(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211114049.0 (22)申请日 2022.09.14 (71)申请人 中电云数智科技有限公司 地址 430058 湖北省武汉市蔡甸区经济技 术开发区人工智能科技园N栋研发楼3 层N3013号 (72)发明人 周喜　邓覃思　 (74)专利代理 机构 北京尚钺知识产权代理事务 所(普通合伙) 11723 专利代理师 王海荣 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/12(2013.01) H04L 9/32(2006.01) (54)发明名称 一种基于硬件可信信任链的License授权方 法和系统 (57)摘要 本发明涉及License授权技术领域， 提供一 种基于硬件可信信任链的Lic ense授权方法和系 统， 本发明的方法， 包括： 通过根证书在客户端 生 成客户端私钥和客户端证书， 在服务端生成产品 私钥和产品证书； 通过客户端私钥对客户端环境 信息进行签名加密； 根据授权内容和客户端环境 信息生成授权文件； 通过合法的产品证书导入授 权文件， 并通过接口对外提供服务。 本发明的系 统， 包括： License授权服务端， 由产品管理模 块、 服务端授权管理模块以及硬件加密机组成； License授权客户端， 由客户端授权管理模块和 可信硬件环 境模块组成。 本发明基于硬件可信信 任链的License授权方法和系统， 可以提高 License授权的安全性、 管理效率， 降低License 授权的成本 。 权利要求书2页 说明书7页 附图3页 CN 115484094 A 2022.12.16 CN 115484094 A 1.一种基于硬件可信 信任链的L icense授权方法， 其特 征在于， 所述方法， 包括： 步骤S1： 通过根证书在客户端生成客户端私钥和客户端证书， 在服务端生成产品私钥 和产品证书； 步骤S2： 通过客户端私钥对客户端环境信息进行签名加密； 步骤S3： 根据授权内容和客户端环境信息生成授权文件； 步骤S4： 通过合法的产品证书导入授权文件， 并通过接口对外提供服 务。 2.根据权利要求1所述的基于硬件可信信任链的License授权方法， 其特征在于， 步骤 S1， 包括： 步骤S11： 根据系统初始化请求签发根证书， 分别将根证书存 储于服务端和客户端； 步骤S12： 通过客户端的根证书生成客户端私钥和客户端证书， 将生成的客户端私钥和 客户端证书存 储在客户端的可信硬件环境中； 步骤S13： 根据产品创建请求， 通过服务端的根证书生成产品私钥和产品证书， 将生成 的产品私钥和产品证书存 储在服务端的硬件加密机中。 3.根据权利要求1所述的基于硬件可信信任链的License授权方法， 其特征在于， 步骤 S2， 包括： 通过存储在可信硬件环境中的客户端私钥对客户端环 境信息进 行签名加密， 将客 户端证书放置 到签名加密后的客户端环境信息中。 4.根据权利要求1所述的基于硬件可信信任链的License授权方法， 其特征在于， 步骤 S3， 包括： 步骤S31： 根据授权申请 请求， 采用产品私钥对授权内容进行签名， 生成签名授权信息； 步骤S32： 获取客户端环境信息并校验客户端环境信息中客户端证书的有效性； 步骤S33： 采用通过验证的客户端证书对客户端环境信息进行验签解密； 步骤S34： 将产品证书和验签解密后的客户端环境信息放置在签名授权信息中形成授 权数据； 步骤S35： 对步骤S34中的授权数据进行加密， 生成授权文件。 5.根据权利要求1所述的基于硬件可信信任链的License授权方法， 其特征在于， 步骤 S4， 包括： 步骤S41： 通过存 储在客户端的根证书验证授权文件中产品证书的合法性； 步骤S42： 采用通过验证的产品证书对授权文件进行验签解密； 步骤S43： 同时验证客户端环境信息以及对签名授权信 息进行格 式化， 通过接口方式对 外提供信息查询服 务。 6.一种基于硬件可信 信任链的L icense授权系统， 其特 征在于， 所述系统， 包括： License授权服务端， 由产品管理模块、 服务端授权管理模块以及硬件加密机组成， 其 中， 产品管理模块由系统初始 化单元、 产品创建单元以及授权申请单元组成； 服务端授权管 理模块由授权信息签名单元、 客户端证书校验单元、 环境信息验证单元以及授权信息加密 单元组成； 硬件加密机用于根据系统初始化请求签发根证书， 分别将根证书存储于服务端 和客户端， 通过客户端的根证书生成客户端私钥和客户端证书， 将生成的客户端私钥和客 户端证书存储在客户端的可信硬件环境模块中， 根据产品创建请求， 通过服务端的根证书 生成并存储产品私钥和产品证书， 以及向服务端授权管 理模块提供API接口， 使服务端授权 管理模块通过API接口在加密机内完成授权信息签名、 客户端证书校验、 环 境信息验证以及权　利　要　求　书 1/2 页 2 CN 115484094 A 2授权信息加密； License授权客户端， 由客户端授权管理模块和可信硬件环境模块组成， 其中， 客户端 授权管理模块由环境信息签名加密单元、 授权信息验证解密单元、 授权信息格式化单元和 授权信息接口单元组成； 可信硬件环境模块用于存储客户端私钥和客户端证书， 以及向客 户端授权管理模块提供API接口， 使客户端授权管理模块在可信硬件环境模块内完成环境 信息签名加密、 授权信息验证解密、 授权信息格式化和授权信息 接口提供。 7.根据权利要求6所述的基于硬件可信信任链的License授权系 统， 其特征在于， 产品 管理模块中， 系统初始化单元用于发送系统初始化请求， 产品创建单元用于发送产品创建 请求， 授权申请单 元用于发送 授权申请 请求。 8.根据权利要求6所述的基于硬件可信信任链的License授权系 统， 其特征在于， 服务 端授权管理模块中， 授权信息签名单元用于根据授权申请请求， 采用产品私钥对授权内容 进行签名， 生成签名授权信息； 客户端证书校验单元用于校验客户端环境信息中客户端证 书的有效性； 环境信息验证单元用于获取客户端环境信息， 采用通过验证的客户端证书对 客户端环境信息进行验签解密； 授权信息加密单元用于将产品证书和验签解密后的客户端 环境信息放置在签名授权信息中形成授权数据， 对授权数据进行加密， 生成授权文件。 9.根据权利要求6所述的基于硬件可信信任链的License授权系 统， 其特征在于， 客户 端授权管理模块中， 环境信息签名加密单元用于通过存储在硬件系统中的客户端私钥对客 户端环境信息进行签名 加密， 将客户端证书放置到签名 加密后的客户端环境信息中； 授权 信息验证解密单元用于通过存储在客户端的根证书验证授权文件中产品证书的合法性， 采 用通过验证的产品证书对授权文件进 行验签解密； 授权信息格式化单元用于验证客户端环 境信息以及 对签名授权信息进 行格式化； 授权信息接口单元用于通过接口方式对外提供信 息查询服 务。 10.一种终端设备， 其特征在于， 其特征在于， 所述终端设备包括存储器、 处理器及存储 在所述存储器上并可在所述处理器上运行的计算机程序， 所述处理器执行所述程序时实现 权利要求1 ‑5中任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115484094 A 3