数字化手机一卡通系统安全性研究

蒋悦

摘 要：伴随着数字信息化建设的推进，以RFID为基础的资源整合成了当前数字化发展的新热点。当前各大互联网单位通过将RFID模块嵌入SIM卡、以移动智能终端为载体，为个人身份认证和移动支付提供硬件支持。由该服务及其他基础平台共享中心数据库，此时安全性成了手机一卡通系统的生命线。本文将对数字化手机一卡通系统的安全性进行研究。

关键词：数字信息化；RFID；数据安全

中图分类号：TP393.18 文献标识码：A 文章编号：1004-7344（2018）32-0317-01

1 手机一卡通体系安全问题

手机一卡通系统涉及银行、商户和持卡人三个不同的层面，涉及消费、结算、查询等大量的交易处理和身份认证，所以手机一卡通体系必须具备高安全性和高可靠性。目前手机一卡通面临的威胁分析如下：

（1）RFID系统安全威胁：在手机一卡通中，RFID的安全问题根源来自于RFID设计本身的开放性。实践证明，普通RFID及配套设备在正常工作时，数据读取、数据交换、数据传输和数据存储等各个环节都存在信息泄露或被篡改攻击的可能，从而为非法者对RFID标签的克隆、非法窃听及篡改提供了便利。

（2）数据传输安全威胁：①现有网络通信协议的开放性，不适用于当前机密通信要求；②现有网络设备在传输、处理、储存数据能力的局限；③手机一卡通节点数量庞大，人们使用时间集中，都给非法的信息窃取、拒绝式服务攻击的发生提供了可能。

应用业务安全威胁：手机一卡通主要具有消费服务、身份认证、个人信息查询、信息管理等功能，其应用覆盖综合服务的多种应用业务子系统。在享受资源整合带来便利的同时，对系统管理人员的业务水平和技术水平要求也随之增加。由于现有管理人员综合素质的局限，可能因为误操作使系统瘫痪或数据丢失造成不可估量的损失。

2 一卡通系统安全威胁解决策略

由于数字化用户的数量膨大、使用时间集中、用户类型和业务的多样化、管理的复杂化、对设备要求的高性能化这一特征，对现有技术、设备要求的苛刻性，以及对传统数据管理、维护部门的水平都提出了巨大挑战。但是，通过对传统的方案的改进、管理人员的针对性培训和现有设备的升级，以及巧妙的运用智能终端这个特殊的载体，上述问题在一定程度上是可以很好解决的。本文将分别从技术层面和管理层面就该系统所面临的安全威胁提出相应的解决方案。

（1）RFID安全解决策略：在数字化一卡通的安全威胁中，与人们关系最直接的是财产安全。如果手机遗失或者不法分子进行RFID标签信息的克隆后非法盗刷、非法认证，由于不能及时挂失或失察可能会引发更多不必要的损失。基于此问题的存在，数字化系统设计必须具备功能如下：

①实现挂失移动化。任何一个使用者都可以通过任何一臺安装有该系统的移动设备或普通Web通过合法身份验证后实现自主远程化、移动化挂失和解除挂失服务。

②异常检测和异常验证功能。由于手机或者其他智能移动设备的特殊性，系统需具有基于蓝牙接口的异常检测功能。

③定位服务。结合网络基站密集、网络畅通的特殊环境设计系统的定位服务模块，从而有助于使用者手机的定位。

（2）数据安全解决策略：系统最核心的功能是以中心数据库为纽带从根本上实现一站式登录和相关数据服务的集成。所以中心数据库安全才能保证整个系统正常运转。数据库安全的核心是数据安全，为了保证敏感数据的安全，除了在传统网络拓扑上利用路由器和防火墙做静态IP&MAC认证、IDS、ACL控制、服务器端口认证等常规的安全措施[1]，与类似系统比较，为进一步确保数据库高效安全运转，维护数据库敏感信息安全，在独立数据库服务器适当的位置采用了一套特殊的加密算法。即在数据库服务器上、DBMS的外层采用基于“一维多级混沌序列密码”的加密算法，这套算法既解决了敏感数据加密、解密的效率，降低服务器的负载，又能极好的保证敏感数据的安全。加密算法核心设计如下：

①将一维Lo-gistic混沌映射和分段线性混沌映射完成复合。②把Lo-gistic映射的输出作为分段线性混沌映射的分段参数P，并运用非线性变换得到的混沌伪随机密钥流作为混沌序列用于后续数据加密[2]。

（3）网络传输数据安全策略：目前为了防止终端信息泄露和RFID误刷的可能，前人已做了大量研究并很好的应用于实际生活。系统设计中为解决数据传输安全需要采取IPsec VPN与通过国密认证的终端数据加密芯片TF32A09芯片构成的数据安全传输系统。

（4）核心基于Nginx架构的优化策略：数据处理和存储是整个系统的核心，从高安全性、高鲁棒性、可扩充性上考虑，除了采用高性能服务器，在实施过程利用Nginx的优势，前端双Apache协同进行数据分流，末端分布式结构的多个Tomcat服务器负责完成服务计算和存储的设计。实现以权重为主要基准，以当时负荷为参考的分布式计算。并结合Nginx优良的缓冲机制、Rewrite和反向代理功能进一步提高系统的安全性和鲁棒性从而在一定程度上抵御了可能的拒绝服务攻击，也为后期服务种类、服务器数量的拓展留下足够空间。

3 结束语

基于数字化手机一卡通系统是一个管理层次上的系统，系统中涉及到金融、用户、权限、资源等关键且均为敏感数据，因此手机一卡通系统的安全体系尤为重要，直接关系到系统的成效以及后续的数字化系统的建设。通过手机一卡通的安全体系的分析探讨，得到切实可行的安全解决方案，从而在实际应用中取得良好的效果。

参考文献

[1]纪求华.云操作系统安全加固技术探讨[J].移动通信，2014（10）.

[2]吴晓刚.混沌密码在数据库加密中的应用[J].计算机安全，2014（05）.

收稿日期：2018-9-19

作者简介：蒋 悦（1991-），男，江苏南京人，工程师，主要从事彩色滤光片生产自动化制造系统的设计、开发、维护工作。