WO2022133923A1

WO2022133923A1 - 一种许可认证的方法、装置、电子设备、系统及存储介质

Info

Publication number: WO2022133923A1
Application number: PCT/CN2020/139087
Authority: WO
Inventors: 闫新全
Original assignee: 京东方科技集团股份有限公司
Priority date: 2020-12-24
Filing date: 2020-12-24
Publication date: 2022-06-30
Also published as: US20240111842A1; CN115280308A

Abstract

一种许可认证的方法、装置、电子设备、系统及存储介质，方法包括：获取被许可端提供的注册信息；其中，注册信息包括被许可端提供的公钥和第一环境密文，第一环境密文是被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，第一环境指纹包括被许可端所在环境的软硬件特征信息(101)；生成包含第一环境密文的许可信息，并用公钥对许可信息进行加密，对加密后的许可信息进行同态加密，获得指示被许可端中请求许可认证的待许可服务许可范围的许可密文(102)；将许可密文发送给被许可端，使被许可端通过验证端验证第一环境密文来确定许可密文的真伪，并使被许可端据接收到的验证结果密文决定是否对待许可服务进行许可认证(103)。

Description

一种许可认证的方法、装置、电子设备、系统及存储介质

技术领域

本公开涉及许可认证领域，尤其是涉及一种许可认证的方法、装置、电子设备、系统及存储介质。

背景技术

在现有技术中，软件服务商在向用户提供软件服务时，为了保护软件版权，通常通过软件许可证的方式向用户提供其软件许可的范围、使用期限等。

然而在服务商向用户提供软件许可证前，通常需要先收集用户信息、用户所用设备的环境信息等，这些敏感的用户私有信息在传输给服务商时常常是以明文的方式传输的，且服务商在获取到这是用户私有信息后通常也是以明文的形式存储的，当用户的这些用户私有信息被盗用后，将给用户造成极大的损失。

发明内容

本公开提供一种许可认证的方法、装置、电子设备、系统及存储介质，用以解决现有技术中存在的上述技术问题。

第一方面，为解决上述技术问题，本公开实施例提供的一种许可认证的方法，应用于许可端，该方法的技术方案如下：

获取被许可端提供的注册信息；其中，所述注册信息包括所述被许可端提供的公钥和第一环境密文，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

生成包含所述第一环境密文的许可信息，并用所述公钥对所述许可信息进行加密，对加密后的许可信息进行同态加密，获得许可密文；其中，所述许可信息用于指示所述被许可端中请求许可认证的待许可服务的许可范围；

将所述许可密文发送给所述被许可端，使所述被许可端通过验证端验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并使所述被许可端各根据接收到的验证结果密文决定是否对所述被许可端中的待许可服务进行许可认证。

一种可能的实施方式，将所述许可密文发送所述被许可端之前，还包括：

接收所述被许可端发送的许可请求；其中，所述许可请求中携带所述待许可服务的激活密文；其中，所述激活密文用于标识激活所述待许可服务；

验证所述激活密文是否正确；

在确定所述激活密文正确时，将所述许可密文发送给所述被许可端。

一种可能的实施方式，所述同态加密使用的算法包括Paillier加密或全同态加密。

第二方面，本公开实施例提供了一种许可认证的方法，应用于被许可端，包括：

将携带有公钥和第一环境密文的注册信息发送给许可端；其中，所述第一环境密文是使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

接收所述许可端提供的基于所述注册信息生成的许可密文；其中，所述许可密文是所述许可端用所述公钥对包含所述第一环境密文的许可信息进行加密，以及对加密后的许可信息进行同态加密得到的；

生成包含所述许可密文、第二环境密文、所述公钥的验证请求；其中，所述第二环境密文是用所述公钥对当前获取的第二环境指纹进行加密得到的，所述第二环境指纹包括所述被许可端所在环境的软硬件特征信息；

将所述验证请求发送给验证端，使所述验证端对用所述第二环境密文验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并接收所述验证端发送的验证结果密文；

用所述公钥对所述验证结果密文进行解密，获得验证结果，以便根据所述验证结果决定是否对本地存储的待许可服务进行许可认证。

一种可能的实施方式，将携带有公钥和第一环境密文的注册信息发送给许可端，包括：

在接收到所述待许可服务的认证请求时，用指定密钥算法生成包含所述公钥和所述私钥的密钥对；其中，所述认证请求是基于用户对所述待许可服务的激活操作产生的；

获取所述第一环境指纹，并用所述私钥对所述第一环境指纹进行加密，获得所述第一环境密文；

将携带有所述公钥和所述第一环境密文的所述注册信息发送给所述许可端。

一种可能的实施方式，接收所述许可端提供的基于所述注册信息的许可密文之前，还包括：

将携带有激活密文的许可请求发送给所述许可端，使所述许可端对所述激活密文的真实性进行验证；其中，所述激活密文用于标识激活所述待许可服务；

在所述许可端验证通过后，接收所述许可端发送的所述许可密文。

第三方面，本公开实施例提供了一种许可认证的方法，应用于验证端，该方法包括：

接收被许可端发送的验证请求；其中，所述验证请求是所述被许可端基于许可密文、第二环境密文、公钥生成的，所述许可密文是许可端用所述公钥对包含第一环境密文的许可信息进行加密，并对加密后的许可信息进行同态加密得到的，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第二环境密文是用所述公钥对当前获取的第二环境指纹进行加密得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

对所述许可密文进行同态解密，并从同态解密后的许可密文中获取所述第一环境密文，用所述第二环境密文验证所述第一环境密文，获得验证结果密文；

将所述验证结果密文发送给所述被许可端，使所述被许可端用公钥对所述验证结果密文进行解密得到验证结果，以便根据所述验证结果决定是否对所述被许可端中的待许可服务进行许可认证。

第四方面，本公开实施例提供了一种许可认证的装置，应用于许可端，该装置包括：

获取单元，用于获取被许可端提供的注册信息；其中，所述注册信息包括所述被许可端提供的公钥和第一环境密文，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

加密单元，用于生成包含所述第一环境密文的许可信息，并用所述公钥对所述许可信息进行加密，以及对加密后的许可信息进行同态加密，获得许可密文；其中，所述许可信息用于指示所述被许可端中请求许可认证的待许可服务的许可范围；

收发单元，用于将所述许可密文发送给所述被许可端，使所述被许可端通过验证端验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并使所述被许可端根据接收到的验证结果密文决定是否对所述被许可端中的待许可服务进行许可认证。

一种可能的实施方式，所述收发单元还用于：

接收所述被许可端发送的许可请求；其中，所述许可请求中携带所述待许可服务的激活密文；验证所述激活密文是否正确；其中，所述激活密文用于标识激活所述待许可服务；

第五方面，本公开实施例提供了一种许可认证的装置，应用于被许可端，该装置包括：

收发单元，用于将携带有公钥和第一环境密文的注册信息发送给许可端；其中，所述第一环境密文是使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹为所述被许可端所在环境的软硬件特征信息；

所述收发单元，还用于接收所述许可端提供的基于所述注册信息生成的许可密文；其中，所述许可密文是所述许可端用所述公钥对包含所述第一环境密文的许可信息进行加密，以及对加密后的许可信息进行同态加密得到的；

生成单元，用于生成包含所述许可密文、第二环境密文、所述公钥的验证请求；其中，所述第二环境密文是用所述公钥对当前获取的第二环境指纹进行加密得到的，所述第二环境指纹包括所述被许可端所在环境的软硬件特征信息；

所述收发单元，还用于将所述验证请求发送给验证端，使所述验证端通过所述第二环境密文验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并接收所述验证端发送的验证结果密文；

处理单元，用于用所述公钥对所述验证结果密文进行解密，获得验证结果，以便根据所述验证结果决定是否对本地存储的待许可服务进行许可认证。

一种可能的实施方式，所述收发单元还用于：

第六方面，本公开实施例提供了一种许可认证的装置，应用于验证端，该装置包括：

接收单元，用于接收被许可端发送的验证请求；其中，所述验证请求是所述被许可端基于许可密文、第二环境密文、公钥生成的，所述许可密文是许可端用所述公钥对包含第一环境密文的许可信息进行加密，并对加密后的许可信息进行同态加密得到的，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第二环境密文是用所述公钥对当前获取的第二环境指纹进行加密得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

验证单元，用于对所述许可密文进行同态解密，并从同态解密后的许可密文中获取所述第一环境密文，用所述第二环境密文验证所述第一环境密文，获得验证结果密文；

发送单元，用于将所述验证结果密文发送给所述被许可端，使所述被许可端用公钥对所述验证结果密文进行解密得到验证结果，以便对所述被许可端中的待许可服务进行许可认证。

第七方面，本公开实施例提供了一种服务器，应用于许可端，该服务器包括如第四方面所述的装置。

第八方面，本公开实施例提供了一种电子设备，该电子设备包括如第五方面和第六方面所述的装置。

第九方面，本公开实施例还提供一种认证许可的装置，包括：

至少一个处理器，以及

与所述至少一个处理器连接的存储器；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如第一方面或第二方面或第三方面所述的方法。

第十方面，本公开实施例还提供一种可读存储介质，包括：

存储器，

所述存储器用于存储指令，当所述指令被处理器执行时，使得包括所述可读存储介质的装置完成如上述第一方面或第二方面或第三方面所述的方法。

附图说明

图1为本公开实施例提供的一种应用于许可端的许可认证方法的流程图；

图2为本公开实施例提供的一种应用于被许可端的许可认证方法的流程图；

图3为本公开实施例提供的一种应用于验证端的许可认证方法的流程图；

图4为本公开实施例提供的许可认证交互流程图；

图5为本公开实施例提供的一种应用于许可端的许可认证装置的结构示意图；

图6为本公开实施例提供的一种应用于被许可端的许可认证装置的结构示意图；

图7为本公开实施例提供的一种应用于验证端的许可认证装置的结构示意图。

具体实施方式

本公开实施列提供一种许可认证的方法、装置、电子设备、系统及存储介质，以解决现有技术中存在的上述技术问题。

如公开中所使用的术语“同态”，是指一些密码系统的性质，其使得计算机化的系统能够通过使用经加密的密文数据来执行操作，所述经加密的密文数据在解密之后产生明文结果，所述明文结果与相同操作如果被应用到明文数据的结果相匹配。如具有加法同态的密码系统，其使得计算机能够将两个密文a和b加在一起以产生结果密文c。当结果密文c被解密后产生明文值，该明文值与以a和b加密的明文数据的总和相匹配。例如，如果a和b是分别对值2和3进行加密的密文，那么结果密文c当被解密的时候产生值5(2+3＝5)。接收原始密文a和b的计算机可以在未曾对原始经加密的输入a和b中的任一个进行解密或不要求对任何密码密钥的访问的情况下、经由原始密文的直接加法来产生密文c。

密码系统的同态性：在一种密码系统中，如果密文空间中的密文操作(如加、乘)可以映射到明文空间中，那么称该密码系统具有同态性。利用同态密码系统进行加密，我们称之为同态加密。

在非对称型密码系统的密钥包括公钥和私钥，非对称型的同态性应用极为广泛，如RSA算法、Paillier算法等。

也就是说，同态加密(Homomorphic Encryption，HE)是基于数学难题的计算复杂性理论的密码学技术。对经过同态加密的数据进行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。利用此性质，其他人可以对加密数据进行处理，但是处理过程不会泄露任何原始内容。同时，拥有密钥的用户对处理过的数据进行解密后，得到的正好是处理后的结果。

同态加密技术分为两种类型，半同态(或称为部分同态)加密(Somewhat Homomorphic Encryption，SWHE)和全同态加密(Fully Homomorphic Encryption，FHE)。

其中，全同态加密能在密文空间中完成任意复杂度函数的计算，但计算成本高、性能极差、原理复杂，比如典型的BGV算法。半同态加密只支持一些特定的操作函数。尽管SWHE方案稍弱，但也意味着计算开销会变得较小，容易实现，现在已经可以在实际中使用。

同态的数学含义：假设有个加密函数(定义为E)满足：

E(a)+E(b)＝E(a+b)；

E(a)*E(b)＝E(a*b)；

如上述两个方程都满足就叫全同态，满足其中之一就是半同态。

假设存在操作函数F，

如果F(a)＝x D(x)＝a；

整个加密E和解密D就是全同态加密。

为了更好的理解上述技术方案，下面通过附图以及具体实施例对本公开技术方案做详细的说明，应当理解本公开实施例以及实施例中的具体特征是对本公开技术方案的详细的说明，而不是对本公开技术方案的限定，在不冲突的情况下，本公开实施例以及实施例中的技术特征可以相互组合。

请参考图1，本公开实施例提供一种许可认证的方法，应用于许可端，该方法的处理过程如下。

步骤101：获取被许可端提供的注册信息；其中，注册信息包括被许可端提供的公钥和第一环境密文，第一环境密文是被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，第一环境指纹包括被许可端所在环境的软硬件特征信息。

许可端可以是服务器，被许可端可以是电子设备中的一个软件，该软件可以是应用软件，如即时通讯软件、播放软件、办公软件、广告机软件等，该软件还可以是操作系统，如windows系统、OS系统、安卓系统、广告机的操作系统等。

当用户需要使用被许可端中的某个服务，而该服务尚未授权前称之为待许可服务，被许可端会可以采用指定密钥算法生成包括公钥和私钥的密钥对，并用私钥对获取的第一环境指纹进行加密，得到第一环境密文，进而生成一个包括公钥和第一环境密文的注册信息发送给许可端，其中，第一环境指纹包括被许可端所在环境的软硬件特征信息。

例如，被许可端为电子设备中的一个视频播放应用，用户当前为该视频播放应用的普通用户，在之后某个时间，用户希望成为该视频播放应用的VIP用户，此时根据用户的操作，产生一个提供VIP服务(即待许可服务)的认证请求，视频播放应用拥指定密钥算法生成包含公钥和私钥的密钥对，并获取第一环境指纹，用私钥对第一环境指纹进行加密得到第一环境密文，根据第一环境密文和公钥生成注册信息发送给服务器(即许可端)。

在注册信息中还可以包括待许可服务对应的购买信息，如购买的服务是什么、购买该服务的时效对应的是什么、该服务对应的是什么等级。如待许可服务为VIP服务时，而VIP服务的等级例如可以分为黄金VIP、钻石VIP、超级VIP，有效时间例如可以分为1个月、3个月、6个月、1年、终身等，这些信息都可以作为购买信息。当然，根据被许可端、待许可服务的类型不同，注册信息中也可以不包括上述购买信息，如一些绿色软件、政企服务类软件(如社保类软件、浏览器等)。即在注册信息中包括的内容可以根据实际需要自由设置。

需要说明的是，待许可服务还可以是一个具体的多媒体信息，包括视频、图片等。如被许可端为播放软件是待许可服务可以是一个单独的视频资源(如一部新上映需要单独付费的影片、云展览、直播、音乐等)；若待许可端为操作系统，待许可服务可以理解为申请该操作系统的许可证的服务。

被许可端可以通过离线、在线的方式，或其它安全的方式将注册信息发送给许可端。

许可端接收到被许可端发送的注册信息后，便可执行步骤102和步骤103。

步骤102：生成包含第一环境密文的许可信息，并用公钥对许可信息进行加密，对加密后的许可信息进行同态加密，获得许可密文；其中，许可信息用于指示被许可端中请求许可认证的待许可服务的许可范围。

步骤103：将许可密文发送给被许可端，使被许可端通过验证端验证许可密文中的第一环境密文来确定许可密文的真伪，并使被许可端根据接收到的验证结果密文决定是否对被许可端中的待许可服务进行许可认证。

由于同态加密中引入了随机的噪声，所以加密结果的逆向工程理论存在可能性，最大限度保证了在传输链路的安全。

在本公开中，验证端可以理解为一个验证程序、验证插件，或者安装有验证程序、验证插件的电子设备，该电子设备例如可以为手机、平板电脑、广告机、路由器、智能音箱、可穿戴设备等。被许可端和许可端可以位于同一电子设备中。

许可端接收到注册信息后，根据其内容可以生成包含第一环境密文的许可信息，该许可信息可以表明待许可服务的许可范围，许可范围例如可以包括许可的时长、服务的具体内容，允许使用的设备类型、设备的最大数量等。

例如，仍然以被许可端为视频播放软件、待许可服务为VIP服务为例，许可信息中除了包括第一环境密文外，还包括该VIP服务的有效时间(如为1年)，服务范围如可以自由观看所有连续剧、但不能观看新上映的电影或其它需要单独付费的影片，或者可以自由观看所有连续剧和电影，但不包括其它需要单独付费的影片等。

又如，被许可端为广告机软件，待许可服务为某条广告的播放服务，许可范围可以为该条广告的播放时段(如在12点播放)、播放时长为30秒不间断连续播放等。

许可端可以根据第一环境密文信息、待许可服务对应软件(即待许可端)的属性信息，如产品标识(产品ID)、产品的系列、产品类型、名字、版本等(请参见表1)、待许可服务的许可范围等生成许可信息，并用公钥对许可信息进行加密，得到加密后的许可信息，同时对加密后的许可信息进行同态加密，获得许可密文。

表1

属性键	属性值
许可ID	license01
产品ID	sku-001-1001
产品类型	retail-order-promising
…	…

同态加密的公式可以采用如下的表达方式：

C1＝HE(PK，Data)；

其中，PK为被许可端提供的公钥，Data为许可信息，HE为同态加密使用的算法，即用公钥(PK)对许可信息(Data)进行加密，并对加密后的许可信息进行同态加密，得到同态加密结果(C1)，该同态加密结果即为本公开中所述的许可密文。

同态加密的算法可以包括pailler加密算法，全同态加密算法(如IBM fhe-toolkit-linux)。

对于一些应用(如操作系统或工具类应用)而言，要得到待许可服务的许可证(本公开中传递许可证是以密文的形式传递的，因此为许可密文)，被许可端可能还需要向许可端提供激活码(本公开中传递激活码是以密文的形式传递的，因此为激活密文)：

当许可端接收到被许可端发送的许可请求后，验证激活密文是否正确；其中，许可请求中携带待许可服务的激活密文；在确定激活密文正确时，将许可密文发送给被许可端；其中，激活密文用于标识激活待许可服务；。

例如，被许可端为操作系统时，安装完该系统重启后进行系统初始化时，弹出要求用户输入激活码的对话框，操作系统基于用户操作获取激活码并对其进行加密得到激活密文，进而根据该激活密文生成许可请求并发送给服务器(许可端)，发送方式可以是离线发送，也可以是在线发送，许可端通过对该激活密文进行验证计算(如与许可端本地存储的激活密文进行比较，或采用某种算法对该激活密文进行计算得到一个结果)，可以确定该激活密文的真伪，许可端在确定激活密文为正确的时，将许可密文发送给被许可端，使被许可端可以通过验证端验证许可密文的真伪(验证端的验证过程在后续验证端对应的方法中进行详细介绍)，以便根据验证结果决定是否对被许可端中的待许可服务进行许可认证。若验证结果为验证通过，则被许可端对待许可服务进行许可认证，否则放弃待许可服务进行许可认证。

许可端在接收到许可密文后会生成一个许可请求，该许可请求中携带许可密文及第二环境密文，该第二环境密文是用公钥对刚获取的第二环境指纹进行加密后得到的，许可端将许可请求发送给验证端验证许可密文中第一环境指纹，以确定许可密文的真伪，如通过验证第一环境指纹是否为真来确定许可密文是否为真，许可端验证第一环境密文的真伪是在加密环境下对第一环境密文和第二环境密文进行同态运算，以确定私钥和公钥是否匹配来确定第一环境密文的真伪的。

许可端仅需获取被许可端提供的公钥和第一环境密文，便能生成包含第一环境密文的许可信息，并通过用公钥对许可信息进行同态加密，让许可端在未获取到第一环境密文中第一环境指纹的情况下，便能生成许可密文，使得任何人在许可端都无法越权滥用或窥探被许可端的私有信息(第一环境指纹)，从而提高了被许可端私有信息的安全性，并且由于许可密文是通过同态加密得到的，因此还减小了许可端计算的复杂性，防止许可信息在传输的过程中被恶意破解，提高了许可信息的安全性。

在从许可端侧介绍了许可认证的方法后，下面将从被许可端所在侧介绍在其中使用的许可认证方法。

请参见图2，基于同一发明构思，本公开一实施例中提供一种许可认证的方法，应用于被许可端，该方法包括：

步骤201：将携带有公钥和第一环境密文的注册信息发送给许可端；其中，第一环境密文是使用私钥对当前获取的第一环境指纹进行加密后得到的，第一环境指纹包括被许可端所在环境的软硬件特征信息。

例如，被许可端为电子设备中的一个即时通讯类应用，用户当前为即时通讯类应用的普通用户，在之后某个时间，用户希望成为该即时通讯类应用的VIP用户，此时根据用户的操作，产生一个提供VIP服务(即待许可服务)的认证请求，即时通讯类应用用指定密钥算法生成包含公钥和私钥的密钥对，并获取第一环境指纹，用私钥对第一环境指纹进行加密得到第一环境密文，根据第一环境密文和公钥生成注册信息发送给服务器(即许可端)。

在注册信息中还可以包括待许可服务对应的购买信息，如购买的服务是什么、购买该服务的时效对应的是什么、该服务对应的是什么等级。如待许可服务为VIP服务时，而VIP服务的等级例如可以分为黄金VIP、白金VIP、钻石VIP，有效时间例如可以分为3个月、6个月、1年等，这些信息都可以作为购买信息。当然，根据被许可端、待许可服务的类型不同，注册信息中也可以不包括上述购买信息，如一些绿色软件、政企服务类软件(如税务软件、金融类软件、购物软件等)。即在注册信息中包括的内容可以根据实际需要自由设置。

需要说明的是，待许可服务还可以是一个具体的多媒体信息，包括视频、图片等。如被许可端为播放软件是待许可服务可以是一个单独的视频资源(如一部新上映需要单独付费的影片、云展览、直播等)；若待许可端为操作系统，待许可服务可以理解为申请该操作系统的许可证的服务，或者该操作系统中的某个应用。

将携带有公钥和第一环境密文的注册信息发送给许可端，可以通过下列方式实现：

在接收到待许可服务的认证请求时，用指定密钥算法生成包含公钥和私钥的密钥对；获取第一环境指纹，并用私钥对第一环境指纹进行加密，获得第一环境密文；将携带有公钥和第一环境密文的注册信息发送给许可端。

指定密钥算法可以是用户、企业根据自己内部的政策和安全策略，选择的非对称密钥生产算法和相关的位数要求，如经典的RSA算法、椭圆曲线密码学(elliptic curve cryptography，ECC)、椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algorithm，ECDSA)、国密算法SM2等。

例如，典型的RSA 2048位的公私钥的密钥对PEM(Privacy Enhanced Mail)格式的样例：

公钥：

----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzB5DdsN4x+HdgSxYgFkx

tITcIlAyivoGaoRkQMCAtJORhxtu5HZI5x4t67nJSh6uq8YVzdqYulu2Zzx5UMrmjjSjICXcZ3Kn/I+We45+IKDswkMrDq3p6nfsoQvLH9hNPsnkWz7+fiDvQGWECtko

aRBxB4u5AR63vLgf6o1AcePPX97VaHMF1l8ESqBcirgiZBTTNizSB4kVGk+ak kjk

lOEzARWnoBYHItl8Jq5Uwh2Bk2EhHI6FOyuz9rRDgJGhh4SYgpRfsvuOfUgCCDoF

jAiKPEdtL+KIR1zizxrP9ZWOzWSU7ypNCmfkqc7kswzKwGIW1iUu6KczYovz62k+

BQIDAQAB-----END PUBLIC KEY-----

私钥：

----BEGIN PRIVATE KEY-----

MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQDMHkN2w3jH4d2B

LFiAWTG0hNwiUDKK+gZqhGRAwIC0k5GHG27kdkjnHi3ruclKHq6rxhXN2pi6W7Zn

PHlQyuaONKMgJdxncqf8j5Z7jn4goOzCQysOrenqd+yhC8sf2E0+yeRbPv5+IO9A

ZYQK2ShpEHEHi7kBHre8uB/qjUBx489f3tVocwXWXwRKoFyKuCJkFNM2LNIHiRUa

T5qSSOSU4TMBFaegFgci2XwmrlTCHYGTYSEcjoU7K7P2tEOAkaGHhJiClF+y+459

SAIIOgWMCIo8R20v4ohHXOLPGs/1lY7NZJTvKk0KZ+SpzuSzDMrAYhbWJS7opzNi

i/PraT4FAgMBAAECggEBAK4Buqd7GfLkBI3C/StlXi8y9+q0jXHWlTOm60QcF1xZ

VL1l0JIomBuWqbUDq6ppH6TF9/6GNJ7h4kx9zDnozsU58DpOrGbv4m83BSUNo04z

gcJVulYIQpokY/AieqYKIke9mtOCjzd84hj2sasB1yZB4ul43l0rD51tJaAxjFfJQ9Z3J6zwpZA0ePgp/DHG50KzZNXZcRL+qPAenE7iXBn2vfDh88GKFm1pekQ203jJ

Of/MXXnFEUcRVn95jB9TcL/BnmglnEJkzKLM/7HSHS89R9EjTAcHzL+crjb/cWKx

PPAC3Gco2zWfr/w4rup6DGYqkoD8B7hFDEktC0ENX10CgYEA8Ietek7mCSq0 RzVL

NA41GHtJSa6GHeS/FNzpw8FBbcDh1HV2QtA6nd9gxPX4m3c6IM5LStBZnQwAONQ4

RETj8hw9zu5b1UTWDISnHhEtguUAaDjI+sTrgkwXV3OvMxACCuV0UJ/YV8r64TRP

SNh+1HF5ewJmmEfrPBAK9c3NA58CgYEA2T8RDj9iUNO0oXM3axpMNDfX4QsPsweT

sGWc4L+TyIkVsHwuaKr4tHtXlDdV0PmPoGI6dy0fm+LkgWnBP7RbHCljXGa3KXVQ

DrDXdisfC406QbhefYOorvNvKQQ7mp0/rpZrIXG2alHF8hRNsLTTRuAKA5nemJZw

cMtCodleu9sCgYEArffkIEd6l/y8IZjJSOBRxOA+1L0XIf31urhBl6VqlmBgtlMy8wY6rz8Gdc7WPlPQxjOPP5BMkItCidfszmvpVo7YoZfC8hD0pF85pESWX0sUrU0N

CFtvX3F7nHP+rvcQEyN8qmfCiVU1ebdk9PIpYaylSbQl0lSKLooH81sjwk8CgYEA

u65aY76qhz1+bYSGOgcMEoiz/f16YKaJFvmSIDAh0jtr+34s8cvS9MkiDjAH+XPA

e0ShUdgv2JKZ6puckhaUJ64x4t/yGOT6dtacLcBvH6Gw1JodN74IeqxgOkUn4Rk8

rO3SO6BrgUqIAe08eQ6fADoJLLc/sP82wJs5Q23xA8UCgYEA10cRaeoksBFTME7i

qiC61ESgbgsOoqvOyGCvoOWTJqV0telwP0LLxk12D29995SKnPWpSipb6C8ARWsZ

Df3QFM77+slAW+pDqrzv6sDvyDvpalMaIDi5bTS+fqdn7DLkGl6PzoYcOljlGViP

0RFwybAnyj/ulI47NoL3jZKq+hI＝

-----END PRIVATE KEY-----

被许可端的环境指纹包括：

软件开发工具包(Software Development Kit，SDK)指纹：根据SDK的特点，比如Android的Android ID生成。

容器指纹：SDK可能运行到Docker等容器里，容器指纹可以采用容器的id，或者Daemon的进程ID。

系统指纹：操作系统的指纹，比如Linux系统的machine_id，Windows系统下的系统激活码，注册表信息等。

硬件指纹：硬件的信息，比如中央处理器(Central Processing Unit，CPU)、硬盘、主板、图形处理器(Graphics Processing Unit，GPU)等的序列号，或者是芯片的只读存储器(Read-Only Memory，ROM)信息等。

外置指纹：外置设备的信息，比如加密狗，硬件锁等。

多因素指纹：综合考虑软件，硬件，系统等因素，生成相关的融合指纹。

上述这些信息表征被许可端所在环境的软硬件特征信息，具体由上述哪种或几种指纹作为环境指纹可以由用户预先设定，在获取第一环境指纹信息时根据预先设定的方式获取指纹即可。

通过上述方式获得密钥对以及第一环境指纹后，便可用私钥对第一环境指纹进行加密，获得第一环境密文，并将第一环境密文以及公钥携带在注册信息中发送给许可端。该注册信息可以离线或其它安全的方式发送给许可端。

由于被许可端的私有信息(第一环境指纹)是以密文(第一环境密文)的形式发送给许可端的，且许可端不能对该第一环境密文进行解密，从而能够防止被许可端的私有信息在传输的过程中，或在许可端被泄露，进而防止通过恶意使用被许可端的私有信息威胁被许可端的安全，实现提高被许可端安全性的技术效果。

在发送注册信息给许可端之后，便可执行步骤202。

步骤202：接收许可端提供的基于注册信息生成的许可密文；其中，许可密文是许可端用公钥对包含第一环境密文的许可信息进行加密，以及对加密后的许可信息进行同态加密得到的。

在接收许可端发送的许可密文之前，如被许可端为汉字识别应用，在安装该汉字识别应用时，还需要用户输入激活码，汉字识别应用根据该激活码生成对应的激活密文；或者，该汉字识别应用在安装完成后需要重启系统，在重启系统进行系统初始化时，提供汉字识别应用的对话框要求用户输入激活码，使汉字识别应用根据该激活码生成对应的激活密文，被许可端(汉字识别应用)可以将携带有激活密文的许可请求发送给许可端，使许可端对激活密文的真实性进行验证(如与许可端本地存储的激活密文进行比较，或采用某种算法对该激活密文进行计算得到一个结果)；其中，激活密文用于标识激活待许可服务；在许可端验证通过后，接收许可端发送的许可密文。

被许可端接收许可密文，可以用离线或在线的方式接收。

在接收到许可密文之后，便可执行步骤203。

步骤203：生成包含许可密文、第二环境密文、公钥的验证请求；其中，第二环境密文是用公钥对当前获取的第二环境指纹进行加密得到的，第二环境指纹包括被许可端所在环境的软硬件特征信息。

被许可端在接收到许可密文后，用获取第一环境指纹相同的方式，获取当前的第二环境指纹，并用公钥对第二环境指纹进行加密得到第二环境密文。并生成包含许可密文、第二环境密文、公钥的验证请求。

在生成验证请求后，便可执行步骤204和步骤205。

步骤204：将验证请求发送给验证端，使验证端通过第二环境密文验证许可密文中的第一环境密文来确定许可密文的真伪，并接收验证端发送的验证结果密文。验证端验证许可密文的过程请参见后续验证端对应方法中的描述。

步骤205：用公钥对验证结果密文进行解密，获得验证结果，以便根据验证结果决定是否对本地存储的待许可服务进行许可认证。

被许可端将验证请求发送给验证端，使验证端对许可密文的真伪进行验证(具体验证过程请参见验证端中的介绍)，被许可端接收验证端发送的验证结果密文，并用公钥对验证结果密文进行解密，得到验证结果，当验证结果为许可密文为真时，被许可端根据许可信息对待许可服务进行许可认证；当验证结果为许可密文为假时，被许可端丢弃许可密文，并重新向许可端发起许可请求，重复完成上述验证过程。

被许可端通过将第一环境指纹进行加密发送给许可端，让许可端可以用其提供的公钥对包含第一环境密文的许可信息进行同态加密，并接收许可密文，让验证端通过第二环境密文验证许可密文中的第一环境密文来确定许可密文的真伪，整个过程不管是许可端还是被许可端都无法获取被许可端的私有信息(第一环境指纹)，使得被许可端的用户可以灵活复用自己的安全密钥体系和策略，私钥由被许可端保存成，从而提高了被许可端的安全性。并且，该方法将更多的安全可控性尽量前置到验证端和被许可端，天然对等级保护规则友好，降低了产品实施等级保护评测的成本。

在从许可端侧和被许可端侧介绍了许可认证的方法后，下面将从验证端所在侧介绍在其中使用的许可认证方法。

请参见图3，基于同一发明构思，本公开一实施例中提供一种许可认证的方法，应用于验证端，该方法包括：

步骤301：接收被许可端发送的验证请求；其中，验证请求是被许可端基于许可密文、第二环境密文、公钥生成的，许可密文是许可端用公钥对包含第一环境密文的许可信息进行加密，并对加密后的许可信息进行同态加密得到的，第一环境密文是被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，第二环境密文是用公钥对当前获取的第二环境指纹进行加密得到的，第一环境指纹包括被许可端所在环境的软硬件特征信息。

第一环境指纹和第二环境指纹都包括被许可端所在环境的软硬件特征信息，只是它们获取的软硬件特征信息的时间不同。

验证请求、第一环境密文的生成方式参见被许可端中的相关介绍，许可密文的生成方式参见许可端中的相关介绍，在此不再赘述。

步骤302：对许可密文进行同态解密，并从同态解密后的许可密文中获取第一环境密文，用第二环境密文验证第一环境密文，获得验证结果密文。

在本公开中，验证端可以理解为一个验证程序、验证插件，或者安装有验证程序、验证插件的电子设备，该电子设备例如可以为手机、平板电脑、广告机、路由器等。被许可端和许可端可以位于同一电子设备中。

验证端对许可密文进行同态解密也就是在加密环境下对许可密文进行解密，这使得验证端实际并不能获知许可密文的具体内容。

进而从同态解密后的许可密文中获取第一环境密文，用第二环境密文验证第一环境密文可以采用对第一环境密文和第二环境密文进行同态运算，目的是为了确定它们使用的公钥和私钥是否匹配，进而确定第一环境密文的真伪，若匹配确定第一环境密文为真，相应的说明许可密文未被篡改过，即许可密文为真，反之则为假，这样便能得到加密环境下的验证结果(由于该验证结果在验证端是处于加密环境中的，因此验证端输出是也是以密文的形式输出的，也就是本公开中所述的验证结果密文)。这个验证过程可以称之为同态验证。

步骤303：将验证结果密文发送给被许可端，使被许可端用公钥对验证结果密文进行解密得到验证结果，以便根据验证结果决定是否对被许可端中的待许可服务进行许可认证。

验证端将验证结果密文发送给被许可端后，被许可端用公钥对验证结果密文进行解密，得到解密结果，进而确定许可密文的真伪，若许可密文为真则用解密许可密文后得到的许可信息对待许可服务进行许可认证；若根据解密结果确定许可密文为假，则丢弃该许可密文，重新向许可端申请新的许可密文。

由于验证端对许可密文进行同态验证时，整个验证过程零解密，全部在密文上进行验证运算，并且结果也是以密文的形式返回，使得在验证端也无法获得被许可端的私有信息(环境指纹)，以及许可端的许可信息，从而提高了被许可端、许可密文的安全性，由于整个验证过程无需解密，因此极大减少了多维多轮加、解密的复杂性，提高了验证效率。

为了使本领域的技术人员能充分理解上述技术方案，请参见图4为本公开实施例提供的许可认证交互流程图。以被许可端为视频应用、待许可服务为观看一部新上映的电影A，许可端为服务器、验证端为一验证应用为例。

步骤401：被许可端生成携带公钥和第一环境密文的注册信息。

用户在使用视频应用(被许可端)时发现了一部新上映的电影A(待许可服务)，用户希望观看该部电影A，于是在视频应用对该部电影中执行了一个购买操作，根据该购买操作产生了一个该电影A的认证请求，用于请求激活该电影A，视频应用根据该认证请求，用指定密钥算法生成包含公钥和私钥的密钥对，并存储在本地。同时，获取视频应用所在环境的第一环境指纹，并用私钥对第一环境指纹进行加密得到第一环境密文，根据第一环境密文和公钥生成注册信息。

步骤402：被许可端向许可端发送注册信息。即视频应用向服务器发送注册信息。

步骤403：许可端生成包含第一环境密文对应的许可信息，并用公钥对许可信息进行加密，对加密后的许可信息进行同态加密，获得许可密文。

服务器(许可端)接收到注册信息后，从中获取第一环境密文和公钥，并基于视频应用的属性、购买范围等(这些也是携带在注册信息中的，或者在视频应用为服务器对应的情况下则不需携带视频应用的属性)，生成包含第一环境密文的许可信息，在该许可信息中确定了许可的范围为电影A，其观看次数为一次或无限次，可以进行投屏观看，同时只能在一部手机、一部平板电脑、一台台式电脑上观看。

之后，服务器(许可端)用公钥对该许可信息进行加密，并且还有对加密后的许可信息进行同态加密，最终得到许可密文。

需要说明的是，在本实施例中，实际并不需要执行步骤404-步骤407，服务器就可以将许可密文直接发送给视频应用，但为了展现还可能使用到激活密文的方案，在此假设视频应用需要使用激活密文才能获取许可密文。

步骤404：被许可端生成携带激活密文的许可请求。

需要说明的是步骤403和步骤404的顺序也可以互换，即也可以先执行步骤404再执行步骤403。

假设服务器在生成许可密文后，向用户的手机发送了与之对应的一条激活码，视频应用获取到用户输入的该激活码，视频应用对该激活码进行加密，得到激活密文，并生成携带该激活密文的许可请求。

步骤405：被许可端向许可端发送许可请求。

步骤406：许可端验证激活密文是否正确。

如对激活密文进行某种运算，得到的结果为该激活密文是正确的。

步骤407：许可端在确定激活密文正确时，发送许可密文给被许可端。

步骤408：被许可端生成包含公钥、许可密文、第二环境密文的验证请求。

步骤409：被许可端向验证端发送验证请求。

步骤410：验证端对许可密文进行同态解密，获取其中的第一环境密文，并用第二环境密文验证第一环境密文的真伪，获得验证结果密文。

假设第一环境密文与第二环境密文相同，则确定许可密文为真，该许可密文为真的结果是以密文的形式存在的，即得到验证结果密文。

步骤411：验证端向被许可端发送验证结果密文。

步骤412：被许可端用公钥对验证结果密文进行解密，获得验证结果，并据此决定是否对待许可服务进行许可认证。

视频应用(被许可端)用本地存储的私钥对验证结果进行解密，得到验证结果为真，据此决定用许可密文对电影A进行许可认证。

基于同一发明构思，本公开一实施例中提供一种许可认证的装置，应用于许可端，该装置的许可认证方法的具体实施方式可参见许可端的方法实施例部分的描述，重复之处不再赘述，请参见图5，该装置包括：

获取单元501，用于获取被许可端提供的注册信息；其中，所述注册信息包括所述被许可端提供的公钥和第一环境密文，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

加密单元502，用于生成包含所述第一环境密文的许可信息，并用所述公钥对所述许可信息进行加密，以及对加密后的许可信息进行同态加密，获得许可密文；其中，所述许可信息用于指示所述被许可端中请求许可认证的待许可服务的许可范围；

收发单元503，用于将所述许可密文发送给所述被许可端，使所述被许可端通过验证端验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并使所述被许可端根据接收到的验证结果密文决定是否对所述被许可端中的待许可服务进行许可认证。

一种可能的实施方式，所述收发单元503还用于：

验证所述激活密文是否正确；

基于同一发明构思，本公开一实施例中提供一种许可认证的装置，应用于被许可端，该装置的许可认证方法的具体实施方式可参见被许可端的方法实施例部分的描述，重复之处不再赘述，请参见图6，该装置包括：

收发单元601，用于将携带有公钥和第一环境密文的注册信息发送给许可端；其中，所述第一环境密文是使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹为所述被许可端所在环境的软硬件特征信息；

所述收发单元601，还用于接收所述许可端提供的基于所述注册信息生成的许可密文；其中，所述许可密文是所述许可端用所述公钥对包含所述第一环境密文的许可信息进行加密，以及对加密后的许可信息进行同态加密得到的；

生成单元602，用于生成包含所述许可密文、第二环境密文、所述公钥的验证请求；其中，所述第二环境密文是用所述公钥对当前获取的第二环境指纹进行加密得到的，所述第二环境指纹包括所述被许可端所在环境的软硬件特征信息；

所述收发单元601，还用于将所述验证请求发送给验证端，使所述验证端通过所述第二环境密文验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并接收所述验证端发送的验证结果密文；

处理单元603，用于用所述公钥对所述验证结果密文进行解密，获得验证结果，以便根据所述验证结果决定是否对本地存储的待许可服务进行许可认证。

一种可能的实施方式，所述收发单元601还用于：

基于同一发明构思，本公开一实施例中提供一种许可认证的装置，应用于验证端，该装置的许可认证方法的具体实施方式可参见验证端的方法实施例部分的描述，重复之处不再赘述，请参见图7，该装置包括：

接收单元701，用于接收被许可端发送的验证请求；其中，所述验证请求是所述被许可端基于许可密文、第二环境密文、公钥生成的，所述许可密文是许可端用所述公钥对包含第一环境密文的许可信息进行加密，并对加密后的许可信息进行同态加密得到的，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第二环境密文是所述被许可端使用公钥对当前获取的第二环境指纹进行加密后得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

验证单元702，用于对所述许可密文进行同态解密，并从同态解密后的许可密文中获取所述第一环境密文，用所述第二环境密文验证所述第一环境密文，获得验证结果密文；

发送单元703，用于将所述验证结果密文发送给所述被许可端，使所述被许可端用公钥对所述验证结果密文进行解密得到验证结果，以便对所述被许可端中的待许可服务进行许可认证。

基于同一发明构思，本公开一实施例中提供一种服务器，该服务器包括如上所述许可端对应的许可认证的装置。

基于同一发明构思，本公开一实施例中提供一种电子设备，该电子设备包括如上所述的被许可端和验证端对应的许可认证的装置。

该电子设备可以为广告发布机，艺术画屏产品、手机、平板设备等显示终端，可以用于进行多媒体信息(文字，图片，视频等)的信息的发布。该电子设备还可以应用于新媒体、智慧零售等行业。

基于同一发明构思，本公开一实施例中提供一种许可认证的系统，该系统包括如上所述的许可认证的装置。

基于同一发明构思，本公开实施例中提供了一种许可认证的装置，包括：至少一个处理器，以及

与所述至少一个处理器连接的存储器；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如上所述的许可认证的方法。

基于同一发明构思，本公开实施例还提一种可读存储介质，包括：

存储器，

所述存储器用于存储指令，当所述指令被处理器执行时，使得包括所述可读存储介质的装置完成如上所述的许可认证的方法。

本领域内的技术人员应明白，本公开实施例可提供为方法、系统、或计算机程序产品。因此，本公开实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开实施例是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本公开进行各种改动和变型而不脱离本公开的精神和范围。这样，倘若本公开的这些修改和变型属于本公开权利要求及其等同技术的范围之内，则本公开也意图包含这些改动和变型在内。

Claims

一种许可认证的方法，应用于许可端，其中，包括：

获取被许可端提供的注册信息；其中，所述注册信息包括所述被许可端提供的公钥和第一环境密文，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

生成包含所述第一环境密文的许可信息，并用所述公钥对所述许可信息进行加密，以及对加密后的许可信息进行同态加密，获得许可密文；其中，所述许可信息用于指示所述被许可端中请求许可认证的待许可服务的许可范围；

将所述许可密文发送给所述被许可端，使所述被许可端通过验证端验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并使所述被许可端根据接收到的验证结果密文决定是否对所述被许可端中的待许可服务进行许可认证。
如权利要求1所述的方法，其中，将所述许可密文发送所述被许可端之前，还包括：

接收所述被许可端发送的许可请求；其中，所述许可请求中携带所述待许可服务的激活密文；其中，所述激活密文用于标识激活所述待许可服务；

验证所述激活密文是否正确；

在确定所述激活密文正确时，将所述许可密文发送给所述被许可端。
如权利要求1或2所述的方法，其中，所述同态加密使用的算法包括Paillier加密或全同态加密。
一种许可认证的方法，应用于被许可端，其中，包括：

将携带有公钥和第一环境密文的注册信息发送给许可端；其中，所述第一环境密文是使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

接收所述许可端提供的基于所述注册信息生成的许可密文；其中，所述许可密文是所述许可端用所述公钥对包含所述第一环境密文的许可信息进行加密，以及对加密后的许可信息进行同态加密得到的；

生成包含所述许可密文、第二环境密文、所述公钥的验证请求；其中，所述第二环境密文是用所述公钥对当前获取的第二环境指纹进行加密得到的，所述第二环境指纹包括所述被许可端所在环境的软硬件特征信息；

将所述验证请求发送给验证端，使所述验证端通过所述第二环境密文验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并接收所述验证端发送的验证结果密文；

用所述公钥对所述验证结果密文进行解密，获得验证结果，以便根据所述验证结果决定是否对本地存储的待许可服务进行许可认证。
如权利要求4所述的方法，其中，将携带有公钥和第一环境密文的注册信息发送给许可端，包括：

在接收到所述待许可服务的认证请求时，用指定密钥算法生成包含所述公钥和所述私钥的密钥对；其中，所述认证请求是基于用户对所述待许可服务的激活操作产生的；

获取所述第一环境指纹，并用所述私钥对所述第一环境指纹进行加密，获得所述第一环境密文；

将携带有所述公钥和所述第一环境密文的所述注册信息发送给所述许可端。
如权利要求4所述的方法，其中，接收所述许可端提供的基于所述注册信息的许可密文之前，还包括：

将携带有激活密文的许可请求发送给所述许可端，使所述许可端对所述激活密文的真实性进行验证；其中，所述激活密文用于标识激活所述待许可服务；

在所述许可端验证通过后，接收所述许可端发送的所述许可密文。
一种许可认证的方法，应用于验证端，其中，包括：

接收被许可端发送的验证请求；其中，所述验证请求是所述被许可端基于许可密文、第二环境密文、公钥生成的，所述许可密文是许可端用所述公钥对包含第一环境密文的许可信息进行加密，并对加密后的许可信息进行同态加密得到的，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第二环境密文是用所述公钥对当前获取的第二环境指纹进行加密得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

对所述许可密文进行同态解密，并从同态解密后的许可密文中获取所述第一环境密文，用所述第二环境密文验证所述第一环境密文，获得验证结果密文；

将所述验证结果密文发送给所述被许可端，使所述被许可端用公钥对所述验证结果密文进行解密得到验证结果，以便根据所述验证结果决定是否对所述被许可端中的待许可服务进行许可认证。
一种许可认证的装置，应用于许可端，其中，包括：

获取单元，用于获取被许可端提供的注册信息；其中，所述注册信息包括所述被许可端提供的公钥和第一环境密文，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

加密单元，用于生成包含所述第一环境密文的许可信息，并用所述公钥对所述许可信息进行加密，以及对加密后的许可信息进行同态加密，获得许可密文；其中，所述许可信息用于指示所述被许可端中请求许可认证的待许可服务的许可范围；

收发单元，用于将所述许可密文发送给所述被许可端，使所述被许可端通过验证端验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并使所述被许可端根据接收到的验证结果密文决定是否对所述被许可端中的待许可服务进行许可认证。
一种许可认证的装置，应用于被许可端，其中，包括：

发送单元，用于将携带有公钥和第一环境密文的注册信息发送给许可端；其中，所述第一环境密文是使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第一环境指纹为所述被许可端所在环境的软硬件特征信息；

收发单元，用于接收所述许可端提供的基于所述注册信息生成的许可密文；其中，所述许可密文是所述许可端用所述公钥对包含所述第一环境密文的许可信息进行加密，以及对加密后的许可信息进行同态加密得到的；

生成单元，用于生成包含所述许可密文、第二环境密文、所述公钥的验证请求；其中，所述第二环境密文是用所述公钥对当前获取的第二环境指纹进行加密得到的，所述第二环境指纹包括所述被许可端所在环境的软硬件特征信息；

所述发送单元，还用于将所述验证请求发送给验证端，使所述验证端通过所述第二环境密文验证所述许可密文中的所述第一环境密文来确定所述许可密文的真伪，并接收所述验证端发送的验证结果密文；

处理单元，用于用所述公钥对所述验证结果密文进行解密，获得验证结果，以便根据所述验证结果决定是否对本地存储的待许可服务进行许可认证。
一种许可认证的装置，应用于验证端，其中，包括：

接收单元，用于接收被许可端发送的验证请求；其中，所述验证请求是所述被许可端基于许可密文、第二环境密文、公钥生成的，所述许可密文是许可端用所述公钥对包含第一环境密文的许可信息进行加密，并对加密后的许可信息进行同态加密得到的，所述第一环境密文是所述被许可端使用私钥对当前获取的第一环境指纹进行加密后得到的，所述第二环境密文是用所述公钥对当前获取的第二环境指纹进行加密得到的，所述第一环境指纹包括所述被许可端所在环境的软硬件特征信息；

验证单元，用于对所述许可密文进行同态解密，并从同态解密后的许可密文中获取所述第一环境密文，用所述第二环境密文验证所述第一环境密文，获得验证结果密文；

发送单元，用于将所述验证结果密文发送给所述被许可端，使所述被许可端用公钥对所述验证结果密文进行解密得到验证结果，以便对所述被许可端中的待许可服务进行许可认证。
一种服务器，应用于许可端，其中，包括如权利要求8所述的装置。
一种电子设备，其中，包括如权利要求9和10所述的装置。
一种许可认证的系统，其中，包括如权利要求8-10任一项所述的装置。
一种许可认证的装置，其中，包括：

至少一个处理器，以及

与所述至少一个处理器连接的存储器；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如权利要求1-7任一项所述的方法。
一种可读存储介质，其中，包括存储器，

所述存储器用于存储指令，当所述指令被处理器执行时，使得包括所述可读存储介质的装置完成如权利要求1～7中任一项所述的方法。