KR20070097611A - An efficient key distribution method for digital contents distribution - Google Patents

An efficient key distribution method for digital contents distribution Download PDF

Info

Publication number
KR20070097611A
KR20070097611A KR1020060027714A KR20060027714A KR20070097611A KR 20070097611 A KR20070097611 A KR 20070097611A KR 1020060027714 A KR1020060027714 A KR 1020060027714A KR 20060027714 A KR20060027714 A KR 20060027714A KR 20070097611 A KR20070097611 A KR 20070097611A
Authority
KR
South Korea
Prior art keywords
key
terminal device
consumer terminal
message
authority issuer
Prior art date
Application number
KR1020060027714A
Other languages
Korean (ko)
Other versions
KR100811050B1 (en
Inventor
이상곤
이진흥
Original Assignee
이상곤
이진흥
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이상곤, 이진흥 filed Critical 이상곤
Priority to KR1020060027714A priority Critical patent/KR100811050B1/en
Publication of KR20070097611A publication Critical patent/KR20070097611A/en
Application granted granted Critical
Publication of KR100811050B1 publication Critical patent/KR100811050B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/105Arrangements for software license management or administration, e.g. for managing licenses at corporate level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/107License processing; Key processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • G06Q20/123Shopping for digital content
    • G06Q20/1235Shopping for digital content with control of digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0609Buyer or seller confidence or verification

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Finance (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Storage Device Security (AREA)

Abstract

A method for efficiently distributing keys for digital content distribution is provided to transfer an encryption right key, a domain key, and a message affirmation key by using a symmetrical key mode requiring less computation, and enable an RI(Right Issuer) device to safely transfer a master key used for key transmission by including the master key to a registration response message transferred to a customer terminal. A customer terminal sends a hello message including a terminal ID to the RI device. The RI device sends a hello message including an RI ID, and a random number and a session ID of the RI device in response to the hello message received from the customer terminal. The customer terminal sends a message and a signature for requesting registration to the RI device. The registration request of the customer terminal includes the session ID, and the random number, request time information, and the signature of the customer terminal. If the RI device confirms validity of a public key authentication of the customer terminal, the RI device transmits a registration response message including the master key encrypted by the public key of the customer terminal, the session ID, a URL(Uniform Resource Locator) of the RI device, and the signature for the registration request message.

Description

디지털 콘텐츠 유통을 위한 효과적인 키 분배방법{AN EFFICIENT KEY DISTRIBUTION METHOD FOR DIGITAL CONTENTS DISTRIBUTION}Effective Key Distribution Method for Digital Content Distribution {AN EFFICIENT KEY DISTRIBUTION METHOD FOR DIGITAL CONTENTS DISTRIBUTION}

도 1은 종래의 OMA DRM 규격 버전 2.0 시스템을 나타내는 디지털 콘텐츠 유통에 관한 키 분배방법. 1 is a key distribution method for digital content distribution showing a conventional OMA DRM standard version 2.0 system.

도 2는 패키징의 주요 프로세스.2 is the main process of packaging.

도 3은 상기와 같이 라이센스에 포함되는 중요 정보. 3 is important information included in a license as described above.

도 4는 종래의 4단계 등록 프로토콜. 4 is a conventional four-step registration protocol.

도 5는 2단계 라이센스(권한객체) 획득 프로토콜. 5 is a two-step license (authorization object) acquisition protocol.

도 6은 1단계 라이센스(권한객체) 획득 프로토콜.6 is a one-step license (authorization object) acquisition protocol.

도 7은 2단계 도메인 가입 프로토콜.7 is a two stage domain join protocol.

도 8은 도 5와 도 6의 라이센스 응답메시지에 포함되어 전송되는 권한키가 안전하게 암호화되어 권한발행자 장치로부터 소비자단말기 장치로 전달되는 과정을 나타내는 개념도. FIG. 8 is a conceptual diagram illustrating a process in which an authorization key included in a license response message of FIGS. 5 and 6 is securely encrypted and transferred from an authorization issuer device to a consumer terminal device.

도 9는 본 발명에 따른 암호화된 마스터키(MK : Master Key) 전송을 위하여 기존 ROAP의 4단계 등록 프로토콜의 등록 응답 메시지를 수정한 것을 나타내는 개념도.9 is a conceptual diagram illustrating a modification of a registration response message of a 4-step registration protocol of an existing ROAP for transmission of an encrypted master key (MK) according to the present invention.

도 10은 본 발명에 적용되는 라이센스 응답메시지에 포함되어 전송되는 마스 터키(MK)가 안전하게 암호화되어 권한발행자 장치로부터 소비자단말기 장치로 전달되는 과정을 나타내는 주요 개념도. FIG. 10 is a conceptual diagram illustrating a process in which a Mas Turkey (MK) transmitted by being included in a license response message applied to the present invention is securely encrypted and transferred from an authority issuer device to a consumer terminal device. FIG.

도 11은 본 발명에 따른 마스터키(MK)로 암호화된 권한키(REK : Rights Encryption Key) 및 메시지 확인키(MAK : Message Authentication Key)를 포함한 2단계 라이센스(권한객체) 획득 프로토콜. 11 is a two-step license (authorized object) acquisition protocol including a right key encryption key (REK) and a message authentication key (MAK) encrypted with a master key (MK) according to the present invention.

도 12는 본 발명에 따른 마스터키(MK)로 암호화된 권한키(REK) 및 메시지 확인키(MAK)를 포함한 1단계 라이센스(권한객체) 획득 프로토콜.12 is a one-step license (authorized object) acquisition protocol including an authorization key (REK) and a message confirmation key (MAK) encrypted with a master key (MK) according to the present invention.

도 13은 본 발명에 따른 마스터키(MK)로 암호화된 도메인키(DK : Domain Key) 및 메시지 확인키(MAK)를 포함한 2단계 도메인 가입 프로토콜.13 is a two-step domain join protocol including a domain key (DK) and a message verification key (MAK) encrypted with a master key (MK) according to the present invention.

도 14는 본 발명에 따른 권한발행자 장치에서 대칭키 인증서를 사용한 키 분배 메커니즘.14 is a key distribution mechanism using a symmetric key certificate in the authority issuer device according to the present invention.

도 15는 본 발명에 따른 소비자단말기 장치에서 마스터키(MK)를 사용하여 대칭키 인증서를 복호하여 중요 정보를 추출하는 과정을 나타내는 개념도.15 is a conceptual diagram illustrating a process of extracting sensitive information by decrypting a symmetric key certificate using a master key (MK) in a consumer terminal device according to the present invention.

도 16은 본 발명에 따른 소비자단말기 장치에 있어서, 대칭키 인증서에서 추출한 권한발행자 장치 식별자' 및 소비자단말기 장치 식별자'와 소비자 단말기에 저장되어 있는 권한발행자 장치 식별자 및 소비자단말기 장치 식별자를 비교하는 과정을 나타내는 개념도.FIG. 16 illustrates a process of comparing an issuer device identifier 'and a consumer terminal device identifier' extracted from a symmetric key certificate with an authority issuer device identifier and a consumer terminal device identifier stored in the consumer terminal in the consumer terminal device according to the present invention. Conceptual diagram representing.

본 발명은 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법에 관한 것으로, 더욱 상세하게는 기존의 키 전송 메커니즘을 대칭키 인증서를 이용한 키 전송 메커니즘으로 대체함으로써 프로토콜을 경량화시키는 키 분배방법에 관한 것이다.The present invention relates to an effective key distribution method for digital content distribution, and more particularly, to a key distribution method that reduces the protocol by replacing an existing key transmission mechanism with a key transmission mechanism using a symmetric key certificate.

일반적으로 DRM(Digital Rights Management : 디지털 저작권 관리)는 21세기 신(新)산업으로 각광받고 있는 콘텐츠 산업의 기반을 구축하는데 필수적인 디지털 콘텐츠 제공자의 권리와 이익을 안전하게 보호하며 불법복제를 막고 사용료 부과와 결제대행 등 콘텐츠의 생성에서 유통·관리까지의 인프라를 일괄적으로 구축하는 필수적인 기술이다. In general, Digital Rights Management (DRM) protects the rights and interests of digital content providers, which are essential to building the foundation of the content industry that is emerging as a new industry in the 21st century. It is an essential technology to collectively build the infrastructure from generation of contents to distribution and management such as payment agency.

초기의 네트워크 환경과는 달리 현재의 소비자는 데스크 탑 PC, 노트북, MP3 플레이어, PDA, 나아가 휴대폰 등 다양한 단말기에서 콘텐츠를 이용하기를 원한다. Unlike the initial network environment, current consumers want to use the contents in various terminals such as desktop PCs, laptops, MP3 players, PDAs, and mobile phones.

DRM은 네트워크에서의 다양한 콘텐츠를 제공자(CP: Contents Provider)로부터 고객(Client)에게로 안전하게 전달하고 이 고객이 불법적으로 콘텐츠를 유통하지 못하도록 하는 시스템 기술이다. DRM is a system technology that securely delivers various contents in a network from a content provider (CP) to a client and prevents the customer from illegally distributing the content.

DRM시스템에서 있어 가장 중요한 기술은 암호화 기술로서 고객의 비밀 번호 혹은 고객 컴퓨터의 고유번호를 암호키로 사용하여 콘텐츠를 암호화하여 전달하기 때문에 이를 복사하여 제3자에게 전달하여도 풀리지 않도록 하는 점이 가장 중요하다. 물론 DRM은 이외에도 콘텐츠 사용규칙 제어기술, 과금 결제를 위한 기술 등의 부대적인 기술들이 필요하다. The most important technology in the DRM system is encryption technology, which encrypts the content using the customer's password or the unique number of the customer's computer as the encryption key. . Of course, the DRM requires additional technologies such as content usage rule control technology and billing technology.

이 중에서 암·복호화 기술은 멀티미디어 콘텐츠의 유통에 있어서 불법유통이나 불법복제를 방지하기 위한 핵심 기술로서, 콘텐츠를 특정한 암호키를 이용하 여 암호화시킴으로써 적법한 사용자만이 복호화하여 콘텐츠를 사용할 수 있도록 하는 기술이다. 기존의 콘텐츠 전달 시스템은 사용자 ID와 비밀번호만을 사용하고 있는데 이런 경우 ID와 비밀번호를 공유함으로써 쉽게 콘텐츠를 불법으로 사용할 수 있다는 문제가 있다. 이것을 해결하기 위하여 (1) 고객 컴퓨터의 고유 ID를 변형하여 사용하는 방법 (2) 고객의 PKI키나 은닉된 개인 키를 사용하는 방법이 있다. Among them, encryption / decryption technology is a core technology for preventing illegal distribution or illegal copying in the distribution of multimedia contents, and encrypts the contents using a specific encryption key so that only legitimate users can decrypt and use the contents. . Existing content delivery system uses only user ID and password. In this case, there is a problem that it is easy to illegally use content by sharing ID and password. In order to solve this problem, there is a method of (1) using a unique ID of a customer's computer and (2) using a customer's PKI key or a secret private key.

고객 컴퓨터의 고유번호, 예를 들면 하드디스크(Hard Disk) 번호 라든가 혹은 CPU번호를 이용하여 콘텐츠를 암호화시키는 경우가 있지만 컴퓨터의 고유번호는 누구나 쉽게 접근할 수 있기 때문에 보안성이 떨어진다는 단점이 있다. 따라서 가장 일반적인 DRM 암호화 방법은 공개키/비밀키처럼 개인 비밀키를 컴퓨터에 내장하고 이를 사용하는 방식이다. 이처럼 고객의 고유키로 암호화할 경우 장점은 다운로드 받은 콘텐츠를 제3자에게 전달하여도 제3자의 컴퓨터에서는 작동이 불가능하다는 점이다. 이 점을 이용하여 DRM 시스템은 콘텐츠의 불법 복제와 유통을 방지할 수 있는 것이다. Content may be encrypted using a unique number of the customer's computer, for example, a hard disk number or a CPU number. However, the unique number of the computer has a disadvantage in that it is inferior in security because anyone can easily access it. . Therefore, the most common DRM encryption method is to embed a private secret key in the computer and use it like a public / secret key. The advantage of encrypting with the customer's unique key is that even if the downloaded content is delivered to a third party, it cannot be operated on the third party's computer. By using this, the DRM system can prevent illegal copying and distribution of content.

한편, 기존의 DRM 시스템에서는 중앙 서버에서 단말기의 고유한 ID를 이용하여 해당 단말기에서만 이용 가능하도록 DRM 패키징된 콘텐츠를 제공하고 그것을 이용하도록 한다. 이러한 절차는 소비자의 불편함을 초래하고, 동일 콘텐츠를 여러 단말기에서 이용하고자 할 때 각각 따로 전송받아야 하는 비효율성을 가지고 있다. On the other hand, in the existing DRM system using the unique ID of the terminal in the central server to provide the DRM packaged content to be available only to the terminal and to use it. This procedure is inconvenient for the consumer and has an inefficiency that must be transmitted separately when the same content is to be used in multiple terminals.

이와 같은, 종래의 기술을 설명하기에 앞서 이하에 서술될 내용의 이해를 돕기 위하여 암호화 알고리즘에 대해 간단히 설명한다.Prior to describing such a prior art, an encryption algorithm will be briefly described to help understand the contents described below.

암호화 알고리즘은 암복호화에 사용되는 키(key)의 특성에 따라 암호화 키와 복호화 키가 동일한 대칭키(Symmetric Key) 암호화 알고리즘과, 암복호화 키가 서로 다른 비대칭키(Asymmetric Key) 암호화 알고리즘으로 구분된다.The encryption algorithm is classified into a symmetric key encryption algorithm having the same encryption key and decryption key and an asymmetric key encryption algorithm having different encryption / decryption keys according to the characteristics of the key used for encryption and decryption. .

대칭키 암호화 알고리즘은 데이터 처리형식에 따라 스트림 암호화 알고리즘과 블록 암호화 알고리즘으로 나눌 수 있는데, 대칭키 암호화 방식은 암호화 속도가 빠른 반면에 키의 안전한 분배가 요구된다.Symmetric key encryption algorithm can be divided into stream encryption algorithm and block encryption algorithm according to data processing type. Symmetric key encryption method requires fast distribution while secure encryption of key.

공개키 알고리즘은 공개키(Public Key)와 비밀키(Private Key)라는 두 개의 키를 사용하는데, 공개키는 개방된 네트워크상에 공개하고 비밀키는 각자가 비밀히 보관한다. 따라서 공개키 방식을 사용할 경우에 평문을 암호화하여 전달하면, 상대방의 공개키로 평문을 암호화하여 전달하고, 상대방은 자신의 비밀키로 복호화하여 이를 해독한다.The public key algorithm uses two keys, a public key and a private key. The public key is open on an open network and the private key is kept private. Therefore, in case of using the public key method, if the plain text is encrypted and transmitted, the plain text is transmitted by encrypting the plain text with the public key of the other party, and the other party decrypts it with its own secret key.

이러한 공개키 기반(PKI)에서는 송신자가 자신의 아이디 등을 비밀키로 암호화하여 수신자에게 보낼 경우에 수신자는 송신자가 공개한 키로 서명을 해독하여 서명이 수신자로부터 전달된 것임을 확인할 수가 있다. 이를 디지털 서명(Digital Signature) 혹은 전자서명이라 하며 송신자의 신원 및 메시지 무결성(Integrity)을 확인(Authentication)하는데 사용될 수 있다.In such a public key infrastructure (PKI), when a sender encrypts his or her ID with a private key and sends it to the receiver, the receiver can verify that the signature has been transmitted from the receiver by decrypting the signature with the public key of the sender. This is called digital signature or digital signature and can be used to verify sender's identity and message integrity.

한편, 최근 개방이동동맹(OMA:Open Mobile AllianceTM) 디지털 저작권 관리 규격 2.0 버전(OMA DRM Spec.v2 : 0pen Mobile AllianceTM, DRM Specification, candidate Version 2.0)에서는 도메인(Domain) 개념을 도입하였다. 임의의 도메인 에 등록된 단말기 간에는 자유롭게 콘텐츠를 이동하면서 사용 가능하도록 하였다. Recently, the Open Mobile Alliance TM (OMA DRM Spec. V2: 0pen Mobile Alliance TM , DRM Specification, candidate Version 2.0) introduced the concept of domain. It is possible to freely move content between terminals registered in an arbitrary domain.

예를 들어, 소비자가 휴대폰으로 MP3 음악과 이것의 라이센스를 구입하였고, PDA와 노트북 컴퓨터를 소비자 도메인에 등록하면 라이센스를 획득한 MP3 음악은 이들 두 개의 소비자단말기 장치에서도 플레이가 가능하게 되는 것이다.For example, if a consumer purchases MP3 music and its license on a mobile phone and registers PDAs and notebook computers in the consumer domain, the licensed MP3 music can be played on these two consumer terminal devices.

도 1은 종래의 OMA DRM 규격 버전 2.0 시스템이고, 도 2는 패키징의 주요 프로세스를 나타낸 것이다.1 is a conventional OMA DRM specification version 2.0 system, and FIG. 2 shows the main process of packaging.

도 1 및 도 2를 참조하면, OMA DRM 규격 버전 2.0 시스템에서 콘텐츠 발행자(CI: Content Issuer)(10)는 콘텐츠를 암호화하여 패키징한다(S1). 1 and 2, in the OMA DRM standard version 2.0 system, the content issuer (CI) 10 encrypts and packages the content (S1).

즉, 콘텐츠를 콘텐츠키로 대칭키 암호화한다. 이때 암호화에 사용되는 키를 콘텐츠키(CEK: Contents Encryption Key)라 한다. That is, the content is symmetrically encrypted with the content key. The key used for encryption is called a Contents Encryption Key (CEK).

콘텐츠 발행자(10)는 콘텐츠키와 패키징된 콘텐츠를 등록한다(S2).The content issuer 10 registers the content key and the packaged content (S2).

소비자는 자신의 단말기 장치(30)를 권한발행자 장치(20)에 등록을 요청하고, 권한발행자 장치(20)는 소비자단말기 장치(30)를 확인한 후 등록을 허가한다(S3).The consumer requests registration of his terminal device 30 to the authority issuer device 20, and the authority issuer device 20 confirms the consumer terminal device 30 and then permits registration (S3).

패키징된 콘텐츠는 플레이될 소비자단말기 장치(30)에 자유롭게 배포된다(a)(b)(c). The packaged content is freely distributed to the consumer terminal device 30 to be played (a) (b) (c).

콘텐츠를 이용할 소비자단말기 장치(30)가 권한발행자(RI: Rights Issuer) 장치(20)로부터 콘텐츠에 관련된 허가사항이나 제한사항(예를 들어, 유효기간, 잔여재생횟수 등) 그리고 콘텐츠키(CEK) 등이 포함된 라이센스(OMA DRM Spec v2.0에서는 "권한객체(RO: Rights Object)"라 부른다)를 구매하면, 권한발행자 장치(20) 는 라이센스를 발행한다(S4-1,S4-2,S4-3). The consumer terminal device 30 that will use the content has the permission or restriction (eg, expiration date, remaining play count, etc.) related to the content from the rights issuer (RI) device 20 and the content key (CEK). When the license including the license (OMA DRM Spec v2.0 is called "rights object (RO)") is purchased, the authority issuer device 20 issues a license (S4-1, S4-2, S4-3).

또한, 사용자 장치(30)는 도메인을 등록할 수도 있다(S5-1,S5-2,S5-3).In addition, the user device 30 may register a domain (S5-1, S5-2, S5-3).

이때 라이센스 내에는 라이센스 식별자, 라이센스 권한, 디지털 서명, 유효기간, 포장된 콘텐츠키(암호화된 콘텐츠키), ROAP 버전, 소비자단말기 장치 ID, 도메인 라이센스 여부, 라이센스 발행자 URL 등의 중요정보가 포함된다.At this time, the license includes important information such as license identifier, license authority, digital signature, expiration date, packed content key (encrypted content key), ROAP version, consumer terminal device ID, domain license status, license issuer URL, and the like.

도 3은 상기와 같이 라이센스에 포함되는 중요 정보를 나타내고 있다. 특히, 라이센스 내에 포함되는 민감한 정보인 콘텐츠키(CEK), CEK 암호화에 적용되는 권한키(REK), 그리고 메시지 확인키(MAK) 등은 암호화되어 안전하게 전송되어야 한다.3 shows important information included in the license as described above. In particular, the content information (CEK), the authorization key (REK) applied to CEK encryption, and the message confirmation key (MAK), which are sensitive information included in the license, must be encrypted and transmitted securely.

소비자단말기 장치(30)는 출하단계에서 권한발행자 장치(RI)(20)가 인증한 DRM 대리자(Agent) 프로그램이 구현되어 있다. 이 DRM 대리자는 콘텐츠와 관련하여 허용사항과 규제사항을 시행하고 콘텐츠에의 접근을 제어하는 등의 책임이 있다. DRM 대리자는 라이센스를 확인하고 콘텐츠키를 복호하고, 이를 이용하여 콘텐츠를 복호한 후, 소비자단말기 장치(30)에서 플레이한다. 콘텐츠는 연관된 라이센스 없이는 단말기에서 플레이 될 수 없다. The consumer terminal device 30 implements a DRM agent program certified by the authority issuer (RI) 20 at the shipping stage. This DRM agent is responsible for enforcing permissions and regulations with respect to the content and controlling access to the content. The DRM agent checks the license, decrypts the content key, decrypts the content using the same, and then plays it on the consumer terminal device 30. The content cannot be played on the terminal without an associated license.

이와 같이 OMA DRM에서는 DRM 콘텐츠를 라이센스와 논리적으로 분리시키고, 라이센스를 소비자단말기 장치(30)와 암호학적으로 결합시킴으로써 콘텐츠는 자유로이 유통될 수 있다. As described above, in the OMA DRM, the DRM content is logically separated from the license, and the license can be freely distributed by cryptographically combining the license with the consumer terminal device 30.

소비자는 자신이 소유한 다수 개의 장치를 도메인에 등록할 수 있다. 그리고 도메인 라이센스를 획득한 콘텐츠는 동일한 도메인에 등록된 모든 소비자단말기 장 치(30)에서 플레이 될 수 있다.The consumer can register multiple devices that he owns in the domain. The content that has obtained the domain license may be played on all the consumer terminal devices 30 registered in the same domain.

OMA DRM 규격 버전 2.0에서 권한객체 획득 프로토콜(ROAP: Rights Object Acquisition Protocol) 슈트가 규정되어 있다. 권한객체 획득 프로토콜은 소비자단말기 장치(30)에 설치된 DRM 대리자 프로그램과 권한발행자(RI) 장치(20) 간의 프로토콜이다. The OMA DRM specification version 2.0 defines a Rights Object Acquisition Protocol (ROAP) suite. The authority object acquisition protocol is a protocol between the DRM agent program installed in the consumer terminal device 30 and the authority issuer (RI) device 20.

종래의 ROAP 프로토콜에는 4단계 등록 프로토콜, 2단계 라이센스(권한객체) 획득 프로토콜, 1단계 라이센스(권한객체) 획득 프로토콜, 2단계 도메인 가입 프로토콜, 그리고 2단계 도메인 탈퇴 프로토콜 등으로 되어 있다. The conventional ROAP protocol includes a four-stage registration protocol, a two-stage license (authorized object) acquisition protocol, a one-stage license (authorized object) acquisition protocol, a two-stage domain join protocol, and a two-stage domain leave protocol.

도 4는 종래의 4단계 등록 프로토콜, 도 5는 2단계 라이센스(권한객체) 획득 프로토콜, 도 6은 1단계 라이센스(권한객체) 획득 프로토콜, 도 7은 2단계 도메인 가입 프로토콜을 각각 나타낸다.Figure 4 shows a conventional four-step registration protocol, Figure 5 shows a two-step license (authorized object) acquisition protocol, Figure 6 shows a one-step license (authorized object) acquisition protocol, and Figure 7 shows a two-step domain join protocol.

도 5와 도 6의 라이센스 응답메시지에는 콘텐츠키(CEK)와 권한키(REK) 및 메시지 확인키(MAK)가 암호화된 후 포함되어 소비자단말기 장치(30)에 전달된다. In the license response message of FIGS. 5 and 6, the content key CEK, the authorization key REK, and the message confirmation key MAK are encrypted and then transmitted to the consumer terminal device 30.

그리고, 도 7의 도메인 가입 응답메시지에는 도메인키(DK)와 메시지 확인키(MAK)가 포함되어 전송된다. 이때 도메인키는 대칭키 암호화 방식의 암호키이다. 만일 도 5와 도 6에서 라이센스가 도메인용이면 암호화 권한키(REK)와 메시지 확인키(MAK)는 해당 도메인키(DK)로 암호화되어 소비자단말기 장치(30)로 전송된다.In addition, the domain join response message of FIG. 7 includes a domain key DK and a message confirmation key MAK. At this time, the domain key is an encryption key of the symmetric key encryption method. 5 and 6, if the license is for a domain, the encryption authorization key REK and the message confirmation key MAK are encrypted with the corresponding domain key DK and transmitted to the consumer terminal device 30.

도 8은 도 5와 도 6의 라이센스 응답메시지에 포함되어 전송되는 암호화 권한키(REK)가 안전하게 암호화되어 권한발행자(RI) 장치(20)로부터 소비자단말기 장치(30)로 전달되는 과정을 나타낸다. 8 illustrates a process in which an encryption authority key (REK) included in the license response message of FIGS. 5 and 6 is securely encrypted and transferred from the authority issuer (RI) device 20 to the consumer terminal device 30.

즉, 권한발행자 장치(20)는 소비자단말기 장치(30)의 공개키를 이용하여 권한키(REK), 메시지 확인키(MAK) 혹은 도메인키(DK), 메시지 확인키(MAK)를 암호화하여 소비자단말기 장치(30)에 전달한다. 소비자단말기 장치(30)는 자신의 비밀키를 이용하여 전송되어 온 키들을 복호한다. 소비자단말기 장치(30)는 암호화 권한키(REK)를 이용하여 콘텐츠키(CEK)를 복호하고, 이것을 이용하여 콘텐츠를 복호하여 플레이 할 수 있다. 메시지 확인키(MAK)는 수신된 프로토콜 메시지 검증에 사용된다.That is, the authorization issuer device 20 encrypts the authorization key (REK), message confirmation key (MAK) or domain key (DK), and message confirmation key (MAK) using the public key of the consumer terminal device 30. Transfer to the terminal device 30. The consumer terminal device 30 decrypts the keys that have been transmitted using its private key. The consumer terminal device 30 can decrypt the content key CEK using the encryption authority key REK, and can decrypt and play the content using this. The message acknowledgment key (MAK) is used to verify received protocol messages.

위에서 보는 바와 같이 종래의 OMA DRM 규격 버전 2.0에서는 계산량이 많은 공개키 방식(PKI: Public Key Infrastructure)을 사용하여 암호화 권한키(REK), 도메인키(DK), 그리고 메시지 확인키(MAK)를 전달받는다. 이러한 방식은 계산능력이 낮은 이동 단말기에서 배터리 사용증가와 긴 처리시간을 요구하는 문제점이 있다.As shown above, in the OMA DRM specification version 2.0, a cryptographic authorization key (REK), a domain key (DK), and a message verification key (MAK) are delivered by using a large computational public key infrastructure (PKI). Receive. This method has a problem of increasing battery usage and long processing time in a mobile terminal having low computational power.

따라서, 본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 계산량이 적은 대칭키 방식을 사용하여 암호화 권한키(REK), 도메인키(DK), 그리고 메시지 확인키(MAK)를 전달하는 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법을 제공하는 것을 목적으로 한다.Accordingly, the present invention has been made to solve the above problems, and uses a symmetric key method with a small amount of computation to transmit an encryption authority key (REK), a domain key (DK), and a message confirmation key (MAK). An object of the present invention is to provide an effective key distribution method for content distribution.

또한, 본 발명의 다른 목적은 키 전송에 사용될 마스터키(대칭키)를 권한발행자 장치가 소비자단말기 장치에 보내는 권한객체 획득 프로토콜(ROAP)의 4 단계 등록 프로토콜의 등록응답 메시지에 포함시켜 안전하게 전달하는 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법을 제공하는 것을 다른 목적으로 한다. In addition, another object of the present invention is to securely deliver the master key (symmetric key) to be used for key transmission in the registration response message of the 4-step registration protocol of the authority object acquisition protocol (ROAP) that the authority issuer device sends to the consumer terminal device. Another object is to provide an effective key distribution method for digital content distribution.

또한, 본 발명의 또 다른 목적은 마스터키(MK)가 갱신되기 전까지는 유지되는데, 소비자단말기 장치가 분실되어 키 노출의 위험이 있을 경우에는 폐기되고, 유효기간이 지나면 갱신되는 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법을 제공하는 것을 또 다른 목적으로 한다. In addition, another object of the present invention is maintained until the master key (MK) is renewed, the consumer terminal device is lost if there is a risk of key exposure, discarded, and expired for digital content distribution It is another object to provide an effective key distribution method.

상기한 목적을 달성하기 위하여 본 발명의 바람직한 일 실시예에 따른 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법은, 디지털 콘텐츠 유통을 위한 키 분배방법에 있어서, 소비자단말기 장치가 단말기장치의 식별자를 포함하는 헬로우(Hello) 메시지를 권한발행자 장치에 전송하는 단계(S100)와; 권한발행자 장치는 상기 소비자단말기 장치로부터의 헬로우(Hello) 메시지에 대한 응답으로 권한발행자 식별자와, 권한발행자 장치의 난수 및 세션 식별자를 포함하는 권한발행자 장치의 헬로우(Hello) 메시지를 전송하는 단계(S200)와; 상기 소비자단말기 장치가 권한발행자 장치에게 등록요청에 관한 메시지를 송신하는 단계로서, 상기 소비자단말기 장치의 등록요청은 세션 식별자와, 소비자단말기 장치의 난수와, 요청시간 정보 및 서명을 포함하는 등록요청 메시지를 전송하는 단계(S300); 및 상기 권한발행자 장치는 등록과정에서 소비자단말기 장치의 공개키 인증서가 유효함이 확인되면 소비자단말기 장치의 공개키로 암호화된 마스터키(MK)와, 세션 식별자, 권한발행자 장치의 웹주소(URL), 그리고 이들 메시지와 등록요청 메시지에 관한 서명을 포함하는 등록응답 메시지를 전송하는 단계(S400);를 포함하여 이루어지는 것을 특징으로 한다.In order to achieve the above object, an effective key distribution method for digital content distribution in accordance with a preferred embodiment of the present invention is a key distribution method for digital content distribution, in which a consumer terminal device includes an identifier of a terminal device. Transmitting a Hello message to the authority issuer device at step S100; The authority issuer device transmits a hello message of the authority issuer device including the authority issuer identifier, a random number of the authority issuer device, and a session identifier in response to the hello message from the consumer terminal device (S200). )Wow; Wherein the consumer terminal device transmits a message relating to a registration request to the authority issuer device, wherein the registration request of the consumer terminal device comprises a registration request message including a session identifier, a random number of the consumer terminal device, request time information, and a signature; Transmitting (S300); And when the authority issuer device is verified that the public key certificate of the consumer terminal device is valid during registration, a master key (MK) encrypted with the public key of the consumer terminal device, a session identifier, a web address (URL) of the authority issuer device, And transmitting a registration response message including a signature regarding these messages and a registration request message (S400).

그리고, 바람직하게 상기 단계(S300)의 서명은, 세션 식별자와, 소비자단말기 장치의 난수와, 요청시간 정보와; 소비자단말기 장치의 헬로우(Hello) 메시지와, 권한발행자 장치의 헬로우(Hello) 메시지;를 포함하는 것이 바람직하다.Preferably, the signature of the step (S300), the session identifier, the random number of the consumer terminal device, the request time information; And a Hello message of the consumer terminal device and a Hello message of the authority issuer device.

그리고, 본 발명의 바람직한 다른 실시예에 따른 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법은, 소비자단말기 장치의 라이센스 요구에 관한 응답으로 권한발행자 장치가 권한키(REK) 및 메시지 확인키(MAK)를 마스터키(MK)로 암호화하여 전송하는 단계(S500);를 더 포함하는 것을 특징으로 한다.In addition, according to another exemplary embodiment of the present invention, in an effective key distribution method for digital content distribution, an issuer device masters an authorization key (REK) and a message confirmation key (MAK) in response to a license request of a consumer terminal device. And encrypting and transmitting with a key (MK) (S500).

그리고, 본 발명의 바람직한 또 다른 실시예에 따른 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법은, 소비자단말기 장치의 도메인가입 요구에 관한 응답으로 권한발행자 장치가 도메인키(DK) 및 메시지 확인키(MAK)를 마스터키(MK)로 암호화하여 전송하는 단계(S600);를 더 포함하는 것을 특징으로 한다.In addition, in an effective key distribution method for digital content distribution according to another preferred embodiment of the present invention, in response to a request for a domain subscription of a consumer terminal device, the authority issuer device receives a domain key (DK) and a message confirmation key (MAK). And encrypting and transmitting the master key (MK) (S600).

한편, 본 발명의 바람직한 다른 실시예에 따른 디지털 콘텐츠 유통을 위한 키 분배방법은, 소비자단말기 장치가 단말기장치의 식별자를 포함하는 헬로우(Hello) 메시지를 권한발행자 장치에 전송하는 단계(S100)와; 권한발행자 장치가 상기 소비자단말기 장치로부터의 헬로우(Hello) 메시지에 대한 응답으로 권한발행자 식별자와, 권한발행자 장치의 난수 및 세션 식별자를 포함하는 권한발행자 장치의 헬로우(Hello) 메시지를 전송하는 단계(S200)와; 상기 소비자단말기 장치가 권한발행자 장치에게 등록요청에 관한 메시지 및 서명을 송신하는 단계로서, 상기 소비자단말기 장치의 등록요청은 세션 식별자와, 소비자단말기 장치의 난수와, 요청시간 정보 및 서명을 포함하는 등록요청 메시지를 전송하는 단계(S300)와; 상기 권 한발행자 장치가 등록과정에서 소비자단말기 장치의 공개키 인증서가 유효함이 확인되면 소비자단말기 장치의 공개키로 암호화된 마스터키(MK)와, 세션 식별자, 권한발행자 장치의 웹주소(URL) 및 상기 등록요청 메시지에 관한 서명을 포함하는 등록응답 메시지를 전송하는 단계(S400)와; 소비자단말기 장치의 라이센스 요구에 관한 응답으로 권한발행자 장치가 권한키(REK) 및 메시지 확인키(MAK)를 마스터키(MK)로 암호화하여 전송하는 단계(S500); 및 소비자단말기 장치의 도메인가입 요구에 관한 응답으로 권한발행자 장치가 도메인키(DK) 및 메시지 확인키(MAK)를 마스터키(MK)로 암호화하여 전송하는 단계(S600);를 포함하는 것을 특징으로 한다.On the other hand, the key distribution method for distributing digital content according to another embodiment of the present invention, the consumer terminal device transmits a Hello message including the identifier of the terminal device to the authority issuer device (S100); Transmitting, by the authority issuer device, a hello message of the authority issuer device including the authority issuer identifier, a random number of the authority issuer device, and a session identifier in response to the hello message from the consumer terminal device (S200). )Wow; Wherein the consumer terminal device transmits a message and a signature relating to a registration request to the authority issuer device, wherein the registration request of the consumer terminal device includes a registration including a session identifier, a random number of the consumer terminal device, request time information, and a signature; Transmitting a request message (S300); If the authority issuer device confirms that the public key certificate of the consumer terminal device is valid during registration, the master key (MK) encrypted with the public key of the consumer terminal device, a session identifier, a web address (URL) of the authority issuer device, and Transmitting a registration response message including a signature relating to the registration request message (S400); In step S500, in response to the license request of the consumer terminal device, the authority issuer device encrypting the authorization key REK and the message confirmation key MAK with the master key MK; And encrypting and transmitting, by the authority issuer device, the domain key (DK) and the message confirmation key (MAK) with the master key (MK) in response to the domain join request of the consumer terminal device (S600). do.

이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 설명한다.Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings.

본 발명에 따른 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법은 도 9 내지 도 16과 같이 대칭키 암호화 알고리즘 구조를 기반으로 한다.An effective key distribution method for digital content distribution according to the present invention is based on a symmetric key encryption algorithm structure as shown in FIGS. 9 to 16.

종래와 같이, 콘텐츠 발행자(CI: Content Issuer)(10)는 콘텐츠를 암호화하여 패키징한다. 즉, 콘텐츠를 대칭키 암호화한다. 이때 암호화에 사용되는 키를 콘텐츠키(CEK)라 한다. As is conventional, the content issuer (CI) 10 encrypts and packages the content. In other words, the content is symmetrically encrypted. The key used for encryption is called a content key (CEK).

또한, 패키징된 콘텐츠는 플레이될 소비자단말기 장치(30)에 자유롭게 배포된다. The packaged content is also freely distributed to the consumer terminal device 30 to be played.

콘텐츠 발행자(10)는 상기 콘텐츠키(CEK)를 권한발행자 장치(20)에 등록한다.The content issuer 10 registers the content key CEK with the authority issuer device 20.

도 9는 본 발명에 따른 암호화된 마스터키(MK)의 전송을 위하여 기존 ROAP의 4단계 등록 프로토콜의 등록응답 메시지를 수정한 것을 나타내는 개념도로서, 종래 도 1의 단계(S-3)에서 수정된 내용을 상세하게 기술한 것이다.9 is a conceptual diagram illustrating a modification of a registration response message of a four-step registration protocol of an existing ROAP for transmission of an encrypted master key (MK) according to the present invention, which is modified in step S-3 of FIG. The contents are described in detail.

먼저, 상기 소비자단말기 장치(30)는 단말기장치의 식별자를 포함하는 헬로우(Hello) 메시지를 권한발행자 장치(20)에 전송한다(S100).First, the consumer terminal device 30 transmits a Hello message including the identifier of the terminal device to the authority issuer device 20 (S100).

상기 권한발행자 장치(20)는 상기 소비자단말기 장치(30)로부터의 헬로우(Hello) 메시지에 대한 응답으로 권한발행자 식별자와, 권한발행자 장치(20)의 난수 및 세션 식별자를 포함하는 권한발행자 장치(20)의 헬로우(Hello) 메시지를 전송한다(S200).The authority issuer device 20 may include an authority issuer identifier, a random number of the authority issuer device 20, and a session identifier in response to a Hello message from the consumer terminal device 30. Transmits a hello message (S200).

이어서, 상기 소비자단말기 장치(30)가 권한발행자 장치(20)에게 등록요청에 관한 메시지를 송신한다(S300). 즉, 상기 소비자단말기 장치(30)의 등록요청은 세션 식별자와, 소비자단말기 장치(30)의 난수와, 요청시간 정보 및 서명을 포함하는 등록요청 메시지를 전송한다.Subsequently, the consumer terminal device 30 transmits a message relating to a registration request to the authority issuer device 20 (S300). That is, the registration request of the consumer terminal device 30 transmits a registration request message including a session identifier, a random number of the consumer terminal device 30, request time information, and a signature.

여기서 상기 서명은, [세션 식별자와, 소비자단말기 장치(30)의 난수와, 요청시간 정보]와 [소비자단말기 장치(30)의 헬로우(Hello) 메시지와 권한발행자 장치(20)의 헬로우(Hello) 메시지]를 포함한다.Here, the signature includes [session identifier, random number of the consumer terminal device 30, request time information], [hello message of the consumer terminal device 30 and hello of the authority issuer device 20]. Message].

그리고, 도 10은 본 발명에 적용되는 등록응답 메시지에 포함되어 전송되는 마스터키(MK)가 안전하게 암호화되어 권한발행자 장치(20)로부터 소비자단말기 장치(30)로 전달되는 과정을 나타내는 주요 개념도이다.10 is a main conceptual diagram illustrating a process in which the master key (MK) included in the registration response message applied to the present invention is securely encrypted and transferred from the authority issuer device 20 to the consumer terminal device 30.

도 10에 도시된 바와 같이, 상기 권한발행자 장치(20)는 등록과정에서 소비자단말기 장치(30)의 공개키 인증서가 유효함이 확인되면 소비자단말기 장치(30)의 공개키로 암호화된 마스터키(MK)와, 세션 식별자, 권한발행자 장치(20)의 웹주소(URL), 그리고 이들 메시지와 등록요청 메시지에 관한 서명을 포함하는 등록응답 메시지를 전송한다(S400).As shown in FIG. 10, if the authority issuer device 20 confirms that the public key certificate of the consumer terminal device 30 is valid during the registration process, the master key (MK) encrypted with the public key of the consumer device device 30. And a registration response message including a session identifier, a web address (URL) of the authority issuer device 20, and a signature for these messages and a registration request message (S400).

그러면, 소비자단말기 장치(30)는 자신의 비밀키로 전송받은 마스터키(MK)를 복호화하여 비밀 저장수단에 보관한다.Then, the consumer terminal device 30 decrypts the master key (MK) received by its secret key and stores it in the secret storage means.

따라서, 권한발행자 장치(20)와 소비자단말기 장치(30) 간에는 대칭키 방식을 사용한 키 분배를 위한 준비가 완료된다. Therefore, preparation for key distribution using the symmetric key method is completed between the authority issuer device 20 and the consumer terminal device 30.

다음으로, 도 11에 도시된 바와 같이, 상기 소비자단말기 장치(30)는 암호화된 콘텐츠 항목에의 라이센스(권한객체)에 대한 요청을 권한발행자 장치(20)로 전송한다. Next, as shown in FIG. 11, the consumer terminal device 30 transmits a request for a license (authorized object) to an encrypted content item to the authority issuer device 20.

이에 상기 권한발행자 장치(20)는 소비자단말기 장치(30)의 라이센스 요구, 즉 권한객체(RO) 요청에 대하여 도 11에 도시된 바와 같이 1회, 또는 도 12에 도시된 바와 같이 일정 주기로 권한키(REK)로 암호화된 콘텐츠키(CEK)와, 마스터키(MK)로 암호화된 권한키(REK) 및 메시지 확인키(MAK)를 포함한 라이센스(권한객체) 응답 메시지를 전송한다(S500).Accordingly, the authority issuer device 20 receives the license key of the consumer terminal device 30, that is, the authorization object RO request once as shown in FIG. 11 or at regular intervals as shown in FIG. A license (authorized object) response message including a content key (CEK) encrypted with (REK), an authorization key (REK) encrypted with a master key (MK), and a message confirmation key (MAK) is transmitted (S500).

여기서, 메시지 확인키(MAK)는 수신된 프로토콜 메시지 검증에 사용된다.Here, the message acknowledgment key (MAK) is used to verify the received protocol message.

또한, 상기 소비자단말기 장치(30)는, 도 13에 도시된 바와 같이 도메인가입 요구 메시지를 권한발행자 장치(20)에 전송할 수 있다.In addition, the consumer terminal device 30 may transmit a domain join request message to the authority issuer device 20 as illustrated in FIG. 13.

이에 대하여, 상기 권한발행자 장치(20)는 소비자단말기 장치(30)의 마스터키(MK)를 이용하여 암호화된 도메인키(DK) 및 메시지 확인키(MAK)를 포함하는 도메 인가입 응답 메시지를 소비자단말기 장치(30)에 전송한다. In contrast, the authority issuer device 20 receives a domain subscription response message including a domain key (DK) and a message confirmation key (MAK) encrypted using the master key (MK) of the consumer terminal device (30). Transfer to the terminal device 30.

도 14는 상기 권한발행자 장치(20)가 권한키(REK) 또는 도메인키(DK)를 안전하게 전송하기 위하여 마스터키(MK)로 대칭키 인증서를 생성하여 소비자단말기 장치(30)로 송신하는 것을 나타내는 구성도이다. FIG. 14 shows that the authority issuer device 20 generates a symmetric key certificate with a master key MK and transmits the authority key REK or domain key DK to the consumer terminal device 30. It is a block diagram.

즉, 도 14에 도시된 바와 같이, 상기 권한발행자 장치(20)는 권한키(REK) 혹은 도메인키(DK) 그리고 권한발행자 장치 식별자와 소비자단말기 장치 식별자를 마스터키(MK)로 암호화하여 대칭키 인증서를 생성한다.That is, as shown in FIG. 14, the authority issuer device 20 encrypts the authority key (REK) or domain key (DK) and the authority issuer device identifier and the consumer terminal device identifier with a master key (MK) to form a symmetric key. Create a certificate.

이와 같이, 대칭키 인증서는 공개키 인증서와 같이 인증과 책임성(Accountability)을 제공하면서 고속 비밀키 암호를 실현하는 기술이다. As such, a symmetric key certificate is a technique for realizing a fast secret key cryptography while providing authentication and accountability like a public key certificate.

이하에서는 본 발명에 따른 대칭키 인증서를 생성하는 방법을 자세히 설명하기로 한다.Hereinafter, a method of generating a symmetric key certificate according to the present invention will be described in detail.

상기 대칭키 인증서는 공개키 인증서와 같이 암호학적으로 키(Key)와 키 소유자를 결합한다. The symmetric key certificate cryptographically combines a key and a key owner like a public key certificate.

특히, 대칭키 인증서(c i )는 한 개체의 데이터 암호키(k)와 그것의 식별자(i)를 결합하기 위하여 비밀 마스터키(MK: Master Key)로 이 두 개의 값을 암호화한다. In particular, the symmetric key certificate c i encrypts these two values with a secret master key (MK) to combine an entity's data encryption key k and its identifier i .

즉, 대칭키 인증서는 c i = E MK (k∥i) 와 같이 표기할 수 있다. That is, a symmetric key certificate can be written as c i = E MK (k∥i) .

여기서, '∥'는 좌우의 자료를 연접(Concatenate)하는 연산기호이다. 'E MK ()'는 대칭키인 마스터키(MK)를 적용한 암호화를 표시한다.Here, '∥' is an operation symbol that concatenates the left and right data. ' E MK ()' indicates the encryption using the symmetric key master key (MK).

대칭키 인증서는 자신이 만들어서 다른 개체와 교환하거나 인증서 발행기관(CA: Certificate Authority)와 비슷하게 신뢰된 제3자에 의하여 생성되고 분배될 수 있다. 데이터 암호키의 대칭키 인증서는 이것의 소유자에 대한 확신과 함께 데이터 발신자의 인증 및 데이터 신뢰성을 위하여 사용될 수 있다. Symmetric key certificates can be created and distributed by third parties that they create and exchange with other entities, or by trusted third parties, similar to a Certificate Authority (CA). The symmetric key certificate of the data encryption key can be used for authentication and data authenticity of the data sender with confidence in its owner.

이와 같은 대칭키 인증서를 사용한 암호키 분배 메커니즘을 적용하기 위해서는 권한발행자 장치(20)와 소비자단말기 장치(30) 간에 미리 마스터키(MK)가 공유되어 있어야 한다. 즉, 도 10을 참조하여 상술한 바와 같이, 권한발행자 장치(20)로부터 소비자단말기 장치(30)로 등록응답 메시지에 포함되어 전송되는 마스터키(MK)가 안전하게 암호화되어 전달되는 과정은 이미 설명하였다.In order to apply the encryption key distribution mechanism using the symmetric key certificate, the master key (MK) must be shared in advance between the authority issuer device 20 and the consumer terminal device 30. That is, as described above with reference to FIG. 10, the process in which the master key MK, which is included in the registration response message transmitted from the authority issuer device 20 to the consumer terminal device 30, is transmitted in a secure manner has been described. .

도 15를 참조하면, 사용자단말기 장치(30)는 상기 권한발행자 장치(20)로부터 전달받은 대칭키 인증서를 마스터키(MK)로 복호하여 권한키(REK) 또는 도메인키(DK)를 수신한다.Referring to FIG. 15, the user terminal device 30 decrypts a symmetric key certificate received from the authority issuer device 20 with a master key MK to receive an authorization key REK or a domain key DK.

이 후 도 16에 도시된 바와 같이, 상기 소비자단말기 장치(30)는, 자신이 보관하고 있는 [권한발행자 장치 식별자] 및 [소비자단말기 장치 식별자]가 대칭키 인증서에서 추출한 [권한발행자 장치 식별자]' 및 [소비자단말기 장치 식별자]'와 동일한 지를 비교한다. 만약 이들 쌍이 각각 동일하면 전송받은 키들은 권한발행자 장치(20)가 보낸 것임을 소비자단말기 장치(30)는 확신한다.Thereafter, as shown in FIG. 16, the consumer terminal device 30 is the [authority issuer device identifier] extracted from the symmetric key certificate by the [authority issuer device identifier] and the [consumer terminal device identifier]. And [consumer terminal device identifier] '. If these pairs are the same, the consumer terminal device 30 assures that the received keys are sent by the authority issuer device 20.

따라서, 소비자단말기 장치(30)는 암호화 마스터키(MK)를 이용하여 콘텐츠 발행자(10)로부터 다운로드 받은 콘텐츠를 복호화하여 플레이 할 수 있게 되는 것이다. Therefore, the consumer terminal device 30 is able to decrypt and play the content downloaded from the content publisher 10 using the encryption master key (MK).

이와 같이, 본 발명의 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법에 따른 대칭키 암호화와 종래의 비 대칭키 암호화의 속도를 비교한 것을 아래의 표로 나타내었다.As such, a comparison of the speeds of symmetric key encryption and conventional asymmetric key encryption according to an effective key distribution method for digital content distribution of the present invention is shown in the following table.

암호 알고리즘Cryptographic algorithm 암호화encryption 복호화Decrypt 합계Sum 1024bit RSA1024bit RSA 0.18ms0.18 ms 4.78ms4.78 ms 4.92ms4.92 ms 128bit AES128bit AES 1.6μsec1.6 μsec 1.6μsec1.6 μsec 3.2μsec3.2 μsec

여기서, 본 비교는 팬티엄4 2.1GHz CPU Windows XP에서 1024 비트 정보 암호화 및 복호화에 소요되는 시간을 비교하였다. 또한, Crypto++ 5.2.1 암호 라이버러리 Benchmarks 참조하였다.Here, this comparison compared the time required for encrypting and decrypting 1024-bit information on a Pentium 4 2.1GHz CPU Windows XP. See also Crypto ++ 5.2.1 Cryptographic Library Benchmarks.

종래의 키 전송에 사용되었던 비 대칭키 암호화 알고리즘은 1024bit RSA이고, 본 발명의 키 전송에 사용되는 대칭키 암호화 알고리즘은 대표적인 예로서 128bit AES이다.The symmetric key encryption algorithm used in the conventional key transmission is 1024 bit RSA, and the symmetric key encryption algorithm used in the key transmission of the present invention is 128 bit AES as a representative example.

표 1은 상기 두 알고리즘의 암호화하고 복호화하는데 걸리는 시간을 비교하였다. 표 1에서 나타난 결과에서 알 수 있는 것과 같이, 본 발명은 OAM DRM과 호환되는 경량키 관리 프로토콜에 의해 암호화 및 복호화에 따른 계산량 및 이에 따른 계산시간이 종래의 비 대칭키 암호화 알고리즘에 비하여 많이 줄일 수 있는 것으로 확인되었다.Table 1 compares the time taken to encrypt and decrypt the two algorithms. As can be seen from the results shown in Table 1, the present invention can reduce the computation amount and the computation time according to encryption and decryption by the lightweight key management protocol compatible with OAM DRM, compared to the conventional asymmetric key encryption algorithm. It was confirmed that there is.

한편, 등록과정에서 권한발행자 장치(20)가 사용자단말기 장치(30)에 보내는 마스터키(MK)는 X9.44에서 정의한 키 분배 프로토콜인 RSAES-KEM-KWS 표준을 사용하였는데, 이는 안전성이 증명된 표준을 사용하였으므로 마스터키(MK) 전송은 안전하다.On the other hand, the master key (MK) sent from the authority issuer device 20 to the user terminal device 30 during the registration process used the RSAES-KEM-KWS standard, which is a key distribution protocol defined in X9.44, which proves safety. Since the standard is used, master key (MK) transmission is secure.

또한, 권한발행자 장치(20)와 사용자단말기 장치(30)는 등록과정에서 공유한 마스터키(MK)를 이용하여 대칭키 인증서 형식으로 전송한다. 이때 전송되는 키는 IETF RFC 표준문서에 정의된 키 포장 알고리즘을 사용하므로, 전송되는 메시지는 유한체의 요소가 아니므로 오프라인 사전공격의 일종인 분할공격(Partition Attack)에 안전하다. 이것은 기존의 OMA RDM에서 단말기에 도메인키(DK)를 분배하고 이 도메인키(DK) 하에서 세션 식별자를 분배하는 키 전송 메커니즘과 동일하다. In addition, the authority issuer device 20 and the user terminal device 30 transmit the symmetric key certificate using the master key MK shared during the registration process. At this time, since the transmitted key uses the key wrapping algorithm defined in the IETF RFC standard document, the transmitted message is not a finite element, so it is safe against a partition attack, which is a kind of offline dictionary attack. This is the same as a key transmission mechanism for distributing a domain key (DK) to a terminal in an existing OMA RDM and distributing a session identifier under this domain key (DK).

지금까지는 본 발명의 특정한 실시예를 중심으로 설명하였으나, 본 발명의 청구범위에 기재된 기술사상을 벗어나지 않는 범위 내에서 상술한 바와 같이 다양한 수정 및 변경이 이루어질 수 있음이 명백하다. 따라서, 본 발명의 상세한 설명 및 첨부된 도면은 본 발명의 기술 사상을 한정하는 것이 아니라 예시한 것으로 해석되어야 한다.The present invention has been described with reference to specific embodiments of the present invention, but it is apparent that various modifications and changes can be made as described above without departing from the technical spirit described in the claims of the present invention. Accordingly, the detailed description of the invention and the accompanying drawings should be construed as illustrative rather than limiting to the spirit of the invention.

이상에서 설명한 바와 같이 본 발명은 OAM DRM과 호환되는 경량키 관리 프로토콜을 제공할 수 있는 효과가 있다.As described above, the present invention has the effect of providing a lightweight key management protocol compatible with OAM DRM.

또한, 본 발명은 디바이스 공개키 하에서 전송되던 세션 키를 권한발행자 장치와 소비자단말기 장치가 등록과정에서 공유한 마스터키를 이용하여 대칭키 인증서 형식으로 전송함으로써 빈번히 사용하는 프로토콜의 키 관리와 관련된 계산량을 많이 줄일 수 있는 효과가 있다.In addition, the present invention transmits the session key transmitted under the device public key in the symmetric key certificate format by using the master key shared by the authority issuer device and the consumer terminal device in the registration process to calculate the amount of computation related to key management of the frequently used protocol. The effect is to reduce a lot.

Claims (5)

디지털 콘텐츠 유통을 위한 키 분배방법에 있어서,In the key distribution method for digital content distribution, 소비자단말기 장치가 단말기장치의 식별자를 포함하는 헬로우(Hello) 메시지를 권한발행자 장치에 전송하는 단계(S100);Transmitting, by the consumer terminal device, a hello message including the identifier of the terminal device to the authority issuer device (S100); 권한발행자 장치가 상기 소비자단말기 장치로부터의 헬로우(Hello) 메시지에 대한 응답으로 권한발행자 식별자와, 권한발행자 장치의 난수 및 세션 식별자를 포함하는 권한발행자 장치의 헬로우(Hello) 메시지를 전송하는 단계(S200);Transmitting, by the authority issuer device, a hello message of the authority issuer device including the authority issuer identifier, a random number of the authority issuer device, and a session identifier in response to the hello message from the consumer terminal device (S200). ); 상기 소비자단말기 장치가 권한발행자 장치에게 등록요청에 관한 메시지 및 서명을 송신하는 단계로서, 상기 소비자단말기 장치의 등록요청은 세션 식별자와, 소비자단말기 장치의 난수와, 요청시간 정보 및 서명을 포함하는 등록요청 메시지를 전송하는 단계(S300); 및Wherein the consumer terminal device transmits a message and a signature relating to a registration request to the authority issuer device, wherein the registration request of the consumer terminal device includes a registration including a session identifier, a random number of the consumer terminal device, request time information, and a signature; Transmitting a request message (S300); And 상기 권한발행자 장치가 등록과정에서 소비자단말기 장치의 공개키 인증서가 유효함이 확인되면 소비자단말기 장치의 공개키로 암호화된 마스터키(MK)와, 세션 식별자, 권한발행자 장치의 웹주소(URL) 및 상기 등록요청 메시지에 관한 서명을 포함하는 등록응답 메시지를 전송하는 단계(S400);를 포함하여 이루어지는 것을 특징으로 하는 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법.When the authority issuer device is found to be valid in the registration process of the public terminal certificate of the consumer terminal device, the master key (MK) encrypted with the public key of the consumer terminal device, a session identifier, a web address (URL) of the authority issuer device, and the And transmitting a registration response message including a signature of the registration request message (S400). 제 1 항에 있어서, 상기 단계(S300)의 서명은,The method of claim 1, wherein the signature of the step (S300), 세션 식별자와, 소비자단말기 장치의 난수와, 요청시간 정보와;A session identifier, a random number of the consumer terminal device, and request time information; 소비자단말기 장치의 헬로우(Hello) 메시지와, 권한발행자 장치의 헬로우(Hello) 메시지;를 포함하는 것을 특징으로 하는 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법.An effective key distribution method for digital content distribution, comprising: a Hello message of a consumer terminal device and a Hello message of an authority issuer device. 제 1 항에 있어서,The method of claim 1, 소비자단말기 장치의 라이센스 요구에 관한 응답으로 권한발행자 장치가 권한키(REK) 및 메시지 확인키(MAK)를 마스터키(MK)로 암호화하여 전송하는 단계(S500);를 더 포함하는 것을 특징으로 하는 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법.And in response to the license request of the consumer terminal device, the authority issuer device encrypting and transmitting the authorization key (REK) and the message confirmation key (MAK) with the master key (MK) (S500). An Effective Key Distribution Method for Digital Content Distribution. 제 1 항에 있어서, The method of claim 1, 소비자단말기 장치의 도메인가입 요구에 관한 응답으로 권한발행자 장치가 도메인키(DK) 및 메시지 확인키(MAK)를 마스터키(MK)로 암호화하여 전송하는 단계(S600);를 더 포함하는 것을 특징으로 하는 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법.And in response to the request for joining the domain of the consumer terminal device, the authority issuer device encrypting the domain key (DK) and the message confirmation key (MAK) with the master key (MK) and transmitting the data (S600). Effective key distribution method for digital content distribution. 디지털 콘텐츠 유통을 위한 키 분배방법에 있어서,In the key distribution method for digital content distribution, 소비자단말기 장치가 단말기장치의 식별자를 포함하는 헬로우(Hello) 메시지를 권한발행자 장치에 전송하는 단계(S100);Transmitting, by the consumer terminal device, a hello message including the identifier of the terminal device to the authority issuer device (S100); 권한발행자 장치가 상기 소비자단말기 장치로부터의 헬로우(Hello) 메시지에 대한 응답으로 권한발행자 식별자와, 권한발행자 장치의 난수 및 세션 식별자를 포함하는 권한발행자 장치의 헬로우(Hello) 메시지를 전송하는 단계(S200);Transmitting, by the authority issuer device, a hello message of the authority issuer device including the authority issuer identifier, a random number of the authority issuer device, and a session identifier in response to the hello message from the consumer terminal device (S200). ); 상기 소비자단말기 장치가 권한발행자 장치에게 등록요청에 관한 메시지 및 서명을 송신하는 단계로서, 상기 소비자단말기 장치의 등록요청은 세션 식별자와, 소비자단말기 장치의 난수와, 요청시간 정보 및 서명을 포함하는 등록요청 메시지를 전송하는 단계(S300); 및Wherein the consumer terminal device transmits a message and a signature relating to a registration request to the authority issuer device, wherein the registration request of the consumer terminal device includes a registration including a session identifier, a random number of the consumer terminal device, request time information, and a signature; Transmitting a request message (S300); And 상기 권한발행자 장치가 등록과정에서 소비자단말기 장치의 공개키 인증서가 유효함이 확인되면 소비자단말기 장치의 공개키로 암호화된 마스터키(MK)와, 세션 식별자, 권한발행자 장치의 웹주소(URL) 및 상기 등록요청 메시지에 관한 서명을 포함하는 등록응답 메시지를 전송하는 단계(S400);When the authority issuer device is found to be valid in the registration process of the public terminal certificate of the consumer terminal device, the master key (MK) encrypted with the public key of the consumer terminal device, a session identifier, a web address (URL) of the authority issuer device, and the Transmitting a registration response message including a signature regarding the registration request message (S400); 소비자단말기 장치의 라이센스 요구에 관한 응답으로 권한발행자 장치가 권한키(REK) 및 메시지 확인키(MAK)를 마스터키(MK)로 암호화하여 전송하는 단계(S500); 및In step S500, in response to the license request of the consumer terminal device, the authority issuer device encrypting the authorization key REK and the message confirmation key MAK with the master key MK; And 소비자단말기 장치의 도메인가입 요구에 관한 응답으로 권한발행자 장치가 도메인키(DK) 및 메시지 확인키(MAK)를 마스터키(MK)로 암호화하여 전송하는 단계(S600);를 포함하는 것을 특징으로 하는 디지털 콘텐츠 유통을 위한 효과적인 키 분배방법.And encrypting, by the authority issuer device, a domain key (DK) and a message confirmation key (MAK) with a master key (MK) in response to the domain join request of the consumer terminal device (S600). An Effective Key Distribution Method for Digital Content Distribution.
KR1020060027714A 2006-03-28 2006-03-28 An efficient key distribution method for digital contents distribution KR100811050B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060027714A KR100811050B1 (en) 2006-03-28 2006-03-28 An efficient key distribution method for digital contents distribution

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060027714A KR100811050B1 (en) 2006-03-28 2006-03-28 An efficient key distribution method for digital contents distribution

Publications (2)

Publication Number Publication Date
KR20070097611A true KR20070097611A (en) 2007-10-05
KR100811050B1 KR100811050B1 (en) 2008-03-06

Family

ID=38803774

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060027714A KR100811050B1 (en) 2006-03-28 2006-03-28 An efficient key distribution method for digital contents distribution

Country Status (1)

Country Link
KR (1) KR100811050B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100989371B1 (en) * 2008-04-29 2010-10-25 이진흥 DRM security mechanism for the personal home domain

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010004469A (en) * 1999-06-29 2001-01-15 이계철 Method of authentication and key agreement using public key in telecommunication system

Also Published As

Publication number Publication date
KR100811050B1 (en) 2008-03-06

Similar Documents

Publication Publication Date Title
EP1942430B1 (en) Token Passing Technique for Media Playback Devices
Taban et al. Towards a secure and interoperable DRM architecture
US7200230B2 (en) System and method for controlling and enforcing access rights to encrypted media
CA2456400C (en) Publishing digital content within a defined universe such as an organization in accordance with a digital rights management (drm) system
US20040019801A1 (en) Secure content sharing in digital rights management
US7802109B2 (en) Trusted system for file distribution
US20080240433A1 (en) Lightweight secure authentication channel
KR20080102215A (en) Method for redistributing dram protected content
JP2008500589A (en) Secure communication with changing identifiers and watermarking in real time
US20130047264A1 (en) Method and Device for Communicating Digital Content
US8417937B2 (en) System and method for securely transfering content from set-top box to personal media player
CN102546660A (en) Digital rights protection method supporting dynamic licensing authorization
CN101610148A (en) A kind of reciprocity internet digital literary property protection method
Lee et al. A secure and mutual-profitable DRM interoperability scheme
Gaber et al. Privdrm: A privacy-preserving secure digital right management system
CN102236753A (en) Rights management method and system
KR100989371B1 (en) DRM security mechanism for the personal home domain
KR100811050B1 (en) An efficient key distribution method for digital contents distribution
JP5139045B2 (en) Content distribution system, content distribution method and program
KR20090024482A (en) Key management system for using content and method thereof
EP3406051B1 (en) Method for generating a pair of terminal associated keys using a terminal and a gateway, a method for secure date exchange using the method, a terminal and a gateway
Davidson et al. Content sharing schemes in DRM systems with enhanced performance and privacy preservation
KR100831726B1 (en) Method and Device for Security on Digital Rights Management System
KR100747451B1 (en) Apparatus and method for digital rights management
EP1830299A2 (en) Digital rights management system with diversified content protection process

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120330

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee