JP2008508763A - 鍵暗号化鍵方式を使って暗号化されたネットワークコンテンツを提供および復号するための装置および方法 - Google Patents

鍵暗号化鍵方式を使って暗号化されたネットワークコンテンツを提供および復号するための装置および方法 Download PDF

Info

Publication number
JP2008508763A
JP2008508763A JP2007523180A JP2007523180A JP2008508763A JP 2008508763 A JP2008508763 A JP 2008508763A JP 2007523180 A JP2007523180 A JP 2007523180A JP 2007523180 A JP2007523180 A JP 2007523180A JP 2008508763 A JP2008508763 A JP 2008508763A
Authority
JP
Japan
Prior art keywords
key
encrypted
decrypted
dedicated
encrypted content
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007523180A
Other languages
English (en)
Inventor
ポン,ヤン
ジン,ション
ホ,ダホア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2008508763A publication Critical patent/JP2008508763A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
    • H04N21/2347Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
    • H04N21/2347Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
    • H04N21/23476Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption by partially encrypting, e.g. encrypting the ending portion of a movie
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
    • H04N21/4405Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
    • H04N21/4405Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
    • H04N21/44055Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption by partially decrypting, e.g. decrypting a video stream that has been partially encrypted
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/835Generation of protective data, e.g. certificates
    • H04N21/8352Generation of protective data, e.g. certificates involving content or source identification data, e.g. Unique Material Identifier [UMID]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • H04N7/17309Transmission or handling of upstream communications
    • H04N7/17318Direct or substantially direct transmission and handling of requests
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Abstract

ネットワークを通じて受信した暗号化されたコンテンツを復号する方法および装置であって:前記暗号化されたコンテンツおよびある暗号化された第一の鍵を前記ネットワークを通じて受信し、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなアプリケーションユニットと、記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える鍵管理ユニットとを有するものに関する。

Description

本発明は、ネットワークを通じて受信される暗号化されたコンテンツを復号するための装置に関する。本発明はさらに、ネットワークを通じて暗号化されたコンテンツを提供し、該暗号化されたコンテンツを復号するためのシステムであって、前記暗号化されたコンテンツを提供するサーバー、前記暗号化されたコンテンツを復号する前記装置および復号鍵を提供するための記憶媒体(たとえば記録担体または記録媒体)を含むシステムならびにその対応する方法およびソフトウェアプログラムに関する。
今日、コンテンツ保護は、コンテンツ提供者にとって、たとえば光ディスクまたはインターネットを通じてコンテンツを公開するときの主要な懸案の一つとなっている。サファイア(Sapphire)システムは粒度の細かい保護機構を提供し、CD2規格によって取り込まれている。サファイアシステムでは、ディスク上のコンテンツ(すなわちA/Vストリーム、ファイルなど)は暗号化され、対応する復号鍵がアセット鍵(またはアセットID)としてサファイア鍵ロッカーに保存される。
欧州特許出願03102257.7が記載するディスクプレーヤー、記録担体および方法は、上述したサファイアシステム保護機構を使うことによって、記録担体に保存されているデータに関係するネットワークデータを読み、保護するためのものである。
図1は、前記特許出願03102257.7のディスクプレーヤー、ディスクおよびサーバーを含むシステムを示すブロック概略図である。図1のシステムは、ディスク12上に保存されている担体データ122に関係するネットワークデータを供給するためのディスクプレーヤー11、ディスク12およびネットワークユニット13(たとえばサーバー)を含む。ネットワークユニット13はインターネットを通じてディスクプレーヤー11に接続されている。ディスクデータ122のほか、鍵ロッカー121がディスク12上に保存される。詳細は図2に示す。図2は、鍵ロッカーの内容を図解する表を示している。サファイアシステムでは、鍵ロッカー121は通例、次の4つの列を含む表である:ディスクプレーヤーによって実行されるアプリケーションについての識別情報として、および該鍵ロッカーのサブセットへのアクセスを制限するために使われるアプリケーションID;同じ鍵において暗号化され、同じ使用権をもつファイル(の群)の識別情報として使われるアセットID;一般に対しては秘密に保たれることが要求される復号のための鍵として使われるアセット鍵;および未定義の書式および可変の長さをもつ権利文字列である。図1に示されたシステムでは、権利文字列はネットワークユニット13のURLのようなネットワーク識別子を含み、アセット鍵はネットワークデータを復号するための復号鍵として使われる。
ディスクプレーヤー11は二つの部分を含んでいる:記録担体12からデータを読むためのドライブ111およびアプリケーションユニット112である。アプリケーションユニット112は、検査要素、アクセス要素および復号要素からなる。この欧州特許出願の間、アプリケーションユニット112のアクセス要素はまず、ネットワークユニット13に対する特定のネットワークデータの要求を送る。次いで、ドライブ111は、記録担体からそのアプリケーションIDに従って権利文字列を取得し、取得された権利文字列をアプリケーションユニット112に送る。アプリケーションユニット112の検査要素は、権利文字列に保存されたURLが、前記ネットワークデータを提供している特定のネットワークユニット13に一致するかどうかを検査する。もし一致すれば、アプリケーション112の復号要素は、ネットワークユニット13によって提供されている暗号化されたネットワークデータを、その権利文字列に保存されている復号鍵で復号する。もし一致しなければ、ドライブ111はもう一度権利文字列を取得し、上記したプロセス全体がもう一度実行されることになる。
従来技術からは、アプリケーションユニットが前記ネットワークコンテンツを復号するために使う復号鍵がアセット鍵と同一であることが見て取れる。通例、アプリケーションユニットは、(ソフトウェア)アプリケーションを実行するためのハードウェアである。この(ソフトウェア)アプリケーションは、オペレーティングシステム(OS)またはコンピュータ上で走っているソフトウェアの場合と同様である。この場合、アプリケーションユニットで走っているアプリケーションは、コンピュータ上で走っているソフトウェアに対してハッカーがすることとちょうど同じようにして容易に攻撃/ハッキングされることができる。したがって、アプリケーションユニットによってネットワークコンテンツを復号するために使用され、一般からは秘密に保たれ、鍵公開に対して保護されるべきである前記復号鍵にアクセスすることは、比較的容易である。
したがって、秘密の鍵が攻撃される可能性を減らすのに効果的な、暗号化されたネットワークコンテンツを提供および復号するための新しいシステム、装置および方法を提供することが本発明の目的である。
本発明のある第一の側面によれば、この目的は、ネットワークを通じて受信した暗号化されたコンテンツを復号する装置であって:前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなアプリケーションユニットと、記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える鍵管理ユニットとを有する装置によって達成される。
本発明のある第二の側面によれば、暗号化されたコンテンツを提供するサーバーと、前記暗号化されたコンテンツを復号する装置と、記憶媒体とを有する、暗号化されたコンテンツを提供および復号するシステムであって、前記サーバーはさらに:前記復号する装置からコンテンツダウンロードの要求を受信する受信器と;該要求に反応して第一の鍵を生成する生成器と;前記第一の鍵を使って前記コンテンツを暗号化し、前記第一の鍵をある専用の第二の鍵を使って暗号化して暗号化された第一の鍵を提供する暗号化器と;前記暗号化されたコンテンツおよび前記暗号化された第一の鍵を送信する送信器とを有するよう構成されており;前記暗号化されたコンテンツを復号する装置はさらに:前記暗号化されたコンテンツおよび暗号化された第一の鍵をネットワークを通じて受信し、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなアプリケーションユニットと、記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える鍵管理ユニットとを有するよう構成されている、システムが提供される。
本発明のある第三の側面によれば、ネットワークを通じて受信した暗号化されたコンテンツを復号する方法であって:前記暗号化されたコンテンツおよびある暗号化された第一の鍵を前記ネットワークを通じて受信し、ここで、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられており;記憶媒体から前記専用の第二の鍵を入手し;該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与えるステップを有する方法が提供される。
本発明のある第四の側面によれば、ネットワークを通じて受信した暗号化されたコンテンツを復号するためのコンピュータプログラムであって:前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、ここで、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなソフトウェア手段と、記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える第二のソフトウェア手段とを有するコンピュータプログラムが提供される。
出願人は、前記鍵管理ユニット(たとえばドライブ)が基本的には前記装置によって使用されるコンポーネントであり、それ自身の準拠規則(たとえばサファイアシステムに準拠する規則)を有しており、それ自身と前記アプリケーションユニットとの間の、サファイアシステムによってあらかじめ定義されている安全認証チャンネル(SAC: secure authentication channel)インターフェースを有しているということを留意する。したがって、一個のコンポーネントとしての前記鍵管理ユニットは、前記アプリケーションユニットに対して起こることのような攻撃が非常に困難である。
本発明の復号のためのシステム、装置および方法によれば、前記第二の鍵(すなわちアセット鍵)は前記アプリケーションユニットからは秘密に保たれる。アプリケーションユニットは、コンテンツダウンロードの要求に反応してランダムに生成される第一の鍵を使い、当該装置中でアセット鍵を知る唯一のユニットは、アプリケーションユニットに比べ比較的より安全でより安定な鍵管理ユニットである。この点で、本発明の装置および方法は、コンテンツ保護鍵(たとえばアセット鍵)が攻撃されるのを防止するのにより効果的である。
本発明の実施形態についてここで例として、付属の図面を参照しつつ論じる。図面において、同様の参照符号は同様の部分を指す。
図3では、本発明の第一の実施形態に従ってネットワークデータを提供および復号するシステムの構造が示されている。本システムは、暗号化されたコンテンツを提供するためのサーバー31と、前記暗号化されたコンテンツを復号するためのディスクプレーヤー32と、ディスクデータ122のほかに図2に示されたような鍵ロッカー121を保存するディスク33を含んでおり、ディスクプレーヤー32はネットワークを通じてサーバー31と接続し、サーバーは前記ディスク上に保存されている鍵ロッカーについての情報を共有している。サーバーはさらに、ディスクプレーヤーからディスクデータに関係するネットワークコンテンツをダウンロードするための要求を受信する受信器(図示せず)を有しており、前記要求は、ディスク上に多様なディスクアプリケーションが保存されている場合に備えて好ましくはアプリケーションID(たとえば図2の鍵ロッカー中のアプリケーションID 2)を含んでいる。サーバーはさらに、前記要求に反応してパスフェーズをランダムに生成する生成器311を含んでいる。サーバーはさらに、コンテンツプール313に保存されている要求されたネットワークコンテンツを暗号化し、次いで前記ディスクと共有している鍵ロッカーから選択されたアセット鍵、たとえば図2に示されるような鍵ロッカー中のアセット鍵ASDF1234の使用により前記パスフェーズを暗号化する暗号化器312を含んでいる(以下、該アセット鍵は、鍵ロッカー中に保存されている他のアセット鍵と区別するために専用のアセット鍵と呼ぶ。専用のアセット鍵は他のランダムに生成されたパスフェーズを暗号化するためにも選択されることができる)。サーバーはさらに、前記暗号化されたコンテンツ、暗号化されたパスフェーズおよび前記専用のアセット鍵に関連付けられたアセットID、たとえば図2のアセットID 80を送る送信器を含んでいる。
ディスクプレーヤー32は、前記暗号化されたコンテンツ、暗号化されたパスフェーズおよび関連付けられたアセットIDをサーバー31から受信し、前記パスフェーズで前記暗号化されたコンテンツを復号するアプリケーションユニット321と、前記関連付けられたアセットIDに従ってディスク33に保存されている鍵ロッカー121から前記専用のアセット鍵を取得し、該専用のアセット鍵で前記暗号化されたパスフェーズを復号してアプリケーションユニットのために前記パスフェーズを提供するドライブ322とを有している。
前記アプリケーションユニット321はさらに、前記暗号化されたコンテンツ、暗号化されたパスフェーズおよびアセットIDをサーバーから受信し、暗号化されたパスフェーズをドライブに送り、ドライブから復号されたパスフェーズを受信するためのアクセス要素と;該復号されたパスフェーズの使用によって前記暗号化されたコンテンツを復号するための復号要素とを含んでいる。ドライブ322はさらに、アセットIDに従って前記専用のアセット鍵をディスク上に保存されている鍵ロッカーから取得し、復号されたパスフェーズを安全認証チャネル(SAC)を介してアプリケーションユニットに渡すためのアクセス要素と、取得された専用のアセット鍵を使ってアプリケーションユニットから受信した暗号化されたパスフェーズを復号するための復号要素とを含んでいる。
本発明の第一の実施形態のシステムによってネットワークデータを提供および復号するプロセスについて以下に述べる。
まず、アプリケーションユニットのアクセス要素がコンテンツダウンロードの要求をサーバーに送る。次いで、サーバーは、該要求に反応してパスフェーズをランダムに生成する。ここで、コンテンツダウンロードの要求は、ランダムなパスフェーズの生成手順にとっては任意的であり、サーバーは時間に基づいてパスフェーズを生成することもできる。次いで、サーバーは該パスフェーズを用いて要求されたネットワークコンテンツを暗号化し、そのパスフェーズを専用のアセット鍵で暗号化する。
アセットID、暗号化されたパスフェーズおよび暗号化されたコンテンツを含むデータがアプリケーションユニットに送られ、そこで、アセットIDおよび暗号化されたパスフェーズがドライブに送られる。ドライブは暗号化されたパスフェーズとアセットIDをアプリケーションユニットから受け取り、次いでアセットIDに従ってアセット鍵を、ディスク上の鍵ロッカーから取得する。次いで、ドライブは取得されたアセット鍵を用いてパスフェーズを復号し、復号されたパスフェーズをアプリケーションユニットにSACを介して送る。最後に、アプリケーションユニットがドライブによって送られた復号されたパスフェーズを使うことによって暗号化されたコンテンツを復号する。
上の記述から、ネットワークを通じて受信されたコンテンツを復号するプロセス全体において、アプリケーションユニットは厳密には直接的にアセット鍵を保持し、扱うことはしていない。そうではなく、アプリケーションユニットが使用するのは、ネットワークコンテンツを復号するための、ランダムに生成されたパスフェーズである。したがって、アセット鍵がアプリケーションユニットから取得される可能性は実質的に0である。しかも、本発明の上記の実施形態はディスク上に保存されている鍵ロッカー中の権利文字列フィールドを使用しないので、権利文字列の列は空白のままとされている。権利文字列フィールドを使用するかどうかは用途による。
本発明の第二の実施形態に従ってネットワークデータを提供および復号するシステムの構造が図4に示されている。図3と図4のシステム間の相違は、図4のアプリケーションユニット421の生成器311がさらに、列の長さ、あるビットの定義といった所定のデータ構造に従う試験列(すなわちビット列)を生成し、アプリケーションユニット421はさらに、復号要素がネットワークコンテンツを復号するためのパスフェーズを取得する取得要素を有していることである。
本発明の第二の実施形態に従って図4のシステムによってネットワークデータを提供および復号するプロセスについて以下に述べる。
図4では、アプリケーションユニット421のアクセス要素がコンテンツダウンロードの要求をサーバー31に送る。次いで、サーバーの生成器311は、該要求に反応してパスフェーズおよび試験列をランダムに生成する。上述したように、前記要求は、パスフェーズの生成にとっては任意的であり、生成器は時間に基づいて前記のデータを生成することもできる。サーバーの暗号化要素312が該生成されたパスフェーズを用いてコンテンツプール内に保存されているコンテンツを暗号化し、そのパスフェーズおよび試験列を専用のアセット鍵で暗号化する。この専用のアセット鍵は、ディスク33と共有されている鍵ロッカーの情報から選択される。サーバーの送信器(図4には示さず)は暗号化されたコンテンツ、暗号化されたパスフェーズおよび試験列をディスクプレーヤー32に送る。
ディスクプレーヤーのアプリケーションユニット421のアクセス要素が暗号化されたパスフェーズおよび試験列をドライブ322に転送する。ドライブ322のアクセス要素は、ディスク33上に保存されている鍵ロッカー121から、そのアプリケーションIDに関連付けられている項目中のアセット鍵のすべてを読む。読まれたアセット鍵のうちには、パスフェーズおよび試験列を暗号化するためにサーバーが選択した専用のアセット鍵が含まれている。次いで、ドライブの復号要素は、読まれたアセット鍵の一つ一つを用いてパスフェーズおよび試験列を復号して、アプリケーションユニット421に、一つ一つのアセット鍵に関して復号されたパスフェーズおよび試験列の対を提供する。アプリケーションユニット421のアクセス要素がそれらの対をドライブから受け取ったのち、アプリケーションユニット421の取得要素は、復号された試験列が所定のデータ構造に従うような、復号されたパスフェーズおよび試験列のある対を取得する。次いで、アプリケーションユニットの復号要素は、取得されたパスフェーズを使うことによって、サーバーから受信した暗号化されたコンテンツを復号するのである。
まとめると、ネットワークデータを提供および復号するためのシステム、装置および方法が開示された。当業者は本発明に対して、付属の請求項に記載される保護範囲にはいるいかなる修正、追加および挿入をもなしうるものであることは理解できるものである。
たとえば、第二の実施形態によれば、サーバー31の暗号化要素は専用のアセット鍵を用いて試験列を暗号化する。しかし、当業者は該暗号化要素がパスフェーズを用いて試験列を暗号化することもできることを考えられる。この場合、ドライブ322の復号要素は、暗号化されたパスフェーズだけを読まれたアセット鍵の一つ一つを用いて復号し、複数の復号されたパスフェーズをアプリケーションユニット421のアクセス要素に与える。次いで、アプリケーションユニットの復号要素は復号されたパスフェーズの一つ一つを用いて暗号化された試験列を復号し、復号された試験列およびパスフェーズの対を取得要素に提供して、復号された試験列およびパスフェーズの対で試験列が所定のデータ構造に従うものを取得するようにする。次いで、アプリケーションユニットの復号要素は、取得されたパスフェーズを用いて、サーバーからの暗号化されたコンテンツダウンロードを復号する。
さらに、本発明のすべての実施形態において、ネットワークコンテンツはパスフェーズによって暗号化され、パスフェーズは専用のアセット鍵によって暗号化される。当業者は、ネットワークコンテンツおよびパスフェーズの暗号化に関していかなる代替を行ってもよいことを理解できる。たとえば、ネットワークコンテンツはコンテンツ保護鍵(たとえば専用のアセット鍵)によって完全には暗号化されず、単に部分的に暗号化されるだけである。たとえばファイルヘッダ/重要なパラメータ/または特定の部分だけが暗号化される。一方、パスフェーズは、暗号化されたコンテンツ保護鍵のみならず、コンテンツのどの部分が暗号化されているかを示す何らかのデータをも含むことになる。
さらに、諸実施形態において、ネットワークデータを復号する装置はディスクプレーヤーであるが、当業者は、記憶媒体上に保存されたデータを読むドライブをもつコンピュータのようなその他の装置を予期できる。ディスクプレーヤーのドライブの機能は、コンパクトなフラッシュカード(たとえばICカードまたはUSBメモリスティック)中の鍵管理ユニットにより、あるいは記録担体に固定されたチップ(いわゆるチップ・イン・ディスク技術)により満たされることもできる。
従来技術に従ってネットワークデータを提供および復号する、ディスクプレーヤー、サーバーおよび記録担体を含むシステムの構造を示すブロック概略図である。 図1の記録担体上に保存されている鍵ロッカーの表である。 本発明の第一の実施形態に従ってネットワークデータを提供および復号する、ディスクプレーヤー、サーバーおよび記録担体を含むシステムの構造を示すブロック概略図である。 本発明の第二の実施形態に従ってネットワークデータを提供および復号する、ディスクプレーヤー、サーバーおよび記録担体を含むシステムの構造を示すブロック概略図である。

Claims (18)

  1. ネットワークを通じて受信した暗号化されたコンテンツを復号する装置であって:
    前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなアプリケーションユニットと、
    記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える鍵管理ユニット、
    とを有することを特徴とする装置。
  2. 前記アプリケーションユニットがさらに、ネットワークを通じてある指数を取得するよう構成されていることを特徴とする、請求項1記載の装置。
  3. 前記指数が前記専用の第二の鍵に対応するデータであることを特徴とする、請求項2記載の装置。
  4. 前記鍵管理ユニットがさらに、前記指数に従って前記記憶媒体から前記専用の第二の鍵を取得するよう構成されていることを特徴とする、請求項3記載の装置。
  5. 前記アプリケーションユニットが:
    前記暗号化されたコンテンツ、前記暗号化された第一の鍵および前記指数をネットワークを通じて受信し、前記暗号化された第一の鍵および指数を前記鍵管理ユニットに転送するためのアクセス要素と;
    前記鍵管理ユニットからの前記第一の鍵を使うことによって前記暗号化されたコンテンツを復号するための第一の復号要素、
    とを有することを特徴とする、請求項4記載の装置。
  6. 前記鍵管理ユニットが:
    前記指数に従って前記記憶媒体から前記専用の鍵を取得するための第二のアクセス要素と、
    該第二のアクセス要素からの前記専用の第二の鍵を使うことによって前記暗号化された第一の鍵を復号して、前記第二のアクセス要素が前記アプリケーションユニットに転送するための前記第一の鍵を提供するための第二の復号要素、
    とを有することを特徴とする、請求項5記載の装置。
  7. 前記指数が、所定のデータ構造に従うデータを暗号化したものであることを特徴とする、請求項2記載の装置。
  8. 前記鍵管理ユニットがさらに、前記記憶媒体から前記専用の第二の鍵を含む複数の第二の鍵を読み、その第二の鍵のそれぞれを使うことによって前記暗号化された第一の鍵および前記指数を復号して復号された第一の鍵および復号された指数の複数の対を与えるよう構成されていることを特徴とする、請求項7記載の装置。
  9. 前記アプリケーションユニットが、前記鍵管理ユニットからの、前記所定のデータ構造に従った復号された指数と復号された第一の鍵のある対を取得し、その取得された第一の鍵を使うことによって前記暗号化されたコンテンツを復号するようさらに構成されていることを特徴とする、請求項8記載の装置。
  10. 前記アプリケーションユニットが:
    前記暗号化されたコンテンツ、前記暗号化された第一の鍵および前記指数をネットワークを通じて受信し、前記暗号化された第一の鍵および前記指数を前記鍵管理ユニットに転送し、前記鍵管理ユニットから復号された指数と復号された第一の鍵の前記複数の対を受け取るためのアクセス要素と;
    前記所定のデータ構造に従った復号された指数と復号された第一の鍵のある対を取得するための第一の取得要素と、
    その取得された第一の鍵を使うことによって前記暗号化されたコンテンツを復号するための第一の復号要素、
    とを有することを特徴とする、請求項9記載の装置。
  11. 前記鍵管理ユニットが:
    前記記憶媒体から複数の第二の鍵を読むための第二のアクセス要素と、
    その複数の第二の鍵のそれぞれを使うことによって前記暗号化された第一の鍵および前記指数を復号して、前記第二のアクセス要素が前記アプリケーションユニットに転送するための、復号された第一の鍵および復号された指数の複数の対を与えるための第二の復号要素、
    とを有することを特徴とする、請求項10記載の装置。
  12. 前記アプリケーションユニットがさらに、前記鍵管理ユニットからの複数の復号された第一の鍵を使うことによって前記指数を復号して復号された指数と復号された第一の鍵の複数の対を与え、前記所定のデータ構造に従った復号された指数と復号された第一の鍵のある対を取得し、その取得された第一の鍵を使うことによって前記暗号化されたコンテンツを復号するよう構成されていることを特徴とする、請求項7記載の装置。
  13. 前記アプリケーションユニットが:
    前記暗号化されたコンテンツ、前記暗号化された第一の鍵および前記指数をネットワークを通じて受信し、前記暗号化された第一の鍵を前記鍵管理ユニットに転送し、前記鍵管理ユニットから複数の復号された第一の鍵の対を受け取るためのアクセス要素と;
    前記鍵管理ユニットからの前記複数の復号された第一の鍵を使うことによって前記指数を復号して復号された指数と復号された第一の鍵の複数の対を与えるための第一の復号要素と、
    前記所定のデータ構造に従った復号された指数および復号された第一の鍵のある対を取得し、その取得された第一の鍵により前記第一の復号要素が前記暗号化されたコンテンツを復号するようにする第一の取得要素、
    とを有することを特徴とする、請求項12記載の装置。
  14. 前記鍵管理ユニットが:
    前記記憶媒体から前記複数の第二の鍵を読むための第二のアクセス要素と、
    前記複数の第二の鍵のそれぞれを使うことによって前記暗号化された第一の鍵を復号して、前記第二のアクセス要素が前記アプリケーションユニットに転送するための前記複数の復号された第一の鍵を提供するための第二の復号要素、
    とを有することを特徴とする、請求項13記載の装置。
  15. ネットワークを通じて受信した暗号化されたコンテンツを復号するためのコンピュータプログラムであって:
    前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、ここで、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなソフトウェア手段と、
    記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える第二のソフトウェア手段、
    とを有することを特徴とするコンピュータプログラム。
  16. 請求項15記載のコンピュータプログラムを含むことを特徴とする記録担体。
  17. 暗号化されたコンテンツを提供するサーバーと、前記暗号化されたコンテンツを復号する装置と、記憶媒体とを有する、暗号化されたコンテンツを提供および復号するシステムであって、
    前記サーバーはさらに:
    前記復号する装置からコンテンツダウンロードの要求を受信する受信器と;
    該要求に反応して第一の鍵を生成する生成器と;
    前記第一の鍵を使って前記コンテンツを暗号化し、前記第一の鍵をある専用の第二の鍵を使って暗号化して暗号化された第一の鍵を提供する暗号化器と;
    前記暗号化されたコンテンツおよび前記暗号化された第一の鍵を送信する送信器、
    とを有するよう構成されており、
    前記装置が請求項1ないし14のうちいずれか一項記載のようであることを特徴とするシステム。
  18. ネットワークを通じて受信された暗号化されたコンテンツを復号する方法であって:
    前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、ここで、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられており;
    記憶媒体から前記専用の第二の鍵を入手し;
    該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える、
    ステップを有することを特徴とする方法。
JP2007523180A 2004-07-29 2005-07-04 鍵暗号化鍵方式を使って暗号化されたネットワークコンテンツを提供および復号するための装置および方法 Withdrawn JP2008508763A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CNA2004100557702A CN1728262A (zh) 2004-07-29 2004-07-29 一种用于通过网络提供加密内容并且对该内容进行解密的系统,设备和方法
PCT/IB2005/052205 WO2006013477A1 (en) 2004-07-29 2005-07-04 Device and method for providing and decrypting encrypted network content using a key encryption key scheme

Publications (1)

Publication Number Publication Date
JP2008508763A true JP2008508763A (ja) 2008-03-21

Family

ID=34972552

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007523180A Withdrawn JP2008508763A (ja) 2004-07-29 2005-07-04 鍵暗号化鍵方式を使って暗号化されたネットワークコンテンツを提供および復号するための装置および方法

Country Status (6)

Country Link
EP (1) EP1774696A1 (ja)
JP (1) JP2008508763A (ja)
KR (1) KR20070039157A (ja)
CN (2) CN1728262A (ja)
TW (1) TW200704092A (ja)
WO (1) WO2006013477A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9116841B2 (en) * 2012-11-28 2015-08-25 Infineon Technologies Ag Methods and systems for securely transferring embedded code and/or data designed for a device to a customer
CN105471832A (zh) * 2014-10-22 2016-04-06 航天恒星科技有限公司 卫星通信中ip报文的处理方法及装置
CN105337954A (zh) * 2014-10-22 2016-02-17 航天恒星科技有限公司 卫星通信中ip报文的加密、解密方法及装置
WO2016079371A1 (en) * 2014-11-18 2016-05-26 Nokia Technologies Oy Secure access to remote data
US9516359B2 (en) * 2015-04-07 2016-12-06 Divx, Llc Session based watermarking of media content using encrypted content streams
CN109040107A (zh) * 2018-08-29 2018-12-18 百度在线网络技术(北京)有限公司 数据处理方法、服务器、无人驾驶设备及可读存储介质
DE102019212959B3 (de) * 2019-08-28 2021-03-04 Volkswagen Aktiengesellschaft Verfahren zur geschützten Kommunikation eines Fahrzeugs mit einem externen Server, Vorrichtung zur Durchführung der Schlüsselableitung bei dem Verfahren sowie Fahrzeug

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4078802B2 (ja) * 2000-12-26 2008-04-23 ソニー株式会社 情報処理システム、情報処理方法、情報処理装置、および情報記録媒体、並びにプログラム記録媒体
EP1507261B1 (en) * 2001-08-08 2016-07-20 Panasonic Intellectual Property Management Co., Ltd. Copyright protection system, recording device, decryption device, and recording medium
EP1501304A1 (en) * 2003-07-23 2005-01-26 Axalto S.A. Procedure for monitoring the usage of a broadcasted content

Also Published As

Publication number Publication date
KR20070039157A (ko) 2007-04-11
CN1728262A (zh) 2006-02-01
EP1774696A1 (en) 2007-04-18
CN1989728A (zh) 2007-06-27
WO2006013477A1 (en) 2006-02-09
TW200704092A (en) 2007-01-16

Similar Documents

Publication Publication Date Title
US8205083B2 (en) System and method for providing program information, and recording medium used therefor
US20070160209A1 (en) Content management method, content management program, and electronic device
US8694799B2 (en) System and method for protection of content stored in a storage device
CN103635911A (zh) 用于保护内容的存储器件和主机设备及其方法
JP2010028485A (ja) 情報処理装置、認証方法及び記憶媒体
JP2007525755A (ja) デジタルデータコンテンツの保護
US8533807B2 (en) Methods for accessing content based on a session ticket
TW200522639A (en) Data security
KR20130053521A (ko) 컨텐츠를 보호하기 위한 방법 및 저장 매체
US20100183148A1 (en) Recording keys in a broadcast-encryption-based system
US9652624B2 (en) Method, host, storage, and machine-readable storage medium for protecting content
JP2008508763A (ja) 鍵暗号化鍵方式を使って暗号化されたネットワークコンテンツを提供および復号するための装置および方法
US20080112566A1 (en) Apparatuses for accessing content based on a session ticket
KR101310232B1 (ko) 버스 키 공유 방법 및 그 장치
US20090319791A1 (en) Electronic apparatus and copyright-protected chip
US20080114686A1 (en) Apparatuses for linking content with license
JP2007515723A (ja) アクティブなエンティティを使用するソフトウェア実行保護
JP5644467B2 (ja) 情報処理装置、および情報処理方法、並びにプログラム
JP2007159009A (ja) チケット保護方法およびクライアント
JP2005507195A (ja) エンティティ・ロックされたセキュア・レジストリを用いて素材にアクセスする装置及び方法
US20080112562A1 (en) Methods for linking content with license
JP5318069B2 (ja) 情報処理装置
JP4583428B2 (ja) 管理サーバ装置及びプログラム
KR101492669B1 (ko) 프로세싱 유닛에 의해 암호화된 콘텐츠 기록 및 복원 방법
JP2010510575A (ja) コンテンツをライセンスとリンクさせる方法および装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080703

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20090603