本發明涉及License代理技術領域，提供一種基于硬件可信信任鏈的License安全代理方法和平臺，本發明的方法，包括：通過硬件加密機生成License校驗需要的證書和私鑰，將生成的證書和私鑰進行預置；向License授權簽發系統申請License授權文件；將申請獲得的License授權文件導入至License授權代理模塊；通過業務終端模塊向License授權代理模塊申請授權配額，在License授權代理模塊與業務終端模塊完成雙向校驗后，License授權代理模塊為業務終端模塊分配授權資源。根據本發明示例性實施例的基于硬件可信信任鏈的License安全代理方法和平臺，可以降低代理和終端之間雙向認證的復雜度，提高License代理的安全性。

技術領域

本發明涉及License代理技術領域，尤其涉及一種基于硬件可信信任鏈的License安全代理方法和平臺。

背景技術

對于大型復雜的業務系統或者存在眾多客戶端的業務集群，License分發通常需要使用授權代理機制，即授權中心將整個業務系統或者眾多應用終端組成的配額集合簽發給License授權代理，再由授權代理將配額分發給具體的業務模塊或應用終端。

典型場景如：1.某大型業務系統有A/B/C/D等多個業務子系統，對于每個具體的市場項目，每個業務子系統有自己的授權規格需求，為了方便管理，由License授權中心統一執行授權管理。2.某大型企業辦公環境有大量的軟硬件終端需要授權(如桌面版軟件)，如果每套軟硬件分別執行獨立的License管理會非常麻煩，因此通常會在企業內部環境部署License代理，全量授權一次性下發給代理，單個終端向License代理申請授權。

在實際應用中，代理模式下，License代理服務器與業務模塊或者應用終端之間需要有安全的雙向認證機制。代理服務需要驗證申請終端的合法性，避免授權被濫用；終端應用要驗證代理服務的合法性，避免中間人偽造代理假冒授權。但是由于很多大型業務系統部署在隔離的局域網或者封閉環境內，不具備互聯網認證的條件。常見的授權管理方案只對授權導入License代理服務時執行安全校驗，對于業務模塊或者軟硬件終端的授權行為未做嚴格的安全認證。導致現有的License授權代理機制存在以下缺陷和不足：1.偽造終端申請授權時，代理無法識別；2.假冒代理提供授權能力時，終端應用無法識別；3.證書和私鑰通過軟件存儲的方案存在泄露和被篡改的風險。

因此，如何提供進一步提高License授權代理的安全性，成為亟待解決的技術問題。

發明內容

有鑒于此，本發明主要解決的是在加強License代理安全性的同時簡化了代理和終端之間的認證復雜度。

一方面，本發明提供一種基于硬件可信信任鏈的License安全代理方法，包括：

步驟S1：通過硬件加密機生成License校驗需要的證書和私鑰，將生成的證書和私鑰進行預置；

步驟S2：向License授權簽發系統申請License授權文件；

步驟S3：將申請獲得的License授權文件導入至License授權代理模塊；

步驟S4：通過業務終端模塊向License授權代理模塊申請授權配額，在License授權代理模塊與業務終端模塊完成雙向校驗后，License授權代理模塊為業務終端模塊分配授權資源。

進一步地，本發明基于硬件可信信任鏈的License安全代理方法的步驟S1，包括：

步驟S11：通過硬件加密機生成根證書/根私鑰，將根私鑰保存至硬件加密機；

步驟S12：通過硬件加密機為License授權代理模塊生成二級證書/私鑰，在生成的二級證書CN字段中記錄License授權代理模塊的身份信息，將所述二級證書/私鑰和步驟S11生成的根證書保存至License授權代理模塊中的可信硬件環境單元；