用于安全地分发数字凭单的方法和装置的制造方法
【专利摘要】所公开的方法由用于分发数字凭单的凭单服务器实现。凭单服务器存储多个加密数字凭单,每一个利用多个加密密钥中的相应一个来加密并且每一个具有相关联的标识符。凭单服务器从计算设备接收针对数字凭单的请求,该请求包括标识符。凭单服务器确定所接收的标识符是否匹配于多个加密数字凭单中的任何一个的标识符。如果所接收的标识符匹配于用于加密数字凭单中的给定一个的标识符,则凭单服务器将给定的加密数字凭单发送到计算设备。凭单服务器不可访问用于加密给定的加密数字凭单的加密密钥。
【专利说明】
用于安全地分发数字凭单的方法和装置
技术领域
[0001]本发明涉及数字凭单(voucher),并且特别涉及用于安全地分发加密数字凭单的系统。
【背景技术】
[0002]数字凭单可以被用于各种不同的原因,诸如电子礼品卡,并且正在变得越来越流行用于在因特网之上兑换信用(credit)。例如,诸如PLAYSTAT1N网络之类的游戏网络可能希望向用户提供数字凭单以用于下载附加的游戏或游戏内容。类似地,数字凭单可以在音乐或视频服务(诸如来自SONY的“音乐无限”和“视频无限”冲使用以获得音乐和/或电影。
[0003]分发可以被兑换以购买商品和/或服务的数字凭单呈现了许多安全挑战。例如,人们可能想要将数字凭单提供给某一类设备的所有买家(例如,SONY PLAYSTAT1N的所有购买者)。为了保护这样的凭单分发系统,可能期望的是确保仅实际设备所有者得到凭单,并且凭单在设备所有者可以使用它们之前不被偷取。添加到该挑战的是如下事实:存储大量凭单的凭单服务器是对于黑客的有吸引力的目标,因为安全缺口可以产生大量凭单以及对应的大量凭单信用。
【发明内容】
[0004]根据本公开的一个方面,公开了一种用于分发数字凭单的方法。该方法由凭单服务器实现。凭单服务器存储多个加密数字凭单,每一个利用多个加密密钥中的相应一个来加密并且每一个具有相关联的标识符。凭单服务器从计算设备接收针对数字凭单的请求,其中该请求包括标识符。凭单服务器确定所接收的标识符是否匹配于多个加密数字凭单中的任何一个的标识符。如果所接收的标识符匹配于用于加密数字凭单中的给定一个的标识符,则凭单服务器将给定的加密数字凭单发送到计算设备。凭单服务器不可访问多个加密密钥。
[0005]在一个或多个实施例中,每一个相关联的标识符是计算设备标识符,所接收的标识符是仅标识该计算设备而不标识其他计算设备的唯一、设备特定的标识符,并且设备特定的标识符是匹配于给定的加密数字凭单的仅有的计算设备标识符。
[0006]根据本公开的另一个方面,公开了用于兑换数字凭单的方法。该方法由计算设备实现。计算设备将标识符发送到凭单服务器,并且基于该发送而接收匹配于该标识符的加密数字凭单。计算设备使用存储在计算设备的安全、受限访问存储器中的加密密钥来对加密数字凭单进行解密,以获得经解密的数字凭单,并且将经解密的数字凭单发送到兑换服务器以兑换数字凭单。凭单服务器不可访问加密密钥。
[0007]在一个或多个实施例中,加密数字凭单的解密由应用执行,所述应用是能够访问加密密钥的计算设备上的仅有的应用。
[0008]在一个或多个实施例中,加密密钥是对于与该计算设备相同类型的其他计算设备不可访问的设备特定的加密密钥。可选地,标识符可以是仅标识该计算设备而不标识其他计算设备的设备特定的标识符。
[0009]根据本公开的一个方面,公开了操作成分发数字凭单的凭单服务器。凭单服务器包括存储器电路,其配置成存储多个加密数字凭单,每一个利用多个加密密钥中的相应一个来加密并且每一个具有相关联的标识符。凭单服务器还包括一个或多个处理电路,其配置成从计算设备接收针对数字凭单的请求,该请求包括标识符。一个或多个处理电路还配置成确定所接收的标识符是否匹配于多个加密数字凭单中的任何一个的标识符,并且如果所接收的标识符匹配于用于加密数字凭单中的给定一个的标识符,则将给定的加密数字凭单发送到计算设备。凭单服务器不可访问多个加密密钥。
[0010]在一个或多个实施例中,每一个相关联的标识符是计算设备标识符,所接收的标识符是仅标识该计算设备而不标识其他计算设备的唯一、设备特定的标识符,并且设备特定的标识符是匹配于给定的加密数字凭单的仅有的计算设备标识符。
[0011]根据本公开的另一个方面,计算设备操作成兑换数字凭单。计算设备包括安全、受限访问存储器,并且还包括配置成将标识符发送到凭单服务器的一个或多个处理电路。一个或多个处理电路还配置成基于该发送而接收匹配于该标识符的加密数字凭单。一个或多个处理电路还配置成使用存储在受限访问存储器中的加密密钥来对加密数字凭单进行解密,以获得经解密的数字凭单,并且将经解密的数字凭单发送到兑换服务器以兑换数字凭单。凭单服务器不可访问加密密钥。
[0012]在一个或多个实施例中,加密数字凭单的解密由应用执行,所述应用是能够访问加密密钥的计算设备上的仅有的应用。
[0013]在一个或多个实施例中,加密密钥是对于与该计算设备相同类型的其他计算设备不可访问的设备特定的加密密钥。可选地,标识符可以是仅标识该计算设备而不标识其他计算设备的唯一、设备特定的标识符。
[0014]当然,本公开不限于上述特征和优点。事实上,本领域技术人员将在阅读以下【具体实施方式】之后并且在查看附图之后认识到附加特征和优点。
【附图说明】
[0015]图1图示用于安全地分发和兑换数字凭单的系统。
[0016]图2图示由分发数字凭单的凭单服务器所实现的示例性方法。
[0017]图3图示图2的方法的实现。
[0018]图4图示由兑换加密数字凭单的计算设备所实现的示例性方法。
[0019]图5图示操作成分发数字凭单的示例性凭单服务器。
[0020]图6图示操作成兑现数字凭单的示例性计算设备。
【具体实施方式】
[0021]本公开描述了用于安全地分发和兑换加密数字凭单的系统。在一个或多个实施例中,凭单服务器存储多个加密数字凭单,每一个利用多个加密密钥中的相应一个来加密,并且每一个具有相关联的标识符(例如,移动设备标识符)。然而,凭单服务器不可访问加密密钥中的任何一个。因此,如果发生凭单服务器的安全缺口,则黑客将可能无法解密和使用存储在凭单服务器上的加密数字凭单中的任何一个。
[0022]图1图示根据一个实施例的用于安全地分发和兑换数字凭单的系统10。系统10包括多个计算设备12(其之一在图1中示出),每一个包括安全、受限访问存储器14。该组计算设备12被制造,并且相应的加密密钥被写入到设备中的每一个中(100)。加密密钥被存储在受限访问存储器14中,其提供软件和/或硬件保护(例如使用来自ARM的TRUSTZ0NE技术)。在一个或多个实施例中,加密密钥基于计算设备12的属性而被创建,诸如计算设备12的国际移动设备身份标识αΜΕΙ)、计算设备12的序列号、存储在计算设备12上的软件的版本、或者计算设备12中的某一硬件的版本。在一个或多个实施例中,加密密钥是可用于对称加密的对称加密密钥。
[0023]受限访问存储器14可由计算设备10上的安全凭单应用16访问。在一个或多个实施例中,应用16是能够访问加密密钥的计算设备12上的仅有的应用。在一个或多个实施例中,密钥是对于计算设备12唯一的设备特定的密钥。在图1的示例中,加密密钥“Kdevice”由加密服务器(示出为“工厂”18)在设备的最初制造和/或配置期间(例如,当设备固件被安装时)存储(100)在受限访问存储器14中。在一个或多个实施例中,用于存储加密密钥的受限访问存储器14的部分是一旦加密密钥被存储(100)则不能被改写的只读存储器。在或者多个实施例中,受限访问存储器14的该部分是一次性可编程(OTP)存储器。
[0024]凭单发行服务器(示出为“凭单发行器”20)向凭单管理服务器(示出为“凭单管理器”22)发行(102)多个数字凭单。凭单管理器22将每一个数字凭单发送(104)到工厂18以用于加密,并且作为返回接收(106)已经使用多个加密密钥中的相应加密密钥来加密的加密数字凭单。例如,在一个实施例中,意图用于第一计算设备(CD1)的数字凭单利用针对该计算设备的设备特定的加密密钥(Kdevice1)来加密。类似地,意图用于第二计算设备(⑶2)的数字凭单利用针对该计算设备的设备特定的加密密钥(Kdevice2)来加密,等等。在图1中,利用“Kdevice”加密后的数字凭单被示出为“加密(凭单,Kdevice)”。在一个或多个实施例中,每一个数字凭单利用不同的设备特定的加密密钥来加密。
[0025]尽管图1将“工厂”服务器18图示为执行数字凭单的加密,但是要理解,这可以由另一个节点执行。例如,凭单管理服务器22可以持有存储在各计算设备12上的加密密钥的副本,并且可以在104和106中执行相关的加密操作。
[0026]一旦获得加密数字凭单,则凭单管理器22向凭单服务器24提供(108)加密数字凭单。一旦计算设备12变得意识到它针对数字凭单是合格的(或者如果它想要检查它是否合格),则计算设备将凭单请求发送(110)到包括标识符的凭单服务器24。凭单服务器24接收该标识符,并且在其存储器中针对匹配的标识符进行搜索(112)。如果找到匹配的标识符,则凭单服务器24发送(114)具有与所接收的标识符匹配的标识符的对应的加密数字凭单。计算设备12接收加密数字凭单,并且计算设备12上的应用16访问(116)存储在安全存储器14中的加密密钥,并且使用该加密密钥来解密(118)加密数字凭单。在获得未加密数字凭单时,计算设备12向凭单发行器20兑换(120)数字凭单。
[0027]当然,还应该注意的是,在一些可替代实现中,指出的动作可以不按图中指出的次序发生。例如,凭单服务器24可以在用于多个加密凭单的加密密钥实际存储在计算设备12上(在图1中示出为100)之前接收那些凭单(在图1中示出为108)。
[0028]计算设备12可以是蜂窝电话、智能电话、个人数字助理(PDA)、媒体播放器、平板计算机、膝上型计算机、膝上型嵌入式设备(LEE)、膝上型安装式设备(LME)、游戏控制台、或配备有用于解密以及用于有线或无线通信的能力的任何其他设备。
[0029]在一个或多个实施例中,每一个标识符是计算设备标识符,并且可选地是仅标识所讨论的计算设备而不标识其他计算设备的唯一、设备特定的标识符。一些示例性设备特定的标识符包括国际移动设备身份标识(ΠΕΙ)或媒体访问控制(MAC)地址、或一些其他设备特定的硬件标识符。因此,在一些实施例中,计算设备12是WiFi或以太网计算设备12,并且使用WiFi或以太网来执行110、114和116的通信。在其他实施例中,计算设备标识符不是设备特定的,而是指代一类设备。在这样的实施例中,标识符可以包括(或基于)一类设备的模型名称、软件版本等(例如,标识具有某一固件版本的多个平板计算设备的标识符)。
[0030]图2图示由分发加密数字凭单的凭单服务器24所实现的方法200。凭单服务器24存储多个加密数字凭单,每一个利用多个加密密钥中的相应一个来加密并且每一个具有相关联的标识符(框202)。凭单服务器24从计算设备12接收针对数字凭单的请求,其中该请求包括标识符(框204)。凭单服务器24确定所接收的标识符是否匹配于多个加密数字凭单中的任何一个的标识符(框206)。如果所接收的标识符匹配于用于加密数字凭单中的给定一个的标识符,则凭单服务器将给定的加密数字凭单发送到计算设备12(框208)。特别地,凭单服务器24不存储用于加密给定的加密数字凭单的加密密钥的副本,并且也不可访问该加密密钥。
[0031]在一个或多个实施例中,标识符“匹配于”凭单服务器24中的所存储的标识符包括标识符是相同的。在一个或多个其他实施例中,标识符“匹配于”凭单服务器24中的所存储的标识符包括凭单服务器24上的映射(例如,表或映射函数)指示所接收的标识符映射到凭单服务器24上的所存储的标识符。
[0032]图3图示图2的方法的实现300。在图3的实施例中,框302、304、306和310与图2的框202、204、206和208相同。然而,图3还包括框308、312。在框308中,进行所接收的标识符是否匹配于所存储的标识符中的任何一个的确定,并且如果所接收的标识符不匹配于所存储的标识符中的任何一个,则拒绝请求(框312)。
[0033]图4图示由兑换加密数字凭单的计算设备12所实现的示例性方法400。计算设备12将诸如MEI的标识符发送到凭单服务器24(框402)。基于该发送,计算设备12接收匹配于该标识符的加密数字凭单(框404)。计算设备12使用存储在计算设备12的安全、受限访问存储器中的加密密钥来对加密数字凭单进行解密,以获得经解密的数字凭单(框406)。计算设备12将经解密的数字凭单发送到兑换服务器(例如,凭单发行器16)以兑换数字凭单(框408)。凭单服务器24不可访问加密密钥。
[0034]在一个或多个实施例中,框406的解密由应用16执行,并且应用16是能够访问加密密钥的计算设备12上的仅有的应用。如以上所讨论的,加密密钥可以是对于与计算设备12相同类型的其他计算设备不可访问的设备特定的加密密钥。而且,所发送的标识符可以是标识计算设备12而不标识其他计算设备的唯一、设备特定的标识符(例如,IMEI)。
[0035]图5图示操作成分发数字凭单并且可以被用作图1的凭单服务器24的示例性凭单服务器500。凭单服务器500包括输入/输出(I/O)设备502,其配置成与其他设备(例如,计算设备12和凭单管理器22)通信。在一个或多个实施例中,I/O设备是WiFi或基于以太网的收发器,其配置成使用一个或多个802.11标准进行通信。凭单服务器500还包括存储器电路506,其包括一个或若干类型的存储器,诸如只读存储器(ROM)、随机存取存储器、高速缓存存储器、闪速存储器设备、光学存储设备等。存储器电路506被配置成存储多个加密数字凭单510,每一个利用多个加密密钥中的相应一个来加密并且每一个具有相关联的标识符512。凭单服务器500还包括处理器504,其包括一个或多个处理器电路,包括例如一个或多个微处理器、微控制器等,其被配置有适当的软件和/或固件来执行以上讨论的技术中的一个或多个。
[0036]具体地,处理器504被配置成从计算设备12接收针对数字凭单的请求,该请求包括标识符。处理器504还被配置成确定所接收的标识符是否匹配于多个加密数字凭单510中的任何一个的标识符512。如果所接收的标识符匹配于用于加密数字凭单510中的给定一个的标识符,则处理器504将给定的加密数字凭单发送到计算设备12。如果所接收的标识符不匹配于加密数字凭单510中的任何一个的标识符512,则处理器504拒绝该请求。多个加密密钥不被存储在凭单服务器500上,并且不可由凭单服务器500访问。因此,在凭单服务器500被破坏的事件中,恶意用户将能够解密存储在存储器电路506中的加密数字凭单是高度不可能的。
[0037]图6图示可以被用作图1的计算设备12的示例性计算设备600。计算设备600包括输入/输出(I/O)设备602,其配置成与其他设备(例如,凭单服务器24和凭单发行器20)通信。I/O设备可以包括根据一个或多个3GPP和/或802.11无线通信标准而配置的无线收发器。计算设备600包括非安全存储器电路606和安全、受限访问存储器电路608,其每一个包括一个或若干类型的存储器,诸如只读存储器(ROM)、随机存取存储器、高速缓存存储器、闪速存储器设备、光学存储设备等。非安全存储器电路606存储计算设备的标识符(例如,MEI或MAC地址)。安全存储器电路608存储加密密钥(例如,设备特定的加密密钥)。在一个或多个实施例中,受限访问存储器电路608仅可由从非安全存储器电路606)执行的单个应用(例如,来自图1的安全凭单应用16 )访问。
[0038]计算设备600包括处理器604,其包括一个或多个处理器电路,包括例如一个或多个微处理器、微控制器等,其被配置有适当的软件和/或固件来执行以上所讨论的技术中的一个或多个。具体地,处理器604被配置成将标识符发送到凭单服务器24,并且基于该发送而接收匹配于该标识符的加密数字凭单。处理器604还被配置成使用存储在受限访问存储器电路608中的加密密钥来对加密数字凭单进行解密,以获得经解密的数字凭单。处理器604被配置成将经解密的数字凭单发送到兑换服务器(例如,图1中的凭单发行器20)以兑换数字凭单。特别地,凭单服务器24不可访问加密密钥。
[0039]作为非限制性示例,安全存储器电路608可以至少部分地根据ARM TRUSTZ0NE规范而配置成提供用于存储加密密钥的安全处理域。在该方面中,处理器604可以具有“安全域”(利用安全存储器电路608)和“非安全域”(利用非安全存储器电路606)。在一个或多个实施例中,用于存储加密密钥的安全存储器电路608的部分是一旦加密密钥被保存则不能被改写的只读存储器。在或者多个实施例中,安全存储器电路608的该部分是一次性可编程(OTP)存储器。
[0040]再次参照图1,工厂18、凭单发行器20、凭单管理服务器22和凭单服务器24被示出为均是单独的服务器。然而,可以组合这些项中的一些,只要凭单服务器24仍然无法访问相关的(多个)加密密钥。例如,在一个实施例中,凭单发行器20、凭单管理22和凭单服务器24可以均对应于单个服务器。然而,在其他实施例中,这些对应于一个或多个单独的实体。
[0041]针对上述技术的一些示例性使用包括将用于PLAYSTAT1N网络的信用分发给一组PLAYSTAT1N控制台所有者。例如,数字凭单可以被发行给在某一时间段期间购买了其控制台的每一个控制台所有者。可替代地,数字凭单可以被发行给拥有特定游戏的每一个控制台所有者。当然,这仅是非限制性实施例,并且除了游戏控制台之外可以使用许多其他计算设备12,并且上述技术的许多其他应用将是可能的。
[0042]上述技术的优点在于,存储在凭单服务器24上的凭单利用凭单服务器24不可访问的加密密钥进行加密(例如,密钥可以仅存在于计算设备12和工厂服务器18上)。这意味着,攻击凭单服务器24是无意义的,尽管它包含所有的加密数字凭单。在这样的实施例中,为了偷取和兑换所存储的加密数字凭单,恶意用户将必须一个接一个地攻击计算设备12来获得相关的加密密钥以解密其所偷取的加密数字凭单。因此,系统10对于攻击不是非常有吸引力的。
[0043]实际加密密钥可以被丢弃或删除,或者可选地或例如保持在单独的服务器(例如,工厂服务器18)上。可选地,存储加密密钥的单独的服务器可以从因特网和/或其他网络断开。这可以避免使存储计算设备12的加密密钥的因特网连接的凭单服务器提供进一步安全性的问题。
[0044]本公开当然可以以本文中具体阐述的那些方式之外的方式执行而不脱离本公开的基本特性。本实施例要在所有方面中被视为说明性而非限制性,并且在所附权利要求的含义和等效范围之内的所有改变都意图被包含在本文中。
【主权项】
1.一种由分发数字凭单的凭单服务器所实现的方法,所述方法的特征在于: 存储多个加密数字凭单,每一个利用多个加密密钥中的相应一个来加密并且每一个具有相关联的标识符; 从计算设备接收针对数字凭单的请求,所述请求包括标识符; 确定所接收的标识符是否匹配于多个加密数字凭单中的任何一个的标识符;以及如果所接收的标识符匹配于用于加密数字凭单中的给定一个的标识符,则将给定的加密数字凭单发送到计算设备; 其中凭单服务器不可访问多个加密密钥。2.如权利要求2所述的方法,进一步特征在于,如果所接收的标识符不匹配于加密数字凭单中的任何一个的标识符,则拒绝所述请求。3.如权利要求1或2中的任一项所述的方法: 其中每一个相关联的标识符是计算设备标识符; 其中所接收的标识符是仅标识所述计算设备而不标识其他计算设备的唯一、设备特定的标识符;并且 其中设备特定的标识符是匹配于给定的加密数字凭单的仅有的计算设备标识符。4.一种由兑换数字凭单的计算设备所实现的方法,所述方法的特征在于: 将标识符发送到凭单服务器; 基于所述发送而接收匹配于所述标识符的加密数字凭单; 使用存储在计算设备的安全、受限访问存储器中的加密密钥来对加密数字凭单进行解密,以获得经解密的数字凭单;以及 将经解密的数字凭单发送到兑换服务器以兑换数字凭单; 其中凭单服务器不可访问加密密钥。5.如权利要求4所述的方法,其中所述对加密数字凭单进行解密由应用执行,所述应用是能够访问加密密钥的计算设备上的仅有的应用。6.如权利要求4或5中的任一项所述的方法,其中加密密钥是对于与所述计算设备相同类型的其他计算设备不可访问的设备特定的加密密钥。7.如权利要求1-3中的任一项所述的方法,其中标识符是仅标识所述计算设备而不标识其他计算设备的唯一、设备特定的标识符。8.一种操作成分发数字凭单的凭单服务器,所述凭单服务器的特征在于: 存储器电路,其配置成存储多个加密数字凭单,每一个利用多个加密密钥中的相应一个来加密并且每一个具有相关联的标识符;以及一个或多个处理电路,其配置成: 从计算设备接收针对数字凭单的请求,所述请求包括标识符; 确定所接收的标识符是否匹配于多个加密数字凭单中的任何一个的标识符;以及如果所接收的标识符匹配于用于加密数字凭单中的给定一个的标识符,则将给定的加密数字凭单发送到计算设备; 其中凭单服务器不可访问多个加密密钥。9.如权利要求8所述的凭单服务器,其中一个或多个处理电路还配置成如果所接收的标识符不匹配于加密数字凭单中的任何一个的标识符,则拒绝所述请求。10.如权利要求8或9中的任一项所述的凭单服务器: 其中每一个相关联的标识符是计算设备标识符; 其中所接收的标识符是仅标识所述计算设备而不标识其他计算设备的唯一、设备特定的标识符;并且 其中设备特定的标识符是匹配于给定的加密数字凭单的仅有的计算设备标识符。11.一种操作成兑换数字凭单的计算设备,所述计算设备的特征在于: 安全、受限访问存储器;以及 一个或多个处理电路,其配置成: 将标识符发送到凭单服务器; 基于所述发送而接收匹配于所述标识符的加密数字凭单; 使用存储在受限访问存储器中的加密密钥来对加密数字凭单进行解密,以获得经解密的数字凭单;以及 将经解密的数字凭单发送到兑换服务器以兑换数字凭单; 其中凭单服务器不可访问加密密钥。12.如权利要求11所述的方法,其中为了对加密数字凭单进行解密,一个或多个处理电路被配置成利用软件应用,所述软件应用是能够访问加密密钥的计算设备上的仅有的应用。13.如权利要求11或12中的任一项所述的方法,其中加密密钥是对于与所述计算设备相同类型的其他计算设备不可访问的设备特定的加密密钥。14.如权利要求11-13中的任一项所述的方法,其中标识符是仅标识所述计算设备而不标识其他计算设备的唯一、设备特定的标识符。
【文档编号】G06F21/10GK105940404SQ201480074990
【公开日】2016年9月14日
【申请日】2014年2月6日
【发明人】D.卡尔松
【申请人】索尼公司