公交IC卡收费系统安全方案

    1系统的安全目标

    系统的最终目标是建成一个以非接触式IC卡为储值卡支付手段，以计算机系统为信息处理方法的安全可靠的现代化管理系统，加快公共汽车收费速度，提高运营效率，以方便广大市民，确保用户利益。

    2系统结构和数据流程 

图1 系统结构及数据流程

    3安全策略

    3、1安全防范内容

    基于以上系统结构和数据流程分析，可从以下几方面考虑：

    3．1．1乘客卡、控制卡的安全

    乘客卡、控制卡是非接触式IC卡，防止伪造的卡。

    3．1．2 IC卡读写设备的安全

    IC卡读写设备，特别是车载机设备，分散在各条线路上，是破坏者易于攻击的另一个目标。

    3．1．3站点的安全

    防止由于操作系统以及网络系统本身存在的己知或未知的缺陷所造成的网上用户可以非法进入站点现象，防止信息数据被非法获取，防止非法数据包的大量流入，防止网络安全性侦探等。

    3．1．4传输数据的安全

    防止传输数据被非法获取，保证传输数据的安全性和正确性。

    3．1．5网络的安全

    确保各分公司网络和总公司网络中心通信的安全性，避免受到网上“黑客”的攻击。

    3．1．6管理的安全

    防止由于内部人员造成的安全泄密问题，防止出现由于对系统的不了解而造成的扩大用户权限、增加不安全的用户服务等问题。

    3．2安全解决方案

    3．2．1乘客卡 控制卡的安全保障

    本系统采用的非接触式IC卡(射频卡)是Mifare卡，该卡保密性能好，可在读写器与卡之间相互认证，可发出具有卡本身密钥和算法的随机数，对读写器发出的随机数密钥可进行解密译码验证。卡内密码分为Key A 和KeyB，与读写器进行3次相互认证正确后(符合ISo／IECDIS9798—2 标准)，才能对卡进行操作。在通讯过程中，数据用DES算法加密。因此本系统采用的非接触式IC卡是可靠的电子货币的载体，系统对射频卡进行校验、认证，并且以密码进行保护，可有效地防止伪造。
 
    3．2．2 IC卡读写设备的安全保障

    系统对信息处理有严格的安全规范，在电路控制板上也采取了相应措施：(1)数据采集卡有专用密码， 只有密码相符时车载机的数据库才开放；(2)车载机能完成对卡止付黑名单的管理，止付黑名单由POS机进行更新；(3)车载机必须经过公交公司的读写器授权卡授权后才能读写公交公司发行的IC卡；(4)发卡充值机实现发卡功能时，由发卡授权卡对读写器进行授权，发完卡后撤销授权；实现充值功能时， 由充值授权卡进行授权。由于各充值点常常夜间无人值守，为防止失窃，可设计成每次使用前必须进行授权，使用完后自动撤销授权。充值授权卡的有效期可由系统设定。

    3．2．3站点的安全保障

    各站点数据采集机采集数据是直接与车载机连接通信的， 只需要有效验证车载机的合法性即可，而系统对车载机也采取了以上有效措施防伪，所以对于数据采集机与车载机之间的安全是有保障的；至于数据采集机与分公司通信服务器之间的安全问题，通过防火墙、路由设备，即可有效解决。

    3．2．4传输数据的安全保障

    防止交易数据被非法获取，保证数据的绝对安全性和正确性。可采用网络密码机来保障交易数据的安全(造价高)；亦可将数据加密后通信(数据量大)。如果使用DDN专线传输数据就最好了，这样可以安全高效地传输大量数据。将总公司和分公司网络中各设一台通信专用服务器，兼作堡垒机(安装防火墙软件)，能有效地防止黑客窃取和篡改用户信息。

    3．2．5网络的安全保障

    由于分公司通信机通过拨号形式访问总公司服务器，安全问题相当重要。防止由于操作系统以及网络系统本身存在的己知或未知的缺陷所造成的网上用户可以非法进入站点现象，防止信息数据被非法获取，防止非法数据包的大量流入，防止网络侦探等。系统通过可选的防火墙、基于数字证书的安全技术、通讯代理、协议网关、权限控制等多种手段来保障网络安全，特别是利用IP／IPX 协议网关形成一道天然的防火墙。

    3．2．6管理的安全保障

    防止由于管理造成的安全泄密问题，防止出现由于对系统的不了解造成的扩大用户权限、增加不安全的用户服务等问题。将正常业务运行系统与技术开发系统物理分离，减少来自于内部网络系统的安全风险；建立完善和严格的网络权限管理系统，防止对资源的非法访问和越权访问；设置专门人员，加强安全管理，并从专业人员的维护、完善的管理制度、安全的物理条件等方面保证系统的安全控制。

    3．3风险防范设计

    3．3．1数据备份

    系统对总公司数据服务器和各站点数据采集机的数据进行每日的自动备份，防止数据丢失和出错。

    3．3．2故障恢复

    为保证任务连续不间断进行，主机服务器应采用双机热备份的工作方式。