一、硬件设备授权
即用户在硬件设备输入一个序列号(或一个包含授权信息的文件),然后硬件设备便可正常使用.
二、授权方案
构思授权方案时,参考了下面网址的思路:
- 1.用户提供自己的硬件ID,从设备厂家得到一串授权序列号,在设备中输入序列号,设备即可激活使用.
序列号形如 :
- 2.用户提供自己的硬件ID,从设备厂家得到一个授权文件,在设备中上传授权文件,设备即可激活使用
授权文件中的内容形如:
- 3.用户提供自己的硬件ID,设备厂家更新"授权服务器"中指定硬件的授权信息,设备会自动激活
技术实现:需要有一台公网服务器,处理查询授权信息的请求.用户不需要输入任何序列号,只需要点击一个"更新"按钮,设备主动发送自身的硬件唯一ID,向某一服务器请求授权信息(得到第2种方案中的授权文件),成功获取到后,设备会自动激活.
三、结论
第1个方案需要严格定义授权信息,以便加密后的序列号长度尽量短,个人觉得实现起来不方便.
第3个方案需要额外设备一台服务器,增加了工作量,而且超出现有需求,此功能主要目的只是为了限制指定设备的时间,所以只需要每个硬件设备单独的序列号激活即可.
第2个方案能实现同第1个方案相同的效果,而且在以后改为在线激活时,可以轻松扩展.(基本原有功能可以不变,只需要增加一个公网服务器;增加一个自动从公网服务器获取授权文件的动作即可)
所以我选择了第2个方案,
那么,此时可以确定的是,我需要完成三个程序的编码.
1)新增 一个生成授权文件的程序,叫做gen
2)新增 一个验证授权文件是否合法的程序,叫做verify
3)修改 现有系统内的程序, 验证授权文件的合法性 ->提取授权文件中的"授权信息" -> 检验当前设备中的相应信息,根据情况设置相应的限制
四、编码实现
Hash值
使用md5或者sh1等摘要算法得到的数据指纹。
授权信息
生成的序列号(或授权文件)中所包括的信息,这些信息指定了硬件设备可用的功能。比如授权到期时间、限制可用人数、限制硬件ID等等。
RSA非对称加密算法
非对称加密技术有两个密钥,“公开密钥”和“私有密钥”。使用“公开密钥”加密,则可用“私有密钥”解密;使用“私有密钥”加密,则可用“公开密钥”解密。RSA算法中非对称加密技术的一种。具体原理可参考 RSA算法原理(一)。
使用openssl中的rsa加密算法,对加密的数据长度有限制,所以一般只用于加密较短的Hash值。具体原因,查看API说明
私有密钥 -- 公开密钥 可互相推导?
加密算法库
网上搜索加密算法库有很多,我本次使用的是openssl。
签名
使用私钥对“数据”的Hash值加密生成一个“签名值”,将“数据”和“签名值”一起发送出去。接收方使用公钥解密“签名值”得到一个Hash值h1,再对原始数据通过计算Hash值H2,对比H1和H2数据相同,则能保证此条信息是私钥拥有者发布的。其实和人类在合同上“签名”、“盖章”的方法一样,只是为了校验信息发布者的真伪。
生成RSA算法公钥和私钥的方法:
生成2048位的私钥文件,private.pem
|
openssl genrsa -out private.pem 2048
|
生成对应的公钥文件,public.pem
|
openssl rsa -in private.pem -pubout -out public.pem
|
从文件中读取密钥:
|
int readpub_rsakey(const char *filename, RSA **prsa)
{
FILE *fp = fopen(filename, "r");
if (NULL == fp) {
printf("fopen() fail!\n");
return -1;
}
*prsa = PEM_read_RSA_PUBKEY(fp, NULL, NULL, NULL);
if (NULL == *prsa) {
printf("read_rsa_pubkey() fail!\n");
fclose(fp);
return -1;
}
fclose(fp);
return 0;
}
int readpri_rsakey(const char *filename, RSA **prsa)
{
FILE *fp = fopen(filename, "r");
if (NULL == fp) {
printf("fopen fail!\n");
return -1;
}
*prsa = PEM_read_RSAPrivateKey(fp, NULL, NULL, NULL);
if (NULL == *prsa) {
printf("read_rsa_prikey() fail!\n");
fclose(fp);
return -1;
}
fclose(fp);
return 0;
}
|
从字符串中读取密钥:
|
int getpub_rsakey(const char *key, RSA **prsa)
{
BIO *bio = NULL;
if (NULL == (bio = BIO_new_mem_buf((void*)key, -1))) {
printf("BIO_new_membuf() fail!\n");
return -1;
}
*prsa = PEM_read_bio_RSA_PUBKEY(bio, NULL, NULL, NULL);
if (!(*prsa)) {
printf("PEM_readbio_RSA_PUBKEY() fali!\n");
BIO_free_all(bio);
return -1;
}
return 0;
}
int getpri_rsakey(const char *key, RSA **prsa)
{
BIO *bio = NULL;
if (NULL == (bio = BIO_new_mem_buf((void*)key, -1))) {
printf("BIO_new_membuf() fail!\n");
return -1;
}
*prsa = PEM_read_bio_RSAPrivateKey(bio, NULL, NULL, NULL);
if (!(*prsa)) {
printf("PEM_read_bio_RSAPrivateKey() fail!\n");
BIO_free_all(bio);
return -1;
}
return 0;
}
|
五、参考
网上开源 RSA公钥加密算法 实现库:
openssl 强大的工具集合
crypto++ 过于复杂的封装,特别是rsa实现模块。
速度上有优势的:XySSL, CyaSSL(都使用的LibTomMath)
逻辑上有优势的:axcrypto, raknet
还有一些大数库: vlong,WinNTL
对于公钥签名认证, google android自带的libmincrypt有超快的实现方法,可惜代码只是为了一家优化,仅提供e=3的加速。而网上通常的ASN.1证书,都用了e=63357。
|
int RSA_public_encrypt(int flen, const unsigned char *from,
unsigned char *to, RSA *rsa,int padding);
|
openssl接口使用方法:
《精通pki网络安全认证技术与编程实现》
证书格式说明:(带有私钥的证书 、二进制编码的证书 、Base64编码的证书 )
密钥编码格式:(DER、PEM、NET )
加密、解密、签名等概念: