一種光盤刻錄與授權(quán)使用的方法
【專利摘要】本發(fā)明涉及一種光盤刻錄與授權(quán)使用的方法����。其中,光盤刻錄的方法包括以下步驟:根據(jù)接收到的被授權(quán)者的唯一標(biāo)識計(jì)算出被授權(quán)者的公鑰��,并產(chǎn)生一隨機(jī)數(shù)R��;采用被授權(quán)者的公鑰對被授權(quán)者的唯一標(biāo)識及隨機(jī)數(shù)R進(jìn)行加密�����,得到被授權(quán)者的數(shù)字信封��;將被授權(quán)者的數(shù)字信封寫入光盤的保留區(qū)����;以及將需要刻錄到光盤的數(shù)據(jù)先通過刻錄機(jī)的加密芯片加密后再寫入光盤的數(shù)據(jù)區(qū)���。本發(fā)明在CPK標(biāo)識認(rèn)證體系支持下,在離線狀態(tài)下可執(zhí)行授權(quán)/鑒權(quán)認(rèn)證功能�����,實(shí)現(xiàn)“一機(jī)器一密鑰�����,一光盤一密鑰”的用戶級別的細(xì)粒度控制��,從而提高光盤的數(shù)據(jù)安全性�����。
【專利說明】一種光盤刻錄與授權(quán)使用的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及光盤刻錄與授權(quán)使用的方法�。
【背景技術(shù)】
[0002]目前市面上主要的加密刻錄設(shè)備主要是以軟件加密和硬件加密的方式實(shí)現(xiàn)光盤存儲(chǔ)數(shù)據(jù)的加解密����。軟件加密方式實(shí)現(xiàn)光盤存儲(chǔ)數(shù)據(jù)加密的安全性不夠,而通過硬件加密方式實(shí)現(xiàn)的加密刻錄機(jī)盡管密鑰存在加密芯片中�����,并且在芯片內(nèi)完成加解密操作,在安全性上有所保障���,但當(dāng)前市面上通用的授權(quán)/鑒權(quán)認(rèn)證機(jī)制PKI在密鑰交換過程中需要在線支持���,不能滿足加密刻錄機(jī)的離線認(rèn)證需求,而且造成同一批次出廠的加密刻錄機(jī)的密鑰是相同的��。如此一來�����,同一批次出廠的加密刻錄設(shè)備都能訪問光盤中的加密數(shù)據(jù)��,不能做到用戶級別的細(xì)粒度控制��。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的在于提出一種光盤刻錄與授權(quán)使用的方法����,其能解決無法對用戶級別的細(xì)粒度控制。
[0004]為了達(dá)到上述目的��,本發(fā)明所采用的技術(shù)方案如下:
[0005]一種光盤刻錄的方法��,其包括以下步驟:
[0006]A、根據(jù)接收到的被授權(quán)者的唯一標(biāo)識計(jì)算出被授權(quán)者的公鑰�����,并產(chǎn)生一隨機(jī)數(shù)R�����;
[0007]B���、采用被授權(quán)者的公鑰對被授權(quán)者的唯一標(biāo)識及隨機(jī)數(shù)R進(jìn)行加密,得到被授權(quán)者的數(shù)字信封�;
[0008]C、將被授權(quán)者的數(shù)字信封寫入光盤的保留區(qū)����;
[0009]D、將需要刻錄到光盤的數(shù)據(jù)先通過刻錄機(jī)的加密芯片加密后再寫入光盤的數(shù)據(jù)區(qū)���。
[0010]優(yōu)選的��,步驟B中���,被授權(quán)者的數(shù)字信封采用SM2算法進(jìn)行運(yùn)算得到。
[0011]優(yōu)選的,步驟C中�,還將刻錄機(jī)版本號、授權(quán)者的唯一標(biāo)識�����、授權(quán)者簽名�、數(shù)字信封數(shù)量和校驗(yàn)碼寫入光盤的保留區(qū);其中�,所述校驗(yàn)碼由刻錄機(jī)版本號、授權(quán)者的唯一標(biāo)識�、授權(quán)者的簽名和數(shù)字信封數(shù)量采用SM3算法進(jìn)行運(yùn)算得到。進(jìn)一步優(yōu)選的����,所述授權(quán)者簽名由對第一個(gè)數(shù)字信封的散列值使用授權(quán)者的私鑰進(jìn)行簽名得到。
[0012]本發(fā)明還提出一種光盤授權(quán)使用的方法���,其包括以下步驟:
[0013]A��、讀取存儲(chǔ)在光盤的保留區(qū)的數(shù)字信封�����,并用預(yù)存的私鑰對所述數(shù)字信封進(jìn)行解密得到被授權(quán)者的唯一標(biāo)識���;
[0014]B����、判斷解密得到的被授權(quán)者的唯一標(biāo)識是否與預(yù)存的唯一標(biāo)識相同����,若是,則取出所述數(shù)字信封中的隨機(jī)數(shù)R�,若否,則結(jié)束流程����;
[0015]C、通過刻錄機(jī)的加密芯片采用所述隨機(jī)數(shù)R進(jìn)行解密后��,讀取存儲(chǔ)在光盤的數(shù)據(jù)區(qū)的數(shù)據(jù)���。[0016]優(yōu)選的,在執(zhí)行步驟A之前�����,還有以下步驟:讀取存儲(chǔ)在光盤的保留區(qū)的刻錄機(jī)版本號�、授權(quán)者的唯一標(biāo)識、授權(quán)者簽名、數(shù)字信封數(shù)量和校驗(yàn)碼����,采用SM3算法對刻錄機(jī)版本號、授權(quán)者的唯一標(biāo)識��、授權(quán)者簽名和數(shù)字信封數(shù)量進(jìn)行運(yùn)算得到校驗(yàn)值����,判斷校驗(yàn)值與校驗(yàn)碼是否相同,若是�,則繼續(xù)執(zhí)行流程,若否����,則結(jié)束流程。
[0017]本發(fā)明具有如下有益效果:
[0018]在CPK標(biāo)識認(rèn)證體系支持下���,在離線狀態(tài)下可執(zhí)行授權(quán)/鑒權(quán)認(rèn)證功能�����,實(shí)現(xiàn)“一機(jī)器一密鑰���,一光盤一密鑰”的用戶級別的細(xì)粒度控制�����,從而提高光盤的數(shù)據(jù)安全性�����。
【專利附圖】
【附圖說明】
[0019]圖1為本發(fā)明較佳實(shí)施例的光盤刻錄的方法的流程圖�;
[0020]圖2為本發(fā)明較佳實(shí)施例的光盤授權(quán)使用的方法的流程圖�;
[0021]圖3為本發(fā)明較佳實(shí)施例的光盤刻錄與授權(quán)使用的方法應(yīng)用的刻錄系統(tǒng)的原理圖;
[0022]圖4為本發(fā)明較佳實(shí)施例的光盤刻錄與授權(quán)使用的方法應(yīng)用的刻錄機(jī)原理的示意圖�;
[0023]圖5為本發(fā)明較佳實(shí)施例的光盤刻錄與授權(quán)使用的方法應(yīng)用的光盤的格式示意圖;
[0024]圖6為本發(fā)明較佳實(shí)施例的光盤刻錄的方法的軟件流程圖��;
[0025]圖7為本發(fā)明較佳實(shí)施例的光盤授權(quán)使用的方法的軟件流程圖���。
【具體實(shí)施方式】
[0026]下面����,結(jié)合附圖以及【具體實(shí)施方式】��,對本發(fā)明做進(jìn)一步描述���。
[0027]首先����,對涉及到的技術(shù)術(shù)語進(jìn)行解釋說明���。
[0028]SMl:國密局許可的對稱加密算法����,一般用于硬件加解密���。
[0029]SM2:國密局許可的非對稱加密算法����。
[0030]SM3:國密局許可的散列算法����,一般用于數(shù)據(jù)校驗(yàn)�����。
[0031]授權(quán)者:指刻錄光盤���,并將光盤授予給其它人使用的人或者設(shè)備���。
[0032]被授權(quán)者:指能夠正常讀取由授權(quán)者授予的光盤的人或者設(shè)備�。
[0033]關(guān)于CPK標(biāo)識認(rèn)證體制:CPK組合公鑰提供了將現(xiàn)存的公鑰體制變?yōu)榛跇?biāo)識的公鑰體制的一種通用方法��。只有基于標(biāo)識的公鑰體制����,才能將密鑰生成和密鑰分發(fā)有機(jī)統(tǒng)一起來,大大簡化了密鑰管理���,同時(shí)為防止量子計(jì)算的窮舉攻擊提供了可能����?;跇?biāo)識的公鑰直接應(yīng)用于標(biāo)識鑒別(不依賴任何信任關(guān)系或第三方),標(biāo)識鑒別是網(wǎng)際安全(cybersecurity)的核心技術(shù)�。標(biāo)識是一個(gè)實(shí)體的唯一名稱,具有公認(rèn)性��,如一個(gè)人的真實(shí)姓名�、電話號碼、銀行帳號�、IP地址等等��,因此標(biāo)識鑒別,不僅能解決人對人的鑒別����,也能解決物對物的鑒別。
[0034]如圖1所示�����,一種光盤刻錄的方法����,其包括以下步驟:
[0035]步驟S101、根據(jù)接收到的被授權(quán)者的唯一標(biāo)識計(jì)算出被授權(quán)者的公鑰��,并產(chǎn)生一隨機(jī)數(shù)R ����;
[0036]步驟S102、采用被授權(quán)者的公鑰對被授權(quán)者的唯一標(biāo)識及隨機(jī)數(shù)R進(jìn)行加密����,得到被授權(quán)者的數(shù)字信封;被授權(quán)者的數(shù)字信封采用SM2算法進(jìn)行運(yùn)算得到�,即被授權(quán)者的公鑰采用SM2算法對被授權(quán)者的唯一標(biāo)識及隨機(jī)數(shù)R進(jìn)行加密;
[0037]步驟S103���、將刻錄機(jī)版本號�����、授權(quán)者的唯一標(biāo)識��、授權(quán)者簽名�、數(shù)字信封數(shù)量、校驗(yàn)碼和被授權(quán)者的數(shù)字信封寫入光盤的保留區(qū)����;其中,所述校驗(yàn)碼由刻錄機(jī)版本號���、授權(quán)者的唯一標(biāo)識���、授權(quán)者的簽名和數(shù)字信封數(shù)量采用SM3算法進(jìn)行運(yùn)算得到;所述授權(quán)者簽名由對第一個(gè)數(shù)字信封的散列值使用授權(quán)者的私鑰進(jìn)行簽名得到�����;
[0038]步驟S104�、將需要刻錄到光盤的數(shù)據(jù)先通過刻錄機(jī)的加密芯片加密后再寫入光盤的數(shù)據(jù)區(qū),其中,加密芯片采用SMl算法對數(shù)據(jù)進(jìn)行加密���。
[0039]如圖2所示,一種光盤授權(quán)使用的方法����,其包括以下步驟:
[0040]A、讀取存儲(chǔ)在光盤的保留區(qū)的刻錄機(jī)版本號��、授權(quán)者的唯一標(biāo)識���、授權(quán)者簽名�、數(shù)字信封數(shù)量和校驗(yàn)碼���,采用SM3算法對刻錄機(jī)版本號�����、授權(quán)者的唯一標(biāo)識�、授權(quán)者簽名和數(shù)字信封數(shù)量進(jìn)行運(yùn)算得到校驗(yàn)值�,判斷校驗(yàn)值與校驗(yàn)碼是否相同,若是����,則繼續(xù)執(zhí)行流程�,若否����,則結(jié)束流程;
[0041]B����、讀取存儲(chǔ)在光盤的保留區(qū)的數(shù)字信封,并用預(yù)存的私鑰對所述數(shù)字信封進(jìn)行解密得到被授權(quán)者的唯一標(biāo)識����;
[0042]C、判斷解密得到的被授權(quán)者的唯一標(biāo)識是否與預(yù)存的唯一標(biāo)識相同�,若是,則取出所述數(shù)字信封中的隨機(jī)數(shù)R���,若否�����,則結(jié)束流程�;
[0043]D��、通過刻錄機(jī)的加密芯片采用所述隨機(jī)數(shù)R進(jìn)行解密后,讀取存儲(chǔ)在光盤的數(shù)據(jù)區(qū)的數(shù)據(jù)�。
[0044]下面,結(jié)合具體的刻錄系統(tǒng)對本實(shí)施例進(jìn)行詳細(xì)說明�。
[0045]如圖3和圖4所示,該刻錄系統(tǒng)包括三部分:密鑰管理系統(tǒng)(KMC)���、上位機(jī)刻錄軟件、刻錄機(jī)�。
[0046]( I)密鑰管理系統(tǒng)(KMC)
[0047]密鑰管理系統(tǒng)基于CPK標(biāo)識認(rèn)證體制實(shí)現(xiàn),負(fù)責(zé)為每一臺(tái)設(shè)備進(jìn)行密鑰產(chǎn)生��、分發(fā)�����。當(dāng)要生產(chǎn)一臺(tái)刻錄機(jī)時(shí)��,由密鑰管理系統(tǒng)將密鑰管理系統(tǒng)標(biāo)識����、通用密鑰、散列密鑰���、公鑰矩陣����、私鑰、置換列表等CPK體制的參數(shù)分發(fā)給該刻錄機(jī)�,并為該刻錄機(jī)分發(fā)唯一標(biāo)識(CPKID),該唯一標(biāo)識在光盤授權(quán)的時(shí)候使用���,根據(jù)標(biāo)識生成授權(quán)信息�����。該刻錄機(jī)存儲(chǔ)了以上的CPK體制的參數(shù)后�����,在實(shí)際刻錄的時(shí)候�����,會(huì)將被授權(quán)者(其它刻錄機(jī))的唯一標(biāo)識進(jìn)行計(jì)算和推導(dǎo)出該被授權(quán)者的公鑰����,進(jìn)而生成授權(quán)信息(數(shù)字信封)���,達(dá)到授權(quán)光盤的目的�����。
[0048](2)上位機(jī)刻錄軟件
[0049]上位機(jī)刻錄軟件負(fù)責(zé)提供光盤刻錄功能及與刻錄機(jī)進(jìn)行數(shù)據(jù)通信�����,讓刻錄機(jī)生成授權(quán)信息�����。在用戶執(zhí)行光盤刻錄操作時(shí)����,上位機(jī)刻錄軟件先將被授權(quán)者的唯一標(biāo)識下發(fā)給刻錄機(jī)�����,刻錄機(jī)收到后���,將會(huì)按照CPK標(biāo)識認(rèn)證體制的原理��,產(chǎn)生授權(quán)信息(數(shù)字信封)���,并將授權(quán)信息寫入光盤�����。寫完授權(quán)信息后���,將會(huì)執(zhí)行刻錄光盤的操作,將用戶所指定的內(nèi)容刻錄到光盤中�����。
[0050](3)刻錄機(jī)
[0051]刻錄機(jī)主要有兩部分組成:刻錄機(jī)固件��、刻錄機(jī)加密芯片�。
[0052]刻錄機(jī)固件負(fù)責(zé)處理上位機(jī)刻錄軟件發(fā)來的命令。在上位機(jī)刻錄軟件發(fā)起刻錄的時(shí)候����,刻錄機(jī)接收被授權(quán)者的唯一標(biāo)識,并根據(jù)CPK標(biāo)識認(rèn)證體制的原理���,計(jì)算和推導(dǎo)出該被授權(quán)者對應(yīng)的公鑰����。同時(shí)隨機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)R���,作為光盤數(shù)據(jù)加解密的密鑰����,該隨機(jī)數(shù)用于加密光盤的數(shù)據(jù)。將該隨機(jī)數(shù)和被授權(quán)者的標(biāo)識拼湊在一起����,使用被授權(quán)者的公鑰加密,生成該被授權(quán)者的數(shù)字信封���。該數(shù)字信封存儲(chǔ)在光盤的保留區(qū)�。在閱讀光盤的時(shí)候���,刻錄機(jī)固件則會(huì)逐一讀取光盤保留區(qū)的數(shù)字信封,并使用自身的私鑰解密和驗(yàn)證數(shù)字信封的內(nèi)容�����,驗(yàn)證成功后�,提取出光盤的加密密鑰R,并將R提交給刻錄機(jī)加密芯片���,讓刻錄機(jī)加密芯片解密光盤的數(shù)據(jù)����。
[0053]刻錄機(jī)加密芯片則負(fù)責(zé)對光盤數(shù)據(jù)進(jìn)行加解密。在刻錄的時(shí)候���,接收刻錄機(jī)固件從上位機(jī)刻錄軟件傳遞下來的數(shù)據(jù)�,加密后�����,再由刻錄機(jī)固件存儲(chǔ)到光盤��。在閱讀光盤的時(shí)候�,則使用刻錄機(jī)固件提供的解密密鑰,解密光盤的數(shù)據(jù)�����。
[0054]在10S9660標(biāo)準(zhǔn)下����,一般光盤文件系統(tǒng)(⑶FS)中,前面的16個(gè)扇區(qū)(又稱為保留區(qū)�,即光盤邏輯地址O處開始的32KB空間)一般為空。本實(shí)施例在保留區(qū)中寫入刻錄機(jī)版本號�、授權(quán)者的唯一標(biāo)識���、簽名內(nèi)容、數(shù)字信封數(shù)量����、校驗(yàn)碼和若干個(gè)數(shù)字信封等信息。在刻錄每張加密光盤的時(shí)候���,數(shù)字信封由指定授權(quán)對象的公鑰加密���,包含被授權(quán)的刻錄機(jī)的唯一標(biāo)識和加解密密鑰,有多少個(gè)被授權(quán)的刻錄機(jī)就會(huì)有同等數(shù)量的數(shù)字信封��。數(shù)字信封最多可擴(kuò)展到100個(gè)����。
[0055]當(dāng)用戶利用被授權(quán)的加密刻錄機(jī)訪問加密光盤時(shí),加密刻錄機(jī)固件在光盤邏輯地址O處開始的32KB空間內(nèi)讀取并驗(yàn)證數(shù)字信封的內(nèi)容��,如果與該刻錄機(jī)驗(yàn)證成功�,則可以正確解密和閱讀光盤數(shù)據(jù)�����。
[0056]如圖5所示�,光盤格式具體如下:
[0057]第一組20字節(jié)為刻錄機(jī)版本號;
[0058]第二組50字節(jié)為授權(quán)者的唯一標(biāo)識�;
[0059]第三組64字節(jié)為授權(quán)者的簽名信息;
[0060]第四組2字節(jié)為數(shù)字信封數(shù)量(即被授權(quán)者的數(shù)量)�����;
[0061]第五組的20字節(jié)是校驗(yàn)碼���,檢驗(yàn)碼按照以下規(guī)則產(chǎn)生:將第一�����、二�、三�、四組共136字節(jié)作SM3散列運(yùn)算。
[0062]第六組是N個(gè)含有數(shù)字信封的信息單元����,每個(gè)單元256字節(jié)����,具體格式為:
【權(quán)利要求】
1.一種光盤刻錄的方法�����,其特征在于���,包括以下步驟: A、根據(jù)接收到的被授權(quán)者的唯一標(biāo)識計(jì)算出被授權(quán)者的公鑰���,并產(chǎn)生一隨機(jī)數(shù)R����; B���、采用被授權(quán)者的公鑰對被授權(quán)者的唯一標(biāo)識及隨機(jī)數(shù)R進(jìn)行加密��,得到被授權(quán)者的數(shù)字信封�; C�、將被授權(quán)者的數(shù)字信封寫入光盤的保留區(qū); D��、將需要刻錄到光盤的數(shù)據(jù)先通過刻錄機(jī)的加密芯片加密后再寫入光盤的數(shù)據(jù)區(qū)�����。
2.如權(quán)利要求1所述的光盤刻錄的方法�����,其特征在于����,步驟B中�����,被授權(quán)者的數(shù)字信封采用SM2算法進(jìn)行運(yùn)算得到�。
3.如權(quán)利要求1所述的光盤刻錄的方法,其特征在于�����,步驟C中�,還將刻錄機(jī)版本號、授權(quán)者的唯一標(biāo)識���、授權(quán)者簽名�����、數(shù)字信封數(shù)量和校驗(yàn)碼寫入光盤的保留區(qū)��;其中����,所述校驗(yàn)碼由刻錄機(jī)版本號、授權(quán)者的唯一標(biāo)識�����、授權(quán)者的簽名和數(shù)字信封數(shù)量采用SM3算法進(jìn)行運(yùn)算得到��。
4.如權(quán)利要求3所述的光盤刻錄的方法�����,其特征在于���,所述授權(quán)者簽名由對第一個(gè)數(shù)字信封的散列值使用授權(quán)者的私鑰進(jìn)行簽名得到��。
5.一種光盤授權(quán)使用的方法���,其特征在于,包括以下步驟: A����、讀取存儲(chǔ)在光盤的保留區(qū)的數(shù)字信封����,并用預(yù)存的私鑰對所述數(shù)字信封進(jìn)行解密得到被授權(quán)者的唯一標(biāo)識; B��、判斷解密得到的被授權(quán)者的唯一標(biāo)識是否與預(yù)存的唯一標(biāo)識相同����,若是����,則取出所述數(shù)字信封中的隨機(jī)數(shù)R,若否���,則結(jié)束流程; C���、通過刻錄機(jī)的加密芯片采用所述隨機(jī)數(shù)R進(jìn)行解密后�����,讀取存儲(chǔ)在光盤的數(shù)據(jù)區(qū)的數(shù)據(jù)���。
6.如權(quán)利要求5所述的光盤授權(quán)使用的方法���,其特征在于,在執(zhí)行步驟A之前�,還有以下步驟:讀取存儲(chǔ)在光盤的保留區(qū)的刻錄機(jī)版本號、授權(quán)者的唯一標(biāo)識�、授權(quán)者簽名、數(shù)字信封數(shù)量和校驗(yàn)碼����,采用SM3算法對刻錄機(jī)版本號、授權(quán)者的唯一標(biāo)識����、授權(quán)者簽名和數(shù)字信封數(shù)量進(jìn)行運(yùn)算得到校驗(yàn)值,判斷校驗(yàn)值與校驗(yàn)碼是否相同�,若是,則繼續(xù)執(zhí)行流程�����,若否,則結(jié)束流程���。
【文檔編號】H04L29/06GK103456323SQ201310357157
【公開日】2013年12月18日 申請日期:2013年8月15日 優(yōu)先權(quán)日:2013年8月15日
【發(fā)明者】董瑩, 潘偉錢, 何宇坤, 田文春 申請人:廣東南方信息安全產(chǎn)業(yè)基地有限公司