CN101263472A - 用于服务保护的实体间互连方法、设备和系统 - Google Patents
用于服务保护的实体间互连方法、设备和系统 Download PDFInfo
- Publication number
- CN101263472A CN101263472A CNA2006800339870A CN200680033987A CN101263472A CN 101263472 A CN101263472 A CN 101263472A CN A2006800339870 A CNA2006800339870 A CN A2006800339870A CN 200680033987 A CN200680033987 A CN 200680033987A CN 101263472 A CN101263472 A CN 101263472A
- Authority
- CN
- China
- Prior art keywords
- service
- terminal
- key
- parts
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/603—Digital right managament [DRM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了一种用于服务保护的实体间互连方法、设备和系统。具体地说,公开了一种用于包括终端和广播网络的广播环境中的实体间互连方法,所述广播网络包括广播服务应用(BSA)、广播服务分发(BSD)和广播服务管理(BSM)功能。所述方法包括:执行终端的登记和服务加入过程,其中,终端在登记过程中获得组密钥并在服务加入过程中获得服务的版权对象(RO);在终端中接收包括通信密钥的消息;使用RO从消息获得通信密钥;在终端中接收由BSD加密的加密服务;以及在终端中使用通信密钥将加密的服务解密。
Description
技术领域
本发明涉及一种用于广播环境中的服务保护的实体间互连方法、实体间互连设备和实体间互连系统。
背景技术
通常来说,广播服务指定是这样的一种服务方案:其中,如果控制广播服务的服务器发送加密的服务,则多个终端可接收加密的内容。
现在,广播服务已经变为付费服务(例如,按次付费、订阅等服务)。为此,已经引入了提供便利和灵活度以及使用用户的版权对象(RO)的数字版权管理(DRM)技术,以提供版权保护并防止内容的非授权再现和分发。
如图1所示保护从服务提供者提供的服务和/或内容,图1是示出传统DRM系统的配置的框图。DRM技术是一种用于保护内容的典型安全技术,其保证加密内容的使用权限。在DRM通信中扮演角色的实体包括:终端系统3,使用RO再现内容;以及版权发行者(RI),创建并发出限定使用内容的权限等的RO。如图1所示,RI属于服务提供者5。
终端3通过与RI的认证程序建立安全信道,并通过建立的信道获得RO。此时,由于使用DRM技术对RO解密,因此可以防止未经过授权使用内容。也就是说,在使用DRM技术和RO将加密的内容解密和执行之前,用户不能享受包括在加密的内容中的多媒体信息。
发明内容
技术问题
传统的服务和/或内容保护方法执行服务提供者与仅一个终端之间的认证程序。移动通信环境中的典型的现有标准包括开放式移动联盟(OMA)DRMv2.0。然而,还没有提出与在移动通信环境中对使用广播服务的多个终端进行服务保护相关的标准。
此外,虽然存在几种广播环境中的内容保护方法(例如,使用第三代合作计划(3GPP)、3GPP2等的多媒体广播/多播(MBMS)和广播多播服务(BCMCS)存在),但是这些方法取决于网络(诸如3GPP等)。
如上所述,通常仅非独立的服务和/或内容保护方法(诸如取决于现有3GPP网络的MBMS方法)作为与特定网络无关的方法的对立而存在。因此,需要可应用于各种网络的参与广播网络的实体结构和用于将各个实体彼此互连的方法。
技术方案
因此,提出本发明以至少解决在现有技术中出现的上述问题,本发明的目标在于提供一种用于广播环境中的服务保护的实体间互连方法、实体间互连设备和实体间互连系统。
为了实现此目标,根据本发明的一方面,提供一种用于包括终端和广播网络的广播环境中的服务保护的实体间互连方法,所述广播网络包括广播服务应用(BSA)、广播服务分发(BSD)和广播服务管理(BSM),所述方法包括:执行终端的登记和服务加入过程,其中,终端在登记过程中获得组密钥并在服务加入过程中获得服务的版权对象(RO);在终端中接收包括通信密钥的消息;使用RO从消息获得通信密钥;在终端中从BSD接收由BSD加密的加密服务;以及在终端中使用通信密钥将加密的内容解密。
根据本发明的另一方面,提供一种用于广播环境中的服务保护的实体间互连系统,所述系统包括:终端,接收服务;内容提供者,创建服务并将创建的服务发送到广播服务应用(BSA);BSA,接收创建的服务并将创建的服务发送到广播服务分发(BSD);BSM,与终端执行登记和服务加入管理过程,并创建用于对服务加密的加密密钥和消息;广播服务分发(BSD),接收包括创建于BSM中的加密密钥的消息,对来自BSA的创建的服务加密,并将包括加密密钥和加密服务的消息发送到终端;其中,终端使用从BSD或BSM获得的加密密钥对加密的服务解密。
根据本发明的另一方面,提供一种用于包括终端和广播网络的广播环境中的服务保护的实体间互连终端设备,所述广播网络包括广播服务应用(BSA)、广播服务分发(BSD)和广播服务管理(BSM),所述设备包括:第一部件,从BSD接收消息和加密服务;第二部件,在与BSM执行登记和服务加入管理过程的同时获得用于对加密服务解密的加密密钥,并将加密密钥发送到第一部件。
根据本发明的另一方面,提供一种用于包括终端和广播网络的广播环境中的服务保护的实体间互连终端设备,所述广播网络包括广播服务应用(BSA)、广播服务分发(BSD)和广播服务管理(BSM),所述设备包括:数字版权管理(DRM)模块,管理登记、服务加入和服务内容的使用;通信模块,在BSM之间发送和接收消息,从BSD接收通信密钥消息和加密的服务;以及认证模块,通过验证从BSM或BSD接收的消息获得组密钥,获得加密密钥。
根据本发明的另一方面,提供一种用于包括终端和广播网络的广播环境中的服务保护的实体间互连终端设备,所述广播网络包括广播服务应用(BSA)、广播服务分发(BSD)和广播服务管理(BSM),所述设备包括:服务保护-解密(SP-D)部件,从BSD接收加密密钥,并对从BSD发送的加密服务解密;以及服务保护-客户端(SP-C)部件,执行登记和服务加入,并将用于对加密的服务解密的加密密钥发送到SP-D部件。
有益效果
如上所述,本发明通过定义包括在广播网络中的实体间的交互结构和角色来启动用于广播环境中的服务保护的系统操作。
附图说明
通过下面结合附图的详细描述,本发明的上述和其他目的、特点和优点将会变更清楚,其中:
图1是示出传统的一般DRM系统的配置的框图;
图2是示出根据本发明的终端的内部结构的框图;
图3是示出根据本发明的用于服务保护的广播系统的结构的框图;
图4是示出根据本发明的按照广播信道中服务保护方法发送/接收的消息流的流程图;
图5是示出根据本发明的服务保护方案的消息的格式的示图;以及
图6是示出根据本发明的按照双向信道中的服务保护方法发送/接收的消息流的流程图。
具体实施方式
以下,将参照附图描述本发明的优选实施例。应注意,虽然相似的部件在不同附图中示出,但是它们由相似的标号指定。另外,在以下描述中,当合并于此的已知功能和配置的详细描述可能使本发明的主题模糊时,将其省略。
本发明实现了保护广播服务的能力。更具体地说,本发明提出一种用于广播网络中的服务保护的结构,以及在这样的结构中的每个实体的功能。为此,本发明使得广播到终端的服务能够根据包括终端的各个实体的配置和角色被安全发送并被再现。
以下,将参照图2描述根据本发明的执行上述和其他功能的终端。应用了本发明的终端50包括:应用模块100、DRM模块110、认证模块140、安全存储模块170、通信模块180和UIM I/F(用户识别模块接口)模块190。
应用模块100是诸如媒体播放器的模块,用于再现从DRM模块110提供的解密内容。DRM模块110的功能是管理登记、服务加入和内容的使用。
DRM模块110包括DRM管理器模块115、注册模块120、权限管理模块125、密钥流管理模块130和内容解密模块135。在这些模块中,注册模块120根据登记过程执行操作,权限管理模块125管理在服务加入步骤获得的RO的解释和使用。密钥流管理模块130执行由RO中的服务密钥加密的通信密钥的解密,内容解密模块135使用通信密钥执行加密内容的解密。DRM管理器模块115控制DRM相关模块的总体操作。
认证模块140管理用户识别模块与网络(例如,服务提供者)之间的认证协议执行,并使用其子模块创建和验证消息。该认证模块140包括用于控制协议执行,管理认证功能和控制认证管理器145的子模块的认证管理器145。认证管理器145的子模块包括:加密/解密模块150,执行加密和解密操作;数字签名模块155,签署电子签名;以及MAC模块160,执行MAC(媒体访问控制)操作。
具体地说,根据将在以后描述的本发明的实施例,DRM模块110和认证模块140验证从BSM 40(例如,见图3)接收的登记响应消息以获得组密钥,使用组密钥从自BSM 40接收的服务加入响应消息获得RO,如果从BSD 30接收到通信密钥消息,则使用RO获得通信密钥,并使用获得的通信密钥对从BSD 30发送的加密服务进行解密。
通信模块180负责发送到网络和/或从网络接收。具体地说,通信模块180从网络接收消息,并响应于接收的消息发送响应消息。根据本发明的实施例,通信模块180通过广播信道从BSD 30(例如,见图3)接收消息。另外,通信模块180可通过双向信道有选择地将消息发送到BSM 40和/或从BSM 40接收消息,并可从BSD 30接收通信密钥消息和加密服务。
安全存储模块170存储加密密钥等,UIM接口模块190控制与用户识别模块(UIM)的通信。
以下,将给出根据本发明优选实施例的执行服务保护功能的各具功能的实体的描述。
图3是示出根据本发明的用于服务保护的广播系统的结构的框图。根据本发明,用于广播服务中的DRM的应用的实体包括:CC 10(内容创建器)、BSA 20、BSD 30、BSM 40和终端50。CC 10表示用于创建内容和服务的内容创建代理。BSA 20表示使用广播网络的应用。BSD 30提供用于广播服务的分发和服务保护功能。BSM 40执行广播服务加入管理功能。通过这些各具功能的实体将广播服务发送到终端50,将服务提供(即,变得可用)给终端50。
以下,将给出上面提到的各具功能的实体中的部件的描述,以便提供各功能之间的安全广播服务。
BCAST(广播)服务部件22执行创建服务的形式的数字内容的过程。SP-E(服务保护-加密)部件32加密和广播服务。SP-M(服务保护-管理)部件42执行加密密钥创建功能、服务加入管理功能等。SP-KD(服务保护-密钥分发)部件34将加密密钥等转发到终端50。SP-D(服务保护-解密)部件52对从SP-E部件32发送的加密服务进行解密。SP-C(服务保护-客户端)部件54与SP-M部件42执行登记和服务加入的过程,并将获得的加密密钥转发到SP-D部件52。
为了将广播服务提供给终端50,终端50必须在广播网络(即,BSM 40)登记,并随后加入广播服务。可以为完成了登记和服务加入的终端提供服务RO,因此终端能够接收服务。
以下将参照图4描述定义终端如何执行登记和服务加入处理以便接收安全广播服务的过程。图4是示出根据本发明的按照广播信道中的服务保护方法发送/接收的消息流的流程图。
参照图4,服务保护过程从步骤200开始,在该步骤中,BSM 40的SP-M部件42创建组密钥(GK)、服务密钥(SK)和通信密钥(TK)。组密钥是与终端所属的组对应的加密密钥,服务密钥用于对加密的通信密钥解密。通信密钥用于对转发到终端的内容加密。
其后,在步骤210,终端50将登记请求消息发送到BSM 40,以便在BSM40登记。此时,由于考虑到广播信道的特性,终端不能将消息直接发送到BSM40,因此终端通过带外(out of band)方案将消息发送到BSM 40。带外方案的示例包括这样的方案:终端50经由诸如PC(个人计算机)的特定代理发送登记请求消息。登记请求消息具有如图5(a)所示的格式。参照图5(a),登记请求消息的格式包括多个字段,每个字段的描述如下并对应于表示终端识别信息的ID-T字段。这些字段还包括固定表示随机数信息的RND(1)、表示第一时间戳的TS(1)字段和表示电子签名的Sign_T字段。这些字段中,电子签名字段(即,Sign_T字段)包括其中设置了使用其自身的加密密钥的终端标记的信息,因此使得BSM 40能够识别从特定用户发送的消息。电子签名是可选字段。
如果接收到这样的登记请求消息,BSM 40的SP-M部件42检查终端50。于是,当响应于登记请求消息创建登记响应消息时,SP-M包括终端50所属的对应组的GK,并在步骤215将登记响应消息发送到BSD 30。在步骤220,BSD 30的SP-KD部件34将接收的登记响应消息发送到终端50。登记响应消息可具有如图5(b)所示的格式。在图5(b)中,登记响应消息包括已经使用终端50的公共密钥对组密钥加密的信息。可通过公式E(K,D)简单表达该信息。该公式表示使用加密密钥K对数据D加密的操作。因此,关于已经使用终端50的公共密钥PK_T对组密钥GK加密的信息可由公式E(PK_T,GK)表示。这里,E表示加密。
如果通过SP-KD部件34在广播信道广播登记响应消息,则终端50通过SP-D部件52对加密信息解密,通过使用BSM 40的公共密钥PK_T等验证电子签名来检查创建消息的对象,并验证消息是否为正确的消息。如果终端50的SP-D部件52对登记响应消息的验证失败,则不可以登记。然而,如果验证成功,则终端50可从登记响应消息获得GK。终端50可通过登记过程获得作为与用户组对应的加密密钥的组密钥GK(S210)。
在完成登记之后,终端50可请求到BSM 40的SP-M部件42的服务加入。由于这样的服务加入与用于获得服务的RO的过程对应,因此在步骤230,终端50可将RO请求消息发送到BSM 40的SP-M部件42。在这种情况下,由于广播信道的特性,终端50不直接发送消息,而是使用带外方案将RO请求消息发送到BSM 40的SP-M部件42。RO请求消息具有如图5(c)所示的格式,并包括表示终端50期望加入的服务的ID的ID_Service字段。
响应于RO请求消息,在步骤235,BSM 40的SP-M部件42创建包括先前已经创建的服务密钥的RO,并在步骤240将包括使用组密钥加密的RO的RO响应消息发送到BSD 30的SP-KD部件34。然后,在步骤245,BSD 30使用广播信道将RO响应消息(即,服务加入响应消息)发送到请求服务加入的终端50。因此,如果终端50的SP-D部件52接收到RO响应消息,则终端50验证RO响应消息,并随后使用在登记过程中已经获得的组密钥对RO解密,以获得RO。RO响应消息具有如图5(d)所示的格式。以这种方式,终端50可通过上述的服务加入过程(S230)获得RO。
其后,在步骤250,BSM 40的SP-M部件42将TK消息发送到BSD 30。在步骤255,BSD 30的SP-KD部件34将TK消息(其中,使用服务密钥将通信密钥加密)广播到终端。TK消息具有如图5(e)所示的格式,并且包括使用服务密钥对通信密钥加密的信息。如果接收到这样的TK消息,则终端50的SP-KD部件52使用服务密钥对加密的通信密钥解密,以获得通信密钥。这里,在服务加入过程中获得的RO包括服务密钥,从而终端50可使用服务密钥获得通信密钥。
同时,在CC 10中创建内容,并在步骤260通过BSA 20的BCAST服务部件22将创建的内容发送到BSD 30的SP-E部件32。这里,BCAST服务部件22的功能是通过处理过程将从CC 10发送的内容转换成适合于广播的服务形式。然后,在步骤265,BSD 30的SP-E部件32根据网络或传输保护技术(诸如IPSec(IP安全)、SRTP(安全实时传输协议)等)使用通信密钥执行对内容和附加信息的服务加密。然后,在步骤270,BSD 30的SP-E部件32将加密服务广播到终端。加密服务具有如图5(f)所示的格式。如果接收到加密服务,则终端50的SP-D部件52使用通信密钥对接收的服务解密,从而使服务对于终端50可用。例如,如果使用通信密钥对内容解密,则可通过应用模块100再现解密的内容。以这种方式,终端50通过服务接收过程获得通信密钥(S260),并可使用通信密钥再现加密和发送的服务。
前面,已经给出终端通过广播信道使用加密服务的情况的描述。下面,将描述根据本发明的用户通过终端亲自请求登记和服务加入以使用加密服务的情况。该方法将描述通过双向信道使用加密服务的情况,并将参照图6描述双向信道中的服务保护方法,图6是示出根据本发明发送/接收的消息的流程图。
首先,图6中的步骤400与图4中的步骤200相似,包括步骤440至470的服务接收过程(S440)也与图4的步骤250至270的服务接收过程相似。因此,为了简明,将省略对其的详细描述。
与根据本发明的一个实施例的广播信道上的服务保护方法相比,当广播信道被使用时,终端50不能将消息直接发送到广播网络,但是使用双向信道的服务保护方法能够将消息直接发送到广播网络。因此,可以在终端50和BSM 40之间直接交换消息。
因此,在图6的步骤410,终端50通过双向信道将登记请求消息直接发送到BSM 40的SP-M部件42。登记请求消息具有如图5(a)所示的格式。在步骤415,BSM 40的SP-M部件42响应于来自终端50的登记请求消息通过双向信道将登记响应消息发送到终端50。登记响应消息具有如图5(b)所示的格式,并包括使用终端50的公共密钥对组密钥加密的信息。通过此加密,能够以保护的方式发送信息。
在接收到登记响应消息之后,终端50对登记响应消息执行验证。这意味着检查从BSM 40的SP-M部件42发送的消息是否为将被发送到终端50的正确消息的过程。因此,如果验证失败,则终端50忽略从BSM 40发送的登记响应消息。然而,即使当验证成功时,终端50检查登记响应消息格式的时间字段,如果时间字段具有延迟大于预定量的时间,则忽略登记响应消息。如果电子签名的验证和检查时间字段成功,则终端50使用其自身的公共密钥对加密的GK解密,以获得GK。
一旦终端50在执行如上所述的登记过程的同时获得GK,在步骤420,终端50通过双向信道将服务加入请求消息(即,请求RO的消息)直接发送到BSM 40的SP-M部件42。这里,当终端50直接请求服务加入并从BSM 40的SP-M部件获得服务RO时,终端50被认为正在加入服务。服务加入请求消息具有如图5(c)所示的格式,并包括终端50期望加入的服务的ID。将BSM40的SP-M部件42创建(在步骤425)的RO发送到在步骤430请求服务加入的终端50,将被发送到终端50的消息具有如图5(d)所示的格式。包括在此消息中的RO具有服务密钥,并且为了保护而使用组密钥对RO加密。由于包括步骤420至440的服务加入过程(S420)的不同之处仅在于BSM 40通过双向信道发送消息,因此将省略对其的详细描述。
在本发明中,可在任意时间将RO或TK消息提供给终端,而不用考虑将服务提供给终端的时间点。例如,在先前已经将服务提供给终端之后,RO可被发送到终端。或者,在先前已经将RO发送到终端之后,将被执行的服务可被提供给终端。
虽然已经参照特定优选实施例示出和描述了本发明,但是本领域的技术人员将理解,在不脱离权利要求及其等同物限定的本发明的精神和范围的情况下,可以在形式和细节上做出各种改变。
Claims (31)
1、一种用于包括终端和广播网络的广播环境中的服务保护的实体间互连方法,所述广播网络包括广播服务应用(BSA)、广播服务分发(BSD)和广播服务管理(BSM),所述方法包括:
执行终端的登记和服务加入过程,其中,终端在登记过程中获得组密钥并在服务加入过程中获得服务的版权对象(RO);
终端接收包括通信密钥的消息;
使用RO从消息获得通信密钥;
终端从BSD接收加密服务,所述加密服务由BSD加密;以及
终端使用通信密钥将加密的内容解密。
2、如权利要求1所述的方法,其中,通过将负责终端的登记和加入的SP-客户端(SP-C)部件与负责BSM的加密密钥创建和加入管理的SP-管理(SP-M)部件互连来影响执行登记和服务加入过程的步骤。
3、如权利要求1所述的方法,其中,加密服务是这样的服务:所述服务由内容提供者提供给BSD的SP-加密(SP-E)部件,由SP-E部件加密并随后广播到终端。
4、如权利要求3所述的方法,其中,BSD的SP-E部件接收由BSM的SP-M部件创建的通信密钥,并使用通信密钥对服务加密。
5、如权利要求4所述的方法,还包括通信密钥消息,所述通信密钥消息包括由BSD的SP-密钥分发(SP-KD)部件使用服务密钥加密的通信密钥的信息。
6、如权利要求1所述的方法,其中,由终端的SP-解密(SP-D)部件对加密服务解密,所述SP-D部件对从BSD的SP-E部件发送的加密服务进行解密。
7、如权利要求6所述的方法,其中,当执行登记和加入过程时获得的用于服务的组密钥和RO被发送到终端的SP-D部件。
8、如权利要求1所述的方法,其中,执行登记过程的步骤包括:
BSM的SP-管理(SP-M)部件创建组密钥、服务密钥和通信密钥;
如果通过特定代理从终端接收到登记请求消息,则BSM的SP-M部件创建包括终端所属的组的组密钥的登记响应消息;
将登记响应消息发送到将登记响应消息广播到终端的BSD的SP-密钥分发(SP-KD)部件;
BSD的SP-KD部件广播登记响应消息;以及
当接收到登记响应消息时,使用终端的SP-解密(SP-D)部件验证登记响应消息以获得组密钥。
9、如权利要求1所述的方法,其中,执行登记过程的步骤包括:
终端通过双向信道将登记请求消息直接发送到BSM的SP-管理(SP-M)部件;
响应于登记请求消息的发送,BSM的SP-M部件创建包括与终端所属的组对应的组密钥的登记响应消息,并通过双向信道将创建的登记响应消息发送到终端;
将登记响应消息发送到将登记响应消息广播到终端的BSD的SP-密钥分发(SP-KD)部件;以及
当接收到登记响应消息时,由终端的SP-解密(SP-D)部件验证登记响应消息以获得组密钥。
10、如权利要求8所述的方法,其中,获得组密钥的步骤包括:
如果终端的SP-D部件接收到登记响应消息,则检查和验证登记响应消息中的电子签名字段和时间字段;以及
如果验证成功,则使用终端的公共密钥对包括在登记响应消息中的加密的组密钥进行解密,以获得组密钥。
11、如权利要求1所述的方法,其中,执行服务加入过程的步骤包括:
BSM的SP-管理(SP-M)部件创建组密钥、服务密钥和通信密钥;
如果通过特定代理从终端接收到服务加入请求消息,则BSM的SP-M部件使用服务密钥创建RO,所述RO规定服务的使用权限;
创建服务加入响应消息,在该消息中使用组密钥对创建的RO加密,将创建的服务加入响应消息发送到BSD的SP-密钥分发(SP-KD)部件;
BSD的SP-KD部件广播服务加入响应消息;以及
当接收到服务加入响应消息时,终端的SP-解密(SP-D)部件验证服务加入消息,并随后使用在登记过程中已经获得的组密钥对加密的RO解密,以获得RO。
12、如权利要求1所述的方法,其中,执行服务加入过程的步骤包括:
BSM的SP-管理(SP-M)部件创建组密钥、服务密钥和通信密钥;
如果通过双向信道从终端接收到服务加入请求消息,则BSM的SP-M部件使用服务密钥创建RO,RO规定服务的使用权限;
BSM的SP-M部件创建服务加入响应消息,在该消息中使用组密钥对创建的RO加密,发送创建的服务加入响应消息;以及
当接收到服务加入响应消息时,终端的SP-解密(SP-D)部件验证服务加入消息,并随后使用在登记过程中已经获得的组密钥对加密的RO解密,以获得RO。
13、如权利要求1所述的方法,其中,获得通信密钥的步骤包括:
BSM的SP-管理(SP-M)部件将通信密钥和通信密钥消息发送到BSD;
BSD的SP-密钥分发(SP-KD)部件将通信密钥消息广播到终端,在所述通信密钥消息中使用服务密钥对通信密钥加密;以及
当接收到通信密钥消息时,终端的SP-解密(SP-D)部件使用服务密钥对加密的通信密钥解密,以获得通信密钥。
14、如权利要求13所述的方法,其中,通信密钥是用于对服务加密的加密密钥,服务密钥是当终端加入特定服务时发出的加密密钥。
15、一种用于广播环境中的服务保护的实体间互连系统,所述系统包括:
终端,接收服务;
内容提供者,创建服务,并将创建的服务发送到广播服务应用(BSA);
BSA,接收创建的服务并将创建的服务发送到广播服务分发(BSD);
广播服务管理(BSM),与终端执行登记和服务加入管理过程,并创建用于对服务加密的加密密钥和消息;
BSD,接收包括创建于BSM中的加密密钥的消息,对来自BSA的创建的服务加密,并将包括加密密钥和加密服务的消息发送到终端,
其中,终端使用从BSD或BSM获得的加密密钥对加密的服务解密。
16、如权利要求15所述的系统,其中,当终端是在双向信道中使用的终端时,响应于从终端接收登记请求消息,BSM创建并发送登记响应消息,所述登记响应消息包括用于识别终端所属的组的组密钥,以使得终端能够获得组密钥,终端验证从BSM接收的登记响应消息以获得组密钥。
17、如权利要求16所述的系统,其中,在终端是在广播信道中使用的终端的情况下,BSM通过特定代理从终端接收登记请求消息,并通过所述特定代理将登记响应消息发送到终端。
18、如权利要求15所述的系统,其中,当从终端接收到服务加入请求消息时,BSM响应于服务加入请求创建并发送包括服务的RO的加入响应消息,终端使用组密钥从服务加入响应消息获得RO。
19、如权利要求18所述的系统,其中,在终端是在广播信道中使用的终端的情况下,BSM通过特定代理从终端接收服务加入请求消息,并通过BSD将服务加入响应消息发送到终端。
20、如权利要求15所述的系统,其中,BSM包括用于执行加密密钥创建和终端加入管理的SP-管理(SP-M)部件。
21、如权利要求20所述的系统,其中,BSD包括:
SP-加密(SP-E)部件,对服务加密并广播加密服务;以及
SP-密钥分发(SP-KD)部件,将SP-M部件中创建的加密密钥广播到终端。
22、如权利要求15所述的系统,其中,终端包括:
SP-解密(SP-D)部件,用于对从SP-加密(SP-E)部件发送的加密服务进行解密;
SP-客户端(SP-C)部件,在与BSM的SP-管理(SP-M)部件互连的同时执行登记和服务加入,并获得能够使加密的内容被解密的加密密钥,将获得的加密密钥发送到SP-D部件。
23、如权利要求15所述的系统,其中,BSD从BSM接收服务密钥以创建通信密钥消息,在所述通信密钥消息中使用接收的服务密钥对通信密钥加密,并将加密服务发送到终端。
24、如权利要求15所述的系统,其中,BSM创建以下项:作为与包括终端的组对应的加密密钥的组密钥、作为当终端加入特定服务时发出的加密密钥的服务密钥、和作为用于对从内容提供者提供的服务进行加密的加密密钥的通信密钥。
25、一种用于包括终端和广播网络的广播环境中的服务保护的实体间互连终端设备,所述广播网络包括广播服务应用(BSA)、广播服务分发(BSD)和广播服务管理(BSM),所述设备包括:
第一部件,从BSD接收消息和加密服务;
第二部件,在与BSM执行登记和服务加入管理过程的同时获得用于对加密服务解密的加密密钥,并将加密密钥发送到第一部件。
26、一种用于包括终端和广播网络的广播环境中的服务保护的实体间互连终端设备,所述广播网络包括广播服务应用(BSA)、广播服务分发(BSD)和广播服务管理(BSM),所述设备包括:
数字版权管理(DRM)模块,管理登记、服务加入和服务内容的使用;
通信模块,在BSM之间发送和接收消息,从BSD接收通信密钥消息和加密的服务;以及
认证模块,通过验证从BSM或BSD接收的消息获得组密钥,获得加密密钥。
27、如权利要求26所述的设备,其中,DRM模块包括:
注册模块,根据登记过程执行操作;
权限管理模块,管理在服务加入过程中获得的RO的解释和使用;
密钥流管理模块,使用当终端加入特定服务时发出的服务密钥对加密的通信密钥解密;
内容解密模块,使用通信密钥对加密的内容进行解密;以及
DRM管理器模块,控制各个模块的操作。
28、如权利要求26所述的设备,其中,认证模块包括:
认证模块,控制协议执行,管理认证功能;
加密/解密模块,执行加密和解密操作;
数字签名模块,执行电子签名;以及
媒体访问控制(MAC)模块,执行MAC操作。
29、一种用于包括终端和广播网络的广播环境中的服务保护的实体间互连终端设备,所述广播网络包括广播服务应用(BSA)、广播服务分发(BSD)和广播服务管理(BSM),所述设备包括:
服务保护-解密(SP-D)部件,从BSD接收加密密钥,并对从BSD发送的加密服务解密;以及
服务保护-客户端(SP-C)部件,执行登记和服务加入,并将用于对加密的服务解密的加密密钥发送到SP-D部件。
30、如权利要求29所述的实体间互连终端设备,其中,加密密钥在包括在BSM中的服务保护-管理(SP-M)部件中被创建,并被发送到包括在BSD中的服务保护-密钥分发(SP-KD)部件,SP-KD部件随后将加密密钥发送到SP-D部件。
31、如权利要求29所述的实体间互连终端设备,其中,BSD包括用于发送加密服务的服务保护-加密(SP-E)部件。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2005-0086409 | 2005-09-15 | ||
| KR1020050086409 | 2005-09-15 | ||
| KR1020050086409A KR100663443B1 (ko) | 2005-09-15 | 2005-09-15 | 서비스 보호를 위한 구조 및 개체간 연동 방법 및 장치그리고 그 시스템 |
| PCT/KR2006/002135 WO2007032593A1 (en) | 2005-09-15 | 2006-06-02 | Inter-entity coupling method, apparatus and system for service protection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101263472A true CN101263472A (zh) | 2008-09-10 |
| CN101263472B CN101263472B (zh) | 2010-11-10 |
Family
ID=37856675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800339870A Active CN101263472B (zh) | 2005-09-15 | 2006-06-02 | 用于服务保护的实体间互连方法、设备和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8417933B2 (zh) |
| EP (1) | EP1924921A4 (zh) |
| JP (2) | JP2009508431A (zh) |
| KR (1) | KR100663443B1 (zh) |
| CN (1) | CN101263472B (zh) |
| WO (1) | WO2007032593A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100663443B1 (ko) * | 2005-09-15 | 2007-01-02 | 삼성전자주식회사 | 서비스 보호를 위한 구조 및 개체간 연동 방법 및 장치그리고 그 시스템 |
| EP1826931B1 (en) | 2006-02-27 | 2018-12-19 | Samsung Electronics Co., Ltd. | Method and system for protecting broadcast service/content in a mobile broadcast system, and method for generating short term key message therefor |
| KR100975386B1 (ko) * | 2006-02-27 | 2010-08-11 | 삼성전자주식회사 | 휴대 방송 시스템에서 방송 서비스/컨텐츠 보호 방법과 시스템 및 이를 위한 단기 키 메시지의 생성 방법 |
| US8744077B2 (en) * | 2008-10-28 | 2014-06-03 | International Business Machines Corporation | Cryptographic encoding and decoding of secret data |
| KR20100062466A (ko) * | 2008-12-02 | 2010-06-10 | 삼성전자주식회사 | 동시대기 단말 및 그의 모바일 방송 재생 방법 |
| CN102084713A (zh) * | 2008-12-12 | 2011-06-01 | 上海贝尔股份有限公司 | 移动电视网络间切换方法及装置 |
| JP6242036B2 (ja) * | 2011-11-17 | 2017-12-06 | ソニー株式会社 | 情報処理装置、情報記憶装置、情報処理システム、および情報処理方法、並びにプログラム |
| US10367792B2 (en) * | 2016-08-25 | 2019-07-30 | Orion Labs | End-to end encryption for personal communication nodes |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100365535C (zh) * | 1995-02-13 | 2008-01-30 | 英特特拉斯特技术公司 | 用于安全交易管理和电子权利保护的系统和方法 |
| US6636968B1 (en) | 1999-03-25 | 2003-10-21 | Koninklijke Philips Electronics N.V. | Multi-node encryption and key delivery |
| EP1220173A1 (en) * | 2000-12-29 | 2002-07-03 | THOMSON multimedia | System and method for the secure distribution of digital content in a sharing network |
| US7516102B2 (en) * | 2001-01-18 | 2009-04-07 | Panasonic Corporation | Image output time management method and the record media |
| JP2002358244A (ja) | 2001-01-18 | 2002-12-13 | Matsushita Electric Ind Co Ltd | 出力時間管理装置及び出力時間管理方法 |
| US7114175B2 (en) * | 2001-08-03 | 2006-09-26 | Nokia Corporation | System and method for managing network service access and enrollment |
| JP2003069547A (ja) * | 2001-08-29 | 2003-03-07 | Fujitsu Ltd | マルチキャスト通信システム |
| US7082200B2 (en) * | 2001-09-06 | 2006-07-25 | Microsoft Corporation | Establishing secure peer networking in trust webs on open networks using shared secret device key |
| US7092999B2 (en) * | 2002-06-10 | 2006-08-15 | Gutman Levitan | Data broadcast network for congestion-free internet access |
| JP2004023237A (ja) | 2002-06-13 | 2004-01-22 | Mitsubishi Electric Corp | 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラム |
| CN1487750A (zh) | 2002-09-30 | 2004-04-07 | 北京三星通信技术研究有限公司 | 多媒体广播与组播业务中密码的管理及分发方法 |
| US20040117490A1 (en) * | 2002-12-13 | 2004-06-17 | General Instrument Corporation | Method and system for providing chaining of rules in a digital rights management system |
| JP4377619B2 (ja) * | 2003-06-27 | 2009-12-02 | 日本放送協会 | コンテンツ配信サーバ及びそのプログラム、ライセンス発行サーバ及びそのプログラム、コンテンツ復号端末及びそのプログラム、並びに、コンテンツ配信方法及びコンテンツ復号方法 |
| KR20050040644A (ko) * | 2003-10-29 | 2005-05-03 | 삼성전자주식회사 | 사용자 인증을 통한 방송 서비스 제공 방법 |
| JP4631289B2 (ja) | 2004-02-23 | 2011-02-16 | パナソニック株式会社 | 通信システム |
| CN100454806C (zh) * | 2004-07-29 | 2009-01-21 | 北京航空航天大学 | 一种安全组播管理系统及方法 |
| KR101123550B1 (ko) * | 2004-11-08 | 2012-03-13 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 디바이스에 권리 발행자 시스템을 등록하는 기술 |
| US20060265338A1 (en) * | 2005-05-17 | 2006-11-23 | Rutkowski Matt F | System and method for usage based key management rebinding using logical partitions |
| KR100663443B1 (ko) * | 2005-09-15 | 2007-01-02 | 삼성전자주식회사 | 서비스 보호를 위한 구조 및 개체간 연동 방법 및 장치그리고 그 시스템 |
-
2005
- 2005-09-15 KR KR1020050086409A patent/KR100663443B1/ko not_active IP Right Cessation
-
2006
- 2006-04-21 US US11/409,151 patent/US8417933B2/en not_active Expired - Fee Related
- 2006-06-02 JP JP2008530999A patent/JP2009508431A/ja active Pending
- 2006-06-02 EP EP06768749A patent/EP1924921A4/en not_active Ceased
- 2006-06-02 WO PCT/KR2006/002135 patent/WO2007032593A1/en active Application Filing
- 2006-06-02 CN CN2006800339870A patent/CN101263472B/zh active Active
-
2011
- 2011-12-09 JP JP2011269737A patent/JP2012105293A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP1924921A1 (en) | 2008-05-28 |
| JP2009508431A (ja) | 2009-02-26 |
| CN101263472B (zh) | 2010-11-10 |
| WO2007032593A1 (en) | 2007-03-22 |
| JP2012105293A (ja) | 2012-05-31 |
| US8417933B2 (en) | 2013-04-09 |
| EP1924921A4 (en) | 2011-03-23 |
| KR100663443B1 (ko) | 2007-01-02 |
| US20070061569A1 (en) | 2007-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1933393B (zh) | 用于内容保护的实体间连接方法、设备和系统 | |
| CN101513011B (zh) | 用于向移动终端设备连续传输广播服务的加密数据的方法和系统 | |
| CN101263472B (zh) | 用于服务保护的实体间互连方法、设备和系统 | |
| CN1950777B (zh) | 内容流的完整性保护 | |
| KR100981568B1 (ko) | 서비스 제공자와 다수의 단말기 간에 브로드캐스트 서비스를 지원하는 컨텐츠 보호 방법 및 장치 | |
| CN101507272B (zh) | 用于保护广播消息的安全模块的撤销方法 | |
| US7734922B2 (en) | Method, system and terminal apparatus for enabling content to be reproduced in multiple terminals | |
| CN101094062B (zh) | 利用存储卡实现数字内容安全分发和使用的方法 | |
| CN104243439A (zh) | 文件传输处理方法、系统及终端 | |
| CN101171860B (zh) | 管理接入多媒体内容的安全方法和设备 | |
| CN101753569A (zh) | 注册和管理个人使用范围的终端的主终端及其方法和系统 | |
| CN101119200A (zh) | 用于提供广播/多播业务的方法、网络单元、终端和系统 | |
| CN100484266C (zh) | 移动终端使用广播/组播业务内容的方法 | |
| CN101305548B (zh) | 在移动广播系统中发送/接收加密信息的方法及其系统 | |
| KR20070089027A (ko) | 휴대 방송 시스템에서 방송 서비스/컨텐츠 보호 방법과시스템 및 이를 위한 암호키와 메시지 생성 방법 | |
| US8774414B2 (en) | Method and apparatus for transmitting/receiving encryption information in a mobile broadcast system | |
| EP2141924A1 (en) | Process to ensure massive data diffusion security, and devices associated | |
| CN101193308A (zh) | 用于提供可在通信网络中播放的音/视频信号的方法及装置 | |
| EP2109314A1 (en) | Method for protection of keys exchanged between a smartcard and a terminal | |
| EP1780622A1 (en) | An authentication token which implements DRM functionally with a double key arrangement | |
| Joan et al. | Overview of OMA Digital Rights Management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |