CN106656349B - 光子ca认证方法及系统 - Google Patents
光子ca认证方法及系统 Download PDFInfo
- Publication number
- CN106656349B CN106656349B CN201510716528.3A CN201510716528A CN106656349B CN 106656349 B CN106656349 B CN 106656349B CN 201510716528 A CN201510716528 A CN 201510716528A CN 106656349 B CN106656349 B CN 106656349B
- Authority
- CN
- China
- Prior art keywords
- photon
- user
- authentication
- pin code
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000003287 optical effect Effects 0.000 claims abstract description 34
- 230000004044 response Effects 0.000 claims abstract description 28
- 238000012545 processing Methods 0.000 claims description 32
- 238000012795 verification Methods 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000004891 communication Methods 0.000 description 11
- 238000006243 chemical reaction Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 101150105249 aes1 gene Proteins 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 description 1
- 102100024990 Tetraspanin-10 Human genes 0.000 description 1
- 210000001367 artery Anatomy 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004080 punching Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 210000003462 vein Anatomy 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/80—Optical aspects relating to the use of optical transmission for specific applications, not provided for in groups H04B10/03 - H04B10/70, e.g. optical power feeding or optical transmission through water
- H04B10/85—Protection from unauthorised access, e.g. eavesdrop protection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
- G06V40/12—Fingerprints or palmprints
- G06V40/1365—Matching; Classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/11—Arrangements specific to free-space transmission, i.e. transmission through air or vacuum
- H04B10/114—Indoor or close-range type systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/70—Photonic quantum communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Biodiversity & Conservation Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Physics & Mathematics (AREA)
- Optics & Photonics (AREA)
- Software Systems (AREA)
- Human Computer Interaction (AREA)
- Multimedia (AREA)
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
- Optical Communication System (AREA)
Abstract
