CN117527840A - 一种居民服务用一卡通管理平台系统 - Google Patents

一种居民服务用一卡通管理平台系统 Download PDF

Info

Publication number
CN117527840A
CN117527840A CN202210878039.8A CN202210878039A CN117527840A CN 117527840 A CN117527840 A CN 117527840A CN 202210878039 A CN202210878039 A CN 202210878039A CN 117527840 A CN117527840 A CN 117527840A
Authority
CN
China
Prior art keywords
management
payment
network
user
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210878039.8A
Other languages
English (en)
Inventor
赵光
傅伟伟
屈佳男
左登超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Henan Ziyun Smart City Operation Technology Service Co ltd
Original Assignee
Henan Ziyun Smart City Operation Technology Service Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Henan Ziyun Smart City Operation Technology Service Co ltd filed Critical Henan Ziyun Smart City Operation Technology Service Co ltd
Priority to CN202210878039.8A priority Critical patent/CN117527840A/zh
Publication of CN117527840A publication Critical patent/CN117527840A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Tourism & Hospitality (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Medical Informatics (AREA)
  • Economics (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种居民服务用一卡通管理平台系统。所述居民服务用一卡通管理平台系统包括:一卡通管理系统,所述一卡通管理系统包括多个管理系统,多个管理系统分别为支付系统、身份认证系统、日志管理系统、监控预警系统、ESB管理系统、信息推送系统、卡务管理系统、PC端管理系统和移动端管理系统。本发明提供的居民服务用一卡通管理平台系统多样支付手段,具有规范性、可移植性、灵活性、可扩展性、易用性以及可靠性,基于SOA的分层的架构设计一方面能够带来系统业务需求功能实现的便捷性,另外一方面也有助于借助集群等方式确保系统性能的提高的优点。

