淺析一卡多用、互聯(lián)互通應用的安全性
文章出處:http:// 作者:魏保祥 人氣: 發(fā)表時間:2008年12月08日
[文章內容簡介]:如何建設一個安全的一卡多用、互聯(lián)互通應用系統(tǒng),分別從卡片安全、設備的安全、交易記錄的安全、后臺系統(tǒng)及網(wǎng)絡的安全 、安全管理制度等五個方面進行闡述。
隨著公交IC卡在其它領域拓展和跨城市互通實現(xiàn),一卡多用、城市間互通已成為建設事業(yè)IC卡應用發(fā)展的主流。但是,這些應用涉及到多個單位,甚至是不同的城市,如何保證乘客的利益不受到損失、如何保證多個運營主體之間的資金安全等等一系列安全性問題擺在人們面前。
公交IC卡主要為大眾百姓服務,因此方便百姓出行,實現(xiàn)公交卡“一卡多用”成為公共交通IC卡的發(fā)展方向。推廣城市交通一卡多用將會提高城市公共服務設施的服務質量和服務水平,提高參與一卡多用的企、事業(yè)單位的管理能力,符合建設現(xiàn)代化信息城市的目的,公交IC卡的應用目前已經(jīng)從最初的公交應用,擴展到出租、地鐵、軌道交通,還有燃氣、供水、社區(qū)、銀行、公園景點等多領域應用。城市的互聯(lián)互通也成為方便百姓出行的一大亮點,目前涉及這些領域或部分領域的城市包括上海、南京、北京、杭州、鄭州、寧波、大連等多個城市。
如何建設一個安全的一卡多用、互聯(lián)互通應用系統(tǒng),也成為人們關注的焦點之一,以下從幾個方面來闡述這個問題。
一、卡片安全
1、卡類型的選擇
卡類型的選擇是保證系統(tǒng)安全的重要的因素之一,因為它和用戶的利益息息相關,成為決定系統(tǒng)能否正常運行的重要因素之一。
按芯片類型的不同,IC卡大致可分為:存儲器卡、邏輯加密卡、和CPU卡三種。
(1)存儲器卡:也叫非加密存儲器卡,卡內的集成電路芯片主要是EEPROM,這個EEPROM是一個電擦除可編程只讀存儲器EEPROM, 它僅有數(shù)據(jù)存儲功能,不具有數(shù)據(jù)處理功能,存儲卡本身不提供硬件加密功能,只能存儲通過系統(tǒng)加密過的數(shù)據(jù),很容易被破解,因而一般用于存放不需要保密的信息。
(2)邏輯加密卡:卡內的集成電路包括加密邏輯電路和電擦除可編程只讀存儲器EEPROM,也就是在非加密存儲器卡的基礎上增加了加密邏輯電路,加密邏輯電路通過校驗密碼方式來保護著卡和卡中數(shù)據(jù)的安全。該類卡片存儲量相對較小,價格相對便宜,適用于有一定保密要求的場合。
(3)CPU卡:也稱智能卡,卡內的集成電路中帶有微處理器CPU、存儲單元(包括隨機存儲器RAM、程序存儲器ROM(FLASH)、用戶數(shù)據(jù)存儲器EEPROM)以及芯片操作系統(tǒng)COS(Card Operating System)。
其中,RAM用于存放運算過程中的中間數(shù)據(jù),ROM中固化有COS,COS是用戶的應用程序與卡的交互界面;是卡內各硬件部件(RAM、PROM、EEPROM)的總調度師;是卡的安全衛(wèi)士;是實現(xiàn)各相關國際標準的基礎。COS通常都是自己的安全體系,它的安全性能通常是衡量COS的重要技術指標。
COS的功能包括:傳輸管理、文件管理、安全體系、命令解釋。
EEPROM用于存放持卡人的個人信息以及發(fā)行單位的有關信息。CPU管理信息的加/解密和傳輸,嚴格防范非法訪問卡內信息,發(fā)現(xiàn)數(shù)次非法訪問,將鎖死相應的信息區(qū)(也可用高一級命令解鎖)。
CPU卡的容量有大有小,價格比邏輯加密卡要高。但CPU卡的良好的處理能力和上佳的保密性能,使其成為IC卡發(fā)展的主要方向,以下對CPU卡做一詳細介紹。
CPU卡的特點
1)芯片和COS的安全技術為CPU卡提供了雙重的安全保證
2)自帶操作系統(tǒng)的CPU卡對計算機網(wǎng)絡系統(tǒng)要求較低,可實現(xiàn)脫機操作;而存儲器卡必須在完善的網(wǎng)絡環(huán)境下使用。
3)可實現(xiàn)真正意義上的一卡多應用,每個應用之間相互獨立,并受控于各自的密鑰管理系統(tǒng)。
4)存儲容量大,可提供1K-64K字節(jié)的數(shù)據(jù)存儲間
5)使用壽命長,數(shù)據(jù)存儲時間可達十年以上
CPU卡的主要功能
1)身份認證: 對持卡人、卡終端和卡片三方的合法身份做認證
2)安全保密模塊:使用相應的密鑰實現(xiàn)加密、解密以及處理,從而完成與用戶卡之間的安全認證。
3)數(shù)據(jù)載體:CPU卡可做為個人檔案或重要數(shù)據(jù)的安全載體,數(shù)據(jù)可至少保存10年以上。
由于CPU卡在安全性等方面具備很多優(yōu)點,隨著CPU卡成本的降低,而邏輯加密卡又在安全上經(jīng)受著越來越多的挑戰(zhàn),將會有更多的城市采用CPU卡或逐步向CPU卡進行過渡。
2、密鑰安全
一卡多用、互聯(lián)互通應建立在統(tǒng)一的技術標準、統(tǒng)一的安全體系、統(tǒng)一的結算機制基礎上,為保障應用系統(tǒng)的安全性,系統(tǒng)建設應采用統(tǒng)一的建設事業(yè)IC卡密鑰管理系統(tǒng)和安全認證模塊,同時進一步加強密鑰系統(tǒng)本身的安全機制和標準加密算法研究,以確保系統(tǒng)的安全性能。
建設事業(yè)IC卡密鑰管理系統(tǒng)采用高度加密的3DES加密算法,支持相應的RSA非對稱算法,通過先進的網(wǎng)絡技術、IC卡技術和加密技術,實現(xiàn)多行業(yè)的密鑰分散和統(tǒng)一分發(fā),滿足各城市在多個行業(yè)的安全應用要求,從而達到一卡多用、城市間互聯(lián)互通目標。
二、設備的安全
相對于消費業(yè)務來講,用戶卡的充值業(yè)務在系統(tǒng)安全設計中則顯得更加重要,應用ISAM卡進行充值授權認證,是保證系統(tǒng)安全性的重要手段。目前,充值方式有脫機充值和在線聯(lián)機充值兩種解決方案。作為脫機充值方式,雖然初期投入成本較低,但存在著種種弊端和安全隱患。
1、操作員未及時上傳充值記錄造成用戶卡清算不平衡;
2、黑名單發(fā)布滯后;
3、脫機充值設備損壞造成充值記錄丟失;
4、不能實現(xiàn)充值操作的實時權限控制;
5、脫機充值設備和設備內ISAM卡的物理安全也成為系統(tǒng)的隱患之一。
以上幾種情況,均會對IC卡用戶及IC卡運營商造成不必要的損失。隨著網(wǎng)絡連接成本的逐步降低以及用戶對于系統(tǒng)安全性要求的進一步提高,聯(lián)機充值方式逐漸成為首選方案。
從系統(tǒng)設計角度看,聯(lián)機充值系統(tǒng)應采用三層體系結構,即前臺客戶機系統(tǒng)、中間件應用服務器系統(tǒng)、后臺中心數(shù)據(jù)庫系統(tǒng)。通過中間件將前臺客戶機與后臺數(shù)據(jù)庫聯(lián)系起來,有利于系統(tǒng)的安全性、可靠性和可擴充性。同時系統(tǒng)采用經(jīng)行業(yè)認證的加密機,每一筆充值交易所需的密鑰認證和授權以及數(shù)據(jù)的加密傳輸,都通過加密機進行,從而避免了每一個終端設備都必須安裝ISAM卡和終端設備損壞、數(shù)據(jù)丟失的問題,有效地保證了密鑰的安全和系統(tǒng)的安全。
三、交易記錄的安全
交易記錄主要包括充值交易記錄、消費交易記錄,交易記錄涉及到乘客的切身利益和運營主體的資金問題,因此必須采取有效手段要保證交易數(shù)據(jù)的有效性和完整性。
1、終端設備形成交易記錄時,均應產生交易認證碼(TAC碼)。脫機設備TAC碼由SAM卡產生,聯(lián)機在線設備TAC碼由后臺硬件加密機設備產生,每條交易記錄均使用TAC機制保證數(shù)據(jù)的完整性,使交易數(shù)據(jù)不可篡改、不可偽造,上傳后,后臺使用硬件加密機進行TAC校驗。TAC碼(Transaction Authentication Code)即交易驗證碼。TAC碼是通過將原始交易記錄的交易時間,交易金額等數(shù)據(jù)項進行加密計算而產生的交易驗證碼。其設計目的是通過生成和驗證基于密鑰的TAC,能夠保證交易記錄產生的合法性,防止人為生成交易記錄之類的欺詐行為。
2、脫機終端設備應保證交易數(shù)據(jù)不丟失,交易過程中斷導致交易未正常完成時,終端設備應具有在規(guī)定的時間內提示和恢復功能。
3、清算中心和分系統(tǒng)結算中心之間的所有的數(shù)據(jù)交換均使用MAC認證,采用硬件加密機進行MAC的生成和校驗,即保證了處理速度又提高了系統(tǒng)的安全性。
四、后臺系統(tǒng)及網(wǎng)絡的安全
后臺系統(tǒng)及網(wǎng)絡的安全也不容忽視,否則用戶卡的數(shù)據(jù)一旦沒有得到有效的保護,后果不堪設想。建設一個安全的后臺系統(tǒng)及網(wǎng)絡,應注意以下幾方面:
1、關鍵的服務器盡量采用相對安全的操作系統(tǒng)如UNIX、LINUX;
2、及時對操作系統(tǒng)進行升級和補丁安裝;
3、安裝網(wǎng)絡版殺毒軟件并及時升級;
4、建立不同權限的數(shù)據(jù)庫用戶,對數(shù)據(jù)庫登陸要嚴格管理;
5、建立完善的數(shù)據(jù)庫備份方案和有效的災難恢復機制;
6、定期更換數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡設備密碼;
7、采用防火墻將IC卡應用網(wǎng)絡與日常辦公、互聯(lián)網(wǎng)進行隔離,僅允許通過授權的端口進行數(shù)據(jù)傳輸或訪問。
五、安全管理制度
雖然在系統(tǒng)設計和建設中,我們考慮了很多安全因素,但是如果單位內部出現(xiàn)問題,安全管理制度不健全,或不按操作規(guī)程執(zhí)行,將重要的信息透露給外界,有意無意間使系統(tǒng)遭到破壞,都會造成嚴重的后果。譬如,密鑰卡的存放、領取、歸還都要有詳細、嚴格的規(guī)定,相關人員必須嚴格執(zhí)行等等。因此,建立一套健全的安全管理制度,加強人員管理,也是保證系統(tǒng)安全性的重中之重。
綜上所述,隨著科學技術的不斷發(fā)展、一卡多用和互聯(lián)互通應用的不斷拓展,系統(tǒng)安全將會遇到越來越多的挑戰(zhàn),只有從IC卡、設備、交易過程、后臺系統(tǒng)及網(wǎng)絡、管理制度等方面不斷完善,同時采用建設事業(yè)IC卡密鑰管理系統(tǒng)及正在制訂的關于一卡多用和互聯(lián)互通的相關標準,才能建設一個安全、可靠、可信的系統(tǒng),才能更好地為百姓服務。
本文關鍵詞:淺析一卡多用、互聯(lián)互通應用的安全性
上一篇:TCP/IP網(wǎng)絡型智能門禁系統(tǒng)的幾個典型應用[ 09-15 ]
下一篇:新技術趨勢下的多應用智能卡“一卡通”[ 12-08 ]