JP2008508763A - 鍵暗号化鍵方式を使って暗号化されたネットワークコンテンツを提供および復号するための装置および方法 - Google Patents
鍵暗号化鍵方式を使って暗号化されたネットワークコンテンツを提供および復号するための装置および方法 Download PDFInfo
- Publication number
- JP2008508763A JP2008508763A JP2007523180A JP2007523180A JP2008508763A JP 2008508763 A JP2008508763 A JP 2008508763A JP 2007523180 A JP2007523180 A JP 2007523180A JP 2007523180 A JP2007523180 A JP 2007523180A JP 2008508763 A JP2008508763 A JP 2008508763A
- Authority
- JP
- Japan
- Prior art keywords
- key
- encrypted
- decrypted
- dedicated
- encrypted content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 230000004044 response Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012360 testing method Methods 0.000 description 15
- 229910052594 sapphire Inorganic materials 0.000 description 7
- 239000010980 sapphire Substances 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/234—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
- H04N21/2347—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/234—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
- H04N21/2347—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
- H04N21/23476—Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption by partially encrypting, e.g. encrypting the ending portion of a movie
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/44—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
- H04N21/4405—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/44—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
- H04N21/4405—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
- H04N21/44055—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption by partially decrypting, e.g. decrypting a video stream that has been partially encrypted
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/83—Generation or processing of protective or descriptive data associated with content; Content structuring
- H04N21/835—Generation of protective data, e.g. certificates
- H04N21/8352—Generation of protective data, e.g. certificates involving content or source identification data, e.g. Unique Material Identifier [UMID]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/167—Systems rendering the television signal unintelligible and subsequently intelligible
- H04N7/1675—Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/173—Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
- H04N7/17309—Transmission or handling of upstream communications
- H04N7/17318—Direct or substantially direct transmission and handling of requests
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
Abstract
ネットワークを通じて受信した暗号化されたコンテンツを復号する方法および装置であって:前記暗号化されたコンテンツおよびある暗号化された第一の鍵を前記ネットワークを通じて受信し、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなアプリケーションユニットと、記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える鍵管理ユニットとを有するものに関する。
Description
本発明は、ネットワークを通じて受信される暗号化されたコンテンツを復号するための装置に関する。本発明はさらに、ネットワークを通じて暗号化されたコンテンツを提供し、該暗号化されたコンテンツを復号するためのシステムであって、前記暗号化されたコンテンツを提供するサーバー、前記暗号化されたコンテンツを復号する前記装置および復号鍵を提供するための記憶媒体(たとえば記録担体または記録媒体)を含むシステムならびにその対応する方法およびソフトウェアプログラムに関する。
今日、コンテンツ保護は、コンテンツ提供者にとって、たとえば光ディスクまたはインターネットを通じてコンテンツを公開するときの主要な懸案の一つとなっている。サファイア(Sapphire)システムは粒度の細かい保護機構を提供し、CD2規格によって取り込まれている。サファイアシステムでは、ディスク上のコンテンツ(すなわちA/Vストリーム、ファイルなど)は暗号化され、対応する復号鍵がアセット鍵(またはアセットID)としてサファイア鍵ロッカーに保存される。
欧州特許出願03102257.7が記載するディスクプレーヤー、記録担体および方法は、上述したサファイアシステム保護機構を使うことによって、記録担体に保存されているデータに関係するネットワークデータを読み、保護するためのものである。
図1は、前記特許出願03102257.7のディスクプレーヤー、ディスクおよびサーバーを含むシステムを示すブロック概略図である。図1のシステムは、ディスク12上に保存されている担体データ122に関係するネットワークデータを供給するためのディスクプレーヤー11、ディスク12およびネットワークユニット13(たとえばサーバー)を含む。ネットワークユニット13はインターネットを通じてディスクプレーヤー11に接続されている。ディスクデータ122のほか、鍵ロッカー121がディスク12上に保存される。詳細は図2に示す。図2は、鍵ロッカーの内容を図解する表を示している。サファイアシステムでは、鍵ロッカー121は通例、次の4つの列を含む表である:ディスクプレーヤーによって実行されるアプリケーションについての識別情報として、および該鍵ロッカーのサブセットへのアクセスを制限するために使われるアプリケーションID;同じ鍵において暗号化され、同じ使用権をもつファイル(の群)の識別情報として使われるアセットID;一般に対しては秘密に保たれることが要求される復号のための鍵として使われるアセット鍵;および未定義の書式および可変の長さをもつ権利文字列である。図1に示されたシステムでは、権利文字列はネットワークユニット13のURLのようなネットワーク識別子を含み、アセット鍵はネットワークデータを復号するための復号鍵として使われる。
ディスクプレーヤー11は二つの部分を含んでいる:記録担体12からデータを読むためのドライブ111およびアプリケーションユニット112である。アプリケーションユニット112は、検査要素、アクセス要素および復号要素からなる。この欧州特許出願の間、アプリケーションユニット112のアクセス要素はまず、ネットワークユニット13に対する特定のネットワークデータの要求を送る。次いで、ドライブ111は、記録担体からそのアプリケーションIDに従って権利文字列を取得し、取得された権利文字列をアプリケーションユニット112に送る。アプリケーションユニット112の検査要素は、権利文字列に保存されたURLが、前記ネットワークデータを提供している特定のネットワークユニット13に一致するかどうかを検査する。もし一致すれば、アプリケーション112の復号要素は、ネットワークユニット13によって提供されている暗号化されたネットワークデータを、その権利文字列に保存されている復号鍵で復号する。もし一致しなければ、ドライブ111はもう一度権利文字列を取得し、上記したプロセス全体がもう一度実行されることになる。
従来技術からは、アプリケーションユニットが前記ネットワークコンテンツを復号するために使う復号鍵がアセット鍵と同一であることが見て取れる。通例、アプリケーションユニットは、(ソフトウェア)アプリケーションを実行するためのハードウェアである。この(ソフトウェア)アプリケーションは、オペレーティングシステム(OS)またはコンピュータ上で走っているソフトウェアの場合と同様である。この場合、アプリケーションユニットで走っているアプリケーションは、コンピュータ上で走っているソフトウェアに対してハッカーがすることとちょうど同じようにして容易に攻撃/ハッキングされることができる。したがって、アプリケーションユニットによってネットワークコンテンツを復号するために使用され、一般からは秘密に保たれ、鍵公開に対して保護されるべきである前記復号鍵にアクセスすることは、比較的容易である。
したがって、秘密の鍵が攻撃される可能性を減らすのに効果的な、暗号化されたネットワークコンテンツを提供および復号するための新しいシステム、装置および方法を提供することが本発明の目的である。
本発明のある第一の側面によれば、この目的は、ネットワークを通じて受信した暗号化されたコンテンツを復号する装置であって:前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなアプリケーションユニットと、記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える鍵管理ユニットとを有する装置によって達成される。
本発明のある第二の側面によれば、暗号化されたコンテンツを提供するサーバーと、前記暗号化されたコンテンツを復号する装置と、記憶媒体とを有する、暗号化されたコンテンツを提供および復号するシステムであって、前記サーバーはさらに:前記復号する装置からコンテンツダウンロードの要求を受信する受信器と;該要求に反応して第一の鍵を生成する生成器と;前記第一の鍵を使って前記コンテンツを暗号化し、前記第一の鍵をある専用の第二の鍵を使って暗号化して暗号化された第一の鍵を提供する暗号化器と;前記暗号化されたコンテンツおよび前記暗号化された第一の鍵を送信する送信器とを有するよう構成されており;前記暗号化されたコンテンツを復号する装置はさらに:前記暗号化されたコンテンツおよび暗号化された第一の鍵をネットワークを通じて受信し、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなアプリケーションユニットと、記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える鍵管理ユニットとを有するよう構成されている、システムが提供される。
本発明のある第三の側面によれば、ネットワークを通じて受信した暗号化されたコンテンツを復号する方法であって:前記暗号化されたコンテンツおよびある暗号化された第一の鍵を前記ネットワークを通じて受信し、ここで、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられており;記憶媒体から前記専用の第二の鍵を入手し;該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与えるステップを有する方法が提供される。
本発明のある第四の側面によれば、ネットワークを通じて受信した暗号化されたコンテンツを復号するためのコンピュータプログラムであって:前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、ここで、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなソフトウェア手段と、記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える第二のソフトウェア手段とを有するコンピュータプログラムが提供される。
出願人は、前記鍵管理ユニット(たとえばドライブ)が基本的には前記装置によって使用されるコンポーネントであり、それ自身の準拠規則(たとえばサファイアシステムに準拠する規則)を有しており、それ自身と前記アプリケーションユニットとの間の、サファイアシステムによってあらかじめ定義されている安全認証チャンネル(SAC: secure authentication channel)インターフェースを有しているということを留意する。したがって、一個のコンポーネントとしての前記鍵管理ユニットは、前記アプリケーションユニットに対して起こることのような攻撃が非常に困難である。
本発明の復号のためのシステム、装置および方法によれば、前記第二の鍵(すなわちアセット鍵)は前記アプリケーションユニットからは秘密に保たれる。アプリケーションユニットは、コンテンツダウンロードの要求に反応してランダムに生成される第一の鍵を使い、当該装置中でアセット鍵を知る唯一のユニットは、アプリケーションユニットに比べ比較的より安全でより安定な鍵管理ユニットである。この点で、本発明の装置および方法は、コンテンツ保護鍵(たとえばアセット鍵)が攻撃されるのを防止するのにより効果的である。
本発明の実施形態についてここで例として、付属の図面を参照しつつ論じる。図面において、同様の参照符号は同様の部分を指す。
図3では、本発明の第一の実施形態に従ってネットワークデータを提供および復号するシステムの構造が示されている。本システムは、暗号化されたコンテンツを提供するためのサーバー31と、前記暗号化されたコンテンツを復号するためのディスクプレーヤー32と、ディスクデータ122のほかに図2に示されたような鍵ロッカー121を保存するディスク33を含んでおり、ディスクプレーヤー32はネットワークを通じてサーバー31と接続し、サーバーは前記ディスク上に保存されている鍵ロッカーについての情報を共有している。サーバーはさらに、ディスクプレーヤーからディスクデータに関係するネットワークコンテンツをダウンロードするための要求を受信する受信器(図示せず)を有しており、前記要求は、ディスク上に多様なディスクアプリケーションが保存されている場合に備えて好ましくはアプリケーションID(たとえば図2の鍵ロッカー中のアプリケーションID 2)を含んでいる。サーバーはさらに、前記要求に反応してパスフェーズをランダムに生成する生成器311を含んでいる。サーバーはさらに、コンテンツプール313に保存されている要求されたネットワークコンテンツを暗号化し、次いで前記ディスクと共有している鍵ロッカーから選択されたアセット鍵、たとえば図2に示されるような鍵ロッカー中のアセット鍵ASDF1234の使用により前記パスフェーズを暗号化する暗号化器312を含んでいる(以下、該アセット鍵は、鍵ロッカー中に保存されている他のアセット鍵と区別するために専用のアセット鍵と呼ぶ。専用のアセット鍵は他のランダムに生成されたパスフェーズを暗号化するためにも選択されることができる)。サーバーはさらに、前記暗号化されたコンテンツ、暗号化されたパスフェーズおよび前記専用のアセット鍵に関連付けられたアセットID、たとえば図2のアセットID 80を送る送信器を含んでいる。
ディスクプレーヤー32は、前記暗号化されたコンテンツ、暗号化されたパスフェーズおよび関連付けられたアセットIDをサーバー31から受信し、前記パスフェーズで前記暗号化されたコンテンツを復号するアプリケーションユニット321と、前記関連付けられたアセットIDに従ってディスク33に保存されている鍵ロッカー121から前記専用のアセット鍵を取得し、該専用のアセット鍵で前記暗号化されたパスフェーズを復号してアプリケーションユニットのために前記パスフェーズを提供するドライブ322とを有している。
前記アプリケーションユニット321はさらに、前記暗号化されたコンテンツ、暗号化されたパスフェーズおよびアセットIDをサーバーから受信し、暗号化されたパスフェーズをドライブに送り、ドライブから復号されたパスフェーズを受信するためのアクセス要素と;該復号されたパスフェーズの使用によって前記暗号化されたコンテンツを復号するための復号要素とを含んでいる。ドライブ322はさらに、アセットIDに従って前記専用のアセット鍵をディスク上に保存されている鍵ロッカーから取得し、復号されたパスフェーズを安全認証チャネル(SAC)を介してアプリケーションユニットに渡すためのアクセス要素と、取得された専用のアセット鍵を使ってアプリケーションユニットから受信した暗号化されたパスフェーズを復号するための復号要素とを含んでいる。
本発明の第一の実施形態のシステムによってネットワークデータを提供および復号するプロセスについて以下に述べる。
まず、アプリケーションユニットのアクセス要素がコンテンツダウンロードの要求をサーバーに送る。次いで、サーバーは、該要求に反応してパスフェーズをランダムに生成する。ここで、コンテンツダウンロードの要求は、ランダムなパスフェーズの生成手順にとっては任意的であり、サーバーは時間に基づいてパスフェーズを生成することもできる。次いで、サーバーは該パスフェーズを用いて要求されたネットワークコンテンツを暗号化し、そのパスフェーズを専用のアセット鍵で暗号化する。
アセットID、暗号化されたパスフェーズおよび暗号化されたコンテンツを含むデータがアプリケーションユニットに送られ、そこで、アセットIDおよび暗号化されたパスフェーズがドライブに送られる。ドライブは暗号化されたパスフェーズとアセットIDをアプリケーションユニットから受け取り、次いでアセットIDに従ってアセット鍵を、ディスク上の鍵ロッカーから取得する。次いで、ドライブは取得されたアセット鍵を用いてパスフェーズを復号し、復号されたパスフェーズをアプリケーションユニットにSACを介して送る。最後に、アプリケーションユニットがドライブによって送られた復号されたパスフェーズを使うことによって暗号化されたコンテンツを復号する。
上の記述から、ネットワークを通じて受信されたコンテンツを復号するプロセス全体において、アプリケーションユニットは厳密には直接的にアセット鍵を保持し、扱うことはしていない。そうではなく、アプリケーションユニットが使用するのは、ネットワークコンテンツを復号するための、ランダムに生成されたパスフェーズである。したがって、アセット鍵がアプリケーションユニットから取得される可能性は実質的に0である。しかも、本発明の上記の実施形態はディスク上に保存されている鍵ロッカー中の権利文字列フィールドを使用しないので、権利文字列の列は空白のままとされている。権利文字列フィールドを使用するかどうかは用途による。
本発明の第二の実施形態に従ってネットワークデータを提供および復号するシステムの構造が図4に示されている。図3と図4のシステム間の相違は、図4のアプリケーションユニット421の生成器311がさらに、列の長さ、あるビットの定義といった所定のデータ構造に従う試験列(すなわちビット列)を生成し、アプリケーションユニット421はさらに、復号要素がネットワークコンテンツを復号するためのパスフェーズを取得する取得要素を有していることである。
本発明の第二の実施形態に従って図4のシステムによってネットワークデータを提供および復号するプロセスについて以下に述べる。
図4では、アプリケーションユニット421のアクセス要素がコンテンツダウンロードの要求をサーバー31に送る。次いで、サーバーの生成器311は、該要求に反応してパスフェーズおよび試験列をランダムに生成する。上述したように、前記要求は、パスフェーズの生成にとっては任意的であり、生成器は時間に基づいて前記のデータを生成することもできる。サーバーの暗号化要素312が該生成されたパスフェーズを用いてコンテンツプール内に保存されているコンテンツを暗号化し、そのパスフェーズおよび試験列を専用のアセット鍵で暗号化する。この専用のアセット鍵は、ディスク33と共有されている鍵ロッカーの情報から選択される。サーバーの送信器(図4には示さず)は暗号化されたコンテンツ、暗号化されたパスフェーズおよび試験列をディスクプレーヤー32に送る。
ディスクプレーヤーのアプリケーションユニット421のアクセス要素が暗号化されたパスフェーズおよび試験列をドライブ322に転送する。ドライブ322のアクセス要素は、ディスク33上に保存されている鍵ロッカー121から、そのアプリケーションIDに関連付けられている項目中のアセット鍵のすべてを読む。読まれたアセット鍵のうちには、パスフェーズおよび試験列を暗号化するためにサーバーが選択した専用のアセット鍵が含まれている。次いで、ドライブの復号要素は、読まれたアセット鍵の一つ一つを用いてパスフェーズおよび試験列を復号して、アプリケーションユニット421に、一つ一つのアセット鍵に関して復号されたパスフェーズおよび試験列の対を提供する。アプリケーションユニット421のアクセス要素がそれらの対をドライブから受け取ったのち、アプリケーションユニット421の取得要素は、復号された試験列が所定のデータ構造に従うような、復号されたパスフェーズおよび試験列のある対を取得する。次いで、アプリケーションユニットの復号要素は、取得されたパスフェーズを使うことによって、サーバーから受信した暗号化されたコンテンツを復号するのである。
まとめると、ネットワークデータを提供および復号するためのシステム、装置および方法が開示された。当業者は本発明に対して、付属の請求項に記載される保護範囲にはいるいかなる修正、追加および挿入をもなしうるものであることは理解できるものである。
たとえば、第二の実施形態によれば、サーバー31の暗号化要素は専用のアセット鍵を用いて試験列を暗号化する。しかし、当業者は該暗号化要素がパスフェーズを用いて試験列を暗号化することもできることを考えられる。この場合、ドライブ322の復号要素は、暗号化されたパスフェーズだけを読まれたアセット鍵の一つ一つを用いて復号し、複数の復号されたパスフェーズをアプリケーションユニット421のアクセス要素に与える。次いで、アプリケーションユニットの復号要素は復号されたパスフェーズの一つ一つを用いて暗号化された試験列を復号し、復号された試験列およびパスフェーズの対を取得要素に提供して、復号された試験列およびパスフェーズの対で試験列が所定のデータ構造に従うものを取得するようにする。次いで、アプリケーションユニットの復号要素は、取得されたパスフェーズを用いて、サーバーからの暗号化されたコンテンツダウンロードを復号する。
さらに、本発明のすべての実施形態において、ネットワークコンテンツはパスフェーズによって暗号化され、パスフェーズは専用のアセット鍵によって暗号化される。当業者は、ネットワークコンテンツおよびパスフェーズの暗号化に関していかなる代替を行ってもよいことを理解できる。たとえば、ネットワークコンテンツはコンテンツ保護鍵(たとえば専用のアセット鍵)によって完全には暗号化されず、単に部分的に暗号化されるだけである。たとえばファイルヘッダ/重要なパラメータ/または特定の部分だけが暗号化される。一方、パスフェーズは、暗号化されたコンテンツ保護鍵のみならず、コンテンツのどの部分が暗号化されているかを示す何らかのデータをも含むことになる。
さらに、諸実施形態において、ネットワークデータを復号する装置はディスクプレーヤーであるが、当業者は、記憶媒体上に保存されたデータを読むドライブをもつコンピュータのようなその他の装置を予期できる。ディスクプレーヤーのドライブの機能は、コンパクトなフラッシュカード(たとえばICカードまたはUSBメモリスティック)中の鍵管理ユニットにより、あるいは記録担体に固定されたチップ(いわゆるチップ・イン・ディスク技術)により満たされることもできる。
Claims (18)
- ネットワークを通じて受信した暗号化されたコンテンツを復号する装置であって:
前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなアプリケーションユニットと、
記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える鍵管理ユニット、
とを有することを特徴とする装置。 - 前記アプリケーションユニットがさらに、ネットワークを通じてある指数を取得するよう構成されていることを特徴とする、請求項1記載の装置。
- 前記指数が前記専用の第二の鍵に対応するデータであることを特徴とする、請求項2記載の装置。
- 前記鍵管理ユニットがさらに、前記指数に従って前記記憶媒体から前記専用の第二の鍵を取得するよう構成されていることを特徴とする、請求項3記載の装置。
- 前記アプリケーションユニットが:
前記暗号化されたコンテンツ、前記暗号化された第一の鍵および前記指数をネットワークを通じて受信し、前記暗号化された第一の鍵および指数を前記鍵管理ユニットに転送するためのアクセス要素と;
前記鍵管理ユニットからの前記第一の鍵を使うことによって前記暗号化されたコンテンツを復号するための第一の復号要素、
とを有することを特徴とする、請求項4記載の装置。 - 前記鍵管理ユニットが:
前記指数に従って前記記憶媒体から前記専用の鍵を取得するための第二のアクセス要素と、
該第二のアクセス要素からの前記専用の第二の鍵を使うことによって前記暗号化された第一の鍵を復号して、前記第二のアクセス要素が前記アプリケーションユニットに転送するための前記第一の鍵を提供するための第二の復号要素、
とを有することを特徴とする、請求項5記載の装置。 - 前記指数が、所定のデータ構造に従うデータを暗号化したものであることを特徴とする、請求項2記載の装置。
- 前記鍵管理ユニットがさらに、前記記憶媒体から前記専用の第二の鍵を含む複数の第二の鍵を読み、その第二の鍵のそれぞれを使うことによって前記暗号化された第一の鍵および前記指数を復号して復号された第一の鍵および復号された指数の複数の対を与えるよう構成されていることを特徴とする、請求項7記載の装置。
- 前記アプリケーションユニットが、前記鍵管理ユニットからの、前記所定のデータ構造に従った復号された指数と復号された第一の鍵のある対を取得し、その取得された第一の鍵を使うことによって前記暗号化されたコンテンツを復号するようさらに構成されていることを特徴とする、請求項8記載の装置。
- 前記アプリケーションユニットが:
前記暗号化されたコンテンツ、前記暗号化された第一の鍵および前記指数をネットワークを通じて受信し、前記暗号化された第一の鍵および前記指数を前記鍵管理ユニットに転送し、前記鍵管理ユニットから復号された指数と復号された第一の鍵の前記複数の対を受け取るためのアクセス要素と;
前記所定のデータ構造に従った復号された指数と復号された第一の鍵のある対を取得するための第一の取得要素と、
その取得された第一の鍵を使うことによって前記暗号化されたコンテンツを復号するための第一の復号要素、
とを有することを特徴とする、請求項9記載の装置。 - 前記鍵管理ユニットが:
前記記憶媒体から複数の第二の鍵を読むための第二のアクセス要素と、
その複数の第二の鍵のそれぞれを使うことによって前記暗号化された第一の鍵および前記指数を復号して、前記第二のアクセス要素が前記アプリケーションユニットに転送するための、復号された第一の鍵および復号された指数の複数の対を与えるための第二の復号要素、
とを有することを特徴とする、請求項10記載の装置。 - 前記アプリケーションユニットがさらに、前記鍵管理ユニットからの複数の復号された第一の鍵を使うことによって前記指数を復号して復号された指数と復号された第一の鍵の複数の対を与え、前記所定のデータ構造に従った復号された指数と復号された第一の鍵のある対を取得し、その取得された第一の鍵を使うことによって前記暗号化されたコンテンツを復号するよう構成されていることを特徴とする、請求項7記載の装置。
- 前記アプリケーションユニットが:
前記暗号化されたコンテンツ、前記暗号化された第一の鍵および前記指数をネットワークを通じて受信し、前記暗号化された第一の鍵を前記鍵管理ユニットに転送し、前記鍵管理ユニットから複数の復号された第一の鍵の対を受け取るためのアクセス要素と;
前記鍵管理ユニットからの前記複数の復号された第一の鍵を使うことによって前記指数を復号して復号された指数と復号された第一の鍵の複数の対を与えるための第一の復号要素と、
前記所定のデータ構造に従った復号された指数および復号された第一の鍵のある対を取得し、その取得された第一の鍵により前記第一の復号要素が前記暗号化されたコンテンツを復号するようにする第一の取得要素、
とを有することを特徴とする、請求項12記載の装置。 - 前記鍵管理ユニットが:
前記記憶媒体から前記複数の第二の鍵を読むための第二のアクセス要素と、
前記複数の第二の鍵のそれぞれを使うことによって前記暗号化された第一の鍵を復号して、前記第二のアクセス要素が前記アプリケーションユニットに転送するための前記複数の復号された第一の鍵を提供するための第二の復号要素、
とを有することを特徴とする、請求項13記載の装置。 - ネットワークを通じて受信した暗号化されたコンテンツを復号するためのコンピュータプログラムであって:
前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、ここで、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられているようなソフトウェア手段と、
記憶媒体から前記専用の第二の鍵を入手し、該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える第二のソフトウェア手段、
とを有することを特徴とするコンピュータプログラム。 - 請求項15記載のコンピュータプログラムを含むことを特徴とする記録担体。
- 暗号化されたコンテンツを提供するサーバーと、前記暗号化されたコンテンツを復号する装置と、記憶媒体とを有する、暗号化されたコンテンツを提供および復号するシステムであって、
前記サーバーはさらに:
前記復号する装置からコンテンツダウンロードの要求を受信する受信器と;
該要求に反応して第一の鍵を生成する生成器と;
前記第一の鍵を使って前記コンテンツを暗号化し、前記第一の鍵をある専用の第二の鍵を使って暗号化して暗号化された第一の鍵を提供する暗号化器と;
前記暗号化されたコンテンツおよび前記暗号化された第一の鍵を送信する送信器、
とを有するよう構成されており、
前記装置が請求項1ないし14のうちいずれか一項記載のようであることを特徴とするシステム。 - ネットワークを通じて受信された暗号化されたコンテンツを復号する方法であって:
前記暗号化されたコンテンツおよびある暗号化された第一の鍵をネットワークを通じて受信し、ここで、前記第一の鍵は前記コンテンツの暗号化に関連付けられており、前記第一の鍵の暗号化にはある専用の第二の鍵が関連付けられており;
記憶媒体から前記専用の第二の鍵を入手し;
該専用の第二の鍵を使って前記暗号化された第一の鍵を復号して、前記アプリケーションユニットが前記暗号化されたコンテンツを復号するための前記第一の鍵を与える、
ステップを有することを特徴とする方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2004100557702A CN1728262A (zh) | 2004-07-29 | 2004-07-29 | 一种用于通过网络提供加密内容并且对该内容进行解密的系统,设备和方法 |
PCT/IB2005/052205 WO2006013477A1 (en) | 2004-07-29 | 2005-07-04 | Device and method for providing and decrypting encrypted network content using a key encryption key scheme |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008508763A true JP2008508763A (ja) | 2008-03-21 |
Family
ID=34972552
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007523180A Withdrawn JP2008508763A (ja) | 2004-07-29 | 2005-07-04 | 鍵暗号化鍵方式を使って暗号化されたネットワークコンテンツを提供および復号するための装置および方法 |
Country Status (6)
Country | Link |
---|---|
EP (1) | EP1774696A1 (ja) |
JP (1) | JP2008508763A (ja) |
KR (1) | KR20070039157A (ja) |
CN (2) | CN1728262A (ja) |
TW (1) | TW200704092A (ja) |
WO (1) | WO2006013477A1 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9116841B2 (en) * | 2012-11-28 | 2015-08-25 | Infineon Technologies Ag | Methods and systems for securely transferring embedded code and/or data designed for a device to a customer |
CN105471832A (zh) * | 2014-10-22 | 2016-04-06 | 航天恒星科技有限公司 | 卫星通信中ip报文的处理方法及装置 |
CN105337954A (zh) * | 2014-10-22 | 2016-02-17 | 航天恒星科技有限公司 | 卫星通信中ip报文的加密、解密方法及装置 |
WO2016079371A1 (en) * | 2014-11-18 | 2016-05-26 | Nokia Technologies Oy | Secure access to remote data |
US9516359B2 (en) * | 2015-04-07 | 2016-12-06 | Divx, Llc | Session based watermarking of media content using encrypted content streams |
CN109040107A (zh) * | 2018-08-29 | 2018-12-18 | 百度在线网络技术(北京)有限公司 | 数据处理方法、服务器、无人驾驶设备及可读存储介质 |
DE102019212959B3 (de) * | 2019-08-28 | 2021-03-04 | Volkswagen Aktiengesellschaft | Verfahren zur geschützten Kommunikation eines Fahrzeugs mit einem externen Server, Vorrichtung zur Durchführung der Schlüsselableitung bei dem Verfahren sowie Fahrzeug |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4078802B2 (ja) * | 2000-12-26 | 2008-04-23 | ソニー株式会社 | 情報処理システム、情報処理方法、情報処理装置、および情報記録媒体、並びにプログラム記録媒体 |
EP1507261B1 (en) * | 2001-08-08 | 2016-07-20 | Panasonic Intellectual Property Management Co., Ltd. | Copyright protection system, recording device, decryption device, and recording medium |
EP1501304A1 (en) * | 2003-07-23 | 2005-01-26 | Axalto S.A. | Procedure for monitoring the usage of a broadcasted content |
-
2004
- 2004-07-29 CN CNA2004100557702A patent/CN1728262A/zh active Pending
-
2005
- 2005-07-04 JP JP2007523180A patent/JP2008508763A/ja not_active Withdrawn
- 2005-07-04 WO PCT/IB2005/052205 patent/WO2006013477A1/en active Application Filing
- 2005-07-04 EP EP05758468A patent/EP1774696A1/en not_active Withdrawn
- 2005-07-04 CN CNA2005800252586A patent/CN1989728A/zh active Pending
- 2005-07-04 KR KR1020077004468A patent/KR20070039157A/ko not_active Application Discontinuation
- 2005-07-11 TW TW094123394A patent/TW200704092A/zh unknown
Also Published As
Publication number | Publication date |
---|---|
KR20070039157A (ko) | 2007-04-11 |
CN1728262A (zh) | 2006-02-01 |
EP1774696A1 (en) | 2007-04-18 |
CN1989728A (zh) | 2007-06-27 |
WO2006013477A1 (en) | 2006-02-09 |
TW200704092A (en) | 2007-01-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8205083B2 (en) | System and method for providing program information, and recording medium used therefor | |
US20070160209A1 (en) | Content management method, content management program, and electronic device | |
US8694799B2 (en) | System and method for protection of content stored in a storage device | |
CN103635911A (zh) | 用于保护内容的存储器件和主机设备及其方法 | |
JP2010028485A (ja) | 情報処理装置、認証方法及び記憶媒体 | |
JP2007525755A (ja) | デジタルデータコンテンツの保護 | |
US8533807B2 (en) | Methods for accessing content based on a session ticket | |
TW200522639A (en) | Data security | |
KR20130053521A (ko) | 컨텐츠를 보호하기 위한 방법 및 저장 매체 | |
US20100183148A1 (en) | Recording keys in a broadcast-encryption-based system | |
US9652624B2 (en) | Method, host, storage, and machine-readable storage medium for protecting content | |
JP2008508763A (ja) | 鍵暗号化鍵方式を使って暗号化されたネットワークコンテンツを提供および復号するための装置および方法 | |
US20080112566A1 (en) | Apparatuses for accessing content based on a session ticket | |
KR101310232B1 (ko) | 버스 키 공유 방법 및 그 장치 | |
US20090319791A1 (en) | Electronic apparatus and copyright-protected chip | |
US20080114686A1 (en) | Apparatuses for linking content with license | |
JP2007515723A (ja) | アクティブなエンティティを使用するソフトウェア実行保護 | |
JP5644467B2 (ja) | 情報処理装置、および情報処理方法、並びにプログラム | |
JP2007159009A (ja) | チケット保護方法およびクライアント | |
JP2005507195A (ja) | エンティティ・ロックされたセキュア・レジストリを用いて素材にアクセスする装置及び方法 | |
US20080112562A1 (en) | Methods for linking content with license | |
JP5318069B2 (ja) | 情報処理装置 | |
JP4583428B2 (ja) | 管理サーバ装置及びプログラム | |
KR101492669B1 (ko) | 프로세싱 유닛에 의해 암호화된 콘텐츠 기록 및 복원 방법 | |
JP2010510575A (ja) | コンテンツをライセンスとリンクさせる方法および装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080703 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090603 |