JP2007528658A - 改良されたドメインマネージャ及びドメイン装置 - Google Patents
改良されたドメインマネージャ及びドメイン装置 Download PDFInfo
- Publication number
- JP2007528658A JP2007528658A JP2007502485A JP2007502485A JP2007528658A JP 2007528658 A JP2007528658 A JP 2007528658A JP 2007502485 A JP2007502485 A JP 2007502485A JP 2007502485 A JP2007502485 A JP 2007502485A JP 2007528658 A JP2007528658 A JP 2007528658A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- key
- ticket
- new
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/101—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
Abstract
ネットワークを管理するドメインマネージャ装置。マネージャは、ネットワークに加入する新たな装置にいくつかの対称認証鍵を発行し、好ましくは、いくつかの認証チケットを発行する。各認証鍵は、新たな装置がネットワークに含まれる他の各装置とセキュアに通信することを可能にする。各認証チケットは、第1識別子を有する装置が、第2識別子を有する装置に対して自らを認証することを可能にする。新たな装置は、第1識別子がそれの識別子と一致する認証チケットを受け付ける。新たな装置は、装置Bに自らを認証するため、装置Bに第2識別子Bを有するチケットを提示する。好ましくは、ドメインマネージャは、いくつかのマスタデバイスキーを生成し、1つを新たな装置に発行する。その後、認証チケットは、第2識別子を有する装置に発行されるマスタデバイスキーにより暗号化することができる。
Description
[イントロダクション]
最近数年間で、デジタル著作権管理(DRM)のためのソフトウェア/ハードウェアアーキテクチャの開発への関心が高まっている。このようなアーキテクチャの主たる目的は、消費者の利便性とプライバシの観点から許容できるものである一方、コンテンツ所有者/プロバイダの観点から安全かつセキュアな方法によりデジタルデータコンテンツ(大部分はホームエンターテイメント関連)を提供することである。
最近数年間で、デジタル著作権管理(DRM)のためのソフトウェア/ハードウェアアーキテクチャの開発への関心が高まっている。このようなアーキテクチャの主たる目的は、消費者の利便性とプライバシの観点から許容できるものである一方、コンテンツ所有者/プロバイダの観点から安全かつセキュアな方法によりデジタルデータコンテンツ(大部分はホームエンターテイメント関連)を提供することである。
コンテンツ所有者/プロバイダにとって最も大きなセキュリティの脅威は、彼らの著作権管理されたデジタルコンテンツの無制限な不法コピー及び配布である。このため、大部分のDRMアーキテクチャの焦点は、所有者/プロバイダがデジタルコンテンツの配布及び処理方法を制御することを可能にする機構に関するものである。これをサポートするキーコンセプトは、コンプライアント装置(compliant device)、すなわち、その構成により、コンテンツの所有者によって認められた方法によってのみデジタルコンテンツを処理することが保証される装置である。コンプライアント装置の最も重要な性質は、それらがセルフポリシング(self−policing)である、すなわち、データコンテンツの一部に対して何れかの処理を実行する前に、当該処理が当該コンテンツ部分に対してコンテンツ所有者によって設定されたルールに矛盾していないことをチェックするという事実である。この性質により、コンプライアント装置の間のデータ交換ルールは大きく簡略化することが可能となり、例えば、コンプライアントなデジタルビデオレコーダに、「ノー・コピー」とマーキングされたビデオへの完全なアクセスを安全に与えることが可能となる。すなわち、レコーダがコンプライアントであるため、ビデオの所有者は、そうすることが可能であったとして、それが決してコピーを生成しないことが保証される。
コンプライアント装置は、通常は、コンプライアンスチェッキング(compliance checking)(それらが実際にコンプライアントであるということを他の装置に証明する)を容易にする暗号鍵を有し、それらの(潜在的には悪意ある)ユーザが、プロテクション機構を回避し、著作権管理されたデジタルコンテンツへの無制限なアクセスをすることを防ぐためのタンパレジスタント(tamper resistant)として製造される。
現在、装置のコンプライアンスチェッキングを行うための一般的なアプローチは、可能なものが2つある。個別認証(individual authentication)の場合、これは、公開鍵暗号化により実行され、すなわち、デジタル証明書を開始ライセンス期間によって証明された公開鍵による一意的な公開/秘密鍵ペアを各装置に割り当てることによって行われる。この場合、2つのコンプライアント装置がやりとりする必要があるときは常に、それらは、まず相互の認証プロトコルに従事し、それらが「コンプライアント」公開鍵に対応する秘密鍵を有することを互いに証明する。
装置のコンプライアンスチェッキングを実行する他の方法は、グループ認証(group authentication)を介したものである。この場合、与えられた装置のアイデンティティは、当該装置が自らがコンプライアント装置グループの一部であるということを証明可能である限り、重要ではない。実際、グループ認証を行う最も効率的な方法は、ブロードキャスト暗号化として知られる対称鍵暗号化アルゴリズムのクラスに基づくものであり、Jeffrey B.Lotspiech、Stefan Nusser及びFlorian Pestoniによる「Broadcast encryption‘s bright future」(IEEE Computer,35(1),2002)に記載されている。
個別認証による主な問題は、それが、ソフトウェアにより実現される場合には低速であり、ハードウェアにより実現される場合にはコスト高となる(専用のハードウェアアクセラレータのコストは、装置全体の価格に追加される)公開鍵暗号化アルゴリズムによるものであるという事実である。他方、ブロードキャスト暗号化に基づく解決策は、ソフトウェアにより妥当な程度効率的に実現可能であるが、それらは、障害のある装置を無効する機能が限定されていると共に、コンプライアント装置間のやりとりを規制する複雑なセキュリティポリシーを表現するための限られたサポートしかないなどのそれ自身の問題を有している。
デジタル著作権管理の分野では、認証ドメイン(authorized domain)のコンセプトが、DVB及びTV−Anytimeなどの規格団体において最近導入されている。認証ドメインは、コンテンツ所有者(自らの著作権の保護を所望する)及びコンテンツ消費者(コンテンツの無制限な使用を所望する)の利害の双方に供する解決策を求めようとするものである。このアイデアはまた、それが認証ドメインのボーダを超えない限り、コンテンツが比較的自由に使用することが可能な制御されたネットワーク環境を有するというものである。典型的には、認証ドメインは、ホームエンターテイメントの中心となる。
特定のアーキテクチャに対するいくつかのデザイン要求は、国際特許出願WO03/098931(代理人整理番号PHNL020455)と、F.Kamperman、W.Jonker、P.Lenoir及びB.vd Heuvelによる「Secure content management in authorized domain」(In Proc.IBC2002,pages467−475,Sept.2002)においてすでに概略されている。これらの要求は、認証ドメインの識別、装置のチェックイン、装置のチェックアウト、権利のチェックイン、権利のチェックアウト、コンテンツのチェックイン、コンテンツのチェックアウトと共にドメイン管理などの問題を含む。上記文献は、公開鍵証明書を介した個別認証に基づくコンプライアンスチェッキングを仮定しているが、これはパフォーマンス/経済的な観点から最適ではない(公開鍵処理は、ソフトウェアにより実現されるときには低速となり、ハードウェアにより実現されるときにはコスト高となる)。
公開鍵暗号化アルゴリズムに関する信頼性は、明らかに上記デザインの弱点である。このことは、エニー・ツー・エニー(any−to−any)装置通信パターンを可能にするため、ドメインのすべての装置部分が、公開鍵処理をスピードアップするためのハードウェア暗号化アクセラレータを有する必要がある。これは、システムの全体的なコストを明らかに引き上げることとなる。本開示では、上記問題点を解決しようとする他のデザインを提供する。特に以下の(矛盾する)問題点を調停しようとする。
・当該アーキテクチャは、個別の装置の認証をサポートすべきである。
・当該アーキテクチャは、公開鍵処理がソフトウェアにより実行されるとき、適度に効率的に動作すべきである(公開鍵ハードウェアアクセラレータは、必須とされるべきではない)。
・当該アーキテクチャは、大きなパフォーマンスの低下なく、潜在的に多数の無効にされる装置をサポートすべきである。
[発明の概要]
本発明の課題は、公開鍵暗号化の利用を要求しないネットワークの装置間の認証を可能にすることである。
・当該アーキテクチャは、個別の装置の認証をサポートすべきである。
・当該アーキテクチャは、公開鍵処理がソフトウェアにより実行されるとき、適度に効率的に動作すべきである(公開鍵ハードウェアアクセラレータは、必須とされるべきではない)。
・当該アーキテクチャは、大きなパフォーマンスの低下なく、潜在的に多数の無効にされる装置をサポートすべきである。
[発明の概要]
本発明の課題は、公開鍵暗号化の利用を要求しないネットワークの装置間の認証を可能にすることである。
上記課題は、本発明によると、前記ネットワークに加入する新たな装置に、各々が前記ネットワークを構成する他の各装置との認証された通信を可能にする所定数の対称認証鍵を発行する認証手段を有することを特徴とするドメインマネージャ装置において達成される。
上記課題はさらに、本発明によると、ネットワークを介し第2装置と通信するよう構成され、前記ネットワークを加入するようドメインマネージャ装置に要求し、各々が前記ネットワークに含まれる他の各装置との認証された通信を可能にする所定数の対称認証鍵を受け付けるネットワーキング手段と、前記第2装置との認証された通信を可能にする前記対称認証鍵を用いて前記第2装置と通信する認証手段とを有することを特徴とする第1装置において達成される。
本発明は、既存の解決策に関する主要な問題点、すなわち、個別認証のサポートの欠落を回避しながら、対称鍵暗号化アルゴリズムに基づく解決策に関する効果、すなわち、高速なソフトウェア実現を組み合わせる。さらに、このアーキテクチャは、既存の解決策に対して明らかな効果である大変効率的なリボケーション機構をサポートする。
本発明によるハイブリッドアーキテクチャの大きな効果は、公開鍵処理が装置間の認証に必要でないということである。第1装置がネットワークに加入することを要求するとき、すなわち、第1装置がドメインマネージャに対して自らを認証するとき、公開鍵処理を実行することが望ましいかもしれない。しかしながら、この点について、第1装置はネットワークのまだ一部ではない。この認証段階に続いて、同一のドメインの装置部分間のすべての認証が、(高速な)対称鍵処理により行われる。
これに対して支払われる対価は、すべての装置におけるさらなるストレージ要求であるが、認証ドメインは限られた個数(10のオーダー)の装置しか有しないと仮定すると、これらのストレージ要求は過剰ではない。
さらに、請求項2によると、第1識別子を有する装置が第2識別子を有する装置に対して自らを認証することを可能にする認証チケットが発行可能である。これらは、第1装置によって第2装置に提示することが可能である。第2装置が受け付けた認証チケットを有効なものとして受け付けると、第1装置が認証される。
さらに、所定数のマスタデバイスキーが生成されるかもしれず、その後、マスタキーの各々が、ネットワークに加入する各装置に発行される。これらのキーは、ドメインマネージャと各装置との間で共有される秘密として機能し、各装置がドメインマネージャからと称される情報を認証することを可能にする。さらに、装置は、それらのデバイスマスタキーを格納するタンパレジスタントメモリしか必要としない。他のすべてのデータは、信頼されていないメモリに格納され、マスタキーの下で暗号化することができる。
装置Bに対して装置Aを認証する各認証チケットは、好ましくは、装置Bに関するマスタデバイスキーにより少なくとも部分的に暗号化される。このように、Aから当該チケットを受け付けると、Bは、チケットがそれを良好に解読することによって真正であると確認することができる。
本発明は、認証鍵とチケットの生成を予め可能にする。各マスタデバイスキーに一意的な識別子が割り当てられると、認証鍵及びチケットは、各マスタデバイスキー識別子に関連付けすることが可能である。これは、装置がネットワークにまだ加入していない装置に対してチケットを発行可能であることを意味する。例えば、ネットワークに加入するすべての装置は、加入時にネットワーク上にものより(多数の)少数の装置が存在しているとしても、同時にネットワークにおそらく存在しうる他のすべての装置について1つの認証チケットを発行することが可能である(すなわち、ネットワークにおいて同時に許容される装置の最大数より少ない1つのチケットを受け付ける)。
以降に加入する装置には、1つのマスタキーと当該マスタキーに対応する識別子が割り当てられる。さらなるアクションがない場合、すでにネットワークにあるすべての装置は、適切な認証鍵とチケットを用いることによって、以降に加入した装置に対して自らを認証し、それと通信することが可能となる。
ドメインマネージャは、ネットワークに含まれるグローバルリボケーション(revocation)リスト上の無効にされた装置を特定することによって、ローカルリボケーションを生成することができる。当該装置がローカルリボケーションリストを認証することを可能にするため、ドメインマネージャは、各々がマスタデバイスキーの1つを用いてローカルリボケーションリストの認証を可能にするいくつかのリボケーション認証コードを生成する。各装置は、自らのマスタデバイスキーを用いてリボケーション認証コードの1つを解読することが可能であり、これにより、ローカルリボケーションリストの真正性を確立することができる。
国際特許出願WO03/107588(代理人整理番号PHNL020543)に記載されるように、リボケーションに対する既存の解決策による問題点は、多数の装置を無効にすることにより、重大なパフォーマンスペナルティを引き起こすということである。すなわち、ベストなケースでは、リボケーションデータ構造のサイズは、無効にされる装置の個数に対して少なくとも線形に増大する(従って、シンプルな計算は、100,000個の装置を無効にすることにより、1MBのリボケーションリストがもたらされることを示す)。リボケーションリストが格納され、すべてのコンプライアント装置によって処理される必要があるため、これは装置のメモリ要求を大きく増大させる。本発明によると、グローバル装置リボケーションリストのわずかなサブセットのみが格納され、ネットワークの装置により処理される必要がある。
[詳細な説明]
図1は、ネットワーク110を介し相互接続される装置101〜105を有するシステム100を概略的に示す。本実施例では、システム100は、認証ドメインとして機能するイン・ホームネットワークである。典型的なデジタルホームネットワークは、ラジオ受信機、チューナ/デコーダ、CDプレーヤー、一対のスピーカー、テレビ、VCR、テープデッキなどのいくつかの装置を有する。これらの装置は、通常は、テレビなどの装置がVCRなどの他の装置を制御することができるように相互接続される。チューナ/デコーダ又はセットトップボックス(STB)などの1つの装置は、普通は、その他の装置に対する集中制御を提供する中央装置となる。
[詳細な説明]
図1は、ネットワーク110を介し相互接続される装置101〜105を有するシステム100を概略的に示す。本実施例では、システム100は、認証ドメインとして機能するイン・ホームネットワークである。典型的なデジタルホームネットワークは、ラジオ受信機、チューナ/デコーダ、CDプレーヤー、一対のスピーカー、テレビ、VCR、テープデッキなどのいくつかの装置を有する。これらの装置は、通常は、テレビなどの装置がVCRなどの他の装置を制御することができるように相互接続される。チューナ/デコーダ又はセットトップボックス(STB)などの1つの装置は、普通は、その他の装置に対する集中制御を提供する中央装置となる。
典型的には、音楽、曲、映画、テレビ番組、写真、ゲーム、書籍などのものを有し、またインタラクティブサービスを有するかもしれないコンテンツが、家庭のゲートウェイ又はセットトップボックス101を介し受信される。コンテンツはまた、携帯装置を用いて、又はディスクなどの記憶媒体などの他のソースを介し家庭に入ってくる可能性がある。ソースは、ブロードバンドケーブルネットワークとの接続、インターネット接続、衛星ダウンリンクなどとすることができる。そのとき、コンテンツはレンダリングのため、ネットワーク110を介しシンクに転送することが可能である。シンクは、例えば、テレビディスプレイ102、携帯表示装置103、携帯電話104及び/又は音声再生装置105とすることができる。
コンテンツアイテムがレンダリングする正確な方法は、装置のタイプとコンテンツのタイプに依存する。例えば、ラジオ受信機では、レンダリングは、音声信号の生成と、それらのラウドスピーカーへの供給を有する。テレビ受信機では、レンダリングは、一般に音声及び映像信号の生成と、それらの表示画面及びラウドスピーカーへの供給とを有する。他のタイプのコンテンツについては、同様に適切なアクションがとられる必要がある。レンダリングはまた、受信信号の解読又はスクランブル解除、音声及び映像信号の同期化などの処理を含むかもしれない。
セットトップボックス101又はシステム100の他の何れかの装置は、受信コンテンツの記録及び以降の再生を可能にする適切な大きさのハードディスクなどの記憶媒体S1を有するものであってもよい。記憶媒体S1は、セットトップボックス101が接続されるDVD+RWレコーダなどのあるタイプのパーソナル・デジタル・レコーダ(PDR)とすることが可能である。コンテンツはまた、システム100に入力され、CD(Compact Disc)やDVD(Digital Versatile Disc)などのキャリア120上に格納することが可能である。
携帯表示装置103と携帯電話104は、Bluetooth又はIEEE802.11bなどを利用して、ベースステーション111を用いてネットワーク110に無線接続される。その他の装置は、従来の有線接続を用いて接続される。装置101〜105がやりとりするのを可能にするため、異なる装置がメッセージ及び情報を交換し、互いに制御することを可能にするいくつかの相互互換規格が利用可能である。1つの周知な規格は、そのバージョン1.0が2000年1月に公開され、http://www.havi.org/のアドレスにおいてインターネットを介し利用可能であるHAVi(Home Audio/Video Interoperability)規格である。他の周知の規格は、ドメスティック・デジタル・バス(D2B)規格、IEC1030に記載される通信プロトコル及びユニバーサル・プラグ・アンド・プレイ(http://www.upnp.org)である。
一般に言うと、認証ドメインは、以下のエンティティを有する。
・いくつかのデジタルコンテンツアイテム コンテンツアイテムは、著作権管理された電子情報である。各コンテンツアイテムは、当該アイテムに対する使用ルールを設定することが可能なエンティティ(人/機関)である所有者を有する。
・装置101〜105などのいくつかのコンプライアント装置 これらは、ライセンスされたメーカーによって製造される電子装置である。それらは、コンテンツアイテムのレンダリング、格納及び記録が可能である。構成によって、コンプライアント装置は、使用ルールを介しそれらの所有者によって許可された方法によってしかデータアイテムを処理することができない。コンプライアント装置は、当該アイテムに対する使用を照会する前には、コンテンツアイテムを処理しない。
・セットトップボックス101などの1つの認証ドメイン(AD)マネージャ装置 これは、ドメインのその他の装置を追跡するコンプライアント装置である。それは、当該ドメインに参入する新たな装置を登録し、危険な(もはやコンプライアントでないと知られる)装置と共にドメインから離れる装置を削除する。
・セットトップボックス101や音声再生装置105などのいくつかのコンテンツマネージャ装置 これらは、新たなデータコンテンツをドメインにもたらすコンプライアント装置である。それらは、コンテンツ所有者/プロバイダとやりとりすることによって、又はプレパッケージメディア(DVDなど)からコンテンツを直接読み出すことによって、これを行う。製造時、各コンプライアント装置には、タンパレジスタントメモリに格納される秘密鍵と、装置証明書によりライセンスされた組織によって証明された公開鍵を有する公開/秘密鍵ペアが与えられると仮定する。また、各コンプライアント装置は、装置証明書に含まれる一意的なグローバルデバイスID(GDI)によって識別されると仮定する。
・いくつかのデジタルコンテンツアイテム コンテンツアイテムは、著作権管理された電子情報である。各コンテンツアイテムは、当該アイテムに対する使用ルールを設定することが可能なエンティティ(人/機関)である所有者を有する。
・装置101〜105などのいくつかのコンプライアント装置 これらは、ライセンスされたメーカーによって製造される電子装置である。それらは、コンテンツアイテムのレンダリング、格納及び記録が可能である。構成によって、コンプライアント装置は、使用ルールを介しそれらの所有者によって許可された方法によってしかデータアイテムを処理することができない。コンプライアント装置は、当該アイテムに対する使用を照会する前には、コンテンツアイテムを処理しない。
・セットトップボックス101などの1つの認証ドメイン(AD)マネージャ装置 これは、ドメインのその他の装置を追跡するコンプライアント装置である。それは、当該ドメインに参入する新たな装置を登録し、危険な(もはやコンプライアントでないと知られる)装置と共にドメインから離れる装置を削除する。
・セットトップボックス101や音声再生装置105などのいくつかのコンテンツマネージャ装置 これらは、新たなデータコンテンツをドメインにもたらすコンプライアント装置である。それらは、コンテンツ所有者/プロバイダとやりとりすることによって、又はプレパッケージメディア(DVDなど)からコンテンツを直接読み出すことによって、これを行う。製造時、各コンプライアント装置には、タンパレジスタントメモリに格納される秘密鍵と、装置証明書によりライセンスされた組織によって証明された公開鍵を有する公開/秘密鍵ペアが与えられると仮定する。また、各コンプライアント装置は、装置証明書に含まれる一意的なグローバルデバイスID(GDI)によって識別されると仮定する。
装置は複数の役割を演じることが可能であり、すなわち、それはコンテンツをレンダリング可能であると共に、ADマネージャ及びおそらくはコンテンツマネージャであるということを理解することは重要である。与えられた装置に含まれる機能量は、メーカー/消費者の選択である。消費者の観点から、装置内の余計な機能は、追加的なコマンドインタフェースを介し実現され、ADマネージャが特別なAD管理インタフェースを必要としながら、コンテンツマネージャは、それらがサポートするコンテンツプロバイダとのやりとりを可能にするコマンドインタフェースを必要とする。
[認証ドメイン生成]
図2は、ADマネージャ210と装置200をより詳細に概略的に示す。新たなADの生成は、ADマネージャ機能を有する1つのコンプライアント装置を必要とする。ドメインの所有者は、AD管理インタフェースを用いて、「新たなADの生成」コマンドを発信する。このようなコマンドを受信すると、ADマネージャ装置はまず、それが管理した以前のADに関するすべての情報を消去し、それに続いて、それのタンパレジスタントメモリTRMに格納されるマスタデバイスキーリスト(好ましくは、128ビットAESキーである対称暗号鍵のリスト)を生成するため、キー生成手段KGMを起動する。
[認証ドメイン生成]
図2は、ADマネージャ210と装置200をより詳細に概略的に示す。新たなADの生成は、ADマネージャ機能を有する1つのコンプライアント装置を必要とする。ドメインの所有者は、AD管理インタフェースを用いて、「新たなADの生成」コマンドを発信する。このようなコマンドを受信すると、ADマネージャ装置はまず、それが管理した以前のADに関するすべての情報を消去し、それに続いて、それのタンパレジスタントメモリTRMに格納されるマスタデバイスキーリスト(好ましくは、128ビットAESキーである対称暗号鍵のリスト)を生成するため、キー生成手段KGMを起動する。
このリストのサイズは、ドメインに許容される装置の最大数に等しくなるようベストに選択される。これは、メーカー/コンテンツプロバイダの選択であるが、それは10のオーダーであると予想する。そのサイズは、より大きいものを選ぶことも可能である。
最後に、マネージャは、それのタンパレジスタントメモリTRMに格納されるドメインIDを生成する。ドメインIDは、好ましくは、マネージャのGDIと増加するドメインバージョン番号の連結として構成される。製造時には、ドメインバージョン番号はゼロに設定される。ADマネージャがリセットされると、ドメインバージョン番号はインクリメントされ、マネージャが常に異なるドメインIDを生成することを保証する。マスタデバイスキーリストとドメインIDの両方が生成されると、AD生成処理は完了し、マネージャは新たな装置を登録することによって新たなドメインに含めることができる。
[装置登録]
ADに参入する装置200は、ADマネージャによって登録される必要がある。この登録は、装置Dがドメインに加入しようとするときに自動的に、又はリクエストにより実行されてもよい。登録は、ネットワークを介した通信を伴い、このため、装置200とマネージャ210はネットワーキングモジュールNETを有する。
[装置登録]
ADに参入する装置200は、ADマネージャによって登録される必要がある。この登録は、装置Dがドメインに加入しようとするときに自動的に、又はリクエストにより実行されてもよい。登録は、ネットワークを介した通信を伴い、このため、装置200とマネージャ210はネットワーキングモジュールNETを有する。
登録段階は、コンプライアンスチェッキングと認証の2つのステップから構成される。コンプライアンスチェッキングステップでは、ADマネージャは、ライセンス機関によってコンプライアントであるとして証明されたものとして新たな装置を認証する。このステップが良好に完了すると、ADマネージャは、それらがドメインの他の装置とやりとりするのに必要とする暗号化マテリアルを与えることによって、新たな装置をドメインに追加する。
[コンプライアンスチェッキングプロトコル]
新たな装置をドメインに登録する第1のステップは、コンプライアンスチェッキングである。コンプライアンスチェッキングは、公開鍵暗号化により実行される。ADマネージャと新たな装置は、その後、秘密鍵の送信を可能にする公開鍵相互認証プロトコルに従事する(そのようなプロトコルの具体例が、ISO/IEC11770−3,1999に記載されている)。このため、両者は、公開鍵認証モジュールPKAUTHを有する。
[コンプライアンスチェッキングプロトコル]
新たな装置をドメインに登録する第1のステップは、コンプライアンスチェッキングである。コンプライアンスチェッキングは、公開鍵暗号化により実行される。ADマネージャと新たな装置は、その後、秘密鍵の送信を可能にする公開鍵相互認証プロトコルに従事する(そのようなプロトコルの具体例が、ISO/IEC11770−3,1999に記載されている)。このため、両者は、公開鍵認証モジュールPKAUTHを有する。
当該プロトコルの終わりにおいて、各装置は、他方の装置がライセンス機関によって「コンプライアント」として証明された公開鍵に対応する秘密鍵にアクセスすることが可能となることが保証される。これが行われると、ADマネージャ210は、登録装置200にそれの装置マスタキーリストからの装置マスタキーを割り当てる(キートランスポートプロトコルを介し)。マネージャのリストの当該キーのインデックスは、新たに登録された装置のローカルデバイスID(LDI)となる。ドメインマネージャが登録された各装置のGDIと共に、当該GDIに関するLDIを格納することが仮定される。これは、装置の登録のために求められる。
図3において、ローカルデバイス識別子(LDI)、マスタデバイスキー(MDK)及びグローバルデバイス識別子(GDI)が、どのようにタンパレジスタントメモリTRMに格納可能であるに関する具体例が示される。例えば、LDI「10」はMDK「1234」に関連し、GDI「201」の装置に割り当てられる。LDI「12」はMDK「3241」に関連し、何れの装置にも(まだ)割り当てられない。
[装置認証]
ADにある装置を受け入れることは、コンテンツアイテムを取得するため、当該装置がADの他の装置について認証することを可能にすることを要求する。ADマネージャは、いくつかのペア(認証鍵,認証チケット)から構成される認証証明セットを新たな装置に発行する認証モジュールAUTHを有する。
[装置認証]
ADにある装置を受け入れることは、コンテンツアイテムを取得するため、当該装置がADの他の装置について認証することを可能にすることを要求する。ADマネージャは、いくつかのペア(認証鍵,認証チケット)から構成される認証証明セットを新たな装置に発行する認証モジュールAUTHを有する。
装置が登録されると、それにローカルデバイス識別子、すなわち、Aが割り当てられ、当該ローカルデバイス識別子MKAに関するマスタキーが与えられる。ADマネージャはまた、Aとして知られる装置に対して、好ましくは、(KAY,認証チケットAY)の形式の各ペアとして(Yは0〜N(Nはマスタキーの個数である)であり、YはAに等しくない)、いくつかの認証鍵及び認証チケットから構成される認証証明セットを生成する。
認証鍵KABは、装置Aがローカルデバイス識別子Bにより装置との通信を暗号化することを可能にする。Aの登録時に、LDI Bを有する装置がネットワークに存在しないということに留意することが重要である。このような場合、他の装置がネットワークに加入すると、それにはLDI Bが割当可能であり、その後、AはキーKABを用いてそれと通信することが可能となる。好ましくは、認証鍵は対称暗号鍵であり、すなわち、対称暗号化スキームによっては使用できない(また、秘密鍵暗号化スキームとして知られる)。対応するキーを等しいものとして、すなわち、KAB=KBAとして選ぶことが可能である。しかしながら、これは、装置マネージャが装置間のすべての可能性のあるペア単位のキーを記憶することを必要とし、このため、格納要求がドメインサイズに二次的に増大する。KBAと異なるKABを選択することによって、マネージャは即座にこれらのキーを生成し、それらを認証チケットに配置し、その後それを放置する。各装置には、ドメインの他のすべての装置の既存の部分と共に、将来的にADに加入するかもしれないすべての可能性のある装置について認証鍵が与えられる。
一実施例では、各装置に与えられる認証鍵の個数は、AD生成時にマネージャによって生成されるマスタキーリストのサイズと等しくなるよう選択される。このように、新たな装置がADに参入すると、既存の装置が更新される必要がなく、ADがそれの各コンポーネント間の連続的なネットワーク接続性を仮定しなくても動作可能となる。
各認証鍵に関する認証チケットがある。認証チケットは、装置Aが自らをローカルデバイス識別子Bを有する装置に認証することを可能にする。再び、LDI Bを有する装置は、Aの登録時にネットワークに存在しないかもしれない。依然として、ローカルデバイス識別子がADマネージャによって割り当てられているため、当該LDIが使用されていないときでさえ、LDI Bを参照するチケットを生成することが可能である。
好ましくは、チケットは、(IDDomain,KAB,GDIA,LDIsource,LDIdestination)の形式を有する。ここで、IDDomainはドメイン識別子であり、GDIAはAのグローバルデバイスIDであり、LDIsourceはソース装置(ここでは、A)のローカルデバイスIDであり、LDIdestinationはデスティネーション装置(ここでは、B)のローカルデバイスIDである。チケットは、Aが同じドメインのコンプライアント装置部分であるということをBに証明するため、Aによって使用可能である。チケットは、期限日及び/又はバージョン番号を搬送するかもしれない。これは、装置が期限切れのチケットを拒絶することを可能にする。
装置Aのチケットは、好ましくは、当該装置AのGDIを有する。これは、当該チケットを受け取る装置が、AのGDIを知ることを可能にする。GDIは、例えば、グローバルリボケーションリスト上のAのGDIをチェックすることによって、又はローカルチケットリボケーションリスト上の当該GDIをチェックすることによって、Aが取り消されたか検証するのに必要とされる(以下を参照されたい)。
このチケットは、好ましくは、B,KBのマスタデバイスキーを用いて暗号化される。このチケットはBとマネージャとの間のみで共有されるキーにより暗号化されるため、Bはチケットがそれを生成したことのみ保証し、そのことは、マネージャがAのコンプライアンスを検証したことを意味する(マネージャがプロトコルに従うコンプライアント装置であるとされると)。チケットの真正性をプロテクトする他の方法がまた利用されてもよい。これは、LDI Bを有する装置が、ADマネージャが当該チケットをAに発行するときにネットワークに存在しない場合にも適用される。ある装置にLDI Bが割り当てられると、それはまた、当該LDIに関するマスタデバイスキーのコピーを受け取り、それに提示されたチケットの真正性を検証することが可能となる。
ある装置がドメインの一部となると、それは、ドメインの他の装置からそれが取得するコンテンツアイテムを処理するのに利用可能である。コンテンツアイテムを交換する前、2つの装置は、それらが同じドメインの一部であることを証明するため、互いに認証する。装置200には、図2に示されるように、当該機能を実行する認証モジュールAUTHが設けられる。これら2つの装置の間の認証プロトコルは、以下の通りである。それは、B.Crispo、B.C.Popescu及びA.S.Tanenbaumによる「Symmetric key authentication services revisited」(Technical Report IR−CS−005,Vrije Universiteit,2003)に詳細に記載されている。
(1)A→B:LDIA,NA
(2)B→A:LDIB,NB,認証チケットBA
(3)A→B:<NB>SK,認証チケットAB
(4)B→A:<NA>SK
上記プロトコルでは、NAとNBは、それぞれAとBによって選ばれるチャレンジ(nonce)である。
(2)B→A:LDIB,NB,認証チケットBA
(3)A→B:<NB>SK,認証チケットAB
(4)B→A:<NA>SK
上記プロトコルでは、NAとNBは、それぞれAとBによって選ばれるチャレンジ(nonce)である。
ステップ2の終わりで、装置Aは、KA(当該装置に割り当てられたマスタキー)の下で暗号化され、Aがチケットを解読し、KBAを取得することを可能にする認証チケットBAを取得する。ここで、装置Aは、KABとKBAの両方を有し、このため、それはSK=SHA−1(KAB,KBA,NA,NB)を計算し、それによりNBを暗号化することができる。
ステップ(3)の終わりで、装置Bは、KABを取得するため解読可能な認証チケットABを取得する。KABとKBAの両方によって、装置BはまたSKを計算することができる。SKによって、装置Bは、装置AがNBを正確に暗号化したことを検証することが可能となり(これは、Bに対してAを認証する)、その後、それはNAを暗号化し、ステップ(4)においてそれを装置Aに送信することが可能となる。装置Aは、<NA>SKを解読し、これにより、Aに対してBを認証することが可能となる。
プロトコルの終わりに、SKは、AとBの間で共有される秘密となり、これら2つの装置間のデータトラフィックをセキュアするのに利用することが可能となる。記号<X>Kは、要素XがキーKを用いて暗号化されることを示す。SHA−1は、周知のFIPS180−1セキュアハッシュ関数であり、SKを計算するための好ましい選択である。
認証プロトコル中、他方のチケットを受け付ける前に、装置Bは以下のチェックを行う必要がある。
・チケットのIDDomainが、装置が一部となる認証ドメインに対応する。
・チケットのLDIdestinationは、それ自体のLDIBに等しい。
・他方の装置は、無効にされていない(以下で説明される)。
[セキュアコンテンツ格納]
データコンテンツアイテムは、コンテンツマネージャ装置によってドメインに持ち込まれる。それらは、外部コンテンツプロバイダとやりとりすることによって、又はプリパッケージされたメディア(DVDなど)からコンテンツを読み出すことによって、当該コンテンツをもたらす。データアイテムは、非暗号化形式によりタンパレジスタントメモリのみに格納されるべきである。タンパレジスタントメモリが、信頼できないストレージよりかなり高価であるという事実が与えられると、2レベルスキームが使用される。すなわち、それがデータコンテンツを取得すると、コンテンツマネージャは、ランダムなコンテンツキー(例えば、128ビットAESキーなど)を生成し、当該キーによりコンテンツを暗号化する。その後、それはそれのマスタキーによりコンテンツキーを暗号化する。暗号化されたコンテンツと暗号化されたコンテンツキーは、その後、ローカルハードディスクや(再)書き換え可能なDVDなどの非セキュア記憶媒体又はネットワーク装置に安全に格納することができる。装置がコンテンツを必要とするときは何時でも、それは、それのタンパレジスタントメモリの暗号化されたコンテンツと暗号化されたコンテンツキーを読み出し、それのマスタデバイスキーを用いて、コンテンツキーを解読し、コンテンツキーを用いて実際のコンテンツを解読することが可能である。
・チケットのIDDomainが、装置が一部となる認証ドメインに対応する。
・チケットのLDIdestinationは、それ自体のLDIBに等しい。
・他方の装置は、無効にされていない(以下で説明される)。
[セキュアコンテンツ格納]
データコンテンツアイテムは、コンテンツマネージャ装置によってドメインに持ち込まれる。それらは、外部コンテンツプロバイダとやりとりすることによって、又はプリパッケージされたメディア(DVDなど)からコンテンツを読み出すことによって、当該コンテンツをもたらす。データアイテムは、非暗号化形式によりタンパレジスタントメモリのみに格納されるべきである。タンパレジスタントメモリが、信頼できないストレージよりかなり高価であるという事実が与えられると、2レベルスキームが使用される。すなわち、それがデータコンテンツを取得すると、コンテンツマネージャは、ランダムなコンテンツキー(例えば、128ビットAESキーなど)を生成し、当該キーによりコンテンツを暗号化する。その後、それはそれのマスタキーによりコンテンツキーを暗号化する。暗号化されたコンテンツと暗号化されたコンテンツキーは、その後、ローカルハードディスクや(再)書き換え可能なDVDなどの非セキュア記憶媒体又はネットワーク装置に安全に格納することができる。装置がコンテンツを必要とするときは何時でも、それは、それのタンパレジスタントメモリの暗号化されたコンテンツと暗号化されたコンテンツキーを読み出し、それのマスタデバイスキーを用いて、コンテンツキーを解読し、コンテンツキーを用いて実際のコンテンツを解読することが可能である。
同じ最適化が、装置間のコンテンツ転送のパフォーマンスを向上させるのに利用可能である。2つの装置AとBが同一のドメインの一部であると仮定すると、AからBにコンテンツをセキュアに転送するプロトコルは、以下の通りである。
・AとBは、同一ドメインの一部として互いに認証し、セキュアな通信チャネルを確立する。
・Aは、セキュアでないチャネルを介し暗号化されたコンテンツをBに転送する(これは、コンテンツがコンテンツキーにより暗号化されているため安全である)。
・Aは、セキュアチャネルを介しコンテンツキーをBに転送する。
・Bは、それのマスタデバイスキーによりコンテンツキーを暗号化し、それを以降の利用のためそれの非セキュアなストレージに格納する(暗号化されたコンテンツと共に)。
[装置無効化]
装置がドメインの一部となることを止める3つのケースがある。すなわち、装置がドメインから自発的に除かれるとき(例えば、それが他のドメインに移されるため)、装置がもはや機能しないとき、そして最後に、装置がもはやコンプライアントでないと知られるとき(装置無効化)、である。最後のケースがここで説明される。
・AとBは、同一ドメインの一部として互いに認証し、セキュアな通信チャネルを確立する。
・Aは、セキュアでないチャネルを介し暗号化されたコンテンツをBに転送する(これは、コンテンツがコンテンツキーにより暗号化されているため安全である)。
・Aは、セキュアチャネルを介しコンテンツキーをBに転送する。
・Bは、それのマスタデバイスキーによりコンテンツキーを暗号化し、それを以降の利用のためそれの非セキュアなストレージに格納する(暗号化されたコンテンツと共に)。
[装置無効化]
装置がドメインの一部となることを止める3つのケースがある。すなわち、装置がドメインから自発的に除かれるとき(例えば、それが他のドメインに移されるため)、装置がもはや機能しないとき、そして最後に、装置がもはやコンプライアントでないと知られるとき(装置無効化)、である。最後のケースがここで説明される。
もはやコンプライアントでないと知られる装置は、ライセンス機関によって無効にされる。このような装置が特定される機構は、本レポートの範囲外であるが、それらがブラックマーケットで販売されている不法な装置の法的調査に関するものである可能性が最も高い(危険なコンプライアント装置から抽出された暗号化マテリアルを含む不法な装置)。何れのケースにおいても、ライセンス機関は、グローバルデバイスリボケーションリスト(GDRL)を介しこれら危険な装置のGDIを公開する。
デバイスリボケーションリストは、コンテンツプロバイダによってデータコンテンツアイテムと共に配布される。それらは世界中のすべてのコンプライアント装置に関するリボケーション情報を列挙しているため、デバイスリボケーションリストは、大変大きなものとなる可能性がある(10億個のコンプライアント装置を有し、そのうち1%しか危険でない場合、リボケーションリストのサイズは、40MBのオーダーとなるであろう)。このため、すべての装置がグローバルリボケーションリストを処理するのに十分なメモリ/計算パワーを有するということは仮定できない。
リボケーション情報はコンテンツに含まれているため、この情報をドメインにもたらすのはコンテンツマネージャとなる。すべてのコンテンツマネージャがリボケーション情報を処理可能であることを要求する。すなわち、コンテンツマネージャが新たなGDRLを受け取ると、それは以下を実行する。
・それは、それのドメインマネージャが無効にされないことを証明する。ドメインマネージャが無効にされる場合、当該ドメインはもはやコンプライアントではない(ADマネージャがコンプライアンスチェックを適切に行うことがもはや想定できないためである)。
・ADマネージャが無効にされない場合、コンテンツマネージャは、それに接続しようとする。
・ADマネージャが到達可能である場合、コンテンツマネージャはそれをGDRLに転送する。ADマネージャは、GDRLを処理し、後述されるチケットリボケーションリストTRL)を返す。その後、TRLはデータコンテンツに含まれる。TRLがデータコンテンツに付属されると、当該コンテンツは無制限の配布をサポートする。
・ADマネージャが到達可能でない場合、コンテンツマネージャは、元のGDRLをデータコンテンツに付属させ続ける。しかしながら、この場合、データコンテンツは制限的な配布のみをサポートする。
・それは、それのドメインマネージャが無効にされないことを証明する。ドメインマネージャが無効にされる場合、当該ドメインはもはやコンプライアントではない(ADマネージャがコンプライアンスチェックを適切に行うことがもはや想定できないためである)。
・ADマネージャが無効にされない場合、コンテンツマネージャは、それに接続しようとする。
・ADマネージャが到達可能である場合、コンテンツマネージャはそれをGDRLに転送する。ADマネージャは、GDRLを処理し、後述されるチケットリボケーションリストTRL)を返す。その後、TRLはデータコンテンツに含まれる。TRLがデータコンテンツに付属されると、当該コンテンツは無制限の配布をサポートする。
・ADマネージャが到達可能でない場合、コンテンツマネージャは、元のGDRLをデータコンテンツに付属させ続ける。しかしながら、この場合、データコンテンツは制限的な配布のみをサポートする。
TRLが当該TRLを発行したマネージャを有するドメインの装置部分についてのみ意味があるということを理解することは重要である。データコンテンツが他のドメインに移出される必要がある場合、それはGDRLであるべきであり、当該コンテンツに付属されるTRLではない。
[チケットリボケーションリストの生成]
ADマネージャは、チケットリボケーションリスト(TRL)を生成するためのものである。ADマネージャは、現在ドメインにある装置のGDIのリストを有する。このことは、ADマネージャがすべてのGDIについて、それらがGDRLに現れるかチェックし、これにより、無効にされたドメイン装置(それらは、GDRLに存在する)のGDIのリストを生成することが可能である。このリストは、TRLである。ドメインにある装置の合計は高々100のオーダーであるため、TRLはGDRLよりもはるかに小さくなることが予想される。
[チケットリボケーションリストの生成]
ADマネージャは、チケットリボケーションリスト(TRL)を生成するためのものである。ADマネージャは、現在ドメインにある装置のGDIのリストを有する。このことは、ADマネージャがすべてのGDIについて、それらがGDRLに現れるかチェックし、これにより、無効にされたドメイン装置(それらは、GDRLに存在する)のGDIのリストを生成することが可能である。このリストは、TRLである。ドメインにある装置の合計は高々100のオーダーであるため、TRLはGDRLよりもはるかに小さくなることが予想される。
ドメインのすべての装置がADマネージャによって生成されるようなTRLを認証することが可能であるべきである。これを実現するため、ADマネージャは、各ローカルデバイス識別子について(ドメインの各装置及び潜在的な各装置について)、当該ローカルデバイス識別子に関するマスタデバイスキーを用いて認証可能な1つのTRL認証コードを生成する。
好適な実施例では、LDI Iについて、TRL認証コードは、好ましくは、SHA−1暗号ハッシュ関数を用いて、マスタデバイスキーKIを用いたTRLのインターネットRFC2104に規定されるようなキーメッセージ認証コード(HMAC)である。このとき、TRLは、マスタキーリストのすべてのキーについて、認証コードを追加した無効にされた装置の実際のリストから構成される。
装置が無制限な配布としてマーキングされたデータコンテンツを受け取ると、それはまず、当該コンテンツに関するTRLの真正性をチェックする。これは、まずそれのLDIに対応するTRL認証コードを求め、それ自身のデバイスマスタキーを用いてHMACを計算し、その後、認証コードがリストの計算されたHMACと同一であることを検証することによって行われる。
[無制限な配布]
無制限な配布をサポートするコンテンツアイテムは、ドメインの何れか2つのコンプライアント装置間でやりとり可能である。2つのコンプライアント装置AとBを考えると、コンテンツのやりとりのルールは以下の通りである(Aはコンテンツソースであり、Bはデスティネーションであると仮定する)。
・AとBは、上述の認証プロトコルを用いて互いを認証する。認証プロトコルの終わりに得られる共有鍵は、その後、それらのデータのやりとりの残りをセキュアにするのに使用される。
・Aは、GDIBがTRLにないことを検証する。Bが無効にされる場合、Aはそれをコンテンツにわたさない。
・Aは、TRL及びコンテンツに関するアクセスルールと共に、コンテンツアイテムをBに送信する。
・Bは、TRLの真正性を検証する(前述のように)。すべてに問題がない場合、Bは、さらにコンテンツを他のコンプライアント装置に配布することが可能である(もちろん、コンテンツアクセスルールに従って)。
[制限的な配布]
制限的な配布をサポートするコンテンツアイテムは、ソース装置がアイテムに関するGDRLを処理可能であるときのみやりとりすることが可能である。2つのコンプライアント装置AとBを考えると、コンテンツのやりとりのルールは、以下のようになる(Aはコンテンツソースであり、Bはデスティネーションであると仮定する)。
・Aは、GDRLを処理可能なコンプライアント装置でなければならい。
・AとBは、上述された認証プロトコルを用いて互いを認証する。認証プロトコルの終わりに得られる共有鍵は、その後、それらのデータのやりとりの残りをセキュアにするのに使用される。
・Aは、BのGDI(Bの認証チケットに列挙される)がGDRLにないことを検証する。Bが無効にされる場合、Aはそれをコンテンツにわたさない。
・Aは、GDRL及びコンテンツに関するアクセスルールと共に、コンテンツアイテムをBに送信する。
・BがGDRLを処理可能である場合、それは、ライセンス機関の署名を検証することによって、GDRLの真正性を検証する。そうでない場合、Bは、コンテンツアイテムをドメインの他の装置にさらに配布することが許可されない。
[無制限な配布]
無制限な配布をサポートするコンテンツアイテムは、ドメインの何れか2つのコンプライアント装置間でやりとり可能である。2つのコンプライアント装置AとBを考えると、コンテンツのやりとりのルールは以下の通りである(Aはコンテンツソースであり、Bはデスティネーションであると仮定する)。
・AとBは、上述の認証プロトコルを用いて互いを認証する。認証プロトコルの終わりに得られる共有鍵は、その後、それらのデータのやりとりの残りをセキュアにするのに使用される。
・Aは、GDIBがTRLにないことを検証する。Bが無効にされる場合、Aはそれをコンテンツにわたさない。
・Aは、TRL及びコンテンツに関するアクセスルールと共に、コンテンツアイテムをBに送信する。
・Bは、TRLの真正性を検証する(前述のように)。すべてに問題がない場合、Bは、さらにコンテンツを他のコンプライアント装置に配布することが可能である(もちろん、コンテンツアクセスルールに従って)。
[制限的な配布]
制限的な配布をサポートするコンテンツアイテムは、ソース装置がアイテムに関するGDRLを処理可能であるときのみやりとりすることが可能である。2つのコンプライアント装置AとBを考えると、コンテンツのやりとりのルールは、以下のようになる(Aはコンテンツソースであり、Bはデスティネーションであると仮定する)。
・Aは、GDRLを処理可能なコンプライアント装置でなければならい。
・AとBは、上述された認証プロトコルを用いて互いを認証する。認証プロトコルの終わりに得られる共有鍵は、その後、それらのデータのやりとりの残りをセキュアにするのに使用される。
・Aは、BのGDI(Bの認証チケットに列挙される)がGDRLにないことを検証する。Bが無効にされる場合、Aはそれをコンテンツにわたさない。
・Aは、GDRL及びコンテンツに関するアクセスルールと共に、コンテンツアイテムをBに送信する。
・BがGDRLを処理可能である場合、それは、ライセンス機関の署名を検証することによって、GDRLの真正性を検証する。そうでない場合、Bは、コンテンツアイテムをドメインの他の装置にさらに配布することが許可されない。
「制限的な配布」とマーキングされたコンテンツのコピーを保持する装置は、当該コンテンツに対するTRLを取得するため、ADマネージャにコンタクトすることによって、それを「無制限の配布」に変換しようとしてもよい。それが成功すると、それらは、コンテンツに関するGDRLをTRLと置換し、コンテンツを「無制限」にマーキングする。
[キー更新]
ドメインから多すぎる装置が除かれる場合、ドメインマネージャは、新たな装置に割り当てるマスタキーが最終的に不足するかもしれない。この問題に対する1つの解決策は、ドメインを終了させ、新たなマスタデバイスキーリストにより再開することである。消費者の観点から、これは明らかに受け入れられるものではない。
[キー更新]
ドメインから多すぎる装置が除かれる場合、ドメインマネージャは、新たな装置に割り当てるマスタキーが最終的に不足するかもしれない。この問題に対する1つの解決策は、ドメインを終了させ、新たなマスタデバイスキーリストにより再開することである。消費者の観点から、これは明らかに受け入れられるものではない。
より許容される選択肢は、取り除かれた装置のLDIを再利用することである。LDIA=11の装置Aを考える。Aがドメインの一部となるのを止めるとき、それのGDIがドメインのTRLに追加され、Aのデバイスマスタキーが、マネージャのマスタキーリストの新しいキーと置換される。図3のテーブルでは、これは、単にMDK「4321」を新たなMDKにより上書きすることによって行うことができる。この新たなキーは、その後、ドメインに加入する以降の装置に割り当てられる(これがCであると仮定する)。このように、ここでCに対して、Aに以前に割り当てられていたLDIが割り当てられる(LDIC=11)。通常の装置登録プロトコルと同様に、マネージャは、それのマスタキーリストの他のすべてのマスタキーについて認証証明セットをCに与える。
チケットがマスタデバイスキーにより暗号化される場合、ここでの問題は、ドメインの他のすべての装置が、Cのキーの代わりにAの古いマスタキーにより暗号化されたチケットを有し、これらのチケットが更新される必要があるということである。これは、例えば、ドメインマネージャに更新されたチケットをすべての装置に送信させ(例えば、ネットワークブロードキャストメッセージとして)、又はこれらの装置に定期的に更新されたチケットについてドメインマネージャを調査させることによって、行うことが可能である。
しかしながら、C自体を用いて更新を必要とする装置のマスタキーの下で暗号化された上記置換チケットをそれに与えることによって、この更新を行うことが可能である。このため、ADマネージャは、CのLDIが以前にAに割り当てられていたことを検出しなければならない。ここで、ADマネージャは、置換認証チケットセットをCに発行する。これらの置換チケットは、認証チケットについて通常されるように、Cのマスタデバイスキーにより少なくとも部分的に暗号化される。置換チケットによって、他の装置は、Cに対してそれ自体を認証することが可能である。さらに、各置換チケットは、自らをCに対して認証するのにそれを使用可能な装置のマスタデバイスキーにより少なくとも部分的に暗号化される。
認証プロトコルでは、CはAのLDIを再利用しており、BはCをAと区別することができないため、Aに対するBの認証を可能にするそれの(古い)チケットをCに転送する。Cは、このチケットを解読し、これにより認証しようとするが、当該チケットはAの古いマスタキーにより暗号化されているため、当該処理は失敗する。ここでは、Cは、Bが更新されていないと認識し、BがCに対して自らを認証するのを可能にする更新されたチケットをそれに転送する。
Bは、それのマスタでナイスキーを用いて置換チケットを解読し、これにより、置換チケットが真性であることを知る。その後、Bは、それのチケットセットの対応するエントリを置換チケットに置換する。
また、キーKBAは、キーKBCにより更新される必要がある。これを行うため、KBCと認証チケットBCの両方がKBにより暗号化することが可能となり、これにより、それらは安全にBに送信することが可能となる。
好適な実施例では、認証プロトコルは、以下のように動作する。
(1)C→B:LDIC,NC
(2)B→C:LDIB,NB,認証チケットBA
(3)C→B:<KBC,認証チケットBC>KB,<NB>SK,認証チケットCB
(4)B→C:<NC>SK,認証チケットBC
最初の2つのステップは、通常のプロトコルに等しい。Cは、Bがそれに古いチケットを送信したことを検出した後、ステップ(3)において、BにBのマスタデバイスキーKBにより何れも暗号化された更新されたKBCと認証チケットBCを送信する。Cはまた、いつものように、SKにより暗号化されたチャレンジNB(上述のように計算された)とそれの認証チケットCBを送信する。ステップ(4)において、BはキーSKを用いて、Cのチャレンジを暗号化し、それをCにそれの新たな認証チケットと共に送り返す。これで認証が完了した。
[ドメイン結婚及び離婚]
認証ドメインの「結婚」を2つの認証ドメインが結合することであると定義する。同様に、認証ドメインの「離婚」は、あるドメインが2つの別々のドメインに分割するとき発生する。結婚の場合には、1つの解決策は、1つのドメインのすべての装置を他方のドメインに加入させる(1つずつ)ことである。もちろん、新たに形成されたドメインの装置の合計は、最大許容値以下となることが予想される。この解決策の効果は、第2のドメインからの装置のみが更新される必要があるということである。第1のドメインの装置は、新たに加入する装置とやりとりするのに必要なすべてのキーマテリアル/認証チケットを有する。
(2)B→C:LDIB,NB,認証チケットBA
(3)C→B:<KBC,認証チケットBC>KB,<NB>SK,認証チケットCB
(4)B→C:<NC>SK,認証チケットBC
最初の2つのステップは、通常のプロトコルに等しい。Cは、Bがそれに古いチケットを送信したことを検出した後、ステップ(3)において、BにBのマスタデバイスキーKBにより何れも暗号化された更新されたKBCと認証チケットBCを送信する。Cはまた、いつものように、SKにより暗号化されたチャレンジNB(上述のように計算された)とそれの認証チケットCBを送信する。ステップ(4)において、BはキーSKを用いて、Cのチャレンジを暗号化し、それをCにそれの新たな認証チケットと共に送り返す。これで認証が完了した。
[ドメイン結婚及び離婚]
認証ドメインの「結婚」を2つの認証ドメインが結合することであると定義する。同様に、認証ドメインの「離婚」は、あるドメインが2つの別々のドメインに分割するとき発生する。結婚の場合には、1つの解決策は、1つのドメインのすべての装置を他方のドメインに加入させる(1つずつ)ことである。もちろん、新たに形成されたドメインの装置の合計は、最大許容値以下となることが予想される。この解決策の効果は、第2のドメインからの装置のみが更新される必要があるということである。第1のドメインの装置は、新たに加入する装置とやりとりするのに必要なすべてのキーマテリアル/認証チケットを有する。
離婚の場合、シナリオは、装置セットSから構成される1つの認証ドメインが、S=U+Vとなるように2つの分離した(disjoint)なサブセットに分割されるというものである。新たに生成されたドメインの1つは(例えば、Uなど)、元のドメインSから単にすべての認証キーマテリアルを維持することが可能であるだけである。Uのケースで行われる必要がある唯一のことは、Vのすべての装置を無効にすることである。
Vの場合、新たなドメインを構成するため、Vの装置の少なくとも1つは、ドメインマネージャ機能を有する必要がある。Vの1つの装置がドメインマネージャとして選択及び初期化されると、他方の装置は、本セクションで前述された装置登録処理を利用して、それを単に登録することができる。
上述の実施例は、本発明を限定するのではなく例示するものであり、当業者は添付された請求項の範囲から逸脱することなく他の多数の実施例を構成することが可能であるということに留意すべきである。ホームネットワークを表すシステム100は、もちろん、認証ドメインが有用な状況だけでない。
請求項では、括弧内に置かれた任意の参照符号は、請求項を限定するものとして解釈されるべきでない。「有する」という用語は、請求項に列挙した以外の要素又はステップの存在を排除するものではない。要素に先行する「ある」という用語は、そのような要素が複数存在することを排除するものではない。本発明は、複数の異なる要素を有するハードウェアによって、そして適切にプログラムされたコンピュータによって実現可能である。
複数の手段を列挙した装置クレームでは、これらの手段のいくつかは、1つの同一のハードウェアアイテムにより実現可能である。ある手段が互いに異なる従属クレームに記載されているという事実は、これらの手段の組み合わせが効果的に利用可能でないことを示すものではない。
Claims (21)
- 複数の装置を有するネットワークを管理するドメインマネージャ装置であって、
前記ネットワークに加入する新たな装置に、各々が前記ネットワークを構成する他の各装置との認証された通信を可能にする所定数の対称認証鍵を発行する認証手段を有することを特徴とする装置。 - 請求項1記載の装置であって、
前記認証手段は、各々が第1識別子を有する装置が第2識別子を有する装置に対して自らを認証することを可能にする所定数の認証チケットを生成し、前記新たな装置の識別子と一致する第1識別子を有する認証チケットを前記新たな装置に発行するよう構成されることを特徴とする装置。 - 請求項1記載の装置であって、さらに、
所定数のマスタデバイスキーを生成するキー管理手段を有し、
前記認証手段は、前記生成されたマスタデバイスキーの1つを前記新たな装置に発行するよう構成される、
ことを特徴とする装置。 - 請求項2及び3記載の装置であって、
各認証チケットは、前記第2識別子に関する前記所定数からのマスタデバイスキーにより少なくとも部分的に暗号化されることを特徴とする装置。 - 請求項3記載の装置であって、
前記キー管理手段は、生成された各マスタデバイスキーを互いに一意的な識別子と関連付け、前記新たな装置に発行されたマスタデバイスキーに関する一意的な識別子を前記新たな装置に装置識別子として割当て、前記新たな装置が前記ネットワークの一部となることを止めると、新たなマスタデバイスキーを生成し、前記新たな装置に前記装置識別子として以前に割り当てられた一意的な識別子と前記生成された新たなマスタデバイスキーを関連付けるよう構成されることを特徴とする装置。 - 請求項4及び5記載の装置であって、
前記認証手段は、前記キー管理手段が、前記新たな装置に割り当てられた装置識別子が他の装置に以前に割り当てられたものであると検出すると、置換認証チケットセットを前記新たな装置に発行するよう構成され、
各置換認証チケットは、第1識別子を有する装置が前記新たな装置に対して自らを認証するのを可能にし、前記第1識別子に関するマスタデバイスキーにより少なくとも部分的に暗号化される、
ことを特徴とする装置。 - 請求項3記載の装置であって、
前記キー管理手段は、いくつかの無効にされた装置を特定するグローバルリボケーションリストを受け取り、前記ネットワークに含まれる前記無効にされた装置を特定するローカルリボケーションリストを生成し、いくつかのリボケーション認証コードを生成するよう構成され、
各リボケーション認証コードは、前記生成された所定数のマスタデバイスキーからの各マスタデバイスキーを用いて、前記ローカルリボケーションの認証を可能にする、
ことを特徴とする装置。 - 請求項7記載の装置であって、
前記キー管理手段は、各マスタデバイスキーを用いて前記ローカルリボケーションの各キーメッセージ認証コードを計算することによって、各リボケーション認証コードを生成するよう構成されることを特徴とする装置。 - 請求項1記載の装置であって、
前記認証鍵の所定数は、前記ネットワークに同時に含まれうる装置の最大数未満又は以上として選択されることを特徴とする装置。 - 請求項3記載の装置であって、
前記セットのマスタデバイスキーの個数は、前記ネットワークに同時に含まれうる装置の最大数以上として選択されることを特徴とする装置。 - 請求項2及び5記載の装置であって、
前記認証手段は、特定の生成されたマスタデバイスキーに関する特定の識別子について、いくつかの認証チケットを生成するよう構成され、
生成される各認証チケットは、前記特定の識別子を有する装置が前記生成されたマスタデバイスキーの1つに関する一意的な識別子の他の1つを有する装置に対して自らを認証することを可能にする、
ことを特徴とする装置。 - 複数の装置を有するネットワークを介し第2装置と通信するよう構成される第1装置であって、
前記ネットワークを加入するようドメインマネージャ装置に要求し、各々が前記ネットワークに含まれる他の各装置との認証された通信を可能にする所定数の対称認証鍵を受け付けるネットワーキング手段と、
前記第2装置との認証された通信を可能にする前記対称認証鍵を用いて前記第2装置と通信する認証手段と、
を有することを特徴とする装置。 - 請求項12記載の第1装置であって、
前記ネットワーキング手段は、各々が当該第1装置が前記複数の装置からの各装置に対して自らを認証することを可能にする認証チケットセットを前記ドメインマネージャ装置から受け付けるよう構成され、
前記認証手段は、当該第1装置が前記第2装置に対して自らを認証することを可能にする前記セットからの認証チケットを前記第2装置に配布するよう構成される、
ことを特徴とする装置。 - 請求項13記載の第1装置であって、
前記ネットワーキング手段は、前記第2装置からさらなる認証チケットを受け付けるよう構成され、
前記認証手段は、前記受け付けたさらなる認証チケットを有効なものとして受け付けると、前記第2装置を認証するよう構成される、
ことを特徴とする装置。 - 請求項14記載の第1装置であって、
前記ネットワーキング手段は、前記ドメインマネージャ装置からマスタデバイスキーをさらに受け付けるよう構成され、
前記認証手段は、前記受け付けたさらなる認証チケットが前記マスタデバイスキーを用いて良好に解読可能である場合、前記受け付けたさらなる認証チケットを有効なものとして受け付けるよう構成される、
ことを特徴とする装置。 - 請求項14又は15記載の第1装置であって、
前記認証手段は、前記配布されたチケットと前記受け付けたさらなる認証チケットに含まれる情報からセッションキーを導くよう構成されることを特徴とする装置。 - 請求項15記載の第1装置であって、
前記さらなる認証チケットは解読され、
前記認証手段は、前記マスタデバイスキーにより前記さらなる認証チケットを解読することに失敗すると、前記第2装置が当該第1装置に対して自らを認証することを可能にする新たな認証チケットを前記第2装置に配布するよう構成され、
前記新たな認証チケットは、前記第2装置のマスタデバイスキーにより少なくとも部分的に暗号化される、
ことを特徴とする装置。 - 請求項15記載の第1装置であって、
前記認証手段は、当該第1装置が前記第2装置に対して自らを認証することを可能にする当該第1装置のマスタデバイスキーにより少なくとも部分的に暗号化される新たなチケットを前記第2装置から受け付け、前記新たなチケットを前記マスタデバイスキーにより解読し、前記新たなチケットの解読に成功すると、当該第1装置が前記新たなチケットにより前記第2装置に対して自らを認証することを可能にする前記セットからのチケットを置換するよう構成されることを特徴とする装置。 - 請求項15記載の第1装置であって、
前記ネットワーキング手段は、前記ネットワークに含まれる無効にされた装置を特定するローカルリボケーションリストと、各々が各マスタデバイスキーを用いて前記ローカルリボケーションの認証を可能にするいくつかのリボケーション認証コードとを受け付けるよう構成され、
前記認証手段は、前記受け付けたリボケーション認証コードの1つが、前記マスタデバイスキーを用いて良好に解読可能である場合、前記ローカルリボケーションリストを有効なものとして受け付けるよう構成される、
ことを特徴とする装置。 - 請求項1記載の装置として装置を動作させるよう構成されるコンピュータプログラム。
- 請求項12記載の装置として装置を動作させるよう構成されるコンピュータプログラム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04100997 | 2004-03-11 | ||
| PCT/IB2005/050834 WO2005088896A1 (en) | 2004-03-11 | 2005-03-07 | Improved domain manager and domain device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007528658A true JP2007528658A (ja) | 2007-10-11 |
Family
ID=34961164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007502485A Pending JP2007528658A (ja) | 2004-03-11 | 2005-03-07 | 改良されたドメインマネージャ及びドメイン装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070180497A1 (ja) |
| EP (1) | EP1728350A1 (ja) |
| JP (1) | JP2007528658A (ja) |
| CN (1) | CN1930818A (ja) |
| WO (1) | WO2005088896A1 (ja) |
Families Citing this family (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7340603B2 (en) * | 2002-01-30 | 2008-03-04 | Sony Corporation | Efficient revocation of receivers |
| US7853788B2 (en) | 2002-10-08 | 2010-12-14 | Koolspan, Inc. | Localized network authentication and security using tamper-resistant keys |
| CN100538589C (zh) | 2004-06-04 | 2009-09-09 | 皇家飞利浦电子股份有限公司 | 用于向第二方认证第一方的认证方法 |
| US8561210B2 (en) | 2004-11-01 | 2013-10-15 | Koninklijke Philips N.V. | Access to domain |
| WO2006108104A2 (en) * | 2005-04-05 | 2006-10-12 | Cohen Alexander J | Multi-media search, discovery, submission and distribution control infrastructure |
| US8046824B2 (en) * | 2005-04-11 | 2011-10-25 | Nokia Corporation | Generic key-decision mechanism for GAA |
| EP1886461B1 (en) | 2005-05-19 | 2012-09-05 | Adrea LLC | Authorized domain policy method |
| EP1938237B1 (en) | 2005-09-30 | 2018-12-12 | Koninklijke Philips N.V. | Improved drm system |
| CN100527144C (zh) * | 2005-11-21 | 2009-08-12 | 华为技术有限公司 | 一种在数字版权管理中实现准确计费的方法及装置 |
| RU2427035C2 (ru) * | 2006-02-15 | 2011-08-20 | Томсон Лайсенсинг | Способ и устройство для управления количеством устройств, инсталлированных в авторизованном домене |
| JP2007293859A (ja) * | 2006-04-21 | 2007-11-08 | Pantech Co Ltd | ユーザードメインの管理方法 |
| CN101467156B (zh) * | 2006-05-02 | 2012-05-09 | 皇家飞利浦电子股份有限公司 | 用于创建对象的方法、系统和设备 |
| US8886771B2 (en) * | 2006-05-15 | 2014-11-11 | Cisco Technology, Inc. | Method and system for providing distributed allowed domains in a data network |
| KR100860404B1 (ko) * | 2006-06-29 | 2008-09-26 | 한국전자통신연구원 | 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치 |
| US20080047006A1 (en) * | 2006-08-21 | 2008-02-21 | Pantech Co., Ltd. | Method for registering rights issuer and domain authority in digital rights management and method for implementing secure content exchange functions using the same |
| US9112874B2 (en) * | 2006-08-21 | 2015-08-18 | Pantech Co., Ltd. | Method for importing digital rights management data for user domain |
| DE102006044299B4 (de) * | 2006-09-20 | 2014-11-13 | Nokia Solutions And Networks Gmbh & Co. Kg | Vorrichtung und Verfahren zur gesicherten Verteilung von Inhalten in einem Telekommunikationsnetzwerk |
| KR101319491B1 (ko) | 2006-09-21 | 2013-10-17 | 삼성전자주식회사 | 도메인 정보를 설정하기 위한 장치 및 방법 |
| KR101356736B1 (ko) * | 2007-01-19 | 2014-02-06 | 삼성전자주식회사 | 콘텐츠의 무결성을 확인하기 위한 콘텐츠 제공 장치 및방법 및 콘텐츠 사용 장치 및 방법, 및 콘텐츠 사용 장치를폐지하는 콘텐츠 제공 장치 및 방법 |
| MX2008013565A (es) * | 2007-01-19 | 2009-03-06 | Lg Electronics Inc | Metodo para proteger el contenido y metodo para procesar informacion. |
| KR100850929B1 (ko) | 2007-01-26 | 2008-08-07 | 성균관대학교산학협력단 | 도메인 drm 라이선스의 암호화/복호화 시스템 및 그암호화/복호화 방법 |
| US8831225B2 (en) * | 2007-03-26 | 2014-09-09 | Silicon Image, Inc. | Security mechanism for wireless video area networks |
| US7644044B2 (en) * | 2007-04-04 | 2010-01-05 | Sony Corporation | Systems and methods to distribute content over a network |
| DE102007028093A1 (de) * | 2007-06-19 | 2008-12-24 | Siemens Ag | Verfahren zum Steuern der Datenkommunikation zwischen Teilnehmereinrichtungen in einem Kommunikationsnetzwerk |
| US20090038007A1 (en) * | 2007-07-31 | 2009-02-05 | Samsung Electronics Co., Ltd. | Method and apparatus for managing client revocation list |
| CN101364871B (zh) * | 2007-08-10 | 2011-12-21 | 华为技术有限公司 | 域管理器对用户设备进行域管理的方法、系统及装置 |
| CA2706862A1 (en) * | 2007-11-26 | 2009-06-04 | Koolspan, Inc. | System for and method of auto-registration with cryptographic modules |
| KR100981419B1 (ko) * | 2008-01-31 | 2010-09-10 | 주식회사 팬택 | 디지털 권한 관리를 위한 사용자 도메인 가입방법 및 그정보 교환 방법 |
| US8806201B2 (en) * | 2008-07-24 | 2014-08-12 | Zscaler, Inc. | HTTP authentication and authorization management |
| US20100162414A1 (en) * | 2008-12-23 | 2010-06-24 | General Instrument Corporation | Digital Rights Management for Differing Domain-Size Restrictions |
| US9003512B2 (en) * | 2009-01-16 | 2015-04-07 | Cox Communications, Inc. | Content protection management system |
| US20100268649A1 (en) * | 2009-04-17 | 2010-10-21 | Johan Roos | Method and Apparatus for Electronic Ticket Processing |
| RU2544757C2 (ru) * | 2009-09-11 | 2015-03-20 | Конинклейке Филипс Электроникс Н.В. | Способ и система для восстановления управления доменом |
| US8789155B2 (en) * | 2009-12-07 | 2014-07-22 | Microsoft Corporation | Pure offline software appliance configuration |
| US8971535B2 (en) * | 2010-05-27 | 2015-03-03 | Bladelogic, Inc. | Multi-level key management |
| US8577029B2 (en) * | 2010-09-10 | 2013-11-05 | International Business Machines Corporation | Oblivious transfer with hidden access control lists |
| KR101475282B1 (ko) * | 2010-12-20 | 2014-12-22 | 한국전자통신연구원 | 키 유효성 검증 방법 및 이를 수행하기 위한 서버 |
| US8713649B2 (en) | 2011-06-03 | 2014-04-29 | Oracle International Corporation | System and method for providing restrictions on the location of peer subnet manager (SM) instances in an infiniband (IB) network |
| CN103621048B (zh) | 2011-07-11 | 2016-08-17 | 甲骨文国际公司 | 在中间件机器环境中利用多播组和分组处理代理中的至少一种来支持泛洪机制的系统与方法 |
| JP5725210B2 (ja) | 2012-02-03 | 2015-05-27 | 富士通株式会社 | 端末固有情報の送信方法およびシステム |
| JP6147334B2 (ja) * | 2012-05-10 | 2017-06-14 | オラクル・インターナショナル・コーポレイション | ネットワーク環境においてサブネットマネージャ(sm)マスタネゴシエーションをサポートするためのシステムおよび方法 |
| EP2665297B1 (en) * | 2012-05-15 | 2014-10-22 | Telefonaktiebolaget L M Ericsson (publ) | Local device identity allocation for network assisted device-to-device D2D communication |
| US10225300B2 (en) * | 2012-06-10 | 2019-03-05 | Apple Inc. | Unified playback position |
| WO2014166546A1 (en) * | 2013-04-12 | 2014-10-16 | Nec Europe Ltd. | Method and system for accessing device by a user |
| KR102396279B1 (ko) * | 2013-09-23 | 2022-05-10 | 삼성전자주식회사 | 홈 네트워크 시스템에서 보안 관리 방법 및 장치 |
| US10205598B2 (en) * | 2015-05-03 | 2019-02-12 | Ronald Francis Sulpizio, JR. | Temporal key generation and PKI gateway |
| US20160364553A1 (en) * | 2015-06-09 | 2016-12-15 | Intel Corporation | System, Apparatus And Method For Providing Protected Content In An Internet Of Things (IOT) Network |
| US9578026B1 (en) * | 2015-09-09 | 2017-02-21 | Onulas, Llc | Method and system for device dependent encryption and/or decryption of music content |
| US20180013798A1 (en) * | 2016-07-07 | 2018-01-11 | Cisco Technology, Inc. | Automatic link security |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4496440B2 (ja) * | 1998-01-12 | 2010-07-07 | ソニー株式会社 | 暗号化コンテンツ送信装置 |
| US6643774B1 (en) * | 1999-04-08 | 2003-11-04 | International Business Machines Corporation | Authentication method to enable servers using public key authentication to obtain user-delegated tickets |
| US7487363B2 (en) * | 2001-10-18 | 2009-02-03 | Nokia Corporation | System and method for controlled copying and moving of content between devices and domains based on conditional encryption of content key depending on usage |
| CN1572099A (zh) * | 2001-10-19 | 2005-01-26 | 松下电器产业株式会社 | 设备鉴别系统和设备鉴别方法 |
| CN1663174A (zh) * | 2002-06-17 | 2005-08-31 | 皇家飞利浦电子股份有限公司 | 用于在设备之间进行验证的方法 |
| WO2004027588A2 (en) * | 2002-09-23 | 2004-04-01 | Koninklijke Philips Electronics N.V. | Certificate based authorized domains |
| MXPA05007056A (es) * | 2002-12-30 | 2005-09-12 | Koninkl Philips Electronics Nv | Derechos divididos en dominio autorizado. |
| KR20050007830A (ko) * | 2003-07-11 | 2005-01-21 | 삼성전자주식회사 | 기기간 컨텐츠 교환을 위한 도메인 인증 방법 |
| US7487537B2 (en) * | 2003-10-14 | 2009-02-03 | International Business Machines Corporation | Method and apparatus for pervasive authentication domains |
-
2005
- 2005-03-07 WO PCT/IB2005/050834 patent/WO2005088896A1/en not_active Application Discontinuation
- 2005-03-07 EP EP05708963A patent/EP1728350A1/en not_active Withdrawn
- 2005-03-07 US US10/598,611 patent/US20070180497A1/en not_active Abandoned
- 2005-03-07 JP JP2007502485A patent/JP2007528658A/ja active Pending
- 2005-03-07 CN CNA2005800074803A patent/CN1930818A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20070180497A1 (en) | 2007-08-02 |
| EP1728350A1 (en) | 2006-12-06 |
| WO2005088896A1 (en) | 2005-09-22 |
| CN1930818A (zh) | 2007-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2007528658A (ja) | 改良されたドメインマネージャ及びドメイン装置 | |
| Popescu et al. | A DRM security architecture for home networks | |
| JP4098742B2 (ja) | 公開鍵基盤構造を用いたドメイン形成方法 | |
| JP4477835B2 (ja) | 認証システム、鍵登録装置及び方法 | |
| JP4734257B2 (ja) | 接続リンクされた権利保護 | |
| KR101086399B1 (ko) | 홈 네트워크 구성 기기의 정보를 담고 있는 스마트 카드를이용하여 홈 도메인을 구축하는 시스템 및 방법 | |
| RU2352985C2 (ru) | Способ и устройство для санкционирования операций с контентом | |
| EP1372317B1 (en) | Authentication system | |
| US20060020784A1 (en) | Certificate based authorized domains | |
| KR20070009983A (ko) | 콘텐츠로의 액세스를 인증하는 방법 | |
| US20040250077A1 (en) | Method of establishing home domain through device authentication using smart card, and smart card for the same | |
| JP2004533194A (ja) | データを交換するように構成されたデバイスおよび認証の方法 | |
| JP2010528537A (ja) | コンテンツライセンスのポータブル記憶装置へのバインド | |
| WO2006051494A1 (en) | Improved revocation in authorized domain | |
| JP3860513B2 (ja) | 送信装置、受信装置及び無線基地局 | |
| WO2006135078A1 (ja) | コンテンツの利用端末を制限する方法、記憶装置およびシステム | |
| JP4564572B1 (ja) | 送信装置、受信装置及びコンテンツ送受信方法 | |
| KR20070022019A (ko) | 개선된 도메인 매니저 및 도메인 디바이스 | |
| Taesombut et al. | A secure multimedia system in emerging wireless home networks | |
| JP2006345573A (ja) | 送信装置及び受信装置 | |
| Diehl et al. | Protection Within the Home | |
| MXPA06008255A (en) | Method of authorizing access to content |