支付寶在校園一卡通應用中的安全與對策

文 /王海濤 楊樹春 王義 李穎

安全風險

校園一卡通系統運行在校園網上，以IC卡為信息載體，實現了持卡人在身份允許范圍內進行消費支付、身份認證等諸多日常活動的信息化。對于傳統校園一卡通系統而言，其安全風險主要集中在卡片的安全性、數據的安全性兩個方面，這些安全風險已經通過一定的技術和管理措施進行有效控制。校園一卡通系統增加支付寶的充值業務的安全風險，具體體現在數據傳輸安全、數據安全和網絡鏈路層面安全風險等幾方面。

數據傳輸的安全性

校園一卡通系統基本為封閉系統，在增加支付寶充值功能后，一卡通用戶與支付寶系統、一卡通系統與支付寶系統、銀行系統與支付寶系統都會出現數據交換行為，這些數據信息在網絡傳輸過程中，存在數據包被人為非法獲取、修改或者數據包丟失現象，這些均會給數據的真實性和完整性帶來風險。

數據的安全性

一卡通系統需要交換的數據包括校園用戶的用戶信息、一卡通信息、支付寶信息、銀行卡信息等內容。校園一卡通系統與支付寶系統進行對接，必然會在校園網本地增加支付記錄等相關數據，大批量的數據在本地存儲，會形成數據庫存儲的安全隱患。更重要的是，校園一卡通系統所記錄的校園消費數據是否能夠和支付寶系統的數據流吻合，同樣是對數據完整性和安全性的一個考驗。

圖1 校園一卡通充值模式

網絡的安全性

校園一卡通系統一般運行在校園網專網上，實現的是物理隔離或準物理隔離。以往校園一卡通網絡的“開口”只針對于銀行卡圈存。在一卡通圈存方面，由于銀行網絡是有別于互聯網的相對封閉的網絡，防護措施相對成熟、簡單。支付寶系統完全運行在互聯網上，在支付寶與一卡通網絡對接后，形成了一個一卡通網絡與互聯網的出口。由于互聯網安全防護的復雜性，這條網絡路徑的安全性對于兩個系統都至關重要。如果有未授權的訪問通過這個網絡路徑入侵一卡通系統，將會給系統帶來很大安全隱患，兩個系統的邊界安全，即圖1中的“b-充值”交易環節是最主要的安全問題節點。

安全策略

數據傳輸的安全策略

1.在用戶的瀏覽器和支付寶系統之間，可以通過HTTPS來保護用戶信息，確保用戶信息在傳輸過程中的機密性和完整性，并且可抵抗重放攻擊，即攻擊者截取用戶正常數據包后重新發送給網站的攻擊方式。

2.在一卡通系統和支付寶系統之間，制定可靠的數據報文格式，可以通過DESede加密方式+SHA1withRSA加簽名，在一方接收到另一方的報文后需要使用相應的密鑰進行驗簽和解密，保證傳輸過程中數據的機密性、安全性要求。

3.在一卡通系統和支付寶系統之間，對于由于網絡中斷或者其他因素引起的數據傳輸過程中的丟包現象，需要系統增加對數據完整性的檢測，及時發現和恢復丟失的數據，并對數據進行沖正，以保證數據的完整性。

數據安全的應對策略

1.校園用戶需根據自己的實際需求自主選擇開通和關閉支付寶的“校園一卡通充值”業務。對于開通業務的用戶，所輸入的用戶信息都需要在加密后存儲在專用數據庫中，其中銀行卡號的加密算法應該采用128位強度對稱加密算法，加密密鑰由統一的密鑰管理系統（采用國家密碼管理局批準的商用金融密碼機）進行集中管理。

2.對訪問用戶數據的途徑和過程進行有效的控制。只有授權的數據庫管理員才能登錄數據庫服務器，其操作過程會被記錄到集中的日志系統，審計人員事后會對其操作進行審計；其他人員基于業務需要查看數據庫數據的，必須提出申請并取得授權。如果查看的數據中包含銀行卡卡號、身份證號碼、手機號碼等用戶敏感信息，將被過濾并不顯示。

3.要確保交易數據的安全，數據庫要嚴格記錄交易的每個狀態，以此監控和識別各種交易的情況，進行交易風險的實時控制，并通過手機短信的方式通知校園用戶。一卡通系統與支付寶系統進行每日對賬，與支付寶系統的交易數據進行比對，進行一卡通系統數據沖正調整，實現交易數據的準確性。

4.用戶在網上支付的過程中應該為自己的網上支付賬戶設定特別的高安全級別的密碼并定期更換，最好還要通過支付平臺的實名認證措施，并使用數字證書、第三方證書、手機動態口令等安全產品，以保證傳遞信息的真實性、完整性和有效性。

5.數據中心及時進行數據文件的備份，以便在出現問題后能夠及時恢復。可以通過磁盤陣列、雙機熱備份等途徑進行多重備份，以提供足夠的數據冗余。

網絡安全性策略

1.校園一卡通系統應該與外圍網絡進行有效隔離。在網絡設計上，可以通過VPN技術或VLAN技術構建一卡通網絡邊界隔離措施，數據在加密后按照VLAN的隧道協議進行封裝、傳輸，保障相關通信鏈接的安全性。

2.一卡通系統與支付寶系統之間應該建立一條惟一的網絡通路。通過采取數據身份認證、傳輸過程中增加MAC驗證等方式確保數據來源的惟一性；也可以通過防火墻、路由器的設置，利用路由器中的訪問控制過濾策略實行對網段和主機的訪問控制；利用防火墻的訪問控制功能，對訪問進行授權分析，限制未授權的應用接入系統，確保所有的訪問都是正常的、預設的安全訪問。

3.支付寶系統的對接服務器應設置在校園網內部，通過網絡直連實現與一卡通系統服務器的對接。如無法在校園網內部署支付寶系統的服務器，在有條件的情況下通過專用線路實現對接。

4.利用校園網絡性能監控平臺實時監測一卡通系統的網絡運行狀況，通過系統日志分析網絡的行為，或啟用入侵檢測系統來加強相應的網絡行為監測，及時發現影響系統網絡安全的行為。同時，服務器需要建立有效的防病毒體系，定時進行升級更新，有效阻止非法入侵。