专利名称:一种网络终端及其安全认证、注册激活方法,服务器的制作方法
技术领域:
本发明涉及网络终端安全认证技术,尤其涉及一种网络终端及其安全认证、注册激活方法,服务器。
背景技术:
目前,网络电视终端(包括机顶盒和电视机形态)技术不断发展,各大厂家提供的网络电视终端性能不断提高。用户通过宽带网络电视,能享受更多高质量的电视节目和下载应用服务。统计显示,包括机顶盒和电视机 在内,我国每年生产的网络电视终端超千万台。厂家和服务运营商普遍希望能通过网络电视终端提供高质量增值服务(如HD和3D电影服务),吸引用户使用付费服务。随着市场扩大,有些用户违法对终端软硬件进行破解,进行盗版使用网络电视服务,部分不良厂商仿冒正规厂商盗版生产网络电视终端,尤其是机顶盒形态终端,造成非法终端用户冒充合法终端用户使用厂商提供的高质量内容服务和下载应用服务,干扰正常运营,并造成厂家和服务运营商的损失。现有可预防生产仿冒网络电视终端技术主要采用两种方法一种方法是,使用第三方提供的安全硬件模块或可信计算模块和关联软件模块方式,将网络电视终端软件与安全硬件模块绑定,实现预防盗版生产,这种方式明显增加网络电视终端成本和复杂性;另一种方法是,将预先分配的终端唯一序列号写入网络电视终端受保护存储区,并用数字签名保护该序列信息不被篡改,网络电视终端运行过程中一旦检测到序列号被修改即阻止终端正常运行,这种方法也存在着缺陷,盗版生产者可以通过完整拷贝合法网络电视终端的软件代码和数据,将其写入其它网络电视终端或硬件抄板所生产网络电视终端的存储区中,造出序列号和数字签名与合法网络电视终端完全相同的仿冒产品,从而达到盗版目的。
发明内容
本发明的目的是提供一种网络电视终端及其安全认证、注册激活方法,以及服务器,从而实现对合法网络电视终端生产厂家、运营商和用户权益的保护。为实现上述目的,一方面,本发明提供了一种网络终端的安全认证方法,该方法应用于包括网络终端和服务器端构成的安全认证系统中,所述网络终端执行以下步骤提取终端内多种器件的标识组合信息;根据所述标识组合信息生成终端唯一标识码;将生成的终端唯一标识码与服务器端产生并预先存储于终端内的终端唯一标识码及其数字签名进行比较和数字签名验证,如果标识码比较一致且签名验证通过,则安全认证成功;否则,终端连接服务器,执行终端自助注册激活操作。另一方面,本发明还提供了一种网络终端的注册激活方法,该方法包括以下步骤获取多种器件的标识组合信息,并向服务器端发送所述标识组合信息;接收并存储来自服务器端的终端唯一标识码信息及其数字签名,所述终端唯一标识码信息由所述服务器端根据所述标识组合信息生成,数字签名采用厂商的私钥生成。再一方面,本发明还提供了一种网络终端,该网络终端包括提取单元,用于提取多种器件的标识组合信息;生成单元,用于根据所述标识组合信息生成终端唯一标识码;比较验证单元,将生成的终端唯一标识码与服务器端产生并预先存储的终端唯一标识码进行比较,如果比较一致,则安全认证成功;否则,终端连接服务器,通过服务器端执行终端自助注册激活操作。又一方面,本发明还提供了一种服务器,该服务器包括注册激活服务单元,用于根据接收到的多种器件的标识组合信息生成终端唯一标识码,通过非对称加密算法产生数字签名。本发明实施例通过网络终端内置的多种器件的标识组合信息,采用哈希摘要算法运算产生网络终端的唯一标识码,以及采用非对称加密算法产生数字签名,强化了网络终端软件与硬件一一对应绑定关系,既降低了网络终端的安全认证成本,又降低了网络终端被盗版仿冒生产的风险。
通过以下结合附图以举例方式对本发明的实施方式进行详细描述后,本发明的其他特征、特点和优点将会更加明显。图1为本发明实施例提供的一种网络电视终端安全认证方法流程图;图2为本发明实施例提供的一种网络电视终端注册激活方法流程图;图3为本发明实施例提供的一种网络电视终端结构示意图;图4为本发明实施例提供的一种服务器结构示意图。
具体实施例方式下面通过附图和实施例,对本申请的技术方案做进一步的详细描述。随着智能终端及安全技术发展,网络电视终端内置有多种器件,例如CPU(CentralProcessing Unit,中央处理器)和FLASH(闪存),许多CPU和FLASH的每个芯片具有唯一标识信息,且网络电视终端预先分配的终端网络接口的MAC地址和终端序列号也具有唯一标识信息。本发明实施例利用上述网络电视终端内置的多种器件的唯一性标识信息的组合,通过哈希摘要算法生成终端唯一性标识码,再采用厂商的私钥非对称加密算法产生数字签名。由于产生的终端唯一性标识码和数字签名是与网络电视终端唯一对应的,其它网络电视终端仿冒抄袭后无法使用。利用这个唯一的对应关系可以保证网络电视终端软件和硬件具有一一对应的关系,可以起到保护网络电视终端软件和硬件的目的,防止网络电视终端被盗版仿冒生产。由于不需要在终端内额外增加安全芯片,可以降低终端生产成本。图1为本发明实施例提供的一种网络电视终端安全认证方法流程图,该方法应用于包括网络电视终端和服务器端构成的安全认证系统中,其中网络电视终端包括执行步骤101-103 在步骤101,提取终端内多种器件的标识组合信息。
具体地,网络电视终端首先提取其内置多种器件的标识组合信息,例如,网络电视终端内置的CPU标识码、闪存标识码、终端网络接口的MAC地址和终端序列号中的多个标识
组合信息。优选地,网络电视终端可只提取CPU标识码、闪存标识码、终端网络接口的MAC地址,或终端序列号中的多个标识组合信息中的后64比特位数据,不足部分补O。需要说明的是,当网络电视终端内置的CPU和闪存不支持唯一性标识时,其标识信息为0,而终端序列号和终端网络接口的MAC地址是由生产管理厂商按计划预先生产并分配的,其标识信息不为O。为保证网络电视终端的安全性,网络电视终端内置的CPU和闪存的标识信息不同时为0,即CPU和闪存中至少一个具有唯一标识信息。当网络电视终端提取CPU的标识信息和闪存的标识信息同时为O时,则返回错误标识信息,退出安全认证过程。在步骤102,根据标识组合信息生成终端唯一标识码。 具体地,网络电视终端根据提取的标识组合信息,采用与服务器端相同的哈希摘要算法获得本地网络电视终端的终端唯一标识码。优选地,网络电视终端根据标识组合信息作MD5摘要算法产生128比特的终端唯一标识码。在步骤103,将生成的终端唯一标识码与服务器端产生并预先存储的终端唯一标识码进行比较,如果比较一致,且终端预先存储的唯一标识码经过数字签名验证无误,则安全认证成功;否则,终端通过所述服务器端执行终端自助注册激活操作。具体地,网络电视终端将生成的终端唯一标识码与服务器端产生并预先存储在网络电视终端闪存中的终端唯一标识码进行比较,如果比较一致,并且预先存储的终端唯一标识码经过用服务器端产生并预先存储在终端内的数字证书检验没有被篡改,则安全认证成功,继续正常启动支持高级功能键的终端系统应用软件或运行高级的功能应用;否则安全认证失败,网络电视终端软件提示用户进入终端自助激活操作,以获得运行高级功能应用的权限,或者选择暂不激活则继续运行高级功能被阻止的终端系统应用软件。网络电视终端闪存中预先存储的终端唯一标识码和数字证书可以通过适合小批量生产的厂家预先注册激活过程获取,也可以通过适合大批量生产的网络自助注册激活过程获取。以下针对厂家预先注册激活过程和网络自助注册激活过程进行详细描述。厂家预先注册激活过程如下先由网络电视终端通过测试程序或生产工具提取终端内置多种器件的标识信息,例如,CPU标识码、闪存标识码、MAC地址和终端序列号的标识组合信息。终端序列号和MAC地址由厂商预先分配,MAC地址和终端序列号不为0,不支持唯一性标识的CPU或FLASH器件,其标识码设为O。为保证终端安全性,终端所用的CPU和FLASH的标识码不能同时为O。网络电视终端通过在线网络或电子邮件等通信方式向服务器端发送终端内置多种器件的标识组合信息,服务器端记录并保存上述标识组合信息,根据上述标识组合信息采用哈希摘要算法运算得到终端唯一标识码,根据得到的终端唯一标识码采用非对称加密算法,并采用服务器端预先生成的厂商私钥对上述终端唯一标识码作数字签名。服务器端记录并保存终端唯一标识码和数字签名,并反馈给网络电视终端。网络电视终端将接收到的终端唯一标识码和数字签名写入防误写保护的闪存分区中,完成厂家预先注册激活过程。
预先注册激活适合小批量终端生产。大批量生产过程中,预先注册激活存在生产管理复杂和效率低缺点,适合采用下面所述的终端自助注册激活过程。网络自助注册激活过程(如图2所示)如下在步骤201,由网络电视终端提取终端内置多种器件的标识信息,例如,CPU标识码、闪存标识码、MAC地址和终端序列号的标识组合信息,并通过网络在线发送提取的终端内置多种器件的标识组合信息。服务器端在接收到标识上述标识组合信息后,查询终端生产注册激活记录文件是否有上述标识组合信息中的终端序列号,如没有,则向网络电视终端反馈错误信息,例如“非正常终端,请联系厂商服务”;如果终端生产注册激活记录文件中有上述终端序列号,则检查相应的MAC地址是否符合预先分配记录,并检查该网络电视终端是否进行过注册激活,当检查到网络电视终端的MAC地址符合预先分配记录,且未进行过注册激活时,判定网络电视终端为未激活终端,服务器端根据上述标识组合信息生成相应的终端唯一标识码和数字签名,并反馈给网络电视终端,同时更新终端生产注册激活记录,例如,在终端生产注册激活记录中增加网络电视终端内置的多种器件标识信息,以及终端唯一标识码和数字签名,标识注册激活状态。 需要说明的是,网络电视终端提交的MAC地址不符合服务器端预先分配生产注册激活记录或己有过激活记录时,服务器端则注明违规或盗版可疑终端,并向网络电视终端反馈错误信息,例如,提示“非正常终端,请联系厂商服务”。在步骤202,网络电视终端在接收到来自服务器端的终端唯一标识码和数字签名信息后,写入具有误写保护的闪存分区,完成的终端自助注册激活,并提示用户重启终端以使用闻级功能。本发明实施例提供的网络电视终端的安全认证方法通过使用网络电视终端内置的多种器件的标识组合信息,采用哈希摘要算法生成与网络电视终端对应的终端唯一标识码和非对称加密技术产生数字签名,强化了终端软件与硬件一一对应绑定关系,降低终端安全认证成本。需要说明的是,本发明实施例提供的网络电视终端的安全认证方法也可用于其它网络终端,这对于本领域的技术人员来说是同样可以实现的。图3为本发明实施例提供的一种网络电视终端结构示意图。如图3所示,该网络电视终端30包括提取单元31、生成单元32、比较验证单元33和注册激活单元34。提取单元31用于提取网络电视终端内置多种器件的标识组合信息,例如网络电视终端内置的CPU标识码、闪存标识码、终端网络接口的MAC地址,和终端序列号的多个标识息。生成单元32用于根据提取单元31提取的标识组合信息,采用与服务器端相同的哈希摘要算法生成网络电视终端对应的终端唯一标识码。比较验证单元33用于将生成单元32生成的终端唯一标识码与预先存储的终端唯一标识码进行比较,如果比较一致,并且该终端唯一标识码经预先存储的数字签名检验没有被篡改,则安全认证成功;否则,进行终端注册激活。注册激活单元34将提取单元31提取到的多种器件的标识组合信息通过网络在线向服务器端发送提取的终端内置多种器件的标识组合信息。另外,注册激活单元34还接收并存储来自服务器端的终端唯一标识码信息及其数字签名,上述终端唯一标识码信息由服务器端根据标识组合信息生成。图4为本发明实施例提供的一种服务器结构示意图。如图4所示,该服务器40结构包括接收单元41、注册激活服务单元42和发送单元43。接收单元41用于接收来自网络电视终端的标识组合信息。注册激活服务单元41用于根据接收单元41接收到的多种器件的标识组合信息,采用哈希摘要算法,如MD5运算生成终端唯一标识码,并对终端唯一标识码采用非对称加密算法产生数字签名。发送单元43用于向网络电视终端发送由注册激活服务单元41产生的终端唯一标识码和数字签名。
本发明实施例提供的服务器还包括生产注册激活记录文件,当服务器端根据标识组合信息生成相应的终端唯一标识码和数字签名,并反馈给网络电视终端时,同时更新终端生产注册激活记录,例如,在终端生产注册激活记录中增加网络电视终端内置的多种器件标识信息,以及终端唯一标识码和数字签名,标识注册激活状态。本发明实施例提供的服务器通过接收来自网络电视终端内置的多种器件的标识组合信息,采用哈希摘要算法生成与网络电视终端对应的终端唯一标识码和非对称加密技术产生数字签名,强化了终端软件与硬件一一对应绑定关系,降低终端安全认证成本,通过维护管理生产和激活记录,大大降低终端被盗版仿冒生产风险。仿冒者需同时突破芯片厂商的芯片唯一标识管理机制和终端厂商的生产注册激活管理机制,大大增加了仿冒盗版难度。显而易见,在不偏离本发明的真实精神和范围的前提下,在此描述的本发明可以有许多变化。因此,所有对于本领域技术人员来说显而易见的改变,都应包括在本权利要求书所涵盖的范围之内。本发明所要求保护的范围仅由所述的权利要求书进行限定。
权利要求
1.一种网络终端的安全认证方法,应用于包括网络终端和服务器端构成的安全认证系统中,其特征在于,所述网络终端执行以下步骤 提取终端内多种器件的标识组合信息; 根据所述标识组合信息生成终端唯一标识码; 将生成的终端唯一标识码与所述服务器端产生并预先存储于所述终端内的终端唯一标识码进行比较,如果比较一致,则安全认证成功;否则,通过所述服务器端执行终端自助注册激活操作。
2.根据权利要求1所述的安全认证方法,其特征在于,当所述生成的终端唯一标识码与预先存储的终端唯一标识码比较一致时,还包括以下步骤 根据所述服务器端产生并预先存储于所述终端内的数字签名检验所述预先存储的终端唯一标识码是否被篡改。
3.根据权利要求1所述的安全认证方法,其特征在于,所述提取多种器件的标识组合信息包括 提取中央处理器标识码、闪存标识码、终端网络接口的MAC地址、以及终端序列号中的多个信息。
4.根据权利要求1所述的安全认证方法,其特征在于,根据所述标识组合信息生成终端唯一标识码包括 根据所述标识组合信息通过哈希摘要算法生成终端唯一标识码。
5.一种网络终端的注册激活方法,其特征在于 获取终端内多种器件的标识组合信息,并向服务器端发送所述标识组合信息; 接收并存储来自服务器端的终端唯一标识码信息,所述终端唯一标识码信息由所述服务器端根据所述标识组合信息生成。
6.根据权利要求5所述的注册激活方法,其特征在于,在所述接收并存储来自服务器端的终端唯一标识码信息后,还接收并存储来自服务器端的数字签名信息,所述数字签名信息由所述服务器端对所述终端唯一标识码采用非对称加密算法产生,所述数字签名用于检验所述终端唯一标识码是否被篡改。
7.根据权利要求5所述的注册激活方法,其特征在于,当所述标识组合信息中的MAC地址或终端序列号不符合生产注册激活记录中的预先分配记录或己有过激活记录时,反馈非正常终端信息,停止注册激活服务。
8.—种网络终端,其特征在于包括 提取单元,用于提取终端内多种器件的标识组合信息; 生成单元,用于根据所述标识组合信息生成终端唯一标识码; 比较验证单元,将生成的终端唯一标识码与服务器端产生并预先存储的终端唯一标识码进行比较,如果比较一致,并且唯一标识码的数字签名检验通过,则安全认证成功;否则,通过服务器端执行终端自助注册激活操作。
9.根据权利要求8所述的网络终端,其特征在于,还包括 注册激活单元,用于获取多种器件的标识组合信息,并提交给服务器端,并接收和存储来自服务器端反馈的终端唯一标识码和数字签名信息,完成终端自助注册激活。
10.一种服务器,其特征在于包括接收单元,用于接收来自网络终端的标识组合信息; 注册激活服务单元,用于根据接收到的多种器件的标识组合信息生成终端唯一标识码,并通过非对称加密算法产生数字签名; 发送单元,用于发送所述终端唯一标识码和数字签名。
全文摘要
本发明公开了一种网络终端及其安全认证、注册激活方法,以及服务器,所述安全认证方法包括以下步骤提取终端内多种器件的标识组合信息;根据所述标识组合信息生成终端唯一标识码;将生成的终端唯一标识码与所述服务器端产生并预先存储的终端唯一标识码进行比较和签名验证,如果比较一致且签名验证通过,则安全认证成功;否则,通过所述服务器端执行终端自助激活操作。本发明既降低了网络终端的安全认证成本,又降低了网络终端被盗版仿冒生产的风险,实现对合法网络终端生产厂家、运营商和用户权益的保护。
文档编号H04L29/06GK103023876SQ20121047775
公开日2013年4月3日 申请日期2012年11月22日 优先权日2012年11月22日
发明者曾学文, 陈君, 郭志川, 邓峰 申请人:中国科学院声学研究所