技术领域
[0001] 本
发明涉及CA认证,尤其涉及基于光通信的光子CA认证方法及认证系统。
背景技术
[0002] CA(Certificate Authority,证书授权机构)数字证书是由权威机构
授权中心发行的,可以用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。CA数字证书可以安全有效进行安全认证,但是也有弊端就是数字证书滥用或盗用。
[0003] 可见光通信技术是一种在LED技术上发展起来的新型无线光通信技术。通过LED
光源的高
频率闪烁来进行通信,可见光通信的传输速率最高达每秒千兆。可见光通信有着相当丰富的
频谱资源,这是包括
微波通信在内的一般无线通信无法比拟的。同时,可见光通信可以适用任何通信协议、适用于任何环境,并且可见光通信的设备架设灵活便捷、成本低廉,适合大规模普及应用。
发明内容
[0004] 以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览,并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。
[0005] 根据本发明的一方面,一种光子CA认证方法,包括:
[0006] 由光子CA认证终端接收来自光子终端的光
信号,该
光信号中包含用户ID;
[0007] 对该光信号中所包含的用户ID进行验证;以及
[0008] 响应于通过该用户ID验证,向客户端提供用户证书以执行CA证书认证。
[0009] 在一实例中,该方法还包括:由该光子终端对用户指纹进行指纹识别;以及响应于通过该指纹识别,发送包含该用户ID的该光信号。
[0010] 在一实例中,对该光信号中所包含的用户ID进行验证包括:将该光信号中所含的用户ID与本地存储的ID进行比对;若两者一致则通过该用户ID验证,否则用户ID验证失败。
[0011] 在一实例中,该方法还包括:响应于该用户ID验证失败,向客户端发送报错消息。
[0012] 在一实例中,该响应于通过该用户ID验证,向客户端提供用户证书以执行CA证书认证包括:响应于通过该用户ID验证,由该光子CA认证终端执行PIN码验证;以及响应于通过该PIN码验证,向该客户端提供该用户证书以执行CA证书认证。
[0013] 在一实例中,该光子CA认证终端包括CA认证模
块和光子处理模块,该执行认证PIN码验证包括:响应于通过该用户ID验证,由该光子处理模块向该CA认证模块传送PIN码,以及由该CA认证模块将收到的PIN码与本地存储的PIN码进行比对以执行PIN码验证,若两者一致则通过PIN码验证,否则PIN码验证失败。
[0014] 在一实例中,该光子处理模块发送的PIN码是采用第一密钥
算法经加密的PIN码,该CA认证模块本地存储的PIN码是采用第二密钥算法经加密的PIN码,其中由该CA认证模块将收到的PIN码与本地存储的PIN码进行比对包括:采用该第一密钥算法对收到的PIN码进行解密;采用该第二密钥算法对本地存储的PIN码进行解密;以及将解密后的两个PIN码进行比对以执行PIN码验证。
[0015] 在一实例中,该方法还包括:响应于PIN码验证失败,向该客户端发送报错消息。
[0016] 在一实例中,该方法还包括:由该客户端向证书认证网关提交该用户证书以执行该CA证书认证。
[0017] 在一实例中,该方法还包括:由该客户端将该用户证书连同用户输入的证书设备密码一起提交至该证书认证网关以执行该CA证书认证。
[0018] 根据本发明的另一方面,提供了一种光子CA认证系统,包括:
[0019] 光子CA认证终端,该光子CA认证终端包括:
[0020] 光子处理模块,用于接收来自光子终端的光信号并对该光信号中包含的用户ID进行验证,
[0021] 该光子CA认证终端响应于通过该用户ID验证,向客户端提供用户证书以执行CA证书认证。
[0022] 在一实例中,该系统还包括:光子终端,用于对用户指纹进行指纹识别,以及响应于通过该指纹识别,向该光子CA认证终端发送包含该用户ID的该光信号。
[0023] 在一实例中,该光子处理模块包括:存储单元,存储有用户ID;以及比较单元,用于将该光信号中所含的用户ID与该存储单元中本地存储的用户ID进行比对,若两者一致则通过该用户ID验证,否则用户ID验证失败。
[0024] 在一实例中,该光子CA认证终端响应于该用户ID验证失败,向该客户端发送报错消息。
[0025] 在一实例中,该光子CA认证终端还包括:CA认证模块,用于响应于通过该用户ID验证来执行PIN码验证,以及响应于通过该PIN码验证,向该客户端提供该用户证书以执行CA证书认证。
[0026] 在一实例中,该光子处理模块的存储单元还存储有PIN码,其中,该光子处理模块响应于通过该用户ID验证向该CA认证模块传送PIN码,以及该CA认证模块包括:存储单元,存储有PIN码;以及比较单元,用于将收到的PIN码与本地存储的PIN码进行比对以执行PIN码验证,若两者一致则通过PIN码验证,否则PIN码验证失败。
[0027] 在一实例中,该光子处理模块所发送的PIN码是采用第一密钥算法经加密的PIN码,该CA认证模块本地存储的PIN码是采用第二密钥算法经加密的PIN码,该CA认证模块还包括:密钥单元,用于采用该第一密钥算法对收到的PIN码进行解密,以及采用该第二密钥算法对本地存储的PIN码进行解密,其中,该比较单元将解密后的两个PIN码进行比对以执行PIN码验证。
[0028] 在一实例中,该光子CA认证终端响应于该PIN码验证失败,向该客户端发送报错消息。
[0029] 在一实例中,该系统还包括:该客户端,通过USB端口与该光子CA认证终端连接,该客户端用于向证书认证网关提交该用户证书以执行该CA证书认证。
[0030] 在一实例中,该客户端将该用户证书连同用户输入的证书设备密码一起提交至该证书认证网关以执行该CA证书认证。
附图说明
[0031] 在结合以下附图阅读本公开的
实施例的详细描述之后,能够更好地理解本发明的上述特征和优点。在附图中,各组件不一定是按比例绘制,并且具有类似的相关特性或特征的组件可能具有相同或相近的附图标记。
[0032] 图1示出了根据本发明一方面的光子认证系统的架构的
框图;
[0033] 图2示出了根据本发明一方面光子CA认证终端的框图;以及
[0034] 图3示出了根据本发明一方面光子CA认证方法的
流程图。
[0035] 符号说明:
[0036] 1000:光子CA认证系统
[0037] 100:光子CA认证终端
[0038] 110:CA认证模块 111:存储单元 112:密钥单元 113:比较单元[0039] 120:光子处理模块 121:存储单元 122:比较单元 123:光接收单元[0040] 200:光子终端
[0041] 300:客户端
[0042] 400:证书认证网关
[0044] 600:服务端
具体实施方式
[0045] 以下结合附图和具体实施例对本发明作详细描述。注意,以下结合附图和具体实施例描述的诸方面仅是示例性的,而不应被理解为对本发明的保护范围进行任何限制。
[0046] 图1是示出了根据本发明一方面的光子CA认证系统1000的架构的框图。如图1所示,光子CA认证终端100通过USB端口与客户端300连接。证书认证网关400部署在客户端300和服务端600之间,并采用
串联部署。客户端300与服务端600之间的所有信息交互都经过认证网关400。认证网关400负责完成对客户端300的完整证书认证过程以及数据的加密传输,客户端300只有通过认证网关的验证,
请求才能真正到达服务器。
[0047] 光子CA认证系统1000还可包括光子终端200,用户使用光子终端200向光子CA认证终端100先进行初步的光子验证,只有在经过该验证后才进行后续的CA认证。
[0048] 根据本发明的一方面,用户使用光子终端200向光子CA认证终端100发送包含用户ID的光信号,光子CA认证终端100的光子处理模块120接收该光信号,并执行光子验证。
[0049] 较优地,光子终端200包含有指纹识别模块,可对用户进行指纹识别。只有在用户通过指纹识别之后,光子终端200才会发送该光信号。光子终端200可以是例如光子一卡通的卡片形式。
[0050] 图2是示出了根据本发明的一方面的光子CA认证终端100的框图。
[0051] 如图2所示,光子CA认证终端100可包括两部分,即CA认证模块110和光子处理模块120,这两者可通过UART协议进行通信。光子处理模块120主要负责对用户的初步的光子验证。当上述两者通过UART协议时,光子CA认证终端100可以是封装成一体的设备,例如是带有光子接收功能的网
银U盾。
[0052] 在其他的可实施方式中CA认证模块110和光子处理模块120也可以为封装在不同设备中的一整套仪器,例如CA认证模块110可以为现有的具有CA认证功能的USB型
电子口令卡,光子处理模块120为仅用于接收光信号的光子接收端,上述两者分别通过USB端口连接在电脑上,形成一整套的仪器。
[0053] 光子处理模块120首先可包括光接收单元123,相应地,光子终端200可包括光发射单元(未示出),以使得两者可进行光通信。
[0054] 一般而言,光子终端200的光发射单元(例如,编码部分)可以采用任何编码方式来编码原始通信数据,例如用户ID。常见的编码可包括NRZ编码、NRZI编码、NRZI反转计数编码等等。NRZ编码是以高电平代表1,低电平代表0。NRZI编码是以信号的翻转即高低电平的跳变为代表一个逻辑例如1(0),而信号高低电平保持不变表示另一逻辑例如0(1)。RZ脉冲计数编码是将原始信息以n个比特为一组,相邻两组信号之间设有组间时间间隔,每组内以脉冲的个数表示该组信号中的n个比特的信息。根据RZ编码,用一个脉冲表示信息位00,用3个脉冲表示信息10。
[0055] NRZI反转计数编码也是将原始信息以n个比特为一组,相邻两组信号之间设有组间时间间隔。区别于RZ脉冲计数编码,NRZI是在每组内以高电平到低电平(或低电平到高电平)的反转次数分别表示该组信号中的n个比特的信息。
[0056] 光发射单元(例如,发光部分,诸如LED)可以例如通过以发光表示
高电平信号、而以不发光表示低电平来将接收到的经
编码信号以可见光的形式发送出去。
[0057] 光接收单元123可用于接收光子终端200发射的可见光信号、并将可见光信号转换为
数字信号。例如,对于
LED灯产生的高频率闪烁,有光可代表高电平,无光可代表低电平,或反之,从而可将接收的可见光信号转换为数字信号。光接收单元123(例如,光电转换部分)利用光电
二极管的
电信号与光信号的特性,通过光电转换将形成电脉冲信号。实践中由于光子终端200与光子CA认证终端100的相对
位置不一样,即每次光子终端200发射到光接收单元123的光信号强度是不一样的,所以其电信号强弱也是不一样的,所以需要对所形成的
电流进行整流比较。如当二极管通过的电流值高于某一定
门限值时,光电转换
电路将输出的
电压电平值调整为高电平;当通过
光电二极管的电流值低于某一门限值时,光电转换电路将输出的电压电平值调整为低电平。该门限值的设定是通过一个数学模型根据不同的环境来设定的,如距离较远时,门限值可能会降低;距离近时门限值可能会相对升高。通过以上过程,可以将电平调整到一定范围内,以此保证正确的脉冲形状,以尽可能保证
采样的准确性。
[0058] 光接收单元123(例如,解码部分)进一步将得到的数字信号解码,以恢复出原始通信数据,例如光子终端200所发送的用户ID。
[0059] 在用户通过光子终端200的指纹识别后,可向光子处理模块120发送包含用户ID的光信号,光接收单元123可接收该光信号,并对其进行处理,以获得用户ID。除上述处理之外,光接收单元123还可执行A/D转换、解密处理(在用户ID经过加密的情况下)。
[0060] 在获得来自光子终端200的用户ID之后,光子处理模块120可对该用户ID进行验证,若通过该验证,则光子CA认证终端100可例如通过USB口向客户端300提供用户证书,以执行CA证书认证。例如,CA认证模块110的存储单元111中存储有用户证书,至少需要通过该光子验证,CA认证模块110才会提供用户证书进行CA认证。
[0061] 光子处理模块120从功能上主要包括两个部分,即光接收部分,例如上述的光接收单元123,以及验证部分,例如下文详述的比较单元122。
[0062] 在本案中,光子CA认证终端100在最初会进行设备初始化,客户端300会将用户ID通过USB口下发到光子CA认证终端100,对于用户ID,光子处理模块120加密保存在存储单元121中,并且这个用户ID是与光子终端200中一样的数值。
[0063] 相应地,在执行光子验证时,比较单元122可将光接收单元123得到的用户ID与存储单元121中的用户ID进行比较,若两者一致,则验证通过,否则验证失败。在存储单元121中的用户ID是经加密的用户ID的情况下,光子处理模块120还需首先对其进行解密,在与光接收单元123获得的用户ID进行比较。
[0064] 如上所述,当光子验证通过时,CA认证模块110可向客户端300提交用户证书,而当光子验证失败时,光子CA认证终端100会通过USB端口向客户端300发送报错消息。
[0065] 在特定实施例中,当通过光子验证后,CA认证模块110还需进一步执行PIN码验证,只有当通过PIN码验证时,才会向客户端300提供用户证书进行CA认证,而当未通过PIN码验证时,光子CA认证终端100会向客户端300发送报错消息。
[0066] 在此实施例中,光子CA认证终端100在最初的设备初始化时,客户端300会将证书认证网关400分配的PIN码通过USB口下发到光子CA认证终端100,对于PIN码,CA认证模块110和光子处理模块120各保留一份,通过不同的AES密钥保存。
[0067] 例如,在CA认证模块110的存储单元111中的PIN码是以第一密钥算法,例如基于AES1加密的PIN码,而在光子处理模块120的存储单元121中的PIN码是以第二密钥算法,例如基于AES2加密的PIN码。
[0068] 在接收到光子处理模块120经由UART协议发送来的经加密的PIN码后,CA认证模块110的密钥单元112可采用第二密钥算法,例如基于AES2对收到的PIN码进行解密,而采用第二密钥算法,例如基于AES1对本地存储的PIN码进行解密,然后两者进行比较,若两者一致则通过PIN码验证,否则PIN码验证失败。
[0069] 当通过PIN码验证时,CA认证终端110可向客户端300发送用户证书,而当失败时,可向客户端发送报错消息。
[0070] 客户端300在接收到用户证书时,可向证书认证网关400提交用户证书,以执行CA证书认证。一般地,客户端300还需同时将用户输入的证书设备密码一起提交给证书认证网关400进行CA证书认证。
[0071] 在用户希望通过客户端进行服务请求时,如图1中所示,客户端300向应用服务端600发送连接请求,请求首先到达认证网关400,如标号1的箭头所示。证书认证网关400要求用户提交用户证书,如标号2的箭头所示。客户端300提示用户输入证书设备密码,向服务端提交用户证书,如标号3的箭头所示。认证网关400对获取的用户证书进行验证,包括证书自身有效性,信任证书链,黑名单验证或者OCSP验证,如标号4的箭头所示。验证通过后,认证网关400可将请求发送给真正服务器600,并将用户证书信息附加到请求中,如标号5的箭头所示。服务器600从请求中获取用户的身份,如标号6的箭头所示。
[0072] 图3是示出了根据本发明一方面光子CA认证方法300的流程图。如图3所示,方法300可包括如下步骤:
[0073] 步骤301:准备认证;
[0074] 此时,光子CA认证终端100与客户端300通过USB连接;
[0075] 步骤302:终端初始化;
[0076] 光子CA认证终端100可获取PIN码和用户ID;
[0077] 步骤303:指纹识别;
[0078] 用户若希望通过光子终端200发送光信号执行光子验证,则需要输入指纹信息以执行指纹识别;
[0079] 步骤304:若指纹识别通过,则流程行进至步骤305,否则行进至步骤306;
[0080] 步骤305:光子处理模块120对收到的光信号进行解析以获得用户ID;
[0081] 步骤306:向客户端300报错;
[0082] 步骤307:光子处理模块120将收到的用户ID与本地存储的用户ID进行比较,以执行光子验证,若验证通过则流程行进至步骤308,否则行进至步骤309;
[0083] 步骤308:光子处理模块120将PIN码发送至CA认证模块110;
[0084] 这里的PIN码可以是经由AES2加密的PIN码;
[0085] 步骤310:CA认证模块110对收到的PIN码进行解密;
[0086] 相应地,CA认证模块110可使用AES2对该PIN码进行解密;
[0087] 步骤311:CA认证模块110对本地存储的PIN码进行解密;
[0088] 这里CA认证模块110可使
用例如AES1对PIN码进行解密;
[0089] 步骤312:比较两者是否一致,若一致则流程行进至步骤313,否则行进至步骤314;
[0090] 步骤313:CA认证模块110向客户端300提交用户证书;
[0091] 步骤314:向客户端300报错。
[0092] 尽管为使解释简单化将上述方法图示并描述为一系列动作,但是应理解并领会,这些方法不受动作的次序所限,因为根据一个或多个实施例,一些动作可按不同次序发生和/或与来自本文中图示和描述或本文中未图示和描述但本领域技术人员可以理解的其他动作并发地发生。
[0093] 在本发明中,首先进行指纹识别,接着是光子ID验证,最后是CA认证。人、光子卡和认证终端完全绑定,可以有效防止证书滥用现象,提高认证安全级别。
[0094] 本领域技术人员将进一步领会,结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子
硬件、计算机
软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性,但这样的实现决策不应被解读成导致脱离了本发明的范围。
[0095] 结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字
信号处理器(DSP)、
专用集成电路(ASIC)、
现场可编程门阵列(FPGA)或其它
可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是
微处理器,但在替换方案中,该处理器可以是任何常规的处理器、
控制器、
微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。
[0096] 结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的
软件模块中、或在这两者的组合中体现。软件模块可驻留在RAM
存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、
硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中,存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在用户终端中。
[0097] 提供对本公开的先前描述是为使得本领域任何技术人员皆能够制作或使用本公开。对本公开的各种
修改对本领域技术人员来说都将是显而易见的,且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。由此,本公开并非旨在被限定于本文中所描述的示例和设计,而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。
