KR20070058287A - Method and device for transferring rights object of digital contents and drm system thereo - Google Patents
Method and device for transferring rights object of digital contents and drm system thereo Download PDFInfo
- Publication number
- KR20070058287A KR20070058287A KR1020060020174A KR20060020174A KR20070058287A KR 20070058287 A KR20070058287 A KR 20070058287A KR 1020060020174 A KR1020060020174 A KR 1020060020174A KR 20060020174 A KR20060020174 A KR 20060020174A KR 20070058287 A KR20070058287 A KR 20070058287A
- Authority
- KR
- South Korea
- Prior art keywords
- domain
- key
- rights
- digital content
- domain key
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/603—Digital right managament [DRM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
Description
도 1은 디지털 저작권 관리(DRM) 시스템을 도시한 구성도,1 is a block diagram showing a digital rights management (DRM) system,
도2는 본 발명에 따른 도메인 내 장치간 디지털 콘텐츠 사용권리의 이전을 나타낸 개략적인 블록도.Figure 2 is a schematic block diagram illustrating the transfer of digital content usage rights between devices in a domain in accordance with the present invention.
도3은 사용권리 발급자와 장치 A간 인터액션을 나타낸 도면.3 illustrates an interaction between a license issuer and device A;
도4는 장치 A의 도메인 관리 절차를 나타낸 도면.4 illustrates a domain management procedure of device A;
도5는 도메인 내의 장치간 사용권리 이전 절차를 나타낸 도면.5 is a diagram illustrating a procedure for transferring usage rights between devices in a domain.
도6은 본 발명에 따른 DRM시스템의 전체적인 동작순서를 나타낸 일 실시 예의 도면.Figure 6 is a diagram of one embodiment showing the overall operation of the DRM system according to the present invention.
도7은 본 발명에 따른 DRM시스템의 전체적인 동작순서를 나타낸 또 다른 실시 예의 도면.Figure 7 is a diagram of another embodiment showing the overall operation of the DRM system according to the present invention.
본 발명은 디지털 저작권 관리(Digital Rights Management : 이하 DRM이라 한다)에 관한 것으로, 특히 장치들 간에 콘텐츠에 대한 사용권리를 이전할 수 있도록 하는 디지털 저작권 관리에 있어서 사용권리 이전방법 및 장치, DRM 시스템에 관한 것이다.The present invention relates to digital rights management (hereinafter referred to as DRM). In particular, the present invention relates to a method and apparatus for transferring rights of digital rights, and to a DRM system in digital rights management, which enables the transfer of rights to content between devices. It is about.
DRM은 디지털 콘텐츠에 대한 권리를 안전하게 보호하고 체계적으로 관리하기 위한 시스템 기술로서, 콘텐츠의 불법복제 방지 및 콘텐츠 사용권리의 획득, 콘텐츠의 생성 및 유통, 사용 과정에 대한 일련의 보호 및 관리 체계를 제공한다.DRM is a system technology for safeguarding and systematically managing the rights to digital contents, and provides a series of protection and management systems for preventing illegal copying of contents and acquiring the right to use the contents, creating and distributing the contents, and using them. do.
도 1은 디지털 저작권 관리 시스템을 도시한 구성도로서, 상기 디지털 저작권 관리 시스템은 콘텐츠 제공자가 사용자에게 전달한 콘텐츠를 사용자에게 부여한 사용권리만큼만 사용하도록 통제한다. 이때, 상기 콘텐츠 제공자는 콘텐츠 발급자(Content Issuer : CI) 및/또는 사용권리 발급자(Rights Issuer : RI)에 해당하는 엔티티(Entity)이다.1 is a block diagram illustrating a digital rights management system, and the digital rights management system controls the content provider to use the content delivered to the user as much as the usage rights granted to the user. In this case, the content provider is an entity corresponding to a content issuer (CI) and / or a right issuer (RI).
상기 콘텐츠 발급자(CI)는 접근 권한을 갖지 않은 사용자로부터 콘텐츠를 보호할 수 있도록 특정 암호화 키를 사용해 보호된 콘텐츠를 발급하고, 상기 사용권리 발급자(RI)는 상기 보호된 콘텐츠를 사용하는데 필요한 사용권리(Rights Object : RO)를 발급한다.The content issuer (CI) issues protected content using a specific encryption key to protect the content from users who do not have access rights, and the rights issuer (RI) has the right to use the protected content. Issue a Rights Object (RO).
DRM 에이전트는, 단말에 탑재되어 상기 보호된 콘텐츠와 사용권리를 수신하고, 상기 사용권리에 포함된 허가(License)를 해석하여 상기 보호된 콘텐츠를 해당 단말에서 사용 가능한 형태로 변환함으로써 콘텐츠의 사용을 통제한다. 종래의 DRM 시스템은 특정 장치에게 발급된 RO를 제2, 제3의 장치로 이전(또는 이동 내지 전달이라 함)는 경우에 해당하는 소정 절차를 정의하지 않고 있기 때문에, RO 이동에 대한 사용자의 요구가 있을 때 적절히 대응하지 못하게 될 뿐만 아니라, 아울러 DRM 시스템과 디지털 콘텐츠의 유용성이 그만큼 떨어지게 되는 기술적 한계가 있다.The DRM agent is mounted on a terminal to receive the protected content and the right to use, interprets the license included in the right to use, and converts the protected content into a form that can be used on the terminal. To control. Since a conventional DRM system does not define a predetermined procedure corresponding to a case where a RO issued to a specific device is transferred (or referred to as moving or forwarding) to a second or third device, a user's request for RO movement is required. There is a technical limitation that not only does not respond properly when there is an error, but also decreases the usefulness of the DRM system and digital contents.
따라서, 본 발명의 목적은, 특정 장치에게 발급된 사용권리를 제3의 다른 장치에게로 이전 가능하게 하는 것으로, 특히 소정 도메인 내 장치간 디지털 콘텐츠 사용권리 이전에 관한 방법 및 장치, DRM 시스템을 제공하는 것이다. Accordingly, an object of the present invention is to enable a transfer of a right issued to a specific device to a third device, and in particular, to provide a method, apparatus, and DRM system for transferring digital content right between devices in a predetermined domain. It is.
상기와 같은 목적을 달성하기 위하여, 본 발명에 따른 디지털 콘텐츠 사용권리 이전 방법은, 제1 장치가 도메인을 형성하는 단계와; 상기 도메인 내 적어도 하나 이상의 제2 장치가 사용권리(RO)를 이전받는 단계를 포함하는 것이 특징이다. In order to achieve the above object, the digital content rights transfer method according to the present invention comprises the steps of: forming a domain in a first device; At least one second device in the domain is characterized in that it comprises the step of transferring the right of use (RO).
바람직하게는, 도메인 키를 생성하는 단계와; 상기 생성된 도메인 키를 적어도 하나 이상의 제2 장치에 전달하는 단계를 더 포함하는 것이 특징이다.Preferably, generating a domain key; The method may further include transferring the generated domain key to at least one second device.
바람직하게는, 상기 제1 장치가 형성한 도메인에 적어도 하나 이상의 제2 장치가 가입하는 단계와; 상기 도메인으로부터 상기 제2 장치가 탈퇴하는 단계를 더 포함하는 것이 특징이다.Advantageously, at least one second device joins a domain formed by said first device; And withdrawing the second device from the domain.
또한, 상기와 같은 목적을 달성하기 위하여, 본 발명에 따른 장치는, DRM 시스템을 구성하는 일 장치로서, 소정 도메인을 형성하고, 적어도 하나 이상의 타 장치에 사용권리 및 도메인 키를 전달하는 것이 특징이다. In addition, in order to achieve the above object, the device according to the present invention is a device constituting the DRM system, characterized in that it forms a predetermined domain, and transfers the right of use and domain key to at least one other device. .
또한, 상기와 같은 목적을 달성하기 위하여, 본 발명에 따른 장치는, DRM 시스템을 구성하는 일 장치로서, 소정 도메인에 가입 및 탈퇴를 요청하고, 도메인 키 및 사용권리를 전달받는 것이 특징이다.In addition, in order to achieve the above object, the device according to the present invention is a device constituting the DRM system, it is characterized in that the request to join and leave the domain, and receives the domain key and usage rights.
또한, 상기와 같은 목적을 달성하기 위하여, 본 발명에 따른 DRM 시스템은, 사용권리를 발급하는 사용권리 발급자(RI)와; 소정 도메인을 형성 및 그 형성한 도메인을 관리하고, 도메인 키 생성하여 전달하는 제1 장치와; 그리고 상기 도메인 키와 사용권리를 전달받는 적어도 하나 이상의 제2 장치를 포함하는 것이 특징이다. In addition, in order to achieve the above object, the DRM system according to the present invention, the use rights issuer (RI) to issue a use right; A first device for forming a predetermined domain, managing the formed domain, and generating and transferring a domain key; And at least one second device receiving the domain key and the right to use.
이하, 본 발명의 바람직한 실시 예를 도면을 참조하여 설명하면 다음과 같다.Hereinafter, preferred embodiments of the present invention will be described with reference to the drawings.
본 발명의 기본 개념은 적어도 하나 이상의 장치를 포함하는 도메인(또는, 로컬 그룹이라 함)을 형성하고, 그 형성된 도메인 내의 장치들 간에 디지털 콘텐츠의 도메인 권리 (Domain Right object 또는 Domain Rights)를 이전함으로써, 디지털 콘텐츠의 사용 권리를 도메인 내 장치 간에 공유하는 것이다. 이와 같은 본 발명의 구현을 위하여 상기 도메인 내에 가입된 장치들만이 상기 도메인 권리를 이용할 수 있도록, 상기 도메인 권리를 암호화 및 복호화하는데 필요한 도메인 키(또는 그룹 키)가 정의된다. The basic idea of the present invention is to form a domain (or local group) that includes at least one or more devices, and to transfer domain rights (Domain Right objects or Domain Rights) of digital content between devices in the formed domain, The right to use digital content is shared between devices in a domain. For such an implementation of the present invention, a domain key (or group key) necessary for encrypting and decrypting the domain right is defined so that only devices subscribed to the domain can use the domain right.
본 발명은 소정 도메인을 형성하는 주체에 따라, 그리고 도메인 키를 생성하는 주체에 따라서 서로 다른 실시 예를 제안한다. 특히, 본 발명은 도메인을 형성하는 주체로서 사용권리 발급자(RI)와 특정 장치를 구별하여 각각의 실시 예를 제안한다.The present invention proposes different embodiments depending on the subjects forming a given domain and the subjects generating a domain key. In particular, the present invention proposes each embodiment by distinguishing between a license issuer (RI) and a specific device as a subject forming a domain.
이하, 본 발명의 실시 예의 설명에 사용되는 용어로서, 장치(Device)는 이전통신 용도의 모든 단말기(예를 들면, 사용자 장치(UE), 휴대폰, 셀룰라폰, DMB폰, DVB-H폰, PDA 폰, 그리고 PTT폰 등등)와, 디지털 TV와, GPS 네비게이션와, 휴대용게임기와, MP3와 그외 가전 제품 등등 포함하는 것으로서, DRM의 콘텐츠를 이용할 수 있는 모든 장치를 포함하는 포괄적인 의미이다. 도메인(Domain)이란 사용자측 장치의 집합(a collection of devices)을 말하며, 상기 도메인에 속하는(즉, 가입된) 장치들은 도메인 멤버(Domain member)라 하며, 각 도메인 멤버는 공통의 도메인 키(Domain Key)를 공유한다. 또한 상기 도메인 키는 도메인 권리를 복호화하는데 이용된다. 또한, 도메인 권리란 도메인 내의 장치간에 공유하는 사용권리(RO)의 일종으로서, 사용권리 발급자(RI)가 발급하는 사용권리(RO)와 상태정보가 포함된 사용권리(RO)이다. 다만, 도메인 권리가 포함하고 있는 상태정보는 하기에서 설명한다. Hereinafter, as used in the description of the embodiment of the present invention, the device (Device) is any terminal (for example, user equipment (UE), mobile phone, cellular phone, DMB phone, DVB-H phone, PDA) Phone, PTT phone, etc.), digital TV, GPS navigation, handheld game consoles, MP3 and other consumer electronics, and so forth, including all devices capable of utilizing DRM content. Domain refers to a collection of devices. Devices belonging to (ie, joined to) a domain are called domain members, and each domain member is a common domain key. Share) The domain key is also used to decrypt domain rights. In addition, a domain right is a type of usage rights (RO) shared between devices in a domain, and is a usage rights (RO) issued by a usage rights issuer (RI) and a usage right (RO) including status information. However, the state information included in the domain right will be described below.
도2는 본 발명에 따른 도메인 내 장치들간 디지털 콘텐츠 사용권리의 이전을 나타낸 개략적인 블록도이다. 다만, 도2는 사용자 측의 일 장치(즉, 도2에서 장치 A)가 도메인 및 도메인 키를 생성하고, 또한 그 도메인을 관리하는 실시 예이다.2 is a schematic block diagram illustrating the transfer of digital content usage rights between devices in a domain according to the present invention. 2 is an embodiment in which a device on the user side (ie, device A in FIG. 2) generates a domain and a domain key and manages the domain.
도2에 도시된 바와 같이, 사용권리 발급자(RI: Rights Issuer)는 사용자측의 소정 장치 즉, 장치 A에게 도메인 권리(Domain Rights)를 발급한다. 이때 상기 발급된 도메인 권리는 암호화된 도메인 권리에 해당하는데, 구체적으로 설명하면 사용자 측의 특정 장치(즉, 도2에서 장치 A)가 생성하여 상기 RI에 제공한 도메인 키를 이용하여 상기 RI가 암호화한 도메인 권리이다. 한편, 상기 RI와 상기 장치 A 간에는 공개키 기반구조(PKI: Public Key Infrastructure)의 상호인증이 완료된 상태를 전제한다. 이와 같은 PKI 기반의 상호인증 절차는 상기 장치 A가 상기 RI에 가입하는 절차에 해당한다. As shown in FIG. 2, a rights issuer (RI) issues domain rights to a predetermined device on the user side, that is, device A. FIG. In this case, the issued domain right corresponds to an encrypted domain right. Specifically, the issued domain right is encrypted by the RI using a domain key generated by a specific device (that is, device A in FIG. 2) provided to the RI. One domain right. Meanwhile, it is assumed that mutual authentication of a public key infrastructure (PKI) is completed between the RI and the device A. This PKI-based mutual authentication procedure corresponds to a procedure in which the device A joins the RI.
도2에 도시된 바와 같이, 장치 A, 장치 B, 장치 C 그리고 장치 D는 동일한 도메인에 속한 장치들이다. 여기서, RI가 상기 도메인을 관리하는 것이 아니라 장치 A가 이를 관리하기 때문에 도메인을 로컬 그룹이라 부르기도 하며, 장치 A가 도메인을 관리한다는 측면에서 도메인 국(Domain Authority)이라 한다. 특정 장치(즉, 도2에서 장치 B, 장치 C 및 장치 D)는 장치 A가 관리하는 도메인에 가입(Join)함으로써 도메인 키를 얻는다. 이때, 특정 장치(예를 들면, 도2에서 장치 D)가 장치 A에 가입하려면, 상술한 바와 같이 상기 도메인의 가입과정은 PKI 기반의 상호인증 절차가 선행되어야 한다. 또한 상기 도메인에 속한 특정 장치가 상기 도메인으로부터 탈퇴(또는 해지<Leave>)하면 상기 특정 장치는 상기 얻은 도메인 키를 삭제(remove)한다. As shown in Fig. 2, device A, device B, device C and device D are devices belonging to the same domain. Here, the domain is referred to as a local group because the device A manages it rather than the RI manages the domain, and the domain A is referred to as a domain authority in that the device A manages the domain. A particular device (i.e., device B, device C and device D in Figure 2) obtains a domain key by joining a domain managed by device A. In this case, in order for a specific device (for example, device D in FIG. 2) to subscribe to device A, as described above, the domain joining process must be preceded by a PKI-based mutual authentication procedure. In addition, when a specific device belonging to the domain leaves (or cancels) the domain, the specific device removes the obtained domain key.
장치 A는 도메인에 속한 특정 장치(즉, 장치 B 또는 장치 C 또는 장치 D 중 적어도 하나 이상의 장치)에게 도메인 권리를 전달(또는 이동 내지 이전이라 한다)할 수 있다. 또한, 장치 A가 도메인 권리를 전달시킬 때 그 도메인 권리가 상태기반(Stateful) 도메인 권리이면 상태정보와 함께 이동시킨다. 도메인 내의 장치들끼리는 도메인 권리 및 그 도메인 권리 상태정보의 이동이 자유롭다. 한편, 상기 도메인 권리는 장치 A가 아니라 RI에 의하여 직접 특정 장치(즉, 장치 B 또는 장치 C 또는 장치 D 중 적어도 하나 이상의 장치)에 전달될 수도 있다. 또한, 도메인 내의 상기 장치 간들(예를 들면, 도2에서 장치 C와 장치 D) 간에 도메인 권리 뿐만 아니라 디지털 콘텐츠의 이동이 자유롭다. 따라서, 도메인 내 장치들 간에 도메인 권리 또는 디지털 콘텐츠를 공유할 수도 있다.Device A may transfer (or move to, transfer) domain rights to a particular device (ie, at least one of device B or device C or device D) belonging to the domain. In addition, when the device A transfers the domain right, if the domain right is a stateful domain right, the device A moves with the state information. Devices within a domain are free to move domain rights and their domain rights status information. Meanwhile, the domain right may be transferred directly to a specific device (that is, at least one of device B or device C or device D) by RI rather than device A. In addition, the movement of digital content as well as domain rights is free between the devices within the domain (e.g., device C and device D in FIG. 2). Thus, domain rights or digital content may be shared between devices in the domain.
만약 소정 도메인 멤버(즉, 도메인 내의 어느 장치)가 도메인 외부의 소정 장치(즉, 도메인 키를 소유하지 않은 장치)에 도메인 권리를 이동시킬 수 없다. 설령 그 도메인 외부의 소정 장치가 도메인 권리를 가로채더라도, 그 장치는 도메인 키가 없기 때문에 상기 가로챈 도메인 권리를 복호화할 수 없으며, 또한 관련 콘텐츠를 사용할 수 없다.If a given domain member (i.e. any device in the domain) cannot move the domain right to a given device outside the domain (i.e. a device that does not own a domain key). Even if a device outside the domain intercepts the domain right, the device cannot decrypt the intercepted domain right because there is no domain key, and cannot use the related content.
한편, 도2에 도시되어 있지 않지만, 본 발명에서 디지털 콘텐츠는 콘텐츠 발급자(CI)로부터 장치 A로 발급되며, 이후 장치 B, 장치 C로 복사되어 연관된 도메인 권리의 해석을 한 후 일정 제약(Constraint)하에 사용된다. 또한, 상기 디지털 콘텐츠는 장치 A를 경유하지 않고 CI가 상기 도메인 멤버(즉, 장치 B 또는 장치 C 또는 장치 D 중 적어도 하나 이상의 장치)에 직접 발급할 수도 있다.On the other hand, although not shown in Figure 2, in the present invention, the digital content is issued from the content issuer (CI) to the device A, and then copied to the device B, the device C to interpret the associated domain rights, and then a certain constraint (Constraint) Used under In addition, the digital content may be directly issued by the CI to the domain member (that is, at least one device of the device B or the device C or the device D) without passing through the device A.
이상, 도2는 DRM 시스템의 장치들 간(즉, RI 및 도메인 내 장치들) 도메인 권리의 이전 절차를 개략적으로 설명을 하였으나, 이하 첨부하는 도면을 참조하여 각 장치들 간의 도메인 권리 이전에 대한 신호 흐름를 보다 상세히 설명한다. Although FIG. 2 schematically illustrates a procedure for transferring domain rights between devices of a DRM system (ie, RI and devices in a domain), the signal for transferring domain rights between devices is described below with reference to the accompanying drawings. The flow is described in more detail.
도3은 사용권리 발급자와 장치 A간 인터액션을 나타낸 도면이다.3 illustrates an interaction between a user right issuer and device A. FIG.
도3에 도시된 바와 같이, 예시된 모든 실시 예에서 RI가 장치 A에 도메인 권리를 발급한다는 것이 공통점이다. 또한, 도2에서 상술한 바와 같이, RI와 장치 A간에는 PKI기반의 상호인증과 알고리즘 협상이 이미 끝난 상태이다. 따라서 PKI 상 호인증에서 증명(Certificate)이 이미 교환되었으므로, RI와 장치 A는 상호 상대방의 공개 키(Public Key)를 알고 있다. As shown in FIG. 3, in all the illustrated embodiments, the RI issues domain rights to device A in common. In addition, as described above in FIG. 2, PKI-based mutual authentication and algorithm negotiation have already been completed between the RI and the device A. FIG. Therefore, since the certificate has already been exchanged in PKI mutual authentication, RI and device A know each other's public key.
또한, 도3은 도메인 키 생성 및 도메인 형성의 주체(즉, RI 및 장치 A 중 어느 하나)에 따라 실시 예를 구별한 것이다. 따라서, 도 3에 도시된 바와 같이, RI와 장치 A간 인터액션에는 크게 세가지 실시 예로 구별될 수 있다.3 also distinguishes an embodiment according to the subject of domain key generation and domain formation (ie, either RI or device A). Accordingly, as shown in FIG. 3, three embodiments may be distinguished in the interaction between the RI and the device A. FIG.
첫번째 실시 예는 RI가 도메인 키를 생성하는 주체이다. 즉, RI가 도메인 키를 생성하고, 그 생성된 도메인 키로 도메인 권리를 암호화 하므로 암호화된 도메인 권리를 생성한다. 그리고 RI가 상기 도메인 키와 암호화된 도메인 권리를 장치 A로 발급한다. 다만, RI가 생성 및 발급하는 도메인 키는 장치 A의 공개 키(Public Key)로 암호화되어 전달된다. 그리고, 장치 A는 개인 키(Private Key)를 이용하여 상기 도메인 키를 복호화되며, 그 복호화된 도메인 키는 상기 암호화된 도메인 권리를 복호화하는데 이용된다.In the first embodiment, the RI generates a domain key. That is, the RI generates a domain key and encrypts the domain right with the generated domain key, thereby creating an encrypted domain right. RI then issues the domain key and encrypted domain rights to device A. However, the domain key generated and issued by the RI is transmitted by being encrypted with the public key of the device A. Device A then decrypts the domain key using a private key, and the decrypted domain key is used to decrypt the encrypted domain right.
두번째 실시 예는 장치 A가 도메인 키를 생성하는 주체이다. 즉, 장치 A가 도메인 키를 생성하고, 이를 RI에게 전달한다. RI는 전달받은 도메인 키로 도메인 권리를 암호화하여 생성하고, 그 암호화한 도메인 권리를 장치 A로 발급한다. 다만, 상기 도메인 키는 RI의 공개 키로 암호화되어 전달된다. 그리고 RI는 자신의 개인 키로 암호화된 도메인 키를 복호화한다. RI는 상기 복호화한 도메인 키를 이용하여 도메인 권리를 암호화하여 장치 A에게 발급한다. In a second embodiment, device A is the subject generating a domain key. That is, device A generates a domain key and forwards it to the RI. The RI encrypts and generates a domain right with the received domain key, and issues the encrypted domain right to device A. However, the domain key is encrypted and transmitted with the public key of the RI. RI decrypts the domain key encrypted with its private key. RI encrypts a domain right using the decrypted domain key and issues it to device A.
셋번째 실시 예는 RI가 도메인 권리를 장치 A에게 발급한다는 점에서 상기 실시 예들과 공통적이다. 그러나 상기 실시 예들과의 차이점은, 장치 A가 도메인 키와 도메인 권리를 미리 생성해두거나 또는 타 장치가 장치 A에 도메인에 가입을 최초로 요청해올 때 생성할 수도 있다는 점이다.The third embodiment is common to the above embodiments in that RI issues domain rights to device A. However, the difference from the above embodiments is that device A may generate a domain key and domain rights in advance, or may be generated when another device requests device A to join a domain for the first time.
한편, 상기 RI가 발급하는 도메인 권리는 REL(Rights Expression Language)로 표현되며, 상기 도메인 권리에는 허가(permission)가 삽입된다. 여기서, 허가란 RI와 장치 A간 인터액션에서 소정 장치(예를 들면, 장치 A)가 도메인을 생성할 수 있는 능력을 말한다. 따라서, 장치 A가 도메인을 생성할 수 있는 능력(즉, 허가)을 도메인 권리(즉, RI로부터 발급받은 도메인 권리이다)를 통하여 받으면, 장치 A가 도메인을 형성할 뿐만 아니라 도메인 키를 생성하고 RI로부터 발급된 도메인 권리의 내용을 기반으로 도메인 키를 이용하여 암호화한 도메인 권리를 생성할 수 있다. 장치 A는 RI로부터 상기 허가가 있을 때에만 도메인 형성 및 도메인 키 생성, 그리고 도메인 권리(즉, 도메인 내의 도메인 멤버에 이동할 도메인 권리이다)를 생성을 할 수 있다. Meanwhile, domain rights issued by the RI are expressed in Rights Expression Language (REL), and a permission is inserted in the domain rights. Here, the permission refers to the ability of a predetermined device (eg, device A) to create a domain in an interaction between RI and device A. Thus, if device A receives the ability to create a domain (i.e. permission) through domain rights (i.e. domain rights issued by RI), device A not only forms a domain but also generates a domain key and RI Based on the contents of the domain rights issued from the domain right, an encrypted domain right can be generated using the domain key. Device A may generate domain formation and domain key generation, and domain rights (i.e., domain rights to move to domain members within a domain) only with the permission from the RI.
도메인을 생성할 수 있는 능력을 표현하는 허가는 하위에 여러가지 제약(Constraint)를 갖는다. 이러한 제약의 예를 들면, 도메인에서 어느 소정 장치가 장치 A(즉, 도메인 내의 도메인 멤버를 관리할 수 있는 장치)와 같은 역할을 할 것인지에 대한 제약과, 도메인에 포함될 수 있는 장치의 리스트(즉, White List라고 함)에 대한 제약과, 도메인에 포함되서는 안되는 장치의 리스트(즉, Black List라고 함)에 대한 제약과, 그리고 그 밖에도 도메인 내에서 도메인 권리의 최대 이전 횟수, 도메인 내에서 도메인 권리 이전이 가능한 시간 등과 같은 제약이 포함된다. 한편, 상기 예시한 제약 즉, 상기 도메인 권리의 장치 간 이전 횟수, 도메인 권리 가 처음 장치 간 이전을 시작한 시각 등은 상태정보(state information)에 저장되어 관리된다. 또한, 도메인에서 어느 장치가 상기 장치 A 역할을 할 것인지는 상기 제약 중 그 장치의 ID로 표현되며, 장치 A와 같은 역할(즉, 도메인 국<Domain Authority>)을 수행하는 특정 장치만이 도메인을 관리한다. 따라서 RI로부터 도메인 권리를 전달받은 장치가 계속해서 고유한 도메인을 형성하는 것을 방지하기 위하여, 도메인에서 어느 장치가 본 발명에 의한 장치 A 역할을 할 것인지를 나타내는 제약이 상기 허가의 하위에 항상 존재하는 것이 바람직하다. The permission that expresses the ability to create a domain has several constraints under it. Examples of such constraints include constraints on which device in the domain will act as device A (i.e., a device capable of managing domain members within the domain), and a list of devices that may be included in the domain (i.e. Constraints on the list of devices (that is, the Black List) that should not be included in the domain, and, in addition, the maximum number of transfers of domain rights within the domain, domain rights within the domain. Constraints such as the time at which they can be transferred are included. On the other hand, the above-described constraints, that is, the number of transfers between devices of the domain right, the time at which the domain right first transfers between devices, and the like are stored and managed in state information. In addition, which device in the domain will act as the device A is expressed by the ID of the device among the constraints, and only a specific device that performs the same role as the device A (that is, a domain authority) manages the domain. do. Therefore, in order to prevent devices receiving domain rights from RI from continuing to form their own domains, there is always a constraint indicating which device in the domain will serve as Device A in accordance with the present invention. It is preferable.
이상, 장치 A가 RI로부터 허가가 포함된 도메인 권리를 발급받아 도메인을 형성하고 관리할 수 있는 내용을 설명하였으며, 이하 장치 A가 도메인을 관리하는 과정를 상세히 설명한다.In the above, the contents of the device A having been issued a domain right including permission from the RI to form and manage the domain have been described. Hereinafter, the process of the device A managing the domain will be described in detail.
도4는 장치 A의 도메인 관리 절차를 나타낸 도면이다.4 is a diagram illustrating a domain management procedure of the device A;
도4에 도시된 바와 같이, 장치 A는 도메인 멤버(즉, 장치 B와, 장치 C 및 장치 D)에게 도메인 키를 전달함으로써 도메인에 가입(또는 참여라고 함)시킬 수 있다. 다만, 본 발명 설명의 간결성을 위하여 도4는 장치 A와 장치 B만을 도시하고 있다. 따라서, 도4에 도시되지 않은 도메인 멤버에게도 도4의 실시 예가 동일하게 적용된다.As shown in Figure 4, device A may join (or referred to as joining) a domain by passing the domain key to domain members (i.e., device B, device C, and device D). 4 shows only the apparatus A and the apparatus B for the sake of brevity of the description of the present invention. Therefore, the embodiment of FIG. 4 is equally applicable to domain members not shown in FIG.
장치 B가 도메인에 가입하기 위해서는 장치 A와 장치 B 간에 PKI 상호인증(PKI Mutual Authentication)이 먼저 수행되어야 한다(S401). 이로써 상호 장치 간에 증명(Certificate)의 유효성을 검증하고 쌍방의 공개 키(Public Key)를 구할 수 있다.In order for the device B to join the domain, PKI mutual authentication must be performed between the device A and the device B (S401). This allows validating certificates between mutual devices and obtaining public keys for both parties.
장치 A가 도메인을 관리하는 절차는, 도메인에 가입하는 단계(S401과 S410)와, 도메인 키를 발급하는 단계(S420)와, 도메인에서 탈퇴하는 단계(S430)로 크게 구분될 수 있다. 먼저, 장치 B가 장치 A가 관리하는 도메인에 가입하는 단계(S410)를 설명하면, 장치 A가 장치 B에게 도메인 가입을 초청(Join Domain Trigger)하는 경우와 장치 B가 장치 A에게 도메인 가입을 요청(Join Domain)하는 경우로 나눌 수 있다.The procedure of managing the domain by the device A may be broadly divided into steps of joining the domain (S401 and S410), issuing a domain key (S420), and leaving the domain (S430). First, when the device B joins the domain managed by the device A (S410), the device A invites the device B to join the domain (Join Domain Trigger) and the device B requests the device A to join the domain. It can be divided into (Join Domain).
첫째, 장치 A가 장치 B에게 도메인 가입을 초청하는 경우이다. 즉, 장치 A가 타 장치 (장치 B)에게 Group 가입하라는 신호 (즉, Join Domain Trigger)를 보낸다(S411). 다만, 상기 단계(S411)는 장치 A의 사용자가 장치 B를 가입시키고자 하는 의도가 있을 때만 이루어진다.First, device A invites device B to join a domain. That is, the device A sends a signal (ie, Join Domain Trigger) to the other device (device B) to join the group (S411). However, step S411 is performed only when the user of the device A intends to join the device B.
둘째, 장치 B가 장치 A에게 도메인 가입을 요청하는 경우이다. 즉, 장치 B가 장치 A에 도메인에 가입시켜 달라는 신호(즉, Join Domain)를 전달한다(S412).Second, device B requests device A to join a domain. That is, the device B transmits a signal (that is, Join Domain) to the device A to join the domain (S412).
상기 단계(S412)에서 장치 A의 사용자가 장치 B의 사용자를 확인(user confirmation)한 후 장치 B의 가입여부를 결정한다(S421). 상기 단계(S421)에서 장치 A의 사용자가 장치 B의 가입을 허락하였다면 장치 A가 해당 장치에 도메인 키를 전송한다(S422). 상기 단계(S421)에서 장치 A의 사용자가 장치 B의 가입을 허락하지 않으면, 도메인에 가입할 수 없다는 내용의 실패 신호를 전송한다(단, 도4에 도시되지 않음). In operation S412, the user of device A determines user subscription of device B after user confirmation of the user of device B (S421). If the user of the device A has allowed the subscription of the device B in the step (S421), the device A transmits the domain key to the corresponding device (S422). If the user of the device A does not allow the device B to join in step S421, a failure signal indicating that the user cannot join the domain is transmitted (but not shown in FIG. 4).
한편, 상기 단계(S422)에서 도메인 키는 장치 B의 공개 키로 암호화되어 전달된다. 그리고 장치 B는 개인 키를 이용하여 상기 전달된 도메인 키를 복호화한 다.Meanwhile, in step S422, the domain key is encrypted and transmitted with the public key of the device B. Device B then decrypts the delivered domain key using the private key.
이하, 장치 B가 장치 A가 관리하는 도메인에서 탈퇴하는 단계(S430)를 설명한다. 장치 B는 장치 B의 사용자나 장치 A의 사용자의 의지에 의해 장치 A가 관리하는 도메인을 떠날 수 있다. 장치 B가 도메인을 탈퇴할 때는 도메인 권리를 장치 A에게 반납한다. 그 과정은 다음과 같다.Hereinafter, step S430 in which the device B leaves the domain managed by the device A will be described. Device B may leave the domain managed by device A at the will of the user of device B or the user of device A. When device B leaves the domain, it returns the domain rights to device A. The process is as follows.
즉, 장치 A가 장치 B에게 도메인에서 탈퇴하라는 신호 (Leave Group Trigger)를 보낸다(S431). 다만, 상기 단계(S431)은 장치 A의 사용자가 장치 B를 로컬 그룹에서 제외시키려는 의도가 있을 때만 이루어진다.That is, device A sends a signal to the device B to leave the domain (Leave Group Trigger) (S431). However, step S431 is performed only when the user of device A intends to exclude device B from the local group.
상기 단계(S431)과 반대로, 장치 B가 장치 A에 도메인에서 탈퇴하겠다는 신호(Leave Domain)을 전달한다(S432). 이때, 장치 B가 도메인 권리를 가지고 있으며 그 도메인 권리가 상태기반(Stateful)인 경우, 그 도메인 권리의 상태정보(단, 도메인 권리가 Stateful인 경우에 해당함)도 함께 전달한다. 한편, 도메인 권리가 장치 A에 존재하면서 단지 비활성화(disable)되어 있다면, 도메인 권리 반납하는 대신 그 도메인 권리의 ID만 전달할 수도 있다. 장치 A는 전달받은 도메인 권리 및 상태정보를 저장 또는 활성화(enable) 한다(S433).In contrast to the step S431, the device B transmits a signal to the device A to leave the domain (Leave Domain) (S432). In this case, when the device B has a domain right and the domain right is stateful, the device B also transmits state information of the domain right (but corresponding to the case where the domain right is stateful). On the other hand, if a domain right exists in device A and is only disabled, the ID of the domain right may be transferred instead of returning the domain right. Device A stores or enables the received domain rights and status information (S433).
상기 단계(S431 - S433)가 성공적이었다면 장치 A는 장치 B에게 성공을 알리는 신호(즉, OK 신호)를 전송한다(S434). 그러나 상기 단계(S431 - S433)가 문제가 있었다면 장치 A는 장치 B에게 실패를 알리는 신호를 전송한다.If the steps S431 to S433 are successful, the device A transmits a signal (ie, an OK signal) indicating the success to the device B (S434). However, if the above steps (S431-S433) had a problem, the device A transmits a signal indicating the failure to the device B.
상기 단계(S434)에서 장치 B에게 성공을 알리는 신호가 전송되었다면, 장치 B는 도메인 키와 도메인 권리 및 그 도메인 권리와 관련된 상태정보를 삭제한다 (S435).If a signal indicating a success is transmitted to the device B in step S434, the device B deletes the domain key, the domain right, and state information related to the domain right (S435).
이상, 도4에서 상술한 바와 같이, 장치 A가 생성하고 관리하는 도메인에 타 장치(예를 들면, 도4에서 장치 B)가 가입함으로써, 도메인에 가입한 장치는 도메인 키를 공유하게 된다. 따라서, 도메인 내의 장치들 간에 서로 도메인 권리를 이동시키고, 그 도메인 권리를 상기 도메인 키로 복호화하고 해석할 수 있기 때문에, 그 도메인 권리를 이용하여 그 도메인 권리와 연관된 콘텐츠를 복호화하여 사용(render)할 수 있다. As described above with reference to FIG. 4, when another device (for example, device B in FIG. 4) joins the domain created and managed by the device A, the device joined to the domain shares the domain key. Therefore, since the domain rights can be moved between devices in the domain, and the domain rights can be decrypted and interpreted with the domain key, the domain rights can be used to decrypt and render the content associated with the domain rights. have.
이하, 도메인 내의 장치간 도메인 권리의 이전(trasfer 또는 move)에 대해 설명한다.Hereinafter, the transfer (trasfer or move) of domain rights between devices in the domain will be described.
도5는 도메인 내의 장치간 도메인 권리 이전 절차를 나타낸 도면이다. 도5에 도시된 바와 같이, 도메인 내의 임의의 장치 X가 도메인 내의 임의의 또 다른 장치 Y에게 도메인 권리를 이전시키는 전형적인 예를 나타낸다. 여기서, 도메인 권리는 도메인 내에서 이전하는 도메인 권리이기 때문에, 도메인 도메인 권리라고도 한다. 또한, 상기 장치 X는 도메인 생성 및 도메인 키를 생성하고, 또한 도메인을 관리하는 장치 A일 수도 있고, 그외 도메인 내의 특정 장치일 수도 있다. 5 is a diagram illustrating a domain right transfer procedure between devices in a domain. As shown in Figure 5, a typical example of any device X in a domain transfers domain rights to any other device Y in the domain. The domain right is also referred to as a domain domain right because it is a domain right that is transferred within the domain. In addition, the device X may be a device A for generating a domain and generating a domain key, and also manages a domain, or may be a specific device in a domain.
장치 X는 도메인 권리를 이용하여 콘텐츠를 사용하다가 장치 X의 사용자 또는 장치 Y의 사용자 요청에 의해 장치 Y에게 콘텐츠 및 도메인 권리를 이동할 수 있다(S501).The device X may use the content using the domain right and then move the content and the domain right to the device Y by a user request of the user of the device X or the user of the device Y (S501).
장치 X가 종래의 기술인 슈퍼 디스트리뷰션(Super Distribution)을 사용하여 콘텐츠를 장치 Y에게 복사한다(S502). 다만, 상기 장치 Y는 상기 콘텐츠를 RI 또는 CI로부터 발급받을 수도 있다. The device X copies the content to the device Y using the conventional technology, Super Distribution (S502). However, the device Y may receive the content from RI or CI.
장치 Y의 사용자가 도메인 권리의 이전을 요청한 경우는 장치 Y로부터 장치 X에게 도메인 권리를 이동시켜달라는 요청 신호(Get 도메인 권리)를 전달하면(S503), 장치 X의 사용자가 이를 확인한다(S504).When the user of the device Y requests the transfer of the domain right, when a request signal (Get domain right) is transmitted from the device Y to move the domain right from the device Y (S503), the user of the device X confirms this (S504). .
상기 단계(S504)에서 장치 X가 상기 요청를 승인한 경우 또는 장치 X의 사용자가 장치 X에 존재하고 있는 도메인 권리를 장치 Y에게 전달하고자 할 때, 장치 X는 도메인 권리와 함께 그 도메인 권리의 상태정보(단, 그 도메인 권리의 Stateful인 경우)를 장치 Y로 전달한다(S505).When the device X approves the request in step S504 or when the user of the device X wants to transfer the domain right existing in the device X to the device Y, the device X together with the domain right state information of the domain right. (However, if the stateful of the domain rights) is transferred to the device Y (S505).
그리고, 장치 Y의 사용자의 확인을 후, 장치 Y는 장치 X로부터 전달되어온 상기 도메인 권리 및 그 도메인 권리의 상태정보를 저장한다(S506). 만약 상기 단계(S506)이 성공적인 경우, 장치 Y는 성공을 알리는 신호를 장치 X에게 전달한다(S507). 그러나 만약 상기 단계(S506)이 성공적이지 않았으면, 장치 Y는 장치 X에게 실패를 알리는 신호를 전달한다.After confirming the user of the device Y, the device Y stores the domain right and the state information of the domain right that have been transferred from the device X (S506). If the step S506 is successful, the device Y transmits a signal indicating the success to the device X (S507). However, if step S506 was not successful, device Y sends a signal to device X indicating failure.
상기 단계(S507)에서 성공을 알리는 신호가 도착하였으면, 장치 X는 도메인 권리를 삭제(remove) 또는 비활성화(Disable)시킨다(S508). 또한 상기 도메인 권리가 상태기반(Stateful)인 경우에 한하여 그 도메인 권리와 관련된 상태정보도 삭제한다(S509).If a signal indicating success has arrived in step S507, the device X removes or disables the domain right (S508). In addition, only when the domain right is stateful, state information related to the domain right is also deleted (S509).
장치 Y의 사용자는 자신이 원할 때, 상기 단계(S506)에서 장치 Y에 저장된 도메인 권리를 도메인 키로 복호화 및 해석하고, 다시 그 복호화된 도메인 권리를 이용하여 보호화되어 있는 상기 콘텐츠를 제약 하에 사용할 수 있다(S510).When the user of the device Y desires, in step S506, the user of the device Y can decrypt and interpret the domain right stored in the device Y with the domain key, and again use the content protected by the decrypted domain right under the constraint. There is (S510).
이상, 도3에서 CI와 장치 A간의 인터액션과, 도4에서 장치A의 도메인 관리와, 도5에서 도메인 내 장치간 도메인 권리 이동을 분리하여 본 발명의 실시 예를 설명하였다. The embodiment of the present invention has been described by separating the interaction between the CI and the device A in FIG. 3, the domain management of the device A in FIG. 4, and the movement of domain rights between devices in the domain in FIG. 5.
이하, 도6 및 도7을 참조하여 본발명에 따른 DRM 시스템의 전체적인 동작순서의 실시 예를 설명한다. 다만, 도6의 실시 예와 도7의 실시 예 간 차이점을 보면, 도6의 실시 예는 RI가 도메인 키를 생성하여 발급하고, 이에 비하여 도7은 특정 장치(예를 들면, 장치 A)가 도메인 키를 생성하여 발급한다는 점이 서로 상이하다.Hereinafter, an embodiment of the overall operation procedure of the DRM system according to the present invention will be described with reference to FIGS. 6 and 7. However, referring to the difference between the embodiment of FIG. 6 and the embodiment of FIG. 7, the RI of FIG. 6 generates and issues a domain key, whereas FIG. 7 shows that a specific device (for example, device A) The difference is that a domain key is generated and issued.
도6은 본 발명에 따른 DRM시스템의 전체적인 동작순서를 나타낸 일 실시 예로서, RI가 도메인 키와 도메인 권리를 생성하여 장치 A로 발급하고, 장치 A가 상기 그룹 키를 소정 장치들(예를 들면, 도2에서 장치 B와 장치 C와 장치 D, 단 도6에서 장치 B만 도시됨)에 전달하여 도메인을 형성하고, 도메인 권리를 장치 B로 이동시키도록 구성된 시스템의 예이다. 다만, 도6에서 RI와 장치 A 간에 PKI 기반의 상호인증 절차가 이미 완료된 것을 전제로 한다. 따라서, RI 및 장치 A는 상호 간에 증명(Certificate)의 유효성을 검증하고 쌍방의 공개 키를 구할 수 있다. 6 is a diagram illustrating an overall operation procedure of a DRM system according to the present invention. RI generates a domain key and a domain right and issues the same to the device A, and the device A issues the group key to predetermined devices (for example, FIG. 2 is an example of a system configured to transfer to device B and device C and device D, but only device B in FIG. 6 to form a domain and to transfer domain rights to device B. FIG. However, it is assumed that the PKI-based mutual authentication procedure between the RI and the device A is already completed in FIG. 6. Therefore, the RI and the device A can mutually validate the certificate and obtain both public keys.
도6을 참조하면, RI가 장치 A에게 도메인 키와 도메인 권리 발급한다(S601). 이때 상기 도메인 키는 장치 A의 공개키로 암호화된 도메인 키에 해당하며, 또한 상기 RI가 발급하는 도메인 권리는 상기 도메인 키로 암호화된 도메인 권리이다. 한편, 상기 단계(S601)에서 도메인 키와 도메인 권리가 발급되었으나, 이들은 동시에 발급될 수도 있을 뿐만 아니라, 상기 도메인 권리는 상기 도메인 키 발급 전후 에 어느 때에 발급되어도 무방하다.Referring to FIG. 6, the RI issues a domain key and a domain right to the device A (S601). In this case, the domain key corresponds to a domain key encrypted with the public key of the device A, and the domain right issued by the RI is a domain right encrypted with the domain key. On the other hand, although the domain key and domain rights have been issued in step S601, they may be issued simultaneously, and the domain rights may be issued at any time before and after issuing the domain key.
장치 A는 RI로부터 발급받은 도메인 키(즉, 공개 키로 암호화된 도메인 키)를 자신의 비밀 키를 이용하여 복호화하고, 그 다음 그 복호화한 도메인 키를 이용하여 상기 도메인 권리(즉, 도메인 키로 암호환된 도메인 권리이다)를 복호화하여 해석한 후, 그 도메인 권리와 연관된 콘텐츠를 사용한다(S602). 여기서, 콘텐츠는 CI로부터 직접 발급받은 것일 수도 있고, RI이로부터 발급받은 것일 수 있다. 또한, 그 발급받은 시기는 상기 도메인 권리를 발급받은 이전 또는 이후일 수 있다. 또한, 상술한 바와 같이, 장치 A가 발급받은 도메인 권리에는 도메인을 생성할 수 있는 능력을 표현하는 허가는 삽입되어 있다.Device A decrypts the domain key (i.e., the domain key encrypted with the public key) issued by the RI using its secret key, and then decrypts the domain right (i.e., the domain key with the decrypted domain key). The domain right) is decrypted and interpreted, and the content associated with the domain right is used (S602). Here, the content may be directly issued from the CI, or may be issued from the RI. In addition, the issued time may be before or after the domain right is issued. In addition, as described above, the permission to express the ability to create a domain is inserted in the domain right issued by the device A.
장치 A는 상기 발급받은 도메인 권리에 포함된 허가의 제약에 기초하여 도메인을 형성하고 도메인 키를 생성한다. 그리고 장치 B가 장치 A가 생성하여 관리하는 도메인에 가입요청을 하면(S603), 장치 A의 사용자가 이를 확인하고 승인하면 그 승인의 응답으로서 도메인 키를 장치 B에게 전달한다(S604). 그러나, 만약 장치 A의 사용자가 장치 B의 가입요청을 거부한다면 거부의사를 장치 B에게 전달하고 장치 B의 사용자가 이를 확인할 수 있다. 한편, 장치 A의 사용자와 장치 B의 사용자는 동일인물일 수도 아닐 수도 있다.Device A forms a domain and generates a domain key based on the constraints of the permissions contained in the issued domain rights. When the device B requests to join the domain created and managed by the device A (S603), if the user of the device A confirms and approves it, the device B transmits the domain key to the device B in response to the approval (S604). However, if the user of device A rejects the request for subscription of device B, the rejection intention is forwarded to device B and the user of device B can confirm it. On the other hand, the user of the device A and the user of the device B may or may not be the same person.
장치 A에 있던 콘텐츠를 장치 B에 복사한다(S605). 다만, 상기 단계(S605)는 본 발명의 어느 시점에나 일어나도 상관없으며, 종래 기술의 슈퍼 디스트리뷰션(Super Distribution)에 의해 수행된다.The content existing in the device A is copied to the device B (S605). However, the step (S605) may occur at any time of the present invention, it is performed by the super distribution (Super Distribution) of the prior art.
장치 B가 장치 A에게 도메인 권리의 전달을 요청(Get 도메인 권리)한다 (S606). 그러면, 장치 A는 자신에게 존재하고 있는 도메인 권리(즉, 원본 도메인 권리)를 복사한 후, 그 복사한 도메인 권리(즉, 복사본 도메인 권리)를 장치 B로 전달된다(S607). 이때 만약 상기 도메인 권리가 상태기반 도메인 권리이라면 그 도메인 권리의 상태정보도 함께 전달된다. Device B requests device A to transfer domain rights (Get domain rights) (S606). Then, the device A copies the domain right (that is, the original domain right) existing to it, and then transfers the copied domain right (ie, the copy domain right) to the device B (S607). In this case, if the domain right is a state-based domain right, state information of the domain right is also transmitted.
상기 단계(S607)에서 전달된 도메인 권리(즉, 복사본 도메인 권리) 및 그 상태정보가 장치 B에 저장되고, 전달이 성공적이었다는 신호(즉, OK 신호)가 장치 B에서 장치 A로 전달된다(S608). The domain right (that is, the copy domain right) and the state information transferred in the step S607 are stored in the device B, and a signal (that is, an OK signal) that the transfer was successful is transmitted from the device B to the device A (S608). ).
상기 단계(S608)에서 상기 도메인 권리 및 상태정보의 전달이 성공적이었다면, 장치 A는 자신에 남아있는 도메인 권리(즉, 원본 도메인 권리)를 비활성화시키거나 삭제하며, 또한 그 도메인 권리의 상태정보도 삭제한다(S609).If the transfer of the domain right and status information was successful in step S608, the device A deactivates or deletes the domain right (that is, the original domain right) remaining in the device, and also deletes the status information of the domain right. (S609).
장치 B는 장치 A로부터 전달받은 상기 도메인 권리(여기서, 도메인 권리는 도메인 키로 암호화된 도메인 권리이다)를 상기 단계(S604)에서 발급받은 도메인 키를 이용하여 복호화하고 해석한 후, 그 복호화된 도메인 권리를 이용하여 콘텐츠(즉, 보호화된 디지털 콘텐츠)를 사용한다(S610).The device B decrypts and interprets the domain right received from the device A (where the domain right is the domain right encrypted with the domain key) using the domain key issued in step S604, and then decrypts the domain right. Using the content (that is, protected digital content) using (S610).
한편, 장치 B가 장치 A가 관리하는 도메인으로부터 탈퇴(Leave)하겠다는 신호(즉, Leave Domain)를 보내면(S611), 장치 B는 자신이 갖고 있는 도메인 권리와 그 상태정보(단, 상태정보는 도메인 권리가 Stateful인 경우에만 전달한다) 함께 장치 A로 전달한다(S612). 만약 상기 단계(S612)에서 장치 A가 도메인 권리를 비활성화시켰다면, 상기 도메인 권리의 전달 시 상기 도메인 권리의 ID만을 전달하고, 장치 A는 비활성화되었던 상기 도메인 권리를 활성화시키고 또한 상기 상태정보는 저장한다(S613).On the other hand, when the device B sends a signal to leave the domain managed by the device A (ie, Leave Domain) (S611), the device B has its own domain rights and status information (but the status information is a domain). Only when the right is Stateful), together with the device A (S612). If the device A has deactivated the domain right in step S612, only the ID of the domain right is transmitted in the transfer of the domain right, and the device A activates the deactivated domain right and also stores the state information ( S613).
상기 단계(S612 및 S613)가 성공적이었다면 장치 A는 장치 B에게 성공을 알리는 신호(즉, OK 신호)를 보내고(S614), 장치 B는 도메인 키와, 도메인 권리 및 그 상태정보를 삭제한다(S615).If the steps S612 and S613 are successful, the device A sends a signal indicating the success to the device B (that is, an OK signal) (S614), and the device B deletes the domain key, the domain right, and its status information (S615). ).
장치 A는 상기 단계(S613)에서 다시 활성화된 도메인 권리를 이용하여 관련된 콘텐츠 사용한다(S616).The device A uses the related content by using the domain right re-activated in the step S613 (S616).
상술한 도6의 실시 예를 요약하면, 장치 A가 RI와 PKI 상호인증을 거쳐서 도메인을 형성 및 도메인 키를 형성할 수 있는 능력이 도메인 권리를 발급받아 적어도 하나 이상의 타 장치를 도메인에 가입시킨다. 상기 가입된 타 장치과 도메인 키를 공유하여 도메인 권리를 이동(또는 전달)함으로써 관련된 DRM 디지털 콘텐츠를 사용한다는 것이다.Summarizing the embodiment of FIG. 6 described above, the ability of the device A to form a domain and form a domain key through RI and PKI mutual authentication is issued a domain right to join at least one or more other devices to the domain. By using the associated DRM digital content by sharing (or transferring) the domain right by sharing a domain key with other subscribed devices.
도7은 본 발명에 따른 DRM시스템의 전체적인 동작순서를 나타낸 또 다른 실시 예이다. 도7에 도시된 실시 예는, 특정 장치(예를 들면, 도7에서 장치 A)가 도메인 키를 생성하고 RI가 도메인 권리를 생성한다는 점이 도6의 실시 예와 차이가 있다. 7 is another embodiment showing the overall operation sequence of the DRM system according to the present invention. The embodiment illustrated in FIG. 7 differs from the embodiment of FIG. 6 in that a specific device (eg, device A in FIG. 7) generates a domain key and RI generates a domain right.
이하, 도7에 도시된 실시 예를 보다 상세히 설명한다. 다만, 도6의 실시 예와 마찬가지로 RI와 장치 A 간에 PKI 기반의 상호인증 절차가 이미 완료된 것을 전제로 한다. 따라서, RI 및 장치 A는 상호 간에 증명(Certificate)의 유효성을 검증하고 쌍방의 공개 키를 구할 수 있다. 또한, 도7은 상술한 실시 예와 대비되는 단계만을 부각하여 도시한 것이다. 따라서, 도7에 도시되지 않았을 지라도, 상술한 도2 내지 도6의 공통적인 내용을 포함한다. 예를 들면, 상술한 장치간 PKI 상호인증과 도6에서의 도메인 권리의 이동에 따른 일련의 과정들을 포함한다. Hereinafter, the embodiment shown in FIG. 7 will be described in more detail. However, as in the embodiment of FIG. 6, it is assumed that a PKI-based mutual authentication procedure between the RI and the device A has already been completed. Therefore, the RI and the device A can mutually validate the certificate and obtain both public keys. 7 illustrates only the steps compared with the above-described embodiment. Thus, although not shown in FIG. 7, the common contents of FIGS. 2 to 6 described above are included. For example, it includes a series of processes according to the above-described PKI mutual authentication between devices and the movement of domain rights in FIG.
도7을 참조하면, 장치 A가 도메인 키를 생성한다(S701). 이때, 상기 도메인 키는 RI의 공개 키를 이용하여 암호화된 도메인 키이다. 장치 A는 상기 생성한 도메인 키를 RI에 전달한다(S702). Referring to FIG. 7, device A generates a domain key (S701). In this case, the domain key is a domain key encrypted using a public key of RI. The device A transfers the generated domain key to the RI (S702).
RI는 상기 단계(S702)에서 전달받은 도메인 키를 이용하여 도메인 권리(즉, 도메인 도메인 권리에 해당한다)를 생성한다(S703). 즉, RI는 자신의 비밀 키로 상기 전달받은 도메인 키를 복호화하고 그 복화화된 도메인 키를 이용하여 도메인 권리를 암호화하여 생성한다. The RI generates a domain right (that is, a domain domain right) by using the domain key received in the step S702 (S703). In other words, the RI decrypts the received domain key with its secret key and encrypts the domain right using the decrypted domain key.
그리고 RI는 상기 생성한 도메인 권리(즉, 도메인키로 암호화된 도메인 권리이다)를 장치 A에 전달한다(S704). 장치 A는 상기 전달받은 도메인 권리를 도메인 키를 이용하여 복호화하여 관련 콘텐츠를 사용할 수 있다. 또한, 상술한 바와 같이 장치 A가 RI로부터 발급받은 도메인 권리에는 도메인을 형성할 수 있는 능력의 허가가 삽입되어 있다.The RI transmits the generated domain right (that is, the domain right encrypted with the domain key) to the device A (S704). The device A may use the related content by decrypting the received domain right by using a domain key. In addition, as described above, the permission of the ability of the device A to form a domain is inserted in the domain right issued by the RI.
한편, 적어도 하나 이상의 특정 장치(즉, 도메인 멤버가 될 장치로서, 도7에서 장치 C)가 장치 A가 형성한 도메인에 가입요청하면 특정 장치 사용자의 확인과정을 거친 후, 도메인 키를 전달한다(S705). 즉, 장치 A는 적어도 하나 이상의 도메인 멤버(예를 들면, 도7에서 장치 C)와 도메인 키를 공유한다. 이와 같이 특정 장치는 도메인 키를 공유함으로써, 장치 A가 형성한 도메인에 가입되는 것이다. Meanwhile, when at least one specific device (that is, a device to be a domain member, device C in FIG. 7) requests to join a domain formed by device A, the domain key is passed after the specific device user has been verified, and then the domain key is delivered. S705). That is, device A shares a domain key with at least one domain member (eg, device C in FIG. 7). In this way, the specific device is joined to the domain formed by the device A by sharing the domain key.
장치 C(즉, 도메인 멤버)가 도메인 권리를 요청하면, 장치 A는 도메인 권리 를 전달한다(S706). 이때, 상기 도메인 권리는 도메인 키로 암호화된 도메인 권리이다. 한편, 장치 C는 장치 A가 아니라 RI에 직접 요청하여 도메인 권리를 발급받을 수도 있다.If the device C (ie, domain member) requests the domain right, the device A delivers the domain right (S706). In this case, the domain right is a domain right encrypted with a domain key. On the other hand, the device C may be issued to the domain rights by directly requesting the RI rather than the device A.
도메인 멤버인 장치 C는 상기 전달받은 도메인 키(여기서, 장치 C의 개인 키로 복호화한 도메인 키이다)로 상기 도메인 권리를 복호화하고, 그 복호화한 도메인 권리를 이용하여 디지털 콘텐츠를 복호화하여 사용(또는 소비<Consume>라 함)할 수 있다(S707). The device C, which is a domain member, decrypts the domain right with the received domain key (here, the domain key decrypted with the device C's private key), and decrypts and uses (or consumes) the digital content using the decrypted domain right. <Consume>) (S707).
한편, 상기 단계(S705)에서 도메인 키의 전달은 장치 A가 도메인 키를 생성한 이후 언제라도 도메인 멤버 장치에 전달할 수 있다. 따라서, 도메인 키의 전달은 도메인 권리의 전달 이전 또는 이후에 일어날 수 있다.Meanwhile, in step S705, the domain key may be delivered to the domain member device at any time after the device A generates the domain key. Thus, the transfer of domain keys may occur before or after the transfer of domain rights.
또한, 장치 A는 도메인의 관리자로서, 도메인 키가 도메인 멤버 장치 이외의 제3 자에게 누설되었을 때, 다른 도메인 키를 재생성하고, 또한 상술한 과정에 따라 도메인 권리를 재발급한다. In addition, the device A, as the administrator of the domain, when the domain key is leaked to a third party other than the domain member device, regenerates another domain key and reissues the domain right according to the above-described procedure.
이상, 본 발명의 도면에 도시된 실시 예를 참고로 본 발명을 설명하였으나, 이는 예시적인 것에 불과하며 본 발명의 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 예를 들면, 상술한 실시 예에서, PKI 기반의 상호인증을 예시로하여 설명하였으나, 그외의 다른 암호화 알고리즘에 의한 상호인증이 적용될 수 있음은 자명하다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.The present invention has been described above with reference to the embodiments shown in the drawings of the present invention, but this is merely exemplary and various modifications and equivalent other embodiments may be made by those skilled in the art. Will understand. For example, in the above-described embodiment, PKI-based mutual authentication has been described as an example, but it is obvious that mutual authentication by other encryption algorithms may be applied. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.
본 발명은 콘텐츠 발급자(CI)로부터 특정 권리를 발급받은 사용자가 자신이 원하는 범위 내에서 여러 장치들 간에 사용권리를 이전시킬 수 있도록 함으로써, 상기 사용자가 자신이 원하는 장치에서 콘텐츠를 편리하게 사용할 수 효과가 있다. 또한, 도메인 내 장치들 간에 콘텐츠 및 도메인 권리를 공유할 수 있어 콘텐츠의 활용도를 높일 수 있는 효과가 있다.According to the present invention, a user who has received a specific right from a content issuer (CI) can transfer a right of use among various devices within a desired range of the user, so that the user can conveniently use the content in the device of his or her desired device. There is. In addition, the content and domain rights can be shared between the devices in the domain has the effect of increasing the utilization of the content.
Claims (63)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20050117242 | 2005-12-02 | ||
KR1020050117242 | 2005-12-02 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070058287A true KR20070058287A (en) | 2007-06-08 |
KR100811042B1 KR100811042B1 (en) | 2008-03-06 |
Family
ID=38355246
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060020174A KR100811042B1 (en) | 2005-12-02 | 2006-03-02 | Method and device for transferring rights object of digital contents and drm system thereo |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100811042B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100930695B1 (en) * | 2007-08-06 | 2009-12-09 | 현대자동차주식회사 | DLM system and DRM contents management method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100386240B1 (en) * | 2001-03-31 | 2003-06-02 | 엘지전자 주식회사 | Digital content storing method for digital broadcast receiver |
JP2002329026A (en) | 2001-05-02 | 2002-11-15 | Denzo Yamakawa | Contents reproduction method, reproduction system, and program |
-
2006
- 2006-03-02 KR KR1020060020174A patent/KR100811042B1/en not_active IP Right Cessation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100930695B1 (en) * | 2007-08-06 | 2009-12-09 | 현대자동차주식회사 | DLM system and DRM contents management method |
Also Published As
Publication number | Publication date |
---|---|
KR100811042B1 (en) | 2008-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100567827B1 (en) | Method and apparatus for managing digital rights using portable storage device | |
EP1714459B1 (en) | Accessing protected data on network storage from multiple devices | |
KR100736099B1 (en) | Method and device for moving digital right objects and using contents objects | |
EP2912800B1 (en) | Methods and apparatus for data access control | |
US8180709B2 (en) | Method and device for consuming rights objects having inheritance structure in environment where the rights objects are distributed over plurality of devices | |
KR100981419B1 (en) | Method of joining in a user domain, and method of exchanging information therein | |
CN101094062B (en) | Method for implementing safe distribution and use of digital content by using memory card | |
KR20130044366A (en) | User based content key encryption for a drm system | |
MX2007008541A (en) | Method for moving a rights object between devices and a method and device for using a content object based on the moving method and device. | |
EP2323065A1 (en) | Method and device of sharing license between secure removable media | |
US20090180617A1 (en) | Method and Apparatus for Digital Rights Management for Removable Media | |
Mell et al. | Smart contract federated identity management without third party authentication services | |
JP2003296484A (en) | Server device, terminal device, storage device, and communication system | |
WO2007086015A2 (en) | Secure transfer of content ownership | |
WO2022148182A1 (en) | Key management method and related device | |
CN113360886B (en) | Method, device and equipment for sharing encrypted data and readable medium | |
US20080313085A1 (en) | System and method to share a guest version of rights between devices | |
US20090180621A1 (en) | Adaptive secure authenticated channels for direct sharing of protected content between devices | |
EP1843274B1 (en) | Digital rights management system | |
KR102385328B1 (en) | Method and System of Digital Rights Management | |
CN101118579A (en) | Verification permissive method and system | |
CN100518060C (en) | Method for protection of encipherment of digital document as well as client terminal equipment | |
KR100811042B1 (en) | Method and device for transferring rights object of digital contents and drm system thereo | |
CN102236753A (en) | Rights management method and system | |
JP2010004379A (en) | Key management method and key management apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130128 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20140124 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20150213 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20160122 Year of fee payment: 9 |
|
LAPS | Lapse due to unpaid annual fee |