JP5628831B2 - デジタルビデオガード - Google Patents

デジタルビデオガード Download PDF

Info

Publication number
JP5628831B2
JP5628831B2 JP2011542633A JP2011542633A JP5628831B2 JP 5628831 B2 JP5628831 B2 JP 5628831B2 JP 2011542633 A JP2011542633 A JP 2011542633A JP 2011542633 A JP2011542633 A JP 2011542633A JP 5628831 B2 JP5628831 B2 JP 5628831B2
Authority
JP
Japan
Prior art keywords
digital
trusted
data
digital display
guard
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011542633A
Other languages
English (en)
Other versions
JP2012513644A (ja
Inventor
ボーモント,マーク,ロバート,グラント
ノース,クリストファー,ジェームズ,ギルドフォード
イユ,ケネス,クウォク−ヘイ
グリーン,ジョシュア,デイビッド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Commonwealth of Australia
Original Assignee
Commonwealth of Australia
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from AU2008906649A external-priority patent/AU2008906649A0/en
Application filed by Commonwealth of Australia filed Critical Commonwealth of Australia
Publication of JP2012513644A publication Critical patent/JP2012513644A/ja
Application granted granted Critical
Publication of JP5628831B2 publication Critical patent/JP5628831B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/436Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
    • H04N21/4367Establishing a secure communication between the client and a peripheral device or smart card

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

本発明は、コンピュータのユーザに対して表示される情報の真実性(veracity)に関し、またポインティングデバイスおよびキーボードなどのヒューマン入力デバイス(HID:human input device)によってコンピュータに提供される情報の真実性にも関する。
コンピュータとの対話、したがってインターネットとの対話は、コンピュータの入出力デバイス、すなわちキーボード、マウスおよびディスプレイに重く頼っている。これらの対話の多数は、ディスプレイ上でユーザに提示される情報によって駆動される。この情報のコンテンツおよびソースを、ユーザは日常的に処理し、当たり前のことと思っており、それが益々、フィッシング(phishing)、スプーフィング(spoofing)、仮想化(virtualization)、およびその他の視覚に基づく攻撃(visually-based attacks)につながっている。これらの攻撃が成功するのは、ユーザに対して表示される情報が、ユーザが見ようとしている情報であるからである。攻撃者が経験を積んでくると、ユーザにとって、自分たちに提示される視覚情報の完全性を判定することは益々困難になるであろう。
ユーザにとっては、提示された情報の完全性を判定することが困難であるだけでなく、自分のコンピュータシステムの完全性を確保することもユーザにとって益々困難になっている。その結果として、特にウエブバンキング(web banking)などの遠隔式のネットワーク間接続によるアプリケーションを使用するときに、ユーザは自分のデータの守秘性に確信を持つことができない。マルウェア(malware)は、オペレーティングシステムを攻撃して、重要な個人情報をネットワーク上に漏えいする可能性がある。悪意のあるソフトウェアフック(software hook)がインストールされて、これが、キーボードイベントやマウスイベントのコピー、スクリーンバッファの取込み、ネットワークトラフィックの挿入および修正を行ったり、その他の方法でユーザのコンピュータとの対話に介入する可能性がある。敵対的なウエブサイトまたはクロスサイトスクリプティング(cross-site scripting)は、標的のウエブベースアプリケーションを攻撃して、クライアントを完全に攻略すること、または秘密性の情報を漏らすようにユーザをだますように設計されたその他の攻撃を可能にする。
これらは、攻撃者が利用可能な機構の内のほんのわずかなものにすぎない。このようなリスクを緩和するために、見識のあるユーザは、自分のオペレーティングシステムおよびアプリケーションが定期的に応急修正(patch)されていることを確認し、適正に構成された個人ファイアウォールおよびスパイウェア防護対策を維持し、「安全なブラウジング習慣」を実践することが必要である。これらの対策をすべて備えても、ユーザはなお、オペレーティングシステムおよびアプリケーションの両方に対する、自動応急修正プロセス(automated patch process)の完全性および適時性と、自身のハードウェアの完全性とに頼っている。完全性が未知であるマシンを使用することは、明らかに何らかの形態の信頼を除外することになり、ほとんどの商用オフザシェルフ(COTS:Commercial Off The Shelf)機器はこの範疇に入る。
本明細書では、「信頼済み(trusted)」および「未信頼の(untrusted)」という用語を使用するが、これらは、コンピュータセキュリティの技術分野の当業者には特定の意味を有することがある。本明細書におけるこれらの用語の使用は、ある文脈においてはそのような特殊な意味に限定されるものではなく、その場合には、これらの用語の意味は、信頼可能な(trustworthy)および信頼不能な(untrustworthy)ことを含むことがあり、これらは信頼のレベルは、環境およびそれに関連するリスクに関係することを意味すると理解することができる。したがって、本発明の態様の1つまたは2つ以上を実現するのに使用される、ハードウェアだけでなく、ソフトウェアにおいて、またそれに加えてどのようなフォーマットであれ、受信および送信したデータにおいても、単一レベルまたは複数レベルの信頼があり得る。信頼の概念についての上記の考察は、関連するソフトウェアおよびハードウェアの人間ユーザにおける絶対的な信頼を仮定している。
本発明の文脈においては、使用の環境に応じて、ユーザは、改ざんまたは悪意のある修正に耐性のある方法で、あるオペレーションを行うために、本発明を信頼する必要がある。この耐性のレベルは、使用の環境に依存し、必要なレベルの信頼を提供するために、様々な機構が利用されてきた。物理的、通信およびコンピュータのセキュリティを提供するさらなる機構が、当業者には知られている。本発明は、未信頼のインフラで使用することが可能であり、そのような場合には、システムに対して行われる可能性のある何らかの悪意のある修正が行われており、システムいかなる行為も信頼できないものと仮定することができる。
表示された情報および入力デバイスの真実性を保証することについての現在、提案されている研究は、信頼済みシステム、信頼済みディスプレイ、およびコンテンツおよび配信を安全化することに注目している。重要なことは、本発明は、必要な機能および信頼を達成するために、新規の帯域内付加物と一緒に、未信頼のデジタル通信ネットワークなどの、既存の通信チャネルおよび計算インフラストラクチャを利用することである。
信頼済みシステム
計算システムおよびアプリケーションを安全化することについて多くの研究が行われており、高グレードシステムは、ほとんど普遍的に、入力および出力用に信頼済みパスを使用する、トラステッド・コンピューティング・ベース(Trusted Computing Base)を必要条件としている。Boebert(WO94/01821)は、キーボードおよびディスプレイ用のトラステッド・パスを提案しており、備えられるトラステッド・パス・サブシステム(Trusted Path Subsystem)が、キーボード入力の暗号化および、受け取った暗号化されたビデオパケットからのビデオ出力の生成を行う。このシステムは、信頼済みコンテンツの配信および入力転送にアウトオフバンド(out-of-band)機構を使用しており、信頼済みコンテンツがビデオ生成の前にデバイス内部に記憶されることを必要とする。
信頼済みディスプレイ
既存の信頼済みディスプレイは、一般的に、信頼済みコンピューティング・プラットフォームと統合されて、全体の信頼済みシステムの一体的な部分を形成し、表示される情報の完全性を提供するのに、耐改ざん性(tamper resistance)および密接なハードウェア統合に頼っている。トラステッド・ディスプレイ・プロセッサ(Trusted Display Processors)が提案されており、それは信頼された方法でビットマップ画像を表示することができる。通常の提案されているモジュールは、スマートカードを利用して、暗号支援を提供し、モジュールに送られるビットマップ画像上の署名を検査することができる。次いで、ビットマップ画像が表示され、信頼の表示が与えられる。信頼を表示する提案されている方法の1つは、ユーザに対して表示される固有の透かし(watermark)を使用することであった。
現在、提案されている解決策は、ローカルマシーン上に常駐するデジタルドキュメントを見る、したがって検証する、信頼済み方法を提供することを探索している。トラステッド・ディスプレイ・プロセッサは、リアルタイムオペレーションを提案せず、デジタルビデオストリームを操作していない。提示されたアプリケーションは、ローカルビットマップ画像をローカルに検証するためのものである。
コンテンツ保護
HDCPは、ポイント・ツー・ポイントプロトコル(端末相互間ではない)であり、これはデジタルビデオストリームが送信機(DVDプレーヤ、PCなど)から受信機(デジタルディスプレイ)まで移動するときの、全コンテンツを安全化するのに使用される。この概念は、リンクを越えて流されることになるコンテンツを保護すること、すなわち、デジタルストリームが他のメディアに「引き裂かれる(ripped)」ことを防止することである。送信機は、受信機に送られる全画素を暗号化し、受信機は、ストリームを表示する前に、それを暗号解読することができる。HDCPコマンドおよび制御は、送信機と受信機の間の第2(IC)リンクを介して、帯域外で実行される。送信機および受信機には、製造時に鍵が与えられ、リンク暗号化のために互いの鍵を調停することができる。HDCP保護メディアは、HDCP送信機と対応する受信機とによってのみ、再生可能である。
安全なアプリケーション配信
ほとんどのプラットフォームに対してリモートデスクトップアプリケーションが存在しており、それによってユーザは、ネットワーク接続上でリモートサーバにアクセスすることができる。これらのアプリケーションは、それらのオペレーティングシステムとの統合のレベル、それらの認証機構、およびそれらのネットワークセキュリティ方式が異なる。
重要なことは、既存のアプリケーションアーキテクチャのいずれも、ユーザのコンピュータ(ソフトウェアまたはハードウェアのいずれか)の信頼状態を考慮していないため、例えばリモートセッションを含む、そのコンピュータ上でユーザによって実行される行為の完全性およびプライバシが、ユーザのコンピュータの制御を獲得した攻撃者によって損なわれる可能性があることである。本明細書に記載の本発明は、信頼性の境界をコンピュータのディスプレイおよび周辺装置にまで拡張して、そのような攻撃者を迂回する。
本発明の全体的な観点においては、デジタルビデオディスプレイ装置上の信頼可能または信頼不能なデータの表示を制御する、信頼済みデジタルビデオガードは、
a.信頼不能なデジタルデータおよび帯域内信頼可能なデジタルデータを受信するデジタルビデオデータ入力、
b.ビデオディスプレイ装置にデジタルビデオを出力する信頼済みデジタルビデオ出力、
c.信頼済み標識状態および未信頼の標識状態を有する、少なくとも1つの信頼済みステータス標識、および
d.前記デジタルビデオデータ入力、前記信頼済みデジタルビデオ出力および前記信頼済みステータス標識に動作可能に接続された、信頼済みデジタルプロセッサであって、信頼可能および信頼不能なデジタルデータを識別して、
i)信頼不能なデジタルデータを前記信頼済みデジタルビデオ出力に誘導し、かつ/または
ii)信頼可能なデジタルデータを前記信頼済みデジタルビデオ出力に誘導するとともに、前記信頼済みステータス標識のステータスを前記信頼済み標識状態に制御するために、帯域内デジタルデータを処理する、前記信頼済みデジタルプロセッサを含む。
信頼済みデジタルビデオガードの本発明の別の観点においては、信頼可能なビデオがビデオディスプレイ装置に出力されるのに対して、信頼不能なビデオは、(未処理デジタルビデオデータは単にカプセル化または暗号化されたデジタルビデオデータであるために)判読不能/読取り不能/理解不能/暗号化/視認不能な状態であるか、または(DVGによって消費されている、―デジタルビデオデータが消去されるか、その他の方法でそのデバイスの外部に通信されていないことを意味する―ことを含み)その他の方法で修正された状態で表示されるとともに、信頼済みデジタルビデオ出力に供給される。
任意選択で、DVGには、その機能を増大させるために、以下の能力を含めることができる:
a.USBトラフィックを送受信するためのUSB(Universal Serial Bus)ハブ、
b.データを暗号化、暗号解読、圧縮および圧縮解除する手段、および
c.ネットワーク通信を送受信するためのネットワーク接続ポート。
DVGは、コンピュータ装置例えば商品PCに直列型に組み入れるか、または後付けすることのできるデバイスである。DVGを使用すると、そのコンピュータ装置に付随するデジタルディスプレイ上に提示される特定の情報に信頼を与えることができる。一態様においては、DVGはデジタルディスプレイと直列に常駐して、ユーザと、表示される(通常は、リモートソースの)アプリケーションとの間の安全な端末相互間の対話を可能にする。デジタルビデオストリーム内の帯域内信号化方式を使用して、暗号化/署名された情報が、リモートソースから、未信頼のネットワークインフラストラクチャ上をDVGを通して、ユーザが見るために搬送される。暗号化/署名されたデジタルビデオコンテンツの作成は、ローカルまたはリモートアプリケーションのいずれかによって達成し、コンピュータのディスプレイ上に描画しょうとするものを操作すること、すなわち時によってはデジタルディスプレイストリームの部分を形成して、コンピュータ装置からデジタルディスプレイに出力されるデータを暗号化することによって達成することができる。DVGは、デジタルビデオコンテンツを、それがデジタルディスプレイに送られるときに、暗号解読し、その完全性を検証することができる。
表示された情報の完全性は、DVGハードウェア上の発光ダイオード(LED)などの、信頼済み標識によって表示することができる。一部または全部のビデオ信号を、ビデオ信号内のどのデータが信頼可能であると暗号化、署名、またはその他の方法でラベル付けされているかに応じて、これは暗示的に、信頼されていると指定することができる。暗号化されたビデオコンテンツをDVGを使用しないでデジタルまたはアナログのディスプレイ上に表示すると、ビデオ信号の暗号化された(信頼済み)部分が、ランダム画素データとして描画されることになる。DVGはまた、暗号法で署名されたビデオコンテンツに使用してもよく、この場合には、コンテンツは任意のディスプレイデバイス上に表示されるが、DVGは、コンテントの完全性を保証して表示することができる。DVGは、描画されているビデオコンテンツ内に信頼を表示することができるが、ディスプレイとのユーザの対話は、ポインタやキーボードなどのユーザ周辺機器を例とする、ヒューマン・ツー・コンピュータインターフェイスデバイスによって生成されていることを認識して、提示されている情報をユーザが信頼できるために、まだデジタルディスプレイが信頼される必要がある。本明細書において提示されるDVGの一態様においては、安全なキーボードおよびポインタ入力には、完全双方向端末相互間セキュリティが提供される。
デジタル・ビジュアル・インターフェイス(DVI:Digital Visual Interface)規格は、ソースとディスプレイデバイス間でデジタルディスプレイデータを伝送するためのデジタルインターフェイスを定義している。この規格は、デバイスに独立であり、信号化方式およびプロトコルを定義し、ディスプレイデータを「作成から消費まで」デジタル形態に保持する。物理層において、デジタルデータは、遷移時間最短差動信号伝送方式(TMDS:Transition Minimized Differential Signaling)を使用して伝送される。DVGの一態様においては、いずれのデジタルディスプレイデータストリームもソースとして使用はできるが、DVGが傍受、復号化、次いで再生成して信頼済みディスプレイ機能を提供するのは、このTMDSデジタルストリームである。
DVGは、帯域内、リアルタイムアプローチであり、信頼済みアプリケーション配信に対して、軽量で携帯可能な解決策を提供する。その他の関係する要素の構成要素ついて、本明細書においてさらに考察する。
DVGは、標準の(COTS)PCおよびDVIディプレイを備える、デジタルビデオストリームに対して、リアルタイムに動作する。DVGは、帯域内信号化方式と、特にTDMSストリームを含む任意好適なデジタルビデオストリームのロバスト性を利用して、信頼済み画像の暗号解読、およびその結果としての表示を行うための簡潔な直列型パスを提供する。DVGは、コンピュータネットワークの増大する帯域幅を活用して、実行可能なリモートアプリケーションを実装することができる。
DVGは、特定の機器に拘束されるものではなく、HDCPプロトコル防護ビデオストリームと異なり、暗号化は端末相互間で適用される。
デジタルビデオ・エンクリプタ(DVE:Digital Video Encryptor)は、信頼済みサーバまたはリモートコンピュータのデジタルビデオポートに差し込むことのできる、(周辺機器と異なることのない)セキュリティ装置として、DVGを補完する。DVEはデジタルビデオデータ信号を傍受して、規定のファイルフォーマット(通常は画像ファイル)内にコンテンツをカプセル化し、カプセル化されたデジタルビデオを暗号化して、暗号化されたデジタルビデオをネットワークインターフェイス上に出力する。
本発明のさらに別の観点においては、未信頼のデジタルデータネットワーク上でデジタルビデオデータを提供する信頼済みサーバからの信頼済みデジタルデータを転送する、信頼済みデジタルガードは、
a.前記未信頼のデジタルデータネットワークから信頼不能なデジタルデータおよび帯域内信頼可能なデジタルデータを受信する、デジタルビデオデータ入力、
b.信頼可能なデジタルデータを出力する、少なくとも1つの周辺相互接続出力、
c.前記デジタルビデオデータ入力と、少なくとも1つの周辺相互接続出力とに動作可能に接続されて、帯域内信頼可能なデジタルデータを処理して、前記少なくとも1つの周辺相互接続出力に信頼可能なデジタルデータを誘導する、信頼済みデジタルプロセッサ、を含む。
本発明のさらに別の観点では、信頼済みサーバから、コンピュータ装置に関連するビデオディスプレイ装置へ、信頼済みビデオデータを、未信頼のデジタルデータネットワーク上で配信するための、デジタルデータセキュリティシステムは、
前記信頼済みサーバに動作可能に接続されたデジタルビデオ装置であって、前記信頼済みサーバから信頼済みビデオコンテンツを受信し、前記信頼済みビデオデータを所定のファイルフォーマットでカプセル化し、前記カプセル化された信頼済みビデオコンテンツを、前記未信頼のデジタルネットワーク上で前記ビデオディスプレイ装置と関連するコンピュータ装置に転送する、デジタルプロセッサを含む、前記デジタルビデオ装置、および
デジタルビデオディスプレイ装置上への信頼可能および信頼不能なデータの表示を制御する、デジタルビデオガードであって、
a.前記ビデオディスプレイ装置に付随するコンピュータ装置から、信頼不能なデジタルデータおよび帯域内の信頼可能なデジタルデータを受信する、デジタルビデオデータ入力、
b.前記ビデオディスプレイ装置にデジタルビデオを出力する、信頼済みデジタルビデオ出力、
c.信頼済み標識状態および未信頼の標識状態を有する、信頼済みステータス標識、および
d.前記デジタルビデオデータ入力、前記信頼済みデジタルビデオ出力および前記信頼済みステータス標識に動作可能に接続された、信頼済みデジタルプロセッサであって、信頼可能および信頼不能なデジタルデータを識別して、
i)処理後の信頼不能なデジタルデータを前記信頼済みデジタルビデオ出力に誘導し、かつ/または
ii)処理後の信頼可能なデジタルデータを前記信頼済みデジタルビデオ出力に誘導するとともに、前記信頼済みステータス標識のステータスを前記信頼済み標識状態に制御するために、帯域内デジタルデータを処理する、前記信頼済みデジタルプロセッサ
を含む前記デジタルビデオガードを含む。
デジタルデータガード(DDG:Digital Data Guard)は、信頼済みコンテンツサーバからコンテンツを、未信頼のネットワークを越えて、かつ未信頼のコンピュータの使用によって、USBデータ記憶装置などのユーザの周辺データ記憶装置へと安全に転送する機能を提供するのに使用することができる。
本発明の一観点においては、カプセル化されたデジタルビデオデータ内に信頼可能なデータを含む、カプセル化されたデジタルビデオデータのソース、および周辺データ記憶装置に接続するための、信頼済みデジタルデータガードは、
a.カプセル化されたデジタルビデオデータを受信するデジタルビデオデータ入力、
b.少なくとも1つの信頼済み周辺相互接続出力、
c.前記デジタルビデオデータ入力と、少なくとも1つの周辺相互接続出力に動作可能に接続されて、前記デジタルビデオデータを脱カプセル化して、信頼可能なデータを抽出し、前記信頼可能なデータを、前記少なくとも1つの周辺相互接続出力に関連する周辺装置に供給する、信頼済みデジタルプロセッサ
を含む
本発明の一観点において、デジタルビデオディスプレイ装置上への信頼可能および信頼不能なデータの表示を制御する、信頼済みデジタルデータ防護方法は、
a.デジタルビデオデータ入力において信頼不能なデジタルデータおよび帯域内の信頼可能なデジタルデータを受信するステップ、
b.信頼済みデジタルビデオ出力においてビデオディスプレイ装置にデジタルビデオデータを出力するステップ、および
c.前記デジタルビデオデータ入力、信頼済みデジタルビデオ出力および信頼済みステータス標識に動作可能に接続された、信頼済みデジタルプロセッサで、信頼可能および信頼不能なデジタルデータを識別し、
i.信頼不能なデジタルデータを前記信頼済みデジタルビデオ出力に誘導し、かつ/または
ii.信頼可能なデジタルデータを前記信頼済みデジタルビデオ出力に誘導し、少なくとも1つの信頼済みステータス標識の一方の状態を前記信頼済み標識状態に制御するために、帯域内デジタルデータを処理する、処理ステップを含む
本発明の一観点の、信頼済みサーバからコンピュータ装置に付随するビデオディスプレイ装置への、信頼済みビデオデータの、未信頼のデジタルデータネットワーク上での配信に対する、デジタルデータセキュリティ方法は、
a.前記信頼済みサーバに動作可能に接続されたデジタルビデオ装置内で、前記信頼済みサーバから信頼済みビデオコンテンツを受信する処理ステップ、
b.前記信頼済みビデオデータを所定のファイルフォーマットでカプセル化するステップ、
c.前記カプセル化された信頼済みビデオコンテンツを、前記未信頼のデジタルネットワーク上で、前記ビデオディスプレイ装置に付随するコンピュータ装置に転送するステップ、および
d.デジタルビデオガード内で、デジタルビデオディスプレイ装置上への信頼可能および信頼不能なデータの表示を制御する、処理テップであって、以下のステップを含む;
e.デジタルビデオデータ入力において信頼不能なデジタルデータおよび帯域内の信頼可能なデジタルデータを受信するステップ、
f.前記デジタルビデオデータ入力、信頼済みデジタルビデオ出力および信頼済みステータス標識に動作可能に接続された信頼済みデジタルプロセッサで、信頼可能および信頼不能なデジタルデータを識別して、
i.信頼不能なデジタルデータを信頼済みデジタルビデオ出力に誘導し、かつ/または
ii.信頼可能なデジタルデータを信頼済みデジタルビデオ出力に誘導し、少なくとも1つの信頼済みステータス標識の一方の状態を前記信頼済み標識状態に制御するために、帯域内デジタルデータを処理する、処理ステップ、および
g.信頼済みデジタルビデオ出力において、デジタルビデオデータを前記ビデオディスプレイ装置に出力するステップを含む。
本発明のさらに別の観点において、未信頼のデジタルネットワーク上で信頼済みデジタルビデオデータを供給する信頼済みサーバを動作可能に接続するための、信頼済みデジタルビデオ通信方法は、
a.デジタルビデオデータ入力において信頼済みサーバから信頼済みデジタルビデオデータを受信するステップ、
b.デジタル通信ポートにおいて、未信頼のデジタルネットワークにデータを出力するステップ、
c.前記デジタルビデオデータ入力およびデジタル通信ポートに動作可能に接続された信頼済みデジタルプロセッサを用いて、前記信頼済みデジタルデータを所定のファイルフォーマットでカプセル化する処理をし、前記カプセル化された信頼済みデジタルビデオデータをデジタル通信ポートから未信頼のデジタルネットワーク上に出力するステップを含む。
本発明のさらに別の一観点において、カプセルされたデジタルビデオデータ内部に信頼可能なデータを含む、カプセル化されたデジタルビデオデータのソースを周辺データ記憶装置に接続するための、信頼済みデジタルデータ防護方法は、
a.デジタルビデオデータ入力上でカプセル化されたデジタルビデオデータを受信するステップ、
b.少なくとも1つの信頼済み周辺相互接続出力からデータを出力するステップ、および
c.前記デジタルビデオデータ入力および少なくとも1つの周辺相互接続出力に動作可能に接続された、信頼済みデジタルプロセッサを用いて、デジタルビデオデータを脱カプセル化し、前記信頼可能なデータを抽出して、該信頼可能なデータを前記少なくとも1つの周辺相互接続入力と関連する周辺装置に提供する、処理ステップを含む。
本発明の1つまたは2つ以上の好ましい態様についての詳細な説明を、本発明の原理の例として示す添付の図面と合わせて以下に提示する。本発明を、そのような態様との関係において説明するが、本発明はいかなる態様にも限定されるものではないことを理解されたい。反対に、本発明の範囲は、多数の代替物、修正例、および均等物を包含するものである。本発明が完全に理解されるように、例示の目的で、多数の特定の詳細について以下に記載する。本発明は、これらの特定の詳細の一部または全部を用いることなく、特許請求の範囲に従って実施することができる。分かりやすくするために、本発明に関係する技術分野において知られている技術項目は、本発明が不必要に曖昧にならないように、詳細には説明していない。

以下に示す本明細書および特許請求の範囲の全体を通して、文脈において特に断らない限り、「備える(comprise)」および「含む(include)」の用語、ならびに「備えている(comprising)」および「含んでいる(including)」などの変形形態は、記載された整数または整数群を包含することを意味するが、その他の整数または整数群を排除することを意味するものではないことを理解されたい。本明細書におけるいかなる従来技術の参照も、そのような従来技術が共通一般知識の一部を形成するものであることを認知、または何らかの形態で示唆するものではなく、またそのように解釈されるべきではない。
本明細書に使用される限りにおいて、ロジックおよび/またはデジタル処理、ならびにデジタル入力、デジタル出力およびデジタルプロセッサは、それには限定はされないが、1つの機能(複数を含む)もしくは作用(複数を含む)を実行する、および/または別の構成要素から、1つの機能または作用を発生させるための、ハードウェア、ファームウェア、ソフトウェアおよび/またはそれぞれの組合せを含む。例えば、所望の用途またはニーズに基づいて、ロジックは、ソフトウェア制御マイクロプロセッサ、用途特定集積回路(ASIC)などの別個のロジック、またはその他のプログラムおよび論理素子を含むことがある。ロジックはまた、完全にソフトウェアとして具体化することもできる。
本明細書において使用される限り、「ソフトウェア」は、それに限定はされないが、コンピュータまたはその他の電子装置に機能、作用および/または行為を望みどおりに起こさせる、1つまたは2つ以上のコンピュータ可読および/または実行可能な命令を含む。このような命令は、ルーチン、アルゴリズム、モジュール、または別個のアプリケーションもしくは動的にリンクされたライブラリからのコードを含む、プログラム類などの様々な形態で具体化される。ソフトウェアはまた、スタンドアローンプログラム、関数呼び出し、サーブレット(servlet)、アプレット(applet)、メモリ内に記憶された命令、オペレーティングシステムの一部、またはその他のタイプの実行可能な命令などの、様々な形態で実装することもできる。ソフトウェアの形態は、例えば、所望のアプリケーションの要件、それが実行される環境、および/または設計者/プログラマなどの要望によって決まることを当業者は理解するであろう。
図1は、未信頼のインフラストラクチャと一緒に動作する、直列型のDVG配設を示す図である。 図2は、DVGの概略例示的デジタルビデオ動作を示す図である。 図3aは、DVGの例示的ハードウェア配設を示す図である。 図3bは、信頼済み標識(LED)を示す、動作中の例示的DVGを示す図である。 図4aは、デジタルビデオデータ入出力およびスマートカードインターフェイスを備える、DVGの例示的態様を示す図である。 図4bは、デジタルビデオデータ入出力、上流および下流のUSBポート、ならびにスマートカードインターフェイスを備える、DVGの例示的態様を示す図である。 図5は、DVGを備えない出力と比較した、モニタ上のDVGからの例示的出力を示す図である。
図6aは、未信頼のローカルコンピュータとデジタルモニタとの間の、DVGの直列配設を示す図である。 図6bは、DVGを通して表示するための、サーバから未信頼のクライアントへの、信頼済みコンテンツの例示的フローを示す図である。 図7aは、USB入力および出力を含む、DVGの例示的な包括的アーキテクチャを示す図である。 図7bは、暗号式スマートカード(Cryptographic Smart Card)インターフェイスを含む、DVGの例示的な包括的アーキテクチャを示す図である。 図8aは、TMDS信号化方式上で動作するDVGの具体的な態様を示す図である。 図8bは、暗号式スマートカードインターフェイスを含む、TMDS信号化方式で動作するDVGの具体的な態様を示す図である。 図8cは、TMDS信号化方式上で動作し、上流および下流のUSBポート、CPU、FPGA、および暗号式スマートカードインターフェイスを含む、DVGの具体的な態様を示す図である。
図9aは、DVG用の例示的な包括的FPGAアーキテクチャを示す図である。 図9bは、画素操作に使用されるFPGAアーキテクチャの一観点の具体的な態様を示す図である。 図9cは、USB周辺暗号化に使用されるFPGAアーキテクチャの一観点の具体的な態様を示す図である。 図10aは、DVGを通しての表示向けのコンテンツの生成例を示す図である。 図10bは、DVGを通して表示されたコンテンツの再生を示す図である。 図11aは、DVGを通しての表示用の非画像系(non-imaged based)コンテンツの生成の例を示す図である。 図11bは、DVGを通しての非画像系コンテンツの再生および表示を示す図である。
図12aは、DVGを通して表示するための多重コンテンツストリームを結合する例を示す図である。 図12bは、DVGを通しての多重コンテンツストリームの再生および表示を示す図である。 図13aは、DVGを通して表示するための異なるタイプのコンテンツストリームを結合する例を示す図である。 図13bは、DVGを通しての異なるタイプのコンテンツストリームの再生および表示を示す図である。 図14は、例示的なインターネットバンキングシナリオにおいて使用されているDVGの一態様を示す図である。 図15aは、インターネットバンキングのウエブサイトのログイン・スクリーンを示している、ビデオディスプレイ装置のスクリーンショットを示す図である。 図15bは、インターネットバンキングのウエブサイトのログイン・スクリーンを、入力された詳細とともに示している、ビデオディスプレイ装置のスクリーンショットを示す図である。
図15cは、信頼済みサーバから部分的に提供されるインターネットバンキングのウエブサイトのログイン・スクリーンを示しているビデオディスプレイ装置のスクリーンショットを示す図であり、スクリーンの判読不能/読取り不能/理解不能/暗号化/視認不能の部分、またはその他の方法で修正された部分はDVGデバイスを設置していない結果である。 図15dは、DVGを通してスクリーン上に表示された状態のビデオの信頼済み部分に示された、インターネットバンキングのウエブサイトのログイン・スクリーンを示している、ビデオディスプレイ装置のスクリーンショットを示す図である。 図15eは、個人識別番号(PIN)が入力されている状態のインターネットバンキングのウエブサイトのログイン・スクリーンを示している、ビデオディスプレイ装置のスクリーンショットを示す図である。このログイン・スクリーンは、DVGを通してスクリーン上に表示された状態のビデオの信頼済み部分に示されており、オン・スクリーンのキーバッドはPIN桁入力の間の無作為にスクランブルされている。 図15fは、個人識別番号(PIN)が入力されている状態のインターネットバンキングのウエブサイトのログイン・スクリーンを示している、ビデオディスプレイ装置のスクリーンショットを示す図である。このログイン・スクリーンは、DVGを通してスクリーン上に表示された状態のビデオの信頼済み部分に示されており、オン・スクリーンのキーバッドはPIN桁入力の間の無作為にスクランブルされている。 図15gは、個人識別番号(PIN)が入力されている状態のインターネットバンキングのウエブサイトのログイン・スクリーンを示している、ビデオディスプレイ装置のスクリーンショットを示す図である。このログイン・スクリーンは、DVGを通してスクリーン上に表示された状態のビデオの信頼済み部分に示されており、オン・スクリーンのキーバッドはPIN桁入力の間の無作為にスクランブルされている。 図15hは、個人識別番号(PIN)が入力されている状態のインターネットバンキングのウエブサイトのログイン・スクリーンを示している、ビデオディスプレイ装置のスクリーンショットを示す図である。このログイン・スクリーンは、DVGを通してスクリーン上に表示された状態のビデオの信頼済み部分に示されており、オン・スクリーンのキーバッドはPIN桁入力の間の無作為にスクランブルされている。 図15iは、信頼済みサーバから部分的に提供されたインターネットバンキングのウエブサイトのアカウント情報スクリーンを示している、ビデオディスプレイ装置のスクリーンショットを示す図であり、スクリーンの判読不能/読取り不能/理解不能/暗号化/視認不能の部分、またはその他の方法で修正された部分は、DVGデバイスを設置していない結果である。
図15jは、DVGを通してスクリーン上に表示された状態のビデオの信頼済み部分に示された、インターネットバンキングのウエブサイトのアカウント情報スクリーンを示している、ビデオディスプレイ装置のスクリーンショットを示す図である。 図16は、例示的なリモートアプリケーションシナリオにおいて使用されている、DVGの一態様を示す図である。 図17aは、安全なリモートアプリケーション配信(Secure Remote Application Delivery)アプリケーションを示す図である。 図17bは、リモートサーバへの接続を開始する、安全リモートアプリケーション配信アプリケーションを示す図である。 図17cは、信頼済みサーバから部分的に提供された安全リモートアプリケーション配信アプリケーションスクリーンを示している、ビデオディスプレイ装置のスクリーンショットを示す図であり、スクリーンの判読不能/読取り不能/理解不能/暗号化/視認不能の部分、またはその他の方法で修正された部分はDVGデバイスを設置していない結果である。
図17dは、信頼済みサーバから部分的に提供された安全リモートアプリケーション配信アプリケーションを示しているビデオディスプレイ装置のスクリーンショットを示す図であり、アプリケーションは、DVGを通してスクリーン上に表示された状態の、ビデオの信頼済み部分に示されている。 図17eは、信頼済みサーバから部分的に提供された安全リモートアプリケーション配信アプリケーションを示しているビデオディスプレイ装置のスクリーンショットを示す図であり、アプリケーションは、DVGを通してスクリーン上に表示された状態の、ビデオの信頼済み部分に示されている。 図17fは、信頼済みサーバから部分的に提供された安全リモートアプリケーション配信アプリケーションを示しているビデオディスプレイ装置のスクリーンショットを示す図であり、アプリケーションは、DVGを通してスクリーン上に表示された状態の、ビデオの信頼済み部分に示されている。 図18は、DVGの相補的態様である、デジタルビデオ・エンクリプタ(DVE)を示す図である。 図19は、デジタルビデオ・エンクリプタ(DVE)の使用を示す図である。 図20は、DVGの相補的な態様である、DDGに取り付け可能なデジタルデータ記憶装置にデジタルデータを配信するための未信頼のネットワーク環境における、デジタルデータガード(DDG)を示す図である。2 図21は、DDGの包括的ハードウェア配設の一態様を示す図である。
発明の実施形態の詳細な説明
DVGは、様々なディスプレイとコンピュータ装置の間に後付けするのが簡単であり、電子回路や複雑さが最少でありながら、さらに、未信頼のインフラストラクチャの利点を使用して、安全で高信頼のサービスおよびコンテンツの配信を支援することができる。
DVGが設置されると、その機能はユーザに対して透過的となる。例として、ユーザが銀行と対話して銀行取引きを行いたい場合には、通常は、インターネットと呼ばれる世界中のコンピュータおよびコンピュータネットワークの集合を介して、アクセスが達成され、そのアクセスは、その銀行の所定のURL(ウエブページアドレス)に接続するユーザのブラウザを使用することによって達成される。ログインやパスワードなどの、1種または2種以上の第1レベルのセキュリティ手続きが必要となることがあり、またユーザがそのアカウントにアクセスするのに、その他のより厳しいセキュリティ手続きが要求されることもある。しかしながら、適当なDVGが設置されていない限り、ユーザに対して表示されるためのデータは、いずれも理解可能な形態では表示されない。DVGは、ユーザに対して表示するための符号化されたデータを暗号解読し、そのデータを、DVGのモニタ/ディスプレイ出力に接続された所定の表示の領域内部に提供して、同時に、目に見える(ランプまたはLEDを点灯させる)および/または耳に聞こえる標識を提供し、表示されているものが、予期したソースからのものであることの真実性があることを示す。
このようにして保護される厳密なデジタルデータコンテンツは、用意したアプリケーションによって決まる。本明細書において詳細を示す、本発明の具体的な態様は、この安全なコンテンツ配信を、その原因に適当な異なる方法で活用する。
リモートソースからDVGを通してユーザのディスプレイに提供される、一方向のデジタルコンテンツ保護と同様に、DVGは、リモートソースとの双方向セッションを容易化することもできる。本明細書に詳述する具体的な態様は、いかにして未信頼のポインティングデバイスを、リモート式で生成された(安全な)画像と結合して、ポインティングデバイス位置相関を介して信頼済みバックチャネルを提供できるかを説明する。そのような機構は、例えば、銀行取引においてPINを安全に入力するのに使用することができる。
DVGの使用のさらに別の観点においては、ポインティングデバイスおよびキーボードの動作をユーザのディスプレイ上に表示し、そのユーザの取引を処理するのに使用された、バンキングアプリケーションに対するそのデータの真実性を保証するように、銀行に送信して戻すために生成するデータを符号化することが可能である。このようなDVGからリモートソースへの安全なバックチャネルについての説明を、本発明の例示的な態様を通して行う。
上記の銀行取引処理とは異なる可能性のあるアプリケーションを提示する、様々な態様について、次に説明する。
一態様において開示されるDVGは、TMDS(Transmission-Minimised Differential Signalling(遷移時間最短差動信号伝送方式))信号取込みおよび再生をリアルタイムで行うことができる。基本DVG機能に加えて、USBマウスおよびUSBキーボードの両方に対する、USBリピータおよび暗号化機能が提供されて、例えば、マウス移動およびキーボードの両方を取り込み、暗号化して、次いで、好ましくは帯域内信号化方式を用いて直列式でローカルな計算装置へと通される、ヒューマンインターフェイス動作が可能になる。
図1は、インラインDVIセキュリティ装置としての、DVGの一態様を示す。
DVG10は、(この図では、例えばインターネットなどのネットワーク18を介して、物理的接続を有するのが示されている、サーバ19からサービスが提供される)未信頼のクライアントコンピュータ17とDVIディスプレイ12との間に直列に挿入され、キーボード14とマウス16が、任意選択でこの装置10を経由する。図1は、一例において、DVGが、どのようにしてデジタルビデオストリームならびにキーボードおよびマウスデータを傍受し、記述する例において有用となるかを示しており、その例においては、未信頼のクライアントコンピュータ17およびディスプレイ12のユーザが、自分たちの銀行と取引きを行う際に安全に対話ができる。図6aおよび図6bは、インライン・セキュリティ・ドングルとしてのDVG10の物理的な実施例を示しており、DVG10は、未信頼のクライアントコンピュータ17と、デジタルDVIディスプレイ12および、ローカルの未信頼のクライアントコンピュータ(図6a)と協働するポインティングデバイス16およびキーボード14などの、USB周辺装置との間に接続されるとともに、未信頼のコンピュータネットワーク/インターネット18を介して、この実施例におけるトラステッド・アプリケーション・サーバ(Trusted Application server)19のような、リモートコンピュータ装置に接続されている。
説明のために、図5は、DVGを設置する場合と設置しない場合に、暗号解読されたコンテンツがデジタルビデオディスプレイ上にいかに表示されるかの例を示す。図5における左側モニタは、通常のオペレーティングシステムが表示されているのを示しており、スクリーンの大部分がランダム画素26として描画されている。表示されているコンテンツは、(図2に示されているような)リモートサーバによって暗号化されており、各画素は、暗号解読されるまでランダムデータとして現われる。図5の右側のモニタは、適切な鍵を有するDVGが設置されているときの出力を示している。DVGは、オンザフライ(on the fly)で暗号化されたコンテンツ22を暗号解読して、それを表示のために出力することができる。またDVGは、残りの暗号化されていない画素を、任意の方法22’、通常は、ランダム化、ブラックアウト、グレー表示(greying out)することによって、修正することもできる。図5の例において、残りの画素はグレー表示されている。DVGが、信頼済みコンテンツの暗号解読と出力に成功すると、信頼済みステータス標識が状態を変更し、この例では、オフからオンへ、すなわち消灯から点灯へと変化する。
図2は、信頼済みリモートサーバ20がデジタルコンテンツ22を生成し(この例では、ドキュメントの1ページ)、そのコンテンツを暗号化24して、暗号化されたコンテンツ26(これは、任意好適な手段18を使用して、ユーザのコンピュータに送信され、DVGを使用することなく表示された場合には、26に示す形態を有する)を生成する場合の、DVGの使用を示している。暗号化されたデジタルコンテンツ26、26’、26’’および26’’’(便宜的に複数スクリーンショットとして示されている)は、未信頼のデジタルコミュニケーションインフラストラクチャ18を使用して、未信頼のクライアントコンピュータ17に送信される。DVGを使用しなければ、表示された暗号化されたコンテンツのいずれもが、未信頼のクライアントコンピュータ17上のビデオディスプレイおよび付随するスクリーン(モニタ)12(図1を参照)上にランダム画素として描画される。適切な暗号鍵を与えられたDVG10が、未信頼のクライアントコンピュータ17とクライアントモニタ12の間に位置する場合には、元のコンテンツ22を暗号解読して、表示することができる。
図3aは、図1のDVG10のハードウェアバージョン38の例を示している。この表示された物理的筐体は一態様にすぎず、筐体の物理的寸法は、単に、様々な内部的に位置するコンポーネントおよび/または入力コネクタおよび出力コネクタの寸法および構成と関係するものである。DVGの物理的構成は、好適なコネクタを備えるケーブルおよび、コネクタの入力ピンおよび出力ピンの間に位置するインラインDVGデバイスから、図3aに示すタイプの場合まで範囲が広がると考えられ、またそのようなデバイスを、コンピュータ、ルータ、または計算設備の周辺装置として作用する任意のデバイスの場合のように、別のデバイスの内部に備えることも可能である。図3bは、図3aのDVGデバイスの例を示し、特に、信頼済みステータス表示装置、この例においては、発光ダイオード(LED)40を示しているが、これは代替的にランプとするか、または許容できる方法でDVG10と関連させた、その他任意のタイプの可視光発生装置とすることもできる。
図4aは、DVGの例示的な物理態様を示し、デジタルビデオデータ入力42、デジタルビデオ出力44、(この例においては、オフ状態およびオン状態を有する)信頼済みステータス標識40、および暗号式スマートカードインターフェイス46を示している。デジタルビデオソースは、未信頼の入力であり、通常、未信頼の計算装置から接続される。暗号式スマートカードインターフェイスは、本明細書の全体を通して詳述する暗号機能に対するサービスを提供するのに使用される。信頼済みステータス標識はLEDであり、これは、DVGが、その出力デジタルビデオポートから信頼済みコンテンツを出力しているときに点灯され、通常このポートはデジタルビデオディスプレイ装置に接続されている。
図4bはDVGのより複雑な例示態様を示し、この場合には、USB上流ポート48およびUSB下流ポート50がDVG10に接続されている。下流ポートは、ポインティングデバイス、キーボード、および大容量記憶装置などの、USBデバイスをDVGに取り付けることを可能にする。DVGは、これらのデバイスと、それらの入力および出力を直接的に使用して、直接的にインターフェイスでつなぐか、またはそれらの通信を暗号化して、それらをUSB上流ポート介して未信頼の計算インフラストラクチャに流すことができる。このトンネル型USB通信は、未信頼のインフラストアクチャ上で、適当な信頼済みリモートサーバに伝送することができる。
図4aおよび図4bの態様において、信頼済みステータス標識、スマートカードインターフェイス、およびデジタルビデオ出力と共に、DVGデジタル処理ロジック(図示せず)は、すべて信頼される必要がある。
図7aは、DVG10の一態様のブロック図を示す。この態様において、DVGは、デジタルビデオストリーム41をデジタルビデオデータ入力41を介して画素フォーマットに変換することのできるデジタルビデオ受信機52、画素操作を実行するためのデジタル処理ロジック54などの処理のための信頼済みデジタルプロセッサ、信頼済みステータス標識、およびデジタルビデオストリーム出力43を信頼済みデジタルビデオ出力44を介して、出力することのできる、デジタルビデオ送信機56を内蔵する。図7aはまた、DVGの一態様のブロック図を示し、このDVGは、やはり低レベルPHYチップ(PHYsical-layer chip)(58および60)を内蔵して、(ポインタまたはキーボードなどの)周辺デバイスの接続を可能として(送信専用または受信専用である、汎用周辺相互接続出力および入力の具体例であるが、そのようなデバイスは通常、双方向周辺相互接続ポートとして設定される)、DVGによる使用を可能にしたり、任意選択で消費または修正することを可能にする。暗号化によって保護される場合もある修正された周辺データは、未信頼のクライアントコンピュータ17の周辺相互接続ポートを介して送り、未信頼のインフラストラクチャ18上で、リモート式のトラステッド・サーバ19へと経由させてもよい。図7bは、必要に応じて暗号プリミティブが実装される、暗号式スマートカードインターフェイス46を含む。
一例において、DVGハードウェアのグラフィクスおよび暗号ブロック54はXilinx VirtexII FPGAである。DVI TMDS信号41を受信するときには、これらの信号は、好ましい配設においては、Texas Instruments社のTFP401AおよびTFP410集積回路を使用して、受信52および送信56される。
このハードウェアのブロック図が図8aに示されており、この場合には、DVI受信機はTFP401Aであり、DVI送信機はTFP410である。これらのすべての回路は、単一の特定用途向けIC(ASIC)によって置き換え可能である。図8bは、この構成に対して暗号式スマートカードをインターフェイスでつなぐことのできる方法を示している。
図8cに示されている、DVGデバイスの別の例においては、ヒューマンインターフェイスデバイスからの入力を利用して、FPGAは別個のUSB PHYチップ(58および60)(PHYsical-layer chips)を接続して、USB規格バージョン1.1に準拠させることができる。特殊目的接続(例えば、キーボード、マウス)の数および種類は、所望の設計基準の関数である。この例示的態様におけるFPGAは、USBハブ機能を実装して、USBデータ上に暗号化プリミティブを実装する(例えば、キーストロークおよびマウス運動を、ポート49および51にそれぞれ関連するデータストリーム41および51とする)必要に応じて、USB信号化方式を復号し、次いで再生することを可能にする。
図8cの態様、すなわち図9aに示すようなFPGAの主構成要素において、これらの構成要素は、暗号式画素エンジン62および暗号化USBハブ(図9c)を含む。暗号式画素エンジン62は、2つの入力64および66を有し、これらの両方が、それぞれスイッチ68および70によって別個に入力切替される。スイッチ68および70の制御は、例えば、FPGAおよび/またはCPU78(図8c)などの信頼済みデジタルプロセッサによって信頼済み方法で、入力(画素データ41およびUSB信号49)がFPGAに誘導されるときに行われる。図9bは、グラフィック/暗号ブロックとしての信頼済みデジタルプロセッサFPGA54を示しており、このグラフィック/暗号ブロックは、図8cに関係して上述したようにDVI TDMS送信機56に画素データを出力し、それと同時に、その出力が、この態様において必要とされる真実性を有するか(すなわち信頼可能であるか)どうかを表示し、信号40’(図9a)によって信頼済みLED標識40を点灯させる前に、画素データ、この例においてはそれが受信されるときに各画素データ、を試験し、必要に応じて、そのデータを暗号解読65、修正/生成63、または通過67させる。
同様に、図9cに示すように、ヒューマンインターフェイスデバイスなどのUSB周辺機器からの入力(データストリーム53)が傍受され、解釈されて、次いで、消費、修正、または暗号化されて、未信頼の計算装置17へと送信47される。鍵管理が、図9bおよび9cに示されており、これは許可されたユーザまたはソフトウェア機能が、データを解読および暗号化にするのに使用される暗号鍵を変更する可能性に関係する。そのような変更は、アドホック(ad hoc)とするか、または2つ以上の信頼済みアプリケーションサーバとのDVIの対話などの、所定の環境によって変更してもよい。
その最少構成において、DVGハードウェアおよびソフトウェアは、非常に単純であり、適当な信頼レベルを有する、一組の限定された動作を実行する。
DVGは、それが受信する任意の画素データを表示または修正することを随意に選択してスクリーンの部分を操作することが可能であり、その結果として、DVG生成画素データを使用して表示が作成され、例として、ブラックアウト表示、グレー表示、暗号解読された画素データ、または受信した状態で表示された画素データが挙げられる。すべては、信頼済みコンテンツ、修正された未信頼のコンテンツ、およびDVG生成コンテンツの混合物を含む表示が得られることになる。アプリケーションによっては、すべての未信頼のデータがDVGによってブラックアウトされ(すなわち、DVGがデジタルビデオストリームからのデータを完全に除去し)、信頼済みコンテンツだけがディスプレイ上に描画されて残ることもある。
DVGハードウェアは、ディスプレイ上に描画される信頼済みビデオコンテンツを生成することができる。このコンテンツは、マウスまたはキーボードからのデータ入力、デジタルビデオコンテンツ内部からのメタデータ、または純粋にDVG生成のコンテンツ(例えば、暗号プロトコルに使用するために表示されたランダム数(ナンス(nonce)))に基づくものにすることができる。次いでDVGは、デジタルデータコンテンツがディスプレイに送信されると、既存の(受信された)コンテンツに重ね合わせるか、またはそれを置き換える。
一例においては、ビデオコンテンツを受信すると、DVGは、そのコンテンツの信頼済み部分を暗号解読して、信頼済みデータを示していない、ディスプレイの残部を操作する。信頼済みコンテンツの暗号解読と出力に成功すると、DVGは、LEDを点灯させて、描画された表示における信頼を、信頼済み標識ステータスとして表示する。DVGを備える、およびDVGを備えないディスプレイ上に出力されている、暗号化されたビデオ信号からの結果が、図5に示されている。信頼済みコンテンツがないときには、DVGは、未信頼のコンピュータから供給されたコンテンツを表示し、信頼済みLEDが消灯されて、その未信頼の標識ステータスとなる。
コマンドおよび制御
暗号化されたコンテンツの生成は、クライアント/ユーザシステム上にそれが表示されるときに忠実に再生されることになる、既知のビットマップを作成することによって行うことができる。コンテンツ生成の一例が図10aに示されており、これによれば、元の画像(例えば、house.bmp22)が、同一の解像度の暗号化画像26(図10b)を作成する既知の暗号鍵およびアルゴリズムの下で、画素対画素で暗号化される。通常のディスプレイ(すなわち、未信頼のコンピュータのディスプレイ出力とディスプレイデバイスの間に物理的に位置するDVGを備えないディスプレイ)上で見ると、このビットマップは、ランダム画素データ26として描画され、信頼済みコンテンツを認識して、暗号解読し、必要な場合には画像22を描画するために、それぞれのDVGが必要である。図10bは、どのようにしてこのコンテンツを、DVGを通過させられるときに、暗号解読して、DVGから元のコンテンツ22を出力し、それを、信頼済み方法でデジタルビデオディスプレイ上に表示し、その表示が、信頼済み暗号解読されたデータ22に加えて、グレー表示された暗号化されていなかったデータである、その他の表示データ22’も示すこと知らせることができるかを示している。 またDVGは、暗号方式で署名されたビデオコンテンツにも使用することが可能であり、その場合には、コンテンツは任意のディスプレイデバイスに表示されるが、適切な鍵を有するDVGが設置されていると、表示されたコンテンツの完全性が保証され、信頼済みステータス標識によって表示することができる。
信頼済みコンテンツを識別すること、および信頼済み領域をフレーミング(framing)することを、帯域内通信を利用することによって支援することができる。ビットマップ内の個々の画素を使用して、DVGに情報を伝えて、フレーミング、解像度、ビデオコンテンツソース、その他を表示することができる。この情報を暗号解読し認識すると、DVGは、代わりに空画素データ、通常は黒またはグレーの画素を出力することができるが、先述のように、この出力はDVG生成コンテンツとすることが可能であり、これは、判読不能/読取り不能/理解不能/暗号化/視認不能であるか、または当業者には知られている任意適当な方法で修正、作成される。信頼済みアプリケーションサーバ19からDVGと通信するその他の方法としては、表示コンテンツの色空間または解像度を縮小するものがある。これらの通信方法もまた、DVGに使用される暗号法を可能にするのに使用することができる。個々の暗号法および鍵交換は、それが必要な場合には、選択の問題であり、当業者が容易に入手できるものである。
DVGは、新しい画素コンテンツを生成して、任意の受信帯域内情報を、信頼済み方法でユーザに対して表示させることができる。DVGは、この情報を信頼済みコンテンツに重ね合わせるか、またはそれをディスプレイの別の部分に描画する。DVGの信頼済みLEDがオンのときには、グレー表示、ブラックアウト、またはその他の方法で変更されていない画素はすべて信頼できる。普通は、DVGに配信された信頼済みコンテンツだけがユーザに表示されるが、DVGはまた、コンテンツのソースまたは等級などの情報も、ディスプレイのどの場所にでも、それをコンテンツに重ね合わせてでも表示することができる。この場合には、DVGハードウェアが、表示されるコンテンツを生成する。
DVGのコンテンツを生成する能力を、鍵適用(keying)機構に使用することができ、その場合には、DVGはランダム数を生成して、それをディスプレイ上に描画することができる。次いで、ユーザは、認証または鍵適用目的でこのランダム数を認知または使用することができ、このことは、バンキングまたは類似のアプリケーションにおいて、ユーザの識別を確立するため、また鍵管理プロセスを支援するためにも有用である。
ソースにおいて暗号化しようとするデジタルコンテンツは、ビデオ情報に限定されない。図11aは、20画素×16画素、24ビット解像度画像74に変換することのできる、960バイトテキスト文書72の例を示している。この画像は、前述したのと同様にして、暗号化して、DVGを通してディスプレイ76用とすることができる。図11bは、DVGがそのような暗号化された画像76を受信しているのを示しており、この例において、DVGは、画素データを暗号解読して、次いで、画像から元のテキスト文書72を抽出することが必要とされる。抽出が行われると、DVGは、元のテキスト文書72を再生して、デジタルビデオディスプレイ上での表示に適した、信頼済みビデオ出力中にそれを描画することができる。この動作には、より複雑なデジタル処理ロジックがDVG内にあって、場合によっては、図8cに示したような中央処理ユニット(CPU)またはグラフィックアクセラレータチップなどのアイテムを含むことが必要となる。
同様の帯域内通信方法はまた、複数コンテンツストリームをDVGに配信することもできる。それには、複数ビデオストリーム(デジタルデータストリーム)、用途特定コード(例えば、DVGが解釈して、それに対して作用できるHTML)、または制御ストリーム(例えば、DVGのためのファームウェアップデート)を含むことがある。このデータの多重化は、使用可能な帯域幅を利用することによっても可能であり、例えば、複数ビデオストリームを、色空間において圧縮または縮小することができる。図12aは、この複数コンテンツストリームの多重化を示しており、これによれば、3つの別個の640×480解像度、8ビット画像(またはストリーム)80、82および84が結合86されて、640×480解像度、24ビット単一画像(またはストリーム)88になる。結合されると、その単一画像(またはストリーム)が、ファイルに暗号化90され、このファイルは、適当な暗号解読なしては、92にように表示され、未信頼のインフラストラクチャを越えて、DVGによる表示が可能な状態で、移送されることができる。図12bは、DVGが、この画像88を暗号解読90’し、次いで、例えばCPU78(図8c)におけるデジタル処理ロジックを使用して、複数画像80、82および84を、デジタルビデオディスプレイ12上に表示するための信頼済みビデオ出力に出力する前に、それらを好適に分離するのを示している。
この多重化された信頼済みデータストリームの流れは、場合によっては異なるソースから来て、異なる暗号鍵を使用して暗号化される可能性があり、これによってDVGは、様々な異なるセキュリティアプリケーションを実装して実行させることが可能になる。例えば、DVGは画素データ内に符号化されたセキュリティ等級(security classification)を受信して、次いで、DVGは画像を作成して、このセキュリティ等級をディスプレイ上に描画することができる。すなわち、信頼済みDVGは、表示されたデータが信頼されており、暗号解読されるか、またはDVGによって生成されていることを示す。図13aは、16ビット、640×480解像度画像94があるHTMLと結合86されて、24ビット、640×480解像度画像96を形成するのを示している。
次いで、結合された画像98が、ファイルに暗号化90されて、このファイルは、適当な暗号解読なしでは100のように表示され、DVG用に準備される。図13bは、DVGが暗号化された結合画像100を受信するのを示している。この画像100を暗号解読90’すると、DVGは元の画像94を抽出して、表示することができる。DVGは、その他の情報を解釈することもできる。この例においては、余分の情報は、DVGに、特定の等級で出力をマークアップすることを示す、あるHTML96である。図13bの例において、DVGはテキスト、「RESTRICTED」96’をディスプレイに出力し、表示データのセキュリティ等級を示す。DVGは、このテキストを元の画像に重ね合わせるか、またはこの例の場合のように、ディスプレイのどこか別の部分にそれを描画することができる。この例においては、その他すべての未信頼のコンテンツがグレー表示されている。
マウスおよびキーストローク情報
カーソル制御装置(マウス)、キーボード、および/またはバイオメトリック装置などの、ヒューマン・ツー・コンピュータインターフェイス装置、および入力周辺装置一般は、ユーザ入力情報の守秘性を確保し、アプリケーションの完全性を保証するために、保護する必要がある。簡単なカーソル保護は、本発明の先の態様において説明したような、表示された信頼済み画像との対話を通して得ることができる。
DVGのさらなる観点は、これらの入力装置の暗号化を提供する。これは、FPGA内部のUSBハブ機能を利用して、インラインで達成される、本明細書における非限定の例として、マウスおよびキーボード入力を、それが、クライアントPCに対する問題を生じないか、またはDVGアプリケーションに干渉することのないドメイン上にマッピングされるように、暗号化することができる。キーストロークを安全化することの必要性は、特に、銀行口座および関連するパスワード、電子メイルおよびワードプロセシングなどのアプリケーションに対しては自明のことであるが、マウス情報を安全化することも同等に重要であり得る。賢明な構成選択としては、例えば、ロールアップキーボードまたはプロジェクタ型などの、単一の既知のキーボードをいつでも使用することがある。マウスなどのカーソル制御装置に関しては、そのような装置が危険にさらされる確率は低く、ユーザのセキュリティを危険にさらように生成されるデータを操作することも少ない。
このカーソル悪用に対する可能な1つの保護対策は、DVGがカーソルアイコンを安全なディスプレイ中に局所的に混合することによって、すべてのカーソル制御装置(マウス)位置情報の流れを停止させることである。信頼済みカーソル位置は、一例においては、暗号化されたキーボードトラフィック内にそれを多重化することによってリモートアプリケーションに伝送することができる。ディスプレイ上にスプーフィングされたカーソル場所を描画する試みは、DVGに送信された暗号データを混乱させることになり、このために、ディスプレイの署名された部分がスプーフィングされたカーソル表示によって危険にさらされるときに、信頼済みLEDは消灯する。ユーザにとって明白な第2のアーチファクトは、ディスプレイの暗号化がスプーフィングされたカーソルによって破られるときに、信頼済みディスプレイ、またはその部分が失われることである。
DVG10(図14)は、マウス16およびキーボード14データを防護し、任意選択で、データがローカルな未信頼のクライアントコンピュータ17へと通過49される前に、データを試験、暗号化および消費する。暗号化されたキーボードおよびマウスデータ49は、未信頼のネットワーク/インターネット19を経由して、リモート式の信頼済みサーバ19に転送されて、そこでデータが暗号解読24’される。未信頼のクライアントコンピュータとの通信は、マウスおよびキーボードデータ内で、または帯域外USBチャネルを利用して、帯域内とすることができる。DVGは、この暗号化されたUSBチャネルを、リモートサーバとの設定および構成メッセージングに使用することができる。
アプリケーションアーキテクチャ
DVGは、安全なアプリケーションアーキテクチャ、特に、ユーザがリモートサーバと対話するものの開発を可能にする。好ましい態様においては、DVGは、信頼済みリモートサーバと対話する。代表的なアプリケーションアーキテクチャが図1に示されている。ここで、信頼済みアプリケーションサーバは、未信頼のネットワークを経由してアクセス可能である。リモートユーザは、この信頼済みアプリケーションサーバに、未信頼のネットワークを経由し、かつDVGを追加した未信頼のクライアントコンピュータを経由して、アクセスする。
特定のアプリケーションを安全化する、DVGのさらに別の例示的構成を、本明細書において説明する。第1の例は、ウエブサイトからのコンテンツの配信を安全化することをねらいとし、マウスまたはキーボードを安全化する必要性のない、軽量アプリケーションである。第2の例は、リモートサーバと安全に対話するための能力を向上させるために、キーボードおよびマウスの暗号化を追加する。
安全ウェブサイト対話
一例示シナリオにおいては、ユーザは、信頼済みバンキングウエブサーバと対話し、このウエブサーバはDVGを使用して、接続を安全化し、ネットワークインフラストラクチャまたはクライアント側計算施設における信頼を必要とすることなく、DVGにだけ信頼を必要とする。図14は、このアプリケーションアーキテクチャを示し、これによると、信頼済みリモートバンキングウエブサーバは、ファイアウォール/プロキシの背後で動作し、ユーザはこのファイアウォール/プロキシを経由してバンキングウエブサーバ102と接続する。DVG10は、ユーザ(未信頼の)コンピューティング設備とそのデジタルディスプレイ12の間に使用され、この例においては、DVGは、バンク発行スマートカード(図示せず)を使用して鍵応用されているが、DVGは図4b、7b、8bおよび8cに示されているものとは異なる。
この例示シナリオにおいては、ユーザは、図15aに示すように、自分のオンラインバンキングウエブサイトにブラウジングして、同一のスクリーンが、DVGあり、およびなしで表示される。固有の口座識別子を入力すると、そのオンラインバンキングウエブサイト図15bからログイン・スクリーンが要求されて、再び、同一のスクリーンが、DVGあり、またはなしで表示される。この段階で、バンキングウエブサーバは、ログイン・スクリーンを、画素対画素で暗号化し、そのスクリーンをユーザに提示する。DVGなしでは、ユーザには、図15cに示すように、そのブラウザにランダム画素画像が表示される。DVGがインラインであると、ログイン・スクリーンは、実時間で暗号解読されて、図15dのようにユーザに提示され、ディスプレイの残部はグレー表示され、信頼LEDが点灯される。この例示シナリオにおいて、ランダム化されたキーパッドが、ログイン・スクリーンに対して使用され、桁選択の間にスクランブルされる。
図15e〜図15hは、PIN入力と連続的にスクランブリングされるオンスクリーン・ログイン・キーパッドを示す。このオンスクリーン・キーパッドは、DVGまたはリモートサーバによって生成することができる(この態様においては、ランダム化されたキーパッドが、リモートサーバによって生成される)。ユーザがそのPINを介して認証されると、オンスクリーン・キーパッドを経由して入力するときに、リモートサーバは、マウス位置クリックと、マウスクリック間にランダム化されているオンスクリーン・キーバッドとを相関させて、ユーザの口座情報が示される。DVGを設置しない場合には、口座情報は、ランダム画素データとして表示され、適当な暗号鍵なしでは回復することができず、DVGなしのユーザのスクリーンが図15iに示されている。図15jは、適切な鍵を有するDVGが設置されるときのスクリーン上の出力を示す。
この特定のアプリケーションに対して、DVG構成の範囲は、消費者インターネットバンキングなどのコストに敏感な市場に加えて、ビジネスまたは金融市場アプリケーションなどの、ハイエンドセキュリティに敏感な市場をターゲットにしていると考えられる。商業環境における安全ウエブサイト対話を実装するための、2つの特定のDVGシステム構成について、以下に説明する。
・DVI受信器およびDVI送信機およびFPGAが、ASICで置換された状態で、図8aに全体的に示されるように、スマートカードリーダを備える特定用途向け集積回路(ASIC)、DVI入力およびDVI出力からなるDVG。この構成は、図4aに示されたのと同様の外部インターフェイスを有することになる。
・DVI受信器、DVI送信機、USB PHYチップ、CPUおよびFPGAが、ASICで置換された状態で、図7cに概略が示されるように、ASICおよび埋め込み型CPU、スマートカードリーダ、DVI入力、DVI出力、およびUDBスイッチングハブからなるDVG。この構成は、図4bに示されるのと同様の外部インターフェイスを有することになる。
図8aおよび4aに示された第1の構成において、リモートアプリケーションのディスプレイは、信頼済みアプリケーションサーバからDVGまで、端末相互間で保護されている。鍵応用は、図14に示されるように、ユーザのスマートカードによってサポートされて、図4aおよび図8aに示されたインターフェイスを介してアクセスされ、このスマートカードは、私有鍵および公開鍵を保持して、(信頼ずみアプリケーションサーバであり得る)リモートアプリケーションサーバが、ユーザに対する暗号化されたセッション鍵を含む、署名入り証明書を送ることを可能にするものであり、代表的には銀行発行のスマートカードである。マウスおよびキーボード情報は、この設備においては保護されないが、PINおよびその他の類似の情報を保護することは、連続的かつランダムにスクランブルされたキーパッドを使用して、ユーザがマウスクリックによって情報を入力することによって可能である。この機構は、インターネットバンキングウエブサイトシナリオに対して、図15e〜hに示すように、前述の例によって説明されている。ディスプレイはDVGによって保護されており、キーパッド順は、連続的にスクランブリングされるので、情報は保護される。この方法は、少数のPINを保護するためには十分である。これは、ユーザが大量の情報を入力することが必要であれば、すぐに非実用的になる。さらに、リモートアプリケーションのメニューシステムおよび制御ボタンが、同様にランダム化されていなければ、脅威が存在し、これによれば、攻撃者が保護されていないチャネルにマウスおよびキーストローク情報を注入する可能性がある。
第2の構成は、DVGのセキュリティと性能をかなり増大させる。次いで、キーストロークおよびマウス情報が、USB周辺装置からDVGへ直接的に送られて、DVGによって暗号化されることが可能である。USBチャネルを使用して、完全ステーション間鍵調停を行うことができる。重要なことは、この構成の性能は、低コストDVG構成に対してかなり改善され得ることである。圧縮、暗号化、部分更新、およびウィンドウイングのプロトコルはすべて、埋め込み型CPUの増大した処理パワーによって可能である。この改善の結果として、安全ウエブサイトは、ユーザ入力情報を保護して、アプリケーションの性能を向上させ、それを、影響を受けやすい高い金融取引、およびテキスト処理が関係するウエブメイルに対して好適なものにする。
デジタルビデオディスプレイ装置上での信頼可能および信頼不能なデータの表示を制御するために使用することのできる、信頼済みデジタルデータ防護方法は、次のステップを含む。デジタルビデオデータ入力において、信頼不能なデジタルデータおよび帯域内の信頼可能なデジタルデータを受信するステップ。信頼済みデジタルビデオ出力が、デジタルビデオデータをビデオディスプレイ装置に出力するステップ。デジタルビデオデータ入力、信頼済みデジタルビデオ出力、および信頼済み状態標識に動作可能に接続された、信頼済みデジタルプロセッサで、帯域内デジタルデータを処理して信頼可能および信頼不能なデジタルデータを識別するように処理する、処理ステップ。この処理にはまた、信頼不能なデジタルデータを信頼済みビデオ出力に誘導すること、および/または信頼可能なデジタルデータを信頼済みデジタルビデオ出力に誘導すること、ならびに少なくとも1つの信頼済み状態標識の1つのステータスを信頼済み標識状態に制御するステップを含む。
安全なリモートアプリケーション配信
DVGの別の態様は、図16に示すように、安全リモートアプリケーション配信(SRAD:Secure Remote Application Delivery)である。この態様においては、リモート式の信頼済みサーバ104は、安全なリモート環境において、計算アプリケーションを実行する。これらのアプリケーションは、ファイアウォール/プロキシ106を経由して、信頼済みサーバ104にアクセスが可能である。アプリケーション(ビデオ)からの出力108は、DVGによって保護されて、アプリケーションへの入力110(例えば、マウス、キーボード信号53)も、USBチャネル49上の暗号プリミティブを使用するDVGによって保護されている。
この態様は、DVG10を使用して、安全なシンクライアント(thin client)解決策を提供する。これは、未信頼のネットワーク18およびクライアントコンピュータ17を経由して、信頼済みリモートサーバ104上のアプリケーションに安全にアクセスする汎用的な方法を提供する。このアーキテクチャは、信頼済みリモートサーバ104上のサーバ側アプリケーションの使用を必要とするが、しかしクライアントマシン上では未信頼のビュアーアプリケーションだけの使用を必要とする。
アプリケーション層プロトコルを使用して、信頼済みリモートサーバからの暗号化されたスクリーンバッファ、クライアントからの暗号化されたキーボードおよびマウスデータ、およびその他の信号化方式情報を保持する。このネットワークトラフィックは、暗号化トンネル内でのカプセル化、例えばIPSecまたはSSHによって転送中に保護される。これは、DVG用に準備されDVGよって生成される、暗号化によって暗示的に保護されている。
サーバ側アプリケーションは、クライアントのためにサーバ上でアプリケーションを実行する役割を負っている。それは、クライアントからTCP接続を受け付けて、SRADセッションを確立する。SRADセッションの間、クライアントからのDVG暗号化されたキーボードおよびマウスイベントが暗号解読され、サーバ上で実行される。同時に、サーバは、ローカルデスクトップのスクリーンキャプチャを行い、それから暗号化スクリーンバッファの形態で暗号化されたビデオストリームを生成して、それがクライアントに送出される。
クライアント側GUIアプリケーションは、サーバからのリモートデスクトップを表示し、マウスおよびキーボードイベントをサーバに送り返す。マウスおよびキーボードデータは、クライアントアプリケーションに到着する前に、DVGのインラインUSBハブを通過するときに暗号化される。暗号化されたスクリーンバッファは、クライアントアプリケーションに受信されて表示され、それらがデジタルディスプレイへとDVGを通過するときに暗号解読される。クライアントアプリケーションは、いかなる暗号解読されたデータにも露出されていないので、その完全性において信頼が欠如する必然性はない。
信頼済みサーバから、コンピュータ装置に付随するビデオディスプレイ装置への信頼済みビデオデータの、未信頼のデジタルデータネットワーク上での配信に対するデジタルデータセキュリティ方法は、以下のステップを含む。信頼済みサーバに動作可能に接続されたデジタルビデオ装置内で、信頼済みサーバからの、受信した信頼済みビデオコンテンツを処理し、信頼済みビデオデータを所定のファイルフォーマットでカプセル化するステップ。カプセル化された信頼済みビデオコンテンツを、未信頼のデジタルネットワーク上で、ビデオディスプレイ装置に付随するコンピュータ装置に転送するステップ、およびデジタルビデオガード内で、デジタルビデオディスプレイ装置上での信頼可能および信頼不能なデータの表示を制御する処理ステップであって以下のステップを含む:デジタルビデオデータ入力において、信頼不能なデジタルデータおよび帯域内の信頼可能なデジタルデータを受信するステップ;デジタルビデオデータ入力、信頼済みデジタルビデオ出力および信頼済みステータス標識に動作可能に接続された信頼済みデジタルプロセッサで、帯域内デジタルデータを処理して、信頼可能および信頼不能なデジタルデータを識別する処理ステップ、および信頼不能なデジタルデータを信頼済みデジタルビデオ出力に誘導し、かつ/または信頼可能なデジタルデータを信頼済みデジタルビデオ出力に誘導するステップ、および少なくとも1つの信頼済みステータス標識の1つのステータスを信頼済み標識状態に制御するステップ。本発明の一観点における最終ステップは、信頼済みデジタルビデオ出力において、デジタルビデオデータをビデオディスプレイ装置に出力するステップである。
図17aは、実行中のSRADアプリケーションを示し、図17bは、信頼済みリモートサーバとの接続を開始している、SRADアプリケーションを示す。
これらの2つの出力は、DVGが設置されているか、いないかにかかわらず、同じものを表示することになる。リモートサーバへの接続が確立されると、リモートアプリケーションセッションを開始することができる。DVGが設置されていないと、アプリケーションは、図17cに示すように、ランダム画素データとして描画する。適切な鍵を有するDVGが設置されていると、リモートアプリケーションは、表示がされて、それと対話することが可能である。図17d〜17fは、DVGを使用する、リモートアプリケーションとの対話を示す。この例においては、表示されたものの未信頼の部分はグレー表示されており、信頼済みリモートアプリケーションだけが残されている。この例においては、マイクロソフトのリモートデスクトップ(Microsoft's Remote Desktop)またはVNCアプリケーションによって提供される機能と同様に、セッション全体がリモートで制御可能であった。
最少の修正によって、SRADを利用してトンネルを提供することが可能であって、このとネルを介して、ユーザは、未信頼のまたはより低い等級のマシンから、より高い等級またはより影響を受けやすいネットワークと対話することができる。暗号化されたマウスおよびキーボード情報を、より影響を受けやすいネットワークに送り出し、暗号化されたスクリーン画像を、認可された暗号化装置を介してリリースすることができる。さらに、影響を受けやすいネットワークからの切断は、暗号化スクリーン画像を生成する相補的ハードウェアを使用して達成可能であり、このハードウエアは、以下により詳細に記述する、デジタルビデオ・エンクリプタ(Digital Video Encryptor)についてより詳細に考察するときに、本明細書に記載されるものと類似のものである。
SRADアプリケーションにおいてDVGを利用するための帯域幅要件は、重大である。SRADに対する帯域幅要件を克服するための選択肢としては次のものがある:
・色空間縮小:スクリーンキャプチャの色空間縮小表現を送出。DVGは、各フレームを記憶して、それがディスプレイに送出されるときに拡張することができる。
・知的ローカル処理:DVGがXクライアントとして機能して、ネットワークトラフィックの帯域内信号化のためにDVIを利用することを可能にする。
・圧縮:色空間縮小と同様に、DVGは、画素データがディスプレイに送出される前に、それを解読、記憶、および圧縮解除することができる。
・部分更新:スクリーンキャプチャを小区分(タイル)に分割し、暗号化して、別個にDVGに送出。スクリーンが変化すると、変化したタイルだけを送出。
色空間縮小、部分更新、および圧縮を単独で行っても、SRADアプリケーションの性能は実質的に改善され、大規模クラスのアプリケーションのインターネット配信が可能になる。色空間縮小、部分更新、および圧縮は、DVGに対する複雑性および、その結果として信頼評価要件を実質的に変えることなく、すべてシリコン中に実装することができる。
SRADアプリケーションはまた、ウエブ・ブラウザ・プラグイン(例えば、ActiveX)、Javaアプレット、またはFlashアプリケーションとして実装して配備することも可能である。ウエブページ内に埋め込まれた全特権を授与された(したがって、TCPソケットを介してサーバと通信することのできる)アプリケーションとして本質的に機能することによって、この手法は、先に述べたテキスト入力問題を回避する。キーボードおよびマウスイベントは、それらがDVGのUSBハブを通過する限りは、スタンドアローンSRADアプリケーションと同じ方法で、同様に保護されることになる。
簡略SRADタイプのアプリケーションは、DVGに接続することのできるUSBサムドライブ(thumb drive)への安全に暗号化されたコンテンツのリモート式の信頼済み配信を行うことができる。
暗号保護およびセッション鍵調停
コンテンツストリームの暗号保護について考えるときに、取り上げるべき2つの場合がある。これらの2つの場合とは、2つの全体システム構成に対応しており、次のように要約される。
・図4bおよび7bに示されるような、信頼済みバックチャネルを備えるDVG。
・図4aおよび8aに示されるような、信頼済みバックチャネルを備えないDVG。
暗号化セッションをサポートするバックチャネルを備えるDVGに対して、セッション調停のために双方向通信を利用する、任意の形態の商用または軍用の最良実用暗号法を使用することができる。この場合に、バックチャネルは、USB接続を越えてトンネル化され、未信頼のクライアントマシン上に常駐するクライアント側プロキシによってサーバに転送される。暗号化プロトコルの簡単なインスタンス作成は、セッション鍵調停のための公開鍵暗号法、およびセッションを安全化するためのAES(Advanced Encryption Standard)対称暗号法とすることができる。このシナリオのために、2つの公開鍵証明書を、DVGにインストールしてもよく、1つはセッション鍵を駆動するのに使用し、1つは証明書を更新するのに使用する。これらの証明書は、スマートカードまたは、DVGに差し込まれるUSBデバイスなどのユーザトークン上に常駐することができる。相互認証を備える、EAP−TLS(Extensible Authentication Protocol-Transport Layer Security)を使用して、セッションを開始して、セッション鍵、およびAEDによって暗号化されたデータストリームを交換することが可能である。
DVGは、いかなる暗号鍵も永久的に記憶する必要はなく、スマートカードが証明書を保持して、それは、リモートホストの識別を検証して、セッション鍵を暗号解読するのに必要な暗号プリミティブを実行することもできる。セッション鍵、または所定時間内の行為が、使用可能である。
信頼済みバックチャネルを備えない第2の構成の方が問題が多い。一方向ストリームを使用するだけで、サーバは、公開鍵暗号法で署名されて暗号化されたセッション鍵をクライアントに送出することができる。これによって、サーバが適当なクライアントの公開鍵を使用してセッション鍵を暗号化できるように、クライアントが最初に自身を識別することが必要となる。しかしながら、これは一方向のデータストリームであるので、サーバは、初期クライアント認証が未信頼のホスト内で必然的に行われるときに、それに頼るか、またはそれを信頼することができず、サーバは再生攻撃(replay attack)に対して脆弱である。クライアントの識別を敵対的にスプーフィングすること、次いで、サーバから配信されたコンテンツを記録することによって信頼済みセッションをキャッシングすることを止めるものがない。確かに、それらは、情報を暗号解読するか、または修正することはできないが、このコンテンツを後になって勝手に再生することができる。
再生問題に対しては多数の可能な解決策がある:
・自己署名証明書に、時間署名を含める。
・DVGに、ナンスを発生させて、これをユーザの支援によってサーバに送出する。第1の解決策は、同期されたリアルタイムクロックをDVGに統合することを伴うことになる。次いで、サーバは、この共有された時間の概念を利用して、時間署名を含めるか、または、必要な鍵を包含する自己署名されて暗号化された証明書内に、有効な時間ウィンドウを指定することができる。再生攻撃は、それでも可能であるが、それらが有効に利用される期間は、サーバとクライアント上の2つのクロックの間のドリフトに依存するとともに、セッション鍵がその間、有効である、サーバによって規定される時間ウィンドウの大きさに依存することになる。なお、DVG上のリアルタイムクロックは、DVGの信頼境界の範囲内に常駐することに留意されたい。サーバから生じる保護されたデータストリームの範囲内で、サーバからクライアントに対して、時間同期させることも可能である。
再生問題の第2の解決策は、クライアント(DVG)がナンスを生成し、これをセッション鍵の新鮮さを保証する鍵調停シーケンスの一部として、サーバに通信するものである。ユーザに未信頼のホスト上で、DVGがユーザにナンスを生成させるように影響を与えることに頼って、これを達成する多数の方法がある。簡単な機構は、DVGがナンスを表示して、ユーザにこのナンスを未信頼のホスト上でタイプさせるものである。別の選択肢は、DVGがキーパッド、または視覚迷路(visual maze)を表示し、ユーザにマウスクリックとマウス移動によってナンスを入力させるものである。これらの例において、DVGは、そのデジタル処理ロジックを使用して、コンテンツを生成し、次いで、図13bの等級分けと同様に、その描画エンジンを使用している。この構成においてマウスとキーボードは安全化されていないので、ナンスも安全化されていない。このことは重要ではなく、それは重要な観点は、DVGがこのナンスを生成しており、次いで、DVGによって決められる特定の時間ウィンドウの範囲内で、このナンスと共に提示されるセッション鍵だけをDVGが認めることになることである。
再生攻撃に対して完全には防護しないが、インターネットバンキングなどのアプリケーションの目的で、それらに対して十分に耐性のある、第3の解決策は、短調に増加するセッション識別子を、ラッピングされたセッション鍵内部に含めることである。このようにして、DVGは、セッション識別子を記録して、再生されているセッションがあればそれを拒絶することができる。
その他のアプリケーション
このアーキテクチャは、その他のシナリオにも有用に応用することができる。信頼済み方法でビデオコンテンツを操作して生成するDVGの能力は、ある計算インフラストラクチャにかかるソフトウエアセキュリティ要件の負荷を軽減して、作業をDVGに分担させるのに使用することができる。以下の例は、DVGが、コンピュータセキュリティアプリケーションをサポートするのに果たすことのできる役割を示している。
セキュリティ・タギング(Security Tagging)
圧縮、色空間縮小、解像度低減、または未使用ディスプレイ領域を使用することによって、DVGに送り出されるデジタルストリームは、表示される一画像を越えて構成することが可能であり、その例が図11〜13に示されている。実際に、それは、互いに多重化された複数のコンテンツストリームで構成してもよい。これによって、多数のビデオストリームに加えて、追加のコンテンツおよびメタデータをDVGに伝送することが可能となる。そのような追加のコンテンツまたはメタデータは、表示情報ための視覚セキュリティコンテキストの生成を容易化することができ、多くのアプリケーションにおいて有用な機能である。
例としては次のものが挙げられる:
・セキュリティ等級を、データが表示されるときにそれに付加することができる。DVGは、信頼済みLEDを点灯させる、色境界を用いて表示コンテンツに注釈を付ける、または図13bに示すように、テキストタグを重ね合わせる、などの手段によって、等級を表わすことができる。
・異なる等級の複数ウィンドウを、それぞれにその指定された等級のタグをつけて、同時に表示することができる。各ウィンドウのコンテンツのソースを異なるリモートネットワークからのものとすることができ、マルチ・レベル・セキュア(MLS)またはマルチプル・インデペンデント・レベル・オフ・セキュリティ(MILS)ソースからのコンテンツの表示を容易化する。これは、図12bおよび図13bの組合せとして示される。
・DVGは、ソース生成のウィンドウデコレーションに、現在のセキュリティレベルを書き取らせることができる。
DVGは、色表示されることになる現在セキュリティコンテキストを除く、全ウィンドウを単色で表示することになる。DVG上の単一の信頼済みLEDが、信頼済み動作を表示し、ソース生成ウィンドウデコレーションは、対話をしているウィンドウの現在のセキュリティレベルを書き取る。
・DVGは、未信頼のビデオ信号の要素を曖昧にして、信号のある部分だけを表示することができる。異なる暗号鍵を使用して、ディスプレイの異なる部分を安全化することができる。
ローカルアプリケーション署名
DVGは、TPM(Trusted Platform Module)を使用して、信頼済みアプリケーションだけが、ディスプレイ上に描画されるコンテンツを生成できることを保証することができる。いずれのアプリケーションも、フレームバッファに書き込むことができるが、DVGが設置されると、ある種のアプリケーションだけが、TPMを使用して、DGVによって検証可能な暗号化コンテンツを生成することができることになる。信頼済みLEDが動作している場合には、ユーザは、表示されたデータは、TPMによって検証された、知られている信頼済みアプリケーションからのものであることを確信できる。信頼済みLEDが動作していない場合には、ユーザは、マルウェアである可能性のある、ある未信頼のアプリケーションがコンテンツを描画してることが分かっている。強制モードにおいて、DVGは、すべての未信頼のコンテンツが表示されるのを防止することもできる。このようなDVGの局所化された使用が図6aに示されている。
デジタルビデオ・エンクリプタ(Digital Video Encryptor)
デジタルビデオ・エンクリプタ(DVE)112は、図18に示すようにDVGを補完する。それは、ユーザがDVG10を使用して見るのに適当なコンテンツをそこから必要とする、信頼済みサーバ114またはリモートコンピュータのDVIポート116に差し込むことのできるセキュリティ周辺装置である。DVE112は、DVI信号118を傍受して、規定のファイルフォーマット(通常、画像ファイル)内にコンテンツをカプセル化する。一例において、DVEは、コンテンツを暗号化して、暗号化されたデジタルコンテンツ120をネットワークインターフェイス上に出力する。未信頼のクライアント17を使用して、このコンテンツを受信して、適当に構成されたDVG10を通してそれを表示することができる。暗号を使用する例において、DVG10によって暗号化されている、キーボードおよびマウスデータ49は、ネットワーク18を介してDVE112に送り返されて、そこで暗号解読される。DVEはUSB接続122を提供し、これは、マウス16およびキーボード14のデータ53を、ラップトップコンピュータのリモート式の信頼済みサーバ114に入力することができる。
DVE/DVG対(図19)は、コンテンツおよびアプリケーション配信に使用することのできる安全なチャネルを提供する。ソフトウェアの修正は、どちらのエンドでも必要がなく、COTS機器を使用する戦略的な配備に対して理想的である。軍事シナリオにおいて、戦場におけるラップトップにDVEを装着することによって、対応するDVGを戦場オフィス、場合よっては、統合本部に容易に設置することもできる。この設備は、ラップトップの安全なリモート動作に加えて、図19に示すように、戦略的通信チャネルを可能にする。暗号を使用する態様において、共通鍵を多数ユーザアプリケーションに対して利用可能にしながら、DVEによって、各通信DVGに対して異なる鍵対が使用されることもある。
DVGデバイスは、未信頼のCOTSインフラストラクチャを使用する、信頼済みコンテンツ配信に対して使用することのできる、チャネルを提供する。DVGは、デジタルディスプレイ上に描画するように意図されるデジタルコンテンツの範囲内の、帯域内暗号法を使用して、このコンテンツ配信を可能にする、簡単な信頼済みデバイスである。双方向通信セキュリティは、マウスおよびキーボードデータに対するUSB防御の導入、または低帯域幅要件に対する信頼済みコンテンツとのユーザ対話を活用することによって達成される。
多くのCOTSシステムは、DVGを迅速に後付けして、対話式リモートアプリケーションに対するセキュリティの向上を達成することができる。本明細書に提示されたアプリケーションは、リモートコンテンツ配信に対して利用可能なセキュリティの改善を表わしている。アプリケーションは、現代の計算システムに直ちに応用可能であり、オンラインの個人秘密情報の管理を安全化するために、便益は広範である。
複数のコンテンツストリーム、帯域内セキュリティ・タギング、およびデジタルビデオ・エンクリプタ(DVE)を使用する、DVGの拡張アプリケーションが可能である。
未信頼のデジタルネットワーク上で信頼済みデジタルビデオデータを供給する、信頼済みサーバを動作可能に接続する、信頼済みデジタルビデオ通信方法は、以下のステップを含む。デジタルビデオデータ入力において、信頼済みサーバから信頼済みデジタルビデオデータを受信するステップ、およびデジタル通信ポートにおいて未信頼のデジタルネットワークにデータを出力するステップ。デジタルビデオデータ入力およびデジタル通信ポートに動作可能に接続された、信頼済みデジタルプロセッサを用いて、信頼済みデジタルビデオデータを所定のファイルフォーマットでカプセル化する処理をし、カプセル化された信頼済みデジタルビデオデータを、デジタル通信ポートから未信頼のデジタルネットワーク上に出力するステップ。
デジタルデータガード(Digital Data Guard)
図20に示されているような、デジタルデータガード(DDG)は、未信頼のネットワーク202を越えて未信頼のコンピュータ204を使用することによって、信頼済みコンテンツサーバ200からのコンテンツを、USBデータ記憶装置などのユーザの周辺データ記憶装置208へと確実に転送する機能を提供するのに使用することができる。そのような転送は、ユーザの周辺データ記憶装置が、未信頼のコンピュータの周辺相互接続入力に接続されている場合、例えば、USBデータ記憶装置が、未信頼のコンピュータのUSBポートに接続されている場合には、信頼することはできない。デジタルデータガード(DDG)はセキュリティ周辺装置であって、未信頼のクライアントコンピュータのDVI出力210に差し込まれる、デジタルビデオガード(DVG)に基づいている。任意選択で、DDGは、図20に示すようにDVGの動作に従って、未信頼のクライアントコンピュータ204のDVI出力210と、DVIディスプレイ212との間に直列型で挿入される。
図21に示すように、一例においては、周辺相互接続ポート220によってユーザがUSB記憶装置などの脱着式記憶装置208をDDGに接続することを可能にするように、DDG206は、周辺相互接続出力214、デジタルビデオ受信機216および関連するデジタル処理ロジック218を有する。DVGと関連して説明した、帯域内デジタルビデオデータコンテンツ配信方法によって、信頼済みコンテンツサーバとDDGとの間に、端末相互間暗号化パスを設定することができる。DDGアプリケーションの一例においては、暗号化データであれ、暗号解読されたデータであれ、デジタルデータが、リモート式の信頼済みコンテンツサーバから送出されて、ユーザの周辺記憶装置に直接、記憶される。そのようなアプリケーションは、介在する未信頼のネットワーク上での安全な移送を必要とするデータを、信頼済みコンテンツサーバからユーザの周辺記憶装置へ直接、送出することを可能にする。等級指定された文書のコピーを必要とするユーザが、安全にその文書を受け取ることができ、次いで、好適に等級指定されたコンピュータ装置上で、その等級指定されたコンピュータ装置を未信頼のコンピュータネットワーク接続する必要なく、その文書を見ることもできる。DDGを使用して、このようにして移送されるデータは、文書、画像、ビデオ、スプレッドシート、暗号化および暗号解読コード、ソフトウェアコード、その他を含む任意のタイプのデータとすることができる。暗号解読または、さらなる非カプセル化またはその他のそのようなセキュリティ関係機能を、DDG上、または必要に応じて、好適に等級指定されたコンピュータ装置において、実行することができる。
カプセルされたデジタルビデオデータ内部に信頼可能なデータを含む、カプセル化されたデジタルビデオデータのソースを周辺データ記憶装置に接続するための、信頼済みデジタルデータ防護方法は、次のステップを含む。デジタルビデオデータ入力上でカプセル化されたデジタルビデオデータを受信するステップ、および少なくとも1つの信頼済み周辺相互接続出力からデータを出力するステップ。次いで、デジタルビデオデータ入力および少なくとも1つの周辺相互接続出力に動作可能に接続された信頼済みデジタルプロセッサを用いて、デジタルビデオデータを脱カプセル化するように処理を行い、信頼可能なデータを抽出して、該信頼可能なデータを前記少なくとも1つの周辺相互接続入力と関連する周辺装置に提供するステップ。
本発明は、その使用において、記載された特定のアプリケーションに限定されるものではないことを当業者は理解するであろう。また、本明細書において説明して示した特定の要素および/または特徴に関して、本発明は、その好ましい実施態様に制約されるものではない。本発明の原理から逸脱することなく、様々な修正を行うことができることが理解されるであろう。したがって、本発明は、そのような修正の全てをその範囲の中に含むものと理解されるべきである。

Claims (34)

  1. デジタルビデオディスプレイ装置上の信頼可能および信頼不能なデジタルディスプレイデータの表示を制御する、信頼済みデジタルディスプレイガードであって、
    a.信頼不能なデジタルデータおよび帯域内信頼可能なデジタルデータを受信するように構成されるデジタルディスプレイデータ入力、
    b.ビデオディスプレイ装置にデジタルビデオを出力するように構成される信頼済みデジタルディスプレイデータ出力、
    c.信頼済み標識状態を示すように構成される信頼済みステータス標識、および
    d.前記デジタルディスプレイデータ入力、前記信頼済みデジタルディスプレイデータ出力および前記信頼済みステータス標識に動作可能に接続された、信頼済みデジタルプロセッサであって、信頼可能および信頼不能なデジタルデータを識別して、
    i)信頼不能なデジタルディスプレイデータ、または
    ii)処理された信頼可能なデジタルデータを信頼可能なデジタルディスプレイデータおよび修正のないまたはいくらか修正のある信頼不能なデジタルディスプレイデータとして誘導するとともに、前記信頼済みステータス標識のステータスを前記信頼済み標識状態に制御するために、帯域内デジタルデータを処理するように構成される、前記信頼済みデジタルプロセッサ
    を含む、前記信頼済みデジタルディスプレイガード。
  2. 信頼済みデジタルプロセッサが、信頼可能な暗号化されたデジタルデータ入力を暗号解読する、請求項1に記載の信頼済みデジタルディスプレイガード。
  3. 信頼済みデジタルプロセッサが、信頼可能なデジタルデータをカプセル化するデジタル署名を検証するように構成される、請求項1に記載の信頼済みデジタルディスプレイガード。
  4. e.入力信号を受信するように構成され、信頼済みデジタルプロセッサに動作可能に接続される少なくとも1つの周辺相互接続入力、および
    f.出力信号を出力するように構成され、信頼済みデジタルプロセッサに動作可能に接続される少なくとも1つの周辺相互接続出力
    をさらに含む、請求項1に記載の信頼済みデジタルディスプレイガード。
  5. 信頼済みデジタルプロセッサが、入力信号を暗号化して、出力信号を形成するように構成される、請求項4に記載の信頼済みデジタルディスプレイガード。
  6. 信頼済みデジタルプロセッサに動作可能に接続され、入力信号を受信し、出力信号を出力するように構成される、少なくとも1つの周辺相互接続ポートをさらに含む、請求項に記載の信頼済みデジタルディスプレイガード。
  7. 頼済みデジタルビデオ出力が、デジタル・ビジュアル・インターフェイス規に準拠するデジタルディスプレイデータを出力する、請求項1に記載の信頼済みデジタルディスプレイガード。
  8. 少なくとも1つの信頼済みデジタルプロセッサデジタルディスプレイデータ入力および信頼済みデジタルディスプレイ出力が、プログラムされた特定用途向けIC、フィールドプログラマブルゲートアレイ、マイクロコントローラまたはデジタルロジックデバイスを含む、請求項1に記載の信頼済みデジタルディスプレイガード。
  9. 少なくとも1つの周辺相互接続入力ポートが、ヒューマン・ツー・コンピュータインターフェイスデバイスから入力信号を受信するように構成され、前記少なくとも1つの周辺相互接続入力ポート未信頼の接続を介してモートコンピュータ装置へ出力信号を出力するように構成される、請求項4に記載の信頼済みデジタルディスプレイガード。
  10. 信頼済みデジタルプロセッサが、ヒューマン・ツー・コンピュータインターフェイスデバイスからの入力信号を暗号化する、請求項9に記載の信頼済みデジタルディスプレイガード。
  11. 頼済みデジタルプロセッサが、帯域内データ信号を含む出力信号を形成するためにヒューマン・ツー・コンピュータインターフェイスデバイスからの入力信号を処理する、請求項9に記載の信頼済みデジタルディスプレイガード。
  12. 信頼済みデジタルプロセッサが、受信デジタルディスプレイデータの帯域内信号化、帯域内多重化、およびのデータのタギングを処理するように構成される、請求項1に記載の信頼済みデジタルディスプレイガード。
  13. 信頼済みデジタルプロセッサが、デジタルデータを格納するように構成されるデジタルデータストアをさらに含み、前記信頼済みデジタルプロセッサが、前記信頼済みデジタルディスプレイ出力に信頼可能なデジタルディスプレイデータとして誘導される、記憶されたデジタルディスプレイデータコンテンツを処理するように構成される、請求項1に記載の信頼済みデジタルディスプレイガード。
  14. 信頼済みステータス標識が発光ダイオードであり、該発光ダイオードが、信頼済み標識状態に応答して発光状態になる、請求項1に記載の信頼済みデジタルディスプレイガード。
  15. g.信頼済みデジタルプロセッサに動作可能に接続され、取外し可能なメディアを読み取るように構成される、取外し可能なメディアリーダであって、前記取外し可能なメディアが暗号化または復号化のための鍵を記憶するように構成される、前記取外し可能なメディアリーダ
    をさらに含む、請求項に記載の信頼済みデジタルディスプレイガード。
  16. 取外し可能なメディアリーダが、鍵を利用してデジタルデータを暗号化または復号化するように構成される、信頼済みプロセッサをさらに含む、請求項15に記載の信頼済みデジタルディスプレイガード。
  17. 取外し可能なメディアがスマートカードである、請求項15に記載の信頼済みデジタルディスプレイガード。
  18. 未信頼のデジタルデータネットワーク上で信頼済みサーバからの信頼可能なデジタルデータを転送する、信頼済みデジタルガードであって、
    a.前記未信頼のデジタルデータネットワークから信頼不能なデジタルディスプレイデータおよび帯域内信頼可能なデジタルデータを受信するように構成される、デジタルディスプレイデータ入力、
    b.信頼可能なデジタルデータを出力するように構成される、少なくとも1つの周辺相互接続出力、
    c.前記デジタルディスプレイデータ入力と、前記少なくとも1つの周辺相互接続出力とに動作可能に接続されて、帯域内信頼可能なデジタルデータを処理して、前記少なくとも1つの周辺相互接続出力に信頼可能なデジタルデータを誘導するように構成される、信頼済みデジタルプロセッサ
    を含む、前記信頼済みデジタルガード。
  19. 信頼済みデジタルプロセッサが、暗号化された信頼可能なデジタルデータを暗号解読するように構成される、請求項18に記載の信頼済みデジタルガード。
  20. 信頼済みデジタルプロセッサが、信頼可能なデジタルデータをカプセル化するデジタル署名を検証するように構成される、請求項18に記載の信頼済みデジタルガード。
  21. d.信頼済みプロセッサに動作可能に接続される取外し可能なメディアリーダであって、取り外し可能なメディアを読み取るように構成され、暗号解読のための鍵、取外し可能なメディアに記憶されている、前記取外し可能なメディアリーダ
    をさらに含む、請求項18に記載の信頼済みデジタルガード。
  22. 取外し可能メディアリーダ、鍵を利用してデジタルデータを暗号化および暗号解読するように構成される信頼済みプロセッサをさらに含む、請求項21に記載の信頼済みデジタルガード。
  23. 取外し可能メディアがスマートカードである、請求項21および22に記載の信頼済みデジタルガード。
  24. 未信頼のデジタルデータネットワーク上で、リモートサーバからコンピュータ装置に付随するデジタルディスプレイ装置へ、信頼可能なデジタルディスプレイデータを送るための、デジタルデータセキュリティー方法であって、該方法は、
    a.前記リモートサーバに取り付けられた暗号化装置および前記コンピュータ装置に取り付けられたデジタルディスプレイガードの間にセキュリティー接続を形成し、
    i.前記暗号化装置によって提供され、前記デジタルディスプレイガードに提供される、信頼可能なデジタルディスプレイデータ内の帯域内通信、および;
    ii.前記デジタルディスプレイガードによって前記暗号化装置に提供される周辺相互接続データ内の信頼可能なデジタルデータ、
    によって有効になる、双方向性の通信を利用すること、
    b.前記暗号化装置によって前記リモートサーバからデジタルディスプレイデータを受信すること、
    c.信頼可能なデジタルデータを生成するために、前記セキュリティー接続に従って、デジタルディスプレイデータを暗号化すること、
    d.前記信頼済みのデジタルネットワーク上で、信頼可能なデジタルデータを前記デジタルディスプレイ装置に付随するコンピュータ装置へ誘導すること、
    e.前記デジタルディスプレイ装置に付随するコンピュータ装置によって、デジタルディスプレイデータとして、信頼可能なデジタルデータを信頼性のないまたはいくらか信頼性のないデジタルディスプレイデータと共に、デジタルディスプレイガード帯域内に出力すること、
    f.デジタルディスプレイガード内で、ディスプレイのために、デジタルディスプレイ装置上の信頼可能なおよび信頼不能なデータを処理することであって、
    i.デジタルディスプレイデータ入力において、信頼不能なデジタルディスプレイデータおよび帯域内の信頼可能なデジタルデータを受信すること、
    ii.デジタルディスプレイデータ入力、信頼済みデジタルディスプレイ出力、および、信頼済み標識状態を有する信頼済みステータス標識に動作可能に接続される信頼済みデジタルプロセッサを利用して、信頼不能なデジタルディスプレイデータを識別および帯域内の信頼可能なデジタルデータを識別するために、デジタルデータを処理すること、
    iii.前記帯域内の信頼可能なデジタルデータを解読および処理して、信頼済みデジタルディスプレイ出力に、
    a.信頼不能なデジタルディスプレイデータ;または、
    b.処理された信頼可能なデジタルデータを、信頼可能なデジタルディスプレイデータおよび修正のないまたはいくらか修正のある信頼不能なデジタルディスプレイデータとして誘導し、信頼済みステータス標識のステータスを信頼済み標識状態に制御すること、
    を含む、前記デジタルディスプレイデバイス上の信頼可能なおよび信頼不能なデータを処理すること、
    を含む、前記デジタルデータセキュリティー方法。
  25. g.暗号化装置を介して、ヒューマン・ツー・コンピュータインターフェイスデバイスデータを、周辺相互接続入力ポートを有するデジタルディスプレイガードから、リモートサーバに転送することであって、
    i.ヒューマン・ツー・コンピュータインターフェイスデバイスデータを、デジタルディスプレイガードに動作可能に接続された周辺相互接続入力ポートにおいて受信すること、
    ii.信頼可能なデジタルデータを形成するために、前記ヒューマン・ツー・コンピュータインターフェイスデバイスデータを、規定のセキュリティー接続に従って暗号化すること、
    iii.信頼可能なデジタルディスプレイデータを、デジタルディスプレイガード周辺相互接続出力ポートから、デジタルディスプレイ装置に付随するコンピュータ装置へ誘導すること、
    iv.信頼可能なデジタルディスプレイデータを、デジタルディスプレイ装置に付随するコンピュータ装置から、リモートサーバに取り付けられた暗号化装置へ転送すること、
    v.暗号化装置において、信頼可能なデジタルデータを受信すること、
    vi.暗号化装置において、信頼可能なデジタルデータをヒューマン・ツー・コンピュータインターフェイスデバイスデータへ解読すること、
    vii.ヒューマン・ツー・コンピュータインターフェイスデバイスデータをリモートサーバへ誘導すること、
    をさらに含む、請求項24に記載のデジタルデータセキュリティー方法。
  26. 未信頼のデジタルデータネットワーク上で、リモートサーバからコンピュータ装置に付随するデジタルディスプレイ装置へ、信頼可能なデジタルディスプレイデータを送るためのデジタルデータセキュリティーシステムであって、該システムは、
    a.暗号化装置およびコンピュータ装置に動作可能に接続されたデジタルディスプレイガードの間にセキュリティー接続を形成するために、リモートサーバに動作可能に接続される暗号化装置であって、
    i.暗号化装置を利用した信頼可能なデジタルディスプレイデータ内の帯域内通信、デジタルディスプレイガードを利用したディスプレイのための信頼可能なデジタルディスプレイデータ、および;
    ii.暗号化装置に提供されるデジタルディスプレイガードによって提供される周辺相互接続データ内の信頼可能なデジタルデータであって、暗号化装置は、リモートサーバからデジタルディスプレイデータを受信し、信頼可能なデジタルデータを生成するために、規定のセキュリティー接続に従って、デジタルディスプレイデータを暗号化し、未信頼のデジタルネットワーク上で、デジタルディスプレイ装置に付随するコンピュータ装置に信頼可能なデジタルデータを誘導すること;
    によって有効になる、双方向性の通信を利用する、前記暗号化装置、
    b.コンピュータ装置に付随するデジタルディスプレイ装置上で、信頼可能なおよび信頼不能なデータの表示を制御するためのコンピュータ装置に動作可能に接続されるデジタルディスプレイガードであって、
    i.信頼不能なデジタルディスプレイデータおよび帯域内信頼可能デジタルデータを受信するためのデジタルディスプレイデータ入力;
    ii.デジタルディスプレイデータをデジタルディスプレイ装置へ出力するための信頼済みデジタルディスプレイ出力;
    iii.信頼済み標識状態を有する信頼済みステータス標識;
    iv.デジタルデータを受信するための周辺相互接続入力ポート;および
    v.デジタルディスプレイ入力、信頼済みデジタルディスプレイ出力および信頼済みステータス標識に動作可能に接続される信頼済みデジタルプロセッサであって、該信頼済みデジタルプロセッサは、信頼不能なデジタルディスプレイデータを識別し、
    1)信頼不能なデジタルディスプレイデータ;または、
    2)処理された信頼可能なデジタルデータを、信頼可能なデジタルディスプレイデータおよび修正のないまたはいくらか修正のある信頼不能なデジタルディスプレイデータとして誘導し、信頼済みステータス標識の状態を前記信頼済み標識状態に制御するために、帯域内の信頼可能なデジタルデータを処理する、
    前記信頼済みデジタルプロセッサを含む、
    前記デジタルディスプレイガード、
    c.ヒューマン・ツー・コンピュータインターフェイスデバイスを利用して、利用者の相互作用に基づいてコンピュータインターフェイスデータを生成し、ヒューマン・ツー・コンピュータインターフェイスデータを、暗号化装置を介して周辺相互接続入力ポートからリモートサーバに転送するためのヒューマン・ツー・コンピュータインターフェイスデバイスであって、ヒューマン・ツー・コンピュータインターフェイスデータは、信頼可能なデジタルデータを形成するために、規定のセキュリティー接続に従ってデジタルディスプレイガードによって暗号化され、信頼可能なデジタルデータを暗号化装置によってヒューマン・ツー・コンピュータインターフェイスデータへ解読するため、デジタルディスプレイ装置に付随するコンピュータ装置からリモートサーバに取り付けられた暗号化装置に信頼可能なデジタルデータを転送するために、周辺相互接続出力ポートを介して、デジタルディスプレイ装置に付随するコンピュータ装置に誘導し、そして、ヒューマン・ツー・コンピュータインターフェイスデータはリモートサーバに誘導される、前記ヒューマン・ツー・コンピュータインターフェイスデバイス、
    を含む、前記デジタルデータセキュリティーシステム。
  27. 未信頼のデジタルデータネットワーク上で、信頼済みサーバからコンピュータ装置に付随するデジタルディスプレイ装置へ、信頼可能なデジタルディスプレイデータを送るためのデジタルデータセキュリティーシステムであって、該システムは、
    デジタルプロセッサを含む信頼済みサーバに動作可能に接続されるデジタルディスプレイデータ処理デバイスであって、信頼済みサーバから信頼可能なデジタルディスプレイデータを受信し、信頼可能なデジタルディスプレイデータを信頼可能なデジタルデータへ処理し、処理された信頼可能なデジタルデータを未信頼のデジタルネットワーク上でデジタルディスプレイ装置に付随するコンピュータ装置に転送し、帯域内の信頼可能なデジタルデータを信頼性のないまたはいくらか信頼性のないデジタルディスプレイデータと共に、デジタルディスプレイ装置帯域内にレンダリングすることによって、信頼可能なデジタルデータを、デジタルディスプレイ装置に関連するコンピュータ装置から、デジタルディスプレイ装置へ出力する、前記ジタルディスプレイデータ処理デバイスを含み、および、デジタルディスプレイ装置上の信頼可能なおよび信頼不能なデジタルディスプレイデータの表示を制御するためのデジタルディスプレイガードであって;
    a.信頼不能なデジタルディスプレイデータおよび帯域内の信頼可能なデジタルデータを受信するためのデジタルディスプレイデータ入力;
    b.デジタルディスプレイデータをデジタルディスプレイ装置へ出力するための信頼済みデジタルディスプレイ出力;
    c.信頼済み標識状態を有する信頼済みステータス標識;および
    d.デジタルディスプレイ入力、信頼済みデジタルディスプレイ出力および信頼済みステータス標識に動作可能に接続される信頼済みデジタルプロセッサであって、信頼不能なデジタルディスプレイデータを識別し、
    i.信頼不能なデジタルディスプレイデータ;または、
    ii.処理された信頼可能なデジタルデータを、信頼可能なデジタルディスプレイデータおよび修正のないまたはいくらか修正のある信頼不能なデジタルディスプレイデータとして誘導し、信頼済みステータス標識の状態を前記信頼済み標識状態に制御するために、帯域内の信頼可能なデジタルディスプレイデータを処理する、前記信頼済みデジタルプロセッサ、
    を含む前記デジタルディスプレイガード、
    を含む、前記デジタルデータセキュリティーシステム。
  28. デジタルディスプレイデータ処理デバイスのデジタルプロセッサが、信頼可能なデジタルディスプレイデータを暗号化し、デジタルディスプレイガードの信頼済みデジタルプロセッサが、帯域内デジタルデータを処理する前に信頼可能なデジタルデータを解読する、請求項27に記載のデジタルデータセキュリティーシステム。
  29. デジタルディスプレイ装置に関連するコンピュータ装置が、信号データを生成する少なくとも1つの関連するヒューマン・ツー・コンピュータインターフェイスデバイスを有し、
    デジタルディスプレイガードがさらに、
    e.少なくとも1つのヒューマン・ツー・コンピュータインターフェイスデバイスに動作可能に接続される少なくとも1つの周辺相互接続入力ポート;および、
    f.少なくとも1つの周辺相互接続出力ポートであって;各周辺相互接続入力ポートによって受信されるヒューマン・ツー・コンピュータインターフェイスデバイスからの信号データは、信頼済みデジタルプロセッサに要求されるように暗号化され、各周辺相互接続出力ポートによってコンピュータ装置に出力され、および、未信頼のデジタルデータネットワーク上で通信され、および、デジタルディスプレイデータ処理デバイスのデジタルプロセッサは、ヒューマン・ツー・コンピュータインターフェイスデバイスによって生成される、受信された暗号化されたデジタルデータを解読し、ヒューマン・ツー・コンピュータインターフェイスデバイスによって生成される信号データを代表する所定のフォーマットで、解読された受信されたデジタルデータを信頼済みのサーバに提供し、表示された信頼済みデジタルディスプレイデータと人間との相互作用は、ヒューマン・ツー・コンピュータインターフェイスデバイスによって生成され、未信頼のデジタルデータネットワーク上で信頼済みサーバに通信される、前記少なくとも1つの周辺相互接続出力ポート、
    を含む、請求項27に記載のデジタルデータセキュリティーシステム。
  30. 取外し可能なメディアリーダであって、解読のための単数または複数の鍵が、前記リーダによって読み取られるように適合された取外し可能なメディアに記憶されている、前記取外し可能なメディアリーダ
    をさらに含む、請求項28に記載の信頼済みデジタルデータセキュリティーシステム。
  31. 取外し可能なメディアリーダが、デジタルデータ入力を暗号化および解読するための信頼済みデジタルデータプロセッサをさらに含み、暗号化および解読するための単数または複数の鍵が、取外し可能なメディアリーダに記憶される、請求項30に記載の信頼済みデジタルデータセキュリティーシステム。
  32. 取外し可能なメディアがスマートカードである、請求項31に記載の信頼済みデジタルデータセキュリティーシステム。
  33. デジタルディスプレイ装置上への信頼可能および信頼不能なデジタルディスプレイデータの表示を制御する、信頼済みデジタルデータ防護方法であって、
    a.デジタルディスプレイデータ入力において信頼不能なデジタルディスプレイデータおよび帯域内の信頼可能なデジタルデータを受信するステップ、
    b.信頼済みデジタルディスプレイ出力においてデジタルディスプレイ装置にデジタルディスプレイデータを出力するステップ、および
    c.前記デジタルディスプレイデータ入力、信頼済みデジタルディスプレイ出力および信頼済み標識状態を有する信頼済みステータス標識に動作可能に接続された、信頼済みデジタルプロセッサでデジタルディスプレイデータを処理して頼不能なデジタルディスプレイデータを識別し、
    i.信頼不能なデジタルディスプレイデータ、または
    ii.処理された信頼可能なデジタルデータを前記信頼済みデジタルビデオ出力に、信頼可能なデジタルディスプレイデータおよび修正のないまたはいくらか修正のある信頼不能なデジタルディスプレイデータとして誘導し、信頼済みステータス標識の一方の状態を前記信頼済み標識状態に制御するために、帯域内の信頼可能なデジタルディスプレイデータを処理する処理ステップ
    を含む、前記方法。
  34. 信頼済みサーバからコンピュータ装置に付随するデジタルディスプレイ装置への、信頼可能なデジタルディスプレイデータの、未信頼のデジタルデータネットワーク上での配信に対するデジタルデータセキュリティ方法であって、
    a.前記信頼済みサーバに動作可能に接続されたデジタルディスプレイデータ処理装置内で、前記信頼済みサーバから信頼可能なデジタルディスプレイデータを受信する処理ステップ、
    b.前記信頼可能なデジタルディスプレイデータを信頼可能なデジタルデータへ処理するステップ、
    c.前記処理された信頼可能なデジタルデータを、前記未信頼のデジタルデータネットワーク上で、前記デジタルディスプレイ装置に付随するコンピュータ装置に転送するステップであって前記デジタルディスプレイ装置に付随するコンピュータ装置からの出力が、さらなる処理のための信頼性のないまたはいくらか信頼性のないデジタルディスプレイデータと共に、デジタルディスプレイ装置帯域内のための信頼可能なデジタルデータのデジタルディスプレイ装置のための信頼可能なデジタルデータであり、および
    d.デジタルディスプレイガード内で、デジタルビデオディスプレイ装置上への信頼可能および信頼不能なデジタルディスプレイデータの表示を制御する、処理テップであって、以下のステップを含む;
    e.デジタルディスプレイデータ入力において信頼不能なデジタルディスプレイデータおよび帯域内の信頼可能なデジタルデータを受信するステップ、
    f.前記デジタルディスプレイデータ入力、信頼済みデジタルディスプレイ出力および信頼済み標識状態を有する信頼済みステータス標識に動作可能に接続された信頼済みデジタルプロセッサで、頼不能なデジタルディスプレイデータを識別して、
    i.信頼不能なデジタルディスプレイデーたは
    ii.処理された信頼可能なデジタルデータを信頼済みデジタルディスプレイ出力に、信頼可能なデジタルディスプレイデータおよび修正のないまたはいくらか修正のある信頼不能なデジタルディスプレイデータとして誘導し、信頼済みステータス標識の状態を前記信頼済み標識状態に制御するために、帯域内の信頼可能なデジタルディスプレイデータを処理する、処理ステッ
    含む、前記デジタルビデオセキュリティ方法。
JP2011542633A 2008-12-24 2009-12-24 デジタルビデオガード Expired - Fee Related JP5628831B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
AU2008906649A AU2008906649A0 (en) 2008-12-24 Digital video guard
AU2008906649 2008-12-24
PCT/AU2009/001706 WO2010071947A1 (en) 2008-12-24 2009-12-24 Digital video guard

Publications (2)

Publication Number Publication Date
JP2012513644A JP2012513644A (ja) 2012-06-14
JP5628831B2 true JP5628831B2 (ja) 2014-11-19

Family

ID=42286808

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011542633A Expired - Fee Related JP5628831B2 (ja) 2008-12-24 2009-12-24 デジタルビデオガード

Country Status (7)

Country Link
US (2) US8572403B2 (ja)
EP (1) EP2368337A4 (ja)
JP (1) JP5628831B2 (ja)
AU (1) AU2009329836B2 (ja)
CA (1) CA2741913A1 (ja)
NZ (1) NZ592063A (ja)
WO (1) WO2010071947A1 (ja)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8890892B2 (en) * 2009-04-24 2014-11-18 Pixar System and method for steganographic image display
US8817043B2 (en) * 2009-04-24 2014-08-26 Disney Enterprises, Inc. System and method for selective viewing of a hidden presentation within a displayed presentation
US8775803B2 (en) * 2010-12-21 2014-07-08 Intel-Ge Care Innovations Llc High security display of private data
US8817976B2 (en) * 2011-06-24 2014-08-26 Gregory Scott Callen Reversible cipher
US8615656B2 (en) 2012-01-09 2013-12-24 The Mitre Corporation Secure remote peripheral encryption tunnel
US9942257B1 (en) * 2012-07-11 2018-04-10 Amazon Technologies, Inc. Trustworthy indication of software integrity
US8832435B2 (en) 2012-12-17 2014-09-09 International Business Machines Corporation Providing a real-time indication of platform trust
US20140168264A1 (en) 2012-12-19 2014-06-19 Lockheed Martin Corporation System, method and computer program product for real-time alignment of an augmented reality device
EP2779635A3 (en) * 2013-03-11 2015-04-15 Nagravision S.A. Remote control for controlling a television receiver
US9313223B2 (en) * 2013-03-15 2016-04-12 Prevoty, Inc. Systems and methods for tokenizing user-generated content to enable the prevention of attacks
US20140304182A1 (en) * 2013-04-05 2014-10-09 Microsoft Corporation Badge logical groupiing according to skills and training
US9111123B2 (en) 2013-06-28 2015-08-18 International Business Machines Corporation Firmware for protecting data from software threats
DE102013012354A1 (de) * 2013-07-25 2015-01-29 Giesecke & Devrient Gmbh Sichere Anzeige einer Nutzinformation auf einer Anzeigeeinheit eines Endgeräts
US9715599B2 (en) * 2014-01-30 2017-07-25 Forcepoint Federal Llc Context aware integrated display keyboard video mouse controller
US20160300068A1 (en) * 2015-04-07 2016-10-13 Dell Products, Lp System and Method to View Encrypted Information on a Security Enabled Display Device
US11847237B1 (en) * 2015-04-28 2023-12-19 Sequitur Labs, Inc. Secure data protection and encryption techniques for computing devices and information storage
JP6795519B2 (ja) 2015-05-11 2020-12-02 ザ コモンウェルス オブ オーストラリア クロスドメインデスクトップ合成器
DE102015210576B4 (de) * 2015-06-09 2020-10-08 Eberhard Karls Universität Tübingen Verschlüsselungs-Pixelmatrix; Verfahren zu ihrer Erzeugung; Bilddatei, Videodatei und Videodatenstrom mit einer solchen Pixelmatrix, Verfahren zur Erzeugung einer Klarbildmatrix ausgehend von einer solchen Verschlüsselungs-Pixelmatrix sowie Dekodier-Einheit zur Durchführung dieses Verfahrens
DE102015210573A1 (de) * 2015-06-09 2016-12-15 Eberhard Karls Universität Tübingen Verfahren und System zur Verschlüsselung von Tastendrücken
US9727737B1 (en) 2015-07-27 2017-08-08 Amazon Technologies, Inc. Trustworthy indication of software integrity
EP3531321B1 (en) 2015-09-15 2020-08-19 Gatekeeper Ltd. System and method for securely connecting to a peripheral device
US10769312B2 (en) 2015-10-06 2020-09-08 Carnegie Mellon University Method and apparatus for trusted display on untrusted computing platforms to secure applications
US9736171B2 (en) * 2015-10-12 2017-08-15 Airwatch Llc Analog security for digital data
CA3010645A1 (en) * 2016-01-07 2017-07-13 Genetec Inc. Network sanitization for dedicated communication function and edge enforcement
US10211989B2 (en) * 2016-02-05 2019-02-19 Mcafee, Llc Trusted indicators to secure visual outputs
US10291599B2 (en) * 2016-07-20 2019-05-14 UScontracting, Inc. Systems, methods and apparatus for keystroke encryption
RU2634179C1 (ru) * 2016-12-12 2017-10-24 Акционерное общество "Лаборатория Касперского" Способ и система для доверенного доведения информации до пользователя
RU2644503C1 (ru) * 2016-12-12 2018-02-12 Акционерное общество "Лаборатория Касперского" Система и способ подтверждения подлинности отображаемой информации на экране компьютера
US10572644B2 (en) * 2017-01-26 2020-02-25 Microsoft Technology Licensing, Llc Interacting with a computing device via identity-bearing peripheral devices
RU2682656C1 (ru) * 2018-01-31 2019-03-20 ООО "Институт инноваций и наукоемких технологий" Способ и устройство адаптивного ресурсосберегающего управления потоками информации в распределённой информационной системе в условиях возмущений
IL258379A (en) * 2018-03-26 2018-05-31 Kazuar Advanced Tech Ltd Secure remote terminal
US11429753B2 (en) * 2018-09-27 2022-08-30 Citrix Systems, Inc. Encryption of keyboard data to avoid being read by endpoint-hosted keylogger applications
CN113179205B (zh) * 2021-03-31 2023-04-18 维沃移动通信有限公司 图像分享方法、装置及电子设备
CN113435406A (zh) * 2021-07-15 2021-09-24 支付宝(杭州)信息技术有限公司 实现隐私保护的人脸识别方法及装置

Family Cites Families (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
IL103062A (en) * 1992-09-04 1996-08-04 Algorithmic Res Ltd Data processor security system
GB9605472D0 (en) * 1996-03-15 1996-05-15 Digi Media Vision Ltd A secure method and apparatus for data transmission in digital video broadcast data services
US5825879A (en) * 1996-09-30 1998-10-20 Intel Corporation System and method for copy-protecting distributed video content
US5949877A (en) * 1997-01-30 1999-09-07 Intel Corporation Content protection for transmission systems
JP3860280B2 (ja) * 1997-03-31 2006-12-20 株式会社ローレルインテリジェントシステムズ 通信システム、icカード発行登録システム、キーコード生成装置、及び記録媒体
US20020012432A1 (en) * 1999-03-27 2002-01-31 Microsoft Corporation Secure video card in computing device having digital rights management (DRM) system
EP1056014A1 (en) * 1999-05-28 2000-11-29 Hewlett-Packard Company System for providing a trustworthy user interface
US7152165B1 (en) * 1999-07-16 2006-12-19 Intertrust Technologies Corp. Trusted storage systems and methods
AU6104800A (en) * 1999-07-16 2001-02-05 Intertrust Technologies Corp. Trusted storage systems and methods
US6289455B1 (en) * 1999-09-02 2001-09-11 Crypotography Research, Inc. Method and apparatus for preventing piracy of digital content
JP4489932B2 (ja) * 2000-11-27 2010-06-23 富士通株式会社 複数の通信を同期させるシステム及び方法
US20020184487A1 (en) * 2001-03-23 2002-12-05 Badamo Michael J. System and method for distributing security processing functions for network applications
US20030028664A1 (en) * 2001-08-02 2003-02-06 Kaijun Tan Method and system for secure distribution and utilization of data over a network
DE10164131A1 (de) * 2001-12-30 2003-07-17 Juergen K Lang Kryptographisches Modul zur Speicherung und Wiedergabe kopier-und nutzungsgeschützter elektronischer Ton- und Bildmedien
US7075899B2 (en) * 2002-05-21 2006-07-11 Actv, Inc. System and method for providing private in-band data to digital set-top boxes in a broadcast environment
US20030226029A1 (en) * 2002-05-29 2003-12-04 Porter Allen J.C. System for protecting security registers and method thereof
US20030226016A1 (en) * 2002-05-31 2003-12-04 International Business Machines Corporation Assurance of authentication in a computer system apparatus and method
US8155314B2 (en) * 2002-06-24 2012-04-10 Microsoft Corporation Systems and methods for securing video card output
SE0202451D0 (sv) * 2002-08-15 2002-08-15 Ericsson Telefon Ab L M Flexible Sim-Based DRM agent and architecture
US20040111642A1 (en) * 2002-12-05 2004-06-10 Amir Peles Content security by network switch
US20040181811A1 (en) * 2003-03-13 2004-09-16 Rakib Selim Shlomo Thin DOCSIS in-band management for interactive HFC service delivery
US7469343B2 (en) * 2003-05-02 2008-12-23 Microsoft Corporation Dynamic substitution of USB data for on-the-fly encryption/decryption
US20050108540A1 (en) * 2003-09-26 2005-05-19 Budi Kusnoto Digital image validations system (DIVA)
EP1536647A1 (en) * 2003-11-26 2005-06-01 STMicroelectronics Limited A video decoding device
US20050124359A1 (en) * 2003-12-08 2005-06-09 Willins Bruce A. Multi-port interface for a switched wireless network
US7581097B2 (en) * 2003-12-23 2009-08-25 Lenovo Pte Ltd Apparatus, system, and method for secure communications from a human interface device
WO2005069530A1 (en) * 2004-01-05 2005-07-28 Oqo Incorporated Connector including electronic device
US7457964B2 (en) * 2004-02-04 2008-11-25 Microsoft Corporation Trusted path for transmitting content thereon
US20060184790A1 (en) * 2004-03-26 2006-08-17 Microsoft Corporation Protecting elementary stream content
US7734933B1 (en) * 2005-06-17 2010-06-08 Rockwell Collins, Inc. System for providing secure and trusted computing environments through a secure computing module
CN1889419B (zh) * 2005-06-30 2010-05-05 联想(北京)有限公司 一种实现加密的方法及装置
KR100842571B1 (ko) * 2005-10-11 2008-07-01 삼성전자주식회사 디지털 방송 시스템에서 신뢰성 보장 전송 서비스 제공/수신 방법 및 장치
CA2632590A1 (en) * 2005-12-09 2008-02-28 Signacert, Inc. Method to verify the integrity of components on a trusted platform using integrity database services
US20070256126A1 (en) * 2006-04-14 2007-11-01 Ewan1, Inc. Secure identification remote and dongle
US8243927B2 (en) * 2006-10-20 2012-08-14 Panasonic Corporation Digital video receiver, ECM extract equipment, EMM extract equipment, scramble key extract equipment, CCI extract equipment, digital video receiving system, ECM extract method, EMM extract method, scramble key extract method, CCI extract method, digital video receiving method, and recording medium
US8571188B2 (en) * 2006-12-15 2013-10-29 Qualcomm Incorporated Method and device for secure phone banking
US20080189554A1 (en) * 2007-02-05 2008-08-07 Asad Ali Method and system for securing communication between a host computer and a secure portable device
FR2914457B1 (fr) * 2007-03-30 2009-09-04 Ingenico Sa Procede et dispositif de visualisation securitaire
US8028094B2 (en) * 2007-12-04 2011-09-27 Vixs Systems, Inc. USB video card and dongle device with video encoding and methods for use therewith
US20090245520A1 (en) * 2008-03-27 2009-10-01 Mediatek Inc. Digital content protection methods
US20090252323A1 (en) * 2008-04-03 2009-10-08 Simon Cooper Methods, techniques and system for maintaining security on computer systems
GB0808341D0 (en) * 2008-05-08 2008-06-18 Michael John P External storage security and encryption device
US9479352B2 (en) * 2008-06-25 2016-10-25 Arris Enterprises, Inc. Method for simultaneously managing high-speed data and video streams in a single MAC processing environment
US8886973B2 (en) * 2008-08-18 2014-11-11 Cisco Technology, Inc. System employing signaling at a powered communications interface to modify or override a power-withholding policy at a power-sourcing equipment
US8074286B2 (en) * 2008-09-15 2011-12-06 Realnetworks, Inc. Secure media path system and method
KR20100067415A (ko) * 2008-12-11 2010-06-21 삼성전자주식회사 전자장치 및 그의 출력제어방법
US20100161975A1 (en) * 2008-12-19 2010-06-24 Vixs Systems, Inc. Processing system with application security and methods for use therewith
GB2466651A (en) * 2008-12-31 2010-07-07 St Microelectronics Security co-processor architecture for decrypting packet streams

Also Published As

Publication number Publication date
CA2741913A1 (en) 2010-07-01
AU2009329836B2 (en) 2015-01-22
US8572403B2 (en) 2013-10-29
US20110264922A1 (en) 2011-10-27
EP2368337A1 (en) 2011-09-28
AU2009329836A1 (en) 2010-07-01
NZ592063A (en) 2014-02-28
US20140101782A1 (en) 2014-04-10
EP2368337A4 (en) 2016-12-28
WO2010071947A1 (en) 2010-07-01
JP2012513644A (ja) 2012-06-14

Similar Documents

Publication Publication Date Title
JP5628831B2 (ja) デジタルビデオガード
JP4807925B2 (ja) グラフィックシステムのコンポーネント認証方法およびシステム
CN109361668B (zh) 一种数据可信传输方法
CA2434328C (en) Methods and systems for cryptographically protecting secure content
US9124419B2 (en) Method, device, and system of secure entry and handling of passwords
US8560453B2 (en) Method and apparatus for dynamic, real-time ad insertion based on meta-data within a hardware based root of trust
US9245154B2 (en) System and method for securing input signals when using touch-screens and other input interfaces
US20110202772A1 (en) Networked computer identity encryption and verification
US11159329B2 (en) Collaborative operating system
KR101879758B1 (ko) 사용자 단말기별 사용자 디지털 인증서 발급 방법 및 그 인증서에 의한 인증 방법
US9454677B1 (en) Secure communication architecture including video sniffer
KR102140356B1 (ko) 비압축 비디오 데이터에 워터마크를 내장하기 위한 장치 및 내장 방법
BRPI0205818B1 (pt) Método, meio e dispositivo para criptograficamente proteger conteúdo de segurança
WO2023069111A1 (en) Encrypted graphics data
JP2023500980A (ja) セキュア通信のためのデバイス及び方法
KR101634785B1 (ko) Mitm 공격 방지 장치 및 방법
CN114531236A (zh) 一种密钥的处理方法、装置及电子设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121101

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131112

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140212

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140219

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140312

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140319

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140414

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140916

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141002

R150 Certificate of patent or registration of utility model

Ref document number: 5628831

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees