マルチチャネル・シリアル通信インターフェース上の専用暗号化仮想チャネル
マルチチャネル・シリアル通信インターフェース(14)によってサポートされる複数の仮想チャネルのうちの専用の暗号化仮想チャネルを使用して、通信インターフェース(14)を介してデータを通信するためのデータ処理システム、回路装置および方法が提供される。専用暗号化仮想チャネルの暗号化は、暗号化が比較的に低いレベルで、特にチップ境界に沿った漏洩からの実質的な保護を伴って実施され得るように、インターフェースに結合されたハードウェア暗号化回路(34)によって提供される。ある特定の適用例では、受信されたデジタル・データ・ストリームに対するアクセス制御を提供するための1つのチップ(148)を、そうすることを許可されるとデジタル・データ・ストリームを処理するために使用される別のチップ(150)とともに利用するマルチチップ・アクセス制御方式を使用して、デジタル・データ・ストリームのためにアクセス制御が提供され得る。複数のチップ間の安全なマルチチャネル・シリアル通信インターフェースは、アクセス制御チップ(148)上に配置されたハードウェア暗号化論理(162)を使用して、アクセス制御チップ(148)上で解読されたデジタル・データ・ストリームを再び暗号化し、マルチチャネル・シリアル通信インターフェースによってサポートされた専用暗号化仮想チャネルを介して、再暗号化されたデジタル・データ・ストリームを通信し、もう一方のチップ(150)上に配置されたハードウェア解読論理(164)を使用して、再暗号化されたデジタル・データ・ストリームを解読する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般には、データ通信およびデータ暗号化に関する。詳細には、本発明は、マルチチャネル・シリアル通信インターフェースを介して通信されるデータの暗号化に関する。
【背景技術】
【0002】
セキュリティ管理は、無許可のアクセスからデジタル・データを保護するためにますます重要になってきた。多くの場合において、セキュリティ管理は、意図された受信者だけが情報を見ることができるように、セキュリティ保護された通信の機密性を維持するために使用される。さらに、セキュリティ管理は、映画、音楽、テレビ放送などのデジタル・コンテンツへのアクセスを制限するためのデジタル著作権管理との関連においても、極めて重要になってきた。
【0003】
様々なセキュリティ管理方式が現在存在する。その多くは、受信者だけがデータを暗号化し、そこから情報を取得することができるように、受信者に通信する前にデジタル・データを有効にスクランブルする暗号化アルゴリズムを使用する。しばしば暗号化は、許可された受信者だけがスクランブルされたデータを解読できるように、デジタル証明書、公開鍵基盤(PKI:Public Key Infrastructure)などに関連して使用される。
【0004】
セキュリティ管理はしばしば、様々な異なるタイプの通信インターフェースにとって必要である。例えば、セキュリティ管理をシリアル通信インターフェース内に組み込むことが望まれ得る。このシリアル通信インターフェースは、送信側と受信側のモード、またはシリアル相互接続に結合されたエンドポイント間のポイント・ツー・ポイントのやり方でデータを通信するために、高パフォーマンスおよび高帯域幅のアプリケーションにおいてますます使用されている。ユニバーサル・シリアル・バス(USB)、IEEE−1394およびPCIエクスプレスなどの様々なプロトコルは、様々なコンピューティング・アプリケーション向けに開発されてきた。
【0005】
上述のシリアル通信インターフェース規格の多くは、数ある特徴の中でも特に、一般にオーディオおよびビデオ・データ・ストリームなどの時間依存データのアイソクロナス伝送をサポートするために、複数のチャネルからのデータ・ストリームを単一のシリアル・インターフェース上に多重化する概念をサポートする。例えば、PCIエクスプレス規格は、こうしたチャネルがエンドポイント間で確立されることを可能にして、複数のデータ・ストリームを単一の相互接続上で多重化できるようにする仮想チャネルの概念を明示的にサポートする。
【0006】
PCIエクスプレス規格は、周辺構成要素をコンピュータ内の中央処理複合システム(central processing complex)に接続するために従来使用されてきたPCI規格に取って代わる技術としての適用性を見出すと見込まれる。さらに、PCIエクスプレス規格は、コンピュータ、ならびにセット・トップ・ボックスやDVDプレーヤなどの他のデータ処理システム内の複数の他の相互接続技術に取って代わるために最終的に使用することもできる。
【0007】
すべての通信インターフェースと同様に、PCIエクスプレス互換のシリアル相互接続は、暗号化されたデータを送信することができる。しかし、この規格には、データ暗号化のための明示的なサポートは存在しない。代わりに、データは一般に、PCIエクスプレス互換インターフェースに渡されるとオペレーティング・システムまたはアプリケーションソフトウェアによって既に暗号化されているように、ソフトウェア指示の下で暗号化される。
【0008】
しかし、ソフトウェアを使用してシリアル相互接続を介した通信のためのデータを暗号化することには、複数の欠点がある。まず第1に、ソフトウェア・ベースの暗号化および解読は、かなりのシステム・リソースを消費し得る。さらに、複数の集積回路またはチップを使用して任意のコンピュータまたはデータ処理システムが実装される場合、解読されたデータがチップの境界に沿って、すなわちパッケージ内またはチップ・ボード上で2つの集積回路またはチップを互いに接続する経路に沿って露出され得る可能性がある。
【0009】
シリアル相互接続を介して通信されるデータをセキュリティ保護することに関連する潜在的な落し穴は恐らく、デジタル著作権管理の文脈において最もよい例が示される。メディアおよび娯楽業界は、例えば、コンテンツ・プロバイダの許可なしにコンテンツにアクセスしようとするハッカーからコンテンツを保護しようと試みるのにかなりの量のリソースを費やす。コピー防止は、コンテンツの無許可コピー行為を防止するためにコンテンツ・プロバイダおよび販売元によって使用される重要なツールになってきた。さらに、映画、テレビ番組、音楽などのコンテンツがデジタル形式に移行するのにつれて、デジタル・コピーはしばしばその元のコンテンツと品質が同じであるため、無許可コピー行為のリスクが高まってきた。したがって、無許可アクセスからデジタル・コンテンツを保護するやり方の重大な必要性が存在している。
【0010】
デジタル・コンテンツを再生するために使用される電子装置の多くは、コンテンツを許可されたユーザだけが見ることができるようにするために、アクセス制御技術を組み込む必要がある。例えば、直接放送衛星(DBS:Direct Broadcast Satellite)セット・トップ・ボックスおよび受信機は一般に、許可された加入者だけがDBS衛星からのコンテンツ放送を見ることができるようにするために、アクセス制御技術を組み込む。同様に、DVDプレーヤ、ゲーム・システムなどは一般に、DVDディスク上の圧縮されたデータ・ストリームがその上に格納されたデジタル・コンテンツのコピーを作成するために使用され得ないようにするために、アクセス制御技術を組み込む。さらに、多くのDVDは、特定の地理的領域で販売されるDVDプレーヤがその地理的領域内でのみ使用するためのDVDディスクを再生できるようにするために、地域符号化を組み込む。
【0011】
セット・トップ・ボックス、DVDプレーヤなどはしばしば、複数の集積回路またはチップを含めて埋込み型電子機器を使用する。さらに、こうしたアプリケーション内で処理されなければならないデータ量はしばしばかなりの量であり、よって比較的に高い帯域幅のデータ通信能力を必要とする。こうした装置のコストを最小限に抑える必要性を考慮すると、処理リソースはしばしば限られ、したがって、デジタル・データ・ストリームの暗号化および/または解読の実施に付随するオーバヘッドを最小限に抑えることが望ましい。さらに、こうした装置内で使用される複数の集積回路またはチップは、チップ間で広がる導電性の信号経路に沿ったそのチップ間のデータの流れを単に監視することによって、デジタル・コンテンツの無許可アクセスのための潜在的な道が提示される。
【0012】
集積回路が製造されるやり方のせいで、集積回路の内部のデータ・フローを検出することは、少なくとも集積回路と他の装置の間のデータ・フローを検出することに比べて極めて難しい。このため、複数のチップ間で暗号化されていないデジタル・コンテンツを通信しないようにすることがしばしば望まれる。
【0013】
暗号化されていないデジタル・コンテンツをチップ間で通信しないようにする1つのやり方は、デジタル・データ・ストリームを復号し、圧縮解除するために使用されるものと同じチップ上にアクセス制御機能を組み込むことである。一例として、DBS衛星によってブロードキャストされ、DVDメディア内に格納されたデジタル・コンテンツはしばしば、MPEGと呼ばれる規格によって符号化される。MPEG規格を使用して符号化されたデジタル・コンテンツは、格納および帯域幅の要件を最小限に抑えるために大きく圧縮される。しかし、テレビ上に表示する前に、MPEGデータ・ストリームは復号され、圧縮解除されなければならない。しかし、その結果生じる復号されたデータは一般に、コピーできないほど大量であり、MPEGエンコーダを使用した再圧縮を少なくとも必要とし、この再圧縮は、品質を劣化させ、結果として生じるコピーを元のコンテンツよりも劣ったものにする。
【0014】
DBS衛星によって通信され、DVDメディア内に格納されたMPEGデータ・ストリームは一般に、許可された装置だけが消費者への表示のためにMPEGデータを解読できるようにするために、アクセス制御データによって暗号化され保護される。
【0015】
したがって、テレビまたは他の表示装置にブロードキャストされたMPEGデータ・ストリームの変換プロセスは一般に、2つの別個のステップを伴う。第1に、セット・トップ・ボックスまたはDVDプレーヤがコンテンツを見ることを許可されていると判断されると、MPEGデータ・ストリームを解読するために、アクセス制御機能が必要とされる。この解読操作の結果は、解読済みMPEGデータ・ストリームである。第2の操作は、解読されたMPEGデータ・ストリームを取り、そのデータ・ストリームを復号し、展開して、テレビまたは他の表示装置への出力のためのオーディオおよび/またはビデオ・データを生成するMPEG復号である。
【0016】
その2つの操作の中間にある解読済みデータ・ストリームは一般に、元のコンテンツの圧縮された、完全なコピーである。したがって、この解読済みデータ・ストリームへのアクセスを防ぐために、システム設計者の従来の戦略は、同じ集積回路上にアクセス制御論理とMPEGデコーダ論理を組み込むことであった。
【0017】
同じ集積回路上にアクセス制御とMPEG復号を組み込むことは、セキュリティの面では複数の利点を提供するが、ビジネス面では複数の欠点がある。まず、MPEG規格は、上述のDVDおよびDBS技術を含めて、様々な異なる技術に関連して使用される。こうしたそれぞれ異なる技術のすべてには、様々な異なるアクセス制御機構が必要である。DBS技術では、例えば、個々の加入者(すなわちセット・トップ・ボックスの所有者)は、認証されなければならない。しかし、DVD技術では、必要になるのは一般に地域アクセス制御である。したがって、それぞれ異なるアプリケーションで使用されるアクセス制御論理は、大きく異なり得る。
【0018】
同じ集積回路上でアクセス制御論理回路をMPEG復号回路と統合することは、技術的にはいくらか些細なことであるが、コストの面では、そうすることは非常に費用がかかることである。高パフォーマンスの集積回路設計は、製造での使用に適したマスクを開発することに付随するコストのせいで、極めて高い立上げコストがかかり得る。半導体業界は一般に、それぞれのチップ設計についての比較的に高い立上げコストを回収するために、量の多さに依存する。したがって、既存の回路設計を代替のアクセス制御回路を組み込むように適応させても、極めて高価な努力であり得る。
【0019】
経済面から見ると、アクセス制御論理を復号論理から分離し、複数のチップを使用して別個の機能を実施すると、コスト効果が実質上さらに高くなる。具体的には、アクセス制御回路はしばしば、比較的に単純な回路を使用して実装され得る。さらに、シリアル相互接続の比較的に高い帯域幅能力などを考慮すると、PCIエクスプレス互換相互接続などの高速シリアル相互接続を使用して、アクセス制御チップと復号チップの間でデータ・ストリームが通信され得る。
【0020】
複数のタイプのアクセス制御チップとインターフェースさせることができる共通のMPEGデコーダ・チップを使用して、MPEGデコーダ・チップを様々なアプリケーションで使用できるようにすることは、多くの場合で非常に望ましい。しかし、解読済みデータ・ストリームを傍受するハッカーに起因する正当な懸念を考慮すると、マルチチップの実装は、許容できる代替方法であると見なされていない。
【発明の開示】
【発明が解決しようとする課題】
【0021】
したがって、集積回路間のデジタル・データ通信に関連して使用されるシリアルおよび他の相互接続などを含めた高速通信インターフェースを介したセキュリティ管理を提供するよりコスト効果の高いやり方が、当技術分野で大いに求められている。さらに、デジタル・コンテンツ保護に関連してアクセス制御を実施するよりコスト効果の高いやり方が、当技術分野で大いに求められている。
【課題を解決するための手段】
【0022】
本発明は、データが、通信インターフェースによってサポートされた複数の仮想チャネルのうちの専用の暗号化仮想チャネルを使用して、マルチチャネル・シリアル通信インターフェースを介して通信されるデータ処理システム、回路装置、および方法を提供することによって、従来技術に関連するこうしたおよび他の問題に対処する。専用暗号化仮想チャネルの暗号化は、暗号化が比較的に低いレベルで、特にチップ境界に沿った漏洩(compromise)からの実質的な保護を伴って実施され得るように、インターフェースに結合されたハードウェア暗号化回路によって提供される。一般に、追加の仮想チャネルは、暗号化されていないデータ(および/またはソフトウェアなど他の機構を介して暗号化されたデータ)をサポートすることができ、したがって暗号化および非暗号の両方のデータが、比較的に効率的な、コスト効果の高い、安全なやり方で共通インターフェースを共有できるようにする。
【0023】
本発明による複数の代替実施形態が想定されるが、本発明のある特定の適用例は、例えば、直接放送衛星(DBS)受信機、DVDプレーヤなどのデータ処理システム内のデジタル・コンテンツの地域および/または加入者ベースのアクセス制御をサポートするため、デジタル・データ・ストリームのためのアクセス制御を提供することに関連する。従来の単一チップ・アクセス制御方式とは異なり、本発明による実施形態は、受信されたデジタル・データ・ストリームに対するアクセス制御を提供するための1つのチップを、そうすることを許可されるとデジタル・データ・ストリームを処理するために使用される別のチップとともに利用するマルチチップ・アクセス制御方式を使用することができる。複数のチップ間の安全なマルチチャネル・シリアル通信インターフェースは、アクセス制御チップ上に配置されたハードウェア暗号化論理を使用して、アクセス制御チップ上で解読されたデジタル・データ・ストリームを再び暗号化し、マルチチャネル・シリアル通信インターフェースによってサポートされた専用暗号化仮想チャネルを介して再暗号化デジタル・データ・ストリームを通信し、もう一方のチップ上に配置されたハードウェア解読論理を使用して、再暗号化されたデジタル・データ・ストリームを解読する。
【0024】
したがって、デジタル・データ・ストリームは、チップ境界を渡る無許可アクセスからセキュリティ保護されたままであるが、アクセス制御機能は、デジタル・データ・ストリームを最終的に使用する機能から物理的に分離され得る。本明細書で述べるアーキテクチャは、他の利点もあるが特に、マルチチップ設計で使用される個々のチップの開発および製造に関してかなりのコストを節約し得る。
【0025】
本発明を特徴付けるこうしたおよび他の利点および特徴について、それに添付され、またそのさらなる部分を形成する特許請求の範囲において述べる。しかし、本発明、ならびにそれを使用することによって達成される利点および目的をよりよく理解するために、図面、および本発明の例示的な実施形態について述べている添付の説明内容を参照されたい。
【発明を実施するための最良の形態】
【0026】
本明細書中で以下に論じる諸実施形態は、専用の暗号化仮想チャネルを、PCIエクスプレス互換相互接続などのマルチチャネル・シリアル通信インターフェース内に組み込む。本発明によるマルチチャネル・シリアル通信インターフェースは一般に、共通のシリアル通信パスを共有する複数の「仮想」チャネルの概念を取り入れる。多くのプロトコルにおいて、仮想チャネルは、例えば時間ベースの多重化を使用して、共通のシリアル通信パス上で多重化される。例えば、PCIエクスプレス互換通信インターフェースでは、「アイソクロナス」チャネルと称される複数の仮想チャネルがサポートされ、こうした複数のチャネルは、適切に定義されたプロトコルを介して個々に確立され構成されることができる。
【0027】
