校園一卡通系統(tǒng)安全設(shè)計與實施

李 良

（江蘇經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 江蘇 南京 211168）

0 引言

“校園一卡通”系統(tǒng)實施前，我院存在著借書卡、飯卡、上機卡、開水卡、洗衣卡、購電卡等多種卡片，且各自的管理系統(tǒng)相互獨立。我院實施一卡通系統(tǒng)后將這些功能統(tǒng)一到一張卡片進行管理，為全面建設(shè)數(shù)字化校園奠定了基礎(chǔ)，也方便了廣大師生員工的學(xué)習(xí)、生活。因為系統(tǒng)包含消費、身份識別以及管理功能，系統(tǒng)地安全性至關(guān)重要。

1 安全性設(shè)計需要考慮的因素

一卡通系統(tǒng)中涉及到眾多的設(shè)備及相關(guān)數(shù)據(jù)，如：卡片、POS機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、消費信息數(shù)據(jù)等。這些設(shè)備及數(shù)據(jù)的安全，是整個校園卡系統(tǒng)安全、穩(wěn)定運行的基礎(chǔ)。

1.1 卡片安全

主要考慮卡中信息在存儲及交易過程中的完整性、有效性和真實性，防止對卡片的偽造以及對卡中的信息進行非法修改和非法使用。

1.2 讀卡設(shè)備安全

校園卡系統(tǒng)中讀卡設(shè)備的安全主要包括POS機的安全、圈存機的安全和系統(tǒng)黑白名單的管理。

POS機涉及校內(nèi)的食堂、超市、校園班車等眾多的公共服務(wù)場所，且需要對卡內(nèi)的金額信息進行讀寫操作，所以POS機本身的穩(wěn)定運行和存儲數(shù)據(jù)的安全可靠，成為校園卡系統(tǒng)安全性重要的指標(biāo)之一。

1.3 網(wǎng)絡(luò)安全

在校園網(wǎng)環(huán)境上傳輸一卡通數(shù)據(jù),必須防止非法用戶在傳輸過程中篡改數(shù)據(jù)或通過校園網(wǎng)侵入運行在校園網(wǎng)硬件平臺的校園一卡通系統(tǒng)。

1.4 應(yīng)用系統(tǒng)服務(wù)器及卡中心數(shù)據(jù)庫服務(wù)器安全

既要防范黑客、病毒入侵、破壞應(yīng)用系統(tǒng)服務(wù)器及卡中心數(shù)據(jù)庫服務(wù)器，也要減少設(shè)備故障、停電、火災(zāi)等意外情況發(fā)生帶來的不利影響。

中心數(shù)據(jù)庫服務(wù)器存儲了全部的身份信息和交易信息，是校園卡系統(tǒng)的中樞，其安全性對整個校園卡系統(tǒng)的安全有決定性的影響。為保證中心數(shù)據(jù)庫服務(wù)器安全、穩(wěn)定、可靠和高效的運行，防范網(wǎng)絡(luò)攻擊、病毒、黑客入侵以及對數(shù)據(jù)庫的非法訪問、篡改和刪除，需要從硬件配置、操作系統(tǒng)和數(shù)據(jù)庫等三個層次上來采取措施。

2 系統(tǒng)安全性設(shè)計

系統(tǒng)安全性需要考慮的內(nèi)容較多，這里只列舉了系統(tǒng)實施過程中部分安全性設(shè)計實現(xiàn)。

2.1 卡片安全設(shè)計

M1卡通過天線感應(yīng)進行讀寫操作，在出現(xiàn)電網(wǎng)干擾、感應(yīng)臨界點等情況下，可能出現(xiàn)讀寫信息出錯。為了降低讀寫信息出錯的概率，可以通過將頻繁寫的信息如金額和不常使用的信息如姓名、學(xué)號等分別存放在不同的扇區(qū)，來減少在頻繁使用的場合中讀寫信息的時間。

通過對卡內(nèi)存儲的信息增加較驗算法，卡內(nèi)信息不能被篡改。對于被篡改的卡，由于卡內(nèi)信息不符合較驗算法，所以在其被使用時，系統(tǒng)會自動報警，不允許使用。另外，還可以通過上層軟件來實現(xiàn)對異?？ǖ淖詣觾鼋Y(jié)。

2.2 讀卡設(shè)備安全設(shè)計

為了確保交易數(shù)據(jù)存儲的安全，POS機內(nèi)應(yīng)包含大容量的非易失性存儲空間，以存儲足夠的脫機交易記錄和黑名單。在內(nèi)部的數(shù)據(jù)存儲器空閑存儲空間不多時，POS機應(yīng)自動產(chǎn)生提示信息。在內(nèi)部的數(shù)據(jù)存儲器已經(jīng)存滿時，POS機應(yīng)自動報警并拒絕消費，保證已經(jīng)存儲的數(shù)據(jù)的安全可靠。存儲脫機交易流水信息時，在每條記錄中增加通過加密算法生成的校驗碼，以識別對數(shù)據(jù)存儲器的非法修改。

黑名單管理是各類讀卡機具都需要具備的一個重要功能。由于讀卡機具內(nèi)的數(shù)據(jù)存儲空間有限，而因為丟卡產(chǎn)生黑名單數(shù)量總是在增加，所以如果不采取措施控制黑名單的數(shù)量，終有一天會出現(xiàn)讀卡機具數(shù)據(jù)存儲器滿，新掛失的卡片不能進入黑名單的情況。而且，當(dāng)黑名單數(shù)量達(dá)到一定量以后，讀卡速度會受到影響，從而降低讀卡機具的處理速度。為控制黑名單的數(shù)量，一方面，可采用設(shè)置卡片使用有效期的方法，在卡片開戶時寫入有效期。當(dāng)卡片超出有效期沒有重新注冊，讀卡機具會自動拒絕其使用，系統(tǒng)會自動從讀卡機具內(nèi)清除這些黑名單。另一方面，可采用批次的概念，將一屆學(xué)生設(shè)置為一個批次，當(dāng)該屆學(xué)生離開時，將該批次號掛失，同時從掛失庫中清除該批次卡號。

2.3 數(shù)據(jù)傳輸安全設(shè)計

我院一卡通網(wǎng)絡(luò)采用物理獨享專網(wǎng)和VLAN虛擬局域網(wǎng)相結(jié)合的模式,有些場所，如食堂、超市、創(chuàng)業(yè)園等地方，原本沒有網(wǎng)絡(luò)，為一卡通專門實施了網(wǎng)絡(luò)布線工程。有些原本已有網(wǎng)絡(luò)的地方，用VLAN劃分虛擬局域網(wǎng)，對接入點進行專門的設(shè)置。

為應(yīng)對交易記錄從POS機到數(shù)據(jù)通訊網(wǎng)關(guān)的傳輸過程中被篡改，在普通的POS機中，每產(chǎn)生及上傳一筆交易記錄時，每筆記錄均采用16位CRC校驗；在配置有PSAM卡的POS中，每產(chǎn)生及上傳一筆交易記錄時，每筆記錄中均通過PSAM卡加密校驗，然后上傳至數(shù)據(jù)通訊網(wǎng)關(guān)。數(shù)據(jù)通訊網(wǎng)關(guān)通過驗證校驗碼，以確保采集到的校驗記錄的完整性和合法性。

為應(yīng)對數(shù)據(jù)傳輸過程中因網(wǎng)絡(luò)故障而導(dǎo)致的數(shù)據(jù)丟失，在POS機的硬件設(shè)計中增加重復(fù)采集的功能。即在采集脫機交易流水時，只是移動指針，采集完畢后流水仍存在于POS機的數(shù)據(jù)存儲器內(nèi)，以便對全部或指定范圍的流水記錄重新采集。由于數(shù)據(jù)丟失往往是因為存儲芯片中的數(shù)據(jù)指針丟失造成的，所以需要將數(shù)據(jù)指針保存在存儲器中的多處不同位置。只要指針有一處存在，即可確保數(shù)據(jù)讀取正確。

2.4 應(yīng)用系統(tǒng)服務(wù)器及卡中心數(shù)據(jù)庫服務(wù)器安全

應(yīng)用系統(tǒng)服務(wù)器及卡中心數(shù)據(jù)庫服務(wù)器統(tǒng)一放到信息中心集中管理，配備UPS、監(jiān)控系統(tǒng)、自動報警系統(tǒng)、七氟丙烷氣體滅火裝置等基礎(chǔ)設(shè)施，對硬件設(shè)備進行了很好的保護。

在硬件配置方面，卡中心數(shù)據(jù)庫服務(wù)器采用雙機熱備份，一臺機器故障，瞬間可切換到備用機，使其接替工作，保障數(shù)據(jù)服務(wù)的不中斷。在操作系統(tǒng)方面，卡中心數(shù)據(jù)庫服務(wù)器安裝安全性較高的redhat linux操作系統(tǒng)，在安裝操作系統(tǒng)時采用較高的安全級別，關(guān)閉不用的網(wǎng)絡(luò)訪問服務(wù)并設(shè)置科學(xué)合理的密碼管理機制。在數(shù)據(jù)庫方面，需要防止非法使用所造成的數(shù)據(jù)泄漏、修改和損害。應(yīng)用系統(tǒng)設(shè)計上采用三層架構(gòu)，實現(xiàn)中心數(shù)據(jù)庫和應(yīng)用層的隔離，屏蔽用戶直接對數(shù)據(jù)庫的操作，保證數(shù)據(jù)安全。

3 異地容災(zāi)系統(tǒng)的實施

作為學(xué)院的金融系統(tǒng)，一卡通數(shù)據(jù)安全性至關(guān)重要，如何建設(shè)一個應(yīng)對火災(zāi)、設(shè)備損壞等情況下的異地容災(zāi)系統(tǒng)，具有極重要的現(xiàn)實意義。而一旦發(fā)生災(zāi)難，容災(zāi)系統(tǒng)將能保證業(yè)務(wù)盡快恢復(fù)，甚至可以保證業(yè)務(wù)不間斷執(zhí)行。為此我院實施了一卡通系統(tǒng)數(shù)據(jù)實時異地備份系統(tǒng)。

3.1 地址選擇

方案實施前，我院已經(jīng)有兩臺富士通E3000系列光纖存儲設(shè)備，分別放置在現(xiàn)代教育技術(shù)中心五樓設(shè)備中心（以下簡稱A地）和圖書館一樓設(shè)備中心（以下簡稱B地），兩個中心分屬不同建筑，直線距離超過200米并有光纜連通，符合校園內(nèi)異地備份條件。我院一卡通數(shù)據(jù)存儲在A地富士通存儲內(nèi)，采用的數(shù)據(jù)庫系統(tǒng)為Oracle。

3.2 方案選擇

制定方案時充分考慮依托現(xiàn)有條件，計劃將A地一卡通數(shù)據(jù)實時備份到B地富士通存儲內(nèi)，達(dá)到實時異地備份目的。對多種方案進行了比較，最后選擇了通過企業(yè)版Oracle 10 G數(shù)據(jù)庫套件來完成實時備份功能。

3.3 方案實施

為了確保數(shù)據(jù)的安全，采用了三級備份模式。（1）兩地存儲各擴容4塊磁盤，專用于存儲一卡通數(shù)據(jù)，磁盤間通過RAID完成磁盤級數(shù)據(jù)同步備份，此為第一級備份，保證部分硬盤損壞的情況下數(shù)據(jù)不遺失。（2）本地異機定時備份，A地一卡通數(shù)據(jù)，每日定時備份到本地另外一臺服務(wù)器上，雖然不具備實時性，但可保留多個時段數(shù)據(jù)版本，此為第二級備份。（3）實時異地備份，兩地均安裝企業(yè)版Oracle數(shù)據(jù)庫，并設(shè)置將數(shù)據(jù)存放在存儲設(shè)備上，兩地存儲用光纖互聯(lián)，通過配置Oracle數(shù)據(jù)庫實現(xiàn)數(shù)據(jù)的實時備份，此為第三級備份。這種備份實現(xiàn)了數(shù)據(jù)的實時異地備用功能，是三級備份模式中最復(fù)雜、最重要的一種模式，可以起到異地容災(zāi)的效果，避免火災(zāi)等惡劣事件帶來的數(shù)據(jù)損失。

［1］李相汝.一卡通與校園網(wǎng)的融合及安全[J].安陽工學(xué)院學(xué)報，2006(4).

［2］李良.數(shù)據(jù)備份策略與容災(zāi)系統(tǒng)方案研究[J].新校園，2010(12).