文/張妍 楊傳斌

微信校園卡已于近期在各大高校正式上線。它區(qū)別于傳統(tǒng)的校園一卡通系統(tǒng)，是由微信卡包推出，并聯(lián)合騰訊微校提供的低門檻校園線上線下服務解決方案的一種虛擬卡[1]；能夠借助于微信龐大的用戶基礎及連接一切的能力，將是革新學校管理模式及用戶生活體驗的最佳載體。微信校園卡目前可實現(xiàn)的通用功能是身份識別、消費支付及信息查詢，需要在高校完成卡片投放，學生在領卡與激活綁定身份之后方可投入使用。在給廣大師生提供便利與安全保障的同時，真正實現(xiàn)無卡化校園生活。而微信校園卡的信息化服務被限制在本校，高校之間的合作交流卻被阻隔開來。因此，為了實現(xiàn)跨學校的應用，需要通過跨學校的身份認證漫游系統(tǒng)，建立統(tǒng)一的身份互認機制，使得一所學校的卡在其他學校也能使用。

Enamoured（全球教育無線網絡漫游聯(lián)盟）致力于為全球大學和科學研究機構提供安全、免費的全球無線接入服務，參與聯(lián)盟的機構成員只需使用本機構的合法賬號，即可在全球已參與eduroam計劃的機構內實現(xiàn)無線網絡訪問的無障礙漫游。本系統(tǒng)將基于eduroam無線聯(lián)盟實現(xiàn)微信校園卡用戶的漫游認證與管理，建立高校間微信校園卡的互聯(lián)互通。

微信校園卡漫游認證系統(tǒng)

eduroam無線漫游認證機制

eduroam 聯(lián)盟基于802.1X與 RADIUS 代理服務器架構，在實現(xiàn)漫游認證過程中需要經過TLR（頂級服務器）、FLR（聯(lián)盟服務器）、ILR（區(qū)域服務器）以及ULR（用戶服務器）與其IdP（身份提供者）、SP（服務提供者）、UID（用戶身份）等部分[2]。其中FLR（聯(lián)盟服務器）通常負責一個地區(qū)或一個國家的認證轉發(fā)；ILR（區(qū)域服務器）負責聯(lián)盟內某個區(qū)域的認證轉發(fā)。IDP（Identity Provider）主要作用是向服務提供者提供用戶的屬性，以便使服務提供者根據其屬性對其訪問操作進行授權和響應；SP（Service Provider）主要作用是響應用戶的訪問請求，并向該用戶所在的 IDP 查詢用戶的屬性，然后根據屬性作出是否通過訪問的決策。

以來自于B機構訪客訪問A機構的無線網絡為例，在此樹形架構下接入漫游網絡的認證過程如圖1：

B機構的訪客嘗試向A機構提交無線漫游認證信息；A機構的SP服務器在接收到認證請求后對認證信息進行判斷，向上級轉發(fā)至聯(lián)盟服務器FLR；用戶B從聯(lián)盟服務器的機構列表中找到他的源組織（IdP-B）;聯(lián)盟服務器把用戶B重定向到位于源組織上的 IdP-B 服務器上；根據本地的規(guī)則和方法，對用戶B進行認證；認證完成后IdP-B把用戶B重定向到SP-A；SP-A收到用戶的身份信息后，允許認證成功用戶B訪問A機構無線網絡。

微信校園卡漫游認證機制

校園網作為微信校園卡系統(tǒng)系統(tǒng)與智慧校園應用系統(tǒng)集成的承載平臺，可進行數(shù)據交換和共享傳遞。一般采取各部門級的應用子系統(tǒng)以VLAN 的方式接入校園網，占用局域網內的一個邏輯網段實現(xiàn)虛擬工作組，從而滿足微信校園卡系統(tǒng)與智慧校園各應用系統(tǒng)的連接。全國高校內已經開通使用的微信校園卡將利用eduroam無線漫游認證功能建立互認機制，要求以加入eduroam 無線聯(lián)盟的高校為必要前提，高校內部建立數(shù)據交換（認證代理）平臺，聯(lián)盟內高校用戶信息（IDP集群）同步至數(shù)據交換平臺內。學生在外校使用微信校園卡時，需在本校事先完成領卡及激活綁定身份的操作，確認本校已有該用戶數(shù)據的記錄。B校學生想要進出A校的圖書館或者在A校的食堂就餐，首要進行二維碼掃碼識別的步驟，A校方在接收到訪問請求時，判斷為非本校用戶后，將認證請求同時通過已授權的微信后臺轉發(fā)至數(shù)據交換（認證代理）平臺，平臺內部的高校IDP集群收到認證請求同時對該學生信息進行判斷，將用戶B的身份信息定向到B校，B校在身份認證通過后，根據認證請求路徑返回確認結果，掃碼機通過二維碼的掃描操作，完成一碼通兩校。

