专利名称:保密信息分发系统的制作方法
技术领域:
本发明涉及信息分发系统,在其中用户可以请求数据信息,而且更加特别地涉及保护用户信息的信息分发系统。
背景技术:
当前,要求个人在参加很多种类活动时出示自己的身份。通常,当他使用信用卡、打电话、缴税、订阅杂志或者通过因特网使用信用卡或者借记卡来买东西时,将建立针对每一个交易的可识别的记录,并且将之记录在某处的计算机数据库中。为了通过使用除了现金以外的方式获得服务或者完成交易,组织机构需要他验证自己的身份。
消费者民意调查反复显示,他们很重视自己的隐私,并且对那么多个人信息被例行公事地存在他们所不能控制的计算机数据库中的事实表示关注。保护个人身份与保持匿名的选择项相关联,保持匿名是保密的关键元素。当信息和通信技术的发展帮助组织获得了存储海量个人数据的能力,这增加了对所收集到的信息的所有人的隐私的威胁。在越来越重视隐私的世界里,对个人信息的公开和对用户的跟踪可能导致用户方对隐私越加关注,并且,最终可能导致侵犯那些用户的隐私的新技术被越加憎恨。
这与服务提供商或者信息分发者的利益明显相反,这些人想尽可能多的了解他们的用户,以便能够尽可能地执行有指导的市场活动,从而保护他们自己免受欺诈等。作为预防的手段,滥用系统的用户将来将被从系统中排除。
在许多信息分发系统中,可相对较容易地学习不同用户的习性,例如通过分流系统内的通信。该信息随后可能会被滥用,例如用于兜售信息。这些问题今天得到部分解决,例如通过督促用户注意诸如如何存储他们在系统中使用的保密代码或者以高安全度来保护有价值的信息。US 2003/0200468 A1描述了如何通过将用户身份存储在置信网站而在在线交易中保护客户的身份。
但是,上述使用安全网站的系统是易受攻击的。那些成功攻击置信网站的人,掌握了哪些密钥与哪些用户身份对应的知识。在保护较弱的信息分发系统中,攻击者可以随后使用这些信息映射某些用户的习惯。
发明内容
本发明的一个目的是消除或者至少减轻信息分发系统中所述的提供用户隐私的问题。这个目的通过依照所附的权利要求1、10和17的方法和设备来实现。优选实施例在附属权利要求中定义。
本发明基于如下理解,通过给用户提供两个假名并且持续对其中的一个进行更新,有可能获得在用户的实际身份和所述用户请求的信息之间没有联系的信息分发系统。进而,这个信息分发系统可以与依照DRM准则的一般信息分发系统一样安全。此处使用的术语“用户的实际身份”指用户的物理身份,或者能够与物理用户相联系的数据,例如电话号码、地址、社会保障或保险号、银行帐户号码、信用卡号码、组织代号等。此外,此处使用的“假名”或者附加身份是足够匿名以便阻止将之与人的实际身份建立联系的任意的数据。在用户的实际身份和所述用户请求的信息之间没有任何联系,意味着没有明显的方式来重构哪个实际用户请求了什么信息,例如因为没有数据库存储能够支持这样的重建的信息。
因此,依照第一方面,本发明提供一种以持久假名表示的用户从信息分发系统请求信息的方法。用户通过使用与该持久假名相关联的用户身份设备来将自己呈现给信息分发系统。信息分发系统在身份管理设备中验证该持久假名是否可信。随后,如果验证成功,将临时假名与所述用户身份设备相关联。最后,用户在访问从所述信息分发设备获得的所述请求信息时,以所述临时假名表示该用户。
依照第二方面,本发明提供一种用户身份设备,其旨在用于对用户身份保密的信息分发系统。所述设备包含持久假名和用来将所述持久假名发送给属于所述信息分发系统的身份管理设备的装置。另外,所述设备包含将所述临时假名发送给属于所述信息分发系统的访问设备的装置。
依照第三个方面,本发明提供一种对用户身份保密的信息分发系统。该系统包含信息分发设备,它是按照联系本发明第二方面所述来设置的。另外,该系统包含身份管理设备,用来接收表示持久假名的数据,该持久假名与用户身份设备相关联。身份管理设备还被设置来对持久假名是否可信进行验证,并且,如果验证成功,最终生成一个临时假名。
信息分发系统进一步包含用于将表示所述临时假名的数据与所述用户身份设备相关联的装置。最后,系统包含访问设备,它用于接收所述表示所述临时假名的数据,并且如果所述验证成功,则为所述用户提供对所述请求信息的访问。
