1.一种软件使用授权的方法,其特征在于,包括终端设备(1)、服务器(2),终端设备(1)和服务器(2)通过网络连接;
终端设备(1)中安装有富系统(11)以及可信执行环境(12);
富系统(11)上运行客户端程序(111),可信执行环境(12)中运行可信应用ta(121);
客户端程序(111)实现ta(121)与服务器(2)之间的安全通信链路;
ta(121)实现密码服务功能,通过密码服务功能实现对需要授权的软件进行管控;
ta(121)和服务器(2)中保存通讯密钥,用于在ta(121)与服务器(2)之间建立安全通信链路;
ta(121)和服务器(2)中还保存有授权密钥:服务器(2)使用授权密钥对授权凭证签名;ta(121)验证授权凭证签名;
软件使用授权的方法包括:
步聚1(s1),针对需要授权的软件,客户端程序(111)向可信应用ta(121)发送授权请求报文,所述授权请求报文包括所述终端设备(1)信息、授权目标信息;
步骤2(s2),可信应用ta(121)处理授权请求报文,并使用通讯密钥对处理结果、请求报文进行加密,生成授权请求密文回送;
步骤3(s3),客户端程序(111)上送授权请求密文给服务器(2);
步聚4(s4),服务器(2)使用通讯密钥解密所述的授权请求密文,并验证授权请求合法性以及完整性,签署授权凭证并下发授权响应密文至客户端程序(111);
步聚5(s5),客户端程序(111)将授权响应密文发送给ta(121);
步聚6(s6),可信应用ta(121)接收授权响应密文,使用通讯密钥解密,使用授权密钥验证授权凭证,验证通过后在tee(12)中存储授权凭证,并将授权结果信息返回至客户端程序(111);
客户端程序(111)启动时,ta(121)验证存储在tee(12)中存储的授权凭证,验证通过后,将验证结果返回客户端程序(111),客户端程序(111)在接受到验证结果后,进入运行状态。
2.根据权利要求1所述的方法,其特征在于,所述终端设备(1)包括个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备中的任一种。
3.根据权利要求1所述的方法,其特征在于,所述服务器(2)为独立的服务器或者多个服务器组成的服务器集群。
4.根据权利要求1所述的方法,其特征在于,所述通讯密钥采用预制对称密钥,也可以采用ssl及类似方法。
5.根据权利要求1所述的方法,其特征在于,所述授权密钥采用非对称算法、mac算法、组合使用对称加密和摘要算法的方式。
6.根据权利要求1所述的方法,其特征在于,所述步骤1(s1)中,还包括授权控制信息。
7.根据权利要求1所述的方法,其特征在于,所述ta(121)的所述密码服务包括加密解密、签名验签、完整性校验。
8.根据权利要求1所述的方法,其特征在于,软件启动时,ta(121)验证授权凭证后,还提供密码服务功能执行必要的功能流程,功能流程通过后,将验证结果返回客户端程序(111)。
9.根据权利要求8所述的方法,其特征在于,所述功能流程包括解密关键安全参数、校验被保护的软件中模块的合法性、完整性。
10.根据权利要求1所述的方法,其特征在于,所述步骤2(s2)中,所述可信应用ta(121)使用摘要算法处理授权请求报文。