校園一卡通系統安全設計與實施

李 良

（江蘇經貿職業技術學院 江蘇 南京 211168）

0 引言

“校園一卡通”系統實施前，我院存在著借書卡、飯卡、上機卡、開水卡、洗衣卡、購電卡等多種卡片，且各自的管理系統相互獨立。我院實施一卡通系統后將這些功能統一到一張卡片進行管理，為全面建設數字化校園奠定了基礎，也方便了廣大師生員工的學習、生活。因為系統包含消費、身份識別以及管理功能，系統地安全性至關重要。

1 安全性設計需要考慮的因素

一卡通系統中涉及到眾多的設備及相關數據，如：卡片、POS機、服務器、網絡設備、消費信息數據等。這些設備及數據的安全，是整個校園卡系統安全、穩定運行的基礎。

1.1 卡片安全

主要考慮卡中信息在存儲及交易過程中的完整性、有效性和真實性，防止對卡片的偽造以及對卡中的信息進行非法修改和非法使用。

1.2 讀卡設備安全

校園卡系統中讀卡設備的安全主要包括POS機的安全、圈存機的安全和系統黑白名單的管理。

POS機涉及校內的食堂、超市、校園班車等眾多的公共服務場所，且需要對卡內的金額信息進行讀寫操作，所以POS機本身的穩定運行和存儲數據的安全可靠，成為校園卡系統安全性重要的指標之一。

1.3 網絡安全

在校園網環境上傳輸一卡通數據,必須防止非法用戶在傳輸過程中篡改數據或通過校園網侵入運行在校園網硬件平臺的校園一卡通系統。

1.4 應用系統服務器及卡中心數據庫服務器安全

既要防范黑客、病毒入侵、破壞應用系統服務器及卡中心數據庫服務器，也要減少設備故障、停電、火災等意外情況發生帶來的不利影響。

中心數據庫服務器存儲了全部的身份信息和交易信息，是校園卡系統的中樞，其安全性對整個校園卡系統的安全有決定性的影響。為保證中心數據庫服務器安全、穩定、可靠和高效的運行，防范網絡攻擊、病毒、黑客入侵以及對數據庫的非法訪問、篡改和刪除，需要從硬件配置、操作系統和數據庫等三個層次上來采取措施。

2 系統安全性設計

系統安全性需要考慮的內容較多，這里只列舉了系統實施過程中部分安全性設計實現。

2.1 卡片安全設計

M1卡通過天線感應進行讀寫操作，在出現電網干擾、感應臨界點等情況下，可能出現讀寫信息出錯。為了降低讀寫信息出錯的概率，可以通過將頻繁寫的信息如金額和不常使用的信息如姓名、學號等分別存放在不同的扇區，來減少在頻繁使用的場合中讀寫信息的時間。

通過對卡內存儲的信息增加較驗算法，卡內信息不能被篡改。對于被篡改的卡，由于卡內信息不符合較驗算法，所以在其被使用時，系統會自動報警，不允許使用。另外，還可以通過上層軟件來實現對異常卡的自動凍結。

2.2 讀卡設備安全設計

為了確保交易數據存儲的安全，POS機內應包含大容量的非易失性存儲空間，以存儲足夠的脫機交易記錄和黑名單。在內部的數據存儲器空閑存儲空間不多時，POS機應自動產生提示信息。在內部的數據存儲器已經存滿時，POS機應自動報警并拒絕消費，保證已經存儲的數據的安全可靠。存儲脫機交易流水信息時，在每條記錄中增加通過加密算法生成的校驗碼，以識別對數據存儲器的非法修改。

黑名單管理是各類讀卡機具都需要具備的一個重要功能。由于讀卡機具內的數據存儲空間有限，而因為丟卡產生黑名單數量總是在增加，所以如果不采取措施控制黑名單的數量，終有一天會出現讀卡機具數據存儲器滿，新掛失的卡片不能進入黑名單的情況。而且，當黑名單數量達到一定量以后，讀卡速度會受到影響，從而降低讀卡機具的處理速度。為控制黑名單的數量，一方面，可采用設置卡片使用有效期的方法，在卡片開戶時寫入有效期。當卡片超出有效期沒有重新注冊，讀卡機具會自動拒絕其使用，系統會自動從讀卡機具內清除這些黑名單。另一方面，可采用批次的概念，將一屆學生設置為一個批次，當該屆學生離開時，將該批次號掛失，同時從掛失庫中清除該批次卡號。

2.3 數據傳輸安全設計

我院一卡通網絡采用物理獨享專網和VLAN虛擬局域網相結合的模式,有些場所，如食堂、超市、創業園等地方，原本沒有網絡，為一卡通專門實施了網絡布線工程。有些原本已有網絡的地方，用VLAN劃分虛擬局域網，對接入點進行專門的設置。

為應對交易記錄從POS機到數據通訊網關的傳輸過程中被篡改，在普通的POS機中，每產生及上傳一筆交易記錄時，每筆記錄均采用16位CRC校驗；在配置有PSAM卡的POS中，每產生及上傳一筆交易記錄時，每筆記錄中均通過PSAM卡加密校驗，然后上傳至數據通訊網關。數據通訊網關通過驗證校驗碼，以確保采集到的校驗記錄的完整性和合法性。

為應對數據傳輸過程中因網絡故障而導致的數據丟失，在POS機的硬件設計中增加重復采集的功能。即在采集脫機交易流水時，只是移動指針，采集完畢后流水仍存在于POS機的數據存儲器內，以便對全部或指定范圍的流水記錄重新采集。由于數據丟失往往是因為存儲芯片中的數據指針丟失造成的，所以需要將數據指針保存在存儲器中的多處不同位置。只要指針有一處存在，即可確保數據讀取正確。

2.4 應用系統服務器及卡中心數據庫服務器安全

應用系統服務器及卡中心數據庫服務器統一放到信息中心集中管理，配備UPS、監控系統、自動報警系統、七氟丙烷氣體滅火裝置等基礎設施，對硬件設備進行了很好的保護。

在硬件配置方面，卡中心數據庫服務器采用雙機熱備份，一臺機器故障，瞬間可切換到備用機，使其接替工作，保障數據服務的不中斷。在操作系統方面，卡中心數據庫服務器安裝安全性較高的redhat linux操作系統，在安裝操作系統時采用較高的安全級別，關閉不用的網絡訪問服務并設置科學合理的密碼管理機制。在數據庫方面，需要防止非法使用所造成的數據泄漏、修改和損害。應用系統設計上采用三層架構，實現中心數據庫和應用層的隔離，屏蔽用戶直接對數據庫的操作，保證數據安全。

3 異地容災系統的實施

作為學院的金融系統，一卡通數據安全性至關重要，如何建設一個應對火災、設備損壞等情況下的異地容災系統，具有極重要的現實意義。而一旦發生災難，容災系統將能保證業務盡快恢復，甚至可以保證業務不間斷執行。為此我院實施了一卡通系統數據實時異地備份系統。

3.1 地址選擇

方案實施前，我院已經有兩臺富士通E3000系列光纖存儲設備，分別放置在現代教育技術中心五樓設備中心（以下簡稱A地）和圖書館一樓設備中心（以下簡稱B地），兩個中心分屬不同建筑，直線距離超過200米并有光纜連通，符合校園內異地備份條件。我院一卡通數據存儲在A地富士通存儲內，采用的數據庫系統為Oracle。

3.2 方案選擇

制定方案時充分考慮依托現有條件，計劃將A地一卡通數據實時備份到B地富士通存儲內，達到實時異地備份目的。對多種方案進行了比較，最后選擇了通過企業版Oracle 10 G數據庫套件來完成實時備份功能。

3.3 方案實施

為了確保數據的安全，采用了三級備份模式。（1）兩地存儲各擴容4塊磁盤，專用于存儲一卡通數據，磁盤間通過RAID完成磁盤級數據同步備份，此為第一級備份，保證部分硬盤損壞的情況下數據不遺失。（2）本地異機定時備份，A地一卡通數據，每日定時備份到本地另外一臺服務器上，雖然不具備實時性，但可保留多個時段數據版本，此為第二級備份。（3）實時異地備份，兩地均安裝企業版Oracle數據庫，并設置將數據存放在存儲設備上，兩地存儲用光纖互聯，通過配置Oracle數據庫實現數據的實時備份，此為第三級備份。這種備份實現了數據的實時異地備用功能，是三級備份模式中最復雜、最重要的一種模式，可以起到異地容災的效果，避免火災等惡劣事件帶來的數據損失。

［1］李相汝.一卡通與校園網的融合及安全[J].安陽工學院學報，2006(4).

［2］李良.數據備份策略與容災系統方案研究[J].新校園，2010(12).