摘要:從用戶(hù)卡和終端設(shè)備方面分析了校園一卡通系統(tǒng)的安全性，提出了保證一卡通系統(tǒng)安全運(yùn)行的一些安全策略。實(shí)踐證明了安全策略的有效性。
　　關(guān)鍵詞:校園一卡通；安全性
　　校園一卡通系統(tǒng)是一個(gè)大型的多應(yīng)用多功能IC卡管理、消費(fèi)支付系統(tǒng)，關(guān)系到學(xué)校師生的工作、學(xué)習(xí)、日常生活的方方面面，也是體現(xiàn)校園現(xiàn)代文明建設(shè)與進(jìn)步和校園管理水平的一個(gè)標(biāo)志性窗口工程。這一系統(tǒng)安全、可靠地平穩(wěn)運(yùn)行將是學(xué)校規(guī)范管理、科學(xué)發(fā)展的一個(gè)基礎(chǔ)之一，所以，校園一卡通系統(tǒng)工程的安全性和可靠性設(shè)計(jì)與建設(shè)實(shí)施是系統(tǒng)建設(shè)中至關(guān)重要的部分，必須高度重視。
　　在現(xiàn)有的校園一卡通技術(shù)方案中，已經(jīng)采取了一些安全機(jī)制來(lái)解決系統(tǒng)中存在的安全問(wèn)題。但是，隨著校園一卡通系統(tǒng)應(yīng)用的深入、規(guī)模的擴(kuò)大、功能的增加，新的安全威脅不斷出現(xiàn)，系統(tǒng)安全受到新的挑戰(zhàn)。本文將對(duì)系統(tǒng)的安全性進(jìn)行更深入的分析。
　　校園一卡通系統(tǒng)由于完成的主要是電子貨幣的交易和身份證明，涉及廣大師生的切身利益，對(duì)系統(tǒng)的安全保密性有著較高的要求，且系統(tǒng)具有規(guī)模大，網(wǎng)點(diǎn)分散等特點(diǎn)，給系統(tǒng)的安全保密性帶來(lái)一定的難度。同時(shí)，系統(tǒng)是一個(gè)面向多種應(yīng)用的自動(dòng)信息平臺(tái)，系統(tǒng)發(fā)行了大量的各類(lèi)用戶(hù)卡。用戶(hù)卡是由用戶(hù)自己保存與使用的，存儲(chǔ)有身份證明及金額等電子信息。如何保障系統(tǒng)既具有可用性、開(kāi)放性，又具有足夠的安全保障，是系統(tǒng)設(shè)計(jì)的關(guān)鍵問(wèn)題。
　　
　　一、對(duì)用戶(hù)卡的攻擊
　　
　　對(duì)用戶(hù)卡的攻擊形式有兩種：一種是通過(guò)修改用戶(hù)卡內(nèi)數(shù)據(jù)達(dá)到欺騙系統(tǒng)，獲取非法利益的目的；另外一種則是通過(guò)復(fù)制整張用戶(hù)卡中的內(nèi)容來(lái)達(dá)到欺騙系統(tǒng)的目的。在上述的兩種情況中，欺騙要想成功的關(guān)鍵是獲取用戶(hù)卡的各種密碼。
　　當(dāng)選用CPU卡作為用戶(hù)卡時(shí)，各種密鑰的管理可采用建設(shè)部的IC卡密鑰管理系統(tǒng)，這套系統(tǒng)可以很好的保證用戶(hù)卡中信息的安全性。
　　
　　二、用戶(hù)卡生命周期的安全控制
　　
　　校園一卡通系統(tǒng)是一個(gè)按照總體規(guī)劃、分步建設(shè)的思路開(kāi)展建設(shè)工作的系統(tǒng)，它的發(fā)展具有持續(xù)發(fā)展的特點(diǎn)。在系統(tǒng)運(yùn)行過(guò)程中，用戶(hù)卡必然有丟失、損壞等情況以至于系統(tǒng)的黑名單不斷的膨脹。在一些脫機(jī)工作的IC卡讀寫(xiě)終端設(shè)備中的黑名單的存儲(chǔ)空間是有限的，這就限制了系統(tǒng)黑名單可能的大小。為了防止黑名單的大小超過(guò)系統(tǒng)的設(shè)計(jì)容量，設(shè)計(jì)系統(tǒng)時(shí)采用如下措施：IC卡讀寫(xiě)終端設(shè)備在檢查用戶(hù)卡的合法性的同時(shí)也檢查用戶(hù)卡的時(shí)間有效性，然后再檢查黑名單，只要對(duì)使用的用戶(hù)卡設(shè)置適當(dāng)?shù)挠行?，就可從有效期方面?duì)黑名單的大小進(jìn)行有效的控制從而使黑名單的大小滿(mǎn)足系統(tǒng)設(shè)計(jì)容量(按正常情況可以規(guī)定卡片數(shù)據(jù)有效期為1～2年，到期之后如果用戶(hù)卡中存儲(chǔ)的金額尚未消費(fèi)完可以到充值點(diǎn)進(jìn)行數(shù)據(jù)的更新)。
　　
　　三、用戶(hù)卡充值數(shù)據(jù)的安全性
　　
　　充值點(diǎn)操作員如果企圖利用他的操作員卡為用戶(hù)卡非法加款，他一方面會(huì)受到充值限額的限制，另一方面充值記錄將上繳管理中心，此時(shí)管理中心將發(fā)現(xiàn)該操作員上繳的現(xiàn)金和充值記錄不符，從而使此類(lèi)攻擊不可行。
　　如果操作員聲稱(chēng)操作員卡丟失(其實(shí)并沒(méi)有丟失)，然后再用這張稱(chēng)為丟失的操作員卡為用戶(hù)卡加款，并將加款記錄銷(xiāo)毀不上傳。發(fā)生這種情況后用戶(hù)卡數(shù)據(jù)庫(kù)中的款項(xiàng)不會(huì)增加，而用戶(hù)卡內(nèi)的金額卻增加了，當(dāng)該用戶(hù)卡進(jìn)行消費(fèi)產(chǎn)生消費(fèi)記錄后，管理中心數(shù)據(jù)庫(kù)將對(duì)該卡產(chǎn)生懷疑，從而將該卡列入黑名單并通過(guò)該用戶(hù)卡的消費(fèi)記錄中找到為其加款充值點(diǎn)的信息從而找到欺騙系統(tǒng)的充值點(diǎn)操作員。
　　
　　四、用戶(hù)卡消費(fèi)數(shù)據(jù)的安全性
　　
　　用戶(hù)卡的消費(fèi)數(shù)據(jù)涉及到整個(gè)系統(tǒng)中的各個(gè)單位之間的資金劃撥問(wèn)題，用戶(hù)卡消費(fèi)數(shù)據(jù)的安全性必須得到強(qiáng)有力的保證。
　　用戶(hù)在終端設(shè)備上的消費(fèi)記錄中應(yīng)該包含用戶(hù)基本信息、用戶(hù)卡最近一次充值信息、終端設(shè)備地址信息和消費(fèi)信息。充值信息用于在特殊情況下調(diào)查充值點(diǎn)的工作，終端設(shè)備地址信息用于統(tǒng)計(jì)各終端設(shè)備的消費(fèi)量。
　　由于終端設(shè)備允許脫機(jī)運(yùn)行，與管理中心沒(méi)有統(tǒng)一的時(shí)鐘所以在終端設(shè)備中數(shù)據(jù)的唯一性和一致性問(wèn)題不能通過(guò)時(shí)間信息來(lái)保證。
　　終端設(shè)備必須具有系統(tǒng)中的黑名單才能防止前述的一些欺詐行為，終端設(shè)備可以容納的黑名單的規(guī)模是終端設(shè)備的一個(gè)重要的指標(biāo)。
　　
　　五、內(nèi)部人員對(duì)操作員卡的攻擊
　　
　　用于開(kāi)啟系統(tǒng)的操作員卡，對(duì)安全性的要求更高。若采用CPU卡，便可抵御通過(guò)破譯密碼體系而獲取操作員卡中操作密碼的各種攻擊。
　　
　　六、終端設(shè)備的安全性
　　
　　各類(lèi)IC卡讀寫(xiě)終端設(shè)備，分散于校園各處，是破壞者最易于攻擊的另一目標(biāo)，為了保證系統(tǒng)的安全，要防止終端設(shè)備使用中可能存在的各種攻擊和消費(fèi)欺詐。
　　在校園一卡通系統(tǒng)中，可引入安全認(rèn)證卡(SAM)技術(shù)來(lái)解決終端設(shè)備和用戶(hù)卡及操作卡的安全問(wèn)題。由終端設(shè)備內(nèi)嵌的安全認(rèn)證卡對(duì)用戶(hù)卡或操作員卡進(jìn)行雙向認(rèn)證，來(lái)保障在終端設(shè)備所有進(jìn)行操作的安全性。安全認(rèn)證卡的存在是終端設(shè)備啟動(dòng)工作的先決條件，沒(méi)有安全認(rèn)證卡的終端設(shè)備是不能讀寫(xiě)IC卡的。
　　對(duì)IC卡與終端設(shè)備之間的通信線路的攻擊。不論采用射頻接口還是采用接觸式接口，系統(tǒng)攻擊者都可以通過(guò)一定的工具截獲通信鏈路上的通信數(shù)據(jù)。在建設(shè)部制定的密鑰管理標(biāo)準(zhǔn)中，安全認(rèn)證卡與用戶(hù)卡和操作員卡之間的相互認(rèn)證過(guò)程都必須采用線路保護(hù)方式，即使攻擊者截獲了認(rèn)證數(shù)據(jù)也不能獲得系統(tǒng)中的任何密鑰。
　　隨著校園一卡通系統(tǒng)的不斷向前發(fā)展，新的安全問(wèn)題不斷出現(xiàn)，安全矛盾日益激化，用戶(hù)卡、終端設(shè)備的安全隱患更加突出，我們只有不斷發(fā)現(xiàn)問(wèn)題，解決問(wèn)題，才能讓一卡通系統(tǒng)得到更廣泛的應(yīng)用。
　　（作者單位：武漢理工大學(xué)）