EP2084883A1 - Verfahren für single-sign-on bei verwendung einer set-top-box - Google Patents

Verfahren für single-sign-on bei verwendung einer set-top-box

Info

Publication number
EP2084883A1
EP2084883A1 EP07803307A EP07803307A EP2084883A1 EP 2084883 A1 EP2084883 A1 EP 2084883A1 EP 07803307 A EP07803307 A EP 07803307A EP 07803307 A EP07803307 A EP 07803307A EP 2084883 A1 EP2084883 A1 EP 2084883A1
Authority
EP
European Patent Office
Prior art keywords
top box
stb
provider
authentication
service provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP07803307A
Other languages
English (en)
French (fr)
Inventor
Marc Blommaert
Qi Guan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xiaomi Mobile Software Co Ltd
Original Assignee
Nokia Siemens Networks GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Siemens Networks GmbH and Co KG filed Critical Nokia Siemens Networks GmbH and Co KG
Publication of EP2084883A1 publication Critical patent/EP2084883A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • H04N7/17309Transmission or handling of upstream communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/165Centralised control of user terminal ; Registering at central

Definitions

  • the invention relates to a method for single sign-on using multiple applications, wherein for the use of the applications, a set-top box is used and the applications are provided by different service providers.
  • a login and authentication function which may also be referred to as login, for example to an application of a service provider, a computer, a communication network or a system, etc. to be able to access.
  • a login is an operation for a login of a user e.g. in an application, on a computer, a system or in a communication network, etc., where the user usually has a user identifier for identification and e.g. a password or a personal one
  • Identification number, a PIN, etc. is entered. From the application, the communication network or the system, etc. is then a review of access permissions - a so-called authentication - performed.
  • the identification designates a process by which an unambiguous assignment, e.g. of a user, application or system to its role as defined in the application, in the communication network or in the system. According to this role and usually after successful
  • Authentication then become, for example, so-called authorizations for the use of applications, the system, the communication network, etc., for example, from one Service providers, etc. granted.
  • the term authentication summarizes all processes by which the authenticity and the origin are detected and verified during a transmission of information (eg by passwords, PIN, etc.).
  • a registration In order for a user to be able to use the logon and authentication function for accessing eg an application, a system, a communication network, etc., the user or the system or terminal via which the application, the system, the communications ⁇ net, is to be used, etc., called a registration be carried out. Under registration is generally understood a process in which information about, for example, the user and / or the terminal (eg name, user ID, password, data for a possible billing, etc.), for example, in a directory, a database or a register at the service provider or System operators are registered. After successful registration, which is usually carried out once before the very first use of an application, a system, etc., then the user is provided the login for login and authentication.
  • information about, for example, the user and / or the terminal eg name, user ID, password, data for a possible billing, etc.
  • single sign-on is available for single sign-on and means that can be example to all applications, computer systems, etc., for which the user is authorized to access by a user after only one run through ⁇ the login process.
  • another application or another computer or system no re-login (login and authentication) of the user is no longer required.
  • a user is identified and authenticated only once with the aid of the login process, for example, in a communication network, a system or a so-called portal, of which several applications are usually made available on the World Wide Web. After that, the identification and authentication task is handled by a smgle sign-on mechanism.
  • portal solutions which are e.g. offered on the World Wide Web for use by multiple applications.
  • the user can log in for the first time in a so-called portal and is there authenticated and authorized for the use of applications.
  • a (client) - software is installed, of which e.g. in an appearing login mask automatically only the user identification or user identification and password are entered.
  • This data can be stored, for example, in an encrypted file locally on the workstation, the computer or the terminal of the user, on a so-called smart card or on a so-called single-sign-on server.
  • a device As a set-top box in the field of consumer electronics, a device is referred to, which is connected to another terminal - usually a TV or a screen - to provide a user with additional uses of the device.
  • the most important of a set-top box provided capabilities are, for example, a playback of media (eg VHS, DVD, etc.), which may be interactive such as games, a recording of received data and the program reception via alternative transmission paths (eg satellite, broadband cable or
  • a set-top box can also provide Internet access to the TV as a terminal device.
  • Video-on-Demand is e.g. an application that allows users to retrieve and play a movie at any one time from a selection of videos, usually for a fee.
  • the film is e.g. Sent via a broadband network or the Internet to the set-top box.
  • the provider needs at least a so-called streaming server.
  • manufacturers of set-top boxes may provide so-called software upgrades for e.g. the set-top box will be offered as an application.
  • the software upgrade can be performed by the user via e.g. a broadband network, downloaded via satellite or Internet to the set-top box and then the new software will be installed.
  • DRM digital rights management systems
  • service providers To protect copyrights and marketing rights to intellectual property in digital form (eg film and sound recordings, software, etc.), so-called digital rights management systems (DRM) are also used by service providers. Through these systems new billing ⁇ methods for licenses and rights, and control over the use of the digital data are made possible in principle. So from Digital rights management systems protected applications can be used, usually a special software - a so-called DRM client - on the terminal of the user (eg set-top box) is needed.
  • conditional access systems are also used to ensure the use of the applications by authorized (paying) users.
  • Conditional access systems can also be used in combination with DRM systems.
  • Video-on-demand, etc. via the set-top box is typically used to access a communications network via a dedicated provider (e.g., a broadband cable operator or an Internet service provider).
  • a dedicated provider e.g., a broadband cable operator or an Internet service provider.
  • This particular provider e.g., a broadband cable operator or an Internet service provider.
  • This particular provider e.g. by subscription.
  • From the particular provider is then e.g. made an agreed billing of the user.
  • the user or the set-top box is then registered with this provider and it can be used after passing through a login and Authentiflztechniksfunktion, for example, offered by this provider applications and transmission paths.
  • a user wants to use set-top-box applications from different service providers, he must currently undergo a log-on and authentication function for access to the communication network or transmission paths and then log on to each of the applications at the respective service provider and authentication are made.
  • These registrations and authentications can vary depending on the service provider, but also depending on For example, used DRM and / or access authorization systems be designed very different.
  • the user then has login and authentication information, such as, for example, authentication information.
  • login and authentication information such as, for example, authentication information.
  • User ID, password, PIN, configuration data of the set-top box, etc. to enter.
  • the present invention is therefore based on the object to provide a method by which it is possible for a user to obtain by means of single sign-on access to be used with a set-top box applications from different providers, and in which only for respective application necessary data to be forwarded.
  • the solution of this object is achieved according to the invention by a method of the initially mentioned kind, whereby a provider provides a sign-on and authentication function, between the provider of the registration and Authentiflzierungsfunktion and service providers an agreement has been made and a set-top box is registered with the provider of the logon and Authentiflztechniksfunktion. After the set-top box has been switched on, the logon and authentication function is called and logon and authentication are performed. After successful authentication of the set-top box, provider sends authentication information to the set-top box, which is then used by the set-top box for registration with a service provider. The service provider then establishes a connection to the provider of the sign-on and authentication function to verify the authentication information and retrieve policies for charging. Then the provider of the registration and
  • Authentification function sent a confirmation to the service provider.
  • the main aspect of the proposed solution according to the invention consists on the one hand in that only one login and authentication function is passed through by a user who wishes to obtain access to applications of different service providers via a set-top box.
  • Login and authentication information e.g., password, PIN, etc.
  • a registration is carried out with the provider of the login and authentication function (e.g., broadband cable operators, Internet service providers, etc.). Thereafter, the task of registration or registration with a service provider is taken over by a single sign-on mechanism.
  • the method according to the invention offers the advantage that, for example, user data (eg name, address, etc.) need only be disclosed to the provider of the logon and authentication function, to which a longer-term business relationship exists and, for example, the billing is taken over.
  • providers only transfer data that is necessary for the applications used (eg configuration data of the set-top box, etc.). For example, a separation between user and configuration data can thereby be made and the user remains largely anonymous for the service provider.
  • a configuration profile of the set-top box is sent to the service provider when registering with a service provider of the set-top box, because in this simple way the service provider, for example, the hardware and / or software of the set-top box is informed. It can then be given to the user e.g. the appropriate version of the application is provided for the set-top box. So it is e.g. For DRM system, it is important to obtain information about the set-top box DRM client software in use so that the application (e.g., video-on-demand, etc.) can be easily used.
  • the confirmation of the provider of the log-on and authentication function additionally includes authorizations of the user of the set-top box.
  • an authorization profile set up for the user of the login and authentication function for the user which can be found e.g. due to registration or subscription, to be forwarded to a service provider.
  • Procedure is recommended that conditions for a digital rights management to be negotiated between the set-top box and the service provider that first encryption information for the Digital Rights Management DRM is generated which together with setting ⁇ conditions from the service provider to the set-top Box, and that then encryption information is generated for the use of the application, which then encrypted to the set-top box is sent.
  • Digital Rights Management (DRM) or DRM systems are used to protect copyright and commercial rights to intellectual property in digital form (eg film and sound recordings, software, etc.). These systems are basically new
  • DRM clients which must be installed on the set-top box, for example, are necessary. Since several DRM clients can be available on a set-top box, it is advantageous to negotiate conditions for the DRM, such as the necessary DRM client, version of the DRM client, etc. To protect against unlawful use (eg without license, unauthorized copying, etc.) of an application or the content provided by the application, it is advantageous to encrypt the information about the DRM as well as the application or the content itself.
  • PKI public-key infrastructure
  • a so-called public-key infrastructure PKI is used for the encryption information for the Digital Rights Management.
  • a PKI in cryptography called a so-called asymmetric cryptosystem, which makes it possible to issue digital certificates or keys, distribute and check.
  • the certificates or keys used within a PKI are set to users or terminals.
  • the PKI therefore has the advantage that an authentication can be carried out directly by the respective application or the respective service provider through the digital certificate.
  • PKI can be used for authentication as well as encryption of data.
  • a symmetric encryption system is used for the encryption of an application used by the set-top box.
  • the same key is used for encryption and decryption. It must be exchanged between application or service provider and set-top box previously in a secure way, the key.
  • a symmetric encryption system has the advantage that the algorithms for encryption and
  • Decryption run very fast and e.g. can also be implemented directly in the form of hardware components.
  • VCAS Ve ⁇ matrix Content Authority System
  • VCAS is a software-based system designed specifically to protect digital video and audio data used in applications such as video-on-demand via a set-top box.
  • VCAS thus represents a so-called content protection and DRM system and is particularly used in the Internet and digital video Broadcast (DVB) via eg broadband cable, satellite, etc. used.
  • VCAS builds on the principles of PKI using the ITU-T X.509 standard for defining digital certificates.
  • the ITU-T standard X.509 is currently one of the most important standards for PKI and digital certificates.
  • FIG. 1 shows by way of example components which contribute to the implementation of the method for single sign-on
  • FIG. 1 shows a set-top box STB, which is connected to, for example, a television TV as a display unit.
  • a television TV as a display unit.
  • Via TV TV can e.g. Contents such as video and audio data used by applications such as video and audio. Video-on-demand will be provided.
  • Connection A (eg broadband cable, Internet, etc.) communicates with a provider IDP of a logon and Authentiflzierungsfunktion.
  • provider IDP which may be, for example, an Internet service provider or a broadband cable operator
  • the set-top box STB is therefore registered with the provider IDP of the logon and authentication function.
  • the provider IDP of the login and authentication function On the one hand access to a communication network (eg broadband cable network, Internet, etc.) and possibly also offered applications, on the other hand is the provider IDP of the login and authentication function and the billing of the user of the set-top box STB - For example, by means of a so-called post-billing function - performed.
  • a communication network eg broadband cable network, Internet, etc.
  • the provider IDP of the login and authentication function and the billing of the user of the set-top box STB - For example, by means of a so-called post-billing function - performed.
  • FIG. 1 also shows two exemplary service providers SP1, SP2 with which a set-up for the use of offered applications is established by the set-top box via the exemplary connections B or C of a communication network (eg broadband cable, Internet, etc.) can.
  • a communication network eg broadband cable, Internet, etc.
  • SP2 also an agreement with the provider IDP of the registration and authentication function ⁇ has been made, creating a so-called between these "trusted relationship" which is symbolized in Figure 1 by the lines D and E.
  • service providers SP1, SP2 can provide providers of
  • FIG. 2 shows by way of example the schematic
  • the set-top box STB has a single-sign-on function SSO in which, for example, information for an authentication, a user profile and a configuration profile (eg hardware and / or software version used, etc.) of the Set-top box STB can be deposited.
  • SSO single-sign-on function
  • a so-called DRM client DRMC is installed on the STB set-top box.
  • Access to a communication network is established via a provider IDP of a sign-in and authentication function in which the set-top box STB or the user of the set-top box STB is registered.
  • a communication network e.g., broadband cable network, Internet, etc.
  • a first method step 1 the set-top box STB is turned on and the authentication process is initiated by the set-top box.
  • the set-top box STB is turned on and the authentication process is initiated by the set-top box.
  • Authentication function will be called. For example, a request for device authentication to an Internet address for Liberty Alliance Protocols, such as i ⁇ tps: / / a u tn. -> P • cor asked.
  • This Internet address represents a so-called bootstrap entry point for a device authentication.
  • This procedure has the advantage that in this case the user no longer needs to enter any data, but rather data stored by the set-top box during a registration be used.
  • a prerequisite for this is a connection to an IP-based communication network or the Internet for data transmission to the provider IDP of the logon and authentication function (eg broadband cable network or ADSL operator, etc.), with a separate logon and authentication required for this connection can be.
  • the logon and authentication function eg broadband cable network or ADSL operator, etc.
  • the logon and authentication function is started by the provider IDP of the logon and authentication function.
  • a so-called hash function e.g., SHA-I, SHA-2 or other popular cryptographic hash functions
  • SHA-I SHA-I
  • SHA-2 SHA-2 or other popular cryptographic hash functions
  • the single-sign-on function SSO of the set-top box STB receives a response - e.g. again using the previously mentioned hash function - sent to the provider IDP of the login and authentification function.
  • this response is processed and checked by the provider IDP of the logon and authentication function and, upon successful authentication, an authentication information on the set-top box STB or on the single-sign-on function SSO of the set-top box. Box sent.
  • the set-top box STB Before access to the video-on-demand application of the service provider SPL for the set-top box is possible, the set-top box STB in a fifth method step 5 at the service provider - for example, via the Digital Rights operated by this Management System DRMS - to be registered.
  • the set-top box STB or of the smgle sign-on function SSO the Authentiflz istsinformation sent together with the configuration profile (eg hardware used, software, digital right management clients DRMC and the respective version, etc.) of the set-top box STB to the service provider SPl.
  • the sent configuration profile may include, for example, an indication (eg Internet link, Internet address, etc.) to the provider IDP of the login and authentication function.
  • the authentication information is e.g. according to the indication (e.g., Internet link, Internet address, etc.) in the sent configuration profile of the set-top box STB from the service provider SPl to the
  • Provider IDP's login and authentication feature is sent to review and establish billing policies, etc. of the user.
  • the provider IDP of the logon and authentication function transmits an acknowledgment to the service provider SP1, provided the verification of the authentication information was positive.
  • authorizations and information about the user of the set-top box STB can also be transmitted to the service provider SP1, which is provided by the service provider SP1, e.g. can be used for billing.
  • the following steps 8 through 12 will involve negotiating the digital rights management client DRMC and its version and generating the associated one
  • Encryption information is described by the service provider SPl. Both digital and symmetric encryption systems can be used as encryption for digital rights management. However, most commonly used in the context of digital rights management is a so-called public key infrastructure, as will be exemplified below.
  • an eighth step 8 is then set up a profile for the set-top box STB to the digital rights management system DRMS the service provider SPI ⁇ .
  • This profile may include, for example, the confirmation of the provider IDP of the logon and authentication function and the permissions and information sent therewith as well as the configuration profile of the set-top box STB.
  • the digital rights management system DRMS determines which digital rights management Client DRMC and which version to use for the video on demand application.
  • the decision on the digital rights management client DRMC also determines a corresponding encryption algorithm and associated keys, eg PKI keys.
  • the digital rights management system DRMS then uses the database KEY for
  • the PKI keys are transmitted from the database KEY to the digital rights management system DRMS, the keys being e.g. either regenerated or read from a memory.
  • the PKI keys and associated setting data are then sent to the set-top box STB, wherein the keys, which however have a limited validity period, are in the set-top Box STB can be stored.
  • the set-top box STB is then informed of the selected digital rights management client DRMC and its version by the service provider SP1.
  • the set-top box STB requests encryption information for the digital rights management at the service provider SP1 or at the digital rights management system DRMS, which is operated, for example, by the service provider SP1.
  • this request is forwarded by the digital rights management system DRMS to the database KEY for information for encryption of the application, and both encryption and decryption information are created by the database KEY - e.g. by generating an encryption key as well as a decryption key or by fetching these keys also a memory.
  • the decryption information is then transmitted from the database KEY to the digital rights management system DRMS.
  • the encryption data from the database KEY is made available by the database KEY to the video-on-demand server VoD for the encryption of the application Video-on-Demand or the content transmitted by this application.
  • the decryption information is encrypted by the digital rights management system DRMS-for example by means of a PKI system with a so-called public key for the digital rights management client DRMC of the set-top box STB.
  • the encrypted decryption information for the use of the video-on-demand application is then sent to the set-top box STB or to the digital Rights management client DRMC transferred.
  • the set-top box sends a request for using the application to the service provider SP1.
  • the application is encrypted by the service provider; i.e. e.g. handles the video content from the service provider's video-on-demand server VoD with the encryption information.
  • the encrypted video content or the encrypted application is then loaded onto the set-top box STB and decrypted in a twenty-third step 23 by the set-top box STB.
  • the application can then be used by means of a set-top box STB, which means in video-on-demand that the video content is e.g. on a TV connected to the set top box STB.
  • the service provider SPl can use the so-called Verimat ⁇ x Content Authority System VCAS for digital rights management.
  • VCAS is a software- ⁇ -based system that has been specially developed for the protection of digital video and audio data and is based on principles of PKI.
  • VCAS system validates and issues X.509 certificates for each component of a service provider SPl. These certificates are based on the ITU-T's X.509 standard, which defines a definition of digital certificates and is currently one of the most important standards for digital certificates. If a VCAS system is used for digital rights management, the digital rights
  • Management client DRMC the set-top box STB registered with the VCAS system and then validated a digital certificate and issued to the set-top box STB together with encryption ⁇ information (eg Public Keys, Private Key, etc.).
  • encryption ⁇ information eg Public Keys, Private Key, etc.
  • the certificate and encryption ⁇ information is then stored on the set-top box for Authentiflzierungs- and decryption operations.
  • Video-on-demand is designed using a VCAS system as described in the method steps 13 to 23 with the addition that the VCAS system with each set-top box STB with the transmitted certificate or a so-called signature the set-top box STB is being tested.

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Graphics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Nach Einschalten der Set-Top-Box (STB) wird eine Anmeldung und Authentifizierung beim Anbieter (IDP) durchgeführt (1, 2, 3). Nach erfolgreicher Authentifizierung wird dann eine Authentifizierungsinformation an die Set-Top-Box (STB) gesendet (4), welche von der Set-Top-Box (STB) für eine Registrierung an einen Dienstanbieter (SPl) gesendet wird (5). Vom Dienstanbieter (SPl) wird dann eine Verbindung zum Anbieter (IDP) der Anmelde- und Authentif i zierungsfunktion aufgebaut (6), um die Authentif izierungsinformation zu verifizieren und Richtlinien für eine Vergebührung abzufragen, und vom Anbieter (IDP) der Anmelde- und Authentif i zierungsfunktion eine Bestätigung an den Dienstanbieter gesendet (7).

Description

Beschreibung
Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box
Technisches Gebiet
Die Erfindung betrifft ein Verfahren für Single-Sign-On bei Nutzung mehrere Anwendungen, wobei für die Nutzung der Anwendungen eine Set-Top-Box verwendet wird und die Anwendungen von verschiedenen Dienstanbietern zur Verfügung gestellt werden.
Stand der Technik
Heutzutage ist es häufig üblich, dass von Nutzern eines Kommunikationsnetzwerkes eine Anmelde- und Authenti- flzierungsfunktion, welche auch als Login bezeichnet werden kann, durchlaufen werden muss, um beispielsweise auf eine Anwendung eines Dienstanbieters, einen Rechner, ein Kommunikationsnetzes oder ein System, etc. zugreifen zu können. Ein Login ist dabei ein Vorgang für eine Anmeldung eines Nutzers z.B. bei einer Anwendung, auf einem Rechner, einem System oder in einem Kommunikationsnetz, etc., bei welchem vom Nutzer üblicherweise eine Nutzerkennung zur Identifizierung und z.B. ein Passwort oder eine persönliche
Identifikationsnummer, ein PIN, etc. eingegeben wird. Von der Anwendung, dem Kommunikationsnetz oder dem System, etc. wird dann eine Überprüfung von Zugriffsberechtigungen - ein so genannte Authentifizierung - durchgeführt.
Die Identifizierung bezeichnet dabei einen Prozess, durch welchen eine eindeutige Zuordnung z.B. eines Nutzers, einer Anwendung oder eines Systems zu seiner in der Anwendung, im Kommunikationsnetz oder im System definierten Rolle erfolgt. Entsprechend dieser Rolle und meist nach erfolgter
Authentifizierung werden dann beispielsweise so genannte Berechtigungen für die Nutzung von Anwendungen, des Systems, des Kommunikationsnetzes, etc. beispielsweise von einem Dienstanbieter, etc. erteilt. Der Begriff Authentifizierung fasst dabei alle Vorgänge zusammen, durch welche die Authentizität und der Ursprung bei einer Übertragung von Informationen festgestellt und überprüft werden (z.B. durch Passwörter, PIN, etc.) .
Damit von einem Nutzer die Anmelde- und Authentiflzierungs- funktion für den Zugriff auf z.B. eine Anwendung, eine System, ein Kommunikationsnetz, etc. überhaupt verwendet werden kann, muss vom Nutzer oder vom System bzw. Endgerät, über welches die Anwendung, das System, das Kommunikations¬ netz, etc. genutzt werden soll, eine so genannte Registrierung durchgeführt werden. Unter Registrierung wird allgemein ein Vorgang verstanden, bei dem Informationen über z.B. den Nutzer und/oder das Endgeräte (z.B. Name, Nutzerkennung, Passwort, Daten für eine eventuelle Vergebührung, etc.) beispielsweise in ein Verzeichnis, eine Datenbank oder ein Register beim Dienstanbieter oder Systembetreiber eingetragen werden. Nach erfolgreicher Registrierung, welche üblicherweise vor der allerersten Nutzung einer Anwendung, eines System, etc. einmalig durchgeführt wird, wird dem Nutzer dann das Login für Anmeldung und Authentifizierung zur Verfügung gestellt.
Für einen einfacheren Zugang mit Login versehenen
Anwendungen, Systemen, etc. gibt es heute eine Möglichkeit einer Anmeldung und Authentifizierung durch so genanntes Single-Sign-On .
Der Begriff Single-Sign-On steht für Einmalanmeldung und bedeutet, dass von einem Nutzer nach nur einmaligem Durch¬ laufen des Login-Prozesses beispielsweise auf alle Anwendungen, Rechner, Systeme, etc., für welche dieser Nutzer berechtigt ist, zugegriffen werden kann. Für eine Nutzung z.B. einer weiteren Anwendung oder eines anderen Rechners bzw. Systems ist dann kein neuerliches Login (Anmeldung und Authentifizierung) des Nutzers mehr erforderlich. Bei Single-Sign-On wird ein Nutzer nur einmal unter zu Hilfenahme des Login-Prozesses beispielsweise in einem Kommunikationsnetz, einem System oder einem so genannten Portal, von welchem üblicherweise im World Wide Web mehrere Anwendungen zur Verfügung gestellt werden, identifiziert und authentifiziert. Danach wird die Aufgabe der Identifizierung und Authentifizierung von einem Smgle-Sign-On-Mechanismus übernommen .
Übliche Lösungsansätze für Single-Sign-On-Mechanismen sind beispielsweise :
- so genannte Portallösungen, welche z.B. im World Wide Web zur Nutzung von mehreren Anwendungen angeboten werden. Dabei kann sich der Nutzer in einem so genannten Portal erstmals einloggen und wird dort authentifiziert sowie für die Nutzung von Anwendungen autorisiert.
- so genannte Ticketing-Systeme, bei diesen verfügen mehrere Anwendungen über eine gemeinsame Authentifizierungs- information für einen Nutzer. Diese Information wird dann beispielsweise zwischen den Anwendungen ausgetauscht bzw. auf den eingeloggten Nutzer in Form eines virtuellen Tickets übertragen.
- oder lokale Lösungen, bei denen z.B. vom Benutzer lokal auf seinem Arbeitsplatz bzw. Rechner eine (Client-) - Software installiert wird, von welcher z.B. in einer erscheinenden Loginmaske automatisch nur die Nutzerkennung oder Nutzerkennung und Passwort eingetragen werden. Diese Daten können beispielsweise in einer verschlüsselten Datei lokal auf der Arbeitsstation, dem Rechner bzw. dem Endgerät des Nutzers, auf einer so genannten Chipkarte oder auf einem so genannten Single-Sign-On-Server abgespeichert sein.
Als Set-Top-Box wird im Bereich der Unterhaltungselektronik ein Gerät bezeichnet, welches an ein anderes Endgerät - meist einen Fernseher oder einen Bildschirm - angeschlossen wird, um einem Nutzer zusätzliche Nutzungsmöglichkeiten des Endgerätes zu bieten. Die wichtigsten von einer Set-Top-Box bereitgestellten Fähigkeiten sind beispielsweise ein Abspielen von Medien (z.B. VHS, DVD, etc.), welche wie z.B. bei Spielen interaktiv sein können, ein Aufzeichnen von empfangenen Daten und der Programmempfang über alternative Übertragungswege (z.B. Satellit, Breitbandkabel oder
Internet) und alternative Übertragungsverfahren (digital, verschlüsselt, etc.) . Mit Hilfe der Set-Top-Box werden daher auch Funktionen wie beispielsweise Dekomprimierung, Decodierung, Digital-Analog-Wandlungen, Rückkanalverwaltung, etc. für interaktive und digitale Video- und/oder TV-System vorgenommen. Eine Set-Top-Box kann auch mit dem Fernseher als Endgerät einen Zugang zum Internet ermöglichen.
Gerade im Bereich des Home Entertainments werden von Dienst- anbietern zahlreiche Anwendungen wie z.B. Video-on-Demand, interaktive Spiele, etc. angeboten, welche mittels einer Set- Top-Box genutzt werden können. Video-on-Demand ist z.B. eine Anwendung, bei der es Nutzern ermöglicht wird, zu jeder beliebigen Zeit aus einer Auswahl von Videofilmen meist gegen eine Gebühr einen Film abzurufen und abzuspielen. Der Film wird dabei z.B. über ein Breitbandnetz oder das Internet zur Set-Top-Box gesendet. Dazu wird vom Anbieter zumindest ein so genannter Streaming-Server benötigt.
Weiters können von Herstellern von Set-Top-Boxen so genannte Software-Upgrades für z.B. die Set-Top-Box als Anwendung angeboten werden. Das Software-Upgrade kann vom Nutzer über z.B. ein Breitbandnetz, via Satellit oder Internet auf die Set-Top-Box geladen und dann die neue Software installiert werden.
Zum Schutz von Urheber- und Vermarktungsrechten an geistigem Eigentum in digitaler Form (z.B. Film- und Tonaufnahmen, Software, etc.) werden zusätzlich so genannte Digital-Rights- Management-Systeme (DRM) von Dienstanbietern eingesetzt. Durch diese Systeme werden prinzipiell neue Abrechnungs¬ methoden für Lizenzen und Rechte sowie Kontrollmechanismen über die Nutzung der digitalen Daten ermöglicht. Damit von Digital-Rights-Management-Systemen geschützte Anwendungen genutzt werden können, wird üblicherweise eine spezielle Software - ein so genannter DRM-Client - auf dem Endgerät des Nutzers (z.B. Set-Top-Box) benötigt.
Werden von einem Dienstanbieter Anwendungen, welche über eine Set-Top-Box genutzt werden können (z.B. Bezahlfernsehen, Video-on-Demand, etc.) gegen Gebühr zur Verfügung gestellt, so werden auch so genannte Zugangsberechtigungssysteme bzw. Conditional-Access-Systeme eingesetzt, um die Nutzung der Anwendungen durch berechtigte (zahlende) Nutzer sicherzustellen. Zugangsberechtigungssysteme können auch in Kombination mit DRM-Systemen eingesetzt werden.
Für den Empfang von Daten bzw. Programmen, Nutzung von
Anwendungen wie z.B. Video-on-Demand, etc. via Set-Top-Box wird üblicherweise ein Zugang zu einem Kommunikationsnetz über einen speziellen Anbieter (z.B. einem Breitbandkabel- betreiber oder einem Internet-Service-Provider) verwendet. Zwischen diesem speziellen Anbieter und dem Nutzer der Set- Top-Box besteht üblicherweise eine Geschäftsbeziehung - z.B. durch Subskription. Vom speziellen Anbieter wird dann z.B. eine vereinbarte Vergebührung des Nutzers vorgenommen. Der Nutzer bzw. die Set-Top-Box ist dann bei diesem Anbieter registriert und es können nach Durchlaufen einer Anmelde- und Authentiflzierungsfunktion beispielsweise die von diesem Anbieter angebotenen Anwendungen und Übertragungswege genutzt werden .
Möchte ein Nutzer Set-Top-Box Anwendungen von verschiedenen Dienstanbietern nutzen, so muss von ihm derzeit für den Zugang zum Kommunikationsnetz bzw. zu den Über-tragungswegen eine Anmelde- und Authentiflzierungsfunktion durchlaufen werden und dann für jede der Anwendungen beim jeweiligen Dienstanbieter eine eigene Anmeldung und Authentifizierung vorgenommen werden. Diese Anmeldungen und Authentifizierungen können je nach Dienstanbieter, aber auch in Abhängigkeit von z.B. eingesetzten DRM- und/oder Zugangs-berechtigungssystemen sehr unterschiedlich gestaltet sein.
Bei jeder dieser Anmeldungen und Authentifizierungen sind dann vom Nutzer beispielsweise Anmelde- und Authenti- flzierungsinformationen wie z.B. Nutzerkennung, Passwort, PIN, Konfigurationsdaten der Set-Top-Box, etc. einzugeben.
Es ist daher nicht nur nachteilig, dass für jede dieser Anwendungen beim jeweiligen Dienstanbieter eine eigene Anmeldung und Authentifizierung vorgenommen werden muss, sondern auch dass dabei Informationen wie z.B. Nutzerdaten, Nutzerkennung, Passwort, etc. mehrmals eingegeben werden müssen. Zusätzlich besteht beispielsweise der Nachteil, dass Nutzerdaten (z.B. Name, Adresse, etc.) einem Dienstanbieter bekannt geben werden müssen, obwohl keine langfristige
Beziehung zu diesem Dienstanbieter aufgebaut werden soll, weil z.B. die Anwendung bzw. der Content nur einmalig genutzt wird.
Für Anwendungen wie z.B. so genannte Web-Anwendungen bei Portallösungen wird in diesem Fall z.B. Single-Sign-On verwendet. Bei über eine Set-Top-Box nutzbaren Anwendungen ist der Einsatz von Single-Sign-On für eine einmalige Anmeldung und Authentifizierung derzeit nicht bekannt.
Darstellung der Erfindung
Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren anzugeben, durch welches es einem Nutzer ermöglicht wird, mittels Single-Sign-On Zugriff auf mit einer Set-Top-Box nutzbare Anwendungen von verschiedenen Anbietern zu erhalten, und bei welchem nur für die jeweilige Anwendung notwendige Daten weitergeleitet werden.
Die Lösung dieser Aufgabe erfolgt erfindungsgemäß durch ein Verfahren der eingangs angeführten Art, wobei von einem Anbieter eine Anmelde- und Authentiflzierungsfunktion zur Verfügung gestellt wird, zwischen dem Anbieter der Anmelde- und Authentiflzierungsfunktion und Dienstanbietern ein Übereinkommen getroffen worden ist und eine Set-Top-Box beim Anbieter der Anmelde- und Authentiflzierungsfunktion registriert ist. Nach dem Einschalten der Set-Top-Box wird dann die Anmelde- und Authentiflzierungsfunktion aufgerufen und eine Anmeldung und Authentifizierung durchgeführt. Nach einer erfolgreichen Authentifizierung der Set-Top-Box wird von Anbieter eine Authentiflzierungsinformation an die Set- Top-Box gesendet, welche dann durch Übersenden von der Set- Top-Box für eine Registrierung bei einem Dienstanbieter verwendet wird. Vom Dienstanbieter wird dann eine Verbindung zum Anbieter der Anmelde- und Authentiflzierungsfunktion aufgebaut, um die Authentiflzierungsinformation zu verifizieren und Richtlinien für eine Vergebührung abzufragen. Dann wird vom Anbieter der Anmelde- und
Authentiflzierungsfunktion eine Bestätigung an den Dienstanbieter gesendet.
Der Hauptaspekt der erfindungsgemäß vorgeschlagenen Lösung besteht einerseits darin, dass von einem Nutzer, welcher über eine Set-Top-Box Zugang zu Anwendungen verschiedener Dienstanbieter erhalten möchte, nur einmal eine Anmelde- und Authentiflzierungsfunktion durchlaufen wird. Anmelde- und Authentiflzierungsinformationen (z.B. Passwort, PIN, etc.) werden nur noch einmal via Set-Top-Box eingegeben - z.B. nach dem Einschalten der Set-Top-Box wird eine Anmeldung beim Anbieter der Anmelde- und Authentiflzierungsfunktion (z.B. Breitbandkabelbetreiber, Internet-Service-Provider, etc.) durchgeführt. Danach wird die Aufgabe der Registrierung bzw. Anmeldung bei einem Dienstanbieter von einem Single-Sign-On- Mechanismus übernommen.
Andererseits wird vom erfindungsgemäßen Verfahren der Vorteil geboten, dass beispielsweise Nutzerdaten (z.B. Name, Adresse, etc.) nur mehr dem Anbieter der Anmelde- und Authenti- flzierungsfunktion bekannt gegeben werden müssen, zu welchem eine längerfristige Geschäftsbeziehung besteht und von dem auch z.B. die Vergebührung übernommen wird. An die Dienst- anbieter werden vorteilhafterweise nur mehr für die genutzten Anwendungen notwendige Daten (z.B. Konfigurationsdaten der Set-Top-Box, etc.) übertragen. Es kann dadurch z.B. eine Trennung zwischen Nutzer- und Konfigurationsdaten vorgenommen werden und der Nutzer bleibt für den Dienstanbieter weitgehend anonym.
Es ist vorteilhaft, wenn bei der Registrierung bei einem Dienstanbieter von der Set-Top-Box zusätzlich zur Authenti- flzierungsinformation ein Konfigurationsprofil der Set-Top- Box an den Dienstanbieter gesendet wird, da auf diese einfache Weise der Dienstanbieter beispielsweise über die verwendete Hardware und/oder Software der Set-Top-Box informiert wird. Es kann dann dem Nutzer z.B. die für die Set-Top-Box passende Version der Anwendung zur Verfügung gestellt werden. So ist es z.B. für DRM-System wichtig, Informationen über den von Set-Top-Box die eingesetzte DRM- Client-Software zu erhalten, damit die Anwendung (z.B. Video- on-Demand, etc.) problemlos genutzt werden kann.
Zur Lösung der Aufgabe ist auch vorgesehen, dass die Bestätigung des Anbieters der Anmelde- und Authenti- flzierungsfunktion zusätzlich Berechtigungen des Nutzers der Set-Top-Box umfasst. Damit kann auf einfache Weise ein beim Anbieter der Anmelde- und Authentiflzierungsfunktion für den Nutzer eingerichtetes Berechtigungsprofil, welches sich z.B. aufgrund der Registrierung bzw. Subskription ergibt, an einen Dienstanbieter weitergeleitet werden.
Bei einer bevorzugten Weiterbildung des erfindungsgemäßen
Verfahrens empfiehlt sich, dass zwischen der Set-Top-Box und dem Dienstanbieter Bedingungen für ein Digital Rights Management verhandelt werden, dass zuerst eine Verschlüsselungsinformation für das Digital Rights Management DRM generiert wird, welche gemeinsam mit Einstellungs¬ bedingungen vom Dienstanbieter an die Set-Top-Box übertragen wird, und dass danach eine Verschlüsselungsinformation für die Nutzung der Anwendung generiert wird, welche dann verschlüsselt an die Set-Top-Box gesendet wird. Digital Rights Management (DRM) bzw. DRM-Systeme werden zum Schutz von Urheber- und Vermarktungsrechten an geistigem Eigentum in digitaler Form (z.B. Film- und Tonaufnahmen, Software, etc.) eingesetzt. Durch diese Systeme werden prinzipiell neue
Abrechnungsmethoden für Lizenzen und Rechte sowie Kontroll¬ mechanismen über die Nutzung der digitalen Daten ermöglicht. Für die Nutzung von durch DRM-Systeme geschützter Anwendungen sind so genannte DRM-Clients, welche z.B. auf der Set-Top-Box installiert sein müssen, notwendig. Da auf einer Set-Top-Box mehrere DRM-Clients verfügbar sein können, ist es vorteilhaft Bedingungen für das DRM wie z.B. notwendiger DRM-Client, Version des DRM-Client, etc. zu verhandeln. Zum Schutz gegen widerrechtliche Nutzen (z.B. ohne Lizenz, unerlaubtes Kopieren, etc.) einer Anwendung bzw. des durch die Anwendung zur Verfügung gestellten Contents ist es vorteilhaft, die Informationen über das DRM sowie die Anwendung bzw. den Content selbst zu verschlüsseln.
Es ist günstig, wenn für die Anmelde- und Authentiflzierungs- funktion die so genannten Liberty Alliance Protocols LAP verwendet werden, da die LAPs für verteilte Architektur- Strukturen mit mehreren Dienstanbietern (z.B. Internet, etc.), von denen beispielsweise aufgrund unterschiedlicher Sicherheitsvorgaben unterschiedliche Nutzerdaten gefordert und verwaltet werden, als offener Standard von der so genannten Liberty Alliance definiert worden sind. Die Liberty Alliance ist Wirtschaftsinitiative (bestehend aus 150 Unternehmen, Non-Profit-Organisationen und Behörden aus dem Mobile Commerce und der Sicherheitsindustrie) mit dem Ziel, industrieübergreifende Plattformen und Standards (insbesondere im Bereich mobiler Anwendungen) für die weltweite Transaktionssicherheit im Internet zu entwickeln, technisch-organisatorische Fragen hinsichtlich Registrierung, Zertifizierung und InterOperabilität zu klären. Von der Liberty Alliance werden in diesem Zusammenhang Spezifikationen als Grundlage für das Verwalten von Identitäten (z.B. Nutzerdaten, etc.) im Umfeld vernetzter Strukturen sowie Kommunikationsprotokolle für deren Anwendung beispielsweise bei Web-Diensten beschrieben.
Es ist günstig, wenn für die Verschlüsselungsinformation für das Digital Rights Management eine so genannte Public-Key- Infrastruktur PKI genutzt wird. Als PKI wird in der Kryptografie ein so genanntes asymmetrisches Kryptosystem bezeichnet, welches es ermöglicht, digitale Zertifikate oder Schlüssel auszustellen, zu verteilen und zu prüfen. Die innerhalb einer PKI verwendeten Zertifikate oder Schlüssel sind beispielsweise auf Nutzer oder Endgeräte festgelegt. Die PKI hat daher den Vorteil, dass durch das digitale Zertifikat eine Authentifizierung direkt von der jeweiligen Anwendung bzw. dem jeweiligen Dienstanbieter durchgeführt werden kann. PKI kann außer zur Authentifizierung auch zur Verschlüsselung von Daten verwendet werden.
Es ist zweckmäßig, wenn für die Verschlüsselung einer durch die Set-Top-Box genutzten Anwendung ein symmetrisches Verschlüsselungssystem genutzt wird. Bei einem symmetrischen Verschlüsselungssystem wird im Gegensatz zu PKI für die Ver- und Entschlüsselung der gleiche Schlüssel verwendet. Dabei müssen zwischen Anwendung bzw. Dienstanbieter und Set-Top-Box zuvor auf sichere Art der Schlüssel ausgetauscht werden. Ein symmetrisches Verschlüsselungssystem weist allerdings den Vorteil auf, dass die Algorithmen zur Ver- und
Entschlüsselung sehr schnell ablaufen und z.B. auch direkt in Form von Hardwarebausteinen implementiert werden können.
Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dass für das Digital Rights Management das so genannte Veπmatrix Content Authority System VCAS eingesetzt wird. VCAS ist ein software-basiertes System, welches speziell für den Schutz von digitalen Video- und Audiodaten, welche z.B. bei Anwendungen wie Video-on-Demand über eine Set-Top-Box genutzt werden, entwickelt worden ist. VCAS stellt damit ein so genanntes Content-Protection und DRM-System dar und wird insbesondere im Bereich des Internets und bei Digital Video Broadcast (DVB) via z.B. Breitbandkabel, Satellit, etc. eingesetzt. Von VCAS wird auf den Prinzipien von PKI aufgebaut und es wird dabei der ITU-T X.509 Standard für eine Definition von digitalen Zertifikaten genutzt. Der Standard X.509 der ITU-T stellt derzeit einen der wichtigsten Standards für PKI und digitale Zertifikate dar.
Kurzbeschreibung der Zeichnung
Die Erfindung wird nachfolgend anhand von zwei Figuren näher erläutert, welche in beispielhafter Weise an einer Durchführung des erfindungsgemäßen Verfahrens beteiligte Komponenten sowie den schematischen Ablauf des erfindungsgemäßen Verfahrens für Single-Sign-On bei Nutzung mehrerer Anwendungen von verschiedenen Dienstanbietern zeigen.
Ausführung der Erfindung
Figur 1 zeigt in beispielhafter Weise Komponenten, welche an der Durchführung des Verfahrens für Single-Sign-On bei
Verwendung einer Set-Top-Box STB, über welche Anwendungen von verschiedenen Dienstanbietern SPl, SP2 genutzt werden.
In Figur 1 ist eines Set-Top-Box STB dargestellt, welche mit beispielsweise mit einem Fernseher TV als Anzeigeeinheit verbunden ist. Über den Fernseher TV können z.B. Inhalte wie Video- und Audiodaten genutzt werden, welche von Anwendungen wie z.B. Video-on-Demand zur Verfügung gestellt werden.
Von der Set-Top-Box STB wird über ein beispielhafte
Verbindung A (z.B. Breitbandkabel, Internet, etc.) mit einem Anbieter IDP einer Anmelde- und Authentiflzierungsfunktion kommuniziert. Zwischen dem Anbieter IDP, welche z.B. ein Internet-Service-Provider oder ein Breitbandkabelbetreiber sein kann, und den Nutzer der Set-Top-Box STB besteht üblicherweise eine längerfristige Geschäftsbeziehung. Die Set-Top-Box STB ist beim Anbieter IDP der Anmelde- und Authentiflzierungsfunktion daher registriert. Vom Anbieter IDP der Anmelde- und Authentifizierungsfunktion wird einerseits ein Zugang zu einem Kommunikationsnetz (z.B. Breitbandkabelnetz, Internet, etc.) und eventuell auch Anwendungen angeboten, andererseits wird vom Anbieter IDP der Anmelde- und Authentifizierungsfunktion auch die Vergebührung des Nutzer der Set-Top-Box STB - z.B. mittels einer so genannten Post-Billing-Funktion - durchgeführt.
In Figur 1 sind außerdem zwei beispielhafte Dienstanbieter SPl, SP2 dargestellt, mit denen von der Set-Top-Box über die beispielhaften Verbindungen B bzw. C eines Kommunikationsnetzes (z.B. Breitbandkabel, Internet, etc.) ein Kontakt für die Nutzung angebotener Anwendungen aufgebaut werden kann. Von den Dienstanbietern SPl, SP2 ist auch ein Übereinkommen mit dem Anbieter IDP der Anmelde- und Authentifizierungs¬ funktion getroffen worden, wodurch zwischen diesen eine so genannte „trusted relationship" besteht, welche in Figur 1 durch die Linien D und E symbolisiert wird.
Dienstanbieter SPl, SP2 können beispielsweise Anbieter von
Video-on-Demand, Audio-on-Demand oder der Hersteller der Set- Top-Box STB sein, von welchem ein so genanntes Software- Upgrade für die Set-Top-Box auf diese Weise angeboten wird.
Figur 2 zeigt in beispielhafter Weise den schematischen
Ablauf des erfindungsgemäßen Verfahrens für Smgle-Sign-On bei Nutzung mehrere Anwendungen von verschiedenen Dienst¬ anbietern SPl, SP2 bei Verwendung einer Set-Top-Box STB. Das erfindungsgemäße Verfahren wird dabei anhand eines beispielhaften Dienstanbieters SPl erläutert, von welchem Video-on-Demand über einen Video-on-Demand-Server VoD angeboten wird. Die bei Video-on-Demand übertragenen Inhalte sind durch ein Digital-Rights-Management-System DRMS geschützt, welches ebenfalls vom Dienstanbieter SPl betrieben wird. Die Inhalte von Video-on-Demand werden außerdem verschlüsselt zur Set-Top-Box STB übertragen. Daher ist beim Dienstanbieter SPl auch eine Datenbank KEY für Verschlüsselungsinformation eingerichtet. Die Set-Top-Box STB verfügt über eine Single-Sign-On-Funktion SSO, in der beispielsweise Informationen für eine Authentifizierung, ein Nutzerprofil und ein Konfigurations- profil (z.B. verwendete Hardware- und/oder Software-Version, etc.) der Set-Top-Box STB hinterlegt sein können. Für die Nutzung von durch DRM-Systeme DRMS geschützter Anwendungen ist auf der Set-Top-Box STB ein so genannte DRM-Client DRMC installiert .
Der Zugang zu einem Kommunikationsnetz (z.B. Breitbandkabelnetz, Internet, etc.) wird über einen Anbieter IDP einer Anmelde- und Authentifizierungsfunktion hergestellt, bei welchem die Set-Top-Box STB bzw. der Nutzer der Set-Top-Box STB registriert ist.
In einem ersten Verfahrenschritt 1 wird die Set-Top-Box STB eingeschaltet und der Authentiflzierungsprozess von der Set- Top-Box initiiert. So kann z.B. von der Set-Top-Box eine Geräte-Authentiflzierung beim Anbieter IDP der Anmelde- und
Authentifizierungsfunktion aufgerufen werden. Dabei wird z.B. eine Anfrage für die Geräte-Authentiflzierung an eine Internet-Adresse für Liberty Alliance Protocols wie z.B. iΛ tps : / /autn. - >P • cor gestellt. Diese Internet-Adresse stellt einen so genannten Bootstrap-Einstiegspunkt für eine Geräte- Authentiflzierung dar. Diese Vorgehensweise hat den Vorteil, dass der Nutzer in diesem Fall keine Daten mehr eingeben muss, sondern von der Set-Top-Box z.B. bei einer Registrierung abgespeicherte Daten verwendet werden. Eine Voraussetzung dafür ist allerdings eine Anbindung an eine IP- basiertes Kommunikationsnetz oder das Internet für eine Datenübertragung zum Anbieter IDP der Anmelde- und Authentifizierungsfunktion (z.B. Breitbandkabelnetz- oder ADSL-Betreiber, etc.), wobei für diese Anbindung eine getrennte Anmeldung und Authentifizierung erforderlich sein kann. So kann beispielsweise der Nutzer beim Einschalten der Set-Top-Box STB aufgefordert werden, sich für diese Anbindung z.B. durch Eingabe einer Nutzerkennung und eines Passwort zu authentifizieren .
In einem zweiten Verfahrensschritt 2 wird vom Anbieter IDP der Anmelde- und Authentifizierungsfunktion die Anmelde- und Authentiflzierungsfunktion gestartet. Für die Anmeldung und Authentifizierung kann dabei z.B. eine so genannte Hash- Funktion (z.B. SHA-I, SHA-2 oder andere weitverbreitete kryptografische Hash-Funktionen) verwendet werden, wie z.B. für eine Übertragung zwischen der Set-Top-Box STB und dem Anbieter IDP der Anmelde- und Authentifizierungsfunktion sowie einer Speicherung von Passwörtern beim Anbieter IDP der Anmelde- und Authentifizierungsfunktion . Wie im ersten Verfahrensschritt 1 beschrieben, soll eine Kommunikation zwischen der Set-Top-Box STB und dem Anbieter IDP der
Anmelde- und Authentifizierungsfunktion (ebenso wie eine Kommunikation zwischen der Set-Top-Box STB und dem Dienstanbieter SPl) innerhalb eines gesicherten Tunnels (z.B. https) durchgeführt werden.
In einem dritten Verfahrensschritt 3 wird von der Single- Sign-On-Funktion SSO der Set-Top-Box STB eine Antwort - z.B. wieder unter Verwendung der vorher angeführten Hash-Funktion - an den Anbieter IDP der Anmelde- und Authentiflzierungs- funktion gesendet. In einem vierten Verfahrensschritt 4 wird diese Antwort vom Anbieter IDP der Anmelde- und Authentifizierungsfunktion bearbeitet und überprüft und bei erfolgreicher Authentifizierung eine Authentiflzierungs- information zu Set-Top-Box STB bzw. zur Single-Sign-On- Funktion SSO der Set-Top-Box gesendet.
Bevor ein Zugriff auf die Video-on-Demand-Anwendung des Dienstanbieters SPl für die Set-Top-Box möglich ist, muss die Set-Top-Box STB in einem fünften Verfahrensschritt 5 beim Dienstanbieter - z.B. über das von diesem betriebene Digital- Rights-Management-System DRMS - registriert werden. Für die Registrierung wird dabei von der Set-Top-Box STB bzw. von der Smgle-Sign-On-Funktion SSO die Authentiflzierungsinformation gemeinsam mit dem Konfigurationsprofil (z.B. verwendete Hardware, Software, Digital-Right-Management-Clients DRMC und die jeweilige Version, etc.) der Set-Top-Box STB an den Dienstanbieter SPl gesendet. Dabei wird von der Set-Top-Box STB beispielsweise keine Information aus dem Nutzerprofil an den Dienstanbieter SPl übertragen, wodurch die Set-Top-Box STB für den Dienstanbieter SPl anonym bleibt. Das gesendete Konfigurationsprofil kann z.B. auch einen Angabe (z.B. Internet-Link, Internet-Adresse, etc.) zum Anbieter IDP der Anmelde- und Authentifizierungsfunktion umfassen.
In einem sechsten Verfahrenschritt 6 wird die Authenti- flzierungsinformation z.B. gemäß der Angabe (z.B. Internet- Link, Internet-Adresse, etc.) im gesendeten Konfigurations- profil der Set-Top-Box STB vom Dienstanbieter SPl an den
Anbieter IDP der Anmelde- und Authentifizierungsfunktion zur Überprüfung und Festlegung von Richtlinien zur Vergebührung, etc. des Nutzers gesendet. In einem siebten Verfahrenschritt 7 wird vom Anbieter IDP der Anmelde- und Authentifizierungs- funktion eine Bestätigung an den Dienstanbieter SPl übermittelt, sofern die Überprüfung der Authentiflzierungs- information positiv war. Zusätzlich zur Bestätigung können beispielsweise auch Berechtigungen und Informationen über den Nutzer der Set-Top-Box STB an den Dienstanbieter SPl über- tragen werden, welche vom Dienstanbieter SPl z.B. für die Vergebührung eingesetzt werden können.
Von den folgenden Verfahrensschritten 8 bis 12 wird ein Aushandeln des Digital-Rights-Management-Clients DRMC sowie seiner Version und ein Generieren der zugehörigen
Verschlüsselungsinformation durch den Dienstanbieter SPl beschrieben. Als Verschlüsselung bei Digital-Rights- Management können sowohl symmetrische als auch asymmetrische Verschlüsselungssysteme eingesetzt werden. Am häufigsten wird im Zusammenhang mit Digital-Rights-Management allerdings eine so genannte Public-Key-Infrastruktur verwendet, wie dies auch im Folgenden beispielhaft dargestellt wird. In einem achten Verfahrenschritt 8 wird dann beim Dienst¬ anbieter SPl z.B. am Digital-Rights-Management-System DRMS ein Profil für die Set-Top-Box STB eingerichtet. Dieses Profil kann z.B. die Bestätigung des Anbieters IDP der Anmelde- und Authentifizierungsfunktion sowie die damit übersendeten Berechtigungen und Informationen sowie das Konfigurationsprofil der Set-Top-Box STB umfassen. Anhand des Konfigurationsprofils, welches auch den oder die von der Set- Top-Box STB verwendeten Digital-Rights-Management-Clients DRMC sowie die jeweilige Version enthält, wird vom Digital- Rights-Management-System DRMS festgelegt, welcher Digital- Rights-Management-Client DRMC und welche Version für die Nutzung der Video-on-Demand-Anwendung verwendet werden soll. Durch die Entscheidung über den Digital-Rights-Management- Client DRMC werden auch ein entsprechender Verschlüsselungs- algoπthmus sowie zugehörige Schlüssel - z.B. PKI-Schlüssel - bestimmt .
In einem neunten Verfahrensschritt 9 werden dann vom Digital- Rights-Management-System DRMS von der Datenbank KEY für
Verschlüsselungsinformationen die entsprechenden Schlüssel - z.B. für eine Public-Key-Infrastruktur angefordert. In einem zehnten Verfahrensschritt 10 werden von der Datenbank KEY die PKI-Schlüssel an das Digital-Rights-Management-System DRMS übertragen, wobei die Schlüssel z.B. entweder neu generiert oder aus einem Speicher ausgelesen werden können. In einem elften Verfahrensschritt 11 werden dann die PKI-Schlüssel sowie zugehörige Einstellungsdaten (z.B. Berechtigungen, ausgewählte Einstellungen, etc.) an die Set-Top-Box STB gesendet, wobei die Schlüssel, welche allerdings eine begrenzte Gültigkeitsdauer aufweisen, in der Set-Top-Box STB gespeichert werden können. In einem zwölften Verfahrensschritt 12 wird dann der Set-Top-Box STB noch der ausgewählte Digital-Rights-Management-Client DRMC sowie dessen Version vom Dienstanbieter SPl mitgeteilt.
Von den folgenden Verfahrensschritten 13 bis 19 werden neπeren der Verschlüsselungsinformation für die Nutzung der Anwendung (z.B. Video-on-Demand) für die Set-Top-Box STB sowie ein Versand dieser Verschlüsselungsinformationen beschrieben. Für die Verschlüsselung der Anwendung kann z.B. ein symmetrisches Verschlüsselungssystem verwendet werden, wobei die zu übertragende Verschlüsselungsinformation mittels PKI verschlüsselt wird. Es ist aber auch möglich, für die Verschlüsselung andere Verschlüsselungssysteme einzusetzen.
In einem dreizehnten Verfahrensschritt 13 wird von der Set- Top-Box STB eine Verschlüsselungsinformation für das Digital- Rights-Management beim Dienstanbieter SPl bzw. beim Digital- Rights-Management-System DRMS, welches beispielsweise vom Dienstanbieter SPl betrieben wird, angefordert. In einem vierzehnten Verfahrensschritt 14 wird diese Anforderung vom Digital-Rights-Management-System DRMS an die Datenbank KEY für Informationen zur Verschlüsselung der Anwendung weitergeleitet und von der Datenbank KEY sowohl eine Verschlüsselungs- als auch eine Entschlüsselungsinformation erstellt - z.B. durch Generieren eines Verschlüsselungs- wie eines Entschlüsselungsschlüssel oder durch Abrufen dieser Schlüssel auch einem Speicher. In einem fünfzehnten Verfahrensschritt 15 wird dann einerseits die Entschlüsselungsinformation von der Datenbank KEY an das Digital-Rights-Management-System DRMS übertragen. Anderer- seits wird in einem sechzehnten Verfahrensschritt 16 von der Datenbank KEY die Verschlüsselungsinformation von der Datenbank KEY dem Video-on-Demand-Server VoD für die Verschlüsselung der Anwendung Video-on-Demand bzw. des von dieser Anwendung übertragenen Inhalts zur Verfügung gestellt.
In einem siebzehnten Verfahrensschritt 17 wird die Entschlüsselungsinformation vom Digital-Rights-Management- System DRMS verschlüsselt - z.B. mittels PKI-System mit einem so genannten Public Key für den Digital-Rights-Management- Client DRMC der Set-Top-Box STB. In einem achtzehnten Verfahrensschritt 18 wird dann die verschlüsselte Entschlüsselungsmformation für die Nutzung der Anwendung Video-on-Demand an die Set-Top-Box STB bzw. an den Digital- Rights-Management-Client DRMC übertragen. In einem neun¬ zehnten Verfahrensschritt 19 werden dann vom Dienstanbieter SPl Informationen zur Vergebührung des Nutzers der Set-Top- Box STB an den Anbieter IDP der Anmelde- und Authenti- fizierungsfunktion (z.B. Breitbandkabelnetz- oder ADSL- Betreiber, etc.) weitergeleitet, da von diesem im Gegensatz zum Dienstanbieter SPl über ein Profil des Nutzers (Name, Adresse, etc.) verfügt wird.
In den Verfahrensschritten 20 bis 22 wird dann die
Verschlüsselung und Nutzung der Anwendung beschrieben.
In einem zwanzigsten Verfahrensschritt 20 wird von der Set- Top-Box eine Anforderung zur Nutzung der Anwendung zum Dienstanbieter SPl gesendet. Bei Video-on-Demand wird beispielsweise ein so genannter Download der Video-Inhalt vom Video-on-Demand-Server VoD des Dienstanbieters SPl angefordert. In einem einundzwanzigsten Verfahrensschritt 21 wird die Anwendung vom Dienstanbieter verschlüsselt; d.h. es werden z.B. die Video-Inhalte vom Video-on-Demand-Server VoD des Dienstanbieters mit der Verschlüsselungsinformation behandelt. In einem zweiundzwanzigsten Verfahrensschritt 22 werden dann die verschlüsselten Video-Inhalte bzw. die verschlüsselte Anwendung auf die Set-Top-Box STB geladen und in einem dreiundzwanzigsten Verfahrensschritt 23 von der Set- Top-Box STB entschlüsselt. Die Anwendung kann dann mittels Set-Top-Box STB genutzt werden, das bedeutet bei Video-on- Demand, dass die Video-Inhalte z.B. auf einem mit der Set- Top-Box STB verbundenen Fernsehgerät angezeigt werden können.
Für das Digital-Rights-Management kann vom Dienstanbieter SPl beispielsweise das so genannte Verimatπx Content Authority System VCAS eingesetzt werden. VCAS ist dabei ein software¬ basiertes System, welches speziell für den Schutz von digitalen Video- und Audiodaten entwickelt worden ist und auf Prinzipien der PKI basiert. Von VCAS-System werden so genannte X.509-Zertifikate validiert und ausgestellt für jede Komponente eines Dienstanbieters SPl. Diese Zertifikate basieren auf dem X.509 Standard der ITU-T, von dem eine Definition von digitalen Zertifikaten vorgegeben wird und der zurzeit einen der wichtigsten Standards digitale Zertifikate darstellt. Wird ein VCAS-System für Digital-Rights-Management eingesetzt, so wird zuerst z.B. der Digital-Rights-
Management-Client DRMC der Set-Top-Box STB beim VCAS-System registriert und dann ein digitales Zertifikat validiert und an die Set-Top-Box STB gemeinsam mit Verschlüsselungs¬ information (z.B. Public Keys, Private Key, etc.) ausgestellt. Das Zertifikat sowie die Verschlüsselungs¬ information werden dann auf der Set-Top-Box für Authentiflzierungs- und Entschlüsselungsvorgänge gespeichert.
Die Nutzung einer Anwendung wie z.B. Video-on-Demand gestaltet sich bei Verwendung eines VCAS-Systems wie in den Verfahrensschritten 13 bis 23 beschrieben mit dem Zusatz, dass vom VCAS-System bei jeder Kommunikation mit der Set-Top- Box STB das mitgesendete Zertifikat bzw. eine so genannte Signatur der Set-Top-Box STB geprüft wird.

Claims

Patentansprüche
1. Verfahren für Single-Sign-On bei Nutzung mehrerer Anwendungen, wobei für die Nutzung eine Set-Top-Box (STB) verwendet wird und die Anwendungen von verschiedenen
Dienstanbietern (SPl, SP2) zur Verfügung gestellt werden, dadurch gekennzeichnet, dass
- von einem Anbieter (IDP) eine Anmelde- und Authenti- flzierungsfunktion zur Verfügung gestellt wird, wobei zwischen dem Anbieter (IDP) der Anmelde- und Authenti- flzierungsfunktion und den Dienstanbietern (SPl, SP2) ein Übereinkommen (D, E) getroffen worden ist und die Set-Top-Box (STB) beim Anbieter (IDP) der Anmelde- und Authenti- flzierungsfunktion registriert ist (A) , - dass nach Einschalten der Set-Top-Box (STB) die Anmelde- und Authentiflzierungsfunktion aufgerufen und eine Anmeldung und Authentifizierung durchgeführt wird (1, 2, 3),
- dass dann nach erfolgreicher Authentifizierung der Set-Top- Box (STB) eine Authentifizierungsmformation an die Set-Top- Box (STB) gesendet wird (4),
- dass dann die Set-Top-Box (STB) durch Übersenden der Authentiflzierungsinformation bei einem Dienstanbieter (SPl) registriert wird (5),
- dass dann vom Dienstanbieter (SPl) eine Verbindung zum Anbieter (IDP) der Anmelde- und Authentiflzierungsfunktion aufgebaut wird, um die Authentifizierungsmformation zu verifizieren und Richtlinien für eine Vergebührung abzufragen (6) ,
- und dass dann vom Anbieter (IDP) der Anmelde- und Authenti- flzierungsfunktion eine Bestätigung an den Dienstanbieter
(SPl) gesendet wird (7) .
2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass bei einer Registrierung bei einem Dienstanbieter (SPl) von der Set-Top-Box (STB) zusätzlich zur Authentifizierungs- information ein Konfigurationsprofil an den Dienstanbieter (SPl) gesendet wird (5) .
3. Verfahren nach einem der Ansprüche 1 bis 2 dadurch gekennzeichnet, dass die Bestätigung des Anbieters
(IDP) der Anmelde- und Authentiflzierungsfunktion zusätzlich Berechtigungen des Nutzers der Set-Top-Box (STB) umfassen (7) .
4. Verfahren nach einem der Ansprüche 1 bis 3 dadurch gekennzeichnet, dass dann zwischen der Set-Top-Box
(STB) und dem Dienstanbieter (SPl) Bedingungen für ein Digital Rights Management verhandelt werden (8), dass dann zuerst eine Verschlüsselungsinformation für das Digital Rights Management generiert wird (9, 10), welche gemeinsam mit Einstellungsbedingungen vom Dienstanbieter (SPl) an die Set-Top-Box (STB) übertragen wird (11) , und dass danach eine Verschlüsselungsinformation für die Nutzung der Anwendung generiert wird (13, 14, 15), welche dann verschlüsselt an die Set-Top-Box (STB) gesendet wird (17, 18) .
5. Verfahren nach einem der Ansprüche 1 bis 4 dadurch gekennzeichnet , dass für die Anmelde- und
Authentiflzierungsfunktion die so genannten Liberty Alliance Protocols LAP verwendet werden.
6. Verfahren nach einem der Ansprüche 1 bis 5 dadurch gekennzeichnet , dass für die Verschlüsselungs¬ information für das Digital Rights Management eine so genannte Public-Key-Inf rastruktur genutzt wird.
7. Verfahren nach einem der Ansprüche 1 bis 6 dadurch gekennzeichnet , dass für die Verschlüsselung einer durch die Set-Top-Box (STB) genutzten Anwendung ein symmetrisches Verschlüsselungssystem genutzt wird.
8. Verfahren nach einem der Ansprüche 1 bis 7 dadurch gekennzeichnet , dass für das Digital Rights Management das so genannte Veπmatrix Content Authoπty System eingesetzt wird.
EP07803307A 2006-09-26 2007-09-06 Verfahren für single-sign-on bei verwendung einer set-top-box Ceased EP2084883A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006045352.2A DE102006045352B4 (de) 2006-09-26 2006-09-26 Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box
PCT/EP2007/059353 WO2008037581A1 (de) 2006-09-26 2007-09-06 Verfahren für single-sign-on bei verwendung einer set-top-box

Publications (1)

Publication Number Publication Date
EP2084883A1 true EP2084883A1 (de) 2009-08-05

Family

ID=38779906

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07803307A Ceased EP2084883A1 (de) 2006-09-26 2007-09-06 Verfahren für single-sign-on bei verwendung einer set-top-box

Country Status (6)

Country Link
US (1) US8756624B2 (de)
EP (1) EP2084883A1 (de)
KR (1) KR101063685B1 (de)
CN (1) CN101518029B (de)
DE (1) DE102006045352B4 (de)
WO (1) WO2008037581A1 (de)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006045352B4 (de) * 2006-09-26 2015-02-12 Nokia Solutions And Networks Gmbh & Co. Kg Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box
US9900557B2 (en) * 2007-12-28 2018-02-20 Verizon Patent And Licensing Inc. Method and apparatus for remote set-top box management
US8196177B2 (en) * 2008-10-16 2012-06-05 International Business Machines Corporation Digital rights management (DRM)-enabled policy management for a service provider in a federated environment
US9836702B2 (en) * 2008-10-16 2017-12-05 International Business Machines Corporation Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment
US9043854B2 (en) * 2009-09-29 2015-05-26 Arris Technology, Inc. Provisioning a set-top box
KR101310900B1 (ko) * 2009-12-17 2013-09-25 한국전자통신연구원 서비스 정보 제공 방법, 서비스 정보 제공 시스템 및 서비스 정보 수신 방법
DE102010007718B4 (de) 2010-02-10 2011-10-27 Teveo Interactive Gmbh Verfahren und Vorrichtung zur Authentifizierung von Benutzern eines Hybridendgerätes
KR20140053913A (ko) 2011-06-16 2014-05-08 테베오 인터랙티브 게엠베하 하이브리드 단말기의 사용자들의 인증을 위한 방법 및 장치
EP2773142B1 (de) 2011-10-28 2022-01-05 Samsung Electronics Co., Ltd. Verfahren und vorrichtung für einzelanmeldung bei einem mobilen kommunikationssystem
KR101762876B1 (ko) * 2011-12-05 2017-07-31 인텔렉추얼디스커버리 주식회사 클라우드 컴퓨팅 서비스에서의 보안 시스템
US9071726B2 (en) * 2013-06-28 2015-06-30 Cellco Partnership Videocast service architecture
CN103763619A (zh) * 2013-12-31 2014-04-30 航天数字传媒有限公司 一种卫星数字业务统一鉴权系统及其使用方法
CN103763583A (zh) * 2013-12-31 2014-04-30 航天数字传媒有限公司 一种卫星数字点播业务鉴权方法和系统
US10601808B1 (en) * 2014-06-30 2020-03-24 Cox Communications, Inc Single sign-in across links/URLs while watching programs
US10924793B2 (en) * 2018-06-03 2021-02-16 Apple Inc. Generic streaming media device configured as set top box

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003049000A1 (en) * 2001-12-04 2003-06-12 Sun Microsystems, Inc. Distributed network identity
US20060117379A1 (en) * 2002-12-11 2006-06-01 Bennett James D Transcoding and data rights management in a mobile video network with STB as a hub

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW556426B (en) * 2000-12-28 2003-10-01 Trustview Inc System and method for registration on multiple different devices using the same account
JP2003087765A (ja) * 2001-09-12 2003-03-20 Pioneer Electronic Corp 加入者端末への視聴情報提供装置
WO2003071813A2 (en) * 2002-02-19 2003-08-28 Zyray Wireless, Inc. Method and apparatus optimizing a radio link
KR100886537B1 (ko) * 2002-03-15 2009-03-02 삼성전자주식회사 부호분할다중접속 이동통신시스템에서 멀티캐스트멀티미디어 방송 서비스를 위한 데이터 패킷 제어장치 및방법
US20050049886A1 (en) * 2003-08-28 2005-03-03 Sbc Knowledge Ventures, L.P. System and method for managing digital rights and content assets
US7653932B2 (en) * 2003-08-29 2010-01-26 Arris Group Method and system for layer-3 subscriber login in a cable data network
CA2457368C (en) * 2004-02-11 2013-01-08 Solutioninc Limited A server, system and method for providing access to a public network through an internal network of a multi-system operator
WO2006078560A2 (en) 2005-01-18 2006-07-27 Tricipher, Inc. Roaming utilizing an asymmetric key pair
US20070011704A1 (en) * 2005-07-05 2007-01-11 Anglin Richard L Jr Content exchange system
US8320880B2 (en) * 2005-07-20 2012-11-27 Qualcomm Incorporated Apparatus and methods for secure architectures in wireless networks
US7624417B2 (en) * 2006-01-27 2009-11-24 Robin Dua Method and system for accessing media content via the internet
US8024762B2 (en) * 2006-06-13 2011-09-20 Time Warner Cable Inc. Methods and apparatus for providing virtual content over a network
DE102006045352B4 (de) * 2006-09-26 2015-02-12 Nokia Solutions And Networks Gmbh & Co. Kg Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003049000A1 (en) * 2001-12-04 2003-06-12 Sun Microsystems, Inc. Distributed network identity
US20060117379A1 (en) * 2002-12-11 2006-06-01 Bennett James D Transcoding and data rights management in a mobile video network with STB as a hub

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of WO2008037581A1 *

Also Published As

Publication number Publication date
DE102006045352A1 (de) 2008-04-10
DE102006045352B4 (de) 2015-02-12
WO2008037581A1 (de) 2008-04-03
KR20090067192A (ko) 2009-06-24
CN101518029A (zh) 2009-08-26
US8756624B2 (en) 2014-06-17
CN101518029B (zh) 2012-12-12
US20100023962A1 (en) 2010-01-28
KR101063685B1 (ko) 2011-09-14

Similar Documents

Publication Publication Date Title
DE102006045352B4 (de) Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box
DE69932326T2 (de) Verbessertes verfahren für bedingten zugang und zur inhaltssicherung
DE60127681T2 (de) System zum Inhaltsschutz und zur Kopierverwaltung für ein Netzwerk
DE60036086T2 (de) Berechtigung und zugriffskontrolle von in set-top geräten vorhandenen programmobjekten
EP2067339B1 (de) Vorrichtung und Verfahren zur gesicherten Verteilung von Inhalten in einem Telekommunikationsnetzwerk
DE60214836T2 (de) Verfahren und netzwerk zum abliefern von streaming-daten
EP2146285A1 (de) Verfahren zum betrieb eines systems mit zugangskontrolle zur verwendung in computernetzen und system zum ausführen des verfahrens
DE60014060T2 (de) Globales kopierschutzverfahren für digitale hausnetzwerke
DE60214799T2 (de) System zur Sicherung eines Systems zur Erneuerung einer Verschlüsselung und zur Erfassung und Fernaktivierung eines Verschlüsselungsgerätes
DE60211372T2 (de) Verfahren, vorrichtung und system zur gesicherten bereitstellung von digitalen inhalten
DE60112045T2 (de) Methode und gerät für sicheres fernladen von software
DE102005039361B4 (de) Verfahren und Vorrichtung zur Multicast-Übertragung von Programminformationen
US20220014824A1 (en) Content rights management for mobile devices
CN1893638A (zh) 交互式网络电视用户的实时认证方法
US20100262991A1 (en) Method for processing data and iptv receiving device
DE602004004523T2 (de) Klassenbasierte inhaltsübertragung zwischen geräten
EP2380330B1 (de) Verfahren und vorrichtung zur authentifizierung von benutzern eines hybridendgerätes
US20070282846A1 (en) System and Method for Securely Partitioning a Media Library
US11166081B2 (en) Content rights management for mobile devices
DE102007016117A1 (de) Verfahren und System zum Bereitstellen eines REL-Tokens
WO2007113163A1 (de) Verbessertes digitales rechtemanagement für gruppen von geräten
EP3017604B1 (de) Verfahren zur authentifizierung
WO2017190857A1 (de) Verfahren und vorrichtung zur absicherung von gerätezugriffen
DE102006036110A1 (de) Verfahren und System zum Bereitstellen eines verschlüsselten Schlüssels
CN113382306A (zh) 一种直播流的安全传输系统、方法及存储介质

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20090427

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20100907

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SOLUTIONS AND NETWORKS GMBH & CO. KG

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: BEIJING XIAOMI MOBILE SOFTWARE CO., LTD.

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20190505