欢迎您访问九游体育·官方网站官方网站!
阿里巴巴诚信通企业
全国咨询热线:40000-63966
兴邦电子,中国水控机第一品牌

联系兴邦电子

全国咨询热线:40000-63966

售后:0371-55132951/55132952

工厂:河南省 郑州市 高新区莲花街电子电器产业园

采用三级密钥体系实现校园卡密钥管理子系统

文章出处:http://www.nexussmartsolutions.com 作者: 人气: 发表时间:2011年09月13日

[文章内容简介]:为确保校园卡系统中金融数据在网络传递过程中的绝对安全,本文介绍了一种采用三级密钥体系的数据加密方式。希望该方式能对高校校园卡系统建设中的数据安全保障工作提供参考。

    摘要:在校园卡系统中,数据要求在多个子系统间进行传递和处理。这些数据多是安全级别需求比较高的金融数据。对这些数据的保护是校园卡系统中非常重要的工作。为确保校园卡系统中金融数据在网络传递过程中的绝对安全,本文介绍了一种采用三级密钥体系的数据加密方式。希望该方式能对高校校园卡系统建设中的数据安全保障工作提供参考。

    1 概况

    校园卡系统是以校园网为基本载体,采用计算机技术、网络与通信技术、数据库技术和卡与卡的识别技术等信息化的手段和工具,利用卡作为电子身份的载体、以及与计算机进行交互的介质,持卡人在其身份允许的范围内,实现在校园内进行商务消费、身份识别认证、金融服务等社会应用活动的数字化信息化[1]。校园系统作为数字化校园的基础部分,为整个校园提供了基本的消费平台。在该消费平台上存在着不同系统间的金融数据交互。这些金融数据在校园网的传递中必须要确保足够的安全。本文针对校园卡系统的密钥子系统进行设计,目的是确保校园卡系统金融数据的安全传输。

    2 校园卡物理部署

    2.1 系统简介

 校园卡系统物理部署图

 图 1 校园卡系统物理部署图

    校园卡服务器负责处理其他系统通过接口程序传送上来的数据。其中大多数属于金融信息数据。如:对消费系统的上传数据进行转发、处理等操作。数据库服务器用于存储校园卡日常的消费数据信息以及校园卡的相关数据信息。

    交换机用于连接校园卡系统内各个终端设备。

    圈存机为系统提供银行卡到校园卡的圈存转账等功能。

    校园卡前置机为校园卡系统提供与银行前置机之间的卡业务服务,以完成指定金融交易。如:圈存、银行卡余额查询等功能。

    银行前置机提供与学校前置机之间的通信服务,以完成指定交易。

    银行大机即银行核心业务主机系统。

    在校园卡服务器和校园卡前置机上分别运行着两个Socket 服务程序,用于处理校园卡系统设备间的数据包传递。数据包中包括基本的财务信息以及校园卡用户的卡基本信息等。

    2.2 校园卡系统中需要加密的部分

    校园卡服务器与圈存机之间。校园卡前置机器与圈存机之间。校园卡服务器与校园卡前置机之间。POS 机消费系统与校园卡服务器之间。校园卡前置机器与银行前置机之间。

    3 校园卡密钥管理子系统方案介绍

    3.1 密钥介绍

    在校园卡系统中,系统间传递的数据包的内容由多个定义好的数据域组成,用于存储系统运行中的字段信息。其中,在不同的操作中会生成不同的数据域,有些域是要做适当的加密处理的。如:在学生进行圈存和消费操作时会输入校园卡的密码或是银行卡的密码,这些密码在网络中传输都是以密文的形式传输的。特别是在校园卡前置机发送数据包到银行前置机、以及圈存机发送数据包到校园卡前置机的线路上,都需要对用户的卡密码进行加密后传输。

    为了确保数据在校园网内传递、以及通过专线在银行和学校传递的绝对安全,对密钥的管理分为PKG 密钥、PIN 密钥、MAC 密钥等几类密钥进行管理。

    PKG 密钥:主要用于对在网络中传输的数据包进行加密时使用的密钥。
    PIN 密钥:用于对网络数据包中的密码字段域进行加密时使用的密钥,在校园卡系统中,主要对校园卡在使用时输入的校园卡密码和银行卡密码进行加密。
    MAC 密钥:MAC 算法是一种将数据校验算法和DES 算法相融合的非公开算法,主要用于判断在网络中两个通讯设备间的接、发数据包的真伪,以防止攻击者构造虚假交易包而达到作案目的[2]。MAC 密钥是计算MAC 校验值时所用到的密钥。MAC 校验数值作为数据包的校验值保存到数据包的尾部。

    校园卡系统的加密重点是在圈存到银行前置机间的通讯数据包。因为该部分主要的功能就是实现银行转账到校园卡,所以也是金融数据最集中部分。

    校园卡系统采用国际成熟的三层密钥体系的管理思想进行设计与实现。

    3.1.1 一级:传输密钥
    用 PKG 密钥、PIN 密钥、MAC 密钥进行加密的操作对象都是校园卡系统网络中涉及的金融交易数据包,属于三级加密体系的第一级,统称为传输密钥[2]。

    3.1.2 二级:交换密钥
    参照金融业界的数据加密标准,在传输密钥中PIN 密钥和MAC 密钥是两个动态变化的密钥。密钥根据实际要求可以随时更换,校园卡系统会每日从银行前置机器系统动态的获取随机的PIN 密钥和MAC 密钥。这两个密钥值是不允许在网上明文传送的,对这两个密钥进行加密的密钥称为交换密钥,它属于三级加密体系的第二级[2]。

    3.1.3 三级:主密钥
    传输密钥、交换密钥都需要存储起来,它们的存储形式也不允许用明文保存,必须进行加密,将传输密钥、交换密钥加密用于存储时所用到的密钥称为主密钥。主密钥也称为存储密钥,它属于三级加密体系的第三级[1]。为避免攻击者一旦窃得主密钥即可获得所有密钥的情况发生,系统对主密钥实行分散管理,即PK 密钥、PIN 密钥、MAC 密钥、交换密钥均有各自的主密钥。

    3.2 密钥子系统结构

图2 校园卡系统三级密钥示意图

 图2 校园卡系统三级密钥示意图

第1页第2页

本文关键词:密钥体系,密钥管理,校园卡系统,密钥系统,密钥,校园卡
回到顶部