一种许可证书管理方法、装置及系统

本发明涉及信息安全技术领域，具体涉及一种许可证书管理方法、 装置及系统。

视频监控、软件使用等服务提供商往往通过向客户发放许可(英文： license)证书来对不同客户提供不同的服务，例如，安全防范视频监控联 网系统(简称：视频监控系统)一方面对没有许可证书的用户不提供视频 监控服务，提高服务的安全性，另一方面根据许可证书中许可的条目提供 不同的视频监控服务，以满足用户对不同范围的监控及对视频监控系统服 务性能的不同需求。

在传统的视频监控系统许可证书管理方法中，常使用的是“设备与许 可证书绑定”形式：即系统中每个需要授权许可的设备绑定一个授权许可 证书。授权许可证书可为软件形式或硬件形式，例如软件形式的许可证书 文件，或者硬件形式的带USB接口的USBKey。每个许可证书中包含授权绑 定设备的唯一硬件标识，视频监控业务软件在运行时从许可证书中获取授 权信息进行验证，验证通过后才可运行监控业务。

随着云计算技术的不断成熟和广泛应用，视频监控系统也在逐步向虚 拟化、分布式计算、分布式存储方向发展，正在逐步发展成为云视频监控 系统。传统的许可证书管理方式逐渐不能满足云视频监控系统架构的需求， 主要体现在以下几个方面：

首先，在云视频监控系统的虚拟机环境中，视频监控业务软件在虚拟 机上运行，由云操作系统在不同的虚拟机间调度，并不限制在特定设备上。 传统方式下与硬件设备绑定的许可证书无法发挥作用。

其次，分布式环境下，一个视频监控系统中的不同设备可能部署在不 同的机房和地域。使用传统的许可证书管理方式，需要更换、升级许可证 书时，尤其是硬件USBKey形式的许可证书，需要人工对每一台设备进行 操作，运维成本巨大。

再次，分布式环境下，运营商为每一台设备购买了授权许可证书。运 营过程中，某台设备出现故障时，其对应的许可证书无法被其它设备复用， 造成了许可资源的闲置。

现有技术中的的许可证书管理方法，如中国专利文献CN102780572A 中公开了一种许可管理方法，需要用户在WEB页面端通过用户名和密码登 录license文件生成中心，根据购买的以及目前可用的license信息，逐 个将license权限分配到各设备。

上述人工分配许可证书的方式较为机械，过程繁琐，许可证书数量较 多时，分配人员工作量大、效率低下，许可证书管理系统的维护成本较大。 可见，现有技术中的证书管理方法已经无法适应目前视频监控系统的需要。

因此，本发明要解决的技术问题在于克服现有技术中人工分配许可证 书不够灵活、效率低下，许可证书管理系统维护成本大的缺陷，从而提供 一种许可证书管理方法，包括如下步骤：

接收许可证书申请请求，所述许可证书申请请求包括请求的许可证书 的许可条目；

判断是否存在符合所述许可证书申请请求的可分配的许可证书，所述 许可证书包括所述许可条目；

若存在，则按照许可证书申请请求将所述许可证书分配给许可证书客 户端。

优选地，所述判断是否存在符合所述许可证书申请请求的可分配的许 可证书的步骤中，包括：

获取许可资源池，所述许可资源池为可分配的许可证书的集合；

根据所述许可证书申请请求在所述许可资源池中进行查。

优选地，所述可分配的许可证书包括固定型许可证书和浮动型许可证 书，所述固定型许可证书只能分配给具有预定硬件标识的许可证书客户端， 所述浮动型许可证书能够分配给具有任意硬件标识的许可证书客户端；

所述许可证书申请请求中还包括请求的许可证书类型，所述许可证书 类型包括固定型许可证书和浮动型许可证书；

根据所述许可证书申请请求在所述许可资源池中进行查的步骤，包 括：

从所述许可资源池中，选择符合所述请求的许可证书类型的许可证书；

从所述符合所述请求的许可证书类型的许可证书中，查符合所述许 可条目的许可证书。

优选地，所述接收许可证书申请请求之前，还包括：

接收所述许可证书客户端的寻址请求后，将自身IP地址发送至所述许 可证书客户端，所述寻址请求包括所述许可证书客户端的IP地址。

优选地，所述方法还包括：通过与许可证书客户端定时互发心跳消息 的方式，实时监测与所述许可证书客户端的信令链路是否中断；

监测到与所述许可证书客户端的信令链路中断后，立即收回分配给所 述许可证书客户端的许可证书。

优选地，所述方法还包括：

接收许可证书客户端发送的释放许可证书的请求，所述释放许可证书 的请求包括所述许可证书客户端已申请到的许可条目；

判断所述请求释放的许可证书与自身记录的所述许可证书客户端已被 分配的许可证书是否一致；若一致，则收回所述许可证书并将其放入所述 许可资源池中，返回许可证书释放成功的消息给所述许可证书客户端。

优选地，在所述接收许可证书申请请求之前，还包括：

获取加密的许可证书文件，所述许可证书文件中包括可分配的许可证 书；

对所述加密的许可证书文件解密；若解密成功，则获取所述加密的许 可证书文件中可分配的许可证书，放入所述许可资源池中。

本发明还提供了一种许可证书管理方法，包括如下步骤：

向许可证书服务器发送许可证书申请请求，所述许可证书申请请求包 括请求的许可证书的许可条目；

接收所述许可证书服务器分配的许可证书。

优选地，所述许可证书申请请求还包括请求的许可证书类型，所述许 可证书类型包括固定型许可证书和浮动型许可证书，所述固定型许可证书 只能分配给具有预定硬件标识的许可证书客户端，所述浮动型许可证书能 够分配给具有任意硬件标识的许可证书客户端；

若所述许可证书申请请求中请求的许可证书类型为固定型许可证书， 则将自身的唯一硬件标识发送给所述许可证书服务器。

优选地，所述向许可证书服务器发送许可证书申请请求之前，还包括： 根据预先设定的组播地址，发送寻址请求，所述寻址请求中包括自身的IP 地址；

收到所述许可证书服务器的响应后，根据所述许可证书服务器的IP地 址建立信令链路；所述许可证书服务器的响应中包括所述许可证书服务器 的IP地址。

优选地，所述方法还包括：通过与所述许可证书服务器定时互发心跳 消息的方式，实时监测与所述许可证书服务器的信令链路是否中断；

监测到与所述许可证书服务器的信令链路中断后，延长预定时间段后， 使当前正在使用的许可证书失效。

优选地，所述方法还包括：向许可证书服务器发送释放许可证书的请 求，所述释放许可证书的请求包括自身已申请到的许可条目。

本发明提供了第一许可证书管理装置，包括：

第一接收单元，用于接收许可证书申请请求，所述许可证书申请请求 包括请求的许可证书的许可条目；

第一判断单元，用于判断是否存在符合所述许可证书申请请求的可分 配的许可证书，所述许可证书包括所述许可条目；

证书分配单元，用于若存在符合所述许可证书申请请求的可分配的许 可证书，则按照许可证书申请请求将所述许可证书分配给许可证书客户端。

优选地，所述可分配的许可证书包括固定型许可证书和浮动型许可证 书，所述固定型许可证书只能分配给具有预定硬件标识的许可证书客户端， 所述浮动型许可证书能够分配给具有任意硬件标识的许可证书客户端；

所述许可证书申请请求中还包括请求的许可证书类型，所述许可证书 类型包括固定型许可证书和浮动型许可证书；

所述第一判断单元，包括：

类型查子单元，用于从许可资源池中，选择符合所述请求的许可证 书类型的许可证书；所述许可资源池为可分配的许可证书的集合；

条目查子单元，用于从所述符合所述请求的许可证书类型的许可证 书中，查符合所述许可条目的许可证书。

优选地，所述装置还包括：

文件获取单元，用于获取加密的许可证书文件，所述许可证书文件中 包括可分配的许可证书；

文件解密单元，用于对所述加密的许可证书文件解密；

证书获取单元，用于若解密成功，则获取所述加密的许可证书文件中 可分配的许可证书，放入所述许可资源池中。

本发明还提供了第二许可证书管理装置，包括：

第一发送单元，用于向许可证书服务器发送许可证书申请请求，所述 许可证书申请请求包括请求的许可证书的许可条目；

证书接收单元，用于接收所述许可证书服务器分配的许可证书。

本发明提供了一种许可证书管理系统，包括许可证书服务器和许可证 书客户端；

所述许可证书服务器包括所述的第一许可证书管理装置；

所述许可证书客户端包括所述的第二许可证书管理装置。

优选地，每个许可证书管理系统具有唯一的密钥对，所述密钥对包括 公钥和私钥，许可证书授权方通过所述私钥进行加密，所述许可证书服务 器通过公钥进行解密。

优选地，所述系统还包括硬件USBKey，所述硬件USBKey具有唯一的 硬件标识,当所述硬件USBKey与所述许可证书服务器连接，并且通过权限 验证时,方可提供许可证书服务。

本发明技术方案，具有如下优点：

1.本发明提供的许可证书管理方法，通过许可证书客户端向许可证书 服务器发送许可证书申请请求，许可证书服务器查符合许可证书申请请 求的可分配的许可证书，并将其分配给许可证书客户端，实现了许可证书 的自动分配，分配效率高，减少了系统运营维护的成本。

2.本发明提供的许可证书管理方法，将可分配的许可证书放到许可资 源池这一集合中，便于分配许可证书时进行查，提高分配的效率。

3.本发明提供的许可证书管理方法，将许可证书分为固定型许可证书 和浮动型许可证书，固定型许可证书只能分配给具有预定硬件标识的许可 证书客户端，能够确保特定的许可证书分配给特定的一个或特定的一组许 可证书客户端，使可分配的许可证书分配时具有目的性，从而将特定的许 可证书客户端与一般许可证书客户端区分开来，为其提供特别的服务。浮 动型许可证书，能够分配给具有任意硬件标识的许可证书客户端，并不与 具有预定硬件标识的许可证书客户端绑定，可在不同时段被不同的许可证 书客户端共享，实现许可证书的复用，提高许可证书的利用率。运行业务 软件(如视频监控业务软件)的不同虚拟机，尤其是在云计算环境下，即 可申请浮动型许可证书。

