校園一卡通系統(tǒng)的安全性分析與設(shè)計(jì)
文章出處:http://m.coolbang.cn 作者: 人氣: 發(fā)表時(shí)間:2011年09月09日
隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)及通訊技術(shù)的發(fā)展,數(shù)字化校園已經(jīng)在高校內(nèi)全面規(guī)劃和啟動(dòng)。數(shù)字化校園建設(shè)將是學(xué)校管理部門(mén)通過(guò)信息化手段,實(shí)現(xiàn)對(duì)各種資源的有效集成、整合和優(yōu)化,實(shí)現(xiàn)資源的有效配置和充分利用,實(shí)現(xiàn)校務(wù)管理和服務(wù)過(guò)程的協(xié)調(diào),實(shí)現(xiàn)教學(xué)、學(xué)習(xí)、生活過(guò)程的優(yōu)化,從而實(shí)現(xiàn)提高各種管理和服務(wù)工作的效率、效果和效益。
校園一卡通系統(tǒng)作為整個(gè)數(shù)字化校園的核心應(yīng)用項(xiàng)目,設(shè)計(jì)上必須符合數(shù)字化校園的整體設(shè)計(jì)思想。該系統(tǒng)不僅僅是消費(fèi)系統(tǒng),還要具備管理功能,要與學(xué)校管理信息系統(tǒng)緊密結(jié)合起來(lái)。因此,該系統(tǒng)具有消費(fèi)、身份識(shí)別、個(gè)人信息查詢(xún)、繳費(fèi)等主要功能。
1 安全體系目標(biāo)和設(shè)計(jì)原則
作為數(shù)字化校園建設(shè)的基礎(chǔ)和核心設(shè)施之一,校園一卡通系統(tǒng)涉及到大多數(shù)在校學(xué)習(xí)、工作和生活的人員,并為學(xué)校教學(xué)、管理、門(mén)禁、餐飲及其他公共服務(wù)提供身份證明和支付手段,所以對(duì)其安全性有非常高的要求,安全性是校園一卡通系統(tǒng)的生命線。在校園一卡通系統(tǒng)的設(shè)計(jì)和建設(shè)過(guò)程中,要把安全性放在首位,通過(guò)技術(shù)和管理手段,保證系統(tǒng)能夠高效、安全和可靠的運(yùn)行。
系統(tǒng)的安全性設(shè)計(jì)應(yīng)充分考慮到各方面的因素,包括卡片、讀卡機(jī)具、應(yīng)用系統(tǒng)服務(wù)器、網(wǎng)絡(luò)數(shù)據(jù)傳輸、中心數(shù)據(jù)存儲(chǔ)、系統(tǒng)管理軟件、應(yīng)用系統(tǒng)軟件和運(yùn)行管理等。同時(shí),應(yīng)將技術(shù)手段和管理手段相結(jié)合,通過(guò)加強(qiáng)安全管理來(lái)保證系統(tǒng)的安全性設(shè)計(jì)得以有效實(shí)行。另外,隨著技術(shù)的發(fā)展,需要不斷對(duì)系統(tǒng)進(jìn)行重新評(píng)估,采用新的安全技術(shù),以滿足系統(tǒng)的安全需要。
2 安全策略的分析與設(shè)計(jì)
2.1 中心數(shù)據(jù)庫(kù)
中心數(shù)據(jù)庫(kù)存儲(chǔ)了全部的身份信息和交易信息,是一卡通系統(tǒng)的中樞,其安全性對(duì)整個(gè)一卡通系統(tǒng)有決定性的影響。為保證中心數(shù)據(jù)庫(kù)安全、穩(wěn)定、可靠和高效的運(yùn)行,防范網(wǎng)絡(luò)攻擊、病毒、黑客人侵以及對(duì)數(shù)據(jù)庫(kù)的非法訪問(wèn)、篡改和刪除,需要從硬件配置、操作系統(tǒng)和數(shù)據(jù)庫(kù)等三個(gè)層次上來(lái)采取措施。在硬件配置上,中心數(shù)據(jù)庫(kù)服務(wù)器需要采用雙機(jī)熱備份,并配備大容量的磁盤(pán)陣列、磁帶機(jī)和UPS。在操作系統(tǒng)方面,中心數(shù)據(jù)庫(kù)服務(wù)器一般安裝安全性較高的UNIX類(lèi)操作系統(tǒng),在安裝操作系統(tǒng)時(shí)采用較高的安全級(jí)別,關(guān)閉不用的網(wǎng)絡(luò)訪問(wèn)服務(wù),并設(shè)置科學(xué)合理的密碼管理機(jī)制。此外,采用專(zhuān)業(yè)的掃描軟件對(duì)整個(gè)系統(tǒng)進(jìn)行安全掃描,對(duì)找到的安全隱患和漏洞進(jìn)行排除。
數(shù)據(jù)庫(kù)的安全是指保護(hù)數(shù)據(jù)庫(kù),以防止非法使用所造成的數(shù)據(jù)泄漏、修改、損害。計(jì)算機(jī)系統(tǒng)中普遍存在安全性問(wèn)題,特別當(dāng)擁有許多共享數(shù)據(jù)庫(kù)中的大量數(shù)據(jù)時(shí),安全問(wèn)題顯得尤為突出。在ORACLE多用戶(hù)數(shù)據(jù)庫(kù)系統(tǒng)中,安全機(jī)制完成以下任務(wù):防止非授權(quán)的數(shù)據(jù)存取,防止非授權(quán)的模式對(duì)象存取,控制磁盤(pán)使用,控制系統(tǒng)資源的使用,審計(jì)用戶(hù)動(dòng)作。數(shù)據(jù)庫(kù)安全可以分為數(shù)據(jù)庫(kù)系統(tǒng)安全和數(shù)據(jù)安全。系統(tǒng)安全包括在系統(tǒng)級(jí)別上,控制數(shù)據(jù)庫(kù)的存取和使用機(jī)制,如有效的用戶(hù)名/密碼組合,用戶(hù)模式對(duì)象的可用磁盤(pán)空間數(shù)量,用戶(hù)的資源限制。系統(tǒng)安全機(jī)制檢查用戶(hù)是否被授權(quán)連接數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)審計(jì)是否是活動(dòng)的,用戶(hù)可以執(zhí)行哪個(gè)系統(tǒng)操作。數(shù)據(jù)安全包括在模式對(duì)象級(jí)別上,控制數(shù)據(jù)庫(kù)的存取和使用的機(jī)制。如哪個(gè)用戶(hù)有權(quán)存取指定的模式對(duì)象,在模式對(duì)象上允許每個(gè)用戶(hù)采取的動(dòng)作,每個(gè)模式的審計(jì)動(dòng)作等。
ORACLE提供全面的自由選定存取控制,通過(guò)特權(quán)控制用戶(hù)對(duì)信息的訪問(wèn)。特權(quán)是在規(guī)定方式下訪問(wèn)命名對(duì)象的許可。適當(dāng)?shù)奶貦?quán)必須分配給用戶(hù),使其可以訪問(wèn)模式對(duì)象。擁有特權(quán)的用戶(hù)可以將特權(quán)授予其他用戶(hù),這種類(lèi)型的安全被稱(chēng)為“自由選定”。ORACLE使用以下機(jī)制管理數(shù)據(jù)庫(kù)安全:數(shù)據(jù)庫(kù)用戶(hù)、特權(quán)、角色、存儲(chǔ)設(shè)置和限額、資源限制和審計(jì)等。
2.2 軟件系統(tǒng)設(shè)計(jì)
軟件系統(tǒng)既包括一卡通系統(tǒng)的系統(tǒng)軟件,也包括與一卡通系統(tǒng)相關(guān)的各個(gè)數(shù)字化校園的應(yīng)用系統(tǒng)軟件。一卡通系統(tǒng)的系統(tǒng)軟件可以從登錄控制、操作員權(quán)限控制、數(shù)據(jù)庫(kù)防篡改和登記操作日志等方面來(lái)考慮。從登錄控制的角度,通過(guò)對(duì)客戶(hù)機(jī)登錄采取控制,對(duì)非法的客戶(hù)機(jī)加以拒絕,防止非法的客戶(hù)機(jī)向服務(wù)器發(fā)送業(yè)務(wù)請(qǐng)求。在登錄控制的基礎(chǔ)上,采用對(duì)操作員進(jìn)行權(quán)限控制的方式來(lái)控制操作員對(duì)一卡通系統(tǒng)的訪問(wèn),使得不同的操作員只能在自己的權(quán)限范圍內(nèi)對(duì)系統(tǒng)進(jìn)行操作。為防止發(fā)生數(shù)據(jù)庫(kù)的合法用戶(hù)非法修改數(shù)據(jù)庫(kù)的重要數(shù)據(jù)的情況,可對(duì)數(shù)據(jù)庫(kù)的重要數(shù)據(jù)表加校驗(yàn)。此外,系統(tǒng)將對(duì)所有的操作保存詳細(xì)的記錄,以便在發(fā)生問(wèn)題后進(jìn)行追查。
對(duì)于已有的與一卡通系統(tǒng)相關(guān)的數(shù)字化校園應(yīng)用系統(tǒng),可以通過(guò)提供一整套應(yīng)用編程接口,使其經(jīng)過(guò)小范圍的改造,就能接人一卡通系統(tǒng)。由于應(yīng)用系統(tǒng)在接入一卡通系統(tǒng)時(shí)只能使用指定的接口,因而也只能完成許可范圍內(nèi)的操作,這樣就消除了其非法訪問(wèn)一卡通系統(tǒng)中心數(shù)據(jù)庫(kù)的可能性。
2.3 卡片及讀卡設(shè)備
目前,一卡通系統(tǒng)中卡片大多數(shù)采用Mifare I非接觸式射頻IC卡,主要是考慮卡中信息在存儲(chǔ)及交易過(guò)程中的完整性、有效性和真實(shí)性,防止對(duì)卡片的偽造以及對(duì)卡中的信息進(jìn)行非法修改和非法使用。Mifare I卡通過(guò)天線感應(yīng)進(jìn)行讀寫(xiě)操作,在出現(xiàn)電網(wǎng)干擾、感應(yīng)臨界點(diǎn)等情況下,可能出現(xiàn)讀寫(xiě)信息出錯(cuò)。為了降低讀寫(xiě)信息出錯(cuò)的概率,可以通過(guò)將頻繁寫(xiě)的信息(如金額)和不常使用的信息(如姓名、學(xué)(工)號(hào)等)分別存放在不同的扇區(qū)來(lái)減少在頻繁使用的場(chǎng)合中讀寫(xiě)信息的時(shí)間。通過(guò)對(duì)卡內(nèi)存儲(chǔ)的信息增加校驗(yàn)算法,保證卡面只能被仿制,而卡內(nèi)信息不能被篡改。被篡改的卡由于卡內(nèi)信息不符合校驗(yàn)算法,被使用時(shí),通過(guò)上層軟件對(duì)這類(lèi)異??ńo予自動(dòng)凍結(jié)。
一卡通系統(tǒng)中讀卡設(shè)備的安全主要包括POS機(jī)的安全、圈存機(jī)的安全和系統(tǒng)黑白名單的管理。
POS機(jī)是一卡通系統(tǒng)內(nèi)對(duì)卡片進(jìn)行讀寫(xiě)操作的機(jī)具中裝備數(shù)量最大、使用頻率最高的設(shè)備,涉及校內(nèi)的食堂、餐廳、超市、圖書(shū)館、校醫(yī)院和體育場(chǎng)館等眾多的公共服務(wù)場(chǎng)所,且需要對(duì)卡內(nèi)的金額信息進(jìn)行讀寫(xiě)操作,所以其穩(wěn)定運(yùn)行和存儲(chǔ)數(shù)據(jù)的安全可靠成為一卡通系統(tǒng)安全性重要的指標(biāo)之一。一方面,通過(guò)在讀寫(xiě)電路上采取從電源穩(wěn)定到讀寫(xiě)保護(hù)等一系列設(shè)計(jì),可以降低出錯(cuò)的概率;另~方面,采用在卡內(nèi)使用備份數(shù)據(jù)可以保證卡上的金額讀寫(xiě)不出現(xiàn)差錯(cuò)。
圈存機(jī)的核心任務(wù)是將持卡人的銀行卡賬戶(hù)中的金額轉(zhuǎn)移到持卡人的校園卡賬戶(hù)和校園卡中。圈存操作的時(shí)間較長(zhǎng),為防止因持卡人在操作過(guò)程中從圈存機(jī)中取出校園卡,圈存機(jī)在感應(yīng)到校園卡被取出后立刻中止整個(gè)操作。也可通過(guò)設(shè)置吸人校園卡的機(jī)械裝置來(lái)確保在整個(gè)操作過(guò)程中校園卡不被取出。如果出現(xiàn)校園卡在圈存過(guò)程中被取出,造成的持卡人銀行卡金額已扣除但未寫(xiě)人校園卡的情況,圈存機(jī)應(yīng)自動(dòng)報(bào)警,并產(chǎn)生相應(yīng)的操作記錄,以便管理人員進(jìn)行處理。黑名單管理是各類(lèi)讀卡機(jī)具都需要具備的一個(gè)重要功能。讀卡機(jī)具內(nèi)的數(shù)據(jù)存儲(chǔ)空間有限,而丟卡產(chǎn)生黑名單數(shù)量部是在增加,如果不采取措施控制,終有一天會(huì)出現(xiàn)讀卡機(jī)具數(shù)據(jù)存儲(chǔ)器寫(xiě)滿、新掛失的卡片不能進(jìn)人黑名單的情況。而且,當(dāng)名單數(shù)量達(dá)到一定數(shù)量后,讀卡速度會(huì)受到影響,從而降低讀卡機(jī)具的處理速度。為控制黑名單的數(shù)量,一方面,采用設(shè)置卡片使用有效期的方法,在卡片開(kāi)戶(hù)時(shí)寫(xiě)有有效期。當(dāng)卡片超出有效期沒(méi)有重新注冊(cè),讀卡機(jī)具會(huì)自動(dòng)拒絕使用,系統(tǒng)會(huì)自動(dòng)從讀卡機(jī)具內(nèi)清除這些黑名單。另一方面,采用批次的概念,將一屆學(xué)生設(shè)置為一個(gè)批次,當(dāng)該屆學(xué)生離校后,將該批次號(hào)掛失,同時(shí)從掛失庫(kù)中清除該批次卡號(hào)。
2.4 交易數(shù)據(jù)
為了確保交易數(shù)據(jù)存儲(chǔ)的安全,POS機(jī)內(nèi)包含大容量的非易失性存儲(chǔ)空間,以存儲(chǔ)足夠的脫機(jī)交易記錄和黑名單。在內(nèi)部的的數(shù)據(jù)存儲(chǔ)器空閑存儲(chǔ)空間不多時(shí),POS機(jī)自動(dòng)產(chǎn)生提示信息。在內(nèi)部的數(shù)據(jù)存儲(chǔ)器已經(jīng)滿時(shí),POS機(jī)自動(dòng)報(bào)警并拒絕消費(fèi),保證已經(jīng)存儲(chǔ)的數(shù)據(jù)的安全可靠。存儲(chǔ)脫機(jī)交易流水信息時(shí),在每條記錄中增加通過(guò)加密算法生成的校驗(yàn)碼,以識(shí)別對(duì)數(shù)據(jù)存儲(chǔ)器的非法修改。為保證讀卡機(jī)具與中心數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用系統(tǒng)服務(wù)器之間的數(shù)據(jù)通信安全,讀卡機(jī)具在系統(tǒng)中進(jìn)行注冊(cè),未注冊(cè)的機(jī)具卡片無(wú)法使用。為了應(yīng)對(duì)交易記錄從POS機(jī)到數(shù)據(jù)通訊網(wǎng)關(guān)的傳輸過(guò)程中被篡改而發(fā)生的交易記錄的安全問(wèn)題,在普通的POS機(jī)中,每產(chǎn)生及上傳一筆交易記錄時(shí),每筆記錄中均采用校驗(yàn),然后上傳至數(shù)據(jù)通訊網(wǎng)關(guān)。數(shù)據(jù)通訊網(wǎng)關(guān)通過(guò)驗(yàn)證校驗(yàn)碼,以確保采集到的校驗(yàn)記錄的完整性和合法性。
為應(yīng)對(duì)數(shù)據(jù)傳輸過(guò)程中因網(wǎng)絡(luò)故障而導(dǎo)致的數(shù)據(jù)丟失,在POS機(jī)的硬件設(shè)計(jì)中增加重復(fù)采集的功能。即在采集脫機(jī)交易流水信息時(shí),只是移動(dòng)指針,采集完畢后流水信息仍存在于POS機(jī)的數(shù)據(jù)存儲(chǔ)器內(nèi),以便對(duì)全部或指定范圍的流水信息記錄重新采集。數(shù)據(jù)丟失往往是因?yàn)榇鎯?chǔ) 片中的數(shù)據(jù)指針丟失造成的,需要將數(shù)據(jù)指針保存在存儲(chǔ)器中的多處不同位置。只要有一處存在指針,即可確保數(shù)據(jù)讀取正確。
2.5 網(wǎng)絡(luò)環(huán)境
目前,一卡通系統(tǒng)大多依托校園網(wǎng)進(jìn)行建設(shè)。校園網(wǎng)中的網(wǎng)絡(luò)環(huán)境如路由器、交換機(jī)及網(wǎng)絡(luò)線路必須安全穩(wěn)定。為確保數(shù)據(jù)傳輸?shù)陌踩?,中心?shù)據(jù)庫(kù)服務(wù)器、圈存機(jī)、語(yǔ)音服務(wù)、銀校轉(zhuǎn)賬前置機(jī)等專(zhuān)用設(shè)備還應(yīng)鋪設(shè)有一定冗余的專(zhuān)網(wǎng)線路,專(zhuān)網(wǎng)線路和各業(yè)務(wù)部門(mén)采用虛擬專(zhuān)用網(wǎng)(VLAN)相連。對(duì)于無(wú)法實(shí)現(xiàn)專(zhuān)網(wǎng)線路的場(chǎng)所,在原有網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上,通過(guò)VLAN手段和基于源IP地址和目的IP地址的訪問(wèn)控制列表來(lái)完成對(duì)用戶(hù)對(duì)一卡系統(tǒng)中數(shù)據(jù)訪問(wèn)限制。
2.6 網(wǎng)絡(luò)數(shù)據(jù)傳輸
在一卡通系統(tǒng)中,為了體現(xiàn)三層架構(gòu)的優(yōu)越性,許多基礎(chǔ)及核心功能用Web Service來(lái)實(shí)現(xiàn),這大大增加了系統(tǒng)的可重用性和可伸縮性,使其易于擴(kuò)展和維護(hù)。但是,在利用Web Service帶來(lái)便利的同時(shí),也帶來(lái)了安全上的隱患。這是因?yàn)閃eb Service是一種分布式的組件,發(fā)布在Internet上,對(duì)外提供統(tǒng)一的接口以及外部調(diào)用,在沒(méi)有安全措施的情況下,任何知曉接口屬性(可通過(guò)WSDL的接口描述獲得)的一方都可以使用Web Service提供的功能,這就帶來(lái)了安全的隱患。因此,為了保證一卡通系統(tǒng)的安全性,必須采取措施以保證Web Service的安全。在一卡通系統(tǒng)中,采用CA認(rèn)證方案,使用X.509數(shù)字證書(shū)來(lái)保證安全性。在CA認(rèn)證體系中,數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)認(rèn)證中心(CA)數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件,其遵循ITU的X.509 V3標(biāo)準(zhǔn)。
另外,所有接人一卡通系統(tǒng)的應(yīng)用系統(tǒng),都采用EKey加密卡完成身份認(rèn)證及數(shù)據(jù)安全傳輸和數(shù)據(jù)安全存儲(chǔ)。密鑰存儲(chǔ)在EKey中,由EKey加密卡內(nèi)置的加密算法實(shí)現(xiàn)敏感數(shù)據(jù)的硬加密。EKey應(yīng)是通過(guò)國(guó)家密碼管理委員會(huì)認(rèn)證的硬件加密產(chǎn)品,支持DES/3DES/MD5等加密算法,支持RAS1024bit、ECCl60bit/l92bit公鑰算法。
2.7 網(wǎng)絡(luò)防病毒
計(jì)算機(jī)病毒,特別是網(wǎng)絡(luò)病毒,已經(jīng)成了信息時(shí)代的公害。新一代病毒所運(yùn)用的技術(shù)使其傳播速度極快,偽裝更巧妙,破壞力更強(qiáng),攻擊更加頻繁。在一卡通系統(tǒng)中,有些終端不可避免地聯(lián)接校園網(wǎng),所以網(wǎng)絡(luò)防病毒也就成了系統(tǒng)不可或缺的一部分。要使用企業(yè)版網(wǎng)絡(luò)防病毒產(chǎn)品,提供穩(wěn)定集成的網(wǎng)絡(luò)防護(hù)。
3 結(jié) 語(yǔ)
作為數(shù)字化校園的基礎(chǔ)和核心系統(tǒng)------一卡通系統(tǒng),從分析、設(shè)計(jì)到實(shí)現(xiàn)要充分體現(xiàn)安全性理念。在一卡通安全管理體制的監(jiān)督保障下,一卡通系統(tǒng)的建設(shè)對(duì)未來(lái)數(shù)字化校園的提升和完善起著非常重要的推動(dòng)作用。(遼寧科技大學(xué)網(wǎng)絡(luò)信息中心,楊延朋)
參考文獻(xiàn):
[1]COMER D E.用TCP/IP進(jìn)行網(wǎng)際互聯(lián):第一卷[M].北京:電子工業(yè)出版社,2001:1.
[2]李宏芳.一種高安全的校園一卡通設(shè)計(jì)[J].計(jì)算機(jī)與現(xiàn)代化,2005,(2):78—80.
[3]衛(wèi)星.校園一卡通平臺(tái)設(shè)計(jì)[J].四川師范大學(xué)學(xué)報(bào):自然科學(xué)版,2003,26(3):315—318.
[4]王景中,徐小青.基于智能IC卡的網(wǎng)絡(luò)數(shù)據(jù)安全保密系統(tǒng)[J].計(jì)算機(jī)應(yīng)用,2001,21(7):53—55
[5]戴紅.清華大學(xué)校園一卡通實(shí)施方案介紹[J].金卡工程,2001,(11):37—47.
[6]遼寧科技大學(xué)一卡通系統(tǒng)設(shè)計(jì)方案[DB/OL].http://wwW.newcap.com.cn.2008—02—03