一种低成本的校园一卡通的信息传送方法与流程

1.本发明属于数据处理方法技术领域，特别涉及一种低成本的校园一卡通的信息传送方法。


背景技术：

2.随着校园数字化建设的深入，校园内的各种信息资源整合到校园一卡通，以实现统一身份认证、人事、学工等信息管理。
3.专利号为202010071648.3的中国发明专利，公开了一种基于校园卡的签到系统及方法，其对学生签到信息加上的时间戳，提高了学生签到信息的可信性；通过时间戳以及预设上课时间判断学生是否迟到。然而，其提供的方案，仅支持单方验证，即通过读卡器模块读取校园卡信息，并以读卡器所读取的信息作为判断教师或者学生登录真实性的依据。然而，当读卡器服务器遭受到攻击或者窜改，其单方提供的信息便失去了可靠性。例如，当学生使用校园卡考试签到后，而读卡器服务器反馈的签到信息却没有该学生的签到记录，便会产生纠纷。因此，有必要在校园卡上设计一种双向认证的信息传送方法，用以实现登录信息双向认证以及双方身份信息的不可否认性。
4.要实现登录信息双向认证以及双方身份信息的不可否认性，传统的方案，都是采用了数字签名的方式，如专利号为201310187012.5、专利名称为《一种非对称数字签名技术的超轻量认证方法》的技术方案，其依靠公钥加密技术和非对称密钥加解密技术。
5.而采用数字签名的校园卡，成本较高，认证计算量大，认证耗时长，并不适用于校园卡的推广和应用。


技术实现要素：

6.鉴于上述现有技术的不足之处，本发明的目的在于提供一种低成本的校园一卡通的信息传送方法。
7.为了达到上述目的，本发明采取了以下的技术方案。
8.一种低成本的校园一卡通的信息传送方法，包括以下步骤：
9.步骤s1，注册阶段：用户在服务器上注册包括用户身份识别码ida、用户密码pwa和第一随机数r1的用户信息；服务器验证用户信息未重复后，发放给用户一张内置有第一验证值n和第一随机数r1的校园卡；
10.用户在后台中心上注册包括用户身份识别码ida、用户密码pwa和第二随机数r2的用户信息；后台中心验证用户信息未重复后，将第二验证值k、第二随机数r2和第三随机数r3存储于校园卡；
11.步骤s2，登录阶段：校园卡通过读卡机发送包含第一认证码c1、插卡时间戳tb和用户身份识别码ida的登录信息给后台中心；
12.后台中心，验证延迟时间低于延迟时间阈值后，检查第一认证码c1和第一认证码副值c1’
是否相等，如果不相等，则后台中心拒绝该用户的登录请求，否则表示用户为合法
用户，允许该用户的登录请求并取得当前的时间戳作为登录时间戳tr，并发送包含第二认证码c2、第五认证码c5、登录时间戳tr、第五认证次码的认证信息给校园卡；
13.步骤s3，认证阶段：校园卡，验证延迟时间低于延迟时间阈值后，计算并验证第二认证码c2和第二认证码副值c2’
是否相等，如果不相等，校园卡，拒绝认证信息并终止程序，否则，表示后台中心为合法的后台中心；校园卡发送包含第三认证码c3、第五认证码c5、认证时间戳ta、登录时间戳tr、登录成功凭证sk和用户身份识别码ida的登录信息给服务器；
14.服务器，验证延迟时间低于延迟时间阈值后，计算并验证第三认证码副值c3’
和第三认证码c3是否相等，以及计算并验证第五认证码副值c5’
和第五认证码c5是否相等，如果均相等，则表示登录信息是有效的且未被窜改，同时登录成功凭证sk是经过后台中心认证且有效的；服务器，发送包含验证时间戳ts、第四认证码c4、接受登录凭证的认证信息给校园卡；校园卡，验证延迟时间低于延迟时间阈值后，计算并验证第四认证码副值c4’
和第四认证码c4是否相等，以及计算并验证第五认证次码副值和第五认证次码是否相等，如果均相等，则表示服务器的认证信息是有效的且未被窜改,同时接受登录凭证是经过后台中心认证过且有效的；校园卡，存储登录时间戳tr、接受登录凭证和插卡时间戳tb。
15.进一步，步骤s1中，第一验证值其中，h()为单向哈希函数，为异或运算符号，vs为用户和服务器共享密钥且x为服务器私钥；
16.第二验证值其中，vr为用户和后台中心共享密钥且为用户和后台中心共享密钥且y为后台中心私钥。
17.进一步，步骤s2中，第一认证码c1＝h(tb||vr)，其中，||为连接运算符，vr为用户和后台中心共享密钥且
18.后台中心，取得当前的时间戳作为第一时间戳t1，然后验证0＜(t1—tb)＜
△
t是否成立，其中，
△
t为延迟时间阈值：如果不成立，则后台中心拒绝该用户的登录请求；否则，后台中心，在后台中心数据库中查找到与用户身份识别码ida配对的第二随机数r2，然后计算用户和后台中心共享密钥和第一认证码副值c1’
＝h(tb||vr)；
19.后台中心计算登录成功凭证sk＝h(vr||tb||tr)，然后根据服务器和后台中心建立的共享密钥ss
r,s
，计算第五认证码c5＝h(ss
r,s
||sk||tr)和接受登录凭证接着计算第五认证次码接着计算第五认证次码最后计算第二认证码进一步，步骤s3中，校园卡，收到后台中心的认证信息后，取得当前的时间戳作为第二时间戳t2，然后验证0＜(t2—tr)＜
△
t是否成立，其中，
△
t为延迟时间阈值：如果不成立，则校园卡拒绝认证信息并终止程序；否则，校园卡，计算登录成功凭证sk＝h(vr||tb||tr)和第二认证码副值)和第二认证码副值
20.校园卡，在验证第二认证码c2和第二认证码副值c2’
相等后，校园卡计算用户和服
务器共享密钥并取得当前的时间戳作为认证时间戳ta，计算第三认证码c3＝h(sk||ta||tr||tb||vs||c5)。
21.进一步，步骤s3中，服务器，收到校园卡的登录信息后，取得当前的时间戳作为第三时间戳t3，然后验证0＜(t3—ta)＜
△
t和0＜(ta—tr)＜
△
t是否成立，其中，
△
t为延迟时间阈值：如果不成立，则服务器拒绝登录信息并终止程序；否则，服务器，在服务器数据库中查找到与用户身份识别码ida配对的第一随机数r1，接着，服务器计算用户和服务器共享密钥副值和第三认证码副值c3’
＝h(sk||ta||tr||tb||v
s’||c5)。进一步，步骤s3中，验证第三认证码副值c3’
和第三认证码c3相等后，服务器取得当前的时间戳作为验证时间戳ts，并根据服务器和后台中心建立共享密钥ss
r,s
计算第五认证码副值c5’
＝h(ss
r,s
||sk||tr)；
22.验证第五认证码副值c5’
和第五认证码c5相等后，服务器存储登录时间戳tr、登录成功凭证sk、用户身份识别码ida和插卡时间戳tb，作为不可否认的凭证，然后计算接受登录凭证和第四认证码
23.进一步，步骤s3中，校园卡，收到服务器的认证信息后，取得当前的时间戳作为第四时间戳t4，验证0＜(t4—ts)＜
△
t否成立，其中，
△
t为延迟时间阈值：如果不成立，则校园卡终止程序，否则，校园卡，计算第四认证码副值验证第四认证码副值c4’
和第四认证码c4相等后，计算第五认证次码副值一种低成本的校园一卡通的信息传送方法，还包括步骤s4，验证校园卡是否曾经登入过服务器：
24.服务器，获取在认证阶段的由登录时间戳tr、登录成功凭证sk、用户身份识别码ida和插卡时间戳tb组成的不可否认的凭证，并将其发送给后台中心；后台中心，从后台中心数据库中找出与用户身份识别码ida配对的第二随机数r2，根据用户和后台中心共享密钥vr、插卡时间戳tb和登录时间戳tr计算登录成功凭证副值sk’＝h(vr||tb||tr)，验证登录成功凭证sk和登录成功凭证副值sk’是否相等：如果相等，则表示服务器获取的登录成功凭证sk是有效的，从而验证校园卡曾经在时间tb和tr时登入过服务器，否则，否认校园卡曾经在时间tb和tr时登入过服务器。
25.一种低成本的校园一卡通的信息传送方法，还包括步骤s5，验证服务器是否曾经与校园卡通讯：
26.校园卡，获取在认证阶段的由登录时间戳tr、接受登录凭证和插卡时间戳tb组成的不可否认的凭证，并将其和用户身份识别码ida发送给后台中心；后台中心，重新计算接受登录凭证副值验证接受登录凭证和接受登录凭证副值是否相等：如果相等，则表示服务器获取的接受登录凭证是有效的，从而验证服务器曾经在时间为tb和tr时接受校园卡的登录，否则，否认服务器曾经在时间为tb和tr时接受校园卡的登录。
27.本发明，具有以下优点：
28.1.本方案，避免使用高成本的数字签名，避免做指数运算，从而降低了硬件成本，
减少了计算时间。本方案适用于售价便宜且计算能力较差的校园卡，例如，适用于成本低的非接触式逻辑加密卡，从而有利于校园卡的推广。
29.2.本方案，避免了窜改攻击：通过单向哈希函数h()计算认证码，验证接收方计算的认证码与通过网络接收的认证码是否相等，由于单向哈希函数h()在输入不同而输出相同的概率是非常低的，所以，当验证结果为相等时，就认为单向哈希函数h()的输入的相同的，从而证明收到的信息内容中途没有被窜改。
30.3.本方案，避免了重送攻击：在发送的信息上附上了时间戳，时间戳受到认证码的保护而无法被窜改，当接收方受到信息后验证收到的信息的时间与送出的时间的时间差是否符合合理的时间延迟，符合则表示该信息非重送，否则终止动作。
31.4.本方案，实现登录信息双向认证以及双方身份信息的不可否认性：能够单独计算第五认证码c5和第五认证次码的只有后台中心，对于服务器，只要有正确的登录成功凭证sk就可以计算出正确的第五认证码c5，对于校园卡，只要有正确的接受登录凭证就可以计算出正确的第五认证次码因此，后台中心可以利用第五认证码c5和第五认证次码分别给服务器和校园卡验证登录成功凭证sk和接受登录凭证是否有效。
附图说明
32.图1是步骤s1的流程图；
33.图2是步骤s2的流程图；
34.图3是步骤s3的流程图；
35.图4是步骤s4和步骤s4的流程图。
具体实施方式
36.下面结合附图，对本发明作进一步详细说明。
37.本方案，包括校园卡、服务器、后台中心。
38.所述校园卡a，具有存储信息、读取信息、逻辑运算和修改信息的功能。
39.服务器s，内设有私钥x和服务器数据库，可以是门禁服务器、签名服务器或图书馆借书服务器等。
40.后台中心r，有且只有一个，所有服务器均与后台中心网络连接，其内设有后台中心私钥y和后台中心数据库。
41.一种低成本的校园一卡通的信息传送方法，包括以下步骤：
42.步骤s1，注册阶段。图1是步骤s1的流程图；如图1所示。
43.服务器和后台中心建立共享密钥ss
r,s
；
44.用户在服务器上注册用户信息并获取校园卡：用户可以为学生或者教师。用户选择用户身份识别码ida(可以为学号)和用户密码pwa，并选择一个第一随机数r1，然后将由用户身份识别码ida、用户密码pwa和第一随机数r1组成的第一用户信息传送给服务器并发送注册请求。
45.服务器，内设有服务器私钥x，当接收到第一用户信息和注册请求后，先检查用户
身份识别码ida和第一随机数r1是否已经存在于服务器数据库：如果已经存在，则反馈消息给用户要求更换用户身份识别码ida或第一随机数r1；否则，将用户身份识别码ida和第一随机数r1配对后存储于服务器数据库，并计算用户和服务器共享密钥和第一验证值验证值其中，h()为单向哈希函数，为异或运算符号；然后，发放给用户一张内置有第一验证值n和第一随机数r1的校园卡。
46.用户，取得校园卡后向后台中心注册：用户选择一个第二随机数r2，然后将由用户身份识别码ida、用户密码pwa和第二随机数r2组成的第二用户信息传送给后台中心并发送注册请求。
47.后台中心，内设有后台中心私钥y，当接收到第二用户信息和注册请求后，先检查用户身份识别码ida和第二随机数r2是否已经存在于后台中心数据库：如果已经存在，则反馈消息给用户要求更换用户身份识别码ida或第二随机数r2；否则，将用户身份识别码ida和第二随机数r2配对后存储于后台中心数据库，并计算用户和后台中心共享密钥选择一个第三随机数r3，计算第二验证值然后将第二验证值k、第二随机数r2和第三随机数r3存储于校园卡。
48.步骤s2，登录阶段。图2是步骤s2的流程图；如图2所示。
49.用户将校园卡插入读卡机，输入用户身份识别码ida和用户密码pwa，校园卡计算用户和后台中心共享密钥并取得当前的时间戳作为插卡时间戳tb，计算第一认证码c1＝h(tb||vr)，其中，||为连接运算符，然后，校园卡发送包含第一认证码c1、插卡时间戳tb和用户身份识别码ida的登录信息给后台中心。
50.后台中心，收到校园卡的登录信息后，取得当前的时间戳作为第一时间戳t1，然后验证0＜(t1—tb)＜
△
t是否成立，其中，
△
t为延迟时间阈值：如果不成立，则后台中心拒绝该用户的登录请求；否则，后台中心，在后台中心数据库中查找到与用户身份识别码ida配对的第二随机数r2，然后计算用户和后台中心共享密钥和第一认证码副值c1’
＝h(tb||vr)，检查第一认证码c1和第一认证码副值c1’
是否相等，如果不相等，则后台中心拒绝该用户的登录请求，否则表示用户为合法用户，后台中心，允许该用户的登录请求并取得当前的时间戳作为登录时间戳tr，计算登录成功凭证sk＝h(vr||tb||tr)，然后根据服务器和后台中心建立的共享密钥ss
r,s
，计算第五认证码c5＝h(ss
r,s
||sk||tr)和接受登录凭证证接着计算第五认证次码最后计算第二认证码并发送包含第二认证码c2、第五认证码c5、登录时间戳tr、第五认证次码的认证信息给校园卡。
51.步骤s3，认证阶段。图3是步骤s3的流程图；如图3所示。
52.校园卡，收到后台中心的认证信息后，取得当前的时间戳作为第二时间戳t2，然后验证0＜(t2—tr)＜
△
t是否成立，其中，
△
t为延迟时间阈值：如果不成立，则校园卡拒绝认证信息并终止程序；否则，校园卡，计算登录成功凭证sk＝h(vr||tb||tr)和第二认证码副值)和第二认证码副值验证第二认证码c2和第二认证码副值c2’
是否相等，如果不相等，校园卡，拒绝认证信息并终止程序，否则，表示后台中心为合法的后台中心，校园
卡计算用户和服务器共享密钥并取得当前的时间戳作为认证时间戳ta，计算第三认证码c3＝h(sk||ta||tr||tb||vs||c5)，然后，校园卡发送包含第三认证码c3、第五认证码c5、认证时间戳ta、登录时间戳tr、登录成功凭证sk和用户身份识别码ida的登录信息给服务器。
53.服务器，收到校园卡的登录信息后，取得当前的时间戳作为第三时间戳t3，然后验证0＜(t3—ta)＜
△
t和0＜(ta—tr)＜
△
t是否成立，其中，
△
t为延迟时间阈值：如果不成立，则服务器拒绝登录信息并终止程序；否则，服务器，在服务器数据库中查找到与用户身份识别码ida配对的第一随机数r1，接着，服务器计算用户和服务器共享密钥副值和第三认证码副值c3’
＝h(sk||ta||tr||tb||v
s’||c5)，然后验证第三认证码c3和第三认证码副值c3’
是否相等：如果不相等，服务器，拒绝登录信息并终止程序，否则，表示登录信息为有效的登录信息且未被窜改，服务器取得当前的时间戳作为验证时间戳ts，并根据服务器和后台中心建立共享密钥ss
r,s
计算第五认证码副值c5’
＝h(ss
r,s
||sk||tr)，验证第五认证码c5和第五认证码副值c5’
是否相等，如果不相等，则服务器停止运作，否则表示登录成功凭证sk是经过后台中心认证的有效的登录成功凭证sk，服务器存储登录时间戳tr、登录成功凭证sk、用户身份识别码ida和插卡时间戳tb，作为不可否认的凭证，然后计算接受登录凭证和第四认证码最后，发送包含验证时间戳ts、第四认证码c4、接受登录凭证的认证信息给校园卡。
54.校园卡，收到服务器的认证信息后，取得当前的时间戳作为第四时间戳t4，验证0＜(t4—ts)＜
△
t否成立，其中，
△
t为延迟时间阈值：如果不成立，则校园卡终止程序，否则，校园卡，计算第四认证码副值校园卡，计算第四认证码副值验证第四认证码c4和第四认证码副值c4’
是否相等：如果不相等，则校园卡终止程序，否则，表示服务器的认证信息是有效的服务器的认证信息且未被窜改，然后计算第五认证次码副值然后验证第五认证次码和第五认证次码副值是否相等，如果不相等，则校园卡终止程序，否则，表示接受登录凭证是经过后台中心认证过的有效的接受登录凭证校园卡，存储登录时间戳tr、接受登录凭证和插卡时间戳tb，作为不可否认的凭证。
55.步骤s4，验证校园卡是否曾经登入过服务器。图4是步骤s4和步骤s4的流程图；如图4所示。
56.服务器，获取在认证阶段的由登录时间戳tr、登录成功凭证sk、用户身份识别码ida和插卡时间戳tb组成的不可否认的凭证，并将其发送给后台中心；后台中心，从后台中心数据库中找出与用户身份识别码ida配对的第二随机数r2，根据用户和后台中心共享密钥vr、插卡时间戳tb和登录时间戳tr计算登录成功凭证副值sk’＝h(vr||tb||tr)，验证登录成功凭证sk和登录成功凭证副值sk’是否相等：如果相等，则表示服务器获取的登录成功凭证sk是有效的，从而验证校园卡曾经在时间tb和tr时登入过服务器，否则，否认校园卡曾经在时间tb和tr时登入过服务器。
57.第五认证码c5，是后台中心用来提供给服务器验证登录成功凭证sk是否有效的工具，假设，服务器b复制和盗用了校园卡传送给服务器a的登录成功凭证sk，当服务器验证自
己计算的第五认证码副值c5’
是否等同于校园卡传送过来的第五认证码c5时，就会发现两者不相等而无法通过验证。
58.步骤s5，验证服务器是否曾经与校园卡通讯。图4是步骤s4和步骤s4的流程图；如图4所示。
59.校园卡，获取在认证阶段的由登录时间戳tr、接受登录凭证和插卡时间戳tb组成的不可否认的凭证，并将其和用户身份识别码ida发送给后台中心；后台中心，重新计算接受登录凭证副值验证接受登录凭证和接受登录凭证副值是否相等：如果相等，则表示服务器获取的接受登录凭证是有效的，从而验证服务器曾经在时间为tb和tr时接受校园卡的登录，否则，否认服务器曾经在时间为tb和tr时接受校园卡的登录。
60.第五认证次码是后台中心提供给校园卡验证接受登录凭证的工具。假设，校园卡b复制并盗用了后台中心传送给校园卡a的接受登录凭证当校园卡b验证自己计算的第五认证次码副值和服务器传送过来的第五认证码c5是否相等时，就会发现两者不相等而无法通过验证。
61.本方案，通过单向哈希函数h()计算认证码，验证接收方计算的认证码与通过网络接收的认证码是否相等，由于单向哈希函数h()在输入不同而输出相同的概率是非常低的，所以，当验证结果为相等时，就认为单向哈希函数h()的输入的相同的，从而证明收到的信息内容中途没有被窜改。本方案，在发送的信息上附上了时间戳，用以避免信息遭受到重送攻击，时间戳受到认证码的保护而无法被窜改，当接收方受到信息后验证收到的信息的时间与送出的时间的时间差是否符合合理的时间延迟，符合则表示该信息非重送，否则终止动作。
62.本方案，使用了第五认证码c5和第五认证码副值c5’
，当验证第五认证码c5和第五认证码副值c5’
是否相等时，由于第五认证码c5＝h(ss
r,s
||sk||tr)，其计算使用了服务器和后台中心建立共享密钥ss
r,s
和登录成功凭证sk，所以，当第五认证码c5和第五认证码副值c5’
相等，则表示登录成功凭证sk是经过后台中心认证的有效的登录成功凭证sk。
63.本方案，使用了第五认证次码和第五认证次码副值当验证第五认证次码和第五认证次码副值是否相等时，如果相等，则表示接受登录凭证是经过后台中心认证过的有效的接受登录凭证在本方案中，能够单独计算第五认证码c5和第五认证次码的只有后台中心，对于服务器，只要有正确的登录成功凭证sk就可以计算出正确的第五认证码c5，对于校园卡，只要有正确的接受登录凭证就可以计算出正确的第五认证次码因此，后台中心可以利用第五认证码c5和第五认证次码分别给服务器和校园卡验证登录成功凭证sk和接受登录凭证是否有效。
64.表1为本方案的成本计算表。
[0065][0066]
本方案，使用单向哈希函数和异或运算，通过读卡器提供的电量就可以进行计算，其运算成本，如表1所示。而传统的数字签名，需要使用指数运算和对称式加解密运算，才能确认双方身份的不可否认性。本方案，避免使用高成本的数字签名，从而降低了硬件成本，同时，避免做指数运算，从而减少了计算时间。本方案适用于售价便宜且计算能力较差的校园卡。
[0067]
可以理解的是，对本领域普通技术人员来说，可以根据本发明的技术方案及其发明构思加以等同替换或改变，而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。