日期:2009-02-20 10:56:54
摘要:
校园一卡通系统的安全性目标分析与设计原则。校园一卡通,企业一卡通,城市一卡通,智能IC卡
随着计算机技术、网络技术及通讯技术的发展,数字化校园已经在高校内全面规划和启动。数字化校园建设将是学校管理部门通过信息化手段,实现对各种资源的有效集成、整合和优化,实现资源的有效配置和充分利用,实现校务管理和服务过程的协调,实现教学、学习、生活过程的优化,从而实现提高各种管理和服务工作的效率、效果和效益。
校园一卡通系统作为整个数字化校园的核心应用项目,设计上必须符合数字化校园的整体设计思想。该系统不仅仅是消费系统,还要具备管理功能,要与学校管理信息系统紧密结合起来。因此,该系统具有消费、身份识别、个人信息查询、缴费等主要功能。
1 安全体系目标和设计原则
作为数字化校园建设的基础和核心设施之一,校园一卡通系统涉及到大多数在校学习、工作和生活的人员,并为学校教学、管理、门禁、餐饮及其他公共服务提供身份证明和支付手段,所以对其安全性有非常高的要求,安全性是校园一卡通系统的生命线。在校园一卡通系统的设计和建设过程中,要把安全性放在首位,通过技术和管理手段,保证系统能够高效、安全和可靠的运行。
系统的安全性设计应充分考虑到各方面的因素,包括卡片、读卡机具、应用系统服务器、网络数据传输、中心数据存储、系统管理软件、应用系统软件和运行管理等。同时,应将技术手段和管理手段相结合,通过加强安全管理来保证系统的安全性设计得以有效实行。另外,随着技术的发展,需要不断对系统进行重新评估,采用新的安全技术,以满足系统的安全需要。
2 安全策略的分析与设计
2.1 中心数据库
中心数据库存储了全部的身份信息和交易信息,是一卡通系统的中枢,其安全性对整个一卡通系统有决定性的影响。为保证中心数据库安全、稳定、可靠和高效的运行,防范网络攻击、病毒、黑客人侵以及对数据库的非法访问、篡改和删除,需要从硬件配置、操作系统和数据库等三个层次上来采取措施。在硬件配置上,中心数据库服务器需要采用双机热备份,并配备大容量的磁盘阵列、磁带机和UPS。在操作系统方面,中心数据库服务器一般安装安全性较高的UNIX类操作系统,在安装操作系统时采用较高的安全级别,关闭不用的网络访问服务,并设置科学合理的密码管理机制。此外,采用专业的扫描软件对整个系统进行安全扫描,对找到的安全隐患和漏洞进行排除。
数据库的安全是指保护数据库,以防止非法使用所造成的数据泄漏、修改、损害。计算机系统中普遍存在安全性问题,特别当拥有许多共享数据库中的大量数据时,安全问题显得尤为突出。在ORACLE多用户数据库系统中,安全机制完成以下任务:防止非授权的数据存取,防止非授权的模式对象存取,控制磁盘使用,控制系统资源的使用,审计用户动作。数据库安全可以分为数据库系统安全和数据安全。系统安全包括在系统级别上,控制数据库的存取和使用机制,如有效的用户名/密码组合,用户模式对象的可用磁盘空间数量,用户的资源限制。系统安全机制检查用户是否被授权连接数据库,数据库审计是否是活动的,用户可以执行哪个系统操作。数据安全包括在模式对象级别上,控制数据库的存取和使用的机制。如哪个用户有权存取指定的模式对象,在模式对象上允许每个用户采取的动作,每个模式的审计动作等。
ORACLE提供全面的自由选定存取控制,通过特权控制用户对信息的访问。特权是在规定方式下访问命名对象的许可。适当的特权必须分配给用户,使其可以访问模式对象。拥有特权的用户可以将特权授予其他用户,这种类型的安全被称为“自由选定”。ORACLE使用以下机制管理数据库安全:数据库用户、特权、角色、存储设置和限额、资源限制和审计等。
2.2 软件系统设计
软件系统既包括一卡通系统的系统软件,也包括与一卡通系统相关的各个数字化校园的应用系统软件。一卡通系统的系统软件可以从登录控制、操作员权限控制、数据库防篡改和登记操作日志等方面来考虑。从登录控制的角度,通过对客户机登录采取控制,对非法的客户机加以拒绝,防止非法的客户机向服务器发送业务请求。在登录控制的基础上,采用对操作员进行权限控制的方式来控制操作员对一卡通系统的访问,使得不同的操作员只能在自己的权限范围内对系统进行操作。为防止发生数据库的合法用户非法修改数据库的重要数据的情况,可对数据库的重要数据表加校验。此外,系统将对所有的操作保存详细的记录,以便在发生问题后进行追查。
对于已有的与一卡通系统相关的数字化校园应用系统,可以通过提供一整套应用编程接口,使其经过小范围的改造,就能接人一卡通系统。由于应用系统在接入一卡通系统时只能使用指定的接口,因而也只能完成许可范围内的操作,这样就消除了其非法访问一卡通系统中心数据库的可能性。
2.3 卡片及读卡设备
目前,一卡通系统中卡片大多数采用Mifare I非接触式射频IC卡,主要是考虑卡中信息在存储及交易过程中的完整性、有效性和真实性,防止对卡片的伪造以及对卡中的信息进行非法修改和非法使用。 Mifare I卡通过天线感应进行读写操作,在出现电网干扰、感应临界点等情况下,可能出现读写信息出错。为了降低读写信息出错的概率,可以通过将频繁写的信息(如金额)和不常使用的信息(如姓名、学(工)号等)分别存放在不同的扇区来减少在频繁使用的场合中读写信息的时间。通过对卡内存储的信息增加校验算法,保证卡面只能被仿制,而卡内信息不能被篡改。被篡改的卡由于卡内信息不符合校验算法,被使用时,通过上层软件对这类异常卡给予自动冻结。
一卡通系统中读卡设备的安全主要包括POS机的安全、圈存机的安全和系统黑白名单的管理。
POS机是一卡通系统内对卡片进行读写操作的机具中装备数量最大、使用频率最高的设备,涉及校内的食堂、餐厅、超市、图书馆、校医院和体育场馆等众多的公共服务场所,且需要对卡内的金额信息进行读写操作,所以其稳定运行和存储数据的安全可靠成为一卡通系统安全性重要的指标之一。一方面,通过在读写电路上采取从电源稳定到读写保护等一系列设计,可以降低出错的概率;另~方面,采用在卡内使用备份数据可以保证卡上的金额读写不出现差错。
圈存机的核心任务是将持卡人的银行卡账户中的金额转移到持卡人的校园卡账户和校园卡中。圈存操作的时间较长,为防止因持卡人在操作过程中从圈存机中取出校园卡,圈存机在感应到校园卡被取出后立刻中止整个操作。也可通过设置吸人校园卡的机械装置来确保在整个操作过程中校园卡不被取出。如果出现校园卡在圈存过程中被取出,造成的持卡人银行卡金额已扣除但未写人校园卡的情况,圈存机应自动报警,并产生相应的操作记录,以便管理人员进行处理。黑名单管理是各类读卡机具都需要具备的一个重要功能。读卡机具内的数据存储空间有限,而丢卡产生黑名单数量部是在增加,如果不采取措施控制,终有一天会出现读卡机具数据存储器写满、新挂失的卡片不能进人黑名单的情况。而且,当名单数量达到一定数量后,读卡速度会受到影响,从而降低读卡机具的处理速度。为控制黑名单的数量,一方面,采用设置卡片使用有效期的方法,在卡片开户时写有有效期。当卡片超出有效期没有重新注册,读卡机具会自动拒绝使用,系统会自动从读卡机具内清除这些黑名单。另一方面,采用批次的概念,将一届学生设置为一个批次,当该届学生离校后,将该批次号挂失,同时从挂失库中清除该批次卡号。
2.4 交易数据
为了确保交易数据存储的安全,POS机内包含大容量的非易失性存储空间,以存储足够的脱机交易记录和黑名单。在内部的的数据存储器空闲存储空间不多时,POS机自动产生提示信息。在内部的数据存储器已经满时,POS机自动报警并拒绝消费,保证已经存储的数据的安全可靠。存储脱机交易流水信息时,在每条记录中增加通过加密算法生成的校验码,以识别对数据存储器的非法修改。为保证读卡机具与中心数据库服务器和应用系统服务器之间的数据通信安全,读卡机具在系统中进行注册,未注册的机具卡片无法使用。为了应对交易记录从POS机到数据通讯网关的传输过程中被篡改而发生的交易记录的安全问题,在普通的POS 机中,每产生及上传一笔交易记录时,每笔记录中均采用校验,然后上传至数据通讯网关。数据通讯网关通过验证校验码,以确保采集到的校验记录的完整性和合法性。
为应对数据传输过程中因网络故障而导致的数据丢失,在POS机的硬件设计中增加重复采集的功能。即在采集脱机交易流水信息时,只是移动指针,采集完毕后流水信息仍存在于POS机的数据存储器内,以便对全部或指定范围的流水信息记录重新采集。数据丢失往往是因为存储片中的数据指针丢失造成的,需要将数据指针保存在存储器中的多处不同位置。只要有一处存在指针,即可确保数据读取正确。
2.5 网络环境
目前,一卡通系统大多依托校园网进行建设。校园网中的网络环境如路由器、交换机及网络线路必须安全稳定。为确保数据传输的安全,中心数据库服务器、圈存机、语音服务、银校转账前置机等专用设备还应铺设有一定冗余的专网线路,专网线路和各业务部门采用虚拟专用网(VLAN)相连。对于无法实现专网线路的场所,在原有网络环境的基础上,通过VLAN手段和基于源IP地址和目的IP地址的访问控制列表来完成对用户对一卡系统中数据访问限制。
2.6 网络数据传输
在一卡通系统中,为了体现三层架构的优越性,许多基础及核心功能用Web Service来实现,这大大增加了系统的可重用性和可伸缩性,使其易于扩展和维护。但是,在利用Web Service带来便利的同时,也带来了安全上的隐患。这是因为Web Service是一种分布式的组件,发布在Internet上,对外提供统一的接口以及外部调用,在没有安全措施的情况下,任何知晓接口属性(可通过 WSDL的接口描述获得)的一方都可以使用Web Service提供的功能,这就带来了安全的隐患。因此,为了保证一卡通系统的安全性,必须采取措施以保证Web Service的安全。在一卡通系统中,采用CA认证方案,使用X.509数字证书来保证安全性。在CA认证体系中,数字证书是一个经证书认证中心 (CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件,其遵循ITU的X.509 V3标准。
另外,所有接人一卡通系统的应用系统,都采用EKey加密卡完成身份认证及数据安全传输和数据安全存储。密钥存储在EKey中,由EKey加密卡内置的加密算法实现敏感数据的硬加密。EKey应是通过国家密码管理委员会认证的硬件加密产品,支持DES/3DES/MD5等加密算法,支持 RAS1024bit、ECCl60bit/l92bit公钥算法。
2.7 网络防病毒
计算机病毒,特别是网络病毒,已经成了信息时代的公害。新一代病毒所运用的技术使其传播速度极快,伪装更巧妙,破坏力更强,攻击更加频繁。在一卡通系统中,有些终端不可避免地联接校园网,所以网络防病毒也就成了系统不可或缺的一部分。要使用企业版网络防病毒产品,提供稳定集成的网络防护。
3 结 语
作为数字化校园的基础和核心系统---一卡通系统,从分析、设计到实现要充分体现安全性理念。在一卡通安全管理体制的监督保障下,一卡通系统的建设对未来数字化校园的提升和完善起着非常重要的推动作用。