校园一卡通跨层安全体系技术分析

　　随着电子技术的发展，RFID技术在校园信息化方面获得了越来越广泛的应用l1]。校园一卡通系统结合了电子技术、RFID技术、单片机技术、计算机网络技术及数据库技术等，将智能卡的强大功能与计算机网络的数字化理念融入校园，将学校各个系统连为一体，实现了证件、考勤、餐饮消费等功能的电子化和智能化，为学校学生、教师提供了开放性、灵活性的应用服务管理平台，给校园广大师生带来便捷的生活和工作方式。
　　
　　在校园一卡通中，起核心作用的是RFID技术。由于持卡人手中的RFID卡承载了各种信息，所以RFID系统的安全性决定了其使用范围和整个系统的安全。RFID系统主要由应答器和读写器组成。应答器也称为标签，可以附在目标物体上，也可以封装成单独的IC卡等各种形式。读写器则用于检测应答器的存在并根据使用场合对应答器进行查询或改写。与磁卡或条形码等辨识方式不同的是，RFID系统是非接触式访问，可以根据需要进行读写，但无法防止交互电磁信息不被非法获取，因此RFID的安全性问题显得尤为重要。
　　
　　1校园一卡通安全性问题
　　
　　校园一卡通的基础是RFID技术。RFID技术是二次世界大战期间为了进行飞机敌我识别而发展起来的一种技术。通过几十年的发展逐渐成为了在各种辨识场合应用的主流技术，目前已经有几种国际技术标准对其进行规范，较为主流的标准包括MIT发展的EPC等规范体系。
　　
　　EPC标准根据用途将标签分为5类：类型0和类型1分别是只读和一次可写多次可读标签，主要用于替代条形码和物品识别、防盗等场合。类型2～类型4具有可读写存储器，能够进行各种复杂应用。
　　
　　在校园一卡通的各种应用场合中，由于其用途越来越广泛，应用越来越复杂，所以，面临的安全问题也越来越严峻。RFID在校园中的应用主要面临以下安全问题：
　　
　　(1)数据安全问题。数据安全问题主要针对校园一卡通的服务提供方，涉及不同应用数据的隔离问题。由于校园一卡通的应用范围很广且在不断扩充，因此各种类型数据集中在一张卡上，如果允许读写器任意获取卡上的各种数据显然不行，必须对数据的使用范围和访问权限进行谨慎的管理，既不能影响其使用功能，又不能使数据安全受到威胁。
　　
　　(2)个人隐私问题。个人隐私问题主要针对校园一卡通的持有使用者。在现代社会中，隐私问题越来越受到人们的关注，由此带来的社会问题也越来越多。校园一卡通由于应用广泛，携带的信息量也越来越大，如果没有有效的安全和管理规范，将给个人信息带来极大威胁。
　　
　　(3)非法冒用问题。校园一卡通的使用范围决定了其成本不能过高，因此也限制了其能够采用的加密等安全防范手段，这样就带来了卡有可能被非法复制和攻击的问题。
　　
　　2目前的安全解决方案
　　
　　目前，校园一卡通的安全和隐私保护问题的解决办法主要分为2种：硬件方法和软件方法。
　　
　　硬件方法主要是通过在RFID卡的集成电路中加入特定的安全单元l5]。在受到攻击时阻断对卡的读写，阻断对卡的读写不会损毁卡中的数据。应用树漫游(treewalking)技术，防止非法扫描卡上的数据。根据EPC规范，用于防范非法读写的数据管理位为28位。软件方法主要是根据卡和读写器的信息交换来确认读写权限。软件方法大部分是利用MD4和SHA一1等哈希函数来对访问和认证进行控制。标签通常有锁止和解锁2种状态。一旦解锁，标签的存储区就能够被读写。在锁止时。读写器根据随机密钥计算出哈希值，并发送到标签作为锁止值。标签将锁止值存储在特定位置，并进入锁止状态。解锁时，读写器将原始密钥发送给标签，标签根据密钥计算锁止值，一旦匹配，就进入解锁状态。
　　
　　基于哈希函数的方法能满足大多数情形的应用，但有一定的局限性。例如密钥长期重复使用会有风险，需要定期对密钥进行更换。而智能校园应用的种类繁多，安全要求相互之间也差别很大，为了提高可靠性和适应性，这里提出用跨层安全体系来解决校园一卡通的安全问题。
　　
　　3校园一卡通跨层安全体系
　　
　　校园一卡通跨层安全体系的高层与普通RFID安全体系一致，由数据和安全算法组成，不同之处在于跨层安全体系在底层加入了额外的自动请求重发(ARQ)，并且将标签认证的权限放在后台数据库进行。ARQ是一种传输错误控制方法，在ARQ系统中采用的编码方法有很好的误码检测能力，在接收到数据时，会计算数据的特征码，如果特征码为零，则认为接收的数据没有错误，否则就要求重发。在跨层安全体系中，标签和读写器在进行认证时既要执行安全算法，也要执行ARQ。
　　
　　跨层安全体系的基本原理如图1所示。在发送方，高层对数据执行安全算法，底层则根据ARQ校验进行编码，在数据后附加一段校验位。接收方的底层用ARQ方法进行校验，如果有错误，就向发送方发送重发请求；如果没有错误，就发送到高层进行安全算法认证。完整的认证过程如下：首先读写器生成一个随机数R，然后发送给标签要求认证。标签收到请求后，同标签的标识码ID相结合算出相应的哈希值h(ID，R)，并发送给阅读器。读写器收到标签的应答值h(ID，R)后，将随机数和应答值发送给后台数据库。后台数据库再根据两者计算标签的标识码，并确认是否为合法标签，然后将标签ID、随机数和读写器ID进行运算，并将结果返回给读写器。读写器收到认证信息后，通过逆运算得到标签ID，并对标签ID和R取。运算，将结果发送给标签进行认证。最后标签将R和ID取运算，将结果与读写器返回的结果进行比对，从而完成认证。具体流程如图2所示。
　　　　
　　根据这种方案，标签和读写器之间交互的数据如果被非法获取，由于攻击者无法知道哈希函数的细节和标签ID，因此攻击者无法冒充合法标签。而在读写器层面，由于读写器不负责标签合法性的识别，因此也无法威胁到系统安全。在数据库层面，对数据库的访问由管理员进行控制，确保不受恶意侵入。这种方法也能降低计算负荷，因为采用ARQ方案后，读写器只需执行一次哈希运算和运算，同其他方案相比，计算量显著降低，从而提高通讯效率。数据传输的性能受3个因素影响：误码率、消息长度和重传数据量。在噪声干扰较多的地方，可通过增加校验位的方法改善性能。采用这种方法后，传送错误的概率能降低1倍，从而让校园智能卡系统更为可靠和高效。
　　
　　4结论
　　
　　针对智能校园一卡通应用环境提出的跨层安全体系能有效满足应用所要求的安全性和成本要求。通过将安全认证的权限进行集中，有效确保了校园复杂应用环境下的安全和效率，是一种可行的安全体系架构。