KR20070074562A - 조건적 액세스를 제공하는 방법 - Google Patents

조건적 액세스를 제공하는 방법 Download PDF

Info

Publication number
KR20070074562A
KR20070074562A KR1020077008144A KR20077008144A KR20070074562A KR 20070074562 A KR20070074562 A KR 20070074562A KR 1020077008144 A KR1020077008144 A KR 1020077008144A KR 20077008144 A KR20077008144 A KR 20077008144A KR 20070074562 A KR20070074562 A KR 20070074562A
Authority
KR
South Korea
Prior art keywords
data
content
rights
data content
message
Prior art date
Application number
KR1020077008144A
Other languages
English (en)
Inventor
엠. 무이젠 마리너스 씨.
Original Assignee
코닌클리케 필립스 일렉트로닉스 엔.브이.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 코닌클리케 필립스 일렉트로닉스 엔.브이. filed Critical 코닌클리케 필립스 일렉트로닉스 엔.브이.
Publication of KR20070074562A publication Critical patent/KR20070074562A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/238Interfacing the downstream path of the transmission network, e.g. adapting the transmission rate of a video stream to network bandwidth; Processing of multiplex streams
    • H04N21/2389Multiplex stream processing, e.g. multiplex stream encrypting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/438Interfacing the downstream path of the transmission network originating from a server, e.g. retrieving MPEG packets from an IP network
    • H04N21/4385Multiplex stream processing, e.g. multiplex stream decrypting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4627Rights management associated to the content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/835Generation of protective data, e.g. certificates
    • H04N21/8355Generation of protective data, e.g. certificates involving usage data, e.g. number of copies or viewings allowed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 데이터 콘텐츠 전송기 및 적어도 하나의 데이터 수신기(50, 500, 2600)를 포함하는 통신 시스템(10, 300, 2400, 2700)에 관한 것이다. 시스템(10, 300, 2400, 2700)은 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법을 실행한다. 상기 방법은 (a) 데이터 콘텐츠, 상기 콘텐츠에 대한 권한을 규정하는 권한 오브젝트들, 및 상기 콘텐츠의 차후의 처리를 제어하기 위한 제어 메시지들을 제공하는 단계와, (b) 상기 권한 오브젝트들과 상기 콘텐츠를 연관시키기 위해 동작가능한 문자적 식별자들을 생성하는 단계와, (c) 대응하는 식별 숫자적 데이터로 상기 문자적 식별자들을 변환하는 단계로서, 상기 숫자적 데이터는 대응하는 문자적 식별자들보다 더욱 압축적인, 상기 변환하는 단계와, (d) 상기 적어도 하나의 데이터 수신기(50, 500, 2600)에서 전송 및 차후에 수신하기 위해 출력 데이터를 생성하도록 상기 숫자적 데이터, 상기 권한 오브젝트들, 및 상기 제어 메시지들을 컴파일링하는 단계를 포함한다. 문자적 식별자들을 변환하는 단계는 전달될 데이터를 적게하므로, 감소된 대역폭 요구를 나타낸다. 상기 방법은 예를 들어 DVB(digital video broadcast)에 관련된다.
권한 오브젝트, 암호화, 문자적 식별자, 컴파일링, 데이터 콘텐츠

Description

조건적 액세스를 제공하는 방법{Method of providing conditional access}
본 발명은 스트림 수신 장치를 사용하여 암호화된 데이터 스트림들로의 조건적인 액세스를 제공하는 방법들에 관한 것이다. 더욱이, 본 발명은 또한 상기 방법들을 구현하도록 구성되는 통신 시스템들, 단말기들, 및 소프트웨어에 관한 것이다. 게다가, 본 발명은 권한 오브젝트들과 데이터 콘텐츠들을 연관시키는 방법들에 관한 것이다. 부가적으로, 본 발명은 상기 방법에 따라 생성되는 데이터 스트림들에 관한 것이다.
데이터 콘텐츠를 전달하도록 동작가능한 통신 시스템들은 공지되어 있다. 현재, 그러한 통신 시스템들 내에서 데이터 콘텐츠가 사용되고 보급되는 방법을 제어할 수 있는, 즉 데이터 콘텐츠의 보급과 연관되는 권한 기능을 제공하는 것이 중요하게 되었다. 현재의 통신 시스템들 내 권한 기능의 포함은 예를 들어 OMA(Open Mobile Alliance) 및 DVB(Digital Video Broadcast)에서와 같이 표준화를 달성하려 시도하는 많은 단체들에 대한 관심의 주제가 되고 있다. DVB는 DVBTM-CBMS(Convergence of Broadcsst and Mobile Services)에 의해 표시되는 DVB 테크니컬 모듈을 포함한다.
ECM(entitlement control messages)을 제공하는 데이터 전송 시스템들은 알 려져 있다. 예를 들어, 미국 특허 제6,668,320 호에 데이터 패킷들의 복호화를 효과적으로 다룰 수 있는 수신기 또는 셋탑 박스를 포함하는 전송 시스템이 기술되어 있다. 상기 시스템은 수신기 또는 셋탑 박스에 복호화 키들을 전달하기 위한 송신기를 포함하고, 상기 복호화 키들은 수신기 또는 셋탑 박스에서 수신된 암호화된 데이터 패킷들을 복호화하기 위해 필요하다. 상기 복호화 키들은 ECM들(entitlement control messages)의 형태에 따른다. 예를 들어 수신기 또는 셋탑 박스에 포함되는 스마트 카드를 활용하여 수신기 또는 셋탑 박스에서 ECM을 복호화함으로써, 그 복호화 키는 수신기 또는 셋탑 박스가 대응하는 데이터 서비스 또는 자격부여에 따른 권한을 유지하는 경우에 알려진다. 기술된 전송 시스템은 예를 들어 2004년 4월, DVB Document A080, European Standard or DVB: IP Datacast Baseline Specification, document Draft EN 301 192 v.1.1.1에 설명된 바와 같이, DVB(digital video broadcasting) 표준들에 적합하도록 구현될 수 있다.
예를 들어 ETSI TS 301 192에 규정된 바와 같이, 데이터 브로드캐스팅에 대해 상기 언급된 DVB 사양은 디지털 비디오 콘텐츠를 안전하게 브로드캐스트하는 방법을 기술하고 있다. 상기 방법은 어떠한 복귀 채널도 요구되지 않는 것과 같이 단말기로 브로드캐스트 채널을 통해 데이터 콘텐츠를 보급시키는 단계를 포함한다. 데이터 콘텐츠는 서로를 참조하는 3개의 암호화 층들로 보호된다. 제 1 층에서, 데이터 콘텐츠는 시간에 걸쳐 변하는 제어 워드가 있는 암호화에 의해 보호된다. 데이터 콘텐츠의 일부분에 속하는 제시된 실제 제어 워드는 ECM(entitlement control message)를 브로드캐스트함으로써 보급되고, 그것은 제 2 층에 차례대로 보급되어 암호화된다. 제 3 층은 ECM(entitlement control message)에 대한 키들을 보급하고 암호화하기 위해 동작가능하다. 상기 층들 사이의 참조가 현재 표준화되어 있지 않기 때문에, 현재 사용에 따라 그러한 참조를 제공하기 위한 몇 가지 사유의 솔루션들이 존재한다. 그러한 표준화의 부족은 스트림 수신 장치가 몇 가지 사유의 솔루션들을 지원할 필요가 있을 때 기술적 문제점을 나타내고, 그 문제점은 예를 들어 DVB-H 표준에 명시된 바와 같이 휴대용 장치들과 부딪치게 된다.
OMA DRM 2.0 및 DVB 1.0이 쌍을 이룰 때, OMA DRM 2.0에서 데이터 콘텐츠와 연관되고, OMA DRM 2.0 시스템에서 그 데이터 콘텐츠에 대한 사용 권한을 설정하는 OMA DRM 2.0 권한 오브젝트는 DVB 1.0 시스템과 쌍을 이룰 필요가 있다. 본 발명은 이러한 특정한 문제점들 및 유사한 문제점들에 대한 해결책을 제공하기 위한 것이다.
본 발명은 권한 오브젝트들로 데이터 콘텐츠를 연관시키는데 따른 데이터의 권한 오브젝트의 사용에 효율적인 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법을 제공하는 것이다.
상기 방법은 스트림 수신 장치가 단지 상기 언급된 층들 사이에 참조를 제공하는 단일한 비사유적 솔루션을 지원할 필요가 있을 때 이익을 얻을 수 있다.
본 발명의 제 1 측면에 따라, 통신 시스템에서 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법으로서, 상기 시스템은 데이터 콘텐츠 송신기 및 적어도 하나의 데이터 콘텐츠 수신기를 포함하는, 상기 데이터 콘텐츠 연관 방법에 있어서,
(a) 데이터 콘텐츠, 상기 데이터 콘텐츠에 대한 권한을 정의하는 권한 오브젝트들, 및 상기 데이터 콘텐츠에 적용되는 후속 처리를 제어하기 위한 제어 메시지들을 제공하는 단계로서, 상기 제어 메시지들은 상기 권한 오브젝트들과 상기 데이터 콘텐츠 참조가 연관되어 있는, 상기 제공 단계와,
(b) 상기 권한 오브젝트들과 상기 데이터 콘텐츠를 연관시키도록 동작가능한 문자적 식별자들(textual identifiers)을 생성하는 단계와,
(c) 대응하는 식별 데이터로 상기 문자적 식별자들을 변환하는 단계와,
(d) 상기 송신기로부터 전송하고 상기 적어도 하나의 데이터 수신기에서 차후의 수신을 위해 출력 데이터를 생성하도록 상기 식별 데이터, 상기 권한 오브젝트들, 및 상기 제어 메시지들을 컴파일링하는 단계를 포함하는, 상기 데이터 콘텐츠 연관 방법이 제공된다.
본 발명은 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법이 그 권한 오브젝트들로 상기 데이터 콘텐츠를 연관시키는데 데이터의 권한 오브젝트의 사용에서 효율적인 장점이 있다.
선택적으로, 상기 방법에서 상기 대응하는 식별 데이터로 상기 문자적 식별자들을 변환하는 상기 단계는 상기 문자적 식별자들을 2진 형태의 상기 대응하는 식별 데이터로 변환하는 단계를 포함하고, 2진 형태의 상기 식별 데이터는 그것들의 대응하는 문자적 식별자들보다 더 압축되어 있다. 상기 방법은 대응하는 식별 수치 데이터로 문자적 식별자들의 변환이 통신 시스템 내 대역폭 요구들을 감소시킬 수 있다는 점에서 유리하다.
선택적으로, 상기 방법에서 권한 오브젝트들은 OMA DRM 권한 오브젝트들이다. 그러한 권한 오브젝트들의 사용은 본 발명이 현재의 데이터 통신 시스템들 및 네트워크들에 사용되는 것을 가능케 한다.
선택적으로, 상기 방법은,
(e) 상기 적어도 하나의 데이터 수신기에서 상기 출력 데이터를 수신하는 단계와,
(f) 상기 식별 데이터를 처리하여 그로부터 상기 적어도 하나의 데이터 수신기에서 상기 데이터 콘텐츠의 사용을 제어하기 위해 상기 데이터 콘텐츠 및 상기 권한 오브젝트들 사이의 연관성을 재생성하는 단계를 더 포함한다.
상기 적어도 하나의 데이터 수신기는 그에 따라 식별 수치 데이터를 수신하여, 그로부터 상기 데이터 콘텐츠 및 상기 권한 오브젝트들 사이의 연관성을 재생성할 수 있다.
선택적으로, 상기 방법에서 출력 데이터를 생성하도록 컴파일링될 때 식별 데이터는 제어 메시지들로 포함된다. 상기 수치 데이터를 상기 제어 메시지들에 포함시키는 것은 압축 데이터에 대해 전송기로부터의 전송을 허용하고, 또한 적어도 하나의 수신기에서 데이터 콘텐츠와 권한 오브젝트들 사이에 연관을 직접 재생성하는 것을 가능케 한다.
선택적으로, 상기 방법에서 식별 데이터는 해시 함수(hash function), 암호화 함수 중 하나 이상의 방법에 따라 문자적 식별자들로부터 생성된다. 그러한 해시 함수 또는 암호화 함수는 데이터 콘텐츠에 대한 인증되지 않은 액세스를 도청하려거나 다른 방식으로 얻으려 시도하는 제 3자에게서 보안을 유지할 뿐만 아니라 데이터 압축을 제공하기 위해 잠재적으로 효율적이다.
보다 선택적으로, 상기 방법에서 해시 함수는 실질적으로 MD4 또는 MD5와 같은 현재의 표준 RFC 1320/1321에 따른 현재의 메시지 다이제스트(Message Digest)의 방법에 의해 구현된다. 대안적으로 또는 부가적으로, 해시 함수는 실질적으로 현재의 표준 FIPS 180-2에 따른 SHA-1 보안 해시 알고리즘(Secure Hash Algorithm)에 의해 구현된다. 대안적으로 또는 추가적으로, 암호화 함수는 실질적으로 송신기 및 상기 적어도 하나의 데이터 수신기에 대한 공개 대칭 키를 사용하는 현재의 진보된 암호화 표준 FIPS 197에 따라 구현된다. 그러한 해시 함수들 및 암호화는 다양한 표준들에 순응하는 데이터 통신 시스템들에서 현재 활용되고 있고, 이에 따라 본 발명의 방법을 그와 같은 현재의 데이터 통신 시스템들에서 이익을 가져오도록 보다 쉽게 적용가능하게 만든다.
선택적으로, 상기 적어도 하나의 데이터 수신기에서 다양한 사용자들에게 액세스 권한을 보급하는 것을 유리하게 구현하기 위해, 상기 방법은 복수의 상기 데이터 수신기들이,
(g) 브로드캐스트 도메인으로 상기 복수의 데이터 수신기들을 그룹화하는 단계와,
(h) 상기 브로드캐스트 도메인에 액세스 가능한 데이터 콘텐츠를 규정하기 위해 상기 브로드캐스트 도메인 내에서 상기 복수의 브로드캐스트 수신기들에 하나 또는 그 이상의 액세스 키들을 전달하는 단계로서, 상기 키들은 상기 시스템에서 통신되는 암호화된 권한 오브젝트들을 액세스하도록 사용가능한, 상기 전달 단계를 추가로 포함하는 상기 방법에 따라 상기 시스템에 초기에 등록되는 것과 같이 구현된다.
선택적으로, 상기 방법에서 데이터 콘텐츠는 대응하는 범용 리소스 로케이터(universal resource locator)로 링크되는 콘텐츠 식별자를 포함하는 일정한 리소스 로케이터의 방법에 의해 데이터 콘텐츠의 연관된 권한 오브젝트들과 함께 문자적 식별자들에 의해 연관된다. 그러한 접근 방식은 상기 방법이 IP(Internet protocol)을 통해 호환 가능하게 하고, 그러므로 그러한 프로토콜을 활용하는 현재의 데이터 통신 시스템들에서 구현하기에 더 쉽게 만든다.
선택적으로, 상기 방법에서 각각의 데이터 수신기에서 데이터 콘텐츠 및 권한 오브젝트들 사이의 연관성을 재생성하는 단계는 제어 메시지들로부터 범용 리소스 표시자 <uid>를 얻고, 그로부터 데이터 수신기에 저장되거나 그 데이터 수신기에 외부적으로 액세스 가능한 콘텐츠 표시 및 권한 오브젝트들 사이의 데이터 수신기에서 발견되는 매치의 부족이 데이터 콘텐츠에 액세스하기 위한 권한이 부족한 데이터 수신기를 표시하도록, 대응하는 권한 오브젝트를 검색하는데 사용하기 위한 콘텐츠 표시 <binary_content_id>를 얻는 단계를 포함한다.
본 발명의 제 2 측면에 따라,
데이터 스트림에 암호화된 데이터 콘텐츠를 포함시키는 단계로서, 상기 데이터 콘텐츠의 복호화는 시간에 따라 변하는 제어 워드들을 요구하는, 상기 암호화된 데이터 콘텐츠 포함 단계와,
상기 데이터 스트림에 제 1 복호화 제어 메시지들을 포함시키는 단계로서, 각각의 제 1 복호화 제어 메시지는 상기 데이터 스트림에서 상기 제 1 복호화 제어 메시지와 실질적으로 동시에 있는 데이터 콘텐츠를 복호화하기 위해 요구되는 제어 워드들 중 적어도 하나를 포함하는, 상기 제 1 복호화 제어 메시지 포함 단계와,
스트림 수신 장치 내 상기 데이터 스트림으로부터 제 1 복호화 제어 메시지를 추출하는 단계와,
추출된 상기 제 1 복호화 제어 메시지로 OMA DRM 권한 오브젝트를 연관시키는 단계와,
연관된 상기 OMA DRM 권한 오브젝트로부터 콘텐츠 암호화 키를 획득하는 단계와,
상기 OMA DRM 권한 오브젝트로부터 획득된 상기 콘텐츠 암호화 키를 사용하여 추출되는 상기 제 1 복호화 제어 메시지를 복호화하는 단계와,
복호화된 상기 제 1 복호화 메시지로부터 제어 워드를 추출하는 단계와,
복호화된 상기 제 1 복호화된 메시지로부터 추출되는 상기 제어 워드를 사용하여 상기 암호화된 데이터 콘텐츠를 복호화하는 단계를 포함하는 조건적 액세스 제공 방법이 제공된다.
본 발명은 상기 방법이 단지 상기 언급된 층들 사이의 참조를 제공하는 단일한 비사유 솔루션을 지원하기 위해 필요한 스트림 수신 장치를 요구할 수 있다는 것이 장점이다.
선택적으로, 상기 방법에서 추출된 상기 제 1 복호화 제어 메시지로 OMA DRM 권한 오브젝트를 연관시키는 단계는,
하나 또는 그 이상의 비트들로 상기 OMA DRM 권한 오브젝트의 어드레스를 맵핑시키는 단계와,
상기 제 1 복호화 제어 메시지에 상기 하나 또는 그 이상의 비트들을 포함시키는 단계와,
수신된 상기 제 1 복호화 제어 메시지로부터 상기 하나 또는 그 이상의 비트들을 추출하는 단계와,
저장된 OMA 권한 오브젝트의 하나 또는 그 이상의 비트들과 추출된 상기 하나 또는 그 이상의 비트들을 비교하는 단계와,
추출된 상기 하나 또는 그 이상의 비트들이 상기 저장된 OMA DRM 권한 오브젝트 중 하나 또는 그 이상의 비트와 같을 때 상기 저장된 OMA DRM 권한 오브젝트가 연관된 상기 OMA DRM 권한 오브젝트가 되도록 선택하는 단계를 더 포함한다.
다수의 비트들로 어드레스를 맵핑하는 단계는 상기 방법의 효율성을 향상시킬 수 있고, 즉 하나 또는 그 이상의 비트들이 상기 어드레스보다 더 작게 선택될 수 있다. 그러므로, 하나 또는 그 이상의 비트들은 제 1 복호화 제어 메시지로 수용될 수 있다.
선택적으로, 본 발명의 일 실시예에서 상기 방법은 하나 또는 그 이상의 비트들로 OMA DRM 권한 오브젝트의 어드레스를 맵핑시키는 단계가 OMA DRM 권한 오브젝트의 어드레스의 해시를 계산하는 단계를 포함한다는 점에서 더 구별된다. 맵핑에 대해 해시를 사용하는 것은 하나 또는 그 이상의 비트들이 예를 들어 침입자에 의해 시도될 수 있는 바와 같이, 어드레스상으로 역으로 맵핑되는 위험을 감소시킨다.
보다 선택적으로, OMA DRM 권한 오브젝트의 어드레스의 해시를 계산하는 단계는 해시 함수들의 세트로부터 해시 함수를 선택하는 단계를 더 포함한다. 해시 함수들의 세트 이외의 해시 함수를 선택하는 것은 향상된 융통성 및 보안성을 제공한다. 또한, 해시 함수들을 계산하는 것은 수신 장치 내 전용 하드웨어에 따라 수행될 수 있다. 그러한 전용 하드웨어는 단일 해시 함수로 상기 방법을 제한하지 않으며 사용될 수 있다. 계속해서 보다 선택적으로, 상기 방법에서 선택된 해시 함수는 제 1 복호화 메시지에서 비트에 의해 표시된다. 제 1 복호화 메시지에서 비트에 의해 선택된 해시 함수를 표시함으로써, 단일 데이터 스트림에 대한 선택은 시간에 걸쳐 변경될 수 있고, 그에 의해 추가로 보안성을 향상시킨다.
선택적으로, 상기 방법에서 어드레스는 OMA DRM 권한 오브젝트의 URI이다. OMA DRM 권한 오브젝트의 URI는 실제 어드레스이고, 그 이유는 그것이 OMA DRM 권한 오브젝트로의 액세스를 용이하게 할 수 있기 때문이다.
본 발명의 특징들이 첨부된 특허청구범위에 규정된 바와 같이 본 발명의 범위로부터 벗어나지 않으며 어떠한 조합으로도 결합될 수 있다는 것을 이해할 것이다. 본 발명의 방법의 상기 대상 및 특징들은 후술하는 설명으로부터 보다 명백해질 것이다.
본 발명의 실시예들은 다음의 도면들을 참조로 하여 단지 예시적으로 이제부터 설명될 것이다.
도 1은 자격부여 제어 메시지들 및 RO(rights objects)와 함께 암호화된 데이터 콘텐츠를 송신기로부터 수신기까지 전달하도록 동작가능한 DVB(digital video broadcast)의 문맥에 따른 통신 시스템을 도시한 개략도.
도 2는 본 발명에 따른 통신 시스템 내 데이터 콘텐츠 보호 및 서비스 보호에 관하여 표현된 통신 시스템을 도시한 개략도.
도 3은 도 2의 통신 시스템에 제공되는 암호화 및 복호화 층들을 도시한 개략도.
도 4는 도 2에 도시된 시스템의 단말기 부분의 동작가능한 부분들을 도시한 개략도.
도 5는 연관된 문자적 식별자들을 갖는 권한 오브젝트들, 암호화된 데이터 콘텐츠, 및 자격부여 제어 메시지들 사이의 상호 관계를 도시한 개략도.
도 6은 도 2의 시스템 내에 제공되는 데이터 서비스들을 도시한 개략도.
도 7은 대응하는 ECM(entitlement control messages) 및 RO(rights objects)와 암호화된 데이터 콘텐츠를 연관시키도록 동작가능한 본 발명에 따른 통신 시스템의 제 1 실제 구조를 도시한 개략도.
도 8은 암호화된 데이터 콘텐츠가 대응하는 ECM(entitlement control messages) 및 RO(rights objects)와 연관되는 방식에 관련하여 본 발명에 따라 작동하도록 동작가능한 본 발명에 따른 통신 시스템의 제 2 실제 구조를 도시한 개략도.
도 9는 상호 작용이 사용가능할 때 단말기가 보호되는 데이터 콘텐츠를 획득할 수 있는 본 발명에 따른 프로세스를 도시한 도면.
도 10은 상호 작용이 사용가능하지 않을 때 보호되는 데이터 콘텐츠를 획득하기 위한 본 발명에 따른 프로세스를 도시한 도면.
도 1에 있어서, 20으로 표시되는 브로드캐스트 채널 상에서 데이터 콘텐츠를 전송하기 위해 일반적으로 10으로 표시되는 통신 시스템이 도시되어 있다. 예를 들어, 시스템(10)은 현재의 DVB 1.0 표준에 적합하다. 더욱이, 시스템(10)은 브로드캐스트 채널(20)로 출력하기 위해 대응하는 암호화된 출력 데이터를 생성하도록 그에 데이터 콘텐츠(40) 입력을 암호화하기 위한 송신기(30), 및 브로드캐스트 채널(20)을 경유하여 수신되는 암호화된 출력 데이터를 수신하고 대응하는 복호화된 출력 데이터(60)를 생성하도록 출력 데이터를 복호화하기 위한 수신기(50)를 포함한다. 예를 들어, 송신기(30)는 데이터 콘텐츠 공급자에 속할 수 있는 반면에, 수신기(50)는 예를 들어 사용자 또는 시청자에게 속할 수 있다. 개략적으로, 시스템(10)은 암호화에 의해 브로드캐스트 채널(20)을 경유하여 전달되는 데이터 콘텐츠를 보호하고, 또한 데이터 콘텐츠를 사용자들이 액세스하고 사용할 수 있는 방법에 관한 제어의 정도를 제공하도록 동작가능하다.
송신기(30)는 데이터 콘텐츠(40)를 수신하고 대응하는 암호화된 데이터(110)를 생성하도록 IPsec/ESP 암호화 프로세스에서 그것을 넘겨주기 위해 동작가능한 제 1 데이터 프로세싱 유닛(100)을 포함한다. 암호화 프로세스는 송신기(30)에도 제공되는 제어 워드들(120)에 의해 영향을 받는다. "IPsec"는 현재의 보안 인터넷 프로토콜(Secure Internet Protocol)에 대한 약어이며, "ESP"는 현재의 보안성 페이로드 캡슐화(Encapsulating Secure Payload)에 대한 약어이다. 다른 콘텐츠 암호화 방법들은 예를 들어 보안성 RTP(Real-time Transport Protocol)에 대해 선택적으로 활용될 수 있다. RTP는 지연에 민감한 데이터 콘텐츠의 전달을 위해 고려되는 현재의 애플리케이션 레벨 프로토콜이다. 제어 워드들(120)은 또한 대응하는 ECM 데이터(140)를 제공하기 위해 ECM 생성 유닛(130)에 전달되고, 상술한 바와 같이 "ECM"은 자격부여 제어 관리(Entitlement Control Management)이고, 제어 워드들(120)은 예를 들면 시청을 위해, 처리되고 결과적으로 상기 시청자 또는 사용자에게 제공된다. 암호화된 데이터(110) 및 ECM 데이터(140)는 IP-DC(Internet Protocol Data Cast)로 공통적으로 알려져 있다. 송신기(30)는 그에서 사용하기 위한 ECM 생성 유닛(130)과, 대응하는 IP 출력 데이터(190)를 생성하기 위해 권한 암호화 키 데이터(180) 또한 수신하도록 배치되는 OMA RO(권한 오브젝트) 발급 유닛(170)에 전달되는 콘텐츠 암호화 키 데이터(160)를 추가로 제공받는다. 이후에 보다 상세히 설명되는 바와 같이, 그러한 RO(rights Objects)는 본 발명의 중요한 특징이며, 수신기(50)에서 수신될 때의 암호화된 데이터 콘텐츠(110)가 예를 들어 데이터 콘텐츠(40)의 액세스 및 사용 권한이 사용자 또는 시청자에 의해 사용되도록 허락되는 방법에 관련하여 데이터를 전달한다. IP-DC 및 IP 데이터(190)는 암호화된 데이터(110)가 복호화되고 사용자가 ECM 데이터(140) 및 IP 출력 데이터(190)에 전달되는 추가적인 데이터에 의존하여 데이터 콘텐츠로의 적절한 액세스를 제공 받는 수신기(50)로 동작에 따라 전달된다.
수신기(50)는 IP 데이터(190) 및 권한 복호화 키 데이터(210) 또한 수신하는 OMA RO 디코딩 유닛(200)을 포함하고, 예를 들어 복호화 키 데이터(210)는 현재의 SIM 카드에 의해 수신기(50)에 제공되며, "SIM"은 가입자 식별 모듈(Subscriber Identity Module)에 대한 약어이다. OMA DRM에 대해 RO(rights Objects)를 복호화하도록 요구되는 키 소재는 1 패스 ROAP 프로토콜을 사용하는 등록 단계 동안 제공되며, "DRM"은 이후에 규정되고 "ROAP" 또한 이후에 규정된다. 그러나, 실질적으로 일방향 브로드캐스트 환경들에 있어서, ROAP에 대한 대안적인 접근 방식들은 예를 들어 SIM 칩을 사용하는 경우 사전 등록이 요구된다. OMA RO 디코딩 유닛(200)은 디코딩 유닛(200)으로부터 수신기(50)의 ECM 디코딩 유닛(230)까지 전달되는 콘텐츠 복호화 키 데이터(220)를 생성하도록 동작가능하다. ECM 유닛(230)은 대응하는 제어 워드 데이터(240)를 생성하기 위한 복호화 키 데이터(220) 뿐만 아니라 송신기(30)로부터 ECM 데이터(140)를 수신하도록 배치된다. 수신기(50)는 암호화된 데이터(110) 뿐만 아니라 ECM 유닛(230)으로부터 제어 워드 데이터(240)를 수신하기 위한 IPSEC/ESP 복호화 유닛(250)을 추가로 포함하며, 복호화 유닛(250)은 사용자 또는 시청자에 의한 사용을 위해 복호화 출력 데이터(60)를 생성하도록 제어 워드 데이터(240) 내에 포함되는 제어 파라미터들에 응답하여 암호화된 데이터(110)를 복호화하기 위해 동작가능하다.
도 1에 도시된 시스템(10)에서, 송신기(30)가 데이터 프로세싱의 3 단계들, 즉 데이터 콘텐츠 암호화, ECM 데이터 생성, 및 권한 발급을 활용한다는 것을 이해 할 것이다. 수신기(50)는 데이터 프로세싱의 3개의 대응하는 단계들을 갖는다. 이러한 3개 단계들에 대해 ECM 데이터 생성 및 권한 발급이 데이터 콘텐츠를 정확히 참조하도록 의도되는 바와 같이 작동하기 위하여, 이러한 3개 단계들은 서로 정확히 참조될 필요가 있다. 예를 들어, 암호화된 데이터(110)는 ECM 데이터(140)와 연관되고, ECM 데이터(140)는 IP 데이터(190)를 정확하게 참조할 필요가 있으며; IP 데이터(190)는 예를 들어 적절히 참조될 필요가 있는 RO(rights objects)를 포함한다.
예를 들어 현재의 OMA DRM 2.0에 적합하도록 구성되는 시스템(10)에서, IP 데이터(190)에 존재하는 RO(rights objects)는 현재 시스템에서 암호화된 데이터(110) 내 연관된 암호화 데이터 콘텐츠에 대한 문자적 식별자들을 활용한다. 따라서, 추가적인 기술적 문제가 OMA DRM 2.0 권한 오브젝트들과 대응하는 DVB 1.0 ECM 메시지들이 쌍을 이루는 OMA DRM 2.0 시스템들에서 일어나고, 그 시스템들은 OMA 상기 언급된 문자적 식별자들의 데이터 오버헤드가 불편하게 큰 동작의 브로드캐스트만을 위한 모드를 위해 구성되며, 연관된 DVB-S/T/H 환경에서 조건적 액세스 및 디지털 권한 관리를 위해 그러한 시스템들에 할당되는 대역폭은 제공하기에 고가이다.
본 발명에 있어서, IP-DC(Internet Protocol Data Cast) 서비스들의 보호는 2개의 서로 다른 레벨들,
(a) 즉 "콘텐츠 보호"에 관한 콘텐츠 레벨과,
(b) 즉, "서비스 보호"에 관련되고 종래의 DVB CA(Digital Video Broadcast Conditional Access)에서 활용되는 "조건적 액세스"로부터 구별되기 위한 서비스 액세스 레벨에 대해 상충한다.
OMA DRM(Open Mobile Alliance Data Rights Management)은 현재의 통신 시스템들에서 데이터 콘텐츠 보호를 위해 사용된다. OMA DRM 표준의 최신 버전, 즉 OMA DRM 2.0은 암호화된 형태에 따른 데이터 콘텐츠의 보급을 지원하고, 또한 사용자들에게 보안 관리 및 RO(rights objects)의 전달을 보장한다. 데이터 콘텐츠에 따른 사용자의 권한은 권한 표현 언어에 따라 표현될 수 있고, 이러한 권한은 데이터 콘텐츠의 소모의 시간에 사용자의 단말기에서 DRM-활성 애플리케이션에 의해 실행된다. 그러한 접근 방식은 보호된 데이터 콘텐츠가 모든 시간들에서 암호화된다는 것을 의미한다. OMA DRM 2.0 표준은 단말기 등록 및 RO(rights object) 전달을 포함하는 키 관리의 모든 측면들을 다루는 메카니즘들 및 프로토콜들을 제공한다. 더욱이, OMA DRM 2.0 표준에서 활용되는 도메인 개념은 여러 데이터 콘텐츠 수신 장치들에 대해 허용하며, 예를 들어 그러한 여러 장치들은 RO들(rights objects)을 공유하기 위해 동일한 정해진 사용자 또는 사용자들의 그룹에 속한다.
서비스 보호를 위해, IPsec(Internet Protocol Security) 및 OMA DRM(Open Mobile Alliance Data Rights Management)의 조합이 사용된다. 그러한 조합은 IPsec가 IETF(Internet Engineering Task Force)에 의해 규정되는 장점을 제공하고 IP(Internet Protocol) 데이터 콘텐츠 흐름들을 보호하기 위해 설정된 프레임워크를 나타낸다. 그러므로, IPsec는 모든 최신 암호화 알고리즘들, 예를 들어 AES(Advanced Encryption Standard FIPS 197)을 지원한다.
IPsec(Internet Protocol Security)의 사용은 예를 들어 네트워크 및 단말기 측들 모두에서 정해진 브로드캐스트 서비스 애플리케이션에 대해 실질적으로 완벽하게 투명한 본 발명에 따른 서비스 보호를 렌더링할 수 있고, 그에 따라 잠재적으로 어떠한 종류의 서비스도 표준이든 사적이든지 간에 그 서비스에 대해 사용되는 특정한 프로토콜들과 무관하게 보호될 수 있다는데 유리하다.
OMA DRM의 사용은 보안 키 관리 및 전달을 위해 활용되는 메카니즘들이 데이터 콘텐츠 보호를 위해 사용되기 쉬우며, 데이터 콘텐츠에 대해, 상기 메카니즘들이 데이터 콘텐츠의 정해진 아이템들에 대해 특별히 규정되도록 보호를 제공할 수 있고, 즉 정교하게 된 권한 표현에 대해 허용할 수 있다.
OMA DRM 및 IPsec는 콘텐츠 보호 및 IP 보안성 각각을 위해 개방된 표준들을 이끈다. 본 발명을 구현하기 위해 IPsec와 조합하여 OMA DRM을 활용함으로써, 현재의 데이터 콘텐츠 통신 시스템들에서 본 발명의 사용은 예를 들어 현재의 시스템들에 따른 업그레이들을 구현할 때 가능하다. IP-DC(Internet Protocol Data Cast) 서비스들의 많은 타겟 장치들은 그에 구현된 OMA DRM 및 IPsec 모두를 갖는 것으로 예상된다는 것에서 유리하다.
그러한 장치들에 대해, 본 명세서에 제안된 콘텐츠 및 서비스 보호를 지원하기 위한 추가적인 비용 및 복잡성은 잠재적으로 비교적 낮다.
그러나, 본 발명을 구현하는데 있어서 다음의 이슈들,
(a) 브로드캐스트 채널에 걸쳐 RO들(rights objects)의 전달 및 장치들의 등록의 제 1 이슈와,
(b) RO들(rights objects)의 장기간 유효성과 함께 단기의 암호 기간들을 구현하도록 사용되는 키 스트림들의 제 2 이슈가 나타난다.
콘텐츠 보호 및 서비스 보호 사이의 구별이 이제부터 설명될 것이다. 도 2에서, 본 발명에 따라 일반적으로 30으로 표시되는 통신 시스템이 도시되어 있다. 시스템(300)은 데이터 공급자들(310a, 310b)과, 송신 및 수신단(330a, 330b)에 서비스 보호가 제공되는 브로드캐스트 채널(320), 사용자들(340a, 340b)을 포함한다. 이후 기술되는 바와 같이, 데이터 공급자들(310a, 310b)은 네트워크에 포함될 수 있고, 사용자들(340a, 340b)은 하나 또는 그 이상의 단말기들로 포함될 수 있다. 동작에 있어서, 콘텐츠 보호를 통한 데이터 콘텐츠는 데이터 공급자들(310a, 310b)로부터 제공받고, 사용자들(340a, 340b)과 브로드캐스트 채널(320)을 통해 서비스 보호를 하며 통신된다. 사용자들(340a, 340b)은 거기서 수신되는 데이터 콘텐츠로의 액세스를 선택적으로 얻기 위해 데이터 콘텐츠 보호 수단들을 적용할 수 있다.
도 2에 도시된 시스템(300)에서 콘텐츠 보호와 관련하여, 데이터 콘텐츠, 예를 들어 데이터 또는 데이터 파일들의 스트림들은 시스템(300) 내 세션 또는 애플리케이션 계층에서 보호된다. 더욱이, 데이터 콘텐츠 보호는 서비스 운영자에 의해 관리 및 적용되고, 그러한 데이터 콘텐츠 보호는 사용자들(340a, 340b)에서 데이터 콘텐츠 소모 시간을 제거한다. 데이터 콘텐츠 보호는 상기 언급된 매우 정교하게 된 권한 표현을 잠재적으로 제공할 수 있다. 게다가, 데이터 콘텐츠 보호는 예를 들어 DRM 인식 클라이언트 또는 사용자 애플리케이션에 대해 데이터 콘텐츠 보호를 제공하도록 데이터 콘텐츠의 각각의 형태에 대한 보호의 개별적 메카니즘을 제공한 다. 본 발명에 있어서, 콘텐츠 보호에 대해 이전에 설명된 바와 같은 현재의 OMA DRM이 활용된다. 현재의 OMA DRM은 복제 보호, 도메인 개념, 가입 개념을 지원한다. 도메인 개념은 예를 들어 동일한 사용자에 속하는 단말기들의 작은 도메인에서 데이터 콘텐츠 소모를 안전하게 하도록 사용될 수 있다. 부가적으로, 가입 개념은 예를 들어 콘텐츠 가입들을 구현하도록 사용될 수 있다.
브로드캐스트 채널(320)과 관련하여 제공되는 서비스 보호에 관해서, 데이터 콘텐츠의 IP 스트림들은 네트워크 계층상에서 보호된다. 더욱이, 서비스 보호는 브로드캐스트 플랫폼 운영자에 의해 관리되고 브로드캐스트 네트워크 운영자에 의해 적용되며 데이터 콘텐츠 수신 시간에 제거된다. 게다가, 서비스 보호를 제공할 때, 예를 들어 액세스를 허용할 것인지의 여부를 결정하는 암호로 된 보안 액세스 제어는 변조 방지기술(tamper resistance)에 의존하는 상기 언급된 정교하게 이루어진 권한 표현과 결합될 수 있다. 추가로, 서비스 보호는 모든 형태들의 서비스들에 대한, 즉 클라이언트 애플리케이션들에 대해 전체적으로 투명한 단일 메카니즘을 제공한다.
본 발명의 콘텍스트에 있어서, 서비스 보호는 IPsec, 즉 OMA DRM과 함께 특히 사용자 권한의 표현, 획득, 및 보안 관리를 위해 그것의 메카니즘들을 구성하는 IP 데이터 콘텐츠 스트림들을 암호화하도록 현재 사용되는 설정된 테크놀로지를 결함하여 제공된다. 몇 가지 이익들은 다음과 같은 접근 방식으로부터 얻어진다. IPsec(Internet Protocol Security) 및 OMA DRM(Open Mobile Alliance Data Rights Management) 테크놀로지들이 일반적이며 특히 IPDC(Internet Protocol Data Cast) 에 제한되지 않으며, 어떠한 기존 구현들, 즉 IPsec 및 OMA DRM의 하드웨어 또는 소프트웨어 모듈들은 실질적으로 본 발명을 구현하기 위한 수정들 없이 사용될 수 있고, 즉 그것들은 IP-DC 인식할 필요가 없다.
도 3에서, 예를 들어 시스템(300)에서 본 발명을 구현할 때 제공되는 개략적인 암호화 및 복호화 층들이 도시되어 있다. 시스템(300)의 네트워크는 400으로 표기되고, 사용자 단말기는 500으로 표기되며, 시스템(300)은 선택적으로 그러한 수 개의 단말기들을 포함한다. 브로드캐스트 채널(320)은 사용자 단말기(500)로 네트워크(400)를 링크시키도록 동작가능하다.
네트워크(400)는 비디오 데이터 콘텐츠(420)를 수신하고 암호화된 IP 멀티캐스트 데이터(430)의 대응하는 스트림을 동작에 따라 생성하기 위한 IPsec 암호화기(410)를 포함한다. 네트워크(400)는 OMA DRM 표준들에 따라 동작가능한 암호화기(410) 및 암호화기(450)에도 TEK(traffic encryption key)(445)를 제공하기 위해 IPsec 암호화 키 유닛(440)을 추가로 포함한다. 암호화기(450)는 데이터의 대응하는 암호화된 TEK(Traffic Encryption Key) 스트림(460)을 생성하기 위해 TEK(traffic key)(445)를 암호화하도록 동작가능하고, 그러한 암호화는 서비스 암호화 키 유닛(470)으로부터 제공되는 SEK(service encryption key)(475)를 사용하며, SEK(service encryption key)는 DRM RO들(rights objects)을 규정한다. (SEK) 키(475)는 (SEK) 키(475)를 수신하고 암호화된 형태로 특정 단말기 RO(rights object) 키(490)를 생성하도록 공개 또는 비밀 키(485)를 활용하는 OMA DRM 표준들에 따라 키(475)를 암호화 및 번들링(bundle)하도록 동작에 따라 배치되는 암호화 기(480)에 추가로 제공된다. 공개 또는 비밀 키(485)는 장치 등록(495)에 의해 그것 자체가 제공된다. 따라서, 네트워크(400)는 암호화된 IP 멀티캐스트 데이터(430), 데이터의 암호화된 TEK(Traffic Encryption Key) 스트림(460), 및 암호화된 권한 오브젝트 키(490)를 출력하도록 동작가능하다.
사용자 단말기(500)은 네트워크 부분(400)으로부터 보호 관련 식별자들(520)을 수신하도록 계산용 하드웨어상에서 실행하는 ESG 소프트웨어 애플리케이션(510)을 포함한다. 사용자 단말기(500)에 있어서, 예를 들어 미디어 플레이어(550)에서 사용자 소모를 위해 복호화된 비디오 데이터 콘텐츠(540)를 생성하도록 네트워크 부분(400)으로부터 제공되는 암호화된 IP 멀티캐스트 데이터(430)를 복호화하기 위해 동작가능한 IPsec 복호화기(530)에 추가로 포함된다. 사용자 단말기(500)는 추가로 OMA DRM 표준에 따라 복호화기(570)를 포함하는 DRM 모듈(560)을 포함하고, 복호화기(570)는 멀티캐스트 데이터(430)를 복호화하는데 사용하기 위해 복호화기(530)에 대한 복호화 키를 제공하도록 키 모듈(580)을 통해 전달되는 대응하는 TEK 복호화된 키를 생성하기 위한 데이터의 암호화된 TEK(Traffic Encryption Key) 스트림을 수신하기 위해 동작가능하다. 더욱이, DRM 모듈(560)은 암호화된 권한 오브젝트 키(490)를 수신하고, 복호화기(570)에 의한 사용을 위해 SEK(Service Encryption Key) 키(600)를 생성하도록 공개 또는 비밀 키(485)에 상보적인 공개 또는 비밀 키(610)를 사용하여 권한 오브젝트 키(490)를 복호화하기 위해 동작 가능한 OMA DRM 표준에 따른 복호화기(590)를 추가로 포함한다.
DRM 모듈(560) 및 키 모듈(580)은 사용자 단말기(500)에서 신뢰되는 상태의 것일 필요가 있으며, 그렇지 않은 경우에 그의 다른 아이템들은 잠재적으로 신뢰되지 않는 상태의 것일 수 있다. 더욱이, 사용자 단말기(500)에 서비스 당 선택적으로 제공되는 하나의 TEK가 존재한다. 게다가, TEK는 예를 들어 매 수 초마다 보안을 강화하기 위해 선택적으로 자주 변경된다. 선택적으로, 동일한 SEK가 반복적으로 사용된다. 예를 들어, 등록 단계 동안 SEK는 TEK들을 암호화하기 위해 사용되기 이전에 사용자 단말기(500) 및 네트워크에 미리 전달되며, 예를 들어 하나의 SEK는 일일당 일 회의 서비스가 제공받을 수 있다는 점에서 유리하다. 서비스의 모든 SEK들은 하나의 권한 오브젝트로 번들링되는 것이 더욱 유리하다.
도 3에 네트워크(400) 및 사용자 단말기(500)로 표현되는 시스템(300)은 그것의 계층들(0 내지 4)에 따라 편리하게 이해된다. 계층(0)에서, ESG 애플리케이션(510)에 대한 보호 관련 식별자들(520)의 신호가 발생한다. 식별자들(520)은 정적 보호 파라미터들, 즉 정해진 세션의 전체 수명에 걸쳐 유효한 보호 파라미터들을 포함한다. DVB CA(Digital Video Broadcast Conditional Access)의 콘텍스트에서, 보호 관련 식별자들(520)의 통신은 현재의 CAT 및 EIT에 대응한다.
계층(1)에서, IP(Internet Protocol) 데이터 콘텐츠 흐름들은 TEK(traffic encryption key)(445)를 사용함으로써 암호화된다. 시스템(300)에서, 정해진 보호되는 서비스에 속하는 여러 IP 흐름들은 정해진 키를 통해 암호화되어 브로드캐스트 채널(320)을 통해 정해진 동일한 타임 슬라이스(time-slice)에 따라 전송된다. 따라서, IP 멀티캐스트 데이터(430)는 여러 구성요소들을 갖는 스크램블링된 서비스로부터의 데이터 출력에 대응한다. DVB CA와 비교하여, TEK 키(445)는 제어 워드 에 대응한다. TEK 키(445)는 예를 들어 매 수 초마다 자주 변경될 수 있다는 데서 유리하다.
계층(2)에서, TEK(traffic encryption key) 스트림은 SEK(service encryption key)를 사용하여 암호화되고, 즉 키(445)는 데이터의 TEK 스트림(460)을 생성하도록 키(475)를 사용하여 암호화기(450)에서 암호화된다. 데이터의 스트림(460)에서 암호화된 TEK 메시지들은 보호되는 서비스의 개별적 IP 흐름이고 보호되는 서비스의 다른 IP 흐름들과 동일한 타임 슬라이스로 전송되며, 그에 의해 시스템(300)에서 다른 IP 데이터 흐름들과 유사한 FEC(forward error correction)을 갖는다. 더욱이, 단말기(500)은 또한 그에 따라 시스템(300)에서 데이터 흐름이 버스트들 동안 휴지, 즉 "정지"한다. DVB CA(Digital Video Broadcast Conditional Access)를 참조로 하면, 데이터의 TEK 스트림(460)은 ECM들(Entitlement Control Messages)을 전달하는 데이터 스트림에 대응한다. 데이터의 스트림(460)에 존재하는 메시지들은 각각 그에 제공되는 보호되는 서비스의 IP 데이터 흐름들을 안전하게 하기 위해 시스템(300)에서 활용되는 IPsec 보안 연관성들을 전달하는 그것의 동적인 부분을 포함하는데 유리하다. 게다가, 데이터의 스트림(460)에 존재하는 메시지들은 또한 단말기(500)에서 발생하는 IP 흐름들을 기술하는 SDP(Service Discovery Protocol) 파일에서 보급되는 그것의 정적 부분을 포함한다. SEK 키(445)는 예를 들어 시스템(300) 내에서 보안성을 강화하기 위해 매 수 시간마다 주기적으로 변경되는데 유리하다.
계층(3)에서, SEK(service encryption key)는 그것의 대응하는 DRM 콘텐츠 ID(BCI, Binary Content Identity)와 식별되고 보호되는 RO(rights object)에서 네트워크(400)로부터 단말기(500)까지 전달된다. RO는 선택적으로 상호작용 채널로 작동하도록 구성되는 브로드캐스트 파이프라인(320)에 걸쳐 전달된다. 대안적으로, RO는 브로드캐스트 채널로 작동하도록 구성되는 브로드캐스트 채널(320)에 걸쳐, 즉 네트워크(400) 및 단말기(500) 사이의 상호작용을 지원하지 않으며 선택적으로 전달된다. 계속해서 보다 선택적으로, RO는 서비스 번들에 속하는 모든 서비스들의 SEK들을 포함하고, 그러한 RO는 선택적으로 시스템(300)에 제공되는 모든 번들링된 서비스들에 적용가능한 사용 규칙들의 단일 세트를 가지며, 그러한 규칙들의 단일 세트는 시스템(300)에 효율적인 데이터 교환을 `제공한다. 계층(3)은 또한 예를 들어 단말기 부분(500)보다는 다른 개인을 인증함으로써 암호 방식에 따라 부모 제어를 제공할 수 있고, 그에 의해 그 개인에 RO를 바인딩한다.
계층(4)에서, 장치 등록, 즉 시스템(300)에 단말기의 등록이 구현된다. 그러한 등록은 네트워크(400) 및 단말기(500) 사이에 신뢰할 수 있고 인증된 통신을 나중에 가능케 하는 인증서들에 의해 달성된다. 시스템(300)에서, 키들(485, 610)은 그에 따라 등록 기능을 수행한다.
시스템(300)에서 발생하는 키 스트림들이 이제부터 추가로 설명될 것이다. 키 스트림들, 즉 시스템(300)에서 데이터 스트림들(460, 490) 각각은 UDP(User Datagram Protocol)에서 개별적으로 각각 캡슐화되는 키 스트림 메시지들의 시퀀스로 구성된다. 각각의 메시지는 표 1의 상위에서 메시지의 시작과 표 1의 하위에서 메시지의 끝을 통해 개시하는 표 1에 설명된 포맷을 갖는다.
표 1: 메시지 포맷
포맷(4비트): 0000 예약됨 (1 비트) 예약됨 (1 비트) 인증 식별 (1 비트) 다음 식별 (1 비트)
URKI(Upper - layer re - keying index, 3 바이트): 이 데이터 필드는 시스템(300)에서 상위 계층으로 OMA DRM에 대해 항상 존재하고, 이러한 필드는 대응하는 CID 또는 BCI의 마지막 3 바이트를 포함한다.
LRKI(Lower - lyaer re - keying index, 4 바이트): 상기 데이터 필드가 하위 계층으로 IPsec에 대해 항상 존재하고, 이러한 필드는 SPI를 포함한다.
TEK[ LRKI ](Traffic encryption key): 이러한 데이터 필드는 예를 들어 암호화기들(450, 480)에서 사용되는 암호화 알고리즘에 의해 규정되고, 이러한 필드의 길이는 AES에 대해 16 바이트이며, 이러한 데이터 필드는 SEK[URKI]에 의해 암호화된다.
TEK[ LRKI +1](Traffic encryption key): 이러한 데이터 필드는 메시지가 속하는 다음 식별이 값 1로 세팅되는 경우에 존재하고, 이러한 데이터 필드의 길이는 암호화기들(450, 480)에서 사용되는 암호화 알고리즘에 의해 규정되고, 이러한 필드의 길이는 AES에 대해 16 바이트이며, 이러한 데이터 필드는 SEK[URKI]를 사용하여 암호화된다.
메시지 인증 코드: 이러한 데이터 필드는 메시지가 속하는 인증 식별이 값 1로 세팅되는 경우에 존재하고, 이러한 데이터 필드의 길이는 시스템(300)에서 사용되는 인증 알고리즘에 의해 규정되며, 이러한 데이터 필드는 AES에 대해 16 바이트의 길이를 갖는다.
표 1에서, 4 바이트 LRKI는 TEK가 136년 동안 매 수초마다 변경되도록 가능케 한다. 더욱이, 3 바이트 URKI는 SEK가 31년 동안 매 초마다 변경되도록 가능케 하고, 선택적으로 SEK는 시스템(300) 내에서 보안성을 강화하도록 매 시간 또는 일일마다 변경된다.
시스템(300)에서의 권한 획득이 이제부터 기술될 것이다. 브로드캐스트 채널(320)이 네트워크(400) 및 단말기(500) 사이에 상호작용 채널로 작동하도록 구성될 때, RO(rights objects) 획득의 모든 측면들, 예를 들어 장치 등록, 로컬 도메 인 관리, 권한 오브젝트 전달은 상기 언급된 OMA DRM 사양에 규정된 바와 같은 절차들을 사용하여 다뤄진다. 역으로, 브로드캐스트 채널(320)이 단일 방향 통신, 즉 상호작용 채널이 아닌 것을 제공하도록 구성될 때, 다른 키 관리 동작들이 본 발명을 구현하기 위해 요구된다.
브로드캐스트 채널(320)이 상호작용 통신을 제공하도록 구성되지 않을 때, 브로드캐스트 채널(320)에 걸쳐 RO(rights objects)의 효율적인 전달에 대해 허용하기 위해, DRM RO들은 시스템(300) 내에서 통신될 때 그것들이 대역폭 요구를 감소시키도록 가능한 한 작게 구성되어야 한다. DRM RO들을 더 작게 렌더링하기 위한 본 발명에 따른 하나 또는 그 이상의 접근 방식들이 표 2에서 제공된다.
표2: DRM RO 사이즈를 감소시키기 위한 접근 방식들
접근 방식 접근 방식의 세부 사항들
1 태그들의 대체에 의해, 예를 들어 XML(Extendable Markup Language) 텍스트는 권한 오브젝트들을 압축할 때 등가인 2진수로 변환된다.
2 CID(Content Identification)의 대체에 의해, 예를 들어 CID 스트링은 등가인 BCI(Binary Content Identity) 값으로 변환된다.
3 수들의 대체에 의해, 예를 들어 십진수들은 2진 등가들로 변환된다.
4 서명의 대체에 의해, 예를 들어 비대칭 서명들을 대칭 서명들로 변환한다.
5 데이터 압축에 의한다.
그러한 데이터 압축 접근 방식들은 BRO(Broadcast Rights Object)로 편리하게 언급되는 2진 권한 오브젝트를 생성하도록 동작가능하다.
BCI(Binary Content Identity)에 관한 이슈들은 이제부터 추가로 기술될 것이다. 정해진 서비스의 문자적 CID는 cid :< service spec > 형식을 갖는다. 그것의 2진 파생물 BCI ( Binary Content Identity )는 cidhash (" cld :< service spec >)에 의해 규정되며, 여기서 cidhash는 예를 들어 AES, CBC, 및 MAC에 따른 해시 함수이다. 상기 해시 함수는 선택적으로 고정된 해시 키를 갖는다. 시스템(300)에서 제공되는 서비스의 키 스트림을 보호하도록 제한된 유효성의 RO들의 시퀀스를 사용하기 위해, RO 내에 포함되는 CID는 예를 들어 암호화기들(450, 480)로부터 키 스트림에 전달되는 상기 언급된 3 바이트 URKI를 통해 선택적으로 연장된다. URKI는 너무나 많은 정보 손실로 해시 함수를 받을 수 없고, 그에 의해 시스템(300)에 대해 작동한다.
동작에 있어서, 네트워크(500)에서 그에 수신되는 하나 또는 그 이상의 RO들(rights objects)은 그에서 RO 데이터베이스에 추가된다. 하나 또는 그 이상의 RO들은 선택적으로 여러 서비스들에 대한 키들을 포함하고, 각각의 서비스는 CID(Content Identification) 또는 BCI(Binary Content Identity)에 의해 식별된다. 이후에 추가로 설명되는 바와 같이, 예를 들어 정해진 CID 또는 BCI에 대응하는 하나 또는 그 이상의 RO들이 단말기(500)에서 효율적으로 룩업(look up)될 수 있는 인덱싱에 따르는 것이 바람직하다.
단말기(500)에서 데이터 콘텐츠의 수신이 다음으로 기술될 것이다. 사용자는 미디어 플레이어(550)를 불러올 때, 단말기(500) 내 키 관리자는 데이터 콘텐츠의 스트림들, 즉 미디어 스트림들이 전달되어 단말기(500)에서 유지되는 활성 보안 정 책에 포함되는 그러한 IP 어드레스들을 체크하도록 동작가능하다. 그 어드레스들이 활성 보안 정책에 포함되지 않는 경우, 단말기(500)는 보안 정책이 업데이트될 필요가 있는지의 여부를 결정하도록 진행한다. 단말기(500)는 그 정책이 업데이트되어야 하는지의 여부에 관한 정보를 제공하는 어드레스들로부터 ECM 스트림들을 수신하도록 진행한다. 그것의 보안 정책을 업데이트하기 위한 단말기(500)의 동작은 도 4를 참조로 하여 추가로 설명될 것이다.
도 4에서, 단말기(500)에 제공되는 키 관리자는 700으로 표기된다. 더욱이, 그에 제공받는 DRM 에이전트는 800으로 표기되고, 키 관리자(700) 및 DRM 에이전트(800)는 예를 들어 계산용 하드웨어상에서 실행가능한 소프트웨어를 사용하여 구현될 수 있다. 키 관리자(700)는 DCF(DRM Content Format) 어셈블리(710) 및 SA(Security Association) 어셈블리(720)를 포함하고, 이러한 어셈블리들(710, 720)은 ESG(Electronic Service Guide) 데이터베이스(730)로부터 SDP(Service Discovery Protocol) 데이터(900)를 수신하도록 구성된다. DRM 에이전트(800)는 RO(rights object) 데이터베이스(820) 및 DRM 복호화기(810), 즉 효과적으로 상기의 복호화기(590)의 구현을 포함한다. DCF 어셈블리(710)는 DRM 복호화기(810)로 DCF 데이터(940)를 출력할 뿐만 아니라 SA 어셈블리(720)에 TEK 메시지들을 출력하고 TEK 메시지들(910)을 수신하도록 동작가능하다. SA 어셈블리(720)는 보안 연관 데이터베이스(740)에 SA들(security associations)을 출력하도록 차례대로 동작가능하다. 권한 오브젝트 데이터베이스(820)는 SA 어셈블리(720)에 명확한 DCF 데이터(950)를 차례대로 출력하는 DRM 복호화기(810)에 저장된 RO(rights object) 데이 터(960)를 출력하도록 동작가능하다. DRM 복호화기(810)는 도 3에서도 도시된 바와 같이 키(610)를 수신하도록 배치된다.
어떠한 때에, TEK 메시지(910)는 DCF 어셈블리(710)에서 수신되고, 단말기(500)에 존재하는 키 관리자(700)는,
(a) SDP 데이터(900)에 규정된 경우, 상기 TEK 메시지를 인증하는 단계와,
(b) 사용가능한 경우 상호작용 채널을 통해 페치하거나, 권한 오브젝트 데이터베이스(820)로부터 정확한 RO(rights object)를 획득하고 상기 TEK 메시지의 암호화된 부분들을 복호화하기 위해 프롬프팅하는 룩업 단계로서, 그러한 복호화는 DCF 어셈블리(710) 및 DRM 복호화기(810)의 사용을 불러오는, 상기 룩업 단계와,
(c) 수신된 상기 TEK 메시지에 포함되는 TEK와, SPD 데이터(900)로부터의 어떠한 데이터, 예를 들어 미디어의 하나 또는 그 이상의 IP 목적지 어드레스들, 즉 데이터 콘텐츠, 스트림들을 포함하는 보안 연관성을 구성 및 활성화하는 단계와,
(d) 예를 들어 상기 TEK 메시지들 내 다음의 표시자 필드가 만료 시간을 통해 선택적으로 값 1로 세팅될 때, 다음의 보안 연관성을 구성 및 활성화하는 단계 중 하나 또는 그 이상을 실행하도록 동작가능하다. 단말기(500)에서 DRM 에이전트(800)와 관련하여 동작하는 키 관리자(700)는 DCF를 재구성할 수 있다. 더욱이, DRM 에이전트(800)는 이전에 설명된 바와 같이 OMA-순응 DRM 에이전트와 같이 구현되기 쉽다.
단말기(500)에서 IP(Internet Protocol) 패킷들의 수신이 이제부터 기술될 것이다. IP 패킷이 단말기(500)에서 수신될 때, 활성 보안 정책에 대응하는 IP 패킷, IPsec 프로세싱은 IP 패킷에 대해 단말기(500)에서 실행된다. 그러한 프로세싱은 현재의 IPsec 프로토콜들에 충분히 규정되어 있다. 그러한 프로토콜들은 보안 연관성 데이터베이스(720)로부터 식별되는 보안 연관성을 포함하고, IP 패킷은 이후에 추가로 설명되는 보안 연관성의 일부로 제공되는 TEK를 사용하여 복호화된다.
단말기(500)에서 사용자가 미디어 소모를 종료하도록 결정할 때, 키 관리자(700)는 데이터 스트림들(460, 490)에 전달되는 TEK 메시지들 수신을 중단한다. 보안 연관성 데이터베이스(740)에서 보안 연관성들은 예를 들어 정해진 미디어 스트림이 단말기(500)를 사용하는 사용자에 의해 액세스될 수 있는 지속기간 또는 횟수를 적절히 제어하는 것과 같이 시간을 보내도록 허용된다.
개략적으로, 현재의 데이터 콘텐츠 통신 시스템들, 예를 들어 RO(rights objects)를 다루는데 관한 상기 언급된 OMA DRM 2.0 표준에 순응하는 DVB(digitial video broadcast) 시스템들은 그에서 RO(rights objects)(1000)이 화살표(1025)로 표기되는 연관성과 같은 도 5에 도시된 바와같이 그와 암호화된 데이터 콘텐츠(1020)을 연관시키도록 문자적 식별자들(1010)을 사용하는 것처럼 동작가능하다. 따라서, 그러한 시스템들에서 RO(rights objects)(1000) 쌍을 이루고 ECM 메시지들(1030)에 대응할 때, 그러한 쌍들이 화살표(1035)로 표기되며, 그러한 대응하는 ECM 메시지들(1030)에서 OMA 문자적 식별자들의 불편하게 큰 데이터 오버헤드가 존재하는 기술적 문제점이 일어난다. 본 발명은 문자적 식별자들(1010)을 적절히 변환함으로써 그것들이 보다 밀집되도록 이러한 기술적 문제들에 대한 적어도 부분적 인 해결책을 제공한다. 이후에 기술되는 본 발명의 실시예들에서, 다양한 접근 방식들은 문자적 식별자들(1010)의 밀집된 그러한 데이터를 제공받고, 그러한 접근 방식들의 예들은 상기의 표 2에서 제공된다.
본 발명을 일반적으로 구현할 때 채택되는 이러한 접근 방식들은 송신기, 예를 들어 네트워크(400)에서 대응하는 수들에 따라 문자적 OMA(Open Mobile Alliance) URI(uniform resource indicators)를 맵핑하는 단계를 포함한다. 더욱이, 본 발명의 방법들은 대응하는 수신기, 예를 들어 단말기(500)에서 URL(uniform resource indicators)로 이러한 수들을 역으로 맵핑시키는 단계를 추가로 포함하고, 그 수들 및 그에 따른 그것들의 일정한 리소스 표시자들이 획득될 대응하는 RO(rights objects; 1000)에 대해 허용하는 것과 같다. 그 후에, 상기 RO(rights objects)(1000)와 연관된 콘텐츠 암호화 키들은 대응하는 ECM들(entitlement control messages; 1030)을 복호화하도록 사용된다. 선택적으로, 각각의 ECM(entitlement control message; 1030)은 대응하는 수를 전달하고, 선택적으로 이후 보다 상세히 설명되는 바와 같이 해시 함수 또는 그와 유사한 것이 그것의 대응하는 수로 각각의 ECM(entitlement control message)(1030)을 맵핑하기 위해 활용된다. 해시 함수는 MD4 또는 MD5와 같은 현재의 메시지 다이제스트 RFC 1320/1321이나, SHA-1 보안 해시 알고리즘(FIPS 180-2)와 같은 현재의 해시 알고리즘이나, 공개 대칭 키를 사용하는 CBC-MAC 모드에서 동작하는 현재의 진보된 암호화 표준(FIPS 197)(AES)에 의해 선택적으로 구현된다.
본 발명을 구현하는 제 1 접근 방식에 있어서, 상대적인 DTD(document type definitions)는 대응하는 ECM들(entitlement control messages; 1030) 및 RO들(rights objects; 1000)과 데이터 콘텐츠(1020)를 연관시킬 때 변경되지 않는다. 역으로, 본 발명을 구현하기 위한 제 2 접근 방식에 있어서, DTD들은 대응하는 ECM들(entitlement control message; 1030) 및 RO들(rights objects; 1000)과 데이터 콘텐츠(1020)를 연관시킬 때 변경된다. 본 발명의 이러한 실시예들은 이제부터 개략적으로 추가로 설명될 것이다.
제 1 접근 방식의 콘텍스트에 있어서, 상기 OMA DRM 2.0 표준은 DCF로 축약되는 DRM(digital rights management) 콘텐츠 포맷으로부터 RO(right object)를 참조하도록 URI(uniform resource indicator)를 사용한다. 예를 들어, URI에 대한 포맷은 표준 RFC 2392에 규정된 바와 같은 것이고, URI는 선택적으로 cid(content identifier) 및 url(universal resource locator)을 포함한다. URI는 너무 큰, 즉 전형적으로 184 바이트 이하로 제한되는 ECM들(entitlement control message)(1030)에 포함되기 위해 너무 많은 바이트들을 포함하는 그러한 URI들을 렌더링하는 현재의 US(United States) ASCII 기반이다. cid(content identifier)는 대응하는 데이터 콘텐츠를 식별하는데 사용하기 위해 url(uniform resource location)을 통해 어드레스 명세를 규정하도록 사용된다. 그러한 cid(content identifier)의 예는,
cid :movie123@philips.com
이다.
문자적 식별자들로 표현되는 URI는 본 발명에서 충돌없는 해시 함수에 의해 대응하는 2진 식별자로 변환된다. 해시 함수는 그것의 상기 2진 식별자가 상위 제한에 한정되지 않도록 선택적으로 구현되고, 그 상위 제한은 선택적으로 MD4/MD5 해시함수에 대해 128 비트이거나, 상기 SHA-1 타입 해시 함수에 대해 160 비트이다. SHA-1 해시 함수는 특별히 적절한 충돌 속성들을 나타낼 수 있고, 현재의 FIPS(federal information processing standard)에 따른 다른 목적들을 위해 이미 사용 중이며 OMA(Open Mobile Alliance)에 의해 이미 수용되어 있으며, 이전에 설명된 바와 같이, SHA는 예를 들어 현재의 FIPS 180-2 표준에 따른 보안 해시 알고리즘에 대한 약어이다. 그러한 해시 함수를 사용하는데 따른 대안으로, 진보된 암호화가 예를 들어 FIPS 197에 따른 AES(advanced encryption standard)를 활용함으로써 사용될 수 있으며, 그러한 진보된 암호화는 선택적으로 공개 대칭 키를 활용한다. AES는 그것이 예를 들어 현재의 스마트 카드 보안 제어기들에서와 같이 하드웨어에 구현될 수 있다는 점에서 유리하다. 진보된 암호화가 활용될 때, 그러한 암호화는 "public_hash_key"로 표기되는 공개 해시 키가 16 바이트 랜덤 키인 것과 같이 구현될 수 있다. 게다가, 상기 cid(content identification)는 그러한 경우에 "addr-spec"로 표기되는 대응하는 어드레스 명세를 할당받는다. 더욱이, url(universal resource locator)은 예를 들어 상기 기술된 예에서와 같이 "cid" ":" content_id로 구현된다. 그에 따라, 본 발명을 구현하기 위한 제 1 접근 방식에서 식 1로 표현되는 함수에 의해 binary_content_id가 결정된다.
binary_content_id = f([public_hash_key], <cid-url>) 식 1
상기 RO(rights object; 1000)와 관련하여, 그것은 상기 cid-url에 등가인 값인 범용 식별자 <uid>를 포함한다. 따라서, 제 1 실시예에서 식 1의 상기 binary_content_id는 ECM(1030에 포함되는 것이 바람직하다.
본 발명에 따라 구성되는 수신기, 예를 들어 단말기(500)에서, 상기 제 1 접근 방식을 구현할 때, ECM(1030)이 수신되고 수신기는 그로부터 binary_content_id를 추출하도록 동작가능하다. 수신기는 그 후에 검색 키와 같은 binary_content_id를 사용하여 대응하는 RO(rights object)(1000)를 찾도록 그것의 내부 캐시 리스트를 검색하기 위해 동작가능하다.RO(rights object; 1000)에 대한 검색에 있어서, 매치가 성공적으로 발견될 때, 즉 캐시 "히트(hit)"가 성공적으로 발생할 때, RO(rights object)에 포함되는 콘텐츠 암호화 키는 ECM(1030)을 복호화하도록 수신기에서 사용된다. 매치가 성공적으로 발견되지 않는 경우에, 수신기는 그로부터 외부적으로, 즉 오프라인 저장소에서 RO(rights objects)에 대해 선택적으로 검색할 수 있고, 매치가 발견되는 경우에 그로부터 binary_content_id를 계산하며, 그러한 경우에 대응하는 RO(rights objects)는 수신기에 입력될 수 있다. 어떠한 대응하는 매치도 식별될 수 없는 경우, 수신기가 네트워크(400)로부터 그에 제공되는 암호화된 데이터 콘텐츠(1020)에 액세스하기 위한 권한을 갖지 않는다는 것을 표시하는 것으로 수신기는 그러한 매치의 부족, 즉 "히트"의 부족을 해석한다.
상기 설명된 본 발명을 구현하는데 따른 2개의 접근 방식들에 있어서, RO(rights objects)는 문자적 식별, 또는 문자적 식별 및 수치 식별 모두를 포함할 수 있다. 본 발명에 따른 ECM(1030)은 항상 수치 식별을 포함할 것이다. 본 발명에 따라 구성된 수신기, 예를 들어 단말기(500)는 ECM에서 그것이 수신한 것과 유사한 대응하는 수치 식별을 갖는 RO(rights objects)를 직접적으로 식별하도록 검색하고, 대안적으로 다음에 ECM에서 그것이 수신한 것과 차후에 그것이 비교하는 수치 식별들을 생성하도록 수신기에 액세스 가능한 RO(right objects)에 함수를 적용하기 위해 동작가능하다. 그 함수의 특징은 그것이 문자적 식별로부터 수치 식별을 더 일찍 생성할 때 발생하는 어떠한 정보 손실 때문에 수치 식별로부터 생성될 문자적 식별에 대해 허용하지 않는다는 것이다. 그러나, 정보 손실은 별로 중요하지 않아서 RO(rights objects)가 송신기로부터 그에 수신되는 정해진 데이터 콘텐츠에 대해 적절하다는 것을 결정할 수 없다.
제 2 접근 방식의 콘텍스트에 있어서, DTD들(document type definitions)은 대응하는 ECM들(entitlement control message; 1030) 및 RO들(rights objects; 1000)과 데이터 콘텐츠(1020)를 연관시킬 때 변경된다. 본 발명에 따라 상기 언급된 송신기 및 수신기를 비교하는 시스템, 예를 들어 네트워크(400) 및 단말기(500) 각각이 상기 제 2 접근 방식에 따라 작동하도록 배치될 때, 새로운 명칭은 예로써 현재의 OMA DRM 2.0 표준에 따른 다음의 요소가 식 2에 제공되는 바와 같이 수정되는 것으로 발생한다.
<!ELEMENT o-ex: context(o-dd:version?,o-dd:uid*)>
는,
<!ELEMENT o-ex: context(o-dd:version?,o-dd:uid*,o-ex:digest*)> 식 2
로 수정된다.
DTD들(document type definitions)을 개명한 후에, 상기 해시 함수는 개명된 문서에 대한 cid-url에 대해 계산되고, 그 해시 함수는 f([public_hash_key], <uid>)로 기술된다. 그 후에, 예를 들어 상기 언급된 SHA-1 타입 알고리즘을 사용함으로써, 활용되는 개명을 규정하는 "digest"로 표기되는 혼합 요소, 즉 <DigestMethod> 파라미터 및 <DigestValue>가 결정된다. 그 후에, 제 1 접근 방식에서 채택된 유사한 절차가 사용된다.
본 발명에 따른 시스템(300)의 제 1 실시예에 있어서, 그것의 네트워크(400)는 단말기(500)로 네트워크(400)를 연결하는 브로드캐스트 채널(320)을 통해 전달되는 데이터가 현재의 MPEG-2 TS 포맷에 순응하는 것과 같이 CSA(common scrambling algorithm)를 사용하여 DVB-CSA 스크램블링을 활용하도록 동작가능하며, MPEG는 "Motion Pictures Expert Group"에 대한 약어이다. 선택적으로, 상기 네트워크(400)가 DVB-CSA를 실행할 때, 단말기(500)은 DVB-CSA 디스크램블러를 포함한다.
본 발명에 따른 시스템(300)의 제 2 실시예에 있어서, 네트워크(400)는 브로드캐스트 채널(320)을 통해 전달되는 데이터가 IP-DC(Internet Protocol Data Cast)에 순응하는 것처럼 IPsec/ESP 암호화를 활용하도록 동작가능하다. 네트워크(400)가 Ipsec/ESP 암호화를 실행할 때, 단말기(500)는 IPsec/ESP 복호화를 실행하도록 대응하여 구현된다.
본 발명에 따른 시스템(300)이 송신기, 예를 들어 네트워크(400)에 연결되는 다수의 수신기들, 예를 들어 수 개의 단말기들(500)로 DVB(digital video broadcast) 서비스들을 제공하도록 구성되기 쉬우며, 각각의 그러한 수신기는 송신 기로부터 그로 전달되는 데이터 콘텐츠에 관한 상호 서로 다른 데이터 콘텐츠 사용 권한을 잠재적으로 할당받는다. 따라서, 상기 언급된 접근 방식들을 구현하는 시스템(300)의 상기 구현들에 있어서, 이슈는 송신기 및 하나 또는 그 이상의 그러한 수신기들 사이의 복호화 키들 및 콘텐츠의 동기화와 관련하여 일어난다. 본 발명에 따른 시스템(300)의 제 1 및 제 2 실시예들은 브로드캐스트 채널(320)을 사용하여 등록 및 권한 관리에 대해 허용한다.
시스템(300)의 구현들이 DVB 1.0 표준에 따라 작동하도록 동작가능할 때, MPEG-2 포맷으로 전달되는 복호화 키들 및 데이터 콘텐츠의 동기화는 선택적으로 DVB 1.0 표준을 사용하여 설정된다. 그러나, IP-DC 동작이 데이터 콘텐츠의 IPsec/ESP 암호화를 사용하여 구현될 때, 동기화의 방법은 공개된 미국 특허 US 6,668,320 호에 공지되어 있다. MPEG-2 데이터가 시스템(300)의 브로드캐스트 채널(320)에 의해 전달되는 상황에 있어서, 권한 발행자 인증서 체인은 권한 발행자 식별 및 인증서 체인을 활용함으로써 시스템(300) 내에 설정될 수 있고, 권한 발행 식별 및 DRM 시간은 권한 발행자에 의해 서명된다. 그러한 구현에 있어서, 단말기(500)는 그것의 기본 인증서를 사용하여 권한 발행자의 인증서 체인을 먼저 유효하게 하도록 동작가능하며, 그 후에 권한 사용자 식별에 의해 대응하는 서명을 입증하도록 인증서 내에 포함되는 공개 키를 사용한다. 서명이 유효하게 발견되는 상황에서, 시스템(300)의 단말기(500)는 발행자 콘텍스트를 그에 따라 생성 또는 재생성할 수 있다.
본 발명의 실시예들, 예를 들어 시스템(300)은 목적에 따라 하나 또는 그 이 상의 수신기들 예를 들어 단말기 부분(500)에 IPDC 기반구조를 통해 보호되는 데이터 콘텐츠를 전달하도록 동작가능하다. 본 발명의 이러한 실시예들은 도 6에 도시된 일련의 상호작용들을 활용함으로써 그 목적을 달성한다. 하나 또는 그 이상의 수신기들은 예를 들어 비디오 렌더링 능력들을 하나 또는 그 이상의 단말기들에 제공하기 위해 IP 패킷 스트림들을 수신하기 쉬운 휴대용 장치들이다. IP 패킷 스트림들은 예를 들어 보호되거나 보호되지 않을 수 있다. 더욱이, 그러한 패킷 스트림들에 의해 전달되는 데이터 콘텐츠는 예를 들어 하나 또는 그 이상의 단말기들을 실행하는 어떠한 파일 소모 애플리케이션들에 의해 소모될 데이터 파일들이거나, 대안적으로 텔레비전을 구현하기 위해 하나 또는 그 이상의 단말기들을 실행하는 애플리케이션들을 스트리밍함으로써 소모될 스트리밍된 데이터와 같은 것 일 수 있다. 통신 네트워크, 예를 들어 IP 패킷들이 전달되는 브로드캐스트 네트워크(320)는 상호작용 채널과 같은 셀룰러 통신을 통해 또는 그것 없이 DVB-H를 통한 IP-DC일 수 있고, 예를 들어 포인트 투 포인트 데이터 접속들을 지원하는 다양한 셀룰러 네트워크들은 IP 기반 프로토콜들을 사용하여 브로드캐스트의 멀티캐스트를 통해 대처하기 쉽다. 따라서, 본 발명의 실시예들은 통신 네트워크의 서로 다른 형태들의 스펙트럼을 통해 존재하기 쉽다. 도 6에서, 데이터 콘텐츠 공급자들, 즉 네트워크(400)로부터 하나 또는 그 이상의 단말기들, 예를 들어 단말기(500)까지 시스템(300) 내에 제공되는 다양한 서비스들이 도시되어 있다. 네트워크(400)는 1100으로 표기되는 콘텐츠 소스들을 포함하고, 그것의 데이터 콘텐츠는 1120으로 표기되는 단말기의 데이터 파일들(1140)로 또는 스트리밍 애플리케이션들(1130)로 브로드 캐스트 채널(320)을 통해 1110으로 표기되는 DVB-H에 걸쳐 IP-DC를 통해 전달될 수 있다. 대안적으로, 콘텐츠 소스들(1100)로부터 제공되는 데이터 콘텐츠는 또한 스트리밍 애플리케이션들(1130) 또는 데이터 파일들(1140)에 브로드캐스트 채널(320)을 통해 1200으로 표기되는 셀룰러 통신 경로가 전달될 수 있다. 예를 들어 지불을 위한 대가로 RO(rights objects)를 수신하는 하나 또는 그 이상의 구매 포인트들(1220)에 단말기(1120)를 연결하기 위해 셀룰러 통신 경로(1200)를 통해 1210으로 표기되는 데이터 상호작용이 더 존재한다.
따라서, 도 6을 참조로 하면, 휴대용 장치로 구현되는 단말기(1120)는 IP 패킷 스트림들, 예를 들어 비디오 렌더링 능력들을 수신할 수 있고, 여러 소스들(1100)은 보호되는 데이터 콘텐츠 및 보호되지 않는 데이터 콘텐츠 모두를 전달하도록 동작가능하다. 본 발명에 따른 시스템(300)은 표 3으로 나열되는 하나 또는 그 이상의 현재 표준들에 기초할 수 있다.
표 3: 본 발명이 구현될 수 있는 현재 표준들
표준 본 발명을 구현하기 위해 표준을 사용하는 이유
실제 콘텐츠 암호화에 대해 128비트 키들을 갖는 체이닝 모드를 제공하는 AES(Advanced Encryption Standard). OMA DRM은 RO(rights objects)에서 AES-WRAP를 사용하고 선택적으로 AES CBC-MAC를 사용한다. AES는 효율적인 대칭 암호화 방법, 즉 하드웨어에서도 구현되는 개방적 표준이다.
IP 스택의 기능으로 데이터 콘텐츠 암호화 및 복호화를 구현하도록 ESP(Encapsulating Security Payload) 프로토콜을 사용하는 IPsec(Secure Internet Protocol). 전송 모드가 본 발명을 구현할 때 더 효율적인 것으로 예상될지라도, 동작의 터널링 및 전송 모드들 모두가 지원된다. IPsec/ESP는 IP 스택 내 데이터 콘텐츠 수신 단말기들에서, 즉 수신 단말기들에서 실행하는 수신 애플리케이션들에 보이지 않는 콘텐츠 복호화를 유지하기 위한 표준 접근 방식이다. 따라서, 콘텐츠 복호화는 서비스 보호와 IP 패킷 스트림들의 캐리어들과 무관할 수 있다.
트래픽 키 프로토콜 및 관리 명세가 사용되는 것이 유리하다. 이것들은 기존 표준에 기초하지 않고 표준 부록인 지침 문서에 따른 명세에 기초한다. 트래픽 키 관리 프레임워크 및 프로토콜은 효율성 및 견고성을 제공하며, TEK들(traffic keys)의 빈번한 변화를 수용한다.
서비스들에 대한 권한, 연관된 SEK들(service keys), 및 이러한 서비스 키들의 암호 보호를 관리하는 디지털 권한 관리(version 2.0(OMA DRM 2.0))를 사용하는 OMA(Open Mobile Alliance) OMA DRM 2.0은 셀룰러 환경들 내 콘텐츠 및 서비스들을 판매하기 위해 사용될 수 있는 값 체인의 일부인 IP-DC를 렌더링한다.
상호작용 채널을 사용하지 않으며 IP-DC에 걸친 DRM RO(rights object) 전달 및 장치 등록 또한 새로운 표준들이다. OMA DRM 2.0은 장치 등록 및 보장된 권한 전달을 위해 2방향 통신 채널에 걸쳐 인터랙션을 사용한다. 그것은 단지 장치들을 수신하도록 채택될 수 있다.
본 발명에 따라 권한 오브젝트들을 통해 연관된 데이터 콘텐츠의 방법들을 실행하도록 구현되는 본 발명의 실시예들이 폭넓게 다양한 잠재적 시스템 구조들에 따라 배치될 수 있다는 것을 이해할 것이다. 본 발명에 따라 동작가능한 시스템(300)에 대한 실제 구조는 2400으로 도 7에 일반적으로 표시되어 있다. 시스템(2400)은 보호되지 않는 IP(Internet protocol) 데이터 콘텐츠(2415)를 수신하도 록 IPsec/ESP 시뮬크립토(simulcryptor)(2410)를 포함하며, 이전에 설명된 바와 같이 "IPSEC"는 인터넷 프로토콜 보안에 대한 약어이며, "ESP"는 보안 페이로드 캡슐화에 대한 약어이다. 시뮬크립토(2410)는 그를 통해 CW(control word) 데이터(2425)를 교환하기 위해 제어 워드 생성기(2420)와 통신가능하게 연결된다. 더욱이, 시뮬크립토(2410)는 또한 OMA(Open Mobile Alliance) 표준들에 따라 구성되는 KConM(key container message) 생성기(2430)에 접속되며, 메시지 생성기(2430)는 시뮬크립토(2410)와 CW(control word) 및 KConM(key container messages)을 교환하도록 동작가능하다. KConM(key container message)은 TEK(traffic key) 메시지, 또는 DVB(digital video broadcast)의 경우에 ECM 메시지를 포함하는 불투명한 데이터 구조이다. 시뮬크립토(2410)는 멀티프로토콜 캡슐화 유닛(2450)에 KCM(key control message) 및 KConM(key container messages) 이외에 보호되는 IP(Internet protocol) 데이터 콘텐츠를 전달하는 출력(2440)을 포함한다. 캡슐화 유닛(2450)은 섬유 광 데이터 전송(2470a), 위성 안테나 전송(2470b), 및 DVB-H 지상 타워 무선 전송(2470c) 중 하나 또는 그 이상에 의해 차후의 전송을 위해 멀티플렉서(2465)로 전달되는 상기 언급된 MPEG-TS 출력 데이터(2460)를 생성하는 DCF(DRM format content format) 데이터(2455) 및 연관된 RO들(rights objects)을 고려하는 출력(2440)에서 제공되는 데이터 콘텐츠를 캡슐화하도록 동작가능하게 구성된다. 시스템(2400)은 추가로 상기 언급된 OMA 표준들에 순응하는 권한 발행자(2500)를 포함하고, 권한 발행자(2500)는 메시지 생성기(2430) 및 상기 언급된 OMA 표준에 순응하는 DCF 암호화기(2510)에서 콘텐츠 암호화 키들(2505)을 선택적으로 릴리즈하 도록 동작가능하다. 권한 발행인(2500)은 그에 RO(right objects)(2515)를 전달하는 데이터 오브젝트 캐루젤(data object carousel)(2520)에 연결되며, RO(right objects)(2515)는 선택적으로 1 패스 ROAP이고 또한 선택적으로 2진 포맷이다. 추가적으로, 권한 발행인(2500)은 셀룰러 네트워킹을 위해 구성되는 인터랙티브 채널 IP(Internet protocol) 게이트웨이(2530)에 접속되며, 발행자(2500)는 그에 RO(rights objects)(2525)를 전달하도록 동작가능하며, 권한 오브젝트들(2525)은 선택적으로 2 패스 ROAP 포맷이고 4 패스 ROAP 포맷에 따라 장치 등록들에 의해 첨부된다. "ROAP"는 현재의 권한 오브젝트 획득 프로토콜에 대한 약어이다. DCF 암호화기(2510)는 보호되지 않는 IP(Internet protocol) 데이터 콘텐츠(2540)를 수신하도록 연결되며, DCF(DRM format control format) 데이터 저장(2550)에서 출력을 위해 DCF 데이터(2545)를 생성하도록 암호화 키들(2505)을 수신하는데 응답하여 동작가능하며, "DRM"은 데이터 권한 관리 또는 디지털 권한 관리에 대한 약어이다. 저장(2550)은 데이터 오브젝트 캐루젤(2520)에 탐색된 DCF 데이터(2555)를 제공하도록 동작가능하다. 더욱이, 저장(2550)은 또한 IP 게이트웨이(2530)에 탐색된 DCF 데이터(2560)를 출력하도록 동작가능하다. 게이트웨이(2530)는 UMTS 라디오 타워(2570) 또는 셀룰러 네트워크들에 대해 채택되는 유사한 무선 방출기로부터 송신되는 데이터(2565)를 출력하도록 차례대로 동작가능하다. "UMTS"는 셀 폰, 즉 모바일 텔레폰을 제공하는 현재 통신 기반구조에서 활용되는 범용 모바일 원격 통신 시스템에 대한 약어이다.
시스템(2400)으로부터 데이터 출력은 예를 들어 텔레비전(2605)이나, 셀 폰 또는 모바일 텔레폰(2610)이나, 팜톱 컴퓨터(palm-top computer)로도 알려진 휴대용 컴퓨터(2615) 중 하나 또는 그 이상을 포함하는 다양한 수신기들(2600)에서 수신될 수 있다.
동작에 있어서, 시스템(2400)은 이후 설명되는 바와 같이 하나 또는 그 이상의 생성된 수치 식별들과, 수신기들(2600)에서 수신을 위해 출력 데이터 콘텐츠를 제공하기 위한 제어 워드 생성기(2420) 및 키 메시지 생성기(2430)로부터의 메시지 데이터에 의해 표현되는 권한 발행자(2500)로부터 제공되는 RO(rights objects)와 보호되지 않는 IP 데이터 콘텐츠(2415, 2540)를 병합하도록 동작가능하며, 이러한 수신기들(2600)은 단말기(500)과 유사한 방식에 따라 선택적으로 구현된다. 시스템(2400)에서 데이터의 그러한 병합은 예를 들어 상기의 표 2를 참조로 하여 설명된 바와 같이, 상기 해시 및/또는 암호화 함수들을 적용함으로써 감소된 ECM 메시지 대역폭과 관련하여 상기에 설명된 본 발명의 방법들에 따라 수행된다. 도 7에 도시된 바와 같이, 시스템(2400)은 다양한 형태의 수신기(2600), 예를 들어 모바일 텔레폰들, 셀 폰들, 텔레비전들, PDA들(personal data assitants) 등등을 서비스 할 수 있으며 잠재적으로 다용도로 쓰인다.
다음으로 도 8을 참조로 하면, 2700으로 표시되는 시스템(300)의 또 다른 실제 구조가 도시되어 있고, 시스템(2700)은 본 발명의 방법들에 따라 동작가능하다. 시스템(2700)은 권한 발행자(2710)를 포함하고, 선택적으로 발행자(2710)는 상기 언급된 OMA(OPen Mobile Alliance) 표준에 순응한다. 발행자(2710)는 RO(rights objects)(2715)를 출력하도록 동작가능하고, 권한 오브젝트들(2715)은 선택적으로 1 패스 ROAP 형태이며 또한 2진 형태에 따른다. 더욱이, 권한 발행자(2710)는 또한 ECM(entitlement control message) 생성기(2730)에서 콘텐츠 암호화 키들(2725)을 출력하도록 동작가능하며, 메시지 생성기(2730)는 선택적으로 상기 OMA 표준에 순응한다. 게다가, 권한 발행자(2710)는 또한 장치 등록들(2720)을 출력하도록 동작가능하며, 그러한 장치 등록들은 선택적으로 4 패스 ROAP 포맷에 따르며, 상기에 설명된 바와 같이 "ROAP"는 현재의 권한 오브젝트 획득 프로토콜에 대한 약어이다.
시스템(2700)은 RO(rights object) 캐루젤(2750)을 더 포함하고, 캐루젤(2740)은 선택적으로 OMA 표준에 순응한다. 차례대로, 캐루젤(2750)은 멀티플렉서(2760)로 연관된 관리 메시지 데이터(2745) 이외에 RO(rights objects)를 출력하도록 출력(2745)을 포함한다. 멀티플렉서(2760)는 DVB 공통 스크램블링 유닛(2765)으로 그것의 멀티플렉싱된 출력에서 연결되며, 또한 SCS(simulcrypt synchronizer)(2780)로부터 ECM(entitlement control message) 데이터(2775)를 수신하도록 동작가능하다. 동기화기(2780)는 스크림블링 유닛(2765)에 CW(control word) 데이터를 제공하기 위한 출력(2785)을 포함한다. 더욱이, 스크램블링 유닛(2765)은 섬유 광 데이터 전송(2470a), 위성 안테나 전송(2470b), 및 DVB-H 지상 타워 무선 전송(2470c) 중 하나 또는 그 이상에 의한 차후의 전송을 위해 전송 데이터를 제공하기 위한 출력을 포함한다. 동기화기(2780)는 그것 자체가 제어 워드 생성기(2800)로부터 CW(control word) 데이터(2795)를 제공받는다.
시스템(2700)은 장치 등록들(2720)을 수신하기 위한 상호작용 채널 IP(Internet protocol) 게이트웨이(2810)를 포함한다. UMTS 라디오 타워(2570)와 협력하여 게이트웨이(2810)는 장치 등록들, 예를 들어 수신기들(2600) 중 하나 또는 그 이상에 대해 시스템(2700)에 관한 등록들을 다루기 위해 셀룰러 네트워크들, 즉 모바일 텔레폰 또는 셀 폰 네트워크들에 걸친 통신을 제공하도록 동작가능하다. 시스템(2700)은 수신기들(2600)에 프로세싱된 데이터 콘텐츠를 전달하도록 동작가능하고, 그 프로세싱된 데이터 콘텐츠는 RO(rights objects) 및 ECM(entitlement control messages)과 함께 데이터 콘텐츠를 포함하며, 이것들은 본 발명에 따라, 즉 상기 설명된 바와 같이 해시 함수 및/또는 암호화의 사용에 의해 더 적은 데이터 바이트들을 사용하여 연관된다. 시스템(2700)은 선택적으로 이전에 언급된 DVB 1.0 공통 스트램블링을 통한 OMA 표준에 따라 작동하도록 동작가능하다.
시스템들(10, 300, 2400, 2700)에 있어서, OMA DRM 2.0 권한 오브젝트들이 포함되어 DVB-H 데이터 콘텐츠를 지원하도록 요구되는 유일하게 암호화된 권한을 보급하기 위해 이러한 시스템들(10, 300, 2400, 2700)에 의해 제공되는 유일한 브로드캐스트 채널들을 활용하는 것이 합리적으로 쉽지 않은 것처럼 상당한 데이터를 나타낸다. 편리하게는, 시스템들(2400, 2700) 내 수신기들(2600)의 등록 동안, 각각의 수신기(2600), 즉 시스템들(2400, 2700)의 각각의 클라이언트 또는 단말기가 브로드캐스트 도메인으로 알려진 클라이언트들의 그룹의 멤버인 것이 바람직하다. 시스템들(2400, 2700)의 동작에 있어서, 예를 들어 배치 키(batch key)를 포함하는 수 개의 브로드캐스트 도메인 키들이 클라이언트들의 그룹으로 로딩된다. 수신기들(2600), 즉 클라이언트들은 그에 의해 시스템들(300, 2400, 2700)으로 등록된다. 등록 후에, 모든 어드레싱이 브로드캐스트 도메인 기반인 것이 선택적으로 유리하 다. 예를 들어, 각각이 클라이언트, 즉 수신기(2600)는 BRO(binary rights objects)에서 캡슐화되는 콘텐츠 암호화 키로의 액세스를 받을 수 있다. 선택적으로, BRO(binary rights objects)는 브로드캐스트 암호화를 사용하여 암호 보안 방식에 따라 캡슐화된다. 보다 선택적으로, 콘텐츠 암호화 키는 자신들의 수신기들(2600)로 시스템들(300, 2400, 2700)에 의해 전달되는 ECM(electronic content messages)에 포함되는 무작위 수를 통해 배타적 논리합되는, 즉 배타적 논리합 함수에 적용될 수 있다.
본 발명이 DVB-H 콘텍스트에 적용될 때, 동작의 2개 모드들, 즉 접속된 모드 또는 접속되지 않은 모드가 실행가능하다. 따라서, 접속된 모드에서 각각의 수신기(2600)는 RO(rights objects)가 결정될 수 있는 정보 데이터를 수신하도록 동작가능하고, 상기 정보 데이터는 예를 들어 GPRS 또는 UMTS 접속을 통해 실제로 제공되는 IP(Internet protocol) 채널 및 브로드캐스트 채널을 통해 전달된다. 대안적으로, 접속되지 않는 모드에서 각각의 수신기(2600)는 RO(rights objects)를 결정하기 위해 정보 데이터를 수신하도록 일방향 브로드캐스트 채널을 사용하기 위해 동작가능하다.
데이터 통신 시스템들(10, 300, 2400, 2700)은 소프트웨어를 실행하도록 동작가능한 계산용 하드웨어를 사용하여 적어도 부분적으로 실행될 수 있다. 대안적으로, 시스템들(300, 2400, 2700)은 전용 전자 하드웨어의 다양한 조합들을 사용하여 구현될 수 있다.
도 3에 도시되고 그것의 연관된 기술에 따라 설명된 바와 같이, 본 발명은 3 개 레벨 암호 구조에 관한 것이며, 권한 관리 계층 보안은 단말기들의 수신기들, 예를 들어 단말기(500) 및 수신기들(2600)에서 OMA DRM 2.0 및 그것의 보안 구현에 의해 보장된다. 시스템들(300, 2400, 2700)에서, SEK들(service keys)을 전달하는 RO(rights objects)는 비대칭 공개 및 개인 키들 대신에 대칭 권한 키들을 선택적으로 활용하여 브로드캐스트된다. 선택적으로, 시스템들(300, 2400, 2700)에서 데이터 콘텐츠 암호화는 128비트 대칭 TEK들(traffic keys)을 사용하여 AES에 따라 실행된다. 더욱이, 암호화된 데이터 콘텐츠 스트림들은 시스템들(300, 2400, 2700)에서 활용되는 단일 IP 어드레스의 하나 또는 그 이상의 포트 수들에 따라 브로드캐스트된다.
시스템들(10, 300, 2400, 2700)에서, TEK들(traffic keys)은 표준 IPsec SA들(security associations)의 일부로 선택적으로 적용되며, 일단 시스템들(300, 2400, 2700) 중 하나의 단말기가 IP어드레스로 데이터 콘텐츠 스트림들 브로드캐스트을 복호화하기 위해 그에서 사용가능한 평문(plaintext) SA를 가지면, 스트림 식별 정보 및 TEK(traffic key)로 수신기 IP 어드레스를 포함하는 SA는 선택적으로 단말기의 IP 스택의 IPsec 복호화 함수에서 사용가능하게 구성된다. 수신기 IP 어드레스, 즉 모든 그것의 포트 번호들로 전달되는 IP 패킷들은 단말기 예를 들어 단말기(500)에서 실행하는 수신 애플리케이션 예로써 미디어 플레이어(550)로 전달되기 이전에 자동적으로 복호화될 수 있다.
SA들은 그것들 자체가 IPsec 레벨에서가 아닌 암호화된 형태에 따라 단말기로 브로드캐스트된다. IP 스택의 관점으로부터, SA들은 평문에 따르고 각각은 DRM 레벨에서 SEK(service key)에 의해 암호화된다. 그러므로, SA들을 전달하는 브로드캐스트 메시지들은 SA 포맷에 따라 트래픽 키들을 효율적으로 전달하는 그것들 때문에 TEK(traffic key) 메시지들로 간주될 수 있다. 따라서, IP 스택의 관점으로부터, TEK(traffic key) 메시지들은 또 다른 IP 어드레스로 전달되어야 한다. 시스템들(10, 300, 2400, 2700)에서, 일단 TEK(traffic key) 메시지들에 수신되면, SA들은 암호화된 형태에 따르고, 즉 SEK들(service keys)에 의해 암호화되며 데이터 콘텐츠를 복호화하도록 직접적으로 사용될 수 없다.
SA들을 복호화하기 위한 하나 또는 그 이상의 적절한 SEK들(service keys)은 그의 단말기들, 예를 들어 상기 언급된 SEK(service key) 메시지들을 사용하는 OMA DRM 2.0 RO들(rights objects) 내 단말기(500)로 시스템들(300, 2400, 2700)에서 전송된다. SEK(service key)의 그러한 전송은 수신 단말기가 개별적 상호작용 채널을 사용할 수 있는지의 여부에 의존하여 2개의 서로 다른 방향들로 실행될 수 있다. 그러나, 그러한 경우에 RO들은 OMA DRA 2.0 표준에 따라 보호되는 그것들의 SEK(service key) 부분 때문에 수신 단말기에 의해서만 사용될 수 있다. 시스템들(10, 300, 2400, 2700)에 제공되는 SEK(service key) 보호는 공개 키 암호 시스템에 대한 OMA DRM 2.0에 따라 기초되며, 수신 단말기에 대한 대응하는 공개 키는 각각의 권한 발행자에서 등록되고 대응하는 개인 키는 수신 단말기에서 DRM 모듈, 예를 들어 560에 의해 유지된다. DRM 모듈(560)은 시스템(300, 2400, 2700)의 다른 부분들은 말할 것도 없이, 수신 단말기에서 실행하는 다른 애플리케이션들에서 개인 키를 결코 누설하지 않는다. RO들(rights objects)의 관리는 또한 DRM 모 듈(560)에 의해서 다뤄진다.
단말기(500)가 네트워크(400)로부터 어떠한 보호되는 데이터 콘텐츠를 획득할 수 있는 프로세스가 도 9를 참조로 하여 이제부터 기술될 것이다. 그 프로세스는 3000으로 일반적으로 표시된다. 수신 단말기는 예를 들어 단말기(500)과 유사한 3010으로 표기된다. 더욱이, 권한 키들, 즉 RO(rights objects)을 취급하기 위한 DRM 모듈은 3020, 즉 상기 언급된 모듈(560)과 유사한 것으로 표시된다. 권한 발행자에 속하는 권한 키들은 각각 3060, 3050으로 표기된다. 게다가, 웹 숍(web shop)은 3040으로 표현된다. 추가로, 사용자는 3030으로 표기된다.
프로세스(3000)의 제 1 단계(3110)에 있어서, 단말기(3010)는 권한 발행자(3050)가 단말기(3010)의 공개 키를 인식하게 되도록 권한 발행자(3050)를 통해 등록한다. 프로세스(3000)의 제 2 단계(3120)에 있어서, 구매 거래는 단말기(3010) 자체나 또 다른 접근 방식, 예를 들어 사용자에 의해 전화 통화 또는 월드 와이드 웹 구매에 의해 실행된다. 다음으로, 제 3 단계(3130)에서 대응하는 구매 거래는 권한 발행자(3050)로 전달된다. 제 4 단계(3140)에서, 권한 발행자(3050)는 단말기(3010)에 대한 RO(rights object)를 생성하고, 그것이 단말기(3010)의 공개 키에 의해 액세스 가능하도록 그에서 SEK(service key)를 보호한다. 단말기(3010)에서 발생하는 단계(3150)에서, RO(rights object)는 DRM 모듈(3020)로 전달된다. RO들이 자동적으로 개명되는 동안, 제 4 단계(3140)는 인터랙션 채널 또는 IP-DC 브로드캐스트 채널에 걸쳐 반복된다.
프로세스(300)는 단말기(3010)로부터 그것들의 존재하는 상호작용에 의존한 다. 도 10에서, 인터랙션이 사용가능하지 않을 때, 보호되는 데이터 콘텐츠를 획득하기 위한 프로세스가 도시되어 있고, 그 프로세스는 4000으로 일반적으로 표시된다. 프로세스(4000)는 상기 ESG 애플리케이션(510)과 유사한 ESG 애플리케이션(4020)과, 상기 미디어 플레이어(550)와 유사한 IP 스트리밍 소모 애플리케이션과, IPsec 핸들링(4040)을 포함하는 IP 스택(4030)과, 모듈(560)과 유사한 DRM 권한 모듈(4050)의 사용을 포함한다. 프로세스(4000)를 실행할 때, 그의 제 1 단계(4100)에서 사용자(3030)는 예를 들어 ESG(electronic service guide) 애플리케이션(4020)을 사용하여 수신될 데이터 콘텐츠를 식별한다. 제 2 단계(4110)에서, ESG 애플리케이션(4020) 내 데이터 및 연관된 서비스 기술들에 기초하여, 스트리밍된 데이터 콘텐츠 및 TEK(traffic key) 메시지들 모두를 수신하기 위한 2개 IP 어드레스들이 식별되어 그의 수신이 그 후에 시작된다. 제 3 단계(4120)에서, 각각의 TEK(traffic key)가 수신될 때, 그에서 암호화된 SA는 DRM 모듈(4030)로 넘어간다. 제 4 단계(4130)에서, DRM 모듈(4050)은 이제 시시각각으로 대응하는 하나 또는 그 이상의 SEK들(service keys)을 내부적으로 순간에 따라 나타내는 동안 개인 키를 사용하여 하나 또는 그 이상의 RO들을 복호화한다. DRM 모듈(4050)은 SA를 복호화하기 위해 하나 또는 그 이상의 서비스 키드을 사용하고, 그 후에 예를 들어 단말기(500) 내 SA를 알리도록 진행한다. SA는 제 5 단계(4140)에서 예를 들어 미디어 플레이어(550)와 같은 어떠한 표준 IP 소켓 애플리케이션에 의해 소모되는 콘텐츠 스트림을 복호화하기 위해 사용되는 IP 스택(4030)으로 넘겨진다.
시스템들(300, 2400, 2700) 내 데이터 콘텐츠 수신 장치들, 예를 들어 단말 기(500)의 등록은 본 발명에 대해 중요한 이슈이다. OMA 장치 등록이 일방향 브로드캐스트 채널, 예를 들어 채널(320)에 대해 구현될 때, OMA DRM 2.0 장치 등록은 4 패스 ROAP(Rights Object Acquisition Protocol)를 사용한다. 이러한 등록 프로토콜은 2방향 통신 채널을 요구한다. 어떠한 애플리케이션들, 예를 들어 베어러(bearer)와 같은 DVB-H를 사용하는 IP-DC에 대해, 그러한 2방향 통신 채널은 사용가능하지 않다. 그러므로, 본 발명은 편리하게 1 패스 ROAP로 규정되는 순응 장치, 예를 들어 단말기(500)를 등록하는 대안적인 방식을 사용한다. 권한 발행자로부터 그러한 1 패스 ROAP를 구현하기 위해 요구되는 최소 데이터는,
(a) 기초 인증서 체인을 포함하는 권한 발행자 인증서,
(b) 권한 발행자 식별, 예를 들어 DER 인코딩된 공개 키의 SHA-1 타입 해시,
(c) DRM 시간, 및
(d) 브로드캐스트 특정 키 소재 및 메타데이터이다.
더욱이, 데이터 콘텐츠 수신 장치들로부터 권한 발행자에 의해 요구되는 최소 데이터는,
(e) 기초 인증서 체인을 포함하는 장치로부터의 유일한 인증서,
(f) 상기 장치의 식별, 예를 들어 상기 장치에 대한 DER 인코딩된 공개 키의 SHA-1 해시, 및
(g) 상기 장치의 능력들의 규정을 포함한다.
권한 발행자는 상기 장치에 유일한 인증서와, 검색 키로 그 장치의 식별을 사용하는 승인으로부터 상기 장치의 능력들의 규정을 획득할 수 있다. 그 다음으로, 상기 장치는 권한 발행 인증서 체인, 권한 발행 식별, 및 브로드캐스트 특정 키 소재와, 2개 메시지에 의한 메타데이터를 획득하며, 이러한 2개 메시지들은 브로드캐스트 특정 키 소재 및 메타데이터와 함께 인증서 체인 및 권한 발행자의 식별을 포함한다.
권한 발행 식별 및 인증서 체인 메시지들은 청취 장치들로 브로드캐스트되어, 선택적으로 1분 이하의 간격들에 따른 시간의 제한되지 않은 기간 동안 반복된다. 그러한 청취 장치들은 우선적으로 인증서 체인 및 그것의 기초 인증서를 사용하여 권한 발행자의 인증서 체인을 유효화한다. 그 후에, 유효화가 성공적인 경우, 청취 장치들은 발행자 콘텍스트를 생성 또는 재생성하여 권한 발행자의 공개 키를 저장할 수 있다.
브로드캐스트 특정 키 소재 및 메타데이터 메시지는 단지 하나의 장치로 어드레싱되어 시간의 제한된 기간 동안 반복된다. 예를 들어, 사용자(3030)가 운영자에게 그의 또는 그녀의 장치를 등록할 때, 그 장치, 예를 들어 단말기(500)는 스위치 온 되어 1분 이내에 그 장치에 대한 등록 데이터를 수신하도록 할 수 있다고 가정한다. 메시지 수신 시에, 상기 장치는 우선적으로 발행자의 식별, 즉 서명을 유효화하고, 유효화로 발견된 경우, 그것의 공개 키를 사용하여 대응하는 페이로드를 복호화한다. 브로드캐스트 특정 키 소재 및 메타데이터는 그 후에 상기 장치에서 발행자의 콘텐츠 내에 위치된다.
본 발명을 구현할 때 더 중요한 이슈는 일방향 브로드캐스트 채널들에 대한 OMA 권한 관리이다. OMA DRM 2.0 RO들(rights objects)은 중복되고 긴 문자적 부분들 모두를 포함하고, 브로드캐스트 애플리케이션들에 대해 이러한 RO들은 그에 따라 비효율적 어드레싱 방식을 사용하여 그 결과 기술적 문제점을 나타낸다. 이러한 문제를 해결하기 위해, 본 발명은 조합하여 대역폭 사용과 관련하여 강화된 효율성을 제공하는 어드레싱 방식 및 OMA DRM 2.0 RO들(rights objects)의 2진 표현을 사용하는 해결책을 제공한다. 그 해결책은 이제부터 추가로 설명될 것이다.
OMA DRM RO들(rights objects)의 2진 표현과 관련하여, OMA DRM 2.0 권한 표현 언어는 확장된 마크업 언어, 즉 XML 1.0 W3C에 의존한다. RO들에서 사용되는 콘텐츠 식별자들은 URI들(uniform resource indicators)에 대한 표준, 즉 RFC 2392에 순응한다. 상기 해결책을 제공하고 그에 의해 RO들에 대한 고가의 대역폭을 보호하기 위해, OMA DRM 2.0 순응 RO들은 BRO들(binary rights objects)로 상기 언급된 2진 포맷으로 변환된다. 더욱이, 상기 해결책은 또한 BCI(binary content identity)로 언급되는 2진 포맷으로 식별자의 URI 형태를 변환하기 위해 함수의 사용을 포함한다. 등가의 2진수로 문자적 식별자를 변환하기 위해 유리한 방식은 상기에 간략하게 설명된 바와 같이 충돌없는 해시 함수를 사용하는 것이다. 선택적으로, 해시 함수의 출력은 MD5에 대해 전형적으로 128 비트, 즉 표준 RFC 1321이나, SHA-1에 대해 160비트, 즉 표준 FIPS 180.2에 제한된다. 해시 함수 SHA-1는 바람직한 충돌 속성들을 가지며, OMA를 통한 사용을 위해 이미 규정되어 있다는 추가적인 장점을 갖는다. 대안적으로, 그 함수를 구현하기 위해, AES, 즉 해시 키를 갖는 CBC-MAC 모드에서 FIPS 197 표준이 사용하기에 유리하다. AES는 그것의 출력이 4바이트 더 작다는 점에서 2진 식별을 생성하는데 사용하기에 SHA-1과 비교하여 유리하다. 해결책에 관한 규정들은 표 4에 제공되어 있다.
표 4:
파라미터 정의
hash_key 16 바이트 랜덤 키
content_id Addr-spec
cid-url "cid"":"content_id
Binary_content_id f([public_hash_key],<cid-url>) 여기서, f는 상기 언급된 함수이다.
RO의 <uid>는 cid-url과 같고, 함수 f는 SHA-1를 구현하거나, 선택적 해시 키 파라미터가 제시될 때, CBC-MAC 모드에 따른 AES이다. 따라서, binary_content_id는 모든 TEK(traffic key) 메시지의 일부이며, 그에 대역폭 감소 이득들을 제공한다.
OMA에 대한 브로드캐스트 RO들과 관련하여, RO들을 내보내기 위해 OMA DRM 2.0 표준에 따른 2개 방식들이 존재하며, 즉 유일하게 어드레싱된 RO들과, 대안적으로 도메인 어드레싱된 RO들이 존재한다. 복귀 채널 없는 브로드캐스트 채널, 예를 들어 채널(320)에 걸친 RO들의 유일한 어드레싱은 요구되는 대역폭과 관련하여 고가이며 양호하게 스케일링하지 않는다. 역으로, RO들에 대한 OMA 도메인 어드레싱은 동적 환경에서 사용하도록 의도되지는 않으며, 큰 수의 수신 장치들이 정해진 도메인에 합류하거나 떠나간다. 확장성을 유지하고 높은 어드레싱 효율성을 달성하 기 위해, 본 발명은 XML 또는 2진 포맷들에 따를 수 있는 BCRO(broadcast rights objects)를 사용한다.
시스템들(10, 300, 2400, 2700)에서, 수신 장치들, 예를 들어 단말기(500)의 등록 후에, 각각의 수신 장치는 n개 장치들의 수 이외에 M개의 그룹의 멤버일 것이다. 편리하게는, 그러한 그룹은 BG(broadcast group)로 표기된다. 시스템들(10, 300, 2400, 2700)의 동작에 있어서, 그에서 각각의 수신 장치는 시스템들(200, 2400, 2700) 내에 구현되는 등록 프로세스 동안 몇 개의 BG 특정 키들을 수신할 것이다. BG 특정 키들은 BCRO 세메지들의 기밀 및 승인에 대해 제공한다. 발행자, 예를 들어 네트워크(400)는 선택적으로 그것의 개인 키를 사용하여 BCRO 메시지들을 서명할 수 있지만, 그러한 서명은 활용되는 RSA 서명들의 사이즈 때문에 BCRO 메시지들에 추가될 적어도 1024 비트를 나타낸다. 그러한 AES CBC-MAC와 같은 메시지 인증 코드들은 그러한 시나리오에 따라 지원된다. 따라서, 시스템들(10, 300, 2400, 2700)에서 BG 특정 키들에 대한 업데이트가 재등록을 요구한다. 더욱이, 브로드캐스트 채널을 사용하는 모든 RO 어드레싱은 BG 기반이다.
각각의 수신 장치 또는 BG 내 그러한 장치들의 세트는 대응하는 유일한 BG 권한 오브젝트에 따라 캡슐화되는 SEK(service encryption key)로의 액세스를 제공받을 수 있다. 따라서, BCRO의 메인 부분에 포함되는 m 비트 마스크는 선택적으로 BG 내 어드레싱을 위해 사용된다. 특정한 수신 장치가 특정 제품으로 칭해지는 상황에서, 그 다음으로 BG에서 그것의 포지션에 따라 대응하는 비트는 상기 비트 마스크에 세팅된다. 그 비트 마스크의 사이즈는 BG 내 승인된 수신 장치들의 수에 의 존하여 최적화될 수 있다. 예를 들어, 128 바이트의 평균 자격부여 사이즈 및 256 수신 장치들의 BG 사이즈가 정해지면, 각각의 제품을 나타내기 위해 요구되는 대역폭들이 표 5에서 제공된다.
표 5:
수신 장치들의 수
순환 시간 500,000 1,000,000 2,000,000 4,000,000
15분 2.22kbits/sec. 4.44kbits/sec. 8.89kbits/sec. 17.78kbits/sec.
30분 1.11kbits/sec. 2.22kbits/sec. 4.44kbits/sec. 8.89kbits/sec.
45분 0.74kbits/sec. 1.48kbits/sec. 2.96kbits/sec. 5.93kbits/sec.
1시간 0.56kbits/sec. 1.11kbits/sec. 2.22kbits/sec. 4.44kbits/sec.
시스템들(10, 300, 2400, 2700)에 있어서, 가능한 보안의 2개 레벨들, 즉,
(a) 수신 장치 변형 억제, 및
(b) 암호적 보안이 존재한다.
변형 억제가 구현될 때, 수신 장치들, 예를 들어 단말기(500)은 그것의 비트가 상기 비트 마스크에 세팅되지 않는 경우에 BCRO들에 포함되는 하나 또는 그 이상의 SEK들을 사용하지 않는다. 역으로, 암호적 보안 레벨이 구현될 때, 암호기법은 BG의 일부를 형성하는 모든 수신 장치들에 대해서보다 개별적 장치들에 대해서 BRCO에 따른 하나 또는 그 이상의 SEK들로의 액세스를 보장하기 위해 사용된다. 활 용되는 암호 기법 프로세스들은 "제로 메시지 브로드캐스트 암호화"로 편리하게 언급되며, 1993년 Crypto, Fiat 및 Naor, 공보 "암호 기법에 따른 진보들에서 브로드캐스트 암호화(Broadcast Encrytption in Advances in Cryptography)"를 참조한다. 시스템(300, 2400, 2700) 내 암호 기법적 보안 통신을 활용하는 단점들은 계산 요구들이 증가되고 더 많은 키 저장이 요구된다는 것이며, 전형적으로 키 저장에 대한 요구는 log(m)에 관련되며, 여기서 m은 BG의 사이즈이다. 키들이 저장되는 log(m)은 2진 서브 트리들을 유도하기 위해 사용되며, 여기서 그러한 트리들의 각각의 리프(leaf)에 대해 키는 비트가 BCRO에 포함되는 상기 언급된 n 비트 마스크에 세팅되는 경우에 계산된다. 선택적으로, 이전에 설명된 바와 같이 실질적으로 모든 계산된 키들, 즉 n-1 키들은 BCRO에 대해 실제 복호화 키를 얻기 위해 선택적으로 상호 배타적 논리합이 된다.
시스템들(10, 300, 2400, 2700)에서, 불법복제자 추적(traitor tracing)은 BG 키들의 세트가 그에 불법적으로 보급될 때 가능하다. 상기 보안의 변형 억제 레벨에 대해, 트레이터 추적성은 개별적 브로드캐스트 도메인들에 제한된다. 그러나, 상기 보안성의 암호 기법적 보안 레벨에 대해, 불법복제자 추적성은 BG에서 개별적 수신 장치들 모두에 달성될 수 있다.
REL DTD(Rights Expression Language Document Type Definitions)가 변경되지 않는 본 발명의 한 실시예에서, OMA DRM 2.0 표준이 활용되어 그것의 콘텍스트 모델의 <uid> 요소에서 동일한 URI를 구현하는 DCF로부터 RO를 참조하도록 URI를 사용한다. URI의 포맷은 표준 RFC 2392, 즉 cid-url로 규정된다. URI가 US-ASII 기 반이기 때문에, 이러한 URI 식별자들은 상기 언급된 ECM 메시지의 일부인 바이트의 수에 따라 불편하게 크며, 후자는 184 바이트보다 작은 것이 전형적이다. URI 기반 ASCII의 예는,
content_id = addr-spec
cid-url = "cid"":"content_id
예를 들어: cid:movie123@philips.com이다.
그러한 문자적 식별자를 2진수로 변환하기 위한 한가지 방식은 상기 언급된 충돌 없는 해시 함수를 사용하는 것이다. 해시 함수의 출력은 MD4/MD5에 대해 128비트 또는 상기 언급된 SHA-1에 대해 160비트로 제한되는 것이 전형적이다. 이전에 설명된 바와 같이, SHA-1 함수는 그것이 FIPS 표준이고 상대적으로 더 양호한 충돌 속성들을 나타내기 때문에 바람직하며, OMA 표준 내에서 사용하도록 규정되어 있다. 대안적으로, CBC-MAC 모드에서 AES에 기초하는 함수는 공개 대칭 키를 사용하여 활용될 수 있다. SHA-1에 걸친 AES의 이득은 그것이 하드웨어로 구현될 수 있다는 것이다. 타당한 정의는 상기의 표(4)에 제공되어 있다. 권한 오브젝트들에 대해, <uid> 요소는 cid-url과, 상기 함수, 즉 CBC-MAC 모드에서 SHA-1 AES의 출력과 같다. 그 다음으로, binary_content_id는 모든 상기 ECM 메시지의 일부이다.
시스템들(300, 2400, 2700)에서 문자적 식별자를 변환하는 그러한 방법을 구현할 때, OMA 수신 장치, 예를 들어 단말기(500)은 ECM 메시지를 수신한다. ECM 데이터로부터 binary_content_id가 추출된다. OMA 수신 장치는 검색 키로 binary_content_id를 사용하여 대응하는 RO들(rights objects)을 발견하도록 그것 의 내부 캐시를 검색한다. 캐시 "히트"가 존재하는 경우, 즉 매치가 binary_content_id 및 권한 오브젝트 사이에서 발견되는 경우, 발견된 권한 오브젝트에서 콘텐츠 암호화 키는 ECM 메시지를 복호화하도록 사용되고, 그에 의해 계속해서 대응하는 암호화된 데이터 콘텐츠로의 액세스를 가능케 한다. 역으로, 캐시 "미스(miss)"가 발생하는 경우, 즉 어떠한 매치도 binary_content_id 및 권한 오브젝트 사이에서 발견되지 않는 경우, ECM 메시지를 복호화하도록 사용가능한 어떠한 콘텐츠 암호화 키도 존재하지 않으며, 이로써 암호화된 데이터 콘텐츠로의 액세스를 부정한다. 캐시 "미스"가 발생하는 상황에, OMA 수신 장치는 RO들(rights objects)에 대해 예를 들어 그에 외부적이 데이터베이스들에서 선택적으로 "오프라인"을 검색할 수 있고, 다음으로 <uid> 요소들에 대해 binary_content_id를 계산하며, 대응하는 binary_content_id가 발견되는 경우, 대응하는 RO(rights object)는 수신 장치로 선택적으로 입력되어 예를 들어 장래 검색하는데 사용하기 위해 그것의 >uid> 요소의 2진 표현과 함께 그에 캐싱될 수 있다.
REL DTD(Rights Expression Language Document Type Definitions)가 변경되는 본 발명의 또 다른 구현에 있어서, OMA DTD 2.0 REL DTD에서 다음의 요소,
<!ELEMENT o-ex:context(o-dd:version?,o-dd:uid*)>
가,
<!ELEMENT o-ex:context(o-dd:version?,o-dd:uid*,o-ex:digest*)>
로 변경된다.
따라서, cid-url의 해시는 이전에 설명된 바와 같이 함수 f([public_hash_key], <uid>)를 사용하여 계산될 수 있다. 다음으로, 해시 알고리즘 타입 SHA-1은 <DigestMethod>에 적용되고 대응하는 해시 값은 <DigestValue> 요소에 적용되며, <DigestMethod> 및 <DigestValue> 요소들은 이전에 나타난 변경된 요소에 따른 혼합 요소 "digest"의 일부이다.
상기 기술된 본 발명의 실시예들에 대한 수정들은 첨부된 특허청구범위에 의해 규정되는 본 발명의 범위로부터 벗어나지 않으며 가능하다.
본 발명을 기술하고 청구하도록 사용되는 "포함하는", "구성하는", "갖는", "-인"과 같은 표현들은 배타적이지 않은 방식, 즉 존재하는 것으로 명확하게 기술되지는 않는 요소들, 구성요소들, 또는 요소들에 대해 허용하는 것으로 해석되도록 간주된다. 단수는 복수에 관한 것으로 해석될 수 있고, 역으로도 마찬가지이다.
첨부된 특허청구범위에서 괄호 안에 포함된 숫자들은 그 청구항들의 이해를 돕기 위한 것으로 간주되며 이러한 청구항들에 의해 청구되는 주요 사항을 제한하는 어떠한 방식으로도 해석되지 않아야 한다.

Claims (24)

  1. 통신 시스템(10, 300, 2400, 2700)에서 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법으로서, 상기 시스템(10, 300, 2400, 2700)은 데이터 콘텐츠 송신기(30, 400, 2410, 2420, 2430, 2450, 2465, 2500, 2510, 2520, 2530, 2550, 2470, 2570, 2710, 2730, 2740, 2760, 2765, 2780, 2800, 2810) 및 적어도 하나의 데이터 수신기(50, 500, 2600, 2605, 2610, 2625)를 포함하는, 상기 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법에 있어서,
    (a) 데이터 콘텐츠(40, 420), 상기 데이터 콘텐츠(420)에 대한 권한을 규정하는 권한 오브젝트들(470), 및 상기 데이터 콘텐츠(420)에 적용되는 차후 처리를 제어하기 위한 제어 메시지들(440)을 제공하는 단계로서, 상기 데이터 콘텐츠(420)와 연관되는 상기 제어 메시지들은 상기 권한 오브젝트들(470)을 참조로 하는, 상기 제공 단계와,
    (b) 상기 권한 오브젝트들(470)과 상기 데이터 콘텐츠(420)를 연관시키기 위해 동작가능한 문자적 식별자들을 생성하는 단계와,
    (c) 상기 문자적 식별자들을 대응하는 식별 데이터로 변환하는 단계와,
    (d) 상기 송신기로부터 송신을 하고, 상기 적어도 하나의 데이터 수신기(50, 500, 2600, 2605, 2610, 2615)에서 차후에 수신하기 위해 출력 데이터를 생성하도록 상기 식별 데이터, 상기 권한 오브젝트들(470), 및 상기 제어 메시지들(440)을 컴파일링하는 단계를 포함하는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방 법.
  2. 제 1 항에 있어서,
    상기 문자적 식별자들을 상기 대응하는 식별 데이터로 변환하는 상기 단계는, 상기 문자적 식별자들을 2진 형태의 상기 대응하는 식별 데이터로 변환하는 단계를 포함하며, 2진 형태의 상기 식별 데이터는 상기 식별 데이터의 대응하는 문자적 식별자들보다 더 압축되는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  3. 제 1 항에 있어서,
    상기 권한 오브젝트들(470)은 OMA DRM 권한 오브젝트들인, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  4. 제 1 항에 있어서,
    (e) 상기 적어도 하나의 데이터 수신기(2600, 2605, 2610, 2615)에서 상기 출력 데이터를 수신하는 단계와,
    (f) 상기 식별 데이터를 처리하고 그로부터 상기 적어도 하나의 데이터 수신기(2600, 2605, 2610, 2615)에서 상기 데이터 콘텐츠(420)의 사용을 제어하기 위해 상기 데이터 콘텐츠(420) 및 상기 권한 오브젝트들(470) 사이의 연관성을 재생성하는 단계를 더 포함하는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  5. 제 1 항에 있어서,
    상기 식별 데이터는 상기 출력 데이터를 생성하도록 컴파일될 때 상기 제어 메시지들(440)에 포함되는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  6. 제 1 항에 있어서,
    상기 식별 데이터는 해시 함수, 암호화 함수 중 하나 또는 그 이상의 방법에 의해 상기 문자적 식별자들로부터 생성되는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  7. 제 6 항에 있어서,
    상기 해시 함수는 MD4 또는 MD5와 같은 현재의 표준 RFC 1320/1321에 따라 현재의 메시지 다이제스트(Message Digest)의 방법에 의해 실질적으로 구현되는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  8. 제 6 항에 있어서,
    상기 해시 함수는 FIPS 180-2에 따른 SHA-1 보안 해시 알고리즘의 방법에 의해 실질적으로 구현되는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  9. 제 6 항에 있어서,
    상기 암호화 함수는 상기 송신기 및 상기 적어도 하나의 데이터 수신기에 대한 공개 대칭 키를 사용하는 현재의 진보된 암호화 표준 FIPS 197에 따라 실질적으로 구현되는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  10. 제 1 항에 있어서,
    복수의 상기 데이터 수신기들(50, 500, 2600, 2605, 2610, 2615)은,
    (g) 상기 복수의 데이터 수신기들(2600, 2605, 2610, 2615)을 브로드캐스트 도메인으로 그룹화하는 단계와,
    (h) 하나 또는 그 이상의 액세스 키들을 상기 브로드캐스트 도메인에 액세스 가능한 데이터 콘텐츠를 규정하기 위한 상기 브로드캐스트 도메인 내 복수의 브로드캐스트 수신기들로 통신하는 단계로서, 상기 키들은 상기 시스템(10, 300, 2400, 2700)에서 통신되는 암호화된 권한 오브젝트들에 액세스하도록 사용가능한, 상기 통신 단계를 추가로 포함하는 상기 방법에 의해 상기 시스템(10, 300, 2400, 2700)에 초기에 등록되는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  11. 제 1 항에 있어서,
    상기 데이터 콘텐츠(420)는 대응하는 범용 리소스 로케이터에 링크되는 콘텐츠 식별자를 포함하는 일정한 리소스 표시자의 방법에 의한 데이터 콘텐츠의 연관된 권한 오브젝트들과 상기 문자적 식별자들에 의해 연관되는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  12. 제 4 항에 있어서,
    각각의 데이터 수신기(2600, 2602, 2610, 2615)에서 상기 데이터 콘텐츠(420) 및 상기 권한 오브젝트들(470) 사이의 연관성을 재생성하는 단계는, 상기 데이터 수신기(2600, 2605, 2610, 2615)에 저장되거나 상기 데이터 수신기에 외부적으로 액세스 가능한 상기 콘텐츠 표시 및 권한 오브젝트들(470) 사이의 상기 데이터 수신기에서 발견되는 매치의 부족이 상기 데이터 콘텐츠(420)로 액세스하기 위한 권한이 부족한 상기 데이터 수신기(2600, 2605, 2610, 2615)를 표시하도록, 대응하는 권한 오브젝트들(470)을 검색하는데 사용하기 위해 상기 제어 메시지들로부터 콘텐츠 표시 <binary_content_id>를 유도하는 단계를 포함하는, 권한 오브젝트들과 데이터 콘텐츠를 연관시키는 방법.
  13. 조건적 액세스를 제공하는 방법에 있어서,
    데이터 스트림에 암호화된 데이터 콘텐츠(420)를 포함시키는 단계로서, 상기 데이터 콘텐츠(420)의 복호화는 시간에 따라 변하는 제어 워드들을 요구하는, 상기 암호화된 데이터 콘텐츠(420) 포함 단계와,
    상기 데이터 스트림에 제 1 복호화 메시지들(445)을 포함시키는 단계로서, 각각의 제 1 복호화 제어 메시지(445)는 상기 데이터 스트림에서 상기 제 1 복호화 제어 메시지(445)와 실질적으로 동시에 데이터 콘텐츠(420)를 복호화하기 위해 요구되는 상기 제어 워드들 중 적어도 하나를 포함하는, 상기 제 1 복호화 메시지들 포함 단계와,
    스트림 수신 장치 내 스트림으로부터 제 1 복호화 제어 메시지를 추출하는 단계와,
    추출된 상기 제 1 복호화 제어 메시지에 OMA DRM 권한 오브젝트(470)를 연관시키는 단계와,
    연관된 상기 OMA DRM 권한 오브젝트로부터 콘텐츠 암호화 키를 획득하는 단계와,
    상기 OMA DRM 권한 오브젝트로부터 획득된 상기 콘텐츠 암호화 키를 사용하여 추출되는 상기 제 1 복호화 메시지를 복호화하는 단계와,
    복호화된 상기 제 1 복호화 메시지로부터 제어 워드를 추출하는 단계와,
    복호화된 상기 제 1 복호화된 메시지로부터 추출되는 상기 제어 워드를 사용하여 상기 암호화된 데이터 콘텐츠를 복호화하는 단계를 포함하는, 조건적 액세스 제공 방법.
  14. 제 13 항에 있어서,
    추출된 상기 제 1 복호화 메시지에 OMA DRM 권한 오브젝트를 연관시키는 상기 단계는,
    하나 또는 그 이상의 비트들에 상기 OMA DRM 권한 오브젝트의 어드레스를 맵핑하는 단계와,
    상기 제 1 복호화 제어 메시지에 상기 하나 또는 그 이상의 비트들을 포함시 키는 단계와,
    수신된 상기 제 1 복호화 제어 메시지로부터 상기 하나 또는 그 이상의 비트들을 추출하는 단계와,
    저장된 OMA 권한 오브젝트 중 하나 또는 그 이상의 비트들과 추출된 상기 하나 또는 그 이상의 비트들을 비교하는 단계와,
    추출된 상기 하나 또는 그 이상의 비트들이 상기 저장된 OMA DRM 권한 오브젝트 중 하나 또는 그 이상의 비트와 같을 때 상기 저장된 OMA DRM 권한 오브젝트가 연관된 상기 OMA DRM 권한 오브젝트가 되도록 선택하는 단계를 더 포함하는, 조건적 액세스 제공 방법.
  15. 제 14 항에 있어서,
    하나 또는 그 이상의 비트들에 상기 OMA DRM 권한 오브젝트의 어드레스를 맵핑하는 상기 단계는 상기 OMA DRM 권한 오브젝트의 어드레스의 해시를 계산하는 단계를 포함하는, 조건적 액세스 제공 방법.
  16. 제 15 항에 있어서,
    상기 OMA DRM 권한 오브젝트의 상기 어드레스의 해시를 계산하는 상기 단계는 해시 함수들의 세트로부터 해시 함수를 선택하는 단계를 더 포함하는, 조건적 액세스 제공 방법.
  17. 제 16 항에 있어서,
    선택된 상기 해시 함수는 상기 제 1 복호화 메시지에서 비트에 의해 표시되는, 조건적 액세스 제공 방법.
  18. 제 15 항에 있어서,
    상기 어드레스는 상기 OMA DRM 권한 오브젝트의 URI인, 조건적 액세스 제공 방법.
  19. 암호화된 데이터 스트림에 스트림 수신 장치(50, 500, 2600)에 대한 조건적 액세스를 제공하기 위해 제 1 항 또는 제 13 항에 청구된 방법을 구현하기 위한, 시스템(10, 300, 2400, 2700).
  20. 암호화된 데이터 스트림으로의 조건적 액세스를 획득하는 스트림 수신 장치(50, 500, 2600)에 있어서,
    상기 스트림 수신 장치 내 상기 스트림으로부터 제 1 복호화 제어 메시지를 추출하는 단계와,
    추출된 상기 제 1 복호화 메시지에 OMA DRM 권한 오브젝트를 연관시키는 단계와,
    연관된 상기 OMA DRM 권한 오브젝트로부터 콘텐츠 암호화를 획득하는 단계와,
    상기 OMA DRM 권한 오브젝트로부터 획득되는 상기 콘텐츠 암호화 키를 사용하여 추출되는 상기 제 1 복호화 메시지를 복호화하는 단계와,
    복호화된 상기 제 1 복호화 메시지로부터 제어 워드를 추출하는 단계와,
    복호화된 상기 제 1 복호화 메시지로부터 추출되는 상기 제어 워드를 사용하여 상기 암호화된 데이터 콘텐츠를 복호화하는 단계를 실행하도록 배치되는, 스트림 수신 장치(50, 500, 2600).
  21. 암호화된 데이터 스트림으로의 조건적 액세스를 획득하기 위한 컴퓨터 프로그램 제품으로서, 프로세서상에서 작동할 때, 상기 암호화된 데이터 스트림으로부터 추출되는 제 1 복호화 메시지에 OMA DRM 권한 오브젝트를 연관시키는 단계를 실행하도록 배치되는, 컴퓨터 프로그램 제품.
  22. 수신기의 프로세서상에서 실행하여, 상기 수신기를 동작하기 위한 컴퓨터 프로그램 제품으로서, 상기 수신기가 제 1 항 또는 제 13 항에 청구된 방법 중 일부를 실행하게 하는, 컴퓨터 프로그램 제품.
  23. 데이터 스트림을 전송하는 송신국의 프로세서상에서 실행하기 위한 컴퓨터 프로그램 제품으로서, 상기 송신국이 제 1 항 또는 제 13 항에 따른 방법 중 일부를 실행하게 하는, 컴퓨터 프로그램 제품.
  24. 제 1 항 또는 제 13 항에 청구된 방법에 의해 생성되는 전송을 위한 출력 데이터로서, 데이터 콘텐츠를 대응하는 권한 오브젝트들에 관련시킨 식별 데이터를 갖는, 출력 데이터.
KR1020077008144A 2004-09-10 2005-09-08 조건적 액세스를 제공하는 방법 KR20070074562A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04104389.4 2004-09-10
EP04104389 2004-09-10

Publications (1)

Publication Number Publication Date
KR20070074562A true KR20070074562A (ko) 2007-07-12

Family

ID=35207621

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077008144A KR20070074562A (ko) 2004-09-10 2005-09-08 조건적 액세스를 제공하는 방법

Country Status (7)

Country Link
US (1) US20080065548A1 (ko)
EP (1) EP1792436A1 (ko)
JP (1) JP2008512924A (ko)
KR (1) KR20070074562A (ko)
CN (1) CN101019370A (ko)
BR (1) BRPI0515038A (ko)
WO (1) WO2006027749A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8625792B2 (en) 2008-01-16 2014-01-07 Qualcomm Incorporated Methods and apparatus to reduce channel switching time

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100709318B1 (ko) * 2005-02-01 2007-04-20 삼성전자주식회사 디지털 방송을 위한 수신제한서비스 키 할당 방법 및 시스템
US8666071B2 (en) 2005-10-26 2014-03-04 Thomson Licensing System and method for delivering satellite services at multiple security levels
JP2009515386A (ja) * 2005-11-01 2009-04-09 ノキア コーポレイション 範囲esgフラグメントの識別及び範囲内の階層化を可能にする方法
US8893302B2 (en) * 2005-11-09 2014-11-18 Motorola Mobility Llc Method for managing security keys utilized by media devices in a local area network
BRPI0707583B1 (pt) * 2006-02-10 2019-08-13 Qualcomm Inc obscurecimento de identidades temporárias de equipamento de usuário
WO2007097604A1 (en) * 2006-02-27 2007-08-30 Samsung Electronics Co., Ltd. Method and system for protecting broadcast service/content in a mobile broadcast system, and method for generating short term key message therefor
US9781071B2 (en) * 2006-06-28 2017-10-03 Nokia Technologies Oy Method, apparatus and computer program product for providing automatic delivery of information to a terminal
FR2907627B1 (fr) * 2006-10-20 2008-12-19 Alcatel Sa Dispositif de selection de type de canal de transport pour la diffusion de contenus vers des terminaux de communication
US8243927B2 (en) * 2006-10-20 2012-08-14 Panasonic Corporation Digital video receiver, ECM extract equipment, EMM extract equipment, scramble key extract equipment, CCI extract equipment, digital video receiving system, ECM extract method, EMM extract method, scramble key extract method, CCI extract method, digital video receiving method, and recording medium
KR100827811B1 (ko) 2006-10-31 2008-05-07 에스케이 텔레콤주식회사 디지털 방송 시스템, 디엠비 방송 시스템, 디지털 방송단말기 및 운용 방법
US20080115228A1 (en) * 2006-11-15 2008-05-15 Yahoo! Inc. Rights engine
EP1936991A3 (en) * 2006-12-12 2009-01-14 Samsung Electronics Co., Ltd. System for providing broadcasting content information and method for providing broadcasting service in the system
CN101232389B (zh) * 2007-01-22 2011-02-09 华为技术有限公司 一种提供组播业务的方法、设备及系统
KR100835560B1 (ko) 2007-01-29 2008-06-05 삼성전자주식회사 모바일 디지털 방송 시스템에서 멀티캐스트 패킷을전송하는 장치 및 방법
US8948394B2 (en) * 2007-02-28 2015-02-03 Google Technology Holdings LLC Method and apparatus for distribution and synchronization of cryptographic context information
US20080235763A1 (en) * 2007-03-20 2008-09-25 At&T Knowledge Ventures, Lp System and method of providing security for a multimedia timeline
US8745501B2 (en) * 2007-03-20 2014-06-03 At&T Knowledge Ventures, Lp System and method of displaying a multimedia timeline
US20080235590A1 (en) * 2007-03-20 2008-09-25 At&T Knowledge Ventures, Lp System and method of accessing a multimedia timeline
US8885832B2 (en) * 2007-03-30 2014-11-11 Ricoh Company, Ltd. Secure peer-to-peer distribution of an updatable keyring
KR101362852B1 (ko) 2007-04-20 2014-02-21 닛폰호소쿄카이 스크램블 키 관리장치, 스크램블 키 관리정보송신장치, 스크램블 키 출력관리방법, 스크램블 키 관리프로그램, 라이센스 정보관리장치, 라이센스 관리정보송신장치, 라이센스 정보출력관리방법 및 라이센스 정보관리프로그램
WO2008139670A1 (ja) * 2007-04-26 2008-11-20 Panasonic Corporation 権利情報暗号化モジュール、不揮発性記憶装置、権利情報記録システム、権利情報復号化モジュール、権利情報読出システム及び権利情報記録読出システム
US8127352B2 (en) * 2007-06-13 2012-02-28 Canon Kabushiki Kaisha Information processing system, information processing apparatus, information processing method, and recording medium
EP2192772B1 (en) * 2007-08-24 2015-08-12 Mitsubishi Electric Corporation Limited reception apparatus
KR100783811B1 (ko) 2007-08-28 2007-12-10 주식회사 파수닷컴 압축 파일에 대한 디지털 저작권 관리 방법
KR20090029634A (ko) * 2007-09-18 2009-03-23 한국전자통신연구원 콘텐츠 보호 제공방법과 보호된 콘텐츠 소비방법 및 그 장치
KR20090030945A (ko) 2007-09-21 2009-03-25 삼성전자주식회사 디지털비디오방송의 디지털저작권관리를 위한 시스템 및방법
EP2061212B1 (en) * 2007-11-13 2018-06-20 Cellular Communications Equipment Llc Method, apparatus and program product for merging communication sessions in an IMS
EP2289013B1 (en) * 2008-06-19 2018-09-19 Telefonaktiebolaget LM Ericsson (publ) A method and a device for protecting private content
WO2010143088A1 (en) * 2009-06-08 2010-12-16 Nds Limited Secure association of metadata with content
EP2280544A1 (en) * 2009-07-07 2011-02-02 Irdeto Access B.V. Secure transmition and recording of a content
EP2317767A1 (en) 2009-10-27 2011-05-04 Nagravision S.A. Method for accessing services by a user unit
EP2348725A1 (en) * 2010-01-26 2011-07-27 Irdeto Access B.V. Computational efficiently obtaining a control word in a receiver using transformations
CN102918864B (zh) * 2010-04-02 2015-09-30 三星电子株式会社 用于管理广播服务的加密密钥的方法和系统
US9641910B2 (en) * 2010-10-14 2017-05-02 Telefonaktiebolaget Lm Ericsson (Publ) Compression and decompression techniques for DRM license information delivery
US8687807B2 (en) 2011-01-26 2014-04-01 Nagrastar, L.L.C. Cascading dynamic crypto periods
US9516362B2 (en) * 2012-02-10 2016-12-06 Crestron Electronics Inc. Devices, systems and methods for reducing switching time in a video distribution network
US9646162B2 (en) * 2013-04-10 2017-05-09 Futurewei Technologies, Inc. Dynamic adaptive streaming over hypertext transfer protocol service protection
US11228427B2 (en) * 2014-02-11 2022-01-18 Ericsson Ab System and method for securing content keys delivered in manifest files
US10212585B2 (en) 2014-07-03 2019-02-19 Huawei Technologies Co., Ltd. System and method for wireless network access protection and security architecture
US9591350B2 (en) 2015-04-10 2017-03-07 Sony Corporation Sharing web application program guide content items over home networks
US20170149749A1 (en) * 2015-11-20 2017-05-25 Qualcomm Incorporated Exchanging encrypted media over a local wireless connection in accordance with a local wireless rendered media distribution scheme
US11681781B2 (en) * 2018-02-21 2023-06-20 Comcast Cable Communications, Llc Systems and methods for content security
US11922437B2 (en) * 2018-04-12 2024-03-05 Jpmorgan Chase Bank, N.A. System and method for implementing a market data hub

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08263438A (ja) * 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
US6853728B1 (en) * 2000-07-21 2005-02-08 The Directv Group, Inc. Video on demand pay per view services with unmodified conditional access functionality
AU2002359118A1 (en) * 2001-12-11 2003-07-09 Telefonaktiebolaget L M Ericsson (Publ) Method of rights management for streaming media
US7353402B2 (en) * 2002-06-28 2008-04-01 Microsoft Corporation Obtaining a signed rights label (SRL) for digital content and obtaining a digital license corresponding to the content based on the SRL in a digital rights management system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8625792B2 (en) 2008-01-16 2014-01-07 Qualcomm Incorporated Methods and apparatus to reduce channel switching time

Also Published As

Publication number Publication date
US20080065548A1 (en) 2008-03-13
WO2006027749A1 (en) 2006-03-16
BRPI0515038A (pt) 2008-07-01
EP1792436A1 (en) 2007-06-06
JP2008512924A (ja) 2008-04-24
CN101019370A (zh) 2007-08-15

Similar Documents

Publication Publication Date Title
KR20070074562A (ko) 조건적 액세스를 제공하는 방법
KR101611848B1 (ko) 콘텐츠 전송 및 전달 시에 콘텐츠 암호화 및 권한 관리의 시그널링 및 취급
EP1402679B1 (en) Security devices and processes for protecting and identifying messages
CN101061666B (zh) 在广播/多播服务中管理数字权利的方法
US10999631B2 (en) Managed content distribution systems and methods
US8364964B2 (en) Registering client devices with a registration server
CA2623089C (en) Method and apparatus for providing a digital rights management engine
EP3055805B1 (en) System and method for signaling and verifying url signatures for both url authentication and url-based content access authorization in adaptive streaming
US7568111B2 (en) System and method for using DRM to control conditional access to DVB content
US20060107285A1 (en) System and method for providing authorized access to digital content
MX2007003228A (es) Sistema y metodo para proveer acceso autorizado a contenido digital.
US20030018917A1 (en) Method and apparatus for delivering digital media using packetized encryption data
CN107294927A (zh) 基于网络终端的防盗链方法、装置和系统
CA2586172C (en) System and method for providing authorized access to digital content
KR20020090139A (ko) 수신기의 기능에 접근하기 위한 제어 명령의 전송 및실행을 위한 디바이스 및 프로세스
KR20090128863A (ko) 휴대 방송 시스템에서의 암호화 키 분배 방법 및 이를 위한시스템
EP2628120B1 (en) Compression and decompression technique for DRM license information delivery
WO2007055534A1 (en) Method for transmitting/receiving encryption information in a mobile broadcast system, and system therefor
Alliance Service and Content Protection for Mobile Broadcast Services
KR20130096575A (ko) 공개키 기반 그룹 키 분배 장치 및 방법
KR102190886B1 (ko) 조건부 액세스 시스템의 컨트롤 워드 보호

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid