DE102006045352B4 - Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box - Google Patents

Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box Download PDF

Info

Publication number
DE102006045352B4
DE102006045352B4 DE102006045352.2A DE102006045352A DE102006045352B4 DE 102006045352 B4 DE102006045352 B4 DE 102006045352B4 DE 102006045352 A DE102006045352 A DE 102006045352A DE 102006045352 B4 DE102006045352 B4 DE 102006045352B4
Authority
DE
Germany
Prior art keywords
top box
stb
provider
login
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102006045352.2A
Other languages
English (en)
Other versions
DE102006045352A1 (de
Inventor
Marc Blommaert
Dr. Guan Qi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xiaomi Mobile Software Co Ltd
Original Assignee
Nokia Solutions and Networks GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Solutions and Networks GmbH and Co KG filed Critical Nokia Solutions and Networks GmbH and Co KG
Priority to DE102006045352.2A priority Critical patent/DE102006045352B4/de
Priority to US12/440,539 priority patent/US8756624B2/en
Priority to PCT/EP2007/059353 priority patent/WO2008037581A1/de
Priority to KR1020097008652A priority patent/KR101063685B1/ko
Priority to EP07803307A priority patent/EP2084883A1/de
Priority to CN200780035752XA priority patent/CN101518029B/zh
Publication of DE102006045352A1 publication Critical patent/DE102006045352A1/de
Application granted granted Critical
Publication of DE102006045352B4 publication Critical patent/DE102006045352B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • H04N7/17309Transmission or handling of upstream communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/165Centralised control of user terminal ; Registering at central

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Graphics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren für Single-Sign-On bei Nutzung mehrerer Anwendungen, wobei für die Nutzung eine Set-Top-Box (STB) verwendet wird und die Anwendungen von verschiedenen Dienstanbietern (SP1, SP2) zur Verfügung gestellt werden, wobei – von einem Anbieter (IDP) eine Anmelde- und Authentifizierungsfunktion zur Verfügung gestellt wird, wobei zwischen dem Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion und den Dienstanbietern (SP1, SP2) ein Übereinkommen (D, E) getroffen worden ist und die Set-Top-Box (STB) beim Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion registriert ist (A), – nach Einschalten der Set-Top-Box (STB) die Anmelde- und Authentifizierungsfunktion aufgerufen und eine Anmeldung und Authentifizierung durchgeführt wird (1, 2, 3), – dann nach erfolgreicher Authentifizierung der Set-Top-Box (STB) eine Authentifizierungsinformation an die Set-Top-Box (STB) gesendet wird (4), – dann die Set-Top-Box (STB) durch Übersenden der Authentifizierungsinformation bei einem Dienstanbieter (SP1) registriert wird (5), – dann vom Dienstanbieter (SP1) eine Verbindung zum Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion aufgebaut wird, um die Authentifizierungsinformation zu verifizieren und Richtlinien für eine Vergebührung abzufragen (6), – und dann vom Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion eine Bestätigung an den Dienstanbieter (SP1) gesendet wird (7), wobei Nutzerdaten nur dem Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion und Konfigurationsdaten der Set-Top-Box nur dem Dienstanbieter (SP1) bekannt gegeben werden.

Description

  • Technisches Gebiet
  • Die Erfindung betrifft ein Verfahren für Single-Sign-On bei Nutzung mehrere Anwendungen, wobei für die Nutzung der Anwendungen eine Set-Top-Box verwendet wird und die Anwendungen von verschiedenen Dienstanbietern zur Verfügung gestellt werden.
  • Stand der Technik
  • Heutzutage ist es häufig üblich, dass von Nutzern eines Kommunikationsnetzwerkes eine Anmelde- und Authentifizierungsfunktion, welche auch als Login bezeichnet werden kann, durchlaufen werden muss, um beispielsweise auf eine Anwendung eines Dienstanbieters, einen Rechner, ein Kommunikationsnetzes oder ein System, etc. zugreifen zu können. Ein Login ist dabei ein Vorgang für eine Anmeldung eines Nutzers z. B. bei einer Anwendung, auf einem Rechner, einem System oder in einem Kommunikationsnetz, etc., bei welchem vom Nutzer üblicherweise eine Nutzerkennung zur Identifizierung und z. B. ein Passwort oder eine persönliche Identifikationsnummer, ein PIN, etc. eingegeben wird. Von der Anwendung, dem Kommunikationsnetz oder dem System, etc. wird dann eine Überprüfung von Zugriffsberechtigungen – ein so genannte Authentifizierung – durchgeführt.
  • Die Identifizierung bezeichnet dabei einen Prozess, durch welchen eine eindeutige Zuordnung z. B. eines Nutzers, einer Anwendung oder eines Systems zu seiner in der Anwendung, im Kommunikationsnetz oder im System definierten Rolle erfolgt. Entsprechend dieser Rolle und meist nach erfolgter Authentifizierung werden dann beispielsweise so genannte Berechtigungen für die Nutzung von Anwendungen, des Systems, des Kommunikationsnetzes, etc. beispielsweise von einem Dienstanbieter, etc. erteilt. Der Begriff Authentifizierung fasst dabei alle Vorgänge zusammen, durch welche die Authentizität und der Ursprung bei einer Übertragung von Informationen festgestellt und überprüft werden (z. B. durch Passwörter, PIN, etc.).
  • Damit von einem Nutzer die Anmelde- und Authentifizierungsfunktion für den Zugriff auf z. B. eine Anwendung, eine System, ein Kommunikationsnetz, etc. überhaupt verwendet werden kann, muss vom Nutzer oder vom System bzw. Endgerät, über welches die Anwendung, das System, das Kommunikationsnetz, etc. genutzt werden soll, eine so genannte Registrierung durchgeführt werden. Unter Registrierung wird allgemein ein Vorgang verstanden, bei dem Informationen über z. B. den Nutzer und/oder das Endgeräte (z. B. Name, Nutzerkennung, Passwort, Daten für eine eventuelle Vergebührung, etc.) beispielsweise in ein Verzeichnis, eine Datenbank oder ein Register beim Dienstanbieter oder Systembetreiber eingetragen werden. Nach erfolgreicher Registrierung, welche üblicherweise vor der allerersten Nutzung einer Anwendung, eines System, etc. einmalig durchgeführt wird, wird dem Nutzer dann das Login für Anmeldung und Authentifizierung zur Verfügung gestellt.
  • Für einen einfacheren Zugang mit Login versehenen Anwendungen, Systemen, etc. gibt es heute eine Möglichkeit einer Anmeldung und Authentifizierung durch so genanntes Single-Sign-On.
  • Der Begriff Single-Sign-On steht für Einmalanmeldung und bedeutet, dass von einem Nutzer nach nur einmaligem Durchlaufen des Login-Prozesses beispielsweise auf alle Anwendungen, Rechner, Systeme, etc., für welche dieser Nutzer berechtigt ist, zugegriffen werden kann. Für eine Nutzung z. B. einer weiteren Anwendung oder eines anderen Rechners bzw. Systems ist dann kein neuerliches Login (Anmeldung und Authentifizierung) des Nutzers mehr erforderlich.
  • Bei Single-Sign-On wird ein Nutzer nur einmal unter zu Hilfenahme des Login-Prozesses beispielsweise in einem Kommunikationsnetz, einem System oder einem so genannten Portal, von welchem üblicherweise im World Wide Web mehrere Anwendungen zur Verfügung gestellt werden, identifiziert und authentifiziert. Danach wird die Aufgabe der Identifizierung und Authentifizierung von einem Single-Sign-On-Mechanismus übernommen.
  • Eine Single-Sign-On Architektur wird zum Beispiel in der US Patentanmeldung US 2003/0149781 A1 beschrieben. Gemäß dieser speichert ein Identity Provider einen Teil der persönlichen Nutzerinformationen, und ein Service Provider hat Zugriff auf die Nutzerinformationen eines oder mehrerer Identity Provider, wodurch die Authentifizierung erleichtert und der Nutzerkomfort verbessert werden.
  • Das Standardisierungsdokument „Security Assertion Markup Language (SAML) V2.0 Technical Overview, Working Draft 08, 12 September 2005, OASIS OPEN, 2005” gibt einen technischen Überblick über den Security Assertion Markup Language (SAML) Standard. Dieser definiert, wie Security Informationen zwischen Online Geschäftspartnern ausgetauscht werden.
  • Aus der Druckschrift US 2005/0049886 A1 ist ein System und Verfahren zur Verwaltung von Digitalen Rechten und Inhalten bekannt, wobei ein Single-Sign-On Server eine bündelweise Authentifizierungsfunktion bereitstellt, wodurch es einem Nutzer ermöglicht ist, eine Verbindung zu einer Vielzahl von Dienstanbietern aufzubauen, ohne eine Vielzahl von Authentifizierungsprozessen zu durchlaufen.
  • Übliche Lösungsansätze für Single-Sign-On-Mechanismen sind beispielsweise:
    • – so Portallösungen, welche genannte z. B. im World Wide Web zur Nutzung von mehreren Anwendungen angeboten werden. Dabei kann sich der Nutzer in einem so genannten Portal erstmals einloggen und wird dort authentifiziert sowie für die Nutzung von Anwendungen autorisiert.
    • – so genannte Ticketing-Systeme, bei diesen verfügen mehrere Anwendungen über eine gemeinsame Authentifizierungsinformation für einen Nutzer. Diese Information wird dann beispielsweise zwischen den Anwendungen ausgetauscht bzw. auf den eingeloggten Nutzer in Form eines virtuellen Tickets übertragen.
    • – oder lokale Lösungen, bei denen z. B. vom Benutzer lokal auf seinem Arbeitsplatz bzw. Rechner eine (Client-)-Software installiert wird, von welcher z. B. in einer erscheinenden Loginmaske automatisch nur die Nutzerkennung oder Nutzerkennung und Passwort eingetragen werden. Diese Daten können beispielsweise in einer verschlüsselten Datei lokal auf der Arbeitsstation, dem Rechner bzw. dem Endgerät des Nutzers, auf einer so genannten Chipkarte oder auf einem so genannten Single-Sign-On-Server abgespeichert sein.
  • Als Set-Top-Box wird im Bereich der Unterhaltungselektronik ein Gerät bezeichnet, welches an ein anderes Endgerät – meist einen Fernseher oder einen Bildschirm – angeschlossen wird, um einem Nutzer zusätzliche Nutzungsmöglichkeiten des Endgerätes zu bieten. Die wichtigsten von einer Set-Top-Box bereitgestellten Fähigkeiten sind beispielsweise ein Abspielen von Medien (z. B. VHS, DVD, etc.), welche wie z. B. bei Spielen interaktiv sein können, ein Aufzeichnen von empfangenen Daten und der Programmempfang über alternative Übertragungswege (z. B. Satellit, Breitbandkabel oder Internet) und alternative Übertragungsverfahren (digital, verschlüsselt, etc.). Mit Hilfe der Set-Top-Box werden daher auch Funktionen wie beispielsweise Dekomprimierung, Decodierung, Digital-Analog-Wandlungen, Rückkanalverwaltung, etc. für interaktive und digitale Video- und/oder TV-System vorgenommen. Eine Set-Top-Box kann auch mit dem Fernseher als Endgerät einen Zugang zum Internet ermöglichen.
  • Gerade im Bereich des Home Entertainments werden von Dienstanbietern zahlreiche Anwendungen wie z. B. Video-on-Demand, interaktive Spiele, etc. angeboten, welche mittels einer Set-Top-Box genutzt werden können. Video-on-Demand ist z. B. eine Anwendung, bei der es Nutzern ermöglicht wird, zu jeder beliebigen Zeit aus einer Auswahl von Videofilmen meist gegen eine Gebühr einen Film abzurufen und abzuspielen. Der Film wird dabei z. B. über ein Breitbandnetz oder das Internet zur Set-Top-Box gesendet. Dazu wird vom Anbieter zumindest ein so genannter Streaming-Server benötigt.
  • Weiters können von Herstellern von Set-Top-Boxen so genannte Software-Upgrades für z. B. die Set-Top-Box als Anwendung angeboten werden. Das Software-Upgrade kann vom Nutzer über z. B. ein Breitbandnetz, via Satellit oder Internet auf die Set-Top-Box geladen und dann die neue Software installiert werden.
  • Zum Schutz von Urheber- und Vermarktungsrechten an geistigem Eigentum in digitaler Form (z. B. Film- und Tonaufnahmen, Software, etc.) werden zusätzlich so genannte Digital-Rights-Management-Systeme (DRM) von Dienstanbietern eingesetzt. Durch diese Systeme werden prinzipiell neue Abrechnungsmethoden für Lizenzen und Rechte sowie Kontrollmechanismen über die Nutzung der digitalen Daten ermöglicht. Damit von Digital-Rights-Management-Systemen geschützte Anwendungen genutzt werden können, wird üblicherweise eine spezielle Software – ein so genannter DRM-Client – auf dem Endgerät des Nutzers (z. B. Set-Top-Box) benötigt.
  • Werden von einem Dienstanbieter Anwendungen, welche über eine Set-Top-Box genutzt werden können (z. B. Bezahlfernsehen, Video-on-Demand, etc.) gegen Gebühr zur Verfügung gestellt, so werden auch so genannte Zugangsberechtigungssysteme bzw. Conditional-Access-Systeme eingesetzt, um die Nutzung der Anwendungen durch berechtigte (zahlende) Nutzer sicherzustellen. Zugangsberechtigungssysteme können auch in Kombination mit DRM-Systemen eingesetzt werden.
