DE102006036110A1 - Encrypted key providing method for mobile terminal, involves transmitting right object to mobile terminal by right editing server after receiving right object request for transmitting right object, which contains certificate with public key - Google Patents

Encrypted key providing method for mobile terminal, involves transmitting right object to mobile terminal by right editing server after receiving right object request for transmitting right object, which contains certificate with public key Download PDF

Info

Publication number
DE102006036110A1
DE102006036110A1 DE102006036110A DE102006036110A DE102006036110A1 DE 102006036110 A1 DE102006036110 A1 DE 102006036110A1 DE 102006036110 A DE102006036110 A DE 102006036110A DE 102006036110 A DE102006036110 A DE 102006036110A DE 102006036110 A1 DE102006036110 A1 DE 102006036110A1
Authority
DE
Germany
Prior art keywords
key
encrypted
terminal
rights
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102006036110A
Other languages
German (de)
Inventor
Christian GÜNTHER
Anja Dr. Jerichow
Dirk Kröselberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102006036110A priority Critical patent/DE102006036110A1/en
Publication of DE102006036110A1 publication Critical patent/DE102006036110A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management

Abstract

The method involves transmitting a right object to a mobile terminal (1) by a right editing server (2) after receiving a right object request for transmitting the right object, which contains a certificate with a public key. A random number is encrypted by the public key, and a key encryption key is derived from the random number for encrypting a right encryption key. A key is encrypted for producing an encrypted key and associated with the right object, which contains the encrypted key, the random number and the encrypted right encryption key. Independent claims are also included for the following: (1) a server for providing an encrypted key for a mobile terminal (2) a digital right management system provided for a network.

Description

Die Erfindung betrifft das Verfahren und das System zum Bereitstellen eines verschlüsselten Schlüssels zur Entschlüsselung verschlüsselter Daten, insbesondere für ein digitales Rechtemanagementsystem (DRM).The The invention relates to the method and system for providing an encrypted key to decryption encrypted Data, especially for a digital rights management system (DRM).

Ein digitales Rechtemanagement (DRM) verwendet so genannte Public Key Zertifikate. Diese Zertifikate Z verbürgen überprüfbar die Zuordnung eines kryptographischen Schlüssels zu einer Gerätidentität. Das Zertifikat Z eines Endgeräts erhält eine digitale Unterschrift bzw. Signatur des Geräteherstellers. Diese Signatur entspricht einer Prüfsumme, welche eine Funktion eines öffentlichen Schlüssels und einer Geräte-ID ist. Daneben erhält das Zertifikat Z eine Geräteidentifikation, beispielsweise eine MAC-Adresse, sowie einen öffentlichen Schlüssel (Public Key) des Endgeräts. Bei dem Endgerät kann es sich insbesondere um ein mobiles Endgerät handeln, in dem das Zertifikat Z nach dessen Herstellung fest einprogrammiert wird.One digital rights management (DRM) uses so-called public key Certificates. These certificates Z verifiable the assignment of a cryptographic key to a device identity. The certificate Z of a terminal receives a digital signature or signature of the device manufacturer. This signature corresponds to a checksum, which is a function of a public key and a device ID is. Next to it receives the certificate Z is a device identification, For example, a MAC address, as well as a public key (Public Key) of the terminal. At the terminal it may in particular be a mobile terminal in which the certificate Z is programmed according to its manufacture.

1 zeigt ein Netzwerkmodell für ein Mobilfunknetz, bei dem sich ein mobiles Endgerät bzw. eine Teilnehmerstation (SS: Subscriber Station) über ein Zugangsnetz bei einem Authentisierungsserver (ASA: Authentication and Service Authorization Server) authentisieren kann. Das mobile Endgerät MSS kommuniziert mit einer Basisstation BS über eine Luftschnittstelle. Ein mobiles Endgerät bzw. eine Teilnehmerstation SS, die von einer Basisstation BS zu einer anderen Basisstation übergegeben werden kann (Handover) wird auch als mobile Teilnehmerstation MSS bezeichnet. Gemäß dem IEEE Standards 802.16 für drahtlose Stadtbereichsnetzwerke (WMAN: Wireless Metropolitan Area Networks) enthält jedes mobile Endgerät bzw. jede mobile Teilnehmerstation MSS entweder bei ihrer Herstellung ein Public-Key-Zertifikat oder es kann dieses Zertifikat Z nach Herstellung des mobilen Endgeräts MSS bei Bedarf erzeugen. Dementsprechend benötigen Betreiber eines 802.16-Netzwerkes eine Public-Key-Infrastruktur. Mit Hilfe eines PKI-Servers kann die Gültigkeit eines Zertifikats Z überprüft werden. Ein derartiger PKI-Server enthält beispielsweise eine Rückrufliste (Revocation list), d. h. eine Datenbank in welcher zu jeder Geräteidentität angegeben ist, ob das zugehörige Zertifikat Z gültig ist oder nicht. Ein Gerätezertifikat wird beispielsweise als ungültig gekennzeichnet, wenn das zugehörige Gerät als gestohlen gemeldet wurde oder das Gerät an unerwünschten Angriffen gegen das Netzwerk beteiligt war. 1 shows a network model for a mobile network, in which a mobile terminal or a subscriber station (SS: Subscriber Station) can authenticate via an access network at an authentication server (ASA: Authentication and Service Authorization Server). The mobile terminal MSS communicates with a base station BS via an air interface. A mobile terminal or a subscriber station SS, which can be transferred from one base station BS to another base station (handover) is also referred to as a mobile subscriber station MSS. According to the IEEE 802.16 for Wireless Metropolitan Area Networks (WMAN), each mobile terminal or MSS either contains a public-key certificate when it is manufactured, or it may receive this certificate Z after the mobile terminal MSS is established as needed produce. Accordingly, operators of an 802.16 network require a public key infrastructure. The validity of a certificate Z can be verified with the aid of a PKI server. Such a PKI server contains, for example, a revocation list, ie a database in which is specified for each device identity, whether the associated certificate Z is valid or not. For example, a device certificate is marked as invalid if the associated device has been reported as stolen or the device has been involved in unwanted network attacks.

Bei herkömmlichen Mobilfunknetzen müssen die Endgeräte bisher mit DRM-spezifischen Public-Key-Zertifikaten versehen und eine DRM-spezifische Public-Key-Infrastruktur zur Überprüfung jener Zertifikate eingerichtet und betrieben werden, um den mobilen Endgeräten DRM geschützte Dateninhalte sicher zur Verfügung stellen zu können.at usual Mobile networks need the terminals so far provided with DRM-specific public-key certificates and a DRM-specific public-key infrastructure for checking those certificates be set up and operated to the mobile terminals DRM protected Data content securely available to be able to make.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zu schaffen, bei dem Endgeräten eines Netzes DRM-geschützte Dateninhalte bereitgestellt werden können, ohne dass die Endgeräte mit DRM-spezifischen Public-Key-Zertifikaten versehen werden müssen, und ohne dass eine DRM-spezifische Public-Key-Infrastruktur eingerichtet werden muss.It is therefore the object of the present invention, a method and to provide a system at the terminals of a network DRM protected data content can be provided without the terminals must be provided with DRM-specific public-key certificates, and without that set up a DRM-specific public-key infrastructure must become.

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den im Patentanspruch 1 angegebenen Merkmalen gelöst.These The object is achieved by a Method solved by the features specified in claim 1.

Die Erfindung schafft ein Verfahren zum Bereitstellen eines verschlüsselten Schlüssels EK (EK: Encrypted Key) für ein Endgerät zur Entschlüsselung verschlüsselter Daten, wobei das Endgerät bei dessen Authentisierung zum Erhalt eines Netzzugang ein Zertifikat (Z) überträgt, welches einen öffentlich Schlüssel (Public Key) enthält, wobei ein Rechteherausgeber-Server nach Empfang einer von dem Endgerät stammenden Anforderungsnachricht (RO-Request) zur Übertragung eines Rechteobjekts (RO), die das Zertifikat (Z) mit dem öffentlichen Schlüssel (Public Key) enthält, zunächst eine generierte Zufallszahl RN (RN: Random Number) durch den öffentlichen Schlüssel (Public Key) verschlüsselt und ferner aus der generierten Zufallszahl (RN) einen Schlüssel KEK (KEK: Key Encryption Key) zum Verschlüsseln eines Rechteverschlüsselungsschlüssel REK (REK: Right Encryption Key) ableitet, durch den ein Schlüssel K (K: Key) zur Erzeugung des verschlüsselten Schlüssels (EK) verschlüsselt wird, und anschließend das angeforderte Rechteobjekt (RO), welches den verschlüsselten Schlüssel (EK), die verschlüsselte Zufallszahl (ERN: Encrypted Random Number) und den verschlüsselten Rechteverschlüsselungsschlüssel (EREK: Encrypted Right Encryption Key) enthält, an das Endgerät überträgt.The The invention provides a method for providing an encrypted key EK (EK: Encrypted Key) for a terminal for decryption encrypted Data, the terminal during its authentication to obtain a network access a certificate (Z) transmits which a public key (Public Key), wherein a rights issuing server upon receipt of an originating from the terminal Request message (RO request) for the transmission of a rights object (RO) who receive the certificate (Z) with the public key (Public Key), first a generated random number RN (RN: Random Number) by the public key (Public key) encrypted and further from the generated random number (RN) a key KEK (KEK: Key Encryption Key) for encrypting a rights encryption key REK (REK: Right Encryption Key), by which a key K (K: Key) for generating the encrypted key (EK) encrypted will, and then the requested rights object (RO), which is the encrypted key (EK), the encrypted Random Number (ERN: Encrypted Random Number) and the encrypted Rights Encryption Key (EREK: Encrypted Right Encryption Key) transmits to the terminal.

Das erfindungsgemäße Verfahren und System nutzt die bei dem vorhandenen Netz vorzusehende Public-Key-Infrastruktur für ein digitales Rechtemanagement (DRM) von Daten für die Endgeräte.The inventive method and system uses the public key infrastructure to be provided with the existing network for a digital rights management (DRM) of data for the terminals.

Bei einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens überträgt das Endgerät das Zertifikat Z bei dessen Authentisierung zum Erhalt eines Netzzuganges an einen Authentisierungsserver eines Netzes.at a preferred embodiment In the method according to the invention, the terminal transmits the certificate Z during its authentication to obtain a network access to a Authentication server of a network.

In einer Ausführungsform des erfindungsgemäßen Verfahrens leitet der Authentisierungsserver das empfangene Zertifikat Z an einen zentralen PKI-Server weiter.In an embodiment the method according to the invention the authentication server initiates the received certificate Z. a central PKI server on.

In einer Ausführungsform des erfindungsgemäßen Verfahren sendet der Rechteherausgeberserver nach Empfang der von dem Endgerät stammenden Anforderungsnachricht (RO-Request), die das Zertifikat Z enthält, zum Übertragen eines Rechteobjekts (RO) für einen bestimmten Dateninhalt eine Überprüfungsanforderungsnachricht an den zentralen PKI- Server, um die Gültigkeit des empfangenen Zertifikats Z zu überprüfen.In one embodiment of the erfindungsge In accordance with the method, after receiving the request originating from the terminal (RO request) containing the certificate Z, the rights issuing server sends a check request message to the central PKI server for transmitting a rights object (RO) for a specific data content in order to check the validity of the received data Check certificate Z.

Dabei sendet der PKI-Server vorzugsweise dem Rechteherausgeberserver eine Überprüfungsantwortnachricht, welche anzeigt, ob das Zertifikat Z des anfordernden Endgeräts gültig ist.there the PKI server preferably sends the rights issuing server a verification reply message, which indicates whether the certificate Z of the requesting terminal is valid.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens überträgt der Rechteherausgeberserver bei einem gültigen Zertifikat Z an das Endgerät das angeforderte Rechteobjekt (RO).at an embodiment of the method according to the invention is transmitted by the rights issuing server at a valid Certificate Z to the terminal the requested rights object (RO).

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens entschlüsselt das Endgerät nach Empfang des Rechteobjekts (RO) Daten, die mit dem öffentlichen Schlüssel (Public Key) verschlüsselt sind, mittels eines privaten Schlüssels (Private Key).at an embodiment the method according to the invention decrypts the terminal after Receipt of the rights object (RO) data with the public key (Public key) encrypted are, by means of a private key.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird der Schlüssel (K) durch einen Dateninhaltsverschlüsselungsschlüssel CEK (Content Encryption Key) zum Verschlüsseln von Dateninhalten durch einen Diensteverschlüsselungsschlüssel SEK (Service Encryption Key) oder durch einen Programmverschlüsselungsschlüssel PEK (Program Encryption Key) gebildet.at an embodiment the method according to the invention becomes the key (K) by a data content encryption key CEK (Content Encryption key) for encryption of data contents by a service encryption key SEK (Service Encryption Key) or by a program encryption key PEK (Program Encryption key).

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens entschlüsselt das Endgerät mittel der Daten, die es mittels des privaten Schlüssels (Private Key) entschlüsselt hat, verschlüsselte Dateninhalte oder verschlüsselte Schlüssel.at an embodiment the method according to the invention decrypts the terminal medium of the data, which it by means of the private key (Private Key) decrypted has, encrypted Data content or encrypted Key.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens lädt das Endgerät den verschlüsselten Dateninhalt über ein Netz herunter oder liest es von einem Speichermedium aus.at an embodiment the method according to the invention loads that terminal the encrypted Data content about down a network or read it from a storage medium.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens ist der Dateninhalt DRM geschützt.at an embodiment the method according to the invention the data content DRM is protected.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens weist der DRM-geschützte Dateninhalt eine Dateninhaltsidentifizierung zu Identifizierung eines Dateninhalts und eine Adresse des Rechteherausgeberservers auf, der in dem Dateninhalt angegeben ist, oder dem Endgerät signalisiert wird.at an embodiment the method according to the invention indicates the DRM-protected Data content a data content identification for identification a data content and an address of the rights publishing server on, which is indicated in the data content, or is signaled to the terminal.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens sendet das Endgerät eine Anforderungsnachricht zur Übertragung eines Rechtenobjekts (RO) an den Rechteherausgeberserver, der in dem Dateninhalt angegeben ist oder dem Endgerät signalisiert wird.at an embodiment the method according to the invention sends the terminal a request message for transmission a rights object (RO) to the rights publisher server located in the data content is specified or signaled to the terminal.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens lädt der Rechteherausgeberserver nach Empfang einer Anforderungsnachricht zur Übertragung eines Rechteobjekts (RO) mit gültigem Zertifikat Z für einen bestimmten Dateninhalt den Schlüssel (K) von einem Server, der Dateninhalte oder Schlüssel zur Dateninhaltsverschlüsselung verschlüsselt.at an embodiment the method according to the invention invites the Rights issuing server after receiving a request message for transmission of a rights object (RO) with valid Certificate Z for a certain data content the key (K) from a server, the data content or key encrypted for data content encryption.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens weist das Zertifikat Z einen öffentlichen Schlüssel (Public Key), eine Geräteidentifizierung zur Identifizierung des Endgeräts und eine Signatur des Geräteherstellers auf.at an embodiment the method according to the invention the certificate Z has a public key (Public key), a device identification for identifying the terminal and a signature of the device manufacturer on.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens weist das Rechteobjekt (RO) einen verschlüsselten Schlüssel (EK) und Attribute auf, welche Rechte zur Nutzung der durch den Schlüssel (K) verschlüsselten Daten angeben.at an embodiment the method according to the invention the rights object (RO) has an encrypted key (EK) and attributes on which rights to use the key (K) encrypted Specify data.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das Endgerät durch ein mobiles Endgerät gebildet.at an embodiment the method according to the invention becomes the terminal through a mobile device educated.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das Netz durch ein WiMax-Netz gebildet.at an embodiment the method according to the invention the network is formed by a WiMax network.

Die Erfindung schafft ferner einen Server zum Bereitstellen eines verschlüsselten Schlüssels (EK) für ein Endgerät zur Entschlüsselung eines verschlüsselten Dateninhalts, wobei das Endgerät (1) bei dessen Authentisierung zum Erhalt eines Netzzugangs ein Zertifikat (Z) überträgt, welches einen öffentlichen Schlüssel (Public Key) enthält, wobei der Server nach Empfang einer von dem Endgerät) stammende Anforderungsnachricht (RO-Request) zur Übertragung eines Rechteobjekts (RO), die das Zertifikat (Z) mit dem öffentlichen Schlüssel (Public Key) enthält, zunächst einen Rechteverschlüsselungsschlüssel (REK) generiert mit dem ein Schlüssel (K) zur Erzeugung des verschlüsselten Schlüssels (EK) verschlüsselt wird, und eine Zufallszahl (RN) generiert, aus welcher ein Schlüssel KEK zum Verschlüsseln des Rechteverschlüsselungsschlüssels (REK) abgeleitet wird, wobei der Server anschließend das angeforderte Rechteobjekt (RO), welches der verschlüsselte Schlüssel (EK), die verschlüsselte Zufallszahl (ERN) und den verschlüsselten Rechteverschlüsselungsschlüssel (EREK) enthält, an das Endgerät überträgt.The invention further provides a server for providing an encrypted key (EK) for a terminal for decrypting an encrypted data content, wherein the terminal ( 1 ) in whose authentication to obtain a network access a certificate (Z) transmits, which contains a public key (public key), wherein the server after receiving a from the terminal) originating request message (RO-Request) for transmitting a rights object (RO), containing the certificate (Z) with the public key (public key), first generates a rights encryption key (REK) with which a key (K) is encrypted to generate the encrypted key (EK), and generates a random number (RN) which derives a key KEK for encrypting the rights encryption key (REK), the server then the requested rights object (RO), which contains the encrypted key (EK), the encrypted random number (ERN) and the encrypted rights encryption key (EREK) to the Terminal transmits.

Die Erfindung schafft ferner ein digitales Rechtemanagement-System für ein Netz bei dem mittels eines öffentlichen Schlüssels (Public Key), der aus einem bei der Authentisierung eines Endgeräts übertragenen Zertifikat (Z) entnommen wird, ein Schlüssel (K) verschlüsselt wird und in verschlüsselter Form (EK) dem Endgerät bereitgestellt wird.The invention further provides a digital rights management system for a network in which by means of a public key (public key) which is taken from a certificate (Z) transmitted during the authentication of a terminal, a key (K) is encrypted and provided in encrypted form (EK) to the terminal.

Im weiteren werden bevorzugte Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems unter Bezugnahme auf die beigefügten Figuren zu Erläuterung der Merkmale beschrieben.in the others are preferred embodiments the process of the invention and of the system according to the invention with reference to the attached Figures explaining the Features described.

Es zeigenIt demonstrate

1 ein mobiles Funknetz nach dem Stand der Technik; 1 a mobile radio network according to the prior art;

2 ein Signaldiagramm zur Erläuterung des erfindungsgemäßen Verfahrens; 2 a signal diagram for explaining the method according to the invention;

3 ein weiteres Signaldiagramm zur Erläuterung des erfindungsgemäßen Verfahrens; 3 another signal diagram for explaining the method according to the invention;

4 ein erstes Ablaufdiagramm zur Darstellung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens; 4 a first flow chart illustrating a possible embodiment of the method according to the invention;

5 ein weiteres Ablaufdiagramm zur Darstellung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens. 5 a further flow diagram for illustrating a possible embodiment of the method according to the invention.

Wie man aus 2 erkennen kann, überträgt bei dem erfindungsgemäßen Verfahren ein Endgerät 1, beispielsweise ein mobiles Endgerät, zunächst eine Anforderungsnachricht (RO-Request) zur Übertragung eines Rechteobjekts (RO) an einen Rechteherausgeberserver 2. Diese Anforderungsnachricht (RO-Request) enthält ein Gerätezertifikat Z, in dem ein öffentlicher Schlüssel (Public Key) enthalten ist. Der Rechteherausgeberserver bzw. Right-Issuer 2 sendet dann eine Überprüfungsanforderungsnachricht an einen PKI-Server 3, um die Gültigkeit des empfangenen Zertifikats Z zu überprüfen. Der zentrale PKI-Server 3 überprüft anhand einer bei ihm gespeicherten Rückrufliste (Revocation List), ob das Zertifikat Z des anfordernden Endgerätes 1 gültig ist oder nicht und teilt dies dem Rechteherausgeberserver 2 in einer Überprüfungsantwortnachricht mit. Ist das Zertifikat Z des Endgeräts 1 gültig, überträgt der Rechteherausgeberserver das angeforderte Rechteobjekt RO an das Endgerät 1. Das übertragene Rechteobjekt RO enthält dabei einen verschlüsselten Schlüssel EK zur Entschlüsselung verschlüsselter Daten, wie beispielsweise verschlüsselter Dateninhalte oder verschlüsselter Schlüssel.How to get out 2 recognize, transmits in the inventive method, a terminal 1 For example, a mobile terminal, first a request message (RO request) for transmitting a rights object (RO) to a rights issuing server 2 , This request message (RO request) contains a device certificate Z in which a public key is contained. The rights publisher server or right issuer 2 then sends a verification request message to a PKI server 3 to check the validity of the received certificate Z. The central PKI server 3 checks on the basis of a recall list stored with him (Revocation List), whether the certificate Z of the requesting terminal 1 is valid or not and informs the rights publishing server 2 in a verification response message with. Is the certificate Z of the terminal 1 valid, the rights issuing server transmits the requested rights object RO to the terminal 1 , The transmitted rights object RO contains an encrypted key EK for decrypting encrypted data, such as encrypted data content or encrypted key.

3 zeigt das Zusammenwirken der verschiedenen Rechner des erfindungsgemäßen DRM-System. Das mobile Endgerät 1 führt eine Authentisierung über ein Zugangsnetz ASN bei einem Authentisierungsserver 4 durch. Bei der Authentisierung des Endgeräts wird das Zertifikat Z des Endgeräts 1 an den Authentisierungsserver 4 übertragen. Bei dem Authentisierungsserver 4 handelt es sich beispielsweise um einen AAA-Server. Der Authentisierungsserver 4 leitet das empfangene Zertifikat Z vorzugsweise an den zentralen PKI-Server 3 weiter. 3 shows the interaction of the various computers of the DRM system according to the invention. The mobile device 1 performs authentication via an access network ASN at an authentication server 4 by. In the authentication of the terminal becomes the certificate Z of the terminal 1 to the authentication server 4 transfer. At the authentication server 4 For example, it is an AAA server. The authentication server 4 preferably forwards the received certificate Z to the central PKI server 3 further.

Erhält das Endgerät 1 durch Auslesen eines Speichermediums oder durch Herunterladen einen verschlüsselten Dateninhalt (Encrypted Content) beispielsweise nach entsprechender Anforderung bei einem Dateninhaltsanbieterserver 5 benötigt das Endgerät 1 zur Entschlüsselung des Dateninhalts einen entsprechenden Schlüssel K (Key). Das Endgerät 1 kann den verschlüsselten Dateninhalt über ein Speichermedium, beispielsweise CD, DVD, USB-Stick oder über das Internet von einem Dateninhaltsanbieterserver 5 erhalten oder über ein Nahbereichnetz von einer beliebigen Datenbank, beispielsweise über Ethernet, WLAN oder Bluetooth. Das Endgerät 1 kann den verschlüsselten Dateninhalt über alle möglichen Medien erhalten, insbesondere über feste Speichermedien, über Kabel, WLAN, Bluetooth, durch einen Downloaddienst oder durch einen Broadcoastdienst. Um den verschlüsselten Dateninhalt bzw. verschlüsselte Daten zu entschlüsseln, sendet das Endgerät 1 eine Anforderungsnachricht (RO-Request) zur Übertragung eines Rechteobjekts (RO) an den Rechteherausgeberserver 2. In der Anforderungsnachricht (RO-Request) wird zusätzlich das Zertifikat Z des Endgeräts 1 angegeben. Das Zertifikat Z enthält unter anderem einen öffentlichen Schlüssel (Public Key), eine Geräteidentifizierung zur Identifizierung des Endgerätes 1 und eine Signatur des Geräteherstellers des Endgerätes 1. Sobald der Rechteherausgeberserver 2 die Anforderungsnachricht zur Übertragung eines Rechteobjekts (RO) erhält, überprüft er die Gültigkeit des Zertifikats Z durch Übertragen-einer Überprüfungsanforderungsnachricht an den zentralen PKI-Server 3, welcher die Gültigkeit des Zertifikats Z bestätigt oder nicht. Sendet der PKI-Server 3 eine Überprüfungsantwortnachricht 3 an den Rechteherausgeberserver 2, welche anzeigt, dass das Zertifikat Z des anfordernden Endgeräts 1 gültig ist, sendet der Rechteherausgeberserver 2 das angeforderte Rechteobjekt RO an das Endgerät 1.Receives the terminal 1 by reading a storage medium or by downloading an encrypted data content (encrypted content), for example, according to a request to a data content provider server 5 requires the terminal 1 for decrypting the data content a corresponding key K (key). The terminal 1 can encrypt the encrypted data content via a storage medium, such as a CD, DVD, USB stick or over the Internet from a data content provider server 5 or over a local area network from any database, for example via Ethernet, WLAN or Bluetooth. The terminal 1 The encrypted data content can be obtained via all possible media, in particular via fixed storage media, via cable, WLAN, Bluetooth, through a download service or through a broadcast service. To decrypt the encrypted data content or encrypted data, sends the terminal 1 a request message (RO request) for transmitting a rights object (RO) to the rights issuing server 2 , In the request message (RO request) is additionally the certificate Z of the terminal 1 specified. The certificate Z contains inter alia a public key (public key), a device identification for identifying the terminal 1 and a signature of the device manufacturer of the terminal 1 , Once the rights publisher server 2 Receives the request message for transmission of a rights object (RO), it checks the validity of the certificate Z by transmitting a verification request message to the central PKI server 3 which confirms the validity of the certificate Z or not. Sends the PKI server 3 a verification response message 3 to the rights publisher server 2 which indicates that the certificate Z of the requesting terminal 1 is valid, the rights publisher server sends 2 the requested rights object RO to the terminal 1 ,

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahren sendet ein Schlüsselgenerator 6 bei Erhalt einer Schlüsselanforderungsnachricht (Key Request), die eine Dateninhaltsidentifizierung (Content Identifier) beinhaltet, eine Antwortnachricht an den Dateninhaltsanbieterserver 5 zurück, welche den Schlüssel K für den in Frage kommenden Dateninhalt beinhaltet.In one possible embodiment of the method according to the invention, a key generator sends 6 on receipt of a key request message containing a content content identifier, a response message to the data content provider server 5 which includes the key K for the candidate data content.

Sobald der PKI-Server 3 den Rechteherausgeberserver 2 darüber benachrichtigt, das Zertifikat Z des anfragenden Endgeräts 1 gültig ist, sendet der Rechteherausgeberserver 2 eine Schlüsselanforderungsnachricht (Key Request), welche die Dateninhaltsidentifizierung (Content Identifier) umfasst, an den Schlüsselgenerator 6. Der Schlüsselgenerator 6 übersendet an den Rechteherausgeberserver 2 in einer Anforderungsnachricht (Key Response) den angeforderten Schlüssel K.Once the PKI server 3 the rights publisher server 2 notified the certificate Z the requesting terminal 1 is valid, the rights publisher server sends 2 a key request message, comprising the data content identifier (Content Identifier), to the key generator 6 , The key generator 6 Sent to the rights publisher server 2 in a request message (Key Response) the requested key K.

Bei dem erfindungsgemäßen Verfahren übernimmt der öffentliche Schlüssel (Public Key) zwei Funktionen, nämlich einerseits die Authentisierung des Endgeräts für den Netzwerkzugang, um Daten verschlüsselt an das Endgerät zu senden, und ferner die Funktion, eine generierte Zufallszahl RN verschlüsselt an das Endgerät zu übertragen zum DRM-Schutz von Daten.at takes over the process of the invention the public key (Public Key) two functions, namely on the one hand the authentication of the terminal for the network access to data encoded to the terminal and the function, a generated random number RN encrypted to the terminal transferred to for DRM protection of data.

4 zeigt ein Ablaufdiagramm zur Darstellung der in dem Rechteherausgeberserver 2 durchgeführten Verfahrensschritte. 4 Figure 5 is a flow chart illustrating the rights issuing server 2 performed process steps.