圖1 eduroam無線漫游認證流程

圖2 微信校園卡漫游認證流程

微信校園卡漫游認證系統(tǒng)投放功能的設計

身份識別功能

微信校園卡的身份識別主要作用在圖書館閘機出入、門禁刷卡、自助考勤等，代替實物卡在微信APP中引入原生動態(tài)二維碼機制，通過微信自身維持其穩(wěn)定性和運行環(huán)境的安全性。使用過程中防止多人用一碼或二維碼被盜用的現(xiàn)象發(fā)生，每個二維碼的有效時間及學工單位的入閘頻次被加以限制，同時掃碼的過程確保網絡暢通，以便順利通過身份認證。主要流程為用戶通過手機調用微信卡券靠近掃碼機，閘機在識別二維碼后將18位動態(tài)數(shù)字發(fā)送至本地后臺與微信服務器建立連接，解析得到對應學工號推送給閘機校驗后臺，后臺經過認定該學工號具有入閘權限后，更新用戶最新數(shù)據后入閘機具完成開閘行為。校內閘機硬件的構成兼有校園一卡通刷卡與微信二維碼掃碼兩種設備，給予師生在申請通過閘機時擁有自由選擇實物卡或手機的權利[4]。

一般情況下外校師生想要使用微信校園卡被拒絕通過的，漫游認證系統(tǒng)功能下高校間建立互認關系，可啟動遠程認證非本校用戶，認證通過后則等同本校微信校園卡做身份識別類應用管理，默認為校級認證。異校入閘的基本流程在本校入閘的基礎上，增加已建立互認關系的高校間用戶數(shù)據交換這一重要環(huán)節(jié)?？ㄈ笈_通過接收到的二維碼序號對應用戶學工信息，在判斷是否為本校用戶，本校用戶則直接通過認證返回真實code至閘機；異校用戶則轉發(fā)至數(shù)據交換平臺，聯(lián)盟內高校同時接收到認證請求，對接成功后將認證結果返回到卡券后臺，再完成入閘操作。如圖3所示。

消費支付功能

原生微信支付功能不受一卡通系統(tǒng)問題的束縛，無需擔心因實物卡的丟失而造成財產上的損失，這一安全性問題成為制約移動支付在高校各個場景中推行的關鍵因素?；趯W校統(tǒng)一身份認證系統(tǒng)與卡券服務平臺之間的無縫配對，實現(xiàn)中也可以通過微信企業(yè)號中轉，通過微信支付中引入微信校園卡接口，使得支付發(fā)起的過程中，后臺能夠根據用戶的學工號實時獲取微信校園卡狀態(tài)，對用戶信息加以判斷[5]。消費過程中收款方在支付機器中手動輸入消費總金額，用戶從微信校園卡或是直接從微信錢包調出二維碼支付界面，將手機靠近掃碼機，完成帶有身份識別功能的支付行為。

圖3 微信校園卡漫游認證入閘流程

異校消費應用的實現(xiàn)，意味著當系統(tǒng)判斷微信校園卡持卡人是外校人員，將不再終止支付，而是根據其他各高校對應的優(yōu)惠比例，重新核算消費金額并完成消費。本校的收費標準默認為1，外校師生則需要增收5%的管理費，即消費標準變?yōu)?.05。身份認證的步驟等同于入閘過程中身份認證的環(huán)節(jié)，認證失敗或無未認證卡片，則無法完成支付。如圖4所示。

圖4 微信校園卡漫游認證消費支付流程

微信校園卡已經順利進入國內眾多高校，并接到多所大學的上線申請。它的落地不是為了取代校園卡實體卡片，而是應對用戶需求進行系統(tǒng)的升級與改造，進一步打通學校整體數(shù)據、提供線上服務以及提升產品體驗。無卡化給師生們帶來的諸多便捷，減少了丟卡的損失與補卡的麻煩；同時大大減少學校信息化的投入，無需服務器和專門的網絡。微信校園卡的漫游認證系統(tǒng)在一碼通全校的基礎上實現(xiàn)一碼通全國，本文在現(xiàn)有eduroam無線聯(lián)盟的基礎架構上，基于校方建立遠程代理認證，擴大微信校園卡的應用范圍，獲得更全面的學生在校數(shù)據，加速高校間的信息交流與資源共享。校園無卡化的進程不是一朝一夕就能達成的，校際無障礙交流更是需要針對師生多樣化的訪問需求逐步實現(xiàn)。