安雪梅，王福生

(河北聯(lián)合大學礦業(yè)工程學院，河北唐山063009)

校園一卡通系統(tǒng)是以校園網(wǎng)為基礎，利用卡作為電子身份的載體，持卡人在其身份允許的范圍內(nèi)，實現(xiàn)在校園內(nèi)進行商務消費、身份識別認證、金融服務等活動的數(shù)字化、信息化［1］。在一卡通系統(tǒng)中信息的載體是校園卡，它是一卡通系統(tǒng)里最基礎、最重要的設備，也是整個系統(tǒng)的第一道屏障，因此卡片的安全是一卡通系統(tǒng)運行成敗的關鍵之一。

1 校園卡介紹

IC卡是集成電路卡(Integrated Circuit-card，IC)的英文簡稱，又稱智能卡。它是將集成電路芯片鑲嵌于塑料基片中，封裝成外型尺寸和磁卡類似的卡片制成［2］。

按照IC卡與讀寫設備間的數(shù)據(jù)交換方式，可分為接觸型和非接觸型IC卡兩種。接觸型IC卡就是在使用時，必須通過有形的電極觸點將卡的集成電路與外部設備直接接觸連接才能進行數(shù)據(jù)交換;非接觸型IC卡就是通過無線電波或電磁場感應的方式，將卡中集成電路內(nèi)的數(shù)據(jù)與外部接口設備進行通信，完成數(shù)據(jù)讀寫。非接觸型IC卡又稱無觸點集成電路卡、射頻卡。

按照IC卡的功能和結構不同，可分成以下三類［3］:(1)一般存儲器卡:卡中的集成電路芯片為EEPROM(即可用電擦除的可編程只讀存儲器，用于存儲用戶信息)，只具有簡單的數(shù)據(jù)存儲能力。(2)邏輯加密存儲器卡:卡內(nèi)芯片增加了加密邏輯電路，只有當外部讀寫設備通過硬件邏輯電路的判斷后，才可讀寫EEPROM中的數(shù)據(jù)。通過校驗密碼方式來保護卡內(nèi)數(shù)據(jù)的安全。(3)CPU卡:卡中的集成電路包括中央處理器CPU、EEPROM、隨機存儲器RAM以及固化在只讀存儲器ROM中的芯片操作系統(tǒng)COS(Chip Operating System，COS)。裝有COS的CPU卡相當于一臺微型計算機，不僅具有數(shù)據(jù)存儲功能，同時具有命令處理和數(shù)據(jù)安全保護等功能［4］。CPU卡采用動態(tài)密鑰對信息進行加密處理，每次讀寫卡片的交易密碼都不同，從而有效地防止卡密鑰被破解。嚴格地講，只有CPU卡才是真正的智能卡。從安全性角度來看，CPU卡使用是必然趨勢。但由于成本較高，目前大范圍推廣使用仍然存在一定的難度。

2 校園卡存在的安全問題

目前高校的校園卡普遍使用了最流行的M1(Mifare One)，即非接觸式射頻卡，隨著這種非接觸邏輯加密卡應用的不斷擴大和深入，陸續(xù)出現(xiàn)的安全問題主要包括以下兩個方面。

(1)卡丟失后被非法盜用問題:卡丟失后，因密碼為統(tǒng)一的初始密碼未能及時修改，致使卡掛失后被解掛;或初始密碼雖已修改，但未能及時掛失導致被非法盜用，侵害卡內(nèi)數(shù)據(jù)安全。

(2)Mifare卡密鑰被破解危機:M1卡采用的是“一卡一密”對信息進行加密處理，但該密鑰是固定的，一旦M1卡安全算法被破譯后，不法分子可以對卡片進行偽造、復制、甚至對卡內(nèi)信息進行非法修改，并成功通過終端的認證，這勢必對校園卡的應用帶來很大的安全隱患。

3 校園卡安全解決方案

校園一卡通系統(tǒng)中，卡是實現(xiàn)功能的載體，卡結構和卡內(nèi)存儲的信息，關系到整個系統(tǒng)功能的實現(xiàn)，因此在一卡通系統(tǒng)應用中對卡片的安全性要求非常高。針對目前M1卡密碼被破解等校園卡安全問題，對于大部分高校來講，比較有效的解決方案是在探索CPU卡替代方案的同時，針對現(xiàn)有校園卡從技術和管理兩個方面加強防范措施，增加破解難度，降低非法獲利，保證校園卡系統(tǒng)的安全性。

3.1 技術手段

3.1.1 卡片選擇與設計

學校選用的是非接觸式IC卡中Ml射頻卡，這種IC卡使用了最好的飛利浦芯片，與讀寫器之間采用雙向驗證機制，即讀寫器驗證IC卡的合法性，同時IC卡也驗證讀寫器的合法性，傳遞數(shù)據(jù)有嚴格的加密算法和密碼保護。具體包括以下幾個方面:

(1)序列號唯一

M1卡使用獨一無二的序列號，并作為一卡通系統(tǒng)的卡號，以讀卡號作為系統(tǒng)的唯一主索引，以保證每一張卡的全球唯一性，防止出現(xiàn)卡的外觀和卡內(nèi)信息被仿造的可能。

(2)卡密鑰管理

校園卡芯片上共有16個存儲扇區(qū)，每個扇區(qū)有單獨密鑰，可獨立應用?？ㄆ捎谩耙豢ㄒ幻?、一區(qū)一密、一個扇區(qū)的密鑰由兩套密碼組成”的加密機制，并且采用多種加密算法，防止他人破譯，篡改卡內(nèi)信息［5］。在出廠時通過加密算法生成出廠密鑰，防止偽卡的應用;在使用之前首先要注冊，注冊時先驗證出廠密碼，然后根據(jù)持卡人信息生成卡片密鑰，根據(jù)加密算法得出卡片的讀寫控制密鑰，寫入卡內(nèi)?？ㄆ瑑?nèi)所存儲的數(shù)據(jù)采用三層128位DES加密算法進行加密，另外通過加強密鑰發(fā)散和改進讀寫卡方式等來保證卡片的安全性。

(3)密碼保護

M1卡共分為16個存儲扇區(qū)，每個區(qū)都有獨立的密碼信息，在對每個區(qū)的信息進行讀寫前，首先需要獨立雙向三次認證，對本區(qū)的密碼進行校對，正確后才能對本區(qū)的信息進行正常操作。M1卡密碼是由12位字符、每位16進制組成，密碼極難被破解，保護了卡內(nèi)信息。我們?yōu)槊繌埿@卡設置帳戶初始密碼，持卡人可以在每一臺自助繳費圈存機或校園卡中心修改密碼。

(4)備份機制

系統(tǒng)中在卡內(nèi)的重要信息都是采用備份的方法在卡內(nèi)記錄兩次，卡內(nèi)始終保存著上一次的卡余額和寫卡次數(shù)，以便隨時進行查詢、處理，防止一些不可預見的誤操作給學生帶來的損害，也更好地保護了卡內(nèi)信息的完整性和安全性。

(5)性能檢驗

因為卡片存儲空間足夠大，所以在卡內(nèi)記錄了詳細的金額信息，這些信息本身就有一套完善的卡內(nèi)信息校驗機制。在我們的卡記過的密碼校驗后，正常操作前，POS機或軟件系統(tǒng)就可以根據(jù)卡內(nèi)記錄的校驗信息確定卡的有效性。若數(shù)據(jù)被非法修改，則無法通過讀卡設備的校驗，卡片將被拒絕使用。

(6)信息分區(qū)

在卡內(nèi)寫入了持卡人的許多信息，包括金額信息、用戶ID號、用戶賬號、使用期限、卡狀態(tài)、寫卡次數(shù)等，根據(jù)使用頻率不同和使用便利程度，把金額信息和其他身份信息放在不同的分區(qū)，這樣校園卡收費系統(tǒng)和校園卡身份識別系統(tǒng)就可以使用各自的區(qū)域，相互之間互不干擾。這樣既能保證卡的讀寫速度，縮短卡的每次交易時間，又能防止因卡操作時間過長而持卡人又提前拿走卡而造成的卡讀寫錯誤。

3.1.2 限制消費額度

通過對校園卡設定“次消費限額”和“日消費限額”使消費者每次和每日的交易金額受到限制，當消費者

次消費累計超過系統(tǒng)設定的閥值時，需要輸入密碼才能繼續(xù)消費，如果密碼不正確，本次消費取消。這樣持卡人在丟失卡和辦理掛失手續(xù)這段時間內(nèi)，可以限制丟失卡的消費金額，盡可能地保護持卡人的利益。

3.1.3 增強異常數(shù)據(jù)處理功能

一卡通系統(tǒng)軟件有專門的異常數(shù)據(jù)處理模塊，系統(tǒng)管理員每天對軟件產(chǎn)生的異常數(shù)據(jù)進行查看。校園一卡通系統(tǒng)的中心數(shù)據(jù)庫中存儲著每個用戶詳細的交易明細，這些數(shù)據(jù)之間正常情況下應存在著一定的邏輯關系。數(shù)據(jù)分析監(jiān)控平臺一旦發(fā)現(xiàn)數(shù)據(jù)之間邏輯關系不成立，則將其列為異常數(shù)據(jù)，并將該卡片判定為異?？ǎ瑢⑵鋬鼋Y，加入到黑名單，并下發(fā)到各個終端設備，以有效防止非法卡在系統(tǒng)中的使用。

3.1.4 加強黑名單的管理

黑名單是指由于校園卡掛失、過期、注銷、凍結等原因所產(chǎn)生的禁止使用的卡名單。通過讀卡設備實時下載系統(tǒng)中的黑名單，可以有效禁止非法卡的使用，以保護卡內(nèi)資金的安全。為實現(xiàn)黑名單的及時下傳，特研發(fā)黑名單廣播功能，采集程序自動把掛失卡的黑名單下傳到聯(lián)網(wǎng)的消費機上，實現(xiàn)掛失的實時性。為防止因讀卡設備數(shù)據(jù)存儲器寫滿，新掛失的卡不能進人黑名單的情況，采用設置卡使用步長、使用期限及批次處理的方法來有效控制黑名單的數(shù)量。

3.1.5 建立終端設備聯(lián)機監(jiān)控報警機制

終端設備只有在聯(lián)機狀態(tài)下才能及時的將消費數(shù)據(jù)上傳，并接受中心系統(tǒng)下發(fā)的黑名單。為此單獨研發(fā)了監(jiān)控設備的報表，在一卡通中心即可利用軟件實時監(jiān)控設備故障、聯(lián)機、脫機、未初始化等情況，若有POS出現(xiàn)異常情況時，監(jiān)控系統(tǒng)能很快準確定位它的位置，并給出異常狀態(tài)的錯誤代碼，以便及時對脫機設備進行維護，保證網(wǎng)絡系統(tǒng)暢通運行。同時增加終端設備聯(lián)機監(jiān)控報警平臺，若出現(xiàn)聯(lián)機不正常的狀態(tài)就以發(fā)送消息、郵件方式通知給管理員進行報警，便于及時檢測脫機設備并進行修復，提高了維護的及時性與準確性。

正是由于在校園卡系統(tǒng)設計中采取了以上技術防范措施，一旦有非法復制或修改的校園卡在使用，系統(tǒng)就可以主動發(fā)現(xiàn)并拒絕使用，同時還可通過數(shù)據(jù)跟蹤找到相應的非法卡，追查相關的責任人，從而保證了整個校園卡系統(tǒng)的安全性。

3.2 管理手段

為了保證校園一卡通系統(tǒng)中的卡片安全，除了要有完善的技術保障措施外，還應加強校園卡的安全管理。

(1)加強卡片的安全性管理，實行實名制和申領批準制度。系統(tǒng)中詳細登記持卡人資料，以保證出現(xiàn)安全問題時有據(jù)可查;對卡片進行分類管理，分別授予不同的權限和功能，為在冊的學生和教職工發(fā)放的是學生卡、教工卡，為臨時進修、培訓和臨時工作人員辦理的是只能在對外開放的消費點和服務點使用的臨時卡，這樣既方便學校的管理，也減少外來人員與校內(nèi)教學、科研系統(tǒng)接觸的機會;為每一張卡片設置使用有效期，超出有效期的卡片全部凍結，并及時清理，以減少系統(tǒng)資源占用。

(2)加強對學生校園卡使用與管理的安全防范意識宣傳與教育，保管好自己的校園卡，不要給陌生人使用，卡上一次不要充太多的錢;建議學生及時修改初始密碼，丟失后及時掛失，這些可以通過圈存機隨時進行自助辦理，以減少持卡人因卡丟失被他人惡意消費造成的損失。

(3)加強校園卡軟、硬件系統(tǒng)維護與管理，保證校園一卡通系統(tǒng)網(wǎng)絡的暢通，實時上傳各種交易數(shù)據(jù)，自動進行后臺分析處理。發(fā)現(xiàn)異常校園卡立即通知相關管理人員并下發(fā)黑名單，各應用子系統(tǒng)將拒絕使用黑名單中的卡片，以有效保證持卡人的利益。

4 結語

一個完善的校園一卡通系統(tǒng)安全性不能完全依賴于校園卡，卡片只是整個系統(tǒng)中的一個環(huán)節(jié)。關鍵是我們要重視校園卡系統(tǒng)的整體安全性，從設備、網(wǎng)絡、數(shù)據(jù)、信息和管理等各方面建立綜合防范機制，形成有效的安全防護能力、隱患發(fā)現(xiàn)能力和應急反應能力，及時監(jiān)控和捕獲卡異常情況，并限制甚至禁止非法卡的使用，使不法之徒無可乘之機，才能充分保證校園卡的安全。

［1］ 馮宇.校園一卡通安全體系架構研究［D］.電子科技大學，2009.

［2］ 王愛英.智能卡技術［M］.北京:清華大學出版，1996.

［3］ 余雪麗.校園一卡通系統(tǒng)的設計與安全性分析［D］.天津大學，2006.

［4］ 中國一卡通網(wǎng).CPU卡加密系統(tǒng)與邏輯加密存儲IC卡加密系統(tǒng)的比較［OL］.http://blog.csdn.net/vitorhuang/article/details/5515804.

［5］ 彭偉，沈富可.升級一卡通安全策略［J］.中國教育網(wǎng)絡，2009，(6):13-15.