一种量子密钥分发软件安全使用的校验方法和装置

技术领域

本申请涉及信息安全技术领域，尤其涉及一种量子密钥分发软件安全使用的校验方法和装置。

背景技术

量子安全技术的关键优势是其对未来计算机技术威胁的抵抗力，特别是相对于那些可能在未来被量子计算机破解的传统加密方法。利用量子加密的方法，可以创建一个即便在量子计算机发展成熟后也依然安全的通信系统。因此，量子安全技术被认为是对抗未来信息安全威胁的一种有前景的途径。随着技术的不断发展，量子安全技术有望在金融、军事、政府以及其他要求高度安全的领域中得到应用。

在相关技术中例如中国专利申请号为：CN202311146790.X的专利文本中所公开的本申请公开的一种无人机的量子安全通信系统，该系统包括机载量子安全模块、地面量子安全模块以及量子密钥生成设备；其中，机载量子安全模块部署在无人机中，用于传输无人机机载设备与数据链终端之间的机载通信数据，以及对机载通信数据进行量子加解密处理；地面量子安全模块部署在地面站中，用于在天线阵列模块与控制端之间传输地面通信数据，并对地面通信数据进行量子加解密处理；通过部署的量子安全模块实现了飞机到地面站间通信数据的量子加密传输，与传统的无人机加密技术相比，其具有更高的安全性和保密性，能够更好保障无人机系统的安全；同时量子安全模块的通信接口能够与现有无人机通信接口相适配，整体的硬件改动小，安装部署方便。

上述方案中，量子安全模块之间配对有用于数据加解密的量子密钥，在使用中会根据消耗情况，对量子密钥进行定期补充。用于补充该量子密钥的设备例如中国专利申请号为：CN202311064503.0的专利文本中所公开的本申请公开的一种量子安全密钥离线分发系统、方法及装置；在具体操作时通常依赖于量子密钥分发软件去执行量子密钥分发的任务，量子密钥分发的安全性关乎量子安全通信系统的安全，因此如何确保量子密钥分发软件运行在安全可靠的环境中是本发明所要解决的技术问题。

发明内容

为了解决上述技术问题，在第一方面本申请公开了一种量子密钥分发软件安全使用的校验方法，所述方法包括：根据预设流程依次执行对应类型的校验；

在各类型的校验均成功后，确定软件安全使用校验通过；否则，软件安全使用校验失败；

所述校验的类型包括：设备合法性校验和有效期校验；其中，所述设备合法性校验包括：

获取当前运行密钥分发软件设备的硬件标识信息；

根据预置的第一数据处理规则关联所述硬件标识信息和获取到的登录信息，计算生成登录校验数据；

通过验证所述登录校验数据与软件运行包中绑定的安全验证数据是否匹配，以判断设备合法性校验是否成功；

所述有效期校验包括：

获取运行密钥分发软件设备的当前系统时间和日期；

根据预置的第二数据处理规则关联软件存储的第一关键数据和第二关键数据，计算获取有效期限制信息和使用时间限制信息；

根据校验规则分别确定所述当前系统时间和日期与获取到的有效期限制信息和使用时间限制信息是否相匹配，以判断有效期校验是否成功。

上述方案中，所述设备合法性校验中获取登录信息的方法包括：

响应用户登录操作，反馈一个与所述登录操作相匹配的信息输入界面；

通过所述信息输入界面接收待校验的登录信息；所述登录信息包括用户登录密钥信息。

上述方案中，所述有效期校验的校验规则包括：

若有效期限制信息和使用时间限制信息两者均不存在，则有效期校验失败；否则，继续执行校验流程；

若所述当前系统时间和日期与获取到的有效期限制信息和使用时间限制信息全部匹配，则有效期校验成功，否则校验失败。

上述方案中，所述安全验证数据的生成方法包括：

根据预设规则配置登录信息；

获取合法运行设备对应的硬件标识信息；

通过预置的第一数据处理规则关联所述配置的登录信息和获取到的硬件标识信息，计算生成安全验证数据。

上述方案中，所述硬件标识信息包括处理器ID和主板ID；

计算生成所述安全验证数据时进一步包括以下步骤：

根据预置扩充算法将所述登录信息扩充至目标长度，得到扩充密钥信息，所述目标长度为所述处理器ID和主板ID两者中长度的最大值；

将所述扩充密钥信息、处理器ID和主板ID按位依次进行异或运算，得到所述安全验证数据。

上述方案中，所述第二关键数据包括第一隐藏数据和第二隐藏数据；其中，所述第一隐藏数据中隐藏的内容包括有效期限制信息；所述第二隐藏数据中隐藏的内容包括使用时间限制信息；

