校園一卡通系統中用戶卡和終端設備安全性分析

　　摘要:從用戶卡和終端設備方面分析了校園一卡通系統的安全性，提出了保證一卡通系統安全運行的一些安全策略。實踐證明了安全策略的有效性。
　　關鍵詞:校園一卡通；安全性
　　校園一卡通系統是一個大型的多應用多功能IC卡管理、消費支付系統，關系到學校師生的工作、學習、日常生活的方方面面，也是體現校園現代文明建設與進步和校園管理水平的一個標志性窗口工程。這一系統安全、可靠地平穩運行將是學校規范管理、科學發展的一個基礎之一，所以，校園一卡通系統工程的安全性和可靠性設計與建設實施是系統建設中至關重要的部分，必須高度重視。
　　在現有的校園一卡通技術方案中，已經采取了一些安全機制來解決系統中存在的安全問題。但是，隨著校園一卡通系統應用的深入、規模的擴大、功能的增加，新的安全威脅不斷出現，系統安全受到新的挑戰。本文將對系統的安全性進行更深入的分析。
　　校園一卡通系統由于完成的主要是電子貨幣的交易和身份證明，涉及廣大師生的切身利益，對系統的安全保密性有著較高的要求，且系統具有規模大，網點分散等特點，給系統的安全保密性帶來一定的難度。同時，系統是一個面向多種應用的自動信息平臺，系統發行了大量的各類用戶卡。用戶卡是由用戶自己保存與使用的，存儲有身份證明及金額等電子信息。如何保障系統既具有可用性、開放性，又具有足夠的安全保障，是系統設計的關鍵問題。
　　
　　一、對用戶卡的攻擊
　　
　　對用戶卡的攻擊形式有兩種：一種是通過修改用戶卡內數據達到欺騙系統，獲取非法利益的目的；另外一種則是通過復制整張用戶卡中的內容來達到欺騙系統的目的。在上述的兩種情況中，欺騙要想成功的關鍵是獲取用戶卡的各種密碼。
　　當選用CPU卡作為用戶卡時，各種密鑰的管理可采用建設部的IC卡密鑰管理系統，這套系統可以很好的保證用戶卡中信息的安全性。
　　
　　二、用戶卡生命周期的安全控制
　　
　　校園一卡通系統是一個按照總體規劃、分步建設的思路開展建設工作的系統，它的發展具有持續發展的特點。在系統運行過程中，用戶卡必然有丟失、損壞等情況以至于系統的黑名單不斷的膨脹。在一些脫機工作的IC卡讀寫終端設備中的黑名單的存儲空間是有限的，這就限制了系統黑名單可能的大小。為了防止黑名單的大小超過系統的設計容量，設計系統時采用如下措施：IC卡讀寫終端設備在檢查用戶卡的合法性的同時也檢查用戶卡的時間有效性，然后再檢查黑名單，只要對使用的用戶卡設置適當的有效期，就可從有效期方面對黑名單的大小進行有效的控制從而使黑名單的大小滿足系統設計容量(按正常情況可以規定卡片數據有效期為1～2年，到期之后如果用戶卡中存儲的金額尚未消費完可以到充值點進行數據的更新)。
　　
　　三、用戶卡充值數據的安全性
　　
　　充值點操作員如果企圖利用他的操作員卡為用戶卡非法加款，他一方面會受到充值限額的限制，另一方面充值記錄將上繳管理中心，此時管理中心將發現該操作員上繳的現金和充值記錄不符，從而使此類攻擊不可行。
　　如果操作員聲稱操作員卡丟失(其實并沒有丟失)，然后再用這張稱為丟失的操作員卡為用戶卡加款，并將加款記錄銷毀不上傳。發生這種情況后用戶卡數據庫中的款項不會增加，而用戶卡內的金額卻增加了，當該用戶卡進行消費產生消費記錄后，管理中心數據庫將對該卡產生懷疑，從而將該卡列入黑名單并通過該用戶卡的消費記錄中找到為其加款充值點的信息從而找到欺騙系統的充值點操作員。
　　
　　四、用戶卡消費數據的安全性
　　
　　用戶卡的消費數據涉及到整個系統中的各個單位之間的資金劃撥問題，用戶卡消費數據的安全性必須得到強有力的保證。
　　用戶在終端設備上的消費記錄中應該包含用戶基本信息、用戶卡最近一次充值信息、終端設備地址信息和消費信息。充值信息用于在特殊情況下調查充值點的工作，終端設備地址信息用于統計各終端設備的消費量。
　　由于終端設備允許脫機運行，與管理中心沒有統一的時鐘所以在終端設備中數據的唯一性和一致性問題不能通過時間信息來保證。
　　終端設備必須具有系統中的黑名單才能防止前述的一些欺詐行為，終端設備可以容納的黑名單的規模是終端設備的一個重要的指標。
　　
　　五、內部人員對操作員卡的攻擊
　　
　　用于開啟系統的操作員卡，對安全性的要求更高。若采用CPU卡，便可抵御通過破譯密碼體系而獲取操作員卡中操作密碼的各種攻擊。
　　
　　六、終端設備的安全性
　　
　　各類IC卡讀寫終端設備，分散于校園各處，是破壞者最易于攻擊的另一目標，為了保證系統的安全，要防止終端設備使用中可能存在的各種攻擊和消費欺詐。
　　在校園一卡通系統中，可引入安全認證卡(SAM)技術來解決終端設備和用戶卡及操作卡的安全問題。由終端設備內嵌的安全認證卡對用戶卡或操作員卡進行雙向認證，來保障在終端設備所有進行操作的安全性。安全認證卡的存在是終端設備啟動工作的先決條件，沒有安全認證卡的終端設備是不能讀寫IC卡的。
　　對IC卡與終端設備之間的通信線路的攻擊。不論采用射頻接口還是采用接觸式接口，系統攻擊者都可以通過一定的工具截獲通信鏈路上的通信數據。在建設部制定的密鑰管理標準中，安全認證卡與用戶卡和操作員卡之間的相互認證過程都必須采用線路保護方式，即使攻擊者截獲了認證數據也不能獲得系統中的任何密鑰。
　　隨著校園一卡通系統的不斷向前發展，新的安全問題不斷出現，安全矛盾日益激化，用戶卡、終端設備的安全隱患更加突出，我們只有不斷發現問題，解決問題，才能讓一卡通系統得到更廣泛的應用。
　　（作者單位：武漢理工大學）