CN103765831A - 用于向异构服务终端提供服务的装置和方法 - Google Patents
用于向异构服务终端提供服务的装置和方法 Download PDFInfo
- Publication number
- CN103765831A CN103765831A CN201280041876.XA CN201280041876A CN103765831A CN 103765831 A CN103765831 A CN 103765831A CN 201280041876 A CN201280041876 A CN 201280041876A CN 103765831 A CN103765831 A CN 103765831A
- Authority
- CN
- China
- Prior art keywords
- service
- power
- service terminal
- signature
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/101—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
提供了一种用于提供服务给异构服务终端而无需修改安全框架的装置和方法,其中,控制第一服务终端的网关发送权力委派请求给服务器以便也提供服务给第二服务终端,以及当在从所述服务器接收到权力委派证书之后从第二服务终端接收到服务权力验证请求时,网关发送包括所述权力委派证书的服务权力验证响应到第二服务终端。
Description
技术领域
本发明涉及用于向能够短距离通信的服务终端提供服务的装置和方法,并且更加具体来说,涉及用于向异构服务终端提供服务而无需修改它们之间的安全框架的装置和方法。
背景技术
部分地由于能够短距离通信的诸如运动图片专家组音频层-3(MP3)播放器、便携式多媒体播放器(PMP)、游戏机、上网本等等之类的消费电子(CE)设备的迅猛成长,用户渴望用于下载在CE设备中使用的内容的更加方便的方法。
但是,CE设备对外部网络的直接访问极为受限。例如,一些CE设备只有在因特网在具有接入点(AP)的区域中通过无线保真(WiFi)可用于设备的情况下才能够访问外部网络。因此,存在使CE设备(不论其短距离通信的性能如何,其都不能直接接入外部网络)能够接收想要的服务(例如通过网关接入外部网络来下载内容)的需要。
例如,在融合型个人网络服务(CPNS)中,个人网络(PN)被配置具有负责与外部网络通信的PN网关(PNGW)以及回放实际服务和内容的CE设备。CE设备通过PNGW接入外部网络中的服务/内容提供者,并且因此提供服务或者内容。当使用CPNS时,CE设备被称为PN实体(PNE)。
在服务被提供给独立的PNE之前,需要对于PNE的认证协议。认证协议针对通信实体实现以便彼此识别并且在其它后续协议之前。
在通用即插即用(UPnP)网络服务的情况下,受控制的家庭网络设备(也即,受控制的设备(CD))和用于控制CD的控制点(CP)形成家庭网络,并且CD在CP的控制下接收服务。
发明内容
技术问题
为了提供所请求的服务给如上所述的能够短距离通信的设备,CP在UPnP网络服务中在不干涉服务器的情况下认证并且管理连接到家庭网络并且受其控制的CD。
但是,在CPNS中,CPNS服务器认证并且管理与CD相应的PNE,而且PNGW用作发送关于PNE的信息的中继。
用这样的方式,与CPNS的PNGW相应的CP负责UPnP网络中CD的认证和管理,而CPNS服务器负责与CPNS中的CD相应的PNE的认证和管理。
因此,存在对于在提供包括上面描述的服务的异构服务的环境中在各种设备当中自由共享服务和内容而不干涉服务器的方法的需要。此外,需要用于认证以集成方式提供异构服务的CD的方法。
技术方案
本发明的一方面处理至少上面描述的问题和/或不足,并且提供至少如下所述的好处。因此,本发明的实施例的一方面将提供一种用于提供服务给异构服务终端而无需修改它们之间的安全框架的装置和方法。
本发明的另一方面将提供一种用于认证提供异构服务的受控制的设备(CD)的装置和方法。
本发明的再一方面将提供一种用于在提供异构服务的设备之间共享服务而不干涉服务器的装置和方法。
依照本发明的一方面,提供一种用于由网关(GW)执行的提供服务给异构服务终端的方法。所述方法包括:通过短距离通信从第一服务终端接收服务权力验证请求;确定第一服务终端是否是支持与提供给第二服务终端的服务不同的服务的异构服务终端;如果第一服务终端被确定为是异构服务终端,则确定是否已经从融合型个人网络服务(CPNS)服务器接收到委派对于第一服务终端的权力的权力委派证书;以及发送包括所述权力委派证书的服务权力验证响应到第一服务终端。
依照本发明的另一方面,提供一种用于提供服务给异构服务终端的网关。所述网关包括:短距离通信连接器,用于通过短距离通信与第一服务终端建立物理连接;个人网络(PN)配置管理器,用于当从第一服务终端接收到PN连接请求时配置PN;服务管理器,用于从融合型个人网络服务(CPNS)服务器接收由第一服务终端请求的服务以及发送接收到的服务;无线接入模块,用于与所述CPNS服务器通信;存储器,用于存储服务终端的信息,所述网关通过该服务终端配置PN;以及权力委派管理器,用于当通过短距离通信连接器从第二服务终端接收到服务权力验证请求时,确定第二服务终端是否是支持与提供至第一服务终端的服务不同的服务的异构服务终端,如果第二服务终端是异构服务终端则确定是否存在从服务器接收到的、委派对于第二服务终端的权力的权力委派证书,以及发送包括所委派的权力委派证书的服务权力验证响应到第二服务终端。
有益效果
根据本发明的实施例,能够提供服务给异构服务终端而无需修改安全框架。
附图说明
本发明的特定实施例的上述及其他目的、特征和益处将从以下结合附图的详细说明中更加明显,附图中:
图1是示出根据本发明的实施例的按照比较示例的融合型个人网络服务(CPNS)***的配置的图;
图2是示出根据本发明的实施例的CPNS***的配置的图;
图3是示出根据本发明的实施例的个人网络网关(PNGW)的框图;
图4是示出根据本发明的实施例的服务终端的框图;
图5是示出根据本发明的实施例的向PNGW委派权力的操作的信号流的图;
图6是示出根据本发明的实施例的权力委派证书的图;以及
图7是示出根据本发明的实施例的签名对象信息的示例的图。
贯穿附图,相同的附图参考标记将理解为指代相同的元素、特征与结构。
具体实施方式
现在将参考附图详细进行对本发明的实施例的参考。贯穿说明书和附图相同的参考标记表示相同的元件。在通常已知的功能和结构的描述可能模糊本发明的主题的情况下,可能省略对它们的详细说明。
尽管为了在下面描述的方便起见,使用了如针对移动终端的应用的标准化组织——被称作开放移动联盟(OMA)——的融合型个人网络服务(CPNS)中定义的实体的名称,但是提供所述标准和相应名称仅仅作为示例并且因此不限制本发明的范围。本发明也可应用于其它这样的***和具有类似技术背景的标准。
根据本发明的实施例,将提供一种用于提供服务给异构服务终端而无需修改所述终端之间的安全框架的装置和方法。针对该目的,控制第一服务终端的网关(GW)发送权力委派请求给服务器以使得其能够提供服务给第二服务终端以及第一服务终端。在从服务器接收到权力委派证书之后,如果PN从第二服务终端接收到服务权力验证请求,则PN发送包括权力委派证书的服务权力验证响应给第二服务终端。用这样的方式,作为受控制的设备(CD)的服务终端能够在GW部分上被认证而无需干涉服务器,并且能够在第二服务终端部分上接收与第一服务终端接收的服务相同的服务。
根据本发明的实施例的、可以包括异构服务的融合型个人网络服务(CPNS)被描述如下。
图1是示出根据本发明的实施例的按照比较示例的CPNS***的配置的图。
参考图1,CPNS***主要包括以下中的至少一个:个人网络实体(PNE),诸如PNE10和12,个人网络网关(PNGW)20,CPNS服务器30,用作应用服务器的服务/内容提供者40以及可以通过因特网接入的制造商(服务器)50。
PNE10和12是直接提供CPNS的服务终端。例如,PNE10和12可以是MP3播放器、便携式多媒体播放器(PMP)、游戏播放器、膝上型计算机、导航仪、诸如冰箱等等之类的消费电子(CE)设备。所述PNE10和12通过从服务/内容提供者40接收用户请求的内容以及回放接收到的内容来向用户提供服务。
PNE10和12中的每一个在内部装备有短距离通信模块并且由此能够与附近的PNE(也即,PNE10或者12中的另外一个)短距离通信,但是由于缺少通信模块而不能直接接入服务提供者。因此,PNE10基于短距离通信技术与PNGW20配对以便向PNGW20发送数据和从PNGW20接收数据。然后,PNE10利用PNGW20配置PN。因此,PNE10可以通过PNGW20接入CPNS服务器30并且可以通过PNGW20从服务/内容提供者40接收内容。用这样的方式,PNE10能够接收CPNS。
PNGW20通过认证和管理PNE来中继CPNS。因此,如果使用除了CPNS之外的服务的CD能够像PNE那样接收CPNS,则可以为各种设备自由地提供服务和内容。
为了此目的,本发明的实施例提供一种用于允许支持与第一服务终端的服务异构的服务的第二服务终端接收与第一服务终端的服务相同的服务的方法。
参考图2如下详细描述本方法。
图2是示出根据本发明的实施例的CPNS***的配置的图。在图2中,第一服务终端10是支持图1的CPNS的PNE,第二服务终端20是支持除了CPNS之外的服务的终端(例如,通用即插即用(UPnP)数字生活网络联盟(Digital Living Network Alliance,DLNA)终端)。在根据图2的本示例中,第一服务是CPNS,第二服务是UPnP网络服务。但是,根据本示例的UPnP第二服务是非限制的,而且可以依照本发明的实施例使用其它第二服务。
参考图2,PNGW20能够接入外部网络(也即,服务提供者网络)中的CPNS服务器30。此外,PNGW20利用第一服务终端10配置PN并且中继CPNS服务器30与第一服务终端10之间的消息和服务/内容。具体地说,当从作为PNE的第一服务终端10(其已经通过PNGW20配置了PN)接收到服务请求时,PNGW20将服务请求中继到CPNS服务器30。当从服务/内容提供者40接收到所请求的服务时,PNGW20发送服务到第一终端10。
这里,配置PN指的是识别物理上配对设备的角色以及在PNE与GW之间建立网络,以使得PNE可以接收CPNS。出于此目的,确定在第一服务终端10与PNGW20之间是否支持CPNS以及确定设备是否通过认证和授权而能够支持CPNS,并且设备的角色被识别(也即,确定设备操作于GW模式还是PNE模式下)。通过这一系列的处理,建立了网络以便在应用层上提供CPNS。第一服务终端10可以通过利用所建立的PN与PNGW20通信来接入服务提供者网络的CPNS服务器30。
根据本发明的实施例,PNGW20提供从CPNS服务器30接收到的服务或者内容给第二服务终端60以及第一服务终端10。更具体地说,当从第二服务终端60接收到对于可用CPNS服务的请求时,PNGW20响应于所述请求提供可用服务或者内容给第二服务终端60。用这样的方式,PNGW20利用第一服务终端10配置PN并且在CPNS服务器30与第一服务终端10之间以及在第一服务终端10与第二服务终端60之间中继CPNS***消息和服务或者内容。PNGW20可以是例如移动电话、个人数字助理(PDA)、机顶盒等等。
当从PNGW20接收到注册请求时,CPNS服务器30注册并管理PNGW20、第一服务终端10和PN。CPNS服务器30还处理通过PNGW20从第一服务终端10接收到的服务和内容请求。如果所请求的服务或者内容是可用的,则CPNS服务器30通过PNGW20提供服务或者内容给第一服务终端10。但是,如果所请求的服务或者内容不可用,则CPNS服务器30发送请求到外部服务/内容提供者40,以使得服务/内容提供者40可以通过PNGW20提供服务或者内容到第一服务终端10。
根据本发明的实施例,CPNS服务器30可以通过PNGW20从支持除了第一服务终端10的服务之外的服务的第二服务终端60接收服务或者内容请求。在响应于第二服务终端60的服务或者内容请求而提供服务之前,CPNS服务器30向PNGW20委派权力。根据权力委派,PNGW20代表CPNS服务器30来认证并管理第二服务终端60。如果认证成功,则第二服务终端60可以通过PNGW20接入CPNS服务器30,以便由此接收CPNS。稍后将参考图5给出权力委派过程的详细说明。
因为能够针对UPnP网络服务和CPNS以集成方式认证CD,所以支持UPnP网络服务的CD也可以根据本发明的实施例接收CPNS。
图3是示出根据本发明的实施例的个人网络网关(PNGW)的框图。
参考图3,PNGW20包括用于通过短距离通信与第一服务终端10建立物理连接的短距离通信连接器310、用于当从第一服务终端10接收到PN连接请求时配置PN的PN配置管理器320、用于从CPNS服务器30或者服务/内容提供者40接收由第一服务终端10请求的服务并且将接收到的服务发送到第一服务终端10的服务管理器330、用于利用外部网络(也即,CPNS服务器30或者服务/内容提供者40)进行通信的无线接入模块340、以及用于存储关于服务终端(PNGW20利用该服务终端配置PN)的信息的存储器350。
根据本发明的实施例,PNGW20也通过短距离通信连接至第二服务终端60。PNGW20还包括:总异构服务管理器380,其用作用于提供除了CPNS之外的服务的控制点,包括第二服务终端60的认证和管理;以及权力委派管理器360,用于从CPNS服务器30接管权力。总异构服务管理器370包括用作控制点的传统部分而非新定义的部分,并且因此将不在这里详细描述。例如,总异构服务管理器370相应于在UPnP网络中执行CP的原始功能的部分。因此,因为PNGW20还包括操作为用于CPNS的PNGW所需要的组件和与控制点相应的组件,所以PNGW20可以用作代理。
权力委派管理器360将请求认证第二服务终端60的权力委派请求发送到CPNS服务器30,并且响应于所述权力委派请求从CPNS服务器30接收权力委派证书。权力委派管理器360可以在执行与CPNS服务器30的相互认证之后预先接收权力委派证书并且可以存储接收到的委派证书,或者可以在从第二服务终端60接收到服务权力验证请求之后通过向CPNS服务器30请求权力委派来接收权力委派证书。因此,即使第一服务终端10和第二服务终端60支持异构服务,PNGW20也可以认证并且管理第二服务终端60,并且集成管理第一服务终端10和第二服务终端60。
图4是示出根据本发明的实施例的服务终端的框图。
参考图4如下描述第二服务终端60的配置。鉴于第一服务终端10和第二服务终端60具有类似结构,依照本发明的实施例,以下第二服务终端60的结构的描述也可以应用于第一服务终端10。
参考图4,第二服务终端60包括:短距离通信连接器400,用于通过短距离通信与PNGW20和其它PNE建立物理连接;服务权力管理器410,用于发送服务权力验证请求到PNGW20并且响应于服务权力验证请求从PNGW20接收服务权力验证响应;和服务运行器420,用于运行从PNGW20接收到的服务/内容。
图5是示出根据本发明的实施例的向PNGW委派权力的操作的信号流的图。
参考图5,在步骤500中,CPNS服务器30执行与PNGW20的相互认证。相互认证过程包括:在PNGW20中利用密钥发生算法生成包括用于相互认证的GW保密密钥(GW SK)和GW公共密钥(GW PK)的密钥对以及在PNGW20与CPNS服务器30之间交换PK。
随后,PNGW20可以将请求委派用于认证第二服务终端60以及第一服务终端10的权力给PNGW20的请求发送给CPSN服务器30,以便提供CPNS和除了CPNS之外的服务。为了该目的,PNGW20在步骤505中生成权力委派请求消息,并且在步骤510中发送权力委派请求消息到CPNS服务器30。
当接收到权力委派请求消息时,CPNS服务器30在步骤515中根据服务提供者策略确定是否委派权力。如果CPNS服务器30确定委派权力到PNGW20,则CPNS服务器30在步骤520中生成权力委派证书并且在步骤525中发送权力委派证书给PNGW20。图6示出根据本发明的实施例的权力委派证书的示例,其可以采取X.509证书的形式。
图6是示出根据本发明的实施例的权力委派证书的图。
参考图6,GW标识符(ID)600识别已经生成权力委派请求消息的PNGW。GW PK605是针对CPNS服务器30与PNGW20之间的相互认证生成的密钥对中的PK。服务简档610指示允许权力委派的CPNS服务。可以根据服务提供者策略确定范围从0到n的服务简档的数目。CPNS签名615是使用CPNS权力发布者的私人密钥的、针对权力委派证书签署的签名。这里,由证书授权(CA)发布私人密钥。CPNS服务器30可以存储私人密钥或者在需要时发送对于私人密钥的请求到CA。除了上面描述的字段之外,扩展612是用于将另外包括在权力委派证书中的信息的预留字段,诸如关于权力委派持续时间的信息、将同时服务的终端的最大数目等等。
当接收到如图6中所示的权力委派证书时,PNGW20在步骤530中验证并存储接收到的权力委派证书。具体地说,PNGW20使用其根证书验证权力委派证书的CPNS签名615。如果CPNS签名615有效,则PNGW20存储并管理权力委派证书。但是,如果CPNS签名615无效,则PNGW20不能使用接收到的权力委派证书。在这种情况下,PNGW20可以发送用于请求新的权力委派证书的另一请求到CPNS服务器30。
随后,第二服务终端60在步骤535中发送服务权力验证请求消息到PNGW20以便确定PNGW20是否被授权提供CPNS。
当接收到服务权力验证请求消息时,PNGW20在步骤540中使用包括在服务权力验证请求消息中的信息确定第二服务终端60是否是异构服务终端。换句话说,PNGW20确定第二服务终端60是支持与第一服务终端10相同的服务还是不同的服务。
如果第二服务终端60是异构服务终端,则PNGW20在步骤545中使用所存储的权力委派证书生成签名。可替换地或者除了生成签名之外,如果尚未存储权力委派证书,则PNGW20可以如在步骤510至530中执行的那样,生成用于请求第二服务终端60的认证的权力委派请求消息,并且接收权力委派证书。如果权力发布者的签名不是有效的并且由此接收到的权力委派证书不能使用,则PNGW20可以将指示PNGW20未被授权向第二服务终端60提供CPNS的服务权力验证响应消息发送给第二服务终端60。
当接收到服务权力验证请求消息时,PNGW20生成将被包括在服务权力验证响应消息中的签名。该签名包括利用用于相互认证的GW SK签署的对象信息。图7示出示范性签名对象信息。签名可以表示为公式(1):
签名=签署(GW_SK,对象信息)....(1)
图7是示出根据本发明的实施例的签名对象信息的示例的图。
参考图7,在公式(1)的签名对象信息中的服务权力验证请求700被包括在服务权力验证响应消息中,以使得服务终端600识别这是针对由第二服务终端60发送的服务权力验证请求消息的服务权力验证响应消息。设备ID702标识已经发送服务权力验证请求消息的服务终端。
时间戳705规定由第二服务终端60任意生成或者发送的时间。此外,服务简档610被包括在服务权力验证响应消息中,指定权力委派证书中的CPNS服务集合。扩展715是用于包括第二服务终端60与PNGW20之间的认证所需要的信息的预留字段。
当如上所述PNGW20生成签名时,PNGW在步骤550中将包括在步骤545中生成的签名的服务权力验证响应消息以及在步骤530中接收到的权力委派证书发送到第二服务终端60。
当接收到服务权力验证响应消息时,第二服务终端60在步骤555中验证权力委派证书和签名。更具体地说,第二服务终端60以表示为公式(2)的方式验证权力委派证书和签名:
验证(GW_PK,签名)=通过或者不通过....(2)
参考公式(2),第二服务终端60通过使用GW PK验证签名来确定签名是通过还是不通过。当确定签名有效时,第二服务终端20存储接收到的签名和权力委派证书。
如上所述,PNGW20可以认证第二服务终端60,并且第二服务终端60可以接收与像第一服务终端10相同的服务。
如从上面的描述中明显的那样,根据本发明的实施例,服务可以提供给异构服务终端而无需修改安全框架。
虽然已经参考本发明的特定实施例具体示出和描述了本发明,但是本领域普通技术人员将理解,可以在此进行形式和细节上的各种改变而不脱离如所附权利要求定义的本发明的精神和范围。
Claims (15)
1.一种由网关(GW)执行的用于提供服务给异构服务终端的方法,所述方法包括:
通过短距离通信从第一服务终端接收服务权力验证请求;
确定第一服务终端是否是支持与提供给第二服务终端的服务不同的服务的异构服务终端;
如果第一服务终端被确定为是异构服务终端,则确定是否已经从融合型个人网络服务(CPNS)服务器接收到委派对于第一服务终端的权力的权力委派证书;以及
发送包括所述权力委派证书的服务权力验证响应到第一服务终端。
2.如权利要求1所述的方法,其中,所述权力委派证书包括所述GW的标识符(ID)、用于所述GW与所述CPNS服务器之间的相互认证的公共密钥、指示允许权力委派的服务的至少一个服务简档、以及利用由证书授权(CA)发布的私人密钥签署的签名中的至少一个。
3.如权利要求1或者2所述的方法,还包括:
将权力委派请求消息发送到CPNS服务器;以及
从所述CPNS服务器接收响应于所述权力委派请求消息的所述权力委派证书。
4.如权利要求1至3中的一项所述的方法,还包括:
当接收到所述权力委派证书时验证该权力委派证书的签名;以及
如果所述签名被验证为有效签名,则存储所述权力委派证书。
5.如权利要求1至4中的一项所述的方法,其中,在从第一服务终端接收到所述服务权力验证请求之前或者当从第一服务终端接收到所述服务权力验证请求时,将所述权力委派请求消息发送到所述CPNS服务器。
6.如权利要求1至5中的一项所述的方法,其中,所述服务权力验证响应包括所述权力委派证书和由所述GW生成的签名。
7.如权利要求1至6中的一项所述的方法,其中,由所述GW生成的签名包括使用用于与所述CPNS服务器相互认证的保密密钥签署的签名对象信息,所述签名对象信息包括所述服务权力验证请求、时间戳、发送所述服务权力验证请求的服务终端的ID以及指示允许权力委派的服务的至少一个服务简档中的至少一个。
8.如权利要求1至7中的一项所述的方法,其中,第一服务终端使用公共密钥验证由所述GW生成的签名,并且如果由所述GW生成的签名被验证为有效签名,则第一服务终端存储由所述GW生成的签名以及所述权力委派证书。
9.一种用于提供服务给异构服务终端的网关(GW),所述网关包括:
短距离通信连接器,用于通过短距离通信与第一服务终端建立物理连接;
个人网络(PN)配置管理器,用于当从第一服务终端接收到PN连接请求时配置PN;
服务管理器,用于从融合型个人网络服务(CPNS)服务器接收由第一服务终端请求的服务以及发送接收到的服务;
无线接入模块,用于与所述CPNS服务器通信;
存储器,用于存储服务终端的信息,所述网关通过该服务终端配置PN;以及
权力委派管理器,用于当通过短距离通信连接器从第二服务终端接收到服务权力验证请求时,确定第二服务终端是否是支持与提供给第一服务终端的服务不同的服务的异构服务终端,如果第二服务终端是异构服务终端则确定是否存在委派对于第二服务终端的权力的权力委派证书,以及发送包括所委派的权力委派证书的服务权力验证响应到第二服务终端。
10.如权利要求9所述的网关,其中,所述权力委派证书包括所述GW的标识符(ID)、用于所述GW与所述CPNS服务器之间的相互认证的公共密钥、指示允许权力委派的服务的至少一个服务简档、以及利用由证书授权(CA)发布的私人密钥签署的签名中的至少一个。
11.如权利要求9或者10所述的网关,其中,在从第二服务终端接收到所述服务权力验证请求之前或者当从第二服务终端接收到所述服务权力验证请求时,所述权力委派管理器发送权力委派请求消息到所述服务器,以及从所述服务器接收响应于所述权力委派请求消息的权力委派证书。
12.如权利要求9至11中的一项所述的网关,其中,当接收到所述权力委派证书时,所述权力委派管理器验证所述权力委派证书的签名,并且如果所述签名被验证为有效签名,则所述权力委派管理器将所述权力委派证书存储在存储器中。
13.如权利要求9至12中的一项所述的网关,其中,所述服务权力验证响应包括所述权力委派证书和由所述网关生成的签名。
14.如权利要求9至13中的一项所述的网关,其中,由所述网关生成的签名包括使用用于与所述服务器相互认证的保密密钥签署的签名对象信息,所述签名对象信息包括所述服务权力验证请求、时间戳、发送所述服务权力验证请求的服务终端的标识符(ID)、以及指示允许权力委派的服务的至少一个服务简档中的至少一个。
15.如权利要求9至14中的一项所述的网关,其中,第二服务终端使用公共密钥验证由所述网关生成的签名,以及
其中,如果由所述网关生成的签名有效,则第二服务终端存储由所述网关生成的签名和所述权力委派证书。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110062557A KR20130001655A (ko) | 2011-06-27 | 2011-06-27 | 서로 다른 서비스 단말로 서비스를 제공하기 위한 장치 및 방법 |
| KR10-2011-0062557 | 2011-06-27 | ||
| PCT/KR2012/005034 WO2013002533A2 (en) | 2011-06-27 | 2012-06-26 | Apparatus and method for providing service to heterogeneous service terminals |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103765831A true CN103765831A (zh) | 2014-04-30 |
Family
ID=47362972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280041876.XA Pending CN103765831A (zh) | 2011-06-27 | 2012-06-26 | 用于向异构服务终端提供服务的装置和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20120331286A1 (zh) |
| EP (1) | EP2724501A4 (zh) |
| JP (1) | JP2014521143A (zh) |
| KR (1) | KR20130001655A (zh) |
| CN (1) | CN103765831A (zh) |
| WO (1) | WO2013002533A2 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10785630B2 (en) * | 2012-12-10 | 2020-09-22 | Nokia Technologies Oy | Method and apparatus for low energy discovery |
| PL3005640T3 (pl) * | 2013-05-29 | 2018-12-31 | Ericsson Telefon Ab L M | Bramka, urządzenie klienta i sposoby do umożliwiania komunikacji pomiędzy urządzeniem klienta a serwerem aplikacji |
| KR101601631B1 (ko) * | 2014-06-24 | 2016-03-10 | 경북대학교 산학협력단 | 서비스단말 상태에 따른 사용자 권한 설정기능을 갖는 사물인터넷 시스템 및 그 방법 |
| US10313217B2 (en) | 2015-03-13 | 2019-06-04 | Samsung Electronics Co., Ltd. | System on chip (SoC) capable of sharing resources with network device and devices having the SoC |
| US10097529B2 (en) | 2015-05-01 | 2018-10-09 | Samsung Electronics Co., Ltd. | Semiconductor device for controlling access right to server of internet of things device and method of operating the same |
| KR102076816B1 (ko) * | 2016-05-12 | 2020-02-12 | 에스케이 텔레콤주식회사 | 이종 네트워크 환경에서 차세대 네트워크 서비스를 제공하는 방법 및 장치 |
| KR102071402B1 (ko) * | 2016-11-01 | 2020-03-03 | 한국전자통신연구원 | 사물인터넷 환경 키 관리 서비스 제공 장치 |
| KR102243627B1 (ko) * | 2019-09-18 | 2021-04-22 | 주식회사 엘지유플러스 | IoT 디바이스 권한 관리 방법 및 장치 |
| US11526928B2 (en) * | 2020-02-03 | 2022-12-13 | Dell Products L.P. | System and method for dynamically orchestrating application program interface trust |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6601171B1 (en) * | 1999-02-18 | 2003-07-29 | Novell, Inc. | Deputization in a distributed computing system |
| US20060268711A1 (en) * | 2005-05-27 | 2006-11-30 | Doradla Anil K | Network selection terminal |
| WO2009022802A2 (en) * | 2007-08-10 | 2009-02-19 | Lg Electronics Inc. | Method for sharing content |
| US20100228967A1 (en) * | 2007-10-18 | 2010-09-09 | Gene Beck Hahn | Method of establishing security association in inter-rat handover |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1117265A1 (en) * | 2000-01-15 | 2001-07-18 | Telefonaktiebolaget Lm Ericsson | Method and apparatus for global roaming |
| EP1117266A1 (en) * | 2000-01-15 | 2001-07-18 | Telefonaktiebolaget Lm Ericsson | Method and apparatus for global roaming |
| KR100803272B1 (ko) * | 2004-01-29 | 2008-02-13 | 삼성전자주식회사 | 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치 |
| WO2005093989A1 (en) * | 2004-03-29 | 2005-10-06 | Smart Internet Technology Crc Pty Limited | Digital license sharing system and method |
| JP2006004314A (ja) * | 2004-06-21 | 2006-01-05 | Nec Corp | 信用確立方法と信用に基づいたサービス制御システム |
| US8732854B2 (en) * | 2006-11-01 | 2014-05-20 | Time Warner Cable Enterprises Llc | Methods and apparatus for premises content distribution |
| WO2008085206A2 (en) * | 2006-12-29 | 2008-07-17 | Prodea Systems, Inc. | Subscription management of applications and services provided through user premises gateway devices |
| US8539543B2 (en) * | 2007-04-12 | 2013-09-17 | Microsoft Corporation | Managing digital rights for multiple assets in an envelope |
| US20080271165A1 (en) * | 2007-04-27 | 2008-10-30 | Microsoft Corporation | Parameter-based interpretation of drm license policy |
| KR101402904B1 (ko) * | 2007-06-13 | 2014-06-03 | 삼성전자주식회사 | A/v 프로파일을 관리하는 방법, 장치 및 시스템 |
| JP2010537329A (ja) * | 2007-08-27 | 2010-12-02 | エヌイーシー ヨーロッパ リミテッド | リソースのデレゲーションを実行する方法およびシステム |
| EP2166790A1 (en) * | 2008-09-19 | 2010-03-24 | NEC Corporation | Method for personal network service configuration |
| KR101679428B1 (ko) * | 2009-10-16 | 2016-11-25 | 삼성전자주식회사 | Cpns 서비스 제공을 위한 개인망 형성 장치 및 방법 |
| US8583811B2 (en) * | 2010-04-23 | 2013-11-12 | Qualcomm Incorporated | Gateway device for multimedia content |
-
2011
- 2011-06-27 KR KR1020110062557A patent/KR20130001655A/ko not_active Application Discontinuation
-
2012
- 2012-06-15 US US13/524,482 patent/US20120331286A1/en not_active Abandoned
- 2012-06-26 EP EP12804648.9A patent/EP2724501A4/en not_active Withdrawn
- 2012-06-26 JP JP2014518792A patent/JP2014521143A/ja not_active Ceased
- 2012-06-26 CN CN201280041876.XA patent/CN103765831A/zh active Pending
- 2012-06-26 WO PCT/KR2012/005034 patent/WO2013002533A2/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6601171B1 (en) * | 1999-02-18 | 2003-07-29 | Novell, Inc. | Deputization in a distributed computing system |
| US20060268711A1 (en) * | 2005-05-27 | 2006-11-30 | Doradla Anil K | Network selection terminal |
| WO2009022802A2 (en) * | 2007-08-10 | 2009-02-19 | Lg Electronics Inc. | Method for sharing content |
| US20100228967A1 (en) * | 2007-10-18 | 2010-09-09 | Gene Beck Hahn | Method of establishing security association in inter-rat handover |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013002533A3 (en) | 2013-04-04 |
| EP2724501A4 (en) | 2014-12-17 |
| US20120331286A1 (en) | 2012-12-27 |
| WO2013002533A2 (en) | 2013-01-03 |
| EP2724501A2 (en) | 2014-04-30 |
| KR20130001655A (ko) | 2013-01-04 |
| JP2014521143A (ja) | 2014-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103765831A (zh) | 用于向异构服务终端提供服务的装置和方法 | |
| US20190090174A1 (en) | Vehicle as public wireless hotspot | |
| US20180091978A1 (en) | Universal Integrated Circuit Card Having A Virtual Subscriber Identity Module Functionality | |
| KR102382851B1 (ko) | eSIM 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치 | |
| EP2491734B1 (en) | Method and apparatus for providing service using personal network | |
| US20060143295A1 (en) | System, method, mobile station and gateway for communicating with a universal plug and play network | |
| KR20160124648A (ko) | 프로파일 다운로드 및 설치 장치 | |
| CN110235424A (zh) | 用于在通信***中提供和管理安全信息的设备和方法 | |
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| US20070254630A1 (en) | Methods, devices and modules for secure remote access to home networks | |
| CN102859935A (zh) | 利用虚拟机远程维护电子网络中的多个客户端的***和方法 | |
| CN103067914A (zh) | 存在于wtru上的移动置信平台(mtp) | |
| JP2006115502A (ja) | ポータブルセキュリティトークン使用型認証機関間相互認証方法及び装置 | |
| US20060075222A1 (en) | System for personal group management based on subscriber certificates | |
| MXPA01011969A (es) | Metodo y aparato para iniciar comunicaciones seguras entre y exclusivamente para dispositivos inalambricos en pares. | |
| CN104956638A (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| CN102111766A (zh) | 网络接入方法、装置及*** | |
| US20080016336A1 (en) | Generic public key infrastructure architecture | |
| CN108886688A (zh) | 用于中立主机lte的lte层级安全性 | |
| WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
| WO2022160124A1 (zh) | 一种服务授权管理方法及装置 | |
| Wei et al. | Hibs-ksharing: Hierarchical identity-based signature key sharing for automotive | |
| EP2741465B1 (en) | Method and device for managing secure communications in dynamic network environments | |
| WO2010045824A1 (zh) | 密钥分发方法和*** | |
| KR101854389B1 (ko) | 애플리케이션 인증 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140430 |
|
| WD01 | Invention patent application deemed withdrawn after publication |