「安当产品应用案例100集」004-国密UKEY增强软件授权安全

国密UKEY在软件授权方案中的应用主要体现在增强软件授权的安全性、实现更严格的访问控制以及满足特定行业或领域的安全要求等方面。以下是安当的客户在软件授权方面的应用案例概述。

一、安当UKEY软件授权案例

国密UKEY，即采用国家密码管理局认证的密码算法的USB安全密钥，是一种以国密安全芯片为基础，遵照国密相关标准规范设计的多功能、多应用安全设备。它支持多种操作系统，并内置了多种加密算法（如SM2、SM4等），能够确保数据传输和存储的安全性。

安当有的客户做的是单机的行业软件，这些客户的软件运行于离线环境之中。我们知道目前很多端云一体的应用，可以在云端完成授权或者直接将部分业务逻辑在云端实现，这种情况采用在线授权或者订阅授权的方式就可以实现软件license控制。但是对于单机版的客户，如何控制离线情况下的软件license，采用传统的激活码方式，软件很容易被攻破。这种情况下，结合UKEY硬件的内置密钥以及加解密能力，就可以实现更强的license控制。

大致的授权过程如下：

在这个业务流程中，一共有三个角色，以下分别介绍一下这三个角色的作用。

1、KSP-CA

KSP-CA是安当自主知识产权的证书平台，依托于密钥管理的底层能力，实现企业内的证书签发。

在此授权应用案例中，客户通过KSP-CA签发机构证书和用户证书。

用户证书装载到UKEY中用于读取license前的身份校验，机构证书预置于客户APP中，用于校验用户证书的有效性。

此案例中客户是购买了KSP-CA软件，私有化部署后，支持APP生产发货中的证书管理。

2、UKEY

此授权应用案例中，UKEY首先是作为用户证书的载体，保存证书并保护私钥。其次，UKEY也是作为加密License码的载体。

3、客户APP

客户自己的应用。授权过程中客户APP要完成的主要工作：

a、首先使用机构证书验证UKEY中的客户证书有效性。

b、通过签名验签认证，验证此证书跟UKEY硬件是匹配的。

c、认证通过读取UKEY内的加密license码，解密后在APP内使用license。

二、UKEY在软件授权方案应用中的优势

1. 增强软件授权的安全性

双因素认证：国密UKEY结合用户密码或生物特征识别技术，实现双因素身份认证，大大提高了软件授权的安全性。只有同时拥有UKEY和正确的认证信息，用户才能访问软件，有效防止了未经授权的访问。

加密技术：利用国密UKEY内置的加密算法，对软件授权信息进行加密存储和传输，确保授权信息在传输过程中不被截获或篡改。

2. 实现更严格的访问控制（软件在线使用时可实现）

权限管理：国密UKEY可以与IAM系统结合，实现基于角色的权限访问控制。通过UKEY，软件可以识别用户的身份和权限，从而限制用户对软件功能的访问，确保用户只能访问其权限范围内的功能。

日志记录：结合统一的身份管理系统，国密UKEY还可以记录用户的访问和操作日志，便于事后审计和追踪，进一步提高软件授权的安全性。

3. 满足特定行业或领域的安全要求

涉密应用：对于涉及国家秘密或商业秘密的应用，国密UKEY提供了更高的安全保障。它符合国家密码管理局的规范要求，能够确保软件授权信息在存储和传输过程中的机密性、完整性和可用性。

行业规范：在某些行业或领域，可能存在特定的安全规范要求使用国密算法进行数据加密和身份认证。国密UKEY正好满足了这些要求，使得软件能够在这些行业或领域中顺利应用。

三、结论

国密UKEY在软件授权方案中的应用具有重要意义。它不仅能够增强软件授权的安全性，实现更严格的访问控制，还能满足特定行业或领域的安全要求。随着信息安全技术的不断发展，国密UKEY在软件授权方案中的应用将越来越广泛。企业在选择软件授权方案时，可以优先考虑采用国密UKEY作为安全保障措施之一。

安当的国密UKEY是获得国家密码管理局商用密码产品认证证书的智能密码钥匙。截止2024年7月，采用安当UKEY的客户已经累积200+，安当也在对接各种客户应用系统的过程中，积累了丰富的UKEY应用方案。

如果您的软硬件系统在分发过程中，希望增强授权安全，可以考虑采用安当UKEY作为license载体，借助UKEY的证书能力和密码运算能力，增强授权的安全性。

文章作者：太白

©本文章解释权归安当西安研发中心所有

————————————————