キャリアデータ及びネットワークデータを読み取る記録担体、読出装置及び方法
本発明は、記録担体に格納されているキャリアデータに関するネットワーク内のネットワークユニットに格納されているネットワークデータを保護する対策を提供する。従って、ネットワークのそのネットワークデータの取り出しに使用されるネットワークを識別するネットワークデータ識別子(URL)と、暗号化ネットワークデータの解読用に読出装置(1)により使用される解読鍵(DK)とが、記録担体(2)の鍵格納領域(22)に格納されている鍵格納庫に格納されるように、キャリアデータを保護するために既に提供されているコピープロテクトシステムが使用される。ネットワークデータ識別子(URL)はネットワークデータにアクセスするために使用され、その後、ネットワークデータへのアクセスが許可された場合に、解読鍵(DK)は暗号化ネットワークデータを解読するために使用される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、キャリアデータを格納するデータ領域と、鍵を格納する鍵格納領域とを有する記録担体に関する。本発明は、記録担体からキャリアデータを読み取る読出装置及び対応する方法、並びにネットワークに格納されている前記キャリアデータに関するネットワークデータに更に関する。
【背景技術】
【0002】
携帯用の高容量且つ低コストの記憶媒体としてのSFFO(Small Form Factor Optical)ディスクは、モバイルハンドセットや他の携帯用装置(PDA、タブレットPC等)での使用に非常に適している。このようなSFFOディスクに格納されているコンテンツを保護するために、SFFO論理フォーマットで組み込まれ得るコピープロテクトシステムが提供されている。基本的には、ディスクに格納されているコンテンツ(以下ではキャリアデータともいう)は暗号化されており、対応する解読鍵は、ディスクの鍵格納領域に格納されている鍵格納庫でのアセット鍵又はアセットIDとして格納されている。適切なアプリケーションIDで認証する認証済アプリケーションのみが、特にいわゆるSAC(Secure Authentication Channel)を介して、対応するファイルの解読に必要な鍵にアクセスすることができる。
【0003】
ますます、コンテンツは記録担体(特にディスク又はテープ)に格納されるだけではなく、ネットワーク内(特にネットワーク内のサーバ(以下ではネットワークユニットともいう))にも格納される。しばしば、記録担体は、ユーザの注釈又は何らかの最新のディスクに関するコンテンツ(新しいバージョンのナビゲーションメニュー、サーバ(例えばROMディスク)での特別のサウンドトラック/オーディオ解説ストリーム)を有する。また、SFFOディスク又は“WebDVD”のような特定の記録担体が提供される。再生中に、ディスクに関するネットワークデータ(例えばインターネット内のサーバに格納されているウェブコンテンツ)は、ネットワークユニット(例えばウェブサーバ)から取り出され、ディスクのローカルコンテンツと同期する。多くの状況で、ディスクに関するコンテンツもまた、無許可のコピー又は無許可のアクセスに対して保護される必要があり、それにより、必要な鍵(すなわちディスク自体)が存在する場合にのみ、ネットワークユニットの対応するコンテンツが許可される。
【0004】
WO01/09703A1は、インターネットの情報を保護するシステムを開示している。ウェブサイトからダウンロードされたコンテンツ情報ファイルを解読するために、解読鍵についての要求がコンテンツ保護システムに送信される。コンテンツ保護システムは、応答側に基づいて識別子及び関連する提示限度情報を考察して調査し、解読鍵を送信するか否かを決定する。そうである場合には、クライアントコンピュータシステムは、暗号化コンテンツ情報ファイルを解読し、ディスプレイに解読されたコンテンツ情報を表示することが可能になる。
【発明の開示】
【発明が解決しようとする課題】
【0005】
インターネットを介したコピープロテクトシステムで読出装置(クライアントシステム)の認証を必要としない信頼性のある方法で、キャリアデータに関するネットワークデータを保護する対策を提供することが、本発明の目的である。特に、ネットワーク内のネットワークユニットに格納されているコンテンツの保護を可能にする記録担体、読出装置及び読出方法が提供されることになる。
【課題を解決するための手段】
【0006】
この目的は、請求項1に記載の記録担体により、本発明に従って実現される。それによれば、鍵格納領域は、ネットワークからネットワークデータの取り出しに使用されるネットワークに格納されているキャリアデータに関するネットワークデータを識別するネットワークデータ識別子を格納し、暗号化ネットワークデータの解読のために読出装置により使用される解読鍵を格納するように適合される。
【0007】
この目的は、請求項6に記載の読出装置により、更に実現され、
その記録担体のデータ領域からキャリアデータを読み取り、そのネットワークデータを識別するネットワークデータ識別子と、その記録担体の鍵格納領域から暗号化ネットワークデータの解読に使用される解読鍵とを読み取る読取手段と、
そのネットワークデータを取り出すためにそのネットワークのネットワークユニットにアクセスするアクセス手段と、そのネットワークデータ識別子がそのネットワークユニットに対応するか否かを検査する検査ユニットと、取り出された暗号化ネットワークデータの解読をする解読ユニットとを有し、アプリケーションを動作し、そのネットワークからそのネットワークデータを取り出すアプリケーションユニットと
を有する。
【0008】
適切な読出装置は請求項10に記載されており、
その記録担体のデータ領域からキャリアデータを読み取るステップと、
そのネットワークデータを識別するネットワークデータ識別子と、その記録担体の鍵格納領域から暗号化ネットワークデータの解読に使用される解読鍵とを読み取るステップと、
そのネットワークからそのネットワークデータを取り出すためにそのネットワークのネットワークユニットにアクセスするステップと、
そのネットワークデータ識別子がそのネットワークユニットに対応するか否かを検査するステップと、
取り出された暗号化ネットワークデータを解読するステップと
を有する。
【0009】
本発明は、記録担体に格納されているキャリアデータを保護するコピープロテクトシステムの既に利用可能な手段を用いて(すなわち、鍵格納領域に提供されている鍵格納庫を使用する)、ネットワークデータを保護するという概念に基づく。このように、ネットワークでキャリアデータに関するネットワークデータを識別するために使用されるネットワークデータ識別子と、その鍵格納庫の暗号化ネットワークデータを解読するために使用される解読鍵とを格納することが提案される。ネットワークデータが再生中に必要になると、ネットワークデータ識別子はネットワークデータを識別する(すなわち、適切なネットワークユニットと、要求されたネットワークデータが格納されている場所を見つける)ために使用される。更に、その後に、再生可能な暗号化ネットワークデータを解読するために、解読鍵が使用される。適切なネットワークユニットにアクセスするステップ、ネットワークデータ識別子がネットワークユニットに対応するか否かを検査するステップ、及び取り出された暗号化ネットワークデータを解読するステップは、アプリケーションを動作するアプリケーションユニットにより実行される。従って、ネットワークユニット内のアプリケーションユニット又はネットワーク内のコピープロテクトシステムの認証は必要ない。
【0010】
本発明の好ましい実施例は、従属項に記載されている。ネットワークデータ識別子は、ネットワークデータが格納されているネットワーク(特にインターネット)内のアドレス、リソース又はアドレス/リソースのグループを示す通常のアドレス表示又はネットワークアドレス(特にURL(Uniform Resource Locator)を有することが好ましい。これに関して、通常のアドレス表示は、ネットワーク内のアドレス/リソース(のグループ)を表すワイルドカードを有してもよいURL(例えばhttp://www.studios.com/protected_content/*.mpg)を意味することになる。ネットワークアドレスという用語は、URLとこのような通常のアドレス表示とをカバーすることになる。
【0011】
他の実施例によれば、それぞれパスワード保護されたネットワークデータ又は認証を必要とするネットワークへのアクセスを得るために読出装置により使用される認証用のパスワード又は証明書は、鍵格納領域に格納される。このように、アプリケーションは、ネットワークユニット側で特別の手段を用いずに、ネットワークへのトランスペアレントなアクセスを得ることができる。
【0012】
鍵の他に、鍵格納庫はまた、対応するアプリケーションにより使用され得るコメント又はその他の情報を挿入するためにアプリケーション開発者により自由に使用され得る可変長の権利文字列を一般的に有する。本発明によれば、ネットワークデータ識別子と解読鍵とを権利文字列に格納し、それらは、ネットワークデータのダウンロード前又はダウンロード中に、アプリケーションユニットによりアクセスされて評価される。権利文字列は自由に使用可能であるため、これは、単純且つ容易な実装の対策を提供する。
【0013】
読出装置の好ましい実施例は、取り出されたネットワークデータをキャリアデータに同期させる同期ユニットを有する。ローカルのディスク上コンテンツと同期するオンラインコンテンツは、WebDVD(すなわち、拡張DVD)が提供する主な特徴のうちの1つである。それは、WebDVD用に規定されたいくつかのAPIを通じて、アプリケーションにより制御される。
【0014】
読取手段から読出装置内のアプリケーションユニットに伝送されるときに、無許可の関係者が解読鍵へのアクセスを取得しないことを確保するために、セキュア認証チャネル(SAC:secure authentication channel)が、読取手段とアプリケーションユニットとの間に確立されることが好ましい。更に、セキュア認証チャネルはまた、アプリケーションユニットとネットワークユニットとの間にも確立され、それにより、要求されたネットワークデータがそのチャネルで伝送され得る。従って、適切なチャネル生成手段が読出装置で提供される。
【0015】
前述のように、本発明は、モバイルハンドセット及び他の携帯用装置で使用される小型形状要素光ドライブ(small form factor optical drive)で使用されることが好ましい。しかし、本発明は、一般的に他の全ての読出装置で、好ましくはインターネットのようなネットワークへのアクセスを可能にするPC型の装置で使用され得る。
【発明を実施するための最良の形態】
【0016】
本発明について、図面を参照して詳細に説明する。
【0017】
図1は、読出装置1と、記録担体2と、ネットワーク4のネットワークユニット3とを有するシステムにおける本発明の使用を概略的に示している。特定の例を示すために、読出装置1はモバイルハンドセットであり、記録担体2は光ディスク(CD、DVD又はBDディスク)であり、ネットワークユニット3はインターネット4内のウェブサーバである。
【0018】
読出装置1は、記録担体2にアクセスするドライブ11と、アプリケーションを動作するアプリケーションユニット11とを有する。記録担体2では、鍵格納庫を格納する鍵格納領域21と、キャリアデータ(例えば、オーディオ、ビデオ、ソフトウェアデータ又はその他の情報)を格納するデータ領域22とが備えられている。ネットワークユニット3は、記録担体2のデータ領域22に格納されているキャリアデータに関するネットワークデータを格納するデータ領域31を有する。
【0019】
鍵格納領域21に格納されている鍵格納庫は、一般的に図2にも示すような4つの列を備えたテーブルである。アプリケーションID23は、読出装置1の認証処理で使用され、鍵格納庫のサブセットへのアクセスを制限するために使用される。アセットID24は、同じ鍵で暗号化され、同じ使用権を有するファイル(のグループ)の識別表示である。アセット鍵(AK)25は、解読のためにドライブにより使用される。一般的にそれはドライブ11により秘密に保持されており、そのため、それはアプリケーションユニット12で読み取り不可能である。権利文字列26は、未定義のフォーマット及び可変長を有する。それはアプリケーション開発者により自由に使用可能である。図2に示すテーブルを参照して、これらのIDと鍵との使用についての例を示すために、“アプリケーションID=4”で認証するアプリケーション又は読出装置がアセット12、43及び78にのみアクセスできる。アセット12について、アセット鍵“12345678”が定義されており、使用権は“一回の再生;コピー不可”である。
【0020】
本発明によれば、権利文字列26は、ネットワーク識別子(この特定の実施例ではURL)と、そのURLにより識別されるアドレスでアクセスされるコンテンツの解読に使用される解読鍵DKとを格納するために使用されることが提案される。例えば、図2を参照して、アセット23(第2行)は、ウェブサイトへの参照“http://www.newline.com/assets/comm.mpg”と、解読鍵“12345678”とを有する。
【0021】
再生中にウェブコンテンツが必要な場合に、ウェブサーバからコンテンツを解読するために以下のステップが実行される。
【0022】
a)アプリケーションユニット12で動作する信頼を受けたアプリケーションは、ウェブサーバ3とセキュア認証チャネル1を確立し、サーバ3の特定のディスクに関するウェブコンテンツを要求する。
【0023】
b)信頼を受けたアプリケーションはドライブ11で認証し、その間にセキュア認証チャネル6を作る。
【0024】
c)ドライブ11は、鍵格納領域21の鍵格納庫を開き、要求されたアセットの権利文字列26を取り出す。
【0025】
d)権利文字列26は、SAC6を介してアプリケーションユニットに送信される。
【0026】
e)アプリケーションは、検査ユニット13を用いて、その特定のウェブコンテンツが権利文字列に格納されているURL(又はURLがワイルドカードを有する場合には通常のアドレス表示)と合致するか否かを検査する。
【0027】
f)URLが合致した場合、アプリケーションは、アクセスユニット14を用いてウェブサーバにアクセスし、ネットワークデータを取り出す。読み取られた権利文字列に含まれる解読鍵を用いて、取り出された(暗号化)ネットワークデータは解読ユニット15で解読される。
【0028】
g)最後に、全ての取得されたネットワークデータは、アプリケーションユニット12によりデコードされて処理される。
【0029】
ドライブを介して鍵格納庫を読み取るアプリケーションと、ウェブサイトにアクセスするアプリケーションとは、同じ又は双方ともにその間のSACで信頼されている必要がある点に留意すべきである。信頼を受けたアプリケーションは、他の信頼を受けた(受けていない)アプリケーションに鍵格納データを渡すことを許可されていない。
【0030】
ステップe)は選択肢を有する点に更に留意すべきである。ウェブサイトにアクセスするときに、ほとんどが単なる記号ページ要素である多数の小さいファイルが受信されることがわかる。従って、これらの全てを検査することは望ましくない。従って、まず、ファイルが暗号化されたという指示を取得することができ、その後にのみ、URLが検査される。このような指示はSAC5を介して送信されてもよく、又はダウンロードされたファイルはそのヘッダに暗号化インジケータ(フラグ)を有してもよい。
【0031】
本発明の他の実施例を図3に示す。この実施例によれば、ネットワークデータのURL及び解読鍵は、コピープロテクトシステムによる無許可のアクセスに対して保護されたファイル27として、記録担体2に格納されている。このファイル27は、アプリケーションユニット12で動作する信頼を受けたアプリケーションによりアクセス可能であり、ネットワークユニット3からダウンロードされたネットワークデータを解読するために使用可能である。このファイル27は、読取専用使用権を有し、コピー権を有さないことが好ましい。この実施例は、既知のコピープロテクトシステムに完全に適応し、全く変更を必要としない。また、コピープロテクトシステムはこのファイルを更新することができ、それにより、例えばウェブサーバ3又はアプリケーションユニット12の信頼を受けたアプリケーションは、このファイルで指示される鍵又は権利を変更することができる。
【0032】
本発明の更に他の実施例を図4に示す。この実施例によれば、ネットワークデータ31を有するウェブサイト3は、パスワード32により保護されている。このウェブサーバ3のパスワードを鍵格納庫に格納することにより、より具体的にはURL及び解読鍵と共に権利文字列25に格納することにより、アプリケーションは、サーバ側のコピープロテクトシステムの特定の手段を用いずに、ウェブサーバ3へのトランスペアレントなアクセスを得ることができる。代替として、又はパスワード保護に加えて、認証の要件は、ネットワークデータへのアクセスが事前に認証を必要とすることを意味するものと予測され得る。この場合、認証の証明書は暗号化され、記録担体2の鍵格納庫に格納され得る。
【0033】
更に、アプリケーションユニット12は、ネットワークデータのダウンロード及び解読の後に、記録担体2に格納されている対応するキャリア22と解読されたネットワークデータとを同期させる同期ユニット16を有する。
【0034】
本発明によれば、ネットワーク(インターネット等)のネットワークユニットに格納されているネットワークデータは、キャリアデータの保護用に既に提供されているコピープロテクトシステムにより、うまく保護され得る。
【図面の簡単な説明】
【0035】
【図1】読出装置及び記録担体の第1の実施例を用いた本発明の図である。
【図2】鍵格納庫のコンテンツを示したテーブルである。
【図3】記録担体の第2の実施例である。
【図4】記録担体の第3の実施例及び読出装置の第2の実施例である。
【技術分野】
【0001】
本発明は、キャリアデータを格納するデータ領域と、鍵を格納する鍵格納領域とを有する記録担体に関する。本発明は、記録担体からキャリアデータを読み取る読出装置及び対応する方法、並びにネットワークに格納されている前記キャリアデータに関するネットワークデータに更に関する。
【背景技術】
【0002】
携帯用の高容量且つ低コストの記憶媒体としてのSFFO(Small Form Factor Optical)ディスクは、モバイルハンドセットや他の携帯用装置(PDA、タブレットPC等)での使用に非常に適している。このようなSFFOディスクに格納されているコンテンツを保護するために、SFFO論理フォーマットで組み込まれ得るコピープロテクトシステムが提供されている。基本的には、ディスクに格納されているコンテンツ(以下ではキャリアデータともいう)は暗号化されており、対応する解読鍵は、ディスクの鍵格納領域に格納されている鍵格納庫でのアセット鍵又はアセットIDとして格納されている。適切なアプリケーションIDで認証する認証済アプリケーションのみが、特にいわゆるSAC(Secure Authentication Channel)を介して、対応するファイルの解読に必要な鍵にアクセスすることができる。
【0003】
ますます、コンテンツは記録担体(特にディスク又はテープ)に格納されるだけではなく、ネットワーク内(特にネットワーク内のサーバ(以下ではネットワークユニットともいう))にも格納される。しばしば、記録担体は、ユーザの注釈又は何らかの最新のディスクに関するコンテンツ(新しいバージョンのナビゲーションメニュー、サーバ(例えばROMディスク)での特別のサウンドトラック/オーディオ解説ストリーム)を有する。また、SFFOディスク又は“WebDVD”のような特定の記録担体が提供される。再生中に、ディスクに関するネットワークデータ(例えばインターネット内のサーバに格納されているウェブコンテンツ)は、ネットワークユニット(例えばウェブサーバ)から取り出され、ディスクのローカルコンテンツと同期する。多くの状況で、ディスクに関するコンテンツもまた、無許可のコピー又は無許可のアクセスに対して保護される必要があり、それにより、必要な鍵(すなわちディスク自体)が存在する場合にのみ、ネットワークユニットの対応するコンテンツが許可される。
【0004】
WO01/09703A1は、インターネットの情報を保護するシステムを開示している。ウェブサイトからダウンロードされたコンテンツ情報ファイルを解読するために、解読鍵についての要求がコンテンツ保護システムに送信される。コンテンツ保護システムは、応答側に基づいて識別子及び関連する提示限度情報を考察して調査し、解読鍵を送信するか否かを決定する。そうである場合には、クライアントコンピュータシステムは、暗号化コンテンツ情報ファイルを解読し、ディスプレイに解読されたコンテンツ情報を表示することが可能になる。
【発明の開示】
【発明が解決しようとする課題】
【0005】
インターネットを介したコピープロテクトシステムで読出装置(クライアントシステム)の認証を必要としない信頼性のある方法で、キャリアデータに関するネットワークデータを保護する対策を提供することが、本発明の目的である。特に、ネットワーク内のネットワークユニットに格納されているコンテンツの保護を可能にする記録担体、読出装置及び読出方法が提供されることになる。
【課題を解決するための手段】
【0006】
この目的は、請求項1に記載の記録担体により、本発明に従って実現される。それによれば、鍵格納領域は、ネットワークからネットワークデータの取り出しに使用されるネットワークに格納されているキャリアデータに関するネットワークデータを識別するネットワークデータ識別子を格納し、暗号化ネットワークデータの解読のために読出装置により使用される解読鍵を格納するように適合される。
【0007】
この目的は、請求項6に記載の読出装置により、更に実現され、
その記録担体のデータ領域からキャリアデータを読み取り、そのネットワークデータを識別するネットワークデータ識別子と、その記録担体の鍵格納領域から暗号化ネットワークデータの解読に使用される解読鍵とを読み取る読取手段と、
そのネットワークデータを取り出すためにそのネットワークのネットワークユニットにアクセスするアクセス手段と、そのネットワークデータ識別子がそのネットワークユニットに対応するか否かを検査する検査ユニットと、取り出された暗号化ネットワークデータの解読をする解読ユニットとを有し、アプリケーションを動作し、そのネットワークからそのネットワークデータを取り出すアプリケーションユニットと
を有する。
【0008】
適切な読出装置は請求項10に記載されており、
その記録担体のデータ領域からキャリアデータを読み取るステップと、
そのネットワークデータを識別するネットワークデータ識別子と、その記録担体の鍵格納領域から暗号化ネットワークデータの解読に使用される解読鍵とを読み取るステップと、
そのネットワークからそのネットワークデータを取り出すためにそのネットワークのネットワークユニットにアクセスするステップと、
そのネットワークデータ識別子がそのネットワークユニットに対応するか否かを検査するステップと、
取り出された暗号化ネットワークデータを解読するステップと
を有する。
【0009】
本発明は、記録担体に格納されているキャリアデータを保護するコピープロテクトシステムの既に利用可能な手段を用いて(すなわち、鍵格納領域に提供されている鍵格納庫を使用する)、ネットワークデータを保護するという概念に基づく。このように、ネットワークでキャリアデータに関するネットワークデータを識別するために使用されるネットワークデータ識別子と、その鍵格納庫の暗号化ネットワークデータを解読するために使用される解読鍵とを格納することが提案される。ネットワークデータが再生中に必要になると、ネットワークデータ識別子はネットワークデータを識別する(すなわち、適切なネットワークユニットと、要求されたネットワークデータが格納されている場所を見つける)ために使用される。更に、その後に、再生可能な暗号化ネットワークデータを解読するために、解読鍵が使用される。適切なネットワークユニットにアクセスするステップ、ネットワークデータ識別子がネットワークユニットに対応するか否かを検査するステップ、及び取り出された暗号化ネットワークデータを解読するステップは、アプリケーションを動作するアプリケーションユニットにより実行される。従って、ネットワークユニット内のアプリケーションユニット又はネットワーク内のコピープロテクトシステムの認証は必要ない。
【0010】
本発明の好ましい実施例は、従属項に記載されている。ネットワークデータ識別子は、ネットワークデータが格納されているネットワーク(特にインターネット)内のアドレス、リソース又はアドレス/リソースのグループを示す通常のアドレス表示又はネットワークアドレス(特にURL(Uniform Resource Locator)を有することが好ましい。これに関して、通常のアドレス表示は、ネットワーク内のアドレス/リソース(のグループ)を表すワイルドカードを有してもよいURL(例えばhttp://www.studios.com/protected_content/*.mpg)を意味することになる。ネットワークアドレスという用語は、URLとこのような通常のアドレス表示とをカバーすることになる。
【0011】
他の実施例によれば、それぞれパスワード保護されたネットワークデータ又は認証を必要とするネットワークへのアクセスを得るために読出装置により使用される認証用のパスワード又は証明書は、鍵格納領域に格納される。このように、アプリケーションは、ネットワークユニット側で特別の手段を用いずに、ネットワークへのトランスペアレントなアクセスを得ることができる。
【0012】
鍵の他に、鍵格納庫はまた、対応するアプリケーションにより使用され得るコメント又はその他の情報を挿入するためにアプリケーション開発者により自由に使用され得る可変長の権利文字列を一般的に有する。本発明によれば、ネットワークデータ識別子と解読鍵とを権利文字列に格納し、それらは、ネットワークデータのダウンロード前又はダウンロード中に、アプリケーションユニットによりアクセスされて評価される。権利文字列は自由に使用可能であるため、これは、単純且つ容易な実装の対策を提供する。
【0013】
読出装置の好ましい実施例は、取り出されたネットワークデータをキャリアデータに同期させる同期ユニットを有する。ローカルのディスク上コンテンツと同期するオンラインコンテンツは、WebDVD(すなわち、拡張DVD)が提供する主な特徴のうちの1つである。それは、WebDVD用に規定されたいくつかのAPIを通じて、アプリケーションにより制御される。
【0014】
読取手段から読出装置内のアプリケーションユニットに伝送されるときに、無許可の関係者が解読鍵へのアクセスを取得しないことを確保するために、セキュア認証チャネル(SAC:secure authentication channel)が、読取手段とアプリケーションユニットとの間に確立されることが好ましい。更に、セキュア認証チャネルはまた、アプリケーションユニットとネットワークユニットとの間にも確立され、それにより、要求されたネットワークデータがそのチャネルで伝送され得る。従って、適切なチャネル生成手段が読出装置で提供される。
【0015】
前述のように、本発明は、モバイルハンドセット及び他の携帯用装置で使用される小型形状要素光ドライブ(small form factor optical drive)で使用されることが好ましい。しかし、本発明は、一般的に他の全ての読出装置で、好ましくはインターネットのようなネットワークへのアクセスを可能にするPC型の装置で使用され得る。
【発明を実施するための最良の形態】
【0016】
本発明について、図面を参照して詳細に説明する。
【0017】
図1は、読出装置1と、記録担体2と、ネットワーク4のネットワークユニット3とを有するシステムにおける本発明の使用を概略的に示している。特定の例を示すために、読出装置1はモバイルハンドセットであり、記録担体2は光ディスク(CD、DVD又はBDディスク)であり、ネットワークユニット3はインターネット4内のウェブサーバである。
【0018】
読出装置1は、記録担体2にアクセスするドライブ11と、アプリケーションを動作するアプリケーションユニット11とを有する。記録担体2では、鍵格納庫を格納する鍵格納領域21と、キャリアデータ(例えば、オーディオ、ビデオ、ソフトウェアデータ又はその他の情報)を格納するデータ領域22とが備えられている。ネットワークユニット3は、記録担体2のデータ領域22に格納されているキャリアデータに関するネットワークデータを格納するデータ領域31を有する。
【0019】
鍵格納領域21に格納されている鍵格納庫は、一般的に図2にも示すような4つの列を備えたテーブルである。アプリケーションID23は、読出装置1の認証処理で使用され、鍵格納庫のサブセットへのアクセスを制限するために使用される。アセットID24は、同じ鍵で暗号化され、同じ使用権を有するファイル(のグループ)の識別表示である。アセット鍵(AK)25は、解読のためにドライブにより使用される。一般的にそれはドライブ11により秘密に保持されており、そのため、それはアプリケーションユニット12で読み取り不可能である。権利文字列26は、未定義のフォーマット及び可変長を有する。それはアプリケーション開発者により自由に使用可能である。図2に示すテーブルを参照して、これらのIDと鍵との使用についての例を示すために、“アプリケーションID=4”で認証するアプリケーション又は読出装置がアセット12、43及び78にのみアクセスできる。アセット12について、アセット鍵“12345678”が定義されており、使用権は“一回の再生;コピー不可”である。
【0020】
本発明によれば、権利文字列26は、ネットワーク識別子(この特定の実施例ではURL)と、そのURLにより識別されるアドレスでアクセスされるコンテンツの解読に使用される解読鍵DKとを格納するために使用されることが提案される。例えば、図2を参照して、アセット23(第2行)は、ウェブサイトへの参照“http://www.newline.com/assets/comm.mpg”と、解読鍵“12345678”とを有する。
【0021】
再生中にウェブコンテンツが必要な場合に、ウェブサーバからコンテンツを解読するために以下のステップが実行される。
【0022】
a)アプリケーションユニット12で動作する信頼を受けたアプリケーションは、ウェブサーバ3とセキュア認証チャネル1を確立し、サーバ3の特定のディスクに関するウェブコンテンツを要求する。
【0023】
b)信頼を受けたアプリケーションはドライブ11で認証し、その間にセキュア認証チャネル6を作る。
【0024】
c)ドライブ11は、鍵格納領域21の鍵格納庫を開き、要求されたアセットの権利文字列26を取り出す。
【0025】
d)権利文字列26は、SAC6を介してアプリケーションユニットに送信される。
【0026】
e)アプリケーションは、検査ユニット13を用いて、その特定のウェブコンテンツが権利文字列に格納されているURL(又はURLがワイルドカードを有する場合には通常のアドレス表示)と合致するか否かを検査する。
【0027】
f)URLが合致した場合、アプリケーションは、アクセスユニット14を用いてウェブサーバにアクセスし、ネットワークデータを取り出す。読み取られた権利文字列に含まれる解読鍵を用いて、取り出された(暗号化)ネットワークデータは解読ユニット15で解読される。
【0028】
g)最後に、全ての取得されたネットワークデータは、アプリケーションユニット12によりデコードされて処理される。
【0029】
ドライブを介して鍵格納庫を読み取るアプリケーションと、ウェブサイトにアクセスするアプリケーションとは、同じ又は双方ともにその間のSACで信頼されている必要がある点に留意すべきである。信頼を受けたアプリケーションは、他の信頼を受けた(受けていない)アプリケーションに鍵格納データを渡すことを許可されていない。
【0030】
ステップe)は選択肢を有する点に更に留意すべきである。ウェブサイトにアクセスするときに、ほとんどが単なる記号ページ要素である多数の小さいファイルが受信されることがわかる。従って、これらの全てを検査することは望ましくない。従って、まず、ファイルが暗号化されたという指示を取得することができ、その後にのみ、URLが検査される。このような指示はSAC5を介して送信されてもよく、又はダウンロードされたファイルはそのヘッダに暗号化インジケータ(フラグ)を有してもよい。
【0031】
本発明の他の実施例を図3に示す。この実施例によれば、ネットワークデータのURL及び解読鍵は、コピープロテクトシステムによる無許可のアクセスに対して保護されたファイル27として、記録担体2に格納されている。このファイル27は、アプリケーションユニット12で動作する信頼を受けたアプリケーションによりアクセス可能であり、ネットワークユニット3からダウンロードされたネットワークデータを解読するために使用可能である。このファイル27は、読取専用使用権を有し、コピー権を有さないことが好ましい。この実施例は、既知のコピープロテクトシステムに完全に適応し、全く変更を必要としない。また、コピープロテクトシステムはこのファイルを更新することができ、それにより、例えばウェブサーバ3又はアプリケーションユニット12の信頼を受けたアプリケーションは、このファイルで指示される鍵又は権利を変更することができる。
【0032】
本発明の更に他の実施例を図4に示す。この実施例によれば、ネットワークデータ31を有するウェブサイト3は、パスワード32により保護されている。このウェブサーバ3のパスワードを鍵格納庫に格納することにより、より具体的にはURL及び解読鍵と共に権利文字列25に格納することにより、アプリケーションは、サーバ側のコピープロテクトシステムの特定の手段を用いずに、ウェブサーバ3へのトランスペアレントなアクセスを得ることができる。代替として、又はパスワード保護に加えて、認証の要件は、ネットワークデータへのアクセスが事前に認証を必要とすることを意味するものと予測され得る。この場合、認証の証明書は暗号化され、記録担体2の鍵格納庫に格納され得る。
【0033】
更に、アプリケーションユニット12は、ネットワークデータのダウンロード及び解読の後に、記録担体2に格納されている対応するキャリア22と解読されたネットワークデータとを同期させる同期ユニット16を有する。
【0034】
本発明によれば、ネットワーク(インターネット等)のネットワークユニットに格納されているネットワークデータは、キャリアデータの保護用に既に提供されているコピープロテクトシステムにより、うまく保護され得る。
【図面の簡単な説明】
【0035】
【図1】読出装置及び記録担体の第1の実施例を用いた本発明の図である。
【図2】鍵格納庫のコンテンツを示したテーブルである。
【図3】記録担体の第2の実施例である。
【図4】記録担体の第3の実施例及び読出装置の第2の実施例である。
【特許請求の範囲】
【請求項1】
キャリアデータを格納するデータ領域と、
ネットワークからネットワークデータの取り出しに使用されるネットワークに格納されているキャリアデータに関するネットワークデータを識別するネットワークデータ識別子を格納し、暗号化ネットワークデータの解読のために読出装置により使用される解読鍵を格納する鍵格納領域と
を有する記録担体。
【請求項2】
請求項1に記載の記録担体であって、
前記ネットワークデータ識別子は、前記ネットワークデータが格納されているネットワーク内のアドレス又はアドレスのグループを示すネットワークアドレスを有する記録担体。
【請求項3】
請求項1に記載の記録担体であって、
前記鍵格納領域は、それぞれパスワード保護されたネットワークデータ又は認証を必要とするネットワークデータへのアクセスを得るために読出装置により使用される認証用のパスワード又は証明書を格納するように更に適合された記録担体。
【請求項4】
請求項1に記載の記録担体であって、
前記ネットワークデータ識別子及び前記解読鍵は、前記鍵格納領域の権利文字列に格納される記録担体。
【請求項5】
請求項4に記載の記録担体であって、
前記権利文字列は、読出装置で動作する信頼を受けたアプリケーションにより更新可能である記録担体。
【請求項6】
記録担体からのキャリアデータと、ネットワークに格納されている前記キャリアデータに関するネットワークデータとを読み取る読出装置であって、
前記記録担体のデータ領域からキャリアデータを読み取り、前記ネットワークデータを識別するネットワークデータ識別子と、前記記録担体の鍵格納領域から暗号化ネットワークデータの解読に使用される解読鍵とを読み取る読取手段と、
前記ネットワークデータを取り出すために前記ネットワークのネットワークユニットにアクセスするアクセス手段と、前記ネットワークデータ識別子が前記ネットワークユニットに対応するか否かを検査する検査ユニットと、取り出された暗号化ネットワークデータの解読をする解読ユニットとを有し、アプリケーションを動作し、前記ネットワークから前記ネットワークデータを取り出すアプリケーションユニットと
を有する読出装置。
【請求項7】
請求項6に記載の読出装置であって、
前記取り出されたネットワークデータを前記キャリアデータに同期させる同期ユニットを更に有する読出装置。
【請求項8】
請求項6に記載の読出装置であって、
前記アプリケーションユニットと、前記読取手段及び/又は前記ネットワークユニットとの間にセキュア認証チャネルを確立するチャネル生成手段を更に有する読出装置。
【請求項9】
請求項6に記載の読出装置であって、
前記読取手段は、小型形状要素光ドライブ(small form factor optical drive)である読出装置。
【請求項10】
記録担体からのキャリアデータと、ネットワークに格納されている前記キャリアデータに関するネットワークデータとを読み取る読出方法であって、
前記記録担体のデータ領域からキャリアデータを読み取るステップと、
前記ネットワークデータを識別するネットワークデータ識別子と、前記記録担体の鍵格納領域から暗号化ネットワークデータの解読に使用される解読鍵とを読み取るステップと、
前記ネットワークから前記ネットワークデータを取り出すために前記ネットワークのネットワークユニットにアクセスするステップと、
前記ネットワークデータ識別子が前記ネットワークユニットに対応するか否かを検査するステップと、
取り出された暗号化ネットワークデータを解読するステップと
を有する読出方法。
【請求項1】
キャリアデータを格納するデータ領域と、
ネットワークからネットワークデータの取り出しに使用されるネットワークに格納されているキャリアデータに関するネットワークデータを識別するネットワークデータ識別子を格納し、暗号化ネットワークデータの解読のために読出装置により使用される解読鍵を格納する鍵格納領域と
を有する記録担体。
【請求項2】
請求項1に記載の記録担体であって、
前記ネットワークデータ識別子は、前記ネットワークデータが格納されているネットワーク内のアドレス又はアドレスのグループを示すネットワークアドレスを有する記録担体。
【請求項3】
請求項1に記載の記録担体であって、
前記鍵格納領域は、それぞれパスワード保護されたネットワークデータ又は認証を必要とするネットワークデータへのアクセスを得るために読出装置により使用される認証用のパスワード又は証明書を格納するように更に適合された記録担体。
【請求項4】
請求項1に記載の記録担体であって、
前記ネットワークデータ識別子及び前記解読鍵は、前記鍵格納領域の権利文字列に格納される記録担体。
【請求項5】
請求項4に記載の記録担体であって、
前記権利文字列は、読出装置で動作する信頼を受けたアプリケーションにより更新可能である記録担体。
【請求項6】
記録担体からのキャリアデータと、ネットワークに格納されている前記キャリアデータに関するネットワークデータとを読み取る読出装置であって、
前記記録担体のデータ領域からキャリアデータを読み取り、前記ネットワークデータを識別するネットワークデータ識別子と、前記記録担体の鍵格納領域から暗号化ネットワークデータの解読に使用される解読鍵とを読み取る読取手段と、
前記ネットワークデータを取り出すために前記ネットワークのネットワークユニットにアクセスするアクセス手段と、前記ネットワークデータ識別子が前記ネットワークユニットに対応するか否かを検査する検査ユニットと、取り出された暗号化ネットワークデータの解読をする解読ユニットとを有し、アプリケーションを動作し、前記ネットワークから前記ネットワークデータを取り出すアプリケーションユニットと
を有する読出装置。
【請求項7】
請求項6に記載の読出装置であって、
前記取り出されたネットワークデータを前記キャリアデータに同期させる同期ユニットを更に有する読出装置。
【請求項8】
請求項6に記載の読出装置であって、
前記アプリケーションユニットと、前記読取手段及び/又は前記ネットワークユニットとの間にセキュア認証チャネルを確立するチャネル生成手段を更に有する読出装置。
【請求項9】
請求項6に記載の読出装置であって、
前記読取手段は、小型形状要素光ドライブ(small form factor optical drive)である読出装置。
【請求項10】
記録担体からのキャリアデータと、ネットワークに格納されている前記キャリアデータに関するネットワークデータとを読み取る読出方法であって、
前記記録担体のデータ領域からキャリアデータを読み取るステップと、
前記ネットワークデータを識別するネットワークデータ識別子と、前記記録担体の鍵格納領域から暗号化ネットワークデータの解読に使用される解読鍵とを読み取るステップと、
前記ネットワークから前記ネットワークデータを取り出すために前記ネットワークのネットワークユニットにアクセスするステップと、
前記ネットワークデータ識別子が前記ネットワークユニットに対応するか否かを検査するステップと、
取り出された暗号化ネットワークデータを解読するステップと
を有する読出方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2006−528447(P2006−528447A)
【公表日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願番号】特願2006−520944(P2006−520944)
【出願日】平成16年7月12日(2004.7.12)
【国際出願番号】PCT/IB2004/051190
【国際公開番号】WO2005/008452
【国際公開日】平成17年1月27日(2005.1.27)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【氏名又は名称原語表記】Koninklijke Philips Electronics N.V.
【住所又は居所原語表記】Groenewoudseweg 1,5621 BA Eindhoven, The Netherlands
【Fターム(参考)】
【公表日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願日】平成16年7月12日(2004.7.12)
【国際出願番号】PCT/IB2004/051190
【国際公開番号】WO2005/008452
【国際公開日】平成17年1月27日(2005.1.27)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【氏名又は名称原語表記】Koninklijke Philips Electronics N.V.
【住所又は居所原語表記】Groenewoudseweg 1,5621 BA Eindhoven, The Netherlands
【Fターム(参考)】
[ Back to top ]