中文字幕在线亚洲_少妇一级婬片免费放_少妇高潮无码自拍_男人和女人免费视频大全播放_久久人妻内射无码一区三区

歡迎您訪問鄭州興邦電子股份有限公司官方網站!
阿里巴巴誠信通企業
全國咨詢熱線:40000-63966
興邦電子,中國水控機第一品牌

聯系興邦電子

全國咨詢熱線:40000-63966

售后:0371-55132951/55132952

工廠:河南省 鄭州市 高新區蓮花街電子電器產業園

采用三級密鑰體系實現校園一卡通系統IC卡密鑰管理子系統

文章出處:http://hz-huyue.com 作者:李峰 人氣: 發表時間:2010年07月16日

[文章內容簡介]:在校園卡系統中,數據要求在多個子系統間進行傳遞和處理。這些數據多是安全級別需求比較高的金融數據。對這些數據的保護是校園卡系統中非常重要的工作。為確保校園卡系統中金融數據在網絡傳遞過程中的絕對安全,本文介紹了一種采用三級密鑰體系的數據加密方式。希望該方式能對高校校園卡系統建設中的數據安全保障工作提供參考。

1 概況

校園卡系統是以校園網為基本載體,采用計算機技術、網絡與通信技術、數據庫技術和卡與卡的識別技術等信息化的手段和工具,利用卡作為電子身份的載體、以及與計算機進行交互的介質,持卡人在其身份允許的范圍內,實現在校園內進行商務消費、身份識別認證、金融服務等社會應用活動的數字化信息化[1]。校園系統作為數字化校園的基礎部分,為整個校園提供了基本的消費平臺。在該消費平臺上存在著不同系統間的金融數據交互。這些金融數據在校園網的傳遞中必須要確保足夠的安全。本文針對校園卡系統的密鑰子系統進行設計,目的是確保校園卡系統金融數據的安全傳輸。

2 校園卡物理部署

2.1 系統簡介

校園卡服務器負責處理其他系統通過接口程序傳送上來的數據。其中大多數屬于金融信息數據。如:對消費系統的上傳數據進行轉發、處理等操作。數據庫服務器用于存儲校園卡日常的消費數據信息以及校園卡的相關數據信息。

交換機用于連接校園卡系統內各個終端設備。

圈存機為系統提供銀行卡到校園卡的圈存轉賬等功能。

校園卡前置機為校園卡系統提供與銀行前置機之間的卡業務服務,以完成指定金融交易。如:圈存、銀行卡余額查詢等功能。

銀行前置機提供與學校前置機之間的通信服務,以完成指定交易。

銀行大機即銀行核心業務主機系統。

在校園卡服務器和校園卡前置機上分別運行著兩個Socket 服務程序,用于處理校園卡系統設備間的數據包傳遞。數據包中包括基本的財務信息以及校園卡用戶的卡基本信息等。

2.2 校園卡系統中需要加密的部分

校園卡服務器與圈存機之間。校園卡前置機器與圈存機之間。校園卡服務器與校園卡前置機之間。POS 機消費系統與校園卡服務器之間。校園卡前置機器與銀行前置機之間。

3 校園卡密鑰管理子系統方案介紹

3.1 密鑰介紹

在校園卡系統中,系統間傳遞的數據包的內容由多個定義好的數據域組成,用于存儲系統運行中的字段信息。其中,在不同的操作中會生成不同的數據域,有些域是要做適當的加密處理的。如:在學生進行圈存和消費操作時會輸入校園卡的密碼或是銀行卡的密碼,這些密碼在網絡中傳輸都是以密文的形式傳輸的。特別是在校園卡前置機發送數據包到銀行前置機、以及圈存機發送數據包到校園卡前置機的線路上,都需要對用戶的卡密碼進行加密后傳輸。

為了確保數據在校園網內傳遞、以及通過專線在銀行和學校傳遞的絕對安全,對密鑰的管理分為PKG 密鑰、PIN 密鑰、MAC 密鑰等幾類密鑰進行管理。

PKG 密鑰:主要用于對在網絡中傳輸的數據包進行加密時使用的密鑰。

PIN 密鑰:用于對網絡數據包中的密碼字段域進行加密時使用的密鑰,在校園卡系統中,主要對校園卡在使用時輸入的校園卡密碼和銀行卡密碼進行加密。

MAC 密鑰:MAC 算法是一種將數據校驗算法和DES 算法相融合的非公開算法,主要用于判斷在網絡中兩個通訊設備間的接、發數據包的真偽,以防止攻擊者構造虛假交易包而達到作案目的[2]。MAC 密鑰是計算MAC 校驗值時所用到的密鑰。MAC 校驗數值作為數據包的校驗值保存到數據包的尾部。

校園卡系統的加密重點是在圈存到銀行前置機間的通訊數據包。因為該部分主要的功能就是實現銀行轉賬到校園卡,所以也是金融數據最集中部分。

校園卡系統采用國際成熟的三層密鑰體系的管理思想進行設計與實現。

3.1.1 一級:傳輸密鑰

用 PKG 密鑰、PIN 密鑰、MAC 密鑰進行加密的操作對象都是校園卡系統網絡中涉及的金融交易數據包,屬于三級加密體系的第一級,統稱為傳輸密鑰[2]。

3.1.2 二級:交換密鑰

參照金融業界的數據加密標準,在傳輸密鑰中PIN 密鑰和MAC 密鑰是兩個動態變化的密鑰。密鑰根據實際要求可以隨時更換,校園卡系統會每日從銀行前置機器系統動態的獲取隨機的PIN 密鑰和MAC 密鑰。這兩個密鑰值是不允許在網上明文傳送的,對這兩個密鑰進行加密的密鑰稱為交換密鑰,它屬于三級加密體系的第二級[2]。

3.1.3 三級:主密鑰

傳輸密鑰、交換密鑰都需要存儲起來,它們的存儲形式也不允許用明文保存,必須進行加密,將傳輸密鑰、交換密鑰加密用于存儲時所用到的密鑰稱為主密鑰。主密鑰也稱為存儲密鑰,它屬于三級加密體系的第三級[1]。為避免攻擊者一旦竊得主密鑰即可獲得所有密鑰的情況發生,系統對主密鑰實行分散管理,即PK 密鑰、PIN 密鑰、MAC 密鑰、交換密鑰均有各自的主密鑰。

3.2 密鑰子系統結構

采用三級密鑰體系實現校園一卡通系統IC卡密鑰管理子系統

一級:明文通過PIN 密鑰加密數據包中的密碼信息,通過PKG 密鑰對數據包進行加密,通過MAC 密鑰對數據包進行驗證信息生成;最終生成的數據包在網絡中傳輸。

二級:通過交換密鑰把在對網絡中傳輸的PIN 密鑰和MAC 密鑰進行加密處理后生成在網絡中傳遞的PIN、MAC 的密文,用于在網絡中傳輸。

三級:通過主密鑰對PKG 密鑰、PIN 密鑰、MAC 密鑰、交換密鑰進行加密后保存在系特定的介質中。如:IC 卡或系統本地。

在實際使用中為了加強密鑰系統的安全性,交換密鑰和主密鑰在使用時一般會使用多個針對不同的密鑰對需要加密的密鑰進行加密,以增加加密過程的復雜度。所有密文在需要轉換成明文使用的時候,通過相應的解密過程后,還原明文后使用。

4 校園卡密鑰管理子系統

在信息技術高度發達的校園中,系統的安全性設計應充分考慮到各方面的因素,包括卡片、讀卡機具、應用系統服務器、網絡數據傳輸、中心數據存儲、系統管理軟件、應用系統軟件和運行管理等[3]。而系統密鑰的安全是一卡通系統安全的基石。為保證數字化數字校園系統的正常、安全、穩定的運行,完備的密鑰管理系統是至關重要的。

系統采用標準的算法與加密方案對交易數據及IC 卡進行認證,而加解密的核心就是密鑰。根據現代加密理論,對公開算法的密鑰系統而言,系統的安全性取決于密鑰的安全性。本系統按照“金融級”的安全性標準設計密鑰管理系統,以確保系統的安全核心——密鑰的絕對安全。

校園卡系統的服務程序為了確保網絡的傳輸效率,建議最好采用C++或C 語言通過socket 技術實現。socket 服務程序在轉發數據包的時候完成加密過程。具體的密鑰管理由學校人員來保管,系統的交換密鑰和主密鑰由銀行提供,并且定期更新。在校園卡前置機每日定時動態獲取當日的PIN 密鑰和MAC 密鑰。由于校園卡系統在高校范圍內使用廣泛,且校園的管理人員也比較繁雜。所以,系統在有安全技術保障的同時,一定要有相應的制度作為保障,確保密鑰管理的安全。在校園卡系統的實際密鑰管理系統中,密鑰的轉移和存儲對管理人員來說都是不可見的。做法是通過IC 射頻卡的數據存儲功能將各類密鑰保存在對應的數據域中。用戶在使用密鑰的時候可以通過對IC 卡的讀取操作來更換系統的主密鑰、交換密鑰、傳輸密鑰的內容。用于密鑰系統的IC 卡由專員保管,使用之后立即交回學校或銀行。確保了密鑰信息在校園內部的有限是使用,也同時大大加強了密鑰系統的安全。

目前校園卡的建設的模式多采用多方合作的模式,與金融數據相關的單位為銀行和學校。有些校園卡系統對密鑰系統的管理是由銀行和學校共同的管理兩個不同的密鑰,兩個密鑰同時使用時才能將交換密鑰和傳輸密鑰等轉化明文后使用。

4.1 密鑰子系統的組成

在密鑰子系統中,通過將數據包加、解密函數封裝成window 平臺下的動態鏈接庫的方式實現加、解密函數功能的簡單調用。

具體的子系統功能組成如下:

1.密鑰卡管理功能;

該功能提供 VC++系統開發出的操作頁面,在銀行端使用或是在學校端使用。用于存儲密鑰信息到IC 卡。

2. 密鑰分發功能;

在學校端使用,主要負責分發學校的密鑰到對應的終端設備。

3. 圈存機密鑰獲取功能;

圈存機在每日簽到時獲取相應的各類密鑰信息。

4. 動態連接庫:

網絡傳輸數據包加、解密函數。
用戶卡密碼加、解密函數。
DES 加、解密函數。
MAC 校驗碼生成函數。
傳輸密鑰加、解密函數。
交換密鑰加、解密函數。
主密鑰加、解密函數。

4.2 校園卡系統中加密部分說明
校園卡服務器與圈存機之間
采用 PIN 密鑰、PKG 密鑰、MAC 密鑰對數據包進行加密。

校園前置機與圈存機之間
采用 PIN 密鑰、PKG 密鑰、MAC 密鑰對數據包進行加密。

校園卡服務器與校園卡前置機之間
采用 PKG 密鑰對數據包進行加密。

POS 機消費系統與校園卡服務器之間。
通過 PKG 密鑰對數據包進行加密

校園卡前置機與銀行前置機之間
通過 PIN 密鑰、PKG 密鑰、MAC 密鑰進行數據加密;通過交換密鑰獲取PIN密鑰、MAC 密鑰。

IC 卡中保存的全部密鑰
使用主密鑰對PIN 密鑰、PKG 密鑰、MAC 密鑰;交換密鑰等加密保存。

5 結論

在校園卡的建設中,對金融數據在網絡中的保護,主要是通過密鑰管理子系統來實現。實施證明在當今技術飛速發展的高校內,對金融數據的保護是十分必要的。無論是學校還是銀行都應該重視這方面的工作。

本文關鍵詞:校園一卡通系統密鑰
回到頂部