CN111709059B - 基于国密算法的终端认证信息生成方法及系统 - Google Patents
基于国密算法的终端认证信息生成方法及系统 Download PDFInfo
- Publication number
- CN111709059B CN111709059B CN202010566430.5A CN202010566430A CN111709059B CN 111709059 B CN111709059 B CN 111709059B CN 202010566430 A CN202010566430 A CN 202010566430A CN 111709059 B CN111709059 B CN 111709059B
- Authority
- CN
- China
- Prior art keywords
- information
- file
- data
- check value
- terminal authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了基于国密算法的终端认证信息生成方法及系统,包括:从硬件指纹信息中读取并解密序列号;从硬件指纹信息中读取并解密校验信息;从硬件指纹信息中读取并解密数据段数据;计算数据段校验值并进行验证,验证计算得到的校验值与存储的校验值是否一致,如果是就进入下一步,如果否,就将错误信息写入文件,结束;解密数据段,从文件中提取序列号、硬件指纹信息、信息生成时间和CPU信息;进行数据一致性验证,如果计算得到的值与存储的值一致,则验证成功,就进入下一步,如果否,就将错误信息写入文件,结束;生成随机数;基于随机数与文件校验值,生成数据段信息,将信息段和数据段信息写入文件,结束。
Description
技术领域
本公开涉及认证信息生成技术领域,特别是涉及基于国密算法的终端认证信息生成方法及系统。
背景技术
本部分的陈述仅仅是提到了与本公开相关的背景技术,并不必然构成现有技术。
终端认证信息的生成方法通常利用终端生成的信息利用加密算法生成认证信息,但是该方法存在认证信息长度较短的问题,有可能被第三方定位到认证信息并针对性的进行分析和攻击的可能;同时认证信息数据来源单一,无法对软件形成有效的保护。
发明内容
为了解决现有技术的不足,本公开提供了基于国密算法的终端认证信息生成方法及系统;
第一方面,本公开提供了基于国密算法的终端认证信息生成方法;
基于国密算法的终端认证信息生成方法,包括:
从硬件指纹信息中读取并解密序列号;从硬件指纹信息中读取并解密校验信息;从硬件指纹信息中读取并解密数据段数据;计算数据段校验值并进行验证,验证计算得到的校验值与存储的校验值是否一致,如果是就进入下一步,如果否,就将错误信息写入文件,结束;
解密数据段,从文件中提取序列号、硬件指纹信息、信息生成时间和CPU信息;进行数据一致性验证,如果计算得到的值与存储的值一致,则验证成功,就进入下一步,如果否,就将错误信息写入文件,结束;
生成随机数;基于随机数与文件校验值,生成数据段信息,将信息段和数据段信息写入文件,结束。
第二方面,本公开提供了基于国密算法的终端认证信息生成系统;
基于国密算法的终端认证信息生成系统,包括:
读取模块,其被配置为:从硬件指纹信息中读取并解密序列号;从硬件指纹信息中读取并解密校验信息;从硬件指纹信息中读取并解密数据段数据;计算数据段校验值并进行验证,验证计算得到的校验值与存储的校验值是否一致,如果是就进入下一步,如果否,就将错误信息写入文件,结束;
验证模块,其被配置为:解密数据段,从文件中提取序列号、硬件指纹信息、信息生成时间和CPU信息;进行数据一致性验证,如果计算得到的值与存储的值一致,则验证成功,就进入下一步,如果否,就将错误信息写入文件,结束;
认证信息生成模块,其被配置为:生成随机数;基于随机数与文件校验值,生成数据段信息,将信息段和数据段信息写入文件,结束。
第三方面,本公开还提供了一种电子设备,包括:一个或多个处理器、一个或多个存储器、以及一个或多个计算机程序;其中,处理器与存储器连接,上述一个或多个计算机程序被存储在存储器中,当电子设备运行时,该处理器执行该存储器存储的一个或多个计算机程序,以使电子设备执行上述第一方面所述的方法。
第四方面,本公开还提供了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成第一方面所述的方法。
第五方面,本公开还提供了一种计算机程序(产品),包括计算机程序,所述计算机程序当在一个或多个处理器上运行的时候用于实现前述第一方面任意一项的方法。
与现有技术相比,本公开的有益效果是:
本发明提出了一种新颖的认证信息生成方法,利用随机数和国密算法对终端硬件信息指纹进行处理后将终端认证信息和有效期隐藏到随机生成的长数据段中,有效增加了抗攻击水平。同时本方法生成的有限期具有一定的随机性,安全性和隐蔽性更好。此外,本方法将利用其他核心文件的特征值作为输入参数,可有效防止核心文件被恶意篡改。最后本方法将程序中的核心数据进行加密后隐藏到数据段,可保护核心数据安全。此外本方法可对硬件指纹文件中的信息进行验证,可有效检测信息篡改和异常情况。
附图说明
构成本公开的一部分的说明书附图用来提供对本公开的进一步理解,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。
图1为第一个实施例的方法流程图;
图2为第一个实施例的数据段信息生成流程图。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本公开提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本公开所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本公开的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施例一
本实施例提供了基于国密算法的终端认证信息生成方法;
如图1所示,基于国密算法的终端认证信息生成方法,包括:
S104:从硬件指纹信息中读取并解密序列号;从硬件指纹信息中读取并解密校验信息;从硬件指纹信息中读取并解密数据段数据;
计算数据段校验值并进行验证,验证计算得到的校验值与存储的校验值是否一致,如果是就进入下一步,如果否,就将错误信息写入文件,结束;