本发明提供了一种光子CA认证方法,包括:由光子CA认证终端接收来自光子终端的光信号,该光信号中包含用户ID;对该光信号中所包含的用户ID进行验证;以及响应于通过该用户ID验证,向客户端提供用户证书以执行CA证书认证。
Description
技术领域
本发明涉及CA认证,尤其涉及基于光通信的光子CA认证方法及认证系统。
背景技术
CA(Certificate Authority,证书授权机构)数字证书是由权威机构授权中心发行的,可以用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。CA数字证书可以安全有效进行安全认证,但是也有弊端就是数字证书滥用或盗用。
可见光通信技术是一种在LED技术上发展起来的新型无线光通信技术。通过LED光源的高频率闪烁来进行通信,可见光通信的传输速率最高达每秒千兆。可见光通信有着相当丰富的频谱资源,这是包括微波通信在内的一般无线通信无法比拟的。同时,可见光通信可以适用任何通信协议、适用于任何环境,并且可见光通信的设备架设灵活便捷、成本低廉,适合大规模普及应用。
发明内容
以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览,并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。
根据本发明的一方面,一种光子CA认证方法,包括:
由光子CA认证终端接收来自光子终端的光信号,该光信号中包含用户ID;
对该光信号中所包含的用户ID进行验证;以及
响应于通过该用户ID验证,向客户端提供用户证书以执行CA证书认证。
在一实例中,该方法还包括:由该光子终端对用户指纹进行指纹识别;以及响应于通过该指纹识别,发送包含该用户ID的该光信号。
在一实例中,对该光信号中所包含的用户ID进行验证包括:将该光信号中所含的用户ID与本地存储的ID进行比对;若两者一致则通过该用户ID验证,否则用户ID验证失败。
在一实例中,该方法还包括:响应于该用户ID验证失败,向客户端发送报错消息。
在一实例中,该响应于通过该用户ID验证,向客户端提供用户证书以执行CA证书认证包括:响应于通过该用户ID验证,由该光子CA认证终端执行PIN码验证;以及响应于通过该PIN码验证,向该客户端提供该用户证书以执行CA证书认证。
在一实例中,该光子CA认证终端包括CA认证模块和光子处理模块,该执行认证PIN码验证包括:响应于通过该用户ID验证,由该光子处理模块向该CA认证模块传送PIN码,以及由该CA认证模块将收到的PIN码与本地存储的PIN码进行比对以执行PIN码验证,若两者一致则通过PIN码验证,否则PIN码验证失败。
在一实例中,该光子处理模块发送的PIN码是采用第一密钥算法经加密的PIN码,该CA认证模块本地存储的PIN码是采用第二密钥算法经加密的PIN码,其中由该CA认证模块将收到的PIN码与本地存储的PIN码进行比对包括:采用该第一密钥算法对收到的PIN码进行解密;采用该第二密钥算法对本地存储的PIN码进行解密;以及将解密后的两个PIN码进行比对以执行PIN码验证。
在一实例中,该方法还包括:响应于PIN码验证失败,向该客户端发送报错消息。
在一实例中,该方法还包括:由该客户端向证书认证网关提交该用户证书以执行该CA证书认证。
在一实例中,该方法还包括:由该客户端将该用户证书连同用户输入的证书设备密码一起提交至该证书认证网关以执行该CA证书认证。
根据本发明的另一方面,提供了一种光子CA认证系统,包括:
光子CA认证终端,该光子CA认证终端包括:
光子处理模块,用于接收来自光子终端的光信号并对该光信号中包含的用户ID进行验证,
该光子CA认证终端响应于通过该用户ID验证,向客户端提供用户证书以执行CA证书认证。
在一实例中,该系统还包括:光子终端,用于对用户指纹进行指纹识别,以及响应于通过该指纹识别,向该光子CA认证终端发送包含该用户ID的该光信号。
在一实例中,该光子处理模块包括:存储单元,存储有用户ID;以及比较单元,用于将该光信号中所含的用户ID与该存储单元中本地存储的用户ID进行比对,若两者一致则通过该用户ID验证,否则用户ID验证失败。
在一实例中,该光子CA认证终端响应于该用户ID验证失败,向该客户端发送报错消息。
在一实例中,该光子CA认证终端还包括:CA认证模块,用于响应于通过该用户ID验证来执行PIN码验证,以及响应于通过该PIN码验证,向该客户端提供该用户证书以执行CA证书认证。
在一实例中,该光子处理模块的存储单元还存储有PIN码,其中,该光子处理模块响应于通过该用户ID验证向该CA认证模块传送PIN码,以及该CA认证模块包括:存储单元,存储有PIN码;以及比较单元,用于将收到的PIN码与本地存储的PIN码进行比对以执行PIN码验证,若两者一致则通过PIN码验证,否则PIN码验证失败。
在一实例中,该光子处理模块所发送的PIN码是采用第一密钥算法经加密的PIN码,该CA认证模块本地存储的PIN码是采用第二密钥算法经加密的PIN码,该CA认证模块还包括:密钥单元,用于采用该第一密钥算法对收到的PIN码进行解密,以及采用该第二密钥算法对本地存储的PIN码进行解密,其中,该比较单元将解密后的两个PIN码进行比对以执行PIN码验证。
在一实例中,该光子CA认证终端响应于该PIN码验证失败,向该客户端发送报错消息。
在一实例中,该系统还包括:该客户端,通过USB端口与该光子CA认证终端连接,该客户端用于向证书认证网关提交该用户证书以执行该CA证书认证。