Description

一种居民服务用一卡通管理平台系统
技术领域
本发明属于一卡通技术领域,尤其涉及一种居民服务用一卡通管理平台系统。
背景技术
随着人们生活水平的不断提高对于医疗保障的需求和要求也不断提高,以社会保障卡为载体建立居民服务一卡通,在交通出行、旅游观光、文化体验等方面实现“同城待遇”,2021年2月27日河南省委深改办下发的1号文件将居民服务一卡通项目纳入2021年重大改革事项,目前郑州、开封、洛阳、安阳、驻马店等城市都已启动居民服务一卡通项目建设。居民服务一卡通项目是以社会保障卡为载体,采用实体卡与虚拟卡相结合的方式,打通各领域业务系统,通过跨部门、跨领域资源整合与信息共享,向居民提供政务服务、综合治理、医疗服务、文旅服务、金融服务、疫情防控服务,实现跨领域的一卡通用、一码通城,目前的支付系统普遍在业务和技术方面存在以下不足,如在业务层面,目前支付营销手段单一,现有支付系统是按照各汇划渠道的业务需求和系统接口要求,
目前的支付系统普遍在业务和技术方面存在这一些不足,在业务层面,目前支付营销手段单一,现有支付系统是按照各汇划渠道的业务需求和系统接口要求进行定制化开发而成,缺乏整体的架构设计和业务流程规划、系统产品化、参数化程度较低,新增支付渠道困难,难以实现对支付业务进行包装和营销的业务发展要求需要,无法形成银行独特的竞争力和业务增长点,自动化程度低是业务层面的另外一个不足,柜员和客户需要直接面对多种不同的汇划渠道,如银联、大小额、支付宝、银银通、微信、农信银、网银互联等,需要足够的银行支付专业才能选择合适的支付渠道,即使是工作经验丰富的柜员在工作量大、选择路径多的条件下错选汇路的情况也在所难免,从而不可避免的带来交易费用的损失同时,操作复杂,对柜员的培训工作量非常大。
因此,有必要提供一种新的居民服务用一卡通管理平台系统解决上述技术问题。
发明内容
本发明解决的技术问题是提供一种多样支付手段,具有规范性、可移植性、灵活性、可扩展性、易用性以及可靠性,基于SOA的分层的架构设计一方面能够带来系统业务需求功能实现的便捷性,另外一方面也有助于借助集群等方式确保系统性能的提高的居民服务用一卡通管理平台系统。
为解决上述技术问题,本发明提供的居民服务用一卡通管理平台系统包括:一卡通管理系统,所述一卡通管理系统包括多个管理系统,多个管理系统分别为支付系统、身份认证系统、日志管理系统、监控预警系统、ESB管理系统、信息推送系统、卡务管理系统、PC端管理系统和移动端管理系统;
所述支付系统包括有统一接口接入层、统一支付核心应用系统、统一支付平台前置系统、支付应用系统和支付账户系统,所述统一支付核心应用系统是支付系统的核心,作用是提供支付能力,所述统一支付核心应用系统包括有系统管理、报表系统、支付处理模块、支付管理模块和支付清结算模块等,其负责业务管理、业务流程处理、支付清结算等核心任务,所述统一支付平台前置系统是支付系统的数据交互中心,作用是提供应用接入、客户接入、PORTAL、银联/银行接入和支付宝/微信接入,所述统一支付平台前置系统基于消息总线,且与统一支付核心应用系统之间为标准接口,与支付应用系统、支付账户系统、客户支付接入渠道提供灵活的协议口定制,所述统一支付平台前置系统可提供高效的消息路由、事务处理和接入服务等,所述支付账户系统负责接入和管理接入的统一支付账户、支付宝账户、微信账户和其它账户等,通过账户接入协议接入到统一支付核心应用系统中,所述支付应用系统负责实现具体支付应用的业务逻辑处理,使用支付应用系统完成支付过程,接管原有各应用系统中的支付能力部分,保留相关应用的业务管理、业务逻辑处理部分;
所述身份认证系统包括客户端、门户信息平台、支持EJB的应用服务器、身份管理模块和身份认证模块,所述客户端为用户通过浏览器访问各个应用系统,所述门户信息平台通过统一门户,将众多的校园应用系统集成到统一门户之中,所述门户信息平台提供一套用户自行定义门户界面系统,方便用户使用,且该系统具备可扩展性,可为将来新的应用系统的集成提供接口,所述支持EJB的应用服务器可以提供身份管理模块和统一身份认证模块的运行环境,而这两个模块采用规范的EJB来封装所有的业务逻辑,因此需要部署到支持EJB的服务器中,比如JBoss、Weblogic、WebSphere和Sun应用服务器等,所述身份管理模块对数字化居民的所有信息,比如用户的基本信息及角色信息等进行统一的维护,所述身份认证模块在将各个应用系统集成到统一门户之后,实现单点登录的功能,即众多的系统一次登录,且一个用户一个口令;
所述身份认证系统还包括Ldap目录信息库、身份信息管理模块及身份信息认证模块,所述Ldap目录信息库用于集中存放数字化校园内的所有信息,比如用户、角色、组织机构和应用系统等,所述身份信息管理模块为管理员以B/S结构界面形式对目录服务器中所有信息,比如用户、角色、组织机构和应用系统等进行维护,而一般的用户只能对自己的相关信息进行操作,所述身份信息认证模块为各个应用系统提供统一的认证授权接口,实现单点登录功能;
所述身份管理模块包括有用户管理模块、角色管理模块、组织管理模块和应用系统管理模块;
所述用户管理模块包括有新增用户、查询用户、修改用户信息、删除用户、账号关联,所述身份认证模块采用Pull模式、面向服务架构(SOA)原则,所述身份认证模块包括有用户端、数据处理模块、数据传输模块、TGS令盘授权和目标站点;
所述修改用户信息采取用户自己修改和管理员统一的修改的两种方式,当用户自行修改时,只能修改自己相关的信息,比如用户名、联系方式、用户密码等信息,但是用户的帐户、角色以及所在的部门等信息只能由管理员从用户信息模块、角色模块和组织部门模块来维护;
所述删除用户采用分布式和集中式两种方式,对于临时用户的删除,采用单独删除方式,而对于其它,可以由管理员集中批量删除;
所述账号关联针对某些应用系统已拥有用户帐号,并具有相应权限的情况,本系统采用的方法是将应用系统中拥有的用户帐号与统一身份管理模块中的用户帐号进行关联,使得用户登录统一身份认证系统之后,能够自动访问所有相关联的应用系统,且帐号关联包含新建、修改和删除等操作;
以新建用户帐号关联为例说明它的操作过程:
(①).用户首先要提供了应用系统的编号A,以及登录信息,即用户帐号/密码);
(②).向应用系统的编号A查询用户是否存在;
(③).如果该用户存在,那么就将这个帐号关联注册信息保存到用户信息库中;
所述监控预警系统包括CCCS网络,所述CCCS网络包括一卡通中心服务器,所述一卡通中心服务器包括数据中心、身份认证、流水等组建独立的局域网络;
所述CCCS网络采用星型结构,所述CCCS网络采用中心交换机互连,所述CCCS网络中的短距离设备采用超五类线直接互联,长距离的设备采用光纤通讯介质;
所述CCCS网络是构建在身份认证、中央共享数据库、统一信息门户等基础平台,所述CCCS网络中架设有双网卡数据代理服务器,触发器数据交换模式,对数字化网和“一卡通”专网之间的数据交换采用加密的方式,并在数字化网络和“一卡通”专网中针对关键服务器制定严格的访问控制策略,禁止非授权用户对这些重要服务器的访问,从而确保“一卡通”专网数据的安全,具体如下:
(1).在核心交换机上配置访问控制列表;
(2).在与数字化网络通讯之间增设防火墙,配置高级访问策略;
(3).设置数据异地备份系统;
(4).单独的UPS供电系统;
(5).一卡通数据中心冗余性;
所述CCCS网络包括网络监控系统,所述网络监控系统采用Delphi+SQLserver,C/S模式,所述网络监控系统的主要功能:在工作区任一位置中,具备对网络设备添加、修改、删除功能,设置轮询设备时间,故障报警,日志记录等,且系统对各网络设备监测通过ICMP协议实现,所述ICMP协议是TCP/IP协议的一个子协议,因此工作在OSI的网络层,向数据通讯中的源主机报告错误,其实现原理:ICMP回显请求和ICMP回显应答报文是配合工作的,当源主机向目标主机发送了ICMP回显请求数据包后,源主机期待着目标主机的回答,目标主机在收到一个ICMP回显请求数据包后,它会交换源、目的主机的IP地址,然后将收到的ICMP回显请求数据包中的数据部分原封不动地封装在自己的ICMP回显应答数据包中,然后发回给发送ICMP回显请求的一方,如果校验正确,源主机便认为目标主机的回显服务正常,也即网络连接畅通;
为使该系统使用更直观化,对监测的网络对象实现了图形化界面,首先创建关于设备的特有类Teq=class//利用SpeedButton的图形按钮,并定义相关属性如设备描述、Ip地址、场地、状态、错误信息等,创建对象,例:neteq:=Teq.Create,neteq.addr:=‘XX一期网关’,//对象属性描述....在对每个工作区中的对象监测时可以使用pinghost来判断ICMP回显请求报文和回显应答报文是否可达目标设备,如果连续4次判断该网络设备ICMP回显请求未监听到,表示该网络设备已出现故障,系统则可以通过各种通讯手段,如声音报警、E mail、手机短信等方式通知管理员进行及时维护。
作为本发明的进一步方案,所述支付系统的局域网核心为两台核心局域网交换机,因此可通过两台核心局域网交换机组成双机热备,使其可通过防火墙将网络划分成安全级别不同的几个区域,如下所示分别为:
(1).外部网络:互联网以及与互联网相连的部分,包括商户,通过专线连接或者通过互联网连接,以及手机用户和使用电脑的宽带用户,而这个网段因是完全开放,没有任何安全防护,因此安全级别最低;
(2).外部访问区:包括Web服务器及WAP服务器等,配置服务器负载均衡器实现Web/Wap服务器的负载均衡和冗余,而这个网段供公众用户访问,因此容易受到攻击,所以安全级别较低;
(3).接入服务区:与外部系统的接口服务器,包括固网支付平台的服务器,因此安全级别中等;
(4).银行接口区:与银行通信的接口服务器,所以安全级别较高;
(5).内部区等:系统核心服务器,包括数据库服务器,支付处理及账户管理服务器,系统账户数据及交易数据存放在内部区的服务器上,因此安全级别最高。
作为本发明的进一步方案,所述Ldap目录信息库是一种特殊的数据库,是用于存放用户、角色、组织机构及各个应用系统等信息,所述Ldap目录信息库包括目录模式、用户目录、角色目录、组织机构目录和应用系统目录。
作为本发明的进一步方案,所述用户端又称浏览器,可实现两个功能:①.对于初次登录的用户,要求用户输入帐号+密码,然后将其生成SAML请求,并将用户登录的相关信息纪录到日志文件中,②.对于已经登录的用户,通过浏览器可直接访问应用系统,所述数据处理模块可提供两个功能:①.XML加密和解密,②.XML签名和验证,所述数据传输模块用于传输客户端与令牌授权模块TGS、客户端与目标站点以及目标站点与令牌授权模块TGS等之间的报文信息,所述TGS令盘授权可负责用户身份认证与断言的处理,即产生令牌和解析SAML令牌,所述目标站点可负责提供受保护服务,根据令牌解析后的角色信息,实现基于角色来间接的控制用户对资源的使用。
作为本发明的进一步方案,所述日志管理系统是对居民服务一卡通所有的业务系统的系统日志、操作日志、行为日志进行统一记录、采集存储,提供日志统一查询和下载,保障所有数据的可追溯性。
作为本发明的进一步方案,所述ESB管理系统是一个具有标准接口、可实现互连、通信、服务路由,面向服务架构的企业级信息系统基础平台,为系统提供数据传输服务。
作为本发明的进一步方案,所述信息推送系统是居民服务一卡通各业务系统提供统一消息推送服务,包括app应用内推送、短信推送等。实现通过APP、短信主动向用户推送系统通知、活动通知等。
作为本发明的进一步方案,所述PC端管理系统主要实现对居民服务一卡通各业务系统菜单的统一配置、权限和管理端用户的管理,实现对项目管理后台权限、用户的统一管理。
作为本发明的进一步方案,所述移动端管理系统主要实现是对居民一卡通项目的门户APP、微信公众号、小程序等客户端各功能应用、信息的统一配置与管理。
与相关技术相比较,本发明提供的居民服务用一卡通管理平台系统具有如下有益效果:
1、本发明具有规范性、可移植性、灵活性、可扩展性、易用性以及可靠性,通过统一接口接入层、统一支付核心应用系统、统一支付平台前置系统、支付应用系统和支付账户系统,且基于SOA的开放式、松耦合的体系架构,架构对外以整体服务的方式提供支撑服务,对内使用数据服务总线作为内部各个子系统之间的连接纽带,依据分层设计的设计思想,系统被划分为若干层,然后在每层内部进行相关的业务模块细分,同时兼顾了模块内聚性的要求,而这种基于SOA的分层的架构设计一方面能够带来系统业务需求功能实现的便捷性,另外一方面也有助于借助集群等方式确保系统性能的提高。
附图说明
为了便于本领域技术人员理解,下面结合附图对本发明作进一步的说明。
图1为本发明支付系统的原理框图;
图2为本发明统一支付平台前置系统的原理图;
图3为本发明身份认证系统的原理框图;
图4为本发明身份认证系统中身份认证模块的结构图;
图5为本发明CCCS网络结构图;
图6为本发明监控系统的结构图。
具体实施方式
请结合参阅图1-图6,其中,图1为本发明支付系统的原理框图;图2为本发明统一支付平台前置系统的原理图;图3为本发明身份认证系统的原理框图;图4为本发明身份认证系统中身份认证模块的结构图;图5为本发明CCCS网络结构图;图6为本发明监控系统的结构图。居民服务用一卡通管理平台系统包括:一卡通管理系统,所述一卡通管理系统包括多个管理系统,多个管理系统分别为支付系统、身份认证系统、日志管理系统、监控预警系统、ESB管理系统、信息推送系统、卡务管理系统、PC端管理系统和移动端管理系统;
所述支付系统包括有统一接口接入层、统一支付核心应用系统、统一支付平台前置系统、支付应用系统和支付账户系统,所述统一支付核心应用系统是支付系统的核心,作用是提供支付能力,所述统一支付核心应用系统包括有系统管理、报表系统、支付处理模块、支付管理模块和支付清结算模块等,其负责业务管理、业务流程处理、支付清结算等核心任务,所述统一支付平台前置系统是支付系统的数据交互中心,作用是提供应用接入、客户接入、PORTAL、银联/银行接入和支付宝/微信接入,所述统一支付平台前置系统基于消息总线,且与统一支付核心应用系统之间为标准接口,与支付应用系统、支付账户系统、客户支付接入渠道提供灵活的协议口定制,所述统一支付平台前置系统可提供高效的消息路由、事务处理和接入服务等,所述支付账户系统负责接入和管理接入的统一支付账户、支付宝账户、微信账户和其它账户等,通过账户接入协议接入到统一支付核心应用系统中,所述支付应用系统负责实现具体支付应用的业务逻辑处理,使用支付应用系统完成支付过程,接管原有各应用系统中的支付能力部分,保留相关应用的业务管理、业务逻辑处理部分;
所述身份认证系统包括客户端、门户信息平台、支持EJB的应用服务器、身份管理模块和身份认证模块,所述客户端为用户通过浏览器访问各个应用系统,所述门户信息平台通过统一门户,将众多的校园应用系统集成到统一门户之中,所述门户信息平台提供一套用户自行定义门户界面系统,方便用户使用,且该系统具备可扩展性,可为将来新的应用系统的集成提供接口,所述支持EJB的应用服务器可以提供身份管理模块和统一身份认证模块的运行环境,而这两个模块采用规范的EJB来封装所有的业务逻辑,因此需要部署到支持EJB的服务器中,比如JBoss、Weblogic、WebSphere和Sun应用服务器等,所述身份管理模块对数字化居民的所有信息,比如用户的基本信息及角色信息等进行统一的维护,所述身份认证模块在将各个应用系统集成到统一门户之后,实现单点登录的功能,即众多的系统一次登录,且一个用户一个口令;
所述身份认证系统还包括Ldap目录信息库、身份信息管理模块及身份信息认证模块,所述Ldap目录信息库用于集中存放数字化校园内的所有信息,比如用户、角色、组织机构和应用系统等,所述身份信息管理模块为管理员以B/S结构界面形式对目录服务器中所有信息,比如用户、角色、组织机构和应用系统等进行维护,而一般的用户只能对自己的相关信息进行操作,所述身份信息认证模块为各个应用系统提供统一的认证授权接口,实现单点登录功能;
所述身份管理模块包括有用户管理模块、角色管理模块、组织管理模块和应用系统管理模块;
所述角色管理模块是一个组织或机构中的一种工作岗位或职责,本系统通过角色模块对角色进行维护,来完成对用户职务的赋予、剥夺等工作,用户对应用系统资源访问的权限主要是由角色来确定的,因此对角色的维护目的是间接地控制用户对信息资源的操作;
所述组织管理模块是各个机关和团体,管理员通过组织管理模块维护各个组织之间的关系,比如上下级关系等,以及进行组织的增加、删除和修改等工作,所述组织管理模块以图形的方式支持管理员完成功能如下:
(1).浏览组织部门的相关信息;
(2).查询某组织下人员信息;
(3).删除组织机构中的人员;
(4).添加组织机构中的人员,完成对该组织机构人员的新增工作;
(5).添加组织机构,提供新增组织机构功能;
(6).修改组织机构信息,提供修改组织机构的功能;
(7).删除组织机构,提供删除组织机构的功能;
所述应用系统管理模块是实现对己有的应用系统集成,如邮件及办公自动化等,管理员通过应用系统管理模块可以对各应用系统进行维护新增、修改、删除等;
所述用户管理模块包括有新增用户、查询用户、修改用户信息、删除用户、账号关联,所述身份认证模块采用Pull模式、面向服务架构原则,所述身份认证模块包括有用户端、数据处理模块、数据传输模块、TGS令盘授权和目标站点;
所述用户管理模块是对资源进行访问的主体,用户信息包括用户唯一标识、用户名称、用户特征等,对用户信息的维护,所述用户管理模块不仅提供数据同步机制,使得用户数据可以自动与数据源中数据自动进行必要的同步,而且还提供了以下功能:查询、编辑、删除、批量删除、新增用户和帐号关联等;
所述新增用户采取自己注册和管理员注册的两种方式,用户自己注册时,要指明自己所在的部门、所属的角色,这主要通过注册的网页完成,管理员注册的用户是针对固定用户;
所述查询用户分为模糊查找和精确查找,所述模糊查找主要通过用户名字找到若千个用户,所述精确查找用户是通过用户的帐号查找唯一的用户;
所述修改用户信息采取用户自己修改和管理员统一的修改的两种方式,当用户自行修改时,只能修改自己相关的信息,比如用户名、联系方式、用户密码等信息,但是用户的帐户、角色以及所在的部门等信息只能由管理员从用户信息模块、角色模块和组织部门模块来维护;
所述删除用户采用分布式和集中式两种方式,对于临时用户的删除,采用单独删除方式,而对于其它,可以由管理员集中批量删除;
所述账号关联针对某些应用系统已拥有用户帐号,并具有相应权限的情况,本系统采用的方法是将应用系统中拥有的用户帐号与统一身份管理模块中的用户帐号进行关联,使得用户登录统一身份认证系统之后,能够自动访问所有相关联的应用系统,且帐号关联包含新建、修改和删除等操作;
以新建用户帐号关联为例说明它的操作过程:
(①).用户首先要提供了应用系统的编号A,以及登录信息,即用户帐号/密码);
(②).向应用系统的编号A查询用户是否存在;
(③).如果该用户存在,那么就将这个帐号关联注册信息保存到用户信息库中;
所述监控预警系统包括CCCS网络,所述CCCS网络包括一卡通中心服务器,所述一卡通中心服务器包括数据中心、身份认证、流水等组建独立的局域网络;
所述CCCS网络采用星型结构,所述CCCS网络采用中心交换机互连,所述CCCS网络中的短距离设备采用超五类线直接互联,长距离的设备采用光纤通讯介质;
所述CCCS网络是构建在身份认证、中央共享数据库、统一信息门户等基础平台,所述CCCS网络中架设有双网卡数据代理服务器,触发器数据交换模式,对数字化网和“一卡通”专网之间的数据交换采用加密的方式,并在数字化网络和“一卡通”专网中针对关键服务器制定严格的访问控制策略,禁止非授权用户对这些重要服务器的访问,从而确保“一卡通”专网数据的安全,具体如下:
(1).在核心交换机上配置访问控制列表;
(2).在与数字化网络通讯之间增设防火墙,配置高级访问策略;
(3).设置数据异地备份系统;
(4).单独的UPS供电系统;
(5).一卡通数据中心冗余性;
所述CCCS网络包括网络监控系统,所述网络监控系统采用Delphi+SQLserver,C/S模式,所述网络监控系统的主要功能:在工作区任一位置中,具备对网络设备添加、修改、删除功能,设置轮询设备时间,故障报警,日志记录等,且系统对各网络设备监测通过ICMP协议实现,所述ICMP协议是TCP/IP协议的一个子协议,因此工作在OSI的网络层,向数据通讯中的源主机报告错误,其实现原理:ICMP回显请求和ICMP回显应答报文是配合工作的,当源主机向目标主机发送了ICMP回显请求数据包后,源主机期待着目标主机的回答,目标主机在收到一个ICMP回显请求数据包后,它会交换源、目的主机的IP地址,然后将收到的ICMP回显请求数据包中的数据部分原封不动地封装在自己的ICMP回显应答数据包中,然后发回给发送ICMP回显请求的一方,如果校验正确,源主机便认为目标主机的回显服务正常,也即网络连接畅通;
为使该系统使用更直观化,对监测的网络对象实现了图形化界面,首先创建关于设备的特有类Teq=class//利用SpeedButton的图形按钮,并定义相关属性如设备描述(、Ip地址(、场地(、状态(、错误信息等,创建对象,例:neteq:=Teq.Create,neteq.addr:=‘XX一期网关’,//对象属性描述....在对每个工作区中的对象监测时可以使用pinghost)来判断ICMP回显请求报文和回显应答报文是否可达目标设备,如果连续4次判断该网络设备ICMP回显请求未监听到,表示该网络设备已出现故障,系统则可以通过各种通讯手段,如声音报警、Email、手机短信等方式通知管理员进行及时维护。
所述支付系统的局域网核心为两台核心局域网交换机,因此可通过两台核心局域网交换机组成双机热备,使其可通过防火墙将网络划分成安全级别不同的几个区域,如下所示分别为:
(1).外部网络:互联网以及与互联网相连的部分,包括商户,通过专线连接或者通过互联网连接,以及手机用户和使用电脑的宽带用户,而这个网段因是完全开放,没有任何安全防护,因此安全级别最低;
(2).外部访问区:包括Web服务器及WAP服务器等,配置服务器负载均衡器实现Web/Wap服务器的负载均衡和冗余,而这个网段供公众用户访问,因此容易受到攻击,所以安全级别较低;
(3).接入服务区:与外部系统的接口服务器,包括固网支付平台的服务器,因此安全级别中等;
(4).银行接口区:与银行通信的接口服务器,所以安全级别较高;
(5).内部区等:系统核心服务器,包括数据库服务器,支付处理及账户管理服务器,系统账户数据及交易数据存放在内部区的服务器上,因此安全级别最高。
所述Ldap目录信息库是一种特殊的数据库,是用于存放用户、角色、组织机构及各个应用系统等信息,所述Ldap目录信息库包括目录模式、用户目录、角色目录、组织机构目录和应用系统目录。
所述用户端又称浏览器,可实现两个功能:①.对于初次登录的用户,要求用户输入帐号+密码,然后将其生成SAML请求,并将用户登录的相关信息纪录到日志文件中,②.对于已经登录的用户,通过浏览器可直接访问应用系统,所述数据处理模块可提供两个功能:①.XML加密和解密,②.XML签名和验证,所述数据传输模块用于传输客户端与令牌授权模块TGS、客户端与目标站点以及目标站点与令牌授权模块TGS等之间的报文信息,所述TGS令盘授权可负责用户身份认证与断言的处理,即产生令牌和解析SAML令牌,所述目标站点可负责提供受保护服务,根据令牌解析后的角色信息,实现基于角色来间接的控制用户对资源的使用。
用户能够用同一个的账户和口令登录不同系统,实现单点登录服务,主要思路就是在统一身份认证中为已经登录的用户建立一个全局的Session,并用它传输用户登录其他系统的凭证SAML令牌,统一身份认证的流程如下所示:
(1).用户初次通过浏览器访问一种受保护的web应用系统,目标站点;
(2).由于用户初次登录,则需要用户通过登录界面输入用户帐号+口令,生成SAML请求,客户端的数据处理模块将SAML请求和时间戳(产生SAML请求的时间)先利用双方协商的密钥库的私钥对其进行签名,然后采用由双方协商的对称加密DESede算法产生的密钥进行加密,并将这个共有密钥妥善保管,最后调用数据传输模块将请求信息发送至TGS令牌授权模块并等待应答,同时将用户登录的相关信息记载到日志中;
(3).TGS令牌授权模块收到客户端发来的认证请求报文,先利用绝对安全的渠道取得协商共有密钥去解密,然后进行验证数字签,如果确认该请求报文是真实的、无误的,则解析SAML认证请求;
所述TGS令牌授权模先SAML认证请求中获取用户的有效帐号和密码,如果TGS令牌授权模块收到认证请求的时间与从认证请求报文中时间戳之差小于有效时间lifetime,才依据用户帐号在Ldap目录数据库中查找该用户的相关信息,最后产生SAML认证响应,即令牌;
所述TGS令牌授权模块向用户客户端发送令牌之前,要对发送的报文进行安全数据处理,即利用双方协商的密钥库的私钥对其进行签名,然后采用由双方协商的加密DESede算法产生的密钥进行加密,并将这个共享的密钥妥善保管,最后,数据传输模块先给此用户建立一个全局session,最大的活动周期为一天,通过session中的SSO__TOKEN属性将加密令牌传递到客户端,用户(客户端)将请求连同已经过加密/签名的SAML令牌重定向到目标站点-用户要访问的Web应用系统;
(4).目标站点通过session中的SSO_TOKEN属性获得已经过加密/签名的用户SAML令牌,然后把它发给TGS令牌授权模块(进行解析令牌;
(5).TGS令牌授权模块:通过数据处理模块对令牌进行反向处理先解密,然后验证签名,如果合法的令牌,则解析令牌,并将其结果封装在authResponse对象中,解析令牌目的是在令牌有效性的前提下,获得持有该令牌的用户帐号、用户的状态、用户的角色、联合认证伙伴等信息,并将这些信息封装到一个JavaBean对象authResponse中;
TGS令牌授权模块发给目标站点报文之前,先将对象authResponse经过数据处理模块进行安全处理,然后通过数据传输模块将报文发送给目标站点;
(6).目标站点收到TGS令牌授权模块发出报文后,先经过数据安全处理模块进行反向处理,先解密,然后验证签名,从报文中得到authResponse对象,根据authResponse对象中用户的状态属性来判断用户是否合法,如果用户合法,才根据authResponse对象中角色roleNarne属性对用户进行授权,并提供有权访问的资源,同时也向用户发一个经过数据处理模块处理的时间戳;
(7).用户首先验证目标站点发来的时间截,如果确实是要访问的目标站点,才接收目标站点提供的资源,倘如用户再访问其它的目标站点,流程转向(4)
所述客户端模块的工作流程如下:
(a).用户访问受保护的应用系统S,首先要判断是否持有令牌;
(b).如果用户没有持有令牌,则通过登录界面,输入帐号、密码,产生SAML认证请求,将认证请求和产生认证请求的时间戳通过数据处理模块处理后,再由数据传输模块发送到由网络路由器所确定的联合认证伙伴Partner,其目的是产生令牌,由联合认证伙伴Partner,传来的令牌和时间戳通过数据处理模块处理后,再由数据传输模块传给用户,其中在报文中加入时间戳的目是为了避免发生重放攻击;
(c).如果用户持有令牌,则可以直接访问受保护的web服务,而不必再输入帐号、密码,受保护的web服务通过在同一域的联合认证伙伴Partner,解析后,提供授权访问信息和时间戳经过数据处理模块进行处理,然后数据传输模块后传给客户端的用户;
(d).用户在接收web服务提供的信息时,首先要验证应用服务器是否合法,如果合法,则接收所提供的信息,否则再次发出访问受保护的web服务的请求,同时在日志中记录用户名所登录的时间、登录IP以及密码是否正确等重要的数据;
所述日志管理系统是对居民服务一卡通所有的业务系统的系统日志、操作日志、行为日志进行统一记录、采集存储,提供日志统一查询和下载,保障所有数据的可追溯性。
所述ESB管理系统是一个具有标准接口、可实现互连、通信、服务路由,面向服务架构的企业级信息系统基础平台,为系统提供数据传输服务。
所述信息推送系统是居民服务一卡通各业务系统提供统一消息推送服务,包括app应用内推送、短信推送等。实现通过APP、短信主动向用户推送系统通知、活动通知等。
所述PC端管理系统主要实现对居民服务一卡通各业务系统菜单的统一配置、权限和管理端用户的管理,实现对项目管理后台权限、用户的统一管理。
所述移动端管理系统主要实现是对居民一卡通项目的门户APP、微信公众号、小程序等客户端各功能应用、信息的统一配置与管理。

Claims (9)

1.一种居民服务用一卡通管理平台系统,其特征在于,包括:
一卡通管理系统,所述一卡通管理系统包括多个管理系统,多个管理系统分别为支付系统、身份认证系统、日志管理系统、监控预警系统、ESB管理系统、信息推送系统、卡务管理系统、PC端管理系统和移动端管理系统;
所述支付系统包括有统一接口接入层、统一支付核心应用系统、统一支付平台前置系统、支付应用系统和支付账户系统,所述统一支付核心应用系统是支付系统的核心,作用是提供支付能力,所述统一支付核心应用系统包括有系统管理、报表系统、支付处理模块、支付管理模块和支付清结算模块等,其负责业务管理、业务流程处理、支付清结算等核心任务,所述统一支付平台前置系统是支付系统的数据交互中心,作用是提供应用接入、客户接入、PORTAL、银联/银行接入和支付宝/微信接入,所述统一支付平台前置系统基于消息总线,且与统一支付核心应用系统之间为标准接口,与支付应用系统、支付账户系统、客户支付接入渠道提供灵活的协议口定制,所述统一支付平台前置系统可提供高效的消息路由、事务处理和接入服务等,所述支付账户系统负责接入和管理接入的统一支付账户、支付宝账户、微信账户和其它账户等,通过账户接入协议接入到统一支付核心应用系统中,所述支付应用系统负责实现具体支付应用的业务逻辑处理,使用支付应用系统完成支付过程,接管原有各应用系统中的支付能力部分,保留相关应用的业务管理、业务逻辑处理部分;
所述身份认证系统包括客户端、门户信息平台、支持EJB的应用服务器、身份管理模块和身份认证模块,所述客户端为用户通过浏览器访问各个应用系统,所述门户信息平台通过统一门户,将众多的校园应用系统集成到统一门户之中,所述门户信息平台提供一套用户自行定义门户界面系统,方便用户使用,且该系统具备可扩展性,可为将来新的应用系统的集成提供接口,所述支持EJB的应用服务器可以提供身份管理模块和统一身份认证模块的运行环境,而这两个模块采用规范的EJB来封装所有的业务逻辑,因此需要部署到支持EJB的服务器中,比如JBoss、Weblogic、WebSphere和Sun应用服务器等,所述身份管理模块对数字化居民的所有信息,比如用户的基本信息及角色信息等进行统一的维护,所述身份认证模块在将各个应用系统集成到统一门户之后,实现单点登录的功能,即众多的系统一次登录,且一个用户一个口令;
所述身份认证系统还包括Ldap目录信息库、身份信息管理模块及身份信息认证模块,所述Ldap目录信息库用于集中存放数字化校园内的所有信息,比如用户、角色、组织机构和应用系统等,所述身份信息管理模块为管理员以B/S结构界面形式对目录服务器中所有信息,比如用户、角色、组织机构和应用系统等进行维护,而一般的用户只能对自己的相关信息进行操作,所述身份信息认证模块为各个应用系统提供统一的认证授权接口,实现单点登录功能;
所述身份管理模块包括有用户管理模块、角色管理模块、组织管理模块和应用系统管理模块;
所述用户管理模块包括有新增用户、查询用户、修改用户信息、删除用户、账号关联,所述身份认证模块采用Pul l模式、面向服务架构(SOA)原则,所述身份认证模块包括有用户端、数据处理模块、数据传输模块、TGS令盘授权和目标站点;
所述监控预警系统包括CCCS网络,所述CCCS网络包括一卡通中心服务器,所述一卡通中心服务器包括数据中心、身份认证、流水等组建独立的局域网络;
所述CCCS网络采用星型结构,所述CCCS网络采用中心交换机互连,所述CCCS网络中的短距离设备采用超五类线直接互联,长距离的设备采用光纤通讯介质;
所述CCCS网络是构建在身份认证、中央共享数据库、统一信息门户等基础平台,所述CCCS网络中架设有双网卡数据代理服务器,触发器数据交换模式,对数字化网和“一卡通”专网之间的数据交换采用加密的方式,并在数字化网络和“一卡通”专网中针对关键服务器制定严格的访问控制策略,禁止非授权用户对这些重要服务器的访问,从而确保“一卡通”专网数据的安全,具体如下:
(1).在核心交换机上配置访问控制列表;
(2).在与数字化网络通讯之间增设防火墙,配置高级访问策略;
(3).设置数据异地备份系统;
(4).单独的UPS供电系统;
(5).一卡通数据中心冗余性;
所述CCCS网络包括网络监控系统,所述网络监控系统采用Delphi+SQLserver,C/S模式,所述网络监控系统的主要功能:在工作区任一位置中,具备对网络设备添加、修改、删除功能,设置轮询设备时间,故障报警,日志记录等,且系统对各网络设备监测通过ICMP协议实现,所述ICMP协议是TCP/IP协议的一个子协议,因此工作在OSI的网络层,向数据通讯中的源主机报告错误,其实现原理:ICMP回显请求和ICMP回显应答报文是配合工作的,当源主机向目标主机发送了ICMP回显请求数据包后,源主机期待着目标主机的回答,目标主机在收到一个ICMP回显请求数据包后,它会交换源、目的主机的IP地址,然后将收到的ICMP回显请求数据包中的数据部分原封不动地封装在自己的ICMP回显应答数据包中,然后发回给发送ICMP回显请求的一方,如果校验正确,源主机便认为目标主机的回显服务正常,也即网络连接畅通;
为使该系统使用更直观化,对监测的网络对象实现了图形化界面,首先创建关于设备的特有类Teq=class//利用SpeedButton的图形按钮,并定义相关属性如设备描述、Ip地址、场地、状态、错误信息等,创建对象,例:neteq:=Teq.Create,neteq.addr:=‘XX一期网关’,//对象属性描述....在对每个工作区中的对象监测时可以使用pinghost来判断ICMP回显请求报文和回显应答报文是否可达目标设备,如果连续4次判断该网络设备ICMP回显请求未监听到,表示该网络设备已出现故障,系统则可以通过各种通讯手段,如声音报警、Email、手机短信等方式通知管理员进行及时维护。
2.根据权利要求1所述的居民服务用一卡通管理平台系统,其特征在于:所述支付系统的局域网核心为两台核心局域网交换机,因此可通过两台核心局域网交换机组成双机热备,使其可通过防火墙将网络划分成安全级别不同的几个区域,如下所示分别为:
(1).外部网络:互联网以及与互联网相连的部分,包括商户,通过专线连接或者通过互联网连接,以及手机用户和使用电脑的宽带用户,而这个网段因是完全开放,没有任何安全防护,因此安全级别最低;
(2).外部访问区:包括Web服务器及WAP服务器等,配置服务器负载均衡器实现Web/Wap服务器的负载均衡和冗余,而这个网段供公众用户访问,因此容易受到攻击,所以安全级别较低;
(3).接入服务区:与外部系统的接口服务器,包括固网支付平台的服务器,因此安全级别中等;
(4).银行接口区:与银行通信的接口服务器,所以安全级别较高;
(5).内部区等:系统核心服务器,包括数据库服务器,支付处理及账户管理服务器,系统账户数据及交易数据存放在内部区的服务器上,因此安全级别最高。
3.根据权利要求1所述的居民服务用一卡通管理平台系统,其特征在于:所述所述Ldap目录信息库是一种特殊的数据库,是用于存放用户、角色、组织机构及各个应用系统等信息。所述Ldap目录信息库包括目录模式、用户目录、角色目录、组织机构目录和应用系统目录。
4.根据权利要求1所述的居民服务用一卡通管理平台系统,其特征在于:所述用户端又称浏览器,可实现两个功能:①.对于初次登录的用户,要求用户输入帐号+密码,然后将其生成SAML请求,并将用户登录的相关信息纪录到日志文件中,②.对于已经登录的用户,通过浏览器可直接访问应用系统,所述数据处理模块可提供两个功能:①.XML加密和解密,②.XML签名和验证,所述数据传输模块用于传输客户端与令牌授权模块TGS、客户端与目标站点以及目标站点与令牌授权模块TGS等之间的报文信息,所述TGS令盘授权可负责用户身份认证与断言的处理,即产生令牌和解析SAML令牌,所述目标站点可负责提供受保护服务,根据令牌解析后的角色信息。实现基于角色来间接的控制用户对资源的使用。
5.根据权利要求1所述的居民服务用一卡通管理平台系统,其特征在于:所述日志管理系统是对居民服务一卡通所有的业务系统的系统日志、操作日志、行为日志进行统一记录、采集存储,提供日志统一查询和下载,保障所有数据的可追溯性。
6.根据权利要求1所述的居民服务用一卡通管理平台系统,其特征在于:所述ESB管理系统是一个具有标准接口、可实现互连、通信、服务路由,面向服务架构的企业级信息系统基础平台,为系统提供数据传输服务。
7.根据权利要求1所述的居民服务用一卡通管理平台系统,其特征在于:所述信息推送系统是居民服务一卡通各业务系统提供统一消息推送服务,包括app应用内推送、短信推送等。实现通过APP、短信主动向用户推送系统通知、活动通知等。
8.根据权利要求1所述的居民服务用一卡通管理平台系统,其特征在于:所述PC端管理系统主要实现对居民服务一卡通各业务系统菜单的统一配置、权限和管理端用户的管理,实现对项目管理后台权限、用户的统一管理。
9.根据权利要求1所述的居民服务用一卡通管理平台系统,其特征在于:所述移动端管理系统主要实现是对居民一卡通项目的门户APP、微信公众号、小程序等客户端各功能应用、信息的统一配置与管理。
CN202210878039.8A 2022-07-25 2022-07-25 一种居民服务用一卡通管理平台系统 Pending CN117527840A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210878039.8A CN117527840A (zh) 2022-07-25 2022-07-25 一种居民服务用一卡通管理平台系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210878039.8A CN117527840A (zh) 2022-07-25 2022-07-25 一种居民服务用一卡通管理平台系统

Publications (1)

Publication Number Publication Date
CN117527840A true CN117527840A (zh) 2024-02-06

Family

ID=89748169

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210878039.8A Pending CN117527840A (zh) 2022-07-25 2022-07-25 一种居民服务用一卡通管理平台系统

Country Status (1)

Country Link
CN (1) CN117527840A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117931828A (zh) * 2024-03-25 2024-04-26 山东光合云谷大数据有限公司 一种一卡通数据智能管理系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117931828A (zh) * 2024-03-25 2024-04-26 山东光合云谷大数据有限公司 一种一卡通数据智能管理系统
CN117931828B (zh) * 2024-03-25 2024-05-24 山东光合云谷大数据有限公司 一种一卡通数据智能管理系统

Similar Documents

Publication Publication Date Title
US7480799B2 (en) Traffic manager for distributed computing environments
RU2648956C2 (ru) Предоставление устройств в качестве сервиса
JP6010610B2 (ja) アクセス制御アーキテクチャ
JP4307448B2 (ja) 分散オブジェクトを単一表現として管理するシステムおよび方法
CN100450033C (zh) 访问网络上计算机资源的管理方法和系统
US7958226B2 (en) Identifying a computer device
US20040003247A1 (en) Non-centralized secure communication services
CN104615916B (zh) 账号管理方法和装置、账号权限控制方法和装置
CN104904178A (zh) 提供虚拟化专用网络隧道
CN104718526A (zh) 安全移动框架
CN102947797A (zh) 使用横向扩展目录特征的在线服务访问控制
AU2020305390B2 (en) Cryptographic key orchestration between trusted containers in a multi-node cluster
US20100242101A1 (en) Method and system for securely managing access and encryption credentials in a shared virtualization environment
Zhang et al. Sovereign: Self-contained smart home with data-centric network and security
Castrucci et al. Design and implementation of a mediation system enabling secure communication among Critical Infrastructures
CN1601954B (zh) 不中断服务地横跨安全边界移动主体
CN103020542B (zh) 存储用于全球数据中心的秘密信息的技术
CN117527840A (zh) 一种居民服务用一卡通管理平台系统
CN111726328A (zh) 用于对第一设备进行远程访问的方法、系统以及相关设备
Yan et al. Location-based services and privacy protection under mobile cloud computing
CN114785612B (zh) 一种云平台管理方法、装置、设备及介质
US7739328B1 (en) Traffic manager for distributed computing environments
Goyal Application of a distributed security method to end-2-end services security in independent heterogeneous cloud computing environments
Achtaich et al. Management Capabilities for Mobile and IoT Devices: An Evaluation Framework
Chahal et al. A Comprehensive Study of Security in Cloud Computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination