CN105704156A - 用于校园id卡的数据处理方法 - Google Patents

Abstract

本发明提供了一种校园智能卡信息处理方法，该方法包括：将终端设备与智能卡绑定；在智能卡中存储所述终端设备的标识符、认证密钥和连接信息；在终端设备接入校园网之前，利用所述标识符、认证密钥和连接信息与校园内部网认证服务器进行接入和验证。本发明提出了一种校园智能卡信息处理方法，在卡片功能性和安全性上有很大提升，提高了教育部门的工作效率和信息化水平。

Description

用于校园ID卡的数据处理方法

技术领域

本发明涉及智能卡，特别涉及一种用于校园ID卡的数据处理方法。

背景技术

智能卡技术极大地提高了人们的工作效率，更方便了人们的生活。在教育系统中，所有的职工和学生用智能卡在学校活动、消费、注册，还可以通过学校的终端来进行银行卡到智能卡的转账，大大方便了教职工及学生的生活和学习，同时也提高了学校各个部门的工作效率和信息化水平。然而存在于校园内部网传感层中种类繁多的传感设备接入，缺乏针对设备接入认证和原始数据保护的安全机制，导致网络中的病毒、木马恶意入侵攻击行为层出不穷，严重影响了校园内部网服务的应用与发展。此外，现有方案中终端身份识别系统并不参与认证；被接受的设备必须与Web站点或应用进行认证，效率较低；不能保证设备的持久可信性。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种用于校园ID卡的数据处理方法，包括：

将终端设备与智能卡绑定；

在智能卡中存储所述终端设备的标识符、认证密钥和连接信息；

在终端设备接入校园网之前，利用所述标识符、认证密钥和连接信息与校园内部网认证服务器进行接入和验证。

优选地，所述将终端设备与智能卡绑定，进一步包括：

为每个接入的终端设备嵌入分配一个智能卡，当终端设备要接入校园内部网时，首先要在校园内部网认证服务器上进行注册授权，获取终端设备标识符TID，以及所分配的智能卡的标识符SIN，将TID与SIN二者进行连接，生成终端设备接入标识符TAID；

所述接入和验证步骤进一步包括：

(1)终端设备插入智能卡，向校园身份识别系统发送终端设备标识符TID；

(2)校园身份识别系统进行所述TID查询，如果找到则响应请求，否则拒绝请求；

(3)终端设备处理返回结果，调用智能卡中存储的SIN，计算设备接入标识符TAID，与生成的随机数k作为椭圆曲线认证参数，以密文形式一起发送至校园身份识别系统，并转发至校园内部网认证服务器请求认证；

(4)校园内部网认证服务器通过验证后，计算临时密钥Key＝H(k)，并返回验证结果和Key，然后记录验证信息，密文保存随机数k；H表示散列运算；

(5)身份识别系统处理验证返回结果和保存临时密钥Key，随后连同接入结果一同返回给终端设备；

(6)智能卡处理验证结果，保存临时密钥Key；

(7)以Key进行AES原始数据和控制数据的加解密会话；

(8)终端设备与校园身份识别系统响应服务终止或者关机操作，通知校园内部网认证服务器退网，双方清除k和Key的记录信息，释放会话资源中断通信。

本发明相比现有技术，具有以下优点：

本发明提出了一种用于校园ID卡的数据处理方法，在卡片功能性和安全性上有很大提升，提高了教育部门的工作效率和信息化水平。

附图说明

图1是根据本发明实施例的用于校园ID卡的数据处理方法的流程图。

具体实施方式

下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明，但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定，并且本发明涵盖多个替代、修改和等同物。在下文描述中阐述多个具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。

本发明的一方面提供了一种用于校园ID卡的数据处理方法。图1是根据本发明实施例的用于校园ID卡的数据处理方法流程图。

校园卡结合了传统校园内的门禁卡、餐卡、图书证、准考证以及学生证，是学生表明身份信息的载体。整个校园身份识别系统中由三种网络进行连接，即互联网、校园内部网及专用网，互联网用于建立用户和系统之间的交互平台，师生可以通过互联网登陆系统来使用相关服务。在互联网接入端口添加VPN等设备，这样使得外网与内网之间建立安全的信息交换机制。校园内部网为在校师生提供科研、教学以及综合信息服务的宽带媒体网络。所有的读卡器都通过校园内部网与身份识别系统相连，采用TCP/IP的通讯模式，利用交换机、路由器和防火墙等设备进行数据交换和加密处理。针对校园内需要支付场所，用于连接消费读卡器与财务数据库。其网络建设包括需要使用校园卡进行支付的场所，其管理中心设置在行政楼财务总部，使用单独的服务器进行物理隔离，内设一台三层路由交换机，或者使用一台三层路由交换机加一台二层交换机作为整个专网的中心设备。其余校园消费场所内各配备一台二层交换机，分别通过光纤连接至财务专网中心交换机。

软件部分采用交互层、数据层、通信层以及服务层这四个层次的结构。数据层包含校园身份识别系统中的多个数据库，是系统中存储数据的中心层，它的主要任务是经过接口来实现对数据的访问和查询；服务层，对系统进行功能性的扩展。还支持服务交易的查询、身份查询、识别等功能的实现；通信层，包括许多通信过程所必需的中间件，它能够为各模块的应用层连接到后台的服务进行通信操作提供必要的条件；交互层，含有多个功能性模块、用户的操作页面等，允许学生用户与整个系统之间的交互操作。

智能卡与读卡器之间按照预先定义的通信协议进行匹配，当在读卡器的识别区域内有符合条件的卡出现时，读卡器会根据预置参数与其进行通讯，重置卡上电平，向工作区域内的内所有识别卡发射请求命令。

如果有多张符合条件的卡同时出现在工作范围内，读卡器通过片选指令，向卡发射出存储操作。被闭合电路抽取到的校园卡此时返回响应代码，表示此时该卡己经被选定，可以通过请求命令相互进行通信；其余没有被选定的卡继续处于待选状态，直到接收到下一周期读卡器发送出请求命令为止。

智能卡被选择后，需要执行三次对应密钥验证，验证通过之后才允许对存储器进行数据进行读取、写入、加减值恢复等操作。整个读卡器分为三大部分：

第一部分，主控处理器模块，完成数据的处理以及与上位机的连接，并且提供对射频读写芯片的控制。对射频读写部分的独立电源进行开关控制，还可以通过处理器模块来对读写器上的芯片进行上电复位等操作。通过控制接口，凭借数据总线、地址总线以及控制总线与射频读写芯片相连，主控处理器对射频识别芯片的各个引脚进行控制。

第二部分，射频读写芯片，起到控制信息和发布给接收单片机的主要作用，并完成与智能卡操作和通信。其主要作用对处理器发出的控制信息进行接收，并完成与智能卡之间的通信操作。

第三部分，天线部分，由天线线圈及其匹配电路所构成。天线线圈用于建立与智能卡的通信；匹配电路与高频滤波电路相连，再与读写芯片相关引脚相连，从而操控天线部分的其正常工作。

除学生身份标识功能以外，本发明的校园身份识别系统对于接入的终端设备，均进行嵌入加密功能的智能卡安全模块，以基于设备属性特征提供接入验证和数据密码加密文会话的安全方案。即将终端设备与智能卡绑定，一台终端设备对应一张智能卡，卡中存储终端设备的标识符信息、认证密钥、连接信息等。在终端设备接入校园内部网环境时，由智能卡提供基于设备属性特征的标识、经散列摘要计算和法加密，与校园内部网认证服务器进行接入和定期检测验证，对于采集的原始数据则以密文形式传输，密文会话密钥定期进行更新。

智能卡在ROM以掩膜方式写入智能卡操作系统，EEPROM中存放的终端设备的标识符、数据加解密的公私密钥、以及数字签名密钥等，智能卡具有密钥算法协处理器，支持多种密钥算法。

终端设备标识符可以表示为TID，保存在智能卡、身份识别系统、以及认证服务器中。当一个终端设备要接入校园内部网时，首先要在校园内部网认证服务器上进行注册授权，即为每个接入的终端设备嵌入分配一个智能卡。智能卡的标识符记为芯片序列号SIN，将TID与SIN二者进行连接，生成终端设备接入标识符TAID。

在接入验证时，在终端设备智能卡、身份识别系统、校园内部网认证服务器间传递消息的建立安全会话，包括。

(1)终端设备插入智能卡，并开机，向校园身份识别系统发送TID。

(2)校园身份识别系统进行所述TID查询，如果找到则响应请求，否则拒绝请求。

(3)终端设备处理返回结果，调用智能卡中存储的SIN，计算设备接入标识符TAID，与生成的随机数k作为椭圆曲线认证参数，以密文形式一起发送至校园身份识别系统，并转发至校园内部网认证服务器请求认证。

(4)校园内部网认证服务器通过验证后，计算临时密钥Key＝H(k)，并返回验证结果和Key，然后记录验证信息，密文保存随机数k；H表示散列运算。

(5)身份识别系统处理验证返回结果和保存临时密钥Key，随后连同接入结果一同返回给终端设备。

(6)智能卡处理验证结果，保存临时密钥Key。

(7)以Key进行AES原始数据和控制数据的加解密会话。

(8)终端设备与校园身份识别系统响应服务终止或者关机操作，通知校园内部网认证服务器退网，双方清除k和Key等记录信息，释放会话资源中断通信。

在曲线参数确定后，用随机数发生器产生随机整数d∈[1，n-1]，n为大奇素数，通过基点G，计算椭圆曲线上的点Q＝(X_G，Y_G)＝d_G，设智能卡私钥d_A＝d，公钥Q_A＝Q，用同样的方法生成校园内部网认证服务的公私密钥对d_B和Q_B。校园内部网分别给设备智能卡写入TID、云认证服务平台的公钥Q_B、私钥d_A等，在认证服务器中存放智能卡公钥Q_A、自身私钥d_B、终端设备接入标识符TAID，对终端设备进行注册和授权绑定，并以对方公钥加密，自身私钥解密的密文形式进行识别验证，其过程如下详述。

智能卡向校园内部网认证服务器发送验证参数如下。

(1)读取SIN，计算TAID＝H(TID||SIN)；

(2)用随机数发生器产生随机数k[1，n-1]，并保留k；

(3)计算C₁＝kG；

(4)计算C₂＝TAID+kQ_B；

(5)发送密文点对C：{C₁,C₂}；

校园内部网认证服务器使用自己的私钥d_B解密认证参数：

(1)计算C’＝TAID+kQ_B-d_B(kG)；

(2)将Q_B＝d_BG代入；

(3)得参数C’＝TD_A_ID；

(4)将认证服务中注册记录的接入标识符与此解密的认证参数C比较，如果相同则嵌有智能卡的终端设备合法，记录验证信息，密文保存随机数k，否则拒绝接入。

在终端设备通过验证接入校园内部网身份识别系统后，所有的采集原始数据和控制数据为密文传输，使用智能卡支持的对称算法，加解密密钥为校园内部网认证服务器返回的临时密钥Key＝H(k)，其密文会话主体主要为终端设备智能卡与身份识别系统。

密文会话以64位对原始明文数据进行分组加密，密钥Key表示为64位，每个8位的最后一位作为奇偶校验位，先对64位明文进行初始变换，将明文分为左右两部分，各32位，然后进行16轮相同的函数运算，在每一轮的函数运算中由一个子密钥参与异或运算，而每个子密钥都由初始密钥Key按照固定的关系移位进行压缩置换生成，经过16轮运算后，得出数据的左、右部分结合在一起，再通过一个逆初始变换得到密文。

设定校园内部网终端设备与身份识别系统中的密文数据为M，则智能卡向身份识别系统发送产生的密文数据：为利用Key对M加密的密文；校园内部网身份识别系统解密的明文数据为利用Key从上述密文解密得到的M；

会话密钥Key跟随身份识别系统验证机制进行接入更换，并由智能卡与校园内部网身份识别系统双方进行同步保护，保证数据流的安全传输。

综上所述，本发明提出了一种用于校园ID卡的数据处理方法，在卡片功能性和安全性上有很大提升，提高了教育部门的工作效率和信息化水平。

显然，本领域的技术人员应该理解，上述的本发明的各单元或各步骤可以用通用的计算系统来实现，它们可以集中在单个的计算系统上，或者分布在多个计算系统所组成的网络上，可选地，它们可以用计算系统可执行的程序代码来实现，从而，可以将它们存储在存储系统中由计算系统来执行。这样，本发明不限制于任何特定的硬件和软件结合。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (2)

1.一种用于校园ID卡的数据处理方法，其特征在于，包括：

将终端设备与智能卡绑定；

在智能卡中存储所述终端设备的标识符、认证密钥和连接信息；

在终端设备接入校园网之前，利用所述标识符、认证密钥和连接信息与校园内部网认证服务器进行接入和验证。

2.根据权利要求1所述的方法，其特征在于，所述将终端设备与智能卡绑定，进一步包括：

为每个接入的终端设备嵌入分配一个智能卡，当终端设备要接入校园内部网时，首先要在校园内部网认证服务器上进行注册授权，获取终端设备标识符TID，以及所分配的智能卡的标识符SIN，将TID与SIN二者进行连接，生成终端设备接入标识符TAID；

所述接入和验证步骤进一步包括：

(1)终端设备插入智能卡，向校园身份识别系统发送终端设备标识符TID；

(2)校园身份识别系统进行所述TID查询，如果找到则响应请求，否则拒绝请求；

(3)终端设备处理返回结果，调用智能卡中存储的SIN，计算设备接入标识符TAID，与生成的随机数k作为椭圆曲线认证参数，以密文形式一起发送至校园身份识别系统，并转发至校园内部网认证服务器请求认证；

(4)校园内部网认证服务器通过验证后，计算临时密钥Key＝H(k)，并返回验证结果和Key，然后记录验证信息，密文保存随机数k；H表示散列运算；

(5)身份识别系统处理验证返回结果和保存临时密钥Key，随后连同接入结果一同返回给终端设备；

(6)智能卡处理验证结果，保存临时密钥Key；

(7)以Key进行AES原始数据和控制数据的加解密会话；

(8)终端设备与校园身份识别系统响应服务终止或者关机操作，通知校园内部网认证服务器退网，双方清除k和Key的记录信息，释放会话资源中断通信。