Lib库的权限管控系统及管控方法与流程

lib库的权限管控系统及管控方法
技术领域
1.本发明涉及通信技术领域，尤其是涉及一种lib库的权限管控系统及管控方法。


背景技术：

2.功能软件可以向用户提供各种各样的功能，而功能软件在提供功能的时候需要调用函数以实现功能，而一旦函数过多，需要使用数据库存储，例如，出于保密原因，使用lib库(静态链接库)存储。lib库可以有效防止技术机密被泄露。
3.但是，现有技术中，lib库并没有安全限制功能，任何产品或者任何个人只要能够拿到lib库，均可以调用lib库内部的函数。因此，一些涉及到安全功能的lib库，如果遭到泄露会发生重大的安全事故，造成不可挽回的后果。


技术实现要素：

4.本发明的目的在于提供一种lib库的权限管控系统及管控方法，可以保障lib库的安全性。
5.为了达到上述目的，本发明提供了一种lib库的权限管控系统，用于对产品包含的lib库进行加密，并且与所述lib库进行验证，验证通过后，所述产品包含的功能软件获得调用所述lib库的资格，包括：
6.加密芯片，用于向所述lib库发送芯片权限证书和加密芯片id，同时，还用于获取所述lib库发送的随机数，并向所述lib库返回随机数签名，一个所述加密芯片具有一个所述加密芯片id、一个所述芯片权限证书和一个私钥；
7.烧录工具，用于从所述加密芯片读取公钥和所述加密芯片id，并返回芯片权限证书，一个所述公钥对应一个所述私钥；以及
8.其中，所述lib库、功能软件和加密芯片集成于同一产品上，所述lib库验证所述权限证书和所述随机数签名均合法后，则认为所述加密芯片与所述lib库的验证通过。
9.可选的，在所述的管控系统中，还包括：云平台，用于从所述lib库获取所述加密芯片id和随机数以判断所述加密芯片id是否重复或合法，同时，还用于向所述lib库返回平台证书以及加密芯片id和随机数的签名。
10.可选的，在所述的管控系统中，所述lib库包括根证书，用于对所述芯片权限证书和平台证书是否合法进行验证。
11.可选的，在所述的管控系统中，所述加密芯片还用于存储所述芯片权限证书和私钥。
12.可选的，在所述的管控系统中，所述lib库包括随机数产生模块，用于产生随机数。
13.可选的，在所述的管控系统中，所述加密芯片包括签名模块，用于对所述随机数进行签名。
14.相应地，本发明还提供了一种lib库的权限管控方法，包括：
15.烧录工具从加密芯片读取公钥、加密芯片id并生成芯片权限证书，随后向所述加
密芯片烧录芯片权限证书；
16.lib库向所述加密芯片发送随机数，并且从所述加密芯片获取芯片权限证书和随机数签名；
17.验证所述芯片权限证书和随机数签名是否合法，如果不合法，则功能软件失去调用lib库的资格，如果合法，则功能软件获得调用lib库的资格。
18.可选的，在所述的管控方法中，还包括：
19.所述lib库向云平台发送所述加密芯片id和随机数；
20.所述云平台判断所述加密芯片id在所述云平台上是否重复或合法，如果重复或不合法，则认为加密芯片的私钥已泄漏并报警；
21.所述云平台向所述lib库发送平台证书以及所述加密芯片id和随机数的签名；
22.所述lib库判断所述平台证书以及所述加密芯片id和随机数的签名是否合法；
23.如果合法，则所述云平台获得访问和管理所述lib库的资格，如果不合法，则所述云平台失去访问和管理所述lib库的资格。
24.可选的，在所述的管控方法中，所述lib库验证所述权限证书是否合法的方法包括：
25.所述lib库根据自带的根证书验证所述权限证书是否合法。
26.可选的，在所述的管控方法中，所述lib库验证所述平台证书是否合法的方法包括：
27.所述lib库根据自带的根证书验证所述平台证书是否合法。
28.在本发明提供的lib库的权限管控系统及管控方法中，加密芯片对lib库进行加密，lib库、加密芯片与功能软件位于同一产品上，在功能软件访问lib库之前，lib库需要对加密芯片进行验证，验证通过后，功能软件才能访问lib库，从而保障了lib库的安全性。
附图说明
29.图1是本发明实施例的lib库的权限管控系统的示意图；
30.图2是本发明实施例的lib库的权限管控方法的流程图；
31.图中：110-产品、111-lib库、112-功能软件、113-加密芯片、120-烧录工具、130-云平台。
具体实施方式
32.下面将结合示意图对本发明的具体实施方式进行更详细的描述。根据下列描述，本发明的优点和特征将更清楚。需说明的是，附图均采用非常简化的形式且均使用非精准的比例，仅用以方便、明晰地辅助说明本发明实施例的目的。
33.在下文中，术语“第一”“第二”等用于在类似要素之间进行区分，且未必是用于描述特定次序或时间顺序。要理解，在适当情况下，如此使用的这些术语可替换。类似的，如果本文所述的方法包括一系列步骤，且本文所呈现的这些步骤的顺序并非必须是可执行这些步骤的唯一顺序，且一些所述的步骤可被省略和/或一些本文未描述的其他步骤可被添加到该方法。
34.请参照图1，本发明提供了一种lib库的权限管控系统及方法，用于对产品110包含
的lib库111进行加密，并且与lib库111进行验证，验证通过后，产品110包含的功能软件112获得调用lib库111的资格，包括：
35.加密芯片113，用于向lib库111发送芯片权限证书和加密芯片id，同时，还用于获取lib库111发送的随机数，并向lib库111返回随机数签名，一个加密芯片113具有一个加密芯片id、一个芯片权限证书和一个私钥；
36.烧录工具120，用于从加密芯片113读取公钥和加密芯片id，并返回芯片权限证书，一个公钥对应一个私钥；以及
37.其中，lib库111、功能软件112和加密芯片113集成于同一产品上110，lib库111验证权限证书和随机数签名均合法后，则认为加密芯片113与lib库111的验证通过。
38.进一步的，权限管控系统还包括：云平台130，用于从lib库111获取加密芯片id和随机数以判断加密芯片id是否重复或合法，如果重复或不合法，则说明加密芯片id泄露了，lib库111处于非安全的环境。同时，云平台130还用于向lib库111返回平台证书以及加密芯片id和随机数的签名。通过判断加密芯片id是否重复以验证加密芯片的私钥是否泄漏，并且，平台证书以及加密芯片id和随机数的签名的验证通过后，云平台130还用于对lib库进行访问和管理。其中，云平台和lib库通过网络传输，例如，可以2g网络、3g网络、4g网络、3g网络和wifi，云平台和lib库都属于同一个拥有者。如果权限管控系统没有云平台，只需要经过加密芯片的验证，就可以访问lib库，如果具有云平台，需要经过加密芯片和云平台的验证，才能访问lib库。
39.进一步的，lib库111包括根证书，用于对芯片权限证书和平台证书是否合法进行验证。加密芯片113还用于存储芯片权限证书和私钥，私钥不能通过任何方式读取到加密芯片之外。平台证书、烧录工具120、芯片权限证书均通过私钥签名生成，可以被根证书验签通过。
40.进一步的，lib库111包括随机数产生模块，用于产生随机数。加密芯片113包括签名模块，用于对随机数进行签名。
41.请参照图2，本发明还提供了一种lib库的权限管控方法，包括：
42.s1：烧录工具从加密芯片读取公钥、加密芯片id并生成芯片权限证书，随后向加密芯片烧录芯片权限证书；
43.s2：lib库向加密芯片发送随机数，随机数作为获取芯片权限证书的请求，并且从加密芯片获取芯片权限证书和随机数签名；
44.s3：验证芯片权限证书和随机数签名是否合法，如果不合法，则功能软件失去调用lib库的资格，如果合法，则功能软件获得调用lib库的资格。
45.进一步的，lib库的权限管控方法还包括：
46.lib库向云平台发送加密芯片id和随机数，作为获取平台证书的请求；
47.云平台判断加密芯片id在云平台上是否重复或合法，如果重复或不合法，则认为加密芯片的私钥已泄漏并报警；
48.云平台向lib库发送平台证书以及加密芯片id和随机数的签名；
49.lib库判断平台证书以及加密芯片id和随机数的签名是否合法；
50.如果合法，则云平台获得访问和管理lib库的资格，如果不合法，则云平台失去访问和管理lib库的资格。
51.本发明实施例中，烧录工具将芯片权限证书写入加密芯片中，具体的，使用烧录工具，对待使用lib库的产品上的加密芯片进行芯片权限证书的颁发和烧录，每一片加密芯片的证书都不相同，即一芯片一证书；这个过程只在待使用lib库的产品的生产阶段执行一次，后续产品正常使用过程中不会存在。一旦烧录成功，产品通过公钥形成的私钥、加密芯片id和权限证书发生都是唯一的。因此，lib库可以通过对这些唯一的私钥、加密芯片id和权限证书验证是否让该产品的功能软件是否调用lib库，从而完成对lib库的加密以及验证。
52.优选的，加密芯片和lib库的验证为若干次。云平台和lib库的验证为若干次。加密芯片和lib库的验证以及云平台和lib库的验证均是在产品的使用过程中，无论是加密芯片和lib库的验证还是云平台和lib库的验证的验证都是验证得越频繁越能保障lib库的安全。
53.本发明实施例中，一个加密芯片id对应一个私钥。如果私钥泄漏，其他使用者可以复制加密芯片，以通过lib库的验证，从而获取lib库的函数方法，导致lib库的安全发生泄漏。而私钥又对应唯一的加密芯片id，如果私钥泄漏，则意味着盗用者在使用加密芯片id使用lib库，而lib库会将加密芯片id传送给云平台，所以可以根据云平台获得的加密芯片id是否重复来判断私钥是否泄漏。如果泄漏，就进行报警，让lib库拥有者进行处理。
54.本发明实施例中，lib库验证权限证书是否合法的方法包括：lib库根据自带的根证书验证权限证书是否合法。更为具体的，lib库产生随机数发给加密芯片，加密芯片将芯片权限证书和随机数签名一起发送给lib库，lib库利用根证书验证权限证书和随机数签名是否合法，合法则通过，功能软件获得调用lib库的资格，非法则不通过，功能软件失去调用lib库的资格。lib库对加密芯片的验证可以在产品开机的时候进行，以及可以在开机后的使用时间段内定期执行。
55.本发明实施例中，lib库验证平台证书是否合法的方法包括：lib库根据自带的根证书验证平台证书是否合法。更为具体的，lib库产生随机数，将随机数和加密芯片id传给云平台，云平台将平台证书+(加密芯片id+随机数)的签名发送给lib库，lib库利用根证书验证是否合法，合法则通过，非法则不通过。云平台对lib库上报的加密芯片id进行记录并保存，平台可以验证加密芯片id的合法性，如果该加密芯片id合法，则认为功能芯片可以调用lib库，如果非法，则认为功能芯片不可以调用lib库，相当于，云平台可以作为进一步验证加密芯片是否合法的工具，进一步提高了lib库的安全性。同时，云平台还可以根据上传的加密芯片id判断其是否重复了，如果跟平台自身存有的加密芯片id重复，则认为加密芯片的私钥已经泄露，私钥泄露可能影响根证书的唯一性，可能导致盗用私钥的其他产品通过lib库的根证书的验证，严重影响了lib库的安全性。因此，当加密芯片私钥泄露时可以通过报警提示使用人员。本发明实施例如果没有云平台或者云平台和lib库无法连接，紧靠lib库和加密芯片的验证也是可以的。
56.本发明实施例可以用在汽车电子(移动机械设备)智能控制设备的lib库的权限控制上，通过增加硬件的安全芯片以及软件的交互方式，可以以非常高安全等级对lib库进行权限管控，并且破解极其困难。通过该方法，可以有效的对lib库进行权限控制，即使lib库泄露给非法使用方，lib库也无法正常执行，进而让非法获取方无法正常使用lib库。
57.综上，在本发明实施例提供的lib库的权限管控系统及管控方法中，加密芯片对
lib库进行加密，lib库、加密芯片与功能软件位于同一产品上，在功能软件访问lib库之前，lib库需要对加密芯片进行验证，验证通过后，功能软件才能访问lib库，从而保障了lib库的安全性。
58.上述仅为本发明的优选实施例而已，并不对本发明起到任何限制作用。任何所属技术领域的技术人员，在不脱离本发明的技术方案的范围内，对本发明揭露的技术方案和技术内容做任何形式的等同替换或修改等变动，均属未脱离本发明的技术方案的内容，仍属于本发明的保护范围之内。