CN103188229A - 用于安全内容访问的方法和设备 - Google Patents
用于安全内容访问的方法和设备 Download PDFInfo
- Publication number
- CN103188229A CN103188229A CN2011104536245A CN201110453624A CN103188229A CN 103188229 A CN103188229 A CN 103188229A CN 2011104536245 A CN2011104536245 A CN 2011104536245A CN 201110453624 A CN201110453624 A CN 201110453624A CN 103188229 A CN103188229 A CN 103188229A
- Authority
- CN
- China
- Prior art keywords
- user
- token
- key
- checking
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及一种用于安全内容传输的方法和设备。所述安全内容传输的方法包括:接收用户对要访问的内容的传输的请求,其中所述请求承载用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥;至少基于所述用户令牌执行对用户的验证,其中所述验证包括用户身份的验证;基于验证的成功,向通过验证的所述用户传输要访问的内容,其中所述用户令牌与所述用户关联,并至少基于与所述用户密钥关联的事务标识符。从而可以针对不同应用执行通用的认证,简化的系统的操作,并且提高了安全性。
Description
技术领域
本发明涉及内容访问,更具体地,涉及安全内容访问。
背景技术
安全内容访问对于分组交换流服务(PSS)非常重要。当内容应该由目标用户可访问时,来自其他非授权用户的任何对访问同样的内容的尝试应该被拒绝。为此,该移动用户应该在服务交互中被授权,而在发送到移动用户之前应该安全生成内容的统一资源定位符URL,并且其在用户使用来获得内容时应该被认证。
在现有技术中,在分组交换流服务的安全认证中,针对不同的应用具有不同的方法。
图1示出了现有技术中的用于安全传输内容的系统的框图。如图1所示,移动终端1可以执行HTTP应用以及RTSP应用,经由GGSN网关2后,其发出的HTTP流/下载请求可以通过WAP网关3路由至应用服务器PSS平台4。而其发出的RTSP(实时流传输协议)流请求可以直接路由至应用服务器PSS平台4。
在安全传输内容的系统中,例如,对于经由WAP网关的HTTP流/下载请求,分组交换流服务平台通过由WAP网关添加的用户设备的MSISDN识别该移动用户。而对于不经由WAP网关的RTSP流请求和HTTP流/下载请求,通过用户的IP地址来识别移动用户。
在现有技术中,通过MSISDN或IP地址以及共同共享的密钥用于动态URL生成过程来保护内容URL,并且共同共享密钥对于所有用户均是相同的,导致安全性较差。
因此,该方案存在如下缺陷:
存在不同的方法来识别用户,一种是通过MSISDN,另一种是通过IP地址。而对于后一种情形,在当前移动网络中,不同会话中的IP地址总是改变的,因此通过IP地址来识别用户是不可靠的,该方法也是不可行的。
因此,本领域迫切需要一种能够针对不同的应用的通用的认证方法,可以避免各种机制之间的差异性,简化系统的操作,并能够有效提高安全性。
发明内容
为此,本发明的实施例提出一种通用认证机制,既可以用于经由WAP网关的HTTP流/下载请求,也可以用于不经由WAP网关的RTSP流请求和HTTP流/下载请求。
以下提供发明内容以提供本发明一些方面的基本理解。发明内容不是本发明的广泛概况。其既不用于标识本发明的主要或关键部分,也不界定本发明的范围。以下发明内容仅以简化形式提供本发明的一些概念,作为以后的具体实施方式部分的前序。
根据本发明的一个方面,提供了一种用于安全内容传输的方法,可包括:接收用户对要访问的内容的传输的请求,其中所述请求承载用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥;至少基于所述用户令牌执行对用户的验证,其中所述验证包括用户身份的验证;基于验证的成功,向通过验证的所述用户传输要访问的内容,其中所述用户令牌与所述用户关联,并至少基于与所述用户密钥关联的引导事务标识符。
在本发明的实施例中,所述验证还可包括对所述用户要访问的内容的访问资源的验证,所述访问资源的验证进一步包括在用户身份的成功验证之后基于访问资源令牌执行对要访问的内容的访问资源的验证,其中所述访问资源令牌基于所述访问资源和与所述用户关联的所述密钥。
在本发明的实施例中,对访问资源的验证可进一步包括:在应用服务器处生成新的动态访问资源令牌;比较所述请求中携带的访问资源令牌以及新生成的动态访问资源令牌。
在本发明的实施例中,新的动态访问资源令牌可包括加密的字符串部分,以及比较步骤可进一步包括:将所述加密的字符串部分与所述请求中携带的访问资源令牌进行比较。
根据本发明另外的方面,提供一种用于安全内容传输的方法,可包括:响应于来自用户终端的应用请求,通过执行引导过程来获得用户密钥;至少基于与所述用户密钥关联的引导事务标识符生成用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥。
在本发明的实施例中,还包括:至少基于所述用户密钥生成访问资源的访问资源令牌。
根据本发明实施例的另外的方面,提供一种应用服务器,可包括:用户令牌生成装置,用于响应于接收的用户应用请求生成用户令牌,其中所述用户令牌唯一标识用户的身份以及使用的密钥;访问资源生成装置,用于响应于用户对内容的访问请求,生成访问资源令牌和动态访问资源;认证装置,用于响应于用户对内容的请求,执行对用户的认证,其中所述认证至少包括基于用户令牌对用户身份的认证。
根据本发明实施例的另外的方面,提供一种用户终端,可包括:生成装置,用于创建内容传输请求,其中内容传输请求至少包括用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥;通信装置,用于向应用服务器发送所述请求。
根据本发明实施例的另外的方面,提供一种装置,可包括至少一个处理器和其上存储有计算机程序代码的至少一个存储器,所述计算机程序代码当由所述处理器执行时使得所述装置执行如下步骤:响应于来自用户终端的应用请求,通过执行引导过程来获得用户密钥;以及至少基于与所述用户密钥关联的事务标识符生成用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥。
根据本发明实施例的另外的方面,提供一种装置,可包括至少一个处理器和其上存储有计算机程序代码的至少一个存储器,所述计算机程序代码当由所述处理器执行时使得所述装置执行如下步骤:接收用户对要访问的内容的传输的请求,其中所述请求承载用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥;至少基于所述用户令牌执行对用户的验证,其中所述验证包括用户身份的验证;基于验证的成功,向通过验证的所述用户传输要访问的内容,其中所述用户令牌与所述用户关联,并至少基于与所述用户的共享密钥关联的标识。
在本发明的实施例中,所述验证还可包括对所述用户要访问的内容的访问资源的验证,所述访问资源的验证进一步包括在用户身份的成功验证之后基于访问资源令牌执行对要访问的内容的访问资源的验证,其中所述访问资源令牌基于所述访问资源和与所述用户关联的所述密钥。
在本发明的实施例中,通过引入通用的认证机制,从而针对不同的内容传输请求,可以执行通用的认证,以简化系统,并提高了安全性。
附图说明
结合附图,从下面对本发明的实施例的详细描述中本发明的目的、特点和优点将显而易见,其中:
图1例示了现有技术中的用于安全传输内容的系统的框图;
图2例示了根据本发明实施例的用于安全传输内容的系统的框图;
图3例示了根据本发明实施例的用于生成用户令牌的流程图;
图4例示了根据本发明实施例的用户令牌的数据结构;
图5例示了根据本发明实施例的用于生成访问资源令牌的流程图;
图6例示了根据本发明实施例的用于安全传输内容的方法的流程图;
图7例示了根据本发明实施例的在实现为分组交换流服务平台的系统中执行的用于安全传输内容的方法的流程图;
图8例示了根据本发明实施例的应用服务器的框图;以及
图9例示了根据本发明实施例的用户终端的框图。
具体实施方式
现在参照附图更加完整地描述本发明的实施例,其中示出一些但并非所有本发明实施例。当然,本发明可通过许多不同形式实现,并且不应该理解为对这里阐述的实施例的限制;相反,提供这些实施例,从而本发明将满足适用的法律需求。其中类似标号指的是类似元素。
还应注意,在一些备选实施例中,提出的功能/行为可能以与附图中所示的不同的顺序发生。例如,连续所示的两个图可实际上基本同时执行,或可有时候以相反顺序执行,这依据涉及的功能/行为。
除非相反定义,这里使用的所有术语(包括技术和科学术语)具有与示例性实施例所属领域的技术人员理解的相同含义。还应理解,术语(例如通用字典中定义的)应解释为具有与相关领域的环境中他们的含义一致的含义,并且不从理想化或过分形式化方面解释,除非这里明确定义。
根据计算机存储器中的数据比特的操作的符号表示和软件或算法提供本发明的部分和相应细节描述。这些描述和表示是本领域技术人员借此向本领域其他技术人员有效传达他们工作内容的手段。作为这里使用的术语,以及正如其通常使用的,算法可认为是导致期望结果的步骤的自洽序列。步骤是需要物理操作物理量的那些步骤。通常,尽管不必要,这些量采用能存储、传送、组合、比较和操纵的光、电、或磁信号的形式。时常证明是方便地,原理上为了通用,将这些信号称为比特、值、元素、符号、字、项、数字等。
在以下描述中,将参照可作为程序模块或功能性处理(包括例程、程序、对象、组件、数据结果等,其执行特定任务或实现特定抽象数据类型,并且可在现有网络单元或控制节点处使用现有硬件实现)实现的操作的行为和符号表示(例如以流程图的形式)来描述示例性实施例。这样的现有硬件可包括一个或多个中央处理单元(CPU)、数字信号处理器(DSP)、专用集成电路、场可编程门阵列(FPGA)计算机等。
然而,应记住,所有这些和类似术语与适当物理量相关,并且仅是应用于这些量的方便标签。除非特别阐述,或从讨论清楚的,例如“处理”或“计算”或“确定”或“显示”等的术语指的是计算机系统、或类似电子计算设备的行为和处理,其操作计算机系统的寄存器和存储器中的表示为物理、电子量的数据并将其变换为类似表示为计算机系统存储器或寄存器或其他这样的信息存储装置、传输或显示设备中的物理量的其他数据。
还应注意,本发明的软件实现的方面典型地在某种程序存储介质上编码,或在一些类型的传输介质上实现。程序存储介质可以是磁的(例如软盘或硬盘驱动器)或光的(例如压缩盘只读存储器或“CD ROM”),并且可以是只读或随机存取。类似地,传输介质可以是双绞线、同轴电缆、光纤、或本领域已知的一些其他适当传输介质。本发明不受到任何给定方案的这些方面的限制。
在本发明的实施例中,引入一种通用的认证机制,既可以用于经由WAP网关的HTTP流/下载请求,也可以用于不经由WAP网关的RTSP流请求和HTTP流/下载请求。在本发明的实施例中,在该通用的认证机制中生成了可以适用于不同应用的特定用户的用户令牌,以一种一致的方式来代替MSISDN或IP地址进行用户的认证,避免了各种机制之间的差异性,简化系统的操作。将在下面结合附图详细说明该通用的认证机制的原理。
在该通用认证机制中,还可以包括对访问资源的加密以及认证,从而可以防止非授权用户来访问与访问资源关联的内容,以提供更高安全等级的内容服务。
图2例示了根据本发明实施例的用于安全传输内容的系统的框图。如图2所示,在本发明的实施例中,该系统引入新的网络单元引导服务器功能BSF 5,来为用户和应用服务器提供共享的密钥。从而在本发明的实施例中能够针对不同用户具备不同的密钥,提高系统的安全性。
如图2所示,在移动用户1和BSF 5之间进行GBA过程以进一步生成用户令牌。与图1类似,移动终端1可以执行HTTP应用以及RTSP应用,经由GGSN网关2后,其发出的HTTP流/下载请求可以通过WAP网关3路由至应用服务器(例如PSS平台)4。而其发出的RTSP(实时流传输协议)流请求可以直接路由至应用服务器4。
在本发明的实施例中,对于经由WAP网关3的HTTP流/下载请求和不经由WAP网关的RTSP流请求均可基于用户令牌通过本发明引入的通用认证架构GAA机制来统一进行认证;在该机制中,还可以基于访问资源令牌进行访问资源的认证。具体原理将在下面结合附图详细描述。
在本发明的实施例中,通过引入统一的认证机制来进行安全内容访问的控制,并且在硬件上仅引入网元BSF 5来实现上述机制,这是容易实现的。
在此,可以使用传统的GBA过程来生成移动用户UE和应用服务器之间的共享密钥。例如,可在此简述如下:用户1向BSF 5发送HTTP请求,而BSF 5从可访问的用户数据库(诸如HSS,在此未示出)中获得用户的全部安全参数设置和认证向量(其可包括RAND(验证中的随机质询)、AUTN(验证令牌)、XRES(验证中的预期响应)、CK(密钥),以及IK(完整性密钥)),并向UE发送RAND和AUTN,要求UE对BSF进行认证。而UE可以对BSF进行认证,例如利用RAND值,计算AUTN值,并与BSF发送过来的AUTN进行比对,如果一致,则成功认证网络。UE还计算出CK、IK和RES。这样,BSF和UE都拥有了密钥IK和CK。在移动用户1和BSF 5鉴权成功后,BSF通过CK和IK来产生根密钥Ks,并产生引导事务标识符B-TID的值。该B-TID能够唯一标识该次引导事件,以后应用服务器可以根据这个值向BSF索取达成的相关密钥Ks_NAF。例如可以根据RAND和BSF服务器名进行编码,以NAI的格式来产生该B-TID。而BSF 5可以将B-TID值和根密钥Ks的生存期发送给UE 1。而UE 1在收到该消息之后也可以计算得到根密钥Ks,用于之后的进一步处理。
因此,在GBA过程之后,移动用户UE 1知晓了引导事务标识符B-TID和根密钥Ks。而UE 1和BSF 5也可以使用根密钥Ks来推导用户密钥,例如Ks_NAF=KDF(Ks,”gba-me”,RAND,IMPI,NAF_ID)。其中,KDF是密钥生成算法,IMPI是移动用户的IMS标识(其可以从可访问的数据库中获得)、NAF_ID是BSF分配的应用服务器(NAF)的ID。而UE 1和BSF 5需要保持NAF名(即NAF_Id)的一致性,保存根密钥Ks和相关的B-TID,直到根密钥Ks的生存期满或者根密钥Ks被更新了(如此,则进行新的GBA过程)。
在本发明的实施例中,一种用于安全内容传输的方法,可以包括:响应于来自用户终端的应用请求,通过执行引导过程在应用服务器处获得用户密钥;在应用服务器处,至少基于与所述用户密钥关联的引导事务标识符生成用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥。
在本发明的实施例中,该密钥是每个移动用户所独具的,从而用户令牌也是每个移动用户独具的,可以确保内容不被非授权用户访问。
图3例示了根据本发明实施例的用于生成用户令牌的流程图。如图3所示,在步骤S310,移动用户UE向应用服务器4发送包括B-TID的应用请求来请求与应用服务器进行密钥协商。在此,移动用户1需要与应用服务器4进行安全关联以进行后续的基于安全的内容传输等处理。而如果UE1和BSF 5之间还没有建立共享密钥或者密钥已经过期需要更新,则UE 1需要和BSF 5之间发起GBA过程去获得根密钥Ks和用户密钥Ks_NAF。
在步骤S320,应用服务器4向BSF 5发送包括B-TID、NAF_ID参数的引导信息请求来请求获得用户的用户密钥。
在步骤S330,BSF 5首先验证应用服务器主机名的有效性,然后根据与UE相同的方法从Ks、和收到的NAF_Id以及其他密钥衍生参数计算出Ks_NAF,并和用户安全设置和密钥生存期一起发给应用服务器4(例如NAF)。
在步骤S340,应用服务器4保存用户密钥Ks_NAF、密钥生存期和用户安全设置。至此,应用服务器4与UE 1进行了安全关联,共享了用户密钥Ks_NAF。
之后,在步骤S350,应用服务器4生成用户令牌。所述用户令牌与所述用户关联,该用户令牌可以唯一标识用户的身份以及使用的密钥。例如其至少基于与所述用户密钥关联的引导事务标识符。
在本发明的实施例中,例如,用户令牌的结构可如图4所示:
其第一部分包括移动用户的身份,在此可以使用IMPI来表示。本领域技术人员可理解,其他移动用户的标识符也可适用于此,例如MSISDN。
第二部分可以包括与用户密钥关联的在GBA过程生成的引导事务标识符B-TID。通过该引导事务标识符B-TID,可以从BSF 5确定共享的密钥。
第三部分可以包括随机数。
第四部分可以包括用户令牌的生存时间(其可与用户密钥的生存期相同)。
因此,相比于现有技术中使用的移动用户共同的共享密钥,对于特定用户,该用户令牌是唯一的,从而使用独特的用户令牌来识别和认证移动用户,以控制内容访问(例如视频、音频、图像和/或软件),提高了该安全系统的安全性。
最后,在步骤S360,将包含了用户令牌的应用响应发送回移动用户UE 1。这样,就在移动用户UE和应用服务器之间共享了用户令牌。在本发明的实施例中,用户令牌可用于对不同的应用进行用户身份的认证而不考虑各种应用的差异。
在本发明的实施例中,应用服务器4可以是分组交换流服务(PSS)平台。在本发明的实施例中,PSS平台4可以包括门户(Portal)系统和流服务器。则可由分组交换流服务(PSS)平台中的门户系统执行以上步骤。则门户系统可以存储用户密钥Ks_NAF、密钥生存期和用户简表,以及生成的用户令牌。
在本发明的实施例中,用于安全内容传输的方法还可以包括:至少基于所述用户密钥生成访问资源的访问资源令牌。
图5例示了根据本发明实施例的用于生成访问资源令牌的流程图。在本发明的实施例中,当移动用户UE 1访问内容时,执行动态URL生成过程,来对要访问的内容的访问资源进行加密,以阻止非授权访问,从而更有效地提高内容传输的安全性。
如图5所示,在步骤S510,用户UE 1向应用服务器4请求访问内容。在本发明的实施例中,在该请求中可以承载用户令牌。在下面的说明中,为了简要起见,以URL为例详细说明如何对访问资源进行加密以及生成访问资源令牌。然而,本领域技术人员可以理解,所有对URL的操作均适用于对访问资源来操作。
之后,在步骤S520,应用服务器4通过使用共享的业务密钥来加密内容的访问资源来生成访问资源令牌。
在本发明的实施例中,应用服务器4可以首先进行对用户令牌的验证,如果该用户令牌有效,则执行访问资源令牌的生成。
在本发明的实施例中,由于应用服务器4与UE 1进行了安全关联,则基于承载的用户令牌,应用服务器4可使用与内容关联的原始访问资源(例如URL)、与用户令牌关联的用户身份(例如IMPI或MSISDN)、用户密钥Ks_NAF以及时间戳来生成访问资源令牌。例如,应用服务器可以基于与用户令牌关联的用户身份、时间戳、使用用户密钥对原始访问资源进行加密,生成加密的字符串,则该加密的字符串可组成与内容关联的访问资源令牌。在本发明的实施例中,本领域技术人员可理解,对访问资源进行加密可以使用已有的各种加密算法,例如MD(消息-摘要)5加密算法,在此不再赘述。本领域技术人员可以理解,该密钥是唯一的,并仅对特定用户有效,所以生成的访问资源令牌也是唯一的,并仅对特定用户有效。
于是,在步骤S530,至少基于访问资源令牌,应用服务器4生成动态访问资源。在本发明的实施例中,应用服务器4可以通过访问资源令牌、用户身份和时间戳、原始访问资源来组成动态访问资源。例如,该动态访问资源可以包括:第一部分为原始的访问资源,第二部分为基于用户身份、密钥以及时间戳对原始访问资源进行加密生成的加密串(例如访问资源令牌)。因为密钥是唯一的并仅对特定用户有效,所以使用该密钥Ks_NAF生成的动态URL仅对特定移动用户有效并且阻止非授权访问。
最后,在步骤S540,应用服务器4可以将生成的动态访问资源返回给用户UE 1。
在该实施例中,可通过如下消息示出生成的访问资源令牌的实例(其中token部分即为生成的访问资源令牌):其中token即为生成的URLtoken。
rtsp://172.27.7.138:554/media/9012200020090504002700_9012200020090504002900.3gp?uid=18602804493&uip=10.146.64.4&spid=90120&cid=9012200020090504002700&pid=8000501001&scid=9012200020090504002900&life=300
×tamp=20090526172450&token=0bbcd761663b5ee15a0d6bfbbe1f05e0 RTSP/1.0
在本发明的实施例中,应用服务器4可以是分组交换流服务(PSS)平台。在本发明的实施例中,PSS平台4可以包括门户(Portal)系统和流服务器。则可由分组交换流服务(PSS)平台中的门户系统接收来自UE1的请求。如上所述,可以在门户系统中存储用户令牌以及密钥、生存期、用户标识等参数,则门户系统可以验证用户令牌。如果用户令牌有效,则门户系统向流服务器请求内容的动态URL,该用户的身份标识(例如MSISDN)、密钥Ks_NAF等承载在该请求中。在流服务器处基于密钥和原始URL生成URL令牌,其包括加密串。之后在流服务器处通过用户身份标识、时间戳和URL令牌生成动态内容URL,并经由门户系统向用户返回动态URL。
在本发明的实施例中,提供了一种用于安全内容传输的方法,可以认证用户并提供对内容传送(例如流、下载)有关的控制来保护该内容不被非授权用户访问。该方法可以包括:接收用户对要访问的内容的传输的请求,其中所述请求承载用户令牌,所述用户令牌唯一标识用户的身份;至少基于所述用户令牌执行对用户的验证,其中所述验证包括用户身份的验证;基于验证的成功,向通过验证的所述用户传输要访问的内容,其中所述用户令牌与所述用户关联,并至少基于与所述用户密钥关联的事务标识符。
图6例示了根据本发明实施例的用于安全传输内容的方法的流程图。如图6所示,在步骤S610,在应用服务器4处接收用户UE 1对要访问的内容的传输的请求,所述请求承载用户令牌。
在本发明的实施例中,该用户令牌唯一标识用户的身份以及使用的密钥,仅对特定用户有效。
在步骤S620,至少基于所述用户令牌执行对用户的验证,所述验证包括用户身份的验证。
在本发明的实施例中,可以基于用户令牌执行对用户身份的验证。可以通过请求中承载的用户令牌与应用服务器中存储的用户令牌进行比较,如果匹配则用户认证成功。
之后,在步骤S630,基于验证的成功,向通过验证的所述用户传输要访问的内容。
在本发明的实施例中,该请求还使用动态访问资源。那么在本发明的实施例中,所述验证还可以包括对用户要访问的内容的访问资源的验证。在本发明的实施例中,在用户身份的成功验证之后基于访问资源令牌执行对要访问的内容的访问资源的验证,其中所述访问资源令牌基于所述访问资源和与所述用户关联的所述密钥。
在本发明的实施例中,对访问资源的验证可以进一步包括:在应用服务器处生成新的动态访问资源令牌;比较所述请求中携带的动态访问资源中的访问资源令牌以及新生成的动态访问资源令牌。优选地,新的动态访问资源令牌可包括加密的字符串部分,可以将所述加密的字符串部分与携带的动态访问资源中的访问资源令牌(即,非访问资源部分)进行比较,如果匹配,则验证成功。
图7例示了根据本发明实施例的在实现为分组交换流服务平台的系统中执行的用于安全传输内容的方法的流程图。在本发明的实施例中,如图7所示,在步骤S710,用户UE 1使用动态访问资源向PSS平台的流服务器发布请求,该请求可以承载用户令牌。
在步骤S720,流服务器和门户系统互通来执行认证过程。
在本发明的实施例中,如上所述,门户系统存储用户令牌等安全参数。则流服务器向门户系统发送令牌验证请求,请求该门户系统检查用户令牌来确保其有效性。
之后,在本发明的实施例中,门户系统通过与存储的用户令牌进行比对来检查用户令牌,并将用户令牌验证结果发送回流服务器。
在本发明的实施例中,在用户令牌有效的情况下,流服务器可以通过访问资源令牌进行用户的访问资源的验证。
在本发明的实施例中,流服务器可以使用用户的密钥Ks_NAF和动态访问资源中的非令牌部分创建新的访问令牌。并通过比较动态访问资源中的令牌与新的访问资源令牌来验证访问资源令牌。
最后,在步骤S730,如果访问资源令牌互相匹配,则将内容传送到用户,否则,拒绝该服务请求。
图8和图9示出根据本发明各个实施例被配置用于安全内容传输的示例性应用服务器4和用户终端1。所述设备(具体地处理器)可被配置为实现以上一般性所述的操作和功能,例如关于用户令牌的生成、访问资源令牌的生成以及认证等的处理。此外,所述设备(具体地处理器)可被配置为执行关于图3-7所述的某些或所有操作。
在一些示例性实施例中,所述设备可实现为,或包括为具有有线或无线通信能力的计算设备和/或通信设备的组件。所述设备的某些实例包括计算机、服务器、移动终端(例如移动电话、便携式数字助理(PDA)、寻呼机、移动电视、游戏设备、移动计算机、膝上型计算机、相机、视频记录器、音频/视频播放器、无线电、和/或全球定位系统(GPS)设备)或上述的任意组合等。此外,所述设备可被配置为实现这里所述的本发明的各个方面,例如本发明的各个示例性方法,其中所述方法可通过配置硬件和/或软件、固件或其组合的处理器(例如处理器)、计算机可读介质等实现。
所述设备可包括处理器、存储器设备、和通信接口或与其通信。此外,在一些实施例中,例如所述设备为移动终端的实施例,
装置还包括用户接口。处理器可实现为各种装置,包括例如,微处理器、协处理器、控制器、或包括集成电路(例如ASIC(专用集成电路)、FPGA(现场可编程门阵列)、或硬件加速器)的各种其他处理设备。关于作为FPGA、ASIC等的处理器,该处理器特别地可以是被配置为执行这里所述的处理器的操作的硬件。在示例性实施例中,处理器被配置为执行在存储器设备中存储的指令或处理器可访问的指令。处理器可被配置为便于例如通过控制通信接口中包括的控制硬件和/或软件经由通信接口通信。
存储器设备可被配置为存储在实现本发明的实施例中涉及的各个信息。存储器设备可以是计算机可读存储介质,可包括易失性和/或非易失性存储器。例如,存储器设备可包括随机存取存储器(RAM)(包括动态和/或静态RAM)、片上或片下高速缓存存储器和/或其他。此外,存储器设备110可包括非易失性存储器,其可被嵌入和/或可移除,以及可包括例如只读存储器、闪速存储器、磁存储设备(例如硬盘、软盘驱动器、磁带等)、光盘驱动器和/或介质、非易失性随机存取存储器(NVRAM)、和/或其他。存储器设备可包括用于临时存储数据的高速缓存区。由此,一些或所有存储器设备可包括在处理器中。
此外,存储器设备可被配置为存储信息、数据、应用、计算机可读程序代码指令等,用于使得处理器和所述设备执行根据本发明示例性实施例的各个功能。例如,存储器设备可被配置为缓冲输入数据以用于处理器处理。此外,或备选地,存储器设备可被配置为存储由处理器执行的指令。
用户接口可与处理器通信,以在用户接口接收用户输入和/或向用户提供输出,例如作为音频、视觉、机械或其他输出指示。用户接口可包括例如,键盘/键板、鼠标、操纵杆、显示器(例如触摸屏显示器)、麦克风、扬声器、或其他输入/输出机制。
通信接口可以是以硬件、计算机程序产品、或硬件和软件的组合实现的任意设备或装置,其被配置为从与所述设备通信的网络和/或任意其他设备或模块接收数据和/或向其发送数据。由此,通信接口可包括例如,天线、发射器、接收器、收发器和/或支持硬件,包括用于支持与网络通信的处理器或计算机程序产品。
通信接口可被配置为根据任意有线或无线通信标准提供通信。例如,通信接口可被配置为根据以下标准提供通信:第二代(2G)无线通信协议IS-136(时分多址(TDMA))、GSM(全球移动通信系统)、IS-95(码分多址(CDMA))、第三代(3G)无线通信协议(例如通用移动电信系统(UMTS)、CDMA2000、宽带CDMA(WCDMA)和时分同步CDMA(TD-SCDMA))、3.9代(3.9G)无线通信协议(例如演进通用陆地无线电接入网络(E-UTRAN))、第四代(4G)无线通信协议、国际移动电信高级(IMT-Advanced)协议、长期演进(LTE)协议(包括LTE-Advanced)等。此外,通信接口可被配置为根据例如以下技术提供通信:射频(RF)、红外(IrDA)、或多个不同无线组网技术的任一个,包括WLAN技术,例如IEEE 802.11(例如802.11a、802.11b、802.11g、802.11n等)、无线局域网(WLAN)协议、微波存取全球互通(WiMAX)技术(例如IEEE 802.16)、和/或无线个域网(WPAN)技术,例如IEEE802.15、蓝牙(BT)、超宽带(UWB)和/或其他。
图8例示了根据本发明实施例的应用服务器的框图。如图8所示,在本发明的实施例中,提供了一种应用服务器4,可以包括:用户令牌生成装置410,用于响应于接收的用户应用请求生成用户令牌,其中所述用户令牌唯一标识用户的身份以及使用的密钥;访问资源生成装置420,用于响应于用户对内容的访问请求生成访问资源令牌和动态访问资源;认证装置430,用于响应于用户对内容的请求,执行对用户的认证,其中所述认证至少包括基于用户令牌对用户身份的认证。
在本发明的实施例中,所述验证还包括对所述用户要访问的内容的访问资源的验证,所述访问资源的验证进一步包括在用户身份的成功验证之后基于访问资源令牌执行对要访问的内容的访问资源的验证,其中所述访问资源令牌基于所述访问资源和与所述用户关联的所述密钥。
在本发明的实施例中,应用服务器4还可以包括通信装置440,用于收/发诸如应用请求等的信息。
图9例示了根据本发明实施例的用户终端的框图。在本发明的实施例中,用户终端1,可以包括:生成装置110,用于创建内容传输请求,其中内容传输请求至少包括用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥;通信装置120,用于向应用服务器发送所述请求/接收来自应用服务器的消息。
这里阐述的本发明的许多修改和其他实施例将使得与本发明相关的本领域技术人员获益于在以上说明书和相关附图中提供的教导。因此,可理解,本发明不限于公开的特定实施例,并且修改和其他实施例旨在包含在所附权利要求的范围内。此外,尽管以上说明书和相关附图描述了在部件和/或功能的某个示例性组合的环境中的示例性实施例,但是应理解,部件和/或功能的不同组合可通过备选实施例提供,而不脱离所附权利要求的范围。由此,例如,正如在一些所附权利要求中阐述的那些,也可设想除了以上明确所述的那些部件和/或功能之外的他们的不同组合。尽管这里采用的特定术语,但是他们仅用作一般性和描述性含义,并非用于限制的目的。
Claims (10)
1.一种用于安全内容传输的方法,包括:
接收用户对要访问的内容的传输的请求,其中所述请求承载用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥;
至少基于所述用户令牌执行对用户的验证,其中所述验证包括用户身份的验证;
基于验证的成功,向通过验证的所述用户传输要访问的内容,
其中所述用户令牌与所述用户关联,并至少基于与所述用户密钥关联的事务标识符。
2.如权利要求1所述的方法,其中所述验证还包括对所述用户要访问的内容的访问资源的验证,所述访问资源的验证进一步包括在用户身份的成功验证之后基于访问资源令牌执行对要访问的内容的访问资源的验证,其中所述访问资源令牌基于所述访问资源和与所述用户关联的所述密钥。
3.如权利要求2所述的方法,其中对访问资源的验证进一步包括:
在应用服务器处生成新的动态访问资源令牌;
比较所述请求中携带的访问资源令牌以及新生成的动态访问资源令牌。
4.如权利要求3所述的方法,其中新的动态访问资源令牌包括加密的字符串部分,以及
其中比较步骤进一步包括:将所述加密的字符串部分与所述请求中携带的访问资源令牌进行比较。
5.一种用于安全内容传输的方法,包括:
响应于来自用户终端的应用请求,通过执行引导过程来获得用户密钥;
至少基于与所述用户密钥关联的事务标识符生成用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥。
6.如权利要求5所述的方法,其中还包括:
至少基于所述用户密钥生成访问资源的访问资源令牌。
7.一种应用服务器,包括:
用户令牌生成装置,用于响应于接收的用户应用请求生成用户令牌,其中所述用户令牌唯一标识用户的身份以及使用的密钥;
访问资源生成装置,用于响应于用户对内容的访问请求,生成访问资源令牌和动态访问资源;
认证装置,用于响应于用户对内容的请求,执行对用户的认证,其中所述认证至少包括基于用户令牌对用户身份的认证。
8.一种用户终端,包括:
生成装置,用于创建内容传输请求,其中内容传输请求至少包括用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥;
通信装置,用于向应用服务器发送所述请求。
9.一种装置,包括至少一个处理器和其上存储有计算机程序代码的至少一个存储器,所述计算机程序代码当由所述处理器执行时使得所述装置执行如下步骤:
响应于来自用户终端的应用请求,通过执行引导过程来获得用户密钥;以及
至少基于与所述用户密钥关联的事务标识符生成用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥。
10.一种装置,包括至少一个处理器和其上存储有计算机程序代码的至少一个存储器,所述计算机程序代码当由所述处理器执行时使得所述装置执行如下步骤:
接收用户对要访问的内容的传输的请求,其中所述请求承载用户令牌,所述用户令牌唯一标识用户的身份以及使用的密钥;
至少基于所述用户令牌执行对用户的验证,其中所述验证包括用户身份的验证;
基于验证的成功,向通过验证的所述用户传输要访问的内容,
其中所述用户令牌与所述用户关联,并至少基于与所述用户的共享密钥关联的标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110453624.5A CN103188229B (zh) | 2011-12-30 | 2011-12-30 | 用于安全内容访问的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110453624.5A CN103188229B (zh) | 2011-12-30 | 2011-12-30 | 用于安全内容访问的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103188229A true CN103188229A (zh) | 2013-07-03 |
| CN103188229B CN103188229B (zh) | 2017-09-12 |
Family
ID=48679198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110453624.5A Active CN103188229B (zh) | 2011-12-30 | 2011-12-30 | 用于安全内容访问的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103188229B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656854A (zh) * | 2014-11-12 | 2016-06-08 | 中国移动通信集团公司 | 一种验证无线局域网络用户来源的方法、设备及系统 |
| WO2017008640A1 (zh) * | 2015-07-16 | 2017-01-19 | 电信科学技术研究院 | 一种访问令牌颁发方法及相关设备 |
| WO2017076165A1 (zh) * | 2015-11-03 | 2017-05-11 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
| CN107517179A (zh) * | 2016-06-15 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种鉴权方法、装置和系统 |
| CN108200452A (zh) * | 2018-01-15 | 2018-06-22 | 网易(杭州)网络有限公司 | 一种防止下载的web视频在线播放系统及其控制方法 |
| WO2018120217A1 (zh) * | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 验证密钥请求方的方法和设备 |
| CN109194673A (zh) * | 2018-09-20 | 2019-01-11 | 江苏满运软件科技有限公司 | 基于用户授权信息的认证方法、系统、设备及存储介质 |
| CN110266642A (zh) * | 2019-05-15 | 2019-09-20 | 网宿科技股份有限公司 | 身份认证方法及服务器、电子设备 |
| CN112235277A (zh) * | 2020-10-09 | 2021-01-15 | 北京达佳互联信息技术有限公司 | 资源请求方法、资源响应方法及相关设备 |
| CN114938313A (zh) * | 2022-07-26 | 2022-08-23 | 北京盛邦赛云科技有限公司 | 一种基于动态令牌的人机识别方法及装置 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070223443A1 (en) * | 2004-02-12 | 2007-09-27 | Ye-Kui Wang | Transmission of Asset Information in Streaming Services |
| CN101047505A (zh) * | 2006-03-27 | 2007-10-03 | 华为技术有限公司 | 一种网络应用push业务中建立安全连接的方法及系统 |
| CN101102191A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 通用鉴权框架中确定密钥请求业务类型方法 |
| CN101156412A (zh) * | 2005-02-11 | 2008-04-02 | 诺基亚公司 | 用于在通信网络中提供引导过程的方法和装置 |
| CN101185311A (zh) * | 2005-04-14 | 2008-05-21 | 诺基亚公司 | 为移动互联网协议密钥分发使用通用认证架构 |
| CN101218800A (zh) * | 2005-07-07 | 2008-07-09 | 艾利森电话股份有限公司 | 用于鉴权和隐私的方法与布置 |
| CN101366263A (zh) * | 2005-10-13 | 2009-02-11 | 艾利森电话股份有限公司 | 用于建立安全关联的方法和设备 |
| US20090209232A1 (en) * | 2007-10-05 | 2009-08-20 | Interdigital Technology Corporation | Techniques for secure channelization between uicc and a terminal |
| WO2009124587A1 (en) * | 2008-04-09 | 2009-10-15 | Nokia Siemens Networks Oy | Service reporting |
| CN101582730A (zh) * | 2008-05-15 | 2009-11-18 | 华为技术有限公司 | 提供mbms服务的方法、系统、相应装置及通信终端 |
| WO2010114475A2 (en) * | 2009-04-01 | 2010-10-07 | Telefonaktiebolaget L M Ericsson (Publ) | Security key management in ims-based multimedia broadcast and multicast services (mbms) |
| CN101990201A (zh) * | 2009-07-31 | 2011-03-23 | 中国移动通信集团公司 | 生成gba密钥的方法及其系统和设备 |
| CN102143129A (zh) * | 2010-05-26 | 2011-08-03 | 华为软件技术有限公司 | 超文本传输协议流媒体传输中实现业务保护的方法和系统 |
| CN102196426A (zh) * | 2010-03-19 | 2011-09-21 | 中国移动通信集团公司 | 一种接入ims网络的方法、装置和系统 |
| WO2011144801A1 (en) * | 2010-05-18 | 2011-11-24 | Nokia Corporation | Generic bootstrapping architecture usage with web applications and web pages |
| CN102264069A (zh) * | 2010-05-28 | 2011-11-30 | 中国移动通信集团公司 | 基于通用引导架构的认证控制方法、装置及系统 |
-
2011
- 2011-12-30 CN CN201110453624.5A patent/CN103188229B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070223443A1 (en) * | 2004-02-12 | 2007-09-27 | Ye-Kui Wang | Transmission of Asset Information in Streaming Services |
| CN101156412A (zh) * | 2005-02-11 | 2008-04-02 | 诺基亚公司 | 用于在通信网络中提供引导过程的方法和装置 |
| CN101185311A (zh) * | 2005-04-14 | 2008-05-21 | 诺基亚公司 | 为移动互联网协议密钥分发使用通用认证架构 |
| CN101218800A (zh) * | 2005-07-07 | 2008-07-09 | 艾利森电话股份有限公司 | 用于鉴权和隐私的方法与布置 |
| US20080215888A1 (en) * | 2005-07-07 | 2008-09-04 | Telefonaktiebolaget Lm Ericsson | Method and Arrangement For Authentication and Privacy |
| CN101366263A (zh) * | 2005-10-13 | 2009-02-11 | 艾利森电话股份有限公司 | 用于建立安全关联的方法和设备 |
| CN101047505A (zh) * | 2006-03-27 | 2007-10-03 | 华为技术有限公司 | 一种网络应用push业务中建立安全连接的方法及系统 |
| CN101102191A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 通用鉴权框架中确定密钥请求业务类型方法 |
| US20090209232A1 (en) * | 2007-10-05 | 2009-08-20 | Interdigital Technology Corporation | Techniques for secure channelization between uicc and a terminal |
| WO2009124587A1 (en) * | 2008-04-09 | 2009-10-15 | Nokia Siemens Networks Oy | Service reporting |
| CN101582730A (zh) * | 2008-05-15 | 2009-11-18 | 华为技术有限公司 | 提供mbms服务的方法、系统、相应装置及通信终端 |
| WO2010114475A2 (en) * | 2009-04-01 | 2010-10-07 | Telefonaktiebolaget L M Ericsson (Publ) | Security key management in ims-based multimedia broadcast and multicast services (mbms) |
| CN101990201A (zh) * | 2009-07-31 | 2011-03-23 | 中国移动通信集团公司 | 生成gba密钥的方法及其系统和设备 |
| CN102196426A (zh) * | 2010-03-19 | 2011-09-21 | 中国移动通信集团公司 | 一种接入ims网络的方法、装置和系统 |
| WO2011144801A1 (en) * | 2010-05-18 | 2011-11-24 | Nokia Corporation | Generic bootstrapping architecture usage with web applications and web pages |
| CN102143129A (zh) * | 2010-05-26 | 2011-08-03 | 华为软件技术有限公司 | 超文本传输协议流媒体传输中实现业务保护的方法和系统 |
| CN102264069A (zh) * | 2010-05-28 | 2011-11-30 | 中国移动通信集团公司 | 基于通用引导架构的认证控制方法、装置及系统 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656854B (zh) * | 2014-11-12 | 2019-04-26 | 中国移动通信集团公司 | 一种验证无线局域网络用户来源的方法、设备及系统 |
| CN105656854A (zh) * | 2014-11-12 | 2016-06-08 | 中国移动通信集团公司 | 一种验证无线局域网络用户来源的方法、设备及系统 |
| WO2017008640A1 (zh) * | 2015-07-16 | 2017-01-19 | 电信科学技术研究院 | 一种访问令牌颁发方法及相关设备 |
| WO2017076165A1 (zh) * | 2015-11-03 | 2017-05-11 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
| CN107517179B (zh) * | 2016-06-15 | 2021-03-30 | 阿里巴巴集团控股有限公司 | 一种鉴权方法、装置和系统 |
| CN107517179A (zh) * | 2016-06-15 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种鉴权方法、装置和系统 |
| WO2018120217A1 (zh) * | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 验证密钥请求方的方法和设备 |
| CN109314693A (zh) * | 2016-12-30 | 2019-02-05 | 华为技术有限公司 | 验证密钥请求方的方法和设备 |
| CN109314693B (zh) * | 2016-12-30 | 2020-08-25 | 华为技术有限公司 | 验证密钥请求方的方法和设备 |
| US11445370B2 (en) | 2016-12-30 | 2022-09-13 | Huawei Technologies Co., Ltd. | Method and device for verifying key requester |
| CN108200452A (zh) * | 2018-01-15 | 2018-06-22 | 网易(杭州)网络有限公司 | 一种防止下载的web视频在线播放系统及其控制方法 |
| CN109194673A (zh) * | 2018-09-20 | 2019-01-11 | 江苏满运软件科技有限公司 | 基于用户授权信息的认证方法、系统、设备及存储介质 |
| CN110266642A (zh) * | 2019-05-15 | 2019-09-20 | 网宿科技股份有限公司 | 身份认证方法及服务器、电子设备 |
| CN112235277A (zh) * | 2020-10-09 | 2021-01-15 | 北京达佳互联信息技术有限公司 | 资源请求方法、资源响应方法及相关设备 |
| CN114938313A (zh) * | 2022-07-26 | 2022-08-23 | 北京盛邦赛云科技有限公司 | 一种基于动态令牌的人机识别方法及装置 |
| CN114938313B (zh) * | 2022-07-26 | 2022-10-04 | 北京盛邦赛云科技有限公司 | 一种基于动态令牌的人机识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103188229B (zh) | 2017-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10187202B2 (en) | Key agreement for wireless communication | |
| CN103188229B (zh) | 用于安全内容访问的方法和设备 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| CN101401465B (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
| CN105050081A (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| US9088408B2 (en) | Key agreement using a key derivation key | |
| US8819415B2 (en) | Method and device for authenticating personal network entity | |
| CN101822082A (zh) | 用于uicc和终端之间安全信道化的技术 | |
| CN103596173A (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| US20180270662A1 (en) | Method and apparatus for passpoint eap session tracking | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| US20140171029A1 (en) | Method and apparatus for authenticating subscribers to long term evolution telecommunication networks or universal mobile telecommunications system | |
| US11711693B2 (en) | Non-3GPP device access to core network | |
| US11917416B2 (en) | Non-3GPP device access to core network | |
| KR20130039745A (ko) | 인증 연동 시스템 및 방법 | |
| Wang et al. | Secure and efficient control transfer for IoT devices | |
| Raja et al. | Reduced overhead frequent user authentication in EAP-dependent broadband wireless networks | |
| Avdyushkin et al. | Secure location validation with wi-fi geo-fencing and nfc | |
| CN109151816B (zh) | 一种网络鉴权方法及系统 | |
| TWI514189B (zh) | 網路認證系統及其方法 | |
| Jindal | Authentication and Data Security Protocol for Distributed Cloud Architecture | |
| Bruce et al. | Improved security patch on secure communication among cell phones and sensor networks | |
| 人間中心のユビキタスコンピューティングの et al. | HUC-HISF: A Hybrid Intelligent Security Framework for Human-centric Ubiquitous Computing | |
| KR20120119490A (ko) | 인증 연동 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |