“校园一卡通”系统涉及到资金运用、结算和与银行系统的联网,并关系到广大教职员工和学生的教学、学习和生活正常进行,所以安全性是本系统的一个非常重要的设计环节。
1.安全性原则
安全是相对的,没有绝对的安全。只有当攻击系统的成本远远大于攻击者所获得的利益时,系统才是安全的。
安全规划是与应用系统相关的。不理会应用的工作模式和工作环境而一味地堆砌各种安全产品的做法,不但损害系统的运行效率,同时也不能保障系统的安全性。
对系统的安全性评价,是考虑已实现的安全措施与整个系统运行对安全性要求之间的距离。孤立地评价某个措施的安全性对系统整体安全性也是无意义的。
(木桶原则)系统的总体安全性并不相当于系统中安全性最强的一个环节,而是相当于系统中安全性最弱的一个环节。因此必须全面考虑系统各个环节的安全性,不能忽视哪怕一个细小的环节。
在系统被攻击后要有及时发现并恢复的功能。
网络安全
在系统安全中,首先要考虑的是网络的安全性,出于这个原因,虽然学校校园网已经具有相当的网络安全措施,为保证“校园一卡通”系统的安全,防止非法用户通过校园网侵入,运行在校园网硬件平台的“校园一卡通”系统利用VPN技术独立构建“校园一卡通”网络,使“校园一卡通”网络相对封闭,不与外部系统,特别是互联网直接联接。
为了实现与学校现有系统进行数据交换,并提供通过互联网查询或登记的功能,比如学生个人信息查询、选课、公寓设备报修等等,在“校园一卡通”系统与外围系统连接部分除了利用防火墙等设备隔离外,还采用软件接口代理服务器负责所有与外部系统的认证和数据交换,既保证外部接口的统一,便于与现有系统的连接,又避免与外部系统直接连接的安全隐患,此外根据学校实际情况的需要,还可以在连接部分增加软件入侵检测和硬件堡垒主机等手段增加系统安全。
卡的安全性设计
卡的安全性设计是从卡的设计开始的,我们知道在IC卡领域,智能卡(CPU卡)的安全性是最高的,它可以适应开放环境下的脱机交易。但在本系统中,应用环境是封闭的(校园内),同时有交易频繁、交易金额小、应用功能复杂等特点,所以采用支持电子钱包的非接触IC卡,同时通过系统的安全控管功能保证系统的安全性。
虽然选用的MIFARE卡本身也具有很强的安全功能,但仍然需要系统的安全控管系统才能保障整个系统的安全性,否则卡片的安全性不能得到发挥和应用。
安全控管系统主要通过以下措施实现:
Ø 密钥分散采用3DES和单向算法生成。
Ø 密钥的生成和管理采用多级管理,由上级卡生成下级卡,如下图示:
上图中最后生成的各种密钥,在认证主机上以安全的方式存放;同时根据应用分发(以分散算法,与设备物理号码运算)到不同的设备,如:发卡密钥只有发卡主机有;消费终端只有终端认证密钥、通讯密钥和扣款密钥;充值密钥一般放在主机上,而不会放在圈存机上等等。
Ø 分散算法同时以唯一的卡序列号和随机数作为运算单元,保证不可再现。USER KEY=Function(MASTER KEY,USERCARD ID)。分散算法是One Way Function,即从USER KEY和USERCARD ID不能倒推出MASTER KEY。,分散算法以3DES作为基本运算单元。
Ø 每张卡(包括用户卡和授权卡)因为序列号的不同,而具有不同的密码。即使某张卡密码被破解,不影响整个系统的安全性。
Ø 对系统中的多个关键操作采用不同密码和密钥,分散在不同卡和设备中。如圈存/充值密钥的分散副本只在圈存机和发卡中心存在,在消费终端机中不存在。对安全性要求较高的操作(如充值)也可采用联机保密机的形式操作。
Ø 终端(读写设备)对卡的认证操作。
Ø 在圈存设备上,使用不同的SAM卡,分别存储和管理银行卡和校园卡电子钱包的密钥及安全认证。
数据安全性设计
“校园一卡通”系统涉及大量的资金和消费数据信息,数据的安全较之学校其他系统更为重要,因此保证各种数据,特别是资金和消费数据是根本问题,这也是整个系统安全性设计的目的所在,数据的安全包括多个方面,这里说的数据安全主要指保证数据一致性和防止数据意外丢失,在本系统中为实现这个目标,整个系统采用数据集中存储的方式,全系统所有信息的集中存取,便于数据统一的管理和备份。数据存储设备利用先进的磁盘阵列存储技术,实现统一、高效、可靠,具有冗余备份的数据存取机制。并提供磁带冷备份设备,防止灾难性事故对关键数据的破坏。大幅减低了数据管理的工作量和投入成本,提高了数据存取和处理的效率,为数据的安全提供了必要条件。
对关键数据报文的传送,在系统中采用了以下处理:
1) 对敏感数据域,采用密文方式传输和存放;
2) 对数据包或报文,采用MAC码来保证数据的完整性;
3) 对数据包或报文整体加密;
4) 在数据存放和传输中采用由随机数、序列号参与运算的过程密钥。
设备的安全性设计
设备的安全性设计,主要是卡与设备之间的认证和终端的授权:
Ø 通过系统终端授权卡方可启用设备,否则系统密钥认证不通过,无法使用;
Ø 通过终端授权卡下载的密钥存放在安全的带自毁功能的记忆体或SAM卡内;
Ø 对安全性要求高的交易(如圈存/充值),相关密钥通过散列方式集中存放在主机(或保密机)中,交易必须采用联机交易处理;
Ø 所有交易终端首先认证卡,同时检查卡有效期;
Ø 设备通讯过程中采用通讯密钥;
Ø 所有密钥由学校或银行负责人员分别管理和维护,相互制约,防止内部人员泄漏。
后续再来,可联系我13823720517 sunny
|
|
转播
分享
淘帖
分享到新浪微博
