校園一卡通系統的安全性分析與設計

文章出處：http://www.xujuanpiju.com 作者： 人氣： 發表時間：2011年09月09日

     隨著計算機技術、網絡技術及通訊技術的發展，數字化校園已經在高校內全面規劃和啟動。數字化校園建設將是學校管理部門通過信息化手段，實現對各種資源的有效集成、整合和優化，實現資源的有效配置和充分利用，實現校務管理和服務過程的協調，實現教學、學習、生活過程的優化，從而實現提高各種管理和服務工作的效率、效果和效益。

     校園一卡通系統作為整個數字化校園的核心應用項目，設計上必須符合數字化校園的整體設計思想。該系統不僅僅是消費系統，還要具備管理功能，要與學校管理信息系統緊密結合起來。因此，該系統具有消費、身份識別、個人信息查詢、繳費等主要功能。

     1 安全體系目標和設計原則

     作為數字化校園建設的基礎和核心設施之一，校園一卡通系統涉及到大多數在校學習、工作和生活的人員，并為學校教學、管理、門禁、餐飲及其他公共服務提供身份證明和支付手段，所以對其安全性有非常高的要求，安全性是校園一卡通系統的生命線。在校園一卡通系統的設計和建設過程中，要把安全性放在首位，通過技術和管理手段，保證系統能夠高效、安全和可靠的運行。

     系統的安全性設計應充分考慮到各方面的因素，包括卡片、讀卡機具、應用系統服務器、網絡數據傳輸、中心數據存儲、系統管理軟件、應用系統軟件和運行管理等。同時，應將技術手段和管理手段相結合，通過加強安全管理來保證系統的安全性設計得以有效實行。另外，隨著技術的發展，需要不斷對系統進行重新評估，采用新的安全技術，以滿足系統的安全需要。

     2 安全策略的分析與設計

     2．1 中心數據庫

     中心數據庫存儲了全部的身份信息和交易信息，是一卡通系統的中樞，其安全性對整個一卡通系統有決定性的影響。為保證中心數據庫安全、穩定、可靠和高效的運行，防范網絡攻擊、病毒、黑客人侵以及對數據庫的非法訪問、篡改和刪除，需要從硬件配置、操作系統和數據庫等三個層次上來采取措施。在硬件配置上，中心數據庫服務器需要采用雙機熱備份，并配備大容量的磁盤陣列、磁帶機和UPS。在操作系統方面，中心數據庫服務器一般安裝安全性較高的UNIX類操作系統，在安裝操作系統時采用較高的安全級別，關閉不用的網絡訪問服務，并設置科學合理的密碼管理機制。此外，采用專業的掃描軟件對整個系統進行安全掃描，對找到的安全隱患和漏洞進行排除。

     數據庫的安全是指保護數據庫，以防止非法使用所造成的數據泄漏、修改、損害。計算機系統中普遍存在安全性問題，特別當擁有許多共享數據庫中的大量數據時，安全問題顯得尤為突出。在ORACLE多用戶數據庫系統中，安全機制完成以下任務：防止非授權的數據存取，防止非授權的模式對象存取，控制磁盤使用，控制系統資源的使用，審計用戶動作。數據庫安全可以分為數據庫系統安全和數據安全。系統安全包括在系統級別上，控制數據庫的存取和使用機制，如有效的用戶名／密碼組合，用戶模式對象的可用磁盤空間數量，用戶的資源限制。系統安全機制檢查用戶是否被授權連接數據庫，數據庫審計是否是活動的，用戶可以執行哪個系統操作。數據安全包括在模式對象級別上，控制數據庫的存取和使用的機制。如哪個用戶有權存取指定的模式對象，在模式對象上允許每個用戶采取的動作，每個模式的審計動作等。

     ORACLE提供全面的自由選定存取控制，通過特權控制用戶對信息的訪問。特權是在規定方式下訪問命名對象的許可。適當的特權必須分配給用戶，使其可以訪問模式對象。擁有特權的用戶可以將特權授予其他用戶，這種類型的安全被稱為“自由選定”。ORACLE使用以下機制管理數據庫安全：數據庫用戶、特權、角色、存儲設置和限額、資源限制和審計等。

     2．2 軟件系統設計

     軟件系統既包括一卡通系統的系統軟件，也包括與一卡通系統相關的各個數字化校園的應用系統軟件。一卡通系統的系統軟件可以從登錄控制、操作員權限控制、數據庫防篡改和登記操作日志等方面來考慮。從登錄控制的角度，通過對客戶機登錄采取控制，對非法的客戶機加以拒絕，防止非法的客戶機向服務器發送業務請求。在登錄控制的基礎上，采用對操作員進行權限控制的方式來控制操作員對一卡通系統的訪問，使得不同的操作員只能在自己的權限范圍內對系統進行操作。為防止發生數據庫的合法用戶非法修改數據庫的重要數據的情況，可對數據庫的重要數據表加校驗。此外，系統將對所有的操作保存詳細的記錄，以便在發生問題后進行追查。

     對于已有的與一卡通系統相關的數字化校園應用系統，可以通過提供一整套應用編程接口，使其經過小范圍的改造，就能接人一卡通系統。由于應用系統在接入一卡通系統時只能使用指定的接口，因而也只能完成許可范圍內的操作，這樣就消除了其非法訪問一卡通系統中心數據庫的可能性。

     2．3 卡片及讀卡設備

     目前，一卡通系統中卡片大多數采用Mifare I非接觸式射頻IC卡，主要是考慮卡中信息在存儲及交易過程中的完整性、有效性和真實性，防止對卡片的偽造以及對卡中的信息進行非法修改和非法使用。Mifare I卡通過天線感應進行讀寫操作，在出現電網干擾、感應臨界點等情況下，可能出現讀寫信息出錯。為了降低讀寫信息出錯的概率，可以通過將頻繁寫的信息(如金額)和不常使用的信息(如姓名、學(工)號等)分別存放在不同的扇區來減少在頻繁使用的場合中讀寫信息的時間。通過對卡內存儲的信息增加校驗算法，保證卡面只能被仿制，而卡內信息不能被篡改。被篡改的卡由于卡內信息不符合校驗算法，被使用時，通過上層軟件對這類異?？ńo予自動凍結。

     一卡通系統中讀卡設備的安全主要包括POS機的安全、圈存機的安全和系統黑白名單的管理。

     POS機是一卡通系統內對卡片進行讀寫操作的機具中裝備數量最大、使用頻率最高的設備，涉及校內的食堂、餐廳、超市、圖書館、校醫院和體育場館等眾多的公共服務場所，且需要對卡內的金額信息進行讀寫操作，所以其穩定運行和存儲數據的安全可靠成為一卡通系統安全性重要的指標之一。一方面，通過在讀寫電路上采取從電源穩定到讀寫保護等一系列設計，可以降低出錯的概率；另～方面，采用在卡內使用備份數據可以保證卡上的金額讀寫不出現差錯。

     圈存機的核心任務是將持卡人的銀行卡賬戶中的金額轉移到持卡人的校園卡賬戶和校園卡中。圈存操作的時間較長，為防止因持卡人在操作過程中從圈存機中取出校園卡，圈存機在感應到校園卡被取出后立刻中止整個操作。也可通過設置吸人校園卡的機械裝置來確保在整個操作過程中校園卡不被取出。如果出現校園卡在圈存過程中被取出，造成的持卡人銀行卡金額已扣除但未寫人校園卡的情況，圈存機應自動報警，并產生相應的操作記錄，以便管理人員進行處理。黑名單管理是各類讀卡機具都需要具備的一個重要功能。讀卡機具內的數據存儲空間有限，而丟卡產生黑名單數量部是在增加，如果不采取措施控制，終有一天會出現讀卡機具數據存儲器寫滿、新掛失的卡片不能進人黑名單的情況。而且，當名單數量達到一定數量后，讀卡速度會受到影響，從而降低讀卡機具的處理速度。為控制黑名單的數量，一方面，采用設置卡片使用有效期的方法，在卡片開戶時寫有有效期。當卡片超出有效期沒有重新注冊，讀卡機具會自動拒絕使用，系統會自動從讀卡機具內清除這些黑名單。另一方面，采用批次的概念，將一屆學生設置為一個批次，當該屆學生離校后，將該批次號掛失，同時從掛失庫中清除該批次卡號。

     2．4 交易數據

     為了確保交易數據存儲的安全，POS機內包含大容量的非易失性存儲空間，以存儲足夠的脫機交易記錄和黑名單。在內部的的數據存儲器空閑存儲空間不多時，POS機自動產生提示信息。在內部的數據存儲器已經滿時，POS機自動報警并拒絕消費，保證已經存儲的數據的安全可靠。存儲脫機交易流水信息時，在每條記錄中增加通過加密算法生成的校驗碼，以識別對數據存儲器的非法修改。為保證讀卡機具與中心數據庫服務器和應用系統服務器之間的數據通信安全，讀卡機具在系統中進行注冊，未注冊的機具卡片無法使用。為了應對交易記錄從POS機到數據通訊網關的傳輸過程中被篡改而發生的交易記錄的安全問題，在普通的POS機中，每產生及上傳一筆交易記錄時，每筆記錄中均采用校驗，然后上傳至數據通訊網關。數據通訊網關通過驗證校驗碼，以確保采集到的校驗記錄的完整性和合法性。

     為應對數據傳輸過程中因網絡故障而導致的數據丟失，在POS機的硬件設計中增加重復采集的功能。即在采集脫機交易流水信息時，只是移動指針，采集完畢后流水信息仍存在于POS機的數據存儲器內，以便對全部或指定范圍的流水信息記錄重新采集。數據丟失往往是因為存儲 片中的數據指針丟失造成的，需要將數據指針保存在存儲器中的多處不同位置。只要有一處存在指針，即可確保數據讀取正確。

     2．5 網絡環境

     目前，一卡通系統大多依托校園網進行建設。校園網中的網絡環境如路由器、交換機及網絡線路必須安全穩定。為確保數據傳輸的安全，中心數據庫服務器、圈存機、語音服務、銀校轉賬前置機等專用設備還應鋪設有一定冗余的專網線路，專網線路和各業務部門采用虛擬專用網(VLAN)相連。對于無法實現專網線路的場所，在原有網絡環境的基礎上，通過VLAN手段和基于源IP地址和目的IP地址的訪問控制列表來完成對用戶對一卡系統中數據訪問限制。

     2．6 網絡數據傳輸

     在一卡通系統中，為了體現三層架構的優越性，許多基礎及核心功能用Web Service來實現，這大大增加了系統的可重用性和可伸縮性，使其易于擴展和維護。但是，在利用Web Service帶來便利的同時，也帶來了安全上的隱患。這是因為Web Service是一種分布式的組件，發布在Internet上，對外提供統一的接口以及外部調用，在沒有安全措施的情況下，任何知曉接口屬性(可通過WSDL的接口描述獲得)的一方都可以使用Web Service提供的功能，這就帶來了安全的隱患。因此，為了保證一卡通系統的安全性，必須采取措施以保證Web Service的安全。在一卡通系統中，采用CA認證方案，使用X．509數字證書來保證安全性。在CA認證體系中，數字證書是一個經證書認證中心(CA)數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，其遵循ITU的X．509 V3標準。

     另外，所有接人一卡通系統的應用系統，都采用EKey加密卡完成身份認證及數據安全傳輸和數據安全存儲。密鑰存儲在EKey中，由EKey加密卡內置的加密算法實現敏感數據的硬加密。EKey應是通過國家密碼管理委員會認證的硬件加密產品，支持DES／3DES／MD5等加密算法，支持RAS1024bit、ECCl60bit／l92bit公鑰算法。

     2．7 網絡防病毒

     計算機病毒，特別是網絡病毒，已經成了信息時代的公害。新一代病毒所運用的技術使其傳播速度極快，偽裝更巧妙，破壞力更強，攻擊更加頻繁。在一卡通系統中，有些終端不可避免地聯接校園網，所以網絡防病毒也就成了系統不可或缺的一部分。要使用企業版網絡防病毒產品，提供穩定集成的網絡防護。

     3 結 語

     作為數字化校園的基礎和核心系統------一卡通系統，從分析、設計到實現要充分體現安全性理念。在一卡通安全管理體制的監督保障下，一卡通系統的建設對未來數字化校園的提升和完善起著非常重要的推動作用。(遼寧科技大學網絡信息中心，楊延朋)

     參考文獻： 
     [1]COMER D E．用TCP／IP進行網際互聯：第一卷[M]．北京：電子工業出版社，2001：1．
     [2]李宏芳．一種高安全的校園一卡通設計[J]．計算機與現代化，2005，(2)：78—80．
     [3]衛星．校園一卡通平臺設計[J]．四川師范大學學報：自然科學版，2003，26(3)：315—318．
     [4]王景中，徐小青．基于智能IC卡的網絡數據安全保密系統[J]．計算機應用，2001，21(7)：53—55
     [5]戴紅．清華大學校園一卡通實施方案介紹[J]．金卡工程，2001，(11)：37—47．
     [6]遼寧科技大學一卡通系統設計方案[DB／OL]．http：／／wwW．newcap．com．cn．2008—02—03