一种利用数据接口进行光模块两步验证的方法与流程

本发明涉及光通信技术领域，尤其涉及一种利用数据接口进行光模块两步验证的方法。

背景技术：

随着信息的传输和交换正向光网络发展，光纤通信成为现代信息网络的主要传输手段，人们对光纤通信网络的核心器件——光收发一体模块的需求也迅速增长，为了满足系统不断增长的需求，光模块正不断朝智能化、高速度的方向发展。

目前，支持热插拔的光模块已经广泛使用，由于生产光模块的厂家很多，光模块产品质量高低不一，市场上有不少不合格厂家生产的假冒伪劣产品，这些光模块可以兼容设备，但无法保证模块的可靠性，会影响整个系统的可靠性，甚至导致系统发生故障，增加了系统管理员维护工作的难度。

目前，光模块的防伪方案主要有防伪标签和校验信息这两种方法。

防伪标签很容易仿照，造假门槛比较低，模块内部的校验信息可以通过专用设备读取并复制到假冒产品中，所以以上防伪方案，已不能满足设备制造商的要求。

技术实现要素：

本发明所要解决的技术问题是针对上述现有技术的不足，提供一种利用数据接口进行光模块两步验证的方法。

本发明解决上述技术问题的技术方案如下：

提供了一种利用数据接口进行光模块两步验证的方法，包括以下步骤：

s01：将光模块插入终端设备，终端设备通过光模块与终端设备之间的数据接口判断光模块的合法性；

s02：若光模块合法，则完成第一步认证程序，进入下一步认证程序；若光模块不合法，则未通过第一步认证程序，返回到开始程序；

s03：光模块认证合法后，光模块通过数据接口来判断终端设备的合法性；

s04：若终端设备合法，则完成第二步认证程序，光模块和终端设备验证完成；若终端设备不合法，则未通过第二步认证程序，并返回到开始程序。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述开始程序为，将光模块插入终端设备，终端设备检测到有光模块插入时，则启动第一步认证程序。

进一步，在判断光模块是否合法前，终端设备需通过数据接口与光模块进行通信，以此来确认光模块的工作状态是否正常；若光模块工作状态不正常，终端设备即判断光模块不在位，则返回到开始程序，无法进入光模块的合法验证程序；若光模块工作状态正常，终端设备即判断光模块在位，进入光模块的合法验证程序。

进一步，所述光模块的合法验证程序步骤为：

步骤1.1：终端设备通过数据接口获取存储在光模块内部的加密校验信息，所述加密校验信息由光模块特征信息与加密密钥经特定的算法得到；

步骤1.2：终端设备根据同样的算法，利用解密密钥、所述加密校验信息，通过相同的算法将所述加密校验信息解密；

步骤1.3：终端设备根据所述步骤1.2获取的解密信息，获取存储在光模块内部的设备代码dc和设备商授权码ac；

步骤1.4：终端设备通过判断所述设备代码dc和所述设备商授权码ac是否正确来判断光模块的合法性，若所述设备代码dc和所述设备商授权码ac均正确，终端设备则判定光模块为授权模块，即光模块通过了第一步认证程序，为合法光模块；若所述设备代码dc和所述设备商授权码ac不正确，则光模块未通过第一步认证程序，并返回到开始程序。

进一步，所述步骤1.4中，若所述设备代码dc和所述设备商授权码ac之中有一个不正确，则光模块都不能通过第一步认证程序。

进一步，所述加密校验信息储存在光模块a2h区的第80h页至第ffh页中。

进一步，终端设备在检测到合法的光模块后，即准许该光模块回读存储在终端设备内的信息，同时，光模块启动对终端设备的认证程序，即开始进行第二步认证程序。

进一步，光模块对终端设备的认证程序为嵌入式程序，其具体步骤为：

步骤2.1：光模块通过数据接口读取终端设备内存储的设备代码dc信息；

步骤2.2：光模块查询存储在光模块内部的合法设备代码表；

步骤2.3：光模块通过将终端设备内的设备代码dc信息与合法设备代码表进行比对，来判断终端设备的合法性；

步骤2.4：若终端设备内的设备代码dc信息与合法设备代码表相匹配，则该终端设备为合法终端设备，验证成功，该终端设备通过了第二步认证程序，认证结束；若终端设备内的设备代码dc信息与合法设备代码表不匹配，则该终端设备为不合法终端设备，验证失败，返回到开始程序。

进一步，所述步骤2.2中的合法设备代码表存储在光模块a2h区第80h页至第ffh页中，地址为e0h-ffh，由光模块厂家生产时写入。

进一步，所述数据接口为i²c数据接口。

本发明的有益效果是：本发明通过两步认证程序，利用终端设备和光模块之间的i²c数据接口，使终端设备和光模块进行相互认证，加大了破解难度，能够有效的鉴别非法光模块或者非法终端设备，确保光模块和终端设备的合法性、兼容性，从而有效的保证了光通信的可靠性，减少了因使用方法光模块和非法终端设备而带来的安全隐患；另外，由于带i²c数据接口的光模块已经成为市场的主流产品，所以在本发明的实施过程中，对硬件的额外成本不高。

附图说明

图1为本发明一种利用数据接口进行光模块两步验证的方法的流程图；

图2为本发明光模块a2h地址空间结构图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

下面将结合附图对本实施例提供的一种利用数据接口进行光模块两步验证的方法进行详细描述。

如图1所示，一种利用数据接口进行光模块两步验证的方法，其包括以下步骤：

s01：将光模块插入终端设备，终端设备通过光模块与终端设备之间的数据接口判断光模块的合法性；

s02：若光模块合法，则完成第一步认证程序，进入下一步认证程序；若光模块不合法，则未通过第一步认证程序，返回到开始程序；

s03：光模块认证合法后，光模块通过数据接口来判断终端设备的合法性；

s04：若终端设备合法，则完成第二步认证程序，光模块和终端设备验证完成；若终端设备不合法，则未通过第二步认证程序，并返回到开始程序。

具体地，所述开始程序为，将光模块插入终端设备，终端设备检测到有光模块插入时，则启动第一步认证程序。

在判断光模块是否合法前，终端设备需通过数据接口与光模块进行通信，以此来确认光模块的工作状态是否正常；若光模块工作状态不正常，终端设备即判断光模块不在位，则返回到开始程序，无法进入光模块的合法验证程序；若光模块工作状态正常，终端设备即判断光模块在位，进入光模块的合法验证程序。

终端设备判断光模块是否在位的程序是为了保证终端设备与光模块之间能够建立有效的通信关系。

具体地，所述光模块的合法验证程序步骤为：

步骤1.1：终端设备通过数据接口获取存储在光模块内部的加密校验信息，所述加密校验信息由光模块特征信息与加密密钥经特定的算法得到；

步骤1.2：终端设备根据同样的算法，利用解密密钥、所述加密校验信息，通过相同的算法将所述加密校验信息解密；

步骤1.3：终端设备根据所述步骤1.2获取的解密信息，获取存储在光模块内部的设备代码dc和设备商授权码ac；

步骤1.4：终端设备通过判断所述设备代码dc和所述设备商授权码ac是否正确来判断光模块的合法性，若所述设备代码dc和所述设备商授权码ac均正确，终端设备则判定光模块为授权模块，即光模块通过了第一步认证程序，为合法光模块；若所述设备代码dc和所述设备商授权码ac不正确，则光模块未通过第一步认证程序，并返回到开始程序。

所述步骤1.4中，若所述设备代码dc和所述设备商授权码ac之中有一个不正确，则光模块都不能通过第一步认证程序。

具体地，所述加密校验信息储存在光模块a2h区的第80h页至第ffh页(page)中。

所述设备代码dc和所述设备商授权码ac均为8字节，所述设备代码dc存储在光模块a2h区的第80h页至第ffh页的第8字节至第15字节中，所述设备商授权码ac存储在光模块a2h区的第80h页至第ffh页的第0字节至第7字节中。

终端设备在检测到合法的光模块后，即准许该光模块回读存储在终端设备内的信息，同时，光模块启动对终端设备的认证程序，即开始进行第二步认证程序。

光模块对终端设备的认证程序为嵌入式程序，其具体步骤为：

步骤2.1：光模块通过数据接口读取终端设备内存储的设备代码dc信息；

步骤2.2：光模块查询存储在光模块内部的合法设备代码表；

步骤2.3：光模块通过将终端设备内的设备代码dc信息与合法设备代码表进行比对，来判断终端设备的合法性；

步骤2.4：若终端设备内的设备代码dc信息与合法设备代码表相匹配，则该终端设备为合法终端设备，验证成功，该终端设备通过了第二步认证程序，认证结束；若终端设备内的设备代码dc信息与合法设备代码表不匹配，则该终端设备为不合法终端设备，验证失败，返回到开始程序。

所述步骤2.2中的合法设备代码表存储在光模块a2h区第80h页至第ffh页中，地址为e0h-ffh，由光模块厂家生产时写入。

所述数据接口为i²c数据接口。

所述加密校验信息的获取方法，即所述步骤1.1的具体实施方法如下所述：

如图2所示，当光模块插入终端设备，终端设备完成判断光模块是否在位的动作后，终端设备便与光模块通过数据接口建立了通信关系，终端设备读取光模块中的加密校验信息时，首先向光模块的a2h区的123-126地址中写入光模块厂家提供的许可码pwe(passwordenable)，许可码pwe将与a2h密码区(cch-cfh和d0h-d3h)的内容进行比较，比较结果一致则可获得访问权限。

终端设备在获得访问权限后，则可读取a2h区的127地址的内容，该内容为页的序号，即page序号，亦即加密信息所在的页序号；终端设备再读取该页中boh-bfh地址中的内容，即为所述加密校验信息，共32字节。

a2h区中所述加密校验信息，由光模块生产商写入，其生成过程如下：

向a0h区写入厂商名称vn(vendorname)，20-35地址；

向a0h区写入模块型号pn(partnumber)，40-55地址；

向a0h区写入光模块序列号sn(serialnumber)，68-83地址；

将写入内容vn、pn、sn按位异或操作，得到32字节的字符串模块代码mc(modulecode)，该字符串的前16字节与设备代码dc(devicecode，8字节)、设备商授权码ac(authorizationcode，8字节)按字符串的方式连接成一新的字符串，即为光模块的特征码ms(modulesignatures)，共32字节。

将光模块的特征码ms，与光模块生产商的加密密钥32字节，按3des(-ecb)加密算法加密，得到32字节加密数据，即为加密校验码。

所述3des(-ecb)加密算法，也称为tripledes，是三重数据加密算法(tdea，tripledataencryptionalgorithm-electroniccodebook)的通称，“-ecb”是electroniccodebook的缩写，是des加密算法的一种数据模式。

其具体实现如下：设ek()代表des算法的加密过程，k代表des算法使用的密钥，m代表明文，c代表密文，这样：

3des加密过程为：c＝ek3(dk2(ek1(m)))。

所述步骤1.2的具体实施方式为，所述算法为3des(-ecb)加密算法，其具体实施过程如上所述相同；所述解密密钥与加密密钥相同。

解密过程具体如下：设dk()代表des算法的解密过程，k代表des算法使用的密钥，m代表明文，c代表密文，这样：

3des解密过程为：m＝dk1(ek2(dk3(c)))。

通过终端设备对光模块的解密认证，激活光模块的工作模式，通过光模块对终端设备的认证确认，打开终端设备的业务通道，从而完成终端设备和光模块的相互认证，并激活和配置业务端口，能够有效的鉴别非法光模块或者非法终端设备，确保光模块和终端设备的合法性、兼容性，有效的保证了光通信的可靠性，减少了因使用方法光模块和非法终端设备而带来的安全隐患。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。