安全方案设计

　　本系统涉及银行、学校和持卡人等几方面，涉及圈存、消费、查询等交易处理，对系统的安全可靠性要求较高。本系统的安全目标是保障整个系统业务流程的安全可靠性,保证数据交易的完整性、机密性和抗否认性。本系统的安全涉及四部分：

• IC卡管理的安全
• 密钥管理安全
• 交易存取的安全
• 网络的安全

一、安全方案设计

　　本系统在设计整套安全方案时,符合"中国金融集成电路（IC）卡规范（V1.0）"对于金融IC卡的安全规定。

（一）IC卡管理的安全

　　由于银行银行校园IC卡里存有交易密钥，个人信息，余额和管理信息，使得IC卡比磁条卡具有更高的安全性，可以做脱机消费和查询。因此要保证整个系统的安全可靠性，保证IC卡的管理上的安全可靠非常重要。根据整个系统的安全目标，对制卡、发卡、挂失、补卡、销卡、黑名单管理等一系列业务需制定一套严密完整的制度和实施方法,以保证银行银行银行校园IC卡的安全可靠性,保证银行、学校和持卡人的利益。

（二）密钥管理

　　密钥管理是本系统安全方案的的重要部分之一。密钥管理包括密钥的组成、产生、分配、更改等。

1、卡片相关的密钥管理

　　在涉及密钥管理系统时，校园卡密钥管理系统主要参照了人行的IC卡规范，采用密钥母卡来保管和产生密钥，其密钥管理系统方案如下：

系统中分三级密钥：

1）由银行产生根密钥RMPK，导入密钥总卡。

2）根据RMPK 对相应的密钥序号分散产生各个主密钥（如消费主密钥，圈存主密钥等），导入用户密钥卡母卡和PSAM母卡, UMPK =3DES(RMPK, branchID), 并将用户发卡母卡中的主密钥存入HSAM中。

3）银行利用用户发卡母卡产生用户各种子密钥，并存入用户IC卡中一同发给用户。DPK=3DES（UMPK 、UserID）
在IC卡的密钥体系上,遵照人行的IC卡规范,建立一套完整的密钥分发体系,为保证密钥的独立性（即用于一种特定功能的加密/解密密钥不能被任何其他功能所使用），IC卡的密钥包括圈存、圈提、消费等几种密钥，根据密钥分散要求又包括主密钥和子密钥。

　产生的主密钥需导入银行IC卡前置机连接的加密机中。

2、数据传输的密钥管理

　　数据传输中，通信双方对应一组主密钥，传输过程中可用随机产生的工作密钥来加密和产生信息校验码。

（三）交易的安全

　IC卡交易包括联机交易（如圈存）和脱机交易（如消费）。圈存交易需提交个人密码。在联机和脱机交易中，交易数据都要经过双向的身份认证和校验，有效的保证数据的完整性。具体的交易流程完全按照人行的规范实施。

1、消费安全

消费时POS终端要对IC卡金额进行改写，因此必须能双向认证。安全措施如下：

1）POS终端采用安全访问模块PSAM。PSAM中存放消费主密钥。用来认证和加密消费数据。
2）IC卡中存放消费子密钥，用来认证和加密消费数据。
3）IC卡中消费数据的修改只能递减，不能递增。
4）IC卡中每次消费额应受到限制。

(四)网络的安全

数据报文传输的安全主要涉及以下几方面：

1校园中心服务器与银行IC卡前置机数据交换的安全
2校园网上各食堂数据集中服务器与中心服务器数据交换的安全
3圈存终端与银行主机数据交换的安全
4各食堂数据集中服务器与消费POS机数据交换的安全。

其中由于前三项涉及数据在公网或专网上传输，因此要求数据保密。其安全通过双向身份认证、加密和报文认证来保障。