◆朱龍舜

（東南大學(xué)成賢學(xué)院 江蘇 210088）

校園一卡通系統(tǒng)信息安全維護(hù)方案之研究

◆朱龍舜

（東南大學(xué)成賢學(xué)院 江蘇 210088）

校園“一卡通”，就是指學(xué)生身處學(xué)校之內(nèi)，借助一張卡就可以對其身份進(jìn)行識別與確認(rèn)，這一卡是對現(xiàn)金與票證的取代，達(dá)到了“一卡在手，走遍校園”的目的。校園一卡通系統(tǒng)不僅僅是數(shù)字化校園的基礎(chǔ)工程，也是教育信息化建設(shè)工程實(shí)現(xiàn)的基礎(chǔ)工作。維護(hù)信息的安全性必須有相關(guān)的技術(shù)以及管理手段的配合，這就是校園一卡通系統(tǒng)長期處于安全的模式中，為數(shù)字化校園的建設(shè)工作提供優(yōu)質(zhì)的服務(wù)。

校園一卡通；信息安全；維護(hù)；方案；研究

0 引言

近些年，校園一卡通系統(tǒng)可以被視為數(shù)字化校園的基礎(chǔ)性工程之一，其已經(jīng)成為數(shù)字化校園系統(tǒng)的關(guān)鍵性組成成分，而積極維護(hù)信息的安全性是校園一卡通系統(tǒng)存在的命脈，也是提高大學(xué)生對校園一卡通使用頻率的有效手段之一。本文作者對現(xiàn)已經(jīng)形成的校園一卡通整體方案進(jìn)行研究[1]，為促進(jìn)校園信息化建設(shè)工程事業(yè)的發(fā)展提供理論性的支持材料。

1 卡安全

IC卡可以作為電子錢包以及身份辨別的基本媒介，是校園一卡通系統(tǒng)的基礎(chǔ)組成成分，其安全指數(shù)的高低與整個系統(tǒng)是否有效、順利運(yùn)轉(zhuǎn)息息相關(guān)，也就是說IC卡的安全性與學(xué)校和學(xué)生個體的利益有直接的關(guān)聯(lián)。而在信息安全維護(hù)方案中，主要預(yù)防偽卡、卡中數(shù)據(jù)信息被隨意改動現(xiàn)象的發(fā)生。據(jù)相關(guān)資料顯示，如果IC卡信息安全維護(hù)方案中使用的是 LEGIC 非接觸式 IC卡，那么這一IC 卡的所儲藏信息的安全性就有了一定的保障，對其原因進(jìn)行分析，本文作者做出了如下的概括：

一是IC卡的序號固定化，這樣人為因素就很難對其進(jìn)行改動，從而提高了校園一卡通信息的安全性；二是在IC卡、讀寫器兩者之間，應(yīng)用的是符合ISO9789國際標(biāo)準(zhǔn)的3次互感校驗(yàn)技術(shù)，此時IC卡與讀寫器對彼此的合法性進(jìn)行有效的驗(yàn)證，這樣學(xué)生在發(fā)送信息，進(jìn)行數(shù)據(jù)交易處理時 LEGIC 非接觸式 IC 卡自行的完成與讀卡器3次相互認(rèn)證這一工作內(nèi)容，此外 DSA 算法的引進(jìn)與應(yīng)用，使信息在通訊的整個進(jìn)程中處于加密的狀態(tài)中，這樣IC卡中的信息就不會被非法修改，此時最大限度的維護(hù)了校園一卡通系統(tǒng)信息的安全性；三是校園一卡通的IC卡采用授權(quán)方式對信息讀寫進(jìn)行管理與控制，就是信息讀寫設(shè)施的啟用之前必須獲得設(shè)施授權(quán)卡的授予，繼而完成對本系統(tǒng)IC卡信息讀寫的目標(biāo)，而對于初始化的校園IC卡來說，其必須有上級授權(quán)卡的授權(quán)，而且其只能在專一性的授權(quán)設(shè)施上運(yùn)。該授權(quán)形式所設(shè)置的密碼永遠(yuǎn)不會被破解或者是被消除，此時校園一卡通的各級系統(tǒng)只要擁有授權(quán)卡、管理卡，并且其專用設(shè)施沒有被非法盜取使用，那么校園一卡通系統(tǒng)信息的安全維護(hù)工作就落實(shí)到位了。

2 交易數(shù)據(jù)的安全性

2.1 POS 機(jī)中的交易數(shù)據(jù)的安全存儲

為了使校園一卡通中所儲存的交易數(shù)據(jù)具有一定的安全性，POS 機(jī)內(nèi)部應(yīng)該擁有較大容積的非易失性存儲空間，其主要是對脫機(jī)記錄與黑名單進(jìn)行保存。如果校園一卡通數(shù)據(jù)存儲器空閑的空間不足之時，POS 機(jī)就會自動的發(fā)出預(yù)示信號；當(dāng)存儲器已經(jīng)被大批量的數(shù)據(jù)信息填滿之時，POS 機(jī)就會自行的發(fā)出預(yù)警信號并拒絕一切消費(fèi)行為的產(chǎn)生，借此去使已存儲信息具有一定的安全性。

2.2 交易記錄的安全傳輸

為了防止校園一卡通的交易記錄在從POS 機(jī)傳送至數(shù)據(jù)通信網(wǎng)關(guān)的過程中被隨意的改動，進(jìn)而對交易記錄的安全性造成威脅。而在尋常的POS 機(jī)內(nèi)部，當(dāng)有一筆交易記錄產(chǎn)生并上傳之時，每一筆交易記錄都采用了 16 位 CRC這一校驗(yàn)方式；如果POS 機(jī)內(nèi)部設(shè)有 PSAM 卡，此時再有交易記錄產(chǎn)生并傳輸之時，PSAM 卡就對校園一卡通所記錄的信息進(jìn)行加密與校驗(yàn)工作，最后將其上傳至數(shù)據(jù)通信網(wǎng)關(guān)中，此時數(shù)據(jù)通信網(wǎng)關(guān)在對信息的校驗(yàn)碼進(jìn)行驗(yàn)證，以提供信息的安全性、合法性以及完整性。

學(xué)生在對校園一卡通進(jìn)行使用之時，在互相發(fā)送信息的時候經(jīng)常會因?yàn)榫W(wǎng)絡(luò)故障問題而使正在傳輸?shù)男畔?shù)據(jù)丟失，那么在對POS 機(jī)這一硬件設(shè)備進(jìn)行設(shè)計(jì)的時候應(yīng)該額外增設(shè)重復(fù)采集這一功能。這樣即使在對脫機(jī)交易數(shù)據(jù)信息進(jìn)行流水式采集時，發(fā)揮作用的只有移動指針，采集工作結(jié)束之時流水式的信息也能夠完整的存儲于校園一卡通數(shù)據(jù)存儲器系統(tǒng)的內(nèi)部，這一方案的設(shè)計(jì)使校園一卡通系統(tǒng)一次性的完成對所有信息或者是特定范圍內(nèi)信息的采集工作。眾所周知，校園一卡通系統(tǒng)中信息丟失的主要原因之一就是存儲芯片中數(shù)據(jù)指針丟失而導(dǎo)致的，那么就校園一卡通系統(tǒng)信息安全維護(hù)方案的設(shè)計(jì)人員就可以將數(shù)據(jù)指針在存儲器的不同方位進(jìn)行設(shè)置與保存，這樣只要一處數(shù)據(jù)指針存在，那么系統(tǒng)信息讀取的正確性就有了很大的保障，也就是說達(dá)到了對校園一卡通系統(tǒng)信息安全性維護(hù)的目標(biāo)。

3 網(wǎng)絡(luò)安全

校園一卡通系統(tǒng)可以被視為一種綜合性應(yīng)用服務(wù)管理平臺，其可以將多種類型的信息采集在一起，并對其進(jìn)行高效的運(yùn)用，這一平臺與學(xué)校正在應(yīng)用的其他類型的管理信息系統(tǒng)有機(jī)的整合在一起，這是對長期處于分散模式的各種管理信息系統(tǒng)完善的重要手段之一，那么在對校園一卡通系統(tǒng)信息安全維護(hù)方案進(jìn)行設(shè)計(jì)之時，其網(wǎng)絡(luò)框架的建立健全需要有校園網(wǎng)的大力輔助與支持。而校園一卡通系統(tǒng)運(yùn)行的最大特點(diǎn)之一是完成大數(shù)額的數(shù)據(jù)信息在系統(tǒng)中心服務(wù)器和消費(fèi)子系統(tǒng)、各個服務(wù)子系統(tǒng)終末端之間的傳輸工作，因此，就應(yīng)該在網(wǎng)絡(luò)的方面去使數(shù)據(jù)信息傳輸?shù)陌踩?、及時性以及順暢性有更大的保障，此時校園一卡通系統(tǒng)的中心服務(wù)器就很難受到外界環(huán)境的干擾與侵害，這是構(gòu)建安全性校園一卡通系統(tǒng)的關(guān)鍵性方案之一。對校園一卡通系統(tǒng)信息安全隱患進(jìn)行分析，校園網(wǎng)內(nèi)所帶來的危害是極為嚴(yán)重的，此時網(wǎng)絡(luò)分段、防火墻的設(shè)置于安裝、防病毒體系的建立健全，上述網(wǎng)絡(luò)安全策略的落實(shí)與應(yīng)用，可以最大限度的提高網(wǎng)絡(luò)的暢通性與安全度，那么我們可以推測的是此時校園一卡通系統(tǒng)運(yùn)行的需求就有了基礎(chǔ)性的保障，這是對系統(tǒng)信息安全性維護(hù)的最有效方式之一[2]。

（1）網(wǎng)絡(luò)分段

這是對網(wǎng)絡(luò)內(nèi)部安全隱患問題解決的簡易措施，其應(yīng)用的價值是使無關(guān)用戶與網(wǎng)絡(luò)資源永遠(yuǎn)處于相對對立、互不干擾的狀態(tài)中，這樣無關(guān)用戶就不可能達(dá)到對數(shù)據(jù)信息獲取的目標(biāo)。網(wǎng)絡(luò)分段一般有兩種形式，即物理分段與邏輯分段，VLAN 技術(shù)的應(yīng)用使邏輯分段的作用充分的體現(xiàn)出來，此時校園一卡通系統(tǒng)就根據(jù)自身的需求對虛擬網(wǎng)段進(jìn)行適當(dāng)?shù)恼{(diào)整，以此去達(dá)到信息點(diǎn)地點(diǎn)變動的需求。

（2）防火墻的設(shè)置

防火墻可以被視為一個分離器、限制器，分析器。作為一種行之有效的網(wǎng)絡(luò)安全模型，其可以將非信任網(wǎng)絡(luò)與信任網(wǎng)絡(luò)有效的連接在一起，而學(xué)生對風(fēng)險區(qū)域的訪問權(quán)限不會受到任何的制約?？傊阑饓Φ慕ㄔO(shè)是提高校園一卡通網(wǎng)絡(luò)安全性的有效對策之一。而防火墻的功能是多樣化的，例如對進(jìn)出口的數(shù)據(jù)信息包進(jìn)行有效的過濾；對經(jīng)由防火墻的數(shù)據(jù)信息進(jìn)行詳細(xì)而有效的記載；對特殊站點(diǎn)的訪問權(quán)限進(jìn)行約束，以阻止盜取校園一卡通系統(tǒng)信息的行為進(jìn)行禁止。

（3）數(shù)據(jù)儲存安全體系的建設(shè)健全

數(shù)據(jù)是校園一卡通系統(tǒng)的核心成分，其安全性的高低直接作用于該系統(tǒng)，影響整個系統(tǒng)運(yùn)行的狀態(tài)。數(shù)據(jù)一般是由人工輸入以及系統(tǒng)自動產(chǎn)生。這一體系的建立健全使子系統(tǒng)中存在的交易消費(fèi)等歷史信息完整的記錄下來。

4 結(jié)束語

校園一卡通系統(tǒng)與學(xué)生的校園生活密切相關(guān)，該系統(tǒng)作為目前中國高校信息化建設(shè)的首要內(nèi)容，其信息維護(hù)工作的開展是迫在眉睫的工作項(xiàng)目，研究的方向是多樣化的，本文作者只是淺談幾點(diǎn)而已，維護(hù)信息安全方案的科學(xué)、合理設(shè)計(jì)與規(guī)劃，為眾多高校建立健全校園一卡通系統(tǒng)提供一定的參考，在某種程度上發(fā)揮指導(dǎo)性的作用。當(dāng)然新問題會不斷的衍生出來，校園一卡通系統(tǒng)的維護(hù)管理者應(yīng)該積極對新的信息安全維護(hù)策略進(jìn)行探索。

[1]李建，何志斌．基于校園網(wǎng)的校園一卡通系統(tǒng)信息安全策略[J]．計(jì)算機(jī)安全，2008．

[2]王國慶．基于校園網(wǎng)絡(luò)的一卡通系統(tǒng)安全解決方案的設(shè)計(jì)與實(shí)現(xiàn)[D]．電子科技大學(xué)，2010．