一種基于數(shù)據(jù)鏈路加密傳輸?shù)木W(wǎng)絡(luò)認(rèn)證方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種基于數(shù)據(jù)鏈路加密傳輸?shù)木W(wǎng)絡(luò)認(rèn)證方法和系統(tǒng)。網(wǎng)絡(luò)鏈接數(shù)據(jù)采用非對稱算法進(jìn)行加密后傳輸���,防止網(wǎng)絡(luò)監(jiān)聽和注入��,網(wǎng)絡(luò)身份信息為特定的設(shè)備硬件和軟件信息��,具備唯一性�。網(wǎng)路認(rèn)證啟動(dòng)過程中會(huì)進(jìn)行網(wǎng)絡(luò)密鑰和身份信息的更新����,以限定了網(wǎng)絡(luò)傳輸密鑰和身份信息的時(shí)效周期。并且���,通過對稱加密算法進(jìn)行隨機(jī)認(rèn)證即網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證�����,增加數(shù)據(jù)被監(jiān)聽破解的難度��,有效防止設(shè)備在身份認(rèn)證成功后被轉(zhuǎn)移到其他地方運(yùn)行�����。本發(fā)明可以有效防止鏈路被監(jiān)聽����,防止認(rèn)證文件泄漏傳播使用;如果認(rèn)證文件被泄漏使用���,通過合法用戶的及時(shí)反饋�,服務(wù)器能及時(shí)發(fā)現(xiàn)設(shè)備終端的設(shè)備網(wǎng)絡(luò)信息����。
【專利說明】一種基于數(shù)據(jù)鏈路加密傳輸?shù)木W(wǎng)絡(luò)認(rèn)證方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于信息【技術(shù)領(lǐng)域】,具體涉及一種基于數(shù)據(jù)鏈路加密傳輸?shù)木W(wǎng)絡(luò)認(rèn)證方法 和系統(tǒng)���。
【背景技術(shù)】
[0002] 隨著計(jì)算機(jī)軟硬件的發(fā)展,為了更好的保護(hù)計(jì)算機(jī)軟硬件產(chǎn)品的知識產(chǎn)權(quán)���,生產(chǎn) 廠商往往采用各種加密認(rèn)證技術(shù)����,以確保產(chǎn)品被合法使用,避免盜版盜鏈����,有效的保護(hù)開發(fā) 者的正當(dāng)權(quán)益。當(dāng)前流行的軟硬件保護(hù)方法有以下幾種:
[0003] 序列號保護(hù):當(dāng)用戶想獲取某個(gè)軟件使用權(quán)時(shí)��,需要到相關(guān)的軟件公司注冊相關(guān) 信息�����,按照一系列的注冊步驟在軟件中輸入相應(yīng)的信息���,比如使用人�����、版本���、郵箱等相關(guān)信 息,其注冊信息的合法性由軟件驗(yàn)證通過后�����,軟件會(huì)給用戶返回一個(gè)序列號。
[0004] 注冊文件保護(hù):是一種利用文件來注冊軟件的保護(hù)方式�����。注冊文件一般不大�����,可以 是純文本文件�����,也可以是純二進(jìn)制文件����,文件內(nèi)容是一些加密過或未加密過的數(shù)據(jù)。原始數(shù) 據(jù)有可能為用戶注冊一些信息���,用戶名��、軟件版本�、用戶聯(lián)系方式等�����。注冊文件的注冊獲取 機(jī)制和序列號方式機(jī)制相似�����。
[0005] 軟件狗保護(hù):是一種硬件的加密工具��,它是一種硬件電路�����,需要接入計(jì)算機(jī)上的串 口或者并口�,當(dāng)程序運(yùn)行時(shí),軟件從硬件電路接口讀取其中的數(shù)據(jù)����。如果軟件狗返回正確的 數(shù)據(jù)的話,軟件可以正常使用���,否則軟件將會(huì)停止工作����,并且向用戶顯示出錯(cuò)的提示���。
[0006] 目前�����,雖然序列號和注冊文件機(jī)制被廣泛使用���,但是其存在的問題也非常突出:
[0007] 1�、序列號或注冊文件在存儲(chǔ)和使用上本身是不安全的�����,認(rèn)證信息存放在相關(guān)軟件 相同的存儲(chǔ)介質(zhì)上���,容易被黑客竊取��。序列號和注冊文件均為本地認(rèn)證方法���,通過內(nèi)存映像 等數(shù)據(jù)分析手段,容易被破解和拷貝���。
[0008] 2���、軟件狗在出廠后算法等都已固定,存在被盜用和丟失等情況,加密數(shù)據(jù)容易被 本地?cái)r截�、內(nèi)存鏡像破解等。
【發(fā)明內(nèi)容】
[0009] 本發(fā)明針對上述問題��,提出了一種基于數(shù)據(jù)鏈路加密傳輸?shù)木W(wǎng)絡(luò)認(rèn)證方法和系 統(tǒng)�����,可以有效防止鏈路被監(jiān)聽�,防止認(rèn)證文件泄漏傳播使用�����。如果認(rèn)證文件被泄漏使用����,通 過合法用戶的及時(shí)反饋(認(rèn)證文件被泄漏使用后,合法用戶將不能使用該認(rèn)證文件啟動(dòng)系 統(tǒng))��,服務(wù)器能及時(shí)發(fā)現(xiàn)違法設(shè)備終端的設(shè)備網(wǎng)絡(luò)信息����。
[0010] 為實(shí)現(xiàn)上述目的,本發(fā)明采用如下技術(shù)方案:
[0011] 一種基于數(shù)據(jù)鏈路加密傳輸?shù)木W(wǎng)絡(luò)認(rèn)證方法��,包括網(wǎng)絡(luò)身份認(rèn)證和網(wǎng)絡(luò)身份更新 過程,其步驟包括:
[0012] 1)在設(shè)備端和服務(wù)器端均存儲(chǔ)該設(shè)備端的身份識別信息�����,設(shè)備端和服務(wù)器端的通 信鏈路采用非對稱加密算法加密傳輸���,設(shè)備端通過公鑰加密傳輸�,服務(wù)器端通過私鑰加密 傳輸���;
[0013] 2)啟動(dòng)設(shè)備端��,根據(jù)其中存儲(chǔ)的身份識別信息組建身份認(rèn)證數(shù)據(jù)包���,并向服務(wù)器 端發(fā)送網(wǎng)絡(luò)身份認(rèn)證指令;
[0014] 3)服務(wù)器端收到網(wǎng)絡(luò)身份認(rèn)證指令后�,查詢本地存儲(chǔ)的設(shè)備端的身份識別信息以 進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果發(fā)送至設(shè)備端�����;
[0015] 4)設(shè)備端收到認(rèn)證結(jié)果后�,如果認(rèn)證失敗則退出,如果認(rèn)證成功則向服務(wù)器端發(fā) 送網(wǎng)絡(luò)身份更新指令��;
[0016] 5)服務(wù)器端收到網(wǎng)絡(luò)身份更新指令后,生成新的密鑰對和新的身份識別信息�����,并 將新的密鑰對中的公鑰和新的身份識別信息送到設(shè)備端���;
[0017] 6)設(shè)備端接收到新的身份識別信息和公鑰后,向服務(wù)器端發(fā)送同步更新指令�����,同 時(shí)更新本地的身份識別信息和公鑰�;
[0018] 7)服務(wù)器端收到同步更新指令后,更新本地的私鑰���,并回應(yīng)同步更新指令�;
[0019] 8)設(shè)備端使用新傳輸密鑰發(fā)送更新結(jié)束指令���,服務(wù)器端使用新傳輸密鑰回應(yīng)更新 結(jié)束指令��。
[0020] 進(jìn)一步地��,所述身份識別信息為設(shè)備端的系統(tǒng)信息�,包括CPU序列號、硬盤序列號 等設(shè)備硬件信息和軟件信息以及設(shè)備識別碼�。
[0021] 進(jìn)一步地,在網(wǎng)絡(luò)身份認(rèn)證過程中記錄連接信息�,通過這些連接信息對設(shè)備端進(jìn) 行跟蹤定位。
[0022] 進(jìn)一步地�����,通過日志記錄網(wǎng)絡(luò)身份更新過程�����,如果網(wǎng)絡(luò)更新過程不完整�����,則將傳輸 密鑰和身份信息回滾到原始信息����。
[0023] 進(jìn)一步地,上述方法還包括網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證過程:在設(shè)備運(yùn)行過程中����,通過加密隨機(jī) 數(shù)進(jìn)行網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證,即進(jìn)行不定時(shí)的在線認(rèn)證�。不定時(shí)認(rèn)證的加密算法采用對稱加密算 法(比如DES��、3DES�����、RC4��、RC5等��,設(shè)備端和服務(wù)器端可形成算法庫�����,加密算法可隨時(shí)更換)。 所述網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證的步驟包括:
[0024] a)在設(shè)備端和服務(wù)器端存儲(chǔ)多組密鑰和多組隨機(jī)數(shù)�����;
[0025] b)設(shè)備端向服務(wù)器端發(fā)送實(shí)時(shí)認(rèn)證指令��;
[0026] c)服務(wù)器端收到實(shí)時(shí)認(rèn)證指令后����,隨機(jī)生成兩個(gè)隨機(jī)數(shù)序號NO、N1�����,同時(shí)從本地 密鑰中取出第N0組密鑰,對本地隨機(jī)數(shù)中的第N1組隨機(jī)數(shù)進(jìn)行加密得到數(shù)據(jù)串S0,將N0�����、 Nl�、SO組成數(shù)據(jù)發(fā)送到設(shè)備端;
[0027] d)設(shè)備端收到數(shù)據(jù)后����,解析出、附�����、50���,然后從本地密鑰中取出第_組密鑰�,對 本地隨機(jī)數(shù)中第N1組的隨機(jī)數(shù)進(jìn)行加密得到S1 ;然后比對S0和S1數(shù)字串�����,如果比對成功����, 則實(shí)時(shí)認(rèn)證成功�,如果比對失敗�,則認(rèn)證失敗,程序退出�。如果算法密鑰和明文相同,而加密 后產(chǎn)生的密文不同����,這種的情況下,設(shè)備端收到數(shù)據(jù)后�����,從本地密鑰庫中取出第N0組密鑰�, 而后從密文S0中還原出隨機(jī)數(shù)RAND0,而后從本地隨機(jī)數(shù)中取出第N1組隨機(jī)數(shù)RAND1��,比 對RAND0和RAND1�����,如果比對成功則實(shí)時(shí)認(rèn)證成功���,如果比對失敗則認(rèn)證失敗��。
[0028] -種采用上述方法的基于數(shù)據(jù)鏈路加密傳輸?shù)木W(wǎng)絡(luò)認(rèn)證系統(tǒng)��,包括設(shè)備端和服務(wù) 器端����,在設(shè)備端和服務(wù)器端均存儲(chǔ)設(shè)備端的身份識別信息,設(shè)備端和服務(wù)器端的通信鏈路 采用非對稱加密算法加密傳輸�����,設(shè)備端通過公鑰加密傳輸傳輸�����,服務(wù)器端通過私鑰加密傳 輸��。
[0029] 進(jìn)一步地����,在設(shè)備端和服務(wù)器端還存儲(chǔ)多組密鑰和多組隨機(jī)數(shù),用于在設(shè)備運(yùn)行 過程中通過加密隨機(jī)數(shù)進(jìn)行網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證���。
[0030] 本發(fā)明的關(guān)鍵點(diǎn)包括:1.網(wǎng)絡(luò)鏈接數(shù)據(jù)傳輸采用非對稱算法進(jìn)行加密后傳輸�,防 止網(wǎng)絡(luò)監(jiān)聽和注入��,網(wǎng)絡(luò)身份信息為特定的設(shè)備硬件(特定設(shè)備硬件序列號等)和軟件信 息(軟件序列號),具備唯一性���。2.網(wǎng)絡(luò)身份更新�,網(wǎng)路認(rèn)證啟動(dòng)過程中會(huì)進(jìn)行網(wǎng)絡(luò)密鑰和 身份信息的更新����,這樣就限定了網(wǎng)絡(luò)傳輸密鑰和身份信息的時(shí)效周期,時(shí)效周期是設(shè)備軟 件的相鄰兩次啟動(dòng)過程的網(wǎng)絡(luò)身份更新的時(shí)間間隔�。并且,認(rèn)證過程中記錄了網(wǎng)絡(luò)連接信 息��,通過這些連接信息可跟蹤定位設(shè)備使用端����。3.網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證,通過對稱加密算法進(jìn)行隨 機(jī)認(rèn)證���,增加數(shù)據(jù)被監(jiān)聽破解的難度��,同時(shí)網(wǎng)絡(luò)不定時(shí)的實(shí)時(shí)認(rèn)證,可以有效防止設(shè)備在身 份認(rèn)證成功后被轉(zhuǎn)移到其他地方運(yùn)行�����。
[0031] 采用本發(fā)明的網(wǎng)絡(luò)認(rèn)證方法,設(shè)備啟動(dòng)時(shí)����,需要對設(shè)備終端進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,并 且進(jìn)行網(wǎng)絡(luò)身份和密鑰更新����,縮短了網(wǎng)絡(luò)身份信息和密鑰的時(shí)效周期。設(shè)備每次啟動(dòng)連接 過程在服務(wù)器都有相關(guān)記錄�����,所以����,即便設(shè)備身份信息泄露被不法使用,也能有效跟蹤定位 鏈接信息����。網(wǎng)絡(luò)身份一旦被泄露使用,合法的設(shè)備終端將不能登錄認(rèn)證服務(wù)器��,通過用戶及 時(shí)反饋更新網(wǎng)絡(luò)傳輸密鑰和身份識別信息����,已經(jīng)泄露的身份信息將不能使用���,這極大提高 了黑客的破解成本。設(shè)備運(yùn)行過程中�,進(jìn)行不定時(shí)的加密隨機(jī)數(shù)認(rèn)證,可以有效防止鏈路監(jiān) 聽�����、增強(qiáng)破解難度��,防止設(shè)備轉(zhuǎn)移盜用����。
【專利附圖】
【附圖說明】
[0032] 圖1是實(shí)施例中網(wǎng)絡(luò)身份認(rèn)證的流程圖。
[0033] 圖2是實(shí)施例中網(wǎng)絡(luò)身份更新的流程圖��。
[0034] 圖3是實(shí)施例中網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證的流程圖��。
【具體實(shí)施方式】
[0035] 為使本發(fā)明的上述目的�、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面通過具體實(shí)施例和 附圖��,對本發(fā)明做進(jìn)一步說明�。
[0036] 本發(fā)明采取的網(wǎng)絡(luò)認(rèn)證方案由設(shè)備端(或稱設(shè)備終端、客戶端)和服務(wù)器端(或 稱認(rèn)證服務(wù)器)共同構(gòu)成���。設(shè)備端和服務(wù)器端的通信鏈路采用非對稱加密算法加密傳輸�, 設(shè)備端通過public-key加密傳輸�,服務(wù)器端通過private-key加密傳輸。設(shè)備端和服務(wù)器 端應(yīng)該具備如下面表1所示的文件:
[0037] 表1.設(shè)備端和服務(wù)器端的文件
[0038]
【權(quán)利要求】
1. 一種基于數(shù)據(jù)鏈路加密傳輸?shù)木W(wǎng)絡(luò)認(rèn)證方法���,其步驟包括: 1) 在設(shè)備端和服務(wù)器端均存儲(chǔ)該設(shè)備端的身份識別信息�,設(shè)備端和服務(wù)器端的通信 鏈路采用非對稱加密算法加密傳輸���,設(shè)備端通過公鑰加密傳輸��,服務(wù)器端通過私鑰加密傳 輸��; 2) 啟動(dòng)設(shè)備端�����,根據(jù)其中存儲(chǔ)的身份識別信息組建身份認(rèn)證數(shù)據(jù)包����,并向服務(wù)器端發(fā) 送網(wǎng)絡(luò)身份認(rèn)證指令����; 3) 服務(wù)器端收到網(wǎng)絡(luò)身份認(rèn)證指令后���,查詢本地存儲(chǔ)的設(shè)備端的身份識別信息以進(jìn)行 認(rèn)證,并將認(rèn)證結(jié)果發(fā)送至設(shè)備端��; 4) 設(shè)備端收到認(rèn)證結(jié)果后����,如果認(rèn)證失敗則退出,如果認(rèn)證成功則向服務(wù)器端發(fā)送網(wǎng) 絡(luò)身份更新指令��; 5) 服務(wù)器端收到網(wǎng)絡(luò)身份更新指令后���,生成新的密鑰對和新的身份識別信息����,并將新 的密鑰對中的公鑰和新的身份識別信息送到設(shè)備端��; 6) 設(shè)備端接收到新的身份識別信息和公鑰后�,向服務(wù)器端發(fā)送同步更新指令,同時(shí)更 新本地的身份識別信息和公鑰���; 7) 服務(wù)器端收到同步更新指令后��,更新本地的私鑰��,并回應(yīng)同步更新指令�����; 8) 設(shè)備端使用新傳輸密鑰發(fā)送更新結(jié)束指令��,服務(wù)器端使用新傳輸密鑰回應(yīng)更新結(jié)束 指令�����。
2. 如權(quán)利要求1所述的方法����,其特征在于:所述身份識別信息為設(shè)備端的系統(tǒng)信息�,包 括CPU序列號、硬盤序列號����、設(shè)備識別碼。
3. 如權(quán)利要求1所述的方法�����,其特征在于:在網(wǎng)絡(luò)身份認(rèn)證過程中記錄連接信息,通過 這些連接信息對設(shè)備端進(jìn)行跟蹤定位�����。
4. 如權(quán)利要求1所述的方法����,其特征在于:通過日志記錄網(wǎng)絡(luò)身份更新過程,如果網(wǎng)絡(luò) 更新過程不完整�����,則將傳輸密鑰和身份信息回滾到原始信息�����。
5. 如權(quán)利要求1所述的方法����,其特征在于:在設(shè)備運(yùn)行過程中,通過加密隨機(jī)數(shù)進(jìn)行網(wǎng) 絡(luò)實(shí)時(shí)認(rèn)證��,即進(jìn)行不定時(shí)的在線認(rèn)證�����;所述網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證的加密算法采用對稱加密算法。
6. 如權(quán)利要求5所述的方法����,其特征在于,所述網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證的步驟包括: a) 在設(shè)備端和服務(wù)器端存儲(chǔ)多組密鑰和多組隨機(jī)數(shù)�����; b) 設(shè)備端向服務(wù)器端發(fā)送實(shí)時(shí)認(rèn)證指令�; c) 服務(wù)器端收到實(shí)時(shí)認(rèn)證指令后��,隨機(jī)生成兩個(gè)隨機(jī)數(shù)序號NO�����、N1��,同時(shí)從本地密鑰 中取出第NO組密鑰��,對本地隨機(jī)數(shù)中的第N1組隨機(jī)數(shù)進(jìn)行加密得到數(shù)據(jù)串S0,將NO����、N1、 SO組成數(shù)據(jù)發(fā)送到設(shè)備端���; d) 設(shè)備端收到數(shù)據(jù)后�,解析出NO、Nl�����、S0,然后從本地密鑰中取出第NO組密鑰��,對本地 隨機(jī)數(shù)中第N1組的隨機(jī)數(shù)進(jìn)行加密得到S1 ;然后比對SO和S1數(shù)字串���,如果比對成功�����,則 實(shí)時(shí)認(rèn)證成功��,如果比對失敗�����,則認(rèn)證失敗����,程序退出。
7. 如權(quán)利要求6所述的方法���,其特征在于:所述網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證過程中���,如果算法密鑰 和明文相同,而加密后產(chǎn)生的密文不同���,則設(shè)備端收到數(shù)據(jù)后�����,從本地密鑰庫中取出第NO 組密鑰�����,而后從密文SO中還原出隨機(jī)數(shù)RAND0,而后從本地隨機(jī)數(shù)中取出第N1組隨機(jī)數(shù) RAND1,比對RAND0和RAND1�����,如果比對成功則實(shí)時(shí)認(rèn)證成功����,如果比對失敗則認(rèn)證失敗。
8. -種采用權(quán)利要求1所述方法的基于數(shù)據(jù)鏈路加密傳輸?shù)木W(wǎng)絡(luò)認(rèn)證系統(tǒng)�����,其特征在 于,包括設(shè)備端和服務(wù)器端����,在設(shè)備端和服務(wù)器端均存儲(chǔ)設(shè)備端的身份識別信息,設(shè)備端和 服務(wù)器端的通信鏈路采用非對稱加密算法加密傳輸����,設(shè)備端通過公鑰加密傳輸傳輸,服務(wù) 器端通過私鑰加密傳輸��。
9.如權(quán)利要求8所述的系統(tǒng)�,其特征在于:在設(shè)備端和服務(wù)器端還存儲(chǔ)多組密鑰和多 組隨機(jī)數(shù),用于在設(shè)備運(yùn)行過程中通過加密隨機(jī)數(shù)進(jìn)行網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證��;所述網(wǎng)絡(luò)實(shí)時(shí)認(rèn)證 的加密算法采用對稱加密算法�����。
【文檔編號】H04L29/06GK104125239SQ201410400813
【公開日】2014年10月29日 申請日期:2014年8月14日 優(yōu)先權(quán)日:2014年8月14日
【發(fā)明者】杜志波 申請人:北京銳安科技有限公司