JP2009094590A - 耐タンパ機能を有する上映装置 - Google Patents

耐タンパ機能を有する上映装置 Download PDF

Info

Publication number
JP2009094590A
JP2009094590A JP2007260456A JP2007260456A JP2009094590A JP 2009094590 A JP2009094590 A JP 2009094590A JP 2007260456 A JP2007260456 A JP 2007260456A JP 2007260456 A JP2007260456 A JP 2007260456A JP 2009094590 A JP2009094590 A JP 2009094590A
Authority
JP
Japan
Prior art keywords
content
secret key
key
screening device
screening
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007260456A
Other languages
English (en)
Other versions
JP4676473B2 (ja
Inventor
Mitsuru Nomura
充 野村
Takahiro Yamaguchi
高弘 山口
Masayoshi Nabeshima
正義 鍋島
Yukiharu Kanayama
之治 金山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007260456A priority Critical patent/JP4676473B2/ja
Publication of JP2009094590A publication Critical patent/JP2009094590A/ja
Application granted granted Critical
Publication of JP4676473B2 publication Critical patent/JP4676473B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】本発明は、耐タンパ機能を実現すると同時に、運用と保守の利便性を損なわないようにすることを実現する新たな上映装置の提供を目的とする。
【解決手段】外部から送られてくる暗号化されたコンテンツおよびライセンスメッセージを保管する手段と、秘密鍵を保管して、ライセンスメッセージを復号することでコンテンツの暗号鍵を取り出す手段と、取り出された暗号鍵を用いて、コンテンツを復号する手段と、装置に保守端末を接続する機能を提供する手段とを備える。さらに、コンテンツへのアクセスを防止するために、これらの各手段を取り囲む筐体壁を備える。この筐体壁には、コンテンツ管理者がコンテンツの管理行うための鍵付き扉が設けられるとともに、保守作業者が保守端末を接続して保守を行うための鍵付き扉が設けられる。コンテンツ管理者と保守作業者の権限を分離するため、これらの扉には異なった鍵が取り付けられる。
【選択図】図1

Description

本発明は、暗号化されたコンテンツの復号機能と、復号処理に用いる暗号鍵を安全に保管するための機能とを持つ耐タンパ機能を有する上映装置に関する。
本発明は、特に、保守の利便性をはかりながら、暗号化されたコンテンツを安全に保管する必要のある上映装置で利用される。
コンテンツを暗号化することにより、特定の暗号鍵を有する上映装置のみに対してコンテンツの復号と再生を可能とする上映システムが広く用いられている。
このようなシステムの一例として、米国DCI(Digital Cinema Initiative) の規定するデジタルシネマ規格がある(例えば、非特許文献1参照)。
DCI規格においては、コンテンツの暗号鍵と上映期限情報とが、上映装置内部に保管される秘密鍵に対応した公開鍵によって暗号化され、鍵配信メッセージ(Key Delivery Message KDM)として各上映装置に送付される。このため、コンテンツの上映を、指定された秘密鍵を保有する上映装置に限定することが可能である。
コンテンツの復号機能を持つ上映装置においては、装置の秘密鍵およびコンテンツの暗号鍵が安全に保管されること、および、復号された平文コンテンツが外部に取り出せないことが要求される。この条件を満たすため、DCI規格においては、上映装置が耐タンパ性を有すること、プロジェクタシステムへの映像出力が暗号化されること、および、映像出力において電子すかしが付加されることを要求している。
耐タンパ性に関しては、米国FIPS140−2の規格等で規定されており(例えば、非特許文献2参照)、耐タンパ性を有するセキュリティチップやセキュリティモジュールが数多く市販されている(例えば、非特許文献3参照)。
これらの汎用耐タンパモジュールは、秘密鍵の保管機能と暗号処理回路とを内蔵するが、前記のような上映装置の耐タンパ機能を実現するには、耐タンパモジュールによって提供される基本的な耐タンパ機能に加え、上映装置自体への耐タンパ機能の組み込みが必要である。
一方、耐タンパ機能によりセキュリティ侵害が検出された場合、DCI規格に基づく上映装置では、装置の保管する秘密鍵を削除することになるため、新たな秘密鍵に対応した公開鍵を再配布する手続きと、装置に対する鍵配信メッセージの再発行が必要になる。このため、上映装置が長時間使用不能となり、運用に大きな支障をきたす。
劇場における上映装置の運用では、破損ディスクの交換、装置のソフトやファームウェアのアップデート等の保守作業が必要となり、セキュリティが確保されると同時に、前記の耐タンパ機能が、これらの保守作業の障害にならないように配慮する必要があり、さらに、装置への秘密鍵の再設定の手続きが迅速に行われる必要がある。
また、劇場においては、暗号鍵の配信メッセージと対応するコンテンツとがインストールされた上映装置は、決められた上映期間で自由にコンテンツを再生することが可能となる。このため、上映装置を外部に持ち出して修理するといった保守作業等の際に、保守者が自由にコンテンツの再生ができてしまうという問題があった。一方、前記の耐タンパ機能により、保守中に上映装置のコンテンツの再生機能を完全に使用不能としてしまった場合には、保守者が上映装置の上映テストを行えなくなるという問題がある。
"Digital Cinema System Specification Version 1.1" Digital Cinema Initiatives, LLC April 12, 2007 (http://www.dcimovies.com/DCI_DCinema _System_Spec_v1_1.pdf, 9.5.2.2. Physical Security of Sensitive Data ) "FIPS PUB 140-2 SECURITY REQUIREMENTS FOR CRYPTOGRAPHIC MODULES" FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION Issued May 25, 2001 (http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf ) 経済産業省委託調査 平成15年度セキュリティ評価技術等に関する調査研究 「システムLSIチップのセキュリティ評価」に関する調査研究報告書 (http://www.meti.go.jp/policy/netsecurity/downloadfiles/lsi.pdf)
DCI規格で要求されるように、暗号化されたコンテンツを復号する機能を有する上映装置に耐タンパ機能を持たせることが要求されている。
一方で、上映装置に耐タンパ機能を持たせるようにすると、この耐タンパ機能が上映装置の保守作業の障害になる可能性がある。
しかるに、従来技術では、上映装置に十分な耐タンパ機能を持たせることを実現できていないばかりか、耐タンパ機能が上映装置の保守作業の障害にならないようにすることを実現できていない。
本発明はかかる事情に鑑みてなされたものであって、暗号化されたコンテンツを復号する機能を有する上映装置において、耐タンパ機能により暗号鍵の安全性を確保すると同時に、上映装置を利用する劇場管理者および上映装置の保守作業者に対して、この耐タンパ機能により運用と保守の利便性を損なわないようにすることを実現する新たな上映装置の提供を目的とする。
