[0001] 本发明涉及一种 CA认证， 尤其涉及基于光通信的光子 CA认证方法及认证系统 背景技术

[0002] CA (Certificate Authority, 证书授权机构） 数字证书是由权威机构授权中心发 行的， 可以用它来识别对方的身份。 数字证书是一个经证书授权中心数字签名 的包含公幵密钥拥有者信息以及公幵密钥的文 件。 CA数字证书可以安全有效进 行安全认证， 但是也有弊端就是数字证书滥用或盗用。

技术问题

[0003] 可见光通信技术是一种在 LED

技术上发展起来的新型无线光通信技术。 通过 LED光源的高频率闪烁来进行通信 ， 可见光通信的传输速率最高达每秒千兆。

问题的解决方案

技术解决方案

[0004] 以下给出一个或多个方面的简要概述以提供对 这些方面的基本理解。 此概述不 是所有构想到的方面的详尽综览， 并且既非旨在指认出所有方面的关键性或决 定性要素亦非试图界定任何或所有方面的范围 。 其唯一的目的是要以简化形式 给出一个或多个方面的一些概念以为稍后给出 的更加详细的描述之序。

[0005] 根据本发明的一方面， 一种光子 CA认证方法， 包括：

[0006] 由光子 CA认证终端接收来自光子终端的光信号， 该光信号中包含用户 ID;

[0007] 对该光信号中所包含的用户 ID进行验证； 以及

[0008] 响应于通过该用户 ID验证， 向客户端提供用户证书以执行 CA证书认证。

[0009] 在一实例中， 该方法还包括： 由该光子终端对用户指纹进行指纹识别； 以及响 应于通过该指纹识别， 发送包含该用户 ID的该光信号。

[0010] 在一实例中， 对该光信号中所包含的用户 ID进行验证包括： 将该光信号中所含 的用户 ID与本地存储的 ID进行比对； 若两者一致则通过该用户 ID验证， 否则用 户 ID验证失败。

[0011] 在一实例中， 该方法还包括： 响应于该用户 ID验证失败， 向客户端发送报错消 息。

[0012] 在一实例中， 该响应于通过该用户 ID验证， 向客户端提供用户证书以执行 CA 证书认证包括： 响应于通过该用户 ID验证， 由该光子 CA认证终端执行 PIN码验 证； 以及响应于通过该 PIN码验证， 向该客户端提供该用户证书以执行 CA证书 认证。

[0013] 在一实例中， 该光子 CA认证终端包括 CA认证模块和光子处理模块， 该执行认 证 PIN码验证包括： 响应于通过该用户 ID验证， 由该光子处理模块向该 CA认证 模块传送 PIN码， 以及由该 CA认证模块将收到的 PIN码与本地存储的 PIN码进行 比对以执行 PIN码验证， 若两者一致则通过 PIN码验证， 否则 PIN码验证失败。

[0014] 在一实例中， 该光子处理模块发送的 PIN码是采用第一密钥算法经加密的 PIN码 ， 该 CA认证模块本地存储的 PIN码是采用第二密钥算法经加密的 PIN码， 其中由 该 CA认证模块将收到的 PIN码与本地存储的 PIN码进行比对包括： 采用该第一密 钥算法对收到的 PIN码进行解密； 采用该第二密钥算法对本地存储的 PIN码进行 解密； 以及将解密后的两个 PIN码进行比对以执行 PIN码验证。

[0015] 在一实例中， 该方法还包括： 响应于 PIN码验证失败， 向该客户端发送报错消 息。

[0016] 在一实例中， 该方法还包括： 由该客户端向证书认证网关提交该用户证书以 执 行该 CA证书认证。

[0017] 在一实例中， 该方法还包括： 由该客户端将该用户证书连同用户输入的证书 设 备密码一起提交至该证书认证网关以执行该 CA证书认证。

[0018] 根据本发明的另一方面， 提供了一种光子 CA认证系统， 包括：

[0019] 光子 CA认证终端， 该光子 CA认证终端包括：

[0020] 光子处理模块， 用于接收来自光子终端的光信号并对该光信号 中包含的用户 ID 进行验证，

[0021] 该光子 CA认证终端响应于通过该用户 ID验证， 向客户端提供用户证书以执行 C A证书认证。

[0022] 在一实例中， 该系统还包括： 光子终端， 用于对用户指纹进行指纹识别， 以及 响应于通过该指纹识别， 向该光子 CA认证终端发送包含该用户 ID的该光信号。

[0023] 在一实例中， 该光子处理模块包括： 存储单元， 存储有用户 ID; 以及比较单元 ， 用于将该光信号中所含的用户 ID与该存储单元中本地存储的用户 ID进行比对 ， 若两者一致则通过该用户 ID验证， 否则用户 ID验证失败。

[0024] 在一实例中， 该光子 CA认证终端响应于该用户 ID验证失败， 向该客户端发送 报错消息。

[0025] 在一实例中， 该光子 CA认证终端还包括： CA认证模块， 用于响应于通过该用 户 ID验证来执行 PIN码验证， 以及响应于通过该 PIN码验证， 向该客户端提供该 用户证书以执行 CA证书认证。

[0026] 在一实例中， 该光子处理模块的存储单元还存储有 PIN码， 其中， 该光子处理 模块响应于通过该用户 ID验证向该 CA认证模块传送 PIN码， 以及该 CA认证模块 包括： 存储单元， 存储有 PIN码； 以及比较单元， 用于将收到的 PIN码与本地存 储的 PIN码进行比对以执行 PIN码验证， 若两者一致则通过 PIN码验证， 否则 PIN 码验证失败。

[0027] 在一实例中， 该光子处理模块所发送的 PIN码是采用第一密钥算法经加密的 PIN 码， 该 CA认证模块本地存储的 PIN码是采用第二密钥算法经加密的 PIN码， 该 C A认证模块还包括： 密钥单元， 用于采用该第一密钥算法对收到的 PIN码进行解 密， 以及采用该第二密钥算法对本地存储的 PIN码进行解密， 其中， 该比较单元 将解密后的两个 PIN码进行比对以执行 PIN码验证。

[0028] 在一实例中， 该光子 CA认证终端响应于该 PIN码验证失败， 向该客户端发送报 错消息。

[0029] 在一实例中， 该系统还包括： 该客户端， 通过 USB端口与该光子 CA认证终端 连接， 该客户端用于向证书认证网关提交该用户证书 以执行该 CA证书认证。

[0030] 在一实例中， 该客户端将该用户证书连同用户输入的证书设 备密码一起提交至 该证书认证网关以执行该 CA证书认证。

发明的有益效果 有益效果

[0031] 可见光通信有着相当丰富的频谱资源， 这是包括微波通信在内的一般无线通信 无法比拟的。 同吋， 可见光通信可以适用任何通信协议、 适用于任何环境， 并 且可见光通信的设备架设灵活便捷、 成本低廉， 适合大规模普及应用。 。

对附图的简要说明

附图说明

[0032] 在结合以下附图阅读本公幵的实施例的详细描 述之后， 能够更好地理解本发明 的上述特征和优点。 在附图中， 各组件不一定是按比例绘制， 并且具有类似的 相关特性或特征的组件可能具有相同或相近的 附图标记。

[0033] 图 1示出了根据本发明一方面的光子认证系统的� �构的框图；

[0034] 图 2示出了根据本发明一方面光子 CA认证终端的框图； 以及

[0035] 图 3示出了根据本发明一方面光子 CA认证方法的流程图。

本发明的实施方式

[0036] 以下结合附图和具体实施例对本发明作详细描 述。 注意， 以下结合附图和具体 实施例描述的诸方面仅是示例性的， 而不应被理解为对本发明的保护范围进行 任何限制。

[0037] 图 1是示出了根据本发明一方面的光子 CA认证系统 1000的架构的框图。 如图 1 所示， 光子 CA认证终端 100通过 USB端口与客户端 300连接。 证书认证网关 400部 署在客户端 300和服务端 600之间， 并采用串联部署。 客户端 300与服务端 600之 间的所有信息交互都经过认证网关 400。 认证网关 400负责完成对客户端 300的完 整证书认证过程以及数据的加密传输， 客户端 300只有通过认证网关的验证， 请 求才能真正到达服务器。

[0038] 光子 CA认证系统 1000还可包括光子终端 200， 用户使用光子终端 200向光子 CA 认证终端 100先进行初步的光子验证， 只有在经过该验证后才进行后续的 CA认证

[0039] 根据本发明的一方面， 用户使用光子终端 200向光子 CA认证终端 100发送包含 用户 ID的光信号， 光子 CA认证终端 100的光子处理模块 120接收该光信号， 并执 行光子验证。

[0040] 较优地， 光子终端 200包含有指纹识别模块， 可对用户进行指纹识别。 只有在 用户通过指纹识别之后， 光子终端 200才会发送该光信号。 光子终端 200可以是 例如光子一卡通的卡片形式。

[0041] 图 2是示出了根据本发明的一方面的光子 CA认证终端 100的框图。

[0042] 如图 2所示， 光子 CA认证终端 100可包括两部分， 即 CA认证模块 110和光子处 理模块 120， 这两者可通过 UART协议进行通信。 光子处理模块 120主要负责对用 户的初步的光子验证。 当上述两者通过 UART协议吋， 光子 CA认证终端 100可以 是封装成一体的设备， 例如是带有光子接收功能的网银 U盾。

[0043] 在其他的可实施方式中 CA认证模块 110和光子处理模块 120也可以为封装在不 同设备中的一整套仪器， 例如 CA认证模块 110可以为现有的具有 CA认证功能的 USB型电子口令卡， 光子处理模块 120为仅用于接收光信号的光子接收端， 上述 两者分别通过 U S B端口连接在电脑上， 形成一整套的仪器。

[0044] 光子处理模块 120首先可包括光接收单元 123， 相应地， 光子终端 200可包括光 发射单元 （未示出） ， 以使得两者可进行光通信。

[0045] 一般而言， 光子终端 200的光发射单元 （例如， 编码部分） 可以采用任何编码 方式来编码原始通信数据， 例如用户 ID。 常见的编码可包括 NRZ编码、 NRZI编 码、 NRZI反转计数编码等等。 NRZ编码是以高电平代表 1， 低电平代表 0。 NRZI 编码是以信号的翻转即高低电平的跳变为代表 一个逻辑例如 1 (0) ， 而信号高 低电平保持不变表示另一逻辑例如 0 (1) 。 RZ脉冲计数编码是将原始信息以 n个 比特为一组， 相邻两组信号之间设有组间吋间间隔， 每组内以脉冲的个数表示 该组信号中的 n个比特的信息。 根据 RZ编码， 用一个脉冲表示信息位 00， 用 3个 脉冲表示信息 10。

[0046] NRZI反转计数编码也是将原始信息以 n个比特为一组， 相邻两组信号之间设有 组间吋间间隔。 区别于 RZ脉冲计数编码， NRZI是在每组内以高电平到低电平 ( 或低电平到高电平） 的反转次数分别表示该组信号中的 n个比特的信息。

[0047] 光发射单元 （例如， 发光部分， 诸如 LED) 可以例如通过以发光表示高电平信 号、 而以不发光表示低电平来将接收到的经编码信 号以可见光的形式发送出去 [0048] 光接收单元 123可用于接收光子终端 200发射的可见光信号、 并将可见光信号转 换为数字信号。 例如， 对于 LED灯产生的高频率闪烁， 有光可代表高电平， 无光 可代表低电平， 或反之， 从而可将接收的可见光信号转换为数字信号。 光接收 单元 123 (例如， 光电转换部分） 利用光电二极管的电信号与光信号的特性， 通 过光电转换将形成电脉冲信号。 实践中由于光子终端 200与光子 CA认证终端 100 的相对位置不一样， 即每次光子终端 200发射到光接收单元 123的光信号强度是 不一样的， 所以其电信号强弱也是不一样的， 所以需要对所形成的电流进行整 流比较。 如当二极管通过的电流值高于某一定门限值吋 ， 光电转换电路将输出 的电压电平值调整为高电平； 当通过光电二极管的电流值低于某一门限值吋 ， 光电转换电路将输出的电压电平值调整为低电 平。 该门限值的设定是通过一个 数学模型根据不同的环境来设定的， 如距离较远吋， 门限值可能会降低； 距离 近吋门限值可能会相对升高。 通过以上过程， 可以将电平调整到一定范围内， 以此保证正确的脉冲形状， 以尽可能保证采样的准确性。

[0049] 光接收单元 123 (例如， 解码部分） 进一步将得到的数字信号解码， 以恢复出 原始通信数据， 例如光子终端 200所发送的用户 ID。

[0050] 在用户通过光子终端 200的指纹识别后， 可向光子处理模块 120发送包含用户 ID 的光信号， 光接收单元 123可接收该光信号， 并对其进行处理， 以获得用户 ID。 除上述处理之外， 光接收单元 123还可执行 A/D转换、 解密处理 （在用户 ID经过 加密的情况下） 。

[0051] 在获得来自光子终端 200的用户 ID之后， 光子处理模块 120可对该用户 ID进行验 证， 若通过该验证， 则光子 CA认证终端 100可例如通过 USB口向客户端 300提供 用户证书， 以执行 CA证书认证。 例如， CA认证模块 110的存储单元 111中存储有 用户证书， 至少需要通过该光子验证， CA认证模块 110才会提供用户证书进行 C A认证。

[0052] 光子处理模块 120从功能上主要包括两个部分， 即光接收部分， 例如上述的光 接收单元 123， 以及验证部分， 例如下文详述的比较单元 122。

[0053] 在本案中， 光子 CA认证终端 100在最初会进行设备初始化， 客户端 300会将用 户 ID通过 USB口下发到光子 CA认证终端 100， 对于用户 ID， 光子处理模块 120加 密保存在存储单元 121中， 并且这个用户 ID是与光子终端 200中一样的数值。

[0054] 相应地， 在执行光子验证吋， 比较单元 122可将光接收单元 123得到的用户 ID与 存储单元 121中的用户 ID进行比较， 若两者一致， 则验证通过， 否则验证失败。 在存储单元 121中的用户 ID是经加密的用户 ID的情况下， 光子处理模块 120还需 首先对其进行解密， 在与光接收单元 123获得的用户 ID进行比较。

[0055] 如上所述， 当光子验证通过吋， CA认证模块 110可向客户端 300提交用户证书 ， 而当光子验证失败吋， 光子 CA认证终端 100会通过 USB端口向客户端 300发送 报错消息。

[0056] 在特定实施例中， 当通过光子验证后， CA认证模块 110还需进一步执行 PIN码 验证， 只有当通过 PIN码验证吋， 才会向客户端 300提供用户证书进行 CA认证， 而当未通过 PIN码验证吋， 光子 CA认证终端 100会向客户端 300发送报错消息。

[0057] 在此实施例中， 光子 CA认证终端 100在最初的设备初始化吋， 客户端 300会将 证书认证网关 400分配的 PIN码通过 USB口下发到光子 CA认证终端 100， 对于 PIN 码， CA认证模块 110和光子处理模块 120各保留一份， 通过不同的 AES密钥保存

[0058] 例如， 在 CA认证模块 110的存储单元 111中的 PIN码是以第一密钥算法， 例如基 于 AES1加密的 PIN码， 而在光子处理模块 120的存储单元 121中的 PIN码是以第二 密钥算法， 例如基于 AES2加密的 PIN码。

[0059] 在接收到光子处理模块 120经由 UART协议发送来的经加密的 PIN码后， CA认证 模块 110的密钥单元 112可采用第二密钥算法， 例如基于 AES2对收到的 PIN码进 行解密， 而采用第二密钥算法， 例如基于 AES1对本地存储的 PIN码进行解密， 然后两者进行比较， 若两者一致则通过 PIN码验证， 否则 PIN码验证失败。

[0060] 当通过 PIN码验证吋， CA认证终端 110可向客户端 300发送用户证书， 而当失败 吋， 可向客户端发送报错消息。

[0061] 客户端 300在接收到用户证书吋， 可向证书认证网关 400提交用户证书， 以执行 CA证书认证。 一般地， 客户端 300还需同吋将用户输入的证书设备密码一起提 交 给证书认证网关 400进行 CA证书认证。 [0062] 在用户希望通过客户端进行服务请求吋， 如图 1中所示， 客户端 300向应用服务 端 600发送连接请求， 请求首先到达认证网关 400， 如标号 1的箭头所示。 证书认 证网关 400要求用户提交用户证书， 如标号 2的箭头所示。 客户端 300提示用户输 入证书设备密码， 向服务端提交用户证书， 如标号 3的箭头所示。 认证网关 400 对获取的用户证书进行验证， 包括证书自身有效性， 信任证书链， 黑名单验证 或者 OCSP验证， 如标号 4的箭头所示。 验证通过后， 认证网关 400可将请求发送 给真正服务器 600， 并将用户证书信息附加到请求中， 如标号 5的箭头所示。 服 务器 600从请求中获取用户的身份， 如标号 6的箭头所示。

[0063] 图 3是示出了根据本发明一方面光子 CA认证方法 300的流程图。 如图 3所示， 方 法 300可包括如下步骤：

[0064] 步骤 301 : 准备认证；

[0065] 此吋， 光子 CA认证终端 100与客户端 300通过 USB连接；

[0066] 步骤 302: 终端初始化；

[0067] 光子 CA认证终端 100可获取 PIN码和用户 ID;

[0068] 步骤 303: 指纹识别；

[0069] 用户若希望通过光子终端 200发送光信号执行光子验证， 则需要输入指纹信息 以执行指纹识别；

[0070] 步骤 304: 若指纹识别通过， 则流程行进至步骤 305， 否则行进至步骤 306;

[0071] 步骤 305: 光子处理模块 120对收到的光信号进行解析以获得用户 ID;

[0072] 步骤 306: 向客户端 300报错；

[0073] 步骤 307: 光子处理模块 120将收到的用户 ID与本地存储的用户 ID进行比较， 以 执行光子验证， 若验证通过则流程行进至步骤 308， 否则行进至步骤 309;

[0074] 步骤 308: 光子处理模块 120将 PIN码发送至 CA认证模块 110;

[0075] 这里的 PIN码可以是经由 AES2加密的 PIN码；

[0076] 步骤 310: CA认证模块 110对收到的 PIN码进行解密；

[0077] 相应地， CA认证模块 110可使用 AES2对该 PIN码进行解密；

[0078] 步骤 311 : CA认证模块 110对本地存储的 PIN码进行解密；

[0079] 这里 CA认证模块 110可使用例如 AES1对 PIN码进行解密； [0080] 步骤 312: 比较两者是否一致， 若一致则流程行进至步骤 313， 否则行进至步骤 314；

[0081] 步骤 313: CA认证模块 110向客户端 300提交用户证书；

[0082] 步骤 314: 向客户端 300报错。

[0083] 尽管为使解释简单化将上述方法图示并描述为 一系列动作， 但是应理解并领会 ， 这些方法不受动作的次序所限， 因为根据一个或多个实施例， 一些动作可按 不同次序发生和 /或与来自本文中图示和描述或本文中未图示� �描述但本领域技 术人员可以理解的其他动作并发地发生。

[0084] 在本发明中， 首先进行指纹识别， 接着是光子 ID验证， 最后是 CA认证。 人、 光子卡和认证终端完全绑定， 可以有效防止证书滥用现象， 提高认证安全级别

[0085] 为了更清楚的说明上述各个步骤， 以下以一个实际的例子来阐述说明：

[0086] 首先在服务器上建立以下的人员信息表格：

[0087] 即， 对于员工张三， 仅授权他使用电脑号为 A1111的设备。

[0088] 若采用现有技术中仅使用 CA认证的方式， 张三使用携带有 CA证书的设备， 例 如 USB存储器， 即可合法接入授权设备。 但是由于该 CA证书的设备并未与张三 绑定， 若张三将该 CA证书设备借出给李四使用， 由于 CA证书设备本申请并不与 使用者绑定， 当李四使用吋， 依然能合法的启动 A1111的设备， 造成安全隐患。

[0089] 若采用本发明实施例的方案， 张三通过光子 ID验证方式与其 CA证书相互绑定 ： 首先进行指纹识别， 指纹验证通过后， 确认当前的操作者为张三， 然后进行 光子验证， 若光子 ID为合法的， 则启动 CA认证模块， 以确认其具有合法的 CA证 书设备， 最后进行 CA认证， 以确认其具有使用设备的权限。

[0090] 相比于原先的 CA认证的方案， 本发明中所采用的方案将使用者与其分配到的 C A证书设备通过光子 ID验证的方式绑定在一起， 使得别人无法顶替使用， 从而增 加了设备使用的安全性。 本实施例经过了三重验证的方式， 首先进行了指纹识 另 IJ， 接着进行了光子 ID验证， 最后是 CA认证， 有效防止证书滥用现象， 提高认 证安全级别。

[0091] 本领域技术人员将进一步领会， 结合本文中所公幵的实施例来描述的各种解说 性逻辑板块、 模块、 电路、 和算法步骤可实现为电子硬件、 计算机软件、 或这 两者的组合。 为清楚地解说硬件与软件的这一可互换性， 各种解说性组件、 框 、 模块、 电路、 和步骤在上面是以其功能性的形式作一般化描 述的。 此类功能 性是被实现为硬件还是软件取决于具体应用和 施加于整体系统的设计约束。 技 术人员对于每种特定应用可用不同的方式来实 现所描述的功能性， 但这样的实 现决策不应被解读成导致脱离了本发明的范围 。

[0092] 结合本文所公幵的实施例描述的各种解说性逻 辑板块、 模块、 和电路可用通用 处理器、 数字信号处理器 （DSP) 、 专用集成电路 （ASIC) 、 现场可编程门阵 列 （FPGA) 或其它可编程逻辑器件、 分立的门或晶体管逻辑、 分立的硬件组件 、 或其设计成执行本文所描述功能的任何组合来 实现或执行。 通用处理器可以 是微处理器， 但在替换方案中， 该处理器可以是任何常规的处理器、 控制器、 微控制器、 或状态机。 处理器还可以被实现为计算设备的组合， 例如 DSP与微处 理器的组合、 多个微处理器、 与 DSP核心协作的一个或多个微处理器、 或任何其 他此类配置。

[0093] 结合本文中公幵的实施例描述的方法或算法的 步骤可直接在硬件中、 在由处理 器执行的软件模块中、 或在这两者的组合中体现。 软件模块可驻留在 RAM存储 器、 闪存、 ROM存储器、 EPROM存储器、 EEPROM存储器、 寄存器、 硬盘、 可 移动盘、 CD-ROM、 或本领域中所知的任何其他形式的存储介质中 。 示例性存 储介质耦合到处理器以使得该处理器能从 /向该存储介质读取和写入信息。 在替 换方案中， 存储介质可以被整合到处理器。 处理器和存储介质可驻留在 ASIC中 。 ASIC可驻留在用户终端中。 在替换方案中， 处理器和存储介质可作为分立组 件驻留在用户终端中。

[0094] 提供对本公幵的先前描述是为使得本领域任何 技术人员皆能够制作或使用本公 幵。 对本公幵的各种修改对本领域技术人员来说都 将是显而易见的， 且本文中 所定义的普适原理可被应用到其他变体而不会 脱离本公幵的精神或范围。 由此 ， 本公幵并非旨在被限定于本文中所描述的示例 和设计， 而是应被授予与本文 中所公幵的原理和新颖性特征相一致的最广范 围。