浅析：一卡多用、互联互通应用的安全性

　　1）身份认证：对持卡人、卡终端和卡片三方的合法身份做认证

　　2）安全保密模块：使用相应的密钥实现加密、解密以及处理，从而完成与用户卡之间的安全认证。

　　3）数据载体：CPU卡可做为个人档案或重要数据的安全载体，数据可至少保存10年以上。

　　由于CPU卡在安全性等方面具备很多优点，随着CPU卡成本的降低，而逻辑加密卡又在安全上经受着越来越多的挑战，将会有更多的城市采用CPU卡或逐步向CPU卡进行过渡。

　　2、密钥安全

　　一卡多用、互联互通应建立在统一的技术标准、统一的安全体系、统一的结算机制基础上，为保障应用系统的安全性，系统建设应采用统一的建设事业IC卡密钥管理系统和安全认证模块，同时进一步加强密钥系统本身的安全机制和标准加密算法研究，以确保系统的安全性能。

　　建设事业IC卡密钥管理系统采用高度加密的3DES加密算法，支持相应的RSA非对称算法，通过先进的网络技术、IC卡技术和加密技术，实现多行业的密钥分散和统一分发，满足各城市在多个行业的安全应用要求，从而达到一卡多用、城市间互联互通目标。

　　二、设备的安全

　　相对于消费业务来讲，用户卡的充值业务在系统安全设计中则显得更加重要，应用ISAM卡进行充值授权认证，是保证系统安全性的重要手段。目前，充值方式有脱机充值和在线联机充值两种解决方案。作为脱机充值方式，虽然初期投入成本较低，但存在着种种弊端和安全隐患。

　　1、操作员未及时上传充值记录造成用户卡清算不平衡；

　　2、黑名单发布滞后；

　　3、脱机充值设备损坏造成充值记录丢失；

　　4、不能实现充值操作的实时权限控制；

　　5、脱机充值设备和设备内ISAM卡的物理安全也成为系统的隐患之一。

　　以上几种情况，均会对IC卡用户及IC卡运营商造成不必要的损失。随着网络连接成本的逐步降低以及用户对于系统安全性要求的进一步提高，联机充值方式逐渐成为首选方案。

　　从系统设计角度看，联机充值系统应采用三层体系结构，即前台客户机系统、中间件应用服务器系统、后台中心数据库系统。通过中间件将前台客户机与后台数据库联系起来，有利于系统的安全性、可靠性和可扩充性。同时系统采用经行业认证的加密机，每一笔充值交易所需的密钥认证和授权以及数据的加密传输，都通过加密机进行，从而避免了每一个终端设备都必须安装ISAM卡和终端设备损坏、数据丢失的问题，有效地保证了密钥的安全和系统的安全。

　　三、交易记录的安全

　　交易记录主要包括充值交易记录、消费交易记录，交易记录涉及到乘客的切身利益和运营主体的资金问题，因此必须采取有效手段要保证交易数据的有效性和完整性。

　　1、终端设备形成交易记录时，均应产生交易认证码（TAC码）。脱机设备TAC码由SAM卡产生，联机在线设备TAC码由后台硬件加密机设备产生，每条交易记录均使用TAC机制保证数据的完整性，使交易数据不可篡改、不可伪造，上传后，后台使用硬件加密机进行TAC校验。TAC码（TransactionAuthenticationCode）即交易验证码。TAC码是通过将原始交易记录的交易时间，交易金额等数据项进行加密计算而产生的交易验证码。其设计目的是通过生成和验证基于密钥的TAC，能够保证交易记录产生的合法性，防止人为生成交易记录之类的欺诈行为。

　　2、脱机终端设备应保证交易数据不丢失，交易过程中断导致交易未正常完成时，终端设备应具有在规定的时间内提示和恢复功能。

　　3、清算中心和分系统结算中心之间的所有的数据交换均使用MAC认证，采用硬件加密机进行MAC的生成和校验，即保证了处理速度又提高了系统的安全性。

　　四、后台系统及网络的安全

　　后台系统及网络的安全也不容忽视，否则用户卡的数据一旦没有得到有效的保护，后果不堪设想。建设一个安全的后台系统及网络，应注意以下几方面：

　　1、关键的服务器尽量采用相对安全的操作系统如UNIX、LINUX；

　　2、及时对操作系统进行升级和补丁安装；

　　3、安装网络版杀毒软件并及时升级；

　　4、建立不同权限的数据库用户，对数据库登陆要严格管理；

　　5、建立完善的数据库备份方案和有效的灾难恢复机制；

　　6、定期更换数据库、操作系统、网络设备密码；