DE60126874T2

DE60126874T2 - Vorrichtung und verfahren zur informationsverarbeitung

Info

Publication number: DE60126874T2
Application number: DE60126874T
Authority: DE
Inventors: Ryuji c/o Sony Corporation ISHIGURO; Yoshitomo c/o SONY CORPORATION OSAWA; Tateo c/o SONY CORPORATION OISHI; Tomoyuki c/o SONY CORPORATION ASANO; Atsushi c/o SONY CORPORATION MITSUZAWA
Original assignee: Sony Corp
Current assignee: Sony Corp
Priority date: 2000-04-06
Filing date: 2001-04-02
Publication date: 2007-10-31
Anticipated expiration: 2021-04-03
Also published as: HK1052417A1; DE60126874D1; CN1383644A; WO2001078298A8; AU780325C; AU780325B2; NO20015908D0; US7443984B2; ATE355671T1; KR100746880B1; TW518871B; US20020136411A1; NO332239B1; NO20015908L; EP1187390A4; CN100417064C; WO2001078298A1; KR20020026284A; JP2001352321A; AU4470901A

Description

TECHNISCHES GEBIET
Die vorliegende Erfindung betrifft ein Informationsverarbeitungssystem, ein Informationsverarbeitungsverfahren, ein Informationsaufzeichnungsmedium und ein Programmverteilungsmedium und insbesondere ein System und ein Verfahren zum Verteilen eines Schlüssels für einen Verschlüsselungsprozeß in einem System, das einen Verschlüsselungsprozeß umfaßt. Die Erfindung betrifft insbesondere ein Informationsverarbeitungssystem, ein Informationsverarbeitungsverfahren, ein Informationsaufzeichnungsmedium und ein Programmverteilungsmedium.
STAND DER TECHNIK
Neuerdings werden verschiedene (im folgenden als Inhalte bezeichnete) Softwaredaten, wie Spielprogramme, Sprachdaten, Bilddaten usw. aktiv über ein Netz oder umlauffähige Speichermittel, wie DVD, CD usw. in Umlauf gebracht. Diese Umlaufinhalte werden durch Datenempfang mittels eines PC (Personalcomputer), der Eigentum eines Benutzer ist, oder mittels eines Spielgeräts oder durch das Einlegen eines Speichermediums reproduziert oder sie werden in der Aufzeichnungsvorrichtung eines Aufzeichnungs- und Wiedergabegeräts gespeichert, das an einen PC oder dgl. angeschlossen ist, z.B. einer Speicherkarte, einer Festplatte und dgl., wobei die Inhalte benutzt werden, indem sie von dem Speichermedium erneut reproduziert werden.
Informationsgeräte, wie Videospielgeräte, PCs und dgl. besitzen ein Interface für den Empfang der Umlaufinhalte aus einem Netzwerk oder für den Zugriff auf eine DVD, CD und dgl., und besitzen außerdem eine für das Reproduzieren der Inhalte benötigte Steuereinrichtung sowie RAMs, ROMs und dgl., die als Speicherregion für Programme und Daten benutzt werden.
Verschiedene Inhalte, wie Musikdaten, Bilddaten oder Programme werden von einem Speichermedium durch Benutzerbefehle aus dem als Wiedergabegerät benutzten Informationsgerät, wie einem Spielgerät, einem PC und dgl., oder durch Benutzerbefehle über eine angeschlossene Eingabeeinrichtung abgerufen und durch ein angeschlossenes Informationsgerät oder eine Anzeigeeinrichtung, einen Lautsprecher und dgl. reproduziert.
Die Vertriebsrechte vieler Softwareinhalte, wie Spielprogramme, Musikdaten, Bilddaten und dgl., liegen im allgemeinen bei den Eigentümern und Verkaufsagenten. Deshalb gibt es bei dem Vertrieb dieser Inhalte bestimmte Nutzungsbeschränkungen, d.h. die Benutzung von Software ist nur rechtmäßigen Nutzern erlaubt, so daß keine Wiedergabe ohne Erlaubnis stattfindet. Das heißt allgemein, es wird eine Struktur benutzt, die der Sicherheit Rechnung trägt.
Eine Prozedur zur Realisierung der Nutzungsbeschränkung für Benutzer ist ein Prozeß zum Verschlüsseln von vertriebenen Inhalten. Verschiedene Inhalte z.B., wie Sprachdaten, Bilddaten, Spielprogramme und dgl. werden über Internet oder dgl. vertrieben, und Mittel zum Entschlüsseln der vertriebenen verschlüsselten Inhalte, d.h. ein Entschlüsselungsschlüssel wird nur an Personen abgegeben, die als rechtmäßige Benutzer bestätigt werden.
Verschlüsselte Daten können durch einen Entschlüsselungsprozeß entsprechend der vorbestimmten Prozedur in entschlüsselte Daten zurückgeführt werden, die dann benutzt werden können. Datenverschlüsselung, die einen Entschlüsselungsschlüssel für den Entschlüsselungsprozeß benutzt, und ein Entschlüsselungsverfahren, das einen Verschlüsselungsschlüssel für den Verschlüsselungsprozeß der Information benutzt, wie dies oben beschrieben wurde, sind allgemein bekannt.
Es gibt vielfältige Formen von Datenverschlüsselungs- und -entschlüsselungsverfahren, die einen Verschlüsselungsschlüssel und einen Entschlüsselungsschlüssel benutzen. Als eines der Beispiele hierfür sei das sogenannte Common-Key-Verschlüsselungssystem erwähnt. In dem Common-Key-Verschlüsselungssystem, bei dem ein für die Datenverschlüsselung benutzter Verschlüsselungsschlüssel und ein für die Datenentschlüsselung benutzter Entschlüsselungsschlüssel gemeinsam benutzt werden, wird ein für die Verschlüsselung und die Entschlüsselung benutzter gemeinsamer Schlüssel [Common Key] einem berechtigten Benutzer gegeben, um so den Datenzugriff durch einen unberechtigten Benutzer auszuschließen. Ein typisches System dieser Art ist DES (Data Encryption Standard).
Der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel, die, wie oben beschrieben, für die Verschlüsselungsverarbeitung und die Entschlüsselung benutzt werden, können z.B. gewonnen werden, indem eine unidirektionale Funktion, wie eine Hash-Funktion auf der Basis eines Paßworts oder dgl. angewendet wird. Die hier genannte unidirektionale Funktion ist eine Funktion, bei der es sehr schwierig ist, aus einer Ausgangsgröße eine inverse Eingangsgröße zu gewinnen. Die unidirektionale Funktion wird z.B. mit einem von einem Benutzer als Eingangsgröße festgelegten Paßwort angewendet, und der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel werden auf der Basis der Ausgangsgröße erzeugt. Es ist praktisch unmöglich, aus dem Verschlüsselungsschlüssel und dem Entschlüsselungsschlüssel, die auf diese Weise gewonnen werden, umgekehrt ein Paßwort zu gewinnen, das eine originale Größe hiervon darstellt.
Ein System, das die Verarbeitung durch einen für die Verschlüsselung benutzten Verschlüsselungsschlüssel und die Verarbeitung durch einen für die Entschlüsselung benutzten Entschlüsselungsschlüssel mit unterschiedlichem Algorithmus durchführt, ist ein sogenanntes Public-Key-Verschlüsselungssystem. Das Public-Key-Verschlüsselungssystem ist ein Verfahren, das einen öffentlichen Schlüssel benutzt, der von einem unspezifischen Benutzer benutzt werden kann, wobei bezüglich eines verschlüsselten Dokuments für ein spezifisches Individuum die Verschlüsselung unter Benutzung eines von dem spezifischen Individuum herausgegebenen öffentlichen Schlüssels durchgeführt wird. Das mit dem öffentlichen Schlüssel verschlüsselte Dokument kann nur mit Hilfe eines privaten Schlüssels, der dem für die Verschlüsselung benutzten öffentlichen Schlüssel entspricht, entschlüsselt werden. Der private Schlüssel befindet sich nur im Besitz des Individuums, das den öffentlichen Schlüssel herausgegeben hat, und das mit dem öffentlichen Schlüssel verschlüsselte Dokument kann nur von dem Individuum entschlüsselt werden, das den privaten Schlüssel besitzt. Ein typisches Public-Key-Verschlüsselungssystem ist die RSA-(Revest-Shamir-Adleman)-Verschlüsselung. Wenn man ein solches Verschlüsselungssystem benutzt, kann man ein System zur Verfügung stellen, bei dem verschlüsselte Inhalte nur von einem befugten Benutzer entschlüsselt werden können.
Das Inhalts-Verteilungssystem, wie es oben beschrieben wurde, benutzt viele Strukturen, in denen Inhalte verschlüsselt und in Aufzeichnungsmedien, wie einem Netzwerk, oder DVD, CD und dgl. gespeichert werden, um sie für Benutzer zur Verfügung zu stellen und einen Inhaltsschlüssel zum Entschlüsseln der verschlüsselten Inhalte nur an einen berechtigten Benutzer zu liefern. Es wird eine Struktur vorgeschlagen, bei der ein Inhaltsschlüssel zum Verhindern unerlaubter Kopien des Inhaltsschlüssels selbst, verschlüsselt wird, um ihn an einen berechtigten Benutzer zu liefern, und bei der ein verschlüsselter Inhaltsschlüssel mit Hilfe eines Entschlüsselungsschlüssels entschlüsselt wird, den nur der berechtigte Benutzer besitzt, um die Benutzung des Inhaltsschlüssels zu ermöglichen.
Die Beurteilung, ob ein Benutzer berechtigt ist oder nicht, erfolgt im allgemeinen durch einen Authentifizierungsprozeß vor der Verteilung von Inhalten oder Inhaltsschlüsseln, z.B. zwischen einem Inhalte-Provider, der ein Sender von Inhalten ist, und einem Benutzergerät. Bei einem generellen Authentifizierungsprozeß wird die Bestätigung eines passenden Teilnehmers durchgeführt, und es wird ein Sitzungsschlüssel erzeugt, der nur für die Kommunikation wirksam ist. Wenn die Authentifizierung durchgeführt wird, werden Daten, z.B. Inhalte oder ein Inhaltsschlüssel, mit Hilfe des für die Kommunikation erzeugten Sitzungsschlüssels verschlüsselt. Das Authentifizierungssystem umfaßt eine gegenseitige Authentifizierung mit Hilfe eines Common-Key-Verschlüsselungssystems und ein Authentifizierungssystem, das ein Public-Key-System benutzt. Bei der Authentifizierung mit Hilfe eines gemeinsamen Schlüssels ist ein systemweiter gemeinsamer Schlüssel erforderlich, was bei einem Erneuerungsprozeß unbequem ist. Weiterhin erfordert das Public-Key-System großen Rechenaufwand, und die benötigte Speichermenge wächst, und es ist unerwünscht, solche Verarbeitungsmittel in jedem Gerät vorzuhalten.
Das Dokument D1, 'The versakey framework: versatile group key management', "IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS", 17/9/00-09-1999, 1614–1631, XP002941560, und das Dokument D2 'Secure Group Communications Using Key Graphs', "Department of Computer Sciences University of Texas at Austin", 09-1998, 68–79, XP002941561 beschreiben jeweils ein Informationsverarbeitungssystem mit einer Gruppe von Informationsverarbeitungsgeräten, die in einer hierarchischen Baumstruktur organisiert sind, die eine Mehrzahl von Endknoten aufweist, die über einen oder mehrere Zwischenknoten mit einem oberen Knoten verbunden sind, wobei jedes Gerät einem Knoten entspricht und jedes Gerät Verarbeitungsmittel aufweist, die einen Schlüsselsatz speichern, der einen für dieses Gerät eindeutigen Knotenschlüssel, den Wurzelschlüssel des obersten Knotens und die Knotenschlüssel von jedem der Geräte in einem direkten Pfad zwischen dem Knoten des Geräts und dem obersten Knoten umfaßt, wobei die Verarbeitungsmittel betreibbar sind, um verschlüsselte Daten, die an das Gerät ausgegeben werden, mit Hilfe des genannten Schlüsselsatzes zu entschlüsseln. Beide Dokumente beschreiben lediglich die Verwaltung von Schlüsseln in der Gruppe von Knoten. D2 beschreibt die Erzeugung von Nachrichten, die für die Lieferung von neuen Schlüsselsätzen an Knoten benutzt werden. Jedem Knoten, der einen neuen Schlüsselsatz anfordert, werden neue Schlüssel zugesendet, die mit dem alten Schlüssel dieses Knotens verschlüsselt sind.
Es ist ein Ziel der vorliegenden Erfindung, ein Informationsverarbeitungssystem, ein Informationsverarbeitungsverfahren, ein Informationsaufzeichnungsmedium und ein Programmverteilungsmedium zur Verfügung zu stellen, die es ermöglichen, Daten sicher zu einem berechtigen Benutzer zu senden.
Aspekte der Erfindung sind in den Ansprüchen angegeben, auf die hiermit verwiesen werden soll.
Weitere Ziele, Merkmale und Vorteile der Erfindung werden aus der folgenden detaillierten Beschreibung erkennbar, die auf die Ausführungsbeispiele und die anliegenden Zeichnungen der Erfindung Bezug nimmt.
KURZE BESCHREIBUNG DER ZEICHNUNGEN
1 zeigt ein Beispiel eines Informationsverarbeitungssystems gemäß der Erfindung,
2 zeigt ein Blockdiagramm eines Beispiels für ein Aufzeichnungs- und Wiedergabegerät zur Benutzung in dem Informationsverarbeitungssystem gemäß der Erfindung,
3 zeigt eine Baumstruktur zur Erläuterung der Verschlüsselungsverarbeitung verschiedener Schlüssel und Daten in dem Informationsverarbeitungssystem gemäß der Erfindung,
4A und 4B zeigen jeweils ein Beispiel für einen Aktivierungsschlüsselblock (EKB), der bei der Verteilung verschiedener Schlüssel und Daten in dem Informationsverarbeitungssystem gemäß der Erfindung benutzt wird,
5 zeigt die Verteilung eines Inhaltsschlüssels mit Hilfe des Aktivierungsschlüsselblocks (EKB) und seine Entschlüsselung in dem Informationsverarbeitungssystem gemäß der Erfindung,
6 zeigt ein Beispiel für ein Format eines Aktivierungsschlüsselblocks (EKB) in dem Informationsverarbeitungssystem gemäß der Erfindung,
7A bis 7C zeigen Darstellungen zur Erläuterung der Struktur einer Marke [eines Tags] eines Aktivierungsschlüsselblocks (EKB) in dem Informationsverarbeitungssystem gemäß der Erfindung,
8A und 8B zeigen einen Aktivierungsschlüsselblock (EKB) und ein Beispiel für eine Datenstruktur zum Verteilen von Inhaltsschlüsseln und Inhalten in dem Informationsverarbeitungssystem gemäß der Erfindung,
9 zeigt ein Beispiel für die Verarbeitung in einem Gerät bei der Verteilung eines Aktivierungsschlüsselblocks (EKB), von Inhaltsschlüsseln und Inhalten in dem Informationsverarbeitungssystem gemäß der Erfindung,
10 zeigt einen Aktivierungsschlüsselblock (EKB) und einen Inhalt, die auf demselben Aufzeichnungsmedium gespeichert sind, in dem Informationsverarbeitungsystem gemäß der Erfindung,
11A zeigt ein herkömmliches System zum Senden verschlüsselter Inhalte in einem Informationsverarbeitungssystem,
11B zeigt ein System gemäß der Erfindung zum Senden von verschlüsselten Inhalten und eines Aktivierungsschlüsselblocks (EKB),
12 zeigt eine Authentifizierungs-Verarbeitungssequenz nach einem anwendbaren Common-Key-Verschlüsselungssystem in dem Informationsverarbeitungssystem gemäß der Erfindung,
13 zeigt eine Ansicht (1) mit einem Aktivierungsschlüsselblock (EKB), einer Datenstruktur zum Verteilen eines Authentifizierungsschlüssels sowie ein Beispiel für die Verarbeitung durch ein Gerät in dem Informationsverarbeitungssystem gemäß der Erfindung,
14 zeigt eine Ansicht (2) mit einem Aktivierungsschlüsselblock (EKB), einer Datenstruktur zum Verteilen eines Authentifizierungsschlüssels sowie ein Beispiel für die Verarbeitung durch ein Gerät in dem Informationsverarbeitungssystem gemäß der Erfindung,
15 zeigt eine Ansicht einer Authentifizierungs-Verarbeitungssequenz durch ein Public-Key-Verschlüsselungssystem, die in dem Informationsverarbeitungssystem gemäß der Erfindung anwendbar ist,
16 zeigt eine Ansicht eines Prozesses zur Verteilung eines Aktivierungsschlüsselblocks (EKB) und von Inhaltsschlüsseln mit Hilfe des Authentifizierungsprinzips durch ein Public-Key-Verschlüsselungssystem in der Erfindung,
17 zeigt eine Ansicht eines Prozesses zum Verteilen eines Aktivierungsschlüssefblocks (EKB) und von verschlüsselten Programmdaten in dem Informationsverarbeitungssystem gemäß der Erfindung,
18 zeigt eine Ansicht eines Beispiels für eine in der Erfindung anwendbare Erzeugung von MAC-Werten, die bei der Erzeugung eines Inhalts-Integritätsprüfwerts (ICV) benutzt werden,
19 zeigt eine Ansicht (1) mit einer Datenstruktur für die Verteilung eines Aktivierungsschlüsselblocks (EKB) und eines ICV-Erzeugungsschlüssels sowie ein Beispiel für die Verarbeitung in einem Gerät in dem Informationsverarbeitungssystem gemäß der Erfindung,
20 zeigt eine Ansicht (2) mit einer Datenstruktur für die Verteilung eines Aktivierungsschlüsselblocks (EKB) und eines ICV-Erzeugungsschlüssels sowie ein Beispiel für die Verarbeitung in einem Gerät in dem Informationsverarbeitungssystem gemäß der Erfindung,
21A und 21B zeigen jeweils Ansichten zur Erläuterung einer Kopierschutzfunktion in der vorliegenden Erfindung, wobei ein anwendbarer Inhalts-Integritätsprüfwert (ICV) in einem Medium gespeichert ist,
22 zeigt eine Ansicht zur Erläuterung eines Systems zur Steuerung eines anwendbaren Inhalts-Integritätsprüfwerts (ICV) getrennt von einem Inhaltsspeichermedium in der vorliegenden Erfindung,
23 zeigt eine Ansicht zur Erläuterung eines Beispiels einer Kategorieklassifizierung einer hierarchischen Baumstruktur in dem Informationsverarbeitungssystem gemäß der Erfindung.
[Systemdesign]
1 zeigt ein Beispiel für ein Inhaltsverteilungssystem, bei dem das Datenverarbeitungssystem gemäß der Erfindung angewendet werden kann. Die Inhaltsverteilungsseite 10 sendet einen verschlüsselten Inhalt oder Inhaltsschlüssel an verschiedene Inhaltswiedergabegeräte auf der Inhaltsempfangsseite 20. Das Gerät auf der Inhaltsempfangsseite 20 entschlüsselt einen empfangenen verschlüsselten Inhalt oder Inhaltsschlüssel, um einen Inhalt oder einen Inhaltsschlüssel zu gewinnen, und reproduziert Bilddaten und Sprachdaten oder führt verschiedene Programme aus. Der Datenaustausch zwischen der Inhaltsverteilungsseite 10 und der Inhaltsempfangsseite 20 erfolgt über ein Netzwerk, wie das Internet, oder über ein Aufzeichnungsmedium, wie DVD, CD.
Die Datenverteilungsmittel auf der Inhaltsverteilungsseite 10 umfassen das Internet 11, einen Rundfunksatelliten 12, eine Telefonschaltung 13, Medien 14, wie DVD, CD usw.. Die Geräte auf der Inhaltsempfangsseite 20 umfassen einen Personalcomputer (PC), tragbare Apparaturen 23, wie ein tragbares Gerät (PD), ein tragbares Telefon, einen PDA (Personal Digital Assistant) usw., ferner eine Aufzeichnungs- und Wiedergabeeinheit 24, wie DVD-, CD-Player, und eine Nurwiedergabe-Einheit 25, wie eine Spielkonsole. In diesen Geräten auf der Inhaltsempfangsseite 20 werden die von der Inhaltsverteilungsseite 20 verteilten Inhalte aus Kommunikationsmitteln, wie einem Netzwerk, oder von Medien 30 gewonnen.
[Gerätestruktur]
2 zeigt ein Blockdiagramm einer Aufzeichnungs- und Wiedergabevorrichtung 100 als Beispiel für ein Gerät auf der in 1 dargestellten Inhaltsempfangsseite 20. Die Aufzeichnungs- und Wiedergabevorrichtung 100 besitzt ein Eingabe-/Ausgabe-I/F-(Interface) 120, einen MPEG-(Moving Picture Experts Group)-Codec 130, ein I/F (Interface) 140 mit einem A/D-, D/A-Wandler 141, ferner eine Verschlüsselungseinrichtung 150, ein ROM (Nurlesespeicher) 160, eine CPU (zentrale Verarbeitungseinheit) 170, einen Speicher 180 und ein Laufwerk 190 für ein Aufzeichnungsmedium 195, die über einen Bus 110 miteinander verbunden sind.
Das Eingabe-/Ausgabe-I/F 120 empfängt ein digitales Signal, das verschiedene Inhalte repräsentiert, z.B. ein Bild, Sprache, ein Programm usw., die von außen zugeführt wer den, und gibt es an den Bus 110 aus, und empfängt ferner ein digitales Signal von dem Bus 110, um dieses nach außen auszugeben. Der MPEG-Codec 130 entschlüsselt MPEG-codierte Daten, die über den Bus 110 zugeführt werden, um sie an das Eingabe-/Ausgabe-Interface 140 auszugeben, und unterzieht ein aus dem Eingabe-/Ausgabe-IF 140 zugeführtes digitales Signal einer MPEG-Entschlüsselung, um es an den Bus 110 auszugeben. Das Eingabe-/Ausgabe-Interface 140 enthält einen A/D-, D/A-Wandler 141. Das Eingabe-/Ausgabe-Interface 140 empfängt ein analoges Signal als einen von außen zugeführten Inhalt, das in dem A/D-, D/A-Wandler 141 einer A/D-(Analog/Digital)-Wandlung unterzogen wird, so daß das Signal als digitales Signal an den MPEG-Codec 130 ausgegeben wird, während ein digitales Signal aus dem MPEG-Codec 130 in dem A/D-, D/A-Wandler 141 einer D/A-(Digital/Analog)-Wandlung unterzogen und als analoges Signal nach außen ausgegeben wird.
Die Verschlüsselungseinrichtung 150 weist z.B. einen LSI-(Large-Scale-Integrated-Circuit)-Chip auf, um ein Verschlüsselungs-, Entschlüsselungsverarbeitung oder eine Authentifizierungsverarbeitung eines digitalen Signals als einem über den Bus 110 zugeführten Inhalt durchzuführen, und gibt verschlüsselte Daten und entschlüsselte Daten an den Bus 110 aus. Die Verschlüsselungseinrichtung 150 kann nicht nur durch den einen LSI-Chip sondern auch durch eine Kombination aus verschiedener Software oder Hardware realisiert werden. Die Struktur der aus der Softwarekonfiguration gebildeten Verarbeitungseinrichtung wird weiter unten beschrieben.
Das ROM 160 speichert von der Aufzeichnungs- und Wiedergabevorrichtung verarbeitete Programmdaten. Die CPU 170 führt in dem ROM 160 und dem Speicher 180 gespeicherte Programme aus, um dadurch den MPEG-Codec 130 und die Verschlüsselungseinrichtung 150 zu steuern. Der Speicher 180 ist z.B. ein nichtflüchtiger Speicher, der ein Programm speichert, das von der CPU 170 ausgeführt wird, ferner Daten, die für den Betrieb der CPU 170 benötigt werden, sowie einen Schlüsselsatz, der bei der von dem Gerät ausgeführten Verschlüsselungsverarbeitung benutzt wird. Der Schlüsselsatz wird weiter unten erläutert. Das Laufwerk 190 treibt das zum Aufzeichnen und Wiedergeben von digitalen Daten geeignete Aufzeichnungsmedium 195 an, um dadurch digitale Daten von dem Aufzeichnungsmedium 195 auszulesen (zu reproduzieren) und sie an den Bus 110 auszugeben, und liefert digitale Daten, die über den Bus 110 zugeführt werden, zum Aufzeichnen an das Aufzeichnungsmedium 195.
Das Aufzeichnungsmedium 195 ist ein Medium, das digitale Daten speichern kann, z.B. eine optische Platte, wie eine DVD, eine CD, eine opto-magnetische Platte, eine magnetische Platte, ein Magnetband oder ein Halbleiterspeicher, wie ein RAM. In dem vorliegenden Ausführungsbeispiel kann das Medium lösbar auf dem Laufwerk 190 angeordnet werden. Das Aufzeichnungsmedium 195 kann jedoch auch in der Aufzeichnungs- und Wiedergabevorrichtung 100 eingebaut sein.
Die in 2 dargestellte Verschlüsselungseinrichtung 150 kann als ein einziger LSI-Chip ausgebildet sein und eine Struktur benutzen, die aus einer Kombination von Software und Hardware realisiert wird.
[Baumstruktur als Schlüsselverteilungsanordnung]
Als Nächstes werden anhand von 3 die Struktur zum Halten eines Verschlüsselungsverarbeitungsschlüssel in jedem Gerät und eine Datenverteilungsanordnung beschrieben, in der verschlüsselte Daten von der in 1 dargestellten Inhaltsverteilungsseite 10 an jedes Gerät auf der Inhaltsempfangsseite 20 verteilt werden.
Die in der untersten Stufe von 3 dargestellten Zahlen 0 bis 15 bezeichnen individuelle Geräte auf der Inhaltsempfangsseite 20. Das heißt, jedes Blatt der in 3 dargestellten hierarchischen Baumstruktur entspricht einem Gerät.
Jedes der Geräte 0 bis 15 speichert einen Schlüsselsatz, der einen diesem (auch als Blatt bezeichneten) Gerät zugeteilten Blattschlüssel sowie einen allen Knoten auf dem direkten Pfad von diesem Blatt zu der Wurzel in dem hierarchischen Baum von 3 zugeteilten Schlüssel umfaßt, wobei dieser Schlüsselsatz bei der Herstellung oder beim Versand oder später zugeteilt wird. Die in der untersten Stufe von 3 dargestellten Bezeichnungen K0000 bis K1111 sind Blattschlüssel, die den Geräten 0 bis 15 zugeteilt sind. Die Schlüssel von KR bis K111, die in dem von der untersten Stufe aus zweiten Knoten angeschrieben sind, sind Knotenschlüssel.
In der in 3 dargestellten Baumstruktur hat z.B. ein Gerät oder Blatt 0 den Blattschlüssel K0000 und die Knotenschlüssel K000, K00, K0, KR. Ein Gerät 5 hat Schlüssel K0101, K010, K01, K0, KR. Ein Gerät 15 hat die Schlüssel K1111, K111, K11, K1, KR. In dem Baum von 3 sind nur 16 Geräte 0 bis 15 beschrieben, und die Baumstruktur ist als eine symmetrische vierstufige Struktur dargestellt. Es können jedoch sehr viel mehr Geräte in dem Baum vorgesehen sein, und die Teile des Baums können eine andere Zahl von Stufen haben.
Jedes in der Baumstruktur von 3 enthaltene Gerät weist verschiedene Aufzeichnungsmedien auf, z.B. DVD, CD, MD vom eingebetteten Typ oder vom an dem Gerät lösbar angebrachten Typ, oder Geräte unterschiedlicher Typen, die einen Flashspeicher oder dgl. benutzen. Außerdem ist eine Koexistenz verschiedener Anwendungsdienste möglich. Zusätzlich zu der koexistierenden Struktur mit verschiedenen Geräten und verschiedenen Anwendungen wird die in 3 dargestellte hierarchische Baumstruktur angewendet, die ein Inhalts- oder Schlüsselverteilungssystem bildet.
In dem System, in dem verschiedene Geräte und Anwendungen koexistieren, ist ein Teil, der in 3 von der gestrichelten Linie umschlossen wird, d.h. die Geräte 0, 1, 2 und 3 umfaßt, als eine einzelne Gruppe gesetzt, die das gleiche Aufzeichnungsmedium benutzen. So wird z.B. für ein Gerät, das in der von der gestrichelten Linie umschlossenen Gruppe enthalten ist, eine Verarbeitung durchgeführt, bei der ein gemeinsamer Inhalt verschlüsselt und von einem Provider gesendet wird, ein von Geräten gemeinsam benutzter Inhaltsschlüssel gesendet wird oder Zahlungsdaten für Inhaltsrechnungen ebenfalls verschlüsselt und von jedem Gerät an einen Provider oder einer Abrechnungsorganisation gesendet werden. Die Organisation zur Durchführung des Sendens und Empfangens von Daten zu den und von den Geräten, wie ein Inhalte-Provider oder eine Abrechnungsorganisation, führt die Verarbeitung durch zum Senden oder zum Empfang von Daten zu dem bzw. von dem von der gestrichelten Linie umschlossenen Teil in 3 als einer Gruppe, die die Geräte 0, 1, 2, 3 umfaßt. In dem Baum von 3 gibt es mehrere solche Gruppen. Die Organisation für die Durchführung des Sendens und Empfangens von Daten zu den und von den Geräten, wie ein Inhalte-Provider oder eine Abrechnungsorganisation fungiert als Nachrichtendatenverteilungseinrichtung.
Knotenschlüssel und Blattschlüssel können kollektiv von einem einzigen Schlüsselsteuerungszentrum gesteuert werden, oder sie können von einer Nachrichtendatenverteilungseinrichtung, wie einem Provider oder einer Abrechnungsorganisation, für jede Gruppe gesteuert werden, um das Senden/Empfangen verschiedener Daten für die Gruppen durchzuführen. Die Knotenschlüssel und Blattschlüssel werden einer Erneuerungsprozedur unterzogen, wenn ein Schlüssel unsicher geworden ist. Diese Erneuerungsprozedur wird von einem Schlüsselsteuerungszentrum, einem Provider oder einer Abrechnungsorganisation durchgeführt.
Wie aus 3 ersichtlich ist, halten in dieser Baumstruktur drei Geräte 0, 1, 2, 3, die in einer Gruppe enthalten sind, die Knotenschlüssel K00, K0, KR gemeinsam. Durch die Benutzung dieses gemeinsamen Knotenschlüssels kann ein gemeinsamer Inhaltsschlüssel nur an die Geräte 0, 1, 2, 3 verteilt werden. Wenn z.B. der gemeinsam gehaltene Knotenschlüssel K00 selbst als Inhaltsschlüssel gesetzt ist, können die Geräte 0, 1, 2, 3 ihn als gemeinsamen Inhaltsschlüssel benutzen, ohne daß die Nachrichtendaten-Verteilungseinrichtung einen neuen Schlüssel sendet. Falls ein Wert Enc(K00, Kcon), der durch das Verschlüsseln eines neuen Inhaltsschlüssels Kcon mit dem Knotenschlüssel K00 gewonnen wird, über ein Netz an die Geräte 0, 1, 2, 3 verteilt wird oder in dem Aufzeich nungsmedium gespeichert wird, können nur die Geräte 0, 1, 2, 3 den verschlüsselten Inhaltsschlüssel Enc(K00, Kcon) mit Hilfe des gemeinsamen Knotenschlüssels K00 entschlüsseln, der in den jeweiligen Geräten gehalten wird, um den Inhaltsschlüssel Kcon zu erhalten. Der Ausdruck "Enc(Ka, Kb)" bezeichnet Daten, in denen Kb durch Ka verschlüsselt ist.
Wenn zur Zeit t Schlüssel : K0011, K001, K00, K0, KR, die im Besitz des Geräts 3 sind, von einem Hacker analysiert und dann exponiert werden, muß das Gerät 3 von dem System getrennt werden, um die Daten zu schützen, die zu/von der Gruppe von Geräten 0, 1, 2, 3 gesendet/empfangen werden. Zu diesem Zweck werden die Knotenschlüssel K001, K00, K0, KR zu neuen Schlüsseln (K(t)001, K(t)00, K(t)0, K(t)R erneuert, und diese erneuerten Schlüssel werden den Geräten 0, 1, 2 mitgeteilt. K(t)aaa bezeichnet hier einen Erneuerungsschlüssel von Kaaa der Generation : t.
Im folgenden wird die Verteilung von Erneuerungsschlüsseln beschrieben. Die Erneuerung eines Schlüssels wird durchgeführt, indem eine Tabelle, die aus den in 4A dargestellten als Aktivierungsschlüsselblock (EKB: Enabling Key Block) bezeichneten Blockdaten besteht, z.B. in einem Netzwerk oder in einem Aufzeichnungsmedium gespeichert wird, um sie an die Geräte 0, 1, 2 zu liefern.
Der Aktivierungsschlüsselblock (EKB) wird mitunter auch als Schlüsselerneuerungsblock (KRB: Key Renewal Block) bezeichnet.
Der in 4A dargestellte Aktivierungsschlüsselblock (EKB) liefert Daten nur an die Geräte, in denen ein Knotenschlüssel erneuert werden muß. Das Beispiel von 4A und 4B zeigt für die Geräte 0, 1 und 2 in der Baumstruktur von 3 Blockdaten, die zum Zweck der Verteilung eines Erneuerungsknotenschlüssels der Generation t gebildet werden. Wie aus 3 ersichtlich ist, benötigen das Gerät 0 und das Gerät 1 die Schlüssel K(t)00, K(t)0, K(t)R als Erneuerungsknotenschlüssel, und das Gerät 2 benötigt die Schlüssel K(t)001, K(t)00, K(t)0, K(t)R als Erneuerungsknotenschlüssel.
Wie in dem EKB von 4A dargestellt ist, enthält der EKB mehrere verschlüsselte Schlüssel. Der verschlüsselte Schlüssel in der untersten Stufe ist Enc(K0010, K(t)001). Dies ist ein Erneuerungsschlüssel K(t)001, der durch einen Blattschlüssel K0010 des Geräts 2 verschlüsselt ist, und das Gerät 2 ist in der Lage, diesen verschlüsselten Schlüssel durch seinen Blattschlüssel zu entschlüsseln, um K(t)001 zu gewinnen. Durch die Benutzung von K(t)001, der durch das Entschlüsseln gewonnen wird, kann ein verschlüsselter Schlüssel Enc(K(t)001, K(t)00) in der zweiten Stufe von unten entschlüsselt werden, um einen Erneuerungsknotenschlüssel K(t)00 zu erhalten. Sequentiell wird ein verschlüsselter Schlüssel Enc(K(t)00, K(t)0) in der zweiten Stufe von oben in 4A entschlüsselt, um einen Erneuerungsknotenschlüssel K(t)0 zu erhalten, und ein verschlüsselter Schlüssel Enc(K(t)0, K(t)R) in der ersten Stufe von oben in 4A wird entschlüsselt, um K(t)R zu erhalten. Andererseits ist in dem Gerät K0000, K0001 ein Knotenschlüssel K000 nicht enthalten, der erneuert werden soll, und ein Schlüssel, der für einen Erneuerungsknotenschlüssel benötigt wird, ist K(t)00, K(t)0, K(t)R. Die Geräte K0000 und K0001 entschlüsseln einen verschlüsselten Schlüssel Enc(K000, K(t)00)in der dritten Stufe von oben in 4A, um K(t)00 zu erhalten, und anschließend wird ein verschlüsselter Schlüssel Enc(K(t)00, K(t)0) in der zweiten Stufe von oben in 4A entschlüsselt, und ein verschlüsselter Schlüssel Enc(K(t)0, K(t)R) in der ersten Stufe von oben in 4A wird entschlüsselt, um K(t)R zu erhalten. Indem man so verfährt, können die Geräte 0, 1, 2 einen erneuerten Schlüssel K(t)R erhalten. Der Index in 4A zeigt die absolute Adresse eines Knotenschlüssels und eines Blattschlüssels, die als Entschlüsselungsschlüssel benutzt werden.
Wenn die Erneuerung eines Knotenschlüssels : K(t)0, K(t)R in der oberen Stufe der Baumstruktur von 3 nicht erforderlich ist und nur der Knotenschlüssel K00 erneuert weden muß, kann der in 4B dargestellte Aktivierungsschlüsselblock (EKB) benutzt werden, um einen Erneuerungsknotenschlüssel K(t)00 an die Geräte 0, 1, 2 zu verteilen.
Der in 4B dargestellte EKB kann z.B. benutzt werden, um in einer spezifischen Gruppe einen neuen Inhaltsschlüssel zu verteilen. Konkret sei angenommen, daß die von der gestrichelten Linie umschlossenen Geräte 0, 1, 2, 3 in 3 ein Aufzeichnungsmedium benutzen und daß ein neuer gemeinsamer Inhaltsschlüssel : K(t)con benötigt wird. Zu dieser Zeit wird Enc(K(t)00, K(t)con), in die der neue gemeinsame Inhaltsschlüssel K(t)con mit K(t)00 verschlüsselt ist, in den ein gemeinsamer Knotenschlüssel K00 der Geräte 0, 1, 2 erneuert ist, mit dem in 4B dargestellten EKB verteilt. Durch diese Verteilung wird die Verteilung von Daten ermöglicht, die in dem Gerät anderer Gruppen, wie einem Gerät 4, nicht entschlüsselt werden.
Das heißt, falls die Geräte 0, 1, 2 die verschlüsselte Sentenz mit K(t)00 entschlüsseln, der durch Verarbeitung des EKB gewonnen wird, kann zur Zeit t ein Inhaltsschlüssel K(t)con gewonnen werden.
[Verteilung eines Inhaltsschlüssels mit Hilfe des EKB]
5 zeigt als Beispiel für die Verarbeitung zur Gewinnung eines Inhaltsschlüssels K(t)con zur Zeit t die Verarbeitung eines Geräts 0, das über ein Aufzeichnungsmedium Daten Enc(K(t)00, K(t)con empfängt, in die ein neuer gemeinsamer Inhaltsschlüssel K(t)con mit Hilfe von K(t)00 und EKB entschlüsselt ist, wie dies in 4B dargestellt ist. d.h., es handelt sich um ein Beispiel, in dem durch EKB verschlüsselte Nachrichtendaten einen Inhaltsschlüssel K(t)con bilden.
Wie 5 zeigt, benutzt ein Gerät 0 die Generation: EKB in der Generation: t, der in dem Aufzeichnungsmedium gespeichert ist, und einen Knotenschlüssel K000, der im voraus von ihm selbst gespeichert wurde, um durch eine EKB-Verarbeitung, die der oben beschriebenen ähnlich ist, einen Knotenschlüssel K(t)00 zu erzeugen. Ferner wird ein Erneuerungsinhaltsschlüssel K(t)con mit Hilfe eines entschlüsselten Erneuerungsknotenschlüssels K(t)00 entschlüsselt und durch einen Blattschlüssel K0000 verschlüsselt, der ihm selbst gehört und von ihm für spätere Verwendung gespeichert wurde.
[EKB-Format]
6 zeigt ein Beispiel für das Format des Aktivierungsschlüsselblocks (EKB). Die Version 601 bezeichnet einen Diskriminator, der die Version des Aktivierungsschlüsselblocks (EKB) anzeigt. Die Version hat die Funktion, eine korrespondierende Relation zwischen einer Funktion zur Diskriminierung der jüngsten EKB und einem Inhalt aufzuzeigen. Die Tiefe bezeichnet die Anzahl der Hierarchien eines hierarchischen Baums in Bezug auf ein Gerät des Verteilungsziels des Aktivierungsschlüsselblocks (EKB). Der Datenzeiger 603 ist ein Zeiger zum Anzeigen einer Position eines Datenteils in dem Aktivierungsschlüsselblock (EKB), der Tag-Zeiger 604 ist ein Zeiger zum Anzeigen einer Position eines Tag-Abschnitts, und der Signaturzeiger 605 ist ein Zeiger zum Anzeigen einer Signaturposition.
Ein Datenabschnitt 606 speichert z.B. Daten, deren verschlüsselter Knotenschlüssel erneuert werden muß. Er speichert z.B. verschiedene verschlüsselte Schlüssel in Verbindung mit einem Erneuerungsknotenschlüssel, wie dies in 5 dargestellt ist.
Der Tag-Abschnitt 607 ist ein Tag für die Anzeige einer Positionsbeziehung von verschlüsselten Knotenschlüsseln und Blattschlüsseln, die in dem Datenabschnitt gespeichert sind. Eine Vorschrift für das Anbringen dieses Tags wird anhand von 7A bis 7C beschrieben. 7A bis 7C zeigen ein Beispiel für das Senden des oben anhand von 4A beschriebenen Aktivierungsschlüsselblocks (EKB) als Daten. Die Daten haben dabei die in 7B dargestellte Form. Die Adresse eines obersten Knotens, die zu dieser Zeit in einem verschlüsselten Schlüssel enthalten ist, wird als oberste Knotenadresse benutzt. Da in diesem Fall ein Erneuerungsschlüssel eines Wurzelschlüssels K(t)R enthalten ist, ist die oberste Knotenadresse KR. Zu dieser Zeit befinden sich z.B. Daten Enc(K(t)0, K(t)R) in der obersten Stufe an einer Position, die in einem in 7A darge stellten hierarchischen Baum gezeigt ist. Die nächsten Daten sind Enc(K(t)00, K(t)0, die sich in einer Position links unter den vorherigen Daten in dem Baum befinden. Wo Daten vorhanden sind, wird ein Tag auf 0 gesetzt, und wo keine Daten vorhanden sind, wird ein Tag auf 1 gesetzt. Das Tag wird als (left (L) tag, right (R) tag) gesetzt. Da links von den Daten in der obersten Stufe Enc(K(t)0, K(t)R) existieren, ist L tag = 0, und da rechts keine Daten existieren, ist R tag = 1. An allen Daten werden Tags gesetzt, um eine Reihe von Daten und eine Reihe von Tags zu bilden, wie dies in 7C dargestellt ist.
Das Tag wird gesetzt, um zu zeigen, an welcher Position der Baumstruktur Daten Enc(Kxxx, Kyyy) positioniert sind. Da die Schlüsseldaten Enc(Kxxx, Kyyy) ... lediglich abgezählte Daten von einfach verschlüsselten Schlüsseln sind, kann die Position eines verschlüsselten Schlüssels auf dem Baum durch das vorerwähnte Tag diskriminiert werden. Es kann z.B. eine Datenstruktur wie die folgende vorgesehen sein, die wie die oben anhand von 4A und 4B beschriebene Struktur den zuvor in Korrespondenz zu den verschlüsselten Daten angeordneten Knotenindex benutzt, ohne das erwähnte Tag zu benutzen:

0: Enc(K(t)0, K(t)root)
00: Enc(K(t)00, K(t)0)
000: Enc(K(t)000, K(t)00)

Die Struktur, die einen Index wie den beschriebenen benutzt, führt jedoch zu großen Datenlängen, so daß die Datenmenge vergrößert wird, ein Umstand, der bei der Verteilung über ein Netzwerk unerwünscht ist. Andererseits wird das vorerwähnte Tag als Indexdaten benutzt, die eine Schlüsselposition anzeigen, wodurch eine Schlüsselposition mit einer geringeren Datenmenge diskriminiert werden kann.
Es sei noch einmal auf 6 Bezug genommen, um das EKB-Format näher zu erläutern. Die Signatur ist eine elektronische Signatur, die z.B. durch ein Schlüsselsteuerungszentrum, einen Inhalte-Provider, eine Abrechnungsorganisation oder dgl. ausgeführt wird, die den Aktivierungsschlüsselblock (EKB) ausgegeben haben. Das Gerät, das den EKB empfangen hat, bestätigt durch Authentifizierung der Signatur, daß es sich um einen Aktivierungsschlüsselblock (EKB) handelt, der von einem rechtmäßigen Aktivierungsschlüsselblock-(EKB)-Herausgeber herausgegeben wurde.
[Inhaltsschlüssel, der EKB benutzt, und Verteilung von Inhalten]
Während in dem vorangehenden Beispiel der Fall beschrieben wurde, daß nur der Inhaltsschlüssel zusammen mit dem EKB gesendet wird, wird im folgenden eine Struktur beschrieben, in der (i) ein durch einen Inhaltsschlüssel verschlüsselter Inhalt und (ii) ein durch einen Inhaltsschlüssel-Verschlüsselungsschlüssel verschlüsselter Inhaltsschlüssel und (iii) ein durch einen EKB verschlüsselter Inhaltsschlüssel-Verschlüsselungsschlüssel gesendet werden.
8A und 8B zeigen diese Datenstruktur. Bei der in 8A dargestellten Struktur sind Enc(Kcon, content) 801 Daten, in denen ein Inhalt durch einen Inhaltsschlüssel (Kcon) verschlüsselt sind, Enc(KEK, Kcon) 802 sind Daten, in denen ein Inhaltsschlüssel (Kcon) durch einen Inhaltsschlüssel-Verschlüsselungsschlüssel (KEK: Inhaltsschlüssel-Verschlüsselungsschlüssel) verschlüsselt ist, und Enc(EKB, KEK) 803 sind Daten, in denen ein Inhaltsschlüssel-Verschlüsselungsschlüssel KEK durch einen Aktivierungsschlüsselblock (EKB) verschlüsselt ist.
Der Inhaltsschlüssel-Verschlüsselungsschlüssel KEK kann hier ein Knotenschlüssel (K000, K00 ...) oder ein Wurzelschlüssel (KR) selbst sein, und es kann ein durch einen Knotenschlüssel (K000, K00 ...) verschlüsselter Schlüssel sein oder ein Wurzelschlüssel (KR).
8B zeigt ein Beispiel für eine Struktur, in der mehrere Inhalte in Medien aufgezeichnet sind, die von dem gleichen Enc(EKB, KEK) 805 Gebrauch machen. In einer solchen Struktur wird nicht zu allen Daten der gleiche Enc(EKB, KEK) hinzugefügt, wie dies oben beschrieben wurde, sondern es werden zu allen Daten solche Daten hinzugefügt, die ein mit Enc(EKB, KEK) verknüpftes Verknüpfungsziel zeigen.
9 zeigt ein Beispiel für einen Fall, in dem ein Inhaltsschlüssel-Verschlüsselungsschlüssel KEK als Erneuerungs-Knotenschlüssel K(t)00 ausgebildet ist, der durch Erneuern des in 3 dargestellten Knotenschlüssels K00 gewonnen wird. Wenn in diesem Fall in einer durch die gestrichelte Linie umrahmten Gruppe, z.B. das Gerät 3 aufgrund eines Lecks in einem Schlüssel ausgesondert wird, werden Daten, die einen in 9 dargestellten Aktivierungsschlüsselblock (EKB) haben, und Daten, in die ein Inhaltsschlüssel (Kcon) durch einen Inhaltsschlüssel-Verschlüsselungsschlüssel (KEK = K(t)00) verschlüsselt wird, sowie Daten, in die ein Inhalt durch einen Inhaltsschlüssel (Kcon) verschlüsselt wird, an die anderen Mitglieder der Gruppe, d.h. die Geräte 0, 1, 2 verteilt, so daß die Geräte 0, 1, 2 den Inhalt erhalten können.
Die rechte Seite in 9 zeigt die Entschlüsselungsprozedur in dem Gerät 0. Zunächst gewinnt das Gerät 0 aus dem empfangenen Aktivierungsschlüsselblock durch einen Entschlüsselungsprozeß, bei dem der von ihm selbst gehaltene Blattschlüssel K000 benutzt wird, einen Inhaltsschlüssel-Verschlüsselungsschlüssel (KEK = K(t)00). Dann gewinnt das Gerät 0 einen Inhaltsschlüssel Kcon, der durch K(t)00 entschlüsselt wird, und führt mit dem Inhaltsschlüssel Kcon die Entschlüsselung aus. Als Ergebnis des Prozesses kann das Gerät 0 den Inhalt benutzen. Die Geräte 1 und 2 sind ebenfalls in der Lage, durch die Verarbeitung des EKB durch die verschiedenen Prozeduren einen Inhaltsschlüssel-Verschlüsselungsschlüssel (KEK = K(t)00) zu gewinnen und den Inhalt in ähnlicher Weise zu nutzen.
Die Geräte 4, 5, 6 ... der anderen in 3 dargestellten Gruppen sind nicht in der Lage, mit Hilfe eines Blattschlüssels und eines von ihnen selbst gehaltenen Knotenschlüssels einen Inhaltsschlüssel-Verschlüsselungsschlüssel (KEK = K(t)00) zu gewinnen, selbst wenn sie die gleichen Daten (EKB) empfangen, wie dies oben erwähnt wurde. Das ausgeschlossene Gerät 3 ist ebenfalls nicht in der Lage, den Inhaltsschlüssel-Verschlüsselungsschlüssel (KEK = K(t)00) durch einen Blattschlüssel und einen Knotenschlüssel zu gewinnen, und nur das Gerät, das die passende Berechtigung hat, kann den Inhalt entschlüsseln und benutzen.
Wenn bei der Verteilung eines Inhaltsschlüssels in der beschriebenen Weise von dem EKB Gebrauch gemacht wird, kann der verschlüsselte Inhalt sicher verteilt werden, und nur der berechtigte Benutzer kann ihn entschlüsseln.
Ein Aktivierungsschlüsselblock (EKB), ein Inhaltsschlüssel, ein verschlüsselter Inhalt oder dgl. haben eine Struktur, die in der Lage ist, eine sichere Verteilung durch ein Netzwerk vorzunehmen. Der Aktivierungsschlüsselblock (EKB), der Inhaltsschlüssel und der verschlüsselte Inhalt können jedoch auch in einem Aufzeichnungsmedium, wie einer DVD, einer CD, gespeichert sein und an einen Benutzer ausgeliefert werden. In diesem Fall sind der Aktivierungsschlüsselblock (EKB) und der verschlüsselte Inhalt in ein und demselben Aufzeichnungsmedium gespeichert.
Der gespeicherte EKB wird benutzt, um den Inhaltsschlüssel zu entschlüsseln, und der Inhaltsschlüssel wird benutzt, um den in dem Aufzeichnungsmedium gespeicherten verschlüsselten Inhalt zu entschlüsseln. Dies ermöglicht eine Verteilung des verschlüsselten Inhalts, der nur mit einem Blattschlüssel und einem Knotenschlüssel benutzt werden kann, der nur von dem gültigen Rechteinhaber im voraus gehalten werden kann. So kann auf eine einfache Weise eine Inhaltsverteilung realisiert werden, die auf berechtigte Benutzer beschränkt ist.
10 zeigt ein Beispiel für ein Aufzeichnungsmedium, in dem ein Aktivierungsschlüsselblock (EKB) zusammen mit verschlüsseltem Inhalt gespeichert ist. Bei dem in 10 dargestellten Beispiel sind in dem Aufzeichnungsmedium verschlüsselte Inhalte C1 bis C4 gespeichert, wobei Daten mit dem den einzelnen gespeicherten Inhalten entspre chenden Schlüsselblock in Korrespondenz zu diesen angeordnet sind, sowie ein Aktivierungsschlüsselblock der Version M (EKB – M). EKB – 1 wird z.B. benutzt, um einen Inhaltsschlüssel Kcon1 zum Entschlüsseln eines verschlüsselten Inhalts C1 zu erzeugen, und EKB – 2 wird benutzt, um einen Inhaltsschlüssel Kcon2 für den verschlüsselten Inhalt C2 zu erzeugen. In diesem Beispiel ist der Aktivierungsschlüsselblock der Version M (EKB – M) in einem Aufzeichnungsmedium gespeichert. Da die Inhalte C3, C4 in Korrespondenz zu dem Aktivierungsschlüsselblock (EKB – M) angeordnet sind, können die Inhalte C3, C4 durch Entschlüsseln des Aktivierungsschlüsselblocks (EKB – M) gewonnen werden. Falls EKB – 1, EKB – 2 nicht auf der Platte gespeichert sind, müssen EKB – 1, EKB – 2, die zum Entschlüsseln der betreffenden Inhaltsschlüssel benötigt werden, durch neue Verteilungsmittel, z.B. eine Verteilung über das Netzwerk oder eine Verteilung durch ein Aufzeichnungsmedium, gewonnen werden.
11A und 11B zeigen als Beispiel einen Vergleich zwischen einer Inhaltsschlüsselverteilung mit Hilfe des EKB und eine herkömmliche Inhaltsschlüsselverteilung, bei der ein Inhaltsschlüssel zwischen mehreren Geräten zirkuliert. 11A zeigt die herkömmliche Struktur, und 11B zeigt ein Beispiel, das von einem Aktivierungsschlüsselblock (EKB) gemäß der Erfindung Gebrauch macht. In 11A und 11B bezeichnet Ka(Kb) Daten, in denen Kb durch Ka verschlüsselt ist.
Wie 11A zeigt, wurde bisher eine Verarbeitung durchgeführt, bei der die Gültigkeit eines Datensenders bestätigt wird, eine Authentifizierungsverarbeitung und Authentifizierung und ein Schlüsselaustausch (AKE) zwischen Geräten durchgeführt wird, um einen Sitzungsschlüssel Kses gemeinsam zu besitzen. Der Sitzungsschlüssel wird in dem Verschlüsselungsprozeß der Datenübertragung benutzt, und ein Inhaltsschlüssel Kcon wird mit dem Sitzungsschlüssel Kses unter der Bedingung verschlüsselt, daß die Authentifizierung vorgenommen wurde, um die Übertragung zu bewirken.
Es ist z.B. in einem in 11A dargestellten PC möglich, einen durch einen Sitzungsschlüssel verschlüsselten Inhaltsschlüssel Kses zu entschlüsseln, um Kcon zu gewinnen, und es ist ferner möglich, Kcon zu entschlüsseln, der durch einen gespeicherten Schlüssel Kstr gewonnen wird, der von dem PC in dessen eigenem Speicher gespeichert wird.
Es sei angenommen, daß in der Anordnung von 11A Daten in einer solchen Form verteilt werden sollen, daß sie nur von einer Aufzeichnungsvorrichtung zur Speicherung in einem in 11A dargestellten Medium 1101 benutzt werden können, wenn der PC oder ein Wiedergabegerät vorhanden ist. Selbst dann wird ein Authentifizierungsprozeß durchgeführt, wie in 11A dargestellt, so daß Inhaltsschlüssel durch die betreffenden Sitzungsschlüssel verschlüsselt werden, um eine Verteilung vorzunehmen. Der PC oder das Wiedergabegerät ist ebenfalls in der Lage, einen in dem Authentifizierungsprozeß erzeugten und einen in gemeinsamem Besitz befindlichen Sitzungsschlüssel zu benutzen, um einen verschlüsselten Inhaltsschlüssel zu entschlüsseln und einen Inhaltsschlüssel zu gewinnen.
In einem Beispiel, das von einem Aktivierungsschlüsselblock (EKB) Gebrauch macht und in dem unteren Teil von 11B dargestellt ist, werden hingegen ein Aktivierungsschlüsselblock (EKB) und Daten (Kroot (Kcon)), die einen Inhaltsschlüssel Kcon haben, der durch einen Knotenschlüssel oder einen Wurzelschlüssel verschlüsselt ist, die durch die Verarbeitung des Aktivierungsschlüsselblocks (EKB) gewonnen werden, von einem Inhalte-Provider verteilt, so daß der Inhaltsschlüssel Kcon nur von dem Gerät entschlüsselt und gewonnen werden kann, das in der Lage ist, den verteilten EKB zu verarbeiten.
Deshalb wird z.B. der benutzbare Aktivierungsschlüsselblock (EKB) nur in dem linken Endbereich von 11B erzeugt, und der Aktivierungsschlüsselblock (EKB) und Daten mit einem Inhaltsschlüssel Kcon, der durch einen Knotenschlüssel oder einen Wurzelschlüssel verschlüsselt ist, die durch EKB-Verarbeitung gewonnen werden, werden zusammen gesendet, so daß der vorhandene PC, das Wiedergabegerät oder dgl. die Verarbeitung des EKB nicht mit einem Blattschlüssel oder einem Knotenschlüssel vornehmen können, den sie selbst besitzen. Der verwendbare Inhaltsschlüssel kann deshalb nur an ein berechtigtes Gerät sicher verteilt werden, ohne daß Prozesse, wie ein Authentifizierungsprozeß zwischen den Datensende-/-empfangsgeräten, die Erzeugung eines Sitzungsschlüssels und der Prozeß zum Verschlüsseln eines Inhaltsschlüssel Kcon durch den Sitzungsschlüssel ausgeführt werden.
Wenn der benutzbare Inhaltsschlüssel an einen PC, eine Aufzeichnungs- und Wiedergabeeinheit verteilt werden soll, wird ein verarbeitbarer Aktivierungsschlüsselblock (EKB) erzeugt und verteilt, um dadurch einen gemeinsamen Inhaltsschlüssel zu erhalten.
[Verteilung eines Authentifizierungsschlüssels mit Hilfe des Aktivierungsschlüsselblocks (EKB) (Common-Key-System)]
Da bei der Verteilung von in dem Aktivierungsschlüsselblock (EKB) oder einem oben beschriebenen Schlüssel benutzten Daten ein Aktivierungsschlüsselblock (EKB) und ein Inhalt oder ein Inhaltsschlüssel, die zwischen Geräten übertragen werden, immer die gleiche Verschlüsselungsform beibehalten, besteht die Möglichkeit, durch eine sogenannte Replay-Attacke, die einen Datenübertragungskanal stiehlt und aufzeichnet, eine unberechtigte Kopie zu erzeugen und diese später erneut zu übertragen. Um eine solche Attacke zu verhindern, gibt es ein effektives Mittel zur Durchführung eines Authentifizie rungsprozesses und eines Schlüsselaustauschprozesses zwischen Datenübertragungsvorrichtungen, ähnlich wie beim Stand der Technik. Nun wird die Struktur beschrieben, bei der ein Authentifizierungsschlüssel Kake, der benutzt wird, wenn der Authentifizierungsprozeß und der Schlüsselaustauschprozeß ausgeführt werden, mit Hilfe des oben erwähnten Aktivierungsschlüsselblocks (EKB) an ein Gerät verteilt wird, so daß der Authentifizierungsprozeß in Übereinstimmung mit einem Common-Key-System durchgeführt wird, das einen gemeinsamen Authentifizierungsschlüssel als sicheren Privatschlüssel aufweist. Das heißt, es handelt sich um ein Beispiel, bei dem Nachrichtendaten durch EKB als Authentifizierungsschlüssel benutzt werden.
12 zeigt ein Verfahren zur wechselseitigen Authentifizierung (ISO/IEC 9798-2), das ein Common-Key-Verschlüsselungssystem benutzt. Während in 12 DES als Common-Key-Verschlüsselungssystem benutzt wird, können auch andere Systeme benutzt werden, sofern es sich um Common-Key-Verschlüsselungssysteme handelt. In 12 erzeugt zunächst B die Zufallszahl Rb mit 64 Bits, und Rb und ID(b), die eigene ID von B, werden an A gesendet. A empfängt sie und erzeugt erneut eine Zufallszahl Ra mit 64 Bits, und Daten werden mit Hilfe eines Schlüssels Kab im CBC-Modus von DES in der Reihenfolge Ra, Rb und Rc verschlüsselt, um sie an B zu senden. Der Schlüssel Kab ist ein Schlüssel, der als ein für A und B gemeinsamer privater Schlüssel in einem Aufzeichnungselement gespeichert werden soll. Entsprechend dem Verschlüsselungsprozeß durch den Schlüssel Kab, wobei z.B. der CBC-Modus von DES benutzt wird, werden bei der Verarbeitung mit Hilfe von DES ein Anfangswert und Ra einer Exklusiv-ODER-Verknüpfung unterzogen. In dem DES-Verschlüsselungsabschnitt wird der Schlüssel Kab für die Verschlüsselung benutzt, um einen verschlüsselten Text E1 zu erzeugen, und anschließend werden der verschlüsselte Text E1 und Rb einer Exklusiv-ODER-Verknüpfung unterzogen; in dem DES-Verschlüsselungsabschnitt wird ein Schlüssel Kab für die Verschlüsselung benutzt, und der verschlüsselte Text E2 und ID(b) werden einer Exklusiv-ODER-Verknüpfung unterzogen; in dem DES-Verschlüsselungsteil wird ein Schlüssel Kab zum Verschlüsseln benutzt, um durch einen verschlüsselten Text E3 erzeugte Übertragungsdaten (Token-AB) zu verschlüsseln.
B, der die obigen Daten empfangen hat, entschlüsselt die empfangenen Daten durch einen Schlüssel Kab (Authentifizierungsschlüssel), der ebenfalls in einem Aufzeichnungselement als gemeinsamer privater Schlüssel gespeichert ist. Ein Verfahren zum Entschlüsseln der empfangenen Daten entschlüsselt zunächst einen verschlüsselten Text E1 durch einen Authentifizierungsschlüssel Kab, um die Zufallszahl Ra zu gewinnen. Als Nächstes wird ein verschlüsselter Text E2 durch einen Authentifizierungsschlüssel Kab entschlüsselt, und das Ergebnis hiervon und E1 werden einer Exklusiv-ODER-Verknüpfung unterzogen, um Rb zu gewinnen. Zuletzt wird ein verschlüsselter Text E3 durch einen Authentifizierungsschlüssel Kab entschlüsselt, und das Ergebnis hiervon und E2 werden einer Exklusiv-ODER-Verknüpfung unterzogen, um ID(b) zu gewinnen. Es wird eine Authentifizierung durchgeführt, falls Ra und ID(b) von Ra, Rb und ID(b), die auf diese Weise gewonnen werden, mit den von B gesendeten übereinstimmen. Wenn diese Authentifizierung erfolgt ist, authentifiziert B, daß A berechtigt ist.
Als Nächstes erzeugt B einen Sitzungsschlüssel (Kses), der nach der Authentifizierung verwendet werden soll (Verfahren zur Erzeugung: Verwenden der Zufallszahl). Dann werden Rb, Ra, Kses in dieser Reihenfolge mit einem Authentifizierungsschlüssel Kab im CBC-Modus von DES verschlüsselt und an A zurückgegeben.
A, der die obigen Daten empfangen hat, entschlüsselt die empfangenen Daten durch einen Authentifizierungsschlüssel Kab. Das Verfahren für die Entschlüsselung für die empfangenen Daten ist ähnlich wie der Entschlüsselungsprozeß von B und wird deshalb nicht mehr erläutert. Die Authentifizierung wird durchgeführt, wenn Rb und Ra von Rb, Ra und Kses, die auf diese Weise gewonnen werden, mit den von A gesendeten übereinstimmen. Wenn die Authentifizierung erfolgt ist, authentifiziert A, daß B berechtigt ist. Nach der Authentifizierung von zueinander passenden Beteiligten wird der Sitzungsschlüssel Kses als gemeinsamer Schlüssel für die geheime Kommunikation nach der Authentifizierung benutzt.
Wenn bei der Authentifizierung der empfangenen Daten Ungültigkeit oder fehlende Übereinstimmung festgestellt wird, wird die Verarbeitung als Fehler bei der wechselseitigen Authentifizierung unterbrochen.
In dem oben beschriebenen Authentifizierungsprozeß besitzen A und B einen Authentifizierungsschlüssel Kab gemeinsam. Der gemeinsame Authentifizierungsschlüssel Kab wird mit Hilfe des Aktivierungsschlüsselblocks (EKB) an ein Gerät verteilt.
In dem in 12 dargestellten Beispiel kann beispielsweise die Struktur benutzt werden, in der von A oder B der jeweils andere einen Authentifizierungsschlüssel Kab und einen durch Erzeugen eines codierbaren Aktivierungsschlüsselblocks (EKB) erzeugten Aktivierungsschlüsselblock (EKB) verschlüsselt, um ihn zu dem jeweils anderen zu senden, oder die Struktur, bei der ein dritter Beteiligter einen Aktivierungsschlüsselblock (EKB) erzeugt, der von beiden Geräten A und B für die Geräte A und B benutzt werden kann, um einen Authentifizierungsschlüssel Kab durch den für die Geräte A, B erzeugten Aktivierungsschlüsselblock (EKB) zu verschlüsseln und diesen zu verteilen.
13 und 14 zeigen Beispiele für die Struktur, bei der ein für mehrere Geräte gemeinsamer Authentifizierungsschlüssel Kake durch einen Aktivierungsschlüsselblock (EKB) verteilt wird. 13 zeigt ein Beispiel, bei dem ein decodierbarer Authentifizierungsschlüssel Kake an Geräte 0, 1, 2, 3 verteilt wird, und 14 zeigt ein Beispiel, bei dem von den Geräten 0, 1, 2, 3 das Gerät 3 von der Verteilung eines decodierbaren Authentifizierungsschlüssels ausgeschlossen ist, der nur an die Geräte 0, 1, 2 verteilt wird.
In dem Beispiel von 13 wird ein mit Hilfe eines Knotenschlüssels und eines Blattschlüssels in den Geräten 0, 1, 2, 3 erneuerter Knotenschlüssel K(t)00 erzeugt und verteilt, indem ein decodierbarer Aktivierungsschlüsselblock (EKB) zusammen mit Daten (b) erzeugt wird, die einen Authentifizierungsschlüssel Kake haben, der durch einen Erneuerungs-Knotenschlüssel K(t)00 entschlüsselt wird. Das betreffende Gerät verarbeitet (entschlüsselt) zunächst, wie auf der rechten Seite von 13 dargestellt, den EKB, um dadurch einen erneuerten Knotenschlüssel K(t)00 zu gewinnen, und entschlüsselt dann einen Authentifizierungsschlüssel: Enc(K(t)00, Kake), der mit dem gewonnenen Knotenschlüssel K(t)00 verschlüsselt ist, um einen Authentifizierungsschlüssel Kake zu gewinnen.
Selbst wenn in anderen Geräten 4, 5, 6, 7 der gleiche Aktivierungsschlüsselblock (EKB) empfangen wird, kann der durch die Verarbeitung des EKB erneuerte Knotenschlüssel K(t)00 nicht gewonnen werden, so daß ein Authentifizierungsschlüssel nur an das berechtigte Gerät sicher gesendet werden kann.
Das Beispiel von 14 ist hingegen ein Beispiel, bei dem das Gerät z.B. wegen des Lecks eines Schlüssels ausgeschlossen ist. Das Gerät 3 in einer durch die gestrichelte Linie in 3 umschlossenen Gruppe erzeugt einen decodierbaren Aktivierungsschlüsselblock (EKB) für die Verteilung nur bezüglich der anderen Mitglieder der Gruppe, d.h. der Geräte 0, 1, 2. Es werden Daten verteilt, die (a) einen Aktivierungsschlüsselblock (EKB) und (b) einen durch den Knotenschlüssel (K(t)00) verschlüsselten Authentifizierungsschlüssel (Kake) aufweisen, wie dies in 14 dargestellt ist.
Auf der rechten Seite von 14 ist die Entschlüsselungsprozedur dargestellt. Die Geräte 0, 1, 2 gewinnen zunächst durch einen Entschlüsselungsprozeß mit Hilfe eines Blattschlüssels oder eines Knotenschlüssels, den sie selbst besitzen, einen Aktivierungsknotenschlüssel (K(t)00) aus dem empfangenen Aktivierungsschlüsselblock. Als Nächstes gewinnen die Geräte durch eine Entschlüsselung mit Hilfe von K(t)00 einen Authentifizierungsschlüssel Kake.
Die Geräte 4, 5, 6 ... der anderen in 3 dargestellten Gruppe können mit einem Blattschlüssel oder einem Knotenschlüssel, den sie selbst besitzen, selbst dann keinen Erneuerungsknotenschlüssel (K(t)00) gewinnen, wenn die gleichen Daten (EKB) empfangen werden. Auch in dem ausgeschlossenen Gerät 3 kann der Erneuerungsknotenschlüssel (K(t)00) nicht durch einen Blattschlüssel und einen Knotenschlüssel gewonnen werden, den es selbst besitzt, und nur das Gerät, das ein gültiges Recht besitzt, ist in der Lage, einen Authentifizierungsschlüssel für die Benutzung zu entschlüsseln.
Falls eine Verteilung eines Authentifizierungsschlüssels benutzt wird, bei der der EKB benutzt wird, ist nur der gültige Rechteinhaber in der Lage, einen decodierbaren Authentifizierungsschlüssel mit geringerer Datenmenge sicher zu verteilen.
[Inhaltsschlüsselverteilung mit Hilfe einer Public-Key-Authentifizierung und eines Aktivierungsschlüsselblocks (EKB)]
Im folgenden wird der Verteilungsprozeß des Inhaltsschlüssels mit Hilfe einer Public-Key-Authentifizierung und eines Aktivierungsschlüsselblocks (EKB) beschrieben. Zunächst wird anhand von 15 ein Verfahren zur wechselseitigen Authentifizierung beschrieben, das eine Verschlüsselung mit elliptischer Kurve mit einer Länge von 160 Bit benutzt, die ein Public-Key-Verschlüsselungssystem bildet. In 15 wird als Public-Key-Verschlüsselungssystem ECC benutzt, es kann jedoch ein beliebiges System benutzt werden, sofern es sich um ein ähnliches Public-Key-Verschlüsselungssystem handelt. Außerdem muß die Schlüsselgröße nicht notwendigerweise gleich 160 Bit sein. In 15 erzeugt B zunächst die Zufallszahl Rb mit 64 Bit und sendet sie an A. A, der sie empfängt, erzeugt erneut die Zufallszahl Ra mit 64 Bit und die Zufallszahl Ak, die kleiner ist als die Primzahl p. Es wird ein Punkt Av = Ak × G gewonnen, den man erhält, indem man einen Basispunkt G mit Ak multipliziert, um eine elektronische Signatur A, Sig bezüglich Ra, Rb, Av (X-Koordinate und Y-Koordinate) zu erzeugen, die zusammen mit einem öffentlichen Zertifikat von A an B zurückgesendet wird. In Ra und Rb, X-Koordinate und Y-Koordinate mit 64 Bits, Av sind jeweils 160 Bit, und deshalb wird eine elektronische Signatur in Bezug auf insgesamt 448 Bit erzeugt.
B, der das Public-Key-Zertifikat, Ra, Rb, Av, die elektronische Signatur A.Sig empfangen hat, authentifiziert, falls das von A gesendete Rb mit einem von B erzeugten übereinstimmt. Falls es übereinstimmt, wird als Ergebnis eine elektronische Signatur innerhalb des öffentlichen Schlüsselzertifikats von A durch einen öffentlichen Schlüssel eines Authentifizierungsbüros authentifiziert, um einen öffentlichen Schlüssel von A herauszunehmen. Die elektrische Signatur A.Sig wird mit Hilfe eines herausgenommenen öffentlichen Schlüssels von A authentifiziert.
Als Nächstes erzeugt B die Zufallszahl Bk, die kleiner ist als die Primzahl p. Ein Punkt Bv = Bk × G, der durch Multiplizieren eines Basispunkts G mit Bk gewonnen wird, dient zur Erzeugung einer elektronischen Signatur B. Sig bezüglich Rb, Ra, Bv (X-Koordinate und Y-Koordinate) und wird zusammen mit dem öffentlichen Schlüsselzertifikat von B an A zurückgesendet.
A, der das Public-Key-Zertifikat, Rb, Ra, Av, die elektronische Signatur B. Sig von B empfangen hat, authentifiziert, falls das von B gesendete Ra mit einem von A erzeugten übereinstimmt. Als Ergebnis wird bei Übereinstimmung eine elektronische Signatur innerhalb des öffentlichen Schlüsselzertifikats von B durch einen öffentlichen Schlüssel einer Authentifizierungsstelle authentifiziert, um einen öffentlichen Schlüssel von B herauszunehmen. Die elektrische Signatur B. Sig wird mit Hilfe eines herausgenommenen öffentlichen Schlüssels von B authentifiziert. Nachdem die Authentifizierung einer elektronischen Signatur erfolgreich war, wird B von A als berechtigt authentifiziert.
Wenn beiden die Authentifizierung gelungen ist, berechnet B Bk × Av (Da Bk die Zufallszahl, Av jedoch der Punkt auf der elliptischen Kurve ist, ist eine Skalarproduktberechnung in dem Punkt auf der ovalen Kurve erforderlich), und A berechnet Ak × Bv und benutzt die unteren 64 Bits der X-Koordinate dieser Punkte als Sitzungsschlüssel für die Benutzung bei der nachfolgenden Kommunikation (wobei eine Verschlüsselung mit einem gemeinsamen Schlüssel eine Verschlüsselung mit gemeinsamem Schlüssel mit einer Schlüssellänge von 64 Bit ist). Natürlich kann auch aus der Y-Koordinate ein Sitzungsschlüssel erzeugt werden, und die Koordinate muß nicht aus den unteren 64 Bits bestehen. In der geheimen Kommunikation nach wechselseitiger Authentifizierung werden die Übertragungsdaten mitunter nicht nur durch einen Sitzungsschlüssel verschlüsselt, sondern es wird auch eine elektronische Signatur angewendet.
Wenn bei der Authentifizierung einer elektronischen Signatur oder bei der Authentifizierung der empfangenen Daten eine Ungültigkeit oder Nichtübereinstimmung festgelegt wird, wird die Verarbeitung als Fehler bei der wechselseitigen Authentifizierung abgebrochen.
16 zeigt ein Beispiel für den Verteilungsprozeß von Inhaltsschlüsseln mit Hilfe einer Public-Key-Authentifizierung und eines Aktivierungsschlüsselblocks (EKB). Zunächst wird zwischen einem Inhalte-Provider und einem PC der Authentifizierungsprozeß nach dem Public-Key-System durchgeführt, der anhand von 15 erläutert wurde. Der Inhalte-Provider erzeugt einen EKB, der von einem Wiedergabegerät decodierbar ist, das das Inhaltsschlüssel-Verteilungsziel ist, ferner einen Knotenschlüssel und einen Blattschlüs sel, die zu einem Aufzeichnungsmedium gehören, um einen Inhaltsschlüssel E(Kcon), der eine Verschlüsselung mittels eines Erneuerungsknotenschlüssels und eines Aktivierungsschlüsselblocks (EKB) ausführte, mittels eines durch den Authentifizierungsprozeß zwischen PCs erzeugten Sitzungsschlüssels Kses zu verschlüsseln, der zu dem PC gesendet wird.
Der PC entschlüsselt [einen Inhaltsschlüssel, der eine Verschlüsselung mittels eines Erneuerungsknotenschlüssels und eines Aktivierungsschlüsselblocks (EKB) ausführte], der durch einen Sitzungsschlüssel verschlüsselt ist und sendet ihn anschließend zu einem Wiedergabegerät und einem Aufzeichnungsmedium.
Das Wiedergabegerät und das Aufzeichnungsmedium entschlüsseln [einen Inhaltsschlüssel, der eine Verschlüsselung mittels eines Erneuerungsknotenschlüssels und eines Aktivierungsschlüsselblocks (EKB) ausführte], um dadurch einen Inhaltsschlüssel Kcon zu gewinnen.
Da bei der obigen Struktur [ein Inhaltsschlüssel E(Kcon), der eine Verschlüsselung mittels eines Erneuerungsknotenschlüssels und eines Aktivierungsschlüsselblocks (EKB) ausführte] z.B. unter der Bedingung der Authentifizierung zwischen einem Inhalte-Provider und einem PC selbst dann gesendet wird, wenn ein Knotenschlüssel ein Leck hat, wird eine eindeutig Datenübertragung zu einem passenden Beteiligten ermöglicht.
[Verteilung eines Programmcodes mit Hilfe eines Aktivierungsschlüsselblocks (EKB)]
Während in dem obigen Beispiel ein Verfahren beschrieben wurde, bei dem ein Inhaltsschlüssel, ein Authentifizierungsschlüssel oder dgl. mit Hilfe eines Aktivierungsschlüsselblocks (EKB) verschlüsselt werden, um verteilt zu werden, kann die Struktur auch benutzt werden, um verschiedene Programmcodes mit Hilfe eines Aktivierungsschlüsselblocks (EKB) zu verteilen. Das heißt, es handelt sich um ein Beispiel, bei dem Nachrichtendaten, die mittels eines EKB verschlüsselt sind, als Programmcode benutzt werden. Diese Struktur wird weiter unten beschrieben.
17 zeigt ein Beispiel, in dem ein Programmcode z.B. mittels eines Erneuerungsknotenschlüssels eines Aktivierungsschlüsselblocks (EKB) verschlüsselt wird, um ihn zwischen Geräten zu übertragen. Ein Gerät 1701 sendet an ein Gerät 1702 einen Aktivierungsschlüsselblock (EKB), der von einem Knotenschlüssel und einem Blattschlüssel des Geräts 1702 entschlüsselt werden kann, sowie einen Programmcode, der mit einem in dem Aktivierungsschlüsselblock (EKB) enthaltenen Erneuerungsknotenschlüssel entschlüsselt wird. Das Gerät 1702 verarbeitet den empfangenen EKB, um einen Erneue rungsknotenschlüssel zu gewinnen, und entschlüsselt mit dem gewonnenen Erneuerungsknotenschlüssel einen Programmcode, um einen Programmcode zu gewinnen.
Bei dem in 17 dargestellten Beispiel wird ferner eine Verarbeitung durch den in dem Gerät 1702 gewonnenen Programmcode durchgeführt, um das Ergebnis an das Gerät 1701 zurückzusenden, wobei das Gerät 1701 die Verarbeitung auf der Basis des Ergebnisses fortsetzt.
Wie oben beschrieben wurde, werden der Aktivierungsschlüsselblock (EKB) und der Programmcode, die mit dem in dem Aktivierungsschlüsselblock (EKB) enthaltenen Erneuerungsknotenschlüssel entschlüsselt wurden, verteilt, wodurch an ein spezifisches Gerät oder an die in 3 dargestellte Gruppe ein Programmcode verteilt werden kann, der in dem spezifischen Gerät entschlüsselt werden kann.
[Struktur, die bewirkt, daß ein ICV: Integritätsprüfwert einem Übertragungsinhalt entspricht]
Als Nächstes wird eine Verarbeitungsstruktur beschrieben, bei der zur Verhinderung einer Verfälschung eines Inhalts der dem Inhalt entsprechende Integritätsprüfwert (ICV) erzeugt wird, und bei der das Vorhandensein oder das Nichtvorhandensein einer Inhaltsverfälschung durch Berechnen des ICV geprüft wird.
Der Integritätsprüfwert (ICV) wird z.B. mit Hilfe einer auf den Inhalt bezogenen Hash-Funktion berechnet. Er wird berechnet als ICV = hash(Kicv, C1, C2, ...). Kicv ist ein Schlüssel zur Erzeugung von ICV. C1, C2 sind Informationen eines Inhalts. Es wird ein Nachrichten-Authentifizierungscode (MAC) der wichtigen Information des Inhalts benutzt.
18 zeigt einen MAC-Wert, der z.B. mit Hilfe der DES-Verschlüsselungsverarbeitungsstruktur erzeugt wird. Wie die Struktur von 18 zeigt, wird eine Nachricht in 8-Bit-Einheiten unterteilt (im folgenden werden die Teil-Nachrichten mit M1, M2, ... MN bezeichnet). Zunächst werden der (im folgenden als IV bezeichnete) Anfangswert und M1 einer Exklusiv-ODER-Verknüpfung unterzogen (deren Ergebnis mit I1 bezeichnet wird). Als Nächstes wird I1 in eine DES-Verschlüsselungsstufe eingegeben, um eine Verschlüsselung mit Hilfe eines (im folgenden als K1 bezeichneten) Schlüssels durchzuführen. Die Ausgangsgröße ist E1. E1 und M2 werden einer Exklusiv-ODER-Verknüpfung unterzogen, die Ausgangsgröße I2 wird in die nächste DES-Verschlüsselungsstufe eingegeben und mit dem Schlüssel I verschlüsselt, um eine Ausgangsgröße E2 zu erzeugen. Anschließend wird diese Prozedur wiederholt und die Verschlüsselungsverarbeitung auf alle Nachrichten angewendet. Die letzte Ausganggröße EN ist ein Nachrichten-Authentifizierungscode (MAC).
Auf den MAC-Wert des Inhalts und den ICV-Erzeugungsschlüssel wird eine Hash-Funktion angewendet, um den Integritätsprüfwert (ICV) des Inhalts zu erzeugen. Der ICV, der erzeugt wird, wenn ein Inhalt erzeugt wird, der mit Sicherheit keine Verfälschung aufweist, wird mit dem ICV verglichen, der auf der Basis eines neuen Inhalts erzeugt wird. Wenn der gleiche ICV gewonnen wird, ist sichergestellt, daß der Inhalt nicht verfälscht ist. Wenn der ICV sich hingegen unterscheidet, wird gefolgert, daß eine Verfälschung vorliegt.
[Struktur für die Verteilung eines Schlüssels Kicv zur Erzeugung des Prüfwerts (ICV) durch EKB]
Im folgenden wird eine Struktur beschrieben, in der Kicv, das ist ein Schlüssel zur Erzeugung eines Integritätsprüfwerts (ICV) eines Inhalts, mittels des Aktivierungsschlüsselblocks gesendet wird. Das heißt, es handelt sich um ein Beispiel, bei dem durch den EKB verschlüsselte Nachrichtendaten einen Schlüssel zur Erzeugung eines Integritätsprüfwerts (ICV) eines Inhalts bilden.
19 und 20 zeigen ein Beispiel, bei dem durch den Aktivierungsschlüsselblock (EKB) ein Schlüssel Kicv Schlüssel Kicv verteilt wird, der einen Integritätsprüfwert zur Authentifizierung des Vorhandenseins oder Nichtvorhandenseins einer Verfälschung von Inhalten erzeugt, wenn an mehrere Geräten gemeinsame Inhalte gesendet werden. 19 zeigt ein Beispiel, bei dem ein decodierbarer Schlüssel Kicv zur Erzeugung eines Integritätsprüfwerts an Geräte 0, 1, 2, 3 verteilt wird. 20 zeigt ein Beispiel, bei dem von den Geräten 0, 1, 2, 3 das Gerät 3 ausgeschlossen wird, und ein decodierbarer Schlüssel Kicv zur Erzeugung eines Integritätsprüfwerts nur an die Geräte 0, 1, 2 verteilt wird.
In dem Beispiel von 19 wird durch die Erzeugung eines decodierbaren Aktivierungsschlüsselblocks (EKB) ein Knotenschlüssel K(t)00, der mit Hilfe eines Knotenschlüssels und eines Blattschlüssels erneuert ist, die sich im Besitz der Geräte 0, 1, 2, 3 befinden, zusammen mit Daten (b) verteilt, die einen durch einen Erneuerungsknotenschlüssel K(t)00 verschlüsselten Schlüssel Kicv zur Erzeugung eines Prüfwerts aufweisen. Wie auf der rechten Seite von 19 dargestellt ist, verarbeiten (entschlüsseln) die betreffenden Geräte zuerst den EKB, um dadurch einen erneuerten Knotenschlüssel K(t)00 zu gewinnen, und entschlüsseln anschließend mit Hilfe des gewonnenen Knotenschlüssels K(t)00 einen verschlüsselten Schlüssel: Enc(K(t)00, Kicv) zur Erzeugung eines Prüfwerts, um einen Schlüssel Kicv zur Prüfwerterzeugung zu gewinnen.
Da weitere Geräte 4, 5, 6, 7 ... einen Knotenschlüssel K(t)00, der durch die Verarbeitung des EKB durch einen in ihrem eigenen Besitz befindlichen Knotenschlüssel und Blattschlüssel erneuert wird, selbst dann nicht gewinnen können, wenn sie den gleichen Aktivierungsschlüsselblock (EKB) empfangen, kann der Prüfwerterzeugungsschlüssel nur an eine berechtigtes Gerät sicher gesendet werden.
Das Beispiel von 20 ist ein Beispiel, in dem beispielsweise das Gerät 3 wegen eines Lecks in einem Schlüssel ausgeschlossen wird. Das Gerät 3 ist eines aus der Gruppe, die in 3 von der gestrichelten Linie umrahmt ist. Ein decodierbarer Aktivierungsschlüsselblock (EKB) wird für die Verteilung nur an die anderen Mitglieder der Gruppe, d.h. die Geräte 0, 1, 2, erzeugt. Es werden Daten verteilt die (a) einen Aktivierungsschlüsselblock (EKB) und (b) einen in 20 dargestellten Prüfwerterzeugungsschlüssel (Kicv) besitzen, der durch den Knotenschlüssel (K(t)00) verschlüsselt ist.
Auf der rechten Seite von 20 ist die Entschlüsselungsprozedur dargestellt. Zunächst gewinnen die Geräte 0, 1, 2 einen Erneuerungsknotenschlüssel (K(t)00) durch einen Entschlüsselungsprozeß, bei dem ein im eigenen Besitz befindlicher Blattschlüssel oder ein Knotenschlüssel aus dem empfangenen Aktivierungsschlüsselblock entschlüsselt wird. Als Nächstes gewinnen die Geräte durch Entschlüsselung mit Hilfe von K(t)00 einen Schlüssel Kicv zur Prüfwerterzeugung.
Die Geräte 4, 5, 6 ... in der anderen in 3 dargestellten Gruppe können selbst dann keinen Erneuerungsknotenschlüssel (K(t)00) mit Hilfe eines in ihrem eigenen Besitz befindlichen Knotenschlüssels und eines Blattschlüssels gewinnen, wenn sie gleiche Daten (EKB) empfangen. Ähnlich kann auch in dem ausgeschlossenen Gerät 3 der Erneuerungsknotenschlüssel (K(t)00) nicht durch einen Blattschlüssel und einen Knotenschlüssel, die in eigenem Besitz sind, gewonnen werden, und nur das Gerät, das ein gültiges Recht besitzt, kann einen Authentifizierungsschlüssel entschlüsseln.
Wenn die Verteilung eines Schlüssels zur Prüfwerterzeugung benutzt wird, der von dem EKB Gebrauch macht, ist nur der gültige Rechteinhaber in der Lage, einen decodierbaren Prüfwerterzeugungsschlüssel sicher und mit geringerer Datenmenge zu verteilen.
Durch die Benutzung des Integritätsprüfwerts (ICV) von Inhalten, wie sie oben beschrieben wurde, können unberechtigte Kopien des EKB und von verschlüsselten Inhalten eliminiert werden. Wie in 21A und 21B dargestellt, sei z.B. angenommen, daß es ein Medium 1 gibt, in dem ein Inhalt C1 und ein Inhalt C2 zusammen mit einem zur Gewinnung von Inhaltsschlüsseln befähigten Aktivierungsschlüsselblock (EKB) gespeichert sind, der ohne Modifizierung auf ein Medium 2 kopiert wird. Es ist möglich, den EKB und die verschlüsselten Inhalte zu kopieren, die in einem Gerät benutzt werden können, das in der Lage ist, den EKB zu entschlüsseln.
Es ist eine Struktur vorgesehen, in der, wie in 21B dargestellt, Integritätsprüfwerte (ICV (C1, C2)) gespeichert sind, die Inhalten entsprechen, die in den entsprechenden Medien gespeichert sind. Der (ICV (C1, C2)) zeigt ICV = Hash (Kicv, C1, C2), der ein Integritätsprüfwert von Inhalten ist, der mit Hilfe der Hash-Funktion in dem Inhalt C1 und dem Inhalt C2 berechnet wird. In der Struktur von 21B sind in dem Medium 1 ein Inhalt 1 und ein Inhalt 2 korrekt gespeichert, ferner sind auf der Basis des Inhalts C1 und des Inhalts C2 erzeugte Integritätsprüfwerte(ICV (C1, C2)) gespeichert. In dem Medium 2 ist ein Inhalt 1 korrekt gespeichert, ferner ist dort ein auf der Basis des Inhalts C1 erzeugter Integritätsprüfwert (ICV (C1)) gespeichert. Es sei angenommen, daß (EKB, Inhalt 2), die bei dieser Struktur in dem Medium 1 gespeichert sind, in das Medium 2 kopiert werden. Wenn in dem Medium 2 ein Inhaltsprüfwert neu erzeugt wird, müssen ICV (C1, C2)) erzeugt werden. Dabei wird offensichtlich, daß abweichend von dem in dem Medium gespeicherten Kicv (C1) Inhalte verfälscht und aufgrund der unberechtigten Kopie neue Inhalte gespeichert werden. In dem Gerät zur Medienwiedergabe wird die ICV-Prüfung in dem Schritt vor dem Wiedergabeschritt ausgeführt, und es wird die Übereinstimmung zwischen dem erzeugten ICV und dem gespeicherten ICV geprüft. Falls keine Übereinstimmung besteht, wird ein Zustand wirksam, in dem keine Wiedergabe erfolgt, so daß die Wiedergabe von unrechtmäßig kopierten Inhalten verhindert werden kann.
Es kann ferner eine Struktur vorgesehen sein, bei der der Integritätsprüfwert (ICV) von Inhalten zur Verbesserung der Sicherheit neu geschrieben wird, um ihn auf der Basis von Daten zu erzeugen, die einen Zähler enthalten. Das heißt, diese Struktur dient zur Berechnung von ICV = Hash (Kicv, Zähler +1, C1, C2, ...). Hier wird ein Zähler (Zähler +1) als ein Wert gesetzt, der bei jedem Neuschreiben um 1 erhöht wird. Dabei wird eine Struktur benötigt, bei der ein Zählwert in einem sicheren Speicher gespeichert ist.
In der Struktur, in der der Integritätsprüfwert (ICV) von Inhalten nicht in dem gleichen Medium gespeichert werden kann wie die Inhalte, wird der Integritätsprüfwert (ICV) von Inhalten in einem separaten Medium gespeichert.
Wenn z.B. Inhalte in Medien, wie Nurlesespeichern oder normalen magneto-optischen Medien, gespeichert sind, bei denen keine Kopierschutzmaßnahmen getroffen sind, besteht die Möglichkeit, daß das Neuschreiben des ICV durch einen unberechtigten Benutzer erfolgt, wenn der Integritätsprüfwert (ICV) in dem gleichen Medium gespeichert ist, so daß die Aufrechterhaltung der Sicherheit des ICV mißlingt. In einem solchen Fall kann eine Struktur vorgesehen sein, bei der der ICV in einem sicheren Medium auf einer Host-Maschine gespeichert ist, wobei der ICV für die Kopiersteuerung (z.B. check-in/check-out, verschieben) benutzt wird, um dadurch eine sichere Verwaltung des ICV und eine Prüfung von Inhaltsverfälschungen zu ermöglichen.
Die entsprechende Struktur ist in 22 dargestellt. In 22 sind Inhalte in einem Medium 2201, wie einem Nurlesemedium oder einem normalen MO-Medium, gespeichert, bei dem keine Kopierschutzmaßnahmen getroffen sind, während die mit diesen Inhalten verknüpften Integritätsprüfwerte (ICV) in einem sicheren Medium 2202 auf einer Host-Maschine gespeichert sind, auf die der Benutzer keinen Zugriff hat, so daß ein unrechtmäßiges Neuschreiben des Integritätsprüfwerts (ICV) durch den Benutzer verhindert ist. Wenn in einer Struktur, wie sie oben beschrieben wurde, z.B. ein Gerät, auf dem ein Medium 2201 montiert ist, dieses Medium 2201 reproduziert, prüft ein PC oder ein Server, der eine Host-Maschine bildet, den ICV, um die Wiedergabeberechtigung zu beurteilen, wodurch die Wiedergabe von unrechtmäßig kopierten Inhalten oder verfälschten Inhalten verhindert werden kann.
[Kategorieklassifizierung einer hierarchischen Baumstruktur]
Es wurde die Struktur beschrieben, in der ein verschlüsselter Schlüssel als hierarchische Baumstruktur ausgebildet ist, wie sie in 3 dargestellt ist, z.B. als Wurzelschlüssel, Knotenschlüssel, Blattschlüssel usw., und in der ein Inhaltsschlüssel, ein Authentifizierungsschlüssel, ein ICV-Erzeugungsschlüssel oder ein Programmcode, Daten oder dgl. zusammen mit einem Aktivierungsschlüsselblock verschlüsselt und verteilt werden. Im folgenden wird ein Aufbau beschrieben, bei dem eine hierarchische Baumstruktur, die einen Knotenschlüssel oder dgl. definiert, für Kategorien von Geräten klassifiziert ist, um einen effizienten Schlüsselerneuerungsprozeß, eine Verteilung des verschlüsselten Schlüssels und eine Datenverteilung durchzuführen.
23 zeigt ein Beispiel für die Kategorieklassifikation einer hierarchischen Baumstruktur. In 23 ist in der obersten Stufe der hierarchischen Baumstruktur ein Wurzelschlüssel Kroot 2301 gesetzt, in der Zwischenstufe ist ein Knotenschlüssel 2302 gesetzt, und in der untersten Stufe ist ein Blattschlüssel 2303 gesetzt. Jedes Gerät innerhalb der Struktur speichert individuelle Blattschlüssel und eine Serie von Knotenschlüsseln von einem Blattschlüssel zu einem Wurzelschlüssel sowie einen Wurzelschlüssel.
Die Knoten von der obersten Stufe bis zu der Stufe M sind hier als Kategorieknoten 2304 gesetzt. Das heißt, jeder der Knoten in der Stufe M ist als Knoten zum Einstellen von Geräten einer spezifischen Kategorie gesetzt. Knoten und Blätter unterhalb der Stufe M+1 werden als Knoten und Blätter in Verbindung mit in ihrer Kategorie enthaltenen Geräten herangezogen mit einem Knoten in der Stufe M als oberstem Knoten.
In einem Knoten 2305 in der Stufe M von 23 ist z.B. eine Kategorie [Memory Stick (Handelsmarke)] gesetzt, und Knoten und Blätter unterhalb des Knotens 2305 sind als Knoten und Blätter ausschließlich für diese Kategorie gesetzt, die verschiedene Geräte enthalten, welche den Memory Stick benutzen. Das heißt, diejenigen unterhalb des Knotens 2305 sind als Ansammlung von Knoten und Blättern definiert, die mit Geräten verknüpft sind, die in der Memory-Stick-Kategorie definiert sind.
In einer Stufe, die einige Stufen unter der Stufe M liegt, kann ein Unterkategorie-Knoten 2306 gesetzt werden. So wird z.B. ein Knoten [Nurwiedergabe-Einheit] als Unterkategorie-Knoten gesetzt, der in der Kategorie des den Memory Stick benutzenden Geräts in einem Knoten zwei Stufen unter einem Knoten 2305 der Kategorie [Memory Stick] enthalten ist, wie dies in der Figur dargestellt ist. Ein Knoten 2307 für ein Telefon mit Musikwiedergabefunktion in der Kategorie der Nurwiedergabe-Einheit kann als Unterkategorie-Knoten gesetzt werden, und darunter können in der Kategorie des Telefons mit Musikwiedergabefunktion ein Knoten 2308 [PHS] und ein Knoten 2309 [tragbares Telefon] gesetzt werden.
Die Kategorie und die Unterkategorien können nicht nur in den Gerätearten gesetzt werden, sondern auch in unabhängig verwalteten Knoten, z.B. nach Hersteller, Inhalte-Provider, Abrechnungsorganisation oder dgl., d.h. in geeigneten Einheiten, wie Verarbeitungseinheit, Jurisdiktionseinheit oder Service-Providereinheit (diese werden allgemein als Entität bezeichnet). Wenn z.B. ein Kategorieknoten als exklusiv benutzter oberster Knoten einer von einem Spielmaschinenhersteller verkauften Spielmaschine XYZ gesetzt wird, können in der von den Herstellern verkauften Spielmaschine XYZ ein Knotenschlüssel und ein Blattschlüssel in der unteren Stufe unterhalb des obersten Knotens für den Verkauf gespeichert werden, wonach verschlüsselte Inhalten oder verschiedene Schlüssel verteilt werden und die Erneuerungsverarbeitung unter Erzeugung eines Aktivierungsschlüsselblocks (EKB) erfolgt, der aus Knotenschlüsseln und Blattschlüsseln unter dem obersten Knotenschlüssel gebildet wird, so daß Daten verteilt werden können, die lediglich für die Geräte unterhalb des obersten Knotens benutzt werden können.
Es kann eine Struktur vorgesehen sein, bei der der Knoten unterhalb eines obersten Knotens als verknüpfter Knoten der definierten Kategorie oder Unterkategorien gesetzt ist, so daß Hersteller, ein Inhalte-Provider oder die Steuerung eines obersten Knotens in der Kategoriestufe oder Unterkategoriestufe unabhängig einen Aktivierungsschlüsselblock mit dem Knoten als Spitze erzeugen, um ihn an die Geräte zu verteilen, die zu denen unterhalb des obersten Knotens gehören, und es kann eine Schlüsselerneuerung durchgeführt werden, die zu den Knoten anderer Kategorien gehören, die nicht zu dem obersten Knoten angehören, ohne daß die Geräte im geringsten beeinträchtigt werden.
INDUSTRIELLE ANWENDBARKEIT
Da bei dem Informationsverarbeitungssystem und -verfahren gemäß der Erfindung, wie oben beschrieben wurde, ein Inhaltsschlüssel, ein Authentifizierungsschlüssel, ein Inhaltsprüfwerterzeugungsschlüssel, Programmdaten oder dgl. mit einem Aktivierungsschlüsselblock (EKB) in einer Verschlüsselungsschlüsselkonstruktion einer Baumstruktur gesendet werden, läßt sich eine verschlüsselte Datenverteilung realisieren, bei der nur berechtigte Geräte eine Entschlüsselung vornehmen können, und die Quantität der verteilten Nachricht kann so klein wie möglich gehalten werden.
Falls eine Authentifizierungsverarbeitung in einem Common-Key-System oder einem Public-Key-System zusammen in einer Struktur zum Senden eines Inhaltsschlüssels, eines Authentifizierungsschlüssels, eines Inhaltsprüfwerterzeugungsschlüssels, von Programmdaten oder dgl. mit einem Aktivierungsschlüsselblock (EKB) benutzt wird, der einen verschlüsselten Schlüssel sowie ein Datenverteilungssystem mit einer Baumstruktur benutzt, läßt sich eine sichere Datenverteilung erreichen.
Bei dem Informationsverarbeitungssystem und -verfahren gemäß der Erfindung wird ein Integritätsprüfwert (ICV) des Inhalts in einem Aufzeichnungsmedium gespeichert, in dem auch die Inhalte gespeichert sind oder aber in anderen Medien, um eine Verfälschung von Inhalten oder das Kopieren zu prüfen. Auf diese Weise kann eine betrügerische Verteilung von Inhalten verhindert werden.
Da bei dem Informationsverarbeitungssystem und -verfahren gemäß der Erfindung durch jede Kategorie ein hierarchischer Baum klassifiziert ist und Knoten und Blätter unterhalb eines obersten Knotens, die durch die einzelnen Kategorie verwaltet werden, auf spezifische Geräte beschränkt sind, kann der Manager jeder Kategorie unabhängig einen Aktivierungsschlüsselblock (EKB) erzeugen und ihn kontrolliert an Geräte verteilen.

Claims

Informationsverarbeitungssystem mit Informationsverarbeitungsgeräten, die in einer hierarchischen Baumstruktur organisiert sind, die eine Mehrzahl von Endknoten aufweist, die über einen oder mehrere Zwischenknoten mit einem obersten Knoten verbunden sind, wobei jedes Gerät einem Knoten entspricht, der ein Blatt der Baumstruktur bildet, und jedes Gerät Mittel (180) aufweist, die einen Schlüsselsatz speichern, der einen für dieses Gerät eindeutigen Blattschlüssel, den Wurzelschlüssel des obersten Knotens und die Knotenschlüssel von jedem der Knoten in einem direkten Pfad zwischen dem Knoten dieses Geräts und dem obersten Knoten umfaßt, und eine Verarbeitungseinrichtung (150), die betreibbar ist, um verschlüsselte Daten, die an dieses Gerät ausgegeben werden, unter Verwendung des genannten Schlüsselsatzes zu entschlüsseln, und mit einer Nachrichtendaten-Verteilungseinrichtung, die vorgesehen ist, um einen Aktivierungsschlüsselblock (EKB) zu erzeugen, der einen neuen Schlüssel für wenigstens einen Knoten aus einer Gruppe von Knoten umfaßt, denen wenigstens ein Knoten gemeinsam ist, wobei der neue Schlüssel durch den Schlüssel eines anderen Knotens der Gruppe verschlüsselt ist, und Nachrichtendaten, die mit dem von dem Aktivierungsschlüsselblock gelieferten neuen Schlüssel verschlüsselt sind, wobei die Nachrichtendaten verschlüsselte Inhalte (801) enthalten, die Nachrichtendaten (801, 802, 803) und der Aktivierungsschlüsselblock getrennt sind und die Nachrichtendaten eine Verknüpfung (804) enthalten, die die Nachrichtendaten mit dem Aktivierungsschlüsselblock (805) verknüpft.
System nach Anspruch 1, bei dem mehrere verschiedene verschlüsselte Inhalte mit dem gleichen Aktivierungsschlüsselblock verknüpft sind.
System nach Anspruch 1 oder 2, bei dem der Aktivierungsschlüsselblock eine Mehrzahl von neuen Schlüsseln für entsprechende Knoten umfaßt, wobei jeder neue Schlüssel durch den Schlüssel eines untergeordneten Knotens der Gruppe verschlüsselt ist.
System nach Anspruch 1, 2 oder 3, bei dem die Nachrichtendaten einen Authentifizierungsschlüssel für die Benutzung in einem Authentifizierungsprozeß enthalten.
System nach Anspruch 1, 2 oder 3, bei dem die Nachrichtendaten einen Schlüssel zum Erzeugen eines Integritätsprüfwerts enthalten.
System nach Anspruch 1, 2 oder 3, bei dem die Nachrichtendaten einen Programmcode enthalten.
System nach einem der vorhergehenden Ansprüche, bei dem die Nachrichtendaten durch einen Inhaltsschlüssel verschlüsselt sind und der Inhaltsschlüssel durch einen Inhaltsschlüssel-Verschlüsselungsschlüssel verschlüsselt ist und der Inhaltsschlüssel-Verschlüsselungsschlüssel durch einen Schlüssel des Aktivierungsschlüsselblocks verschlüsselt ist.
System nach Anspruch 4, bei dem die Nachrichtendaten-Verteilungseinrichtung und jedes Gerät eine Authentifizierungsverarbeitungseinrichtung durch Durchführung eines Authentifizierungsprozesses aufweist, und bei dem die Verteilung der Nachrichtendaten unter der Bedingung durchgeführt wird, daß der Authentifizierungsprozeß zwischen der Nachrichtendaten-Verteilungseinrichtung und dem Gerät erfolgreich ausgeführt wurde.
System nach Anspruch 1, bei dem die genannte Gruppe Geräte umfaßt, die zu einer Kategorie gehören, die allein durch eine Geräteart, eine Art von Service oder eine Art von Verwaltungseinrichtung definiert ist.
System nach Anspruch 1, das ferner eine in der Baumstruktur der genannten Gruppe untergeordnete Untergruppe enthält, wobei die Untergruppe Geräte umfaßt, die zu einer Unterkategorie gehören, die durch eine Geräteart, eine Art von Service oder eine Art von Verwaltungseinrichtung definiert ist.
Gerät zur Verwendung in einem Informationsverarbeitungssystem mit Informationsverarbeitungsgeräten, die in einer hierarchischen Baumstruktur organisiert sind, die eine Mehrzahl von Endknoten aufweist, die über einen oder mehrere Zwischenknoten mit einem obersten Knoten verbunden sind, wobei jedes Gerät einem Knoten entspricht, der ein Blatt der Baumstruktur bildet, wobei das Gerät aufweist: Speichermittel (180), die einen Schlüsselsatz speichern, der einen für dieses Gerät eindeutigen Blattschlüssel, den Wurzelschlüssel des obersten Knotens und die Knotenschlüssel von jedem der Knoten in einem direkten Pfad zwischen dem Knoten dieses Geräts und dem obersten Knoten umfaßt, und eine Verarbeitungseinrichtung, die betreibbar ist, um zu entschlüsseln: (i) einen Aktivierungsschlüsselblock (EKB), der einen neuen Schlüsselsatz für das Gerät enthält, wobei der Schlüsselsatz wenigstens einen neuen Schlüssel für einen Knoten des Baums oberhalb des Knotens des Geräts umfaßt, (ii) Nachrichtendaten, die mit dem von dem Aktivierungsschlüsselblock gelieferten neuen Schlüssel verschlüsselt sind, wobei die Nachrichtendaten verschlüsselte Inhalte (801) enthalten, die Nachrichtendaten (801, 802, 803) und der Aktivierungsschlüsselblock getrennt sind und die Nachrichtendaten eine Verknüpfung (804) enthalten, die die Nachrichtendaten mit dem Aktivierungsschlüsselblock (805) verknüpft.
Informationsverarbeitungsverfahren, das mit einer Gruppe von Informationsverarbeitungsgeräten betreibbar ist, die in einer hierarchischen Baumstruktur organisiert sind, die eine Mehrzahl von Endknoten aufweist, die über einen oder mehrere Zwischenknoten mit einem obersten Knoten verbunden sind, wobei jedes Gerät einem Knoten entspricht, der ein Blatt der Baumstruktur bildet, wobei in jedem Gerät ein Schlüsselsatz gespeichert ist, der einen für dieses Gerät eindeutigen Blattschlüssel, den Wurzelschlüssel des obersten Knotens und die Knotenschlüssel von jedem der Knoten in einem direkten Pfad zwischen dem Knoten dieses Geräts und dem obersten Knoten umfaßt, wobei das Verfahren umfaßt: das Erzeugen eines Aktivierungsschlüsselblocks (EKB), der einen neuen Schlüssel für wenigstens einen Knoten aus einer Gruppe von Knoten umfaßt, denen wenigstens ein Knoten gemeinsam ist, wobei der neue Schlüssel durch den Schlüssel eines anderen Knotens der Gruppe verschlüsselt ist, und Nachrichtendaten (801, 802, 803), die mit dem von dem Aktivierungsschlüsselblock gelieferten neuen Schlüssel verschlüsselt sind, wobei die Nachrichtendaten verschlüsselte Inhalte (801) enthalten, die Nachrichtendaten und der Aktivierungsschlüsselblock getrennt sind und die Nachrichtendaten eine Verknüpfung (804) enthalten, die die Nachrichtendaten mit dem Aktivierungsschlüsselblock (805) verknüpft.
Verfahren nach Anspruch 12, bei dem mehrere verschiedene verschlüsselte Inhalte mit dem gleichen Aktivierungsschlüsselblock verknüpft sind.
Verfahren nach Anspruch 12 oder 13, bei dem der Aktivierungsschlüsselblock eine Mehrzahl von neuen Schlüsseln und für entsprechende eindeutige Knoten umfaßt, wobei jeder neue Schlüssel durch den Schlüssel eines untergeordneten Knotens der Gruppe verschlüsselt ist.
Verfahren nach Anspruch 12, 13 oder 14, bei dem die Nachrichtendaten einen Inhaltsschlüssel für die Benutzung durch ein Gerät zum Entschlüsseln von verschlüsselten Inhalten enthalten.
Verfahren nach Anspruch 12, 13 oder 14, bei dem die Nachrichtendaten einen Authentifizierungsschlüssel für die Benutzung in einem Authentifizierungsprozeß enthalten.
Verfahren nach Anspruch 12, 13 oder 14, bei dem die Nachrichtendaten einen Schlüssel zum Erzeugen eines Integritätsprüfwerts enthalten.
Verfahren nach Anspruch 12, 13 oder 14, System nach Anspruch 1, 2 oder 3, bei dem die Nachrichtendaten einen Programmcode enthalten.
Verfahren nach einem der Ansprüche 12 bis 18, bei dem die Nachrichtendaten durch einen Inhaltsschlüssel verschlüsselt sind und der Inhaltsschlüssel durch einen Inhaltsschlüssel-Verschlüsselungsschlüssel verschlüsselt ist und der Inhaltsschlüssel-Verschlüsselungsschlüssel durch einen Schlüssel des Aktivierungsschlüsselblocks verschlüsselt ist.
Verfahren nach Anspruch 16, das umfaßt die Ausführung eines Authentifizierungsprozesses zwischen einer Nachrichtendaten-Verteilungseinrichtung und jedem der genannten Informationsverarbeitungsgeräte und das Verteilen der Nachrichtendaten, falls die Authentifizierungsverarbeitung zwischen Nachrichtendaten-Verteilungseinrichtung und dem genannten Gerät erfolgreich ist.
Verfahren nach einem der Ansprüche 12 bis 20, das das Entschlüsseln des neuen Schlüssels und das Entschlüsseln der Nachrichtendaten mit dem neuen Schlüssel umfaßt.
Computerprogramm, das einen Computercode umfaßt, der, wenn er in ein Computersystem geladen und ausgeführt wird, veranlaßt, daß das Computersystem das Verfahren nach einem der Ansprüche 12 bis 21 implementiert.
Medium zum Bereitstellen eines Programms, das Instruktionen speichert, die wenigstens einen Teil eines Computersystems veranlassen, die dem Verfahren nach einem der Ansprüche 12 bis 21 entsprechenden Schritte auszuführen.
Informationsverarbeitungsverfahren zur Verwendung in einem Gerät eines Informationsverarbeitungssystems, das Informationsverarbeitungsgeräte aufweist, die in einer hierarchischen Baumstruktur organisiert sind, die eine Mehrzahl von Endknoten aufweist, die über einen oder mehrere Zwischenknoten mit einem obersten Knoten verbunden sind, wobei das Verfahren umfaßt: das Empfangen von Nachrichtendaten in dem genannten Gerät, die durch einen neuen Schlüssel verschlüsselt sind, der von einem Aktivierungsschlüsselblock geliefert wird, wobei die Nachrichtendaten verschlüsselte Inhalte enthalten, sowie eine Verknüpfung, die die Nachrichtendaten mit dem Aktivierungsschlüsselblock verknüpft, Benutzen der Verknüpfung, um auf den Aktivierungsschlüsselblock zuzugreifen, wobei der Aktivierungsschlüsselblock den neuen Schlüssel enthält und der neue Schlüssel durch den Schlüssel eines anderes Knotens einer Gruppe von Knoten verschlüsselt ist, die den Knoten des Geräts enthält, Entschlüsseln des neuen Schlüssels und Entschlüsseln der Nachrichtendaten.