技術領域

本發明涉及信息安全領域，特別涉及一種軟件保護方法及系統。

背景技術

目前，廣泛使用的大部分軟件都屬于行業軟件，包括工業、農業、建筑、設計、工程造價、財務等，幾乎涉及了人們生活的所有方面。行業軟件由于其針對性強、易操作等特點而得到了普及。

常用的軟件保護方案包括虛擬機保護、算法移植、軟件加殼、反調試等技術手段，但在巨大經濟利益驅使下，黑客或破解者對上述方法都進行了技術破解，并仿真行業算法，最終導致盜版泛濫。而很大一部分最終消費者明知所用的軟件是盜版，也要使用盜版軟件進行各種行業設計和計算，并且和正版軟件的消費者交互數據文件。據數據統計表明，正版軟件消費者和盜版軟件消費者的比例超過1：9以上，盜版的猖獗，惡化了軟件行業的發展環境，給開發商帶來了巨大的損失，同時也會經常給盜版軟件的使用者帶來不可忽視的損失。

為了加強數據安全，現有技術中還采用了加密鎖對軟件進行加密。具體為，例如機械制圖軟件等在啟動時，操作系統后臺自動通過加密鎖進行許可驗證，即，向加密鎖發送包括許可ID(LicenseID)的驗證消息，在加密鎖內驗證是否授權該許可，驗證消息中還可以包括開發商ID(DeveloperID)。

然而，雖然加密鎖屬于安全級別較高的數據安全硬件設備，但許可ID和開發商ID仍有可能被非法獲知，從而破解和重構加密鎖的加密和解密過程。而且上述這些行業軟件中大部分都會創建用于生產、存儲、傳輸等過程中所使用的工程文件，例如辦公軟件中的文檔、表格、郵件，機械設計軟件中的圖紙，設計圖等，這些工程文件由于通常包含了極為重要或機密的部分，一旦加密鎖使用的密鑰被破解，將導致工程文件中的數據泄露，給軟件的用戶造成極大的損失。

發明內容

有鑒于此，本發明的目的在于，對軟件創建的工程文件進行數據加密保護，極大地提高加密鎖的破解難度。

為此，本發明提出了一種軟件保護方法,包括:軟件運行在第一終端設備上、創建待保存的工程文件時,將工程文件數據發送給與第一終端設備通信連接的第一信息安全設備；第一信息安全設備動態計算出密鑰并對工程文件數據進行許可加密后將密文文件返回給第一終端設備，其中，密鑰根據至少包括設置在第一信息安全設備中的特定標識信息以及軟件的許可標識信息和開發商標識信息在內的數據而動態計算生成，該特定標識信息由所述軟件的開發商設置在所述第一信息安全設備中。

作為優選，該方法還包括：第二終端設備上的所述軟件載入所述密文文件時，將密文文件發送給與第二終端設備通信連接的第二信息安全設備；第二信息安全設備動態計算出所述密鑰并對密文文件進行解密，將經解密得到的工程文件數據返回給第二終端設備，其中，第二信息安全設備和第一信息安全設備具有同樣的設置和預設數據。

作為優選，所述密鑰根據包括設置在第一信息安全設備中的所述特定標識信息和鹽值以及所述軟件的許可標識信息和開發商標識信息在內的數據而動態計算生成，所述鹽值是在所述第一信息安全設備出廠前預設在其中的。

作為優選，第一信息安全設備接收到軟件發送的工程文件數據時，先對工程文件數據進行許可簽名后，再對經許可簽名的工程文件數據進行所述許可加密。

作為優選，第一信息安全設備使用所述密鑰對工程文件數據進行所述許可簽名。

作為優選，第一信息安全設備根據至少包括設置在所述第一信息安全設備中的所述特定標識信息以及所述軟件的許可標識信息和開發商標識信息在內的數據生成用于許可簽名的密鑰并對工程文件數據進行所述許可簽名。

作為優選，第一信息安全設備從第一終端設備接收到所述軟件發送的工程文件數據時，先對工程文件數據進行許可簽名后，再對經許可簽名的工程文件數據用所述密鑰進行所述許可加密；第二信息安全設備從第二終端設備接收到所述密文文件時，用所述密鑰對所述密文文件解密后得到經許可簽名的工程文件數據，再進行許可驗簽后將得到的所述工程文件數據返回給第二終端設備。

作為優選，第一信息安全設備使用所述密鑰對工程文件數據進行所述許可簽名，第二信息安全設備使用所述密鑰對經許可簽名的工程文件數據進行所述許可驗簽。

作為優選，第一信息安全設備根據至少包括設置在所述第一信息安全設備中的所述特定標識信息以及所述軟件的許可標識信息和開發商標識信息在內的數據生成用于許可簽名的密鑰并對工程文件數據進行所述許可簽名；所述第二信息安全設備生成所述用于許可簽名的密鑰并對經許可簽名的工程文件數據進行所述許可驗簽。

作為優選，第一信息安全設備使用對稱加密算法生成用于所述許可加密的密鑰。