中学校园一卡通系统建设的安全性设计

本文之中学校园一卡通解决方案是一种常见的、常规的、投资较低的传统一卡通解决方案，应当说是适用于大多数学校的…安全性方面，在一卡通系统的使用和运维过程中，提供了全方位的安全设计，包括但不限于：

系统架构——数据与应用隔离；应用处理和数据查看范围依用户权限分配；全面的系统日志；
智能卡——芯片操作系统（COS，Chip Operating System）控制，芯片级硬件加/解密，不可破解；支持卡空间各分区独立密码；
密钥体系——采用金融级硬件加密技术，支持国际标准加密算法和国密算法；一卡一密，一交易一密；支持多种密钥恢复机制；多因子生成根密钥，核心机密多人互锁；密钥体系备用机制；
数据传输——动态密码 TAC 认证；CRC 校验；多级缓存；HTTPS 安全链接；
网络运行——基于虚拟局域网（VLAN）的局域网隔离；基于虚拟专用网（VPN）的互联网隔离；物理链路冗余（选配）；硬件级网络负载均衡（选配）；
数据存储——数据库服务器双机冗余（选配）；磁盘阵列（一般选择 RAID 5，可更换）；重要数据混淆后入库；自动备份；异地备份（选配）；
容错管理——未决记录验证；恶意消费的识别与验证；从缓存数据恢复金融数据；

1. IC 卡安全性考虑

主流非接触式 IC 卡分为两种：M1 卡和 CPU 卡。相对 M1 卡，CPU 卡在芯片架构、密钥管理、数据控制和交易流程等方面均具有非常高的先进性和安全性。

CPU 卡具有卡内微处理器和芯片级操作系统（COS，Chip Operation System），也就是说 CPU 卡相当于一台微型计算机，不仅具有数据存储功能，同时具有命令处理和数据安全保护等功能。

芯片存储方面，CPU 卡不仅容量更大，最重要的是可针对卡片空间进行完全独立的分区控制，密钥管理方式灵活，且支持多种加密算法（金融级别的加密算法）硬件加解密技术，配合密钥管理体系的多级密钥分发和控制，使得每一次交易均进行密码认证，极大地提高了安全性。

2. 交易的安全性

2.1 系统交易过程的安全设计

采用金融级的硬件加密设备，进行数据完整性保护和验证；终端设备和数据通讯前置服务之间双向认证，加密传输；每一次交易都使用临时工作密钥，实现一交易一密钥；交易过程中生成不可抵赖的唯一交易认证码，可有效防止数据被破坏和篡改。

2.2POS 机中交易数据的安全存储

为了确保交易数据存储的安全，POS 机内包含大容量的非易失性存储空间，以存储足够的脱机交易记录和黑名单。在内部的数据存储器空闲存储空间不多时，POS 机自动产生提示信息。在内部的数据存储器已经存满时，POS 机自动报警并拒绝消费，保证已经存储的数据的安全可靠。存储脱机交易流水信息时，在每条记录中增加通过加密算法生成的校验码，以识别对数据存储器的非法修改。

2.3 交易记录的安全传输

为应对交易记录从 POS 机到数据通讯网关（上位机）的传输过程中被篡改，而发生的交易记录的安全问题，在普通的 POS 机中，每产生及上传一笔交易记录时，每笔记录中均采用 16 位 CRC 校验；在配置有 PSAM 卡的 POS 中，每产生及上传一笔交易记录时，每笔记录中均通过 PSAM 卡加密校验，然后上传至数据通讯网关。数据通讯网关通过验证校验码，以确保采集到的校验记录的完整性和合法性。

为应对数据传输过程中因网络故障而导致的数据丢失，在 POS 机的硬件设计中增加重复采集的功能。即在采集脱机交易流水时，只是移动指针，采集完毕后流水仍存在于 POS 机的数据存储器内，以便对全部或指定范围的流水记录重新采集。由于数据丢失往往是因为存储芯片中的数据指针丢失造成的，所以需要将数据指针保存在存储器中的多处不同位置。只要指针有一处存在，即可确保数据读取正确。

2.4 数据库中重要信息的安全验证

系统中心数据库以及各分布数据库中的交易记录、账目汇总流水等重要数据，均采用数据校验的方式，增加日期戳和校验字段，以确保在数据库中的各种重要数据信息，不被篡改和复制等恶意操作，保证数据的真实、完整、准确。

3. 终端设备的安全性

终端设备作为金融交易的载体和重要身份信息（如指纹、密码等）的核验终端，其安全性不容忽视，主要体现在以下几方面：

每台设备均加装 PSAM 卡，用作对每次交易的校验进行比对加密运算。PSAM 卡中存储一组由 PSAM 根密钥随机生成的分散密钥，在交易发生时，根据此密钥与卡片密钥进行专业算法加密，系统比对无误方可正常交易；
设备支持脱机交易，设备内存储进行加密控制，防止恶意窃取存储在机具内 FLASH 闪存的交易数据；
终端机具内黑白名单由系统平台在线下发，实时更新，杜绝伪卡、挂失卡等的恶意消费；脱机运行时，终端支持强制联网机制，即脱机运行指定时间后必须联网，否则终端设备失效；脱机交易数据由终端标记，联网后提交系统平台，进行卡片有效性验证，针对合法交易记录进行入账操作，针对非法交易记录（如挂失卡、伪卡等利用设备脱机状态恶意消费的）进行坏账处理；
终端设备运行状态可由系统平台进行监控，包括但不限于断网、固件异常等。

4. 网络数据传输的安全性

网络数据传输主要从三方面保证通信和数据的安全性：

网络专用，逻辑隔离。在现有网络结构的基础上，使用 VLAN 技术进行一卡通专用网的逻辑隔离划分，使得一卡通系统通信数据的传输构建在一个虚拟的内部子网中；
通信数据加密。一卡通系统内通信数据并非采用明文传输，是在标准通信协议的基础上利用 TLS 技术和 CA 技术进行安全连接协议补充和认证加密扩展，为数据混淆加密提供双重保障；
网络链路冗余。根据用户需求，可进行网络物理链路的冗余组网（示意图如下），施行线路备份机制，单点故障下可无缝自动切换通信路由，保证系统通信的稳定性。

5. 系统数据库的安全性

5.1 数据库访问策略

在一卡通系统的 WEB 服务器与应用服务器之间建立信任边界，应用服务器与数据库服务器之间建立信任边界，根据这样的信任边界划分，系统中的用户与数据库服务器之间没有可靠的信任关系，也就不能直接对数据库进行访问。这样，即使在公共的网络环境下，一卡通中心数据库的信息也能保证不被恶意访问。

5.2 数据库备份策略

系统支持定时自动备份、手动备份，可选择增量备份或全量备份。

6. Web Service 接口的安全性

在一卡通系统中，为了体现三层架构的优越性，许多基础及核心功能用Web Service来实现，这大大增加了系统的可重用性和可伸缩性，使其易于扩展和维护。但是，在利用 Web Service 给我们带来便利的同时，也带来了安全上的隐患，这是因为 Web Service 是一种分布式的组件，它发布在 Internet 上，对外提供统一的接口以供外部调用，这样，在没有安全措施的情况下，任何知晓接口属性（可通过 WSDL 的接口描述获得）的一方都可以使用 Web Service 提供的功能，这就带来了安全的隐患。因此，为了保证一卡通系统的安全性，必须采取措施以保证 Web Service 的安全。

在一卡通系统中，采用了CA认证方案，使用 X.509 数字证书来保证其安全性。在 CA 认证体系中，数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循 ITU 的 X.509 V3 标准。基于 X.509 证书的认证技术适用于开放式网络环境下的身份认证，该技术已被广泛接受。