CN112861114A - 一种基于授权装置的设备授权方法 - Google Patents

一种基于授权装置的设备授权方法 Download PDF

Info

Publication number
CN112861114A
CN112861114A CN202110179327.XA CN202110179327A CN112861114A CN 112861114 A CN112861114 A CN 112861114A CN 202110179327 A CN202110179327 A CN 202110179327A CN 112861114 A CN112861114 A CN 112861114A
Authority
CN
China
Prior art keywords
authorization
authorized
chip
file
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110179327.XA
Other languages
English (en)
Other versions
CN112861114B (zh
Inventor
林海堤
黄晓明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Newland Fujian Public Service Co ltd
Original Assignee
Newland Fujian Public Service Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Newland Fujian Public Service Co ltd filed Critical Newland Fujian Public Service Co ltd
Priority to CN202110179327.XA priority Critical patent/CN112861114B/zh
Publication of CN112861114A publication Critical patent/CN112861114A/zh
Application granted granted Critical
Publication of CN112861114B publication Critical patent/CN112861114B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种基于授权装置的设备授权方法,包括如下步骤:S1、设置授权装置的可授权次数且可授权次数仅首次设置有效;S2、授权装置生成授权文件并写入至被授权设备;S3、被授权设备验证所述授权文件,若验证结果为通过,则被授权设备获得授权,否则被授权设备未获得授权。本发明通过控制授权文件的生成次数,固定每个授权装置的可授权次数,同时被授权设备与授权文件一一对应,所得的授权文件不具有通用性,防止通过烧录授权文件以授权多个设备,从而实现了对设备授权的管理。

Description

一种基于授权装置的设备授权方法
技术领域
本发明涉及一种基于授权装置的设备授权方法,属于设备认证授权领域。
背景技术
设备制造商出于某些目的,会为设备(如扫码设备)设置一层保护机制,设备只有经授权后才能使用。常见的授权方法为:通过烧录授权文件至被授权设备获取授权,尤其是使用STM8、STM32等芯片的设备。但由于授权文件的被烧录次数不受限制且授权文件具有通用性,设备的授权管理不受限制,导致保护机制形同虚设,还造成一定的安全隐患(如添加恶意程序代码攻击设备或者进行设备伪造等等)。其中,烧录是把想要的数据通过刻录机等工具刻制到光盘、烧录卡(GBA)等介质中。
公开号为CN105373723A的专利《设备自动授权方法和装置》公开了以下步骤:接收由设备运营商发起的针对自助设备的注册请求,并根据所述注册请求中包含为所述自助设备预配置的唯一设备编号,执行设备注册操作;接收由所述自助设备发起的授权请求,并当所述授权请求中的唯一设备编号已注册时,向所述自助设备返回授权证书。通过本申请的技术方案,可以避免授权证书外泄,在提升授权安全性的同时,也简化了授权过程,可以实现全自动远程授权。
发明内容
为了解决上述现有技术中存在的问题,本发明提供一种基于授权装置的设备授权方法,通过固定每个授权装置的可授权次数,并根据芯片ID生成授权文件以进行授权,所得的授权文件不具有通用性,从而实现了对设备授权的管理。
本发明的技术方案如下:
技术方案一:
一种基于授权装置的设备授权方法,包括如下步骤:
S1、设置授权装置的可授权次数且可授权次数仅首次设置有效;
S2、授权装置获取被授权设备的设备标识,根据设备标识,判断是否存在与该被授权设备对应的授权文件,若存在,则将所述授权文件写入被授权设备;否则,授权装置根据设备标识,生成与该被授权设备对应的授权文件,将可授权次数减一,并将所述授权文件写入被授权设备,所述可授权次数为零时,授权装置不生成授权文件;
S3、被授权设备验证所述授权文件,若验证结果为通过,则被授权设备获得授权,否则跳转至步骤S2,再次尝试获得授权。
进一步的,授权装置内设有一用于存储可授权次数的安全芯片,所述安全芯片设置一熔丝位,所述熔丝位用于读取安全芯片的熔丝状态;利用所述熔丝位实现可授权次数仅首次设置有效:
安全芯片执行写入可授权次数指令前,检查熔丝位状态,若熔丝位不变,则允许写入可授权次数;否则,不允许写入可授权次数;在第一次写入可授权次数至安全芯片后,对安全芯片作熔断处理,则熔丝位改变。
进一步的,所述生成授权文件和验证授权文件的具体步骤如下:
S21、设置一对公钥与私钥,授权装置内存有私钥,被授权设备内存有公钥;
S22、授权装置通过私钥对所述设备标识进行签名,得到授权文件,并将授权文件发送至被授权设备;
S23、被授权设备通过公钥对授权文件进行验签,验签成功,则被授权设备获得授权,否则被授权设备未获得授权。
进一步的,所述设备标识为被授权设备内芯片的芯片ID或被授权设备的设备编号。
技术方案二:
一种授权装置,其特征在于,包括:处理器、安全芯片和USB接口;所述处理器分别与安全芯片、USB接口电连接;
所述USB接口用于与被授权设备数据通信;
所述处理器用于通过USB接口获取被授权设备的设备标识,并将设备标识发送至安全芯片;
所述安全芯片用于存储预先写入且不可被其他装置修改的可授权次数,并根据设备标识,判断是否存在与该被授权设备对应的授权文件,若存在,则安全芯片将所述授权文件发送至处理器;否则,安全芯片根据设备标识,生成与该被授权设备对应的授权文件,将可授权次数减一,并将所述授权文件发送至处理器,所述可授权次数为零时,安全芯片不生成授权文件;
所述处理器还用于通过USB接口将授权文件写入至被授权设备。
进一步的,所述安全芯片设置一熔丝位,所述熔丝位用于读取安全芯片的熔丝状态;所述安全芯片设置一熔丝位,所述熔丝位用于读取安全芯片的熔丝状态;安全芯片执行写入可授权次数指令前,检查熔丝位状态,若熔丝位不变,则允许写入可授权次数;否则,不允许写入可授权次数;在第一次写入可授权次数至安全芯片后,对安全芯片作熔断处理,则熔丝位改变。
进一步的,所述安全芯片内存有私钥,被授权设备内存有与所述私钥对应的公钥;
所述安全芯片通过私钥对所述设备标识进行签名,得到授权文件,并将授权文件发送给被授权设备;
被授权设备通过公钥对授权文件进行验签,验签成功,则被授权设备获得授权,否则被授权设备未获得授权。
进一步的,所述设备标识为被授权设备内部芯片的芯片ID或被授权设备的设备编号。
本发明具有如下有益效果:
1、本发明通过控制授权文件的生成次数,固定每个授权装置的可授权次数(即一个授权装置最多可以授权a台设备),同时被授权设备与授权文件一一对应,所得的授权文件不具有通用性,防止通过烧录授权文件以授权多个设备(即一个授权装置授权固定的a台设备),从而实现了对设备授权的管理。
2、本发明利用熔断处理不可逆的物理特性,以熔丝位为是否写入可授权次数的标志,熔丝位不可更改,则避免可授权次数遭到篡改,同时可授权次数可随授权装置的使用而更改。
2、本发明利用非对称算法,被授权设备可以确认授权装置的身份并获取授权文件,实现授权文件与被授权设备的对应关系。
附图说明
图1为本发明流程图;
图2为授权装置结构示意图;
图3为实施例三流程图。
具体实施方式
下面结合附图和具体实施例来对本发明进行详细的说明。
实施例一
一种基于授权装置的设备授权方法,包括如下步骤:
S1、设置授权装置的可授权次数(设备制造商根据客户的实际需求设置可授权次数),且可授权次数仅首次设置有效;
S2、被授权设备通过公钥对设备标识进行加密,得到设备标识密文,并将其发送至授权装置。
授权装置通过私钥对设备标识密文进行解密,得到设备标识。
授权装置中保存有多个设备标识,在其中查找解密得到的设备标识,若存在,则表示装置中存在与该被授权设备对应的授权文件,并将所述授权文件写入被授权设备;否则,授权装置保存解密得到的设备标识,并根据设备标识,生成与该被授权设备对应的授权文件,将可授权次数减一,将所述授权文件写入被授权设备。
所述可授权次数为零时,授权装置不生成授权文件。
S3、被授权设备验证所述授权文件,若验证结果为通过,则被授权设备获得授权,否则被授权设备提示未获得授权,跳转至步骤S2,再次尝试获得授权。
本实施例的有益效果在于:通过控制授权文件的生成次数,固定每个授权装置的可授权次数(即一个授权装置最多可以授权a台设备),同时被授权设备与授权文件一一对应,所得的授权文件不具有通用性,防止通过烧录授权文件以授权多个设备(即一个授权装置可以授权固定的a台设备),从而实现了对设备授权的管理。
实施例二
熔断处理是指熔断芯片中的微小的电阻丝,从而达到保护芯片中重要信息的目的。举例说明:在芯片中常会设置出厂熔丝字节,假设用其中的两个字节(即16根微小电阻丝)保存密钥。芯片出厂时,对这16根微小电阻丝进行熔断处理,将其中一些电阻丝熔断,一些不熔断,熔断代表0,没熔断代表1,那么这16根电阻丝代表了一个16位长的二进制数,即芯片密钥,只有芯片制造商知道芯片密钥的具体数值。但熔丝字节中的数据无法随程序运行而更改。
本实施例中,授权装置内设有一用于存储可授权次数的安全芯片,所述安全芯片设置一熔丝位,所述熔丝位用于读取安全芯片的熔丝状态;利用所述熔丝位实现可授权次数仅首次设置有效:
假设熔丝位初始值为0,熔断处理后为1。安全芯片执行写入可授权次数指令前,检查熔丝位状态,若熔丝位为0,则允许写入可授权次数;否则,不允许写入可授权次数。
此外,本发明所述方法和授权装置工作所需的各类配置数据以可执行文件的形式存储在授权装置中。当可授权次数为零后,设备制造商回收授权装置,将可执行文件和可授权次数一并烧写至授权装置,以实现授权装置的重复利用。
综上,可授权次数的写入只存在两种情况。1、在安全芯片作熔断处理前。2、将可执行文件与授权次数一并烧录至授权装置。
本实施例的进步之处在于,利用熔断处理不可逆的物理特性,以熔丝位为是否写入可授权次数的标志,熔丝位不可更改,则避免可授权次数遭到篡改,同时可授权次数可随授权装置的使用而更改。
实施例三
设备标识为被授权设备内部芯片的芯片ID(比如,STM32每一个芯片内部都有唯一且区别与其他芯片的一个96位的芯片ID)或被授权设备的编号。
根据设备的芯片ID,授权设备的具体步骤如下:
S21、设置一对公钥与私钥,授权装置内存有私钥,被授权设备内存有公钥。
S22、授权装置通过私钥对芯片ID、配置数据(如激活数据、被授权设备工作配置等)进行加密,得到授权文件,并将授权文件和配置数据写入至被授权设备。签名中使用的加密算法为非对称密码算法。
S23、被授权设备通过公钥对授权文件进行解密,比对解密得到的芯片ID、工作数据和被授权设备内存的芯片ID、收到的配置数据,若比对结果一致,则被授权设备获得授权,否则被授权设备未获得授权。
本实施例的进步之处在于,利用非对称算法,确认授权装置的身份并获取授权文件,实现授权文件与被授权设备的对应关系。
实施例四
一种授权装置,包括:处理器、安全芯片和USB接口。
所述USB接口用于与被授权设备数据通信。
所述处理器用于通过USB接口获取被授权设备的设备标识密文,并将设备标识密文发送至安全芯片。
所述安全芯片存储私钥和预先写入且不可被其他装置修改的可授权次数。安全芯片通过私钥对设备标识密文进行解密,得到设备标识。
安全芯片中保存有多个设备标识,在其中查找解密得到的设备标识,若存在,则表示安全芯片中存在与该被授权设备对应的授权文件,并将所述授权文件发送至处理器;否则,安全芯片保存解密得到的设备标识,并根据设备标识,生成与该被授权设备对应的授权文件,将可授权次数减一,将所述授权文件写入处理器。
处理器通过USB接口将授权文件写入至被授权设备。
实施例五
本发明实施例提供一种授权装置,包括:处理器、安全芯片和USB接口。安全芯片执行实施例二和实施例三所示方法。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种基于授权装置的设备授权方法,其特征在于,包括如下步骤:
S1、设置授权装置的可授权次数且可授权次数仅首次设置有效;
S2、授权装置获取被授权设备的设备标识,根据设备标识,判断是否存在与该被授权设备对应的授权文件,若存在,则将所述授权文件写入被授权设备;否则,授权装置根据设备标识,生成与该被授权设备对应的授权文件,将可授权次数减一,并将所述授权文件写入被授权设备,所述可授权次数为零时,授权装置不生成授权文件;
S3、被授权设备验证所述授权文件,若验证结果为通过,则被授权设备获得授权,否则跳转至步骤S2,再次尝试获得授权。
2.根据权利要求1所述的一种基于授权装置的设备授权方法,其特征在于,授权装置内设有一用于存储可授权次数的安全芯片,所述安全芯片设置一熔丝位,所述熔丝位用于读取安全芯片的熔丝状态;利用所述熔丝位实现可授权次数仅首次设置有效:
安全芯片执行写入可授权次数指令前,检查熔丝位状态,若熔丝位不变,则允许写入可授权次数;否则,不允许写入可授权次数;在第一次写入可授权次数至安全芯片后,对安全芯片作熔断处理,则熔丝位改变。
3.根据权利要求2所述的一种基于授权装置的设备授权方法,其特征在于,所述生成授权文件和验证授权文件的具体步骤如下:
S21、设置一对公钥与私钥,授权装置内存有私钥,被授权设备内存有公钥;
S22、授权装置通过私钥对所述设备标识进行签名,得到授权文件,并将授权文件发送至被授权设备;
S23、被授权设备通过公钥对授权文件进行验签,验签成功,则被授权设备获得授权,否则被授权设备未获得授权。
4.根据权利要求3所述的一种基于授权装置的设备授权方法,其特征在于,所述设备标识为被授权设备内芯片的芯片ID或被授权设备的设备编号。
5.一种授权装置,其特征在于,包括:处理器、安全芯片和USB接口;所述处理器分别与安全芯片、USB接口电连接;
所述USB接口用于与被授权设备数据通信;
所述处理器用于通过USB接口获取被授权设备的设备标识,并将设备标识发送至安全芯片;
所述安全芯片用于存储预先写入且不可被其他装置修改的可授权次数,并根据设备标识,判断是否存在与该被授权设备对应的授权文件,若存在,则安全芯片将所述授权文件发送至处理器;否则,安全芯片根据设备标识,生成与该被授权设备对应的授权文件,将可授权次数减一,并将所述授权文件发送至处理器,所述可授权次数为零时,安全芯片不生成授权文件;
所述处理器还用于通过USB接口将授权文件写入至被授权设备。
6.根据权利要求5所述的一种授权装置,其特征在于,所述安全芯片设置一熔丝位,所述熔丝位用于读取安全芯片的熔丝状态;所述安全芯片设置一熔丝位,所述熔丝位用于读取安全芯片的熔丝状态;安全芯片执行写入可授权次数指令前,检查熔丝位状态,若熔丝位不变,则允许写入可授权次数;否则,不允许写入可授权次数;在第一次写入可授权次数至安全芯片后,对安全芯片作熔断处理,则熔丝位改变。
7.根据权利要求6所述的一种授权装置,其特征在于,所述安全芯片内存有私钥,被授权设备内存有与所述私钥对应的公钥;
所述安全芯片通过私钥对所述设备标识进行签名,得到授权文件,并将授权文件发送给被授权设备;
被授权设备通过公钥对授权文件进行验签,验签成功,则被授权设备获得授权,否则被授权设备未获得授权。
8.根据权利要求7所述的一种授权装置,其特征在于,所述设备标识为被授权设备内部芯片的芯片ID或被授权设备的设备编号。
CN202110179327.XA 2021-02-07 2021-02-07 一种基于授权装置的设备授权方法 Active CN112861114B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110179327.XA CN112861114B (zh) 2021-02-07 2021-02-07 一种基于授权装置的设备授权方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110179327.XA CN112861114B (zh) 2021-02-07 2021-02-07 一种基于授权装置的设备授权方法

Publications (2)

Publication Number Publication Date
CN112861114A true CN112861114A (zh) 2021-05-28
CN112861114B CN112861114B (zh) 2023-02-17

Family

ID=75989517

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110179327.XA Active CN112861114B (zh) 2021-02-07 2021-02-07 一种基于授权装置的设备授权方法

Country Status (1)

Country Link
CN (1) CN112861114B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101202752A (zh) * 2004-12-23 2008-06-18 华为技术有限公司 对设备进行授权许可的方法
CN104753864A (zh) * 2013-12-26 2015-07-01 北京大学 权限验证***和权限验证方法
CN105681035A (zh) * 2016-03-04 2016-06-15 河北腾翔软件科技有限公司 一种解决证书私钥多用户重用问题的安全授权方法
CN108932408A (zh) * 2018-08-03 2018-12-04 广东工业大学 一种使能信号控制电路及一种芯片
CN111708991A (zh) * 2020-06-17 2020-09-25 腾讯科技(深圳)有限公司 服务的授权方法、装置、计算机设备和存储介质
CN112165382A (zh) * 2020-09-28 2021-01-01 大唐高鸿信安(浙江)信息科技有限公司 软件授权方法、装置、授权服务端及终端设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101202752A (zh) * 2004-12-23 2008-06-18 华为技术有限公司 对设备进行授权许可的方法
CN104753864A (zh) * 2013-12-26 2015-07-01 北京大学 权限验证***和权限验证方法
CN105681035A (zh) * 2016-03-04 2016-06-15 河北腾翔软件科技有限公司 一种解决证书私钥多用户重用问题的安全授权方法
CN108932408A (zh) * 2018-08-03 2018-12-04 广东工业大学 一种使能信号控制电路及一种芯片
CN111708991A (zh) * 2020-06-17 2020-09-25 腾讯科技(深圳)有限公司 服务的授权方法、装置、计算机设备和存储介质
CN112165382A (zh) * 2020-09-28 2021-01-01 大唐高鸿信安(浙江)信息科技有限公司 软件授权方法、装置、授权服务端及终端设备

Also Published As

Publication number Publication date
CN112861114B (zh) 2023-02-17

Similar Documents

Publication Publication Date Title
CN106656488B (zh) 一种pos终端的密钥下载方法和装置
WO2014139343A1 (zh) 密钥下载方法、管理方法、下载管理方法及装置和***
US20190007215A1 (en) In-vehicle information communication system and authentication method
US20040255119A1 (en) Memory device and passcode generator
JP2015065495A (ja) 暗号鍵供給方法、半導体集積回路および暗号鍵管理装置
CN109635610B (zh) Rfid标签数据的读写***及方法
CN102084313A (zh) 用于数据安全的***和方法
WO2010116618A1 (ja) 鍵実装システム
CN103678994B (zh) 一种具有环境控制的usb加密存储***及方法
US7853787B2 (en) Peripheral device for programmable logic controller
CN103701757A (zh) 业务接入的身份认证方法与***
CN113138775B (zh) 车载诊断***固件保护方法及***
CN111401901B (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
KR20180019179A (ko) 인증 시스템
JP4475386B2 (ja) チップカードの初期化
CN117131552A (zh) 芯片运行方法、装置、电子设备及存储介质
CN112861114B (zh) 一种基于授权装置的设备授权方法
ES2699180T3 (es) Método y sistema para realizar una transacción y para realizar una verificación de acceso legítimo o uso de datos digitales
CN117021770A (zh) 一种基于双安全芯片的打印机耗材鉴别方法及***
CN103281188A (zh) 一种备份电子签名令牌中私钥的方法和***
KR100408890B1 (ko) 다중 인증경로를 이용한 신용거래 인증방법 및 이를이용한 시스템
CN114186292B (zh) 卡式证件密钥初始化方法、密码模块、初始化装置及***
US7788483B1 (en) Method and apparatus of identifying and enabling of functions of a trusted platform module device
CN107343276B (zh) 一种终端的sim卡锁数据的保护方法及***
CN114040221A (zh) 基于机顶盒服务器端双签名的安全认证的防拷贝方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant