高校校園卡的安全性

安雪梅，王福生

(河北聯(lián)合大學(xué)礦業(yè)工程學(xué)院，河北唐山063009)

校園一卡通系統(tǒng)是以校園網(wǎng)為基礎(chǔ)，利用卡作為電子身份的載體，持卡人在其身份允許的范圍內(nèi)，實(shí)現(xiàn)在校園內(nèi)進(jìn)行商務(wù)消費(fèi)、身份識(shí)別認(rèn)證、金融服務(wù)等活動(dòng)的數(shù)字化、信息化［1］。在一卡通系統(tǒng)中信息的載體是校園卡，它是一卡通系統(tǒng)里最基礎(chǔ)、最重要的設(shè)備，也是整個(gè)系統(tǒng)的第一道屏障，因此卡片的安全是一卡通系統(tǒng)運(yùn)行成敗的關(guān)鍵之一。

1 校園卡介紹

IC卡是集成電路卡(Integrated Circuit-card，IC)的英文簡稱，又稱智能卡。它是將集成電路芯片鑲嵌于塑料基片中，封裝成外型尺寸和磁卡類似的卡片制成［2］。

按照IC卡與讀寫設(shè)備間的數(shù)據(jù)交換方式，可分為接觸型和非接觸型IC卡兩種。接觸型IC卡就是在使用時(shí)，必須通過有形的電極觸點(diǎn)將卡的集成電路與外部設(shè)備直接接觸連接才能進(jìn)行數(shù)據(jù)交換;非接觸型IC卡就是通過無線電波或電磁場感應(yīng)的方式，將卡中集成電路內(nèi)的數(shù)據(jù)與外部接口設(shè)備進(jìn)行通信，完成數(shù)據(jù)讀寫。非接觸型IC卡又稱無觸點(diǎn)集成電路卡、射頻卡。

按照IC卡的功能和結(jié)構(gòu)不同，可分成以下三類［3］:(1)一般存儲(chǔ)器卡:卡中的集成電路芯片為EEPROM(即可用電擦除的可編程只讀存儲(chǔ)器，用于存儲(chǔ)用戶信息)，只具有簡單的數(shù)據(jù)存儲(chǔ)能力。(2)邏輯加密存儲(chǔ)器卡:卡內(nèi)芯片增加了加密邏輯電路，只有當(dāng)外部讀寫設(shè)備通過硬件邏輯電路的判斷后，才可讀寫EEPROM中的數(shù)據(jù)。通過校驗(yàn)密碼方式來保護(hù)卡內(nèi)數(shù)據(jù)的安全。(3)CPU卡:卡中的集成電路包括中央處理器CPU、EEPROM、隨機(jī)存儲(chǔ)器RAM以及固化在只讀存儲(chǔ)器ROM中的芯片操作系統(tǒng)COS(Chip Operating System，COS)。裝有COS的CPU卡相當(dāng)于一臺(tái)微型計(jì)算機(jī)，不僅具有數(shù)據(jù)存儲(chǔ)功能，同時(shí)具有命令處理和數(shù)據(jù)安全保護(hù)等功能［4］。CPU卡采用動(dòng)態(tài)密鑰對(duì)信息進(jìn)行加密處理，每次讀寫卡片的交易密碼都不同，從而有效地防止卡密鑰被破解。嚴(yán)格地講，只有CPU卡才是真正的智能卡。從安全性角度來看，CPU卡使用是必然趨勢。但由于成本較高，目前大范圍推廣使用仍然存在一定的難度。

2 校園卡存在的安全問題

目前高校的校園卡普遍使用了最流行的M1(Mifare One)，即非接觸式射頻卡，隨著這種非接觸邏輯加密卡應(yīng)用的不斷擴(kuò)大和深入，陸續(xù)出現(xiàn)的安全問題主要包括以下兩個(gè)方面。

(1)卡丟失后被非法盜用問題:卡丟失后，因密碼為統(tǒng)一的初始密碼未能及時(shí)修改，致使卡掛失后被解掛;或初始密碼雖已修改，但未能及時(shí)掛失導(dǎo)致被非法盜用，侵害卡內(nèi)數(shù)據(jù)安全。

(2)Mifare卡密鑰被破解危機(jī):M1卡采用的是“一卡一密”對(duì)信息進(jìn)行加密處理，但該密鑰是固定的，一旦M1卡安全算法被破譯后，不法分子可以對(duì)卡片進(jìn)行偽造、復(fù)制、甚至對(duì)卡內(nèi)信息進(jìn)行非法修改，并成功通過終端的認(rèn)證，這勢必對(duì)校園卡的應(yīng)用帶來很大的安全隱患。

3 校園卡安全解決方案

校園一卡通系統(tǒng)中，卡是實(shí)現(xiàn)功能的載體，卡結(jié)構(gòu)和卡內(nèi)存儲(chǔ)的信息，關(guān)系到整個(gè)系統(tǒng)功能的實(shí)現(xiàn)，因此在一卡通系統(tǒng)應(yīng)用中對(duì)卡片的安全性要求非常高。針對(duì)目前M1卡密碼被破解等校園卡安全問題，對(duì)于大部分高校來講，比較有效的解決方案是在探索CPU卡替代方案的同時(shí)，針對(duì)現(xiàn)有校園卡從技術(shù)和管理兩個(gè)方面加強(qiáng)防范措施，增加破解難度，降低非法獲利，保證校園卡系統(tǒng)的安全性。

3.1 技術(shù)手段

3.1.1 卡片選擇與設(shè)計(jì)

學(xué)校選用的是非接觸式IC卡中Ml射頻卡，這種IC卡使用了最好的飛利浦芯片，與讀寫器之間采用雙向驗(yàn)證機(jī)制，即讀寫器驗(yàn)證IC卡的合法性，同時(shí)IC卡也驗(yàn)證讀寫器的合法性，傳遞數(shù)據(jù)有嚴(yán)格的加密算法和密碼保護(hù)。具體包括以下幾個(gè)方面:

(1)序列號(hào)唯一

M1卡使用獨(dú)一無二的序列號(hào)，并作為一卡通系統(tǒng)的卡號(hào)，以讀卡號(hào)作為系統(tǒng)的唯一主索引，以保證每一張卡的全球唯一性，防止出現(xiàn)卡的外觀和卡內(nèi)信息被仿造的可能。

(2)卡密鑰管理

校園卡芯片上共有16個(gè)存儲(chǔ)扇區(qū)，每個(gè)扇區(qū)有單獨(dú)密鑰，可獨(dú)立應(yīng)用?？ㄆ捎谩耙豢ㄒ幻?、一區(qū)一密、一個(gè)扇區(qū)的密鑰由兩套密碼組成”的加密機(jī)制，并且采用多種加密算法，防止他人破譯，篡改卡內(nèi)信息［5］。在出廠時(shí)通過加密算法生成出廠密鑰，防止偽卡的應(yīng)用;在使用之前首先要注冊，注冊時(shí)先驗(yàn)證出廠密碼，然后根據(jù)持卡人信息生成卡片密鑰，根據(jù)加密算法得出卡片的讀寫控制密鑰，寫入卡內(nèi)?？ㄆ瑑?nèi)所存儲(chǔ)的數(shù)據(jù)采用三層128位DES加密算法進(jìn)行加密，另外通過加強(qiáng)密鑰發(fā)散和改進(jìn)讀寫卡方式等來保證卡片的安全性。

(3)密碼保護(hù)

M1卡共分為16個(gè)存儲(chǔ)扇區(qū)，每個(gè)區(qū)都有獨(dú)立的密碼信息，在對(duì)每個(gè)區(qū)的信息進(jìn)行讀寫前，首先需要獨(dú)立雙向三次認(rèn)證，對(duì)本區(qū)的密碼進(jìn)行校對(duì)，正確后才能對(duì)本區(qū)的信息進(jìn)行正常操作。M1卡密碼是由12位字符、每位16進(jìn)制組成，密碼極難被破解，保護(hù)了卡內(nèi)信息。我們?yōu)槊繌埿@卡設(shè)置帳戶初始密碼，持卡人可以在每一臺(tái)自助繳費(fèi)圈存機(jī)或校園卡中心修改密碼。

(4)備份機(jī)制

系統(tǒng)中在卡內(nèi)的重要信息都是采用備份的方法在卡內(nèi)記錄兩次，卡內(nèi)始終保存著上一次的卡余額和寫卡次數(shù)，以便隨時(shí)進(jìn)行查詢、處理，防止一些不可預(yù)見的誤操作給學(xué)生帶來的損害，也更好地保護(hù)了卡內(nèi)信息的完整性和安全性。

(5)性能檢驗(yàn)

因?yàn)榭ㄆ鎯?chǔ)空間足夠大，所以在卡內(nèi)記錄了詳細(xì)的金額信息，這些信息本身就有一套完善的卡內(nèi)信息校驗(yàn)機(jī)制。在我們的卡記過的密碼校驗(yàn)后，正常操作前，POS機(jī)或軟件系統(tǒng)就可以根據(jù)卡內(nèi)記錄的校驗(yàn)信息確定卡的有效性。若數(shù)據(jù)被非法修改，則無法通過讀卡設(shè)備的校驗(yàn)，卡片將被拒絕使用。

(6)信息分區(qū)

在卡內(nèi)寫入了持卡人的許多信息，包括金額信息、用戶ID號(hào)、用戶賬號(hào)、使用期限、卡狀態(tài)、寫卡次數(shù)等，根據(jù)使用頻率不同和使用便利程度，把金額信息和其他身份信息放在不同的分區(qū)，這樣校園卡收費(fèi)系統(tǒng)和校園卡身份識(shí)別系統(tǒng)就可以使用各自的區(qū)域，相互之間互不干擾。這樣既能保證卡的讀寫速度，縮短卡的每次交易時(shí)間，又能防止因卡操作時(shí)間過長而持卡人又提前拿走卡而造成的卡讀寫錯(cuò)誤。

3.1.2 限制消費(fèi)額度

通過對(duì)校園卡設(shè)定“次消費(fèi)限額”和“日消費(fèi)限額”使消費(fèi)者每次和每日的交易金額受到限制，當(dāng)消費(fèi)者

次消費(fèi)累計(jì)超過系統(tǒng)設(shè)定的閥值時(shí)，需要輸入密碼才能繼續(xù)消費(fèi)，如果密碼不正確，本次消費(fèi)取消。這樣持卡人在丟失卡和辦理掛失手續(xù)這段時(shí)間內(nèi)，可以限制丟失卡的消費(fèi)金額，盡可能地保護(hù)持卡人的利益。

3.1.3 增強(qiáng)異常數(shù)據(jù)處理功能

一卡通系統(tǒng)軟件有專門的異常數(shù)據(jù)處理模塊，系統(tǒng)管理員每天對(duì)軟件產(chǎn)生的異常數(shù)據(jù)進(jìn)行查看。校園一卡通系統(tǒng)的中心數(shù)據(jù)庫中存儲(chǔ)著每個(gè)用戶詳細(xì)的交易明細(xì)，這些數(shù)據(jù)之間正常情況下應(yīng)存在著一定的邏輯關(guān)系。數(shù)據(jù)分析監(jiān)控平臺(tái)一旦發(fā)現(xiàn)數(shù)據(jù)之間邏輯關(guān)系不成立，則將其列為異常數(shù)據(jù)，并將該卡片判定為異?？?，將其凍結(jié)，加入到黑名單，并下發(fā)到各個(gè)終端設(shè)備，以有效防止非法卡在系統(tǒng)中的使用。

3.1.4 加強(qiáng)黑名單的管理

黑名單是指由于校園卡掛失、過期、注銷、凍結(jié)等原因所產(chǎn)生的禁止使用的卡名單。通過讀卡設(shè)備實(shí)時(shí)下載系統(tǒng)中的黑名單，可以有效禁止非法卡的使用，以保護(hù)卡內(nèi)資金的安全。為實(shí)現(xiàn)黑名單的及時(shí)下傳，特研發(fā)黑名單廣播功能，采集程序自動(dòng)把掛失卡的黑名單下傳到聯(lián)網(wǎng)的消費(fèi)機(jī)上，實(shí)現(xiàn)掛失的實(shí)時(shí)性。為防止因讀卡設(shè)備數(shù)據(jù)存儲(chǔ)器寫滿，新掛失的卡不能進(jìn)人黑名單的情況，采用設(shè)置卡使用步長、使用期限及批次處理的方法來有效控制黑名單的數(shù)量。

3.1.5 建立終端設(shè)備聯(lián)機(jī)監(jiān)控報(bào)警機(jī)制

終端設(shè)備只有在聯(lián)機(jī)狀態(tài)下才能及時(shí)的將消費(fèi)數(shù)據(jù)上傳，并接受中心系統(tǒng)下發(fā)的黑名單。為此單獨(dú)研發(fā)了監(jiān)控設(shè)備的報(bào)表，在一卡通中心即可利用軟件實(shí)時(shí)監(jiān)控設(shè)備故障、聯(lián)機(jī)、脫機(jī)、未初始化等情況，若有POS出現(xiàn)異常情況時(shí)，監(jiān)控系統(tǒng)能很快準(zhǔn)確定位它的位置，并給出異常狀態(tài)的錯(cuò)誤代碼，以便及時(shí)對(duì)脫機(jī)設(shè)備進(jìn)行維護(hù)，保證網(wǎng)絡(luò)系統(tǒng)暢通運(yùn)行。同時(shí)增加終端設(shè)備聯(lián)機(jī)監(jiān)控報(bào)警平臺(tái)，若出現(xiàn)聯(lián)機(jī)不正常的狀態(tài)就以發(fā)送消息、郵件方式通知給管理員進(jìn)行報(bào)警，便于及時(shí)檢測脫機(jī)設(shè)備并進(jìn)行修復(fù)，提高了維護(hù)的及時(shí)性與準(zhǔn)確性。

正是由于在校園卡系統(tǒng)設(shè)計(jì)中采取了以上技術(shù)防范措施，一旦有非法復(fù)制或修改的校園卡在使用，系統(tǒng)就可以主動(dòng)發(fā)現(xiàn)并拒絕使用，同時(shí)還可通過數(shù)據(jù)跟蹤找到相應(yīng)的非法卡，追查相關(guān)的責(zé)任人，從而保證了整個(gè)校園卡系統(tǒng)的安全性。

3.2 管理手段

為了保證校園一卡通系統(tǒng)中的卡片安全，除了要有完善的技術(shù)保障措施外，還應(yīng)加強(qiáng)校園卡的安全管理。

(1)加強(qiáng)卡片的安全性管理，實(shí)行實(shí)名制和申領(lǐng)批準(zhǔn)制度。系統(tǒng)中詳細(xì)登記持卡人資料，以保證出現(xiàn)安全問題時(shí)有據(jù)可查;對(duì)卡片進(jìn)行分類管理，分別授予不同的權(quán)限和功能，為在冊的學(xué)生和教職工發(fā)放的是學(xué)生卡、教工卡，為臨時(shí)進(jìn)修、培訓(xùn)和臨時(shí)工作人員辦理的是只能在對(duì)外開放的消費(fèi)點(diǎn)和服務(wù)點(diǎn)使用的臨時(shí)卡，這樣既方便學(xué)校的管理，也減少外來人員與校內(nèi)教學(xué)、科研系統(tǒng)接觸的機(jī)會(huì);為每一張卡片設(shè)置使用有效期，超出有效期的卡片全部凍結(jié)，并及時(shí)清理，以減少系統(tǒng)資源占用。

(2)加強(qiáng)對(duì)學(xué)生校園卡使用與管理的安全防范意識(shí)宣傳與教育，保管好自己的校園卡，不要給陌生人使用，卡上一次不要充太多的錢;建議學(xué)生及時(shí)修改初始密碼，丟失后及時(shí)掛失，這些可以通過圈存機(jī)隨時(shí)進(jìn)行自助辦理，以減少持卡人因卡丟失被他人惡意消費(fèi)造成的損失。

(3)加強(qiáng)校園卡軟、硬件系統(tǒng)維護(hù)與管理，保證校園一卡通系統(tǒng)網(wǎng)絡(luò)的暢通，實(shí)時(shí)上傳各種交易數(shù)據(jù)，自動(dòng)進(jìn)行后臺(tái)分析處理。發(fā)現(xiàn)異常校園卡立即通知相關(guān)管理人員并下發(fā)黑名單，各應(yīng)用子系統(tǒng)將拒絕使用黑名單中的卡片，以有效保證持卡人的利益。

4 結(jié)語

一個(gè)完善的校園一卡通系統(tǒng)安全性不能完全依賴于校園卡，卡片只是整個(gè)系統(tǒng)中的一個(gè)環(huán)節(jié)。關(guān)鍵是我們要重視校園卡系統(tǒng)的整體安全性，從設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)、信息和管理等各方面建立綜合防范機(jī)制，形成有效的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力，及時(shí)監(jiān)控和捕獲卡異常情況，并限制甚至禁止非法卡的使用，使不法之徒無可乘之機(jī)，才能充分保證校園卡的安全。

［1］ 馮宇.校園一卡通安全體系架構(gòu)研究［D］.電子科技大學(xué)，2009.

［2］ 王愛英.智能卡技術(shù)［M］.北京:清華大學(xué)出版，1996.

［3］ 余雪麗.校園一卡通系統(tǒng)的設(shè)計(jì)與安全性分析［D］.天津大學(xué)，2006.

［4］ 中國一卡通網(wǎng).CPU卡加密系統(tǒng)與邏輯加密存儲(chǔ)IC卡加密系統(tǒng)的比較［OL］.http://blog.csdn.net/vitorhuang/article/details/5515804.

［5］ 彭偉，沈富可.升級(jí)一卡通安全策略［J］.中國教育網(wǎng)絡(luò)，2009，(6):13-15.