JP2009521845A - セキュアなモジュール復号化ポリシーによる放送セッションキーの使用制限法 - Google Patents
セキュアなモジュール復号化ポリシーによる放送セッションキーの使用制限法 Download PDFInfo
- Publication number
- JP2009521845A JP2009521845A JP2008547423A JP2008547423A JP2009521845A JP 2009521845 A JP2009521845 A JP 2009521845A JP 2008547423 A JP2008547423 A JP 2008547423A JP 2008547423 A JP2008547423 A JP 2008547423A JP 2009521845 A JP2009521845 A JP 2009521845A
- Authority
- JP
- Japan
- Prior art keywords
- broadcast
- media stream
- access policy
- key
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
- H04N7/165—Centralised control of user terminal ; Registering at central
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4623—Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4627—Rights management associated to the content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/633—Control signals issued by server directed to the network components or client
- H04N21/6332—Control signals issued by server directed to the network components or client directed to client
- H04N21/6334—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
- H04N21/63345—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key by transmitting keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/83—Generation or processing of protective or descriptive data associated with content; Content structuring
- H04N21/835—Generation of protective data, e.g. certificates
- H04N21/8355—Generation of protective data, e.g. certificates involving usage data, e.g. number of copies or viewings allowed
Landscapes
- Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
加入者群に亙った加入者単位基盤での放送コンテンツへのアクセスを制限もしくは増大させるための方法を提供する。これらの加入者群のすべては、それらの放送コンテンツへの有効なコンテンツアクセスキーを持ち、なおコンテンツアクセスキーの配布と放送データ自体に連関するトラフィックキーの放送とのための現行の標準的スキームおよびプロトコルを変更する必要が無く、しかも、データを処理するアプリケーションを信頼する必要が無い。装置でマルチメディア放送を扱う方法には、トラフィックキーを用いて暗号化されたメディアストリーム中の放送コンテンツを受信するステップと、セッションキーを用いて暗号化されたトラフィックキーを受信するステップと、トラフィックキーおよびセッションキーを用いて暗号化された放送属性を受信するステップとが含まれる。なお、装置によるメディアストリームの使用は、放送属性と、装置のアクセスポリシーとを使って制御されている。
【選択図】図1
【選択図】図1
Description
〔関連出願との相互参照〕
本出願は、provisional application 60/752,060(2005年12月21日出願)の利益を主張する。
本出願は、provisional application 60/752,060(2005年12月21日出願)の利益を主張する。
〔技術分野〕
本発明は、セキュアなマルチメディアおよびデータの放送(broadcast)に関する。より具体的には本発明は、加入者(会員)毎の基盤での放送へのアクセス制限を、すべての加入者が有効なコンテンツアクセスキーを有しつつ行う方法、に関する。
本発明は、セキュアなマルチメディアおよびデータの放送(broadcast)に関する。より具体的には本発明は、加入者(会員)毎の基盤での放送へのアクセス制限を、すべての加入者が有効なコンテンツアクセスキーを有しつつ行う方法、に関する。
放送コンテンツ(番組)へのアクセス制限は、コンテンツの配信者(プロバイダー)にとってきわめて重要なことである。しかし、放送セッションキーを使った現行のスキームは柔軟性に欠け、別々のコンテンツ加入者が各々カスタマイズしたアクセスをすることができない。現行のスキームでは、特定のサービスの認証済加入者全員が同レベルのアクセスをすることになり、コンテンツ配信者が、特定の加入者へのサービスを制限もしくは増大させることはできない。加入者群の全員へ放送セッションキーを伝達する作業に、高い費用とリソースの集約を要するような環境の場合には、こうしたグローバル(汎)伝送の間での特定の加入者に関するコンテンツセッションキーの挙動を変更できるならば、コンテンツ配信者にとって重大な意義となりえる。この類の加入者特定制限についての現実世界での例としては、放送コンテンツへのアクセスを特定の時間に制限することかもしくは加入者の居所に応じて制限すること、あるいは、コンテンツの級別に従いアクセスを制限すること、あるいは、単にセッションキーの次の汎伝送の前に加入者のコンテンツへのアクセスを満了させること、が含まれる。
普通、放送セッションキーは、粒度の大きなサービス保護を行うために使う。放送セッションキーの配布に際しては通常、各ユーザーが、加入管理手(サブスクリプションマネージャー)によるpoint-to-point認証を受けて、キーを得る必要がある。放送セッションキーを加入基盤全体へと配布する上で要求されるトラフィックのため、キーの配布はかなり疎らである。
セッションキーは、付随するコンテンツをどのように使用できるかを記述した権限(rights)オブジェクトと併せてひとまとめにされていることもある。権限オブジェクトは通常、全コンテンツオブジェクト(放送マルチメディアストリーム、放送ファイル、データファイル、もしくは何らかの他のコンテンツ型)を記述している。マルチメディアストリームの場合には、権限オブジェクトが、セッションキーの持続期間全体に亙り適用可能となっている。
ストリームを受信するすべての放送クライアントが、権限オブジェクトを実行する信頼性を有しているときには、権限オブジェクトは有用である。しかしながらそうでない場合(クライアントが信頼されていないアプリケーションを実行しているような場合など)というのもありえるわけである。こうした場合に備えて、クライアント別の秘密(client-specific secret; CSS)を放送ネットワーク基幹と共有しているセキュアモジュール(SM)を、放送クライアントに持たせるようにするべきである。すると、セッションキーを、共有した秘密を使って何らかの体系に沿って暗号化でき、アプリケーション自体ではキーを復号化できないようになる。
メディアストリームは、ものの数秒だけ有効であるような頻変化トラフィックキーを使って暗号化される。こうしたトラフィックキーはセッションキーを使って暗号化され、通常はメディアストリームとは分けて放送される。メディアストリームのパケットには、どのトラフィックキーを使って暗号化されたかを示すタグが付されている。アプリケーションがアクセスした暗号化されたセッションキーを用いて、トラフィックキーを復号化するよう、放送クライアントはSMに要請する。CSSを知るのはSMだけなので、SMは(単独でも)トラフィックキーを復号化できる。そうして復号化されたトラフィックキーを使い、メディアストリームのパケット群から成る組を復号化する。そうした組には通常、新しいトラフィックキーが求められるようになるまでに百個以上のパケットが含まれる。
こうした機構の目的は以下を保証することである。すなわち、悪質なアプリケーションの仕業でトラフィックキーが他者に共有されてしまった場合であっても、こうしたトラフィックキーが短時間だけ有効であるようにして、そのような短時間では、トラフィックキーが、未認証である別の放送クライアント(セットトップボックスや携帯端末など)に、利を得る上で充分な時間に亙り共有されてしまうことがおよそありえないようにする、ということである。
しかしながら、この旧来の機構では、加入者単位基盤でのセッションキーの使用制限ができなかった。このため、放送コンテンツに対し耐タンパー的に粒度の細かい制御ができるトラフィックキーを使って、放送コンテンツを保護する機能が求められている。
本発明では、加入者群に亙った加入者単位基盤での放送コンテンツへのアクセスを制限もしくは増大させるための方法を提供する。これらの加入者群のすべては、それらの放送コンテンツへの有効なコンテンツアクセスキーを持ち、なおコンテンツアクセスキーの配布と放送データ自体に連関するトラフィックキーの放送とのための現行の標準的スキームおよびプロトコルを変更する必要が無く、しかも、データを処理するアプリケーションを信頼する必要が無い。こうしたことは、二つの機構を用いて実現される。第一の機構は、加入者を特定した耐タンパーなアクセスポリシーを、加入者が放送アクセスキーを得る際に伝達するものである。このポリシーには、時間、位置、コンテンツの級別、もしくは、放送チャンネルと直接関係する他の仕様に基づく使用制限を記述できる。第二の機構は、放送自体を伝達するときに、その放送に関する属性も、トラフィックキーと共にかもしくはトラフィックキーに埋め込んで、耐タンパー的に送信するものである。そしてその属性を使って、アクセスポリシーに記述された条件が満たされているかどうかを判断する。放送属性は特定のトラフィックキーに対応するので、受信装置上のアプリケーションはこの放送属性を改竄できず、しかも、非対応の放送属性を使ってトラフィックキーを首尾よく復号化することもできない。付加的な装置、およびユーザー別のプロファイルデータを、こうした放送属性と組み合わせることで、アクセスポリシーを評価することもできる。アクセスポリシーが満たされている場合に限り、ユーザーが放送コンテンツを視聴するかもしくは何らかの方法で利用することができるようになる。
装置でマルチメディア放送を視聴する方法には、トラフィックキーを用いて暗号化されたメディアストリーム中の放送コンテンツを受信するステップと、セッションキーを用いて暗号化されたトラフィックキーを受信するステップと、トラフィックキーおよびセッションキーを用いて暗号化された放送属性を受信するステップとが含まれる。なお、装置によるメディアストリームの使用法は、放送属性と、装置のアクセスポリシーとを使って制御されている。
アクセスポリシーにより、メディアストリームの使用制限を定義できる。メディアスト
リームの視聴に関して定義された制限を、加入者毎の基盤に対して適用することもできる。本方法には、放送属性を使って、現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップと、現在の放送についてアクセスポリシーが満たされていない場合にトラフィックキーの復号化を阻止するステップと、を含めることもできる。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、装置のユーザーの年齢、および、放送コンテンツの級別に基づいてもよい。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、地理的領域に基づいてもよい。こうした地理的領域としては、都市、路線、空港、公共交通駅、競技場、遊園地、美術館/博物館、ならびに、商業上の公共的/私的地点、のうちのひとつ以上が含まれうる。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、時刻に基づいたものであってもよい。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、メディアストリームに含まれる付加的なデータに基づいてもよい。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、特定のメンバーのみが利用可能である放送コンテンツに含まれる付加的なデータに基づいてもよい。こうした付加的なデータとしては以下に挙げるうちのひとつ以上を含めることができる。即ち、仮想スポーツeven情報(fantasy sporting even information)、スポーツイベント情報、キャラクターもしくはそうしたキャラクターを演ずる役者についての情報、場所や小道具についての情報、放送コンテンツの製作に携わる脚本家、ディレクター、プロデューサーその他に関する情報、放送コンテンツに関してのコメンタリー、ならびに、放送コンテンツのための別の言語、が含まれうる。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、ユーザーの加入の満了についての情報に基づく。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、ユーザーに対し特定の放送ストリームの視聴を一定の時間(復号化されたトラフィックキーの計数に基づくものとしてよい)のみ許可することに基づく。
リームの視聴に関して定義された制限を、加入者毎の基盤に対して適用することもできる。本方法には、放送属性を使って、現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップと、現在の放送についてアクセスポリシーが満たされていない場合にトラフィックキーの復号化を阻止するステップと、を含めることもできる。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、装置のユーザーの年齢、および、放送コンテンツの級別に基づいてもよい。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、地理的領域に基づいてもよい。こうした地理的領域としては、都市、路線、空港、公共交通駅、競技場、遊園地、美術館/博物館、ならびに、商業上の公共的/私的地点、のうちのひとつ以上が含まれうる。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、時刻に基づいたものであってもよい。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、メディアストリームに含まれる付加的なデータに基づいてもよい。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、特定のメンバーのみが利用可能である放送コンテンツに含まれる付加的なデータに基づいてもよい。こうした付加的なデータとしては以下に挙げるうちのひとつ以上を含めることができる。即ち、仮想スポーツeven情報(fantasy sporting even information)、スポーツイベント情報、キャラクターもしくはそうしたキャラクターを演ずる役者についての情報、場所や小道具についての情報、放送コンテンツの製作に携わる脚本家、ディレクター、プロデューサーその他に関する情報、放送コンテンツに関してのコメンタリー、ならびに、放送コンテンツのための別の言語、が含まれうる。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、ユーザーの加入の満了についての情報に基づく。放送属性を使って現在の放送コンテンツについてアクセスポリシーが満たされているかどうかを評定するステップは、ユーザーに対し特定の放送ストリームの視聴を一定の時間(復号化されたトラフィックキーの計数に基づくものとしてよい)のみ許可することに基づく。
また本方法は、放送属性、ローカルの装置情報、ユーザープロファイル情報、および履歴情報、のうちのひとつ以上を使って、アクセスポリシーが現在の放送について満たされているかを評定するステップと、アクセスポリシーが現在の放送について満たされていない場合には、トラフィックキーの復号化を阻止するステップと、を含むこともできる。こうした放送としては、装置上のアプリケーションが使うデータが含まれうる。またこうした装置は、メディアストリームを表示可能であるかもしくはその他のやりかたでメディアストリームを使用可能な携帯装置であってもよい。セッションキーおよびアクセスポリシーを使って、各々に関する権限が異なっているようなひとつ以上の関連するメディアストリームまたは放送チャンネルへのアクセスを、可能にするかもしくは制限することが可能である。アクセスポリシーを、装置が受信してセキュアに保存しておくことで、装置上のアプリケーションがこのアクセスポリシーを操作して、メディアストリームの復号化をするために使うことができなくなる。さらには、アクセスポリシーを装置のユーザーへ提示するという目的、あるいは、ユーザーがメディアストリームもしくは放送チャンネルへのアクセス権を得るためのユーザーインターフェイスか、または、ユーザーがメディアストリームもしくは放送チャンネルを視聴するためのユーザーインターフェイスを改変するという目的、のうちの少なくともひとつ以上を含んだ目的を以って、装置上のアプリケーションがこうしたアクセスポリシーを利用できるようにすることもまた可能である。このようなアクセスポリシーには、パラメータ値の組、パラメータ値の区域の組、正規表現の組、マッチングpredicate、もしくはマッチングアルゴリズム、のうちのひとつ以上を含めることができる。
また本方法は、放送属性を使ってトラフィックキーを暗号化し、この放送属性をトラフ
ィックキーに束縛することで、装置上のすべてのアプリケーションがトラフィックキーも放送属性も編集できないようにして、メディアストリームを成功裡に復号化できるようにするステップをさらに含むこともできる。また、トラフィックキーを用いて暗号化された放送属性が、トラッフィックキーを自身に束縛することで、装置上のすべてのアプリケーションがトラフィックキーも放送属性も編集できないようにして、メディアストリームを成功裡に復号化できるようにすることも可能である。放送属性に基づいてユーザーインターフェイスを編集することか、もしくは何らかの他の手法で放送属性のユーザーへと報知することを含んだ目的を以って、装置上のアプリケーションが、トラフィックキーを用いて暗号化された放送属性を利用できるようにしてもよい。装置上のアプリケーションが、対応していない放送属性およびトラフィックキーを使うことができないようにして、首尾よくアクセスポリシーを満たしてトラフィックキーを用いてメディアストリームを復号化できないようにすることも可能である。放送属性を暗号化されたトラフィックキーに埋め込むことで、放送属性と暗号化されたトラフィックキーとが別々に受信されないようにもできる。受信される放送属性には、メディアストリームに関連するメタデータ(メディアストリームのコンテンツ型、および、メディアストリームのコンテンツ級別のうちの少なくとも一方を含む)を含めることができる。受信される放送属性には、ネットワーク環境データ("放送塔としてのもの"(as a broadcast tower)の位置、時刻、ネットワークのトラフィック情報、およびネットワークの状態データのうちの少なくともひとつを含む)を含めることができる。
ィックキーに束縛することで、装置上のすべてのアプリケーションがトラフィックキーも放送属性も編集できないようにして、メディアストリームを成功裡に復号化できるようにするステップをさらに含むこともできる。また、トラフィックキーを用いて暗号化された放送属性が、トラッフィックキーを自身に束縛することで、装置上のすべてのアプリケーションがトラフィックキーも放送属性も編集できないようにして、メディアストリームを成功裡に復号化できるようにすることも可能である。放送属性に基づいてユーザーインターフェイスを編集することか、もしくは何らかの他の手法で放送属性のユーザーへと報知することを含んだ目的を以って、装置上のアプリケーションが、トラフィックキーを用いて暗号化された放送属性を利用できるようにしてもよい。装置上のアプリケーションが、対応していない放送属性およびトラフィックキーを使うことができないようにして、首尾よくアクセスポリシーを満たしてトラフィックキーを用いてメディアストリームを復号化できないようにすることも可能である。放送属性を暗号化されたトラフィックキーに埋め込むことで、放送属性と暗号化されたトラフィックキーとが別々に受信されないようにもできる。受信される放送属性には、メディアストリームに関連するメタデータ(メディアストリームのコンテンツ型、および、メディアストリームのコンテンツ級別のうちの少なくとも一方を含む)を含めることができる。受信される放送属性には、ネットワーク環境データ("放送塔としてのもの"(as a broadcast tower)の位置、時刻、ネットワークのトラフィック情報、およびネットワークの状態データのうちの少なくともひとつを含む)を含めることができる。
本方法には、メディアストリームには含まれない付加的なプロファイル情報を使って、装置が受信されたトラフィックキーを復号化できるかどうかを判断するステップを含めることもでき、ここで、そうした付加的なプロファイル情報には、以下に挙げるもののうちのひとつ以上が含まれる。即ち、ローカルネットワーク環境データ(装置のGPS位置、サービスの質、標準時間帯、信号強度、および、装置の他のローカルネットワーク環境データ、のうちのひとつ以上を含む)、装置別のデータ(装置の持つメディアストリームを記録する能力、メディアストリームを再送する能力、および、他の装置別の能力、のうちのひとつ以上を含む)、ユーザー別のプロファイルデータ(装置のユーザーの性別、装置のユーザーの年齢、装置のユーザーの興味、および、装置のユーザーに関する他のデータ、のうちのひとつ以上を含む)、ならびに、装置の使用履歴(メディアストリームもしくは放送チャンネルの使用、装置上のアプリケーションの使用、および、装置が以前どう使われていたかに関する他のデータ、のうちのひとつ以上を含む)。
本発明は、加入者群に亙った加入者単位基盤での放送コンテンツへのアクセスを制限もしくは増大させるための技法を提供し、これらの加入者群のすべては、それらの放送コンテンツへの有効なコンテンツアクセスキーを持ち、なおコンテンツアクセスキーの配布と放送データ自体に連関するトラフィックキーの放送とのための現行の標準的スキームおよびプロトコルを変更する必要が無く、しかも、データを処理するアプリケーションを信頼する必要が無い。このことは以下に挙げる二つの機構によって実現される。第一の機構は、加入者を特定した耐タンパーなアクセスポリシーを、加入者が放送アクセスキーを得る際に伝達するものである。このポリシーには、時間、位置、コンテンツの級別、もしくは、放送チャンネルと直接関係する他の仕様に基づく使用制限を記述できる。第二の機構は、放送自体を伝達するときに、その放送に関する属性も、トラフィックキーと共にかもしくはトラフィックキーに埋め込んで、耐タンパー的に送信するものである。そしてその属性を使って、アクセスポリシーに記述された条件が満たされているかどうかを判断する。放送属性は特定のトラフィックキーに対応するので、受信装置上のアプリケーションはこの放送属性を改竄できず、しかも、非対応の放送属性を使ってトラフィックキーを首尾よく復号化することもできない。付加的な装置、およびユーザー別のプロファイルデータを、こうした放送属性と組み合わせることで、アクセスポリシーを評価することもできる。アクセスポリシーが満たされている場合に限り、ユーザーが放送コンテンツを視聴するかもしくは何らかの方法で利用することができるようになる。
本発明を理解する上で有用な用語の数々を以下に述べてゆく。
アクセスポリシー Access Policy (AP): アクセスポリシーを用いて、現時点で特定のトラフィックキーを復号化するべきか、そして放送属性(BA)およびローカルプロファイルデータ(LPD)から受けた入力を与えるべきかどうかを評定する。アクセスポリシーには例えば、パラメータの値もしくは区域の組、正規表現の組、マッチングpredicate、または、何らかの言語で明示的に特定されるマッチングアルゴリズム、を含めることができる。
放送属性 Broadcast Attributes (BA): 放送属性には、放送自体に関するメタデータが含まれ、例えば、コンテンツ型、コンテンツ級別、もしくは、放送される特定のコンテンツに付随する他のデータなどが含まれる。また、放送属性には、一般的なネットワーク環境データも含めることができ、例えば、放送塔の位置、時刻、トラフィック情報、または、放送の時点でのネットワークの状態に関し且つネットワーク環境内の一名以上の加入者に適用できる他のデータ、を含めることができる。
放送ストリーム Broadcast Stream (BS): メディアストリームと同義に用いている。
クライアント別の秘密 Client Specific Secret (CSS): クライアント別の秘密とは、識別子であって、ネットワーク内のすべての装置を特有的な手法で識別するために使うことができる。こうしたクライアント別の秘密はSMに保存され、SMとサービス配信者のみが知ることになる。サービス配信者はCSSを使ってSKを暗号化し、そして、ユーザーの装置上のSMで、CSSを使ってSKを復号化する。
ローカルプロファイルデータ Local Profile Data (LPD): ローカルプロファイルデータには、ローカルネットワーク環境データが含まれ、例えば、受信者の精確なGPS位置、サービスの質、標準時間帯、信号強度、もしくは、放送を受信する装置のローカルネットワーク環境に特異的に関与する他のデータ、が含まれる。またLPDには、装置別のデータも含めることができ、例えば、装置の持つ放送を記録する能力、装置の持つ放送を再送する能力、または、コンテンツの放送者に関係しうる他の装置別の能力、を含めることができる。またLPDには、ユーザー別のプロファイルデータを含めることもでき、例えば、ユーザーの性別、年齢、興味、もしくは、ユーザーを定義するその他のデータ、を含めることができる。そしてLPDには、装置の使用履歴も含めることができ、例えば、放送チャンネルの使用、装置上の特定のアプリケーションの使用、もしくは、装置が以前どう使われていたかに関する他のデータ、を含めることができる。
メディアストリーム Media Stream (MS): メディアストリームとは、ユーザーが受信する実際のコンテンツのことである。これは典型的には、音声および映像などのマルチメディアコンテンツであるが、ユーザーの装置上のアプリケーションが使用可能であるような任意のデータストリームのことを指してもよく、例えば、株価相場、スポーツ実況、交通情報、天気情報、ニュースなどを指してもよい。
セキュアモジュール Secure Module (SM): セキュアモジュールとは、装置上のハードウェアの一部および/もしくはソフトウェアであって、データをセキュアに保存して、或る処理を実行するものである。本発明に関する文脈においては、セキュアモジュールとは、トラフィックキーの復号化を制御することにより、特定のメディアストリームへのユーザーのアクセスを許可するかもしくは拒否するために用いられる信頼された機構のことである。セキュアモジュールは、SMとサービス配信者のみが知るクライアント別の秘密(CSS)を有している。装置上のいかなるアプリケーションも、CSSに直接アクセスできない。
セッションキー Session Key (SK): セッションキーを使うことで、ユーザーが、或る定められた時間(量)に亙って特定の放送チャンネルでの放送にアクセスできるようにする。装置は、サービス配信者との通信を開始して、セッションキー、もしくは、放送可能な別々になった暗号化済キーのすべての組を得ることができる。いずれの場合にしろこれは重たい作業であり、セッションキーが満了したときにのみ行われる。
トラフィックキー Traffic Key (TK): トラフィックキーは、短期間のみ有効なキーであって、放送ストリームを復号化するために使用される。トラフィックキーは、メディアストリームと共に放送されるか、もしくはメディアストリームと並行して放送され(図2および図3を参照のこと)、セッションキー(SK)を使って暗号化される。ゆえに、トラフィックキーを成功裡に復号化するには、有効なSKが必要となる。その後、復号化されたトラフィックキーを使って、放送ストリームを復号化できる。
本発明により、コンテンツストリームの加入者毎・セッション毎のフィルタリングが、たとえすべての加入者が同じ有効なセッションキー(SK)を持っていたとしても、加入者に応じて変更できるアクセスポリシー(AP)を各加入者がセッションキーを得る際に配布することによって可能となる。そうしてからAPをSMが動的に使用し、特定のトラフィックキーが復号化できるか否かを判断して、ポリシーをセッションキーの寿命よりも粒度の細かい時間に適用できるようにする。
APはセキュアに配布して、SMは、対応するAP無しではSKを使えないようにする必要がある。APに定められるルールを改竄して、改竄したAPを使ってトラフィックキー(TK)を復号化することは、アプリケーションには許可されない。
ポリシーを耐タンパーにするために使える機構は多数存在している。例えば、クライアントは、セッションキー配布時刻に以下を受信可能である。
SK' = 暗号化されたSK = E(SK,CSS)
AP' = 暗号化されたAP = E(AP,SK)
ここで E(object,key) は、 object が key を用いて暗号化されていることを示す。SK'およびAP'をSMに渡すと、SMは、SK'を復号化すればAPも復元できることになる。アプリケーションはSKを持たないので、AP'に手出しができない。
SK' = 暗号化されたSK = E(SK,CSS)
AP' = 暗号化されたAP = E(AP,SK)
ここで E(object,key) は、 object が key を用いて暗号化されていることを示す。SK'およびAP'をSMに渡すと、SMは、SK'を復号化すればAPも復元できることになる。アプリケーションはSKを持たないので、AP'に手出しができない。
SKの所有に基づいてSMがAPを検証できるような任意の他の機構を使って、ポリシーがアプリケーションに晒されたとしても耐タンパーとなるようにすることができる。例えば、クライアントが、以下のようにAPを平文で受け、さらに署名を受けとる。
SK' = E(SK,CSS)
AP (平文)
APsig = H(AP + SK)
ここで、 H(object) は、暗号学的にセキュアなハッシュであり、 + は結合を意味する。SK'とAPとAPsigをSMに渡すと、SMは、APがSKに関連しているかどうかを検証できる。アプリケーションはSKを持たないので、APsigに手出しができない。
SK' = E(SK,CSS)
AP (平文)
APsig = H(AP + SK)
ここで、 H(object) は、暗号学的にセキュアなハッシュであり、 + は結合を意味する。SK'とAPとAPsigをSMに渡すと、SMは、APがSKに関連しているかどうかを検証できる。アプリケーションはSKを持たないので、APsigに手出しができない。
この手法によるか、もしくはSMにより復号化された後で、(任意に)APをアプリケーシ
ョンに晒して、その情報をアプリケーションが使って、加入者へルールを掲示したり、または、放送ストリームにアクセスしているアプリケーションのユーザーインターフェイスを改変したりできる。
ョンに晒して、その情報をアプリケーションが使って、加入者へルールを掲示したり、または、放送ストリームにアクセスしているアプリケーションのユーザーインターフェイスを改変したりできる。
上述したすべての場合において、SK自体には、このスキームを担保する必要がないことに留意されたい。つまり、こうしたスキームを、現行の放送技術に採用済である標準を使っても生成可能であるということである。
APをセキュアに入手すれば、APからは、適用すべきフィルターポリシーについて充分な情報が得られる。例えば以下に挙げるものである。
◇ パラメータの値もしくは範囲の組
◇ 正規表現の組
◇ マッチングpredicate
◇ 何らかの言語で明示的に特定されるマッチングアルゴリズム
◇ パラメータの値もしくは範囲の組
◇ 正規表現の組
◇ マッチングpredicate
◇ 何らかの言語で明示的に特定されるマッチングアルゴリズム
図1には、装置が、放送セッションキーおよび関連するアクセスポリシーを得るために使う、end-to-end工程 100 を示してある。アクセスポリシーを暗号化されたセッションキーに結びつけて、このアクセスポリシーが耐タンパーになるようにする。アプリケーションによってこうしたアクセスポリシーを改竄しようとすると、どのようにしても、セッションキーを首尾よく復号化して保存することはできないであろう。
工程 100 においては、放送受信器 102 がアプリケーション 104 を有する。このアプリケーション 104 は、セキュアモジュール(SM) 106 、および、サービス配信者の加入サービス 108 と通信をして、放送コンテンツの復号化に必要なキーを得る。アプリケーション 104 は、新たなセッションキーが必要である(もしくはまもなく必要となる)ことを検知すると、サービス配信者ネットワークに対してユーザーもしくは装置の身元確認を要請する。ユーザーの身元は標準的な手法(SMが関与してもよいししなくともよい)を用いて確認されることになる。例えば、ステップ 1 では、アプリケーション 104 は、セッションキー(SK)を求める要請 110 をSM 108 へと送る。ステップ 2 では、SM 106 が、保存しているクライアント別の秘密(CSS) 113 から、暗号化されたCSS 112 を生成して、アプリケーション 104 へと転送する。ステップ 3 では、アプリケーション 103 が、暗号化されたCSSに従って、SKを求める要請 114 を、サービス配信者ネットワークの加入サービス 108 へと送信する。加入サービス 108 は、CSSを使ってユーザーを認証して、ユーザーの身元確認と、ユーザー別のアクセスポリシー(AP)の生成と、APをSKを用いて暗号化して耐タンパー性を持たせることと、SKのCSSによる暗号化とを行う。ステップ 4 では、アプリケーション 104 が、暗号化されたセッションキー(SK')および暗号化されたアクセスポリシー(AP') 116 を、加入サービス 108 から受信する。ステップ 5 では、アプリケーション 104 が、SK'およびAP'をSM 106 に保存する。SM 106 は、CSS 133を用いてSK'を復号化し(て、SK 118 を作成し)、SK 118 を用いてAP'を復号化し(て、AP 120 を作成し)、SK 118 およびAP 120 を保存する。APが改竄されていた場合には、SK 118 を用いたAP'のこういった復号化が失敗することになる。
たとえすべての加入者が同じセッションキーを受け取っていたとしても、こうしたアクセスポリシーにより、サービス配信者は、この特定のユーザーが放送を視聴可能(もしくは何らかのやりかたで利用可能)な環境を、より良く制御できるようになる。例えば或る加入者のためのアクセスポリシーを以下のようにすることができる。
放送を以下の場合にのみ視聴可能:
◇ 装置のGPS位置が野球場内に在るとき
◇ 放送のコンテンツ級別が21歳未満の者に対して適切であるとき
◇ ユーザーが放送プログラムを視聴した時間が三十分間未満であるとき
放送を以下の場合にのみ視聴可能:
◇ 装置のGPS位置が野球場内に在るとき
◇ 放送のコンテンツ級別が21歳未満の者に対して適切であるとき
◇ ユーザーが放送プログラムを視聴した時間が三十分間未満であるとき
また、同一の有効なセッションキーを持つ別の加入者が、以下のようなアクセスポリシーを持っていてもよい。
放送を以下の場合にのみ視聴可能:
◇ 装置のGPS位置が野球場内に在るとき
放送を以下の場合にのみ視聴可能:
◇ 装置のGPS位置が野球場内に在るとき
この実施例では、第二の加入者は、他の級別のコンテンツにアクセス可能であり、視聴時間に制限も無い。
この特定の加入者についてのアクセスポリシーが生成されると、サービス配信者は、このアクセスポリシーをセッションキーを用いて暗号化することで、その加入者の装置上のアプリケーションがこのアクセスポリシーを確実に修正できないようにする。アプリケーションは暗号化されていないセッションキーへのアクセス権を持たないので、アクセスポリシーを復号化して改竄できないことになる。そして、正規の装置に属していないSMにも、こうした復号化・改竄はできない。
別の手法として、暗号化されたセッションキーおよびポリシーを、すべてのユーザーへと定期的に放送することも可能である。
暗号化されたセッションキー(SK')および耐タンパー性アクセスポリシー(AP'、もしくは、APsigなどの検証情報を付したAP)が、セッションキーを要請した加入者の装置上のアプリケーションへと送信される。アプリケーションは、どちらの値に対しても復号化する手段を持たず、この値をセキュアモジュールへと引き渡す。セキュアモジュールは、CSSを使ってSK'を復号化する。SKの復号化ができれば、そのSKを使って、AP'の復号化および/もしくは検証が可能となる。SKとAPの双方を保存して、セキュアモジュールが将来使えるようにしてもよい。セッションキーが使用中になれば、対応するAPを、装置上で動作しているアプリケーションへと公開することで、そうしたアプリケーションがAPを使ってユーザーへとポリシーを掲示したり、もしくはユーザーに与えるUIを改変したりすることが任意に可能となる。例えば、アクセスポリシーがPGモノだけしか視聴させないように指示していたとして、受信されている現在の番組にPG-13タグがついていたときには、アプリケーションが「現在の視聴者にはふさわしくないコンテンツです」という表示を行うことができる。
APアルゴリズムへの入力は、TKの復号化が要請された時点でSMがセキュアに知っている情報だけに依らなくてはならない。例えば以下のようにである。
◇ SMが信頼できる時刻にセキュアにアクセスしている場合、APは、復号化が特定の時間間隔においてだけ有効となるという条件を指定できる。
◇ SMが信頼できる放送受信者のGPS位置にセキュアにアクセスしている場合、APは、復号化が特定の地理的位置の組においてだけ有効となるという条件を指定できる。
◇ SMが信頼できる放送受信者の使用履歴もしくはユーザープロファイルにセキュアにアクセスしている場合、APは、コンテンツがこの特定の受信器のユーザーに対して適切であるときに限り、復号化を有効とするという条件を指定できる。
◇ SMが信頼できる時刻にセキュアにアクセスしている場合、APは、復号化が特定の時間間隔においてだけ有効となるという条件を指定できる。
◇ SMが信頼できる放送受信者のGPS位置にセキュアにアクセスしている場合、APは、復号化が特定の地理的位置の組においてだけ有効となるという条件を指定できる。
◇ SMが信頼できる放送受信者の使用履歴もしくはユーザープロファイルにセキュアにアクセスしている場合、APは、コンテンツがこの特定の受信器のユーザーに対して適切であるときに限り、復号化を有効とするという条件を指定できる。
SMが、純粋な埋め込み型ストレージ兼演算装置であって、それが埋め込まれている特定の受信器に関連するプロファイルデータへのセキュアなアクセス権を持っていない、という場合もありえる。時刻や受信者の位置などの情報を、SMが得てAPに適用することはできない。他の場合では、アクセスポリシーをチェックするためにSMが必要とする情報が、放送自体に依るものとなる。コンテンツ型およびコンテンツの級別などの情報は、先んじて知ることはできないものであり、且つ現在何が放送されているかに応じて変化しうるものである。こうした状況下では、TKの復号化の際にAPへ適用すべき情報を、TK自体の放送に
含まれる放送属性から得ることができる。
含まれる放送属性から得ることができる。
別のチャンネルで放送されたトラフィックキー(TK)で暗号化されたメディアストリーム(MS)の例を、図2に示している。図2に示した例の場合、メディアストリーム(MS)
202 が、TK 204 を使って送信されている。MS 202 はTK 204 を用いて暗号化されてMS' 206 となり、また、TK 204 はSK 204 を用いて暗号化されてTK' 208 となる。 210 でMS'にはこのMS'を暗号化したTKを表示するタグが付される。 212 でTKは頻繁に変化し、悪質なアプリケーションがTKを他者と共有して活用しづらくするかもしくは活用できなくする。こうして、MS' 214 の複数のブロックが送信される。この各ブロックには、暗号化に用いられたTKを示すタグが付されている。加えて、複数のTK' 216 も別のチャンネルで定期的に伝送され、対応するMS'のブロックの復号化に使われる。
202 が、TK 204 を使って送信されている。MS 202 はTK 204 を用いて暗号化されてMS' 206 となり、また、TK 204 はSK 204 を用いて暗号化されてTK' 208 となる。 210 でMS'にはこのMS'を暗号化したTKを表示するタグが付される。 212 でTKは頻繁に変化し、悪質なアプリケーションがTKを他者と共有して活用しづらくするかもしくは活用できなくする。こうして、MS' 214 の複数のブロックが送信される。この各ブロックには、暗号化に用いられたTKを示すタグが付されている。加えて、複数のTK' 216 も別のチャンネルで定期的に伝送され、対応するMS'のブロックの復号化に使われる。
メディアストリーム(MS)を同一のチャンネルで放送されるトラフィックキー(TK)で暗号化する例を、図3に示した。図3の例では、メディアストリーム(MS) 302 を、TK 304 を使って送信する。MS 302 はTK 304 を用いて暗号化されてMS' 306 となり、また、TK 304 はSKを用いて暗号化されてTK' 308 となる。 312 でこれら複数のTKは頻繁に変化し、悪質なアプリケーションがTKを他者と共有して活用しづらくするかもしくは活用できなくする。こうしてつくられた伝送ストリーム 314 には、MS' 214 の複数のブロックが含まれ、さらにMS' 214 のブロックの各々の暗号化に使われたTKを含むTK'も含まれる。
TKに含まれる放送属性(BA)が受信器に与えられる際には、その受信器上のアプリケーションによって改竄されて放送ストリームの復号化に使われてしまうことが無いような形態とする必要がある。放送属性とトラフィックキーとを束縛することで、放送ネットワークのオペレーターにより生成される動的なデータのセキュアな源として使用可能となる。
SKとAPについて述べると、TKとBAとの相関を色々な手法で耐タンパーにできる。SK、および、TKとSKに付随するBAを用いて、TKを暗号化することを含んだ方法のひとつとしては以下がある。
TK' = E(TK,SK)
BA' = E(E(BA,TK),SK)
TK' = E(TK,SK)
BA' = E(E(BA,TK),SK)
こういった、耐タンパーな放送属性(BA)が、特定のトラフィックキー(TK)に束縛されるような例を、図4に示した。図4に示す例では、メディアストリーム(MS) 402 が、TK 404 およびBA 405 を用いて送信される。MS 402 をTK 404 を用いて暗号化してMS' 406 をつくり、また、TK 404 をSKを用いて暗号化してTK' 408 をつくり、また、BA 405 をSKおよびTK 404 を用いて暗号化してBA' 409 をつくる。BA'の特性をブロック 412 に示してある。即ち、BA 405 をSKおよびTK 404 を用いて暗号化して、アプリケーションが、BA 405 を改竄して対応するTK 404 と共に使うことができないようにしている。さらに云えば、アプリケーションは、非対応のTKおよびBAを用いてメディアストリームを復号化することもできない。BAを公開して、アプリケーションが利用できるようにしてもよい。これら複数のTKは頻繁に変化し、悪質なアプリケーションがTKを他者と共有して活用しづらくするかもしくは活用できなくする。BA 405 は、SKおよび現在のTKを使って暗号化されるので、TKが変化するたびに、新たなBA'が生成されることになる。よって、MS' 414 の有する複数のブロックが伝送され、各ブロックにはそのブロックを暗号化する際に用いられたTKを示すタグが付される。複数のTK' は、別のチャンネルで定期的に伝送され、MS'の対応するブロックの復号化に使われる。加えて、複数のBA'も伝送される。
別の実施例では、BAは平文として与えられ、且つ以下の署名を付される。
TK' = E(TK,SK)
BA
BAsig = H(BA + TK)
TK' = E(TK,SK)
BA
BAsig = H(BA + TK)
こうした場合(か、もしくはSMが復号化されたBAを晒す場合)には、BAは公開され、アプリケーションがBAを使用できるようになる。すると、そうしたアプリケーションが随意に公知のAPと協働して、ユーザーへ「なぜ今コンテンツストリームを見られないのか」を説明するメッセージを掲示できる。例えば、「あなたはゴールデンタイムにはチャンネルXを見ることができません。7:00 PM以降にあらためてお越しくださるか、または下のUpgradeを押してあなたの加入権を無制限アクセス版にアップグレードしてください。」というメッセージを掲示できる。
こういった、放送属性(BA)がトラフィックキー(TK)で署名されている例を、図6に示した。図6の例では、メディアストリーム(MS) 602 を、TK 604 およびBA 605 を用いて送信する。MS 602 をTK 604 を用いて暗号化してMS' 606 をつくり、TK 604 をSKを用いて暗号化してTK' 608 をつくり、そしてBA 605 をTK 604 で署名してBAsig 609 をつくる。BAおよびBAsigの特性をブロック 612 に示してある。即ち、アプリケーションが、BA 605 もしくはBAsig 609 を改竄するか、または非対応のTK 604 を使おうとしても、そうした改竄もしくは試行は検出されることになるので、BAが使用されることは無い。これら複数のTKは頻繁に変化し、悪質なアプリケーションがTKを他者と共有して活用しづらくするかもしくは活用できなくする。BA 605 は、SKおよび現在のTKを使って暗号化されるので、TKが変化するたびに、新たなBA'と新たなBAsigが生成されることになる。よって、MS' 614 の有する複数のブロックが伝送され、各ブロックにはそのブロックを暗号化する際に用いられたTKを示すタグが付される。複数のTK' は、別のチャンネルで定期的に伝送され、MS'の対応するブロックの復号化に使われる。加えて、複数のBA'および複数のBAsigも伝送される。
上述した機構には、キー配布用のプロトコルを若干改変して、TKの放送に追加情報を付加すること(キーストリームの追加か、もしくはTKキーストリーム自体の改変)が含まれている。TKの配布法を変更することが望ましくない(帯域幅利用量を下げたままにしておきたいときなど)環境では、第三の方法が採られ、この方法にはBAをTK内に埋め込むことが含まれる。即ち、
TK' = E(TKreduced + BA , SK)
TK' = E(TKreduced + BA , SK)
こういった、放送属性(BA)をトラフィックキー(TK)に埋め込む例を、図5に示した。図5の例では、メディアストリーム(MS) 502 は、TK 504 およびBA 505 を用いて送信される。MS 502 をTK 504 を用いて暗号化してMS' 506 をつくり、BA 506 が埋め込まれたTK 504 をSKを用いて暗号化してTK' 508 をつくる。TK'の特性をブロック 512 に示してある。即ち、暗号化されたTK' 508 は、BA 506 を包含する。埋め込まれたBA 506 は耐タンパー性を有する。これは、埋め込まれたBA 506 により、TK'が改変されることになるので、TK'の成功裡の復号化は阻止されることになるためである。これら複数のTKは頻繁に変化し、悪質なアプリケーションがTKを他者と共有して活用しづらくするかもしくは活用できなくする。よって、MS' 514 の有する複数のブロックが伝送され、各ブロックにはそのブロックを暗号化する際に用いられたTKを示すタグが付される。複数のTK' は、別のチャンネルで定期的に伝送され、MS'の対応するブロックの復号化に使われる。また、各TK'内にはBA 506 が埋め込まれる。
こうした場合には、これら複数のTKのランダム性がやや失われてしまう可能性がある。しかしながら、TK/BAをアプリケーションが改竄して、放送ストリームへのアクセス権を得るということは、たとえアプリケーションがBAがTK内のどこにどうやって保存されているのかを知っていたとしても無理である。
同様の技法をSKに対して用いることもできる(ただし有用性は薄い)ということにも留意されたい。
放送ネットワーク配信者は、BAの配布に際し、TKを添えるかもしくは埋め込む。こうしたBAには、以下に挙げるような環境データを含めることができる。
◇ 現在の日時
◇ 現在の日(「朝」や「ゴールデンタイム」などの低粒度な情報が付いていることもある)
◇ メディアストリームを放送する基地局の所在
◇ 現在の日時
◇ 現在の日(「朝」や「ゴールデンタイム」などの低粒度な情報が付いていることもある)
◇ メディアストリームを放送する基地局の所在
BAには、放送自体に特異的な情報を含めることもでき、例えば以下に挙げるものなどを含めることができる。
◇ 保護者監督用級別
◇ 放送停止指示
◇ 保護者監督用級別
◇ 放送停止指示
放送受信器上のセキュアモジュールでは、信頼されたローカル情報を、BAの放送に加えることもでき、もしくはその代わりとして使うこともできる。こうした情報は以下の四種の区分に分類できる。即ち、ローカルネットワーク環境、装置プロファイルデータ、ユーザープロファイルデータ、および使用履歴である。ローカルネットワーク環境の例としては以下が含まれる。
◇ GPS位置
◇ 信号強度
◇ GPS位置
◇ 信号強度
装置プロファイルの例としては以下が含まれる。
◇ 放送を記録する能力
◇ 放送を再送する能力
◇ 放送を記録する能力
◇ 放送を再送する能力
ユーザープロファイルの例としては以下が含まれる。
◇ 年齢
◇ 性別
◇ 興味
◇ 信用級別
◇ 年齢
◇ 性別
◇ 興味
◇ 信用級別
使用履歴の例としては以下が含まれる。
◇ 最近受信した放送
◇ 現在の放送ストリームの視聴時間
◇ 最近使用したアプリケーション
◇ 最近受信した放送
◇ 現在の放送ストリームの視聴時間
◇ 最近使用したアプリケーション
図7には、アプリケーション 702 がセキュアモジュール 704 を呼び出して、暗号化された付随する放送属性 710 を与えて、暗号化されたトラフィックキー 708 の復号化を要請 706 する工程を示してある。まずセキュアモジュール 704 は、暗号化されたTK(TK') 708 を、暗号化されていないSKを用いて復号化する。その後SM 704 は、SKと新たに復号化したTKの双方を使い、BAを復号化するかもしくは検証する。暗号化されていないSKはSMだけが知っており、これはつまり装置上のどのアプリケーションも、TKもしくはBAを改竄してコンテンツストリームへのアクセス権を得ようとする企てを以って、TKもしくはBAを復号化することはできない、ということである。アプリケーションがBAを改竄したか、またはアプリケーションが非対応のBAおよびTKを使おうとした場合には、TKの復号化および/もしくはBAの検証は失敗に終わることになる。BAをセキュアに得た後には、SM 704 は放送属性をアクセスポリシー(AP) 711 に適用できる。付加的なローカルプロファイルデータ(LPD) 712 を、信頼された源 714 からSM 704 が得て、BAと組み合わせて、APの評価に使用することも可能である。BAおよびLPDが、APが表明する状態を満たしている場合には、復号化されたTK 716 もしくはTK 718を、公開記憶位置(公開データ記憶装置 720 など)に保存することで、装置上のアプリケーション 702 がそのTKを使って、そのTKが有効である期間に亙り暗号化されたメディアストリーム 724 を復号 722 できるようにする。BAが暗号化されていた場合には、SM 716 が、復号化されたBA 726 もしくはBA 728 を公開記憶位置(公開データ記憶装置 720 など)に保存するよう決定することで、アプリケーションがそれらのBAを使用し、ユーザーへ有用な情報を提示することも可能である。
こうした工程の例を図8に示している。この実施例には、従前に定義した以下の二種のAPが存在する。
ユーザー壱のためのAP 802 : 放送を以下の場合にのみ視聴可能:
◇ 装置のGPS位置が野球場内に在るとき
◇ 放送のコンテンツ級別が21歳未満の者に対して適切であるとき
◇ ユーザーが放送プログラムを視聴した時間が三十分間未満であるとき
ユーザー弐のためのAP 804 : 放送を以下の場合にのみ視聴可能:
◇ 装置のGPS位置が野球場内に在るとき
ユーザー壱のためのAP 802 : 放送を以下の場合にのみ視聴可能:
◇ 装置のGPS位置が野球場内に在るとき
◇ 放送のコンテンツ級別が21歳未満の者に対して適切であるとき
◇ ユーザーが放送プログラムを視聴した時間が三十分間未満であるとき
ユーザー弐のためのAP 804 : 放送を以下の場合にのみ視聴可能:
◇ 装置のGPS位置が野球場内に在るとき
さてここで放送ストリームが野球試合の生中継を含んでいて、コマーシャルがイニング間に放送されると仮定する。コマーシャルのうちのいくつかはビールについてのもので、年少者にはふさわしくないと考えられる。放送配信者は、トラフィックキーの有効期間がビールのコマーシャルと一致するように定義できる。この特定のトラフィックキーに付随する放送属性により、この番組が二十一歳以上対象であることが示される。こうしたコマーシャルの前後のトラフィックキーに関する放送属性は、番組が全年齢対象であることを示す。
ビールのコマーシャルについてのトラフィックキーとそれに付随する放送属性を受信すると、各ユーザーの装置上のアプリケーションが、SMを呼び出してTKを復号化する。どちらのAPも装置が野球場内に在ることを求めているので、SMはGPS情報をローカルの信頼された源から取得する。アクセスポリシーのルールである「装置のGPS位置が野球場内に在る」ことはまったくもって単純化した表現であって、実際には、装置の緯度経度を、放送を受信可能なすべての野球場に関して公知の緯度経度の組と比較するわけである。どちらのユーザーも野球場内にいると仮定すると、APが満たされているので、ユーザー弐 804 のSMはTKの復号化を承認することになる。ユーザー壱 802 のSMは、GPSの必要条件は承認するものの、「放送のコンテンツ級別が二十一歳未満にふさわしいものである」というルールが満たされないので、TKを拒絶することになる。APとBAの双方をアプリケーションが利用できると仮定すると、アプリケーションは、ビールのコマーシャルの間には別の何かを見せるように決定することもできるし、ユーザーへ現在の放送にはふさわしくないモノが含まれているので待機してほしい旨を伝えるメッセージを単に表示するようにしてもよい。
ビールのコマーシャルの後にTKを受信すると、ユーザー壱 802 のSMは、「放送のコンテンツ級別が二十一歳未満にふさわしいものであること」というルールを承認することになる。そうして、APの求める最後の満たすべき条件「ユーザーが放送プログラムを視聴した時間が三十分間未満である」ことが残る。SMは、TK復号化要請の回数から、ユーザーがコンテンツを視聴していた時間を得て、時間長の追跡録を保持する。ユーザーが放送を三十分間未満しか視聴していなかった場合には、TKを復号化して、アプリケーションが放送を復号化できるようにする。
同様の加入者制御をSKの粒度に対して使うことも可能ではあるが、こうしたことは、加入者毎の基盤についての粒度の細かい制御サービスレベルの保護を得ようとする目的からすると、通常は不充分である。メディアストリーム自体を改変して、放送に関する属性を包含させるようにしてから、その属性を使って放送へとアクセスする加入者を篩い分けるということも可能ではあると思われる。しかしながらこうした方法をセキュアにするのは難しい。セキュリティモジュールは、メディアパケットの復号化に関与しないものである。加えて、定期的なトラフィックキー関連の工程に較べ、オーバーヘッドがかなり大きくなってしまうとも思われる。これは、各メディアパケットについて、アクセスポリシーが満たされているかどうかを確認検証する必要が出てくるためである。本発明では、既存のトラフィックキー復号法を使い、加入者毎の基盤における放送コンテンツの制限ができるような、効率的な方法について記載している。
本発明にかかる数多のアプリケーションを使って、放送配信者が加入者に利用させることが可能な、以下に挙げるようなサービスを増強できる。
◆ 放送チャンネルのプレビュー
放送チャンネルのコンテンツを、セッションキーの発行後の或る期間に亙り、誰もが自由に利用可能となるようにできる。制限ポリシーにより、特定のユーザーがそのチャンネルを、続いてアクセスしたければ加入するよう求められるまでのプレビュー可能時間を指示できる。BAがその(設定)期間を有していてもよいし、もしくは、セキュリティモジュールが現在時刻にアクセスできるようになっていてもよい。放送ニュースチャンネルはこうしたアプリケーションにとってたいへんふさわしいであろう。つまり、誰もがチャンネルへアクセスして、最初の数分間視聴できるようにし、そして、そのチャンネルへの続けてのアクセスを勧誘することで、課金加入者になるよう仕向けられるわけである。
◆ 放送イベントのプレビュー
特定の放送チャンネルで、各放送イベントを、定められた期間に亙りプレビューできる。制限ポリシーにより、特定のユーザーがイベントを、そのイベントに続いてアクセスしたければ加入するよう求められるまでのプレビュー可能時間を指示できる。BAには、現在のイベントが放送されてきた時間の長さを指定する値を含めることもできる。スポーツイベントや映画チャンネルでの映画の放送は好適であると考えられる。つまり、誰もがそれぞれのスポーツイベントや映画を最初の数分間視聴できるようにし、そして、その放送への続けてのアクセスを勧誘することで、課金加入者になるよう仕向けられるわけである。加入者には、単独のイベントもしくは映画についてのみのアクセスを勧めることもできるし、または、そのチャンネルで提供するすべてのコンテンツへの包括アクセスを勧めることもできる。
◆ 非連続的なプリペイド期間
放送配信者は、チャンネルに付随するセッションキーの伝送に沿って並んでいないような加入期間を勧誘することもできる。現行の方法を用いると、セッションキーを週刊放送する場合には、その放送チャンネルへアクセスしたすべての加入者は、セッションキーの全寿命すなわち一週間に亙りアクセスできることになるわけである。このため、放送配信者が、週のうちの任意の時点から加入させるようにしたい場合には、週の半ばで加入が満了するユーザーに関する放送コンテンツへのアクセス権が、次週の始めのほうまで、つまり次のセッションキーが放送されるまでの間は続いてしまうことになる。本発明の手法によれば、放送チャンネルへのアクセス権を、(まだ加入者が有効なセッションキーを持ち続けていたとしても)加入期間の終了時に正確に合わせて失効させることが可能になる。こうしたことを実施するには、制限ポリシーにて加入終了時刻を定めておき、セキュリティモジュールが現在時刻へセキュア且つ信頼できるアクセスを行うようにする(時刻をトラフィックキーメタデータ内に入れて与えるやりかたが考えられる)。
◆ 保護者監督
放送配信者は、同一チャンネルでいろいろな大人度のコンテンツを送達するサービス
を提供することもできる。放送を視聴する加入者にふさわしくない大人度のコンテンツを遮断する権能を、保護者に与えることができる。この場合、制限ポリシーには、許可するコンテンツ型を含めることができる。特定の放送に関するトラフィックキーメタデータには、トラフィックキーが有効である期間におけるコンテンツの大人度を含めることも可能である。大人度に関する制限にひっかかった場合、基準に合わない放送(もしくは放送の一部のみ)が遮断されることになる。
◆ 保護者監督・拡張版
上述したアプリケーションを拡張して、同一の放送にて、単独の放送について多様な大人度を有する複数の版を提供することも可能である。こうすると、複数の専門チャンネルを用意する必要が無い。若年の視聴者が居る可能性のあるテレビのチャンネルで映画を観せる場合、その映画の或る場面をカットしたり、もしくは電子音をかぶせて消したり、または観衆の成熟度に合わせた適切な言葉に差し替えたりできる。こういうことをするともっとオトナな観衆にとっては放送がつまらなくなってしまうこともある。多くの映画では、編集しなければならない部分というのは映画全体のうちのすこしだけを表すものに過ぎない。特に映画の音声部分のみを別の大人度に合わせて修正する必要があるような場合には尚更である。複数の大人度の設定を可能とするために放送に必要となる追加メディアは、放送全体からしてみれば少しの増分であるので、同一ストリーム中に含めてしまえる。映画を、いろいろな成熟度の加入者へと、それぞれ異なる内容で提供する必要があるような期間には、二種のトラフィックキーを、関連するトラフィックキーメタデータと併せて使うことができる。本アプリケーションは、大人度最高のものの復号化をまず試み、そしてそれが拒否されたときには、同一放送のより大人度が低い版を復号化しようと試みてゆくことになる。
◆ 放送停止イベント/時刻
放送配信者は、同一の放送ストリームに対してさまざまなレベルのサービスを提供でき、それによって、特別加入者が、一般加入者には利用できないコンテンツへとアクセスできるようにすることが可能である。特定の放送ストリームに関するすべての加入者は、特別な放送停止期間(イベント関連であってもよいし、もしくは、ゴールデンタイムなどの時刻関連であってもよい)を除き、その放送ストリームを視聴できる。制限ポリシーにて、特定の加入者に対して放送停止を行うかどうかを指定し、そしてトラフィックキーメタデータに、現在のコンテンツが放送停止されるかどうかを示すフラグを含めることができる。どちらも真であったならば、加入者はその放送を復号化できず、そしてその加入者に上位商品へ切換できる旨を提案する。
◆ 放送チャンネルへのアクセスにかける時間的制限
放送配信者、もしくは年少者である加入者の保護者が、特定の期間内に加入者が放送チャンネルを視聴できる時間量を制限したいこともある。例えばそうした制限として、一日あたり二時間を超えないようにできる。こうした場合、セキュアモジュールが、受信者の装置が特定の放送ストリームを視聴している時間の量を監視できる必要があると考えられる。これは単純なカウンターを使えば容易に実現可能と思われる。こうしたカウンターは、トラフィックキーが復号化される度にインクリメントしてゆき、所与の特定のイベント(一日の始まりなど)を以ってリセット可能である。
◆ 特別加入者だけが利用できる、スポーツイベントの選手/チーム/仮想設定 についての統計
本発明を用いた別のアプリケーションにより、放送スポーツイベントに関する特別加入者の体験を増強できると考えられる。スポーツイベント放送に含まれるものとしては、チーム、選手、およびファンタジーについての詳細な統計情報が挙げられる。特別加入者用フィルターをかけられた放送からのみ、追加の統計情報を復号化して視聴可能となるようにできる。トラフィックキーメタデータでは、メディアストリームパケットが、包含されている特別な統計情報を参照したかどうかを表示でき、そして、セッションキーフィルター仕様中に特別コンテンツ許可フィルターを有する者だけが、そうした統計情報を復号化して視聴できる。
◆ 放送チャンネルのプレビュー
放送チャンネルのコンテンツを、セッションキーの発行後の或る期間に亙り、誰もが自由に利用可能となるようにできる。制限ポリシーにより、特定のユーザーがそのチャンネルを、続いてアクセスしたければ加入するよう求められるまでのプレビュー可能時間を指示できる。BAがその(設定)期間を有していてもよいし、もしくは、セキュリティモジュールが現在時刻にアクセスできるようになっていてもよい。放送ニュースチャンネルはこうしたアプリケーションにとってたいへんふさわしいであろう。つまり、誰もがチャンネルへアクセスして、最初の数分間視聴できるようにし、そして、そのチャンネルへの続けてのアクセスを勧誘することで、課金加入者になるよう仕向けられるわけである。
◆ 放送イベントのプレビュー
特定の放送チャンネルで、各放送イベントを、定められた期間に亙りプレビューできる。制限ポリシーにより、特定のユーザーがイベントを、そのイベントに続いてアクセスしたければ加入するよう求められるまでのプレビュー可能時間を指示できる。BAには、現在のイベントが放送されてきた時間の長さを指定する値を含めることもできる。スポーツイベントや映画チャンネルでの映画の放送は好適であると考えられる。つまり、誰もがそれぞれのスポーツイベントや映画を最初の数分間視聴できるようにし、そして、その放送への続けてのアクセスを勧誘することで、課金加入者になるよう仕向けられるわけである。加入者には、単独のイベントもしくは映画についてのみのアクセスを勧めることもできるし、または、そのチャンネルで提供するすべてのコンテンツへの包括アクセスを勧めることもできる。
◆ 非連続的なプリペイド期間
放送配信者は、チャンネルに付随するセッションキーの伝送に沿って並んでいないような加入期間を勧誘することもできる。現行の方法を用いると、セッションキーを週刊放送する場合には、その放送チャンネルへアクセスしたすべての加入者は、セッションキーの全寿命すなわち一週間に亙りアクセスできることになるわけである。このため、放送配信者が、週のうちの任意の時点から加入させるようにしたい場合には、週の半ばで加入が満了するユーザーに関する放送コンテンツへのアクセス権が、次週の始めのほうまで、つまり次のセッションキーが放送されるまでの間は続いてしまうことになる。本発明の手法によれば、放送チャンネルへのアクセス権を、(まだ加入者が有効なセッションキーを持ち続けていたとしても)加入期間の終了時に正確に合わせて失効させることが可能になる。こうしたことを実施するには、制限ポリシーにて加入終了時刻を定めておき、セキュリティモジュールが現在時刻へセキュア且つ信頼できるアクセスを行うようにする(時刻をトラフィックキーメタデータ内に入れて与えるやりかたが考えられる)。
◆ 保護者監督
放送配信者は、同一チャンネルでいろいろな大人度のコンテンツを送達するサービス
を提供することもできる。放送を視聴する加入者にふさわしくない大人度のコンテンツを遮断する権能を、保護者に与えることができる。この場合、制限ポリシーには、許可するコンテンツ型を含めることができる。特定の放送に関するトラフィックキーメタデータには、トラフィックキーが有効である期間におけるコンテンツの大人度を含めることも可能である。大人度に関する制限にひっかかった場合、基準に合わない放送(もしくは放送の一部のみ)が遮断されることになる。
◆ 保護者監督・拡張版
上述したアプリケーションを拡張して、同一の放送にて、単独の放送について多様な大人度を有する複数の版を提供することも可能である。こうすると、複数の専門チャンネルを用意する必要が無い。若年の視聴者が居る可能性のあるテレビのチャンネルで映画を観せる場合、その映画の或る場面をカットしたり、もしくは電子音をかぶせて消したり、または観衆の成熟度に合わせた適切な言葉に差し替えたりできる。こういうことをするともっとオトナな観衆にとっては放送がつまらなくなってしまうこともある。多くの映画では、編集しなければならない部分というのは映画全体のうちのすこしだけを表すものに過ぎない。特に映画の音声部分のみを別の大人度に合わせて修正する必要があるような場合には尚更である。複数の大人度の設定を可能とするために放送に必要となる追加メディアは、放送全体からしてみれば少しの増分であるので、同一ストリーム中に含めてしまえる。映画を、いろいろな成熟度の加入者へと、それぞれ異なる内容で提供する必要があるような期間には、二種のトラフィックキーを、関連するトラフィックキーメタデータと併せて使うことができる。本アプリケーションは、大人度最高のものの復号化をまず試み、そしてそれが拒否されたときには、同一放送のより大人度が低い版を復号化しようと試みてゆくことになる。
◆ 放送停止イベント/時刻
放送配信者は、同一の放送ストリームに対してさまざまなレベルのサービスを提供でき、それによって、特別加入者が、一般加入者には利用できないコンテンツへとアクセスできるようにすることが可能である。特定の放送ストリームに関するすべての加入者は、特別な放送停止期間(イベント関連であってもよいし、もしくは、ゴールデンタイムなどの時刻関連であってもよい)を除き、その放送ストリームを視聴できる。制限ポリシーにて、特定の加入者に対して放送停止を行うかどうかを指定し、そしてトラフィックキーメタデータに、現在のコンテンツが放送停止されるかどうかを示すフラグを含めることができる。どちらも真であったならば、加入者はその放送を復号化できず、そしてその加入者に上位商品へ切換できる旨を提案する。
◆ 放送チャンネルへのアクセスにかける時間的制限
放送配信者、もしくは年少者である加入者の保護者が、特定の期間内に加入者が放送チャンネルを視聴できる時間量を制限したいこともある。例えばそうした制限として、一日あたり二時間を超えないようにできる。こうした場合、セキュアモジュールが、受信者の装置が特定の放送ストリームを視聴している時間の量を監視できる必要があると考えられる。これは単純なカウンターを使えば容易に実現可能と思われる。こうしたカウンターは、トラフィックキーが復号化される度にインクリメントしてゆき、所与の特定のイベント(一日の始まりなど)を以ってリセット可能である。
◆ 特別加入者だけが利用できる、スポーツイベントの選手/チーム/仮想設定 についての統計
本発明を用いた別のアプリケーションにより、放送スポーツイベントに関する特別加入者の体験を増強できると考えられる。スポーツイベント放送に含まれるものとしては、チーム、選手、およびファンタジーについての詳細な統計情報が挙げられる。特別加入者用フィルターをかけられた放送からのみ、追加の統計情報を復号化して視聴可能となるようにできる。トラフィックキーメタデータでは、メディアストリームパケットが、包含されている特別な統計情報を参照したかどうかを表示でき、そして、セッションキーフィルター仕様中に特別コンテンツ許可フィルターを有する者だけが、そうした統計情報を復号化して視聴できる。
これらの実施例では、本発明で可能な多様な用途の一例についてのみ開示している。その他の厖大な用途についても、ここに開示した本発明を用いて容易く考察可能である。
図9には、本発明を実施可能な、例示的な放送受信器 900 のブロック図を示している。放送受信器 900 は典型的には、プログラムされたマイクロコンピュータもしくはミクロコントローラーである。放送受信器 900 は、プロセッサ(CPU) 902 、入出力回路 904 、ネットワークアダプター 906 、およびメモリ 908 を含む。CPU 902 はプログラム命令を実行して、本発明の機能を実行する。通常、CPU 902 はマイクロプロセッサ(INTEL PENTIUM(R) プロセッサなど)であるが、ミニコンピュータプロセッサであってもよいしメインフレームコンピュータプロセッサであってもよい。図9に示した例では放送受信器900 は単独のプロセッサシステムであるが、本発明では、マルチプロセッサ、マルチタスク実行、マルチプロセス、マルチスレッド処理、分散処理、および/もしくはネットワーク的処理が可能であるようなひとつもしくは複数のシステム上での実施も想定している。さらには本発明は、単独のプロセッサで単独のスレッド処理のみが可能なシステム上での実施もまた想定している。同様に本発明は、分散型実施を用いる実施形態についても想定しており、こうした実施形態では、放送受信器 900 が、ネットワークで繋れた複数のシステム(単独のプロセッサのコンピュータシステムであってもよく、マルチプロセッサのコンピュータシステムであってもよく、もしくはそれらの混合形態であってもよい)上で実施される。
入出力回路 904 により、コンピュータシステム 900 にデータを入出力する機能が得られる。例えば入出力回路 904 には、入力機器(キーボード、マウス、タッチパッド、トラックボール、スキャナーなど)、出力機器(ビデオアダプター、モニター、プリンターなど)、ならびに入出力機器(モデムなど)、を含めることができる。無線アダプター 906 は、コンピュータシステム 900 を無線ネットワーク 910 に接続する。無線ネットワーク 910 は、標準的な任意の無線ネットワーク(Wi-Fiネットワークなど)であってもよいし、あるいは、私的なネットワークもしくは専用ネットワークであってもよい。
メモリ 908 はプログラム命令を保存しており、このプログラム命令をCPU 902 が使用して処理し、本発明の機能を実施する。メモリ 908 としては、電子メモリ機器(ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、プログラマブル読み出し専用メモリ(PROM)、電気的消去可能プログラマブル読み出し専用メモリ(EEPROM)、フラッシュメモリ、など)、ならびに、電気機械的メモリ(磁気ディスクドライブ、テープドライブ、光学ディスクドライブ、など)、が含まれうる。こうした電気機械的メモリでは、integrated drive electronics(IDE)インターフェイスもしくはその類似品・改良品(enhanced IDE(EIDE)やultra direct memory access(UDMA)など)を使用でき、あるいは、small computer system interface(SCSI)に基づくインターフェイスもしくはその類似品・改良品(fast-SCSI、wide-SCSI、fast and wide-SCSIなど)や、またはfiber channel-arbitrated loop(FC-AL)インターフェイスについても使用可能である。
メモリ 908 には、アプリケーション 912 、セキュアモジュール 914 、およびオペレーティングシステム 916 が含まれる。アプリケーション 912 にはソフトウェアが含まれており、このソフトウェアは、メディアストリームに含まれる放送コンテンツの目的を利用するか、もしくはその目的そのものである。セキュアモジュール 914 は、ソフトウェア(または別の実施例ではハードウェア)であって、データをセキュアに保存して何らかの機能を実施する。そうした機能としては例えば、特定のメディアストリームへのユーザーのアクセスを、トラフィックキーの復号化を制御することによって許可もしくは拒否することがある。セキュアモジュールは、アクセスポリシー(AP) 918 、セッションキー(SK) 920 、およびクライアント別の秘密(CSS) 922 を、含むかまたは利用する。アクセスポリシー 918 に放送属性(BA)およびローカルプロファイルデータ(LPD)から受けた入力が与えられ、アクセスポリシー 918は特定のトラフィックキーを現時点で復号化するべきか否か評定するのに用いられる。セッションキー 920 を使って、特定の放送チャンネル上の放送へのユーザーのアクセスを、特定の時間量に亙って許可する。クライアント別の秘密 922 は識別子であり、これを用いることでネットワーク内のすべての装置を一意に識別できる。クライアント別の秘密 922 はSM内に保存され、このSMとサービス配信者のみが知っている。オペレーティングシステム 912 は、全体的なシステムの機能性を齎している。
ここまで本発明を、完全に機能するデータ処理システムについての文脈で語ってきた。が、本発明にかかる工程を、命令群を収めたコンピュータが読取可能な媒体の形態、さらにはさまざまな形態で配布可能であって、そして、配布に実際に使われた媒体を搬送する特定の型の信号には依らず、本発明は均しく適用される、ということを当業者は正しく理解できる旨を重視されたい。コンピュータが読取可能な媒体の例としては、記録可能型媒体(フロッピーディスク、ハードディスクドライブ、RAM、およびCD-ROMなど)があるが、さらには伝送型媒体(デジタル通信リンク、およびアナログ通信リンクなど)も含まれる。
本発明の特定の実施形態について述べてきたが、当業者には、記載した実施形態と均等であるその他の実施形態が存在するということが理解されるであろう。例えば、本発明は、送信するemailメッセージの走査において有用であり、さらには受信するemailメッセージの走査においても有用である。したがって、本発明は、説明された特定の実施形態群によって限定されるべきものでは無く、付随する請求項の範囲によってのみ限定されるものである、ということを理解されたい。
添付の図面を参照することにより、本発明の構造および動作の双方についての詳細に関する最良の理解が得られるであろう。なお添付の図面では、類似する参照番号および名称は、類似する要素を指す。
コンテンツ受信者が、加入サービスから有効なセッションキーと対応する耐タンパーなアクセスポリシーとをセキュアに得る工程を示す、例示的な流れ図である。
変化してゆくトラフィックキーを用いて放送コンテンツを暗号化することで、悪質なアプリケーションが他のアプリケーションとトラフィックキーを共有してそうした他のアプリケーションがコンテンツへのアクセス権を得ることができないようにする、という工程を説明する、例示的な流れ図である。
図2に示したものと同様ではあるが、トラフィックキーがメディアと同じストリームに在る放送であることが異なっている工程を示す、例示的な流れ図である。
放送属性を、セッションキーおよびトラフィックキーを用いて暗号化させることにより、放送属性に耐タンパー性を持たせる工程を示す例示的な流れ図である。その後、暗号化された放送属性を、対応するトラフィックキーと共に送信する。
放送属性をトラフィックキー自体の中に埋め込む工程を示す例示的な流れ図である。
放送属性にトラフィックキーを用いて署名することで、放送属性に耐タンパー性を持たせる工程を示す例示的な流れ図である。その後、署名された放送属性を、対応するトラフィックキーと共に送信する。放送属性自体は平文で送信される。
アプリケーションがセキュアモジュールを呼び出して、付随する放送属性を使ってトラフィックキーを復号化するための工程を示す例示的な流れ図である。セキュアモジュールは、放送属性が改竄されておらず、且つ放送属性がこの特定のトラフィックキーに適合することを検証する。ローカルプロファイルデータを、検証された放送属性と組み合わせて使って、アクセスポリシーが満たされているかどうかを検証する。そしてアクセスポリシーが満たされていたならば、セキュアモジュールはトラフィックキーを復号化して、アプリケーションがアクセス可能な記憶位置へ保存する。
個々の制限ポリシー、放送ポリシーデータ、ならびに、ローカル装置情報およびユーザープロファイル情報、に基づいてユーザーを選別するために、放送へのアクセス権を制限する、本発明にかかるアプリケーションを図示したものである。
本発明を実施可能な、例示的な放送受信器のブロック図である。
Claims (28)
- 装置でマルチメディア放送を扱う方法であって、
トラフィックキーを用いて暗号化されたメディアストリーム中の放送コンテンツを受信するステップと、
セッションキーを用いて暗号化された前記トラフィックキーを受信するステップと、
前記トラフィックキーおよび前記セッションキーを用いて暗号化された放送属性を受信するステップと
を含み、ここで、
前記装置による前記メディアストリームの使用が、前記放送属性と、前記装置のアクセスポリシーとを使って制御されている
ことを特徴とする、方法。 - 前記アクセスポリシーが、前記メディアストリームの使用上の複数の制限を定めることを特徴とする、請求項1記載の方法。
- 前記メディアストリームの視聴に対し定められた前記複数の制限が、加入者毎の基盤に関するものであることを特徴とする、請求項2記載の方法。
- 前記放送属性を使って、現在の放送コンテンツに対して前記アクセスポリシーが適切であるかどうかを評定するステップと、
前記アクセスポリシーが前記現在の放送コンテンツに対して適切でない場合に、前記トラフィックキーの復号化を阻止するステップと
をさらに含むことを特徴とする、請求項1記載の方法。 - 前記放送属性を使って現在の放送コンテンツに対して前記アクセスポリシーが適切であるかどうかを評定するステップが、前記装置のユーザーの年齢および前記放送コンテンツの級別に基づくことを特徴とする、請求項4記載の方法。
- 前記放送属性を使って現在の放送コンテンツに対して前記アクセスポリシーが適切であるかどうかを評定するステップが、地理的領域に基づくことを特徴とする、請求項4記載の方法。
- 前記地理的領域が、都市、路線、空港、公共交通駅、競技場、遊園地、美術館/博物館、ならびに、商業上の公共的地点もしくは私的地点、のうちのひとつ以上を含むことを特徴とする、請求項6記載の方法。
- 前記放送属性を使って現在の放送コンテンツに対して前記アクセスポリシーが適切であるかどうかを評定するステップが、時刻に基づくことを特徴とする、請求項4記載の方法。
- 前記放送属性を使って現在の放送コンテンツに対して前記アクセスポリシーが適切であるかどうかを評定するステップが、前記メディアストリームに含まれた付加的なデータに基づくことを特徴とする、請求項4記載の方法。
- 前記放送属性を使って現在の放送コンテンツに対して前記アクセスポリシーが適切であるかどうかを評定するステップが、選択されたメンバーにのみ利用可能とされた前記放送コンテンツに含まれた付加的なデータに基づくことを特徴とする、請求項4記載の方法。
- 前記付加的なデータが、仮想スポーツeven情報(fantasy sporting even information
)、スポーツイベント情報、キャラクターもしくはそうしたキャラクターを演ずる役者についての情報、場所や小道具についての情報、前記放送コンテンツの製作に携わる脚本家、ディレクター、プロデューサー、もしくはその他に関する情報、前記放送コンテンツに関してのコメンタリー、ならびに、前記放送コンテンツのための別の言語、のうちの少なくともひとつを含むことを特徴とする、請求項10記載の方法。 - 前記放送属性を使って現在の放送コンテンツに対して前記アクセスポリシーが適切であるかどうかを評定するステップが、ユーザー加入の満了情報に基づくことを特徴とする、請求項4記載の方法。
- 前記放送属性を使って現在の放送コンテンツに対して前記アクセスポリシーが適切であるかどうかを評定するステップが、ユーザーの行う特定の放送ストリームの視聴を、復号化されたトラフィックキーの数の計上に基づいた特定の時間量についてのみ許可することに基づくことを特徴とする、請求項4記載の方法。
- 前記放送属性、ローカル装置情報、ユーザープロファイル情報、および履歴情報、のうちの少なくともひとつを使って、現在の放送コンテンツに対して前記アクセスポリシーが適切であるかどうかを評定するステップと、
前記アクセスポリシーが前記現在の放送コンテンツに対して適切でない場合に、前記トラフィックキーの復号化を阻止するステップと
をさらに含むことを特徴とする、請求項1記載の方法。 - 前記放送コンテンツが、前記装置上のアプリケーションが用いるデータを含むことを特徴とする、請求項1記載の方法。
- 前記装置が、前記メディアストリームを、表示するかもしくはその他のやりかたで使用する機能を有する携帯装置であることを特徴とする、請求項1記載の方法。
- 前記セッションキーおよび前記アクセスポリシーを使って、ひとつ以上の関連するメディアストリームもしくは放送チャンネルへのアクセスを、可能とするかまたは制限し、ここで、関連するメディアストリームもしくは放送チャンネルのそれぞれについての権限が異なることを特徴とする、請求項1記載の方法。
- 前記アクセスポリシーを受信し、前記装置内にセキュアに保存することで、前記装置上のアプリケーションが前記アクセスポリシーを操作できず、ひいてはメディアストリームの復号化に用いることもできないことを特徴とする、請求項17記載の方法。
- 前記アクセスポリシーを前記装置のユーザーへ提示すること、あるいは、前記ユーザーが前記メディアストリームもしくは放送チャンネルへのアクセス権を得るためかまたは前記ユーザーが前記メディアストリームもしくは放送チャンネルを視聴するためのユーザーインターフェイスを改変すること、のうちの少なくともひとつを含んだ目的のために、前記装置上のアプリケーションが、前記アクセスポリシーを利用できるようにすることを特徴とする、請求項17記載の方法。
- 前記アクセスポリシーが、パラメータの値の組、パラメータの値の範囲の組、正規表現の組、マッチングpredicate、もしくはマッチングアルゴリズム、のうちの少なくともひとつを含むことを特徴とする、請求項1記載の方法。
- 前記トラフィックキーを前記放送属性を用いて暗号化して、前記放送属性を前記トラフィックキーに束縛することで、前記トラフィックキーと前記放送属性のどちらも前記装置
上のいかなるアプリケーションによっても改竄できず、したがって前記メディアストリームの成功裡の復号化もできない、というステップ
をさらに含むことを特徴とする、請求項1記載の方法。 - 前記放送属性を前記トラフィックキーを用いて暗号化して、前記放送属性を前記トラフィックキーに束縛することで、前記トラフィックキーと前記放送属性のどちらも前記装置上のいかなるアプリケーションによっても改竄できず、したがって前記メディアストリームの成功裡の復号化もできないということを特徴とする、請求項1記載の方法。
- 前記トラフィックキーを用いて暗号化された前記放送属性を、前記装置上のアプリケーションが、前記ユーザーインターフェイスを前記放送属性に基づいて改変することか、もしくは、その他の手法で前記ユーザーに前記放送属性を告知すること、を含んだ目的のために利用できるようにすることを特徴とする、請求項22記載の方法。
- 前記装置上のアプリケーションが、非対応である放送属性およびトラフィックキーを使用できず、したがって成功裡に前記アクセスポリシーを満たすことができず前記メディアストリームの復号化もできないことを特徴とする、請求項1記載の方法。
- 前記放送属性が暗号化された前記トラフィックキー内に埋め込まれ、前記放送属性が、暗号化された前記トラフィックキーと分けては受信されないことを特徴とする、請求項1記載の方法。
- 受信された前記放送属性が、前記メディアストリームに関連するメタデータを含み、前記メタデータが、前記メディアストリームのコンテンツ型、および前記メディアストリームのコンテンツ級別のうちの少なくとも一方を含むことを特徴とする、請求項1記載の方法。
- 受信された前記放送属性がネットワーク環境データを含み、前記ネットワーク環境データが、放送塔の位置、時刻、トラフィック情報、およびネットワーク状態についてのデータ、のうちの少なくともひとつを含むことを特徴とする、請求項1記載の方法。
- 前記メディアストリームには含まれていない付加的なプロファイル情報を使って、前記装置が受信した前記トラフィックキーを復号化できるかどうかを判定するステップ
をさらに含み、ここで前記付加的なプロファイル情報が、
前記装置のGPS位置、サービスの質、標準時間帯、信号強度、および、前記装置の他のローカルネットワーク環境データ、のうちのひとつ以上を含んだ、ローカルネットワーク環境データ、
前記装置の持つメディアストリームを記録する能力、前記装置の持つメディアストリームを再送する能力、および、他の装置別の能力、のうちのひとつ以上を含んだ、装置別のデータ、
前記装置のユーザーの性別、前記装置の前記ユーザーの年齢、前記装置の前記ユーザーの興味、および、前記装置のユーザーに関する他のデータ、のうちのひとつ以上を含んだ、ユーザー別のプロファイルデータ、ならびに、
メディアストリームもしくは放送チャンネルの使用、前記装置上のアプリケーションの使用、および、前記装置が以前どのように使われていたかに関する他のデータ、のうちのひとつ以上を含んだ、装置の使用履歴、
のうちのひとつ以上を含む
ことを特徴とする、請求項1記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US75206005P | 2005-12-21 | 2005-12-21 | |
| US11/641,042 US20070140488A1 (en) | 2005-12-21 | 2006-12-19 | Restriction of broadcast session key use by secure module decryption policy |
| PCT/US2006/048357 WO2007075633A2 (en) | 2005-12-21 | 2006-12-20 | Restriction of broadcast session key use by secure module decryption policy |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009521845A true JP2009521845A (ja) | 2009-06-04 |
Family
ID=38173513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008547423A Withdrawn JP2009521845A (ja) | 2005-12-21 | 2006-12-20 | セキュアなモジュール復号化ポリシーによる放送セッションキーの使用制限法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20070140488A1 (ja) |
| EP (1) | EP1963992A4 (ja) |
| JP (1) | JP2009521845A (ja) |
| WO (1) | WO2007075633A2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012221346A (ja) * | 2011-04-12 | 2012-11-12 | Nippon Hoso Kyokai <Nhk> | 受信端末、信頼度判定装置および信頼度判定システム |
| WO2013021814A1 (ja) * | 2011-08-10 | 2013-02-14 | 株式会社日立ソリューションズ | ネットワークシステム、移動通信端末及びプログラム |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8607281B2 (en) | 2006-09-07 | 2013-12-10 | Porto Vinci Ltd. Limited Liability Company | Control of data presentation in multiple zones using a wireless home entertainment hub |
| US9319741B2 (en) | 2006-09-07 | 2016-04-19 | Rateze Remote Mgmt Llc | Finding devices in an entertainment system |
| US20080222707A1 (en) * | 2007-03-07 | 2008-09-11 | Qualcomm Incorporated | Systems and methods for controlling service access on a wireless communication device |
| US8412926B1 (en) * | 2007-04-11 | 2013-04-02 | Juniper Networks, Inc. | Using file metadata for data obfuscation |
| US8166031B2 (en) * | 2007-05-04 | 2012-04-24 | Redknee Inc. | System and method for providing context based services |
| EP2166761A1 (en) * | 2008-09-19 | 2010-03-24 | Nagravision S.A. | Method to enforce by a management center the access rules to a broadcast product |
| US8452011B2 (en) | 2008-10-24 | 2013-05-28 | Qualcomm Incorporated | Method and apparatus for billing and security architecture for venue-cast services |
| DE102009024604B4 (de) * | 2009-06-10 | 2011-05-05 | Infineon Technologies Ag | Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung |
| US9213776B1 (en) | 2009-07-17 | 2015-12-15 | Open Invention Network, Llc | Method and system for searching network resources to locate content |
| US9645996B1 (en) | 2010-03-25 | 2017-05-09 | Open Invention Network Llc | Method and device for automatically generating a tag from a conversation in a social networking website |
| US8838140B1 (en) * | 2010-11-09 | 2014-09-16 | Open Invention Network, Llc | Sharing a live view on a mobile device |
| US20150052102A1 (en) * | 2012-03-08 | 2015-02-19 | Perwaiz Nihal | Systems and methods for creating a temporal content profile |
| EP2828800B1 (en) * | 2012-03-23 | 2019-09-11 | Nokia Technologies Oy | Cryptographically authenticated communication |
| US9215591B2 (en) | 2012-12-06 | 2015-12-15 | At&T Intellectual Property I, L.P. | Security for network load broadcasts over cellular networks |
| US9397830B2 (en) * | 2012-12-30 | 2016-07-19 | Raymond Richard Feliciano | Method and apparatus for encrypting and decrypting data |
| US10554399B2 (en) * | 2012-12-30 | 2020-02-04 | Audacious Designs, Llc | Method and apparatus for encrypting and decrypting data |
| US9465923B2 (en) * | 2013-03-08 | 2016-10-11 | Intel Corporation | Blackouts architecture |
| US9330275B1 (en) * | 2013-03-28 | 2016-05-03 | Amazon Technologies, Inc. | Location based decryption |
| US9680650B2 (en) * | 2013-08-23 | 2017-06-13 | Qualcomm Incorporated | Secure content delivery using hashing of pre-coded packets |
| US10635811B2 (en) | 2017-03-21 | 2020-04-28 | Secureworks Corp. | System and method for automation of malware unpacking and analysis |
| EP3603091A1 (en) | 2017-03-21 | 2020-02-05 | Intertrust Technologies Corporation | Managed content distribution systems and methods |
| US11146837B2 (en) * | 2017-12-08 | 2021-10-12 | Hulu, LLC | Audience location for media programs in live linear programming |
| US11005655B2 (en) * | 2018-10-31 | 2021-05-11 | Dell Products L.P. | System and method of providing information to a device |
| US11553026B2 (en) * | 2019-05-27 | 2023-01-10 | International Business Machines Corporation | Regulating content associated with a streaming platform |
| US11349640B2 (en) * | 2019-09-12 | 2022-05-31 | Intertrust Technologies Corporation | Dynamic broadcast content access management systems and methods |
| US20230388280A1 (en) * | 2022-05-25 | 2023-11-30 | CybXSecurity LLC | System, Method, and Computer Program Product for Generating Secure Messages for Messaging |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7133845B1 (en) * | 1995-02-13 | 2006-11-07 | Intertrust Technologies Corp. | System and methods for secure transaction management and electronic rights protection |
| EP1132828A4 (en) * | 1999-09-17 | 2007-10-10 | Sony Corp | DATA-DISPATCHING SYSTEM AND METHOD THEREFOR |
| JP4529056B2 (ja) * | 2000-03-21 | 2010-08-25 | ソニー株式会社 | 情報処理装置および方法、記録媒体、並びに情報処理システム |
| US6725303B1 (en) * | 2000-08-31 | 2004-04-20 | At&T Corp. | Method and apparatus for establishing a personalized connection with a network |
| AUPR230700A0 (en) * | 2000-12-22 | 2001-01-25 | Canon Kabushiki Kaisha | A method for facilitating access to multimedia content |
| EP1320006A1 (en) * | 2001-12-12 | 2003-06-18 | Canal+ Technologies Société Anonyme | Processing data |
| US7380120B1 (en) * | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
| US20040181811A1 (en) * | 2003-03-13 | 2004-09-16 | Rakib Selim Shlomo | Thin DOCSIS in-band management for interactive HFC service delivery |
| US20040190721A1 (en) * | 2003-03-24 | 2004-09-30 | Microsoft Corporation | Renewable conditional access system |
| US20060008256A1 (en) * | 2003-10-01 | 2006-01-12 | Khedouri Robert K | Audio visual player apparatus and system and method of content distribution using the same |
| JP4487607B2 (ja) * | 2004-03-23 | 2010-06-23 | ソニー株式会社 | 情報処理システム、情報処理装置および方法、記録媒体、並びにプログラム |
-
2006
- 2006-12-19 US US11/641,042 patent/US20070140488A1/en not_active Abandoned
- 2006-12-20 WO PCT/US2006/048357 patent/WO2007075633A2/en active Application Filing
- 2006-12-20 JP JP2008547423A patent/JP2009521845A/ja not_active Withdrawn
- 2006-12-20 EP EP06845773A patent/EP1963992A4/en not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012221346A (ja) * | 2011-04-12 | 2012-11-12 | Nippon Hoso Kyokai <Nhk> | 受信端末、信頼度判定装置および信頼度判定システム |
| WO2013021814A1 (ja) * | 2011-08-10 | 2013-02-14 | 株式会社日立ソリューションズ | ネットワークシステム、移動通信端末及びプログラム |
| JP2013038716A (ja) * | 2011-08-10 | 2013-02-21 | Hitachi Solutions Ltd | ネットワークシステム、移動通信端末及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1963992A2 (en) | 2008-09-03 |
| WO2007075633A3 (en) | 2008-05-08 |
| US20070140488A1 (en) | 2007-06-21 |
| EP1963992A4 (en) | 2009-09-16 |
| WO2007075633A2 (en) | 2007-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2009521845A (ja) | セキュアなモジュール復号化ポリシーによる放送セッションキーの使用制限法 | |
| US9900306B2 (en) | Device authentication for secure key retrieval for streaming media players | |
| ES2682243T3 (es) | Sistema multidifusión de distribución de contenidos multimedia | |
| KR100724935B1 (ko) | 컨텐츠 보호를 위한 개체 간 연동 방법 및 장치, 그리고 그시스템 | |
| CN101110678B (zh) | 用于移动通信系统内安全数据传输的方法和装置 | |
| RU2547446C2 (ru) | Способ доступа к услугам, осуществляемого абонентским модулем | |
| US20120003923A1 (en) | Floating and fixed time merchandising and access control | |
| US20060179489A1 (en) | Conditional access system for digital data by key decryption and re-encryption | |
| US7865723B2 (en) | Method and apparatus for multicast delivery of program information | |
| US20070199015A1 (en) | System for deferred rights to restricted media | |
| KR20030060923A (ko) | 멀티미디어 콘텐츠의 콘텐츠 권리 및 조건의 시행 방법 | |
| JP2006109391A (ja) | 仮想スマートカード・クライアント・システムへのデータ・ストリームを暗号化するためのプロセスおよびストリーミング・サーバ | |
| MX2007013885A (es) | Administracion de derechos de grano fino de contenido de canalizacion. | |
| CN101945248A (zh) | 处理流中的可录制内容 | |
| JP2009503714A (ja) | 地理的制約をシグナリングする方法 | |
| ES2404041T3 (es) | Sistema y método para proporcionar acceso autorizado a contenido digital | |
| US11949952B2 (en) | Display apparatus, information terminal and information processing method | |
| KR20060105862A (ko) | 서비스 제공자와 다수의 단말기 간에 브로드캐스트 서비스를 지원하는 컨텐츠 보호 방법 및 장치 | |
| KR100663443B1 (ko) | 서비스 보호를 위한 구조 및 개체간 연동 방법 및 장치그리고 그 시스템 | |
| EP2476228B1 (en) | Technique for determining usage of encrypted media content | |
| EP4242883A1 (en) | Method and system for managing content data access | |
| JP2003032646A (ja) | 配信装置、配信システム、配信方法、制御プログラムを提供する媒体、及び制御プログラム | |
| Wang et al. | Meeting the Digital Rights Requirements of Live Broadcast in a Peer-to-Peer Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090831 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090831 |
|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20100302 |