CN109922076B - 一种软锁许可过程中的安全通信方法和授权平台 - Google Patents
一种软锁许可过程中的安全通信方法和授权平台 Download PDFInfo
- Publication number
- CN109922076B CN109922076B CN201910237165.3A CN201910237165A CN109922076B CN 109922076 B CN109922076 B CN 109922076B CN 201910237165 A CN201910237165 A CN 201910237165A CN 109922076 B CN109922076 B CN 109922076B
- Authority
- CN
- China
- Prior art keywords
- key
- level
- soft lock
- root
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提出一种基于软锁许可的安全通信方法,包括:S1,软锁许可授权平台为软件开发主体分配根公钥和根私钥,根私钥保存在与所述软锁许可授权平台相连的加密机上,根公钥分发给软件使用端;S2,软锁许可授权平台通过加密机使用所述根私钥签发用于加密通信的临时秘钥,并且发布所述软件的许可升级包至软锁,其中所述许可升级包包括所述临时秘钥;S3,所述软件使用端访问所述软锁时,基于所述根公钥验证所述临时秘钥是否由所述根私钥签发。本发明还对应提出一种用于软锁许可过程中的授权平台。本发明能够以上的多个级别的秘钥验证过程,可以确保根私钥不被泄露的情况下,使用私钥生成通信秘钥。
Description
技术领域
本发明涉及软件版权保护领域,更具体地,涉及一种软锁许可过程中的安全通信方法和授权平台。
背景技术
为解决软锁许可在通信过程中的安全性,通常通信过程需要进行加密,软锁许可目前占有的市场份额远远大于硬件锁许可,但是保护力度有强有弱。传统的软锁由于加密强度弱,加密方法单一,很容易被破解,而且一旦被破解,基本上是灾难性的盗版。因此加强通信安全性十分有必要。
发明内容
在现有技术中,对软件使用端的认证没有使用私钥文件。本发明的方法中,软件使用端需要使用一个私钥文件,与软锁进行相互认证。但是,私钥文件因为其重要性,存放在软件使用端存在很大的安全隐患,因此本发明采用的是将私钥文件存储在可信的许可平台,软件使用端依然只存储公钥。软件使用端和软锁之间的认证采用三级秘钥的方法,秘钥关系层层签名,层层加密。
针对背景技术中的问题,本发明提供了一种基于软锁许可的安全通信方法,包括:
S1,软锁许可授权平台为软件开发主体分配根公钥和根私钥,根私钥保存在与所述软锁许可授权平台相连的加密机上,根公钥分发给软件使用端;
S2,软锁许可授权平台通过加密机使用所述根私钥签发用于加密通信的临时秘钥,并且发布所述软件的许可升级包至软锁,其中所述许可升级包包括所述临时秘钥;
S3,所述软件使用端访问所述软锁时,基于所述根公钥验证所述临时秘钥是否由所述根私钥签发。
进一步,在步骤S2中,所述临时秘钥包括多级公私秘钥对,下一级秘钥对由上一级秘钥对的私钥签发生成。
进一步,在步骤S2中,所述临时秘钥包括多级秘钥对,由如下方式生成:S21,软锁许可授权平台获取加密机使用所述根私钥签发的第二级秘钥,该第二级秘钥包括公钥和私钥;S22,软锁许可授权平台用所述二级秘钥签发第三级秘钥,该第三级秘钥包括公钥和私钥。
进一步,在S3中,软件使用端访问软锁时,通过所述根公钥逐层验证所述第二级秘钥、所述第三级秘钥是否是由所述根私钥签发。
进一步,所述安全通信方法还包括:S4,如果验证成功,则所述软件使用端和所述软锁基于所述临时秘钥进行后续通信。
进一步,所述安全通信方法还包括:S4,如果在S3中的签名验证正确,所述软件使用端基于所述第三级秘钥生成的随机通信秘钥,与所述软锁进行加密通信。
进一步,所述第二级秘钥和所述第三级秘钥过期后,所述软锁许可授权平台重新生成新的第二级秘钥和第三级秘钥。
根据本发明的另一方面,提出一种软锁许可过程中的授权平台,包括:
秘钥生成模块,所述秘钥生成模块为软件开发主体分配根公钥和根私钥,根私钥保存在与所述授权***相连的加密机上;
秘钥分发模块,所述秘钥分发模块将所述根公钥分发给软件使用端;
临时秘钥生成模块,所述临时秘钥生成模块用所述根私钥生成一临时秘钥;
许可升级包分发模块,所述许可升级包分发模块将所述临时秘钥和所述软件的许可升级包发送给所述软锁。
进一步,所述临时秘钥生成模块被配置为:用所述根私钥签发生成第二级秘钥,该第二级秘钥包括公钥和私钥,用所述第二级秘钥签发第三级秘钥,该第三级秘钥包括公钥和私钥。
进一步,所述临时秘钥生成模块被配置为:当所述第二级秘钥和所述第三级秘钥过期后,重新生成新的第二级秘钥和第三级秘钥。
本发明的有益效果为:软件使用端只存储了公钥,软件使用端和软锁之间通过通信秘钥进行加密地通信,保证了软件使用端和软锁的通信过程的安全性。而通信秘钥的生成是通过软件使用端和软锁许可授权平台之间的三重秘钥加密的方式进行验证。通过本发明的方法,保证了每个软件使用端秘钥的独立性,不能形成通解,也保证了每次通信秘钥的随机性,增加了破解的难度。
附图说明
为了更容易理解本发明,将通过参照附图中示出的具体实施方式更详细地描述本发明。这些附图只描绘了本发明的典型实施方式,不应认为对本发明保护范围的限制。
图1为本发明的方法一个实施方式的流程图。
图2为本发明的授权平台的架构图。
具体实施方式
下面参照附图描述本发明的实施方式,其中相同的部件用相同的附图标记表示。在不冲突的情况下,下述的实施例及实施例中的技术特征可以相互组合。
如图1显示了本发明的方法的一个实施方式的流程图。本发明的方法针对的是待许可软件使用端(装载有软件)和软锁加密容器之间的认证,其中,软锁是位于局域网中某台计算机上的加密设备,如加密锁,局域网中的其它计算机在具有软锁许可的前提下可以对软锁进行访问。本发明的方法包括步骤S1-S3,如下详述。
S1,软锁许可授权平台为软件开发主体(软件开发人)分配根公钥和根私钥,根私钥保存在与所述授权平台相连的加密机上,根公钥分发给软件使用端。根私钥存储在与软锁许可授权***连接的加密机中,根私钥不会脱离硬件,确保了根私钥的安全性。所述根公钥和根私钥可以是ecc算法生成的公钥和私钥。
S2,所述授权平台通过加密机使用所述根私钥签发用于加密通信的临时秘钥,并且发布所述软件的许可升级包至软锁,其中所述许可升级包包括所述临时秘钥。
S3,所述软件使用端访问所述软锁时,基于所述根公钥验证所述临时秘钥是否由所述根私钥签发。
在一个实施方式中,步骤S2中的临时秘钥为一对公私秘钥。在另一个实施方式中,步骤S2中的临时秘钥包括多级秘钥,也就是临时秘钥包括多级公私秘钥对,下一级秘钥对由上一级秘钥对的私钥签发生成。本发明优选的采用两级秘钥,通过如下方式生成:
S21,所述授权平台用所述根私钥签发第二级秘钥,该第二级秘钥包括公钥和私钥。优选地,第二级秘钥是临时使用的秘钥,具有有效期,缓存在所述授权平台。
S22,所述授权平台用所述第二级秘钥签发第三级秘钥,该第三级秘钥包括公钥和私钥。优选地,第三级秘钥是临时使用的秘钥,具有有效期,可以缓存在软件使用端上,当秘钥中的时间过期时,授权平台生成三级秘钥。
生成第二级秘钥和第三级秘钥后,所述授权平台将所述第二级秘钥和所述第三级秘钥打包到软件的许可升级包内,将许可升级包发给软锁。
如此,在S3中,软件使用端访问软锁时,软件使用端通过所述根公钥逐层验证所述二级秘钥和所述三级秘钥,验证所述许可升级包是否是由所述根私钥签发。通过以上的三个级别的秘钥验证过程,确保了软件使用端和软锁之间的认证。
进一步,第二级秘钥或第三级秘钥具有有效期,当它们过期时,所述授权平台再重新生成第二级秘钥或第三级秘钥,重新发布软件的许可升级包至软锁,所述许可升级包包括重新生成的第二级秘钥或第三级秘钥,那么软件使用端需要重新对软锁进行认证,但是软件使用端进行验证依然是使用根公钥进行验证,无需重新更换根公钥,而且同时,根私钥存储在安全的加密机中。如此方式,确保了验证过程的安全性和后续软件使用端和软锁之间通信的安全性。
优选地,本发明的方法还包括:S4,如果在S3中的签名验证正确,软件使用端和软锁基于所述三级秘钥生成的随机通信秘钥,进行后续通信。
根据本发明的另一方面,如图2所示,提出一种软锁许可过程中的授权平台。所述授权平台包括:秘钥生成模块、秘钥分发模块、临时秘钥生成模块和许可升级包分发模块。
秘钥生成模块为软件开发主体分配根公钥和根私钥,根私钥保存在与所述授权平台相连的加密机上。秘钥生成模块可以利用ecc算法生成根公钥和根私钥。
秘钥分发模块将所述根公钥分发给软件使用端。
临时秘钥生成模块用所述根私钥生成一临时秘钥。在一个实施方式中,
许可升级包分发模块将所述临时秘钥和所述软件的许可升级包发送给所述软锁。
在一个实施方式中,所述临时秘钥生成模块被配置为:用所述根私钥签发生成第二级秘钥,该第二级秘钥包括公钥和私钥,用所述第二级秘钥签发第三级秘钥,该第三级秘钥包括公钥和私钥。所述临时秘钥生成模块被配置为:当所述第二级秘钥和所述第三级秘钥过期后,重新生成新的第二级秘钥和第三级秘钥。生成第二级秘钥和第三级秘钥后,所述授权平台将所述第二级秘钥和所述第三级秘钥打包到软件的许可升级包内,将许可升级包发给软锁。
如此,软件使用端访问软锁时,软件使用端通过所述根公钥逐层验证所述二级秘钥和所述三级秘钥,验证所述许可升级包是否是由所述根私钥签发。通过以上的三个级别的秘钥验证过程,确保了软件使用端和软锁之间的认证。
进一步,第二级秘钥或第三级秘钥具有有效期,当它们过期时,所述授权平台再重新生成第二级秘钥或第三级秘钥,重新发布软件的许可升级包至软锁,所述许可升级包包括重新生成的第二级秘钥或第三级秘钥,那么软件使用端需要重新对软锁进行认证,但是软件使用端进行验证依然是使用根公钥进行验证,无需重新更换根公钥,而且同时,根私钥存储在安全的加密机中。如此方式,确保了验证过程的安全性和后续软件使用端和软锁之间通信的安全性。
如果软件使用端验证许可升级包的签名正确,则软件使用端和软锁基于所述三级秘钥生成一随机通信秘钥,用来双方进行后续加密通信使用。
通过以上的三个级别的秘钥验证过程,可以确保根私钥不被泄露的情况下,使得软件使用端和软锁之间进行认证,并且认证成功使用通信秘钥进行安全的通信。而且因为为每个软件使用端都生成一个根公钥和根私钥,保证了每个软件使用端秘钥的独立性,不能形成通解,也保证了每次通信秘钥的随机性,增加了破解的难度。
以上所述的实施例,只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (9)
1.一种基于软锁许可的安全通信方法,其特征在于,包括:
S1,软锁许可授权平台为软件开发主体分配根公钥和根私钥,根私钥保存在与所述软锁许可授权平台相连的加密机上,根公钥分发给软件使用端;
S2,软锁许可授权平台通过加密机使用所述根私钥签发用于加密通信的临时秘钥,并且发布所述软件的许可升级包至软锁,其中所述许可升级包包括所述临时秘钥,所述临时秘钥包括多级公私秘钥对,下一级秘钥对由上一级秘钥对的私钥签发生成;
S3,所述软件使用端访问所述软锁时,所述软件使用端基于所述根公钥验证所述临时秘钥是否由所述根私钥签发,以对所述软锁进行认证。
2.根据权利要求1所述的安全通信方法,其特征在于,在步骤S2中,所述临时秘钥包括多级秘钥对,由如下方式生成:
S21,软锁许可授权平台获取加密机使用所述根私钥签发的第二级秘钥,该第二级秘钥包括公钥和私钥;
S22,软锁许可授权平台用所述二级秘钥签发第三级秘钥,该第三级秘钥包括公钥和私钥。
3.根据权利要求2所述的安全通信方法,其特征在于,
在S3中,软件使用端访问软锁时,通过所述根公钥逐层验证所述第二级秘钥、所述第三级秘钥是否是由所述根私钥签发。
4.根据权利要求1所述的安全通信方法,其特征在于,还包括:
S4,如果验证成功,则所述软件使用端和所述软锁基于所述临时秘钥进行后续通信。
5.根据权利要求3所述的安全通信方法,其特征在于,还包括:
S4,如果在S3中的签名验证正确,所述软件使用端基于所述第三级秘钥生成的随机通信秘钥,与所述软锁进行加密通信。
6.根据权利要求2所述的安全通信方法,其特征在于,
所述第二级秘钥和所述第三级秘钥过期后,所述软锁许可授权平台重新生成新的第二级秘钥和第三级秘钥。
7.一种软锁许可过程中的授权平台,其特征在于,包括:
秘钥生成模块,所述秘钥生成模块为软件开发主体分配根公钥和根私钥,根私钥保存在与所述授权平台相连的加密机上;
秘钥分发模块,所述秘钥分发模块将所述根公钥分发给软件使用端;
临时秘钥生成模块,所述临时秘钥生成模块用所述根私钥生成一临时秘钥,所述临时秘钥包括多级公私秘钥对,下一级秘钥对由上一级秘钥对的私钥签发生成;
许可升级包分发模块,所述许可升级包分发模块将所述软件的许可升级包发送给所述软锁,其中所述许可升级包包括所述临时秘钥。
8.根据权利要7所述的授权平台,其特征在于,所述临时秘钥生成模块被配置为:
用所述根私钥签发生成第二级秘钥,该第二级秘钥包括公钥和私钥,
用所述第二级秘钥签发第三级秘钥,该第三级秘钥包括公钥和私钥。
9.根据权利要7所述的授权平台,其特征在于,所述临时秘钥生成模块被配置为:
当所述第二级秘钥和所述第三级秘钥过期后,重新生成新的第二级秘钥和第三级秘钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910237165.3A CN109922076B (zh) | 2019-03-27 | 2019-03-27 | 一种软锁许可过程中的安全通信方法和授权平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910237165.3A CN109922076B (zh) | 2019-03-27 | 2019-03-27 | 一种软锁许可过程中的安全通信方法和授权平台 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109922076A CN109922076A (zh) | 2019-06-21 |
CN109922076B true CN109922076B (zh) | 2020-12-18 |
Family
ID=66967011
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910237165.3A Active CN109922076B (zh) | 2019-03-27 | 2019-03-27 | 一种软锁许可过程中的安全通信方法和授权平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109922076B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111641507B (zh) * | 2020-05-18 | 2023-09-19 | 湖南智领通信科技有限公司 | 一种软件通信体系结构组件注册管理方法和装置 |
CN112286553B (zh) * | 2020-10-27 | 2021-11-05 | 北京深思数盾科技股份有限公司 | 用户锁的升级方法、装置、***、电子设备和存储介质 |
CN114189326B (zh) * | 2021-12-10 | 2024-04-26 | 中科计算技术西部研究院 | 一种插拔式加密终端的多重加密***及解密方法 |
CN114266017B (zh) * | 2021-12-30 | 2022-11-01 | 北京深盾科技股份有限公司 | 软件许可方法及电子设备 |
CN115242634B (zh) * | 2022-07-05 | 2024-03-12 | 蔚来汽车科技(安徽)有限公司 | 软件升级方法、设备和存储介质 |
CN116055038B (zh) * | 2022-12-22 | 2023-11-03 | 北京深盾科技股份有限公司 | 设备授权方法、***及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1785901B1 (en) * | 2005-10-31 | 2012-03-07 | Research In Motion Limited | Secure License Key Method and System |
CN101729244B (zh) * | 2008-10-24 | 2011-12-07 | 中兴通讯股份有限公司 | 密钥分发方法和*** |
WO2014192086A1 (ja) * | 2013-05-28 | 2014-12-04 | 株式会社日立製作所 | 生体署名システム、署名検証方法、登録端末、署名生成端末および署名検証装置 |
CN103618729A (zh) * | 2013-09-03 | 2014-03-05 | 南京邮电大学 | 一种应用于云存储的多机构层次化属性基加密方法 |
CN105471918B (zh) * | 2016-01-13 | 2018-06-12 | 中山大学 | 一种代理重指定验证者签名方法 |
CN109309645A (zh) * | 2017-07-26 | 2019-02-05 | 中国人民解放军装备学院 | 一种软件分发安全保护方法 |
-
2019
- 2019-03-27 CN CN201910237165.3A patent/CN109922076B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN109922076A (zh) | 2019-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109922076B (zh) | 一种软锁许可过程中的安全通信方法和授权平台 | |
WO2021179449A1 (zh) | 一种基于证书身份认证的拟态防御***及证书签发方法 | |
JP5703391B2 (ja) | 耐タンパー性ブート処理のためのシステム及び方法 | |
EP2659373B1 (en) | System and method for secure software update | |
EP2965254B1 (en) | Systems and methods for maintaining integrity and secrecy in untrusted computing platforms | |
EP2291787B1 (en) | Techniques for ensuring authentication and integrity of communications | |
US20060195689A1 (en) | Authenticated and confidential communication between software components executing in un-trusted environments | |
US7693286B2 (en) | Method of delivering direct proof private keys in signed groups to devices using a distribution CD | |
CN101494541B (zh) | 一种实现对pin码进行安全保护的***及方法 | |
CN101777983B (zh) | 交易签名方法、认证服务器及*** | |
CN106161024B (zh) | 一种usb控制芯片级的usb设备可信认证方法及其*** | |
CN112866242B (zh) | 一种基于区块链的数字身份验证方法、设备及存储介质 | |
CN110795126A (zh) | 一种固件安全升级*** | |
CN104639506A (zh) | 对应用程序安装进行管控的方法、***与终端 | |
CN112084472A (zh) | 一种多用户安全存储的实时动态认证方法 | |
CN111814132B (zh) | 安全认证方法及装置、安全认证芯片、存储介质 | |
CN105933117A (zh) | 一种基于tpm秘钥安全存储的数据加解密装置和方法 | |
US20030105980A1 (en) | Method of creating password list for remote authentication to services | |
CN116193436A (zh) | 一种车机设备ota升级包下发方法及*** | |
CN111090841A (zh) | 一种用于工控***的认证方法和装置 | |
CN112702304A (zh) | 一种车辆信息的校验方法、装置及汽车 | |
CN114070548A (zh) | 一种基于软加密狗装置的软件版权加密保护方法 | |
CN108133370B (zh) | 一种基于量子密钥分配网络的安全支付方法及*** | |
KR101501508B1 (ko) | 데이터 암호화를 통한 인증방법 및 시스템 | |
CN104239755A (zh) | 一种drm签名验证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: Room 510, 5/F, Block C, Internet Innovation Center, Building 5, Yard 10 (East District), Northwest Wangdong Road, Haidian District, Beijing 100193 Patentee after: Beijing Shendun Technology Co.,Ltd. Address before: Room 510, 5/F, Block C, Internet Innovation Center, Building 5, Yard 10 (East District), Northwest Wangdong Road, Haidian District, Beijing 100193 Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |
|
CP01 | Change in the name or title of a patent holder |