技术领域本发明涉及智能卡,特别涉及一种校园智能卡信息处理方法。
背景技术:
智能卡技术极大地提高了人们的工作效率,更方便了人们的生活。在教育系统中,所有的职工和学生用智能卡在学校活动、消费、注册,还可以通过学校的终端来进行银行卡到智能卡的转账,大大方便了教职工及学生的生活和学习,同时也提高了学校各个部门的工作效率和信息化水平。然而存在于校园内部网传感层中种类繁多的传感设备接入,缺乏针对设备接入认证和原始数据保护的安全机制,导致网络中的病毒、木马恶意入侵攻击行为层出不穷,严重影响了校园内部网服务的应用与发展。此外,现有方案中终端身份识别系统并不参与认证;被接受的设备必须与Web站点或应用进行认证,效率较低;不能保证设备的持久可信性。
技术实现要素:
为解决上述现有技术所存在的问题,本发明提出了一种校园智能卡信息处理方法,包括:将智能卡作为表明在校用户身份的载体,在校园身份识别系统设置互联网、校园内部网及专用网,使用所述互联网建立用户和系统之间的交互平台,在互联网接入端口添加VPN设备在外网与内网之间建立安全的信息交换机制;所有的读卡器通过校园内部网与身份识别系统相连,利用交换机、路由器和防火墙设备进行数据交换和加密处理;专用网针对校园内需要支付的场所,连接消费读卡器与财务数据库,其管理中心使用单独的服务器和交换机进行物理隔离。优选地,所述智能卡与读卡器之间按照预先定义的通信协议进行匹配,当在读卡器的识别区域内有符合条件的卡出现时,读卡器根据预置参数与其进行通讯,重置卡上电平,向工作区域内的内所有识别卡发射请求命令;如果有多张符合条件的卡同时出现在工作范围内,读卡器通过片选指令,向卡发射出存储操作,被闭合电路抽取到的校园卡此时返回响应代码,表示此时当前卡己经被选定,通过请求命令相互进行通信;其余没有被选定的卡继续处于待选状态,直到接收到下一周期读卡器发送出请求命令为止;智能卡被选择后,执行三次对应密钥验证,验证通过之后才允许对存储器进行数据进行读取、写入、加减值恢复操作;所述读卡器分为以下三部分:第一部分是主控处理器模块,用于完成数据的处理以及与上位机的连接,并且提供对射频读写芯片的控制,对射频读写部分的独立电源进行开关控制,还通过处理器模块来对读写器上的芯片进行上电复位等操作;通过控制接口,凭借数据总线、地址总线以及控制总线与射频读写芯片相连,主控处理器对射频识别芯片的各个引脚进行控制;第二部分是射频读写芯片,用于控制信息和发布至接收单片机,并完成与智能卡操作和通信,对处理器发出的控制信息进行接收,并完成与智能卡之间的通信操作;第三部分是天线部分,由天线线圈及其匹配电路所构成,天线线圈用于建立与智能卡的通信;匹配电路与高频滤波电路相连,再与读写芯片相关引脚相连,从而操控天线部分的正常工作。本发明相比现有技术,具有以下优点:本发明提出了一种校园智能卡信息处理方法,在卡片功能性和安全性上有很大提升,提高了教育部门的工作效率和信息化水平。附图说明图1是根据本发明实施例的校园智能卡信息处理方法的流程图。具体实施方式下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖多个替代、修改和等同物。在下文描述中阐述多个具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。本发明的一方面提供了一种校园智能卡信息处理方法。图1是根据本发明实施例的校园智能卡信息处理方法流程图。校园卡结合了传统校园内的门禁卡、餐卡、图书证、准考证以及学生证,是学生表明身份信息的载体。整个校园身份识别系统中由三种网络进行连接,即互联网、校园内部网及专用网,互联网用于建立用户和系统之间的交互平台,师生可以通过互联网登陆系统来使用相关服务。在互联网接入端口添加VPN等设备,这样使得外网与内网之间建立安全的信息交换机制。校园内部网为在校师生提供科研、教学以及综合信息服务的宽带媒体网络。所有的读卡器通过校园内部网与身份识别系统相连,采用TCP/IP的通讯模式,利用交换机、路由器和防火墙等设备进行数据交换和加密处理。针对校园内需要支付场所,用于连接消费读卡器与财务数据库。其网络建设包括需要使用校园卡进行支付的场所,其管理中心设置在行政楼财务总部,使用单独的服务器进行物理隔离,内设一台三层路由交换机,或者使用一台三层路由交换机加一台二层交换机作为整个专网的中心设备。其余校园消费场所内各配备一台二层交换机,分别通过光纤连接至财务专网中心交换机。软件部分采用交互层、数据层、通信层以及服务层这四个层次的结构。数据层包含校园身份识别系统中的多个数据库,是系统中存储数据的中心层,它的主要任务是经过接口来实现对数据的访问和查询;服务层,对系统进行功能性的扩展。还支持服务交易的查询、身份查询、识别等功能的实现;通信层,包括许多通信过程所必需的中间件,它能够为各模块的应用层连接到后台的服务进行通信操作提供必要的条件;交互层,含有多个功能性模块、用户的操作页面等,允许学生用户与整个系统之间的交互操作。智能卡与读卡器之间按照预先定义的通信协议进行匹配,当在读卡器的识别区域内有符合条件的卡出现时,读卡器会根据预置参数与其进行通讯,重置卡上电平,向工作区域内的内所有识别卡发射请求命令。如果有多张符合条件的卡同时出现在工作范围内,读卡器通过片选指令,向卡发射出存储操作。被闭合电路抽取到的校园卡此时返回响应代码,表示此时该卡己经被选定,可以通过请求命令相互进行通信;其余没有被选定的卡继续处于待选状态,直到接收到下一周期读卡器发送出请求命令为止。智能卡被选择后,需要执行三次对应密钥验证,验证通过之后才允许对存储器进行数据进行读取、写入、加减值恢复等操作。整个读卡器分为三大部分:第一部分,主控处理器模块,完成数据的处理以及与上位机的连接,并且提供对射频读写芯片的控制。对射频读写部分的独立电源进行开关控制,还可以通过处理器模块来对读写器上的芯片进行上电复位等操作。通过控制接口,凭借数据总线、地址总线以及控制总线与射频读写芯片相连,主控处理器对射频识别芯片的各个引脚进行控制。第二部分,射频读写芯片,起到控制信息和发布给接收单片机的主要作用,并完成与智能卡操作和通信。其主要作用对处理器发出的控制信息进行接收,并完成与智能卡之间的通信操作。第三部分,天线部分,由天线线圈及其匹配电路所构成。天线线圈用于建立与智能卡的通信;匹配电路与高频滤波电路相连,再与读写芯片相关引脚相连,从而操控天线部分的其正常工作。除学生身份标识功能以外,本发明的校园身份识别系统对于接入的终端设备,均进行嵌入加密功能的智能卡安全模块,以基于设备属性特征提供接入验证和数据密码加密文会话的安全方案。即将终端设备与智能卡绑定,一台终端设备对应一张智能卡,卡中存储终端设备的标识符信息、认证密钥、连接信息等。在终端设备接入校园内部网环境时,由智能卡提供基于设备属性特征的标识、经散列摘要计算和法加密,与校园内部网认证服务器进行接入和定期检测验证,对于采集的原始数据则以密文形式传输,密文会话密钥定期进行更新。智能卡在ROM以掩膜方式写入智能卡操作系统,EEPROM中存放的终端设备的标识符、数据加解密的公私密钥、以及数字签名密钥等,智能卡具有密钥算法协处理器,支持多种密钥算法。终端设备标识符可以表示为TID,保存在智能卡、身份识别系统、以及认证服务器中。当一个终端设备要接入校园内部网时,首先要在校园内部网认证服务器上进行注册授权,即为每个接入的终端设备嵌入分配一个智能卡。智能卡的标识符记为芯片序列号SIN,将TID与SIN二者进行连接,生成终端设备接入标识符TAID。在接入验证时,在终端设备智能卡、身份识别系统、校园内部网认证服务器间传递消息的建立安全会话,包括。(1)终端设备插入智能卡,并开机,向校园身份识别系统发送TID。(2)校园身份识别系统进行所述TID查询,如果找到则响应请求,否则拒绝请求。(3)终端设备处理返回结果,调用智能卡中存储的SIN,计算设备接入标识符TAID,与生成的随机数k作为椭圆曲线认证参数,以密文形式一起发送至校园身份识别系统,并转发至校园内部网认证服务器请求认证。(4)校园内部网认证服务器通过验证后,计算临时密钥Key=H(k),并返回验证结果和Key,然后记录验证信息,密文保存随机数k;H表示散列运算。(5)身份识别系统处理验证返回结果和保存临时密钥Key,随后连同接入结果一同返回给终端设备。(6)智能卡处理验证结果,保存临时密钥Key。(7)以Key进行AES原始数据和控制数据的加解密会话。(8)终端设备与校园身份识别系统响应服务终止或者关机操作,通知校园内部网认证服务器退网,双方清除k和Key等记录信息,释放会话资源中断通信。在曲线参数确定后,用随机数发生器产生随机整数d∈[1,n-1],n为大奇素数,通过基点G,计算椭圆曲线上的点Q=(XG,YG)=dG,设智能卡私钥dA=d,公钥QA=Q,用同样的方法生成校园内部网认证服务的公私密钥对dB和QB。校园内部网分别给设备智能卡写入TID、云认证服务平台的公钥QB、私钥dA等,在认证服务器中存放智能卡公钥QA、自身私钥dB、终端设备接入标识符TAID,对终端设备进行注册和授权绑定,并以对方公钥加密,自身私钥解密的密文形式进行识别验证,其过程如下详述。智能卡向校园内部网认证服务器发送验证参数如下。(1)读取SIN,计算TAID=H(TID||SIN);(2)用随机数发生器产生随机数k[1,n-1],并保留k;(3)计算C1=kG;(4)计算C2=TAID+kQB;(5)发送密文点对C:{C1,C2