CN113901433A - 一种基于芯片的离线授权方法及系统 - Google Patents
一种基于芯片的离线授权方法及系统 Download PDFInfo
- Publication number
- CN113901433A CN113901433A CN202111374097.9A CN202111374097A CN113901433A CN 113901433 A CN113901433 A CN 113901433A CN 202111374097 A CN202111374097 A CN 202111374097A CN 113901433 A CN113901433 A CN 113901433A
- Authority
- CN
- China
- Prior art keywords
- authorization
- certificate
- chip
- business
- user information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于芯片的离线授权方法,方法在授权中心处进行操作,方法包括如下步骤:读取授权芯片的序列号;生成随机数作为授权芯片的私钥;依据私钥制作证书请求,其中,证书请求包括使用者信息,其中,使用者信息是授权芯片的序列号;证书请求还包括证书有效期,其中,证书有效期是授权芯片的授权时间;使用相应的业务证书签证机关CA对证书请求进行证书签发,生成芯片的授权证书;其中,业务CA是由根CA选择的;将授权芯片的私钥和授权证书写入授权芯片,完成对芯片的授权。本发明的方法采用离线对芯片授权的方式,授权信息保存于安全芯片中,降低了产品授权的操作复杂度;本发明采用非对称加密的算法实现,在授权中心进行授权,保证了授权的安全性。
Description
技术领域
本发明是关于数字加密技术领域,特别是关于一种基于芯片的离线授权方法及系统。
背景技术
目前终端或系统(下称装置)的常规授权方式为在线授权方式,流程为装置生产完成后,采用专用的授权工具与装置建立通信,获取机器码(机器码的选用通常是每台装置的信息都唯一,且不能更改的信息),然后注册工具使用特定的加密算法和密钥对机器码进行加密生成授权文件,然后将授权文件回写至装置中,这样就授权完成了。现有技术的授权方式可以参见图1。
然后在装置运行时,业务程序初始化时会检测装置是否已授权,首先读取装置的机器码,然后使用与注册工具一样的加密算法和密钥对机器码进行加密,将加密结果与装置的注册信息(授权文件信息)进行比对,一致则表示本装置已注册,可正常运行,不一致则说明未注册,终止程序运行,从而防止业务程序在未授权的装置上运行,装置业务程序检测授权的流程可以参见图2。
这种授权方式有三个弊端:(1)为了保证授权功能的通用性,机器码的信息通常是获取的MAC地址、网卡信息等,而这些信息是可以通过技术手段更改的,这样就可以从一台已授权的装置中获取注册文件,并修改为相同的机器码,从而完成授权的破解。(2)对机器码进行加密的方法通常为哈希算法或对称加密算法,有的是私有加密算法,一旦加密算法泄漏,整个加密体系都会被破解,存在技术风险。(3)这种授权方式的授权操作是在装置生产完成,且具备运行条件后进行的,对每一台装置都需要上电、完成通信连接,然后注册,步骤繁琐,如果需要大批量的供货,此步骤会花费大量的时间,影响供货进度。
为保证装置信息的唯一性和不可更改性,需要使用具备全球唯一序列号(UID)的芯片,目前有的授权方案采用安全芯片,使用非对称加密算法授权的方法,但是有个问题是有些产品有授权时间的要求。另外大多公司有丰富的产品线,不同系列价格差别很大,如果使用同样的注册方法,可能会被人拿低价格装置的授权去用于高价格的产品中去,造成经济利益损失。
发明内容
本发明的目的在于提供一种基于芯片的离线授权方法及系统
为实现上述目的,本发明提供了一种基于芯片的离线授权方法,其特征在于,方法在授权中心处进行操作,方法包括如下步骤:
读取授权芯片的序列号;
生成随机数作为授权芯片的私钥;
依据私钥制作证书请求,其中,证书请求包括使用者信息,其中,使用者信息是授权芯片的序列号;证书请求还包括证书有效期,其中,证书有效期是授权芯片的授权时间;
使用相应的业务证书签证机关CA对证书请求进行证书签发,生成芯片的授权证书;其中,业务CA是由根CA选择的;
将授权芯片的私钥和授权证书写入授权芯片,完成对芯片的授权。
在一优选的实施方式中,其中,授权芯片的私钥加密保存至外部不可读区域。
本发明提供了一种基于芯片的离线授权方法,其特征在于,方法在装置处进行操作,方法包括如下步骤:
读取授权芯片的序列号;
读取授权芯片的授权证书;
读取授权证书的使用者信息,并将使用者信息与授权芯片的序列号进行比对;
如果使用者信息与授权芯片的序列号不一致,则判断校验失败;
如果使用者信息与授权芯片的序列号一致,则继续使用装置的业务程序的业务CA证书验证授权证书的合法性,其中,装置的业务程序的业务CA证书是授权中心中相应业务的CA证书;
如果授权证书不是授权中心颁发的证书或者授权证书不是装置的业务程序的业务CA颁发的证书,则判断授权证书是非法证书;
如果授权证书是授权中心颁发的证书并且授权证书是装置的业务程序的业务CA颁发的证书,则继续读取授权证书的有效时间。
在一优选的实施方式中,方法还包括如下步骤:
将授权证书的有效时间与本地时间进行比对;
如果授权证书的有效时间不在有效期内,则授权检测失败;
如果授权证书的有效时间在有效期内,则产生随机数,并将所产生的随机数发送到授权芯片;
接收签名结果,并使用授权证书进行验证,其中,签名结果是由授权芯片对随机数进行签名而产生的;
如果验证失败,则授权检测失败;
如果验证成功,业务程序开始正常运行。
本发明提供了一种基于芯片的离线授权系统,其特征在于,系统包括授权芯片、授权中心以及装置,其中,授权中心与授权芯片经由芯片工装通信连接,其中,装置内运行有业务程序;
其中,授权中心被配置为进行以下操作:
读取授权芯片的序列号;
生成随机数作为授权芯片的私钥;
依据私钥制作证书请求,其中,证书请求包括使用者信息,其中,使用者信息是授权芯片的序列号;证书请求还包括证书有效期,其中,证书有效期是授权芯片的授权时间;
使用相应的业务证书签证机关CA对证书请求进行证书签发,生成芯片的授权证书;其中,业务CA是由根CA选择的;
将授权芯片的私钥和授权证书写入授权芯片,完成对芯片的授权。
在一优选的实施方式中,其中,授权芯片的私钥加密保存至外部不可读区域。
本发明提供了一种基于芯片的离线授权系统,其特征在于,系统包括授权芯片、授权中心以及装置,其中,授权中心与授权芯片经由芯片工装通信连接,其中,装置内运行有业务程序;
其中,装置被配置为进行以下操作:
读取授权芯片的序列号;
读取授权芯片的授权证书;
读取授权证书的使用者信息,并将使用者信息与授权芯片的序列号进行比对;
如果使用者信息与授权芯片的序列号不一致,则判断校验失败;
如果使用者信息与授权芯片的序列号一致,则继续使用装置的业务程序的业务CA证书验证授权证书的合法性,其中,装置的业务程序的业务CA证书是授权中心中相应业务的CA证书;
如果授权证书不是授权中心颁发的证书或者授权证书不是装置的业务程序的业务CA颁发的证书,则判断授权证书是非法证书;
如果授权证书是授权中心颁发的证书并且授权证书是装置的业务程序的业务CA颁发的证书,则继续读取授权证书的有效时间。
在一优选的实施方式中,装置还被配置为进行以下操作:
将授权证书的有效时间与本地时间进行比对;
如果授权证书的有效时间不在有效期内,则授权检测失败;
如果授权证书的有效时间在有效期内,则产生随机数,并将所产生的随机数发送到授权芯片;
接收签名结果,并使用授权证书进行验证,其中,签名结果是由授权芯片对随机数进行签名而产生的;
如果验证失败,则授权检测失败;
如果验证成功,业务程序开始正常运行。
与现有技术相比,本发明具有如下优点,(1)、采用离线对芯片授权的方式,授权信息保存于安全芯片中,降低了产品授权的操作复杂度;(2)、能够设定授权时间、授权业务范围,增加了授权的灵活性;(3)、本方案采用非对称加密的算法实现,在授权中心进行授权,保证了授权的安全性,如果本授权方案细节和算法泄漏,只要能保护好授权系统的私钥,就不存在被破解的风险。
附图说明
图1是现有技术的授权流程的流程示意图。
图2是现有技术的授权检测的流程示意图。
图3是根据本发明一实施方式的授权系统多级CA的逻辑架构示意图。
图4是根据本发明一实施方式的芯片离线授权的流程示意图。
图5是根据本发明一实施方式的授权检测的流程示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
本发明提供了一种基于芯片的离线授权方法,其特征在于,方法在授权中心处进行操作,方法包括如下步骤:读取授权芯片的序列号;生成随机数作为授权芯片的私钥;依据私钥制作证书请求,其中,证书请求包括使用者信息,其中,使用者信息是授权芯片的序列号;证书请求还包括证书有效期,其中,证书有效期是授权芯片的授权时间;使用相应的业务证书签证机关CA对证书请求进行证书签发,生成芯片的授权证书;其中,业务CA是由根CA选择的;将授权芯片的私钥和授权证书写入授权芯片,完成对芯片的授权。
在一优选的实施方式中,其中,授权芯片的私钥加密保存至外部不可读区域。
本发明提供了一种基于芯片的离线授权方法,其特征在于,方法在装置处进行操作,方法包括如下步骤:读取授权芯片的序列号;读取授权芯片的授权证书;读取授权证书的使用者信息,并将使用者信息与授权芯片的序列号进行比对;如果使用者信息与授权芯片的序列号不一致,则判断校验失败;如果使用者信息与授权芯片的序列号一致,则继续使用装置的业务程序的业务CA证书验证授权证书的合法性,其中,装置的业务程序的业务CA证书是授权中心中相应业务的CA证书;如果授权证书不是授权中心颁发的证书或者授权证书不是装置的业务程序的业务CA颁发的证书,则判断授权证书是非法证书;如果授权证书是授权中心颁发的证书并且授权证书是装置的业务程序的业务CA颁发的证书,则继续读取授权证书的有效时间。
在一优选的实施方式中,方法还包括如下步骤:将授权证书的有效时间与本地时间进行比对;如果授权证书的有效时间不在有效期内,则授权检测失败;如果授权证书的有效时间在有效期内,则产生随机数,并将所产生的随机数发送到授权芯片;接收签名结果,并使用授权证书进行验证,其中,签名结果是由授权芯片对随机数进行签名而产生的;如果验证失败,则授权检测失败;如果验证成功,业务程序开始正常运行。
本发明提供了一种基于芯片的离线授权系统,其特征在于,系统包括授权芯片、授权中心以及装置,其中,授权中心与授权芯片经由芯片工装通信连接,其中,装置内运行有业务程序;其中,授权中心被配置为进行以下操作:读取授权芯片的序列号;生成随机数作为授权芯片的私钥;依据私钥制作证书请求,其中,证书请求包括使用者信息,其中,使用者信息是授权芯片的序列号;证书请求还包括证书有效期,其中,证书有效期是授权芯片的授权时间;使用相应的业务证书签证机关CA对证书请求进行证书签发,生成芯片的授权证书;其中,业务CA是由根CA选择的;将授权芯片的私钥和授权证书写入授权芯片,完成对芯片的授权。
在一优选的实施方式中,其中,授权芯片的私钥加密保存至外部不可读区域。
本发明提供了一种基于芯片的离线授权系统,其特征在于,系统包括授权芯片、授权中心以及装置,其中,授权中心与授权芯片经由芯片工装通信连接,其中,装置内运行有业务程序;其中,装置被配置为进行以下操作:读取授权芯片的序列号;读取授权芯片的授权证书;读取授权证书的使用者信息,并将使用者信息与授权芯片的序列号进行比对;如果使用者信息与授权芯片的序列号不一致,则判断校验失败;如果使用者信息与授权芯片的序列号一致,则继续使用装置的业务程序的业务CA证书验证授权证书的合法性,其中,装置的业务程序的业务CA证书是授权中心中相应业务的CA证书;如果授权证书不是授权中心颁发的证书或者授权证书不是装置的业务程序的业务CA颁发的证书,则判断授权证书是非法证书;如果授权证书是授权中心颁发的证书并且授权证书是装置的业务程序的业务CA颁发的证书,则继续读取授权证书的有效时间。
在一优选的实施方式中,装置还被配置为进行以下操作:将授权证书的有效时间与本地时间进行比对;如果授权证书的有效时间不在有效期内,则授权检测失败;如果授权证书的有效时间在有效期内,则产生随机数,并将所产生的随机数发送到授权芯片;接收签名结果,并使用授权证书进行验证,其中,签名结果是由授权芯片对随机数进行签名而产生的;如果验证失败,则授权检测失败;如果验证成功,业务程序开始正常运行。
在一个具体实施例中,本发明的产品授权方法为:为每台装置添加一个授权芯片,授权人员在装置生成前完成对芯片的授权,然后将授权芯片发送至装置生产部门,装置生成部门在生产环节将芯片添加至装置中,这样装置一生产完成就已完成了授权。
在一个具体实施例中,本发明涉及以下几个主体:授权芯片:一款安全芯片,具有全球唯一序列号(UID)且不可更改,且具备存储区域,用于存储授权信息。芯片工装:一种用于连接芯片用于与芯片通信的工装。授权系统:用于对芯片进行授权的系统,通过芯片工装对芯片进行授权,具备多级数字证书签发功能,具备根证书签证机关CA,根据业务划分创建多级子CA,每一级CA代表一类业务功能的CA,多级CA分配如下图所示。业务程序:用于处理业务功能的程序,是本发明的保护对象,授权功能为防止业务程序在未授权的装置中运行。不同类型的装置中有不同的业务程序。装置:业务程序的运行载体,为通用或专用硬件。
下面参考图4介绍本发明的芯片离线授权的流程。在一个具体实施例中,在授权中心,使用专用工装连接授权芯片,使用授权系统进行连接,然后进行以下操作:
(1)读取授权芯片的序列号;
(2)生成随机数作为芯片的私钥;
(3)依据私钥制作证书请求,请求信息中,使用者信息填写第1步获取的芯片序列号,实现证书与芯片的绑定;CA选择相应的业务CA,实现与业务的绑定,证书有效期填写芯片的授权时间。
(4)使用相应的业务CA对证书请求进行证书签发,生成芯片的授权证书;
(5)最后将私钥和授权证书写入授权芯片,完成对芯片的授权。其中私钥信息要加密保存至外部不可读区域,要保证绝对保密。
芯片完成授权后,根据装置生成计划,将指定数量的相应业务的授权芯片发送给相应的产品生产单位,产品生产单位将授权芯片焊接到产品主板上。由于芯片已完成授权,所以装置一生产完成就是已授权的产品。
下面参考图5介绍本发明的授权检测的流程。在一个具体实施例中,本发明涉及的装置中内置了授权系统中相应业务的CA证书。为防止CA证书被篡改,将数字证书内容固化到业务程序中。
装置的业务程序在启动时进行授权检测,授权检测通过才运行业务功能,否则终止运行,并删除所有业务程序。检测流程为:
(1)读取授权芯片的序列号;
(2)读取授权芯片的授权证书;
(3)读取授权证书的使用者信息,与芯片序列号进行比对,如果不一致则校验失败;
(4)使用本业务程序的业务CA证书验证授权证书的合法性,不是授权系统颁发的证书或者不是本业务CA颁发的证书都认为是非法证书;
(5)读取授权证书的有效时间,与本地时间进行比对,看是否在有效期内,不在有效期内则检测失败;
(6)产生随机数,发送至授权芯片,授权芯片对随机数进行签名,返回签名结果,业务程序使用授权证书进行验证,验证失败则检测失败;
如果以上几步均成功了,则通过了授权检测,业务程序可正常运行。
其中,发送随机数让授权芯片签名,是为了防止非法破解人员通过检测已授权装置的授权芯片信号,使用其它芯片进行模拟,从而降低被破解的风险。
应当理解的是,在本发明的各种实施例中,上述各过程的撰写的先后顺序并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (8)
1.一种基于芯片的离线授权方法,其特征在于,所述方法在授权中心处进行操作,所述方法包括如下步骤:
读取授权芯片的序列号;
生成随机数作为所述授权芯片的私钥;
依据所述私钥制作证书请求,其中,所述证书请求包括使用者信息,其中,所述使用者信息是所述授权芯片的序列号;所述证书请求还包括证书有效期,其中,所述证书有效期是授权芯片的授权时间;
使用相应的业务证书签证机关CA对所述证书请求进行证书签发,生成芯片的授权证书;其中,所述业务CA是由根CA选择的;
将所述授权芯片的私钥和所述授权证书写入所述授权芯片,完成对芯片的授权。
2.如权利要求1所述的基于芯片的离线授权方法,其特征在于,其中,所述授权芯片的私钥加密保存至外部不可读区域。
3.一种基于芯片的离线授权方法,其特征在于,所述方法在装置处进行操作,所述方法包括如下步骤:
读取授权芯片的序列号;
读取授权芯片的授权证书;
读取授权证书的使用者信息,并将所述使用者信息与所述授权芯片的序列号进行比对;
如果所述使用者信息与所述授权芯片的序列号不一致,则判断校验失败;
如果所述使用者信息与所述授权芯片的序列号一致,则继续使用所述装置的业务程序的业务CA证书验证所述授权证书的合法性,其中,所述装置的业务程序的业务CA证书是授权中心中相应业务的CA证书;
如果所述授权证书不是授权中心颁发的证书或者所述授权证书不是所述装置的业务程序的业务CA颁发的证书,则判断所述授权证书是非法证书;
如果所述授权证书是授权中心颁发的证书并且所述授权证书是所述装置的业务程序的业务CA颁发的证书,则继续读取所述授权证书的有效时间。
4.如权利要求3所述的基于芯片的离线授权方法,其特征在于,所述方法还包括如下步骤:
将所述授权证书的有效时间与本地时间进行比对;
如果所述授权证书的有效时间不在有效期内,则授权检测失败;
如果所述授权证书的有效时间在有效期内,则产生随机数,并将所产生的随机数发送到所述授权芯片;
接收签名结果,并使用所述授权证书进行验证,其中,所述签名结果是由所述授权芯片对随机数进行签名而产生的;
如果验证失败,则授权检测失败;
如果验证成功,业务程序开始正常运行。
5.一种基于芯片的离线授权系统,其特征在于,所述系统包括授权芯片、授权中心以及装置,其中,所述授权中心与所述授权芯片经由芯片工装通信连接,其中,所述装置内运行有业务程序;
其中,所述授权中心被配置为进行以下操作:
读取授权芯片的序列号;
生成随机数作为所述授权芯片的私钥;
依据所述私钥制作证书请求,其中,所述证书请求包括使用者信息,其中,所述使用者信息是所述授权芯片的序列号;所述证书请求还包括证书有效期,其中,所述证书有效期是授权芯片的授权时间;
使用相应的业务证书签证机关CA对所述证书请求进行证书签发,生成芯片的授权证书;其中,所述业务CA是由根CA选择的;
将所述授权芯片的私钥和所述授权证书写入所述授权芯片,完成对芯片的授权。
6.如权利要求5所述的基于芯片的离线授权系统,其中,所述授权芯片的私钥加密保存至外部不可读区域。
7.一种基于芯片的离线授权系统,其特征在于,所述系统包括授权芯片、授权中心以及装置,其中,所述授权中心与所述授权芯片经由芯片工装通信连接,其中,所述装置内运行有业务程序;
其中,所述装置被配置为进行以下操作:
读取授权芯片的序列号;
读取授权芯片的授权证书;
读取授权证书的使用者信息,并将所述使用者信息与所述授权芯片的序列号进行比对;
如果所述使用者信息与所述授权芯片的序列号不一致,则判断校验失败;
如果所述使用者信息与所述授权芯片的序列号一致,则继续使用所述装置的业务程序的业务CA证书验证所述授权证书的合法性,其中,所述装置的业务程序的业务CA证书是授权中心中相应业务的CA证书;
如果所述授权证书不是授权中心颁发的证书或者所述授权证书不是所述装置的业务程序的业务CA颁发的证书,则判断所述授权证书是非法证书;
如果所述授权证书是授权中心颁发的证书并且所述授权证书是所述装置的业务程序的业务CA颁发的证书,则继续读取所述授权证书的有效时间。
8.如权利要求7所述的基于芯片的离线授权系统,其特征在于,所述装置还被配置为进行以下操作:
将所述授权证书的有效时间与本地时间进行比对;
如果所述授权证书的有效时间不在有效期内,则授权检测失败;
如果所述授权证书的有效时间在有效期内,则产生随机数,并将所产生的随机数发送到所述授权芯片;
接收签名结果,并使用所述授权证书进行验证,其中,所述签名结果是由所述授权芯片对随机数进行签名而产生的;
如果验证失败,则授权检测失败;
如果验证成功,业务程序开始正常运行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111374097.9A CN113901433A (zh) | 2021-11-19 | 2021-11-19 | 一种基于芯片的离线授权方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111374097.9A CN113901433A (zh) | 2021-11-19 | 2021-11-19 | 一种基于芯片的离线授权方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113901433A true CN113901433A (zh) | 2022-01-07 |
Family
ID=79194729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111374097.9A Pending CN113901433A (zh) | 2021-11-19 | 2021-11-19 | 一种基于芯片的离线授权方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113901433A (zh) |
-
2021
- 2021-11-19 CN CN202111374097.9A patent/CN113901433A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108234515B (zh) | 一种基于智能合约的自认证数字身份管理系统及其方法 | |
CN100464315C (zh) | 移动存储器失泄密防护的方法和系统 | |
US5475758A (en) | User authenticating system and method in wide area distributed environment | |
US8595498B2 (en) | Method for authenticating access to a secured chip by test device | |
CN103413159B (zh) | 一种基于cpk的rfid电子凭证离线鉴真防伪实现方法及系统 | |
CN108681909B (zh) | 基于区块链智能合约实现的智能防伪装置及溯源防伪方法 | |
CN111651748B (zh) | 一种车内ecu的安全访问处理系统及其方法 | |
JP2015065495A (ja) | 暗号鍵供給方法、半導体集積回路および暗号鍵管理装置 | |
CN103326864B (zh) | 一种电子标签防伪认证方法 | |
CN102957708B (zh) | 应用软件加解密方法、服务器和终端 | |
CN112491843B (zh) | 一种数据库多重认证方法、系统、终端及存储介质 | |
JP2001512873A (ja) | データ坦体の認証検査方法 | |
CN107547203B (zh) | 一种防伪溯源方法以及系统 | |
CN108200014B (zh) | 利用智能密钥装置访问服务器的方法、装置及系统 | |
CN109903052A (zh) | 一种区块链签名方法和移动设备 | |
CN106372950A (zh) | 电商及网购商品的防伪认证方法 | |
CN114786160B (zh) | 一种nfc标签密钥管理系统 | |
CN112507296A (zh) | 一种基于区块链的用户登录验证方法及系统 | |
US20100042845A1 (en) | Ic tag system | |
CN111768523A (zh) | 一种基于ctid的nfc智能门锁开锁方法、系统、设备及介质 | |
CN114969786A (zh) | 基于区块链的保函数据处理方法、节点及系统 | |
CN100437422C (zh) | 软件使用权加密保护的系统和方法 | |
CN105873043B (zh) | 一种用于移动终端的网络私匙的生成及应用方法及其系统 | |
CN103281188A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
CN101661573B (zh) | 电子印章制章方法和电子印章使用方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |