一种光盘刻录与授权使用的方法
【专利摘要】本发明涉及一种光盘刻录与授权使用的方法。其中,光盘刻录的方法包括以下步骤:根据接收到的被授权者的唯一标识计算出被授权者的公钥,并产生一随机数R;采用被授权者的公钥对被授权者的唯一标识及随机数R进行加密,得到被授权者的数字信封;将被授权者的数字信封写入光盘的保留区;以及将需要刻录到光盘的数据先通过刻录机的加密芯片加密后再写入光盘的数据区。本发明在CPK标识认证体系支持下,在离线状态下可执行授权/鉴权认证功能,实现“一机器一密钥,一光盘一密钥”的用户级别的细粒度控制,从而提高光盘的数据安全性。
【专利说明】一种光盘刻录与授权使用的方法
【技术领域】
[0001]本发明涉及光盘刻录与授权使用的方法。
【背景技术】
[0002]目前市面上主要的加密刻录设备主要是以软件加密和硬件加密的方式实现光盘存储数据的加解密。软件加密方式实现光盘存储数据加密的安全性不够,而通过硬件加密方式实现的加密刻录机尽管密钥存在加密芯片中,并且在芯片内完成加解密操作,在安全性上有所保障,但当前市面上通用的授权/鉴权认证机制PKI在密钥交换过程中需要在线支持,不能满足加密刻录机的离线认证需求,而且造成同一批次出厂的加密刻录机的密钥是相同的。如此一来,同一批次出厂的加密刻录设备都能访问光盘中的加密数据,不能做到用户级别的细粒度控制。
【发明内容】
[0003]本发明的目的在于提出一种光盘刻录与授权使用的方法,其能解决无法对用户级别的细粒度控制。
[0004]为了达到上述目的,本发明所采用的技术方案如下:
[0005]一种光盘刻录的方法,其包括以下步骤:
[0006]A、根据接收到的被授权者的唯一标识计算出被授权者的公钥,并产生一随机数R;
[0007]B、采用被授权者的公钥对被授权者的唯一标识及随机数R进行加密,得到被授权者的数字信封;
[0008]C、将被授权者的数字信封写入光盘的保留区;
[0009]D、将需要刻录到光盘的数据先通过刻录机的加密芯片加密后再写入光盘的数据区。
[0010]优选的,步骤B中,被授权者的数字信封采用SM2算法进行运算得到。
[0011]优选的,步骤C中,还将刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码写入光盘的保留区;其中,所述校验码由刻录机版本号、授权者的唯一标识、授权者的签名和数字信封数量采用SM3算法进行运算得到。进一步优选的,所述授权者签名由对第一个数字信封的散列值使用授权者的私钥进行签名得到。
[0012]本发明还提出一种光盘授权使用的方法,其包括以下步骤:
[0013]A、读取存储在光盘的保留区的数字信封,并用预存的私钥对所述数字信封进行解密得到被授权者的唯一标识;
[0014]B、判断解密得到的被授权者的唯一标识是否与预存的唯一标识相同,若是,则取出所述数字信封中的随机数R,若否,则结束流程;
[0015]C、通过刻录机的加密芯片采用所述随机数R进行解密后,读取存储在光盘的数据区的数据。[0016]优选的,在执行步骤A之前,还有以下步骤:读取存储在光盘的保留区的刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码,采用SM3算法对刻录机版本号、授权者的唯一标识、授权者签名和数字信封数量进行运算得到校验值,判断校验值与校验码是否相同,若是,则继续执行流程,若否,则结束流程。
[0017]本发明具有如下有益效果:
[0018]在CPK标识认证体系支持下,在离线状态下可执行授权/鉴权认证功能,实现“一机器一密钥,一光盘一密钥”的用户级别的细粒度控制,从而提高光盘的数据安全性。
【专利附图】
【附图说明】
[0019]图1为本发明较佳实施例的光盘刻录的方法的流程图;
[0020]图2为本发明较佳实施例的光盘授权使用的方法的流程图;
[0021]图3为本发明较佳实施例的光盘刻录与授权使用的方法应用的刻录系统的原理图;
[0022]图4为本发明较佳实施例的光盘刻录与授权使用的方法应用的刻录机原理的示意图;
[0023]图5为本发明较佳实施例的光盘刻录与授权使用的方法应用的光盘的格式示意图;
[0024]图6为本发明较佳实施例的光盘刻录的方法的软件流程图;
[0025]图7为本发明较佳实施例的光盘授权使用的方法的软件流程图。
【具体实施方式】
[0026]下面,结合附图以及【具体实施方式】,对本发明做进一步描述。
[0027]首先,对涉及到的技术术语进行解释说明。
[0028]SMl:国密局许可的对称加密算法,一般用于硬件加解密。
[0029]SM2:国密局许可的非对称加密算法。
[0030]SM3:国密局许可的散列算法,一般用于数据校验。
[0031]授权者:指刻录光盘,并将光盘授予给其它人使用的人或者设备。
[0032]被授权者:指能够正常读取由授权者授予的光盘的人或者设备。
[0033]关于CPK标识认证体制:CPK组合公钥提供了将现存的公钥体制变为基于标识的公钥体制的一种通用方法。只有基于标识的公钥体制,才能将密钥生成和密钥分发有机统一起来,大大简化了密钥管理,同时为防止量子计算的穷举攻击提供了可能。基于标识的公钥直接应用于标识鉴别(不依赖任何信任关系或第三方),标识鉴别是网际安全(cybersecurity)的核心技术。标识是一个实体的唯一名称,具有公认性,如一个人的真实姓名、电话号码、银行帐号、IP地址等等,因此标识鉴别,不仅能解决人对人的鉴别,也能解决物对物的鉴别。
[0034]如图1所示,一种光盘刻录的方法,其包括以下步骤:
[0035]步骤S101、根据接收到的被授权者的唯一标识计算出被授权者的公钥,并产生一随机数R ;
[0036]步骤S102、采用被授权者的公钥对被授权者的唯一标识及随机数R进行加密,得到被授权者的数字信封;被授权者的数字信封采用SM2算法进行运算得到,即被授权者的公钥采用SM2算法对被授权者的唯一标识及随机数R进行加密;
[0037]步骤S103、将刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量、校验码和被授权者的数字信封写入光盘的保留区;其中,所述校验码由刻录机版本号、授权者的唯一标识、授权者的签名和数字信封数量采用SM3算法进行运算得到;所述授权者签名由对第一个数字信封的散列值使用授权者的私钥进行签名得到;
[0038]步骤S104、将需要刻录到光盘的数据先通过刻录机的加密芯片加密后再写入光盘的数据区,其中,加密芯片采用SMl算法对数据进行加密。
[0039]如图2所示,一种光盘授权使用的方法,其包括以下步骤:
[0040]A、读取存储在光盘的保留区的刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码,采用SM3算法对刻录机版本号、授权者的唯一标识、授权者签名和数字信封数量进行运算得到校验值,判断校验值与校验码是否相同,若是,则继续执行流程,若否,则结束流程;
[0041]B、读取存储在光盘的保留区的数字信封,并用预存的私钥对所述数字信封进行解密得到被授权者的唯一标识;
[0042]C、判断解密得到的被授权者的唯一标识是否与预存的唯一标识相同,若是,则取出所述数字信封中的随机数R,若否,则结束流程;
[0043]D、通过刻录机的加密芯片采用所述随机数R进行解密后,读取存储在光盘的数据区的数据。
[0044]下面,结合具体的刻录系统对本实施例进行详细说明。
[0045]如图3和图4所示,该刻录系统包括三部分:密钥管理系统(KMC)、上位机刻录软件、刻录机。
[0046]( I)密钥管理系统(KMC)
[0047]密钥管理系统基于CPK标识认证体制实现,负责为每一台设备进行密钥产生、分发。当要生产一台刻录机时,由密钥管理系统将密钥管理系统标识、通用密钥、散列密钥、公钥矩阵、私钥、置换列表等CPK体制的参数分发给该刻录机,并为该刻录机分发唯一标识(CPKID),该唯一标识在光盘授权的时候使用,根据标识生成授权信息。该刻录机存储了以上的CPK体制的参数后,在实际刻录的时候,会将被授权者(其它刻录机)的唯一标识进行计算和推导出该被授权者的公钥,进而生成授权信息(数字信封),达到授权光盘的目的。
[0048](2)上位机刻录软件
[0049]上位机刻录软件负责提供光盘刻录功能及与刻录机进行数据通信,让刻录机生成授权信息。在用户执行光盘刻录操作时,上位机刻录软件先将被授权者的唯一标识下发给刻录机,刻录机收到后,将会按照CPK标识认证体制的原理,产生授权信息(数字信封),并将授权信息写入光盘。写完授权信息后,将会执行刻录光盘的操作,将用户所指定的内容刻录到光盘中。
[0050](3)刻录机
[0051]刻录机主要有两部分组成:刻录机固件、刻录机加密芯片。
[0052]刻录机固件负责处理上位机刻录软件发来的命令。在上位机刻录软件发起刻录的时候,刻录机接收被授权者的唯一标识,并根据CPK标识认证体制的原理,计算和推导出该被授权者对应的公钥。同时随机产生一个随机数R,作为光盘数据加解密的密钥,该随机数用于加密光盘的数据。将该随机数和被授权者的标识拼凑在一起,使用被授权者的公钥加密,生成该被授权者的数字信封。该数字信封存储在光盘的保留区。在阅读光盘的时候,刻录机固件则会逐一读取光盘保留区的数字信封,并使用自身的私钥解密和验证数字信封的内容,验证成功后,提取出光盘的加密密钥R,并将R提交给刻录机加密芯片,让刻录机加密芯片解密光盘的数据。
[0053]刻录机加密芯片则负责对光盘数据进行加解密。在刻录的时候,接收刻录机固件从上位机刻录软件传递下来的数据,加密后,再由刻录机固件存储到光盘。在阅读光盘的时候,则使用刻录机固件提供的解密密钥,解密光盘的数据。
[0054]在10S9660标准下,一般光盘文件系统(⑶FS)中,前面的16个扇区(又称为保留区,即光盘逻辑地址O处开始的32KB空间)一般为空。本实施例在保留区中写入刻录机版本号、授权者的唯一标识、签名内容、数字信封数量、校验码和若干个数字信封等信息。在刻录每张加密光盘的时候,数字信封由指定授权对象的公钥加密,包含被授权的刻录机的唯一标识和加解密密钥,有多少个被授权的刻录机就会有同等数量的数字信封。数字信封最多可扩展到100个。
[0055]当用户利用被授权的加密刻录机访问加密光盘时,加密刻录机固件在光盘逻辑地址O处开始的32KB空间内读取并验证数字信封的内容,如果与该刻录机验证成功,则可以正确解密和阅读光盘数据。
[0056]如图5所示,光盘格式具体如下:
[0057]第一组20字节为刻录机版本号;
[0058]第二组50字节为授权者的唯一标识;
[0059]第三组64字节为授权者的签名信息;
[0060]第四组2字节为数字信封数量(即被授权者的数量);
[0061]第五组的20字节是校验码,检验码按照以下规则产生:将第一、二、三、四组共136字节作SM3散列运算。
[0062]第六组是N个含有数字信封的信息单元,每个单元256字节,具体格式为:
【权利要求】
1.一种光盘刻录的方法,其特征在于,包括以下步骤: A、根据接收到的被授权者的唯一标识计算出被授权者的公钥,并产生一随机数R; B、采用被授权者的公钥对被授权者的唯一标识及随机数R进行加密,得到被授权者的数字信封; C、将被授权者的数字信封写入光盘的保留区; D、将需要刻录到光盘的数据先通过刻录机的加密芯片加密后再写入光盘的数据区。
2.如权利要求1所述的光盘刻录的方法,其特征在于,步骤B中,被授权者的数字信封采用SM2算法进行运算得到。
3.如权利要求1所述的光盘刻录的方法,其特征在于,步骤C中,还将刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码写入光盘的保留区;其中,所述校验码由刻录机版本号、授权者的唯一标识、授权者的签名和数字信封数量采用SM3算法进行运算得到。
4.如权利要求3所述的光盘刻录的方法,其特征在于,所述授权者签名由对第一个数字信封的散列值使用授权者的私钥进行签名得到。
5.一种光盘授权使用的方法,其特征在于,包括以下步骤: A、读取存储在光盘的保留区的数字信封,并用预存的私钥对所述数字信封进行解密得到被授权者的唯一标识; B、判断解密得到的被授权者的唯一标识是否与预存的唯一标识相同,若是,则取出所述数字信封中的随机数R,若否,则结束流程; C、通过刻录机的加密芯片采用所述随机数R进行解密后,读取存储在光盘的数据区的数据。
6.如权利要求5所述的光盘授权使用的方法,其特征在于,在执行步骤A之前,还有以下步骤:读取存储在光盘的保留区的刻录机版本号、授权者的唯一标识、授权者签名、数字信封数量和校验码,采用SM3算法对刻录机版本号、授权者的唯一标识、授权者签名和数字信封数量进行运算得到校验值,判断校验值与校验码是否相同,若是,则继续执行流程,若否,则结束流程。
【文档编号】H04L29/06GK103456323SQ201310357157
【公开日】2013年12月18日 申请日期:2013年8月15日 优先权日:2013年8月15日
【发明者】董莹, 潘伟钱, 何宇坤, 田文春 申请人:广东南方信息安全产业基地有限公司