所述第一隐藏数据根据预置算法关联第二关键数据和有效期限制信息计算获取；

所述第二隐藏数据根据预置算法关联第二关键数据和使用时间限制信息计算获取。

上述方案中，所述第一关键数据为量子随机数，所述量子随机数通过量子随机数发生器生成。

上述方案中，所述方法还包括量子密钥分发软件的安装校验；

所述量子密钥分发软件的安装校验包括以下步骤：

响应用户安装操作，反馈一个与所述安装操作相匹配的安装信息输入界面；

通过所述安装信息输入界面获取待校验的安装信息；所述安装信息包括安装序列号，所述安装序列号为量子随机数。

在另一方面本申请还公开了一种量子密钥分发软件安全使用的校验装置，所述装置包括：关键信息获取模块，用于获取运行量子密钥分发软件设备的设备标识信息，当前系统时间和日期；

计算处理模块，用于根据预置的数据处理规则计算生成各校验类型所需的待校验数据；

校验模块，用于根据校验类型所对应的校验规则确定待校验数据与软件存储的安全验证数据是否匹配，以判断该类型的校验是否成功；

存储模块，用于存储各类型校验所对应的安全验证数据。

上述方案中，所述存储模块中还包含有数据更新模块，所述数据更新模块用于根据预置的更新规则，更新所述安全验证数据。

本申请的有益效果如下：

本申请的量子密钥分发软件在运行时，分别通过至少两种类型的校验去验证软件运行时的安全性；其中一种的设备合法性校验包括：获取当前运行密钥分发软件设备的硬件标识信息；根据预置的第一数据处理规则关联所述硬件标识信息和获取到的登录信息，计算生成登录校验数据；通过验证所述登录校验数据与软件运行包中绑定的安全验证数据是否匹配，以判断设备合法性校验是否成功；该方法中，软件在运行前获取当前设备的硬件标识信息，再结合登录信息生成登录校验数据，且该登录校验数据为密文形式的数据，软件中的安全验证数据同样以明文形式存储，校验时，是比较两种密文形式的数据，软件中所绑定的安全验证数据无需解密，其中与设备硬件相关的敏感信息难以泄露，安全性更高；

另一种的有效期校验包括：获取运行密钥分发软件设备的当前系统时间和日期；根据预置的第二数据处理规则关联软件存储的第一关键数据和第二关键数据，计算获取有效期限制信息和使用时间限制信息；根据校验规则分别确定所述当前系统时间和日期与获取到的有效期限制信息和使用时间限制信息是否相匹配，以判断有效期校验是否成功；在有效期校验中，有效期限制信息和使用时间限制信息均被量子加密保护，软件运行时通过有效期校验保障软件不会超期使用；

通过上述两种类型的校验，使得用于量子密钥分发的软件，不能够随意复制到其它不合法的设备上去安装使用，且通过有效期校验能够严格控制其使用时间，超期后软件不再被允许使用，以此保障软件使用的安全性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本实施例中设备合法性校验的方法流程图；

图2为本实施例中有效期校验的方法流程图；

图3为本实施例中计算安全验证数据的方法流程图；

图4为本实施例中量子密钥分发软件安全使用的校验装置结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

实施例1：一种量子密钥分发软件安全使用的校验方法，其中，量子密钥分发软件可安装于现有通用计算设备上，例如笔记本和一体机，参见图1中的步骤S103-S105，所述方法包括：

根据预设流程依次执行对应类型的校验；具体为软件运行登录前，软件根据预设流程执行校验的过程；

在各类型的校验均成功后，确定软件安全使用校验通过；否则，软件安全使用校验失败；退出登录拒绝使用；

所述校验的类型包括：设备合法性校验和有效期校验；其中，所述设备合法性校验包括：

参见图3中S301-S303的步骤：

获取当前运行密钥分发软件设备的硬件标识信息；硬件标识信息为与当前运行该软件设备相关的硬件唯一标识信息，例如处理器ID、主板ID、硬盘序列号、网卡物理地址等；其具有唯一性，软件更换运行的设备后，再次使用软件时，软件获取的硬件标识信息也相应发生更改；

根据预置的第一数据处理规则关联所述硬件标识信息和获取到的登录信息，计算生成登录校验数据；该第一数据处理规则可以是数据的加密规则；

通过验证所述登录校验数据与软件运行包中绑定的安全验证数据是否匹配，以判断设备合法性校验是否成功；软件运行包中绑定的安全验证数据为软件首次安装生成运行包时从安装该软件的设备中所获取的硬件标识信息，首次安装软件的设备为生产商提供的合法使用设备；之后再根据预置的第一数据处理规则关联所述硬件标识信息和软件首次安装时通过人为设置的登录信息计算生成登录校验数据；其中，登录信息可以是人为设置的用户登录密钥；

所述方法还包括量子密钥分发软件的安装校验；

所述量子密钥分发软件的安装校验包括以下步骤：参见图1中的步骤S101-S102；

响应用户安装操作，反馈一个与所述安装操作相匹配的安装信息输入界面；

通过所述安装信息输入界面获取待校验的安装信息；所述安装信息包括安装序列号，所述安装序列号为量子随机数；通过序列号进行安全软件进一步使得软件不能够被随意部署和使用；同时安装序列号为量子随机数属于真随机数范畴，使得其难以被破解，安全性更高。

在一种可能的示例中：软件首次安装时，根据预设格式人工设置软件用户登录密钥P0；

软件在生成运行包时，获取该首次安装软件的设备对应的处理器ID(记为CPUID0)和主板ID(记为MBID0)；

根据预置扩充算法将所述登录信息扩充至目标长度，得到扩充密钥信息P1，所述目标长度为所述处理器ID和主板ID两者中长度的最大值，预置扩充算法使用现有算法，例如AES扩充算法；

将所述扩充密钥信息P1、处理器ID和主板ID按位依次进行异或运算，得到所述安全验证数据E0；即：

E0＝P1⊕CPUID0⊕MBID0；

将安全验证数据E0写入至软件运行包中的文件中；

软件登录运行时，响应用户登录操作，反馈一个与所述登录操作相匹配的信息输入界面；

通过所述信息输入界面接收待校验的登录信息P2；

获取当前运行密钥分发软件设备的处理器ID(记为CPUID1)和主板ID(记为MBID1)；

根据预置扩充算法将所述登录信息P2扩充至目标长度，得到扩充密钥信息P1，所述目标长度为所述处理器ID和主板ID两者中长度的最大值，

将所述扩充密钥信息P2、处理器ID和主板ID按位依次进行异或运算，得到所述安全验证数据E1；即

E1＝P2⊕CPUID1⊕MBID1；

通过验证E1与软件运行包中绑定的E0是否匹配，以判断设备合法性校验是否成功。

该方法中，软件在运行前获取当前设备的硬件标识信息，再结合登录信息生成登录校验数据，且该登录校验数据为密文形式的数据，软件中的安全验证数据同样以明文形式存储，校验时，是比较两种密文形式的数据，软件中所绑定的安全验证数据无需解密，使得与设备硬件相关的敏感信息难以泄露，安全性更高。

参见图2中S201-S203的步骤，所述有效期校验包括：

获取运行密钥分发软件设备的当前系统时间和日期；

根据预置的第二数据处理规则关联软件存储的第一关键数据和第二关键数据，计算获取有效期限制信息和使用时间限制信息；

根据校验规则分别确定所述当前系统时间和日期与获取到的有效期限制信息和使用时间限制信息是否相匹配，以判断有效期校验是否成功。

其中，所述有效期校验的校验规则包括：

若有效期限制信息和使用时间限制信息两者均不存在，则有效期校验失败；否则，继续执行校验流程；即为了进一步保证安全，软件配置为需要设定有效期信息，若软件无法获取到对应的有效期信息，则直接判断为校验失败；

若所述当前系统时间和日期与获取到的有效期限制信息和使用时间限制信息全部匹配，则有效期校验成功，否则校验失败；即两者中有一者不一致时，判定为校验失败；

为了保证软件中存储的数据安全性，所述第二关键数据包括第一隐藏数据和第二隐藏数据；其中，所述第一隐藏数据中隐藏的内容包括有效期限制信息；所述第二隐藏数据中隐藏的内容包括使用时间限制信息；

所述第一隐藏数据根据预置算法关联第二关键数据和有效期限制信息计算获取；

所述第二隐藏数据根据预置算法关联第二关键数据和使用时间限制信息计算获取；

在一种可能的示例中，第一关键数据为用于加密的加密密钥，第二关键数据通过为通过第一关键数据加密得到的密文数据；

为了提高加密的安全性，所述第一关键数据为量子随机数，所述量子随机数通过量子随机数发生器(QRNG)生成；量子随机数产生器利用量子力学的基本原理，如量子不确定性与量子状态的随机性，来生成真正的随机数。与传统基于算法生成的伪随机数不同，量子随机数的生成不依赖于任何可预测的模式或初始种子，这使得它们在理论上是不可预测的；采用量子随机数作为加密密钥，使得密钥的本身难以被破解，加密的安全性更高；

在一种可能示例中，软件在部署时，在其运行包中写入有效期限制信息(记为TA)和使用时间限制信息(记为TB)；

通过量子随机数发生器生成一串量子随机数，作为第一关键数据(记为K0)，量子随机数的长度为有效期限制信息和使用时间限制信息的长度之和；

从第一关键数据中顺序选取与有效期限制信息长度一致的第一密钥(记为K1)，以及跟使用时间限制信息长度一致的第二密钥(记为K2)；即K0＝K1+K2；

根据异或算法分别计算第一密钥和有效期限制信息的异或值得到第一隐藏数据(记为CTA)，再计算第二密钥和使用时间限制信息的异或值得到第二隐藏数据(记为CTB)；即CTA＝K1⊕TA；CTB＝K2⊕TB；

将第一关键数据、第一隐藏数据、第二隐藏数据分别写入至软件运行包中；

校验时，获取运行密钥分发软件设备的当前系统时间(记为TA1)和日期(记为TB1)；

根据K0，按位依次获取到K1和K2；

计算获取到TA和TB；即：TA＝CTA⊕K1，TB＝CTB⊕K2；

通过比较TA1与TA，以及TB1与TB是否相符合，以此确定有效期校验是否通过；

在有效期校验中，有效期限制信息和使用时间限制信息均被量子加密保护，软件运行时通过有效期校验保障软件不会超期使用；

通过上述两种类型的校验，使得用于量子密钥分发的软件，不能够随意复制到其它不合法的设备上去安装使用，且通过有效期校验能够严格控制其使用时间，超期后软件不再被允许使用，以此保障软件使用的安全性。

实施例2：一种量子密钥分发软件安全使用的校验装置，参见图4，所述装置包括：关键信息获取模块，用于获取运行量子密钥分发软件设备的设备标识信息，当前系统时间和日期；

计算处理模块，用于根据预置的数据处理规则计算生成各校验类型所需的待校验数据；

校验模块，用于根据校验类型所对应的校验规则确定待校验数据与软件存储的安全验证数据是否匹配，以判断该类型的校验是否成功；

存储模块，用于存储各类型校验所对应的安全验证数据。

所述存储模块中还包含有数据更新模块，所述数据更新模块用于根据预置的更新规则，更新所述安全验证数据；例如在有效期校验中，如果限制了软件的使用时间，那么则在每次软件使用完毕后将软件的剩余使用时间信息通过数据更新模块更新写入到软件对应的文件中去，以便下次使用时，通过该更新的数据进行有效期校验。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。