KR101511805B1 - 보안 서명 방법, 보안 인증 방법 및 iptv 시스템 - Google Patents
보안 서명 방법, 보안 인증 방법 및 iptv 시스템 Download PDFInfo
- Publication number
- KR101511805B1 KR101511805B1 KR1020097027147A KR20097027147A KR101511805B1 KR 101511805 B1 KR101511805 B1 KR 101511805B1 KR 1020097027147 A KR1020097027147 A KR 1020097027147A KR 20097027147 A KR20097027147 A KR 20097027147A KR 101511805 B1 KR101511805 B1 KR 101511805B1
- Authority
- KR
- South Korea
- Prior art keywords
- content
- field
- digital signature
- certificate
- header
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/83—Generation or processing of protective or descriptive data associated with content; Content structuring
- H04N21/835—Generation of protective data, e.g. certificates
- H04N21/8358—Generation of protective data, e.g. certificates involving watermark
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/238—Interfacing the downstream path of the transmission network, e.g. adapting the transmission rate of a video stream to network bandwidth; Processing of multiplex streams
- H04N21/2389—Multiplex stream processing, e.g. multiplex stream encrypting
- H04N21/23892—Multiplex stream processing, e.g. multiplex stream encrypting involving embedding information at multiplex stream level, e.g. embedding a watermark at packet level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/254—Management at additional data server, e.g. shopping server, rights management server
- H04N21/2541—Rights Management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4623—Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/61—Network physical structure; Signal processing
- H04N21/6106—Network physical structure; Signal processing specially adapted to the downstream path of the transmission network
- H04N21/6125—Network physical structure; Signal processing specially adapted to the downstream path of the transmission network involving transmission via Internet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/61—Network physical structure; Signal processing
- H04N21/6156—Network physical structure; Signal processing specially adapted to the upstream path of the transmission network
- H04N21/6175—Network physical structure; Signal processing specially adapted to the upstream path of the transmission network involving transmission via Internet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
Abstract
보안 서명 방법, 보안 인증 방법 및 IPTV 시스템이 개시되어 있다. 보안 서명 방법은 디지털 서명 헤더 필드들을 준비하고 속성을 세팅하고, 해싱 알고리즘을 이용하여 상기 콘텐트의 해시 다이제스트를 계산하고, 그 계산되는 해시 값을 디비털 서명 헤더의 메시지 다이제스트 필드에 저장하고, 메시지 다이제스트를 비밀키를 사용하여 암호화하여 디지털 서명 헤더의 서명 필드에 삽입하고, 디지털 서명 헤더를 콘텐트에 프리픽스하여 콘텐트와 연계시킨다. 보안 인증 방법은 콘텐트의 디지털 서명 헤더의 포맷 및 값이 적절한지의 여부를 체크하고, 해싱 알고리즘을 이용하여 콘텐트의 해시 다이제스트를 계산하고, 그 해시 값을 디지털 서명 헤더의 메시지 다이제스트 필드와 비교하고, 디지털 서명 헤더의 서명 필드의 해시 값을 인증서 필드에서 추출되는 공개키를 사용하여 복호화한 뒤, 메시지 다이제스트와 비교한다.
Description
본 발명은 보안 서명 방법, 보안 인증 방법 및 IPTV 시스템에 관한 것으로서, 좀더 상세하게는, 보안 다운로드나 메시지의 보안 전송 시에 사이닝 프로세스 및 인증 프로세스를 용이하게 수행할 수 있도록 하는 보안 기술 및 그 기반 시스템에 관한 것이다.
최근 들어, 디지털 방송 환경이 구축되고 고화질 및 다양한 부가 서비스에 대한 요구가 급증하면서 디지털 방송 서비스가 상용화되고 있다. 디지털 방송 서비스는 기존의 아날로그 방송 서비스에서는 제공할 수 없었던 양질의 서비스를 제공하는 것이 가능하다.
특히, IP 네트워크를 통하여 방송 서비스를 제공하는 IPTV(Internet Protocol Television) 서비스는 고화질로 방송 콘텐트를 제공할 수 있을 뿐만 아니라 양방향 서비스가 가능하기 때문에 사용자로 하여금 시청 프로그램의 종류나 시청 시간 등을 능동적으로 선택할 수 있다. 또한 IPTV 서비스는 이러한 양방향성을 기반으로 다양한 부가 서비스, 예컨대 인터넷 검색, 홈쇼핑, 온라인 게임 등을 방송과 연계하여 제공할 수도 있다.
이러한 IPTV 서비스를 위해서는 서비스 시스템 및 사용자 시스템이 요구될 수 있다. 서비스 시스템은 콘텐트 제공자로부터 다양한 콘텐트를 제공받을 수 있으며, 서비스 콘텐트 목록, 방송 스케줄, 프리뷰 등을 포함하는 가이드 정보, 예컨대 EPG(Electronic Program Guide), IPG(Interactive Program Guide), CPG(Content Program Guide) 등을 생성한 뒤 이를 IP 네트워크를 통하여 사용자 시스템으로 제공할 수 있다.
사용자 시스템은 IPTV 디바이스(예컨대, IPTV 셋톱박스) 등을 구비한다. 사용자 시스템은 서비스 제공자로부터 제공되는 가이드 정보를 표시하고 사용자에 의해 선택된 콘텐트 또는 서비스를 서비스 시스템으로 요청할 수 있다. 한편 사용자 시스템은 사용자 도메인을 포함할 수도 있다. IPTV 디바이스 의해 사용자 측으로 수신되는 콘텐트는 사용자 도메인 내의 디바이스들, 예컨대 홈 네트워크 디바이스들과 공유될 수도 있다.
이러한 IPTV 시스템을 안정적으로 운영하기 위해서는 IPTV 서비스와 관련한 콘텐트, 예컨대 멀티미디어 콘텐트, DRM 코드, 소프트웨어, 메시지 등을 사용자 시스템으로 다운로드할 때 이들을 불법적인 행위로부터 안전하게 보호할 수 있는 보안 체계가 필수적으로 요구된다. 상기 보안 체계는 인증에 사용되는 서명(Signature) 구조, 인증서(Certificate) 구조 등을 정의하고, 효율적인 사이닝(Signing) 프로세스 및 인증(Authentication) 프로세스를 제시하여 신속성 및 보안성을 높임으로써, IPTV 서비스의 신뢰성을 보장할 수 있어야 한다. 따라서 해당 분야의 기술 개발이 시급히 요구되고 있다.
기술적 과제
본 발명이 해결하고자 하는 기술적 과제는 디바이스로 보안 다운로드, 보안 메시지 등을 전송할 때 콘텐트의 보안성을 보장할 수 있는 보안 서명 방법과 보안 인증 방법을 제공하고, 그 기반 시스템을 제공하는데 있다.
기술적 해결방법
이러한 기술적 과제를 해결하기 위하여 본 발명은 일 측면(Aspect)에서 보안 서명 방법을 제공한다. 상기 보안 서명 방법은 디지털 서명 헤더 필드들을 준비하고 속성을 세팅하는 단계와, 해싱 알고리즘을 이용하여 콘텐트의 해시 다이제스트를 계산하는 단계와, 상기 계산되는 해시 값을 상기 디비털 서명 헤더의 메시지 다이제스트 필드에 저장하는 단계와, 상기 메시지 다이제스트를 비밀키를 사용하여 암호화하고 상기 디지털 서명 헤더의 서명 필드에 삽입하는 단계; 및 상기 디지털 서명 헤더를 상기 콘텐트에 프리픽스하여 상기 콘텐트와 연계시키는 단계를 포함한다. 상기 해싱 알고리즘은 상기 디지털 서명 헤더의 다이제스트 알고리즘 필드 내에서 식별될 수 있다.
상기 보안 서명 방법은 서명자의 인증서를 상기 디지털 서명 헤더 필드의 인증서 필드에 삽입하는 단계를 더 포함할 수 있다. 상기 서명자의 인증서는 상기 서명자의 식별 정보, 상기 암호화된 메시지 다이제스트를 복호화하는데 사용할 수 있는 공개 키 및 하이 레벨의 신뢰성 있는 인증서 승인자에 의하여 서명된 디지털 서명을 포함할 수 있다.
상기 보안 서명 방법은, 상기 서명자의 인증서를 승인하는 인증서 승인자의 인증서를 상기 디지털 서명 헤더 필드의 인증서 필드에 삽입하는 단계를 더 포함할 수도 있다.
상술한 기술적 과제를 해결하기 위하여 본 발명은 다른 측면에서 보안 인증 방법을 제공한다. 상기 보안 인증 방법은, 콘텐트의 디지털 서명 헤더의 포맷 및 값이 적절한지의 여부를 체크하는 단계와, 해싱 알고리즘을 이용하여 상기 콘텐트의 해시 다이제스트를 계산하는 단계와, 상기 계산되는 해시 값을 상기 디지털 서명 헤더의 메시지 다이제스트 필드와 비교하는 단계와, 상기 디지털 서명 헤더의 서명 필드의 해시 값을 인증서 필드에서 추출되는 공개 키를 사용하여 복호화하는 단계; 및 상기 복호화되는 해시 값을 상기 메시지 다이제스트와 비교하는 단계를 포함할 수 있다. 상기 해싱 알고리즘은 상기 디지털 서명 헤더의 다이제스트 알고리즘 필드 내에서 식별될 수 있다.
상술한 기술적 과제를 해결하기 위하여 본 발명은 또 다른 측면에서 IPTV 시스템을 제공한다. 상기 IPTV 시스템은, 콘텐트의 해시 다이제스트를 계산하여 디비털 서명 헤더의 메시지 다이제스트 필드에 저장하고, 상기 메시지 다이제스트를 비밀키를 사용하여 암호화하여 상기 디지털 서명 헤더의 서명 필드에 삽입하고, 상기 디지털 서명 헤더를 상기 콘텐트에 프리픽스하여 송신하는 서버 사이드 시스템; 및 상기 디지털 서명 헤더를 수신하여 포맷 및 값이 적절한지의 여부를 체크하고, 상기 콘텐트의 해시 다이제스트를 계산하여 상기 디지털 서명 헤더의 메시지 다이제스트 필드와 비교하고, 상기 디지털 서명 헤더의 서명 필드의 해시 값을 인증서 필드에서 추출되는 공개 키를 사용하여 복호화하는 인증 프로세스를 수행하는 IPTV 수신 디바이스를 포함할 수 있다.
상기 서버 사이드 시스템은 상기 인증서 필드에 상기 서명자의 인증서를 삽입하고, 상기 IPTV 수신 디바이스는 상기 인증서 필드에 삽입된 상기 서명자의 인증서로부터 상기 공개키를 추출할 수 있다.
상기 인증 프로세스는 상기 IPTV 수신 디바이스의 네이티브 보안 솔루션에 의하여 수행될 수 있다. 상기 IPTV 수신 디바이스는 IPTV 수신 디바이스의 보안 특성을 미리 정해진 기준에 따라 등급화한 보안 솔루션 레벨과 연계될 수도 있다.
유리한 효과
이상 설명한 바와 같이, 본 발명에 따르면 보안 다운로드 또는 보안 메시지의 전송 시 보안 솔루션 인증 프로세스를 제공할 수 있다. 특히, 본 발명은 수행 가능한 소프트웨어의 보안 다운로드, DRM 코드의 보안 다운로드, 구성 파일이나 일회성 코멘드의 보안 전송, EAS 메시지의 보안 전송 등이 수행에 용이하게 적용할 수 있을 것이다.
도 1은 IPTV 서비스를 위한 DRM(Digital Rights Management) 컴포넌트들을 도시하는 블록도이다.
도 2는 IPTV 시스템에서의 보안 솔루션 인증 프로세스를 설명하기 위한 예시도이다.
도 3은 디지털 서명 및 서명된 콘텐트의 포맷을 나타내는 테이블을 도시하는 예시도이다.
도 4는 도 3에 도시되어 있는 'signed data'의 필드 구조를 나타내는 테이블을 도시하는 예시도이다.
도 5는 도 2에 도시되어 있는 보안 솔루션 인증 프로세스의 사이닝 프로세스를 설명하기 위한 흐름도이다.
도 6은 도 2에 도시되어 있는 보안 솔루션 인증 프로세스의 인증 프로세스를 설명하기 위한 흐름도이다.
도 7은 디바이스의 보안 솔루션 레벨을 지정하는 기준이 되는 보안 솔루션 레벨 테이블을 나타내는 예시도이다.
도 8은 IPTV 시스템에서 콘텐트의 공유를 위한 시스템의 구성을 개략적으로 도시하는 블록도이다.
도 9는 SRM(Sorce Removable Media)를 통하여 디바이스간에 콘텐트를 전송하는 시나리오를 도시하는 흐름도이다.
도 10은 SRM(Sorce Removable Media)를 통하여 디바이스간에 다수 개의 콘텐트를 전송하는 시나리오를 도시하는 흐름도이다.
도 11은 실시간 실시간 방송 서비스와 온디멘드 서비스를 연동하여 서비스를 제공하는 실시예를 나타내는 흐름도이다.
도 12는 권한 주입자를 이용하여 권한 저장소로 사용자의 권한을 저장하는 예를 도시하는 예시도이다.
<도면의 주요 부분에 대한 부호 설명>
S1 : 사이닝 프로세스
S2 : 인증 프로세스
발명의 실시를 위한 형태
이하, 본 발명이 속하는 분야에 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다. 이하에 설명할 본 발명의 바람직한 실시예에서는 내용의 명료성을 위하여 특정한 기술 용어를 사용한다. 하지만 본 발명은 그 선택된 특정 용어에 한정되지는 않으며, 각각의 특정 용어가 유사한 목적을 달성하기 위하여 유사한 방식으로 동작하는 모든 기술 동의어를 포함함을 미리 밝혀둔다.
도 1은 IPTV 서비스를 위한 DRM(Digital Rights Management) 컴포넌트들을 도시하는 블록도로서, IPTV 서비스를 제공하기 위한 IPTV 시스템의 구성을 보안에 필요한 요소들을 위주로 보여주고 있다.
도 1에 도시된 바와 같이, 서버 사이드 DRM 시스템(Server Side DRM System)(30)은 방송 콘텐트 서버(10) 또는 VOD(Video On Demand) 저장소(Repository)(20)로부터 콘텐트를 제공받는다. 서버 사이드 DRM 시스템(30)은 실시간 암호화 모듈(Real-Time Encryption Module)(32), 키 관리 모듈(Key Management Module)(34), 오프라인 암호화 모듈(Off-line Encryption Module)(36), DRM 시스템 관리 서버(DRM System Management Server)(38) 등을 구비할 수 있다.
실시간 암호화 모듈(32)은 키 관리 모듈(34)에 의하여 제공되는 키를 사용하여 방송 콘텐트 서버(10) 또는 VOD 저장소(20)로부터 제공되는 미디어 콘텐트를 실 시간으로 암호화하고, 암호화된 실시간 콘텐트의 스트림을 출력할 수 있다. 실시간 암호화 모듈(32)로부터 출력되는 콘텐트 스트림은 IPTV 수신 디바이스(IPTV Receiving Device)(70)로 전달된다. 실시간 암호화 모듈(32)은 방송 콘텐트 서버(10) 또는 VOD 저장소(20)와 어플리케이션 레벨로 인터페이스할 수 있으며, 필요에 따라 서버 사이드 DRM 시스템(30)의 구성 요소들과 연동할 수도 있다.
오프라인 암호화 모듈(36)은 특정 시간 동안 VOD 서버(40)로 저장되게 될 미디어 콘텐트를 방송 콘텐트 서버(10) 또는 VOD 저장소(20)로부터 수신하여 암호화하고, 이를 VOD 서버(40)로 제공한다. 이러한 오프라인 암호화 모듈(36)은 VOD 서버(40)의 입력 포트와 연결된다. 오프라인 암호화 모듈(36)은 방송 콘텐트 서버(10) 또는 VOD 저장소(20)와 어플리케이션 레벨로 인터페이스할 수 있으며, 필요에 따라 서버 사이드 DRM 시스템(30)의 구성요소들과 연동할 수 있다.
키 관리 모듈(34)은 실시간 암호화 모듈(32), 오프라인 암호화 모듈(36) 또는 IPTV 수신 디바이스(70)로 적합한 암호화 키를 제공하고 관리할 수 있다. 키 관리 모듈(34)로부터의 스트림은 IPTV 수신 디바이스(70)로 전달될 수 있으며, IPTV 수신 디바이스(70)와 어플리케이션 레벨로 인터페이스할 수 있다.
DRM 시스템 관리 서버(38)는 DRM 솔루션의 중심 코어(Central Core) 역할을 수행한다. 예를 들면 DRM 시스템 관리 서버(38)는 서버 사이드 DRM 시스템(30)의 서브 엘리먼트들, 예컨대 실시간 암호화 모듈(32), 키 관리 모듈(34), 오프라인 암호화 모듈(36) 등을 적절하게 제어하며, 서버 사이드 미들웨어(50)와 연동할 수 있다. 또한 DRM 시스템 관리 서버(38)는 서버 사이드 DRM 시스템(30)의 구성 요소들 또는 IPTV 수신 디바이스(70)의 DRM 컴포넌트(72) 등에게 보안 서비스들, 예컨대 인증 등을 제공할 수 있다.
VOD 서버(40)는 암호화된 콘텐트를 저장하고, 서버 사이드 미들웨어(50)의 명령에 따라 암호화된 콘텐트를 제공할 수 있다. IPTV 네트워크(60)는 서버 사이드 DRM 시스템(30) 또는 VOD 서버(40)로부터 송신되는 다양한 패킷 스트림이 그 IP 주소에 따라 IPTV 수신 디바이스(70)로 적절히 전송될 수 있도록 루트를 제공한다.
IPTV 수신 디바이스(70)는 클라이언트 사이드에 구비될 수 있다. IPTV 수신 디바이스(70)는 사용자가 사용자의 뷰잉 디바이스(Viewing Device), 예컨대 TV 등으로 사용자에게 권한이 부여된(예컨대, 미디어 콘텐트의 구매 등을 통하여 권한을 얻을 수 있음) 미디어 콘텐트를 시청할 수 있도록 해당 기능들을 제공한다. IPTV 수신 디바이스(70)는 IP 네트워크(60)와 연결되어 서버 사이드 DRM 시스템(30) 또는 VOD 서버(40)로부터 수신되는 암호화된 콘텐트를 처리하여 재생 또는 저장할 수 있으며, 경우에 따라서는 홈 네트워크 등을 기반으로 구성되는 사용자 도메인의 디바이스로 콘텐트를 재분배할 수도 있다.
IPTV 수신 디바이스(70)는 콘텐트의 보호와 관련된 기능들을 수행하는 IPTV 수신 디바이스 DRM 컴포넌트(72), 콘텐트의 사용과 관련한 기능들을 수행하는 IPTV 수신 디바이스 소프트웨어(74) 등을 포함할 수 있다. 이러한 IPTV 수신 디바이스(70)는, 예컨대 IPTV 셋톱박스 또는 IPTV 셋톱박스에 상응하는 기능이 구비된 네트워크 디바이스 등일 수 있다.
한편, 서버 사이드에서는 IPTV 수신 디바이스(70)로 보안 다운로드(Secure Download) 또는 보안 메시지(Secure Message)와 관련된 다양한 데이터들을 전송할 수 있다. 이러한 데이터들의 전송을 위해서는 보안 솔루션 인증(Security Solution Authentication)이 요구된다. 보안 솔루션 인증이 요구되는 데이터는 크게 비보존 데이터(Non-Persistent Data) 및 보존 데이터(Persistent Data)로 구분될 수 있다.
상기 비보존 데이터는 IPTV 수신 디바이스(70)로 수신되는 리셉션 타임(Reception Time)에만 사용되는 데이터를 의미할 수 있다. 상기 비보존 데이터인 EAS(Emergency Alert System) 메시지의 보안 전송, 일회성 명령(One-Time Commands)의 보안 전송, 앤드투앤드(End-to-End) 통신 등에서는 상기 보안 솔루션 인증이 요구된다. 한편, 상기 보존 데이터는 리셉션 타임 후에도 IPTV 수신 디바이스(70) 내에 보존되는 데이터를 의미할 수 있다. 상기 보존 데이터인 실행 가능한 소프트웨어(Executable Software)의 보안 다운로드, DRM 코드의 보안 다운로드, 컨피그레이션 파일(Configuration Files)의 보안 전송, 인증서 계급체계(Certificate Hierarchy)의 업데이트 등에서는 상기 보안 솔루션 인증이 요구된다.
이하에서는 상술한 보안 다운로드 또는 보안 메시지의 전송을 위해 필수적으로 요구되는 보안 솔루션 인증 절차에 관하여 설명하기로 한다.
도 2는 IPTV 시스템에서의 보안 솔루션 인증 프로세스를 설명하기 위한 예시도이다.
도 2에 도시된 바와 같이, 보안 솔루션 인증 프로세스는 사이닝 프로세스(Signing Process)(단계:S1)와 인증 프로세스(Authentication Process)(단계:S2)를 포함한다. 상기 사이닝 프로세스(단계:S1)는 서버 사이드의 특정 시스템, 예컨대 서버 사이드 DRM 시스템 등에서 수행할 수 있다. 상기 인증 프로세스(단계:S2)는 IPTV 수신 디바이스의 특정 요소, 예컨대 네이티브 보안 솔루션(Native Security Solution) 등에서 수행할 수 있다.
상기 네이티브 보안 솔루션은 IPTV 수신 디바이스의 생산 시(Manufacturing Time)에 하드웨어, 소프트웨어 또는 하드웨어와 소프트웨어가 혼합된 형태로 IPTV 수신 디바이스에 구비될 수도 있다. 네이티브 보안 솔루션은 보안 솔루션 인증을 위한 인증 프로세스, 무결성 체킹(Integrity Checking) 등을 수행할 수 있다.
IPTV 수신 디바이스로 콘텐트를 전송하기 위하여, 서버 사이드는 전송할 오리지날 콘텐트에 디지털 서명 헤더(Digital Signature Header)를 연계시키는 사이닝 프로세스(단계:S1)를 수행하고, 서명된 콘텐트(Signed Content)를 IP 네트워크를 통하여 IPTV 수신 디바이스로 전송한다. IPTV 수신 디바이스는 서명된 콘텐트를 수신하여 인증 프로세스(단계:S2)를 수행함으로써 콘텐트를 검증할 수 있다.
상기 콘텐트는 보안 전송되는 소프트웨어, 보안 메시지 등일 수 있으며, 비보존 데이터일 수도 있고 보존 데이터일 수도 있다. 예를 들어, EAS(Emergency Alert System) 메시지의 보안 전송, 일회성 명령(One-Time Commands)의 보안 전송, 앤드투앤드(End-to-End) 통신, 실행 가능한 소프트웨어(Executable Software)의 보안 다운로드, DRM 코드의 보안 다운로드, 컨피그레이션 파일(Configuration Files)의 보안 전송, 인증서 계급체계(Certificate Hierarchy)의 업데이트 등에서는 도 2에 도시된 보안 솔루션 인증이 수행될 수 있다.
사이닝 프로세스(단계:S1) 및 인증 프로세스(단계:S2)에는 수학적으로 서로 연관된 키 페어(Key Pair)가 사용될 수 있다. 예컨대, 상기 사이닝 프로세스(단계:S1)가 수행되는 사이닝 타임(Signing Time)에는 비밀 개인 키가 사용될 수 있으며, 상기 인증 프로세스(단계:S2)가 수행되는 인증 타임(Authentication Time)에는 공개 키가 사용될 수 있다. 콘텐트의 해시 다이제스트(Hash Digest), 즉 해시 값(Value)은 사이닝 타임과 인증 타임에서 계산될 수 있다. 사이닝 타임에서 계산되는 해시 값은 개인 키를 사용하여 암호화되어 디지털 서명(Digital Signature)의 일부분으로 삽입된다. 이는 인증 타임에서 개인 키를 사용하여 복호화되고 인증 타임에서 새롭게 계산된 해시와 비교될 수 있다.
한편, 승인된 서명자(Authorized Signer)는 공개 키, 식별 정보, 상위 레벨의 신뢰성 있는 인증서 승인자(Trusted Certificate Authority)에 의하여 사인된 디지털 서명 등을 포함하는 인증서를 특정 개체로부터 수여받을 수 있다. 상기 서명자의 인증서는 사이닝 프로세스(단계:S1) 시에 디지털 서명 헤더에 포함될 수 있다.
도 3은 디지털 서명 및 서명된 콘텐트의 포맷을 나타내는 테이블을 도시하는 예시도이다.
도 3에 도시된 바와 같이, 디지털 서명인 'signature{}'은 서명된 콘텐트에 헤더로서 프리픽스(Prefixed)된다. 디지털 서명 'signature{}'은 콘텐트 정보, 콘텐트 타입, 서명된 데이터를 각각 나타내는 필드인 'content info', 'content type', 'signed data'를 포함할 수 있다. 이때 상기 'signed data' 필드는 차후 도 4를 참조하여 상세히 설명할 것이다.
서명된 콘텐트인 'signed content{}'는 콘텐트가 삽입되는 'content()' 필드를 포함할 수 있다. 'content()' 필드에는 디지털적으로 서명된 소프트웨어 이미지 또는 메시지가 삽입될 수 있다. 예를 들어, 'content()' 필드는 소프트웨어 이미지 또는 메시지를 위한 8비트 배열(Octet)의 시퀀스를 포함할 수 있다. 서명된 콘텐트는 디지털 서명의 외부에 있어야 하며, 디지털 서명에 부가(Appended)되어야 한다.
도 4는 도 3에 도시되어 있는 'signed data'의 필드 구조를 나타내는 테이블을 도시하는 예시도이다.
도 4에 도시된 바와 같이, 서명된 데이터 'signed data' 필드는 서명자(Signer)의 인증서(certifkcate)를 삽입하기 위한 'certificates{}' 필드, 서명자 정보를 삽입하기 위한 'signerinfo{}' 필드 등을 포함할 수 있다.
'certificates{}'는 콘텐트를 위해 적당한 서명자의 인증서가 포함된다. 서명자의 인증서는 'certificated{}' 내의 'contentsignerCVC' 필드에 삽입될 수 있다. 또한 옵션으로 서명자의 인증서를 승인한 인증서 승인자 인증서(Certificate Authority Certificate)를 포함할 수도 있다. 상기 인증서 승인자 인증서는 'certificated{}' 내의 'CVC CA' 필드에 삽입될 수 있다.
'signerinfo{}'는 버전 정보가 삽입되는 'version' 필드, 서명자의 식별 정보를 포함하는 'sid' 필드, 콘텐트의 해시 다이제스트 계산에 사용하는 해싱 알고리즘의 정보가 삽입되는 'digestAlgrithm' 필드, 서명된 속성 관련 정보가 삽입되는 'signAttrs' 필드, 서명 알고리즘 관련 정보가 삽입되는 'signatureAlgorithm' 필드, 서명을 삽입하는 'signature' 필드 등을 포함할 수 있다. 'signAttrs' 필드 는 콘텐트 타입 정보를 삽입하는 'content type' 필드, 계산된 해시 값을 저장하기 위한 'messageDigest' 필드를 포함하며, 옵션으로 사이닝 타임 정보를 삽입하기 위한 'signingTime' 필드 등을 더 포함할 수도 있다. 상기 'messageDigest'는 개인 키로 암호화된 뒤 'signature' 필드에 저장될 수 있다.
도 5는 도 2에 도시되어 있는 보안 솔루션 인증 프로세스의 사이닝 프로세스(단계:S1)를 설명하기 위한 흐름도이다.
도 5에 도시된 바와 같이, 사이닝 프로세스는 서명된 콘텐트에 헤더로서 프리픽스드 되는 디지털 서명을 생성할 수 있다. 이때, 서명자는 개인 키와 인증서 승인자에 의하여 발행된 공개 키 인증서 등을 가지고 있어야 한다.
사이닝 프로세스는 서버 사이드의 특정 시스템에서 수행될 수 있다. 사이닝 프로세스가 시작되면, 먼저 콘텐트에 헤더로 붙여질 디지털 서명의 필드들이 준비되며, 필드의 속성들이 도 4에 도시된 테이블과 같이 세팅된다(단계:S11).
이어서, 콘텐트의 해시 다이제스트가 계산된다. 예를 들어, 'signAttrs' 및 'content()'를 커버하는 해시 다이제스트가 계산될 수 있다(단계:S12). 이때 해시 다이제스트의 계산에 사용되는 해싱 알고리즘은 'signerinfo'의 'digestAlgorithm' 필드 내에서 식별될 수 있다. 해시 다이제스트가 계산되면, 계산된 해시 값(즉 해시 다이제스트)은 'signerinfo' 내의 메시지 다이제스트 필드 즉, 'messageDigest'에 저장된다(단계:S13).
다음으로, 상기 메시지 다이제스트 필드 'messageDigest'의 내용은 비밀 개인 키를 사용하여 암호화된 후(단계:S14), 'signature' 필드로 삽입된다(단계 :S15). 또한 서명자의 인증서의 복사본은 인증서 필드인 'certificates{}' 내에 삽입되게 된다(단계:S16). 상기 서명자의 인증서에는 인증 프로세스에서 사용할 수 있는 공개 키가 포함되어 있다. 한편 부가적으로는 상기 'certificates{}' 내에는 인증서 승인자의 인증서가 삽입될 수도 있다. 서명자의 인증서는 신뢰된 관리 계층체계(Trusted Management Hierarchy)로 링크될 수도 있다.
이어서 상술한 과정을 통하여 생성되는 디지털 서명 헤더는 콘텐트 'content()'에 프리픽스드 되고, 도 3에 도시되어 있는 테이블과 같은 포맷이 되도록 합쳐진다(단계:S17).
디지털 서명 헤더가 프리픽스드된 서명된 콘텐트는 통신망을 통하여 서버 사이드로부터 IPTV 수신 디바이스로 전송된다. 그러면, IPTV 수신 디바이스는 서명된 콘텐트를 수신할 수 있다. 그러면 이때 보안 솔루션 인증 프로세스의 인증 프로세스가 수행될 수 있다.
도 6은 도 2에 도시되어 있는 보안 솔루션 인증 프로세스의 인증 프로세스(단계:S2)를 설명하기 위한 흐름도이다.
도 6에 도시된 바와 같이, 인증 프로세스는 수신되는 디지털 서명 헤더를 체킹하는 과정, 사이닝 타임에서 계산된 해시 값과 디지털 서명 헤더의 데이터를 토대로 계산한 해시 값을 비교하여 동일한지의 여부를 검증하는 등의 과정들을 포함할 수 있다. 이러한 인증 프로세스는 IPTV 수신 디바이스 내의 네이티브 보안 솔루션(Native Security Solution)에 의하여 수행될 수 있다.
인증 프로세스가 시작되면, IPTV 수신 디바이스는 사인된 콘텐트에 헤더로서 프리픽스드 되어 있는 디지털 서명이 도 4의 테이블에 기술된 내용과 대비하여 정당한 포맷과 값들을 가졌는지를 체크할 수 있다(단계:S21). 예를 들어, IPTV 수신 디바이스는 서명된 콘텐트의 디지털 서명 헤더에 대한 무결성 체크 등을 수행할 수 있다.
이어서, IPTV 수신 디바이스는 콘텐트의 해시 다이제스트를 계산한다(단계:S22). 예를 들어, IPTV 수신 디바이스는 'signAttrs' 및 'content()'를 커버하는 해시 다이제스트를 계산할 수 있다. 이때 해시 다이제스트의 계산에 사용되는 해싱 알고리즘은 'signerinfo'의 'digestAlgorithm' 필드 내에서 식별될 수 있다. 해시 다이제스트가 계산되면, IPTV 수신 디바이스는 계산된 해시 값(즉 해시 다이제스트)을 'signerinfo' 내의 메시지 다이제스트 필드 즉, 'messageDigest'와 비교할 수 있다(단계:S23).
또한, IPTV 수신 디바이스는 디지털 서명의 'signature' 필드에 삽입되어 있는 암호화된 해시(즉, 암호화된 'messageDigest')를 'certificates' 필드 내에서 추출 가능한 공개 키를 사용하여 복호화하고(단계:S24), 복호화된 값을 'signerinfo' 내의 메시지 다이제스트 필드 즉, 'messageDigest'와 비교할 수 있다(단계:S25). 예를 들어, IPTV 수신 디바이스는 'signature' 필드로부터 암호화된 해시를 추출하고, 'certificates'필드로부터 서명자의 인증서에 포함되어 있는 공개 키를 추출한 뒤, 추출된 공개 키를 사용하여 상기 추출된 암호화된 해시 값을 복호화하여 'messageDigest'와 비교할 수 있다. 상기 'certificates' 필드에 삽입되어 있는 서명자의 인증서는 신뢰된 관리 계층체계(Trusted Management Hierarchy)로 링크될 수도 있다.
IPTV 수신 디바이스는 상기 비교 결과, 계산된 해시 값 또는 복호화된 해시 값 'messageDigest'와 다를 경우 인증 에러를 발생시킬 수 있으며, 이 경우 서버 사이드로 에러 메시지, 재전송 요구 메시지 등을 전송할 수도 있다.
한편, 앞서도 언급한 바와 같이 인증 프로세스는 IPTV 수신 디바이스의 네이티브 보안 솔루션에 의하여 수행되는데, IPTV 수신 디바이스마다 구비된 네이티브 보안 솔루션의 수행 환경(Execution Environment)이 다를 수 있다. 왜냐하면 IPTV 수신 디바이스는 서로 다른 다른 디바이스 생산자에 의하여 디자인될 수 있으며 이로 인하여 서로 다른 어플리케이션, 보안 능력치 등을 가지기 때문이다.
따라서, 보안 솔루션 인증의 신뢰성을 높이기 위해서는 IPTV 수신 디바이스의 보안 수준을 나타내는 정보가 요구된다. 이에 따라 보안 솔루션 레벨(Security Solution Level)의 개념을 도입할 수 있다. 보안 솔루션 레벨은 디바이스의 보안 특성을 미리 정해진 기준에 따라 등급화한 정보를 의미할 수 있다. 보안 솔루션 레벨은 보안 솔루션 인증을 위한 디바이스의 수행 환경을 나타내는 보안 솔루션 프로파일일 수 있다. 디바이스는 그 디바이스의 보안 솔루션 인증 프로세스의 보안 수준에 따라 지정되는 보안 솔루션 레벨과 연계될 수 있다. 상기 미리 정해진 기준이란 보안 솔루션 레벨 테이블일 수 있다.
도 7은 디바이스의 보안 솔루션 레벨을 지정하는 기준이 되는 보안 솔루션 레벨 테이블을 나타내는 예시도이다.
도 7에 도시된 바와 같이, 보안 솔루션 레벨 테이블(SSLT)은 예시적으로 5개 의 등급의 보안 솔루션 레벨을 정의할 수 있다.
레벨 0은 비보안 수행 환경(Non-Secured Execution Environment)에서 보안 솔루션 인증 프로세스의 인증(Authentication) 및 무결성(Integrity) 체크를 수행하지 않는 보안 수준을 의미할 수 있다. 보안 솔루션 레벨이 레벨 0인 디바이스는 보안 솔루션 인증 프로세스를 인증하지 않고 보안 솔루션 인증 프로세스를 개시(Initiate)한다. 따라서 디바이스의 보안 솔루션 레벨이 레벨 0라면 그 디바이스는 보안이 상당히 취약한 디바이스라 할 수 있다. 레벨 0은 정의된 보안 솔루션 레벨 중 가장 신뢰도가 낮은 레벨이다.
레벨 1은 비보안 수행 환경에서 디바이스의 소프트웨어 엘리먼트(Element)(예컨대, 네이티브 보안 솔루션의 소프트웨어 엘리먼트)를 사용하여 보안 솔루션 인증 프로세스의 인증 및 무결성 체크를 검증하는 수준의 보안 솔루션 레벨을 의미할 수 있다. 레벨 1에서의 보안 솔루션 인증 프로세스는 디바이스의 소프트웨어 엘리먼트에 의하여 인증된 후 개시될 수 있다. 이러한 레벨 1은 앞서 언급한 레벨 0보다는 보안성 높다고 할 수 있다.
레벨 2는 비보안 수행 환경에서 디바이스의 하드웨어 엘리먼트(예컨대, 네이티브 보안 솔루션의 하드웨어 엘리먼트)를 사용하여 직접적으로 보안 솔루션 인증 프로세스의 인증 및 무결성 체크를 검증하는 레벨을 의미할 수 있다. 레벨 2에서의 보안 솔루션 인증 프로세스는 디바이스의 하드웨어 엘리먼트에 의하여 인증된 후 개시될 수 있다. 이러한 레벨 2는 앞서 언급한 레벨 1보다는 보안성 높다고 할 수 있다.
레벨 3은 보안 수행 환경(Secured Execution Environment)에서 디바이스의 소프트웨어 엘리먼트를 사용하여 보안 솔루션 인증 프로세스의 인증 및 무결성 체크를 검증하는 보안 솔루션 레벨을 의미할 수 있다. 레벨 3에서의 보안 솔루션 인증 프로세스는 보안 수행 환경 하에서 디바이스의 소프트웨어 엘리먼트에 의하여 인증된 후 개시될 수 있다. 이러한 레벨 3은 앞서 언급한 레벨 2보다는 보안성 높다고 할 수 있다.
레벨 4는 보안 수행 환경에서 디바이스의 하드웨어 엘리먼트를 사용하여 직접적으로 보안 솔루션 인증 프로세스의 인증 및 무결성 체크를 검증하는 보안 솔루션 레벨을 의미할 수 있다. 레벨 4에서의 보안 솔루션 인증 프로세스는 보안 수행 환경 하에서 디바이스의 하드웨어 엘리먼트에 의하여 인증된 후 개시될 수 있다. 이러한 레벨 4는 앞서 언급한 레벨 3보다 보안성 높으며, 정의된 보안 솔루션 레벨 등급 중 가장 신뢰도가 높다고 할 수 있다.
IPTV 수신 디바이스는 해당 디바이스의 보안 수준에 따라 상술한 기준에 해당하는 보안 솔루션 레벨을 가질 수 있다. 이러한 보안 솔루션 레벨은 디바이스의 인증서 내의 특정 필드에 삽입됨으로써 해당 디바이스와 연계될 수도 있고, 또는 디바이스의 보안 솔루션 레벨을 나타내는 인증서인 디바이스 프로파일 인증서(Device Profile Certificate)에 삽입됨으로써 해당 디바이스와 연계될 수도 있다.
보안 솔루션 인증 프로세스 시에는 IPTV 수신 디바이스의 보안 솔루션 레벨을 고려할 수 있다. 예를 들어, IPTV 수신 디바이스로 보안 다운로드나 보안 메시지를 서명된 콘텐트로 전송할 때 IPTV 수신 디바이스의 보안 솔루션 레벨이 필요한 보안 솔루션 레벨을 만족하지 못하면 인증을 승인하지 않을 수도 있다. IPTV 수신 디바이스의 보안 솔루션 레벨은 서버 사이드 또는 IPTV 수신 디바이스에서 저장 또는 관리될 수 있으며, 보안 솔루션 레벨이 포함된 인증서는 서버 사이드에서 발행한 후 IPTV 수신 디바이스에 저장될 수 있다.
한편, IPTV 수신 디바이스는 서버 사이드로부터 수신되는 콘텐트(예컨대, 영화, 음원, 이미지 등과 같은 미디어 콘텐트 등) 및 콘텐트 관련 정보(예컨대, 라이선스, 메시지 등)를 도메인에 포함된 다른 디바이스로 전송함으로써 콘텐트의 공유를 가능하게 할 수도 있다.
이러한 콘텐트의 공유를 위해서 도메인의 개념을 도입한다. 도메인은 승인된 디바이스(Authorized Device) 디바이스인 도메인 디바이스의 집합으로서, 도메인 서비스가 적용되는 범위를 의미할 수 있다. 도메인 내에 포함된 도메인 디바이스 간에는 허용된 권한에 따라 콘텐트를 공유하고 사용할 수 있다.
이러한 도메인은 물리적, 논리적 또는 물리적 및 논리적인 범위 내에 존재하는 디바이스들을 묶어 구성할 수 있다. 이러한 도메인을 구성하기 위해서는 로컬 환경이 요구될 수 있다. 이때 로컬 환경이란 특정한 로컬 영역 내에 속한 디바이스들이 상호 연동될 수 있는 물리적인 네트워크가 마련되어 있고, 이 물리적인 네트워크가 외부의 네트워크와도 연동할 수 있는 환경을 의미할 수 있다.
이와 같은 로컬 환경을 제공할 수 있는 예로서, 홈 네트워크 시스템을 들 수 있다. 홈 네트워크 시스템은 유선 또는 무선 로컬 네트워크를 통하여 가정 내의 가전기기, 각종 센서들, 보안 기기 등의 상호 연동이 가능하며, 홈 게이트웨이와 같 은 통신 노드를 통하여 인터넷 등과 같은 외부 네트워크와도 연동할 수 있다. 상기 로컬 환경은 이러한 홈 네트워크 시스템뿐만 아니라 상호 연동 가능한 2개 이상의 네트워크 디바이스가 존재한다면 구성 가능하다.
이하에서는 이러한 로컬 환경이 마련된 영역을 도메인 영역이라 칭하기로 한다. 도메인 영역 내에는 다수의 디바이스가 존재할 수 있다. 사용자는 이러한 디바이스들을 이용하여 도메인을 구성하고 도메인 디바이스 간에 컨텐츠를 공유하며 사용할 수 있다.
한편 사용자는 다수의 도메인을 구성하고 도메인 간에 데이터를 공유할 수도 있다. 예를 들어, 사용자는 홈 네트워크 A를 이용하여 적어도 하나의 승인된 서비스 도메인(Authorized Service Domain)을 구성할 수 있으며, 홈 네트워크 B를 통하여 적어도 하나의 승인된 서비스 도메인을 구성할 수 있다. 이 경우 사용자는 상기 승인된 서비스 도메인들을 포함하는 가입자의 승인된 서비스 도메인(Subscriber's Authorized Service Domain)을 구성하여 도메인 간의 공유 서비스를 제공받을 수도 있다.
승인된 서비스 도메인은 해당 도메인을 관리하는 도메인 매니저에 의하여 만들어지고 관리될 수 있다. 도메인 매니저는 도메인으로의 디바이스 등록 및 해지 등을 관리할 수 있다. 가입자의 승인된 서비스 도메인은 가입자의 승인된 서비스 도메인의 매니저에 의하여 만들어지고 관리될 수 있다. 상기 매니저는 해당 가입자의 승인된 서비스 도메인 내에 포함된 승인된 서비스 도메인들을 각각 관리하는 도메인 매니저들과 연동할 수 있다.
도 8은 IPTV 시스템에서 콘텐트의 공유를 위한 시스템의 구성을 개략적으로 도시하는 블록도이다.
도 8에 도시된 바와 같이, IPTV 수신 디바이스(220)는 IP 네트워크를 통하여 서비스 제공자(100)와 연동할 수 있다. 또한 IPTV 수신 디바이스(220)는 다른 한편으로 홈 디바이스(240)들과 연동할 수 있다.
IPTV 수신 디바이스(220) 및 홈 디바이스(240)는 콘텐트의 공유를 위하여 도메인(200)에 조인(Join)할 수 있다. 즉, IPTV 수신 디바이스(220) 및 홈 디바이스(240)는 도메인 디바이스일 수 있다. 도메인(200)에 조인하기 위하여 IPTV 수신 디바이스(220) 및 홈 디바이스(240)는 각각의 서비스 제공자(100)에게 도메인(200)으로의 조인을 요청하고, 서비스 제공자(100)는 해당 디바이스를 인증한 후 그 디바이스로 인증서를 발급하고 도메인(200)에 등록할 수 있다. 상술한 예는 서비스 제공자(100)가 도메인 매니저를 포함하는 경우를 예를 들었으나 이는 한정적인 의미는 아니며, 도메인 매니저는 서비스 제공자와는 별개의 서버로 운영될 수도 있고 또는 도메인 내에 포함될 수도 있다.
도메인(200)이 구성되면, IPTV 수신 디바이스(220)는 서비스 제공자(100)로부터 콘텐트 안내 정보를 요청하여 수신할 수 있다. 이때 컨텐츠 안내 정보는 서비스 컨텐츠의 일정, 목록, 부가 정보 등을 안내하는 정보로서, 예컨대 EPG(Electronic Program Guide), CPG(Content Program Guide), VoD 컨텐츠 가이드, IPG(Interactive Program Guide) 등일 수 있다.
IPTV 수신 디바이스(220)는 서비스 제공자(100)로부터 수신한 컨텐츠 안내 정보를 사용자 인터페이스에 부합하도록 가공하여 표시할 수 있다. 사용자는 표시된 컨텐츠 안내 정보에서 원하는 컨텐츠를 선택할 수 있다. 그러면 IPTV 수신 디바이스(220)는 선택된 컨텐츠를 서비스 제공자(100)에게 요청할 수 있다.
IPTV 수신 디바이스(220)로부터의 요청에 따라 서비스 제공자(100)는 해당 컨텐츠를 IPTV 수신 디바이스(220)로 전송한다. 이때 서비스 제공자(100)는 상기 컨텐츠와 더불어 상기 컨텐츠의 사용을 위하여 필요한 컨텐츠 관련 정보들, 예컨대 보안 정보(Security Information), 유시지 권한 정보(Usage Rights Information), 리보케이션 리스트 정보(Revocation List Information) 등을 IPTV 수신 디바이스(220)로 전송할 수도 있다.
IPTV 수신 디바이스(220)는 콘텐트를 수신한 후 저장 또는 재생할 수 있으며, 홈 디바이스(240)로 전송할 수도 있다. 디바이스간에는 다양한 루트를 통하여 콘텐트를 전송할 수 있다. 예를 들어 콘텐트를 송신하는 디바이스와 수신하는 디바이스 간에 보안 인증 채널(Secure Authentication Channel)을 형성한 뒤 그 보안 인증 채널을 통하여 콘텐트를 전송할 수도 있으며, 또는 스마트 카드 등과 같은 저장 매체를 통해서 콘텐트를 전송할 수도 있다.
콘텐트의 전송을 위해서는 도메인 클라이언트(Domain Client), 콘텐트 중재자(Content Mediator), 콘텐트 반출자(Content Exporter), 콘텐트 반입자(Content Importer) 등의 모듈들이 필요하다. 상기 모듈들은 다양한 디바이스에 설치될 수 있는데, 도메인 클라이언트와 콘텐트 반출자는 송신 디바이스에, 콘텐트 반입자는 수신 디바이스에, 콘텐트 중재자는 송신 디바이스, 수신 디바이스 또는 제 3의 디 바이스 에 설치되는 것이 용이하다. 그러나 이는 한정된 사항은 아니며 상기 모듈들의 설치 위치는 실시 환경에 따라 다양하게 변형될 수 있다.
도 9는 SRM(Sorce Removable Media)를 통하여 디바이스간에 콘텐트를 전송하는 시나리오를 도시하는 흐름도이다. 상기 SRM(340)은 스마트 카드(Smart Card)와 같이 호스트 디바이스에 접속 가능한 포터블 미디어를 의미할 수 있다. SRM 내에는 콘텐트의 공유를 지원하기 위한 소프트웨어 모듈들과 인증서 등이 저장되어 있다.
도 9를 참조하면, 본 실시예에서는 콘텐트 반출자(330)는 송신 디바이스에 구비되으며, 콘텐트 반입자(350))는 수신 디바이스에 구비되어 있다고 가정한다. 도메인 클라이언트(310)와 콘텐트 중재자(320)의 경우 송신 디바이스에 구비되는 것이 바람직하나 한정적인 사항은 아니다.
먼저, 도메인 클라이언트(310)는 콘텐트 중재자(320)로 콘텐트의 전송을 요청한다(단계:S31). 그러면 콘텐트 중재자(320)는 콘텐트 반출자(330) 및 콘텐트 반입자(350)로 각각 콘텐트의 반출 및 반입을 요청하는 요청 메시지를 송신할 수 있다(단계:S32, S33).
이어서, 송신 디바이스에 SRM(340)이 삽입되면 콘텐트 반출자(330)는 SRM(340)을 인식한 뒤(단계:S34), 인증을 수행한다(단계:S35, S36). 인증 메카니즘은 예컨대 PKI(Public Key Infrastructure) 인증 메카니즘을 따를 수 있다. 콘텐트 반출자(330), 콘텐트 반입자(350), SRM(340)은 신뢰된 기관(예컨대 서버 사이드의 특정 개체 등)으로부터 인증서를 각각 발급받는다. 인증 프로시저에서는 상호 인증이 수행될 수 있다. 인증 시에는 디바이스의 식별, 능력치 식별, 인증서의 검증(예 컨대 인증서의 교환, 인증서의 리보케이션 체크 등) 등이 수행될 수 있다. 또한, 인증 시 콘텐트 반출자(330) 또는 SRM(340)은 필요에 따라 외부의 OCSP(On-line Certificate Status Protocol) 서버(미도시)와 연동할 수도 있다.
인증이 완료되면, 콘텐트 반출자(330)는 반출 기능을 이용하여 SRM(340)으로 콘텐트를 전송하고(단계:S37), SRM(340)은 콘텐트를 저장한 뒤(단계:S38), 확인 메시지를 송신한다(단계:S39). 이를 통해 콘텐트 반출자(330)는 콘텐트 및 DRM 정보를 SRM(340)으로 전송할 수 있다. 그러면 목적지인 수신 디바이스로 전송하기 위한 콘텐트가 SRM(340)에 저장되게 된다. 콘텐트의 전송 시 콘텐트 반출자(330)와 SRM(340)은 세션 키를 이용한 보안 인증 채널을 설립할 수도 있다.
다음으로, 수신 디바이스에 SRM(340)이 삽입되면 콘텐트 반입자(350)는 SRM(340)을 인식한 뒤(단계:S40), 인증을 수행한다(단계:S41, S42). 인증 프로시저에서는 디바이스의 식별, 능력치 식별, 인증서의 교환, 인증서의 리보케이션 체크 등을 통한 인증서의 유효성 검증 등이 수행될 수 있다. 인증시 콘텐트 반입자(350)또는 SRM(340)은 필요에 따라 OCSP 서버와 연동할 수도 있다. 인증이 완료되면, 콘텐트 반입자(350)는 반입 기능을 이용하여 SRM(340)으로부터 콘텐트를 수신하여 반입한다(단계:S43, S44, S45). 이때 콘텐트 반입자(350)는 SRM(340)으로부터 콘텐트 및 DRM 정보를 가져올 수 있다.
도 10은 SRM(Sorce Removable Media)를 통하여 디바이스간에 다수 개의 콘텐트를 전송하는 시나리오를 도시하는 흐름도이다.
도 10을 참조하면, 본 실시예에서는 콘텐트 반출자(330)는 송신 디바이스에 구비되으며, 콘텐트 반입자(350)는 수신 디바이스에 구비되어 있다고 가정한다. 도메인 클라이언트(310)와 콘텐트 중재자(320)의 경우 송신 디바이스에 구비되는 것이 바람직하나 한정적인 사항은 아니다.
도 10에 도시된 바와 같이, 다수 개의 콘텐트를 전송하기 위한 전체적인 전송 절차는 앞서 설명한 도 9에 도시된 절차와 거의 동일하지만, 본 실시예에서는 다수 개의 콘텐트를 전송하기 때문에 콘텐트 반출자(330)와 SRM(340)의 인증 후 콘텐트 반출자(330)로부터 SRM(340)으로 콘텐트들이 순차적으로 전송되고, SRM(340)과 콘텐트 반입자(350)의 인증 후 SRM(330)에서 콘텐트 반입자(350)로 콘텐트들이 순차적으로 전달된다.
예를 들면, 도메인 클라이언트(310)는 콘텐트 중재자(320)로 다수 개의 콘텐트의 전송을 요청한다. 그러면 콘텐트 중재자(320)는 콘텐트 반출자(330) 및 콘텐트 반입자(350)로 각각 다수 개의 콘텐트의 반출 및 반입을 요청하는 요청 메시지를 송신한다. 송신 디바이스에 SRM(340)이 삽입되면 콘텐트 반출자(330)는 SRM(340)을 인식한 뒤 인증을 수행한다. 인증이 완료되면, 콘텐트 반출자(330)는 반출 기능을 이용하여 제 1 콘텐트부터 마지막 콘텐트까지 하나씩 순차적으로 전송하고, SRM(340)은 이들을 하나씩 수신하여 저장한 뒤 확인 메시지를 각각 송신한다. 다음으로, 수신 디바이스에 SRM(340)이 삽입되면 콘텐트 반입자(350)는 SRM(340)을 인식한 뒤 인증을 수행한다. 인증이 완료되면, 콘텐트 반입자(350)는 반입 기능을 이용하여 제 1 콘텐트부터 마지막 콘텐트까지 하나씩 SRM(340)으로부터 가져와서 반입할 수 있다.
한편, IPTV 시스템은 실시간 방송 서비스와 온디멘드(OnDemand) 서비스를 연동하여 다양한 서비스를 제공할 수 있다. 예를 들어, IPTV 시스템은 실시간 방송을 시청하던 사용자가 어떤 이유에서 해당 방송을 방송 시간에 제약 없이 온디멘드 콘텐트의 형태로 제공받거나 전달할 수 있도록 하는 서비스를 제공할 수 있다.
실시간 방송 서비스와 온디멘드 서비스의 연동을 통해 제공할 수 있는 서비스는 다음과 같은 예들이 있다.
시나리오 1.
사용자가 실시간 방송을 시청 중에 있으며, 사용자는 현재 시청 중인 방송 프로그램을 시간 제약없이 시청하고자 한다. 사용자는 시청 중인 방송 프로그램에 해당하는 온디멘드 콘텐트의 제공을 서비스 제공자에게 요청한다. 그러면 서비스 제공자는 해당 콘텐트에 대한 온디멘드 서비스를 제공하고, 사용자는 추후 원하는 시간에 온디멘드 콘텐트를 시청할 수 있다. 또한 사용자가 원하면 즉시 온디멘드 콘텐트 서비스로 전환할 수도 있다.
시나리오 2.
사용자 A는 실시간 방송 프로그램 A1을 시청하고 있으며, 현재 시청 중인 방송 프로그램 A1을 사용자 B에게 알리고자 한다. 사용자 A는 시청 중인 방송 프로그램 A1에 대한 정보와 사용자 B에 대한 정보(예컨대, ID, E-mail ID, Phone Number, SMS, MMS, IMID 등)을 서비스 제공자에게 전달한다. 그러면 서비스 제공자는 사용자 A가 시청 중인 방송 프로그램 A1에 대한 정보를 사용자 B에게 송신하고, 사용자 B도 방송 프로그램 A1을 수신할 수 있다.
시나리오 3.
상기 시나리오 1 또는 시나리오 2에 북마크(Bookmark) 기능을 제공한다. 예를 들어, 서비스 제공자는 사용자가 보던 방송의 전체를 온디멘드 서비스로 제공하거나, 사용자가 보다가 중단한 부분의 방송부터 온디멘드 서비스로 볼 수 있는 온디멘드 서비스 보기 기능을 제공한다.
시나리오 4.
상기 시나리오 1 내지 시나리오 3에 트릭 모드(Trick Mode) 기능을 제공한다. 예를 들어, 현재 시청 중인 방송을 트릭 모드 또는 북마크를 통하여 원하는 장명 또는 구간으로 이동할 수 있다.
도 11은 실시간 실시간 방송 서비스와 온디멘드 서비스를 연동하여 서비스를 제공하는 실시예를 나타내는 흐름도이다.
도 11에 도시된 바와 같이, 먼저 사용자 A는 서비스 제공자로부터 방송 서비스를 수신하고 있다(단계:S51). 이때 사용자 A는 온디멘드 서비스가 가능한지를 검사할 수 있다(단계:S52). 만약 가능할 경우 사용자 A는 서비스 제공자로 온디멘드 서비스를 요청할 수 있다(단계:S53). 요청 시에는 디바이스 또는 유저 ID, 콘텐트 ID, 북마크 정보 등을 서비스 제공자로 제공할 수 있다.
그러면 서비스 제공자는 사용자 A에게 온디멘드 서비스를 제공한다(단계:S54). 이때 다운로드 서비스를 제공 할 것인지 스트리밍 서비스를 제공 할 것인지는 사용자 A의 요청에 따라 정해질 수 있으며, 사용자 A에 의해 요청된 형태로 서비스를 제공할 수 있다.
한편, 사용자 A는 친구 정보를 확인한 뒤(단계:S55), 사용자 B에게 시청 중인(또는 원하는) 프로그램을 알리기 위하여 서비스 제공자에게 서비스를 요청할 수 있다(단계:S56). 이때 사용자 A는 프로그램 정보(예컨대 콘텐트 ID, 북마트 정보, 사용자 B의 정보, 전송 타입 등을 서비스 제공자로 제공할 수 있다.
서비스 제공자는 해당 프로그램의 정보를 사용자 B로 전송하고(단계:S57), 사용자 B는 프로그램에 대한 요청을 서비스 제공자로 전송한다(단계:S58). 그러면 서비스 제공자는 사용자 B로부터 요청된 방송 프로그램을 사용자 B로 전송한다(단계:S59).
한편, 도메인 내에서 콘텐트를 공유할 때는 DRM 상호 호환 시스템(DRM Interoperable System)이 적용될 수 있다. DRM 상호 호환 시스템에서 권한 정보를 효율적으로 처리하는 것이 요구된다. 이하에서는, DRM 상호 호환 시스템에서 권한 정보를 저장하고 저작권 만료 콘텐트를 처리하는 과정을 설명하기로 한다.
DRM 상호 호환 시스템의 구성요소를 살펴보면 다음과 같다.
클라이언트 : 도메인 디바이스에 포함되는 모듈로서, DRM 콘텐트의 변환이 필요할 때 DRM 상호 호환 시스템으로 콘텐트 및 라이선스의 변환을 요청할 수 있다. 즉 클라이언트가 속한 디바이스의 DRM 시스템에 부합되는 콘텐트 및 라이선스 파일을 요청할 수 있다.
권한 중재자(Rights Mediator) : 클라이언트로부터 라이선스 변환 요청 정보를 수신하고, 클라이언트에 대한 인증 및 변환 요청 정보에 부합되는 권한 여부를 확인하는 모듈이다.
권한 레지스트리(Righst Registry) : DRM 상호 호환 시스템에서 유통되는 권한 징표(Rights Token)을 저장하는 저장소이다. 권한 징표는 복수의 네이티브 DRM 시스템의 라이선스 정보를 추출할 수 있는 정보로서 DRM 상호 호환 시에 라이선스의 중간매개체 역할을 한다. 권한 징표는 서비스 사업자들이 소유한 다양한 DRM의 라이선스 포맷에 관계없이 중립적인 XML 형태의 데이터 구조를 가지며 서로 다른 서비스 사업자 간의 이질적인 DRM 라이선스 표기법을 서로 호환시키기 위한 역할을 담당한다.
DRM 클라이언트 : MS-DRM 클라이언트, OMA-DRM 클라이언트 등과 같이 특정한 네이티브 DRM 기술의 클라이언트들을 의미할 수 있다.
보안 데이터베이스(Secure DB) : 클라이언트에서 네이티브 DRM의 라이선스를 저장하기 위한 안전한 공간을 의미할 수 있다.
DRM 라이선스 서버(DRM License Server) : 네이티브 DRM의 라이선스를 발급하는 개체로서, DRM 라이선스 서버에서 사용자 장치로 네이티브 DRM의 라이선스를 발급할 수 있다.
어플리케이션 서버(Application Server) : 콘텐트 서비스 사업자가 콘텐트의 판매를 목적으로 구현한 모듈(예컨대, 웹페이지 등)을 의미할 수 있다.
승인 서버(Authorization Server) : 특정 사용자에 대한 콘텐트 구매여부(예컨대 권한)을 확인하는 서버를 의미할 수 있다.
권한 데이터베이스(Rights DB) : 사용자가 콘텐트 서비스 사업자의 콘텐트를 구매한 권한 정보를 저장하는 서버를 의미할 수 있다.
이러한 시스템의 처리 흐름을 설명하면, 먼저 클라이언트 A가 소유한 DRM에 적합한 DRM 라이선스를 요청한다. 권한 중재자는 클라이언트 A의 요청을 수신하여 권한 저장소에 저장된 권한 징표를 통하여 클라이언트 A가 콘텐트 사용 권한이 있는지의 여부를 점검한다. 권한 저장소는 서비스 제공자 A의 콘텐트 중 클라이언트 A가 보유한 권한 정보를 가지고 있는 권한 징표를 저장하고 한다. 권한 징표의 내부 정보인 유시지 모델(Usage Model) 정보에는 네이티브 DRM 라이선스와 동일한 정보가 서술된다. 권한 중재자는 권한 저장소에 저장된 권한 징표의 유시지 모델 정보의 정검을 통하여 클라이언트 A의 라이선스 변환 요구의 수용을 결정할 수 있다.
유시지 모델 정보 중 "DRM-disabled" 속성은 유시지 모듈에 대응되는 콘텐트의 저작권 만료 여부를 표시하는 불린 타입(Boolean Type)의 데이터로서, 저작권이 만료된 콘텐트의 경우 "True" 값을, 만료되지 않은 콘텐트의 경우는 "False" 값을 보유한다. 만일 유시지 모델의 점검을 통하여 클라이언트 A가 콘텐트에 대한 사용권한이 없음이 판명되더라도 "DRM-disabled"의 값이 "True"일 경우 클라이언트 A가 요청한 DRM 라이선스 요청에 해당하는 권한을 클라이언트 A가 가진 것으로 판단하고, 상호 호환 처리를 지속할 수 있다.
권한 중재자는 사용자의 권한 정보가 담긴 권한 징표를 서비스 제공자의 DB에 저장할 때 Usage-Model의 "DRM-Disabled" 속성이 "True"로 설정되었을 경우, 해당 콘텐트에 대한 사용자 권한을 무한대로 설정할 수 있다. 예를 들어, 콘텐트를 실행할 수 있는 시간 및 실행 횟수의 제한을 제거한 후 저장할 수 있다.
권한 중재자는 클라이언트 A가 요청한 형태의 실제 DRM 라이선스를 취득할 수 있는 URL 정보를 수신하여 클라이언트 A의 클라이언트 모듈로 전달한다. 클라이언트 모듈은 수신한 URL 정보를 네이티브 DRM 클라이언트로 전달하고 DRM 클라이언트는 해당 URL로 접속한다.
다음으로, 승인 서버는 앞서 저장된 권한 징표를 재확인하고, 정당한 권한을 가진 것으로 판단되면 DRM 라이선스 서버로 DB에 저장되어 있는 권한에 해당하는 클라이언트 A의 DRM 클라이언트가 해석할 수 있는 네이티브 DRM 라이선스의 생성을 요청한다. 그리고 생성된 라이선스를 클라이언트 A의 DRM 클라이언트로 전달할 수 있다. 그러면 클라이언트 A의 DRM 클라이언트는 전달된 라이선스를 사용하여 콘텐트를 실행할 수 있다.
이하에서는, 사용자가 스토어 프론트(Store Front)를 통하여 콘텐트 라이선스를 구매할 경우, 사용자의 권한을 권한 주입자(Rights Injector)를 이용하여 DRM 상호 호환 시스템의 권한 저장소로 저장하는 과정을 설명하기로 한다.
도 12는 권한 주입자를 이용하여 권한 저장소로 사용자의 권한을 저장하는 예를 도시하는 예시도이다.
도 12에 도시된 바와 같이, 사용자는 스토어 프론트로부터 라이선스를 구매한다(단계:S61). 스토어 프론트는 권한 주입자(Rights Injector)로 구매된 라이선스 정보와 신임장(Credential)을 전달한다(단계:S62). 이때 스토어 프론트는 권한 주입자와 권한 주입자에서 사용하는 데이터 포맷을 이용하여 통신할 수 있다. 바람직하기로는, 상기 스토어 프론트와 권한 주입자는 동일한 디바이스(Same Box)에 구비될 수 있으며, 따라서 네트워크를 통한 통신을 수행하지 않는다. 그러나 이는 한 정적인 사항은 아니다.
권한 주입자는 상기 정보를 수신한 후 프린서플 매니저(Principal Manager)에 "QueryPrincipalRelations Interface"를 사용하여 질의한다(단계:S63). 프린서플 매니저는 상기 신입장을 검증하고 사용자와 연계되어 있는 다양한 다른 프린서플들을 포함하는 프린서플 체인(Chain)의 리스트를 보낸다(단계:S64).
권한 주입자는 이후 신임장의 유효성을 체크하고(단계:S65), 만약 상기 신입장의 유효성이 성공적으로 검증되면(단계:S66), 권한 주입자는 권한 저장소로 "RegisterRights" 인터페이스를 호출하여 사용자에 의해 구매된 권한을 등록할 것을 요청한 후(단계:S67), 그 응답을 수신한다(단계:S68). 이때 권한의 등록이 성공적으로 이루어졌을 경우 권한 주입자는 권한이 성공적으로 등록되었음을 알리는 메시지는 스토어 프론트로 전송하고(단계:S69), 스토어 프론트는 이를 수신한 후 사용자에게 상기 메시지를 전달한다(단계:S70).
이상 본 발명에 대하여 그 바람직한 실시예들을 도면을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 기술적 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시켜 실시할 수 있음을 이해할 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.
Claims (10)
- 디지털 서명 헤더의 필드들을 준비하고 속성을 세팅하는 단계;해싱 알고리즘을 이용하여 콘텐트의 해시 다이제스트를 계산하는 단계;계산되는 상기 해시 다이제스트를 상기 디지털 서명 헤더의 메시지 다이제스트 필드에 저장하는 단계; 및상기 메시지 다이제스트를 비밀키를 사용하여 암호화하고 상기 디지털 서명 헤더의 서명 필드에 삽입하는 단계를 포함하고,상기 디지털 서명 헤더는 상기 콘텐트의 앞에 위치하는 것을 특징으로 하는 보안 서명 방법.
- 제 1 항에 있어서, 상기 해싱 알고리즘은 상기 디지털 서명 헤더의 다이제스트 알고리즘 필드 내에서 식별되는 것을 특징으로 하는 보안 서명 방법.
- 제 1 항에 있어서, 서명자의 인증서를 상기 디지털 서명 헤더 필드의 인증서 필드에 삽입하는 단계를 더 포함하며,상기 서명자의 인증서는 상기 서명자의 식별 정보, 상기 암호화된 메시지 다이제스트를 복호화하는데 사용할 수 있는 공개 키 및 하이 레벨의 신뢰성 있는 인증서 승인자에 의하여 서명된 디지털 서명을 포함하는 것을 특징으로 하는 보안 서명 방법.
- 제 3 항에 있어서, 상기 서명자의 인증서를 승인하는 인증서 승인자의 인증서를 상기 디지털 서명 헤더 필드의 인증서 필드에 삽입하는 단계를 더 포함하는 것을 특징으로 하는 보안 서명 방법.
- 콘텐트의 디지털 서명 헤더의 포맷 및 값이 정당한지의 여부를 체크하는 단계;해싱 알고리즘을 이용하여 상기 콘텐트의 해시 다이제스트를 계산하는 단계;계산되는 상기 해시 다이제스트를 상기 디지털 서명 헤더의 메시지 다이제스트 필드와 비교하는 단계;상기 디지털 서명 헤더의 서명 필드의 해시 값을 인증서 필드에서 추출되는 공개 키를 사용하여 복호화하는 단계; 및상기 복호화되는 해시 값을 상기 메시지 다이제스트 필드와 비교하는 단계를 포함하는 것을 특징으로 하는 보안 인증 방법.
- 제 5 항에 있어서, 상기 해싱 알고리즘은 상기 디지털 서명 헤더의 다이제스트 알고리즘 필드 내에서 식별되는 것을 특징으로 하는 보안 인증 방법.
- 콘텐트의 해시 다이제스트를 계산하여 디지털 서명 헤더의 메시지 다이제스트 필드에 저장하고, 상기 메시지 다이제스트를 비밀키를 사용하여 암호화하여 상기 디지털 서명 헤더의 서명 필드에 삽입하고, 상기 디지털 서명 헤더를 상기 콘텐트에 프리픽스하여 송신하는 서버 사이드 시스템; 및상기 디지털 서명 헤더를 수신하여 포맷 및 값이 정당한지의 여부를 체크하고, 상기 콘텐트의 해시 다이제스트를 계산하여 상기 디지털 서명 헤더의 메시지 다이제스트 필드와 비교하고, 상기 디지털 서명 헤더의 서명 필드의 해시 값을 인증서 필드에서 추출되는 공개 키를 사용하여 복호화하는 인증 프로세스를 수행하는 IPTV 수신 디바이스를 포함하는 것을 특징으로 하는 IPTV 시스템.
- 제 7 항에 있어서, 상기 서버 사이드 시스템은 상기 인증서 필드에 서명자의 인증서를 삽입하고, 상기 IPTV 수신 디바이스는 상기 인증서 필드에 삽입된 상기 서명자의 인증서로부터 상기 공개키를 추출하는 것을 특징으로 하는 IPTV 시스템.
- 제 7 항에 있어서, 상기 인증 프로세스는 상기 IPTV 수신 디바이스의 네이티브 보안 솔루션에 의하여 수행되는 것을 특징으로 하는 IPTV 시스템.
- 제 7 항에 있어서, 상기 IPTV 수신 디바이스는 IPTV 수신 디바이스의 보안 특성을 미리 정해진 기준에 따라 등급화한 보안 솔루션 레벨과 연계되는 것을 특징으로 하는 IPTV 시스템.
Applications Claiming Priority (13)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US97154807P | 2007-09-11 | 2007-09-11 | |
| US60/971,548 | 2007-09-11 | ||
| US97375107P | 2007-09-19 | 2007-09-19 | |
| US60/973,751 | 2007-09-19 | ||
| US97581607P | 2007-09-28 | 2007-09-28 | |
| US60/975,816 | 2007-09-28 | ||
| US97814207P | 2007-10-08 | 2007-10-08 | |
| US60/978,142 | 2007-10-08 | ||
| US98045207P | 2007-10-17 | 2007-10-17 | |
| US60/980,452 | 2007-10-17 | ||
| US98880807P | 2007-11-18 | 2007-11-18 | |
| US60/988,808 | 2007-11-18 | ||
| PCT/KR2008/005393 WO2009035283A2 (en) | 2007-09-11 | 2008-09-11 | Secure signing method, secure authentication method and iptv system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20100051772A KR20100051772A (ko) | 2010-05-18 |
| KR101511805B1 true KR101511805B1 (ko) | 2015-04-13 |
Family
ID=40452703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020097027147A KR101511805B1 (ko) | 2007-09-11 | 2008-09-11 | 보안 서명 방법, 보안 인증 방법 및 iptv 시스템 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8924731B2 (ko) |
| EP (1) | EP2186332A4 (ko) |
| JP (1) | JP5346025B2 (ko) |
| KR (1) | KR101511805B1 (ko) |
| CN (1) | CN101796837B (ko) |
| WO (1) | WO2009035283A2 (ko) |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7592912B2 (en) | 2005-12-09 | 2009-09-22 | Time Warner Cable Inc. | Emergency alert data delivery apparatus and methods |
| US8566887B2 (en) | 2005-12-09 | 2013-10-22 | Time Warner Cable Enterprises Llc | Caption data delivery apparatus and methods |
| US8095610B2 (en) | 2008-03-28 | 2012-01-10 | Time Warner Cable Inc. | Methods and apparatus for centralized and decentralized emergency alert messaging |
| US9491184B2 (en) * | 2008-04-04 | 2016-11-08 | Samsung Electronics Co., Ltd. | Method and apparatus for managing tokens for digital rights management |
| FR2951343A1 (fr) * | 2009-10-14 | 2011-04-15 | Alcatel Lucent | Gestion de dispositif de communication a travers un reseau de telecommunications |
| JP5428835B2 (ja) * | 2009-12-21 | 2014-02-26 | 富士通株式会社 | 署名装置、署名方法、および署名プログラム |
| CN101917432A (zh) * | 2010-08-13 | 2010-12-15 | 北京握奇数据系统有限公司 | 业务处理方法、信息处理平台设备及业务平台设备 |
| US8677134B2 (en) * | 2010-11-11 | 2014-03-18 | Microsoft Corporation | HTTP signing |
| KR101418992B1 (ko) * | 2010-11-15 | 2014-07-11 | 한국전자통신연구원 | 모바일 iptv 시스템 및 그 방법 |
| KR20120068608A (ko) * | 2010-12-17 | 2012-06-27 | 한국전자통신연구원 | 비실시간 iptv 기반의 콘텐츠 공유 방법 |
| KR20120089903A (ko) | 2010-12-20 | 2012-08-16 | 한국전자통신연구원 | 비실시간 iptv 시스템을 위한 인증 장치 및 방법 |
| US9184917B2 (en) * | 2011-05-27 | 2015-11-10 | Google Technology Holdings LLC | Method and system for registering a DRM client |
| US9800688B2 (en) | 2011-09-12 | 2017-10-24 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
| CN102413132B (zh) * | 2011-11-16 | 2014-12-17 | 北京数码视讯软件技术发展有限公司 | 基于双向安全认证的数据下载方法及系统 |
| US9210456B1 (en) * | 2012-03-07 | 2015-12-08 | The Directv Group, Inc. | Method and system for detecting unauthorized use of a user device using receiver identification in a network |
| US10356204B2 (en) * | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
| GB2512613A (en) * | 2013-04-03 | 2014-10-08 | Cloudzync Ltd | Secure communications system |
| US9858247B2 (en) | 2013-05-20 | 2018-01-02 | Microsoft Technology Licensing, Llc | Runtime resolution of content references |
| US10171483B1 (en) * | 2013-08-23 | 2019-01-01 | Symantec Corporation | Utilizing endpoint asset awareness for network intrusion detection |
| US9472091B2 (en) | 2013-10-21 | 2016-10-18 | Time Warner Cable Enterprises Llc | Systems and methods for providing emergency alerts |
| CN105787352A (zh) * | 2014-12-18 | 2016-07-20 | 中兴通讯股份有限公司 | 一种可执行模块的提供、加载方法及终端 |
| GB2538934A (en) * | 2015-01-28 | 2016-12-07 | British Broadcasting Corp | Broadcasting data in MPEG transport streams |
| US9830217B2 (en) * | 2015-01-29 | 2017-11-28 | Qualcomm Incorporated | Selective block-based integrity protection techniques |
| US20180109390A1 (en) * | 2015-04-06 | 2018-04-19 | Hewlett Packard Enterprise Development Lp | Certificate generation |
| US9729329B2 (en) * | 2015-05-19 | 2017-08-08 | Nxp B.V. | Communications security |
| WO2017093990A1 (en) * | 2015-12-03 | 2017-06-08 | Orca Interactive Ltd | A method and system for securing a client's access to a drm agent's services for a video player |
| CN105631313A (zh) * | 2015-12-25 | 2016-06-01 | 东软集团股份有限公司 | 操作系统文件处理方法及装置 |
| KR102550672B1 (ko) | 2016-04-05 | 2023-07-04 | 삼성전자주식회사 | 영상처리장치 및 그 제어방법 |
| KR101838511B1 (ko) * | 2016-05-17 | 2018-03-14 | 현대자동차주식회사 | 암호화를 적용한 제어기 보안 방법 및 그 장치 |
| CN107342856A (zh) * | 2017-06-28 | 2017-11-10 | 中南民族大学 | 一种sdn网络控制器安全认证方法及系统 |
| US10621319B2 (en) * | 2017-11-13 | 2020-04-14 | International Business Machines Corporation | Digital certificate containing multimedia content |
| CN108206961B (zh) * | 2018-01-12 | 2020-02-07 | 武汉斗鱼网络科技有限公司 | 一种计算直播平台人气的方法及相关设备 |
| CN108566278B (zh) * | 2018-03-21 | 2020-04-14 | 北京金堤科技有限公司 | 数据合作的方法及装置 |
| CN109450643B (zh) * | 2018-11-05 | 2021-06-22 | 四川长虹电器股份有限公司 | Android平台上基于native服务实现的签名验签方法 |
| US11374779B2 (en) | 2019-06-30 | 2022-06-28 | Charter Communications Operating, Llc | Wireless enabled distributed data apparatus and methods |
| US11182222B2 (en) | 2019-07-26 | 2021-11-23 | Charter Communications Operating, Llc | Methods and apparatus for multi-processor device software development and operation |
| CN110557401B (zh) * | 2019-09-17 | 2022-01-11 | 百度在线网络技术(北京)有限公司 | 基于区块链的品牌事务处理方法、装置、设备和介质 |
| US10951790B1 (en) * | 2019-11-22 | 2021-03-16 | Verizon Patent And Licensing Inc. | Systems and methods for authenticating an image |
| CN111125781B (zh) * | 2019-12-24 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 一种文件签名方法、装置和文件签名验证方法、装置 |
| CN112804560A (zh) * | 2020-12-29 | 2021-05-14 | 湖南大学 | 视频加密传输方法、中间件及计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002135243A (ja) | 2000-10-20 | 2002-05-10 | Sony Corp | データ再生装置、データ記録装置、およびデータ再生方法、データ記録方法、リスト更新方法、並びにプログラム提供媒体 |
| US20030159037A1 (en) | 2001-01-16 | 2003-08-21 | Ryuta Taki | Apparatus and method for recording/reproducing information |
| US20040255114A1 (en) | 2003-05-07 | 2004-12-16 | Samsung Electronics Co., Ltd. | Method of authenticating content provider and assuring content integrity |
| US20050039034A1 (en) | 2003-07-31 | 2005-02-17 | International Business Machines Corporation | Security containers for document components |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR19980022833A (ko) * | 1996-09-24 | 1998-07-06 | 최승렬 | 정보 유출을 추적하기 위한 장치 및 방법 |
| JPH10215245A (ja) | 1997-01-29 | 1998-08-11 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵認証方法 |
| CA2418050C (en) * | 2000-08-04 | 2014-05-20 | First Data Corporation | Linking public key of device to information during manufacture |
| JP2002207427A (ja) * | 2001-01-10 | 2002-07-26 | Sony Corp | 公開鍵証明書発行システム、公開鍵証明書発行方法、および情報処理装置、情報記録媒体、並びにプログラム記憶媒体 |
| US7203310B2 (en) * | 2001-12-04 | 2007-04-10 | Microsoft Corporation | Methods and systems for cryptographically protecting secure content |
| US7130886B2 (en) * | 2002-03-06 | 2006-10-31 | Research In Motion Limited | System and method for providing secure message signature status and trust status indication |
| US7401221B2 (en) | 2002-09-04 | 2008-07-15 | Microsoft Corporation | Advanced stream format (ASF) data stream header object protection |
| JP4309629B2 (ja) * | 2002-09-13 | 2009-08-05 | 株式会社日立製作所 | ネットワークシステム |
| US20050039016A1 (en) | 2003-08-12 | 2005-02-17 | Selim Aissi | Method for using trusted, hardware-based identity credentials in runtime package signature to secure mobile communications and high-value transaction execution |
| US20040117626A1 (en) * | 2003-09-12 | 2004-06-17 | Pioneer Research Center Usa, Inc. | Key exchange based on dsa type certificates |
| US7519815B2 (en) | 2003-10-29 | 2009-04-14 | Microsoft Corporation | Challenge-based authentication without requiring knowledge of secret authentication data |
| EP1728374B1 (en) | 2004-02-03 | 2009-10-28 | SanDisk Secure Content Solutions, Inc. | Protection of digital data content |
| US20080005349A1 (en) * | 2004-04-16 | 2008-01-03 | Utstarcom | Distributed multimedia streaming system |
| KR100761270B1 (ko) | 2004-11-06 | 2007-09-28 | 엘지전자 주식회사 | 광고컨텐츠가 첨부된 디지털저작권관리 컨텐츠 처리 방법및 장치 |
| JP4746406B2 (ja) | 2005-11-11 | 2011-08-10 | 日本放送協会 | 個人情報保護システム、その署名鍵更新方法および個人情報収集方法、鍵管理装置および鍵生成プログラム、署名鍵生成装置および署名鍵生成プログラム、個人情報管理装置および個人情報収集プログラム、ならびに、コンテンツ復号化装置および個人情報管理プログラム |
| CN1791215A (zh) * | 2005-12-29 | 2006-06-21 | 清华大学 | 一种网络电视内容安全监管方法 |
| KR20060113869A (ko) | 2006-10-16 | 2006-11-03 | 엘지전자 주식회사 | 멀티미디어 컨텐츠 파일의 메타데이터 포맷 및 제어방법 |
| US8291463B2 (en) * | 2007-06-04 | 2012-10-16 | At&T Intellectual Property I, L.P. | System and method of delivering video content |
-
2008
- 2008-09-11 KR KR1020097027147A patent/KR101511805B1/ko not_active IP Right Cessation
- 2008-09-11 US US12/677,552 patent/US8924731B2/en not_active Expired - Fee Related
- 2008-09-11 WO PCT/KR2008/005393 patent/WO2009035283A2/en active Application Filing
- 2008-09-11 JP JP2010524784A patent/JP5346025B2/ja not_active Expired - Fee Related
- 2008-09-11 CN CN200880105815.9A patent/CN101796837B/zh not_active Expired - Fee Related
- 2008-09-11 EP EP08830529A patent/EP2186332A4/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002135243A (ja) | 2000-10-20 | 2002-05-10 | Sony Corp | データ再生装置、データ記録装置、およびデータ再生方法、データ記録方法、リスト更新方法、並びにプログラム提供媒体 |
| US20030159037A1 (en) | 2001-01-16 | 2003-08-21 | Ryuta Taki | Apparatus and method for recording/reproducing information |
| US20040255114A1 (en) | 2003-05-07 | 2004-12-16 | Samsung Electronics Co., Ltd. | Method of authenticating content provider and assuring content integrity |
| US20050039034A1 (en) | 2003-07-31 | 2005-02-17 | International Business Machines Corporation | Security containers for document components |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009035283A2 (en) | 2009-03-19 |
| EP2186332A4 (en) | 2012-02-08 |
| KR20100051772A (ko) | 2010-05-18 |
| WO2009035283A3 (en) | 2009-05-22 |
| US8924731B2 (en) | 2014-12-30 |
| CN101796837A (zh) | 2010-08-04 |
| EP2186332A2 (en) | 2010-05-19 |
| JP5346025B2 (ja) | 2013-11-20 |
| US20100211793A1 (en) | 2010-08-19 |
| JP2010539782A (ja) | 2010-12-16 |
| CN101796837B (zh) | 2012-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101511805B1 (ko) | 보안 서명 방법, 보안 인증 방법 및 iptv 시스템 | |
| US11784982B2 (en) | Secure content access authorization | |
| Popescu et al. | A DRM security architecture for home networks | |
| US7818792B2 (en) | Method and system for providing third party authentication of authorization | |
| US7694149B2 (en) | Method for judging use permission of information and content distribution system using the method | |
| EP1455479B1 (en) | Enrolling/sub-enrolling a digital rights management (DRM) server into a DRM architecture | |
| US8336105B2 (en) | Method and devices for the control of the usage of content | |
| US20050204038A1 (en) | Method and system for distributing data within a network | |
| US20030063750A1 (en) | Unique on-line provisioning of user terminals allowing user authentication | |
| JP5604176B2 (ja) | 認証連携装置およびそのプログラム、機器認証装置およびそのプログラム、ならびに、認証連携システム | |
| KR101452708B1 (ko) | Ce 장치 관리 서버, ce 장치 관리 서버를 이용한drm 키 발급 방법, 및 그 방법을 실행하기 위한프로그램 기록매체 | |
| US8675878B2 (en) | Interoperable keychest for use by service providers | |
| JP5961164B2 (ja) | 放送通信連携受信装置及びリソースアクセス制御プログラム | |
| JP2011503957A (ja) | データ処理方法及びiptv受信デバイス | |
| US8763156B2 (en) | Digital receipt for use with an interoperable keychest | |
| JP3621682B2 (ja) | デジタル放送装置及びデジタル放送方法、デジタル放送受信装置及びデジタル放送受信方法、デジタル放送受信システム | |
| Serrão | Open Secure Infrastructure to control User Access to multimedia content | |
| CA2723607C (en) | Secure content access authorization | |
| Asghar | DRM Convergence: Interoperability between DRM Systems | |
| Serrão et al. | I Document |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| LAPS | Lapse due to unpaid annual fee |