CN103456323A - 一种光盘刻录与授权使用的方法 - Google Patents
一种光盘刻录与授权使用的方法 Download PDFInfo
- Publication number
- CN103456323A CN103456323A CN2013103571575A CN201310357157A CN103456323A CN 103456323 A CN103456323 A CN 103456323A CN 2013103571575 A CN2013103571575 A CN 2013103571575A CN 201310357157 A CN201310357157 A CN 201310357157A CN 103456323 A CN103456323 A CN 103456323A
- Authority
- CN
- China
- Prior art keywords
- grantee
- authorized person
- unique identification
- digital envelope
- writer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
Abstract
本发明涉及一种光盘刻录与授权使用的方法。其中,光盘刻录的方法包括以下步骤:根据接收到的被授权者的唯一标识计算出被授权者的公钥,并产生一随机数R;采用被授权者的公钥对被授权者的唯一标识及随机数R进行加密,得到被授权者的数字信封;将被授权者的数字信封写入光盘的保留区;以及将需要刻录到光盘的数据先通过刻录机的加密芯片加密后再写入光盘的数据区。本发明
在CPK标识认证体系支持下,在离线状态下可执行授权/鉴权认证功能,实现“一机器一密钥,一光盘一密钥”的用户级别的细粒度控制,从而提高光盘的数据安全性。
Description
技术领域
本发明涉及光盘刻录与授权使用的方法。
背景技术
目前市面上主要的加密刻录设备主要是以软件加密和硬件加密的方式实现光盘存储数据的加解密。软件加密方式实现光盘存储数据加密的安全性不够,而通过硬件加密方式实现的加密刻录机尽管密钥存在加密芯片中,并且在芯片内完成加解密操作,在安全性上有所保障,但当前市面上通用的授权/鉴权认证机制PKI在密钥交换过程中需要在线支持,不能满足加密刻录机的离线认证需求,而且造成同一批次出厂的加密刻录机的密钥是相同的。如此一来,同一批次出厂的加密刻录设备都能访问光盘中的加密数据,不能做到用户级别的细粒度控制。
发明内容
本发明的目的在于提出一种光盘刻录与授权使用的方法,其能解决无法对用户级别的细粒度控制。
为了达到上述目的,本发明所采用的技术方案如下:
一种光盘刻录的方法,其包括以下步骤:
A、根据接收到的被授权者的唯一标识计算出被授权者的公钥,并产生一随机数R;
B、采用被授权者的公钥对被授权者的唯一标识及随机数R进行加密,得到被授权者的数字信封;
C、将被授权者的数字信封写入光盘的保留区;
D、将需要刻录到光盘的数据先通过刻录机的加密芯片加密后再写入光盘的数据区。
优选的,步骤B中,被授权者的数字信封采用SM2算法进行运算得到。
优选的,步骤C中,还将刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码写入光盘的保留区;其中,所述校验码由刻录机版本号、授权者的唯一标识、授权者的签名和数字信封数量采用SM3算法进行运算得到。进一步优选的,所述授权者签名由对第一个数字信封的散列值使用授权者的私钥进行签名得到。
本发明还提出一种光盘授权使用的方法,其包括以下步骤:
A、读取存储在光盘的保留区的数字信封,并用预存的私钥对所述数字信封进行解密得到被授权者的唯一标识;
B、判断解密得到的被授权者的唯一标识是否与预存的唯一标识相同,若是,则取出所述数字信封中的随机数R,若否,则结束流程;
C、通过刻录机的加密芯片采用所述随机数R进行解密后,读取存储在光盘的数据区的数据。
优选的,在执行步骤A之前,还有以下步骤:读取存储在光盘的保留区的刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码,采用SM3算法对刻录机版本号、授权者的唯一标识、授权者签名和数字信封数量进行运算得到校验值,判断校验值与校验码是否相同,若是,则继续执行流程,若否,则结束流程。
本发明具有如下有益效果:
在CPK标识认证体系支持下,在离线状态下可执行授权/鉴权认证功能,实现“一机器一密钥,一光盘一密钥”的用户级别的细粒度控制,从而提高光盘的数据安全性。
附图说明
图1为本发明较佳实施例的光盘刻录的方法的流程图;
图2为本发明较佳实施例的光盘授权使用的方法的流程图;
图3为本发明较佳实施例的光盘刻录与授权使用的方法应用的刻录系统的原理图;
图4为本发明较佳实施例的光盘刻录与授权使用的方法应用的刻录机原理的示意图;
图5为本发明较佳实施例的光盘刻录与授权使用的方法应用的光盘的格式示意图;
图6为本发明较佳实施例的光盘刻录的方法的软件流程图;
图7为本发明较佳实施例的光盘授权使用的方法的软件流程图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述。
首先,对涉及到的技术术语进行解释说明。
SM1:国密局许可的对称加密算法,一般用于硬件加解密。
SM2:国密局许可的非对称加密算法。
SM3:国密局许可的散列算法,一般用于数据校验。
授权者:指刻录光盘,并将光盘授予给其它人使用的人或者设备。
被授权者:指能够正常读取由授权者授予的光盘的人或者设备。
关于CPK标识认证体制:CPK组合公钥提供了将现存的公钥体制变为基于标识的公钥体制的一种通用方法。只有基于标识的公钥体制,才能将密钥生成和密钥分发有机统一起来,大大简化了密钥管理,同时为防止量子计算的穷举攻击提供了可能。基于标识的公钥直接应用于标识鉴别(不依赖任何信任关系或第三方),标识鉴别是网际安全(cyber security)的核心技术。标识是一个实体的唯一名称,具有公认性,如一个人的真实姓名、电话号码、银行帐号、IP地址等等,因此标识鉴别,不仅能解决人对人的鉴别,也能解决物对物的鉴别。
如图1所示,一种光盘刻录的方法,其包括以下步骤:
步骤S101、根据接收到的被授权者的唯一标识计算出被授权者的公钥,并产生一随机数R;
步骤S102、采用被授权者的公钥对被授权者的唯一标识及随机数R进行加密,得到被授权者的数字信封;被授权者的数字信封采用SM2算法进行运算得到,即被授权者的公钥采用SM2算法对被授权者的唯一标识及随机数R进行加密;
步骤S103、将刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量、校验码和被授权者的数字信封写入光盘的保留区;其中,所述校验码由刻录机版本号、授权者的唯一标识、授权者的签名和数字信封数量采用SM3算法进行运算得到;所述授权者签名由对第一个数字信封的散列值使用授权者的私钥进行签名得到;
步骤S104、将需要刻录到光盘的数据先通过刻录机的加密芯片加密后再写入光盘的数据区,其中,加密芯片采用SM1算法对数据进行加密。
如图2所示,一种光盘授权使用的方法,其包括以下步骤:
A、读取存储在光盘的保留区的刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码,采用SM3算法对刻录机版本号、授权者的唯一标识、授权者签名和数字信封数量进行运算得到校验值,判断校验值与校验码是否相同,若是,则继续执行流程,若否,则结束流程;
B、读取存储在光盘的保留区的数字信封,并用预存的私钥对所述数字信封进行解密得到被授权者的唯一标识;
C、判断解密得到的被授权者的唯一标识是否与预存的唯一标识相同,若是,则取出所述数字信封中的随机数R,若否,则结束流程;
D、通过刻录机的加密芯片采用所述随机数R进行解密后,读取存储在光盘的数据区的数据。
下面,结合具体的刻录系统对本实施例进行详细说明。
如图3和图4所示,该刻录系统包括三部分:密钥管理系统(KMC)、上位机刻录软件、刻录机。
(1)密钥管理系统(KMC)
密钥管理系统基于CPK标识认证体制实现,负责为每一台设备进行密钥产生、分发。当要生产一台刻录机时,由密钥管理系统将密钥管理系统标识、通用密钥、散列密钥、公钥矩阵、私钥、置换列表等CPK体制的参数分发给该刻录机,并为该刻录机分发唯一标识(CPKID),该唯一标识在光盘授权的时候使用,根据标识生成授权信息。该刻录机存储了以上的CPK体制的参数后,在实际刻录的时候,会将被授权者(其它刻录机)的唯一标识进行计算和推导出该被授权者的公钥,进而生成授权信息(数字信封),达到授权光盘的目的。
(2)上位机刻录软件
上位机刻录软件负责提供光盘刻录功能及与刻录机进行数据通信,让刻录机生成授权信息。在用户执行光盘刻录操作时,上位机刻录软件先将被授权者的唯一标识下发给刻录机,刻录机收到后,将会按照CPK标识认证体制的原理,产生授权信息(数字信封),并将授权信息写入光盘。写完授权信息后,将会执行刻录光盘的操作,将用户所指定的内容刻录到光盘中。
(3)刻录机
刻录机主要有两部分组成:刻录机固件、刻录机加密芯片。
刻录机固件负责处理上位机刻录软件发来的命令。在上位机刻录软件发起刻录的时候,刻录机接收被授权者的唯一标识,并根据CPK标识认证体制的原理,计算和推导出该被授权者对应的公钥。同时随机产生一个随机数R,作为光盘数据加解密的密钥,该随机数用于加密光盘的数据。将该随机数和被授权者的标识拼凑在一起,使用被授权者的公钥加密,生成该被授权者的数字信封。该数字信封存储在光盘的保留区。在阅读光盘的时候,刻录机固件则会逐一读取光盘保留区的数字信封,并使用自身的私钥解密和验证数字信封的内容,验证成功后,提取出光盘的加密密钥R,并将R提交给刻录机加密芯片,让刻录机加密芯片解密光盘的数据。
刻录机加密芯片则负责对光盘数据进行加解密。在刻录的时候,接收刻录机固件从上位机刻录软件传递下来的数据,加密后,再由刻录机固件存储到光盘。在阅读光盘的时候,则使用刻录机固件提供的解密密钥,解密光盘的数据。
在IOS9660标准下,一般光盘文件系统(CDFS)中,前面的16个扇区(又称为保留区,即光盘逻辑地址0处开始的32KB空间)一般为空。本实施例在保留区中写入刻录机版本号、授权者的唯一标识、签名内容、数字信封数量、校验码和若干个数字信封等信息。在刻录每张加密光盘的时候,数字信封由指定授权对象的公钥加密,包含被授权的刻录机的唯一标识和加解密密钥,有多少个被授权的刻录机就会有同等数量的数字信封。数字信封最多可扩展到100个。
当用户利用被授权的加密刻录机访问加密光盘时,加密刻录机固件在光盘逻辑地址0处开始的32KB空间内读取并验证数字信封的内容,如果与该刻录机验证成功,则可以正确解密和阅读光盘数据。
如图5所示,光盘格式具体如下:
第一组20字节为刻录机版本号;
第二组50字节为授权者的唯一标识;
第三组64字节为授权者的签名信息;
第四组2字节为数字信封数量(即被授权者的数量);
第五组的20字节是校验码,检验码按照以下规则产生:将第一、二、三、四组共136字节作SM3散列运算。
第六组是N个含有数字信封的信息单元,每个单元256字节,具体格式为:
数字信封最多有100个。前50字节为明文的被授权者标识,数字信封的内容为被授权者标识和光盘加解密密钥经过公钥加密后的数据。
第七组是加密后的光盘内容。
如图6所示,为光盘刻录流程,包括以下步骤:
(1)上位机刻录软件发起刻录操作;
(2)上位机软件发送刻录命令给刻录机固件,同时将被授权者的唯一标识下发;
(3)刻录机固件检查当前设备是否已处于刻录就绪状态(即设备已登录且已放入空白光盘);如果没有处于刻录就绪状态,则不予执行刻录操作,并返回相应的操作结果给上位机软件;
(4)刻录就绪刻录机固件根据收到的被授权者的唯一标识,计算和推导出被授权者的公钥;
(5)刻录机固件产生随机数R,作为光盘的数据加密密钥;
(6)刻录机固件产生被授权者的数字信封(被授权者公钥采用SM2算法加密被授权者唯一标识及随机数R);
(7)刻录机开始刻录,刻录机固件将刻录机版本号、授权者的唯一标识、授权者签名(对第一个数字信封的散列值使用授权者的私钥进行签名)、数字信封数量、校验码、数字信封内容写入光盘保留区;
(8)刻录机固件将收到的刻录到光盘的数据,先提交给刻录机加密芯片加密,加密后再写入光盘中;
(9)刻录完成,弹出光盘。
如图7所示,为阅读光盘的流程,即光盘授权使用的流程,包括以下步骤:
(1)用户发起查看光盘的请求;
(2)刻录机固件检查刻录机状态是否为阅读就绪状态,即设备已登录且已放入被授权的光盘;
(3)刻录机固件校验光盘的校验码,如果校验失败则不予阅读光盘;
(4)刻录机固件校验光盘成功后,则读取数字信封内容,并用其私钥解密数字信封的内容,当解密数字信封后,将得到被授权者的唯一标识,如果被授权者的唯一标识与该刻录机的唯一标识相同,则认为校验成功,同时提取出光盘解密密钥(随机数R),否则认为校验失败,不予阅读光盘;
(5)刻录机固件读取光盘的内容,并提交给刻录机加密芯片解密,并将解密后的数据返回给操作系统。
本实施例实现利用ISO9660标准中光盘逻辑地址0处开始的32KB空间,即光盘文件系统的保留区,结合CPK标识认证体系,生成和存储授权者的唯一标识、签名内容等信息。加密光盘刻录与授权使用是根据指定的授权和签名信息进行验证完成解密。
对于本领域的技术人员来说,可根据以上描述的技术方案以及构思,做出其它各种相应的改变以及变形,而所有的这些改变以及变形都应该属于本发明权利要求的保护范围之内。
Claims (6)
1.一种光盘刻录的方法,其特征在于,包括以下步骤:
A、根据接收到的被授权者的唯一标识计算出被授权者的公钥,并产生一随机数R;
B、采用被授权者的公钥对被授权者的唯一标识及随机数R进行加密,得到被授权者的数字信封;
C、将被授权者的数字信封写入光盘的保留区;
D、将需要刻录到光盘的数据先通过刻录机的加密芯片加密后再写入光盘的数据区。
2.如权利要求1所述的光盘刻录的方法,其特征在于,步骤B中,被授权者的数字信封采用SM2算法进行运算得到。
3.如权利要求1所述的光盘刻录的方法,其特征在于,步骤C中,还将刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码写入光盘的保留区;其中,所述校验码由刻录机版本号、授权者的唯一标识、授权者的签名和数字信封数量采用SM3算法进行运算得到。
4.如权利要求3所述的光盘刻录的方法,其特征在于,所述授权者签名由对第一个数字信封的散列值使用授权者的私钥进行签名得到。
5.一种光盘授权使用的方法,其特征在于,包括以下步骤:
A、读取存储在光盘的保留区的数字信封,并用预存的私钥对所述数字信封进行解密得到被授权者的唯一标识;
B、判断解密得到的被授权者的唯一标识是否与预存的唯一标识相同,若是,则取出所述数字信封中的随机数R,若否,则结束流程;
C、通过刻录机的加密芯片采用所述随机数R进行解密后,读取存储在光盘的数据区的数据。
6.如权利要求5所述的光盘授权使用的方法,其特征在于,在执行步骤A之前,还有以下步骤:读取存储在光盘的保留区的刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码,采用SM3算法对刻录机版本号、授权者的唯一标识、授权者签名和数字信封数量进行运算得到校验值,判断校验值与校验码是否相同,若是,则继续执行流程,若否,则结束流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310357157.5A CN103456323B (zh) | 2013-08-15 | 2013-08-15 | 一种光盘刻录与授权使用的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310357157.5A CN103456323B (zh) | 2013-08-15 | 2013-08-15 | 一种光盘刻录与授权使用的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103456323A true CN103456323A (zh) | 2013-12-18 |
| CN103456323B CN103456323B (zh) | 2016-12-28 |
Family
ID=49738615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310357157.5A Active CN103456323B (zh) | 2013-08-15 | 2013-08-15 | 一种光盘刻录与授权使用的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103456323B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105185395A (zh) * | 2015-09-02 | 2015-12-23 | 北京北信源软件股份有限公司 | 一种光盘电子标签的添加方法及装置 |
| CN108966214A (zh) * | 2018-07-27 | 2018-12-07 | 全球能源互联网研究院有限公司 | 无线网络的认证方法、无线网络安全通信方法及装置 |
| CN112053708A (zh) * | 2020-09-03 | 2020-12-08 | 江苏新广联科技股份有限公司 | 一种光盘防伪刻录方法 |
| CN113496028A (zh) * | 2021-06-28 | 2021-10-12 | 山东云缦智能科技有限公司 | 一种具备时间限制功能的软件离线认证的方法 |
| CN114155885A (zh) * | 2022-02-08 | 2022-03-08 | 成都统信软件技术有限公司 | 文件加密方法、刻录方法、解密方法、装置与计算设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003244136A (ja) * | 2002-02-15 | 2003-08-29 | Ancl Inc | コンピュータネットワークの認証方法及びデータ配信方法 |
| CN1728162A (zh) * | 2005-07-07 | 2006-02-01 | 复旦大学 | 一种基于射频识别技术的防伪验证方法及防伪系统 |
| CN101826354A (zh) * | 2010-05-11 | 2010-09-08 | 杨彬 | 光盘安全管理方法和装置 |
| CN202353573U (zh) * | 2011-12-16 | 2012-07-25 | 四川久远新方向智能科技有限公司 | 适用于安全芯Newkey的安全管理系统 |
-
2013
- 2013-08-15 CN CN201310357157.5A patent/CN103456323B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003244136A (ja) * | 2002-02-15 | 2003-08-29 | Ancl Inc | コンピュータネットワークの認証方法及びデータ配信方法 |
| CN1728162A (zh) * | 2005-07-07 | 2006-02-01 | 复旦大学 | 一种基于射频识别技术的防伪验证方法及防伪系统 |
| CN101826354A (zh) * | 2010-05-11 | 2010-09-08 | 杨彬 | 光盘安全管理方法和装置 |
| CN202353573U (zh) * | 2011-12-16 | 2012-07-25 | 四川久远新方向智能科技有限公司 | 适用于安全芯Newkey的安全管理系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105185395A (zh) * | 2015-09-02 | 2015-12-23 | 北京北信源软件股份有限公司 | 一种光盘电子标签的添加方法及装置 |
| CN105185395B (zh) * | 2015-09-02 | 2018-03-27 | 北京北信源软件股份有限公司 | 一种光盘电子标签的添加方法及装置 |
| CN108966214A (zh) * | 2018-07-27 | 2018-12-07 | 全球能源互联网研究院有限公司 | 无线网络的认证方法、无线网络安全通信方法及装置 |
| CN108966214B (zh) * | 2018-07-27 | 2021-09-28 | 北京智芯微电子科技有限公司 | 无线网络的认证方法、无线网络安全通信方法及系统 |
| CN112053708A (zh) * | 2020-09-03 | 2020-12-08 | 江苏新广联科技股份有限公司 | 一种光盘防伪刻录方法 |
| CN112053708B (zh) * | 2020-09-03 | 2022-02-11 | 江苏新广联科技股份有限公司 | 一种光盘防伪刻录系统 |
| CN113496028A (zh) * | 2021-06-28 | 2021-10-12 | 山东云缦智能科技有限公司 | 一种具备时间限制功能的软件离线认证的方法 |
| CN114155885A (zh) * | 2022-02-08 | 2022-03-08 | 成都统信软件技术有限公司 | 文件加密方法、刻录方法、解密方法、装置与计算设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103456323B (zh) | 2016-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7104248B2 (ja) | 暗号化された資産暗号化鍵パーツのサブセットを使用して資産暗号化鍵のアセンブリを可能にする暗号化された資産暗号化鍵パーツ | |
| CN107210914B (zh) | 用于安全凭证供应的方法 | |
| US9722977B2 (en) | Secure host authentication using symmetric key crytography | |
| CN100464315C (zh) | 移动存储器失泄密防护的方法和系统 | |
| CN101019368B (zh) | 使用分发cd将直接证明私钥传递给设备的方法 | |
| WO2020192406A1 (zh) | 数据存储、验证方法及装置 | |
| CN102138300B (zh) | 消息认证码预计算在安全存储器中的应用 | |
| CN103413159B (zh) | 一种基于cpk的rfid电子凭证离线鉴真防伪实现方法及系统 | |
| CN101355422B (zh) | 一种新型矢量加密认证机制 | |
| CN1985466A (zh) | 使用分发cd按签署组向设备传递直接证据私钥的方法 | |
| CN102084313A (zh) | 用于数据安全的系统和方法 | |
| CN105160242A (zh) | 一种读卡器的证书加载方法、证书更新方法及读卡器 | |
| CN103456323B (zh) | 一种光盘刻录与授权使用的方法 | |
| CN104393993A (zh) | 一种用于售电终端的安全芯片及其实现方法 | |
| CN111737770A (zh) | 一种密钥管理方法及应用 | |
| CN101951315A (zh) | 密钥处理方法及装置 | |
| TWI476629B (zh) | Data security and security systems and methods | |
| CN107911221B (zh) | 固态盘数据安全存储的密钥管理方法 | |
| CN112787996B (zh) | 一种密码设备管理方法及系统 | |
| CN100437422C (zh) | 软件使用权加密保护的系统和方法 | |
| CN103605919A (zh) | 软件认证文件生成方法和装置、软件认证方法和装置 | |
| CN101127013A (zh) | 加密移动存储设备及其数据存取方法 | |
| CN100594504C (zh) | 基于隐藏加密分区和pki技术的移动介质防泄密方法 | |
| CN102270182B (zh) | 基于同步用户和主机认证的加密可移动存储设备 | |
| CN113836516B (zh) | 一种打印机硒鼓防伪与打印次数保护系统、方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |