一种对软件服务做激活授权管理的系统及方法技术方案

本发明专利技术公开了一种对软件服务做激活授权管理的系统及方法，系统包括：待激活产品、激活授权服务程序和统一授权license管理系统，待激活产品出厂预置在具有可信执行环境的终端中。本发明专利技术通过统一授权license管理系统对授权license文件进行统一管理，可以将待激活产品的激活或授权使用权有控制的分配给授权代理层即激活授权服务程序，做到有效的功能解耦和管控，减少升级维护成本，同时，方便扩展对新产品授权的支持；并且使用TEE技术和密码学加解密技术对授权license文件和产品激活过程进行安全保护，极大的提高了产品激活过程的安全性。

A system and method of activation authorization management for software service

【技术实现步骤摘要】
一种对软件服务做激活授权管理的系统及方法
本专利技术涉及软件服务激活授权领域，具体涉及一种对软件服务做激活授权管理的系统及方法。
技术介绍
随着TEE技术的广泛应用，越来越多的基于TEE架构的安全产品产生，目前市场上基于此技术架构的一款名为“手机盾”的安全产品，在手机上实现身份认证、数据报文安全传输、数据加解密、数据签名等功能，确保手机用户的交易安全，减少用户敏感数据被窃取和攻击的风险，避免用户财产损失。目前市场上的手机盾产品被公安部三所-警务通项目采纳，并在具有TEE架构的华为手机一些型号产品上做了定制开发，出厂预置了手机盾应用，并使用手机盾应用来做数据信息安全保护。手机盾在预置的出厂状态在并不能直接使用，必须经过激活授权后才能正常使用。由于公安部三所下辖的各省级单位对手机盾有各自的要求并且需要独立使用与管理，所以需要在各个省级单位均部署一套激活服务器及开盾服务器，进行省级区域性的手机盾产品及业务的分类管理。同时，由于手机盾所依赖的终端(包括手机)并非关联产品，终端出售后最终使用用户并不能事先确定，所以并不能在手机盾产品出厂前就进行与用户绑定关系。因此，采用后期动态绑定的方式进行用户、终端、手机盾产品、省份等信息的授权绑定。考虑到不同的省都有自己激活授权服务器，同时后续还有其他项目或产品根据需求定制激活授权服务程序，对激活授权方式与类型也是会多种多样，同时维护这么多的激活授权服务器中的手机盾应用激活授权会很不方便，对后期的维护和升级管理会比较困难，维护成本较高，所以目前亟需设计一种针对不同产品激活服务提供统一的激活授权管理系统，方便管理和后期维护，减少成本，同时还需确保在授权管理过程中敏感数据的安全。
技术实现思路
针对现有技术中存在的缺陷，本专利技术的目的在于提供一种对软件服务做激活授权管理的系统及方法，实现对软件服务做激活授权license统一管理，并使用密码学加解密技术和TEE安全架构技术来做到密钥安全存储与使用。为实现上述目的，本专利技术采用的技术方案如下：一种对软件服务做激活授权管理的系统，所述系统包括：待激活产品、激活授权服务程序和统一授权license管理系统，所述待激活产品出厂预置在具有可信执行环境的终端中；所述激活授权服务程序用于向所述统一授权license管理系统发送license授权请求订单并接收反馈的授权license密文文件；所述统一授权license管理系统用于对接收的所述license授权请求订单进行审核，审核通过后生成所述授权license密文文件并反馈给所述激活授权服务程序；所述待激活产品用于向所述激活授权服务程序发送身份鉴权请求并接收反馈的身份鉴权响应信息，身份鉴权通过后向所述激活授权服务程序发送激活或授权请求并接收反馈的激活或授权响应信息，确定激活或授权成功；所述激活授权服务程序还用于对接收的所述身份鉴权请求进行身份鉴权合法性验证，生成所述身份鉴权响应信息并反馈给所述待激活产品，还用于根据接收的所述激活或授权请求和所述授权license密文文件生成所述激活或授权响应信息并反馈给所述待激活产品。进一步，如上所述的一种对软件服务做激活授权管理的系统，所述待激活产品出厂时，所述待激活产品的产品信息存储在所述终端的TA层或SE层，所述产品信息包括产品编号、激活策略、激活算法和激活密钥。进一步，如上所述的一种对软件服务做激活授权管理的系统，所述统一授权license管理系统用于配置license签名密钥对，所述待激活产品的产品信息，所述激活授权服务程序的授权ID，还通过license保护根密钥配置所述激活授权服务程序的license保护子密钥，所述license签名密钥对包括license签名公钥和license签名私钥。进一步，如上所述的一种对软件服务做激活授权管理的系统，所述激活授权服务程序还用于配置设置所述统一授权license管理系统分配下发的授权ID和license保护子密钥、license签名公钥。进一步，如上所述的一种对软件服务做激活授权管理的系统，所述激活授权服务程序具体用于：通过自身的license签名公钥对license授权请求订单进行加密，将加密后的license授权请求订单发送给所述统一授权license管理系统。进一步，如上所述的一种对软件服务做激活授权管理的系统，所述统一授权license管理系统具体用于：通过所述license签名私钥对接收的所述license授权请求订单进行解密，对解密后的所述license授权请求订单进行审核，审核通过后生成授权license数据，通过所述license签名私钥对所述授权license数据进行数据签名后通过所述激活授权服务程序对应的license保护子密钥进行加密，获取授权license密文，通过混淆算法对所述授权license密文进行混淆，通过所述激活授权服务程序对应的license保护子密钥对混淆后的所述授权license密文进行MAC计算，获取MAC结果，将混淆后的所述授权license密文和所述MAC结果一并生成授权license密文文件并发送给所述激活授权服务程序。进一步，如上所述的一种对软件服务做激活授权管理的系统，所述激活授权服务程序具体用于：通过自身的license签名公钥对接收的所述授权license密文文件进行数据签名验证，验证通过后通过自身的license保护子密钥进行解密，得到所述license授权请求订单对应的授权license数据，并将该授权license数据存储在数据库或加密机中。进一步，如上所述的一种对软件服务做激活授权管理的系统，所述待激活产品还用于：通过所述激活密钥对所述激活或授权请求中的敏感数据进行加密和完整性保护。进一步，如上所述的一种对软件服务做激活授权管理的系统，所述激活授权服务程序具体用于：在已授权的license数据中查找所述激活或授权请求对应的产品授权信息，找到后通过所述授权license数据中的激活密钥对所述产品授权信息进行验证，验证通过后生成激活码，通过所述授权license数据中的激活密钥对所述激活码进行加密，生成所述激活或授权响应信息并发送给所述待激活产品，记录并动态绑定所述待激活产品与所述终端和所述用户信息；所述待激活产品具体用于：通过所述激活密钥对接收的所述激活或授权响应信息进行验证，验证通过后确定激活或授权成功，并将状态由初始状态转换为已授权启用状态。本专利技术实施例中还提供了一种对软件服务做激活授权管理的方法，所述方法包括：(1)待激活产品出厂预置在具有可信执行环境的终端中，所述待激活产品的产品信息存储在所述终端的TA层或SE层，所述产品信息包括产品编号、激活策略、激活算法和激活密钥；(2)统一授权license管理系统配置license签名密钥对，所述待激活产品的产品信息，所述激活授权服务程序的授权ID，还通过license保护根密钥配置所述激活授权服务程序的li本文档来自技高网...

【技术保护点】
1.一种对软件服务做激活授权管理的系统，其特征在于，所述系统包括：待激活产品、激活授权服务程序和统一授权license管理系统，所述待激活产品出厂预置在具有可信执行环境的终端中；/n所述激活授权服务程序用于向所述统一授权license管理系统发送license授权请求订单并接收反馈的授权license密文文件；/n所述统一授权license管理系统用于对接收的所述license授权请求订单进行审核，审核通过后生成所述授权license密文文件并反馈给所述激活授权服务程序；/n所述待激活产品用于向所述激活授权服务程序发送身份鉴权请求并接收反馈的身份鉴权响应信息，身份鉴权通过后向所述激活授权服务程序发送激活或授权请求并接收反馈的激活或授权响应信息，确定激活或授权成功；/n所述激活授权服务程序还用于对接收的所述身份鉴权请求进行身份鉴权合法性验证，生成所述身份鉴权响应信息并反馈给所述待激活产品，还用于根据接收的所述激活或授权请求和所述授权license密文文件生成所述激活或授权响应信息并反馈给所述待激活产品。/n

【技术特征摘要】
1.一种对软件服务做激活授权管理的系统，其特征在于，所述系统包括：待激活产品、激活授权服务程序和统一授权license管理系统，所述待激活产品出厂预置在具有可信执行环境的终端中；
所述激活授权服务程序用于向所述统一授权license管理系统发送license授权请求订单并接收反馈的授权license密文文件；
所述统一授权license管理系统用于对接收的所述license授权请求订单进行审核，审核通过后生成所述授权license密文文件并反馈给所述激活授权服务程序；
所述待激活产品用于向所述激活授权服务程序发送身份鉴权请求并接收反馈的身份鉴权响应信息，身份鉴权通过后向所述激活授权服务程序发送激活或授权请求并接收反馈的激活或授权响应信息，确定激活或授权成功；
所述激活授权服务程序还用于对接收的所述身份鉴权请求进行身份鉴权合法性验证，生成所述身份鉴权响应信息并反馈给所述待激活产品，还用于根据接收的所述激活或授权请求和所述授权license密文文件生成所述激活或授权响应信息并反馈给所述待激活产品。


2.根据权利要求1所述的一种对软件服务做激活授权管理的系统，其特征在于，所述待激活产品出厂时，所述待激活产品的产品信息存储在所述终端的TA层或SE层，所述产品信息包括产品编号、激活策略、激活算法和激活密钥。


3.根据权利要求2所述的一种对软件服务做激活授权管理的系统，其特征在于，所述统一授权license管理系统用于配置license签名密钥对，所述待激活产品的产品信息，所述激活授权服务程序的授权ID，还通过license保护根密钥配置所述激活授权服务程序的license保护子密钥，所述license签名密钥对包括license签名公钥和license签名私钥。


4.根据权利要求3所述的一种对软件服务做激活授权管理的系统，其特征在于，所述激活授权服务程序还用于配置设置所述统一授权license管理系统分配下发的授权ID和license保护子密钥、license签名公钥。


5.根据权利要求4所述的一种对软件服务做激活授权管理的系统，其特征在于，所述激活授权服务程序具体用于：
通过自身的license签名公钥对license授权请求订单进行加密，将加密后的license授权请求订单发送给所述统一授权license管理系统。


6.根据权利要求5所述的一种对软件服务做激活授权管理的系统，其特征在于，所述统一授权license管理系统具体用于：
通过所述license签名私钥对接收的所述license授权请求订单进行解密，对解密后的所述license授权请求订单进行审核，审核通过后生成授权license数据，通过所述license签名私钥对所述授权license数据进行数据签名后通过所述激活授权服务程序对应的license保护子密钥进行加密，获取授权license密文，通过混淆算法对所述授权license密文进行混淆，通过所述激活授权服务程序对应的license保护子密钥对混淆后的所述授权license密文进行MAC计算，获取MAC结果，将混淆后的所述授权license密文和所述MAC结果一并生成授权license密文文件并发送给所述激活授权服务程序。


7.根据权利要求6所述的一种对软件服务做激活授权管理的系统，其特征在于，所述激活授权服务程序具体用于：
通过自身的license签名公钥对接收的所述授权license密文文件进行数据签名验证，验证通过后通过自身的license保护子密钥进行解密，得到所述license授权请求订单对应的授权license数据，并将该授权license数据存储在数据库或加密机中。


8.根据权利要求7所述的一种对软件服务做激活授权管理的系统，其特征在于，所述待激活产品还用于：
通过所述激活密钥对所述激活或...

【专利技术属性】
技术研发人员：贾建明，
申请(专利权)人：北京握奇智能科技有限公司，
类型：发明
国别省市：北京;11