[发明专利]一种基于硬件可信信任链的License安全代理方法和平台

说明书

本发明涉及License代理技术领域，提供一种基于硬件可信信任链的License安全代理方法和平台，本发明的方法，包括：通过硬件加密机生成License校验需要的证书和私钥，将生成的证书和私钥进行预置；向License授权签发系统申请License授权文件；将申请获得的License授权文件导入至License授权代理模块；通过业务终端模块向License授权代理模块申请授权配额，在License授权代理模块与业务终端模块完成双向校验后，License授权代理模块为业务终端模块分配授权资源。根据本发明示例性实施例的基于硬件可信信任链的License安全代理方法和平台，可以降低代理和终端之间双向认证的复杂度，提高License代理的安全性。

技术领域

本发明涉及License代理技术领域，尤其涉及一种基于硬件可信信任链的License安全代理方法和平台。

背景技术

对于大型复杂的业务系统或者存在众多客户端的业务集群，License分发通常需要使用授权代理机制，即授权中心将整个业务系统或者众多应用终端组成的配额集合签发给License授权代理，再由授权代理将配额分发给具体的业务模块或应用终端。

典型场景如：1.某大型业务系统有A/B/C/D等多个业务子系统，对于每个具体的市场项目，每个业务子系统有自己的授权规格需求，为了方便管理，由License授权中心统一执行授权管理。2.某大型企业办公环境有大量的软硬件终端需要授权(如桌面版软件)，如果每套软硬件分别执行独立的License管理会非常麻烦，因此通常会在企业内部环境部署License代理，全量授权一次性下发给代理，单个终端向License代理申请授权。

在实际应用中，代理模式下，License代理服务器与业务模块或者应用终端之间需要有安全的双向认证机制。代理服务需要验证申请终端的合法性，避免授权被滥用；终端应用要验证代理服务的合法性，避免中间人伪造代理假冒授权。但是由于很多大型业务系统部署在隔离的局域网或者封闭环境内，不具备互联网认证的条件。常见的授权管理方案只对授权导入License代理服务时执行安全校验，对于业务模块或者软硬件终端的授权行为未做严格的安全认证。导致现有的License授权代理机制存在以下缺陷和不足：1.伪造终端申请授权时，代理无法识别；2.假冒代理提供授权能力时，终端应用无法识别；3.证书和私钥通过软件存储的方案存在泄露和被篡改的风险。

因此，如何提供进一步提高License授权代理的安全性，成为亟待解决的技术问题。

发明内容

有鉴于此，本发明主要解决的是在加强License代理安全性的同时简化了代理和终端之间的认证复杂度。

一方面，本发明提供一种基于硬件可信信任链的License安全代理方法，包括：

步骤S1：通过硬件加密机生成License校验需要的证书和私钥，将生成的证书和私钥进行预置；

步骤S2：向License授权签发系统申请License授权文件；

步骤S3：将申请获得的License授权文件导入至License授权代理模块；

步骤S4：通过业务终端模块向License授权代理模块申请授权配额，在License授权代理模块与业务终端模块完成双向校验后，License授权代理模块为业务终端模块分配授权资源。

进一步地，本发明基于硬件可信信任链的License安全代理方法的步骤S1，包括：

步骤S11：通过硬件加密机生成根证书/根私钥，将根私钥保存至硬件加密机；

步骤S12：通过硬件加密机为License授权代理模块生成二级证书/私钥，在生成的二级证书CN字段中记录License授权代理模块的身份信息，将所述二级证书/私钥和步骤S11生成的根证书保存至License授权代理模块中的可信硬件环境单元；