アクセス制御を管理するシステム
【課題】レンダリング装置のリソースへの、アプリケーションが持つアクセス権の制御を改善する。
【解決手段】コンテンツ配信システム300は、予め定義されたデータアクセスフォーマットに従ってアクセス制御する。組織に対するアクセスポリシは、レンダリング装置のリソースと上記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有する。本発明によれば、組織のアプリケーションに対して組織のアクセスポリシに関連してレンダリング装置のリソースへのアクセスを制限するユーザアクセスポリシが維持される。ユーザアクセスポリシは、組織のアプリケーションが組織のアクセスポリシに従ってリソースにアクセスすることを選択的に許可する追加の信用データに基づいて調整される。
【解決手段】コンテンツ配信システム300は、予め定義されたデータアクセスフォーマットに従ってアクセス制御する。組織に対するアクセスポリシは、レンダリング装置のリソースと上記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有する。本発明によれば、組織のアプリケーションに対して組織のアクセスポリシに関連してレンダリング装置のリソースへのアクセスを制限するユーザアクセスポリシが維持される。ユーザアクセスポリシは、組織のアプリケーションが組織のアクセスポリシに従ってリソースにアクセスすることを選択的に許可する追加の信用データに基づいて調整される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムにおいてアクセス制御を管理する方法であり、上記システムが、コンテンツデータ及び関連するメタデータを提供する少なくとも1つの組織と、上記コンテンツデータ及び関連するメタデータをレンダリングし、アプリケーションを実行するレンダリング装置と、上記コンテンツデータ及び関連するメタデータを操作する少なくとも1つのアプリケーションとを有し、この方法は、上記予め定義されたデータアクセスフォーマットに従って上記組織に対してアクセスポリシを設定するステップであって、上記アクセスポリシは、上記レンダリング装置のリソースと上記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有する当該ステップと、上記組織の上記アクセスポリシを順守する少なくとも1つの組織のアプリケーションを提供するステップと、上記組織の上記アクセスポリシに従って上記レンダリング装置の上記リソースにアクセスする間、上記レンダリング装置が上記組織のアプリケーションを実行することを可能にするために、各々の上記組織の上記アクセスポリシを順守するコンテンツデータ及び関連するメタデータを提供するステップとを有する当該方法に関する。
【0002】
本発明は、また、上記システムにおいて用いるコンピュータプログラム製品及びレンダリング装置に関する。レンダリング装置は、上記データ及び関連するメタデータをレンダリングする媒体信号を生成するレンダリング手段と、上記組織のアプリケーションを実行し、上記組織の上記アクセスポリシに従って当該レンダリング装置の上記リソースにアクセスするアクセス制御手段とを有する。
【0003】
本発明は、映画会社のような組織によりユーザデバイス内にマルチメディア及び対話型アプリケーションを提供する分野に関連している。上記アプリケーションは、レンダリング画像、背景映像、ゲーム、表示データの収集及び記憶、テキストレビュー等を含み得る。一般に、そのような対話型のアプリケーションは、予め定義されたフォーマットに従って記憶されるコンテンツデータと関連するメタデータとに基づいている。特に、本発明は、通常組織により提供され、所有されている所有権を有する(proprietary)データへのアクセスを制御することに関する。
【背景技術】
【0004】
文献US2004/0148514公報には、記憶媒体を含むレンダリングシステム及びディスプレイ上に対話型アプリケーションの記憶されたデータ、例えばビデオをレンダリングする再生方法が記載されている。光ディスク再生機のようなレンダリング装置は、記憶されている情報、例えばデジタル化して圧縮されたビデオデータを含むオーディオ/ビデオ(AV)ストリームを記録担体から取り出す。ソフトウェアの発行者(又は組織)は、コンテンツデータ(例えばオーディオ/ビデオ)及び関連するメタデータ(例えば、再生制御データ、背景テキスト及び映像、対話型アプリケーション等)を提供し得る。上記文献は、そのようなデータへのアクセスを制御し、予め定義されたアクセス制御フォーマットに従ってアクセスポリシを実現する種々のやり方を説明している。例えば、そのようなデータへのアクセスを保護及び制御するための暗号化方法が説明されている。デジタル証明書が認証機関により発行され得る。上記アクセスポリシは、各々の発行者又は組織によって提供されるアプリケーションによる所有権を有するデータへのアクセスを制御するのに特に適している。また、上記アクセスポリシは、例えば、ローカルストレージ容量部、ネットワーク接続又は特定のシステムのデータにアクセスするための許可を経て、レンダリング装置内のリソースへのアクセスを制御し得る。
【0005】
上記組織はアクセス制御フォーマットを順守しなければならないので、上記既知のシステムに従うアクセスポリシは、アプリケーション(これは、組織を意味する。)が適切に振る舞うという仮定に基づいて確立される。従って、上記アクセス制御システムは、上記組織により提供される又は各々の組織の制御の下で配信される当該アプリケーションに関するリソース又は所有権を有するデータにアクセスするアプリケーションの十分な制御を提供する。しかしながら、アプリケーションが、たとえアクセスポリシの全ての要求を順守するソースから作り出されていても、不正を行っている場合には問題が存在する。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、アクセス制御される環境において確立されたアクセスポリシを順守するアプリケーションの更なる制御を可能にするアクセス制御システムを提供することにある。
【課題を解決するための手段】
【0007】
この目的のために、本発明の第1の観点によれば、冒頭の段落において述べられた方法は、上記組織のアプリケーションに対して上記組織の上記アクセスポリシに関連して上記レンダリング装置の上記リソースへのアクセスを制限するユーザアクセスポリシを維持するステップと、上記組織のアプリケーションが上記組織の上記アクセスポリシに従って上記リソースにアクセスすることを選択的に許可する追加の信用データに基づいて、上記組織に対して上記ユーザアクセスポリシを調整するステップとを更に有する。
【0008】
この目的のために、本発明の第2の観点によれば、冒頭の段落において述べられた装置において、上記アクセス制御手段が、上記組織のアプリケーションに対して上記組織の上記アクセスポリシに関連して当該レンダリング装置の上記リソースへのアクセスを制限するユーザアクセスポリシを維持し、上記組織のアプリケーションが上記組織の上記アクセスポリシに従って上記リソースにアクセスすることを選択的に許可する追加の信用データに基づいて、上記組織に対して上記ユーザアクセスポリシを調整するように設けられる。
【0009】
ユーザアクセスポリシは、レンダリング装置のユーザのために作成される。このユーザアクセスポリシは、ユーザのレンダリング装置のリソースへのアクセスを更に制御するルール及びパラメータのセットである。上記追加の信用データは、任意の好適なやり方、例えば、ユーザによりアクティブに、ユーザにより選択される外部ソースから、自動的に、インターネットを経由して等のやり方で提供され得る。従って、ユーザアクセスポリシの制限は、各々の組織のアプリケーションに関して利用可能な既に受け入れられ、認証されたアクセスポリシに影響を及ぼすように適用される。
【0010】
上記対策は、レンダリングシステムにおいて、ユーザアクセスポリシが、アクセス制御フォーマットを順守する各々の組織のアクセスポリシの支配下に既にある組織のアプリケーションのユーザ制御を与えるように適用されるという効果を有する。有利なことに、そのようなアクセスがアクセスポリシにより許可可能であるにもかかわらず、ユーザがそのようなアクセスを望まない場合には、ユーザはレンダリング装置におけるリソースへのアクセスを制限する機会を有する。
【0011】
本発明は、また、以下の認識に基づいている。所有者のみに対して又は特定の予め定義された第三者に対する所有権を有するデータへのアクセスを制御するためのアクセス制御フォーマットは、上述したように例えばUS2004/0148514公報から知られている。また、BDフォーマット(ブルーレイ光ディスク;内容は、http://www.blu-raydisk.com 及び具体的にはhttp://www.blu-raydisk.com/Section-13628/Index.htmlにおいて入手可能であり、Section-13890はBDに関するJava(登録商標)プログラミング言語の仕様を含んでいる。)及びMHP規格(ETSIのウェブサイトhttp://www.etsi.orgから入手可能なDigital video Broadcasting Multimedia Home Platform Specification 1.0.3, ETSI TS 101 812 V1. 3. 1-2003-06)のようなマルチメディアコンテンツを配信する他のシステムは、アクセス制御ポリシの他の例を与えている。例えば、MHP規格は、ファイル若しくはサブディレクトリにアクセスするため又はデバイスにおいて利用可能な他のリソースを使用するために許可が与えられることを可能にする。これらの例では、アクセスポリシは暗号で実行される。
【0012】
しかしながら、本願発明者等は、ユーザによる更なる制御の必要があることを認識した。例えば、一度組織に対してアクセスポリシが確立されると、当該組織がもはや信用されないべきである場合であっても許可はこの組織により使用され得る。また、組織は幾らかのユーザに受け入れられるが、他のユーザには受け入れられないリソースを使用し得る。与えられる解決策は、レンダリング装置のリソースへのアクセスを更に制御するためにユーザアクセスポリシが確立されることである。組織の中には、他の組織と同様に信用され得ない組織もある。最近ビジネスをやめた何らかの組織の鍵は、当該組織の一般的なアクセス制御ポリシにより支配されるコンテンツ及びアプリケーションを作製するために依然として利用され得る。このコンテンツは、明らかな理由のために疑わしい信頼性のものである。さもなければ、ユーザがこの組織から映画を買うことに慣れていないために、組織は、ユーザに全く知られていない。本願発明者等は、状況がインターネット上の「信用できないウェブサイト」の問題とは異なり、インターネットブラウザにより与えられる対策と同じ対策では解決され得ないことを認識した。インターネットブラウザは、クラス(イントラネット、信用できる、制限される)に基づいてサイトを分類し、各クラスについて信用のレベルが規定される。上記コンテンツ配信システムでは、アプリケーションはウェブサイトと同等である。しかしながら、アプリケーションは、ウェブサイトのようにクラス毎にグループ化され得ない。本願発明者等は、ソース毎(これは、組織毎を意味する。)にユーザアクセスポリシを与えることによりアプリケーションが制御され得ることを認識した。インターネットブラウザに受け入れられるもの(これは、各サイトが疑わしく、ユーザにより承認されるまで動作することができないことを意味する。)が、ユーザにより購入された、単に再生すべきである記録担体上のマルチメディアデータには受け入れられない。有利なことに、ユーザアクセスポリシは、信用できない不審な組織のアプリケーションからの保護を与え、配信されるコンテンツデータのレンダリングを可能にする。
【0013】
一形態では、上記方法は、リモートデータベースエンティティにおいて信用データのセットを維持することと、上記ユーザアクセスポリシの上記調整のために上記セットから信用データを取り出すこととを有し、特定の場合に、ネットワークを経由して上記リモートデータベースエンティティにアクセスすることを更に有する。上記信用データは、任意の好適な担体、例えば記録担体を介して又はネットワークを経由して転送され得る。従って、データベースエンティティを実行する更なるパーティは、ユーザアクセスポリシを設定するレンダリング装置において適用される信用データを効果的に設定する。これは、ユーザがユーザの基本設定に従って信用データの最新のセットを維持するそのようなリモートデータベースエンティティを一旦選択することが可能な点で有利である。その後、ユーザアクセスポリシは、上記取り出された信用データに基づいて自動的に設定される。
【0014】
上記方法の一形態では、上記ユーザアクセスポリシが、上記レンダリング装置において知られていない組織に対して信用されないレベルを最初に設定することを有し、上記信用されないレベルは、上記組織のアプリケーションが上記リソースにアクセスすることを許可しない。これは、ユーザが、ユーザアクセスポリシを設定することによりそのようなアクセスを積極的に許可しない限り、知られていないソースのアプリケーションがアクセス権を得ることができない点で有利である。
【0015】
本発明による装置及び方法の更に好ましい形態は、最後に添付されている特許請求の範囲において与えられており、その開示は参照することにより本明細書に組み込まれるものとする。
【0016】
本発明のこれらの観点及びその他の観点は、添付の図面を参照して以下に例として述べられる実施の形態から明らかであり、該実施の形態を参照して更に説明されるであろう。
【図面の簡単な説明】
【0017】
【図1】記憶媒体を示している。
【図2】レンダリング装置を示している。
【図3】予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムを示している。
【図4】ファイルアクセス制御のメカニズムを示している。
【発明を実施するための形態】
【0018】
添付の図面では、異なる図面において対応する構成要素は、同一の参照符号を有している。
【0019】
図1は、トラック9と中心孔10とを有する円盤状の記録担体11を示している。トラック9は、情報を表す記録マークのシリーズの位置であり、情報層上のほぼ平行なトラックを構成するらせん状の回転パターンに従って配されている。この記録担体は、光学的に読取り可能であり、光ディスクと呼ばれている。光ディスクの例は、CD、DVD及びブルーレイディスク(BD)と呼ばれる青色レーザを使用する高密度の光ディスクである。DVDディスクについての更なる詳細は、参考文献ECMA-267: 120mmDVD -Read-Only Disk- (1997)において見出され得る。情報は、トラックに沿って光学的に検出可能なマークにより情報層に表される。
【0020】
上記記録担体11は、ファイル管理システムの制御の下でブロックでデジタル情報を載せるように意図されている。上記情報は、連続的に再生されるリアルタイムの情報、特にMPEG2又はMPEG4のようなデジタル符号化されたビデオを表す情報を含んでいる。
【0021】
新しい光ディスクの規格では、高精細度のビデオが、対話型の見る経験をもたらすようにグラフィクス及びアプリケーションと組み合わせられることが可能であり、例えば、ビデオは見る経験を高めるように対話型アプリケーションと組み合わせられ得る。典型的には、これらのアプリケーションは、ユーザがビデオコンテンツの再生を制御すること、コンテンツ上のより多くの情報を得ること又は新しいサービスにアクセスすることを可能にする。新しいサービスに対して、ユーザデバイスは、インターネットのようなネットワークへの接続を確立する通信インターフェースを有し得る。この接続を介して、上記アプリケーションは、例えば、テレビジョン(TV)のような表示装置上において電子商取引、賭博及び情報サービスを提供し得る。ハードディスクドライブ(HDD)のような「ローカルな」不揮発性の記憶媒体が、例えばダウンロードされる情報を記憶するために各記録媒体の再生機において利用可能である。
【0022】
上記記憶媒体は、予め定義されたデータ記憶フォーマットに従ってコンテンツ情報及び関連するメタデータ、例えば、ビデオと、ボタン,グラフィック要素若しくはアニメーション,コンテンツ情報の背景情報,追加のゲーム又は対話型ツール等のような仮想オブジェクトを含む関連するメタデータとを載せている。上記コンテンツデータ及び関連するメタデータは、所謂組織(これは、コンテンツ提供者及び/又は所有者を意味する)により与えられる。この組織に関して、上記データはプロプライエタリと呼ばれ、これは、対応する組織の制御下にある及び/又は対応する組織を所持していることを意味する。予め定義されたデータ記憶フォーマットは、例えばHDD上のデータ及び例えば暗号化方法を用いることによりアクセス制御されるための通信インターフェースのようなサービスが専ら適用可能な著作権の規定に従って利用可能であることを可能にする。予め定義されたデータアクセスフォーマットに従って特定の組織のために作られるパラメータ及びルールのセットは、アクセスポリシと呼ばれる。
【0023】
図2は、リアルタイムの情報及びアクティブな情報を再生するレンダリング装置を示している。この装置は読出し手段を備えており、該読出し手段は、記憶されている情報を取り出すヘッド22と、上述したような記録担体11のトラックを走査する走査手段とを含んでいる。上記走査手段は、記録担体11を回転させるドライブユニット21と、トラックの半径方向にヘッド22を粗く位置決めする位置決めユニット25と、制御ユニット20とを含んでいる。ヘッド22は、記録担体の情報層のトラック上の放射スポット23に集束する光学素子によって誘導される放射ビーム24を生成する既知のタイプの光学システムを有している。放射ビーム24は、放射源、例えばレーザダイオードにより生成される。上記ヘッドは、上記ビームの光軸に沿って放射ビーム24の焦点を動かすフォーカシングアクチュエータと、トラックの中心上においてスポット23を細かく半径方向に位置決めするトラッキングアクチュエータとを更に有している(図示せず)。
【0024】
上記制御ユニット20は、制御ライン26、例えばシステムバスを介して制御されるべき他のユニットに接続されている。この制御ユニット20は、以下に説明されるように本発明による手続き及び機能を実行する制御回路、例えばマイクロプロセッサと、プログラムメモリと、制御ゲートとを有している。制御ユニット20は、また、論理回路においてステートマシンとしても実現され得る。
【0025】
読出しのために、上記情報層により反射した放射は、読出し信号と、上記トラッキング及びフォーカシングアクチュエータを制御するトラッキングエラー及びフォーカシングエラー信号を含む他の検出器信号とを生成するヘッド22の通常のタイプの検出器、例えば四象限ダイオードにより検出される。上記読出し信号は、記憶された情報をレンダリングし、この記憶された情報を表示し、モニタ又はテレビ受像機のようなディスプレイ上において該記憶された情報の仮想オブジェクトにアクセスする表示信号を生成するレンダリングユニット30により処理される。上記表示とは、仮想オブジェクト、例えば、リアルタイムの情報を再生する間に対話型ユーザインターフェースにおけるコマンドを呼び出すボタン又はアニメーションを表示し、実行することを含む。
【0026】
本発明によれば、上記装置は、組織のアクセスポリシに従ってレンダリング装置のリソース41にアクセスする間、アプリケーションを実行するアクセス制御ユニット31を備えている。リソース41は、アプリケーションにより影響を及ぼされ得る又は用いられ得るレンダリング装置の任意の特徴を含んでおり、ネットワーク接続、例えばインターネットに接続するモデム、アプリケーションデータを記憶するハードディスク若しくはソリッドステートメモリのようなローカルストレージ、パレンタル制御の設定値若しくはサウンドレベルのような種々のシステムパラメータ若しくは装置パラメータ、又は、ユーザ名,ファミリデータ若しくはクレジットカードのデータのような個人ユーザデータを含み得る。
【0027】
アプリケーションは、通常ソフトウェアを介して組織により上記レンダリング装置において利用可能とされる機能である。アプリケーションは、また、異なるソース、例えばレンダリング装置の製造業者により与えられるか、又は、汎用タイプのアプリケーションは独立したソフトウェア会社により与えられ得る。本発明に係るアクセス制御ユニット31の固有の機能は、組織のアプリケーションに対して組織のアクセスポリシに関連してレンダリング装置のリソース41へのアクセスを最初に制限するユーザアクセスポリシを維持することと、組織のアプリケーションが組織のアクセスポリシに従ってリソースにアクセスすることを選択的に許可する追加の信用データに基づいて組織に対するユーザアクセスポリシを調整することとであり、これは、図3を参照して以下に更に説明される。
【0028】
アプリケーション、アプリケーションの一部又は関連する機能は、上記アクセス制御ユニットにおける常駐機能として実現され得ることに注意されたい。代替として、アプリケーションは、他の情報担体を介して又はネットワーク、例えばインターネットを経由して記録担体上に与えられ得る。アクセス制御ユニット31は、制御ユニット20におけるソフトウェア機能として、レンダリングユニット30の一部として又は分離したユニットとして実現され得る。
【0029】
上記装置は、書込み可能な又は書換え可能であるタイプの記録担体11、例えばDVD+RW又はBD−REに情報を書き込むように設けられ得る。その場合、上記装置は、ヘッド22を駆動するため書込み信号を生成するように入力情報を処理する書込みユニット29を有する。
【0030】
上記レンダリングシステムの一実施の形態では、レンダリング装置は、リモートソースからコンテンツデータ及び関連するメタデータを取り出し得る。ユーザロケーションにおけるレンダリング装置は、ネットワークを介してサーバに接続可能である。ユーザデバイス、例えばセットトップボックス(STB)は、ビデオのようなブロードキャストデータを受信する受信器を備えている。このユーザデバイスは、該デバイスをネットワーク、例えばインターネットに接続するネットワークインターフェース、例えばモデムを備えている。サーバもまた、サーバデバイスをネットワークに接続するインターフェースを備えている。ネットワークに接続可能であるユーザデバイスはマルチメディアデバイス(例えば、標準化されたマルチメディアホームプラットフォームMHP)、エンハンスド携帯電話、個人用携帯情報端末等も含むことに注意されたい。
【0031】
図3は、予め定義されたデータアクセスフォーマットに従うアクセス制御を持つコンテンツ配信システムを示している。このシステム300は、第1のコンテンツデータ及び関連するメタデータを提供する第1の組織32と、第2のコンテンツデータ及び関連するメタデータを提供する第2の組織33とを有している。コンテンツを配信するために、このシステムは、更に、第1の所有権を有するデータを伝送する第1の記録担体34と、第2の所有権を有するデータを伝送する第2の記録担体36とを有している。代替として、上記関連するメタデータのような所有権を有するデータ又はその一部は、異なるチャンネル、例えばインターネットのようなネットワークにより配信され得る。第1の組織32はまた、上記第1のコンテンツデータ及び関連するメタデータを操作する少なくとも1つの組織のアプリケーション35を提供し得る。第2の組織33はまた、対応する第2のデータを操作する少なくとも1つの組織のアプリケーション37を提供し得る。
【0032】
レンダリング装置39は、矢印34´,36´及び38´により示されているように、上記記録担体からのコンテンツデータ及び関連するメタデータをレンダリングするよう設けられている。このレンダリング装置は、ディスプレイ40に結合され得るとともに、ネットワークインターフェースを介してネットワーク43に結合され得る。一実施の形態では、レンダリング装置39は、ネットワーク43を経由してコンテンツデータ及び/又は関連するメタデータを取り出す。アプリケーションは、レンダリング装置において効果的に実行される。アプリケーションは、レンダリング装置に最初に含まれていてもよいし、例えばネットワークを経由して別個に配信され、レンダリング装置に記憶されてもよい。上記記録担体は、コンテンツデータ及び関連するメタデータを伝達するためのものであるが、アプリケーションも伝達し得る。
【0033】
各組織は、各々のアクセスポリシ(これは、予め定義されたアクセス制御フォーマットに従うルール及びパラメータのセットを意味している。)を持っている。第1の組織のアプリケーション35は、第1のアクセスポリシに従って第1の所有権を有するデータにアクセスすることができ、第2の組織のアプリケーション37は、第2の所有権を有するデータにアクセスすることができる。アプリケーションに対するアクセスポリシは、上記システムにより一部設定され(例えば、アプリケーション35は、アプリケーション37に関連する「ローカル」ストレージ上のデータにアクセスすることができない。)、組織自体により一部設定される(例えば、組織32は、組織33のアプリケーション37がアプリケーション35と関連するデータにアクセスすることを可能にする。)。使用許諾を受けている組織のみが、後者のポリシを作るための暗号鍵を有する。
【0034】
上記システムは、それぞれが各々の所有権を有するデータを持つ更なる組織と、対応する更なる記録担体38及び/又はアプリケーションとにより拡張されることが可能であり、各組織は、通常幾つかの所有権を有するデータのセット(例えば、映画製作と対応するユーザに対する追加料金)を有し、各セット(製作)は幾つかの記録担体上において商業的に増大することに注意されたい。
【0035】
アクセス制御ユニット31は、更に例えばユーザインターフェースを介したユーザ入力に基づいてユーザアクセスポリシを設定するように設けられている。ユーザアクセスポリシは、レンダリング装置のリソース41へのアクセスを制限する。組織のアクセスポリシは、本来、データアクセスフォーマットにおいて定義されるようなリソースへのアクセスを制御するために実施されることに注意されたい。ユーザアクセスポリシは、また、ユーザの基本設定に従って上記アクセスに影響を及ぼし、制限する。ユーザは、所望の値に基本設定を明示的に設定するか、そうでなければそのような設定値は外部のソースからの信用データに基づいて設定又は調整され得る。例えば、レンダリング装置の製造業者は、通常、安全かつ制限されたレベルで最初に基本設定を設定し、これはその後ユーザにより変更され得る。従って、上記アクセス制御ユニットは、追加の信用データに基づいてユーザアクセスポリシを調整するように設けられ、それにより組織のアプリケーションが組織のアクセスポリシに従って決定されるアクセスの最大の許可されるレベルまでリソースにアクセスすることを選択的に可能にする。
【0036】
一実施の形態では、コンテンツ配信システム300は、信用データのセットを維持するリモートデータベースエンティティ42を有している。このリモートデータベースエンティティは、ネットワークに接続するネットワークインターフェースを介し、ネットワーク43、例えばインターネット経由で上記レンダリング装置に結合され得る。データベースエンティティ42は、データを記憶するデータベースユニット45を備えており、このユニットは信用データのセットを維持するように設けられている。上記維持することは、とりわけ、不正を行っている組織に対して信用データを適応させること、新しい組織に対して新しい信用データを加えること、特定の組織に対してユーザフィードバックを用いること等を含み得る。上記レンダリング装置の要求に応じて、又は自動的若しくは周期的に、上記データベースエンティティは、上記セットからの必要な信用データのサブセットをネットワークインターフェース手段44を介してレンダリング装置に転送する。その後、レンダリング装置は、組織のアプリケーションが組織のアクセスポリシに従ってリソースにアクセスすることを選択的に許可する信用データに基づいて組織に対してユーザアクセスポリシを調整する。例えば、上記リモートデータベースエンティティは、レンダリング装置の製造業者、消費者組織、プライバシ意識団体等により与えられ得る。アクセス制御ユニット31は、ユーザアクセスポリシの調整のために信用データのセットから信用データを取り出すよう設けられている。
【0037】
一実施の形態では、上記追加の信用データは、限定された数の信用レベル(例えば2つのみであり、完全に信用されるレベル又は全く信用されないレベル)を有している。第1のレベルが設定されると、組織のアプリケーションは、組織のアクセスポリシの設定に従ってリソースにフルアクセスする。第2のレベルが設定されると、組織のアプリケーションはリソースに全くアクセスしないが、組織のアクセスポリシの設定はそのようなアクセスを許可する。他の実施の形態では、上記信用レベルは3つのレベルを有し、それは、組織のアプリケーションが組織のアクセスポリシに従って上記リソースに全面的にアクセスすることを可能にする完全に信用されるレベルと、組織のアプリケーションが予め定義されたリソースのサブセットにアクセスすることを可能にする部分的に信用されるレベルと、上記リソースへの組織のアプリケーションのアクセスを許可しない信用されないレベルとを意味する。また、アクセス制御ユニット31は、上記部分的信用されるレベルにおいて許可される特定のアクセス(例えば、データを記憶することを許可されるアクセスは許可されるが、クレジットカードへのアクセスは許可されない。)を設定するように設けられ得る。
【0038】
一実施の形態では、ユーザアクセスポリシは、レンダリング装置39において知られていない組織に対して信用されないレベルを最初に設定することを含んでいる。この信用されないレベルは、組織のアプリケーションが上記リソースにアクセスすることを許可しない。アクセス制御ユニット31は、新規の知られていない組織からの任意のアプリケーションに対するアクセスを最初に妨げるように設定される。
【0039】
図4は、ファイルアクセス制御のメカニズムを示している。この図は、ルートディレクトリ61と、幾つかの組織に関する組織のサブディレクトリ62とを備えたファイルシステム60を模式的に示している。各組織は、幾つかの映画に関する更なる映画のサブディレクトリ63を有している。各ディレクトリにはファイルが存在しており、例えば、サブディレクトリ63「movie1a」にはオーディオビデオファイル69及び「Xlet1a」と呼ばれるアプリケーションファイル64が存在し、他のサブディレクトリには「Xlet1b」と呼ばれるアプリケーション70及び「Xlet3a」と呼ばれるアプリケーション71が存在する。各サブディレクトリ又はファイルは、許可インジケータ66、例えばサブディレクトリにアクセスする種々のユーザに対して読出し及び書込みを行う権限を示す「UNIX(登録商標)許可」を有している。データアクセスフォーマットに従って、各アプリケーションは信用証明書65を有しており、この証明書65は、所有権情報にアクセスするアクセス権を示す、アクセスパラメータを含み得る(通常は分離したファイル内の)追加の量のデータである。アプリケーション70(Xlet1b)は、ファイル69(A/V2、グループ読出しアクセス権を持つ)への読出しアクセス権を得るが、矢印68により示されているようにアプリケーション64(専ら映画のオーナーアクセス権を持つXlet1a)を開始することは許可されないことに注意されたい。アプリケーション71(Xlet3a)は、アプリケーション64(Xlet1a)及びファイル69(A/V2)と同じグループ(組織1)内には存在していないので、矢印67により示されているようにファイル69(A/V2)へのアクセス権を得るためには、例えば組織1により署名された特別な証明書65を必要とする。
【0040】
図4に示されているようなデータアクセスフォーマットの一実施の形態は、Java(登録商標)をベースとしており、ブルーレイディスクROMフルフィーチャモードにおいて用いられ得る。そのようなBD−ROMの再生機は、小さいアプリケーション(通常Xletsと呼ばれるプログラム)を動作させるJava(登録商標)仮想マシンを含んでいる。これらのフレキシブルであり、強力なレンダリングマシンも、ネットワーク接続部を備えており、ハードディスクドライブ(HDD)の形態のローカルストレージを有し得る。コンテンツの所有者(これは、組織を意味する。)は、BD−ROMディスクで又はネットワーク接続を介して映画とともにアプリケーションを配信することができる。そのようなシステムの標準的なアクセス制御では、保護されるメモリロケーション(キーロッカーとも呼ばれるデバイスリソース)内の任意のアクセスパラメータを記憶するオリジナルのアプリケーションのみが上記アプリケーションを取り出すことができる。
【0041】
MHP(上記の参考文献参照)に従うデータアクセスフォーマットは、ブラウジング、A/Vデータとの対話等の目的のためにセットトップボックス(STB)上でJava(登録商標) Xletsを走らせることを可能にするためのJava(登録商標)のセブセット及び拡張機能である。アプリケーションは、ロードされると、最初に上記システムにより認証される。その後、このシステムは、あるグループ(「organization _id」)が属するホームディレクトリを伴って(UNIX(登録商標)オペレーティングシステムと同様の)システム上で(「application_id」に基づいて)アプリケーションをユーザとして取り扱う。上記アプリケーションには、アクセスポリシに従う(許可リクエストファイルと呼ばれる)アクセスパラメータが付いており、このアクセスパラメータを介してアプリケーションはシステムからあるリソース(ネットワークアクセス等)を要求し、これは、アクセスポリシファイルに依存して与えられ得る。
【0042】
データアクセスフォーマットは、その後、レンダリング装置のローカルストレージに記憶されるデータに対して2層のアクセス構造を規定するためにこれらの特徴を用いる。
1.UNIX(登録商標)スタイルの許可権:(又はデフォルトのポリシ)データが通常のディレクトリツリーにおいてファイルとして記憶される。どのファイル及びディレクトリもみな、各レベルについて読出し/書込みアクセス許可66を与えられる(MHP、セクション12.6.2.7.2参照)。
a.アプリケーション(データを作成したアプリケーション)
b.組織(上記作成アプリケーションと同じ組織に属するアプリケーション)
c.ワールド(全てのアプリケーション)
2.証明書のメカニズム:上記メカニズムをオーバーライドするため及びよりきめの細かいアクセス権を与えるために、ファイル/ディレクトリの所有者は、(例えば他のグループからの)他のアプリケーションがそのようなファイル/ディレクトリにアクセスできることの(署名入りの)提示(statement)である証明書65を用意することができる。証明書65は、上述した許可リクエストファイルに含まれている。アプリケーションをロードするとすぐに、上記システムは、証明書及びポリシファイルに基づいて、アプリケーションが追加のファイルへのアクセス権を得るべきであるかを決定する(MHP、セクション12.6.2.6参照)。上記ディレクトリ/ファイルのアクセス制御メカニズムは、BD−ROMのような記録担体に対して用いられ得る。その場合、「application_id」は特定のディスクと関連するアプリケーションに対応し、「organization_id」はある組織に対応する。
【0043】
上記アクセス制御メカニズムを強化するために、上述したようにユーザアクセスポリシが作成される。他の例がこれから説明される。ブルーレイディスク(BD)のような新しいコンテンツ配信システムは、対話型のアプリケーションを可能にするようにJava(登録商標)コードをサポートする。Java(登録商標)がサポートされるやり方は、セキュリティ部を含むGEM(Globally Executable MHP,MHP参考文献参照)にほぼ準拠している。その結果、BDのセキュリティモデルは、信用されたアプリケーションに署名することにより悪質なコードからのユーザの保護を与える。各組織は、直接アプリケーションに署名すること又は(ソフトウェアに署名する)ソフトウェアの制作者が合法であることを照明することのいずれか一方により、当該組織が提供するアプリケーションが問題ないことを証明する。次に、証明機関(CA)は、組織の証明書が有効であることを証明する(以下参照)。
【0044】
上記ユーザアクセスポリシは、セキュリティポリシを適用する際に、ユーザが各組織間の区別を行うことを可能にする。(組織の識別子、例えばOrganization_IDに基づいて選択される)異なる組織に対する別個のユーザアクセスポリシは、信用される組織によってもたらされるアプリケーションに関するリソースの制限されない使用と、知られていない組織からのアプリケーションによるリソースの幾らか制限された使用と、明らかに信用されない組織からのアプリケーションに関するリソースの非常に制限された使用とを可能にする。最後のケースでは、署名された、従って認証されたアプリケーション、換言するとデータアクセスフォーマットに従ってフルアクセス権を得るべきアプリケーションは、ユーザがそのソースを信用しないので、フルアクセス権を得ない。要するに、ユーザアクセスポリシは、そのようなアプリケーションを認証されていないアプリケーションに戻す。
【0045】
組織毎に信用のレベルを割り当てることにより、ユーザアクセスポリシは、新しいアプリケーションがユーザポリシが設定されている組織からであることを条件に、新しいアプリケーションに対して適切な信用のレベルを自動的に割り当てる。任意の新しい組織に対して最も低い信用のレベルを割り当てることにより、全ての組織のユーザポリシが設定される。ユーザは、組織に対して従って自動的に該組織の全てのアプリケーションに対して信用のレベルをアップグレードする機会を持つ。このやり方は、信用レベルを管理する際のユーザに対する仕事の量が非常に制限される。有利なことに、このユーザの増大した便利さは、いかなるやり方においてもプラットフォームのセキュリティを減少させない。
【0046】
組織毎にある区分けのオプションが存在する。一実施の形態では、組織を区分けすることをサポートするウェブサイトが作成される。このウェブサイトは、多数の組織に関する信用データのリストを保持する。いかなる不審な組織もが、任意の信用された組織と同様に、リスト上でそのようなものとして特定される。従って、レンダリング装置における区分けのプロセスは、インターネットを経由してそのようなウェブサイトとコンタクトを取ることにより、セキュリティに関して妥協することなく完全に自動化され得る。単に(クレジットカードの番号又はネットワーク接続のような)ある鍵リソースへのアクセスを制限するために、不審な組織からのディスクを阻止することが意図ではないことに注意されたい。特定の組織からの特定のアプリケーションは、組織の区分けに基づいて特定のアクセスのレベルを持つ。
【0047】
データアクセスフォーマットは、以下のことを含み得る。認証されるアプリケーションは、ハッシュ値を求められ、マスタハッシュファイルのハッシュは、組織の秘密鍵を用いて該ハッシュを暗号化することにより署名される。シグネチャはディスクに与えられる。関連する公開鍵は、組織の証明書に含まれている。このシグネチャもまたディスクに与えられる。これは、以下のように表され得る。
【数1】
組織のアプリケーションにおいてJava(登録商標)コードを認証するために、上記レンダリング装置はCAの公開鍵を用いて組織の証明書のシグネチャを確認する。これが正しく一致すると、組織の証明書からの組織の公開鍵がアプリケーションのシグネチャを確認するために用いられる。
【0048】
アプリケーションを認定するためにJava(登録商標)コードの作成者がJava(登録商標)コード自体の鍵のセットを用いるので、他の信用のレベルが存在し得る。その場合、組織は上記作成者の証明書に署名する必要がある。これは、以下のように表され得る。
【数2】
【0049】
上述したようなユーザアクセスポリシの関数を与えるアクセス制御ユニット31は、ユーザデバイスにおいて実行されるコンピュータプログラム製品により与えられ得ることに注意されたい。上記プログラムは、標準的なユーザデバイス、例えばラップトップ型コンピュータのプロセッサにユーザアクセスポリシを維持し、調整するステップを実行させるように動作する。上記プログラムは、記録担体上に例えばインターネットを経由してソフトウェアプラグインとして配信されるか、又は任意の他のアプリケーション及びオーディオ/ビデオコンテンツとともにブロードキャストにより送信される。ロードされると、ソフトウェアは、アプリケーションがユーザアクセスポリシに従ってデバイスのリソースにアクセスするように該アプリケーションを制御する。
【0050】
本発明が、主に光ディスクをベースとする実施の形態により説明されたが、他の記憶媒体又はコンテンツ及び/又はメタデータを配信する配信システムも適用され得る。しかしながら、本発明は、とりわけユーザのレンダリング装置において組織により与えられるデータに対するセキュリティポリシに関係があることに注意されたい。各組織は、当該組織に関連したデータを記憶するため及び更にリソースにアクセスするためにある量のローカルストレージを与えられ得る。上記データに関するアクセスポリシは、当該組織からであることを確認されるアプリケーションのみが当該データへのアクセス権を持つことである。例えば、許可はJava(登録商標)言語を用いて与えられ得る。アプリケーションは、アクセスポリシのパラメータファイルと比較される許可リクエストファイルを持っている。以前は、不審な又は知られていない組織が所定の場所に証明機関(CA)によって有効である証明書を持っている状態において、ユーザがシステムリソースへのフルアクセス権を得ることから該組織を阻止することは可能ではなかった。本発明の場合、要求される許可がアクセスポリシにより可能にされると、ユーザアクセスポリシもそうようなアクセスを許可する場合にのみ対応するリソースがアプリケーションに開放される。
【0051】
この文書において「有する」という語は記載されている構成要素又はステップ以外の他の構成要素又はステップの存在を排除するものではなく、構成要素の前に付されている単語「a」又は「an」はそのような構成要素の複数の存在を排除するものではなく、また、いかなる参照符号も特許請求の範囲を限定するものではなく、本発明はハードウェア及びソフトウェアの両方により実現され、幾つかの「手段」はハードウェアの同じアイテムにより表現され得ることに注意されたい。更に、本発明の範囲は上記実施の形態に限定されるものではなく、本発明は、上述した一つ一つの新規の特徴又は特徴の組み合わせに見出される。
【技術分野】
【0001】
本発明は、予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムにおいてアクセス制御を管理する方法であり、上記システムが、コンテンツデータ及び関連するメタデータを提供する少なくとも1つの組織と、上記コンテンツデータ及び関連するメタデータをレンダリングし、アプリケーションを実行するレンダリング装置と、上記コンテンツデータ及び関連するメタデータを操作する少なくとも1つのアプリケーションとを有し、この方法は、上記予め定義されたデータアクセスフォーマットに従って上記組織に対してアクセスポリシを設定するステップであって、上記アクセスポリシは、上記レンダリング装置のリソースと上記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有する当該ステップと、上記組織の上記アクセスポリシを順守する少なくとも1つの組織のアプリケーションを提供するステップと、上記組織の上記アクセスポリシに従って上記レンダリング装置の上記リソースにアクセスする間、上記レンダリング装置が上記組織のアプリケーションを実行することを可能にするために、各々の上記組織の上記アクセスポリシを順守するコンテンツデータ及び関連するメタデータを提供するステップとを有する当該方法に関する。
【0002】
本発明は、また、上記システムにおいて用いるコンピュータプログラム製品及びレンダリング装置に関する。レンダリング装置は、上記データ及び関連するメタデータをレンダリングする媒体信号を生成するレンダリング手段と、上記組織のアプリケーションを実行し、上記組織の上記アクセスポリシに従って当該レンダリング装置の上記リソースにアクセスするアクセス制御手段とを有する。
【0003】
本発明は、映画会社のような組織によりユーザデバイス内にマルチメディア及び対話型アプリケーションを提供する分野に関連している。上記アプリケーションは、レンダリング画像、背景映像、ゲーム、表示データの収集及び記憶、テキストレビュー等を含み得る。一般に、そのような対話型のアプリケーションは、予め定義されたフォーマットに従って記憶されるコンテンツデータと関連するメタデータとに基づいている。特に、本発明は、通常組織により提供され、所有されている所有権を有する(proprietary)データへのアクセスを制御することに関する。
【背景技術】
【0004】
文献US2004/0148514公報には、記憶媒体を含むレンダリングシステム及びディスプレイ上に対話型アプリケーションの記憶されたデータ、例えばビデオをレンダリングする再生方法が記載されている。光ディスク再生機のようなレンダリング装置は、記憶されている情報、例えばデジタル化して圧縮されたビデオデータを含むオーディオ/ビデオ(AV)ストリームを記録担体から取り出す。ソフトウェアの発行者(又は組織)は、コンテンツデータ(例えばオーディオ/ビデオ)及び関連するメタデータ(例えば、再生制御データ、背景テキスト及び映像、対話型アプリケーション等)を提供し得る。上記文献は、そのようなデータへのアクセスを制御し、予め定義されたアクセス制御フォーマットに従ってアクセスポリシを実現する種々のやり方を説明している。例えば、そのようなデータへのアクセスを保護及び制御するための暗号化方法が説明されている。デジタル証明書が認証機関により発行され得る。上記アクセスポリシは、各々の発行者又は組織によって提供されるアプリケーションによる所有権を有するデータへのアクセスを制御するのに特に適している。また、上記アクセスポリシは、例えば、ローカルストレージ容量部、ネットワーク接続又は特定のシステムのデータにアクセスするための許可を経て、レンダリング装置内のリソースへのアクセスを制御し得る。
【0005】
上記組織はアクセス制御フォーマットを順守しなければならないので、上記既知のシステムに従うアクセスポリシは、アプリケーション(これは、組織を意味する。)が適切に振る舞うという仮定に基づいて確立される。従って、上記アクセス制御システムは、上記組織により提供される又は各々の組織の制御の下で配信される当該アプリケーションに関するリソース又は所有権を有するデータにアクセスするアプリケーションの十分な制御を提供する。しかしながら、アプリケーションが、たとえアクセスポリシの全ての要求を順守するソースから作り出されていても、不正を行っている場合には問題が存在する。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、アクセス制御される環境において確立されたアクセスポリシを順守するアプリケーションの更なる制御を可能にするアクセス制御システムを提供することにある。
【課題を解決するための手段】
【0007】
この目的のために、本発明の第1の観点によれば、冒頭の段落において述べられた方法は、上記組織のアプリケーションに対して上記組織の上記アクセスポリシに関連して上記レンダリング装置の上記リソースへのアクセスを制限するユーザアクセスポリシを維持するステップと、上記組織のアプリケーションが上記組織の上記アクセスポリシに従って上記リソースにアクセスすることを選択的に許可する追加の信用データに基づいて、上記組織に対して上記ユーザアクセスポリシを調整するステップとを更に有する。
【0008】
この目的のために、本発明の第2の観点によれば、冒頭の段落において述べられた装置において、上記アクセス制御手段が、上記組織のアプリケーションに対して上記組織の上記アクセスポリシに関連して当該レンダリング装置の上記リソースへのアクセスを制限するユーザアクセスポリシを維持し、上記組織のアプリケーションが上記組織の上記アクセスポリシに従って上記リソースにアクセスすることを選択的に許可する追加の信用データに基づいて、上記組織に対して上記ユーザアクセスポリシを調整するように設けられる。
【0009】
ユーザアクセスポリシは、レンダリング装置のユーザのために作成される。このユーザアクセスポリシは、ユーザのレンダリング装置のリソースへのアクセスを更に制御するルール及びパラメータのセットである。上記追加の信用データは、任意の好適なやり方、例えば、ユーザによりアクティブに、ユーザにより選択される外部ソースから、自動的に、インターネットを経由して等のやり方で提供され得る。従って、ユーザアクセスポリシの制限は、各々の組織のアプリケーションに関して利用可能な既に受け入れられ、認証されたアクセスポリシに影響を及ぼすように適用される。
【0010】
上記対策は、レンダリングシステムにおいて、ユーザアクセスポリシが、アクセス制御フォーマットを順守する各々の組織のアクセスポリシの支配下に既にある組織のアプリケーションのユーザ制御を与えるように適用されるという効果を有する。有利なことに、そのようなアクセスがアクセスポリシにより許可可能であるにもかかわらず、ユーザがそのようなアクセスを望まない場合には、ユーザはレンダリング装置におけるリソースへのアクセスを制限する機会を有する。
【0011】
本発明は、また、以下の認識に基づいている。所有者のみに対して又は特定の予め定義された第三者に対する所有権を有するデータへのアクセスを制御するためのアクセス制御フォーマットは、上述したように例えばUS2004/0148514公報から知られている。また、BDフォーマット(ブルーレイ光ディスク;内容は、http://www.blu-raydisk.com 及び具体的にはhttp://www.blu-raydisk.com/Section-13628/Index.htmlにおいて入手可能であり、Section-13890はBDに関するJava(登録商標)プログラミング言語の仕様を含んでいる。)及びMHP規格(ETSIのウェブサイトhttp://www.etsi.orgから入手可能なDigital video Broadcasting Multimedia Home Platform Specification 1.0.3, ETSI TS 101 812 V1. 3. 1-2003-06)のようなマルチメディアコンテンツを配信する他のシステムは、アクセス制御ポリシの他の例を与えている。例えば、MHP規格は、ファイル若しくはサブディレクトリにアクセスするため又はデバイスにおいて利用可能な他のリソースを使用するために許可が与えられることを可能にする。これらの例では、アクセスポリシは暗号で実行される。
【0012】
しかしながら、本願発明者等は、ユーザによる更なる制御の必要があることを認識した。例えば、一度組織に対してアクセスポリシが確立されると、当該組織がもはや信用されないべきである場合であっても許可はこの組織により使用され得る。また、組織は幾らかのユーザに受け入れられるが、他のユーザには受け入れられないリソースを使用し得る。与えられる解決策は、レンダリング装置のリソースへのアクセスを更に制御するためにユーザアクセスポリシが確立されることである。組織の中には、他の組織と同様に信用され得ない組織もある。最近ビジネスをやめた何らかの組織の鍵は、当該組織の一般的なアクセス制御ポリシにより支配されるコンテンツ及びアプリケーションを作製するために依然として利用され得る。このコンテンツは、明らかな理由のために疑わしい信頼性のものである。さもなければ、ユーザがこの組織から映画を買うことに慣れていないために、組織は、ユーザに全く知られていない。本願発明者等は、状況がインターネット上の「信用できないウェブサイト」の問題とは異なり、インターネットブラウザにより与えられる対策と同じ対策では解決され得ないことを認識した。インターネットブラウザは、クラス(イントラネット、信用できる、制限される)に基づいてサイトを分類し、各クラスについて信用のレベルが規定される。上記コンテンツ配信システムでは、アプリケーションはウェブサイトと同等である。しかしながら、アプリケーションは、ウェブサイトのようにクラス毎にグループ化され得ない。本願発明者等は、ソース毎(これは、組織毎を意味する。)にユーザアクセスポリシを与えることによりアプリケーションが制御され得ることを認識した。インターネットブラウザに受け入れられるもの(これは、各サイトが疑わしく、ユーザにより承認されるまで動作することができないことを意味する。)が、ユーザにより購入された、単に再生すべきである記録担体上のマルチメディアデータには受け入れられない。有利なことに、ユーザアクセスポリシは、信用できない不審な組織のアプリケーションからの保護を与え、配信されるコンテンツデータのレンダリングを可能にする。
【0013】
一形態では、上記方法は、リモートデータベースエンティティにおいて信用データのセットを維持することと、上記ユーザアクセスポリシの上記調整のために上記セットから信用データを取り出すこととを有し、特定の場合に、ネットワークを経由して上記リモートデータベースエンティティにアクセスすることを更に有する。上記信用データは、任意の好適な担体、例えば記録担体を介して又はネットワークを経由して転送され得る。従って、データベースエンティティを実行する更なるパーティは、ユーザアクセスポリシを設定するレンダリング装置において適用される信用データを効果的に設定する。これは、ユーザがユーザの基本設定に従って信用データの最新のセットを維持するそのようなリモートデータベースエンティティを一旦選択することが可能な点で有利である。その後、ユーザアクセスポリシは、上記取り出された信用データに基づいて自動的に設定される。
【0014】
上記方法の一形態では、上記ユーザアクセスポリシが、上記レンダリング装置において知られていない組織に対して信用されないレベルを最初に設定することを有し、上記信用されないレベルは、上記組織のアプリケーションが上記リソースにアクセスすることを許可しない。これは、ユーザが、ユーザアクセスポリシを設定することによりそのようなアクセスを積極的に許可しない限り、知られていないソースのアプリケーションがアクセス権を得ることができない点で有利である。
【0015】
本発明による装置及び方法の更に好ましい形態は、最後に添付されている特許請求の範囲において与えられており、その開示は参照することにより本明細書に組み込まれるものとする。
【0016】
本発明のこれらの観点及びその他の観点は、添付の図面を参照して以下に例として述べられる実施の形態から明らかであり、該実施の形態を参照して更に説明されるであろう。
【図面の簡単な説明】
【0017】
【図1】記憶媒体を示している。
【図2】レンダリング装置を示している。
【図3】予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムを示している。
【図4】ファイルアクセス制御のメカニズムを示している。
【発明を実施するための形態】
【0018】
添付の図面では、異なる図面において対応する構成要素は、同一の参照符号を有している。
【0019】
図1は、トラック9と中心孔10とを有する円盤状の記録担体11を示している。トラック9は、情報を表す記録マークのシリーズの位置であり、情報層上のほぼ平行なトラックを構成するらせん状の回転パターンに従って配されている。この記録担体は、光学的に読取り可能であり、光ディスクと呼ばれている。光ディスクの例は、CD、DVD及びブルーレイディスク(BD)と呼ばれる青色レーザを使用する高密度の光ディスクである。DVDディスクについての更なる詳細は、参考文献ECMA-267: 120mmDVD -Read-Only Disk- (1997)において見出され得る。情報は、トラックに沿って光学的に検出可能なマークにより情報層に表される。
【0020】
上記記録担体11は、ファイル管理システムの制御の下でブロックでデジタル情報を載せるように意図されている。上記情報は、連続的に再生されるリアルタイムの情報、特にMPEG2又はMPEG4のようなデジタル符号化されたビデオを表す情報を含んでいる。
【0021】
新しい光ディスクの規格では、高精細度のビデオが、対話型の見る経験をもたらすようにグラフィクス及びアプリケーションと組み合わせられることが可能であり、例えば、ビデオは見る経験を高めるように対話型アプリケーションと組み合わせられ得る。典型的には、これらのアプリケーションは、ユーザがビデオコンテンツの再生を制御すること、コンテンツ上のより多くの情報を得ること又は新しいサービスにアクセスすることを可能にする。新しいサービスに対して、ユーザデバイスは、インターネットのようなネットワークへの接続を確立する通信インターフェースを有し得る。この接続を介して、上記アプリケーションは、例えば、テレビジョン(TV)のような表示装置上において電子商取引、賭博及び情報サービスを提供し得る。ハードディスクドライブ(HDD)のような「ローカルな」不揮発性の記憶媒体が、例えばダウンロードされる情報を記憶するために各記録媒体の再生機において利用可能である。
【0022】
上記記憶媒体は、予め定義されたデータ記憶フォーマットに従ってコンテンツ情報及び関連するメタデータ、例えば、ビデオと、ボタン,グラフィック要素若しくはアニメーション,コンテンツ情報の背景情報,追加のゲーム又は対話型ツール等のような仮想オブジェクトを含む関連するメタデータとを載せている。上記コンテンツデータ及び関連するメタデータは、所謂組織(これは、コンテンツ提供者及び/又は所有者を意味する)により与えられる。この組織に関して、上記データはプロプライエタリと呼ばれ、これは、対応する組織の制御下にある及び/又は対応する組織を所持していることを意味する。予め定義されたデータ記憶フォーマットは、例えばHDD上のデータ及び例えば暗号化方法を用いることによりアクセス制御されるための通信インターフェースのようなサービスが専ら適用可能な著作権の規定に従って利用可能であることを可能にする。予め定義されたデータアクセスフォーマットに従って特定の組織のために作られるパラメータ及びルールのセットは、アクセスポリシと呼ばれる。
【0023】
図2は、リアルタイムの情報及びアクティブな情報を再生するレンダリング装置を示している。この装置は読出し手段を備えており、該読出し手段は、記憶されている情報を取り出すヘッド22と、上述したような記録担体11のトラックを走査する走査手段とを含んでいる。上記走査手段は、記録担体11を回転させるドライブユニット21と、トラックの半径方向にヘッド22を粗く位置決めする位置決めユニット25と、制御ユニット20とを含んでいる。ヘッド22は、記録担体の情報層のトラック上の放射スポット23に集束する光学素子によって誘導される放射ビーム24を生成する既知のタイプの光学システムを有している。放射ビーム24は、放射源、例えばレーザダイオードにより生成される。上記ヘッドは、上記ビームの光軸に沿って放射ビーム24の焦点を動かすフォーカシングアクチュエータと、トラックの中心上においてスポット23を細かく半径方向に位置決めするトラッキングアクチュエータとを更に有している(図示せず)。
【0024】
上記制御ユニット20は、制御ライン26、例えばシステムバスを介して制御されるべき他のユニットに接続されている。この制御ユニット20は、以下に説明されるように本発明による手続き及び機能を実行する制御回路、例えばマイクロプロセッサと、プログラムメモリと、制御ゲートとを有している。制御ユニット20は、また、論理回路においてステートマシンとしても実現され得る。
【0025】
読出しのために、上記情報層により反射した放射は、読出し信号と、上記トラッキング及びフォーカシングアクチュエータを制御するトラッキングエラー及びフォーカシングエラー信号を含む他の検出器信号とを生成するヘッド22の通常のタイプの検出器、例えば四象限ダイオードにより検出される。上記読出し信号は、記憶された情報をレンダリングし、この記憶された情報を表示し、モニタ又はテレビ受像機のようなディスプレイ上において該記憶された情報の仮想オブジェクトにアクセスする表示信号を生成するレンダリングユニット30により処理される。上記表示とは、仮想オブジェクト、例えば、リアルタイムの情報を再生する間に対話型ユーザインターフェースにおけるコマンドを呼び出すボタン又はアニメーションを表示し、実行することを含む。
【0026】
本発明によれば、上記装置は、組織のアクセスポリシに従ってレンダリング装置のリソース41にアクセスする間、アプリケーションを実行するアクセス制御ユニット31を備えている。リソース41は、アプリケーションにより影響を及ぼされ得る又は用いられ得るレンダリング装置の任意の特徴を含んでおり、ネットワーク接続、例えばインターネットに接続するモデム、アプリケーションデータを記憶するハードディスク若しくはソリッドステートメモリのようなローカルストレージ、パレンタル制御の設定値若しくはサウンドレベルのような種々のシステムパラメータ若しくは装置パラメータ、又は、ユーザ名,ファミリデータ若しくはクレジットカードのデータのような個人ユーザデータを含み得る。
【0027】
アプリケーションは、通常ソフトウェアを介して組織により上記レンダリング装置において利用可能とされる機能である。アプリケーションは、また、異なるソース、例えばレンダリング装置の製造業者により与えられるか、又は、汎用タイプのアプリケーションは独立したソフトウェア会社により与えられ得る。本発明に係るアクセス制御ユニット31の固有の機能は、組織のアプリケーションに対して組織のアクセスポリシに関連してレンダリング装置のリソース41へのアクセスを最初に制限するユーザアクセスポリシを維持することと、組織のアプリケーションが組織のアクセスポリシに従ってリソースにアクセスすることを選択的に許可する追加の信用データに基づいて組織に対するユーザアクセスポリシを調整することとであり、これは、図3を参照して以下に更に説明される。
【0028】
アプリケーション、アプリケーションの一部又は関連する機能は、上記アクセス制御ユニットにおける常駐機能として実現され得ることに注意されたい。代替として、アプリケーションは、他の情報担体を介して又はネットワーク、例えばインターネットを経由して記録担体上に与えられ得る。アクセス制御ユニット31は、制御ユニット20におけるソフトウェア機能として、レンダリングユニット30の一部として又は分離したユニットとして実現され得る。
【0029】
上記装置は、書込み可能な又は書換え可能であるタイプの記録担体11、例えばDVD+RW又はBD−REに情報を書き込むように設けられ得る。その場合、上記装置は、ヘッド22を駆動するため書込み信号を生成するように入力情報を処理する書込みユニット29を有する。
【0030】
上記レンダリングシステムの一実施の形態では、レンダリング装置は、リモートソースからコンテンツデータ及び関連するメタデータを取り出し得る。ユーザロケーションにおけるレンダリング装置は、ネットワークを介してサーバに接続可能である。ユーザデバイス、例えばセットトップボックス(STB)は、ビデオのようなブロードキャストデータを受信する受信器を備えている。このユーザデバイスは、該デバイスをネットワーク、例えばインターネットに接続するネットワークインターフェース、例えばモデムを備えている。サーバもまた、サーバデバイスをネットワークに接続するインターフェースを備えている。ネットワークに接続可能であるユーザデバイスはマルチメディアデバイス(例えば、標準化されたマルチメディアホームプラットフォームMHP)、エンハンスド携帯電話、個人用携帯情報端末等も含むことに注意されたい。
【0031】
図3は、予め定義されたデータアクセスフォーマットに従うアクセス制御を持つコンテンツ配信システムを示している。このシステム300は、第1のコンテンツデータ及び関連するメタデータを提供する第1の組織32と、第2のコンテンツデータ及び関連するメタデータを提供する第2の組織33とを有している。コンテンツを配信するために、このシステムは、更に、第1の所有権を有するデータを伝送する第1の記録担体34と、第2の所有権を有するデータを伝送する第2の記録担体36とを有している。代替として、上記関連するメタデータのような所有権を有するデータ又はその一部は、異なるチャンネル、例えばインターネットのようなネットワークにより配信され得る。第1の組織32はまた、上記第1のコンテンツデータ及び関連するメタデータを操作する少なくとも1つの組織のアプリケーション35を提供し得る。第2の組織33はまた、対応する第2のデータを操作する少なくとも1つの組織のアプリケーション37を提供し得る。
【0032】
レンダリング装置39は、矢印34´,36´及び38´により示されているように、上記記録担体からのコンテンツデータ及び関連するメタデータをレンダリングするよう設けられている。このレンダリング装置は、ディスプレイ40に結合され得るとともに、ネットワークインターフェースを介してネットワーク43に結合され得る。一実施の形態では、レンダリング装置39は、ネットワーク43を経由してコンテンツデータ及び/又は関連するメタデータを取り出す。アプリケーションは、レンダリング装置において効果的に実行される。アプリケーションは、レンダリング装置に最初に含まれていてもよいし、例えばネットワークを経由して別個に配信され、レンダリング装置に記憶されてもよい。上記記録担体は、コンテンツデータ及び関連するメタデータを伝達するためのものであるが、アプリケーションも伝達し得る。
【0033】
各組織は、各々のアクセスポリシ(これは、予め定義されたアクセス制御フォーマットに従うルール及びパラメータのセットを意味している。)を持っている。第1の組織のアプリケーション35は、第1のアクセスポリシに従って第1の所有権を有するデータにアクセスすることができ、第2の組織のアプリケーション37は、第2の所有権を有するデータにアクセスすることができる。アプリケーションに対するアクセスポリシは、上記システムにより一部設定され(例えば、アプリケーション35は、アプリケーション37に関連する「ローカル」ストレージ上のデータにアクセスすることができない。)、組織自体により一部設定される(例えば、組織32は、組織33のアプリケーション37がアプリケーション35と関連するデータにアクセスすることを可能にする。)。使用許諾を受けている組織のみが、後者のポリシを作るための暗号鍵を有する。
【0034】
上記システムは、それぞれが各々の所有権を有するデータを持つ更なる組織と、対応する更なる記録担体38及び/又はアプリケーションとにより拡張されることが可能であり、各組織は、通常幾つかの所有権を有するデータのセット(例えば、映画製作と対応するユーザに対する追加料金)を有し、各セット(製作)は幾つかの記録担体上において商業的に増大することに注意されたい。
【0035】
アクセス制御ユニット31は、更に例えばユーザインターフェースを介したユーザ入力に基づいてユーザアクセスポリシを設定するように設けられている。ユーザアクセスポリシは、レンダリング装置のリソース41へのアクセスを制限する。組織のアクセスポリシは、本来、データアクセスフォーマットにおいて定義されるようなリソースへのアクセスを制御するために実施されることに注意されたい。ユーザアクセスポリシは、また、ユーザの基本設定に従って上記アクセスに影響を及ぼし、制限する。ユーザは、所望の値に基本設定を明示的に設定するか、そうでなければそのような設定値は外部のソースからの信用データに基づいて設定又は調整され得る。例えば、レンダリング装置の製造業者は、通常、安全かつ制限されたレベルで最初に基本設定を設定し、これはその後ユーザにより変更され得る。従って、上記アクセス制御ユニットは、追加の信用データに基づいてユーザアクセスポリシを調整するように設けられ、それにより組織のアプリケーションが組織のアクセスポリシに従って決定されるアクセスの最大の許可されるレベルまでリソースにアクセスすることを選択的に可能にする。
【0036】
一実施の形態では、コンテンツ配信システム300は、信用データのセットを維持するリモートデータベースエンティティ42を有している。このリモートデータベースエンティティは、ネットワークに接続するネットワークインターフェースを介し、ネットワーク43、例えばインターネット経由で上記レンダリング装置に結合され得る。データベースエンティティ42は、データを記憶するデータベースユニット45を備えており、このユニットは信用データのセットを維持するように設けられている。上記維持することは、とりわけ、不正を行っている組織に対して信用データを適応させること、新しい組織に対して新しい信用データを加えること、特定の組織に対してユーザフィードバックを用いること等を含み得る。上記レンダリング装置の要求に応じて、又は自動的若しくは周期的に、上記データベースエンティティは、上記セットからの必要な信用データのサブセットをネットワークインターフェース手段44を介してレンダリング装置に転送する。その後、レンダリング装置は、組織のアプリケーションが組織のアクセスポリシに従ってリソースにアクセスすることを選択的に許可する信用データに基づいて組織に対してユーザアクセスポリシを調整する。例えば、上記リモートデータベースエンティティは、レンダリング装置の製造業者、消費者組織、プライバシ意識団体等により与えられ得る。アクセス制御ユニット31は、ユーザアクセスポリシの調整のために信用データのセットから信用データを取り出すよう設けられている。
【0037】
一実施の形態では、上記追加の信用データは、限定された数の信用レベル(例えば2つのみであり、完全に信用されるレベル又は全く信用されないレベル)を有している。第1のレベルが設定されると、組織のアプリケーションは、組織のアクセスポリシの設定に従ってリソースにフルアクセスする。第2のレベルが設定されると、組織のアプリケーションはリソースに全くアクセスしないが、組織のアクセスポリシの設定はそのようなアクセスを許可する。他の実施の形態では、上記信用レベルは3つのレベルを有し、それは、組織のアプリケーションが組織のアクセスポリシに従って上記リソースに全面的にアクセスすることを可能にする完全に信用されるレベルと、組織のアプリケーションが予め定義されたリソースのサブセットにアクセスすることを可能にする部分的に信用されるレベルと、上記リソースへの組織のアプリケーションのアクセスを許可しない信用されないレベルとを意味する。また、アクセス制御ユニット31は、上記部分的信用されるレベルにおいて許可される特定のアクセス(例えば、データを記憶することを許可されるアクセスは許可されるが、クレジットカードへのアクセスは許可されない。)を設定するように設けられ得る。
【0038】
一実施の形態では、ユーザアクセスポリシは、レンダリング装置39において知られていない組織に対して信用されないレベルを最初に設定することを含んでいる。この信用されないレベルは、組織のアプリケーションが上記リソースにアクセスすることを許可しない。アクセス制御ユニット31は、新規の知られていない組織からの任意のアプリケーションに対するアクセスを最初に妨げるように設定される。
【0039】
図4は、ファイルアクセス制御のメカニズムを示している。この図は、ルートディレクトリ61と、幾つかの組織に関する組織のサブディレクトリ62とを備えたファイルシステム60を模式的に示している。各組織は、幾つかの映画に関する更なる映画のサブディレクトリ63を有している。各ディレクトリにはファイルが存在しており、例えば、サブディレクトリ63「movie1a」にはオーディオビデオファイル69及び「Xlet1a」と呼ばれるアプリケーションファイル64が存在し、他のサブディレクトリには「Xlet1b」と呼ばれるアプリケーション70及び「Xlet3a」と呼ばれるアプリケーション71が存在する。各サブディレクトリ又はファイルは、許可インジケータ66、例えばサブディレクトリにアクセスする種々のユーザに対して読出し及び書込みを行う権限を示す「UNIX(登録商標)許可」を有している。データアクセスフォーマットに従って、各アプリケーションは信用証明書65を有しており、この証明書65は、所有権情報にアクセスするアクセス権を示す、アクセスパラメータを含み得る(通常は分離したファイル内の)追加の量のデータである。アプリケーション70(Xlet1b)は、ファイル69(A/V2、グループ読出しアクセス権を持つ)への読出しアクセス権を得るが、矢印68により示されているようにアプリケーション64(専ら映画のオーナーアクセス権を持つXlet1a)を開始することは許可されないことに注意されたい。アプリケーション71(Xlet3a)は、アプリケーション64(Xlet1a)及びファイル69(A/V2)と同じグループ(組織1)内には存在していないので、矢印67により示されているようにファイル69(A/V2)へのアクセス権を得るためには、例えば組織1により署名された特別な証明書65を必要とする。
【0040】
図4に示されているようなデータアクセスフォーマットの一実施の形態は、Java(登録商標)をベースとしており、ブルーレイディスクROMフルフィーチャモードにおいて用いられ得る。そのようなBD−ROMの再生機は、小さいアプリケーション(通常Xletsと呼ばれるプログラム)を動作させるJava(登録商標)仮想マシンを含んでいる。これらのフレキシブルであり、強力なレンダリングマシンも、ネットワーク接続部を備えており、ハードディスクドライブ(HDD)の形態のローカルストレージを有し得る。コンテンツの所有者(これは、組織を意味する。)は、BD−ROMディスクで又はネットワーク接続を介して映画とともにアプリケーションを配信することができる。そのようなシステムの標準的なアクセス制御では、保護されるメモリロケーション(キーロッカーとも呼ばれるデバイスリソース)内の任意のアクセスパラメータを記憶するオリジナルのアプリケーションのみが上記アプリケーションを取り出すことができる。
【0041】
MHP(上記の参考文献参照)に従うデータアクセスフォーマットは、ブラウジング、A/Vデータとの対話等の目的のためにセットトップボックス(STB)上でJava(登録商標) Xletsを走らせることを可能にするためのJava(登録商標)のセブセット及び拡張機能である。アプリケーションは、ロードされると、最初に上記システムにより認証される。その後、このシステムは、あるグループ(「organization _id」)が属するホームディレクトリを伴って(UNIX(登録商標)オペレーティングシステムと同様の)システム上で(「application_id」に基づいて)アプリケーションをユーザとして取り扱う。上記アプリケーションには、アクセスポリシに従う(許可リクエストファイルと呼ばれる)アクセスパラメータが付いており、このアクセスパラメータを介してアプリケーションはシステムからあるリソース(ネットワークアクセス等)を要求し、これは、アクセスポリシファイルに依存して与えられ得る。
【0042】
データアクセスフォーマットは、その後、レンダリング装置のローカルストレージに記憶されるデータに対して2層のアクセス構造を規定するためにこれらの特徴を用いる。
1.UNIX(登録商標)スタイルの許可権:(又はデフォルトのポリシ)データが通常のディレクトリツリーにおいてファイルとして記憶される。どのファイル及びディレクトリもみな、各レベルについて読出し/書込みアクセス許可66を与えられる(MHP、セクション12.6.2.7.2参照)。
a.アプリケーション(データを作成したアプリケーション)
b.組織(上記作成アプリケーションと同じ組織に属するアプリケーション)
c.ワールド(全てのアプリケーション)
2.証明書のメカニズム:上記メカニズムをオーバーライドするため及びよりきめの細かいアクセス権を与えるために、ファイル/ディレクトリの所有者は、(例えば他のグループからの)他のアプリケーションがそのようなファイル/ディレクトリにアクセスできることの(署名入りの)提示(statement)である証明書65を用意することができる。証明書65は、上述した許可リクエストファイルに含まれている。アプリケーションをロードするとすぐに、上記システムは、証明書及びポリシファイルに基づいて、アプリケーションが追加のファイルへのアクセス権を得るべきであるかを決定する(MHP、セクション12.6.2.6参照)。上記ディレクトリ/ファイルのアクセス制御メカニズムは、BD−ROMのような記録担体に対して用いられ得る。その場合、「application_id」は特定のディスクと関連するアプリケーションに対応し、「organization_id」はある組織に対応する。
【0043】
上記アクセス制御メカニズムを強化するために、上述したようにユーザアクセスポリシが作成される。他の例がこれから説明される。ブルーレイディスク(BD)のような新しいコンテンツ配信システムは、対話型のアプリケーションを可能にするようにJava(登録商標)コードをサポートする。Java(登録商標)がサポートされるやり方は、セキュリティ部を含むGEM(Globally Executable MHP,MHP参考文献参照)にほぼ準拠している。その結果、BDのセキュリティモデルは、信用されたアプリケーションに署名することにより悪質なコードからのユーザの保護を与える。各組織は、直接アプリケーションに署名すること又は(ソフトウェアに署名する)ソフトウェアの制作者が合法であることを照明することのいずれか一方により、当該組織が提供するアプリケーションが問題ないことを証明する。次に、証明機関(CA)は、組織の証明書が有効であることを証明する(以下参照)。
【0044】
上記ユーザアクセスポリシは、セキュリティポリシを適用する際に、ユーザが各組織間の区別を行うことを可能にする。(組織の識別子、例えばOrganization_IDに基づいて選択される)異なる組織に対する別個のユーザアクセスポリシは、信用される組織によってもたらされるアプリケーションに関するリソースの制限されない使用と、知られていない組織からのアプリケーションによるリソースの幾らか制限された使用と、明らかに信用されない組織からのアプリケーションに関するリソースの非常に制限された使用とを可能にする。最後のケースでは、署名された、従って認証されたアプリケーション、換言するとデータアクセスフォーマットに従ってフルアクセス権を得るべきアプリケーションは、ユーザがそのソースを信用しないので、フルアクセス権を得ない。要するに、ユーザアクセスポリシは、そのようなアプリケーションを認証されていないアプリケーションに戻す。
【0045】
組織毎に信用のレベルを割り当てることにより、ユーザアクセスポリシは、新しいアプリケーションがユーザポリシが設定されている組織からであることを条件に、新しいアプリケーションに対して適切な信用のレベルを自動的に割り当てる。任意の新しい組織に対して最も低い信用のレベルを割り当てることにより、全ての組織のユーザポリシが設定される。ユーザは、組織に対して従って自動的に該組織の全てのアプリケーションに対して信用のレベルをアップグレードする機会を持つ。このやり方は、信用レベルを管理する際のユーザに対する仕事の量が非常に制限される。有利なことに、このユーザの増大した便利さは、いかなるやり方においてもプラットフォームのセキュリティを減少させない。
【0046】
組織毎にある区分けのオプションが存在する。一実施の形態では、組織を区分けすることをサポートするウェブサイトが作成される。このウェブサイトは、多数の組織に関する信用データのリストを保持する。いかなる不審な組織もが、任意の信用された組織と同様に、リスト上でそのようなものとして特定される。従って、レンダリング装置における区分けのプロセスは、インターネットを経由してそのようなウェブサイトとコンタクトを取ることにより、セキュリティに関して妥協することなく完全に自動化され得る。単に(クレジットカードの番号又はネットワーク接続のような)ある鍵リソースへのアクセスを制限するために、不審な組織からのディスクを阻止することが意図ではないことに注意されたい。特定の組織からの特定のアプリケーションは、組織の区分けに基づいて特定のアクセスのレベルを持つ。
【0047】
データアクセスフォーマットは、以下のことを含み得る。認証されるアプリケーションは、ハッシュ値を求められ、マスタハッシュファイルのハッシュは、組織の秘密鍵を用いて該ハッシュを暗号化することにより署名される。シグネチャはディスクに与えられる。関連する公開鍵は、組織の証明書に含まれている。このシグネチャもまたディスクに与えられる。これは、以下のように表され得る。
【数1】
組織のアプリケーションにおいてJava(登録商標)コードを認証するために、上記レンダリング装置はCAの公開鍵を用いて組織の証明書のシグネチャを確認する。これが正しく一致すると、組織の証明書からの組織の公開鍵がアプリケーションのシグネチャを確認するために用いられる。
【0048】
アプリケーションを認定するためにJava(登録商標)コードの作成者がJava(登録商標)コード自体の鍵のセットを用いるので、他の信用のレベルが存在し得る。その場合、組織は上記作成者の証明書に署名する必要がある。これは、以下のように表され得る。
【数2】
【0049】
上述したようなユーザアクセスポリシの関数を与えるアクセス制御ユニット31は、ユーザデバイスにおいて実行されるコンピュータプログラム製品により与えられ得ることに注意されたい。上記プログラムは、標準的なユーザデバイス、例えばラップトップ型コンピュータのプロセッサにユーザアクセスポリシを維持し、調整するステップを実行させるように動作する。上記プログラムは、記録担体上に例えばインターネットを経由してソフトウェアプラグインとして配信されるか、又は任意の他のアプリケーション及びオーディオ/ビデオコンテンツとともにブロードキャストにより送信される。ロードされると、ソフトウェアは、アプリケーションがユーザアクセスポリシに従ってデバイスのリソースにアクセスするように該アプリケーションを制御する。
【0050】
本発明が、主に光ディスクをベースとする実施の形態により説明されたが、他の記憶媒体又はコンテンツ及び/又はメタデータを配信する配信システムも適用され得る。しかしながら、本発明は、とりわけユーザのレンダリング装置において組織により与えられるデータに対するセキュリティポリシに関係があることに注意されたい。各組織は、当該組織に関連したデータを記憶するため及び更にリソースにアクセスするためにある量のローカルストレージを与えられ得る。上記データに関するアクセスポリシは、当該組織からであることを確認されるアプリケーションのみが当該データへのアクセス権を持つことである。例えば、許可はJava(登録商標)言語を用いて与えられ得る。アプリケーションは、アクセスポリシのパラメータファイルと比較される許可リクエストファイルを持っている。以前は、不審な又は知られていない組織が所定の場所に証明機関(CA)によって有効である証明書を持っている状態において、ユーザがシステムリソースへのフルアクセス権を得ることから該組織を阻止することは可能ではなかった。本発明の場合、要求される許可がアクセスポリシにより可能にされると、ユーザアクセスポリシもそうようなアクセスを許可する場合にのみ対応するリソースがアプリケーションに開放される。
【0051】
この文書において「有する」という語は記載されている構成要素又はステップ以外の他の構成要素又はステップの存在を排除するものではなく、構成要素の前に付されている単語「a」又は「an」はそのような構成要素の複数の存在を排除するものではなく、また、いかなる参照符号も特許請求の範囲を限定するものではなく、本発明はハードウェア及びソフトウェアの両方により実現され、幾つかの「手段」はハードウェアの同じアイテムにより表現され得ることに注意されたい。更に、本発明の範囲は上記実施の形態に限定されるものではなく、本発明は、上述した一つ一つの新規の特徴又は特徴の組み合わせに見出される。
【特許請求の範囲】
【請求項1】
予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムにおいてアクセス制御を管理する方法であり、前記システムは、
コンテンツデータ及び関連するメタデータを提供する少なくとも1つの組織と、
前記コンテンツデータ及び関連するメタデータをレンダリングし、アプリケーションを実行するレンダリング装置と、
前記コンテンツデータ及び関連するメタデータを操作する少なくとも1つのアプリケーションと
を有し、この方法は、
前記予め定義されたデータアクセスフォーマットに従って前記組織に対してアクセスポリシを設定するステップであって、前記アクセスポリシは、前記レンダリング装置のリソースと前記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有する当該ステップと、
前記組織の前記アクセスポリシを順守する少なくとも1つの組織のアプリケーションを提供するステップと、
前記組織の前記アクセスポリシに従って前記レンダリング装置の前記リソースにアクセスする間、前記レンダリング装置が前記組織のアプリケーションを実行することを可能にするために、各々の前記組織の前記アクセスポリシを順守するコンテンツデータ及び関連するメタデータを提供するステップと
を有する当該方法であって、
前記組織のアプリケーションに対して前記組織の前記アクセスポリシに関連して前記レンダリング装置の前記リソースへのアクセスを制限するユーザアクセスポリシを維持するステップと、
前記組織のアプリケーションが前記組織の前記アクセスポリシに従って前記リソースにアクセスすることを選択的に許可する追加の信用データに基づいて、前記組織に対して前記ユーザアクセスポリシを調整するステップと
を更に有する当該方法。
【請求項2】
リモートデータベースエンティティにおいて信用データのセットを維持することと、
前記ユーザアクセスポリシの前記調整のために前記セットから信用データを取り出すことと
を有し、特定の場合に、ネットワークを経由して前記リモートデータベースエンティティにアクセスすることを更に有する請求項1記載の方法。
【請求項3】
前記追加の信用データは、限定された数の信用レベルを有する請求項1記載の方法。
【請求項4】
前記信用レベルは、
前記組織のアプリケーションが前記組織の前記アクセスポリシに従って前記リソースに全面的にアクセスすることを許可する全面的に信用されるレベルと、
前記組織のアプリケーションが予め定義されたリソースのサブセットにアクセスすることを許可する部分的に信用されるレベルと、
前記リソースへの前記組織のアプリケーションのアクセスを許可しない信用されないレベルと
を有する請求項3記載の方法。
【請求項5】
前記ユーザアクセスポリシは、前記レンダリング装置において知られていない組織に対して信用されないレベルを最初に設定することを有し、前記信用されないレベルは、前記組織のアプリケーションが前記リソースにアクセスすることを許可しない請求項1記載の方法。
【請求項6】
前記レンダリング装置の前記リソースは、
ネットワーク接続と、
データを記憶するメモリロケーションと、
システム又はデバイスパラメータと、
名前又はクレジットカードのデータのような個人ユーザデータと
のうちの少なくとも1つを有する請求項1記載の方法。
【請求項7】
データ及び関連するメタデータをレンダリングする装置においてアクセス制御を管理するコンピュータプログラム製品であって、前記プログラムは、請求項1ないし6のいずれか1項に記載の方法において前記ユーザアクセスポリシを維持及び調整することをプロセッサに実行させるように動作する当該コンピュータプログラム製品。
【請求項8】
予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムにおいて用いるコンテンツデータ及び関連するメタデータをレンダリングする装置であり、前記システムは、
コンテンツデータ及び関連するメタデータを提供する少なくとも1つの組織と、
前記コンテンツデータ及び関連するメタデータを操作する少なくとも1つのアプリケーションと
を更に有し、
前記システムは、
前記予め定義されたデータアクセスフォーマットに従って、前記組織に対して、当該レンダリング装置のリソースと前記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有するアクセスポリシを設定し、
前記データにアクセスする前記組織の前記アクセスポリシを順守する少なくとも1つの組織のアプリケーションを提供し、
各々の前記組織の前記アクセスポリシを順守するコンテンツデータ及び関連するメタデータを提供する
ように設けられ、
前記データ及び関連するメタデータをレンダリングする媒体信号を生成するレンダリング手段と、
前記組織の前記アクセスポリシに従って当該レンダリング装置の前記リソースにアクセスする間、前記組織のアプリケーションを実行するアクセス制御手段と
を有する当該装置であって、
前記アクセス制御手段は、
前記組織のアプリケーションに対して前記組織の前記アクセスポリシに関連して当該レンダリング装置の前記リソースへのアクセスを制限するユーザアクセスポリシを維持し、
前記組織のアプリケーションが前記組織の前記アクセスポリシに従って前記リソースにアクセスすることを選択的に許可する追加の信用データに基づいて、前記組織に対して前記ユーザアクセスポリシを調整する
ように設けられた当該装置。
【請求項9】
前記アクセス制御手段は、
ネットワークを経由して信用データのセットを維持するように設けられたリモートデータベースエンティティにアクセスし、
前記ユーザアクセスポリシの前記調整のために前記セットから信用データを取り出す
ように設けられた請求項8記載の装置。
【請求項10】
予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムにおいて用いるデータベースエンティティであり、前記システムは、
コンテンツデータ及び関連するメタデータを提供する少なくとも1つの組織と、
前記コンテンツデータ及び関連するメタデータをレンダリングするレンダリング装置と、
前記コンテンツデータ及び関連するメタデータを操作する少なくとも1つのアプリケーションと
を更に有し、
前記システムは、
前記予め定義されたデータアクセスフォーマットに従って、前記組織に対して、前記レンダリング装置のリソースと前記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有するアクセスポリシを設定し、
前記データにアクセスする前記組織の前記アクセスポリシを順守する少なくとも1つの組織のアプリケーションを提供し、
各々の前記組織の前記アクセスポリシに従って前記コンテンツデータ及び関連するメタデータを提供する
ように設けられ、
データを記憶するデータベース手段を有する当該データベースエンティティであって、
前記データベース手段は、
信用データのセットを維持し、
前記組織のアプリケーションが前記組織の前記アクセスポリシに従って前記リソースにアクセスすることを選択的に許可する前記信用データに基づいて、前記組織に対する前記ユーザアクセスポリシの調整のために前記セットからの前記信用データを前記レンダリング装置に転送する
ように設けられた当該データベースエンティティ。
【請求項1】
予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムにおいてアクセス制御を管理する方法であり、前記システムは、
コンテンツデータ及び関連するメタデータを提供する少なくとも1つの組織と、
前記コンテンツデータ及び関連するメタデータをレンダリングし、アプリケーションを実行するレンダリング装置と、
前記コンテンツデータ及び関連するメタデータを操作する少なくとも1つのアプリケーションと
を有し、この方法は、
前記予め定義されたデータアクセスフォーマットに従って前記組織に対してアクセスポリシを設定するステップであって、前記アクセスポリシは、前記レンダリング装置のリソースと前記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有する当該ステップと、
前記組織の前記アクセスポリシを順守する少なくとも1つの組織のアプリケーションを提供するステップと、
前記組織の前記アクセスポリシに従って前記レンダリング装置の前記リソースにアクセスする間、前記レンダリング装置が前記組織のアプリケーションを実行することを可能にするために、各々の前記組織の前記アクセスポリシを順守するコンテンツデータ及び関連するメタデータを提供するステップと
を有する当該方法であって、
前記組織のアプリケーションに対して前記組織の前記アクセスポリシに関連して前記レンダリング装置の前記リソースへのアクセスを制限するユーザアクセスポリシを維持するステップと、
前記組織のアプリケーションが前記組織の前記アクセスポリシに従って前記リソースにアクセスすることを選択的に許可する追加の信用データに基づいて、前記組織に対して前記ユーザアクセスポリシを調整するステップと
を更に有する当該方法。
【請求項2】
リモートデータベースエンティティにおいて信用データのセットを維持することと、
前記ユーザアクセスポリシの前記調整のために前記セットから信用データを取り出すことと
を有し、特定の場合に、ネットワークを経由して前記リモートデータベースエンティティにアクセスすることを更に有する請求項1記載の方法。
【請求項3】
前記追加の信用データは、限定された数の信用レベルを有する請求項1記載の方法。
【請求項4】
前記信用レベルは、
前記組織のアプリケーションが前記組織の前記アクセスポリシに従って前記リソースに全面的にアクセスすることを許可する全面的に信用されるレベルと、
前記組織のアプリケーションが予め定義されたリソースのサブセットにアクセスすることを許可する部分的に信用されるレベルと、
前記リソースへの前記組織のアプリケーションのアクセスを許可しない信用されないレベルと
を有する請求項3記載の方法。
【請求項5】
前記ユーザアクセスポリシは、前記レンダリング装置において知られていない組織に対して信用されないレベルを最初に設定することを有し、前記信用されないレベルは、前記組織のアプリケーションが前記リソースにアクセスすることを許可しない請求項1記載の方法。
【請求項6】
前記レンダリング装置の前記リソースは、
ネットワーク接続と、
データを記憶するメモリロケーションと、
システム又はデバイスパラメータと、
名前又はクレジットカードのデータのような個人ユーザデータと
のうちの少なくとも1つを有する請求項1記載の方法。
【請求項7】
データ及び関連するメタデータをレンダリングする装置においてアクセス制御を管理するコンピュータプログラム製品であって、前記プログラムは、請求項1ないし6のいずれか1項に記載の方法において前記ユーザアクセスポリシを維持及び調整することをプロセッサに実行させるように動作する当該コンピュータプログラム製品。
【請求項8】
予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムにおいて用いるコンテンツデータ及び関連するメタデータをレンダリングする装置であり、前記システムは、
コンテンツデータ及び関連するメタデータを提供する少なくとも1つの組織と、
前記コンテンツデータ及び関連するメタデータを操作する少なくとも1つのアプリケーションと
を更に有し、
前記システムは、
前記予め定義されたデータアクセスフォーマットに従って、前記組織に対して、当該レンダリング装置のリソースと前記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有するアクセスポリシを設定し、
前記データにアクセスする前記組織の前記アクセスポリシを順守する少なくとも1つの組織のアプリケーションを提供し、
各々の前記組織の前記アクセスポリシを順守するコンテンツデータ及び関連するメタデータを提供する
ように設けられ、
前記データ及び関連するメタデータをレンダリングする媒体信号を生成するレンダリング手段と、
前記組織の前記アクセスポリシに従って当該レンダリング装置の前記リソースにアクセスする間、前記組織のアプリケーションを実行するアクセス制御手段と
を有する当該装置であって、
前記アクセス制御手段は、
前記組織のアプリケーションに対して前記組織の前記アクセスポリシに関連して当該レンダリング装置の前記リソースへのアクセスを制限するユーザアクセスポリシを維持し、
前記組織のアプリケーションが前記組織の前記アクセスポリシに従って前記リソースにアクセスすることを選択的に許可する追加の信用データに基づいて、前記組織に対して前記ユーザアクセスポリシを調整する
ように設けられた当該装置。
【請求項9】
前記アクセス制御手段は、
ネットワークを経由して信用データのセットを維持するように設けられたリモートデータベースエンティティにアクセスし、
前記ユーザアクセスポリシの前記調整のために前記セットから信用データを取り出す
ように設けられた請求項8記載の装置。
【請求項10】
予め定義されたデータアクセスフォーマットに従ってアクセス制御するコンテンツ配信システムにおいて用いるデータベースエンティティであり、前記システムは、
コンテンツデータ及び関連するメタデータを提供する少なくとも1つの組織と、
前記コンテンツデータ及び関連するメタデータをレンダリングするレンダリング装置と、
前記コンテンツデータ及び関連するメタデータを操作する少なくとも1つのアプリケーションと
を更に有し、
前記システムは、
前記予め定義されたデータアクセスフォーマットに従って、前記組織に対して、前記レンダリング装置のリソースと前記コンテンツデータ及び関連するメタデータとへのアクセスを制御するアクセスパラメータを有するアクセスポリシを設定し、
前記データにアクセスする前記組織の前記アクセスポリシを順守する少なくとも1つの組織のアプリケーションを提供し、
各々の前記組織の前記アクセスポリシに従って前記コンテンツデータ及び関連するメタデータを提供する
ように設けられ、
データを記憶するデータベース手段を有する当該データベースエンティティであって、
前記データベース手段は、
信用データのセットを維持し、
前記組織のアプリケーションが前記組織の前記アクセスポリシに従って前記リソースにアクセスすることを選択的に許可する前記信用データに基づいて、前記組織に対する前記ユーザアクセスポリシの調整のために前記セットからの前記信用データを前記レンダリング装置に転送する
ように設けられた当該データベースエンティティ。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−252719(P2012−252719A)
【公開日】平成24年12月20日(2012.12.20)
【国際特許分類】
【外国語出願】
【出願番号】特願2012−187539(P2012−187539)
【出願日】平成24年8月28日(2012.8.28)
【分割の表示】特願2008−540740(P2008−540740)の分割
【原出願日】平成18年11月6日(2006.11.6)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【公開日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願番号】特願2012−187539(P2012−187539)
【出願日】平成24年8月28日(2012.8.28)
【分割の表示】特願2008−540740(P2008−540740)の分割
【原出願日】平成18年11月6日(2006.11.6)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
[ Back to top ]