Способ лицензирования программного обеспечения при помощи аппаратных средств - RU2653247C1
Код документа: RU2653247C1
Описание
Изобретение относится к области компьютерной техники и информационных технологий, в частности способам лицензирования платного (подписочного) программного обеспечения (ПО) компьютерных средств.
Наряду со способами лицензирования ПО программными средствами, в последние годы получают развитие более совершенные способы, в которых программные (алгоритмические) решения подкреплены специализированными аппаратными средствами - например, аппаратными ключами защиты (АКЗ), подключаемыми, в частности, к USB-портам компьютера. Последние принято считать значительно более надежным средством противодействия компьютерному пиратству в этой области, чем первые [1].
Будучи портативными (мобильными) устройствами, внешне подобными обычным USB-флэш-накопителям, АКЗ удобны для физической поставки легальным пользователям, однако способы лицензирования ПО, в основе которых лежит их применение, обладают существенными недостатками. В частности, для корректного функционирования лицензионного ПО, АКЗ должен постоянно занимать один из USB-портов компьютера, что ограничивает возможность подключения к нему других периферийных устройств. Кроме того, каждая из лицензионных копий ПО, поставляемых одному коллективному пользователю, должна быть снабжена собственным АКЗ, что усложняет и удорожает данный способ.
Ближайшими к изобретению являются известные способы лицензирования ПО при помощи аппаратных средств, представляющих собой т.н. «физические серверы лицензий» (ФСЛ) [2]. ФСЛ дают возможность централизовать управление лицензиями на множество копий ПО, что позволяет преодолеть ряд проблем, связанных с использованием АК3-недостаток USB-портов, возможность потерь АКЗ вследствие бесконтрольности их хранения в офисе и т.п.
В ряду известных способов лицензирования ПО при помощи ФСЛ наиболее близким к изобретению является способ с использованием асимметричной криптографии (электронной подписи - ЭП на лицензиях), основанный на поставке не самих лицензий (кодов активации ПО), а частей данных для их генерации (ключей), в котором при генерации лицензий используют идентификаторы оборудования (ИО) - уникальные данные компьютеров, предназначенных для использования лицензируемого ПО. В этом способе аппаратное средство ФСЛ представляет собой некоторый сервер в Интернете, подконтрольный продавцу лицензии и способный по паре «ключ»+«ИО» передавать ее покупателю код активации ПО [3].
Поэтому преодоление этим способом вышеуказанных проблем, связанных с использованием мобильных аппаратных средств - АКЗ, физически поставляемых пользователям, сопровождается новой проблемой, обусловленной тем, что применяемое в нем аппаратное средство ФСЛ представляет собой стационарное и представленное в одном экземпляре оборудование, исключенное из логистической цепочки поставки ПО. Это делает его, в принципе, доступным (через Интернет) не только легальным пользователям, но и всем злоумышленникам, что резко снижает надежность противодействия им пиратскому использованию лицензионного ПО в сравнении со способами лицензирования, в которых применяемые аппаратные средства мобильны, находятся исключительно в распоряжении продавцов и покупателей лицензий и никаким третьим лицам не доступны.
Задачей изобретения является преодоление указанных недостатков известных способов лицензирования ПО как при помощи мобильных, так и стационарных аппаратных средств. Результатом, связанным с решением этой задачи, является создание способа лицензирования, по надежности противодействия пиратскому использования лицензионного ПО не уступающего способам, основанным на применении АКЗ, и в то же время по эффективности и простоте применения, в частности, при необходимости лицензирования множества копий ПО для одного коллективного пользователя, не уступающего способам, основанным на использовании ФСЛ.
Поставленная задача решена тем, что в ближайший к изобретению способ лицензирования ПО при помощи аппаратных средств с использованием асимметричной криптографии (ЭП на лицензиях), основанный на поставке не самих лицензий (кодов активации ПО), а частей данных для их генерации (ключей), в котором при генерации лицензий используют ИО - уникальные данные компьютеров, предназначенных для использования лицензируемого ПО, внесены следующие отличия.
В качестве аппаратных средств используют комплект из двух типов мобильных USB-устройств, взаимодействующих, будучи совместно подключенными к компьютеру продавца лицензий, по принципу «ведущий-ведомый» (Master-Slave - M-S). Этот тип взаимодействий относится к числу широко применяемых в современных информационных технологиях и подразумевает, что только ведущее (М-устройство) может инициировать передачу данных и определяет порядок доступа к сети, а ведомое (S-устройство) только исполняет команды М-устройства [4]. Поскольку мобильные USB-устройства, относящиеся к компьютерной периферии, непосредственно взаимодействовать не способны, необходимым условием взаимодействия таковых является их совместное подключение к одному оборудованию - в описываемом способе компьютеру продавца лицензий.
Эти устройства, именуемые далее мобильными носителями лицензий (МНЛ), представляют собой специализированные носители информации, содержащие процессоры, управляющие доступом к хранящимся в них данным. USB-устройства подобного типа выпускаются в ряде вариантов и находят применение в современных информационных технологиях, в частности в качестве ключей для защищенного хранения и/или транспорта данных, поддерживающих процедуры идентификации/аутентификации пользователя и/или вычислительной среды по их уникальным данным [5].
В первый ("Master") тип упомянутых устройств (МНЛ-М) на стороне продавца лицензий единожды - для каждого типа лицензируемого ПО - заносят ключ, необходимый для формирования ЭП на соответствующих лицензиях, и дополнительные данные для их генерации. Во второй же ("Slave") тип устройств (МНЛ-S) из МНЛ-М переносят вышеуказанные ключи формирования лицензий и дополнительные данные для генерации необходимого их числа, в частности уникальные идентификаторы лицензий. Количеством таких идентификаторов задают число лицензий, которые впоследствии сможет создать покупатель при помощи одного МНЛ-S.
При этом МНЛ-М выпускают в единственном экземпляре и закрепляют за продавцом лицензий, а МНЛ-S выпускают в количестве, равном числу покупателей лицензий, и физически поставляют последним.
Вышеуказанные отличия решают поставленную задачу, поскольку передача покупателям уникальных данных для генерации лицензий не через общедоступную сеть, а путем физической поставки защищенных транспортных ключей (МНЛ-S) обеспечивает наивысший уровень защищенности от пиратского использования лицензионного ПО, не уступающий обеспечиваемому АК3 при сохранении наиболее гибких и удобных принципов управления лицензиями, присущих использованию ФСЛ.
На стороне покупателя лицензий целесообразно регистрировать пользователя и администратора МНЛ-S, присоединять последний к компьютеру и с использованием ИО генерировать файлы лицензий. Если покупатель корпоративный (компания), то на указанные роли назначают соответствующих сотрудников. В компетенцию пользователя входит генерация лицензий при помощи МНЛ-S, причем, по завершении этой процедуры, МНЛ-S можно отключить от компьютера, поскольку для дальнейшей работы он не требуется. В компетенцию администратора входит разблокировка пользователя в случае утери им пароля, и решение некоторых других задач администрирования, которое становится возможным благодаря расширенным функциональным возможностям способа, в частности описываемого далее экспорта лицензий.
В качестве ИО могут быть использованы уникальные данные компьютера, к которому присоединен МНЛ-S, считываемые с упомянутого компьютера в автоматическом режиме. Это целесообразно, когда эксплуатация лицензионного ПО предполагается на том же служебном компьютере покупателя, посредством которого проводят процедуру лицензирования.
Если же эксплуатация лицензионного ПО предполагается на подведомственном покупателю удаленном компьютере, то в качестве ИО целесообразно использовать уникальные данные компьютера, удаленного по отношению к компьютеру, к которому присоединен МНЛ-S, заносимые во второй из упомянутых компьютеров в ручном режиме.
В обоих случаях в качестве ИО целесообразно использовать привязанные к соответствующему компьютеру уникальные идентификаторы, например, установленной операционной системы или его физических элементов: материнской платы или жесткого диска.
В промышленных вариантах программно-аппаратных комплексов лицензирования, разработанных на основе описанного способа, возможно программирование ряда дополнительных опций, усиливающих решение основной задачи изобретения, и/или направленных на расширение его функциональных возможностей. В частности, может быть предусмотрено ведение аппаратных журналов, хранящихся в секторах внутренней энергонезависимой памяти МНЛ с атрибутами доступа "Add Only". Для хранения же служебных программ, обеспечивающих выполнение МНЛ своих функций, целесообразно выделить секторы с атрибутами доступа "Read Only".
Если покупатель - компания, имеющая ряд офисов, или являющаяся дилером (т.е. закупающая множество лицензий для их дальнейшей передачи), то может быть реализована возможность перераспределения (экспорта - импорта) лицензий между разными МНЛ-S в следующем порядке.
Администратор экспортирующего МНЛ-S производит процедуру экспорта, указывая продукт, число лицензий и уникальный идентификатор импортирующего МНЛ-S. При этом на экспортирующем МНЛ-S уменьшается число доступных для экспорта лицензий, увеличивается значение специального внутреннего счетчика экспорта и формируется файл лицензий. В последнем хранится информация о продукте, числе лицензий, экспортирующем и импортирующем МНЛ-S, и текущее значение вышеуказанного счетчика. Затем данный файл наиболее удобным способом транспортируют к импортирующему МНЛ-S. Далее администратор или пользователь последнего производит импорт этого файла, в результате чего в импортирующем МНЛ-S увеличивается число лицензий и запоминается соответствие значений счетчика и идентификатора экспортирующего МНЛ-S.
Признаком легальности каждой последующей экспортно-импортной операции явится превышение значения счетчика экспортирующего MHЛ-S с данным идентификатором, записанного в файле, сохраненного ранее значения. В противном случае проведение операции невозможно.
ИСТОЧНИКИ ИНФОРМАЦИИ
1. Скляров Д.В. Искусство защиты и взлома информации - СПб.: БХВ-Петербург, 2004-288 с.
2. Сервер лицензий. Материал из Википедии.
https://ru.wikipedia.org/w/index.php?title=Cepвep_лицензий&oldid=65831784.
3. Асимметричная криптография при лицензировании подписочного ПО на практическом примере.
https://habrahabr.ru/post/123908/
4. Ведущее устройство. Материал из Википедии.
https://ru.wikipedia.org/w/index.php?title=Ведущее_устройство&oldid=79537068
5. Грунтович М.М., Конявский В.А. и Тюнин В.А. (авторы).
Мобильное устройство защищенного хранения и обработки информации. Патент России на полезную модель RU 158714 U1, МПК G06F 21/57.
Реферат
Изобретение относится к области лицензирования платного (подписочного) программного обеспечения (ПО) компьютерных средств. Техническим результатом является создание способа лицензирования, по надежности противодействия пиратскому использования лицензионного ПО не уступающего способам, основанным на применении аппаратных ключей защиты (АКЗ), и в то же время по эффективности и простоте применения, в частности, при необходимости лицензирования множества копий ПО для одного коллективного пользователя, не уступающего способам, основанным на использовании физических серверов лицензий (ФСЛ). Раскрыт способ лицензирования программного обеспечения (ПО) при помощи аппаратных средств с использованием асимметричной криптографии для формирования электронной подписи (ЭП) на лицензиях, основанный на поставке не самих лицензий - кодов активации ПО, а частей данных для их генерации - ключей, в котором при генерации лицензий используют идентификаторы оборудования (ИО) - уникальные данные компьютеров, предназначенных для использования лицензируемого ПО, отличающийся тем, что в качестве аппаратных средств используют комплект из двух типов мобильных USB-устройств, взаимодействующих, будучи совместно подключенными к компьютеру продавца лицензий, по принципу «ведущий-ведомый» (Master-Slave - M-S) - мобильных носителей лицензий (МНЛ), представляющих собой специализированные носители информации, содержащие процессоры, управляющие доступом к хранящимся в них данным, в первый тип которых (МНЛ-М) на стороне продавца лицензий единожды - для каждого типа лицензируемого ПО - заносят ключ, необходимый для формирования ЭП на соответствующих лицензиях, и дополнительные данные для их генерации, а во второй тип (МНЛ-S) из МНЛ-М переносят вышеуказанные ключи формирования лицензий и дополнительные данные для генерации необходимого их числа, причем МНЛ-М выпускают в единственном экземпляре и закрепляют за продавцом лицензий, а МНЛ-S выпускают в количестве, равном числу покупателей лицензий, и физически поставляют последним. 3 з.п. ф-лы.
