《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計 > 設(shè)計應(yīng)用 > 城市一卡通系統(tǒng)安全體系設(shè)計與實現(xiàn)
城市一卡通系統(tǒng)安全體系設(shè)計與實現(xiàn)
摘要: 1引言城市一卡通系統(tǒng)是以城市一卡通結(jié)算中心為核心、以各行業(yè)(公交、出租、自來水、煤氣等)為分中心,以各收費終端、充值查詢終端為信息點,構(gòu)建建設(shè)事業(yè)收費網(wǎng)絡(luò),將城市公共事業(yè)的多個收費系統(tǒng)建設(shè)成為以IC卡作為支付手段,以公共通訊網(wǎng)絡(luò)為連結(jié)紐帶,以計算機系統(tǒng)為信息處理方法的現(xiàn)代化信息管理系統(tǒng),一方面提高服務(wù)效率和工作效率,全市通用、方便市民、提高服務(wù)質(zhì)量,另一方面快速自動地處理系統(tǒng)內(nèi)各行業(yè)的營運信息、準(zhǔn)確結(jié)算,保障各行業(yè)利益,為城市的建設(shè)提供科學(xué)的決策支持系統(tǒng)。城市一卡通收費系統(tǒng)是一個關(guān)系到廣大市民切身利益,和公交公司、出租車公司、地鐵、輕軌、銀行以及加入到系
Abstract:
Key words :

        1 引言

       城市一卡通系統(tǒng)是以一卡通" title="城市一卡通" target="_blank">城市一卡通結(jié)算中心為核心、以各行業(yè)(公交、出租、自來水、煤氣等)為分中心, 以各收費終端、充值查詢終端為信息點,構(gòu)建建設(shè)事業(yè)收費網(wǎng)絡(luò),將城市公共事業(yè)的多個收費系統(tǒng)建設(shè)成為以IC卡作為支付手段, 以公共通訊網(wǎng)絡(luò)為連結(jié)紐帶,以計算機系統(tǒng)為信息處理方法的現(xiàn)代化信息管理系統(tǒng),一方面提高服務(wù)效率和工作效率,全市通用、方便市民、提高服務(wù)質(zhì)量,另一方面快速自動地處理系統(tǒng)內(nèi)各行業(yè)的營運信息、準(zhǔn)確結(jié)算,保障各行業(yè)利益,為城市的建設(shè)提供科學(xué)的決策支持系統(tǒng)。

       城市一卡通收費系統(tǒng)是一個關(guān)系到廣大市民切身利益,和公交公司、出租車公司、地鐵、輕軌、銀行以及加入到系統(tǒng)中的各企業(yè)的利益,是一套牽涉面很廣的系統(tǒng),對安全保密有著較高的要求,而系統(tǒng)具有規(guī)模大,網(wǎng)點分散,流動范圍大等的特點,如何保證系統(tǒng)安全可靠運行是一個重大課題。

       2 系統(tǒng)安全涉及的范圈及要求

       (1)系統(tǒng)安全涉及的范圍:城市一卡通系統(tǒng)主要涉及卡片、網(wǎng)絡(luò)通信、系統(tǒng)數(shù)據(jù)、系統(tǒng)操作、系統(tǒng)運行的安全等幾個方面。

       (2)系統(tǒng)安全的要求

       ① 卡片的安全。只有經(jīng)過城市一卡通系統(tǒng)或認(rèn)可(授權(quán))的實體發(fā)行的卡才能在本系統(tǒng)使用;只有通過城市一卡通系統(tǒng)或認(rèn)可(授權(quán))的實體認(rèn)證的終端可以合法消費,否則消費不予認(rèn)可;只有通過城市一卡通系統(tǒng)認(rèn)證的終端可以進行充值交易,否則系統(tǒng)拒絕使用該卡。 
       ② 網(wǎng)絡(luò)通信安全。通訊數(shù)據(jù)在傳輸過程中不能被篡改、偽造和遺棄,未通過認(rèn)證數(shù)據(jù)無法進入系統(tǒng);保證外部網(wǎng)絡(luò)無法直接訪問內(nèi)部系統(tǒng),唯一的數(shù)據(jù)交換通道通過專用接口實現(xiàn),開發(fā)者必須保證該接口不能有損壞系統(tǒng)的行為。 
       ③ 系統(tǒng)數(shù)據(jù)的安全。因為系統(tǒng)運行的交易數(shù)據(jù)直接與金錢有直接的聯(lián)系,并涉及到多個行業(yè)的結(jié)算。因此在交易數(shù)據(jù)的完整性、唯一性、可恢復(fù)性等方面有嚴(yán)格的要求。 
       ④ 系統(tǒng)操作的安全。保證所有終端經(jīng)授權(quán)認(rèn)證后才能開始工作,防止非法用戶直接使用終端;通過專用協(xié)議保證非授權(quán)終端無法接入系統(tǒng),終端不接受非授權(quán)系統(tǒng);各種操作均根據(jù)安全級別設(shè)定操作權(quán)限(采用密碼認(rèn)證和IC卡認(rèn)證等方式):各種操作均有系統(tǒng)日志進行記錄,以備查驗。 
       ⑤系統(tǒng)運行的安全。系統(tǒng)運行采用雙機熱備、磁盤陣列等方式防止系統(tǒng)意外停機。采用UPS設(shè)備、自備柴油發(fā)電機等設(shè)備,防止因停電導(dǎo)致系統(tǒng)意外停止運行的情況。

       3 系統(tǒng)安全體系設(shè)計

       城市一卡通系統(tǒng)安全體系由四部分構(gòu)成:基于建設(shè)部安全體系的交易體系用來保證卡的安全;基于數(shù)據(jù)冗余和磁帶技術(shù)等備份技術(shù)的數(shù)據(jù)安全體系來保證數(shù)據(jù)的安全;基于加密技術(shù)、防火墻、VPN技術(shù)的通信網(wǎng)絡(luò)安全體系來保證網(wǎng)絡(luò)通信的安全;基于高可靠性的系統(tǒng)安全運行環(huán)境體系來保證系統(tǒng)的安全可靠運行。體系結(jié)構(gòu)圖如圖1所示:

 

 

 

       3.1建設(shè)部安全體系

       (1)建設(shè)部安全體系功能。本系統(tǒng)的作用就是安全地產(chǎn)生部級各類密鑰和城市級各類子密鑰,并將城市子密鑰安全地下發(fā)給城市,用來產(chǎn)生用戶卡和操作員卡的各種密鑰。并確保以上所有環(huán)節(jié)中密鑰的安全性和一致性,逐步實現(xiàn)集中式的密鑰管理。 
       本系統(tǒng)主要由兩大模塊組成:①建設(shè)部密鑰管理模塊,功能是生成全國和各地的消費(扣款)主密鑰,密鑰卡的形式傳送到各地應(yīng)用行政主管部門。②城市密鑰管理模塊,功能為生成和安裝用戶卡、充值SAM卡上的各種密鑰。 
       (2)建設(shè)部密鑰管理系統(tǒng)安全機制。本系統(tǒng)采用的IC卡為CPU卡,使用多種密鑰類型:認(rèn)證密鑰,傳輸密鑰,主控密鑰,密鑰替換密鑰和MAC密鑰。加密算法則使用DES和3DES3算法。IC卡的認(rèn)證機制分為內(nèi)部認(rèn)證和外部認(rèn)證。內(nèi)部認(rèn)證主要是為了驗證用戶卡的合法性和真實身份,具體流程如圖2所示:終端比較Dl和D2,D1和D2的值一致表示內(nèi)部認(rèn)證成功,否則內(nèi)部認(rèn)證失敗。

 

 

       充值機作為整個一卡通系統(tǒng)中的一個組成部分,主要完成用戶卡的發(fā)售、充值、激活等方面工作,它的安全保障對整個系統(tǒng)能正常運行具有很重要的意義。充值機系統(tǒng)安全是建立在建設(shè)部ISAM卡認(rèn)證密鑰體系基礎(chǔ)之上。對用戶卡片的操作都是在通過ISNd卡正確認(rèn)證的前提下進行,可以有效的防止非法卡。對授權(quán)卡的使用授權(quán)由上位機來認(rèn)證,確保操作員是該卡的合法擁有者;ISNd卡通過外部認(rèn)證確定授權(quán)卡合法性。

       3.2數(shù)據(jù)的安全

       (1)交易記錄的安全。用戶卡的消費和充值數(shù)據(jù)涉及到整個系統(tǒng)中各個單位之間的資金劃撥問題,用戶卡消費和充值數(shù)據(jù)的安全性必須得到強有力的保證。首先用戶卡的消費和充值數(shù)據(jù)包括了終端編號,PSAM卡號,用戶卡唯一代碼,交易類型標(biāo)志,交易流水號,城市代碼,卡型,交易前金額,交易金額,交易日期,交易時間。交易計數(shù)器,保留字節(jié),TAC組成。在生成消費和充值記錄前必須經(jīng)過黑名單、SAM卡,卡啟用標(biāo)志,卡型,城市代碼和行業(yè)代碼的校驗。其中PSAM卡號由建設(shè)部保證是唯一的,終端編號由廠家在出廠設(shè)置為唯一的,在終端安裝時保證記錄終端和PSAM卡號的一一對應(yīng),并在管理中心進行記錄。 
       (2)多行業(yè)應(yīng)用數(shù)據(jù)不相互影響。由于城市一卡通系統(tǒng)是一個多運用的系統(tǒng),系統(tǒng)涉及多個公用行業(yè)企業(yè),在系統(tǒng)的設(shè)計上必須考慮到多運用,并且要保證各運用獨立運行,相互的數(shù)據(jù)和程序不能交換,這些是通過CPU卡來保證,在CPU卡的文件結(jié)構(gòu)上采用每個運用建立一個專門的文件,相應(yīng)的記錄等文件都存儲在專門的運用目錄中。每個行業(yè)目錄都只有合法的本行業(yè)設(shè)備才能使用,即通過設(shè)備中的SAM卡提供訪問專門目錄的密鑰,進行權(quán)限控制。 
       (3)軟件系統(tǒng)操作安全。對于不同級別的用戶分配不同的用戶級登錄權(quán)限,在操作系統(tǒng)中作不同的操作限制。數(shù)據(jù)庫文件由系統(tǒng)級安全管理保護,數(shù)據(jù)庫的用戶權(quán)限按角色分級管理。數(shù)據(jù)庫管理員密碼由數(shù)據(jù)庫系統(tǒng)管理員設(shè)置。服務(wù)端應(yīng)用軟件一經(jīng)安裝便跟隨操作系統(tǒng)一起啟動和停止,只有操作系統(tǒng)管理員才有權(quán)力對其進行中止、啟動運行,客戶端所有連接都要經(jīng)過身份及來源驗證,服務(wù)端才接受其信息。對于客戶端的應(yīng)用軟件,在與數(shù)據(jù)庫建立連接后或與服務(wù)端應(yīng)用程序建立連接后要根據(jù)用戶級別進行權(quán)限分配,應(yīng)用軟件根據(jù)不同的權(quán)限來開放或回收應(yīng)用軟件的部分或全部功能。應(yīng)用軟件運行后所有關(guān)系到數(shù)據(jù)的操作及重要的操作都進行日志記錄。應(yīng)用軟件都有自身完整性校驗功能,一旦被病毒感染或非法修改都在日志中記錄供系統(tǒng)管理員參考。 
       (4)系統(tǒng)數(shù)據(jù)的安全性。在系統(tǒng)數(shù)據(jù)的存儲上采用磁盤冗余技術(shù)保證數(shù)據(jù)的完整性,通過在線備份系統(tǒng)保證數(shù)據(jù)可以完全恢復(fù),采用系統(tǒng)問互為備份輔助數(shù)據(jù)完整安全。

       系統(tǒng)采用日常的數(shù)據(jù)備份管理、重要文件的定期歸檔、分級存儲管理、存儲介質(zhì)管理、數(shù)據(jù)庫應(yīng)用的在線備份系統(tǒng)、災(zāi)難恢復(fù)等安全策略,來保證系統(tǒng)數(shù)據(jù)的安全性。

       3.3系統(tǒng)網(wǎng)絡(luò)通信安全

       對于城市一卡通系統(tǒng)的網(wǎng)絡(luò)安全,包括了多個層面的內(nèi)容,包括了網(wǎng)絡(luò)系統(tǒng)的冗余備份、故障快速恢復(fù)、內(nèi)部安全體系管理及防止外部攻擊等。系統(tǒng)采用已成熟應(yīng)用的星型結(jié)構(gòu)組網(wǎng)。

       3.4系統(tǒng)運行環(huán)境的安全

       系統(tǒng)運行環(huán)境需要考慮穩(wěn)固可靠的機房建筑、穩(wěn)定可靠的電力供應(yīng),符合設(shè)備要求的溫度、濕度環(huán)境、安全可靠的防雷措施以及故障發(fā)生時及時的恢復(fù)等等。

       4 安全體系建設(shè)

       系統(tǒng)安全問題不僅是技術(shù)的問題,安全是策略、技術(shù)與管理的綜合過程,是一項系統(tǒng)工程。因此,建立城市一卡通系統(tǒng)安全體系,實施城市一卡通系統(tǒng)安全體系工程不能單純從安全技術(shù)與產(chǎn)品出發(fā),需要綜合考慮風(fēng)險分析、需求分析、安全策略、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范、體系架構(gòu)、工程監(jiān)理、意識教育與技術(shù)培訓(xùn)等問題,充分在范圍與目標(biāo)、標(biāo)準(zhǔn)與規(guī)范、體系與架構(gòu)、技術(shù)與管理等方面進行深入細(xì)致地研究與綜合分析,只有這樣,才能建立一個積極的、高效的、性能價格比最佳的安全防護體系。

       5 結(jié)語

       城市一卡通系統(tǒng)安全體系的建設(shè)是一個復(fù)雜的系統(tǒng)工程,他需要從技術(shù)的先進性、可用性、可靠性、建設(shè)成本等多方面綜合考慮,而不僅僅是簡單的幾項技術(shù)和各種設(shè)備的簡單疊加。目前已正式運行兩年的某省會城市的城市一卡通系統(tǒng)就是按照本安全體系進行建設(shè)和運行管理,還未出現(xiàn)任何安全問題。

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。