校园一卡通系统安全设计与实施

李 良

（江苏经贸职业技术学院 江苏 南京 211168）

0 引言

“校园一卡通”系统实施前，我院存在着借书卡、饭卡、上机卡、开水卡、洗衣卡、购电卡等多种卡片，且各自的管理系统相互独立。我院实施一卡通系统后将这些功能统一到一张卡片进行管理，为全面建设数字化校园奠定了基础，也方便了广大师生员工的学习、生活。因为系统包含消费、身份识别以及管理功能，系统地安全性至关重要。

1 安全性设计需要考虑的因素

一卡通系统中涉及到众多的设备及相关数据，如：卡片、POS机、服务器、网络设备、消费信息数据等。这些设备及数据的安全，是整个校园卡系统安全、稳定运行的基础。

1.1 卡片安全

主要考虑卡中信息在存储及交易过程中的完整性、有效性和真实性，防止对卡片的伪造以及对卡中的信息进行非法修改和非法使用。

1.2 读卡设备安全

校园卡系统中读卡设备的安全主要包括POS机的安全、圈存机的安全和系统黑白名单的管理。

POS机涉及校内的食堂、超市、校园班车等众多的公共服务场所，且需要对卡内的金额信息进行读写操作，所以POS机本身的稳定运行和存储数据的安全可靠，成为校园卡系统安全性重要的指标之一。

1.3 网络安全

在校园网环境上传输一卡通数据,必须防止非法用户在传输过程中篡改数据或通过校园网侵入运行在校园网硬件平台的校园一卡通系统。

1.4 应用系统服务器及卡中心数据库服务器安全

既要防范黑客、病毒入侵、破坏应用系统服务器及卡中心数据库服务器，也要减少设备故障、停电、火灾等意外情况发生带来的不利影响。

中心数据库服务器存储了全部的身份信息和交易信息，是校园卡系统的中枢，其安全性对整个校园卡系统的安全有决定性的影响。为保证中心数据库服务器安全、稳定、可靠和高效的运行，防范网络攻击、病毒、黑客入侵以及对数据库的非法访问、篡改和删除，需要从硬件配置、操作系统和数据库等三个层次上来采取措施。

2 系统安全性设计

系统安全性需要考虑的内容较多，这里只列举了系统实施过程中部分安全性设计实现。

2.1 卡片安全设计

M1卡通过天线感应进行读写操作，在出现电网干扰、感应临界点等情况下，可能出现读写信息出错。为了降低读写信息出错的概率，可以通过将频繁写的信息如金额和不常使用的信息如姓名、学号等分别存放在不同的扇区，来减少在频繁使用的场合中读写信息的时间。

通过对卡内存储的信息增加较验算法，卡内信息不能被篡改。对于被篡改的卡，由于卡内信息不符合较验算法，所以在其被使用时，系统会自动报警，不允许使用。另外，还可以通过上层软件来实现对异常卡的自动冻结。

2.2 读卡设备安全设计

为了确保交易数据存储的安全，POS机内应包含大容量的非易失性存储空间，以存储足够的脱机交易记录和黑名单。在内部的数据存储器空闲存储空间不多时，POS机应自动产生提示信息。在内部的数据存储器已经存满时，POS机应自动报警并拒绝消费，保证已经存储的数据的安全可靠。存储脱机交易流水信息时，在每条记录中增加通过加密算法生成的校验码，以识别对数据存储器的非法修改。

黑名单管理是各类读卡机具都需要具备的一个重要功能。由于读卡机具内的数据存储空间有限，而因为丢卡产生黑名单数量总是在增加，所以如果不采取措施控制黑名单的数量，终有一天会出现读卡机具数据存储器满，新挂失的卡片不能进入黑名单的情况。而且，当黑名单数量达到一定量以后，读卡速度会受到影响，从而降低读卡机具的处理速度。为控制黑名单的数量，一方面，可采用设置卡片使用有效期的方法，在卡片开户时写入有效期。当卡片超出有效期没有重新注册，读卡机具会自动拒绝其使用，系统会自动从读卡机具内清除这些黑名单。另一方面，可采用批次的概念，将一届学生设置为一个批次，当该届学生离开时，将该批次号挂失，同时从挂失库中清除该批次卡号。

2.3 数据传输安全设计

我院一卡通网络采用物理独享专网和VLAN虚拟局域网相结合的模式,有些场所，如食堂、超市、创业园等地方，原本没有网络，为一卡通专门实施了网络布线工程。有些原本已有网络的地方，用VLAN划分虚拟局域网，对接入点进行专门的设置。

为应对交易记录从POS机到数据通讯网关的传输过程中被篡改，在普通的POS机中，每产生及上传一笔交易记录时，每笔记录均采用16位CRC校验；在配置有PSAM卡的POS中，每产生及上传一笔交易记录时，每笔记录中均通过PSAM卡加密校验，然后上传至数据通讯网关。数据通讯网关通过验证校验码，以确保采集到的校验记录的完整性和合法性。

为应对数据传输过程中因网络故障而导致的数据丢失，在POS机的硬件设计中增加重复采集的功能。即在采集脱机交易流水时，只是移动指针，采集完毕后流水仍存在于POS机的数据存储器内，以便对全部或指定范围的流水记录重新采集。由于数据丢失往往是因为存储芯片中的数据指针丢失造成的，所以需要将数据指针保存在存储器中的多处不同位置。只要指针有一处存在，即可确保数据读取正确。

2.4 应用系统服务器及卡中心数据库服务器安全

应用系统服务器及卡中心数据库服务器统一放到信息中心集中管理，配备UPS、监控系统、自动报警系统、七氟丙烷气体灭火装置等基础设施，对硬件设备进行了很好的保护。

在硬件配置方面，卡中心数据库服务器采用双机热备份，一台机器故障，瞬间可切换到备用机，使其接替工作，保障数据服务的不中断。在操作系统方面，卡中心数据库服务器安装安全性较高的redhat linux操作系统，在安装操作系统时采用较高的安全级别，关闭不用的网络访问服务并设置科学合理的密码管理机制。在数据库方面，需要防止非法使用所造成的数据泄漏、修改和损害。应用系统设计上采用三层架构，实现中心数据库和应用层的隔离，屏蔽用户直接对数据库的操作，保证数据安全。

3 异地容灾系统的实施

作为学院的金融系统，一卡通数据安全性至关重要，如何建设一个应对火灾、设备损坏等情况下的异地容灾系统，具有极重要的现实意义。而一旦发生灾难，容灾系统将能保证业务尽快恢复，甚至可以保证业务不间断执行。为此我院实施了一卡通系统数据实时异地备份系统。

3.1 地址选择

方案实施前，我院已经有两台富士通E3000系列光纤存储设备，分别放置在现代教育技术中心五楼设备中心（以下简称A地）和图书馆一楼设备中心（以下简称B地），两个中心分属不同建筑，直线距离超过200米并有光缆连通，符合校园内异地备份条件。我院一卡通数据存储在A地富士通存储内，采用的数据库系统为Oracle。

3.2 方案选择

制定方案时充分考虑依托现有条件，计划将A地一卡通数据实时备份到B地富士通存储内，达到实时异地备份目的。对多种方案进行了比较，最后选择了通过企业版Oracle 10 G数据库套件来完成实时备份功能。

3.3 方案实施

为了确保数据的安全，采用了三级备份模式。（1）两地存储各扩容4块磁盘，专用于存储一卡通数据，磁盘间通过RAID完成磁盘级数据同步备份，此为第一级备份，保证部分硬盘损坏的情况下数据不遗失。（2）本地异机定时备份，A地一卡通数据，每日定时备份到本地另外一台服务器上，虽然不具备实时性，但可保留多个时段数据版本，此为第二级备份。（3）实时异地备份，两地均安装企业版Oracle数据库，并设置将数据存放在存储设备上，两地存储用光纤互联，通过配置Oracle数据库实现数据的实时备份，此为第三级备份。这种备份实现了数据的实时异地备用功能，是三级备份模式中最复杂、最重要的一种模式，可以起到异地容灾的效果，避免火灾等恶劣事件带来的数据损失。

［1］李相汝.一卡通与校园网的融合及安全[J].安阳工学院学报，2006(4).

［2］李良.数据备份策略与容灾系统方案研究[J].新校园，2010(12).