  • Für den Empfang von Daten bzw. Programmen, Nutzung von Anwendungen wie z. B. Video-on-Demand, etc. via Set-Top-Box wird üblicherweise ein Zugang zu einem Kommunikationsnetz über einen speziellen Anbieter (z. B. einem Breitbandkabelbetreiber oder einem Internet-Service-Provider) verwendet. Zwischen diesem speziellen Anbieter und dem Nutzer der Set-Top-Box besteht üblicherweise eine Geschäftsbeziehung – z. B. durch Subskription. Vom speziellen Anbieter wird dann z. B. eine vereinbarte Vergebührung des Nutzers vorgenommen. Der Nutzer bzw. die Set-Top-Box ist dann bei diesem Anbieter registriert und es können nach Durchlaufen einer Anmelde- und Authentifizierungsfunktion beispielsweise die von diesem Anbieter angebotenen Anwendungen und Übertragungswege genutzt werden.
  • Möchte ein Nutzer Set-Top-Box Anwendungen von verschiedenen Dienstanbietern nutzen, so muss von ihm derzeit für den Zugang zum Kommunikationsnetz bzw. zu den Übertragungswegen eine Anmelde- und Authentifizierungsfunktion durchlaufen werden und dann für jede der Anwendungen beim jeweiligen Dienstanbieter eine eigene Anmeldung und Authentifizierung vorgenommen werden. Diese Anmeldungen und Authentifizierungen können je nach Dienstanbieter, aber auch in Abhängigkeit von z. B. eingesetzten DRM- und/oder Zugangs-berechtigungssystemen sehr unterschiedlich gestaltet sein.
  • Bei jeder dieser Anmeldungen und Authentifizierungen sind dann vom Nutzer beispielsweise Anmelde- und Authentifizierungsinformationen wie z. B. Nutzerkennung, Passwort, PIN, Konfigurationsdaten der Set-Top-Box, etc. einzugeben.
  • Es ist daher nicht nur nachteilig, dass für jede dieser Anwendungen beim jeweiligen Dienstanbieter eine eigene Anmeldung und Authentifizierung vorgenommen werden muss, sondern auch dass dabei Informationen wie z. B. Nutzerdaten, Nutzerkennung, Passwort, etc. mehrmals eingegeben werden müssen. Zusätzlich besteht beispielsweise der Nachteil, dass Nutzerdaten (z. B. Name, Adresse, etc.) einem Dienstanbieter bekannt geben werden müssen, obwohl keine langfristige Beziehung zu diesem Dienstanbieter aufgebaut werden soll, weil z. B. die Anwendung bzw. der Content nur einmalig genutzt wird.
  • Für Anwendungen wie z. B. so genannte Web-Anwendungen bei Portallösungen wird in diesem Fall z. B. Single-Sign-On verwendet. Bei über eine Set-Top-Box nutzbaren Anwendungen ist der Einsatz von Single-Sign-On für eine einmalige Anmeldung und Authentifizierung derzeit nicht bekannt.
  • Darstellung der Erfindung
  • Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren anzugeben, durch welches es einem Nutzer ermöglicht wird, mittels Single-Sign-On Zugriff auf mit einer Set-Top-Box nutzbare Anwendungen von verschiedenen Anbietern zu erhalten, und bei welchem nur für die jeweilige Anwendung notwendige Daten weitergeleitet werden.
  • Die Lösung dieser Aufgabe erfolgt erfindungsgemäß durch ein Verfahren der eingangs angeführten Art, wobei von einem Anbieter eine Anmelde- und Authentifizierungsfunktion zur Verfügung gestellt wird, zwischen dem Anbieter der Anmelde- und Authentifizierungsfunktion und Dienstanbietern ein Übereinkommen getroffen worden ist und eine Set-Top-Box beim Anbieter der Anmelde- und Authentifizierungsfunktion registriert ist. Nach dem Einschalten der Set-Top-Box wird dann die Anmelde- und Authentifizierungsfunktion aufgerufen und eine Anmeldung und Authentifizierung durchgeführt. Nach einer erfolgreichen Authentifizierung der Set-Top-Box wird vom Anbieter eine Authentifizierungsinformation an die Set-Top-Box gesendet, welche dann durch Übersenden von der Set-Top-Box für eine Registrierung bei einem Dienstanbieter verwendet wird. Vom Dienstanbieter wird dann eine Verbindung zum Anbieter der Anmelde- und Authentifizierungsfunktion aufgebaut, um die Authentifizierungsinformation zu verifizieren und Richtlinien für eine Vergebührung abzufragen. Dann wird vom Anbieter der Anmelde- und Authentifizierungsfunktion eine Bestätigung an den Dienstanbieter gesendet, wobei Nutzerdaten nur dem Anbieter der Anmelde- und Authentifizierungsfunktion und Konfigurationsdaten der Set-Top-Box nur dem Dienstanbieter bekannt gegeben werden.
  • Der Hauptaspekt der erfindungsgemäß vorgeschlagenen Lösung besteht einerseits darin, dass von einem Nutzer, welcher über eine Set-Top-Box Zugang zu Anwendungen verschiedener Dienstanbieter erhalten machte, nur einmal eine Anmelde- und Authentifizierungsfunktion durchlaufen wird. Anmelde- und Authentifizierungsinformationen (z. B. Passwort, PIN, etc.) werden nur noch einmal via Set-Top-Box eingegeben – z. B. nach dem Einschalten der Set-Top-Box wird eine Anmeldung beim Anbieter der Anmelde- und Authentifizierungsfunktion (z. B. Breitbandkabelbetreiber, Internet-Service-Provider, etc.) durchgeführt. Danach wird die Aufgabe der Registrierung bzw. Anmeldung bei einem Dienstanbieter von einem Single-Sign-On-Mechanismus übernommen.
  • Andererseits wird vom erfindungsgemäßen Verfahren der Vorteil geboten, dass beispielsweise Nutzerdaten (z. B. Name, Adresse, etc.) nur mehr dem Anbieter der Anmelde- und Authentifizierungsfunktion bekannt gegeben werden müssen, zu welchem eine längerfristige Geschäftsbeziehung besteht und von dem auch z. B. die Vergebührung übernommen wird. An die Dienstanbieter werden vorteilhafterweise nur mehr für die genutzten Anwendungen notwendige Daten (z. B. Konfigurationsdaten der Set-Top-Box, etc.) übertragen. Es kann dadurch z. B. eine Trennung zwischen Nutzer- und Konfigurationsdaten vorgenommen werden und der Nutzer bleibt für den Dienstanbieter weitgehend anonym.
  • Es ist vorteilhaft, wenn bei der Registrierung bei einem Dienstanbieter von der Set-Top-Box zusätzlich zur Authentifizierungsinformation ein Konfigurationsprofil der Set-Top-Box an den Dienstanbieter gesendet wird, da auf diese einfache Weise der Dienstanbieter beispielsweise über die verwendete Hardware und/oder Software der Set-Top-Box informiert wird. Es kann dann dem Nutzer z. B. die für die Set-Top-Box passende Version der Anwendung zur Verfügung gestellt werden. So ist es z. B. für DRM-System wichtig, Informationen über den von Set-Top-Box die eingesetzte DRM-Client-Software zu erhalten, damit die Anwendung (z. B. Video-on-Demand, etc.) problemlos genutzt werden kann.
  • Zur Lösung der Aufgabe ist auch vorgesehen, dass die Bestätigung des Anbieters der Anmelde- und Authentifizierungsfunktion zusätzlich Berechtigungen des Nutzers der Set-Top-Box umfasst. Damit kann auf einfache Weise ein beim Anbieter der Anmelde- und Authentifizierungsfunktion für den Nutzer eingerichtetes Berechtigungsprofil, welches sich z. B. aufgrund der Registrierung bzw. Subskription ergibt, an einen Dienstanbieter weitergeleitet werden.
  • Bei einer bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens empfiehlt sich, dass zwischen der Set-Top-Box und dem Dienstanbieter Bedingungen für ein Digital Rights Management verhandelt werden, dass zuerst eine Verschlüsselungsinformation für das Digital Rights Management DRM generiert wird, welche gemeinsam mit Einstellungsbedingungen vom Dienstanbieter an die Set-Top-Box übertragen wird, und dass danach eine Verschlüsselungsinformation für die Nutzung der Anwendung generiert wird, welche dann verschlüsselt an die Set-Top-Box gesendet wird. Digital Rights Management (DRM) bzw. DRM-Systeme werden zum Schutz von Urheber- und Vermarktungsrechten an geistigem Eigentum in digitaler Form (z. B. Film- und Tonaufnahmen, Software, etc.) eingesetzt. Durch diese Systeme werden prinzipiell neue Abrechnungsmethoden für Lizenzen und Rechte sowie Kontrollmechanismen über die Nutzung der digitalen Daten ermöglicht. Für die Nutzung von durch DRM-Systeme geschützter Anwendungen sind so genannte DRM-Clients, welche z. B. auf der Set-Top-Box installiert sein müssen, notwendig. Da auf einer Set-Top-Box mehrere DRM-Clients verfügbar sein können, ist es vorteilhaft Bedingungen für das DRM wie z. B. notwendiger DRM-Client, Version des DRM-Client, etc. zu verhandeln. Zum Schutz gegen widerrechtliche Nutzen (z. B. ohne Lizenz, unerlaubtes Kopieren, etc.) einer Anwendung bzw. des durch die Anwendung zur Verfügung gestellten Contents ist es vorteilhaft, die Informationen über das DRM sowie die Anwendung bzw. den Content selbst zu verschlüsseln.
  • Es ist günstig, wenn für die Anmelde- und Authentifizierungsfunktion die so genannten Liberty Alliance Protocols LAP verwendet werden, da die LAPs für verteilte Architektur-Strukturen mit mehreren Dienstanbietern (z. B. Internet, etc.), von denen beispielsweise aufgrund unterschiedlicher Sicherheitsvorgaben unterschiedliche Nutzerdaten gefordert und verwaltet werden, als offener Standard von der so genannten Liberty Alliance definiert worden sind. Die Liberty Alliance ist Wirtschaftsinitiative (bestehend aus 150 Unternehmen, Non-Profit-Organisationen und Behörden aus dem Mobile Commerce und der Sicherheitsindustrie) mit dem Ziel, industrieübergreifende Plattformen und Standards (insbesondere im Bereich mobiler Anwendungen) für die weltweite Transaktionssicherheit im Internet zu entwickeln, technisch-organisatorische Fragen hinsichtlich Registrierung, Zertifizierung und Interoperabilität zu klären. Von der Liberty Alliance werden in diesem Zusammenhang Spezifikationen als Grundlage für das Verwalten von Identitäten (z. B. Nutzerdaten, etc.) im Umfeld vernetzter Strukturen sowie Kommunikationsprotokolle für deren Anwendung beispielsweise bei Web-Diensten beschrieben.
  • Es ist günstig, wenn für die Verschlüsselungsinformation für das Digital Rights Management eine so genannte Public-Key-Infrastruktur PKI genutzt wird. Als PKI wird in der Kryptografie ein so genanntes asymmetrisches Kryptosystem bezeichnet, welches es ermöglicht, digitale Zertifikate oder Schlüssel auszustellen, zu verteilen und zu prüfen. Die innerhalb einer PKI verwendeten Zertifikate oder Schlüssel sind beispielsweise auf Nutzer oder Endgeräte festgelegt. Die PKI hat daher den Vorteil, dass durch das digitale Zertifikat eine Authentifizierung direkt von der jeweiligen Anwendung bzw. dem jeweiligen Dienstanbieter durchgeführt werden kann. PKI kann außer zur Authentifizierung auch zur Verschlüsselung von Daten verwendet werden.
  • Es ist zweckmäßig, wenn für die Verschlüsselung einer durch die Set-Top-Box genutzten Anwendung ein symmetrisches Verschlüsselungssystem genutzt wird. Bei einem symmetrischen Verschlüsselungssystem wird im Gegensatz zu PKI für die Ver- und Entschlüsselung der gleiche Schlüssel verwendet. Dabei müssen zwischen Anwendung bzw. Dienstanbieter und Set-Top-Box zuvor auf sichere Art der Schlüssel ausgetauscht werden. Ein symmetrisches Verschlüsselungssystem weist allerdings den Vorteil auf, dass die Algorithmen zur Ver- und Entschlüsselung sehr schnell ablaufen und z. B. auch direkt in Form von Hardwarebausteinen implementiert werden können.
  • Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dass für das Digital Rights Management das so genannte Verimatrix Content Authority System VCAS eingesetzt wird. VCAS ist ein software-basiertes System, welches speziell für den Schutz von digitalen Video- und Audiodaten, welche z. B. bei Anwendungen wie Video-on-Demand über eine Set-Top-Box genutzt werden, entwickelt worden ist. VCAS stellt damit ein so genanntes Content-Protection und DRM-System dar und wird insbesondere im Bereich des Internets und bei Digital Video Broadcast (DVB) via z. B. Breitbandkabel, Satellit, etc. eingesetzt. Von VCAS wird auf den Prinzipien von PKI aufgebaut und es wird dabei der ITU-T X.509 Standard für eine Definition von digitalen Zertifikaten genutzt. Der Standard X.509 der ITU-T stellt derzeit einen der wichtigsten Standards für PKI und digitale Zertifikate dar.
  • Kurzbeschreibung der Zeichnung
  • Die Erfindung wird nachfolgend anhand von zwei Figuren näher erläutert, welche in beispielhafter Weise an einer Durchführung des erfindungsgemäßen Verfahrens beteiligte Komponenten sowie den schematischen Ablauf des erfindungsgemäßen Verfahrens für Single-Sign-On bei Nutzung mehrerer Anwendungen von verschiedenen Dienstanbietern zeigen.
  • Ausführung der Erfindung
  • 1 zeigt in beispielhafter Weise Komponenten, welche an der Durchführung des Verfahrens für Single-Sign-On bei Verwendung einer Set-Top-Box STB, über welche Anwendungen von verschiedenen Dienstanbietern SP1, SP2 genutzt werden.
  • In 1 ist eines Set-Top-Box STB dargestellt, welche mit beispielsweise mit einem Fernseher TV als Anzeigeeinheit verbunden ist. Über den Fernseher TV können z. B. Inhalte wie Video- und Audiodaten genutzt werden, welche von Anwendungen wie z. B. Video-on-Demand zur Verfügung gestellt werden.
  • Von der Set-Top-Box STB wird über ein beispielhafte Verbindung A (z. B. Breitbandkabel, Internet, etc.) mit einem Anbieter IDP einer Anmelde- und Authentifizierungsfunktion kommuniziert. Zwischen dem Anbieter IDP, welche z. B. ein Internet-Service-Provider oder ein Breitbandkabelbetreiber sein kann, und den Nutzer der Set-Top-Box STB besteht üblicherweise eine längerfristige Geschäftsbeziehung. Die Set-Top-Box STB ist beim Anbieter IDP der Anmelde- und Authentifizierungsfunktion daher registriert. Vom Anbieter IDP der Anmelde- und Authentifizierungsfunktion wird einerseits ein Zugang zu einem Kommunikationsnetz (z. B. Breitbandkabelnetz, Internet, etc.) und eventuell auch Anwendungen angeboten, andererseits wird vom Anbieter IDP der Anmelde- und Authentifizierungsfunktion auch die Vergebührung des Nutzer der Set-Top-Box STB – z. B. mittels einer so genannten Post-Billing-Funktion – durchgeführt.
  • In 1 sind außerdem zwei beispielhafte Dienstanbieter SP1, SP2 dargestellt, mit denen von der Set-Top-Box über die beispielhaften Verbindungen B bzw. C eines Kommunikationsnetzes (z. B. Breitbandkabel, Internet, etc.) ein Kontakt für die Nutzung angebotener Anwendungen aufgebaut werden kann. Von den Dienstanbietern SP1, SP2 ist auch ein Übereinkommen mit dem Anbieter IDP der Anmelde- und Authentifizierungsfunktion getroffen worden, wodurch zwischen diesen eine so genannte „trusted relationship” besteht, welche in 1 durch die Linien D und E symbolisiert wird.
  • Dienstanbieter SP1, SP2 können beispielsweise Anbieter von Video-on-Demand, Audio-on-Demand oder der Hersteller der Set-Top-Box STB sein, von welchem ein so genanntes Software-Upgrade für die Set-Top-Box auf diese Weise angeboten wird.
  • 2 zeigt in beispielhafter Weise den schematischen Ablauf des erfindungsgemäßen Verfahrens für Single-Sign-On bei Nutzung mehrere Anwendungen von verschiedenen Dienstanbietern SP1, SP2 bei Verwendung einer Set-Top-Box STB. Das erfindungsgemäße Verfahren wird dabei anhand eines beispielhaften Dienstanbieters SP1 erläutert, von welchem Video-on-Demand über einen Video-on-Demand-Server VoD angeboten wird. Die bei Video-on-Demand übertragenen Inhalte sind durch ein Digital-Rights-Management-System DRMS geschützt, welches ebenfalls vom Dienstanbieter SP1 betrieben wird. Die Inhalte von Video-on-Demand werden außerdem verschlüsselt zur Set-Top-Box STB übertragen. Daher ist beim Dienstanbieter SP1 auch eine Datenbank KEY für Verschlüsselungsinformation eingerichtet.
  • Die Set-Top-Box STB verfügt über eine Single-Sign-On-Funktion SSO, in der beispielsweise Informationen für eine Authentifizierung, ein Nutzerprofil und ein Konfigurationsprofil (z. B. verwendete Hardware- und/oder Software-Version, etc.) der Set-Top-Box STB hinterlegt sein können. Für die Nutzung von durch DRM-Systeme DRMS geschützter Anwendungen ist auf der Set-Top-Box STB ein so genannte DRM-Client DRMC installiert.
  • Der Zugang zu einem Kommunikationsnetz (z. B. Breitbandkabelnetz, Internet, etc.) wird über einen Anbieter IDP einer Anmelde- und Authentifizierungsfunktion hergestellt, bei welchem die Set-Top-Box STB bzw. der Nutzer der Set-Top-Box STB registriert ist.
  • In einem ersten Verfahrenschritt 1 wird die Set-Top-Box STB eingeschaltet und der Authentifizierungsprozess von der Set-Top-Box initiiert. So kann z. B. von der Set-Top-Box eine Geräte-Authentifizierung beim Anbieter IDP der Anmelde- und Authentifizierungsfunktion aufgerufen werden. Dabei wird z. B. eine Anfrage für die Geräte-Authentifizierung an eine Internet-Adresse für Liberty Alliance Protocols wie z. B. https://auth.ldp.com gestellt. Diese Internet-Adresse stellt einen so genannten Bootstrap-Einstiegspunkt für eine Geräte-Authentifizierung dar. Diese Vorgehensweise hat den Vorteil, dass der Nutzer in diesem Fall keine Daten mehr eingeben muss, sondern von der Set-Top-Box z. B. bei einer Registrierung abgespeicherte Daten verwendet werden. Eine Voraussetzung dafür ist allerdings eine Anbindung an eine IP-basiertes Kommunikationsnetz oder das Internet für eine Datenübertragung zum Anbieter IDP der Anmelde- und Authentifizierungsfunktion (z. B. Breitbandkabelnetz- oder ADSL-Betreiber, etc.), wobei für diese Anbindung eine getrennte Anmeldung und Authentifizierung erforderlich sein kann. So kann beispielsweise der Nutzer beim Einschalten der Set-Top-Box STB aufgefordert werden, sich für diese Anbindung z. B. durch Eingabe einer Nutzerkennung und eines Passwort zu authentifizieren.
  • In einem zweiten Verfahrensschritt 2 wird vom Anbieter IDP der Anmelde- und Authentifizierungsfunktion die Anmelde- und Authentifizierungsfunktion gestartet. Für die Anmeldung und Authentifizierung kann dabei z. B. eine so genannte Hash-Funktion (z. B. SHA-1, SHA-2 oder andere weitverbreitete kryptografische Hash-Funktionen) verwendet werden, wie z. B. für eine Übertragung zwischen der Set-Top-Box STB und dem Anbieter IDP der Anmelde- und Authentifizierungsfunktion sowie einer Speicherung von Passwörtern beim Anbieter IDP der Anmelde- und Authentifizierungsfunktion. Wie im ersten Verfahrensschritt 1 beschrieben, soll eine Kommunikation zwischen der Set-Top-Box STB und dem Anbieter IDP der Anmelde- und Authentifizierungsfunktion (ebenso wie eine Kommunikation zwischen der Set-Top-Box STB und dem Dienstanbieter SP1) innerhalb eines gesicherten Tunnels (z. B. https) durchgeführt werden.
  • In einem dritten Verfahrensschritt 3 wird von der Single-Sign-On-Funktion SSO der Set-Top-Box STB eine Antwort – z. B. wieder unter Verwendung der vorher angeführten Hash-Funktion an den Anbieter IDP der Anmelde- und Authentifizierungsfunktion gesendet. In einem vierten Verfahrensschritt 4 wird diese Antwort vom Anbieter IDP der Anmelde- und Authentifizierungsfunktion bearbeitet und überprüft und bei erfolgreicher Authentifizierung eine Authentifizierungsinformation zu Set-Top-Box STB bzw. zur Single-Sign-On-Funktion SSO der Set-Top-Box gesendet.