本発明によれば、シリアル通信インターフェースの仮想チャネルのうちの1つまたは複数は、「専用」の暗号化仮想チャネルとして構成され得る。本発明による専用の暗号化仮想チャネルは一般に、マルチチャネル・シリアル通信インターフェースを介して通信するために使用されるインターフェース回路として同じ集積回路またはチップ上に配置された、ハードウェア・ベースの暗号化および/または解読論理を使用する。さらに、このハードウェア・ベースの論理は、専用暗号化仮想チャネルを介して通信されるすべてのデータが例えばインターフェース回路と暗号化/解読論理の間の直接信号パスを介して暗号化されるように、インターフェース回路に結合される。したがって、専用暗号化仮想チャネルを介して通信されるデータの暗号化をバイパスしまたはディセーブルできないことが、多くの実施形態において望まれる。
【0028】
マルチチャネル・シリアル通信インターフェース上の他の仮想チャネルは暗号化されることも、暗号化されないこともあり、また暗号化は、たとえあるとしてもハードウェアおよび/またはソフトウェア内で実施され得ることが理解されよう。さらに、専用暗号化仮想チャネルを介して通信されたデータは常に暗号化されているが、専用暗号化仮想チャネルの確立に関連する他のデータ、例えば設定データ、制御データ、許可データ、公開鍵などは、暗号化するやり方でも、暗号化しないやり方でも別の仮想チャネルを介して通信することができる。
【0029】
本発明は、PCIエクスプレス互換インターフェース以外のマルチチャネル・シリアル通信インターフェースに関連して使用され得ることも理解されよう。したがって、本明細書中に以下で述べる諸実施形態は、PCIエクスプレス・インターフェースに関連する本発明のある特定の適用例に焦点を当てるが、本発明は、それに限定されない。
【0030】
一般に、本明細書中に以下で論じるハードウェア・ベースの機能のいずれもが、1つまたは複数の集積回路またはチップ内に組み込まれ、また任意選択で追加の補助電子構成部品を含む回路装置内で一般に実装されることが理解されよう。さらに、当技術分野では周知のように、集積回路は一般に、デバイス上の回路装置の配置を定義する、ハードウェア定義プログラム・コードとここでは称される1つまたは複数のコンピュータ・データ・ファイルを使用して一般に設計され製造される。プログラム・コードは一般に、設計ツールによって生成され、次いで、半導体ウエハに適用される回路装置を定義するレイアウト・マスクを作成するために製造時に使用される。一般にプログラム・コードは、VHDL、Verilog、EDIFなどのハードウェア定義言語(HDL)を使用して、事前に定義された形式で提供される。本発明について、それを使用して完全に機能する集積回路およびデータ処理システム上で実装された回路装置の文脈において上記および以下に説明してあるが、本発明による回路装置は、様々な形のプログラム製品として配布されることもでき、また本発明は、その配布を実際に実施するために使用された信号担持媒体の特定のタイプに関係なく同様に適用されることが当業者は理解されよう。信号担持媒体の例には、それだけに限定されないが、特に挙げると、揮発性および不揮発性のメモリ装置、フロッピーおよび他の取出し可能ディスク、ハード・ディスク・ドライブ、磁気テープ、光ディスク(CD−ROM、DVDなど)などの記録可能なタイプの媒体、ならびにデジタルおよびアナログ通信リンクなどの伝送タイプの媒体が含まれる。さらに、本発明による一部の実施形態では、本明細書で論じるハードウェア・ベースの機能の一部を実装するために、FPGAなどの他の集積回路技術を使用することもできる。
【0031】
次に図面に移るが、図面では、同じ番号によって、複数の図を通じて同様の部分を示してある。図1に、本発明による専用暗号化仮想チャネルを含むマルチチャネル・シリアル通信インターフェースを組み込む例示的なデータ処理システム10を示す。データ処理システム10は、マルチチャネル・シリアル相互接続14を介して周辺装置16に結合されたホスト装置12を含む。装置12、16は、様々な実施形態において、同じ集積回路上に配置されることも、異なる集積回路上に配置されることもあり、また別個の回路基板、パッケージ、筐体上などに配置することもできる。さらに、本発明に従って、他の装置が、マルチチャネル・シリアル相互接続に結合され得ることが理解されよう。図示する実施形態では、相互接続14は、PCIエクスプレス互換の相互接続である。したがって、装置12、16は、ポイント・ツー・ポイント接続によって結合されることができ、または装置12、16間で、例えばブリッジやスイッチなどの中間装置を使用することもできる。
【0032】
この例示的な設計では、ホスト装置12はプロセッサ18およびメモリ20を含むように示されており、周辺装置16は、周辺装置上に存在し得る様々な論理回路を表す複数の論理ブロック22、24、26、28を含むように示されている。業界用語によれば、これらの論理ブロックは、集積回路上で他の回路と組み合わされ得る自己完結型の設計を表す知的財産(IP:intellectual property)ブロックと称される。しかし、事実上任意の論理回路が、本発明に従ってホスト装置12または周辺装置16上に配置され得ることが理解されよう。
【0033】
この例示的なデータ処理システムでは、セキュリティ保護されたデータを周辺装置16からホスト装置12に通信するのに適した例示的な構成が示されている。それぞれの装置12、16はマルチチャネル・シリアル・エンドポント回路30、32を含み、この回路30、32は、マルチチャネル・シリアル相互接続14を介して複数の仮想チャネル(例示するため、図1にチャネル0〜2が示されている)を多重化するように構成される。PCIエクスプレスのプロトコルを使用したデータ処理システム10の実装を考慮すると、回路30、32はそれぞれ、標準のPCIエクスプレス互換のIPブロックを含み得る。しかし、他の設計では、カスタマイズされたエンドポイント回路が、代替方法として使用され得る。
【0034】
データ処理システム10は、データを周辺装置16からホスト装置12に安全なやり方で通信するために、ここでは仮想チャネル1である専用暗号化仮想チャネルの概念をサポートする。この点で、周辺装置16は、チャネル1相互接続または入力をエンドポイント32に結合するように構成されたハードウェア暗号化論理34を含む。一般に暗号化論理34は、直接信号パスを介してエンドポイント32のチャネル1相互接続に結合されており、またチャネル1相互接続との唯一の接続であり、したがってマルチチャネル・シリアル相互接続のチャネル1を介して暗号化されたデータだけが通信されるようにする。
【0035】
対応するハードウェア・ベースの解読論理回路36は、装置12内に配置され、またエンドポイント30のチャネル1相互接続または出力に結合される。したがって、解読論理36は、マルチチャネル・シリアル相互接続の仮想チャネル1を介して送信された任意の暗号化データを解読する。さらに、メモリ20内への共通の経路を提供するため、解読論理36の出力、および他の任意の仮想チャネルをメモリ20に結合するためにマルチプレクサ38が提供される。
【0036】
本発明による専用暗号化仮想チャネルを実装するために、暗号化論理34および解読論理36は、例えばPKI、RSA DESおよびトリプルDESなどを含めて事実上どんな暗号化/解読アルゴリズムをもサポートするように設計され得る。アクセスまたは制御データ、および/あるいは公開鍵情報などの追加のデータは、専用暗号化仮想チャネル、または代替方法として別のチャネルを介して、ブロック34、36のいずれにも通信され得ることが理解されよう。
【0037】
例えば、仮想チャネル0は、制御およびアクセス情報を通信するための既定のチャネルであり得る。したがって、各IPブロック22、24、26および28がホスト装置によって、例えばプロセッサ18によって仮想チャネル0を介して発行されたコマンドを用いて適切に構成される能力をサポートするために、各IPブロックをチャネル0に結合することが望まれ得る。さらに、例えば解読論理36のための公開鍵を暗号化論理34に転送することによって専用暗号化仮想チャネルを確立することができるように、(例えば図1に示す書込み専用パスを介して)チャネル0を暗号化論理34にさらに結合することが望まれ得る。
【0038】
この例示的な実施例では、複数の変形体が示されている。例えば、上述したように、仮想チャネル0は既定のチャネルとして確立されることができ、仮想チャネル1は、暗号化されたデータだけを通信するための専用暗号化仮想チャネルとして確立され得る。一方、チャネル2は、要望に応じて暗号化および/または非暗号化データを運ぶことができる従来の仮想チャネルであり得る。
【0039】
さらに、IPブロック22、24、26および28が様々であることから、装置16内の論理ブロックは、それぞれ異なる機能をサポートするために、それぞれ異なるチャネルに結合され得ることが見て分かる。例えばIPブロック22は、通信が既定のチャネル0だけに制限される通常のベスト・エフォート型の装置であると見なされ得る。一方、IPブロック24は、単に暗号化論理34に結合され、したがって、ブロック24と装置12の間の通信だけが、暗号化仮想チャネルを介して行われる。ブロック24は、仮想チャネル0に結合されるものとしても示されているが、しかし、アクセス制御確立へのアクセスを、例えば公開鍵を交換し、またはホスト装置が選択的にブロックをイネーブルできるようにすることに制限することが多くの実施形態において望まれ得る。したがって、一部の実施形態では、IPブロック24が仮想チャネル0を介してデータを通信することができないように、仮想チャネル0からIPブロック24への単方向のパスだけを提供することが望まれ得る。
【0040】
ブロック26は、専用暗号化仮想チャネル1または仮想チャネル2を介して選択的に通信することができる論理回路を示している。同様に、ブロック28は、単に仮想チャネル2を介して、また暗号化論理34を介した暗号化を使用せずにデータを転送する論理回路を示している。複数の論理ブロックによる仮想チャネル2の使用をサポートするために、40に示すマルチプレクサ、または他のルーティング論理が代替方法として使用され得る。
【0041】
図1に示す構成内で、また従来のPCIエクスプレスIPブロックを使用する各インターフェース回路30、32では、専用暗号化仮想チャネルを実装するのに必要なすべてのペイロード修正が回路30、32の外部で実施され得ることが理解されよう。したがって、専用暗号化仮想チャネルは、PCIエクスプレス規格の修正なしに実装され得る。
【0042】
専用暗号化仮想チャネルを確立するために、仮想チャネルは、仮想チャネルを確立するためのPCIエクスプレス・プロトコルに従って初期化されなければならない。適切な数の仮想チャネルを初期化し、また暗号化を初期化し、専用暗号化仮想チャネルを介した暗号化データ・ストリームの解読を許可するのに適した論理の実装は、本開示の利益を得る当業者の能力の十分範囲内であることが理解されよう。本発明によるマルチチャネル・シリアル相互接続は、任意の特定の適用例に望まれ得るように、任意の数の仮想チャネルおよび任意の数の専用暗号化仮想チャネルを使用し得ることも理解されよう。
【0043】
本発明による専用暗号化仮想チャネルでは、仮想チャネルを介して通信されるすべてのデータが暗号化される。アクセス制御に関連して公開鍵が使用される実装では、こうした公開鍵は時々更新されることができ、また一部の実施形態ではそれぞれ異なる暗号化方式が選択され得ることが理解されよう。しかし、特定の専用チャネル上で回避され得ない既定の暗号化スキームを組み込むことが、多くの実施形態において望まれる。そうすることによって、また非暗号化データ(またはソフトウェアを用いて暗号化されているデータ)を通信するために追加のチャネルを提供することによって、共通のバス・リソースを複数の使用で共有することができ、しばしばコストが下げられ、またデータのどの部分が暗号化されるかについて柔軟性を高めることができる。さらに、以下でさらに明らかになるように、マルチチャネル・シリアル相互接続のエンドポイントが別個の集積回路上に配置される場合、暗号化されたデータの安全性は、大幅に改善される。
【0044】
専用暗号化仮想チャネルの暗号化は、マルチチャネル・シリアル相互接続を介して通信されるデータを符号化し、または別の方法で修正する他のやり方を補うものであり得ることも理解されよう。例えば、PCIエクスプレス・プロトコルは、主として、広い周波数範囲に渡って生成される電気ノイズのスペクトラムを拡散し、それによってピーク放射を低減させるために、リンクを介して通信されるすべてのデータをスクランブルする。この形のスクランブルは、暗号化の1つの形と見なされ得るが、このスクランブルの目的はデジタル著作権を保護することではなく、また復号アルゴリズムが公知であることを考慮すると、復号は、実際に比較的に容易である。したがって、本明細書で述べたやり方のチャネル固有の暗号化によって、標準によって他の方法で提供されるよりも遥かに大きいPCIエクスプレス環境の安全性がもたらされる。
【0045】
本明細書に従って、様々な代替設計が使用され得る。例えば、図2〜5に示すように、IPブロックは、多くの代替のやり方でマルチチャネル・シリアル・エンドポイントに結合され得る。例えば、図2に示すように、集積回路50は、複数の仮想チャネル54、56、58および60を含むマルチチャネル・シリアル・エンドポイント52を含み得る。仮想チャネル56および58は、専用暗号化仮想チャネルとして構成することができる。IPブロック62は、上述のやり方で仮想チャネル56を介して暗号化データを通信するために、暗号論理64を介して仮想チャネル56に結合され得る。同様に、暗号化仮想チャネル58は、IPブロック66による消費のために、シリアル相互接続から暗号化データを受信することができ、暗号化データ・ストリームの解読が解読論理68によって提供される。したがって、暗号化と解読の両方が同じ集積回路上でサポートされ得ることが見て分かる。
【0046】
仮想チャネル56、58は性質上単方向のものとして示されているが、本発明による仮想チャネルは、性質上双方向のものとすることもできることが理解されよう。図3に示すように、例えば、集積回路70は、複数の仮想チャネル74、76および78をサポートするマルチチャネル・シリアル・エンドポイント72を含み得る。仮想チャネル76は、性質上双方向のものである専用暗号化仮想チャネルとして構成され得る。したがって、IPブロック80は、暗号化データの生成側と消費側の両方であり得る。こうした機能をサポートするために、暗号化論理82が、シリアル相互接続に向けられた発信データを暗号化するために、ブロック80とエンドポイント72の中間に配置され得る。同様に、着信暗号化データのために、解読論理84が、IPブロック80とエンドポイント72の中間に結合され得る。
【0047】
上記でも述べ、また図4でさらに示すように、集積回路上に配置されたIPブロックは、複数の仮想チャネルを介して通信することが可能であり得る。図4の集積回路90は、例えば、複数の仮想チャネル94、96および98をサポートするマルチチャネル・シリアル・エンドポイント92を含み、仮想チャネル94は非暗号化チャネルであり、仮想チャネル96は専用の暗号化チャネルである。IPブロック100は、チャネル94、96のいずれかを介して、IPブロック100とエンドポイント92の間に配置された、102で表す暗号化および/または解読論理と通信して、専用暗号化仮想チャネルを介して通信される暗号化データの暗号化および/または解読をサポートし得る。
【0048】
さらに、図5に示すように、複数のIPブロックは、所与の専用仮想チャネルを共有することができる。例えば図5の集積回路110は、複数の仮想チャネル114、116および118をサポートするマルチチャネル・シリアル・エンドポイント112を示している。仮想チャネル116は専用暗号化仮想チャネルとして構成され、複数のIPブロック120、122は、こうしたブロックとの安全なデータ通信を円滑に進めるために、暗号化および/または解読論理124を介して仮想チャネル116に結合される。任意選択のマルチプレクサ126または他のスイッチング論理を使用して、複数のIPブロックを、本発明による暗号化仮想チャネルとインターフェースさせることができる。
【0049】
次に図6に、DBSセット・トップ・ボックスまたは受信機130などのデータ処理システム内でアクセス制御を提供する際に使用するための、本明細書で述べるマルチチャネル・シリアル相互接続のある特定の適用例を示す。従来のDBSセット・トップ・ボックスと同様に、134で総称的に表されたパラボラ・アンテナから、一般にはLNBダウン・コンバータから受信された衛星信号を復調するために、チューナ/復調装置論理132がセット・トップ・ボックス内に設けられる。DBS放送信号は、デジタル・データ・ストリームに復調され、このデジタル・データ・ストリームは、アクセス制御を提供し、またデジタル・データ・ストリームへの無許可アクセスを防止するために暗号化される。この暗号化されたデータ・ストリームは、ここではプロセッサ・チップセット136で表されるセット・トップ・ボックスのコントローラに提供される。チップ・セット136は、メモリ138、ならびにビデオ表示および/または外部オーディオ回路を駆動するために使用されるオーディオ/ビデオ出力回路140にさらに結合される。さらに、例えばフロント・パネル・ボタンおよび/またはリモート制御を介したユーザ入力は、142で総称的に表されたユーザ入力回路によってプロセッサ・チップセット136に提供される。さらに、アクセス制御機能は、アクセスの使用、または146で表されたアクセス・カード・コネクタによってプロセッサ・チップセットに結合されたスマート・カード144を介してサポートされる。
【0050】
当技術分野では周知のように、DBSセット・トップ・ボックスには従来、特定の加入者のための加入設定に従って個々の装置を別個に許可することを可能にするために、スマート・カード・コネクタが設けられている。アクセス・カードは一般に、許可が注意深く監視され制御され得るように、特定の加入者アカウントに関連付けられる。
【0051】
上述したように、従来のDBSセット・トップ・ボックスの設計は一般に、同じ集積回路上に、アクセス制御と、DBS衛星信号の復号の両方を組み込む。それとは異なり、セット・トップ・ボックス130、具体的にはプロセッサ・チップセット136は1対の集積回路148、150を使用し、集積回路148はアクセス制御論理を提供し、集積回路150は、デコーダ論理、ならびにセット・トップ・ボックスの全体的な動作を管理するための追加の処理および制御論理を提供する。本発明によれば、専用暗号化仮想チャネルを組み込むマルチチャネル・シリアル相互接続152は、集積回路148、150を互いに結合する。以下で論じるように、DBS放送信号を表すデジタル・データ・ストリームは、集積回路148、150間のチップ境界に沿ってデジタル・データス・ストリームを保護するために、暗号化されたやり方でチップ間で通信される。
【0052】
具体的には、図7により詳細に示すように、マルチチャネル・シリアル相互接続152は、PCIエクスプレス相互接続として構成されることができ、例示するため4つの仮想チャネルが図示されている。仮想チャネル0は、集積回路148、150間の様々な動作を制御し、例えば任意の専用暗号化仮想チャネルについてのアクセス制御を確立するための暗号化されていないデータを通信するのに必要な既定の固定チャネルであり得る。仮想チャネル1は固定の専用暗号化仮想チャネルとして示されており、仮想チャネル2および3は、それぞれ異なる適用例において望まれ得るように暗号化され、または暗号化されないデータを通信するように構成され得る柔軟なチャネルとして示されている。複数のチャネルをサポートするために、集積回路150は、仮想チャネル・データを各チップ上の他の論理回路と通信するための少なくとも4つのチャネル相互接続のサポートを含むPCIエクスプレス・シリアル・インターフェース回路154、156を含む。
【0053】
許可されたDBS番組の安全な受信をサポートするために、集積回路148は、セット・トップ・ボックスに望まれるアクセス制御機能を実施する加入者固有の解読論理ブロック158を含む。同様に、圧縮されたデータ・ストリームを展開されたオーディオおよび/またはビデオ・データに復号することをサポートするために、集積回路150は、MPEGデコーダ論理ブロック160を含む。
【0054】
集積回路148、150間のチップ境界が安全であることを保証するために、データ・ストリーム(ここでは解読済みであるが圧縮されたMPEGデータのデータ・ストリームである)が、専用暗号化仮想チャネル1を介して通信され、この点で、プラットフォーム固有の暗号化および解読論理162、164が、各集積回路148、150上にそれぞれ配置される。適切なアクセス制御を確立し、また集積回路148、150間の安全な接続を確立するために、集積回路は、仮想チャネル0に結合されており、また集積回路148による消費のための制御、状況、アクセスおよび鍵生成データを通信するように構成された論理ブロック166を含む。
【0055】
同様に図7に示すように、実施形態によっては、圧縮されたデータ・ストリームは、暗号化されていない、または制限されていないデータを含み得る。こうした場合、圧縮されたデータ・ストリームを、仮想チャネル2に、また直接にMPEGデコーダ・ブロック160にも提供することが望まれ得る。こうしたデータは、アクセス制御措置の対象ではなく、またシリアル相互接続152を介して通信される場合に暗号化されないことが理解されよう。
【0056】
ブロック168および170で総称的に表す追加のIP論理もまた、仮想チャネル3などの追加の仮想チャネルを介して通信するために各集積回路上に配置され得ることも理解されよう。セット・トップ・ボックスのための処理および制御論理の多くを含む追加の論理もまた、集積回路148、150いずれかまたはその両方、あるいはプロセッサ・チップセット内に配置された追加の集積回路内に組み込まれ得る。こうした追加の機能は、当業者にはよく理解されており、したがって図7から省略してある。
【0057】
構成されるように、暗号化データ・ストリームを表す圧縮されアクセス制御されたデータ・ストリームが、ブロック158によって受信される。ブロック158によって適宜、許可され解読されると、結果として生じる解読済みデータ・ストリームは、プラットフォーム固有の暗号化を実施するためにブロック162に提供される。次いで、この暗号化されたデータ・ストリームは、ブロック164による解読のために、専用暗号化仮想チャネルを介して提供される。集積回路148、150間のチップ境界では、チップ境界上で通信されるデータが暗号化されており、したがって漏洩されることができないことが理解されよう。次いで、ブロック164は、ブロック162によって提供された暗号化を補完するようにデータ・ストリームを解読し、現在解読済みであるが、やはり圧縮されているこの新しいデータ・ストリームをMPEGデコーダ・ブロック160に提供する。次いで、ブロック160は、従来のやり方でデータ・ストリームを展開し復号し、セット・トップ・ボックスからの出力のための圧縮されていないオーディオおよび/またはビデオ・データの生成がもたらされる。
【0058】
この構成によって、複数の利点が得られる。まず、アクセス制御および復号機能が2つの別個の集積回路に分離されて、要望に応じてそれぞれ異なるチップ設計を組み合わせることによって、それぞれ異なるアクセス制御アルゴリズムを、それぞれ異なる復号アルゴリズムとともに使用することが可能になる。
【0059】
さらに、アクセス制御機能は比較的に単純な論理回路内でしばしば実装されることができるので、実施形態によっては、FPGAなどのフィールド・プログラマブル論理を使用して集積回路148を実装することが可能であり得る。したがって、集積回路のアクセス制御論理は、極めてコスト効率が高く、非常にカスタマイズ可能なやり方で、また前から存在しているチップ設計に対する高価な修正を必要とせずに構成することができる。
【0060】
仮想チャネルの初期化、および専用暗号化仮想チャネルの確立は、所与の設計において使用されるシリアル通信プロトコルおよび暗号化アルゴリズムによって異なり得ることが理解されよう。図8に例えば、図7の回路がマルチチャネル・シリアル相互接続を初期化し、またそれに関連して適切な専用暗号化仮想チャネルを確立するために実施され得るある例示的なルーチンを示す。
【0061】
具体的には、図8に、例えば、PCIエクスプレスなどのマルチチャネル・シリアル相互接続のためのホストとして機能する装置の指示の下で実行され得る初期化相互接続ルーチン172を示す。ルーチン172は、例えばデータ処理システムの電源投入によってトリガされ得る。この時点ですべての相互接続レジスタが一般にリセットされると想定される。
【0062】
ブロック174で、ルーチン172が、周知のPCIエクスプレス・プロトコルに一般に従って既定の仮想チャネル(仮想チャネル0)を確立することを含む、バス・アーキテクチャを初期化することから開始する。この初期化プロセスの間、リンク通信は、ハードウェアを介して、また一般にはホスト・プロセッサの介入なしに確立されて、最初の通信がそのチャネル上で発生することが可能になる。このフェーズの終わりに、ホスト・プロセッサからの構成サイクルだけがサポートされる。エンドポイント間のすべてのリンク、すなわちホスト、周辺装置、スイッチ、ブリッジなどの間の個々のポイント・ツー・ポイント接続は一般に、ホスト・プロセッサからの助けなしにこの状態に到達することができる。
【0063】
リンク通信が確立されると、構成サイクルがホスト・プロセッサによって実施されて、すべてのスイッチおよびエンドポイントが、やはりPCIエクスプレス・プロトコルに従って全体的なバス・アーキテクチャを設定するように構成される。そうすることによって、メモリおよびI/O空間が適宜イネーブルされる。この時点で、メモリ操作が現在可能であり、したがって、周辺装置内の個々のIPブロックは、ホスト装置内のメモリ空間を読み書きすることができる。ホスト装置内の個々のIPブロックもまた、周辺装置内のメモリ空間を読み書きすることができる。しかし、この時点では、構成プロセスにおいて、既定のチャネル0以外の仮想チャネルはイネーブルされず、したがって、一部の周辺装置および/またはIPブロックは使用可能でないことがある。さらに、専用暗号化仮想チャネルはまだ確立されていない。
【0064】
次に、ブロック176に示すように、特定のマルチチャネル・シリアル相互接続に望まれる追加の各仮想チャネルについて、帯域幅が割り当てられる。具体的には、他のすべての仮想チャネルについて帯域幅割当てを設定するために既定チャネル0を使用して、PCIエクスプレス・プロトコルに従って所望の仮想チャネルを設定するため、ホスト・プロセッサ上で実行されるソフトウェアが一般に使用され得る。この時点で、アイソクロナス操作が可能であり、任意の周辺装置内の個々のIPブロックは一般に、アイソクロナス転送の保証された帯域幅を使用してホスト装置内のメモリを読み書きし、またすべてのチャネル上でベスト・エフォート型の転送を実施することができる。
【0065】
しかし、この時点で、専用暗号化仮想チャネルはまだ使用可能ではない。具体的には、専用暗号化仮想チャネルを介して受信された任意のデータは、パワー・オン・リセット(POR:Power On Reset)後に使用するためにそのチャネルのハードウェア暗号化論理が初期化されるどんな鍵を用いても一般に暗号化される。この鍵は、専用暗号化仮想チャネルの対応するハードウェア解読論理のための公開鍵ではなく、したがって、そのチャネルを介して送信されるデータは、そのハードウェア解読論理によって解読することはできない。
【0066】
したがって、ブロック178で、暗号方式を設定するためにループを初期化し、したがってそれぞれの専用暗号化仮想チャネルについて、安全な通信を許可する。ブロック180で、こうした各チャネルについて、そのチャネルのハードウェア解読論理のための鍵を取得する。これは公開鍵であり、したがって一般に保護を必要としない。この鍵がどのように取得されるか、鍵の数、各鍵の長さおよび使用される暗号化アルゴリズムは、システム要件によって異なり得る。可能な一方法は、ホスト・プロセッサ上で実行されるソフトウェアが、解読論理内のレジスタからこの鍵を読み出すことである。あるいは、その鍵は、ソフトウェア内の定数として符号化され得る。例えば、解読論理のための暗号化および解読鍵は、解読論理内にロードされた解読ユニットのための秘密鍵と、例えばソフトウェアからアクセス可能な専用レジスタ内に格納することによってなど、何らかのやり方でソフトウェアが使用できるようにされるこの秘密鍵と対をなす公開鍵とを用いて、ソフトウェアによって生成され得る。
【0067】
次に、ブロック182および184に示すように、公開鍵は、既定の仮想チャネル0を介して通信され、専用暗号化仮想チャネルの暗号化論理内に格納される。具体的には、解読論理の公開鍵は、チャネル0の構成サイクルを使用して、周辺装置内のハードウェア暗号化論理に書き込まれ、したがって、専用暗号化仮想チャネルのハードウェア解読論理だけがデータを適切に解読することができるように、ハードウェア暗号化論理がデータを暗号化することを可能にするのに必要な鍵が提供される。
【0068】
ハードウェア暗号化論理が、対応するハードウェア解読論理の公開鍵によって更新されると、専用暗号化仮想チャネルを介した将来のデータ通信は、その鍵を使用して暗号化される。したがって、ブロック186に示すように、次いで、専用暗号化仮想チャネルを利用する任意のIPブロックがイネーブルされることができ、それによって、こうしたブロックによる専用暗号化仮想チャネルを介したどの通信もが、解読論理によって解読されることができる。
【0069】
ブロック186が完了すると、制御はブロック178に戻って、任意の追加の専用暗号化仮想チャネルを介して安全な通信を確立するために処理する。こうしたすべてのチャネルが確立されると、ルーチン172は完了する。
【0070】
ルーチン172は、それぞれ異なる適用例によって変化し得ることに留意されたい。例えば、実施形態によっては一部のIPブロックに複数の仮想チャネルを介して通信させ得ることを考慮すると、すべての専用暗号化仮想チャネルが確立された後で初めてIPブロックをイネーブルすることが望まれ得る。他のセキュリティ・プロトコルおよび/またはシリアル相互接続アーキテクチャに適した他の初期化ルーチンが、本発明に従って使用され得る。
【0071】
次に、図6に戻って簡単に見ると、DBS受信機130内のチップ148、150が一般に同じ回路基板上に、あるいは潜在的には同じマルチチップ・パッケージまたはモジュール内に配置され、それによって、マルチチャネル・シリアル相互接続152が一般に1つの回路基板上に配置されることが理解されよう。代替方法では、複数の回路基板間に広がるマルチチャネル・シリアル通信インターフェースを組み込むことが望まれ得る。例えば、図9に示すように、専用暗号化仮想チャネルとのマルチチャネル・シリアル相互接続によって中央コントローラに結合されたオンボード論理チップを組み込む「スマート」アクセス・カード内にアクセス制御機能を組み込むことが望まれ得る。
【0072】
具体的には、図9に、パラボラ・アンテナ202から衛星放送信号を受信し、チューナ/復調装置論理204を使用して放送信号を復調するDBS受信機200を示す。DBS放送信号は、アクセス制御を提供し、またデジタル・データ・ストリームへの無許可アクセスを防止するために暗号化されたデジタル・データ・ストリームに復調される。この暗号化データ・ストリームは、ここではプロセッサ・チップセット206で表すセット・トップ・ボックスのコントローラに提供される。チップ・セット206は、メモリ208、ならびにオーディオ/ビデオ出力回路210およびユーザ入力回路212にさらに結合される。
【0073】
プロセッサ・チップセット206内に、プロセッサ/デコーダ・チップ214が配置される。しかし、プロセッサ・チップセット206内に組込みアクセス制御チップを組み込むのではなく、アクセス・カード・コネクタ216が、アクセス制御機能を提供し、またマルチチャネル・シリアル相互接続220を介してプロセッサ・チップセット206に結合されたスマート・アクセス・カード218を受け入れるように構成される。
【0074】
アクセス・カード218上に、PCIエクスプレス・インターフェース回路などのマルチチャネル・シリアル・インターフェース回路222が配置される。図7のブロック158および162に類似のやり方で構成された加入者固有の解読ブロック224およびプラットフォーム固有の暗号化ブロック226もまた、アクセス・カード上に配置される。
【0075】
この実施形態では、相互接続220は3つの仮想チャネルを含むように構成され、チャネル0は既定の制御チャネル、チャネル1は専用暗号化仮想チャネル、チャネル2は非暗号化チャネルである。この実施形態では、復調装置204によって出力された圧縮された暗号化データ・ストリームは、相互接続220のチャネル2を介してブロック222に提供され、ブロック224によって生成された再暗号化されたデータ・ストリームが、専用暗号化仮想チャネル1を介してプロセッサ・チップセットに戻される。特に、セット・トップ・ボックス200とアクセス・カード218の間で通信されるデータは、コンテンツ・プロバイダによって(加入者ベースの解読の前)またはDBS受信機によって(ブロック224による)常に暗号化される。したがって、デジタル・データ・ストリームは、有効にセキュリティ保護され、無許可の改ざんから保護される。
【0076】
アクセス・カード内にアクセス制御機能を組み込むと、他にも利点はあるが特に、アクセス制御およびデジタル著作権管理アルゴリズムが、コンテンツ・プロバイダによって比較的にコスト効果の高いやり方で時々潜在的に更新され、修正されることが可能になる。したがって、ハッカーが所与のアクセス制御方式を漏洩するならば、個々のDBSセット・トップ・ボックスが置き換えられまたは修正されることを必要とせずに、別の制御方式が代用され得る。
【0077】
次いで、上述したように、上記のアクセス制御機能が、DBS受信機など以外のデータ処理システムに関連して使用され得る。例えば、図10に、DVDメディア234のデータ・ストリームを読み取り、またメモリ238、オーディオ/ビデオ出力回路240およびユーザ入力回路242に結合されたプロセッサ・チップセット236に、変調され、圧縮され、暗号化されたデータ・ストリームを提供するように構成された光ドライブ回路232を含むDVDプレーヤ230を示す。チップ・セット236は、専用暗号化仮想チャネルを組み込むマルチチャネル・シリアル相互接続248によってプロセッサ/デコーダ・チップ246に結合された地域アクセス・チップ244を含む。
【0078】
DVDプレーヤ230は、図6および9のDBSセット・トップ・ボックス130、200のいずれかと同じプロセッサ/デコーダ集積回路を使用することができ得ることが理解されよう。地域アクセス論理と、本明細書で述べたハードウェア暗号化論理の両方、およびマルチチャネル・シリアル・インターフェース論理を組み込む適切な地域アクセス・チップ244を使用することによって、DBSセット・トップ・ボックスで使用される同じベースのプロセッサ/デコーダ設計が、DVDプレーヤでの使用に合わせて容易に適応され得る。
【0079】
本明細書で述べた諸実施形態は、従来の設計に対する複数の利点をもたらす。例えば、専用暗号化仮想チャネルを使用することによって、単一の通信リソースを暗号化データと非暗号化データの両方についてしばしば共有することができ、したがって、コストが節約される。さらに、上述したように、専用暗号化仮想チャネルは、特にチップ境界に沿って暗号化データの安全性を改善することができる。
【0080】
本開示の利点を含む様々な追加の修正が、本開示の利益を得る当業者には明らかである。したがって、本発明は、添付の特許請求の範囲にある。
【図面の簡単な説明】
【0081】
【図1】本発明による専用暗号化仮想チャネルを含むマルチチャネル・シリアル通信インターフェースを組み込むデータ処理システムのブロック図である。
【図2】本発明によるマルチチャネル・シリアル通信インターフェース上の論理ブロック、ハードウェア暗号化論理およびハードウェア解読論理の例示的な代替構成を示すブロック図である。
【図3】本発明によるマルチチャネル・シリアル通信インターフェース上の論理ブロック、ハードウェア暗号化論理およびハードウェア解読論理の例示的な代替構成を示すブロック図である。
【図4】本発明によるマルチチャネル・シリアル通信インターフェース上の論理ブロック、ハードウェア暗号化論理およびハードウェア解読論理の例示的な代替構成を示すブロック図である。
【図5】本発明によるマルチチャネル・シリアル通信インターフェース上の論理ブロック、ハードウェア暗号化論理およびハードウェア解読論理の例示的な代替構成を示すブロック図である。
【図6】本発明によるマルチチャネル・シリアル通信インターフェースを使用するプロセッサ・チップセットを組み込む直接放送衛星受信機のブロック図である。
【図7】図6のプロセッサ・チップセットのブロック図である。
【図8】図6および7に示したマルチチャネル・シリアル通信インターフェースを介して安全な通信を確立するために使用される例示的な相互接続初期化ルーチンを示すフローチャートである。
【図9】図6の直接放送衛星受信機の代替の直接放送衛星受信機であり、本発明によるマルチチャネル・シリアル通信インターフェースを使用するアクセス・カードを組み込む直接放送衛星受信機のブロック図である。
【図10】本発明によるマルチチャネル・シリアル通信インターフェースを使用するプロセッサ・チップセットを組み込むDVDプレーヤのブロック図である。
【技術分野】
【0001】
本発明は、一般には、データ通信およびデータ暗号化に関する。詳細には、本発明は、マルチチャネル・シリアル通信インターフェースを介して通信されるデータの暗号化に関する。
【背景技術】
【0002】
セキュリティ管理は、無許可のアクセスからデジタル・データを保護するためにますます重要になってきた。多くの場合において、セキュリティ管理は、意図された受信者だけが情報を見ることができるように、セキュリティ保護された通信の機密性を維持するために使用される。さらに、セキュリティ管理は、映画、音楽、テレビ放送などのデジタル・コンテンツへのアクセスを制限するためのデジタル著作権管理との関連においても、極めて重要になってきた。
【0003】
様々なセキュリティ管理方式が現在存在する。その多くは、受信者だけがデータを暗号化し、そこから情報を取得することができるように、受信者に通信する前にデジタル・データを有効にスクランブルする暗号化アルゴリズムを使用する。しばしば暗号化は、許可された受信者だけがスクランブルされたデータを解読できるように、デジタル証明書、公開鍵基盤(PKI:Public Key Infrastructure)などに関連して使用される。
【0004】
セキュリティ管理はしばしば、様々な異なるタイプの通信インターフェースにとって必要である。例えば、セキュリティ管理をシリアル通信インターフェース内に組み込むことが望まれ得る。このシリアル通信インターフェースは、送信側と受信側のモード、またはシリアル相互接続に結合されたエンドポイント間のポイント・ツー・ポイントのやり方でデータを通信するために、高パフォーマンスおよび高帯域幅のアプリケーションにおいてますます使用されている。ユニバーサル・シリアル・バス(USB)、IEEE−1394およびPCIエクスプレスなどの様々なプロトコルは、様々なコンピューティング・アプリケーション向けに開発されてきた。
【0005】
上述のシリアル通信インターフェース規格の多くは、数ある特徴の中でも特に、一般にオーディオおよびビデオ・データ・ストリームなどの時間依存データのアイソクロナス伝送をサポートするために、複数のチャネルからのデータ・ストリームを単一のシリアル・インターフェース上に多重化する概念をサポートする。例えば、PCIエクスプレス規格は、こうしたチャネルがエンドポイント間で確立されることを可能にして、複数のデータ・ストリームを単一の相互接続上で多重化できるようにする仮想チャネルの概念を明示的にサポートする。
【0006】
PCIエクスプレス規格は、周辺構成要素をコンピュータ内の中央処理複合システム(central processing complex)に接続するために従来使用されてきたPCI規格に取って代わる技術としての適用性を見出すと見込まれる。さらに、PCIエクスプレス規格は、コンピュータ、ならびにセット・トップ・ボックスやDVDプレーヤなどの他のデータ処理システム内の複数の他の相互接続技術に取って代わるために最終的に使用することもできる。
【0007】
すべての通信インターフェースと同様に、PCIエクスプレス互換のシリアル相互接続は、暗号化されたデータを送信することができる。しかし、この規格には、データ暗号化のための明示的なサポートは存在しない。代わりに、データは一般に、PCIエクスプレス互換インターフェースに渡されるとオペレーティング・システムまたはアプリケーションソフトウェアによって既に暗号化されているように、ソフトウェア指示の下で暗号化される。
【0008】
しかし、ソフトウェアを使用してシリアル相互接続を介した通信のためのデータを暗号化することには、複数の欠点がある。まず第1に、ソフトウェア・ベースの暗号化および解読は、かなりのシステム・リソースを消費し得る。さらに、複数の集積回路またはチップを使用して任意のコンピュータまたはデータ処理システムが実装される場合、解読されたデータがチップの境界に沿って、すなわちパッケージ内またはチップ・ボード上で2つの集積回路またはチップを互いに接続する経路に沿って露出され得る可能性がある。
【0009】
シリアル相互接続を介して通信されるデータをセキュリティ保護することに関連する潜在的な落し穴は恐らく、デジタル著作権管理の文脈において最もよい例が示される。メディアおよび娯楽業界は、例えば、コンテンツ・プロバイダの許可なしにコンテンツにアクセスしようとするハッカーからコンテンツを保護しようと試みるのにかなりの量のリソースを費やす。コピー防止は、コンテンツの無許可コピー行為を防止するためにコンテンツ・プロバイダおよび販売元によって使用される重要なツールになってきた。さらに、映画、テレビ番組、音楽などのコンテンツがデジタル形式に移行するのにつれて、デジタル・コピーはしばしばその元のコンテンツと品質が同じであるため、無許可コピー行為のリスクが高まってきた。したがって、無許可アクセスからデジタル・コンテンツを保護するやり方の重大な必要性が存在している。
【0010】
デジタル・コンテンツを再生するために使用される電子装置の多くは、コンテンツを許可されたユーザだけが見ることができるようにするために、アクセス制御技術を組み込む必要がある。例えば、直接放送衛星(DBS:Direct Broadcast Satellite)セット・トップ・ボックスおよび受信機は一般に、許可された加入者だけがDBS衛星からのコンテンツ放送を見ることができるようにするために、アクセス制御技術を組み込む。同様に、DVDプレーヤ、ゲーム・システムなどは一般に、DVDディスク上の圧縮されたデータ・ストリームがその上に格納されたデジタル・コンテンツのコピーを作成するために使用され得ないようにするために、アクセス制御技術を組み込む。さらに、多くのDVDは、特定の地理的領域で販売されるDVDプレーヤがその地理的領域内でのみ使用するためのDVDディスクを再生できるようにするために、地域符号化を組み込む。
【0011】
セット・トップ・ボックス、DVDプレーヤなどはしばしば、複数の集積回路またはチップを含めて埋込み型電子機器を使用する。さらに、こうしたアプリケーション内で処理されなければならないデータ量はしばしばかなりの量であり、よって比較的に高い帯域幅のデータ通信能力を必要とする。こうした装置のコストを最小限に抑える必要性を考慮すると、処理リソースはしばしば限られ、したがって、デジタル・データ・ストリームの暗号化および/または解読の実施に付随するオーバヘッドを最小限に抑えることが望ましい。さらに、こうした装置内で使用される複数の集積回路またはチップは、チップ間で広がる導電性の信号経路に沿ったそのチップ間のデータの流れを単に監視することによって、デジタル・コンテンツの無許可アクセスのための潜在的な道が提示される。
【0012】
集積回路が製造されるやり方のせいで、集積回路の内部のデータ・フローを検出することは、少なくとも集積回路と他の装置の間のデータ・フローを検出することに比べて極めて難しい。このため、複数のチップ間で暗号化されていないデジタル・コンテンツを通信しないようにすることがしばしば望まれる。
【0013】
暗号化されていないデジタル・コンテンツをチップ間で通信しないようにする1つのやり方は、デジタル・データ・ストリームを復号し、圧縮解除するために使用されるものと同じチップ上にアクセス制御機能を組み込むことである。一例として、DBS衛星によってブロードキャストされ、DVDメディア内に格納されたデジタル・コンテンツはしばしば、MPEGと呼ばれる規格によって符号化される。MPEG規格を使用して符号化されたデジタル・コンテンツは、格納および帯域幅の要件を最小限に抑えるために大きく圧縮される。しかし、テレビ上に表示する前に、MPEGデータ・ストリームは復号され、圧縮解除されなければならない。しかし、その結果生じる復号されたデータは一般に、コピーできないほど大量であり、MPEGエンコーダを使用した再圧縮を少なくとも必要とし、この再圧縮は、品質を劣化させ、結果として生じるコピーを元のコンテンツよりも劣ったものにする。
【0014】
DBS衛星によって通信され、DVDメディア内に格納されたMPEGデータ・ストリームは一般に、許可された装置だけが消費者への表示のためにMPEGデータを解読できるようにするために、アクセス制御データによって暗号化され保護される。
【0015】
したがって、テレビまたは他の表示装置にブロードキャストされたMPEGデータ・ストリームの変換プロセスは一般に、2つの別個のステップを伴う。第1に、セット・トップ・ボックスまたはDVDプレーヤがコンテンツを見ることを許可されていると判断されると、MPEGデータ・ストリームを解読するために、アクセス制御機能が必要とされる。この解読操作の結果は、解読済みMPEGデータ・ストリームである。第2の操作は、解読されたMPEGデータ・ストリームを取り、そのデータ・ストリームを復号し、展開して、テレビまたは他の表示装置への出力のためのオーディオおよび/またはビデオ・データを生成するMPEG復号である。
【0016】
その2つの操作の中間にある解読済みデータ・ストリームは一般に、元のコンテンツの圧縮された、完全なコピーである。したがって、この解読済みデータ・ストリームへのアクセスを防ぐために、システム設計者の従来の戦略は、同じ集積回路上にアクセス制御論理とMPEGデコーダ論理を組み込むことであった。
【0017】
同じ集積回路上にアクセス制御とMPEG復号を組み込むことは、セキュリティの面では複数の利点を提供するが、ビジネス面では複数の欠点がある。まず、MPEG規格は、上述のDVDおよびDBS技術を含めて、様々な異なる技術に関連して使用される。こうしたそれぞれ異なる技術のすべてには、様々な異なるアクセス制御機構が必要である。DBS技術では、例えば、個々の加入者(すなわちセット・トップ・ボックスの所有者)は、認証されなければならない。しかし、DVD技術では、必要になるのは一般に地域アクセス制御である。したがって、それぞれ異なるアプリケーションで使用されるアクセス制御論理は、大きく異なり得る。
【0018】
同じ集積回路上でアクセス制御論理回路をMPEG復号回路と統合することは、技術的にはいくらか些細なことであるが、コストの面では、そうすることは非常に費用がかかることである。高パフォーマンスの集積回路設計は、製造での使用に適したマスクを開発することに付随するコストのせいで、極めて高い立上げコストがかかり得る。半導体業界は一般に、それぞれのチップ設計についての比較的に高い立上げコストを回収するために、量の多さに依存する。したがって、既存の回路設計を代替のアクセス制御回路を組み込むように適応させても、極めて高価な努力であり得る。
【0019】
経済面から見ると、アクセス制御論理を復号論理から分離し、複数のチップを使用して別個の機能を実施すると、コスト効果が実質上さらに高くなる。具体的には、アクセス制御回路はしばしば、比較的に単純な回路を使用して実装され得る。さらに、シリアル相互接続の比較的に高い帯域幅能力などを考慮すると、PCIエクスプレス互換相互接続などの高速シリアル相互接続を使用して、アクセス制御チップと復号チップの間でデータ・ストリームが通信され得る。
【0020】
複数のタイプのアクセス制御チップとインターフェースさせることができる共通のMPEGデコーダ・チップを使用して、MPEGデコーダ・チップを様々なアプリケーションで使用できるようにすることは、多くの場合で非常に望ましい。しかし、解読済みデータ・ストリームを傍受するハッカーに起因する正当な懸念を考慮すると、マルチチップの実装は、許容できる代替方法であると見なされていない。
【発明の開示】
【発明が解決しようとする課題】
【0021】
したがって、集積回路間のデジタル・データ通信に関連して使用されるシリアルおよび他の相互接続などを含めた高速通信インターフェースを介したセキュリティ管理を提供するよりコスト効果の高いやり方が、当技術分野で大いに求められている。さらに、デジタル・コンテンツ保護に関連してアクセス制御を実施するよりコスト効果の高いやり方が、当技術分野で大いに求められている。
【課題を解決するための手段】
【0022】
本発明は、データが、通信インターフェースによってサポートされた複数の仮想チャネルのうちの専用の暗号化仮想チャネルを使用して、マルチチャネル・シリアル通信インターフェースを介して通信されるデータ処理システム、回路装置、および方法を提供することによって、従来技術に関連するこうしたおよび他の問題に対処する。専用暗号化仮想チャネルの暗号化は、暗号化が比較的に低いレベルで、特にチップ境界に沿った漏洩(compromise)からの実質的な保護を伴って実施され得るように、インターフェースに結合されたハードウェア暗号化回路によって提供される。一般に、追加の仮想チャネルは、暗号化されていないデータ(および/またはソフトウェアなど他の機構を介して暗号化されたデータ)をサポートすることができ、したがって暗号化および非暗号の両方のデータが、比較的に効率的な、コスト効果の高い、安全なやり方で共通インターフェースを共有できるようにする。
【0023】
本発明による複数の代替実施形態が想定されるが、本発明のある特定の適用例は、例えば、直接放送衛星(DBS)受信機、DVDプレーヤなどのデータ処理システム内のデジタル・コンテンツの地域および/または加入者ベースのアクセス制御をサポートするため、デジタル・データ・ストリームのためのアクセス制御を提供することに関連する。従来の単一チップ・アクセス制御方式とは異なり、本発明による実施形態は、受信されたデジタル・データ・ストリームに対するアクセス制御を提供するための1つのチップを、そうすることを許可されるとデジタル・データ・ストリームを処理するために使用される別のチップとともに利用するマルチチップ・アクセス制御方式を使用することができる。複数のチップ間の安全なマルチチャネル・シリアル通信インターフェースは、アクセス制御チップ上に配置されたハードウェア暗号化論理を使用して、アクセス制御チップ上で解読されたデジタル・データ・ストリームを再び暗号化し、マルチチャネル・シリアル通信インターフェースによってサポートされた専用暗号化仮想チャネルを介して再暗号化デジタル・データ・ストリームを通信し、もう一方のチップ上に配置されたハードウェア解読論理を使用して、再暗号化されたデジタル・データ・ストリームを解読する。
【0024】
したがって、デジタル・データ・ストリームは、チップ境界を渡る無許可アクセスからセキュリティ保護されたままであるが、アクセス制御機能は、デジタル・データ・ストリームを最終的に使用する機能から物理的に分離され得る。本明細書で述べるアーキテクチャは、他の利点もあるが特に、マルチチップ設計で使用される個々のチップの開発および製造に関してかなりのコストを節約し得る。
【0025】
本発明を特徴付けるこうしたおよび他の利点および特徴について、それに添付され、またそのさらなる部分を形成する特許請求の範囲において述べる。しかし、本発明、ならびにそれを使用することによって達成される利点および目的をよりよく理解するために、図面、および本発明の例示的な実施形態について述べている添付の説明内容を参照されたい。
【発明を実施するための最良の形態】
【0026】
本明細書中で以下に論じる諸実施形態は、専用の暗号化仮想チャネルを、PCIエクスプレス互換相互接続などのマルチチャネル・シリアル通信インターフェース内に組み込む。本発明によるマルチチャネル・シリアル通信インターフェースは一般に、共通のシリアル通信パスを共有する複数の「仮想」チャネルの概念を取り入れる。多くのプロトコルにおいて、仮想チャネルは、例えば時間ベースの多重化を使用して、共通のシリアル通信パス上で多重化される。例えば、PCIエクスプレス互換通信インターフェースでは、「アイソクロナス」チャネルと称される複数の仮想チャネルがサポートされ、こうした複数のチャネルは、適切に定義されたプロトコルを介して個々に確立され構成されることができる。
【0027】
