ストリーム制御装置、ストリーム暗号化/復号化装置、および、ストリーム暗号化/復号化方法
【課題】ストリームに対して、暗号化/復号化処理など、処理対象のデータ量、処理期間がそれぞれ異なる複数のデータ処理方式のデータ処理を行う処理ブロック間のデータ転送を、バッファを介して行う際に、データ処理方式の変更がバッファ制御に影響しないストリーム制御装置、ストリーム暗号化/復号化装置、および、ストリーム暗号化/復号化方法を提供する。
【解決手段】AES処理部40は、バッファ30およびバッファ50のデータ蓄積量を監視し、その結果に応じてバッファ30に対して読み出し命令を行う。DES処理化部60は、バッファ50およびバッファ70のデータ蓄積量を監視し、その結果に応じてバッファ50に対して読み出し命令を行う。
【解決手段】AES処理部40は、バッファ30およびバッファ50のデータ蓄積量を監視し、その結果に応じてバッファ30に対して読み出し命令を行う。DES処理化部60は、バッファ50およびバッファ70のデータ蓄積量を監視し、その結果に応じてバッファ50に対して読み出し命令を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、たとえばMPEGなど映像と音声とが多重化されたパケット単位のストリームを制御するためのストリーム制御技術に関し、特に、ストリームに対して複数回の暗号化/復号化を施す際のストリーム制御技術に関する。
【背景技術】
【0002】
昨今のデータ通信ネットワークの普及に伴い、家庭内においても家電機器やコンピュータ、その他の周辺機器をネットワーク接続し、各機器間での通信を可能とした、いわゆるホームネットワークが浸透しつつある。ホームネットワークは、ネットワーク接続機器間で通信を行なうことにより各機器のデータ処理機能を共有することを可能とするものである。ネットワーク接続機器間のコンテンツ送受信等、ユーザに利便性・快適性を提供するものであり、今後、ますます普及することが予測される。
【0003】
かかるホームネットワークにおいて、コンテンツの著作権を保護する技術としてデファクトスタンダードとなっているDTCP(Digital Transmission Content Protection)が知られている。DTCPでは、コンテンツの送信機器と受信機器との間で、認証および暗号鍵の交換を行って暗号鍵を共有し、これらの機器間で暗号化データが転送される。
かかる暗号化および復号化は、ホームネットワークに接続された複数の機器間で単一の方式ではなく、複数の方式が用いられる場合が多い。たとえば、DTCPをIPネットワーク上に展開するためのDTCP/IPでは、鍵長128ビットのAES(Advanced Encryption Standard)を標準としている一方で、HDD(Hard Disk Drive)などのメディアに記録する場合には、AESよりも暗号強度が低いDES(Data Encryption Standard)が用いられる。
【0004】
このように、ホームネットワークでは、それぞれ異なる複数方式の暗号化/復号化が行われ、各暗号化/復号化の処理間では、コンテンツとしてのストリームデータを一時的に記憶するバッファ(メモリ)が設けられる。たとえば、下記特許文献1には、暗号化/復号化データを、バッファとしてのメモリを介して転送する技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2003−281085号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、特許文献1に記載されているような従来のデータ処理方法では、たとえば暗号化を行う際に、その暗号化処理ブロックの前後のバッファにあるデータ量に応じて、暗号化対象データと暗号化データのデータ転送を制限する(転送をウェイトさせる)ようにしている(たとえば特許文献1の図17参照)。
しかしながら、通常、暗号化処理に要するデータ量が暗号化方式ごとに異なるため、複数方式による複数回の暗号化を行う場合には、暗号化対象であるストリーム(ストリームデータ)を各暗号化処理ブロックに入力するタイミングを制御する必要がある。すなわち、複数の暗号化方式に対応してバッファを制御するバッファ制御回路を設定する必要がある。
【0007】
したがって、複数の暗号化処理ブロックのうち、一部の暗号化処理ブロックの暗号化方式を変更する場合や、新たな暗号化処理ブロックを追加する場合には、バッファ制御回路をその都度変更する必要があり、ホームネットワークの暗号化処理システムを柔軟に構築することができない。たとえば、暗号化処理ブロックでは暗号化方式に応じて処理対象データのデータ幅や処理時間が異なるため、暗号化方式が変更されると、バッファ制御回路においては、前後のバッファとの間でのシリアル・パラレル変換およびパラレル・シリアル変換、内部レジスタ処理等、様々な処理が影響を受けることになる。
【0008】
本発明は、上述した観点によってなされたものであって、その目的は、ストリームに対して、暗号化/復号化処理など、処理対象のデータ量、処理期間がそれぞれ異なる複数のデータ処理方式のデータ処理を行う処理ブロック間のデータ転送を、メモリを介して行う際に、データ処理方式の変更がメモリ制御に影響しないストリーム制御装置、ストリーム暗号化/復号化装置、および、ストリーム暗号化/復号化方法を提供することにある。
【課題を解決するための手段】
【0009】
上記課題を克服するために、本発明の第1の観点は、ストリームデータに対し、それぞれ所定のデータ量を処理単位として、順次処理を行う複数のデータ処理部と、前記データ処理部の前段または後段に設けられて、前記ストリームデータを格納する1または複数のメモリと、を備え、各データ処理部は、隣接する前段および後段のメモリに格納されるデータ量を監視する監視部と、前段のメモリにデータが格納され、かつ、自己の処理の処理単位のデータ量が後段のメモリの空き容量として存在することを条件として、前記前段のメモリから処理対象のデータを読み込むデータ読み込み部と、を備えるストリーム制御装置である。
【0010】
上記課題を克服するために、本発明の第2の観点は、ストリームデータに対し、それぞれ所定のデータ量を処理単位として、順次暗号化/復号化を行う複数の暗号化/復号化部と、前記暗号化/復号化部の前段または後段に設けられて、前記ストリームデータを格納する1または複数のメモリと、を備え、各暗号化/復号化部は、隣接する前段および後段のメモリに格納されるデータ量を監視する監視部と、前段のメモリにデータが格納され、かつ、自己の暗号化/復号化の処理単位のデータ量が後段のメモリの空き容量として存在することを条件として、前記前段のメモリから暗号化/復号化対象のデータを読み込むデータ読み込み部と、を備えるストリーム暗号化/復号化装置である。
【0011】
上記課題を克服するために、本発明の第3の観点は、ストリームデータに対して、それぞれ所定のデータ量を処理単位として、複数回の暗号化/復号化を順次行うストリーム暗号化/復号化方法であって、N番目(N:整数)の暗号化/復号化を行う対象であって、N番目のメモリに格納されたデータのデータ量を監視する第1工程と、前記N番目の暗号化/復号化が行われたデータであって、N+1番目のメモリに格納されたデータのデータ量を監視する第2工程と、前記N番目のメモリにデータが格納され、かつ、前記N番目の暗号化/復号化の処理単位となるデータ量が、前記N+1番目のメモリの空き容量として存在することを条件として、前記N番目のメモリから暗号化/復号化対象のデータを読み込む第3工程と、読み込んだデータに対してN番目の暗号化/復号化を行う第4工程と、を備えたストリーム暗号化/復号化方法である。
【発明の効果】
【0012】
本発明によれば、ストリームに対して、暗号化/復号化処理など、処理対象のデータ量、処理期間がそれぞれ異なる複数のデータ処理方式のデータ処理を行う処理ブロック間のデータ転送を、メモリを介して行う際に、データ処理方式の変更がメモリ制御に影響しない。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施形態に係るストリーム暗号化/復号化装置のブロック構成を示す図である。
【図2】AES処理部の具体的な構成例を示すブロック図である。
【図3】AES処理部の動作を示すフローチャートである。
【図4】実施形態に係るストリーム暗号化/復号化方法が適用されるホームネットワークシステムの例を示す図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施形態を添付図面に関連付けて説明する。
<第1の実施形態>
先ず、本発明の第1の実施形態に係るストリーム暗号化/復号化装置1について、図1に関連付けて説明する。
【0015】
一般に、ホームネットワークシステムでは、映像コンテンツの著作権を保護するために、映像コンテンツとしてのMPEG(Moving Picture Experts Group)トランスポートストリーム形式のデータ(以下、適宜ストリームと略称する)に対して暗号化が施される。
その際、DTCP/IPでは、鍵長128ビットのAES(Advanced Encryption Standard)を標準としており、ストリームは、イーサケーブル上ではAES暗号化されて転送される。一方、たとえばHDD(Hard Disk Drive)などのメディアに記録する場合には、AESよりも暗号強度が低いDES(Data Encryption Standard)が用いられる。
したがって、ホームネットワーク上でストリームを転送する場合には、複数の暗号化/復号化が施されて行われるのが実状である。
【0016】
図1に示すストリーム暗号化/復号化装置1は、ホームネットワークシステム上で複数の暗号化/復号化を行う装置であって、イーサケーブル上にあるAES暗号化されたストリームを取り込んで復号し、HDDに記録するためにDES暗号化を行う。
実施形態に係るストリーム暗号化/復号化装置1は、複数の暗号化/復号化部と、複数のメモリとを有する。複数の暗号化/復号化部として、AES処理部40とDES処理化部60を有する。複数のメモリとして、バッファ(BUF)30,50,70を有する。
図1において、ストリームは、図示しないイーサケーブルからAES暗号化されてバッファ30に取り込まれ、バッファ70からHDDに記録される。すなわち、ストリームは、バッファ30からバッファ70への一方向に転送される。
【0017】
一般に、暗号化方式が異なる場合には、暗号化を行う処理単位と暗号化に要する処理時間が異なる。たとえば、AES暗号化では、128ビット単位で暗号化が行われ、かつ、暗号化に必要な処理時間は11クロックである。また、DES暗号化では、64ビット単位で暗号化が行われ、かつ、暗号化に必要な処理時間は18クロックである。
したがって、複数方式による複数回の暗号化/復号化が行われる場合には、図1に示すように、暗号化部/復号化部の前後には、TSを一時的に保持するためのバッファが設けられる。
【0018】
以下、ストリーム暗号化/復号化装置1の構成について説明する。
バッファ30は、イーサケーブルから転送された暗号化データを格納する。そして、AES処理部40による読み出し命令RD40に応じて、暗号化データS30がAES処理部40によって読み出される。
AES処理部40は、自己に隣接するバッファ30,50に蓄積されるデータ量を監視する。すなわち、バッファ30の蓄積データ量STAY30と、バッファ50の空き容量LACK50を所定時間ごと、たとえば1クロックごとに取得する。そして、蓄積データ量STAY30および空き容量LACK50に応じて、読み出し命令RD40をバッファ30に与える。バッファ30からのデータの読み出しは、128ビット単位で行われる。
また、AES処理部40は、AES復号化処理を11クロックで完了し、完了後直ちに書き込み命令WR40をバッファ50に与えるとともに、128ビット単位でデータS40を送出する。
【0019】
バッファ50は、AES処理部40およびDES処理化部60間にあるバッファである。
バッファ50に蓄積されるデータS50は、読み出し命令RD60に応じて、DES処理化部60によって読み出される。
【0020】
DES処理化部60は、自己に隣接するバッファ50,70に蓄積されるデータ量を監視する。すなわち、バッファ50の蓄積データ量STAY50と、バッファ70の空き容量LACK70を所定時間ごと、たとえば1クロックごとに取得する。そして、蓄積データ量STAY50および空き容量LACK70に応じて、読み出し命令RD60をバッファ50に与える。バッファ50からのデータの読み出しは、64ビット単位で行われる。
また、DES処理化部60は、DES暗号化処理を18クロックで完了し、完了後直ちに書き込み命令WR60をバッファ70に与えるとともに、データS60を送出する。
【0021】
以上説明したように、ストリーム暗号化/復号化装置1では、AES処理部40およびDES処理化部60が、読み出し命令RDおよび書き込み命令WRによって主体的にバッファを制御する構成となっている。
【0022】
次に、実施形態に係るストリーム暗号化/復号化装置1において、AES処理部40の構成について説明する。なお、AES処理部40とDES処理化部60とでは、構成上、暗号化処理および復号化処理が異なるのみであり、その他は同様である。
【0023】
図2は、AES処理部40の具体的な構成例を示すブロック図である。
図2に示すように、AES処理部40は、AES復号化部400、ライトパルス生成部401、リードパルス生成部402を含んで構成される。
【0024】
AES復号化部400は、シリアル・パラレル変換処理、AES復号化処理、パラレル・シリアル変換処理を行う。すなわち、バッファ30からシリアル信号としてのデータS30を取り込み、これをシリアル・パラレル変換処理して128ビット単位とする。そして、AES復号化処理を行った後、パラレル・シリアル変換処理し、シリアル信号としてのデータS40を生成する。
なお、AES復号化処理は、11クロックの固定期間でなされ、その期間中に暗号化データS30は取り込まれない。
AES復号化部400は、AES復号化処理中である場合には、状態信号BUSYをローレベルとする(ローアクティブ)。AES復号化処理中でない場合には、状態信号BUSYはハイレベルとなっている。
【0025】
ライトパルス生成部401は、状態信号BUSYがローレベルからハイレベルに変化したことを検出して、書き込み命令WR40を後段のバッファ50に与える。これにより、AES復号化処理が終了すると、復号結果であるデータS40が直ちにバッファ50に供給される。
【0026】
リードパルス生成部402は、バッファ30の蓄積データ量STAY30、バッファ50の空き容量LACK50、および状態信号BUSYを取り込み、読み出し命令RD40を前段のバッファ30に与える。具体的には、リードパルス生成部402は、以下の条件(i),(ii)をともに満足する場合に、読み出し命令RD40を前段のバッファ30に与える。
【0027】
条件(i):前段のバッファ30の蓄積データ量STAY30が1バイトでも存在し、かつ、後段のバッファ50の空き容量LACK50が16バイト(=128バイト)以上であること。
条件(ii):状態信号BUSYがハイレベルであること。
【0028】
AES処理部40は、128バイト単位でAES復号処理し、128ビットデータS40を出力するため、上記条件(i)は、この128ビットデータS40を受け入れる容量を後段のバッファ50に要求している。また、バッファ50に128ビット以上の空き容量があれば、前段のバッファ30にデータがある限り、そのデータを受け入れる。但し、AES処理部40がAES復号処理中である場合には、全段のバッファ30からデータを受け入れることはできないので、上記条件(ii)を満足する必要がある。
【0029】
次に、AES処理部40の動作について、図3を参照して説明する。
図3は、AES処理部40の動作を示すフローチャートであり、(a)は読み出し命令RD40、(b)はデータS30、(c)は状態信号BUSY、(d)は書き込み命令WR40、(e)はデータS40を示す。
【0030】
先ず、リードパルス生成部402は、前段のバッファ30の蓄積データ量STAY30が1バイトでも存在し、かつ、後段のバッファ50の空き容量LACK50が16バイト(=128バイト)以上であることを条件として、図3(a)に示すように、読み出し命令RD40の信号をローレベルからハイレベルに変化させる。これによって、前段のバッファ30に対して読み出し命令がなされる。この読み出し命令に応じて、図3(b)に示すように、バッファ30から128ビットの暗号化データS30が送出される。
【0031】
AES復号化部400では、128ビットの暗号化データS30の取り込みが完了すると、図3(c)に示すように、状態信号BUSYをハイレベルからローレベルに変化させるとともに、取り込んだデータに対してAES復号化処理を行う。AES復号化処理が終了すると、状態信号BUSYをハイレベルに戻し、バッファ30から新たな128ビットの暗号化データS30を取り込み可能な状態とする。なお、128ビットの暗号化データをAES復号化処理するのに要する時間は、11クロック固定となっている。この処理時間は、暗号化方式によって規定された時間である。
【0032】
次に、ライトパルス生成部401は、状態信号BUSYがローレベルからハイレベルに変化したことを検出して、図3(d)に示すように、書き込み命令WR40の信号をローレベルからハイレベルに変化させる。これによって、後段のバッファ50に対して書き込み命令がなされる。この書き込み命令に応じて、図3(e)に示すように、バッファ50に対して、128ビットの復号化されたデータS40が送出される。
【0033】
以上の一連の処理が128ビットのデータ単位で順次行われる。
以上、AES処理部40の構成および動作について説明したが、DES処理化部60についても同様である。たとえば、DES処理化部60では、バッファ50およびバッファ70のデータ蓄積量を監視し、その結果に応じてバッファ50に対して読み出し命令を行う。
【0034】
したがって、図1に示したストリーム暗号化/復号化装置1の全体動作は、以下のようになる。
たとえば、HDDへのデータ書き込みが停滞し、バッファ70の空き容量が少ない場合には、DES処理化部60はバッファ50からデータの読み込みができず、AES処理部40によって処理されたデータS40がバッファ50に蓄積されるのみである。そして、バッファ50に蓄積され続ける結果、バッファ50の空き容量が少なくなって、AES処理部40はバッファ30からデータの読み込みができなくなる。
HDDへのデータ書き込みが順次行われていくと、バッファ70の空き容量が増えていき、DES処理化部60はバッファ50からデータの読み込みができるようになる。すると、バッファ50の空き容量が増え、AES処理部40はバッファ30からデータの読み込みができるようになる。
すなわち、ストリーム暗号化/復号化装置1では、データの流れの下流であるバッファ70から、バッファ50、バッファ30へと、順次蓄積されたデータが処理されていくことになる。
【0035】
以上説明したように、本実施形態に係るストリーム暗号化/復号化装置1によれば、以下の効果が得られる。
すなわち、AES処理部40、DES処理化部60など複数の暗号化/復号化処理部がシステムに存在する場合に、暗号化/復号化処理部の前後のバッファのデータ蓄積量を監視して、前段のバッファに対してデータの読み出し命令を行うため、暗号化/復号化方式の変更・追加を行ったとしても、バッファの変更を行うことなく、システムを構築することができる。
たとえば、一度に処理すべきデータ量は、AESの場合は128ビット単位、DESの場合は64ビット単位、Triple−DESの場合は64ビット単位である。このように、暗号化/復号化方式の変更は、一度に処理すべきデータ量の変更を伴うが、これは上述した読み出し命令の条件(i)を変更後の暗号化/復号化方式に応じて変更すれば済み、バッファ側での処理を変更する必要がない。
また、暗号化/復号化の処理時間は、AESの場合は11クロック、DESの場合は18クロック、Triple−DESの場合は54クロックである。このように、暗号化/復号化方式の変更は、処理時間の変更を伴うが、これは上述した読み出し命令の条件(ii)によって暗号化/復号化方式に関わらず判断され、バッファ側での処理を変更する必要がない。
このように、ストリーム暗号化/復号化装置1をホームネットワークに実装することで、ストリームを連続的に暗号化/復号化処理する場合に、アプリケーションに応じて柔軟にシステムを構築することができるようになる。
【0036】
<第2の実施形態>
次に、本発明の実施形態に係るストリーム暗号化/復号化方法について説明する。
図4は、実施形態に係るストリーム暗号化/復号化方法が適用されるホームネットワークシステムの例を示す図である。
【0037】
図4(a)では、アンテナ(ANT)で受信した放送電波からチューナ(TUNER)10によって所望の周波数の電波が選別され、MPEG−TSとしての映像コンテンツが取り出される。このTSは、ストリーム処理部11のAES暗号化部111によってAES暗号化され、イーサケーブルに送出される。このAES暗号化データは、ストリーム処理部12のAES復号化部121によってAES復号化され、復号化されたTSはTVセット14で再生される。
また、ストリーム処理部12のAES復号化部121においてAES復号化されたTSは、必要に応じて、DES暗号化/復号化部122によってDES暗号化されてHDD13に格納される。HDD13内のTSは、ユーザの機器操作に応じて、DES暗号化/復号化部122でDES復号され、TVセット14で再生される。
【0038】
図4(b)は、一方のHDD15に格納されている映像コンテンツを他のHDD18に移動させる場合のシステム構成例である。
図4(b)では、HDD15に格納されるTSは、ストリーム処理部16のDES復号化部161においてDES復号化された後、AES暗号化部162においてAES暗号化されてイーサケーブルに送出される。このAES暗号化データは、ストリーム処理部17のAES復号化部171においてAES復号化された後に、DES暗号化部172においてDES復号化されてHDD18に格納される。
【0039】
前述したように、一般的に、暗号化方式が異なる場合には、暗号化を行う処理単位と暗号化に要する処理時間が異なるため、複数方式による複数回の暗号化/復号化が行われる場合には、暗号化部/復号化部の前後に、TSを一時的に保持するためのバッファ(図4には図示せず)が設けられる。
したがって、図4に示したホームネットワークシステムでは、複数の暗号化/復号化部と、その前後に複数のメモリとしてのバッファとを備える点で、第1の実施形態に係るストリーム暗号化/復号化装置1と構成が共通し、同様の作用・効果を奏することができる。
すなわち、暗号化/復号化部の前後のバッファのデータ蓄積量を監視して、前段のバッファに対してデータの読み出し命令を行うなどのストリーム暗号化/復号化方法は、装置に限定されず、広く適用することが可能である。
【0040】
本発明の実施形態は、上述した実施形態に拘泥せず、当業者であれば、本発明の要旨を変更しない範囲内で様々な改変が可能である。
たとえば、第1の実施形態(図1)に係るストリーム暗号化/復号化装置1では、2方式の暗号化/復号化を行う処理部と、その前後にある3つのバッファとを含む構成を例として説明したが、これに限られず、3以上の暗号化/復号化処理を行う場合にあっても、各暗号化/復号化処理部がその前後にあるバッファの蓄積量に応じて読み出し命令を行う等の技術思想を適用できることは言うまでもない。
【0041】
また、暗号化/復号化処理に限らず、一般的なデータ処理として、一方向に対して、それぞれ処理単位のデータ量が所定量であるデータ処理を複数回行う場合に適用することが可能である。
【符号の説明】
【0042】
1…ストリーム暗号化/復号化装置
30…バッファ
40…AES処理部
400…AES復号化部
401…ライトパルス生成部
402…リードパルス生成部
50…バッファ
60…DES処理化部
70…バッファ
【技術分野】
【0001】
本発明は、たとえばMPEGなど映像と音声とが多重化されたパケット単位のストリームを制御するためのストリーム制御技術に関し、特に、ストリームに対して複数回の暗号化/復号化を施す際のストリーム制御技術に関する。
【背景技術】
【0002】
昨今のデータ通信ネットワークの普及に伴い、家庭内においても家電機器やコンピュータ、その他の周辺機器をネットワーク接続し、各機器間での通信を可能とした、いわゆるホームネットワークが浸透しつつある。ホームネットワークは、ネットワーク接続機器間で通信を行なうことにより各機器のデータ処理機能を共有することを可能とするものである。ネットワーク接続機器間のコンテンツ送受信等、ユーザに利便性・快適性を提供するものであり、今後、ますます普及することが予測される。
【0003】
かかるホームネットワークにおいて、コンテンツの著作権を保護する技術としてデファクトスタンダードとなっているDTCP(Digital Transmission Content Protection)が知られている。DTCPでは、コンテンツの送信機器と受信機器との間で、認証および暗号鍵の交換を行って暗号鍵を共有し、これらの機器間で暗号化データが転送される。
かかる暗号化および復号化は、ホームネットワークに接続された複数の機器間で単一の方式ではなく、複数の方式が用いられる場合が多い。たとえば、DTCPをIPネットワーク上に展開するためのDTCP/IPでは、鍵長128ビットのAES(Advanced Encryption Standard)を標準としている一方で、HDD(Hard Disk Drive)などのメディアに記録する場合には、AESよりも暗号強度が低いDES(Data Encryption Standard)が用いられる。
【0004】
このように、ホームネットワークでは、それぞれ異なる複数方式の暗号化/復号化が行われ、各暗号化/復号化の処理間では、コンテンツとしてのストリームデータを一時的に記憶するバッファ(メモリ)が設けられる。たとえば、下記特許文献1には、暗号化/復号化データを、バッファとしてのメモリを介して転送する技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2003−281085号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、特許文献1に記載されているような従来のデータ処理方法では、たとえば暗号化を行う際に、その暗号化処理ブロックの前後のバッファにあるデータ量に応じて、暗号化対象データと暗号化データのデータ転送を制限する(転送をウェイトさせる)ようにしている(たとえば特許文献1の図17参照)。
しかしながら、通常、暗号化処理に要するデータ量が暗号化方式ごとに異なるため、複数方式による複数回の暗号化を行う場合には、暗号化対象であるストリーム(ストリームデータ)を各暗号化処理ブロックに入力するタイミングを制御する必要がある。すなわち、複数の暗号化方式に対応してバッファを制御するバッファ制御回路を設定する必要がある。
【0007】
したがって、複数の暗号化処理ブロックのうち、一部の暗号化処理ブロックの暗号化方式を変更する場合や、新たな暗号化処理ブロックを追加する場合には、バッファ制御回路をその都度変更する必要があり、ホームネットワークの暗号化処理システムを柔軟に構築することができない。たとえば、暗号化処理ブロックでは暗号化方式に応じて処理対象データのデータ幅や処理時間が異なるため、暗号化方式が変更されると、バッファ制御回路においては、前後のバッファとの間でのシリアル・パラレル変換およびパラレル・シリアル変換、内部レジスタ処理等、様々な処理が影響を受けることになる。
【0008】
本発明は、上述した観点によってなされたものであって、その目的は、ストリームに対して、暗号化/復号化処理など、処理対象のデータ量、処理期間がそれぞれ異なる複数のデータ処理方式のデータ処理を行う処理ブロック間のデータ転送を、メモリを介して行う際に、データ処理方式の変更がメモリ制御に影響しないストリーム制御装置、ストリーム暗号化/復号化装置、および、ストリーム暗号化/復号化方法を提供することにある。
【課題を解決するための手段】
【0009】
上記課題を克服するために、本発明の第1の観点は、ストリームデータに対し、それぞれ所定のデータ量を処理単位として、順次処理を行う複数のデータ処理部と、前記データ処理部の前段または後段に設けられて、前記ストリームデータを格納する1または複数のメモリと、を備え、各データ処理部は、隣接する前段および後段のメモリに格納されるデータ量を監視する監視部と、前段のメモリにデータが格納され、かつ、自己の処理の処理単位のデータ量が後段のメモリの空き容量として存在することを条件として、前記前段のメモリから処理対象のデータを読み込むデータ読み込み部と、を備えるストリーム制御装置である。
【0010】
上記課題を克服するために、本発明の第2の観点は、ストリームデータに対し、それぞれ所定のデータ量を処理単位として、順次暗号化/復号化を行う複数の暗号化/復号化部と、前記暗号化/復号化部の前段または後段に設けられて、前記ストリームデータを格納する1または複数のメモリと、を備え、各暗号化/復号化部は、隣接する前段および後段のメモリに格納されるデータ量を監視する監視部と、前段のメモリにデータが格納され、かつ、自己の暗号化/復号化の処理単位のデータ量が後段のメモリの空き容量として存在することを条件として、前記前段のメモリから暗号化/復号化対象のデータを読み込むデータ読み込み部と、を備えるストリーム暗号化/復号化装置である。
【0011】
上記課題を克服するために、本発明の第3の観点は、ストリームデータに対して、それぞれ所定のデータ量を処理単位として、複数回の暗号化/復号化を順次行うストリーム暗号化/復号化方法であって、N番目(N:整数)の暗号化/復号化を行う対象であって、N番目のメモリに格納されたデータのデータ量を監視する第1工程と、前記N番目の暗号化/復号化が行われたデータであって、N+1番目のメモリに格納されたデータのデータ量を監視する第2工程と、前記N番目のメモリにデータが格納され、かつ、前記N番目の暗号化/復号化の処理単位となるデータ量が、前記N+1番目のメモリの空き容量として存在することを条件として、前記N番目のメモリから暗号化/復号化対象のデータを読み込む第3工程と、読み込んだデータに対してN番目の暗号化/復号化を行う第4工程と、を備えたストリーム暗号化/復号化方法である。
【発明の効果】
【0012】
本発明によれば、ストリームに対して、暗号化/復号化処理など、処理対象のデータ量、処理期間がそれぞれ異なる複数のデータ処理方式のデータ処理を行う処理ブロック間のデータ転送を、メモリを介して行う際に、データ処理方式の変更がメモリ制御に影響しない。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施形態に係るストリーム暗号化/復号化装置のブロック構成を示す図である。
【図2】AES処理部の具体的な構成例を示すブロック図である。
【図3】AES処理部の動作を示すフローチャートである。
【図4】実施形態に係るストリーム暗号化/復号化方法が適用されるホームネットワークシステムの例を示す図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施形態を添付図面に関連付けて説明する。
<第1の実施形態>
先ず、本発明の第1の実施形態に係るストリーム暗号化/復号化装置1について、図1に関連付けて説明する。
【0015】
一般に、ホームネットワークシステムでは、映像コンテンツの著作権を保護するために、映像コンテンツとしてのMPEG(Moving Picture Experts Group)トランスポートストリーム形式のデータ(以下、適宜ストリームと略称する)に対して暗号化が施される。
その際、DTCP/IPでは、鍵長128ビットのAES(Advanced Encryption Standard)を標準としており、ストリームは、イーサケーブル上ではAES暗号化されて転送される。一方、たとえばHDD(Hard Disk Drive)などのメディアに記録する場合には、AESよりも暗号強度が低いDES(Data Encryption Standard)が用いられる。
したがって、ホームネットワーク上でストリームを転送する場合には、複数の暗号化/復号化が施されて行われるのが実状である。
【0016】
図1に示すストリーム暗号化/復号化装置1は、ホームネットワークシステム上で複数の暗号化/復号化を行う装置であって、イーサケーブル上にあるAES暗号化されたストリームを取り込んで復号し、HDDに記録するためにDES暗号化を行う。
実施形態に係るストリーム暗号化/復号化装置1は、複数の暗号化/復号化部と、複数のメモリとを有する。複数の暗号化/復号化部として、AES処理部40とDES処理化部60を有する。複数のメモリとして、バッファ(BUF)30,50,70を有する。
図1において、ストリームは、図示しないイーサケーブルからAES暗号化されてバッファ30に取り込まれ、バッファ70からHDDに記録される。すなわち、ストリームは、バッファ30からバッファ70への一方向に転送される。
【0017】
一般に、暗号化方式が異なる場合には、暗号化を行う処理単位と暗号化に要する処理時間が異なる。たとえば、AES暗号化では、128ビット単位で暗号化が行われ、かつ、暗号化に必要な処理時間は11クロックである。また、DES暗号化では、64ビット単位で暗号化が行われ、かつ、暗号化に必要な処理時間は18クロックである。
したがって、複数方式による複数回の暗号化/復号化が行われる場合には、図1に示すように、暗号化部/復号化部の前後には、TSを一時的に保持するためのバッファが設けられる。
【0018】
以下、ストリーム暗号化/復号化装置1の構成について説明する。
バッファ30は、イーサケーブルから転送された暗号化データを格納する。そして、AES処理部40による読み出し命令RD40に応じて、暗号化データS30がAES処理部40によって読み出される。
AES処理部40は、自己に隣接するバッファ30,50に蓄積されるデータ量を監視する。すなわち、バッファ30の蓄積データ量STAY30と、バッファ50の空き容量LACK50を所定時間ごと、たとえば1クロックごとに取得する。そして、蓄積データ量STAY30および空き容量LACK50に応じて、読み出し命令RD40をバッファ30に与える。バッファ30からのデータの読み出しは、128ビット単位で行われる。
また、AES処理部40は、AES復号化処理を11クロックで完了し、完了後直ちに書き込み命令WR40をバッファ50に与えるとともに、128ビット単位でデータS40を送出する。
【0019】
バッファ50は、AES処理部40およびDES処理化部60間にあるバッファである。
バッファ50に蓄積されるデータS50は、読み出し命令RD60に応じて、DES処理化部60によって読み出される。
【0020】
DES処理化部60は、自己に隣接するバッファ50,70に蓄積されるデータ量を監視する。すなわち、バッファ50の蓄積データ量STAY50と、バッファ70の空き容量LACK70を所定時間ごと、たとえば1クロックごとに取得する。そして、蓄積データ量STAY50および空き容量LACK70に応じて、読み出し命令RD60をバッファ50に与える。バッファ50からのデータの読み出しは、64ビット単位で行われる。
また、DES処理化部60は、DES暗号化処理を18クロックで完了し、完了後直ちに書き込み命令WR60をバッファ70に与えるとともに、データS60を送出する。
【0021】
以上説明したように、ストリーム暗号化/復号化装置1では、AES処理部40およびDES処理化部60が、読み出し命令RDおよび書き込み命令WRによって主体的にバッファを制御する構成となっている。
【0022】
次に、実施形態に係るストリーム暗号化/復号化装置1において、AES処理部40の構成について説明する。なお、AES処理部40とDES処理化部60とでは、構成上、暗号化処理および復号化処理が異なるのみであり、その他は同様である。
【0023】
図2は、AES処理部40の具体的な構成例を示すブロック図である。
図2に示すように、AES処理部40は、AES復号化部400、ライトパルス生成部401、リードパルス生成部402を含んで構成される。
【0024】
AES復号化部400は、シリアル・パラレル変換処理、AES復号化処理、パラレル・シリアル変換処理を行う。すなわち、バッファ30からシリアル信号としてのデータS30を取り込み、これをシリアル・パラレル変換処理して128ビット単位とする。そして、AES復号化処理を行った後、パラレル・シリアル変換処理し、シリアル信号としてのデータS40を生成する。
なお、AES復号化処理は、11クロックの固定期間でなされ、その期間中に暗号化データS30は取り込まれない。
AES復号化部400は、AES復号化処理中である場合には、状態信号BUSYをローレベルとする(ローアクティブ)。AES復号化処理中でない場合には、状態信号BUSYはハイレベルとなっている。
【0025】
ライトパルス生成部401は、状態信号BUSYがローレベルからハイレベルに変化したことを検出して、書き込み命令WR40を後段のバッファ50に与える。これにより、AES復号化処理が終了すると、復号結果であるデータS40が直ちにバッファ50に供給される。
【0026】
リードパルス生成部402は、バッファ30の蓄積データ量STAY30、バッファ50の空き容量LACK50、および状態信号BUSYを取り込み、読み出し命令RD40を前段のバッファ30に与える。具体的には、リードパルス生成部402は、以下の条件(i),(ii)をともに満足する場合に、読み出し命令RD40を前段のバッファ30に与える。
【0027】
条件(i):前段のバッファ30の蓄積データ量STAY30が1バイトでも存在し、かつ、後段のバッファ50の空き容量LACK50が16バイト(=128バイト)以上であること。
条件(ii):状態信号BUSYがハイレベルであること。
【0028】
AES処理部40は、128バイト単位でAES復号処理し、128ビットデータS40を出力するため、上記条件(i)は、この128ビットデータS40を受け入れる容量を後段のバッファ50に要求している。また、バッファ50に128ビット以上の空き容量があれば、前段のバッファ30にデータがある限り、そのデータを受け入れる。但し、AES処理部40がAES復号処理中である場合には、全段のバッファ30からデータを受け入れることはできないので、上記条件(ii)を満足する必要がある。
【0029】
次に、AES処理部40の動作について、図3を参照して説明する。
図3は、AES処理部40の動作を示すフローチャートであり、(a)は読み出し命令RD40、(b)はデータS30、(c)は状態信号BUSY、(d)は書き込み命令WR40、(e)はデータS40を示す。
【0030】
先ず、リードパルス生成部402は、前段のバッファ30の蓄積データ量STAY30が1バイトでも存在し、かつ、後段のバッファ50の空き容量LACK50が16バイト(=128バイト)以上であることを条件として、図3(a)に示すように、読み出し命令RD40の信号をローレベルからハイレベルに変化させる。これによって、前段のバッファ30に対して読み出し命令がなされる。この読み出し命令に応じて、図3(b)に示すように、バッファ30から128ビットの暗号化データS30が送出される。
【0031】
AES復号化部400では、128ビットの暗号化データS30の取り込みが完了すると、図3(c)に示すように、状態信号BUSYをハイレベルからローレベルに変化させるとともに、取り込んだデータに対してAES復号化処理を行う。AES復号化処理が終了すると、状態信号BUSYをハイレベルに戻し、バッファ30から新たな128ビットの暗号化データS30を取り込み可能な状態とする。なお、128ビットの暗号化データをAES復号化処理するのに要する時間は、11クロック固定となっている。この処理時間は、暗号化方式によって規定された時間である。
【0032】
次に、ライトパルス生成部401は、状態信号BUSYがローレベルからハイレベルに変化したことを検出して、図3(d)に示すように、書き込み命令WR40の信号をローレベルからハイレベルに変化させる。これによって、後段のバッファ50に対して書き込み命令がなされる。この書き込み命令に応じて、図3(e)に示すように、バッファ50に対して、128ビットの復号化されたデータS40が送出される。
【0033】
以上の一連の処理が128ビットのデータ単位で順次行われる。
以上、AES処理部40の構成および動作について説明したが、DES処理化部60についても同様である。たとえば、DES処理化部60では、バッファ50およびバッファ70のデータ蓄積量を監視し、その結果に応じてバッファ50に対して読み出し命令を行う。
【0034】
したがって、図1に示したストリーム暗号化/復号化装置1の全体動作は、以下のようになる。
たとえば、HDDへのデータ書き込みが停滞し、バッファ70の空き容量が少ない場合には、DES処理化部60はバッファ50からデータの読み込みができず、AES処理部40によって処理されたデータS40がバッファ50に蓄積されるのみである。そして、バッファ50に蓄積され続ける結果、バッファ50の空き容量が少なくなって、AES処理部40はバッファ30からデータの読み込みができなくなる。
HDDへのデータ書き込みが順次行われていくと、バッファ70の空き容量が増えていき、DES処理化部60はバッファ50からデータの読み込みができるようになる。すると、バッファ50の空き容量が増え、AES処理部40はバッファ30からデータの読み込みができるようになる。
すなわち、ストリーム暗号化/復号化装置1では、データの流れの下流であるバッファ70から、バッファ50、バッファ30へと、順次蓄積されたデータが処理されていくことになる。
【0035】
以上説明したように、本実施形態に係るストリーム暗号化/復号化装置1によれば、以下の効果が得られる。
すなわち、AES処理部40、DES処理化部60など複数の暗号化/復号化処理部がシステムに存在する場合に、暗号化/復号化処理部の前後のバッファのデータ蓄積量を監視して、前段のバッファに対してデータの読み出し命令を行うため、暗号化/復号化方式の変更・追加を行ったとしても、バッファの変更を行うことなく、システムを構築することができる。
たとえば、一度に処理すべきデータ量は、AESの場合は128ビット単位、DESの場合は64ビット単位、Triple−DESの場合は64ビット単位である。このように、暗号化/復号化方式の変更は、一度に処理すべきデータ量の変更を伴うが、これは上述した読み出し命令の条件(i)を変更後の暗号化/復号化方式に応じて変更すれば済み、バッファ側での処理を変更する必要がない。
また、暗号化/復号化の処理時間は、AESの場合は11クロック、DESの場合は18クロック、Triple−DESの場合は54クロックである。このように、暗号化/復号化方式の変更は、処理時間の変更を伴うが、これは上述した読み出し命令の条件(ii)によって暗号化/復号化方式に関わらず判断され、バッファ側での処理を変更する必要がない。
このように、ストリーム暗号化/復号化装置1をホームネットワークに実装することで、ストリームを連続的に暗号化/復号化処理する場合に、アプリケーションに応じて柔軟にシステムを構築することができるようになる。
【0036】
<第2の実施形態>
次に、本発明の実施形態に係るストリーム暗号化/復号化方法について説明する。
図4は、実施形態に係るストリーム暗号化/復号化方法が適用されるホームネットワークシステムの例を示す図である。
【0037】
図4(a)では、アンテナ(ANT)で受信した放送電波からチューナ(TUNER)10によって所望の周波数の電波が選別され、MPEG−TSとしての映像コンテンツが取り出される。このTSは、ストリーム処理部11のAES暗号化部111によってAES暗号化され、イーサケーブルに送出される。このAES暗号化データは、ストリーム処理部12のAES復号化部121によってAES復号化され、復号化されたTSはTVセット14で再生される。
また、ストリーム処理部12のAES復号化部121においてAES復号化されたTSは、必要に応じて、DES暗号化/復号化部122によってDES暗号化されてHDD13に格納される。HDD13内のTSは、ユーザの機器操作に応じて、DES暗号化/復号化部122でDES復号され、TVセット14で再生される。
【0038】
図4(b)は、一方のHDD15に格納されている映像コンテンツを他のHDD18に移動させる場合のシステム構成例である。
図4(b)では、HDD15に格納されるTSは、ストリーム処理部16のDES復号化部161においてDES復号化された後、AES暗号化部162においてAES暗号化されてイーサケーブルに送出される。このAES暗号化データは、ストリーム処理部17のAES復号化部171においてAES復号化された後に、DES暗号化部172においてDES復号化されてHDD18に格納される。
【0039】
前述したように、一般的に、暗号化方式が異なる場合には、暗号化を行う処理単位と暗号化に要する処理時間が異なるため、複数方式による複数回の暗号化/復号化が行われる場合には、暗号化部/復号化部の前後に、TSを一時的に保持するためのバッファ(図4には図示せず)が設けられる。
したがって、図4に示したホームネットワークシステムでは、複数の暗号化/復号化部と、その前後に複数のメモリとしてのバッファとを備える点で、第1の実施形態に係るストリーム暗号化/復号化装置1と構成が共通し、同様の作用・効果を奏することができる。
すなわち、暗号化/復号化部の前後のバッファのデータ蓄積量を監視して、前段のバッファに対してデータの読み出し命令を行うなどのストリーム暗号化/復号化方法は、装置に限定されず、広く適用することが可能である。
【0040】
本発明の実施形態は、上述した実施形態に拘泥せず、当業者であれば、本発明の要旨を変更しない範囲内で様々な改変が可能である。
たとえば、第1の実施形態(図1)に係るストリーム暗号化/復号化装置1では、2方式の暗号化/復号化を行う処理部と、その前後にある3つのバッファとを含む構成を例として説明したが、これに限られず、3以上の暗号化/復号化処理を行う場合にあっても、各暗号化/復号化処理部がその前後にあるバッファの蓄積量に応じて読み出し命令を行う等の技術思想を適用できることは言うまでもない。
【0041】
また、暗号化/復号化処理に限らず、一般的なデータ処理として、一方向に対して、それぞれ処理単位のデータ量が所定量であるデータ処理を複数回行う場合に適用することが可能である。
【符号の説明】
【0042】
1…ストリーム暗号化/復号化装置
30…バッファ
40…AES処理部
400…AES復号化部
401…ライトパルス生成部
402…リードパルス生成部
50…バッファ
60…DES処理化部
70…バッファ
【特許請求の範囲】
【請求項1】
ストリームデータに対し、それぞれ所定のデータ量を処理単位として、順次処理を行う複数のデータ処理部と、
前記データ処理部の前段または後段に設けられて、前記ストリームデータを格納する1または複数のメモリと、
を備え、
各データ処理部は、
隣接する前段および後段のメモリに格納されるデータ量を監視する監視部と、
前段のメモリにデータが格納され、かつ、自己の処理の処理単位のデータ量が後段のメモリの空き容量として存在することを条件として、前記前段のメモリから処理対象のデータを読み込むデータ読み込み部と、を備える
ストリーム制御装置。
【請求項2】
ストリームデータに対し、それぞれ所定のデータ量を処理単位として、順次暗号化/復号化を行う複数の暗号化/復号化部と、
前記暗号化/復号化部の前段または後段に設けられて、前記ストリームデータを格納する1または複数のメモリと、
を備え、
各暗号化/復号化部は、
隣接する前段および後段のメモリに格納されるデータ量を監視する監視部と、
前段のメモリにデータが格納され、かつ、自己の暗号化/復号化の処理単位のデータ量が後段のメモリの空き容量として存在することを条件として、前記前段のメモリから暗号化/復号化対象のデータを読み込むデータ読み込み部と、を備える
ストリーム暗号化/復号化装置。
【請求項3】
各暗号化/復号化部は、暗号化/復号化方式に応じて略固定の処理期間が定められ、読み込んだデータを当該処理期間の経過後に、後段のメモリに転送する
請求項2記載のストリーム暗号化/復号化装置。
【請求項4】
ストリームデータに対して、それぞれ所定のデータ量を処理単位として、複数回の暗号化/復号化を順次行うストリーム暗号化/復号化方法であって、
N番目(N:整数)の暗号化/復号化を行う対象であって、N番目のメモリに格納されたデータのデータ量を監視する第1工程と、
前記N番目の暗号化/復号化が行われたデータであって、N+1番目のメモリに格納されたデータのデータ量を監視する第2工程と、
前記N番目のメモリにデータが格納され、かつ、前記N番目の暗号化/復号化の処理単位となるデータ量が、前記N+1番目のメモリの空き容量として存在することを条件として、前記N番目のメモリから暗号化/復号化対象のデータを読み込む第3工程と、
読み込んだデータに対してN番目の暗号化/復号化を行う第4工程と、
を備えたストリーム暗号化/復号化方法。
【請求項5】
前記N番目の暗号化/復号化は、暗号化/復号化方式に応じて略固定の処理期間が定められ、
当該処理期間の経過後に、前記N番目の暗号化/復号化が施されたデータを前記N+1番目のメモリに転送する第5工程、をさらに備える
請求項4記載のストリーム暗号化/復号化方法。
【請求項1】
ストリームデータに対し、それぞれ所定のデータ量を処理単位として、順次処理を行う複数のデータ処理部と、
前記データ処理部の前段または後段に設けられて、前記ストリームデータを格納する1または複数のメモリと、
を備え、
各データ処理部は、
隣接する前段および後段のメモリに格納されるデータ量を監視する監視部と、
前段のメモリにデータが格納され、かつ、自己の処理の処理単位のデータ量が後段のメモリの空き容量として存在することを条件として、前記前段のメモリから処理対象のデータを読み込むデータ読み込み部と、を備える
ストリーム制御装置。
【請求項2】
ストリームデータに対し、それぞれ所定のデータ量を処理単位として、順次暗号化/復号化を行う複数の暗号化/復号化部と、
前記暗号化/復号化部の前段または後段に設けられて、前記ストリームデータを格納する1または複数のメモリと、
を備え、
各暗号化/復号化部は、
隣接する前段および後段のメモリに格納されるデータ量を監視する監視部と、
前段のメモリにデータが格納され、かつ、自己の暗号化/復号化の処理単位のデータ量が後段のメモリの空き容量として存在することを条件として、前記前段のメモリから暗号化/復号化対象のデータを読み込むデータ読み込み部と、を備える
ストリーム暗号化/復号化装置。
【請求項3】
各暗号化/復号化部は、暗号化/復号化方式に応じて略固定の処理期間が定められ、読み込んだデータを当該処理期間の経過後に、後段のメモリに転送する
請求項2記載のストリーム暗号化/復号化装置。
【請求項4】
ストリームデータに対して、それぞれ所定のデータ量を処理単位として、複数回の暗号化/復号化を順次行うストリーム暗号化/復号化方法であって、
N番目(N:整数)の暗号化/復号化を行う対象であって、N番目のメモリに格納されたデータのデータ量を監視する第1工程と、
前記N番目の暗号化/復号化が行われたデータであって、N+1番目のメモリに格納されたデータのデータ量を監視する第2工程と、
前記N番目のメモリにデータが格納され、かつ、前記N番目の暗号化/復号化の処理単位となるデータ量が、前記N+1番目のメモリの空き容量として存在することを条件として、前記N番目のメモリから暗号化/復号化対象のデータを読み込む第3工程と、
読み込んだデータに対してN番目の暗号化/復号化を行う第4工程と、
を備えたストリーム暗号化/復号化方法。
【請求項5】
前記N番目の暗号化/復号化は、暗号化/復号化方式に応じて略固定の処理期間が定められ、
当該処理期間の経過後に、前記N番目の暗号化/復号化が施されたデータを前記N+1番目のメモリに転送する第5工程、をさらに備える
請求項4記載のストリーム暗号化/復号化方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2009−284552(P2009−284552A)
【公開日】平成21年12月3日(2009.12.3)
【国際特許分類】
【出願番号】特願2009−203175(P2009−203175)
【出願日】平成21年9月2日(2009.9.2)
【分割の表示】特願2005−161687(P2005−161687)の分割
【原出願日】平成17年6月1日(2005.6.1)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
【公開日】平成21年12月3日(2009.12.3)
【国際特許分類】
【出願日】平成21年9月2日(2009.9.2)
【分割の表示】特願2005−161687(P2005−161687)の分割
【原出願日】平成17年6月1日(2005.6.1)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
[ Back to top ]