JP4522645B2 - セキュアコンテンツを暗号的に保護する方法およびシステム - Google Patents
セキュアコンテンツを暗号的に保護する方法およびシステム Download PDFInfo
- Publication number
- JP4522645B2 JP4522645B2 JP2002352806A JP2002352806A JP4522645B2 JP 4522645 B2 JP4522645 B2 JP 4522645B2 JP 2002352806 A JP2002352806 A JP 2002352806A JP 2002352806 A JP2002352806 A JP 2002352806A JP 4522645 B2 JP4522645 B2 JP 4522645B2
- Authority
- JP
- Japan
- Prior art keywords
- encrypted
- content
- overlay
- decrypting
- gpu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、セキュアコンテンツを暗号的に保護する方法およびシステムに関する。具体的には、本発明は、コンテンツに関する機密性およびタンパ保護の両方を提供する、グラフィックスパイプラインを介してルーティングされるコンテンツの暗号的な保護の技法に関する。
【0002】
【従来の技術】
インターネットと多くの他のソースおよびアプリケーションが、聴く、視る、処理する、保管するおよび他の形のレンダリングのために、膨大な数のストリーミングおよび固定メディアまたは他のコンテンツを提供する。しかし、現在、ストリーミングまたは固定メディアまたはコンテンツをコピー保護された形で取り込むか記録するかレンダリングし、その結果、コンテンツが処理されつつある時またはコンテンツがレンダリングされつつある時のいずれかに、著作権侵害者が、パイプラインに沿ったある点でストリームを傍受し、コンテンツのコピーを所有するかコンテンツを変更することができないようにする実用的な方法はない。
【0003】
この問題は、過去に、たとえばテレビジョンコンテンツに関するVCR、オーディオ信号に関するテープレコーダなど、他のメディアのレンダリングデバイスおよび記録デバイスに関して存在したが、少なくとも1つの重要な相違がある。ディジタルメディアコンテンツは、事実上信号損失なしに記録することができるので、これが、作品を報酬なしで自由に供給(著作権侵害)されるという著作権所有者にとっての「リスク」を提起する。VCRおよびテープレコーダに関して、デバイスおよび伝送メディアは、記録処理に雑音またはデータの劣化をもたらす。ストリーミングまたは固定ディジタルメディアでは、事実上ロス無しの変換および再伝送を、少なくとも人間の耳および目の能力の限度まで、行うことができない理由が存在せず、純粋なディジタルデータを保管し、自由に配布することができない理由もない。したがって、著作権所有者が報酬のために提供することができるものと、著作権侵害者が無料で提供できるものの間にほとんど差がないので、ディジタルデータの自由な再配布を防ぐことが望ましい。
【0004】
さらに、e-コマーストランザクションなど、機密であることが望まれる通信に関して、その対話にかかわるユーザにとって、許可されない第三者がそのトランザクションに内々関与しないことが重要である。したがって、信頼されるソースからのコンテンツに関して、現在、著作権侵害または破損を防がずにユーザのコンピュータ上でデータを「セキュアに」処理またはレンダリングする実用的な方法がない。
【0005】
具体的に言うと、コンテンツが、ホストコンピューティングシステム、1つまたは複数のグラフィックス処理システム(GPU)、およびたとえばモニタなどのレンダリングデバイスの間でパイプライン化されると、著作権侵害者または他の許可されない第三者が、回線または信号のそばにとどまり、著作権侵害または信号の破損のいずれかを行う機会が多数ある。さらに、ユーザの対話が、メッセージングサービスおよびビデオテレコンファレンシングを介してより洗練されるのにつれて、どこから発したものであれ、セキュアコンテンツのための信頼されるパイプラインを提供することが、ますます重要な前進になる。
【0006】
さらに、オペレーティングシステム、コンピューティングデバイス、およびアプリケーションの将来の世代が、現在のパーソナルコンピュータ(PC)のようにCPUからほとんどのコンピューティングパワーを引き出すのではなく、ビジネスアプリケーションについてGPUからより多くのコンピューティングパワーを使用するのは明らかである。したがって、「信頼されるグラフィックス」アプリケーションを介してGPUに送られるコンテンツが、将来のコンピューティングデバイスの、現在のコンピューティングシステムによって適切に対処されていない基本的な特徴になることが確実になる。
【0007】
信頼されるコンテンツのセキュアパイプラインを提供するというこの問題は、次の2つの部分を有すると考えることができ、(1)信頼されるコンテンツを、パイプライン中のあるウィークポイントでコピーまたは表示することができないことを保証しなければならず(機密性)、(2)パイプラインが、パイプライン内のデータの許可されない破壊を防ぐことを保証しなければならない(保護)。システムセキュリティに関して、複雑さは、システムのセキュリティを証明することがより困難になるので、不利である。空港または他のセキュリティシナリオと同様に、システムの入口と出口が増えるほど、セキュリティを保証するのが困難になる。これに関して、現在、GPU機能性およびディスプレイドライバの大部分を、機密性と保護性の両方に関して信頼できるようにする手段はない。したがって、信頼されるソースからコンテンツを受信するコンピューティングデバイスと共に信頼されるグラフィックス環境を実施し、第三者が、コンテンツを許可なしにコピーすることができず、タンパリングまたは変更することができないことを、デバイスのユーザに保証できるようにすることが望ましい。
【0008】
【発明が解決しようとする課題】
本発明の目的は、コンピューティングデバイスのグラフィックスサブシステムに関連してセキュアコンテンツを暗号的に保護する方法およびシステムを提供することにある。
【0009】
【課題を解決するための手段】
ビデオメモリのコンテンツを暗号化する技法を実施し、その結果、許可されないソフトウェアが、それに対する意味のあるアクセスを得ることができなくなり、これによって、機密性の目標を満足する。さらに、タンパ検出の機構を提供し、その結果、データがある形で変更された時が知られ、これによって、保護可能性の目標を満足する。さまざまな実施形態で、本発明は、オーバーレイサーフェスおよび/またはコマンドバッファのコンテンツを暗号化する方法を説明し、かつ/またはGPUが、信頼されない当事者、デバイス、またはソフトウェアへの可用性を防ぎながら、暗号化されたコンテンツを操作できるようにする方法を説明する。
【0010】
本発明の方法には、ビデオメモリと、グラフィックス処理ユニット(GPU)と、GPUに通信的に結合された暗号処理デバイスとを有する信頼されるグラフィックスシステムに関してセキュアコンテンツを暗号的に保護する技法であって、
アプリケーションまたはデバイスによって、セキュアコンテンツの処理またはレンダリングを実行するようにグラフィックスシステムに要求する工程と、ここで、該要求は、アプリケーションまたはデバイスによってセッション鍵をグラフィックスシステムに送る工程と、セキュアコンテンツをビデオメモリの暗号化された部分に送る工程とを含み、
暗号処理デバイスと通信するGPUによってビデオメモリの暗号化された部分のコンテンツを復号する工程と、
GPUによって復号されたコンテンツに対して処理またはレンダリングを実行する工程と、
GPUからコンテンツを出力する工程とを含む技法が、さまざまに含まれる。
【0011】
本発明の類似する方法には、アプリケーションまたはデバイスによって、セキュアコンテキストの処理またはレンダリングを実行するようにグラフィックスシステムに要求する工程と、ここで、該要求は、アプリケーションまたはデバイスによって、暗号処理デバイスによる検証のためにセッション鍵をグラフィックスシステムに送る工程と、セキュアコンテンツをビデオメモリの暗号化された部分に送る工程とを含み、
GPUの入力ユニットン復号機構によってビデオメモリの暗号化された部分のコンテンツを復号する工程と、ここで、該復号機構は、暗号処理デバイスと通信し、
GPUによる復号されたコンテンツに対する処理またはレンダリングを実行する工程と、
GPUの出力ユニットの暗号化/復号機構を用いてコンテンツを暗号化する工程と、
暗号化されたコンテンツをGPUから出力する工程とが、さまざまに含まれる。
【0012】
本発明の他の特徴および実施形態を以下で説明する。
【0013】
本発明によるセキュアコンテキストを暗号的に保護する方法およびシステムを、添付図面に関してさらに説明する。
【0014】
【発明の実施の形態】
<概要>
本発明は、耐タンパ機密ダイアログおよび許可されない複製に抵抗するプレミアムコンテンツの再生など、「信頼されるグラフィックス」アプリケーションを可能にするために、信頼されるソースからのコンテンツとコンテンツの処理および/またはレンダリングのためのグラフィックスシステムとの間のオペレーティングシステムまたは他の中間物を増補するシステムおよび技法を提供する。本発明を1つの視点からとらえると、本発明が3「レベル」のセキュリティすなわち、(1)オーバーレイサーフェスのコンテンツの暗号化と、(2)GPUまたは他の共用プロセッシングデバイスが、暗号化されたコンテンツを、信頼されない当事者から使用可能にせずに操作できるようにすることと、(3)コマンドバッファを暗号化できるようにすることを提供することである。
【0015】
上で述べたように、システムセキュリティに関連して、複雑さは、システムのセキュリティを証明することがより困難になるので、不利である。その結果、本発明は、GPU機能性およびディスプレイドライバの大部分が信頼できないとみなさなければならないことを考慮することによって開始される。その後、セキュリティの判断基準を満たすために実施することができるハードウェアの範囲を制限することによって、機密性と保護可能性に関する正しい実施形態の可能性を高める技法を適用する。
【0016】
本発明による用語法の一部は、上で既に述べた。しかし、説明を明瞭にするために、いくつかの単語を強調する。用語機密は、第三者のデバイスまたはソフトウェアなど、信頼されない第三者が信頼されるコンテンツ情報へのアクセス権を得られないようにすることである。そのような機密性の例に、信頼されない第三者がグラフィックスパイプラインに沿ったどこかで暗号化されたプレミアムビデオコンテンツの再生へのアクセスを得られないようにすることが含まれる。用語保護されたとは、第三者のデバイスまたはソフトウェアなど、信頼されない第三者が、検出されずに、信頼されるコンテンツ情報へのアクセスを得るかそれを変更することができないようにすることである。そのような保護可能性の例に、e-コマーストランザクション中に発生する可能性があるセキュア対話の表示へのアクセス入手または変更を、許可されない第三者が行えなくすることである。
【0017】
これに関して、本発明は、プレミアムコンテンツビデオストリームの上のユーザインターフェースなどのオーバーラップするウィンドウ、ならびにe-コマース対話中に提示される可能性があるさえぎられないウィンドウを考慮する。
【0018】
<例示的ネットワーク環境>
当業者は、コンピュータ、他のクライアントデバイス、または他のサーバデバイスを、コンピュータネットワークの一部としてまたは分散コンピューティング環境内で展開できることを理解することができる。これに関して、本発明は、任意の数のメモリユニットまたは記憶ユニット、任意の数の記憶ユニットまたは記憶ボリュームにまたがって発生する任意の数のアプリケーションおよびプロセス(本発明の信頼されるグラフィックス管理様式にかかわる可能性がある)を有するすべてのコンピュータシステムに関係する。本発明は、ネットワーク環境または分散コンピューティング環境で展開される、リモートストレージまたはローカルストレージを有する、サーバコンピュータおよびクライアントコンピュータを伴う環境に適用することができる。本発明は、プログラミング言語機能性、リモートサービスまたはローカルサービスに関連する情報の生成、受信、および送信の、解釈機能および実行機能を有する独立のコンピューティングデバイスにも適用することができる。
【0019】
分散コンピューティングは、コンピューティングデバイスおよびコンピューティングシステムの間の直接交換によるコンピュータリソースおよびコンピュータサービスの共有を促進する。これらのリソースおよびサービスには、情報の交換、キャッシュストレージ、およびファイルのディスクストレージが含まれる。分散コンピューティングは、ネットワーク接続性を活用し、クライアントが集合的な能力を活用して、企業全体に利益を与える。これに関して、さまざまなデバイスが、本発明の信頼されるグラフィックスパイプラインに関係するために対話することができるアプリケーション、オブジェクト、またはリソースを有することができる。
【0020】
図1に、例示的なネットワーク環境または分散コンピューティング環境の概略図を示す。分散コンピューティング環境には、コンピューティングオブジェクト10a、10bなどと、コンピューティングオブジェクトまたはコンピューティングデバイス110a、110b、110cなどが含まれる。これらのオブジェクトに、プログラム、メソッド、データストア、プログラマブルロジックなどを含めることができる。オブジェクトには、PDA、テレビジョン、MP3プレイヤ、テレビジョン、パーソナルコンピュータなどの同一のまたは異なるデバイスの諸部分を含めることができる。各オブジェクトは、通信ネットワーク14によって別のオブジェクトと通信することができる。このネットワーク自体に、図1のシステムにサービスを提供する他のコンピューティングオブジェクトおよびコンピューティングデバイスを含めることができる。本発明の1態様によれば、各オブジェクト10または110に、信頼されるグラフィックスリソースを要求することができるアプリケーションを含めることができる。
【0021】
110cなどのオブジェクトを、別のコンピューティングデバイス10または110上でホストできることも諒解されたい。したがって、図示の物理環境に、接続されたデバイスがコンピュータとして示されているが、そのような図示は、単なる例示であり、その代わりに、物理環境を、PDA、テレビジョン、MP3プレイヤなどのさまざまなディジタルデバイスと、インターフェース、COMオブジェクト、および類似物などのソフトウェアオブジェクトを含むものとして図示または記述することができる。
【0022】
分散コンピューティング環境をサポートするさまざまなシステム、コンポーネント、およびネットワーク構成がある。たとえば、コンピューティングシステムを、有線システムまたは無線システムによって、ローカルネットワークまたは広域分散ネットワークによって、一緒に接続することができる。現在、多数のネットワークが、インターネットに結合され、インターネットは、広域分散コンピューティングのインフラストラクチャを提供し、多数の異なるネットワークを含む。
【0023】
ホームネットワーキング環境では、それぞれが電力線、データ(無線と有線の両方)、音声(たとえば電話)、およびエンターテインメントメディアなどの独自のプロトコルをサポートすることができる少なくとも4つのネットワークトランスポートメディアがある。照明スイッチおよび電力機器などのほとんどのホームコントロールデバイスは、接続に電力線を使用することができる。データサービスは、ブロードバンド(たとえばDSLまたはケーブルモデムのいずれか)として家庭に入ることができ、無線(たとえばHomeRFまたは802.11b)または有線(Home PNA、Cat 5、電力線)のいずれかの接続性を使用して家庭内でアクセス可能である。音声トラフィックは、有線(たとえばCat 3)または無線(たとえばセル電話)のいずれかとして家庭に入ることができ、Cat 3配線を使用して家庭内で分配することができる。エンターテインメントメディアは、衛星またはケーブルのいずれかを介して家庭に入ることができ、通常は、同軸ケーブルを使用して家庭内で分配される。IEEE 1394およびDVIも、メディアデバイスのクラスタ用のディジタル相互接続として現れつつある。これらのネットワーク環境および、プロトコル標準として現れる可能性があるもののすべてを、イントラネットを形成するために相互接続することができ、このイントラネットを、インターネットによって外部の世界に接続することができる。手短に言うと、さまざまな異なるソースが、データのストレージおよび伝送のために存在し、その結果、前に進むと、コンピューティングデバイスが、データ処理パイプラインのすべての部分でコンテンツを保護する方法を必要とする。
【0024】
インターネットは、一般に、コンピュータネットワーキングの分野で周知のTCP/IPプロトコルスイートを使用する、ネットワークおよびゲートウェイの集合を指す。TCP/IPは、「Transport Control Protocol/Internet Protocol」の頭字語である。インターネットは、ユーザがネットワークを介して対話でき、情報を共有できるようにするネットワーキングプロトコルを実行するコンピュータによって相互接続された、地理的に分散したリモートコンピュータネットワークのシステムと説明することができる。そのような広範囲に分散した情報共有のゆえに、インターネットなどのリモートネットワークは、これまでは、一般に、開発者が本質的に制約なしで特殊化された動作またはサービスを実行するソフトウェアアプリケーションを設計できるオープンシステムに進化してきた。
【0025】
したがって、ネットワークインフラストラクチャは、クライアント/サーバ、ピアツーピア、またはハイブリッドアーキテクチャなどのネットワークトポロジのホストを可能にする。「クライアント」は、関連のない別のクラスまたはグループのサービスを使用する、あるクラスまたはグループのメンバである。したがって、コンピューティングにおいて、クライアントは、別のプログラムによって提供されるサービスを要求する、プロセスすなわち、おおまかには命令またはタスクの組である。クライアントプロセスは、他のプログラムまたはサービス自体に関する動作の詳細を「知る」必要なしに、要求されたサービスを使用する。クライアント/サーバアーキテクチャ、具体的にはネットワーク化されたシステムでは、クライアントが、通常は、別のコンピュータ、たとえばサーバによって提供される共有されるネットワークリソースにアクセスするコンピュータである。図1の例では、コンピュータ110a、110bなどを、クライアントとみなすことができ、コンピュータ10a、10bなどの、サーバとみなすことができ、サーバ10a、10bなどは、クライアントコンピュータ110a、110b内で複製されるデータを維持する。
【0026】
サーバは、通常は、インターネットなどのリモートネットワークを介してアクセス可能なリモートコンピュータシステムである。クライアントプロセスを、第1のコンピュータシステムでアクティブにすることができ、サーバプロセスを、第2のコンピュータシステムでアクティブにすることができ、これらのコンピュータが、通信メディアを介して互いに通信し、したがって、分散機能性が提供され、複数のクライアントがサーバの情報収集能力を利用できるようになる。
【0027】
クライアントとサーバは、プロトコル層によって提供される機能性を使用して互いに通信する。たとえば、Hypertext-Transfer Protocol(HTTP)は、ワールドワイドウェブ(WWW)に関連して使用される共通プロトコルである。通常、Universal Resource Locator(URL)アドレスまたはInternet Protocol(IP)アドレスなどのコンピュータネットワークアドレスが、サーバまたはクライアントコンピュータがお互いを識別するのに使用される。ネットワークアドレスを、Universal Resource Locatorアドレスと呼ぶことができる。たとえば、通信を、通信メディアを介して提供することができる。具体的に言うと、クライアントとサーバを、大容量通信用のTCP/IP接続を介して互いに結合することができる。
【0028】
したがって、図1は、本発明を実施することができる、ネットワーク/バスを介してクライアントコンピュータと通信するサーバを有する、例示的なネットワーク化された環境または分散環境を示す図である。詳細に言うと、本発明に従って、複数のサーバ10a、10bなどが、LAN、WAN、イントラネット、インターネットなどとすることができる通信ネットワーク/バス14を介して、複数のクライアントまたはリモートコンピューティングデバイス110a、110b、110c、110d、110eなどに相互接続され、このクライアントまたはリモートコンピューティングデバイスは、ポータブルコンピュータ、ハンドヘルドコンピュータ、シンクライアント、ネットワーク化された機器、または、VCR、TV、オーブン、照明、ヒーター、および類似物などの他のデバイスとすることができる。したがって、本発明が、信頼されるソースからのセキュアコンテンツを処理するか、ストアするか、レンダリングすることが望ましい関連するすべてのコンピューティングデバイスに適用できることが企図されている。
【0029】
通信ネットワーク/バス14が、インターネットであるネットワーク環境では、たとえば、サーバ10を、クライアント110a、110b、110c、110d、110eなどがHTTPなどの複数の既知のプロトコルのどれかを介して通信するウェブサーバとすることができる。サーバ10は、分散コンピューティング環境の特性とすることができるように、クライアント110としても働くことができる。通信は、適当に、有線または無線とすることができる。クライアントデバイス110は、通信ネットワーク/バス14を介して通信してもしなくてもよく、独立の通信を関連付けることができる。たとえば、TVまたはVCRの場合に、その制御に対するネットワーク態様があってもなくてもよい。各クライアントコンピュータ110およびサーバコンピュータ10は、さまざまアプリケーションプログラムモジュールまたはオブジェクト135と、さまざまなタイプのストレージ要素またはストレージオブジェクトへの接続またはアクセスを備えることができ、この接続またはアクセスを介して、ファイルを保管するか、ファイルの諸部分をダウンロードまたは移植することができる。したがって、本発明は、通信ネットワーク/バス14およびサーバコンピュータ10a、10bなどにアクセスでき、対話できるクライアントコンピュータ110a、110bなどを有し、サーバコンピュータ10a、10bなどがクライアントコンピュータ110a、110bなどおよび他のデバイス111およびデータベース20と対話することができる、コンピュータネットワーク環境で使用することができる。
【0030】
<例示的コンピューティングデバイス>
図2および以下の議論は、本発明を実施することができる適当なコンピューティング環境の短い全般的な説明を提供することが意図されている。しかし、ハンドヘルド、ポータブル、および他のコンピューティングデバイスおよびすべての種類のコンピューティングオブジェクトが、本発明に関連する使用について企図されていることを理解されたい。下では汎用コンピュータを説明するが、これは1つの例にすぎず、本発明を、ネットワーク/バスインターオペラビリティおよび対話を有するシンクライアントを用いて実施することができる。したがって、本発明は、非常に少ないか最小のクライアントリソースが用いられるネットワーク化されたホストされるサービスの環境、たとえば、クライアントデバイスが、機器に配置されたオブジェクトなど、単にネットワーク/バスへのインターフェースとして働くネットワーク化された環境で、実施することができる。本質的に、データを保管できるか、そこからデータの検索またはレンダリングを行うことができるどの場所でも、本発明のセキュアコンテンツの暗号的な保護の動作に望ましいか適する環境である。
【0031】
必要ではないが、本発明を、オペレーティングシステムを介して実施する、アプリケーションプログラミングインターフェース(API)を介して実施する、かつ/または信頼されるコンテンツにインターフェースするアプリケーションソフトウェア内に含めることができる。さまざまな実施形態で、本発明は、下で説明するインターフェースおおび暗号化技法に準拠するハードウェアにも適用される。ソフトウェアは、クライアントワークステーション、サーバ、または他のデバイスなどの1つまたは複数のコンピュータによって実行されるプログラムモジュールなど、コンピュータ実行可能命令の全般的な文脈で説明することができる。
【0032】
一般に、プログラムモジュールには、特定のタスクを実行するか特定の抽象データ型を実施する、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造、および類似物が含まれる。通常、プログラムモジュールの機能性を、さまざまな実施形態での望みに応じて組み合わせるか分散することができる。さらに、当業者は、本発明を、他のコンピュータシステム構成と共に実践することができることを諒解するであろう。本発明と共に使用するのに適する可能性がある他の周知のコンピューティングシステム、環境、および/または構成には、パーソナルコンピュータ(PC)、自動預金支払機、サーバコンピュータ、ハンドヘルドデバイスまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、プログラマブル消費者電子機器、ネットワークPC、機器、照明、環境制御要素、ミニコンピュータ、メインフレームコンピュータ、および類似物が含まれるが、これに制限はされない。
【0033】
本発明は、通信ネットワーク/バスまたは他のデータ伝送メディアを介してリンクされたリモート処理デバイスによってタスクが実行される、分散コンピューティング環境でも実践することができる。分散コンピューティング環境では、プログラムモジュールを、メモリストレージデバイスを含むローカルとリモートの両方のコンピュータストレージメディアに配置することができ、クライアントノードが、サーバノードとして働くことができる。
【0034】
したがって、図2には、本発明を実施することができる適当なコンピューティングシステム環境100の例が示されているが、上で明らかにしたように、コンピューティングシステム環境100は、適当なコンピューティング環境の1つの例でしかなく、本発明の使用の範囲または機能性に関する制限を暗示することは意図されていない。コンピューティング環境100を、例示的なオペレーティング環境100に示されたコンポーネントのいずれかまたは組合せに関する依存性または要件を有するものと解釈してはならない。
【0035】
図2に関して、本発明を実施する例示的システムに、コンピュータ110の形の汎用コンピューティングデバイスが含まれる。コンピュータ110のコンポーネントに、処理ユニット120、システムメモリ130、および、システムメモリを含むさまざまなシステムコンポーネントを処理ユニット120に結合するシステムバス121を含めることができるが、これに制限はされない。システムバス121は、メモリバスまたはメモリコントローラ、周辺バス、およびさまざまなバスアーキテクチャの任意の1つを使用するローカルバスを含む複数のタイプのバス構造のどれにでもすることができる。制限ではなく例として、そのようなアーキテクチャに、Industry Standard Architecture(ISA)バス、Micro Channel Architecture(MCA)バス、Enhanced ISA(EISA)バス、Video Electronics Standards Association(VESA)ローカルバス、および、Peripheral Component Interconnects(PCI)バス(メザニンバスとも称する)が含まれる。
【0036】
コンピュータ110には、通常は、さまざまなコンピュータ可読メディアが含まれる。コンピュータ可読メディアは、コンピュータ110によってアクセスできる使用可能なメディアのいずれかとすることができ、コンピュータ可読メディアには、揮発性メディアおよび不揮発性メディアと、取外し可能メディアおよび取外し不能メディアの両方を含めることができる。制限ではなく例として、コンピュータ可読メディアに、コンピュータ記憶メディアと通信メディアを含めることができる。コンピュータ記憶メディアには、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータなどの情報の保管のためのいずれかの方法または技術で実施された、揮発性および不揮発性の、取外し可能および取外し不能のメディアが含まれる。コンピュータ記憶メディアには、RAM、ROM、EEPROM、フラッシュメモリ、または他のメモリ技術、CD-ROM、ディジタル多用途ディスク(DVD)、または他の光学ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ、または他の磁気記憶デバイス、もしくは、所望の情報の保管に使用することができ、コンピュータ110によってアクセスできる他のメディアが含まれるが、これに制限はされない。通信メディアは、通常は、搬送波または他のトランスポート機構などの変調されたデータ信号内でコンピュータ可読命令、データ構造、プログラムモジュール、または他のデータを実施し、通信メディアには、すべての情報配布メディアが含まれる。用語「変調されたデータ信号」は、その特性の1つまたは複数を、信号内で情報をエンコードする形で設定または変更された信号を意味する。制限ではなく例として、通信メディアには、有線ネットワークおよび直接配線接続などの有線メディアと、音響メディア、RFメディア、赤外線メディア、および他の無線メディアなどの無線メディアが含まれる。上記のいずれかの組合せも、コンピュータ可読メディアの範囲に含まれなければならない。
【0037】
システムメモリ130には、読取専用メモリ(ROM)131およびランダムアクセスメモリ(RAM)132などの揮発性メモリおよび/または不揮発性メモリの形のコンピュータ記憶メディアが含まれる。起動中など、コンピュータ110内の要素の間で情報を転送するのを助ける基本ルーチンを含む基本入出力システム133(BIOS)が、通常は、ROM131に保管される。RAM132には、通常は、処理ユニット120によって即座にアクセス可能かつ/または現在操作されつつあるデータおよび/またはプログラムモジュールが含まれる。制限ではなく例として、図2に、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137を示す。
【0038】
コンピュータ110には、他の取外し可能/取外し不能、揮発性/不揮発性のコンピュータ記憶メディアも含めることができる。例としてのみ、図2に、取外し不能不揮発性磁気メディアから読み取るか書き込むハードディスクドライブ141、取外し可能不揮発性磁気ディスク152から読み取るか書き込む磁気ディスクドライブ151、およびCD ROMまたは他の光学メディアなどの取外し可能不揮発性光ディスク156から読み取るか書き込む光ディスクドライブ155を示す。例示的オペレーティング環境で使用することができる他の取外し可能/取外し不能、揮発性/不揮発性のコンピュータ記憶メディアには、磁気テープカセット、フラッシュメモリカード、ディジタル多用途ディスク、ディジタルビデオテープ、半導体RAM、半導体ROM、および類似物が含まれるが、これに制限はされない。ハードディスクドライブ141は、通常は、インターフェース140などの取外し不能メモリインターフェースを介してシステムバス121に接続され、磁気ディスクドライブ151および光ディスクドライブ155は、通常は、インターフェース150などの取外し可能メモリインターフェースによってシステムバス121に接続される。
【0039】
上述した、図2に示したドライブおよびそれに関連するコンピュータ記憶メディアは、コンピュータ可読命令、データ構造、プログラムモジュール、および他のデータのストレージをコンピュータ110に与える。図2では、たとえば、ハードディスクドライブ141は、オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147を保管するものとして図示されている。
【0040】
これらのコンポーネントは、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137と同一または異なるのいずれかとすることができることに留意されたい。オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147は、この図では、それらが最小限でも異なるコピーであることを示すために、異なる符号を与えられている。ユーザは、キーボード162および、一般にマウス、トラックボール、またはタッチパッドと称するポインティングデバイス161などの入力デバイスを介してコンピュータ110にコマンドおよび情報を入力することができる。他の入力デバイス(図示せず)には、マイクロホン、ジョイスティック、ゲームパッド、衛星放送用パラボラアンテナ、スキャナ、および類似物を含めることができる。
【0041】
これらおよび他の入力デバイスは、しばしば、システムバス121に結合されたユーザ入力インターフェース160を介して処理ユニット120に接続されるが、パラレルポート、ゲームポート、またはuniversal serial bus(USB)などの他のインターフェースおよびバス構造によって接続することもできる。ノースブリッジなどのグラフィックスインターフェース182も、システムバス121に接続することができる。ノースブリッジは、CPUまたはホスト処理ユニット120と通信するチップセットであり、accelerated graphics port(AGP)通信の責任を負う。1つまたは複数のグラフィックス処理ユニット(GPU)184が、グラフィックスインターフェース182と通信することができる。
【0042】
これに関して、GPU184に、一般に、レジスタストレージなどのオンチップメモリストレージが含まれ、GPU184は、ビデオメモリ186と通信する。しかし、GPU184は、共用プロセッサの1つの例にすぎず、したがって、さまざまな共用プロセッシングデバイスをコンピュータ110に含めることができる。モニタ191または他のタイプの表示デバイスも、ビデオインターフェース190などのインターフェースを介してシステムバス121に接続され、ビデオインターフェース190は、ビデオメモリ186と通信することができる。一般に、脆弱であるのはコンピューティングデバイスのこの部分であり、したがって、本発明は、それに付随して処理されるかレンダリングされるデータの保護および機密性を提供する。モニタ191の他に、コンピュータに、出力周辺インターフェース195を介して接続することができる、スピーカ197およびプリンタ196などの他の周辺出力デバイスも含めることができる。
【0043】
コンピュータ110は、リモートコンピュータ180などの1つまたは複数のリモートコンピュータへの論理接続を使用して、ネットワーク化された環境または分散環境で動作することができる。リモートコンピュータ180は、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイス、または他の一般的なネットワークノードとすることができ、リモートコンピュータ180には、図2ではメモリストレージデバイス181だけが図示されているが、通常は、コンピュータ110に関して上で説明した要素の多くまたはすべてが含まれる。図2に示された論理接続には、ローカルエリアネットワーク(LAN)171および広域ネットワーク(WAN)173が含まれるが、他のネットワーク/バスも含めることができる。そのようなネットワーキング環境は、家庭、オフィス、企業全体のコンピュータネットワーク、イントラネット、およびインターネットで平凡なものである。
【0044】
LANネットワーキング環境で使用される時に、コンピュータ110は、ネットワークインターフェースまたはネットワークアダプタ170を介してLAN171に接続される。WANネットワーキング環境で使用される時に、コンピュータ110に、通常は、インターネットなどのWAN173を介する通信を確立する、モデム172または他の手段が含まれる。内蔵または外付けとすることができるモデム172は、ユーザ入力インターフェース160を介して、または別の適当な機構を介して、システムバス121に接続することができる。ネットワーク化された環境では、コンピュータ110に関して図示されたプログラムモジュールまたはその一部を、リモートメモリストレージデバイスに保管することができる。制限ではなく例として、図2に、メモリデバイス181に常駐するリモートアプリケーションプログラム185を示す。図示のネットワーク接続が、例示的であり、コンピュータの間の通信リンクを確立する他の手段を使用することができることを諒解されたい。
【0045】
<例示的な分散コンピューティングのフレームワークまたはアーキテクチャ>
さまざまな分散コンピューティングフレームワークが、パーソナルコンピューティングとインターネットの集束に鑑みて、開発され、開発されつつある。個人およびビジネスユーザに、アプリケーションおよびコンピューティングデバイスに関するシームレスにインターオペラブルなウェブ対応インターフェースが与えられ、コンピューティング活動がますますウェブブラウザ指向またはネットワーク指向になる。
【0046】
たとえば、MICROSOFT(登録商標)の.Netプラットフォームには、サーバ、ウェブベースデータストレージなどのビルディングブロックサービス、およびダウンロード可能なデバイスソフトウェアが含まれる。一般的に言って、.Netプラットフォームは、(1)すべての範囲のコンピューティングデバイスが一緒に動作できるようにし、それらのすべてでユーザ情報を自動的に更新させ、同期化させる能力、(2)HTMLではなくXMLをより多く使用することによって可能になる、ウェブサイトの対話能力の向上、(3)たとえば電子メールなどのさまざまなアプリケーション、またはOffice .Netなどのソフトウェアの管理の中央開始点からのカスタマイズされたアクセスと製品およびサービスのユーザへの配布を特徴とするオンラインサービス、(4)情報へのアクセスの効率および容易さを高めると同時に、ユーザおよびデバイスの間での情報の同期化を向上させる、集中データストレージ、(5)電子メール、ファックス、および電話などのさまざまな通信メディアを統合する能力、(6)開発者のための、それによって生産性を高め、プログラミングエラーの数を減らす、再利用可能なモジュールを作成する能力、および(7)多数の他のクロスプラットフォーム統合機能を提供する。
【0047】
本明細書の例示的実施形態は、全般的に、コンピューティングデバイスに常駐するソフトウェアによって実施される方法に関して説明されるが、本発明の1つまたは複数の部分を、オペレーティングシステム、アプリケーションプログラミングインターフェース(API)、または共用プロセッサと犯されていないコンテンツとの間の「仲介者(middle man)」オブジェクトを介して実施し、信頼されるコンテンツサービスが、.NETの言語およびサービスならびに他の分散コンピューティングフレームワークのすべてによって実行されるか、サポートされるか、アクセスされるようにすることもできる。さらに、本発明による、説明される技法の1つまたは複数を、その技法に従うためのGPUに対する変更など、ハードウェアに対する変更を含めることができることを諒解されたい。
【0048】
<暗号的に保護されるセキュアコンテンツ>
したがって、本発明は、オペレーティングシステムまたはプラットフォームを増補して、耐タンパ機密ダイアログなどの「信頼されるグラフィックス」アプリケーションを可能にし、許可されない複製に抵抗する形でコンテンツを再生できるようにする方法およびシステムを提供する。本発明によって解決される問題を図3に示すが、この図では、暗号化されたプレミアムコンテンツ200が、信頼されるソフトウェアアプリケーションTSに渡されるかTSによって生成されるものとして図示されている。信頼されるソフトウェアTSの使用に付随して、コンテンツ200が、レンダリングデバイス295を介するコンテンツ200のレンダリング(または他の使用)の前に、GPU265の機能性を含む場合がある。そのようなコンテンツ200は、GPU265による処理のために、システムメモリまたはホストメモリ230からビデオメモリ260に渡される。図3の破線は、セキュリティ問題があるところを示す。背景で関係付けられたように、現在のシステムは、破線によって囲まれた要素を介するコンテンツの保護された機密の配送を正しく保証しない。信頼されるソフトウェアTSの観点から、第1の問題は、GPUにコンテンツを渡す前に、破線の中のコンポーネントをコンテンツについて信頼できるか否かである。
【0049】
信頼されるソフトウェアTSが、破線の中のコンポーネントを正しく認証できると仮定すると、信頼されるソフトウェアTSの観点からの第2の問題は、信頼されるソフトウェアTSが、データが破線の中に渡された後に、データが変更されないことの確信を正当に持たなければならないことである。
【0050】
本発明は、以下で説明するさまざまな実施形態で、この両方のタイプの問題に対処する。さまざまな形で、この方法およびシステムは、(1)オーバーレイサーフェスのコンテンツを暗号化し、(2)信頼されないアプリケーションまたは当事者に使用可能にせずに、GPUが暗号化されたコンテンツを操作できるようにし、(3)コマンドバッファのコンテンツを暗号化することによって、実施される。
【0051】
本発明によって対処される信頼されるグラフィックス処理およびレンダリングの問題第1の態様は、暗号プロセッサおよびインデックス付き鍵管理の提供に関する。下で説明する、グラフィックスシステムに関連する認証コンポーネントの技法が教示されている(たとえば、特許文献1参照)。しかし、本発明で、認証が行われたと仮定し、したがって、下の本発明のさまざまな実施形態で説明されるように、認証技法を活用して、信頼されるグラフィックスプラットフォームを提供することができることを理解されたい。
【0052】
<例示的な認証>
これに関して、セキュアグラフィックスカードも、そのようなものとしてそれ自体を認証できなければならない。具体的に言うと、信頼されるソフトウェアは、従来のグラフィックスカードまたはスプーフなどの迂回デバイスからセキュアグラフィックスカードを区別できなければならない。さらに、信頼されるソフトウェアは、暗号鍵をグラフィックスカードに見せることができ、鍵を受け取るものが実際にセキュアグラフィックスカードであることを検証できなければならない。このために、セキュアグラフィックスカードは、本発明による暗号プロセッサを備え、この暗号プロセッサは、認証および鍵トランスポートの暗号タスクを実行する。
【0053】
ハードウェアに関して、製造中に個別化され、証明される暗号プロセッサが、本発明に従って提供される。各暗号プロセッサには、一意の秘密復号鍵Kprivが含まれる。多数の異なる暗号化アルゴリズムおよび復号アルゴリズムが、本発明に従って企図され、暗号技術の当業者に既知であるが、文脈に関して、本明細書で説明するアルゴリズムは、RSAであり、鍵の長さは、1024ビットであり、この両方が、制限的でない設計選択であり、応用例および所望のセキュリティレベルに応じて周知のトレードオフに従って調整することができる。
【0054】
これに関して、暗号プロセッサは、既存のチップに追加することによって、または別のチップとしてカードに追加することによってのいずれかで、グラフィックスカードに永久的に付加される。暗号プロセッサは、下で詳細に示すように、公開鍵暗号アルゴリズムを実施し、一意の秘密鍵を隠す。これに関して、そのような暗号プロセッサが、現在のシリコン技術を用いて、公開鍵復号をすばやく実行することができる。しかし、暗号プロセッサに、公開鍵アクセラレータを含めることもでき、暗号プロセッサが、対称暗号(AES)およびいくつかの制御ロジックを実施することができる。
【0055】
1つの例示的な非制限的実施形態で、暗号プロセッサに、以下の不揮発性レジスタが含まれる。(1)セッション鍵用の256ビットレジスタS。この鍵の寿命は、通常は、信頼されるソフトウェアの走行時間である。(2)複数のインデックス鍵の配列。各鍵は、128ビットの長さとすることができるが、他の選択が適する場合がある。各鍵は、特定のウィンドウに関連付けられ、そのコンテンツを復号するためにグラフィックスカードによって使用される。各鍵の寿命は、信頼されるソフトウェアからの指示によって決定される。
【0056】
前に述べたように、本発明の暗号プロセッサは、グラフィックスカードに永久的に付加される。したがって、その機能性を利用するために、暗号プロセッサとセキュアにインターフェースする手段が必要である。暗号プロセッサとのインターフェースに関して、本発明では、少なくとも2つの技法すなわち、(a)信頼されるソフトウェアTSへの外部インターフェース、および(b)GPU265へのインターフェースが考慮される。前者のインターフェースは、少なくともその暗号的態様において、標準化されなければならない。後者のインターフェースは、実装特有とすることができるが、下で示す総合的なガイドラインに従わなければならない。
【0057】
外部インターフェース実施形態に関して、外部インターフェースは、認証および鍵トランスポートに秘密鍵(PK)暗号プロトコルを使用する。このプロトコルの下で、信頼されるソフトウェアTSが、暗号プロセッサの公開鍵を用いてセッション鍵を暗号化する。暗号プロセッサは、結果のcryptoblobを受け取り、秘密鍵を用いてこれを復号し、したがって、セッション鍵を得る。ここで、信頼されるソフトウェアおよび暗号プロセッサが、秘密を共有する。信頼されるソフトウェアは、このセッション鍵を使用して、指示を暗号プロセッサに送ることができる。
【0058】
1つの非制限的な実施形態では、外部インターフェースが、暗号プロセッサによって、以下の関数を介して公開される。
【0059】
関数SetSessionKey()は、最初の認証ステップおよび鍵トランスポートを実行する。これは、暗号プロセッサの公開鍵機能性にアクセスする唯一の関数である。したがって、一実施形態では、本発明によって、ブートごとに1回この関数が呼び出されることが企図される。下記の例示的擬似コードに、SetSessionKey()の1つの非制限的な実施形態を示す。
【0060】
動作の成功裡の完了の後に、sessionKeyレジスタに、cryptoblobからの、256ビット鍵などの鍵が含まれる。公開鍵アルゴリズムは、たとえば、1024ビットRSAとすることができる。
【0061】
対称セッション鍵Kが、信頼されるソフトウェアと暗号プロセッサの間で確立された時に、この鍵を使用して、暗号プロセッサとのそれ以降のすべての通信を保護することができる。信頼されるソフトウェアおよび暗号プロセッサは、単純なGetメソッドおよびSetメソッドによって通信することができ、これらのメソッドのパラメータが、機密性および完全性のために暗号的に保護される。具体的に言うと、各呼出しのパラメータブロックBを、以下の非制限的な形で処理することができる。
AES(M|HMAC(M, K1), K2),
ここで、
K1は、Kの前半(ビット0から127)
K2は、Kの後半(ビット128から255)
AES(M,K)は、鍵Kの下でCBCモードのAESを用いたメッセージMの暗号化の結果
HMAC(M,K)は、鍵Kを用いるメッセージMの適当なハッシュ関数でのHMACの計算の結果、
A|Bは、AおよびBの連結の結果である。
このフォーマットは、下記の関数の入力パラメータおよび出力パラメータに使用することができる。
Set([IN] BOOL needsAck, [IN] BITS128 nonce, [IN] ENUM propertyID, [IN]
BYTESEQUENCE propertyParamters, [OUT] BYTESEQUENCE ack)
ここで、
needsAckは、ブール値であり、これによって、信頼されるソフトウェアが、肯定応答を必要とするかどうかを示すことができる。
【0062】
nonceは、信頼されるソフトウェアによって選択される128ビット値である。nonceは、肯定応答が要求された場合に、肯定応答に使用することができる。
【0063】
propertyIDは、設定されるプロパティを識別する。サポートされるプロパティの例示的リストを、下の表1に示す。
【0064】
propertyParamtersは、各propertyIDに固有のパラメータのシーケンスである。
【0065】
最後に、Ackは、動作の肯定応答である。暗号プロセッサは、needsAckがセットされた場合に限って、ackを作る。Ackは、nonceとそれに続くメッセージからなり、このメッセージは、各propertyIDに固有である。
【0066】
【表1】
【0067】
Index key property IDに関して、このメソッドは、新しい鍵および目的タグを、インデックスによって識別される鍵レジスタに書き込む。
【0068】
Output lock property IDに関して、このメソッドは、出力ロックフラグをセットする。このフラグがセットされていると、画面ジオメトリ(幅、高さ、カラーデプス、リフレッシュレート)ならびにグラフィックスカード出力(VGA、DVI)を変更できなくなる。具体的に言うと、グラフィックスカードは、出力ロックフラグがセットされている間に、これらの設定を変更する命令を実行しない。
【0069】
L2KeyMgmt property IDに関して、このメソッドは、本発明に従って説明される保護の第2層すなわち、下で詳細に説明する入出力の暗号化の下での鍵更新頻度を設定する。
【0070】
同様に、Get関数は、次のように提案される。
Get([IN] BITS128 nonce, [IN] ENUM propertyID, [IN] BYTESEQUENCE
propertyParamters, [OUT] BYTESEQUENCE response)
ここで、
nonceは、応答で使用される、信頼されるソフトウェアによって選択される128ビット値。
propertyIDは、取得されるプロパティを識別する。サポートされるプロパティのリストを、下の表2に示す。
propertyParamtersは、各propertyIDに固有のパラメータのシーケンスである。
responseには、動作の結果が格納される。responseは、nonceとそれに続くメッセージからなり、このメッセージは、各propertyIDに固有である。
【0071】
【表2】
【0072】
Output portsに関して、このメソッドは、グラフィックスカード出力の設定、たとえばVGA、DVIなどを返す。
Authentication codeに関して、このメソッドは、本発明に従って説明される保護の第1層すなわちオーバーレイの暗号化によるウィンドウのコンテンツのハッシュを返す。
DX-SEC versionに関して、このメソッドは、グラフィックスカードによってサポートされるDX-SECのバージョンを返す。
Secure surface countに関して、このメソッドは、グラフィックスカードによってサポートされるセキュアサーフェスの数を返す。
Overlapping surface countに関して、このメソッドは、グラフィックスカードによってサポートされるオーバーラップするセキュアサーフェスの数を返す。
Primary typeに関して、このメソッドは、1を返し、将来の柔軟性を提供する。
Geometryに関して、このメソッドは、プライマリサーフェスの幅、高さ、リフレッシュレート、およびカラーデプスを返す。
【0073】
Set関数に、さらに、保護される領域オーバーレイの位置またはサイズ、または主(プライマリ)サーフェスのうちで復号されなければならない部分の位置およびサイズを設定するメソッドを含めることができる。
【0074】
したがって、上のSetSessionKey関数、Get関数、およびSet関数は、外部インターフェースの非制限的な実施形態に関する。用語「内部インターフェース」は、暗号プロセッサとグラフィックスカードの残りとの間のインターフェースを指す。本発明による、この種類のインターフェースの詳細は、各個々のグラフィックスカードの実施形態の責任であるが、下記の制限の対象になる。(1)暗号プロセッサが、グラフィックスカードに永久的に固定されなければならず、(2)暗号プロセッサとグラフィックスカードの残りの間の接続を公開してはならない。
【0075】
これに関して、グラフィックスカードからの暗号プロセッサの除去が、自明であってはならない。暗号プロセッサが、別のチップとして実施される場合に、これは、主に、暗号プロセッサをグラフィックカードに付加する機械的インターフェースに対する制限である。通常、暗号プロセッサは、グラフィックスカードにはんだ付けされなければならない。その代わりに、暗号プロセッサが、主GPUと同一のチップ内に存在することができる。たとえばスマートカードリーダ、ソケットマウント、および類似物など、暗号プロセッサの除去を可能にする標準化された機械的インターフェースの使用は、許容可能ではない。
【0076】
さらに、暗号プロセッサとグラフィックスカードの残りの間の物理的接続は、アクセス可能であってはならず、標準インターフェースを介して公開されてはならない。たとえば、このバス上のUSBコネクタは、本発明によれば許容可能でない。
【0077】
鍵管理のルールに関して、各インデックス鍵は、それに関連する目的パラメータに従って使用することだけができる。一実施形態では、目的パラメータの値が、下記の意味を有する。
【0078】
L1STREAM この鍵は、本発明によって提供されるセキュリティの第1層すなわちオーバーレイの暗号化と関連して下で説明するDX-SECストリーム暗号と共に使用することだけができる。
【0079】
L2BLOCK この鍵は、本発明によって提供されるセキュリティの第2層すなわち下で説明する入出力の暗号化のECBモードでのブロック暗号と共に使用することだけができる。ECBモードのブロック暗号は、信頼されるソフトウェアによって書かれたテクスチャブロックの復号に使用される。
これに関して、インデックスに新しい値が書き込まれている時に、鍵のコピーを保存してはならない。
【0080】
<セキュリティの第1層 暗号化されたオーバーレイ>
ビデオメモリは、CPU上で走行する信頼されないソフトウェアによってマッピングされ、読み取られる可能性があるので、ビデオメモリに、平文の形で情報を含めることはできない。この要件の対象になるビデオメモリには、ディスプレイのリフレッシュに使用されるビデオメモリが含まれる。本発明によるこの判断基準を満たすシステムの最初の実施形態では、オーバーレイサーフェスのコンテンツを暗号化する。オーバーレイは、イメージがディスプレイに送られる時に、DACハードウェアによってオンザフライで、またはDACハードウェアに達する直前に、復号される。
【0081】
図4に、そのような技法の例示的実施形態を示す。暗号化されたプレミアムコンテンツ200が、信頼されるソフトウェアアプリケーション210に付随して見つけられるか生成されたところから、信頼されるアプリケーション210によって受け取られる。暗号プロセッサ220との認証交換がその後に行われるが、これは、上の例示的実施形態で説明した認証交換手順または、暗号的にまたは他の手段によって保護されるパスを介してのいずれかで鍵配布を保護する他の技法によるものなどである。コンテンツ200は、システムメモリ230から暗号化されたオーバーレイサーフェス240に渡され、暗号化されたオーバーレイサーフェス240は、ビデオメモリ260のプライマリサーフェス270にオーバーレイされる。暗号プロセッサ220と共に、GPU265の復号部分250が、暗号化されたオーバーレイ240によって提供される暗号化された層を復号し、そのコンテンツを、モニタなどのレンダリングデバイスへの出力のためのディジタルビデオインターフェース(DVI)/ディジタルアナログ変換器(DAC)290への出力のためにピクセル選択280に渡す。
【0082】
しかし、図4に示されたシステムは、オーバーレイが1つしかないので、上で説明した判断基準のすべてを満たしてはいない。信頼されるウィンドウなどの信頼される環境に必要な機能性の最低限を満たすために、本発明は、代替実施形態で2つのオーバーレイを可能にする。
【0083】
第1の「機密」オーバーレイは、基本的に、主にビデオを再生するために現在のプラットフォームに存在するが、コンテンツを暗号化できるように増補されたオーバーレイである。第2のオーバーレイは、e-コマースダイアログなどの機密のユーザインターフェースを提示するために特に設計される。この「保護されるオーバーレイ」は、常に手前に表示され、隠すことができない、すなわち、カラーキーイングなしであり、第1のオーバーレイを超える優先順位を有する。
【0084】
第2のオーバーレイは、コストを最小にするためのいくつかの制限の対象になる場合がある。たとえば、第2のオーバーレイは、データが、プライマリと同一のピクセルフォーマットであり、ストレッチまたはマルチバッファリングが不可能であるものとして提供される場合がある。さらに、保護されるオーバーレイのコンテンツを、ハードウェアによって検証することができる。表3に、機密オーバーレイと保護されるオーバーレイの間の例示的な相違を要約する。
【0085】
【表3】
【0086】
図5に、機密オーバーレイフリッピングチェーン310の機密オーバーレイ、たとえばオーバーレイ310a、310b、および310cと、保護されるオーバーレイ320の両方を含むシステムを示す。可能な時には、ストリーム暗号をセキュアサーフェス暗号化に使用する。というのは、ストリーム暗号が、ブロック暗号より高速であり、実装が単純であるからである(詳細については付録Aを参照されたい)。ストリーム暗号では、「ストリーム内のバイトの位置」に基づいてデータを暗号化する。したがって、本発明のセキュリティの第1レベルでは、サーフェスの左上隅のピクセル暗号鍵を用いてストリーム暗号を初期化する。ストリーム暗号は、ピクセルが表示されるかどうかに無関係に、オーバーレイサーフェスに含まれるすべてのピクセルについて進行する。提案されるシステムには、機密オーバーレイ用と保護されるオーバーレイ用の、2つのストリーム暗号復号コンポーネント300aおよび300bが含まれる。復号されたピクセル値が使用可能になった時に、ハードウェア280が、保護されるオーバーレイ320、機密オーバーレイ310(プライマリ270がカラーキーと等しい場合および/またはカラーキーイングがイネーブルされている場合)、またはプライマリ270のピクセル値を選択し、ピクセル値をDVI/DAC290を介してディスプレイハードウェアに送る。
【0087】
敵対者が、任意の数の手段によってオーバーレイへのアクセスを得ることができ、これによって、表示されるイメージを不可視にするか、セキュアコンテンツをノイズの多いコンテンツに置換することができることに留意されたい。これは、敵対者によって書き込まれるデータも復号されるからである。本発明は、これらの攻撃に対して直接に防御はしないが、本発明は、完全性検査を提供して、期待されるコンテンツがエンドユーザに提示されたことを保証する。したがって、出力が、入力以外のものである場合に、ユーザまたは信頼されるソフトウェア210に、コンテンツに関するタンパリングがあったことを警告することができる。
【0088】
オーバーレイへのソフトウェアインターフェースに関して、ソースおよびデスティネーションの境界ボックス、デスティネーションカラーキーなどの普通のオーバーレイ情報の他に、機密オーバーレイ310は、暗号鍵インデックスが指定されることを維持し、保護されるオーバーレイ320は、さらに、復号されたオーバーレイコンテンツの巡回冗長コード(CRC)が書き込まれるメモリ位置が指定されることを維持する。
【0089】
機密オーバーレイインターフェースは、フリップ方法によって、オーバーレイ後バッファ310aすなわち、データがフリップされつつある先のバッファのコンテンツの暗号鍵インデックスが指定されることを除いて、既存のオーバーレイに類似する。
【0090】
保護されるオーバーレイインターフェースは、より単純であり、サーフェスが初めて表示された後に、そのサーフェスのCRCをメモリ位置に転送する備えがある。標準化されたハードウェアインターフェースによって、オーバーレイの位置が制御され、関心を持つソフトウェアにポーリングベースでCRCが使用可能にされる。たとえば、あるレジスタによって、CRCを入手できるところを示すことができ、もう1つのレジスタによって、CRCの読取をイネーブルすることができる。たとえば、次の例示的擬似コードを、保護されるオーバーレイインターフェースとの接続に使用することができる。
HRESULT UpdateOverlay(LPPOINT ppntUL);
ここで、
ppntULは、保護されるオーバーレイの左上隅を指定する。
これに関して、ソフトウェア210は、完全性に関心を持つ場合に、期待するCRC値を計算する。
【0091】
<セキュリティの第2層 暗号化された入出力>
本発明によれば、GPU265を増補して、暗号化されたコンテンツを入力として扱い、暗号化されたコンテンツを出力として送るために、暗号化および復号ハードウェアが、テクスチャマッピングユニット(入力側で)およびアルファブレンディングユニット(出力側で)に追加され、ハードウェア設計者が、この機能を実施する際にいくつかのルールに従うように協力する。ストリーム暗号は、暗号化されたデータへのランダムアクセスを可能にしないので、システムは、ブロック暗号を使用して、たとえば1時に128ビットのデータを暗号化する。テクスチャマッピングユニットは、キャッシュラインフィル時に復号し、アルファブレンディングユニットは、カラーバッファからキャッシュラインを読み取る時に復号し、書込の前に暗号化する。これらの動作に使用される暗号鍵は、異なるものとすることができる。
【0092】
ビデオデコードなどの3Dレンダリング以外の計算タスクは、先程説明したパラダイムの単純な延長である。テクスチャの代わりに、ビデオマクロブロックが、暗号化された入力として働き、カラーバッファの代わりに、デコードされる出力フレームが、暗号化された出力として働く。コンテンツが、GPU265へのコマンドストリーム内でインバンドで配送される際に保護されなければならない場合に、コマンドバッファをどのように暗号化できるかも、下で説明する。
【0093】
図6に、暗号化および復号コンポーネント400を介して、フロントエンド動作を実行し、暗号化されたサーフェス420を入力としてとり、暗号化されたサーフェスを出力として送る、すなわち、暗号化されたテクスチャおよびカラーバッファ技法のフロントエンドを実行する、上で説明したシステムを示す。本発明は、さらに、暗号化されたテクスチャ400aを提供し、テクスチャ400bは、ビデオメモリ260の通常のテクスチャとすることができる。暗号化されたテクスチャ400aは、GPU265の復号コンポーネント450に出力され、復号コンポーネント450は、暗号プロセッサ220と一緒に働いて、テクスチャを復号し、シェーディングなどのグラフィックスアルゴリズムを、コンポーネント430aと共にコンポーネント440からの暗号化されたデータに適用する。
【0094】
合成されたページフリッピングデスクトップの展開に先行して、上で説明した図6のシステムは、DACハードウェアが上で説明したプライマリ270ならびにオーバーレイサーフェス310および330を暗号化できるならば、デスクトップの全体を保護することができる。この場合に、DACハードウェアが、ストリーム暗号ではなくブロック暗号を使用して暗号化することに留意されたい。そのようなシステムは、任意の数の機密サーフェスが、任意のZ順序付け、ブレンディング、もしくは3Dまたは他の効果を、セキュリティを危険にさらさずに適用されて、デスクトップに参加できるようにする。常に手前に表示されなければならず、そのコンテンツが検証されなければならない保護されるオーバーレイサーフェス320は、別のサーフェスに常駐する。上で説明した機密オーバーレイ310は、セキュアページフリッピングデスクトップまたはプラットフォームによってソフトウェアでエミュレートできるまで残存する。
【0095】
一実施形態では、プライマリ270を復号できることの他に、システムは、GPU265が、信頼されるワードプロセッサなどの普通のデスクトップアプリケーションからの平文を暗号化でき、これらのアプリケーションがデスクトップに参加できるようになることも必要とする。図7に、前510bおよび後510aを含むプライマリフリッピングチェーン510が暗号化される、そのようなシナリオを示す。したがって、プライマリサーフェスを、デスクトップコンポジタ430によって操作し、そこからの出力/そこへの入力のために暗号化/復号コンポーネント440aによって保護することができる。暗号プロセッサ220との通信で、復号コンポーネント500が、DVI/DAC290への出力のために前サーフェス510bを復号する。これによって、システムがある種類の攻撃に公開されるが、これらの攻撃を、セキュリティの確保について下で(これらの攻撃に対する防御の戦略を述べる)詳細に説明する。
【0096】
図8に、機密オーバーレイフリッピングチェーン310への書換がもたらされる、図7に対する代替案を示す。したがって、プライマリ270の暗号化の代替として、本発明に従って、ハードウェアが、機密オーバーレイハードウェア300aによる消費のためにストリーム暗号暗号化をイネーブルすることができ、機密オーバーレイハードウェア300aは、暗号プロセッサ220と共にストリーム暗号データを復号することができる。このプレゼンテーション機構は、ブロック暗号を用いてプライマリを暗号化するより安価にすることができるが、設計トレードオフとして、スケーブルまたは柔軟でなくなる可能性がある。機密オーバーレイ310が、暗号化にストリーム暗号を使用するので、このコンテキストでサポートされる妥当な動作は、入力が入力サーフェス510aのブロック暗号を使用して復号コンポーネント440bによって復号され、オーバーレイのストリーム暗号を使用してコンポーネント440bによって再暗号化される、「コピー」動作である。
【0097】
これらの実施形態およびそのさまざまな組合せは、たとえば、任意の数の平文入力を暗号化された入力と組み合わせて暗号化された出力を生成することができるならば、1時に1つの暗号化された入力で十分である場合に有用である。
【0098】
永続するセキュリティに関して、本発明に従って実施することができる複数の尺度がある。第1に、上で説明したセキュリティの第2層は、平文を、復号した後にGPU265から漏らすことができないという発想に頼る。たとえば、ホストの中央処理装置(CPU)によってチップから平文を読み出せるようにする、デバッグ用レジスタまたは他の機能は存在しない。そのような漏れを防ぐ注意深いハードウェア設計に加えて、GPU265の命令セットは、出力の暗号化をイネーブルせずに入力の復号をイネーブルすることが不可能になるように設計される。さらに、ハードウェアによって、悪事を働くドライバ、反対者のコード、または事故のいずれによっても、平文データが漏れないようにする。
【0099】
さらに、ハードウェアは、鍵を漏らしてはならない。鍵は、認証交換によって記述される暗号プロトコルを介してGPU265に配送された後に、暗号化コンポーネントおよび復号コンポーネントだけに使用可能になる。
【0100】
上述したように、GPU265が、プライマリ270内の表示のために平文を暗号化できる場合に、この機能は、システム内の脆弱性とみなされる。というのは、この暗号化機能が、敵対者が平文とそれに対応する暗号文を同時に入手可能にすることができる、記述された唯一の機構であるからである。プライマリサーフェスを、CPUによって見ることができるようにマッピングし、暗号化されなければならないウィンドウを作成することによって、敵対者が、既知の平文ブロックに対応する暗号文ブロックのサブセットを構成することができる。これらのいわゆる「辞書攻撃」は、「興味のある」ブロックの数が少ない時に、最もよく機能する。たとえば、32bppディスプレイモードでの白黒のダイアログボックスの表示に関して、1ブロックごとに4ピクセルがあるので、そのようなダイアログを表示するには、16個のブロックだけが必要である。16個の暗号文ブロックを見つけた敵対者の1つの可能な達成方法は、GPU265による復号の後であっても意味のあるコンテンツを作成することによって、エンドユーザへのダイアログを偽造することである。この理由から、保護されるオーバーレイは、エンドユーザが期待されたものを見なかった時をアプリケーションが検出できるようになるので、耐タンパダイアログに最も適する。
【0101】
したがって、辞書を作成することを望む敵対者を挫折させる、2つのよい戦略がある。第1に、辞書は、所与の鍵だけについて良好なので、鍵を変更し、コンテンツを再暗号化することによって、敵対者が、新しい辞書を用いて一からやり直さざるをえなくなる。さらに、プライマリの暗号化について、鍵を、ソフトウェアに使用可能にする必要はない。鍵は、ハードウェアで変更することができ、ソフトウェアは、鍵が変更されたことを通知されることだけが必要である。前の鍵がまだ使用可能なので、ソフトウェアは、プライマリのうちで変更されていない部分を、前の鍵を使用して復号し、再暗号化することができる。したがって、暗号プロセッサ220は、プライマリ270の暗号鍵を、周期的に、前の鍵がまだ使用可能である形で、たとえば、暗号鍵インデックスのダブルバッファリングの形で、鍵が変更されたことをソフトウェアに通知する形で、変更する。
【0102】
もう1つの戦略では、暗号化前のイメージ内の位置をエンコードする。たとえば、イメージ内の(x,y)ピクセル位置(または、イメージオフセットなどの派生値)を、ピクセルデータの暗号化の前にピクセルデータとの排他的論理和を(XOR)とることができ、この動作を、復号の後で元に戻すことができる。その結果、サーフェスの異なる領域のピクセルのブロックが、異なる形で暗号化され、平文と暗号文のマッピングが、サーフェスの所与の位置についてのみ意味を持ち、攻撃者に入手不能になる。
【0103】
本発明は、事前に定義されたスウィズリングされたフォーマットも提供する。テクスチャおよびオフスクリーンサーフェスは、ランダムアクセスを必要とするので、ブロック暗号を用いて暗号化されなければならない。ブロック暗号の通常のブロックサイズと、現代の3Dアクセラレータの通常のキャッシュラインサイズの間によい協同があり、たとえば、キャッシュラインとブロックサイズが両方とも128ビットである場合に、効率的な暗号化および復号を、ハードウェアで実施することができる。わずかな差がある(たとえば、128ビットのブロックサイズと256ビットのキャッシュラインサイズ)場合であっても、ハードウェア実施形態が、効率的になる可能性が高い。
【0104】
暗号化されたテクスチャデータに関する1つの問題は、隣接するバイトのブロックが、暗号化または復号できる前に使用可能であることを、ブロック暗号化方式が必要とすることと、ピクセルデータが「スウィズリング」されるすなわち、イメージ内の(X,Y)位置からアドレスへの変換を形成し、キャッシュラインフィルがピクセルの2D領域をもたらすようにすることを、キャッシュラインフィルが必要とすることである。今のところ、ハードウェアベンダは、表向きは線形のサーフェスフォーマットを公開しているが、アプリケーションの知識なしでイメージデータをスウィズリングする。しかし、信頼されるソフトウェアは、暗号化されたテクスチャデータを送るので、ソフトウェアは、データの隣接するブロックを暗号化でき、2D局所性を保存できるように、スウィズリング方式の先験的な知識を有しなければならない。これに応じて、本発明では、アプリケーションによる使用のために、YUVの4:4:4、4:2:2、および4:2:0ならびにRGBフォーマットを含むスウィズリングされたイメージフォーマットの辞書を定義する。これらのフォーマットの性能は、イメージがハードウェア固有フォーマットにスウィズリングされた場合ほど高くはない可能性があるが、暗号化は、わずかな性能低下に値する、すなわち、スピードと引き換えにセキュリティが得られる。
【0105】
AYUV/ARGB(32bpp、パックド)に関して、この32bppサーフェスフォーマットに、輝度(Y)およびクロミナンス(UおよびV)サンプルの8ビットカラーチャネルに加えて、アルファチャネルが含まれる。その代わりに、標準的なARGB 32bppを含めることができる。というのは、この両方のフォーマットが、32bppであり、パックされているからである。以下の議論では、AYUVを前提とする。線形レイアウトは、図9に示された通りである。
【0106】
イメージ内のピクセル(X,Y)のオフセットは、次の通りである。
オフセット=Y*ピッチ+X*4
128ビットの暗号化ブロックサイズおよびキャッシュラインサイズを仮定すると、4ピクセルを、単一のブロックにおさめることができる。アドレスを生成する前にXおよびYの最下位ビットをインターリーブすることによって、キャッシュラインフィルでの改善された2D局所性がもたらされる。これらのブロックは、フォーマットに従って線形に配置される。
【0107】
結果のイメージレイアウトを、図10に示す。番号付きの長方形のそれぞれが、1ピクセルであり、太い長方形が、暗号化ブロックである。イメージ内の(x,y)位置をオフセットに変換する、このフォーマットに関する本発明のスウィズリング関数の例示的擬似コードは、次の通りである。
【0108】
YUY2(16bpp、パックド)に関して、このサーフェスフォーマットでは、「クロミナンス」サンプルUおよびVを水平に2倍にサブサンプリングする。その結果が、平均してピクセルあたり16ビットになるパックドイメージフォーマットである。線形レイアウトを図11に示す。本発明のスウィズリングフォーマットでは、図12に示されているように、4×2ピクセルの暗号化ブロックを割り振る。図9および10と同様に、128ビットブロックもスウィズリングされる。図12および(x,y)座標対をイメージオフセットに変換する下記の例示的スウィズリング擬似コードについて、UおよびVが、一様なX座標を有すると仮定されることに留意されたい。
【0109】
【0110】
これに関して、図9、図10、図11、および図12のスウィズリングを伴う擬似コードについて、サーフェスピッチが、128ビットブロックのスキャンラインごとのバイト数として定義される。
【0111】
パックドプレーナ(12bpp)に関して、このサーフェスフォーマットでは、UおよびVを水平と垂直で2倍にサブサンプリングする。輝度およびクロミナンスのサンプルが、サーフェスの2つの別々の部分に配置される。パックドプレーナ(12bpp)の線形レイアウトを、図13に示す。
【0112】
サーフェスピッチは、Yプレーン内の512ビットブロックのスキャンラインあたりのバイト数として定義される。UVプレーンのピッチは、Yプレーンのピッチの半分である。というのは、サンプルの数が1/4であるが、サンプルあたりのカラー要素が2倍あるからである。本発明による結果のスウィズリングイメージフォーマットを、図14に示す。
【0113】
(x,y)座標をY、U、およびV要素のオフセットに変換する、このフォーマットに関する本発明のスウィズリング関数の例示的擬似コードは、次の通りである。
【0114】
<セキュリティの第3層 暗号化されたコマンドバッファ>
セキュリティの第1層および第2層に関して上で説明した実施形態の機能を、本発明に従って増補して、GPU265が操作しているイメージデータに加えて、GPU265にサブミットされるコマンドバッファを暗号化することができる。この機能性は、アプリケーション210が、ハードウェアにインバンドでコマンドバッファ内に送られるコンテンツを保護することを望む場合に望ましい。図17に、暗号化されたコマンドバッファ900を使用し、これによって、コンテンツが、暗号化されたテクスチャ400aに配布され、復号コンポーネント450によって復号され、ビデオデコーダ430bによってデコードされる、ビデオデコーディングを示す。コマンドバッファだけを暗号化することが可能であるが、暗号化されデコードされたフレーム420aによって示されるように、コンテンツが、ビデオメモリ内ならびにコマンドバッファ内で暗号化される。したがって、コマンドバッファの暗号化は、マクロブロックがビデオメモリ内にモーションベクトルと共にあり、他のコマンドがコマンドストリームで送られる、これに似た状況に適当である。
【0115】
暗号化されたテクスチャデータのアトミシティ制約は、カラーバッファ暗号化が問題のコンテンツの保護に十分でない可能性があることの警告と共に、暗号化されたコマンドバッファデータにも適用される。たとえばZバッファなどの中間バッファも、平文攻撃からシステムを保護するために暗号化することができる。図16に、本発明に従って暗号化されたコマンドバッファを使用する例示的3Dレンダリングを示す。図からわかるように、3Dレンダリングコマンド810が、ビデオデコーダ430cへの途中で暗号化される。テクスチャデータ400aが、復号コンポーネント450によって復号され、ビデオデコーダ430cによってコマンド810に従って処理される。これに付随して、カラーバッファ820内のデータが、暗号化/復号コンポーネント830を介して暗号化される。
【0116】
タンパ検出は、2パスを使用してコマンドバッファの消費の前に、またはコマンドバッファが消費された後に、行うことができる。一実施形態では、タンパ検出が、コンテンツの表示またはレンダリングの後にイネーブルされる。
【0117】
<さらなる代替実施形態 グラフィックスカードからの出力の暗号化>
上述した実施形態のそれぞれで、図3の破線部分に関して機密性および完全性を実証し、説明してきたが、機密性および完全性は、ビデオ出力に関して説明されていない、すなわち、理論的に、グラフィックスカードとモニタなどのレンダリングデバイスの間のインターフェースおよび/またはレンダリングデバイス自体が、攻撃の対象になる。
【0118】
したがって、上述した実施形態で、図17に示されているように、処理中のある点で、たとえコンテンツがビデオメモリ内およびグラフィックスカード処理中に保護されても、データが暗号化されずにDVI/DAC290に送られる。その結果、データが、レンダリングデバイスへの途中およびレンダリングデバイス内にある間に、著作権を侵害されるか、変更される可能性がある。
【0119】
したがって、任意選択として本明細書に記載の他の実施形態と組み合わせることができる、本発明の代替実施形態によれば、姉妹暗号プロセッサ220bをレンダリングデバイス内に設けて、暗号プロセッサ220aによって実行される機能性を補足する。これに関して、通信的に暗号プロセッサ220aに結合される暗号化コンポーネント910aが、DVI/DACコンポーネント290への配送の前にデータを暗号化し、通信的に暗号プロセッサ220bに結合される復号コンポーネント910bが、行われる表示またはレンダリングの一部としてデータを復号し、データの著作権侵害を防ぐ。暗号化コンポーネント910aは、その代わりに、DVI/DACコンポーネント290に含めることができる。手短に言うと、同一の暗号化および復号と鍵管理技法を適用することによって、コンテンツを、コンテンツの暗号的に保護されるセキュア配送および処理に関してグラフィックスパイプライン全体を通じて保護することができる。
【0120】
上述したように、本発明の例示的実施形態を、さまざまなコンピューティングデバイス、ハードウェア、ソフトウェア、およびネットワークアーキテクチャに関して説明したが、基礎となる概念は、信頼されるソースからのコンテンツを保護することが望まれる、すべてのコンピューティングデバイスまたはコンピューティングシステムに適用することができる。したがって、本発明による、セキュアコンテンツを暗号的に保護する技法は、さまざまな応用例およびデバイスに適用することができる。たとえば、本発明の暗号的にセキュアコンテンツを保護する方法を、デバイス上の別のオブジェクトとして、別のオブジェクトの一部として、サーバからダウンロード可能なオブジェクトとして、分散オブジェクトとしてなどの形でコンピューティングデバイスのオペレーティングシステムに適用することができる。例示的なプログラミング言語、擬似コード、名前、および例が、さまざまな選択を表すものとして本明細書で選択されたが、これらの言語、擬似コード、名前、および例は、制限的であることを意図されていない。
【0121】
本明細書で説明したさまざまな技法は、ハードウェア、ソフトウェア、または、適当な場合に、その両方の組合せに関連して実施することができる。したがって、本発明の方法および装置、もしくはそのある態様または部分が、フロッピー(登録商標)ディスク、CD-ROM、ハードドライブ、または他の計算機可読記憶媒体などの有形の媒体内で実施されるプログラムコード(すなわち命令)の形をとることができ、ここで、プログラムコードがコンピュータなどの計算機にロードされ、計算機によって実行される時に、計算機が、本発明を実践する装置になる。プログラマブルコンピュータでのプログラムコード実行の場合に、コンピューティングデバイスに、一般に、プロセッサ、プロセッサによって読取可能な記憶媒体(揮発性および不揮発性のメモリおよび/またはストレージ要素を含む)、少なくとも1つの入力装置、および少なくとも1つの出力装置が含まれる。たとえばデータ処理API、オペレーティングシステム、信頼されるアプリケーション、または類似物などを介して、本発明の技法を使用することができる1つまたは複数のプログラムは、高水準手続き指向プログラミング言語または高水準オブジェクト指向プログラミング言語で実施されて、コンピュータシステムと通信することが好ましい。しかし、プログラムは、望まれる場合に、アセンブリ言語または機械語で実施することができる。どの場合でも、言語は、コンパイルされる言語または解釈される言語とすることができ、本発明のさまざまな実施形態で、GPU265のハードウェア実施形態に条件を負わせる。
【0122】
本発明の方法および装置は、電気配線またはケーブリング、光ファイバ、または他の形の伝送を介するなど、ある伝送媒体を介して伝送されるプログラムコードの形で実施される通信を介して実践することもでき、ここで、プログラムコードが、EPROM、ゲートアレイ、プログラマブルロジックデバイス(PLD)、クライアントコンピュータ、ビデオレコーダまたは類似物、もしくは上の例示的実施形態で説明したグラフィックスカードおよび暗号化機能を有する受信側計算機などの計算機によって受信され、ロードされ、実行される時に、本発明を実践する装置になる。汎用プロセッサで実施される時に、プログラムコードが、プロセッサと組み合わされて、本発明の機能性を呼び出すように動作する独自の装置を提供する。さらに、本発明に関連して使用されるすべてのストレージ技法を、必ず、ハードウェアとソフトウェアの組合せとすることができる。
【0123】
本発明を、さまざまな図面の好ましい実施形態に関連して説明してきたが、他の類似する実施形態を使用することができ、あるいは、本発明から逸脱せずに、本発明の同一の機能を実行するために説明された実施形態に対して修正または追加を行うことができることを理解されたい。
【0124】
たとえば、本発明の例示的ネットワーク環境を、ピアツーピアネットワーク化された環境などのネットワーク化された環境に関連して説明したが、本発明がこれに制限されないことと、本明細書で説明した方法を、有線であれ無線であれ、ゲーミングコンソール、ハンドヘルドコンピュータ、ポータブルコンピュータなどの任意のコンピューティングデバイスまたはコンピューティング環境に適用することができ、また、通信ネットワークを介して接続され、ネットワークを介して相互作用する任意のそのようなコンピューティングデバイスに適用することができることを、当業者は諒解するであろう。
【0125】
さらに、ハンドヘルドデバイスオペレーティングシステムおよび他の特定用途向けオペレーティングシステムを含むさまざまなコンピュータプラットフォームが、特に無線ネットワーク化されたデバイスの数が増殖を続けるので、企図されていることを強調しなければならない。
【0126】
さらに、本発明は、複数のGPUを有するデバイスなどの複数の共用プロセッシングチップまたはデバイスの中またはそれらにまたがって実施することができ、ストレージを、同様に、複数のデバイスにまたがってもたらすことができる。したがって、本発明は、単一の実施形態に制限されるのではなく、請求項による広さおよび範囲で解釈されなければならない。
【0127】
【発明の効果】
以上説明したように、本発明によれば、ビデオメモリのコンテンツを暗号化し、許可されないソフトウェアの意味あるアクセスを得られなくすることにより、機密性を維持することができる。
【0128】
<付録A ストリーム暗号対ブロック暗号>
この付録では、本明細書の内容に関連する、ストリーム暗号とブロック暗号の間の相違を詳細に示す。
【0129】
【表4】
【0130】
概して、ストリーム暗号は、ブロック暗号より高速であり、実施が単純である。
【0131】
名前が示す通り、ストリーム暗号は、バイトのストリームを暗号化し、復号する。ストリームのN番目のバイトを復号するためには、暗号を先頭から開始し、1時に1バイトだけ前進し、ストリーム内の所望のオフセットに進む。
【0132】
対照的に、電子コードブックモードで走行するブロック暗号は、データ内の任意のブロックを暗号化または復号することができるが、1時に1つの完全なブロックを暗号化/復号しなければならない。通常のブロックサイズは、16バイトである。
【0133】
ストリーム暗号は、同一のデータが絶対に2度は暗号化されない形で使用される、すなわち、暗号化と復号に使用される鍵が頻繁に変更されなければならない。プレミアムビデオ再生に使用される時には、たとえば、フレームごとに1回鍵を変更すれば十分である。
【0134】
最後の注記として、パブリックドメインで使用可能な高品質のブロック暗号がある。
【図面の簡単な説明】
【図1】本発明を実施することができるさまざまなコンピューティングデバイスを有する例示的ネットワーク環境を表すブロック図である。
【図2】本発明を実施することができる例示的非制限的コンピューティングデバイスを表すブロック図である。
【図3】本発明に従って保護されるグラフィックスパイプラインの保護されない部分を示す流れ図である。
【図4】本発明によるセキュリティの第1層の例示的態様を示すブロック図である。
【図5】本発明によるセキュリティの第1層の例示的態様を示すブロック図である。
【図6】本発明によるセキュリティの第2層の例示的態様を示すブロック図である。
【図7】本発明によるセキュリティの第2層の例示的態様を示すブロック図である。
【図8】本発明によるセキュリティの第2層の例示的態様を示すブロック図である。
【図9】本発明によるAYUV/ARGBフォーマットの例示的スウィズリングを示す図である。
【図10】本発明によるAYUV/ARGBフォーマットの例示的スウィズリングを示す図である。
【図11】本発明によるYUV2フォーマットの例示的スウィズリングを示す図である。
【図12】本発明によるYUV2フォーマットの例示的スウィズリングを示す図である。
【図13】本発明によるパックドプレーナフォーマットの例示的スウィズリングを示す図である。
【図14】本発明によるパックドプレーナフォーマットの例示的スウィズリングを示す図である。
【図15】本発明によるセキュリティの第3層の例示的態様を示すブロック図である。
【図16】本発明によるセキュリティの第3層の例示的態様を示すブロック図である。
【図17】本発明によるグラフィックス処理ユニットからの出力に適用することができる例示的暗号化技法を示すブロック図である。
【図18】本発明によるグラフィックス処理ユニットからの出力に適用することができる例示的暗号化技法を示すブロック図である。
【符号の説明】
200 暗号化されたプレミアムコンテンツ
210 信頼されるソフトウェアアプリケーション
220 暗号プロセッサ
230 システムメモリ
240 暗号化されたオーバーレイサーフェス
250 復号部分
260 ビデオメモリ
265 GPU
270 プライマリサーフェス
280 ピクセル選択
290 ディジタルビデオインターフェース(DVI)/ディジタルアナログ変換器(DAC)
【発明の属する技術分野】
本発明は、セキュアコンテンツを暗号的に保護する方法およびシステムに関する。具体的には、本発明は、コンテンツに関する機密性およびタンパ保護の両方を提供する、グラフィックスパイプラインを介してルーティングされるコンテンツの暗号的な保護の技法に関する。
【0002】
【従来の技術】
インターネットと多くの他のソースおよびアプリケーションが、聴く、視る、処理する、保管するおよび他の形のレンダリングのために、膨大な数のストリーミングおよび固定メディアまたは他のコンテンツを提供する。しかし、現在、ストリーミングまたは固定メディアまたはコンテンツをコピー保護された形で取り込むか記録するかレンダリングし、その結果、コンテンツが処理されつつある時またはコンテンツがレンダリングされつつある時のいずれかに、著作権侵害者が、パイプラインに沿ったある点でストリームを傍受し、コンテンツのコピーを所有するかコンテンツを変更することができないようにする実用的な方法はない。
【0003】
この問題は、過去に、たとえばテレビジョンコンテンツに関するVCR、オーディオ信号に関するテープレコーダなど、他のメディアのレンダリングデバイスおよび記録デバイスに関して存在したが、少なくとも1つの重要な相違がある。ディジタルメディアコンテンツは、事実上信号損失なしに記録することができるので、これが、作品を報酬なしで自由に供給(著作権侵害)されるという著作権所有者にとっての「リスク」を提起する。VCRおよびテープレコーダに関して、デバイスおよび伝送メディアは、記録処理に雑音またはデータの劣化をもたらす。ストリーミングまたは固定ディジタルメディアでは、事実上ロス無しの変換および再伝送を、少なくとも人間の耳および目の能力の限度まで、行うことができない理由が存在せず、純粋なディジタルデータを保管し、自由に配布することができない理由もない。したがって、著作権所有者が報酬のために提供することができるものと、著作権侵害者が無料で提供できるものの間にほとんど差がないので、ディジタルデータの自由な再配布を防ぐことが望ましい。
【0004】
さらに、e-コマーストランザクションなど、機密であることが望まれる通信に関して、その対話にかかわるユーザにとって、許可されない第三者がそのトランザクションに内々関与しないことが重要である。したがって、信頼されるソースからのコンテンツに関して、現在、著作権侵害または破損を防がずにユーザのコンピュータ上でデータを「セキュアに」処理またはレンダリングする実用的な方法がない。
【0005】
具体的に言うと、コンテンツが、ホストコンピューティングシステム、1つまたは複数のグラフィックス処理システム(GPU)、およびたとえばモニタなどのレンダリングデバイスの間でパイプライン化されると、著作権侵害者または他の許可されない第三者が、回線または信号のそばにとどまり、著作権侵害または信号の破損のいずれかを行う機会が多数ある。さらに、ユーザの対話が、メッセージングサービスおよびビデオテレコンファレンシングを介してより洗練されるのにつれて、どこから発したものであれ、セキュアコンテンツのための信頼されるパイプラインを提供することが、ますます重要な前進になる。
【0006】
さらに、オペレーティングシステム、コンピューティングデバイス、およびアプリケーションの将来の世代が、現在のパーソナルコンピュータ(PC)のようにCPUからほとんどのコンピューティングパワーを引き出すのではなく、ビジネスアプリケーションについてGPUからより多くのコンピューティングパワーを使用するのは明らかである。したがって、「信頼されるグラフィックス」アプリケーションを介してGPUに送られるコンテンツが、将来のコンピューティングデバイスの、現在のコンピューティングシステムによって適切に対処されていない基本的な特徴になることが確実になる。
【0007】
信頼されるコンテンツのセキュアパイプラインを提供するというこの問題は、次の2つの部分を有すると考えることができ、(1)信頼されるコンテンツを、パイプライン中のあるウィークポイントでコピーまたは表示することができないことを保証しなければならず(機密性)、(2)パイプラインが、パイプライン内のデータの許可されない破壊を防ぐことを保証しなければならない(保護)。システムセキュリティに関して、複雑さは、システムのセキュリティを証明することがより困難になるので、不利である。空港または他のセキュリティシナリオと同様に、システムの入口と出口が増えるほど、セキュリティを保証するのが困難になる。これに関して、現在、GPU機能性およびディスプレイドライバの大部分を、機密性と保護性の両方に関して信頼できるようにする手段はない。したがって、信頼されるソースからコンテンツを受信するコンピューティングデバイスと共に信頼されるグラフィックス環境を実施し、第三者が、コンテンツを許可なしにコピーすることができず、タンパリングまたは変更することができないことを、デバイスのユーザに保証できるようにすることが望ましい。
【0008】
【発明が解決しようとする課題】
本発明の目的は、コンピューティングデバイスのグラフィックスサブシステムに関連してセキュアコンテンツを暗号的に保護する方法およびシステムを提供することにある。
【0009】
【課題を解決するための手段】
ビデオメモリのコンテンツを暗号化する技法を実施し、その結果、許可されないソフトウェアが、それに対する意味のあるアクセスを得ることができなくなり、これによって、機密性の目標を満足する。さらに、タンパ検出の機構を提供し、その結果、データがある形で変更された時が知られ、これによって、保護可能性の目標を満足する。さまざまな実施形態で、本発明は、オーバーレイサーフェスおよび/またはコマンドバッファのコンテンツを暗号化する方法を説明し、かつ/またはGPUが、信頼されない当事者、デバイス、またはソフトウェアへの可用性を防ぎながら、暗号化されたコンテンツを操作できるようにする方法を説明する。
【0010】
本発明の方法には、ビデオメモリと、グラフィックス処理ユニット(GPU)と、GPUに通信的に結合された暗号処理デバイスとを有する信頼されるグラフィックスシステムに関してセキュアコンテンツを暗号的に保護する技法であって、
アプリケーションまたはデバイスによって、セキュアコンテンツの処理またはレンダリングを実行するようにグラフィックスシステムに要求する工程と、ここで、該要求は、アプリケーションまたはデバイスによってセッション鍵をグラフィックスシステムに送る工程と、セキュアコンテンツをビデオメモリの暗号化された部分に送る工程とを含み、
暗号処理デバイスと通信するGPUによってビデオメモリの暗号化された部分のコンテンツを復号する工程と、
GPUによって復号されたコンテンツに対して処理またはレンダリングを実行する工程と、
GPUからコンテンツを出力する工程とを含む技法が、さまざまに含まれる。
【0011】
本発明の類似する方法には、アプリケーションまたはデバイスによって、セキュアコンテキストの処理またはレンダリングを実行するようにグラフィックスシステムに要求する工程と、ここで、該要求は、アプリケーションまたはデバイスによって、暗号処理デバイスによる検証のためにセッション鍵をグラフィックスシステムに送る工程と、セキュアコンテンツをビデオメモリの暗号化された部分に送る工程とを含み、
GPUの入力ユニットン復号機構によってビデオメモリの暗号化された部分のコンテンツを復号する工程と、ここで、該復号機構は、暗号処理デバイスと通信し、
GPUによる復号されたコンテンツに対する処理またはレンダリングを実行する工程と、
GPUの出力ユニットの暗号化/復号機構を用いてコンテンツを暗号化する工程と、
暗号化されたコンテンツをGPUから出力する工程とが、さまざまに含まれる。
【0012】
本発明の他の特徴および実施形態を以下で説明する。
【0013】
本発明によるセキュアコンテキストを暗号的に保護する方法およびシステムを、添付図面に関してさらに説明する。
【0014】
【発明の実施の形態】
<概要>
本発明は、耐タンパ機密ダイアログおよび許可されない複製に抵抗するプレミアムコンテンツの再生など、「信頼されるグラフィックス」アプリケーションを可能にするために、信頼されるソースからのコンテンツとコンテンツの処理および/またはレンダリングのためのグラフィックスシステムとの間のオペレーティングシステムまたは他の中間物を増補するシステムおよび技法を提供する。本発明を1つの視点からとらえると、本発明が3「レベル」のセキュリティすなわち、(1)オーバーレイサーフェスのコンテンツの暗号化と、(2)GPUまたは他の共用プロセッシングデバイスが、暗号化されたコンテンツを、信頼されない当事者から使用可能にせずに操作できるようにすることと、(3)コマンドバッファを暗号化できるようにすることを提供することである。
【0015】
上で述べたように、システムセキュリティに関連して、複雑さは、システムのセキュリティを証明することがより困難になるので、不利である。その結果、本発明は、GPU機能性およびディスプレイドライバの大部分が信頼できないとみなさなければならないことを考慮することによって開始される。その後、セキュリティの判断基準を満たすために実施することができるハードウェアの範囲を制限することによって、機密性と保護可能性に関する正しい実施形態の可能性を高める技法を適用する。
【0016】
本発明による用語法の一部は、上で既に述べた。しかし、説明を明瞭にするために、いくつかの単語を強調する。用語機密は、第三者のデバイスまたはソフトウェアなど、信頼されない第三者が信頼されるコンテンツ情報へのアクセス権を得られないようにすることである。そのような機密性の例に、信頼されない第三者がグラフィックスパイプラインに沿ったどこかで暗号化されたプレミアムビデオコンテンツの再生へのアクセスを得られないようにすることが含まれる。用語保護されたとは、第三者のデバイスまたはソフトウェアなど、信頼されない第三者が、検出されずに、信頼されるコンテンツ情報へのアクセスを得るかそれを変更することができないようにすることである。そのような保護可能性の例に、e-コマーストランザクション中に発生する可能性があるセキュア対話の表示へのアクセス入手または変更を、許可されない第三者が行えなくすることである。
【0017】
これに関して、本発明は、プレミアムコンテンツビデオストリームの上のユーザインターフェースなどのオーバーラップするウィンドウ、ならびにe-コマース対話中に提示される可能性があるさえぎられないウィンドウを考慮する。
【0018】
<例示的ネットワーク環境>
当業者は、コンピュータ、他のクライアントデバイス、または他のサーバデバイスを、コンピュータネットワークの一部としてまたは分散コンピューティング環境内で展開できることを理解することができる。これに関して、本発明は、任意の数のメモリユニットまたは記憶ユニット、任意の数の記憶ユニットまたは記憶ボリュームにまたがって発生する任意の数のアプリケーションおよびプロセス(本発明の信頼されるグラフィックス管理様式にかかわる可能性がある)を有するすべてのコンピュータシステムに関係する。本発明は、ネットワーク環境または分散コンピューティング環境で展開される、リモートストレージまたはローカルストレージを有する、サーバコンピュータおよびクライアントコンピュータを伴う環境に適用することができる。本発明は、プログラミング言語機能性、リモートサービスまたはローカルサービスに関連する情報の生成、受信、および送信の、解釈機能および実行機能を有する独立のコンピューティングデバイスにも適用することができる。
【0019】
分散コンピューティングは、コンピューティングデバイスおよびコンピューティングシステムの間の直接交換によるコンピュータリソースおよびコンピュータサービスの共有を促進する。これらのリソースおよびサービスには、情報の交換、キャッシュストレージ、およびファイルのディスクストレージが含まれる。分散コンピューティングは、ネットワーク接続性を活用し、クライアントが集合的な能力を活用して、企業全体に利益を与える。これに関して、さまざまなデバイスが、本発明の信頼されるグラフィックスパイプラインに関係するために対話することができるアプリケーション、オブジェクト、またはリソースを有することができる。
【0020】
図1に、例示的なネットワーク環境または分散コンピューティング環境の概略図を示す。分散コンピューティング環境には、コンピューティングオブジェクト10a、10bなどと、コンピューティングオブジェクトまたはコンピューティングデバイス110a、110b、110cなどが含まれる。これらのオブジェクトに、プログラム、メソッド、データストア、プログラマブルロジックなどを含めることができる。オブジェクトには、PDA、テレビジョン、MP3プレイヤ、テレビジョン、パーソナルコンピュータなどの同一のまたは異なるデバイスの諸部分を含めることができる。各オブジェクトは、通信ネットワーク14によって別のオブジェクトと通信することができる。このネットワーク自体に、図1のシステムにサービスを提供する他のコンピューティングオブジェクトおよびコンピューティングデバイスを含めることができる。本発明の1態様によれば、各オブジェクト10または110に、信頼されるグラフィックスリソースを要求することができるアプリケーションを含めることができる。
【0021】
110cなどのオブジェクトを、別のコンピューティングデバイス10または110上でホストできることも諒解されたい。したがって、図示の物理環境に、接続されたデバイスがコンピュータとして示されているが、そのような図示は、単なる例示であり、その代わりに、物理環境を、PDA、テレビジョン、MP3プレイヤなどのさまざまなディジタルデバイスと、インターフェース、COMオブジェクト、および類似物などのソフトウェアオブジェクトを含むものとして図示または記述することができる。
【0022】
分散コンピューティング環境をサポートするさまざまなシステム、コンポーネント、およびネットワーク構成がある。たとえば、コンピューティングシステムを、有線システムまたは無線システムによって、ローカルネットワークまたは広域分散ネットワークによって、一緒に接続することができる。現在、多数のネットワークが、インターネットに結合され、インターネットは、広域分散コンピューティングのインフラストラクチャを提供し、多数の異なるネットワークを含む。
【0023】
ホームネットワーキング環境では、それぞれが電力線、データ(無線と有線の両方)、音声(たとえば電話)、およびエンターテインメントメディアなどの独自のプロトコルをサポートすることができる少なくとも4つのネットワークトランスポートメディアがある。照明スイッチおよび電力機器などのほとんどのホームコントロールデバイスは、接続に電力線を使用することができる。データサービスは、ブロードバンド(たとえばDSLまたはケーブルモデムのいずれか)として家庭に入ることができ、無線(たとえばHomeRFまたは802.11b)または有線(Home PNA、Cat 5、電力線)のいずれかの接続性を使用して家庭内でアクセス可能である。音声トラフィックは、有線(たとえばCat 3)または無線(たとえばセル電話)のいずれかとして家庭に入ることができ、Cat 3配線を使用して家庭内で分配することができる。エンターテインメントメディアは、衛星またはケーブルのいずれかを介して家庭に入ることができ、通常は、同軸ケーブルを使用して家庭内で分配される。IEEE 1394およびDVIも、メディアデバイスのクラスタ用のディジタル相互接続として現れつつある。これらのネットワーク環境および、プロトコル標準として現れる可能性があるもののすべてを、イントラネットを形成するために相互接続することができ、このイントラネットを、インターネットによって外部の世界に接続することができる。手短に言うと、さまざまな異なるソースが、データのストレージおよび伝送のために存在し、その結果、前に進むと、コンピューティングデバイスが、データ処理パイプラインのすべての部分でコンテンツを保護する方法を必要とする。
【0024】
インターネットは、一般に、コンピュータネットワーキングの分野で周知のTCP/IPプロトコルスイートを使用する、ネットワークおよびゲートウェイの集合を指す。TCP/IPは、「Transport Control Protocol/Internet Protocol」の頭字語である。インターネットは、ユーザがネットワークを介して対話でき、情報を共有できるようにするネットワーキングプロトコルを実行するコンピュータによって相互接続された、地理的に分散したリモートコンピュータネットワークのシステムと説明することができる。そのような広範囲に分散した情報共有のゆえに、インターネットなどのリモートネットワークは、これまでは、一般に、開発者が本質的に制約なしで特殊化された動作またはサービスを実行するソフトウェアアプリケーションを設計できるオープンシステムに進化してきた。
【0025】
したがって、ネットワークインフラストラクチャは、クライアント/サーバ、ピアツーピア、またはハイブリッドアーキテクチャなどのネットワークトポロジのホストを可能にする。「クライアント」は、関連のない別のクラスまたはグループのサービスを使用する、あるクラスまたはグループのメンバである。したがって、コンピューティングにおいて、クライアントは、別のプログラムによって提供されるサービスを要求する、プロセスすなわち、おおまかには命令またはタスクの組である。クライアントプロセスは、他のプログラムまたはサービス自体に関する動作の詳細を「知る」必要なしに、要求されたサービスを使用する。クライアント/サーバアーキテクチャ、具体的にはネットワーク化されたシステムでは、クライアントが、通常は、別のコンピュータ、たとえばサーバによって提供される共有されるネットワークリソースにアクセスするコンピュータである。図1の例では、コンピュータ110a、110bなどを、クライアントとみなすことができ、コンピュータ10a、10bなどの、サーバとみなすことができ、サーバ10a、10bなどは、クライアントコンピュータ110a、110b内で複製されるデータを維持する。
【0026】
サーバは、通常は、インターネットなどのリモートネットワークを介してアクセス可能なリモートコンピュータシステムである。クライアントプロセスを、第1のコンピュータシステムでアクティブにすることができ、サーバプロセスを、第2のコンピュータシステムでアクティブにすることができ、これらのコンピュータが、通信メディアを介して互いに通信し、したがって、分散機能性が提供され、複数のクライアントがサーバの情報収集能力を利用できるようになる。
【0027】
クライアントとサーバは、プロトコル層によって提供される機能性を使用して互いに通信する。たとえば、Hypertext-Transfer Protocol(HTTP)は、ワールドワイドウェブ(WWW)に関連して使用される共通プロトコルである。通常、Universal Resource Locator(URL)アドレスまたはInternet Protocol(IP)アドレスなどのコンピュータネットワークアドレスが、サーバまたはクライアントコンピュータがお互いを識別するのに使用される。ネットワークアドレスを、Universal Resource Locatorアドレスと呼ぶことができる。たとえば、通信を、通信メディアを介して提供することができる。具体的に言うと、クライアントとサーバを、大容量通信用のTCP/IP接続を介して互いに結合することができる。
【0028】
したがって、図1は、本発明を実施することができる、ネットワーク/バスを介してクライアントコンピュータと通信するサーバを有する、例示的なネットワーク化された環境または分散環境を示す図である。詳細に言うと、本発明に従って、複数のサーバ10a、10bなどが、LAN、WAN、イントラネット、インターネットなどとすることができる通信ネットワーク/バス14を介して、複数のクライアントまたはリモートコンピューティングデバイス110a、110b、110c、110d、110eなどに相互接続され、このクライアントまたはリモートコンピューティングデバイスは、ポータブルコンピュータ、ハンドヘルドコンピュータ、シンクライアント、ネットワーク化された機器、または、VCR、TV、オーブン、照明、ヒーター、および類似物などの他のデバイスとすることができる。したがって、本発明が、信頼されるソースからのセキュアコンテンツを処理するか、ストアするか、レンダリングすることが望ましい関連するすべてのコンピューティングデバイスに適用できることが企図されている。
【0029】
通信ネットワーク/バス14が、インターネットであるネットワーク環境では、たとえば、サーバ10を、クライアント110a、110b、110c、110d、110eなどがHTTPなどの複数の既知のプロトコルのどれかを介して通信するウェブサーバとすることができる。サーバ10は、分散コンピューティング環境の特性とすることができるように、クライアント110としても働くことができる。通信は、適当に、有線または無線とすることができる。クライアントデバイス110は、通信ネットワーク/バス14を介して通信してもしなくてもよく、独立の通信を関連付けることができる。たとえば、TVまたはVCRの場合に、その制御に対するネットワーク態様があってもなくてもよい。各クライアントコンピュータ110およびサーバコンピュータ10は、さまざまアプリケーションプログラムモジュールまたはオブジェクト135と、さまざまなタイプのストレージ要素またはストレージオブジェクトへの接続またはアクセスを備えることができ、この接続またはアクセスを介して、ファイルを保管するか、ファイルの諸部分をダウンロードまたは移植することができる。したがって、本発明は、通信ネットワーク/バス14およびサーバコンピュータ10a、10bなどにアクセスでき、対話できるクライアントコンピュータ110a、110bなどを有し、サーバコンピュータ10a、10bなどがクライアントコンピュータ110a、110bなどおよび他のデバイス111およびデータベース20と対話することができる、コンピュータネットワーク環境で使用することができる。
【0030】
<例示的コンピューティングデバイス>
図2および以下の議論は、本発明を実施することができる適当なコンピューティング環境の短い全般的な説明を提供することが意図されている。しかし、ハンドヘルド、ポータブル、および他のコンピューティングデバイスおよびすべての種類のコンピューティングオブジェクトが、本発明に関連する使用について企図されていることを理解されたい。下では汎用コンピュータを説明するが、これは1つの例にすぎず、本発明を、ネットワーク/バスインターオペラビリティおよび対話を有するシンクライアントを用いて実施することができる。したがって、本発明は、非常に少ないか最小のクライアントリソースが用いられるネットワーク化されたホストされるサービスの環境、たとえば、クライアントデバイスが、機器に配置されたオブジェクトなど、単にネットワーク/バスへのインターフェースとして働くネットワーク化された環境で、実施することができる。本質的に、データを保管できるか、そこからデータの検索またはレンダリングを行うことができるどの場所でも、本発明のセキュアコンテンツの暗号的な保護の動作に望ましいか適する環境である。
【0031】
必要ではないが、本発明を、オペレーティングシステムを介して実施する、アプリケーションプログラミングインターフェース(API)を介して実施する、かつ/または信頼されるコンテンツにインターフェースするアプリケーションソフトウェア内に含めることができる。さまざまな実施形態で、本発明は、下で説明するインターフェースおおび暗号化技法に準拠するハードウェアにも適用される。ソフトウェアは、クライアントワークステーション、サーバ、または他のデバイスなどの1つまたは複数のコンピュータによって実行されるプログラムモジュールなど、コンピュータ実行可能命令の全般的な文脈で説明することができる。
【0032】
一般に、プログラムモジュールには、特定のタスクを実行するか特定の抽象データ型を実施する、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造、および類似物が含まれる。通常、プログラムモジュールの機能性を、さまざまな実施形態での望みに応じて組み合わせるか分散することができる。さらに、当業者は、本発明を、他のコンピュータシステム構成と共に実践することができることを諒解するであろう。本発明と共に使用するのに適する可能性がある他の周知のコンピューティングシステム、環境、および/または構成には、パーソナルコンピュータ(PC)、自動預金支払機、サーバコンピュータ、ハンドヘルドデバイスまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、プログラマブル消費者電子機器、ネットワークPC、機器、照明、環境制御要素、ミニコンピュータ、メインフレームコンピュータ、および類似物が含まれるが、これに制限はされない。
【0033】
本発明は、通信ネットワーク/バスまたは他のデータ伝送メディアを介してリンクされたリモート処理デバイスによってタスクが実行される、分散コンピューティング環境でも実践することができる。分散コンピューティング環境では、プログラムモジュールを、メモリストレージデバイスを含むローカルとリモートの両方のコンピュータストレージメディアに配置することができ、クライアントノードが、サーバノードとして働くことができる。
【0034】
したがって、図2には、本発明を実施することができる適当なコンピューティングシステム環境100の例が示されているが、上で明らかにしたように、コンピューティングシステム環境100は、適当なコンピューティング環境の1つの例でしかなく、本発明の使用の範囲または機能性に関する制限を暗示することは意図されていない。コンピューティング環境100を、例示的なオペレーティング環境100に示されたコンポーネントのいずれかまたは組合せに関する依存性または要件を有するものと解釈してはならない。
【0035】
図2に関して、本発明を実施する例示的システムに、コンピュータ110の形の汎用コンピューティングデバイスが含まれる。コンピュータ110のコンポーネントに、処理ユニット120、システムメモリ130、および、システムメモリを含むさまざまなシステムコンポーネントを処理ユニット120に結合するシステムバス121を含めることができるが、これに制限はされない。システムバス121は、メモリバスまたはメモリコントローラ、周辺バス、およびさまざまなバスアーキテクチャの任意の1つを使用するローカルバスを含む複数のタイプのバス構造のどれにでもすることができる。制限ではなく例として、そのようなアーキテクチャに、Industry Standard Architecture(ISA)バス、Micro Channel Architecture(MCA)バス、Enhanced ISA(EISA)バス、Video Electronics Standards Association(VESA)ローカルバス、および、Peripheral Component Interconnects(PCI)バス(メザニンバスとも称する)が含まれる。
【0036】
コンピュータ110には、通常は、さまざまなコンピュータ可読メディアが含まれる。コンピュータ可読メディアは、コンピュータ110によってアクセスできる使用可能なメディアのいずれかとすることができ、コンピュータ可読メディアには、揮発性メディアおよび不揮発性メディアと、取外し可能メディアおよび取外し不能メディアの両方を含めることができる。制限ではなく例として、コンピュータ可読メディアに、コンピュータ記憶メディアと通信メディアを含めることができる。コンピュータ記憶メディアには、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータなどの情報の保管のためのいずれかの方法または技術で実施された、揮発性および不揮発性の、取外し可能および取外し不能のメディアが含まれる。コンピュータ記憶メディアには、RAM、ROM、EEPROM、フラッシュメモリ、または他のメモリ技術、CD-ROM、ディジタル多用途ディスク(DVD)、または他の光学ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ、または他の磁気記憶デバイス、もしくは、所望の情報の保管に使用することができ、コンピュータ110によってアクセスできる他のメディアが含まれるが、これに制限はされない。通信メディアは、通常は、搬送波または他のトランスポート機構などの変調されたデータ信号内でコンピュータ可読命令、データ構造、プログラムモジュール、または他のデータを実施し、通信メディアには、すべての情報配布メディアが含まれる。用語「変調されたデータ信号」は、その特性の1つまたは複数を、信号内で情報をエンコードする形で設定または変更された信号を意味する。制限ではなく例として、通信メディアには、有線ネットワークおよび直接配線接続などの有線メディアと、音響メディア、RFメディア、赤外線メディア、および他の無線メディアなどの無線メディアが含まれる。上記のいずれかの組合せも、コンピュータ可読メディアの範囲に含まれなければならない。
【0037】
システムメモリ130には、読取専用メモリ(ROM)131およびランダムアクセスメモリ(RAM)132などの揮発性メモリおよび/または不揮発性メモリの形のコンピュータ記憶メディアが含まれる。起動中など、コンピュータ110内の要素の間で情報を転送するのを助ける基本ルーチンを含む基本入出力システム133(BIOS)が、通常は、ROM131に保管される。RAM132には、通常は、処理ユニット120によって即座にアクセス可能かつ/または現在操作されつつあるデータおよび/またはプログラムモジュールが含まれる。制限ではなく例として、図2に、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137を示す。
【0038】
コンピュータ110には、他の取外し可能/取外し不能、揮発性/不揮発性のコンピュータ記憶メディアも含めることができる。例としてのみ、図2に、取外し不能不揮発性磁気メディアから読み取るか書き込むハードディスクドライブ141、取外し可能不揮発性磁気ディスク152から読み取るか書き込む磁気ディスクドライブ151、およびCD ROMまたは他の光学メディアなどの取外し可能不揮発性光ディスク156から読み取るか書き込む光ディスクドライブ155を示す。例示的オペレーティング環境で使用することができる他の取外し可能/取外し不能、揮発性/不揮発性のコンピュータ記憶メディアには、磁気テープカセット、フラッシュメモリカード、ディジタル多用途ディスク、ディジタルビデオテープ、半導体RAM、半導体ROM、および類似物が含まれるが、これに制限はされない。ハードディスクドライブ141は、通常は、インターフェース140などの取外し不能メモリインターフェースを介してシステムバス121に接続され、磁気ディスクドライブ151および光ディスクドライブ155は、通常は、インターフェース150などの取外し可能メモリインターフェースによってシステムバス121に接続される。
【0039】
上述した、図2に示したドライブおよびそれに関連するコンピュータ記憶メディアは、コンピュータ可読命令、データ構造、プログラムモジュール、および他のデータのストレージをコンピュータ110に与える。図2では、たとえば、ハードディスクドライブ141は、オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147を保管するものとして図示されている。
【0040】
これらのコンポーネントは、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137と同一または異なるのいずれかとすることができることに留意されたい。オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147は、この図では、それらが最小限でも異なるコピーであることを示すために、異なる符号を与えられている。ユーザは、キーボード162および、一般にマウス、トラックボール、またはタッチパッドと称するポインティングデバイス161などの入力デバイスを介してコンピュータ110にコマンドおよび情報を入力することができる。他の入力デバイス(図示せず)には、マイクロホン、ジョイスティック、ゲームパッド、衛星放送用パラボラアンテナ、スキャナ、および類似物を含めることができる。
【0041】
これらおよび他の入力デバイスは、しばしば、システムバス121に結合されたユーザ入力インターフェース160を介して処理ユニット120に接続されるが、パラレルポート、ゲームポート、またはuniversal serial bus(USB)などの他のインターフェースおよびバス構造によって接続することもできる。ノースブリッジなどのグラフィックスインターフェース182も、システムバス121に接続することができる。ノースブリッジは、CPUまたはホスト処理ユニット120と通信するチップセットであり、accelerated graphics port(AGP)通信の責任を負う。1つまたは複数のグラフィックス処理ユニット(GPU)184が、グラフィックスインターフェース182と通信することができる。
【0042】
これに関して、GPU184に、一般に、レジスタストレージなどのオンチップメモリストレージが含まれ、GPU184は、ビデオメモリ186と通信する。しかし、GPU184は、共用プロセッサの1つの例にすぎず、したがって、さまざまな共用プロセッシングデバイスをコンピュータ110に含めることができる。モニタ191または他のタイプの表示デバイスも、ビデオインターフェース190などのインターフェースを介してシステムバス121に接続され、ビデオインターフェース190は、ビデオメモリ186と通信することができる。一般に、脆弱であるのはコンピューティングデバイスのこの部分であり、したがって、本発明は、それに付随して処理されるかレンダリングされるデータの保護および機密性を提供する。モニタ191の他に、コンピュータに、出力周辺インターフェース195を介して接続することができる、スピーカ197およびプリンタ196などの他の周辺出力デバイスも含めることができる。
【0043】
コンピュータ110は、リモートコンピュータ180などの1つまたは複数のリモートコンピュータへの論理接続を使用して、ネットワーク化された環境または分散環境で動作することができる。リモートコンピュータ180は、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイス、または他の一般的なネットワークノードとすることができ、リモートコンピュータ180には、図2ではメモリストレージデバイス181だけが図示されているが、通常は、コンピュータ110に関して上で説明した要素の多くまたはすべてが含まれる。図2に示された論理接続には、ローカルエリアネットワーク(LAN)171および広域ネットワーク(WAN)173が含まれるが、他のネットワーク/バスも含めることができる。そのようなネットワーキング環境は、家庭、オフィス、企業全体のコンピュータネットワーク、イントラネット、およびインターネットで平凡なものである。
【0044】
LANネットワーキング環境で使用される時に、コンピュータ110は、ネットワークインターフェースまたはネットワークアダプタ170を介してLAN171に接続される。WANネットワーキング環境で使用される時に、コンピュータ110に、通常は、インターネットなどのWAN173を介する通信を確立する、モデム172または他の手段が含まれる。内蔵または外付けとすることができるモデム172は、ユーザ入力インターフェース160を介して、または別の適当な機構を介して、システムバス121に接続することができる。ネットワーク化された環境では、コンピュータ110に関して図示されたプログラムモジュールまたはその一部を、リモートメモリストレージデバイスに保管することができる。制限ではなく例として、図2に、メモリデバイス181に常駐するリモートアプリケーションプログラム185を示す。図示のネットワーク接続が、例示的であり、コンピュータの間の通信リンクを確立する他の手段を使用することができることを諒解されたい。
【0045】
<例示的な分散コンピューティングのフレームワークまたはアーキテクチャ>
さまざまな分散コンピューティングフレームワークが、パーソナルコンピューティングとインターネットの集束に鑑みて、開発され、開発されつつある。個人およびビジネスユーザに、アプリケーションおよびコンピューティングデバイスに関するシームレスにインターオペラブルなウェブ対応インターフェースが与えられ、コンピューティング活動がますますウェブブラウザ指向またはネットワーク指向になる。
【0046】
たとえば、MICROSOFT(登録商標)の.Netプラットフォームには、サーバ、ウェブベースデータストレージなどのビルディングブロックサービス、およびダウンロード可能なデバイスソフトウェアが含まれる。一般的に言って、.Netプラットフォームは、(1)すべての範囲のコンピューティングデバイスが一緒に動作できるようにし、それらのすべてでユーザ情報を自動的に更新させ、同期化させる能力、(2)HTMLではなくXMLをより多く使用することによって可能になる、ウェブサイトの対話能力の向上、(3)たとえば電子メールなどのさまざまなアプリケーション、またはOffice .Netなどのソフトウェアの管理の中央開始点からのカスタマイズされたアクセスと製品およびサービスのユーザへの配布を特徴とするオンラインサービス、(4)情報へのアクセスの効率および容易さを高めると同時に、ユーザおよびデバイスの間での情報の同期化を向上させる、集中データストレージ、(5)電子メール、ファックス、および電話などのさまざまな通信メディアを統合する能力、(6)開発者のための、それによって生産性を高め、プログラミングエラーの数を減らす、再利用可能なモジュールを作成する能力、および(7)多数の他のクロスプラットフォーム統合機能を提供する。
【0047】
本明細書の例示的実施形態は、全般的に、コンピューティングデバイスに常駐するソフトウェアによって実施される方法に関して説明されるが、本発明の1つまたは複数の部分を、オペレーティングシステム、アプリケーションプログラミングインターフェース(API)、または共用プロセッサと犯されていないコンテンツとの間の「仲介者(middle man)」オブジェクトを介して実施し、信頼されるコンテンツサービスが、.NETの言語およびサービスならびに他の分散コンピューティングフレームワークのすべてによって実行されるか、サポートされるか、アクセスされるようにすることもできる。さらに、本発明による、説明される技法の1つまたは複数を、その技法に従うためのGPUに対する変更など、ハードウェアに対する変更を含めることができることを諒解されたい。
【0048】
<暗号的に保護されるセキュアコンテンツ>
したがって、本発明は、オペレーティングシステムまたはプラットフォームを増補して、耐タンパ機密ダイアログなどの「信頼されるグラフィックス」アプリケーションを可能にし、許可されない複製に抵抗する形でコンテンツを再生できるようにする方法およびシステムを提供する。本発明によって解決される問題を図3に示すが、この図では、暗号化されたプレミアムコンテンツ200が、信頼されるソフトウェアアプリケーションTSに渡されるかTSによって生成されるものとして図示されている。信頼されるソフトウェアTSの使用に付随して、コンテンツ200が、レンダリングデバイス295を介するコンテンツ200のレンダリング(または他の使用)の前に、GPU265の機能性を含む場合がある。そのようなコンテンツ200は、GPU265による処理のために、システムメモリまたはホストメモリ230からビデオメモリ260に渡される。図3の破線は、セキュリティ問題があるところを示す。背景で関係付けられたように、現在のシステムは、破線によって囲まれた要素を介するコンテンツの保護された機密の配送を正しく保証しない。信頼されるソフトウェアTSの観点から、第1の問題は、GPUにコンテンツを渡す前に、破線の中のコンポーネントをコンテンツについて信頼できるか否かである。
【0049】
信頼されるソフトウェアTSが、破線の中のコンポーネントを正しく認証できると仮定すると、信頼されるソフトウェアTSの観点からの第2の問題は、信頼されるソフトウェアTSが、データが破線の中に渡された後に、データが変更されないことの確信を正当に持たなければならないことである。
【0050】
本発明は、以下で説明するさまざまな実施形態で、この両方のタイプの問題に対処する。さまざまな形で、この方法およびシステムは、(1)オーバーレイサーフェスのコンテンツを暗号化し、(2)信頼されないアプリケーションまたは当事者に使用可能にせずに、GPUが暗号化されたコンテンツを操作できるようにし、(3)コマンドバッファのコンテンツを暗号化することによって、実施される。
【0051】
本発明によって対処される信頼されるグラフィックス処理およびレンダリングの問題第1の態様は、暗号プロセッサおよびインデックス付き鍵管理の提供に関する。下で説明する、グラフィックスシステムに関連する認証コンポーネントの技法が教示されている(たとえば、特許文献1参照)。しかし、本発明で、認証が行われたと仮定し、したがって、下の本発明のさまざまな実施形態で説明されるように、認証技法を活用して、信頼されるグラフィックスプラットフォームを提供することができることを理解されたい。
【0052】
<例示的な認証>
これに関して、セキュアグラフィックスカードも、そのようなものとしてそれ自体を認証できなければならない。具体的に言うと、信頼されるソフトウェアは、従来のグラフィックスカードまたはスプーフなどの迂回デバイスからセキュアグラフィックスカードを区別できなければならない。さらに、信頼されるソフトウェアは、暗号鍵をグラフィックスカードに見せることができ、鍵を受け取るものが実際にセキュアグラフィックスカードであることを検証できなければならない。このために、セキュアグラフィックスカードは、本発明による暗号プロセッサを備え、この暗号プロセッサは、認証および鍵トランスポートの暗号タスクを実行する。
【0053】
ハードウェアに関して、製造中に個別化され、証明される暗号プロセッサが、本発明に従って提供される。各暗号プロセッサには、一意の秘密復号鍵Kprivが含まれる。多数の異なる暗号化アルゴリズムおよび復号アルゴリズムが、本発明に従って企図され、暗号技術の当業者に既知であるが、文脈に関して、本明細書で説明するアルゴリズムは、RSAであり、鍵の長さは、1024ビットであり、この両方が、制限的でない設計選択であり、応用例および所望のセキュリティレベルに応じて周知のトレードオフに従って調整することができる。
【0054】
これに関して、暗号プロセッサは、既存のチップに追加することによって、または別のチップとしてカードに追加することによってのいずれかで、グラフィックスカードに永久的に付加される。暗号プロセッサは、下で詳細に示すように、公開鍵暗号アルゴリズムを実施し、一意の秘密鍵を隠す。これに関して、そのような暗号プロセッサが、現在のシリコン技術を用いて、公開鍵復号をすばやく実行することができる。しかし、暗号プロセッサに、公開鍵アクセラレータを含めることもでき、暗号プロセッサが、対称暗号(AES)およびいくつかの制御ロジックを実施することができる。
【0055】
1つの例示的な非制限的実施形態で、暗号プロセッサに、以下の不揮発性レジスタが含まれる。(1)セッション鍵用の256ビットレジスタS。この鍵の寿命は、通常は、信頼されるソフトウェアの走行時間である。(2)複数のインデックス鍵の配列。各鍵は、128ビットの長さとすることができるが、他の選択が適する場合がある。各鍵は、特定のウィンドウに関連付けられ、そのコンテンツを復号するためにグラフィックスカードによって使用される。各鍵の寿命は、信頼されるソフトウェアからの指示によって決定される。
【0056】
前に述べたように、本発明の暗号プロセッサは、グラフィックスカードに永久的に付加される。したがって、その機能性を利用するために、暗号プロセッサとセキュアにインターフェースする手段が必要である。暗号プロセッサとのインターフェースに関して、本発明では、少なくとも2つの技法すなわち、(a)信頼されるソフトウェアTSへの外部インターフェース、および(b)GPU265へのインターフェースが考慮される。前者のインターフェースは、少なくともその暗号的態様において、標準化されなければならない。後者のインターフェースは、実装特有とすることができるが、下で示す総合的なガイドラインに従わなければならない。
【0057】
外部インターフェース実施形態に関して、外部インターフェースは、認証および鍵トランスポートに秘密鍵(PK)暗号プロトコルを使用する。このプロトコルの下で、信頼されるソフトウェアTSが、暗号プロセッサの公開鍵を用いてセッション鍵を暗号化する。暗号プロセッサは、結果のcryptoblobを受け取り、秘密鍵を用いてこれを復号し、したがって、セッション鍵を得る。ここで、信頼されるソフトウェアおよび暗号プロセッサが、秘密を共有する。信頼されるソフトウェアは、このセッション鍵を使用して、指示を暗号プロセッサに送ることができる。
【0058】
1つの非制限的な実施形態では、外部インターフェースが、暗号プロセッサによって、以下の関数を介して公開される。
【0059】
関数SetSessionKey()は、最初の認証ステップおよび鍵トランスポートを実行する。これは、暗号プロセッサの公開鍵機能性にアクセスする唯一の関数である。したがって、一実施形態では、本発明によって、ブートごとに1回この関数が呼び出されることが企図される。下記の例示的擬似コードに、SetSessionKey()の1つの非制限的な実施形態を示す。
動作の成功裡の完了の後に、sessionKeyレジスタに、cryptoblobからの、256ビット鍵などの鍵が含まれる。公開鍵アルゴリズムは、たとえば、1024ビットRSAとすることができる。
【0061】
対称セッション鍵Kが、信頼されるソフトウェアと暗号プロセッサの間で確立された時に、この鍵を使用して、暗号プロセッサとのそれ以降のすべての通信を保護することができる。信頼されるソフトウェアおよび暗号プロセッサは、単純なGetメソッドおよびSetメソッドによって通信することができ、これらのメソッドのパラメータが、機密性および完全性のために暗号的に保護される。具体的に言うと、各呼出しのパラメータブロックBを、以下の非制限的な形で処理することができる。
AES(M|HMAC(M, K1), K2),
ここで、
K1は、Kの前半(ビット0から127)
K2は、Kの後半(ビット128から255)
AES(M,K)は、鍵Kの下でCBCモードのAESを用いたメッセージMの暗号化の結果
HMAC(M,K)は、鍵Kを用いるメッセージMの適当なハッシュ関数でのHMACの計算の結果、
A|Bは、AおよびBの連結の結果である。
このフォーマットは、下記の関数の入力パラメータおよび出力パラメータに使用することができる。
Set([IN] BOOL needsAck, [IN] BITS128 nonce, [IN] ENUM propertyID, [IN]
BYTESEQUENCE propertyParamters, [OUT] BYTESEQUENCE ack)
ここで、
needsAckは、ブール値であり、これによって、信頼されるソフトウェアが、肯定応答を必要とするかどうかを示すことができる。
【0062】
nonceは、信頼されるソフトウェアによって選択される128ビット値である。nonceは、肯定応答が要求された場合に、肯定応答に使用することができる。
【0063】
propertyIDは、設定されるプロパティを識別する。サポートされるプロパティの例示的リストを、下の表1に示す。
【0064】
propertyParamtersは、各propertyIDに固有のパラメータのシーケンスである。
【0065】
最後に、Ackは、動作の肯定応答である。暗号プロセッサは、needsAckがセットされた場合に限って、ackを作る。Ackは、nonceとそれに続くメッセージからなり、このメッセージは、各propertyIDに固有である。
【0066】
【表1】
Index key property IDに関して、このメソッドは、新しい鍵および目的タグを、インデックスによって識別される鍵レジスタに書き込む。
【0068】
Output lock property IDに関して、このメソッドは、出力ロックフラグをセットする。このフラグがセットされていると、画面ジオメトリ(幅、高さ、カラーデプス、リフレッシュレート)ならびにグラフィックスカード出力(VGA、DVI)を変更できなくなる。具体的に言うと、グラフィックスカードは、出力ロックフラグがセットされている間に、これらの設定を変更する命令を実行しない。
【0069】
L2KeyMgmt property IDに関して、このメソッドは、本発明に従って説明される保護の第2層すなわち、下で詳細に説明する入出力の暗号化の下での鍵更新頻度を設定する。
【0070】
同様に、Get関数は、次のように提案される。
Get([IN] BITS128 nonce, [IN] ENUM propertyID, [IN] BYTESEQUENCE
propertyParamters, [OUT] BYTESEQUENCE response)
ここで、
nonceは、応答で使用される、信頼されるソフトウェアによって選択される128ビット値。
propertyIDは、取得されるプロパティを識別する。サポートされるプロパティのリストを、下の表2に示す。
propertyParamtersは、各propertyIDに固有のパラメータのシーケンスである。
responseには、動作の結果が格納される。responseは、nonceとそれに続くメッセージからなり、このメッセージは、各propertyIDに固有である。
【0071】
【表2】
Output portsに関して、このメソッドは、グラフィックスカード出力の設定、たとえばVGA、DVIなどを返す。
Authentication codeに関して、このメソッドは、本発明に従って説明される保護の第1層すなわちオーバーレイの暗号化によるウィンドウのコンテンツのハッシュを返す。
DX-SEC versionに関して、このメソッドは、グラフィックスカードによってサポートされるDX-SECのバージョンを返す。
Secure surface countに関して、このメソッドは、グラフィックスカードによってサポートされるセキュアサーフェスの数を返す。
Overlapping surface countに関して、このメソッドは、グラフィックスカードによってサポートされるオーバーラップするセキュアサーフェスの数を返す。
Primary typeに関して、このメソッドは、1を返し、将来の柔軟性を提供する。
Geometryに関して、このメソッドは、プライマリサーフェスの幅、高さ、リフレッシュレート、およびカラーデプスを返す。
【0073】
Set関数に、さらに、保護される領域オーバーレイの位置またはサイズ、または主(プライマリ)サーフェスのうちで復号されなければならない部分の位置およびサイズを設定するメソッドを含めることができる。
【0074】
したがって、上のSetSessionKey関数、Get関数、およびSet関数は、外部インターフェースの非制限的な実施形態に関する。用語「内部インターフェース」は、暗号プロセッサとグラフィックスカードの残りとの間のインターフェースを指す。本発明による、この種類のインターフェースの詳細は、各個々のグラフィックスカードの実施形態の責任であるが、下記の制限の対象になる。(1)暗号プロセッサが、グラフィックスカードに永久的に固定されなければならず、(2)暗号プロセッサとグラフィックスカードの残りの間の接続を公開してはならない。
【0075】
これに関して、グラフィックスカードからの暗号プロセッサの除去が、自明であってはならない。暗号プロセッサが、別のチップとして実施される場合に、これは、主に、暗号プロセッサをグラフィックカードに付加する機械的インターフェースに対する制限である。通常、暗号プロセッサは、グラフィックスカードにはんだ付けされなければならない。その代わりに、暗号プロセッサが、主GPUと同一のチップ内に存在することができる。たとえばスマートカードリーダ、ソケットマウント、および類似物など、暗号プロセッサの除去を可能にする標準化された機械的インターフェースの使用は、許容可能ではない。
【0076】
さらに、暗号プロセッサとグラフィックスカードの残りの間の物理的接続は、アクセス可能であってはならず、標準インターフェースを介して公開されてはならない。たとえば、このバス上のUSBコネクタは、本発明によれば許容可能でない。
【0077】
鍵管理のルールに関して、各インデックス鍵は、それに関連する目的パラメータに従って使用することだけができる。一実施形態では、目的パラメータの値が、下記の意味を有する。
【0078】
L1STREAM この鍵は、本発明によって提供されるセキュリティの第1層すなわちオーバーレイの暗号化と関連して下で説明するDX-SECストリーム暗号と共に使用することだけができる。
【0079】
L2BLOCK この鍵は、本発明によって提供されるセキュリティの第2層すなわち下で説明する入出力の暗号化のECBモードでのブロック暗号と共に使用することだけができる。ECBモードのブロック暗号は、信頼されるソフトウェアによって書かれたテクスチャブロックの復号に使用される。
これに関して、インデックスに新しい値が書き込まれている時に、鍵のコピーを保存してはならない。
【0080】
<セキュリティの第1層 暗号化されたオーバーレイ>
ビデオメモリは、CPU上で走行する信頼されないソフトウェアによってマッピングされ、読み取られる可能性があるので、ビデオメモリに、平文の形で情報を含めることはできない。この要件の対象になるビデオメモリには、ディスプレイのリフレッシュに使用されるビデオメモリが含まれる。本発明によるこの判断基準を満たすシステムの最初の実施形態では、オーバーレイサーフェスのコンテンツを暗号化する。オーバーレイは、イメージがディスプレイに送られる時に、DACハードウェアによってオンザフライで、またはDACハードウェアに達する直前に、復号される。
【0081】
図4に、そのような技法の例示的実施形態を示す。暗号化されたプレミアムコンテンツ200が、信頼されるソフトウェアアプリケーション210に付随して見つけられるか生成されたところから、信頼されるアプリケーション210によって受け取られる。暗号プロセッサ220との認証交換がその後に行われるが、これは、上の例示的実施形態で説明した認証交換手順または、暗号的にまたは他の手段によって保護されるパスを介してのいずれかで鍵配布を保護する他の技法によるものなどである。コンテンツ200は、システムメモリ230から暗号化されたオーバーレイサーフェス240に渡され、暗号化されたオーバーレイサーフェス240は、ビデオメモリ260のプライマリサーフェス270にオーバーレイされる。暗号プロセッサ220と共に、GPU265の復号部分250が、暗号化されたオーバーレイ240によって提供される暗号化された層を復号し、そのコンテンツを、モニタなどのレンダリングデバイスへの出力のためのディジタルビデオインターフェース(DVI)/ディジタルアナログ変換器(DAC)290への出力のためにピクセル選択280に渡す。
【0082】
しかし、図4に示されたシステムは、オーバーレイが1つしかないので、上で説明した判断基準のすべてを満たしてはいない。信頼されるウィンドウなどの信頼される環境に必要な機能性の最低限を満たすために、本発明は、代替実施形態で2つのオーバーレイを可能にする。
【0083】
第1の「機密」オーバーレイは、基本的に、主にビデオを再生するために現在のプラットフォームに存在するが、コンテンツを暗号化できるように増補されたオーバーレイである。第2のオーバーレイは、e-コマースダイアログなどの機密のユーザインターフェースを提示するために特に設計される。この「保護されるオーバーレイ」は、常に手前に表示され、隠すことができない、すなわち、カラーキーイングなしであり、第1のオーバーレイを超える優先順位を有する。
【0084】
第2のオーバーレイは、コストを最小にするためのいくつかの制限の対象になる場合がある。たとえば、第2のオーバーレイは、データが、プライマリと同一のピクセルフォーマットであり、ストレッチまたはマルチバッファリングが不可能であるものとして提供される場合がある。さらに、保護されるオーバーレイのコンテンツを、ハードウェアによって検証することができる。表3に、機密オーバーレイと保護されるオーバーレイの間の例示的な相違を要約する。
【0085】
【表3】
図5に、機密オーバーレイフリッピングチェーン310の機密オーバーレイ、たとえばオーバーレイ310a、310b、および310cと、保護されるオーバーレイ320の両方を含むシステムを示す。可能な時には、ストリーム暗号をセキュアサーフェス暗号化に使用する。というのは、ストリーム暗号が、ブロック暗号より高速であり、実装が単純であるからである(詳細については付録Aを参照されたい)。ストリーム暗号では、「ストリーム内のバイトの位置」に基づいてデータを暗号化する。したがって、本発明のセキュリティの第1レベルでは、サーフェスの左上隅のピクセル暗号鍵を用いてストリーム暗号を初期化する。ストリーム暗号は、ピクセルが表示されるかどうかに無関係に、オーバーレイサーフェスに含まれるすべてのピクセルについて進行する。提案されるシステムには、機密オーバーレイ用と保護されるオーバーレイ用の、2つのストリーム暗号復号コンポーネント300aおよび300bが含まれる。復号されたピクセル値が使用可能になった時に、ハードウェア280が、保護されるオーバーレイ320、機密オーバーレイ310(プライマリ270がカラーキーと等しい場合および/またはカラーキーイングがイネーブルされている場合)、またはプライマリ270のピクセル値を選択し、ピクセル値をDVI/DAC290を介してディスプレイハードウェアに送る。
【0087】
敵対者が、任意の数の手段によってオーバーレイへのアクセスを得ることができ、これによって、表示されるイメージを不可視にするか、セキュアコンテンツをノイズの多いコンテンツに置換することができることに留意されたい。これは、敵対者によって書き込まれるデータも復号されるからである。本発明は、これらの攻撃に対して直接に防御はしないが、本発明は、完全性検査を提供して、期待されるコンテンツがエンドユーザに提示されたことを保証する。したがって、出力が、入力以外のものである場合に、ユーザまたは信頼されるソフトウェア210に、コンテンツに関するタンパリングがあったことを警告することができる。
【0088】
オーバーレイへのソフトウェアインターフェースに関して、ソースおよびデスティネーションの境界ボックス、デスティネーションカラーキーなどの普通のオーバーレイ情報の他に、機密オーバーレイ310は、暗号鍵インデックスが指定されることを維持し、保護されるオーバーレイ320は、さらに、復号されたオーバーレイコンテンツの巡回冗長コード(CRC)が書き込まれるメモリ位置が指定されることを維持する。
【0089】
機密オーバーレイインターフェースは、フリップ方法によって、オーバーレイ後バッファ310aすなわち、データがフリップされつつある先のバッファのコンテンツの暗号鍵インデックスが指定されることを除いて、既存のオーバーレイに類似する。
【0090】
保護されるオーバーレイインターフェースは、より単純であり、サーフェスが初めて表示された後に、そのサーフェスのCRCをメモリ位置に転送する備えがある。標準化されたハードウェアインターフェースによって、オーバーレイの位置が制御され、関心を持つソフトウェアにポーリングベースでCRCが使用可能にされる。たとえば、あるレジスタによって、CRCを入手できるところを示すことができ、もう1つのレジスタによって、CRCの読取をイネーブルすることができる。たとえば、次の例示的擬似コードを、保護されるオーバーレイインターフェースとの接続に使用することができる。
HRESULT UpdateOverlay(LPPOINT ppntUL);
ここで、
ppntULは、保護されるオーバーレイの左上隅を指定する。
これに関して、ソフトウェア210は、完全性に関心を持つ場合に、期待するCRC値を計算する。
【0091】
<セキュリティの第2層 暗号化された入出力>
本発明によれば、GPU265を増補して、暗号化されたコンテンツを入力として扱い、暗号化されたコンテンツを出力として送るために、暗号化および復号ハードウェアが、テクスチャマッピングユニット(入力側で)およびアルファブレンディングユニット(出力側で)に追加され、ハードウェア設計者が、この機能を実施する際にいくつかのルールに従うように協力する。ストリーム暗号は、暗号化されたデータへのランダムアクセスを可能にしないので、システムは、ブロック暗号を使用して、たとえば1時に128ビットのデータを暗号化する。テクスチャマッピングユニットは、キャッシュラインフィル時に復号し、アルファブレンディングユニットは、カラーバッファからキャッシュラインを読み取る時に復号し、書込の前に暗号化する。これらの動作に使用される暗号鍵は、異なるものとすることができる。
【0092】
ビデオデコードなどの3Dレンダリング以外の計算タスクは、先程説明したパラダイムの単純な延長である。テクスチャの代わりに、ビデオマクロブロックが、暗号化された入力として働き、カラーバッファの代わりに、デコードされる出力フレームが、暗号化された出力として働く。コンテンツが、GPU265へのコマンドストリーム内でインバンドで配送される際に保護されなければならない場合に、コマンドバッファをどのように暗号化できるかも、下で説明する。
【0093】
図6に、暗号化および復号コンポーネント400を介して、フロントエンド動作を実行し、暗号化されたサーフェス420を入力としてとり、暗号化されたサーフェスを出力として送る、すなわち、暗号化されたテクスチャおよびカラーバッファ技法のフロントエンドを実行する、上で説明したシステムを示す。本発明は、さらに、暗号化されたテクスチャ400aを提供し、テクスチャ400bは、ビデオメモリ260の通常のテクスチャとすることができる。暗号化されたテクスチャ400aは、GPU265の復号コンポーネント450に出力され、復号コンポーネント450は、暗号プロセッサ220と一緒に働いて、テクスチャを復号し、シェーディングなどのグラフィックスアルゴリズムを、コンポーネント430aと共にコンポーネント440からの暗号化されたデータに適用する。
【0094】
合成されたページフリッピングデスクトップの展開に先行して、上で説明した図6のシステムは、DACハードウェアが上で説明したプライマリ270ならびにオーバーレイサーフェス310および330を暗号化できるならば、デスクトップの全体を保護することができる。この場合に、DACハードウェアが、ストリーム暗号ではなくブロック暗号を使用して暗号化することに留意されたい。そのようなシステムは、任意の数の機密サーフェスが、任意のZ順序付け、ブレンディング、もしくは3Dまたは他の効果を、セキュリティを危険にさらさずに適用されて、デスクトップに参加できるようにする。常に手前に表示されなければならず、そのコンテンツが検証されなければならない保護されるオーバーレイサーフェス320は、別のサーフェスに常駐する。上で説明した機密オーバーレイ310は、セキュアページフリッピングデスクトップまたはプラットフォームによってソフトウェアでエミュレートできるまで残存する。
【0095】
一実施形態では、プライマリ270を復号できることの他に、システムは、GPU265が、信頼されるワードプロセッサなどの普通のデスクトップアプリケーションからの平文を暗号化でき、これらのアプリケーションがデスクトップに参加できるようになることも必要とする。図7に、前510bおよび後510aを含むプライマリフリッピングチェーン510が暗号化される、そのようなシナリオを示す。したがって、プライマリサーフェスを、デスクトップコンポジタ430によって操作し、そこからの出力/そこへの入力のために暗号化/復号コンポーネント440aによって保護することができる。暗号プロセッサ220との通信で、復号コンポーネント500が、DVI/DAC290への出力のために前サーフェス510bを復号する。これによって、システムがある種類の攻撃に公開されるが、これらの攻撃を、セキュリティの確保について下で(これらの攻撃に対する防御の戦略を述べる)詳細に説明する。
【0096】
図8に、機密オーバーレイフリッピングチェーン310への書換がもたらされる、図7に対する代替案を示す。したがって、プライマリ270の暗号化の代替として、本発明に従って、ハードウェアが、機密オーバーレイハードウェア300aによる消費のためにストリーム暗号暗号化をイネーブルすることができ、機密オーバーレイハードウェア300aは、暗号プロセッサ220と共にストリーム暗号データを復号することができる。このプレゼンテーション機構は、ブロック暗号を用いてプライマリを暗号化するより安価にすることができるが、設計トレードオフとして、スケーブルまたは柔軟でなくなる可能性がある。機密オーバーレイ310が、暗号化にストリーム暗号を使用するので、このコンテキストでサポートされる妥当な動作は、入力が入力サーフェス510aのブロック暗号を使用して復号コンポーネント440bによって復号され、オーバーレイのストリーム暗号を使用してコンポーネント440bによって再暗号化される、「コピー」動作である。
【0097】
これらの実施形態およびそのさまざまな組合せは、たとえば、任意の数の平文入力を暗号化された入力と組み合わせて暗号化された出力を生成することができるならば、1時に1つの暗号化された入力で十分である場合に有用である。
【0098】
永続するセキュリティに関して、本発明に従って実施することができる複数の尺度がある。第1に、上で説明したセキュリティの第2層は、平文を、復号した後にGPU265から漏らすことができないという発想に頼る。たとえば、ホストの中央処理装置(CPU)によってチップから平文を読み出せるようにする、デバッグ用レジスタまたは他の機能は存在しない。そのような漏れを防ぐ注意深いハードウェア設計に加えて、GPU265の命令セットは、出力の暗号化をイネーブルせずに入力の復号をイネーブルすることが不可能になるように設計される。さらに、ハードウェアによって、悪事を働くドライバ、反対者のコード、または事故のいずれによっても、平文データが漏れないようにする。
【0099】
さらに、ハードウェアは、鍵を漏らしてはならない。鍵は、認証交換によって記述される暗号プロトコルを介してGPU265に配送された後に、暗号化コンポーネントおよび復号コンポーネントだけに使用可能になる。
【0100】
上述したように、GPU265が、プライマリ270内の表示のために平文を暗号化できる場合に、この機能は、システム内の脆弱性とみなされる。というのは、この暗号化機能が、敵対者が平文とそれに対応する暗号文を同時に入手可能にすることができる、記述された唯一の機構であるからである。プライマリサーフェスを、CPUによって見ることができるようにマッピングし、暗号化されなければならないウィンドウを作成することによって、敵対者が、既知の平文ブロックに対応する暗号文ブロックのサブセットを構成することができる。これらのいわゆる「辞書攻撃」は、「興味のある」ブロックの数が少ない時に、最もよく機能する。たとえば、32bppディスプレイモードでの白黒のダイアログボックスの表示に関して、1ブロックごとに4ピクセルがあるので、そのようなダイアログを表示するには、16個のブロックだけが必要である。16個の暗号文ブロックを見つけた敵対者の1つの可能な達成方法は、GPU265による復号の後であっても意味のあるコンテンツを作成することによって、エンドユーザへのダイアログを偽造することである。この理由から、保護されるオーバーレイは、エンドユーザが期待されたものを見なかった時をアプリケーションが検出できるようになるので、耐タンパダイアログに最も適する。
【0101】
したがって、辞書を作成することを望む敵対者を挫折させる、2つのよい戦略がある。第1に、辞書は、所与の鍵だけについて良好なので、鍵を変更し、コンテンツを再暗号化することによって、敵対者が、新しい辞書を用いて一からやり直さざるをえなくなる。さらに、プライマリの暗号化について、鍵を、ソフトウェアに使用可能にする必要はない。鍵は、ハードウェアで変更することができ、ソフトウェアは、鍵が変更されたことを通知されることだけが必要である。前の鍵がまだ使用可能なので、ソフトウェアは、プライマリのうちで変更されていない部分を、前の鍵を使用して復号し、再暗号化することができる。したがって、暗号プロセッサ220は、プライマリ270の暗号鍵を、周期的に、前の鍵がまだ使用可能である形で、たとえば、暗号鍵インデックスのダブルバッファリングの形で、鍵が変更されたことをソフトウェアに通知する形で、変更する。
【0102】
もう1つの戦略では、暗号化前のイメージ内の位置をエンコードする。たとえば、イメージ内の(x,y)ピクセル位置(または、イメージオフセットなどの派生値)を、ピクセルデータの暗号化の前にピクセルデータとの排他的論理和を(XOR)とることができ、この動作を、復号の後で元に戻すことができる。その結果、サーフェスの異なる領域のピクセルのブロックが、異なる形で暗号化され、平文と暗号文のマッピングが、サーフェスの所与の位置についてのみ意味を持ち、攻撃者に入手不能になる。
【0103】
本発明は、事前に定義されたスウィズリングされたフォーマットも提供する。テクスチャおよびオフスクリーンサーフェスは、ランダムアクセスを必要とするので、ブロック暗号を用いて暗号化されなければならない。ブロック暗号の通常のブロックサイズと、現代の3Dアクセラレータの通常のキャッシュラインサイズの間によい協同があり、たとえば、キャッシュラインとブロックサイズが両方とも128ビットである場合に、効率的な暗号化および復号を、ハードウェアで実施することができる。わずかな差がある(たとえば、128ビットのブロックサイズと256ビットのキャッシュラインサイズ)場合であっても、ハードウェア実施形態が、効率的になる可能性が高い。
【0104】
暗号化されたテクスチャデータに関する1つの問題は、隣接するバイトのブロックが、暗号化または復号できる前に使用可能であることを、ブロック暗号化方式が必要とすることと、ピクセルデータが「スウィズリング」されるすなわち、イメージ内の(X,Y)位置からアドレスへの変換を形成し、キャッシュラインフィルがピクセルの2D領域をもたらすようにすることを、キャッシュラインフィルが必要とすることである。今のところ、ハードウェアベンダは、表向きは線形のサーフェスフォーマットを公開しているが、アプリケーションの知識なしでイメージデータをスウィズリングする。しかし、信頼されるソフトウェアは、暗号化されたテクスチャデータを送るので、ソフトウェアは、データの隣接するブロックを暗号化でき、2D局所性を保存できるように、スウィズリング方式の先験的な知識を有しなければならない。これに応じて、本発明では、アプリケーションによる使用のために、YUVの4:4:4、4:2:2、および4:2:0ならびにRGBフォーマットを含むスウィズリングされたイメージフォーマットの辞書を定義する。これらのフォーマットの性能は、イメージがハードウェア固有フォーマットにスウィズリングされた場合ほど高くはない可能性があるが、暗号化は、わずかな性能低下に値する、すなわち、スピードと引き換えにセキュリティが得られる。
【0105】
AYUV/ARGB(32bpp、パックド)に関して、この32bppサーフェスフォーマットに、輝度(Y)およびクロミナンス(UおよびV)サンプルの8ビットカラーチャネルに加えて、アルファチャネルが含まれる。その代わりに、標準的なARGB 32bppを含めることができる。というのは、この両方のフォーマットが、32bppであり、パックされているからである。以下の議論では、AYUVを前提とする。線形レイアウトは、図9に示された通りである。
【0106】
イメージ内のピクセル(X,Y)のオフセットは、次の通りである。
オフセット=Y*ピッチ+X*4
128ビットの暗号化ブロックサイズおよびキャッシュラインサイズを仮定すると、4ピクセルを、単一のブロックにおさめることができる。アドレスを生成する前にXおよびYの最下位ビットをインターリーブすることによって、キャッシュラインフィルでの改善された2D局所性がもたらされる。これらのブロックは、フォーマットに従って線形に配置される。
【0107】
結果のイメージレイアウトを、図10に示す。番号付きの長方形のそれぞれが、1ピクセルであり、太い長方形が、暗号化ブロックである。イメージ内の(x,y)位置をオフセットに変換する、このフォーマットに関する本発明のスウィズリング関数の例示的擬似コードは、次の通りである。
YUY2(16bpp、パックド)に関して、このサーフェスフォーマットでは、「クロミナンス」サンプルUおよびVを水平に2倍にサブサンプリングする。その結果が、平均してピクセルあたり16ビットになるパックドイメージフォーマットである。線形レイアウトを図11に示す。本発明のスウィズリングフォーマットでは、図12に示されているように、4×2ピクセルの暗号化ブロックを割り振る。図9および10と同様に、128ビットブロックもスウィズリングされる。図12および(x,y)座標対をイメージオフセットに変換する下記の例示的スウィズリング擬似コードについて、UおよびVが、一様なX座標を有すると仮定されることに留意されたい。
【0109】
これに関して、図9、図10、図11、および図12のスウィズリングを伴う擬似コードについて、サーフェスピッチが、128ビットブロックのスキャンラインごとのバイト数として定義される。
【0111】
パックドプレーナ(12bpp)に関して、このサーフェスフォーマットでは、UおよびVを水平と垂直で2倍にサブサンプリングする。輝度およびクロミナンスのサンプルが、サーフェスの2つの別々の部分に配置される。パックドプレーナ(12bpp)の線形レイアウトを、図13に示す。
【0112】
サーフェスピッチは、Yプレーン内の512ビットブロックのスキャンラインあたりのバイト数として定義される。UVプレーンのピッチは、Yプレーンのピッチの半分である。というのは、サンプルの数が1/4であるが、サンプルあたりのカラー要素が2倍あるからである。本発明による結果のスウィズリングイメージフォーマットを、図14に示す。
【0113】
(x,y)座標をY、U、およびV要素のオフセットに変換する、このフォーマットに関する本発明のスウィズリング関数の例示的擬似コードは、次の通りである。
<セキュリティの第3層 暗号化されたコマンドバッファ>
セキュリティの第1層および第2層に関して上で説明した実施形態の機能を、本発明に従って増補して、GPU265が操作しているイメージデータに加えて、GPU265にサブミットされるコマンドバッファを暗号化することができる。この機能性は、アプリケーション210が、ハードウェアにインバンドでコマンドバッファ内に送られるコンテンツを保護することを望む場合に望ましい。図17に、暗号化されたコマンドバッファ900を使用し、これによって、コンテンツが、暗号化されたテクスチャ400aに配布され、復号コンポーネント450によって復号され、ビデオデコーダ430bによってデコードされる、ビデオデコーディングを示す。コマンドバッファだけを暗号化することが可能であるが、暗号化されデコードされたフレーム420aによって示されるように、コンテンツが、ビデオメモリ内ならびにコマンドバッファ内で暗号化される。したがって、コマンドバッファの暗号化は、マクロブロックがビデオメモリ内にモーションベクトルと共にあり、他のコマンドがコマンドストリームで送られる、これに似た状況に適当である。
【0115】
暗号化されたテクスチャデータのアトミシティ制約は、カラーバッファ暗号化が問題のコンテンツの保護に十分でない可能性があることの警告と共に、暗号化されたコマンドバッファデータにも適用される。たとえばZバッファなどの中間バッファも、平文攻撃からシステムを保護するために暗号化することができる。図16に、本発明に従って暗号化されたコマンドバッファを使用する例示的3Dレンダリングを示す。図からわかるように、3Dレンダリングコマンド810が、ビデオデコーダ430cへの途中で暗号化される。テクスチャデータ400aが、復号コンポーネント450によって復号され、ビデオデコーダ430cによってコマンド810に従って処理される。これに付随して、カラーバッファ820内のデータが、暗号化/復号コンポーネント830を介して暗号化される。
【0116】
タンパ検出は、2パスを使用してコマンドバッファの消費の前に、またはコマンドバッファが消費された後に、行うことができる。一実施形態では、タンパ検出が、コンテンツの表示またはレンダリングの後にイネーブルされる。
【0117】
<さらなる代替実施形態 グラフィックスカードからの出力の暗号化>
上述した実施形態のそれぞれで、図3の破線部分に関して機密性および完全性を実証し、説明してきたが、機密性および完全性は、ビデオ出力に関して説明されていない、すなわち、理論的に、グラフィックスカードとモニタなどのレンダリングデバイスの間のインターフェースおよび/またはレンダリングデバイス自体が、攻撃の対象になる。
【0118】
したがって、上述した実施形態で、図17に示されているように、処理中のある点で、たとえコンテンツがビデオメモリ内およびグラフィックスカード処理中に保護されても、データが暗号化されずにDVI/DAC290に送られる。その結果、データが、レンダリングデバイスへの途中およびレンダリングデバイス内にある間に、著作権を侵害されるか、変更される可能性がある。
【0119】
したがって、任意選択として本明細書に記載の他の実施形態と組み合わせることができる、本発明の代替実施形態によれば、姉妹暗号プロセッサ220bをレンダリングデバイス内に設けて、暗号プロセッサ220aによって実行される機能性を補足する。これに関して、通信的に暗号プロセッサ220aに結合される暗号化コンポーネント910aが、DVI/DACコンポーネント290への配送の前にデータを暗号化し、通信的に暗号プロセッサ220bに結合される復号コンポーネント910bが、行われる表示またはレンダリングの一部としてデータを復号し、データの著作権侵害を防ぐ。暗号化コンポーネント910aは、その代わりに、DVI/DACコンポーネント290に含めることができる。手短に言うと、同一の暗号化および復号と鍵管理技法を適用することによって、コンテンツを、コンテンツの暗号的に保護されるセキュア配送および処理に関してグラフィックスパイプライン全体を通じて保護することができる。
【0120】
上述したように、本発明の例示的実施形態を、さまざまなコンピューティングデバイス、ハードウェア、ソフトウェア、およびネットワークアーキテクチャに関して説明したが、基礎となる概念は、信頼されるソースからのコンテンツを保護することが望まれる、すべてのコンピューティングデバイスまたはコンピューティングシステムに適用することができる。したがって、本発明による、セキュアコンテンツを暗号的に保護する技法は、さまざまな応用例およびデバイスに適用することができる。たとえば、本発明の暗号的にセキュアコンテンツを保護する方法を、デバイス上の別のオブジェクトとして、別のオブジェクトの一部として、サーバからダウンロード可能なオブジェクトとして、分散オブジェクトとしてなどの形でコンピューティングデバイスのオペレーティングシステムに適用することができる。例示的なプログラミング言語、擬似コード、名前、および例が、さまざまな選択を表すものとして本明細書で選択されたが、これらの言語、擬似コード、名前、および例は、制限的であることを意図されていない。
【0121】
本明細書で説明したさまざまな技法は、ハードウェア、ソフトウェア、または、適当な場合に、その両方の組合せに関連して実施することができる。したがって、本発明の方法および装置、もしくはそのある態様または部分が、フロッピー(登録商標)ディスク、CD-ROM、ハードドライブ、または他の計算機可読記憶媒体などの有形の媒体内で実施されるプログラムコード(すなわち命令)の形をとることができ、ここで、プログラムコードがコンピュータなどの計算機にロードされ、計算機によって実行される時に、計算機が、本発明を実践する装置になる。プログラマブルコンピュータでのプログラムコード実行の場合に、コンピューティングデバイスに、一般に、プロセッサ、プロセッサによって読取可能な記憶媒体(揮発性および不揮発性のメモリおよび/またはストレージ要素を含む)、少なくとも1つの入力装置、および少なくとも1つの出力装置が含まれる。たとえばデータ処理API、オペレーティングシステム、信頼されるアプリケーション、または類似物などを介して、本発明の技法を使用することができる1つまたは複数のプログラムは、高水準手続き指向プログラミング言語または高水準オブジェクト指向プログラミング言語で実施されて、コンピュータシステムと通信することが好ましい。しかし、プログラムは、望まれる場合に、アセンブリ言語または機械語で実施することができる。どの場合でも、言語は、コンパイルされる言語または解釈される言語とすることができ、本発明のさまざまな実施形態で、GPU265のハードウェア実施形態に条件を負わせる。
【0122】
本発明の方法および装置は、電気配線またはケーブリング、光ファイバ、または他の形の伝送を介するなど、ある伝送媒体を介して伝送されるプログラムコードの形で実施される通信を介して実践することもでき、ここで、プログラムコードが、EPROM、ゲートアレイ、プログラマブルロジックデバイス(PLD)、クライアントコンピュータ、ビデオレコーダまたは類似物、もしくは上の例示的実施形態で説明したグラフィックスカードおよび暗号化機能を有する受信側計算機などの計算機によって受信され、ロードされ、実行される時に、本発明を実践する装置になる。汎用プロセッサで実施される時に、プログラムコードが、プロセッサと組み合わされて、本発明の機能性を呼び出すように動作する独自の装置を提供する。さらに、本発明に関連して使用されるすべてのストレージ技法を、必ず、ハードウェアとソフトウェアの組合せとすることができる。
【0123】
本発明を、さまざまな図面の好ましい実施形態に関連して説明してきたが、他の類似する実施形態を使用することができ、あるいは、本発明から逸脱せずに、本発明の同一の機能を実行するために説明された実施形態に対して修正または追加を行うことができることを理解されたい。
【0124】
たとえば、本発明の例示的ネットワーク環境を、ピアツーピアネットワーク化された環境などのネットワーク化された環境に関連して説明したが、本発明がこれに制限されないことと、本明細書で説明した方法を、有線であれ無線であれ、ゲーミングコンソール、ハンドヘルドコンピュータ、ポータブルコンピュータなどの任意のコンピューティングデバイスまたはコンピューティング環境に適用することができ、また、通信ネットワークを介して接続され、ネットワークを介して相互作用する任意のそのようなコンピューティングデバイスに適用することができることを、当業者は諒解するであろう。
【0125】
さらに、ハンドヘルドデバイスオペレーティングシステムおよび他の特定用途向けオペレーティングシステムを含むさまざまなコンピュータプラットフォームが、特に無線ネットワーク化されたデバイスの数が増殖を続けるので、企図されていることを強調しなければならない。
【0126】
さらに、本発明は、複数のGPUを有するデバイスなどの複数の共用プロセッシングチップまたはデバイスの中またはそれらにまたがって実施することができ、ストレージを、同様に、複数のデバイスにまたがってもたらすことができる。したがって、本発明は、単一の実施形態に制限されるのではなく、請求項による広さおよび範囲で解釈されなければならない。
【0127】
【発明の効果】
以上説明したように、本発明によれば、ビデオメモリのコンテンツを暗号化し、許可されないソフトウェアの意味あるアクセスを得られなくすることにより、機密性を維持することができる。
【0128】
<付録A ストリーム暗号対ブロック暗号>
この付録では、本明細書の内容に関連する、ストリーム暗号とブロック暗号の間の相違を詳細に示す。
【0129】
【表4】
概して、ストリーム暗号は、ブロック暗号より高速であり、実施が単純である。
【0131】
名前が示す通り、ストリーム暗号は、バイトのストリームを暗号化し、復号する。ストリームのN番目のバイトを復号するためには、暗号を先頭から開始し、1時に1バイトだけ前進し、ストリーム内の所望のオフセットに進む。
【0132】
対照的に、電子コードブックモードで走行するブロック暗号は、データ内の任意のブロックを暗号化または復号することができるが、1時に1つの完全なブロックを暗号化/復号しなければならない。通常のブロックサイズは、16バイトである。
【0133】
ストリーム暗号は、同一のデータが絶対に2度は暗号化されない形で使用される、すなわち、暗号化と復号に使用される鍵が頻繁に変更されなければならない。プレミアムビデオ再生に使用される時には、たとえば、フレームごとに1回鍵を変更すれば十分である。
【0134】
最後の注記として、パブリックドメインで使用可能な高品質のブロック暗号がある。
【図面の簡単な説明】
【図1】本発明を実施することができるさまざまなコンピューティングデバイスを有する例示的ネットワーク環境を表すブロック図である。
【図2】本発明を実施することができる例示的非制限的コンピューティングデバイスを表すブロック図である。
【図3】本発明に従って保護されるグラフィックスパイプラインの保護されない部分を示す流れ図である。
【図4】本発明によるセキュリティの第1層の例示的態様を示すブロック図である。
【図5】本発明によるセキュリティの第1層の例示的態様を示すブロック図である。
【図6】本発明によるセキュリティの第2層の例示的態様を示すブロック図である。
【図7】本発明によるセキュリティの第2層の例示的態様を示すブロック図である。
【図8】本発明によるセキュリティの第2層の例示的態様を示すブロック図である。
【図9】本発明によるAYUV/ARGBフォーマットの例示的スウィズリングを示す図である。
【図10】本発明によるAYUV/ARGBフォーマットの例示的スウィズリングを示す図である。
【図11】本発明によるYUV2フォーマットの例示的スウィズリングを示す図である。
【図12】本発明によるYUV2フォーマットの例示的スウィズリングを示す図である。
【図13】本発明によるパックドプレーナフォーマットの例示的スウィズリングを示す図である。
【図14】本発明によるパックドプレーナフォーマットの例示的スウィズリングを示す図である。
【図15】本発明によるセキュリティの第3層の例示的態様を示すブロック図である。
【図16】本発明によるセキュリティの第3層の例示的態様を示すブロック図である。
【図17】本発明によるグラフィックス処理ユニットからの出力に適用することができる例示的暗号化技法を示すブロック図である。
【図18】本発明によるグラフィックス処理ユニットからの出力に適用することができる例示的暗号化技法を示すブロック図である。
【符号の説明】
200 暗号化されたプレミアムコンテンツ
210 信頼されるソフトウェアアプリケーション
220 暗号プロセッサ
230 システムメモリ
240 暗号化されたオーバーレイサーフェス
250 復号部分
260 ビデオメモリ
265 GPU
270 プライマリサーフェス
280 ピクセル選択
290 ディジタルビデオインターフェース(DVI)/ディジタルアナログ変換器(DAC)
Claims (56)
- コンピューティングデバイスの信頼されるグラフィックスシステムに関連してセキュアコンテンツを暗号的に保護する方法であって、前記信頼されるグラフィックスシステムが、ビデオメモリと、少なくとも1つのグラフィックス処理ユニット(GPU)と、前記少なくとも1つのグラフィックス処理ユニット(GPU)に通信的に結合された暗号処理デバイスとを有し、
アプリケーション又はデバイスによって、前記グラフィックスシステムに、セキュアコンテンツの処理およびレンダリングの1つを実行するように要求する工程と、
ここで、該要求は、アプリケーション又はデバイスによってセッション鍵を前記グラフィックスシステムに送る工程と、前記セキュアコンテンツを前記ビデオメモリの少なくとも1つのプライマリサーフェスをオーバーレイする暗号化されたオーバーレイサーフェスに送る工程とを含み、前記ビデオメモリは、セキュアコンテンツの基本的レンダリングのための第1の暗号化された機密オーバーレイと、機密のユーザインターフェースを提示するために特に設計された第2の暗号化された保護されるオーバーレイとを含み、該第2の暗号化された保護されるオーバーレイは前記少なくとも1つのグラフィックス処理ユニット(GPU)によって認証され、
前記暗号処理デバイスと通信する前記少なくとも1つのグラフィックス処理ユニット(GPU)によって、前記ビデオメモリの前記少なくとも1つの暗号化される部分の前記コンテンツを復号する工程と
ここで、前記復号する工程は、前記第1の暗号化された機密オーバーレイのコンテンツを第1のストリーム暗号復号コンポーネントで復号する工程と、前記第2の暗号化された保護されるオーバーレイのコンテンツを第2のストリーム暗号復号コンポーネントで復号する工程とを含み、
前記少なくとも1つのグラフィックス処理ユニット(GPU)によって前記復号されたコンテンツに対して処理又はレンダリングを実行する工程と、
前記コンテンツを前記少なくとも1つのグラフィックス処理ユニット(GPU)から出力する工程と
を具えたことを特徴とする方法。 - 前記出力する工程の出力は、前記少なくとも1つのグラフィックス処理ユニット(GPU)によって処理された前記セキュアコンテンツが前記要求の前記セキュアコンテンツと異なる場合に、アプリケーション又はデバイスが、相違について警告されることを特徴とする請求項1記載の方法。
- 前記ビデオメモリの少なくとも1つの暗号化される部分の前記コンテンツを復号する工程は、プライマリサーフェスの部分を復号する工程を含み、これによって、前記部分以外のピクセルが復号されないことを特徴とする請求項1記載の方法。
- 前記暗号処理デバイスは、グラフィックスカードの既存のチップに追加されるか、又はグラフィックスカードに別のチップとして追加されることを特徴とする請求項1記載の方法。
- 前記復号する工程は、前記暗号処理デバイスに通信的に結合された前記グラフィックス処理ユニット(GPU)の復号機構によって前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する工程を含むことを特徴とする請求項3記載の方法。
- 前記復号する工程は、(A)前記コンテンツが前記出力する工程に従って出力される際に前記グラフィックスシステムのディジタルアナログ変換(DAC)ハードウェアによってオンザフライで前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する工程と、(B)前記コンテンツが前記グラフィックスシステムの前記DACハードウェアに達する直前にオンザフライで前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する工程との1つを含むことを特徴とする請求項1記載の方法。
- 前記復号する工程が、前記セキュアコンテンツが前記グラフィックスシステムの前記DACハードウェアに達する前に前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する工程を含むことを特徴とする請求項1記載の方法。
- 前記出力する工程の前に、前記暗号処理デバイスと通信する前記少なくとも1つのGPUによって前記コンテンツを再暗号化する工程と、
外部コンピューティングデバイスの少なくとも第2暗号処理デバイスによって前記再暗号化されるコンテンツを復号する工程と
をさらに含むことを特徴とする請求項1記載の方法。 - 前記コンテンツは、第2暗号処理デバイスを有する外部デバイスにディジタル形式で伝送され、前記復号は、前記外部デバイス上で発生することを特徴とする請求項1記載の方法。
- 前記外部コンピューティングデバイスは、(A)モニタ、(B)セットトップボックス、および(c)ディジタル信号処理(DSP)レンダリングデバイスの1つであることを特徴とする請求項9記載の方法。
- 前記復号する工程は、前記復号されるデータの暗号ダイジェストを計算する工程を含み、
表示されるピクセルが、アプリケーションおよびデバイスの前記1つによる前記要求に関連して送られるピクセルであることを保証するために、アプリケーションおよびデバイスの前記1つに前記暗号ダイジェストを伝送する工程をさらに含むことを特徴とする請求項1記載の方法。 - プライマリサーフェス内の各ピクセルの少なくとも1ビットは、ピクセルが仮想保護されるサーフェス内にあるかを判定するのに使用され、
前記グラフィックスカードは、前記少なくとも1ビットに基づいて前記ピクセルに適当な復号鍵を選択することを特徴とする請求項1記載の方法。 - 前記少なくとも1ビットが0値を含む場合に、前記仮想保護されるサーフェスは、復号されない領域として解釈されることを特徴とする請求項12記載の方法。
- 前記復号されるピクセル値が使用可能になる時に、(A)前記第2の暗号化される保護されるオーバーレイ、(B)前記第1の暗号化される機密オーバーレイ、および(3)プライマリサーフェスの1つのピクセル値を、前記少なくとも1つのGPUのピクセル選択コンポーネントによって選択する工程をさらに含むことを特徴とする請求項1記載の方法。
- 前記要求する工程は、(A)前記少なくとも1つの暗号化されるオーバーレイサーフェスのソース境界ボックスおよびデスティネーション境界ボックスと、(B)前記少なくとも1つの暗号化されるオーバーレイサーフェスのデスティネーションカラーキーと、(C)前記第1の暗号化される機密オーバーレイの場合に、データがフリップされる先のオーバーレイバックバッファのコンテンツの暗号鍵インデックスの指定と、(D)前記第2の暗号化される保護されるオーバーレイの場合に、少なくとも1つの巡回冗長コード(CRC)、完全性尺度、および前記暗号化されるオーバーレイコンテンツのダイジェスト値の少なくとも1つが書き込まれるメモリ位置の指定と、(E)少なくとも1つの暗号化されるプライマリサーフェスのソース境界ボックスおよびデスティネーション境界ボックスと、(F)前記少なくとも1つの暗号化されるプライマリサーフェスのデスティネーションカラーキーとの少なくとも1つを含むことを特徴とする請求項1記載の方法。
- アプリケーションおよびデバイスの前記1つが、前記コンテンツの完全性に関心を持つ場合に、アプリケーションおよびデバイスの前記1つが、前記CRC、完全性尺度、およびダイジェスト値の前記少なくとも1つを計算することを特徴とする請求項15記載の方法。
- 前記要求する工程に付随して前記少なくとも1つのGPUのビデオデコードユニットに送られる少なくとも1つのコマンドバッファが、アプリケーションおよびデバイスの前記少なくとも1つによって暗号化され、前記暗号処理ユニットと通信する前記ビデオデコードユニットによって復号されることを特徴とする請求項1記載の方法。
- (A)2パスを使用することにより前記少なくとも1つのコマンドバッファの処理の前に、または(B)前記コマンドバッファが処理された後に、前記少なくとも1つのコマンドバッファをタンパ検出する工程をさらに含むことを特徴とする請求項17記載の方法。
- 請求項1記載の前記方法により実行されるコンピュータ実行可能命令を担持することを特徴とする、オペレーティングシステム、複数のコンピュータ実行可能命令をその上に保管されたコンピュータ記憶媒体、共用プロセッシングデバイス、およびコンピューティングデバイスの少なくとも1つ。
- コンピューティングデバイスの信頼されるグラフィックスシステムに関連してセキュアコンテンツを暗号的に保護するコンピュータ実行可能命令を含むコンピュータ実行可能モジュールを含む少なくとも1つのコンピュータ記憶媒体であって、前記信頼されるグラフィックスシステムが、ビデオメモリと、少なくとも1つのグラフィックス処理ユニット(GPU)と、前記少なくとも1つのグラフィックス処理ユニット(GPU)に通信的に結合された暗号処理デバイスとを有し、
コンピュータ実行可能モジュールは、コンピュータを、
アプリケーション又はデバイスによって、前記グラフィックスシステムに、セキュアコンテンツの処理およびレンダリングの1つを実行するように要求する手段と、
ここで、該要求は、アプリケーション又はデバイスによってセッション鍵を前記グラフィックスシステムに送る工程と、前記セキュアコンテンツを前記ビデオメモリの少なくとも1つのプライマリサーフェスをオーバーレイする暗号化されたオーバーレイサーフェスに送る工程とを含み、前記ビデオメモリは、セキュアコンテンツの基本的レンダリングのための第1の暗号化された機密オーバーレイと、機密のユーザインターフェースを提示するために特に設計された第2の暗号化された保護されるオーバーレイとを含み、該第2の暗号化された保護されるオーバーレイは前記少なくとも1つのグラフィックス処理ユニット(GPU)によって認証され、
前記暗号処理デバイスと通信する前記少なくとも1つのグラフィックス処理ユニット(GPU)によって、前記ビデオメモリの前記少なくとも1つの暗号化される部分の前記コンテンツを復号する手段と
ここで、前記復号する手段は、前記第1の暗号化された機密オーバーレイのコンテンツを第1のストリーム暗号復号コンポーネントで復号する手段と、前記第2の暗号化された保護されるオーバーレイのコンテンツを第2のストリーム暗号復号コンポーネントで復号する手段とを含み、
前記少なくとも1つのグラフィックス処理ユニット(GPU)によって前記復号されたコンテンツに対して処理又はレンダリングを実行する手段と、
前記コンテンツを前記少なくとも1つのグラフィックス処理ユニット(GPU)から出力する手段と
として実行させることを特徴とする少なくとも1つのコンピュータ記憶媒体。 - 前記出力する手段の出力が、前記少なくとも1つのグラフィックス処理ユニット(GPU)によって処理された前記セキュアコンテンツが前記要求する手段の前記セキュアコンテンツと異なる場合に、アプリケーション又はデバイスが、相違について警告されることを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。
- ビデオメモリの前記少なくとも1つの暗号化される部分の前記コンテンツを復号する前記手段は、プライマリサーフェスの部分を復号する手段を含み、これによって、前記部分以外のピクセルが復号されないことを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。
- 前記暗号処理デバイスは、グラフィックスカードの既存のチップに追加されるか、又はグラフィックスカードに別のチップとして追加されることを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。
- 前記復号する手段は、前記暗号処理デバイスに通信的に結合された前記GPUの復号機構によって前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する手段を含むことを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。
- 前記復号する手段は、(A)前記コンテンツが前記出力する手段の前記出力に従って出力される際に前記グラフィックスシステムのディジタルアナログ変換(DAC)ハードウェアによってオンザフライで前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する手段と、(B)前記コンテンツが前記グラフィックスシステムの前記DACハードウェアに達する直前にオンザフライで前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する手段との1つを含むことを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。
- 前記復号する手段は、前記コンテンツが前記グラフィックスシステムの前記DACハードウェアに達する前に前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する手段を含むことを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。
- 前記出力する手段による前記出力の前に、前記暗号処理デバイスと通信する前記少なくとも1つのGPUによって前記コンテンツを再暗号化する手段と、
外部コンピューティングデバイスの少なくとも第2暗号処理デバイスによって前記再暗号化されるコンテンツを復号する手段と
をさらに含むことを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。 - 前記コンテンツは、第2暗号処理デバイスを有する外部デバイスにディジタル形式で伝送され、
前記復号する手段の前記復号は、前記外部デバイス上で発生することを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。 - 前記外部コンピューティングデバイスは、(A)モニタ、(B)セットトップボックス、および(c)ディジタル信号処理(DSP)レンダリングデバイスの1つであることを特徴とする請求項27記載の少なくとも1つのコンピュータ記憶媒体。
- 前記復号する手段は、前記復号されるデータの暗号ダイジェストを計算する手段を含み、
前記コンピュータ実行可能モジュールは、表示されるピクセルが、アプリケーションおよびデバイスの前記1つによる前記要求する手段を介する前記要求に関連して送られるピクセルであることを保証するために、アプリケーションおよびデバイスの前記1つに前記暗号ダイジェストを伝送する手段
をさらに含むことを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。 - プライマリサーフェス内の各ピクセルの少なくとも1ビットは、ピクセルが仮想保護されるサーフェス内にあるかを判定するのに使用され、
前記グラフィックスカードは、前記少なくとも1ビットに基づいて前記ピクセルに適当な復号鍵を選択することを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。 - 前記少なくとも1ビットが0値を含む場合に、前記仮想保護されるサーフェスは、復号されない領域として解釈されることを特徴とする請求項31記載の少なくとも1つのコンピュータ記憶媒体。
- 前記コンピュータ実行可能モジュールは、前記復号されるピクセル値が使用可能になる時に、(A)前記第2の暗号化される保護されるオーバーレイ、(B)前記第1の暗号化される機密オーバーレイ、および(C)プライマリサーフェスの1つのピクセル値を、前記少なくとも1つのGPUのピクセル選択コンポーネントによって選択する手段
をさらに含むことを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。 - 前記要求する手段の前記要求は、(A)前記少なくとも1つの暗号化されるオーバーレイサーフェスのソース境界ボックスおよびデスティネーション境界ボックスと、(B)前記少なくとも1つの暗号化されるオーバーレイサーフェスのデスティネーションカラーキーと、(C)前記第1の暗号化される機密オーバーレイの場合に、データがフリップされる先のオーバーレイバックバッファのコンテンツの暗号鍵インデックスの指定と、(D)前記第2の暗号化される保護されるオーバーレイの場合に、少なくとも1つの巡回冗長コード(CRC)、完全性尺度、および前記暗号化されるオーバーレイコンテンツのダイジェスト値の少なくとも1つが書き込まれるメモリ位置の指定と、(E)少なくとも1つの暗号化されるプライマリサーフェスのソース境界ボックスおよびデスティネーション境界ボックスと、(F)前記少なくとも1つの暗号化されるプライマリサーフェスのデスティネーションカラーキーと
の少なくとも1つを含むことを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。 - アプリケーションおよびデバイスの前記1つが、前記コンテンツの完全性に関心を持つ場合に、アプリケーションおよびデバイスの前記1つが、前記CRC、完全性尺度、およびダイジェスト値の前記少なくとも1つを計算することを特徴とする請求項34記載の少なくとも1つのコンピュータ記憶媒体。
- 前記要求する手段の前記要求に付随して前記少なくとも1つのGPUのビデオデコードユニットに送られる少なくとも1つのコマンドバッファが、アプリケーションおよびデバイスの前記少なくとも1つによって暗号化され、前記暗号処理ユニットと通信する前記ビデオデコードユニットによって復号されることを特徴とする請求項20記載の少なくとも1つのコンピュータ記憶媒体。
- 前記コンピュータ実行可能モジュールは、(A)2パスを使用することにより前記少なくとも1つのコマンドバッファの処理の前に、または(B)前記コマンドバッファが処理された後に、前記少なくとも1つのコマンドバッファをタンパ検出する手段
をさらに具えたことを特徴とする請求項36記載の少なくとも1つのコンピュータ記憶媒体。 - 請求項20記載の前記少なくとも1つのコンピュータ記憶媒体の前記コンピュータ実行可能モジュールをコンピュータにより実行されるコンピュータ実行可能命令を担持することを特徴とする、オペレーティングシステム、共用プロセッシングデバイス、およびコンピューティングデバイスの少なくとも1つ。
- コンピューティングデバイスの信頼されるグラフィックスシステムに関連してセキュアコンテンツを暗号的に保護する手段を含むコンピューティングデバイスであって、
前記信頼されるグラフィックスシステムが、ビデオメモリと、少なくとも1つのグラフィックス処理ユニット(GPU)と、前記少なくとも1つのグラフィックス処理ユニット(GPU)に通信的に結合された暗号処理デバイスとを有し、
アプリケーション又はデバイスによって、前記グラフィックスシステムに、セキュアコンテンツの処理およびレンダリングの1つを実行するように要求する手段と、
ここで、該要求は、アプリケーション又はデバイスによってセッション鍵を前記グラフィックスシステムに送る工程と、前記セキュアコンテンツを前記ビデオメモリの少なくとも1つのプライマリサーフェスをオーバーレイする暗号化されたオーバーレイサーフェスに送る工程とを含み、前記ビデオメモリは、セキュアコンテンツの基本的レンダリングのための第1の暗号化された機密オーバーレイと、機密のユーザインターフェースを提示するために特に設計された第2の暗号化された保護されるオーバーレイとを含み、該第2の暗号化された保護されるオーバーレイは前記少なくとも1つのグラフィックス処理ユニット(GPU)によって認証され、
前記暗号処理デバイスと通信する前記少なくとも1つのグラフィックス処理ユニット(GPU)によって、前記ビデオメモリの前記少なくとも1つの暗号化される部分の前記コンテンツを復号する手段と
ここで、前記復号する手段は、前記第1の暗号化された機密オーバーレイのコンテンツを第1のストリーム暗号復号コンポーネントで復号する手段と、前記第2の暗号化された保護されるオーバーレイのコンテンツを第2のストリーム暗号復号コンポーネントで復号する手段とを含み、
前記少なくとも1つのグラフィックス処理ユニット(GPU)によって前記復号されたコンテンツに対して処理又はレンダリングを実行する手段と、
前記コンテンツを前記少なくとも1つのグラフィックス処理ユニット(GPU)から出力する手段と
を具えたことを特徴とするコンピューティングデバイス。 - 前記出力する手段の出力が、前記少なくとも1つのGPUによって処理された前記セキュアコンテンツが前記要求する手段の前記セキュアコンテンツと異なる場合に、アプリケーション又はデバイスが、相違について警告されることを特徴とする請求項39記載のコンピューティングデバイス。
- ビデオメモリの前記少なくとも1つの暗号化される部分の前記コンテンツを復号する前記手段は、プライマリサーフェスの部分を復号する手段を含み、これによって、前記部分以外のピクセルが復号されないことを特徴とする請求項39記載のコンピューティングデバイス。
- 前記暗号処理デバイスは、グラフィックスカードの既存のチップに追加されるか、又はグラフィックスカードに別のチップとして追加されることを特徴とする請求項39記載のコンピューティングデバイス。
- 前記復号する手段が、前記暗号処理デバイスに通信的に結合された前記GPUの復号機構によって前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する手段を含むことを特徴とする請求項39記載のコンピューティングデバイス。
- 前記復号する手段が、(A)前記コンテンツが前記出力する手段の前記出力に従って出力される際に前記グラフィックスシステムのディジタルアナログ変換(DAC)ハードウェアによってオンザフライで前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する手段と、(B)前記コンテンツが前記グラフィックスシステムの前記DACハードウェアに達する直前にオンザフライで前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する手段との1つを含むことを特徴とする請求項39記載のコンピューティングデバイス。
- 前記復号する手段が、前記コンテンツが前記グラフィックスシステムの前記DACハードウェアに達する前に前記少なくとも1つの暗号化されるオーバーレイサーフェスを復号する手段を含むことを特徴とする請求項39記載のコンピューティングデバイス。
- 前記出力する手段による前記出力の前に、前記暗号処理デバイスと通信する前記少なくとも1つのGPUによって前記コンテンツを再暗号化する手段と、
外部コンピューティングデバイスの少なくとも第2暗号処理デバイスによって前記再暗号化されるコンテンツを復号する手段と
をさらに含むことを特徴とする請求項39記載のコンピューティングデバイス。 - 前記コンテンツは、第2暗号処理デバイスを有する外部デバイスにディジタル形式で伝送され、
前記復号する手段の前記復号は、前記外部デバイス上で発生することを特徴とする請求項39記載のコンピューティングデバイス。 - 前記外部コンピューティングデバイスは、(A)モニタ、(B)セットトップボックス、および(c)ディジタル信号処理(DSP)レンダリングデバイスの1つであることを特徴とする請求項46記載のコンピューティングデバイス。
- 前記復号する手段は、前記復号されるデータの暗号ダイジェストを計算する手段を含み、
前記コンピューティングデバイスは、表示されるピクセルが、アプリケーションおよびデバイスの前記1つによる前記要求する手段を介する前記要求に関連して送られるピクセルであることを保証するために、アプリケーションおよびデバイスの前記1つに前記暗号ダイジェストを伝送する手段
をさらに含むことを特徴とする請求項39記載のコンピューティングデバイス。 - プライマリサーフェス内の各ピクセルの少なくとも1ビットは、ピクセルが仮想保護されるサーフェス内にあるかを判定するのに使用され、
前記グラフィックスカードは、前記少なくとも1ビットに基づいて前記ピクセルに適当な復号鍵を選択することを特徴とする請求項39記載のコンピューティングデバイス。 - 前記少なくとも1ビットが0値を含む場合に、前記仮想保護されるサーフェスは、復号されない領域として解釈されることを特徴とする請求項50記載のコンピューティングデバイス。
- 前記復号されるピクセル値が使用可能になる時に、(A)前記第2の暗号化される保護されるオーバーレイ、(B)前記第1の暗号化される機密オーバーレイ、および(3)プライマリサーフェスの1つのピクセル値を、前記少なくとも1つのGPUのピクセル選択コンポーネントによって選択する手段をさらに含むことを特徴とする請求項39記載のコンピューティングデバイス。
- 前記要求する手段の前記要求は、(A)前記少なくとも1つの暗号化されるオーバーレイサーフェスのソース境界ボックスおよびデスティネーション境界ボックスと、(B)前記少なくとも1つの暗号化されるオーバーレイサーフェスのデスティネーションカラーキーと、(C)前記第1の暗号化される機密オーバーレイの場合に、データがフリップされる先のオーバーレイバックバッファのコンテンツの暗号鍵インデックスの指定と、(D)前記第2の暗号化される保護されるオーバーレイの場合に、少なくとも1つの巡回冗長コード(CRC)、完全性尺度、および前記暗号化されるオーバーレイコンテンツのダイジェスト値の少なくとも1つが書き込まれるメモリ位置の指定と、(E)少なくとも1つの暗号化されるプライマリサーフェスのソース境界ボックスおよびデスティネーション境界ボックスと、(F)前記少なくとも1つの暗号化されるプライマリサーフェスのデスティネーションカラーキーと
の少なくとも1つを含むことを特徴とする請求項39記載のコンピューティングデバイス。 - アプリケーションおよびデバイスの前記1つが、前記コンテンツの完全性に関心を持つ場合に、アプリケーションおよびデバイスの前記1つが、前記CRC、完全性尺度、およびダイジェスト値の前記少なくとも1つを計算することを特徴とする請求項53記載のコンピューティングデバイス。
- 前記要求する手段の前記要求に付随して前記少なくとも1つのGPUのビデオデコードユニットに送られる少なくとも1つのコマンドバッファが、アプリケーションおよびデバイスの前記少なくとも1つによって暗号化され、前記暗号処理ユニットと通信する前記ビデオデコードユニットによって復号されることを特徴とする請求項39記載のコンピューティングデバイス。
- (A)2パスを使用することにより前記少なくとも1つのコマンドバッファの処理の前に、または(B)前記コマンドバッファが処理された後に、前記少なくとも1つのコマンドバッファをタンパ検出する手段をさらに含むことを特徴とする請求項55記載のコンピューティングデバイス。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US33761701P | 2001-12-04 | 2001-12-04 | |
| US60/337,617 | 2001-12-04 | ||
| US33914301P | 2001-12-10 | 2001-12-10 | |
| US60/339,143 | 2001-12-10 | ||
| US10/124,922 US7203310B2 (en) | 2001-12-04 | 2002-04-18 | Methods and systems for cryptographically protecting secure content |
| US10/124,922 | 2002-04-18 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003284024A JP2003284024A (ja) | 2003-10-03 |
| JP4522645B2 true JP4522645B2 (ja) | 2010-08-11 |
Family
ID=27383184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002352806A Expired - Fee Related JP4522645B2 (ja) | 2001-12-04 | 2002-12-04 | セキュアコンテンツを暗号的に保護する方法およびシステム |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US7203310B2 (ja) |
| EP (1) | EP1343321B1 (ja) |
| JP (1) | JP4522645B2 (ja) |
| CN (2) | CN100595736C (ja) |
| AR (1) | AR037628A1 (ja) |
| AT (1) | ATE420533T1 (ja) |
| AU (1) | AU2002359611A1 (ja) |
| CA (1) | CA2434328C (ja) |
| DE (1) | DE60230716D1 (ja) |
| MX (1) | MXPA03002376A (ja) |
| TW (1) | TWI269169B (ja) |
| WO (1) | WO2003048939A1 (ja) |
Families Citing this family (91)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6966837B1 (en) | 2001-05-10 | 2005-11-22 | Best Robert M | Linked portable and video game systems |
| GB2379299B (en) * | 2001-09-04 | 2006-02-08 | Imagination Tech Ltd | A texturing system |
| US20060075507A1 (en) * | 2001-09-06 | 2006-04-06 | Sonic Solutions | Secure protocols for use with microsoft directshow filters |
| US7840803B2 (en) * | 2002-04-16 | 2010-11-23 | Massachusetts Institute Of Technology | Authentication of integrated circuits |
| GB0212308D0 (en) * | 2002-05-28 | 2002-07-10 | Symbian Ltd | Trusted user interface for a secure mobile wireless device |
| US20030226029A1 (en) * | 2002-05-29 | 2003-12-04 | Porter Allen J.C. | System for protecting security registers and method thereof |
| CN1679322A (zh) * | 2002-08-28 | 2005-10-05 | 皇家飞利浦电子股份有限公司 | 水印检测的方法和装置 |
| JP2004133087A (ja) * | 2002-10-09 | 2004-04-30 | Sony Corp | ブロック暗号方法およびブロック暗号回路 |
| US8131649B2 (en) | 2003-02-07 | 2012-03-06 | Igware, Inc. | Static-or-dynamic and limited-or-unlimited content rights |
| US20100017627A1 (en) | 2003-02-07 | 2010-01-21 | Broadon Communications Corp. | Ensuring authenticity in a closed content distribution system |
| US7370319B2 (en) * | 2003-02-11 | 2008-05-06 | V.I. Laboratories, Inc. | System and method for regulating execution of computer software |
| US8225290B2 (en) * | 2003-02-11 | 2012-07-17 | V. i. Laboratories, Inc. | Systems and methods for regulating execution of computer software |
| US20040264927A1 (en) * | 2003-06-30 | 2004-12-30 | Microsoft Corporation | Modular architecture to unify the playback of DVD technologies |
| US7949132B2 (en) | 2003-07-01 | 2011-05-24 | Microsoft Corporation | Modular architecture to unify the playback of DVD technologies |
| KR20060031846A (ko) * | 2003-07-04 | 2006-04-13 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | 복제방지된 소프트웨어 실행장치 |
| US7703141B2 (en) | 2004-03-11 | 2010-04-20 | Microsoft Corporation | Methods and systems for protecting media content |
| JP4698982B2 (ja) * | 2004-04-06 | 2011-06-08 | 株式会社日立製作所 | 暗号処理を行うストレージシステム |
| US20060242406A1 (en) * | 2005-04-22 | 2006-10-26 | Microsoft Corporation | Protected computing environment |
| US9264265B1 (en) * | 2004-09-30 | 2016-02-16 | Nvidia Corporation | System and method of generating white noise for use in graphics and image processing |
| EP1810541B1 (en) * | 2004-11-02 | 2014-04-16 | Apple Inc. | Systems and methods for use with orthogonal frequency division multiplexing |
| WO2006053304A2 (en) * | 2004-11-12 | 2006-05-18 | Pufco, Inc. | Volatile device keys and applications thereof |
| US20060184785A1 (en) * | 2005-02-16 | 2006-08-17 | David Carroll Challener | Apparatus, system, and method for securing I/O communications between a blade and a peripheral interface device of a blade-based computer system |
| US9363481B2 (en) * | 2005-04-22 | 2016-06-07 | Microsoft Technology Licensing, Llc | Protected media pipeline |
| US9436804B2 (en) | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
| US8249140B2 (en) * | 2005-12-30 | 2012-08-21 | Intel Corporation | Direct macroblock mode techniques for high performance hardware motion compensation |
| US8630410B2 (en) | 2006-01-24 | 2014-01-14 | Verayo, Inc. | Signal generator based device security |
| US7916864B2 (en) * | 2006-02-08 | 2011-03-29 | Nvidia Corporation | Graphics processing unit used for cryptographic processing |
| US7746350B1 (en) * | 2006-06-15 | 2010-06-29 | Nvidia Corporation | Cryptographic computations on general purpose graphics processing units |
| US7890747B2 (en) * | 2006-07-06 | 2011-02-15 | Accenture Global Services Limited | Display of decrypted data by a graphics processing unit |
| US20080097971A1 (en) * | 2006-10-18 | 2008-04-24 | Telcordia Applied Research Center Taiwan Company | Peer-to-peer based secondary key search method and system for cluster database |
| CN101632084B (zh) | 2007-03-13 | 2012-05-02 | Nxp股份有限公司 | 对至少二维的数据集的加密和解密 |
| US8538015B2 (en) | 2007-03-28 | 2013-09-17 | Intel Corporation | Flexible architecture and instruction for advanced encryption standard (AES) |
| US20080263366A1 (en) * | 2007-04-19 | 2008-10-23 | Microsoft Corporation | Self-verifying software to prevent reverse engineering and piracy |
| US8594322B2 (en) * | 2007-07-10 | 2013-11-26 | Stmicroelectronics S.R.L. | Encoding/decoding apparatus |
| US8924309B2 (en) | 2007-08-08 | 2014-12-30 | Imation Corp. | Method of providing assured transactions by watermarked file display verification |
| US20090067629A1 (en) * | 2007-09-06 | 2009-03-12 | Paltronics, Inc. | Table-based encryption/decryption techniques for gaming networks, and gaming networks incorporating the same |
| CN101796837B (zh) * | 2007-09-11 | 2012-12-19 | Lg电子株式会社 | 安全签名方法、安全认证方法和iptv系统 |
| WO2009079050A2 (en) * | 2007-09-19 | 2009-06-25 | Verayo, Inc. | Authentication with physical unclonable functions |
| US20090079746A1 (en) | 2007-09-20 | 2009-03-26 | Apple Inc. | Switching between graphics sources to facilitate power management and/or security |
| EP2213044B1 (en) * | 2007-10-19 | 2020-05-06 | DataLocker Inc. | Method of providing assured transactions using secure transaction appliance and watermark verification |
| EP2198626A4 (en) * | 2007-11-01 | 2012-02-08 | Lg Electronics Inc | METHOD FOR DATA PROCESSING AND IPTV RECEIVING DEVICE |
| US9307179B1 (en) * | 2007-11-13 | 2016-04-05 | Nvidia Corporation | Method and system for protecting content in graphics memory |
| US8478959B1 (en) | 2007-11-13 | 2013-07-02 | Nvidia Corporation | Method and system for protecting content in graphics memory |
| US9069990B2 (en) * | 2007-11-28 | 2015-06-30 | Nvidia Corporation | Secure information storage system and method |
| JP5052367B2 (ja) * | 2008-02-20 | 2012-10-17 | 株式会社リコー | 画像処理装置、認証パッケージインストール方法、認証パッケージインストールプログラム、及び記録媒体 |
| US8646052B2 (en) * | 2008-03-31 | 2014-02-04 | Intel Corporation | Method and apparatus for providing a secure display window inside the primary display |
| US8156565B2 (en) * | 2008-04-28 | 2012-04-10 | Microsoft Corporation | Hardware-based protection of secure data |
| US8393008B2 (en) * | 2008-05-21 | 2013-03-05 | Microsoft Corporation | Hardware-based output protection of multiple video streams |
| US9817680B1 (en) | 2008-08-04 | 2017-11-14 | Open Invention Network, Llc | Application configuration tool |
| US8736626B2 (en) | 2008-08-26 | 2014-05-27 | Matrox Graphics Inc. | Method and system for cryptographically securing a graphics system |
| US9240927B2 (en) | 2009-02-26 | 2016-01-19 | Qualcomm Incorporated | Methods and apparatus for enhanced overlay state maintenance |
| US8521821B2 (en) * | 2009-03-17 | 2013-08-27 | Brigham Young University | Encrypted email based upon trusted overlays |
| TW201040678A (en) * | 2009-05-13 | 2010-11-16 | Acrosser Technology Co Ltd | Multi-point universal encryption transmission interface apparatus |
| JP5018919B2 (ja) * | 2010-03-19 | 2012-09-05 | コニカミノルタビジネステクノロジーズ株式会社 | 情報処理装置、コンテンツ管理方法およびコンテンツ管理プログラム |
| US8886935B2 (en) * | 2010-04-30 | 2014-11-11 | Kabushiki Kaisha Toshiba | Key management device, system and method having a rekey mechanism |
| CN102385760A (zh) * | 2010-08-27 | 2012-03-21 | 国际商业机器公司 | 用于保护模型数据的方法及系统 |
| FR2971599B1 (fr) | 2011-02-11 | 2013-03-15 | Jean Luc Leleu | Procede de transaction securisee a partir d'un terminal non securise |
| US8560453B2 (en) * | 2011-06-30 | 2013-10-15 | Intel Corporation | Method and apparatus for dynamic, real-time ad insertion based on meta-data within a hardware based root of trust |
| CN102238360B (zh) * | 2011-07-15 | 2013-11-13 | 深圳市环球数码科技有限公司 | 一种用于防止盗版视频的方法和设备 |
| WO2013081596A1 (en) | 2011-11-30 | 2013-06-06 | Intel Corporation | Efficient implementation of rsa using gpu/cpu architecture |
| GB2511668A (en) * | 2012-04-12 | 2014-09-10 | Supercell Oy | System and method for controlling technical processes |
| US20140012704A1 (en) | 2012-07-05 | 2014-01-09 | Google Inc. | Selecting a preferred payment instrument based on a merchant category |
| US20140090033A1 (en) * | 2012-09-21 | 2014-03-27 | Amazon Technologies, Inc. | Context Aware Content Distribution |
| US9092767B1 (en) * | 2013-03-04 | 2015-07-28 | Google Inc. | Selecting a preferred payment instrument |
| US9111123B2 (en) | 2013-06-28 | 2015-08-18 | International Business Machines Corporation | Firmware for protecting data from software threats |
| US9507961B2 (en) * | 2013-07-01 | 2016-11-29 | Qualcomm Incorporated | System and method for providing secure access control to a graphics processing unit |
| US9501668B2 (en) * | 2013-09-25 | 2016-11-22 | Intel Corporation | Secure video ouput path |
| WO2015102564A1 (en) * | 2013-12-30 | 2015-07-09 | Empire Technology Developement LLC | Information rendering scheme |
| EP2891997A1 (en) * | 2014-01-06 | 2015-07-08 | Fujitsu Limited | Methods and apparatus for including a confidential structural component in a third party remote product simulation |
| US9858572B2 (en) | 2014-02-06 | 2018-01-02 | Google Llc | Dynamic alteration of track data |
| US9318221B2 (en) | 2014-04-03 | 2016-04-19 | Winbound Electronics Corporation | Memory device with secure test mode |
| KR102218202B1 (ko) | 2014-08-01 | 2021-02-23 | 삼성전자주식회사 | 반도체 장치 |
| US11393051B2 (en) * | 2016-06-10 | 2022-07-19 | Gilbarco Inc. | Fuel dispenser utilizing tokenized user guidance and prompting for secure payment |
| US11443072B2 (en) * | 2018-06-29 | 2022-09-13 | Microsoft Technology Licensing, Llc | Peripheral device with resource isolation |
| US11126757B2 (en) | 2018-10-19 | 2021-09-21 | Microsoft Technology Licensing, Llc | Peripheral device |
| CN109589608A (zh) * | 2018-12-19 | 2019-04-09 | 网易(杭州)网络有限公司 | 保护游戏数据的方法和装置 |
| WO2020140265A1 (en) | 2019-01-04 | 2020-07-09 | Baidu.Com Times Technology (Beijing) Co., Ltd. | Data processing accelerator having security unit to provide root trust services |
| US11616651B2 (en) * | 2019-01-04 | 2023-03-28 | Baidu Usa Llc | Method for establishing a secure information exchange channel between a host system and a data processing accelerator |
| US11693970B2 (en) | 2019-01-04 | 2023-07-04 | Baidu Usa Llc | Method and system for managing memory of data processing accelerators |
| CN112236972B (zh) | 2019-01-04 | 2023-06-16 | 百度时代网络技术(北京)有限公司 | 用于导出会话密钥以确保主机系统和数据处理加速器之间的信息交换信道的方法和系统 |
| EP3794771A4 (en) * | 2019-01-04 | 2022-01-05 | Baidu.com Times Technology (Beijing) Co., Ltd. | PROCESS AND SYSTEM FOR DISTRIBUTION AND EXCHANGE OF KEYS FOR DATA PROCESSING ACCELERATORS |
| WO2020140261A1 (en) | 2019-01-04 | 2020-07-09 | Baidu.Com Times Technology (Beijing) Co., Ltd. | Method and system for protecting data processed by data processing accelerators |
| EP3811271B1 (en) | 2019-01-04 | 2023-02-15 | Baidu.com Times Technology (Beijing) Co., Ltd. | A data processing accelerator having a local time unit to generate timestamps |
| US11328075B2 (en) | 2019-01-04 | 2022-05-10 | Baidu Usa Llc | Method and system for providing secure communications between a host system and a data processing accelerator |
| EP3794763A4 (en) | 2019-01-04 | 2022-01-05 | Baidu.com Times Technology (Beijing) Co., Ltd. | CONFIRMATION LOG BETWEEN A HOST SYSTEM AND A DATA PROCESSING ACCELERATOR |
| CN112292678A (zh) | 2019-01-04 | 2021-01-29 | 百度时代网络技术(北京)有限公司 | 用于验证将要由主机系统的数据处理加速器执行的内核对象的方法与系统 |
| JP7300845B2 (ja) | 2019-02-15 | 2023-06-30 | 三菱重工業株式会社 | 制御装置、産業用制御システムおよび暗号鍵寿命延長方法 |
| US11496314B2 (en) * | 2019-12-18 | 2022-11-08 | Intel Corporation | Integrity protected command buffer execution |
| CN114124364B (zh) * | 2020-08-27 | 2024-05-24 | 国民技术股份有限公司 | 密钥安全处理方法、装置、设备及计算机可读存储介质 |
| CN113127034B (zh) * | 2021-04-09 | 2024-02-09 | 山东英信计算机技术有限公司 | 一种基于bmc对板卡进行更新的方法、系统、设备及介质 |
| FR3129747A1 (fr) | 2021-11-29 | 2023-06-02 | Commissariat A L'energie Atomique Et Aux Energies Alternatives | Dispositif d’affichage a dechiffrement local des donnees numeriques |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5825879A (en) * | 1996-09-30 | 1998-10-20 | Intel Corporation | System and method for copy-protecting distributed video content |
| JP2001103280A (ja) * | 1999-09-30 | 2001-04-13 | Canon Inc | 情報処理方法とその装置 |
| JP2001333425A (ja) * | 2000-05-18 | 2001-11-30 | Canon Inc | 動画像出力装置、動画像再生装置、携帯端末、及びそれらの制御方法並びに記憶媒体 |
| US20020163522A1 (en) * | 2001-05-07 | 2002-11-07 | Porter Allen J.C. | Method and apparatus for maintaining secure and nonsecure data in a shared memory system |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5175830A (en) * | 1989-06-16 | 1992-12-29 | International Business Machines Corporation | Method for executing overlays in an expanded memory data processing system |
| DE69029065T2 (de) | 1989-07-28 | 1997-03-06 | Texas Instruments Inc | Logische Schaltung und Verfahren zum Wiederordnen für einen graphischen Videoanzeigespeicher |
| EP0610581A3 (en) * | 1993-01-29 | 1994-12-28 | Ibm | Process for displaying flow data, produced by a parallel processing computer. |
| US6101276A (en) * | 1996-06-21 | 2000-08-08 | Compaq Computer Corporation | Method and apparatus for performing two pass quality video compression through pipelining and buffer management |
| US5920861A (en) | 1997-02-25 | 1999-07-06 | Intertrust Technologies Corp. | Techniques for defining using and manipulating rights management data structures |
| US5898779A (en) * | 1997-04-14 | 1999-04-27 | Eastman Kodak Company | Photograhic system with selected area image authentication |
| US6167136A (en) * | 1997-05-16 | 2000-12-26 | Software Security, Inc. | Method for preventing copying of digital video disks |
| JP4273535B2 (ja) * | 1998-05-12 | 2009-06-03 | ソニー株式会社 | データ伝送制御方法、データ伝送システム、データ受信装置及びデータ送信装置 |
| US6330624B1 (en) | 1999-02-09 | 2001-12-11 | International Business Machines Corporation | Access limiting to only a planar by storing a device public key only within the planar and a planar public key only within the device |
| JP2000279637A (ja) | 1999-03-30 | 2000-10-10 | Square Co Ltd | ゲーム装置、ゲーム表示制御方法、およびコンピュータ読取り可能な記録媒体 |
| US6289455B1 (en) | 1999-09-02 | 2001-09-11 | Crypotography Research, Inc. | Method and apparatus for preventing piracy of digital content |
| US6449719B1 (en) * | 1999-11-09 | 2002-09-10 | Widevine Technologies, Inc. | Process and streaming server for encrypting a data stream |
| US6704868B1 (en) * | 1999-11-12 | 2004-03-09 | International Business Machines Corporation | Method for associating a pass phase with a secured public/private key pair |
| EP1133190A1 (en) | 2000-03-06 | 2001-09-12 | Canon Kabushiki Kaisha | Moving image generation apparatus, moving image playback apparatus, their control method, and storage medium |
| US20030079222A1 (en) * | 2000-10-06 | 2003-04-24 | Boykin Patrick Oscar | System and method for distributing perceptually encrypted encoded files of music and movies |
| US6957340B1 (en) * | 2000-11-28 | 2005-10-18 | Xilinx, Inc. | Encryption key for multi-key encryption in programmable logic device |
| US7184546B2 (en) | 2001-02-13 | 2007-02-27 | Arkion S.L. | Method based on an algorithm capable of being graphically implemented to be used for the generation of filtering of data sequences and crytographic applications |
| US20020150248A1 (en) * | 2001-03-06 | 2002-10-17 | Kovacevic Branko D. | System for digital stream reception via memory buffer and method thereof |
| US7218739B2 (en) | 2001-03-09 | 2007-05-15 | Microsoft Corporation | Multiple user authentication for online console-based gaming |
-
2002
- 2002-04-18 US US10/124,922 patent/US7203310B2/en active Active
- 2002-11-26 EP EP02026416A patent/EP1343321B1/en not_active Expired - Lifetime
- 2002-11-26 DE DE60230716T patent/DE60230716D1/de not_active Expired - Lifetime
- 2002-11-26 AT AT02026416T patent/ATE420533T1/de not_active IP Right Cessation
- 2002-12-03 AU AU2002359611A patent/AU2002359611A1/en not_active Abandoned
- 2002-12-03 CN CN02802594A patent/CN100595736C/zh not_active Expired - Fee Related
- 2002-12-03 MX MXPA03002376A patent/MXPA03002376A/es active IP Right Grant
- 2002-12-03 CA CA2434328A patent/CA2434328C/en not_active Expired - Fee Related
- 2002-12-03 WO PCT/US2002/038827 patent/WO2003048939A1/en not_active Application Discontinuation
- 2002-12-03 CN CN2006101365893A patent/CN101008967B/zh not_active Expired - Fee Related
- 2002-12-04 AR ARP020104676A patent/AR037628A1/es not_active Application Discontinuation
- 2002-12-04 JP JP2002352806A patent/JP4522645B2/ja not_active Expired - Fee Related
- 2002-12-04 TW TW091135162A patent/TWI269169B/zh not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5825879A (en) * | 1996-09-30 | 1998-10-20 | Intel Corporation | System and method for copy-protecting distributed video content |
| JP2001103280A (ja) * | 1999-09-30 | 2001-04-13 | Canon Inc | 情報処理方法とその装置 |
| JP2001333425A (ja) * | 2000-05-18 | 2001-11-30 | Canon Inc | 動画像出力装置、動画像再生装置、携帯端末、及びそれらの制御方法並びに記憶媒体 |
| US20020163522A1 (en) * | 2001-05-07 | 2002-11-07 | Porter Allen J.C. | Method and apparatus for maintaining secure and nonsecure data in a shared memory system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101008967B (zh) | 2012-08-29 |
| ATE420533T1 (de) | 2009-01-15 |
| WO2003048939A1 (en) | 2003-06-12 |
| US7203310B2 (en) | 2007-04-10 |
| TWI269169B (en) | 2006-12-21 |
| JP2003284024A (ja) | 2003-10-03 |
| TW200301857A (en) | 2003-07-16 |
| AU2002359611A1 (en) | 2003-06-17 |
| MXPA03002376A (es) | 2003-07-28 |
| CA2434328C (en) | 2011-04-19 |
| US20030140241A1 (en) | 2003-07-24 |
| CN100595736C (zh) | 2010-03-24 |
| CN1650268A (zh) | 2005-08-03 |
| DE60230716D1 (de) | 2009-02-26 |
| CA2434328A1 (en) | 2003-06-12 |
| EP1343321A1 (en) | 2003-09-10 |
| CN101008967A (zh) | 2007-08-01 |
| AR037628A1 (es) | 2004-11-17 |
| EP1343321B1 (en) | 2009-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4522645B2 (ja) | セキュアコンテンツを暗号的に保護する方法およびシステム | |
| JP4807925B2 (ja) | グラフィックシステムのコンポーネント認証方法およびシステム | |
| CA2771080C (en) | Secure media path methods, systems, and architecture | |
| RU2327215C2 (ru) | Системы и способы для защиты выходного сигнала видеоплаты | |
| US20100053180A1 (en) | Method and system for cryptographically securing a graphics system | |
| RU2308077C2 (ru) | Способы и системы для криптографической защиты охраняемого содержимого |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051117 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090515 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20090813 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20090818 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090915 |
|
| RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20091015 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091016 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20091015 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100107 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100129 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100428 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100521 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100526 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130604 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |