ファーストパーティをセカンドパーティに認証する認証方法
本発明は、ファーストパーティをセカンドパーティに認証する認証方法に関し、認証が成功した条件で動作が実行される。ファーストパーティが認証されない場合、次いで、ファーストパーティがサブ認証の権限が与えられた場合、動作がなお実行される。さらに、時間と関連付けされ、認証手順でも使用される比較手段を保持する第一のメモリエリアと装置による認証手順に関与している他のパーティの制限されたリストを保持する第二のメモリエリアと、リストのパーティに関するコンプライアンス証明書を保持する第三のメモリエリアを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コピープロテクションシステムに関し、より詳細には、認証が成功した条件で動作が実行されるファーストパーティをセカンドパーティに認証する認証方法に関する。
【背景技術】
【0002】
コンピュータ又はPCにおけるドライブ/ホストインタフェース間の非セキュアなリンクのような公的にアクセス可能な通信チャネルにわたりコンテンツが転送される各種のコピープロテクションシステム(CPS)では、手順が行われ、ハードウェアドライブ及びソフトウェアアプリケーションが互いに信頼することができることを証明する必要がある。この手順は認証と呼ばれる。認証手順における重要なステップは、公開鍵の証明書の相互のやり取りである。公開鍵の証明書は、公知かつ信頼された認証局(CA)によりデジタル的に署名されたショートステートメントであり、識別番号IDをもつ所定の装置又はアプリケーションが公開鍵(PK)を有するということを証明する。以下では、装置及びアプリケーションの両者はパーティと呼ばれる。CAのPKが一般に知られており、証明書でCAの署名を確認するために何れかのパーティにより使用することができる。
【0003】
このプロセスをイネーブルにするため、それぞれのパーティは、プライベートキーと呼ばれる多数の秘密鍵を保持する。これらの鍵及びそれらを使用した制御フローは、ハッカーがCPSを回避するのを防止するためにプロテクトされるべきである。しかし、長期にわたり、プレイバックソフトウェアのようなアプリケーションと同様に幾つか又は多くの装置でさえもハッキングされ、許可されていないコンテンツのコピーが実行される可能性がある。
【0004】
かかる許可されていないコピーを更に困難にするため、どのパーティが無効にされたかに関する情報を含む、いわゆる証明書失効リストが用意される。認証手順の一部として、全てのパーティがCRLを読むことが強制され、少なくとも1つの2つの対話するパーティが無効にされた場合、手順が割り込まれる。2種類のCRLが存在する。ホワイトリスト(WL)は、所定の時間のポイントで従順な全てのパーティを列挙する。ブラックリスト(BL)は、無効にされている全ての装置を列挙する。この用途のため、全ての無効にされた装置の情報によってどれがなお従順であるかを判定するため、WL及びBLが含まれる情報における違いは存在しない。
【0005】
しかし、それらがどのように解釈されて使用されるかにおいて違いが存在する。BLを使用するとき、ファーストパーティすなわちベリファイ(verifying)パーティは、セカンドパーティすなわちプルーブ(proving)パーティが無効にされていないことを判定することを望み、完全なBLを取得する必要がある。WLを使用するとき、ベリファイパーティは、プルービングパーティを示すWLのそのパートを得なければならない。したがって、ホワイトリストの使用は、CPSにおけるストレージ要件及びバス伝送の負荷の観点で有利である。これは、ベリファイパーティが光ドライブのような計算能力を有さない装置であるときに特に重要である。長いBLを処理及び分析することは、かかる装置にとって厄介である。
【0006】
しかし、シンプルなホワイトリストは、それぞれのパーティがその非無効な状態を証明するそれ自身の証明書を得ることを必要とし、結果的に、過剰なネットワーク又はディスクストレージのオーバヘッドとなる。この問題点を緩和するため、WO03/10788(代理人ドケットPHNL020543)及びWO03/10789(代理人ドケットPHNL020544)に開示されるような2ステップのアプローチが有効である。プルービングパーティは、その公開鍵の証明書を供給するのみでなく、グループ証明書(GC)を供給する。GCは、1以上のグループのうちの1つにプルーブパーティが属する1以上のグループが無効にされていないことの簡明な証明である。同じGCは、多くのパーティ、すなわちGCに記載される全てのパーティにより使用することができる。効果的に、全体のCRLはGCに分裂されており、これらは個々に署名され、コミュニケート(communicate)パーティに配信される。先に記載された国際特許出願に係るGCを使用する1つのやり方は、GCにおいて表現されるそれぞれのグループの上及び下の境界を示すことである。特定のグループにおけるパーティがその許可されたパーティとしてそのステータスを失うとき、1以上の新たなGCが生成される。更なる改善は、欧州特許出願04101104.0(代理人ドケットPHNL040332)で記載される。この改善は、多数の装置の認証ステータスのランレングス符号化された表現を生成することを含む。
【0007】
GCを使用することで良好なハッカーの防止効果を有するため、パーティは、時代遅れでない無効情報を使用するため、かなり最近のGCを強制的に使用されるべきである。さもなければ、失効ツールが殆ど使用されない。US5,949,877では、相対的なCRLの作成日が含まれる方法が開示される。ベリファイパーティの無効リストは、パーティがより最近のリストを受信したときにアップデートされる。
【0008】
US5,949,877の意図の実現では、それぞれのGCは、CAによりGCが作成された時間を示すシーケンス番号(SeqNo)を伝える。したがって、より高いSeqNoはより最近の時間に対応する。典型的に、先に説明されたように、新たなGCのセットは、失効の後に生成され、それぞれのGCは増加されたSeqNoを伝える。コンプライアント(compliant)パーティは、受信されたGCのSeqNoをある「新鮮さ」の速度に比較する必要がある。典型的に、この速度は有効番号(VN)であり、SeqNo≧VNをもつGCが有効な証明として許容され、SeqNo<VNをもつGCが却下される。オンラインコネクションを介して、ディスクを介して、及び他のパーティとコンタクトすることのような、新たなGC及びVNに遭遇するための幾つかのやり方がパーティにとって存在する。全てのコンプライアントパーティはVNをキャッシュし、おそらく最も高いVNがこれまで遭遇している。PCと、少なくとも幾つかのたとえば光学装置のような典型的に低電力の周辺装置との間の処理能力における相違のため、GCの記憶が異なって処理される。したがって、アプリケーションは、これまでに遭遇した最も高いSeqNoをもつ完全なGCのセットをキャッシュし、かかる周辺装置はGCをキャッシュしない。
【0009】
しかし、VNの使用は、望まれない状況を生じない場合がある。たとえば、プレイバックの状況におけるSeqNoとVNとの比較について考える。第一のアプローチとして、ドライブはそのVNレジスタでこれまで見られていない最も高いSeqNoを常にキャッシュするとし、ドライブは、認証手順の間、プレイバックアプリケーションのGCがSeqNo≧VNを有することを要求する。このSeqNos及びVNを使用するやり方は、たとえば、BD−ROM(Blue−Ray Disc ROM)規格のオプションとして考えられる。次いで、以下に記載されるように、深刻なユーザの悩みがオフラインの状況で生じる。
【0010】
ここで第二のアプローチにしたがってSeqNo−VNの代替的な使用を考える。プレイバックのための認証手順の間、ドライブは、再生されるべきディスクを通して伝達されたVNを使用する。アプリケーションのGCは、SeqNo≧VNdiscを有する場合にのみ許容される。このアプローチは、よりユーザフレンドリなやり方である。
【0011】
しかし、コンテンツオーナの観点で、第二のアプローチは深刻な問題点を有する。アプリケーション“App”がハッキングされた場合、コンテンツを盗むハッカーのアプリケーション“Rip”を構築するため、その秘密鍵が使用され、次いで、コンテンツを盗むハッカーのアプリケーションは、インターネットにわたり配信される。CAは、全ての将来のWLで許可されていないとしてAppを列挙することでAppを失効し、すなわち、Appは、SeqNo=XをもつGCで許可されているが、SeqNo>Xをもつ全てのGCにおいて失効される。次いで、この失効にも拘らず、RipはVNdisc≦Xをもつ全てのディスクからコンテンツを盗むために使用される可能性がある。第一のアプローチでは、これは、ハッカーが彼のドライブを全ての新たなディスクから分離させる必要があるので非常に困難である。
【0012】
再び第一のアプローチを考える。ラップトップ及びプレイバックソフトウェアAppをもつユーザは、新たなディスクを運ぶ。これは、ディスクがAppのSeqNoよりも高いVNを有し、したがってAppが却下されることがわかる。次いで、ユーザは、(おそらく無料である)リプレースメントソフトウェアをダウンロードすることでAppをアップデートする必要がある。しかし、ラップトップオーナについてむしろ頻繁に起こる、ユーザがその瞬間でインターネットへのアクセスを有さない場合、アップデートが可能ではない。このことが生じる悩みに加えて、ラップトップのディスクドライブがディスクのVNをキャッシュしており、Appが実行することができないので、ユーザは何れかの古いディスクを再生することができない。言い換えれば、ユーザがアップデートされたソフトウェアをダウンロードすることができるまで、常に動作するディスクは、動作するのを突然停止する。幾つかの他の、むしろ一般的な状況が存在し、この場合、ユーザがアプリケーションをアップデートすることができるまで、ソフトウェアアプリケーションの実行がブロックされるように、ドライブのVNが増加される。1つのかかる状況は、取り外し可能なディスクがドライブのVNよりも高いSeqNoを有するアプリケーションと通信し、別のPCと対話する。別のかかる状況は、同じPCの多数のソフトウェアアプリケーションが同じドライバと通信するが、等しいペースを保持しない。
【0013】
第一のアプローチは、ユーザのアプリケーションが失効されていないが動作を停止する状況となる場合でさえ、おそらく使用されるであろう。その後、ユーザの悩みを低減する開発についての需要が生じるであろう。
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明の目的は、先に記載された従来技術よりも良好に、ユーザ及びコンテンツの所有者の両者の目的を果たす認証方法を提供することにある。
【課題を解決するための手段】
【0015】
上記目的は、特許請求の範囲の請求項1に定義された方法に従って達成される。
したがって、本発明の第一の態様では、本発明は、認証が成功した条件で動作が実行される、ファーストパーティをセカンドパーティに認証するための認証方法を提供するものであり、ファーストパーティが認証されたかを確認するステップと、ファーストパーティが認証されなかった場合、サブの認証(sub-authorization)としてファーストパーティに権限を与え、ファーストパーティがサブ認証の権限を有する場合、動作がなお実行される。
【0016】
認証されたとは、認証手順の間にチェックされた主要又はメインの基準の(1以上の)セットが準拠していることを意味する。ソフトウェアアプリケーション又は装置のようなファーストパーティが認証されない場合、条件付き動作が所定の条件下で実行される場合がある。それら所定の条件が合致した場合、サブ認証が与えられる。
【0017】
これにより、本方法は、たとえば、従来の方法で却下された少なくとも幾つかのアプリケーションの使用を可能にする。サブ認証の条件の適切な選択により、先に記載されたオフラインのユーザの悩みが回避される。実現の例は、以下の実施の形態から明らかである。
【0018】
請求項2で定義される、認証方法の実施の形態によれば、コンプライアンス証明書は、認証手順に含まれる。したがって、コンプライアントパーティのみが認証される。
請求項3で定義される、認証方法の実施の形態によれば、証明書に含まれる発行基準の日付は、認証手順にも含まれる。発行基準の日付は、証明書が発行された日付のような時間に関連する。たとえば、発行基準の日付は、シーケンス番号となり、新たな証明書が発行されるたびにインクリメントされる。
【0019】
請求項4で定義される、認証方法の実施の形態によれば、サブ認証の権限付けは、比較結果に依存する。たとえば、比較基準の適切な選択により、1つの基準の使用は、許容される証明書の年齢を制御することである。
【0020】
請求項6で定義される、認証方法の実施の形態によれば、許容される有効番号のレンジが定義される。このレンジは、レンジが既存の一連の番号の何れかの部分をカバーする場合があるという定義に含まれるとしても、上限及び下限を定義するために使用可能であり、サブ認証の権限を与える可能性を狭くする。
【0021】
請求項7に定義される、認証方法の実施の形態によれば、最小の有効番号が定義される。発行基準の日付が最小の有効番号よりも低い場合、サブ認証の権限が与えられる。これは、余りに古い証明書を有するパーティにサブ認証の権限が与えられることを防止するために使用されることが好ましい。
【0022】
請求項8で定義される、認証方法の実施の形態によれば、証明書に準拠しないが、ファーストパーティにはサブの許容度(sub-allowance)の権限が与えられる。しかし、発行基準の日付が十分に高い場合、すなわち証明書、結果的にノンコンプライアンスが十分に最近である場合に、サブ認証のみが与えられる。勿論、最大値が規定されないが、好ましくは比較的高く選択される。
【0023】
請求項9及び10で定義される、認証方法の実施の形態によれば、セカンドパーティの2つの異なる有効な番号、すなわち現在の番号及び前の番号がレンジの制限値として使用される。これにより、レンジをセカンドパーティの有効番号のアップデートに依存させることができる。
【0024】
請求項11で定義される、認証方法の実施の形態によれば、ファーストパーティ、及びもしあれば他のファーストパーティがサブ認証される回数を制御するためのグレースカウンタが使用される。請求項12に定義されるように、実施の形態では、カウンタがファーストパーティにサブ認証の権限が与えられるたびにデクリメントされる。たとえば、これは、幾つかの時間ポイントで、カウンタを予め定義された数に設定するために使用し、カウンタがゼロに到達したときにサブ認証の権限を与えるのを停止する。ファーストパーティが認証又はサブ認証されるため、証明書を新しくする必要がある。
【0025】
請求項18で定義される、本発明の第二の態様によれば、本発明は、認証プロセスでパーティとして機能するために構成されるデジタル装置が提供され、認証プロセスに含まれるパーティのコンプライアンスを判定するためにコンプライアンス証明書が使用される。装置は、時間と関連付けされ、前記認証プロセスで使用される、比較手段を保持する第一のメモリエリア、及び装置により認証プロセスに含まれる他のパーティの制限されたリストを保持する第二のメモリエリア、及び、前記リストのパーティに関するコンプライアンス証明書を保持する第三のメモリエリアを有する。
【0026】
この第二の態様によれば、本発明は、少なくとも少し古い証明書により遭遇される問題に関して、装置がオフラインであるとき、ユーザの悩みを著しく低減する。メモリが制限されるが、デジタル装置による認証手順で従事されるべきパーティに関する証明書がデジタル装置の比較の数で同時にアップデートされる可能性が高い。証明書がそのパーティにとってアクセス可能であるので、成功の認証手順の可能性は高い。この第二の態様の教示は第一の態様の教示との組み合わせで使用可能である。
【0027】
本発明の第三の態様によれば、本発明は、ファーストパーティをセカンドパーティに認証する認証方法が提供され、ファーストパーティが認証されたかを確認するステップと、ファーストパーティが認証されなかった場合、ファーストパーティのアイデンティフィケーションを認証されていないファーストパーティのリストを保持するローカルストレージに入力するステップとを含み、前記確認するステップは、ファーストパーティがリストのメンバーであるかを確認するステップを含む。
【0028】
この第三の態様によれば、ローカルに許可されていないパーティのある種の失効リストが保持され、このリストは、少なくとも第二のパーティについてアクセス可能である。したがって、本発明は、特にコンテンツ所有者の観点で有利である。かつてリストに入力されていたパーティは、コンテンツ又はコンテンツキャリアのタイプに関わらず使用可能ではない。たとえば、本発明の背景の下で先に記載された第二のアプローチの問題点が除かれる。
【0029】
本発明のこれらの態様及び他の態様は、以下に記載される実施の形態を参照して明らかにされるであろう。本発明は、添付図面を参照して更に詳細に説明されるであろう。
【発明を実施するための最良の形態】
【0030】
ファーストパーティ及びセカンドパーティは、認証手順に関与されることとなり、認証が成功した場合に動作が実行されることになる。例示的な目的のため、本発明に係る方法の第一の実施の形態では、ファーストパーティはソフトウェアアプリケーションであり、セカンドパーティは装置であり、実行されるべき動作はコンテンツへのアクセスであることが想定される。より詳細には、アプリケーションがコンテンツにアクセスすることを望み、このアクセスは装置によって条件付きで承認されることが想定される。
【0031】
コンテンツへのアクセスの認証の一部として、コンテンツに関連する利用権利の情報がアップデートされる必要がある場合がある。1回の再生の権利が削除される必要があるか、又はそのステータスを「無効“invalid”」又は「使用済み“used”」に設定させる場合がある。いわゆるチケットが使用される場合もある。チケットベースのアクセスに関する更なる情報について、米国特許第6,601,046号(代理人ドケットPHA23636)を参照されたい。この使用権利のアップデートは、ファーストパーティ又はセカンドパーティにより行われる場合がある。
【0032】
当業者により理解されるように、異なるタイプのパーティ及び異なるタイプの動作等の様々な組み合わせが存在し、これらは本発明の範囲により包含される。幾つかの例は、移動装置と固定装置との間、及びPCとネットワークにおけるサービスとの間の認証手順である。
【0033】
ソフトウェアアプリケーションが装置により受信されたコンテンツユニットのコンテンツにアクセスするために使用されることとなるとき、かかるアクセスについてアプリケーションを許可するために認証手順が行われる。本実施の形態を説明するときに想定されるように、典型的な状況は、アプリケーションが、ディスクドライブにより構成される装置に入力される、ディスクにより構成されるコンテンツユニットに記憶されるコンテンツを再生するために使用される。本実施の形態の理解をエンハンスするため、図1及び図2に示されるシステムが考慮される。システムは、そこにインストールされるアプリケーション(App)103を有するラップトップ101のようなコンピュータ、これに接続される取り外し可能なディスクドライブ105を有する。ディスク107は、ディスクドライブ105に挿入されようとしている。ドライブ105は、インタフェースバス109を介してコンピュータ101と通信し、ディスク107のコンテンツは、光学的リンク111を介してドライブ105に転送される。典型的に、ディスクのコンテンツは、光学的にスキャニングされ、光電気トランスデューサ113により電気信号に変換される。
【0034】
ドライブ105は、グレースカウンタk115、現在の有効番号(Curr)レジスタ117、及び前の有効番号(PrevVN)レジスタ119を有する。アプリケーションApp103は、App103のアプリケーション及び装置のグループのグループ証明書(GC)121であるコンプライアンス証明書を保持する。GC121は、シーケンス番号(SeqNo)123である発行基準の日付を有し、その値は、GC121が生成された時間のポイントに依存する。CurrVN及びPrevVNレジスタ117,119のコンテンツは、以下に説明されるように、発行基準すなわちシーケンス番号の日付との比較のために使用される比較基準に含まれる。
【0035】
ディスク107がドライブ105に挿入される、App103がディスク107のコンテンツを再生するために使用されるかが判定されるとき、認証手順が始動される。ディスク107は、ドライブ105に提供される有効番号VNを有する。VNはドライブ105のCurrVN117に比較される。一般に、ディスクが新しい場合、VN>CurrVNである。次いで、CurrVNレジスタ117はVNでアップデートされ、GCのセットはドライブ、及び/又はドライブ105がこれに搭載又は接続されるPCのような装置で記憶される。認証手順の一部として、App103は、コンテンツへのアクセス用に使用されるために認証されるドライブ105に立証する必要がある。先に記載された基本的なケースでは、GC121のSeqNoは、CurrVNに比較され、それらは等しいことが判定され、AppがApp103に関する新たなGCに従ってなお準拠することが判定され、結果的に、App103が認証されることが確認される。したがって、Appは、ディスク107のコンテンツにアクセスするのを許可される。
【0036】
しかし、先のバックグランドに記載されるように幾つかの状況では、新たなGCのコピーを防止するドライブ105におけるメモリリソースがないことによるCurrVN及びGCのフルアップデートがなく、CurrVnは高いVNでアップデートされる。Appが新たなGCに従ってもはや準拠しない場合、Appは認証されない。
【0037】
本方法によれば、特定の状況において、Appは認証されないが、アクセスがなお許容される。このアプリケーションの目的について、これはサブ認証と呼ばれる。しかし、サブ認証は、まるで認証されたかのような同じ利点をアプリケーションに与えるので、認証のための基準が準拠していないが、幾つかの制限が時間及び番号に依存させてサブ認証の授与に関連付けされる。したがって、その値は時間的にそれらが生成されたときに依存するので、シーケンス番号及び有効番号は、時間に関連されるエレメントである。かかるように、それらは、以下に記載されるように猶予期間を決定するために使用することができる。グレースカウンタkは番号エレメントであるが、カウンタが終了番号にまでカウントし、一般的に無限であるが、ある時間量が経過したときから、といったやり方で時間にも関連付けされる。これは、以下の説明から明らかである。
【0038】
前記認証手順SeqNo123の第一ステップとして、SeqNo123は、CurrVN117に比較される。SeqNo>CurrVNである場合、CurrVNの値は、PrevVNに記憶され、SeqNoの値は、CurrVNに記憶され、グレースカウンタkは、k0に設定される。ここで、k0は以下に説明されるように、サブ認証の下での予め定義された再生回数を示す。次いで、Appが準拠すること、又は失効されていないことをAppのGCが示しているかがチェックされる。Appが失効されていない場合、ドライブ105により、Appが認証され、コンテンツへのアクセスすなわちプレイバックが許可されたことが判定される。他方で、Appが失効した場合、サブ認証が授与される。次いで、再生が許容されるが、k0回についてのみである。そのため、この認証の部分としてkがデクリメントされる。すなわちk→k−1である。
【0039】
SeqNo<CurrVnである場合、次のステップでは、SeqNo123がPrevVN119に比較される。SeqNo<PrevVNである場合、APP103はドライブ105に認証されない。したがって、ユーザは、ソフトウェアアプリケーションApp103が十分に高いSeqNoを担うGCを有する最近のバージョンにアップデートされるまで、コンテンツにアクセスすることができない。
【0040】
SeqNo123が有効番号のレンジに含まれる場合、すなわち、失効の状態に関わらずPrevVN≦SeqNo<CurrVNである場合、次のステップで、k>0であるかがチェックされる。k>0である場合、Appはサブ認証の権限が与えられ、kはデクリメントされ、再生が許可される。k=0である場合、サブ認証の権限が与えられず、コンテンツへのアクセスが否定される。結果は、SeqNo=CurrVNの組み合わせについて同じであり、App103は失効される。最後に、SeqNo=CurrVNである場合、Appは失効されず、その後Appは認証される。カウンタは変更されない。
【0041】
PrevVNの値は、アプリケーションがどの位古いか、及びなお使用可能であるかを判定する。しかし、PrevVNは、新たなディスクを連続的に使用するユーザによる典型的なケースでCurrVNの後ろにある1つの番号であるので、ただ新たなアプリケーションのみが役立つ。代替的な実施の形態では、レンジの最小の有効な番号は、PrevVNではなく、前の前の有効番号PrevPrevVNであり、これは、CurrVNの1ステップ更に後ろにある。この実施の形態では、PrevPrevVNは、PrevVNの代わりにSeqNoとの比較のために使用される。利点は、非常に古いハッキングツールの使用を防止しつつ、ユーザが彼の慣れたプレイバックアプリケーションを猶予期間の間に使用し続ける可能性が高いことである。
【0042】
別の代替の実施の形態では、PrevVNカウンタは存在しない。これは、PrevVNを永続的にゼロに固定することに対応する。この実施の形態では、ユーザが猶予期間の間に彼のなれたプレイバックアプリケーションを使用し続けることは絶対的に確かである。
【0043】
本発明に係るデジタル装置の実施の形態では、デジタル装置300は、典型的な光ドライブのようなロウリソースタイプの装置である。メモリキャパシティが余りに僅かであり、通常はキャッシュメモリに、GCのコンプリートリストを記憶することができない。しかし、デジタル装置は、制限された量のメモリ301を有し、より詳細には、不揮発性のランダムアクセスメモリ(NVRAM)を有し、これは幾つかのGCを保持可能である。さらに、ドライブ300は、パーティ、すなわちアプリケーション又は装置のリストを保持し、これにより、ドライブは認証手順に従事する。好ましくは、このリストは、時間を通してずっと、ファーストインファーストアウト(FIFO)のリストであり、典型的に、全てのパーティの一部を含むことができる。図3に示されるように、ドライブ300は、この実施の形態では有効番号VNである比較手段を保持する第一のメモリエリア303、FIFOを保持する第二のメモリエリア305、及び305でFIFOのパーティに関するGCを保持する第三のメモリエリア307を有する。
【0044】
ドライブ300がそのVNをアップデートするとき、第三のメモリエリア307にFIFOリストのパーティに関するGCをキャッシュする。先のように、FIFOリストのパーティがドライブ300との認証手順に従事するとき、対応するGCのSeqNoは、ドライブ300のVNと比較される。パーティが認証されるため、GCに準拠するとして述べられる必要があり、SeqNo≧VNが満たされる場合がある。典型的に、パーティはFIFOリストにあり、そのGCはドライブ300のVNと共にアップデートされるので、そのSeqNoは十分に高い。しかし、パーティがFIFOリストにない場合、不成功の認証について増加された可能性が存在する。なお、この実施の形態の装置では、装置が始動又は従事する認証手順は、先に記載された実施の形態のいずれかにおける手順とすることができる。
【0045】
本発明によれば、ファーストパーティとセカンドパーティとの間に認証手順が提供され、ファーストパーティが認証されたかが確認される。ファーストパーティが認証されない場合、ファーストパーティのアイデンティフィケーションが認証されていないファーストパーティのリストを保持するローカルストレージに入力され、このストレージは、セカンドパーティにアクセス可能である。確認は、コンプライアンスチェック、及びファーストパーティが非認証リストのメンバーであるかのチェックを含む。このローカルリストは、ローカルBLとして考えることができる。このローカルリストは、本実施の形態に従って設けられ、動作する装置は、図4にほぼ概念的に示される。光ディスクドライブのような装置400は、有効番号VNを保持する第一のメモリエリア403、及びローカルBLを保持する第二のメモリエリア405を有するメモリ401を有する。アプリケーションのようなファーストパーティがドライブ400に認証できないときは何時でも、そのアイデンティフィケーション(ID)は、第二のメモリエリア405でローカルBLに記憶される。アプリケーションが、それが準拠していることを示す、SeqNo≧VNを含むGCを使用して、ドライブ400を認証しようとするときは何時でも、ドライブは、アプリケーションがローカルBLで生じているかをチェックする。生じている場合、ドライブ400は認証を中止し、さもなければ、アプリケーションが認証される。この実施の形態は、第一のメモリが揮発性であって、現在存在するディスクで利用可能なVNの値を取る場合に特に価値がある。
【0046】
本方法は、本方法に係るステップを実行する実行可能なコード部分を有するコンピュータプログラムとして実現可能である。プログラムは、先に記載されたディスクドライブのような装置にロードされ、該装置により実行され、ソフトウェアアプリケーションの準拠を確認するルールを有する。
【0047】
本発明は、ホームネットワークでの用途を発見する場合がある。典型的なホームネットワークは、たとえばラジオレシーバ、チューナ/デコーダ、CDプレーヤ、一対のスピーカ、テレビジョン、VCR、デジタルレコーダ、モバイルフォン、テープデッキ、パーソナルコンピュータ、パーソナルデジタルアシスタント、ポータブルディスプレイユニット等といった多数の装置を含む。これらの装置は、たとえばテレビジョンといった一方の装置がたとえばVCRといった別の装置を制御するのを可能にするために通常は相互接続される。たとえばチューナ/デコーダ又はセットトップボックス(STB)のような一方の装置は、他方に対して中央の制御を提供する、通常はセントラル装置である。コンテンツは、音楽、歌、映画、TV番組、写真、ゲーム、本等のようなものを典型的に有し、インタラクティブなサービスを含む場合もあるが、一般家庭のゲートウェイ又はセットトップボックスを通して受信される。また、コンテンツは、ストレージメディアのようなディスクといった他のソースを介して、又はポータブル装置を使用して家庭に入る。
【0048】
ホームネットワークは許可されたドメインとして動作する場合がある。(Thomson社のSmartRight、又はDTLAからのDTCPのような)この種類のコンテンツプロテクションシステムでは、装置のセットは、双方向のコネクションを通して互いに認証することができる。この認証に基づいて、装置は互いに信頼し、これにより、プロテクトされたコンテンツをやり取りするのを可能にする。コンテンツを伴うライセンスでは、どの権利をユーザが有し、どの動作を彼/彼女がコンテンツを実行するために許可されるかが記載される。
【0049】
認可されたドメインの特定のアーキテクチャは、国際特許出願WO03/098931(代理人ドケットPHNL020455)、欧州特許出願シリアル番号03100772.7(代理人PHNL030283)、欧州特許出願シリアル番号03102281.7(代理人ドケットPHNL030926)、欧州特許出願シリアル番号04100997.8(代理人ドケットPHNL040288)、並びに、F.Kamperman及びW.Jonker, P.Lenoir及びB.vd Heuvel“Secure Content Management in authorized domains”Proc.IBC2002, Page467−475, Sept.2002で概説されている。
【0050】
なお、この出願の目的について、特に特許請求の範囲で、単語“comprise”は他のステップ又はエレメントを排除するものではなく、単語“a”又は“an”は、複数を排除するものではなく、これらは本質的に当業者にとって明らかであろう。
【0051】
幾つかの手段を列挙している装置の請求項では、これら手段の幾つかが同一アイテムのハードウェアにより実施することができる。所定の手段が相互に異なる従属の請求項で引用されることは、これらの手段の組み合わせを使用することができないことを示すものではない。
【図面の簡単な説明】
【0052】
【図1】本発明に係る方法が利用されるシステムの鳥瞰図である。
【図2】実施の形態の方法が図1のシステムでどのように動作するかを説明するブロック図である。
【図3】本発明に係るデジタル装置の実施の形態の関連する部分のブロック図である。
【図4】認証方法の別の実施の形態を利用するために構成される、装置の実施の形態の関連する部分のブロック図である。
【技術分野】
【0001】
本発明は、コピープロテクションシステムに関し、より詳細には、認証が成功した条件で動作が実行されるファーストパーティをセカンドパーティに認証する認証方法に関する。
【背景技術】
【0002】
コンピュータ又はPCにおけるドライブ/ホストインタフェース間の非セキュアなリンクのような公的にアクセス可能な通信チャネルにわたりコンテンツが転送される各種のコピープロテクションシステム(CPS)では、手順が行われ、ハードウェアドライブ及びソフトウェアアプリケーションが互いに信頼することができることを証明する必要がある。この手順は認証と呼ばれる。認証手順における重要なステップは、公開鍵の証明書の相互のやり取りである。公開鍵の証明書は、公知かつ信頼された認証局(CA)によりデジタル的に署名されたショートステートメントであり、識別番号IDをもつ所定の装置又はアプリケーションが公開鍵(PK)を有するということを証明する。以下では、装置及びアプリケーションの両者はパーティと呼ばれる。CAのPKが一般に知られており、証明書でCAの署名を確認するために何れかのパーティにより使用することができる。
【0003】
このプロセスをイネーブルにするため、それぞれのパーティは、プライベートキーと呼ばれる多数の秘密鍵を保持する。これらの鍵及びそれらを使用した制御フローは、ハッカーがCPSを回避するのを防止するためにプロテクトされるべきである。しかし、長期にわたり、プレイバックソフトウェアのようなアプリケーションと同様に幾つか又は多くの装置でさえもハッキングされ、許可されていないコンテンツのコピーが実行される可能性がある。
【0004】
かかる許可されていないコピーを更に困難にするため、どのパーティが無効にされたかに関する情報を含む、いわゆる証明書失効リストが用意される。認証手順の一部として、全てのパーティがCRLを読むことが強制され、少なくとも1つの2つの対話するパーティが無効にされた場合、手順が割り込まれる。2種類のCRLが存在する。ホワイトリスト(WL)は、所定の時間のポイントで従順な全てのパーティを列挙する。ブラックリスト(BL)は、無効にされている全ての装置を列挙する。この用途のため、全ての無効にされた装置の情報によってどれがなお従順であるかを判定するため、WL及びBLが含まれる情報における違いは存在しない。
【0005】
しかし、それらがどのように解釈されて使用されるかにおいて違いが存在する。BLを使用するとき、ファーストパーティすなわちベリファイ(verifying)パーティは、セカンドパーティすなわちプルーブ(proving)パーティが無効にされていないことを判定することを望み、完全なBLを取得する必要がある。WLを使用するとき、ベリファイパーティは、プルービングパーティを示すWLのそのパートを得なければならない。したがって、ホワイトリストの使用は、CPSにおけるストレージ要件及びバス伝送の負荷の観点で有利である。これは、ベリファイパーティが光ドライブのような計算能力を有さない装置であるときに特に重要である。長いBLを処理及び分析することは、かかる装置にとって厄介である。
【0006】
しかし、シンプルなホワイトリストは、それぞれのパーティがその非無効な状態を証明するそれ自身の証明書を得ることを必要とし、結果的に、過剰なネットワーク又はディスクストレージのオーバヘッドとなる。この問題点を緩和するため、WO03/10788(代理人ドケットPHNL020543)及びWO03/10789(代理人ドケットPHNL020544)に開示されるような2ステップのアプローチが有効である。プルービングパーティは、その公開鍵の証明書を供給するのみでなく、グループ証明書(GC)を供給する。GCは、1以上のグループのうちの1つにプルーブパーティが属する1以上のグループが無効にされていないことの簡明な証明である。同じGCは、多くのパーティ、すなわちGCに記載される全てのパーティにより使用することができる。効果的に、全体のCRLはGCに分裂されており、これらは個々に署名され、コミュニケート(communicate)パーティに配信される。先に記載された国際特許出願に係るGCを使用する1つのやり方は、GCにおいて表現されるそれぞれのグループの上及び下の境界を示すことである。特定のグループにおけるパーティがその許可されたパーティとしてそのステータスを失うとき、1以上の新たなGCが生成される。更なる改善は、欧州特許出願04101104.0(代理人ドケットPHNL040332)で記載される。この改善は、多数の装置の認証ステータスのランレングス符号化された表現を生成することを含む。
【0007】
GCを使用することで良好なハッカーの防止効果を有するため、パーティは、時代遅れでない無効情報を使用するため、かなり最近のGCを強制的に使用されるべきである。さもなければ、失効ツールが殆ど使用されない。US5,949,877では、相対的なCRLの作成日が含まれる方法が開示される。ベリファイパーティの無効リストは、パーティがより最近のリストを受信したときにアップデートされる。
【0008】
US5,949,877の意図の実現では、それぞれのGCは、CAによりGCが作成された時間を示すシーケンス番号(SeqNo)を伝える。したがって、より高いSeqNoはより最近の時間に対応する。典型的に、先に説明されたように、新たなGCのセットは、失効の後に生成され、それぞれのGCは増加されたSeqNoを伝える。コンプライアント(compliant)パーティは、受信されたGCのSeqNoをある「新鮮さ」の速度に比較する必要がある。典型的に、この速度は有効番号(VN)であり、SeqNo≧VNをもつGCが有効な証明として許容され、SeqNo<VNをもつGCが却下される。オンラインコネクションを介して、ディスクを介して、及び他のパーティとコンタクトすることのような、新たなGC及びVNに遭遇するための幾つかのやり方がパーティにとって存在する。全てのコンプライアントパーティはVNをキャッシュし、おそらく最も高いVNがこれまで遭遇している。PCと、少なくとも幾つかのたとえば光学装置のような典型的に低電力の周辺装置との間の処理能力における相違のため、GCの記憶が異なって処理される。したがって、アプリケーションは、これまでに遭遇した最も高いSeqNoをもつ完全なGCのセットをキャッシュし、かかる周辺装置はGCをキャッシュしない。
【0009】
しかし、VNの使用は、望まれない状況を生じない場合がある。たとえば、プレイバックの状況におけるSeqNoとVNとの比較について考える。第一のアプローチとして、ドライブはそのVNレジスタでこれまで見られていない最も高いSeqNoを常にキャッシュするとし、ドライブは、認証手順の間、プレイバックアプリケーションのGCがSeqNo≧VNを有することを要求する。このSeqNos及びVNを使用するやり方は、たとえば、BD−ROM(Blue−Ray Disc ROM)規格のオプションとして考えられる。次いで、以下に記載されるように、深刻なユーザの悩みがオフラインの状況で生じる。
【0010】
ここで第二のアプローチにしたがってSeqNo−VNの代替的な使用を考える。プレイバックのための認証手順の間、ドライブは、再生されるべきディスクを通して伝達されたVNを使用する。アプリケーションのGCは、SeqNo≧VNdiscを有する場合にのみ許容される。このアプローチは、よりユーザフレンドリなやり方である。
【0011】
しかし、コンテンツオーナの観点で、第二のアプローチは深刻な問題点を有する。アプリケーション“App”がハッキングされた場合、コンテンツを盗むハッカーのアプリケーション“Rip”を構築するため、その秘密鍵が使用され、次いで、コンテンツを盗むハッカーのアプリケーションは、インターネットにわたり配信される。CAは、全ての将来のWLで許可されていないとしてAppを列挙することでAppを失効し、すなわち、Appは、SeqNo=XをもつGCで許可されているが、SeqNo>Xをもつ全てのGCにおいて失効される。次いで、この失効にも拘らず、RipはVNdisc≦Xをもつ全てのディスクからコンテンツを盗むために使用される可能性がある。第一のアプローチでは、これは、ハッカーが彼のドライブを全ての新たなディスクから分離させる必要があるので非常に困難である。
【0012】
再び第一のアプローチを考える。ラップトップ及びプレイバックソフトウェアAppをもつユーザは、新たなディスクを運ぶ。これは、ディスクがAppのSeqNoよりも高いVNを有し、したがってAppが却下されることがわかる。次いで、ユーザは、(おそらく無料である)リプレースメントソフトウェアをダウンロードすることでAppをアップデートする必要がある。しかし、ラップトップオーナについてむしろ頻繁に起こる、ユーザがその瞬間でインターネットへのアクセスを有さない場合、アップデートが可能ではない。このことが生じる悩みに加えて、ラップトップのディスクドライブがディスクのVNをキャッシュしており、Appが実行することができないので、ユーザは何れかの古いディスクを再生することができない。言い換えれば、ユーザがアップデートされたソフトウェアをダウンロードすることができるまで、常に動作するディスクは、動作するのを突然停止する。幾つかの他の、むしろ一般的な状況が存在し、この場合、ユーザがアプリケーションをアップデートすることができるまで、ソフトウェアアプリケーションの実行がブロックされるように、ドライブのVNが増加される。1つのかかる状況は、取り外し可能なディスクがドライブのVNよりも高いSeqNoを有するアプリケーションと通信し、別のPCと対話する。別のかかる状況は、同じPCの多数のソフトウェアアプリケーションが同じドライバと通信するが、等しいペースを保持しない。
【0013】
第一のアプローチは、ユーザのアプリケーションが失効されていないが動作を停止する状況となる場合でさえ、おそらく使用されるであろう。その後、ユーザの悩みを低減する開発についての需要が生じるであろう。
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明の目的は、先に記載された従来技術よりも良好に、ユーザ及びコンテンツの所有者の両者の目的を果たす認証方法を提供することにある。
【課題を解決するための手段】
【0015】
上記目的は、特許請求の範囲の請求項1に定義された方法に従って達成される。
したがって、本発明の第一の態様では、本発明は、認証が成功した条件で動作が実行される、ファーストパーティをセカンドパーティに認証するための認証方法を提供するものであり、ファーストパーティが認証されたかを確認するステップと、ファーストパーティが認証されなかった場合、サブの認証(sub-authorization)としてファーストパーティに権限を与え、ファーストパーティがサブ認証の権限を有する場合、動作がなお実行される。
【0016】
認証されたとは、認証手順の間にチェックされた主要又はメインの基準の(1以上の)セットが準拠していることを意味する。ソフトウェアアプリケーション又は装置のようなファーストパーティが認証されない場合、条件付き動作が所定の条件下で実行される場合がある。それら所定の条件が合致した場合、サブ認証が与えられる。
【0017】
これにより、本方法は、たとえば、従来の方法で却下された少なくとも幾つかのアプリケーションの使用を可能にする。サブ認証の条件の適切な選択により、先に記載されたオフラインのユーザの悩みが回避される。実現の例は、以下の実施の形態から明らかである。
【0018】
請求項2で定義される、認証方法の実施の形態によれば、コンプライアンス証明書は、認証手順に含まれる。したがって、コンプライアントパーティのみが認証される。
請求項3で定義される、認証方法の実施の形態によれば、証明書に含まれる発行基準の日付は、認証手順にも含まれる。発行基準の日付は、証明書が発行された日付のような時間に関連する。たとえば、発行基準の日付は、シーケンス番号となり、新たな証明書が発行されるたびにインクリメントされる。
【0019】
請求項4で定義される、認証方法の実施の形態によれば、サブ認証の権限付けは、比較結果に依存する。たとえば、比較基準の適切な選択により、1つの基準の使用は、許容される証明書の年齢を制御することである。
【0020】
請求項6で定義される、認証方法の実施の形態によれば、許容される有効番号のレンジが定義される。このレンジは、レンジが既存の一連の番号の何れかの部分をカバーする場合があるという定義に含まれるとしても、上限及び下限を定義するために使用可能であり、サブ認証の権限を与える可能性を狭くする。
【0021】
請求項7に定義される、認証方法の実施の形態によれば、最小の有効番号が定義される。発行基準の日付が最小の有効番号よりも低い場合、サブ認証の権限が与えられる。これは、余りに古い証明書を有するパーティにサブ認証の権限が与えられることを防止するために使用されることが好ましい。
【0022】
請求項8で定義される、認証方法の実施の形態によれば、証明書に準拠しないが、ファーストパーティにはサブの許容度(sub-allowance)の権限が与えられる。しかし、発行基準の日付が十分に高い場合、すなわち証明書、結果的にノンコンプライアンスが十分に最近である場合に、サブ認証のみが与えられる。勿論、最大値が規定されないが、好ましくは比較的高く選択される。
【0023】
請求項9及び10で定義される、認証方法の実施の形態によれば、セカンドパーティの2つの異なる有効な番号、すなわち現在の番号及び前の番号がレンジの制限値として使用される。これにより、レンジをセカンドパーティの有効番号のアップデートに依存させることができる。
【0024】
請求項11で定義される、認証方法の実施の形態によれば、ファーストパーティ、及びもしあれば他のファーストパーティがサブ認証される回数を制御するためのグレースカウンタが使用される。請求項12に定義されるように、実施の形態では、カウンタがファーストパーティにサブ認証の権限が与えられるたびにデクリメントされる。たとえば、これは、幾つかの時間ポイントで、カウンタを予め定義された数に設定するために使用し、カウンタがゼロに到達したときにサブ認証の権限を与えるのを停止する。ファーストパーティが認証又はサブ認証されるため、証明書を新しくする必要がある。
【0025】
請求項18で定義される、本発明の第二の態様によれば、本発明は、認証プロセスでパーティとして機能するために構成されるデジタル装置が提供され、認証プロセスに含まれるパーティのコンプライアンスを判定するためにコンプライアンス証明書が使用される。装置は、時間と関連付けされ、前記認証プロセスで使用される、比較手段を保持する第一のメモリエリア、及び装置により認証プロセスに含まれる他のパーティの制限されたリストを保持する第二のメモリエリア、及び、前記リストのパーティに関するコンプライアンス証明書を保持する第三のメモリエリアを有する。
【0026】
この第二の態様によれば、本発明は、少なくとも少し古い証明書により遭遇される問題に関して、装置がオフラインであるとき、ユーザの悩みを著しく低減する。メモリが制限されるが、デジタル装置による認証手順で従事されるべきパーティに関する証明書がデジタル装置の比較の数で同時にアップデートされる可能性が高い。証明書がそのパーティにとってアクセス可能であるので、成功の認証手順の可能性は高い。この第二の態様の教示は第一の態様の教示との組み合わせで使用可能である。
【0027】
本発明の第三の態様によれば、本発明は、ファーストパーティをセカンドパーティに認証する認証方法が提供され、ファーストパーティが認証されたかを確認するステップと、ファーストパーティが認証されなかった場合、ファーストパーティのアイデンティフィケーションを認証されていないファーストパーティのリストを保持するローカルストレージに入力するステップとを含み、前記確認するステップは、ファーストパーティがリストのメンバーであるかを確認するステップを含む。
【0028】
この第三の態様によれば、ローカルに許可されていないパーティのある種の失効リストが保持され、このリストは、少なくとも第二のパーティについてアクセス可能である。したがって、本発明は、特にコンテンツ所有者の観点で有利である。かつてリストに入力されていたパーティは、コンテンツ又はコンテンツキャリアのタイプに関わらず使用可能ではない。たとえば、本発明の背景の下で先に記載された第二のアプローチの問題点が除かれる。
【0029】
本発明のこれらの態様及び他の態様は、以下に記載される実施の形態を参照して明らかにされるであろう。本発明は、添付図面を参照して更に詳細に説明されるであろう。
【発明を実施するための最良の形態】
【0030】
ファーストパーティ及びセカンドパーティは、認証手順に関与されることとなり、認証が成功した場合に動作が実行されることになる。例示的な目的のため、本発明に係る方法の第一の実施の形態では、ファーストパーティはソフトウェアアプリケーションであり、セカンドパーティは装置であり、実行されるべき動作はコンテンツへのアクセスであることが想定される。より詳細には、アプリケーションがコンテンツにアクセスすることを望み、このアクセスは装置によって条件付きで承認されることが想定される。
【0031】
コンテンツへのアクセスの認証の一部として、コンテンツに関連する利用権利の情報がアップデートされる必要がある場合がある。1回の再生の権利が削除される必要があるか、又はそのステータスを「無効“invalid”」又は「使用済み“used”」に設定させる場合がある。いわゆるチケットが使用される場合もある。チケットベースのアクセスに関する更なる情報について、米国特許第6,601,046号(代理人ドケットPHA23636)を参照されたい。この使用権利のアップデートは、ファーストパーティ又はセカンドパーティにより行われる場合がある。
【0032】
当業者により理解されるように、異なるタイプのパーティ及び異なるタイプの動作等の様々な組み合わせが存在し、これらは本発明の範囲により包含される。幾つかの例は、移動装置と固定装置との間、及びPCとネットワークにおけるサービスとの間の認証手順である。
【0033】
ソフトウェアアプリケーションが装置により受信されたコンテンツユニットのコンテンツにアクセスするために使用されることとなるとき、かかるアクセスについてアプリケーションを許可するために認証手順が行われる。本実施の形態を説明するときに想定されるように、典型的な状況は、アプリケーションが、ディスクドライブにより構成される装置に入力される、ディスクにより構成されるコンテンツユニットに記憶されるコンテンツを再生するために使用される。本実施の形態の理解をエンハンスするため、図1及び図2に示されるシステムが考慮される。システムは、そこにインストールされるアプリケーション(App)103を有するラップトップ101のようなコンピュータ、これに接続される取り外し可能なディスクドライブ105を有する。ディスク107は、ディスクドライブ105に挿入されようとしている。ドライブ105は、インタフェースバス109を介してコンピュータ101と通信し、ディスク107のコンテンツは、光学的リンク111を介してドライブ105に転送される。典型的に、ディスクのコンテンツは、光学的にスキャニングされ、光電気トランスデューサ113により電気信号に変換される。
【0034】
ドライブ105は、グレースカウンタk115、現在の有効番号(Curr)レジスタ117、及び前の有効番号(PrevVN)レジスタ119を有する。アプリケーションApp103は、App103のアプリケーション及び装置のグループのグループ証明書(GC)121であるコンプライアンス証明書を保持する。GC121は、シーケンス番号(SeqNo)123である発行基準の日付を有し、その値は、GC121が生成された時間のポイントに依存する。CurrVN及びPrevVNレジスタ117,119のコンテンツは、以下に説明されるように、発行基準すなわちシーケンス番号の日付との比較のために使用される比較基準に含まれる。
【0035】
ディスク107がドライブ105に挿入される、App103がディスク107のコンテンツを再生するために使用されるかが判定されるとき、認証手順が始動される。ディスク107は、ドライブ105に提供される有効番号VNを有する。VNはドライブ105のCurrVN117に比較される。一般に、ディスクが新しい場合、VN>CurrVNである。次いで、CurrVNレジスタ117はVNでアップデートされ、GCのセットはドライブ、及び/又はドライブ105がこれに搭載又は接続されるPCのような装置で記憶される。認証手順の一部として、App103は、コンテンツへのアクセス用に使用されるために認証されるドライブ105に立証する必要がある。先に記載された基本的なケースでは、GC121のSeqNoは、CurrVNに比較され、それらは等しいことが判定され、AppがApp103に関する新たなGCに従ってなお準拠することが判定され、結果的に、App103が認証されることが確認される。したがって、Appは、ディスク107のコンテンツにアクセスするのを許可される。
【0036】
しかし、先のバックグランドに記載されるように幾つかの状況では、新たなGCのコピーを防止するドライブ105におけるメモリリソースがないことによるCurrVN及びGCのフルアップデートがなく、CurrVnは高いVNでアップデートされる。Appが新たなGCに従ってもはや準拠しない場合、Appは認証されない。
【0037】
本方法によれば、特定の状況において、Appは認証されないが、アクセスがなお許容される。このアプリケーションの目的について、これはサブ認証と呼ばれる。しかし、サブ認証は、まるで認証されたかのような同じ利点をアプリケーションに与えるので、認証のための基準が準拠していないが、幾つかの制限が時間及び番号に依存させてサブ認証の授与に関連付けされる。したがって、その値は時間的にそれらが生成されたときに依存するので、シーケンス番号及び有効番号は、時間に関連されるエレメントである。かかるように、それらは、以下に記載されるように猶予期間を決定するために使用することができる。グレースカウンタkは番号エレメントであるが、カウンタが終了番号にまでカウントし、一般的に無限であるが、ある時間量が経過したときから、といったやり方で時間にも関連付けされる。これは、以下の説明から明らかである。
【0038】
前記認証手順SeqNo123の第一ステップとして、SeqNo123は、CurrVN117に比較される。SeqNo>CurrVNである場合、CurrVNの値は、PrevVNに記憶され、SeqNoの値は、CurrVNに記憶され、グレースカウンタkは、k0に設定される。ここで、k0は以下に説明されるように、サブ認証の下での予め定義された再生回数を示す。次いで、Appが準拠すること、又は失効されていないことをAppのGCが示しているかがチェックされる。Appが失効されていない場合、ドライブ105により、Appが認証され、コンテンツへのアクセスすなわちプレイバックが許可されたことが判定される。他方で、Appが失効した場合、サブ認証が授与される。次いで、再生が許容されるが、k0回についてのみである。そのため、この認証の部分としてkがデクリメントされる。すなわちk→k−1である。
【0039】
SeqNo<CurrVnである場合、次のステップでは、SeqNo123がPrevVN119に比較される。SeqNo<PrevVNである場合、APP103はドライブ105に認証されない。したがって、ユーザは、ソフトウェアアプリケーションApp103が十分に高いSeqNoを担うGCを有する最近のバージョンにアップデートされるまで、コンテンツにアクセスすることができない。
【0040】
SeqNo123が有効番号のレンジに含まれる場合、すなわち、失効の状態に関わらずPrevVN≦SeqNo<CurrVNである場合、次のステップで、k>0であるかがチェックされる。k>0である場合、Appはサブ認証の権限が与えられ、kはデクリメントされ、再生が許可される。k=0である場合、サブ認証の権限が与えられず、コンテンツへのアクセスが否定される。結果は、SeqNo=CurrVNの組み合わせについて同じであり、App103は失効される。最後に、SeqNo=CurrVNである場合、Appは失効されず、その後Appは認証される。カウンタは変更されない。
【0041】
PrevVNの値は、アプリケーションがどの位古いか、及びなお使用可能であるかを判定する。しかし、PrevVNは、新たなディスクを連続的に使用するユーザによる典型的なケースでCurrVNの後ろにある1つの番号であるので、ただ新たなアプリケーションのみが役立つ。代替的な実施の形態では、レンジの最小の有効な番号は、PrevVNではなく、前の前の有効番号PrevPrevVNであり、これは、CurrVNの1ステップ更に後ろにある。この実施の形態では、PrevPrevVNは、PrevVNの代わりにSeqNoとの比較のために使用される。利点は、非常に古いハッキングツールの使用を防止しつつ、ユーザが彼の慣れたプレイバックアプリケーションを猶予期間の間に使用し続ける可能性が高いことである。
【0042】
別の代替の実施の形態では、PrevVNカウンタは存在しない。これは、PrevVNを永続的にゼロに固定することに対応する。この実施の形態では、ユーザが猶予期間の間に彼のなれたプレイバックアプリケーションを使用し続けることは絶対的に確かである。
【0043】
本発明に係るデジタル装置の実施の形態では、デジタル装置300は、典型的な光ドライブのようなロウリソースタイプの装置である。メモリキャパシティが余りに僅かであり、通常はキャッシュメモリに、GCのコンプリートリストを記憶することができない。しかし、デジタル装置は、制限された量のメモリ301を有し、より詳細には、不揮発性のランダムアクセスメモリ(NVRAM)を有し、これは幾つかのGCを保持可能である。さらに、ドライブ300は、パーティ、すなわちアプリケーション又は装置のリストを保持し、これにより、ドライブは認証手順に従事する。好ましくは、このリストは、時間を通してずっと、ファーストインファーストアウト(FIFO)のリストであり、典型的に、全てのパーティの一部を含むことができる。図3に示されるように、ドライブ300は、この実施の形態では有効番号VNである比較手段を保持する第一のメモリエリア303、FIFOを保持する第二のメモリエリア305、及び305でFIFOのパーティに関するGCを保持する第三のメモリエリア307を有する。
【0044】
ドライブ300がそのVNをアップデートするとき、第三のメモリエリア307にFIFOリストのパーティに関するGCをキャッシュする。先のように、FIFOリストのパーティがドライブ300との認証手順に従事するとき、対応するGCのSeqNoは、ドライブ300のVNと比較される。パーティが認証されるため、GCに準拠するとして述べられる必要があり、SeqNo≧VNが満たされる場合がある。典型的に、パーティはFIFOリストにあり、そのGCはドライブ300のVNと共にアップデートされるので、そのSeqNoは十分に高い。しかし、パーティがFIFOリストにない場合、不成功の認証について増加された可能性が存在する。なお、この実施の形態の装置では、装置が始動又は従事する認証手順は、先に記載された実施の形態のいずれかにおける手順とすることができる。
【0045】
本発明によれば、ファーストパーティとセカンドパーティとの間に認証手順が提供され、ファーストパーティが認証されたかが確認される。ファーストパーティが認証されない場合、ファーストパーティのアイデンティフィケーションが認証されていないファーストパーティのリストを保持するローカルストレージに入力され、このストレージは、セカンドパーティにアクセス可能である。確認は、コンプライアンスチェック、及びファーストパーティが非認証リストのメンバーであるかのチェックを含む。このローカルリストは、ローカルBLとして考えることができる。このローカルリストは、本実施の形態に従って設けられ、動作する装置は、図4にほぼ概念的に示される。光ディスクドライブのような装置400は、有効番号VNを保持する第一のメモリエリア403、及びローカルBLを保持する第二のメモリエリア405を有するメモリ401を有する。アプリケーションのようなファーストパーティがドライブ400に認証できないときは何時でも、そのアイデンティフィケーション(ID)は、第二のメモリエリア405でローカルBLに記憶される。アプリケーションが、それが準拠していることを示す、SeqNo≧VNを含むGCを使用して、ドライブ400を認証しようとするときは何時でも、ドライブは、アプリケーションがローカルBLで生じているかをチェックする。生じている場合、ドライブ400は認証を中止し、さもなければ、アプリケーションが認証される。この実施の形態は、第一のメモリが揮発性であって、現在存在するディスクで利用可能なVNの値を取る場合に特に価値がある。
【0046】
本方法は、本方法に係るステップを実行する実行可能なコード部分を有するコンピュータプログラムとして実現可能である。プログラムは、先に記載されたディスクドライブのような装置にロードされ、該装置により実行され、ソフトウェアアプリケーションの準拠を確認するルールを有する。
【0047】
本発明は、ホームネットワークでの用途を発見する場合がある。典型的なホームネットワークは、たとえばラジオレシーバ、チューナ/デコーダ、CDプレーヤ、一対のスピーカ、テレビジョン、VCR、デジタルレコーダ、モバイルフォン、テープデッキ、パーソナルコンピュータ、パーソナルデジタルアシスタント、ポータブルディスプレイユニット等といった多数の装置を含む。これらの装置は、たとえばテレビジョンといった一方の装置がたとえばVCRといった別の装置を制御するのを可能にするために通常は相互接続される。たとえばチューナ/デコーダ又はセットトップボックス(STB)のような一方の装置は、他方に対して中央の制御を提供する、通常はセントラル装置である。コンテンツは、音楽、歌、映画、TV番組、写真、ゲーム、本等のようなものを典型的に有し、インタラクティブなサービスを含む場合もあるが、一般家庭のゲートウェイ又はセットトップボックスを通して受信される。また、コンテンツは、ストレージメディアのようなディスクといった他のソースを介して、又はポータブル装置を使用して家庭に入る。
【0048】
ホームネットワークは許可されたドメインとして動作する場合がある。(Thomson社のSmartRight、又はDTLAからのDTCPのような)この種類のコンテンツプロテクションシステムでは、装置のセットは、双方向のコネクションを通して互いに認証することができる。この認証に基づいて、装置は互いに信頼し、これにより、プロテクトされたコンテンツをやり取りするのを可能にする。コンテンツを伴うライセンスでは、どの権利をユーザが有し、どの動作を彼/彼女がコンテンツを実行するために許可されるかが記載される。
【0049】
認可されたドメインの特定のアーキテクチャは、国際特許出願WO03/098931(代理人ドケットPHNL020455)、欧州特許出願シリアル番号03100772.7(代理人PHNL030283)、欧州特許出願シリアル番号03102281.7(代理人ドケットPHNL030926)、欧州特許出願シリアル番号04100997.8(代理人ドケットPHNL040288)、並びに、F.Kamperman及びW.Jonker, P.Lenoir及びB.vd Heuvel“Secure Content Management in authorized domains”Proc.IBC2002, Page467−475, Sept.2002で概説されている。
【0050】
なお、この出願の目的について、特に特許請求の範囲で、単語“comprise”は他のステップ又はエレメントを排除するものではなく、単語“a”又は“an”は、複数を排除するものではなく、これらは本質的に当業者にとって明らかであろう。
【0051】
幾つかの手段を列挙している装置の請求項では、これら手段の幾つかが同一アイテムのハードウェアにより実施することができる。所定の手段が相互に異なる従属の請求項で引用されることは、これらの手段の組み合わせを使用することができないことを示すものではない。
【図面の簡単な説明】
【0052】
【図1】本発明に係る方法が利用されるシステムの鳥瞰図である。
【図2】実施の形態の方法が図1のシステムでどのように動作するかを説明するブロック図である。
【図3】本発明に係るデジタル装置の実施の形態の関連する部分のブロック図である。
【図4】認証方法の別の実施の形態を利用するために構成される、装置の実施の形態の関連する部分のブロック図である。
【特許請求の範囲】
【請求項1】
ファーストパーティをセカンドパーティに認証するための認証方法であって、認証が成功した条件で動作が実行され、
前記ファーストパーティが認証されたか否かを確認するステップと、
前記ファーストパーティが認証されなかった場合、前記ファーストパーティにサブの認証について権限を与えるステップとを含み、
前記ファーストパーティが前記サブ認証の権限を有する場合、動作がなお実行される、
ことを特徴とする方法。
【請求項2】
前記確認するステップは、
前記ファーストパーティが該ファーストパーティに関するコンプライアンス証明書に従って準拠するか否かを確認するステップを含み、
前記ファーストパーティは該ファーストパーティが準拠する場合にのみ認証される、
請求項1記載の認証方法。
【請求項3】
前記確認するステップは、
前記コンプライアンス証明書の発行の基準の日付を前記セカンドパーティの比較の基準と比較するステップを含み、
前記ファーストパーティは、前記発行基準の日付が時代遅れでないことが前記比較により判定された場合にのみ認証される、
請求項2記載の認証方法。
【請求項4】
前記ファーストパーティにサブ認証の権限を与えるステップは、前記発行基準の日付と比較基準との前記比較の結果に依存する、
請求項3記載の認証方法。
【請求項5】
前記ファーストパーティにサブ認証の権限を与えるステップは、前記コンプライアンス証明書の発行基準の日付を前記セカンドパーティの比較基準と比較するステップの結果に依存する、
請求項2記載の認証方法。
【請求項6】
前記比較基準は、許容される有効番号のレンジを含む、
請求項4又は5記載の認証方法。
【請求項7】
前記ファーストパーティは、前記発行基準の日付が前記許容される有効番号のレンジのなかの最小の有効番号よりも小さい場合、前記サブ認証について権限が与えられない、
請求項6記載の認証方法。
【請求項8】
前記ファーストパーティが準拠しないことを前記コンプライアンス証明書が示す場合、前記発行基準の日付が前記有効番号のレンジのうちの最大の有効番号よりも高いか又は等しい場合、前記ファーストパーティは、サブ認証について権限が与えられる、
請求項6又は7記載の認証方法。
【請求項9】
前記許容される有効番号のレンジのうちの最大の有効番号は、前記セカンドパーティで記憶される現在の有効番号である、
請求項6乃至8のいずれか記載の認証方法。
【請求項10】
前記許容される有効番号のレンジのうちの最小の有効番号は、前記セカンドパーティで記憶される前の有効番号である、
請求項6乃至9のいずれか記載の認証方法。
【請求項11】
前記ファーストパーティにサブ認証の権限を与えるステップは、前記ファーストパーティが前記サブ認証について権限が与えられた回数と関連付けされるグレースカウンタの値に依存する、
請求項1乃至10のいずれか記載の認証方法。
【請求項12】
前記ファーストパーティがサブ認証について権限を与えたときに前記グレースカウンタをデクリメントするステップを含む、
請求項11記載の認証方法。
【請求項13】
前記コンプライアンス証明書は、グループ証明書である、
請求項2乃至12のいずれか記載の認証方法。
【請求項14】
前記動作はコンテンツにアクセスすることを含む、
請求項1乃至13のいずれか記載の認証方法。
【請求項15】
前記コンテンツは光ディスクに記憶される、
請求項14記載の認証方法。
【請求項16】
前記ファーストパーティはソフトウェアアプリケーションであり、前記セカンドパーティは装置である、
請求項1乃至15のいずれか記載の認証方法。
【請求項17】
前記セカンドパーティは制限されたファーストパーティからなるリストを保持し、
前記セカンドパーティで前記比較の基準を更新するステップと、
前記更新と共に、前記セカンドパーティで、前記ファーストパーティからなるリストのファーストパーティに関するコンプライアンス証明書を含む更新されたコンプライアンス証明書のセットを記憶するステップと、
を含む請求項2乃至16のいずれか記載の認証方法。
【請求項18】
認証手順でパーティとして動作するために構成されるデジタル装置であって、前記認証手順に関わるパーティのコンプライアンスを判定するために証明書が使用され、
当該装置は、時間に関連付けされ、かつ前記認証手順でも使用される比較の基準を保持する第一のメモリエリア、当該装置により認証手順に関わる制限された他のパーティからなるリストを保持する第二のメモリエリア、及び前記リストのパーティに関するコンプライアンス証明書を保持する第三のメモリエリアを有する、
ことを特徴とするデジタル装置。
【請求項19】
当該装置は、より最近の比較基準が利用可能であるとき、前記より最近の比較基準で前記第一のメモリを更新し、前記更新と共に、前記リストのパーティに関するより最近のコンプライアンス証明書で前記第三のメモリを更新するために構成される、
請求項18記載のデジタル装置。
【請求項20】
当該装置は、認証手順に関わるとき、前記現在のパーティで前記他のパーティからなるリストを更新するために構成される、
請求項18又は19記載のデジタル装置。
【請求項21】
ファーストパーティをセカンドパーティに認証するための認証方法であって、
前記ファーストパーティが認証されたかを確認するステップと、
前記ファーストパーティが認証されなかった場合、前記ファーストパーティのアイデンティフィケーションを認証されていないファーストパーティからなるリストを保持するローカルストレージに入力するステップとを含み、
前記確認するステップは、前記ファーストパーティが前記リストのメンバーであるかを確認するステップを含む、
ことを特徴とする認証方法。
【請求項22】
前記ファーストパーティが認証されたかを確認するステップは、
前記ファーストパーティは該ファーストパーティが準拠している場合にのみ認証され、前記ファーストパーティが該ファーストパーティに関するコンプライアンス証明書に従って準拠しているか否かを確認するステップと、
前記コンプライアンス証明書の発行の基準の日付を前記セカンドパーティの比較の基準と比較するステップとを含み、
前記ファーストパーティは、前記発行基準の日付が時代遅れでないことが前記比較により判定された場合にのみ認証される、
請求項21記載の認証方法。
【請求項23】
前記セカンドパーティは、データキャリアから前記比較基準を取得する、
請求項22記載の認証方法。
【請求項24】
請求項1乃至17のいずれか記載の認証方法のステップをデジタル装置に実行させるためのソフトウェアコード部分を含む、前記デジタル装置の内部メモリに直接的にロード可能なコンピュータプログラム。
【請求項25】
請求項21乃至24のいずれか記載の認証方法のステップをデジタル装置に実行させるためのソフトウェアコード部分を含む、デジタル装置の内部メモリに直接的にロード可能なコンピュータプログラム。
【請求項1】
ファーストパーティをセカンドパーティに認証するための認証方法であって、認証が成功した条件で動作が実行され、
前記ファーストパーティが認証されたか否かを確認するステップと、
前記ファーストパーティが認証されなかった場合、前記ファーストパーティにサブの認証について権限を与えるステップとを含み、
前記ファーストパーティが前記サブ認証の権限を有する場合、動作がなお実行される、
ことを特徴とする方法。
【請求項2】
前記確認するステップは、
前記ファーストパーティが該ファーストパーティに関するコンプライアンス証明書に従って準拠するか否かを確認するステップを含み、
前記ファーストパーティは該ファーストパーティが準拠する場合にのみ認証される、
請求項1記載の認証方法。
【請求項3】
前記確認するステップは、
前記コンプライアンス証明書の発行の基準の日付を前記セカンドパーティの比較の基準と比較するステップを含み、
前記ファーストパーティは、前記発行基準の日付が時代遅れでないことが前記比較により判定された場合にのみ認証される、
請求項2記載の認証方法。
【請求項4】
前記ファーストパーティにサブ認証の権限を与えるステップは、前記発行基準の日付と比較基準との前記比較の結果に依存する、
請求項3記載の認証方法。
【請求項5】
前記ファーストパーティにサブ認証の権限を与えるステップは、前記コンプライアンス証明書の発行基準の日付を前記セカンドパーティの比較基準と比較するステップの結果に依存する、
請求項2記載の認証方法。
【請求項6】
前記比較基準は、許容される有効番号のレンジを含む、
請求項4又は5記載の認証方法。
【請求項7】
前記ファーストパーティは、前記発行基準の日付が前記許容される有効番号のレンジのなかの最小の有効番号よりも小さい場合、前記サブ認証について権限が与えられない、
請求項6記載の認証方法。
【請求項8】
前記ファーストパーティが準拠しないことを前記コンプライアンス証明書が示す場合、前記発行基準の日付が前記有効番号のレンジのうちの最大の有効番号よりも高いか又は等しい場合、前記ファーストパーティは、サブ認証について権限が与えられる、
請求項6又は7記載の認証方法。
【請求項9】
前記許容される有効番号のレンジのうちの最大の有効番号は、前記セカンドパーティで記憶される現在の有効番号である、
請求項6乃至8のいずれか記載の認証方法。
【請求項10】
前記許容される有効番号のレンジのうちの最小の有効番号は、前記セカンドパーティで記憶される前の有効番号である、
請求項6乃至9のいずれか記載の認証方法。
【請求項11】
前記ファーストパーティにサブ認証の権限を与えるステップは、前記ファーストパーティが前記サブ認証について権限が与えられた回数と関連付けされるグレースカウンタの値に依存する、
請求項1乃至10のいずれか記載の認証方法。
【請求項12】
前記ファーストパーティがサブ認証について権限を与えたときに前記グレースカウンタをデクリメントするステップを含む、
請求項11記載の認証方法。
【請求項13】
前記コンプライアンス証明書は、グループ証明書である、
請求項2乃至12のいずれか記載の認証方法。
【請求項14】
前記動作はコンテンツにアクセスすることを含む、
請求項1乃至13のいずれか記載の認証方法。
【請求項15】
前記コンテンツは光ディスクに記憶される、
請求項14記載の認証方法。
【請求項16】
前記ファーストパーティはソフトウェアアプリケーションであり、前記セカンドパーティは装置である、
請求項1乃至15のいずれか記載の認証方法。
【請求項17】
前記セカンドパーティは制限されたファーストパーティからなるリストを保持し、
前記セカンドパーティで前記比較の基準を更新するステップと、
前記更新と共に、前記セカンドパーティで、前記ファーストパーティからなるリストのファーストパーティに関するコンプライアンス証明書を含む更新されたコンプライアンス証明書のセットを記憶するステップと、
を含む請求項2乃至16のいずれか記載の認証方法。
【請求項18】
認証手順でパーティとして動作するために構成されるデジタル装置であって、前記認証手順に関わるパーティのコンプライアンスを判定するために証明書が使用され、
当該装置は、時間に関連付けされ、かつ前記認証手順でも使用される比較の基準を保持する第一のメモリエリア、当該装置により認証手順に関わる制限された他のパーティからなるリストを保持する第二のメモリエリア、及び前記リストのパーティに関するコンプライアンス証明書を保持する第三のメモリエリアを有する、
ことを特徴とするデジタル装置。
【請求項19】
当該装置は、より最近の比較基準が利用可能であるとき、前記より最近の比較基準で前記第一のメモリを更新し、前記更新と共に、前記リストのパーティに関するより最近のコンプライアンス証明書で前記第三のメモリを更新するために構成される、
請求項18記載のデジタル装置。
【請求項20】
当該装置は、認証手順に関わるとき、前記現在のパーティで前記他のパーティからなるリストを更新するために構成される、
請求項18又は19記載のデジタル装置。
【請求項21】
ファーストパーティをセカンドパーティに認証するための認証方法であって、
前記ファーストパーティが認証されたかを確認するステップと、
前記ファーストパーティが認証されなかった場合、前記ファーストパーティのアイデンティフィケーションを認証されていないファーストパーティからなるリストを保持するローカルストレージに入力するステップとを含み、
前記確認するステップは、前記ファーストパーティが前記リストのメンバーであるかを確認するステップを含む、
ことを特徴とする認証方法。
【請求項22】
前記ファーストパーティが認証されたかを確認するステップは、
前記ファーストパーティは該ファーストパーティが準拠している場合にのみ認証され、前記ファーストパーティが該ファーストパーティに関するコンプライアンス証明書に従って準拠しているか否かを確認するステップと、
前記コンプライアンス証明書の発行の基準の日付を前記セカンドパーティの比較の基準と比較するステップとを含み、
前記ファーストパーティは、前記発行基準の日付が時代遅れでないことが前記比較により判定された場合にのみ認証される、
請求項21記載の認証方法。
【請求項23】
前記セカンドパーティは、データキャリアから前記比較基準を取得する、
請求項22記載の認証方法。
【請求項24】
請求項1乃至17のいずれか記載の認証方法のステップをデジタル装置に実行させるためのソフトウェアコード部分を含む、前記デジタル装置の内部メモリに直接的にロード可能なコンピュータプログラム。
【請求項25】
請求項21乃至24のいずれか記載の認証方法のステップをデジタル装置に実行させるためのソフトウェアコード部分を含む、デジタル装置の内部メモリに直接的にロード可能なコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2008−502195(P2008−502195A)
【公表日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願番号】特願2007−514305(P2007−514305)
【出願日】平成17年5月30日(2005.5.30)
【国際出願番号】PCT/IB2005/051758
【国際公開番号】WO2005/119398
【国際公開日】平成17年12月15日(2005.12.15)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願日】平成17年5月30日(2005.5.30)
【国際出願番号】PCT/IB2005/051758
【国際公開番号】WO2005/119398
【国際公開日】平成17年12月15日(2005.12.15)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]