KR20060122906A - 저장 매체상에 암호화된 형태로 저장된 콘텐트에 사용자가액세스하는 것을 인증하는 장치 및 방법 - Google Patents

저장 매체상에 암호화된 형태로 저장된 콘텐트에 사용자가액세스하는 것을 인증하는 장치 및 방법 Download PDF

Info

Publication number
KR20060122906A
KR20060122906A KR1020067015742A KR20067015742A KR20060122906A KR 20060122906 A KR20060122906 A KR 20060122906A KR 1020067015742 A KR1020067015742 A KR 1020067015742A KR 20067015742 A KR20067015742 A KR 20067015742A KR 20060122906 A KR20060122906 A KR 20060122906A
Authority
KR
South Korea
Prior art keywords
user
key
identifier
key table
network
Prior art date
Application number
KR1020067015742A
Other languages
English (en)
Inventor
디클랜 피. 켈리
스티븐 비. 루이젠스
윌헬머스 에프. 제이. 폰티즌
프란시스쿠스 엘. 에이. 제이. 캄퍼만
Original Assignee
코닌클리케 필립스 일렉트로닉스 엔.브이.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 코닌클리케 필립스 일렉트로닉스 엔.브이. filed Critical 코닌클리케 필립스 일렉트로닉스 엔.브이.
Publication of KR20060122906A publication Critical patent/KR20060122906A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25866Management of end-user data
    • H04N21/25875Management of end-user data involving end-user authentication
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26613Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/414Specialised client platforms, e.g. receiver in car or embedded in a mobile appliance
    • H04N21/41407Specialised client platforms, e.g. receiver in car or embedded in a mobile appliance embedded in a portable device, e.g. video client on a mobile phone, PDA, laptop

Abstract

본 발명은 저장 매체(10)상에 암호화된 형태로 저장된 콘텐트에 사용자가 액세스하는 것을 인증하는 장치 및 방법에 관한 것이고, 상기 저장 매체는 머신 판독 가능 식별자(id) 및 키 테이블 키(KLK)의 사용에 의해 암호화된 적어도 하나의 키 테이블(KL)을 저장하고 암호화된 콘텐트(C)를 복호화하기 위한 적어도 하나의 애셋 키(AK)를 저장한다. 사용자가 다른 사용자들에게 간단하지만 안전한 방식으로 콘텐트에 액세스를 제공하기 위하여, 상기 장치는: 네트워크(3)에 접속하기 위한 접속 수단(6), 저장 매체(10)에 액세스하기 위한 드라이브(5)로서, 특히 저장 매체(10)로부터 콘텐트(C) 및 상기 매체 식별자(id)를 판독하기 위한 드라이브(5), 및 상기 콘텐트(C)에 액세스할 수 있도록 인증되고 사용자 식별자(ui)에 의해 상기 네트워크(3)에 대해 식별되는 상기 매체 식별자(id) 및 사용자의 사용자 식별자(ui)를 상기 네트워크(3)내의 인증 유닛(AuC)에 전송하기 위한 전송기(7)로서, 상기 매체 식별자(id) 및 상기 사용자 식별자(ui)는 상기 사용자가 적어도 하나의 미리 결정된 키 테이블(KL)을 복호화할 수 있게 상기 사용자에 대한 키 테이블 키(KLK)를 생성하기 위한 상기 인증 유닛(AuC)에 의해 사용되는, 상기 전송기(7)를 포함하는 장치를 제공한다.
인증 장치, 머신 판독 가능 매체 식별자, 사용자 식별자, 키 테이블 키, 애셋 키

Description

저장 매체상에 암호화된 형태로 저장된 콘텐트에 사용자가 액세스하는 것을 인증하는 장치 및 방법{Device and method for authorizing a user to get access to content stored in encrypted form on a storage medium}
본 발명은 저장 매체로부터 암호화된 형태로 저장된 콘텐트에 사용자가 액세스하는 것을 인증하는 장치 및 대응하는 인증 방법에 관한 것이고, 상기 저장 매체는 머신 판독 가능 매체 식별자(machine-readable medium identifier) 및 키 테이블 키(key table key)의 사용에 의해 암호화된 적어도 하나의 키 테이블을 저장하고 암호화된 콘텐트를 복호화하기 위하여 적어도 하나의 애셋 키(asset key)를 저장한다. 본 발명은 상기 방법을 사용하는 네트워크 및 상기 방법을 실행하기 위한 컴퓨터 프로그램에 관한 것이다.
유럽특허출원 02 078 437.7(PHNL020775)는 인증되지 않은 액세스에 대해 저장 매체상에 저장된 콘텐트를 보호하기 위한 방법을 기술하고, 상기 저장 매체는 네트워크에 접속할 수 있는 휴대용 장치의 드라이브에 의해 액세스할 수 있다. 인증되지 않은 액세스에 대해 높은 레벨은 보호를 제공하기 위하여, 네트워크의 인증 과정은 상기 매체상에 저장된 콘텐트의 암호화 및 복호화를 위하여 이후 애셋 키라 불리는 암호화 키(cryptographic key)를 생성하기 위하여 사용된다. 특히, 이동 전화 네트워크에서 이런 방법의 사용이 기술되고, 여기서 인증 키는 이동 전화에 사용된 SIM 카드상에 저장된다. 따라서, 주된 생각은 저장 매체가 유일한 매체 식별자를 포함하고 이동 통신 네트워크 인증 과정이 이런 매체 식별자를 실제 애셋 키로 변환하기 위하여 사용되는 것이다. 이런 변환은 SIM 카드없이 저장 매체의 콘텐트가 판독될 수 없도록, 이동 전화 네트워크에 사용될 때 사용자의 SIM 카드에 의해 수행된다. 이것은 하기 SIM 암호화 방법과 관련하여, 개인 콘텐트를 보호하기 위하여 사용자들에게 매우 간단하고 안정한 방법을 제공한다.
이 방법의 단점은 콘텐트에 대한 액세스가 단일 사용자, 보다 특히 단일 사용자의 SIM 카드로 제한된다는 것이다.
따라서, 본 발명의 목적은 간단하지만, 안전한 방식으로 사용자가 다른 사용자들에게 콘텐트에 대한 액세스를 제공하게 하는 장치 및 방법을 제공하는 것이다. 게다가, 동일한 사용자에 의해 소유된 다른 장치들, 예를 들어 다른 SIM 카드들을 가진 다른 이동 전화들로부터 명료한 액세스가 이루어질 수 있다. 상기 방법을 실행하기 위한 대응하는 네트워크 및 컴퓨터 프로그램이 또한 제공된다.
이 목적은 청구항 제 1 항에 따른 장치들에 의해 본 발명에 따라 달성되고, 상기 장치는,
- 상기 장치를 네트워크에 접속하기 위한 접속 수단,
- 상기 저장 매체로부터 콘텐트 및 매체 식별자를 판독하기 위해 상기 저장 매체에 액세스하기 위한 드라이브, 및
- 상기 콘텐트에 액세스하도록 인증되고 사용자 식별자에 의해 상기 네트워크에 대해 식별되는, 사용자의 상기 사용자 식별자 및 상기 매체 식별자를 상기 네트워크 내의 인증 유닛에 전송하는 전송기로서, 상기 매체 식별자 및 상기 사용자 식별자는 상기 사용자가 적어도 하나의 미리 결정된 키 테이블을 복호화할 수 있게 하는 상기 사용자용 키 테이블 키를 생성하는 상기 인증 유닛에 의해 사용되는, 상기 전송기를 포함한다.
대응하는 방법은 청구항 제 9 항에 정의된다. 상기 방법을 실행하기 위한 컴퓨터 프로그램은 청구항 제 11 항에 정의된다. 본 발명이 이용되는 네트워크는 청구항 제 10 항에 정의되고, 상기 네트워크는,
- 저장 매체상에 암호화된 형태로 저장된 콘텐트에 제 2 사용자 장치의 사용자가 액세스하는 것을 인증하는 제 1 사용자 장치로서, 상기 저장 매체는 키 테이블 키의 사용에 의해 암호화된 적어도 하나의 키 테이블 및 머신 판독 가능 매체 식별자를 저장하고 암호화된 콘텐트를 복호화하기 위한 적어도 하나의 애셋 키(AK)를 저장하고, 상기 제 1 사용자 장치는,
- 상기 장치를 네트워크에 접속하는 접속 수단,
- 상기 저장 매체에 액세스하고, 특히 상기 저장 매체로부터 콘텐트 및 상기 매체 식별자를 판독하는 드라이브, 및
- 상기 콘텐트에 액세스하도록 인증되고 사용자 식별자에 의해 상기 네트워크에 대해 식별되는, 사용자의 상기 사용자 식별자 및 상기 매체 식별자를 상기 네트워크 내의 인증 유닛에 전송하는 전송기를 포함하는, 상기 제 1 사용자 장치;
- 인증 유닛으로서,
- 상기 매체 식별자 및 상기 사용자 식별자를 수신하는 수신기,
- 상기 매체 식별자 및 상기 사용자 식별자를 사용하여 상기 사용자에 대한 키 테이블 키를 생성하는 키 생성 수단으로서, 상기 키 테이블 키는 상기 적어도 하나의 키 테이블을 사용자가 복호화할 수 있게 하는 상기 키 생성 수단, 및
- 상기 키 테이블 키를 상기 제 1 및/또는 상기 제 2 사용자 장치에 전송하는 전송기를 포함하는, 상기 인증 유닛; 및
- 상기 저장 매체상에 암호화된 형태로 저장된 콘텐트에 액세스되도록 인증되는 사용자의 제 2 사용자 장치로서,
- 상기 장치를 상기 네트워크에 접속하는 접속 수단,
- 상기 인증 유닛 또는 상기 제 1 사용자 장치로부터 상기 키 테이블 키를 수신하는 수신기,
- 상기 저장 매체에 액세스하고, 특히 상기 저장 매체로부터 콘텐트를 판독하고, 상기 수신된 키 테이블 키를 사용하여 적어도 하나의 미리 결정된 키 테이블을 복호화하기 위한 드라이브를 포함하는 사용자의 상기 제 2 사용자 장치를 포함한다.
본 발명은 저장 매체상에 저장된 콘텐트에 액세스한 사용자가, 동일한 콘텐트에 다른 사용자들이 액세스되게 인증하게 하는 네트워크의 인증 처리를 사용하는 생각에 기초한다. 매체 식별자 및 사용자 식별자의 사용에 의해, 네트워크의 인증 유닛에 인증된 사용자에 키 테이블 키를 생성 및 제공한다. 이후, 이 키 테이블 키는 "새로운" 사용자에게 제공된, 할당되고 미리 결정된 키 테이블을 복호화하도록 인증된 사용자에 의해 사용될 수 있고, 상기 키 테이블에서 애셋 키는 그가 액세스하고자 하는 콘텐트의 복호화를 위하여 저장된다. 따라서, "새로운" 사용자들은 직접적인 어려움 없이 인증 리스트(authorization list)에 부가될 수 있다. 이 방법은 실행하기에 간단하고 용이하지만, 키 테이블들에 대한 액세스를 허용하는 키 테이블 키들을 생성하기 위한 네트워크 및 콘텐트를 복호화하기 위한 애셋 키들의 매우 안전한 인증 과정의 사용으로 인해 높은 레벨의 보안성을 제공한다.
바람직하게는, GSM 또는 UMTS 네트워크 같은 통신 네트워크인 본 발명에 따라 제안된 네트워크는 동일한 사용자 또는 다른 사용자들 모두에게 속할 수 있는 적어도 두 개의 사용자 장치들, 및 네트워크에 접속할 때 사용자들을 인증하기 위한 인증 유닛을 포함한다. 사용자들을 인증하기 위하여 사용된 인증 과정은 이동 통신 네트워크에서 사용된 인증 알고리즘의 브레이킹(breaking)으로 인해, 사용자가 다른 사용자들에 청구된 호출(calls)을 형성하게 하기 때문에 매우 안전하다. 그러므로, 상기 인증 알고리즘의 보호 레벨은 매우 높고 본 발명에 따라 제안된 바와 같은 키 테이블 키들을 생성하기 위한 인증 알고리즘을 사용할 때 사용자의 데이터를 보호하기에 충분한 것으로 고려된다. 게다가, 상기 인증 유닛은 상기된 유럽 특허 출원 02 078 437.7(PHNL020775)에 기술된 바와 같은 애셋 키들을 생성하기 위하여 사용된다. 이 공보에 이 방법의 설명은 참조로써 여기에 통합된다.
본 발명의 바람직한 실시예들은 종속항들에서 정의된다. 일 실시예에 따라 장치는 사용자가 네트워크로부터 인증되게 하는 키 테이블 키를 수신하는 수신기를 더 포함하고, 전송기는 수신된 키 테이블 키를 상기 사용자에게 전송하도록 동작한다. 따라서, 다른 사용자가 콘텐트에 액세스하게 인증하기를 원하는 사용자는 예를 들어 SMS 또는 임의의 다른 전자 메시지 형태로 그에 의해 수신되고 다른 사용자에게 포워딩되는 다른 사용자에 대한 새로운 키 테이블 키를 얻기 위하여 네트워크와 통신한다. 따라서 인증된 사용자는 새로운 키 테이블 키를 생성하는 과정에 포함되지 않는다.
다른 실시예에 따라, 새로운 키 테이블 키는 또한 네트워크로부터 인증될 사용자에게 직접 제공될 수 있다. 이런 사용자를 식별하기 위하여 네트워크는 키 테이블 키의 생성을 위한 인증 유닛에 매체 식별자와 함께 제 1 사용자에 의해 이미 제공된 사용자 식별자를 사용할 수 있다.
다른 실시예에 따라, 저장 매체는 하나의 단일 키 테이블들뿐만 아니라, 예를 들어 각각의 사용자를 위하여 하나의 키 테이블인 복수의 키 테이블들을 저장한다. 게다가, 각각의 키 테이블에 대해, 사용자 검사 식별자(user check identifier)는 할당되고, 상기 사용자에게 할당된 올바른 키 테이블을 발견하기 위하여 복호화 전에 상기 장치에 의해 검사된다. 이것은 사용자에 대한 올바른 키 테이블을 발견하기 위하여 다수의(또는 심지어 모든) 키 테이블들의 복호화를 방지한다. 사용자 검사 식별자는 이동 통신 네트워크, 국제 이동 가입 식별자(international mobile subscriber identity; IMSI) 또는 상기 사용자의 전화 번호에 사용될 때, 예를 들어 다른 종속항에 청구된 바와 같이 네트워크에 대해 사용자를 식별하는 사용자 식별자와 동일할 수 있다.
만약 사용자 본인을 숨기기를 바라면, 이러한 사용자 검사 식별자는 또한 사용자의 키 테이블 키를 가진 XOR 함수의 사용에 의해 매우 간단한 방식으로 암호화될 수 있다. 이것은 이런 암호화된 사용자 검사 식별자가 특히 다수 또는 모든 테이블들을 위해 복호화되어야 하는 것을 의미한다. 그러나, 이런 동작은 매우 간단하고 많은 시간이 소비되지 않는다. 각각의 사용자 검사 식별자가 다른 키(다른 사용자들의 키 테이블 키들)로 암호화되지 않기 때문에, 간단한 암호화 조차, 예를 들어 심볼 XOR 함수의 사용이 충분히 안전하도록, 기본적인 사용자 검사 식별자를 결정하는 것은 용이하지 않다.
올바른 키 테이블이 복호화되고 복호화가 올바르게 수행되었는지를 알기 위하여, 각각의 키 테이블은 다른 실시예에 따라 제시된 바와 같이 복호화 검사 식별자(decryption check identifier)를 더 포함할 수 있다. 상기 검사에 대해, 적당한 복호화 검사 수단은 사용자 장치에 제공될 수 있다. 게다가, 몇몇 임의적으로 생성된 적당한 필드들은 해킹을 보다 어렵게 하기 위하여 제공될 수 있다. 바람직한 실시예에서, 사용자 검사 식별자는 일단 키 테이블에 속하는 사용자를 식별하기 위하여 외부에서 암호화되지 않고, 복호화가 올바른지를 검사하기 위하여 키 테이블 내에서 두 번 암호화되면, 복호화 검사 식별자로서 또한 사용된다.
간단한 실시예에서, 저장 매체상에 제공된 단지 하나의 키 테이블이 있고, 제 2 사용자를 인증하기를 원하는 제 1 사용자는 제 2 사용자가 동일한 키 테이블을 복호화하도록 그 자신의 키 테이블 키를 제 2 사용자에게 제공한다. 선택적으로, 각각의 사용자에 대해 다른 키 테이블 키에 의해 각각 복호화되는 개별적인 키 테이블이 저장 매체상에 제공될 수 있다. 이러한 키 테이블들을 생성하기 위하여, 적절한 키 테이블 생성 수단은 다른 실시예에 따라 제공된다. 따라서, 제 1 사용자는 다른 사용자가 액세스할 수 있게 콘텐트의 복호화를 허용하는 애셋 키를 암호화하기 위하여 키 테이블 키를 사용하고 저장 매체상에 상기 액세스 수단에 의해 저장된 키 테이블을 생성한다.
따라서, 본 발명의 바람직한 양태에 따라, 각각의 콘텐트의 아이템은 임의의 랜덤 키(random key)일 수 있는 자신의 애셋 키로 암호화된다; 이들 애셋 키들은 키 테이블에 저장된다. 제 1 사용자는 키 테이블을 복호화하기 위하여 사용된 키인 그 자신의 키 테이블 키를 얻기 위하여 공지된 SIM 암호화 방법(예를 들어, 그의 SIM 카드 사용)을 사용한다. 암호화된 애셋 키들 및 키 테이블은 매체상에 저장된다. 만약 제 1 사용자가 애셋 키들에 액세스하기를 원하면, 그는 그의 키 테이블 키를 얻기 위하여 다시 SIM 암호화 방법 사용을 필요로 한다. 다른 사용자들은 SIM이 다르기 때문에 SIM 암호화 방법을 사용하여 다른 키들을 얻는다. 만약 제 1 사용자에 의해 제 2 사용자가 콘텐트에 액세스하면, 제 1 사용자는 제 2 사용자의 SIM 파생 키(SIM derived key)로 애셋 키들을 가진 키 테이블을 암호화한다. 제 2 암호화된 키 테이블은 매체상에 저장되지만, SIM 파생 키 자체에는 저장되지 않는다.
바람직하게는, 상기된 바와 같이, 본 발명은 이동 통신 네트워크에 사용되고 사용자 장치는 이동 전화이다. 이후, 네트워크에 대한 이동 통신 장치들을 인증하기 위하여 사용된 인증 알고리즘은 키 테이블 키들, 및 또한, 바람직하게는, 애셋 키들(실제로 임의의 랜덤 키가 수행할 것)을 생성하기 위하여 사용된다.
네트워크가 이동 통신 네트워크일 때, 인증될 사용자의 홈 위치 레지스터(home location register; HLR)의 인증 유닛은 매체 식별자 및 사용자 식별자를 인증 유닛에 전송하기 위하여 상기 사용자에 대한 키 테이블 키를 생성하기 위해 사용된다. 또한 생성된 키 테이블 키를 사용자 장치에 전송하기 위하여, 보안 채널(secure channel)이 실행될 수 있다. 바람직하게는, 이후, 인증 과정은 키 테이블 키를 생성하기 위하여 사용된 것과 유사한 방식으로 보안 채널에 대한 키를 생성하기 위하여 사용된다.
이동 네트워크 오퍼레이터는 또한 서비스로서 상기된 과정을 제공할 수 있는 것이 바람직하다. 다른 네트워크들로부터의 사용자들은 네트워크가 로밍 사용자들을 처리하는 방식과 동일한 방식으로 인증될 수 있다. 게다가, 이런 서비스를 제공함으로써, 다른 네트워크들로부터 사용자들을 지원하지 않고, 네트워크는 또한 다른 네트워크들의 사용자들이 이 네트워크에 가입하게 할 수 있다.
본 발명은 도면들을 참조하여 보다 상세히 설명될 것이다.
도 1은 본 발명에 따른 레코드 캐리어(record carrier)의 실시예를 도시하는 도면.
도 2는 본 발명에 따른 네트워크의 실시예를 도시하는 도면.
도 3은 본 발명에 따른 방법을 도시하는 흐름도.
도 4는 본 발명에 따른 사용자 장치의 실시예를 도시하는 도면.
도 1은 본 발명에 따른 저장 매체(10) 및 레코드 캐리어에 저장된 것을 도시한다. 다음 설명에서, 제 1 사용자 장치의 특정 사용자가 레코드 캐리어(10)에 액세스하기 위한 드라이브를 가진 휴대용 이동 전화일 수 있는 사용자 장치에 의해 판독할 수 있는 CD, DVD 또는 BD 같은 광 레코드 캐리어인 레코드 캐리어(10)상에 암호화된 형태로 저장된 콘텐트에 액세스하는 것이 가정된다. 암호화된 콘텐트외에 레코드 캐리어(10)가 머신 판독 가능 매체 식별자(id) 및 적어도 하나의 키 테이블(KL)을 저장하고, 키 테이블 키(KLK)의 사용에 의해 암호화되고 적어도 하나의 애셋 키(AK)를 저장하는 것이 가정된다. 상기 애셋 키(AK)는 콘텐트(C)를 암호화하기 위하여 사용되어 암호화된 콘텐트(C)를 복호화하기 위하여 사용자에 의해 사용될 필요가 있다.
레코드 캐리어(10)상에 저장된 하나 이상의 키 테이블(KL), 특히 각각의 개별적인 사용자에 대한 하나의 키 테이블(KL)이 있을 수 있고, 각각의 키 테이블(KL)은 다른 키 테이블 키(KLK)에 의해 암호화될 수 있다. 게다가, 각각의 키 테이블(KL)은 레코드 캐리어(10)상에 저장된 콘텐트(C)의 다른 부분들을 복호화하기 위하여 하나 이상의 애셋 키(AK)를 저장할 수 있다. 게다가 각각의 키 테이블에 올바른 키 테이블(KL)을 발견하기 위하여 할당된 사용자 검사 식별자(UC)가 있을 수 있고 및/또는 각각의 키 테이블은 키 테이블(KL)이 올바르게 복호화되었는지를 보기 위하여 복호화 검사 식별자(DC)를 포함하고, 양쪽은 하기에 보다 상세히 설명될 것이다.
도 2는 본 발명의 일반적인 용도를 도시하는 본 발명에 따른 네트워크의 실시예를 도시한다. 도 3은 흐름도로서 본 발명에 따른 방법의 단계들을 도시한다. 도 3은 흐름도로서 본 발명에 다른 방법의 단계들을 도시한다. 도 2에 도시된 네트워크에서, 이동 통신 네트워크, 특히 GSM 네트워크(3)는 두 개의 사용자 장치들(1,2), 여기서 두 개의 이동 전화들이 접속하고, 그들이 각각 다르게 그리고 다른 사용자들과 통신하는 것이 예로서 도시된다. 이동 전화들(1,2) 각각은 SIM 카드(20)를 판독하기 위하여 SIM 카드 판독기(4)를 포함한다. SIM 카드(20)상에는 인증 키가 저장되고 상기 인증 키는 네트워크(3)에 접속할 때 이동 전화들(1,2)의 인증을 위하여 사용된 GSM 네트워크(3)의 인증 센터(AuC)와 공유된 비밀 키이다. 이동 전화들(1,2)은 예를 들어 작은 형태의 팩터 광 디스크 드라이브일 수 있는 탈착 가능한 저장 매체(10)로부터 데이터를 판독하고 및/또는 저장하기 위한 드라이브(5)를 더 포함한다. 사용자 장치들(1,2)은 데이터를 전송하는 전송기(7) 및 데이터를 수신하는 수신기(8)를 포함하는 네트워크(3)에 접속하기 위한 접속 수단(6)을 더 포함한다.
상기된 유럽특허출원 02 078 437.7(PHNL 020775)에 기술된 바와 같이, 이동 통신 네트워크 인증 과정은 레코드 캐리어(10)(예를 들어, 레코드 캐리어(10)상 특정 영역에 저장된 일련 번호)의 유일한 식별자를 레코드 캐리어(10)상에 저장된 콘텐트(C)(또는 콘텐트의 일부)의 암호화를 위하여 사용된 애셋 키(AK)로 변환하기 위하여 사용된다. 이런 변환은 SIM 카드없이 콘텐트가 복호화 및 판독될 수 없도 록, SIM 카드(20) 또는 인증 센터(AuC)에 의해 수행된다. 이것은 사용자의 사적 콘텐트를 보호하기 위하여 매우 간단하고 안전한 방식을 제공한다. 만약 다른 사용자들이 그의 콘텐트에 액세스하거나 그 자신에 의해 소유된 다른 장치들로부터 명백한 액세스를 하기를 사용자가 원하면, 다음 과정이 수행된다.
제 1 단계(S1)에서, 유일한 식별자(id)는 레코드 캐리어로부터 판독된다. 이런 매체 식별자(id) 및 제 1 사용자에 의해 제 1 사용자의 콘텐트의 특정 부분에 액세스할 수 있도록 인증된 제 2 사용자의 사용자 식별자(ui)는 네트워크(3)의 인증 센터(AuC)에 전송된다(S2). (S3)에서, 키 테이블 키(KLK), 예를 들어 키 테이블들이 키 로커들(key lockers) 형태의 경우 키 로커 키는 매체 식별자(id) 및 사용자 식별자(ui)로부터 키 생성기(key generator; 31)에 의해 생성된다. 생성된 키 테이블 키(KLK)는 또한 제 1 장치(1)(S4)에만 또는 제 1 사용자 장치(1) 및 제 2 사용자 장치(2)(S8)에 전송될 수 있다.
제 1의 경우, 제 1 사용자 장치(1)는 수신된 키 테이블 키(KLK)의 사용에 의해 제 2 사용자(2)(S5)에 대한 키 테이블(KL2)을 생성하고, 즉 콘텐트에 액세스하기 위하여 제 2 사용자에게 제공될 애셋 키(들)는 상기 키 테이블 키(KLK)에 의해 암호화된다. 제 2 사용자(2)는 제 1 사용자(S6)로부터 새롭게 생성된 키 테이블(KL2)을 복호화하기 위하여 키 테이블 키(KLK)를 얻음으로써 인증된다. 키 테이블 키(KLK)의 사용에 의해, 사용자는 키 테이블(KL2)을 복호화하고, 이로부터 애셋 키(들)를 판독하고 콘텐트의 복호화를 위하여 애셋 키(들)를 사용한다. 사용자(2)는 직접적인 어려움없이 인증 리스트에 부가된다.
키 테이블 키(KLK)가 직접 제 2 사용자(S8)에 포워드되는 제 2 대안에서, 제 2 사용자 장치(1)는 또한 수신된 키 테이블 키(KLK)(단계 5와 동일하게)의 사용에 의해 제 2 사용자(2)(S9)에 대해 키 테이블(KL2)을 생성한다. 그러나, 그후 바로 제 2 사용자(2)는 이러한 키 테이블 키(KLK)(S10)의 사용에 의해 새로운 키 테이블(KL2)을 직접 복호화할 수 있다.
다른 가능성은 사용자가 액세스하지 않은 레코드 캐리어를 제 2 사용자라는 것이다. 그러나, 그는 네트워크를 통하여 액세스한 사용자에게 그가 액세스하게 제공할 수 있다. 따라서, 제 1 사용자는 네트워크를 통하여 제 2 사용자에게 그의 키 테이블 키를 제공할 수 있고 따라서 동일한 키 테이블 키의 사용에 의해 자신의 키 테이블에 그가 액세스하는 것을 인증한다. 또한, 이 경우, 제 1 사용자(1)에 의해 인증된 모든 사용자들에 사용되는 레코드 캐리어상에 저장된 단지 하나의 단일 키 테이블이 있는 것은 충분하다.
상기된 바와 같이, 각각의 키 테이블(KL)은 또한 바람직하게는 키 테이블의 복호화가 올바르게 작동되는 것을 가리키는 복호화 검사 식별자(DC)(도 1 참조)를 포함한다. 이것을 검사하기 위하여, 사용자 장치들은 도 4에 도시된 사용자 장치(1)의 실시예에 도시된 바와 같이 복호화 검사 유닛(9)을 포함한다. 게다가, 키 테이블들은 해킹을 보다 어렵게 하기 위하여 몇몇 랜덤하게 생성된 패딩 필드들을 포함할 수 있다. 사용자가 레코드 캐리어에 액세스하고자 할 때, 유일한 식별자(id)는 키 테이블을 복호화하기 위한 잠재적인 키인 애셋 키에 맵핑하는 SIM을 사용하여 변환되어야 한다. 레코드 캐리어상에 제공된 키 테이블을 복호화하기 위 하여 이런 잠재적인 키를 사용하는 것은 실제 애셋 키를 발생시킨다. 그러나, 만약 사용자가 인증되지 않으면 그의 SIM은 키 테이블 키를 생성할 것이지만, 이것은 복호화 검사 식별자로부터 쉽게 볼 수 있는 임의의 키 테이블들을 올바르게 복호화할 수 없다.
바람직하게는, 상기된 바와 같이, 키 테이블들은 다른 권리들이 각각의 사용자를 위하여 저장될 수 있고 몇몇 콘텐트가 몇몇 사용자들로부터 숨겨지는 키 로커들이다. 키 테이블들은 또한 키 로커내에 배치된 모든(각각의 사용자에 대해) 것일 수 있다. 키 록커 키(key locker key)는 레코드 캐리어상에서 숨겨진 키이다.
게다가, 도 4의 실시예에 도시된 바와 같이, 사용자 장치들은 레코드 캐리어상에 바람직하게 저장되고 각각의 키 테이블에 할당된 대응하는 사용자 검사 식별자(uc)를 검사하기 위하여 사용자 검사 유닛(11)을 포함할 수 있다. 이런 사용자 검사 식별자(uc)는 올바른 것을 발견하기 위하여 각각의 이용할 수 있는 키 테이블의 복호화가 방지될 수 있도록 사용자에 대한 올바른 키 테이블을 발견하기 위해 사용된다. 예를 들어, 사용자의 SIM 카드는 소위 사용될 수 있는 GSM내의 국제 이동 가입자 식별부(IMSI)라 불리는 이동 네트워크에 대해 사용자를 식별하기 위하여 식별자를 포함한다. 선택적으로, 사용자의 전화 번호는 사용될 수 있다. 게다가, 만약 사용자 본인을 숨기를 원하면, 이런 사용자 검사 식별자(uc)는 매우 간단한 방법, 예를 들어 키를 사용하는 XOR로 암호화될 수 있다. 이것은 다시 각각의 사용자 검사 식별자가 비교적 간단한 XOR 동작에 의해 복호화될 필요가 있다는 것을 의미한다. 각각의 사용자 검사 식별자가 바람직하게 다른 키를 사용하여 XOR되면, 이 방법이 충분한 안정성을 가지고 사용자 본인을 숨길 수 있도록 기본적인 사용자 검사 식별자를 결정하는 용이한 방법은 없다.
바람직하게는, 다른 사용자들을 인증하기를 원하는 사용자는 각각의 새로운 사용자에 대한 새로운 키 테이블을 생성한다. 그러므로, 키 테이블 생성 유닛(12)은 도 4에 도시된 바와 같이 각각의 사용자 장치(1)에 제공된다.
콘텐트를 생성하는 사용자는 상기된 유럽특허출원 02 078 437.7(PHNL 020775)에 지시된 바와 같이 인증될 것이다. 다른 사용자들을 인증 리스트에 부가하는 것은 네트워크를 통하여 행해질 수 있다. 그러므로, 안전한 접속은 바람직하게는 인증될 사용자의 GSM에서 사용자 장치 및 네트워크(특히 홈 위치 레지스터 HLR) 사이에 제공된다. 사용자 식별자로서, 사용자의 전화 번호 또는 사용자의 IMSI는 사용될 수 있다. 물론, 다른 사용자 식별자들은 사용될 수 있고, 이에 의해 사용자는 네트워크에 대해 유일하게 식별된다.
상기된 인증 과정은 유사한 방식으로 사용자 장치들 및 네트워크 사이의 보안 채널을 위한 키를 생성하기 위하여 사용될 수 있다.
바람직하게는, 네트워크 동작은 서비스로서 상기된 과정을 제공할 수 있다. 다른 네트워크들로부터 사용자들은 네트워크가 로밍 사용자들을 처리하는 것과 동일한 방식으로 인증될 수 있다. 그러나, 다른 네트워크들로부터 사용자들을 지원하는 것이 아니고 서비스를 제공함으로써, 네트워크는 사용자들의 친구들 또는 가족들이 네트워크에 가입하게 할 수 있다.
본 발명은 특정 사용자에 속하는 콘텐트에 액세스를 얻기 위하여 인증 리스 트상 다른 사용자들을 추가하기 위한 간단하고 쉽게 실행할 수 있는 방법을 제공한다. 네트워크의 인증 과정은 높은 레벨의 보안성을 제공하는 처리에 사용된다.

Claims (11)

  1. 저장 매체(10)상에 암호화된 형태로 저장된 콘텐트에 사용자가 액세스하는 것을 인증하는 장치로서, 상기 저장 매체는 키 테이블 키(KLK)의 사용에 의해 암호화된 적어도 하나의 키 테이블(KL) 및 머신 판독 가능 매체 식별자(id)를 저장하고 암호화된 콘텐트(C)를 복호화하기 위한 적어도 하나의 애셋 키(AK)를 저장하는, 상기 인증 장치에 있어서:
    - 상기 장치를 네트워크(3)에 접속하기 위한 접속 수단(6);
    - 특히 상기 저장 매체(10)로부터 콘텐트(C) 및 상기 매체 식별자(id)를 판독하기 위해 상기 저장 매체(10)에 액세스하기 위한 드라이브(5); 및
    - 상기 콘텐트(C)에 액세스하도록 인증되고 사용자 식별자(ui)에 의해 상기 네트워크(3)에 대해 식별되는, 사용자의 상기 사용자 식별자(ui) 및 상기 매체 식별자(id)를 상기 네트워크(3) 내의 인증 유닛(AuC)에 전송하는 전송기(7)로서, 상기 매체 식별자(id) 및 상기 사용자 식별자(ui)는 상기 사용자가 적어도 하나의 미리 결정된 키 테이블(KL)을 복호화할 수 있게 하는 상기 사용자용 키 테이블 키(KLK)를 생성하는 상기 인증 유닛(AuC)에 의해 사용되는, 상기 전송기(7)를 포함하는, 인증 장치.
  2. 제 1 항에 있어서,
    상기 네트워크(3)로부터 상기 사용자용 상기 키 테이블 키(KLK)를 수신하는 수신기(8)를 더 포함하고,
    상기 전송기(7)는 상기 수신된 키 테이블 키(KLK)를 상기 사용자에게 전송하도록 동작하는, 인증 장치.
  3. 제 1 항에 있어서,
    상기 저장 매체(10)는 복수의 키 테이블들(KL), 특히 사용자당 하나의 키 테이블을 저장하고, 각각의 키 테이블(KL)에 대해 사용자 검사 식별자(uc)가 할당되고, 상기 장치는 키 테이블(KL)이 상기 사용자에 할당되는 상기 사용자 검사 식별자(uc)에 기초하여 검사하는 사용자 검사 수단(11)을 더 포함하는, 인증 장치.
  4. 제 1 항에 있어서,
    상기 적어도 하나의 키 테이블(KL)은 복호화 검사 식별자(DC)를 더 포함하고, 상기 장치는 만약 키 테이블(KL)이 올바르게 복호화되면 상기 복호화 검사 식별자(DC)에 기초하여 검사하는 복호화 검사 수단(9)을 더 포함하는, 인증 장치.
  5. 제 1 항에 있어서,
    키 테이블 키(KLK)의 사용에 의한 하나 이상의 애셋 키들(AK)의 암호화에 의해 키 테이블(KL)을 생성하는 키 테이블 생성 수단(12)을 더 포함하고, 상기 드라이브(5)는 상기 저장 매체(10)상에 상기 키 테이블(KL)을 저장하도록 동작하는, 인증 장치.
  6. 제 1 항에 있어서,
    상기 장치는 이동 통신 장치, 특히 이동 전화이고, 상기 네트워크는 이동 통신 네트워크이고 상기 인증 유닛(AuC)은 상기 키 테이블 키(KLK)를 생성하기 위하여 이동 통신 장치들의 인증에 사용되는 인증 알고리즘을 사용하는, 인증 장치.
  7. 제 6 항에 있어서,
    상기 사용자 식별자(ui)는 국제 이동 가입자 식별 또는 상기 사용자의 전화 번호인, 인증 장치.
  8. 제 6 항에 있어서,
    상기 전송기(7)는 상기 매체 식별자(id) 및 상기 사용자 식별자(ui)를, 상기 네트워크(3)로 상기 사용자의 홈 위치 레지스터의 인증 유닛(AuC)에 전송하도록 동작하는, 인증 장치.
  9. 저장 매체(10)상에 암호화된 형태로 저장된 콘텐트에 사용자가 액세스하는 것을 인증하는 방법으로서, 상기 저장 매체는 키 테이블 키(KLK)의 사용에 의해 암호화된 적어도 하나의 키 테이블(KL) 및 머신 판독 가능 매체 식별자(id)를 저장하고 암호화된 콘텐트(C)를 복호화하기 위한 적어도 하나의 애셋 키(AK)를 저장하는, 상기 인증 방법에 있어서:
    - 상기 장치를 네트워크(3)에 접속하는 단계; 및
    - 상기 콘텐트(C)에 액세스하도록 인증되고 사용자 식별자(ui)에 의해 상기 네트워크(3)에 대해 식별되는, 사용자의 상기 사용자 식별자(ui) 및 상기 매체 식별자(id)를 상기 네트워크(3) 내의 인증 유닛(AuC)에 전송하는 단계로서, 상기 매체 식별자(id) 및 상기 사용자 식별자(ui)는 상기 사용자가 적어도 하나의 미리 결정된 키 테이블(KL)을 복호화할 수 있게 하는 상기 사용자용 키 테이블 키(KLK)를 생성하는 상기 인증 유닛(AuC)에 의해 사용되는, 상기 전송 단계를 포함하는, 인증 방법.
  10. 네트워크에 있어서:
    - 저장 매체(10)상에 암호화된 형태로 저장된 콘텐트에 제 2 사용자 장치의 사용자가 액세스하는 것을 인증하는 제 1 사용자 장치(1)로서, 상기 저장 매체는 키 테이블 키(KLK)의 사용에 의해 암호화된 적어도 하나의 키 테이블(KL) 및 머신 판독 가능 매체 식별자(id)를 저장하고 암호화된 콘텐트(C)를 복호화하기 위한 적어도 하나의 애셋 키(AK)를 저장하고, 상기 제 1 사용자 장치(1)는,
    - 상기 장치를 네트워크(3)에 접속하는 접속 수단(6),
    - 상기 저장 매체(10)에 액세스하고, 특히 상기 저장 매체(10)로부터 콘텐트(C) 및 상기 매체 식별자(id)를 판독하는 드라이브(5), 및
    - 상기 콘텐트(C)에 액세스하도록 인증되고 사용자 식별자(ui)에 의해 상기 네트워크(3)에 대해 식별되는, 사용자의 상기 사용자 식별자(ui) 및 상기 매 체 식별자(id)를 상기 네트워크(3) 내의 인증 유닛(AuC)에 전송하는 전송기(7)를 포함하는 상기 제 1 사용자 장치(1);
    - 인증 유닛(AuC)으로서,
    - 상기 매체 식별자(id) 및 상기 사용자 식별자(ui)를 수신하는 수신기(30),
    - 상기 매체 식별자(id) 및 상기 사용자 식별자(ui)를 사용하여 상기 사용자에 대한 키 테이블 키를 생성하는 키 생성 수단(31)으로서, 상기 키 테이블 키는 상기 적어도 하나의 키 테이블을 사용자가 복호화할 수 있게 하는, 상기 키 생성 수단(31), 및
    - 상기 키 테이블 키를 상기 제 1 및/또는 상기 제 2 사용자 장치에 전송하는 전송기(32)를 포함하는, 상기 인증 유닛(AuC); 및
    - 상기 저장 매체상에 암호화된 형태로 저장된 콘텐트에 액세스되도록 인증되는 사용자의 제 2 사용자 장치(2)로서,
    - 상기 장치를 상기 네트워크에 접속하는 접속 수단(6),
    - 상기 인증 유닛 또는 상기 제 1 사용자 장치로부터 상기 키 테이블 키를 수신하는 수신기(8),
    - 상기 저장 매체에 액세스하고, 특히 상기 저장 매체로부터 콘텐트를 판독하고, 상기 수신된 키 테이블 키를 사용하여 적어도 하나의 미리 결정된 키 테이블을 복호화하기 위한 드라이브(5)를 포함하는 사용자의 상기 제 2 사용자 장치를 포함하는, 네트워크.
  11. 컴퓨터 프로그램이 컴퓨터상에서 운용될 때, 제 9 항에 따른 방법의 단계들을 컴퓨터가 수행하게 하는 프로그램 코드 수단을 포함하는 컴퓨터 프로그램.
KR1020067015742A 2004-02-04 2005-01-26 저장 매체상에 암호화된 형태로 저장된 콘텐트에 사용자가액세스하는 것을 인증하는 장치 및 방법 KR20060122906A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04100409 2004-02-04
EP04100409.4 2004-02-04

Publications (1)

Publication Number Publication Date
KR20060122906A true KR20060122906A (ko) 2006-11-30

Family

ID=34833726

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067015742A KR20060122906A (ko) 2004-02-04 2005-01-26 저장 매체상에 암호화된 형태로 저장된 콘텐트에 사용자가액세스하는 것을 인증하는 장치 및 방법

Country Status (5)

Country Link
EP (1) EP1714280A1 (ko)
JP (1) JP2007525123A (ko)
KR (1) KR20060122906A (ko)
CN (1) CN1914679A (ko)
WO (1) WO2005076270A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2550560C (en) 2005-06-17 2015-07-21 Kabushiki Kaisha Toshiba Information provision system, provision information copying device, user terminal device and user management device
EP2232763A4 (en) * 2007-12-21 2012-08-08 Cocoon Data Holdings Ltd SYSTEM AND METHOD FOR DATA BACKUP
EP3039811B1 (en) * 2013-08-29 2021-05-05 Telefonaktiebolaget LM Ericsson (publ) Method, content owner device, computer program, and computer program product for distributing content items to authorized users

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0823315A (ja) * 1994-07-08 1996-01-23 Sony Corp 情報提供システム
JPH0934841A (ja) * 1995-07-21 1997-02-07 Fujitsu Ltd 記憶媒体のオンライン暗号解除システムおよび方法
EP1237324A4 (en) * 1999-12-02 2008-12-10 Sanyo Electric Co MEMORY CARD AND DATA DISTRIBUTION SYSTEM INVOLVING SUCH A CARD
TWI226776B (en) * 2000-12-18 2005-01-11 Koninkl Philips Electronics Nv Secure super distribution of user data
JP2002328846A (ja) * 2001-02-20 2002-11-15 Sony Computer Entertainment Inc コピー管理システム,クライアント端末装置の情報処理プログラムが記憶されたコンピュータ読み取り可能な記憶媒体,管理サーバ装置の情報処理プログラムが記憶されたコンピュータ読み取り可能な記憶媒体,クライアント端末装置の情報処理プログラム,管理サーバ装置の情報処理プログラム,コピー管理方法,クライアント端末装置の情報処理方法、及び管理サーバ装置の情報処理方法
JP2003085084A (ja) * 2001-09-12 2003-03-20 Sony Corp コンテンツ配信システム及びコンテンツ配信方法、携帯端末、配信サーバ、並びに記憶媒体

Also Published As

Publication number Publication date
WO2005076270A1 (en) 2005-08-18
CN1914679A (zh) 2007-02-14
JP2007525123A (ja) 2007-08-30
EP1714280A1 (en) 2006-10-25

Similar Documents

Publication Publication Date Title
US10595201B2 (en) Secure short message service (SMS) communications
JP4866863B2 (ja) セキュリティコード生成方法及びユーザ装置
US20050235143A1 (en) Mobile network authentication for protection stored content
RU2434352C2 (ru) Способ и устройство для надежной аутентификации
US8051297B2 (en) Method for binding a security element to a mobile device
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
JP4803145B2 (ja) 鍵共有方法、鍵配信システム
CN101621794A (zh) 一种无线应用服务系统的安全认证实现方法
US7913096B2 (en) Method and system for the cipher key controlled exploitation of data resources, related network and computer program products
KR101358375B1 (ko) 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법
CA2553081C (en) A method for binding a security element to a mobile device
KR20060122906A (ko) 저장 매체상에 암호화된 형태로 저장된 콘텐트에 사용자가액세스하는 것을 인증하는 장치 및 방법
RU2698424C1 (ru) Способ управления авторизацией
KR100505481B1 (ko) 휴대용 단말기를 이용한 웹서비스 접속 인증시스템
JP2023506791A (ja) プライバシー情報伝送方法、装置、コンピュータ機器及びコンピュータ読み取り可能な媒体
KR100938391B1 (ko) 서버와 클라이언트 상호인증을 통한 로그인 시스템
KR101668366B1 (ko) 이동저장매체를 활용한 패스워드 기반 사용자 인증 방법 및 장치
CN101477574A (zh) 对数据库中数据进行加解密的方法
CN113162766A (zh) 一种密钥分量的密钥管理方法和系统
JP2007079987A (ja) 認証方法、認証システム、認証プログラム及び記録媒体

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid