一种基于分散密钥加密的终端身份验证方法及系统技术方案

本发明专利技术涉及一种基于分散密钥加密的终端身份验证方法及系统，通过分散密钥管理方法为每台终端生成加密密钥；使用加密密钥对终端硬件信息进行加密运算生成唯一激活码；客户端软件获取本机硬件信息，使用加密密钥以及相同的加密算法对本机硬件参数进行加密运算，生成验证码；对比验证码和激活码是否一致。本发明专利技术通过加密密钥的分散加密和激活码的硬件绑定双重措施，保证了即使在加密密钥、激活码和客户端软件全部泄露的情况下，客户端软件也不能在未激活的终端机上非法运行，杜绝了一切软件盗用和套用带来的信息安全和经济损失风险，极大提升了软件接入的安全验证力度。

A terminal authentication method and system based on distributed key encryption

The invention relates to a terminal authentication method and system based on encryption key distributed key management method, by distributing the encryption key for each terminal of the terminal hardware information generation; encrypt only generated activation code using an encryption key; the client software access to the machine hardware information, use the same encryption key and encryption operation on the hardware parameters, generate code; contrast verification code and the activation code is consistent. The present invention by dispersing encryption and activation of hardware binding double measures code encryption key, the encryption key, even in the activation code and the client software all leaks, client software can not run illegally in the inactive terminal, eliminate all software theft and apply the information security risks and economic losses, which greatly enhance the security verification efforts to access software.

