[发明专利]一种用于软件使用授权的方法

说明书

本申请涉及一种软件使用授权的方法。终端设备的Rich OS上运行客户端程序，TEE中运行TA，TA和服务器中分别保存通信密钥和授权密钥，所述方法包括：TA利用预存的通信密钥对客户端程序生成的组织请求报文进行处理并加密，得到请求密文；密文上送至服务器，以使服务器校验请求密文得到授权响应密文并下发授权响应密文至客户端程序；TA从客户端程序接收授权响应密文，验证后在TEE中存储授权凭证，对移动设备进行授权使用。不仅能够实现严格的一设备一授权，无法篡改、复制、共享授权凭证；而且可以显著提升授权机制的用户体验，无需额外硬件。

技术领域

本申请涉及安全技术领域，特别是涉及一种用于软件使用授权的方法。

背景技术

随着移动安全技术的发展，越来越多的软件开发商(区别于在线服务提供商)，希望其研发的软件产品的使用权能够被保护，仅允许被授权的终端设备运行该软件产品。这种方法要求软件开发商在将软件产品交付客户后，对软件在终端设备上的运行许可进行授权管理。

然而现有技术中，客户需要购买硬件盾(加密狗、加密U盘、密钥钥匙等)，使用软件时,用户将硬件盾插入设备，通过硬件盾提供的密码功能服务对软件运行授权。该种方法中则会出现的例如因采购硬件盾需要承担额外的设备成本而导致的硬件设备成本高的问题、因要通过线下渠道将硬件盾交付到最终用户手上，物流、渠道、维修成本高导致的交付以及部署成本高的问题、以及使用过程中因使用流程繁琐导致的硬件设备成本高的问题。

在其他现有技术中，用户可以从服务商获得授权码、注册码，输入软件后获取软件的使用权，然而该种方法中也存在着保护措施安全性差的问题，当软件程序运行在不可信的执行环境时，授权码的计算过程可能被破解，可能通过篡改授权状态绕过授权保护机制。

本发明的目的，在于提供一种软件使用授权的方法，使软件在使用授权时，能够确保授权机制的有效性和安全性。

发明内容

基于此，有必要针对上述技术问题，提供一种能够既可以保证程序安全又提高用户体验的用于终端设备的使用授权方法。

一种软件使用授权的方法，其特征在于，包括终端设备1、服务器2，终端设备1和服务器2通过网络连接；

终端设备1中安装有富系统11以及可信执行环境12；

富系统11上运行客户端程序111，可信执行环境12中运行可信应用TA121；

客户端程序111实现TA121与服务器2之间的安全通信链路；

TA121实现密码服务功能，通过密码服务功能实现对需要授权的软件进行管控；

TA121和服务器2中保存通讯密钥，用于在TA121与服务器2之间建立安全通信链路；

TA121和服务器2中还保存有授权密钥：服务器2使用授权密钥授权凭证签名。TA121验证授权凭证签名；

软件使用授权的方法包括：

步聚S1，针对需要授权的软件，客户端程序111向可信应用TA121发送授权请求报文，授权请求报文包括终端设备1信息、授权目标信息；

步骤S2，可信应用TA121处理授权请求报文并使用通讯密钥对处理结果以及授权请求报文进行加密生成授权请求密文回送；

步骤S3，客户端程序111上送授权请求密文给服务器2；

步聚S4，服务器2使用通讯密钥解密的授权请求密文，并验证授权请求合法性以及完整性，签署授权凭证并下发授权响应密文至客户端程序111；

步聚S5，客户端程序111将授权响应密文发TA121；