S105:解密数据段,从文件中提取序列号、硬件指纹信息、信息生成时间和CPU信息;进行数据一致性验证,如果计算得到的值与存储的值一致,则验证成功,就进入下一步,如果否,就将错误信息写入文件,结束;
S106:生成随机数;基于随机数与文件校验值,生成数据段信息,将信息段和数据段信息写入文件,结束。
基于国密算法的终端认证信息生成方法,还包括:
S101:计算文件校验值;输入待加密数据,获取待加密数据长度和待加密数据的有效期,获取文件校验值,获取硬件指纹信息文件位置;
S102:根据硬件指纹信息文件位置,打开硬件指纹信息文件;判断是否打开成功,如果是则进入下一步,如果否就将错误信息写入终端认证信息文件,结束;
S103:读取硬件指纹信息,创建并打开终端认证信息文件,判断是否打开成功,如果是就进入下一步,如果否,结束。
应理解的,所述终端认证信息文件,保存了终端认证必须的信息和加密数据、有效期等。
应理解的,S104中,从硬件指纹信息中读取并解密序列号,是指将加密混淆过的序列号修改为原始序列号。
应理解的,S104中,从硬件指纹信息中读取并解密校验信息,是指将加密混淆过的校验信息修改为原始的校验信息。
进一步地,所述计算文件校验值,具体步骤包括:
使用SM3算法计算一个核心文件的哈希值,将哈希值平均分解为2个16字节的子块,按照字节异或得到16字节的文件校验值CRC。
所述核心文件,是指:库文件或参数文件。例如:应用程序执行必须的动态链接库、储存参数的文件等。
进一步地,所述S101中,待加密数据,例如:程序执行中的核心函数需要的常参数;
进一步地,硬件指纹信息的生成步骤包括:
SA101:创建空白文件,检测CPU指令支持情况,若满足要求,则进入SA102;如果不满足要求,则将错误信息接入空白文件,结束;
SA102:生成四组随机数,将第一组随机数作为序列号;
SA103:获取当前时间,生成INF信息段;从INF信息段中提取位置信息、偏移量和临时密钥种子;
SA104:采用国密算法分别对序列号和INF信息段进行加密,生成加密初始值参数,生成加密用主密钥;
SA105:生成硬件信息,利用硬件信息、当前时间和CPU信息构造数据段;
SA106:对数据段进行加密,计算校验值,将所有数据写入文件,结束。
进一步地,所述创建空白文件步骤之后,所述检测CPU指令支持情况步骤之前,还包括:生成描述性信息,保存至硬件指纹信息字符串bsinfo。
进一步地,检测CPU指令支持情况,是检测CPU是否支持算法所需指令集,如果支持则将检测信息cpuid追加至bsinfo。如无法全部支持,将错误信息追加到bsinfo,将bsinfo写入文件。
应理解的,为了加速算法实现通常会用到特殊指令集,但是比较老的CPU不支持一些新的指令集如AES-NI,BMI2,AVX-2等。因此需要检测CPU是否支持这些新的指令集AES-NI,BMI2,AVX-2等。
应理解的,指令支持情况一般与密码算法实现相关,如在x64平台下利用AES硬件加速模块则需要支持AES-NI,SM2则需要BMI2指令集支持。由用户指定需要支持哪些指令集。
应理解的,INF信息段用于存储一些关键信息,取名为INF,该段大小为320字节,首先利用320字节数组随机数填充该320字节。
进一步地,所述SA102:生成四组随机数,将第一组随机数作为序列号;具体步骤包括:
SA1021:用随机数生成器生成256比特的随机数,将其划分为32个8比特的小块,如果超过15个小块为全0,判断为随机数生成失败,将错误信息追加到bsinfo,将bsinfo写入文件,返回错误信息,退出;否则将随机数存入第一组随机数iC0;
SA1022:重复SA1021三次,生成第二组随机数iC1、第三组随机数iC2和第四组随机数iC3;
S1023:将第一组随机数iC0设置为序列号,将序列号标识信息和序列号追加到bsinfo。
进一步地,所述SA103的获取当前时间,具体步骤包括:
获取64位的当前时间,将当前时间信息追加到bsinfo。
进一步地,所述SA103的生成INF信息段,具体步骤包括:
SA103a1:设置临时序号i为0,生成320字节的无符号数组INF[320],该数组需要16字节内存对齐;
SA103a2:设置错误次数为0;
SA103a3:用随机数生成器生成256比特的随机数,将其划分为32个8比特的小块,如果超过12个小块为全0,判断为随机数生成失败,错误次数+1;
SA103a4:如果错误次数<10,转步骤S103a3,否则判断随机数生成失败,将错误信息追加到bsinfo,将bsinfo写入文件,返回错误信息,退出;否则将随机数复制到INF第i*32字节开始的位置,转SA103a5。
SA103a5:临时序号i+1,如果i=10,从INF信息段中提取位置信息;否则转SA103a2。
进一步地,从INF信息段中提取位置信息,具体步骤包括:
从INF 168字节开始的信息段中获取4个位置信息
pos0=128+INF[168+INF[181]%16]%16];
pos1=32+INF[168+INF[173]%16]%16];
pos2=64+INF[168+INF[175]%16]%16];
pos3=192+INF[168+INF[179]%16]%16];
其中,pos0表示第一位置信息;pos1表示第二位置信息;pos2表示第三位置信息;pos3表示第四位置信息。
进一步地,从INF信息段中提取偏移量,具体步骤包括:
获取4个偏移量:
shift0=INF[168+INF[172]%16]%16]*8;
shift1=INF[168+INF[182]%16]%16]*8;
shift2=INF[168+INF[180]%16]%16]*8;
shift3=INF[168+INF[176]%16]%16]*8;
其中,shift0表示第一循环移位值,shift1表示第二循环移位值,shift2表示第三循环移位值,shift3表示第四循环移位值,用于将加密后的数据循环移位后保存,增加数据破解难度。
进一步地,从INF信息段中提取密钥种子,具体步骤包括:
获取临时密钥种子INFT=INF[168+INF[183]%16]%16]
将临时密钥种子扩展到16字节作为主密钥,以SM4算法对32字节的序列号执行解密算法,将输出的32字节数据复制到INF数组pos3开始的32字节。
设置临时密钥种子INFT为预设固定值,如INFT=0xac;
将临时密钥种子扩展到16字节作为主密钥,以SM4算法对INF数组168字节开始的16字节数据执行解密算法,将输出的16字节数据复制到原位置。
进一步地,所述SA104中,对序列号进行加密,对INF信息段进行加密,生成加密初始值参数,生成加密用主密钥;具体步骤包括:
SA1041:将iC0 256比特数据循环左移shift0比特得到待加密数据,将iC1循环左移shift1比特生成临时密钥,以该密钥为主密钥利用SM4算法对待加密数据执行加密算法,得到16字节临时变量buf,将buf复制到16字节的加密初始值参数IV,将buf循环右移shift0比特后复制到INF数组pos1开始的16字节。
SA1042:将iC2 256比特数据循环左移shift2比特得到待加密数据,将iC3循环左移shift3比特生成临时密钥,以该密钥为主密钥对待加密数据执行SM4加密算法,得到16字节临时变量buf,将buf循环右移shift0比特后复制到INF数组pos0开始的16字节。
进一步地,所述SA105中,生成硬件信息的具体步骤包括:
SA105a1:获取主板序列号,如果主板序列号长于16字节,将主板序列号后16字节复制到ROOTRAND第16字节开始的内存;否则将全部主板序列号复制到ROOTRAND第16字节开始的位置,以ROOTRAND第16字节开始的16字节为主密钥生成SM4解密方式轮密钥;
SA105a2:获取CPU的序列号,如果CPU序列号长于16字节,将CPU序列号后16字节复制到ROOTRAND第32字节开始的内存;否则将全部CPU序列号复制到ROOTRAND第32字节开始的位置;
SA105a3:获取主板BIOS序列号,如果BIOS序列号长于16字节,将BIOS列号后16字节复制到ROOTRAND第48字节开始的内存;否则将全部BIOS序列号复制到ROOTRAND第48字节开始的位置;
SA105a4:利用SM3算法计算ROOTRAND数组64字节的哈希值;将32字节哈希值平均拆分为2个16字节的比特串,按字节异或得到16字节的待加密信息;
SA105a5:利用SM4算法以S105a1生成的主密钥对16字节的待加密信息执行解密算法,将输出的16字节信息复制到硬件信息数组;
SA105a6:检测CPU虚拟机标志位,如果虚拟机标志位非0,返回0;
SA105a7:检测CPU超线程标志位,保存至1字节的临时变量iHyb;
SA105a8:检测CPU线程数,保存至2字节的临时变量iLogical;
SA105a9:检测CPU核心数,保存至2字节的临时变量iCore;
如果超线程标志位为1,同时核心数<线程数则设置iHyb为0;
设置8字节的无符号整形数处理器特征值为0,将iHyb复制到该参数第1字节,将iLogical复制到该参数第2,3字节,将iCore复制到该参数第4,5字节。
返回处理器特征值。
进一步地,所述SA105中,利用硬件信息、当前时间和CPU信息构造数据段;具体步骤包括:
SA105b1:分配48字节的临时数组data;
SA105b2:将生成的16字节的硬件信息和8字节的CPU信息,将硬件信息复制到data;
SA105b3:将CPU信息复制到data第16字节开始的8字节;
SA105b4:将得到的时间信息复制到data第24字节开始的8字节;
SA105b5:混淆cpu信息,将INF数组第171字节开始的8字节数据按字节异或CINFBASE各字节后保存至data第32字节开始的8个字节中;
SA105b6:Data[40]=cpuid,临时变量i=0。
进一步地,所述SA106中,对数据段进行加密,计算校验值,将所有数据写入文件;具体步骤包括:
SA1061:用生成的buf作为主密钥对IV执行SM4加密算法,结果按字节异或data[i]...data[i+16]后保存至data第i字节开始的16字节;
SA1062:IV[0]++,i=i+16;
SA1063:重复SA1061两次;
SA1064:将data[0]...data[15]循环左移shift3比特后保存至INF第pos2开始的16字节中;将data[16]...data[31]循环右移shift2比特后保存至INF第pos2+16开始的16字节中;将data[32]...data[40]复制到INF第pos2+32开始的9个字节中;
SA1065:利用SM3算法计算INF320字节的哈希值,将哈希值标志追加到bsinfo,将哈希值按字节异或iC0 32字节后追加到bsinfo;
SA1066:加数据段开始描述信息至bsinfo;将320字节INF数据追加到bsinfo;追加数据段结束描述信息至bsinfo;将bsinfo保存至文件,关闭文件,结束。
生成64字节的随机数数组ROOTRAND作为硬件信息基础常参数,用于提高随机性,将该随机数以固定参数的形式应用于各方法。
生成64比特的随机数CINFBASE,将该随机数以固定参数的形式应用于方法。
进一步地,所述S103中,创建并打开终端认证信息文件,包括:创建并打开终端认证信息文件;生成描述性信息,保存至终端认证信息字符串bsinfoX。
进一步地,所述S104中,从硬件指纹信息中读取并解密序列号;具体步骤包括:
S104a1:从硬件指纹信息字符串bsinfo中查找序列号标识信息,如没有找到,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;
S104a2:取出32字节的序列号信息,如果失败,将错误信息追加到终端认证信息字符串bainfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;否则将序列号复制到无符号64位整形数组u64DA[4]。
S104a3:对u64DA数组进行8字节大小端置换。
进一步地,所述S104中,读取并解密校验信息,具体步骤包括:
S104b1:从硬件指纹信息字符串bsinfo中查找校验值标识信息,如果没有找到,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;
S104b2:取出32字节的校验值,如果失败,将错误信息追加到终端认证信息字符串bainfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;否则将校验值复制到无符号64位整形数组u64D[4];对u64D数组进行8字节大小端置换。
进一步地,所述S104中,利用国密算法计算数据段校验值并进行验证,验证计算得到的校验值与存储的校验值是否一致,如果是就进入下一步,如果否,就将错误信息写入文件,结束;具体步骤包括:
S104c1:从硬件指纹信息字符串bsinfo中查找数据段开始标识信息和数据段结束标志信息。如果没有找到标志信息,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;
S104c2:提取数据段数据,复制到u8DA数组,进行8字节大小端置换。令无符号字节指针bsinfo1指向U8DA数组首个元素;
S104c3:计算数据段数据哈希值。异或u64DA对应的256比特数据,结果与S104b2中的校验值比对,如果不一致,判断为数据段数据错误,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;否则转步骤S104c4;
S104c4:将bsinfo1第171字节开始的8字节数据复制到64比特无符号整形数curTime0。
进一步地,S106中,所述生成数据段信息;具体步骤包括:
S1061:提取位置信息、偏移量信息和密钥种子信息;
S1062:利用硬件指纹信息和核心文件校验值生成密钥;
S1063:生成随机数,利用随机数生成有效期对应的时间信息,加密有效期事件信息;
S1064:利用硬件指纹信息文件中存储的文件生成初始日期和待加密数据的有效期生成加密用参数;
S1065:利用国密SM4算法加密序列号、硬件指纹信息文件中存储的文件生成初始日期、待加密数据的有效期,加密待加密的数据;
S1066:计算数据段校验值。
本发明中所有的方法均使用如下两组参数,须保证一致。
生成64字节的随机数数组ROOTRAND,将该随机数以常数的形式保存至各程序;生成64比特的随机数CINFBASE,将该随机数以常数的形式保存到各程序。
输入:a.用SM3算法计算一个核心文件(如库文件、参数文件)的哈希值,平均分解为2个16字节的子块,按字节异或得到16字节的文件校验值CRC
b.64位无符号整形的有效期ExpTime,单位为秒
c.待加密数据
d.待加密数据的长度
e.其他信息,如版权信息,用户信息,邮箱等
如图2所示,示例性的,S106中,所述生成数据段信息;具体步骤包括:
1、设置临时密钥种子INFT=0xac;
将临时密钥种子扩展到16字节作为密钥,利用该密钥对INF数组第168字节开始的16字节数据执行SM4加密算法,并将运算结果复制到INF数组第168字节开始的16字节;
2、获取4个位置信息:
Pos0=128+bsinfo1[168+bsinfo1[181]%16]%16];
Pos1=32+bsinfo1[168+bsinfo1[173]%16]%16];
Pos2=64+bsinfo1[168+bsinfo1[175]%16]%16];
Pos3=192+bsinfo1[168+bsinfo1[179]%16]%16];
3、获取4个偏移量:
Shift0=bsinfo1[168+bsinfo1[172]%16]%16]*8;
Shift1=bsinfo1[168+bsinfo1[182]%16]%16]*8;
Shift2=bsinfo1[168+bsinfo1[180]%16]%16]*8;
Shift3=bsinfo1[168+bsinfo1[176]%16]%16]*8;
4、获取临时密钥种子INFT=bsinfo1[168+bsinfo1[183]%16]%16];
5、将临时密钥种子扩展到16字节作为密钥,利用该密钥对INF数组pos3位置开始的32字节执行SM4加密算法,将运算结果复制到64位无符号整形数组序列号iC[4]。比较64位无符号整形数组序列号iC[4]与u64DA数组4个元素是否一致,如果不一致,判断为信息提取错误,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;
6、将终端认证信息字符串bsinfo1第pos1位置开始的16字节循环左移shift0位后保存至M4加密算法的初始变量IV;
7、将终端认证信息字符串bsinfo1第pos0位置开始的16字节循环右移shift0位后保存至32字节的密钥数组mkey,将终端认证信息字符串bsinfo1第pos2开始的16字节循环右移shift3位后保存至data;
8、将终端认证信息字符串bsinfo1第pos2+16字节开始的16字节循环右移shift2位后保存至data第16字节开始的位置;
9、将终端认证信息字符串bsinfo1第pos2+32字节开始的9字节复制到data第32字节开始的位置data+32;
10、将16字节IV中的内容复制到临时变量buf,mkey为密钥对buf执行SM4加密算法,将运算结果保存至buf,按字节异或data和buf 16字节;
11、IV[0]++;
12、将16字节IV复制到buf,mkey为密钥对buf执行SM4加密算法,将运算结果按字节异或data第16字节开始的16字节,将结果保存至data第16字节开始的位置;
13、IV[0]++;
14、将16字节IV复制到buf,mkey为密钥对buf执行SM4加密算法,将运算结果按字节异或data第32字节开始的16字节,将结果保存至data第32字节开始的位置;
15、将data第32字节开始的8字节复制到用于存储时间信息的8字节临时变量tcurTime1;
16、tcurTime1异或预先生成的常数CINFBASE,如果tcurTime1不等于提取出的硬件指纹信息文件生成时间tcurTime0,判断为数据异常,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;
17、取data[40],检查CPU指令集支持情况,如果CPU不支持算法所需指令,判断为异常,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;
18、将data 24字节开始的8个字节复制到用于保存时间信息的8字节无符号数curTime,令临时8字节无符号数变量curTimeX=curTime;
19、获取64位的时间信息保存至curTime;
20、将data第16字节开始的8字节数据复制到CPU特征信息cpuinf;
21、生成1024字节的随机数保存至临时数组bsinfo1;
22、获取4个位置信息:
pos_0=5+bsinfo1[192+bsinfo1[209]%32]%32;
pos_1=56+bsinfo1[192+bsinfo1[213]%32]%32;
pos_2=120+bsinfo1[192+bsinfo1[207]%32]%32;
pos_3=288+bsinfo1[192+bsinfo1[215]%32]%32;
复制bsinfo1第pos_3+16字节开始的8个字节至tcurTime1;
23、获取8个偏移量信息:
shift_0=(bsinfo1[192+bsinfo1[221]%32]%16)*8;
shift_1=(bsinfo1[192+bsinfo1[206]%32]%16)*8;
shift_2=(bsinfo1[192+bsinfo1[211]%32]%16)*8;
shift_3=(bsinfo1[192+bsinfo1[195]%32]%16)*8;
shift_4=(bsinfo1[192+bsinfo1[198]%32]%16)*8;
shift_5=(bsinfo1[192+bsinfo1[202]%32]%16)*8;
shift_6=(bsinfo1[192+bsinfo1[210]%32]%16)*8;
shift_7=(bsinfo1[192+bsinfo1[214]%32]%16)*8;
24、获取临时密钥种子INFT=bsinfo1[168+bsinfo1[211]%16];
25、将bsinfo1第205字节开始的16字节循环右移shift_0位后保存至mkey;
26、All0[i]=INFT^CRC[i]^bsinfo1[pos_0+(i+shift_4)%16]i=0~15;
其中,^表示异或;CRC表示校验值;bsinfo1表示临时变量;pos_0表示位置信息;shift_4表示偏移量;
27、临时变量All0 16字节循环右移shift_3位后保存至key;
28、mkey作为主密钥,对临时密钥key执行SM4加密算法,将加密后的16字节保存至key,并复制到临时变量All1数组中;
29、对key数组的16个字节循环左移shift_2位后保存至buf;
30、临时数组buf复制到主密钥mkey作为主密钥;
31、临时变量All0 16字节全部设为0;
32、复制8字节的用于保存时间信息的8字节无符号数curTime到All0;
33、以随机数组bsinfo1第pos_3字节开始的32位无符号整形数为随机数种子生成32位随机变量,随机变量模604800;
34、令过期时间ExpTime=ExpTime+curTime+(tcurTime1>>46)+步骤33生成的随机变量,得到具有随机性的有效期数据;
35、将随机数组bsinfo1第205字节开始的8字节数据复制到curTime;
36、ExpTime=ExpTime^curTime,对ExpTime进行保护,将ExpTime复制到All0第8字节开始的8字节
37、将16字节随机数All0循环左移shift_1位后保存至16字节随机数组buf;
38、mkey作为主密钥对buf执行SM4加密算法,将16字节随机数组buf循环左移shft_5位后得到SM4加密算法的初始变量IV;
39、加密index段:crc[i]=bsinfo1[197+i]^CRC[i]i=0~15;
Key[i]=bsinfo1[i]^bsinfo1[245+i]^data[i]i=0~15;
其中,CRC为校验值;Key为密钥;key作为密钥生成SM4解密用轮密钥;
key作为主密钥对终端认证信息数组bsinfo1第192字节开始的16字节执行SM4解密运算,将结果覆盖原数据;
key作为主密钥对终端认证信息数组bsinfo1第208字节开始的16字节执行SM4加密运算,并覆盖原数据;
key作为主密钥对校验值crc16字节执行SM4加密运算,保存至bsinfo1第224字节开始的16字节;
key作为主密钥对16字节临时变量All0执行SM4加密运算,将运算结果输出到bsinfo1第pos_1位置字节开始的16字节;
40、将16字节IC复制到数据段对应的数组data;
SM4加密16字节的随机数组All1作为主密钥mkey,对SM4加密算法的初始变量IV执行SM4解密运算,得到buf,将buf与data数组16字节按字节异或后保存至bsinfo1数组第pos_2字节开始的16字节。
41、SM4加密算法的初始变量IV[0]++;
利用mkey作为主密钥对IV执行解密运算后将结果输出到buf,将buf与data数组第16字节开始的16字节按字节异或后保存至bsinfo1数组第pos_2+16字节开始的16字节。
42、将4字节的数据长度复制到buf,将16字节校验信息复制到data;
data数组与buf数组前4个字节按字节异或后保存到data数组;
43、将待密数据保存至data第16字节开始的位置;
44、设置临时变量j=0;
45、IV[j%2]++;
46、以All1为主密钥,对IV执行SM4加密运算,运算结果输出至buf,
将buf与data数组第j*16字节开始的16字节按字节异或后保存至data数组第j*16字节开始的16字节。
47、将data数组第j*16字节开始的16字节循环左移shift_N(N=j%8)位保存至bsinfo1+pos_3+j*16字节开始的位置;
48、j++,如果j<1+len/16;转45,否则转49;
49、对bsinfo1数组768字节长度的数据执行SM3哈希操作,计算得到32字节的哈希值;
50、将序列号标识信息和序列号追加到终端认证信息字符串bsinfoX;将时间信息追加到终端认证信息字符串bsinfoX;将有效期信息追加到终端认证信息字符串bsinfoX;追加其他信息到终端认证信息字符串bsinfoX;将哈希值按字节异或iC0 32字节得到数据校验值,将校验值标志和校验值追加到终端认证信息字符串bsinfoX;
追加数据段开始描述信息至终端认证信息字符串bsinfoX;将320字节INF数据追加到终端认证信息字符串bsinfoX;追加数据段结束描述信息至bsinfoX;获取当前时间,将时间戳信息追加到终端认证信息字符串bxinfoX;将终端认证信息字符串bsinfoX保存至文件,关闭文件,结束。
实施例二
本实施例提供了基于国密算法的终端认证信息生成系统;
基于国密算法的终端认证信息生成系统,包括:
读取模块,其被配置为:从硬件指纹信息中读取并解密序列号;从硬件指纹信息中读取并解密校验信息;从硬件指纹信息中读取并解密数据段数据;计算数据段校验值并进行验证,验证计算得到的校验值与存储的校验值是否一致,如果是就进入下一步,如果否,就将错误信息写入文件,结束;
验证模块,其被配置为:解密数据段,从文件中提取序列号、硬件指纹信息、信息生成时间和CPU信息;进行数据一致性验证,如果计算得到的值与存储的值一致,则验证成功,就进入下一步,如果否,就将错误信息写入文件,结束;
认证信息生成模块,其被配置为:生成随机数;基于随机数与文件校验值,生成数据段信息,将信息段和数据段信息写入文件,结束。
此处需要说明的是,上述读取模块、验证模块和认证信息生成模块对应于实施例一中的步骤S104至S106,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为系统的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。
上述实施例中对各个实施例的描述各有侧重,某个实施例中没有详述的部分可以参见其他实施例的相关描述。
所提出的系统,可以通过其他的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如上述模块的划分,仅仅为一种逻辑功能划分,实际实现时,可以有另外的划分方式,例如多个模块可以结合或者可以集成到另外一个系统,或一些特征可以忽略,或不执行。
实施例三
本实施例还提供了一种电子设备,包括:一个或多个处理器、一个或多个存储器、以及一个或多个计算机程序;其中,处理器与存储器连接,上述一个或多个计算机程序被存储在存储器中,当电子设备运行时,该处理器执行该存储器存储的一个或多个计算机程序,以使电子设备执行上述实施例一所述的方法。
应理解,本实施例中,处理器可以是中央处理单元CPU,处理器还可以是其他通用处理器、数字信号处理器DSP、专用集成电路ASIC,现成可编程门阵列FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据、存储器的一部分还可以包括非易失性随机存储器。例如,存储器还可以存储设备类型的信息。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。
实施例一中的方法可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
本领域普通技术人员可以意识到,结合本实施例描述的各示例的单元即算法步骤,能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
实施例四
本实施例还提供了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成实施例一所述的方法。
以上所述仅为本公开的优选实施例而已,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (9)
1.基于国密算法的终端认证信息生成方法,其特征是,包括:
从硬件指纹信息中读取并解密序列号;从硬件指纹信息中读取并解密校验信息;从硬件指纹信息中读取并解密数据段数据;计算数据段校验值并进行验证,验证计算得到的校验值与存储的校验值是否一致,如果是就进入下一步,如果否,就将错误信息写入文件,结束;
解密数据段,从数据段中提取序列号、硬件信息、信息生成时间和CPU信息;进行数据一致性验证,如果计算得到的校验值与存储的校验值一致,则验证成功,就进入下一步,如果否,就将错误信息写入文件,结束;
生成随机数;基于随机数与文件校验值,生成数据段信息,将信息段和数据段信息写入文件,结束;
所述信息段包括:硬件信息、CPU信息、位置信息、偏移量信息和临时密钥种子;
所述生成数据段信息,具体步骤包括:
S1061:从INF信息段中提取位置信息、偏移量信息和密钥种子信息;
S1062:利用硬件指纹信息和核心文件校验值生成密钥;
S1063:生成随机数,利用随机数生成有效期对应的时间信息,加密有效期时间信息;
S1064:利用硬件指纹信息文件中存储的文件生成初始日期和待加密数据的有效期生成加密用参数;
S1065:利用国密SM4算法加密序列号、硬件指纹信息文件中存储的文件生成初始日期、待加密数据的有效期,加密待加密的数据;
S1066:计算数据段校验值;
所述利用硬件指纹信息和核心文件校验值生成密钥,具体方法为:
对硬件指纹信息解密获取位置信息、偏移量信息和临时密钥种子,根据位置信息和偏移量信息分别计算得到16字节数据All0和mkey,All0按字节异或核心文件校验值和临时密钥种子,循环移位后保存至key,用mkey对key执行SM4加密后保存至key,循环左移后得到主密钥,保存到mkey。
2.如权利要求1所述的方法,其特征是,基于国密算法的终端认证信息生成方法,还包括:
计算文件校验值;输入待加密数据,获取待加密数据长度和待加密数据的有效期,获取文件校验值,获取硬件指纹信息文件位置;
根据硬件指纹信息文件位置,打开硬件指纹信息文件;判断是否打开成功,如果是则进入下一步,如果否就将错误信息写入终端认证信息文件,结束;
读取硬件指纹信息,创建并打开终端认证信息文件,判断是否打开成功,如果是就进入下一步,如果否,结束。
3.如权利要求2所述的方法,其特征是,创建并打开终端认证信息文件,包括:创建并打开终端认证信息文件;生成描述性信息,保存至终端认证信息字符串bsinfoX。
4.如权利要求1所述的方法,其特征是,从硬件指纹信息中读取并解密序列号;具体步骤包括:
S104a1:从硬件指纹信息字符串bsinfo中查找序列号标识信息,如没有找到,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;
S104a2:取出32字节的序列号信息,如果失败,将错误信息追加到终端认证信息字符串bainfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;否则将序列号复制到无符号64位整形数组u64DA[4];
S104a3:对u64DA数组进行8字节大小端置换。
5.如权利要求1所述的方法,其特征是,读取并解密校验信息,具体步骤包括:
S104b1:从硬件指纹信息字符串bsinfo中查找校验值标识信息,如果没有找到,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;
S104b2:取出32字节的校验值,如果失败,将错误信息追加到终端认证信息字符串bainfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;否则将校验值复制到无符号64位整形数组u64D[4];对u64D数组进行8字节大小端置换。
6.如权利要求1所述的方法,其特征是,利用国密算法计算数据段校验值并进行验证,验证计算得到的校验值与存储的校验值是否一致,如果是就进入下一步,如果否,就将错误信息写入文件,结束;具体步骤包括:
S104c1:从硬件指纹信息字符串bsinfo中查找数据段开始标识信息和数据段结束标志信息;如果没有找到标志信息,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;
S104c2:提取数据段数据,复制到u8DA数组,进行8字节大小端置换;令无符号字节指针bsinfo1指向U8DA数组首个元素;
S104c3:计算数据段数据哈希值;异或u64DA对应的256比特数据,结果与S104b2中的校验值比对,如果不一致,判断为数据段数据错误,将错误信息追加到终端认证信息字符串bsinfoX,将终端认证信息字符串bsinfoX写入文件,返回错误信息,退出;否则转步骤S104c4;
S104c4:将bsinfo1第171字节开始的8字节数据复制到64比特无符号整形数curTime0。
7.基于国密算法的终端认证信息生成系统,其特征是,包括:
读取模块,其被配置为:从硬件指纹信息中读取并解密序列号;从硬件指纹信息中读取并解密校验信息;从硬件指纹信息中读取并解密数据段数据;计算数据段校验值并进行验证,验证计算得到的校验值与存储的校验值是否一致,如果是就进入下一步,如果否,就将错误信息写入文件,结束;
验证模块,其被配置为:解密数据段,从数据段中提取序列号、硬件信息、信息生成时间和CPU信息;进行数据一致性验证,如果计算得到的校验值与存储的校验值一致,则验证成功,就进入下一步,如果否,就将错误信息写入文件,结束;
认证信息生成模块,其被配置为:生成随机数;基于随机数与文件校验值,生成数据段信息,将信息段和数据段信息写入文件,结束;
所述信息段包括:硬件信息、CPU信息、位置信息、偏移量信息和临时密钥种子;
所述生成数据段信息,具体步骤包括:
S1061:从INF信息段中提取位置信息、偏移量信息和密钥种子信息;
S1062:利用硬件指纹信息和核心文件校验值生成密钥;
S1063:生成随机数,利用随机数生成有效期对应的时间信息,加密有效期时间信息;
S1064:利用硬件指纹信息文件中存储的文件生成初始日期和待加密数据的有效期生成加密用参数;
S1065:利用国密SM4算法加密序列号、硬件指纹信息文件中存储的文件生成初始日期、待加密数据的有效期,加密待加密的数据;
S1066:计算数据段校验值;
所述利用硬件指纹信息和核心文件校验值生成密钥,具体方法为:
对硬件指纹信息解密获取位置信息、偏移量信息和临时密钥种子,根据位置信息和偏移量信息分别计算得到16字节数据All0和mkey,All0按字节异或核心文件校验值和临时密钥种子,循环移位后保存至key,用mkey对key执行SM4加密后保存至key,循环左移后得到主密钥,保存到mkey。
8.一种电子设备,其特征是,包括:一个或多个处理器、一个或多个存储器、以及一个或多个计算机程序;其中,处理器与存储器连接,上述一个或多个计算机程序被存储在存储器中,当电子设备运行时,该处理器执行该存储器存储的一个或多个计算机程序,以使电子设备执行上述权利要求1-6任一项所述的方法。
9.一种计算机可读存储介质,其特征是,用于存储计算机指令,所述计算机指令被处理器执行时,完成权利要求1-6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010566430.5A CN111709059B (zh) | 2020-06-19 | 2020-06-19 | 基于国密算法的终端认证信息生成方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010566430.5A CN111709059B (zh) | 2020-06-19 | 2020-06-19 | 基于国密算法的终端认证信息生成方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111709059A CN111709059A (zh) | 2020-09-25 |
CN111709059B true CN111709059B (zh) | 2021-06-01 |
Family
ID=72541628
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010566430.5A Active CN111709059B (zh) | 2020-06-19 | 2020-06-19 | 基于国密算法的终端认证信息生成方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111709059B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113886863B (zh) * | 2021-12-07 | 2022-03-15 | 成都中科合迅科技有限公司 | 数据加密方法以及数据加密设备 |
CN115795413B (zh) * | 2023-02-07 | 2023-05-16 | 山东省计算中心(国家超级计算济南中心) | 基于国密算法的软件认证保护方法及系统 |
CN117472035B (zh) * | 2023-12-27 | 2024-03-08 | 东方电气风电股份有限公司 | 一种主控系统软件硬件的校验方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103745164A (zh) * | 2013-12-20 | 2014-04-23 | 中国科学院计算技术研究所 | 一种基于环境认证的文件安全存储方法与系统 |
CN105763521A (zh) * | 2014-12-18 | 2016-07-13 | 阿里巴巴集团控股有限公司 | 一种设备验证方法及装置 |
CN106529963A (zh) * | 2016-11-26 | 2017-03-22 | 杭州邦盛金融信息技术有限公司 | 一种用于移动设备安全认证的系统及方法 |
CN109067742A (zh) * | 2018-08-01 | 2018-12-21 | 苏州汇川技术有限公司 | 外围设备认证方法、电梯控制设备及电梯外围设备 |
CN109840398A (zh) * | 2019-02-14 | 2019-06-04 | 北京儒博科技有限公司 | 软件授权方法、装置、设备及存储介质 |
US20200117795A1 (en) * | 2018-10-16 | 2020-04-16 | KameleonSec Ltd. | System and method for generating and authenticating a trusted polymorphic and distributed unique hardware identifier |
CN111159656A (zh) * | 2019-11-18 | 2020-05-15 | 核芯互联科技(青岛)有限公司 | 一种防止软件非授权使用的方法、装置、设备和存储介质 |
-
2020
- 2020-06-19 CN CN202010566430.5A patent/CN111709059B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103745164A (zh) * | 2013-12-20 | 2014-04-23 | 中国科学院计算技术研究所 | 一种基于环境认证的文件安全存储方法与系统 |
CN105763521A (zh) * | 2014-12-18 | 2016-07-13 | 阿里巴巴集团控股有限公司 | 一种设备验证方法及装置 |
CN106529963A (zh) * | 2016-11-26 | 2017-03-22 | 杭州邦盛金融信息技术有限公司 | 一种用于移动设备安全认证的系统及方法 |
CN109067742A (zh) * | 2018-08-01 | 2018-12-21 | 苏州汇川技术有限公司 | 外围设备认证方法、电梯控制设备及电梯外围设备 |
US20200117795A1 (en) * | 2018-10-16 | 2020-04-16 | KameleonSec Ltd. | System and method for generating and authenticating a trusted polymorphic and distributed unique hardware identifier |
CN109840398A (zh) * | 2019-02-14 | 2019-06-04 | 北京儒博科技有限公司 | 软件授权方法、装置、设备及存储介质 |
CN111159656A (zh) * | 2019-11-18 | 2020-05-15 | 核芯互联科技(青岛)有限公司 | 一种防止软件非授权使用的方法、装置、设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111709059A (zh) | 2020-09-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111709059B (zh) | 基于国密算法的终端认证信息生成方法及系统 | |
CN111709010B (zh) | 基于国密算法的终端认证信息提取和验证方法及系统 | |
CN111709044B (zh) | 基于国密算法的硬件指纹信息生成方法及系统 | |
JP3810425B2 (ja) | 改竄検出用データ生成方法、および改竄検出方法及び装置 | |
US6961852B2 (en) | System and method for authenticating software using hidden intermediate keys | |
US10650151B2 (en) | Method of execution of a binary code of a secure function by a microprocessor | |
US20220075873A1 (en) | Firmware security verification method and device | |
US9659181B2 (en) | System, apparatus and method for license key permutation | |
CN112187544B (zh) | 固件升级方法、装置、计算机设备及存储介质 | |
US20220019425A1 (en) | Hot updating method of script file package and hot updating device of script file package | |
JPWO2010134192A1 (ja) | 電子機器及び鍵生成プログラム及び記録媒体及び鍵生成方法 | |
JPWO2002057904A1 (ja) | ダウンロード機能を有する制御装置 | |
US20080212770A1 (en) | Key Information Generating Method and Device, Key Information Updating Method, Tempering Detecting Method and Device, and Data Structure of Key Information | |
CN108830096B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
JP6184751B2 (ja) | データ保護システムおよび方法 | |
CN101840361B (zh) | 程序验证装置及其方法 | |
CN108376212B (zh) | 执行代码安全保护方法、装置及电子装置 | |
CN111523885B (zh) | 区块链钱包的加密多账户构造方法、计算机可读存储介质和区块链加密多账户钱包 | |
Gora et al. | A flexible design flow for software IP binding in commodity FPGA | |
CN113343215A (zh) | 嵌入式软件的授权和认证方法及电子设备 | |
CN107292172B (zh) | 用于相对于参考计算机文件自动验证目标计算机文件的方法 | |
JP4864456B2 (ja) | 改竄検出用データ生成方法 | |
JP6069120B2 (ja) | 情報処理システム | |
EP3889816A1 (en) | Method for securely processing digital information in a secure element | |
CN112069553B (zh) | 电子系统及电子系统的操作方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |