本发明专利技术公开了一种权限管理系统,该系统能够有效地执行权限管理,比如业务接收权限检查处理。相应于由特定装置或者特定用户组成的组设置的组属性证书被作为存储信息,并且加上发放者的数字签名的组属性证书被发送给业务接收实体。当提供业务时,检查所展示的组属性证书的签名以判断该证书是否被篡改,并且使用组信息数据库检查组属性证书以判断该组是否为一个业务允许组。因此,可以对各种用户集合或者装置集合执行统一的权限检查,忽略个别的权限信息管理,从而能够实现有效的权限管理。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及数据处理系统、数据处理装置及其方法和计算机程序。特别是,本专利技术涉及数据处理系统、数据处理装置及其方法和计算机程序,从而以有效和安全方式对例如需要确认内容使用的用户执行业务接收权限管理,或者执行业务使用处理等,并且根据用户或装置的访问权限确认执行数据处理。
技术介绍
近来,出现了大量伴随终端之间通信的业务提供处理,比如经由通信网如互联网或者可分配的存储媒介如DVD、CD、存储卡和类似物来分配各种类型软件数据如音乐数据、图像数据、游戏程序等(以下称之为内容),以及出现了伴随终端之间数据传送/接收的付款。例如,在室内或者室外与业务供应商的业务供应装置进行连接以便在装置之间交换数据或者接收内容或业务的用户每天都在出现增加,这些用户具有各类用户装置,比如PC、便携通信终端、便携装置、存储卡等。各种业务使用的特殊实例包括使用PC或者便携终端或类似装置访问内容分配业务,以下载各种类型的内容,比如音乐、活动图像、游戏程序等;使用具有存储个人信息、银行账户信息、购物限制货币量信息的内置IC芯片的存储卡等,购物或者转账;以及用来替代列车车票或者公交车车票。尽管经由通信网或媒介来分配内容和业务等变得日益普遍,但是另一方面,也出现了内容或业务的未授权使用的问题,即,业务被没有合适权限的用户使用,因此需要开发一种系统,使内容或业务确实被仅仅提供给具有适当使用权限的用户,从而消除业务的未授权使用。例如,对于许多软件内容,如音乐、图像数据、游戏程序等,创作者或者出售商通常持有对其分配的权利;并且对于这种内容的分配,使用了考虑安全性的系统,由此在某些使用限制条件(即仅仅对于授权用户)下准许软件的使用,从而使未经许可的复制不能执行。实现接收业务的装置或用户的使用限制的一种方法是加密处理。例如,存在一个安排,其中在例如向装置或者用户提供内容或者业务信息的时候,加密内容或者业务信息然后提供,并且提供能够由被分配所述信息的授权的装置或用户使用的解密密钥,从而启动内容或业务的使用。通过利用解密密钥的解密处理,可以把加密的数据返回到解密的数据(明文)。尽管存在利用加密密钥和解密密钥的各种数据加密/解密方法和安排,但是一个实例是称为共享密钥加密方法的方法。共享密钥加密方法是,供数据加密处理使用的加密密钥和供数据解密处理使用的解密密钥是共享的,并且向用户提供用于加密处理和解密处理的共享密钥,从而消除没有该密钥的未授权用户对数据的访问。该方法的代表性方法是DES(数据加密标准)。此外,利用用于加密的加密密钥进行处理和利用用于解密的解密密钥进行处理的方法是所谓的公共密钥加密方法。公共密钥加密方法是使用未指定用户可以使用的公共密钥的方法,其中指定个体的加密文件被使用该特定个体生成的公共密钥进行加密处理。公共密钥加密的文件只可以被对应于用于加密处理的公共密钥的秘密密钥来解密。只有生成公共密钥的个体才拥有秘密密钥,所以只有拥有秘密密钥的个体才能解密用公共密钥解密的文件。公共密钥加密方法的代表性方法是椭圆曲线加密,或者RSA(Rivest-Shamir-Adleman)加密。使用这样的加密方法使得在一个系统中,只有授权用户才能够解密被加密的内容。对于上述的内容或业务使用管理安排,存在用于确定是否为授权用户的已知方法,即,在提供已加密的数据如内容或业务信息等之前,或者在提供解密密钥之前,通过在提供内容或者业务的业务供应商与用户装置如PC、便携终端、存储卡等之间执行验证处理,确认用户是否为授权用户。在普通的验证处理中,确认另一方,并且生成仅对那个通信有效的会话密钥,并且在建立验证的情况下,利用所生成的会话密钥,通过加密内容数据或者解密密钥,执行通信。
技术实现思路
尽管存在执行用户权限确认的技术,即在提供业务的业务供应商与用户之间通过一对一地执行验证处理,如同上述的确认用户权限的系统那样,来执行用户权限确认,但是考虑到在用户终端上可以执行的各种业务如内容提供业务、其它信息使用业务、付款业务的增加,人们希望开发一种能够以有效和安全方式执行各个用户或用户终端的业务使用权限的有/无的实施。本专利技术是鉴于上述问题做出的,所以本专利技术的目的是提供数据处理系统、数据处理装置、及其方法以及计算机程序,由此在执行数据通信所伴随的数据处理的数据处理系统中,可以对正在进行通信的每个装置或者用户是否具有适当数据处理执行权限或者业务接收权限做出精确确定,从而实现准确无误的数据处理。例如,本专利技术的目的是提供一种装置和方法,用于根据属性证书检查一个访问是否来来自被记录在将被访问的通信处理装置上的用户或者通信装置,并且仅允许来自具有访问权限的用户或者装置的访问,从而消除其它装置的访问。本专利技术的第一方面是管理用户装置的业务接收权限的权限管理系统;其中作为业务接收实体的用户装置保存组属性证书,该组属性证书具有作为被存储信息的、对应于某些装置或者某些用户的集合的组的组标识信息,并且还附有发放者的电子签名;其中,是业务供应实体的业务供应商具有一个配置,用于借助签名验证执行从用户装置展示的组属性证书是否存在篡改的验证,根据存储在该组属性证书中的组标识信息执行这是否是业务准许组的检查,并且根据该检查执行关于是否可以提供业务的确定。此外,对于本专利技术的权限管理系统的安排,组属性证书是在组属性证书发放实体与用户装置之间建立相互认证的条件下,向对应于装置或者用户的用户装置发放的证书,并且被发给证书的装置或者用户遵循业务供应商准许的发放策略。此外,对于本专利技术的权限管理系统的安排,新的组属性证书的发放处理是在组属性证书发放实体处建立关于用户装置已经持有的已经发放的组属性证书的验证的条件下,执行的配置的处理。此外,对于本专利技术的权限管理系统的安排,业务供应商的配置具有组信息数据库,其中组标识符和属于该组的成员的准许业务信息被相互关联,其中根据用户装置展示的组属性证书中所存储的组标识信息,搜索组信息数据库,执行关于是否可以提供业务的确定处理。此外,对于本专利技术的权限管理系统的安排,业务供应商具有一个配置,其中根据用户装置展示的多个不同的组定义,对于从多个组属性证书获得的不同组标识信息的多个集合的每一个执行关于是否为业务准许对象的检查,并且在所有组标识集合都是业务准许对象的条件下,执行关于是否可以提供业务的确定处理。此外,对于本专利技术的权限管理系统的安排,业务供应商具有一个配置,其中根据来自其中装置是组成员的用户装置的组定义,对于从第一组属性证书获得的第一组标识信息执行关于是否为业务准许对象的检查,并且根据来自其中装置是组成员的用户装置的组定义,对于从第二组属性证书获得的第二组标识信息执行关于是否为业务准许对象的检查,并且在所有组标识集合都是业务准许对象的条件下,执行关于是否可以提供业务的确定处理。对于本专利技术的权限管理系统的安排,用户装置具有一个配置,包括作为执行与业务供应商通信的装置的终端实体,以及作为各个标识装置的用户标识装置;其中组属性证书被单独地发放给终端实体和用户标识装置的每一个,该发放处理是在组属性证书发放实体与终端实体或者用户标识装置之间已经建立相互认证的条件下执行的。此外,本专利技术的权限管理系统的安排具有一个配置,其中组属性证书是属性管理机构发放的属性证书,组标识符被存储在被归档于属性证书内的属本文档来自技高网...
【技术保护点】
一种管理用户装置的业务接收权限的权限管理系统;其中作为业务接收实体的用户装置持有组属性证书,该组属性证书具有作为被存储信息的、对应于某些装置或者某些用户的集合的组的组标识信息,并且还附有发放者的电子签名;其中,作为业务供应实 体的业务供应商具有一个配置,用于借助签名验证执行所述用户装置展示的组属性证书是否存在篡改的验证,根据存储在该组属性证书中的组标识信息执行关于是否是业务准许组的检查,并且根据所述检查执行关于是否可以提供业务的确定。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:间杉円,岛田升,冈诚,川口贵义,石桥义人,阿部博,丰岛信隆,
申请(专利权)人:索尼株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。