本文之中学校园一卡通解决方案是一种常见的、常规的、投资较低的传统一卡通解决方案,应当说是适用于大多数学校的…安全性方面,在一卡通系统的使用和运维过程中,提供了全方位的安全设计,包括但不限于:
- 系统架构——数据与应用隔离;应用处理和数据查看范围依用户权限分配;全面的系统日志;
- 智能卡——芯片操作系统(COS,Chip Operating System)控制,芯片级硬件加/解密,不可破解;支持卡空间各分区独立密码;
- 密钥体系——采用金融级硬件加密技术,支持国际标准加密算法和国密算法;一卡一密,一交易一密;支持多种密钥恢复机制;多因子生成根密钥,核心机密多人互锁;密钥体系备用机制;
- 数据传输——动态密码TAC认证;CRC校验;多级缓存;HTTPS安全链接;
- 网络运行——基于虚拟局域网(VLAN)的局域网隔离;基于虚拟专用网(VPN)的互联网隔离;物理链路冗余(选配);硬件级网络负载均衡(选配);
- 数据存储——数据库服务器双机冗余(选配);磁盘阵列(一般选择RAID 5,可更换);重要数据混淆后入库;自动备份;异地备份(选配);
- 容错管理——未决记录验证;恶意消费的识别与验证;从缓存数据恢复金融数据;
1 IC卡安全性考虑
主流非接触式IC卡分为两种:M1卡和CPU卡。相对M1卡,CPU卡在芯片架构、密钥管理、数据控制和交易流程等方面均具有非常高的先进性和安全性。
CPU卡具有卡内微处理器和芯片级操作系统(COS,Chip Operation System),也就是说CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。
芯片存储方面,CPU卡不仅容量更大,最重要的是可针对卡片空间进行完全独立的分区控制,密钥管理方式灵活,且支持多种加密算法(金融级别的加密算法)硬件加解密技术,配合密钥管理体系的多级密钥分发和控制,使得每一次交易均进行密码认证,极大地提高了安全性。
2 交易的安全性
2.1系统交易过程的安全设计
采用金融级的硬件加密设备,进行数据完整性保护和验证;终端设备和数据通讯前置服务之间双向认证,加密传输;每一次交易都使用临时工作密钥,实现一交易一密钥;交易过程中生成不可抵赖的唯一交易认证码,可有效防止数据被破坏和篡改。
2.2POS机中交易数据的安全存储
为了确保交易数据存储的安全,POS机内包含大容量的非易失性存储空间,以存储足够的脱机交易记录和黑名单。在内部的数据存储器空闲存储空间不多时,POS机自动产生提示信息。在内部的数据存储器已经存满时,POS机自动报警并拒绝消费,保证已经存储的数据的安全可靠。存储脱机交易流水信息时,在每条记录中增加通过加密算法生成的校验码,以识别对数据存储器的非法修改。
2.3交易记录的安全传输
为应对交易记录从POS机到数据通讯网关(上位机)的传输过程中被篡改,而发生的交易记录的安全问题,在普通的POS机中,每产生及上传一笔交易记录时,每笔记录中均采用16位CRC校验;在配置有PSAM卡的POS中,每产生及上传一笔交易记录时,每笔记录中均通过PSAM卡加密校验,然后上传至数据通讯网关。数据通讯网关通过验证校验码,以确保采集到的校验记录的完整性和合法性。
为应对数据传输过程中因网络故障而导致的数据丢失,在POS机的硬件设计中增加重复采集的功能。即在采集脱机交易流水时,只是移动指针,采集完毕后流水仍存在于POS机的数据存储器内,以便对全部或指定范围的流水记录重新采集。由于数据丢失往往是因为存储芯片中的数据指针丢失造成的,所以需要将数据指针保存在存储器中的多处不同位置。只要指针有一处存在,即可确保数据读取正确。
2.4数据库中重要信息的安全验证
系统中心数据库以及各分布数据库中的交易记录、账目汇总流水等重要数据,均采用数据校验的方式,增加日期戳和校验字段,以确保在数据库中的各种重要数据信息,不被篡改和复制等恶意操作,保证数据的真实、完整、准确。
3 终端设备的安全性
终端设备作为金融交易的载体和重要身份信息(如指纹、密码等)的核验终端,其安全性不容忽视,主要体现在以下几方面:
- 每台设备均加装PSAM卡,用作对每次交易的校验进行比对加密运算。PSAM卡中存储一组由PSAM根密钥随机生成的分散密钥,在交易发生时,根据此密钥与卡片密钥进行专业算法加密,系统比对无误方可正常交易;
- 设备支持脱机交易,设备内存储进行加密控制,防止恶意窃取存储在机具内FLASH闪存的交易数据;
- 终端机具内黑白名单由系统平台在线下发,实时更新,杜绝伪卡、挂失卡等的恶意消费;脱机运行时,终端支持强制联网机制,即脱机运行指定时间后必须联网,否则终端设备失效;脱机交易数据由终端标记,联网后提交系统平台,进行卡片有效性验证,针对合法交易记录进行入账操作,针对非法交易记录(如挂失卡、伪卡等利用设备脱机状态恶意消费的)进行坏账处理;
- 终端设备运行状态可由系统平台进行监控,包括但不限于断网、固件异常等。
4 网络数据传输的安全性
网络数据传输主要从三方面保证通信和数据的安全性:
- 网络专用,逻辑隔离。在现有网络结构的基础上,使用VLAN技术进行一卡通专用网的逻辑隔离划分,使得一卡通系统通信数据的传输构建在一个虚拟的内部子网中;
- 通信数据加密。一卡通系统内通信数据并非采用明文传输,是在标准通信协议的基础上利用TLS技术和CA技术进行安全连接协议补充和认证加密扩展,为数据混淆加密提供双重保障;
- 网络链路冗余。根据用户需求,可进行网络物理链路的冗余组网(示意图如下),施行线路备份机制,单点故障下可无缝自动切换通信路由,保证系统通信的稳定性。

5 系统数据库的安全性
5.1数据库访问策略
在一卡通系统的WEB服务器与应用服务器之间建立信任边界,应用服务器与数据库服务器之间建立信任边界,根据这样的信任边界划分,系统中的用户与数据库服务器之间没有可靠的信任关系,也就不能直接对数据库进行访问。这样,即使在公共的网络环境下,一卡通中心数据库的信息也能保证不被恶意访问。

5.2数据库备份策略
系统支持定时自动备份、手动备份,可选择增量备份或全量备份。
6 Web Service接口的安全性
在一卡通系统中,为了体现三层架构的优越性,许多基础及核心功能用Web Service来实现,这大大增加了系统的可重用性和可伸缩性,使其易于扩展和维护。但是,在利用Web Service给我们带来便利的同时,也带来了安全上的隐患,这是因为Web Service是一种分布式的组件,它发布在Internet上,对外提供统一的接口以供外部调用,这样,在没有安全措施的情况下,任何知晓接口属性(可通过WSDL的接口描述获得)的一方都可以使用Web Service提供的功能,这就带来了安全的隐患。因此,为了保证一卡通系统的安全性,必须采取措施以保证Web Service的安全。
在一卡通系统中,采用了CA认证方案,使用X.509数字证书来保证其安全性。在CA认证体系中,数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循ITU的X.509 V3标准。基于X.509证书的认证技术适用于开放式网络环境下的身份认证,该技术已被广泛接受。
7 系统数据灾难恢复机制
一卡通系统中,数据库的安全是十分重要的,其中包含所有的资金账目和身份验证基本信息,以及交易流水记录,一旦数据库损坏,其损失可想而知。虽然在系统总体结构设计时,充分考虑到了数据库的安全性能,但是在整体的一卡通系统解决方案中,我公司还提供一套完善的数据灾难恢复系统。
数据灾难恢复系统由专用软件和专用的POS程序芯片组成。由于智能卡中存储有一套个人的账目和识别信息,通过灾难恢复系统可以将卡中的个人信息恢复到系统数据库中,重新建立个人账目和身份识别信息,同时可以最大程度的恢复系统总账信息。