JP2013509123A - プライベートデジタルコンテンツにアクセスするためのシステムおよび方法 - Google Patents
プライベートデジタルコンテンツにアクセスするためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2013509123A JP2013509123A JP2012535731A JP2012535731A JP2013509123A JP 2013509123 A JP2013509123 A JP 2013509123A JP 2012535731 A JP2012535731 A JP 2012535731A JP 2012535731 A JP2012535731 A JP 2012535731A JP 2013509123 A JP2013509123 A JP 2013509123A
- Authority
- JP
- Japan
- Prior art keywords
- client
- content
- server
- predetermined information
- private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
所有者によって所有され、コンテンツサーバ上にインストールされたプライベートデジタルコンテンツに対するアクセスを、前記デジタルコンテンツを表示できる第1のクライアントに提供するための方法であって、前記コンテンツサーバに対する許可されたアクセスを得るために前記第1のクライアントによって必要とされる事前に決定された情報を第2のクライアントによって生成するステップと、前記事前に決定された情報を前記第2のクライアントから前記第1のクライアントに転送するステップと、前記プライベートデジタルコンテンツに対するアクセスを得るために、前記事前に決定された情報を前記第1のクライアントによって使用するステップとを含む方法が開示される。対応するシステムも説明される。
Description
本発明は、プライベートデジタルコンテンツにアクセスするためのシステムおよび方法に関する。
ウェブ上で複数の当事者間のユーザ資格証明(user credentials)を処理するためのオープン認証(OAuth)プロトコル(http://oauth.net/license/core/1.0で利用可能なOAuth仕様書1.0を参照されたい)が存在する。さらに、先に言及したOAuthシステムに類似した、ウェブエンティティ間のコンテンツ共有を可能にするいくつかのトークンベースの共有解決策が存在する。例えば、Facebook、Flickr、Google、Smugmug、およびPhotobucketは、すべて認証に関してトークンを使用する。
PeCManは、ユーザのコンテンツを編成するウェブツールである(http://www.pecman.net/を参照されたい)。PeCManアーキテクチャの概略図が図1に示される。ユーザは、例えば、PeCMan内でURLをアップロードして、フリーフォーマットタグ(free−format tags)を用いてその情報に意味的にタグ付けして、後に、同じタグを用いてPeCManに問い合わせることによって、その情報を再び発見することが可能である。同じタグを用いて、複数のURLにタグ付けできるため、PeCManは、ユーザが、「仮想ドライブ」相当の1つの論理位置を介して、大量のストレージプロバイダ(例えば、ウェブサーバ、ホームストア、または電子メールサーバ)上に保持されたすべてのオブジェクトを編成することを可能にする。
PeCManは、3種類の参照を認識する:すなわち、パブリックコンテンツ、プライベート非共有コンテンツ、およびプライベート共有コンテンツである。パブリックコンテンツは、公に利用可能なウェブソースを示すURLである。そのようなコンテンツにアクセスすることは、ユーザ資格証明を必要とせず、これは、人がそのコンテンツに関心を持つ誰とでもそのようなコンテンツを容易に共有できることを意味する。パブリック情報がユーザ間で共有されるとき、PeCManは、要求しているPeCManクライアント、すなわち二次的PeCManクライアントに要求されたURLを単純に直接的に送り、その二次的PeCManは、例えば、WebDAVまたはHTTPを介してそのコンテンツを取り出す。
プライベートコンテンツは、通常、安全な位置、一般に、安全なウェブサイト(すなわち、ストレージプロバイダ)を介してだけアクセス可能なコンテンツである。安全なストレージプロバイダ7にアクセスするために、ウェブクライアント3は、まず、例えば、SSL/TLSを介して安全な接続を確立し、次いで、そのユーザを認証するために、ユーザ資格証明(一般に、ユーザIDおよびパスワード)を提供する。ユーザが認証された後で、ウェブクライアント3は、プライベートに記憶されたコンテンツにアクセスすることが可能である。一般的に、通信チャネルに関連する状態がアドレス指定されたウェブサーバ7内に割り当てられる。この状態は、要求しているウェブクライアント3が自らを認証したことをウェブサーバ7に示す。
OAuth仕様書1.0:http://oauth.net/license/core/1.0
このプライベートに記憶されたコンテンツを表示または再生するために使用可能ないくつかのデバイスは、ユーザに資格証明を要求して、メディアサーバとの安全なセッションをセットアップするための機能を有さない。
本発明の実施形態によれば、プライベートコンテンツの所有者にとって好都合であり、しかも十分なセキュリティを提供する、プライベートコンテンツを共有するための改善された方法およびシステムが提供される。
本発明の文脈で、トークンは、そのトークンの要求側のいくつかの資格証明の検証時に生成される値である。この値は、通常、コンテンツサーバによって任意に生成された、いくつかの文字の列である。
本発明の一実施形態によれば、所有者によって所有され、コンテンツサーバ上にインストールされたプライベートデジタルコンテンツに対するアクセスを、デジタルコンテンツを表示できる第1のクライアントに提供するための方法であって、
− コンテンツサーバに対する許可されたアクセスを得るために第1のクライアントによって必要とされる事前に決定された情報を第2のクライアントによって生成するステップと、
− 事前に決定された情報を第2のクライアントから第1のクライアントに転送するステップと、
− プライベートデジタルコンテンツに対するアクセスを得るために、事前に決定された情報を第1のクライアントによって使用するステップとを含む方法が提供される。
− コンテンツサーバに対する許可されたアクセスを得るために第1のクライアントによって必要とされる事前に決定された情報を第2のクライアントによって生成するステップと、
− 事前に決定された情報を第2のクライアントから第1のクライアントに転送するステップと、
− プライベートデジタルコンテンツに対するアクセスを得るために、事前に決定された情報を第1のクライアントによって使用するステップとを含む方法が提供される。
本発明の文脈で、コンテンツサーバは、通常、安全なコンテンツサーバを指し、例えば、安全なウェブサーバであってよい。その他の例は、ファイル共有機能を備えたローカルディスク、そのコンピュータがコンテンツサーバとして機能するように、サーバプログラムをインストールした任意のコンピュータなどであってよい。
好ましい実施形態によれば、事前に決定された情報は、第1のクライアント固有情報に依存する。
好ましい実施形態によれば、事前に決定された情報は、第2のクライアント固有情報に依存する。
好ましい実施形態によれば、この方法は、第1のクライアント固有情報を第1のクライアントデバイスから第2のクライアントデバイスに転送するステップをさらに含む。その他の実施形態では、この情報は、既に、第2のクライアントに利用可能な場合があるため、第1のクライアント固有情報を転送するステップは必要でない。
好ましい実施形態によれば、事前に決定された情報は、コンテンツサーバに対して第1のクライアントを認証するための情報を含む。
好ましい実施形態によれば、事前に決定された情報は、所有者固有情報を含む。
好ましい実施形態によれば、事前に決定された情報を第2のクライアントによって生成するステップは、1つまたは複数の標準オープン認証コールを含む。
好ましい実施形態によれば、事前に決定された情報を第2のクライアントによって生成するステップは、コンテンツ管理サーバ、例えば、PeCManサーバと相互に作用するステップを含む。
本発明の文脈で、コンテンツ管理サーバは、例えば、写真、ビデオなど、複数のユーザのパブリックデジタルコンテンツ、ならびに/またはプライベート共有デジタルコンテンツおよび/もしくはプライベート非共有デジタルコンテンツを管理できる任意のサーバを指す広い意味で解釈されなければならない。このコンテンツ自体を局所的に記憶すること、または遠隔位置に記憶することも可能である。そのようなコンテンツ管理サーバの例は、Flickr、YouTubeなどのコンテンツプロバイダによって使用されるような、単純なコテンツ管理サーバ、PeCMan、SecondBrain、iGoogleなど、任意のタイプのコンテンツアグリゲータ、任意のタイプの所有者のプロキシ、選択的なプロキシ機能性を備えたプロキシなどである。
そのようなコンテンツ管理サーバの好ましい実施形態は、コンテンツのタグ付けを可能にするように構成されることになる。
本発明の第2の態様によれば、所有者によって所有されたプライベートデジタルコンテンツにアクセスするためのシステムであって、プライベートデジタルコンテンツを備えたコンテンツサーバと、デジタルコンテンツを表示できる第1のクライアントと、コンテンツサーバ上に記憶されたデジタルプライベートコンテンツを所有している第2のクライアントとを備え、第2のクライアントが、コンテンツサーバに対する許可されたアクセスを得るために第1のクライアントによって必要とされる事前に決定された情報を生成するように構成され、第2のクライアントが、事前に決定された情報を第1のクライアントに転送するように構成され、第1のクライアントが、プライベートデジタルコンテンツに対するアクセスを得るために、第2のクライアントから事前に決定された情報を受信することを使用するように構成されるシステムが開示される。
プログラムがコンピュータ上で実行されるとき、第1の態様の方法のうちのいずれかに記載の方法を実行するためのコンピュータ実行可能命令を備えたコンピュータプログラム製品も開示される。
本発明の現在好ましい非限定的な例示的な実施形態を示すために、添付の図面が使用される。添付の図面と共に読まれたとき、以下の詳細な説明から、本発明の上記の有利な特徴および目的、ならびに本発明のその他の有利な特徴および目的はより明瞭になり、本発明はより良好に理解されよう。
本発明は、コンテンツ管理サーバとしてのパーソナルコンテンツ管理(PErsonal Content MANagement)(PeCMan)サーバを参照して下で例示されるが、当業者は、本発明は、上で定義されるような(所有者のプロキシを含む)任意のタイプのコンテンツ管理サーバに適用可能である点を理解されよう。
第1のタイプの先行技術によれば、プライベート非共有コンテンツおよびプライベート共有コンテンツをサポートするために、PeCManは、一般に、示されているURLに対するユーザ資格証明を記憶する。プライベートコンテンツがアドレス指定されている場合、二次的PeCManクライアント3は、次いで、二次的PeCManクライアントの代わりにストレージプロバイダ7に対する接続を確立するPeCMan1に対して通信チャネルをセットアップし、すなわち、PeCManサーバ4は、二次的PeCManクライアント3に関するプロキシとして機能する。このプロキシは、ウェブサーバ7に対して安全な接続を保持し、ストレージプロバイダ7にユーザ資格証明を提供するプロキシでもある。PeCManは、共有プライベートコンテンツと非共有プライベートコンテンツの両方の参照に関してこれを行う。
第2のタイプの先行技術によれば、OAuthは、第3のエンティティが、図3に例示されるトークンベースの認証機構を介して、ユーザ資格証明を知る必要なく、ユーザプライベートデータにアクセスできるように、プライベートコンテンツプロバイダと第3のエンティティとの間でプライベートデータを共有するために使用される。
第2のタイプの先行技術の第1段階で、デリゲートトークン(delegate token)は、コンテンツ所有者Oに代わってPeCManサーバを許可するための1つの例示的なデリゲーション手順を示す図3のコールフローによって例示されるPeCManサーバなど、コンテンツ管理サーバによって取得される。PeCManサーバは、プライベートコンテンツサーバ、ここでは、安全なウェブサーバWSのクライアントとして機能することになる。開始段階「I」で、PeCManサーバは、ウェブサーバWSとの安全な接続を確立し、PeCManサーバとウェブサーバWSとの間に消費者鍵Ckと秘密鍵Csとが確立される(矢印200を参照されたい)。また、所有者Oは、プライベートコンテンツxyzをウェブサーバWS上に直接インストールする(矢印201を参照されたい)。一般的に、所有者は、ユーザ名とパスワードとを使用して、安全なウェブサーバにログインすることになり、ログインするとすぐ、その所有者はプライベートコンテンツxyzをインストールできる。次に、所有者Oは、所有者Oが保護されたサーバ上にプライベートコンテンツxyzをインストールしたことをPeCManサーバに知らせる(矢印202を参照されたい)。
インストールされたプライベートコンテンツについて知らされると、PeCManサーバは、コールフローの段階Aにおいて、トークンを要求して、その所有者によってこのトークンを認可させることになる。まず、PeCManサーバは、ウェブサーバWSからトークンを要求する(矢印206を参照されたい)。これは、以下のパラメータを含む標準OAuth要求コールであり得る:すなわち、消費者鍵Ck(oauth_consumer_key)、署名方法Sm(oauth_signature_method)、署名S1(oauth_signature)、タイムスタンプOt(oauth_timestamp)、およびナンスN(oauth_nonce)である。署名S1は、例えば、Csを使用して作成できる。一般には、クライアントは、まず、タイムスタンプを生成することになり、次いで、それぞれの要求に一意のナンス値が生成される。ウェブサーバWSは、次いで、トークンT1(oauth_token)とトークン秘密Ts1(oauth_token_secret)とを生成して、それらをPeCManサーバに送る(矢印204を参照されたい)。次いで、PeCManサーバは、所有者をウェブサーバWSに導くことによって、所有者から許可を取得するために、宛て先変更メッセージを所有者に送る(矢印205)。これは、トークンT1と、所有者をPeCManサーバに宛て先変更させるためにウェブサーバが使用することになるURLであるコールバックURL Cとを含む、ウェブサーバのユーザ許可URL「WS://auth?」に対する標準OAuth要求であり得る。この許可要求は、次いで、ウェブサーバに渡されて(矢印206)、ウェブサーバは、一般に、PeCManサーバの識別を検証して、所有者に同意を求めることによって、トークンT1を認可することになる(矢印207)。例えば、プライベートコンテンツプロバイダ(ウェブサーバWS)に対する安全な接続は、PeCManの資格証明を提供して、そのトークンを安全な接続と関連付けることによってログインして確立される。次いで、PeCManサーバは、例えば、標準OAuthコールを使用して、トークンT1がコールバックURLを使用して許可されていることを所有者Oによって通知される(矢印208)。PeCManサーバは、次いで、その第1のトークンT1を使用して、第2のトークンを要求する(矢印209)(段階Bを参照されたい)。これは、例えば、以下のパラメータを用いて、要求トークンをアクセストークンと交換するための標準OAuth要求を使用して行うことができる:すなわち、所費者鍵Ck(oauth_consumer_key)、先に取得されたトークンT1(oauth_token)、署名方法Sm(oauth_signature_method)、署名S2(oauth_signature)、タイムスタンプOt(oauth_timestamp)、およびナンスN(oauth_nonce)である。署名S2は、例えば、CsとTs1とに基づいて計算できる。応答して、第2のトークンT2とトークン秘密Ts2とがウェブサーバWSによって付与される(矢印210)。この第2のトークンT2は、所有者のプライベートコンテンツに対するアクセスを得るためのデリゲートトークンとして機能し得る(211、212)。
これは、例えば、以下のパラメータを含む標準アクセス要求を使用して行うことができる:すなわち、消費者鍵Ck(oauth_consumer_key)、トークンT2(oauth_token)、署名方法Sm(oauth_signature_method)、署名S3(oauth_signature)、タイムスタンプOt(oauth_timestamp)、およびナンスN(oauth_nonce)である。署名S3は、例えば、CsとTs2とを使用して計算できる。
これらの最新解決策は、デバイス/クライアントが、そのコンテンツサーバに対する、またはコンテンツ管理サーバ(例えば、PeCManサーバ)に対する認証機能(例えば、PeCMan)を備えていない場合、デバイス/クライアントがプライベートコンテンツを取り出すことを可能にしない。
本発明による第1のタイプの実施形態では、好ましくは、上述のフローまたは類似のフローを使用できるが、前記コンテンツサーバに対するアクセスを得るために第1のクライアントによって必要な事前に決定された情報を生成するために、第2のクライアント、例えば、DMCが消費者(PeCManサーバ)の役割を担うという点で修正される。
この事前に決定された情報は、次いで、例えば、DLNAによって、第1のクライアントデバイス、例えば、DMP(または、DMR)に転送され(214)、次いで、第1のクライアントデバイスは、コンテンツサーバ上でプライベートコンテンツに直接アクセスできる(211’、212’)。これは、図2および4に例示される。
この第1のタイプの実施形態によれば、第2のクライアントは、これにより、その資格証明自体を信頼されていないデバイスに転送せずに、そのようなデバイス上に表示されたプライベートコンテンツに対するアクセスを得るために、その一意の資格証明を使用することが可能である。しかし、第2のタイプのその他の好ましい実施形態によれば、第2のクライアントは、プライベートコンテンツに対するアクセスを得るために、第1のクライアントからの資格証明を使用することも可能であり、第1のクライアントの資格証明は、
a)第2のクライアントに利用可能であった、
b)第2のクライアントに提供される。
a)第2のクライアントに利用可能であった、
b)第2のクライアントに提供される。
本発明の第2のタイプの実施形態は、図2および5で例示される。プライベートコンテンツを表示または再生することを望む第1のクライアント10は、例えば、(DLNA仕様書で使用される専門用語であるデジタルメディアレンダラ(digital media renderer)(DMR)またはデジタルメディアプレイヤ(DMP)と見なすことが可能な)テレビデバイスである。テレビデバイスは、異なる認証(例えば、OAuth)パラメータを計算できず、それらの機能を有するデバイス、例えば、デジタルメディアコントローラ(DLNA仕様書で使用される専門用語であるDMC)9の機能性を備えたiPhone(TM)にその資格証明をハンドオーバする。そのTVの資格証明に基づいて、iPhone(TM)は、必要とされる認証情報、例えば、OAuthパラメータを備えた有効なURLを構築することができる。この情報は、次いで、テレビデバイスに転送されて、そのテレビデバイスは、そのURLを経由して、所望されるコンテンツを、ある見解では「仮想PeCManクライアント」12である、サービスプロバイダ13から直接得ることができる。テレビデバイス(DMRまたはDMP)とiPhone(TM)との間の情報の交換は、DLNA仕様書に基づく技術および方法に基づくことが好ましい。
このフローは、本発明による第1のタイプの実施形態のフローに類似してよく、以下のようであってよい。
第2のタイプの実施形態の第1の段階で、プライベートコンテンツを得るコンテンツ所有者Oに代わってテレビデバイスを許可するための1つの例示的なデリゲーション手順を示す図5のコールフローによって例示されるテレビデバイスなど、デジタルメディアレンダラによって、デリゲートトークンが取得される。iPhone(TM)は、認証パラメータを計算できるデバイスとして機能することになる。開始段階「I」において、テレビデバイスは、ウェブサーバWSと安全な接続を確立し、テレビデバイスとウェブサーバWSとの間で消費者鍵Ckと消費者秘密鍵Csとが確立される(矢印200を参照されたい)。また、所有者Oは、プライベートコンテンツxyzをウェブサーバWS上に直接インストールする(矢印201を参照されたい)。一般に、所有者は、ユーザ名とパスワードとを使用して安全なウェブサーバにログインすることになり、ログインするとすぐ、その所有者はプライベートコンテンツxyzをインストールすることができる。次に、所有者Oは、所有者Oが保護されたウェブサーバ上にプライベートコンテンツxyzをインストールしたことをPeCManサーバに知らせる(矢印202を参照されたい)。
インストールされたプライベートコンテンツについて知らされると、テレビデバイスは、コールフローの段階Aにおいて、トークンを要求することを望み、その所有者によってこのトークンを認証させる。まず、テレビデバイスは、その資格証明、すなわち、消費者鍵Ckと消費者秘密CsとをiPhone(TM)に送る(矢印215を参照されたい)。この資格証明に基づいて、iPhone(TM)は、認証要求に関して必要なパラメータを計算できる。これは、以下のパラメータを含む標準OAuth要求コールであり得る:すなわち、消費者鍵Ck(oauth_consumer_key)、署名方法Sm(oauth_signature_method)、署名S1(oauth_signature)、タイムスタンプOt(oauth_timestamp)、およびナンスN(oauth_nonce)である。署名S1は、例えば、Csを使用して作成できる。一般に、クライアントは、まず、タイムスタンプを生成することになり、次いで、それぞれの要求に関して一意のナンス値が生成される。iPhone(TM)は、これらのパラメータをテレビデバイスに送る(矢印216を参照されたい)。テレビデバイスは、それらのパラメータを用いてウェブサーバからトークンを要求する(矢印203を参照されたい)。次いで、ウェブサーバWSは、トークンT1(oauth_token)とトークン秘密Ts1(oauth_token_secret)とを生成して、それらをテレビデバイスに送る(矢印204を参照されたい)。PeCManテレビデバイスは、次いで、所有者をウェブサーバWSに導くことによって、所有者から承認を取得するために、宛て先変更メッセージを所有者に送る(矢印205)。これは、トークンT1と、所有者をPeCManサーバに宛て先変更させるためにウェブサーバが使用することになるURLであるコールバックURL Cとを含む、ウェブサーバのユーザ許可URL「WS://auth?」に対する標準OAuth要求であり得る。この許可要求は、次いで、ウェブサーバに渡されて(矢印206)、ウェブサーバは、一般に、PeCManサーバの識別を検証して、所有者に同意を求めることによって、トークンT1を認可することになる(矢印207)。例えば、プライベートコンテンツプロバイダ(ウェブサーバWS)に対する安全な接続は、そのプライベート資格証明をそのウェブサーバに提供して、そのトークンを安全な接続と関連付けることによってログインして確立される。次いで、テレビデバイスは、例えば、標準OAuthコールを使用して、トークンT1がコールバックURLを使用して許可されていることを所有者Oによって通知される(矢印208)。
テレビデバイスは、その資格証明と、消費者鍵(Ck)と、消費者秘密(Cs)と、トークン(T1)と、トークン秘密(TS1)とをiPhone(TM)に送る(矢印217を参照されたい)。この資格証明に基づいて、iPhone(TM)は、認証要求に関して必要なパラメータを計算できる。これは、例えば、以下のパラメータを用いて、要求トークンをアクセストークンと交換するための標準OAuth要求を使用して行うことが可能である:すなわち、消費者鍵Ck(oauth_consumer_key)、先に取得されたトークンT1(oauth_token)、署名方法Sm(oauth_signature_method)、署名S2(oauth_signature)、タイムスタンプOt(oauth_timestamp)、およびナンスN(oauth_nonce)である。署名S2は、例えば、CsとTs1とに基づいて計算できる。iPhone(TM)は、これらのパラメータをテレビデバイスに送る(矢印218を参照されたい)。次いで、テレビデバイスは、それらのパラメータを使用して、第2のトークンを要求する(矢印209)(段階Bを参照されたい)。応答して、第2のトークンT2とトークン秘密Ts2とがウェブサーバWSによって付与される(矢印210)。この第2のトークンT2は、メッセージを計算するために、正しい資格証明をiPhone(TM)に送ることによって、所有者のプライベートコンテンツに対するアクセスを得るためのデリゲートトークンとして機能し得る(219、220、211’、212’)。
さらなる代替の実施形態によれば、第2のクライアントデバイスは、DMCデバイスと異なってよく、事前に決定された情報の通信、および第2のクライアントデバイスと第1のクライアントデバイスとの間の情報交換は、他の機構に基づいてよい。例えば、事前に決定された情報を計算できないデバイスの資格証明(例えば、正しいURL)を維持するプロキシサーバを使用することが可能である。第1のクライアントデバイスは、正しいパラメータを計算することをそのプロキシに要求できる。次いで、プロキシは、結果として生じるURLをデバイスに転送して、そのデバイスがコンテンツサーバ上でプライベートコンテンツ(例えば、OAuth保護されたリソース)にアクセスするのを可能にする。
本発明の実施形態による方法は、自らがコンテンツサーバ上のプライベートコンテンツにアクセスするために事前に決定された情報を生成できない第1のクライアントデバイスに限定されない点に留意されたい。第1のクライアントデバイスは、例えば、これらの機能を本質的に備えるが、例えば、セキュリティ問題のために、それに関して必要な資格証明がそのデバイス上に記憶されていないモバイルフォンデバイスまたはPDAであってよい。その場合、これらの資格証明は、プロキシ上に記憶可能であり、第1のクライアントデバイスからの要求時に、そのプロキシは、前記コンテンツサーバにアクセスするために第1のクライアントに必要とされる事前に決定された情報を生成して、それを第1のクライアントに転送することが可能であり、その後、第1のクライアントは、コンテンツサーバ上のプライベートコンテンツにアクセスする。これらのシナリオは、したがって、セキュリティの利点を提供する。
当業者は、様々な上述の方法のステップは、プログラムされたコンピュータによって実行可能である点を容易に理解されよう。本明細書において、いくつかの実施形態は、機械可読またはコンピュータ可読であり、命令の機械実行可能プログラムまたはコンピュータ実行可能プログラムを符号化するプログラム記憶装置、例えば、デジタルデータ記憶媒体を網羅することも意図され、前記命令は、前記上述の方法のステップのうちのいくつかまたはすべてを実行する。これらのプログラム記憶装置は、例えば、デジタルメモリ、磁気ディスクおよび磁気テープなどの磁気記憶媒体、ハードドライブ、または光可読デジタルデータ記憶媒体であってよい。これらの実施形態は、上述の方法の前記ステップを実行するようにプログラムされたコンピュータを網羅することも意図される。
本発明の原理が特定の実施形態に関して上で提示されているが、この説明は、特許請求の範囲によって決定される保護の範囲の限定としてではなく、単なる例として行われている点を明瞭に理解されたい。
Claims (10)
- 所有者によって所有され、コンテンツサーバ上にインストールされたプライベートデジタルコンテンツに対するアクセスを、前記デジタルコンテンツを表示できる第1のクライアントに提供するための方法であって、
− 前記コンテンツサーバに対する許可されたアクセスを得るために前記第1のクライアントによって必要とされる事前に決定された情報を第2のクライアントによって生成するステップと、
− 前記事前に決定された情報を前記第2のクライアントから前記第1のクライアントに転送するステップと、
− 前記プライベートデジタルコンテンツに対するアクセスを得るために、前記事前に決定された情報を前記第1のクライアントによって使用するステップとを含む、方法。 - 前記事前に決定された情報が第1のクライアント固有情報に依存する、請求項1に記載の方法。
- 前記事前に決定された情報が第2のクライアント固有情報に依存する、請求項1に記載の方法。
- 前記第1のクライアント固有情報を前記第1のクライアントデバイスから前記第2のクライアントデバイスに転送するステップをさらに含む、請求項2から3に記載の方法。
- 前記事前に決定された情報が、コンテンツサーバに対して第1のクライアントを認証するための情報を含む、請求項1から4のいずれかに記載の方法。
- 前記事前に決定された情報が所有者固有情報を含む、請求項1から5のいずれかに記載の方法。
- 事前に決定された情報を第2のクライアントによって生成する前記ステップが、1つまたは複数の標準オープン認証コールを含む、請求項1から6のいずれかに記載の方法。
- 事前に決定された情報を第2のクライアントによって生成する前記ステップが、PeCManサーバなど、コンテンツ管理サーバと相互に作用するステップを含む、請求項1から7のいずれかに記載の方法。
- 所有者によって所有されたプライベートデジタルコンテンツにアクセスするためのシステムであって、
前記プライベートデジタルコンテンツを備えたコンテンツサーバと、
前記デジタルコンテンツを表示できる第1のクライアントと、
前記コンテンツサーバ上に記憶された前記デジタルプライベートコンテンツを所有する第2のクライアントとを備え、
前記第2のクライアントが、前記コンテンツサーバに対する許可されたアクセスを得るために前記第1のクライアントによって必要とされる事前に決定された情報を生成するように構成され、
前記第2のクライアントが、前記事前に決定された情報を前記第1のクライアントに転送するように構成され、前記第1のクライアントが、前記プライベートデジタルコンテンツに対するアクセスを得るために、前記第2のクライアントから前記事前に決定された情報を受信することを使用するように構成される、システム。 - プログラムがコンピュータ上で実行されるとき、請求項1から8のいずれかに記載の方法を実行するためのコンピュータ実行可能命令を備えた、コンピュータプログラム製品。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP09306010.1 | 2009-10-26 | ||
| EP09306010.1A EP2315149B1 (en) | 2009-10-26 | 2009-10-26 | System and method for accessing private digital content |
| PCT/EP2010/065502 WO2011051110A1 (en) | 2009-10-26 | 2010-10-15 | System and method for accessing private digital content |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013509123A true JP2013509123A (ja) | 2013-03-07 |
Family
ID=41567188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012535731A Pending JP2013509123A (ja) | 2009-10-26 | 2010-10-15 | プライベートデジタルコンテンツにアクセスするためのシステムおよび方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9071593B2 (ja) |
| EP (1) | EP2315149B1 (ja) |
| JP (1) | JP2013509123A (ja) |
| KR (1) | KR101412318B1 (ja) |
| CN (1) | CN102598010B (ja) |
| WO (1) | WO2011051110A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014235720A (ja) * | 2013-06-05 | 2014-12-15 | 富士通株式会社 | 情報開示システム、情報開示プログラム及び情報開示方法 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2643955B1 (en) * | 2010-11-24 | 2016-08-10 | Telefónica, S.A. | Methods for authorizing access to protected content |
| KR101729633B1 (ko) * | 2011-03-03 | 2017-04-24 | 삼성전자주식회사 | 통신 시스템에서 소셜 네트워크 서비스의 컨텐츠를 공유하기 위한 장치 및 방법 |
| CN103620602B (zh) * | 2011-06-27 | 2017-09-19 | 谷歌公司 | 对集合中的资源的持久性密钥访问 |
| US9166979B2 (en) * | 2012-10-01 | 2015-10-20 | International Business Machines Corporation | Protecting online meeting access using secure personal universal resource locators |
| CN104797629A (zh) | 2012-11-17 | 2015-07-22 | 三菱瓦斯化学株式会社 | 经高分子量化的芳香族聚碳酸酯树脂的制造方法 |
| JP6120650B2 (ja) * | 2013-04-05 | 2017-04-26 | キヤノン株式会社 | コンテンツ管理装置、コンテンツ管理方法及びプログラム |
| US9397990B1 (en) * | 2013-11-08 | 2016-07-19 | Google Inc. | Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud |
| JP6119709B2 (ja) * | 2014-09-29 | 2017-04-26 | ブラザー工業株式会社 | サービスプロバイダ装置、プログラム及びサービス提供方法 |
| US9350556B1 (en) | 2015-04-20 | 2016-05-24 | Google Inc. | Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key |
| US10044718B2 (en) | 2015-05-27 | 2018-08-07 | Google Llc | Authorization in a distributed system using access control lists and groups |
| US10320794B2 (en) | 2015-07-29 | 2019-06-11 | Microsoft Technology Licensing, Llc | System for sharing selectively ephemeral content |
| EP3345370B1 (en) | 2016-01-29 | 2019-03-13 | Google LLC | Device access revocation |
| JP6815744B2 (ja) * | 2016-04-26 | 2021-01-20 | キヤノン株式会社 | サーバ装置、システム、情報処理方法及びプログラム |
| JP6806543B2 (ja) * | 2016-11-25 | 2021-01-06 | キヤノン株式会社 | 権限検証システムおよびリソースサーバー、認証サーバー、権限検証方法 |
| CN107154932A (zh) * | 2017-04-07 | 2017-09-12 | 北京深思数盾科技股份有限公司 | 一种应用的访问控制方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004007589A (ja) * | 2002-04-16 | 2004-01-08 | Xerox Corp | 文書およびサービスへの安全なアドホックアクセス |
| JP2005526320A (ja) * | 2002-05-17 | 2005-09-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | デジタル著作権管理における安全なコンテンツの共有 |
| US20060135125A1 (en) * | 2004-12-22 | 2006-06-22 | Nokia Corporation | Method for producing authentication information |
| JP2008021297A (ja) * | 2006-06-12 | 2008-01-31 | Sharp Corp | コンテンツ配信システム、及び、携帯端末 |
| JP2008071226A (ja) * | 2006-09-15 | 2008-03-27 | Nec Corp | クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム |
| WO2008146395A1 (ja) * | 2007-05-31 | 2008-12-04 | Panasonic Corporation | ネットワーク中継装置、通信端末及び暗号化通信方法 |
| US20090106414A1 (en) * | 2007-10-22 | 2009-04-23 | Sony Ericsson Mobile Communications Ab | Digital Living Network Alliance (DLNA) Enabled Portable Electronic Devices, DLNA Management Consoles and Related Methods of Operating DLNA Enabled Portable Electronic Devices |
| JP2009104264A (ja) * | 2007-10-22 | 2009-05-14 | Oki Electric Ind Co Ltd | ログイン認証方法、ログイン認証サーバおよびログイン認証プログラム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128546A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for attribute exchange in a heterogeneous federated environment |
| US20040133908A1 (en) * | 2003-01-03 | 2004-07-08 | Broadq, Llc | Digital media system and method therefor |
| JP2004334330A (ja) * | 2003-04-30 | 2004-11-25 | Sony Corp | 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体 |
| JP4752884B2 (ja) * | 2008-08-21 | 2011-08-17 | ソニー株式会社 | 情報処理装置、およびデータ処理方法、並びにプログラム |
| US8869256B2 (en) * | 2008-10-21 | 2014-10-21 | Yahoo! Inc. | Network aggregator |
-
2009
- 2009-10-26 EP EP09306010.1A patent/EP2315149B1/en active Active
-
2010
- 2010-10-15 KR KR1020127010633A patent/KR101412318B1/ko active IP Right Grant
- 2010-10-15 WO PCT/EP2010/065502 patent/WO2011051110A1/en active Application Filing
- 2010-10-15 JP JP2012535731A patent/JP2013509123A/ja active Pending
- 2010-10-15 CN CN201080048194.2A patent/CN102598010B/zh active Active
- 2010-10-15 US US13/502,187 patent/US9071593B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004007589A (ja) * | 2002-04-16 | 2004-01-08 | Xerox Corp | 文書およびサービスへの安全なアドホックアクセス |
| JP2005526320A (ja) * | 2002-05-17 | 2005-09-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | デジタル著作権管理における安全なコンテンツの共有 |
| US20060135125A1 (en) * | 2004-12-22 | 2006-06-22 | Nokia Corporation | Method for producing authentication information |
| JP2008021297A (ja) * | 2006-06-12 | 2008-01-31 | Sharp Corp | コンテンツ配信システム、及び、携帯端末 |
| JP2008071226A (ja) * | 2006-09-15 | 2008-03-27 | Nec Corp | クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム |
| WO2008146395A1 (ja) * | 2007-05-31 | 2008-12-04 | Panasonic Corporation | ネットワーク中継装置、通信端末及び暗号化通信方法 |
| US20090106414A1 (en) * | 2007-10-22 | 2009-04-23 | Sony Ericsson Mobile Communications Ab | Digital Living Network Alliance (DLNA) Enabled Portable Electronic Devices, DLNA Management Consoles and Related Methods of Operating DLNA Enabled Portable Electronic Devices |
| JP2009104264A (ja) * | 2007-10-22 | 2009-05-14 | Oki Electric Ind Co Ltd | ログイン認証方法、ログイン認証サーバおよびログイン認証プログラム |
Non-Patent Citations (3)
| Title |
|---|
| CSNJ201010006053; 井上 武,朝倉 浩志,佐藤 浩史,高橋 紀之: '"Web APIを備えたデータベースシステムの設計と再利用性に関する一検討"' 電子情報通信学会2009年通信ソサイエティ大会講演論文集2 , 20090901, p.53, 社団法人電子情報通信学会 * |
| JPN6013039575; B. Vrancken, Z. Zeltsan: '"Using OAuth for Recursive Delegation"' OAUTH WG Internet-Draft draft-vrancken-oauth-redelegation-00, 200909, p.1-11, [online] * |
| JPN6013039576; 井上 武,朝倉 浩志,佐藤 浩史,高橋 紀之: '"Web APIを備えたデータベースシステムの設計と再利用性に関する一検討"' 電子情報通信学会2009年通信ソサイエティ大会講演論文集2 , 20090901, p.53, 社団法人電子情報通信学会 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014235720A (ja) * | 2013-06-05 | 2014-12-15 | 富士通株式会社 | 情報開示システム、情報開示プログラム及び情報開示方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2315149B1 (en) | 2019-11-20 |
| CN102598010A (zh) | 2012-07-18 |
| KR20120089484A (ko) | 2012-08-10 |
| US9071593B2 (en) | 2015-06-30 |
| KR101412318B1 (ko) | 2014-06-25 |
| WO2011051110A1 (en) | 2011-05-05 |
| CN102598010B (zh) | 2016-08-03 |
| US20120210448A1 (en) | 2012-08-16 |
| EP2315149A1 (en) | 2011-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9071593B2 (en) | System and method for accessing private digital content | |
| EP2257026B1 (en) | System and method for accessing private digital content | |
| US8719912B2 (en) | Enabling private data feed | |
| US10003587B2 (en) | Authority transfer system, method, and authentication server system by determining whether endpoints are in same or in different web domain | |
| CN101331731B (zh) | 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 | |
| US7761911B2 (en) | Method and apparatus for facilitating single sign-on | |
| US8984279B2 (en) | System for user-friendly access control setup using a protected setup | |
| US9413762B2 (en) | Asynchronous user permission model for applications | |
| US20090215477A1 (en) | Intelligent multiple device file sharing in a wireless communications system | |
| KR20140068964A (ko) | 자원 액세스 허가 기법 | |
| WO2010075761A1 (zh) | 一种向访问用户提供资源的方法、服务器和系统 | |
| US20100145859A1 (en) | Control device, reproducing device, permission server, method for controlling control device, method for controlling reproducing device, and method for controlling permission server | |
| JP6074497B2 (ja) | メディア情報アクセス制御のための方法及び装置、並びにディジタル・ホーム・マルチメディア・システム | |
| WO2013007154A1 (zh) | 媒体资源访问控制方法和设备 | |
| JP2011176435A (ja) | 秘密鍵共有システム、方法、データ処理装置、管理サーバ、及びプログラム | |
| JP5620999B2 (ja) | プライベートデジタルコンテンツにアクセスするためのシステムおよび方法 | |
| JP2009211566A (ja) | 認証システム、情報機器、認証方法、及びプログラム | |
| KR102126571B1 (ko) | 개인 클라우드 기기를 이용한 컨텐츠 공유 방법 및 이를 적용한 전자 기기, 그리고 개인 클라우드 시스템 | |
| WO2011077305A1 (en) | Methods and apparatuses for providing content for user terminals | |
| TW202226785A (zh) | 基於安全導向暨群組分享之物聯網系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130813 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131111 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131118 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140318 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140617 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140916 |