  • Bevor ein Zugriff auf die Video-on-Demand-Anwendung des Dienstanbieters SP1 für die Set-Top-Box möglich ist, muss die Set-Top-Box STB in einem fünften Verfahrensschritt 5 beim Dienstanbieter – z. B. über das von diesem betriebene Digital-Rights-Management-System DRMS – registriert werden. Für die Registrierung wird dabei von der Set-Top-Box STB bzw. von der Single-Sign-On-Funktion SSO die Authentifizierungsinformation gemeinsam mit dem Konfigurationsprofil (z. B. verwendete Hardware, Software, Digital-Right-Management-Clients DRMC und die jeweilige Version, etc.) der Set-Top-Box STB an den Dienstanbieter SP1 gesendet. Dabei wird von der Set-Top-Box STB beispielsweise keine Information aus dem Nutzerprofil an den Dienstanbieter SP1 übertragen, wodurch die Set-Top-Box STB für den Dienstanbieter SP1 anonym bleibt. Das gesendete Konfigurationsprofil kann z. B. auch einen Angabe (z. B. Internet-Link, Internet-Adresse, etc.) zum Anbieter IDP der Anmelde- und Authentifizierungsfunktion umfassen.
  • In einem sechsten Verfahrenschritt 6 wird die Authentifizierungsinformation z. B. gemäß der Angabe (z. B. Internet-Link, Internet-Adresse, etc.) im gesendeten Konfigurationsprofil der Set-Top-Box STB vom Dienstanbieter SP1 an den Anbieter IDP der Anmelde- und Authentifizierungsfunktion zur Überprüfung und Festlegung von Richtlinien zur Vergebührung, etc. des Nutzers gesendet. In einem siebten Verfahrenschritt 7 wird vom Anbieter IDP der Anmelde- und Authentifizierungsfunktion eine Bestätigung an den Dienstanbieter SP1 übermittelt, sofern die Überprüfung der Authentifizierungsinformation positiv war. Zusätzlich zur Bestätigung können beispielsweise auch Berechtigungen und Informationen über den Nutzer der Set-Top-Box STB an den Dienstanbieter SP1 übertragen werden, welche vom Dienstanbieter SP1 z. B. für die Vergebührung eingesetzt werden können.
  • Von den folgenden Verfahrensschritten 8 bis 12 wird ein Aushandeln des Digital-Rights-Management-Clients DRMC sowie seiner Version und ein Generieren der zugehörigen Verschlüsselungsinformation durch den Dienstanbieter SP1 beschrieben. Als Verschlüsselung bei Digital-Rights-Management können sowohl symmetrische als auch asymmetrische Verschlüsselungssysteme eingesetzt werden. Am häufigsten wird im Zusammenhang mit Digital-Rights-Management allerdings eine so genannte Public-Key-Infrastruktur verwendet, wie dies auch im Folgenden beispielhaft dargestellt wird.
  • In einem achten Verfahrenschritt 8 wird dann beim Dienstanbieter SP1 z. B. am Digital-Rights-Management-System DRMS ein Profil für die Set-Top-Box STB eingerichtet. Dieses Profil kann z. B. die Bestätigung des Anbieters IDP der Anmelde- und Authentifizierungsfunktion sowie die damit übersendeten Berechtigungen und Informationen sowie das Konfigurationsprofil der Set-Top-Box STB umfassen. Anhand des Konfigurationsprofils, welches auch den oder die von der Set-Top-Box STB verwendeten Digital-Rights-Management-Clients DRMC sowie die jeweilige Version enthält, wird vom Digital-Rights-Management-System DRMS festgelegt, welcher Digital-Rights-Management-Client DRMC und welche Version für die Nutzung der Video-on-Demand-Anwendung verwendet werden soll. Durch die Entscheidung über den Digital-Rights-Management-Client DRMC werden auch ein entsprechender Verschlüsselungsalgorithmus sowie zugehörige Schlüssel – z. B. PKI-Schlüssel – bestimmt.
  • In einem neunten Verfahrensschritt 9 werden dann vom Digital-Rights-Management-System DRMS von der Datenbank KEY für Verschlüsselungsinformationen die entsprechenden Schlüssel – z. B. für eine Public-Key-Infrastruktur angefordert. In einem zehnten Verfahrensschritt 10 werden von der Datenbank KEY die PKI-Schlüssel an das Digital-Rights-Management-System DRMS übertragen, wobei die Schlüssel z. B. entweder neu generiert oder aus einem Speicher ausgelesen werden können. In einem elften Verfahrensschritt 11 werden dann die PKI-Schlüssel sowie zugehörige Einstellungsdaten (z. B. Berechtigungen, ausgewählte Einstellungen, etc.) an die Set-Top-Box STB gesendet, wobei die Schlüssel, welche allerdings eine begrenzte Gültigkeitsdauer aufweisen, in der Set-Top-Box STB gespeichert werden können. In einem zwölften Verfahrensschritt 12 wird dann der Set-Top-Box STB noch der ausgewählte Digital-Rights-Management-Client DRMC sowie dessen Version vom Dienstanbieter SP1 mitgeteilt.
  • Von den folgenden Verfahrensschritten 13 bis 19 werden nerieren der Verschlüsselungsinformation für die Nutzung der Anwendung (z. B. Video-on-Demand) für die Set-Top-Box STB sowie ein Versand dieser Verschlüsselungsinformationen beschrieben. Für die Verschlüsselung der Anwendung kann z. B. ein symmetrisches Verschlüsselungssystem verwendet werden, wobei die zu übertragende Verschlüsselungsinformation mittels PKI verschlüsselt wird. Es ist aber auch möglich, für die Verschlüsselung andere Verschlüsselungssysteme einzusetzen.
  • In einem dreizehnten Verfahrensschritt 13 wird von der Set-Top-Box STB eine Verschlüsselungsinformation für das Digital-Rights-Management beim Dienstanbieter SP1 bzw. beim Digital-Rights-Management-System DRMS, welches beispielsweise vom Dienstanbieter SP1 betrieben wird, angefordert. In einem vierzehnten Verfahrensschritt 14 wird diese Anforderung vom Digital-Rights-Management-System DRMS an die Datenbank KEY für Informationen zur Verschlüsselung der Anwendung weitergeleitet und von der Datenbank KEY sowohl eine Verschlüsselungs- als auch eine Entschlüsselungsinformation erstellt – z. B. durch Generieren eines Verschlüsselungs- wie eines Entschlüsselungsschlüssel oder durch Abrufen dieser Schlüssel auch einem Speicher. In einem fünfzehnten Verfahrensschritt 15 wird dann einerseits die Entschlüsselungsinformation von der Datenbank KEY an das Digital-Rights-Management-System DRMS übertragen. Andererseits wird in einem sechzehnten Verfahrensschritt 16 von der Datenbank KEY die Verschlüsselungsinformation von der Datenbank KEY dem Video-on-Demand-Server VoD für die Verschlüsselung der Anwendung Video-on-Demand bzw. des von dieser Anwendung übertragenen Inhalts zur Verfügung gestellt.
  • In einem siebzehnten Verfahrensschritt 17 wird die Entschlüsselungsinformation vom Digital-Rights-Management-System DRMS verschlüsselt – z. B. mittels PKI-System mit einem so genannten Public Key für den Digital-Rights-Management-Client DRMC der Set-Top-Box STB. In einem achtzehnten Verfahrensschritt 18 wird dann die verschlüsselte Entschlüsselungsinformation für die Nutzung der Anwendung Video-on-Demand an die Set-Top-Box STB bzw. an den Digital-Rights-Management-Client DRMC übertragen. In einem neunzehnten Verfahrensschritt 19 werden dann vom Dienstanbieter SP1 Informationen zur Vergebührung des Nutzers der Set-Top-Box STB an den Anbieter IDP der Anmelde- und Authentifizierungsfunktion (z. B. Breitbandkabelnetz- oder ADSL-Betreiber, etc.) weitergeleitet, da von diesem im Gegensatz zum Dienstanbieter SP1 über ein Profil des Nutzers (Name, Adresse, etc.) verfügt wird.
  • In den Verfahrensschritten 20 bis 22 wird dann die Verschlüsselung und Nutzung der Anwendung beschrieben.
  • In einem zwanzigsten Verfahrensschritt 20 wird von der Set-Top-Box eine Anforderung zur Nutzung der Anwendung zum Dienstanbieter SP1 gesendet. Bei Video-on-Demand wird beispielsweise ein so genannter Download der Video-Inhalt vom Video-on-Demand-Server VoD des Dienstanbieters SP1 angefordert. In einem einundzwanzigsten Verfahrensschritt 21 wird die Anwendung vom Dienstanbieter verschlüsselt; d. h. es werden z. B. die Video-Inhalte vom Video-on-Demand-Server VoD des Dienstanbieters mit der Verschlüsselungsinformation behandelt. In einem zweiundzwanzigsten Verfahrensschritt 22 werden dann die verschlüsselten Video-Inhalte bzw. die verschlüsselte Anwendung auf die Set-Top-Box STB geladen und in einem dreiundzwanzigsten Verfahrensschritt 23 von der Set-Top-Box STB entschlüsselt. Die Anwendung kann dann mittels Set-Top-Box STB genutzt werden, das bedeutet bei Video-on-Demand, dass die Video-Inhalte z. B. auf einem mit der Set-Top-Box STB verbundenen Fernsehgerät angezeigt werden können.
  • Für das Digital-Rights-Management kann vom Dienstanbieter SP1 beispielsweise das so genannte Verimatrix Content Authority System VCAS eingesetzt werden. VCAS ist dabei ein softwarebasiertes System, welches speziell für den Schutz von digitalen Video- und Audiodaten entwickelt worden ist und auf Prinzipien der PKI basiert. Von VCAS-System werden so genannte X.509-Zertifikate validiert und ausgestellt für jede Komponente eines Dienstanbieters SP1. Diese Zertifikate basieren auf dem X.509 Standard der ITU-T, von dem eine Definition von digitalen Zertifikaten vorgegeben wird und der zurzeit einen der wichtigsten Standards digitale Zertifikate darstellt. Wird ein VCAS-System für Digital-Rights-Management eingesetzt, so wird zuerst z. B. der Digital-Rights-Management-Client DRMC der Set-Top-Box STB beim VCAS-System registriert und dann ein digitales Zertifikat validiert und an die Set-Top-Box STB gemeinsam mit Verschlüsselungsinformation (z. B. Public Keys, Private Key, etc.) ausgestellt. Das Zertifikat sowie die Verschlüsselungsinformation werden dann auf der Set-Top-Box für Authentifizierungs- und Entschlüsselungsvorgänge gespeichert.
  • Die Nutzung einer Anwendung wie z. B. Video-on-Demand gestaltet sich bei Verwendung eines VCAS-Systems wie in den Verfahrensschritten 13 bis 23 beschrieben mit dem Zusatz, dass vom VCAS-System bei jeder Kommunikation mit der Set-Top-Box STB das mitgesendete Zertifikat bzw. eine so genannte Signatur der Set-Top-Box STB geprüft wird.

Claims (8)

  1. Verfahren für Single-Sign-On bei Nutzung mehrerer Anwendungen, wobei für die Nutzung eine Set-Top-Box (STB) verwendet wird und die Anwendungen von verschiedenen Dienstanbietern (SP1, SP2) zur Verfügung gestellt werden, wobei – von einem Anbieter (IDP) eine Anmelde- und Authentifizierungsfunktion zur Verfügung gestellt wird, wobei zwischen dem Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion und den Dienstanbietern (SP1, SP2) ein Übereinkommen (D, E) getroffen worden ist und die Set-Top-Box (STB) beim Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion registriert ist (A), – nach Einschalten der Set-Top-Box (STB) die Anmelde- und Authentifizierungsfunktion aufgerufen und eine Anmeldung und Authentifizierung durchgeführt wird (1, 2, 3), – dann nach erfolgreicher Authentifizierung der Set-Top-Box (STB) eine Authentifizierungsinformation an die Set-Top-Box (STB) gesendet wird (4), – dann die Set-Top-Box (STB) durch Übersenden der Authentifizierungsinformation bei einem Dienstanbieter (SP1) registriert wird (5), – dann vom Dienstanbieter (SP1) eine Verbindung zum Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion aufgebaut wird, um die Authentifizierungsinformation zu verifizieren und Richtlinien für eine Vergebührung abzufragen (6), – und dann vom Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion eine Bestätigung an den Dienstanbieter (SP1) gesendet wird (7), wobei Nutzerdaten nur dem Anbieter (IDP) der Anmelde- und Authentifizierungsfunktion und Konfigurationsdaten der Set-Top-Box nur dem Dienstanbieter (SP1) bekannt gegeben werden.
  2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass bei einer Registrierung bei einem Dienstanbieter (SP1) von der Set-Top-Box (STB) zusätzlich zur Authentifizierungsinformation ein Konfigurationsprofil an den Dienstanbieter (SP1) gesendet wird (5).
  3. Verfahren nach einem der Ansprüche 1 bis 2 dadurch gekennzeichnet, dass die Bestätigung des Anbieters (IDP) der Anmelde- und Authentifizierungsfunktion zusätzlich Berechtigungen des Nutzers der Set-Top-Box (STB) umfassen (7).
  4. Verfahren nach einem der Ansprüche 1 bis 3 dadurch gekennzeichnet, dass dann zwischen der Set-Top-Box (STB) und dem Dienstanbieter (SP1) Bedingungen für ein Digital Rights Management verhandelt werden (8), dass dann zuerst eine Verschlüsselungsinformation für das Digital Rights Management generiert wird (9, 10), welche gemeinsam mit Einstellungsbedingungen vom Dienstanbieter (SP1) an die Set-Top-Box (STB) übertragen wird (11), und dass danach eine Verschlüsselungsinformation für die Nutzung der Anwendung generiert wird (13, 14, 15), welche dann verschlüsselt an die Set-Top-Box (STB) gesendet wird (17, 18).
  5. Verfahren nach einem der Ansprüche 1 bis 4 dadurch gekennzeichnet, dass für die Anmelde- und Authentifizierungsfunktion die so genannten Liberty Alliance Protocols LAP verwendet werden.
  6. Verfahren nach einem der Ansprüche 1 bis 5 dadurch gekennzeichnet, dass für die Verschlüsselungsinformation für das Digital Rights Management eine so genannte Public-Key-Infrastruktur genutzt wird.
  7. Verfahren nach einem der Ansprüche 1 bis 6 dadurch gekennzeichnet, dass für die Verschlüsselung einer durch die Set-Top-Box (STB) genutzten Anwendung ein symmetrisches Verschlüsselungssystem genutzt wird.
  8. Verfahren nach einem der Ansprüche 1 bis 7 dadurch gekennzeichnet, dass für das Digital Rights Management das so genannte Verimatrix Content Authority System eingesetzt wird.
DE102006045352.2A 2006-09-26 2006-09-26 Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box Active DE102006045352B4 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102006045352.2A DE102006045352B4 (de) 2006-09-26 2006-09-26 Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box
US12/440,539 US8756624B2 (en) 2006-09-26 2007-09-06 Method for single sign-on when using a set-top box
PCT/EP2007/059353 WO2008037581A1 (de) 2006-09-26 2007-09-06 Verfahren für single-sign-on bei verwendung einer set-top-box
KR1020097008652A KR101063685B1 (ko) 2006-09-26 2007-09-06 셋톱 박스 사용시 싱글­사인­온 방법
EP07803307A EP2084883A1 (de) 2006-09-26 2007-09-06 Verfahren für single-sign-on bei verwendung einer set-top-box
CN200780035752XA CN101518029B (zh) 2006-09-26 2007-09-06 在使用机顶盒时单点登录方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006045352.2A DE102006045352B4 (de) 2006-09-26 2006-09-26 Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box

Publications (2)

Publication Number Publication Date
DE102006045352A1 DE102006045352A1 (de) 2008-04-10
DE102006045352B4 true DE102006045352B4 (de) 2015-02-12

Family

ID=38779906

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006045352.2A Active DE102006045352B4 (de) 2006-09-26 2006-09-26 Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box

Country Status (6)

Country Link
US (1) US8756624B2 (de)
EP (1) EP2084883A1 (de)
KR (1) KR101063685B1 (de)
CN (1) CN101518029B (de)
DE (1) DE102006045352B4 (de)
WO (1) WO2008037581A1 (de)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006045352B4 (de) * 2006-09-26 2015-02-12 Nokia Solutions And Networks Gmbh & Co. Kg Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box
US9900557B2 (en) * 2007-12-28 2018-02-20 Verizon Patent And Licensing Inc. Method and apparatus for remote set-top box management
US8196177B2 (en) * 2008-10-16 2012-06-05 International Business Machines Corporation Digital rights management (DRM)-enabled policy management for a service provider in a federated environment
US9836702B2 (en) * 2008-10-16 2017-12-05 International Business Machines Corporation Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment
US9043854B2 (en) * 2009-09-29 2015-05-26 Arris Technology, Inc. Provisioning a set-top box
KR101310900B1 (ko) * 2009-12-17 2013-09-25 한국전자통신연구원 서비스 정보 제공 방법, 서비스 정보 제공 시스템 및 서비스 정보 수신 방법
DE102010007718B4 (de) 2010-02-10 2011-10-27 Teveo Interactive Gmbh Verfahren und Vorrichtung zur Authentifizierung von Benutzern eines Hybridendgerätes
DE112011104670A5 (de) 2011-06-16 2013-10-02 Teveo Interactive Gmbh Verfahren und Vorrichtung zur Authentifizierung von Benutzern eines Hybridendgerätes
US9560526B2 (en) 2011-10-28 2017-01-31 Samsung Electronics Co., Ltd. Method and apparatus for single sign-on in a mobile communication system
KR101762876B1 (ko) * 2011-12-05 2017-07-31 인텔렉추얼디스커버리 주식회사 클라우드 컴퓨팅 서비스에서의 보안 시스템
US9071726B2 (en) * 2013-06-28 2015-06-30 Cellco Partnership Videocast service architecture
CN103763583A (zh) * 2013-12-31 2014-04-30 航天数字传媒有限公司 一种卫星数字点播业务鉴权方法和系统
CN103763619A (zh) * 2013-12-31 2014-04-30 航天数字传媒有限公司 一种卫星数字业务统一鉴权系统及其使用方法
US10601808B1 (en) * 2014-06-30 2020-03-24 Cox Communications, Inc Single sign-in across links/URLs while watching programs
US10924793B2 (en) * 2018-06-03 2021-02-16 Apple Inc. Generic streaming media device configured as set top box

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030149781A1 (en) * 2001-12-04 2003-08-07 Peter Yared Distributed network identity
US20050049886A1 (en) * 2003-08-28 2005-03-03 Sbc Knowledge Ventures, L.P. System and method for managing digital rights and content assets

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW556426B (en) * 2000-12-28 2003-10-01 Trustview Inc System and method for registration on multiple different devices using the same account
JP2003087765A (ja) * 2001-09-12 2003-03-20 Pioneer Electronic Corp 加入者端末への視聴情報提供装置
WO2003071813A2 (en) 2002-02-19 2003-08-28 Zyray Wireless, Inc. Method and apparatus optimizing a radio link
KR100886537B1 (ko) * 2002-03-15 2009-03-02 삼성전자주식회사 부호분할다중접속 이동통신시스템에서 멀티캐스트멀티미디어 방송 서비스를 위한 데이터 패킷 제어장치 및방법
US8955020B2 (en) * 2002-12-11 2015-02-10 Broadcom Corporation Transcoding and data rights management in a mobile video network with STB as a hub
WO2005022893A2 (en) * 2003-08-29 2005-03-10 Arris International Inc. Method and system for layer-3 subscriber login in a cable data network
CA2457368C (en) * 2004-02-11 2013-01-08 Solutioninc Limited A server, system and method for providing access to a public network through an internal network of a multi-system operator
WO2006078560A2 (en) * 2005-01-18 2006-07-27 Tricipher, Inc. Roaming utilizing an asymmetric key pair
US20070011704A1 (en) * 2005-07-05 2007-01-11 Anglin Richard L Jr Content exchange system
US8320880B2 (en) * 2005-07-20 2012-11-27 Qualcomm Incorporated Apparatus and methods for secure architectures in wireless networks
US7624417B2 (en) * 2006-01-27 2009-11-24 Robin Dua Method and system for accessing media content via the internet
US8024762B2 (en) * 2006-06-13 2011-09-20 Time Warner Cable Inc. Methods and apparatus for providing virtual content over a network
DE102006045352B4 (de) * 2006-09-26 2015-02-12 Nokia Solutions And Networks Gmbh & Co. Kg Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030149781A1 (en) * 2001-12-04 2003-08-07 Peter Yared Distributed network identity
US20050049886A1 (en) * 2003-08-28 2005-03-03 Sbc Knowledge Ventures, L.P. System and method for managing digital rights and content assets

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Liberty ID-FF Bindings and Profiles Specification. Version:1.2- errata-v2.0 (online). Liberty Alliance Project, 2004 (recherchiert am 4. Juni 2007). Im Internet: URL: <http://www.projectliberty.org/ liberty/content/download/319/2369/file/draft-liber ty-idff-bindings-profiles-1.2-errata-v2.0.pdf> *
Security Assertion Markup Language (SAML) V2.0 Technical Overview. Working Draft 08 12.September 2005 (online) OASIS OPEN, 2005 (recherchiert am 4. Juni 2007). Im Internet: *
Security Assertion Markup Language (SAML) V2.0 Technical Overview. Working Draft 08 12.September 2005 (online) OASIS OPEN, 2005 (recherchiert am 4. Juni 2007). Im Internet: <URL:http://www.oasisopen.org/committees/download.php/14361/sstc-samltech-overview-2.0-draft-08.pdf>

Also Published As

Publication number Publication date
KR101063685B1 (ko) 2011-09-14
CN101518029B (zh) 2012-12-12
DE102006045352A1 (de) 2008-04-10
KR20090067192A (ko) 2009-06-24
EP2084883A1 (de) 2009-08-05
US20100023962A1 (en) 2010-01-28
WO2008037581A1 (de) 2008-04-03
CN101518029A (zh) 2009-08-26
US8756624B2 (en) 2014-06-17

Similar Documents

Publication Publication Date Title
DE102006045352B4 (de) Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box
DE69932326T2 (de) Verbessertes verfahren für bedingten zugang und zur inhaltssicherung
DE60036086T2 (de) Berechtigung und zugriffskontrolle von in set-top geräten vorhandenen programmobjekten
DE69809757T2 (de) Datenverschlüsselungsgerät für systeme mit bedingtem zugriff
DE69802540T2 (de) System mit bedingtem zugang
EP2067339B1 (de) Vorrichtung und Verfahren zur gesicherten Verteilung von Inhalten in einem Telekommunikationsnetzwerk
DE69828279T2 (de) Globales bedingtes zugangssystem für rundfunkdienste
DE69807221T2 (de) Bedingtes zugangssystem für set top boxen
EP2146285A1 (de) Verfahren zum betrieb eines systems mit zugangskontrolle zur verwendung in computernetzen und system zum ausführen des verfahrens
DE60214836T2 (de) Verfahren und netzwerk zum abliefern von streaming-daten
JP4358226B2 (ja) クライアントの装置をリモート制御するための機構
DE112005001672B4 (de) Verfahren zum Liefern eines geheimen Direktnachweisschlüssels an Vorrichtungen unter Verwendung eines Onlinedienstes
US7383438B2 (en) System and method for secure conditional access download and reconfiguration
EP2122986B1 (de) Verfahren und System zur Bereitstellung von Diensten für Endgeräte
US11490161B2 (en) Content rights management for mobile devices
DE102005039361B4 (de) Verfahren und Vorrichtung zur Multicast-Übertragung von Programminformationen
US10433017B2 (en) Systems and methods for integrated HTML5 searching and content delivery
EP2807810B1 (de) Verfahren und system zur autorisation in einem inhaltsbereitstellungssystem
DE69808113T2 (de) Quellenauthentifizierung von datenfernladungsinformation in einem system mit bedingtem zugang
WO2002095637A2 (de) Verfahren zum erbringen von diensten in einem datenübertragungsnetz und zugehörige komponenten
DE102010007718B4 (de) Verfahren und Vorrichtung zur Authentifizierung von Benutzern eines Hybridendgerätes
DE602004004523T2 (de) Klassenbasierte inhaltsübertragung zwischen geräten
US20070282846A1 (en) System and Method for Securely Partitioning a Media Library
US11166081B2 (en) Content rights management for mobile devices
DE102007016117A1 (de) Verfahren und System zum Bereitstellen eines REL-Tokens

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: NOKIA SOLUTIONS AND NETWORKS GMBH & CO. KG, DE

Free format text: FORMER OWNER: NOKIA SIEMENS NETWORKS GMBH & CO. KG, 81541 MUENCHEN, DE

Effective date: 20140731

Owner name: BEIJING XIAOMI MOBILE SOFTWARE CO., LTD., CN

Free format text: FORMER OWNER: NOKIA SIEMENS NETWORKS GMBH & CO. KG, 81541 MUENCHEN, DE

Effective date: 20140731

R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: BEIJING XIAOMI MOBILE SOFTWARE CO., LTD., CN

Free format text: FORMER OWNER: NOKIA SOLUTIONS AND NETWORKS GMBH & CO. KG, 81541 MUENCHEN, DE