[发明专利]一种硬件控制锁的托管方法、装置及系统

说明书

本发明公开了一种硬件控制锁的托管方法、装置及系统，其中，所述硬件加密装置生成密钥对及第二密钥，对生成的密钥对中的私钥采用第二密钥进行加密后，将所述私钥经过加密的密钥对输出给计算机网络侧；所述计算机网络侧将所述私钥经过加密的密钥对与软件开发者标识关联；所述计算机网络侧接收软件开发者发送的软件数据后，将对应开发者标识的经过加密的私钥及软件数据发送给硬件加密装置，由所述硬件加密装置对所述经过加密的私钥采用第二密钥解密后，再采用解密后的私钥对软件数据进行签名；所述计算机网络侧将签名后的软件数据发送给软件开发者。本发明简单不繁琐且易于管理。

技术领域

本发明涉及对计算机软件安全性领域，特别涉及一种硬件控制锁的托管方法、装置及系统。

背景技术

在计算机网络中，为了保证传输数据的合法性，都需要完备的证书体系。因此，硬件锁提供商提供了硬件锁，该硬件锁具有唯一的有效证书，用以标识身份。每次向硬件锁内输入数据，均会通过硬件锁的有效证书验证数据输入者的身份有效性及合法性，如果合法，则允许执行输入数据的操作，如果非法，则拒绝输入数据的操作。硬件锁包括硬件控制锁及硬件用户锁，硬件控制锁是由智能硬件及嵌入式系统组成，提供给软件开发者，用以向硬件用户锁签发授权数据；硬件用户锁是由智能硬件及嵌入式系统组成，由软件开发者将软件与其中的私钥一起打包售卖给最终的软件使用者，用于软件授权保护。

图1为现有技术提供的软件开发者使用硬件锁的示意图，如图所示：软件开发者采用硬件控制锁生成对应输出数据端的多个硬件用户锁，对要发布的应用软件中的授权或/和重要算法等的数据采用硬件用户锁的公钥进行加密后，再对加密的数据采用硬件控制锁中的私钥进行签名后，装载到硬件用户锁中，得到授权后的硬件用户锁发送给软件使用者。在这里，每个硬件控制锁在出厂前都会在内部生成一个非对称密钥对，密钥对中的私钥不能更替且不能被导出，用于对输入数据进行签名，密钥对中的公钥不能更替但可以导出给输出数据端，用于在后续对签名的数据进行验签。当输出数据端接收到数据之后，采用硬件控制锁中的公钥对数据进行验签通过后，再采用硬件用户锁的私钥对数据进行解密，并存储。在这里，每把硬件用户锁都会在内部生成一个非对称密钥对，密钥对中的私钥不能更替且不能导出，用于对输入数据进行解密，密钥对中的公钥不能更替可以导出，用于对输入数据进行加密。

也就是说，在计算机网络中的输出数据端中具有硬件用户锁的公钥及硬件控制锁的私钥，依次对要输出的数据进行加密及签名，在计算机网络中的输入数据端具有硬件控制锁的公钥及硬件用户锁的私钥，依次对输入的数据进行解签及解密处理。

图2为现有技术提供的软件使用过程图，如图所示，在软件发布的同时，会将软件中的一些授权或/和重要的数据写入到硬件锁中，一起提供给终端侧。当终端侧接收到后，启动软件，软件中的软件授权控制模块对锁访问模块进行控制，锁访问模块向软件的硬件锁发起授权验证请求，该请求携带终端侧输入的硬件控制锁的公钥及硬件用户锁的私钥；硬件锁的锁内入口模块(Entry)接收到并解析得到硬件控制锁的公钥及硬件用户锁的私钥后，由锁内的负载模块(Loader)对硬件锁中的安全数据区的数据进行验签及解密后，将数据返回给软件的锁访问模块，软件应用这些数据启动。

采用这种方式由于软件必不可少的数据都被加密且签名后保存在硬件锁中等待验签及解密后才能使用，这样这一方面能够保证软件运行的安全性，软件不会被非法篡改；另一方面能够保证软件开发者的利益，使得非法终端侧由于无法对硬件锁中的数据解签及解密，无法使用非授权的软件。但是，实现上述软件的授权方式，需要为派发的软件设置授权状态的硬件用户锁，目前硬件用户锁常常采用硬件锁提供商提供的手持式的硬件控制锁，由软件开发者将软件中的数据装载到硬件控制锁生成的硬件用户锁中，采用这种方式比较繁琐，不容易管理，常常无法保证不同软件的硬件锁的唯一性，给软件的发布制造了障碍。

发明内容

有鉴于此，本发明实施例提供一种硬件控制锁的托管方法，该方法能够直接生成硬件锁，简单不繁琐且易于管理。