◆劉星海

?

高校一卡通安全策略的設(shè)計(jì)與實(shí)現(xiàn)

◆劉星海

(湖南汽車工程職業(yè)學(xué)院信息中心 湖南 412001)

高校一卡通作為智慧校園的核心系統(tǒng)，其安全策略的重要性不言而喻。本文從安全策略整體設(shè)計(jì)、卡的選擇、交易安全性、網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性、系統(tǒng)數(shù)據(jù)庫安全性、接口的安全性、系統(tǒng)數(shù)據(jù)災(zāi)難恢復(fù)機(jī)制七個(gè)方面對(duì)一卡通安全策略進(jìn)行了說明，以期提高智慧校園的安全性。

一卡通；安全策略

1 一卡通安全策略整體設(shè)計(jì)

一卡通的應(yīng)用，給學(xué)校師生、管理人員、商戶等都帶來了極大的方便，但是在使用過程中也存在數(shù)據(jù)錯(cuò)誤、數(shù)據(jù)篡改、數(shù)據(jù)泄密等安全問題，全方位的安全防護(hù)策略尤為重要。具體應(yīng)用范圍和策略如下：

系統(tǒng)架構(gòu)：數(shù)據(jù)與應(yīng)用隔離；應(yīng)用處理和數(shù)據(jù)查看范圍依用戶權(quán)限分配；全面的系統(tǒng)日志。

智能卡：芯片操作系統(tǒng)（COS，Chip Operating System）控制，芯片級(jí)硬件加/解密，不可破解；支持卡空間各分區(qū)獨(dú)立密碼。

密鑰體系：采用金融級(jí)硬件加密技術(shù)，支持國際標(biāo)準(zhǔn)加密算法和國密算法；一卡一密，一交易一密；支持多種密鑰恢復(fù)機(jī)制；多因子生成根密鑰，核心機(jī)密多人互鎖；密鑰體系備用機(jī)制。

數(shù)據(jù)傳輸：動(dòng)態(tài)密碼TAC認(rèn)證；CRC校驗(yàn)；多級(jí)緩存；HTTPS安全鏈接。

網(wǎng)絡(luò)運(yùn)行：基于虛擬局域網(wǎng)（VLAN）的局域網(wǎng)隔離；基于虛擬專用網(wǎng)（VPN）的互聯(lián)網(wǎng)隔離；物理鏈路冗余；硬件級(jí)網(wǎng)絡(luò)負(fù)載均衡。

數(shù)據(jù)存儲(chǔ)：數(shù)據(jù)庫服務(wù)器雙機(jī)冗余；磁盤陣列（一般選擇RAID 5，可更換）；重要數(shù)據(jù)混淆后入庫；自動(dòng)備份；異地備份。

容錯(cuò)管理：未決記錄驗(yàn)證；惡意消費(fèi)的識(shí)別與驗(yàn)證；從緩存數(shù)據(jù)恢復(fù)金融數(shù)據(jù)。

2 選擇卡的策略

目前市場(chǎng)上主流非接觸式IC卡分為兩種：M1卡和CPU卡。相對(duì)M1卡，CPU卡在芯片架構(gòu)、密鑰管理、數(shù)據(jù)控制和交易流程等方面均具有非常高的先進(jìn)性和安全性。CPU卡具有卡內(nèi)微處理器和芯片級(jí)操作系統(tǒng)，相當(dāng)于一臺(tái)微型計(jì)算機(jī)，不僅具有數(shù)據(jù)存儲(chǔ)功能，同時(shí)具有命令處理和數(shù)據(jù)安全保護(hù)等功能。芯片存儲(chǔ)方面，CPU卡不僅容量更大，最重要的是可針對(duì)卡片空間進(jìn)行完全獨(dú)立的分區(qū)控制，密鑰管理方式靈活，且支持多種加密算法（金融級(jí)別的加密算法）硬件加解密技術(shù)，配合密鑰管理體系的多級(jí)密鑰分發(fā)和控制，使得每一次交易均進(jìn)行密碼認(rèn)證，極大地提高了安全性。

3 交易的安全性設(shè)計(jì)

3.1 系統(tǒng)交易過程的安全設(shè)計(jì)

采用金融級(jí)的硬件加密設(shè)備，進(jìn)行數(shù)據(jù)完整性保護(hù)和驗(yàn)證。終端設(shè)備和數(shù)據(jù)通訊前置服務(wù)之間雙向認(rèn)證，加密傳輸。每一次交易都使用臨時(shí)工作密鑰，實(shí)現(xiàn)一交易一密鑰；交易過程中生成不可抵賴的唯一交易認(rèn)證碼，可有效防止數(shù)據(jù)被破壞和篡改。

3.2 POS機(jī)中交易數(shù)據(jù)的安全存儲(chǔ)

為了確保交易數(shù)據(jù)存儲(chǔ)的安全，POS機(jī)內(nèi)包含大容量的非易失性存儲(chǔ)空間，以存儲(chǔ)足夠的脫機(jī)交易記錄和黑名單。在內(nèi)部的數(shù)據(jù)存儲(chǔ)器空閑存儲(chǔ)空間不多時(shí)，POS機(jī)自動(dòng)產(chǎn)生提示信息。在內(nèi)部的數(shù)據(jù)存儲(chǔ)器已經(jīng)存滿時(shí)，POS機(jī)自動(dòng)報(bào)警并拒絕消費(fèi)，保證已經(jīng)存儲(chǔ)的數(shù)據(jù)的安全可靠。存儲(chǔ)脫機(jī)交易流水信息時(shí)，在每條記錄中增加通過加密算法生成的校驗(yàn)碼，以識(shí)別對(duì)數(shù)據(jù)存儲(chǔ)器的非法修改。

3.3 交易記錄的安全傳輸

為應(yīng)對(duì)交易記錄從POS機(jī)到數(shù)據(jù)通訊網(wǎng)關(guān)（上位機(jī)）的傳輸過程中被篡改，而發(fā)生的交易記錄的安全問題，在普通的POS機(jī)中，每產(chǎn)生及上傳一筆交易記錄時(shí)，每筆記錄中均采用16位CRC校驗(yàn)；在配置有PSAM卡的POS機(jī)中，每產(chǎn)生及上傳一筆交易記錄時(shí)，每筆記錄中均通過PSAM卡加密校驗(yàn)，然后上傳至數(shù)據(jù)通訊網(wǎng)關(guān)。數(shù)據(jù)通訊網(wǎng)關(guān)通過驗(yàn)證校驗(yàn)碼，以確保采集到的校驗(yàn)記錄的完整性和合法性。

為應(yīng)對(duì)數(shù)據(jù)傳輸過程中因網(wǎng)絡(luò)故障而導(dǎo)致的數(shù)據(jù)丟失，在POS機(jī)的硬件設(shè)計(jì)中增加重復(fù)采集的功能。即在采集脫機(jī)交易流水時(shí)，只是移動(dòng)指針，采集完畢后流水仍存在于POS機(jī)的數(shù)據(jù)存儲(chǔ)器內(nèi)，以便對(duì)全部或指定范圍的流水記錄重新采集。由于數(shù)據(jù)丟失往往是因?yàn)榇鎯?chǔ)芯片中的數(shù)據(jù)指針丟失造成的，所以需要將數(shù)據(jù)指針保存在存儲(chǔ)器中的多處不同位置。只要指針有一處存在，即可確保數(shù)據(jù)讀取正確。

3.4 數(shù)據(jù)庫中重要信息的安全驗(yàn)證

系統(tǒng)中心數(shù)據(jù)庫以及各分布數(shù)據(jù)庫中的交易記錄、賬目匯總流水等重要數(shù)據(jù)，均采用數(shù)據(jù)校驗(yàn)的方式，增加日期戳和校驗(yàn)字段，以確保在數(shù)據(jù)庫中的各種重要數(shù)據(jù)信息，不被篡改和復(fù)制等惡意操作，保證數(shù)據(jù)的真實(shí)、完整、準(zhǔn)確。

4 網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩栽O(shè)計(jì)

網(wǎng)絡(luò)數(shù)據(jù)傳輸主要從三方面保證通信和數(shù)據(jù)的安全性：

4.1 網(wǎng)絡(luò)專用，邏輯隔離

在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，使用VLAN技術(shù)進(jìn)行一卡通專用網(wǎng)的邏輯隔離劃分，使得一卡通系統(tǒng)通信數(shù)據(jù)的傳輸構(gòu)建在一個(gè)虛擬的內(nèi)部子網(wǎng)中。

4.2 通信數(shù)據(jù)加密

一卡通系統(tǒng)內(nèi)通信數(shù)據(jù)并非采用明文傳輸，是在標(biāo)準(zhǔn)通信協(xié)議的基礎(chǔ)上利用TLS技術(shù)和CA技術(shù)進(jìn)行安全連接協(xié)議補(bǔ)充和認(rèn)證加密擴(kuò)展，為數(shù)據(jù)混淆加密提供雙重保障。

4.3 網(wǎng)絡(luò)鏈路冗余

根據(jù)實(shí)際需求，可進(jìn)行網(wǎng)絡(luò)物理鏈路的冗余組網(wǎng)（如圖1所示），施行線路備份機(jī)制，單點(diǎn)故障下可無縫自動(dòng)切換通信路由，保證系統(tǒng)通信的穩(wěn)定性。

圖1 網(wǎng)絡(luò)物理鏈路的冗余組網(wǎng)

5 系統(tǒng)數(shù)據(jù)庫的安全性設(shè)計(jì)

在一卡通系統(tǒng)的WEB服務(wù)器與應(yīng)用服務(wù)器之間建立信任邊界，應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器之間建立信任邊界，根據(jù)這樣的信任邊界劃分，系統(tǒng)中的用戶與數(shù)據(jù)庫服務(wù)器之間沒有可靠的信任關(guān)系，也就不能直接對(duì)數(shù)據(jù)庫進(jìn)行訪問。這樣，即使在公共的網(wǎng)絡(luò)環(huán)境下，一卡通中心數(shù)據(jù)庫的信息也能保證不被惡意訪問。數(shù)據(jù)庫訪問策略如圖2所示。

圖2 數(shù)據(jù)庫訪問策略

6 接口的安全性設(shè)計(jì)

Web Service是一種分布式的組件，對(duì)外提供統(tǒng)一的接口以供外部調(diào)用，這樣，在沒有安全措施的情況下，任何知曉接口屬性的一方都可以使用Web Service提供的功能，這就帶來了安全的隱患。

采用了CA認(rèn)證方案，使用X.509數(shù)字證書來保證其安全性?；赬.509證書的認(rèn)證技術(shù)適用于開放式網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證，該技術(shù)已被廣泛接受。在CA認(rèn)證體系中，數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心（CA）數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。認(rèn)證中心（CA）作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù)。認(rèn)證中心頒發(fā)的數(shù)字證書均遵循ITU的X.509 V3標(biāo)準(zhǔn)。

7 系統(tǒng)數(shù)據(jù)災(zāi)難恢復(fù)機(jī)制設(shè)計(jì)

一卡通系統(tǒng)中，數(shù)據(jù)庫的安全是十分重要的，其中包含所有的資金賬目和身份驗(yàn)證基本信息，以及交易流水記錄，一旦數(shù)據(jù)庫損壞，其損失可想而知。雖然在系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)時(shí)，充分考慮到了數(shù)據(jù)庫的安全性能，但是在整體的一卡通系統(tǒng)解決方案中，還需提供一套完善的數(shù)據(jù)災(zāi)難恢復(fù)系統(tǒng)。

數(shù)據(jù)災(zāi)難恢復(fù)系統(tǒng)由專用軟件和專用的POS程序芯片組成。由于智能卡中存儲(chǔ)有一套個(gè)人的賬目和識(shí)別信息，通過災(zāi)難恢復(fù)系統(tǒng)可以將卡中的個(gè)人信息恢復(fù)到系統(tǒng)數(shù)據(jù)庫中，重新建立個(gè)人賬目和身份識(shí)別信息，同時(shí)可以最大程度地恢復(fù)系統(tǒng)總賬信息。

[1]崔楠楠.淺析校園一卡通系統(tǒng)的建設(shè)與管理[J].信息系統(tǒng)工程，2017.

[2]賈文峰.校園一卡通管理中若干問題的探討[J].電腦知識(shí)與技術(shù)，2017.

[3]何麗艷.校園一卡通系統(tǒng)安全問題分析[J].科技創(chuàng)新導(dǎo)報(bào)，2016.

[4]吳麗杰.高校校園一卡通存在的問題及對(duì)策分析——以沈陽航空航天大學(xué)為例[J].中國教育信息化，2015.

[5]鄔新樂，江杰.校園一卡通系統(tǒng)的安全性分析和設(shè)計(jì)[J].信息安全與技術(shù)，2013.