POS是一种多功能终端，使用起来安全、快捷、可靠，在校内各种场所广泛使用，承担着提供可靠保障和优质服务的硬件设备重任。但是，传统的校园POS终端难以满足师生对校内支付及身份验证场景使用的便捷性、智能化需求。不同品牌不同型号POS终端的通信协议不同，单独管理成本较高，业务配置复杂，同时校内业务模式和应用场景也在不断创新，终端维护变得越来越困难。

　　浙江大学为实现对校园POS终端的统一管理、升级和参数配置，设计以现有介质管理平台、能力开放平台和聚合支付平台为基础，实现终端入网申请并提供多样化方式对POS终端进行参数配置，满足多介质化、移动化和智能化需求。

　　学校校园卡平台经过多年发展，已经实现从单机消费模式到在线支付、移动支付的转变，并且陆续上线了校园卡App二维码支付、刷脸支付、掌动脉认证、NFC校园卡等多种形式的应用。

　　为满足校内师生从校园生活走入社会的无缝移动支付体验，学校又与中国银联合作，打造了移动支付在校内各类场景的全面受理能力，使用基于校园卡平台的银联标准支付作为校园卡支付方式的补充，实现了统一支付通道，进一步丰富了校园支付的能力。

系统介绍

　　总体设计

　　以现有校园卡平台的准金融级消费系统为依托，介质管理平台、能力开放平台、聚合支付平台为基础，搭建了一个能适应不同场景的平台，提高服务质量，降低人力成本和时间成本。

　　能力开放平台：提供基于校园卡系统的能力开放服务，将内部系统数据提供给第三方系统软件使用，使之能方便、快捷地与校园卡系统对接，提高开发效率；提供ISV能力接入，便于不同代理商的统一管理、统一授权、统一接入，实现可管可控；提供开发者资质申请、API授权、数据项授权、安全访问控制等功能。

　　介质管理平台：对用户授权的每种介质进行管理，例如校园卡实体卡、指纹、NFC校园卡、刷脸等。平台记录介质的状态、时间、详细信息等。

　　聚合支付平台：解决用户多个支付方式带来的繁琐及商户多个管理端带来的管理成本，减少用户与商户的操作步骤与增强用户与商户的使用便利。为全体师生提供快捷、高效、方便的聚合支付服务。

　　校园POS终端管理与监控平台，提供综合的功能管理和安全的性能监测，管理员可以对POS终端进行远程管理，总体架构如图1所示。大致可分成三层结构：终端接入层、基础服务层以及数据智能分析层。

　　终端接入层：提供开放接口供POS终端或者终端管理系统接入。通过集成不同品牌不同型号POS终端的数据接口和通信协议，实时采集设备的运行状态数据等。这一层的功能可以提供功能丰富的接口，支持多种品牌多种型号的POS终端设备的接入，同时允许第三方终端管理系统接入。

　　基础服务层：提供对POS终端相关业务参数的管理和配置。包含软固件升级、资产管理、运行监控、故障分析、远程管理、餐次方案管理、消费费率管理、黑白名单管理、终端入网管理、终端支付认证介质管理等终端运行维护管理功能。

　　数据智能分析层：对POS终端的故障次数、故障原因、设备性能进行分析，实现对设备运行质量的客观评价，为POS终端设备的运行质量考核提供参考依据，可为后续终端设备的采购选型提供数据支撑，最终提高智能化、数字化的综合管理水平，达到提效降本的目的。

　　平台功能介绍

　　1.参数配置，主要是获取终端网络连接、软网关IP、软网关端口等业务参数。当POS终端设备联网时，该模块可以远程配置终端的参数，主要包括对终端设备的参数获取、下发和维护。可根据终端的位置、型号、软硬件版本等对终端设备进行操作。

　　2.资产管理，主要有对终端类型、终端参数配置、数据库配置、固件版本、软件版本等信息的管理，终端历史参数配置记录、固件升级记录、软件升级记录、终端告警日志等。

　　3.软固件升级，不仅负责不同型号终端设备的升级包管理、硬件版本的检测以及终端远程固件升级，而且用于检测POS终端当前的软件版本、更新软件升级包并将服务器端的升级文件发送至终端，协助终端完成升级。

　　4.权限管理，落实不同类型用户不同权限，确保系统的安全性。针对不同的用户类别和级别设置不同的权限，可以划分为三类用户：应用用户、运维用户和管理用户。

　　5.餐次方案管理，主要用于食堂消费，一般食堂的营业时间是有时间段的，并且存在不同时段产生的营业额归属于不同商户的情况。通过餐次方案的管理，用户可按实际使用情况设置POS机。

　　6.消费费率管理，根据用户身份类型设置消费费率，可增加、修改和查询系统的消费费率类型，也可对校内师生定制定向营销活动，福利师生。

　　7.黑白名单管理，黑白名单的配置、下发、新增、修改、查询等。

　　8.终端入网管理，用户通过平台提供的入口，线上发起终端加入申请，通过能力开放平台对接的第三方POS终端也必须注册，只有审核过的设备才能进行支付和认证。

　　9.终端支付认证介质管理，主要对不同POS终端设备授权支付和身份认证的模式和权限，第三方终端管理系统的权限控制等。

　　10.商户中心，用户可查看所属名下的终端设备，终端入网申请进度，解除久置不用的终端设备的入网资格等。

　　终端入网审核场景描述

　　 POS终端入网主要涉及两大类设备，一类是纯硬件终端的接入，此类设备的接入需终端管理平台已支持该类终端的通讯协议。另一类是系统级对接的终端，第三方系统通过能力开放平台与终端管理平台、校园卡平台交互，为方便统一管理终端并确保终端的合法性，此类终端在正式使用前也须进行入网申请。POS终端设备在页面上注册，经管理员审批后将终端的信息加入终端管理系统，加入后终端才能使用与校园卡相关的认证和支付能力。终端入网申请时需填写的信息主要有终端品牌、终端型号、MAC地址、终端认证支付方式是否是第三方系统对接、可支付认证的介质方式等。

　　终端参数配置

　　CPU卡设置终端参数。通过POS终端管理平台的CPU卡读写模块将终端MAC地址、密钥、不同型号版本的POS终端配置参数信息写入CPU卡。CPU卡对POS终端设备进行参数设置时，终端能获取并识别CPU卡里的信息，然后双方互相进行安全认证。具体如下：POS终端寻找卡片，一旦检测到卡片，验证卡片的合法性，如果合法在终端的液晶屏上显示CPU卡内存储的POS终端型号、软件版本、MAC地址，操作员确认信息正确性。CPU卡验证POS终端，验证通过则按照操作员的操作将配置参数传送给终端，实现终端一键设置参数的功能。

　　二维码设置终端参数。在移动端App上选择POS终端的型号和软件版本，移动端App通过与服务器的信息交互生成包含密钥、参数配置信息，以及能被终端识别的二维码。移动端App展示二维码，POS终端扫描识别二维码，识别成功后，终端根据当前的网络状态以及终端接入形式转到不同的分支程序进行处理。若POS终端联网，提交至服务器验证，若是以第三方终端系统形式接入的设备，则将信息通过能力开放平台发送至第三方终端系统，由第三方终端系统按照通讯协议完成配置操作。若POS终端脱机，平台兼容的终端设备可由终端验证，验证通过后将配置信息写入终端；第三方系统形式接入的终端，则需要手动配置。

技术难点

　　双密钥

　　加密是指使用密码算法对数据做交换，只有密钥持有者才能恢复数据的面貌，从而防止信息的非授权泄漏。CPU卡是一种加密性很好的IC卡，它不仅具有逻辑加密卡的所有功能，更具有逻辑加密卡所不具备的高安全性、灵活性以及支持应用扩展等优良性能，它采用目录控制方式进行规划使用。为了更加安全可靠地对CPU卡进行管理，CPU卡内部建了两个文件目录。第一文件目录中存放主控密钥文件和设备型号软件版本文件；第二文件目录中存放主控密钥文件和不同设备对应的具体参数文件。当访问不同的目录时需要验证该目录的主控密钥文件，访问第二文件目录时需在第一个文件目录主控密钥文件被验证通过的基础上。POS终端和CPU卡都拥有双密钥，双方通过两对密钥双向认证硬件的合法性并获取信息，提高了安全性，从而确保杜绝伪造终端、伪造卡片等情况。

　　终端认证二维码

　　移动端App的二维码信息直接从服务器获得生成，POS终端联机时直接将二维码的信息上传到服务器，由服务器认证数据的合法性、有效性以及后续操作流程，构成了一个闭环处理。终端由于网络问题或者已申请入网但未被设置造成脱机时，就打破了这种闭环，增加了风险。POS终端没有网络或者脱机时，增加了终端被恶意修改的风险，为保证可靠性，只有终端管理平台兼容的硬件终端并且已经被审核允许入网的设备，才能实现本地验证并完成配置。

　　（责编：陈荣）

　　（作者单位为浙江大学信息技术中心）