CN112380501A - 设备运行方法、装置、设备和存储介质 - Google Patents
设备运行方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN112380501A CN112380501A CN202110065359.7A CN202110065359A CN112380501A CN 112380501 A CN112380501 A CN 112380501A CN 202110065359 A CN202110065359 A CN 202110065359A CN 112380501 A CN112380501 A CN 112380501A
- Authority
- CN
- China
- Prior art keywords
- authorization
- authorized
- signature
- information
- authorization file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 77
- 238000013475 authorization Methods 0.000 claims abstract description 292
- 238000012795 verification Methods 0.000 claims abstract description 121
- 238000012545 processing Methods 0.000 claims abstract description 77
- 230000008569 process Effects 0.000 claims description 26
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000004422 calculation algorithm Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 238000011017 operating method Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 102100040427 Alpha-1,3/1,6-mannosyltransferase ALG2 Human genes 0.000 description 1
- 102100040428 Chitobiosyldiphosphodolichol beta-mannosyltransferase Human genes 0.000 description 1
- 102100039059 Dol-P-Man:Man(5)GlcNAc(2)-PP-Dol alpha-1,3-mannosyltransferase Human genes 0.000 description 1
- 102100040299 Guided entry of tail-anchored proteins factor 1 Human genes 0.000 description 1
- 102100025594 Guided entry of tail-anchored proteins factor CAMLG Human genes 0.000 description 1
- 101000891547 Homo sapiens Alpha-1,3/1,6-mannosyltransferase ALG2 Proteins 0.000 description 1
- 101000891557 Homo sapiens Chitobiosyldiphosphodolichol beta-mannosyltransferase Proteins 0.000 description 1
- 101000958975 Homo sapiens Dol-P-Man:Man(5)GlcNAc(2)-PP-Dol alpha-1,3-mannosyltransferase Proteins 0.000 description 1
- 101001038390 Homo sapiens Guided entry of tail-anchored proteins factor 1 Proteins 0.000 description 1
- 101000932902 Homo sapiens Guided entry of tail-anchored proteins factor CAMLG Proteins 0.000 description 1
- 101100490849 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) alg-2 gene Proteins 0.000 description 1
- 101100378851 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) alg-3 gene Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/105—Arrangements for software license management or administration, e.g. for managing licenses at corporate level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种设备运行方法、装置、设备和存储介质,该方法包括:接收授权文件签发设备签发的授权文件;获取授权文件对应的解密密钥;基于解密密钥,对授权文件进行解密操作,得到授权信息明文和签名包;获取与授权签发设备约定的公钥以及部分签名原文;基于公钥、部分签名原文以及授权信息明文,对签名包进行签名验签处理;若签名验签处理通过,则基于授权文件运行待授权设备。采用本发明可以避免设备的运行风险,保证待授权设备运行的安全性。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种设备运行方法、装置、设备和存储介质。
背景技术
相关技术中,客户可以从服务器厂商那里购买服务器,购买的服务器可以作为待授权设备。然后厂商会通过授权文件签发设备给待授权设备签发授权文件,这样待授权设备能够接收到授权文件。一般来说,在待授权设备接收到授权文件之后,会直接使用该授权文件。但是在某些情况中,授权文件实际不是厂商通过自己的授权文件签发设备签发的,而是有些恶意冒充厂商的设备签发的伪授权文件。如果待授权设备直接使用了伪授权文件,会造成一定的运行风险,不能保证待授权设备运行的安全性。
发明内容
本发明实施例提供一种设备运行方法、装置、设备和存储介质,用以保证授权文件的可靠来源,避免待授权设备的运行风险,从而保证待授权设备运行的安全性。
第一方面,本发明实施例提供一种设备运行方法,该方法包括:
接收授权文件签发设备签发的授权文件;
获取所述授权文件对应的解密密钥;
基于所述解密密钥,对所述授权文件进行解密操作,得到授权信息明文和签名包;
获取与所述授权文件签发设备约定的公钥以及部分签名原文;
基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理;
若签名验签处理通过,则基于所述授权文件运行待授权设备。
可选地,所述获取所述授权文件对应的解密密钥,以及所述获取部分签名原文,包括:
获取所述待授权设备存储的待授权信息,所述授权文件是基于所述待授权信息签发的;
对所述待授权信息进行解析处理,得到所述授权文件对应的解密密钥以及部分签名原文。
可选地,所述基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理,包括:
对所述签名包的格式进行校验;
若校验通过,则基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理。
可选地,所述基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理,包括:
基于所述公钥,对所述签名包进行解密处理,得到所述签名包的解密信息;
将所述签名包的解密信息与所述部分签名原文以及所述授权信息明文进行匹配比较;
若所述签名包的解密信息与所述部分签名原文以及所述授权信息明文相匹配,则签名验签处理通过。
可选地,所述方法还包括:
基于所述授权信息明文,确定所述待授权设备的第一物理地址和第一设备标识,所述第一设备标识是基于所述待授权设备的第一硬件信息和第一中央处理器信息计算得到的;
获取所述待授权设备本地的第二物理地址和第二中央处理器信息;
基于所述第二物理地址和所述第二中央处理器信息,确定第二设备标识;
所述若签名验签处理通过,则基于所述授权文件运行待授权设备,包括:
若签名验签处理通过,所述第二物理地址与所述第一物理地址相匹配,且所述第二设备标识与所述第一设备标识相匹配,则基于所述授权文件运行待授权设备。
可选地,每当检测到所述待授权设备启动时,执行本发明实施例第一方面的上述方法。
可选地,每当检测到达到预设周期时,执行本发明实施例第一方面的上述方法。
可选地,所述方法还包括:
基于所述授权信息明文,确定授权有效期;
所述若签名验签处理通过,则基于所述授权文件运行待授权设备,包括:
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权文件运行待授权设备。
可选地,所述若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权文件运行待授权设备,包括:
当接收到业务请求时,确定签名验签处理是否通过以及基于所述授权有效期确定所述授权文件是否未过期;
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权信息明文,确定所述待授权设备是否具有运行所述业务请求对应的业务的目标权限;
若所述待授权设备具有所述目标权限,则运行所述业务请求对应的业务。
可选地,所述方法还包括:
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件已过期,则获取过期控制信息,所述过期控制信息包括用于指示在所述授权文件已过期的条件下停止运行所述待授权设备的信息、或者用于指示在所述授权文件已过期的条件下继续运行所述待授权设备的信息;
根据所述过期控制信息,确定是否运行所述待授权设备。
可选地,所述方法还包括:
若当前日期距离所述授权有效期之间的差值达到预设阈值时,发送即将过期提醒信息。
第二方面,本发明实施例提供一种设备运行装置,包括:
接收模块,用于接收授权文件签发设备签发的授权文件;
获取模块,用于获取所述授权文件对应的解密密钥;
解密模块,用于基于所述解密密钥,对所述授权文件进行解密操作,得到授权信息明文和签名包;
所述获取模块,用于获取与所述授权文件签发设备约定的公钥以及部分签名原文;
验签模块,用于基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理;
运行模块,用于若签名验签处理通过,则基于所述授权文件运行待授权设备。
可选地,所述获取模块,用于:
获取所述待授权设备存储的待授权信息,所述授权文件是基于所述待授权信息签发的;
对所述待授权信息进行解析处理,得到所述授权文件对应的解密密钥以及部分签名原文。
可选地,所述验签模块,用于:
对所述签名包的格式进行校验;
若校验通过,则基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理。
可选地,所述验签模块,用于:
基于所述公钥,对所述签名包进行解密处理,得到所述签名包的解密信息;
将所述签名包的解密信息与所述部分签名原文以及所述授权信息明文进行匹配比较;
若所述签名包的解密信息与所述部分签名原文以及所述授权信息明文相匹配,则签名验签处理通过。
可选地,所述装置还包括联合验证模块,所述联合验证模块,用于基于所述授权信息明文,确定所述待授权设备的第一物理地址和第一设备标识,所述第一设备标识是基于所述待授权设备的第一硬件信息和第一中央处理器信息计算得到的;获取所述待授权设备本地的第二物理地址和第二中央处理器信息;基于所述第二物理地址和所述第二中央处理器信息,确定第二设备标识;
所述运行模块,用于若签名验签处理通过,所述第二物理地址与所述第一物理地址相匹配,且所述第二设备标识与所述第一设备标识相匹配,则基于所述授权文件运行待授权设备。
可选地,每当检测到所述待授权设备启动时,运行上述模块的功能。
可选地,每当检测到达到预设周期时,运行上述模块的功能。
可选地,所述装置还包括确定模块,所述确定模块,用于基于所述授权信息明文,确定授权有效期;
所述运行模块,用于若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权文件运行待授权设备。
可选地,所述运行模块,用于:
当接收到业务请求时,确定签名验签处理是否通过以及基于所述授权有效期确定所述授权文件是否未过期;
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权信息明文,确定所述待授权设备是否具有运行所述业务请求对应的业务的目标权限;
若所述待授权设备具有所述目标权限,则运行所述业务请求对应的业务。
可选地,所述确定模块,还用于:
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件已过期,则获取过期控制信息,所述过期控制信息包括用于指示在所述授权文件已过期的条件下停止运行所述待授权设备的信息、或者用于指示在所述授权文件已过期的条件下继续运行所述待授权设备的信息;
根据所述过期控制信息,确定是否运行所述待授权设备。
可选地,所述装置还包括:
发送模块,用于若当前日期距离所述授权有效期之间的差值达到预设阈值时,发送即将过期提醒信息。
第三方面,本发明实施例提供一种电子设备,其中包括处理器和存储器,其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器至少可以实现第一方面中的设备运行方法。
第四方面,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器至少可以实现第一方面中的设备运行方法。
在本发明中,如果授权文件来源于厂商自己的授权文件签发设备,那么待授权设备和授权文件签发设备之间具有约定好的公钥和算法,使用约定好的公钥和算法进行签名验签处理得到的信息应该是与上述原文是一致的。因此如果发现使用约定好的公钥和算法进行签名验签处理得到的信息与上述原文一致,则表示发送授权文件的一方确实是厂商自己的授权文件签发设备,进而可以验证授权文件的合法性。故而,采用本发明可以避免设备的运行风险,保证待授权设备运行的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种设备运行方法的流程图示意图;
图2为本发明实施例提供的一种设备运行装置的结构示意图;
图3为本发明实施例提供的一种设备运行方法的流程图示意图;
图4为本发明实施例提供的一种设备运行装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
图1为本发明实施例提供的一种设备运行方法的流程图,如图1所示,该方法包括如下步骤:
101、接收授权文件签发设备签发的授权文件。
102、获取授权文件对应的解密密钥。
103、基于解密密钥,对授权文件进行解密操作,得到授权信息明文和签名包。
104、获取与授权签发设备(授权文件签发设备)约定的公钥以及部分签名原文。
105、基于公钥、部分签名原文以及授权信息明文,对签名包进行签名验签处理。
106、若签名验签处理通过,则基于授权文件运行待授权设备。
在实际应用中,本发明实施例提供的方法可以由电子设备实现,该电子设备例如是从厂商购买的服务器。实际应用中,客户可以从厂商处购买服务器,然后使用服务器提供的服务,而在实际使用服务器提供的服务之前,可以通过厂商自己的授权文件签发设备给客户购买的服务器签发授权文件,在这个过程中客户购买的服务器可以作为待授权设备,待授权设备接收到授权文件之后,如果授权文件验证通过,可以基于授权文件使用服务器提供的服务。在本发明实施例中,为了避免使用恶意冒充厂商的设备签发的伪授权文件运行待授权设备而造成的设备运行风险,在待授权设备接收到任一授权文件之后,都对授权文件的来源进行可靠性验证,以确保授权文件来自于厂商自己的授权文件签发设备。下面将详细介绍本发明实施例提供的设备运行方法。
在实际应用中,首先待授权设备可以接收到授权文件签发设备签发的授权文件,此时假设该授权文件签发设备可能是厂商自己的设备,也可以是恶意冒充厂商的设备。然后需要对授权文件的来源进行验证。
在实际介绍对授权文件的来源的验证过程之前,首先需要说明的是,待授权设备在请求授权文件签发设备签发授权文件之前,需要采集自己的一些设备信息,将设备信息和一些其他的信息进行组合生成待授权信息(待授权信息可以记为licenceAPP)。在得到待授权信息之后,将待授权信息发送到授权文件签发设备,由授权文件签发设备基于待授权信息给待授权设备签发授权文件。在待授权设备将待授权信息发送给授权文件签发设备的同时,本地还可以保留一份待授权信息。实际上,待授权信息可以由解密密钥(解密密钥可以记为GUID)以及设备信息组合而成,而设备信息在本发明实施例中也可以作为部分签名原文(部分签名原文可以记为APPTEXT)。
授权文件是经过加密处理的文件,在获得授权文件之后,需要对授权文件进行解密处理。授权文件对应的解密密钥就是GUID,因此通过对待授权信息进行解析处理,可以得到授权文件对应的解密密钥以及部分签名原文。基于此,可选地,获取授权文件对应的解密密钥,以及获取部分签名原文的过程可以实现为:获取待授权设备存储的待授权信息,授权文件是基于待授权信息签发的;对待授权信息进行解析处理,得到授权文件对应的解密密钥以及部分签名原文。解析过程的表达式为:
GUID,APPTEXT=PARSE(licenceAPP);(表达式1)
在获得解密密钥之后,可以基于解密密钥,对授权文件进行解密操作,得到授权信息明文和签名包。具体地,在解密过程中,可以通过解密密钥以及相应的算法(算法可以记为ALG1)对授权文件(授权文件可以记为licence)进行解密操作(解密操作表示为DEC),得到授权信息明文(授权信息明文可以记为LICENCEINFO)和签名包(签名包可以记为SIGTEXT)。解密操作的表达式可以为:
LICENCEINFO,SIGTEXT=ALG1(licence,GUID,DEC);(表达式2)
可选地,为了确保解密操作是成功的,还可以对签名包的格式进行校验(校验操作可以表示为FORMAT),如果校验通过,则表示解密操作是成功的。校验操作通过的表达式可以为:
ISFIX=FORMAT(SIGTEXT);(表达式3)
ISFIX=true;(表达式4)
理论上来说,如果解密操作成功,可以得到“signeddata= [具体签名值]”的字符串,如果解密操作失败,则会出现乱码的情况。
在对签名包的格式进行校验之后,若校验通过,则可以基于公钥、部分签名原文以及授权信息明文,对签名包进行签名验签处理。通过签名验签处理,可以验证授权文件的来源,如果授权文件的来源合法,则可以基于授权文件运行待授权设备,这样就可以保障设备运行的安全。
可选地,上述基于公钥、部分签名原文以及授权信息明文,对签名包进行签名验签处理的过程可以实现为:基于公钥,对签名包进行解密处理,得到签名包的解密信息;将签名包的解密信息与部分签名原文以及授权信息明文进行匹配比较;若签名包的解密信息与部分签名原文以及授权信息明文相匹配,则签名验签处理通过。
在实际应用中,通过前面的步骤可以获得部分签名原文,然后可以通过待授权设备与授权文件签发设备约定的公钥(公钥可以标记为PUBK)和相应的算法(算法可以记为ALG2),以部分签名原文以及授权信息明文为原文,对签名包进行签名验签处理(签名验签处理可以表示为VER),得到签名验签结果(签名验签结果可以记为ISVERIFY1)。签名验签处理成功的表达式可以为:
ISVERIFY1=ALG2(SIGTEXT,APPTEXT,LICENCEINFO,PUBK,VER);(表达式5)
ISVERIFY1=true;(表达式6)
需要说明的是,如果授权文件来源于厂商自己的授权文件签发设备,那么待授权设备和授权文件签发设备之间具有约定好的公钥和算法,使用约定好的公钥和算法进行签名验签处理得到的信息应该是与上述原文是一致的。因此如果发现使用约定好的公钥和算法进行签名验签处理得到的信息与上述原文一致,则表示发送授权文件的一方确实是厂商自己的授权文件签发设备,进而可以验证授权文件的合法性。
本发明实施例在进行授权验证时,首先会结合待授权信息对授权文件进行密码学初步验证,该步骤主要用于核准授权文件未被篡改、与待授权信息的匹配性以及确认授权文件的签发来源为厂商自己的授权文件签发设备。
在本发明实施例提供的验证方案中,首先用待授权信息中解析出的GUID对授权文件进行解密处理,以确保传输过程中为密文传输且未被篡改,然后验证授权文件和待授权信息的匹配性,并对其中的签名包进行签名验签操作,确保授权文件的签发来源为厂商自己的授权文件签发设备,避免可能由恶意文件造成的待授权设备所在的业务系统受损的情况,同时也避免了厂商的利益受损。
在另外一方面,相关技术中,如果待授权设备的物理地址处于授权文件指示的起始物理地址的范围内,则确定该待授权设备得到授权。然而,物理地址不具有唯一性,有些待授权设备会修改物理地址以迎合这种授权验证机制,因此这种授权验证机制具有一定的漏洞。在本发明实施例中,为了避免这种机制带来的漏洞,保证授权验证的有效性,提出采用联合物理地址(MAC)以及设备标识(设备标识可以记为DEVICEID)的验证方式,保证待授权设备的唯一合法性。
基于此,本发明实施例提供的方法还可以包括:基于授权信息明文,确定待授权设备的第一物理地址和第一设备标识,第一设备标识是基于待授权设备的第一硬件信息和第一中央处理器信息计算得到的;获取待授权设备本地的第二物理地址和第二中央处理器信息;基于第二物理地址和第二中央处理器信息,确定第二设备标识。相应地,若签名验签处理通过,则基于授权文件运行待授权设备的过程可以实现为:若签名验签处理通过,第二物理地址与第一物理地址相匹配,且第二设备标识与第一设备标识相匹配,则基于授权文件运行待授权设备。
上述设备标识是基于待授权设备的硬件信息和中央处理器信息计算得到的,因此具有唯一性。在实际应用中,可以从授权信息明文中获取(获取操作可以表示为GET1)待授权设备的第一物理地址(第一物理地址可以记为MAC-LIC)和第一设备标识(第一设备标识可以记为DEVICEID-LIC),然后采集待授权设备本地的第二物理地址(第二物理地址可以记为MAC-SYS)和第二中央处理器信息(CPU-SYS)。通过相应的算法(算法可以记为ALG3)以及第二中央处理器信息,计算第二设备标识(第二设备标识可以记为DEVICE-SYS)。最后基于第一物理地址、第一设备标识、第二物理地址以及第二设备标识进行验证(验证操作可以表示为EQUAL),如果第二物理地址与第一物理地址相匹配,且第二设备标识与第一设备标识相匹配,则表示待授权设备具有唯一合法性。上述验证过程成功的表达式可以为:
MAC-LIC, DEVICEID-LIC=GET1(LICENCEINFO);(表达式7)
DEVICE-SYS=ALG3(CPU-SYS) ;(表达式8)
ISEQUAL=EQUAL(MAC-LIC,DEVICEID-LIC,MAC-SYS,DEVICE-SYS) ;(表达式9)
ISEQUAL=true;(表达式10)
本发明实施例提供了待授权设备唯一合法性的验证方式:结合待授权设备的物理地址和设备标识来验证待授权设备和授权文件中描述的物理地址和设备标识的匹配性,保证待授权设备的唯一合法性。其中设备标识DEVICEID为采用内部算法对中央处理器信息和其他硬件信息经过运算得到的,伪造的难度和成本较高。
在本发明实施例中,可选地,每当检测到待授权设备启动时,可以执行本发明实施例前面提供的方法,以验证是否可以基于授权文件运行待授权设备。此外,可选地,每当检测到达到预设周期时,也可以执行本发明实施例前面提供的方法,以验证是否可以基于授权文件运行待授权设备。
可选地,本发明实施例提供的方法还可以包括:基于授权信息明文,确定授权有效期。相应地,若签名验签处理通过,则基于授权文件运行待授权设备的过程可以实现为:若签名验签处理通过,且基于授权有效期确定出授权文件未过期,则基于授权文件运行待授权设备。
在实际应用中,可以通过获取操作(获取操作可以表示为GET2)从授权信息明文中获取授权有效期(授权有效期可以标记为VALIDT),进而可以进行授权有效期和当前日期之间的BETWEEN验证,以确定授权文件是否过期。验证授权文件未过期的表达式可以为:
VALIDT=GET2(LICENCEINFO);(表达式11)
ISVERIFY2=BETEWEEN(NOW,VALIDT) ;(表达式12)
ISVERIFY2=true;(表达式13)
可选地,本发明实施例提供的方法还可以包括:当接收到业务请求时,确定签名验签处理是否通过以及基于授权有效期确定授权文件是否未过期;若签名验签处理通过,且基于授权有效期确定出授权文件未过期,则基于授权信息明文,确定待授权设备是否具有运行业务请求对应的业务的目标权限;若待授权设备具有目标权限,则运行业务请求对应的业务。
在实际应用中,当待授权设备接收到业务请求时,可以触发进行有效期验证过程,同时还可以从授权信息明文中解析待授权设备是否具备执行业务请求对应的业务的目标权限,如果待授权设备具有目标权限,则运行业务请求对应的业务。
可选地,当授权文件过期时,在本发明实施例中提供两种过期之后运行待授权设备的策略:若签名验签处理通过,且基于授权有效期确定出授权文件已过期,则获取过期控制信息,过期控制信息包括用于指示在授权文件已过期的条件下停止运行待授权设备的信息、或者用于指示在授权文件已过期的条件下继续运行待授权设备的信息;根据过期控制信息,确定是否运行待授权设备。
在实际应用中,如果将过期策略强度设置为A级,那么在授权文件过期之后,可以立即停止让待授权设备再提供任何的服务。如果将过期策略强度设置为B级,那么在授权文件过期之后,可以继续让待授权设备再提供服务,但同时可以对客户进行提醒,以提示客户进行续期操作。
可选地,本发明实施例提供的方法还可以包括:若当前日期距离授权有效期之间的差值达到预设阈值时,发送即将过期提醒信息。
在实际应用中,可以采用阶段性的验证策略。可以设置在授权文件过期之前的N个月,发送即将过期提醒信息。接收到即将过期提醒信息的设备可以在管理页面通过弹框的方式进行即将过期提醒,同时还可以通过对授权有效期进行变色的方式从视觉上完成提醒操作。
采用上述过期之后运行待授权设备的策略机制,在授权文件过期之后,在某些情况下可以继续运行待授权设备,这样不会影响常规业务的业务连续性,可以提高用户体验。
综上,本发明实施例采用四种验证机制相结合的方式:启动时验证体现授权文件的授权限制属性;定时验证保证授权文件的时效性;触发式验证保证授权文件的实时性;过期前续授提醒保证业务系统的功能连续性,避免一刀切的方式,从而提升用户体验。
如图2所示,本发明实施例提供了一种待授权设备的结构示意图。在图2中,待授权设备包括授权文件解密模块、授权文件验证模块以及授权文件使用模块。其中,授权文件可以输入到授权文件解密模块中,同时,待授权信息也可以输入到授权文件解密模块中,通过对待授权信息的解析处理,可以获得GUID,然后通过GUID对授权文件进行解密处理,得到签名包。将签名包输入到授权文件验证模块中,同时将待授权信息也输入到授权文件验证模块中,在授权文件验证模块中可以进行对签名包以及待授权信息的签名验签处理以及其他信息验证处理,在验证通过后,获得授权信息明文,将授权信息明文输入到授权文件使用模块中。在授权文件使用模块中,可以启动实时验证、定时验证、触发式验证以及过期提醒策略机制。
如图3所示,本发明实施例提供了一种设备运行方法的流程示意图。在图3中,可以通过对待授权信息的解析处理获取GUID,将GUID作为解密密钥对授权文件进行解密处理,然后获取授权文件中的签名包,通过待授权信息中的部分签名原文对签名包进行签名验签处理,如果签名验签处理通过,则可以验证授权文件的授权有效期,如果在授权有效期内,则可以正常运行待授权设备,且在运行待授权设备的同时进行联合验证过程,如果未在授权有效期内,则可以异常退出。上述联合验证过程可以包括启动时验证、定时验证、触发式验证以及过期提醒。
以下将详细描述本发明的一个或多个实施例的设备运行装置。本领域技术人员可以理解,这些设备运行装置均可使用市售的硬件组件通过本方案所教导的步骤进行配置来构成。
图4为本发明实施例提供的一种设备运行装置的结构示意图,如图4所示,该装置包括:
接收模块51,用于接收授权文件签发设备签发的授权文件;
获取模块52,用于获取所述授权文件对应的解密密钥;
解密模块53,用于基于所述解密密钥,对所述授权文件进行解密操作,得到授权信息明文和签名包;
所述获取模块52,用于获取与所述授权文件签发设备约定的公钥以及部分签名原文;
验签模块54,用于基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理;
运行模块55,用于若签名验签处理通过,则基于所述授权文件运行待授权设备。
可选地,所述获取模块52,用于:
获取所述待授权设备存储的待授权信息,所述授权文件是基于所述待授权信息签发的;
对所述待授权信息进行解析处理,得到所述授权文件对应的解密密钥以及部分签名原文。
可选地,所述验签模块54,用于:
对所述签名包的格式进行校验;
若校验通过,则基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理。
可选地,所述验签模块54,用于:
基于所述公钥,对所述签名包进行解密处理,得到所述签名包的解密信息;
将所述签名包的解密信息与所述部分签名原文以及所述授权信息明文进行匹配比较;
若所述签名包的解密信息与所述部分签名原文以及所述授权信息明文相匹配,则签名验签处理通过。
可选地,所述装置还包括联合验证模块,所述联合验证模块,用于基于所述授权信息明文,确定所述待授权设备的第一物理地址和第一设备标识,所述第一设备标识是基于所述待授权设备的第一硬件信息和第一中央处理器信息计算得到的;获取所述待授权设备本地的第二物理地址和第二中央处理器信息;基于所述第二物理地址和所述第二中央处理器信息,确定第二设备标识;
所述运行模块55,用于若签名验签处理通过,所述第二物理地址与所述第一物理地址相匹配,且所述第二设备标识与所述第一设备标识相匹配,则基于所述授权文件运行待授权设备。
可选地,每当检测到所述待授权设备启动时,运行上述模块的功能。
可选地,每当检测到达到预设周期时,运行上述模块的功能。
可选地,所述装置还包括确定模块,所述确定模块,用于基于所述授权信息明文,确定授权有效期;
所述运行模块55,用于若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权文件运行待授权设备。
可选地,所述运行模块55,用于:
当接收到业务请求时,确定签名验签处理是否通过以及基于所述授权有效期确定所述授权文件是否未过期;
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权信息明文,确定所述待授权设备是否具有运行所述业务请求对应的业务的目标权限;
若所述待授权设备具有所述目标权限,则运行所述业务请求对应的业务。
可选地,所述确定模块,还用于:
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件已过期,则获取过期控制信息,所述过期控制信息包括用于指示在所述授权文件已过期的条件下停止运行所述待授权设备的信息、或者用于指示在所述授权文件已过期的条件下继续运行所述待授权设备的信息;
根据所述过期控制信息,确定是否运行所述待授权设备。
可选地,所述装置还包括:
发送模块,用于若当前日期距离所述授权有效期之间的差值达到预设阈值时,发送即将过期提醒信息。
图4所示装置可以执行前述图1至图3所示实施例中提供的设备运行方法,详细的执行过程和技术效果参见前述实施例中的描述,在此不再赘述。
在一个可能的设计中,上述图4所示设备运行装置的结构可实现为一电子设备,如图5所示,该电子设备可以包括:处理器91、存储器92。其中,所述存储器92上存储有可执行代码,当所述可执行代码被所述处理器91执行时,使所述处理器91至少可以实现如前述图1至图3所示实施例中提供的设备运行方法。
可选地,该电子设备中还可以包括通信接口93,用于与其他设备进行通信。
另外,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器至少可以实现如前述图1至图3所示实施例中提供的设备运行方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例提供的设备运行方法可以由某种程序/软件来执行,该程序/软件可以由网络侧提供,前述实施例中提及的电子设备可以将该程序/软件下载到本地的非易失性存储介质中,并在其需要执行前述设备运行方法时,通过CPU将该程序/软件读取到内存中,进而由CPU执行该程序/软件以实现前述实施例中所提供的设备运行方法,执行过程可以参见前述图1至图3中的示意。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (14)
1.一种设备运行方法,其特征在于,包括:
接收授权文件签发设备签发的授权文件;
获取所述授权文件对应的解密密钥;
基于所述解密密钥,对所述授权文件进行解密操作,得到授权信息明文和签名包;
获取与所述授权文件签发设备约定的公钥以及部分签名原文;
基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理;
若签名验签处理通过,则基于所述授权文件运行待授权设备。
2.根据权利要求1所述的方法,其特征在于,所述获取所述授权文件对应的解密密钥,以及所述获取部分签名原文,包括:
获取所述待授权设备存储的待授权信息,所述授权文件是基于所述待授权信息签发的;
对所述待授权信息进行解析处理,得到所述授权文件对应的解密密钥以及部分签名原文。
3.根据权利要求1所述的方法,其特征在于,所述基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理,包括:
对所述签名包的格式进行校验;
若校验通过,则基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理。
4.根据权利要求1所述的方法,其特征在于,所述基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理,包括:
基于所述公钥,对所述签名包进行解密处理,得到所述签名包的解密信息;
将所述签名包的解密信息与所述部分签名原文以及所述授权信息明文进行匹配比较;
若所述签名包的解密信息与所述部分签名原文以及所述授权信息明文相匹配,则签名验签处理通过。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述授权信息明文,确定所述待授权设备的第一物理地址和第一设备标识,所述第一设备标识是基于所述待授权设备的第一硬件信息和第一中央处理器信息计算得到的;
获取所述待授权设备本地的第二物理地址和第二中央处理器信息;
基于所述第二物理地址和所述第二中央处理器信息,确定第二设备标识;
所述若签名验签处理通过,则基于所述授权文件运行待授权设备,包括:
若签名验签处理通过,所述第二物理地址与所述第一物理地址相匹配,且所述第二设备标识与所述第一设备标识相匹配,则基于所述授权文件运行待授权设备。
6.根据权利要求1所述的方法,其特征在于,每当检测到所述待授权设备启动时,执行权利要求1-5中任一项所述的方法。
7.根据权利要求1所述的方法,其特征在于,每当检测到达到预设周期时,执行权利要求1-5中任一项所述的方法。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述授权信息明文,确定授权有效期;
所述若签名验签处理通过,则基于所述授权文件运行待授权设备,包括:
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权文件运行待授权设备。
9.根据权利要求8所述的方法,其特征在于,所述若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权文件运行待授权设备,包括:
当接收到业务请求时,确定签名验签处理是否通过以及基于所述授权有效期确定所述授权文件是否未过期;
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件未过期,则基于所述授权信息明文,确定所述待授权设备是否具有运行所述业务请求对应的业务的目标权限;
若所述待授权设备具有所述目标权限,则运行所述业务请求对应的业务。
10.根据权利要求8所述的方法,其特征在于,所述方法还包括:
若签名验签处理通过,且基于所述授权有效期确定出所述授权文件已过期,则获取过期控制信息,所述过期控制信息包括用于指示在所述授权文件已过期的条件下停止运行所述待授权设备的信息、或者用于指示在所述授权文件已过期的条件下继续运行所述待授权设备的信息;
根据所述过期控制信息,确定是否运行所述待授权设备。
11.根据权利要求8所述的方法,其特征在于,所述方法还包括:
若当前日期距离所述授权有效期之间的差值达到预设阈值时,发送即将过期提醒信息。
12.一种设备运行装置,其特征在于,包括:
接收模块,用于接收授权文件签发设备签发的授权文件;
获取模块,用于获取所述授权文件对应的解密密钥;
解密模块,用于基于所述解密密钥,对所述授权文件进行解密操作,得到授权信息明文和签名包;
所述获取模块,用于获取与所述授权文件签发设备约定的公钥以及部分签名原文;
验签模块,用于基于所述公钥、所述部分签名原文以及所述授权信息明文,对所述签名包进行签名验签处理;
运行模块,用于若签名验签处理通过,则基于所述授权文件运行待授权设备。
13.一种电子设备,其特征在于,包括:存储器、处理器;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1-11中任一项所述的设备运行方法。
14.一种非暂时性机器可读存储介质,其特征在于,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如权利要求1-11中任一项所述的设备运行方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110065359.7A CN112380501B (zh) | 2021-01-19 | 2021-01-19 | 设备运行方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110065359.7A CN112380501B (zh) | 2021-01-19 | 2021-01-19 | 设备运行方法、装置、设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112380501A true CN112380501A (zh) | 2021-02-19 |
CN112380501B CN112380501B (zh) | 2021-11-09 |
Family
ID=74581987
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110065359.7A Active CN112380501B (zh) | 2021-01-19 | 2021-01-19 | 设备运行方法、装置、设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112380501B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113642046A (zh) * | 2021-07-27 | 2021-11-12 | 上海上讯信息技术股份有限公司 | 批量下发运维列表的方法及设备 |
WO2023246585A1 (zh) * | 2022-06-20 | 2023-12-28 | 中兴通讯股份有限公司 | 授权控制方法、装置、系统、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230598A (zh) * | 2016-07-29 | 2016-12-14 | 深圳兆日科技股份有限公司 | 移动终端第三方应用安全认证方法和装置 |
CN108268767A (zh) * | 2016-12-30 | 2018-07-10 | 北京国双科技有限公司 | Web应用程序授权方法及装置 |
CN109286638A (zh) * | 2018-11-28 | 2019-01-29 | 深圳市元征科技股份有限公司 | 一种汽车诊断设备认证方法及相关装置 |
WO2019199553A1 (en) * | 2018-04-11 | 2019-10-17 | Microsoft Technology Licensing, Llc | Software license distribution and validation using a distributed immutable data store |
CN110855426A (zh) * | 2019-11-08 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种用于软件使用授权的方法 |
-
2021
- 2021-01-19 CN CN202110065359.7A patent/CN112380501B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230598A (zh) * | 2016-07-29 | 2016-12-14 | 深圳兆日科技股份有限公司 | 移动终端第三方应用安全认证方法和装置 |
CN108268767A (zh) * | 2016-12-30 | 2018-07-10 | 北京国双科技有限公司 | Web应用程序授权方法及装置 |
WO2019199553A1 (en) * | 2018-04-11 | 2019-10-17 | Microsoft Technology Licensing, Llc | Software license distribution and validation using a distributed immutable data store |
CN109286638A (zh) * | 2018-11-28 | 2019-01-29 | 深圳市元征科技股份有限公司 | 一种汽车诊断设备认证方法及相关装置 |
CN110855426A (zh) * | 2019-11-08 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种用于软件使用授权的方法 |
Non-Patent Citations (1)
Title |
---|
郑婷: ""基于公钥密码体制的软件授权系统设计与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113642046A (zh) * | 2021-07-27 | 2021-11-12 | 上海上讯信息技术股份有限公司 | 批量下发运维列表的方法及设备 |
WO2023246585A1 (zh) * | 2022-06-20 | 2023-12-28 | 中兴通讯股份有限公司 | 授权控制方法、装置、系统、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112380501B (zh) | 2021-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110691087B (zh) | 一种访问控制方法、装置、服务器及存储介质 | |
CN101860540B (zh) | 一种识别网站服务合法性的方法及装置 | |
CN111708991A (zh) | 服务的授权方法、装置、计算机设备和存储介质 | |
CN112000951B (zh) | 一种访问方法、装置、系统、电子设备及存储介质 | |
US9053318B2 (en) | Anti-cloning system and method | |
US9940446B2 (en) | Anti-piracy protection for software | |
CN106453422B (zh) | 一种基于移动终端动态认证方法及系统 | |
CN112313648A (zh) | 认证系统、认证方法、应用提供装置、认证装置以及认证用程序 | |
CN112711759A (zh) | 一种防重放攻击漏洞安全防护的方法及系统 | |
CN112380501B (zh) | 设备运行方法、装置、设备和存储介质 | |
CN111143822A (zh) | 一种应用系统访问方法及装置 | |
CN111130798A (zh) | 一种请求鉴权方法及相关设备 | |
CN106897606A (zh) | 一种刷机防护方法和装置 | |
CN114444134A (zh) | 一种数据使用授权方法、系统及装置 | |
CN109451504B (zh) | 物联网模组鉴权方法及系统 | |
KR101746102B1 (ko) | 무결성 및 보안성이 강화된 사용자 인증방법 | |
CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
CN112383577A (zh) | 授权方法、装置、系统、设备和存储介质 | |
KR100956452B1 (ko) | 피싱공격 방지 방법 | |
KR101856530B1 (ko) | 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버 | |
US8355508B2 (en) | Information processing apparatus, information processing method, and computer readable recording medium | |
CN109218009B (zh) | 一种提高设备id安全性的方法、客户端和服务器 | |
CN111740938B (zh) | 信息处理方法、装置、客户端和服务器 | |
CN108574657B (zh) | 接入服务器的方法、装置、系统以及计算设备和服务器 | |
CN116418541B (zh) | 通信方法、装置和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |