来源:中国一卡通网 作者:张横云 曹学民 发布时间:2008-12-31 14:52:43 字体:[大 中 小]
摘 要:本文分析了城市一卡通系统所涉及的安全问题,并从系统安全性、可靠性和经济性等方面进行分析、设计,并组织开发和实施,综合“卡安全、数据安全、网络通信安全和系统运行安全”等四个方面,建立了一套完善的安全体系,保证城市一卡通系统的安全稳定运行。
1 引言
城市一卡通系统是以城市一卡通结算中心为核心、以各行业(公交、出租、自来水、煤气等)为分中心, 以各收费终端、充值查询终端为信息点,构建建设事业收费网络,将城市公共事业的多个收费系统建设成为以IC卡作为支付手段, 以公共通讯网络为连结纽带,以计算机系统为信息处理方法的现代化信息管理系统,一方面提高服务效率和工作效率,全市通用、方便市民、提高服务质量,另一方面快速自动地处理系统内各行业的营运信息、准确结算,保障各行业利益,为城市的建设提供科学的决策支持系统。
城市一卡通收费系统是一个关系到广大市民切身利益,和公交公司、出租车公司、地铁、轻轨、银行以及加入到系统中的各企业的利益,是一套牵涉面很广的系统,对安全保密有着较高的要求,而系统具有规模大,网点分散,流动范围大等的特点,如何保证系统安全可靠运行是一个重大课题。
2 系统安全涉及的范圈及要求
(1)系统安全涉及的范围:城市一卡通系统主要涉及卡片、网络通信、系统数据、系统操作、系统运行的安全等几个方面。
(2)系统安全的要求
① 卡片的安全。只有经过城市一卡通系统或认可(授权)的实体发行的卡才能在本系统使用;只有通过城市一卡通系统或认可(授权)的实体认证的终端可以合法消费,否则消费不予认可;只有通过城市一卡通系统认证的终端可以进行充值交易,否则系统拒绝使用该卡。
② 网络通信安全。通讯数据在传输过程中不能被篡改、伪造和遗弃,未通过认证数据无法进入系统;保证外部网络无法直接访问内部系统,唯一的数据交换通道通过专用接口实现,开发者必须保证该接口不能有损坏系统的行为。
③ 系统数据的安全。因为系统运行的交易数据直接与金钱有直接的联系,并涉及到多个行业的结算。因此在交易数据的完整性、唯一性、可恢复性等方面有严格的要求。
④ 系统操作的安全。保证所有终端经授权认证后才能开始工作,防止非法用户直接使用终端;通过专用协议保证非授权终端无法接入系统,终端不接受非授权系统;各种操作均根据安全级别设定操作权限(采用密码认证和IC卡认证等方式):各种操作均有系统日志进行记录,以备查验。
⑤系统运行的安全。系统运行采用双机热备、磁盘阵列等方式防止系统意外停机。采用UPS设备、自备柴油发电机等设备,防止因停电导致系统意外停止运行的情况。
3 系统安全体系设计
城市一卡通系统安全体系由四部分构成:基于建设部安全体系的交易体系用来保证卡的安全;基于数据冗余和磁带技术等备份技术的数据安全体系来保证数据的安全;基于加密技术、防火墙、VPN技术的通信网络安全体系来保证网络通信的安全;基于高可靠性的系统安全运行环境体系来保证系统的安全可靠运行。体系结构图如图1所示:
图1 城市一卡通系统安全体系图
3.1建设部安全体系
(1)建设部安全体系功能。本系统的作用就是安全地产生部级各类密钥和城市级各类子密钥,并将城市子密钥安全地下发给城市,用来产生用户卡和操作员卡的各种密钥。并确保以上所有环节中密钥的安全性和一致性,逐步实现集中式的密钥管理。
本系统主要由两大模块组成:①建设部密钥管理模块,功能是生成全国和各地的消费(扣款)主密钥,密钥卡的形式传送到各地应用行政主管部门。②城市密钥管理模块,功能为生成和安装用户卡、充值SAM卡上的各种密钥。
(2)建设部密钥管理系统安全机制。本系统采用的IC卡为CPU卡,使用多种密钥类型:认证密钥,传输密钥,主控密钥,密钥替换密钥和MAC密钥。加密算法则使用DES和3DES3算法。IC卡的认证机制分为内部认证和外部认证。内部认证主要是为了验证用户卡的合法性和真实身份,具体流程如图2所示:终端比较Dl和D2,D1和D2的值一致表示内部认证成功,否则内部认证失败。
图2 内部认证流程图
外部认证主要是为了验证终端的合法性, 以及外部认证通过后标记卡的安全状态属性。外部认证流程图如图3所示
图3 外部认证流程图
(3)IC卡的安全。城市一卡通使用CPU卡作为现金卡消费,CPU卡的安全主要是通过卡片的COS的密钥体系和建设部的密钥管理系统来保证,每个CPU卡具有唯一的卡号,交易过程中未完成的交易数据可以自动恢复(由COS完成),应用卡类型标识、启用标识以及黑名单来判断卡的合法性。应用发行日期、有效日期、启用日期来判断卡的有效性,如果卡片非法或无效将卡上黑名单标志设置为黑卡,退出操作。卡片内部二进制文件、记录文件修改时需通过外部认证(充值)或PIN校验(消费), 以防非法修改数据。管理上应该加强管理, 以防ISAM卡、PSAM卡丢失。对丢失的卡片进行记录。
(4)终端安全。消费终端(公交刷卡机、加油加气刷卡机)的安全以PSAM卡为核心,在安全方面的交易流程和认证流程严格按照建设部的规范进行操作,防止伪卡、黑卡的出现以及防止消费终端的数据的非法泄露和程序的非法修改。在系统上实现每个终端一个唯一的终端号(由厂家出厂时候设定),并实现每张PSAM卡对应一个唯一的终端,并在管理中心记录。
采集器是实现数据采集的关键设备,为防止非法的采集器进行数据采集并对采集器进行管理,在与汇总机或车载刷卡机连接时要进行相互的认证,防止非法的采集器连接。
充值机作为整个一卡通系统中的一个组成部分,主要完成用户卡的发售、充值、激活等方面工作,它的安全保障对整个系统能正常运行具有很重要的意义。充值机系统安全是建立在建设部ISAM卡认证密钥体系基础之上。对用户卡片的操作都是在通过ISNd卡正确认证的前提下进行,可以有效的防止非法卡。对授权卡的使用授权由上位机来认证,确保操作员是该卡的合法拥有者;ISNd卡通过外部认证确定授权卡合法性。
3.2数据的安全
(1)交易记录的安全。用户卡的消费和充值数据涉及到整个系统中各个单位之间的资金划拨问题,用户卡消费和充值数据的安全性必须得到强有力的保证。首先用户卡的消费和充值数据包括了终端编号,PSAM卡号,用户卡唯一代码,交易类型标志,交易流水号,城市代码,卡型,交易前金额,交易金额,交易日期,交易时间。交易计数器,保留字节,TAC组成。在生成消费和充值记录前必须经过黑名单、SAM卡,卡启用标志,卡型,城市代码和行业代码的校验。其中PSAM卡号由建设部保证是唯一的,终端编号由厂家在出厂设置为唯一的,在终端安装时保证记录终端和PSAM卡号的一一对应,并在管理中心进行记录。
(2)多行业应用数据不相互影响。由于城市一卡通系统是一个多运用的系统,系统涉及多个公用行业企业,在系统的设计上必须考虑到多运用,并且要保证各运用独立运行,相互的数据和程序不能交换,这些是通过CPU卡来保证,在CPU卡的文件结构上采用每个运用建立一个专门的文件,相应的记录等文件都存储在专门的运用目录中。每个行业目录都只有合法的本行业设备才能使用,即通过设备中的SAM卡提供访问专门目录的密钥,进行权限控制。
(3)软件系统操作安全。对于不同级别的用户分配不同的用户级登录权限,在操作系统中作不同的操作限制。数据库文件由系统级安全管理保护,数据库的用户权限按角色分级管理。数据库管理员密码由数据库系统管理员设置。服务端应用软件一经安装便跟随操作系统一起启动和停止,只有操作系统管理员才有权力对其进行中止、启动运行,客户端所有连接都要经过身份及来源验证,服务端才接受其信息。对于客户端的应用软件,在与数据库建立连接后或与服务端应用程序建立连接后要根据用户级别进行权限分配,应用软件根据不同的权限来开放或回收应用软件的部分或全部功能。应用软件运行后所有关系到数据的操作及重要的操作都进行日志记录。应用软件都有自身完整性校验功能,一旦被病毒感染或非法修改都在日志中记录供系统管理员参考。
(4)系统数据的安全性。在系统数据的存储上采用磁盘冗余技术保证数据的完整性,通过在线备份系统保证数据可以完全恢复,采用系统问互为备份辅助数据完整安全。
系统采用日常的数据备份管理、重要文件的定期归档、分级存储管理、存储介质管理、数据库应用的在线备份系统、灾难恢复等安全策略,来保证系统数据的安全性。
3.3系统网络通信安全
对于城市一卡通系统的网络安全,包括了多个层面的内容,包括了网络系统的冗余备份、故障快速恢复、内部安全体系管理及防止外部攻击等。系统采用已成熟应用的星型结构组网。
3.4系统运行环境的安全
系统运行环境需要考虑稳固可靠的机房建筑、稳定可靠的电力供应,符合设备要求的温度、湿度环境、安全可靠的防雷措施以及故障发生时及时的恢复等等。
4 安全体系建设
系统安全问题不仅是技术的问题,安全是策略、技术与管理的综合过程,是一项系统工程。因此,建立城市一卡通系统安全体系,实施城市一卡通系统安全体系工程不能单纯从安全技术与产品出发,需要综合考虑风险分析、需求分析、安全策略、技术标准、管理规范、体系架构、工程监理、意识教育与技术培训等问题,充分在范围与目标、标准与规范、体系与架构、技术与管理等方面进行深入细致地研究与综合分析,只有这样,才能建立一个积极的、高效的、性能价格比最佳的安全防护体系。
5 结语
城市一卡通系统安全体系的建设是一个复杂的系统工程,他需要从技术的先进性、可用性、可靠性、建设成本等多方面综合考虑,而不仅仅是简单的几项技术和各种设备的简单叠加。目前已正式运行两年的某省会城市的城市一卡通系统就是按照本安全体系进行建设和运行管理,还未出现任何安全问题。
(张横云 四川科技职工大学 曹学民 成都瑞洹科技有限公司)
推荐文章
论坛热帖