国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      網(wǎng)絡中無線終端和設備之間建立安全會話的方法

      文檔序號:7667174閱讀:236來源:國知局
      專利名稱:網(wǎng)絡中無線終端和設備之間建立安全會話的方法
      網(wǎng)絡中無線終端^i殳備 之間lt^^^話的方法本發(fā)明涉;sjL線移動電話領域。更特別地,本發(fā)明涉及網(wǎng)絡中在無線通信 終端與設備項之間^1"$^話的方法。^M^發(fā)明的剩^P分中,終端:t^能夠在移動無線電話網(wǎng)絡和^K類型 的勤以網(wǎng)絡如WLAN (無^域網(wǎng))中運m^S可便攜式^L設備,移動無線 電話網(wǎng)^N如GSM、 GPRS、 UMTS、 CDMA。
      背景技術
      ^Lt技術中,鍵交換和數(shù)據(jù)處iSj^im的問題已引起很長時間的注 意。直到今天,已基于已知的密^#^^議了多種解決方案。特別地,管理公 鑰的J^i5^fe (〈(Public Key Infrastructure》《>5H^i /Rl{i5^》一PKI) ^U^于 不對稱密鑰M (^^1 Kp, ^ Ks) J^j^新開發(fā)的。Kp與用^碼 或解碼^^1^N^收恭之間傳送的消息的一系列圖相對應,且與"tMfc你為私 鑰Ks的財?shù)拿荑€相關。因此該消息可以被"^J^I戶已知的乂^編^P僅由接 收器已知的密鑰糾,iU目反由糊Ks編#由^^ Kp糾。然而,4M公 鑰Kp編輛保消息的機密性,使用私鑰Ks編輛保它的完塾性。為了初始^^交換或訪問#的內(nèi)容,這個解決方案^l^f^I^^共加密 密鑰Kp ^^吏用證書,公共加密密鑰^iit只有相關私鑰Ks的持有者食 密消息, 因為證書被發(fā)il^構('H人證中心"-AUC)頒發(fā)(由糊Ks加密),所以證書 ^^f吏得同伴的身份與^^ Kp相關耽認證中心AUC以已知的方^^Mt用戶的認iiJL參與無線接口上^il的 ^1據(jù)的 性,該接口^動終端和它4^定時刻所屬的^^U'司。但是,上5^決方案不完4>^。例如,iUiit程的啟動^i個弱點,因為有許多證書策略的確沒有相同安全度的證書機構。"fii用戶對其不了解且例如不知道絲一些減敝的證書是非常危,。W卜,^ Ks的^f^皮證明是個問題,尤其在用戶為了訪問被儲內(nèi)容而想知itii個密鑰時。為了防止_&&保護內(nèi)容必須適應《攻擊者》不是來自外面而通常;^I戶本身時的情況。大多W^解決賴不考;iii種可能性。財^^HW^發(fā)布數(shù)字內(nèi)容的機制。因此,可由訪問權(例M過DRM在最新;&^中(如,《Open Mobile Alliance》(《開ifcf多動城》)的OMA DRM v2標準),獄&^^f端中初始^N!^^/證書。這種獄適于^^多動電 話網(wǎng)^L布內(nèi)容。而且為市場上可用的移動終端的^t形式的實施例提供M結 構或機制,以限制:^fc移動終端所特有的私鑰的風險。通常,用^ML布妙內(nèi)容的方法應用允許^H^I于受獄內(nèi)容(DRM 內(nèi)容)的用戶權利和允許內(nèi)^^W密的密鑰?!?lt;DRM Spec沮cation》(《DRM規(guī) 范》)2.0-2006年3月3日OMA-TS-DRM-DRM-V2_>20060303-A 給出^itil些用戶糸l^ (《(RightObjection》(〈^U'j對^)〉) -RO)的例子,為了在終端和具有網(wǎng)絡資源的"目標"設備之間建立^^,可發(fā)現(xiàn)不同 的妙機制一對于GSM/UMTS,移動終端具有"^^元件,(U)SEM卡,該元件允許 通ii^示"i尸v^—對稱密鑰對(IMSI-Ki)識別^i人iit用戶;一對于專用網(wǎng)(虛擬專用網(wǎng)-VPN),終端上的私鑰^ii書的存在經(jīng)常用于 ^終端^i殳4^J司的^4^";一對于因特網(wǎng)接入提供商,經(jīng)常例如以W肌粒^4^:系,以Xi^接入設 備(>^^稱為《盒子》)項和終端。it些保護方法的一^Nt泉是需^^^^煩的配5^刀始^^f,因jtbtt于會話要考4^端的特^MNr征。因此,需J^M^粒時間^^/連接時對終端的強 認證的絲方法,該方法U艮了對如(u) sim卡的iit件的需要iUJ艮了麻煩的g&置^f,如對專用VPN網(wǎng)所實施的那些S&置程序,或與《Box》(《盒子》)發(fā)明內(nèi)容本發(fā)明的目的是通過確定一個方法來消R^^"的一個或多頓陷,該 方法將對終端的^H人證與簡單請^N目結合,該請^^踏將允i恃問服務
      器的設備(無論這個設備是服務器還是連接盒子[如ADSL或勤以物的盒子) 連接到網(wǎng)絡或一些URL躲。為此目的,本發(fā)明涉及在經(jīng)網(wǎng)絡互連的無線終端^i殳備之間lti^^ 的方法,其特征在于,該方法包括一終端向傳iHi5U,J對象中的用戶權利的服務器的先前注冊步驟,該注冊步 驟使得服務器能夠記^f端的識別數(shù)^^Hf端提供適合與服務器通信的^^ 的元件;一發(fā)布終端建立所使用的秘密和將用戶^M,J發(fā)i^f端,發(fā)送的用戶 糊^^問設備的許可。使用與發(fā)布用戶權利的服務^^接的認證系統(tǒng)的方法,^f端和服務^L 間紅特^Mt信之前,iFJ5,J終端和產(chǎn)生所鄉(xiāng)密,以允i恃問設備。因此,本發(fā)明的方法有利地建議^^I^^元件管^f端上的^^內(nèi)容,以 允許xjyf端^i殳備項之間lti"^^^/連接。使用此方法,因此能保iit^^^/ 連^fe時對終端的可靠認證,同時避免在初始化終端時配置很少且甚至從不被使用的秘密/安全元件的需要。認證是強的,因為它再生了用于DRM的元件/ "S^機制如,嵌入具有硬^if端OS的專用安全微電路(芯片)。根據(jù)另一個方面,為了建立會話,該方法包括一通過終端識別和終端授權數(shù)據(jù),由與服務器連接的i人證系統(tǒng)執(zhí)行的 終端識別步驟;一如果終端識別步驟成功,由認證系統(tǒng)產(chǎn)生會話密鑰的步驟,隨后是由終 端接收會話密鑰的步驟;—由服務器產(chǎn)生W,j對象的產(chǎn)生步驟,通過與絲密鑰分離來獄所狄 利對象,所i^,J對糾^J戶^,,該用戶^U,J考艦過伊^數(shù)I^只別的終 端特徙一終端和所述服務器間的通信步驟,其中服務器將權利對象傳ill^f端;—由終端通過首先4M由認證系統(tǒng)產(chǎn)生的絲密鑰和其次使用包含在由服 務器傳遞的權利對財象中的用戶權利來訪問設備的步驟。根據(jù)另一個方面,該方法包括終端識別數(shù)據(jù)存儲在在認證系統(tǒng)可用的絲 ^^中的#^#驟。根據(jù)另一個方面,由服務器產(chǎn)生權利對象的步驟的執(zhí)行OMAV2標雄
      的D腹艦。因此,為了允"i情問設備,特別以加密對象DCF的形iC^布所發(fā)布的內(nèi)容 且該內(nèi)容由按照標準OMA V2的W'J^樹象(RO)獄且僅狄線終端用 戶訪問。要理解,使用本發(fā)明的方法,以唯1式^^)認# DRM加密機制 (OMAV2標準),以交換一個或多^^密,該秘密能^一個或多^Hf端和一 個或多^H殳M之間的一個或多個^^i^/連接。才M&另一個方面,由認證系^ft的終端識別步驟^^l^認證系^所 iiJi艮務恭t間的通信步驟,其中認證系統(tǒng)向服務^送被固定到終端的唯^ 接械尿根提另一個方面,終端向服務器發(fā)送的請求步驟啟動終端和所^艮務^ 間的所i^i信步驟以獲得加密獄的^U,j對象,該W'j對象的密鑰與終端相關。 才MI另一個方面,服務器單方面啟動終端和所^良務H^J'司的所iiit信步^M^傳遞與終端相關的受獄;M,j對象。才娥另一個方面,終端進行且凈iL^lUiJ認iil良務器的請求步驟啟動終端和 所述認iU3良務^L間的所iiii信步驟。才艮悟另一個方面,認iU良務器單方面啟動終端和所述認ill艮務恭之間的所 i^ii信步驟來將加密的對象傳illl^f端。才艮提另一個方面,終端進行的向DRM >[,良務器的請求步驟啟動終端和 DRM >(鵬良務軟間的所艦信步驟。根椐另一個方面,DRM^^艮務器單^面啟動終端和所述DRM^SUi良務 ^間的所iiit信步^U^傳it^密對象DCF ^M'J對象RO。條另一個方面,本發(fā)明的方法包減i^f端的密^^f端對^UO對 IM^加密的對象DCF的解密步驟,在注##驟期間由服務器識別該密> %^。條另一個方面,該方法包^i人證系M^所^良務IMU'司的通信步驟,其 中認證系統(tǒng)向服務H^i^少一個加密/解密密鑰。根提另一個方面,由認證系統(tǒng)傳遞的加密對象DCF和由服務^iH的相剎 對象RO由終M收且由DRM代理(適于標準DRM OMA V2)處理, 密加密的對R后,通過使用與終端相關的權利對象和^^1終端中的與設4^人 證的連接g,進"ft^設備的訪問步驟。根提另一個方面,認iiEJ!良務ll^至少一個加密/解密密鑰插;NJiJ^fM^f端
      的加密對象DCF中。才艮梧另一個方面,認證系統(tǒng)向設4^a飽艮務器的URL資源地址,該次 飽艮務H^鄉(xiāng)帶"密鑰的DCF格式的對象,使4^f端的連^^能向這個 次淘良務器發(fā)送請求來請求DCF格式(攜帶絲密鑰)的對象,該對象4^f端 負&夠訪問i殳備,^f端DRM^3S應用加密/解密密鑰后,^Eif端以)lf Wi^ 索該^l"密鑰。才娘另一個方面,認證系統(tǒng)向設^f^iii良務器的URL資源AkJa:,使得當連 接請^t^鈔欣備時,終端能物捐這個URL資源躲齡所述的注財 驟。才娥另一個方面,終端以;s^u'j對象^^bf^^密鑰(包含在DCF中)的糾,如,指定絲密鑰的有糊期的數(shù)據(jù)或^^I絲密鑰的有FIU^數(shù)。 才艮提另一個方面,認御良務器在產(chǎn)i^密對象DCF的步驟期間M終端特征以^密對象中確定和指示最適^i殳備^f端的^類型。根椐另一個方面,該方法包括西2^步#共享步驟,其中,酉封步驟用于終端,以及共享步驟用于共享由認證系統(tǒng)所產(chǎn)生的加密對象DCF和包含擬(剎 對象RO中的^^^*。本發(fā)明的另一個目的濕j^Hi過使用無錢通信終端中的考^NM^索必m據(jù)JL確^f)Mf端的^i人證,來與無線電話網(wǎng)絡設^tiL^。為此目的,本發(fā)明涉;S3十^f呈序,該程序可直接下載到位于無線通信終端 中的數(shù)字處理單元的內(nèi)wt器中,該無^t信終端能與無線電話網(wǎng)絡通信,所i^f端包括4^f端"iX^數(shù)據(jù)的裝置,^4HiMfe于所ii^包括當數(shù)字處 理單^t^行所^^時敝下列步驟的軟件^(WP^:4it^傳送伊^數(shù)據(jù),以使得終^fM網(wǎng)絡認證系統(tǒng)識別自身;"^:由發(fā)布受獄用戶;M'J的服務器所勿賦的^U'財^;4收由發(fā)布認"M6密的認御l務器所^ill的加密對^;—DRM儲朋糊對^iU^密加密對^;一*密對象中提取包舍沐問網(wǎng)絡的設備頃的許可的用戶相jf ,J;~^^] DRM ^fW^網(wǎng)^^:的數(shù)據(jù)中提取由認證系統(tǒng)所產(chǎn)生的至少一 ,密;"^f^所^^密(作為會話密鑰)和用戶WJ建立無線終端和網(wǎng)絡設R


      參照作為非限制例子給出的附圖閱讀說明書,本發(fā)明以及^#4£^優(yōu)點將 會變得更顯而易見,其中圖1示出了^4^械明方法的順序J^呈的第"H^J子;圖2示出了^^械明方法的順序 旅的第^^子;圖3示出了終端使用的方法的一個實施例的示意圖,該方法獲取與網(wǎng)絡i殳 4^Ifci:^^所需的秘密。參照圖3,無線通信終端10可具有確保高等級^4H4的DRM代理。這個 DRM ^K^可有利地完4^守OMA鉢2標準(開放移動鄉(xiāng))且包括至少 一個密>5^:12。 ^M^發(fā)明的一個實施例中,DRM ^3g支持靈活^^I模型, 如內(nèi)M享。它允許^^提供和管理:H多動域內(nèi)的音樂^M的內(nèi)容。有利地 是,這個DRM ^3S可由終端10的連接餅^^吏用,該連接辦4M^管 理使用經(jīng)網(wǎng)絡N檢索的秘密和用戶^^,從而這^Ni^f吏^f iSitJ^f端10 與設備20之間的^#話的*^成為可能。以下參照圖1 , 2和3描ii^L明。終端10向發(fā)布用戶權利的^U'j勿Ml良務器RI的注##驟50,使得RI服 務器能夠記^if端10的iPJ5,J數(shù)據(jù)D。因此RI月良務器管3Sib前注順無^f端 10的列表,使得這些終端負fe^t由這個RI月l務器所M的用戶^'〗。注旨 驟50還通it^7終端10提供適應元件而使該終端適于與RI服務器的通信條件 因此可調(diào)IBf端10的配置,月良務器自身也育隨于通信糾以允許與終端10交 換。開放移動聯(lián)盟(OMA)定義被稱為《4-th Registration Protocol》(《第四路徑注 4"〉)的模式,該模式使得終端io向^u'^^Mr RI注冊。這個階段之后,終端10能以^^方式例如經(jīng)獄敏感內(nèi)容的數(shù)據(jù)項,獲##密,該數(shù)據(jù)項 在OMAV2標準下被稱為DCF。 ^M^發(fā)明的方法中,"i^Wp密對象DCF的機 與至少一^H殳備20項粗^#^的數(shù)據(jù)(如,秘密和標伊^ )。如OMA聯(lián) 盟(版本2)的DRM規(guī)范中所指示的通信^fr包拾例如,協(xié)議^lt、 JH^I 的i^m本、密碼算法、證書交換偏愛、可選證書交換、終端10與服務器RI 的相互認證、協(xié)議消息的受財完整脈可選DRM設備的時間同步。準的;(1^ 2.0-2006年3月3日,OMA) JJtJL;^"詳述。為了允許在經(jīng)網(wǎng)絡N互連的無線終端10和設備20項之間粗^^話, 特別如圖1和2示出的,該方法包括以下步驟一終端10向發(fā)布W'財象RO中的用戶權利的RI的先前注##驟50;一發(fā)布終端10fe絲所^^l的秘密,和向終端10發(fā)iH^戶;M,J的步驟, 發(fā)送的用戶^'J包含對^^I秘密和因此訪問設備20的許可;和一專門使用與發(fā)布用戶擬'j的RI鏈接的認i正系統(tǒng)A來伊J5'J終端10且產(chǎn)生 所鄉(xiāng)密的步驟。要鄉(xiāng),RI月l務器負責注^f端10且向其發(fā)布W'J對象RO。因此,認證 系統(tǒng)A負責產(chǎn)生將允許^f端^7連接設備20時認ii^f端10的秘密,錢 DCF向終端發(fā)布這*密。這棉密由絲密鑰M^,在可選步驟54中由認 證系統(tǒng)A將該絲密鑰發(fā)布到設備20。 <<^1個可選步驟54中,也可提供發(fā)布 與指定^f端10的秘密相關的公鑰。在下文,^密鑰:t^^加密過程中的私鑰kc或允許^^^^/連接的^^r^y^沐密數(shù)據(jù),該加密雄可以是對稱的H^可以;I^Mt稱、的。與OMAV2標準的DRM機制相比,本發(fā)明的方法允許重新使用用于管理 終端上的^內(nèi)容的(終端的和網(wǎng)^[RI和可選的DRM ^aSI艮務器Pl的)安 全元件,以使得^f端10^i殳備20項之間粒"^^^/連接。因此,能保證 ^#/連#^時終端的強認證,同時^JL了對i^ (U) SIM卡的控制元件的 需要iUJ3艮了麻煩的配置程序,諒如對于VPN網(wǎng)絡實施的那些配置程序,或為 了與《盒子》紅"^^k^發(fā)明的一個實施例中,在設備20項與請求的無線通信終端10之間建立"^^^/連接A^于OMADRMv2標準中提供的認iiE^i制,以識J5'J或認證 終端10和向其發(fā)布秘密,ft^"密鑰Kc和可選的附加lt據(jù),附加數(shù)^(p允許 ^^^^/連接的所述Kc密鑰的有效周期。認證系統(tǒng)A還可i^附加^^
      將密鑰^fM限制到有I^U^數(shù)的機制。參照圖2,可以理解,終端10同時經(jīng)DRJVM^良務器P^^步驟560 期間由RI月良務器所產(chǎn)生的^U,J對象RO和在產(chǎn)生步驟500期間由認御艮務器A 所產(chǎn)生的具有加密對象DCF格式的加密對象(DCF ),該加密對象DCF封裝 了終端10 ^i殳備20項之間^所用的^密鑰。劍艮務器P傳遞禾J6密的一個 優(yōu)勢^L小^^端10與多^S殳M (iiJjlJL務器A和服務器RI)的交互。 如在圖1,服務器M在產(chǎn)生加密對象DCF的步驟500期間的終端10的特征, 以^a密對象DCF中確定和指示最適^i殳備20和終端10的^類型。參照圖l,為了建立會話,該方法包括,例如^i ;J步驟540,由與RI服務^^接的認證系統(tǒng)A通iif^I終端伊^數(shù)據(jù)^產(chǎn)生步驟500,如^if端識別步驟540成功,則由認證系統(tǒng)A產(chǎn)生^ 密鑰,隨后是由終端10^t^DCF對象保護的絲密鑰的步驟550;—由RI月良務器產(chǎn)生封裝了用戶^'J的^U,J對象RO的步驟560,該用戶權 利考慮了4^H尸^數(shù)據(jù)D所i^,J的終端10的特征;一終端10和所述RI月艮務壯間的通信步驟57,其中RI月良務^P擬'J對 象RO傳iti^f端10;^_取步驟58,由終端10使用DRM^3S^DCF中提取由認證系統(tǒng)A所 產(chǎn)生的^t密鑰和由RI月良務器所傳遞的^'財象RO;—訪問步驟580,由終端1(HM步驟58中提取的會活密鑰訪問設備20。因此,在圖1和2示出的例子中,終端10可以^bf示一象形式的秘密, 所5^密包^:^^信息,被稱為DCF (對應DRM內(nèi)^"式)。例如,該信 息^L一個或多個密鑰加密,這些密鑰被單^4一個本身被乂^^^加密的對 象中發(fā)送, DRM OMA V2標^it個對象形成為《權利對象》(RO )。參照 圖1,當# ^請求53時,認證系統(tǒng)A向終端10提供包含所需秘密的DCF內(nèi)容 (步驟550),這個內(nèi)容例械密鑰K加密。同時,認證系統(tǒng)A還可以提供與 發(fā)布^f端10的秘密相關的秘密或密鑰,如步驟54所示這^Hifr密使^i殳備20能夠認ilil^Hf端。RI月艮務H^保ic布用于lt字內(nèi)容的用戶^Ui該RI月l務器還可以通it^i^斤i^a密對象RO或受,信息DCF,發(fā)布允許解密內(nèi)容的 一個或多^^密鑰。換句"^i兌,認御l務器A向終^^供加密對象DCF形
      式的一個或多^N》密,加密對象DCF由RI月良務^H供的相關;M,對象完成。然而,在圖2的例子中以組合方iC^行受獄信息DCF^N5U'J對象RO的 傳遞,考慮如圖1所示這^^遞單^ii行。^jtil種情況下,由終端10所進行的也可以衝醉,終端10啟動來請求由認證系統(tǒng)A所產(chǎn)生的^"密鑰的步驟53, 可被設備E進,請求步驟53'所^M、這可能減少通信時間。才緣^L明的一個實施例,如圖2所示,設備20本身可作為DRM^SJ3艮 務器P。^^發(fā)明的一個實施例中,可由提供DCF格ig寸象的次飽艮務器發(fā)布受保 護信息。在這種情況下,例:^人證系統(tǒng)A可向設備20傳送URL資源ilkJM^ 供DCF格i^象的次飽艮務器的名字(包姊密和連接的唯一標"i尸D, DCF 格狄象攜帶^"密鑰。設備20向終端10發(fā)i^il個像息。因此,接著終端的 連接m向這個次鄉(xiāng)艮務器請求攜帶^"密鑰的DCF格^t象,該絲密鑰使 ^f端10可訪問設備20,在終端10的DRM代理已經(jīng)^^允許解密受旨信 息DCF的密鑰6之后,終端10以解密形iC^t該^密鑰,這個加密/解密密 鑰6 ^5U'J對象RO中給出。換句"^i兌,如圖2所示發(fā)iH^U,j對象RO的步驟 57 ^jtit種情況下允i傳遞至少一個加密/解密密鑰6,該密鑰6是終端10的解密 模夾12從受旨信息DCF中提取可利用內(nèi)洛3斤需要的。在圖l和2示出的實施例中,認汪系統(tǒng)A在與RI月艮務器通信的步驟55期 間傳^密/解密密鑰6,使得RI通過受旨的權利對象RO發(fā)iHil個密鑰6。 參照圖3,在RI月艮務器請^H: 530這個加密/解秘密鑰6 ^,絲60由認 證系統(tǒng)A產(chǎn)生和/fW^這個加密/解密密鑰6。加密/解密密鑰6可被,DCF 信息內(nèi)容的^^T,密鑰,密數(shù)據(jù)所代替。步驟53對應于終端向認御艮務器A發(fā)出獲取使得終端與設^fci:^^^^接 或^的秘密的請求。這些秘密一^步驟500中產(chǎn)生,^標準OMAV2的 D腹MJ^,這些秘密M^^h理的內(nèi)容。換句"^i兌,產(chǎn)生W,財象RO和/為此目的,本發(fā)明的方法使用向用戶終端/終端lJUl布用戶權利的DRM結構實 體即RI月良務器與鏈接到接入網(wǎng)關的認證系統(tǒng)A之間的新m,以傳輸管艦 網(wǎng)絡N與設備20建立的會活的業(yè)務。
      參照圖1和2,當用戶終端10試圖訪問51請求fe與設備20項的連接(會 話)的業(yè)務,這^s殳備20以第一自動應答52向終端10指示,它需^t^妙 連接或絲的一個或多^密。^^C明的一個實施例中,設備20可以可狄 以這個應答52指示發(fā)布用戶權利的認御艮務器a和/或合適的次柳良務器,來 傳ii!A夠的;M'J對I^v或dcf信息。例如,認證系統(tǒng)a適于向設備20傳送 RI月l務器的URL資源艦,然后當發(fā)i^lii接到設備20的請求時^^端10使 用該url資源ilkJbLift/ft^JH^驟50。接著終端向認御艮務器A奴請求53,認艦務器A棘密提^^f端。 可3^f"這個系統(tǒng)A可容易^ ri月l務器或與設備20協(xié)同定位??蒦f端10進^#別>|_對加密的dcf對##密的步驟58,終端10 M提 取受獄數(shù)據(jù)的所有必要元件。這些受獄數(shù)#^如包^-個或多^^密鑰、 連接到設備20的用戶擬'^^£書和/或唯一#^>#。終端10 W密^^^: 12 iM^Ut些受,的^t據(jù),在注#^驟50期間由1 月良務器識別該密>^^。設備20的訪問步驟580。在本發(fā)明的一個實施例中,4^"終端10的識別步驟 540^的認證系統(tǒng)A和ri月艮務H^間的通信步驟55,包^jri月良務H^輸 固定到終端10的唯"H^接標"i尸^。向ri月良務H^^t個連接標伊^可以^; 限于與傳輸i^使用加密對象dcf傳遞的秘密同時進行。認ill艮務器a產(chǎn)生加密對象dcf的產(chǎn)生步驟500有利^;lil^Mt征和由 jttif端10的特定操怍功能。還要指出的是,這^H人證系統(tǒng)A允許^iE書傳it^ 終端以粒會活,該證書是唯一的。因此,這種證書以唯一^式與用戶身份(一Mmsisdn)相關。在圖1的例子中,終端10向ri月艮務器發(fā)送請,iM5U'J對象ro的步驟56啟 動所i^f端10與ri服務恭之間的所iiit信步驟57。參照圖1,可單方面由ri 月艮務器啟動^f端10和所述ri月M^恭t間的it信步驟57來#111與終端10和 dcf相關的;M,J對象ro。同樣,在圖1和2的例子中,由向終端10發(fā)布秘密的步驟53來啟動向終 端10發(fā)布dcf。參照圖1和2,可單方面由i人御艮務器a或由drm 務器(p)啟動步驟57和550。步驟53,對應于傳itil個加密對象dcf和^M'對象ro的請求,該步驟由
      剛從終端10#^請求的設備20啟動。在圖2示出的實施例中,應用這個機制, 設備20負責向認御艮務器A傳送伊J5iJ數(shù)據(jù)。^E^發(fā)明的皿實施例中,鏈接RI月良務器、認御良務器A ^f端10的網(wǎng) 絡N是由無線電話逸營商管理的網(wǎng)絡,因此終端10能至少^ii過網(wǎng)絡N提供 業(yè)務的^^T位置與RI月艮務器^i人iiEJ3艮務器A通信。參照圖3,該方法提^t據(jù) ^##驟,來#^端10的if^數(shù)據(jù)D 4#在認證系統(tǒng)A可用的絲器裝置4 中。這/H尸^數(shù)據(jù)D與由終端10提供的4^l數(shù)據(jù)DA相結合允i朽人證系統(tǒng)A 進^S尸x^。肩儲在系統(tǒng)A的賴器裝置4中的系統(tǒng)A的iPJ5iJ模塊40允許》餓 所M的數(shù)^^所期望的數(shù)據(jù),以及產(chǎn)生^密鑰和DCF。如果它們匹配,終 端10被識別且肖^:需要的秘密元件來開始與設備20的會話。4^K數(shù)據(jù)(DA) 端10的,器11中且包^^如與用戶和/或終端10相關的證書或認證密鑰。例如,RI月PL務器^i人證系統(tǒng)A具有終端10的相同ix^lfc據(jù)D,使得它們育y^t單獨涉;Sif端10的特征的任務,這些任^f吏得RI月艮務器的M器裝置3用于特別4口以列出每^Nf端10的特征的表格的格式, 端的識別數(shù)據(jù)D。產(chǎn)生;M,對象RO的產(chǎn)生模型30和可i^fc產(chǎn)生DCF 型受獄的信息的,,可^^f^在RI月良務器的a器裝置3中。^M^發(fā)明的一個實施例中,終端10可經(jīng)^i^接(《藍牙》、^卜、WiFi 等)訪問設備(20),而不通過網(wǎng)絡N。在一個第一種情況下,終端10使用網(wǎng) 絡N絲粗連接所必要的元件,如RI月艮務||#111的似寸對象RO。可替m,RI服務器可以產(chǎn)生《^>〉證書,使^""^f端10可以相互關絲""^JL具 有相同的積剎,例如因為它們屬于一個相同的用戶。為了最小化終端10與網(wǎng)絡 N的可用RI和A服務^間的交互,對于用戶^U'J的傳ilMy兌,可域匹配一 組《終端》。因此,例如,如果大約10 ^Hf端域匹配,當一^Hf端獲取4吏得它 可訪問設備20項的秘密時,這yNf端可條DRM域中的DCF和;M'J對象的 常M^^L制,向^yc/Hf麟送一個或多^Hfr密。因此,輛準DRMOMA V2結構的意義上,;M^其它終端中的^r一個能與設備20fe^^或連 接,而不需要對發(fā)布^U'J對象RO的RI月良務器發(fā)出額外的請求。在OMADRM V2 ^U范中描述了域匹配設^l機制。
      以這種方式,例如用戶可^fiMni的移動終端io和它們的可形成第j^Nf端 的連接盒子(由因特網(wǎng)接入提供商發(fā)布的)進布咸匹配。隨后,盒子能向移動終端10^f^M艮務器A獲得的一個或多^Nit密和從RI月艮務器獲得的似,J對象 RO, JJft于用戶可具有連接"^且參考終端到i殳備20項的連接;M'J。以這種模式,Jii樣限制盒子所分配的資源,盒子可將不妙的設備連接 限制到關閉列表盒子僅肯iybitdl些終端訪問網(wǎng)絡N且限制對有FM且設^5的 請求,這些終端可與一個或多^S殳^llfei^^^/連接。要注意,在JJi的 例子中,盒子本身被iM 是設備20。使得它能支持可實現(xiàn)多個"^4^掛^^制的終端級,認御艮務器A可有 利地指示最適^i殳備20 g慮中的終端10的安4^^^/^類型。識別終端10 的優(yōu)點是確實知道它的特 因此可^^請^^^/扭的時^1^狄這*在移動無線通信終端的例子中,希望經(jīng)因特網(wǎng)接入提供商發(fā)布的連接盒子 訪問樹網(wǎng)絡資源,終端10必須首先向發(fā)布^^對象的RI注冊。終端10也必 須向認御艮務器A注冊。考慮中的終端10與向因特網(wǎng)接入提供商的^l相關。 當終端10試圖經(jīng)所述提供商的一^:子訪問設備20項時,設備20向它指示它 必須A^斤指示的認iim務器A獲鵬密。接著終端10向服務器A發(fā)送請求, 以獲#(吏得該終端開始與設備20的安4rd^^或^的至少一^^t密。一^li: 到秘密(經(jīng)DCF)和W'〗對象,終端10能開始與設備20的安^i^接或會話。才娥本發(fā)明的方法的一^Ht泉是,它不M于終端10的靜杏逸書機制,其中所需的所有元件是預先ie^f^f端io中。相反,所述的方';^M網(wǎng)絡N作為動,^書工具而提出了終端的動,^iit書如^f端10真的是它聲稱的終端,它,信息,該RI服務器已經(jīng)知iti^f端10的特定特征。例如,;^f端10 的連接軟件首先知it^w設備20 ^S'J應答后:HW系服務器A和RI,獲得 DCF^目關RO,其次:H^f^I包含^a密對象DCF中的秘密,以使得它能4吏 用設備20和它的認御艮務器認證自身。另外,終端10的連接軟件可以可輛 加密到設備20的連接??蒘^本發(fā)明不P艮于移動終端10中可用的常用DRM4JU^^l的擴l根J幼 iO&是DRMV2型(DRMMi£, OMAV2)機制發(fā)布的內(nèi)容。本發(fā)明的應用很多。例如在DRM應用中,終端10不首先經(jīng)網(wǎng)絡N被"i尸J5,J, 就不能向設備20傳送它的特定用戶;M'J和^密乾jH^卜,真JE^f^f端的特 征。當終端10的應用請求訪問設備20時,它能參考4fiRJ5,J終端10且向必要元 件提供RI月艮務器支持的認證系統(tǒng)A。于是,因為RI月良務器與終端IO共享秘密,jH^卜,可主動將DCF內(nèi)^^u'〗對象RO發(fā)^,J終端10,這將與設備20 粗連^/^的時間l^^^最小。還要注意,為了允^H人ii^f端/客戶的唯一目 的,實施了本發(fā)明的方法。才緣械明^^I經(jīng)網(wǎng)絡N可用的RI月艮務器^^證系統(tǒng)A也可允許,提供 與伊J5,J終端10相關的設備20項的^^bM^絲型。因此,在設備20是因特網(wǎng) 接入提供商的連接盒子的例子中,盒子可授^f端10接入有限的資源(如,單 獨的^^J HTTP協(xié)議接入認證系統(tǒng)A和RI月良務器)。認iiL^,接著盒子可提 供適^f端10的優(yōu)^^,J ,如允ifil^Nf端10經(jīng)網(wǎng)絡N進W"^呼叫。對輛域a^A員^J^而易見的是,本發(fā)明允許多種^#定形式的實施 例,而不偏離:^"求旨的本發(fā)明應用領域。因此,it^描述的實施例凈皮考慮 是示例性的,它可在附后的;M,J^求的范圍所P艮定的領域中被修改,JL本發(fā)明 巧雄釋為限于Ji^詳細描述。
      權利要求
      1.一種建立經(jīng)網(wǎng)絡(N)互連的無線終端(10)和設備(20)項之間的安全會話的方法,其特征在于,所述方法包括-終端(10)向發(fā)布權利對象(RO)中的用戶權利的權利頒發(fā)服務器(RI)的先前注冊步驟(50),該注冊步驟(50)使得RI服務器記錄終端(10)的識別數(shù)據(jù)(D)和給終端提供適合與RI服務器通信的條件的元件;-發(fā)布終端(10)建立會話所使用的秘密和將用戶權利發(fā)送給終端(10),發(fā)送的用戶權利包括訪問設備(20)的許可;使用與發(fā)布用戶權利的RI服務器鏈接的認證系統(tǒng)(A)的方法,在終端(10)和RI服務器之間建立特殊通信之前,識別終端(10)和產(chǎn)生所述秘密,以允許訪問設備(20)。
      2. 才M^5U,]JMU所述的方法,為了lti:^,所i^r法包拾—i J5'J步驟(540 ),由與RI月良務^M接的認證系統(tǒng)(A )通過4M終端(10) 的伊^數(shù)據(jù)(D)和授權數(shù)據(jù)(DA)伊J5iJ終端(10);—產(chǎn)生步驟(500 ),如糾終端(10)的i只別步驟(540)成功,則由認證 系統(tǒng)(A)產(chǎn)生絲密鑰,1^是由終端(10)接收絲密鑰的步驟(550, 57);—由RI月良務器產(chǎn)生通過與^"密鑰分離保護的^U,J對象(RO)的步驟 (560),權利對象(RO)封裝用戶^'j,該用戶權利考M過^5'J數(shù)據(jù)(D) iKi5'J的終端(10)特扭—端(10)和所述RI月良務IML間的通信步驟(57 ),其中RI月艮務絲 糊對象(RO)傳it^f端(10);一訪問步驟(580 ),由終端(10)首先JM認證系統(tǒng)(A)所產(chǎn)生的會話密 鑰和其次^^1包含在RI月艮務器所傳遞的W'財象(RO)中的用戶^3U'J訪問設 備(20)的步驟(5柳)。
      3. 才M^M'澳求1或2所述的方法,包括《#^#驟,用于^f端(10)的 "iWl數(shù)據(jù)(D)存儲^W認汪系統(tǒng)(A)可用的務賭器裝置(4)中。
      4. 根據(jù)似,誤求2或3所述的方法,其中,OMA V2標準的DRM規(guī) 范4Wt由RI服務器產(chǎn)生^U'財象(RO)的步驟(560 )。
      5. 才^^5U'J^求24中任何一個所述的方法,其中在所述iP^終端(10) 的步驟(540)后是在認證系統(tǒng)(A)和所述RI服務^J'司的通信步驟(55), 其中認證系統(tǒng)(A)向RI月艮務辦送被固定到終端(10)的唯""^接標iR^。
      6. #4^5U'JJM^2-5中^^T一個所述的方法,其中終端(10)向RI服務(57)以獲得加密保護的^U'J對象(RO),該^U'J對象的密鑰與終端(10)相關
      7. 才娥^'漆求2-5中任何一個所述的方法,其中RI服務器單方面啟動獄糊對象(RO)。
      8. 根據(jù)^U'J^求2-5中^^可一個所述的方法,其中終端(10)向認御良務 器(A)發(fā)送的請求步驟(53)啟動終端(10)和所述認ii^L務器(A)之間的 所艦信步驟(550)。
      9. #^;^^要求2-5中^^T一個所述的方法,其中認御艮務器(A)單方 面啟動終端(10)和所i^i人iiEJJ良務器(A)之間的所i^it信步驟(550)來將加 密的對象(DCF)傳it^f端。
      10. 才^U,J^求2"5中任何一個所述的方法,其中終端(10)向DRM代 郷艮務器(P)發(fā)送的請求步驟(53)啟動終端(10)和DRM 4誠艮務器(P) 之間的所itit信步驟。
      11. ## '要求2-5中^^一個所述的方法,其中DRM^3gJi良務器(P) 單方面啟動^f端(10)和所述DRM ^R^艮務器(P)之間的所Jiit信步^"傳 #密對象(DCF) ^U'J對象(RO )。
      12. ^^WJ^求1-U中^^T一個所述的方法,^f端(10)的密,在注##驟(50 )期間由RI月良務器^53該密>5^^。
      13. 推據(jù)^,J^求1-11中任何一個所述的方法,包:J^人證系統(tǒng)(A)和所 述RI月艮務^J'司的通信步驟(55),其中認證系統(tǒng)(A)向RI服務H^i^少 一個加密/解密密鑰(6)。
      14. #^^'澳求2-10中4沐一個所述的方法,其中認御良務器(A)傳 遞的加密對象(DCF)和RI服務^iH的5M'J對象(RO)由終端(10) 且由DRM 4^t理,在解密加密對象(DCF)之后,通過使用與終端相關的 ^U'J對^iH^I終端(10)中的與設備(20)認證的連接模塊,進^H殳備(20) 的訪問步驟(580)。
      15. 才N^5U'J^求2-11中^^T一個所述的方法,其中認御艮務器(A)將 至少一個加密/解密密鑰(6)插AJiK^t^f端(10)的加密對象(DCF)中。
      16. 才N^5U'JJNU5中任何一個所述的方法,其中認證系統(tǒng)(A)向設備 (20)傳i^i次飼艮務器的URL資源i^,該次淘艮務^^,帶^密鑰的DCF格式的對象,使得終端(10)的連接模塊能向這個次柳艮務器請求攜帶會 話密鑰的DCF格式的對象,以允it^f端(10)訪問設備(20),在終端(10) 的DRM ^3^捐加密/解密密鑰(6)后,端(10)以解,^^該^ 密鑰。
      17. #4l*UyM^l-16中^^T一個所述的方法,其中認證系統(tǒng)(A)向設 備(20)傳送RI服務器的URL資源艦,使得當請,1U^接到設備(20)時, 終端(10)朋這個URL資源艦她所述的注##驟(50 )。
      18. 根據(jù);M,J^"求2-17中任何一個所述的方法,其中終端(10)與會話密 鑰的^^J^H^^^5U'對象(RO)和指定^密鑰有效周期的數(shù)據(jù)。
      19. 才N^M,漆求2-18中^[一個所述的方法,其中終端(10)與^密 鑰的^^^h""^WU'對象(RO )和指定^^絲密鑰的有PM:數(shù)的數(shù)據(jù)。
      20. 才M^5U'J^求2-14中^^T一個所述的方法,其中認御良務器(A)在 產(chǎn)b密對象(DCF)的步驟(500)期間M終端(10)的特征以^密對象(DCF)中確定和指示最適^i殳備(20)和終端(10)的絲類型。
      21. #^擬'決求2-20中^^T一個所述的方法,其中^^J與RI月艮務器協(xié) 同定位的i人證系統(tǒng)(A)進^iWj步驟(540)。
      22. ^t^'決求2-20中任何一個所述的方法,其中使用與設備(20)協(xié) 同定位的i人證系統(tǒng)(A)進^i只別步驟(540)。
      23. #*^5UyNU-22中^T一個所述的方法,^r:酉甜步驟,^f端 (10)和連接到網(wǎng)絡(N)的盒子或與網(wǎng)絡(N)通信的另一^f^U'司酉Wt以域匹配幾個終端;和共享由認證系統(tǒng)(A)產(chǎn)生的加密對象(DCF)和包含在 W,j對象(RO)中的^fM^Hf的步驟。
      24. —種可直接下載到數(shù)字處理單元的內(nèi)部M器的計^^,所述數(shù)字 處理單iUi于能與無線電話網(wǎng)絡(N)通信的無線通信終端(10)中,所i^f端 包括^^f端(10)的識別數(shù)據(jù)(D)的^ ^ (11), ^#絲于,包括當 數(shù)字處理單it^行所i^l^時脅下列步驟的軟^NWP分4ii^傳送識別數(shù)據(jù)(D ),以使得終端(10)能^f躺網(wǎng)絡(N)的認 證系統(tǒng)iPJj自身;"^^L布受獄用戶^U'J的RI月良務器所力賦的似'J對象(RO);_# 1^^1布認 !6密的認御良務器(A)所為賦的加密對象(DCF);—由DRM ^m^JU^'〗對象(RO) ^US^密加密對象(DCF);—從加密對象(DCF)中提取包含對訪問網(wǎng)絡(N)的設備(20)項的許 可的用戶權利;DRM^3g^網(wǎng)絡(N)M的數(shù)據(jù)中提取由認證系^^斤產(chǎn)生的至少一怖密;^f^J所i^it密和用戶^N建立無線終端(10)和網(wǎng)絡設備(20)之間的 ^^。
      全文摘要
      本發(fā)明涉及網(wǎng)絡中無線終端和設備之間建立安全會話的方法建立經(jīng)網(wǎng)絡互連的無線終端(10)和設備(20)項之間的安全會話的方法,包括終端(10)向以加密對象(RO)發(fā)布用戶權利的RI服務器的先前注冊步驟(50),該注冊步驟使得服務器能夠記錄終端的識別數(shù)據(jù)(D)和使終端適合與服務器通信的條件;發(fā)布由終端(10)建立會話所使用的秘密和將用戶權利發(fā)送給終端,所發(fā)送的用戶權利包括訪問設備(20)的許可;使用與發(fā)布用戶權利的服務器鏈接的認證系統(tǒng)(A)的方法,認證終端和產(chǎn)生所述秘密。因此,由OMA DRM V2標準提供的認證機制可被用于認證終端(10)和向其傳遞秘密。
      文檔編號H04L9/32GK101163013SQ20071019292
      公開日2008年4月16日 申請日期2007年9月19日 優(yōu)先權日2006年9月19日
      發(fā)明者菲利普·卡洛德, 邁克爾·本西蒙 申請人:法國無線電話公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1