虚拟校园卡在高校应用探索与分析
来源:北京师范大学信息网络中心 作者:王兴建 符佳佳 田小萍 发表于:2017.09.30 7782浏览
校园一卡通系统集电子支付、身份识别于一体,通过对学校人、财、物等资源的整合与共享,满足师生生活、教学、科研、管理等多个领域的使用需求,实现“一卡在手、走遍校园”。经过十多年建设,北京师范大学校园一卡通系统在报到注册、图书借阅、机房上机、四六级报名、辅修缴费、自助文印、食堂就餐、浴室水控、超市购物、宿舍门禁、水电网费、校内就医、体育锻炼等13大类应用范围拓展和深化,积极推进移动化、自助化服务,更加凸显安全、智慧、便捷。
以北京师范大学学生卡为例,2016年学生补卡1.4万张,人均年补卡0.5张。大量的学生丢卡率,去现场人工或设备自助补卡造成的不便以及去食堂、图书馆等场所忘记携带校园卡的情况使得对非卡片介质虚拟校园卡需求愈发强烈。
基于动态二维码的技术已大量应用于微信和支付宝等金融以及身份认证领域,具有成熟和安全的解决方案。在终端方面,各一卡通厂商陆续推出支持二维码正扫(用户手机扫描POS机二维码,即账号码)和反扫(POS机扫描用户手机二维码,即付款码)的多媒体POS终端等设备,使得虚拟校园卡在软硬件方面都已经具备成熟条件。
一、虚拟校园卡形式比较
1、NFC校园卡
现有非实体卡片的虚拟校园卡除了扫码方式,还有NFC方式。后者是通过与移动运营商合作,更换支持NFC的手机NFC-SIM卡,并在手机上安装运营商钱包类APP软件,通过在校园卡系统里增加一个虚拟副卡账户,从而实现NFC刷卡支付。
尽管NFC安全程度高、可离线刷卡,但NFC技术本身却存在许多问题。首先苹果手机不开放NFC功能,不同厂商NFC-SIM卡之间兼容问题,各运营商之间NFC-SIM卡的排他性设置,对手机品牌型号以及安卓系统版本之间的严格限定,最后导致校园一卡通系统在实际推广NFC时往往只有不到5%左右的手机支持此功能,因而NFC一直未在校园一卡通系统中广泛普及。
扫码支付方式经由微信和支付宝的长期推广,安全性得到了验证,消费者习惯了扫码支付(正扫和反扫),在师生中推广时比较方便也易于接受。扫码方式的虚拟校园卡现有两种形式,一种是类似“支付宝”式的手机APP,另一种是基于微信企业号和微信卡券的模式。
2、校园卡APP
手机APP方式通过身份鉴权登录,登录对应学工号的用户身份,付款或进行身份识别时有2种方式。第1种是反扫,通过APP打开动态二维码,在多媒体POS机(图1)上扫码鉴定,这种方式手机脱机运行,适合于用户网络条件不够理想的人员密集场所;第2种方式是使用APP扫描商户固定二维码进行支付,这种方式商户只需在一卡通系统中进行开户,无需安装POS机及网络,只需用户手机联网即可进行支付。
3、微信企业号+微信卡券
随着微信在师生中的大量普及使用,尤其是微信企业号强大的微身份与微应用功能以及微信卡券动态二维码的支持,使得微信企业号+微信卡券的模式成为了一种重要的虚拟校园卡形式。此种方式用户无需安装APP,省去了安装与APP更新的影响。师生只需关注并认证微信企业号,绑定自己的身份,并按照引导领取虚拟校园卡(微信会员卡)。
当进行电子支付或身份识别时,只需点击微信卡包—会员卡—虚拟校园卡,调用一卡通手机APP内的动态二维码接口,显示一个动态二维码给多媒体POS机进行扫码交易。由于微信企业号进行了身份认证,同理也可以微信扫描商户固定二维码,该二维码对应的URL 链接在微信里打开后,通过接口调取用户身份以及商户身份,输入金额后即可实现用户消费。
使用微信卡券相比APP,无需安装与升级,并可直接在消费后及时通过微信消息进行推送,实现支付、消息推送的综合应用场景。
二、虚拟校园卡交易流程
虚拟校园卡交易流程分为正扫商户码(图2)和反扫付款码两种。其中正扫商户码流程图如下所示:商户提供固定商户码,或者输入金额生成动态二维码,手机扫描商户码获取商户信息。组合交易数据后,向支付平台发起交易请求,支付平台进行数据验证后向一卡通后台发起交易请求。
一卡通后台对交易处理后返回交易结果给支付平台,提供给手机端查询。与此同时,POS机向网关查询交易结果,网关向支付平台进行查询,并将最后结果返回给POS机并进行显示交易结果。支付完成后,支付平台将交易通知消息网关,消息网关通过短信、微信或APP内通知等方式向手机发送交易提醒。
其中反扫付款码流程如图3所示:手机生成动态二维码,POS机扫描二维码进行认证。POS机数据验证完成后向网关发起交易请求,网关再向一卡通后台发起交易请求。一卡通后台对交易处理后将交易结果返回给网关,网关再将结果返回给POS机以显示交易结果。于此同时,网关将交易结果返回给支付平台,支付平台将交易结果提供给手机查询。支付完成后,支付平台将交易通知消息网关,消息网关通过短信、微信或APP内通知等方式向手机发送交易提醒。
三、虚拟校园卡应用场景分析
无论是手机APP还是微信卡券,其基本原理都是动态二维码扫描。虚拟校园卡的应用场景与现有实体卡片基本一致。在身份识别类场景中,以访问图书馆为例,需对图书馆通道闸机增加二维码扫码盒子,通道闸机系统对接扫码盒子3识别接口。
师生到达图书馆后,打开APP或微信校园卡里的动态二维码,并在闸机扫码盒子前扫描,扫码盒子对应后台调用一卡通动态二维码接口获取对应用户身份,并返回给通道闸机系统。通道闸机系统得到用户身份后,进行与刷卡相同的是否打开闸机的后续操作。
电子支付类,以食堂消费为例,商户POS机需更新为支持扫码的多媒体POS机,并根据场景需要使用扫码盒子或扫码枪。师生在点选饭菜后,食堂工作人员在多媒体POS机上输入消费金额,师生使用手机一卡通APP或微信校园卡出示动态二维码在扫码设备上扫描完成支付。此场景对食堂工作人员的操作并无变化(实际用户此时使用校园卡刷卡也同样可以完成支付),师生为节省时间可在排队的时候就打开动态二维码,在多媒体POS输入消费金额需要支付时即可直接完成扫码操作。
与使用校园卡刷卡类似,在超过一定金额需要输入消费密码的时候,可在POS机上输入消费密码完成较大金额支付。
四、虚拟校园卡与实体卡片之间的关系
尽管虚拟校园卡使用更为方便,但在很长一段时间内实体校园卡与虚拟校园卡仍将同时存在。
例如在浴室喷头等不便于使用手机的场所,实体卡片依然有其更适合的使用场景。在证明师生身份时,卡片相比手机APP或卡券更容易被接受。实体卡可进行写卡操作,支持脱机交易,对网络实时性依赖相对较低;而虚拟卡依赖网络互连互通,在遇到网络故障时无法保证交易进行,从而对校园卡系统网络稳定性提出了更高要求。
虚拟校园卡需要在现有一卡通系统里增开一个副卡账户,该账户余额与主卡独立,使用需单独充值,或者调用银行卡或第三方支付进行扣款。
五、虚拟校园卡安全与风险
微信和支付宝的扫码支付曾一度被央行叫停,各一卡通厂商在推进扫码支付时的态度也非常谨慎,进度比较缓慢。但随着2016年央行发布《条码支付业务规范》征求意见稿,中国银联发布《中国银联二维码支付安全规范》和《中国银联二维码支付应用规范》,扫码支付得到官方的认可,扫清了政策障碍。从官方规范可看出,扫码支付适合小额频繁支付场景,师生在遇到手机丢失等情况时亦可在线及时挂失从而避免更多损失。
以往校园一卡通系统往往封闭在校园内网中,避免了大部分来自互联网的直接攻击。但由于手机使用网络场景的多样化,虚拟校园卡需要将一卡通系统部分接口暴露在互联网上。一卡通系统厂商一方面应加强接口的安全措施,使用技术手段避免非APP和微信内调用;另一方面接口数据传输时应全程使用SSL加密措施,避免数据被截取。
在正扫和反扫场景中,正扫商户码虽然商户要求较低,但风险较高,用户手机容易遇到钓鱼或恶意木马链接二维码,需要虚拟校园卡系统进行及时的识别并拦截,避免用户遭到不必要的损失。正扫商户码在未确保解决安全问题的情况下建议暂不做开放,而是推广反扫付款码的形式。
六、结语
随着扫码支付行业规范的逐渐确定,有支付宝和微信支付等扫码支付习惯的养成,一卡通系统可增加虚拟校园卡子系统,进行升级POS机、增加扫码盒子或扫码枪等硬件更新。未来几年内基于二维码的虚拟校园卡将在各高校校园里推广普及。手机APP与微信企业号加微信卡券形式各有优劣,高校亦可同时部署推广。与此同时,一卡通厂商应参考行业规范,加强接口与数据传输安全,确保师生使用虚拟校园卡既方便又安全。
北京师范大学虚拟校园卡APP与多媒体POS机的二维码正扫和反扫方案已于2016年集成测试完毕,目前正在研发与微信企业号卡券功能集成。北京师范大学微信企业号2014年上线至今,师生关注率与活跃程度较高,尤其是本科生达到98%关注率,因此虚拟校园卡将主推微信校园卡方案,研发完毕并进行校内小规模试用后将正式面向全校师生发布。(《华中师范大学学报(自然科学版)》)