基于Usbkey的离线授权方法

本发明涉及一种基于Usbkey的离线授权方法。

Usbkey主要应用于网络认证、网银、OA系统等，通过实时服务器认证来解决客户端的身份认证问题。现有的通过Usbkey登陆的方式，多数都是一个固定口令，且同一个Usbkey可以在多个客户端使用，这样虽然方便，但是安全性、保密性、管控性不强。例如办公环境中，在正常登陆情况下，每个人都可以通过自己的Usbkey登陆对应的客户端，都能够与服务器相连，但是一旦需要携带移动电脑单机使用办公，此时因为无法连接服务器进行身份认证，所以必须在非连网前申请Usbkey的离线使用授权。本发明则提供一种可以在线申请然后离线使用的Usbkey的身份认证授权方法，就很好的解决了Usbkey离线使用的身份授权并可有效保护Usbkey的硬件识别码的问题。

针对现有技术中存在的问题，本发明的目的在于提供一种基于Usbkey的离线授权方法的技术方案, 既能实现Usbkey离线使用的身份授权又可有效保护Usbkey的硬件识别码。

所述的基于Usbkey的离线授权方法，其特征在于包括Usbkey、客户端、客户端硬件指纹码产生模块、服务器、服务器信息提取模块、动态码产生模块、加密密钥合成模块、服务器硬件识别码加密模块、短信模块和管理员手机，每个Usbkey均设置有唯一的硬件序列号，每个客户端均设置有客户端硬件指纹码产生模块，客户端硬件指纹码产生模块根据硬件本身产生一个唯一的硬件指纹码，每个Usbkey的硬件序列号和初始化完毕的硬件识别码均由管理员预设在服务器中，服务器通过短信模块与管理员手机绑定；

在线登陆时，插入Usbkey，输入相应Usbkey的口令码即可正常登陆；若需要离线使用，需在登录状态下点击申请离线使用菜单,客户端提示是否申请离线使用，点击确认，客户端会向服务器发起离线使用申请，服务器会产生一个动态码并通过短信模块发送至管理员手机，管理员根据情况将动态码授权于申请离线使用的客户端，点击取消，则不发起离线使用申请；

离线登陆时，插入Usbkey，客户端提示无法连网、是否离线登陆，点击否，则退出，点击是，则提示输入授权的动态码，输入正确则正常登陆，输入错误则退出。

所述的基于Usbkey的离线授权方法，其特征在于申请离线使用时，动态码的生成方式如下：点击申请离线使用，客户端硬件指纹码产生模块根据客户端硬件信息生成一个硬件指纹码，Usbkey的唯一硬件序列号与客户端的硬件指纹码上传至服务器，服务器信息提取模块根据接收到的Usbkey的硬件序列号提取存储在服务器上对应的Usbkey的硬件识别码，然后服务器的动态码产生模块随机产生一个动态码，加密密钥合成模块将客户端的硬件指纹码与服务器的动态码产生模块随机产生的动态码生成组合密钥，服务器硬件识别码加密模块通过组合密钥对该Usbkey的硬件识别码加密后传回客户端并存储，同时通过短信模块将动态码发送至管理员手机，管理员根据情况将该动态码授权给对应的用户使用；当用户离线登录时，输入授权的动态码，动态码与客户端的硬件指纹码结合构成组合密钥对服务器传回的Usbkey的硬件识别码加密文件进行解密，得到相应的硬件识别码，实现客户端离线登陆授权。

本发明主要解决的是Usbkey从服务器获得离线模式下使用的授权方法，解决Usbkey离线模式下使用时硬件环境的授权，避免Usbkey在非授权的硬件环境下使用,并且杜绝非法获得Usbkey时的非授权使用。离线模式下的Usbkey的使用授权就是Usbkey的硬件识别码的授权，有了硬件识别码就获得了Usbkey的使用权，本方法给予离线模式下Usbkey使用时获得的授权不是简单的硬件识别码及转换码的获得，而是由服务器动态码结合客户端硬件指纹码做为组合密钥来加密客户端Usbkey的硬件识别码，用户每次申请获得授权的动态码都是不同的，并且因为结合了客户端硬件指纹码，并且以Usbkey的可接收最长位数作为硬件识别码，一方面可增加硬件识别码破解难度，另一方面因为结合了客户端的硬件指纹码，可以有效锁定用户申请授权使用的硬件环境,增强Usbkey使用环境的管控及硬件识别码的有效保护；结合现在的短信技术，让离线授权使用流程变得既简单又安全。

图1为本发明申请离线使用动态码生成及授权的流程图；

图2为本发明离线登陆的流程图。

下面结合说明书附图对本发明做进一步说明：

基于Usbkey的离线授权方法，包括Usbkey、客户端、客户端硬件指纹码产生模块、服务器、服务器信息提取模块、动态码产生模块、加密密钥合成模块、服务器硬件识别码加密模块、短信模块和管理员手机，每个Usbkey均设置有唯一的硬件序列号，每个客户端均设置有客户端硬件指纹码产生模块，客户端硬件指纹码产生模块根据硬件本身产生一个唯一的硬件指纹码，每个Usbkey的硬件序列号和初始化完毕的硬件识别码均由管理员预设在服务器中，服务器通过短信模块与管理员手机绑定。

在线登陆时，插入Usbkey，输入相应Usbkey的口令码即可正常登陆，口令码可以是用户自行设置的密码，不同于Usbkey的硬件识别码，若需要离线使用，需在登录状态下点击申请离线使用菜单,客户端提示是否申请离线使用，点击确认，客户端会向服务器发起离线使用申请，客户端硬件指纹码产生模块会根据客户端硬件信息生成一个硬件指纹码，Usbkey的唯一硬件序列号与客户端的硬件指纹码上传至服务器，服务器信息提取模块根据接收到的Usbkey的硬件序列号提取存储在服务器上对应的Usbkey的硬件识别码，然后服务器的动态码产生模块随机产生一个动态码，加密密钥合成模块将客户端的硬件指纹码与服务器的动态码产生模块随机产生的动态码生成组合密钥，服务器硬件识别码加密模块通过组合密钥对该Usbkey的硬件识别码加密后传回客户端并存储，同时通过短信模块将动态码发送至管理员手机，管理员根据情况将该动态码授权给对应的用户使用，客户端输入授权的动态码才能正常登陆，点击取消，则不发起离线使用申请。

离线登陆时，插入Usbkey，客户端提示无法连网、是否离线登陆，点击否，则退出，点击是，则提示输入动态码，输入授权的动态码，动态码与客户端的硬件指纹码结合构成组合密钥对服务器传回的Usbkey的硬件识别码加密文件进行解密，得到相应的硬件识别码，获得Usbkey的控制权，最终实现客户端离线登陆授权，如果输入正确则正常登陆，输入错误则退出。

需要说明的是：本发明Usbkey的硬件识别码是Usbkey的认证密码，是Usbkey的核心，也是本发明所加密的部分，Usbkey的硬件序列号是Usbkey本身的一个编号，Usbkey的口令码是用户自己设定的用于登陆服务器的密码。

本发明主要解决的是Usbkey从服务器获得离线模式下使用的授权方法，解决Usbkey离线模式下使用时硬件环境的授权，避免Usbkey在非授权的硬件环境下使用,并且杜绝非法获得Usbkey时的非授权使用。离线模式下的Usbkey的使用授权就是Usbkey的硬件识别码的授权，有了硬件识别码就获得了Usbkey的使用权，本方法给予离线模式下Usbkey使用时获得的授权不是简单的硬件识别码及转换码的获得，而是由服务器动态码结合客户端硬件指纹码做为组合密钥来加密客户端Usbkey的硬件识别码，用户每次申请获得授权的动态码都是不同的，并且因为结合了客户端硬件指纹码，并且以Usbkey的可接收最长位数作为硬件识别码，一方面可增加硬件识别码破解难度，另一方面因为结合了客户端的硬件指纹码，可以有效锁定用户申请授权使用的硬件环境,增强Usbkey使用环境的管控及硬件识别码的有效保护；结合现在的短信技术，让离线授权使用流程变得既简单又安全。

本发明还具有以下优点:

1.授权的动态码非硬件识别码或简单转换码，密码位数长，口令动态，安全级别高；多位动态密钥加密的硬件识别码结合Usbkey自身保护装置可以起到很好的保护，提高硬件识别码的保护级别；

2.每一次授权都是动态产生，无法通过简单的非法获取方式取得Usbkey的使用权；

3.绑定硬件环境，无法在未授权硬件环境中使用Usbkey；

4.手机动态码的授权效果明确，申请一次授权一次，授权一次授权动态码即时生成一次，确保了使用的安全性。