文档库

最新最全的文档下载
当前位置:文档库 > 校园卡管理系统论文:复合校园卡系统的安全设计及应用

校园卡管理系统论文:复合校园卡系统的安全设计及应用

\

复合校园卡系统的安全设计及应用

罗增勇带

(玉溪师范学院现代信息技术中心,云南玉溪653100)

〔关键词]校园卡;一卡通;网络安全;DES算法

[摘要〕选择DES和3DES算法作为数据传输或存储加密的办法,建立起了一个以校园网络

为依托、与银行联网的复合校园卡安全保障体系,并在玉溪师范学院校园卡系统应用中取得成功.

同时,针对DES加密算法可能出现的安全隐患,提出了在有条件的情况下宜用更好的加密算法、专

门布线、分点设防等技术手段及通过健全安全运行的管理机制来更有效地保证校园卡系统的安全

的观点.

[中图分类号]TP311.11[文献标识码]A[文章编号] 1009 - 9506(2004)12一0046一06 The Security Design of the Composite Campus

IC Cards System and its Application

LUO Zeng一yong

(Center of 1}扣rmation Technology,Yuxi Teachers’College,Yunnan 653100) Key Words: campus IC card ; one一card pass;network safety;DES Algorithms

Abstract : DES and 3 DES Algorithms are successfully applied in the encrypting of both transmis-

sions and storage of data over Yuxi Teachers’College campus network for one一card pass services con-

netted to the bank. The paper suggests that as DES might pose some unknown security dangers,a better

encoding algorithm may seem desirable. It also suggests that separate cables and fortifications at various

levels along with efficient management will ensure a safer composite campus IC card system.

目前,大专院校经常使用的校园卡系统主要有两种:一种是两卡分离,即银行磁卡和校园IC卡分离;另

一种是两卡合一的复合卡,即银行磁卡和校园IC卡合在一张卡上.

复合校园卡把金融服务与校园IC卡应用联系起来,利用银行与学校双方已有的网络资源及系统资源,

实现校园内的各种消费、缴费和各种管理功能,具备广泛的电子支付能力,给学院的广大师生员工带来了极

大的方便.但由于大量的资金在银行、学校和个人之间封闭式流通,也给复合校园卡的使用带来了许多的安

全隐患,因此安全系统的选择和设计显得尤为重要.为了配合玉溪师范学院复合校园卡系统的安全运行,笔

者通过对多种方案进行考虑后从以下六个方面对复合校园卡的安全系统进行了设计.

加密算法的选择

系统选择DES和3DES算法作为数据传输或存储加密的办法.这主要是因为:

(1)DES和3 DES算法已被广泛应用于POS , ATM、磁卡及IC卡等领域,其技术已相当

成熟.

(2)DES的算法是对称的,既可用于加密又可用于解密.它有Key(工作密钥)、Data(加密或解密的数

据)、Mode(加密或解密的工作方式)3个人口参数.

(3)DES是一种十分强壮的加密方法.DES使用56位密钥对64位的数据块进行加密,并对64位的数据

块进行16轮编码.在每轮编码时,一个48位的“每轮”密钥值由56位的完整密钥得出来.同时,通过定期在

通信网络的接收方和发送方同时改用新的Key,便能更进一步提高数据的保密性.

(4)3DES是DES的一种变形.这种方法使用两个独立的56位密钥对交换的信息(如EDI 数据)进行3

次加密,从而使其有效长度达到112位.该算法的密钥长度和密钥强度都大于优于DES 算法.

2 IC卡业务流程及安全设计

目前银行发行复合IC卡,其发卡业务流程如图1示.

图1校园卡发卡流程银行发行借记卡时,用银行的加密方法对磁卡信息加密后发行,完成复合卡的第一次发卡.二次发卡指

IC卡部分的处理和发放,它包括:

2. 1密钥系统

IC卡系统使用KeyA , KeyB两种密钥.KeyA做读卡和减值操作,用于消费和考勤等应用场合,KeyB可作

卡的任何操作,用于加值和格式化卡的操作.不同的机具分配不同的密钥来保证密钥使用的安全性.为了进

一步强化安全性,再用加密算法把所有的卡整合成一个系统,这样,即使某张卡被“偶然”破解,也不会危及

整个系统,被破解的卡还可以用对帐的方式找出来,列人黑名单,以保证系统的安全性.

2. 2密钥加密、发散

IC卡设有16个不同的应用扇区,即一个加密区(密钥区)和15个数据区,分别设有读写认证控制密钥,

主密钥由学校设定,经二次分散后产生工作密钥,对每张卡的数据加密.其过程是: IC卡系统经系统卡认证后,用加密算法建立主密钥系统.之后,系统即可对用户IC 卡初始化:清空卡内

扇区上的所有信息,主密钥系统随机生成6字节长度的读写卡工作密钥,一卡一密,并用加密算法将密钥加

密,再将密钥分发到每一张卡上;根据工作密钥将校园卡管理系统中的用户基本信息分散、加密写人到几个

应用扇区.

2. 3读写卡方式

在系统设计中,用户可以根据应用情况,设计1个加密区和若干应用扇区,加密区只存储工作密钥,其中

部分应用扇区设计成涉及电子支付和消费的加密数据区,部分应用扇区为图书馆管理系统等非加密的应用

扇区,其余扇区作扩展应用使用.写卡的时候,先到密室区用解密算法读取密钥,再根据密钥将数据加密后写

到1区或2区或3区以密文方式存储.读

卡的时候,先到密室区用解密算法读取密

钥,再根据密钥读取1区或2区或3区的

密文,解密为明文.

3校园卡专用网设计

3. 1 VLAN结构设计

基于TCP/IP网络协议和VLAN技术

构建校园卡专网,是一种经济、快速而安全

的方法.通过TCP/IP网络协议进行通信,

网络上任何节点在任何时刻都可以发送信

息,通信速度高达lOMbps或100Mbps.系

统任何节点可以实时享受全系统所有资

源,实时性明显优于其他组网方式(如RS

- 485联网方式)[3].在校园网的基础上,

通过设置VLAN建立校园卡应用系统专

┌──┬──┐

│交: │涣机│

└──┴──┘

┌───────────┐

│工c卡管理机、消费数据│

│采集机、IC卡收银终端│

└───────────┘

专网VLAN

银行专网

不安全网络

图2校园卡业务专网

网,如图2示.

在系统中,主要有三种连接情况:(1)校园卡专网与银行网连接;(2)校园卡专网与校园网及其各VLAN

连接;(3)校园卡专网与校园网上的VLAN内自设的内部网络的连接.例如,图书馆是校园网的一个VLAN,

此VLAN内还有一个图书馆内部业务的私有网络.但是,在校园卡专用VLAN上,只有校园银行前置需接入

银行网络系统,这对保障银行网络安全极有利.

校园卡应用系统与银行网络连接的前置机、与校园网连接的WEB查询服务器、与第三方软件应用接口

都用双网卡结构一端连接校园卡专用网,另一端分别连接银行网、校园网或其他网络,实现校园卡专网与银

行网、校园网或校园的其他网络隔离,保证校园卡网络安全、间接地保证银行网络安全.

3. 2防火墙设置

校园网连接各消费和服务网点,系统的服务分布范围广、贴近师生生活服务,节

点数量和类型多;校园卡

系统以2M专线的方式连接银行,因此,必须在中心管理系统一侧的软件上设置屏蔽功能,与银行的通信实

行点对点通信,对来往的IP包按安全规则进行过滤、地址转换、突发流量监控,防止不法用户对内部网络的

人侵.同时银行对接入的校园银行前置和校园自助终端用防火墙屏蔽不必要的端口和应用,对接人地址进行

控制,保证银行网络安全.

3. 3路由器设置

利用Cisco IOS“访问控制过滤一Access List Control/Extend Access List Control",实行对网段和主机的访

问控制.Access List针对数据包的目的网络地址,通过IP地址过滤作网段和主机地址的访问控制,对不同的

端口进行不同的访问控制,对不同应用使用不同的TCP端口进行分类控制;Extend Access List针对数据包的

源地址和目的地址的组合,对网络访问的网段和主机地址进行访问控制.

利用Cisco IOS“路由过滤一Routing Filtering”技术,限制某些网段的路由往其他网段发布,保证路由信息

只传输到适合的网络范围,提供网络访问的安全控制.

3. 4人侵检测、漏洞扫描、防病毒体系

为防止内部攻击和弥补防火墙的不足,还有必要部署本地网络的人侵检测设备和漏洞扫描系统,由此识

别内部系统网络和数据资源的可疑行为,并对这些行为做出反映.

防病毒是网络安全体系中最基本的部分,在校园卡系统中宜使用正规知名品牌软件.

4 POS机的业务流程安全设计

POS机是校园卡系统中基础的交易业务设备,具

有微处理器和双存储器,双工备份,可有效解决主存储

模块损坏而造成数据丢失的问题.初始化时,主密钥系

统清空机内的交易数据和黑名单,建立密室、分发工作

密钥及密钥加密;设置IP地址、下载新的黑名单;通过

设置与数据采集机一致的时间和机器号,与卡管理中

心建立一一对应的惟一地址码,有效地预防不同营业

者之间的营收盗用问题.进行交易时,读写IC卡及交

易信息,由机内的加密算法对交易流水加密、打包、存

储,并在采集机采集时传输加密包,保证消费数据来源

的可靠性.由于交易是假脱机消费,即只在卡上扣减余

额、在POS上存储交易额,而后台账务并未调整,可有

效地解决联机交易中容易发生中途数据遗失或资金盗

改问题.其应用业务流程如图3.

POS机可存储1. 6万条交易记录,存储方式采用

队列式轮询技术.当存储充满准备循环时,如果交易记

录未被采集,会自动停机报警并暂停使用、提示采集数

据,防止最原始的交易记录丢失.数据采集按指针顺序

┌───────────────┐

│使用系统卡进行POS通信密钥初始│

└───────────────┘

┌──────────┐

│在POS上输人消费金额│┌───────┐

└──────────┘│流水内容包含: │

┌────┐│学生编号、交易│

│刷卡消费││金额、交易状│

└────┘│态、IC卡操作次│

┌────────┐│数、交易时间、│

│POS终端记录流水││设备交易流水号│

└────────┘││

└───────┘

┌───────────────────┐

│采集机接收POS机数据并验证数据的有效性│

└───────────────────┘

┌───────────────┐

│POS终端正常流水上送到校园主机│

└───────────────┘

图3 PO S终端消费流程

采集,采集过的数据打上标记,采集完后开始循环.

5校园卡圈存业务及数据传输安全设计

圈存是校园卡系统最基本的交易业务,包括自助终端圈存和专用圈存机圈存两种.它们都通过学校银行

前置机与银行网进行通信,但不尽相同.专用圈存机是软件、硬件分离,其工作方式是:专用圈存软件系统预

置在学校银行前置机或其他设备上,定时地不断向专用圈存机发送密文请求包.若圈存机发生圈存交易,则

用机内的加密方法配合请求包,将信息加密发给圈存软件系统,通过专用圈存软件传给学校银行前置机解

密.之后,学校银行前置机再用银行的加密方法加密后传到银行前置机.如果交易成功,专用圈存软件向圈存

机发出写卡指令.自助终端本身就是一台PC,是软硬件一体化的圈存设备,既可以作圈存业务又可以直接进

行各种缴费,发生交易时,可在本机上实现加密传输和解密接收.校园银行前置机是惟一与银行网通信的设

备,负责对来自银行和学校方的信息进行接收解密和重新加密发送工作.它们的业务流程见图4.

专用圈存机上插卡

在自助圈存机上插卡

读出IC芯片中校园和银行信息

读出磁道信息和IC芯片中校园信息

输入圈存金额和银行密码

加密后经校园网传输到校园银行前置机

校园银行前置解密后记录流水

自助终端记录流水

采用银行提供的算法和密钥加密

经银行网发送到银行前置

流水内容包含:编

号、银行卡号、交易

金额、交易状态、IC

卡操作次数、设备交

易流水号

银行交易成功

自助终端

银行超时

校园银行前置/自

助终端生成失败流

水送到校园主机

喇十

校园银行前置/自助

终端生成异常流水

并上送到校园主机

校园银行前置/自

助终端生成正常流

水送到校园主机

每日同银行对帐

后转化成冲正流

水或失败流水

图4专用圈存机和自助终端圈存业务流程由于发生在学校的圈存交易流水全部通过校园网专网传输到校园前置或银行前置,需研究和解决好以

下四个方面问题.

5. I圈存通信设计

参见图3,校园网中校园银行前置设置IP访问列表,只允许专用圈存机(通过圈存机专用软件)、自助圈

存机、IC卡管理机的IP访问,并接收和发送来源于它们的信息,使访问控制在指定范围内,禁止非法访问.

专用圈存机到校园银行前置之间用加密算法进行加密;校园端到银行端的数据用银行提供的加密算法

加密,保证账号、密码、金额等信息不被破解.利用发卡流程中每个客户在银行方已建立的银行帐号与IC卡

号对应的客户编号信息,使圈存业务与银行交易数据传递时只传输客户编号,不直接传递银行帐号信息,保

证账号与密码信息不被同时截获,进一步保障账户信息的安全.

若加密后的数据被截取并被复制发送,还可以通过惟一的流水号进行判断并自动过滤.

5. 2传输安全策略

传输安全策略主要包括:(1)身份认证;(2)访问控制;(3)传输数据的加密;(4)传输数据的完整性;(5)

访问的不可否认.

5. 3传输加密和认证

在数据传输过程中,主要采用对消息中的敏感信息进行加密和MAC验证两种方法保证数据传输过程中

的保密性、完整性和来源的合法性.MAC验证是指用报文来源正确性鉴别(MAC一Message Authentication

Code)判别报文来源是否正确,以及报文在发送途中是否被篡改.发送方在发出消息之前,需按规定的加密

算法产生MAC,随消息一起发往接收方;接收方在收到消息后,按相同的算法鉴别消息来源正确性;只有鉴

别结果正常时,才进行消息的业务处理.

文件的加密需要考虑两方面的特殊情况,即文件的非实时性引起的、可能导致数据密钥更改的时间间

隔;另一方面是数据量较大可能引起的加密时间问题.因此,对文件的MAC计算采用在文件的末尾带上

MAC KEY和MAC两个字段的办法,使产生和验证MAC的数据密钥与时间无关.

5.4数据采集完整性的保证

既要在数据中心制定和提供数据完整性的有效保证机制,还要在数据传输过程中用MAC验证方式来确

保数据传输的完整性.但对于一些用卡环境比较恶劣引起的消费数据采集不完全、部分网点设备和人员技术

水平引起的消费数据丢失等情况,需要应用系统方面增加对数据完整性检测和统计、消费数据的对帐等功

能,来发现和恢复丢失的数据.

6主机及应用系统安全设计

6. 1主机安全

主机是整个系统的核心部分.常见的问题是数据传输过程中突然断电导致数据流失、单一硬盘损坏造成

系统瘫痪、自然灾害导致数据丢失、操作员越权操作等.需要有供电、数据备份和权限管理措施,坚持各个工

作站存储日交易数据.

6. 2数据存储安全

数据包括存放在数据库的信息和文件系统的数据文件信息.存储安全主要有:

6. 2. 1访问控制策略

依据最小权益策略、最小泄漏原则、多级安全策略等采取措施保证数据库的安全.

(1)数据中心主机的访问控制.除系统管理员外,限制其他人员以终端方式或从局域网上登录数据中心

主机.系统内部的业务操作人员须在系统控制台给出身份验证信息后,在个人权限允许范围内、通过交易对

数据库或者数据文件进行操作,从根本上禁止不受控制和审计的直接操作.

(2)访问控制表和权限.将数据库内存储的信息按敏感级别划分,编号存人数据访问控制表中,同时注

明范围、每个数据目标所需的操作员权限.划分每个操作员的数据访问和操作权限并记录在表中.将访问控

制表和操作员权限表构成访问控制矩阵,阻止非法用户进人系统.(3)敏感数据的加密存储.

6. 2. 2外部消费点服务器与核心数据库服务器的隔离

数据中心与数据采集点、消费和服务网点的信息传递范围局限于应用服务器和接入终端之间,任何接人

终端都不能直接访问数据库服务器.

6. 2. 3数据库和数据文件的备份与恢复

用完全备份、增量备份、差分备份等策略对数据库、采集过程中数据文件进行综合的备份与恢复,

6. 2. 4账务安全

账务安全的办法是对交易的每个状态进行记录,以此对交易的各种情况进行识别和恢复;采取每日同银

行对帐的方式:以银行交易为准,校园卡系统提供冲正手段.

6. 3用户安全和系统审计

在建立用户、权限角色和系统资源的规划后,用户安全的主要任务是系统资源的权限调整、用户权限的

分配和收回,三者的状态和使用情况的实时监控、信息统计和管理.