1 引言
城市一卡通系統(tǒng)是以一卡通" title="城市一卡通" target="_blank">城市一卡通結(jié)算中心為核心、以各行業(yè)(公交,、出租,、自來水、煤氣等)為分中心,, 以各收費(fèi)終端,、充值查詢終端為信息點(diǎn),構(gòu)建建設(shè)事業(yè)收費(fèi)網(wǎng)絡(luò),,將城市公共事業(yè)的多個收費(fèi)系統(tǒng)建設(shè)成為以IC卡作為支付手段,, 以公共通訊網(wǎng)絡(luò)為連結(jié)紐帶,以計(jì)算機(jī)系統(tǒng)為信息處理方法的現(xiàn)代化信息管理系統(tǒng),,一方面提高服務(wù)效率和工作效率,,全市通用、方便市民,、提高服務(wù)質(zhì)量,,另一方面快速自動地處理系統(tǒng)內(nèi)各行業(yè)的營運(yùn)信息、準(zhǔn)確結(jié)算,,保障各行業(yè)利益,,為城市的建設(shè)提供科學(xué)的決策支持系統(tǒng)。
城市一卡通收費(fèi)系統(tǒng)是一個關(guān)系到廣大市民切身利益,,和公交公司、出租車公司,、地鐵,、輕軌、銀行以及加入到系統(tǒng)中的各企業(yè)的利益,,是一套牽涉面很廣的系統(tǒng),,對安全保密有著較高的要求,而系統(tǒng)具有規(guī)模大,,網(wǎng)點(diǎn)分散,,流動范圍大等的特點(diǎn),如何保證系統(tǒng)安全可靠運(yùn)行是一個重大課題,。
2 系統(tǒng)安全涉及的范圈及要求
(1)系統(tǒng)安全涉及的范圍:城市一卡通系統(tǒng)主要涉及卡片,、網(wǎng)絡(luò)通信,、系統(tǒng)數(shù)據(jù)、系統(tǒng)操作,、系統(tǒng)運(yùn)行的安全等幾個方面,。
(2)系統(tǒng)安全的要求
① 卡片的安全。只有經(jīng)過城市一卡通系統(tǒng)或認(rèn)可(授權(quán))的實(shí)體發(fā)行的卡才能在本系統(tǒng)使用,;只有通過城市一卡通系統(tǒng)或認(rèn)可(授權(quán))的實(shí)體認(rèn)證的終端可以合法消費(fèi),,否則消費(fèi)不予認(rèn)可;只有通過城市一卡通系統(tǒng)認(rèn)證的終端可以進(jìn)行充值交易,,否則系統(tǒng)拒絕使用該卡,。
② 網(wǎng)絡(luò)通信安全。通訊數(shù)據(jù)在傳輸過程中不能被篡改,、偽造和遺棄,,未通過認(rèn)證數(shù)據(jù)無法進(jìn)入系統(tǒng);保證外部網(wǎng)絡(luò)無法直接訪問內(nèi)部系統(tǒng),,唯一的數(shù)據(jù)交換通道通過專用接口實(shí)現(xiàn),,開發(fā)者必須保證該接口不能有損壞系統(tǒng)的行為。
③ 系統(tǒng)數(shù)據(jù)的安全,。因?yàn)橄到y(tǒng)運(yùn)行的交易數(shù)據(jù)直接與金錢有直接的聯(lián)系,,并涉及到多個行業(yè)的結(jié)算。因此在交易數(shù)據(jù)的完整性,、唯一性,、可恢復(fù)性等方面有嚴(yán)格的要求。
④ 系統(tǒng)操作的安全,。保證所有終端經(jīng)授權(quán)認(rèn)證后才能開始工作,,防止非法用戶直接使用終端;通過專用協(xié)議保證非授權(quán)終端無法接入系統(tǒng),,終端不接受非授權(quán)系統(tǒng),;各種操作均根據(jù)安全級別設(shè)定操作權(quán)限(采用密碼認(rèn)證和IC卡認(rèn)證等方式):各種操作均有系統(tǒng)日志進(jìn)行記錄,以備查驗(yàn),。
⑤系統(tǒng)運(yùn)行的安全,。系統(tǒng)運(yùn)行采用雙機(jī)熱備、磁盤陣列等方式防止系統(tǒng)意外停機(jī),。采用UPS設(shè)備,、自備柴油發(fā)電機(jī)等設(shè)備,防止因停電導(dǎo)致系統(tǒng)意外停止運(yùn)行的情況,。
3 系統(tǒng)安全體系設(shè)計(jì)
城市一卡通系統(tǒng)安全體系由四部分構(gòu)成:基于建設(shè)部安全體系的交易體系用來保證卡的安全,;基于數(shù)據(jù)冗余和磁帶技術(shù)等備份技術(shù)的數(shù)據(jù)安全體系來保證數(shù)據(jù)的安全;基于加密技術(shù),、防火墻,、VPN技術(shù)的通信網(wǎng)絡(luò)安全體系來保證網(wǎng)絡(luò)通信的安全,;基于高可靠性的系統(tǒng)安全運(yùn)行環(huán)境體系來保證系統(tǒng)的安全可靠運(yùn)行。體系結(jié)構(gòu)圖如圖1所示:
3.1建設(shè)部安全體系
(1)建設(shè)部安全體系功能,。本系統(tǒng)的作用就是安全地產(chǎn)生部級各類密鑰和城市級各類子密鑰,,并將城市子密鑰安全地下發(fā)給城市,用來產(chǎn)生用戶卡和操作員卡的各種密鑰,。并確保以上所有環(huán)節(jié)中密鑰的安全性和一致性,,逐步實(shí)現(xiàn)集中式的密鑰管理。
本系統(tǒng)主要由兩大模塊組成:①建設(shè)部密鑰管理模塊,,功能是生成全國和各地的消費(fèi)(扣款)主密鑰,,密鑰卡的形式傳送到各地應(yīng)用行政主管部門。②城市密鑰管理模塊,,功能為生成和安裝用戶卡,、充值SAM卡上的各種密鑰。
(2)建設(shè)部密鑰管理系統(tǒng)安全機(jī)制,。本系統(tǒng)采用的IC卡為CPU卡,,使用多種密鑰類型:認(rèn)證密鑰,傳輸密鑰,,主控密鑰,,密鑰替換密鑰和MAC密鑰。加密算法則使用DES和3DES3算法,。IC卡的認(rèn)證機(jī)制分為內(nèi)部認(rèn)證和外部認(rèn)證,。內(nèi)部認(rèn)證主要是為了驗(yàn)證用戶卡的合法性和真實(shí)身份,具體流程如圖2所示:終端比較Dl和D2,,D1和D2的值一致表示內(nèi)部認(rèn)證成功,,否則內(nèi)部認(rèn)證失敗。
充值機(jī)作為整個一卡通系統(tǒng)中的一個組成部分,,主要完成用戶卡的發(fā)售,、充值、激活等方面工作,,它的安全保障對整個系統(tǒng)能正常運(yùn)行具有很重要的意義,。充值機(jī)系統(tǒng)安全是建立在建設(shè)部ISAM卡認(rèn)證密鑰體系基礎(chǔ)之上。對用戶卡片的操作都是在通過ISNd卡正確認(rèn)證的前提下進(jìn)行,,可以有效的防止非法卡。對授權(quán)卡的使用授權(quán)由上位機(jī)來認(rèn)證,,確保操作員是該卡的合法擁有者,;ISNd卡通過外部認(rèn)證確定授權(quán)卡合法性。
3.2數(shù)據(jù)的安全
(1)交易記錄的安全,。用戶卡的消費(fèi)和充值數(shù)據(jù)涉及到整個系統(tǒng)中各個單位之間的資金劃撥問題,,用戶卡消費(fèi)和充值數(shù)據(jù)的安全性必須得到強(qiáng)有力的保證,。首先用戶卡的消費(fèi)和充值數(shù)據(jù)包括了終端編號,PSAM卡號,,用戶卡唯一代碼,,交易類型標(biāo)志,交易流水號,,城市代碼,,卡型,交易前金額,,交易金額,,交易日期,交易時間,。交易計(jì)數(shù)器,,保留字節(jié),TAC組成,。在生成消費(fèi)和充值記錄前必須經(jīng)過黑名單,、SAM卡,卡啟用標(biāo)志,,卡型,,城市代碼和行業(yè)代碼的校驗(yàn)。其中PSAM卡號由建設(shè)部保證是唯一的,,終端編號由廠家在出廠設(shè)置為唯一的,,在終端安裝時保證記錄終端和PSAM卡號的一一對應(yīng),并在管理中心進(jìn)行記錄,。
(2)多行業(yè)應(yīng)用數(shù)據(jù)不相互影響,。由于城市一卡通系統(tǒng)是一個多運(yùn)用的系統(tǒng),系統(tǒng)涉及多個公用行業(yè)企業(yè),,在系統(tǒng)的設(shè)計(jì)上必須考慮到多運(yùn)用,,并且要保證各運(yùn)用獨(dú)立運(yùn)行,相互的數(shù)據(jù)和程序不能交換,,這些是通過CPU卡來保證,,在CPU卡的文件結(jié)構(gòu)上采用每個運(yùn)用建立一個專門的文件,相應(yīng)的記錄等文件都存儲在專門的運(yùn)用目錄中,。每個行業(yè)目錄都只有合法的本行業(yè)設(shè)備才能使用,,即通過設(shè)備中的SAM卡提供訪問專門目錄的密鑰,進(jìn)行權(quán)限控制,。
(3)軟件系統(tǒng)操作安全,。對于不同級別的用戶分配不同的用戶級登錄權(quán)限,在操作系統(tǒng)中作不同的操作限制。數(shù)據(jù)庫文件由系統(tǒng)級安全管理保護(hù),,數(shù)據(jù)庫的用戶權(quán)限按角色分級管理,。數(shù)據(jù)庫管理員密碼由數(shù)據(jù)庫系統(tǒng)管理員設(shè)置。服務(wù)端應(yīng)用軟件一經(jīng)安裝便跟隨操作系統(tǒng)一起啟動和停止,,只有操作系統(tǒng)管理員才有權(quán)力對其進(jìn)行中止,、啟動運(yùn)行,客戶端所有連接都要經(jīng)過身份及來源驗(yàn)證,,服務(wù)端才接受其信息,。對于客戶端的應(yīng)用軟件,在與數(shù)據(jù)庫建立連接后或與服務(wù)端應(yīng)用程序建立連接后要根據(jù)用戶級別進(jìn)行權(quán)限分配,,應(yīng)用軟件根據(jù)不同的權(quán)限來開放或回收應(yīng)用軟件的部分或全部功能,。應(yīng)用軟件運(yùn)行后所有關(guān)系到數(shù)據(jù)的操作及重要的操作都進(jìn)行日志記錄。應(yīng)用軟件都有自身完整性校驗(yàn)功能,,一旦被病毒感染或非法修改都在日志中記錄供系統(tǒng)管理員參考,。
(4)系統(tǒng)數(shù)據(jù)的安全性。在系統(tǒng)數(shù)據(jù)的存儲上采用磁盤冗余技術(shù)保證數(shù)據(jù)的完整性,,通過在線備份系統(tǒng)保證數(shù)據(jù)可以完全恢復(fù),,采用系統(tǒng)問互為備份輔助數(shù)據(jù)完整安全。
系統(tǒng)采用日常的數(shù)據(jù)備份管理,、重要文件的定期歸檔,、分級存儲管理、存儲介質(zhì)管理,、數(shù)據(jù)庫應(yīng)用的在線備份系統(tǒng),、災(zāi)難恢復(fù)等安全策略,來保證系統(tǒng)數(shù)據(jù)的安全性,。
3.3系統(tǒng)網(wǎng)絡(luò)通信安全
對于城市一卡通系統(tǒng)的網(wǎng)絡(luò)安全,,包括了多個層面的內(nèi)容,包括了網(wǎng)絡(luò)系統(tǒng)的冗余備份,、故障快速恢復(fù),、內(nèi)部安全體系管理及防止外部攻擊等。系統(tǒng)采用已成熟應(yīng)用的星型結(jié)構(gòu)組網(wǎng),。
3.4系統(tǒng)運(yùn)行環(huán)境的安全
系統(tǒng)運(yùn)行環(huán)境需要考慮穩(wěn)固可靠的機(jī)房建筑,、穩(wěn)定可靠的電力供應(yīng),符合設(shè)備要求的溫度,、濕度環(huán)境,、安全可靠的防雷措施以及故障發(fā)生時及時的恢復(fù)等等。
4 安全體系建設(shè)
系統(tǒng)安全問題不僅是技術(shù)的問題,,安全是策略,、技術(shù)與管理的綜合過程,是一項(xiàng)系統(tǒng)工程。因此,,建立城市一卡通系統(tǒng)安全體系,實(shí)施城市一卡通系統(tǒng)安全體系工程不能單純從安全技術(shù)與產(chǎn)品出發(fā),,需要綜合考慮風(fēng)險分析,、需求分析、安全策略,、技術(shù)標(biāo)準(zhǔn),、管理規(guī)范、體系架構(gòu),、工程監(jiān)理,、意識教育與技術(shù)培訓(xùn)等問題,充分在范圍與目標(biāo),、標(biāo)準(zhǔn)與規(guī)范,、體系與架構(gòu)、技術(shù)與管理等方面進(jìn)行深入細(xì)致地研究與綜合分析,,只有這樣,,才能建立一個積極的、高效的,、性能價格比最佳的安全防護(hù)體系,。
5 結(jié)語
城市一卡通系統(tǒng)安全體系的建設(shè)是一個復(fù)雜的系統(tǒng)工程,他需要從技術(shù)的先進(jìn)性,、可用性,、可靠性、建設(shè)成本等多方面綜合考慮,,而不僅僅是簡單的幾項(xiàng)技術(shù)和各種設(shè)備的簡單疊加,。目前已正式運(yùn)行兩年的某省會城市的城市一卡通系統(tǒng)就是按照本安全體系進(jìn)行建設(shè)和運(yùn)行管理,還未出現(xiàn)任何安全問題,。