上述三个方面的优点是用户不需对系统的任何部分展示自己的任何个人信息。相反,在与系统进行接触时,依照本发明,他使用自己的持久假名或者临时假名。这使得即使系统遭受攻击,至关重要的用户信息也不会被滥用,因为,在系统中没有使用和存储此类信息。另外一个优点是在实际用户和他所请求的信息之间没有任何联系。因此,用户的隐私得到了保持,因为在系统中,所述用户的实际身份没有与标识符进行关联。因此,信息分发系统中对用户行为的监测被阻止。第三个优点是由于该信息系统保护了用户的隐私,而更加易于被潜在用户所接受。另一个优点是,因为没有数据库存储了用户的至关重要的信息,在传统信息分发系统中为了保护所存储的与用户实际身份相关的信息而采取的安全措施在依照本发明的系统中可以被放松。
下面列出与本发明的不同实施例相关的多个优点。所有这些实施例的共同优点是所描述的方法将用户身份对系统保密。
权利要求2中所定义的发送所述临时假名作为证书的方法,具有为系统提供安全性并且为访问设备提供认可的优点,因为,访问设备将检查证书是否是由置信方签署的。
权利要求3中所定义的用所述持久假名加密所述临时假名并且使用所述临时假名生成验证数据的方法,具有的优点是使得所述访问设备能够验证所述临时假名的可靠性。所述加密和验证数据还为用户提供了完整性和保密性。
权利要求4到9中定义的用于生成可用于获取对所述请求的信息的访问权的许可证的方法,在不将用户身份揭示给系统的情况下为信息提供商提供了安全性。
权利要求5中定义的在所述用户身份设备和所述访问设备之间交换证书的方法,具有为信息提供商提供安全的优点。
通过如权利要求7和9中定义的管理许可证,用户身份设备能够验证由访问设备和身份设备发来的数据是否正确。
上面已经描述了由所述方法的实施例所获得的一些优点。相似的优点也能够通过所述信息分发系统的对应实施例来实现,如在分别关于该系统和该设备的附属权利要求中所定义的,该信息分发系统中包含所述用户身份设备。
另外,有利的是,如果所述临时假名是如权利要求8中定义的随机生成的,则假名的生成独立于信息分发系统。因此,不可能将随机产生的假名与信息分发系统中其他的任何行为联系起来。
有利的是,持久假名是公钥,它允许信息分发系统使用所述持久假名为用户身份设备加密信息。因此,为系统提供了保密性。
另外,有利的是,用户身份设备是智能卡,其便于将数据与用户身份设备相关联。
另外,有利的是,对数据的访问依照DRM(数字权限管理)规则来完成,DRM提供一个用于信息分发的协议。
本发明的基本思想是通过改善关于存储信息的设备的安全性来代替阻止对用户信息的滥用,从来不通过在所述第一位置使用或存储信息来提供用户的隐私。因此即使信息分发系统被攻击,攻击者将不能够获得用户访问的所有信息的完整列表。如上所述,例如,用户可以在请求信息时使用持久假名,随后访问所请求信息时使用临时假名。
参考下文所述的实施例,本发明的这些和其它方面将得到阐明,并显而易见。
图1示意性地示出了依照本发明的实施例。
具体实施例方式
图1示意性地示出了依照本发明的实施例。想要访问属于内容提供商CP 120的信息,例如与因特网相连接的数据库,而不将他的实际身份展示给信息系统100的用户,可以通过使用依照本发明配置的智能卡SC 110实现这一点。当用户想要购买对某些内容的访问权限时,他借助于请求该权限的匿名通道与内容提供商120联系。在实施了匿名支付方案之后,用户发送1他的公钥PP 112给内容提供商120,内容提供商随后创建针对该内容的2权限或许可证121。在优选实施例中,所述内容被内容提供商使用对称密钥SYM进行加密,并且与许可证121一起发给用户。优选地,许可证的格式是{PP[SYM//Rights/contentID]}signCP或{PP[SYM//Rights/contentID]},H(Rights),H(ContentID)signCP,其中,PP对连接值[SYM//Rights/contentID]进行加密。Rights描述用户获得的权限,例如他是否被授权听整首歌曲或者只是引子,或者他被授权听该歌曲的次数。ContentID标识与所述权限相关的内容,并且signCP是内容提供商120在许可证121上的签名。在此实施例中H( )是单向Hash函数。许可证121在被检查的时候,即不揭示公钥PP 112,也不揭示内容标识符或者权限,从而它保留了与内容和权限所有权相关的用户隐私。因此,如果在用户的存储设备中找到许可证121,它并不对用户的隐私造成威胁。在这个如上所述的购买过程中,内容提供商120学习到公钥PP 112与ContentID之间,权限与对称密钥之间的联系,但是由于匿名通道的缘故,学习不到用户实际身份。
通常,为了让用户安全地访问在访问设备(AD)140上的内容,必须将他的智能卡110的兼容性证书(compliance certificate)132显示给访问设备140。然而,这个兼容性证书132不包含公钥PP 112,但是它与可改变的SC假名或临时假名131一起发布。为了得到SC 110的兼容性证书132,用户/SC与智能卡的兼容性证书发布者(CA-SC)130匿名联系,发送4它的公钥PP 112,并且请求证书132。假设智能卡发布者通过受攻击的(hacked)智能卡110的公钥的撤回列表对智能卡的行为进行跟踪。智能卡的兼容性证书发布者(CA-SC)130询问智能卡发布者公钥PP 112是否属于所述撤回列表。如果它不属于,则智能卡的兼容性证书发布者(CA-SC)130产生5一个用于智能卡110的临时假名131,例如随机数RAN,并且发送如下的兼容性证书132,该证书被发送6给智能卡110{H(RAN),PP[RAN]}signCA-SC.H(),在这个实施例中,H()是一个单向hash函数,PP 112对RAN进行加密,并且signCA-SC是CA-SC在证书上的签名。
在受到检查时,证书132即不会揭示出公钥PP 112,也不会揭示智能卡110的临时假名RAN 131。而且,能够从证书132获得RAN 131的唯一实体是智能卡110。这是通过用私钥PK113进行解密来完成的。值RAN 131随后可以由验证器通过证书中的hash值来检验。假名RAN131的使用允许验证器对智能卡110的兼容性进行检查,而不需得知它的公钥PP 112。而且,由于假名RAN 131可以按照需要经常改变(每次智能卡SC 110获得新的兼容性证书132的时候),能够将验证器将兼容性证书与给定的智能卡110进行关联的可能性最小化。在如上所述的过程中,智能卡的兼容性证书发布者(CA-SC)130学习到公钥112和RAN 131之间的联系,但由于匿名通道,不能学习到真正的用户身份。
现在,用户能够访问他具有许可证的内容,这些只能在访问设备AD 140上完成。典型地,访问设备140按照DRM规则运行。为了访问内容,用户必须自身带有内容和许可证(例如在光盘中)或者将它们存储在网络的某个地方。在这两种情况中,内容加上许可证必须首先被传输到访问设备AD 140。而且,因为用户此时物理存在在访问设备AD 140之前,他的实际身份可能被“公开”给访问设备。例如,访问设备AD 140可以配备有拍摄用户照片的照相机,照片随后可以被用于跟踪用户的身份。也可能是有观察者物理存在在访问设备AD 140附近。因此,为了阻止将用户的实际身份和公钥PP之间的联系公开给该用户之外的其它人,公钥PP 112在内容访问时将不展现给访问设备AD140。这就是为何SC 110的兼容性证书132与可变的假名RAN 131一起发送的原因。依据对证书131的检查,访问设备140学习到RAN,但是没有学习到公钥PP 112。下面对内容访问过程进行描述。
在智能卡110和访问设备140进行交互之前,它们作相互兼容性的检测访问设备AD 140的兼容性通过访问设备兼容性证书151来证明,兼容性证书151是由访问设备的兼容性证书发布者(CA-AD)150发布的,并且对于智能卡110其显示为10。为了能够验证访问设备兼容性证书151,给智能卡110提供CA-AD的共钥。如果这个密钥周期性地变动,也强迫AD周期性地更新它的兼容性证书。这还暗示着智能卡SC 110必须周期性地更新这个密钥,这可以在SC 110从CA-SC获得它自己的兼容性证书的时候进行。
智能卡110的兼容性通过使用假名的兼容性证书132提供,对于访问设备140该证书显示为10。如上所述,智能卡110通过使用私钥PK 113对其进行解密,从证书132获得值RAN,并且将此值发送给访问设备140。访问设备140通过证书中的H(RAN)项来对此值进行检查。因为访问设备140可以配备有时钟,智能卡兼容性证书132中可以加入其发布时间,这将强迫智能卡110在证书过旧的时候周期性地更新证书。出于智能卡的利益考虑,要足够频繁地更新它的兼容性证书,以便最小化上述的连接可能性。
在如上所述的这个相互兼容性检查之后,访问设备140将来自许可证的项PP[SYM//Rights/contentID]发送12给智能卡110,智能卡110对其进行解密并且将值123SYM、Rights和contentID发送回13访问设备140。访问设备140随后能够使用SYM来解密内容并且依照Rights给予用户对其的访问权。
在上述过程中,访问设备学习到RAN与内容之间、权限与SYM之间分别的联系,并且可能了解到实际用户身份。因此,攻击访问设备的控制的攻击者可能获得实际用户身份(例如,用户的照片)、他的SC的临时假名RAN和在此交易期间用户所访问的特定内容与相关权限。但是,这个事实只危及了关于该交易中涉及的特定的内容和权限的用户隐私。这类攻击在实际上是难以避免的。考虑值RAN,由于它经常变化,用户只可能在有限数目的交易中被攻击。
在第二实施例中,它仅除少数步骤之外与上述实施例相同。一个不同是,许可证进一步包含所述Rights和contentID的验证数据,另一个是用户身份设备可以通过此验证数据验证所接收到的数据是否被损坏。在此第二实施例中,访问设备140将来自许可证的项PP[SYM//Rights/contentID]与H(Rights)和H(contentID)一起发送给智能卡110,智能卡110对PP[SYM//Rights/contentID]项中的值进行解密,对解密的Rights和contentID值使用单向hash函数H()加密为H(contentID)′和H(Rights)′,分别验证H(contentID)′和H(Rights)′是否等于接收到的H(contentID)和H(Rights),并且将值123SYM、Rights和contentID发送回13访问设备140。验证确保了PP[SYM//Rights/contentID]项中的值。
对于DRM系统的安全需求,解决方案建议在进行内容访问交易时在智能卡与访问设备之间进行强制性的兼容性检查,此内容访问交易仍通过SC的假名对用户的隐私进行保密。
本发明的思路是用户以信息分发系统不能跟踪用户是谁的方式获得智能卡。这能够例如通过让用户从一堆样子相似的卡中拣选自己的智能卡来完成。在一个实施例中,每一个智能卡里面有不同的秘密公/私钥对北PP/PK和未设置的PIN。典型地,所有的PIN初始化设置为0000。SCI保证直到用户或者任何其他人第一次与此卡交互,这个特定卡的公钥和PIN设置是不被任一方所知的。于是,用户,作为第一次交互的一方,是唯一可能知道公钥的实体,并且因此,知道在实际用户与公共假名之间的联系。用户也是设定用来激活此卡的PIN的人。
下面是对系统的不同方的所知的一个简短汇总。
-智能卡的发布者不知道用户的身份和内容/权限之间的任何联系,CP知道公钥PP 112与内容之间、权限与SYM之间的关系,-CA-SC知道公钥PP 112和暂时密钥RAN 131之间的联系,-访问设备140知道临时假名RAN 131与内容之间,权限和SYM之间的联系。
因此,即使内容提供商CP 120、CA-SC 130和访问设备140相互勾结,因为只有用户知道在用户实际身份与公钥PP 112之间的联系,用户实际身份不会被揭示。另外,如果攻击者能够在内容访问交易发生之后从访问设备140获得用户相关信息,他能够知道在用户实际身份与临时假名之间的联系以及在用户实际身份分别与内容、Rights和SYM之间的联系。但是,因为临时假名RAN 131周期性地变化,并且只有内容的一小部分与用户的实际身份相关联,对隐私的损害是最小的。由于攻击者不能够从访问设备得知用户的公钥PP 112,他不能建立关于用户对内容的所有权和内容使用模式的完全日志。
因此,如上所述,本发明以系统中任何独立方(独自或者多方一起)均不能获知用户实际身份的方式,提供对内容和权限的匿名购买以及匿名检查权限和对内容的访问。应该注意,为了本申请的目的,并且特别在所附的权利要求中,词“包含”不排除其他元素或者步骤,词汇“一个”不排除多个,单个处理器或者单元可以完成多种装置的功能,并且至少某些装置可以由硬件或者软件来实现,对于本领域中的技术人员这些将是显而易见的。
权利要求
1.一种对用户身份进行保密的方法包含如下步骤以持久假名的名义,从信息分发系统中的信息分发设备请求(1)信息,该持久假名与用户身份设备相关联;将表示所述持久假名的数据发送(4)给身份管理设备;在所述身份管理设备验证所述数据,以保证所述持久假名是置信的;生成至少一个临时假名;在验证成功时,将所述至少一个临时假名发送(6)给所述用户身份设备,并且当访问所述请求信息时,以所述至少一个临时假名表示(11)所述用户。
2.依照权利要求1的方法,其中该方法进一步包含如下步骤在所述身份管理设备接收(4)所述持久假名和来自所述用户身份设备的对兼容性证书的请求;和如果所述持久假名在验证所述数据的步骤被认为是置信的,产生(5)所述兼容性证书,其中包含所述临时假名;并且,其中所述发送至少一个临时假名给所述用户身份设备的步骤包含发送(6)所述兼容性证书给所述用户身份设备。
3.依照权利要求2的方法,其中所述产生(5)所述证书的步骤进一步包含如下步骤在所述身份管理设备使用所述持久假名对所述临时假名进行加密;使用所述临时假名生成验证数据,该验证数据在所述用户身份设备对所述加密的临时假名的解密信息进行验证时使用;并且在所述兼容性证书中包含所述加密的临时假名和所述验证数据。
4.依照前述权利要求中的任一个权利要求的方法,进一步包含如下步骤当在所述信息分发设备接收到对消息的请求时,生成(2)用于所述被请求消息的许可证;发送(3)所述许可证给所述用户身份设备,对所述请求的信息进行加密并且发送给信息存储装置。
5.依照权利要求4的方法,进一步包含如下步骤在访问设备获取(3)所述许可证和所述加密的信息;在所述访问设备和所述用户身份设备之间交换(10,11)兼容性证书,并且完成所述证书的相互验证,其中,所述用户以所述临时假名表示;一旦所述证书验证成功,给所述用户身份设备提供对所述信息的访问权。
6.依照权利要求4或5的方法,进一步包含如下步骤在加密所述请求信息的步骤中,在对所述请求信息进行加密时使用对称密钥;在所述产生许可证的步骤中,当加密代表所述对称密钥、与所述持久假名相关的权限和所述请求信息的标识符的值时,使用所述持久假名;并且产生(2)包含所述加密信息的所述许可证。
7.依照权利要求6的方法,进一步包含如下步骤使用第一hash函数来生成代表与所述持久假名相关的所述权限的加密值的第一数据集;使用所述第一hash函数来生成代表所述请求信息的所述标识符的加密值的第二数据集;并且在所述许可证中包含所述第一和第二数据集。
8.依照权利要求6或7的方法,其中,为用户提供对所述请求的信息的访问权的所述步骤,进一步包含如下步骤在所述访问设备验证所述许可证;从所述访问设备将包含在所述许可证中的所述加密信息发送(12)给所述用户身份设备;在所述用户身份设备,使用私钥将接收的来自所述访问设备的加密信息解密为代表所述对称密钥、与所述持久假名相关的所述权限和所述请求信息的所述标识符的值;从所述用户身份设备,将所述解密值发送(13)给所述访问设备,在所述访问设备,使用从所述用户身份设备接收的所述对称密钥,解密所述加密的请求的信息;在所述访问设备,依照从所述用户身份设备接收的权限给所述用户提供对所述请求信息的访问权。
9.依照权利要求8的方法,其中,所述将从所述访问设备接收的加密信息解密为代表所述对称密钥、与所述持久假名相关的权限和所述请求信息的标识符的值的步骤,还包括如下步骤从所述许可证获得所述第一和第二数据集,使用所述第一hash函数对代表与所述持久假名相关联的所述权限的所述解密值进行加密;使用所述第一hash函数,对所述请求信息的所述标识符进行加密;通过对比所述第一数据集与所述权限的所述加密值,以及对比所述第二数据集与所述标识符的所述加密值来验证所述解密值。
10.依照前述权利要求的任一个权利要求的方法,其中,所述临时假名是被随机产生(5)的。
11.依照前述权利要求的任一个权利要求的方法,其中,所述访问依照数字权限管理规则而完成。
12.一种在对用户身份保密的信息分发系统(100)中使用的用户身份设备,包含,一个持久假名(112),用于接收和存储临时假名(131)的装置,用于发送所述持久假名给所述信息分发系统的身份管理设备(130)的装置,和用于发送所述临时假名给所述信息分发系统的访问设备(140)的装置。
13.依照权利要求12的用户身份设备,其中,所述用于接收临时假名(131)的装置,进一步用于接收兼容性证书(132),该证书包含由所述持久假名对所述临时假名的加密和可用于所述临时假名的验证的验证数据。
14.依照权利要求12或13的用户身份设备,进一步包含用于接收和存储来自所述信息分发系统(100)中的信息分发设备(120)的许可证(121)的装置,该许可证包含代表对称密钥、与所述持久假名相关的权限和所述请求信息的标识符的加密值(122);和用于给所述访问设备(140)提供所述许可证(121)的装置。
15.依照权利要求12到14中任一个权利要求的用户身份设备,进一步包含用于从所述访问设备接收代表对称密钥、与所述持久假名相关的权限和所述请求信息的标识符的加密(122)值的装置;用于对所述加密值进行解密的装置;和用于向所述访问设备(140)发送代表所述对称密钥、与所述持久假名相关的权限和所述请求信息的标识符的解密值(123)的装置。
16.依照权利要求15的用户身份设备,其中,所述用户身份设备进一步用于接收第一和第二数据集,以便通过将所述加密值与第一和第二数据集相比来验证所述加密值(123),其中所述第一和第二数据集分别通过hash函数编码。
17.依照权利要求12到16中任何一个权利要求的用户身份设备,进一步包含用于接收和存储来自所述信息分发设备(120)的信息的信息存储装置,以便为所述访问设备提供所述信息。
18.依照权利要求12到17中任一个权利要求的用户身份设备,其中,所述临时假名(131)是一个随机数。
19.依照权利要求12到18中任一个权利要求的用户身份设备,其中所述持久假名(112)是公开密钥。
20.一种用于对用户身份进行保密的信息分发系统,包含信息分发设备(120),包含由所述用户请求的信息;依照权利要求12的用户身份设备(110);身份管理设备(130),用于接收表示与所述用户身份设备相关联的持久假名(112)的数据,以验证所述持久假名是否置信,并且在验证成功时生成临时假名(131);用于将表示所述临时假名的数据与所述用户身份设备相关联的装置;访问设备(140),用于接收所述代表临时假名的数据,并且在验证成功时,进一步给所述用户提供对所述请求信息的访问权。
21.一种依照权利要求20的系统,其中,所述身份管理设备(110)被安排使用所述持久假名(112)对临时假名(131)进行加密,使用所述临时假名生成验证数据,并且将所述加密的临时假名和所述验证数据包含于兼容性证书(132)中,在验证所述对加密的临时假名的解密信息时所述用户身份设备可使用该验证数据。
22.依照权利要求20或21的系统,其中所述信息分发系统(100)包含用于接收来自所述信息分发设备的加密信息的信息存储装置;和所述信息分发设备用于生成所述请求信息的许可证(121),发送所述许可证给所述用户身份设备(110),以便对所述请求信息进行加密并且将其发送给所述信息存储装置。
23.依照权利要求22的系统,其中,所述访问设备(140)用于接收和保存所述许可证(121),接收所述加密的信息,并且验证从所述用户身份设备(110)接收的所述兼容性证书(132);所述用户身份设备用于验证来自访问设备的证书(151);和所述访问设备,在所述证书验证成功后,给所述用户提供对所述请求的信息的访问权。
24.依照权利要求23的系统,其中,所述信息分发设备(120)进一步用于使用对称密钥将所述请求的信息加密为表示所述对称密钥、与所述持久假名相关联的权限和所述请求的信息的标识符的值(122),并且将所述加密的值包含在所述许可证(121)中。
25.依照权利要求24的系统,其中,所述访问设备(140)用于验证所述许可证(121),并且将包含在所述许可证中的所述加密信息(122)发送给所述用户身份设备(110);所述用户身份设备依照权利要求14进行设置;所述访问设备进一步用于使用来自用户身份设备的对称密钥,对所述加密的请求信息进行解密,并且依照接收自所述用户身份设备的所述权限给所述用户提供对所述请求的信息的访问权。
26.依照权利要求20到25中任何一个权利要求的系统,其中,所述访问设备(140)依照数字权限管理规则进行设置。
全文摘要
一种在信息分发系统中使用的、对用户的身份进行保密同时管理对信息的请求的系统、设备和方法。通过使用持久假名和临时假名来对用户的身份进行保密,这些假名与用户身份设备相关。通过使用许可证和证书来改善信息分发的过程,这些许可证和证书是用户通过用持久假名表示自己而获得的。当访问所请求的信息时,用户用暂时假名来表示。
文档编号H04L29/06GK1961605SQ200580017276
公开日2007年5月9日 申请日期2005年5月24日 优先权日2004年5月28日
发明者C·V·康拉多, M·佩特科维克, W·永克 申请人:皇家飞利浦电子股份有限公司