在便携式通信对象中对安全数字内容的安全访问的管理制造技术

本发明专利技术涉及一种终端（Ｔ），该终端包括代理（ＡＳ），用于处理利用密钥（ＫＣＮ）加密的并且由第一服务器（ＳＣＮ）发送的安全内容。为了管理对安全内容的安全访问，与终端相关联的便携式通信对象、例如芯片卡的应用（ＡＧ）存储一种有关的数字权限类型（ＴＤＮ）和由代理发送的证书并且存储与从第二服务器（ＳＡＤ）发送的安全内容有关的访问权限（ＤＡ）和密钥（ＫＣＮ）。应用根据权限类型适配访问权限和密钥并且修改安全内容，并且根据适配了的访问权限和密钥以及证书生成安全访问文件，所生成的文件能够被终端访问，以便代理可以处理修改了的内容。

【技术实现步骤摘要】
【国外来华专利技术】本专利技术涉及在便携式通信对象中对安全数字内容的安全访问的管理，所述便携式通信对象与包含用于处理安全数字内容的代理的终端相关联。当前，无线电通信网络的运营商面临着由于下载安全数字内容市场的出现而引起的问题。运营商求助于不同的资源和各种各样的用于管理数字权限DRM(英文是“Digital Rights Management”)的系统，这些系统中的每一个都具有用于访问和处理安全数字内容的特定的数字权限格式，并且这些系统有助于使内容的安全性的分布复杂并且被分割。数字权限管理系统彼此互不兼容，而且不提供当用户使用采用与旧终端的数字权限不同的类型的数字权限的新终端时存储安全数字内容及其相关的访问权限的解决方案。上述技术问题在于以下事实：用于保护安全数字内容的密钥是用旧终端的证书的公钥进行加密的，因此该密钥不能在新终端中被读取。通常，终端包括软件代理，用于处理由数字内容服务器发送的加密了的安全数字内容和由权限管理服务器发送的安全访问文件。加密了的安全数字内容可以自由地从安全内容服务器下载。安全访问文件包含访问权限和用于解密安全数字内容的密钥。该密钥用代理的证书的公钥进行加密，安全访问文件用权限管理服务器的私钥进行签名，在这之前，权限管理服务器和代理已经交换了它们的证书。根据第一种解决方案，权限管理服务器废除旧终端的证书，并为新终端生成新的安全访问文件。在这种情况下，旧终端不再能够使用安全数字内容。根据与第一种解决方案类似的第二种解决方案，旧终端将安全访问文件归还给权限管理服务器，权限管理服务器为新终端生成另一个安全访问文件。这种解决方案的缺点是：旧终端用户必须是可操作的并且能被用户使用，例如当旧终端坏了或被偷了或是削弱旧终端的能力的病毒的受害者时，该解决方案是不可行的。根据第三种解决方案，软件代理部分地在终端中实现，并且部分地在与终-->端相关联的芯片卡中实现，安全访问文件以密码方式与芯片卡相链接。当新终端与芯片卡相关联时，必须建立芯片卡和终端的软件代理间的安全通信，以便该卡将用于数字内容的解密密钥传送给软件代理。这种解决方案的缺点如下：芯片卡的软件代理和终端的软件代理共享机密的数据并且需要用于通信的安全信道，而且芯片卡和新终端所支持的数字权限的类型必须是兼容的。本专利技术的目的是通过以适于处理安全数字内容的任何何终端的方式管理对所述内容的安全访问来消除上述缺点。为了达到上述目的，一种用于在与终端相关联的便携式通信对象中管理对利用密钥进行加密的安全数字内容的安全访问的方法，该终端包括用于处理安全数字内容的代理，该安全数字内容由第一服务器通过通信网络发送给该终端，其特征在于，在便携式通信对象中，该方法包括如下步骤：访问与代理有关的证书和由代理所使用的数字权限类型，存储与从第二服务器发送的安全数字内容有关的密钥和访问权限，根据访问的数字权限类型，适配接收到的密钥和访问权限并修改安全数字内容，并且根据适配了的访问权限、适配了的密钥以及访问的证书生成安全访问文件，该安全访问文件能够被终端访问，以便代理根据安全访问文件处理修改了的安全数字内容。第一服务器、例如数字权限管理服务器能够有利地管理用于发送安全数字内容给终端的单个数字权限类型。因此，单独地根据由第一服务器管理的数字权限类型，为安全数字内容分别创建访问权限和密钥的数字集。此外，根据本专利技术的方法的步骤，第一服务器不需要了解安全数字内容被发送到的终端的代理的证书。此外，在便携式通信对象和终端之间不需要安全信道，以便终端代理根据由便携式通信对象生成的安全访问文件处理安全数字内容。根据本专利技术的另一特征，当便携式通信对象与第二终端相关联时，该方法还可包括下列步骤：访问与第二终端的代理有关的证书和由第二终端的代理所使用的数字权限类型，根据第二终端的代理所使用的数字权限类型，适配密钥和访问权限并修改-->安全数字内容，并且根据格式化了的访问权限、格式化了的密钥和与第二终端有关的证书生成第二安全访问文件，第二安全访问文件能够被第二终端访问，以便其他终端的代理根据第二安全访问文件处理修改了的安全数字内容。便携式通信对象适配于与其相关联的终端的功能，而无需与第一服务器通信并且无需求助于之前使用的终端，后者可能被偷、被损坏、或者甚至被再次用于处理安全数字内容。安全数字内容例如是用于不同终端、例如通信移动终端、个人计算机或个人助理上的游戏，或者是一段例如利用个人立体声或汽车无线电装置收听的音乐。因此，第一服务器仅向用户发送一次密钥和访问权限，用户能够利用其他终端继续使用安全数字内容，而不必再次获得数字内容、例如多媒体内容和/或相关的访问权限。安全数字内容的普遍使用使得有可能获得用户对管理第一服务器的运营商的忠诚以及使安全数字内容的购买变为动态的，用户确信保持访问其已经购买的数字内容的相关权限。本专利技术还涉及一种用于在与终端相关联的便携式通信对象中管理对安全数字内容的安全访问的系统，该安全数字内容利用密钥被加密，所述终端包括代理，用于处理由第一服务器通过通信网络发送给终端的安全数字内容。该系统的特征在于它包括：—在便携式通信对象中的用于访问与代理有关的证书和由代理所使用的数字权限类型的装置，—在便携式通信对象中的用于存储密钥和访问权限的装置，密钥和访问权限均与从第二服务器发送的安全数字内容有关，—在便携式通信对象中的用于根据访问的数字权限类型适配所接收的密钥和访问权限并且修改安全数字内容的装置，以及—在便携式通信对象中的用于根据适配了的访问权限、适配了的密钥以及所访问的证书来生成安全访问文件的装置，安全访问文件能够被终端访问，以便代理根据安全访问文件处理修改了的安全数字内容。例如，通信网络是无线电通信网络，便携式通信对象是与移动终端相关联的并且包括用于存储敏感数据的安全存储器的芯片卡，所述敏感数据例如是与-->安全数字内容有关的访问权限和密钥。本专利技术还涉及一种例如包括芯片卡的便携式通信对象，用于管理对利用密钥加密的安全数字内容的安全访问，所述便携式通信对象与例如为移动终端或固定终端的终端相关联，所述终端包含用于解释由第一服务器通过通信网络发送给终端的安全数字内容的代理。该便携式通信对象的特征在于其包括：—用于访问与代理有关的证书和由该代理所使用的数字权限类型的装置，—用于存储密钥和访问权限的装置，密钥和访问权限均与从第二服务器发送的安全数字内容有关，...

【技术保护点】
一种用于在与终端（Ｔ）相关联的便携式通信对象（ＣＰ）中管理对安全数字内容（ＣＮＳ）的安全访问的方法，所述安全数字内容（ＣＮＳ）利用密钥（ＫＣＮ）被加密，所述终端包括代理（ＡＳ），用于处理由第一服务器（ＳＣＮ）通过通信网络（ＲＲ）发送（Ｅ２）给所述终端的所述安全数字内容，其特征在于，在所述便携式通信对象中，该方法包括步骤：　－访问（Ｅ１）与所述代理（ＡＳ）有关的证书（ＣＡＳ）和由所述代理（ＡＳ）所使用的数字权限类型（ＴＤＮ），　－存储（Ｅ３）与从第二服务器（ＳＡＤ，ＳＣＮ）发送的所述安全数字内容（ＣＮＳ）有关的密钥（ＫＣＮ）和访问权限（ＤＡ），　－根据访问的数字权限类型（ＴＤＮ），适配（Ｅ３）接收到的密钥（ＫＣＮ）和访问权限（ＤＡ）并且修改所述安全数字内容（ＣＮＳ），并且　－根据适配了的访问权限（ＤＡＦ）、适配了的密钥（ＫＣＮＡ）和访问的证书生成（Ｅ６）安全访问文件（ＦＡＳ），所述安全访问文件（ＦＡＳ）能由所述终端（Ｔ）访问，以便所述代理（ＡＳ）根据所述安全访问文件（ＦＡＳ）处理修改了的安全数字内容（ＣＮＳ）。

【技术特征摘要】
【国外来华专利技术】FR 2006-2-28 06506921.一种用于在与终端(T)相关联的便携式通信对象(CP)中管理对安全
数字内容(CNS)的安全访问的方法，所述安全数字内容(CNS)利用密钥(KCN)
被加密，所述终端包括代理(AS)，用于处理由第一服务器(SCN)通过通信网
络(RR)发送(E2)给所述终端的所述安全数字内容，其特征在于，在所述便
携式通信对象中，该方法包括步骤：
-访问(E1)与所述代理(AS)有关的证书(CAS)和由所述代理(AS)
所使用的数字权限类型(TDN)，
-存储(E3)与从第二服务器(SAD，SCN)发送的所述安全数字内容(CNS)
有关的密钥(KCN)和访问权限(DA)，
-根据访问的数字权限类型(TDN)，适配(E3)接收到的密钥(KCN)和
访问权限(DA)并且修改所述安全数字内容(CNS)，并且
-根据适配了的访问权限(DAF)、适配了的密钥(KCNA)和访问的证书
生成(E6)安全访问文件(FAS)，所述安全访问文件(FAS)能由所述终端(T)
访问，以便所述代理(AS)根据所述安全访问文件(FAS)处理修改了的安全
数字内容(CNS)。
2.根据权利要求1的方法，在所述便携式通信对象(CP)中，所述适配
和修改步骤(E5)根据该方法还包括步骤：
-生成(E51)适配于所述数字权限类型(TDN)的密钥(KCNA)，
-利用密钥(KCN)解密(E52)所述安全数字内容(CNS)，并且
-利用生成的密钥(KCNA)加密(E54)解密了的安全数字内容(CNS)。
3.根据权利要求2的方法，在所述便携式通信对象(CP)中，所述适配
和修改步骤(E5)根据该方法还包括：以与安全代理(AS)兼容的方式格式化
(E53)解密了的安全数字内容(CNS)，以便利用生成的密钥(KCNA)加密格
式化了的安全数字内容(CNS)。
4.根据权利要求1-3中任何一个的方法，还包括步骤：
-从代理(AS)访问(E1)与所述便携式通信对象(CP)有关的第二证书
(CAG)，
在所述便携式通信对象中，利用与所述第二证书(CAG)有关的私钥
(KPRAG)对安全访问文件(FAS)进行签名(E63)，以便所述代理(AS)利
用第二证书(CAG)证实(E8)签名了的安全访问文件(FASs)。
5.根据权利要求1-4中任何一个的方法，所述安全访问文件(FAS)根据
该方法包括加密了的密钥(KCc)和适配了的访问权限(DAF)，所述加密了的
密钥(KCc)通过将适配了的密钥(KCNA)应用(E61)于算法(A1)来生成，
所述算法的密钥是与所述代理(AS)有关的证书(CAS)的公钥。
6.根据权利要求1-5中任何一个的方法，当所述便携式通信对象(CP)与
第二终端相关联时，还包括步骤：
-访问(E1)与所述第二终端的代理(AS)有关的证书(CAS)和由所述
第二终端的代理所使用的数字权限类型(TDN)，
-根据由所述第二终端的代理所使用的数字权限类型(TDN)，适配(E5)
密钥(KCN)和访问权限(DA)并且修改所述安全数字内容(CNS)，并且
-根据格式化了的访问权限(DAF)、格式化了的密钥(KCNA)和与所述
第二终端有关的证书(CAS)，生成(E6)第二安全访问文件(CNS)，所述第
二安全访问文件(FAS)能够被所述第二终端访问，以便其他终端的代理(AS)
根据所述第二安全访问文件(FAS)处理修改了的安全数字内容(CNS)。
7.用于在与终端(T)相关联的便携式通信对象(CP)中管理对安全数字
内容(CNS)的安全访问的系统，所述安全数字内容(CNS)利用密钥(KC...

【专利技术属性】
技术研发人员：E查邦尼尔，F福尔，
申请(专利权)人：格姆普拉斯公司，
类型：发明
国别省市：FR[法国]