JP2005317177A - 記録再生装置及び方法 - Google Patents

記録再生装置及び方法 Download PDF

Info

Publication number
JP2005317177A
JP2005317177A JP2005025628A JP2005025628A JP2005317177A JP 2005317177 A JP2005317177 A JP 2005317177A JP 2005025628 A JP2005025628 A JP 2005025628A JP 2005025628 A JP2005025628 A JP 2005025628A JP 2005317177 A JP2005317177 A JP 2005317177A
Authority
JP
Japan
Prior art keywords
recording
data
unit
removable hdd
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005025628A
Other languages
English (en)
Inventor
Yuichi Kanai
雄一 金井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sanyo Electric Co Ltd
Original Assignee
Sanyo Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sanyo Electric Co Ltd filed Critical Sanyo Electric Co Ltd
Priority to JP2005025628A priority Critical patent/JP2005317177A/ja
Priority to US11/078,627 priority patent/US20050232593A1/en
Priority to CN200510062787.5A priority patent/CN1677547A/zh
Publication of JP2005317177A publication Critical patent/JP2005317177A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/426Internal components of the client ; Characteristics thereof
    • H04N21/42661Internal components of the client ; Characteristics thereof for reading from or writing on a magnetic storage medium, e.g. hard disk drive
    • H04N21/42669Internal components of the client ; Characteristics thereof for reading from or writing on a magnetic storage medium, e.g. hard disk drive the medium being removable
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/433Content storage operation, e.g. storage operation in response to a pause request, caching operations
    • H04N21/4334Recording operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream, rendering scenes according to MPEG-4 scene graphs
    • H04N21/4405Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream, rendering scenes according to MPEG-4 scene graphs involving video stream decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream, rendering scenes according to MPEG-4 scene graphs
    • H04N21/4408Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream, rendering scenes according to MPEG-4 scene graphs involving video stream encryption, e.g. re-encrypting a decrypted video stream for redistribution in a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N5/00Details of television systems
    • H04N5/76Television signal recording
    • H04N5/78Television signal recording using magnetic recording
    • H04N5/781Television signal recording using magnetic recording on disks or drums
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N5/00Details of television systems
    • H04N5/76Television signal recording
    • H04N5/91Television signal processing therefor
    • H04N5/913Television signal processing therefor for scrambling ; for copy protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N5/00Details of television systems
    • H04N5/76Television signal recording
    • H04N5/91Television signal processing therefor
    • H04N5/913Television signal processing therefor for scrambling ; for copy protection
    • H04N2005/91357Television signal processing therefor for scrambling ; for copy protection by modifying the video signal
    • H04N2005/91364Television signal processing therefor for scrambling ; for copy protection by modifying the video signal the video signal being scrambled

Abstract

【課題】再生時の遅延の少ない記録再生装置を提供する。
【解決手段】記録再生装置は、リムーバブルHDDユニットにデジタルコンテンツを暗号化して記録し、リムーバブルHDDユニットに記録された暗号化デジタルコンテンツを復号して再生する。デジタルコンテンツを復号するためのコンテンツ鍵は、一連の暗号入出力処理により入出力される。記録再生装置は、リムーバブルHDDユニットが利用可能となったときに(S400のY)、一連の暗号入出力処理のうち、機器認証処理を含む再生セッション確立処理(S402)を予め実行しておく。さらに並列して暗号入出力処理を実行可能であれば、記録セッション確立処理(S404)も実行しておく。ユーザから再生指示を受けたときは、記録再生装置は、機器認証処理をスキップし、後続の暗号入出力処理を実行して、コンテンツ鍵を入手する。
【選択図】図10

Description

本発明は、記録再生技術に関し、特に、秘匿すべきデータを暗号化して入出力する記録再生装置及び方法に関する。
近年、音楽や映像などのデジタル化が進み、地上波デジタル放送も開始されている。デジタルコンテンツは、画質や音質に劣化を生じさせることなく記録することが可能であり、ユーザの利便性が著しく向上したが、オリジナルと同じデータを無限に複製可能とすると、著作者の権利を著しく害することになる。そのため、デジタルコンテンツを記録・再生する装置を開発するにあたっては、著作権の保護を充分に考慮する必要がある。
著作権の保護を考慮したデジタルコンテンツの再生技術として、例えば、公開鍵暗号化方式に基づいて、暗号化コンテンツの復号鍵を暗号化して入出力する技術が提案されている(例えば、特許文献1参照)。公開鍵方式で暗号化されたデータを解読するには、かなりの計算量が必要であり、復号までに比較的時間がかかる。そのため、特許文献1に開示されたデータ再生装置では、公開鍵方式の認証に関わる処理を前もって行うことにより、再生処理をスムーズに開始することを特徴としている。
国際公開第WO01−043339号公報 特開2003−248557号公報
特許文献1のデータ再生装置は、1つのメモリカードからライセンスキーを受け取って、暗号化コンテンツデータを復号して再生する技術を開示するが、本発明者らは、記録と再生の双方が可能な装置を開発するにあたって、機密データの入出力経路を複数用意することを想到するに至った。この場合、複数の入出力経路を効率よく利用して機密データを入出力する技術が求められる。また、このような装置を、複数の記憶媒体を接続可能に構成する場合、事態はさらに複雑となる。
本発明はこうした状況に鑑みてなされたものであり、その目的は、秘匿すべきデータを暗号化して入出力する装置を改良し、ユーザの利便性を向上させる技術を提供することにある。
本発明のある態様は、記録再生装置に関する。この記録再生装置は、データを格納する記憶媒体との間で秘匿すべきデータを暗号化して入出力するための一連の暗号入出力処理を複数並列して実行可能に構成された暗号処理部と、複数の前記暗号入出力処理を管理する管理部と、を備え、前記管理部は、前記記憶媒体が利用可能になったときに、前記一連の暗号入出力処理のうち少なくとも一部を含むセッション確立処理を前記暗号処理部に実行させ、前記秘匿すべきデータを前記記憶媒体から読み出すための再生セッション確立処理を、前記秘匿すべきデータを前記記憶媒体へ書き込むための記録セッション確立処理よりも優先させることを特徴とする。
秘匿すべきデータは、例えば、暗号化されたデジタルコンテンツを復号するための復号鍵などであってもよい。暗号入出力処理は、例えば、公開鍵方式による機器の認証処理、秘匿すべきデータを暗号化するための一時的な暗号鍵の送受信処理、暗号化された秘匿すべきデータの送受信処理などを含んでもよい。これらの一連の処理のうち、少なくとも一部を予め実行しておくことにより、例えば、ユーザからデジタルコンテンツの記録又は再生の指示を受け付けたときには、セッション確立処理をスキップして、後続の暗号入出力処理を実行すればよいので、指示を受けてから、実際に記録又は再生が開始されるまでの遅延を軽減することができる。ここで、記録セッションよりも再生セッションを優先させることにより、再生時の遅延によりユーザにストレスを感じさせる事態を低減することができる。
前記記憶媒体は、該記録再生装置に対して着脱可能な記憶装置に設けられ、該記録再生装置は、複数の前記記憶装置を接続可能に構成され、前記記憶装置の着脱を検出する検出部を更に備えてもよい。管理部は、検出部により記憶装置が接続されたことを検出したときに、上述のセッション確立処理を実行してもよい。
前記セッション確立処理は、前記秘匿すべきデータの出力元の装置が、前記秘匿すべきデータの出力先の装置を認証する処理を含んでもよい。公開鍵方式の認証処理は、比較的時間がかかるので、記憶装置が利用可能となった時点で予め実行しておくことにより、再生時の遅延を軽減することができる。
該記録再生装置に接続され、利用可能な状態にある記憶媒体の数が、前記暗号処理部が並列して処理可能な暗号入出力処理の数よりも少ない場合、前記管理部は、利用可能な全ての記憶媒体との間で、前記再生セッション確立処理を前記暗号処理部に実行させ、以降、記憶媒体が利用不可能となるまで、前記暗号処理部は、前記秘匿すべきデータを前記記憶媒体から読み出すときに、前記再生セッション確立処理を省略してもよい。いったん再生のための認証が済んだ記憶媒体については、できる限りその状態を破棄せずに、再生待機状態を維持する。これにより、再生時の遅延を軽減することができる。
該記録再生装置に接続され、利用可能な状態にある記憶媒体の数が、前記暗号処理部が並列して処理可能な暗号入出力処理の数以上である場合、前記管理部は、前記秘匿すべきデータを前記記憶媒体へ書き込むときに、前記暗号処理部に、いずれかの記憶媒体に対して実行されていた前記再生セッション確立処理を破棄させ、前記秘匿すべきデータを前記記憶媒体へ書き込むための前記暗号入出力処理を実行させた後、再び前記再生セッション確立処理を実行させてもよい。並列して処理可能な暗号入出力処理が不足し、記録時に、いったん確立していた再生セッションを破棄する必要がある場合であっても、記録が終了した後に再び再生セッションを張り直すことで、再生待機状態に戻す。これにより、再生時の遅延を軽減することができる。
本発明の別の態様は、記録再生方法に関する。この記録再生方法は、データを格納する記憶媒体との間で秘匿すべきデータを暗号化して入出力するための一連の暗号入出力処理を複数並列して実行するとき、前記記憶媒体が利用可能になったときに、前記秘匿すべきデータを前記記憶媒体から読み出すための前記一連の暗号入出力処理のうち少なくとも一部を含む再生セッション確立処理を実行するステップと、利用可能な前記記憶媒体に対して前記再生セッション確立処理を実行した後、さらに並列して前記一連の暗号入出力処理を実行可能であるときに、前記秘匿すべきデータを前記記憶媒体に書き込むための前記一連の暗号入出力処理のうち、少なくとも一部を含む記録セッション確立処理を実行するステップと、前記再生セッション確立処理を実行した後、前記秘匿すべきデータの読み出しの指示を待機するステップと、前記読み出しの指示を受け付けたとき、前記一連の暗号化入出力処理のうち、前記再生セッション確立処理をスキップし、後続の処理を実行するステップと、を含むことを特徴とする。
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、秘匿すべきデータを暗号化して入出力する装置を利用するユーザの利便性を向上させる技術を提供することができる。
(第1の実施の形態)
図1は、第1の実施の形態に係る記録再生装置10の構成を示す。この記録再生装置10は、デジタル放送を受信する受信装置と、受信したデジタル放送の番組(コンテンツ)を記憶媒体に記録する記録装置と、記憶媒体に記録した番組を再生する再生装置の機能を有する。本実施の形態では、記憶媒体を備えた記憶装置の例として、記録再生装置10に着脱可能に構成されたリムーバブルハードディスクドライブ(HDD)ユニット300を利用する。
本実施の形態の記録再生装置10は、受信した番組の映像/音声データ(以下、単に「番組データ」と呼ぶ)をリムーバブルHDDユニット300に記録する際に、番組の著作権を保護するために、番組データを暗号鍵により暗号化してから記録する。以降、番組のデータを暗号化する鍵を「コンテンツ鍵」と呼ぶ。番組データは、いずれの暗号化方式で暗号化されてもよいが、本実施の形態では共通鍵方式で暗号化する場合について説明する。したがって、番組データを暗号化する鍵と復号する鍵は同一である。暗号化した番組データは、漏洩しても解読される危険性が低いので、通常のハードディスクのリード/ライトコマンドにより入出力する。しかし、番組データを再生するために必要なコンテンツ鍵は、漏洩してはならない機密性の高いデータであるから、機密性を重視した特別な入出力プロトコル(以下、「セキュアプロトコル」という)を用いて入出力する。本実施の形態では、公開鍵暗号方式を利用したセキュアプロトコルを採用する。本実施の形態では、着脱可能な記憶媒体に番組を記録するので、番組の記録又は再生の前に、機器の認証処理が必要となる。そのため、本実施の形態のセキュアプロトコルでは、機器の証明書をもとに認証処理を行い、証明書の正当性が確認されると、機密データの送受信を行うためのセッション(以下、「セキュアセッション」という)を確立する。
記録再生装置10が、リムーバブルHDDユニット300に記録された番組データを再生するとき、まず、セキュアプロトコルにより、リムーバブルHDDユニット300からコンテンツ鍵を読み出す必要があるが、公開鍵暗号の解読はかなりの計算量があり、比較的長い処理時間を要する。そのため、ユーザが再生開始を指示してからコンテンツ鍵の読み出しを開始すると、ユーザが再生開始を指示してから実際に再生が開始されるまでに遅延が生じ、ユーザを待たせることになってしまう。
このような問題を解決するために、実施の形態に係る記録再生装置10では、セキュアプロトコルによる入出力の処理系統(セッション)を複数並列して処理可能にPKIセキュアモジュール200を構成し、さらに、それらのセッションを優先的に再生のためのセッションに割り当てる。具体的には、電源オン時、挿入時など、リムーバブルHDDユニット300が利用可能となったときに、予め、比較的処理時間を要する公開鍵暗号の解読を含む認証処理を行って、再生のためのセッションを優先的に確立しておき、ユーザからの再生指示を待機する。これにより、再生指示を受けてから実際に再生が始まるまでの遅延を低減することができる。
まず、第1の実施の形態では、記録再生装置10が1台のリムーバブルHDDユニット300を接続可能で、2つのセキュアセッションを並列して処理する例について説明する。つづいて、第2の実施の形態では、記録再生装置10が2台のリムーバブルHDDユニット300を接続可能で、2つのセキュアセッションを並列して処理する例について説明する。さらに、第3の実施の形態では、記録再生装置10が2台のリムーバブルHDDユニット300を接続可能で、3つのセキュアセッションを並列して処理する例について説明する。最後に、第4の実施の形態では、一般に、複数台のリムーバブルHDDユニット300を接続可能で、複数のセキュアセッションを並列して処理可能な記録再生装置10について説明する。
記録再生装置10は、リモコン受光部100、システムコントローラ102、表示パネル104、MPEG−TSデコーダ106、D/Aコンバータ108、表示装置110、リムーバブルHDDスロット112、リムーバブルHDD挿入検出部114、バッファメモリ116、アンテナ118、チューナ120、伝送路復号部122、TS分離・選択部124、暗号処理部の一例であるPKIセキュアモジュール200を備える。
リモコン受光部100は、ユーザが記録再生装置10に対して指示を入力するためのリモートコントローラ(図示せず)から発せられる光を受信して、ユーザからの指示を取得する。システムコントローラ102は、記録再生装置10の各構成を制御する。システムコントローラ102は、PKIセキュアモジュール200によるセキュアセッションの確立や解放などを管理するセッション管理部103を備えており、後述するように、複数のセキュアセッションをセッションIDを用いて管理する。セッション管理部103は、PKIセキュアモジュール200内に設けられてもよい。表示パネル104は、各種制御情報などを表示する。MPEG−TSデコーダ106は、MPEG−TS信号をデコードする。D/Aコンバータ108は、デジタル信号をアナログ信号に変換する。表示装置110は、デコードされ、アナログ信号に変換された番組データを表示する。
リムーバブルHDDスロット112は、番組データを記録する記憶媒体であるリムーバブルHDDユニット300を接続するためのスロットである。リムーバブルHDD挿入検出部114は、リムーバブルHDDスロット112に対するリムーバブルHDDユニット300の着脱を検出する。バッファメモリ116は、TS分離・選択部124により分離・選択されたMPEG−TS信号などを一時的に格納するなど、記録再生装置10の動作に必要なデータを格納する記憶領域として機能する。
アンテナ118は、デジタル変調された放送信号を受信する。チューナ120は、システムコントローラ102からの指示に従って、アンテナ118で受信された放送信号から、ユーザが選択したチャンネルの信号を抽出する。伝送路復号部122は、チューナ120により抽出された信号を、MPEG2で符号化された映像音声データの形式に復号し、TS分離・選択部124へ出力する。TS分離・選択部124は、番組データをリムーバブルHDDユニット300に蓄積しないとき、MPEG−トランスポートストリーム信号をMPEG−TSデコーダ106へ出力する。MPEG−TSデコーダ106は、TS分離・選択部124により分離されたMPEG−TS信号をデコードする。D/Aコンバータ108は、MPEG−TSデコーダ106によりデコードされたデジタル信号をアナログ信号に変換する。表示装置110は、D/Aコンバータ108により変換されたアナログの番組データを表示する。PKIセキュアモジュール200は、リムーバブルHDDユニット300との間で、セキュアプロトコルによる通信を制御する。
PKIセキュアモジュール200は、入出力制御部202、証明書認証部204、鍵一時保持部208、証明書保持部210、鍵生成部212、ライセンスデータ一時保持部214、ライセンスデータ生成部216、データ暗号・復号処理部218を含む。これらの構成の一部は、ハードウエア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウエア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックがハードウエアのみ、ソフトウエアのみ、またはそれらの組合せによっていろいろな形で実現できることは、当業者には理解されるところである。
入出力制御部202は、PKIセキュアモジュール200内の各構成と外部との間でデータの入出力を制御する。PKIセキュアモジュール200内には、コンテンツの暗号鍵やライセンスデータなどの機密情報が格納されているので、機密情報の漏洩を防止するために、外部から直接アクセスできないように構成されている。証明書認証部204は、リムーバブルHDDユニット300から送られた証明書の正当性を認証する。鍵一時保持部208は、セキュアセッションで用いる鍵を一時的に保持する。証明書保持部210は、記録再生装置10の証明書を保持する。この証明書は、認証局で認証を受けたもので、記録再生装置10の公開鍵が埋め込まれており、認証局の秘密鍵で暗号化されている。鍵生成部212は、セキュアセッションで用いる鍵を生成する。ライセンスデータ一時保持部214は、リムーバブルHDDユニット300に記録された番組を再生するときに、リムーバブルHDDユニット300から受け取った番組のライセンスデータを一時的に保持する。ライセンスデータ生成部216は、リムーバブルHDDユニット300に番組を記録するときに、コンテンツ鍵やライセンス情報を含むライセンスデータを生成する。データ暗号・復号処理部218は、データの暗号化処理や、暗号化されたデータの復号化処理を行う。
本実施の形態のPKIセキュアモジュール200は、2つのセキュアセッションを並列して処理するために、コマンドや暗号鍵などを、セッションを識別するためのセッションIDを利用して管理する。具体的には、入出力コマンドにセッションIDを付して、いずれのセッションのコマンドであるかを識別可能とするとともに、鍵一時保持部208、ライセンスデータ一時保持部214において、暗号鍵やライセンスデータなどを格納するときに、セッションIDを対応づけておく。PKIセキュアモジュール200が3以上のセッションを並列して処理する場合も同様である。
図2は、PKIセキュアモジュールを内蔵したリムーバブルHDDユニット300の構成を示す。このリムーバブルHDDユニット300は、PKIセキュアモジュール330を内蔵しており、PKI方式の暗号化入出力処理に対応している。リムーバブルHDDユニット300は、ATAインタフェース302、コマンドセレクタ304、ハードディスクコントローラ306、ハードディスク記憶領域308、PKIセキュアモジュール330を備える。これらの構成も、ハードウエアのみ、ソフトウエアのみ、またはそれらの組合せによっていろいろな形で実現できる。
ATAインタフェース302は、ANSI(American National Standards Institute)の標準規格であるATA(AT Attachment)に準拠したコマンドを受け付ける。コマンドセレクタ304は、記録再生装置10が発行したコマンドを受けて、それが通常のコマンドであるか、セキュアプロトコルのコマンドであるかを判断し、通常のコマンドはハードディスクコントローラ306へ、セキュアプロトコルのコマンドはPKIセキュアモジュール330へ送る。ハードディスクコントローラ306は、通常の入出力コマンドを受けて、ハードディスク記憶領域308に対するデータの書き込み又は読み出しを行う。PKIセキュアモジュール330は、記録再生装置10との間で、セキュアプロトコルによる通信を制御する。
PKIセキュアモジュール330は、入出力制御部310、証明書認証部312、鍵一時保持部316、証明書保持部318、鍵生成部320、ライセンスデータ記憶領域322を含む。入出力制御部310は、PKIセキュアモジュール330内の各構成と外部との間でデータの入出力を制御する。PKIセキュアモジュール330内には、コンテンツの暗号鍵やライセンスデータなどの機密情報が格納されているので、機密情報の漏洩を防止するために、外部から直接アクセスできないように構成されている。証明書認証部312は、記録再生装置10から送られた証明書の正当性を認証する。鍵一時保持部316は、セキュアセッションで用いる鍵を一時的に保持する。証明書保持部318は、リムーバブルHDDユニット300の証明書を保持する。この証明書は、認証局で認証を受けたもので、リムーバブルHDDユニット300の公開鍵が埋め込まれており、認証局の秘密鍵で暗号化されている。鍵生成部320は、セキュアセッションで用いる鍵を生成する。ライセンスデータ記憶領域322は、リムーバブルHDDユニット300に記録された番組を再生するためのコンテンツ鍵を含むライセンスデータを格納する。
図3は、リムーバブルHDDユニット300の記憶領域のアドレス構成の例を示す。ハードディスクのアドレスは、通常、LBA(Logical Block Address)で表現される。図3に示した例において、LBAの上位(0〜M)は、図2に示したハードディスク記憶領域308に相当する記憶領域である。この領域は、通常のRead/Writeコマンドでアクセス可能である。それに対して、LBAの下位(M+1〜M+N)は、図2に示したライセンスデータ記憶領域322に相当する記憶領域である。この領域は、図8及び図9に示す特定のコマンド手順のみでしかアクセスできないセキュアな領域である。
図4は、リムーバブルHDDユニット300に番組を記録する場合のディレクトリ/ファイル構成の例を示す。録画された番組に関する全情報は、番組ファイル管理ディレクトリの配下に存在する。番組管理ファイル400は、録画されている番組を管理するためのデータを格納するファイルである。暗号化映像音声データファイル402は、番組のデータを、暗号化されたMPEG−TS信号の形式で格納するファイルである。ライセンスファイル404は、録画された番組ごとに設けられており、番組の利用要件などのライセンス情報や、暗号化された番組のデータを復号するための復号鍵を含むライセンスデータを格納するファイルである。番組管理ファイル400と、暗号化映像音声データファイル402は、図2及び図3に示したハードディスク記憶領域308に記録され、ライセンスファイル404は、ライセンスデータ記憶領域322に記録される。番組のデータ自体は、暗号化されて入出力されるので、通常のリード/ライトコマンドによりハードディスク記憶領域308に記録されても漏洩の危険性は低いので、本実施の形態では、ライセンスデータのみをセキュアプロトコルによりライセンスデータ記憶領域322に記録する。これにより、ライセンスデータの機密性を充分に確保しつつ、番組データは高速に読み書きすることができる。
図5は、番組管理ファイル400の構成例を示す。この番組管理ファイル400は、リムーバブルHDDユニット300に録画されている全番組の管理情報を記録したファイルである。まず、総記録番組数を記録している。ここでは総数はNである。その後に、暗号化データファイル名と、それに対応するライセンスファイル名の対を、総数N個分記録している。この番組管理ファイル400を参照することにより、ユーザがハードディスクに記録された番組を検索する場合に、迅速かつ的確に検索することが可能となる。また、暗号化データとライセンスとの対応付けを管理しているのもこのファイルである。
図6は、記録再生装置10がリムーバブルHDDユニット300に番組データを記録するときの動作を概略的に示すフローチャートである。後述するように、記録再生装置10における実際の処理の手順は、本図に示した順序とは異なるが、ここでは図1及び図2に示した構成の動作を説明し、実際の処理の手順は後述する。
まず、記録再生装置10は、デジタル放送波から番組データを取得する(S100)。具体的には、アンテナ118が受信した放送信号から、ユーザが選択したチャンネルをチューナ120により抽出し、伝送路復号部122により復号し、TS分離・選択部124によりMPEG−TS信号を分離して、PKIセキュアモジュール200へ転送する。PKIセキュアモジュール200に転送された番組はデータ、入出力制御部202を介してデータ暗号・復号処理部218に送られる。ライセンスデータ生成部216は、番組データを暗号化するためのコンテンツ鍵を生成するとともに(S102)、MPEG−TS信号から利用要件などのライセンス情報を抽出して、番組のライセンスデータを生成する(S104)。利用要件として反映させる情報としては、デジタルコピー記述子(コピー制御情報)、コンテント利用記述子(一時蓄積情報)、パレンタルレート記述子(年齢制限情報)等が想定される。このライセンスデータには、ライセンス情報とコンテンツ鍵が含まれる。
データ暗号・復号処理部218は、番組データをコンテンツ鍵で暗号化する(S106)。暗号化された番組データは、入出力制御部202、リムーバブルHDDスロット112を介して、リムーバブルHDDユニット300に送られる。リムーバブルHDDユニット300内では、暗号化された番組データは、ATAインタフェース302、コマンドセレクタ304、ハードディスクコントローラ306を介して、ハードディスク記憶領域308に記録される(S108)。録画が継続している間(S110のN)、番組データの暗号化手順(S106)と書き込み手順(S108)が繰り返される。録画が終了すると(S110のY)、記録再生装置10がリムーバブルHDDユニット300を認証し(S112)、正当であると判断された場合は、そのリムーバブルHDDユニット300にライセンスデータを転送して記録する(S114)。リムーバブルHDDユニット300の認証及びライセンスデータの転送は、公開鍵暗号方式に基づいたセキュアプロトコルにより行われる。認証処理(S112)とライセンスデータの転送処理(S114)の詳細については後述する。
最後に、アプリケーションプログラムが、番組管理ファイル400を更新し、番組の暗号化データとライセンスデータとの対応付けを管理する(S116)。番組管理ファイル400は、記録再生装置10側に読み出して更新してから再びリムーバブルHDDユニット300に書き込んでもよいし、ハードディスクコントローラ306などにコマンドを送って更新させてもよい。
本図では、番組データの録画終了後に、記録再生装置10のPKIセキュアモジュール200からリムーバブルHDDユニット300のPKIセキュアモジュール330へのライセンスデータの転送処理を行ったが、これは録画終了後である必要性はなく、S104でライセンスデータが生成された後は、暗号化番組データの転送中にライセンスデータの転送処理を行ってもよいし、ライセンスデータの転送処理を行った後に暗号化番組データの転送を開始しても良い。この場合、ライセンスデータ転送処理の間、暗号化番組データはバッファメモリ116に蓄えておくことになる。
図7は、記録再生装置10がリムーバブルHDDユニット300に記録された番組データを再生するときの動作を概略的に示すフローチャートである。後述するように、本実施の形態における実際の処理の手順は、本図に示した順序とは異なるが、ここでは図1及び図2に示した構成の動作を説明し、実際の処理の手順は後述する。
まず、再生する番組に対応するライセンスデータを読み出すために、リムーバブルHDDユニット300が記録再生装置10を認証し(S132)、認証に成功すると、リムーバブルHDDユニット300のライセンスデータ記憶領域322に記録されたライセンスデータが、記録再生装置10のPKIセキュアモジュール200に転送される(S134)。記録再生装置10の認証及びライセンスデータの転送は、公開鍵暗号方式に基づいたセキュアプロトコルにより行われる。認証処理(S132)とライセンスデータの転送処理(S134)の詳細については後述する。転送されたライセンスデータは、ライセンスデータ一時保持部214に保持される。
次に、暗号化された番組データがハードディスク記憶領域308から読み出され、記録再生装置10に送られる(S136)。記録再生装置10は、データ暗号・復号処理部218により、ライセンスデータ一時保持部214に保持されたライセンスデータに含まれるコンテンツ鍵を用いて、暗号化番組データを復号する。復号された番組データは、MPEG−TSデコーダ106、D/Aコンバータ108を介して、表示装置110に出力されて再生される(S138)。再生が継続している間(S140のN)、暗号化番組データの読み出し手順(S136)と復号/再生手順(S138)が繰り返される。番組の再生が終了するか、ユーザにより再生の終了が指示されると(S140のY)、処理を終了する。
図8は、図6に示したライセンスデータの記録のための認証処理及びライセンスデータ転送処理の一例を簡易的に示す。本図に示した記録のためのセキュアセッションを、以下、「記録セッション」と呼ぶ。本実施の形態では、記録セッションは、公開鍵暗号方式に基づいたセキュアプロトコルにより実行される。PKIのプロトコルの詳細は、例えば、特開2003−248557号公報(特許文献2)に開示されている。実際には、記録再生装置10側のコントローラ及びPKIセキュアモジュール200と、リムーバブルHDDユニット300側のコントローラ及びPKIセキュアモジュール330との間でコマンドやデータがやり取りされるが、本図では簡略化して、記録再生装置10とリムーバブルHDDユニット300との間のやり取りとして記述する。
まず、記録再生装置10がリムーバブルHDDユニット300を認証して、記録セッションを確立する手順(S112)の詳細について説明する。ライセンスデータをリムーバブルHDDユニット300に記録するための記録セッションが開始されると(S200)、まず、記録再生装置10がリムーバブルHDDユニット300に対して証明書の出力を要求する(S202)。リムーバブルHDDユニット300は、その要求に従い、証明書保持部318に格納してある証明書を出力する(S204)。記録再生装置10は、証明書認証部204により、受け取った暗号化証明書を、PKIセキュアモジュール200に埋め込まれている認証局の公開鍵で復号し、証明書の正当性をチェックする(S206)。証明書が正当なものであれば、鍵生成部212でセッション鍵を生成し(S208)、鍵一時保持部208に保持するとともに、証明書に埋め込まれていたリムーバブルHDDユニット300の公開鍵でセッション鍵を暗号化して出力する(S210)。このセッション鍵は、記録セッションにおいて有効な一時的な共通鍵である。リムーバブルHDDユニット300は、受け取った暗号化セッション鍵を、鍵一時保持部316において、リムーバブルHDDユニット300の秘密鍵で復号し、保持する(S212)。この時点で、記録再生装置10側とリムーバブルHDDユニット300側で、セッション鍵を共有したことになる。
つづいて、記録再生装置10がリムーバブルHDDユニット300にライセンスデータを転送する手順(S114)の詳細について説明する。記録再生装置10は、リムーバブルHDDユニット300に対して、チャレンジ鍵の出力を要求する(S250)。リムーバブルHDDユニット300は、その要求に従い、鍵生成部320によりチャレンジ鍵を生成する(S252)。リムーバブルHDDユニット300は、そのチャレンジ鍵を鍵一時保持部316に保持しつつ、鍵一時保持部316に保持しているセッション鍵によりチャレンジ鍵を暗号化して出力する(S254)。記録再生装置10は、受け取った暗号化チャレンジ鍵を、鍵一時保持部208において、鍵一時保持部208に保持しているセッション鍵で復号し、保持する(S256)。次に、記録再生装置10は、リムーバブルHDDユニット300に転送すべきライセンスデータをライセンスデータ一時保持部214から読み出して、そのライセンスデータをチャレンジ鍵で暗号化して出力する(S258)。リムーバブルHDDユニット300は、受け取った暗号化ライセンスデータを、ライセンスデータ記憶領域322において、鍵一時保持部316に保持しているチャレンジ鍵で復号する(S260)。以上の手順で、一連の記録セッションが終了する(S262)。
図9は、図7に示したライセンスデータの読み出しのための認証処理及びライセンスデータ転送処理の一例を簡易的に示す。本図に示した再生のためのセキュアセッションを、以下、「再生セッション」と呼ぶ。本実施の形態では、再生セッションは、公開鍵暗号方式に基づいたセキュアプロトコルにより実行される。本図でも、再生セッションを簡略化して、記録再生装置10とリムーバブルHDDユニット300との間のやり取りとして記述する。再生セッションの手順は、図8に示した記録セッションの手順において、記録再生装置10とリムーバブルHDDユニット300の立場を逆転させたものとなる。
まず、リムーバブルHDDユニット300が記録再生装置10を認証して、再生セッションを確立する手順(S132)の詳細について説明する。ライセンスデータをリムーバブルHDDユニット300から読み出すための再生セッションが開始されると(S300)、まず、リムーバブルHDDユニット300が記録再生装置10に対して証明書の出力を要求する(S302)。記録再生装置10は、その要求に従い、証明書保持部210に格納してある証明書を出力する(S304)。リムーバブルHDDユニット300は、証明書認証部312により、受け取った暗号化証明書を、PKIセキュアモジュール330に埋め込まれている認証局の公開鍵で復号し、証明書の正当性をチェックする(S306)。証明書が正当なものであれば、鍵生成部320でセッション鍵を生成し(S308)、鍵一時保持部316に保持するとともに、証明書に埋め込まれていた記録再生装置10の公開鍵でセッション鍵を暗号化して出力する(S310)。このセッション鍵は、再生セッションにおいて有効な一時的な共通鍵である。記録再生装置10は、受け取った暗号化セッション鍵を、鍵一時保持部208において、記録再生装置10の秘密鍵で復号し、保持する(S312)。この時点で、リムーバブルHDDユニット300側と記録再生装置10側で、セッション鍵を共有したことになる。
つづいて、リムーバブルHDDユニット300が記録再生装置10にライセンスデータを転送する手順(S134)の詳細について説明する。リムーバブルHDDユニット300は、記録再生装置10に対して、チャレンジ鍵の出力を要求する(S350)。記録再生装置10は、その要求に従い、鍵生成部212によりチャレンジ鍵を生成する(S352)。記録再生装置10は、そのチャレンジ鍵を鍵一時保持部208に保持しつつ、鍵一時保持部208に保持しているセッション鍵によりチャレンジ鍵を暗号化して出力する(S354)。リムーバブルHDDユニット300は、受け取った暗号化チャレンジ鍵を、鍵一時保持部316において、鍵一時保持部316に保持しているセッション鍵で復号し、保持する(S356)。次に、リムーバブルHDDユニット300は、記録再生装置10に転送すべきライセンスデータをライセンスデータ記憶領域322から読み出して、そのライセンスデータをチャレンジ鍵で暗号化して出力する(S358)。記録再生装置10は、受け取った暗号化ライセンスデータを、ライセンスデータ一時保持部214において、鍵一時保持部208に保持しているチャレンジ鍵で復号する(S360)。以上の手順で、一連の再生セッションが終了する(S362)。
図8及び図9に示したライセンスデータの送受信の手順は、セキュリティ強度の高いものであるが、それ故に計算量が多く、時間がかかるものである。従って、図7に示した番組の再生手順を行うと、実際にユーザが番組再生を指定してから、表示装置110に番組が表示されるまでに時間がかかり、それがユーザにとってストレスとなる場合がある。従って、本実施の形態では、必要な処理の一部を前もって行うことにより、番組指定から表示までをスムーズに行うことを実現する。一般的に、証明書の認証(S206及びS306)、公開鍵暗号の解読(S212及びS312)には膨大な計算が必要となるので、本実施の形態では、クライアント側でセッション鍵を復号して保持し、サーバ側とクライアント側でセッション鍵を共有するステップ(S212及びS312)までの機器認証処理(S112及びS132)を、セッションを確立する処理として、リムーバブルHDDユニット300の挿入時などに前もって行っておく。セッション確立処理は、証明書の認証(S206及びS306)までの処理であってもよいし、チャレンジ鍵の復号処理(S256及びS356)までであってもよく、記録セッション又は再生セッションの一部を含んでいれば、任意のステップまでをセッション確立処理としてもよい。記録セッションでは、ユーザから記録する番組の指示を受け付けてからライセンスデータを生成するので、ライセンスデータの転送を前もって行うことはできないが、再生セッションでは、例えば、リムーバブルHDDユニット300に記録されている全てのライセンスデータを前もって記録再生装置10に転送しておいてもよい。
図10、図11、及び図12を用いて、本実施の形態の記録再生装置10における番組の記録及び再生方法の手順を説明する。図10は、記録再生装置10の初期化ルーチンの手順を示す。まず、リムーバブルHDDユニット300がリムーバブルHDDスロット112に挿入された状態で、記録再生装置10の電源を入れたとき、あるいは、記録再生装置10の電源がオンの状態で、リムーバブルHDDユニット300をリムーバブルHDDスロット112に挿入したときに、リムーバブルHDDユニット300が利用可能となる(S400のY)。リムーバブルHDDユニット300の挿入の検出は、リムーバブルHDD挿入検出部114で行う。本実施の形態の記録再生装置10は、2系統のセキュアセッションを並列して処理可能であるから、予め、リムーバブルHDDユニット300に対する再生セッションと記録セッションの双方を確立しておく。具体的には、セッション管理部103は、再生のためのセッション確立処理(図8のS112)の実行を指示して、リムーバブルHDDユニット300との間で再生セッションを張るとともに(S402)、記録のためのセッション確立処理(図9のS132)の実行を指示して、リムーバブルHDDユニット300との間で記録セッションを張る(S404)。これにより、記録再生装置10は、記録、再生ともに待機状態となる。
図11は、ユーザから番組の録画を指示された後の記録方法の手順を示す。記録再生装置10は、図10に示した初期化ルーチンの後、ユーザからの録画指示を待機し(S410のN)、ユーザがリモートコントローラなどにより番組の録画を指示すると(S410のY)、図6に示した記録手順が開始される。番組データを取得するステップ(S100)から録画終了(S110のY)までは、図6に示した手順と同じである。番組の録画が終了すると(S110のY)、認証処理(図6のS112)は、既に図10に示した初期化ルーチンで終了しているので、ライセンスデータの転送処理(S114)のみを行えばよい。具体的には、図8に示したチャレンジ鍵出力命令(S250)から開始し、ライセンスデータの書き込み(S260)までが実行される。最後に、番組管理ファイル400の更新処理(S116)が実行される。
図12は、ユーザから番組の再生を指示された後の再生方法の手順を示す。記録再生装置10は、図10に示した初期化ルーチンの後、ユーザからの再生指示を待機する(S450のN)。記録再生装置10は、番組管理ファイル400を参照して、ユーザに再生可能な番組の一覧を提示してもよい。ユーザが、リムーバブルHDDユニット300に記録された番組の中から1つを選択し、リモートコントローラで再生を指示すると(S410のY)、図7に示した再生手順が開始される。認証処理(図7のS132)は、既に図10に示した初期化ルーチンで終了しているので、ライセンスデータの転送処理(S134)のみを行えばよい。具体的には、図9に示したチャレンジ鍵出力命令(S350)から開始し、ライセンスデータの保持(S360)までが実行される。これらの処理は、認証処理に比べると計算量が少ないので、ユーザの再生指示から表示までの遅延量が軽減される。暗号化番組データを読み出すステップ(S136)から再生終了(S140のY)までは、図7に示した手順と同じである。
本実施の形態では、セキュアセッションを2つ同時に張ることができるため、リムーバブルHDDユニット300が利用不可能となるまでの間、記録セッション及び再生セッションを解放せずに、常時確立された状態とすることができる。従って、2回目以降の記録指示及び再生指示があったときも、図11及び図12に示した手順と同様に、認証処理(図6のS112及び図7のS132)を省略することができる。これにより、再生開始までの待ち時間を軽減し、ユーザのストレスを低減することができる。
(第2の実施の形態)
図13は、第2の実施の形態に係る記録再生装置10の構成を示す。本実施の形態の記録再生装置10には、2つのリムーバブルHDDスロット112a及び112bが設けられており、2台のリムーバブルHDDユニット300a及び300bを接続可能である。他の構成は図1に示した第1の実施の形態の記録再生装置10の構成と同様である。本実施の形態でも、PKIセキュアモジュール200及びPKIセキュアモジュール330は、2つのセキュアセッションを並列して処理する能力を有しており、セッション管理部103が2つのセキュアセッションを管理する。
図14は、図13に示した記録再生装置10の電源の状態と、リムーバブルHDDスロット112a及び112bに挿入されているリムーバブルHDDユニット300の検出数の状態遷移を示す。(1)から(8)は、以下の状態を示す。
(1)電源オン時に0個のリムーバブルHDDユニット300が検出された。
(2)電源オン時に1個のリムーバブルHDDユニット300が検出された。
(3)電源オン時に2個のリムーバブルHDDユニット300が検出された。
(4)リムーバブルHDDユニット300が挿入されて、計1個のリムーバブルHDDユニット300が検出された。
(5)リムーバブルHDDユニット300が挿入されて、計2個のリムーバブルHDDユニット300が検出された。
(6)リムーバブルHDDユニット300が抜かれて、計1個のリムーバブルHDDユニット300となった。
(7)リムーバブルHDDユニット300が抜かれて、計0個のリムーバブルHDDユニット300となった。
(8)電源がオフされた。
図14に示した状態遷移が発生したときに、記録再生装置10のセッション管理部103が実行する初期化ルーチンについて説明する。セッション管理部103は、1個のリムーバブルHDDユニット300が利用可能な状態においては、第1の実施の形態で説明したように、そのリムーバブルHDDユニット300に対して記録セッションと再生セッションを確立する。セッション管理部103は、2個のリムーバブルHDDユニット300が利用可能な状態においては、それぞれのリムーバブルHDDユニット300に対して再生セッションを確立する。すなわち、2つあるセキュアセッションを、優先的に再生セッションに割り当てることにより、2個のリムーバブルHDDユニット300a及び300bの双方を再生待機状態とし、再生開始の指示を受けてから実際に再生が開始されるまでの遅延を軽減する。
(1)及び(8)の場合は、セッション管理部103は何も実行しない。(2)及び(4)の場合は、第1の実施の形態と同様であるから、セッション管理部103は、検出された1個のリムーバブルHDDユニット300に対して、図10に示した初期化ルーチンを実行し、記録及び再生の両セッションを確立する。
(3)の場合は、セッション管理部103は、2個のリムーバブルHDDユニット300a及び300bに対して、再生セッションを確立する。(5)の場合は、最初に検出されていたリムーバブルHDDユニット300に対して確立されている記録セッションを開放し、新たに検出されたリムーバブルHDDユニット300に対して再生セッションを確立して、セキュアセッションを張り替える。セキュアセッションを開放するとき、セッション管理部103は、開放するセキュアセッションに割り当てられていたセッションIDを開放して利用可能とするとともに、鍵一時保持部208及び316に保持されていた、このセキュアセッション用の一時的な暗号鍵を破棄するよう指示する。これにより、セキュアセッションが開放され、別のセキュアセッションへ利用可能となる。(6)の場合は、抜かれたリムーバブルHDDユニット300に張られていたセッションを開放し、残ったリムーバブルHDDユニット300に対して記録セッションを確立して、セッションを張り替える。(7)の場合は、抜かれたリムーバブルHDDユニット300に張られていたセッションを開放する。
図15は、図14の(2)、(4)、(5)の状態遷移が発生したときの初期化ルーチンの手順を示す。(2)又は(4)の状態遷移により、1個のリムーバブルHDDユニット300が検出されると(S500)、セッション管理部103は、そのリムーバブルHDDユニット300に対して再生セッションを確立するとともに(S502)、記録セッションを確立する(S504)。さらに、(5)の状態遷移により、もう1個のリムーバブルHDDユニット300が利用可能となると(S506のY)、最初に検出されていたリムーバブルHDDユニット300に対して確立されている記録セッションを開放し(S508)、新たに検出されたリムーバブルHDDユニット300に対して再生セッションを確立する(S510)。
図16は、図14の(3)、(6)の状態遷移が発生したときの初期化ルーチンの手順を示す。(3)の状態遷移により、2個のリムーバブルHDDユニット300が検出されると(S520)、セッション管理部103は、それぞれのリムーバブルHDDユニット300に対して、再生セッションを確立する(S522及びS524)。さらに、(6)の状態遷移により、一方のリムーバブルHDDユニット300が利用不可能となると(S526のY)、そのリムーバブルHDDユニット300に対して確立されていた再生セッションを開放し(S528)、残ったリムーバブルHDDユニット300に対して記録セッションを確立する(S530)。
図17は、2個のリムーバブルHDDユニット300が利用可能な状態で、番組データを一方のリムーバブルHDDユニット300に記録するときの手順を示す。上述したように、2個のリムーバブルHDDユニット300が利用可能なとき(S540)、それぞれのリムーバブルHDDユニット300に対して再生セッションが確立され(S542及びS544)、再生待機状態となっている。ここで、一方のリムーバブルHDDユニット300に対して番組データを記録する指示が発せられると(S546のY)、図11に示したS100からS110までの処理が実行され、リムーバブルHDDユニット300に番組データが記録される(S548)。番組のライセンスデータをリムーバブルHDDユニット300に記録する前に、セッション管理部103は、いずれかのリムーバブルHDDユニット300の再生セッションをいったん開放し(S550)、記録するリムーバブルHDDユニット300に対して記録セッションを確立し(S552)、図8に示したS114を実行してライセンスデータを記録する(S554)。ライセンスデータの記録が終了すると、セッション管理部103は、記録セッションを開放し(S556)、セッションを開放したリムーバブルHDDユニット300に対して再生セッションを確立し(S558)、再び双方のリムーバブルHDDユニット300を再生待機状態とする。
(第3の実施の形態)
本実施の形態では、記録再生装置10が2台のリムーバブルHDDユニット300を接続可能で、3つのセキュアセッションを並列して処理する例について説明する。本実施の形態の記録再生装置10の構成は、図13に示した第2の実施の形態の記録再生装置10の構成と同様である。
図18は、本実施の形態の記録再生装置10におけるセッションの遷移の例を示す。2個のリムーバブルHDDユニット300a及び300bが検出されたとき(S600)、セッション管理部103は、双方のリムーバブルHDDユニット300a及び300bに対して再生セッションを確立するとともに(S602及びS604)、一方のリムーバブルHDDユニット300aに対して記録セッションを確立する(S606)。このとき、一方のリムーバブルHDDユニット300aは、記録、再生ともに待機状態となり、他方のリムーバブルHDDユニット300bは、再生のみ待機状態となる。セッション管理部103が、いずれのリムーバブルHDDユニット300に記録セッションを割り当てるかは、所定の条件に基づいて決定されてもよい。例えば、セッション管理部103は、リムーバブルHDDユニット300の記憶容量、残量、記録又は再生の履歴などを参照して、いずれのリムーバブルHDDユニット300の記録セッションを優先するかを決定してもよい。セッション管理部103は、記憶領域の残量が多い方のリムーバブルHDDユニット300を優先してもよい。セッション管理部103は、記録履歴を参照して、記録が行われる頻度の高い方のリムーバブルHDDユニット300を優先してもよい。
ここで、記録セッションが確立されていない方のリムーバブルHDDユニット300bに対して番組データを記録するよう指示された場合(S608のY)、記録セッションを確立するために、既に張られているセッションのうちいずれかを開放する必要がある。セッション管理部103は、いずれのセッションを開放してもよいが、再生セッションを優先するのが好ましいので、ここでは、リムーバブルHDDユニット300bに番組データを記録した後(S610)、リムーバブルHDDユニット300aの記録セッションを解放して(S612)、リムーバブルHDDユニット300bの記録セッションに張り替える(S614)。これにより、双方のリムーバブルHDDユニット300a及び300bの再生セッションを確立した状態のまま、リムーバブルHDDユニット300bにライセンスデータを記録することができるので、再生時の遅延を低減することができる。リムーバブルHDDユニット300bに対するライセンスデータの記録が終了すると(S616)、リムーバブルHDDユニット300bの記録セッションを開放し(S618)、元のリムーバブルHDDユニット300aの記録セッションを確立する(S620)。ここでは、記録が終了したときに、記録セッションを元の状態に戻すべくセッションを張り替えているが、セッションを張り替えずにそのままの状態としてもよい。
(第4の実施の形態)
本実施の形態では、一般に、複数台のリムーバブルHDDユニット300を接続可能で、複数のセキュアセッションを並列して処理可能な記録再生装置10について説明する。利用可能なリムーバブルHDDユニット300の台数が、セッション数よりも少なければ、セッション管理部103は、全てのリムーバブルHDDユニット300に再生セッションを張っておき、残ったセキュアセッションを記録セッションに割り当てる。記録セッションが張られていないリムーバブルHDDユニット300に対する記録要求が発生した場合は、セッション管理部103は、図18に示した手順により記録セッションを適宜張り替えながら対応する。新たに利用可能なリムーバブルHDDユニット300が検出された場合は、セッション管理部103は、いずれかの記録セッションを開放して、新たに利用可能となったリムーバブルHDDユニット300に対して再生セッションを確立しておく。あるリムーバブルHDDユニット300が利用不可能になった場合は、セッション管理部103は、そのリムーバブルHDDユニット300に対して張られていた再生セッションを開放し、残っているいずれかのリムーバブルHDDユニット300に対して記録セッションを張る。
利用可能なリムーバブルHDDユニット300の台数と、セッション数が同数であれば、セッション管理部103は、全てのリムーバブルHDDユニット300に対して再生セッションを確立しておく。いずれかのリムーバブルHDDユニット300に対して記録要求が発生した場合は、セッション管理部103は、いずれかのリムーバブルHDDユニット300に張られている再生セッションを開放して、記録すべきリムーバブルHDDユニット300に対して記録セッションを張る。セッション管理部103は、記録するリムーバブルHDDユニット300の再生セッションを開放してもよいし、他のリムーバブルHDDユニット300の再生セッションを開放してもよい。セッション管理部103は、リムーバブルHDDユニット300の記憶容量、残量、記録されている番組数、再生頻度などに基づいて、再生セッションを開放するリムーバブルHDDユニット300を決定してもよい。セッション管理部103は、記録が終了すると、記録セッションを開放して、元の再生セッションを張り直す。新たに利用可能なリムーバブルHDDユニット300が検出された場合は、セッション管理部103は、必要であれば、再生セッションを張り替える。あるリムーバブルHDDユニット300が利用不可能になった場合は、セッション管理部103は、そのリムーバブルHDDユニット300に対して張られていた再生セッションを開放し、残っているいずれかのリムーバブルHDDユニット300に対して記録セッションを張る。
利用可能なリムーバブルHDDユニット300の台数が、セッション数よりも多ければ、セッション管理部103は、再生セッションを張るリムーバブルHDDユニット300を選択し、それらのリムーバブルHDDユニット300に対して再生セッションを確立しておく。いずれかのリムーバブルHDDユニット300に対して記録要求が発生した場合は、セッション管理部103は、いずれかのリムーバブルHDDユニット300に張られている再生セッションを開放して、記録すべきリムーバブルHDDユニット300に対して記録セッションを張る。セッション管理部103は、記録が終了すると、記録セッションを開放して、元の再生セッションを張り直す。新たに利用可能なリムーバブルHDDユニット300が検出された場合は、セッション管理部103は、必要であれば、再生セッションを張り替える。あるリムーバブルHDDユニット300が利用不可能になった場合は、セッション管理部103は、そのリムーバブルHDDユニット300に対して張られていた再生セッションを開放し、残っているいずれかのリムーバブルHDDユニット300に対して再生セッションを張る。
(第5の実施の形態)
図19は、第5の実施の形態に係る記録再生装置10の構成を示す。本実施の形態の記録再生装置10には、1つの内蔵HDDユニット500と、1つのリムーバブルHDDスロット112が設けられており、リムーバブルHDDユニット300が接続可能である。他の構成は、図1に示した第1の実施の形態の記録再生装置10の構成と同様である。本実施の形態でも、PKIセキュアモジュール200及びPKIセキュアモジュール330は、2つのセキュアセッションを並列して処理する能力を有しており、セッション管理部103が2つのセキュアセッションを管理する。
内蔵HDDユニット500の場合、リムーバブルHDDユニットが電源ON時に既に装着されていた場合と等価となる。従って、内蔵HDDユニット500は、電源ON時から常に利用可能と考えることも可能である。また、電気的なアクセスにより利用可能を確認することも可能である。例えば、システムコントローラ102からATAにおける「Identify Device」コマンドを内蔵HDDユニット500に発行し、その応答が帰ってきた時点で利用可能と判断してもよい。利用可能となった後の動作は、リムーバブルHDDユニット300でも内蔵HDDユニット500でも同じである。
図19の例に図14の状態遷移図を当てはめてみると、内蔵HDDユニット500は電源ON時に必ず検出されるので、「0個のHDD挿入を検出」という状態はなく、「1個のHDD挿入を検出」、「2個のHDD挿入を検出」は、各々「1個のHDDが利用可能」「2個のHDDが利用可能」と置き換えることとなる。また、状態遷移(2)の「電源ON時に1個のリムーバブルHDDユニット300が検出された」は、「電源ON時に内蔵HDDユニット500が検出された」に、状態遷移(3)の「電源ON時に2個のリムーバブルHDDユニット300が検出された」は、「電源ON時に内蔵HDDユニット500とリムーバブルHDDユニット300が検出された」に、状態遷移(6)の「リムーバブルHDDユニット300が抜かれて計1個のリムーバブルHDDユニットとなった」は、「リムーバブルHDDユニット300が抜かれて、内蔵HDDユニット500のみとなった」に、それぞれ置き換えることとなる。状態遷移(1)、(4)、(7)は存在しない。図16、図17、図18の説明では、2つあるリムーバブルHDDユニット300の1つを内蔵HDDユニット500と置き換えることで説明可能であるため省略する。
以上のように、セッション管理部103が、並列して処理可能なセキュアセッションを、再生セッションに優先的に割り当てることで、できる限り多くのリムーバブルHDDユニット300を再生待機状態とすることができ、再生時の遅延を低減することができる。再生セッションに割り当てた後、さらに並列して処理可能なセキュアセッションがあれば、それを記録セッションにも割り当てておくことで、記録時もスムーズに処理を実行することができる。
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
実施の形態では、1つのリムーバブルHDDユニット300に対して、記録と再生のセッションを1つずつ張る場合について説明したが、例えば、表示画面を分割して2以上のコンテンツを同時に再生することが可能に記録再生装置10を構成した場合、セッション管理部103は、1つのリムーバブルHDDユニット300に対して複数の記録・再生セッションを割り当ててもよい。この場合も、再生セッションを優先して割り当てることで、再生時の遅延を軽減することができる。
実施の形態では、記憶媒体の例としてリムーバブルHDDユニット300について説明したが、記憶媒体は、記録再生装置10に固定的に設けられてもよい。また、実施の形態におけるリムーバブルHDDユニット300は、記録再生装置10を購入する時に付属品として同梱されていてもよいし、記録再生装置10とは別に店舗などで購入することにしてもよい。
第1の実施の形態に係る記録再生装置の構成を示す図である。 第1の実施の形態に係るリムーバブルHDDユニットの構成を示す図である。 リムーバブルHDDユニットの記憶領域のアドレス構成の例を示す図である。 リムーバブルHDDユニットに番組を記録する場合のディレクトリ/ファイル構成の例を示す図である。 番組管理ファイルの構成例を示す図である。 記録再生装置がリムーバブルHDDユニットに番組データを記録するときの動作を概略的に示すフローチャートである。 記録再生装置がリムーバブルHDDユニットに記録された番組データを再生するときの動作を概略的に示すフローチャートである。 図6に示したライセンスデータの記録のための認証処理及びライセンスデータ転送処理の一例を簡易的に示す図である。 図7に示したライセンスデータの読み出しのための認証処理及びライセンスデータ転送処理の一例を簡易的に示す図である。 第1の実施の形態に係る記録再生装置の初期化ルーチンの手順を示す図である。 ユーザから番組の録画を指示された後の記録方法の手順を示す図である。 ユーザから番組の再生を指示された後の再生方法の手順を示す図である。 第2の実施の形態に係る記録再生装置の構成を示す図である。 図13に示した記録再生装置の電源の状態と、リムーバブルHDDスロットに挿入されているリムーバブルHDDユニットの検出数の状態遷移を示す図である。 図14の(2)、(4)、(5)の状態遷移が発生したときの初期化ルーチンの手順を示す図である。 図14の(3)、(6)の状態遷移が発生したときの初期化ルーチンの手順を示す図である。 2個のリムーバブルHDDユニットが利用可能な状態で、番組データを一方のリムーバブルHDDユニットに記録するときの手順を示す図である。 第3の実施の形態に係る記録再生装置におけるセッションの遷移の例を示す図である。 第5の実施の形態に係る記録再生装置の構成を示す図である。
符号の説明
10 記録再生装置、103 セッション管理部、112 リムーバブルHDDスロット、114 リムーバブルHDD挿入検出部、200 PKIセキュアモジュール、300 リムーバブルHDDユニット、308 ハードディスク記憶領域、322 ライセンスデータ記憶領域、330 PKIセキュアモジュール、500 内蔵HDDユニット。

Claims (6)

  1. データを格納する記憶媒体との間で秘匿すべきデータを暗号化して入出力するための一連の暗号入出力処理を複数並列して実行可能に構成された暗号処理部と、
    複数の前記暗号入出力処理を管理する管理部と、を備え、
    前記管理部は、前記記憶媒体が利用可能になったときに、前記一連の暗号入出力処理のうち少なくとも一部を含むセッション確立処理を前記暗号処理部に実行させ、前記秘匿すべきデータを前記記憶媒体から読み出すための再生セッション確立処理を、前記秘匿すべきデータを前記記憶媒体へ書き込むための記録セッション確立処理よりも優先させることを特徴とする記録再生装置。
  2. 前記記憶媒体は、該記録再生装置に対して着脱可能な記憶装置に設けられ、
    該記録再生装置は、複数の前記記憶装置を接続可能に構成され、前記記憶装置の着脱を検出する検出部を更に備えることを特徴とする請求項1に記載の記録再生装置。
  3. 前記セッション確立処理は、前記秘匿すべきデータの出力元の装置が、前記秘匿すべきデータの出力先の装置を認証する処理を含むことを特徴とする請求項2に記載の記録再生装置。
  4. 該記録再生装置に接続され、利用可能な状態にある記憶媒体の数が、前記暗号処理部が並列して処理可能な暗号入出力処理の数よりも少ない場合、前記管理部は、利用可能な全ての記憶媒体との間で、前記再生セッション確立処理を前記暗号処理部に実行させ、以降、記憶媒体が利用不可能となるまで、前記暗号処理部は、前記秘匿すべきデータを前記記憶媒体から読み出すときに、前記再生セッション確立処理を省略することを特徴とする請求項1から3のいずれかに記載の記録再生装置。
  5. 該記録再生装置に接続され、利用可能な状態にある記憶媒体の数が、前記暗号処理部が並列して処理可能な暗号入出力処理の数以上である場合、前記管理部は、前記秘匿すべきデータを前記記憶媒体へ書き込むときに、前記暗号処理部に、いずれかの記憶媒体に対して実行されていた前記再生セッション確立処理を破棄させ、前記秘匿すべきデータを前記記憶媒体へ書き込むための前記暗号入出力処理を実行させた後、再び前記再生セッション確立処理を実行させることを特徴とする請求項1から4のいずれかに記載の記録再生装置。
  6. データを格納する記憶媒体との間で秘匿すべきデータを暗号化して入出力するための一連の暗号入出力処理を複数並列して実行するとき、
    前記記憶媒体が利用可能になったときに、前記秘匿すべきデータを前記記憶媒体から読み出すための前記一連の暗号入出力処理のうち少なくとも一部を含む再生セッション確立処理を実行するステップと、
    利用可能な前記記憶媒体に対して前記再生セッション確立処理を実行した後、さらに並列して前記一連の暗号入出力処理を実行可能であるときに、前記秘匿すべきデータを前記記憶媒体に書き込むための前記一連の暗号入出力処理のうち、少なくとも一部を含む記録セッション確立処理を実行するステップと、
    前記再生セッション確立処理を実行した後、前記秘匿すべきデータの読み出しの指示を待機するステップと、
    前記読み出しの指示を受け付けたとき、前記一連の暗号化入出力処理のうち、前記再生セッション確立処理をスキップし、後続の処理を実行するステップと、
    を含むことを特徴とする記録再生方法。
JP2005025628A 2004-03-30 2005-02-01 記録再生装置及び方法 Withdrawn JP2005317177A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2005025628A JP2005317177A (ja) 2004-03-30 2005-02-01 記録再生装置及び方法
US11/078,627 US20050232593A1 (en) 2004-03-30 2005-03-14 Recording/reproduction device and method thereof
CN200510062787.5A CN1677547A (zh) 2004-03-30 2005-03-30 记录/再现装置及其方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004101497 2004-03-30
JP2005025628A JP2005317177A (ja) 2004-03-30 2005-02-01 記録再生装置及び方法

Publications (1)

Publication Number Publication Date
JP2005317177A true JP2005317177A (ja) 2005-11-10

Family

ID=35049995

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005025628A Withdrawn JP2005317177A (ja) 2004-03-30 2005-02-01 記録再生装置及び方法

Country Status (3)

Country Link
US (1) US20050232593A1 (ja)
JP (1) JP2005317177A (ja)
CN (1) CN1677547A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008159059A (ja) * 2006-12-22 2008-07-10 Hitachi Global Storage Technologies Netherlands Bv ハード・ディスク・ドライブ

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181010B2 (en) * 2002-05-24 2007-02-20 Scientific-Atlanta, Inc. Apparatus for entitling remote client devices
US7861082B2 (en) * 2002-05-24 2010-12-28 Pinder Howard G Validating client-receivers
US8015404B2 (en) * 2005-09-16 2011-09-06 Gm Global Technology Operations, Llc System and method for collecting traffic data using probe vehicles
US8306918B2 (en) * 2005-10-11 2012-11-06 Apple Inc. Use of media storage structure with multiple pieces of content in a content-distribution system
US8488945B2 (en) * 2005-10-17 2013-07-16 Sharp Kabushiki Kaisha Recording apparatus, method for controlling recording apparatus, control program of recording apparatus, and computer-readable recording medium
JP2007149298A (ja) * 2005-11-30 2007-06-14 Toshiba Corp 放送記録装置及び放送記録方法
US8208796B2 (en) * 2006-04-17 2012-06-26 Prus Bohdan S Systems and methods for prioritizing the storage location of media data
US9277295B2 (en) 2006-06-16 2016-03-01 Cisco Technology, Inc. Securing media content using interchangeable encryption key
US9137480B2 (en) 2006-06-30 2015-09-15 Cisco Technology, Inc. Secure escrow and recovery of media device content keys
US7978720B2 (en) 2006-06-30 2011-07-12 Russ Samuel H Digital media device having media content transfer capability
JP2008153959A (ja) * 2006-12-18 2008-07-03 Hitachi Ltd 放送受信装置とその録画ガイダンス方法
JP4342595B1 (ja) * 2008-05-09 2009-10-14 株式会社東芝 情報処理装置、情報処理システム、および暗号化情報管理方法
US9940460B1 (en) * 2015-12-18 2018-04-10 EMC IP Holding Company LLC Cleaning malware from backup data

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4595182B2 (ja) * 2000-09-07 2010-12-08 ソニー株式会社 情報記録装置、情報再生装置、情報記録方法、情報再生方法、および情報記録媒体、並びにプログラム提供媒体

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008159059A (ja) * 2006-12-22 2008-07-10 Hitachi Global Storage Technologies Netherlands Bv ハード・ディスク・ドライブ

Also Published As

Publication number Publication date
CN1677547A (zh) 2005-10-05
US20050232593A1 (en) 2005-10-20

Similar Documents

Publication Publication Date Title
JP2005317177A (ja) 記録再生装置及び方法
JP4438527B2 (ja) 情報管理方法、情報再生装置および情報管理装置
JP4686138B2 (ja) 記憶媒体変換方法、プログラム及び機器
JP4585460B2 (ja) 同一コンテンツから派生した形式の異なるコンテンツを複数個所で同時に利用することを防ぐ記憶装置、システム及び方法
JP2002135243A (ja) データ再生装置、データ記録装置、およびデータ再生方法、データ記録方法、リスト更新方法、並びにプログラム提供媒体
US20090022318A1 (en) Content data distribution terminal and content data distribution system
JP2007013689A (ja) 情報処理装置および復号制御方法
JP4764505B2 (ja) 情報送信装置
US20050234832A1 (en) Recording/reproduction device for encrypting and recording data on storage medium and method thereof
EP1524582A2 (en) Information processing apparatus, information recording medium, information processing method and computer program
JP2004311000A (ja) 記録装置及び著作権保護システム
JP4263129B2 (ja) 記録再生装置及び方法
JP2005063068A (ja) データ記録制御装置及び方法、並びに記憶媒体及びプログラム
US20070248228A1 (en) Audio and video recording apparatus
JP5306043B2 (ja) デジタルtv放送受信システム、デジタルtv放送受信処理装置
KR100728928B1 (ko) 기록매체를 통해 오프라인된 영상기기에 컨텐츠 재생권한부여방법
JP2006277697A (ja) コンテンツ転送システム,コンテンツ転送装置,コンテンツ再生装置,コンテンツ転送方法およびコンテンツ再生方法
JP4100845B2 (ja) 情報記録読取方法ならびに装置
JP4826671B2 (ja) 情報管理方法および情報再生装置
JP2006085815A (ja) 記録再生装置、コンテンツ再生方法及びコンテンツ記録方法
JP2007286938A (ja) 情報処理装置および方法、プログラム、並びに記録媒体
JP5470214B2 (ja) 記録装置及び記録処理方法
JP6489533B2 (ja) 情報処理方法および情報処理端末
JP2007124415A (ja) コンテンツ格納プログラム,コンテンツ再生プログラム,及び、コンテンツ配信プログラム
JP2007128278A (ja) コンテンツ管理システム、コンテンツ管理方法、及びそれらに用いるプログラム及び記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070522

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20080717