在一实例中,该客户端将该用户证书连同用户输入的证书设备密码一起提交至该证书认证网关以执行该CA证书认证。
附图说明
在结合以下附图阅读本公开的实施例的详细描述之后,能够更好地理解本发明的上述特征和优点。在附图中,各组件不一定是按比例绘制,并且具有类似的相关特性或特征的组件可能具有相同或相近的附图标记。
图1示出了根据本发明一方面的光子认证系统的架构的框图;
图2示出了根据本发明一方面光子CA认证终端的框图;以及
图3示出了根据本发明一方面光子CA认证方法的流程图。
符号说明:
1000:光子CA认证系统
100:光子CA认证终端
110:CA认证模块 111:存储单元 112:密钥单元 113:比较单元
120:光子处理模块 121:存储单元 122:比较单元 123:光接收单元
200:光子终端
300:客户端
400:证书认证网关
500:CA发布服务器
600:服务端
具体实施方式
以下结合附图和具体实施例对本发明作详细描述。注意,以下结合附图和具体实施例描述的诸方面仅是示例性的,而不应被理解为对本发明的保护范围进行任何限制。
图1是示出了根据本发明一方面的光子CA认证系统1000的架构的框图。如图1所示,光子CA认证终端100通过USB端口与客户端300连接。证书认证网关400部署在客户端300和服务端600之间,并采用串联部署。客户端300与服务端600之间的所有信息交互都经过认证网关400。认证网关400负责完成对客户端300的完整证书认证过程以及数据的加密传输,客户端300只有通过认证网关的验证,请求才能真正到达服务器。
光子CA认证系统1000还可包括光子终端200,用户使用光子终端200向光子CA认证终端100先进行初步的光子验证,只有在经过该验证后才进行后续的CA认证。
根据本发明的一方面,用户使用光子终端200向光子CA认证终端100发送包含用户ID的光信号,光子CA认证终端100的光子处理模块120接收该光信号,并执行光子验证。
较优地,光子终端200包含有指纹识别模块,可对用户进行指纹识别。只有在用户通过指纹识别之后,光子终端200才会发送该光信号。光子终端200可以是例如光子一卡通的卡片形式。
图2是示出了根据本发明的一方面的光子CA认证终端100的框图。
如图2所示,光子CA认证终端100可包括两部分,即CA认证模块110和光子处理模块120,这两者可通过UART协议进行通信。光子处理模块120主要负责对用户的初步的光子验证。当上述两者通过UART协议时,光子CA认证终端100可以是封装成一体的设备,例如是带有光子接收功能的网银U盾。
在其他的可实施方式中CA认证模块110和光子处理模块120也可以为封装在不同设备中的一整套仪器,例如CA认证模块110可以为现有的具有CA认证功能的USB型电子口令卡,光子处理模块120为仅用于接收光信号的光子接收端,上述两者分别通过USB端口连接在电脑上,形成一整套的仪器。
光子处理模块120首先可包括光接收单元123,相应地,光子终端200可包括光发射单元(未示出),以使得两者可进行光通信。
一般而言,光子终端200的光发射单元(例如,编码部分)可以采用任何编码方式来编码原始通信数据,例如用户ID。常见的编码可包括NRZ编码、NRZI编码、NRZI反转计数编码等等。NRZ编码是以高电平代表1,低电平代表0。NRZI编码是以信号的翻转即高低电平的跳变为代表一个逻辑例如1(0),而信号高低电平保持不变表示另一逻辑例如0(1)。RZ脉冲计数编码是将原始信息以n个比特为一组,相邻两组信号之间设有组间时间间隔,每组内以脉冲的个数表示该组信号中的n个比特的信息。根据RZ编码,用一个脉冲表示信息位00,用3个脉冲表示信息10。
NRZI反转计数编码也是将原始信息以n个比特为一组,相邻两组信号之间设有组间时间间隔。区别于RZ脉冲计数编码,NRZI是在每组内以高电平到低电平(或低电平到高电平)的反转次数分别表示该组信号中的n个比特的信息。
光发射单元(例如,发光部分,诸如LED)可以例如通过以发光表示高电平信号、而以不发光表示低电平来将接收到的经编码信号以可见光的形式发送出去。
光接收单元123可用于接收光子终端200发射的可见光信号、并将可见光信号转换为数字信号。例如,对于LED灯产生的高频率闪烁,有光可代表高电平,无光可代表低电平,或反之,从而可将接收的可见光信号转换为数字信号。光接收单元123(例如,光电转换部分)利用光电二极管的电信号与光信号的特性,通过光电转换将形成电脉冲信号。实践中由于光子终端200与光子CA认证终端100的相对位置不一样,即每次光子终端200发射到光接收单元123的光信号强度是不一样的,所以其电信号强弱也是不一样的,所以需要对所形成的电流进行整流比较。如当二极管通过的电流值高于某一定门限值时,光电转换电路将输出的电压电平值调整为高电平;当通过光电二极管的电流值低于某一门限值时,光电转换电路将输出的电压电平值调整为低电平。该门限值的设定是通过一个数学模型根据不同的环境来设定的,如距离较远时,门限值可能会降低;距离近时门限值可能会相对升高。通过以上过程,可以将电平调整到一定范围内,以此保证正确的脉冲形状,以尽可能保证采样的准确性。
光接收单元123(例如,解码部分)进一步将得到的数字信号解码,以恢复出原始通信数据,例如光子终端200所发送的用户ID。
在用户通过光子终端200的指纹识别后,可向光子处理模块120发送包含用户ID的光信号,光接收单元123可接收该光信号,并对其进行处理,以获得用户ID。除上述处理之外,光接收单元123还可执行A/D转换、解密处理(在用户ID经过加密的情况下)。
在获得来自光子终端200的用户ID之后,光子处理模块120可对该用户ID进行验证,若通过该验证,则光子CA认证终端100可例如通过USB口向客户端300提供用户证书,以执行CA证书认证。例如,CA认证模块110的存储单元111中存储有用户证书,至少需要通过该光子验证,CA认证模块110才会提供用户证书进行CA认证。
光子处理模块120从功能上主要包括两个部分,即光接收部分,例如上述的光接收单元123,以及验证部分,例如下文详述的比较单元122。
在本案中,光子CA认证终端100在最初会进行设备初始化,客户端300会将用户ID通过USB口下发到光子CA认证终端100,对于用户ID,光子处理模块120加密保存在存储单元121中,并且这个用户ID是与光子终端200中一样的数值。
相应地,在执行光子验证时,比较单元122可将光接收单元123得到的用户ID与存储单元121中的用户ID进行比较,若两者一致,则验证通过,否则验证失败。在存储单元121中的用户ID是经加密的用户ID的情况下,光子处理模块120还需首先对其进行解密,在与光接收单元123获得的用户ID进行比较。
如上所述,当光子验证通过时,CA认证模块110可向客户端300提交用户证书,而当光子验证失败时,光子CA认证终端100会通过USB端口向客户端300发送报错消息。
在特定实施例中,当通过光子验证后,CA认证模块110还需进一步执行PIN码验证,只有当通过PIN码验证时,才会向客户端300提供用户证书进行CA认证,而当未通过PIN码验证时,光子CA认证终端100会向客户端300发送报错消息。
在此实施例中,光子CA认证终端100在最初的设备初始化时,客户端300会将证书认证网关400分配的PIN码通过USB口下发到光子CA认证终端100,对于PIN码,CA认证模块110和光子处理模块120各保留一份,通过不同的AES密钥保存。
例如,在CA认证模块110的存储单元111中的PIN码是以第一密钥算法,例如基于AES1加密的PIN码,而在光子处理模块120的存储单元121中的PIN码是以第二密钥算法,例如基于AES2加密的PIN码。
在接收到光子处理模块120经由UART协议发送来的经加密的PIN码后,CA认证模块110的密钥单元112可采用第二密钥算法,例如基于AES2对收到的PIN码进行解密,而采用第二密钥算法,例如基于AES1对本地存储的PIN码进行解密,然后两者进行比较,若两者一致则通过PIN码验证,否则PIN码验证失败。
当通过PIN码验证时,CA认证终端110可向客户端300发送用户证书,而当失败时,可向客户端发送报错消息。
客户端300在接收到用户证书时,可向证书认证网关400提交用户证书,以执行CA证书认证。一般地,客户端300还需同时将用户输入的证书设备密码一起提交给证书认证网关400进行CA证书认证。
在用户希望通过客户端进行服务请求时,如图1中所示,客户端300向应用服务端600发送连接请求,请求首先到达认证网关400,如标号1的箭头所示。证书认证网关400要求用户提交用户证书,如标号2的箭头所示。客户端300提示用户输入证书设备密码,向服务端提交用户证书,如标号3的箭头所示。认证网关400对获取的用户证书进行验证,包括证书自身有效性,信任证书链,黑名单验证或者OCSP验证,如标号4的箭头所示。验证通过后,认证网关400可将请求发送给真正服务器600,并将用户证书信息附加到请求中,如标号5的箭头所示。服务器600从请求中获取用户的身份,如标号6的箭头所示。
图3是示出了根据本发明一方面光子CA认证方法300的流程图。如图3所示,方法300可包括如下步骤:
步骤301:准备认证;
此时,光子CA认证终端100与客户端300通过USB连接;
步骤302:终端初始化;
光子CA认证终端100可获取PIN码和用户ID;
步骤303:指纹识别;
用户若希望通过光子终端200发送光信号执行光子验证,则需要输入指纹信息以执行指纹识别;
步骤304:若指纹识别通过,则流程行进至步骤305,否则行进至步骤306;
步骤305:光子处理模块120对收到的光信号进行解析以获得用户ID;
步骤306:向客户端300报错;
步骤307:光子处理模块120将收到的用户ID与本地存储的用户ID进行比较,以执行光子验证,若验证通过则流程行进至步骤308,否则行进至步骤309;
步骤308:光子处理模块120将PIN码发送至CA认证模块110;
这里的PIN码可以是经由AES2加密的PIN码;
步骤310:CA认证模块110对收到的PIN码进行解密;
相应地,CA认证模块110可使用AES2对该PIN码进行解密;
步骤311:CA认证模块110对本地存储的PIN码进行解密;
这里CA认证模块110可使用例如AES1对PIN码进行解密;
步骤312:比较两者是否一致,若一致则流程行进至步骤313,否则行进至步骤314;
步骤313:CA认证模块110向客户端300提交用户证书;
步骤314:向客户端300报错。
尽管为使解释简单化将上述方法图示并描述为一系列动作,但是应理解并领会,这些方法不受动作的次序所限,因为根据一个或多个实施例,一些动作可按不同次序发生和/或与来自本文中图示和描述或本文中未图示和描述但本领域技术人员可以理解的其他动作并发地发生。
在本发明中,首先进行指纹识别,接着是光子ID验证,最后是CA认证。人、光子卡和认证终端完全绑定,可以有效防止证书滥用现象,提高认证安全级别。
本领域技术人员将进一步领会,结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性,但这样的实现决策不应被解读成导致脱离了本发明的范围。
结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。
结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中体现。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中,存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在用户终端中。
提供对本公开的先前描述是为使得本领域任何技术人员皆能够制作或使用本公开。对本公开的各种修改对本领域技术人员来说都将是显而易见的,且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。由此,本公开并非旨在被限定于本文中所描述的示例和设计,而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。
Claims (14)
1.一种光子CA认证方法,包括:
由光子CA认证终端接收来自光子终端的光信号,所述光信号中包含用户ID;
对所述光信号中所包含的用户ID进行验证;
响应于通过所述用户ID验证,由所述光子CA认证终端执行PIN码验证;以及
响应于通过所述PIN码验证,向客户端提供所述用户证书以执行CA证书认证;其中
所述光子CA认证终端包括CA认证模块和光子处理模块,所述执行认证PIN码验证进一步包括:
响应于通过所述用户ID验证,由所述光子处理模块向所述CA认证模块传送采用第一密钥算法经加密的PIN码,以及
由所述CA认证模块将收到的PIN码与本地存储的采用第二密钥算法经加密的PIN码进行比对以执行PIN码验证,若两者一致则通过PIN码验证,否则PIN码验证失败;其中
由所述CA认证模块将收到的PIN码与本地存储的PIN码进行比对进一步包括:
采用所述第一密钥算法对收到的PIN码进行解密;
采用所述第二密钥算法对本地存储的PIN码进行解密;以及
将解密后的两个PIN码进行比对以执行PIN码验证。
2.如权利要求1所述的光子CA认证方法,其特征在于,还包括:
由所述光子终端对用户指纹进行指纹识别;以及
响应于通过所述指纹识别,发送包含所述用户ID的所述光信号。
3.如权利要求1所述的光子CA认证方法,其特征在于,对所述光信号中所包含的用户ID进行验证包括:
将所述光信号中所含的用户ID与本地存储的ID进行比对;
若两者一致则通过所述用户ID验证,否则用户ID验证失败。
4.如权利要求1所述的光子CA认证方法,其特征在于,还包括:
响应于所述用户ID验证失败,向客户端发送报错消息。
5.如权利要求1所述的光子CA认证方法,其特征在于,还包括:
响应于PIN码验证失败,向所述客户端发送报错消息。
6.如权利要求1所述的光子CA认证方法,其特征在于,还包括:
由所述客户端向证书认证网关提交所述用户证书以执行所述CA证书认证。
7.如权利要求6所述的光子CA认证方法,其特征在于,还包括:
由所述客户端将所述用户证书连同用户输入的证书设备密码一起提交至所述证书认证网关以执行所述CA证书认证。
8.一种光子CA认证系统,包括:
光子CA认证终端,所述光子CA认证终端包括:
光子处理模块,用于接收来自光子终端的光信号并对所述光信号中包含的用户ID进行验证,
CA认证模块,用于响应于通过所述用户ID验证来执行PIN码验证,以及响应于通过所述PIN码验证,向客户端提供用户证书以执行CA证书认证;其中
所述光子处理模块的存储单元还存储有PIN码,其中,所述光子处理模块响应于通过所述用户ID验证向所述CA认证模块传送采用第一密钥算法经加密的PIN码,以及
所述CA认证模块包括:
存储单元,存储有采用第二密钥算法经加密的PIN码;
比较单元,用于将收到的PIN码与本地存储的PIN码进行比对以执行PIN码验证,若两者一致则通过PIN码验证,否则PIN码验证失败;以及
密钥单元,用于采用所述第一密钥算法对收到的PIN码进行解密,
以及采用所述第二密钥算法对本地存储的PIN码进行解密,其中,所述比较单元将解密后的两个PIN码进行比对以执行PIN码验证。
9.如权利要求8所述的光子CA认证系统,其特征在于,还包括:
光子终端,用于对用户指纹进行指纹识别,以及响应于通过所述指纹识别,向所述光子CA认证终端发送包含所述用户ID的所述光信号。
10.如权利要求8所述的光子CA认证系统,其特征在于,所述光子处理模块包括:
存储单元,存储有用户ID;以及
比较单元,用于将所述光信号中所含的用户ID与所述存储单元中本地存储的用户ID进行比对,若两者一致则通过所述用户ID验证,否则用户ID验证失败。
11.如权利要求8所述的光子CA认证系统,其特征在于,所述光子CA认证终端响应于所述用户ID验证失败,向所述客户端发送报错消息。
12.如权利要求8所述的光子CA认证系统,其特征在于,所述光子CA认证终端响应于所述PIN码验证失败,向所述客户端发送报错消息。
13.如权利要求8所述的光子CA认证系统,其特征在于,还包括:
所述客户端,通过USB端口与所述光子CA认证终端连接,所述客户端用于向证书认证网关提交所述用户证书以执行所述CA证书认证。
14.如权利要求13所述的光子CA认证系统,其特征在于,所述客户端将所述用户证书连同用户输入的证书设备密码一起提交至所述证书认证网关以执行所述CA证书认证。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510716528.3A CN106656349B (zh) | 2015-10-28 | 2015-10-28 | 光子ca认证方法及系统 |
| EP16858914.1A EP3370383B1 (en) | 2015-10-28 | 2016-10-13 | Photon-based ca authentication method and system |
| PCT/CN2016/101972 WO2017071478A1 (zh) | 2015-10-28 | 2016-10-13 | 光子ca认证方法及系统 |
| US15/956,773 US10911247B2 (en) | 2015-10-28 | 2018-04-19 | Photon-based CA authentication method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510716528.3A CN106656349B (zh) | 2015-10-28 | 2015-10-28 | 光子ca认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106656349A CN106656349A (zh) | 2017-05-10 |
| CN106656349B true CN106656349B (zh) | 2019-10-25 |
Family
ID=58629887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510716528.3A Active CN106656349B (zh) | 2015-10-28 | 2015-10-28 | 光子ca认证方法及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10911247B2 (zh) |
| EP (1) | EP3370383B1 (zh) |
| CN (1) | CN106656349B (zh) |
| WO (1) | WO2017071478A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108183794B (zh) * | 2017-12-25 | 2020-08-28 | 中科稀土(长春)有限责任公司 | 一种基于光信息的认证方法 |
| JP7199949B2 (ja) * | 2018-12-12 | 2023-01-06 | キヤノン株式会社 | 情報処理装置、システム、情報処理装置の制御方法、システムの制御方法及びプログラム |
| CN110958247B (zh) * | 2019-12-01 | 2022-11-04 | 成都华迈通信技术有限公司 | 一种网关设备数据传输系统及数据传输方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1696967A (zh) * | 2005-05-16 | 2005-11-16 | 刘小鹏 | 多层密码生物自主认证卡及认证话机 |
| CN102710611A (zh) * | 2012-05-11 | 2012-10-03 | 福建联迪商用设备有限公司 | 网络安全身份认证方法和系统 |
| CN102916970A (zh) * | 2012-10-30 | 2013-02-06 | 飞天诚信科技股份有限公司 | 一种基于网络的pin码缓存方法 |
| CN203180938U (zh) * | 2012-12-21 | 2013-09-04 | 国民技术股份有限公司 | 电子令牌和电子令牌认证系统 |
| CN103929310A (zh) * | 2014-04-25 | 2014-07-16 | 长沙市梦马软件有限公司 | 一种手机客户端口令统一认证方法及系统 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7188358B1 (en) * | 1998-03-26 | 2007-03-06 | Nippon Telegraph And Telephone Corporation | Email access control scheme for communication network using identification concealment mechanism |
| GB2360617A (en) * | 2000-03-24 | 2001-09-26 | Liu Kuo Shen | Identifying the owner of a card or code, eg credit card |
| BR0203323A (pt) * | 2001-04-19 | 2003-04-08 | Ntt Docomo Inc | Aperfeiçoamento introduzido em sistema de terminal de comunicação |
| US20030065920A1 (en) * | 2001-10-01 | 2003-04-03 | International Business Machines Corporation | Method and apparatus for using host authentication for automated public key certification |
| KR100559008B1 (ko) * | 2003-04-02 | 2006-03-10 | 에스케이 텔레콤주식회사 | 이동통신 단말기의 적외선 통신을 이용한 사용자 인증시스템 및 그 방법 |
| JP2006121524A (ja) * | 2004-10-22 | 2006-05-11 | Toshiba Solutions Corp | 公開鍵暗号装置 |
| CN101427509A (zh) * | 2006-04-18 | 2009-05-06 | Magiq技术公司 | 用于量子密码网络的密钥管理和用户认证 |
| JP5042109B2 (ja) * | 2008-04-17 | 2012-10-03 | 株式会社リコー | 電子証明書発行システム、電子証明書発行方法、及び電子証明書発行プログラム |
| CN101504732B (zh) * | 2009-03-13 | 2010-12-01 | 华中科技大学 | 基于标识密码技术的电子护照扩展访问控制系统及鉴权方法 |
| CN101707594A (zh) * | 2009-10-21 | 2010-05-12 | 南京邮电大学 | 基于单点登录的网格认证信任模型 |
| EP2497224A4 (en) * | 2009-11-06 | 2014-01-29 | Ericsson Telefon Ab L M | SYSTEM AND METHOD FOR COMMUNICATING WEB APPLICATIONS |
| US8464960B2 (en) * | 2011-06-30 | 2013-06-18 | Verisign, Inc. | Trusted barcodes |
| US9509506B2 (en) * | 2011-09-30 | 2016-11-29 | Los Alamos National Security, Llc | Quantum key management |
| ES2912265T3 (es) * | 2012-08-30 | 2022-05-25 | Triad Nat Security Llc | Autenticación multifactor utilizando comunicación cuántica |
| US9270651B2 (en) * | 2013-04-05 | 2016-02-23 | Futurewei Technologies, Inc. | Authentication and initial key exchange in ethernet passive optical network over coaxial network |
| AU2013204989A1 (en) * | 2013-04-13 | 2014-10-30 | Digital (Id)Entity Limited | A system, method, computer program and data signal for the provision of a profile of identification |
| KR101516881B1 (ko) * | 2013-09-23 | 2015-05-04 | 숭실대학교산학협력단 | 사용자 인증 방법 및 장치 |
-
2015
- 2015-10-28 CN CN201510716528.3A patent/CN106656349B/zh active Active
-
2016
- 2016-10-13 WO PCT/CN2016/101972 patent/WO2017071478A1/zh active Application Filing
- 2016-10-13 EP EP16858914.1A patent/EP3370383B1/en not_active Not-in-force
-
2018
- 2018-04-19 US US15/956,773 patent/US10911247B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1696967A (zh) * | 2005-05-16 | 2005-11-16 | 刘小鹏 | 多层密码生物自主认证卡及认证话机 |
| CN102710611A (zh) * | 2012-05-11 | 2012-10-03 | 福建联迪商用设备有限公司 | 网络安全身份认证方法和系统 |
| CN102916970A (zh) * | 2012-10-30 | 2013-02-06 | 飞天诚信科技股份有限公司 | 一种基于网络的pin码缓存方法 |
| CN203180938U (zh) * | 2012-12-21 | 2013-09-04 | 国民技术股份有限公司 | 电子令牌和电子令牌认证系统 |
| CN103929310A (zh) * | 2014-04-25 | 2014-07-16 | 长沙市梦马软件有限公司 | 一种手机客户端口令统一认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3370383A4 (en) | 2019-06-26 |
| EP3370383B1 (en) | 2021-12-29 |
| CN106656349A (zh) | 2017-05-10 |
| EP3370383A1 (en) | 2018-09-05 |
| US20180241576A1 (en) | 2018-08-23 |
| WO2017071478A1 (zh) | 2017-05-04 |
| US10911247B2 (en) | 2021-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789047B (zh) | 一种区块链身份系统 | |
| CN106686004B (zh) | 一种登录认证方法及系统 | |
| US8746363B2 (en) | System for conducting remote biometric operations | |
| US20170185761A1 (en) | System and method for biometric key management | |
| CN105827573B (zh) | 物联网设备强认证的系统、方法及相关装置 | |
| CN109040067A (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
| CN103368954B (zh) | 一种基于口令和生物特征的智能卡注册登录方法 | |
| KR20160146672A (ko) | 휴대용 생체 인증-기반 아이덴티티 디바이스 | |
| CN105052072A (zh) | 远程认证和业务签名 | |
| CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
| CN114072796A (zh) | 具有远程验证的硬件认证令牌 | |
| US20110213959A1 (en) | Methods, apparatuses, system and related computer program product for privacy-enhanced identity management | |
| CN111435913A (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
| CN103929308B (zh) | 应用于rfid卡的信息验证方法 | |
| CN109756893A (zh) | 一种基于混沌映射的群智感知物联网匿名用户认证方法 | |
| CN106713279A (zh) | 一种视频终端身份认证系统 | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| CN103812657A (zh) | 认证方法 | |
| CN106656349B (zh) | 光子ca认证方法及系统 | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| CN110378152A (zh) | 一种基于pkica认证及区块链技术的合同签订管理系统及方法 | |
| CN107634834A (zh) | 一种基于多终端多场景的可信身份认证方法 | |
| CN104243026B (zh) | 信息发送方法、信息接收方法、装置和系统 | |
| CN107104792B (zh) | 一种便携式移动口令管理系统及其管理方法 | |
| CN103580874B (zh) | 身份认证方法、系统以及密码保护装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240430 Address after: Building 4, 1st Floor, Foshan Military Civilian Integration Industrial Park, No. 68 Defu Road, Xingtan Town, Shunde District, Foshan City, Guangdong Province, 528300 Patentee after: Foshan Shunde Guangqi Advanced Equipment Co.,Ltd. Country or region after: China Address before: 518000 Guangdong, Shenzhen, Futian District, Shennan Road and colored field road intersection C East Block New World Plaza 2007-27 Patentee before: KUANG-CHI INTELLIGENT PHOTONIC TECHNOLOGY Ltd. Country or region before: China |