Nach einem Startschritt SO überwacht der Rechteherausgeberserver 2 ob er eine Rechteanforderungsnachricht (RO-Request) von einem Endgerät 1 empfängt. Hat der Rechteherausgeberserver 2 eine Rechteanforderungsnachricht (RO-Request) von dem Endgerät 1 erhalten, wird im Schritt S3 durch eine entsprechende Anfrage bei dem PKI-Server 3 überprüft, ob das Zertifikat Z des Endgeräts 1 gültig ist oder nicht.After a start step SO, the rights issuing server monitors 2 whether he has a request for rights (RO request) from a terminal 1 receives. Has the rights publisher server 2 a rights request message (RO request) from the terminal 1 is received in step S3 by a corresponding request to the PKI server 3 Checks if the certificate Z of the terminal 1 is valid or not.

Ist das Zertifikat Z des anfordernden Endgeräts gültig, wird im Schritt S3 zunächst eine Zufallszahl RN (Random Number) durch den Rechteherausgeberserver 2 generiert und ferner ein Rechteverschlüsselungsschlüssel REK (Right Encryption Key) durch den Server 2 generiert.If the certificate Z of the requesting terminal is valid, in step S3 first a random number RN (Random Number) by the rights issuing server 2 and also a rights encryption key REK (Right Encryption Key) by the server 2 generated.

Anschließend nimmt der Rechteherausgeberserver 2 die im Schritt S4 angegebenen Berechnungsschritte vor. Hierzu wird bei einer bevorzugten Ausführungsform mit Hilfe einer Hash-Funktion H aus der generierten Zufallszahl RN ein Schlüssel zum Verschlüsseln eines Schlüssels KEK (Key Encryption Key) abgeleitet: KEK = H (RN) Then the rights publisher server takes 2 the calculation steps specified in step S4. For this purpose, a key for encrypting a key KEK (Key Encryption Key) is derived in a preferred embodiment with the aid of a hash function H from the generated random number RN: KEK = H (RN)

Anschließend verschlüsselt der Rechteherausgeberserver 2 die Zufallszahl RN mit Hilfe des von dem Zertifikat Z übertragenen öffentlichen Schlüssels (Public Key), um eine verschlüsselte Zufallszahl ERN (Encrypted Random Number) zu erhalten: ERN = Encrypt [Public Key] (RN) Then the rights publisher server encrypts 2 the random number RN using the public key transmitted by the certificate Z to obtain an encrypted random number ERN (Encrypted Random Number): ERN = Encrypt [Public Key] (RN)

Mit Hilfe des abgeleiteten Schlüssels KEK zum Verschlüsseln eines Schlüssels wird dann der generierte Rechteverschlüsselungsschlüssel REK seinerseits verschlüsselt, um einen verschlüsselten Rechteverschlüsselungsschlüssel EREK (Encrypted Right Encryption Key) zu erhalten: EREK = Encrypt [KEK] (REK) With the help of the derived key KEK for encrypting a key, the generated rights encryption key REK is in turn encrypted to obtain an encrypted right encryption key EREK (Encrypted Right Encryption Key): EREK = Encrypt [KEK] (REK)

Schließlich wird mit Hilfe des generierten Rechteverschlüsselungsschlüssels EREK ein Schlüssel K verschlüsselt, um einen verschlüsselten Schlüssel EK (Encrypted Key) zu erhalten. EK = Encrypt [REK] (K) Finally, using the generated rights encryption key EREK, a key K is encrypted to obtain an encrypted key EK (Encrypted Key). EK = Encrypt [REK] (K)

Der Schlüssel K wird durch einen Dateninhaltsverschlüsselungsschlüssel CEK zum Verschlüsseln von Dateninhalten oder durch einen Diensteverschlüsselungsschlüssel SEK (Service Encryption Key) oder durch einen Programmverschlüsselungsschlüssel PEK (Program Encryption Key) gebildet.Of the key K is encrypted by a data content encryption key CEK to encrypt data content or by a service encryption key SEK (Service Encryption Key) or by a program encryption key PEK (Program Encryption Key).

Nach der Berechnung der verschlüsselten Daten im Schritt S4 wird anschließend durch den Rechteherausgeber 2 im Schritt S5 das von dem Endgerät 1 angeforderte Rechteobjekt RO übertragen, welches den verschlüsselten Schlüssel EK, den verschlüsselten Rechteverschlüsselungsschlüssel EREK und die verschlüsselte Zufallszahl ERN enthält.After the calculation of the encrypted data in step S4 is subsequently by the rights editor 2 in step S5 that of the terminal 1 requested rights object RO containing the encrypted key EK, the encrypted rights encryption key EREK and the encrypted random number ERN.

Der Vorgang endet im Schritt S6.Of the Operation ends in step S6.

Nach der Übertragung des Rechteobjekts RO stehen dem Endgerät 1 neben dem verschlüsselten Dateninhalt (Encrypted Content) zusätzlich der verschlüsselte Schlüssel EK, der verschlüsselten Rechteverschlüsselungsschlüssel EREK und die verschlüsselte Zufallszahl RN zur Verfügung.After the transfer of the rights object RO are the terminal 1 in addition to the encrypted data content (encrypted content) additionally the encrypted key EK, the encrypted rights encryption key EREK and the encrypted random number RN available.

5 zeigt den Ablauf innerhalb des Endgeräts 1. 5 shows the process within the terminal 1 ,

Nach dem Startschritt S0, d. h. nach dem Versenden der Rechteobjektanforderungsnachricht überwacht das Endgerät 1, in Schritt S1 ob es das angeforderte Rechteobjekt RO von dem Rechteherausgeberserver 2 erhalten hat oder nicht. Nach Erhalt des Rechteobjekts RO führt das Endgerät 1 die im Schritt S2 durchgeführten Berechnungsschritte durch. Zunächst wird mit Hilfe eines privaten Schlüssels (Private Key) die verschlüsselte Zufallszahl ERN entschlüsselt: RN = Decrypt [Private Key] (ERN) After the start step S0, ie after the transmission of the rights object request message, the terminal monitors 1 in step S1 whether it is the requested rights object RO from the rights issuing server 2 received or not. After receiving the rights object RO, the terminal is running 1 the calculation steps carried out in step S2. First, the encrypted random number ERN is decrypted using a private key: RN = Decrypt [Private Key] (ERN)

Mit Hilfe der Hash-Funktion H wird aus der ermittelten Zufallszahl RN der Schlüssel zum Verschlüsseln eines Schlüssels KEK (Key Encryption Key) abgeleitet: KEK = H (RN) With the help of the hash function H, the key for encrypting a key KEK (Key Encryption Key) is derived from the determined random number RN: KEK = H (RN)

In einem weiteren Schritt wird mit Hilfe des berechneten Schlüssels KEK der empfangene verschlüsselte Rechteverschlüsselungsschlüssel EREK entschlüsselt: REK = Decrypt [KEK] (EREK) In a further step, the received encrypted rights encryption key EREK is decrypted with the aid of the calculated key KEK: REK = Decrypt [KEK] (EREK)

Nach Erhalt des Rechteverschlüsselungsschlüssels REK wird mit dessen Hilfe der übertragene verschlüsselte Schlüssel EK seinerseits entschlüsselt: K = Decrypt [REK] (EK) After receiving the rights encryption key REK, the transmitted encrypted key EK is in turn decrypted with its help: K = Decrypt [REK] (EK)

Nach Erhalt des Schlüssels K kann nunmehr das Endgerät 1 den verschlüsselten Dateninhalt EC (Encrypted Content) entschlüsseln. Content = [K] (Encrypted Content) After receiving the key K can now the terminal 1 decrypt the encrypted data content EC (Encrypted Content). Content = [K] (Encrypted Content)

Der Vorgang endet mit dem Schritt S3.Of the The process ends with the step S3.

Bei dem erfindungsgemäßen Verfahren können beliebige Dateninhalte DRM-geschützt werden, beispielsweise unbewegte Bilder, Video, Audiodaten oder Nachrichten.at the method according to the invention can any data content DRM protected be, for example, still images, video, audio or News.

Bei dem Endgerät 1 handelt es sich um ein beliebiges Endgerät, beispielsweise um ein mobiles oder festes Endgerät. Mit Hilfe des digitalen Rechtemanagements DRM können die Dateninhalte vor unbefugtem Zugang durch Dritte geschützt und deren Nutzung durch so genannte Rechte festgelegt werden. Derartige Rechte können beispielsweise in Nutzungsrechten bestehen. Beispielsweise kann ein Endgerät bzw. ein Nutzer dazu berechtigt werden, bestimmte Audiodateien N-mal anzuhören. Nur Endgeräte, die über einen entsprechenden kryptographischen Schlüssel K verfügen, können die verschlüsselten Dateninhalte bzw. verschlüsselten Daten entschlüsseln. Hierzu wird dem Endgerät 1 durch den Rechteherausgeberserver 2 das zugehörige Rechteobjekt RO übertragen, in dem der betreffende kryptographische Schlüssel K enthalten ist, zusammen mit einer Identifikation des zugehörigen Dateninhalts und einer Spezifikation der Nutzungsrechte. In dem erfindungsgemäßen Verfahren wird dieser kryptographische Schlüssel K nicht unverschlüsselt zu dem Endgerät 1 übertragen sondern verschlüsselt, da sonst der Schlüssel K abgehört und von Geräten verwendet werden kann, die kein entsprechendes Rechteobjekt RO besitzen. Der kryptographische Schlüssel K wird daher seinerseits verschlüsselt zu dem Endgerät 1 übertragen. Das Endgerät 1 ist mit dem Zertifikat Z ausgestattet, das die Geräteidentität überprüfbar an einen öffentlichen Verschlüsselungsschlüssel (Public Key) bindet. Den zugehörigen privaten Entschlüsselungsschlüssel (Private Key) kennt nur das Endgerät 1. Ist der Benutzer des Endgeräts 1 in Besitz eines Rechteobjekts RO und somit in Besitz des Schlüssels K gekommen, mit dessen Hilfe ein bestimmter Dateninhalt verschlüsselt ist, versendet er eine entsprechende Anforderung zusammen mit dem Gerätezertifikat Z zu dem Rechteherausgeberserver 2. Der Rechteherausgeberserver 2 überprüft unter Zuhilfenahme der PKI-Infrastruktur die Gültigkeit des Zertifikats Z. Im Erfolgsfall generiert der Rechteherausgeberserver 2 das Rechteobjekt RO, das den Schlüssel K in verschlüsselter Form enthält.At the terminal 1 it is any terminal, for example a mobile or fixed terminal. With the help of digital rights management DRM, the data content can be protected against unauthorized access by third parties and their use can be determined by so-called rights. Such rights may, for example, consist of rights of use. For example, a terminal or a user may be authorized to listen to certain audio files N times. Only terminals that have a corresponding cryptographic key K can decrypt the encrypted data content or encrypted data. This is the terminal 1 through the rights publisher server 2 transmit the associated rights object RO in which the cryptographic key K in question is contained, together with an identification of the associated data content and a specification of the usage rights. In the method according to the invention, this cryptographic key K is not encrypted to the terminal 1 but encrypted, otherwise the key K can be intercepted and used by devices that have no corresponding rights object RO. The cryptographic key K is therefore in turn encrypted to the terminal 1 transfer. The terminal 1 is equipped with the Z certificate, which verifiably binds the device identity to a public encryption key (public key). The associated private decryption key (private key) knows only the terminal 1 , Is the user of the terminal 1 in possession of a rights object RO and thus come into possession of the key K, with the help of which a certain data content is encrypted, he sends a corresponding request together with the device certificate Z to the rights publishing server 2 , The rights publisher server 2 checks the validity of certificate Z with the help of the PKI infrastructure. If successful, the rights publisher server generates 2 the rights object RO, which contains the key K in encrypted form.

Das erfindungsgemäße Verfahren ist für beliebige Netze einsetzbar, insbesondere für Mobilfunknetze wie WiMax-Netze (WiMax: World Wide Interoperability for Mircrowave Access).The inventive method is for any networks can be used, especially for mobile networks such as WiMax networks (WiMax: World Wide Interoperability for Mircrowave Access).

Claims (22)

Verfahren zum Bereitstellen eines verschlüsselten Schlüssels EK (EK: Encrypted Key) für ein Endgerät (1) zur Entschlüsselung verschlüsselter Daten, wobei das Endgerät (1) bei dessen Authentisierung zum Erhalt eines Netzzugangs ein Zertifikat (Z) überträgt, welches einen öffentlichen Schlüssel (Public Key) enthält, wobei ein Rechteherausgeber-Server (2) nach Empfang einer von dem Endgerät (1) stammenden Anforderungsnachricht (RO-Request) zur Übertragung eines Rechteobjekts (RO), die das Zertifikat (Z) mit dem öffentlichen Schlüssel (Public Key) enthält, zunächst eine generierte Zufallszahl RN (Random Number) durch den öffentlichen Schlüssel (Public Key) verschlüsselt und ferner aus der generierten Zufallszahl (RN) einen Schlüssel KEK (Key Encryption Key) zum Verschlüsseln eines Rechteverschlüsselungsschlüssels REK (REK: Right Encryption Key) ableitet, durch den ein Schlüssel K (Key) zur Erzeugung des verschlüsselten Schlüssels (EK) verschlüsselt wird, und anschließend das angeforderte Rechteobjekt (RO), welches den verschlüsselten Schlüssel (EK), die verschlüsselte Zufallszahl ERN (ERN: Encrypted Random Number) und den verschlüsselten Rechteverschlüsselungsschlüssel EREK (EREK: Encrypted Right Encryption Key) enthält, an das Endgerät (1) überträgt.Method for providing an encrypted key EK (encrypted key) for a terminal ( 1 ) for decrypting encrypted data, wherein the terminal ( 1 ) at the time of its authentication to obtain a network access transmits a certificate (Z) containing a public key, wherein a rights issuing server ( 2 ) after receiving one of the terminal ( 1 ) originating request message (RO request) for transmitting a rights object (RO) containing the certificate (Z) with the public key (public key), first encrypted a generated random number RN (Random Number) by the public key (public key) and further derived from the generated random number (RN) a key KEK (Key Encryption Key) for encrypting a rights encryption key REK (RK: Right Encryption Key), by means of which a key K (key) is encrypted to generate the encrypted key (EK), and then the requested rights object (RO), which contains the encrypted key (EK), the encrypted random number ERN (ERN: Encrypted Random Number) and the encrypted right encryption key EREK (EREK: Encrypted Right Encryption Key), to the terminal (FIG. 1 ) transmits. Verfahren zum Bereitstellen eines verschlüsselten Schlüssels (EK) für ein Endgerät (1) zur Entschlüsselung verschlüsselter Daten, wobei das Endgerät (1) das Zertifikat (Z) bei dessen Authentisierung zum Erhalt eines Netzzuganges an einen Authentisierungsserver (4) eines Netzes überträgt.Method for providing an encrypted key (EK) for a terminal ( 1 ) for decrypting encrypted data, wherein the terminal ( 1 ) the certificate (Z) during its authentication to obtain a network access to an authentication server ( 4 ) of a network transmits. Verfahren nach Anspruch 2, wobei der Authentisierungsserver (4) das empfangene Zertifikat (Z) an einen zentralen PKI-Server (3) weiterleitet.Method according to claim 2, wherein the authentication server ( 4 ) the received certificate (Z) to a central PKI server ( 3 ). Verfahren nach Anspruch 3, wobei der Rechteherausgeber-Server (2) nach Empfang des von dem Endgerät (EG) stammenden Anforderungsnachricht (RO-Request), die das Zertifikat (Z) enthält, zum Übertragen eines Rechteobjektes (RO) für einen bestimmten Dateninhalt eine Überprüfungsanforderungsnachricht an den zentralen PKI-Server (3) sendet, um die Gültigkeit des empfangenen Zertifikats (Z) zu überprüfen.The method of claim 3, wherein the rights publisher server ( 2 ) upon receipt of the request message from the terminal (EG) (RO request), which contains the certificate (Z), for transmitting a rights object (RO) for a specific data content, a check request message to the central PKI server ( 3 ) to check the validity of the received certificate (Z). Verfahren nach Anspruch 4, wobei der PKI-Server (3) dem Rechteherausgeber-Server (2) eine Überprüfungsantwortnachricht sendet, welche anzeigt, ob das Zertifikat (Z) des anfordernden Endgeräts (1) gültig ist.The method of claim 4, wherein the PKI server ( 3 ) the rights publisher server ( 2 ) sends a verification reply message indicating whether the certificate (Z) of the requesting terminal ( 1 ) is valid. Verfahren nach Anspruch 5, wobei der Rechteherausgeber-Server (2) bei einem gültigen Zertifikat (Z) an das Endgerät (EG) das angeforderte Rechteobjekt (RO) überträgt.The method of claim 5, wherein the rights issuing server ( 2 ) transmits the requested rights object (RO) to the terminal (EG) in the case of a valid certificate (Z). Verfahren nach Anspruch 6, wobei das Endgerät (1) nach Empfang des Rechteobjekts (RO) Daten, die mit dem öffentlichen Schlüssel (Public Key) verschlüsselt sind, mittels eines privaten Schlüssels (Private Key) entschlüsselt.Method according to claim 6, wherein the terminal ( 1 ) after receipt of the rights object (RO), data encrypted with the public key is decrypted by means of a private key. Verfahren nach Anspruch 7, wobei der Schlüssel (K) durch einen Dateninhaltsverschlüsselungsschlüssel (CEK: Content Encryption Key) zum Verschlüsseln von Dateninhalten, durch einen Dienstverschlüsselungsschlüssel (SEK: Service Encryption Key) oder durch einen Programmverschlüsselungsschlüssel (PEK: Program Encryption Key) gebildet wird.Method according to claim 7, wherein the key (K) by a data content encryption key (CEK: Content Encryption Key) for encrypting data content a service encryption key (SEK: Service Encryption Key) or by a program encryption key (PEK: Program Encryption Key) is formed. Verfahren nach Anspruch 7, wobei das Endgerät (1) mittels der Daten, die es mittels des privaten Schlüssels (Private Key) entschlüsselt hat, verschlüsselte Dateninhalte oder verschlüsselte Schlüssel entschlüsselt. Method according to claim 7, wherein the terminal ( 1 ) decrypts encrypted data contents or encrypted keys by means of the data it has decrypted by means of the private key. Verfahren nach Anspruch 9, wobei das Endgerät (1) den verschlüsselten Dateninhalt über ein Netz herunterlädt oder von einem Speichermedium ausliest.Method according to claim 9, wherein the terminal ( 1 ) downloads the encrypted data content over a network or reads from a storage medium. Verfahren nach Anspruch 10, der Dateninhalt DRM-geschützt ist.The method of claim 10, wherein the data content is DRM protected. Verfahren nach Anspruch 11, wobei der DRM geschützte Dateninhalt eine Dateninhaltsidentifizierung zur Identifizierung des Dateninhalts aufweist und eine Adresse des Rechteherausgeber-Servers im Dateninhalt angegeben ist oder dem Endgerät (1) signalisiert wird.The method of claim 11, wherein the DRM protected data content comprises a data content identification for identifying the data content and an address of the rights issuing server is specified in the data content or the terminal ( 1 ) is signaled. Verfahren nach Anspruch 12, wobei das Endgerät (1) eine Anforderungsnachricht zum Übertragen eines Rechteobjekts (RO) an den Rechteherausgeber-Server (2) sendet, der im Dateninhalt angegeben ist oder dem Endgerät (1) signalisiert wird.The method of claim 12, wherein the terminal ( 1 ) a request message for transmitting a rights object (RO) to the rights issuing server ( 2 ) specified in the data content or the terminal ( 1 ) is signaled. Verfahren nach Anspruch 13, wobei der Rechteherausgeber-Server (2) nach Empfang einer Anforderungsnachricht zum Übertragen eines Rechteobjektes (RO) mit gültigem Zertifikat (Z) für einen bestimmten Dateninhalt den Schlüssel (K) von einem Server lädt, der Dateninhalte oder Schlüssel zur Dateninhaltsverschlüsselung verschlüsselt.The method of claim 13, wherein the rights publisher server ( 2 ) after receiving a request message for transmitting a rights object (RO) with a valid certificate (Z) for a particular data content, loads the key (K) from a server that encrypts data contents or keys for data content encryption. Verfahren nach Anspruch 1, wobei das Zertifikat (Z) den öffentlichen Schlüssel (public key), eine Geräteidentifizierung zur Identifizierung eines Endgerätes (1) und eine Signatur des Geräteherstellers des Endgeräts (1) aufweist.The method of claim 1, wherein the certificate (Z) is the public key, a device identifier for identifying a terminal ( 1 ) and a signature of the device manufacturer of the terminal ( 1 ) having. Verfahren nach Anspruch 1, wobei das Rechteobjekt (RO) einen verschlüsselten Schlüssel (EK) und Attribute aufweist, welche Rechte zur Nutzung der durch den Schlüssel (K) verschlüsselten Daten angeben.The method of claim 1, wherein the rights object (RO) an encrypted key (EK) and attributes, which rights to use by the key (K) encrypted Specify data. Verfahren nach Anspruch 1, wobei das Endgerät (1) ein mobiles Endgerät ist.Method according to claim 1, wherein the terminal ( 1 ) is a mobile terminal. Verfahren nach Anspruch 2, wobei das Netz ein IEEE 802.16- oder WiMax-Netz ist.The method of claim 2, wherein the network is an IEEE 802.16 or WiMax network. Server zum Bereitstellen eines verschlüsselten Schlüssels (EK) für ein Endgerät (1) zur Entschlüsselung verschlüsselter Daten, wobei das Endgerät (1) bei dessen Authentisierung zum Erhalt eines Netzzugangs ein Zertifikat (Z) überträgt, welches einen öffentlichen Schlüssel (Public Key) enthält, wobei der Server (2) nach Empfang einer von dem Endgerät (1) stammende Anforderungsnachricht (RO-Request) zur Übertragung eines Rechteobjekts (RO), die das Zertifikat (Z) mit dem öffentlichen Schlüssel (Public Key) enthält, zunächst einen Rechteverschlüsselungsschlüssel (REK) generiert mit dem ein Schlüssel (K) zur Erzeugung des verschlüsselten Schlüssels (EK) verschlüsselt wird, und eine Zufallszahl (RN) generiert, aus welcher ein Schlüssel KEK zum Verschlüsseln des Rechteverschlüsselungsschlüssels (REK) abgeleitet wird, wobei der Server (2) anschließend das angeforderte Rechteobjekt (RO), welches der verschlüsselte Schlüssel (EK), die verschlüsselte Zufallszahl (ERN) und den verschlüsselten Rechteverschlüsselungsschlüssel (EREK) enthält, an das Endgerät (1) überträgt.Server for providing an encrypted key (EK) for a terminal ( 1 ) for decrypting encrypted data, wherein the terminal ( 1 ) in whose authentication to obtain a network access a certificate (Z) transmits, which contains a public key (Public Key), wherein the server ( 2 ) after receiving one of the terminal ( 1 ) originating request message (RO request) for transmitting a rights object (RO) containing the certificate (Z) with the public key (public key), first a rights encryption key (REK) generated with the one key (K) for generating the encrypted Key (EK) is encrypted, and generates a random number (RN), from which a key KEK for encrypting the rights encryption key (REK) is derived, the server ( 2 ) then the requested rights object (RO) containing the encrypted key (EK), the encrypted random number (ERN) and the encrypted rights encryption key (EREK), to the terminal ( 1 ) transmits. Digitales Rechtemanagement (DRM) -System für ein Netz, bei dem mittels eines öffentlichen Schlüssels (Public Key), der aus einem bei der Authentisierung eines Endgeräts (1) übertragenen Zertifikat (Z) entnommen wird, ein Schlüssel (K) verschlüsselt und in verschlüsselter Form dem Endgerät (1) bereitgestellt wird.Digital rights management (DRM) system for a network, in which by means of a public key, the one used in the authentication of a terminal ( 1 ) is copied, a key (K) encrypted and in encrypted form the terminal ( 1 ) provided. Digitales Rechtemanagement-System nach Anspruch 20, wobei das Netz ein WiMax-Netz ist.Digital rights management system according to claim 20, where the network is a WiMax network. Digitales Rechtemanagement-System nach Anspruch 20, wobei das Endgerät (1) ein mobiles Endgerät ist.Digital rights management system according to claim 20, wherein the terminal ( 1 ) is a mobile terminal.
DE102006036110A 2006-08-02 2006-08-02 Encrypted key providing method for mobile terminal, involves transmitting right object to mobile terminal by right editing server after receiving right object request for transmitting right object, which contains certificate with public key Ceased DE102006036110A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102006036110A DE102006036110A1 (en) 2006-08-02 2006-08-02 Encrypted key providing method for mobile terminal, involves transmitting right object to mobile terminal by right editing server after receiving right object request for transmitting right object, which contains certificate with public key

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006036110A DE102006036110A1 (en) 2006-08-02 2006-08-02 Encrypted key providing method for mobile terminal, involves transmitting right object to mobile terminal by right editing server after receiving right object request for transmitting right object, which contains certificate with public key

Publications (1)

Publication Number Publication Date
DE102006036110A1 true DE102006036110A1 (en) 2008-02-07

Family

ID=38884871

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006036110A Ceased DE102006036110A1 (en) 2006-08-02 2006-08-02 Encrypted key providing method for mobile terminal, involves transmitting right object to mobile terminal by right editing server after receiving right object request for transmitting right object, which contains certificate with public key

Country Status (1)

Country Link
DE (1) DE102006036110A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679299A (en) * 2022-02-24 2022-06-28 广东电网有限责任公司 Communication protocol encryption method, device, computer equipment and storage medium
CN114765546A (en) * 2020-12-30 2022-07-19 海能达通信股份有限公司 End-to-end hard encryption method, system, encryption equipment and key management server

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020166056A1 (en) * 2001-05-04 2002-11-07 Johnson William C. Hopscotch ticketing
US20050102513A1 (en) * 2003-11-10 2005-05-12 Nokia Corporation Enforcing authorized domains with domain membership vouchers

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020166056A1 (en) * 2001-05-04 2002-11-07 Johnson William C. Hopscotch ticketing
US20050102513A1 (en) * 2003-11-10 2005-05-12 Nokia Corporation Enforcing authorized domains with domain membership vouchers

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114765546A (en) * 2020-12-30 2022-07-19 海能达通信股份有限公司 End-to-end hard encryption method, system, encryption equipment and key management server
CN114765546B (en) * 2020-12-30 2023-07-18 海能达通信股份有限公司 End-to-end hard encryption method, system, encryption equipment and key management server
CN114679299A (en) * 2022-02-24 2022-06-28 广东电网有限责任公司 Communication protocol encryption method, device, computer equipment and storage medium
CN114679299B (en) * 2022-02-24 2024-03-15 广东电网有限责任公司 Communication protocol encryption method, device, computer equipment and storage medium

Similar Documents

Publication Publication Date Title
DE602004009354T2 (en) Registering or sub-registering a digital rights management server in a digital rights management architecture
DE602004002140T2 (en) Universal secure data exchange for cryptographic modules
CN102111274B (en) A platform and method for establishing provable identities while maintaining privacy
DE60306648T2 (en) Device and method for secure communication based on smart cards
DE60315914T2 (en) Ad hoc security access to documents and services
CN109547445B (en) Method and system for verifying legality of network request of client
DE112011100182B4 (en) Data security device, computing program, terminal and system for transaction verification
DE60310556T2 (en) Apparatus and method for distributing content access data
DE602004005219T2 (en) METHOD AND DEVICE FOR SECURING CONTENT DELIVERY VIA A COMMUNICATION NETWORK CONTAINING CONTENT KEY
CN101189633B (en) Method and equipment for carrying out authorizing rights issuers in content delivering system
JP2009537090A (en) Method and apparatus for supporting multiple certificate revocation lists for digital rights management
CN111447601A (en) Method and device for realizing automobile Bluetooth key
CN110365486B (en) Certificate application method, device and equipment
EP2332313A2 (en) Method for storing data, computer programme product, id token and computer system
DE112013006375T5 (en) Authentication processing device, authentication processing system, authentication processing method, and authentication processing program
CN109474432B (en) Digital certificate management method and device
WO2018210567A1 (en) Method, computer-readable medium, system and vehicle comprising the system for providing a data record of a vehicle to a third party
CN113285932B (en) Method for acquiring edge service, server and edge device
US8220059B2 (en) Method and apparatus for generating rights object by reauthorization
CN102546528B (en) Stream media playing method and stream media playing equipment
CN111193755B (en) Data access method, data encryption method and data encryption and access system
CN113572795B (en) Vehicle safety communication method, system and vehicle-mounted terminal
DE102008055076A1 (en) Device and method for protecting data, computer program, computer program product
CN101582876A (en) Method, device and system for registering user generated content (UGC)
CN116390090A (en) Equipment authentication method, device, equipment and storage medium

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection