淺談高校一卡通系統(tǒng)的安全設(shè)計(jì)
——以宿遷學(xué)院一卡通系統(tǒng)建設(shè)為例

許立春

（宿遷學(xué)院,江蘇 宿遷 223800）

淺談高校一卡通系統(tǒng)的安全設(shè)計(jì)
——以宿遷學(xué)院一卡通系統(tǒng)建設(shè)為例

許立春

（宿遷學(xué)院,江蘇 宿遷 223800）

一卡通系統(tǒng)是高校數(shù)字化校園建設(shè)的重要基礎(chǔ)平臺(tái)之一,在一卡通系統(tǒng)的設(shè)計(jì)、部署和實(shí)施中,安全性是首要考慮問(wèn)題?；诖藦慕橘|(zhì)及終端、網(wǎng)絡(luò)安全、第三方接口安全、軟件安全、系統(tǒng)數(shù)據(jù)庫(kù)安全、數(shù)據(jù)容災(zāi)等六個(gè)方面對(duì)校園一卡通系統(tǒng)的安全性進(jìn)行設(shè)計(jì),以期進(jìn)一步推進(jìn)數(shù)字化校園建設(shè)。

一卡通;安全;設(shè)計(jì)

隨著高校數(shù)字化、信息化校園建設(shè)工作的推進(jìn),一卡通系統(tǒng)的建設(shè)成為消滅高校中存在的各類(lèi)“信息孤島”并切實(shí)防止新“信息孤島”的產(chǎn)生,在全校范圍內(nèi)形成實(shí)時(shí)數(shù)據(jù)更新和規(guī)范一致的共享環(huán)境,為學(xué)校管理提供直接可靠的信息來(lái)源和決策依據(jù)的重要抓手[1]。作為數(shù)字校園的重要基礎(chǔ)設(shè)施之一,一卡通系統(tǒng)將涉及到每位在校學(xué)習(xí)、工作和生活的師生,并為學(xué)校的教學(xué)、管理、服務(wù)及其他公共服務(wù)提供身份證明和支付手段,所以對(duì)系統(tǒng)的安全性有著非常高的要求。系統(tǒng)的安全性是校園卡系統(tǒng)的生命線,在校園卡系統(tǒng)的設(shè)計(jì)和建設(shè)過(guò)程中,要把安全性設(shè)計(jì)放在首位,要確保系統(tǒng)能夠高效、安全和可靠地運(yùn)行[2]。在宿遷學(xué)院一卡通系統(tǒng)建設(shè)項(xiàng)目中,我們主要從以下幾個(gè)方面實(shí)現(xiàn)系統(tǒng)的安全設(shè)計(jì):介質(zhì)及終端安全設(shè)計(jì)、網(wǎng)絡(luò)安全設(shè)計(jì)、第三方接口安全、軟件安全設(shè)計(jì)、系統(tǒng)數(shù)據(jù)庫(kù)安全、數(shù)據(jù)容災(zāi)。

1 介質(zhì)及終端安全設(shè)計(jì)

使用遵循國(guó)際認(rèn)可加密標(biāo)準(zhǔn)設(shè)計(jì)的 F-S IM或 CPU校園卡,系統(tǒng)通過(guò)對(duì)校園卡發(fā)送給 PSAM卡的隨機(jī)數(shù) MAC1,PSAM卡發(fā)送給校園卡的隨機(jī)數(shù)MAC2和由校園卡返回的隨機(jī)數(shù) TAC,可以實(shí)現(xiàn)數(shù)據(jù)傳輸驗(yàn)證的計(jì)算。而且MAC1、MAC2和 TAC即便是同一張校園卡每次傳輸?shù)倪^(guò)程中都是不同的,因此無(wú)法使用空中接收的辦法來(lái)破解校園卡的密鑰。

為防止篡改 POS機(jī)中的數(shù)據(jù),這些數(shù)據(jù)應(yīng)帶消費(fèi)交易認(rèn)證碼存放,數(shù)據(jù)中心的數(shù)據(jù)加密存放,可防止數(shù)據(jù)泄露。在終端設(shè)備比較集中的場(chǎng)所,如食堂等地方,需配置 UPS,以此保障終端設(shè)備在斷電后能夠繼續(xù)運(yùn)行使用。

2 網(wǎng)絡(luò)安全設(shè)計(jì)

為保證一卡通系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?系統(tǒng)應(yīng)采用專(zhuān)網(wǎng)。中心數(shù)據(jù)庫(kù)服務(wù)器、圈存自助機(jī)、語(yǔ)音服務(wù)、銀校轉(zhuǎn)賬前置機(jī)等校園卡系統(tǒng)專(zhuān)用設(shè)備直接連接到一卡通專(zhuān)網(wǎng)上。校園卡專(zhuān)網(wǎng)和各業(yè)務(wù)部門(mén)虛擬專(zhuān)用網(wǎng) （VLAN）相連。POS機(jī)直接連接到業(yè)務(wù)部門(mén)的VLAN上,通過(guò) TCP/IP協(xié)議和中心數(shù)據(jù)庫(kù)服務(wù)器通信。原有 POS機(jī)通過(guò)業(yè)務(wù)部門(mén)的應(yīng)用系統(tǒng)服務(wù)器連接到其VLAN上,經(jīng)過(guò)應(yīng)用系統(tǒng)服務(wù)器和中心數(shù)據(jù)庫(kù)服務(wù)器通信。門(mén)禁系統(tǒng)的讀卡器通過(guò)門(mén)禁控制器和 RS232/485轉(zhuǎn)換器連接到業(yè)務(wù)部門(mén)的 VLAN上。

為保證讀卡機(jī)具與中心數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用系統(tǒng)服務(wù)器之間的數(shù)據(jù)通信安全,讀卡機(jī)具在系統(tǒng)中進(jìn)行注冊(cè),未注冊(cè)的機(jī)具卡片無(wú)法使用。對(duì)于從 POS機(jī)中采集的交易流水,為防止在傳輸過(guò)程中數(shù)據(jù)被篡改,應(yīng)對(duì)所有交易流水加校驗(yàn)。如果系統(tǒng)發(fā)現(xiàn)交易流水被篡改,則可以重新采集所有數(shù)據(jù),并從中過(guò)濾正常的數(shù)據(jù)。

3 第三方接口安全

校園一卡通系統(tǒng)由多個(gè)子系統(tǒng)組成,接入并共享一卡通平臺(tái)提供的資料,為了保證每一個(gè)子系統(tǒng)及終端設(shè)備接入的合法性與安全性,系統(tǒng)應(yīng)采取嚴(yán)格的控制流程。每一個(gè)子系統(tǒng)都要通過(guò)系統(tǒng)授權(quán)、系統(tǒng)認(rèn)證才能接入平臺(tái)。核心平臺(tái)為每一個(gè)子系統(tǒng)及終端設(shè)備建立授權(quán)注冊(cè)信息,實(shí)現(xiàn)子系統(tǒng)授權(quán)信息的安全傳遞與存儲(chǔ)。信息包括:終端設(shè)備 ID號(hào)、終端設(shè)備號(hào)。經(jīng)過(guò)認(rèn)證后的子系統(tǒng)及終端設(shè)備才能與一卡通系統(tǒng)進(jìn)行信息交互、實(shí)現(xiàn)信息共享、完成業(yè)務(wù)交易。認(rèn)證過(guò)程全部由一卡通統(tǒng)一接入接口自動(dòng)完成,對(duì)子系統(tǒng)而言是透明的,通過(guò)以上措施嚴(yán)格保證系統(tǒng)接入的安全。

4 軟件安全設(shè)計(jì)

軟件系統(tǒng)既包括校園卡系統(tǒng)的系統(tǒng)軟件,也包括與校園卡系統(tǒng)相關(guān)的各個(gè)數(shù)字校園的應(yīng)用系統(tǒng)軟件。就校園卡系統(tǒng)的系統(tǒng)軟件,應(yīng)從登陸控制、操作員權(quán)限控制、數(shù)據(jù)庫(kù)防篡改和登記操作日志等方面來(lái)考慮。通過(guò)對(duì)客戶(hù)機(jī)登陸采取控制,對(duì)非法的客戶(hù)機(jī)加以拒絕,來(lái)防止非法的客戶(hù)機(jī)向服務(wù)器發(fā)送業(yè)務(wù)請(qǐng)求。

在登陸控制的基礎(chǔ)上,采用對(duì)操作員進(jìn)行權(quán)限控制的方式來(lái)控制操作員對(duì)校園卡系統(tǒng)的訪問(wèn),使得不同的操作員只能在自己的權(quán)限范圍內(nèi)對(duì)系統(tǒng)進(jìn)行操作。為防止發(fā)生數(shù)據(jù)庫(kù)的合法用戶(hù)非法修改數(shù)據(jù)庫(kù)中的重要數(shù)據(jù)的情況,應(yīng)對(duì)數(shù)據(jù)庫(kù)的重要數(shù)據(jù)表加校驗(yàn)。系統(tǒng)定期對(duì)這些表格進(jìn)行掃描,當(dāng)發(fā)現(xiàn)校驗(yàn)異常時(shí)報(bào)警,對(duì)于已有的與校園卡系統(tǒng)相關(guān)的數(shù)字校園應(yīng)用系統(tǒng),應(yīng)通過(guò)提供一整套應(yīng)用編程接口,使得應(yīng)用系統(tǒng)經(jīng)過(guò)小范圍的改造,就能接入整個(gè)校園卡系統(tǒng)。由于應(yīng)用系統(tǒng)在接入校園卡系統(tǒng)時(shí)只能使用指定的接口,因而也只能完成許可范圍內(nèi)的操作,這樣可以提高一卡通系統(tǒng)的安全系數(shù)。

5 系統(tǒng)數(shù)據(jù)庫(kù)安全

在一卡通系統(tǒng)的WEB服務(wù)器與應(yīng)用服務(wù)器之間建立信任邊界,應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器之間建立信任邊界,根據(jù)這樣的信任邊界劃分,系統(tǒng)中的用戶(hù)與數(shù)據(jù)庫(kù)服務(wù)器之間沒(méi)有可靠的信任關(guān)系,也就不能直接對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn),系統(tǒng)結(jié)構(gòu)如圖 1所示。這樣,即使在公共的網(wǎng)絡(luò)環(huán)境下,一卡通中心數(shù)據(jù)庫(kù)的信息也能保證不被惡意訪問(wèn)[3]。在一卡通系統(tǒng)中,每一個(gè)用戶(hù)角色都有其不同的身份,他所訪問(wèn)的數(shù)據(jù)庫(kù)信息也相對(duì)固定,在應(yīng)用服務(wù)器上的業(yè)務(wù)邏輯層,將不通的角色訪問(wèn)設(shè)計(jì)成不通的訪問(wèn)策略,這樣用戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)時(shí),就只能訪問(wèn)被限定的數(shù)據(jù)庫(kù)信息,訪問(wèn)流程如圖 2所示:

6 系統(tǒng)容災(zāi)設(shè)計(jì)

一卡通系統(tǒng)服務(wù)器的軟件故障、硬件損壞（如系統(tǒng)崩潰、硬盤(pán)損壞等）、病毒破壞和網(wǎng)絡(luò)攻擊等原因都可能導(dǎo)致數(shù)據(jù)丟失,并造成整個(gè)系統(tǒng)的癱瘓。因此數(shù)據(jù)備份及災(zāi)難恢復(fù)對(duì)于數(shù)據(jù)安全是必不可少的。系統(tǒng)的備份容災(zāi)設(shè)計(jì)應(yīng)符合穩(wěn)定性、全面性、自動(dòng)化、高性能、容錯(cuò)性等原則。對(duì)數(shù)據(jù)進(jìn)行備份,要考慮災(zāi)難發(fā)生時(shí)系統(tǒng)恢復(fù),故障時(shí)的快速系統(tǒng)恢復(fù),備份過(guò)程盡量減少對(duì)系統(tǒng)性能影響等多方面因素,要保證數(shù)據(jù)備份的頻率、以及備份介質(zhì)上數(shù)據(jù)的保存時(shí)間符合預(yù)期設(shè)計(jì)的目標(biāo),備份策略應(yīng)該滿(mǎn)足:備份的數(shù)據(jù)內(nèi)容的選擇、備份時(shí)間的定制、備份方式的選取 （如全備份或增量備份）、備份設(shè)備或介質(zhì)的指定等等。

7 結(jié)束語(yǔ)

本文通過(guò)高校一卡通系統(tǒng)安全設(shè)計(jì)應(yīng)考慮的幾個(gè)要素:介質(zhì)及終端安全設(shè)計(jì)、網(wǎng)絡(luò)安全設(shè)計(jì)、第三方接口安全、軟件安全設(shè)計(jì)、系統(tǒng)數(shù)據(jù)庫(kù)安全、數(shù)據(jù)容災(zāi)等,結(jié)合宿遷學(xué)院一卡通系統(tǒng)的建設(shè)情況,系統(tǒng)地闡述一卡通系統(tǒng)的安全設(shè)計(jì)。通過(guò)上述安全設(shè)計(jì),可以實(shí)現(xiàn)一個(gè)健壯、穩(wěn)定的校園一卡通系統(tǒng)。

[1]朱津京,成華.校園一卡通系統(tǒng)的安全策略研究——以鹽城衛(wèi)生職業(yè)技術(shù)學(xué)院校園一卡通系統(tǒng)為例[J].電腦知識(shí)與技術(shù),2010,（6）:4925-4926.

[2]胡敏.淺談校園一卡通系統(tǒng)的管理與安全性分析[J].科技信息,2010,（15）:465-466.

[3]江蘇萬(wàn)全集團(tuán).宿遷學(xué)院校園一卡通項(xiàng)目建設(shè)方案書(shū)[Z].2010,（9）:6-12.

（責(zé)任編輯:陳 樹(shù)）

TP393.09

A

1001-7836（2010）11-0197-02

10.3969/j.issn.1001-7836.2010.11.079

2010-09-10

全國(guó)教育科學(xué)“十一五”規(guī)劃教育部重點(diǎn)課題“基于網(wǎng)絡(luò)的高校數(shù)字教育資源建設(shè)與應(yīng)用研究”成果之一（DCA090327）

許立春 （1977-）,男,江蘇宿遷人,現(xiàn)代教育技術(shù)中心主任,助理研究員,碩士,從事高校教育技術(shù)管理研究。