CN115470464A - 基于硬件指纹的授权管理*** - Google Patents

Abstract

本发明的实施例公开基于硬件指纹的授权管理***，涉及权限管理技术领域。所述***，包括：授权信息生成模块，用于获取授权请求对应目标设备硬件部件的第一特定位置数据，根据目标设备硬件部件的第一特定位置数据和预设授权信息生成算法，生成目标设备的授权信息并将所述授权信息发送给所述授权请求对应的用户，以使用户根据授权信息请求目标设备***使用权限。本发明实现了离线验证，同时也不会将授权信息存放在设备内部，有效地提高了***安全性、扩展了使用场景。

Description

基于硬件指纹的授权管理***

技术领域

本发明属于权限管理技术领域，尤其涉及基于硬件指纹的授权管理***。

背景技术

为了保证设备安全性，防止人员为了非法牟利盗版合法软件，授权管理***应用而生。目前设备授权管理方案主要有两种，一种为内置激活码验证算法，此验证算法是将激活码信息(授权信息)存放在设备内部，然后使用存放的激活码信息对设备用户输入的激活码信息进行验证，验证通过后将设备***使用权限授权给用户，但是此算法不够安全，易被破解，导致无法较好地管控设备的权限。为了提高安全性，提出了另一种在线激活验证方法，将授权信息独立于设备存放，一般放置在网络远端的验证服务器中，然后验证服务器通过网络对用户输入的授权信息进行验证，避免了授权信息轻易被恶意破解，但是此方法使用并不方便，应用场景也比较有限，一旦没有网络，即在离线场景中，此验证方法就无法使用。

发明内容

有鉴于此，本发明实施例提供基于硬件指纹的授权管理***，用于解决现有设备授权管理方案，安全性较差，使用不方便的问题。本发明能够根据设备部件特定位置数据及预设授权信息生成算法，生成设备的授权信息给到用户，便于用户用此授权信息请求设备***使用权限，实现了离线验证，同时也未将授权信息存放在设备内部，有效地提高了***安全性，扩展了***使用场景。

本发明实施例提供基于硬件指纹的授权管理***，包括：

所述授权信息生成模块，用于获取授权请求对应目标设备硬件部件的第一特定位置数据，根据目标设备硬件部件的第一特定位置数据和预设授权信息生成算法，生成目标设备的授权信息并将所述授权信息发送给所述授权请求对应的用户，以使用户根据授权信息请求目标设备***使用权限。

在一可选实施例中，所述基于硬件指纹的授权管理***，还包括：

设置于设备本地的授权信息验证模块，用于根据包括待校验授权信息和目标设备标识的校验请求，读取目标设备硬件部件的第二特定位置数据，并根据所述第二特定位置数据及预设授权信息验证算法，验证所述待校验授权信息，验证通过后向所述校验请求对应的用户授权目标设备***使用的权限。

在一可选实施例中，所述授权信息生成模块，具体用于通过邮件/纸质记录的方式将目标设备的授权信息发送给所述授权请求对应的用户。

在一可选实施例中，所述目标设备硬件部件，包括设备内存、存储、计算部件中的一个。

在一可选实施例中，所述授权信息生成模块，包括：

第一获取单元，用于根据所述授权请求，获取目标设备硬件部件的第一特定位置数据、第一特定位置数据的位数；

授权信息生成单元，用于根据目标设备硬件部件的第一特定位置的地址编码、第一特定位置数据、第一特定位置数据的位数，基于第一公式计算目标设备的授权信息，并将生成的授权信息发送给用户；

所述授权信息验证模块，包括：

接收单元，用于接收校验请求；

第二获取单元，用于根据所述待校验授权信息及第二公式，获取目标设备硬件部件的第二特定位置数据；

验证单元，用于根据所述待校验授权信息和目标设备硬件部件的第二特定位置数据，基于第三公式计算授予用户的***权限的控制值；并在所述控制值为0时，向用户授权目标设备***使用的权限；

其中，所述第一公式为：

在第一公式中，D₁₆(a)表示计算出的目标设备的授权信息的十六进制形式中的第a位上的数值，a＝1,2,3,…,2*([len(Y₁₆)]₁₆+B)]；W₁₆表示目标设备硬件部件的第一特定位置的地址编码，此编码为十六进制形式；B表示目标设备硬件部件的第一地址编码W₁₆对应的第一特定位置数据的位数，Y₁₆表示目标设备硬件部件的第一地址编码W₁₆对应的第一特定位置数据的前b位数据，采用了十六进制形式，其中b为[1,B]中的随机数；len()表示求取括号内十六进制数据的总位数；％表示取余；<<表示左移符号；

表示十六进制数据{[len(Y₁₆)]₁₆<<B+W₁₆}的第

位上的数值；

表示所述Y₁₆的第

位上的数值。

所述第二公式为：

A₁₆＝y₁₆>>(len(y₁₆)-L)

其中，

在第二公式中，d₁₆表示用户输入的目标设备的授权信息的十六进制形式数据；d₁₆(2×i)表示用户输入的目标设备的授权信息的十六进制形式中的第2×i位上的数值；i表示整数变量，

<<表示左移符号；>>表示右移符号；T₁₆表示第一中间运算量数据，采用十六进制形式；w₁₆表示根据待校验授权信息确定的第二特定位置的地址编码，采用十六进制形式；L表示根据待校验授权信息确定的第二特定位置数据的位数；A₁₆为目标设备硬件部件的第二特定位置数据的前L位数据，y₁₆为目标设备硬件部件的第二特定位置的地址编码w₁₆对应的第二特定位置数据；

所述第三公式为：

第三公式中，E表示授予用户的***权限的控制值；P₁₆表示第二中间运算量数据，采用十六进制形式。

在一可选实施例中，所述B的值为预先设定的固定值；

或者，

所述授权信息生成单元生成的授权信息携带提取位数标签，所述提取位数等于第一特定位置数据的位数；所述校验请求中的所述待校验授权信息包括提取位数标签。

在一可选实施例中，所述授权信息验证模块，还包括：

记录单元，用于在所述验证单元向所述校验请求对应的用户授权目标设备***使用的权限后，将本次用户授权验证通过的信息存储在本地存储空间中；

登录单元，用于检索本地存储空间中是否存在当前登录用户授权验证通过的信息，是则向当前登录用户授权目标设备***使用的权限；否则提示当前登录用户输入目标设备的授权信息。

在一可选实施例中，所述验证单元，还用于在所述授予用户的***权限的控制值为1时，将记录的该用户对应的授权信息错误累计值加1；其中，授权信息错误累计值的初始值为0。

所述授权信息验证模块，还包括：

错误次数控制模块，用于当任一用户对应的授权信息错误累计值大于预设错误阈值时，向该用户提示错误信息，并控制所述接收单元不再接收该用户的校验请求。

本发明提供的基于硬件指纹的授权管理***，能够根据设备部件特定位置数据及预设授权信息生成算法，生成设备的授权信息给到用户，便于用户启动设备时，用此授权信息请求设备***使用权限，实现了离线验证，同时也未将授权信息存放在设备内部，有效地提高了***安全性，扩展了***使用场景。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的基于硬件指纹的授权管理***结构示意图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明实施例提供的基于硬件指纹的授权管理***结构示意图。参见图1，该***包括：

授权信息生成模块1，用于获取授权请求对应目标设备3硬件部件的第一特定位置数据，根据目标设备硬件部件的第一特定位置数据和预设授权信息生成算法，生成目标设备的授权信息并将所述授权信息发送给所述授权请求对应的用户2，以使用户2根据授权信息请求目标设备3***使用权限。

优选地，所述基于硬件指纹的授权管理***，还包括：

设置于设备3本地的授权信息验证模块4，用于根据包括待校验授权信息和目标设备标识的校验请求，读取目标设备3硬件部件的第二特定位置数据，并根据所述第二特定位置数据及预设授权信息验证算法，验证所述待校验授权信息，验证通过后向所述校验请求对应的用户2授权目标设备3***使用的权限。

上述技术方案的有益效果为：本发明提供的基于硬件指纹的授权管理***，首先，在设备出厂时，工作人员可通过独立于设备3的授权信息生成模块1，根据目标设备3硬件部件特定位置数据及预设授权信息生成算法，生成目标设备3的授权信息并发送给用户2。接着在用户2每次启动设备时，在内核完全加载之前，使用特殊程序读取设备3硬件部件(例如内存)中的特定位置数据，然后根据此特定位置数据及设置于设备3本地的授权信息验证模块4，使用预设授权信息验证算法，验证用户2输入的授权信息的正确性，验证正确后将设备使用权限授权给用户2。本发明能够根据设备3部件特定位置数据及预设授权信息验证算法，验证用户输入的授权信息的正确性，实现了离线验证，同时也未将授权信息存放在设备内部，有效地提高了***安全性，扩展了***使用场景。

作为一可选实施例，授权信息生成模块1，具体用于通过邮件/纸质记录的方式将授权信息发送给用户2。

上述技术方案的有益效果为：通过邮件/纸质记录的方式将授权信息发送给用户2，有效地提高了授权信息传输的安全性，避免了信息泄露的风险。特别是以邮件传输的方式，可以在传输前对授权信息进行加密，将进一步的提升授权信息传输安全性。

作为一可选实施例，所述目标设备硬件部件，包括设备内存、存储、计算部件中的一个。

上述技术方案的有益效果为：设备的硬件部件主要包括了可用于存储临时数据的内存，长期存储数据的存储部件(如硬盘)，用于运行计算的计算部件(如CPU)等，这些部件为设备的核心部件，一旦缺失，设备将无法正常运行。将这些部件的特定位置数据作为生成授权信息的核心参数，使得生成的授权信息具有唯一性，并且与设备之间存在的绑定关系，从而保证了设备***的安全性。

作为一可选实施例，所述授权信息生成模块1，包括：

第一获取单元，用于根据所述授权请求，获取目标设备硬件部件的第一特定位置数据、第一特定位置数据的位数；

授权信息生成单元，用于根据目标设备硬件部件的第一特定位置的地址编码、第一特定位置数据、第一特定位置数据的位数，基于第一公式计算目标设备的授权信息，并将生成的授权信息发送给用户；

所述授权信息验证模块4，包括：

接收单元，用于接收校验请求；

第二获取单元，用于根据所述待校验授权信息及第二公式，获取目标设备硬件部件的第二特定位置数据；

验证单元，用于根据所述待校验授权信息和目标设备硬件部件的第二特定位置数据，基于第三公式计算授予用户的***权限的控制值；并在所述控制值为0时，向用户授权目标设备***使用的权限；

其中，所述第一公式为：

在第一公式中，D₁₆(a)表示计算出的目标设备的授权信息的十六进制形式中的第a位上的数值，a＝1,2,3,…,2*([len(Y₁₆)]₁₆+B)]；W₁₆表示目标设备硬件部件的第一特定位置的地址编码，此编码为十六进制形式；B表示目标设备硬件部件的第一地址编码W₁₆对应的第一特定位置数据的位数，Y₁₆表示目标设备硬件部件的第一地址编码W₁₆对应的第一特定位置数据的前b位数据，采用了十六进制形式，其中b为[1,B]中的随机数；len()表示求取括号内十六进制数据的总位数；％表示取余；<<表示左移符号；

表示十六进制数据{[len(Y₁₆)]₁₆<<B+W₁₆}的第

位上的数值；

表示所述Y₁₆的第

位上的数值。

本实施例中，所述B的值为预先设定的固定值，与设备硬件相关，如32位计算机，其B＝4；或者，所述授权信息生成单元生成的授权信息携带提取位数标签，所述提取位数等于第一特定位置数据的位数；所述校验请求中的所述待校验授权信息包括提取位数标签，便于后续开展提取目标设备硬件部件的第二特定位置数据。另外以51单片机为例，51单片机的具体储存器地址分配程序储存器(ROM)的内部地址范围为十六进制的0000-0FFFh，所以对于51单片机来说W₁₆的取值范围就是0000-0FFFh，则可以设置设备ROM的特定位置的地址编码为0111h，对应的存储数据为十六进制的ABCD，B＝4，接着可随机生成小于B的正整数b值为3，则Y₁₆＝ABC，进一步的，将W₁₆＝0111h，B＝4，Y₁₆＝ABC代入第一公式，即可快速的计算获得设备的授权信息。

所述第二公式为：

A₁₆＝y₁₆>>(len(y₁₆)-L) (2)

其中，

在第二公式中，d₁₆表示用户输入的目标设备的授权信息的十六进制形式数据；d₁₆(2×i)表示用户输入的目标设备的授权信息的十六进制形式中的第2×i位上的数值；i表示整数变量，

<<表示左移符号；>>表示右移符号；T₁₆表示第一中间运算量数据，采用十六进制形式；w₁₆表示根据待校验授权信息确定的第二特定位置的地址编码，采用十六进制形式；L表示根据待校验授权信息确定的第二特定位置数据的位数；A₁₆为目标设备硬件部件的第二特定位置数据的前L位数据，y₁₆为目标设备硬件部件的第二特定位置的地址编码w₁₆对应的第二特定位置数据；

所述第三公式为：

第三公式中，E表示授予用户的***权限的控制值；P₁₆表示第二中间运算量数据，采用十六进制形式。若E≠0，则控制不授予所述用户***权限；若E＝0，则控制授予所述用户***权限。

上述技术方案的有益效果为：利用第一公式(1)根据所述设备硬件部件的特定位置数据、特定位置的地址编码以及设备存储数据位数进行数据融合生成所述授权信息，进而利用第一公式生成所述授权信息并告知授权用户作为授权密码，确保授权信息的安全性，与传统激活码验证算法相比，优点在于即便授权信息验证算法被破解，获取特定位置数据的算法也不易被破解；然后利用第二公式(2)根据用户输入的待验证授权信息读取设备硬件部件(例如内存)中的特定位置数据，从而实现根据用户输入的信息获得特定位置数据，一是算法可以保证对特定位置数据的绝对的加密，二是在用户输错授权信息后生成的特定位置数据会大不相同，确保了***的安全可靠；最后利用第三公式(3)根据用户输入的所述授权信息以及第二公式提取到的特定位置数据进行数据校验，确定用户是否有***使用权限，从而利用所述特定位置数据进行比对来控制用户的权限，从而即便授权信息验证算法被破解，获取特定位置数据的算法也不易被破解，同时可以做到设备离线授权，无需连接外网，具有操作方便的优点。

作为一可选实施例，所述授权信息验证模块4，还包括：

记录单元，用于在所述验证单元向所述校验请求对应的用户授权目标设备***使用的权限后，将本次用户授权验证通过的信息存储在本地存储空间中；

登录单元，用于检索本地存储空间中是否存在当前登录用户授权验证通过的信息，是则向当前登录用户授权目标设备***使用的权限；否则提示当前登录用户输入目标设备的授权信息。

上述技术方案的有益效果为：一旦用户输入的授权信息正确后，后续就不用再进行授权信息的输入，实现了一次验证终身有效的效果，将有效的减少后续合法用户输入授权信息的工作量，有效地提高了用户的使用体验。

作为一可选实施例，所述验证单元，还用于在所述授予用户的***权限的控制值为1时，将记录的该用户对应的授权信息错误累计值加1；其中，授权信息错误累计值的初始值为0。

所述授权信息验证模块4，还包括：

错误次数控制模块，用于当任一用户对应的授权信息错误累计值大于预设错误阈值时，向该用户提示错误信息，并控制所述接收单元不再接收该用户的校验请求。

上述技术方案的有益效果为：对用户输入错误的授权信息进行累积计数，当此计数值达到一定阈值时，如10次，就不再对用户输入的授权信息进行验证，从而有效地避免了恶意者暴力破解授权信息，从而保证了授权信息的安全。

从上述实施例的内容可知，在设备出厂后，使用第一公式根据所述设备硬件部件的特定位置数据、特定位置的地址编码以及设备硬件部件存储数据位数进行数据融合生成所述授权信息，当用户需要对***的设备硬件进行使用时，首先用户需要输入所述授权信息，通过所述授权信息读取硬件(例如内存)中的特定位置数据，最后对所述特定位置数据进行校验，校验完成后便可确定是否向用户授权***使用的权限。本发明没有将授权信息存放在设备内部，有效地提高了***安全性，使得授权信息不易破解；也实现了离线验证，扩展了***应用场景。

本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (8)

1.基于硬件指纹的授权管理***，其特征在于，包括：

授权信息生成模块，用于获取授权请求对应目标设备硬件部件的第一特定位置数据，根据目标设备硬件部件的第一特定位置数据和预设授权信息生成算法，生成目标设备的授权信息并将所述授权信息发送给所述授权请求对应的用户，以使用户根据授权信息请求目标设备***使用权限。

2.如权利要求1所述的基于硬件指纹的授权管理***，其特征在于，该***还包括：

设置于设备本地的授权信息验证模块，用于根据包括待校验授权信息和目标设备标识的校验请求，读取目标设备硬件部件的第二特定位置数据，并根据所述第二特定位置数据及预设授权信息验证算法，验证所述待校验授权信息，验证通过后向所述校验请求对应的用户授权目标设备***使用的权限。

3.如权利要求1所述的基于硬件指纹的授权管理***，其特征在于，所述授权信息生成模块，具体用于通过邮件/纸质记录的方式将目标设备的授权信息发送给所述授权请求对应的用户。

4.如权利要求1所述的基于硬件指纹的授权管理***，其特征在于，所述目标设备硬件部件，包括设备内存、存储、计算部件中的一个。

5.如权利要求2所述的基于硬件指纹的授权管理***，其特征在于，所述授权信息生成模块，包括：

第一获取单元，用于根据所述授权请求，获取目标设备硬件部件的第一特定位置数据、第一特定位置数据的位数；

授权信息生成单元，用于根据目标设备硬件部件的第一特定位置的地址编码、第一特定位置数据、第一特定位置数据的位数，基于第一公式计算目标设备的授权信息，并将生成的授权信息发送给用户；

所述授权信息验证模块，包括：

接收单元，用于接收校验请求；

第二获取单元，用于根据所述待校验授权信息及第二公式，获取目标设备硬件部件的第二特定位置数据；

验证单元，用于根据所述待校验授权信息和目标设备硬件部件的第二特定位置数据，基于第三公式计算授予用户的***权限的控制值，并在所述控制值为0时，向用户授权目标设备***使用的权限；

其中，所述第一公式为：

在第一公式中，D₁₆(a)表示计算出的目标设备的授权信息的十六进制形式中的第a位上的数值，a＝1,2,3,…,2*([len(Y₁₆)]₁₆+B)]；W₁₆表示目标设备硬件部件的第一特定位置的地址编码，此编码为十六进制形式；B表示目标设备硬件部件的第一地址编码W₁₆对应的第一特定位置数据的位数，Y₁₆表示目标设备硬件部件的第一地址编码W₁₆对应的第一特定位置数据的前b位数据，采用了十六进制形式，其中b为[1,B]中的随机数；len()表示求取括号内十六进制数据的总位数；％表示取余；<<表示左移符号；

表示十六进制数据{[len(Y₁₆)]₁₆<<B+W₁₆}的第

位上的数值；

表示所述Y₁₆的第

位上的数值。

所述第二公式为：

A₁₆＝y₁₆>>(len(y₁₆)-L)

其中，

在第二公式中，d₁₆表示用户输入的目标设备的授权信息的十六进制形式数据；d₁₆(2×i)表示用户输入的目标设备的授权信息的十六进制形式中的第2×i位上的数值；i表示整数变量，

<<表示左移符号；>>表示右移符号；T₁₆表示第一中间运算量数据，采用十六进制形式；w₁₆表示根据待校验授权信息确定的第二特定位置的地址编码，采用十六进制形式；L表示根据待校验授权信息确定的第二特定位置数据的位数；A₁₆为目标设备硬件部件的第二特定位置数据的前L位数据，y₁₆为目标设备硬件部件的第二特定位置的地址编码w₁₆对应的第二特定位置数据；

所述第三公式为：

第三公式中，E表示授予用户的***权限的控制值；P₁₆表示第二中间运算量数据，采用十六进制形式。

6.如权利要求5所述的基于硬件指纹的授权管理***，其特征在于，所述B的值为预先设定的固定值；

或者，

所述授权信息生成单元生成的授权信息携带提取位数标签，所述提取位数等于第一特定位置数据的位数；所述校验请求中的所述待校验授权信息包括提取位数标签。

7.如权利要求5所述的基于硬件指纹的授权管理***，其特征在于，所述授权信息验证模块，还包括：

记录单元，用于在所述验证单元向所述校验请求对应的用户授权目标设备***使用的权限后，将本次用户授权验证通过的信息存储在本地存储空间中；

登录单元，用于检索本地存储空间中是否存在当前登录用户授权验证通过的信息，是则向当前登录用户授权目标设备***使用的权限；否则提示当前登录用户输入目标设备的授权信息。

8.如权利要求5所述的基于硬件指纹的授权管理***，其特征在于，所述验证单元，还用于在所述授予用户的***权限的控制值为1时，将记录的该用户对应的授权信息错误累计值加1；其中，授权信息错误累计值的初始值为0。

所述授权信息验证模块，还包括：

错误次数控制模块，用于当任一用户对应的授权信息错误累计值大于预设错误阈值时，向该用户提示错误信息，并控制所述接收单元不再接收该用户的校验请求。

Images