（车辆工程专业论文）多功能校园一卡通管理系统的安全性研究.pdf

摘要 多功能校园一卡通管理系统的安全性研究 r 摘要：婊文是在石家庄铁路工程职业技术学院多功能校园一卡通 工程项目的开发过程中完成的，具有明确的生产背景和广泛的应用价 值。学院隶属于中国铁道建筑总公司，2 0 0 1 年底和联通公司签约，通 过联通公司d d n 专线连接i n t e r n e t ，由石家庄铁道学院为学院建设 校园网。为开发多功能校园一卡通奠定了基础，目前石家庄铁路工 程职业技术学院正在自行设计开发校园“一卡通”项目，本论文所做的 是该项目安全保障系统的前期工作及可行性研究。丫 文中介绍了目前国内常用的i c 卡类型及其技术特征，提出了既满 足现在要求，又能适应以后发展，应用于一卡通的卡的类型，并进行了 详细的安全性分析。在介绍了多功能校园一卡通的背景，基本结构 和工作方式之后，着重于对i c 卡应用进行了安全性设计：各个数据区 的加密设计；校园网中卡的数据结算和鉴别过程的加密设计。该安全性 设计运用了多种加密手段，可有效地遏制黑客的攻击和其它的破坏手 段。 目前，已经完成校园网的建设和多功能校园咔通的理论论证 及选型和学生上机收费模块的试运行，效果良好。 关键字：校园网一卡通加瑰 s a f e t yr e s e a r c ho nm a n a g e m e n ts y s t e mf o r c a m p u sm u l t i f u n c t i o n a la l l - i n - o l l ec ! a r d a b s t r a c t ：t h i st h e s i si sf i n i s h e di nt h ec o u r s eo ft h ed e v e l o p m e n to ft h e p r o j e c to fm u l t i f u n c t i o n a la l l i n o n ec a r di ns h i j i a z h u a n gv o c a t i o n a l t e c h n o l o g yi n s t i t u t eo fr a i l w a ye n g i n e e r i n g 谢t l le x p l i c i tm a n u f a c t u r e b a c k g r o u n da n db r o a da p p l i c a t i o nv a l u e t h ei n s t i t u t ei ss u b o r d i n a t e dt o c h i n ar a i l w a yc o n s t r u c t i o nc o m p a n y a na g r e e m e n tw a ss i g n e db e t w e e n t h ei n s t i t u t ea n dc h i n au n i c o mc o m p a n ya tt h ee n do fy e a r2 0 0 1 a c c o r d i n gt ot h ea g r e e m e n t ，t h ec a m p u sn e ti st ob eb u i l tb ys 埘i a z a h u a n g r a i l w a yc o l l e g ev i ad d ns p e c i a ll i n ep r o v i d e db yu n i c o r nt oc o n n e c t i n t e r n e t nh a sl a i dt h ef o u n d a t i o nf o rt h ed e v e l o p m e n to ft h ep r o j e c to f m u l t i - f u n c t i o n a lc a m p u sa l l i n - o n ec a r d a tp r e s e n t ，t h ep r o j e c to ft h e c a m p u sa l l - i n - o n ec a r di sb e i n gd e v e l o p e do ns e l f - r e l i a n c eb a s i s w h a t t h i st h e s i sh a si n v o l v e di st h ew o r ko ft h ee a r l i e rs t a g ea n dr e s e a r c h f e a s i b i l i t yo f t h i sp r o j e c t w h a tt h i st h e s i si m r o d u c c da r et h et y p e so f i cc a r da n dr e l a t e dt e c h n i q u e f e a t u r e sw h i c ha t eu s e dc o m m o n yi nd o m e s t i c a l l yn o w a d a y s i ta l s op u t s f o r w a r dt h ec a r dt y p ea p p l i e df o rt h ea l l - i n - o n ec a r d ，w h i c hc a nb o t hm e e t p r e s e n tr e q u i r e m e n ta n da d a p tt ot h ef u t u r ed e v e l o p m e n t b e s i d e s ，t h es a f e t y a n a l y s i si nd e t a i li sg i v e na sw e l l w es t r e s st h ei m p o r t a n c eo ft h es a f e t y d e s i g nf o ri cc a r da p p l i c a t i o ns u c ha st h ee n c r y p t i o nd e s i g no ft h ed a t a a r e a ，d a t ac l e a n i n ga n dd a t ar e c o g n i t i o np r o c e s s m a n yk i n d so fc o d i n g m e t h o d sa r eu s e di nt h i sp a r t i c u l a rs a f e t yd e s i g nw h i c hc a np r e v e n tt h e h a c k e r sa t t a c ka n do t h e rd e s t r u c t i v em e a n sa l s o a tt h em o m e n t , i th a sb e e ns u c c e s s f u li nf i n i s h i n gt h ec o n s t r u c t i o no ft h e c a m p u sn e t ，t h e o r yd e m o n s t r a t i o n ，c a r dm o d e l i n ga n dt r i a lo p e r a t i o no f c h a r g em o d e f o rt h es t u d e n t sw h i l eu s i n gc o m p u t e r s i ts h o w sg o o de f f e c t i n d e e d k e yw o r d ：c a m p u sn e t ，a l l i n - o n ec a r d ，e n c r y p t i o n ，d i s c r i m i n a t i o n 第1 章绪论 第1 章绪论 1 1 开发校园一卡通系统的意义 石家庄铁路工程职业技术学院原名石家庄铁路工程学校，建校设计 在校学生规模9 0 0 人。以前管理项目都是手工登记完成。随着学校规模 的扩大，尤其2 0 0 0 年升为高职后，学校和在校学生规模有了大的飞跃， 在校学生达5 0 0 0 余名，又增建了一个校园，管理项目也逐渐增多，按照 原先的方式管理学生，明显表现出了管理人员不够用，效率低的问题。比 如：学校3 个学生食堂可以用饭票轻松满足9 0 0 人用餐，也不显拥挤。 现在5 0 0 0 人一下课同时涌向食堂，食堂工作人员就有点应接不暇，食堂 拥挤不堪，学生抱怨打饭速度慢等问题。这类瓶颈问题也出现在了图书 馆、校医院等地方。从而面临是增加人员，还是改变工作方式的选择。 开发“多功能校园一卡通”( 以下简称校园卡) 就是解决这个问题的有效 途径。 所谓“多功能”，是指以一张i c 卡同时支持多种不同的应用子系统， 而各个子应用系统是在统一规划前提下分别开发的，实现学生就餐收费、 上机收费、学生选课、学生注册、学生小额消费、学生宿舍楼门禁等项 目自动化。 由于学生上机管理、食堂收费管理、图书馆管理、学生选课、学生 注册等，这些管理项目用i c 卡应用系统都能很好的实现；并且，学校是 一个相对独立的实体。这就为整个系统在设计中整体规划，在实现中分 步进行，在使用中统一管理、统一结算打下了坚实的基础。 实现这样一个多功能校园卡系统，具有很大的应用价值和显著的经 济效益。从经营者角度讲，这样的系统将大大降低整个系统的成本，减 少i c 卡生命周期( 指i c 卡发放、使用及回收的全过程) 的维护工作量 】 北方交通大学工程硕士专业学位论文 和整个系统的维护工作量，同时也实现了减员增效的目的；从使用者角 度讲，用一张i c 卡就能完成系统所覆盖的各种应用，实现“一卡通全校”， 这将极大方便使用者。此外，在学校的各个管理部门内引入基于i c 卡的 计算机管理系统，对于提高工作效率和管理水平、减少现金流通、实施 更加有效的财务监督等，都将有很大好处。 1 2 本论文立题 根据石家庄铁路工程职业技术学院对“一卡”通校园的实际需求， “一卡通”系统的总体设计目标是：一卡覆盖全校主要管理和消费应用， 支持持卡人长期使用。设计时充分考虑该工程的安全性、可靠性、稳定 性。同时该工程要具有易管理性、易维护性、可扩充性和开放性等特点。 “校园一卡通”工程分三个阶段： 第一期：建设校园网，同时完成校园卡选型和安全性的论证。 第二期：实现校园一卡通的学生上机、食堂就餐结算、图书馆借阅 图书的功能。 第三期：实现图书馆复印、教务处选课、排课、宿舍楼门禁等其它 功能模块。 本论文完成时该工程已经完成了第一步和第二步。通过运行，效果 良好，基本实现了设计的要求和目的。本文着重做了i c 卡的选型、存储 数据方式、传输数据、结算鉴别等方面的可靠性和安全性的研究工作。 第2 章校园网和l c 卡概述 第2 章校园网和i c 卡概述 2 1 校园网概述 2 1 1 总体结构 校园网总体结构采用1 0 0 m 快速双绞线以太n + 8 芯多模光纤连接， 耳前共分网管中心、学生机房、办公楼、学生宿舍、食堂、职工宿舍六 大部分。校园网通过联通公司2 m 的d d n 专线接入i n t e m e t ，校园网内 主机采用虚拟的i p 地址，其中每个学生机房、各系部、办公楼、食堂、 网管中心各占用一个网段，各网段之间的路由由路由器一个内部端口直 一接完成，因我校校园网规模不大，路由速度比较快，加上i c 卡的数据量 很小，所以基本上可以保证读卡器的实时连接。对外通信则通过路由器 的n a t 功能来实现。 2 1 2 建筑群子系统 1 ) 学生机房：学生机房离网管中心很近，直接通过超5 类线来连接。 2 ) 办公楼、各系部、食堂：距离网管中心较远，必须通过光纤( 1 0 0 m ) 来连接。 2 ) 学生食堂：距离网管中心很远，只能通过拨号连接，我校有自己 的电话交换机，因而无须支付电话费。 2 1 3 干线子系统 考虑到我校的房屋本身结构不大( 高度、宽度均小于3 0 米) ，双绞 线本身的性能价格比较高，所以统一都采用了双绞线星型结构连接，而 且都是室内布线，采用钢板线槽以加强对干线的保护。实践证明这种结 构有着很可靠的稳定性和足够的带宽，并且能够很方便地进行升级。 1 北方交通大学工程硕士专业学位论文 2 1 4 水平布线系统 保证每个办公室至少有一个双绞线的信息插座，走廊布线采用p v c 线槽固定( 均小于9 0 米) ，便于以后更换线缆。各办公室根据具体情况 再扩展h u b ，以连接更多的计算机。 2 1 5 管理子系统 主要由网管中心和办公楼网管室两部分组成，网管中心负责全网的 稳定运行和故障维护、i p 地址分配、w w w 信息发布，同时把d n s 服 务器、f t p 服务器、e - m a i l 服务器、多媒体服务器、路由器、顶层交 换机、光纤连接器和网管工作站均设在网管中心，因而网管中心的负载 较大，管理任务较重。 办公楼网管室主要负责办公楼计算机的正常连通，主要设备有二级 交换机和光纤连接器等。设备调试完毕后，基本上不需要做什么改动。 为保证校园网的实时连接，网管中心和办公楼网管室均配备u p s ， 以防止突然的断电造成全系统瘫痪。 2 1 6 软件支持 1 ) d n s 服务器：因为它不需要经常的改动，而且对设备本身要求 不太高( 但要求内存要大) ，也不需要很友好的用户界面，为降低成本， 我们选用了r e dh a tl i n u x 操作系统。 2 ) 服务器：均采用m i c r o s o f tw i n d o w s2 0 0 0a d v a n c e ds e r v e r ，因为 现在大多对微软的产品比较熟悉，兼容性好，用户界面好，对于这个规 模的网络，它工作得也比较好。 3 ) 工作站：各用户自己选择，一般都为m i c r o s o f tw i n d o w9 x 和 w i n d o wm e 。 4 ! ! 查奎望查兰三堡堡主童些兰焦堡塞 2 2i c 卡概述 2 2 1i c 卡的简介 i c 卡又称智能卡( s m a r tc a r d ) ，即集成电路卡( i n t e g r a t e d c i r c u i t c a r d ) 。它是将一个集成电路芯片镶嵌于塑料基片中，封装成卡的形式， 其外形与覆盖着磁条的磁卡相似。i c 卡的结构及外形如图2 1 所示。 封口胶向上) 十们s 。 塑料卡基 集成电路过填注涂层 卡片触点 图2 1 i c 卡的结构和外形 塑料卡基 i c 卡有8 个卡片触点，从c 1 到c 8 ，触点可安排在卡的正面或反面， 触点功能如表2 1 ： i c 卡芯片具有写入和存储数据的能力，i c 卡存储器中的内容根据需 要可以有条件的供外部读取，或供内部信息处理和判定之用。根据1 c 卡 中所镶嵌集成电路的不同，可将i c 卡分为以下三类： 1 ) 存储器卡卡中的集成电路为串行e e p r o m ( 可用电擦除的可 编程只读存储器) ，其内部数据可随意进行读写操作； 北方交通大学工程硕士专业学位论文 表2 1i c 卡触点功能定义 触点编号功能触点编号功能 c tv c c ( 电源电压) c 5 g n d ( 地1 c 2r s t ( 复位信号) c 6 v p p ( 编程电压) c 3c l k ( 时钟) c 7 i o ( 数据1 c 4 r f u c 8 r f u 2 ) 逻辑加密卡卡中的集成电路具有硬件加密逻辑和e e p r o m ， 只有满足一定条件才能对卡的存储区进行操作； 3 ) c p u 卡卡中的集成电路包括中央处理器c p u 、e e p r o m 、随 机存储器r a m 以及固化在只读存储器r o m 中的片内操作系统 c o s ( c h i po p e r a t i n gs y s t e m ) 。 此外，按应用领域来分，i c 卡有金融卡和非金融卡两种。金融卡又 有信用卡( c r e d i tc a r d ) 和现金卡( d e b i tc a r d ) 等。按卡与外界数据传送的 形式来分，有接触式i c 卡和非接触式i c 卡两种。 各类i c 卡的简单比较如表2 2 。 2 2 2 i c 卡的特点和优点 在i c 卡推出之前，从世界范围来看，磁卡已经得到了广泛的应用。 与磁卡、以及其他一些常用的卡型( 条码卡、凸字卡、光电卡等) 相比， i c 卡具有以下一些技术特点和优点。 1 ) 抗破坏性和耐用性好：磁卡是靠其上的磁条来存储信息的，磁条 在遇到强磁场、静电、扭弯、刮伤等情况下，存储在里面的信息容易丢 失，尽管制造商采用了很多手段来提高其使用寿命，但先天的缺陷总是 难以彻底排除。另外，磁条上的信息存储时间和读写次数比较少，修改 不方便。i c 卡是用硅片来存储信息的，先进的硅片制作工艺完全可以保 证卡的抗磁性、静电及各种射线的能力，而且由于硅片的体积很小，里 6 北方交通大学工程硕士专业学位论文 表2 2 各类i c 卡简单比较 种类存储容量 安全性操作方式代表卡型 从几百字差，其内数据可 a t 2 4 c 0 4 存储器卡 节到几兆任意读写，只能简单 a t 2 4 c 0 8 6 4 s l e 4 4 3 2 1 8 字节软件加密 从几百字一般，卡内有硬 a t 8 8 s c l 0 2 逻辑加密 节到几十件加密逻辑 较复杂 a t 8 8 s c l 6 0 4 t k 字节 ，1 6 0 8 s l e 4 4 2 8 从几k 字好，卡内有c p u s l e 4 4 c 2 0 s 节到几十及相应外围电 s l e 4 4 c 4 2 s c p u 卡k 字节 路，具有独立进 复杂 s l e 4 4 c 1 6 0 s 行加密运算和信 息处理的能力 面有环氧的保护，外面有p c b 板和基片的保护，因此，抗机械、化学破 坏能力很强。这些在i s 0 7 8 1 6 一r 中都有详细的规定。现在i c 卡制作得十 分精致、耐用，信息保存期都在1 0 0 年以上，而且读写方便，读写次数 在1 0 万次以上，即使考虑到多种影响因素，一张i c 卡在正常情况下至 少可以使用好几年。 2 ) 存储容量大，灵活性好：磁卡的存储容量最大只有几百字节，一 般磁条只有几十个字节，磁条只能作为一种被动的存储介质。而i c 卡的 容量可以做到几k 个字节( 现已有4 m 位的i c 卡问世) ，而且i c 卡上的 存储区可以分隔，可以有不同的访问级别，这就为信息处理和卡多用 提供了方便。 3 ) 保密性强：由于磁卡的存储容量有限，内部没有对数据内容的安 全控制或对读出、修改内容进行控制的逻辑电路，且读取技术是顺序和 机械的，所以，一般磁卡的保密性较差，很容易被复制。就是金融业用 北方交通大学工程硕士专业学位论文 的磁卡系统，防伪性也很有限。i c 卡系统具有很强的保密性，它主要体 现在： i c 卡容量比较大，且存储器的读取和写入区域可以任意选择， 因此，灵活性较大，即使一般的存储卡，采用特定的技术，也具有较强 的保密性。 对于逻辑加密卡，其存储区的访问受硬件逻辑电路控制，只有各 种密码比较正确后，才能进行读写操作。而且密码连续比较错误有次数 限制，超过规定的次数，卡将被锁死，这就能防止对密码的穷举搜索。 c p u 卡的保密性更高，除了密码控制外，还具备信息处理，单 独进行加密运算的功能，可进一步提高系统的安全性。 i c 卡为一可随身携带的数字电路，因此，数字电路的各种硬件 加密手段都可以用来提高系统的保密性。 在软件设计上，也可采用各种加密算法，来提高系统的安全性。 4 ) 相关设备的成本低：磁卡的读写设备中含有精密机械和信号转换 装置，成本高，且可靠性低，维护量大；另外，由于磁卡本身的保密性 较差，存储容量小，为了提高磁卡应用系统的安全性，一般都要求实时 网络环境的支持，因此对系统网络设计要求高，软件工作量大。i c 卡本 身就是一个数字电路，其相关读写设备非常简单，且成本较低，使用寿 命长，可靠性高，基本上不用维护，因此，i c 卡很容易用于一些一卡配 一座的大众化产品中去。另外，由于i c 卡的保密性好，容量大，很多信 息可直接存放在i c 卡上，设计良好的系统可在非连网的情况下脱机工 作，同时保持较高的安全性。因此i c 卡应用系统对网络性能要求相对较 低，系统设计和使用都比较方便。目前，尽管单个i c 卡的成本要比磁卡 高一些，但从性价比，整个系统的成本及今后工艺成本的降低趋势来看， 采用i c 卡，成本不会是一个障碍。 8 北方交通大学工程硕士专业学位论文 - _ - _ _ _ - _ _ _ _ _ - _ 一一 因此，与磁卡相比，i c 卡具有无可比拟的优点，i c 卡正在取代磁卡， 并开拓一些磁卡无法胜任的新领域。 2 2 3i c 卡国际标准 i c 卡国际标准的总名称为：识别卡一带触点的集成电路卡；国际标 准为i s o i e c 7 8 1 6 。它主要包括以下几部分： 1 ) i s 0 7 8 1 6 - 1 ，规定了i c 卡的物理特性； 2 ) i s 0 7 8 1 6 2 ，规定了i c 卡各触点的尺寸、位置和功能； 3 ) i s o i e c 7 8 1 6 3 ，规定了i c 卡的电子签名和协议。 4 ) i s o i e c 7 8 1 6 4 ，描述了行业间交换用命令； 5 ) i s o i e c 7 8 1 6 5 ，描述了应用标识符的编号系统和登记过程： 6 ) i s 0 7 8 1 6 6 ，描述了部门间的数据单元； 7 ) i s 0 7 8 1 6 7 ，描述了用于结构化卡查询语言的部门间命令； 8 ) i s 0 7 8 1 6 8 ，描述了安全相关的部门间命令； 9 ) i s 0 7 8 1 6 1 0 ，同步型卡的电子签名和重置响应； 2 2 4i c 卡应用领域及使用方式 i c 卡从其诞生之后即开始迅猛发展，所采用的技术也发生着日新月 异的变化，工艺成本不断降低，应用范围日益扩大。进入9 0 年代，尤其 江泽民总书记在9 3 年提出金卡工程的任务后，i c 卡在通信、银行、健 康、交通、社保等方面的应用开始了蓬勃发展。2 0 0 0 年，我国发行i c 卡2 3 亿张，预计今年发行3 2 3 3 亿张。 由于i c 卡比磁卡存储容量大，可靠性和安全性高，在应用上除了可 覆盖磁卡的全部应用范围外，还提供了许多磁卡所不具备的应用特性。 正是这些特性，使i c 卡在脱机业务处理和联网数据一致性等方面表现出 前所未有的优势。 9 ! ! 查窒望查兰三堡堡主童些兰焦堡塞 目前，i c 卡的应用可分为金融系统应用和非金融系统应用两大类， 具体有如下一些应用领域： 1 ) i c 卡用于金融领域，可以作为信用卡、现金卡、证券卡或电子 资金转帐卡等； 2 ) i c 卡可以作身份证明卡使用，如身份证、驾驶执照等； 3 ) 在医疗、保健等领域，i c 卡可以用于健康卡、免疫卡、就诊卡 等； 4 ) 在商业及服务业领域，可以用i c 卡作为优惠卡、结算卡、服务 卡等； 5 ) 在交通领域，可以用i c 卡取代现有的公交或地铁月票，或用于 公路付费和停车付费等场合； 6 ) 在电信领域，有i c 电话卡，以及在蜂窝式数字移动通信网中 ( g s m ) 的$ i m 卡； 7 ) i c 卡可在门蔡系统、设备使用等情形中，以钥匙卡的形式出现； 8 ) i c 卡还可以集各种服务功能于一身，企业员工卡、校园卡即属 此类。持卡人可以用卡就餐、借阅图书、考勤等。 此外，综合i c 卡的各种应用情况，根据对i c 卡内存储器的处理方 法的不同，可将i c 卡的使用方式分为三类： 1 ) 按位计数方式。如将i c 卡作为电话卡时，数据区中的每一位“1 ” 为一个计数单位，代表一定金额( 如打市话的最低费用) ，每打一次电话， 将数据区的一个“l ”或若干个“1 ”置成“0 ”，既扣除此次通话费用， 当全部金额用完后，可去相应部门重新购买。 2 ) 金额计算方式。适用于大部分金融卡( 信用卡、现金卡) 和储蓄 卡等。卡内数据区存放现金额，在持卡消费时除了进行安全验证外，还 要从当前现金额中减去本次消费额，并写入新的余额。 l o 北方交通大学工程硕士专业学位论文 3 ) 存储方式。如健康卡、身份证卡等，这种方式在数据区中记录了 一些个人的重要信息( 姓名、身份证号等) ，以及与具体应用有关的信息 ( i r 型、相片数据、指纹数据等) ，不允许持卡人随意修改数据。 以上三种方式几乎囊括了所有i c 卡应用系统。 2 2 5i c 卡接口设备 i c 卡接口设备( i c 卡读卡器) 是连接i c 卡与应用系统之间的桥梁， 是i c 卡应用系统中至关重要的一个环节，它的性能、可靠性、安全性对 于整个应用系统都有极其重要的影响。 i c 卡接口设备可分为专用和通用两种。前者般以一个独立面向应 用的应用设备方式出现，如水、电、煤气等的i c 卡计费设备，i c 卡自 动售货机，i c 卡付费电话等，这些设备的使用方式和功能均在出厂前由 厂家设置好，使用时仅能根据不同的情况进行小范围设定；后者通常以 从设备方式与主设备( 一般是微机) 一起构成一个i c 卡应用机具，它在 功能上仅完成面向i c 卡的操作，本身不针对任何特定应用，只以丰富而 灵活的应用接口给应用开发者提供良好的支持，是应用系统中的一个非 常合适的选择。 i c 卡接口设备的硬件组成大致相同，主要由i c 卡适配插座( 卡座) 、 i c 卡电气接口电路、用于i c 卡时序生成与数据交换的微处理器，以及 与其他主设备的连接接口等部分组成。其总体结构框图如图2 2 。 图2 2i c 卡读卡器结构框图 l l ! ! 立窭夔查兰三堡堡主童些兰焦笙塞一 2 2 6i c 卡应用系统 i c 卡作为一种新的高科技产品正在引起人们的广泛关注，其关键在 于i c 卡的应用，它标志着又一种新的信息手段的问世，它克服了目前社 会上一些应用信息处理的缺点，将在基本大众化水平上成功地影响我们 的社会需要。作为一种新的工具，i c 卡已被应用到诸多领域。i c 卡应用 系统的一般组成，各部分功能如下图2 3 。 图2 3i c 卡应用系统的一般组成 发行管理系统：主要管理卡的发行信息、终端操作信息及系统运作情 况。 终端系统：读取卡中的信息，向卡中写信息，输出相关信息和控制信 号。 通讯系统：实现发行管理系统和终端系统间的信息传送和反馈，采用 的方式可以是有线、无线、磁介质等。 卡：存放数据信息、代码、储值等。 第3 章系统总体方案设计 第3 章系统总体方案设计 3 1 系统设计原则和设计目标 校园卡系统总的设计原则是： 1 ) 总体规划设计，分期建设实施； 2 ) 确保系统安全可靠； 3 ) 充分利用学校现有的网络资源； 4 ) 尽量采用先进技术； 校园卡系统的总体设计目标是：一卡覆盖全校主要管理和消费应用， 支持持卡人长期使用。目前考虑的应用包括：上机管理、食堂就餐、教 务学籍管理、图书借阅管理、校医院医疗卡( 同时具有急救信息卡功能) 、 校内小额消费、复印等消费结算。 3 2 系统组成及各部分功能描述 校园卡系统的总体功能模块如图3 1 所示。其中校园卡管理中心是 校园卡系统总的管理、维护部门。它主要负责校园卡的发放，校园卡使 用过程中的维护( 如修卡、补发卡) 、发布“黑名单”、加钱，及校园卡 生命周期结束后的回收工作，并维护合法校园卡帐户( 校园卡帐户是校 园卡的档案，它以校园卡卡号为索引，记录了持卡人信息、i c 卡密码信 息、i c 卡使用情况及i c 卡余额信息，其中i c 卡的使用情况和余额信息 要随着i c 卡的使用而不断刷新) 。各应用子系统接受由管理中心发放的 系统认可的合法校园卡，进行消费，并产生电子消费底帐。电子底帐经 过校网传到校园卡结算中心，由结算中心检验底帐的合法性，并结算成 1 3 ! ! 查窒望查主三堡堡圭童些兰焦堡壅 教务处 财务处 校园卡管理中心 校园卡结算中心 上机应用子系统 校医院应用子系统 小额消费应用子系统 食堂收赞应用子系统 校宾馆管理子系统 校银行应用予系统 图书馆应用子系统 图3 1 校园卡系统总体功能模块图 ”1 芹瞥唑、。一f 1 由早窟排特搌 ( ) r 一一一一1 由早窟排特搌 ij 一k 仡鼠 j ，i 士 阳凰 l 宙凰创画 i 库 读卡器 应用系统集l库 发行、 维护、 回收 降管理中心 i 拓摘丽牟帐由佶自 算 l税四卞芋彳甲心 f ，地理蜃的电；底帐# ，j。 f 校园网主干 厂 使用 图3 2 校园卡系统各模块关系图 1 4 校信息网络管理中心 ! ! 立奎望查兰三堡塑主童些兰焦笙塞 现金，返回到应用子系统的管理单位。同时结算中心还要将经过处理的 电子底帐传到管理中心，以刷新校园卡帐户信息。校园卡系统各模块的 关系如图3 2 。 目前，校园卡系统的整体框架基本建立。其中校园卡管理中心的工 作主要由校财务处、校信息网络中心共同完成，校园卡结算中心的工作 由校财务处、计算机信息网络中心共同完成。应用子系统中的“i c 卡上 机收费管理系统”已在全校所有公共机房试运行，有些需要改进。石家 庄铁路工程职业技术学院专科生都将持有校园i c 卡，总计发卡约5 0 0 0 余张。 3 3 系统安全性设计 3 3 1 计算机系统安全性的一般性描述 现实社会中，一个计算机系统要涉及到很多的因素，有人、各种设 施与设备、计算机系统软件与应用软件、计算机内存储的数据，等等。 计算机系统安全的本质就是要保证这些因素能够发挥它们的正常作用， 避免各种偶然的和人为的破坏与攻击，保证系统安全可靠地工作。它包 括以下几方面的内容： 1 ) 要保证系统内各种资源免遭自然与人为的破坏； 2 ) 要明确计算机系统的脆弱性和弱点； 3 ) 要估计到对计算机系统的各种威胁，以及它存在的特殊问题： 4 ) 要开发与实施卓有成效的安全策略，减少系统所面临的各种风 险； 5 ) 要准备适当的应急计划，使系统遭破坏或攻击时能尽快恢复工 作： 6 ) 要定期检查各种安全管理措旖的实施情况和有效性。 ! ! 查窒望查兰三堡堕主童些兰堡笙墨 不同的计算机系统有不同的安全要求，这要根据它的作用以及在遭 到破坏和攻击时所造成的损失来决定，这方面没有统一的标准。从理论 上讲，一个计算机系统越安全越好，但从实际上看，为安全而采取的措 施越多，成本就越高，各种开销也就越大。所以，要根据实际情况采取 相应的措施，使系统的性价比达到一个合理的水平。 计算机安全的主要目的是保护存储在系统中的电子信息，这些信息 有三个特性： 1 ) 完整性。完整性是指信息必须按它的原型保存，不能被非法修改， 无论这种修改是偶然无意的还是恶意的。完整性是对信息的精确性和可 靠性的度量； 2 ) 可用性。可用性指信息只能由许可的用户使用，对于有合法访问 权的经许可的用户，不应当阻止他们访问那些信息； 3 ) 保密性。保密性指信息必须按拥有者的要求保持一定的秘密性， 只有得到拥有者的许可，其他人才能获得该信息，必须防止信息的非授 权泄露。 正是信息的这些特性构成了计算机系统安全策略的基础。计算机对 电子信息提供的保护，至少应与其它方法对非电子信息提供的保护达到 一样的程度。然而，由于计算机系统本身存在一些固有的弱点和脆弱性， 使系统安全面临着各种威胁。这些威胁可以分为三类： 1 ) 偶然无意的威胁。这种威胁是由于偶然的原因产生的，如设备机 能失常、不可避免的人为错误、软件机能失常、电源故障，等等； 2 ) 自然灾害对计算机系统的威胁。计算机是一种易损物，各种自然 灾害，如地震、风暴、泥石流、建筑物破坏等，对计算机系统构成了严 重的威胁。另外，计算机设备对环境的要求也很高，如温度、湿度、各 种污染物的浓度等，所以要特别注意各种自然原因对计算机系统构成的 北方交通大学工程硕士专业学位论文 _ 一 威胁。 3 ) 对计算机系统的人为攻击。由于计算机系统中的信息都具有它自 身的价值，因此总是有人或某个组织想利用它去达到某种目的，这就必 须面对对计算机系统的人为攻击。对计算机系统的人为攻击具有明显的 主动性，是对计算机系统安全的最主要威胁，它包括情报机构、商业机 构的攻击，内部雇员、用户的攻击，以及计算机犯罪，等等。 针对计算机系统安全的威胁，计算机系统安全保密主要涉及三个方 面的内容，即安全性、完整性和保密性。 1 ) 安全性。安全性大致包含以下几方面的内容： a 内部与外部安全。内部安全是在系统的软、硬件及周围设施中 实现的，外部安全主要指物理安全、人事安全和过程安全等； b 系统边界与安全防线。系统边界划分某个系统内外的软硬件资源， 系统内的资源由系统保护，而系统外的资源则未加保护。想建立一个安 全的系统，必须对系统的边界有一个清晰的理解，并保证系统在受到威 胁时能够保护自己： c 防止用户泄密。系统必须保证拥有或制作系统内某份信息的用户 不会向不该知道这份信息的用户泄密； d 识别与确证。为了保证系统有充分的能力来判断是否允许某个 用户访问某个资源，系统必须有识别每个用户的手段。通常系统用用户 唯一识别符( 用户i d ) 来区分用户，即识别；用户输入口令或其它身份特 征( 如指纹) 来证明自己是系统的某个合法用户，即确证； e 访问控制。在计算机系统中，安全机制最基本的任务就是访问控 制，它主要有三个方面：授权，即决定哪个主体有资格访问哪个客体： 确定访问权限，即决定是否有读、写、运行、删除的权限；实施访问权 限： 1 7 北方交通大学工程硕士专业学位论文 g 审计跟踪。在一个计算机系统中，审计跟踪对使用何种系统资 源、使用时间、如何使用以及由哪个用户使用等问题提供一个完备的记 录，以备非法事件发生后能够有效地追查，它是对系统安全实施有效监 控的一种手段。 2 ) 完整性。完整性技术是保护计算机系统内软件( 程序) 与数据不被 非法删改的一种技术手段，它可分为软件完整性和硬件完整性。 a 软件完整性。软件具有很大的灵活易变性，无论在开发还是在 应用过程中，都可以随时更改以使系统具有新的功能，但这种特性给系 统安全带来了严重威胁。软件源代码的泄露、计算机病毒、程序中的缺 陷或圈套等，都可能使软件的完整性受到威胁。由于大型软件的生存期 一般较长，且会不断升级，因此这种威胁将越来越严重。在一个大系统 内，保护合法软件不被修改就需要对这个软件进行确证。 b 数据完接性。数据完整性指存储在计算机系统中或在计算机系统 间传输的数据不受非法删改或意外事件的破坏。数据完整性的破坏一般 是由系统误动作、应用程序错误、存储介质损坏、人为破坏等原因造成 的。 3 ) 保密性。保密性是计算机系统安全的一个重要方面，它主要利用 密码技术对信息进行加密处理，防止信息非法泄露。加密是对传输过程 中的信息进行保护的重要方法，是对存储在各种介质上的数据内容加以 保护的有效手段，是实现系统安全这一最终目标的必不可少的技术措施。 3 3 2 校园卡系统安全性分析 校园卡系统作为一个计算机应用系统，当然适用于上面对计算机系 统安全性的一般性概述。另外，作为一个在特定环境下使用的i c 卡应用 系统，又有其特殊的安全性要求。 北方交通大学工程硕士专业学位论文 一一一 3 3 2 1 校园卡系统建设环境分析 如上所述，整个校园卡系统是一个建立在校园网基础上的，由校园 卡管理中心、校园卡结算中心和各个应用子系统组成的分布式系统。校 园卡管理中心负责校园卡的发放、加钱等日常管理、维护工作，校园卡 结算中心从各应用子系统接受电子底帐，并分别结算为现金。管理中心、 结算中心和各应用子系统间的信息传递通过校园网完成。而校园网显然 具有如下特性： 1 ) 校园网是一个开放式的公共网络，它并不是为校园卡系统专用的， 学校的每一个用户都可以登录校园网，完成自己的操作。 2 ) 校园网不能保证百分之百的正常运行，很难达到完全实时的要求。 因此，校园卡系统是建立在开放性非实时网络基础上的应用系统， 其应用子系统必须具有在非联网的情况下正常运行的能力，同时要达到 一定的安全性水平。 另外，校园卡系统是多功能的，设计中的应用子系统很多，而这些 子系统能提供的硬件环境相差很大。有的予系统( 如校医院) 能提供内 部局域网环境，有的子系统( 如上杌收费子系统) 能提供联网单机环境， 而有的子系统( 如某些小额消费支付系统) 只能在非联网微机、甚至p o s 机上运行。因此，系统总体设计时必须考虑到予系统可能拥有的不同硬 件环境，既要充分利用各种硬件资源，也要使资源最少的子系统能达到 一定的安全性，从而保证整个系统的安全性。 3 3 2 2 校园卡系统安全的主要威胁 由于校园网的开放性、非实时性，以及i c 卡应用系统本身的特点， 使校园卡系统面临诸多威胁。其中最主要、最基本的是以下两个： ( 1 ) i c 卡本身面临的威胁 1 9 北方交通大学工程硕士专业学位论文 _ _ _ _ _ - - _ _ _ _ _ _ _ _ _ - 一一 在任何一个卡类( 包括i c 卡、磁卡等) 应用系统中，都存在对卡本 身进行攻击，而使系统安全受到威胁的可能。对卡的攻击手段包括复制 合法卡、模仿卡的个人化过程( 个人化指i c 卡发给个人时，由发行商向 卡内写入发行商代码、用户密码、及应用所需其它信息的过程，个人化 后i c 卡交给持卡人使用。在校园卡系统中个人化由管理中心完成) 来伪 造卡、篡改卡内数据区内容( 如余额信息) 、在交易进行过程中替换卡， 等等。校园卡系统是建立在非实时的网络基础上，各应用子系统无法实 时通过校园网到管理中心验证i c 卡的合法性，而只能根据i c 卡上本身 的信息来验证卡的合法性。因此，在校园卡系统中，确保i c 卡不能被非 法复制、伪造和篡改，就显得更加重要。 ( 2 ) 结算过程面临的威胁 结算指各应用子系统将系统产生的电子底帐传到结算中心，并结算 为现金，返还到各予系统管理单位的过程。结算过程面临的威胁实际上 是各子系统到校园卡结算中心的数据传输面临的威胁。由于结算涉及学 校各方面的经济利益，其安全性是系统安全性的根本保证。在校园卡系 统中，结算的唯一依据是各应用予系统产生的电子底帐，保证结算的安 全，也就是要保证电子底帐在存储和传输过程中的完整性、真实性和有 效性。 电子底帐在存储和传输过程中可能受到的攻击包括：对底帐的内容 进行篡改、删除、添加，改变底帐信息的源点或目的点、再次利用曾经 发送过或存储过的信息等。 由于校园网系统的有时出现不能实时连通，各应用予系统在交易过 程中产生的电子底帐无法实时传到结算中心，而只能先存储在本地系统， 在某个固定时间，通过校园网传到结算中心。由于电子底帐的产生和传 输有一个时间差，这就使对底帐的各种攻击更容易奏效，因此如何保证 2 0 北方交通大学工程硕士专业学位论文 结算过程的安全，是系统面临的重要问题。 3 3 2 3 校园卡系统安全设计目标和主要安全技术措旌 根据对校园卡系统建设环境和所受威胁地分析，确定了以下安全设 计目标和技术措旅。 校园卡系统的安全设计目标是： 1 ) 按子系统不同安全需求的分级安全保护； 2 ) 系统的小额消费在联网与不联网情况下均能够安全进行，并能实 时或在事后实施安全的结算； 3 ) 最大限度地减少系统经营者和系统用户的风险。 校园卡系统采用的主要安全技术措施是： 1 ) 校园卡系统使用逻辑加密卡，从硬件上保证卡的安全性( 详见第 3 章) ： 2 ) 按不同子系统安全需求采取多种密码保护：本系统使用了两种分 组密码和一种流密码来保护卡片各应用分区的数据安全，使用鉴别技术 来保证结算子系统的安全( 详见第5 章、第7 章) ； 3 ) 多级密钥管理( 详见第6 章) ； 4 ) 实现支持联网与不联网小额支付应用的用户消费余额底帐( 详见 第8 章) ； 5 ) 利用小额消费限额控制风险的运行管理( 详见第4 章) ； 6 ) 用户卡的挂失与消费余额认定，“黑名单”( 指在系统内禁止使 用的i c 卡名单) 的发布与“灰名单”( 指可能被系统的攻击者操作过的 卡片名单) 的跟踪。 后面的章节将对这些安全措簏进行详细介绍。 2 1 第4 章校园卡系统i c 卡选型 第4 章校园卡系统i c 卡选型 4 1 应用系统i c 卡选型的一般方法 现在市场上提供的i c 卡种类很多，给我们带来了许多便利条件。这 些卡根据存储容量、安全等级的不同，其价格亦不相同。因而，在构造 一个i c 卡应用系统时，必须仔细分析i c 卡在系统中所扮演的角色，使 所选用的i c 卡的价格在一个合理的范围内，以提高系统的性能价格比。 在选择i c 卡的过程中，主要从安全性、存储容量和存储模式这三个方面 综合考虑。 ( 1 ) 数据的安全性与卡的选择 。 如果一个应用系统仅以i c 卡作为数据的转储介质或以软件加密方 式对数据进行加密而不担心他人进行篡改或伪造时，普通的存储器卡是 最佳选择，它的价格最低，而且容量范围也较大，从1 k b i t 到1 6 k b i t 的 产品都有，支持的厂家也很多。如果卡是用在以储值、金融及其它便发 行商或持卡人担心卡会被别人非法复制与篡改的场合，那就必须采用带 有加密逻辑的卡或c p u 卡了。逻辑加密卡在卡上引入