专利名称:一种控制非主节点类型和规模的系统的制作方法
技术领域:
本发明涉及分布式计算领域,尤其涉及一种控制非主节点类型和规模的方法和系统。
背景技术:
发明200510109229和200910085813都是从程序文件中提取部分代码至加密装置中的软件版权保护的方法。发明200510109229需要在每一个节点上部署一套硬件版权保护装置,对于云系统环境,这种方案成本较高,维护困难。基于发明200510109229和200910085813,平台规模或硬件资源的升级极易引起版权保护装置的更换,系统升级成本较闻。而且,现有技术中每个节点都是具有独立功能的节点,无法实现对节点数目和类型的控制。
发明内容本发明实施例提供的一种控制非主节点类型和/或规模的系统,包括注册服务器,与注册服务器相连的一个主节点和与所述主节点相连的至少一个非主节点,其特征在于:所述注册服务器,用于向主节点发布主节点授权信息;所述主节点,用于从注册服务器接收主节点授权信息,所述主节点授权信息至少包括可扩展的非主节点的最大规模和/或类型,并根据可扩展的非主节点的最大规模和/或类型向非主节点发布非主节点授权信息;所述非主节点,用于从主节点接收授权信息,并根据所述非主节点授权信息执行相应的操作。通过由主节点对非主节点的节点数量和/或类型的控制,使得可以有效控制非主节点规模。
图1为本发明实施例提供的分层软件版权保护系统总体结构示意图;图2为本发明实施例提供的分层软件版权保护系统具体结构示意图;图3为本发明实施例提供的分层软件版权保护方法总体流程示意图;图4为本发明实施例提供的分层软件版权保护方法的第一优选实施例的流程示意图;图5为本发明实施例提供的分层软件版权保护方法的第二优选实施例的流程示意图;图6为本发明实施例提供的分层软件版权保护方法的第三优选实施例的流程示意图;图7为本发明实施例提供的分层软件版权保护方法第一局部图;图8为本发明实施例提供的分层软件版权保护方法第二局部图;[0014]图9为本发明实施例提供的分层软件版权保护方法第三局部图;图10为本发明实施例提供的分层软件版权保护方法第四局部图。
具体实施方式
参见图1,为本发明实施例提供的分层软件版权保护系统的总体示意图,该系统包括一个注册服务器101,与注册服务器相连的一个主节点201和与所述主节点相连的至少一个非主节点201和202。注册服务器,用于向主节点发布主节点授权信息;所述主节点,用于从注册服务器接收主节点授权信息,并根据主节点授权信息来产生非主节点授权信息,所述主节点授权信息至少包括可扩展的非主节点的最大规模和/或类型,并根据可扩展的非主节点的最大规模和/或类型向非主节点发布非主节点授权信息;所述非主节点,用于从主节点接收授权信息,并根据所述非主节点授权信息执行相应的操作。控制非主节点数量和/或规模的具体方式有如下三种。方式一:所述主节点授权信息仅包括可扩展的非主节点的最大规模,如果非主节点的数量没有超过所述最大规模则接受所述非主节点注册请求,并向非主节点发布非主节点授权信息,所述非主节点授权信息包括所述非主节点能使用的软件功能。方式二:所述主节点授权信息包括可扩展的非主节点的最大规模和类型,如果非主节点的数量没有超过所述最大规模则拒绝所述非主节点注册请求,且非主节点的类型与所述主节点授权信息中包括的可扩展的非主节点的类型匹配则接受所述非主节点注册请求,并向非主节点发布非主节点授权信息,所述非主节点授权信息包括所述非主节点能使用的软件功倉泛。方式三:所述主节点授权信息包括可扩展的非主节点的类型以及每个类型所允许的最大规模,如果非主节点的类型与所述主节点授权信息中包括的可扩展的非主节点的类型匹配且该类型的非主节点数量没有超过该类型非主节点的最大规模,则接受所述非主节点注册请求,并向非主节点发布非主节点授权信息,所述非主节点授权信息包括所述非主节点能使用的软件功能。参加图2,为本发明实施例提供的分层软件版权保护系统具体示意图,其中所述注册服务器包括主节点注册服务器,所述主节点包括主节点注册客户端。所述有主节点注册客户端,用于向所述主节点注册服务器发出一个注册序列号。所述主节点注册服务器,用于判断所述注册序列号是否有效,如果有效则向主节点发布主节点授权信息。所述主节点授权信息包括可扩展的非主节点的最大规模和/或类型。所述非主节点包括非主节点注册客户端,所述主节点包括非主节点注册服务器,所述非主节点注册客户端用于向非主节点注册服务器发送非主节点注册请求。非主节点注册服务器判断非主节点注册请求是否有效,如果有效则向非主节点发布非主节点授权信息,所述非主节点授权信息包括所述非主节点能使用的软件功能。优选的,判断非主节点注册请求是否有效具体条件包括:所述非主节点没有被注册,且非主节点的数量没有超过最大规模。主节点还包括:一个安全加密模块,用于对主节点上的信息进行加密和/或解密处理。而非主节点则不需要包括安全加密模块。主节点还包括:一个主节点版权验证模块,用于验证主节点内功能的合法性和有效性。非主节点包括一个非主节点版权验证模块,用于验证非主节点内功能的合法性和有效性。主节点可以通过局域网络或全局网络完成注册,生成具有运营商签名的证书文件,证书文件包含了版权内容文件,内容文件定义了云系统的基本信息,云系统的规模,节点类型,系统的有效期限等信息,内容文件还规定了节点功能,节点硬件属性等信息。另外,证书文件还包括了对版权内容文件和系统硬件指纹数据摘要加密的密文数据,数据加密是通过硬件加密设备进行。为了保证授权的合法性,证书文件还包含了由运营商对内容文件和硬件指纹进行的数字签名。采用此单一的主节点版权控制模式,使得在系统的架构和下层设备发生更改时,无需变动版权控制的方式,同时增加了系统的灵活性。非主节点通过局域网,经合法的主节点进行授权,根据主节点的授权内容(节点功能,节点硬件属性)产生内容文件,连同非主节点的硬件指纹信息,共同构建非主节点的证书文件,证书文件中还包含经主节点加密的非主节点内容文件和指纹信息的摘要密文,并且将摘要加密密钥通过主节点的加密模块进行加密保护,受保护数据只存储在主节点上,使非主节点上被保护模块的运行完全依赖于主节点。非主节点通过局域网从主节点获得授权,大大提高了获得授权的速度,降低了授权所带来的延迟,提高了系统的性能。加密可以避免对密文保护的信息摘要进行篡改,即可以防止修改版权内容文件和硬件指纹信息,保证了内容文件信息和硬件指纹的完整性。内容文件信息和硬件指纹的完整性可以保证内容文件和硬件平台的合法性,通过合法的内容文件中德约束,可以控制软件系统的规模,有效期限,节点功能,节点硬件属性等信息。主节点和非主节点的两级注册和验证机制可以降低主节点的验证负担,减少主节点和非主节点的通信,提高授权验证的效率。同时仅仅在主节点上进行加密保护,降低了硬件加密的成本和开销。安全加密模块,可以根据实际需要,根据安全级别或设备成本考虑采用不同的安全加密模块的实现,它可以实现输入数据的对称加密(AES,DES, 3DES等等)和解密操作,外界接口对密钥不可操作(读/写)。安全加密模块支持多个密钥,分为一次密钥和多次密钥两种,一次密钥仅能进行一次加密和多次解密,该密钥用于主节点的数据保护。多次密钥可以用于多次数据的加解密操作,该密钥用于非主节点的数据保护。安全加密模块是不可复制的硬件装置,可以是智能卡,单片机,也可以是其它嵌入式设备等。在每个云系统中,只需要部署一个安全加密模块即可。此方法定义了注册管理服务器,主节点,非主节点。注册管理服务器云系统提供商为客户提供系统注册服务的设备,可以是部署于网络中可以远程访问的服务器,也可以是便携式的个人计算机。主节点是云系统中的核心节点,可以控制整个云系统的正常运行和规模,非主节点是云系统中的功能节点,可以完成特定的计算或存储功能。主节点和非主节点中的功能模块是软件保护对象,这些模块可以完成满足云平台基本需求。主节点通过主节点注册服务器完成系统注册,非主节点通过主节点上部署的非主节点注册服务器完成注册。节点内功能的合法性和有效性通过版权验证模块完成。安全加密模块可以实现对敏感数据进行对称加密解密的安全模块,可以是软件模块,也可以是硬件模块。参加图3,为本发明实施例提供的分层软件版权保护方法总体流程示意图。应用于如图1或图2所述的分层软件版权保护系统,该系统包括注册服务器,与注册服务器相连的一个主节点和与所述主节点相连的至少一个非主节点。该方法流程包括如下步骤:步骤1:主节点向注册服务器发出主节点注册请求;步骤2:注册服务器验证主节点注册请求是否有效,如果无效,则拒绝注册,流程结束;如果有效,则生成主节点授权信息,发送给主节点,所述主节点授权信息至少包括可扩展的非主节点的最大规模和/或类型;步骤3:主节点接收所述主节点授权信息;步骤4:非主节点向主节点发出非主节点注册请求;步骤5:主节点判断非主节点注册请求是否有效,判断依据之一是非主节点的最大规模和/或类型是否符合主节点授权信息中包括的可扩展的非主节点的最大规模和/或类型的限制,如果有效,则根据主节点授权信息来生成非主节点授权信息;并将非主节点授权信息发送给非主节点;步骤6:非主节点根据非主节点授权信息来执行相应操作。参见图4,为本发明第一个优选实施例。步骤11:主节点向注册服务器发出主节点注册请求;步骤12:注册服务器验证主节点注册请求是否有效,如果无效,则拒绝注册,流程结束;如果有效,则生成主节点授权信息,发送给主节点,主节点授权信息仅包括可扩展的非主节点的最大规模;步骤13:主节点接收所述主节点授权信息;步骤14:非主节点向主节点发出非主节点注册请求;步骤15:主节点判断非主节点注册请求是否有效,判断依据之一是非主节点的数量没有超过所述最大规模,如果有效,则根据主节点授权信息来生成非主节点授权信息;并将非主节点授权信息发送给非主节点;步骤16:非主节点根据非主节点授权信息来执行相应操作。参加图5,为本发明第二优选实施例。步骤21:主节点向注册服务器发出主节点注册请求;步骤22:注册服务器验证主节点注册请求是否有效,如果无效,则拒绝注册,流程结束;如果有效,则生成主节点授权信息,发送给主节点,主节点授权信息包括可扩展的非主节点的最大规模和类型;步骤23:主节点接收所述主节点授权信息;步骤24:非主节点向主节点发出非主节点注册请求;步骤25:主节点判断非主节点注册请求是否有效,判断依据之一是非主节点的数量没有超过所述最大规模则拒绝所述非主节点注册请求,且非主节点的类型与所述主节点授权信息中包括的可扩展的非主节点的类型匹配,如果有效,则根据主节点授权信息来生成非主节点授权信息;并将非主节点授权信息发送给非主节点;步骤26:非主节点根据非主节点授权信息来执行相应操作。参见附图6,为本发明的第三优选实施例。步骤31:主节点向注册服务器发出主节点注册请求;步骤32:注册服务器验证主节点注册请求是否有效,如果无效,则拒绝注册,流程结束;如果有效,则生成主节点授权信息,发送给主节点,主节点授权信息包括可扩展的非主节点的类型以及每个类型所允许的最大规模;步骤33:主节点接收所述主节点授权信息;步骤34:非主节点向主节点发出非主节点注册请求;步骤35:主节点判断非主节点注册请求是否有效,判断依据之一是非主节点的类型与所述主节点授权信息中包括的可扩展的非主节点的类型匹配且该类型的非主节点数量没有超过该类型非主节点的最大规模,如果有效,则根据主节点授权信息来生成非主节点授权信息;并将非主节点授权信息发送给非主节点;步骤36:非主节点根据非主节点授权信息来执行相应操作。图3中的步骤1-3的具体细节,参考图7来描述。步骤71:客户通过友好界面输入系统提供商提供的系统注册序列号,每一个系统都应该预先创建了唯一的注册序列号。优选的,可以包括步骤72:主节点注册客户端获取硬件信息(可以是主板、CPU、内存、硬盘、网卡等设备序列号)作为硬件指纹,并连同序列号一起发送到注册服务器进行注
ΠΠ
/ttr O步骤73:注册服务判定注册序列号有效,将根据预先设定的软件功能和使用时间创建主节点授权信息,在这里也就是版权内容文件,版权内容文件主要包括:云系统基本信息;系统的有效使用时间;系统允许扩展的最大规模;系统中允许添加的节点类型;系统中每类节点有效功能描述和限制;其它管理或控制信息。步骤74:计算版权内容文件的信息摘要(MD2,MD5, SHA1,或SHA512等等),并使用系统提供商的私钥进行签名,将内容文件连同签名一起发送给主节点,并修改注册序列号状态。步骤75:主节点验证签名的有效性。步骤76:主节点计算内容文件与硬件指纹信息构建的复合数据摘要,通过安全加密模块对摘要进行加密,生成摘要密文。步骤77:将内容文件、签名、以及摘要密文写入版权文件。图3中的步骤4-5的具体细节,参考图8来描述。步骤81:非主节点将硬件指纹和节点类型发送给运行在主节点上的注册服务器。步骤82:主节点判定注册请求有效(该节点没有被注册或没有超出最大规模),基于版权文件中授权内容,生成针对该节点的内容文件。步骤83:主节点为该注册节点分配具有唯一性的ID以及创建一个随机对称密钥,并将内容文件、密钥和ID发送给非主节点。步骤84:在非主节点,将计算内容文件和硬件指纹进行合并,计算混合数据的信息摘要,并且通过密钥对摘要进行加密,销毁密钥。步骤85:将ID、内容文件和密文写入证书文件,并将结果返回给主节点。步骤86:主节点收到正确结果后,通过安全加密模块对密钥进行加密产生密文,将密文并连同ID,注册节点硬件指纹进行本地保存,注册结束。图3中的步骤6的细节,参考附图9来描述。步骤91:将非主节点ID和硬件指纹发送到主节点;步骤92:主节点通过ID检索对应硬件指纹,两个硬件指纹相同,主节点将通过安全加密模块对加密密钥进行解密,将密钥发送给非主节点;步骤93:非主节点将证书文件分解为版权内容文件和原始摘要密文信息;步骤94:非主节点通过密钥解密密文,获取原始摘要;步骤95:获取内容文件和硬件指纹信息的混合数据摘要;步骤96:如果原始摘要和新计算摘要相同,则表明内容文件有效;步骤97:根据内容文件获取对应功能或控制信息,如果操作符合要求,验证通过,运行操作进行。图3的步骤3之后,如果主节点需要用到任何主节点上的资源,需要执行一个主节点验证过程,该过程参考附图10来描述。步骤101:将证书文件分解为版权内容文件和密文信息。步骤102:通过安全加密模块解密密文,获取原始摘要。步骤103:获取内容文件和硬件指纹信息的混合数据摘要。步骤104:如果原始摘要和新计算摘要相同,则表明内容文件有效。步骤105:根据内容文件获取对应功能或控制信息,如果操作符合要求,验证通过,运行操作进行。对上述附图7-10的内容,可以相互自由组合各种具体实施例,例如某个具体实施例仅使用了其中某个附图,优选的是图8的内容。或者,使用了其中几个附图的内容,例如某个具体实施例,利用了附图7和附图10的内容。对上述附图7-10的内容也可以单独或组合应用于附图4-6的优选实施例中。本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储吐介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求1.一种控制非主节点类型和/或规模的系统,包括注册服务器,与注册服务器相连的一个主节点和与所述主节点相连的至少一个非主节点,其特征在于: 所述注册服务器,用于向主节点发布主节点授权信息; 所述主节点,用于从注册服务器接收主节点授权信息,所述主节点授权信息至少包括可扩展的非主节点的最大规模和/或类型,并根据可扩展的非主节点的最大规模和/或类型向非主节点发布非主节点授权信息; 所述非主节点,用于从主节点接收授权信息,并根据所述非主节点授权信息执行相应的操作。
2.根据权利要求1的系统,所述非主节点包括非主节点注册客户端,所述主节点包括非主节点注册服务器,所述非主节点注册客户端用于向非主节点注册服务器发送非主节点注册请求。
3.根据权利要求1-2中任意一个系统,所述注册服务器包括主节点注册服务器,所述主节点包括主节点注册客户端,其中: 所述主节点注册客户端向所述主节点注册服务器发出一个注册序列号,所述主节点注册服务器判断所述注册序列号是否有效,如果有效则向主节点发布主节点授权信息。
4.根据权利要求1-2中任意一个系统,所述主节点包括一个安全加密模块,用于对主节点上的信息进行加密和/或解密处理,和/或, 所述主节点包括一个主节点版权验证模块,用于验证主节点内功能的合法性和有效性,和/或, 所述非主节点包括一个非主节点版权验证模块,用于验证非主节点内功能的合法性和有效性。
专利摘要本实用新型实施例提供了一种控制非主节点类型和/或规模的系统,包括注册服务器,用于向主节点发布主节点授权信息;主节点,用于从注册服务器接收主节点授权信息,所述主节点授权信息至少包括可扩展的非主节点的最大规模和/或类型,并根据可扩展的非主节点的最大规模和/或类型向非主节点发布非主节点授权信息;非主节点,用于从主节点接收授权信息,并根据所述非主节点授权信息执行相应的操作。
文档编号H04L29/06GK203166984SQ20122027609
公开日2013年8月28日 申请日期2012年6月12日 优先权日2012年6月12日
发明者陈建文, 白树伟 申请人:北京英华高科科技有限公司