JP2003511772A - オブジェクトおよびリソースセキュリティシステム - Google Patents

オブジェクトおよびリソースセキュリティシステム

Info

Publication number
JP2003511772A
JP2003511772A JP2001529658A JP2001529658A JP2003511772A JP 2003511772 A JP2003511772 A JP 2003511772A JP 2001529658 A JP2001529658 A JP 2001529658A JP 2001529658 A JP2001529658 A JP 2001529658A JP 2003511772 A JP2003511772 A JP 2003511772A
Authority
JP
Japan
Prior art keywords
information
authenticating
authorization
content
authorizing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2001529658A
Other languages
English (en)
Inventor
エリック ジェイ. スプランク,
Original Assignee
ジェネラル・インスツルメント・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ジェネラル・インスツルメント・コーポレイション filed Critical ジェネラル・インスツルメント・コーポレイション
Publication of JP2003511772A publication Critical patent/JP2003511772A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/254Management at additional data server, e.g. shopping server, rights management server
    • H04N21/2541Rights Management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/442Monitoring of processes or resources, e.g. detecting the failure of a recording device, monitoring the downstream bandwidth, the number of times a movie has been viewed, the storage space available from the internal hard disk
    • H04N21/44204Monitoring of content usage, e.g. the number of times a movie has been viewed, copied or the amount which has been watched
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4627Rights management associated to the content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/65Transmission of management data between client and server
    • H04N21/658Transmission by the client directed to the server
    • H04N21/6582Data stored in the client, e.g. viewing habits, hardware capabilities, credit card number
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/81Monomedia components thereof
    • H04N21/8166Monomedia components thereof involving executable data, e.g. software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/835Generation of protective data, e.g. certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/835Generation of protective data, e.g. certificates
    • H04N21/8355Generation of protective data, e.g. certificates involving usage data, e.g. number of copies or viewings allowed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Abstract

(57)【要約】 条件付けアクセスシステムにおいて、セキュアオブジェクトおよびリソースに対してチェックポイントを使用する。オブジェクトおよびリソースのセキュリティを保証するために、多くのチェックポイントで、認証および/または認可チェックが行なわれる。オブジェクトまたはリソースの目的が明らかである場合、および、オブジェクトまたはリソースを処理する間の他の時間、チェックポイントはこれらのチェックをトリガする。本発明は、情報をセキュアにするための方法であって、情報を受け取るステップと、第1の時間に該情報を認証するステップと、該情報を認可するステップと、該情報を格納するステップと、第2の時間に該情報を認証するステップとを包含し、該複数の認証ステップの少なくとも一方は、該情報からコードを計算するステップと、該コードを所定のコードと比較するステップとを含む。

Description

【発明の詳細な説明】
【0001】 (発明の背景) 本願は、1999年10月8日に出願された米国仮出願第60/158,49
1号と、1999年11月12日に出願された米国仮出願第60/165,09
4号と、1999年12月30日に出願された米国仮出願第60/174,03
7号とによって得られる利益を主張する。
【0002】 (発明の背景) 本発明は概して、セキュアな(secure)アクセスシステムに関し、より
詳細には、情報のセキュア化に関する。
【0003】 ケーブルテレビ(TV)プロバイダは、加入者への映像ストリームの配信を条
件付きのアクセス(CA)システムを経由して行う。CAシステムは、映像スト
リームを、ケーブルTVプロバイダのヘッドエンドから、加入者と関連付けられ
たセットトップボックスへと配信する。ヘッドエンドは、映像ストリームを受信
して、その映像ストリームをCAシステム内のセットトップボックスへと配信す
るハードウェアを含む。セットトップボックスに選択操作が行われると、ケーブ
ルTVプロバイダから当該セットトップボックスへと送られる権利付与情報に従
って、特定の映像ストリームが解読化され得る。同様の方法で、他の映像番組プ
ロバイダも、パラボラアンテナを用いて、映像コンテンツをセットトップボック
スに無線配信する。
【0004】 映像番組は、全てのセットトップボックスにブロードキャストされるが、特定
の映像番組へのアクセスが与えられるのは、これらのボックスのうちほんの一部
のボックスである。例えば、ペイ・パー・ビューのボクシング試合を例にとると
、各セットトップボックスはその試合の暗号化データストリームを受信するもの
の、その試合を視聴することができるのは、ペイ・パー・ビューのボクシング試
合を注文したボックスのみである。ユーザはペイ・パー・ビュー番組を注文する
と、暗号化された様態の権利付与メッセージが、全セットトップボックスにブロ
ードキャストされる。権利付与メッセージは、特定のセットトップボックスのみ
によって解読化が可能になるように意図されている。解読された権利付与メッセ
ージの内部には、ペイ・パー・ビュー番組を復号する鍵が存在する。セットトッ
プボックスは、その鍵を用いて、ペイ・パー・ビュー番組が受信されたときにそ
のペイ・パー・ビュー番組をリアルタイムで復号する。権利付与メッセージに署
名を行うシステムもある。
【0005】 数時間分の映像の格納が実用化されたのはごく最近のことである。各映像番組
は、圧縮されたMPEG2データストリームとしてセットトップボックスに送信
される。1時間分の映像は、約1ギガバイト分の圧縮データに相当する。今日、
数ギガバイトの格納は当たり前となっているため、数時間分の映像を格納するこ
とが可能となっている。それとは対照的に、従来のCAシステムは、コンテンツ
は短命なものであり、格納不可能なものであるとの前提に作られている。言い換
えれば、従来のシステムは、映像番組の容量は大き過ぎて、いかなる期間にわた
っても格納は不可能であるとの前提にたって設計されている。当業者であれば理
解するように、数ギガバイトの映像番組の格納能力が出現したことによって、C
Aシステムには、さらなるセキュリティ手段が必要となっている。
【0006】 パーソナルコンピューティングをTVに組み込んで、コンテンツを表示するシ
ステムもある。ウェブTVTMなどの商品では、ウェブのブラウジング機能および
Eメール機能がTVに組み込まれている。他のシステムでは、パーソナルコンピ
ュータ(PC)を、ウェブブラウジング機能およびEメール機能のコンテンツを
提供するインターネットサービスプロバイダ(ISP)に接続している。ソフト
ウェアプログラム(例えば、Eメールプログラム)は容量が小さい場合が多く、
格納も容易である。当業者であれば、PCでは適切なセキュリティが得られない
ため、ウィルスおよびハッカーによる攻撃を受け易いことを認識している。
【0007】 上述したように、従来のCAシステムでは、映像ストリームの権利付与状態を
チェックしているだけである。格納容量が大きくなり、インターネットに関連す
るプログラムが小容量化している。今、ユーザの元にコンテンツを無期限に格納
および常駐させることが可能となっている。このコンテンツへの制御を維持する
ために、さらなるセキュリティ手段が必要となっている。
【0008】 (発明の要旨) 本発明によれば、条件付きのアクセスシステムにおいて、オブジェクトおよび
リソースにセキュリティをかける。複数のチェックポイントにおいて認証のチェ
ックおよび/または認可のチェックを行って、上記オブジェクトおよびリソース
のセキュリティを保障する。チェックポイントがこれらのチェックをトリガする
のは、上記オブジェクトまたはリソースの目的が明白となったときと、上記オブ
ジェクトまたはリソースが処理されるときである。
【0009】 特定の実施形態において、情報をセキュアにするプロセスが開示される。情報
を受信した後、先ずはじめに、その情報に認証作業を行う。上記情報は、認可お
よび格納もされる。特定のポイントにおいて、上記情報に認証作業を再度行う。
【0010】 別の実施形態において、コンテンツ配信システムが開示される。上記コンテン
ツ配信システムは、メモリと、ネットワークポートと、複数のチェックポイント
とを含む。コンテンツは、ネットワークポートによって受信され、上記メモリ中
に保持される。コンテンツの各部分は、少なくとも2つのチェックポイントを通
過させられる。
【0011】 さらに別の実施形態において、情報に認証および認可を行う方法が開示される
。情報が受信された後と、上記情報に対して、認証および認可が行われる。認証
状態または認可状態のいずれかを再度チェックするプロセスが実行される。
【0012】 さらに別の実施形態において、条件付きのアクセスセットトップボックスに供
給されるコンテンツに対して認証および認可を行う方法が開示される。上記条件
付きのアクセスセットトップボックスにおいて、コンテンツが受信される。先ず
、上記条件付きのアクセスセットトップボックス内において、上記コンテンツに
認証を行う。上記セットトップボックス内において上記コンテンツがアクセスさ
れると、上記コンテンツに対して認証を再度行う。
【0013】 以下の詳細な説明を添付の図面と共に参照すれば、本発明のより深い理解が得
られる。
【0014】 (特定の実施形態の説明) 本発明では、テレビセットトップボックス中に情報が存在する限り、当該情報
に対して認証および認可を行う。格納媒体のサイズの拡大と、新規な種類のコン
テンツのサイズの縮小とによって、情報源を認証し、当該情報の利用を認可する
ための新規なセキュリティ手段が必要となっている。
【0015】 図面中、同様の構成要素および/または機能には、同様の参照符号が付されて
いる。さらに、別々の構成要素であって同じ種類のものであるものには、ダッシ
ュおよび第2の参照符号を付して、同様の構成要素を区別できるようにしている
。本明細書において第1の参照符号のみが用いられている場合、その参照符号に
関する説明内容は、第2の符号を有する複数の同様の構成要素のいずれにも適用
可能である。
【0016】 先ず図1を参照して、コンテンツ配信システム100の一実施形態のブロック
図が図示されている。この配信システム100は、特定の条件が満たされると、
複数のユーザに対してコンテンツを選択的に提供する。システム100中には、
ヘッドエンド104と、複数のセットトップボックス108と、ローカル番組内
容受信器112と、パラボラアンンテナ116と、インターネット120とが含
まれる。
【0017】 ヘッドエンド104は、コンテンツを受信して、そのコンテンツをユーザに配
信する。コンテンツは、映像、音声、双方向映像、ソフトウェア、ファームウェ
ア、および/またはデータを含み得る。このコンテンツは、様々なソースから受
信される。様々なソースの例を挙げると、パラボラアンンテナ116、ローカル
番組内容受信器112、マイクロ波受信器、パケット切換えネットワーク、イン
ターネット120などが挙げられる。各セットトップボックス108は、一意に
定まるアドレスを有し、これにより、権利付与情報を個々のセットトップボック
ス108に送ることが可能となる。このようにして、1つのセットトップボック
ス108−1にいくつかの特定のコンテンツに対する権利を付与する一方、別の
セットトップボックス108−2には権利を付与しないことが可能となる。ヘッ
ドエンド104内の機器は、当該コンテンツに対するセットトップボックス10
8の権利付与状態を調節する。
【0018】 コンテンツは一般的には、複数のコンテンツストリームを含むアナログ搬送波
チャンネルを介して、デジタル形式で配信される。全てのコンテンツストリーム
は互いに多重化されてデジタルストリームにされ、アナログ搬送波チャンネル上
に変調される。別個のコンテンツストリームがパケット識別(PID)情報によ
って分離され、これにより、これらの個々のコンテンツストリームをその一意に
定まるPID情報に従って除去できるようにする。この実施形態のシステム10
0において、およそ120個のアナログ搬送波チャンネルが存在する。他の実施
形態では、パラボラアンテナ、マイクロ波アンテナ、RF送信器、パケット切換
えネットワーク、セルラーデータモデム、搬送波電流、電話線またはインターネ
ットを用いてコンテンツを配信することも可能である。
【0019】 次いで図2を参照して、表示システム200の実施形態のブロック図が図示さ
れている。この実施形態は、複数のレベルのオブジェクトおよびリソースセキュ
リティを様々なセキュリティレベルを介して提供する。表示システム200内に
は、セットトップボックス108と、ネットワーク208と、プリンタ212と
、TVディスプレイ216と、無線入力デバイス218とが含まれる。これらの
アイテムは、コンテンツプロバイダから提供されるコンテンツをユーザが楽しむ
ことができるような様式で協働する。コンテンツは、映像、音声、ソフトウェア
、ファームウェア、双方向TV、データ、または他の情報であり得る。この実施
形態において、コンテンツプロバイダは、ケーブルTVプロバイダである。
【0020】 ネットワーク208は、セットトップボックス108とケーブルTVプロバイ
ダのヘッドエンド104との間を行き来する情報のためのコンジットとして機能
する。この実施形態において、ネットワークは、120個のアナログチャンネル
と、1個の2方向制御データチャンネルとを有する。アナログチャンネルは一般
的には、コンテンツを搬送し、制御情報および権利付与情報を搬送するのは制御
データチャンネルである。各アナログ搬送波チャンネルは、1つのデータストリ
ームとして多重化された複数のデジタルチャンネルを有し、これらのデジタルチ
ャンネルは、パケット識別子(PID)によって区別される。この2方向制御チ
ャンネルは、帯域外チャンネルであり、セットトップボックス108へデータを
1つの周波数でブロードキャストし、ボックス108からのデータを別の周波数
で受信する。帰還データは、当該分野において周知の格納方法および転送方法を
用いてキューに入れることが可能であり、これにより、利用量がピークに達する
時期のオーバーロードを低減する。他の実施形態では、制御情報およびコンテン
ツ情報の両方についてケーブルモデムまたはデジタル加入者線(DSL)を用い
ることが可能であり、その場合、コンテンツは、パケット切換えデータとしてフ
ォーマットされる。
【0021】 プリンタ212はオプションのアクセサリであり、特定のユーザが、プリンタ
212を購入して、自身の表示システム200に追加することができる。セット
トップボックス108をパーソナルコンピュータタスク用に用いる場合、プリン
タ212は、データ(例えば、Eメール、ウェブページ、課金情報)を印刷する
ことを可能にする。以下にさらに詳細に説明するように、プリンタなどの周辺機
器を使用する能力は、認可チェックによって調節される。この調節機能を用いる
と、セットトップボックス108との適合性を有するプリンタ212は、適切な
認可が得られるまで機能しない。
【0022】 TVディスプレイ216は、コンテンツに対応する音声および/または映像を
ユーザに提示する。このディスプレイ216は通常、アナログ映像信号を受信し
、このアナログ映像信号は、チャンネル3、チャンネル4または混成チャンネル
に対応する搬送波上に変調される。セットトップボックス108は、例えばNT
SC信号を生成し、このNTSC信号は、適切なチャンネルに変調される。他の
実施形態では、テレビディスプレイ216の代わりに映像モニタまたはデジタル
ディスプレイを用いることも可能である。デジタルディスプレイを用いると、デ
ジタルディスプレイ(例えば、液晶ディスプレイ)ではデジタル情報を用いて表
示対象ピクチャが表現されるため、セットトップボックス108によってアナロ
グ変換を行う必要性が軽減する。
【0023】 無線入力デバイス218は、ユーザとセットトップボックス108との間の対
話を可能にする。このデバイス218は、リモートコントロール、マウス、キー
ボード、ゲームコントローラ、ペンタブレット、または他の入力機構であり得る
。入力デバイス218上の赤外線トランシーバは、セットトップボックス108
上の類似のトランシーバと通信して、無線通信を可能にする。他の実施形態にお
いて、赤外線トランシーバの代わりにRFリンクまたは有線リンクを用いること
も可能である。
【0024】 セットトップボックス108は、オブジェクトおよびリソースの認証および認
可を行う構成要素部分を有する。オブジェクトは、デジタル情報(例えば、ソフ
トウェア、ドライバ、ファームウェア、データ、映像、または音声)の任意の集
合である。リソースは、オブジェクトが意図されたように動作するためにオブジ
ェクトにとって必要なもの(例えば、別のオブジェクトまたは物理的デバイス)
全てである。セットトップボックス108内には、コントローラ220と、メモ
リ228と、プリンタポート232と、ネットワークポート236と、アクセス
制御プロセッサ240と、ディスプレイインターフェース244と、赤外線(I
R)ポート248とが含まれる。これらのブロックは、バス132を介して互い
に通信し、その際、各ブロックは、ブロックを一意に定まった様式で識別するた
めの異なるアドレスを有する。
【0025】 コントローラ220は、信頼性のあるまたはセキュアなオペレーティングシス
テムを用いて、セットトップボックス108の動作を管理する。コントローラ2
20において行われる機能は、デジタルオブジェクトの解読および解凍などの機
能ならびに当該ユーザのためにTVチャンネルを切り換える機能およびユーザに
メニューを提示する機能などである。コントローラ内には、プロセッサと、暗号
化エンジンと、ローカルメモリと、コンピューティングシステムにおいて一般的
に用いられる他のアイテムとが含まれる。
【0026】 他の実施形態において、コントローラ220は、鍵の保護または暗号の処理の
目的のために、付属のセキュアなマイクロプロセッサも含み得る。このようなマ
イクロプロセッサは、高レベルのセキュリティが所望される特定のシステムにお
いて適切であり得る。
【0027】 セットトップボックス108は、メモリ228のブロックを含む。このメモリ
228は、ソリッドステートメモリ(例えば、RAM、ROM、フラッシュメモ
リ、および他の種類の揮発性メモリおよび不揮発性メモリを含み得る)である。
オブジェクトおよびリソースは、メモリ内に格納され、後で実行される。実行の
間、番組はメモリ228にロードされ、メモリ228内において実行され、メモ
リ228をスクラッチパッドスペースとしても用いる。鍵、シリアルナンバーお
よび認可情報は、不揮発性フラッシュメモリ格納され得る。
【0028】 この実施形態は、オプションのプリンタ212とインターフェースをとるプリ
ンタポート232を含む。このプリンタポート232のリソースは、認可を受け
た番組のみに利用可能となる。以下にさらに詳細に説明するように、各オブジェ
クトは、リソース(例えば、プリンタポート232)を利用するためには、認可
を得なければならない。プリンタポート232からプリンタ212へのデータ送
信は、有線伝送機構または無線伝送機構を経由して直列的または並列的に行われ
る。
【0029】 一般的に言うと、チェックポイントとは、処理時間または処理工程においてオ
ブジェクトの認証ステータスおよび/または認可ステータスを確認するポイント
のことである。印刷作業がリクエストされると、チェックポイントが生じる。チ
ェックポイントは、印刷をリクエストしているオブジェクトに対して認可および
認証を行う。チェックポイントとは、1つのオブジェクト内の場所のことであり
、ここで、別のオブジェクトに対する認証および/または認可が行われる(例え
ば、オペレーティングシステムが実行中のアプリケーションに対して認証状態お
よび認可状態をチェックする)。理想的には、チェックポイントが行われるのは
、オブジェクトの目的が明白になったときである。プリンタポート232の場合
、プリンタポート232の目的が明白になるのは、何かを印刷するためにプリン
タポート232が用いられる場合である。従って、プリンタポート232のリソ
ースを用いてオブジェクトをチェックするようにチェックポイントがトリガされ
るのは、何かが印刷されようとする場合である。印刷用チェックポイントは通常
、オペレーティングシステム内にある。
【0030】 ネットワークポート236は、セットトップボックス108とヘッドエンド1
04との間の2方向通信を可能にする。ネットワークポート236内には、チュ
ーナと、復調器とが含まれる。この復調器は、アナログ搬送波チャンネルにチュ
ーニングしてMPEGデータストリームを復調し、これにより、コンテンツの1
方向配信を可能にする。ネットワークポート236内には、制御データ情報およ
び/またはコンテンツの2方向通信を可能にする制御データトランシーバまたは
ケーブルモデムも含まれる。制御データ経路からヘッドエンド104へのローデ
ィングの配信をより一様に行うための格納方法および転送方法を用いてもよい。
【0031】 TVディスプレイ216との適合性を有するアナログ信号上にデジタル映像信
号を変調する工程は、ディスプレイインターフェース244によって行われる。
上述したように、TVディスプレイ216は一般的には、チャンネル3、チャン
ネル4または混成チャンネル上で変調された信号を受け取る。デジタル入力を受
け取るディスプレイ(例えば、LCDディスプレイ)の場合、ディスプレイイン
ターフェース244は、デジタル入力に必要内のあらゆるフォーマット化を行う
【0032】 IRポート248は、無線入力デバイス218との2方向通信を行う。IRポ
ート248内には、入力デバイス218との無線通信経路を提供するIRトラン
シーバが含まれる。IRポート248内の他の電子機器は、トランシーバによっ
て受信されたアナログ信号を対応するデジタル信号に変換し、対応するデジタル
信号をトランシーバに送られるアナログ信号を変換する。コントローラ220は
、セットトップボックス108内の機能のいくつかをユーザが制御することがで
きるように、デジタル信号の処理を行う。
【0033】 アクセス制御プロセッサ(ACP)240は、セットトップボックス108内
のセキュリティ機能を調節する。例えば、以下の記載を読めば明らかなように、
ACP240は、認証および認可を、コントローラ220による指示のもとでま
たはコントローラ220から独立して行う。自身のタスクを行うために、ACP
240、プロセッサと、コントローラ220から独立してソフトウェアを協働実
行するRAMおよびROMとを含む。ACP240はまた、コンテンツの解読お
よび署名の計算を行うための解読エンジンおよびハッシュ関数も含む。いくつか
の実施形態において、コントローラ220上で実行されるソフトウェアにチェッ
クポイントを埋め込んで、これらのチェックポイントにより、ACP240をト
リガして、セキュリティチェックを行わせる。
【0034】 ACP240は、オペレーティングシステム(OS)を追尾(shadow)
して、OSの適切な機能を保障することもできる。オブジェクトが開始するのを
観察することにより、ACP240は、どのアプリケーションオブジェクトが実
行中であるかをモニタリングし得る。必要であれば、チェックポイントにおいて
エラーが検出された場合または認可期限が切れた場合、ACP240は、実行中
のアプリケーションを停止させ得る。さらに、ACP240は、メモリ228を
モニタリングして、メモリ228において認可されていないあらゆるアプリケー
ションも検出し得る。スクラッチパッドのメモリサイズもモニタリング可能であ
り、これにより、スクラッチパッドメモリ内に隠れているアプリケーションを検
出する。さらに、ACP240は、メモリ中のオブジェクト上のチェックポイン
トをランダムに実行して、これらのチェックポイントに対する認可状態および/
または認証状態を確認し得る。ACP240によって生じる問題は、OSまたは
ヘッドエンド104のいずれかに報告される。これらの様式により、ACP24
0は、セットトップボックス108内のソフトウェアセキュリティガードボット
(guard bot)として機能し、これにより、異常な挙動が検出および報
告される。
【0035】 所望の機能およびセットトップボックス108において必要なセキュリティに
応じて、コンテンツ配信システム100において異なるレベルのセキュリティが
活性化される。第1のレベルのセキュリティにおいて、オブジェクトは、暗号化
された形式でネットワーク208を経由してセットトップボックス108に送ら
れる。解読鍵を含む権利付与メッセージが、セットトップボックス108に送ら
れる。この解読鍵を用いて、セットトップボックス108は、オブジェクトの解
読および使用を行うことができる。
【0036】 次いで図3を参照して、第1のセキュリティレベルのオブジェクトを配信する
プロセスの実施形態のフロー図が図示されている。このプロセスは、ステップ3
04から開始し、ヘッドエンド104内に権利付与メッセージが生成される。こ
の権利付与メッセージには、鍵と関連付けられたオブジェクトを解読することを
可能にする鍵が含まれる。ステップ308において、権利付与メッセージおよび
オブジェクトが、ネットワーク208を介してセットトップボックス108に送
られる。権利付与メッセージおよびオブジェクトは、受信された後、ステップ3
16において共に相関付けられる。ステップ320、324および328におい
て、この鍵は、権利付与メッセージから抽出され、この鍵を用いてオブジェクト
を解読した後、この鍵はメモリ228に書き込まれる。このプロセスにより、暗
号化を用いてオブジェクトに認証および認可の両方を行うことが可能になる。
【0037】 次いで図4を参照して、第2のセキュリティレベルのオブジェクトを配信する
プロセスの実施形態のフロー図が図示されている。第2のレベルのセキュリティ
において、ダウンロードの際、署名を用いてオブジェクトを認証する。言い換え
ると、第2のレベルのセキュリティは、ダウンロードされようとするオブジェク
ト上にチェックポイントを課す。この署名は、認可メッセージの部分とステップ
404におけるヘッドエンド104内のオブジェクトメッセージとを含む署名グ
ループを通じて生成される。認可メッセージは、オブジェクトメッセージに関連
するメタデータであり、オブジェクトメッセージは、セットトップボックス10
8用のオブジェクトを含む。
【0038】 ステップ408において、認可メッセージ中の署名と、オブジェクトとを、ネ
ットワーク208を介してセットトップボックス108に別々に送信する。好適
には、非対称署名(例えば、RSA、DSAまたはECCを用いた書名)が用い
られるが、(例えば、DESまたはトリプルDESなどの)非対称署名を用いて
もよい。署名およびオブジェクトが受信されたときでかつオブジェクトが格納さ
れる前の時点において、ステップ420および424において、その署名を計算
し、ACP240によってチェックする。計算された署名と受信された署名とが
整合した場合、ステップ428においてそのオブジェクトを格納する。あるいは
、計算された署名と受信された署名とが整合しなかった場合、ステップ432に
おいてオブジェクトを破棄し、処理ループはステップ412に戻って、別のオブ
ジェクトのコピーを待機する。
【0039】 図5〜7を参照して、認可メッセージ500、オブジェクトメッセージ600
および署名グループ700をそれぞれブロック図形式で図示されている。図5の
認可メッセージ500内には、認可ヘッダ504と、認可データ構造508と、
署名512と、第1のチェックサム516とが含まれる。この認可メッセージ5
00は、オブジェクトメッセージ600に認証および認可を両方行う際に用いら
れる情報を有する。図6のオブジェクトメッセージは、オブジェクトヘッダ60
4と、オブジェクト608と、第2のチェックサム612とから形成される。オ
ブジェクトメッセージ600は、オブジェクト608に関する伝送物として機能
する。署名グループ700は、認可メッセージ500の構成要素と、終端間で構
成されたオブジェクトメッセージ600とを含む。署名512は、署名グループ
700全体を介して計算される。より詳細には、図7の署名グループ700は、
認可ヘッダ504と、認可データ構造508と、オブジェクトヘッダ604と、
オブジェクト608とを含む。
【0040】 認可ヘッダ504は、認可メッセージ500の構成を示す。ヘッダ504内に
は、サブタイプの識別子およびメッセージバージョンが含まれる。このサブタイ
プの識別子は、様々な種類の認可メッセージ500をそれぞれ区別する。この実
施形態において、オブジェクトおよびリソースに対応する認可メッセージのサブ
タイプが存在する。オブジェクトのサブタイプは対応するオブジェクトメッセー
ジ600を有するが、リソースのサブタイプは対応するオブジェクトメッセージ
600を有さない。そのため、サブタイプ識別子を用いて、認可メッセージ50
0と関連付けられたオブジェクトメッセージ600が存在するか否かを判定する
。所与のシステムについて複数の種類のオブジェクトのサブタイプと、リソース
のサブタイプとが存在し得、そのメッセージのバージョンにより、様々な種類を
区別することが可能となる。
【0041】 認可データ構造508は、セットトップボックス108に認可情報を提供する
。オブジェクトに対応する認可メッセージのサブタイプの場合、認可データ構造
508は、オブジェクト識別子と、ソフトウェアのバージョンと、コスト情報と
、権利付与情報と、寿命情報と、1つ以上のプログラム層(tier)とを含む
。オブジェクト識別子は、各オブジェクト608に対して一意に定まり、認可メ
ッセージ500をそのオブジェクトに対応するオブジェクトメッセージ600に
とすることを可能にする。バージョン情報は、データ構造508中に含まれ、オ
ブジェクト608のバージョンを示す。
【0042】 認可データ構造508の部分を用いて、セットトップボックス108に対する
オブジェクト608の利用可能性を判定する。コスト情報は、セットトップボッ
クス108と、(時折)ユーザとに対して、オブジェクト608と関連付けられ
た価格を提示する。この権利付与情報を用いて、特定のセットトップボックス1
08がオブジェクト608を受け取ることを認可されているか否かを判定する。
オブジェクト608が非対称鍵によって暗号化されている場合、この権利付与情
報は鍵を含み得る。セットトップボックス108がそのオブジェクトについて認
可を受けていない場合、対応するオブジェクト608が受信されたときにその対
応するオブジェクト608を処理する必要はない。寿命情報によって、オブジェ
クト608の認可に期限を設けることが可能になり、これにより、特定の日付ま
たは時期後の使用が不可能となる。番組内容層を用いて、オブジェクト608の
認可を事前規定された層に制限して、これにより、セットトップボックス108
は、事前規定された層内のオブジェクト608のみにアクセスできる。
【0043】 署名512を用いて、認可メッセージ500の部分および対応するオブジェク
トメッセージ600の部分の両方が真正であることを確認する。署名グループ全
体に対してハッシュ関数(例えば、SHA−1またはMD5)を実行して、その
後、その結果を署名アルゴリズム(例えば、RSA)を通じて実行して、署名を
生成する。あるいは、ハッシュ関数において単純なCRCアルゴリズムを用いる
こともでき、その後、その結果を暗号化アルゴリズム(例えば、トリプルDES
およびDES)を通じて送って、署名を生成する。認可メッセージ500をコン
パイルする際、ヘッドエンド104は、署名グループ700全体にわたって署名
512を計算し、その後、その署名512を認可メッセージ500に挿入する。
セットトップボックス108は、認可メッセージ500およびオブジェクトメッ
セージ600を両方受信すると、署名グループ700の署名を計算する。署名は
、計算された後、受信された署名と抗してチェックされ、これにより、認可メッ
セージ500およびオブジェクトメッセージ600の両方の部分が認証される。
署名が整合しなかった場合、そのオブジェクトメッセージ600は不適切なソー
スから来たものである可能性があるため、セットトップボックス108は、その
オブジェクトメッセージ600を破棄する。
【0044】 第1のチェックサム516および第2のチェックサム612を、線形アルゴリ
ズムまたは非線形アルゴリズムのいずれかを用いて計算する。これらのチェック
サム516、612は、データがネットワーク208を介してセットトップボッ
クス108に伝送されてきたときのそのデータのエラー完全性(error i
ntegrity)を確認する。例えば、このチェックサムは、周期的冗長チェ
ック(CRC)であり得る。メッセージ500が送信されると、メッセージスプ
ーラ208はチェックサム516を計算し、そのチェックサム516をメッセー
ジ500の端部上に追加する。逆に言うと、セットトップボックス108は、メ
ッセージ500が受信されたときにチェックサムを計算し、計算されたチェック
サムを、受信されたメッセージ500中のチェックサム516と抗してチェック
する。計算されたチェックサムと受信されたチェックサムとが整合しない場合、
伝送エラーが発生している。メッセージ500、600のうちエラーが発生した
ものは破棄され、その後、ヘッドエンド104は取換えメッセージ500、60
0を送信し得る。
【0045】 オブジェクトヘッダ604は、オブジェクトメッセージ600の属性を含む。
オブジェクトヘッダ604内には、ヘッダ長と、オブジェクト長と、オブジェク
ト識別子と、ソフトウェアバージョンと、ドメイン識別子とが含まれる。ヘッダ
長およびオブジェクト長はそれぞれ、オブジェクトヘッダ604の長さおよびオ
ブジェクト608の長さを示す。上述したように、オブジェクト識別子は、一意
に定まるコードを提供する。この一意に定まるコードは、認可メッセージ500
をオブジェクトメッセージ600に属性付けることを可能にする。ソフトウェア
のバージョンは、オブジェクトのバージョンを示す。異なるケーブルTVプロバ
イダにドメイン識別子が割り当てられ、これにより、オブジェクト608を受信
する可能性のあるセットトップボックス108全てが、自身のドメインと関連付
けられたオブジェクト608を審査する(screen)行うことが可能になる
【0046】 オブジェクト608は、システム100の設計によってセットトップボックス
108に配信するようになっているコンテンツを含む。1つのオブジェクトに複
数の種類の情報(例えば、実行可能なプログラム、ファームウェアの更新、実行
時間プログラム(例えば、Java(登録商標)またはActiveX(登録商
標))、番組内容の予定、課金情報、映像、音声、またはデータ)を埋め込むこ
とが可能である。オブジェクト608は、認証および認可の直後でもずっと後で
も使用することが可能である。さらに、認可を、特定の期間が経過した後に期限
切れとなるようにプログラムすることも可能である。
【0047】 ここで特に図7を参照して、署名グループ700が図示されている。このグル
ープ700は、認可メッセージ500およびオブジェクトメッセージ600の両
方の部分から構成される。署名512を計算する際に用いられるデータは全て、
署名グループ700に含まれる。署名を行うためには認可メッセージ500およ
びオブジェクトメッセージ600両方からの構成要素が必要となるため、署名チ
ェックが失敗した場合、それは、認可メッセージ500およびソフトウェアメッ
セージ600のうち一方が信頼性のあるソースから来たものであることが確認で
きなかったことを示す。信頼性のあるソースは、署名512を生成したケーブル
TVプロバイダである。
【0048】 次に、図8を参照して、第3のセキュリティレベルでオブジェクトをロードす
るためのプロセスの実施形態を示す。この実施形態は起動する前のオブジェクト
を認証し、それにより、ネットワークオペレータによる承諾が確認される。第1
のステップ804において、コントローラ220は、メモリ228から、認可メ
ッセージ500およびオブジェクトメッセージ600を読み出す。オブジェクト
メッセージ600は、ステップ808において、ACP240にロードされ、認
可メッセージ500は、ステップ812においてロードされる。
【0049】 オブジェクトメッセージ600および認可メッセージ500がロードされると
、署名グループ700の全ての構成要素は、ACP240に利用可能になる。ス
テップ816において、ACP240は、署名グループ700に対する署名を計
算する。ACP240は、ステップ824において、認可メッセージ500の署
名512が計算された署名と整合するか否かについて判定する。整合する場合、
オブジェクト608は認可され、オブジェクト608はOSによってメモリ22
8にロードされ、実行することが許容される。あるいは、署名が整合しない場合
、ACP240は、オブジェクト608を破棄し、OSにエラーを通知する。署
名512の不整合は、格納の間の改竄、オブジェクト608にとってかわる海賊
版またはオブジェクト608を改竄するウィルスに起因し得る。
【0050】 図9を参照して、第4のセキュリティレベルでオブジェクトをロードするため
のプロセスの実施形態のフロー図を示す。この実施形態は、オブジェクト608
を起動する前に認可をチェックする。上記で説明したレベル1のセキュリティレ
ベルと同様に、この実施形態は、認可チェックを行なうために暗号化を使用する
。第1のステップ904において、オブジェクトメッセージ600は、暗号化し
た形態でメモリ228に書き込まれる。ある実施形態において、オブジェクトメ
ッセージ600は暗号化された形態でネットワーク208から受け取られ、それ
により、さらなる暗号化ステップは不用である。
【0051】 オブジェクト608をロードすることが望まれる場合、認可メッセージ500
およびオブジェクトメッセージ600は、ステップ908においてメモリ228
から検索される。認可メッセージ500は、オブジェクトメッセージ600を復
号化するために必要なキーを含む。そのキーおよびオブジェクトメッセージ60
0は、ステップ912において、ACPにロードされる。オブジェクト608は
ステップ916において復号化される。復号化のために使用されたキーがオブジ
ェクト608に対して認可されたものでない場合、復号化プロセスは不成功であ
り、その結果の生成物は解読できない。あるいは、キーがステップ920におい
て正しい場合、平文オブジェクトは、実行のためにOSに戻される。
【0052】 次に図10を参照して、第4のセキュリティレベルでオブジェクをロードする
ためのプロセスの別の実施形態のフロー図を図示する。この実施形態において、
認可メッセージ500の権利付与(entitlement)は、ロードされる
前にオブジェクト608が認可されていることを確認するために、チェックされ
る。ステップ1004において、認可メッセージ500はメモリ228から読み
出される。次に、コントローラ220は、ステップ1008において、認可メッ
セージ500をACP240にロードする。
【0053】 ACP240が認可メッセージ500を有すると、その内部の権利付与情報は
ステップ1012でチェックされる。権利付与情報をチェックすることによって
オブジェクト608が認可されるかどうかについて、ステップ1016において
、判定される。オブジェクト608が認可されると、OSによってメモリにロー
ドされ、実行される。あるいは、オブジェクト608を使用するための権利付与
がない場合、ステップ1024において、OSは認可の試みが失敗したことが通
知され、オブジェクト608は破棄される。
【0054】 上記で説明してないが、レベル4の認証は、一般的に、レベル3の認証と同時
に、オブジェクト608がロードされる前に、行なわれる。認可はより早いプロ
セスであるので、認可は認証よりも前に行なわれる。認証および認可を行なった
後に、OSに戻されるステータスは、NOT AUTHORIZED、AUTH
ORIZED BUT NOT AUTHENTICATEDまたはAUTHO
RIZED AND AUTHENTICATEDである。
【0055】 図11を参照して、第5のセキュリティレベルで連続的に実行されるオブジェ
クトをチェックするためのプロセスの実施形態のフロー図を示す。理解され得る
ように、実行されるオブジェクトは、また、置きかえられず、または、修正され
ないことを確実にするように、認証されるべきである。さらに、認可を定期的に
検証することによって、ある期間の間、連続的に実行されるアプリケーションの
満了が可能になる。所定の期間を使用し得るか、または、予測不可能に変化する
期間も使用し得る。
【0056】 そのプロセスは、オブジェクト608がメモリ228から読み出されるステッ
プ1104で始まる。オブジェクト608をロードする前に、オブジェクト60
8は第1の署名を有するが、オブジェクト608がメモリ228にロードされた
後には、ロードされたオブジェクトの署名は異なる。当業者が認識するように、
アドレスは仮想アドレスから物理アドレスに変換され、それにより、署名が変化
する。したがって、署名は、ステップ1108において、ロードされたオブジェ
クトを示す第2の署名を生成するように再計算される。第2の署名が変化しない
ように、オブジェクトがメモリ228にロードされて、保持されるべきであるこ
とに留意されたい。例えば、ロードされたオブジェクトは、署名が変更されるよ
うな自己書き換えコードを有するべきではない。
【0057】 OSは、定期的な認証および認可をトリガする、一定間隔にスケジュールされ
たチェックポイントを有する。ステップ1112において、プロセスは、次にス
ケジュールされたチェックポイントを待つ。一般的に、これらのスケジュールさ
れたチェックポイントは、少なくとも毎週または毎月、生じる。ケーブルTVサ
ービスに毎月支払いされるように、課金サイクルの後に、非認可の連続的に実行
されるアプリケーションをチェックすることが望ましい。認証および認可は、認
可メッセージ500をロードすることによってステップ1116において実行さ
れ、オブジェクトおよび第2の署名がACP240内にロードされる。
【0058】 ステップ1116において実行される認証および認可が首尾よく実行されたか
どうかについて、ステップ1120において判定する。首尾よい場合、プロセス
は、次のチェックポイントを待つステップ1112にループして戻る。あるいは
、認可または認証のいずれかが失敗であることをチェックした場合には、オブジ
ェクトはメモリ228から取り除かれ、破棄される。好ましくは、ACP240
はスケジュールされたチェックポイントを判定するための時間ソースである。A
CP240は、認可の満了することを避けるために時計を戻すように設定される
攻撃の影響を受けにくい。さらに、ACP240は時間を変更し得るアプリケー
ションソフトウェアを実行せず、時間を変更するためのセキュアなコマンドを要
求する。セキュアなコマンドは、暗号化を使用し得るか、または、任意の時間変
化の認証を保証するために署名し得る。
【0059】 次に図12を参照して、オブジェクトのフリープレビューを可能にするプロセ
スの実施形態のフロー図をセキュリティレベル6で示す。当該分野において周知
であるように、ユーザは、恐らく購入する前に、ソフトウェアを試すことを望む
。したがって、セキュリティの第6のレベルでは、購入が要求される前に、ある
期間、ソフトウェアの使用を可能にする。
【0060】 そのプロセスは、オブジェクト608がメモリ228から検索されるステップ
1204から始まる。ステップ1208において、オブジェクト608はメモリ
228にロードされ、その後、実行が開始される。試行期間が終了した場合にゼ
ロにカウントダウンするカウントダウンタイマは、ステップ1212で始まる。
カウントアップタイマでも、試行期間の満了を決定することができることが理解
されるべきである。ユーザは、ステップ1216において、試行期間が終了する
まで、オブジェクト608のサンプルを試す。サンプルを試す期間の終了は、ス
テップ1220において、カウントダウンタイマがより低い範囲またはゼロに達
する場合に通知することによって、決定される。
【0061】 ユーザは、ステップ1224においてオブジェクト608を購入するオプショ
ンが与えられる。購入画面は、セットトップボックス108によってオブジェク
ト608の購入を促すように、明確化されてユーザに提示される。購入が選択さ
れない場合、オブジェクト608は、ステップ1232において、メモリ228
から取り除かれ、破棄される。あるいは、ステップ1228における購入を反映
するために、オブジェクトはメモリにとどまり、権利付与情報は更新される。他
の実施形態は、永続的に実行可能であるが、購入バージョンにある決定的な特徴
を失っている不具のデモンストレーションソフトウェアを使用することができる
。ユーザは不具のバージョンを好む場合、ユーザは、失われた決定的な特徴を得
るためにフルバージョンを購入するかもしれない。
【0062】 図13を参照して、セキュリティレベル7でセキュリティチェックをモニタす
るためのプロセスの実施形態を、フロー図の形態で示す。この実施形態において
、ACP240は、チェックポイントを定期的に巡るダブルチェックに対してO
Sをシャドウ(shadow)する。そのプロセスは、最後のOSチェックポイ
ントの時間が記録されるステップ1304から始まる。チェックポイントは、O
Sまた他のソフトウェアの所定の位置に存在し、認証の確認および/または認可
の確認を行なう。ACP240は、一般的に、認証および認可プロセスに関与す
るので、ACP240はチェックポイントの実行を追跡し得る。ステップ130
8において、カウントダウンタイマが開始される。前と同じように、このカウン
タは、また、ダウンよりもむしろアップをカウントし得ることに留意されたい。
【0063】 ステップ1312において、チェックポイントがACP240によって観察さ
れたかどうかについて判定を行なう。チェックポイントが観察された場合、処理
ループは、カウントダウンタイマがリセットされるステップ1304に戻るよう
にループし、それにより開始からふたたび始められる。あるいは、チェックポイ
ントが観察されない場合、ステップ1316において、タイマのチェックが実行
される。カウンタが満了していない場合、処理ループはステップ1312に戻り
、チェックポイントの観察のために再びテストされる。タイマがチェックポイン
トに達することなく満了する場合、処理は、ACP240がヘッドエンド104
にエラーバックしたことを報告する、ステップ1320に続く。
【0064】 上記の実施形態は、単一のオブジェクト608のチェックポイントのテストを
説明してきたが、チェックポイントのテストは、セットトップボックス108内
の各オブジェクト608に、上述した態様で行われ得ることが理解されるべきで
ある。カスタム基準は、オブジェクト608の実行のエラーを検出するために、
各オブジェクト608に対して設計され得る。さらに、信頼された、または、セ
キュアなオペレーティングシステムは、通常、逸脱した挙動をチェックするため
のACP240を必要としないことに留意されたい。ハッカー、侵入者、ウィル
スおよびメモリエラーを阻止するためには、オペレーティングシステムの正常な
機能をチェック(すなわち、規則的なチェックポイントのチェック)は、セキュ
リティの追加の層を追加する。
【0065】 次に図14を参照して、セキュリティの第8のレベルを得るためにトークンを
使用するプロセスの実施形態のフロー図を示す。この実施形態は、オブジェクト
608の認可をチェックするために暗号テキストトークンを使用する。暗号テキ
ストトークンは、正常な動作にとって重要なオブジェクトの符号化部分である。
暗号テキストトークンの復号化は、適切な実行を可能にするようにオブジェクト
608に挿入される平文トークンを生成する。
【0066】 ステップ1404において、暗号テキストトークンを作成するオブジェクトの
一部を符号化することによって、プロセスは始まる。暗号テキストトークンの復
号化に必要なキーは、ステップ1408において、ACP240に格納され、オ
ブジェクト608に相関される。暗号テキストトークンを内包するオブジェクト
は、購入を待つステップ1412において、メモリ228に書き込まれる。その
プロセスは、ステップ1416において、ユーザがオブジェクト608を購入す
るまで、待機する。ステップ1418において、暗号テキストトークンは、オブ
ジェクトから取り除かれ、復号化のためにACP240に送信される。その結果
生じる平文トークンは、ステップ1420においてOSに戻され、ステップ14
24においてオブジェクト608を機能的にするようにオブジェクト608に組
み込まれる。オブジェクト608全体よりもむしろオブジェクト608の一部の
みを符号化することによって、復号化プロセスはスピードアップされる。
【0067】 上記の説明は、オペレーティングシステム上のアプリケーションまたはオブジ
ェクト608を実行することに関する。そのコンセプトは、JAVA(登録商標
TM仮想マシン(JVM)上で実行するJAVA(登録商標)TMアプリケーショ
ンに同様に適用可能である。この概要を支援するために、上位および下位のコン
セプトが、図15に関連して説明される。上位および下位は、チェックポイント
を別のオブジェクトに課す責任性をどのオブジェクト608が有するかを規定す
る。チェックポイントは、他のオブジェクト608およびリソースで生じる正常
なやりとりの間に、オブジェクト608に課せられる。
【0068】 図15を具体的に参照して、セットトップボックス108のオブジェクト60
8およびリソースのいくつかを示す。図15の下の方のオブジェクトは、図15
の上部近傍のオブジェクトより上位である。すなわち、図15の上部の方のオブ
ジェクトは、その図の下の方のオブジェクトに対して下位である。上位オブジェ
クトは、下位オブジェクトにチェックポイントを課す責任を負う。例えば、ハー
ドウェア1504は、BIOS1508、OS1512などの下位階層にチェッ
クポイントを課す。BIOS1508は、OS1512にチェックポイントを課
すが、ハードウェア1504には課さない。同じ位の階層のオブジェクトは、そ
れらがやりとりする場合にその階層の別のオブジェクトにチェックポイントを課
し得る。例えば、アプリケーション1516は、ドライバ1518のチェックポ
イントの実行を要求し得る。
【0069】 上位オブジェクトは、ACP240に関連するチェックポイントの実行を開始
するように設計され、下位オブジェクトは、それらに課せられるチェックポイン
トを有するように設計される。例えば、BIOS1508は、ブートプロセスの
間、実行の間、および/または、実行中に定期的に、OS1512のチェックポ
イントの実行を必要とする。ドライバオブジェクト1518は、正常動作の間に
、インストールされるか、または、エキササイズされる場合に、チックポイント
を受ける。データファイルオブジェクト1522は、ファイルのデータがアクセ
スされるたびに、チェックポイントを受ける。HTMLオブジェクト1528は
、HTMLオブジェクト1528がブラウザアプリケーション1516によって
翻訳されるたびに、チェックポイントの一部として再検討される。
【0070】 上述の説明の観点から、本発明の多くの利点が容易に明らかになる。認可およ
び/または認証をチェックする多くのチェックポイントを有することにより、よ
り堅固なセキュリティを提供する。この追加されたセキュリティで、ケーブルT
V略奪者は、オブジェクトを盗みにくくなり、ウィルスを見逃すおそれが低くな
り、ハッカーの検出がより多くなる。
【0071】 本発明の多くの変形および改変は、また、用いられ得る。例えば、上述の議論
では、多くのセキュリティレベルを説明している。それらのレベルを組み合わせ
て、特定のシステムのセキュリティの目標を達し得ることが理解されるべきであ
る。さらに、上記の実施形態はケーブルTVプロバイダに関するが、その原理は
衛星TVシステム、インターネットサービスプロバイダ、コンピュータシステム
およびコンテンツのほかのプロバイダに同様に適用可能である。
【0072】 上記の実施形態は、オブジェクトのいくつかの価格設定方法を説明した。他の
実施形態は、初めの使用にある価格を必要とし、定期的にさらなる維持費を必要
とし得る。さらに、価格設定は、特徴に対して追加料金を必要とする使用あたり
の料金であり得る。例えば、eメールプログラムの起動はある価格であり、各e
メールの印刷は、さらなる料金を追加する。さらにまた、映像は、再生の一時停
止および停止が可能であるが、2回番組をみることができないように、実行時間
の2倍よりも短い時間に等しい寿命を有し得る。ビデオゲームは、例えば、1時
間または1日の寿命に設定し得る。
【0073】 本発明の具体的な実施形態を参照して、本発明を説明してきたが、その実施形
態は、本発明の例示的なものにすぎず、限定的なものではない。本発明の範囲は
、特許請求の範囲によってのみ決定される。
【図面の簡単な説明】
【図1】 図1は、コンテンツを配信するシステムの一実施形態を示すブロック図である
【図2】 図2は、セットトップボックスと自身の環境との間のインターフェースの実施
形態を示すブロック図である。
【図3】 図3は、第1のセキュリティレベルのオブジェクトを配信するプロセスの実施
形態を示すフロー図である。
【図4】 図4は、第2のセキュリティレベルのオブジェクトを配信するプロセスの実施
形態を示すフロー図である。
【図5】 図5は、認可メッセージの実施形態を示すブロック図である。
【図6】 図6は、オブジェクトメッセージの実施形態を示すブロック図である。
【図7】 図7は、認可メッセージおよびオブジェクトメッセージの部分を含む署名グル
ープの実施形態を示すブロック図である。
【図8】 図8は、第3のセキュリティレベルのオブジェクトをロードするプロセスの実
施形態を示すフロー図である。
【図9】 図9は、第4のセキュリティレベルのオブジェクトをロードするプロセスの実
施形態を示すフロー図である。
【図10】 図10は、第4のセキュリティレベルのオブジェクトをロードするプロセスの
別の実施形態を示すフロー図である。
【図11】 図11は、第5のセキュリティレベルの連続的に実行されるオブジェクトをチ
ェックするプロセスの実施形態を示すフロー図である。
【図12】 図12は、セキュリティレベル6のオブジェクトの無料の(free)プレビ
ューを可能にするプロセスの実施形態を示すフロー図である。
【図13】 図13は、セキュリティレベル7のセキュリティチェックをモニタリングする
プロセスの実施形態を示すフロー図である。
【図14】 図14は、第8のレベルのセキュリティを達成するための実行トークンを用い
たプロセスの実施形態を示すフロー図である。
【図15】 図15は、セットトップボックス中の異なるオブジェクト間の関係を示すブロ
ック図である。
───────────────────────────────────────────────────── フロントページの続き (31)優先権主張番号 60/174,037 (32)優先日 平成11年12月30日(1999.12.30) (33)優先権主張国 米国(US) (31)優先権主張番号 09/580,303 (32)優先日 平成12年5月26日(2000.5.26) (33)優先権主張国 米国(US) (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,MZ,SD,SL,SZ,TZ,UG ,ZW),EA(AM,AZ,BY,KG,KZ,MD, RU,TJ,TM),AE,AG,AL,AM,AT, AU,AZ,BA,BB,BG,BR,BY,BZ,C A,CH,CN,CR,CU,CZ,DE,DK,DM ,DZ,EE,ES,FI,GB,GD,GE,GH, GM,HR,HU,ID,IL,IN,IS,JP,K E,KG,KP,KR,KZ,LC,LK,LR,LS ,LT,LU,LV,MA,MD,MG,MK,MN, MW,MX,MZ,NO,NZ,PL,PT,RO,R U,SD,SE,SG,SI,SK,SL,TJ,TM ,TR,TT,TZ,UA,UG,US,UZ,VN, YU,ZA,ZW Fターム(参考) 5B017 AA03 BA06 BB10 CA15 CA16 5B085 AE23 AE29 BG02 BG07 5C064 CB01 CC04 5J104 DA02 GA03 KA09 PA07

Claims (24)

    【特許請求の範囲】
  1. 【請求項1】 情報をセキュアにするための方法であって、 情報を受け取るステップと、 第1の時間に該情報を認証するステップと、 該情報を認可するステップと、 該情報を格納するステップと、 第2の時間に該情報を認証するステップと を包含し、該複数の認証ステップの少なくとも一方は、 該情報からコードを計算するステップと、 該コードを所定のコードと比較するステップと を含む、方法。
  2. 【請求項2】 認可チェックおよび認証チェックの少なくとも一方をトリガ
    するイベントを検出するステップをさらに包含する、請求項1に記載の情報をセ
    キュアにするための方法。
  3. 【請求項3】 前記イベントは、チェックポイント、予測不可能な期間、所
    定の期間および所定のスケジュールの少なくとも1つである、請求項2に記載の
    情報をセキュアにするための方法。
  4. 【請求項4】 前記情報は、ソフトウェア、ドライバ、ファームウェア、映
    像、音声およびデータの少なくとも1つを含む、請求項1に記載の情報をセキュ
    アにするための方法。
  5. 【請求項5】 前記第1の時間に該情報を認証するステップは、ダウンロー
    ドの後に該情報を認証するステップを含み、 前記第2の時間に該情報を認証するステップは、該情報を使用する前に、該情
    報を認証するステップを含む、請求項1に記載の情報をセキュアにするための方
    法。
  6. 【請求項6】 前記情報を検索するステップであって、ここで、該情報はア
    プリケーションを含む、ステップと、 該アプリケーションを認証するステップと、 該アプリケーションを実行するステップと をさらに包含する、請求項1に記載の情報をセキュアにするための方法。
  7. 【請求項7】 前記アプリケーションを認証するステップは、該情報の少な
    くとも一部の復号を含む、請求項6に記載の情報をセキュアにするための方法。
  8. 【請求項8】 第1の認可情報を受け取るステップと、 該第1の認可情報を代替する第2の認可情報を受け取り、認可の権利を拡大す
    るステップと をさらに包含する、請求項1に記載の情報をセキュアにするための方法。
  9. 【請求項9】 アプリケーションの実行の間にチェックポイントを識別する
    ステップと、 該識別ステップに応じて、認証および認可の少なくとも一方を行なうステップ
    と をさらに包含する、請求項1に記載の情報をセキュアにするための方法。
  10. 【請求項10】 コンテンツを格納するメモリと、 コンテンツを受け取るネットワークポートと、 ソフトウェアの複数のチェックポイントと を備え、 コンテンツの部分の各々は少なくとも2つのチェックポイントを受け、 該複数のチェックポイントの各々は、認証および認可の少なくとも一方を開
    始し、 該複数のチェックポイントは、少なくとも1つの認可と少なくとも2つの認
    証を含む、コンテンツ配送システム。
  11. 【請求項11】 前記コンテンツは、ソフトウェア、ドライバ、ファームウ
    ェア、映像、音声およびデータの少なくとも1つを含む、請求項10に記載のコ
    ンテンツ配送システム。
  12. 【請求項12】 前記ネットワークポートに接続されたコンテンツプロバイ
    ダをさらに備える、請求項10に記載のコンテンツ配送システム。
  13. 【請求項13】 認証および認可の少なくとも一方を行なうアクセス制御プ
    ロセッサをさらに備える、請求項10に記載のコンテンツ配送システム。
  14. 【請求項14】 情報を受け取るステップと、 該情報を認証するステップであって、ここで、該認証するステップは、 該情報からコードを計算するステップと、 該コードを所定のコードと比較するステップと を含む、ステップと、 該情報を認可するステップと、 認証および認可の少なくとも一方をチェックするプロセスを実行するステップ
    と を包含する、情報を認証および認可するための方法。
  15. 【請求項15】 前記認証および認可の少なくとも一方をトリガするイベン
    トを検出するステップをさらに包含する、請求項14に記載の情報を認証および
    認可するための方法。
  16. 【請求項16】 前記イベントは、チェックポイント、予測不可能な期間、
    所定の期間および所定のスケジュールの少なくとも1つである、請求項15に記
    載の情報を認証および認可するための方法。
  17. 【請求項17】 前記情報を認証するステップは、該情報の少なくとも一部
    の復号を含む、請求項14に記載の情報を認証および認可するための方法。
  18. 【請求項18】 前記情報は、ソフトウェア、ドライバ、ファームウェア、
    映像、音声およびデータの少なくとも1つを含む、請求項14に記載の情報を認
    証および認可するための方法。
  19. 【請求項19】 第1の認可情報を受け取るステップと、 該第1の認可情報を代替する第2の認可情報を受け取り、認可の権利を拡大す
    るステップと をさらに包含する、請求項14に記載の情報を認証および認可するための方法。
  20. 【請求項20】 条件付きアクセスセットトップボックスに供給されるコン
    テンツを認証および認可するための方法であって、 該条件付きアクセスセットトップボックス内で該コンテンツを受け取るステッ
    プと、 該コンテンツを認可するステップと、 第1の時間に該条件付きアクセスセットトップボックス内の該コンテンツを認
    証するステップと、 該コンテンツが該条件付きアクセスセットトップボックス内でアクセスされる
    場合、第2の時間に該コンテンツを認証するステップと を包含し、該複数の認証ステップの少なくとも一方は、 該情報からコードを計算するステップと、 該コードを所定のコードと比較するステップと を含む、方法。
  21. 【請求項21】 前記コンテンツはオブジェクトおよびリソースの一方を含
    む、請求項20に記載のコンテンツを認証および認可する方法。
  22. 【請求項22】 前記条件付きアクセスセットトップボックスは、画像表示
    装置に組み込まれている、請求項20に記載のコンテンツを認証および認可する
    方法。
  23. 【請求項23】 前記所定のコードは、デバイスから離れた点から開始する
    、請求項1に記載の情報をセキュアにするための方法。
  24. 【請求項24】 前記所定のコードは前記条件付アクセスセットボックスか
    ら離れた点から開始する、請求項20に記載のコンテンツを認証および認可する
    方法。
JP2001529658A 1999-10-08 2000-10-06 オブジェクトおよびリソースセキュリティシステム Withdrawn JP2003511772A (ja)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
US15849199P 1999-10-08 1999-10-08
US60/158,491 1999-10-08
US16509499P 1999-11-12 1999-11-12
US60/165,094 1999-11-12
US17403799P 1999-12-30 1999-12-30
US60/174,037 1999-12-30
US58030300A 2000-05-26 2000-05-26
US09/580,303 2000-05-26
PCT/US2000/027632 WO2001028232A1 (en) 1999-10-08 2000-10-06 Object and resource security system

Publications (1)

Publication Number Publication Date
JP2003511772A true JP2003511772A (ja) 2003-03-25

Family

ID=27496341

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001529658A Withdrawn JP2003511772A (ja) 1999-10-08 2000-10-06 オブジェクトおよびリソースセキュリティシステム

Country Status (7)

Country Link
EP (1) EP1222814A1 (ja)
JP (1) JP2003511772A (ja)
KR (1) KR20020038807A (ja)
CN (1) CN1402935A (ja)
AU (1) AU7996500A (ja)
CA (1) CA2386984A1 (ja)
WO (1) WO2001028232A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005096121A1 (ja) * 2004-04-02 2005-10-13 Matsushita Electric Industrial Co., Ltd. 実行装置
JP2008113104A (ja) * 2006-10-30 2008-05-15 Hitachi Ltd コンテンツ復号鍵抽出方法およびコンテンツ受信装置

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020032903A1 (en) 2000-05-26 2002-03-14 Sprunk Eric J. Authorization using ciphertext tokens
FR2816783B1 (fr) * 2000-11-10 2003-10-17 Guillaume Dubost Dispositif electronique, systeme informatique et procede pour la mise a disposition instantanee de donnees audiovisuelles

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5646997A (en) * 1994-12-14 1997-07-08 Barton; James M. Method and apparatus for embedding authentication information within digital data
US5625693A (en) * 1995-07-07 1997-04-29 Thomson Consumer Electronics, Inc. Apparatus and method for authenticating transmitting applications in an interactive TV system
KR20000064791A (ko) * 1997-01-27 2000-11-06 엠. 제이. 엠. 반 캄 콘텐트 정보 및 그것과 관련된 추가정보를전송하는 방법 및 시스템
US6069647A (en) * 1998-01-29 2000-05-30 Intel Corporation Conditional access and content security method
EP0946019A1 (en) * 1998-03-25 1999-09-29 CANAL+ Société Anonyme Authentification of data in a digital transmission system
US6865675B1 (en) * 1998-07-14 2005-03-08 Koninklijke Philips Electronics N.V. Method and apparatus for use of a watermark and a unique time dependent reference for the purpose of copy protection

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005096121A1 (ja) * 2004-04-02 2005-10-13 Matsushita Electric Industrial Co., Ltd. 実行装置
JP2008113104A (ja) * 2006-10-30 2008-05-15 Hitachi Ltd コンテンツ復号鍵抽出方法およびコンテンツ受信装置

Also Published As

Publication number Publication date
KR20020038807A (ko) 2002-05-23
CN1402935A (zh) 2003-03-12
AU7996500A (en) 2001-04-23
CA2386984A1 (en) 2001-04-19
EP1222814A1 (en) 2002-07-17
WO2001028232A1 (en) 2001-04-19

Similar Documents

Publication Publication Date Title
US8904424B2 (en) Object and resource security system
EP1228634B1 (en) Intrusion detection for object security
JP2004531160A (ja) 機能ユニットに対する条件付きアクセス
JP2006511106A (ja) フレキシブル・デジタルケーブルネットワーク・アーキテクチャ
US20060020790A1 (en) Authorization using ciphertext tokens in a content receiver
JP2003511772A (ja) オブジェクトおよびリソースセキュリティシステム
KR100679498B1 (ko) 오브젝트와 자원에 대한 액세스 자격 부여 방법

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20080108