速以太网的IEEE802.3系列标准成功扩展，它使用了与以太网相同的碰撞检测（CSMA/CD）机制、相同的帧结构及帧长，最终通过使用简单的以太网机制，为网络应用提供1,000Mbps的传输速率。千兆位交换以太网的主要特点如下：l简易性173 深圳市“交通一卡通”工程项目方案建议书继承了以太网、快速以太网的简易性，因此其技术原理、安装实施和管理维护都很简单。l扩展性由于千兆位以太网采用了以太网、快速以太网的基本技术，例如采用相同的CSMA/CD协议、帧结构、全双工/半双工工作方式等，因此，由10Base-T、100Base-T升级到千兆位以太网非常容易。l可靠性由于千兆位以太网保持了以太网、快速以太网的安装维护方法，采用星型网络结构，因此网络具有很高的可靠性。l经济性网络成本由设备成本、培训成本、维护成本和运行成本等组成。由于千兆位以太网是10Base-T和100Base-T的继承和发展，一方面降低了研究成本；另一方面由于10Base-T和100Base-T的广泛应用，作为其升级产品，千兆位以太网的大量应用只是时间问题，为了争夺千兆位以太网这个巨大市场，几乎所有的著名网络公司都生产千兆位以太网产品，因此其价格将会逐月下降。千兆位以太网与ATM等宽带网络技术相比，其价格优势非常明显。l可管理维护性千兆位以太网采用基于简单网络管理协议（SNMP）和远程网络监视(RMON)等网络管理技术，许多厂商开发了大量的网络理软件，使千兆位以太网的集中管理和维护非常简便。173 深圳市“交通一卡通”工程项目方案建议书l广泛应用性千兆位以太网为局域主干网和城域主干网（借助单模光纤和光收发器）提供了一种高性能价格比的宽带传输交换平台，使得许多宽带应用得以施展其魅力。例如在千兆位以太网上开展视频点播业务和虚拟电子商务。如果网络具有如下要求时，应采用千兆以太网：l简单性和成本作为最优先考虑时；l同以太网桌面无缝连接是最重要的时侯；l802.1p/Q和RSVP可用于流量优先级和多媒体时。ATMATM，即异步传输模式（Asyn-chronousTransferMode）是一种新兴的网络技术，这种技术使用非常灵活的方法传输局域和广域网络上的宽带信息（也就是视频、音频和数据等信息）。ATM传输的数据包具有固定的长度，称为信元（Cell）。ATM网络上任何两台机器传输数据之前，首先要建立连接，设置通道，所以ATM是一种面向连接的技术。1.1.1局域网方案我们为深圳市公共交通管理结算中心设计了如下的局域网方案：采用两级结构的全交换千兆以太网主干、百兆快速以太网到桌面的技术，性能很高，而且基本可以做到网络无阻塞。网络的一级主干交换机的型号为Catalyst173 深圳市“交通一卡通”工程项目方案建议书6006路由交换机，具有完善的多层交换能力，是目前主流千兆以太网路由交换机。主干采用双Catalyst6006交换机，进行完全的容错结构设计，充分并行；二级节点采用千兆主干双上连的四台Catalyst3548-XL，两台Catalyst3524-XL。主服务器也通过千兆连接到主交换机。我们设计的中心局域网网络拓扑结构如附图所示。173 深圳市“交通一卡通”工程项目方案建议书Catalyst6000包括Catalyst6000和Catalyst6500系列,是一款新型高档的数据、语音园区网交换机。Catalyst6000包含6006和6009两种型号的交换机。Catalyst6006有6个插槽，适合于高端交换平台。在我们的方案中，Catalyst6006用作局域网交换。目前Catalyst6006主要局域网模块是以太网交换模块和快速以太网交换模块及千兆位以太网模块。Catalyst6006局域网交换机背板总线目前为32Gbps，系统吞吐率（throughput）1500万bps。以两台第三层交换机Catalyst6006为核心交换机，真正做到双机容错特性的设计。在其上分别配置一块8口千兆模块，每台Catalyst6006上配有一块SupervisorEngine卡，SupervisorEngine卡上又带有2口千兆模块，所以每台Catalyst6006上共有10口千兆以太网接口。两台核心交换机Catalyst6006双口千兆互连，充分保障网络无阻塞。二级节点上有四台Catalyst3548交换机通过千兆模块（具有两个千兆上连口）以双千兆速率分别接入2台中心交换机Catalyst6006，这4台Catalyst3548用于各楼层连网。同时有两台Catalyst3524交换机以双千兆速率分别上连Catalyst6006，Catalyst3524分别下连防火墙及其他百兆服务器。DMZ区由两台Catalyst2912-XL组成，它们可以连接DNS，Web等多台服务器。由于结算主机需要处理大量访问数据，因此配置千兆网卡以千兆的速率分别接入Catalyst6006，为用户端提供高带宽的访问能力，以减少访问瓶颈；同时，保证了网络系统安全可靠，数据安全可靠。用户终端以10/100的速率接入到Catalyst3548交换机上。如果公共交通结算中心局域网内的信息点数量比较多或在今后发展中信息点的数量有扩充的需求，我们建议用Catalyst2924XL双路上连到Catalyst3548交换机上，同样可以实现百兆速度到桌面，最多可以扩充到1300多个网络节点。173 深圳市“交通一卡通”工程项目方案建议书Catalyst6000系列是Cisco公司为了满足骨干/分布层和服务器集合环境中对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求而设计的。Catalyst6000系列提供卓越的可扩展性和性能价格比，支持高接口密度、高性能、高可用性等特性。与应用智能、服务质量（QoS）机制以及安全性结合在一起，用户可以更高效地利用其网络，增加终端业务（如多点广播、ERP应用），而不会影响网络性能。采用CiscoAssure，网络策略可根据2、3、4层信息（如特定用户、IP地址或应用）提供端到端应用。Catalyst6000系列底板带宽为32G并可根据需要扩展交换带宽，其多层交换能力1500万pps。Catalyst6000系列交换机还支持广泛的接口类型和密度，包括支持高达384个10/100以太网、192个100FX快速以太网端口和130个千兆比特以太网端口－－业界最高的端口数量。客户还可使用FastEtherChannel或GigabitEtherChannel，集合八个物理快速以太网或千兆以太网链路，实现高达16Gbps的逻辑连接。Catalyst6000系列提供业界领先的千兆以太网骨干网解决方案，以满足当今要求最高的、快速增长的企业Intranet的需求。1.1“交通一卡通”广域骨干网设计1.1.1广域网线路选择随着通信技术的不断发展,广域网的组网方式也多种多样。主要的广域网线路有X.25，FrameRelay，DDN，ISDN，PSTN，ATM以及无线网等。考虑到“交通一卡通”173 深圳市“交通一卡通”工程项目方案建议书应用的范围及数据采集点的场合，我们认为可选择的通讯线路有ISDN、PSTN和无线网。采用ISDN、PSTN对数据采集点来说，具有组网快，初始投资及运行费用低等特点。采用无线网具有组网快（已经存在无线网）但初始投资费用较高。根据”交通一卡通”对网络通讯的要求,我们建议结算中心与运营商和服务提供商都以Framerelay作为主干线路连接，以保证用户对通信质量的要求。同时利用ISDN提供FR线路的备份。由于结算中心与服务提供商连接要求比较高,通讯线路采用256Kbps的速率,与运营商连接可在系统运行初期采用64Kbps的速率。由于运营商与服务提供商同结算中心主要是交易数据等的传送,以每笔交易数据50字节计算,64Kbps速率在满负荷的情况下可以传送64*1024/8/50=163笔/秒。一分钟可传送163*60=9780笔。由于交易数据是非定时传送的,交易数据的传送时间应在可以接受的范围之内。如果数据传送时间由于线路速率的原因不能接受,则可以通过提高线路速率来满足数据传送要求。结算中心的通讯带宽应为运营商和服务提供商的线路带宽之和。以66家运营商和服务提供商计算，结算中心需要的总带宽约为66*64=4224K=4.224(M)，4条2M速率的帧中继线路是可以满足要求的。根据“交通一卡通”的业务对计算机通讯网及网络设计原则的要求，我们设计的网络拓扑结构如附图所示。173 深圳市“交通一卡通”工程项目方案建议书深圳市“交通一卡通”防火墙设置为了保护结算中心内部局域网的安全,结算中心局域网与外部广域网连接需设置防火墙。我们选用了CheckPointFireWall-1防火墙。FireWall-1是目前全球防火墙市场占有率最高的防火墙，经过了许多安全测试和大量实际使用的考验，是商用防火墙较好的选择。为了提高可靠性，避免防火墙形成网络单点失效，我们建议使用两台防火墙形成热备份防火墙。两台防火墙各用一块网卡用交叉UTP线连接，构成心跳线。每台防火墙同时装上StoneSoft的StonebeatClusterForFireWall-1软件。Stonebeat通过心跳线测试对方的状态，判断是否失效以便切换。CheckPoint的FireWall-1和Stonebeat相结合可实现热备防火墙，使防火墙不因主机系统失效而失效，实现快速透明的切换，切换时间2-10秒。用于管理Firewall-1和StoneBeat的管理工作站也接入内部网中,通过该管理工作站管理防火墙和StoneBeatClusterForFirewall-1.两台防火墙各安装3块双端口网卡作为内网、外网和DMZLAN接口。双端口网卡有2个以太网接口，一个处于活动状态，一个备份状态。当活动状态连接失效时，备份端口切换成活动状态。在深圳“交通一卡通”网络拓扑结构图中两台防火墙内网、外网和DMZLAN连接中实线表示活动端口连接，虚线表示备份端口连接。两台防火墙内网活动端口和备份端口分别连到网络中心两台Catalyst3524-XL-EN上，其中同一台防火墙活动端口和备份端口连在不同的Catalyst3524-XL-EN上。由于Catalyst6006和Catalyst3524均支持IEEE802.1Q和Cisco173 深圳市“交通一卡通”工程项目方案建议书ISL，所以可在交换机上划分VLAN，因此可把与2台防火墙连接的4个端口划在同一VLAN中。DMZ局域网由两台Catalyst2912-XL组成。并通过一对100Mbps以太网连接组成FEC连接起来。两台防火墙的DMZLAN端口的活动端口以及备份端口连在不同的交换机上。两台防火墙外网接口连到两台外网交换机Catalyst2912-XL上。两台外网交换机通过快速以太网接口互连起来。同一台防火墙外网活动接口和备份接口连在不同的外网交换机上。运营商广域网部分配置一台Cisco2610路由器接入深圳“交通一卡通”计算机广域网络，通讯主干线路为帧中继，速率为64Kbps，备份线路为ISDN。服务提供商其广域网部分配置一台Cisco2610路由器接入深圳“交通一卡通”计算机广域网络，通讯主干线路为帧中继，速率为256Kbps，备份线路为ISDN。深圳市“交通一卡通”计算机广域网络主干路由系统将采用动态路由协议OSPF协议，备份路由系统将采用浮动静态路由，其中Distance设为120，比OSPF缺省Distance大。1.1.1深圳市“交通一卡通”广域网结构深圳“交通一卡通”计算机网络系统是深圳公共交通结算中心连接各运营商和服务提供商的重要途径，为保证数据能够流畅传送，必须保证有充分的网络带宽和可靠的网络备份策略。根据深圳市的实际情况，我们建议结算中心与运营商连接以帧中继为主干线路，以ISDN作为备份线路。结算中心广域网部分由两台Cisco3662组成中心路由器，实现互为热备份和负载均衡。Cisco173 深圳市“交通一卡通”工程项目方案建议书3662有两个快速以太网口,6个插槽，可以插入各种网络模块。根据“交通一卡通”项目招标文件中所述:大巴经营企业21家,小巴经营企业45家。我们可以认为运营商有66家，运营商的通讯线路速率采用64Kbps的速率，那么66*64K=4224K，已经大于两个2M。所以，在Cisco3662路由器上各配置两个E1口。目前两台Cisco3662各配置1块NM-4T串口模块，1块双口ChannelizedE1/PRI模块，一块内部压缩模块。4个串口都可达到2Mbps速率，其中2个串口配v.35缆线与帧中继广域网连接，另两个串口备用。2个ChannelizedE1/PRI接口与ISDN网连接，各支持30B+D。压缩模块用于硬件数据压缩，可使带宽利用率提高约1倍。两台Cisco3662各有一个快速以太网端口分别同防火墙的两台外网交换机Catalyst2912-XL连接。两台Cisco3662路由器的另一个快速以太网端口通过交叉双绞线相连.两台Cisco3662同时接入主干线路和备份线路运行、处理数据。为了使路由器分担负载，我们将帧中继PVC均匀分配到两台Cisco3662上：运营商申请一条PVC连接到一台Cisco3662上，则ISDN将连接另一台Cisco3662上，正常情况下ISDN处于备份状态，因此2台Cisco3662路由器可以大致负载均衡。1.1网络设计中的可靠性考虑可靠性是深圳“交通一卡通”广域网设计中考虑的最主要的问题之一。我们的设计目标是，无论任一设备，任一设备的部件和任一线路出现故障，都必须保证网络的正常运行。1.1.1局域网可靠性结算中心局域网采用双中心交换机Catalyst6006，各配线间交换机Catalyst173 深圳市“交通一卡通”工程项目方案建议书3548-XL采用双千兆位以太网连到2台中心交换机。中心同时配置2台Catalyst3524-XL交换机提供100Mbps以太网连接端口。同样Catalyst3524-XL是以双千兆位以太网连到2台中心交换机。任一中心交换机发生故障，Catalyst3548-XL和Catalyst3524-XL均能保持正常工作，从而保证局域网正常工作。1.1.1广域网可靠性广域网采用双中心路由器，通信线路以帧中继为主，以ISDN为备份。中心路由器与各运营商和服务提供商路由器运行动态路由OSPF，ISDN采用浮动路由技术。正常情况下由于OSPF的Distance小于ISDN静态路由的Distance，因此路由表取OSPF产生的路由。当连接运营商或服务提供商的FR通讯线路失效时，在中心，路由器中只存在原来通过ISDN连接到运营商或服务提供商的一条静态路由,路由器将通过ISDN线路传送数据到运营商或服务提供商.在运营商或服务提供商端，FR线路上的动态路由消失,路由表中只存在一条到中心的静态路由,路由器将通过该静态路由即ISDN线路传送数据.如中心路由器之一失效，与之通过FRPVC连接的运营商或服务提供商路由器将失去从OSPF得到的路由，从而选ISDN浮动路由，并自动启动ISDN的连接。1.1.2防火墙热备份说明防火墙是内、外网连接的唯一通路，极易形成单失效点，因此我们配置2台防火墙，组成互备份防火墙。由于我们在防火墙上安装了StoneBeatFor173 深圳市“交通一卡通”工程项目方案建议书FireWall-1高可用性软件,使得两台防火墙构成双机热备，StoneBeat可以检测硬件和软件故障：除了在防火墙之间有心跳连接监测防火墙状态外,StoneBeat同时提供了特别的测试系统监测大部分的硬件失效,如硬盘和网络接口卡问题;StoneBeat同时也能排除由于操作系统或防火墙软件引起的失效,StoneBeat测试子系统包含有大量的测试以监测软件失效的情况,这些内部测试能够监控操作系统,例如资源耗尽情况和进程的状态和已安装的安全策略.这些测试系统可被定制执行额外的测试.通过StoneBeat,我们可以提供高可靠性的热备份防火墙系统，它能保护用户连接不因防火墙主机系统出错而中断，实现快速、透明切换，切换时间2－10秒。2台防火墙内网、DMZ局域网和外网均配置双端口网卡，分别与2台内网交换机、2台DMZ交换机和两台外网交换机连接，任一内网、外网和DMZ交换机失效均不影响连接性。1.1运营商局域网与网络接入设计根据运营商运行”交通一卡通”系统对网络的要求,我们设计的运营商的局域网是10M/100M的快速交换以太网,配置的交换机为Cisco2924-XL.该运营商计算机系统将通过Cisco2610路由器同结算中心相连,Cisco2610一块WIC-1T卡用于接入帧中继,申请一条PVC与中心路由器之一连接，其速率为64Kbps；一块ISDN卡用于连接ISDN线路,通过DDR与另一中心路由器连接。FRPVC上运行OSPF路由协议，ISDN端口设浮动静态路由，其中Distance设为120，比OSPF的缺省Distance大。同时Cisco2610通过软件对数据进行压缩以提高带宽利用率.其拓扑结构图如下图所示:173 深圳市“交通一卡通”工程项目方案建议书1.1服务提供商网络接入设计由于为”交通一卡通”系统中的有关业务提供服务的企业或单位网络和系统结构都不尽相同,为了保证双方系统的互操作性,需要设计采用共同的标准.在本方案中,我们建议以事实上的工业标准TCP/IP协议作为”交通一卡通”结算中心系统与”交通一卡通”系统服务提供商之间通讯协议,并在服务提供商放置前置机的方式实现双方系统的数据交换。网络拓扑如下图所示:173 深圳市“交通一卡通”工程项目方案建议书图中前置机配置两快网卡,一块同Cisco2610路由器相连,一块接入服务提供商内部网.在前置机上运行数据交换软件,完成同结算中心计算机系统和服务提供商计算机系统的数据交换.前置机运行SCOUNIX操作系统.Cisco2610路由器完成服务提供商计算机系统同结算中心计算机系统的相连,Cisco2610配置一块WIC-1T卡用于接入帧中继,申请一条256KbpsPVC与中心路由器之一连接。一块ISDN卡用于连接ISDN线路,通过DDR与另一中心路由器连接。同时Cisco2610通过软件对数据的压缩以提高带宽利用率.FRPVC上运行OSPF路由协议，ISDN上设浮动静态路由，Distance设为120。1.1独立网点网络接入设计根据“交通一卡通”招标文件的要求，一期工程计划目标要设置150个售卡充值点及信息采集点。这些信息采集点中绝大部分是和服务提供商直接联系，但为了方便灵活起见，也要考虑成立独立的售卡充值点及信息采集点，我们称之为独立网点。由于独立网点规模小,我们建议为其配PC机和ISDN173 深圳市“交通一卡通”工程项目方案建议书卡,通过ISDN拨入结算中心的中心路由器。为了中心路由器负载均衡，独立网点平均分成两部分，分别与2台中心路由器连接。1.1与政府有关机构连网在网络拓朴结构中，政府有关机构类似于独立网点。这里我们只假设与政府机构中单独主机连网，该主机配有ISDN网卡，通过ISDN与结算中心广域网的中心路由器连接。1.2无线数据采集与传输公交大巴数量多，每日消费数据量大，公交公司的管理模式比较规范，且通常都有固定的运营管理场所，故，我们建议对公交大巴采用无线通信的方式进行消费数据采集和管理数据下发。即在各公交总站建立“无线数据采集子系统”（以下简称“子系统”），该子系统应保证在近距离（一公里左右）内可靠地读取系统内移动收费点的数据，在规定的时间内（如一天）能完成对所辖移动收费点的数据采集，同时可靠地完成相关管理运营数据的下传。173 深圳市“交通一卡通”工程项目方案建议书1.1.1系统构成“无线数据采集子系统”由中央控制器、无线基站、结算中心链路设备、直流电源、各个系统内移动收费点构成。…移动站1广域通信子网中央控制器结算中心无线基站移动站n其中，中央控制器为单台个人计算机，其与无线基站的接口为标准RS－232串行口，运行数据采集和控制软件，各个移动站（公交大巴）的数据（机器号码、开出总站时间等）由操作员实时输入；通过无线基站对各个移动收费点下发命令和接收并储存采集的数据；通过广域通信子网接收结算中心命令并将数据实时送往中心。无线基站与各个移动收费点通过无线方式进行数据交换，由RS－232串行口接收中央控制器的接收、发射命令；将控制器下发的数据（如黑名单等）调制到无线信道上下发给各个移动站；将移动站上行的无线信号解调出来，并通过串行口发往中央控制器。173 深圳市“交通一卡通”工程项目方案建议书移动站为安装在各个公交车上的IC卡计价器和无线收发器，它们之间采用标准RS－232串行口相连，IC卡计价器通过IC卡收取每位乘客的费用(从IC卡上扣除)，并将数据存在内存中；无线收费器通过RS－232串行口给计价器发出命令和读取收费数据，同时接收并解调调度中心通过无线信道发出的命令，将从计价器上读取的数据调制到无线信道上发往调度中心。1.1.1系统内的无线通讯在每个无线子系统内系统与移动收费点的数据交换采用近距离的双向无线通讯方式，采用窄带调频方式，数据调制为直接频移键控（FSK），信道中信息传输速率为1200bps。为抗市区内移动通讯的多径衰落问题，必须对数据进行信道编码，即进行前向纠错编码，采用31/21的BCH纠错，再加8×8（64bit）的交织编码，并加8bit的CRC校验，在车辆速度不是很快时可有效防止多径衰落的影响。每个子系统及无线通讯基站的地点均设在其调度中心（即公交总站）所在地。由于每个子系统内的移动收费点数量不是很多，因此每个子系统一般只配备一个单工频率，数据交换采用单个方式，如果移动站比较多，或系统要求定时数据采集的频度比较高，造成单个频率处理不过来时，考虑使用多个频率。由于基站覆盖区域比较小，因此覆盖区域不重叠的不同子系统可以复用同一频率。在实际系统工程设计中，需将深圳市内分布的各个子系统统一起来考虑频率的数量可划分（可参考蜂窝网的频率划分方式）。在理论设计完成后，需模拟实际使用环境对各个基站进行覆盖和电磁兼容的测试，如有不合适或存在干扰的地方则需进行频率调整。173 深圳市“交通一卡通”工程项目方案建议书为抗外部干扰，无线通讯频率需采用无线电管理委员会批准的25KHz间隔的专业通讯频率，频段可采用230MHz段、400MHz段或800MHz段。在确定频点数量后需报无委会批准，也可采用运输局内部以批准使用的频率。每个子系统均有自身机器码以相互区别；子系统中每个移动点均具有本子系统的代码，在通讯时需先检验子系统代码，以免与其它子系统混淆；同时每个移动点均具有自身机器码以与子系统内其余移动点加以区别。子系统对各个移动点数据采集工作按时分方式进行，为处理移动点意外情况的主动上行信号（如数据储存区将满等情况），在一段时间内（如一分钟）安排几个时隙由总站对移动点发出主动上行邀请。每次数据交换工作的完成由通讯收发器载波静噪检测来确定。1.1.1数据采集过程在公交车开始营运至结束营运期间，子系统需定时将所有营运公交车的收费数据全部采集至主机并储存起来。在营运期间主机需有值班操作员，对公交车的定时数据采集系统定时自动方式或人工输入采集方式结合来完成。通过人工统计预计每部开出去的公交车能开回来的时间，并输入主机，或者在运营商子系统软件中由值班操作员输入每个移动点每天定时采集数据的时刻；同时在移动点开出总站时可输入对其下次进行数据采集的时刻，或输入开出时刻（在过设定的时间后系统自动对其进行数据采集）。子系统可调出最近时间内已采集的公交车号码和采集完成的时间的列表，以供操作员判断是否需要对某公交车进行数据采集。173 深圳市“交通一卡通”工程项目方案建议书子系统在收到对移动点采集的数据后将向移动点发出应答信息，如果判断数据错误时则通知移动点重发，直到判断数据正确为止；子系统在收到数据判断为正确时，通知该移动点可以将这些数据清除。1.1.1车载无线终端及基站信道机设计为降低成本，基站和信道机均采用如下措施：（1）收发信机均采用小功率的发射机，发射功率为100mW左右。（2）收发信机均采用单信道方式，射频信号采用单泛音晶体振荡器，经几倍频后产生，并经过带通滤波器得到干净的频率源。（3）车载终端数据的信道编码在IC卡计价器的单片机内完成，信道机内不拟再采用单片机（如有特殊需要，可采用简单廉价的单片机）。计价器通过串行口直接控制信道机的收发；发送数据通过电平变换和幅度调整后直接加到射频振荡器的调制端口；信道机接收到的数据经波形整形和电平变换后，通过串行口送到计价器单片机进行处理。（4）采用直接FSK调制方式，解调由单片机完成，不用调制解调器。（5）基站采用6dBi全向天线；车载终端采用0dBi螺旋天线。1.2关于“远期目标”的网络设计根据“交通一卡通”招标文件的要求，远期工程计划目标要求完善“交通一卡通”系统功能，拓展应用范围，创造条件，与珠江三角洲交通卡系统、香港“八达通”系统完成互联。与网络有关的远期工程计划目标实现起来并不困难，只需珠江三角洲、香港等地区的广域网统一协议并可互为通讯即可，主要工作在于应用软件系统的升级。173 深圳市“交通一卡通”工程项目方案建议书1.1网络与系统管理1.1.1需求分析根据对“交通一卡通”系统对网络和系统管理的需求的分析，我们把“交通一卡通”系统的管理需求分为三大方面：网络管理主要包括全网的拓扑结构的自动生成与刷新、网络各节点的轮巡、各网络设备的性能监控(各端口的实时与历史流量分析、故障报警)、网络设备管理软件集成等，对全网进行集中统一的网络管理。“交通一卡通”系统的应用系统是分布式应用系统，同一应用的不同部分要分布在网络的不同节点上。在这种应用环境中，网络是承载关键业务系统的基础。应用不可能脱离网络，它不但联系最终用户和应用，而且要联系同一应用中的不同模块。因此，要把问题从各种IT资源中孤立出来也越来越难。例如：我们的用户经常反映“系统很慢，连接不到数据库”；实际上，导致访问数据库响应变慢的原因不仅仅是应用程序和数据库，可能与用户到服务器之间的所有计算机和网络设备、线路都有关系。瓶颈可能是这些资源中的任何一个：应用系统、数据库、LAN网段、路由器、WAN连接、计算机网卡等。问题到底出在哪里呢？单凭经验判断是远远不够的，没有客观的依据，盲目进行系统升级也往往解决不了问题，反而造成资源和投资的浪费，也是不可行的。173 深圳市“交通一卡通”工程项目方案建议书所以，我们需要一套网络管理产品，来监视网络运行情况和性能，定期给出网络状况的报告，分析网络瓶颈，为系统升级提供科学客观的依据。服务器监控和管理主要是对结算系统主机进行实时监控和管理，包括主机运行状况监控、主机性能监控、数据库性能监控、主机数据备份与恢复。一方面，监视包括网络、计算机、数据库和应用在内的整个系统的运行情况，及时处理和报告发生的问题，在系统可能出现问题之前就发现事故隐患，确保整个业务系统正常运行；另一方面，针对这些主机的数据备份管理需求，提供存储管理解决方案。企业业务的特殊性对计算机系统的可靠性、可用性有更高的要求。系统中主要业务服务器大都采用双机热备的方式，网络线路也会采取一些冗余措施，尽力避免单点故障对系统造成不利影响。但是，仅采取这些措施也是不够的，我们还应该能够实时监控系统的工作状态，及时发现事故隐患，做到及时发现问题、报告问题、处理问题，做到防患于未然。如果我们能够实时地监控主要计算机的CPU、内存、磁盘、文件系统、交换区、进程等资源的使用情况，监控网络的流量、丢包率、错包率等参数，就可以及时发现系统中可能存在的问题，及时采取必要的措施，对系统进行调整，保障系统的正常运行。否则，就只能是在系统出现故障，造成损失之后才去处理，使问题扩大化、复杂化。如果在发现问题后能够做到系统自动处理，自动调整系统运行状况，就更能够及时解决问题了。173 深圳市“交通一卡通”工程项目方案建议书随着系统中应用的增加，系统性能会慢慢下降。我们常常会遇到这样的情况，最终用户反映系统很慢，系统管理人员却很难找出系统变慢的真正原因。有时，把系统集成商、主机厂商、网络设备厂商、数据库厂商、应用开发厂商都找来，一起分析系统性能低下的原因，各个厂商也是互相推诿，都说各自系统没有问题，但是系统性能低下的问题还是很难解决。系统性能问题与系统故障不同，它不会马上使系统瘫痪，造成巨大影响。因此，这种问题较难发现，也比较容易被忽视。但它对系统可用性、可靠性、效率等的影响也是不可忽视的。对待系统性能问题，我们通常的做法是，用户强烈反映系统性能下降，造成严重影响后，系统管理人员才根据经验对问题做出一定的判断，提出一些系统扩容的建议。系统扩容后，根据实际效果确定判断是否正确。可以看出，我们对系统性能问题的处理基本是靠经验进行的。这种做法很难及时发现系统的性能瓶颈究竟在何处，很难有针对性的对系统进行调整、升级，往往会盲目扩容，无法达到预期的效果，造成投资的浪费。存储管理对“交通一卡通”结算中心结算主机系统来说，数据文件和数据是最为重要的资产之一，当灾难事件出现，如硬盘损坏、服务器宕机等，需要快速、准确、简易地恢复原有数据，减少对业务的影响。因而准确而可靠的存储管理在结算中心系统的IT环境中扮演着重要的角色。结算中心系统需要一套基于网络的企业级备份软件，能够自动定时的把所有服务器上所有需要的数据按照一定策略统一备份到网络上的一台磁带库上。1.1.1网络与系统管理方案为满足对“交通一卡通”173 深圳市“交通一卡通”工程项目方案建议书系统的网络和系统管理的需求，并考虑产品的成熟易用性，我们选用CA公司的UnicenterTNG作为网管工具。网络管理建议采用UnicenterTNG及ResponseManagerOption对“交通一卡通”系统的全网进行网络管理，完成：l网络拓扑的自动发现及更新，包括网络节点的自动发现、网络设备的定位及生成、拓扑的动态更新、Agent(SNMP、系统、数据库、应用)的自动发现；l通过对网络节点状态的轮询(轮询间隔可根据管理需要随时调整)，实时监控网络中所有资源的状态；l网络性能监控(包括实时与历史的监控)及故障报警，提供图形化或表格方式的数据表达，提供详细的关于LAN、WAN负载等网络资源性能的实时与历史报表；l与第三方(如CISCO)网络设备管理软件集成。CAUnicenterTNG的网管功能可以把网络管理和企业资源系统管理有机结合起来，并且把网络事件和各种消息关联起来，统一处理；它除了管理网络设备的可用性和配置外，更注重管理历史的和实时的系统性能和响应时间。“交通一卡通”系统中主要使用CISCO的交换机和路由器，TNG可以从以下几个层次对这些资源进行管理：首先，它可以自动发现这些设备和他们之间的连接，通过MIBII监控设备、端口的运行情况；通过CAResponseManager选件，CA的网管还可以与CISCO设备上的RMON173 深圳市“交通一卡通”工程项目方案建议书代理通讯，获取该设备和相关线路的更为详细的数据和历史数据；对于不支持RMON的“傻Hub”，我们还可以在该Hub所在的网段（碰撞域）安装CA的“探针”软件，实时采集和统计该网段的数据，送给ResponseManager保存。通过对RMON代理和“探针”程序送来的历史数据的分析，我们就可以看出设备、线路的繁忙程度，系统瓶颈出在哪个设备、哪条链路上，何时会出现瓶颈，瓶颈是由那些应用造成的。这样，我们就可以采用相关的措施：或者升级相关设备，或者提高相关链路容量，或者限制某些次要应用的运行，以改善系统性能，提高系统利用率，使资源分配更为合理。系统资源监控及性能分析建议采用UnicenterTNGSystemAgent对结算系统主机的整体运行状况、重要进程的运行状态、系统和应用日志的记录情况进行监控，并根据需要定义报警门限，当某参数超过门限值时，由Agent自动通知中心管理机,并执行预定义的动作(如声音告警、寻呼用户、调用命令和程序等)。建议采用TNGPerformanceAgent对结算系统主机的系统性能进行细致监控，范围包括CPU、内存、交换区、文件系统、磁盘存取、打印机、核心资源的利用、进程对CPU和内存资源的占用等等。UnicenterTNG的性能代理(TNGPerformanceAgent)可以帮助我们监视系统运行的性能状况，帮助我们找出影响系统性能的因素，对症下药。存储与备份管理建议采用CAUnicenterTNGASO(AdvancedStorageOption)高级存储选件来对IBM结算主机服务器进行集中化的、全网络范围内的存储管理。173 深圳市“交通一卡通”工程项目方案建议书ASO领先的数据备份、恢复和灾难恢复功能可以为上海市石化企业网系统的服务器提供高性能、易于扩展、易于使用、自动作业的完整的数据保护解决方案。网络设备管理由于我们设计的方案中采用的网络设备是Cisco公司的网络设备，因此为了对这些设备进行配置、性能、故障、安全等管理，我们还配置了CiscoWorks2000网管软件对这些设备进行管理。CiscoWorks2000的由以下几个部分组成：（1）RME(ResourceManagerEssential)RME是一种使用于Cisco路由器、交换及接入服务器的功能强大、基于Web的网络管理解决方案。它的浏览器接口可轻松接入到对网络正常运转时间至关重要的信息，而它的模块通过处理耗时的管理工作简化了网络管理，这些工作常干扰了小型至大型企业网的运行。173 深圳市“交通一卡通”工程项目方案建议书ResourceManagerEssential的功能:l使管理网络库存和设备变化、归档和查询配置文件及迅速采用新的软件版本工作一体化l帮助排除关键网络设备的基本连接状态的故障，并提供硬件容量规划所需的信息l有一条内置链路与CCO链接，按照你的网络库存要求提供最新管理信息和Cisco知识RME包括下列模块软件：l库存管理器InventoryManager保持一个最新的硬件和软件库存。173 深圳市“交通一卡通”工程项目方案建议书l变化审查业务ChangeAudixService提供有关软件、硬件及配置变化的综合报告。l设备配置管理器DeviceConfigurationManager进行路由器和交换机配置的及时归档。l可用性管理器AvailabilityManager监控关键设备。lSyslog分析器查出网络故障情况，并给出故障原因及建议措施。l软件版本管理器SoftwareImageManager简化并加速软件版本的规划和采用。lNetsys集成配置归档产生一个仅包含最近配置变化的“shadow”目录，该目录可用于Cisco的Netsys产品，进行模型建造、完整性检查并生成业务级别管理报告。lCisco管理连接CiscoManagementConnection提供一个工具包及后续程序，用基于Internet的标准和技术进行网络管理应用程序集成。173 深圳市“交通一卡通”工程项目方案建议书l网络工具提供用于管理SMARTnet合同的合同连接、发出技术援助中心(TAC)申请的案例管理器及确定有效协议的连接工具。（2）CWSI园区管理CWSI承袭了CiscoWorksforSwitchedInternetworks的功能。CWSI园区管理是一种管理CiscoCatalyst和LightStream交换机的综合管理解决方案，它在单个设备和整个网络范围的基础上提供广泛的网络搜索和显示、配置、LAN/WAN业务及性能管理功能。CWSI园区管理提供：l物理层和逻辑层的综合网络搜索和拓扑结构，智能性的显示多达500个设备。l通过一个图形接口的设备配置，易于进行设备管理。l使用RMON/RMON2收集的流量数据进行的性能监控和分析。173 深圳市“交通一卡通”工程项目方案建议书l优化LAN和WAN性能的配置及分析工具。lVLAN配置功能可以逻辑方式将网络分隔成定义好的广播群。lATM和LAN仿真(LANE)配置及诊断工具。l用于诊断连接故障的终端用户站追踪。CWSI园区管理建立在ResourceManagerEssential基础上，大大降低了交换的互连网管理的复杂性，同时对于任何使用Cisco交换机的网络来说，它也是一种有价值的解决方案。（3）CiscoView管理交换的网络需要接入工具以了解设备配置，并在必要时进行改变。不管是独立配置还是在园区网内，CiscoView均可用图象显示所所选设备，包括已安装的模块、配置状况，同时提供设备及端口状态的彩色编码图示。173 深圳市“交通一卡通”工程项目方案建议书Cisco路由器、交换机及所配置模块的图象显示。设备端口或接口状态及RMON数据的实时状态轮询。实现简易配置或状态识别的可拆卸式配置菜单。1.1.1具体配置选用一台WindowsNT机器作为中心管理机，在其上安装UnicenterTNG2.2、UnicenterTNGResponseManagerOption从这台中心管理机，能够对全网进行网络管理、对主机进行运行状况和系统资源监控。Ciscoworks2000也安装在这台机器上。在结算主机上安装TNGSystemAgent、TNGPerformanceAgent，用于监控操作系统运行状况和系统性能以及数据库性能。在连接磁带机的机器上安装TNGAdvancedStorageOptionManager，在结算主机上安装TNGASOClientAgent，用于对结算主机进行网络环境下的存储管理(数据备份、恢复及数据库系统的备份等)。1.2网络设备及软件选型说明关于本方案的网络设备及软件选型说明，请参见《附件二网络设备及软件选型说明》。173 深圳市“交通一卡通”工程项目方案建议书1.系统平台设计1.1结算管理中心系统平台设计1.1.1设计原则“交通一卡通”结算中心主机系统是整个系统的核心，我们认为在设计时应该遵循如下设计原则：（1）具有较强的安全性、可靠性、成熟性和保密性（2）采用的技术应代表目前国际商用计算机系统的先进水平（3）具有优良的可维护性、可操作性（4）计算机系统各级接口均有较好的兼容能力，系统具有较强的扩充能力（5）系统设计充分考虑到各期软、硬件的可扩充及兼容性，既兼顾现期工程的业务需求及将来的业务发展，又留有一定的余量除了上述设计原则外，我们在对机器选型时主要考虑了以下几个方面：（1）产品质量优异，可靠性高，适用于长时间的连续运行（2）可用性高，当机器出现故障时，能有快速的恢复措施（3）数据安全、保密性好（4）通信连网能力强（5）系统易维护、管理（6）系统具有连续的可扩充性和较强的升级能力（7）系统易进行应用开发（8）系统的性价比高173 深圳市“交通一卡通”工程项目方案建议书（9）系统具有开放性1.1.1主机系统选择及配置根据结算中心业务要求及将来业务增长需求以及上述的设计及选型原则，我们建议选用两台IBMRS/6000S7A作为系统主机，两台主机共享外接硬盘冗余阵列（SSADiskSubsystem），安装HACMPforAIX高可靠性软件实现双机并发处理。客户端分别均匀地连接到两台主机上，当某台主机出现故障时，通过HACMP高可用性软件，由另一台主机接管原来连接到故障主机的客户端。通过这种方式提高主机的处理能力。1.1.1.1主机系统配置每台主机系统的配置为：4个262-MHzPowerPCRS64-IICPU，8ML2Cache，1G内存，1*9.1GB硬盘，12GB/24GB4mm磁带机，内置32XCDROM，二块1000M/sec以太网口，AIX4.3操作系统和HACMP软件。两台主机共享一个5*18.2GB的磁盘阵列。服务器的存储能力与系统每日的数据容量有关，目前我们的配置为：每一台S7A带有1*9.1GB的内置硬盘，用于安装操作系统及数据库应用软件，另外还配有5*18.2GB＝91.0GB的硬盘阵列，可以满足系统初期数据量存储要求，而且保证了硬盘阵列内部数据的冗余镜象需求，大大提高了系统的可靠性。1.1.1.2主机系统的高可用性173 深圳市“交通一卡通”工程项目方案建议书在商用市场中，尤其是金融业、电信业、证券业、医疗业及工厂制造业等，依赖计算机程度很高，而且无法承担万一计算机发生故障的情形发生，针对此种问题，传统的解决方案购买一部容错系统或大型机。容错的定义，乃指当计算机系统一个或多个“元件”失效时，系统即使在性能有所降低的情况下，但能正确地“继续”运行。此处所谓“元件”，可为CPU、硬盘、网卡、甚至是操作系统以及应用系统。正确地“继续”运行，包含了资料的正确性，应用软件的正确性等。非常重要的一点是，失效后何时能够“正确继续”运行，此“正确继续”的间歇时间，可以是一秒至数秒、数分钟或是数小时。能恢复者称之容错。要达到“正确继续”的运行，通常有下列几种方法：利用硬件级，将每个元件准备二个以上，例如2个CPU，利用硬件方式去探测，当一个失效时立刻转移到另一个CPU上，此种方式可在数秒之内完成，所以称为容错。此方式为密耦合多处理。利用操作系统级，其硬件配备类似密耦合方式，但由操作系统去探测相关元件做转移，故“正确继续”运行的转换时间较硬件级长，且需特别功能的操作系统，通常也可在数秒之内完成，故也称为容错。一般归类为紧耦合多处理。利用应用程序级，将多套相同或不同的计算机系统连接，利用程序去探测彼此的使用情况，一旦发现有元件失效，便进行转移，此种方式“正确继续”的时间往往数分钟，所以称为近似容错系统，一般归类在松耦合多处理。由于每套系统均有其应用软件，如何让使用的应用系统能够“正确继续”的运行，是非常重要的。高可用性或称为近似容错系统是UNIX商用环境中逐渐普通使用的解决方案，高可用性归类在松耦合多处理器系统。173 深圳市“交通一卡通”工程项目方案建议书目前市场上推出的容错系统基本上属于上述前两种，这类的容错机只是在硬件发生故障时可以恢复正常运行，但是对系统软件及应用软件的错误则较难恢复，这亦是容错机的致命弱点。由于结算中心的应用是用于关键数据的处理，应用系统必须不间断的运行，因此不仅要求计算机的硬件具有容错能力，而且软件也必须同时具有容错能力。我们认为计算机硬件产品不断成熟，其故障出现的可能性远远低于系统软件以及应用系统出现故障的可能性，IBMHACMP产品解决了容错机不能解决的问题，再加上IBM成熟的硬件产品，我们认为结算中心应该采用高可用性群集系统，而不一定要采用容错机。因此，经过比较，建议结算中心选用IBM的RS/6000高可用性群集系统HACMPforRISC6000。HACMPforAIXVersion4.3是一个控制用应用程序，可用来最多将八部RS/6000服务器或SP的节点连接成高可用性的群集结构。对于企业关键性的应用程序而言，群集式的服务器或节点提供代理式的数据访问，具备冗余性使得系统应用程序具有灵活的容错能力。HACMP的群集因不同的处理需求可以采用不同的结构模式：“并发存取模式”适用于所有处理机必须在相同的工作负载及在相同的时间共享相同数据的环境。“互相备援模式”则是所有处理器共同分担所有的工作负载，并且互相备援。而热待机模式则为一节点备援任何群集上的另一节点。为使配置程序自动化，HACMP173 深圳市“交通一卡通”工程项目方案建议书的快速配置工具可以显示预先定义好的硬件结构来建立群集。可以利用群集节点快照工具将现存的群集结构存入文字档内，并籍此可快速配置或追踪群集配置的改变。而利用动态式重新配置工具，可用来增加或删除群集资源，诸如处理机、适配卡、硬盘子系统及应用程序、软件等，无需停止群集的运作。通过群集单点控制工具可进行群集的一般管理工作（如HACMP启动/停止，群组管理，卷册群组，逻辑卷册及文件系统等管理）。HACMP具有如下特点：水平式的增长性---籍由共享硬盘或处理机资源来加速系统整体性能及加大系统整体容量，使得应用程序得以分散在所有的RS/6000服务器；减低投资与增进系统之可用性来提供层级性的增长；混用单一处理机及多元处理机节点增进应用程序性能及硬盘共享。支持多重用性之结构方式---提供增长之可用性，不管是热待机（Hotstandby)或互相备援模式（mutualtakeover),皆可构成二至八个节点的群集。群集管理员---提供HACMP群集之建议；即使群集中的系统死机，仍能可访问所有共用的数据。群集单点控制---籍由减少系统管理的错误及对所有群集中的节点执行单一处理来强化系统管理；提供单一系统的image使得整个群集犹如单一系统以减少系统管理。动态式重新配置工具---在没有死机的情况下，可以持续的维护系统；在系统正常的情况下，可以新增或移除群集的资源。支持常用的数据库---支持DB2,Oracle,Informix,Sybase及Unify。IBM磁盘子系统的支持支持Ethernet,FDDI,Token-Ring,ATM及FibreChannelnetworks强化SP群集之安全性---使用Kerberos安全性标准。173 深圳市“交通一卡通”工程项目方案建议书双机并发模式说明下面两图为双机并发模式的说明173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1主机选型说明IBMS7A服务器是一个64位的SMP系统，是IBM专门针对关键电子商务应用而提供的一档产品，该产品具有较好的性能、良好的可扩展性、极高的可靠性和可使用性。优良的性能IBMRS6000S7A具有优良的性能，不同CPU个数配置下的主要性能指标如下表所示：ModelProcessorClockRate(MHz)L1Cache(KB)L2Cache(M)OLTPPerf.(TPM)S7ARs64-II/426264/64813799.85S7ARS64-II/826264/64824809.73S7ARS64-II/1226264/64834139.63高可靠性S7A具备极高的可靠性，其ECCSDRAM内存和SMBECCL2高速缓存处理器提供单位（single-bit）和双位(double-bit)错误校验和单位错误修正。当系统停机时，S7A还具备错误修正功能，如机器检查、重新启动恢复、PCI错误隔离和服务处理器错误收集等，以协助您尽快恢复使用。除了热转换功能之外，S7A服务器还具备联机诊断功能，使得维修人员无需中断操作就可以改正很多潜在的系统故障。自动重新启动功能可以在发生无法恢复的软件错误、硬件失败或者环境引发的停机时，自动地重新启动系统。S7A173 深圳市“交通一卡通”工程项目方案建议书具有标准服务处理器。这个服务处理器提供先进的综合系统管理报警功能，如AC/DC电压、风扇速度、温度检测，并提示关机警告，便于错误登录分析和报警。如果发现了潜在的硬件错误，服务处理器可以自动拨通服务中心，以采取预防性的维护手段、防止系统故障、远程维护和诊断功能；包括远程的控制台监视，使得维修人员可以在系统停机后，立刻拨通服务器，进行重新启动和系统恢复，或者在故障发生之前及时予以修正。可扩展性S7A可以同时运行32位和64位应用，即可以在继续运行现有32位应用的同时，在适当的时机将业务升级到64位运算。S7A装备了两个并排单元，第一个单元是中央电子柜(CentralElectronicsComplex,简称CEC)，包括64位262MHz的RS64II处理器和系统内存。第二个单元是标准的19英寸I/O机柜(rack)。一个S7A系统中最多可以增加三个I/O机柜。CEC中包括一个高速多路径开关、内存控制器和两个高速内存端口，总内存带宽每秒钟5.3GB，可以支持性能要求最严格的应用，标准1GB的ECCSDRAM内存可扩展到32GB，它改进了物理内存的使用，能够更快的存取大量数据。通过添加处理器卡，4路CPU基本配置可以升级为8路或者12路CPU的配置。高可用性S7A每一个I/O机柜中可以容纳2个I/O抽屉（每个S7A系统中最多可容纳4个）。带有额外的存储空间和通讯子系统。基本I/O抽屉的标准配置中包括一个高性能9.0GBUltraSCSI磁盘驱动器，32倍速的只读光盘驱动器，1.44MB3.5英寸软盘驱动器，2个UltraSCSIPCI适配器，和一个服务处理器，它还具备11个PCI适配器插槽，一个介质槽(mediabay)和10个可以进行热转换的磁盘驱动器槽位。每一个额外的I/O抽屉上提供了2个介质槽，14个PCI173 深圳市“交通一卡通”工程项目方案建议书适配器插槽和12个进行热转换的磁盘驱动器槽。在配备4个机柜时，一个S7A系统就可以提供8个介质槽，48个热转换磁盘驱动器槽位和56个PCI插槽，这种配置灵活的连接性和存储空间足以满足最严格的应用需要。而且，S7A先进型在I/O抽屉里提供了冗余热交换电源和冷却。正如CEC单元一样。如果电源和冷却系统失败，该系统会继续运行，无需关机，只需一个服务请示，就可以替换故障元部件。S7A每个抽屉中的14个32位的PCI插槽（其中5个插槽是64位的）可以以每秒钟500MB的整体数据吞吐量连接到I/O集线器上，从而降低了I/O瓶颈，大大增强了性能。1.1.1结算中心数据库系统选择由于我们设计主机系统以并发模式运行，因此结算中心数据库系统我们推荐使用Oracle公司的Oracle8并行数据库。自从1989年Oracle公司推出并行服务器以来，Oracle并行服务器已经向客户演示了其在所有主要的Unix平台，WindowsNT，VMS和OS/390中取得的成功。Oracle并行服务器提供下列主要的优点：---可伸缩性：可以扩大应用程序用户数，克服单一机器的限制。当系统资源到达上限值时，在系统中增加一个处理节点可以使系统平滑地进行扩展。---高可用性：在簇硬件上，Oracle并行服务器提供一个故障恢复环境，在这种环境中没有任何一个失效点。用户与失败节点的连接被透明地迁移到可用的处理器节点中。173 深圳市“交通一卡通”工程项目方案建议书---单系统易管理性：一个簇管理视图使用户可以执行一次安装、配置、管理和备份操作，然后允许这些操作自动在所有节点上复制和执行。利用Oracle8I，Oracle并行服务器可以提供改进功能来扩展非分区的应用，例如企业资源计划（ERP）应用。由于新的簇负载均衡功能的目标是支持Internet商务和自服务应用中的大的用户数，所以它可以向客户提供明显的好处。Oracle并行服务器按照下列方式提供可伸缩性：1．CacheFusion技术给非分区应用提供可伸缩性。2．客户负载平衡功能给具有成千上万用户的Internet和自服务应用提供可伸缩性。3．Oracle并行查询为数据仓库应用提供动态的加速CacheFusionCacheFusion是一种并行缓存管理技术，它可以在不同节点用户争夺相同的数据时协调数据库资源。CacheFusion是一种廉价的缓存连接（Cachecoherency）方案。如下图所示：173 深圳市“交通一卡通”工程项目方案建议书利用CacheFusion技术，数据块可以直接在数据库缓冲区的缓存之间传输，从而完成不同节点上的用户的请求。CacheFusion体系结构具有如下优点：-避免耗时的磁盘I/O操作。-通过使操作系统上下文切换操作最小化来减少CPU开销。用户连接负载平衡方案Internet和自服务应用程序利用大量的请求来支持大的数据库用户群。Oracle8I的用户负载平衡方案增加了对处理大的用户数的支持，同时又不影响系统响应时间。这种方案将用户的连接路由到簇环境中最不忙的CPU节点上。Oracle并行查询Oracle并行服务器和Oracle并行查询协同工作可以给复杂的决策支持服务（DSS）工作负载提供动态的加速功能。这种强健的查询结构对伸缩性DSS应用程序没有任何固有的限制，所以增加硬件处理器可以支持更高的加速度和更快的查询响应时间。可用性Oracle并行服务器保留了所有强健的单实例的Oracle快速启动故障恢复能力，并通过提供下列分簇方法来增加可用性模型：--WarmFailover：客户通过TransactionApplicationFailover重新进行透明地连接，并被路由连接到簇中某个对等系统上。对等系统已经具有利用Oracle并行服务器安装的数据库，这样可以节省时间，因为对等节点已经准备好立即处理各种事务。--Hot173 深圳市“交通一卡通”工程项目方案建议书Failover：客户在失败时被路由到一个预连接的对等系统中，这样可以减少客户重新连接所需要的时间和复杂性，并保留在失败路由时的会话上下文和预分列的查询。这种失败路由操作发生在幕后，并且对应用程序是透明的。下图为Failover时的示意图：Oracle并行服务器提供一个完全冗余的、故障恢复的并行数据库体系结构。在N节点簇中即使有N-1个节点失败。仍有恢复能力，就可以实现故障恢复功能。这意味着只要有一个簇节点是可用的，Oracle并行服务器仍可以重新进行动态配置，并继续使用未中断的服务来处理用户事务。易管理性Oracle并行服务器将单系统的管理引入到一个分簇的系统中-允许几个管理操作只执行一个，然后自动在系统范围内复制，利用给更小的节点监视级别提供的drilldown功能也可以监视分簇的系统，就好象这种分簇的系统是一个系统一样。Oracle并行服务器具有下列易管理的优点：--安装一次数据库--配置一次数据库173 深圳市“交通一卡通”工程项目方案建议书--设置一次用户和安全属性--备份一份数据库--维护一份数据库--管理一套数据库表和对象--监视一份数据库--更新一份数据库1.1运营商计算机系统平台设计1.1.1运营商业务系统运行服务器选择根据“交通一卡通”运营商业务系统的要求，我们推荐选用HPNetServerLH4作为运营商“交通一卡通”的服务器。服务器配置为：PIIIXEXON500，256MMemory，磁盘阵列卡，3块9.1G热插拔硬盘。操作系统为SCOOPENSERVER5.0.5。运营商二级节点计算机根据其业务功能建议推荐使用普通微机做服务器和业务处理机。机型为HPMMBrioC433/64M/4.3G/CDROM/4MAGP/LAN。操作系统为WindowNT4.0。1.1.2运营商业务系统数据库系统选择根据“交通一卡通”业务系统的要求，运行商业务系统的数据库选用Oracle工作组服务器Oracle8Server数据库。二级节点的数据库系统为OraclePersonalEdition。173 深圳市“交通一卡通”工程项目方案建议书1.1独立网点运营商计算机系统平台设计独立网点运行商由于其规模不大，数据处理量较小，因此我们将其服务器选为HPPIIIVE8550/128M/8.4G/Audio/8MAGP,10/100M网卡，操作系统为WindowNT4.0。数据库系统为OraclePersonalEdition。1.2服务提供商计算机系统平台设计在我们的方案中，在服务提供商处将放置一台前置机作为同服务提供商主机和结算中心主机进行数据通讯的网关。根据业务系统的要求，服务提供商的前置机配置为HPNetServerLH3，PIII-500，128MMemory，9.1GHardDisk.操作系统为SCOOpenServer5.0.5。173 深圳市“交通一卡通”工程项目方案建议书1.卡及终端设备选型1.1公交系统IC卡的选择我国公交系统售票经历从传统的人工售票到无人售票、磁卡，直至当前流行使用的各类IC卡，无不体现了公交系统在收费服务上追求的“方便快捷、准确耐用、利益保障”的思想。特别是近期流行的非接触IC卡，通过将具有数据存储、加密及处理能力的集成电路芯片模块封装于和信用卡尺寸一样大小的塑料基片中，具有防磁、防静电、抗干扰能力强、存储数据可靠、可读写次数超过万次、携带方便、使用寿命长、读写设备简单、可靠性好、安全性高等特点，是适用于公交汽车恶劣环境下的最佳选择，在公交运输行业中，也把它称之为“电子车票”。然而通过近段时间的使用和实践，也发现一些新的问题和发展动向。1、社会实践证明接触式IC卡不适用于公交系统：据资料显示，我国公交行业中的杭州、广州、珠海、武汉等四家公司曾在小规模上试用过接触式IC卡，由于下述原因没有进行推广：（1）接触式IC卡的接触片由于尘污、粗暴插卡、经常性摩擦等原因，其自然损坏率相当高。（2）读写器的卡座由于尘污、粗暴插卡、非卡外物插入等原因，使读写器损坏或不能工作，需要经常维护。173 深圳市“交通一卡通”工程项目方案建议书（3）由于在使用时，卡与卡座的配合是有方向性的，在公共汽车验票时，由于卡座狭小而难以把IC卡插入。特别在使用者是老人、小孩时，接触式IC卡的使用是相当困难的。（4）即使接触式IC卡在正常使用的情况下，其交易过程的时间长，延长了乘客出行时间及车辆周转，使公司投入更大的运力，增加了运行成本。正因为具有以上不足，使得接触式IC卡作为公共汽车上的储值票（或称电子车票）系统不理想，在公交系统这一行业中的应用不能得到发展。 2、非接触式IC卡将接替接触式IC卡在公交收费系统中扮演重要的角色 非接触式IC卡由IC芯片、感应天线组成，并完全密封在一个标准的PVC卡中，不易受到外界不良因素的影响，非接触式IC卡与读写器之间通过无线电波来完成读写，存储量大，传递速度快，读写寿命长，它具有下述优良特性：（1）非接触式IC卡与读写器之间非机械接触。（2）表面没有裸露器件，不会因为污损、弯曲而损坏IC卡。卡本身是无源件，体积小、耐用可靠。（3）读写器不需要卡座，可以完全放置在盒子内，保证器件的干净，减少环境影响。（4）使用时没有方向性，卡可以以任意方向掠过读写器表面，即可完成读写工作。（5）读写器与IC卡采用无线通讯联系。173 深圳市“交通一卡通”工程项目方案建议书（6）读写器与IC卡实施双向密码鉴别制，采用三级DES算法验证。读写器材可以识别IC卡的合法性，IC卡也能识别读写器，IC卡本身还有读写权限的控制。（7）非接触式IC卡的发行依靠一套严格的规则——首先采用遵循国际ISO标准的MIFARE卡，其卡号在世界上是唯一的不可仿造。其次，将密码一部分保存于读卡机里，一部分放在卡上，保证系统的高度保密性。通过磁卡、接触式IC卡、非接触式IC卡在公交收费应用上的比较，结果表明非接触式IC卡系统具有可靠性高、安全性和易用性好的优点，系统的当前价格也不会比另外两系统高太多，因此公交系统的电子车票系统已倾向于非接触式IC卡。3、非接触IC卡的技术情况介绍目前公开的非接触IC卡的国标，近距离（20~100CM）非接触IC卡的国际标准为ISO/IEC14443-TypeA和ISO/IEC14443-TypeB。其中TypeA以PHILIPS公司为代表，包括SIMENS、HITACHI、GEMPLUS、G&D和SCHLUMBERGER等公司；TypeB以ST、MOTOROLA、SAMSUNE、OTI和NEC公司等为代表。SONY、KABA和TI等公司的产品尚不在ISO/IEC14443标准之內。双界面CPU卡是“一卡通”应用系统的理想境界，能同时满足城市交通、金融、商业、公共事业等各种应用的安全需要。具有接触和非接触双接口的CPU卡，具有高度安全性、超大容量、智能化及操作简便的特点，代表了IC卡未来的发展方向。目前，技术最成熟的双界面CPU卡是PHLLIS公司的MIFAREPRO卡。4、非接触IC卡技术说明：173 深圳市“交通一卡通”工程项目方案建议书lPHLLIP-MIFAREPROCPU卡目前全球应用最广、性能最稳定的非接触IC卡当属MIFARE技术的产品，经全球大量客户的使用证明其可靠性和安全性方面的出色性能，业已成为非接触IC卡应用的主流，符合ISO/IEC14443-TYPEA和ISO7816标准。该系列产品市场供货充足，价格合理，韩国的汉城和釜山、丹麦的哥本哈根、中国的上海等地的地铁、公交系统均采用了MIFARE系列卡片。MIFAREPROCPU卡采用先进的芯片制造工艺制作。内建有高速的CMOSEEPROM、DES协处理器和CPU等。卡片上除了IC微晶片及一副高效率天线外，无任何其他元件。卡片上无源（无任何电池），工作时的电源能量由卡片读写器天线发送无线电载波信号耦合到卡片上天线而产生电能，一般可达２Ｖ以上，供卡片上IC工作。工作频率13.56MHZ，与卡片读写器的通信速率高达106Kbit/s，调制方式10%ASK，编码方式BPSK-NRZ。MIFAREPROCPU卡所具有的独特的MIFARERF非接触式接口标准已被制定为国际标准：ISOIEC14443TYPEA标准，接触式接口符合ISO7816标准。由MCM500作为读写器核心模块，射频卡标准操作距离为100mm。卡片上有DES协处理器，交易处理速度快，单笔交易时间小于300ms，适合公交收费应用。卡片上可建立多个不同应用目录，适合一卡多用。173 深圳市“交通一卡通”工程项目方案建议书MIFAREPROCPU卡具有防重叠功能，读写模块能在同一时间处理重叠在卡片读写器天线的有效工作距离内的多张重叠的卡片。MIFAREPROCPU卡与读写器通信使用握手式半双工通信协议；卡片上有高速的CRC协处理器，符合CCITT标准。卡片制造时具有唯一的卡片系列号，没有卡号相同的两张MIFARE卡片。卡片存储容量大于2Kbyte，卡片上的数据保存期可超过10年以上，且卡片抗静电保护能力达2KV以上。lSONY-FELICA非接触IC卡（RC-S831）频率：13.56MHZ最大读写距离：10-15CM通讯速度：211Kbps卡号：ID号16bytes容量：具有1536Bytes容量，可容纳96个(block)16Bytes的文件，用户可使用1。25KB的存储容量，每个区域可由多种方式的密码管理。数据：可自动进行8个区域（128Bytes）数据的备份。使用了SONY独特的64BITKEY的区域加密算法，也可采用56BITKEY的DES加密法进行加密。卡片上建有增值／减值的专项的数学运算，适合公交／地铁等行业的检票／收费系统。和同类产品比较，FELICA是以最微弱电磁波实现10CM的读写距离。173 深圳市“交通一卡通”工程项目方案建议书1.1本系统IC卡的选型本系统推荐使用的双界面CPU卡：MIFAREPROMIFAREPRO双界面CPU卡是飞利普半导体最新推出并于1999年4月批量生产、带有硬件三重DES加密协处理器的智能卡，是最适合在单一卡片上同时实现安全转帐与交通的应用。我们认为深圳“交通一卡通”的系统应采取先进和可充分扩展实施方案，交易的安全至关重要。采用MIFAREPRO具有以下明显优越性：1.高度安全性MIFAREPRO采用了高超的安全设计手段，包括“胶着逻辑设计”的全自动设计技术。可以保证通过物理方法寻求信号或结点来窃取卡中资料几乎是不可能的。同时硬件式嵌入的三重DES加密使卡片的安全性达到最高。2.智能化设计MIFAREPRO采用80C51智能卡微处理器，具有创新功能和高性能。3-DES运算速度比软加密快400倍，利用低功耗设计，运算快捷准确。3.应用广泛性非接触的MIFARE技术拥有广泛的应用基础。在全球的交通和应用有3000万以上的智能卡应用，完成了10亿多的交易。MIFARE已成为非接触IC卡的行业标准。其所选用的RF技术（100%ASK调制和MILLER编码）是充分验证的、安全可靠的非接触数据传输方式，并且具有成本效益。173 深圳市“交通一卡通”工程项目方案建议书1.IC卡机具的灵活性MIFAREPRO的功能在接触式与非接触接口中均可实现，无任何技术限制，其接口单元（CIU）全面支持MIFARERF接口技术，某些功能如防冲突和CRC校验均可硬件支持。对于交通一卡通的特殊场合可采用接触与非接触并举的方式。2.转帐业务的扩展性MIFAREPFO是一种理想的非接触技术，银行、交通运营商及其服务商可集中在一卡片上提供服务。1.1读写机具考虑到深圳“交通一卡通”的特殊性，读写机具的设计应充分兼容香港“八达通”采用的SONYFELLIC非接触IC卡和符合规范要求的MIFAREPRO卡片。所以本系统所提供的读写机具能够兼容两种卡片，即可以读写MIFAREPRO卡，也可以读写香港“八达通”采用的SONYFELLIC逻辑加密卡。1、车载机车载机是公共汽车车载IC卡收费机的简称，它负责对乘客卡的合法性进行检验，并对合法的乘客卡进行扣款收费，对非法的卡进行报警。产品特点：（1）支持MIFAREPRO智能卡和SONYFELLIC逻辑加密卡173 深圳市“交通一卡通”工程项目方案建议书（2）交易迅速，小于0.3秒。（3）安全特性：(a)采用Dallas芯片，Dallas芯片中国人民银行认证的金融POS机使用的芯片之一，芯片具有自毁保护功能。(b)基本信息的处理在芯片内进行，离开芯片的信息保证已经加密。(c)CPU芯片内程序无法读出。（4）具有语音提示功能。（5）可靠性：根据公交汽车内环境比较恶劣的现状，设计上解决了抗干扰，防尘防水，防震等问题，能够在恶劣的环境下正常工作。（6）可扩展：预留通讯接口，将来可方便接入深圳市800M无线调度网。技术指标：（1）CPU芯片：Dallas系列。（2）显示信息：8位2行数码管显示。（3）适应电压：5V～40V。（4）工作温度：-20℃～80℃。（5）相对湿度：10％～95％。（6）存贮量：10000条交易速度和30000条黑名单。（7）最大功耗：小于5W。173 深圳市“交通一卡通”工程项目方案建议书（8）安装方式：我们针对常见的情况，配置了两种车载机安装配件，公交公司可针对情况选用，或另外提出要求。（a）斜卧方式：常装于投币箱上方或工作平台上，（b）垂直安装方式：常装于垂直扶杆上。2、出租汽车收费记价器出租车计价器是完成乘客卡的认证，记录行使里程，计费和扣费，并记录每一次交易记录。（1）支持MIFAREPRO智能卡和SONYFELLIC逻辑加密卡。（2）CPU芯片：采用Dallas系列加密芯片。（3）显示信息：数码管显示。（4）适应电压：5V～40V。（5）工作温度：-20℃～80℃。（6）最大功耗：小于7W。（7）相对湿度：10％～95％。（8）存贮量：10000条交易速度和30000条黑名单。（9）打印功能：可自动打印乘车发票。（10）可靠性：根据出租汽车内环境比较恶劣的现状，设计上完全解决了抗干扰，防尘防水，防震等问题，能够在恶劣的环境下正常工作。（11）可扩展：预留通讯接口，将来可以方便接入深圳市800M173 深圳市“交通一卡通”工程项目方案建议书无线调度网。3、数据采集盒l安全设计，数据加密保存，抗攻击，防篡改。l数据容量大，能保存10000条交易记录和30000条黑名单。l与IC卡机具同时工作。l热插拔设计，自带免维护充电电源。l采用表贴技术，外形尺寸小，便于携带4、充值机充值机完成对“交通一卡通”充值工作，即将充值金额补充到卡片的电子钱包中，充值完成后形成并记录本次充值交易记录。l读写方式：接触式读写方式。l数据安全：为了提高数据的存储安全，防止数据意外丢失，充值机具有数据备份功能。l工作方式：采取联机交易方式。l打印功能：自动打印充值交易票据。l检索功能：为了防止假卡、挂失卡等非法卡的使用，保护业主和乘客利益，充值前要进行黑名单查询，发现非法卡时，立即锁卡，并报警。5、收费咪表173 深圳市“交通一卡通”工程项目方案建议书收费咪表是路边停车收费专用设备，咪表系统的设计均采用低功耗、宽电压集成电路，使得整个产品工作在低功耗、宽电压方式，供电方式采用高能电池和太阳能电池联合供电。l可读写MIFAREPRO智能卡和SONYFELLIC逻辑加密卡。l工作温度范围为：-20℃—80℃l相对湿度：10％～95％。l最大功耗：小于5W。l液晶中文显示：显示卡内余额，停车时间，应交车费等。l指示灯：红、绿、黄彩色指示灯用来给管理人员进行提示。l数据存贮：能保存10000条交易记录和30000条黑名单。l可靠性：抗干扰，防尘防水，能够在恶劣的环境下正常工作。6、车道收费机车道收费机是路桥收费专用设备，能够自动计费和收费，自动放行，自动打印票据。l可读写MIFAREPRO智能卡和SONYFELLIC逻辑加密卡。l输入电源：4A，220Vl环境温度：-20℃—80℃l相对湿度：10％～95％l闸机功率：180Wl供电电源：220V±10V，50HZ。173 深圳市“交通一卡通”工程项目方案建议书l数据保存：10年。l开启时间：闸杆起降时间小于1.5秒。l系统通行能力：一个车道每小时可通过1000辆车。l接口方式：RS232/RS485。l远程通讯：专线或电话网。l安装方式：地栓安装l外形尺寸：1200mm×1000mm×200mm7、卡机联动加油收费机卡机联动加油收费机是石油公司加油站专用IC卡收费终端，IC卡读写终端与加油机联动，由读写终端控制加油机操作，实现自动计费和收费，自动打印票据。l可读写MIFAREPRO智能卡和SONYFELLIC逻辑加密卡。l卡机联动l流量采集l计费、收费l票据打印173 深圳市“交通一卡通”工程项目方案建议书1.安全方案设计深圳市“交通一卡通”系统涉及结算中心、结算银行、运营商、售卡点、充值点、数据采集点、持卡用户、司机等多个业务实体；业务处理涉及售卡、充值、脱机消费、资金清算等多个过程，应用范围广，涉及点多，系统功能复杂，对系统的安全可靠性要求很高。1.1安全隐患分析1）IC卡中的密钥可能被破解，导致卡被伪造或非法使用2）POS终端可能被伪造，非法读取或修改用户IC卡上的信息。3）因为用户消费交易过程是脱机的，攻击者可能使用时间差进行作案。例如使用一张已经挂失的用户卡。4）交易过程可能被截获、篡改，导致非法交易5）数据采集过程需要经过一级和二级物理网点的中介，最终到达结算中心。这些物理网点可能会篡改采集到的数据，导致非法交易数据。6）不同实体之间传输的数据可能被截获、篡改，导致非法数据，以及用户私有信息的泄露7）结算中心存放大量敏感信息，一旦结算中心网络或数据库主机被攻破，会造成系统数据泄露和整个应用系统的瘫痪。1.2安全方案结构系统的安全，被形象地喻为“水桶现象”173 深圳市“交通一卡通”工程项目方案建议书，即任何一个环节、任何一个层面上的安全疏漏均会导致整个系统的崩溃。深圳市“交通一卡通”系统安全体系应是全方位的，为描述方便、清晰，我们从以下四个层面来讨论：1)IC卡的安全设计合理有效的卡安全体系，实施对卡和终端机具的安全管理；2)交易的安全脱机消费、用户卡的出售、充值过程的安全；交易数据的安全；黑名单管理3)数据的安全数据采集的安全；不同实体之间的数据传输的安全；数据存放的安全4)网络的安全涉及结算中心、运营商、服务提供商的网络安全1.1IC卡的安全1.1.1IC卡的安全体系在深圳市“交通一卡通”系统中，用户IC卡中存有消费密钥，充值密钥，个人信息，余额信息等。如果卡被破解，将导致卡的伪造和非法使用，所以卡本身的安全非常重要。POS终端带有PSAM卡，可以与用户IC卡进行双向身份认证，同时存放交易信息和黑名单信息，可以修改用户卡中的信息，其安全也非常重要。系统的设计遵循以下原则：1.卡的密钥必须是一卡一密，一应用一密，以防止整个应用系统的安全体系被攻破。173 深圳市“交通一卡通”工程项目方案建议书1.POS终端的密钥和算法存在PSAM卡中，密钥和算法无法读出。系统的安全性是以算法读写模块的安全为基础的。2.保证卡与读写机具之间的通信数据正确传输，防止通信数据被非法窃取或篡改。3.POS机的设计以通用性、开放性为目标，与安全体系无关。我们建议设立如下的卡安全体系：1.使用智能IC卡智能IC卡具有很强的抗攻击性，可以很大程度提高整个系统的安全性。2.用户IC卡一卡一密用户IC卡有唯一的卡序列号（CSN），在制卡过程中，主密钥根据该唯一的序列号分散得到用户IC卡上的子密钥，实现一卡一密的机制。这样即使一张用户卡的密钥被破解，不会对其他用户卡造成影响。3.用户卡一应用一密不同的应用采用不同的密钥，保证如果一个应用的密钥被破解，不会影响到其他的应用。4.密钥不能被读出用户IC卡和PSAM卡中的密钥无法被读出，认证和加密均是在卡内部实现的，这样增加卡的安全性。5.双向身份认证PSAM卡中存放消费主密钥和充值主密钥，可以根据用户IC卡的卡序列号分散得到用户的消费子密钥和充值子密钥。可以完成与用户IC卡之间的双向身份认证。173 深圳市“交通一卡通”工程项目方案建议书5．交易认证码交易过程中生成消费交易认证码（使用消费交易认证密钥对CSN、交易金额、交易流水号、交易日期、交易时间、交易次数、司机号、POS机号等使用DES算法计算得到的TAC值）。交易认证码可以防止交易数据被篡改。6．中间结果不导出以上过程全部是在用户卡和PSAM卡内部完成，中间结果不能获取。7．数据加密所有出入用户IC卡和PSAM卡的数据加密处理。1.1.1IC卡、PSAM卡和相关机具的管理保证整个系统的安全可靠性，保证IC卡，PSAM卡和相关机具的管理上的安全可靠非常重要。一套合理的管理机制可以减少非法攻击者作案的可能性，增加伪造POS机具和用户卡的困难性。对用户IC卡的制卡、发卡、挂失、补卡、销卡、黑名单管理、对于PSAM卡的制卡和领用、对于POS终端和充值机具的领用等过程需制定一套严密完整的制度和实施方法,以保证深圳市“交通一卡通”系统的安全可靠性,保证结算中心、持卡人、运营商的利益。这一部分主要体现在系统化发卡过程，明确硬件设备管理规则和人员安排方法。系统化发卡请参考“卡的密钥管理”部分，硬件设备管理和人员安排规则和方法需要负责深圳市“交通一卡通”系统的管理机构制定。173 深圳市“交通一卡通”工程项目方案建议书1.1交易安全交易的安全性包括脱机消费交易的安全、充值交易的安全和交易数据的安全。1.1.1脱机消费交易的安全深圳市“交通一卡通”系统中涉及的所有领域的持卡消费（包括公交、出租、地铁等）都属于脱机消费。1.1.1.1脱机消费安全需求1）消费交易过程是安全的，主要包括IC卡中数据的安全性，只有合法的POS终端才能修改卡中的数据，持卡人不可自行修改卡中的数据；2）非法的IC卡（包括止付卡、过期卡、挂失卡以及未经银行发卡部门认可的卡等等）不能使用；3）POS终端的使用是安全的；4）存放在POS终端上的数据是安全的；5）因为数据采集过程需要银行网点、运营商等的介入，必须保证消费数据不能被这些实体伪造和篡改。1.1.1.2脱机消费安全方案脱机消费的安全体系的设计，主要体现在以下几个方面：1)密钥管理173 深圳市“交通一卡通”工程项目方案建议书通过制定一套完整的密钥管理体系，来保证消费过程的安全性和终端机具使用的安全性。终端机具的密钥保存在PSAM卡中，无法读取，能够保障交易安全。1)用户IC卡的合法性认证当用户IC卡插入POS终端时，POS终端首先需要验证IC卡的合法性。验证通过后，POS终端需要进一步检查该IC卡是否在黑名单中、是否为止付卡或过期卡等，若都不是，才确认该卡是合法的。2)消费交易的安全性和完整性l用户IC卡POS终端之间进行双向身份认证l用户IC卡和POS终端之间传输的数据均是经过加密处理的。lIC卡中每次消费额应受到限制。3)POS终端使用的安全性由于每辆交通工具上都需要安装POS终端，容易遭到攻击，因此POS终端的安全管理尤为重要。为了便于统一管理，并能及时发现问题，“一卡通”结算管理中心设置唯一的消费终端机具识别号，保存在统一发行的PSAM卡中，并且，在每一笔交易记录中也都包括消费终端机具识别号，这样结算管理中心能够监控每一笔交易和每一个消费终端机具，能够在很短的时间里发现问题，并及时制止。另外，为了防止伪造或非法使用POS终端，保证POS终端使用的安全性，需要为每个合法司机发行一张操作员卡，插入操作员卡后，POS终端才能接受消费交易。4)POS中的消费数据的安全POS173 深圳市“交通一卡通”工程项目方案建议书终端保存消费明细和该消费明细的消费交易认证码。进行数据采集时，将消费明细和消费交易认证码一起上传，结算中心可以对该消费交易认证码进行校验，以保证消费数据的真实性和完整性。6）黑名单管理请参考“应用系统构成与功能”的黑名单管理部分。1.1.1充值交易的安全1.1.1.1充值交易安全需求1)充值交易过程是安全的，主要是IC卡中数据的安全性，只有合法的充值终端才能修改卡中的数据，持卡人不能自行修改卡中的数据；2)非法的IC卡（包括止付卡、过期卡、挂失卡以及未经银行发卡部门认可的卡等等）不能使用；3)充值终端的使用是安全的；4)用户卡中的金额有下限。5)充值交易数据不能被伪造1.1.1.2充值交易安全方案1)IC卡的合法性认证充值交易采用联机交易。当IC卡插入充值终端后，充值终端先进行初步认证IC卡，然后上传相应的卡信息和交易信息到结算中心，结算中心判断该IC卡是否在黑名单中、是否为止付卡或过期卡等，若都不是，才确认该卡是合法的。2)充值交易的安全性和完整性173 深圳市“交通一卡通”工程项目方案建议书l用户IC卡和充值终端之间双向身份认证l用户IC卡和充值终端之间传输的数据均是经过加密处理的。lIC卡中的余额设置上限。l充值终端使用充值交易认证密钥计算得到充值交易数据的充值交易认证码，将充值交易数据和充值交易认证码上传到结算中心，结算中心验证该充值交易数据的真实性和完整性，修改结算中心用户帐户信息。防止银行修改和伪造充值交易数据。l利用银行原有网络，采用数据加密和报文认证保证数据传输的安全性。1)充值终端使用的安全性因为充值交易是联机交易，充值点是固定的地点，所以充值终端使用的安全性主要是终端硬件的安全和管理上的安全。1.1数据安全数据安全包括数据采集的安全、不同实体之间数据传输的安全、数据的安全存放等等。1.1.1数据采集安全1.1.1.1数据采集安全需求173 深圳市“交通一卡通”工程项目方案建议书数据采集有两种方式，公交大巴等通过运营商数据采集点采用无线方式进行数据采集，出租车等通过服务提供商提供的物理网点使用数据采集盒进行数据采集，最后汇总到结算中心。出于安全性考虑，必须保证运营商和服务提供商不能伪造消费数据，即采集到的数据的真实性和不可伪造性。1.1.1.1数据采集安全方案采用将消费数据和消费交易认证码同时保存的方法提供数据采集的安全。1)POS终端的数据采集盒中存放消费明细和消费交易认证码。2)数据采集时，将消费明细和消费交易认证码同时上传到结算中心汇总，结算中心的加密机中保存消费交易认证密钥，可以验证消费交易认证码。3)因为运营商和银行网点以及银行总行都没有消费交易认证密钥，所以不能伪造消费明细。1.1.2数据传输安全1.1.2.1数据传输安全需求数据传输的安全主要包括以下几部分：l结算中心与运营商之间数据传输的安全l结算中心与结算银行之间数据传输的安全l一级物理网点与结算中心之间数据传输的安全l一级物理网点与二级物理网点之间数据传输的安全1.1.2.2数据传输安全方案173 深圳市“交通一卡通”工程项目方案建议书通过在应用系统中增加身份认证、加密和报文认证来保障数据传输的真实性、完整性和保密性。使用到的传输密钥用磁盘保存，由结算中心统一发放。应用程序在启动时首先从密钥盘中调出传输密钥，进行身份认证，然后协商生成工作密钥，进行实际数据的加密、加押传输。使用密钥盘保存密钥的安全性要比将密钥保存在硬盘上的安全性高。具体业务流程设计如下：场景：通信方A向通信方B发起连接请求，进行业务数据的传输。要求：通信方B需要通信方A的身份，认证通过后业务数据加密传输，传输内容需要带有MAC值。前提：通信方B保存传输主密钥T_M，通信方A保存传输子密钥T_S173 深圳市“交通一卡通”工程项目方案建议书ENC(K_C+ENC(K_W/K_C)/T_S)ENC(K_W/K_C)加密业务数据+MAC通信方B②根据A的ID和T_M计算得到传输从密钥T_S；③产生身份认证密钥K_C和工作密钥K_W；④用K_C加密K_W，得到ENC(K_W/K_C)；⑤用T_S加密ENC(K_W/K_C)和认证密钥K_C,得到ENC(K_C+ENC(K_W/K_C)/T_S)，向A发出认证请求；⑧验证A发送的认证信息ENC(K_W/K_C)的合法性。合法，进行业务数据的传输。否则，记录A的ID，拒绝该次认证请求；⑨使用工作密钥K_W实现业务数据的加解密和MAC值的计算。业务请求+ID通信方A①提出业务请求，发送自己的身份ID⑥用T_S解开认证请求，得到认证密钥K_C和ENC(K_W/K_C)，然后使用K_C解密得到工作密钥K_W；⑦发送身份认证信息ENC(K_W/K_C)到B；⑨使用工作密钥K_W实现业务数据的加解密和MAC值的计算。方案中设计的身份认证过程采用Challenge/Response的身份认证机制，抗篡改性能好，并可以抵制重试（replay）攻击。而且使用身份认证过程中协商的会话密钥进行加密，实现了一次一密的加密机制，抗攻击性、防破解性良好。传输数据的同时带有MAC，可以提供防篡改的能力。在深圳市“交通一卡通”系统的结算中心和结算银行之间，除了在应用系统中增加认证和加密传输之外，还可以增加数据链路加密机的使用，提供第二层数据传输的安全保护。1.1.1数据存放的安全POS173 深圳市“交通一卡通”工程项目方案建议书机具中存放的消费明细是带消费交易认证码存放的，可以防止篡改。结算中心，运营商、银行网点的数据可以根据具体情况加密存放，防止数据泄露。1.1密钥管理1.1.1密钥管理需求前面提到的交易安全和数据安全方案均需要密钥的支持，密钥管理的重要性是不言而喻的。对密钥管理的需求主要有以下几点：1)密钥的产生必须由不同的人员输入不同的要素，综合各要素的作用而产生。2)密钥的传输必须确保安全。3)密钥的导入、导出和存储必须以密文形式实现，以防止泄密。4)同一功能密钥必须在同一IC卡中存储多组备用，以便正在工作的密钥泄密或失效后进行紧急替换。1.1.2密钥管理方案在交通结算中心建立密钥管理中心，统一发放用户IC卡，操作员卡，售卡点、充值点、POS终端使用的PSAM卡，数据采集盒，保障数据传输安全使用的密钥盘，以及不记名定额用户卡。集中管理密钥的产生、分发、撤消、修改等。设计过程参照人民银行《银行IC卡联合试点密钥管理系统总体方案》（试行稿，99.7）1.1.2.1密钥组成173 深圳市“交通一卡通”工程项目方案建议书密钥可以分为消费密钥、充值密钥、交易认证密钥、数据传输密钥四大类。其中消费密钥、充值密钥用于POS终端认证用户IC卡，交易认证密钥用于提供对交易数据的保护，各种数据传输密钥用来保证不同实体之间的安全数据传输。下表给出各个参与实体需要保存的密钥类型：参与实体设备类型保存密钥类型交通结算中心加密机消费主密钥充值主密钥消费交易认证主密钥充值交易认证主密钥密钥盘结算银行传输密钥运营商传输密钥结算银行密钥盘结算银行传输密钥网点传输密钥运营商密钥盘运营商传输密钥售卡充值点PSAM卡充值主密钥充值交易认证主密钥密钥盘网点传输密钥交通POS终端PSAM卡消费主密钥消费交易认证主密钥司机卡认证主密钥用户IC卡消费子密钥充值子密钥消费交易认证子密钥充值交易认证子密钥（一卡一密）司机IC卡司机卡认证子密钥（一卡一密）其中密钥盘保存的密钥是供系统应用程序调用的，提供数据传输过程的安全。其他密钥保存在加密机、PSAM卡或用户IC卡中，提供交易过程的安全保障。1.1.1.1密钥管理中心组成位于结算中心的密钥管理中心由以下几部分构成：即硬件加密机、密钥管理主机、帐/卡务管理主机、IC卡制卡设备。173 深圳市“交通一卡通”工程项目方案建议书硬件加密机：主要用于专用密钥的产生、密钥的分散运算。密钥的产生和分散采用3DES加密算法。IC卡读写器：负责将各种卡的密钥导出/入。密钥管理主机：负责生成各种专用密钥，对密钥进行分散和保存、卡的制作等密钥服务。帐/卡务管理系统：负责卡片的申请和发放等信息管理工作。IC卡制卡设备：完成发卡工作。密钥盘管理系统：负责密钥盘申请、生成与发放等信息管理工作。1.1.1.1卡的密钥管理发卡系统将针对以下六种卡片：1)密钥总卡2)PSAM卡发卡母卡3)用户卡发卡母卡4)PSAM卡5)用户卡6)操作员卡173 深圳市“交通一卡通”工程项目方案建议书其中密钥总卡，用户卡发卡母卡采用BATCH卡；PSAM卡发卡母卡，PSAM卡采用SAM卡；用户卡和操作员卡采用PBOC卡。1)密钥总卡：存储结算发卡中心设定的总密钥。此密钥由结算中心领导（暂定两位）在绝密环境下按照背靠背方式输入种子码单用3DES算法生成，所有其它密钥都由此密钥分散导出。密钥总卡通过PIN认证后可对总密钥进行修改和重载，但不可以将其直接导出，密钥总卡的PIN密码由结算中心领导完全掌握。2)PSAM卡发卡母卡：存储由总密钥对密钥序列号进行分散后得到的八个主密钥，它们是：（1）PSAM卡洗卡密钥（MSCK）（2）解锁PIN密钥（MPUK）（3）重载PIN密钥（MRPK）（4）应用维护密钥（MAMK）（管理密钥）（5）消费密钥（MPK）（6）充值密钥（MLK）（7）消费交易认证密钥(MPTK)173 深圳市“交通一卡通”工程项目方案建议书（1）充值交易认证密钥(MLTK)（交易密钥）。这些主密钥在验证PIN后可以直接导出，用于PSAM卡的批量制卡，PSAM卡发卡母卡的PIN密码由结算中心发卡工作人员掌握。主密钥列表如下：密钥名称密钥序列号密钥功能PSAM卡洗卡密钥（MSCK）0xXXXXXXX1用于PSAM卡洗卡消费密钥（MPK）0xXXXXXXX2用于产生消费交易中的过程密钥充值密钥（MLK）0xXXXXXXX3用于产生充值过程中的过程密钥消费交易认证密钥(MPTK)0xXXXXXXX4用于产生消费交易TAC的密钥充值交易认证密钥(MLTK)0xXXXXXXX5用于产生充值交易TAC的密钥解锁PIN密钥（MPUK）0xXXXXXXX6用于产生解锁PIN命令的MAC重载PIN密钥（MRPK）0xXXXXXXX7用于产生重载PIN命令的MAC应用维护密钥（MAMK）0xXXXXXXX8用于产生应用锁定，应用解锁等命令要求的MAC2)用户卡发卡母卡：存储由总密钥对密钥序列号进行分散后得到的九个主密钥，它们是：（1）用户卡洗卡密钥（MPCK）（2）解锁PIN密钥（MPUK）173 深圳市“交通一卡通”工程项目方案建议书（1）重载PIN密钥（MRPK）（2）应用维护密钥（MAMK）（管理密钥）（3）消费密钥（MPK）（4）充值密钥（MLK）（5）消费交易认证密钥(MPTK)（6）充值交易认证密钥(MLTK)（交易密钥）。（7）操作员认证密钥（MOCK）2)与PSAM卡发卡母卡相比，用户卡洗卡密钥（MPCK）代替PSAM卡洗卡密钥（MSCK），增加操作员认证密钥（MOCK），此密钥是专为司机识别而设置的，这些主密钥在验证PIN后不可以直接导出，但可以根据用户卡的应用序列号进行分散导出，从而用于用户卡和操作员卡的批量制卡，用户卡发卡母卡的PIN密码由结算中心发卡工作人员掌握。密钥补充列表如下：密钥名称密钥序列号密钥功能用户卡洗卡密钥（MPCK）0xXXXXXXX9用于用户卡洗卡操作员认证密钥（MOCK）0xXXXXXXX10产生操作员的认证时的过程密钥3)PSAM卡：安装在POS机上进行消费交易认证的卡片。存储由PSAM卡发卡母卡直接导出的相关主密钥。4)173 深圳市“交通一卡通”工程项目方案建议书用户卡：用户持有的卡片，通过PSAM卡认证后可以进行消费和充值交易。存储根据用户卡的卡片序列号而分散导出的相关子密钥。1)操作员卡：司机或其他POS消费终端操作员持有的卡片。存储根据用户卡的应用序列号而分散导出的操作员认证子密钥（DOCK）。此卡在经过认证后配合PSAM卡，可以将操作信息写入消费明细。补充说明：考虑“交通一卡通”最终将走向“城市一卡通”，其上将建立其他如煤气、自来水等公共事业收费及公共娱乐设施的收费等应用。对于这些应用的交易密钥，将根据应用标识号分散导出各自的独立交易密钥，以满足安全需要。1.1.1.1传输密钥管理为了避免每个业务实体都需要使用IC卡读写器，采用密钥盘保存传输密钥。密钥盘由结算中心的密钥盘管理系统生成。1.2网络安全1.2.1网络安全需求分析“交通一卡通”网络作为IC卡结算承载网，运行相关应用系统，保障网络及系统安全至关重要。网络安全主要体现在三个方面：保密性、完整性和可用性，保密性是防止未经许可的信息泄露；完整性是防止网上传输和信息未经许可的更改；可用性则要防止拒绝访问类攻击，保证网络的正常运行。任何一个计算机网络及系统都面临着以下四种威胁：173 深圳市“交通一卡通”工程项目方案建议书（1）中断：系统资源受损而无法使用；（2）窃取：未经许可而对资源进行访问，如非法拷贝程序或数据文件，或通过窃听从网络中获得数据。（3）更改：未经许可访问并更改资源，如更改数据库中的数据，修改程序，更改网络中传送的数据。（4）伪造：入侵者在计算机网络中伪造假目标，如在网络通信系统上伪造假的交易，或者在数据库中增加记录。1.1.1网络安全方案针对本网络的实际情况，遵循选用先进、成熟、可靠的硬件产品和网络产品，保证系统的可靠性的原则，网络方案主要采取如下安全措施：（1）保证物理设备安全性，使得物理设备只有授权人员才能使用（2）安全的控制台/Telnet访问，通过多级授权，使得只有网络管理员和指定人员才能执行相应的管理任务。同时通过控制Telnet访问，使得只有指定IP地址的主机才能访问网络设备（3）控制SNMP访问（4）安全的路由协议，采用MD5授权保护路由更新（5）安全的路由器配置文件，限制对TFTP服务器的访问（6）控制网络业务如对路由器及网络设备的HTTP访问173 深圳市“交通一卡通”工程项目方案建议书（7）控制对以太网交换机访问（8）在通信子网级，通过帧中继建立虚拟专网，防止非法用户入侵。（9）设置防火墙和DMZ局域网与外部广域网连接设置防火墙并设置DMZ局域网，在DMZ局域网上设置Proxy、Web、应用服务器和通信网关。通过在防火墙上的设置适当安全规则，使外部用户不能直接访问DMZ局域网上特定服务器和特定服务，避免外部用户直接访问内部网，避免内部网用户访问外部网，从而大大提高内部网特别是内部网数据库服务器的安全性。（10）安全认证AAA（AuthenticationAuthorizationAccounting）为防止非法用户侵入网络系统中的路由器、交换机等网络设备，需要在用户访问这些设备前通过安全认证手段的检验。在本方案中，我们采用CiscoSecureAccessControlServerForWindowsNT的安全认证软件作为网络系统的用户认证服务器，CiscoSecure可使网络管理者对拨号访问路由器、路由器用户进行统一集中式的管理。通过其支持的访问控制协议TACACS+、Radius提供强有力的用户安全认证能力。并可通过回拨来确认拨入用户的合法场所。（11）在局域网中采用虚拟网，将各个实际应用系统区分为不同的VLAN，保证系统内部的安全。方案中Catalyst6006、Catalyst3524-XL-EN和Catalyst3548-XL-EN、Catalyst2924-XL-EN均有很强的VLAN划分能力，并支持IEEE802.1Q和CiscoISL，因此，可按照部门和其他需要划分VLAN。中心交换机Catalyst6006有很强的访问控制能力，所有VLAN173 深圳市“交通一卡通”工程项目方案建议书间访问都必须通过中心交换机和路由器，在中心交换机和路由器上配置适当的规则，可对VLAN间的访问实施适度的控制。（12）通过认证和授权保障内部网主机的安全内部网各主机上都建立允许访问的用户的帐号，并对各用户使用主机的权限进行明确的规定。具体控制手段如下：l用户必须先建立帐号方可使用主机，禁止使用匿名访问。l每一个已建立帐户的用户必须提供安全的口令方能登录，每一台主机必须配置对口令安全度的检查程序。安全的口令长度必须大于或等于8个字节，由大小写字母，数字及特殊符号（如*、＃等）组成l口令必须定期更换，以免造成损失，一定周期后，主机自动提醒用户更换口令，否则不提供服务。l授权遵循最小特权的原则。一般用户只允许在其自身的目录下工作，不允许对系统其它目录、文件有读写特权，以免造成破坏。l授权遵循最大共享的原则。系统组建的目的是为了提供最大范围的安全服务，因此，在保障安全的同时，必须尽可能充分地利用各种资源。最大共享与最小特权原则有一定的矛盾，必须衡量取舍，在安全性与信息可用性之间进行适当的取舍。子网的重要信息应集中存放在一台主机上，并对该主机的使用帐户、使用人员及访问方式作出严格的限制，一般只允许极少数人访问该主机，应明确划分不同人的访问权限173 深圳市“交通一卡通”工程项目方案建议书及责任。上面提到具体的硬件设备请参考网络方案设计章节。1.1安全方案分析上面详细介绍了整个深圳市“交通一卡通”系统的安全体系。总的说来，整个体系对安全隐患的根除和防范体现在以下几方面：1）使用智能IC卡，提高了整个系统安全的基础。2）用户卡采用一卡一密的机制，防止一卡被攻破影响到其他卡的使用，提高了用户卡的安全性。3）黑名单的管理可以有效减少通过时间差作案的可能性。4）针对脱机消费交易，限制卡内金额只减不增，而且卡内剩余金额有下限，可以在一定程度是防止非法交易。5）消费明细和消费交易认证码同时存放，充值交易明细和充值交易认证码同时存放，防止交易数据被伪造和篡改。6）设计严密的制卡系统，保证用户IC卡、PSAM卡的有效管理。7）两个不同实体通信之前，都需要进行身份认证。而且传输密钥用密钥盘保存，实际数据传输过程使用的密钥是一次一密的。8）使用防火墙提供结算中心，运营商、服务提供商网络安全保障，设置合理的认证体制和存取控制规则有效保护内部主机。9）关键数据加密存放，有效防止数据泄露。173 深圳市“交通一卡通”工程项目方案建议书1.1与“香港八达通”系统互连考虑因为香港“八达通”系统使用的是非接触性逻辑加密卡，为了实现深圳“交通一卡通“系统与“香港八达通”系统的互连，深圳“交通一卡通”系统终端机具必须能够识别“香港八达通”系统使用的IC卡，即在终端机具上同时安装SONY卡的读写模块。两个系统的互联主要包括“八达通”卡的脱机消费和消费明细及黑名单的传送，以及“八达通”系统使用的消费主密钥的下发。从安全设计上，需增加和“八达通”系统数据传输的安全设计，并且需根据“八达通”系统卡片的安全体系设计用“八达通”卡进行脱机消费的安全保障。173 深圳市“交通一卡通”工程项目方案建议书1.项目管理与实施深圳市“交通一卡通”工程项目，是一个项目规模大、技术要求高、设计运营和服务单位多、建设时间跨度长、系统后续升级与维护任务重的工程。该工程系统的项目管理与实施本身就是一个复杂的系统工程，需要在调研分析、系统规划、方案设计、方案论证、试点实施、培训与推广、运行维护及运营促销等多方面精心策划、精心组织。为保证整个项目能有条理、按计划、分步骤地顺利进行，进行周密的项目计划、实施严格的项目管理是十分必要的。北大青鸟将与业主、服务提供商及各运营商等有关部门密切配合、通力合作，确保各阶段工作的顺利进行，以充分保证整个工程的顺利实施。1.1项目合作方式依托北京大学，有着深厚院校背景的北大青鸟一贯注意发挥自身所具备的人才培养与培训优势，历来坚持“做一个项目，带一支队伍”的原则。在近几年的项目实施过程中，我们先后为各地客户培训了一批科技人员，这些人目前正作为各业务系统运行维护的骨干力量发挥着重要作用。在深圳市“交通一卡通”工程项目中，我们也准备采取类似的合作方式，即业主与集成商的全面合作将贯穿项目始终。我们建议作为项目业主的相关技术人员广泛而深入地加入项目分析、设计及实施全过程，以利于该项目的顺利实施及顺利接管。需要特别声明的是，北大青鸟并不由此将责任与风险分散出去，我们输出的是专业知识与技术能力。173 深圳市“交通一卡通”工程项目方案建议书1.1项目组织机构深圳市‘交通一卡通’工程项目涉及的范围极广，包括工程的业主深圳市公共交通结算管理中心、项目承包商北大青鸟、作为该项目系统服务提供商的结算银行、项目的具体运营商和为项目提供各种网络和计算机硬件设备的计算机厂商、提供IC卡操作终端和IC卡的设备制造商等。为有效进行资源控制、进度控制、质量控制，确保项目工程顺利实施及系统维护的方便进行，我们建议由北大青鸟与深圳市公共交通结算管理中心及有关机构共同组成“深圳市‘交通一卡通’工程项目管理委员会”，以把握和推动整个项目的执行，保证整个项目如期高质量地完成。项目管理委员会的组织结构如图所示：深圳市“交通一卡通”工程项目管理委员会组织结构图173 深圳市“交通一卡通”工程项目方案建议书1.1.1组织机构1.1.1.1委员会主任深圳市公共交通结算管理中心和北大青鸟将分别委派一位高级管理人员作为项目管理委员会主任，主管本项目的开发和实施，他们将负责有关系统开发和实施过程中重大事件的决策，如：进行财务安排、解决双方分歧、监督项目进度等。1.1.1.2项目经理深圳市公共交通结算管理中心和北大青鸟应分别派出一位高级项目经理来进行本项目的具体管理和实施工作，他们将对本项目全面负责。同时，由于作为系统服务提供商的结算银行，在深圳市“交通一卡通”项目中承担着大量的本身业务系统改造和硬件机具的改造工作，并且与深圳市“交通一卡通”项目的结算中心子系统进行连接和结算处理，对深圳市“交通一卡通”项目的顺利实施有着举足轻重的作用。项目的实施将需要得到结算银行的大力配合，需要结算银行的技术和业务人员加入到深圳市“交通一卡通”项目的规划和实施中来，因此，结算银行也应派出一位项目经理来参与本项目的具体管理和实施工作，对深圳市“交通一卡通”项目中系统服务提供商子系统全面负责。具体事项包括：（1）制定一个各小组认同的项目计划；（2）安排各类会议日程；173 深圳市“交通一卡通”工程项目方案建议书（3）监控项目过程和进度；（4）编写项目进度报告；（5）定期举行项目进度会议；（6）协调项目中的所有人员和资源；（7）维护一个问题清单并保证每一个问题都得到圆满解决。1.1.1执行机构在项目决策层确定以后，整个项目执行机构分为五大体系来组织，分别是：需求／规划设计体系平台支撑体系（包括网络及硬件平台）应用实施体系支持与服务体系1.1.1.1需求／规划体系1.1.1.1.1总体需求组以深圳市公共交通结算管理中心为主，完成本项目的需求调研、分析工作。1.1.1.1.2应用规划集成组由深圳市公共交通结算管理中心和北大青鸟共同组成，负责整个项目业务及应用系统的规划和集成工作。1.1.1.2设计体系173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1.1总体设计组以北大青鸟为主，完成本项目的总体技术方案及总体实施方案的设计。1.1.1.2平台支撑体系该体系的主要任务是构建深圳市公共交通结算管理中心、各运营商等涉及的网络及主机平台、信息服务平台及应用服务平台。该体系至少包含以下实体：网络工程组网络与信息安全组质量监督测试组1.1.1.2.1网络工程组负责网络通讯设备、网管软件等硬件平台和软件平台的建造、维护支持等。1.1.1.2.2网络与信息安全组以北大青鸟为主，负责整个深圳市“交通一卡通”项目所涉及相关系统安全策略及方案的具体实施。1.1.1.2.3质量监督测试组以北大青鸟为主，结合深圳市公共交通结算管理中心人员，对项目实施各个阶段进行监督、控制，并按项目进展情况组织不同级别的功能测试、性能测试和验收。1.1.1.3应用实施体系173 深圳市“交通一卡通”工程项目方案建议书平台为应用服务，一个孤立的网络平台是无任何意义可言的。应用实施体系的主要任务就是实施深圳市“交通一卡通”项目的业务需求，使交付的系统能够充分满足深圳市公共交通结算管理中心提出的业务需求，并保证系统的可靠性、可互联性、系统的可移植性和可扩充性以及业主所提出的其他系统开发要求。在应用系统实施的过程中，将涉及到深圳市“交通一卡通”项目中多个部门。不但需要各个部门完成本部门应该承担的应用系统实施工作，而且需要多个部门的协同工作。在项目管理上更应该规划、协调好这些部门的工作进度，才不会产生因局部的工作没完成，而耽搁整个项目的实施。应用系统实施包括以下各个功能系统：1．结算中心子系统、运营商子系统：主要由系统集成商北大青鸟完成。2．系统服务提供商子系统：主要由结算银行方完成。3．系统服务提供商子系统与“交通一卡通”项目的连接：由北大青鸟和结算银行方共同完成。4．运营商内部的系统与“交通一卡通”项目的连接：由北大青鸟提供接口，运营商自己开发完成。5．“交通一卡通”系统与香港“八达通”系统的连接：由北大青鸟和香港“八达通”管理中心共同完成。1.1.1.1支持与服务体系支持服务体系作用于项目全过程，包括项目实施完毕后的支持与维护。该体系主要包含以下实体：培训组173 深圳市“交通一卡通”工程项目方案建议书文档组专家顾问组设备技术保障组支持服务中心1.1.1.1.1培训组主体由北大青鸟组成，培训组将按照具体实施方案中对此约定及合同签定后双方所确定的培训计划对深圳市公共交通结算管理中心及相关机构的有关人员进行分期、分批培训。在此不包括有关硬件厂商对深圳市公共交通结算管理中心人员进行的培训。1.1.1.1.2文档组主要人员由北大青鸟公司组成，深圳市公共交通结算管理中心人员部分参与。文档组的主要职责是负责项目全过程中所有文档资料的收集和整理及版本更新、发布工作。1.1.1.1.3专家顾问组面向全社会聘请该项目相关领域的技术专家组成专家顾问组，他们负责对总体技术方案和总体实施方案进行评审，并就项目组可能遇到的技术难点向项目组提供咨询意见。1.1.1.1.4设备技术保障组以北大青鸟为主，要求和吸纳原厂商参与，对项目所采用的所有硬件设备等提供全面的技术支持与服务保障。173 深圳市“交通一卡通”工程项目方案建议书1.1.1.1.1支持服务中心支持服务中心由北大青鸟负责建立，通过多种服务手段及灵活多样的服务方式提供与项目相关的所有软、硬件方面的支持与服务。1.1.2人员组成按照上面所述项目管理委员会组织结构，我们建议初步的人员配置如下表所示：角色北大青鸟（人次）业主（人次）主任11项目经理11总体需求组34应用规划集成组43总体设计组53平台支撑组5若干网络与信息安全组52质量监督测试组55主体应用开发组205其它应用项目组25培训组44文档组21专家顾问组45设备技术保障组42支持服务中心204结算银行和各运营商等其他部门参加该项目的人员根据实际情况自行确定。1.2建设实施原则深圳市“交通一卡通”项目投资规模大，涉及面广，工程建设周期长。为确保工程建设过程协调有序、稳步扩展，我们建议本项目的实施采取“长远规划、统一标准；总体设计，分步实施；自上而下，分期分批”的工程建设原则，以保证整个项目实施工作有条不紊地进行。173 深圳市“交通一卡通”工程项目方案建议书1.1项目进度计划我们将在入选后与业主、服务提供商及其它项目参与者一起商讨，我们拟订出现实可行的“深圳市‘交通一卡通’项目工程进度表”，作为指导和约束本项目参与各方的依据。173 深圳市“交通一卡通”工程项目方案建议书1.支持与服务1.1支持服务的管理北京天桥北大青鸟科技股份有限公司将确保全面、恰当地满足业主在深圳市“交通一卡通”建设项目中每一个阶段的支持服务、技术培训以及售后服务要求。我们将提供支持服务管理系统，对每个问题进行确认、诊断，全面解决所有维护支持问题。1.2组织保障北京天桥北大青鸟科技股份有限公司将在项目管理委员会的领导下，由公司主要领导挂帅，利用业已建立的北大青鸟培训中心和北大青鸟客户服务中心，充实和加强支持服务队伍，从组织上保障技术支持、售后服务和技术培训的有效执行。1.2.1支持服务总中心的建立北大青鸟集团将在原有的培训中心和客户服务中心的基础上，选拔有经验的和经过严格培训的技术骨干，针对本项目组建专门的技术服务中心─深圳市“交通一卡通”工程支持服务总中心。为保证对深圳市“交通一卡通”系统的持续维护和支持服务，支持服务总中心将不少于15人。其中：客户服务中心主任：1人系统与网络组：不少于5人173 深圳市“交通一卡通”工程项目方案建议书信息安全组：不少于2人终端设备组：不少于7人支持服务中心每天工作12小时，每周工作7天。每天的工作时间是：9：00—21：00。做到保持热线联系，做到联络畅通，反应快速，诊断有效，故障排除及时。1.1.1现场支持服务分中心的建立我们认为，最有效的支持服务是现场支持服务。针对深圳市“交通一卡通”工程规模大、涉及面广、影响深远的具体情况，为向用户提供最有效的支持服务，北大青鸟充分发挥集团优势，利用北大青鸟集团在深圳设立的子公司，与深圳市“交通一卡通”工程支持服务总中心联合成立现场支持服务分中心。现场支持服务分中心设置：分中心主任：1名组员：5－7名这样，一方面，现场支持服务分中心可以在深圳青鸟公司的支持下，充分利用当地现有资源，为用户提供及时、充分的支持服务；另一方面，现场支持服务分中心的骨干组员将由支持服务总中心的组员轮流担任，完全能够保证支持服务分中心的技术实力和支持力量；而且分中心与总中心的联系紧密，有助于支持服务的连续性和完整性。现场支持服务分中心除在正常的工作时间提供支持服务外，还将建立24小时电话值班制度，提供一切可能的无线通讯手段，保证联络通畅，支持服务及时。173 深圳市“交通一卡通”工程项目方案建议书1.1.1业主支持服务机构的建立我们建议，深圳市“交通一卡通”系统投入运行以后，作为系统的运营管理机构，深圳市公共交通结算管理中心应成立专门的支持服务机构，作为面向所有加入深圳市“交通一卡通”系统运行的运营商和用户的支持服务部门。该机构将具有以下功能：电话服务：公布系统特服号码，提供热线支持；设备管理：管理设备的库存、领用、报修、报废等；服务接口：作为系统业主与供应商的支持服务联系中介。这样，系统用户和系统业主、系统业主和供应商之间的联系将更加规范，支持服务的途径更加统一，问题解决的效率将得到保障。1.2支持服务的范围和措施1.2.1支持服务范围我们提供的服务将包括：1．软硬件维护支持2．工程支持和信息安全支持3．支持服务的管理问题1.2.2硬件支持服务1.2.2.1保修与维护深圳市“交通一卡通”173 深圳市“交通一卡通”工程项目方案建议书系统支持服务总中心将响应业主关于全部系统的支持要求并在设备保修期之内和之后，根据硬件支持协议条款提供相应的硬件支持服务。在测试和系统试运行期间，建立硬件和网络支持服务系统；1．当出现支持服务中心的工程师不能解决的硬件问题时，将要求相关的硬件经销商服务中心提供维护服务；2．相关硬件经销商的服务中心接到支持服务中心维护要求后，将执行现场维修；3．为快速解决问题，硬件供应商的支持中心也可能实施异地维护支持服务；4．业主应为供应商的现场服务人员提供方便和合作。1.1.1.1备件和备品我们将会同有关设备厂家，建立设备备件库的，其备件备品要求能按照业主的具体要求进行部分调整以最大限度满足业主的要求。1.1.1.2支持时限我们将尽最大努力满足有效时限要求，即:如问题发生在结算管理中心，并影响对用户的服务，则对上午发生问题的修复不超过次日9：00，下午发生的问题的修复不超过次日12：00；如问题发生在运营商系统，并影响对用户的服务，则问题的修复不超过24小时；其它情况，对问题的修复不超过2个工作日。如果在达到以上时限要求有困难时，我们将向业主报告其原因，并在业主认可的希望恢复时间内完成支持服务。1.1.1.3支持步骤173 深圳市“交通一卡通”工程项目方案建议书我们将按照下列程序步骤进行支持服务：A.业主的支持服务机构将与北大青鸟的现场服务分中心联系，报告已确认的故障，服务分中心提供24小时的热线支持，能直接与供应商高效率的问题管理系统取得联系。C.支持服务分中心的支持服务人员将尽快进入现场。D.一旦进入现场，支持服务分中心的现场工程师将与结算管理中心联系，报告情况和问题性质。E.在结算管理中心的明确授权后，现场工程师从事其干预工作。F.一旦干预结束，业主支持服务机构将进行一系列测试，以确认问题已解决。G.如果测试成功，业主将被修理的部件投入运行。H.一旦修复的部件成功的重新投入运行，业主将通知服务分中心证实干预结束。I.如果支持服务分中心遇到无法解决的问题，将上报支持服务总中心请求支持，由总中心再派人现场解决或远程指导现场工程师解决问题。1.1.1.1硬件支持服务检查我们将按月向业主提供一份硬件支持服务状况报告，详细列明工作情况和时间。1．供应商的支持服务中心运行维护与支持问题管理系统，并执行全部的维修状况报告的管理。2．支持问题管理系统的报告功能将按月提交维修状况报告。173 深圳市“交通一卡通”工程项目方案建议书1.1.1网络管理支持服务支持服务中心将在系统的建设中或试运行阶段提供恰当的网络管理支持服务来满足业主的需求。1.1.1.1故障报告业主将按照与供应商商定的程序，向供应商提交故障报告和文件，以便供应商采取改正措施。1.1.1.2故障确认当故障发生时，业主将按一定的格式准备报告或文件，向供应商发出故障指示。该报告或文件将包含必要的数据，以便供应商获得这些信息后能够判别故障，执行有效的维修和纠错措施。供应商将依据故障报告，判别故障原因和故障性质，采用现场或远程诊断维护的方式，依据支持时限的要求完成工作。1.1.1.3支持时限我们将尽最大努力满足业主对支持服务时限的要求，可分为：A.紧急响应：结算管理中心发生的故障或影响业务处理的故障，要求紧急反应时，供应商在接到通知之后的24小时之内提供解决方案或赶赴现场。B.正常响应：从报告故障时间开始的5个工作日之内提供证实故障的反应。这是反应提出并进行更正的大概时间，但不超过故障报告后的一个月。173 深圳市“交通一卡通”工程项目方案建议书当达到上述时限要求有困难时，供应商将向业主报告其原因和业主认可的希望恢复的时间，尽可能在上述时限内完成支持服务。1.1.1.1新资源的加入供应商提供的网络管理系统是开放的、高扩充性的、多平台的管理平台，是真正的分布式的网络管理系统，允许业主在未来的应用中集成并控制新资源。新资源加入的过程是：1．管理系统跟踪新事件2．由新资源向管理系统发送信息3．管理系统接纳和管理新资源新资源加入的步骤是：1．业主与供应商共同制定的系统扩充方案2．供应商的工程师获许实施系统扩充计划3．新资源接入后的调试4．管理系统重新配置、接受并管理新资源5．业主验收1.1.1.2网络管理支持服务检查我们将按月向业主提供一份网络管理支持服务状况报告，详细列明工作情况和时间。1.供应商的支持服务中心运行维护与支持问题管理系统并执行全部的维修状况报告的管理。2.维护支持问题管理系统的报告功能将按月提交维修状况报告。173 深圳市“交通一卡通”工程项目方案建议书1.1.1工程支持服务需求供应商将在项目的开发、系统试运行各阶段提供工程支持服务，并将专业化的工程支持服务作为整体服务的一部分。在项目的开发建设、系统试运行各阶段将由支持服务中心作为“单一入口联系点”办理业主对支持服务的一切要求，一般地讲，将包括：1）结算管理中心设备的安装调试2）运营商设备的安装调试3）验收测试，包括准备所有的测试文件、测试数据、主要人力的分配直到验收4）在验收之前维修和保管所有设备和软件5）根据计划安排培训课程6）文档的提供和传递7）从签定协议到试运行结束之间的项目管理1.2试运行阶段的支持服务在试运行阶段，供应商将对新设备安装、测试及其运行环境的安装并集成到网络中以及相应各阶段的验收提供支持服务。1.3更改控制和配置管理在系统生命周期内，与系统扩充和新技术演变相关的软件和硬件的引入将遵守协商达成的程序，以满足各种性能及兼容性方面的要求。1.3.1设备变更通知173 深圳市“交通一卡通”工程项目方案建议书我们建议遵守以下步骤来执行与系统扩充和新技术演变相关和软件设备的变更以及由此而引起的新功能支持要求的变更。1.设备变更通知当系统软件和硬件进行变更时，供应商将向业主提供下列文件：A.详细功能和明细表文件B.与运行中的设备和软件的兼容性文件2.验证测试经业主同意后将执行变更的设备验证检验1.1.1硬件安装步骤硬件安装程序包括下列步骤：A.在供应商组织和提供的环境中演示，证明新硬件无论在功能上还是在性能方面都跟所采用的设备兼容B.引进的新硬件要由业主重新进行部分二级测试C.引进的新硬件的规模由业主决定D.对新硬件性能的评估的期限由业主决定E.推广新设备的进度由业主决定跟踪直至成功解决，该系统将运行于客户服务中心。1.所有来自业主的故障报告将进行登记和管理，直至维修。2.维护支持服务问题管理系统主要功能如下：出错现场出错的日期和时间173 深圳市“交通一卡通”工程项目方案建议书出错恢复日期和时间出错状况出错部位（硬件、软件、文档、网管、安全、应用）纠错内容各类问题的分类、提取和历史管理纠错状况报告的制作1.1技术培训供应商将通过专门的机构和人员，并根据深圳市“交通一卡通”系统建设的特殊要求，对主要技术人员进行形式多样的培训。制定重点目标，实施有效培训。1.1.1培训方式我们将根据业主需要为其提供现场培训或其他培训方式。1.1.1.1日程安排每一项课程的详细日程安排将在合同签定后，由业主和供应商进行共同协商并达成一致意见进行具体安排。1.1.1.2培训完成当业主验证培训程序适当后，培训即告完成。所谓适当即指所有计划的培训课程都已完成。1.1.2培训要点173 深圳市“交通一卡通”工程项目方案建议书培训可能包括下列人员：1）业主指定的工程和开发人员2）系统维护人员3）物理和传输网络支持人员4）网络管理人员5）软件支持人员6）最终用户等173 深圳市“交通一卡通”工程项目方案建议书1.关键问题分析与说明以上章节，我们从技术的可行性及工程的实施性方面对深圳市“交通一卡通”系统进行了分析和描述。现在,再回头审视本《方案建议书》，我们坦率地承认其中还存在一些不确定因素。这些因素，集成商现阶段还不能定夺，但它们确实是影响整个项目最后技术方案形成及工程实施的关键点，甚至关系到整个项目的成败。我们在本章中专门就这些关键问题与业主及各位专家一起分析、讨论，并陈述我们对这些问题的想法和建议，希望共同探讨、寻求出最为现实可行的解决方案。1.1卡定位：非金融卡与联名卡在本方案准备期间，我们曾与某商业银行有关同志进行过接触。从银行角度出发，更希望深圳市“交通一卡通”的卡是一张联名卡，即该卡既是交通消费IC卡，又是银行的一张磁条借记卡.按照上述定位，深圳市“交通一卡通”就不是一张单纯的非金融卡，而是一张具有专门用途的金融卡，这张卡的性质发生变化，其主管部门必然发生变化。因为是金融卡，当地人行部门有权按照中国人民银行颁发的有关金融IC卡规范来监督该卡的发行、应用及管理等事项。另外，按照人行的有关规定，金融卡必须由银行进行发卡及卡管理工作，这也与业主希望由深圳市公共交通结算管理中心全面负责该卡的发卡及管理的初衷不相吻合。我们的建议：为了充分保证业主利益及管理的有效性和实施的顺畅性，建议将深圳市“交通一卡通”173 深圳市“交通一卡通”工程项目方案建议书的卡定位为单纯的非金融卡，深圳市公共交通结算管理中心是该卡唯一合法的管理者和制卡、发卡单位。1.1IC卡选型在整个方案制作期间，IC卡选型一直是困扰我们一个主要难题。我们完全理解《招标文件》要求，也完全同意深圳市“交通一卡通”系统必须与香港“八达通”系统进行互联操作的观点。由于“八达通”系统在先，实现两者互联最直接的想法就是采用与“八达通”系统完全相同的卡片、相同的机具，甚至直接对“八大通”系统加以改造为深圳市所用。但我们也清楚地看到，这种“全面继承”方案存在诸多问题，主要有以下几点：l标准问题香港“八达通”采用的是SONY公司的逻辑加密卡，该卡片是SONY公司专为香港“八达通”定制，既不符合通用的国际标准，更不符合中华人民共和国建设部颁布的有关标准，与其它任何系统均不兼容（目前国内没有应用案例）。故，SONY卡是IC卡族中绝对的“少数民族”。再有，深圳地处内地与香港之间，故深圳市“交通一卡通”既要考虑与香港“八达通”的互联，也要考虑与内地（如：珠江三角洲）IC卡系统的接轨。若深圳“一卡通”采用SONY卡，今后其它城市（如广州）势必也要受SONY卡的限制，从而留下较大的后患。l安全与风险问题香港“八达通”采用逻辑加密卡，是因为在当时逻辑加密卡是最先进的非接触IC卡，随着IC卡技术的发展，目前已经研制出了更为先进，更加安全，为各个应用领域广泛接受的双界面CPU卡。我们认为，深圳市“交通一卡通”系统应该在更高的起点上设计和开发，在这一点上看逻辑加密卡已经落后了。173 深圳市“交通一卡通”工程项目方案建议书从系统安全与项目风险角度考虑，依赖一套不符合国际标准的定制系统会有相当大的安全隐患，尤其这项技术又来自国外，会与国内相关部委（如：建设部）的行业规范发生较大冲突，如果建设部强行干涉，会给整个工程的顺利开展带来一定的影响。l技术封锁问题如果深圳“一卡通”采用SONY卡，SONY将成为该项目唯一的卡片供应商，这可能会使其它卡商因为SONY的技术垄断原因而失去参与竞争的机会，而业主则不太可能拿到较好的价格和折扣，从而使整个工程处于非常不利的地位。另外，许多日本公司在技术上会走专用、封锁之路，国内大量与日本合作的项目都存在许多遗留问题，这与日本的文化背景密不可分的。在该项目中，前车之鉴不可不记。我们的建议：考虑到以上因素及《招标文件》关于与香港“八达通”卡的互联的要求，我们希望做到既与香港“八达通”互通，又能够符合国内有关部委的相应规范，还不受SONY卡的局限。为此，我们建议深圳市“交通一卡通”仍选用符合国家有关部委标准的菲利普公司的MIFAREPRO双界面CPU片，该卡片完全符合国际标准，技术成熟，既可用做接触卡使用，又可以做非接触卡使用，能够兼容各种IC卡读写机具，在深圳和内地都有较广泛的工程应用案例。卡片采购渠道广泛，读写机具生产商众多，在机具选型和卡片价格方面会有非常大的选择空间。在具体实现方案上，我们建议采用“一国两制”方案。1.深圳市“交通一卡通”将发行比香港“八达通”卡更为先进的MIFAREPRO双界面CPU卡。173 深圳市“交通一卡通”工程项目方案建议书1.在深圳市“交通一卡通”所有的POS消费终端上加载SONY卡读写模块，使同一机具上既可读写MIFAREPRO卡，又可读写SONY卡。1.1基于消费终端的自动充值我们了解，在“八达通”系统中，只要持卡人事先签定银行自动划帐合同，当卡存金额少于事先约定的金额（通常为20HK＄）时，是可以在消费终端上自动充值的。该项功能可以在香港得到应用的基础是香港具有良好的信用制度，香港市民全员信用度较高。在深圳市“交通一卡通”系统中是否提供该项功能，主要应考虑两点：一是结算银行的认可程度，因为协议最终由银行与持卡人签定，风险应该、也只能由结算银行承担；二是业主对消费终端安全性的信任度。如果以上两个问题的答案都是肯定的，则系统应该提供这项对用户非常方便、友好的功能，反之，则应慎之。1.2对无线网和无线技术的利用在方案准备之初，我们非常希望尽可能地利用深圳市的800M无线网作为系统的通信资源，以达到节省项目投资及系统运行费用的目的。为此，我们专门走访了深圳市运输局通信处的有关领导，并与深圳市公路客货运输服务中心、交通通信服务专用网筹建办有关领导和技术人员进行了专题研讨。通过调研我们发现：该网正在建设中，正式开通使用还有一段时间，而且建设该网的主要目的是用于车辆调度的话音通讯。故，目前在“交通一卡通”系统中直接使用该网的可能性不大。我们将调研结果及我公司无线通信专家、GPS专家针对“交通一卡通”使用无线网以及未来GPS车辆定位与调度系统与“交通一卡通”173 深圳市“交通一卡通”工程项目方案建议书系统的有机连接的初步想法以《附录三：无线通讯网络建议方案》方式提供给业主，供业主参考。尽管我们不能将无线网作为“交通一卡通”系统的通信网络，但我们并未排除在方案中根据需要采用无线通信技术。由于各大巴公司均有自己的运营场地，且管理较严密，每日消费记录数据量较大，故我们建议大巴及部份有条件的中、小巴公司采用无线数传技术进行消费数据的采集和黑名单的及时下发。（具体方案见第5章《网络方案设计》中“无线数据采集与传输”节）。1.1车辆调度定位系统与本系统的关系在调研过程中我们了解到，深圳市运输局有关部门计划在800M无线网建设完毕后，立即启动基于无线网的GPS车辆定位及调度系统建设工作。如果完全孤立地看待这两个系统，势必会在两系统的推广过程中出现障碍。以出租车为例，当其刚以几千元的成本安装了车载IC卡记价器，又需要投资几千元安装用于调度的机载设备，势必会引起车主的强烈不满，严重的可能会引发不安定因素的爆发。我们的建议：经充分调研和认证后，探讨有无将两个项目的车载设备统一起来考虑的可能：统一规划、统一设计、统一制作和下发。我们的观点是“应用可以分离，设备应该统一”。作为一个大型的IT集团，北大青鸟既有具有IC卡读写机具的设计、生产能力的下属企业，也有专门从事GPS车辆定位与调度设备生产和系统集成的公司。我们相信，这种整体实力、技术能力和从业背景的综合，有助于我们与业主一道，站在更高、更长远的角度来考虑、规划、设计和实现深圳市交通总体发展战略。173 深圳市“交通一卡通”工程项目方案建议书1.1深圳市政府的全力支持综合分析整个项目，我们认为该项目真正的难度不在技术，而在政策、协调和实施三方面，而这几方面均需要政府的大力支持与配合。本项目实施面临的主要问题是包袱较重，对外有香港“八达通”系统的限制和约束，对内有已发卡约80万张的公交大巴IC卡系统，还有正在建设中的深圳地铁IC卡系统，更有79家处于松散管理状态、总数达8505辆的出租车。与香港“八达通”系统间采用何种互联方式？如何以新系统取代旧的大巴IC卡系统？深圳地铁IC卡系统建设的走向等是非问题均需要市政府出面协调。本项目需要协调的部门较多，关系较复杂，有的矛盾可能还比较尖锐。人们常说一个项目成功与否通常是“三分技术，七分协调”，我们认为在本项目中，可能会是“二分技术，八分协调”。所有这些，单单依靠业主及运输局一个部门的力量是不够的，必须充分发挥深圳市政府的优势。我们的建议：将该项目列入政府“十项重点工程”之列，引起市政府高度重视和关注，以获得政策上、行政管理上及协调方面的大力支持。1.2银行的配合问题是影响项目进度的关键因素本项目的方方面面都与合作银行建立了休戚相关的联系，项目的进度及成功已与银行的ATM设备改造、银行综合业务系统改造等工作进度密不可分。故，业主与合作银行间的无间隙配合至关重要，可以说合作银行也是深圳市“交通一卡通”工程的建设者之一。我们的建议:173 深圳市“交通一卡通”工程项目方案建议书合作银行加入本项目的项目管理委员会，并与业主、集成商、运营商共同参与系统的分析与设计过程，在系统设计完成后，银行内部系统及机具的改造工作应与“交通一卡通”系统的建设工作同步进行。1.1卡的营销策略和促销措施深圳市“交通一卡通”项目的成功与否，很大程度上取决于广大最终用户的认可程度，最直接的标志就是发卡量的多少。所以，制定好的卡营销策略、采取有效的促销措施在系统开通初期是非常重要的。我们在方案中对卡的营销给出了初步建议，除此之外，我们认为还应采取以下促销措施：u媒体的大力宣传充分利用报刊、电视等各种媒体，对“交通一卡通”的使用方法、业务规则、先进性、方便性进行大力宣传和示范教育，让该项应用深入人心；u适当的政策引导和行业管理措施充分利用政府行为和行业管理优势，加上适当强硬的行政管理手段，要求尽可能多的运营商加入到该系统中来，以营造整个城市的用卡氛围；u采取卡消费优惠略先期可建议大的运营商进行卡消费优惠策略，鼓励和引导市民购卡、用卡，运营商由于优惠客户而产生的运营损失，由结算中心或结算银行给予补贴；u建设良好的用卡大环境结算中心和结算银行通力合作，尽快提供更多、服务更好的售卡点、充值点及数据采集点，为客户及个体运营商提供更加方便、快捷的用卡大环境；u尽快扩充用卡应用和场所173 深圳市“交通一卡通”工程项目方案建议书加快系统后期开发和推广力度，使“交通一卡通”的应用范围尽快覆盖深圳市内所有可能用该卡消费的应用和场所。1.1关于客户服务中心的建立本项目的终极目标是“城市一卡通”，我们建议在结算管理中心原定仅建设结算系统的基础上，再投资建设一个先进的客户服务中心。本客户服务中心采用基于CTI（计算机与通信集成）技术的CallCenter方案，并与结算系统相连，实现卡挂失、黑名单查询、投诉、服务咨询等多项服务功能，未来还可以考虑在此基础上实现全深圳市的公共事业收费等其他增值服务。考虑到《投标文件》中并没有就此提出要求，我们仅在此提出建议，并可在业主需要时立即提供关于“客户服务中心系统”的解决方案。1.2集成商所面临的挑战深圳市特殊的地理位置及政治背景，决定了深圳市“交通一卡通”项目绝不同于国内及国际上任何一个城市已建成的系统，其中存在许多新的问题和挑战，比如该系统必须实现与香港“八达通”系统的互联等问题。另外，该项目要求起点高，着眼未来发展，分期建设周期长，潜在的可变因素多。总之，我们清楚地知道该项目的难度，任何一个承接该项目的集成商都将面临前所未有的挑战。173 深圳市“交通一卡通”工程项目方案建议书同时，我们认为，针对该项目，集成商已往的案例和经验已经退居其次，更重要的是应该具备与业主一起共同面对和解决新问题的能力与整体实力，是对系统的整体规划和管理能力，也包括设计、制作满足特殊要求的新机具的实力和能力。集成商提交的《方案建议书》，只是其实力和能力的一个旁证，我们建议业主更多地通过实地考察和业界资信调查等方式来获得关于这种实力和能力的证明。173'