專利名稱:保密信息分配系統(tǒng)中的許可證管理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用戶可以請求數(shù)字信息的信息分配系統(tǒng)����,并尤其涉及保護用戶信息的信息分配系統(tǒng)���。
目前�����,個人在參加大范圍活動時需要顯示他的身份��。通常,當(dāng)他使用信用卡�、打電話�����、交稅����、訂閱雜志或通過互聯(lián)網(wǎng)使用信用卡或借記卡購物時���,在某處的計算機數(shù)據(jù)庫創(chuàng)建并記錄每個交易的可識別的記錄。為了使用除現(xiàn)金以外的別的東西來獲取服務(wù)或進行購買���,組織機構(gòu)要求他標(biāo)識他自己����。
消費者民意調(diào)查已經(jīng)再三表明個人重視他們的私密�����,并非常關(guān)心將個人信息通常存儲在他們控制不了的計算機數(shù)據(jù)庫���。保護一個人的身份與允許保持匿名——秘密的關(guān)鍵部分——密切聯(lián)系����。雖然信息和通信技術(shù)的發(fā)展已經(jīng)提高了組織機構(gòu)存儲海量個人數(shù)據(jù)的能力���,但是已經(jīng)越來越危害到其信息正被收集的那些人的私密����。在日益注重私密的世界里,個人信息的公開和追蹤用戶的可能性���,可以引起用戶方的許多私密擔(dān)憂���,終歸���、或許�、甚至增大了那些部分用戶對侵入私密的新技術(shù)的憎恨��。
這與服務(wù)供應(yīng)商或信息分配商的興趣形成鮮明的對比,而服務(wù)供應(yīng)商或信息分配商為了能夠盡可能地實施直接營銷的活動�,防止他們自己受騙等���,想要盡可能多地了解他們的用戶��。作為預(yù)防措施��,將來必須從系統(tǒng)中排除濫用系統(tǒng)的用戶。
在許多信息分配系統(tǒng)中���,相對容易獲悉不同用戶的習(xí)慣��,例如通過在系統(tǒng)內(nèi)分接通信���。此信息隨后可以被濫用���,例如用于兜售信息(spamming)��。今天這些問題被部分地解決�,例如通過催促用戶密切注意他們?nèi)绾未鎯缢麄冊谙到y(tǒng)中所用的密碼�����,或通過高保密程度來保護有價值的信息�����。US 2003/0200468 A描述了如何在在線交易中保存顧客的身份,通過在信任的網(wǎng)站上存儲用戶的身份�。
然而����,使用安全網(wǎng)站的上述系統(tǒng)是易受攻擊的�。成功攻擊信任網(wǎng)站的某人具有哪些密鑰對應(yīng)于哪個用戶身份的知識���。黑客能因此使用此信息在防護很弱的信息分配系統(tǒng)中測繪出某個用戶的習(xí)慣�。
保密信息分配系統(tǒng)的用戶可能想要分配他擁有的許可證����,而該許可證描述了與某些所請求信息相關(guān)聯(lián)的權(quán)限�����。在本文中��,術(shù)語“distribute(分配)”涉及兩部分行為。一個行為是向另一用戶贈送或出售許可證���,這意味著初始所有人不再持有該許可證,改為將許可證轉(zhuǎn)給另一用戶。另一個行為是與所有屬于某個團體或域的一個或若干其他用戶共享這些權(quán)限�����。當(dāng)用戶與另一用戶共享他的權(quán)限時,兩個用戶每人都持有一個他們能夠自由使用的許可證�。與各自許可證相關(guān)聯(lián)的權(quán)限未必是必須相等的�。例如�����,與轉(zhuǎn)移的權(quán)限相關(guān)聯(lián)的權(quán)限可以比初始的權(quán)限有更多的限制�。
與在系統(tǒng)內(nèi)分配權(quán)限相關(guān)的問題在于,提供一種可以從一個用戶向另一個用戶或若干其他用戶分配許可證的系統(tǒng)����,同時保護用戶的私密�。
本發(fā)明的目的在于消除或者至少減輕所描述的有關(guān)問題�,即在信息分配系統(tǒng)中從至少一個用戶向至少一個其他用戶分配權(quán)限或許可證����,同時為所述用戶提供保密����。
此目的通過根據(jù)所附權(quán)利要求1和15的方法和系統(tǒng)來實現(xiàn)��。在從屬權(quán)利要求中定義了優(yōu)選實施例�。
如于此使用的��,術(shù)語“用戶的真實身份”指的是用戶的物理身份或可以與物理用戶相聯(lián)系的數(shù)據(jù)��,例如電話號碼���、地址、社會保障或保險號���、銀行帳號��、信用卡號�、組織機構(gòu)編號等。而且��,如于此使用的,“假名”或輔助身份是足以防止其與人的真實身份相聯(lián)系的任何數(shù)據(jù)即匿名��。在用戶的真實身份與所述用戶所請求的信息之間不存在聯(lián)系��,意味著沒有明顯的途徑來重構(gòu)實際用戶已經(jīng)請求的信息��,例如因為沒有存儲應(yīng)能夠進行這種重構(gòu)的信息的數(shù)據(jù)庫����。
根據(jù)本發(fā)明的第一方面,本發(fā)明涉及一種在信息分配系統(tǒng)中管理屬于至少一個用戶的許可證和證書�、同時使所述用戶的身份保密的方法���。在所述系統(tǒng)中���,每個用戶由至少一個用戶身份設(shè)備代表��,而所述至少一個用戶身份設(shè)備包括至少第一固定假名����。所述方法包括以下步驟-在許可證管理設(shè)備接收代表所請求信息的數(shù)據(jù)和對應(yīng)的權(quán)限����;
-在許可證管理設(shè)備創(chuàng)建所述所請求信息的第一許可證;-在第一用戶身份設(shè)備接收所述第一許可證���;-在所述許可證管理設(shè)備接收包括至少一個固定假名的一組固定假名、基于所述第一許可證的第二許可證和將所述第二許可證分配給一組用戶身份設(shè)備的請求���,而這組用戶身份設(shè)備包括至少一個用戶身份設(shè)備,每個用戶身份設(shè)備與所述這組固定假名中包含的各自的固定假名相關(guān)聯(lián)����;-在所述許可證管理設(shè)備創(chuàng)建一組所述所請求信息的許可證�,其中���,這組許可證包括這組用戶身份設(shè)備的每個用戶身份的第三許可證���,并且其中,每個許可證包括能夠標(biāo)識所述各自第三許可證的身份數(shù)據(jù)�����;-在身份管理設(shè)備從第二用戶身份設(shè)備接收對證書的請求和第二固定假名����,其中��,所述第二固定假名被包含在所述這組固定假名中,第二用戶身份設(shè)備對應(yīng)于所述第二固定假名且被包含在所述這組用戶身份設(shè)備中�����;-在所述身份管理設(shè)備創(chuàng)建證書����;-在所述第二用戶身份設(shè)備從所述身份管理設(shè)備接收所述證書;-將所述這組許可證中的每個所述創(chuàng)建的許可證分配給所述這組用戶身份設(shè)備中所包含的它的對應(yīng)用戶身份設(shè)備�;以及-在訪問所述所請求信息時驗證所述這組許可證所包含的許可證和所述證書�。
根據(jù)本發(fā)明的第二方面,本發(fā)明涉及用于分配信息����、同時使用戶身份保密的信息系統(tǒng)����,所述信息系統(tǒng)包括-第一用戶身份設(shè)備�,其包括固定假名���;-一組用戶身份設(shè)備����,其包括至少一個用戶身份設(shè)備����;-許可證管理設(shè)備���,其被安排成從所述第一用戶身份設(shè)備接收代表所請求信息和對應(yīng)權(quán)限的數(shù)據(jù)��,創(chuàng)建第一許可證�����,向所述第一用戶身份設(shè)備發(fā)送所述第一許可證,基于所述第一許可證接收第二許可證和包括至少一個固定假名的一組固定假名�����,創(chuàng)建一組許可證,其中所述這組許可證包括每個用戶身份設(shè)備的第三許可證���,而每個用戶身份設(shè)備與所述第二組固定假名中所包含的各自的固定假名相關(guān)聯(lián),并將所述這組許可證中所包含的每個所述許可證分配給它對應(yīng)的用戶身份設(shè)備���;-身份管理設(shè)備�����,其被安排成接收固定假名��,創(chuàng)建證書開向所述這組用戶設(shè)備中所包含的所述身份設(shè)備發(fā)送證書���。
上述方面的一個優(yōu)點在于���,可以從一個用戶向一個或若干不同的其他用戶分配這些許可證,而不向系統(tǒng)暴露任何用戶的真實身份�����。因此,保護了用戶的私密�,因為所述用戶的真實身份未與系統(tǒng)中的標(biāo)識符相關(guān)聯(lián)�。因此�,防止了用戶在信息分配系統(tǒng)中的行為受到監(jiān)控����。
下面����,列出了與本發(fā)明不同實施例有關(guān)的許多優(yōu)點�����。全部這些優(yōu)點的共同之處在于所述方法使用戶身份對系統(tǒng)保密�����。
如權(quán)利要求2所定義的方法����,其中�,在將許可證分配給域時使用主許可證���,有利地為域結(jié)構(gòu)提供保密,因為沒人(或許除了負責(zé)創(chuàng)建域等的人之外)能夠用域標(biāo)識符鏈接域成員(或他們的標(biāo)識符)���。而且,第二許可證管理設(shè)備或域管理器的引入�����,提供了對可數(shù)權(quán)限的保密增強管理,因為防止內(nèi)容供應(yīng)商在出現(xiàn)消耗可數(shù)權(quán)限時����,知道涉及哪個標(biāo)識符�����、使用什么內(nèi)容和哪個設(shè)備。通過引入若干域管理器�,例如每個域一個域管理器��,則設(shè)備不能完全知道設(shè)備使用的信息��。而且���,此方法在管理可數(shù)權(quán)限并同時為用戶保密時是有利的�。通過此方法����,實現(xiàn)了面向第一許可證管理設(shè)備的行為保密。即�����,第一許可證管理設(shè)備不會得知涉及改變可數(shù)權(quán)限的每個用戶操作的時間�����、所請求信息��、用戶身份設(shè)備和固定假名�����。
如權(quán)利要求3定義的方法�����,有利地提供一種安全的許可證結(jié)構(gòu)。
如權(quán)利要求4定義的方法����,有利地提供高安全級��,因為它要求提供在訪問所請求的內(nèi)容之前���,都驗證用戶身份設(shè)備許可證和主許可證���。在此驗證處理中,所述用戶身份設(shè)備許可證中所包含的權(quán)限可以與所述主許可證中所包含的權(quán)限相比��,以便確定所述主許可證中所包含的權(quán)限沒有比所述用戶身份設(shè)備許可證中所包含的權(quán)限受到更多的限制。
如權(quán)利要求5定義的方法����,有利地便于許可證有效性的驗證��,通過在對應(yīng)的證書中提供哪些許可證是有效的指示�。很清楚����,“指示哪些許可證是有效的”的動作都可以以正向和反向的方式來施行。后者的示例一個示例是使用失效列表�、或黑名單,其包括所有不再有效的許可證�����。前者的示例是使用白名單,其包括所有的有效許可證��。
如權(quán)利要求6定義的方法�,有利地便于舊許可證的注銷����,例如在這些許可證已被轉(zhuǎn)移給另一用戶或由于其他原因如有害行為被作廢時�。
如權(quán)利要求5和6所定義的方法�,具有提供了一種注銷那些已經(jīng)作廢了的許可證的安全方法的優(yōu)點�。該方法保證了不能同時使用舊許可證和新許可證�。而且�,它防止提供信息的設(shè)備知道許可證的老用戶和新用戶之間的聯(lián)系�����。
如權(quán)利要求7定義的方法,提供了標(biāo)識許可證的有利途徑�。一般地���,每組信息用不同的密鑰進行編碼,而此密鑰可以被包含在所述許可證中���,并被用來解密所述內(nèi)容。由于每個許可證包括不同的密鑰�,所以密鑰可用于標(biāo)識許可證��。而且��,此許可證識別數(shù)據(jù)便于對權(quán)限的消耗����、共享或轉(zhuǎn)移進行管理�。
如權(quán)利要求8定義的方法,是提供完整性的有利途徑��。依據(jù)此方法�,在指示證書包含的有效許可證的許可證列表中的每個許可證識別數(shù)據(jù)通過散列函數(shù)用常數(shù)進行編碼��。這允許證書和許可證的驗證器確定許可證是否有效����,通過比較所述許可證識別數(shù)據(jù)與編碼的許可證識別數(shù)據(jù)列表��,而其他實體不會得知任何許可證識別數(shù)據(jù)。
如權(quán)利要求9定義的方法��,提供一種有利的許可證格式,其為信息提供者提供保密���,不會向系統(tǒng)顯示用戶的身份。
如權(quán)利要求10定義的方法是有利的�����,因為它簡化了確定所提供的許可證是有效的(不是作廢的)的方法。
如權(quán)利要求11定義的方法是有利的���,因為用戶不必管理任何其他用戶的密鑰。
如權(quán)利要求12定義的方法是有利的�,因為它防止所述系統(tǒng)得知所述第一和第二固定假名之間的關(guān)聯(lián)��。此知識也許是用戶不需要的,因為它可以被濫用�����,例如兜售信息��。
如權(quán)利要求14定義的方法是有利的,因為它簡化了為所述轉(zhuǎn)移的許可證提供比初始許可證更多受限的權(quán)限的方法�����。因此����,此方法能被用來區(qū)分域內(nèi)成員之間的權(quán)限����。
上面已經(jīng)描述了通過所述方法的實施例獲得的一些優(yōu)點�。類似的優(yōu)點還可以通過對應(yīng)的所述信息分配系統(tǒng)的實施例來實現(xiàn),如涉及系統(tǒng)的從屬權(quán)利要求所定義的�����。
本發(fā)明的這些及其他方面�、特征和優(yōu)點,將參照以下所述的實施例進行闡述�,并且從所述實施例中顯現(xiàn)出來�。
圖1示意性地示出了本發(fā)明的第一實施例����,其中��,從第一用戶身份設(shè)備向至少第二用戶身份設(shè)備分配許可證。
圖2示意性地示出了本發(fā)明的第二實施例���,其中���,轉(zhuǎn)移的許可證被注銷����。
圖3示意性地示出了本發(fā)明的第三實施例�,其中,在從第一用戶向第二用戶轉(zhuǎn)移許可證時使用匿名許可證。
圖4示意性地示出了本發(fā)明的第四實施例�����,其中�����,在從第一用戶向第二用戶轉(zhuǎn)移權(quán)限時使用匿名許可證,而不用前述的許可證��。
圖5示意性地示出了本發(fā)明的第三實施例��,其中���,從一個用戶身份設(shè)備向一組用戶身份設(shè)備分配一個許可證。
圖1示意性地示出了本發(fā)明的一實施例����。想要訪問諸如連接互聯(lián)網(wǎng)的數(shù)據(jù)庫之類的屬于內(nèi)容供應(yīng)商或許可證管理設(shè)備LMD 120的信息的用戶�,不用向信息系統(tǒng)顯示他的真實身份����,可以通過使用用戶身份設(shè)備或智能卡SC 110來完成這一切����。當(dāng)用戶想要購買訪問某些內(nèi)容的權(quán)限時��,他借助于匿名信道請求權(quán)限113和某一內(nèi)容112來聯(lián)系內(nèi)容供應(yīng)商或許可證管理設(shè)備120��。在匿名支付方案實施之后,用戶向許可證管理設(shè)備110發(fā)送1他的公開密鑰PK1 111�����,然后許可證管理設(shè)備110創(chuàng)建2此內(nèi)容的權(quán)限和/或許可證121�����。在不同的實施例中,內(nèi)容供應(yīng)商和許可證管理設(shè)備可以是一個公共單元或兩個獨立單位��。如果他們是兩個獨立單元,則內(nèi)容供應(yīng)商向用戶發(fā)送所請求的內(nèi)容���,而許可證管理器設(shè)備為該內(nèi)容創(chuàng)建許可證。如果他們是一個公共單元��,則許可證管理器設(shè)備向用戶提供了所請求的內(nèi)容和許可證。
內(nèi)容通過內(nèi)容供應(yīng)商用對稱密鑰SYM進行加密����,并連同許可證121一起被發(fā)送給用戶。優(yōu)選地,許可證的格式是{PK1[SYM//Rights//contentID]}signCP�,其中PK1加密串聯(lián)的值[SYM//Rights//contentID]���。在本文中����,Rights描述了用戶獲取的權(quán)限�����,例如他是否被授權(quán)收聽整首歌曲或僅僅有權(quán)收聽歌曲的簡介��,或者他被授權(quán)收聽這首歌曲的次數(shù)。而且�,contentID標(biāo)識與所述權(quán)限相關(guān)聯(lián)的內(nèi)容���,并且signCP是內(nèi)容供應(yīng)商在許可證121上的簽名。提供額外安全性的替換格式是{PK1[SYM//Rights//contentID]����,H(SYM//Rights//contentID)}signCP��,其中�����,加密的總值可以由存取設(shè)備逐一地檢查。注意�����,存取設(shè)備不能檢查用PK1加密的總值,因為它無法得知PK1����。許可證121在被檢查時既不顯示公鑰PK1 111�����,也不顯示內(nèi)容標(biāo)識符或權(quán)限,所以它保護了用戶在內(nèi)容和權(quán)限所有權(quán)方面的私密����。因此���,如果在用戶的存儲設(shè)備中發(fā)現(xiàn)許可證121�,則不會危及用戶私密的安全��。在如上簡要所述的此購買過程期間,許可證管理器設(shè)備120得知公鑰PK1 111和contentID 112����、權(quán)限113和對稱密鑰之間的關(guān)聯(lián)���,但是它不會由于匿名信道而得知真實的用戶身份。
當(dāng)?shù)谝挥脩羯矸菰O(shè)備110的用戶想要將他的一個許可證分配給第二用戶設(shè)備130的持有人時����,需要創(chuàng)建所述第二用戶設(shè)備的對應(yīng)許可證。這可以實現(xiàn)���,例如通過下列步驟來實現(xiàn)��。許可證的持有人即第一用戶����,使用他的用戶身份設(shè)備110向許可證管理設(shè)備120發(fā)送4他想要連同用戶身份設(shè)備130的至少固定假名PK2 131一起分配的許可證121�����,而用戶身份設(shè)備130將接收該許可證。許可證121可以具有格式{PK1[SYM//Rights//contentID]}signCP�����,如上所述。如果接收的許可證是有效的�,則創(chuàng)建5新的、第二許可證114���,具有格式{PK2[SYM′//Rights′/contentID]}signCP�,其中�����,PK2 131加密串聯(lián)的值[SYM′//Rights′/contentID]�。Rights′描述了第二用戶獲取的權(quán)限���,其可以等效于Rights�����,或比Rights更加受限。contentID標(biāo)識了與所述權(quán)限相關(guān)聯(lián)的內(nèi)容����,并且signCP是內(nèi)容供應(yīng)商在許可證122上的簽名。創(chuàng)建的許可證114被發(fā)送9給第二用戶設(shè)備130����,并且此刻連同所述第二用戶設(shè)備的有效認證證書(compliance certificate)一起準(zhǔn)備用于訪問所述內(nèi)容�。
一般地����,為了所述第二用戶安全地訪問存取設(shè)備上的所述所請求的內(nèi)容�����,必須向存取設(shè)備出示他的智能卡130的認證證書141。此認證證書優(yōu)選在所述第二許可證被發(fā)送給所述第二用戶身份設(shè)備之前頒發(fā)�。而且�,優(yōu)選證書141不包含公鑰PK1 111�,但是用可變的SC假名或臨時假名頒發(fā)��。為了獲取SC 130的認證證書141�,用戶/SC匿名聯(lián)系身份管理設(shè)備140或智能卡的認證證書頒發(fā)機構(gòu)(CA-SC)���,發(fā)送6它的公鑰PK2 131并申請證書�����。CA-SC 140驗證私鑰PK2 131是否有效�。如果有效�����,則CA-SC 140生成7智能卡131的臨時假名,例如隨機數(shù)RAN��,并頒發(fā)下列認證證書141{H(RAN),PK1[RAN]}signCA-SC�����,其被發(fā)送8給智能卡131��。H( )在此實施例是單向散列函數(shù)�,PK2 131加密RAN,而signCA-SC是CA-SC在證書上的簽名�����。
證書141在被檢查時既不顯示公鑰PK2 131���,也不顯示智能卡130的臨時假名RAN�。而且���,可以從證書131中獲取RAN的唯一實體是智能卡130�。完成這借助于用與SC 130相關(guān)聯(lián)的私鑰SK2 133進行加密。值RAN然后可以由驗證方借助于證書中的散列值進行核對�����。假名RAN的使用允許驗證器檢查智能卡130的認證��,而不用得知它的公鑰PK2131。而且�,因為假名RAN可以每逢需要時經(jīng)常進行改變(每次智能卡SC 130獲取新認證證書131)���,所以驗證器鏈接認證證書與指定智能卡110的可能性可以被最小化。在上述的此步驟期間�����,智能卡(CA-SC)140的認證證書頒發(fā)機構(gòu)由匿名信道得知公鑰131與RAN之間而不是與真實的用戶身份之間的關(guān)聯(lián)。
此刻���,用戶可以訪問他具有許可證的內(nèi)容,優(yōu)選在存取設(shè)備AD上執(zhí)行該訪問��。一般存取設(shè)備根據(jù)DRM規(guī)則進行工作。為了訪問該內(nèi)容�,用戶必須隨身攜帶內(nèi)容和許可證(例如�����,光盤中的內(nèi)容和許可證),或已經(jīng)將它們存儲在網(wǎng)絡(luò)上的某個地方�。但不論哪種情況,內(nèi)容加上許可證必須首先被轉(zhuǎn)移給存取設(shè)備AD。而且�����,因為用戶此刻物理上出現(xiàn)在存取設(shè)備AD的前面���,所以可能向AD“暴露”他的真實身份��。因此�����,為了防止向用戶之外的任何其他人暴露用戶真實身份與公鑰PK2之間的關(guān)聯(lián),公鑰PK2 131不應(yīng)在內(nèi)容訪問時向存取設(shè)備AD顯示����。這就是為什么SC 130的認證證書141用可變的假名RAN來頒發(fā)���。一旦核對了證書��,存取設(shè)備就獲悉RAN����,但不會得知公鑰PK1 131。內(nèi)容訪問過程的一個示例描述如下�����。
內(nèi)容訪問過程在智能卡130和存取設(shè)備彼此相互作用之前,它們進行相互認證檢查存取設(shè)備AD的認證借助于存取設(shè)備的認證證書來證明����,而存取設(shè)備的認證證書由存取設(shè)備的認證證書頒發(fā)機構(gòu)(CA-AD)頒發(fā)�,并向智能卡130出示�。為了能夠驗證存取設(shè)備的認證證書����,智能卡130裝備有CA-AD的公鑰�����。如果此密鑰定期改變���,則責(zé)成AD定期更新它的認證證書����。這也意味者智能卡SC 130必須定期更新公鑰��,這可以在SC 130從CA-SC獲取它自己的認證證書時進行�。
智能卡130的認證借助于向存取設(shè)備出示的認證證書來提供���。如上所述,智能卡130通過用私鑰PK2解密證書141�,從證書141中獲取值RAN�,并將此值發(fā)送給存取設(shè)備����。存取設(shè)備借助于證書中的項H(RAN)檢查此值���。因為存取設(shè)備可以裝備有時鐘,所以智能卡的認證證書141可以具有其上添加的它的頒發(fā)時間��,這強制智能卡130在證書過時時更新證書。這也是為了智能卡經(jīng)常更新它的認證證書���,以便最小化如上所述的可鏈接性(linkability)。
在上述的此相互認證檢查之后�,存取設(shè)備向智能卡130發(fā)送來自許可證的項PP[SYM//Rights/contentID]��,智能卡130解密項PP[SYM//Rights/contentID]后將值SYM�����、Rights和contentID發(fā)回到存取設(shè)備。存取設(shè)備能因此使用SYM解密內(nèi)容��,并讓用戶根據(jù)Rights訪問它。
許可證注銷圖2示意性地描述了本發(fā)明的不同實施例���。此實施例除了本實施例包括使用指示哪些有關(guān)許可證有效的證書之外���,與參照圖1描述的實施例相同����。頒發(fā)第一許可證121,并將其發(fā)送給第一用戶身份設(shè)備110���,如上所述,參照圖1的參考數(shù)字1-3����。此后用戶將他的許可證分配11給持有第二用戶身份設(shè)備130的第二用戶���,然后第一許可證根據(jù)下述處理被注銷�。
第一用戶身份設(shè)備110經(jīng)由匿名信道聯(lián)系4許可證管理設(shè)備120���,通過他的固定假名PK1 111證明他自己����,并提供4將被轉(zhuǎn)移的許可證121以及第二用戶身份設(shè)備131的固定假名131���。許可證管理設(shè)備通過比較該許可證與第一組數(shù)據(jù)224����,驗證許可證是有效的。在此實施例中���,此第一組數(shù)據(jù)是黑名單�,或則換言之,是失效列表�����,包括不再有效的所有許可證的身份���。
如果所述第一許可證是有效的����,則許可證管理器設(shè)備120通過用所述第一許可證121已被轉(zhuǎn)移給第二用戶的信息來更新10信息系統(tǒng)��,開始進行后續(xù)的工作。這可以通過這樣更新10所述第一組數(shù)據(jù)224來完成����,即所述第一組數(shù)據(jù)224指示所述第一許可證不再有效����。
然后鼓勵第一用戶向所述身份管理設(shè)備140提供11他的固定假名111和更新其證書的請求�����。在身份管理設(shè)備140已經(jīng)接收固定假名111之后��,假名連同對第二組數(shù)據(jù)的請求一起被轉(zhuǎn)發(fā)給所述許可證管理設(shè)備��,而第二組數(shù)據(jù)指示對應(yīng)于所述假名PK1的所有注銷的許可證。因為加密內(nèi)容的對稱密鑰SYM對于每個許可證是唯一的���,所以許可證管理設(shè)備可以使用此值來標(biāo)識每個與PK1 111相關(guān)聯(lián)的許可證。許可證管理設(shè)備然后創(chuàng)建13此第二組數(shù)據(jù)225�,包括下述值H(Sym_1//Time)�����,H(Sym_2//Time),…��,H(Sym_n//Time)����,其中����,每個值是已注銷許可證的密鑰Sym_i的散列值�����,對應(yīng)于所述PK1 111���,與當(dāng)前時間串聯(lián)�。單向散列函數(shù)H()被用于降低所述第二組數(shù)據(jù)225中失效列表各項的大小��,以及用于對不需要得知Sym_i各值的任一方隱藏那些值。而且��,當(dāng)前時間與每個Sym_i串聯(lián)����,以便防止在不同的場合經(jīng)由為PK1 111頒發(fā)的認證證書失效列表的可鏈接性��。
一旦PK1所有的已注銷許可證的值被歸入第二組數(shù)據(jù)225�����,則這些數(shù)據(jù)連同值Time即與許可證身份串聯(lián)的常數(shù)一起,由許可證管理設(shè)備120向身份管理設(shè)備140發(fā)送14��。身份管理設(shè)備140此刻將此第二組數(shù)據(jù)以及所述值Time歸入15所述第一用戶身份設(shè)備的認證證書242。證書242具有下面的格式{H(RAN)�����,PK1[RAN]��,Time,H(Sym_1//Time)�����,H(Sym_2//Time)���,...,H(SYM_n//Time)}signCA-SC�����。
證書242然后被發(fā)送給第一SC 110����,第一SC 110可以將242存儲在SC本身。一般的SC可以存儲其失效列表具有高達500個左右的注銷許可證的認證證書��。當(dāng)/如果失效列表變得太大以至于不再可能存儲在SC時�,則證書例如可以存儲在網(wǎng)絡(luò)中的服務(wù)器上或存儲在光存儲介質(zhì)上�����。
如上所述��,當(dāng)用戶請求訪問存取設(shè)備上或認證的設(shè)備CD上的內(nèi)容時�����,內(nèi)容加上許可證必須被轉(zhuǎn)移給存取設(shè)備���。因為用戶身份設(shè)備必須向存取設(shè)備證明它的認證�,所以一旦用戶請求內(nèi)容,用戶身份設(shè)備就必須提供如上所述的認證證書�����。所以,在相互認證檢查之后�����,存取設(shè)備向用戶身份設(shè)備發(fā)送來自許可證的項PK2[SYM′//Rights′/contentID]���,用戶身份設(shè)備解密項PK2[SYM′//Rights′/contentID]后將值SYM′���、Rights′和contentID發(fā)回到存取設(shè)備����。在存取設(shè)備使用SYM′解密內(nèi)容和讓用戶(根據(jù)Rights′)訪問內(nèi)容之前�����,它計算H(Sym′//Time)��,并檢查此值是否處于失效列表內(nèi)。如果不處于失效列表中�,CD則繼續(xù)進行訪問請求的處理���。
如果認證證書被用戶身份設(shè)備110經(jīng)常更新,則這是一優(yōu)點�����。這樣做有利于用戶和DRM系統(tǒng),至少出于下列理由-為了最小化經(jīng)由用戶內(nèi)容訪問不同內(nèi)容的請求的假名RAN的可鏈接性,和-作為存取設(shè)備的必要條件,如果證書(因此失效列表)太舊���,則其借助于值Time進行驗證�����。
倘若用戶對頻繁更新他的證書不感興趣�����,則更新可以被強制作為存取設(shè)備的必要條件�。由于認證證書的頻繁更新�,存取設(shè)備也經(jīng)?�?梢缘玫絇K1的注銷許可證的更新值�����。
在證書242已被所述第一用戶設(shè)備110接收16�����,并向許可證管理設(shè)備出示之后��,所述第二許可證122被發(fā)送給所述第二用戶身份設(shè)備131�。
優(yōu)選方法應(yīng)該是第二許可證被發(fā)送給第二用戶身份設(shè)備����,第一用戶設(shè)備向許可證管理設(shè)備證明他的舊證書(在獲取證書242之前使用的����,因此不包括注銷的許可證)已經(jīng)到期����。
此處理的一個優(yōu)點在于新許可證不被分配給第二用戶����,直到第一用戶已經(jīng)接收他的新證書��。用這種方法����,防止第一和第二用戶同時使用他們各自的許可證���。
使第一和第二用戶之間的關(guān)聯(lián)保密當(dāng)許可證從第一用戶向第二用戶轉(zhuǎn)移時�����,例如本發(fā)明的所述第二實施例���,許可證管理器設(shè)備獲悉那兩個用戶之間的關(guān)聯(lián)�����,即公鑰PK1和PK2之間的關(guān)聯(lián)�����。也許用戶不需要知道此關(guān)聯(lián)。因此使用普通許可證可能是有利的��,在此文件中���,普通許可證稱為“匿名許可證”�����,其中未規(guī)定用戶身份。
匿名許可證在此文件中是具有規(guī)定權(quán)限的規(guī)定內(nèi)容的許可證(如先前描述的許可證122)��,但該許可證不與用戶身份設(shè)備相關(guān)聯(lián)(即不與固定假名相關(guān)聯(lián))���。這種許可證可以由購買或相反獲取具有指定權(quán)限的指定內(nèi)容的任何匿名用戶的許可證管理設(shè)備頒發(fā)�。它還可以為請求撤銷他的許可證的第一用戶頒發(fā)�,以便它被轉(zhuǎn)移給第二用戶���。既然許可證不與給定的人相關(guān)聯(lián),所以它可以轉(zhuǎn)移(贈與��、出售等)���。給任何其他人。此人以后可以向相同的許可證管理設(shè)備提供該許可證����,以便被交換用于個人化許可證(例如許可證121)���,其然后可以用于內(nèi)容訪問��。
然而出于安全的原因�����,在許可證管理設(shè)備頒發(fā)匿名許可證之前,優(yōu)選必須向許可證管理設(shè)備分配唯一標(biāo)識符��。這樣做為了防止一旦匿名許可證已被贖回,則它的任何副本(該副本也許是用戶制作的)也可以被贖回����。然而,如果此標(biāo)識符被許可證管理設(shè)備選擇��,則它將能鏈接兩個用戶的固定假名,因為它可以識別該標(biāo)識符��。為了防止這個情況����,如下所述�,可以使用盲簽名���。
圖3例示了本發(fā)明的第三實施例,其中�����,處理對應(yīng)于某些內(nèi)容和權(quán)限的第一用戶,向第二用戶轉(zhuǎn)移此許可證��,不用向系統(tǒng)顯示所述第一和第二用戶設(shè)備之間的鏈接����。除了如下所述的差異以外,此第三實施例與參照圖2描述的第二實施例相同�。
頒發(fā)第一許可證121�����,并將其發(fā)送給第一用戶身份設(shè)備110�,如上所述,參照圖1的參考數(shù)字1-3��。此后����,第一用戶經(jīng)由匿名信道聯(lián)系18CP或許可證管理設(shè)備120�,并連同撤銷第一許可證121和頒發(fā)匿名許可證的請求一起����,發(fā)送第一許可證121和他的PK1 111���。此撤銷或注銷前面已經(jīng)描述過�,參照圖2的參考數(shù)字11-16,但在下一段中還要進行描述�����。
CP 120發(fā)送用戶證明他自己的請求����,這可以經(jīng)由標(biāo)準(zhǔn)協(xié)議來實現(xiàn)(CP向用戶發(fā)送用PK1 111加密的隨機質(zhì)詢����;如果用戶是可信的��,則他可以使用PK/SK對中他的SK解密質(zhì)詢�,并將質(zhì)詢發(fā)回到CP)。在鑒別用戶之后���,CP注銷PK1 111的第一許可證121���。而且�,在匿名許可證被發(fā)送給所述第一用戶身份設(shè)備110之前,從CA-SC向第一用戶身份設(shè)備發(fā)送新認證證書241�����。此證書241包括所述第一許可證121�,因為所述第一組數(shù)據(jù)在創(chuàng)建所述證書之前被修改�����。
第一用戶身份設(shè)備創(chuàng)建秘密隨機標(biāo)識符,并遮蔽17此值����,這生成遮蔽的標(biāo)識符Blind[ID]314�����。在第一用戶身份設(shè)備以及接收所述新證書241之后���,用戶和CP之間的協(xié)議可以繼續(xù)。優(yōu)選地��,開始新協(xié)議,其中����,用戶向CP發(fā)送18他的PK1 111即第一許可證121����,并證明他自己,并還發(fā)送他的新認證證書241以及舊的到期證書,并且用戶希望轉(zhuǎn)移給第二用戶的所述遮蔽的ID Blind[ID] 314與NewRights313�。用來自第一用戶的所有這些值����,CP可以首先驗證第一用戶的新認證證書241包括注銷的許可證121,(經(jīng)由項H(Sym//time)進行參考)���。第二�����,驗證NewRights 313是否少于或等效于第一許可證121中出現(xiàn)的Rights 113。第三�,從提供的第一許可證121獲取contentID112�����。如果驗證符合要求��,則內(nèi)容供應(yīng)商CP 120可以創(chuàng)建19所述所請求內(nèi)容和對應(yīng)權(quán)限的匿名許可證。
為了做到這一點���,許可證管理設(shè)備具有不同權(quán)限與不同內(nèi)容的每個可能組合的唯一一對公鑰/私鑰。如果這組所有的權(quán)限被預(yù)先規(guī)定包括R個權(quán)利���,并且這組所有的內(nèi)容具有C項。這意味著許可證管理設(shè)備優(yōu)選必須具有R*C個不同的公鑰/私鑰對���。假定是這種設(shè)置,一旦許可證管理設(shè)備從第一用戶接收數(shù)據(jù){Blind[ID]���,NewRights},則它可以用{NewRights����,contentID}的這一組合的私鑰簽名盲標(biāo)識符即Blind[ID]314����,并向用戶返回20值{{Blind[ID]}signed-NewRights-contentID325����。用戶然后去遮蔽21簽名的標(biāo)識符�����,以獲取{ID}signed-NewRights-contentID315����,并向第二用戶轉(zhuǎn)移11此值和許可證規(guī)范{NewRights,contentID}���。新權(quán)限NewRights的規(guī)定僅需提供允許少于初始權(quán)限的規(guī)定權(quán)限����,NewRights即將與匿名許可證相關(guān)聯(lián)(倘若匿名許可證正在用戶之間轉(zhuǎn)移的話)�。發(fā)送NewRights的可能性允許用戶向另一用戶供給他的一個許可證����,但具有比他具有的初始權(quán)限更受限制的權(quán)限�,如果他希望這樣的話���。
為了獲取個人化許可證��,第二用戶身份設(shè)備匿名聯(lián)系許可證管理設(shè)備��,用他的公共假名PK2 131證明他自己并向許可證管理設(shè)備發(fā)送簽過名的�����、去遮蔽的標(biāo)識符{ID}signed-NewRights-contentID315和{NewRights313�����,contentID 316}����。
CP 120首先驗證去遮蔽的ID 315未被使用(在他保留的ID列表中未被使用),并且如果未使用過�,他在使用的ID列表中輸入該ID���。CP還驗證他在ID 315中的簽名(如果簽名確實用{NewRights,contentID}的密鑰制成)�,并且如果全都正確���,則許可證管理設(shè)備最終可以向第二用戶頒發(fā)5個人化許可證122(個人化許可證122連同用個人化密鑰SYM2加密的內(nèi)容一起被發(fā)送9給他的用戶身份設(shè)備130){PK2[SYM2//NewRights//contentID]}signCP122。
在上述許可證122頒發(fā)之后�,值ID由許可證管理設(shè)備輸入到如上所述的一組數(shù)據(jù)中���,每當(dāng)許可證管理器設(shè)備接收來自匿名許可證的個人化許可證的請求(具有簽過名的標(biāo)識符)時���,它檢查值ID�。這防止響應(yīng)于已經(jīng)贖回的匿名許可證的個人化許可證請求而頒發(fā)許可證�����。
匿名許可證除了可以在用戶向另一用戶出售或賣出信息時使用之外�,可以簡化����,例如當(dāng)機構(gòu)想要鼓勵人通過“買一贈一”模式用許可證時��。第二許可證可以作為匿名許可證被頒發(fā)����,其可以被轉(zhuǎn)移給任何人�。參照圖4描述了根據(jù)本發(fā)明的第四實施例����。在此實施例中�,第一用戶請求某一內(nèi)容和對應(yīng)的某些權(quán)限的匿名許可證�,而不相想轉(zhuǎn)移現(xiàn)有的許可證�。用戶接收這種匿名許可證�����,并向?qū)儆诘诙脩舻牡诙脩羯矸菰O(shè)備轉(zhuǎn)移此許可證����。除了下述的差異以外��,此第三實施例等效于參照圖3描述的第三實施例。
如圖4所示����,第一用戶經(jīng)由匿名信道聯(lián)系1 CP,請求Rights 113和contentID 112的指定組合的匿名許可證�����?����?赡芩€發(fā)送匿名支付的憑據(jù)(例如對應(yīng)于一定量的貨幣的令牌)。如果用戶的支付額是為Rights 113和contentID 112的指定組合支付的���,則許可證管理設(shè)備120或CP可以僅為第一用戶頒發(fā)2匿名許可證421,其例如是CP用指定組合的密鑰簽名的隨機ID����。在此第四實施例中�,CP 120他自己可以直接生成ID 325,因為用戶匿名聯(lián)系CP且不需顯示他的PK�����,原因在于許可證未頒發(fā)給他���。他只需匿名地證明他被授權(quán)請求了具有那些權(quán)限的內(nèi)容。此后��,匿名許可證421被發(fā)送3給所述第一用戶身份設(shè)備110�����,第一用戶身份設(shè)備110向第二用戶身份設(shè)備130轉(zhuǎn)發(fā)11匿名許可證421����,盡可能地連同所述contentID 112和所述Rights 113一起轉(zhuǎn)發(fā)�����。第二用戶身份設(shè)備然后向所述許可證管理設(shè)備120提供4所述匿名許可證421和對個人化許可證的請求����,盡可能地連同所述contentID 112和所述Rights 113一起提供����。此刻�����,如參照所述第三實施例描述的許可證管理設(shè)備�,為所述第二用戶身份設(shè)備130創(chuàng)建5個人化許可證122�,所述許可證122被發(fā)送給所述設(shè)備130���。
在上述的解決方案中,許可證管理設(shè)備120必須保留巨大的列表����,該列表具有R*C個不同的公鑰/私鑰對和對應(yīng)的權(quán)限與contentID值�����。此解決方案可以用基于Identity的密碼術(shù)進行簡化���。應(yīng)用于本發(fā)明,代替使用人或不同方的身份來生成密鑰��,可以使用將內(nèi)容標(biāo)識符�����、權(quán)限和許可證管理設(shè)備的姓名串聯(lián)在一起來生成密鑰。用這種方法��,公鑰可以簡單地被定義為字符串[ContentID//Rights//LMDname]�,而相應(yīng)的私鑰基于該字符串和許可證管理設(shè)備生成的主密鑰生成�。
使用基于Identity的密碼術(shù)生成簽名密鑰對具有下列優(yōu)點-極大地簡化了許可證管理設(shè)備的密鑰管理���,許可證管理設(shè)備不再需要存儲所有R*C個密鑰對(私鑰可以每逢需要時再生成)���。即使優(yōu)選存儲通過計算,只需要存儲私鑰�����。
該解決方案允許任何人檢查許可證管理設(shè)備在許可證上的簽名�,如果他們知道內(nèi)容標(biāo)識符、權(quán)限和許可證管理設(shè)備姓名的話(因為這些值組成公鑰)。
如果第二用戶從第一用戶購買許可證�����,則管理設(shè)備簽名的驗證可以是必需的���。第二用戶非常想知道他從第一用戶接收的匿名許可證的確提到具有指定權(quán)限的指定內(nèi)容,并且該許可證用指定CP來贖回����。
在域內(nèi)分配權(quán)限當(dāng)信息分配系統(tǒng)的用戶購買信息時���,他熟悉的其他用戶可能想要共享該信息。這通過形成域來完成���,而該域與共享域密鑰PKD相關(guān)聯(lián)。域必須通過域管理機構(gòu)(authority)進行注冊�����,域管理機構(gòu)可以驗證成員的確來自一個組群��,例如一個家庭�。相同的域管理機構(gòu)可以向用戶群分配PKD���,并將SKD添加到智能卡上。完成這以后����,用戶可以購買內(nèi)容用于他的私用(使用他的個人密鑰PK1),或使用域密鑰PKD購買內(nèi)容用于整個域�����。在購買內(nèi)容用于整個域的情況下����,具有與域公鑰PKD516相關(guān)聯(lián)的第一用戶身份設(shè)備110的第一用戶向許可證管理設(shè)備120提供1此域公鑰PKD���,連同提供對某一內(nèi)容的contentID 112和Rights113的請求�����。許可證管理設(shè)備創(chuàng)建2主許可證521,主許可證521被發(fā)送(3)給第一用戶身份設(shè)備���。主許可證優(yōu)選具有格式{{PKD[SYM//Rights//contentID],1}signCP�,MR}signCP(1)主許可證由域許可證和主權(quán)限的標(biāo)記(MR),一起由CP進行簽名組成�����,域許可證具有格式{PKD[SYM//Rights//contentID],1}signCP(2)域許可證由對稱密鑰SYM�����、主權(quán)限Rights 113和域密鑰PKD加密的contentID 112以及授權(quán)標(biāo)記(設(shè)成1)組成�����,它們一起由CP 120進行簽名�����。在從CP 120獲取此主許可證121的處理結(jié)束,用戶可以將主許可證加密成下列格式PK1[{{PKD[SYM//Rights//contentID]����,1}signCP,MR}signCP] (3)以便對共享PKD的域成員保護他的私密�。所以��,該域中沒有用戶將能看見已經(jīng)購買內(nèi)容的用戶的許可證和權(quán)限。
創(chuàng)建(具體域成員的)個人用戶權(quán)限由域Domain Manager(域管理器)設(shè)備(DM)150完成����。購買內(nèi)容的用戶準(zhǔn)備了用于具體域成員的一組固定假名132和對應(yīng)的權(quán)限,連同主許可證521一起發(fā)送4給DM�。這種一組固定假名或數(shù)據(jù)結(jié)構(gòu),可以具有下列格式[PK1�����,Rights1�����;PK2�����,Rights2;PK3�����,Rights3�;...PKn�����,Rightsn]�。其中��,PKi是域成員的公鑰(盡可能地包括所述第一用戶)��,而Rightsi示權(quán)限,描述與不同PK相關(guān)聯(lián)的Rights�����。這便于區(qū)分域內(nèi)的權(quán)限��。在與DM的相互作用中�����,用戶解密加密的證書(3),繼而解密項PKD[Sym//Rights//contentid]�。用戶可能還必須向DM出示證書,證明這組數(shù)據(jù)(用戶想要為其準(zhǔn)備許可證的)中提到的所有PKi確實屬于他的域���。然后,DM創(chuàng)建5每個PKi的成員許可證�,具有格式{PKi[Sym//Rightsi//contentIDi],PKDM}signDM(4)最后����,許可證管理設(shè)備將這些權(quán)限分配9給域成員�,優(yōu)選借助于第一用戶身份設(shè)備��。
域成員在訪問內(nèi)容時��,可能必須向設(shè)備提供域許可證和個人化許可證以及DM的認證證書��。提供兩個許可證的原因在于允許存取設(shè)備驗證用戶屬于域(如果他都知道PKi和PKD),以及驗證權(quán)限Rightsi<=Rights�����。
上述步驟確保只有購買內(nèi)容且具有主許可證的用戶才能創(chuàng)建域成員的域許可證。將DM作為用戶權(quán)限的看管方引入域內(nèi)還利于可數(shù)權(quán)限的管理����。此刻,DM可以頒發(fā)新許可證并在發(fā)生消費可數(shù)權(quán)限時撤銷舊許可證��。用這種方法�,用戶對CP的私密受到保護�����,因為每逢用戶消費權(quán)限時不用聯(lián)系CP����。因此����,CP不能創(chuàng)建鏈接用戶PK����、內(nèi)容標(biāo)識符��、設(shè)備標(biāo)識符和發(fā)生消費可數(shù)權(quán)限的時間的日志��。然而����,此解決方案還對CP有利����,因為舊許可證的撤銷受DM管理����,因此是緊迫的�����。
因此,如上所述���,本發(fā)明便于權(quán)限在信息分配系統(tǒng)內(nèi)的分配。注意�,對于本申請的用途而言,尤其對于所附權(quán)利要求的意圖而言����,單詞“包括”不排除其他的元件或步驟��,單詞“一”或“一個”不排除多個��,單個處理器或單元可以執(zhí)行若干裝置的功能����,并且至少一些裝置可以用硬件或軟件來實現(xiàn)��,本質(zhì)上對本領(lǐng)域技術(shù)人員將是顯而易見的。
權(quán)利要求
1.一種用于在分配所請求的信息的系統(tǒng)中管理屬于至少一個用戶的許可證和證書��、同時使所述用戶身份保密的方法�,其中�,每個用戶由至少一個用戶身份設(shè)備代表��,所述用戶身份設(shè)備包括固定假名����,所述方法包括以下步驟在許可證管理設(shè)備接收(1)代表所請求信息的數(shù)據(jù)和對應(yīng)的權(quán)限�;在所述許可證管理設(shè)備創(chuàng)建(2)所述所請求信息的第一許可證�����;在第一用戶身份設(shè)備接收(3)所述第一許可證�����;在所述許可證管理設(shè)備接收(4)包括至少一個固定假名的一組固定假名�����、基于所述第一許可證的第二許可證和將所述第二許可證分配給一組用戶身份設(shè)備的請求,而這組用戶身份設(shè)備包括至少一個用戶身份設(shè)備���,每個用戶身份設(shè)備與所述固定假名組中所包含的各自的固定假名相關(guān)聯(lián)�����;在所述許可證管理設(shè)備創(chuàng)建(5)一組所述所請求信息的許可證����,其中�,所述許可證組包括所述用戶身份設(shè)備組的每個用戶身份的第三許可證��,并且其中�,每個許可證包括能夠標(biāo)識所述各自第三許可證的身份數(shù)據(jù);在身份管理設(shè)備從第二用戶身份設(shè)備接收(6)對證書的請求和第二固定假名���,其中,所述第二固定假名被包含在所述固定假名組中����,第二用戶身份設(shè)備對應(yīng)于所述第二固定假名且被包含在所述用戶身份設(shè)備組中;在所述身份管理設(shè)備創(chuàng)建(7)證書����;在所述第二用戶身份設(shè)備從所述身份管理設(shè)備接收(8)所述證書�;將所述許可證組中的每個所述創(chuàng)建的許可證分配(9)給所述用戶身份設(shè)備組中所包含的它的對應(yīng)用戶身份設(shè)備�����;以及在訪問所述所請求信息時����,驗證所述許可證組所包含的許可證和所述證書�。
2.根據(jù)權(quán)利要求1的方法��,其中�����,所述第一用戶身份設(shè)備屬于第一域的用戶身份設(shè)備�����,所述用戶身份設(shè)備組中所包含的每個用戶身份設(shè)備屬于所述第一域���,并且其中,所述第一許可證是主許可證����,所述第二許可證等效于所述第一許可證,所述許可證管理設(shè)備包括第一許可證管理設(shè)備和第二許可證管理設(shè)備�,并且所述固定假名組包括所有都屬于所述第一域的固定假名,并且其中所述創(chuàng)建(2)第一許可證的步驟��,包括在所述第一許可證管理設(shè)備創(chuàng)建對應(yīng)于所述所請求信息和所述權(quán)限的主許可證,該許可證可在所述第一域內(nèi)進行分配����;所述接收(4)一組固定假名、許可證和將所述許可證分配給所述一組用戶身份設(shè)備的請求的步驟����,還包括從所述第一身份設(shè)備接收這些��;所述創(chuàng)建(5)一組許可證的步驟,包括在所述第二許可證管理設(shè)備創(chuàng)建所述許可證組�,其中,每個許可證可由對應(yīng)的用戶身份設(shè)備在訪問所述所請求信息時使用�����。
3.根據(jù)權(quán)利要求2的方法,其中所述接收(1)代表所請求信息的數(shù)據(jù)和對應(yīng)權(quán)限的步驟����,還包括接收與所述第一域相關(guān)聯(lián)的第一固定域假名;所述創(chuàng)建(2)主許可證的步驟還包括通過所述第一固定域假名加密第一對稱密鑰�、所述權(quán)限和代表所述信息的所述數(shù)據(jù),并將此加密包括在所述主許可證中���。
4.根據(jù)權(quán)利要求2或3的方法���,其中�,所述驗證認證證書和所述許可證組中所包含的其中一個所述許可證的步驟�����,還包括通過將其與所述主許可證進行比較來進行驗證�����。
5.根據(jù)任一前述權(quán)利要求的方法�����,還包括以下步驟創(chuàng)建第一組數(shù)據(jù)��,所述數(shù)據(jù)以這樣一種方法指示哪些許可證是有效的��,即代表不再有效的和已經(jīng)與至少一個固定假名相關(guān)聯(lián)的所有許可證的數(shù)據(jù)是可通過所述假名追蹤的��,并且其中創(chuàng)建(7,15)與固定假名相關(guān)聯(lián)的證書的步驟還包括以下步驟在所述許可證管理設(shè)備從所述身份管理設(shè)備接收(12)所述固定假名和對指示與所述固定假名相關(guān)聯(lián)的哪些許可證是有效的數(shù)據(jù)的請求�����;在所述許可證管理設(shè)備創(chuàng)建(13)第二組數(shù)據(jù)�,所述數(shù)據(jù)指示與所述固定假名相關(guān)聯(lián)的哪些許可證是有效的����;在所述身份管理設(shè)備從所述許可證管理設(shè)備接收(14)所述第二組數(shù)據(jù)���;以及在所述身份管理設(shè)備將所述第二組數(shù)據(jù)包括在所述請求的證書中。
6.根據(jù)權(quán)利要求5的方法����,其中所述接收(4)一組固定假名、許可證和向所述一組用戶身份設(shè)備分配所述許可證的請求的步驟����,還包括從所述第一身份設(shè)備連同所述第一固定假名一起接收這些�;以及所述創(chuàng)建(5)第二許可證的步驟還包括修改(10)所述第一組數(shù)據(jù)使得它指示所述第二許可證不再是有效的�����,在所述身份管理設(shè)備創(chuàng)建(15)所述第一固定假名的證書����,并將所述創(chuàng)建的證書分配給所述第一身份設(shè)備��。
7.根據(jù)權(quán)利要求6的方法��,其中�,每個許可證包括不同的密鑰���,并且所述創(chuàng)建(13)所述第二組數(shù)據(jù)的步驟包括創(chuàng)建與所述第一固定假名相關(guān)聯(lián)的許可證中所包含的所有密鑰的列表。
8.根據(jù)權(quán)利要求7的方法���,其中�����,所述創(chuàng)建(13)所述第二組數(shù)據(jù)的步驟包括通過散列函數(shù)將所述密鑰的每一個與常數(shù)編碼在一起�����,該常數(shù)也被包括在所述第二組數(shù)據(jù)中�。
9.根據(jù)前述任一權(quán)利要求的方法�����,其中,固定假名和對所請求信息的許可證的請求被接收(1����,4),所述方法還包括以下步驟在加密代表對稱密鑰����、所述所請求信息的標(biāo)識符和與用戶身份設(shè)備以及與所述所請求信息相關(guān)聯(lián)的權(quán)限的值時,使用所述接收的與所述用戶身份設(shè)備相關(guān)聯(lián)的固定假名����;以及創(chuàng)建(2����,5)許可證���,其中�����,將所述加密被包括在所述創(chuàng)建的許可證中。
10.根據(jù)前述任一權(quán)利要求的方法�����,其中���,所述在訪問所請求的內(nèi)容時驗證許可證的步驟包括通過比較所述許可證中所包含的所述許可證識別數(shù)據(jù)與所述證書中所包含的所述第二組數(shù)據(jù)��,確定所述許可證中所包含的所述許可證識別數(shù)據(jù)是有效的。
11.根據(jù)權(quán)利要求1�、5-10的方法,其中�����,所述第二許可證等效于所述第一許可證��,并且其中在第一用戶身份設(shè)備接收(3)所述第一許可證的步驟����,包括將所述第一許可證分配(11)給所述第二用戶身份設(shè)備���;以及接收(4)一組固定假名和第二許可證的步驟���,還包括從所述第二身份設(shè)備接收所述這組組和所述許可證��。
12.根據(jù)權(quán)利要求1的方法�,并且其中����,所述第一許可證是匿名許可證�����,所述第二許可證等效于所述第一許可證,并且許可證管理設(shè)備與指示哪些匿名許可證是有效的第三組數(shù)據(jù)相關(guān)聯(lián)���,并且其中所述在許可證管理設(shè)備接收(1)代表所請求信息的數(shù)據(jù)和對應(yīng)權(quán)限的步驟,還包括通過匿名信道接收這些�����;所述創(chuàng)建(2)所述第一許可證的步驟�����,還包括創(chuàng)建匿名標(biāo)識,并且用對應(yīng)于所述接收信息和所述權(quán)限的密鑰加密所述標(biāo)識����;所述在所述第一許可證管理設(shè)備接收(3)所述第一許可證的步驟,還包括將所述第一許可證分配(11)給所述第二用戶身份設(shè)備�����;以及所述在所述許可證管理設(shè)備接收(4)至少一個固定假名和第二許可證的步驟����,還包括從所述第二用戶身份設(shè)備接收這些,修改(10)所述第三組數(shù)據(jù)使得它指示所述第二許可證不再是有效的�����。
13.根據(jù)權(quán)利要求5的方法���,其中,所述第二許可證在使其去遮蔽時對應(yīng)于所述第一許可證�����,并且其中所述在所述第一用戶身份設(shè)備接收(3)所述第一許可證的步驟��,還包括在所述第一身份設(shè)備生成并遮蔽(17)秘密標(biāo)識符,在所述許可證管理設(shè)備接收(18)所述第一許可證、所述固定假名�����、對注銷所述第一許可證的請求�、對所請求信息的匿名許可證的請求和所述遮蔽的秘密標(biāo)識符�,創(chuàng)建(15)與所述第一固定假名相關(guān)聯(lián)的證書����,向所述許可證管理設(shè)備發(fā)送所述證書����,在所述許可證管理設(shè)備基于所述遮蔽的標(biāo)識符生成(19)所述所請求信息的所述匿名許可證,在所述第一用戶身份設(shè)備接收(20)所述匿名許可證�,在所述第一用戶身份設(shè)備使所述匿名許可證去遮蔽(21)�,并在所述第二用戶設(shè)備接收(11)所述去遮蔽的匿名許可證����;以及所述在所述許可證管理設(shè)備接收(4)一組固定假名和所述去遮蔽的匿名許可證的步驟��,還包括從所述第二用戶身份設(shè)備接收這些。
14.根據(jù)任一前述權(quán)利要求的方法�,其中�����,所述第一許可證指示可分配給所述所請求信息的權(quán)限�,并且其中所述接收(4)一組固定假名的步驟還包括接收指示哪些權(quán)限與所述許可證組中的每個許可證相關(guān)聯(lián)的數(shù)據(jù)���;所述創(chuàng)建(5)一組許可證的步驟還包括使所述這些許可證中的至少一個與比所述可分配權(quán)限更受限制的權(quán)限相關(guān)聯(lián)。
15.一種用于信息分配同時使用戶身份保密的信息系統(tǒng)�,包括第一用戶身份設(shè)備(110)����,其包括固定假名(111)����;一組用戶身份設(shè)備(132)��,其包括至少一個用戶身份設(shè)備(130)����;許可證管理設(shè)備(120),其被安排成從所述第一用戶身份設(shè)備接收代表所請求信息(112)的數(shù)據(jù)和對應(yīng)權(quán)限(113)���,創(chuàng)建第一許可證(121)����,向所述第一用戶身份設(shè)備發(fā)送所述第一許可證����,接收基于所述第一許可證的第二許可證(115)和包括至少一個固定假名(131)的一組固定假名(134)���,創(chuàng)建一組許可證(123),其中所述組(123)包括每個用戶身份設(shè)備(130)的第三許可證(122)�,而每個用戶身份設(shè)備(130)與所述第二組固定假名中所包含的各自的固定假名(131)相關(guān)聯(lián),并將所述許可證組(123)中所包含的每個所述許可證分配給它對應(yīng)的用戶身份設(shè)備�����;身份管理設(shè)備(140)���,其被安排成接收固定假名(131)�����,創(chuàng)建證書(141)和向所述用戶設(shè)備組中所包含的所述用戶身份設(shè)備(130)發(fā)送證書(141)。
16.根據(jù)權(quán)利要求15的信息系統(tǒng)�,其中所述第一用戶身份設(shè)備(110)屬于第一域的用戶身份設(shè)備�����,并且所述用戶身份設(shè)備組中所包含的每個用戶身份設(shè)備屬于所述第一域�;所述第二許可證(122)等效于所述第一許可證(521)���;所述許可證管理設(shè)備包括第一許可證管理設(shè)備(520)和第二許可證管理設(shè)備(550);所述固定假名組(132)包括所有屬于所述第一域的固定假名�;所述第一許可證管理設(shè)備(520)被安排成從所述第一用戶身份設(shè)備接收所述代表所請求信息(112)的數(shù)據(jù)和對應(yīng)的權(quán)限(113)�����,創(chuàng)建所述第一許可證����,并向所述第一用戶身份設(shè)備發(fā)送所述第一許可證���;所述第二許可證管理設(shè)備(550)被安排成接收所述固定假名組和等效于所述第一許可證(521)的所述第二許可證,創(chuàng)建所述許可證組(123)�,然后將所述許可證組(123)中所包含的每個所述許可證分配給它對應(yīng)的用戶身份設(shè)備。
17.根據(jù)權(quán)利要求17的系統(tǒng)����,其中�,所述第一許可證管理設(shè)備(520)還被安排成接收所述第一固定假名;以及所述主許可證(521)是具有所述第一固定假名加密的加密,該加密包括第一對稱密鑰�����、所述權(quán)限和所述代表所述所請求信息的數(shù)據(jù)�。
18.根據(jù)權(quán)利要求15-17的系統(tǒng),還包括指示哪些許可證是有效的第一組數(shù)據(jù)224�����;其中所述許可證管理設(shè)備120還被安排成接收許可證標(biāo)識和對注銷對應(yīng)的許可證的請求�����,修改所述第一組數(shù)據(jù)使得它指示對應(yīng)于所述許可證標(biāo)識的所述許可證被注銷�����,從所述身份管理設(shè)備(140)接收固定假名,創(chuàng)建指示與所述第一固定假名相關(guān)聯(lián)的哪些許可證是有效的第二組數(shù)據(jù)225���,并向所述身份管理設(shè)備發(fā)送所述第二組數(shù)據(jù)����;所述身份管理設(shè)備被安排成從所述第一用戶身份設(shè)備接收第一固定假名�����,向所述許可證管理設(shè)備發(fā)送所述第一固定假名�����,從所述許可證管理設(shè)備接收所述第二組數(shù)據(jù)��,創(chuàng)建包括在所述第二組數(shù)據(jù)中的證書242�,并向所述第一用戶身份設(shè)備發(fā)送所述創(chuàng)建的證書。
19.根據(jù)權(quán)利要求15的系統(tǒng)�,其中所述第一許可證(421)是匿名許可證�;所述第二許可證(421)等效于所述第一許可證����;所述許可證管理設(shè)備(120)與指示哪些匿名許可證是有效的第三組數(shù)據(jù)(424)相關(guān)聯(lián);并且其中所述許可證管理設(shè)備還被安排成通過匿名信道接收代表所請求信息(112)的數(shù)據(jù)和對應(yīng)的權(quán)限(113)��,創(chuàng)建匿名標(biāo)識��,并通過用對應(yīng)于所述接收的信息和權(quán)限的密鑰加密所述匿名標(biāo)識來創(chuàng)建匿名許可證(421)����,向所述第一用戶設(shè)備發(fā)送所述匿名許可證����,從所述第二用戶身份設(shè)備接收所述匿名許可證���,并修改第三組數(shù)據(jù)(424)使得它指示所述匿名許可證被注銷��。
20.根據(jù)權(quán)利要求15的系統(tǒng),其中���,所述第二許可證在匿名許可證已被去遮蔽之后對應(yīng)于所述生成的匿名許可證��;所述第一用戶身份設(shè)備(110)被安排成生成和遮蔽秘密標(biāo)識符(314),向所述許可證管理設(shè)備(120)發(fā)送所述遮蔽的秘密標(biāo)識符��,從所述許可證管理設(shè)備接收匿名許可證(325)�,遮蔽所述匿名許可證���,并向所述第二用戶設(shè)備發(fā)送所述去遮蔽許可證(315);所述許可證管理設(shè)備還被安排成接收所述遮蔽的秘密標(biāo)識符(314)和所述第一許可證���,注銷所述第一許可證��,生成對應(yīng)于所述遮蔽的秘密標(biāo)識符的匿名許可證(325),向所述第一身份設(shè)備發(fā)送所述匿名許可證����,從所述第二用戶身份設(shè)備接收所述去遮蔽的許可證(315)�����,注銷所述去遮蔽的許可證�,生成所述第三許可證(122)���,并將所述第三許可證分配給所述第二用戶身份設(shè)備�。
全文摘要
一種用于在信息分配系統(tǒng)中從第一用戶向一個或若干個其他用戶轉(zhuǎn)移許可證�、同時為所述這些用戶提供保密的系統(tǒng)和方法����。通過許可證的格式和使用主許可證����、匿名許可證,以及通過將失效列表包括在對應(yīng)于許可證的證書中��,來增強保密等級�����。
文檔編號G06F21/10GK1961270SQ200580017270
公開日2007年5月9日 申請日期2005年5月24日 優(yōu)先權(quán)日2004年5月28日
發(fā)明者C·V·康拉多, M·佩特科維克, W·永克 申請人:皇家飛利浦電子股份有限公司