4.本发明提供的许可证书管理方法，上述方案通过许可证书客户端向 许可证书服务器发送寻址请求获取许可证书服务器IP地址从而建立信令链 路，使得本申请的许可证书管理系统适用于IP地址不固定的网络系统，扩 大了本申请的适用范围。如云计算环境中节点IP动态分配，各计算节点的 IP地址常常不能固定，由云操作系统动态分配，本申请的许可证书管理方 法便可适用于云视频监控系统。

5.本发明提供的许可证书管理方法，通过许可证书服务器与许可证书 客户端定时互发心跳消息的方式，实时监测信令链路是否中断，减少了人 工维护许可证书管理系统的成本。在监测到信令链路中断后许可证书服务 器立即收回分配给该许可证书客户端的许可证书，减少了许可证书资源的 浪费；而许可证书客户端延长预定时间段之后使当前正在使用的许可证书 失效，由此许可证书客户端具有预定时间段来做相应处理，如备份数据， 或者由运维人员检测系统异常、恢复信令链路，增强了系统的容错机制， 提高了系统的可靠性。

6.本发明提供的许可证书管理方法，通过许可证书客户端主动向许可 证书服务器发送释放许可证书的请求，许可证书服务器判断请求释放的许 可证书与其自身所记录的许可证书客户端已被分配的许可证书是否一致， 若一致则收回许可证书放入到许可资源池中，提高了许可证书管理的灵活 性，避免了许可证书资源的浪费。

7.本发明提供的许可证书管理方法，通过许可证书客户端从外部获取 加密的许可证书文件，对加密的许可证书文件解密，若解密成功则可以获 取其中可分配的许可证书，放入到许可资源池中，提供了在许可证书管理 系统中对可分配的许可证书进行统一增加、更换、升级的方式，无需人工 对每一台许可证书客户端设备进行操作，降低了运营维护的成本。

8.本发明提供的许可证书管理系统，每个许可证书管理系统具有唯一 的密钥对，密钥对包括公钥和私钥，许可证书授权方通过私钥进行加密， 许可证书服务器通过公钥进行解密，提高了许可证书管理系统的安全性。

9.本发明提供的许可证书管理系统，硬件USBKey具有唯一的硬件标 识，不可仿制，增强了许可证书管理系统的安全性。此外，当所述硬件USB Key与所述许可证书服务器连接，并且通过权限验证时,方可提供许可证书 服务，将硬件USBKey连接许可证书服务器作为提供许可证书服务的必要 条件，进一步增强了许可证书管理系统的安全性。

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下 面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普 通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获 得其他的附图。

图1A为本发明实施例1和实施例2的一种许可证书管理方法的一个 具体示例的流程图；

图1B为本发明实施例1和实施例2的用于建立信令链路的一个具体 示例的流程图；

图1C为本发明实施例1中用于监测信令链路及维护已分配的许可证 书的一个具体示例的流程图；

图1D为本发明实施例1和实施例2的用于许可证书客户端主动请求 释放许可证书的一个具体示例的流程图；

图2A和2B为本发明实施例2中步骤S202的具体示例的流程图；

图2C为本发明实施例2中用于监测信令链路及维护已分配的许可证 书的一个具体示例的流程图；

图2D为本发明实施例2中用于获取可分配的许可证书的一个具体示 例的流程图；

图3A为发明实施例3和实施例4的一种许可证书管理装置的一个具 体示例的原理框图；

图3B为本发明实施例3和实施例4的用于建立信令链路的一个具体 示例的原理框图；

图3C为本发明实施例3中用于监测信令链路及维护已分配的许可证 书的一个具体示例的原理框图；

图3D为本发明实施例3和实施例4的用于许可证书客户端主动请求 释放许可证书的一个具体示例的原理框图；

图4A为本发明实施例4中一种许可证书管理装置的第一判断单元的 一个具体示例的原理框图；

图4B为本发明实施例4中用于监测信令链路及维护已分配的许可证 书的一个具体示例的原理框图；

图4C为本发明实施例4中一种许可证书管理装置用于获取可分配的 许可证书的一个具体示例的原理框图；

图4D为本发明实施例4中一种许可证书管理装置用于验证操作权限 的一个具体示例的原理框图；

图5为本发明实施例5中一种许可证书管理系统的一个具体示例的原 理框图。

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然， 所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发 明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得 的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“第一”、“第二”、“第三” 仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术 语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接， 也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接； 可以是直接相连，也可以通过中间媒介间接相连，还可以是两个元件内部 的连通，可以是无线连接，也可以是有线连接。对于本领域的普通技术人 员而言，可以具体情况理解上述术语在本发明中的具体含义。

此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼 此之间未构成冲突就可以相互结合。

实施例1

本实施例提供一种许可证书管理方法，用于许可证书客户端，如图1A 所示，包括如下步骤：

S101：向许可证书服务器发送许可证书申请请求，许可证书申请请求 包括请求的许可证书的许可条目。

许可证书中包括若干许可条目，例如，在视频监控系统中，许可条目 包括：作为许可证书唯一标识的许可证书编码、许可证书版本号、许可证 书创建日期、许可证书到期日期、最大码流转发路数、最大并发录像数、 最大监控点数、第三方厂商监控点数列表、是否允许第三方厂商设备直连 接入等。

请求的许可证书的许可条目，提出了对所请求的许可证书的许可条目 的要求，例如，许可证书申请请求中包括浮动型许可证书、2020年1月1 日到期、最大码流转发路数为100、最大并发录像数为20路等。

许可证书中的许可条目以键值对的形式存在。

S102：接收许可证书服务器分配的许可证书。

作为本实施例的一种优选实施方式，许可证书申请请求中还包括请求 的许可证书类型，许可证书类型包括固定型许可证书和浮动型许可证书， 固定型许可证书只能分配给具有预定硬件标识的许可证书客户端，浮动型 许可证书能够分配给具有任意硬件标识的许可证书客户端。

若许可证书申请请求中请求的许可证书类型为固定型许可证书，则许 可证书客户端需要将自身的唯一硬件标识发送给许可证书服务器。许可证 书客户端的硬件标识是其唯一标识，能够将其与网络中的其他许可证书客 户端区分开来，例如MAC地址。

作为本实施例的一种优选实施方式，步骤S101之前还包括建立信令链 路的步骤。当许可证书客户端已知许可证书服务器地址的情况下，许可证 书客户端根据指定地址与许可证书服务器进行通信。当许可证书客户端未 知许可证书服务器的地址时，如图1B所示，通过下述步骤获取许可证书服 务器的地址：

S103：根据预先设定的组播地址，发送寻址请求，该寻址请求中包括 许可证书客户端自身的IP地址。

采用IP组播技术，许可证书客户端和许可证书服务器使用约定好的IP 组播地址和端口接收和发送数据报。许可证书客户端首先向预先约定好的 IP组播地址和端口发送请求数据报，如UDP数据报，该请求数据报中包括 许可证书客户端的IP地址。

S104：收到许可证书服务器的响应后，根据许可证书服务器的IP地址 建立信令链路；许可证书服务器的响应中包括许可证书服务器的IP地址。

许可证书客户端接收到来自许可证书服务器的数据报之后，从数据报 中便可以获取许可证书服务器的IP地址，根据该IP地址与许可证书服务 器建立信令链路。

上述方案通过许可证书客户端向许可证书服务器发送寻址请求获取许 可证书服务器IP地址从而建立信令链路，使得本申请的许可证书管理系统 适用于IP地址不固定的网络系统，扩大了本申请的适用范围。如云计算环 境中节点IP动态分配，各计算节点的IP地址常常不能固定，由云操作系 统动态分配，本申请的许可证书管理方法便可适用于云视频监控系统。

作为本实施例的一种优选实施方式，如图1C所示，许可证书管理方法 还包括监测信令链路的步骤：

S105：通过与许可证书服务器定时互发心跳消息的方式，实时监测与 许可证书客户端的信令链路是否中断。

心跳消息(英文：HeartbeatMessage)，是许可证书服务器发送到许 可证书客户端，以及许可证书客户端发送到许可证书服务器的消息，该消 息可以不含任何实质有用的信息，使许可证书客户端和许可证书服务器获 知对方是否以及何时出现故障或通信终止。

本实施例中，心跳消息优选为许可证书客户端和许可证书服务器定时 互相发送的方式。

优选地，若许可证书客户端在检测到异常使信令链路中断后，其正在 使用的许可证书由于被许可证书服务器收回而立即失效。为保障许可证书 客户端上的业务不立即终止，执行步骤S106：

S106：在监测到与许可证书服务器的信令链路中断后，延长预定时间 段后，使当前正在使用的许可证书失效。

由此，许可证书客户端上的业务能够继续运行一段时间。例如，当系 统出现异常，如网络故障时，许可证书客户端监测到与许可证书客户端的 信令链路中断。为保障业务服务不马上中断，例如视频监控服务，设定预 定时间段为3天，在这3天之内许可证书客户端依然可以继续使用许可证 书服务，也依然能够使用视频监控服务，在3天之后便不可以再使用该许 可证书服务。

在此期间，许可证书客户端应不断尝试与许可证书服务器重行建立连 接。当许可证书客户端与许可证书服务器重新建立信令链路后，需要重新 向许可证书服务器申请新的许可证书。

上述通过定时发送心跳消息的方式，监测信令链路，减少了人工维护 许可证书管理系统的成本。在监测到信令链路中断后并不马上停止服务， 而给出预定时间段供许可证书客户端做相应处理，如备份数据，或者由运 维人员检测系统异常、恢复信令链路，增强了系统的容错机制，提高了系 统的可靠性。

作为本实施例的一种优选实施方式，如图1D所示，许可证书管理方法 还包括许可证书客户端主动请求释放许可证书的步骤：

S107：向许可证书服务器发送释放许可证书的请求，该释放许可证书 的请求包括许可证书客户端自身已申请到的许可证书的类型和/或已申请 到的许可条目。

例如，许可证书客户端请求释放浮动型许可证书，到期日期为2016年 1月1日，最大码流转发路数为200，最大并发录像数为30路。

上述许可证书客户端主动请求释放许可证书客户端的方案，提高了许 可证书管理的灵活性，避免了许可证书资源的浪费。

作为本实施例的一种优选实施方式，上述申请请求均采用XML格式。 此外通信过程中传输的消息采用DES对称加密算法进行加密，以增强许可 证书管理的安全性。

本实施例提供的一种许可证书管理方法，通过向许可证书服务器发送 许可证书申请请求，接收许可证书客户端分配的许可证书，实现了许可证 书的自动分配，分配效率高，减少了系统运营维护的成本。

实施例2

本实施例提供一种许可证书管理方法，用于许可证书服务器，如图1A 所示，包括如下步骤：

S201：接收许可证书申请请求。该许可证书申请请求由许可证书客户 端发出，具体发出方式见实施例1中的S101。

S202：判断是否存在符合许可证书申请请求的可分配的许可证书，该 许可证书包括许可条目。

S203：若存在，则按照许可证书申请请求将许可证书分配给许可证书 客户端。

符合许可证书申请请求的可分配的许可证书可能有多个，则选择其中 任一个分配给许可证书客户端。

作为本实施例的一种优选实施方式，可分配的许可证书包括固定型许 可证书和浮动型许可证书，固定型许可证书只能分配给具有预定硬件标识 的许可证书客户端，浮动型许可证书能够分配给具有任意硬件标识的许可 证书客户端。优选地，同一浮动型许可证书同一时刻只能被一个许可证书 客户端使用，以提高许可证书管理的有效性；此外，当许可证书类别为固 定型许可证书时，许可条目还包括此许可证书所能够分配的许可证书客户 端的预定硬件标识。一个固定型许可证书所能够分配的许可证书客户端可 以为一个；也为多个或一组，以灵活限定许可证书所能够分配的许可证书 客户端的范围。

固定型许可证书，能够确保特定的许可证书分配给特定的一个或特定 的一组许可证书客户端，使可分配的许可证书分配时具有目的性，从而将 特定的许可证书客户端与一般许可证书客户端区分开来，为其提供特别的 服务。浮动型许可证书，并不与具有预定硬件标识的许可证书客户端绑定， 可在不同时段被不同的许可证书客户端共享，实现许可证书的复用，提高 许可证书的利用率。运行业务软件(如视频监控业务软件)的不同虚拟机， 尤其是在云计算环境下，即可申请浮动型许可证书。

作为本实施例的一种优选实施方式，如图2A所示，步骤S202包括：

S202a：获取许可资源池，许可资源池为可分配的许可证书的集合。

许可资源池是通过向许可证书服务器中导入可分配的许可证书的形式 预先获取的，或者在许可证书管理系统维护过程中还可以导入的新购买的 许可证书以供分配。

S202b：根据许可证书申请请求在许可资源池中进行查。优选地，如 图2B所示，步骤S202b包括：

S202b-1：从许可资源池中，选择符合请求的许可证书类型的许可证书。

例如，许可证书客户端申请的许可证书为浮动型许可证书、2020年1 月1日到期、最大码流转发路数为100、最大并发录像数为20路，则需要 先在许可资源池中查出浮动型许可证书，例如A、B、C、D。

S202b-2：从符合请求的许可证书类型的许可证书中，查符合许可条 目的许可证书。

沿用上例，再从A、B、C、D中查出2020年1月1日到期、最大码 流转发路数为100、最大并发录像数为20路的许可证书。如果A、B、C符 合，则任选一个分配给许可证书客户端；若仅A符合，则将A分配给许可 证书客户端；若A、B、C、D都不符合，则该许可证书客户端本次申请失败。

需要补充说明的是，上述步骤S202b-1和步骤S202b-2的顺序可以颠 倒，本申请对此不做限定。

上述将可分配的许可证书放到许可资源池这一集合中，许可资源池具 体可以为预定的一片存储区域，或预定的链表结构，便于分配许可证书时 进行查，提高分配的效率。

作为本实施例的一种优选实施方式，步骤S201之前还包括建立信令链 路的步骤。当许可证书客户端未知许可证书服务器的地址时向许可证书服 务器发送寻址请求，如图1B所示，许可证书服务器执行下述步骤：

S204：接收许可证书客户端的寻址请求后，将许可证书服务器自身IP 地址发送至许可证书客户端。

许可证书服务器在预先约定好的IP组播地址和端口上接收请求数据报 后，解析出数据报中的许可证书客户端的IP地址并生成响应数据报，如UDP 数据报，发送到许可证书客户端的IP地址，响应数据报中包含许可证书服 务器的实际IP地址。

作为本实施例的一种优选实施方式，如图2C所示，许可证书管理方法 还包括监测信令链路及维护已分配的许可证书的步骤：

S205：通过与许可证书客户端定时互发心跳消息的方式，实时监测与 许可证书客户端的信令链路是否中断。

本实施例中，心跳消息优选为许可证书客户端和许可证书服务器定时 互相发送的方式。

S206：监测到与许可证书客户端的信令链路中断后立即收回分配给该 许可证书客户端的许可证书。

上述通过定时发送心跳消息的方式，监测信令链路，减少了人工维护 许可证书管理系统的成本。

作为本实施例的一种优选实施方式，如图1D所示，许可证书管理方法 还包括处理许可证书客户端主动请求释放许可证书的步骤。

S207：接收许可证书客户端发送的释放许可证书的请求。

S208：判断请求释放的许可证书与许可证书服务器自身记录的该许可 证书客户端已被分配的许可证书是否一致；若一致，则收回该许可证书并 将其放入许可资源池中，返回许可证书释放成功的消息给该许可证书客户 端。

许可证书服务器将许可证书分配给许可证书客户端时，都会记录下所 分配的许可证书对应的许可证书客户端。若请求释放的许可证书与许可证 书客户端已被分配的许可证书是一致的，则释放成功，许可证书服务器将 该许可证书放入许可资源池中，供下次分配，以提高许可证书的利用率； 否则释放失败。

上述许可证书客户端主动请求释放许可证书客户端的方案，提高了许 可证书管理的灵活性，避免了许可证书资源的浪费。

作为本实施例的一种优选实施方式，上述申请请求的响应均采用XML 格式。此外通信过程中传输的消息采用DES对称加密算法进行加密，以增 强许可证书管理的安全性。

作为本实施例的一种优选实施方式，如图2C，步骤S201之前还包括获 取可分配的许可证书的步骤。

S209：获取加密的许可证书文件，该许可证书文件中包括可分配的许 可证书。

在导入之前，为增强许可证书管理的安全性，许可证书授权方将许可 证书打包在许可证书文件中，并对许可证书文件加密。优选地，许可证书 授权方通过私钥对许可证书文件进行加密。

S210：对该加密的许可证书文件解密；若解密成功，则获取该加密的 许可证书文件中可分配的许可证书，放入许可资源池中。

优选地，许可证书服务器通过公钥对许可证书文件进行解密。对许可 证书文件进行加密的私钥和解密的公钥采用RSA不对称加密算法。

在上述步骤S209之前，为增强许可证书管理的安全性，还需要从外部 获取唯一序列号及对应的序列号密文，优选地，该唯一序列号及对应的序 列号密文存储于硬件USBKey中，唯一序列号是其唯一硬件标识，序列号 密文是对唯一序列号采用私钥加密后得到的；许可证书服务器采用公钥对 序列号密文进行解密，优选地，对唯一序列号进行加密的私钥和对序列号 密文进行解密的公钥采用RSA不对称加密算法；将解密后的序列号密文与 唯一序列号进行比对，若解密后的序列号密文与唯一序列号一致，许可证 书服务器方可执行上述步骤S209。

需要补充说明的是，上述唯一序列号加解密用的密钥对和许可证书文 件加解密用的密钥对可以是相同的密钥对，也可以是不同的密钥对。优选 地，采用相同的密钥对，许可证书服务器仅需持有一个公钥，以减少许可 证书管理系统中冗余的设置，又能保证许可证书管理的安全性。

上述方案提供了许可证书服务器从外部获取可分配的许可证书的方 式，类似地可以想到从许可证书服务器中删除许可证书的步骤，本申请在 此不做限定。上述方案提供了在许可证书管理系统中对可分配的许可证书 进行统一增加、更换、升级的方式，无需人工对每一台许可证书客户端设 备进行操作，降低了运营维护的成本。

另外，上述许可证书服务器从外部获取许可证书之前，需要先获取唯 一序列号及对应的序列号密文，对序列号密文进行解密后，与唯一序列号 进行比对，若一致才可以从外部获取许可证书，可以有效防止非许可证书 授权方仿制许可证书，并将其注入许可证书管理系统对系统进行攻击，增 强了许可证书管理的安全性。

本实施例提供的一种许可证书管理方法，接收许可证书客户端发送的 许可证书申请请求，查符合许可证书申请请求的可分配的许可证书，并 将其分配给许可证书客户端，实现了许可证书的自动分配，分配效率高， 减少了系统运营维护的成本。

实施例3

本实施例提供一种许可证书管理装置，用于许可证书客户端，如图3A 所示，包括第一发送单元10和证书接收单元50。

第一发送单元10，用于向许可证书服务器发送许可证书申请请求，许 可证书申请请求包括请求的许可证书的许可条目。

证书接收单元50，用于接收许可证书服务器分配的许可证书。

作为本实施例的一种优选实施方式，许可证书申请请求中还包括请求 的许可证书类型，许可证书类型包括固定型许可证书和浮动型许可证书。 第一发送单元10，还用于若许可证书申请请求中请求的许可证书类型为固 定型许可证书，则将自身的唯一硬件标识发送给许可证书服务器。

作为本实施例的一种优选实施方式，如图3B所示，该许可证书管理装 置还包括用于建立信令链路的第二发送单元61和链路建立单元63。

第二发送单元61，用于根据预先设定的组播地址，发送寻址请求，寻 址请求中包括许可证书客户端自身的IP地址。

链路建立单元63，用于收到许可证书服务器的响应后，根据许可证书 服务器的IP地址建立信令链路；许可证书服务器的响应中包括许可证书服 务器的IP地址。

上述方案通过许可证书客户端向许可证书服务器发送寻址请求获取许 可证书服务器IP地址从而建立信令链路，使得本申请的许可证书管理系统 适用于IP地址不固定的网络系统，扩大了本申请的适用范围。如云计算环 境中节点IP动态分配，各计算节点的IP地址常常不能固定，由云操作系 统动态分配，本申请的许可证书管理方法便可适用于云视频监控系统。

作为本实施例的一种优选实施方式，如图3C所示，许可证书管理装置 用于监测信令链路的实时监测单元71和延长使用单元72。

实时监测单元71，用于通过与许可证书客户端定时互发心跳消息的方 式，实时监测与许可证书客户端的信令链路是否中断。

延长使用单元72，用于监测到与所述许可证书服务器的信令链路中断 后，延长预定时间段后，使当前正在使用的许可证书失效。

在该许可证书客户端与许可证书服务器的信令链路中断之后的预定时 间段内，该许可证书客户端的许可证书业务及其所接受的服务不中断。

上述通过定时发送心跳消息的方式，监测信令链路，减少了人工维护 许可证书管理系统的成本。在监测到信令链路中断后并不马上停止服务， 而给出预定时间段供许可证书客户端做相应处理，如备份数据，或者由运 维人员检测系统异常、恢复信令链路，增强了系统的容错机制，提高了系 统的可靠性。

作为本实施例的一种优选实施方式，如图3D所示，许可证书管理装置 还包括用于许可证书客户端主动请求释放许可证书的第三发送单元81。

第三发送单元81，用于向许可证书服务器发送释放许可证书的请求， 释放许可证书的请求包括许可证书客户端自身已申请到的许可证书的类型 和/或已申请到的许可条目。

上述许可证书客户端主动请求释放许可证书客户端的方案，提高了许 可证书管理的灵活性，避免了许可证书资源的浪费。

本实施例提供的一种许可证书管理装置，通过向许可证书服务器发送 许可证书申请请求，接收许可证书客户端分配的许可证书，实现了许可证 书的自动分配，分配效率高，减少了系统运营维护的成本。

实施例4

本实施例提供一种许可证书管理装置，用于许可证书服务器，如图3A 所示，包括第一接收单元20、第一判断单元30和证书分配单元40。

第一接收单元20，用于接收许可证书申请请求。

第一判断单元30，用于判断是否存在符合许可证书申请请求的可分配 的许可证书，许可证书包括许可条目。

证书分配单元40，用于若存在符合许可证书申请请求的可分配的许可 证书，则按照许可证书申请请求将许可证书分配给许可证书客户端。

作为本实施例的一种优选实施方式，可分配的许可证书包括固定型许 可证书和浮动型许可证书，固定型许可证书只能分配给具有预定硬件标识 的许可证书客户端，浮动型许可证书能够分配给具有任意硬件标识的许可 证书客户端。优选地，同一浮动型许可证书同一时刻只能被一个许可证书 客户端使用，以提高许可证书管理的有效性。

固定型许可证书，能够确保特定的许可证书分配给特定的一个或特定 的一组许可证书客户端，使可分配的许可证书分配时具有目的性，从而将 特定的许可证书客户端与一般许可证书客户端区分开来，为其提供特别的 服务。浮动型许可证书，并不与具有预定硬件标识的许可证书客户端绑定， 可在不同时段被不同的许可证书客户端共享，实现许可证书的复用，提高 许可证书的利用率。运行业务软件(如视频监控业务软件)的不同虚拟机， 尤其是在云计算环境下，即可申请浮动型许可证书。

作为本实施例的一种优选实施方式，第一判断单元30，如图4A所示， 包括类型查子单元31和条目查子单元32。

类型查子单元31，用于从许可资源池中，选择符合请求的许可证书 类型的许可证书。许可资源池为可分配的许可证书的集合。将可分配的许 可证书放到许可资源池这一集合中，许可资源池具体可以为预定的一片存 储区域，或预定的链表结构，便于分配许可证书时进行查，提高分配的 效率。

条目查子单元32，用于从符合请求的许可证书类型的许可证书中， 查符合许可条目的许可证书。

作为本实施例的一种优选实施方式，如图3B所示，许可证书管理装置 还包括用于建立信令链路的第二接收单元62。

第二接收单元62，用于接收许可证书客户端的寻址请求后，将许可证 书服务器自身IP地址发送至许可证书客户端。

作为本实施例的一种优选实施方式，如图4B所示，许可证书管理装置 用于监测信令链路及维护已分配的许可证书的实时监测单元91和证书收回 单元92。

实时监测单元91，用于通过与许可证书客户端定时互发心跳消息的方 式，实时监测与许可证书客户端的信令链路是否中断。

证书收回单元92，用于监测到与许可证书客户端的信令链路中断后， 立即收回分配给该许可证书客户端的许可证书。

上述通过定时发送心跳消息的方式，监测信令链路，减少了人工维护 许可证书管理系统的成本。

作为本实施例的一种优选实施方式，如图3D所示，许可证书管理装置 还包括用于处理许可证书客户端主动请求释放许可证书的第三接收单元82 和证书释放单元83。

第三接收单元82，用于接收许可证书客户端发送的释放许可证书的请 求。

证书释放单元83，用于判断请求释放的许可证书与许可证书服务器自 身记录的该许可证书客户端已被分配的许可证书是否一致；若一致，则收 回该许可证书并将其放入许可资源池中，返回许可证书释放成功的消息给 该许可证书客户端。

上述许可证书客户端主动请求释放许可证书客户端的方案，提高了许 可证书管理的灵活性，避免了许可证书资源的浪费。

作为本实施例的一种优选实施方式，如图4C所示，许可证书管理装置 还包括许可证书服务器中用于获取可分配的许可证书的文件获取单元011、 文件解密单元012和证书获取单元013。

文件获取单元011，用于获取加密的许可证书文件，许可证书文件中包 括可分配的许可证书。

文件解密单元012，用于对加密的许可证书文件解密。

证书获取单元013，用于若解密成功，则获取加密的许可证书文件中可 分配的许可证书，放入许可资源池中。

作为本实施例的一种优选实施方式，如图4D所示，许可证书管理装置 还包括许可证书服务器中用于验证操作权限的序列号获取单元021、密文解 密单元022和比对判断单元023。

序列号获取单元021，用于从外部获取唯一序列号及对应的序列号密 文。

密文解密单元022，用于对序列号密文进行解密。

比对判断单元023，用于将解密后的序列号密文与唯一序列号密文进行 比对；若解密后的序列号密文与唯一序列号密文一致，方可从外部获取加 密的许可证书文件或提供许可证书服务。优选地，唯一序列号和序列号密 文存于硬件USBKey中，唯一序列号为USBKey的唯一硬件标识，序列号 密文是对对唯一序列号采用私钥加密后得到的；许可证书服务器采用公钥 对序列号密文进行解密，优选地，对唯一序列号进行加密的私钥和对序列 号密文进行解密的公钥采用RSA不对称加密算法；将解密后的序列号密文 与唯一序列号进行比对，若解密后的序列号密文与唯一序列号一致，方可 从外部获取加密的许可证书。

需要补充说明的是，上述唯一序列号加解密用的密钥对和许可证书文 件加解密用的密钥对可以是相同的密钥对，也可以是不同的密钥对。优选 地，采用相同的密钥对，许可证书服务器仅需持有一个公钥，以减少许可 证书管理系统中冗余的设置，又能保证许可证书管理的安全性。

上述方案提供了许可证书服务器从外部获取可分配的许可证书的方 式，类似地可以想到从许可证书服务器中删除许可证书的步骤，本申请在 此不做限定。上述方案提供了在许可证书管理系统中对可分配的许可证书 进行统一增加、更换、升级的方式，无需人工对每一台许可证书客户端设 备进行操作，降低了运营维护的成本。

另外，上述许可证书客户端从外部获取许可证书之前，需要先获取唯 一序列号及对应的序列号密文，对序列号密文进行解密后，与唯一序列号 进行比对，若一致才可以从外部获取许可证书，可以有效防止非许可证书 授权方仿制许可证书，并将其注入许可证书管理系统对系统进行攻击，增 强了许可证书管理的安全性。

本实施例提供的一种许可证书管理装置，接收许可证书客户端发送的 许可证书申请请求，查符合许可证书申请请求的可分配的许可证书，并 将其分配给许可证书客户端，实现了许可证书的自动分配，分配效率高， 减少了系统运营维护的成本。

实施例5

本实施例提供一种许可证书管理系统，如图5所示，包括许可证书服 务器和许可证书客户端。许可证书服务器包括实施例4所述的装置，许可 证书客户端实施例3所述的装置。

例如，许可证书服务器为一台计算机，许可证书客户端为若干个视频 监控设备，例如NVR，解码器等，或者许可证书客户端也可以是用户使用的 监控平台。

作为本实施例的一种优选实施方式，密钥对包括公钥和私钥，私钥由 许可证书授权方保管。

唯一序列号加解密用的密钥对和许可证书文件加解密用的密钥对包括 公钥和私钥，许可证书授权方通过私钥对唯一序列号和/或许可证书文件进 行加密，证书服务器通过公钥对加密后的序列号密文和/或许可证书文件进 行解密。

密钥对采用RSA非对称加密算法，唯一序列号加解密用的密钥对和许 可证书文件加解密用的密钥对可以是相同的密钥对，也可以是不同的密钥 对。优选地，采用相同的密钥对，许可证书服务器仅需持有一个公钥。每 个许可证书管理系统具有唯一的密钥对，即每个许可证书服务器所持有的 公钥是区别于其他许可证书管理系统的公钥的。

作为本实施例的一种优选实施方式，许可证书服务器具有USB接口， 许可证书管理系统还包括硬件USBKey，硬件USBKey具有唯一的硬件标识, 当硬件USBKey与许可证书服务器连接，并且通过权限验证时,方可提供许 可证书服务。

优选地，唯一序列号为硬件USBKey的唯一硬件标识，硬件USBKey 还存储了序列号对应的序列号密文。权限验证的方式包括：许可证书服务 器读取唯一序列号及序列号密文，通过公钥进行解密，若解密成功，则验 证通过。

作为本实施例的一种优选实施方式，许可证书服务器定时获取该硬件 USBKey的插入状态，一旦发现硬件USBKey被拔出，立即停止许可证书服 务，即许可证书服务器不可以再为许可证书客户端分配许可证书，并且收 回所有已分配的许可证书，被收回的许可证书的原先持有客户端不再可以 依据许可证书获取服务，如视频监控服务。

上述将硬件USBKey连接许可证书服务器作为提供许可证书服务的必 要条件，增强了许可证书管理系统的安全性。此外，在硬件USBKey中存 储了唯一序列号及其对应的序列号密文，许可证书服务器需要先获取唯一 序列号及对应的序列号密文，对序列号密文进行解密后，与唯一序列号进 行比对，若一致才可以提供许可证书服务，进一步增强了许可证书管理的 安全性。

本实施例提供的一种许可证书管理系统，通过许可证书客户端向许可 证书服务器发送许可证书申请请求，许可证书服务器查符合许可证书申 请请求的可分配的许可证书，并将其分配给许可证书客户端，实现了许可 证书的自动分配，分配效率高，减少了系统运营维护的成本。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方 式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可 以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予 以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保 护范围之中。