この目的を達成するために、本発明の耐タンパ機能を有する上映装置は、(1)外部から送られてくる暗号化されたコンテンツおよびライセンスメッセージを保管するデータ蓄積手段と、(2)装置固有の秘密鍵を保管して、データ蓄積手段の保管するライセンスメッセージをその秘密鍵によって復号することで、コンテンツを復号するためのコンテンツ暗号鍵を取り出す秘密鍵管理手段と、(3)秘密鍵管理手段により取り出されたコンテンツ暗号鍵を用いて、データ蓄積手段の保管するコンテンツの暗号を復号するコンテンツ再生手段と、(4)装置にメインテナンス用の保守端末を接続する機能を提供する保守端末接続手段とを備える。
これに加えて、本発明の耐タンパ機能を有する上映装置は、コンテンツの暗号復号を防止し、さらに、復号されたコンテンツへのアクセスを防止し、さらに、復号されたコンテンツを外部に取り出すことを防止するために、データ蓄積手段、秘密鍵管理手段、コンテンツ再生手段および保守端末接続手段を取り囲む筐体壁を備える。
この筐体壁には、コンテンツ管理者(劇場管理者)がデータ蓄積手段の管理、保守を行うための第一の鍵付き扉が設けられるとともに、保守作業者が保守端末を保守端末接続手段に接続して保守を行うための第二の鍵付き扉が設けられる。ここで、コンテンツ管理者と保守作業者のアクセス権限を分離するため、これらの扉には異なった鍵が取り付けられる。
この構成を採るときに、保守端末からコンテンツ暗号鍵および復号されたコンテンツに対してアクセスが行われることを防止するために、第二の鍵付き扉に、この扉が開いたことを検出する検出手段が設けられることがあり、この検出手段が設けられるときには、コンテンツ再生手段は、コンテンツを再生している途中に第二の鍵付き扉が開けられた場合には、コンテンツの再生を直ちに中止するとともに、再生処理に用いていたコンテンツ暗号鍵を内部から消去するように処理する。
また、この構成を採るときに、保守端末から秘密鍵管理手段に対して違法なアクセスが行われることを防止するために、秘密鍵管理手段は、自手段の装置からの脱着を検出した場合や、自手段内部にアクセスするための物理的な操作、あるいは、定義された手続きによらないソフト上のアクセスを検出した場合には、コンテンツ再生手段に対して、コンテンツ再生を直ちに中止することを指示するとともに、再生処理に用いていたコンテンツ暗号鍵を内部から消去することを指示し、さらに自手段の保管する秘密鍵を消去するように処理する。
また、この構成を採るときに、保守作業の間にコンテンツが自由に再生されることを防止するために、第二の秘密鍵を保管して、データ蓄積手段の保管するライセンスメッセージをその第二の秘密鍵により暗号化する機能と、上映の際に、その暗号化されたライセンスメッセージをその第二の秘密鍵により復号する機能とを持つセキュリティタグを、第一の鍵付き扉の内側に脱着可能な形で装着するセキュリティタグ装着手段を備えることがある。
このセキュリティタグ装着手段に装着されるセキュリティタグの持つ機能により、セキュリティタグを装着しない状態では、ライセンスメッセージが復号できないため、対象となるコンテンツが生成不能となり、一方、セキュリティタグを装着した状態では、自動的にライセンスメッセージが復号されるため、ライセンスメッセージの暗号化処理が上映操作に影響を与えることがない。さらに、セキュリティタグは、第一の鍵付き扉を介してのみ脱着可能であるため、第一の鍵付き扉の鍵を有するコンテンツ管理者のみがコンテンツ再生に関する制限の設定を行うことができるようになる。
また、この構成を採るときに、秘密鍵管理手段において秘密鍵が消去された後、秘密鍵の再設定と公開鍵証明書の発行を行うために、秘密鍵管理手段は、秘密鍵を内部でランダムに生成して、その生成した秘密鍵とペアとなる公開鍵に基づいて公開鍵証明書の発行を依頼するメッセージを生成することがある。
このとき、セキュリティタグが装着されている場合には、セキュリティタグは、秘密鍵管理手段の生成した依頼メッセージに対して、第二の秘密鍵によって電子署名を行うように処理することがある。
この秘密鍵管理手段の持つ機能により、誤作動等により秘密鍵が消去された場合に、迅速に公開鍵証明書の発行とライセンスメッセージの発行を行うことが可能となる。
そして、セキュリティタグ内の第二の秘密鍵によって電子署名を行う機能が用意されることで、公開鍵証明書の発行依頼がセキュリティタグを有する責任者によって行われていることを保証することができるようになる。
本発明の上映装置においては、装置が筐体壁によって保護されているため、一般の操作者が装置にロードされたコンテンツや装置の管理システムに直接アクセスすることはできない。
また、筐体壁には、データ蓄積手段へのアクセスを可能とする第一の鍵付き扉と、保守端末接続手段へのアクセスを可能とする第二の鍵付き扉とが別に設けられているため、第一の鍵付き扉の鍵を保有するコンテンツ管理者のみがデータ蓄積手段にアクセスすることが可能であることを保証できるとともに、第二の鍵付き扉の鍵を保有する保守作業者のみが装置管理システムにアクセスすることが可能であることを保証できる。
また、コンテンツを再生している途中に保守作業者が第二の鍵付き扉を開いた場合には、再生中のコンテンツの暗号鍵は消去され、保守作業者が秘密鍵管理手段にアクセスしようと試みた場合には、秘密鍵管理手段の保管する秘密鍵が消去される。したがって、保守操作によってコンテンツやコンテンツ暗号鍵や秘密鍵が危険にさらされることがない。
また、コンテンツ管理者のみが取り外し可能な別の暗号鍵を有するセキュリティタグによってライセンスメッセージを暗号化することにより、保守の際にコンテンツが自由に再生されることを防止することができる。また、セキュリティタグを用いることにより、セキュリティタグを有する責任者によって行われていることを保証する公開鍵証明書の再発行の依頼メッセージを生成することができる。
以下、実施の形態に従って本発明を詳細に説明する。
図1に、本発明により構成される耐タンパ機能を有する上映装置1の一実施形態例を図示する。
この図に示すように、本発明の上映装置1は、外部から送られてくる暗号化されたコンテンツおよびライセンスメッセージを保管するデータ蓄積手段10と、装置固有の秘密鍵を保管して、データ蓄積手段10の保管するライセンスメッセージをその秘密鍵によって復号することで、コンテンツを復号するためのコンテンツ暗号鍵を取り出す秘密鍵管理手段11と、秘密鍵管理手段11により取り出されたコンテンツ暗号鍵を用いて、データ蓄積手段10の保管するコンテンツの暗号を復号するコンテンツ再生手段12と、装置のメインテナンス時に、装置にメインテナンス用の保守端末を接続する機能を提供する保守端末接続手段13と、装置の動作を制御する装置管理システム14と、上映時に、上映操作装置を接続する上映操作インタフェース15とを備えるともに、それらを取り囲む筐体壁20によって構成される。
そして、この筐体壁20には、コンテンツ管理者がデータ蓄積手段10の管理、保守を行うための第一の鍵付き扉21が設けられるとともに、保守作業者が保守端末を保守端末接続手段13に接続して保守を行うための第二の鍵付き扉23が設けられる。ここで、コンテンツ管理者と保守作業者のアクセス権限を分離するため、これらの扉には異なった鍵が取り付けられ、さらに、第一の鍵付き扉21には、その扉の開閉を検出する第一の扉用開閉検出センサ22が設けられ、第二の鍵付き扉23には、その扉の開閉を検出する第二の扉用開閉検出センサ24が設けられる。
図2に、本発明の上映装置1において、上映を行うときの動作を図示する。
ここで、上映時には、第一の鍵付き扉21および第二の鍵付き扉23の扉は閉じられて、鍵がかけられている状態にある。
この図に示すように、上映時には、上映操作インタフェース15は、たとえばLANやシリアル端子を介して上映操作端末100に接続され、上映オペレータは、この上映操作端末100の操作パネルから上映操作を行う。ここで、上映操作端末100からは、上映にかかわる限られた操作のみが行えるように制限されている。
本発明の上映装置1では、上映操作端末100から上映が指示されると、まず、秘密鍵管理手段11は、データ蓄積手段10からライセンスメッセージ(公開鍵で暗号化されている)を読み出し、その読み出したライセンスメッセージから、自手段内に保管している秘密鍵によってコンテンツを復号するための暗号鍵(コンテンツ暗号鍵)を取り出して、コンテンツ再生手段12にロードする。
このコンテンツ暗号鍵のロードを受けて、続いて、コンテンツ再生手段12は、データ蓄積手段10からコンテンツを読み出し、その読み出したコンテンツをロードされたコンテンツ暗号鍵で復号することで、コンテンツのデータを再生する。
このようにして、本発明の上映装置1は、上映動作に入ると、ライセンスメッセージの復号処理をリアルタイムに実行するとともに、その実行により取り出したコンテンツ暗号鍵を用いて、コンテンツの復号処理をリアルタイムに実行するのである。
この上映動作時に、本発明の上映装置1は筐体壁20により外部から保護されていることから、コンテンツ暗号鍵および復号されたコンテンツを外部から取り出すことはできない。
図3に、本発明の上映装置1において、データ蓄積手段10の管理を行うときの動作を図示する。
ここで、データ蓄積手段10の管理を行うときには、第二の鍵付き扉23の扉は閉じられて、鍵がかけられている状態にある。
コンテンツ管理者(データ蓄積手段10にアクセスする権限を有する者)は、筐体壁20に設けられた第一の鍵付き扉21の鍵を保有し、この扉を介して、データ蓄積手段10へのコンテンツやライセンスメッセージのロード等の操作を行うことができる。
さらに、本発明の上映装置1において、データ蓄積手段10は通常冗長構成をとるディスクシステムによって構成されるが、コンテンツ管理者は、第一の鍵付き扉21を介して、破損したディスクの交換、あるいは、冗長ディスクシステムの再構築などのメインテナンス作業を行うことができる。
ここで、第一の鍵付き扉21からは、データ蓄積手段10にアクセスすることのみが可能で、システム内部の装置管理システム14、コンテンツ再生手段12、秘密鍵管理手段11等にアクセスすることができないようになっている。
このようにして、本発明の上映装置1では、第一の鍵付き扉21の鍵を保有するコンテンツ管理者のみが、データ蓄積手段10の管理を行うことができる。
図4に、本発明の上映装置1において、装置の保守を行うときの動作を図示する。
ここで、装置の保守を行うときには、第一の鍵付き扉21の扉は閉じられて、鍵がかけられている状態にある。
保守作業者(保守端末接続手段13に保守端末200を接続できる権限を有する者)は、筐体壁20に設けられた第二の鍵付き扉23の鍵を保有し、装置が故障した場合、この扉を介して、保守端末接続手段13に保守端末200を接続して、この保守端末200を介して、装置の障害発生時の対応やメインテナンス作業を行うことができる。
ここで、保守端末200からは、データ蓄積手段10にはアクセスすることができないようになっている。
このようにして、本発明の上映装置1では、第二の鍵付き扉23の鍵を保有する保守作業者のみが、装置の保守を行うことができる。
上述したように、第一の鍵付き扉21の鍵と第二の鍵付き扉23の鍵とは異なっており、これから、保守作業者は、第一の鍵付き扉21の扉を開くことができないことで、データ蓄積手段10にアクセスすることはできない。また、コンテンツ管理者は、第二の鍵付き扉23の扉を開くことができないことで、装置管理システム14にアクセスすることはできない。そして、一般の上映オペレータは、両方の鍵を持たないため、限られた上映操作インターフェース15のみにアクセスが可能である。
図5に、本発明の上映装置1において、上映中に第二の鍵付き扉23が開けられたときの動作を図示する。
第二の鍵付き扉23の鍵を保有するのは保守作業者であり、保守作業者が上映中に第二の鍵付き扉23を開くことは許されない。
これから、第二の扉用開閉検出センサ24が上映中に第二の鍵付き扉23が開いたことを検出すると、コンテンツ再生手段12は、コンテンツの再生を中止し、ロードされたコンテンツ暗号鍵を消去する。それと同時に、秘密鍵管理手段11は、ライセンスメッセージよりコンテンツ暗号鍵を取り出す操作を中止する。
このため、保守作業者は、コンテンツ暗号鍵および復号されたコンテンツのデータにアクセスすることができない。
図6に、本発明の上映装置1において、保守作業者が保守端末200を介して秘密鍵管理手段11にアクセスを試みたときの動作を図示する。
保守作業者が秘密鍵管理手段11にアクセスすることは許されない。保守端末200を介した違法なアクセスも許されないし、物理的にアクセスすることも許されない。
これから、保守作業者が、秘密鍵管理手段11に対して、秘密鍵管理手段11を構成するセキュリティモジュールの取り外しや、物理的なアクセスや、装置管理システム14との間に設けられたインターフェースを介して許可された形式以外のアクセスを行ったことが検出されると、秘密鍵管理手段11は、保管する秘密鍵および秘密情報を消去(削除)する。さらに、秘密鍵管理手段11は、コンテンツ再生手段12に対して、コンテンツ再生を直ちに中止することを指示するとともに、再生処理に用いていたコンテンツ暗号鍵を内部から消去することを指示する。
このため、保守作業者は、秘密鍵を取り出すことができないとともに、コンテンツ暗号鍵および復号されたコンテンツのデータにアクセスすることができない。
図7および図8に、第二の秘密鍵を保管するセキュリティタグ300を用いるときの動作を図示する。
図5で説明したように、本発明の上映装置1は、上映中に第二の鍵付き扉23が開けられた場合には、その上映を中止する機能を有する。しかしながら、第二の鍵付き扉23が開けられている状態においてコンテンツの再生を禁止した場合、秘密鍵管理手段11、コンンテンツ再生手段12を含めた装置の機能テストを行うことができないため、メインテナンス作業に支障をきたす。一方、ライセンスメッセージを自由に使ってコンテンツの再生をできるようにした場合、保守作業者が任意のコンテンツにアクセスすることが可能になるという不都合が生ずる。
そこで、この問題を解決するために、本発明の上映装置1は、コンテンツ管理者のみがアクセス可能な第一の鍵付き扉21の内部に、第二の秘密鍵を保管するセキュリティタグ300(第二の秘密鍵を用いた暗号化機能や復号機能を持つモジュール)を着脱自在に装着するインターフェースを設ける。
このセキュリティタグ300が装着された状態では、図7に示すように、装置にロードされるライセンスメッセージはセキュリティタグ300に保管される第二の秘密鍵によって暗号化されて、データ蓄積手段10に保管されることになる。
そして、セキュリティタグ300を装着した状態において再生を実行した場合には、図8に示すように、セキュリティタグ300の第二の秘密鍵によって暗号化されたライセンスメッセージがその第二の秘密鍵を使って自動的に復号され(まだ公開鍵によって暗号化された状態にある)、これが秘密鍵管理手段11で復号されることによりコンテンツ暗号鍵が取り出される。このため、通常の上映操作とまったく変わらない操作でコンテンツの上映が可能である。
一方、セキュリティタグ300を外した場合には、暗号化されたライセンスメッセージは復号できなくなるため、そのコンテンツの上映を行うことができなくなる。
この仕組みにより、コンテンツ管理者は、第一の鍵付き扉21を開いた状態で、コンテンツを再生することができるようになる。そして、保守作業者は、コンテンツ管理者の了解の下、メインテナンス作業のために、コンテンツを再生することができるようになる。そして、第一の鍵付き扉21のアクセス権限を有するコンテンツ管理者が再生可能なコンテンツについて制限を加えることが可能となる。
図6で説明したように、保守作業者が保守端末200を介して秘密鍵管理手段11にアクセスを試みた場合には、秘密鍵管理手段11は秘密鍵を消去する。
公開鍵によってコンテンツ暗号鍵を暗号化したライセンスメッセージを利用する本発明の上映装置1のような上映装置では、秘密鍵を消去した場合には、公開鍵証明書を再発行して、ライセンスメッセージの発行元に通知する必要がある。
一般的には、この操作は、上映装置をメーカに返送して秘密鍵の再設定を行う手続きを含むため、誤操作や誤動作によって秘密鍵が消去されてしまった場合には、長時間、上映が不可能となる可能性がある。
そこで、本発明の上映装置1は、これを解決する手段として、装置内部で信頼できる公開鍵証明書の発行依頼メッセージを生成する手段を設けるようにしている。
すなわち、図9に示すように、秘密鍵管理手段11は、乱数生成手段110、鍵ペア生成手段111、秘密鍵保管手段112、公開鍵保管手段113、装置ID保管手段114および公開鍵証明書発行要求メッセージ生成手段155を備え、セキュリティタグ300は、タグ秘密鍵保管手段3000、メッセージ電子署名生成手段3001およびタグ公開鍵証明書生成手段3002を備える。
この構成に従って、まず、秘密鍵管理手段11の内部で鍵ペアを生成し、それに基づいて公開鍵証明書発行要求メッセージを生成する。本発明の上映装置1においては、この発行要求メッセージに対して、さらにセキュリティタグ300のタグ秘密鍵(第二の秘密鍵)により電子署名を行うことができる。
公開鍵証明書の発行機関では、メッセージに含まれる装置ID情報およびセキュリティタグ300の電子署名により、発行依頼が正当な装置およびその所有者によって行われたものであることを確認することが可能である。さらに、メッセージの生成操作を上述した保守端末200からの操作に限定することにより、保守作業者とコンテンツ管理者の両者の同意があってはじめて公開鍵証明書発行要求メッセージが生成できるように制限を加えることも可能である。
次に、本発明の特徴についてまとめる。
本発明の第一の特徴は、耐タンパ機能を有する上映装置1において、コンテンツの再生を制限する第一のアクセス制限手段と、コンテンツを格納したディスクへのアクセスを制限する第二のアクセス制限手段と、装置の保守端末200を接続するための接続端子へのアクセスを制限する第三のアクセス制限手段と、装置に内蔵された秘密情報に対してアクセスすることを制限する第四のアクセス制限手段という4つのアクセス制限手段を設けることである。
本発明の第二の特徴は、コンテンツの再生を制限する第一のアクセス制限手段として、上映装置1に装着可能なセキュリティタグ300と、上映装置1にロードされたライセンスメッセージをセキュリティタグ300内に保管される暗号鍵(第二の秘密鍵)によって暗号化する手段を設けることである。
本発明の第三の特徴は、コンテンツを格納したディスクへのアクセスを制限する第二のアクセス制限手段として、コンテンツを格納したディスクへのアクセス、および、セキュリティタグ300を装置に装着するインターフェース部に対するアクセスを制限する鍵付き扉(第一の鍵付き扉21)を設けることである。
本発明の第四の特徴は、装置の保守端末200を接続するための接続端子へのアクセスを制限する第三のアクセス制限手段として、装置の保守端末200を接続するための接続端子へのアクセスを制限する鍵付き扉(第二の鍵付き扉23)を設けることと、この扉が開いたときにコンテンツの再生が行われていた場合に、コンテンツの再生を中止し、コンテンツ暗号鍵情報を破棄することである。
本発明の第五の特徴は、装置に内蔵された秘密情報に対してアクセスすることを制限する第四のアクセス制限手段として、耐タンパ検出機能を有するモジュール(秘密鍵管理手段11)内に秘密情報を保管し、モジュールへのアクセスが検出された場合に、内部の秘密情報を消去することである。
これらの本発明の特徴により、本発明によれば、次のような効果を得ることができるようになる。
すなわち、本発明では、第一の特徴により、コンテンツの再生、コンテンツディスクへのアクセス、保守端末200による装置へのアクセス、装置の内部鍵(秘密鍵やコンテンツ暗号鍵)を取り出そうとする攻撃という4種類のレベルについて情報が保護される。
また、本発明では、第二の特徴により、装置にセキュリティタグ300が装着されていない状態では、ライセンスメッセージを解読することができないため、コンテンツの上映に制限を加えることができる。そして、セキュリティタグ300を劇場管理者(コンテンツ管理者)が管理することにより、保守作業者が自由に上映装置1内のコンテンツを再生することを阻止することが可能である。なお、ライセンスメッセージ自体は、装置の秘密鍵が無いと復号できないため、本特徴によりライセンス管理の仕組み自体が影響を受けることはない。
また、本発明では、第三の特徴により、コンテンツディスクおよびセキュリティタグ300の接続端子にアクセスできるのを劇場管理者(コンテンツ管理者)に制限することが可能であり、保守作業者は、コンテンツへのアクセスおよび再生を自由に行うことはできない。
また、本発明では、第四の特徴により、装置に保守端末200を接続できるのを保守作業者に制限することが可能であり、劇場管理者(コンテンツ管理者)は、装置内部の保守機能にアクセスすることができない。さらに、上映中に保守端末200を保護する扉を開けた場合には、上映が停止し、使用中のコンテンツ暗号鍵は上映装置1から消去されるため、保守作業者が内部にアクセスしてコンテンツ暗号鍵を取り出すことはできない。
また、本発明では、第五の特徴により、装置の秘密鍵情報に対してアクセスしようとした場合には、秘密鍵情報自体が消去されるため、装置にロードされたライセンスメッセージを利用してコンテンツの再生を行うことはできない。
本発明の上映装置の一実施形態例である。 上映を行うときの動作を示す図である。 データ蓄積手段の管理を行うときの動作を示す図である。 装置の保守を行うときの動作を示す図である。 上映中に第二の鍵付き扉が開けられたときの動作を示す図である。 保守作業者が秘密鍵管理手段にアクセスを試みたときの動作を示す図である。 セキュリティタグを用いるときの動作を示す図である。 セキュリティタグを用いるときの動作を示す図である。 公開鍵証明書の発行依頼メッセージの生成処理の説明図である。
符号の説明
1 上映装置
10 データ蓄積手段
11 秘密鍵管理手段
12 コンテンツ再生手段
13 保守端末接続手段
14 装置管理システム
15 上映操作インタフェース
20 筐体壁
21 第一の鍵付き扉
22 第一の扉用開閉検出センサ
23 第二の鍵付き扉
24 第二の扉用開閉検出センサ

Claims (6)

  1. 外部から送られてくる暗号化されたコンテンツおよびライセンスメッセージを保管するデータ蓄積手段と、
    装置固有の秘密鍵を保管して、前記データ蓄積手段の保管するライセンスメッセージを該秘密鍵によって復号することで、コンテンツを復号するためのコンテンツ暗号鍵を取り出す秘密鍵管理手段と、
    前記秘密鍵管理手段により取り出されたコンテンツ暗号鍵を用いて、前記データ蓄積手段の保管するコンテンツの暗号を復号するコンテンツ再生手段と、
    装置にメインテナンス用の保守端末を接続する機能を提供する保守端末接続手段と、
    前記データ蓄積手段、前記秘密鍵管理手段、前記コンテンツ再生手段および前記保守端末接続手段を取り囲む壁で構成されて、装置外部からそれらの各手段にアクセスすることを防止する機能と、前記データ蓄積手段にアクセスすることを許可する第一の鍵付き扉と、前記保守端末接続手段にアクセスすることを許可する該第一の鍵付き扉の鍵とは異なる鍵を持つ第二の鍵付き扉とを有する筐体壁とを備えることを、
    特徴とする耐タンパ機能を有する上映装置。
  2. 請求項1に記載の耐タンパ機能を有する上映装置において、
    前記コンテンツ再生手段は、コンテンツを再生している途中に前記第二の鍵付き扉が開けられた場合には、コンテンツの再生を直ちに中止するとともに、再生処理に用いていたコンテンツ暗号鍵を内部から消去することを、
    特徴とする耐タンパ機能を有する上映装置。
  3. 請求項1に記載の耐タンパ機能を有する上映装置において、
    前記秘密鍵管理手段は、自手段の装置からの脱着を検出した場合や、自手段内部にアクセスするための物理的な操作、あるいは、定義された手続きによらないソフト上のアクセスを検出した場合には、前記コンテンツ再生手段に対して、コンテンツ再生を直ちに中止することを指示するとともに、再生処理に用いていたコンテンツ暗号鍵を内部から消去することを指示し、さらに自手段の保管する秘密鍵を消去することを、
    特徴とする耐タンパ機能を有する上映装置。
  4. 請求項1ないし3のいずれか1項に記載の耐タンパ機能を有する上映装置において、
    第二の秘密鍵を保管して、前記ライセンスメッセージを該第二の秘密鍵により暗号化する機能と、上映の際に、その暗号化されたライセンスメッセージを該第二の秘密鍵により復号する機能とを持つセキュリティタグを、前記第一の鍵付き扉の内側に脱着可能な形で装着するセキュリティタグ装着手段を備えることを、
    特徴とする耐タンパ機能を有する上映装置。
  5. 請求項1に記載の耐タンパ機能を有する上映装置において、
    前記秘密鍵管理手段は、秘密鍵を内部でランダムに生成して、その生成した秘密鍵とペアとなる公開鍵に基づいて公開鍵証明書の発行を依頼するメッセージを生成することを、
    特徴とする耐タンパ機能を有する上映装置。
  6. 請求項4に記載の耐タンパ機能を有する上映装置において、
    前記秘密鍵管理手段は、秘密鍵を内部でランダムに生成して、その生成した秘密鍵とペアとなる公開鍵に基づいて公開鍵証明書の発行を依頼するメッセージを生成し、
    前記セキュリティタグは、前記依頼メッセージに対して、前記第二の秘密鍵によって電子署名を行うことを、
    特徴とする耐タンパ機能を有する上映装置。
JP2007260456A 2007-10-04 2007-10-04 耐タンパ機能を有する上映装置 Active JP4676473B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007260456A JP4676473B2 (ja) 2007-10-04 2007-10-04 耐タンパ機能を有する上映装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007260456A JP4676473B2 (ja) 2007-10-04 2007-10-04 耐タンパ機能を有する上映装置

Publications (2)

Publication Number Publication Date
JP2009094590A true JP2009094590A (ja) 2009-04-30
JP4676473B2 JP4676473B2 (ja) 2011-04-27

Family

ID=40666155

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007260456A Active JP4676473B2 (ja) 2007-10-04 2007-10-04 耐タンパ機能を有する上映装置

Country Status (1)

Country Link
JP (1) JP4676473B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015045983A (ja) * 2013-08-28 2015-03-12 Necプラットフォームズ株式会社 耐タンパ装置、及び方法
JP2016163250A (ja) * 2015-03-04 2016-09-05 日本電気株式会社 電子装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002118834A (ja) * 2000-10-10 2002-04-19 Sony Corp データ配信システム、サーバ装置、再生装置、データ配信方法、データ再生方法、記憶媒体、制御信号、及び伝送データ信号
JP2003186752A (ja) * 2001-12-20 2003-07-04 Matsushita Electric Ind Co Ltd 耐タンパー装置
WO2006006976A1 (en) * 2004-06-17 2006-01-19 Dolby Laboratories Licensing Corporation Network topology and method of operation for a playback system in a digital cinema network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002118834A (ja) * 2000-10-10 2002-04-19 Sony Corp データ配信システム、サーバ装置、再生装置、データ配信方法、データ再生方法、記憶媒体、制御信号、及び伝送データ信号
JP2003186752A (ja) * 2001-12-20 2003-07-04 Matsushita Electric Ind Co Ltd 耐タンパー装置
WO2006006976A1 (en) * 2004-06-17 2006-01-19 Dolby Laboratories Licensing Corporation Network topology and method of operation for a playback system in a digital cinema network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015045983A (ja) * 2013-08-28 2015-03-12 Necプラットフォームズ株式会社 耐タンパ装置、及び方法
JP2016163250A (ja) * 2015-03-04 2016-09-05 日本電気株式会社 電子装置

Also Published As

Publication number Publication date
JP4676473B2 (ja) 2011-04-27

Similar Documents

Publication Publication Date Title
TW470889B (en) Computer system and contents protecting method
CN101286340B (zh) 可安全执行被加密程序的方法与系统
US8280818B2 (en) License source component, license destination component, and method thereof
US10592641B2 (en) Encryption method for digital data memory card and assembly for performing the same
US20060212670A1 (en) Protection of content stored on portable memory from unauthorized usage
JP2005505885A (ja) 安全な1つのドライブによるコピー方法および装置
KR20000068832A (ko) 콘텐트 정보와 이와 관련된 추가 정보를 전송하는 시스템
JP2000138664A (ja) 公開キ―暗号方式を利用したコンテンツの保護方法
JP2008009631A (ja) 記憶装置及び記憶方法
US20090052671A1 (en) System and method for content protection
US20070162393A1 (en) Apparatus and method for preventing unauthorized copying
JP2008005408A (ja) 記録データ処理装置
US20060130156A1 (en) Digital self-erasure of key copy-protected storage
US7975141B2 (en) Method of sharing bus key and apparatus therefor
JP4676473B2 (ja) 耐タンパ機能を有する上映装置
US10936701B2 (en) Method and system for conditional access via license of proprietary functionality
ES2600512T3 (es) Método para proteger contenidos de datos
JP2005530293A (ja) 安全な格納のためのシステム
JP2007220134A (ja) ライセンス委譲装置、記録媒体およびライセンス委譲方法
JP2005346150A (ja) 情報処理装置、情報処理方法、プログラム及び記録媒体
JP2002182984A (ja) データ処理装置
JP5180362B1 (ja) コンテンツ再生装置およびコンテンツ再生プログラム
JP2006506762A (ja) セキュアなローカルコピープロテクション
JP4379241B2 (ja) 録画再生機器
JP2006229672A (ja) コンテンツ再生装置、セキュア処理プログラム、セキュア処理プログラムが記録された記録媒体、権利管理プログラム、及び権利管理プログラムが記録された記録媒体

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100331

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110125

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110127

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140204

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4676473

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350