本発明によれば、シリアル通信インターフェースの仮想チャネルのうちの1つまたは複数は、「専用」の暗号化仮想チャネルとして構成され得る。本発明による専用の暗号化仮想チャネルは一般に、マルチチャネル・シリアル通信インターフェースを介して通信するために使用されるインターフェース回路として同じ集積回路またはチップ上に配置された、ハードウェア・ベースの暗号化および/または解読論理を使用する。さらに、このハードウェア・ベースの論理は、専用暗号化仮想チャネルを介して通信されるすべてのデータが例えばインターフェース回路と暗号化/解読論理の間の直接信号パスを介して暗号化されるように、インターフェース回路に結合される。したがって、専用暗号化仮想チャネルを介して通信されるデータの暗号化をバイパスしまたはディセーブルできないことが、多くの実施形態において望まれる。
【0028】
マルチチャネル・シリアル通信インターフェース上の他の仮想チャネルは暗号化されることも、暗号化されないこともあり、また暗号化は、たとえあるとしてもハードウェアおよび/またはソフトウェア内で実施され得ることが理解されよう。さらに、専用暗号化仮想チャネルを介して通信されたデータは常に暗号化されているが、専用暗号化仮想チャネルの確立に関連する他のデータ、例えば設定データ、制御データ、許可データ、公開鍵などは、暗号化するやり方でも、暗号化しないやり方でも別の仮想チャネルを介して通信することができる。
【0029】
本発明は、PCIエクスプレス互換インターフェース以外のマルチチャネル・シリアル通信インターフェースに関連して使用され得ることも理解されよう。したがって、本明細書中に以下で述べる諸実施形態は、PCIエクスプレス・インターフェースに関連する本発明のある特定の適用例に焦点を当てるが、本発明は、それに限定されない。
【0030】
一般に、本明細書中に以下で論じるハードウェア・ベースの機能のいずれもが、1つまたは複数の集積回路またはチップ内に組み込まれ、また任意選択で追加の補助電子構成部品を含む回路装置内で一般に実装されることが理解されよう。さらに、当技術分野では周知のように、集積回路は一般に、デバイス上の回路装置の配置を定義する、ハードウェア定義プログラム・コードとここでは称される1つまたは複数のコンピュータ・データ・ファイルを使用して一般に設計され製造される。プログラム・コードは一般に、設計ツールによって生成され、次いで、半導体ウエハに適用される回路装置を定義するレイアウト・マスクを作成するために製造時に使用される。一般にプログラム・コードは、VHDL、Verilog、EDIFなどのハードウェア定義言語(HDL)を使用して、事前に定義された形式で提供される。本発明について、それを使用して完全に機能する集積回路およびデータ処理システム上で実装された回路装置の文脈において上記および以下に説明してあるが、本発明による回路装置は、様々な形のプログラム製品として配布されることもでき、また本発明は、その配布を実際に実施するために使用された信号担持媒体の特定のタイプに関係なく同様に適用されることが当業者は理解されよう。信号担持媒体の例には、それだけに限定されないが、特に挙げると、揮発性および不揮発性のメモリ装置、フロッピーおよび他の取出し可能ディスク、ハード・ディスク・ドライブ、磁気テープ、光ディスク(CD−ROM、DVDなど)などの記録可能なタイプの媒体、ならびにデジタルおよびアナログ通信リンクなどの伝送タイプの媒体が含まれる。さらに、本発明による一部の実施形態では、本明細書で論じるハードウェア・ベースの機能の一部を実装するために、FPGAなどの他の集積回路技術を使用することもできる。
【0031】
次に図面に移るが、図面では、同じ番号によって、複数の図を通じて同様の部分を示してある。図1に、本発明による専用暗号化仮想チャネルを含むマルチチャネル・シリアル通信インターフェースを組み込む例示的なデータ処理システム10を示す。データ処理システム10は、マルチチャネル・シリアル相互接続14を介して周辺装置16に結合されたホスト装置12を含む。装置12、16は、様々な実施形態において、同じ集積回路上に配置されることも、異なる集積回路上に配置されることもあり、また別個の回路基板、パッケージ、筐体上などに配置することもできる。さらに、本発明に従って、他の装置が、マルチチャネル・シリアル相互接続に結合され得ることが理解されよう。図示する実施形態では、相互接続14は、PCIエクスプレス互換の相互接続である。したがって、装置12、16は、ポイント・ツー・ポイント接続によって結合されることができ、または装置12、16間で、例えばブリッジやスイッチなどの中間装置を使用することもできる。
【0032】
この例示的な設計では、ホスト装置12はプロセッサ18およびメモリ20を含むように示されており、周辺装置16は、周辺装置上に存在し得る様々な論理回路を表す複数の論理ブロック22、24、26、28を含むように示されている。業界用語によれば、これらの論理ブロックは、集積回路上で他の回路と組み合わされ得る自己完結型の設計を表す知的財産(IP:intellectual property)ブロックと称される。しかし、事実上任意の論理回路が、本発明に従ってホスト装置12または周辺装置16上に配置され得ることが理解されよう。
【0033】
この例示的なデータ処理システムでは、セキュリティ保護されたデータを周辺装置16からホスト装置12に通信するのに適した例示的な構成が示されている。それぞれの装置12、16はマルチチャネル・シリアル・エンドポント回路30、32を含み、この回路30、32は、マルチチャネル・シリアル相互接続14を介して複数の仮想チャネル(例示するため、図1にチャネル0〜2が示されている)を多重化するように構成される。PCIエクスプレスのプロトコルを使用したデータ処理システム10の実装を考慮すると、回路30、32はそれぞれ、標準のPCIエクスプレス互換のIPブロックを含み得る。しかし、他の設計では、カスタマイズされたエンドポイント回路が、代替方法として使用され得る。
【0034】
データ処理システム10は、データを周辺装置16からホスト装置12に安全なやり方で通信するために、ここでは仮想チャネル1である専用暗号化仮想チャネルの概念をサポートする。この点で、周辺装置16は、チャネル1相互接続または入力をエンドポイント32に結合するように構成されたハードウェア暗号化論理34を含む。一般に暗号化論理34は、直接信号パスを介してエンドポイント32のチャネル1相互接続に結合されており、またチャネル1相互接続との唯一の接続であり、したがってマルチチャネル・シリアル相互接続のチャネル1を介して暗号化されたデータだけが通信されるようにする。
【0035】
対応するハードウェア・ベースの解読論理回路36は、装置12内に配置され、またエンドポイント30のチャネル1相互接続または出力に結合される。したがって、解読論理36は、マルチチャネル・シリアル相互接続の仮想チャネル1を介して送信された任意の暗号化データを解読する。さらに、メモリ20内への共通の経路を提供するため、解読論理36の出力、および他の任意の仮想チャネルをメモリ20に結合するためにマルチプレクサ38が提供される。
【0036】
本発明による専用暗号化仮想チャネルを実装するために、暗号化論理34および解読論理36は、例えばPKI、RSA DESおよびトリプルDESなどを含めて事実上どんな暗号化/解読アルゴリズムをもサポートするように設計され得る。アクセスまたは制御データ、および/あるいは公開鍵情報などの追加のデータは、専用暗号化仮想チャネル、または代替方法として別のチャネルを介して、ブロック34、36のいずれにも通信され得ることが理解されよう。
【0037】
例えば、仮想チャネル0は、制御およびアクセス情報を通信するための既定のチャネルであり得る。したがって、各IPブロック22、24、26および28がホスト装置によって、例えばプロセッサ18によって仮想チャネル0を介して発行されたコマンドを用いて適切に構成される能力をサポートするために、各IPブロックをチャネル0に結合することが望まれ得る。さらに、例えば解読論理36のための公開鍵を暗号化論理34に転送することによって専用暗号化仮想チャネルを確立することができるように、(例えば図1に示す書込み専用パスを介して)チャネル0を暗号化論理34にさらに結合することが望まれ得る。
【0038】
この例示的な実施例では、複数の変形体が示されている。例えば、上述したように、仮想チャネル0は既定のチャネルとして確立されることができ、仮想チャネル1は、暗号化されたデータだけを通信するための専用暗号化仮想チャネルとして確立され得る。一方、チャネル2は、要望に応じて暗号化および/または非暗号化データを運ぶことができる従来の仮想チャネルであり得る。
【0039】
さらに、IPブロック22、24、26および28が様々であることから、装置16内の論理ブロックは、それぞれ異なる機能をサポートするために、それぞれ異なるチャネルに結合され得ることが見て分かる。例えばIPブロック22は、通信が既定のチャネル0だけに制限される通常のベスト・エフォート型の装置であると見なされ得る。一方、IPブロック24は、単に暗号化論理34に結合され、したがって、ブロック24と装置12の間の通信だけが、暗号化仮想チャネルを介して行われる。ブロック24は、仮想チャネル0に結合されるものとしても示されているが、しかし、アクセス制御確立へのアクセスを、例えば公開鍵を交換し、またはホスト装置が選択的にブロックをイネーブルできるようにすることに制限することが多くの実施形態において望まれ得る。したがって、一部の実施形態では、IPブロック24が仮想チャネル0を介してデータを通信することができないように、仮想チャネル0からIPブロック24への単方向のパスだけを提供することが望まれ得る。
【0040】
ブロック26は、専用暗号化仮想チャネル1または仮想チャネル2を介して選択的に通信することができる論理回路を示している。同様に、ブロック28は、単に仮想チャネル2を介して、また暗号化論理34を介した暗号化を使用せずにデータを転送する論理回路を示している。複数の論理ブロックによる仮想チャネル2の使用をサポートするために、40に示すマルチプレクサ、または他のルーティング論理が代替方法として使用され得る。
【0041】
図1に示す構成内で、また従来のPCIエクスプレスIPブロックを使用する各インターフェース回路30、32では、専用暗号化仮想チャネルを実装するのに必要なすべてのペイロード修正が回路30、32の外部で実施され得ることが理解されよう。したがって、専用暗号化仮想チャネルは、PCIエクスプレス規格の修正なしに実装され得る。
【0042】
専用暗号化仮想チャネルを確立するために、仮想チャネルは、仮想チャネルを確立するためのPCIエクスプレス・プロトコルに従って初期化されなければならない。適切な数の仮想チャネルを初期化し、また暗号化を初期化し、専用暗号化仮想チャネルを介した暗号化データ・ストリームの解読を許可するのに適した論理の実装は、本開示の利益を得る当業者の能力の十分範囲内であることが理解されよう。本発明によるマルチチャネル・シリアル相互接続は、任意の特定の適用例に望まれ得るように、任意の数の仮想チャネルおよび任意の数の専用暗号化仮想チャネルを使用し得ることも理解されよう。
【0043】
本発明による専用暗号化仮想チャネルでは、仮想チャネルを介して通信されるすべてのデータが暗号化される。アクセス制御に関連して公開鍵が使用される実装では、こうした公開鍵は時々更新されることができ、また一部の実施形態ではそれぞれ異なる暗号化方式が選択され得ることが理解されよう。しかし、特定の専用チャネル上で回避され得ない既定の暗号化スキームを組み込むことが、多くの実施形態において望まれる。そうすることによって、また非暗号化データ(またはソフトウェアを用いて暗号化されているデータ)を通信するために追加のチャネルを提供することによって、共通のバス・リソースを複数の使用で共有することができ、しばしばコストが下げられ、またデータのどの部分が暗号化されるかについて柔軟性を高めることができる。さらに、以下でさらに明らかになるように、マルチチャネル・シリアル相互接続のエンドポイントが別個の集積回路上に配置される場合、暗号化されたデータの安全性は、大幅に改善される。
【0044】
専用暗号化仮想チャネルの暗号化は、マルチチャネル・シリアル相互接続を介して通信されるデータを符号化し、または別の方法で修正する他のやり方を補うものであり得ることも理解されよう。例えば、PCIエクスプレス・プロトコルは、主として、広い周波数範囲に渡って生成される電気ノイズのスペクトラムを拡散し、それによってピーク放射を低減させるために、リンクを介して通信されるすべてのデータをスクランブルする。この形のスクランブルは、暗号化の1つの形と見なされ得るが、このスクランブルの目的はデジタル著作権を保護することではなく、また復号アルゴリズムが公知であることを考慮すると、復号は、実際に比較的に容易である。したがって、本明細書で述べたやり方のチャネル固有の暗号化によって、標準によって他の方法で提供されるよりも遥かに大きいPCIエクスプレス環境の安全性がもたらされる。
【0045】
本明細書に従って、様々な代替設計が使用され得る。例えば、図2〜5に示すように、IPブロックは、多くの代替のやり方でマルチチャネル・シリアル・エンドポイントに結合され得る。例えば、図2に示すように、集積回路50は、複数の仮想チャネル54、56、58および60を含むマルチチャネル・シリアル・エンドポイント52を含み得る。仮想チャネル56および58は、専用暗号化仮想チャネルとして構成することができる。IPブロック62は、上述のやり方で仮想チャネル56を介して暗号化データを通信するために、暗号論理64を介して仮想チャネル56に結合され得る。同様に、暗号化仮想チャネル58は、IPブロック66による消費のために、シリアル相互接続から暗号化データを受信することができ、暗号化データ・ストリームの解読が解読論理68によって提供される。したがって、暗号化と解読の両方が同じ集積回路上でサポートされ得ることが見て分かる。
【0046】
仮想チャネル56、58は性質上単方向のものとして示されているが、本発明による仮想チャネルは、性質上双方向のものとすることもできることが理解されよう。図3に示すように、例えば、集積回路70は、複数の仮想チャネル74、76および78をサポートするマルチチャネル・シリアル・エンドポイント72を含み得る。仮想チャネル76は、性質上双方向のものである専用暗号化仮想チャネルとして構成され得る。したがって、IPブロック80は、暗号化データの生成側と消費側の両方であり得る。こうした機能をサポートするために、暗号化論理82が、シリアル相互接続に向けられた発信データを暗号化するために、ブロック80とエンドポイント72の中間に配置され得る。同様に、着信暗号化データのために、解読論理84が、IPブロック80とエンドポイント72の中間に結合され得る。
【0047】
上記でも述べ、また図4でさらに示すように、集積回路上に配置されたIPブロックは、複数の仮想チャネルを介して通信することが可能であり得る。図4の集積回路90は、例えば、複数の仮想チャネル94、96および98をサポートするマルチチャネル・シリアル・エンドポイント92を含み、仮想チャネル94は非暗号化チャネルであり、仮想チャネル96は専用の暗号化チャネルである。IPブロック100は、チャネル94、96のいずれかを介して、IPブロック100とエンドポイント92の間に配置された、102で表す暗号化および/または解読論理と通信して、専用暗号化仮想チャネルを介して通信される暗号化データの暗号化および/または解読をサポートし得る。
【0048】
さらに、図5に示すように、複数のIPブロックは、所与の専用仮想チャネルを共有することができる。例えば図5の集積回路110は、複数の仮想チャネル114、116および118をサポートするマルチチャネル・シリアル・エンドポイント112を示している。仮想チャネル116は専用暗号化仮想チャネルとして構成され、複数のIPブロック120、122は、こうしたブロックとの安全なデータ通信を円滑に進めるために、暗号化および/または解読論理124を介して仮想チャネル116に結合される。任意選択のマルチプレクサ126または他のスイッチング論理を使用して、複数のIPブロックを、本発明による暗号化仮想チャネルとインターフェースさせることができる。
【0049】
次に図6に、DBSセット・トップ・ボックスまたは受信機130などのデータ処理システム内でアクセス制御を提供する際に使用するための、本明細書で述べるマルチチャネル・シリアル相互接続のある特定の適用例を示す。従来のDBSセット・トップ・ボックスと同様に、134で総称的に表されたパラボラ・アンテナから、一般にはLNBダウン・コンバータから受信された衛星信号を復調するために、チューナ/復調装置論理132がセット・トップ・ボックス内に設けられる。DBS放送信号は、デジタル・データ・ストリームに復調され、このデジタル・データ・ストリームは、アクセス制御を提供し、またデジタル・データ・ストリームへの無許可アクセスを防止するために暗号化される。この暗号化されたデータ・ストリームは、ここではプロセッサ・チップセット136で表されるセット・トップ・ボックスのコントローラに提供される。チップ・セット136は、メモリ138、ならびにビデオ表示および/または外部オーディオ回路を駆動するために使用されるオーディオ/ビデオ出力回路140にさらに結合される。さらに、例えばフロント・パネル・ボタンおよび/またはリモート制御を介したユーザ入力は、142で総称的に表されたユーザ入力回路によってプロセッサ・チップセット136に提供される。さらに、アクセス制御機能は、アクセスの使用、または146で表されたアクセス・カード・コネクタによってプロセッサ・チップセットに結合されたスマート・カード144を介してサポートされる。
【0050】
当技術分野では周知のように、DBSセット・トップ・ボックスには従来、特定の加入者のための加入設定に従って個々の装置を別個に許可することを可能にするために、スマート・カード・コネクタが設けられている。アクセス・カードは一般に、許可が注意深く監視され制御され得るように、特定の加入者アカウントに関連付けられる。
【0051】
上述したように、従来のDBSセット・トップ・ボックスの設計は一般に、同じ集積回路上に、アクセス制御と、DBS衛星信号の復号の両方を組み込む。それとは異なり、セット・トップ・ボックス130、具体的にはプロセッサ・チップセット136は1対の集積回路148、150を使用し、集積回路148はアクセス制御論理を提供し、集積回路150は、デコーダ論理、ならびにセット・トップ・ボックスの全体的な動作を管理するための追加の処理および制御論理を提供する。本発明によれば、専用暗号化仮想チャネルを組み込むマルチチャネル・シリアル相互接続152は、集積回路148、150を互いに結合する。以下で論じるように、DBS放送信号を表すデジタル・データ・ストリームは、集積回路148、150間のチップ境界に沿ってデジタル・データス・ストリームを保護するために、暗号化されたやり方でチップ間で通信される。
【0052】
具体的には、図7により詳細に示すように、マルチチャネル・シリアル相互接続152は、PCIエクスプレス相互接続として構成されることができ、例示するため4つの仮想チャネルが図示されている。仮想チャネル0は、集積回路148、150間の様々な動作を制御し、例えば任意の専用暗号化仮想チャネルについてのアクセス制御を確立するための暗号化されていないデータを通信するのに必要な既定の固定チャネルであり得る。仮想チャネル1は固定の専用暗号化仮想チャネルとして示されており、仮想チャネル2および3は、それぞれ異なる適用例において望まれ得るように暗号化され、または暗号化されないデータを通信するように構成され得る柔軟なチャネルとして示されている。複数のチャネルをサポートするために、集積回路150は、仮想チャネル・データを各チップ上の他の論理回路と通信するための少なくとも4つのチャネル相互接続のサポートを含むPCIエクスプレス・シリアル・インターフェース回路154、156を含む。
【0053】
許可されたDBS番組の安全な受信をサポートするために、集積回路148は、セット・トップ・ボックスに望まれるアクセス制御機能を実施する加入者固有の解読論理ブロック158を含む。同様に、圧縮されたデータ・ストリームを展開されたオーディオおよび/またはビデオ・データに復号することをサポートするために、集積回路150は、MPEGデコーダ論理ブロック160を含む。
【0054】
集積回路148、150間のチップ境界が安全であることを保証するために、データ・ストリーム(ここでは解読済みであるが圧縮されたMPEGデータのデータ・ストリームである)が、専用暗号化仮想チャネル1を介して通信され、この点で、プラットフォーム固有の暗号化および解読論理162、164が、各集積回路148、150上にそれぞれ配置される。適切なアクセス制御を確立し、また集積回路148、150間の安全な接続を確立するために、集積回路は、仮想チャネル0に結合されており、また集積回路148による消費のための制御、状況、アクセスおよび鍵生成データを通信するように構成された論理ブロック166を含む。
【0055】
同様に図7に示すように、実施形態によっては、圧縮されたデータ・ストリームは、暗号化されていない、または制限されていないデータを含み得る。こうした場合、圧縮されたデータ・ストリームを、仮想チャネル2に、また直接にMPEGデコーダ・ブロック160にも提供することが望まれ得る。こうしたデータは、アクセス制御措置の対象ではなく、またシリアル相互接続152を介して通信される場合に暗号化されないことが理解されよう。
【0056】
ブロック168および170で総称的に表す追加のIP論理もまた、仮想チャネル3などの追加の仮想チャネルを介して通信するために各集積回路上に配置され得ることも理解されよう。セット・トップ・ボックスのための処理および制御論理の多くを含む追加の論理もまた、集積回路148、150いずれかまたはその両方、あるいはプロセッサ・チップセット内に配置された追加の集積回路内に組み込まれ得る。こうした追加の機能は、当業者にはよく理解されており、したがって図7から省略してある。
【0057】
構成されるように、暗号化データ・ストリームを表す圧縮されアクセス制御されたデータ・ストリームが、ブロック158によって受信される。ブロック158によって適宜、許可され解読されると、結果として生じる解読済みデータ・ストリームは、プラットフォーム固有の暗号化を実施するためにブロック162に提供される。次いで、この暗号化されたデータ・ストリームは、ブロック164による解読のために、専用暗号化仮想チャネルを介して提供される。集積回路148、150間のチップ境界では、チップ境界上で通信されるデータが暗号化されており、したがって漏洩されることができないことが理解されよう。次いで、ブロック164は、ブロック162によって提供された暗号化を補完するようにデータ・ストリームを解読し、現在解読済みであるが、やはり圧縮されているこの新しいデータ・ストリームをMPEGデコーダ・ブロック160に提供する。次いで、ブロック160は、従来のやり方でデータ・ストリームを展開し復号し、セット・トップ・ボックスからの出力のための圧縮されていないオーディオおよび/またはビデオ・データの生成がもたらされる。
【0058】
この構成によって、複数の利点が得られる。まず、アクセス制御および復号機能が2つの別個の集積回路に分離されて、要望に応じてそれぞれ異なるチップ設計を組み合わせることによって、それぞれ異なるアクセス制御アルゴリズムを、それぞれ異なる復号アルゴリズムとともに使用することが可能になる。
【0059】
さらに、アクセス制御機能は比較的に単純な論理回路内でしばしば実装されることができるので、実施形態によっては、FPGAなどのフィールド・プログラマブル論理を使用して集積回路148を実装することが可能であり得る。したがって、集積回路のアクセス制御論理は、極めてコスト効率が高く、非常にカスタマイズ可能なやり方で、また前から存在しているチップ設計に対する高価な修正を必要とせずに構成することができる。
【0060】
仮想チャネルの初期化、および専用暗号化仮想チャネルの確立は、所与の設計において使用されるシリアル通信プロトコルおよび暗号化アルゴリズムによって異なり得ることが理解されよう。図8に例えば、図7の回路がマルチチャネル・シリアル相互接続を初期化し、またそれに関連して適切な専用暗号化仮想チャネルを確立するために実施され得るある例示的なルーチンを示す。
【0061】
具体的には、図8に、例えば、PCIエクスプレスなどのマルチチャネル・シリアル相互接続のためのホストとして機能する装置の指示の下で実行され得る初期化相互接続ルーチン172を示す。ルーチン172は、例えばデータ処理システムの電源投入によってトリガされ得る。この時点ですべての相互接続レジスタが一般にリセットされると想定される。
【0062】
ブロック174で、ルーチン172が、周知のPCIエクスプレス・プロトコルに一般に従って既定の仮想チャネル(仮想チャネル0)を確立することを含む、バス・アーキテクチャを初期化することから開始する。この初期化プロセスの間、リンク通信は、ハードウェアを介して、また一般にはホスト・プロセッサの介入なしに確立されて、最初の通信がそのチャネル上で発生することが可能になる。このフェーズの終わりに、ホスト・プロセッサからの構成サイクルだけがサポートされる。エンドポイント間のすべてのリンク、すなわちホスト、周辺装置、スイッチ、ブリッジなどの間の個々のポイント・ツー・ポイント接続は一般に、ホスト・プロセッサからの助けなしにこの状態に到達することができる。
【0063】
リンク通信が確立されると、構成サイクルがホスト・プロセッサによって実施されて、すべてのスイッチおよびエンドポイントが、やはりPCIエクスプレス・プロトコルに従って全体的なバス・アーキテクチャを設定するように構成される。そうすることによって、メモリおよびI/O空間が適宜イネーブルされる。この時点で、メモリ操作が現在可能であり、したがって、周辺装置内の個々のIPブロックは、ホスト装置内のメモリ空間を読み書きすることができる。ホスト装置内の個々のIPブロックもまた、周辺装置内のメモリ空間を読み書きすることができる。しかし、この時点では、構成プロセスにおいて、既定のチャネル0以外の仮想チャネルはイネーブルされず、したがって、一部の周辺装置および/またはIPブロックは使用可能でないことがある。さらに、専用暗号化仮想チャネルはまだ確立されていない。
【0064】
次に、ブロック176に示すように、特定のマルチチャネル・シリアル相互接続に望まれる追加の各仮想チャネルについて、帯域幅が割り当てられる。具体的には、他のすべての仮想チャネルについて帯域幅割当てを設定するために既定チャネル0を使用して、PCIエクスプレス・プロトコルに従って所望の仮想チャネルを設定するため、ホスト・プロセッサ上で実行されるソフトウェアが一般に使用され得る。この時点で、アイソクロナス操作が可能であり、任意の周辺装置内の個々のIPブロックは一般に、アイソクロナス転送の保証された帯域幅を使用してホスト装置内のメモリを読み書きし、またすべてのチャネル上でベスト・エフォート型の転送を実施することができる。
【0065】
しかし、この時点で、専用暗号化仮想チャネルはまだ使用可能ではない。具体的には、専用暗号化仮想チャネルを介して受信された任意のデータは、パワー・オン・リセット(POR:Power On Reset)後に使用するためにそのチャネルのハードウェア暗号化論理が初期化されるどんな鍵を用いても一般に暗号化される。この鍵は、専用暗号化仮想チャネルの対応するハードウェア解読論理のための公開鍵ではなく、したがって、そのチャネルを介して送信されるデータは、そのハードウェア解読論理によって解読することはできない。
【0066】
したがって、ブロック178で、暗号方式を設定するためにループを初期化し、したがってそれぞれの専用暗号化仮想チャネルについて、安全な通信を許可する。ブロック180で、こうした各チャネルについて、そのチャネルのハードウェア解読論理のための鍵を取得する。これは公開鍵であり、したがって一般に保護を必要としない。この鍵がどのように取得されるか、鍵の数、各鍵の長さおよび使用される暗号化アルゴリズムは、システム要件によって異なり得る。可能な一方法は、ホスト・プロセッサ上で実行されるソフトウェアが、解読論理内のレジスタからこの鍵を読み出すことである。あるいは、その鍵は、ソフトウェア内の定数として符号化され得る。例えば、解読論理のための暗号化および解読鍵は、解読論理内にロードされた解読ユニットのための秘密鍵と、例えばソフトウェアからアクセス可能な専用レジスタ内に格納することによってなど、何らかのやり方でソフトウェアが使用できるようにされるこの秘密鍵と対をなす公開鍵とを用いて、ソフトウェアによって生成され得る。
【0067】
次に、ブロック182および184に示すように、公開鍵は、既定の仮想チャネル0を介して通信され、専用暗号化仮想チャネルの暗号化論理内に格納される。具体的には、解読論理の公開鍵は、チャネル0の構成サイクルを使用して、周辺装置内のハードウェア暗号化論理に書き込まれ、したがって、専用暗号化仮想チャネルのハードウェア解読論理だけがデータを適切に解読することができるように、ハードウェア暗号化論理がデータを暗号化することを可能にするのに必要な鍵が提供される。
【0068】
ハードウェア暗号化論理が、対応するハードウェア解読論理の公開鍵によって更新されると、専用暗号化仮想チャネルを介した将来のデータ通信は、その鍵を使用して暗号化される。したがって、ブロック186に示すように、次いで、専用暗号化仮想チャネルを利用する任意のIPブロックがイネーブルされることができ、それによって、こうしたブロックによる専用暗号化仮想チャネルを介したどの通信もが、解読論理によって解読されることができる。
【0069】
ブロック186が完了すると、制御はブロック178に戻って、任意の追加の専用暗号化仮想チャネルを介して安全な通信を確立するために処理する。こうしたすべてのチャネルが確立されると、ルーチン172は完了する。
【0070】
ルーチン172は、それぞれ異なる適用例によって変化し得ることに留意されたい。例えば、実施形態によっては一部のIPブロックに複数の仮想チャネルを介して通信させ得ることを考慮すると、すべての専用暗号化仮想チャネルが確立された後で初めてIPブロックをイネーブルすることが望まれ得る。他のセキュリティ・プロトコルおよび/またはシリアル相互接続アーキテクチャに適した他の初期化ルーチンが、本発明に従って使用され得る。
【0071】
次に、図6に戻って簡単に見ると、DBS受信機130内のチップ148、150が一般に同じ回路基板上に、あるいは潜在的には同じマルチチップ・パッケージまたはモジュール内に配置され、それによって、マルチチャネル・シリアル相互接続152が一般に1つの回路基板上に配置されることが理解されよう。代替方法では、複数の回路基板間に広がるマルチチャネル・シリアル通信インターフェースを組み込むことが望まれ得る。例えば、図9に示すように、専用暗号化仮想チャネルとのマルチチャネル・シリアル相互接続によって中央コントローラに結合されたオンボード論理チップを組み込む「スマート」アクセス・カード内にアクセス制御機能を組み込むことが望まれ得る。
【0072】
具体的には、図9に、パラボラ・アンテナ202から衛星放送信号を受信し、チューナ/復調装置論理204を使用して放送信号を復調するDBS受信機200を示す。DBS放送信号は、アクセス制御を提供し、またデジタル・データ・ストリームへの無許可アクセスを防止するために暗号化されたデジタル・データ・ストリームに復調される。この暗号化データ・ストリームは、ここではプロセッサ・チップセット206で表すセット・トップ・ボックスのコントローラに提供される。チップ・セット206は、メモリ208、ならびにオーディオ/ビデオ出力回路210およびユーザ入力回路212にさらに結合される。
【0073】
プロセッサ・チップセット206内に、プロセッサ/デコーダ・チップ214が配置される。しかし、プロセッサ・チップセット206内に組込みアクセス制御チップを組み込むのではなく、アクセス・カード・コネクタ216が、アクセス制御機能を提供し、またマルチチャネル・シリアル相互接続220を介してプロセッサ・チップセット206に結合されたスマート・アクセス・カード218を受け入れるように構成される。
【0074】
アクセス・カード218上に、PCIエクスプレス・インターフェース回路などのマルチチャネル・シリアル・インターフェース回路222が配置される。図7のブロック158および162に類似のやり方で構成された加入者固有の解読ブロック224およびプラットフォーム固有の暗号化ブロック226もまた、アクセス・カード上に配置される。
【0075】
この実施形態では、相互接続220は3つの仮想チャネルを含むように構成され、チャネル0は既定の制御チャネル、チャネル1は専用暗号化仮想チャネル、チャネル2は非暗号化チャネルである。この実施形態では、復調装置204によって出力された圧縮された暗号化データ・ストリームは、相互接続220のチャネル2を介してブロック222に提供され、ブロック224によって生成された再暗号化されたデータ・ストリームが、専用暗号化仮想チャネル1を介してプロセッサ・チップセットに戻される。特に、セット・トップ・ボックス200とアクセス・カード218の間で通信されるデータは、コンテンツ・プロバイダによって(加入者ベースの解読の前)またはDBS受信機によって(ブロック224による)常に暗号化される。したがって、デジタル・データ・ストリームは、有効にセキュリティ保護され、無許可の改ざんから保護される。
【0076】
アクセス・カード内にアクセス制御機能を組み込むと、他にも利点はあるが特に、アクセス制御およびデジタル著作権管理アルゴリズムが、コンテンツ・プロバイダによって比較的にコスト効果の高いやり方で時々潜在的に更新され、修正されることが可能になる。したがって、ハッカーが所与のアクセス制御方式を漏洩するならば、個々のDBSセット・トップ・ボックスが置き換えられまたは修正されることを必要とせずに、別の制御方式が代用され得る。
【0077】
次いで、上述したように、上記のアクセス制御機能が、DBS受信機など以外のデータ処理システムに関連して使用され得る。例えば、図10に、DVDメディア234のデータ・ストリームを読み取り、またメモリ238、オーディオ/ビデオ出力回路240およびユーザ入力回路242に結合されたプロセッサ・チップセット236に、変調され、圧縮され、暗号化されたデータ・ストリームを提供するように構成された光ドライブ回路232を含むDVDプレーヤ230を示す。チップ・セット236は、専用暗号化仮想チャネルを組み込むマルチチャネル・シリアル相互接続248によってプロセッサ/デコーダ・チップ246に結合された地域アクセス・チップ244を含む。
【0078】
DVDプレーヤ230は、図6および9のDBSセット・トップ・ボックス130、200のいずれかと同じプロセッサ/デコーダ集積回路を使用することができ得ることが理解されよう。地域アクセス論理と、本明細書で述べたハードウェア暗号化論理の両方、およびマルチチャネル・シリアル・インターフェース論理を組み込む適切な地域アクセス・チップ244を使用することによって、DBSセット・トップ・ボックスで使用される同じベースのプロセッサ/デコーダ設計が、DVDプレーヤでの使用に合わせて容易に適応され得る。
【0079】
本明細書で述べた諸実施形態は、従来の設計に対する複数の利点をもたらす。例えば、専用暗号化仮想チャネルを使用することによって、単一の通信リソースを暗号化データと非暗号化データの両方についてしばしば共有することができ、したがって、コストが節約される。さらに、上述したように、専用暗号化仮想チャネルは、特にチップ境界に沿って暗号化データの安全性を改善することができる。
【0080】
本開示の利点を含む様々な追加の修正が、本開示の利益を得る当業者には明らかである。したがって、本発明は、添付の特許請求の範囲にある。
【図面の簡単な説明】
【0081】
【図1】本発明による専用暗号化仮想チャネルを含むマルチチャネル・シリアル通信インターフェースを組み込むデータ処理システムのブロック図である。
【図2】本発明によるマルチチャネル・シリアル通信インターフェース上の論理ブロック、ハードウェア暗号化論理およびハードウェア解読論理の例示的な代替構成を示すブロック図である。
【図3】本発明によるマルチチャネル・シリアル通信インターフェース上の論理ブロック、ハードウェア暗号化論理およびハードウェア解読論理の例示的な代替構成を示すブロック図である。
【図4】本発明によるマルチチャネル・シリアル通信インターフェース上の論理ブロック、ハードウェア暗号化論理およびハードウェア解読論理の例示的な代替構成を示すブロック図である。
【図5】本発明によるマルチチャネル・シリアル通信インターフェース上の論理ブロック、ハードウェア暗号化論理およびハードウェア解読論理の例示的な代替構成を示すブロック図である。
【図6】本発明によるマルチチャネル・シリアル通信インターフェースを使用するプロセッサ・チップセットを組み込む直接放送衛星受信機のブロック図である。
【図7】図6のプロセッサ・チップセットのブロック図である。
【図8】図6および7に示したマルチチャネル・シリアル通信インターフェースを介して安全な通信を確立するために使用される例示的な相互接続初期化ルーチンを示すフローチャートである。
【図9】図6の直接放送衛星受信機の代替の直接放送衛星受信機であり、本発明によるマルチチャネル・シリアル通信インターフェースを使用するアクセス・カードを組み込む直接放送衛星受信機のブロック図である。
【図10】本発明によるマルチチャネル・シリアル通信インターフェースを使用するプロセッサ・チップセットを組み込むDVDプレーヤのブロック図である。
【特許請求の範囲】
【請求項1】
データ・ストリームを生成するように構成された第1の論理ブロックと、前記第1の論理ブロックに結合されかつ前記データ・ストリームを暗号化して暗号化データ・ストリームを生成するように構成されたハードウェア暗号化回路と、複数のPCIエクスプレス仮想チャネルを介してデータ通信をサポートするように構成された第1のPCIエクスプレス互換インターフェース回路とを含む第1の集積回路であって、前記複数のPCIエクスプレス仮想チャネルが既定の非暗号化仮想チャネルと、暗号化されたデータだけを通信するように構成された専用の暗号化仮想チャネルとを含み、前記第1のPCIエクスプレス互換インターフェース回路が、それぞれが前記複数の仮想チャネルのうちの1つの仮想チャネルに関連付けられた複数のチャネル相互接続を含み、前記複数の仮想チャネルのうちの第1のチャネル相互接続が、前記暗号化データ・ストリームを受信するために前記ハードウェア暗号化回路に結合され、前記第1のPCIエクスプレス互換インターフェース回路が、前記専用暗号化仮想チャネルを介して前記ハードウェア暗号化回路から前記暗号化データ・ストリームを通信するように構成される第1の集積回路と、
PCIエクスプレス互換相互接続によって前記第1の集積回路に結合された第2の集積回路であって、それぞれが前記複数の仮想チャネルのうちの1つの仮想チャネルに関連付けられた複数のチャネル相互接続を含みかつ前記専用暗号化仮想チャネルを介して前記暗号化データ・ストリームを受信するために前記PCIエクスプレス互換相互接続に結合された第2のPCIエクスプレス互換インターフェース回路と、前記第2のPCIエクスプレス互換インターフェース回路の前記複数のチャネル相互接続のうちの第1のチャネル相互接続に結合されかつ前記暗号化データ・ストリームを解読するように構成されたハードウェア解読回路と、前記ハードウェア解読回路に結合されかつ前記解読済みデータ・ストリームを使用するように構成された第2の論理ブロックとを含む第2の集積回路と、
前記第1および第2のPCIエクスプレス互換インターフェース回路のうちの少なくとも1つに結合され、前記専用暗号化仮想チャネルを介して前記第1と第2の集積回路の間で安全な通信を許可するために前記既定の仮想チャネルを介して許可データを通信するように構成された制御論理と
を含むデータ処理システム。
【請求項2】
複数の仮想チャネルを使用してシリアル相互接続を介してデータを通信するように構成されたマルチチャネル・シリアル・インターフェース回路と、前記マルチチャネル・シリアル・インターフェース回路に結合されかつ前記複数の仮想チャネルのうちの専用の暗号化仮想チャネルを介して通信されたすべてのデータを暗号化するように構成されたハードウェア暗号化回路とを含む回路装置。
【請求項3】
前記マルチチャネル・シリアル・インターフェース回路が、前記ハードウェア暗号化回路に結合されかつPCIエクスプレス互換相互接続を介して、前記ハードウェア暗号化回路によって出力された暗号化データを通信するように構成されたPCIエクスプレス互換インターフェース論理を含む請求項2記載の回路装置。
【請求項4】
前記ハードウェア暗号化回路に結合されかつ前記ハードウェア暗号化回路との前記シリアル相互接続を介して通信するためにデータを出力するように構成された論理ブロックをさらに含み、その結果、前記論理ブロックによって出力された前記データが前記シリアル相互接続を介した通信の前に暗号化される請求項2記載の回路装置。
【請求項5】
前記論理ブロックが、前記複数の仮想チャネルのうちの非暗号化仮想チャネルを介した通信のために追加のデータを出力するようにさらに構成される請求項4記載の回路装置。
【請求項6】
前記論理ブロックが、前記専用暗号化仮想チャネルによってだけ前記シリアル相互接続を介してデータを出力するように構成される請求項4記載の回路装置。
【請求項7】
前記マルチチャネル・シリアル・インターフェース回路に結合されかつ前記複数の仮想チャネルのうちの非暗号化仮想チャネルを介した通信のためにデータを出力するように構成された第2の論理ブロックをさらに含む請求項4記載の回路装置。
【請求項8】
前記ハードウェア暗号化回路に結合されかつ前記専用暗号化仮想チャネルを介した通信のためにデータを出力するように構成された第2の論理ブロックをさらに含む請求項4記載の回路装置。
【請求項9】
前記マルチチャネル・シリアル・インターフェース回路と前記論理ブロックの中間に結合されたハードウェア解読回路をさらに含み、前記ハードウェア解読回路が、前記マルチチャネル・シリアル・インターフェース回路によって前記シリアル相互接続から受信され、前記専用暗号化仮想チャネルを介して通信された暗号化データを解読するように構成される請求項4記載の回路装置。
【請求項10】
前記複数の仮想チャネルが、前記専用暗号化仮想チャネルを介した安全な通信を許可するために許可データを通信するように構成された既定の仮想チャネルを含む請求項4記載の回路装置。
【請求項11】
請求項2記載のマルチチャネル・シリアル・インターフェース回路と、ハードウェア暗号化回路とを含む集積回路。
【請求項12】
請求項11記載の集積回路と、前記第1のマルチチャネル・シリアル・インターフェース回路によって前記シリアル相互接続を介して通信された前記暗号化データを受信するように構成された第2のマルチチャネル・シリアル・インターフェース回路を含む第2の集積回路とを含むデータ処理システムであって、
前記第2の集積回路が、前記シリアル相互接続を介して受信された前記暗号化データを解読するように構成されたハードウェア解読回路をさらに含むデータ処理システム。
【請求項13】
請求項2記載の回路装置を定義するハードウェア定義プログラム・コードと、前記ハードウェア定義プログラム・コードを担持する信号担持媒体とを含むプログラム製品であって、前記信号担持媒体が、伝送媒体および記録可能媒体のうちの少なくとも1つを含むプログラム製品。
【請求項14】
複数の仮想チャネルを使用してシリアル相互接続を介してデータを通信するように構成されたマルチチャネル・シリアル・インターフェース回路と、前記マルチチャネル・シリアル・インターフェース回路に結合されたハードウェア解読回路であって、前記複数の仮想チャネルのうちの専用の暗号化仮想チャネルによって前記シリアル相互接続を介して通信された、前記マルチチャネル・シリアル・インターフェースによって前記シリアル相互接続から受信されたすべてのデータを解読するように構成されたハードウェア解読回路とを含む回路装置。
【請求項15】
シリアル相互接続を介してデータを通信する方法であって、集積回路上に配置されたハードウェア暗号化回路を使用してデータ・ストリームを暗号化するステップと、
前記集積回路上に配置されたマルチチャネル・シリアル・インターフェース回路を使用してシリアル相互接続を介して前記暗号化データ・ストリームを通信するステップとを含み、
前記暗号化データ・ストリームを通信するステップが、前記マルチチャネル・シリアル・インターフェース回路によってサポートされた複数の仮想チャネルのうちの専用の暗号化仮想チャネルを介して前記暗号化データ・ストリームを通信するステップを含み、前記専用暗号化仮想チャネルが、暗号化されたデータの通信専用である方法。
【請求項16】
前記マルチチャネル・シリアル・インターフェース回路が、前記ハードウェア暗号化回路に結合されたPCIエクスプレス互換インターフェース論理を含み、前記シリアル相互接続を介して前記暗号化データ・ストリームを通信することが、PCIエクスプレス互換相互接続を介して前記暗号化データを通信することを含む請求項15記載の方法。
【請求項17】
前記集積回路上に配置された論理ブロックから前記データ・ストリームを生成することをさらに含む請求項15記載の方法。
【請求項18】
前記論理ブロックが、前記暗号化仮想チャネルによってだけ前記シリアル相互接続を介してデータを出力するように構成される請求項17記載の方法。
【請求項19】
前記集積回路上に配置された第2の論理ブロックから第2のデータ・ストリームを生成するステップと、
前記マルチチャネル・シリアル・インターフェース回路によってサポートされた前記複数の仮想チャネルのうちの非暗号化仮想チャネルを使用して前記シリアル相互接続を介して前記第2データ・ストリームを通信するステップと
をさらに含む請求項17記載の方法。
【請求項20】
前記マルチチャネル・シリアル・インターフェース回路によって前記シリアル相互接続から受信され、前記集積回路上に配置されたハードウェア解読回路を使用して前記専用暗号化仮想チャネルを介して通信された第2の暗号化データ・ストリームを解読するステップと、
前記論理ブロックに前記解読済みデータ・ストリームを通信するステップとをさらに含む請求項17記載の方法。
【請求項21】
前記複数の仮想チャネルが既定の仮想チャネルを含み、前記専用暗号化仮想チャネルを介した安全な通信を許可するために、前記既定の仮想チャネルを介して許可データを通信するステップをさらに含む請求項17記載の方法。
【請求項22】
第2の集積回路上に配置された第2のマルチチャネル・シリアル・インターフェース回路を使用して前記シリアル相互接続から前記暗号化データ・ストリームを受信するステップと、
前記第2の集積回路上に配置されたハードウェア解読回路を使用して前記暗号化データ・ストリームを解読するステップと
をさらに含む請求項17記載の方法。
【請求項23】
第1の集積回路内で第1の暗号化データ・ストリームを解読して、第1の解読済みデータ・ストリームを生成するステップと、
前記第1の集積回路内で前記第1の解読済みデータ・ストリームを再暗号化して、第2の暗号化データ・ストリームを生成するステップと、
マルチチャネル・シリアル相互接続によってサポートされた複数の仮想チャネルのうちの専用の暗号化仮想チャネルを介して前記第2の暗号化データ・ストリームを通信することによって、前記第1の集積回路と第2の集積回路が接続された前記マルチチャネル・シリアル相互接続を介して前記第1の集積回路から前記第2の集積回路に前記第2の暗号化データ・ストリームを通信するステップと、
前記第2の集積回路内で前記第2の暗号化データ・ストリームを解読して、第2の解読済みデータ・ストリームを生成するステップと
を含むデジタル・データ・ストリームのためのアクセス制御を提供する方法。
【請求項24】
変調された入力信号を変調して、前記第1の暗号化データ・ストリームを生成するステップをさらに含む請求項23記載の方法。
【請求項25】
前記第2の集積回路内で前記第2の解読済みデータ・ストリームを復号して、復号データ・ストリームを生成するステップをさらに含む請求項24記載の方法。
【請求項26】
前記変調された入力信号が衛星放送信号を含み、前記第1の暗号化データ・ストリームが暗号化済みMPEGデータ・ストリームを含み、前記第2の集積回路内で前記第2の解読済みデータ・ストリームを復号するステップが、前記第2の解読済みデータ・ストリーム上でMPEG復号を実施するステップを含む請求項24記載の方法。
【請求項27】
前記第1の暗号化データ・ストリームを解読するステップが、前記第1の暗号化データ・ストリームに対して地域アクセス制御を実施するステップを含む請求項23記載の方法。
【請求項28】
前記第1の暗号化データ・ストリームを解読するステップが、前記第1の暗号化データ・ストリームに対して加入者アクセス制御を実施するステップを含む請求項23記載の方法。
【請求項29】
前記第1および第2の集積回路がセット・トップ・ボックス内に配置される請求項23記載の方法。
【請求項30】
前記第1の集積回路が、コネクタを介して前記第2の集積回路に結合されたアクセス・カード上に配置される請求項23記載の方法。
【請求項31】
前記第1の解読済みデータ・ストリームを再暗号化するステップが、前記第1の集積回路上に配置されたハードウェア暗号化論理によって実施される請求項23記載の方法。
【請求項32】
第1の暗号化データ・ストリームを解読し、そこから第1の解読済みデータ・ストリームを生成するように構成された解読論理と、
前記第1の解読済みデータ・ストリームを再暗号化し、そこから第2の暗号化データ・ストリームを生成するように構成された暗号化論理と、
マルチチャネル・シリアル相互接続によってサポートされた複数の仮想チャネルのうちの専用の暗号化仮想チャネルを介して前記第2の暗号化データ・ストリームを通信することによって、前記マルチチャネル・シリアル相互接続を介して前記第2の暗号化データ・ストリームを通信するように構成されたマルチチャネル・シリアル・インターフェース回路と
を含む回路装置。
【請求項33】
前記第2の暗号化データ・ストリームを解読し、そこから第2の解読済みデータ・ストリームを生成するように構成された第2の解読論理をさらに含む請求項32記載の回路装置。
【請求項34】
変調された入力信号から前記第1の暗号化データ・ストリームを生成するように構成された変調論理をさらに含む請求項33記載の回路装置。
【請求項35】
前記第2の解読済みデータ・ストリームを復号するように構成されたデコーダ論理をさらに含む請求項34記載の回路装置。
【請求項36】
前記変調された入力信号が衛星放送信号を含み、前記第1の暗号化データ・ストリームが、暗号化済みMPEGデータ・ストリームを含み、前記第2の集積回路内で前記第2の解読済みデータ・ストリームを復号することが、前記第2の解読済みデータ・ストリーム上でMPEG復号を実施することを含む請求項35に記載の回路装置。
【請求項37】
前記変調論理と、前記第1解読論理と、前記暗号化論理と、前記マルチチャネル・シリアル・インターフェース回路とが第1の集積回路上に配置され、前記第2解読論理と、前記デコーダ論理とが第2の集積回路上に配置され、前記第2の集積回路が、前記第2の暗号化データ・ストリームをそこから受信するためにマルチチャネル・シリアル相互接続に結合された第2のマルチチャネル・シリアル・インターフェース回路を含む請求項35記載の回路装置。
【請求項38】
前記解読論理が、前記第1の暗号化データ・ストリームに対して地域アクセス制御を実施するように構成される請求項32記載の回路装置。
【請求項39】
前記解読論理が、前記第1の暗号化データ・ストリームに対して加入者アクセス制御を実施するように構成される請求項32記載の回路装置。
【請求項40】
前記マルチチャネル・シリアル・インターフェース回路が、前記暗号化論理に結合されかつPCIエクスプレス互換相互接続を介して前記第1の暗号化データ・ストリームを通信するように構成されたPCIエクスプレス互換インターフェース論理を含む請求項32記載の回路装置。
【請求項41】
請求項32に記載の解読論理と、暗号化論理と、マルチチャネル・シリアル・インターフェース回路とを含む集積回路。
【請求項42】
請求項41に記載の集積回路と、前記マルチチャネル・シリアル相互接続から前記第2の暗号化データ・ストリームを受信するように構成された第2のマルチチャネル・シリアル・インターフェース回路、および前記第2の暗号化データ・ストリームを解読し、そこから第2の解読済みデータ・ストリームを生成するように構成された第2の解読論理を含む第2の集積回路とを含むデータ処理システム。
【請求項43】
前記第1の集積回路が配置されたアクセス・カードをさらに含む請求項42に記載のデータ処理システム。
【請求項44】
請求項32に記載の解読論理と、暗号化論理と、マルチチャネル・シリアル・インターフェース回路とを含むアクセス・カード。
【請求項45】
請求項32に記載の回路装置を定義するハードウェア定義プログラム・コードと、前記ハードウェア定義プログラム・コードを担持する信号担持媒体とを含むプログラム製品であって、前記信号担持媒体が、伝送媒体および記録可能媒体のうちの少なくとも1つを含むプログラム製品。
【請求項1】
データ・ストリームを生成するように構成された第1の論理ブロックと、前記第1の論理ブロックに結合されかつ前記データ・ストリームを暗号化して暗号化データ・ストリームを生成するように構成されたハードウェア暗号化回路と、複数のPCIエクスプレス仮想チャネルを介してデータ通信をサポートするように構成された第1のPCIエクスプレス互換インターフェース回路とを含む第1の集積回路であって、前記複数のPCIエクスプレス仮想チャネルが既定の非暗号化仮想チャネルと、暗号化されたデータだけを通信するように構成された専用の暗号化仮想チャネルとを含み、前記第1のPCIエクスプレス互換インターフェース回路が、それぞれが前記複数の仮想チャネルのうちの1つの仮想チャネルに関連付けられた複数のチャネル相互接続を含み、前記複数の仮想チャネルのうちの第1のチャネル相互接続が、前記暗号化データ・ストリームを受信するために前記ハードウェア暗号化回路に結合され、前記第1のPCIエクスプレス互換インターフェース回路が、前記専用暗号化仮想チャネルを介して前記ハードウェア暗号化回路から前記暗号化データ・ストリームを通信するように構成される第1の集積回路と、
PCIエクスプレス互換相互接続によって前記第1の集積回路に結合された第2の集積回路であって、それぞれが前記複数の仮想チャネルのうちの1つの仮想チャネルに関連付けられた複数のチャネル相互接続を含みかつ前記専用暗号化仮想チャネルを介して前記暗号化データ・ストリームを受信するために前記PCIエクスプレス互換相互接続に結合された第2のPCIエクスプレス互換インターフェース回路と、前記第2のPCIエクスプレス互換インターフェース回路の前記複数のチャネル相互接続のうちの第1のチャネル相互接続に結合されかつ前記暗号化データ・ストリームを解読するように構成されたハードウェア解読回路と、前記ハードウェア解読回路に結合されかつ前記解読済みデータ・ストリームを使用するように構成された第2の論理ブロックとを含む第2の集積回路と、
前記第1および第2のPCIエクスプレス互換インターフェース回路のうちの少なくとも1つに結合され、前記専用暗号化仮想チャネルを介して前記第1と第2の集積回路の間で安全な通信を許可するために前記既定の仮想チャネルを介して許可データを通信するように構成された制御論理と
を含むデータ処理システム。
【請求項2】
複数の仮想チャネルを使用してシリアル相互接続を介してデータを通信するように構成されたマルチチャネル・シリアル・インターフェース回路と、前記マルチチャネル・シリアル・インターフェース回路に結合されかつ前記複数の仮想チャネルのうちの専用の暗号化仮想チャネルを介して通信されたすべてのデータを暗号化するように構成されたハードウェア暗号化回路とを含む回路装置。
【請求項3】
前記マルチチャネル・シリアル・インターフェース回路が、前記ハードウェア暗号化回路に結合されかつPCIエクスプレス互換相互接続を介して、前記ハードウェア暗号化回路によって出力された暗号化データを通信するように構成されたPCIエクスプレス互換インターフェース論理を含む請求項2記載の回路装置。
【請求項4】
前記ハードウェア暗号化回路に結合されかつ前記ハードウェア暗号化回路との前記シリアル相互接続を介して通信するためにデータを出力するように構成された論理ブロックをさらに含み、その結果、前記論理ブロックによって出力された前記データが前記シリアル相互接続を介した通信の前に暗号化される請求項2記載の回路装置。
【請求項5】
前記論理ブロックが、前記複数の仮想チャネルのうちの非暗号化仮想チャネルを介した通信のために追加のデータを出力するようにさらに構成される請求項4記載の回路装置。
【請求項6】
前記論理ブロックが、前記専用暗号化仮想チャネルによってだけ前記シリアル相互接続を介してデータを出力するように構成される請求項4記載の回路装置。
【請求項7】
前記マルチチャネル・シリアル・インターフェース回路に結合されかつ前記複数の仮想チャネルのうちの非暗号化仮想チャネルを介した通信のためにデータを出力するように構成された第2の論理ブロックをさらに含む請求項4記載の回路装置。
【請求項8】
前記ハードウェア暗号化回路に結合されかつ前記専用暗号化仮想チャネルを介した通信のためにデータを出力するように構成された第2の論理ブロックをさらに含む請求項4記載の回路装置。
【請求項9】
前記マルチチャネル・シリアル・インターフェース回路と前記論理ブロックの中間に結合されたハードウェア解読回路をさらに含み、前記ハードウェア解読回路が、前記マルチチャネル・シリアル・インターフェース回路によって前記シリアル相互接続から受信され、前記専用暗号化仮想チャネルを介して通信された暗号化データを解読するように構成される請求項4記載の回路装置。
【請求項10】
前記複数の仮想チャネルが、前記専用暗号化仮想チャネルを介した安全な通信を許可するために許可データを通信するように構成された既定の仮想チャネルを含む請求項4記載の回路装置。
【請求項11】
請求項2記載のマルチチャネル・シリアル・インターフェース回路と、ハードウェア暗号化回路とを含む集積回路。
【請求項12】
請求項11記載の集積回路と、前記第1のマルチチャネル・シリアル・インターフェース回路によって前記シリアル相互接続を介して通信された前記暗号化データを受信するように構成された第2のマルチチャネル・シリアル・インターフェース回路を含む第2の集積回路とを含むデータ処理システムであって、
前記第2の集積回路が、前記シリアル相互接続を介して受信された前記暗号化データを解読するように構成されたハードウェア解読回路をさらに含むデータ処理システム。
【請求項13】
請求項2記載の回路装置を定義するハードウェア定義プログラム・コードと、前記ハードウェア定義プログラム・コードを担持する信号担持媒体とを含むプログラム製品であって、前記信号担持媒体が、伝送媒体および記録可能媒体のうちの少なくとも1つを含むプログラム製品。
【請求項14】
複数の仮想チャネルを使用してシリアル相互接続を介してデータを通信するように構成されたマルチチャネル・シリアル・インターフェース回路と、前記マルチチャネル・シリアル・インターフェース回路に結合されたハードウェア解読回路であって、前記複数の仮想チャネルのうちの専用の暗号化仮想チャネルによって前記シリアル相互接続を介して通信された、前記マルチチャネル・シリアル・インターフェースによって前記シリアル相互接続から受信されたすべてのデータを解読するように構成されたハードウェア解読回路とを含む回路装置。
【請求項15】
シリアル相互接続を介してデータを通信する方法であって、集積回路上に配置されたハードウェア暗号化回路を使用してデータ・ストリームを暗号化するステップと、
前記集積回路上に配置されたマルチチャネル・シリアル・インターフェース回路を使用してシリアル相互接続を介して前記暗号化データ・ストリームを通信するステップとを含み、
前記暗号化データ・ストリームを通信するステップが、前記マルチチャネル・シリアル・インターフェース回路によってサポートされた複数の仮想チャネルのうちの専用の暗号化仮想チャネルを介して前記暗号化データ・ストリームを通信するステップを含み、前記専用暗号化仮想チャネルが、暗号化されたデータの通信専用である方法。
【請求項16】
前記マルチチャネル・シリアル・インターフェース回路が、前記ハードウェア暗号化回路に結合されたPCIエクスプレス互換インターフェース論理を含み、前記シリアル相互接続を介して前記暗号化データ・ストリームを通信することが、PCIエクスプレス互換相互接続を介して前記暗号化データを通信することを含む請求項15記載の方法。
【請求項17】
前記集積回路上に配置された論理ブロックから前記データ・ストリームを生成することをさらに含む請求項15記載の方法。
【請求項18】
前記論理ブロックが、前記暗号化仮想チャネルによってだけ前記シリアル相互接続を介してデータを出力するように構成される請求項17記載の方法。
【請求項19】
前記集積回路上に配置された第2の論理ブロックから第2のデータ・ストリームを生成するステップと、
前記マルチチャネル・シリアル・インターフェース回路によってサポートされた前記複数の仮想チャネルのうちの非暗号化仮想チャネルを使用して前記シリアル相互接続を介して前記第2データ・ストリームを通信するステップと
をさらに含む請求項17記載の方法。
【請求項20】
前記マルチチャネル・シリアル・インターフェース回路によって前記シリアル相互接続から受信され、前記集積回路上に配置されたハードウェア解読回路を使用して前記専用暗号化仮想チャネルを介して通信された第2の暗号化データ・ストリームを解読するステップと、
前記論理ブロックに前記解読済みデータ・ストリームを通信するステップとをさらに含む請求項17記載の方法。
【請求項21】
前記複数の仮想チャネルが既定の仮想チャネルを含み、前記専用暗号化仮想チャネルを介した安全な通信を許可するために、前記既定の仮想チャネルを介して許可データを通信するステップをさらに含む請求項17記載の方法。
【請求項22】
第2の集積回路上に配置された第2のマルチチャネル・シリアル・インターフェース回路を使用して前記シリアル相互接続から前記暗号化データ・ストリームを受信するステップと、
前記第2の集積回路上に配置されたハードウェア解読回路を使用して前記暗号化データ・ストリームを解読するステップと
をさらに含む請求項17記載の方法。
【請求項23】
第1の集積回路内で第1の暗号化データ・ストリームを解読して、第1の解読済みデータ・ストリームを生成するステップと、
前記第1の集積回路内で前記第1の解読済みデータ・ストリームを再暗号化して、第2の暗号化データ・ストリームを生成するステップと、
マルチチャネル・シリアル相互接続によってサポートされた複数の仮想チャネルのうちの専用の暗号化仮想チャネルを介して前記第2の暗号化データ・ストリームを通信することによって、前記第1の集積回路と第2の集積回路が接続された前記マルチチャネル・シリアル相互接続を介して前記第1の集積回路から前記第2の集積回路に前記第2の暗号化データ・ストリームを通信するステップと、
前記第2の集積回路内で前記第2の暗号化データ・ストリームを解読して、第2の解読済みデータ・ストリームを生成するステップと
を含むデジタル・データ・ストリームのためのアクセス制御を提供する方法。
【請求項24】
変調された入力信号を変調して、前記第1の暗号化データ・ストリームを生成するステップをさらに含む請求項23記載の方法。
【請求項25】
前記第2の集積回路内で前記第2の解読済みデータ・ストリームを復号して、復号データ・ストリームを生成するステップをさらに含む請求項24記載の方法。
【請求項26】
前記変調された入力信号が衛星放送信号を含み、前記第1の暗号化データ・ストリームが暗号化済みMPEGデータ・ストリームを含み、前記第2の集積回路内で前記第2の解読済みデータ・ストリームを復号するステップが、前記第2の解読済みデータ・ストリーム上でMPEG復号を実施するステップを含む請求項24記載の方法。
【請求項27】
前記第1の暗号化データ・ストリームを解読するステップが、前記第1の暗号化データ・ストリームに対して地域アクセス制御を実施するステップを含む請求項23記載の方法。
【請求項28】
前記第1の暗号化データ・ストリームを解読するステップが、前記第1の暗号化データ・ストリームに対して加入者アクセス制御を実施するステップを含む請求項23記載の方法。
【請求項29】
前記第1および第2の集積回路がセット・トップ・ボックス内に配置される請求項23記載の方法。
【請求項30】
前記第1の集積回路が、コネクタを介して前記第2の集積回路に結合されたアクセス・カード上に配置される請求項23記載の方法。
【請求項31】
前記第1の解読済みデータ・ストリームを再暗号化するステップが、前記第1の集積回路上に配置されたハードウェア暗号化論理によって実施される請求項23記載の方法。
【請求項32】
第1の暗号化データ・ストリームを解読し、そこから第1の解読済みデータ・ストリームを生成するように構成された解読論理と、
前記第1の解読済みデータ・ストリームを再暗号化し、そこから第2の暗号化データ・ストリームを生成するように構成された暗号化論理と、
マルチチャネル・シリアル相互接続によってサポートされた複数の仮想チャネルのうちの専用の暗号化仮想チャネルを介して前記第2の暗号化データ・ストリームを通信することによって、前記マルチチャネル・シリアル相互接続を介して前記第2の暗号化データ・ストリームを通信するように構成されたマルチチャネル・シリアル・インターフェース回路と
を含む回路装置。
【請求項33】
前記第2の暗号化データ・ストリームを解読し、そこから第2の解読済みデータ・ストリームを生成するように構成された第2の解読論理をさらに含む請求項32記載の回路装置。
【請求項34】
変調された入力信号から前記第1の暗号化データ・ストリームを生成するように構成された変調論理をさらに含む請求項33記載の回路装置。
【請求項35】
前記第2の解読済みデータ・ストリームを復号するように構成されたデコーダ論理をさらに含む請求項34記載の回路装置。
【請求項36】
前記変調された入力信号が衛星放送信号を含み、前記第1の暗号化データ・ストリームが、暗号化済みMPEGデータ・ストリームを含み、前記第2の集積回路内で前記第2の解読済みデータ・ストリームを復号することが、前記第2の解読済みデータ・ストリーム上でMPEG復号を実施することを含む請求項35に記載の回路装置。
【請求項37】
前記変調論理と、前記第1解読論理と、前記暗号化論理と、前記マルチチャネル・シリアル・インターフェース回路とが第1の集積回路上に配置され、前記第2解読論理と、前記デコーダ論理とが第2の集積回路上に配置され、前記第2の集積回路が、前記第2の暗号化データ・ストリームをそこから受信するためにマルチチャネル・シリアル相互接続に結合された第2のマルチチャネル・シリアル・インターフェース回路を含む請求項35記載の回路装置。
【請求項38】
前記解読論理が、前記第1の暗号化データ・ストリームに対して地域アクセス制御を実施するように構成される請求項32記載の回路装置。
【請求項39】
前記解読論理が、前記第1の暗号化データ・ストリームに対して加入者アクセス制御を実施するように構成される請求項32記載の回路装置。
【請求項40】
前記マルチチャネル・シリアル・インターフェース回路が、前記暗号化論理に結合されかつPCIエクスプレス互換相互接続を介して前記第1の暗号化データ・ストリームを通信するように構成されたPCIエクスプレス互換インターフェース論理を含む請求項32記載の回路装置。
【請求項41】
請求項32に記載の解読論理と、暗号化論理と、マルチチャネル・シリアル・インターフェース回路とを含む集積回路。
【請求項42】
請求項41に記載の集積回路と、前記マルチチャネル・シリアル相互接続から前記第2の暗号化データ・ストリームを受信するように構成された第2のマルチチャネル・シリアル・インターフェース回路、および前記第2の暗号化データ・ストリームを解読し、そこから第2の解読済みデータ・ストリームを生成するように構成された第2の解読論理を含む第2の集積回路とを含むデータ処理システム。
【請求項43】
前記第1の集積回路が配置されたアクセス・カードをさらに含む請求項42に記載のデータ処理システム。
【請求項44】
請求項32に記載の解読論理と、暗号化論理と、マルチチャネル・シリアル・インターフェース回路とを含むアクセス・カード。
【請求項45】
請求項32に記載の回路装置を定義するハードウェア定義プログラム・コードと、前記ハードウェア定義プログラム・コードを担持する信号担持媒体とを含むプログラム製品であって、前記信号担持媒体が、伝送媒体および記録可能媒体のうちの少なくとも1つを含むプログラム製品。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公表番号】特表2006−511123(P2006−511123A)
【公表日】平成18年3月30日(2006.3.30)
【国際特許分類】
【出願番号】特願2004−560124(P2004−560124)
【出願日】平成15年12月17日(2003.12.17)
【国際出願番号】PCT/IB2003/006012
【国際公開番号】WO2004/056031
【国際公開日】平成16年7月1日(2004.7.1)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
フロッピー
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【氏名又は名称原語表記】Koninklijke Philips Electronics N.V.
【住所又は居所原語表記】Groenewoudseweg 1,5621 BA Eindhoven, The Netherlands
【Fターム(参考)】
【公表日】平成18年3月30日(2006.3.30)
【国際特許分類】
【出願日】平成15年12月17日(2003.12.17)
【国際出願番号】PCT/IB2003/006012
【国際公開番号】WO2004/056031
【国際公開日】平成16年7月1日(2004.7.1)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
フロッピー
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【氏名又は名称原語表記】Koninklijke Philips Electronics N.V.
【住所又は居所原語表記】Groenewoudseweg 1,5621 BA Eindhoven, The Netherlands
【Fターム(参考)】
[ Back to top ]