本發(fā)明公開(kāi)了一種產(chǎn)品許可認(rèn)證方法和系統(tǒng)，方法包括：在部署認(rèn)證前，基于TPM中的硬件平臺(tái)公鑰生成對(duì)應(yīng)的許可授權(quán)根證書和許可認(rèn)證策略并存儲(chǔ)到TPM；在部署認(rèn)證時(shí)，在TPM中生成唯一標(biāo)識(shí)信息，并基于唯一標(biāo)識(shí)信息和許可認(rèn)證策略產(chǎn)生許可文件并反饋到TPM，以在TPM中使用許可授權(quán)根證書校驗(yàn)許可文件；在部署認(rèn)證后，響應(yīng)于產(chǎn)品運(yùn)行而對(duì)由許可認(rèn)證引擎使用從TPM讀取的許可文件來(lái)校驗(yàn)單次產(chǎn)品運(yùn)行提供的許可認(rèn)證，以獲得認(rèn)證結(jié)果。本發(fā)明能夠防止逆向分析和旁路許可認(rèn)證，進(jìn)而提高系統(tǒng)安全。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，更具體地，特別是指一種產(chǎn)品許可認(rèn)證方法和系統(tǒng)。

背景技術(shù)

隨著技術(shù)的發(fā)展，面向數(shù)據(jù)中心場(chǎng)景的軟硬一體交付產(chǎn)品越來(lái)越多，如面向邊緣場(chǎng)景的邊緣一體機(jī)、面向區(qū)塊鏈應(yīng)用場(chǎng)景的區(qū)塊鏈一體機(jī)、面向人工智能應(yīng)用場(chǎng)景的人工智能一體機(jī)（提供計(jì)算力及計(jì)算模型）、面向數(shù)據(jù)中心的超融合產(chǎn)品等，這些產(chǎn)品的核心能力主要來(lái)自軟件，為了防止客戶、ISV或競(jìng)爭(zhēng)對(duì)手等惡意繞過(guò)license（許可）認(rèn)證獲取軟件全部功能正在成為相關(guān)產(chǎn)品的版權(quán)管理、功能授權(quán)管理的重要內(nèi)容之一。

當(dāng)前軟件部分的license認(rèn)證主要基于軟件實(shí)現(xiàn)、提取的唯一標(biāo)識(shí)信息大多為CPUID（處理器標(biāo)識(shí)）、MAC（硬件物理地址）等，這些信息大多可以基于虛擬機(jī)進(jìn)行偽造，相關(guān)認(rèn)證過(guò)程全部基于軟件實(shí)現(xiàn)易被逆向分析和旁路，因而無(wú)法保障安全性。

針對(duì)現(xiàn)有技術(shù)中認(rèn)證過(guò)程易被逆向分析和旁路、無(wú)法保障安全性的問(wèn)題，目前尚無(wú)有效的解決方案。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例的目的在于提出一種產(chǎn)品許可認(rèn)證方法和系統(tǒng)，能夠防止逆向分析和旁路許可認(rèn)證，進(jìn)而提高系統(tǒng)安全。

基于上述目的，本發(fā)明實(shí)施例的第一方面提供了一種產(chǎn)品許可認(rèn)證方法，包括執(zhí)行以下步驟：

在部署認(rèn)證前，基于TPM（可信平臺(tái)模塊）中的硬件平臺(tái)公鑰生成對(duì)應(yīng)的許可授權(quán)根證書和許可認(rèn)證策略并存儲(chǔ)到TPM；

在部署認(rèn)證時(shí)，在TPM中生成唯一標(biāo)識(shí)信息，并基于唯一標(biāo)識(shí)信息和許可認(rèn)證策略產(chǎn)生許可文件并反饋到TPM，以在TPM中使用許可授權(quán)根證書校驗(yàn)許可文件；

在部署認(rèn)證后，響應(yīng)于產(chǎn)品運(yùn)行而對(duì)由許可認(rèn)證引擎使用從TPM讀取的許可文件來(lái)校驗(yàn)單次產(chǎn)品運(yùn)行提供的許可認(rèn)證，以獲得認(rèn)證結(jié)果。

在一些實(shí)施方式中，基于TPM中的硬件平臺(tái)公鑰生成對(duì)應(yīng)的許可授權(quán)根證書和許可認(rèn)證策略并存儲(chǔ)到TPM包括：

從TPM中提取硬件平臺(tái)公鑰；

基于硬件平臺(tái)公鑰生成許可授權(quán)根證書，其中許可授權(quán)根證書包括硬件平臺(tái)的出廠配置基準(zhǔn)值；

基于許可授權(quán)根證書生成許可認(rèn)證策略；

將許可授權(quán)根證書和許可認(rèn)證策略存儲(chǔ)到TPM。

在一些實(shí)施方式中，在TPM中生成唯一標(biāo)識(shí)信息包括：讀取TPM的平臺(tái)密鑰種子、平臺(tái)配置信息、和內(nèi)部處理器標(biāo)識(shí)，以使用哈希算法處理獲得的消息摘要作為唯一標(biāo)識(shí)，并使用TPM的硬件平臺(tái)私鑰簽名唯一標(biāo)識(shí)。

在一些實(shí)施方式中，基于唯一標(biāo)識(shí)信息和許可認(rèn)證策略產(chǎn)生許可文件包括：

基于許可認(rèn)證策略驗(yàn)證外部平臺(tái)的合法性；

使用許可授權(quán)根證書的私鑰簽名唯一標(biāo)識(shí)以產(chǎn)生許可文件。

在一些實(shí)施方式中，由許可認(rèn)證引擎使用從TPM讀取的許可文件來(lái)校驗(yàn)單次產(chǎn)品運(yùn)行提供的許可認(rèn)證包括：使用許可授權(quán)根證書的公鑰和硬件平臺(tái)公鑰加密許可文件，并在TPM中使用許可授權(quán)根證書校驗(yàn)以獲得認(rèn)證結(jié)果。

本發(fā)明實(shí)施例的第二方面提供了一種產(chǎn)品許可認(rèn)證系統(tǒng)，包括：

處理器；和