[发明专利]一种基于数据链路加密传输的网络认证方法和系统

说明书

技术领域

本发明属于信息技术领域，具体涉及一种基于数据链路加密传输的网络认证方法和系统。

背景技术

随着计算机软硬件的发展，为了更好的保护计算机软硬件产品的知识产权，生产厂商往往采用各种加密认证技术，以确保产品被合法使用，避免盗版盗链，有效的保护开发者的正当权益。当前流行的软硬件保护方法有以下几种：

序列号保护：当用户想获取某个软件使用权时，需要到相关的软件公司注册相关信息，按照一系列的注册步骤在软件中输入相应的信息，比如使用人、版本、邮箱等相关信息，其注册信息的合法性由软件验证通过后，软件会给用户返回一个序列号。

注册文件保护：是一种利用文件来注册软件的保护方式。注册文件一般不大，可以是纯文本文件，也可以是纯二进制文件，文件内容是一些加密过或未加密过的数据。原始数据有可能为用户注册一些信息，用户名、软件版本、用户联系方式等。注册文件的注册获取机制和序列号方式机制相似。

软件狗保护：是一种硬件的加密工具，它是一种硬件电路，需要接入计算机上的串口或者并口，当程序运行时，软件从硬件电路接口读取其中的数据。如果软件狗返回正确的数据的话，软件可以正常使用，否则软件将会停止工作，并且向用户显示出错的提示。

目前，虽然序列号和注册文件机制被广泛使用，但是其存在的问题也非常突出：

1、序列号或注册文件在存储和使用上本身是不安全的，认证信息存放在相关软件相同的存储介质上，容易被黑客窃取。序列号和注册文件均为本地认证方法，通过内存映像等数据分析手段，容易被破解和拷贝。

2、软件狗在出厂后算法等都已固定，存在被盗用和丢失等情况，加密数据容易被本地拦截、内存镜像破解等。

发明内容

本发明针对上述问题，提出了一种基于数据链路加密传输的网络认证方法和系统，可以有效防止链路被监听，防止认证文件泄漏传播使用。如果认证文件被泄漏使用，通过合法用户的及时反馈(认证文件被泄漏使用后，合法用户将不能使用该认证文件启动系统)，服务器能及时发现违法设备终端的设备网络信息。

为实现上述目的，本发明采用如下技术方案：

一种基于数据链路加密传输的网络认证方法，包括网络身份认证和网络身份更新过程，其步骤包括：

1)在设备端和服务器端均存储该设备端的身份识别信息，设备端和服务器端的通信链路采用非对称加密算法加密传输，设备端通过公钥加密传输，服务器端通过私钥加密传输；

2)启动设备端，根据其中存储的身份识别信息组建身份认证数据包，并向服务器端发送网络身份认证指令；

3)服务器端收到网络身份认证指令后，查询本地存储的设备端的身份识别信息以进行认证，并将认证结果发送至设备端；

4)设备端收到认证结果后，如果认证失败则退出，如果认证成功则向服务器端发送网络身份更新指令；

5)服务器端收到网络身份更新指令后，生成新的密钥对和新的身份识别信息，并将新的密钥对中的公钥和新的身份识别信息送到设备端；

6)设备端接收到新的身份识别信息和公钥后，向服务器端发送同步更新指令，同时更新本地的身份识别信息和公钥；

7)服务器端收到同步更新指令后，更新本地的私钥，并回应同步更新指令；

8)设备端使用新传输密钥发送更新结束指令，服务器端使用新传输密钥回应更新结束指令。

进一步地，所述身份识别信息为设备端的系统信息，包括CPU序列号、硬盘序列号等设备硬件信息和软件信息以及设备识别码。

进一步地，在网络身份认证过程中记录连接信息，通过这些连接信息对设备端进行跟踪定位。

进一步地，通过日志记录网络身份更新过程，如果网络更新过程不完整，则将传输密钥和身份信息回滚到原始信息。

进一步地，上述方法还包括网络实时认证过程：在设备运行过程中，通过加密随机数进行网络实时认证，即进行不定时的在线认证。不定时认证的加密算法采用对称加密算法(比如DES、3DES、RC4、RC5等，设备端和服务器端可形成算法库，加密算法可随时更换)。所述网络实时认证的步骤包括：

a)在设备端和服务器端存储多组密钥和多组随机数；

b)设备端向服务器端发送实时认证指令；

c)服务器端收到实时认证指令后，随机生成两个随机数序号N0、N1，同时从本地密钥中取出第N0组密钥，对本地随机数中的第N1组随机数进行加密得到数据串S0，将N0、N1、S0组成数据发送到设备端；