サービス保護のためのエンティティ間の連動方法及び装置、そしてそのシステム
【課題】BSA(Broadcast Service Application)、BSD(Broadcast Service Distribution)、及びBSM(Broadcast Service Management)を含むブロードキャストネットワーク及び端末機で構成されるブロードキャスト環境におけるサービス保護のためのエンティティ間の連動方法を提供する。
【解決手段】BSM40は端末機50に対して、登録及びサービス加入手順を遂行し、端末機50は、登録手順でグループキーを獲得し、サービス加入手順ではサービスに対する権利オブジェクトを獲得し、トラフィックキーを含むメッセージを受信し、権利オブジェクトを用いてメッセージからトラフィックキーを獲得する。さらに端末機50は、BSD30によって暗号化された暗号化サービスをBSD30から受信し、トラフィックキーを用いて暗号化サービスを復号化する。
【解決手段】BSM40は端末機50に対して、登録及びサービス加入手順を遂行し、端末機50は、登録手順でグループキーを獲得し、サービス加入手順ではサービスに対する権利オブジェクトを獲得し、トラフィックキーを含むメッセージを受信し、権利オブジェクトを用いてメッセージからトラフィックキーを獲得する。さらに端末機50は、BSD30によって暗号化された暗号化サービスをBSD30から受信し、トラフィックキーを用いて暗号化サービスを復号化する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ブロードキャスト環境でサービス保護のためのエンティティ(entity)間の連動方法及び装置、そしてそのシステムに関するものである。
【背景技術】
【0002】
一般に、ブロードキャストサービス(Broadcast Service)は、ブロードキャストサービスを管理するサーバが暗号化サービスを伝送すると、複数の端末機がこの暗号化サービスを受信することを意味する。
【0003】
現在、ブロードキャストサービスは、徐々に有料サービス(例えば、ペイパービュー、購読料などのサービス)に変わっている傾向にある。便利性と柔軟性を提供し、ユーザーの権利オブジェクト(Right Object:以下、“RO”とする)を使用するデジタル著作権管理(Digital Rights Management:以下、“DRM”とする)技術が、コンテンツの無分別な複製及び配布を防止するための著作権保護の必要によって導入されている。
【0004】
サービス供給者から提供されるサービス又はコンテンツは、図1に示すように保護される。図1は、従来のDRMシステムを示すブロック構成図である。DRM技術は、コンテンツの保護のための代表的なセキュリティー技術の一つとして、暗号化されたコンテンツに対する使用権利を規定する。このDRM通信において、主な役割をするエンティティとして、ROを用いてコンテンツを再生する端末機3と、そのコンテンツに対する使用権利を規定するROを生成及び発給する機関であるRI(Rights Issuer)とが含まれる。図1に示すように、RIはサービス供給者5に属する。
【0005】
端末機3は、RIとの認証手順を通じて安全なチャンネルを形成してROを獲得する。このとき、ROは、DRM技術を用いて復号化されるため、認証されないコンテンツの使用を防止することができる。すなわち、ユーザーは、このようなROを通じて暗号化されたコンテンツを復号化して遂行した後に、この暗号化されたコンテンツに含まれたマルチメディア情報を楽しむことができる。
【0006】
通常のサービス/コンテンツ保護方法は、サービス供給者と一つの端末機との間で認証手続きを遂行した。この移動体通信環境における代表的な関連標準は、OMA(Open Mobile Alliance) DRM v2.0を含む。しかしながら、移動体通信環境でにおけるブロードキャストサービスを用いた複数の端末機のためのサービス保護関連標準技術に対しては、具体的な方法が提示されていない。
【0007】
その上、ブロードキャスティング環境でのコンテンツ保護に関する方法は、例えば3GPP(Third Generation Partnership Project)、3GPP2のMBMS(Multimedia Broadcast/Multicast Service)及びBCMCS(BroadCast MultiCast Service)などが存在するが、これら方法は、上記の3GPPなどのネットワークに基づいた従属的な方法のみを提示している。
【0008】
上記したように、従来技術では、既存の3GPPのネットワークに基づいた従属的なMBMS(Multimedia Broadcast/Multicast Service)のような方法のみを提示するだけであり、特定ネットワークに独立的な方法は提示していない。したがって、多様なネットワークに適用可能なブロードキャストネットワークに参加する各エンティティの構造及び各エンティティの相互間の連動に対する方法の提示がないのが実情である。
【発明の開示】
【発明が解決しようとする課題】
【0009】
したがって、上記した従来技術の問題点を解決するために、本発明の目的は、ブロードキャスト環境におけるサービス保護のための構造、エンティティ間の連動方法及び装置、並びにそのシステムを提供することにある。
【課題を解決するための手段】
【0010】
上記のような目的を達成するために、本発明の第1の側面は、ブロードキャストネットワークの端末においてサービスを受信するための方法であって、登録過程で第1の暗号化キーを受信するステップと、サービス加入過程で権限情報(RO)を含むメッセージを受信するステップと、第1の暗号化キーを用いてROを復号化することによって第2の暗号化キーを獲得するステップと、トラフィックキーメッセージに含まれた第3の暗号化キーを受信するステップと、第2の暗号化キーを用いて前記第3の暗号化キーを復号化するステップと、第3の暗号化キーを用いて受信されたサービスを復号化するステップと、を含むことを特徴とする。
【0011】
また、本発明の他の側面は、ブロードキャストネットワークの端末においてサービスを受信するための装置であって、登録過程で第1の暗号化キーを受信する登録モジュールと、サービス加入過程で権限情報(RO)を含むメッセージを受信し、トラフィックキーメッセージに含まれた第3の暗号化キーを受信する通信モジュールと、第1の暗号化キーを用いてROを復号化することによって第2の暗号化キーを獲得し、第2の暗号化キーを用いて第3の暗号化キーを復号化し、第3の暗号化キーを用いて受信されたサービスを復号化するデジタル著作権管理(DRM)モジュールと、を含むことを特徴とする。
【0012】
さらに、本発明の他の側面は、ブロードキャストネットワークにおいて、端末に対するサービス受信支援のための方法であって、端末の登録要請に応じて第1の暗号化キーを伝送するステップと、第1の暗号化キーを用いて第2の暗号化キーに含まれた権限情報(RO)を暗号化するステップと、端末に暗号化されたROを伝送するステップと、端末に第2の暗号化キーで暗号化された第3の暗号化キーを伝送するステップと、を含むことを特徴とする。
【発明の効果】
【0013】
本発明は、ブロードキャストネットワークに含まれるエンティティ間の構造及び役割を定義することによって、ブロードキャスト環境でのサービス保護のためのシステム運用を可能にする効果がある。
【発明を実施するための最良の形態】
【0014】
以下、本発明の望ましい実施形態を添付の図面を参照して詳細に説明する。
【0015】
下記の図面の説明において、同一の構成要素はできるだけ同一の参照番号及び参照符号を付して示す。また、本発明に関連した公知の機能又は構成に関する具体的な説明が本発明の要旨を不明にすると判断された場合には、その詳細な説明を省略する。
【0016】
本発明は、ブロードキャストサービスを保護するための機能を実現する。具体的に、本発明は、ブロードキャストネットワークにおけるサービス保護のための構造及びその構造における各エンティティの機能を提案する。このために本発明は、端末機を含む各エンティティの構成及び各役割により、端末機にブロードキャストされるサービスを安全に伝送して再生することができる。
【0017】
以下、このような機能が実現された本発明を適用する端末機の構成は、図2を参照して説明する。本発明が適用される端末機50は、アプリケーション(Application)モジュール100、DRMモジュール110、認証(Authentication)モジュール140、安全格納(Secure Storage)モジュール170、通信(Communication)モジュール180、及びUIM I/F(User Identification Module Interface)モジュール190を含む。
【0018】
アプリケーションモジュール100は、メディアプレーヤーのようなモジュールとして、DRMモジュール110から提供される復号化されたコンテンツを再生する役割を果たす。DRMモジュール110は、登録、サービス加入、及びコンテンツ使用を管理する機能を有する。
【0019】
DRMモジュール110は、DRMマネジャー(Manager)モジュール115、登録(Registration)モジュール120、権利管理(Rights Management)モジュール125、キーストリーム管理(Key Stream Management)モジュール130、及びコンテンツ復号化(Content Decryption)モジュール135を含む。その中でも、登録モジュール120は登録手順による動作を遂行し、権利管理モジュール125はサービス加入時に獲得したROの解釈及び使用を管理する。そして、キーストリーム管理モジュール130は、サービスキーによって暗号化されたトラフィックキー(Traffic Key)の復号化を遂行し、コンテンツ復号化モジュール135は、トラフィックキーを用いて暗号化されたコンテンツの復号化を遂行する。DRMマネジャーモジュール115は、DRM関連モジュールの全体動作を制御する。
【0020】
また、認証モジュール140は、ユーザー識別モジュールとネットワーク(例えば、サービス供給者)との認証プロトコルの遂行を管理し、その下部モジュールを用いてメッセージを生成及び検証する。このような認証モジュール140は、プロトコル遂行を制御し、認証機能を管理する認証マネジャーモジュール145を含み、この認証マネジャーモジュール145の下部モジュールを制御する。この認証マネジャーモジュール145の下部モジュールは、暗号化及び復号化演算を遂行する暗号化/復号化(Encryption/Decryption)モジュール150と、電子署名するデジタル署名モジュール155と、MAC(Media Access Control)演算を遂行するMACモジュール160とを含む。
【0021】
具体的に、DRMモジュール110及び認証モジュール140は、後述する本発明の実施形態に係るBSM40(図3を参照)から受信された登録応答メッセージを検証してグループキーを獲得し、BSM40から受信されたサービス加入応答メッセージからそのグループキーを用いてROを獲得し、トラフィックキーメッセージがBSD30から受信されると、ROを用いてトラフィックキーを獲得し、この獲得されたトラフィックキーを用いてBSD30から伝送された暗号化サービスを復号化する。
【0022】
通信モジュール180は、ネットワークとの送信及び受信を担当する。特に、ネットワークからのメッセージを受信し、受信されたメッセージに対応する応答メッセージを送信する。本発明の一実施形態では、通信モジュール180は、BSD30(図3を参照)からブロードキャストチャンネルを介してメッセージを受信する。また、本発明の他の実施形態によると、通信モジュール180は、BSM40と双方向チャンネルを介してメッセージを送受信し、BSD30からトラフィックキーメッセージと暗号化サービスを受信することができる。
【0023】
そして、安全格納モジュール170は、暗号キーなどを格納し、UIM I/Fモジュール190は、ユーザー識別モジュール(User Identity Module:UIM)との通信を制御する。
【0024】
以下、本発明の好ましい実施形態によりサービス保護を遂行する各機能別エンティティについて説明する。
【0025】
図3は、本発明によるブロードキャストシステムの構造を示すブロック構成図である。本発明によるブロードキャストシステムにおいて、DRM適用のための各エンティティは、CC(Content Creator)10、BSA20、BSD30、BSM40、及び端末機50を含む。CC10は、コンテンツ及びサービスを生成するコンテンツ生成機関を示す。BSA(Broadcast Service Application)20は、ブロードキャストネットワークを用いるアプリケーションを示す。BSD(Broadcast Service Distribution)30は、ブロードキャストサービスの分配及びサービス保護機能を提供する。BSM(Broadcast Service Management)40は、ブロードキャストサービス加入管理機能を遂行する。このような各機能別エンティティを通じてブロードキャストサービスが端末機50に伝送されることによって、サービスが端末機50に提供される。
【0026】
以下、ブロードキャストされるサービス保護のために、上述した各機能別エンティティに存在するコンポーネントについて説明する。
【0027】
BCASTサービスコンポーネント22は、デジタルコンテンツをサービス形態に生成する手順を遂行する。SP-E(Service Protection-Encryption)コンポーネント32は、サービスを暗号化してブロードキャストする。SP-M(Service Protection-Management)コンポーネント42は、暗号キー生成及び加入管理を遂行する。SP-KD(Service Protection-Key Distribution)コンポーネント34は、SP-Mコンポーネント42によって生成された暗号キーを端末機50にブロードキャストする役割をする。SP-D(Service Protection-Decryption)コンポーネント52は、SP-E(Service Protection-Encryption)コンポーネント32から伝送される暗号化サービスを復号化する。SP-C(Service Protection-Client)コンポーネント54は、SP-Mコンポーネント42との登録及び加入遂行を進行し、その結果、獲得した暗号キーをSP-Dコンポーネント52に伝送する役割を果たす。
【0028】
一方、本発明により端末機50がブロードキャストサービスを提供されるためには、ブロードキャストネットワーク、すなわちBSM40に登録(Enrollment)した後にサービスに加入(join)しなければならない。それにより、登録及びサービス加入された端末機は、BSM40からサービスROを提供を受信してサービスを利用できる。
【0029】
安全なブロードキャストサービスを受けるために、端末機が登録を行いサービスに加入する過程を図4を参照して説明する。図4は、本発明の一実施例によるブロードキャストチャンネルでのサービス保護方法により送受信されるメッセージのフローを示す。
【0030】
図4を参照してサービス保護手順を説明すると、BSM40のSP-Mコンポーネント42は、ステップS200で、グループキー(GK)、サービスキー(SK)、トラフィックキー(TK)を生成する。グループキーは、端末機50が属するグループに該当する暗号キーを意味し、サービスキーは暗号化されたトラフィックキーを復号化するのに利用される。このトラフィックキーは、端末機50に伝送するコンテンツを暗号化するために使用される。
【0031】
以後、端末機50は、ステップS210で、登録のために、登録要求メッセージをBSM40に伝送する。このとき、端末機50は、ブロードキャストチャンネルの特性上、直接にBSM40にメッセージを伝達することができないため、帯域外(out-of-band)の方式を通じてメッセージをBSM40に伝送する。ここで、帯域外方式の一例として、PCなどの特定媒介を通じてBSM40に登録要求メッセージを伝送する方式が含まれる。この登録要求メッセージは、図5(A)に示すようなフォーマットを有する。図5(A)を参照すると、登録要求メッセージのフォーマットは、端末機識別情報を示すID_Tに対応し、下記に説明される複数のフィールドそれぞれを含む。これらフィールドは、乱数情報を示すRND(1)、第1の伝送時間(time stamp)を示すTS(1)、及び電子署名を示すSign_Tフィールドを含む。その中でも、電子署名フィールド、すなわちSign_Tフィールドは、端末機50が自分の暗号キーで署名することによって、BSM40が特定加入者から伝送されたメッセージであることを認識可能にする情報を含む。また、電子署名は、選択的(Optional)フィールドである。
【0032】
BSM40のSP-Mコンポーネント42は、登録要求メッセージを受信すると、端末機50を確認する。登録要求メッセージに対応して登録応答メッセージの生成時に、SP-Mは、その端末機50が属する該当グループのグループキーを含ませ、そして、登録応答メッセージをステップS215でBSD30に伝送する。BSD30のSP-KDコンポーネント34は、ステップS220で、受信された登録応答メッセージを端末機50に伝送する。このような登録応答メッセージは、図5(B)に示すようなフォーマットを有する。図5(B)に示すように、登録応答メッセージには端末機50の公開キーでグループキーを暗号化した情報を含む。この情報を簡略に表現して、数式E(K,D)で示す。このような数式は、データDを暗号キーKで暗号化するための演算を意味する。したがって、端末機50の公開キーPK_TでグループキーGKを暗号化した情報は、数式E(PK_T,GK)で表すことができる。ここで、Eは暗号化を示す。
【0033】
このような登録応答メッセージがSP-KDコンポーネント34を通じてブロードキャストされると、端末機50は、SP-Dコンポーネント52を通じて暗号化された情報を復号化し、電子署名をBSM40の公開キーPK_Tを用いて検証する過程を通じてメッセージを生成した主体を確認し、このメッセージが正しいメッセージであるか否かを検証する。このとき、端末機50のSP-Dコンポーネント52が登録応答メッセージの検証に失敗すると、端末機50は登録が不可能になる。しかしながら、検証が成功すると、端末機5は、登録応答メッセージからグループキーGKを獲得することができる。このような登録手順(ステップS210)を通じて端末機50は、加入者グループに該当する暗号キーであるグループキーGKを得ることができる。
【0034】
一方、登録が完了すると、端末機50は、BSM40のSP-Mコンポーネント42にサービス加入を要求できる。このようなサービス加入は、サービスに対するROを得るための手順に該当し、端末機50は、ステップS230のように、RO要求メッセージをBSM40のSP-Mコンポーネント42に伝送する。このような場合に、ブロードキャストチャンネルの特性上、端末機50は、直接にメッセージを伝送できないため、帯域外方式でBSM40のSP-Mコンポーネント42にRO要求メッセージを伝送する。このRO要求メッセージは、図5(C)に示すようなフォーマットを有し、このメッセージには端末機50が加入しようとするサービスのIDを示すID_Serviceフィールドが含まれる。
【0035】
このようなRO要求メッセージに対応して、BSM40のSP-Mコンポーネント42は、ステップS235で、予め生成しておいたサービスキーを含むROを生成した後に、ステップS240で、グループキーで暗号化されたROを含むRO応答メッセージをBSD30のSP-KDコンポーネント34に伝送する。すると、BSD30は、ステップS245で、ブロードキャストチャンネルを介してサービス加入を要求した端末機50にRO応答メッセージ、すなわち、サービス加入応答メッセージを伝送する。SP-Dコンポーネント52がRO応答メッセージを受信すると、端末機50は、メッセージ検証を遂行した後、登録時に獲得したグループキーを用いて暗号化されたROを復号化する。ここで、RO応答メッセージは、図5(D)に示すようなフォーマットを有する。このように、サービス加入手順(ステップS230)を通じて端末機50は、ROを獲得できるようになる。
【0036】
この後、BSM40のSP-Mコンポーネント42は、ステップS250で、BSD30にTKメッセージを伝送する。BSD30のSP-KDコンポーネント34は、ステップS255で、トラフィックキーがサービスキーで暗号化されたTKメッセージを端末機50にブロードキャストする。このTKメッセージは、図5(E)に示すようなフォーマットを有し、トラフィックキーがサービスキーで暗号化された情報を含む。このようなTKメッセージを受信すると、端末機50のSP-Dコンポーネント52は、上記サービスキーで暗号化されたトラフィックキーを復号化してトラフィックキーを獲得する。ここで、サービス加入手順で獲得したROが、サービスキーを含むことによって、端末機50はサービスキーを用いてトラフィックキーを獲得することができる。
【0037】
一方、CC10で生成されたコンテンツは、ステップS260で、BSA20のBCASTサービスコンポーネント22を通してBSD30のSP-Eコンポーネント32に伝送される。ここで、BCASTサービスコンポーネント22は、CC10から伝送されたコンテンツを加工過程を経てブロードキャスティングに適合したサービス形態に変形する役割をする。すると、BSD30のSP-Eコンポーネント32は、ステップS265で、コンテンツ及び付加情報をトラフィックキーを用いてIPSec(IP Security)及びSRTP(Secure Realtime Transmission Protocol)のようなネットワーク又は伝送保護技術によってサービス暗号化を遂行する。その後、BSD30のSP-Eコンポーネント32は、ステップS270で、暗号化されたサービスを端末機50にブロードキャストする。ここで、暗号化サービスは、図5(F)に示すようなフォーマットを有する。この暗号化サービスを受信した端末機50のSP-Dコンポーネント52は、受信されたサービスをトラフィックキーで復号化することで、端末機50がサービスを利用可能となる。例えば、コンテンツがトラフィックキーで復号化されると、復号化されたコンテンツは、アプリケーション100を通じて再生されることができる。このように、端末機50は、サービス受信手順(ステップS260)を通じてトラフィックキーを獲得し、暗号化されて伝送されたサービスをこのトラフィックキーを用いて再生させることができる。
【0038】
以上、端末機50がブロードキャストチャンネルを介して暗号化サービスを利用する場合を説明した。以下に、本発明の他の実施形態による端末機が、双方向チャンネルを通じて登録及びサービス加入を直接要求して暗号化されたサービスを用いる場合を説明する。この方法は、双方向チャンネルを介して暗号化されたサービスを利用する場合について説明し、本発明による双方向チャンネルにおけるサービス保護方法により送受信されるメッセージの流れを示す図6を参照して説明する。
【0039】
まず、図6でステップS400は、図4のステップS200と同一であり、ステップS440〜460からなるサービス受信手順(ステップS440)は、図4のステップS250〜ステップS270からなるサービス受信手順と同一である。以下、これら手順に対する詳細な説明は省略する。
【0040】
本発明の一実施形態によるブロードキャストチャンネルを通じたサービス保護方法と双方向チャンネルを通じたサービス保護方法とを比較すると、ブロードキャストチャンネルを用いる場合には、端末機50が直接にブロードキャストネットワークにメッセージを伝送することができないが、双方向チャンネルを利用する場合にはメッセージをネットワークに直接伝送することができる。したがって、端末機50とBSM40との間の直接的なメッセージ交換が可能である。
【0041】
したがって、図6のステップS410で、端末機50は、双方向チャンネルを介してBSM40のSP-Mコンポーネント42に直接に登録要求メッセージを伝送する。この登録要求メッセージは、図5(A)に示すようなフォーマットを有する。BSM40のSP-Mコンポーネント42は、ステップS415で、双方向チャンネルを通じて端末機50からの登録要求メッセージに対応した登録応答メッセージを端末機50に伝送する。この登録応答メッセージは、図5(B)に示すようなフォーマットを有し、グループキーが端末機50の公開キーで暗号化された情報を含む。このような暗号化によって、上記情報は、安全に保護されて伝送されることができる。
【0042】
登録応答メッセージを受信すると、端末機50は、登録応答メッセージに対する検証を遂行する。これは、BSM40のSP-Mコンポーネント42から伝送されたメッセージが自身に伝送されるメッセージであるか否かを確認する手順を意味する。したがって、検証が失敗すると、端末機50は、BSM40から受信された登録応答メッセージを無視するようになる。しかしながら、検証が成功しても、端末機50は、登録応答メッセージフォーマットの時間フィールドを確認し、この時間フィールドが予め定められた所定値より大きく遅延された時間を有すると、登録応答メッセージを無視する。電子署名の検証と時間フィールドの確認に成功すると、端末機50は、自身の公開キーで暗号化されたグループキーを復号化してグループキーを獲得する。
【0043】
前述したように登録手順を遂行しつつグループキーを獲得すると、端末機50は、ステップS420で、双方向チャンネルを通じて、BSM40のSP-Mコンポーネント42にサービス加入要求メッセージ、すなわちROを要求するメッセージを直接に伝送する。ここで、端末機50が直接にサービス加入を要求してBSM40のSP-Mコンポーネント42からサービスROを獲得した場合には、端末機50は、サービスに加入されたと見なす。このサービス加入要求メッセージは、図5(C)に示すようなフォーマットを有し、端末機50が加入しようとするサービスのIDを含む。そして、BSM40のSP-Mコンポーネント42は、ステップS425で、ROを生成し、ステップS430で生成されたROをサービス加入を要求する端末機50に伝送するが、端末機50に伝送されるメッセージは図5(D)に示すようなフォーマットを有する。このメッセージに含まれるROはサービスキーを有し、グループキーで暗号化されて保護される。このようにステップS420〜440からなるサービス加入手順(ステップS420)はBSM40が双方向チャンネルを介して伝送するという点が異なるだけであるため、その詳細な説明を省略する。
【0044】
本発明で、権利オブジェクト又はTKメッセージは、サービスが端末機に提供される時点に関係なく、いつでも端末機に提供されることができる。例えば、サービスが端末機に予め提供された後に、権利オブジェクトが端末機に伝送されてもよい。また、権利オブジェクトが端末機に予め伝送された後に実行するサービスが端末機に提供されてもよい。
【0045】
以上、本発明の詳細な説明においては具体的な実施形態に関して説明したが、特許請求の範囲を逸脱しない限り、様々な変更が可能であることは、当該技術分野における通常の知識を持つ者には明らかである。したがって、本発明の範囲は、前述の実施形態に限定されるものではなく、特許請求の範囲の記載及びこれと均等なものに基づいて定められるべきである。
【図面の簡単な説明】
【0046】
【図1】従来の一般的なDRMシステムを示すブロック構成図である。
【図2】本発明による端末機の内部構造を示すブロック構成図である。
【図3】本発明によるサービス保護のためのブロードキャストシステムの構造を示すブロック構成図である。
【図4】本発明によるブロードキャストチャンネルでのサービス保護方法によって送受信されるメッセージのフローを示す図である。
【図5】本発明のサービス保護方式によるメッセージフォーマットを示す図である。
【図6】本発明による双方向チャンネルでのサービス保護方法によって送受信されるメッセージの流れを示す図である。
【技術分野】
【0001】
本発明は、ブロードキャスト環境でサービス保護のためのエンティティ(entity)間の連動方法及び装置、そしてそのシステムに関するものである。
【背景技術】
【0002】
一般に、ブロードキャストサービス(Broadcast Service)は、ブロードキャストサービスを管理するサーバが暗号化サービスを伝送すると、複数の端末機がこの暗号化サービスを受信することを意味する。
【0003】
現在、ブロードキャストサービスは、徐々に有料サービス(例えば、ペイパービュー、購読料などのサービス)に変わっている傾向にある。便利性と柔軟性を提供し、ユーザーの権利オブジェクト(Right Object:以下、“RO”とする)を使用するデジタル著作権管理(Digital Rights Management:以下、“DRM”とする)技術が、コンテンツの無分別な複製及び配布を防止するための著作権保護の必要によって導入されている。
【0004】
サービス供給者から提供されるサービス又はコンテンツは、図1に示すように保護される。図1は、従来のDRMシステムを示すブロック構成図である。DRM技術は、コンテンツの保護のための代表的なセキュリティー技術の一つとして、暗号化されたコンテンツに対する使用権利を規定する。このDRM通信において、主な役割をするエンティティとして、ROを用いてコンテンツを再生する端末機3と、そのコンテンツに対する使用権利を規定するROを生成及び発給する機関であるRI(Rights Issuer)とが含まれる。図1に示すように、RIはサービス供給者5に属する。
【0005】
端末機3は、RIとの認証手順を通じて安全なチャンネルを形成してROを獲得する。このとき、ROは、DRM技術を用いて復号化されるため、認証されないコンテンツの使用を防止することができる。すなわち、ユーザーは、このようなROを通じて暗号化されたコンテンツを復号化して遂行した後に、この暗号化されたコンテンツに含まれたマルチメディア情報を楽しむことができる。
【0006】
通常のサービス/コンテンツ保護方法は、サービス供給者と一つの端末機との間で認証手続きを遂行した。この移動体通信環境における代表的な関連標準は、OMA(Open Mobile Alliance) DRM v2.0を含む。しかしながら、移動体通信環境でにおけるブロードキャストサービスを用いた複数の端末機のためのサービス保護関連標準技術に対しては、具体的な方法が提示されていない。
【0007】
その上、ブロードキャスティング環境でのコンテンツ保護に関する方法は、例えば3GPP(Third Generation Partnership Project)、3GPP2のMBMS(Multimedia Broadcast/Multicast Service)及びBCMCS(BroadCast MultiCast Service)などが存在するが、これら方法は、上記の3GPPなどのネットワークに基づいた従属的な方法のみを提示している。
【0008】
上記したように、従来技術では、既存の3GPPのネットワークに基づいた従属的なMBMS(Multimedia Broadcast/Multicast Service)のような方法のみを提示するだけであり、特定ネットワークに独立的な方法は提示していない。したがって、多様なネットワークに適用可能なブロードキャストネットワークに参加する各エンティティの構造及び各エンティティの相互間の連動に対する方法の提示がないのが実情である。
【発明の開示】
【発明が解決しようとする課題】
【0009】
したがって、上記した従来技術の問題点を解決するために、本発明の目的は、ブロードキャスト環境におけるサービス保護のための構造、エンティティ間の連動方法及び装置、並びにそのシステムを提供することにある。
【課題を解決するための手段】
【0010】
上記のような目的を達成するために、本発明の第1の側面は、ブロードキャストネットワークの端末においてサービスを受信するための方法であって、登録過程で第1の暗号化キーを受信するステップと、サービス加入過程で権限情報(RO)を含むメッセージを受信するステップと、第1の暗号化キーを用いてROを復号化することによって第2の暗号化キーを獲得するステップと、トラフィックキーメッセージに含まれた第3の暗号化キーを受信するステップと、第2の暗号化キーを用いて前記第3の暗号化キーを復号化するステップと、第3の暗号化キーを用いて受信されたサービスを復号化するステップと、を含むことを特徴とする。
【0011】
また、本発明の他の側面は、ブロードキャストネットワークの端末においてサービスを受信するための装置であって、登録過程で第1の暗号化キーを受信する登録モジュールと、サービス加入過程で権限情報(RO)を含むメッセージを受信し、トラフィックキーメッセージに含まれた第3の暗号化キーを受信する通信モジュールと、第1の暗号化キーを用いてROを復号化することによって第2の暗号化キーを獲得し、第2の暗号化キーを用いて第3の暗号化キーを復号化し、第3の暗号化キーを用いて受信されたサービスを復号化するデジタル著作権管理(DRM)モジュールと、を含むことを特徴とする。
【0012】
さらに、本発明の他の側面は、ブロードキャストネットワークにおいて、端末に対するサービス受信支援のための方法であって、端末の登録要請に応じて第1の暗号化キーを伝送するステップと、第1の暗号化キーを用いて第2の暗号化キーに含まれた権限情報(RO)を暗号化するステップと、端末に暗号化されたROを伝送するステップと、端末に第2の暗号化キーで暗号化された第3の暗号化キーを伝送するステップと、を含むことを特徴とする。
【発明の効果】
【0013】
本発明は、ブロードキャストネットワークに含まれるエンティティ間の構造及び役割を定義することによって、ブロードキャスト環境でのサービス保護のためのシステム運用を可能にする効果がある。
【発明を実施するための最良の形態】
【0014】
以下、本発明の望ましい実施形態を添付の図面を参照して詳細に説明する。
【0015】
下記の図面の説明において、同一の構成要素はできるだけ同一の参照番号及び参照符号を付して示す。また、本発明に関連した公知の機能又は構成に関する具体的な説明が本発明の要旨を不明にすると判断された場合には、その詳細な説明を省略する。
【0016】
本発明は、ブロードキャストサービスを保護するための機能を実現する。具体的に、本発明は、ブロードキャストネットワークにおけるサービス保護のための構造及びその構造における各エンティティの機能を提案する。このために本発明は、端末機を含む各エンティティの構成及び各役割により、端末機にブロードキャストされるサービスを安全に伝送して再生することができる。
【0017】
以下、このような機能が実現された本発明を適用する端末機の構成は、図2を参照して説明する。本発明が適用される端末機50は、アプリケーション(Application)モジュール100、DRMモジュール110、認証(Authentication)モジュール140、安全格納(Secure Storage)モジュール170、通信(Communication)モジュール180、及びUIM I/F(User Identification Module Interface)モジュール190を含む。
【0018】
アプリケーションモジュール100は、メディアプレーヤーのようなモジュールとして、DRMモジュール110から提供される復号化されたコンテンツを再生する役割を果たす。DRMモジュール110は、登録、サービス加入、及びコンテンツ使用を管理する機能を有する。
【0019】
DRMモジュール110は、DRMマネジャー(Manager)モジュール115、登録(Registration)モジュール120、権利管理(Rights Management)モジュール125、キーストリーム管理(Key Stream Management)モジュール130、及びコンテンツ復号化(Content Decryption)モジュール135を含む。その中でも、登録モジュール120は登録手順による動作を遂行し、権利管理モジュール125はサービス加入時に獲得したROの解釈及び使用を管理する。そして、キーストリーム管理モジュール130は、サービスキーによって暗号化されたトラフィックキー(Traffic Key)の復号化を遂行し、コンテンツ復号化モジュール135は、トラフィックキーを用いて暗号化されたコンテンツの復号化を遂行する。DRMマネジャーモジュール115は、DRM関連モジュールの全体動作を制御する。
【0020】
また、認証モジュール140は、ユーザー識別モジュールとネットワーク(例えば、サービス供給者)との認証プロトコルの遂行を管理し、その下部モジュールを用いてメッセージを生成及び検証する。このような認証モジュール140は、プロトコル遂行を制御し、認証機能を管理する認証マネジャーモジュール145を含み、この認証マネジャーモジュール145の下部モジュールを制御する。この認証マネジャーモジュール145の下部モジュールは、暗号化及び復号化演算を遂行する暗号化/復号化(Encryption/Decryption)モジュール150と、電子署名するデジタル署名モジュール155と、MAC(Media Access Control)演算を遂行するMACモジュール160とを含む。
【0021】
具体的に、DRMモジュール110及び認証モジュール140は、後述する本発明の実施形態に係るBSM40(図3を参照)から受信された登録応答メッセージを検証してグループキーを獲得し、BSM40から受信されたサービス加入応答メッセージからそのグループキーを用いてROを獲得し、トラフィックキーメッセージがBSD30から受信されると、ROを用いてトラフィックキーを獲得し、この獲得されたトラフィックキーを用いてBSD30から伝送された暗号化サービスを復号化する。
【0022】
通信モジュール180は、ネットワークとの送信及び受信を担当する。特に、ネットワークからのメッセージを受信し、受信されたメッセージに対応する応答メッセージを送信する。本発明の一実施形態では、通信モジュール180は、BSD30(図3を参照)からブロードキャストチャンネルを介してメッセージを受信する。また、本発明の他の実施形態によると、通信モジュール180は、BSM40と双方向チャンネルを介してメッセージを送受信し、BSD30からトラフィックキーメッセージと暗号化サービスを受信することができる。
【0023】
そして、安全格納モジュール170は、暗号キーなどを格納し、UIM I/Fモジュール190は、ユーザー識別モジュール(User Identity Module:UIM)との通信を制御する。
【0024】
以下、本発明の好ましい実施形態によりサービス保護を遂行する各機能別エンティティについて説明する。
【0025】
図3は、本発明によるブロードキャストシステムの構造を示すブロック構成図である。本発明によるブロードキャストシステムにおいて、DRM適用のための各エンティティは、CC(Content Creator)10、BSA20、BSD30、BSM40、及び端末機50を含む。CC10は、コンテンツ及びサービスを生成するコンテンツ生成機関を示す。BSA(Broadcast Service Application)20は、ブロードキャストネットワークを用いるアプリケーションを示す。BSD(Broadcast Service Distribution)30は、ブロードキャストサービスの分配及びサービス保護機能を提供する。BSM(Broadcast Service Management)40は、ブロードキャストサービス加入管理機能を遂行する。このような各機能別エンティティを通じてブロードキャストサービスが端末機50に伝送されることによって、サービスが端末機50に提供される。
【0026】
以下、ブロードキャストされるサービス保護のために、上述した各機能別エンティティに存在するコンポーネントについて説明する。
【0027】
BCASTサービスコンポーネント22は、デジタルコンテンツをサービス形態に生成する手順を遂行する。SP-E(Service Protection-Encryption)コンポーネント32は、サービスを暗号化してブロードキャストする。SP-M(Service Protection-Management)コンポーネント42は、暗号キー生成及び加入管理を遂行する。SP-KD(Service Protection-Key Distribution)コンポーネント34は、SP-Mコンポーネント42によって生成された暗号キーを端末機50にブロードキャストする役割をする。SP-D(Service Protection-Decryption)コンポーネント52は、SP-E(Service Protection-Encryption)コンポーネント32から伝送される暗号化サービスを復号化する。SP-C(Service Protection-Client)コンポーネント54は、SP-Mコンポーネント42との登録及び加入遂行を進行し、その結果、獲得した暗号キーをSP-Dコンポーネント52に伝送する役割を果たす。
【0028】
一方、本発明により端末機50がブロードキャストサービスを提供されるためには、ブロードキャストネットワーク、すなわちBSM40に登録(Enrollment)した後にサービスに加入(join)しなければならない。それにより、登録及びサービス加入された端末機は、BSM40からサービスROを提供を受信してサービスを利用できる。
【0029】
安全なブロードキャストサービスを受けるために、端末機が登録を行いサービスに加入する過程を図4を参照して説明する。図4は、本発明の一実施例によるブロードキャストチャンネルでのサービス保護方法により送受信されるメッセージのフローを示す。
【0030】
図4を参照してサービス保護手順を説明すると、BSM40のSP-Mコンポーネント42は、ステップS200で、グループキー(GK)、サービスキー(SK)、トラフィックキー(TK)を生成する。グループキーは、端末機50が属するグループに該当する暗号キーを意味し、サービスキーは暗号化されたトラフィックキーを復号化するのに利用される。このトラフィックキーは、端末機50に伝送するコンテンツを暗号化するために使用される。
【0031】
以後、端末機50は、ステップS210で、登録のために、登録要求メッセージをBSM40に伝送する。このとき、端末機50は、ブロードキャストチャンネルの特性上、直接にBSM40にメッセージを伝達することができないため、帯域外(out-of-band)の方式を通じてメッセージをBSM40に伝送する。ここで、帯域外方式の一例として、PCなどの特定媒介を通じてBSM40に登録要求メッセージを伝送する方式が含まれる。この登録要求メッセージは、図5(A)に示すようなフォーマットを有する。図5(A)を参照すると、登録要求メッセージのフォーマットは、端末機識別情報を示すID_Tに対応し、下記に説明される複数のフィールドそれぞれを含む。これらフィールドは、乱数情報を示すRND(1)、第1の伝送時間(time stamp)を示すTS(1)、及び電子署名を示すSign_Tフィールドを含む。その中でも、電子署名フィールド、すなわちSign_Tフィールドは、端末機50が自分の暗号キーで署名することによって、BSM40が特定加入者から伝送されたメッセージであることを認識可能にする情報を含む。また、電子署名は、選択的(Optional)フィールドである。
【0032】
BSM40のSP-Mコンポーネント42は、登録要求メッセージを受信すると、端末機50を確認する。登録要求メッセージに対応して登録応答メッセージの生成時に、SP-Mは、その端末機50が属する該当グループのグループキーを含ませ、そして、登録応答メッセージをステップS215でBSD30に伝送する。BSD30のSP-KDコンポーネント34は、ステップS220で、受信された登録応答メッセージを端末機50に伝送する。このような登録応答メッセージは、図5(B)に示すようなフォーマットを有する。図5(B)に示すように、登録応答メッセージには端末機50の公開キーでグループキーを暗号化した情報を含む。この情報を簡略に表現して、数式E(K,D)で示す。このような数式は、データDを暗号キーKで暗号化するための演算を意味する。したがって、端末機50の公開キーPK_TでグループキーGKを暗号化した情報は、数式E(PK_T,GK)で表すことができる。ここで、Eは暗号化を示す。
【0033】
このような登録応答メッセージがSP-KDコンポーネント34を通じてブロードキャストされると、端末機50は、SP-Dコンポーネント52を通じて暗号化された情報を復号化し、電子署名をBSM40の公開キーPK_Tを用いて検証する過程を通じてメッセージを生成した主体を確認し、このメッセージが正しいメッセージであるか否かを検証する。このとき、端末機50のSP-Dコンポーネント52が登録応答メッセージの検証に失敗すると、端末機50は登録が不可能になる。しかしながら、検証が成功すると、端末機5は、登録応答メッセージからグループキーGKを獲得することができる。このような登録手順(ステップS210)を通じて端末機50は、加入者グループに該当する暗号キーであるグループキーGKを得ることができる。
【0034】
一方、登録が完了すると、端末機50は、BSM40のSP-Mコンポーネント42にサービス加入を要求できる。このようなサービス加入は、サービスに対するROを得るための手順に該当し、端末機50は、ステップS230のように、RO要求メッセージをBSM40のSP-Mコンポーネント42に伝送する。このような場合に、ブロードキャストチャンネルの特性上、端末機50は、直接にメッセージを伝送できないため、帯域外方式でBSM40のSP-Mコンポーネント42にRO要求メッセージを伝送する。このRO要求メッセージは、図5(C)に示すようなフォーマットを有し、このメッセージには端末機50が加入しようとするサービスのIDを示すID_Serviceフィールドが含まれる。
【0035】
このようなRO要求メッセージに対応して、BSM40のSP-Mコンポーネント42は、ステップS235で、予め生成しておいたサービスキーを含むROを生成した後に、ステップS240で、グループキーで暗号化されたROを含むRO応答メッセージをBSD30のSP-KDコンポーネント34に伝送する。すると、BSD30は、ステップS245で、ブロードキャストチャンネルを介してサービス加入を要求した端末機50にRO応答メッセージ、すなわち、サービス加入応答メッセージを伝送する。SP-Dコンポーネント52がRO応答メッセージを受信すると、端末機50は、メッセージ検証を遂行した後、登録時に獲得したグループキーを用いて暗号化されたROを復号化する。ここで、RO応答メッセージは、図5(D)に示すようなフォーマットを有する。このように、サービス加入手順(ステップS230)を通じて端末機50は、ROを獲得できるようになる。
【0036】
この後、BSM40のSP-Mコンポーネント42は、ステップS250で、BSD30にTKメッセージを伝送する。BSD30のSP-KDコンポーネント34は、ステップS255で、トラフィックキーがサービスキーで暗号化されたTKメッセージを端末機50にブロードキャストする。このTKメッセージは、図5(E)に示すようなフォーマットを有し、トラフィックキーがサービスキーで暗号化された情報を含む。このようなTKメッセージを受信すると、端末機50のSP-Dコンポーネント52は、上記サービスキーで暗号化されたトラフィックキーを復号化してトラフィックキーを獲得する。ここで、サービス加入手順で獲得したROが、サービスキーを含むことによって、端末機50はサービスキーを用いてトラフィックキーを獲得することができる。
【0037】
一方、CC10で生成されたコンテンツは、ステップS260で、BSA20のBCASTサービスコンポーネント22を通してBSD30のSP-Eコンポーネント32に伝送される。ここで、BCASTサービスコンポーネント22は、CC10から伝送されたコンテンツを加工過程を経てブロードキャスティングに適合したサービス形態に変形する役割をする。すると、BSD30のSP-Eコンポーネント32は、ステップS265で、コンテンツ及び付加情報をトラフィックキーを用いてIPSec(IP Security)及びSRTP(Secure Realtime Transmission Protocol)のようなネットワーク又は伝送保護技術によってサービス暗号化を遂行する。その後、BSD30のSP-Eコンポーネント32は、ステップS270で、暗号化されたサービスを端末機50にブロードキャストする。ここで、暗号化サービスは、図5(F)に示すようなフォーマットを有する。この暗号化サービスを受信した端末機50のSP-Dコンポーネント52は、受信されたサービスをトラフィックキーで復号化することで、端末機50がサービスを利用可能となる。例えば、コンテンツがトラフィックキーで復号化されると、復号化されたコンテンツは、アプリケーション100を通じて再生されることができる。このように、端末機50は、サービス受信手順(ステップS260)を通じてトラフィックキーを獲得し、暗号化されて伝送されたサービスをこのトラフィックキーを用いて再生させることができる。
【0038】
以上、端末機50がブロードキャストチャンネルを介して暗号化サービスを利用する場合を説明した。以下に、本発明の他の実施形態による端末機が、双方向チャンネルを通じて登録及びサービス加入を直接要求して暗号化されたサービスを用いる場合を説明する。この方法は、双方向チャンネルを介して暗号化されたサービスを利用する場合について説明し、本発明による双方向チャンネルにおけるサービス保護方法により送受信されるメッセージの流れを示す図6を参照して説明する。
【0039】
まず、図6でステップS400は、図4のステップS200と同一であり、ステップS440〜460からなるサービス受信手順(ステップS440)は、図4のステップS250〜ステップS270からなるサービス受信手順と同一である。以下、これら手順に対する詳細な説明は省略する。
【0040】
本発明の一実施形態によるブロードキャストチャンネルを通じたサービス保護方法と双方向チャンネルを通じたサービス保護方法とを比較すると、ブロードキャストチャンネルを用いる場合には、端末機50が直接にブロードキャストネットワークにメッセージを伝送することができないが、双方向チャンネルを利用する場合にはメッセージをネットワークに直接伝送することができる。したがって、端末機50とBSM40との間の直接的なメッセージ交換が可能である。
【0041】
したがって、図6のステップS410で、端末機50は、双方向チャンネルを介してBSM40のSP-Mコンポーネント42に直接に登録要求メッセージを伝送する。この登録要求メッセージは、図5(A)に示すようなフォーマットを有する。BSM40のSP-Mコンポーネント42は、ステップS415で、双方向チャンネルを通じて端末機50からの登録要求メッセージに対応した登録応答メッセージを端末機50に伝送する。この登録応答メッセージは、図5(B)に示すようなフォーマットを有し、グループキーが端末機50の公開キーで暗号化された情報を含む。このような暗号化によって、上記情報は、安全に保護されて伝送されることができる。
【0042】
登録応答メッセージを受信すると、端末機50は、登録応答メッセージに対する検証を遂行する。これは、BSM40のSP-Mコンポーネント42から伝送されたメッセージが自身に伝送されるメッセージであるか否かを確認する手順を意味する。したがって、検証が失敗すると、端末機50は、BSM40から受信された登録応答メッセージを無視するようになる。しかしながら、検証が成功しても、端末機50は、登録応答メッセージフォーマットの時間フィールドを確認し、この時間フィールドが予め定められた所定値より大きく遅延された時間を有すると、登録応答メッセージを無視する。電子署名の検証と時間フィールドの確認に成功すると、端末機50は、自身の公開キーで暗号化されたグループキーを復号化してグループキーを獲得する。
【0043】
前述したように登録手順を遂行しつつグループキーを獲得すると、端末機50は、ステップS420で、双方向チャンネルを通じて、BSM40のSP-Mコンポーネント42にサービス加入要求メッセージ、すなわちROを要求するメッセージを直接に伝送する。ここで、端末機50が直接にサービス加入を要求してBSM40のSP-Mコンポーネント42からサービスROを獲得した場合には、端末機50は、サービスに加入されたと見なす。このサービス加入要求メッセージは、図5(C)に示すようなフォーマットを有し、端末機50が加入しようとするサービスのIDを含む。そして、BSM40のSP-Mコンポーネント42は、ステップS425で、ROを生成し、ステップS430で生成されたROをサービス加入を要求する端末機50に伝送するが、端末機50に伝送されるメッセージは図5(D)に示すようなフォーマットを有する。このメッセージに含まれるROはサービスキーを有し、グループキーで暗号化されて保護される。このようにステップS420〜440からなるサービス加入手順(ステップS420)はBSM40が双方向チャンネルを介して伝送するという点が異なるだけであるため、その詳細な説明を省略する。
【0044】
本発明で、権利オブジェクト又はTKメッセージは、サービスが端末機に提供される時点に関係なく、いつでも端末機に提供されることができる。例えば、サービスが端末機に予め提供された後に、権利オブジェクトが端末機に伝送されてもよい。また、権利オブジェクトが端末機に予め伝送された後に実行するサービスが端末機に提供されてもよい。
【0045】
以上、本発明の詳細な説明においては具体的な実施形態に関して説明したが、特許請求の範囲を逸脱しない限り、様々な変更が可能であることは、当該技術分野における通常の知識を持つ者には明らかである。したがって、本発明の範囲は、前述の実施形態に限定されるものではなく、特許請求の範囲の記載及びこれと均等なものに基づいて定められるべきである。
【図面の簡単な説明】
【0046】
【図1】従来の一般的なDRMシステムを示すブロック構成図である。
【図2】本発明による端末機の内部構造を示すブロック構成図である。
【図3】本発明によるサービス保護のためのブロードキャストシステムの構造を示すブロック構成図である。
【図4】本発明によるブロードキャストチャンネルでのサービス保護方法によって送受信されるメッセージのフローを示す図である。
【図5】本発明のサービス保護方式によるメッセージフォーマットを示す図である。
【図6】本発明による双方向チャンネルでのサービス保護方法によって送受信されるメッセージの流れを示す図である。
【特許請求の範囲】
【請求項1】
ブロードキャストネットワークの端末においてサービスを受信するための方法であって、
登録過程で第1の暗号化キーを受信するステップと、
サービス加入過程で権限情報(RO)を含むメッセージを受信するステップと、
前記第1の暗号化キーを用いて前記ROを復号化することによって第2の暗号化キーを獲得するステップと、
トラフィックキーメッセージに含まれた第3の暗号化キーを受信するステップと、
前記第2の暗号化キーを用いて前記第3の暗号化キーを復号化するステップと、
前記第3の暗号化キーを用いて受信されたサービスを復号化するステップと、を含むことを特徴とするサービス受信方法。
【請求項2】
前記第1の暗号化キー、前記RO、及び前記第3の暗号化キーを含むメッセージのうちの一つは、ブロードキャスト・サービス・マネージメント(BSM)でブロードキャスト・サービス・ディストリビューション(BSD)を介して端末に伝送されることを特徴とする請求項1に記載の方法。
【請求項3】
前記第1の暗号化キー及び前記ROは、BSMによって生成されることを特徴とする請求項1に記載の方法。
【請求項4】
前記サービスは、サービス生成部でブロードキャスト・サービス・アプリケーション(BSA)を介して端末に伝送されることを特徴とする請求項1に記載の方法。
【請求項5】
前記第1の暗号化キーは、前記端末の公開キーを用いて暗号化されることを特徴とする請求項1に記載の方法。
【請求項6】
前記第2の暗号化キーは、前記端末がサービスに加入する場合に割り当てられた暗号化キーであることを特徴とする請求項1に記載の方法。
【請求項7】
前記登録過程で登録応答メッセージがBSDから受信された場合、前記端末は検証のために前記登録応答メッセージに含まれた時間フィールドを検証し、
検証が首尾よく行われた場合、前記端末は前記第1の暗号化キーを獲得するために前記端末の公開キーを用いて前記登録応答メッセージに含まれた第1の暗号化キーを復号化することを特徴とする請求項1に記載の方法。
【請求項8】
第1の暗号化キーは、登録応答メッセージに含まれることを特徴とする請求項1に記載の方法。
【請求項9】
前記登録過程で登録応答メッセージに含まれた電子署名フィールドを前記登録応答メッセージの生成主体の公開キーで検証し、
検証が首尾よく行われた場合、前記端末は前記第1の暗号化キーを獲得するために前記端末の公開キーを用いて前記登録応答メッセージに含まれた第1の暗号化キーを復号化することを特徴とする請求項1に記載の方法。
【請求項10】
前記第1の暗号化キーは加入者グループキーを意味し、第2の暗号化キーはサービス暗号化キーを意味し、第3の暗号化キーはトラフィックキーを意味することを特徴とする請求項1に記載の方法。
【請求項11】
ブロードキャストネットワークの端末においてサービスを受信するための装置であって、
登録過程で第1の暗号化キーを受信する登録モジュールと、
サービス加入過程で権限情報(RO)を含むメッセージを受信し、トラフィックキーメッセージに含まれた第3の暗号化キーを受信する通信モジュールと、
前記第1の暗号化キーを用いて前記ROを復号化することによって第2の暗号化キーを獲得し、前記第2の暗号化キーを用いて前記第3の暗号化キーを復号化し、前記第3の暗号化キーを用いて受信されたサービスを復号化するデジタル著作権管理(DRM)モジュールと、を含むことを特徴とするサービス受信装置。
【請求項12】
前記第1の暗号化キー、前記RO、及び前記第3の暗号化キーを含むメッセージのうちの一つは、ブロードキャスト・サービス・マネージメント(BSM)でブロードキャスト・サービス・ディストリビューション(BSD)を介して端末に伝送されることを特徴とする請求項11に記載の装置。
【請求項13】
前記第1の暗号化キー及び前記ROは、BSMによって生成されることを特徴とする請求項11に記載の装置。
【請求項14】
前記サービスは、サービス生成部でブロードキャスト・サービス・アプリケーション(BSA)を介して端末に伝送されることを特徴とする請求項11に記載の装置 。
【請求項15】
前記第1の暗号化キーは、前記端末の公開キーを用いて暗号化されることを特徴とする請求項11に記載の装置。
【請求項16】
前記第2の暗号化キーは、前記端末がサービスに加入する場合に割り当てられた暗号化キーであることを特徴とする請求項11に記載の装置。
【請求項17】
前記登録過程で登録応答メッセージがBSDから受信された場合、前記端末は検証のために前記登録応答メッセージに含まれた時間フィールドを検証し、
検証が首尾よく行われた場合、前記端末は前記第1の暗号化キーを獲得するために前記端末の公開キーを用いて前記登録応答メッセージに含まれた第1の暗号化キーを復号化することを特徴とする請求項11に記載の装置。
【請求項18】
第1の暗号化キーは、登録応答メッセージに含まれることを特徴とする請求項11に記載の装置。
【請求項19】
前記登録過程で登録応答メッセージに含まれた電子署名フィールドを前記登録応答メッセージの生成主体の公開キーで検証し、
検証が首尾よく行われた場合、前記端末は前記第1の暗号化キーを獲得するために前記端末の公開キーを用いて前記登録応答メッセージに含まれた第1の暗号化キーを復号化することを特徴とする請求項11に記載の装置。
【請求項20】
前記第1の暗号化キーは加入者グループキーを意味し、第2の暗号化キーはサービス暗号化キーを意味し、第3の暗号化キーはトラフィックキーを意味することを特徴とする請求項11に記載の装置。
【請求項21】
ブロードキャストネットワークにおいて、端末に対するサービス受信支援のための方法であって、
前記端末の登録要請に応じて第1の暗号化キーを伝送するステップと、
前記第1の暗号化キーを用いて第2の暗号化キーに含まれた権限情報(RO)を暗号化するステップと、
前記端末に前記暗号化されたROを伝送するステップと、
前記端末に第2の暗号化キーで暗号化された第3の暗号化キーを伝送するステップと、を含むことを特徴とする方法。
【請求項22】
前記第1の暗号化キー、前記RO、及び前記第3の暗号化キーを含むメッセージのうちの一つは、ブロードキャスト・サービス・マネージメント(BSM)でブロードキャスト・サービス・ディストリビューション(BSD)を介して端末に伝送されることを特徴とする請求項21に記載の方法。
【請求項23】
前記第1の暗号化キー及び前記ROは、前記端末の要請がある場合、BSDによって生成されることを特徴とする請求項21に記載の方法 。
【請求項24】
前記第1の暗号化キーは加入者グループキーを意味し、第2の暗号化キーはサービス暗号化キーを意味し、第3の暗号化キーはトラフィックキーを意味することを特徴とする請求項21乃至23のいずれか1項に記載の方法。
【請求項25】
前記端末からサービス加入要請を受信した場合、第2の暗号化キーが含まれたROを暗号化することを特徴とする請求項21に記載の方法 。
【請求項1】
ブロードキャストネットワークの端末においてサービスを受信するための方法であって、
登録過程で第1の暗号化キーを受信するステップと、
サービス加入過程で権限情報(RO)を含むメッセージを受信するステップと、
前記第1の暗号化キーを用いて前記ROを復号化することによって第2の暗号化キーを獲得するステップと、
トラフィックキーメッセージに含まれた第3の暗号化キーを受信するステップと、
前記第2の暗号化キーを用いて前記第3の暗号化キーを復号化するステップと、
前記第3の暗号化キーを用いて受信されたサービスを復号化するステップと、を含むことを特徴とするサービス受信方法。
【請求項2】
前記第1の暗号化キー、前記RO、及び前記第3の暗号化キーを含むメッセージのうちの一つは、ブロードキャスト・サービス・マネージメント(BSM)でブロードキャスト・サービス・ディストリビューション(BSD)を介して端末に伝送されることを特徴とする請求項1に記載の方法。
【請求項3】
前記第1の暗号化キー及び前記ROは、BSMによって生成されることを特徴とする請求項1に記載の方法。
【請求項4】
前記サービスは、サービス生成部でブロードキャスト・サービス・アプリケーション(BSA)を介して端末に伝送されることを特徴とする請求項1に記載の方法。
【請求項5】
前記第1の暗号化キーは、前記端末の公開キーを用いて暗号化されることを特徴とする請求項1に記載の方法。
【請求項6】
前記第2の暗号化キーは、前記端末がサービスに加入する場合に割り当てられた暗号化キーであることを特徴とする請求項1に記載の方法。
【請求項7】
前記登録過程で登録応答メッセージがBSDから受信された場合、前記端末は検証のために前記登録応答メッセージに含まれた時間フィールドを検証し、
検証が首尾よく行われた場合、前記端末は前記第1の暗号化キーを獲得するために前記端末の公開キーを用いて前記登録応答メッセージに含まれた第1の暗号化キーを復号化することを特徴とする請求項1に記載の方法。
【請求項8】
第1の暗号化キーは、登録応答メッセージに含まれることを特徴とする請求項1に記載の方法。
【請求項9】
前記登録過程で登録応答メッセージに含まれた電子署名フィールドを前記登録応答メッセージの生成主体の公開キーで検証し、
検証が首尾よく行われた場合、前記端末は前記第1の暗号化キーを獲得するために前記端末の公開キーを用いて前記登録応答メッセージに含まれた第1の暗号化キーを復号化することを特徴とする請求項1に記載の方法。
【請求項10】
前記第1の暗号化キーは加入者グループキーを意味し、第2の暗号化キーはサービス暗号化キーを意味し、第3の暗号化キーはトラフィックキーを意味することを特徴とする請求項1に記載の方法。
【請求項11】
ブロードキャストネットワークの端末においてサービスを受信するための装置であって、
登録過程で第1の暗号化キーを受信する登録モジュールと、
サービス加入過程で権限情報(RO)を含むメッセージを受信し、トラフィックキーメッセージに含まれた第3の暗号化キーを受信する通信モジュールと、
前記第1の暗号化キーを用いて前記ROを復号化することによって第2の暗号化キーを獲得し、前記第2の暗号化キーを用いて前記第3の暗号化キーを復号化し、前記第3の暗号化キーを用いて受信されたサービスを復号化するデジタル著作権管理(DRM)モジュールと、を含むことを特徴とするサービス受信装置。
【請求項12】
前記第1の暗号化キー、前記RO、及び前記第3の暗号化キーを含むメッセージのうちの一つは、ブロードキャスト・サービス・マネージメント(BSM)でブロードキャスト・サービス・ディストリビューション(BSD)を介して端末に伝送されることを特徴とする請求項11に記載の装置。
【請求項13】
前記第1の暗号化キー及び前記ROは、BSMによって生成されることを特徴とする請求項11に記載の装置。
【請求項14】
前記サービスは、サービス生成部でブロードキャスト・サービス・アプリケーション(BSA)を介して端末に伝送されることを特徴とする請求項11に記載の装置 。
【請求項15】
前記第1の暗号化キーは、前記端末の公開キーを用いて暗号化されることを特徴とする請求項11に記載の装置。
【請求項16】
前記第2の暗号化キーは、前記端末がサービスに加入する場合に割り当てられた暗号化キーであることを特徴とする請求項11に記載の装置。
【請求項17】
前記登録過程で登録応答メッセージがBSDから受信された場合、前記端末は検証のために前記登録応答メッセージに含まれた時間フィールドを検証し、
検証が首尾よく行われた場合、前記端末は前記第1の暗号化キーを獲得するために前記端末の公開キーを用いて前記登録応答メッセージに含まれた第1の暗号化キーを復号化することを特徴とする請求項11に記載の装置。
【請求項18】
第1の暗号化キーは、登録応答メッセージに含まれることを特徴とする請求項11に記載の装置。
【請求項19】
前記登録過程で登録応答メッセージに含まれた電子署名フィールドを前記登録応答メッセージの生成主体の公開キーで検証し、
検証が首尾よく行われた場合、前記端末は前記第1の暗号化キーを獲得するために前記端末の公開キーを用いて前記登録応答メッセージに含まれた第1の暗号化キーを復号化することを特徴とする請求項11に記載の装置。
【請求項20】
前記第1の暗号化キーは加入者グループキーを意味し、第2の暗号化キーはサービス暗号化キーを意味し、第3の暗号化キーはトラフィックキーを意味することを特徴とする請求項11に記載の装置。
【請求項21】
ブロードキャストネットワークにおいて、端末に対するサービス受信支援のための方法であって、
前記端末の登録要請に応じて第1の暗号化キーを伝送するステップと、
前記第1の暗号化キーを用いて第2の暗号化キーに含まれた権限情報(RO)を暗号化するステップと、
前記端末に前記暗号化されたROを伝送するステップと、
前記端末に第2の暗号化キーで暗号化された第3の暗号化キーを伝送するステップと、を含むことを特徴とする方法。
【請求項22】
前記第1の暗号化キー、前記RO、及び前記第3の暗号化キーを含むメッセージのうちの一つは、ブロードキャスト・サービス・マネージメント(BSM)でブロードキャスト・サービス・ディストリビューション(BSD)を介して端末に伝送されることを特徴とする請求項21に記載の方法。
【請求項23】
前記第1の暗号化キー及び前記ROは、前記端末の要請がある場合、BSDによって生成されることを特徴とする請求項21に記載の方法 。
【請求項24】
前記第1の暗号化キーは加入者グループキーを意味し、第2の暗号化キーはサービス暗号化キーを意味し、第3の暗号化キーはトラフィックキーを意味することを特徴とする請求項21乃至23のいずれか1項に記載の方法。
【請求項25】
前記端末からサービス加入要請を受信した場合、第2の暗号化キーが含まれたROを暗号化することを特徴とする請求項21に記載の方法 。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−105293(P2012−105293A)
【公開日】平成24年5月31日(2012.5.31)
【国際特許分類】
【出願番号】特願2011−269737(P2011−269737)
【出願日】平成23年12月9日(2011.12.9)
【分割の表示】特願2008−530999(P2008−530999)の分割
【原出願日】平成18年6月2日(2006.6.2)
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
【公開日】平成24年5月31日(2012.5.31)
【国際特許分類】
【出願日】平成23年12月9日(2011.12.9)
【分割の表示】特願2008−530999(P2008−530999)の分割
【原出願日】平成18年6月2日(2006.6.2)
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
[ Back to top ]