登錄
注冊
淺析一卡多用、互聯互通應用的安全性
作者:鄭州市公共交通總公司 網絡信息中心副主任 魏保祥
來源:RFID世界網
日期:2008-12-12 09:34:33
摘要:本文結合作者多年參與IC卡運營的經驗,從IC卡、設備、交易過程、后臺系統及網絡、管理制度等方面,闡述了如何建設一個安全的一卡多用、互聯互通應用系統。
隨著公交IC卡在其它領域拓展和跨城市互通實現,一卡多用、城市間互通已成為建設事業IC卡應用發展的主流。但是,這些應用涉及到多個單位,甚至是不同的城市,如何保證乘客的利益不受到損失、如何保證多個運營主體之間的資金安全等等一系列安全性問題擺在人們面前。
本文結合作者多年參與IC卡運營的經驗,從IC卡、設備、交易過程、后臺系統及網絡、管理制度等方面,闡述了如何建設一個安全的一卡多用、互聯互通應用系統。
引言
公交IC卡主要為大眾百姓服務,因此方便百姓出行,實現公交卡“一卡多用”成為公共交通IC卡的發展方向。推廣城市交通一卡多用將會提高城市公共服務設施的服務質量和服務水平,提高參與一卡多用的企、事業單位的管理能力,符合建設現代化信息城市的目的,公交IC卡的應用目前已經從最初的公交應用,擴展到出租、地鐵、軌道交通,還有燃氣、供水、社區、銀行、公園景點等多領域應用。城市的互聯互通也成為方便百姓出行的一大亮點,目前涉及這些領域或部分領域的城市包括上海、南京、北京、杭州、鄭州、寧波、大連等多個城市。
如何建設一個安全的一卡多用、互聯互通應用系統,也成為人們關注的焦點之一,以下從幾個方面來闡述這個問題。
一、卡片安全
1、卡類型的選擇
卡類型的選擇是保證系統安全的重要的因素之一,因為它和用戶的利益息息相關,成為決定系統能否正常運行的重要因素之一。
按芯片類型的不同,IC卡大致可分為:存儲器卡,邏輯加密卡,和CPU卡三種。
(1)、存儲器卡:也叫非加密存儲器卡,卡內的集成電路芯片主要是EEPROM,這個EEPROM是一個電擦除可編程只讀存儲器EEPROM,它僅有數據存儲功能,不具有數據處理功能,存儲卡本身不提供硬件加密功能,只能存儲通過系統加密過的數據,很容易被破解,因而一般用于存放不需要保密的信息。
(2)、邏輯加密卡:卡內的集成電路包括加密邏輯電路和電擦除可編程只讀存儲器EEPROM,也就是在非加密存儲器卡的基礎上增加了加密邏輯電路,加密邏輯電路通過校驗密碼方式來保護著卡和卡中數據的安全。該類卡片存儲量相對較小,價格相對便宜,適用于有一定保密要求的場合。
(3)、CPU卡:也稱智能卡,卡內的集成電路中帶有微處理器CPU、存儲單元(包括隨機存儲器RAM、程序存儲器ROM(FLASH)、用戶數據存儲器EEPROM)以及芯片操作系統COS(Card Operating System)。
其中,RAM用于存放運算過程中的中間數據,ROM中固化有COS,COS是用戶的應用程序與卡的交互界面;是卡內各硬件部件(RAM、PROM、 EEPROM)的總調度師;是卡的安全衛士;是實現各相關國際標準的基礎。COS通常都是自己的安全體系,它的安全性能通常是衡量COS的重要技術指標。
COS的功能包括:傳輸管理、文件管理、安全體系、命令解釋。
EEPROM用于存放持卡人的個人信息以及發行單位的有關信息。CPU管理信息的加/解密和傳輸,嚴格防范非法訪問卡內信息,發現數次非法訪問,將鎖死相應的信息區(也可用高一級命令解鎖)。
CPU卡的容量有大有小,價格比邏輯加密卡要高。但CPU卡的良好的處理能力和上佳的保密性能,使其成為IC卡發展的主要方向,以下對CPU卡做一詳細介紹。
CPU卡的特點
1) 芯片和COS的安全技術為CPU卡提供了雙重的安全保證
2) 自帶操作系統的CPU卡對計算機網絡系統要求較低,可實現脫機操作;而存儲器卡必須在完善的網絡環境下使用。
3) 可實現真正意義上的一卡多應用,每個應用之間相互獨立,并受控于各自的密鑰管理系統。
4) 存儲容量大,可提供1K-64K字節的數據存儲間
5) 使用壽命長,數據存儲時間可達十年以上
CPU卡的主要功能
1) 身份認證: 對持卡人、卡終端、和卡片三方的合法身份做認證
2) 安全保密模塊: 使用相應的密鑰實現加密、解密以及處理,從而完成與用戶卡之間的安全認證。
3) 數據載體:CPU卡可做為個人檔案或重要數據的安全載體,數據可至少保存10年以上。
由于CPU卡在安全性等方面具備很多優點,隨著CPU卡成本的降低,而邏輯加密卡又在安全上經受著越來越多的挑戰,將會有更多的城市采用CPU卡或逐步向CPU卡進行過渡。
2、密鑰安全
一卡多用、互聯互通應建立在統一的技術標準、統一的安全體系、統一的結算機制基礎上,為保障應用系統的安全性,系統建設應采用統一的建設事業IC卡密鑰管理系統和安全認證模塊,同時進一步加強密鑰系統本身的安全機制和標準加密算法研究,以確保系統的安全性能。
建設事業IC卡密鑰管理系統采用高度加密的3DES加密算法,支持相應的RSA非對稱算法,通過先進的網絡技術、IC卡技術和加密技術,實現多行業的密鑰分散和統一分發,滿足各城市在多個行業的安全應用要求,從而達到一卡多用、城市間互聯互通目標。
二、設備的安全
相對于消費業務來講,用戶卡的充值業務在系統安全設計中則顯得更加重要,應用ISAM卡進行充值授權認證,是保證系統安全性的重要手段。目前,充值方式有脫機充值和在線聯機充值兩種解決方案。作為脫機充值方式,雖然初期投入成本較低,但存在著種種弊端和安全隱患。
1. 操作員未及時上傳充值記錄造成用戶卡清算不平衡;
2. 黑名單發布滯后;
3. 脫機充值設備損壞造成充值記錄丟失;
4. 不能實現充值操作的實時權限控制;
5. 脫機充值設備和設備內ISAM卡的物理安全也成為系統的隱患之一。
以上幾種情況,均會對IC卡用戶及IC卡運營商造成不必要的損失。隨著網絡連接成本的逐步降低以及用戶對于系統安全性要求的進一步提高,聯機充值方式逐漸成為首選方案。
從系統設計角度看,聯機充值系統應采用三層體系結構,即前臺客戶機系統、中間件應用服務器系統、后臺中心數據庫系統。通過中間件將前臺客戶機與后臺數據庫聯系起來,有利于系統的安全性、可靠性和可擴充性。同時系統采用經行業認證的加密機,每一筆充值交易所需的密鑰認證和授權以及數據的加密傳輸,都通過加密機進行,從而避免了每一個終端設備都必須安裝ISAM卡和終端設備損壞、數據丟失的問題,有效地保證了密鑰的安全和系統的安全。
三、交易記錄的安全
交易記錄主要包括充值交易記錄、消費交易記錄,交易記錄涉及到乘客的切身利益和運營主體的資金問題,因此必須采取有效手段要保證交易數據的有效性和完整性。
1、終端設備形成交易記錄時,均應產生交易認證碼(TAC碼)。脫機設備TAC碼由SAM卡產生,聯機在線設備TAC碼由后臺硬件加密機設備產生,每條交易記錄均使用TAC機制保證數據的完整性,使交易數據不可篡改、不可偽造,上傳后,后臺使用硬件加密機進行TAC校驗;
TAC碼(Transaction Authentication Code)即交易驗證碼。TAC碼是通過將原始交易記錄的交易時間,交易金額等數據項進行加密計算而產生的交易驗證碼。其設計目的是通過生成和驗證基于密鑰的TAC,能夠保證交易記錄產生的合法性,防止人為生成交易記錄之類的欺詐行為。
2、脫機終端設備應保證交易數據不丟失,交易過程中斷導致交易未正常完成時,終端設備應具有在規定的時間內提示和恢復功能。
3、清算中心和分系統結算中心之間的所有的數據交換均使用MAC認證,采用硬件加密機進行MAC的生成和校驗,即保證了處理速度又提高了系統的安全性。
四、后臺系統及網絡的安全
后臺系統及網絡的安全也不容忽視,否則用戶卡的數據一旦沒有得到有效的保護,后果不堪設想。建設一個安全的后臺系統及網絡,應注意以下幾方面:
1、 關鍵的服務器盡量采用相對安全的操作系統如UNIX、LINUX;
2、 及時對操作系統進行升級和補丁安裝;
3、 安裝網絡版殺毒軟件并及時升級;
4、 建立不同權限的數據庫用戶,對數據庫登陸要嚴格管理;
5、 建立完善的數據庫備份方案和有效的災難恢復機制;
6、 定期更換數據庫、操作系統、網絡設備密碼;
7、 采用防火墻將IC卡應用網絡與日常辦公、互聯網進行隔離,僅允許通過授權的端口進行數據傳輸或訪問。
五、安全管理制度
雖然在系統設計和建設中,我們考慮了很多安全因素,但是如果單位內部出現問題,安全管理制度不健全,或不按操作規程執行,將重要的信息透露給外界,有意無意間使系統遭到破壞,都會造成嚴重的后果。譬如,密鑰卡的存放、領取、歸還都要有詳細、嚴格的規定,相關人員必須嚴格執行等等。因此,建立一套健全的安全管理制度,加強人員管理,也是保證系統安全性的重中之重。
結論
綜上所述,隨著科學技術的不斷發展、一卡多用和互聯互通應用的不斷拓展,系統安全將會遇到越來越多的挑戰,只有從IC卡、設備、交易過程、后臺系統及網絡、管理制度等方面不斷完善,同時采用建設事業IC卡密鑰管理系統及正在制訂的關于一卡多用和互聯互通的相關標準,才能建設一個安全、可靠、可信的系統,才能更好地為百姓服務。
本文結合作者多年參與IC卡運營的經驗,從IC卡、設備、交易過程、后臺系統及網絡、管理制度等方面,闡述了如何建設一個安全的一卡多用、互聯互通應用系統。
引言
公交IC卡主要為大眾百姓服務,因此方便百姓出行,實現公交卡“一卡多用”成為公共交通IC卡的發展方向。推廣城市交通一卡多用將會提高城市公共服務設施的服務質量和服務水平,提高參與一卡多用的企、事業單位的管理能力,符合建設現代化信息城市的目的,公交IC卡的應用目前已經從最初的公交應用,擴展到出租、地鐵、軌道交通,還有燃氣、供水、社區、銀行、公園景點等多領域應用。城市的互聯互通也成為方便百姓出行的一大亮點,目前涉及這些領域或部分領域的城市包括上海、南京、北京、杭州、鄭州、寧波、大連等多個城市。
如何建設一個安全的一卡多用、互聯互通應用系統,也成為人們關注的焦點之一,以下從幾個方面來闡述這個問題。
一、卡片安全
1、卡類型的選擇
卡類型的選擇是保證系統安全的重要的因素之一,因為它和用戶的利益息息相關,成為決定系統能否正常運行的重要因素之一。
按芯片類型的不同,IC卡大致可分為:存儲器卡,邏輯加密卡,和CPU卡三種。
(1)、存儲器卡:也叫非加密存儲器卡,卡內的集成電路芯片主要是EEPROM,這個EEPROM是一個電擦除可編程只讀存儲器EEPROM,它僅有數據存儲功能,不具有數據處理功能,存儲卡本身不提供硬件加密功能,只能存儲通過系統加密過的數據,很容易被破解,因而一般用于存放不需要保密的信息。
(2)、邏輯加密卡:卡內的集成電路包括加密邏輯電路和電擦除可編程只讀存儲器EEPROM,也就是在非加密存儲器卡的基礎上增加了加密邏輯電路,加密邏輯電路通過校驗密碼方式來保護著卡和卡中數據的安全。該類卡片存儲量相對較小,價格相對便宜,適用于有一定保密要求的場合。
(3)、CPU卡:也稱智能卡,卡內的集成電路中帶有微處理器CPU、存儲單元(包括隨機存儲器RAM、程序存儲器ROM(FLASH)、用戶數據存儲器EEPROM)以及芯片操作系統COS(Card Operating System)。
其中,RAM用于存放運算過程中的中間數據,ROM中固化有COS,COS是用戶的應用程序與卡的交互界面;是卡內各硬件部件(RAM、PROM、 EEPROM)的總調度師;是卡的安全衛士;是實現各相關國際標準的基礎。COS通常都是自己的安全體系,它的安全性能通常是衡量COS的重要技術指標。
COS的功能包括:傳輸管理、文件管理、安全體系、命令解釋。
EEPROM用于存放持卡人的個人信息以及發行單位的有關信息。CPU管理信息的加/解密和傳輸,嚴格防范非法訪問卡內信息,發現數次非法訪問,將鎖死相應的信息區(也可用高一級命令解鎖)。
CPU卡的容量有大有小,價格比邏輯加密卡要高。但CPU卡的良好的處理能力和上佳的保密性能,使其成為IC卡發展的主要方向,以下對CPU卡做一詳細介紹。
CPU卡的特點
1) 芯片和COS的安全技術為CPU卡提供了雙重的安全保證
2) 自帶操作系統的CPU卡對計算機網絡系統要求較低,可實現脫機操作;而存儲器卡必須在完善的網絡環境下使用。
3) 可實現真正意義上的一卡多應用,每個應用之間相互獨立,并受控于各自的密鑰管理系統。
4) 存儲容量大,可提供1K-64K字節的數據存儲間
5) 使用壽命長,數據存儲時間可達十年以上
CPU卡的主要功能
1) 身份認證: 對持卡人、卡終端、和卡片三方的合法身份做認證
2) 安全保密模塊: 使用相應的密鑰實現加密、解密以及處理,從而完成與用戶卡之間的安全認證。
3) 數據載體:CPU卡可做為個人檔案或重要數據的安全載體,數據可至少保存10年以上。
由于CPU卡在安全性等方面具備很多優點,隨著CPU卡成本的降低,而邏輯加密卡又在安全上經受著越來越多的挑戰,將會有更多的城市采用CPU卡或逐步向CPU卡進行過渡。
2、密鑰安全
一卡多用、互聯互通應建立在統一的技術標準、統一的安全體系、統一的結算機制基礎上,為保障應用系統的安全性,系統建設應采用統一的建設事業IC卡密鑰管理系統和安全認證模塊,同時進一步加強密鑰系統本身的安全機制和標準加密算法研究,以確保系統的安全性能。
建設事業IC卡密鑰管理系統采用高度加密的3DES加密算法,支持相應的RSA非對稱算法,通過先進的網絡技術、IC卡技術和加密技術,實現多行業的密鑰分散和統一分發,滿足各城市在多個行業的安全應用要求,從而達到一卡多用、城市間互聯互通目標。
二、設備的安全
相對于消費業務來講,用戶卡的充值業務在系統安全設計中則顯得更加重要,應用ISAM卡進行充值授權認證,是保證系統安全性的重要手段。目前,充值方式有脫機充值和在線聯機充值兩種解決方案。作為脫機充值方式,雖然初期投入成本較低,但存在著種種弊端和安全隱患。
1. 操作員未及時上傳充值記錄造成用戶卡清算不平衡;
2. 黑名單發布滯后;
3. 脫機充值設備損壞造成充值記錄丟失;
4. 不能實現充值操作的實時權限控制;
5. 脫機充值設備和設備內ISAM卡的物理安全也成為系統的隱患之一。
以上幾種情況,均會對IC卡用戶及IC卡運營商造成不必要的損失。隨著網絡連接成本的逐步降低以及用戶對于系統安全性要求的進一步提高,聯機充值方式逐漸成為首選方案。
從系統設計角度看,聯機充值系統應采用三層體系結構,即前臺客戶機系統、中間件應用服務器系統、后臺中心數據庫系統。通過中間件將前臺客戶機與后臺數據庫聯系起來,有利于系統的安全性、可靠性和可擴充性。同時系統采用經行業認證的加密機,每一筆充值交易所需的密鑰認證和授權以及數據的加密傳輸,都通過加密機進行,從而避免了每一個終端設備都必須安裝ISAM卡和終端設備損壞、數據丟失的問題,有效地保證了密鑰的安全和系統的安全。
三、交易記錄的安全
交易記錄主要包括充值交易記錄、消費交易記錄,交易記錄涉及到乘客的切身利益和運營主體的資金問題,因此必須采取有效手段要保證交易數據的有效性和完整性。
1、終端設備形成交易記錄時,均應產生交易認證碼(TAC碼)。脫機設備TAC碼由SAM卡產生,聯機在線設備TAC碼由后臺硬件加密機設備產生,每條交易記錄均使用TAC機制保證數據的完整性,使交易數據不可篡改、不可偽造,上傳后,后臺使用硬件加密機進行TAC校驗;
TAC碼(Transaction Authentication Code)即交易驗證碼。TAC碼是通過將原始交易記錄的交易時間,交易金額等數據項進行加密計算而產生的交易驗證碼。其設計目的是通過生成和驗證基于密鑰的TAC,能夠保證交易記錄產生的合法性,防止人為生成交易記錄之類的欺詐行為。
2、脫機終端設備應保證交易數據不丟失,交易過程中斷導致交易未正常完成時,終端設備應具有在規定的時間內提示和恢復功能。
3、清算中心和分系統結算中心之間的所有的數據交換均使用MAC認證,采用硬件加密機進行MAC的生成和校驗,即保證了處理速度又提高了系統的安全性。
四、后臺系統及網絡的安全
后臺系統及網絡的安全也不容忽視,否則用戶卡的數據一旦沒有得到有效的保護,后果不堪設想。建設一個安全的后臺系統及網絡,應注意以下幾方面:
1、 關鍵的服務器盡量采用相對安全的操作系統如UNIX、LINUX;
2、 及時對操作系統進行升級和補丁安裝;
3、 安裝網絡版殺毒軟件并及時升級;
4、 建立不同權限的數據庫用戶,對數據庫登陸要嚴格管理;
5、 建立完善的數據庫備份方案和有效的災難恢復機制;
6、 定期更換數據庫、操作系統、網絡設備密碼;
7、 采用防火墻將IC卡應用網絡與日常辦公、互聯網進行隔離,僅允許通過授權的端口進行數據傳輸或訪問。
五、安全管理制度
雖然在系統設計和建設中,我們考慮了很多安全因素,但是如果單位內部出現問題,安全管理制度不健全,或不按操作規程執行,將重要的信息透露給外界,有意無意間使系統遭到破壞,都會造成嚴重的后果。譬如,密鑰卡的存放、領取、歸還都要有詳細、嚴格的規定,相關人員必須嚴格執行等等。因此,建立一套健全的安全管理制度,加強人員管理,也是保證系統安全性的重中之重。
結論
綜上所述,隨著科學技術的不斷發展、一卡多用和互聯互通應用的不斷拓展,系統安全將會遇到越來越多的挑戰,只有從IC卡、設備、交易過程、后臺系統及網絡、管理制度等方面不斷完善,同時采用建設事業IC卡密鑰管理系統及正在制訂的關于一卡多用和互聯互通的相關標準,才能建設一個安全、可靠、可信的系統,才能更好地為百姓服務。