【技术实现步骤摘要】
一种基于分散密钥加密的终端身份验证方法及系统
本专利技术涉及信息安全
，尤其涉一种基于分散密钥加密的终端身份验证方法及系统。
技术介绍
目前电力行业内各厂商的自助营业终端产品硬件或模块，大多数型号相同或者指令通用，因此底层驱动和应用软件极其容易出现被其他厂家或不法人员直接盗用或挪用的情况，同时因为终端机所对接的平台端没有非常严格的接入限制和验证，一旦客户端软件被不法分子盗用后顺利接入，就可以进行账户交易，造成直接经济损失。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术的不足，提供一种基于分散密钥加密的终端身份验证方法及系统。本专利技术解决上述技术问题的技术方案如下：本专利技术一方面提供了一种基于分散密钥加密的终端身份验证方法，包括以下步骤：平台端接收合法终端发送的注册请求，并为合法终端生成一个唯一的终端编号，所述注册请求携带所述合法终端的硬件参数；平台端根据所述注册请求通过分散密钥管理方法为所述合法终端生成唯一的加密密钥；平台端根据合法终端的硬件参数和加密密钥，采用第一预设加密算法，为所述合法终端生成唯一的激活码，并将所述加密密钥、激活码以及第一预设加密算法发送至所述合法终端内存储；待验证终端内的客户端软件启动运行时，自动获取待验证终端的硬件参数，使用待验证终端内存储的加密密钥以及第一预设加密算法对所述终端的硬件参数进行加密，生成验证码；所述客户端软件将所述验证码和激活码进行比对，根据比对结果验证终端是否合法，进而判断是否允许客户端软件运行。本专利技术另一方面，提供了一种基于分散密钥加密的终端身份验证系统，包括平台端和终端，所述平台端和终端之间进行数据通信：所述平台端包括：注册请求响应模块，用于接收合法终端发送的注册请求，并为合法终端生成一个唯一的终端编号，所述注册请求携带所述合法终端的硬件参数；加密密钥生成模块，用于根据所述注册请求通过分散密钥管理方法为所述合法终端生成唯一的加密密钥；激活码生成模块，用于根据合法终端的硬件参数和加密密钥，采用第一预设加密算法，为所述合法终端生成唯一的激活码，并将所述加密密钥、激活码以及第一预设加密算法发送至所述合法终端内存储；所述终端包括：验证码生成模块，用于在待验证终端内的客户端软件启动运行时，自动获取待验证终端的硬件参数，使用待验证终端内存储的加密密钥以及第一预设加密算法对所述终端的硬件参数进行加密，生成验证码；终端身份验证模块，用于进行验证码与激活码的对比判断验证码是否有效进而验证终端是否合法。本专利技术的有益效果是：通过分散加密得到的终端加密密钥，对终端机的硬件参数信息进行加密生成终端唯一的激活码，客户端软件在上线运行时对激活码进行本地验证，只有验证通过的客户端软件才能继续进行业务交易。本专利技术通过加密密钥和激活码与硬件绑定的双重措施，保证了即使在加密密钥、激活码和客户端软件全部泄露的情况下，客户端软件也不能在未激活的终端机上非法运行，杜绝了一切软件盗用和套用的带来的信息安全和经济损失风险，极大提升了软件接入的安全验证力度。同时终端激活码的加密验证过程全部在本地完成，无需连接任何平台和系统，防止激活验证过程在网络传输过程中被恶意劫持和篡改，同时节省实现成本，方法简单有效。附图说明图1为本专利技术实施例提供的基于分散密钥加密的终端身份验证方法流程图；图2为本专利技术实施例提供的基于分散密钥加密的终端身份验证方方法中加密密钥生成过程示意图；图3为本专利技术实施例提供的基于分散密钥加密的终端身份验证方法中终端激活码生成过程示意图；图4为本专利技术实施例提供的基于分散密钥加密的终端身份验证系统结构框图。具体实施方式以下结合实例对本专利技术的原理和特征进行描述，所举实例只用于解释本专利技术，并非用于限定本专利技术的范围。图1为本专利技术实施例提供的基于分散密钥加密的终端身份验证方法流程图，包括以下步骤：S1，平台端接收合法终端发送的注册请求，并为合法终端生成一个唯一的终端编号，所述注册请求携带所述合法终端的硬件参数；S2，平台端根据所述注册请求通过分散密钥管理方法为所述合法终端生成唯一的加密密钥；S3，平台端根据合法终端的硬件参数和加密密钥，采用第一预设加密算法，为所述合法终端生成唯一的激活码，并将所述加密密钥、激活码以及第一预设加密算法发送至所述合法终端内存储；S4，待验证终端内的客户端软件启动运行时，自动获取待验证终端的硬件参数，使用待验证终端内存储的加密密钥以及第一预设加密算法对所述终端的硬件参数进行加密，生成验证码；S5，所述客户端软件将所述验证码和激活码进行比对，根据比对结果验证终端是否合法，进而判断是否允许客户端软件运行。通过分散加密得到的终端加密密钥，对终端机的硬件参数信息进行加密生成终端激活码，客户端软件在上线运行时对激活码进行本地验证，只有验证通过的客户端软件才能继续进行业务交易。本专利技术通过加密密钥的分散加密和激活码的硬件绑定双重措施，保证了即使在加密密钥、激活码和客户端软件全部泄露的情况下，客户端软件也不能在未激活的终端机上非法运行，杜绝了一切软件盗用和套用的带来的信息安全和经济损失风险，极大提升了软件接入的安全验证力度。同时终端激活码的加密验证过程全部在本地完成，无需连接任何平台和系统，防止激活验证过程在网络传输过程中被恶意劫持和篡改，同时节省实现成本，方法简单有效。优选地，作为本专利技术的另一个实施例，在图1所示的方法的基础上，步骤S2包括以下子步骤，如图2所示：S21，平台端根据手动输入或随机产生的预设位数的数据，优选为32位数据，通过预设算法，例如异或运算，生成母密钥Km；S22，将所述母密钥Km分别与多个互异的随机数，以5个互异的随机数为例，混合后通过第二预设加密算法，如3des加密算法，进行加密运算，得到5组发行密钥；5组发行密钥独立分开保存，由5人分别保存一组发行密钥，彼此保密互不相知，保证5组发行密钥的独立性和保密性；S23，将所述5组发行密钥作为生成加密密钥的分散因子同时输入，根据实际情况可以将5组发行密钥进行顺序组合或乱序组合成一组数据或者将5组发行密钥进行算术运算或逻辑运算等操作得到混合密钥，然后结合合法终端的终端编号或者将混合密钥与新的随机数结合，通过第三预设加密算法，如MD5，为合法终端生成加密密钥Kn。因为发行密钥分散保存，必须以特定的组合方式组合或运算后同时输入才能生成加密密钥，同时混入合法终端编号或新的随机数，有效保证加密密钥的保密性。具体的，所述硬件参数包括IP地址、MAC地址、主板ID、硬盘ID、产品出厂编码中的多种。进一步的，所述步骤S3，如图3所示,平台端根据输入的合法终端的IP地址、MAC地址、主板ID、硬盘ID、产品出厂编码中的几项或全部，组合生成数据串源；利用分配的加密密钥Kn通过第一预设加密算法，对数据串源进行加密运算，得到终端对应的激活码Vk。因为该激活码既包含了这台终端的硬件信息，同时由独立的加密密钥进行加密，理论上激活码是唯一的。进一步的，组合生成所述数据串源的数据还包括平台端在响应合法终端的注册请求时生成的与合法终端唯一对应的约定盐值；所述约定盐值在激活码生成后，连同加密密钥、激活码以及第一预设加密算法一起，由平台端发送至所述合法终端内存储。平台端在生成数据串源时，优选地选择IP地址、MAC地址、主板ID、硬盘ID和产品出厂编本文档来自技高网...

【技术保护点】
一种基于分散密钥加密的终端身份验证方法，其特征在于，包括以下步骤：平台端接收合法终端发送的注册请求，并为合法终端生成一个唯一的终端编号，所述注册请求携带所述合法终端的硬件参数；平台端根据所述注册请求通过分散密钥管理方法为所述合法终端生成唯一的加密密钥；平台端根据合法终端的硬件参数和加密密钥，采用第一预设加密算法，为所述合法终端生成唯一的激活码，并将所述加密密钥、激活码以及第一预设加密算法发送至所述合法终端内存储；待验证终端内的客户端软件启动运行时，自动获取待验证终端的硬件参数，使用待验证终端内存储的加密密钥以及第一预设加密算法对所述终端的硬件参数进行加密，生成验证码；所述客户端软件将所述验证码和激活码进行比对，根据比对结果验证终端是否合法，进而判断是否允许客户端软件运行。

【技术特征摘要】
1.一种基于分散密钥加密的终端身份验证方法，其特征在于，包括以下步骤：平台端接收合法终端发送的注册请求，并为合法终端生成一个唯一的终端编号，所述注册请求携带所述合法终端的硬件参数；平台端根据所述注册请求通过分散密钥管理方法为所述合法终端生成唯一的加密密钥；平台端根据合法终端的硬件参数和加密密钥，采用第一预设加密算法，为所述合法终端生成唯一的激活码，并将所述加密密钥、激活码以及第一预设加密算法发送至所述合法终端内存储；待验证终端内的客户端软件启动运行时，自动获取待验证终端的硬件参数，使用待验证终端内存储的加密密钥以及第一预设加密算法对所述终端的硬件参数进行加密，生成验证码；所述客户端软件将所述验证码和激活码进行比对，根据比对结果验证终端是否合法，进而判断是否允许客户端软件运行。2.根据权利要求1所述一种基于分散密钥加密的终端身份验证方法，其特征在于，所述平台端根据所述注册请求通过分散密钥管理方法为所述合法终端生成唯一的加密密钥包括：平台端根据手动输入或随机产生的预设位数的数据，通过预设算法生成母密钥；将所述母密钥分别与多个互异的随机数混合，并通过第二预设加密算法加密，得到多组发行密钥；将所述多组发行密钥作为生成加密密钥的分散因子通过预定运算方式进行运算，生成混合密钥，将所述混合密钥和所述合法终端的终端编号结合，或者将所述混合密钥和新的随机数结合，通过第三预设加密算法加密，为合法终端生成与唯一的加密密钥。3.根据权利要求2所述一种基于分散密钥加密的终端身份验证方法，其特征在于，所硬件参数包括IP地址、MAC地址、主板ID、硬盘ID和产品出厂编码中的多种。4.根据权利要求3所述一种基于分散密钥加密的终端身份验证方法，其特征在于，所述根据合法终端的硬件参数和加密密钥，采用第一预设加密算法，为所述第一终端生成唯一的激活码包括：所述平台端将所述合法终端的IP地址、MAC地址、主板ID、硬盘ID和产品出厂编码中的多种组合生成数据串源；所述平台端利用加密密钥通过第一预设加密算法对所述数据串源进行加密运算，得到所述合法终端的激活码；所述第一预设加密算法为不可逆加密算法。5.根据权利要求4所述的一种基于分散密钥加密的终端身份验证方法，其特征在于，组合生成所述数据串源的数据还包括平台端在响应合法终端的注册请求时生成的与合法终端唯一对应的约定盐值；所述约定盐值在激活码生成后，连同加密密钥、激活码以及第一预设加密算法一起，由平台端发送...

【专利技术属性】
技术研发人员：卢晓帆，张振华，周艳，
申请(专利权)人：武汉精伦电气有限公司，
类型：发明
国别省市：湖北,42