本發(fā)明涉及對計算機軟件安全性領域，特別涉及一種托管硬件控制鎖的方法及系統(tǒng)。

背景技術：

在計算機網(wǎng)絡中，為了保證傳輸數(shù)據(jù)的合法性，都需要完備的證書體系。因此，硬件鎖提供商提供了硬件鎖，該硬件鎖具有唯一的有效證書，用以標識身份。每次向硬件鎖內(nèi)輸入數(shù)據(jù)，均會通過硬件鎖的有效證書驗證數(shù)據(jù)輸入者的身份有效性及合法性，如果合法，則允許執(zhí)行輸入數(shù)據(jù)的操作，如果非法，則拒絕輸入數(shù)據(jù)的操作。硬件鎖包括硬件控制鎖及硬件用戶鎖，硬件控制鎖是由智能硬件及嵌入式系統(tǒng)組成，提供給軟件開發(fā)者，用以向硬件用戶鎖簽發(fā)授權數(shù)據(jù)；硬件用戶鎖是由智能硬件及嵌入式系統(tǒng)組成，由軟件開發(fā)者將軟件與其中的私鑰一起打包售賣給最終的軟件使用者，用于軟件授權保護。

圖1為現(xiàn)有技術提供的軟件開發(fā)者使用硬件鎖的示意圖，如圖所示：軟件開發(fā)者采用硬件控制鎖生成對應輸出數(shù)據(jù)端的多個硬件用戶鎖，對要發(fā)布的應用軟件中的授權或/和重要算法等的數(shù)據(jù)采用硬件用戶鎖的公鑰進行加密后，再對加密的數(shù)據(jù)采用硬件控制鎖中的私鑰進行簽名后，裝載到硬件用戶鎖中，得到授權后的硬件用戶鎖發(fā)送給軟件使用者。在這里，每個硬件控制鎖在出廠前都會在內(nèi)部生成一個非對稱密鑰對，密鑰對中的私鑰不能更替且不能被導出，用于對輸入數(shù)據(jù)進行簽名，密鑰對中的公鑰不能更替但可以導出給輸出數(shù)據(jù)端，用于在后續(xù)對簽名的數(shù)據(jù)進行驗簽。當輸出數(shù)據(jù)端接收到數(shù)據(jù)之后，采用硬件控制鎖中的公鑰對數(shù)據(jù)進行驗簽通過后，再采用硬件用戶鎖的私鑰對數(shù)據(jù)進行解密，并存儲。在這里，每把硬件用戶鎖都會在內(nèi)部生成一個非對稱密鑰對，密鑰對中的私鑰不能更替且不能導出，用于對輸入數(shù)據(jù)進行解密，密鑰對中的公鑰不能更替可以導出，用于對輸入數(shù)據(jù)進行加密。

也就是說，在計算機網(wǎng)絡中的輸出數(shù)據(jù)端中具有硬件用戶鎖的公鑰及硬件控制鎖的私鑰，依次對要輸出的數(shù)據(jù)進行加密及簽名，在計算機網(wǎng)絡中的輸入數(shù)據(jù)端具有硬件控制鎖的公鑰及硬件用戶鎖的私鑰，依次對輸入的數(shù)據(jù)進行解簽及解密處理。

圖2為現(xiàn)有技術提供的軟件使用過程圖，如圖所示，在軟件發(fā)布的同時，會將軟件中的一些授權或/和重要的數(shù)據(jù)寫入到硬件鎖中，一起提供給終端側。當終端側接收到后，啟動軟件，軟件中的軟件授權控制模塊對鎖訪問模塊進行控制，鎖訪問模塊向軟件的硬件鎖發(fā)起授權驗證請求，該請求攜帶終端側輸入的硬件控制鎖的公鑰及硬件用戶鎖的私鑰；硬件鎖的鎖內(nèi)入口模塊(entry)接收到并解析得到硬件控制鎖的公鑰及硬件用戶鎖的私鑰后，由鎖內(nèi)的負載模塊(loader)對硬件鎖中的安全數(shù)據(jù)區(qū)的數(shù)據(jù)進行驗簽及解密后，將數(shù)據(jù)返回給軟件的鎖訪問模塊，軟件應用這些數(shù)據(jù)啟動。

采用這種方式由于軟件必不可少的數(shù)據(jù)都被加密且簽名后保存在硬件鎖中等待驗簽及解密后才能使用，這樣這一方面能夠保證軟件運行的安全性，軟件不會被非法篡改；另一方面能夠保證軟件開發(fā)者的利益，使得非法終端側由于無法對硬件鎖中的數(shù)據(jù)解簽及解密，無法使用非授權的軟件。但是，實現(xiàn)上述軟件的授權方式，需要為派發(fā)的軟件設置授權狀態(tài)的硬件用戶鎖，目前硬件用戶鎖常常采用硬件鎖提供商提供的手持式的硬件控制鎖，由軟件開發(fā)者將軟件中的數(shù)據(jù)裝載到硬件控制鎖生成的硬件用戶鎖中，采用這種方式比較繁瑣，不容易管理，常常無法保證不同軟件的硬件鎖的唯一性，給軟件的發(fā)布制造了障礙。

技術實現(xiàn)要素：

有鑒于此，本發(fā)明實施例提供一種托管硬件控制鎖的方法，該方法能夠采用計算機網(wǎng)絡托管軟件的硬件控制鎖，簡單且易于管理。

本發(fā)明實施例還提供一種托管硬件控制鎖的系統(tǒng)，該系統(tǒng)能夠采用計算機網(wǎng)絡托管軟件的硬件控制鎖，簡單且易于管理。

根據(jù)上述目的，本發(fā)明是這樣實現(xiàn)的：

一種托管硬件控制鎖的方法，在計算機網(wǎng)絡側設置由多個硬件控制鎖組成的硬件控制鎖集群，該方法還包括：

計算機網(wǎng)絡側將所述硬件控制鎖集群中的硬件控制鎖分配給軟件開發(fā)者，并將分配的硬件控制鎖與軟件開發(fā)者標識關聯(lián)；

計算機網(wǎng)絡側接收到軟件開發(fā)者發(fā)送的軟件數(shù)據(jù)后，采用軟件開發(fā)者標識關聯(lián)的硬件控制鎖對軟件數(shù)據(jù)進行簽名；

計算機網(wǎng)絡側將簽名后的軟件數(shù)據(jù)發(fā)送給軟件開發(fā)者，使得軟件開發(fā)者將簽名后的軟件數(shù)據(jù)加載到硬件用戶鎖中，發(fā)送給軟件使用者。

一種托管硬件控制鎖的系統(tǒng)，包括：計算機網(wǎng)絡側的云端平臺及軟件開發(fā)者實體，其中，

計算機網(wǎng)絡側的云端平臺，用于設置多個硬件控制鎖，將硬件控制鎖分配給軟件開發(fā)者，將硬件控制鎖與軟件開發(fā)者標識關聯(lián)；接收到軟件開發(fā)者發(fā)送的軟件數(shù)據(jù)后，采用軟件開發(fā)者標識關聯(lián)的硬件控制鎖對軟件數(shù)據(jù)進行簽名后，發(fā)送給軟件開發(fā)者；

軟件開發(fā)者實體，用于向計算機網(wǎng)絡側的云端平臺發(fā)送軟件數(shù)據(jù)；接收計算機網(wǎng)絡側的云端平臺發(fā)送的簽名后的軟件數(shù)據(jù)后，加載到硬件用戶鎖中，發(fā)送給軟件使用者。

由上述方案可以看出，本發(fā)明實施例在計算機網(wǎng)絡側設置由多個硬件控制鎖組成的硬件控制鎖集群，將硬件控制鎖分配給軟件開發(fā)者，將硬件控制鎖與軟件開發(fā)者標識關聯(lián)；接收到軟件開發(fā)者發(fā)送的軟件數(shù)據(jù)后，采用軟件開發(fā)者標識關聯(lián)的硬件控制鎖對軟件數(shù)據(jù)進行簽名后，發(fā)送給軟件開發(fā)者，使得軟件開發(fā)者將簽名后的軟件數(shù)據(jù)加載到硬件用戶鎖中，發(fā)送給軟件使用者。進一步地，將一個硬件控制鎖與請求者標識關聯(lián)后，不再復用已經(jīng)關聯(lián)的該硬件控制鎖，該硬件控制鎖還具有多個備份的硬件控制鎖。由于本發(fā)明實施例提供的方法及系統(tǒng)是由計算機網(wǎng)絡側統(tǒng)一對硬件控制鎖進行分配以及應軟件開發(fā)者的需求使用，不需要軟件開發(fā)者再使用手持硬件控制鎖，簡單且易于管理，從而有利于軟件的發(fā)布。

附圖說明

圖1為現(xiàn)有技術提供的軟件開發(fā)者使用硬件鎖的示意圖；

圖2為現(xiàn)有技術提供的軟件使用過程圖；

圖3為本發(fā)明實施例提供的托管硬件控制鎖的方法流程圖；

圖4為本發(fā)明實施例提供的托管硬件控制鎖的系統(tǒng)結構示意圖。

具體實施方式

為使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白，以下參照附圖并舉實施例，對本發(fā)明作進一步詳細說明。

本發(fā)明實施例為了使得軟件開發(fā)者無需從硬件鎖提供商那里獲取硬件控制鎖，所造成的硬件鎖提供商的管理復雜且繁瑣，而且無法保證不同軟件的硬件控制鎖的唯一性，采用了在計算機網(wǎng)絡側設置由多個硬件控制鎖組成的硬件控制鎖集群，將硬件控制鎖分配給軟件開發(fā)者，將硬件控制鎖與軟件開發(fā)者標識關聯(lián)；接收到軟件開發(fā)者發(fā)送的軟件數(shù)據(jù)后，采用軟件開發(fā)者標識關聯(lián)的硬件控制鎖對軟件數(shù)據(jù)進行簽名后，發(fā)送給軟件開發(fā)者，使得軟件開發(fā)者將簽名后的軟件數(shù)據(jù)加載到硬件用戶鎖中，發(fā)送給軟件使用者。

進一步地，將一個硬件控制鎖與請求者標識關聯(lián)后，不再復用已經(jīng)關聯(lián)的該硬件控制鎖，該硬件控制鎖還具有多個備份的硬件控制鎖。

這樣，由于本發(fā)明實施例提供的方法及系統(tǒng)是由硬件控制鎖服務器統(tǒng)一對硬件控制鎖進行分配以及應軟件開發(fā)者的需求使用，不需要軟件開發(fā)者再使用手持硬件控制鎖，簡單且易于管理，從而有利于軟件的發(fā)布。

圖3為本發(fā)明實施例提供的托管硬件控制鎖的方法流程圖，其具體步驟為：

步驟301、在計算機網(wǎng)絡側設置由多個硬件控制鎖組成的硬件控制鎖集群；

在本步驟中，在計算機網(wǎng)絡側設置了云端平臺，可以同時在不同的機房中管理硬件控制鎖提供商提供的多個硬件控制鎖；

步驟302、計算機網(wǎng)絡側將所述硬件控制鎖集群中的硬件控制鎖分配給軟件開發(fā)者，并將分配的硬件控制鎖與軟件開發(fā)者標識關聯(lián)；

在本步驟中，當軟件開發(fā)者通過計算機網(wǎng)絡經(jīng)接入服務接入到計算機網(wǎng)絡側的云端平臺上并注冊時，云端平臺就為軟件開發(fā)者分配硬件控制鎖并將關聯(lián)關系進行存儲；

步驟303、計算機網(wǎng)絡側接收到軟件開發(fā)者發(fā)送的軟件數(shù)據(jù)后，采用軟件開發(fā)者標識關聯(lián)的硬件控制鎖對軟件數(shù)據(jù)進行簽名；

步驟304、計算機網(wǎng)絡側將簽名后的軟件數(shù)據(jù)發(fā)送給軟件開發(fā)者，使得軟件開發(fā)者將簽名后的軟件數(shù)據(jù)加載到硬件用戶鎖中，發(fā)送給軟件使用者。

在該方法中，一旦存儲的硬件控制鎖被分配，則所分配的硬件控制鎖不能再復用給其他軟件開發(fā)者，直到所分配的硬件控制鎖被回收銷毀。

在該方法中，所述硬件控制鎖集群設置在硬件控制鎖集群服務器中，所述硬件控制鎖集群服務器具有多個，不同硬件控制鎖集群服務器存儲的硬件控制鎖互為備份。也就是說，每個硬件控制鎖都有多個備用的硬件控制鎖，以便某一硬件控制鎖出現(xiàn)故障可以啟動備用的硬件控制鎖進行服務。在該方法中，不同硬件控制鎖集群服務器可以作為異地災備處理。這時，計算機網(wǎng)絡側在為軟件開發(fā)者分配硬件控制鎖時，為一組硬件控制鎖，所述一組硬件控制鎖中具有一個服務的硬件控制鎖及多個備份的硬件控制鎖。

在該方法中，計算機網(wǎng)絡側云端平臺管理的硬件控制鎖是硬件鎖提供商提供的。

在該方法中，所述將分配的硬件控制鎖與軟件開發(fā)者標識關聯(lián)的過程為：通過計算機網(wǎng)絡側接入服務接收軟件開發(fā)者的分配硬件控制鎖請求后，將分配的硬件控制鎖與軟件開發(fā)者標識關聯(lián)后存儲在計算機網(wǎng)絡中的數(shù)據(jù)庫中。

在該方法中，所述軟件開發(fā)者發(fā)送的軟件數(shù)據(jù)是通過計算機網(wǎng)絡側接入服務接收到的，發(fā)送給硬件控制鎖代理服務器，由硬件控制鎖代理服務器根據(jù)關聯(lián)確定對應的硬件控制鎖。

在該方法中，所述軟件數(shù)據(jù)是軟件開發(fā)者通過軟件開發(fā)工具包(sdk)發(fā)送的，所述sdk是由計算機網(wǎng)絡側提供給軟件開發(fā)者，軟件開發(fā)者加載的。當然。也可以通過請求者的計算機桌面軟件、web瀏覽器或終端應用等等方式實現(xiàn)。

在該方法中，所述計算機網(wǎng)絡側接收軟件開發(fā)者發(fā)送的軟件數(shù)據(jù)為：

所述sdk采用軟件開發(fā)者的用戶名及密碼通過計算網(wǎng)絡接入到計算機網(wǎng)絡側中；

所述sdk將軟件數(shù)據(jù)輸入到計算機網(wǎng)絡側中請求簽名；

所述采用軟件開發(fā)者標識關聯(lián)的硬件控制鎖對軟件數(shù)據(jù)進行簽名的過程為：

所述計算機網(wǎng)絡側采用對應的硬件控制鎖將軟件數(shù)據(jù)進行簽名后，將簽名后的軟件數(shù)據(jù)返回給所述sdk；

所述sdk將簽名后的軟件數(shù)據(jù)提供給軟件開發(fā)者。

這樣，后續(xù)就可以將簽名后的軟件數(shù)據(jù)裝載到硬件用戶鎖中，發(fā)送給軟件使用者，這個過程與使用手持硬件控制鎖的過程是一致的。

軟件開發(fā)者就可以將軟件及硬件用戶鎖同時發(fā)布給軟件使用者，軟件使用者采用硬件控制鎖中的公鑰驗證其中硬件用戶鎖中的數(shù)據(jù)簽名的合法性，如果合法，再采用硬件用戶鎖中的私鑰對加密數(shù)據(jù)進行解密，通過則表示輸入數(shù)據(jù)正確，則將輸入數(shù)據(jù)要求進行運算，并將結果返回給軟件，用以軟件運行。

圖4為本發(fā)明實施例提供的托管硬件控制鎖的系統(tǒng)結構示意圖，包括：計算機網(wǎng)絡側的云端平臺及軟件開發(fā)者實體，其中，

計算機網(wǎng)絡側的云端平臺，用于設置多個硬件控制鎖，將硬件控制鎖分配給軟件開發(fā)者，將硬件控制鎖與軟件開發(fā)者標識關聯(lián)；接收到軟件開發(fā)者發(fā)送的軟件數(shù)據(jù)后，采用軟件開發(fā)者標識關聯(lián)的硬件控制鎖對軟件數(shù)據(jù)進行簽名后，發(fā)送給軟件開發(fā)者；

軟件開發(fā)者實體，用于向計算機網(wǎng)絡側的云端平臺發(fā)送軟件數(shù)據(jù)；接收計算機網(wǎng)絡側的云端平臺發(fā)送的簽名后的軟件數(shù)據(jù)后，加載到硬件用戶鎖中，發(fā)送給軟件使用者。

在該系統(tǒng)中，軟件開發(fā)者實體，還用于在所述計算機網(wǎng)絡側的云端平臺將硬件控制鎖分配給軟件開發(fā)者之前，經(jīng)計算機網(wǎng)絡側的云端平臺中的接入服務接入到計算機網(wǎng)絡側的云端平臺并注冊；

所述系統(tǒng)還包括數(shù)據(jù)庫，用于從計算機網(wǎng)絡側的云端平臺接收分配的硬件控制鎖與軟件開發(fā)者標識關聯(lián)信息并存儲。

在該系統(tǒng)中，所述計算機網(wǎng)絡側的云端平臺包括硬件控制鎖集群服務器，具有多個，不同硬件控制鎖集群服務器存儲的硬件控制鎖互為備份；

所述系統(tǒng)還包括硬件控制鎖代理服務器，其中，

硬件控制鎖代理服務器，用于通過計算機網(wǎng)絡側的云端平臺的接入服務接收軟件開發(fā)者的分配硬件控制鎖請求后，發(fā)送給計算機網(wǎng)絡側的云端平臺。

在這里，硬件控制鎖集群服務器具有多個，形成了云托管硬件控制鎖系統(tǒng)，硬件控制鎖代理服務器也具有多個，每個硬件控制鎖代理服務器通過計算機網(wǎng)絡都可以與其中的一個硬件控制鎖集群服務器進行交互。

在該系統(tǒng)中，軟件開發(fā)者實體，還用于發(fā)送給所述硬件控制鎖服務器的軟件數(shù)據(jù)是通過sdk進行的，或者是通過自身的計算機桌面軟件、web瀏覽器或終端應用等等方式實現(xiàn)。

軟件開發(fā)者實體采用本發(fā)明實施例提供的系統(tǒng)，根據(jù)注冊的賬號及密碼登錄該系統(tǒng)，從而可以在線使用硬件鎖提供商托管的硬件控制鎖。

本發(fā)明實施例提供的系統(tǒng)具備以下基礎服務：1、用戶注冊功能，該功能面向軟件開發(fā)者，只有在系統(tǒng)上注冊的軟件開發(fā)者才能使用該系統(tǒng)提供的托管硬件控制鎖功能；2、托管硬件控制鎖功能，這與背景技術中采用的手持硬件控制鎖具有相同的功能，核心就是使用硬件控制鎖內(nèi)私鑰進行數(shù)據(jù)簽名功能，標識軟件開發(fā)者的合法身份；3、該系統(tǒng)具備安全通信信道及數(shù)據(jù)加密過程，確保軟件數(shù)據(jù)在計算機網(wǎng)絡上安全正確的傳輸；4、該系統(tǒng)提供了sdk、pc桌面軟件、web瀏覽器或/和手機應用等等方式，以便軟件開發(fā)者可以方便在線使用該系統(tǒng)。

從上述方案可以看出，本發(fā)明實施例就可以解決以下問題：軟件開發(fā)者的硬件控制鎖丟失或損毀，重新向硬件鎖提供商申請定制硬件控制鎖的滯后性問題；硬件鎖提供商向軟件開發(fā)者提供特定硬件控制鎖，比如該特定硬件控制鎖攜帶有軟件開發(fā)者身份信息及軟件安全標識信息的過程中可能造成的丟失、漏發(fā)、重復及物流等管理或交付安全問題；對于個人的軟件開發(fā)者則無需隨時攜帶硬件控制鎖進行開發(fā)測試，只需要能夠接入計算機網(wǎng)絡就可以隨時隨地地使用托管硬件控制鎖；軟件開發(fā)者無需擔心硬件控制鎖的丟失，以及由此帶來的損失。

以上舉較佳實施例，對本發(fā)明的目的、技術方案和優(yōu)點進行了進一步詳細說明，所應理解的是，以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換和改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。