蔣悅

摘 要：伴隨著數(shù)字信息化建設的推進，以RFID為基礎的資源整合成了當前數(shù)字化發(fā)展的新熱點。當前各大互聯(lián)網(wǎng)單位通過將RFID模塊嵌入SIM卡、以移動智能終端為載體，為個人身份認證和移動支付提供硬件支持。由該服務及其他基礎平臺共享中心數(shù)據(jù)庫，此時安全性成了手機一卡通系統(tǒng)的生命線。本文將對數(shù)字化手機一卡通系統(tǒng)的安全性進行研究。

關鍵詞：數(shù)字信息化；RFID；數(shù)據(jù)安全

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1004-7344（2018）32-0317-01

1 手機一卡通體系安全問題

手機一卡通系統(tǒng)涉及銀行、商戶和持卡人三個不同的層面，涉及消費、結算、查詢等大量的交易處理和身份認證，所以手機一卡通體系必須具備高安全性和高可靠性。目前手機一卡通面臨的威脅分析如下：

（1）RFID系統(tǒng)安全威脅：在手機一卡通中，RFID的安全問題根源來自于RFID設計本身的開放性。實踐證明，普通RFID及配套設備在正常工作時，數(shù)據(jù)讀取、數(shù)據(jù)交換、數(shù)據(jù)傳輸和數(shù)據(jù)存儲等各個環(huán)節(jié)都存在信息泄露或被篡改攻擊的可能，從而為非法者對RFID標簽的克隆、非法竊聽及篡改提供了便利。

（2）數(shù)據(jù)傳輸安全威脅：①現(xiàn)有網(wǎng)絡通信協(xié)議的開放性，不適用于當前機密通信要求；②現(xiàn)有網(wǎng)絡設備在傳輸、處理、儲存數(shù)據(jù)能力的局限；③手機一卡通節(jié)點數(shù)量龐大，人們使用時間集中，都給非法的信息竊取、拒絕式服務攻擊的發(fā)生提供了可能。

應用業(yè)務安全威脅：手機一卡通主要具有消費服務、身份認證、個人信息查詢、信息管理等功能，其應用覆蓋綜合服務的多種應用業(yè)務子系統(tǒng)。在享受資源整合帶來便利的同時，對系統(tǒng)管理人員的業(yè)務水平和技術水平要求也隨之增加。由于現(xiàn)有管理人員綜合素質的局限，可能因為誤操作使系統(tǒng)癱瘓或數(shù)據(jù)丟失造成不可估量的損失。

2 一卡通系統(tǒng)安全威脅解決策略

由于數(shù)字化用戶的數(shù)量膨大、使用時間集中、用戶類型和業(yè)務的多樣化、管理的復雜化、對設備要求的高性能化這一特征，對現(xiàn)有技術、設備要求的苛刻性，以及對傳統(tǒng)數(shù)據(jù)管理、維護部門的水平都提出了巨大挑戰(zhàn)。但是，通過對傳統(tǒng)的方案的改進、管理人員的針對性培訓和現(xiàn)有設備的升級，以及巧妙的運用智能終端這個特殊的載體，上述問題在一定程度上是可以很好解決的。本文將分別從技術層面和管理層面就該系統(tǒng)所面臨的安全威脅提出相應的解決方案。

（1）RFID安全解決策略：在數(shù)字化一卡通的安全威脅中，與人們關系最直接的是財產(chǎn)安全。如果手機遺失或者不法分子進行RFID標簽信息的克隆后非法盜刷、非法認證，由于不能及時掛失或失察可能會引發(fā)更多不必要的損失?；诖藛栴}的存在，數(shù)字化系統(tǒng)設計必須具備功能如下：

①實現(xiàn)掛失移動化。任何一個使用者都可以通過任何一臺安裝有該系統(tǒng)的移動設備或普通Web通過合法身份驗證后實現(xiàn)自主遠程化、移動化掛失和解除掛失服務。

②異常檢測和異常驗證功能。由于手機或者其他智能移動設備的特殊性，系統(tǒng)需具有基于藍牙接口的異常檢測功能。

③定位服務。結合網(wǎng)絡基站密集、網(wǎng)絡暢通的特殊環(huán)境設計系統(tǒng)的定位服務模塊，從而有助于使用者手機的定位。

（2）數(shù)據(jù)安全解決策略：系統(tǒng)最核心的功能是以中心數(shù)據(jù)庫為紐帶從根本上實現(xiàn)一站式登錄和相關數(shù)據(jù)服務的集成。所以中心數(shù)據(jù)庫安全才能保證整個系統(tǒng)正常運轉。數(shù)據(jù)庫安全的核心是數(shù)據(jù)安全，為了保證敏感數(shù)據(jù)的安全，除了在傳統(tǒng)網(wǎng)絡拓撲上利用路由器和防火墻做靜態(tài)IP&MAC認證、IDS、ACL控制、服務器端口認證等常規(guī)的安全措施[1]，與類似系統(tǒng)比較，為進一步確保數(shù)據(jù)庫高效安全運轉，維護數(shù)據(jù)庫敏感信息安全，在獨立數(shù)據(jù)庫服務器適當?shù)奈恢貌捎昧艘惶滋厥獾募用芩惴?。即在?shù)據(jù)庫服務器上、DBMS的外層采用基于“一維多級混沌序列密碼”的加密算法，這套算法既解決了敏感數(shù)據(jù)加密、解密的效率，降低服務器的負載，又能極好的保證敏感數(shù)據(jù)的安全。加密算法核心設計如下：

①將一維Lo-gistic混沌映射和分段線性混沌映射完成復合。②把Lo-gistic映射的輸出作為分段線性混沌映射的分段參數(shù)P，并運用非線性變換得到的混沌偽隨機密鑰流作為混沌序列用于后續(xù)數(shù)據(jù)加密[2]。

（3）網(wǎng)絡傳輸數(shù)據(jù)安全策略：目前為了防止終端信息泄露和RFID誤刷的可能，前人已做了大量研究并很好的應用于實際生活。系統(tǒng)設計中為解決數(shù)據(jù)傳輸安全需要采取IPsec VPN與通過國密認證的終端數(shù)據(jù)加密芯片TF32A09芯片構成的數(shù)據(jù)安全傳輸系統(tǒng)。

（4）核心基于Nginx架構的優(yōu)化策略：數(shù)據(jù)處理和存儲是整個系統(tǒng)的核心，從高安全性、高魯棒性、可擴充性上考慮，除了采用高性能服務器，在實施過程利用Nginx的優(yōu)勢，前端雙Apache協(xié)同進行數(shù)據(jù)分流，末端分布式結構的多個Tomcat服務器負責完成服務計算和存儲的設計。實現(xiàn)以權重為主要基準，以當時負荷為參考的分布式計算。并結合Nginx優(yōu)良的緩沖機制、Rewrite和反向代理功能進一步提高系統(tǒng)的安全性和魯棒性從而在一定程度上抵御了可能的拒絕服務攻擊，也為后期服務種類、服務器數(shù)量的拓展留下足夠空間。

3 結束語

基于數(shù)字化手機一卡通系統(tǒng)是一個管理層次上的系統(tǒng)，系統(tǒng)中涉及到金融、用戶、權限、資源等關鍵且均為敏感數(shù)據(jù)，因此手機一卡通系統(tǒng)的安全體系尤為重要，直接關系到系統(tǒng)的成效以及后續(xù)的數(shù)字化系統(tǒng)的建設。通過手機一卡通的安全體系的分析探討，得到切實可行的安全解決方案，從而在實際應用中取得良好的效果。

參考文獻

[1]紀求華.云操作系統(tǒng)安全加固技術探討[J].移動通信，2014（10）.

[2]吳曉剛.混沌密碼在數(shù)據(jù)庫加密中的應用[J].計算機安全，2014（05）.

收稿日期：2018-9-19

作者簡介：蔣 悅（1991-），男，江蘇南京人，工程師，主要從事彩色濾光片生產(chǎn)自動化制造系統(tǒng)的設計、開發(fā)、維護工作。