用于向異構(gòu)服務(wù)終端提供服務(wù)的裝置和方法
【專利摘要】提供了一種用于提供服務(wù)給異構(gòu)服務(wù)終端而無需修改安全框架的裝置和方法�,其中��,控制第一服務(wù)終端的網(wǎng)關(guān)發(fā)送權(quán)力委派請求給服務(wù)器以便也提供服務(wù)給第二服務(wù)終端�,以及當(dāng)在從所述服務(wù)器接收到權(quán)力委派證書之后從第二服務(wù)終端接收到服務(wù)權(quán)力驗證請求時��,網(wǎng)關(guān)發(fā)送包括所述權(quán)力委派證書的服務(wù)權(quán)力驗證響應(yīng)到第二服務(wù)終端��。
【專利說明】用于向異構(gòu)服務(wù)終端提供服務(wù)的裝置和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于向能夠短距離通信的服務(wù)終端提供服務(wù)的裝置和方法�,并且更加具體來說���,涉及用于向異構(gòu)服務(wù)終端提供服務(wù)而無需修改它們之間的安全框架的裝置和方法�。
【背景技術(shù)】
[0002]部分地由于能夠短距離通信的諸如運動圖片專家組音頻層-3 (MP3)播放器��、便攜式多媒體播放器(PMP)��、游戲機����、上網(wǎng)本等等之類的消費電子(CE)設(shè)備的迅猛成長,用戶渴望用于下載在CE設(shè)備中使用的內(nèi)容的更加方便的方法����。
[0003]但是,CE設(shè)備對外部網(wǎng)絡(luò)的直接訪問極為受限��。例如,一些CE設(shè)備只有在因特網(wǎng)在具有接入點(AP)的區(qū)域中通過無線保真(WiFi)可用于設(shè)備的情況下才能夠訪問外部網(wǎng)絡(luò)����。因此,存在使CE設(shè)備(不論其短距離通信的性能如何�����,其都不能直接接入外部網(wǎng)絡(luò))能夠接收想要的服務(wù)(例如通過網(wǎng)關(guān)接入外部網(wǎng)絡(luò)來下載內(nèi)容)的需要�����。
[0004]例如���,在融合型個人網(wǎng)絡(luò)服務(wù)(CPNS)中��,個人網(wǎng)絡(luò)(PN)被配置具有負責(zé)與外部網(wǎng)絡(luò)通信的PN網(wǎng)關(guān)(PNGW)以及回放實際服務(wù)和內(nèi)容的CE設(shè)備�����。CE設(shè)備通過PNGW接入外部網(wǎng)絡(luò)中的服務(wù)/內(nèi)容提供者�����,并且因此提供服務(wù)或者內(nèi)容��。當(dāng)使用CPNS時�����,CE設(shè)備被稱為PN 實體(PNE)�。
[0005]在服務(wù)被提供給獨立的PNE之前,需要對于PNE的認(rèn)證協(xié)議�。認(rèn)證協(xié)議針對通信實體實現(xiàn)以便彼此識別并且在其它后續(xù)協(xié)議之前。
[0006]在通用即插即用(UPnP)網(wǎng)絡(luò)服務(wù)的情況下���,受控制的家庭網(wǎng)絡(luò)設(shè)備(也即,受控制的設(shè)備(CD))和用于控制CD的控制點(CP)形成家庭網(wǎng)絡(luò)��,并且CD在CP的控制下接收服務(wù)��。
【發(fā)明內(nèi)容】
[0007]技術(shù)問題
[0008]為了提供所請求的服務(wù)給如上所述的能夠短距離通信的設(shè)備��,CP在UPnP網(wǎng)絡(luò)服務(wù)中在不干涉服務(wù)器的情況下認(rèn)證并且管理連接到家庭網(wǎng)絡(luò)并且受其控制的⑶�����。
[0009]但是�,在CPNS中,CPNS服務(wù)器認(rèn)證并且管理與⑶相應(yīng)的PNE��,而且PNGW用作發(fā)送關(guān)于PNE的信息的中繼。
[0010]用這樣的方式���,與CPNS的PNGW相應(yīng)的CP負責(zé)UPnP網(wǎng)絡(luò)中⑶的認(rèn)證和管理���,而CPNS服務(wù)器負責(zé)與CPNS中的⑶相應(yīng)的PNE的認(rèn)證和管理。
[0011]因此�,存在對于在提供包括上面描述的服務(wù)的異構(gòu)服務(wù)的環(huán)境中在各種設(shè)備當(dāng)中自由共享服務(wù)和內(nèi)容而不干涉服務(wù)器的方法的需要。此外�����,需要用于認(rèn)證以集成方式提供異構(gòu)服務(wù)的CD的方法�����。
[0012]技術(shù)方案
[0013]本發(fā)明的一方面處理至少上面描述的問題和/或不足�����,并且提供至少如下所述的好處�。因此,本發(fā)明的實施例的一方面將提供一種用于提供服務(wù)給異構(gòu)服務(wù)終端而無需修改它們之間的安全框架的裝置和方法���。
[0014]本發(fā)明的另一方面將提供一種用于認(rèn)證提供異構(gòu)服務(wù)的受控制的設(shè)備(CD)的裝置和方法�����。
[0015]本發(fā)明的再一方面將提供一種用于在提供異構(gòu)服務(wù)的設(shè)備之間共享服務(wù)而不干涉服務(wù)器的裝置和方法�����。
[0016]依照本發(fā)明的一方面�����,提供一種用于由網(wǎng)關(guān)(GW)執(zhí)行的提供服務(wù)給異構(gòu)服務(wù)終端的方法���。所述方法包括:通過短距離通信從第一服務(wù)終端接收服務(wù)權(quán)力驗證請求�;確定第一服務(wù)終端是否是支持與提供給第二服務(wù)終端的服務(wù)不同的服務(wù)的異構(gòu)服務(wù)終端����;如果第一服務(wù)終端被確定為是異構(gòu)服務(wù)終端���,則確定是否已經(jīng)從融合型個人網(wǎng)絡(luò)服務(wù)(CPNS)服務(wù)器接收到委派對于第一服務(wù)終端的權(quán)力的權(quán)力委派證書�����;以及發(fā)送包括所述權(quán)力委派證書的服務(wù)權(quán)力驗證響應(yīng)到第一服務(wù)終端����。
[0017]依照本發(fā)明的另一方面,提供一種用于提供服務(wù)給異構(gòu)服務(wù)終端的網(wǎng)關(guān)���。所述網(wǎng)關(guān)包括:短距離通信連接器�����,用于通過短距離通信與第一服務(wù)終端建立物理連接����;個人網(wǎng)絡(luò)(PN)配置管理器��,用于當(dāng)從第一服務(wù)終端接收到PN連接請求時配置PN ;服務(wù)管理器���,用于從融合型個人網(wǎng)絡(luò)服務(wù)(CPNS)服務(wù)器接收由第一服務(wù)終端請求的服務(wù)以及發(fā)送接收到的服務(wù)����;無線接入模塊�����,用于與所述CPNS服務(wù)器通信;存儲器����,用于存儲服務(wù)終端的信息,所述網(wǎng)關(guān)通過該服務(wù)終端配置PN;以及權(quán)力委派管理器���,用于當(dāng)通過短距離通信連接器從第二服務(wù)終端接收到服務(wù)權(quán)力驗證請求時�����,確定第二服務(wù)終端是否是支持與提供至第一服務(wù)終端的服務(wù)不同的服務(wù)的異構(gòu)服務(wù)終端����,如果第二服務(wù)終端是異構(gòu)服務(wù)終端則確定是否存在從服務(wù)器接收到的��、委派對于第二服務(wù)終端的權(quán)力的權(quán)力委派證書�,以及發(fā)送包括所委派的權(quán)力委派證書的服務(wù)權(quán)力驗證響應(yīng)到第二服務(wù)終端。
[0018]有益效果
[0019]根據(jù)本發(fā)明的實施例�,能夠提供服務(wù)給異構(gòu)服務(wù)終端而無需修改安全框架。
【專利附圖】
【附圖說明】
[0020]本發(fā)明的特定實施例的上述及其他目的����、特征和益處將從以下結(jié)合附圖的詳細說明中更加明顯�����,附圖中:
[0021]圖1是示出根據(jù)本發(fā)明的實施例的按照比較示例的融合型個人網(wǎng)絡(luò)服務(wù)(CPNS)系統(tǒng)的配置的圖;
[0022]圖2是示出根據(jù)本發(fā)明的實施例的CPNS系統(tǒng)的配置的圖��;
[0023]圖3是示出根據(jù)本發(fā)明的實施例的個人網(wǎng)絡(luò)網(wǎng)關(guān)(PNGW)的框圖�����;
[0024]圖4是示出根據(jù)本發(fā)明的實施例的服務(wù)終端的框圖���;
[0025]圖5是示出根據(jù)本發(fā)明的實施例的向PNGW委派權(quán)力的操作的信號流的圖�����;
[0026]圖6是示出根據(jù)本發(fā)明的實施例的權(quán)力委派證書的圖��;以及
[0027]圖7是示出根據(jù)本發(fā)明的實施例的簽名對象信息的示例的圖�。
[0028]貫穿附圖����,相同的附圖參考標(biāo)記將理解為指代相同的元素、特征與結(jié)構(gòu)�����。
【具體實施方式】[0029]現(xiàn)在將參考附圖詳細進行對本發(fā)明的實施例的參考。貫穿說明書和附圖相同的參考標(biāo)記表示相同的元件�����。在通常已知的功能和結(jié)構(gòu)的描述可能模糊本發(fā)明的主題的情況下�,可能省略對它們的詳細說明。
[0030]盡管為了在下面描述的方便起見���,使用了如針對移動終端的應(yīng)用的標(biāo)準(zhǔn)化組織一被稱作開放移動聯(lián)盟(OMA)—的融合型個人網(wǎng)絡(luò)服務(wù)(CPNS)中定義的實體的名稱�,但是提供所述標(biāo)準(zhǔn)和相應(yīng)名稱僅僅作為示例并且因此不限制本發(fā)明的范圍�。本發(fā)明也可應(yīng)用于其它這樣的系統(tǒng)和具有類似技術(shù)背景的標(biāo)準(zhǔn)。
[0031]根據(jù)本發(fā)明的實施例���,將提供一種用于提供服務(wù)給異構(gòu)服務(wù)終端而無需修改所述終端之間的安全框架的裝置和方法�。針對該目的��,控制第一服務(wù)終端的網(wǎng)關(guān)(GW)發(fā)送權(quán)力委派請求給服務(wù)器以使得其能夠提供服務(wù)給第二服務(wù)終端以及第一服務(wù)終端����。在從服務(wù)器接收到權(quán)力委派證書之后,如果PN從第二服務(wù)終端接收到服務(wù)權(quán)力驗證請求��,則PN發(fā)送包括權(quán)力委派證書的服務(wù)權(quán)力驗證響應(yīng)給第二服務(wù)終端�����。用這樣的方式�,作為受控制的設(shè)備(CD)的服務(wù)終端能夠在GW部分上被認(rèn)證而無需干涉服務(wù)器,并且能夠在第二服務(wù)終端部分上接收與第一服務(wù)終端接收的服務(wù)相同的服務(wù)���。
[0032]根據(jù)本發(fā)明的實施例的�、可以包括異構(gòu)服務(wù)的融合型個人網(wǎng)絡(luò)服務(wù)(CPNS)被描述如下����。
[0033]圖1是示出根據(jù)本發(fā)明的實施例的按照比較示例的CPNS系統(tǒng)的配置的圖。
[0034]參考圖1����,CPNS系統(tǒng)主要包括以下中的至少一個:個人網(wǎng)絡(luò)實體(PNE),諸如PNElO和12�,個人網(wǎng)絡(luò)網(wǎng)關(guān)(PNGW)20,CPNS服務(wù)器30��,用作應(yīng)用服務(wù)器的服務(wù)/內(nèi)容提供者40以及可以通過因特網(wǎng)接入的制造商(服務(wù)器)50����。
[0035]PNElO和12是直接提供CPNS的服務(wù)終端�����。例如,PNElO和12可以是MP3播放器�����、便攜式多媒體播放器(PMP)���、游戲播放器����、膝上型計算機、導(dǎo)航儀�、諸如冰箱等等之類的消費電子(CE)設(shè)備。所述PNElO和12通過從服務(wù)/內(nèi)容提供者40接收用戶請求的內(nèi)容以及回放接收到的內(nèi)容來向用戶提供服務(wù)���。
[0036]PNElO和12中的每一個在內(nèi)部裝備有短距離通信模塊并且由此能夠與附近的PNE(也即,PNElO或者12中的另外一個)短距離通信���,但是由于缺少通信模塊而不能直接接入服務(wù)提供者�����。因此�����,PNElO基于短距離通信技術(shù)與PNGW20配對以便向PNGW20發(fā)送數(shù)據(jù)和從PNGW20接收數(shù)據(jù)�����。然后���,PNElO利用PNGW20配置PN。因此��,PNElO可以通過PNGW20接入CPNS服務(wù)器30并且可以通過PNGW20從服務(wù)/內(nèi)容提供者40接收內(nèi)容�����。用這樣的方式���,PNElO能夠接收CPNS���。
[0037]PNGW20通過認(rèn)證和管理PNE來中繼CPNS�����。因此����,如果使用除了 CPNS之外的服務(wù)的CD能夠像PNE那樣接收CPNS�,則可以為各種設(shè)備自由地提供服務(wù)和內(nèi)容。
[0038]為了此目的���,本發(fā)明的實施例提供一種用于允許支持與第一服務(wù)終端的服務(wù)異構(gòu)的服務(wù)的第二服務(wù)終端接收與第一服務(wù)終端的服務(wù)相同的服務(wù)的方法�。
[0039]參考圖2如下詳細描述本方法�。
[0040]圖2是示出根據(jù)本發(fā)明的實施例的CPNS系統(tǒng)的配置的圖。在圖2中���,第一服務(wù)終端10是支持圖1的CPNS的PNE���,第二服務(wù)終端20是支持除了 CPNS之外的服務(wù)的終端(例如,通用即插即用(UPnP)數(shù)字生活網(wǎng)絡(luò)聯(lián)盟(Digital Living Network Alliance,DLNA)終端)�。在根據(jù)圖2的本示例中,第一服務(wù)是CPNS�,第二服務(wù)是UPnP網(wǎng)絡(luò)服務(wù)。但是,根據(jù)本示例的UPnP第二服務(wù)是非限制的���,而且可以依照本發(fā)明的實施例使用其它第二服務(wù)�。
[0041 ] 參考圖2��,PNGW20能夠接入外部網(wǎng)絡(luò)(也即���,服務(wù)提供者網(wǎng)絡(luò))中的CPNS服務(wù)器30。此外���,PNGW20利用第一服務(wù)終端10配置PN并且中繼CPNS服務(wù)器30與第一服務(wù)終端10之間的消息和服務(wù)/內(nèi)容���。具體地說,當(dāng)從作為PNE的第一服務(wù)終端10 (其已經(jīng)通過PNGW20配置了 PN)接收到服務(wù)請求時����,PNGW20將服務(wù)請求中繼到CPNS服務(wù)器30。當(dāng)從服務(wù)/內(nèi)容提供者40接收到所請求的服務(wù)時�����,PNGW20發(fā)送服務(wù)到第一終端10�����。
[0042]這里,配置PN指的是識別物理上配對設(shè)備的角色以及在PNE與GW之間建立網(wǎng)絡(luò)�����,以使得PNE可以接收CPNS���。出于此目的����,確定在第一服務(wù)終端10與PNGW20之間是否支持CPNS以及確定設(shè)備是否通過認(rèn)證和授權(quán)而能夠支持CPNS���,并且設(shè)備的角色被識別(也即���,確定設(shè)備操作于GW模式還是PNE模式下)。通過這一系列的處理����,建立了網(wǎng)絡(luò)以便在應(yīng)用層上提供CPNS。第一服務(wù)終端10可以通過利用所建立的PN與PNGW20通信來接入服務(wù)提供者網(wǎng)絡(luò)的CPNS服務(wù)器30����。
[0043]根據(jù)本發(fā)明的實施例�����,PNGW20提供從CPNS服務(wù)器30接收到的服務(wù)或者內(nèi)容給第二服務(wù)終端60以及第一服務(wù)終端10���。更具體地說,當(dāng)從第二服務(wù)終端60接收到對于可用CPNS服務(wù)的請求時����,PNGW20響應(yīng)于所述請求提供可用服務(wù)或者內(nèi)容給第二服務(wù)終端60。用這樣的方式�����,PNGW20利用第一服務(wù)終端10配置PN并且在CPNS服務(wù)器30與第一服務(wù)終端10之間以及在第一服務(wù)終端10與第二服務(wù)終端60之間中繼CPNS系統(tǒng)消息和服務(wù)或者內(nèi)容�����。PNGW20可以是例如移動電話����、個人數(shù)字助理(PDA)��、機頂盒等等�。
[0044]當(dāng)從PNGW20接收到注冊請求時����,CPNS服務(wù)器30注冊并管理PNGW20�、第一服務(wù)終端10和PN。CPNS服務(wù)器30還處理通過PNGW20從第一服務(wù)終端10接收到的服務(wù)和內(nèi)容請求�����。如果所請求的服務(wù)或者內(nèi)容是可用的�����,則CPNS服務(wù)器30通過PNGW20提供服務(wù)或者內(nèi)容給第一服務(wù)終端10�����。但是��,如果所請求的服務(wù)或者內(nèi)容不可用���,則CPNS服務(wù)器30發(fā)送請求到外部服務(wù)/內(nèi)容提供者40���,以使得服務(wù)/內(nèi)容提供者40可以通過PNGW20提供服務(wù)或者內(nèi)容到第一服務(wù)終端10。
[0045]根據(jù)本發(fā)明的實施例�,CPNS服務(wù)器30可以通過PNGW20從支持除了第一服務(wù)終端10的服務(wù)之外的服務(wù)的第二服務(wù)終端60接收服務(wù)或者內(nèi)容請求���。在響應(yīng)于第二服務(wù)終端60的服務(wù)或者內(nèi)容請求而提供服務(wù)之前,CPNS服務(wù)器30向PNGW20委派權(quán)力���。根據(jù)權(quán)力委派����,PNGW20代表CPNS服務(wù)器30來認(rèn)證并管理第二服務(wù)終端60���。如果認(rèn)證成功�,則第二服務(wù)終端60可以通過PNGW20接入CPNS服務(wù)器30���,以便由此接收CPNS�����。稍后將參考圖5給出權(quán)力委派過程的詳細說明。
[0046]因為能夠針對UPnP網(wǎng)絡(luò)服務(wù)和CPNS以集成方式認(rèn)證⑶�����,所以支持UPnP網(wǎng)絡(luò)服務(wù)的⑶也可以根據(jù)本發(fā)明的實施例接收CPNS����。
[0047]圖3是示出根據(jù)本發(fā)明的實施例的個人網(wǎng)絡(luò)網(wǎng)關(guān)(PNGW)的框圖�。
[0048]參考圖3���,PNGW20包括用于通過短距離通信與第一服務(wù)終端10建立物理連接的短距離通信連接器310�����、用于當(dāng)從第一服務(wù)終端10接收到PN連接請求時配置PN的PN配置管理器320���、用于從CPNS服務(wù)器30或者服務(wù)/內(nèi)容提供者40接收由第一服務(wù)終端10請求的服務(wù)并且將接收到的服務(wù)發(fā)送到第一服務(wù)終端10的服務(wù)管理器330、用于利用外部網(wǎng)絡(luò)(也即����,CPNS服務(wù)器30或者服務(wù)/內(nèi)容提供者40)進行通信的無線接入模塊340、以及用于存儲關(guān)于服務(wù)終端(PNGW20利用該服務(wù)終端配置PN)的信息的存儲器350���。[0049]根據(jù)本發(fā)明的實施例���,PNGW20也通過短距離通信連接至第二服務(wù)終端60。PNGW20還包括:總異構(gòu)服務(wù)管理器380��,其用作用于提供除了 CPNS之外的服務(wù)的控制點���,包括第二服務(wù)終端60的認(rèn)證和管理�����;以及權(quán)力委派管理器360���,用于從CPNS服務(wù)器30接管權(quán)力����?���?偖悩?gòu)服務(wù)管理器370包括用作控制點的傳統(tǒng)部分而非新定義的部分,并且因此將不在這里詳細描述��。例如�,總異構(gòu)服務(wù)管理器370相應(yīng)于在UPnP網(wǎng)絡(luò)中執(zhí)行CP的原始功能的部分。因此���,因為PNGW20還包括操作為用于CPNS的PNGW所需要的組件和與控制點相應(yīng)的組件��,所以PNGW20可以用作代理。
[0050]權(quán)力委派管理器360將請求認(rèn)證第二服務(wù)終端60的權(quán)力委派請求發(fā)送到CPNS服務(wù)器30����,并且響應(yīng)于所述權(quán)力委派請求從CPNS服務(wù)器30接收權(quán)力委派證書�����。權(quán)力委派管理器360可以在執(zhí)行與CPNS服務(wù)器30的相互認(rèn)證之后預(yù)先接收權(quán)力委派證書并且可以存儲接收到的委派證書�,或者可以在從第二服務(wù)終端60接收到服務(wù)權(quán)力驗證請求之后通過向CPNS服務(wù)器30請求權(quán)力委派來接收權(quán)力委派證書��。因此��,即使第一服務(wù)終端10和第二服務(wù)終端60支持異構(gòu)服務(wù)��,PNGW20也可以認(rèn)證并且管理第二服務(wù)終端60��,并且集成管理第一服務(wù)終端10和第二服務(wù)終端60�。
[0051]圖4是示出根據(jù)本發(fā)明的實施例的服務(wù)終端的框圖。
[0052]參考圖4如下描述第二服務(wù)終端60的配置���。鑒于第一服務(wù)終端10和第二服務(wù)終端60具有類似結(jié)構(gòu)���,依照本發(fā)明的實施例,以下第二服務(wù)終端60的結(jié)構(gòu)的描述也可以應(yīng)用于第一服務(wù)終端10����。
[0053]參考圖4�����,第二服務(wù)終端60包括:短距離通信連接器400���,用于通過短距離通信與PNGW20和其它PNE建立物理連接;服務(wù)權(quán)力管理器410����,用于發(fā)送服務(wù)權(quán)力驗證請求到PNGW20并且響應(yīng)于服務(wù)權(quán)力驗證請求從PNGW20接收服務(wù)權(quán)力驗證響應(yīng);和服務(wù)運行器420�����,用于運行從PNGW20接收到的服務(wù)/內(nèi)容�。
[0054]圖5是示出根據(jù)本發(fā)明的實施例的向PNGW委派權(quán)力的操作的信號流的圖。
[0055]參考圖5���,在步驟500中�����,CPNS服務(wù)器30執(zhí)行與PNGW20的相互認(rèn)證���。相互認(rèn)證過程包括:在PNGW20中利用密鑰發(fā)生算法生成包括用于相互認(rèn)證的GW保密密鑰(GW SK)和Gff公共密鑰(GW PK)的密鑰對以及在PNGW20與CPNS服務(wù)器30之間交換PK。
[0056]隨后���,PNGW20可以將請求委派用于認(rèn)證第二服務(wù)終端60以及第一服務(wù)終端10的權(quán)力給PNGW20的請求發(fā)送給CPSN服務(wù)器30�����,以便提供CPNS和除了 CPNS之外的服務(wù)�����。為了該目的��,PNGW20在步驟505中生成權(quán)力委派請求消息�,并且在步驟510中發(fā)送權(quán)力委派請求消息到CPNS服務(wù)器30��。
[0057]當(dāng)接收到權(quán)力委派請求消息時��,CPNS服務(wù)器30在步驟515中根據(jù)服務(wù)提供者策略確定是否委派權(quán)力�����。如果CPNS服務(wù)器30確定委派權(quán)力到PNGW20��,則CPNS服務(wù)器30在步驟520中生成權(quán)力委派證書并且在步驟525中發(fā)送權(quán)力委派證書給PNGW20。圖6示出根據(jù)本發(fā)明的實施例的權(quán)力委派證書的示例�����,其可以采取X.509證書的形式��。
[0058]圖6是示出根據(jù)本發(fā)明的實施例的權(quán)力委派證書的圖�����。
[0059]參考圖6����,GW標(biāo)識符(ID)600識別已經(jīng)生成權(quán)力委派請求消息的PNGW。GW PK605是針對CPNS服務(wù)器30與PNGW20之間的相互認(rèn)證生成的密鑰對中的PK�。服務(wù)簡檔610指示允許權(quán)力委派的CPNS服務(wù)?��?梢愿鶕?jù)服務(wù)提供者策略確定范圍從O到η的服務(wù)簡檔的數(shù)目�����。CPNS簽名615是使用CPNS權(quán)力發(fā)布者的私人密鑰的����、針對權(quán)力委派證書簽署的簽名。這里���,由證書授權(quán)(CA)發(fā)布私人密鑰�。CPNS服務(wù)器30可以存儲私人密鑰或者在需要時發(fā)送對于私人密鑰的請求到CA����。除了上面描述的字段之外����,擴展612是用于將另外包括在權(quán)力委派證書中的信息的預(yù)留字段,諸如關(guān)于權(quán)力委派持續(xù)時間的信息���、將同時服務(wù)的終端的最大數(shù)目等等�。
[0060]當(dāng)接收到如圖6中所示的權(quán)力委派證書時���,PNGW20在步驟530中驗證并存儲接收到的權(quán)力委派證書�。具體地說�����,PNGW20使用其根證書驗證權(quán)力委派證書的CPNS簽名615����。如果CPNS簽名615有效��,則PNGW20存儲并管理權(quán)力委派證書�����。但是�,如果CPNS簽名615無效�����,則PNGW20不能使用接收到的權(quán)力委派證書���。在這種情況下�����,PNGW20可以發(fā)送用于請求新的權(quán)力委派證書的另一請求到CPNS服務(wù)器30��。
[0061]隨后��,第二服務(wù)終端60在步驟535中發(fā)送服務(wù)權(quán)力驗證請求消息到PNGW20以便確定PNGW20是否被授權(quán)提供CPNS�。
[0062]當(dāng)接收到服務(wù)權(quán)力驗證請求消息時��,PNGW20在步驟540中使用包括在服務(wù)權(quán)力驗證請求消息中的信息確定第二服務(wù)終端60是否是異構(gòu)服務(wù)終端。換句話說���,PNGW20確定第二服務(wù)終端60是支持與第一服務(wù)終端10相同的服務(wù)還是不同的服務(wù)����。
[0063]如果第二服務(wù)終端60是異構(gòu)服務(wù)終端�,則PNGW20在步驟545中使用所存儲的權(quán)力委派證書生成簽名?���?商鎿Q地或者除了生成簽名之外�,如果尚未存儲權(quán)力委派證書,則PNGW20可以如在步驟510至530中執(zhí)行的那樣�����,生成用于請求第二服務(wù)終端60的認(rèn)證的權(quán)力委派請求消息����,并且接收權(quán)力委派證書。如果權(quán)力發(fā)布者的簽名不是有效的并且由此接收到的權(quán)力委派證書不能使用��,則PNGW20可以將指示PNGW20未被授權(quán)向第二服務(wù)終端60提供CPNS的服務(wù)權(quán)力驗證響應(yīng)消息發(fā)送給第二服務(wù)終端60��。
[0064]當(dāng)接收到服務(wù)權(quán)力驗證請求消息時,PNGW20生成將被包括在服務(wù)權(quán)力驗證響應(yīng)消息中的簽名�����。該簽名包括利用用于相互認(rèn)證的GW SK簽署的對象信息�����。圖7示出示范性簽名對象信息�����。簽名可以表示為公式(I):
[0065]簽名=簽署(GW_SK����,對象信息).…(I)
[0066]圖7是示出根據(jù)本發(fā)明的實施例的簽名對象信息的示例的圖。
[0067]參考圖7���,在公式(I)的簽名對象信息中的服務(wù)權(quán)力驗證請求700被包括在服務(wù)權(quán)力驗證響應(yīng)消息中�����,以使得服務(wù)終端600識別這是針對由第二服務(wù)終端60發(fā)送的服務(wù)權(quán)力驗證請求消息的服務(wù)權(quán)力驗證響應(yīng)消息�����。設(shè)備ID702標(biāo)識已經(jīng)發(fā)送服務(wù)權(quán)力驗證請求消息的服務(wù)終端���。
[0068]時間戳705規(guī)定由第二服務(wù)終端60任意生成或者發(fā)送的時間����。此外�����,服務(wù)簡檔610被包括在服務(wù)權(quán)力驗證響應(yīng)消息中����,指定權(quán)力委派證書中的CPNS服務(wù)集合�。擴展715是用于包括第二服務(wù)終端60與PNGW20之間的認(rèn)證所需要的信息的預(yù)留字段。
[0069]當(dāng)如上所述PNGW20生成簽名時�,PNGW在步驟550中將包括在步驟545中生成的簽名的服務(wù)權(quán)力驗證響應(yīng)消息以及在步驟530中接收到的權(quán)力委派證書發(fā)送到第二服務(wù)終端60。
[0070]當(dāng)接收到服務(wù)權(quán)力驗證響應(yīng)消息時��,第二服務(wù)終端60在步驟555中驗證權(quán)力委派證書和簽名。更具體地說�����,第二服務(wù)終端60以表示為公式(2)的方式驗證權(quán)力委派證書和簽名:
[0071]驗證(GW_PK,簽名)=通過或者不通過----(2)[0072]參考公式(2),第二服務(wù)終端60通過使用GW PK驗證簽名來確定簽名是通過還是不通過����。當(dāng)確定簽名有效時,第二服務(wù)終端20存儲接收到的簽名和權(quán)力委派證書����。
[0073]如上所述,PNGW20可以認(rèn)證第二服務(wù)終端60�,并且第二服務(wù)終端60可以接收與像第一服務(wù)終端10相同的服務(wù)��。
[0074]如從上面的描述中明顯的那樣�����,根據(jù)本發(fā)明的實施例,服務(wù)可以提供給異構(gòu)服務(wù)終端而無需修改安全框架�。
[0075]雖然已經(jīng)參考本發(fā)明的特定實施例具體示出和描述了本發(fā)明,但是本領(lǐng)域普通技術(shù)人員將理解��,可以在此進行形式和細節(jié)上的各種改變而不脫離如所附權(quán)利要求定義的本發(fā)明的精神和范圍。
【權(quán)利要求】
1.一種由網(wǎng)關(guān)(GW)執(zhí)行的用于提供服務(wù)給異構(gòu)服務(wù)終端的方法�,所述方法包括: 通過短距離通信從第一服務(wù)終端接收服務(wù)權(quán)力驗證請求; 確定第一服務(wù)終端是否是支持與提供給第二服務(wù)終端的服務(wù)不同的服務(wù)的異構(gòu)服務(wù)終端; 如果第一服務(wù)終端被確定為是異構(gòu)服務(wù)終端,則確定是否已經(jīng)從融合型個人網(wǎng)絡(luò)服務(wù)(CPNS)服務(wù)器接收到委派對于第一服務(wù)終端的權(quán)力的權(quán)力委派證書��;以及發(fā)送包括所述權(quán)力委派證書的服務(wù)權(quán)力驗證響應(yīng)到第一服務(wù)終端�。
2.如權(quán)利要求1所述的方法�����,其中,所述權(quán)力委派證書包括所述GW的標(biāo)識符(ID)、用于所述GW與所述CPNS服務(wù)器之間的相互認(rèn)證的公共密鑰��、指示允許權(quán)力委派的服務(wù)的至少一個服務(wù)簡檔、以及利用由證書授權(quán)(CA)發(fā)布的私人密鑰簽署的簽名中的至少一個����。
3.如權(quán)利要求1或者2所述的方法,還包括: 將權(quán)力委派請求消息發(fā)送到CPNS服務(wù)器;以及 從所述CPNS服務(wù)器接收響應(yīng)于所述權(quán)力委派請求消息的所述權(quán)力委派證書��。
4.如權(quán)利要求1至3中的一項所述的方法����,還包括: 當(dāng)接收到所述權(quán)力委派證書 時驗證該權(quán)力委派證書的簽名�;以及 如果所述簽名被驗證為有效簽名���,則存儲所述權(quán)力委派證書���。
5.如權(quán)利要求1至4中的一項所述的方法,其中,在從第一服務(wù)終端接收到所述服務(wù)權(quán)力驗證請求之前或者當(dāng)從第一服務(wù)終端接收到所述服務(wù)權(quán)力驗證請求時��,將所述權(quán)力委派請求消息發(fā)送到所述CPNS服務(wù)器。
6.如權(quán)利要求1至5中的一項所述的方法�����,其中���,所述服務(wù)權(quán)力驗證響應(yīng)包括所述權(quán)力委派證書和由所述GW生成的簽名�。
7.如權(quán)利要求1至6中的一項所述的方法���,其中���,由所述GW生成的簽名包括使用用于與所述CPNS服務(wù)器相互認(rèn)證的保密密鑰簽署的簽名對象信息,所述簽名對象信息包括所述服務(wù)權(quán)力驗證請求、時間戳�����、發(fā)送所述服務(wù)權(quán)力驗證請求的服務(wù)終端的ID以及指示允許權(quán)力委派的服務(wù)的至少一個服務(wù)簡檔中的至少一個�����。
8.如權(quán)利要求1至7中的一項所述的方法��,其中,第一服務(wù)終端使用公共密鑰驗證由所述GW生成的簽名��,并且如果由所述GW生成的簽名被驗證為有效簽名���,則第一服務(wù)終端存儲由所述GW生成的簽名以及所述權(quán)力委派證書�����。
9.一種用于提供服務(wù)給異構(gòu)服務(wù)終端的網(wǎng)關(guān)(GW)�����,所述網(wǎng)關(guān)包括: 短距離通信連接器��,用于通過短距離通信與第一服務(wù)終端建立物理連接�; 個人網(wǎng)絡(luò)(PN)配置管理器�,用于當(dāng)從第一服務(wù)終端接收到PN連接請求時配置PN ;服務(wù)管理器�����,用于從融合型個人網(wǎng)絡(luò)服務(wù)(CPNS)服務(wù)器接收由第一服務(wù)終端請求的服務(wù)以及發(fā)送接收到的服務(wù)�����; 無線接入模塊,用于與所述CPNS服務(wù)器通信�����;存儲器��,用于存儲服務(wù)終端的信息��,所述網(wǎng)關(guān)通過該服務(wù)終端配置PN ;以及權(quán)力委派管理器��,用于當(dāng)通過短距離通信連接器從第二服務(wù)終端接收到服務(wù)權(quán)力驗證請求時�����,確定第二服務(wù)終端是否是支持與提供給第一服務(wù)終端的服務(wù)不同的服務(wù)的異構(gòu)服務(wù)終端�,如果第二服務(wù)終端是異構(gòu)服務(wù)終端則確定是否存在委派對于第二服務(wù)終端的權(quán)力的權(quán)力委派證書����,以及發(fā)送包括所委派的權(quán)力委派證書的服務(wù)權(quán)力驗證響應(yīng)到第二服務(wù)終端。
10.如權(quán)利要求9所述的網(wǎng)關(guān)�,其中,所述權(quán)力委派證書包括所述GW的標(biāo)識符(ID)�����、用于所述GW與所述CPNS服務(wù)器之間的相互認(rèn)證的公共密鑰、指示允許權(quán)力委派的服務(wù)的至少一個服務(wù)簡檔�����、以及利用由證書授權(quán)(CA)發(fā)布的私人密鑰簽署的簽名中的至少一個���。
11.如權(quán)利要求9或者10所述的網(wǎng)關(guān)���,其中,在從第二服務(wù)終端接收到所述服務(wù)權(quán)力驗證請求之前或者當(dāng)從第二服務(wù)終端接收到所述服務(wù)權(quán)力驗證請求時���,所述權(quán)力委派管理器發(fā)送權(quán)力委派請求消息到所述服務(wù)器���,以及從所述服務(wù)器接收響應(yīng)于所述權(quán)力委派請求消息的權(quán)力委派證書。
12.如權(quán)利要求9至11中的一項所述的網(wǎng)關(guān)�,其中,當(dāng)接收到所述權(quán)力委派證書時����,所述權(quán)力委派管理器驗證所述權(quán)力委派證書的簽名,并且如果所述簽名被驗證為有效簽名�,則所述權(quán)力委派管理器將所述權(quán)力委派證書存儲在存儲器中。
13.如權(quán)利要求9至12中的一項所述的網(wǎng)關(guān),其中�����,所述服務(wù)權(quán)力驗證響應(yīng)包括所述權(quán)力委派證書和由所述網(wǎng)關(guān)生成的簽名�。
14.如權(quán)利要求9至13中的一項所述的網(wǎng)關(guān),其中���,由所述網(wǎng)關(guān)生成的簽名包括使用用于與所述服務(wù)器相互認(rèn)證的保密密鑰簽署的簽名對象信息�����,所述簽名對象信息包括所述服務(wù)權(quán)力驗證請求、時間戳����、發(fā)送所述服務(wù)權(quán)力驗證請求的服務(wù)終端的標(biāo)識符(ID)、以及指示允許權(quán)力委派的服務(wù)的至少一個服務(wù)簡檔中的至少一個�。
15.如權(quán)利要求9至14中的一項所述的網(wǎng)關(guān),其中�,第二服務(wù)終端使用公共密鑰驗證由所述網(wǎng)關(guān)生成的簽名,以及 其中��,如果由所述網(wǎng)關(guān)生成的簽名有效���,則第二服務(wù)終端存儲由所述網(wǎng)關(guān)生成的簽名和所述權(quán)力委派證書���。
【文檔編號】H04L12/66GK103765831SQ201280041876
【公開日】2014年4月30日 申請日期:2012年6月26日 優(yōu)先權(quán)日:2011年6月27日
【發(fā)明者】崔錫勛, 姜甫暻 申請人:三星電子株式會社