[发明专利]离线鉴权系统及其方法

说明书

本发明提供一种构建鉴权系统的方法，属于应用服务鉴权技术领域。所述方法包括：配置硬件数据于鉴权设备且配置具有所述硬件数据的校验功能的鉴权服务于所述鉴权设备；将所述鉴权设备的鉴权网络隔离于与所述鉴权服务进行交互的应用服务的应用网络，在所述鉴权网络内利用所述硬件数据的校验功能获得处于执行状态的鉴权服务并通过与处于执行状态的鉴权服务对应的鉴权设备构成鉴权系统。本发明鉴权系统不需要改造应用服务器和应用网络，硬件成本和部署成本低廉，本发明鉴权系统具有高安全性、具有高可用性、相对预配置情况具有完整性和一致性。

技术领域

本发明涉及离线鉴权技术领域，具体地涉及一种构建鉴权系统的方法、一种通过共识集群鉴权设备构建鉴权系统的方法、一种鉴权系统的启动方法、一种使用启动后的鉴权系统的鉴权方法、一种鉴权系统、一种用于鉴权系统的设备和一种计算机可读存储介质。

背景技术

目前软件私有化交付，都需要授权激活，通常会使用鉴权方法限制试用软件服务的时长、资源数量以及部署的服务器等，以保证软件研发厂商的商业利益，防止软件不经授权即可任意部署和使用。

现有的鉴权方案，对比文件CN105897682A公开了一种在线鉴权方案，软件交付部署到客户机房时，调用公有云在线鉴权应用程序编程接口，进行通信认证客户端的授权信息，授权认证通过后，软件才能在客户机房部署和使用，在线鉴权方案依赖互联网，大部分客户的机房对网络安全有一定的限制，基本不能连接互联网。

对比文件CN109284601A公开了一种离线鉴权方案，软件交付部署到客户机房，安装软件时，计算软件运行环境的环境基准值，计算软件静态数据的静态基准值，存储所述环境基准值与静态基准值，但是，该方案无法保证静态基准值是没有被篡改的，若发生篡改，会直接导致后面计算和验证都毫无意义。

此外，离线鉴权依赖服务器系统时间作为授权时长的凭证，服务器的时间可以被随便修改，需要额外的加密狗类型的硬件才能保障系统时间不被修改；容易想到的是，离线鉴权服务一方面可以部署在虚拟机上，虽然成本低廉，但由于使用了受宿主主机所控制的资源且宿主主机具有ROOT权限，很难保证离线鉴权服务的完整性和一致性；再一方面，本地部署离线鉴权服务的方案，本地服务器使用者拥有服务器ROOT权限，有足够的权限对鉴权服务可以进行反编译、调试跟踪、内存dump（备份文件系统）分析、通信拦截等一系列的破解攻击，以达到破解权限认证，超限使用的目的；另一方面离线鉴权服务需要部署在物理服务器上，而目前业界内的服务器基本都是云服务器或者虚拟机等，额外提供物理机服务器对客户的改造和运维成本非常大。

发明内容

本发明的目的是提供一种离线鉴权系统及其方法，而现有技术存在不能解决软件硬件环境被克隆，无法确保真正有效的可信系统环境以支持鉴权服务，鉴权服务能被反编译、调试跟踪、内存增量备份文件分析等技术问题。

为了实现上述目的，本发明实施例提供一种构建鉴权系统的方法，该方法包括：

S1）配置硬件数据于鉴权设备，且配置具有所述硬件数据的校验功能的鉴权服务于所述鉴权设备；

S2）将所述鉴权设备的鉴权网络隔离于与所述鉴权服务进行交互的应用服务的应用网络，在所述鉴权网络内利用所述硬件数据的校验功能获得处于执行状态的鉴权服务，并通过与处于执行状态的鉴权服务对应的鉴权设备构成鉴权系统。

具体的，步骤S1）中配置硬件数据于鉴权设备，包括：

S101）将存储介质的密钥数据、硬件的指纹数据和与所述指纹数据绑定的证书数据作为第一数据；

S102）配置具有所述第一数据的硬件数据于具有所述存储介质和所述硬件的鉴权设备。

具体的，步骤S1）在配置硬件数据于鉴权设备之后，且在配置具有所述硬件数据的校验功能的鉴权服务于所述鉴权设备之前，还包括：