授权校验方法、模块及系统

本发明涉及通信安全技术领域，尤其涉及一种授权校验方法、一种申请模块、一种授权模块、一种目标服务模块及一种授权校验系统。

由于软件或服务的可复制性与可重复执行性，软件或服务开发商及程序设计人员一向深受软件或服务非法复制使用及盗版软件产品之害。目前，软件或服务授权校验的设计有很多，例如：

一、发送验证码到手机，通过验证码进行校验并授权。

二、采用自定义密钥，并用密钥对某些内容进行加密，接收方用同样的密匙进行解密校验授权，这种方式就是对称加密。

三、采用公开密钥和私有密钥，用公开密钥对数据进行加密，再用对应的私钥进行解密；或者用私钥进行加密，用公钥进行解密，这种方式就是非对称加密。

然而，无论是用什么方式，最终目的都是要对数据进行校验和授权。但是，上述的授权校验对不同的客户或不同的产品均使用一套加密算法和秘钥，当某一秘钥被泄露，无法快速生成新的授权文件；同时，上述的授权校验不需要对加密的内容进行完整性检查，无法快速判断内容是否被篡改，安全性不高。

本发明所要解决的技术问题在于，提供一种授权校验方法、申请模块、授权模块、目标服务模块及授权校验系统，可完成目标服务的准确授权，安全性高。

为了解决上述技术问题，本发明提供了一种授权校验方法，包括：申请模块获取申请信息；所述申请模块根据所述申请信息生成申请文件，以供用户将所述申请文件从所述申请模块所对应的终端发送至授权模块所对应的终端，其中，所述申请文件中记录有加密后的申请信息；所述授权模块获取所述申请文件及目标服务模块的授权信息；所述授权模块根据所述申请文件及授权信息生成授权文件，以供管理员将所述授权文件从所述授权模块所对应的终端发送至申请模块所对应的终端并供用户将所述授权文件放置于目标服务模块的根目录下以完成授权，其中，所述授权文件中记录有加密后的申请信息及授权信息。

作为上述方案的改进，所述申请文件及授权文件均包括明文区及密文区；所述明文区包括标记信息、加密类型及密钥索引，所述申请文件的密文区根据所述加密类型及密钥索引对申请信息加密而成，所述授权文件的密文区根据所述加密类型及密钥索引对申请信息及授权信息加密而成；所述密文区包括校验信息、随机信息及数据组，所述校验信息根据所述随机信息及数据组计算而成。

作为上述方案的改进，所述数据组包括至少一组数据信息，一组所述数据信息记录一项所述申请信息或授权信息以使所述数据信息与申请信息或授权信息一一对应；每组所述数据信息包括数据标记、数据长度及数据内容。

作为上述方案的改进，所述授权模块获取申请文件及目标服务模块的授权信息的步骤包括：所述授权模块获取所述申请文件；所述授权模块对所述申请文件进行解密以获取所述申请信息，以供管理员根据所述申请信息上传授权信息；所述授权模块获取授权信息。

作为上述方案的改进，所述授权校验方法还包括：所述目标服务模块获取所述目标服务模块所对应的终端的系统信息；所述目标服务模块定时读取所述授权文件中的申请信息及授权信息；所述目标服务模块将所述系统信息与申请信息及授权信息进行比对，判断所述系统信息与申请信息及授权信息是否一致，判断为是时，所述目标服务模块处于授权状态，判断为否时，所述目标服务模块处于失效状态。

作为上述方案的改进，所述申请信息包括目标服务模块名称、公司名称、CPU的CPUID及主板的UUID，所述授权信息包括CPU的CPUID、主板的UUID、授权产品、授权时间范围区间。

相应地，本发明还提供了一种申请模块，包括：申请获取单元，用于获取申请信息，所述申请信息包括目标服务模块名称、公司名称、CPU的CPUID、主板的UUID；申请生成单元，用于根据所述申请信息生成申请文件，以供用户将所述申请文件从所述申请模块所对应的终端发送至授权模块所对应的终端，其中，所述申请文件中记录有加密后的申请信息，所述申请文件包括明文区及密文区，所述明文区包括标记信息、加密类型及密钥索引且所述申请文件的密文区根据所述加密类型及密钥索引对申请信息加密而成，所述密文区包括校验信息、随机信息及数据组且所述校验信息根据所述随机信息及数据组计算而成；

相应地，本发明还提供了一种授权模块，包括：授权获取单元，用于获取申请模块的申请文件及目标服务模块的授权信息，所述授权信息包括有效日期范围；授权生成单元，用于根据所述申请文件及授权信息生成授权文件，以供管理员将所述授权文件从所述授权模块所对应的终端发送至申请模块所对应的终端并供用户将所述授权文件放置于目标服务模块的根目录下以完成授权，其中，所述授权文件中记录有加密后的申请信息及授权信息，所述授权文件包括明文区及密文区，所述明文区包括标记信息、加密类型及密钥索引且所述授权文件的密文区根据所述加密类型及密钥索引对申请信息及授权信息加密而成，所述密文区包括校验信息、随机信息及数据组且所述校验信息根据所述随机信息及数据组计算而成。

相应地，本发明还提供了一种目标服务模块，包括：系统获取单元，用于获取所述目标服务模块所对应的终端的系统信息，所述系统信息包括CPU的CPUID及主板的UUID及时间信息；定时读取单元，用于定时读取所述授权文件中的申请信息及授权信息，所述授权文件包括明文区及密文区，所述明文区包括标记信息、加密类型及密钥索引且所述授权文件的密文区根据所述加密类型及密钥索引对申请信息及授权信息加密而成，所述密文区包括校验信息、随机信息及数据组且所述校验信息根据所述随机信息及数据组计算而成，所述申请信息包括目标服务模块名称、公司名称、CPU的CPUID及主板的UUID，所述授权信息包括有效日期范围；信息比对单元，用于将所述系统信息与申请信息及授权信息进行比对，判断所述系统信息与申请信息及授权信息是否一致，判断为是时，则表示所述目标服务模块处于授权状态，判断为否时，则表示所述目标服务模块处于失效状态。

相应地，本发明还提供了一种授权校验系统，包括上述申请模块、授权模块及目标服务模块。

实施本发明，具有如下有益效果：

本发明引入了结构独特的申请文件及授权文件对目标服务进行准确授权，安全性高，具体地：申请文件及授权文件的明文区中设置有加密类型字段及密钥索引字段，可对不同的用户或目标服务采用不同的加密算法及密钥进行加密，因此，即使某一个秘钥被泄露，也可以通过更改密钥索引快速生成新的申请文件及授权文件。灵活性强；同时，申请文件及授权文件的密文区中设置有校验信息字段，由于校验信息是随机信息及数据组一起计算出来的校验和，因此，通过校验信息可对加密内容进行有效的完整性检查，避免内容被篡改，安全性高。

另外，本发明在校验过程中通过将系统信息与申请信息及授权信息进行比对，可有效地检测目标服务模块是否获得授权，准确性高。

图1是本发明授权校验方法的第一实施例流程图；

图2是本发明中申请文件及授权文件的数据结构示意图；

图3是本发明授权校验方法的第二实施例流程图；

图4是本发明授权校验系统的结构示意图；

图5是本发明授权校验系统中申请模块的结构示意图；

图6是本发明授权校验系统中收取模块的结构示意图；

图7是本发明授权校验系统中目标服务模块的结构示意图；

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。

参见图1，图1显示了本发明授权校验方法的第一实施例流程图，其包括：

S101，申请模块获取申请信息。

需要说明的是，所述申请信息用于记录需要获得授权的目标服务模块所对应的终端的相关信息。具体地，申请信息包括目标服务模块名称、公司名称、CPU的CPUID及主板的UUID。其中，目标服务模块名称、公司名称可由用户根据实际情况输入申请模块，而CPU的CPUID及主板的UUID可由申请模块自动读取申请模块所对应的终端进行获取。

S102，申请模块根据申请信息生成申请文件。

需要说明的是，申请模块根据预设的封装方法对申请信息进行加密封装处理以生成申请文件，也就是说，申请文件中记录有加密后的申请信息。

如图2所示，申请文件包括明文区及密文区。具体地：

申请文件的明文区用于存储不需要加密的内容，明文区包括标记信息(flag字段)、加密类型(ver字段)及密钥索引(key_solt字段)。本发明中，明文区共包含8个字节的内容，分别4字节的标记信息、2字节的加密类型及2字节的密钥索引，以上字节数仅为例子，可随意设置各部分的字节大小；其中，标记信息用于标识申请文件；加密类型用于记载加密算法的类型；密钥索引用于记载密钥信息。

申请文件的密文区根据加密类型及密钥索引对申请信息加密而成，用于存储需要加密的内容。加密过程中，根据密钥索引可计算出对应的关键密钥及向量密钥，然后再结合加密类型(即加密算法)即可对申请信息进行加密。

本发明中，密文区包括校验信息(crc字段)、随机信息(random字段)及数据组；其中，校验信息为2字节，其根据随机信息及数据组计算而成，也就是说，校验信息是随机信息及数据组一起计算出来的校验和；随机信息为2字节，其用于记载随机数；数据组包括至少一组数据信息，一组数据信息记录一项申请信息以使数据信息与申请信息一一对应。

例如，申请模块获取4项的申请信息分别为目标服务模块名称、公司名称、CPU的CPUID及主板的UUID，则应对应4组数据信息，第1组数据信息用于记载服务模块名称的相关内容，第2组数据信息用于记载公司名称的相关内容，第3组数据信息用于记载CPU的CPUID的相关内容，第4组数据信息用于记载主板的UUID的相关内容。

进一步，每组数据信息包括数据标记(data_tag字段)、数据长度(data_len字段)及数据内容(如，value字段/CPUID字段/data字段)。其中，数据标记为2字节，其用于标识对应的数据信息；数据长度为2字节，其用于记录对应的数据信息的长度；数据内容的字节长度与所述数据长度所记录的长度一致，其用于记录对应的数据信息的真实数据。

相应地，申请模块生成申请文件后，用户可将申请文件从申请模块所对应的终端发送至授权模块所对应的终端。具体的发送方式包括发送，移动硬盘传输等，但不以此为限制，只要可实现申请文件的传输即可。

S103，授权模块获取申请文件及目标服务模块的授权信息。

具体地，所述授权模块获取申请文件及目标服务模块的授权信息的步骤包括：

(1)授权模块获取申请文件。

需要说明的是，所述申请文件由申请模块生成，并由申请模块所对应的终端将将申请文件发送至授权模块所对应的终端，再由管理员将申请文件导入授权模块以获得。

(2)授权模块对所述申请文件进行解密以获取申请信息，以供管理员根据所述申请信息上传授权信息。

授权模块获取申请文件后，可根据申请文件明文区所记录的加密类型字段及密钥索引字段对申请文件进行解密以供管理员查看相应的申请信息，然后管理员根据申请信息为目标服务模块分配授权信息。

所述授权信息用于记录目标服务模块的有效条件。优选地，授权信息包括有效日期范围，但不以此为限制，只要可限定有效条件即可。

(3)授权模块获取授权信息。

授权模块获取管理员上传/输入的授权信息。

S104，授权模块根据申请文件及授权信息生成授权文件。

需要说明的是，授权模块根据预设的封装方法对授权信息及申请文件中的申请信息进行加密封装处理以生成授权文件，也就是说，授权文件中记录有加密后的申请信息及授权信息。

如图2所示，授权文件包括明文区及密文区。具体地：

授权文件的明文区用于存储不需要加密的内容，明文区包括标记信息(flag字段)、加密类型(ver字段)及密钥索引(key_solt字段)。本发明中，明文区共包含8个字节的内容，分别4字节的标记信息、2字节的加密类型及2字节的密钥索引；其中，标记信息用于标识授权文件；加密类型用于记载加密算法的类型；密钥索引用于记载密钥信息。

授权文件的密文区根据加密类型及密钥索引对申请信息及授权信息加密而成，用于存储需要加密的内容。加密过程中，根据密钥索引可计算出对应的关键密钥及向量密钥，然后再结合加密类型(即加密算法)即可对申请信息及授权信息进行加密。

本发明中，密文区包括校验信息(crc字段)、随机信息(random字段)及数据组；其中，校验信息为2字节，其根据随机信息及数据组计算而成，也就是说，校验信息是随机信息及数据组一起计算出来的校验和；随机信息为2字节，其用于记载随机数；数据组包括至少一组数据信息，一组数据信息记录一项申请信息或一项授权信息以使数据信息与申请信息或授权信息一一对应。

例如，授权模块获取4项的申请信息及1项授权信息分别为目标服务模块名称(即申请信息)、公司名称(即申请信息)、CPU的CPUID(即申请信息)、主板的UUID(即申请信息)及有效日期范围(即授权信息)，则应对应5组数据信息，第1组数据信息用于记载服务模块名称的相关内容，第2组数据信息用于记载公司名称的相关内容，第3组数据信息用于记载CPU的CPUID的相关内容，第4组数据信息用于记载主板的UUID的相关内容，第5组数据信息用于记载有效日期范围的相关内容。

进一步，每组数据信息包括数据标记(data_tag字段)、数据长度(data_len字段)及数据内容(如，value字段/StartTime字段/EndTime字段/CPUID字段/data字段)。其中，数据标记为2字节，其用于标识对应的数据信息；数据长度为2字节，其用于记录对应的数据信息的长度；数据内容的字节长度与所述数据长度所记录的长度一致，其用于记录对应的数据信息的真实数据。

相应地，授权模块生成授权文件后，管理员将授权文件从授权模块所对应的终端发送至申请模块所对应的终端，然后用户将授权文件放置于目标服务模块的根目录下以完成授权。

与现有技术不同的是，本发明引入了结构独特的申请文件及授权文件；其中，申请文件及授权文件的明文区中设置有加密类型字段及密钥索引字段，可对不同的用户或目标服务采用不同的加密算法及密钥进行加密，因此，即使某一个秘钥被泄露，也可以通过更改密钥索引快速生成新的申请文件及授权文件。灵活性强；同时，申请文件及授权文件的密文区中设置有校验信息字段，由于校验信息是随机信息及数据组一起计算出来的校验和，因此，通过校验信息可对加密内容进行有效的完整性检查，避免内容被篡改，安全性高。

参见图3，图3显示了本发明授权校验方法的第二实施例流程图，其包括：

S201，申请模块获取申请信息。

S202，申请模块根据申请信息生成申请文件。

相应地，申请模块生成申请文件后，用户可将申请文件从申请模块所对应的终端发送至授权模块所对应的终端。

S203，授权模块获取申请文件及目标服务模块的授权信息。

S204，授权模块根据申请文件及授权信息生成授权文件。

相应地，授权模块生成授权文件后，管理员将授权文件从授权模块所对应的终端发送至申请模块所对应的终端，然后用户将授权文件放置于目标服务模块的根目录下以完成授权。

S205，目标服务模块获取目标服务模块所对应的终端的系统信息。

当需要启用目标服务模块时，目标服务模块获取对应的终端的系统信息，所述系统信息包括CPU的CPUID及主板的UUID及时间信息(即当前系统时间)。

S206，目标服务模块定时读取授权文件中的申请信息及授权信息。

目标服务模块可根据授权文件明文区所记录的加密类型字段及密钥索引字段对授权文件进行解密以提取出申请信息及授权信息，其中，申请信息包括目标服务模块名称、公司名称、CPU的CPUID及主板的UUID，授权信息包括有效日期范围。

S207，目标服务模块将系统信息与申请信息及授权信息进行比对，判断系统信息与申请信息及授权信息是否一致。

通过将目标服务模块获取的CPU的CPUID与申请信息中的CPU的CPUID进行比对，将目标服务模块获取的主板的UUID与申请信息中的主板的UUID进行比对，将目标服务模块获取的时间信息与申请信息中的有效日期范围进行比对。

S208，判断为是时，目标服务模块处于授权状态。

当CPU的CPUID一致、主板的UUID一致且时间信息处于有效日期范围内，则表示目标服务模块处于授权状态，目标服务模块可正常启动运行。

S209，判断为否时，目标服务模块处于失效状态。

当CPU的CPUID不一致、主板的UUID不一致或时间信息不处于有效日期范围内，则表示目标服务模块处于失效状态，目标服务模块不可使用。

因此，本发明通过将系统信息与申请信息及授权信息进行比对，可有效地检测目标服务模块是否获得授权，准确性高。

参见图4，图4显示了本发明授权校验系统100的具体结构，其包括申请模块1、授权模块2及目标服务模块3。

一般情况下，申请模块1及目标服务模块4由用户操作使用，可同时安装于同一终端中；而授权模块2由管理员操作使用，可安装与另一终端中。

例如，终端A内安装有申请模块a、目标服务模块a1及目标服务模块a2，终端B内安装有申请模块b、目标服务模块b1及目标服务模块b2，终端C内安装有授权模块c；当需要对终端B中的目标服务模块b1进行授权时，用户先通过终端B中的申请模块b进行处理以生成申请文件，再将申请文件发送至终端C，然后由管理员通过终端C中的授权模块c根据申请文件生成授权文件，并将授权文件发送至终端B，最后由用户将授权文件放置于目标服务模块b1的根目录下以完成授权。当用户启动终端B中的目标服务模块b1时，目标服务模块b1读取根目录下的授权文件，从而检测是否获得授权，从而进行下一步操作。

如图5所示，申请模块1包括：

申请获取单元11，用于获取申请信息。需要说明的是，所述申请信息用于记录需要获得授权的目标服务模块所对应的终端的相关信息。具体地，申请信息包括目标服务模块名称、公司名称、CPU的CPUID及主板的UUID。其中，目标服务模块名称、公司名称可由用户根据实际情况输入申请模块，而CPU的CPUID及主板的UUID可由申请模块自动读取申请模块所对应的终端进行获取。

申请生成单元12，用于根据申请信息生成申请文件。需要说明的是，申请模块根据预设的封装方法对申请信息进行加密封装处理以生成申请文件，也就是说，申请文件中记录有加密后的申请信息。

相应地，申请生成单元12生成申请文件后，用户可将申请文件从申请模块1所对应的终端发送至授权模块2所对应的终端。具体地发送方式包括发送，移动硬盘传输等，但不以此为限制，只要可实现申请文件的传输即可。

如图6所示，授权模块2包括：

授权获取单元21，用于获取申请模块1的申请文件及目标服务模块3的授权信息。需要说明的是，所述申请文件由申请模块1生成，并由申请模块1所对应的终端将将申请文件发送至授权模块2所对应的终端，再由管理员将申请文件导入授权模块2，以使授权获取单元21获得。同时，授权获取单元21获取申请文件后，可根据申请文件明文区所记录的加密类型字段及密钥索引字段对申请文件进行解密以供管理员查看相应的申请信息，然后管理员根据申请信息为目标服务模块3分配授权信息，其中，所述授权信息用于记录目标服务模块3的有效条件，优选地，授权信息包括有效日期范围，但不以此为限制，只要可限定有效条件即可。最后，授权获取单元21获取管理员上传/输入的授权信息。

授权生成单元22，用于根据申请文件及授权信息生成授权文件，以供管理员将授权文件从授权模块2所对应的终端发送至申请模块1所对应的终端并供用户将授权文件放置于目标服务模块3的根目录下以完成授权。需要说明的是，授权生成单元22根据预设的封装方法对授权信息及申请文件中的申请信息进行加密封装处理以生成授权文件，也就是说，授权文件中记录有加密后的申请信息及授权信息。

如图2所示，申请文件及授权文件均包括明文区及密文区。具体地：

申请文件及授权文件的明文区用于存储不需要加密的内容，明文区包括标记信息(flag字段)、加密类型(ver字段)及密钥索引(key_solt字段)。本发明中，明文区共包含8个字节的内容，分别4字节的标记信息、2字节的加密类型及2字节的密钥索引；其中，标记信息用于标识申请文件及授权文件；加密类型用于记载加密算法的类型；密钥索引用于记载密钥信息。

申请文件及授权文件的密文区根据加密类型及密钥索引对申请信息及授权信息加密而成，用于存储需要加密的内容。加密过程中，根据密钥索引可计算出对应的关键密钥及向量密钥，然后再结合加密类型(即加密算法)即可对申请信息及授权信息进行加密。

本发明中，密文区包括校验信息(crc字段)、随机信息(random字段)及数据组；其中，校验信息为2字节，其根据随机信息及数据组计算而成，也就是说，校验信息是随机信息及数据组一起计算出来的校验和；随机信息为2字节，其用于记载随机数；数据组包括至少一组数据信息，一组数据信息记录一项申请信息或一项授权信息以使数据信息与申请信息或授权信息一一对应。

进一步，每组数据信息包括数据标记(data_tag字段)、数据长度(data_len字段)及数据内容(如，value字段/StartTime字段/EndTime字段/CPUID字段/data字段)。其中，数据标记为2字节，其用于标识对应的数据信息；数据长度为2字节，其用于记录对应的数据信息的长度；数据内容的字节长度与所述数据长度所记录的长度一致，其用于记录对应的数据信息的真实数据。

由上可知，本发明引入了结构独特的申请文件及授权文件；其中，申请文件及授权文件的明文区中设置有加密类型字段及密钥索引字段，可对不同的用户或目标服务采用不同的加密算法及密钥进行加密，因此，即使某一个秘钥被泄露，也可以通过更改密钥索引快速生成新的申请文件及授权文件。灵活性强；同时，申请文件及授权文件的密文区中设置有校验信息字段，由于校验信息是随机信息及数据组一起计算出来的校验和，因此，通过校验信息可对加密内容进行有效的完整性检查，避免内容被篡改，安全性高。

如图7所示，目标服务模块3包括：

系统获取单元31，用于获取目标服务模块3所对应的终端的系统信息。当需要启用目标服务模块3时，目标服务模块3获取对应的终端的系统信息，所述系统信息包括CPU的CPUID、主板的UUID及时间信息(即当前系统时间)。

定时读取单元32，用于定时读取授权文件中的申请信息及授权信息。需要说明的是，定时读取单元32可根据授权文件明文区所记录的加密类型字段及密钥索引字段对授权文件进行解密以提取出申请信息及授权信息。其中，申请信息包括目标服务模块名称、公司名称、CPU的CPUID及主板的UUID，授权信息包括有效日期范围。

信息比对单元33，用于将系统信息与申请信息及授权信息进行比对，判断系统信息与申请信息及授权信息是否一致，判断为是时，则表示目标服务模块处于授权状态，判断为否时，则表示目标服务模块处于失效状态。

因此，通过将目系统信息中的CPU的CPUID与申请信息中的CPU的CPUID进行比对，将系统信息中的主板的UUID与申请信息中的主板的UUID进行比对，将系统信息中的时间信息与申请信息中的有效日期范围进行比对。当CPU的CPUID一致、主板的UUID一致且时间信息处于有效日期范围内，则表示目标服务模块3处于授权状态，目标服务模块3可正常启动运行。当CPU的CPUID不一致、主板的UUID不一致或时间信息不处于有效日期范围内，则表示目标服务模块3处于失效状态，目标服务模块3不可使用。

因此，本发明通过将系统信息与申请信息及授权信息进行比对，可有效地检测目标服务模块是否获得授权，准确性高。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。