ローカルエリアネットワークの構築及び管理方法
【課題】 本発明の目的は、暗号化されたデータのフローの少なくとも1つの再生装置と、前記暗号化されたデータの全て又は一部の配信又は再暗号化装置とを含み、これら2つの装置がセキュリティモジュールを備える、ローカルエリアネットワークの構築及び管理方法であって、‐ ローカルエリアネットワークに接続された装置のうちの1つにマスターセキュリティモジュールを接続する工程と、‐ マスターセキュリティモジュールによりローカルエリアネットワーク鍵を作成する工程と、‐ このネットワーク鍵をユーザーセキュリティモジュールのうちの1つ又は複数にセキュアな状態で送信する工程と、‐ 配信及び再暗号化装置により暗号化されたデータを復号化する工程と、‐ ローカル鍵を使用し前記装置によりデータを再暗号化する工程と、‐ 再暗号化されたデータを再生装置に送信する工程と、‐ 再生装置に結合され、ローカル鍵を見つけるための手段を有するユーザーセキュリティモジュールにより前記再生装置で復号化する工程とを含む方法を提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ローカルエリアネットワーク、特に、条件付きアクセスデータフロー方式のアクセスポイントに接続されたローカルエリアネットワークの構築及び管理の分野に関する。
【背景技術】
【0002】
特に有料テレビの分野では、条件付きデータへのアクセスの管理は良く知られており長年にわたって行われている。
【0003】
ユーザーは、自身の加入又は権利に関する鍵により暗号化されたフローを復号化する機能をもつデコーダを有する。通常、これらの鍵は、セキュリティモジュール内に保存されるが、このモジュールは、提供される機能及びセキュリティーを進化させるために、リムーバブルであることが好ましい。
【0004】
大部分のデコーダは、一旦データフローが復号化されると、テレビの画面等の表示装置によって利用できるよう、これらのデータをアナログ化する。
【0005】
デジタル画面の登場によってこの図式は幾分覆された。実際、デコーダから画面への出力はデジタル型であるため、不法コピーを行うためにこの出力が不正に使われる可能がある。
【0006】
そのような理由から、デジタルモニター、より一般的には、デジタルレコーダ等、これらのデジタル形式のデータを利用するあらゆる機器が大量に使用されるようになり、条件付きアクセス方式のデータの流布を防止するために解決方法が提案された。
【0007】
従って、コンテンツのエンドツーエンド保護、並びに(例えばテレビ等の)再生装置までこのコンテンツを暗号化された状態に保つことが提案された。
【0008】
デコーダ又はDVDプレーヤなどのソースは暗号化されたコンテンツを処理し、(例えばユーザーの加入等の)条件が満足されている限り、アクセスを許可する。コンテンツは、このネットワーク上でしかアクセスできないようにするために、ユーザーのローカルエリアネットワークに送信される前に、このネットワークに固有な鍵により再暗号化される。鍵は各ドメスティックネットワークに対しユニークであるので、このネットワーク外での使用は一切不可能である。
【0009】
ドメスティックネットワークという概念は、ユーザーを基準として定義されてはいるが、その隣人も同じネットワークに容易に接続することができ同じネットワーク鍵を持つことができるため、曖昧になる場合がある。従って、最も簡単な解決方法は、あるローカルネットワークへの参加者数を制限することである。
【0010】
セキュア化されたそのようなローカルエリアネットワークを使用できるようにするためには、各装置が、このネットワークに固有な秘密を含むセキュリティモジュールを持たなければならない。通常、これらのモジュールはリムーバブルチップカード、又は装置内に直接取り付けられたセキュリティモジュールの形態である。
【0011】
既知の第1の方法によれば、この制限という概念は、ネットワークへの所属のペアレント文字の送信により実現される。ローカルエリアネットワークの設置に関しては、第1モジュールが、このネットワークの共通ポイントとなる鍵を含む、或いは発生することができる。一旦この第1モジュールが第1鍵を発生すると、ペアレントモジュールになり、自律的に作動できるようになる。この同じネットワーク上に別のモジュールが出現すると、このペアレント文字がこの第2モジュールに送信され、それにより第2モジュールは同じネットワークに所属することができる。第1モジュールはペアレントとしての機能をなくし、その機能は第2モジュールに転送される。もちろん、このネットワークに参加する将来のモジュールの数等、他のパラメータも通常は減分され、新しいペアレントモジュール内に保存される。
【0012】
1つのモジュールは同じネットワーク上には別の1つのモジュールしか入れることができないので、ペアレント能力が移動することは安全性についての基準に合致している。しかしながら、ユーザーがペアレントモジュールになったばかりの要素から離れた場合、原理を知らないと連鎖が裁ち切られることがあるので、この方法には問題がある。更に、このモジュールがある機器が損傷した場合、ユーザーはこの機器を販売店に送り返すが、別の機器と交換することにより、このネットワークを拡大する可能性が裁ち切られる。
【0013】
国際公開第WO01/67705号(特許文献1)は、ユーザーユニット内のデータの転送及び暗号化モジュールと、サーバーユニット内でのデータ管理モジュールとを備えるインタネットネットワーク上でのデータのセキュアな転送及び管理システムについて記述している。データの転送は、ユーザーユニットに接続された画面上に表示されるウインドウのデータを、サーバーユニットに接続されたウインドウに又はウインドウから移動することにより行われる。あるウインドウから別のウインドウへのデータの移動により、その別のウインドウに関連するパスワードを基にする暗号化又は再暗号化が行われるよう、各ウインドウはパスワードに関連付けられている。本システムはファイル転送プロトコルに結合された対称鍵暗号法を用いるもので、それにより100メガバイト以上の大きなサイズのデータファイルのセキュアな転送が可能である。ユーザーユニットへ又はユーザーユニットからのサーバーユニットのデータのこのような転送は、ネットワーク並びにネットワーク上のユニットの位置に関係なく、回数無制限に行うことができる。
【特許文献1】国際公開第WO01/67705号
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明の目的は、上で記述した欠点を解消することが可能なローカルエリアネットワークの構築及び管理方法を提供することである。
【課題を解決するための手段】
【0015】
この目的は、暗号化されたデータのフローの少なくとも1つの再生装置と、前記暗号化されたデータの全て又は一部の配信又は再暗号化装置とを含み、これら2つの装置がセキュリティモジュールを備える、ローカルエリアネットワークの構築及び管理方法であって、
【0016】
‐ ローカルエリアネットワークに接続された装置のうちの1つにマスターセキュリティモジュールを接続する工程と、
【0017】
‐ マスターセキュリティモジュールによりローカルエリアネットワーク鍵を作成する工程と、
【0018】
‐ このネットワーク鍵をユーザーセキュリティモジュールのうちの1つ又は複数にセキュアな状態で送信する工程と、
【0019】
‐ 配信及び再暗号化装置により暗号化されたデータを復号化する工程と、
【0020】
‐ ローカル鍵を使用し前記装置によりデータを再暗号化する工程と、
【0021】
‐ 再暗号化されたデータを再生装置に送信する工程と、
【0022】
‐ 再生装置に結合され、ローカル鍵を見つけるための手段を有するユーザーセキュリティモジュールにより前記再生装置で復号化する工程と
を含む方法により達成される。
【0023】
再生装置は、株式又はゲームデータのように、音声、画像、又はその他の方法でデータを使用するためにデータを必ず復号化しなければならない装置である。最も特徴的な例はテレビである。
【0024】
データの移動に関する他の工程は全て、暗号化されたデータに関して行われる。
【0025】
セッション鍵は、ランダムに生成され次にネットワーク鍵を使用して暗号化される鍵である。次に、暗号化されたデータに、ネットワーク鍵で暗号化されたこのセッション鍵が添付される。このように、ネットワーク鍵を知ることによりセッション鍵を得て、データにアクセスすることができる。
【0026】
もちろん、ネットワーク鍵を直接使用し、再暗号化されたデータのみを送信するようにすることもできる。以下の記述では、ローカル鍵は、2つの概念、即ちセッション鍵及びネットワーク鍵の双方を包含する。
【0027】
データの復号化に関しては2つの原則が存在する。第1の原則はローカル鍵によるデータ全体の暗号化に関する。権利が存在する場合、変換モジュールとよばれるセキュリティモジュールはデータを復号化しローカル鍵で再暗号化する手段を有する。データの転送速度及びサイズによっては、この操作に必要とされる能力がきわめて高くなることがある。
【0028】
第2の原則は、「制御語」という名称で知られている鍵ファイルに基づくものである。本来の意味でのデータは変更されずに、一式の鍵により暗号化されたまま残り、鍵ファイルのみが変換モジュールにより復号化され、ローカル鍵により再暗号化される。
【0029】
一式の鍵は1イベント当り一個の鍵に減らすことができ、先に説明したように処理することが可能であること、即ちこの鍵を含むメッセージは変換モジュールにより復号化され、ローカル鍵により再暗号化されることに留意すべきである。
【0030】
配信及び再暗号化装置は例えば、条件付きアクセスデータを提供するネットワークに接続されたデコーダ、又はDVDプレーヤ等の暗号化データのプレーヤである。
【0031】
この装置は、データをローカルエリアネットワーク内に配信する前にデータを復号化するための権利が存在するかどうか確認する。この権利が存在する場合、データは、復号化工程の後、ローカル鍵により再暗号化される。
【0032】
最終的にこれらのデータはこのネットワークでしか活用できなくなる。
【0033】
このようにして再暗号化されたこれらのデータはハードディスクに保存するか、DVDに書き込むことができる。ローカルエリアネットワークの意義は、このネットワーク外のところではこれらのデータが活用できない点にある。これらのデータの活用時、保存装置はデータをネットワーク内に配信するが、これらのデータは、暗号化された有効部分(例えば音声及び画像)並びにネットワーク鍵によって暗号化されたセッション鍵を含む管理部分を含む。
【0034】
マスターセキュリティモジュールが、このネットワークを構成したいと所望する各ユーザーセキュリティモジュールの初期化を担当する。従ってユーザーにとっては、この第1モジュールは特別な機能を有するので、これを失わないようにすることが重要であるように思われる。
【0035】
このマスターモジュールは、初期化することができる最大モジュール数を決めるカウンタ、並びにこのモジュールがローカルエリアネットワークシステムに所属することを示す証明も含む。
【0036】
従って、マスターモジュールが存在する機器から離れてしまうという問題は解決される。使用上の理由から、マスターモジュールには他のモジュールとは異なる外観をもたせるようにする。
【0037】
ネットワーク鍵の作成は2つの方法で行うことができる。第1の方法はローカルエリアネットワークの初回初期化時にこの鍵をランダムに発生するものである。
【0038】
第2の方法は、マスターモジュールのカスタム化手順時にロードされた鍵を使用するものである。従って鍵は発行機関が事前に認知している。
【0039】
マスターモジュールの第1の役割はネットワークを初期化することである。ユーザーモジュールはこのネットワークの受動的構成要素であり、マスターモジュールにより作成されたネットワーク鍵を受け取る。実際には、マスターモジュールを含む物理的モジュール内にユーザーモジュールを組み込むことが可能である。これにより、ネットワーク内で、ただ1つのモジュールを使用して、マスター部分のネットワーク鍵を同じ物理的モジュールのユーザー部分に転送することを内容とする初期化を行うことが可能になる。
【発明を実施するための最良の形態】
【0040】
本発明は、非限定的例としてローカルエリアネットワークの構成を記述する添付の図面を参照して行う以下の詳細説明により、よりよく理解されよう。
【0041】
図1においてローカルエリアネットワークは符号LNTで示してある。ローカルエリアネットワークは、例えば家の中で接続されている様々な装置をリンクする。
【0042】
再生装置としては、テレビDV1及びコンピュータDV2等、2種類の装置が存在する。その他の装置としては、デコーダMD1又はディスクプレーヤMD2等の配信及び復号装置がある。
【0043】
暗号化されたデータフローSTEはデコーダMD1の中に入り処理される。このデコーダは暗号化されたデータの内容に関する権利を含むセキュリティモジュールCC1を有する。モジュールCC1はこれらの暗号化データへのアクセスを可能にするための権利を確認し、制御語CWにより暗号化されたデータの送信の場合、これの制御語を復号化し、ローカル鍵により再度暗号化する。
【0044】
動作態様によれば、ローカル鍵は変換モジュールMD1により生成されネットワーク鍵により暗号化されるセッション鍵である。ローカル鍵を暗号化するこの工程は変換モジュールMD1内ではなく、ネットワーク鍵をもつ唯一のモジュールであるユーザーモジュールTC内で実行される。
【0045】
初期化工程では、変換モジュールがランダムセッション鍵を発生する。変換モジュールはデコーダと協働して、ローカルエリアネットワークが存在するかどうかを判定する要求を送信する。例えばテレビDV1のような再生装置が反応し、ユーザーモジュールTC1の公開鍵を送信する。
【0046】
この鍵は変換モジュールMD1によりセッション鍵を暗号化し、この暗号化されたものをテレビのユーザーモジュールに送信するのに用いる。
【0047】
ユーザーモジュールTC1はそのプライベート鍵によりこのメッセージを復号化しセッション鍵を抽出する。次に、ネットワーク鍵によりこのセッション鍵を暗号化し、この新しいメッセージを変換モジュールに送信する。
【0048】
変換モジュールは、条件付きアクセスデータフローSTEから制御語を含むメッセージを受信すると、このメッセージに含まれる権利を確認し、権利が存在する場合には、制御語を復号化し、セッション鍵を再暗号化する。新しいメッセージは、セッション鍵により再暗号化された制御語と、ネットワーク鍵により暗号化されたセッション鍵を含むことになる。
【0049】
DVDプレーヤ等の装置の動作はほぼ同様である。この装置は、ディスクに保存されている暗号化データにアクセスする手段を有する変換モジュールCC2も備える。
【0050】
例として、データがアルゴリズム及び/又は変換モジュールに含まれている鍵に従い、この内容に固有な鍵により暗号化される想定することにする。
【0051】
この変換モジュールCC2は、モジュールの所有者がディスクCDEを復号化しローカルエリアネットワーク上に配信するための権利を持っているかどうか確認する。その場合、2つの可能性がある:
【0052】
‐ 変換モジュールCC2がディスクの内容を復号化し、再暗号化されたデータをネットワーク鍵により再暗号化し、ネットワーク鍵が再生装置に送信される。
【0053】
‐ 変換モジュールが、ネットワーク鍵によりディスクの鍵を暗号化し、当初のデータ、並びにネットワーク鍵で暗号化されたディスク鍵を送信するだけにとどまる。この方法は、ディスク鍵が各内容に固有であり、逆の場合、あるコンテンツにアクセスすることにより全てのコンテンツにアクセスする可能性を開くことになる。
【0054】
本発明の一態様によれば、マスターモジュールMCはテレビDV1の中にある。このマスターモジュールはネットワーク鍵NKを有し、このモジュールによりローカルエリアネットワークの生成が可能になった。ある実施形態では、このモジュールはユーザーモジュールの機能も備えるため、デコーダMD1等の装置から送信される暗号化されたデータを復号化することができる。
【0055】
ここで、コンピュータDV2内に新規の第2ユーザーモジュールTC2が接続される際、マスターモジュールMCとこの新規モジュールとの間に通信が確立する。相互認証の後、マスターモジュールはネットワーク鍵NKをユーザーモジュールTC2に送信し、ユーザーモジュールは、それからはこのローカルエリアネットワークのためにデータを受信し復号化することができる。マスターモジュールはネットワーク鍵NKをもっているので、これ以降、ローカル鍵により暗号化されたデータにアクセスするのにマスター鍵MCが存在することを必要としなくなる。
【0056】
ローカルエリアネットワークを認定するための基本原則は可能なユーザーモジュール数である。この機能は、ユーザーモジュールがネットワーク鍵を受け取る毎にカウンタを減分するマスターモジュールに与えられる。
【0057】
ネットワーク生成機能と暗号化されたデータへのアクセス機能とを明確に区別したい場合、マスターモジュールMC内にネットワーク管理機能しか含めないようにすることが可能である。ユーザーモジュールTC2を初期化した後、マスターモジュールMCを取り出し、予め設定してあるユーザーモジュールTC1を挿入する。
【0058】
本発明はローカルエリアネットワークの適合性の確認方法にも関する。端末モジュールTCと変換モジュールCCの間のネゴシエーションの時、端末モジュールは、このネットワークの基本となるマスターモジュールMCに固有な情報を送信する。これは、識別子、署名、又は証明(例えばX509)とすることができる。
【0059】
マスターモジュールMCのみがローカルエリアネットワークを生成することができることから、使用中のユーザーモジュールの数より台数がはるかに少ないこのタイプのモジュールにのみ着目する。
【0060】
変換モジュールCCは、われわれがローカルエリアネットワーク識別子と呼ぶこの情報を保存する。
【0061】
有料テレビのデコーダの場合、ローカルな消費量の更新、統計、請求書発行を行うために、管理センターに接続するようになる。
【0062】
この時、変換モジュールCCは、このデコーダに接続されているローカルエリアネットワークの識別子を通常のデータとともに送信する。
【0063】
管理センターは、変換モジュールにより復号化されたデータを受信することを許可されていないローカルエリアネットワークの識別子のリストを有し、この情報を前記モジュールに通知する。
【0064】
すると変換モジュールはそのようなネットワークとともに作動することに同意するか拒否することができる。
【0065】
例えば第三者がその端末モジュールをテレビDV1に接続するようになった場合、変換モジュールは複数のローカルエリアネットワークと対話できるようになることに留意すべきである。この構成では、変換モジュールは複数のネットワーク識別子をそのメモリーに保存することができる。
【0066】
一実施形態においては、暗号化されたデータ、特に単数又は複数の復号化鍵を含むメッセージは、そのような確認が義務であり、ある所与のローカルエリアネットワークについての再暗号化の前に行わなければならなくなるような条件を含むことができる。
【0067】
従ってデコーダは、自身に接続されているローカルエリアネットワークの識別子を承認するために、確認操作を実行する。ローカル鍵のネゴシエーションの際に別のネットワーク識別子が通知された場合、デコーダは、ローカルエリアネットワーク側への制御語の復号化を許可しない。
【0068】
従って、新しいセキュリティーレベルを設定するために、暗号化されたデータ、或いはこれを伴う鍵の中に条件を入れ込むことが可能である。
【0069】
本発明の適用形態は、プリント上に直接取り付けられたセキュリティモジュールを有する再生装置に対し特に好適であることに留意すべきである。このモジュールは、(場合によってはハンダ付けされた)電子回路の形態であり、ユーザーセキュリティモジュールの全ての機能を含むことになる。マスターモジュールのみがリムーバブルとなり、ネットワークを初期化し従ってネットワーク鍵をこの電子回路にロードする目的のためだけに接続される。この装置が別のネットワークを接続しなければならない場合も、前ネットワークへの所属の消去を許可し、新規ネットワークの接続を許可するだけでよい。
【0070】
ネットワーク鍵により保存され暗号化されていたであろうデータの初期化するには、自前のネットワーク鍵を使用してユーザーモジュールの役割を果たすマスターモジュールが依然として残っている。
【図面の簡単な説明】
【0071】
【図1】図1はローカルエリアネットワークの構成を示す図である。
【技術分野】
【0001】
本発明は、ローカルエリアネットワーク、特に、条件付きアクセスデータフロー方式のアクセスポイントに接続されたローカルエリアネットワークの構築及び管理の分野に関する。
【背景技術】
【0002】
特に有料テレビの分野では、条件付きデータへのアクセスの管理は良く知られており長年にわたって行われている。
【0003】
ユーザーは、自身の加入又は権利に関する鍵により暗号化されたフローを復号化する機能をもつデコーダを有する。通常、これらの鍵は、セキュリティモジュール内に保存されるが、このモジュールは、提供される機能及びセキュリティーを進化させるために、リムーバブルであることが好ましい。
【0004】
大部分のデコーダは、一旦データフローが復号化されると、テレビの画面等の表示装置によって利用できるよう、これらのデータをアナログ化する。
【0005】
デジタル画面の登場によってこの図式は幾分覆された。実際、デコーダから画面への出力はデジタル型であるため、不法コピーを行うためにこの出力が不正に使われる可能がある。
【0006】
そのような理由から、デジタルモニター、より一般的には、デジタルレコーダ等、これらのデジタル形式のデータを利用するあらゆる機器が大量に使用されるようになり、条件付きアクセス方式のデータの流布を防止するために解決方法が提案された。
【0007】
従って、コンテンツのエンドツーエンド保護、並びに(例えばテレビ等の)再生装置までこのコンテンツを暗号化された状態に保つことが提案された。
【0008】
デコーダ又はDVDプレーヤなどのソースは暗号化されたコンテンツを処理し、(例えばユーザーの加入等の)条件が満足されている限り、アクセスを許可する。コンテンツは、このネットワーク上でしかアクセスできないようにするために、ユーザーのローカルエリアネットワークに送信される前に、このネットワークに固有な鍵により再暗号化される。鍵は各ドメスティックネットワークに対しユニークであるので、このネットワーク外での使用は一切不可能である。
【0009】
ドメスティックネットワークという概念は、ユーザーを基準として定義されてはいるが、その隣人も同じネットワークに容易に接続することができ同じネットワーク鍵を持つことができるため、曖昧になる場合がある。従って、最も簡単な解決方法は、あるローカルネットワークへの参加者数を制限することである。
【0010】
セキュア化されたそのようなローカルエリアネットワークを使用できるようにするためには、各装置が、このネットワークに固有な秘密を含むセキュリティモジュールを持たなければならない。通常、これらのモジュールはリムーバブルチップカード、又は装置内に直接取り付けられたセキュリティモジュールの形態である。
【0011】
既知の第1の方法によれば、この制限という概念は、ネットワークへの所属のペアレント文字の送信により実現される。ローカルエリアネットワークの設置に関しては、第1モジュールが、このネットワークの共通ポイントとなる鍵を含む、或いは発生することができる。一旦この第1モジュールが第1鍵を発生すると、ペアレントモジュールになり、自律的に作動できるようになる。この同じネットワーク上に別のモジュールが出現すると、このペアレント文字がこの第2モジュールに送信され、それにより第2モジュールは同じネットワークに所属することができる。第1モジュールはペアレントとしての機能をなくし、その機能は第2モジュールに転送される。もちろん、このネットワークに参加する将来のモジュールの数等、他のパラメータも通常は減分され、新しいペアレントモジュール内に保存される。
【0012】
1つのモジュールは同じネットワーク上には別の1つのモジュールしか入れることができないので、ペアレント能力が移動することは安全性についての基準に合致している。しかしながら、ユーザーがペアレントモジュールになったばかりの要素から離れた場合、原理を知らないと連鎖が裁ち切られることがあるので、この方法には問題がある。更に、このモジュールがある機器が損傷した場合、ユーザーはこの機器を販売店に送り返すが、別の機器と交換することにより、このネットワークを拡大する可能性が裁ち切られる。
【0013】
国際公開第WO01/67705号(特許文献1)は、ユーザーユニット内のデータの転送及び暗号化モジュールと、サーバーユニット内でのデータ管理モジュールとを備えるインタネットネットワーク上でのデータのセキュアな転送及び管理システムについて記述している。データの転送は、ユーザーユニットに接続された画面上に表示されるウインドウのデータを、サーバーユニットに接続されたウインドウに又はウインドウから移動することにより行われる。あるウインドウから別のウインドウへのデータの移動により、その別のウインドウに関連するパスワードを基にする暗号化又は再暗号化が行われるよう、各ウインドウはパスワードに関連付けられている。本システムはファイル転送プロトコルに結合された対称鍵暗号法を用いるもので、それにより100メガバイト以上の大きなサイズのデータファイルのセキュアな転送が可能である。ユーザーユニットへ又はユーザーユニットからのサーバーユニットのデータのこのような転送は、ネットワーク並びにネットワーク上のユニットの位置に関係なく、回数無制限に行うことができる。
【特許文献1】国際公開第WO01/67705号
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明の目的は、上で記述した欠点を解消することが可能なローカルエリアネットワークの構築及び管理方法を提供することである。
【課題を解決するための手段】
【0015】
この目的は、暗号化されたデータのフローの少なくとも1つの再生装置と、前記暗号化されたデータの全て又は一部の配信又は再暗号化装置とを含み、これら2つの装置がセキュリティモジュールを備える、ローカルエリアネットワークの構築及び管理方法であって、
【0016】
‐ ローカルエリアネットワークに接続された装置のうちの1つにマスターセキュリティモジュールを接続する工程と、
【0017】
‐ マスターセキュリティモジュールによりローカルエリアネットワーク鍵を作成する工程と、
【0018】
‐ このネットワーク鍵をユーザーセキュリティモジュールのうちの1つ又は複数にセキュアな状態で送信する工程と、
【0019】
‐ 配信及び再暗号化装置により暗号化されたデータを復号化する工程と、
【0020】
‐ ローカル鍵を使用し前記装置によりデータを再暗号化する工程と、
【0021】
‐ 再暗号化されたデータを再生装置に送信する工程と、
【0022】
‐ 再生装置に結合され、ローカル鍵を見つけるための手段を有するユーザーセキュリティモジュールにより前記再生装置で復号化する工程と
を含む方法により達成される。
【0023】
再生装置は、株式又はゲームデータのように、音声、画像、又はその他の方法でデータを使用するためにデータを必ず復号化しなければならない装置である。最も特徴的な例はテレビである。
【0024】
データの移動に関する他の工程は全て、暗号化されたデータに関して行われる。
【0025】
セッション鍵は、ランダムに生成され次にネットワーク鍵を使用して暗号化される鍵である。次に、暗号化されたデータに、ネットワーク鍵で暗号化されたこのセッション鍵が添付される。このように、ネットワーク鍵を知ることによりセッション鍵を得て、データにアクセスすることができる。
【0026】
もちろん、ネットワーク鍵を直接使用し、再暗号化されたデータのみを送信するようにすることもできる。以下の記述では、ローカル鍵は、2つの概念、即ちセッション鍵及びネットワーク鍵の双方を包含する。
【0027】
データの復号化に関しては2つの原則が存在する。第1の原則はローカル鍵によるデータ全体の暗号化に関する。権利が存在する場合、変換モジュールとよばれるセキュリティモジュールはデータを復号化しローカル鍵で再暗号化する手段を有する。データの転送速度及びサイズによっては、この操作に必要とされる能力がきわめて高くなることがある。
【0028】
第2の原則は、「制御語」という名称で知られている鍵ファイルに基づくものである。本来の意味でのデータは変更されずに、一式の鍵により暗号化されたまま残り、鍵ファイルのみが変換モジュールにより復号化され、ローカル鍵により再暗号化される。
【0029】
一式の鍵は1イベント当り一個の鍵に減らすことができ、先に説明したように処理することが可能であること、即ちこの鍵を含むメッセージは変換モジュールにより復号化され、ローカル鍵により再暗号化されることに留意すべきである。
【0030】
配信及び再暗号化装置は例えば、条件付きアクセスデータを提供するネットワークに接続されたデコーダ、又はDVDプレーヤ等の暗号化データのプレーヤである。
【0031】
この装置は、データをローカルエリアネットワーク内に配信する前にデータを復号化するための権利が存在するかどうか確認する。この権利が存在する場合、データは、復号化工程の後、ローカル鍵により再暗号化される。
【0032】
最終的にこれらのデータはこのネットワークでしか活用できなくなる。
【0033】
このようにして再暗号化されたこれらのデータはハードディスクに保存するか、DVDに書き込むことができる。ローカルエリアネットワークの意義は、このネットワーク外のところではこれらのデータが活用できない点にある。これらのデータの活用時、保存装置はデータをネットワーク内に配信するが、これらのデータは、暗号化された有効部分(例えば音声及び画像)並びにネットワーク鍵によって暗号化されたセッション鍵を含む管理部分を含む。
【0034】
マスターセキュリティモジュールが、このネットワークを構成したいと所望する各ユーザーセキュリティモジュールの初期化を担当する。従ってユーザーにとっては、この第1モジュールは特別な機能を有するので、これを失わないようにすることが重要であるように思われる。
【0035】
このマスターモジュールは、初期化することができる最大モジュール数を決めるカウンタ、並びにこのモジュールがローカルエリアネットワークシステムに所属することを示す証明も含む。
【0036】
従って、マスターモジュールが存在する機器から離れてしまうという問題は解決される。使用上の理由から、マスターモジュールには他のモジュールとは異なる外観をもたせるようにする。
【0037】
ネットワーク鍵の作成は2つの方法で行うことができる。第1の方法はローカルエリアネットワークの初回初期化時にこの鍵をランダムに発生するものである。
【0038】
第2の方法は、マスターモジュールのカスタム化手順時にロードされた鍵を使用するものである。従って鍵は発行機関が事前に認知している。
【0039】
マスターモジュールの第1の役割はネットワークを初期化することである。ユーザーモジュールはこのネットワークの受動的構成要素であり、マスターモジュールにより作成されたネットワーク鍵を受け取る。実際には、マスターモジュールを含む物理的モジュール内にユーザーモジュールを組み込むことが可能である。これにより、ネットワーク内で、ただ1つのモジュールを使用して、マスター部分のネットワーク鍵を同じ物理的モジュールのユーザー部分に転送することを内容とする初期化を行うことが可能になる。
【発明を実施するための最良の形態】
【0040】
本発明は、非限定的例としてローカルエリアネットワークの構成を記述する添付の図面を参照して行う以下の詳細説明により、よりよく理解されよう。
【0041】
図1においてローカルエリアネットワークは符号LNTで示してある。ローカルエリアネットワークは、例えば家の中で接続されている様々な装置をリンクする。
【0042】
再生装置としては、テレビDV1及びコンピュータDV2等、2種類の装置が存在する。その他の装置としては、デコーダMD1又はディスクプレーヤMD2等の配信及び復号装置がある。
【0043】
暗号化されたデータフローSTEはデコーダMD1の中に入り処理される。このデコーダは暗号化されたデータの内容に関する権利を含むセキュリティモジュールCC1を有する。モジュールCC1はこれらの暗号化データへのアクセスを可能にするための権利を確認し、制御語CWにより暗号化されたデータの送信の場合、これの制御語を復号化し、ローカル鍵により再度暗号化する。
【0044】
動作態様によれば、ローカル鍵は変換モジュールMD1により生成されネットワーク鍵により暗号化されるセッション鍵である。ローカル鍵を暗号化するこの工程は変換モジュールMD1内ではなく、ネットワーク鍵をもつ唯一のモジュールであるユーザーモジュールTC内で実行される。
【0045】
初期化工程では、変換モジュールがランダムセッション鍵を発生する。変換モジュールはデコーダと協働して、ローカルエリアネットワークが存在するかどうかを判定する要求を送信する。例えばテレビDV1のような再生装置が反応し、ユーザーモジュールTC1の公開鍵を送信する。
【0046】
この鍵は変換モジュールMD1によりセッション鍵を暗号化し、この暗号化されたものをテレビのユーザーモジュールに送信するのに用いる。
【0047】
ユーザーモジュールTC1はそのプライベート鍵によりこのメッセージを復号化しセッション鍵を抽出する。次に、ネットワーク鍵によりこのセッション鍵を暗号化し、この新しいメッセージを変換モジュールに送信する。
【0048】
変換モジュールは、条件付きアクセスデータフローSTEから制御語を含むメッセージを受信すると、このメッセージに含まれる権利を確認し、権利が存在する場合には、制御語を復号化し、セッション鍵を再暗号化する。新しいメッセージは、セッション鍵により再暗号化された制御語と、ネットワーク鍵により暗号化されたセッション鍵を含むことになる。
【0049】
DVDプレーヤ等の装置の動作はほぼ同様である。この装置は、ディスクに保存されている暗号化データにアクセスする手段を有する変換モジュールCC2も備える。
【0050】
例として、データがアルゴリズム及び/又は変換モジュールに含まれている鍵に従い、この内容に固有な鍵により暗号化される想定することにする。
【0051】
この変換モジュールCC2は、モジュールの所有者がディスクCDEを復号化しローカルエリアネットワーク上に配信するための権利を持っているかどうか確認する。その場合、2つの可能性がある:
【0052】
‐ 変換モジュールCC2がディスクの内容を復号化し、再暗号化されたデータをネットワーク鍵により再暗号化し、ネットワーク鍵が再生装置に送信される。
【0053】
‐ 変換モジュールが、ネットワーク鍵によりディスクの鍵を暗号化し、当初のデータ、並びにネットワーク鍵で暗号化されたディスク鍵を送信するだけにとどまる。この方法は、ディスク鍵が各内容に固有であり、逆の場合、あるコンテンツにアクセスすることにより全てのコンテンツにアクセスする可能性を開くことになる。
【0054】
本発明の一態様によれば、マスターモジュールMCはテレビDV1の中にある。このマスターモジュールはネットワーク鍵NKを有し、このモジュールによりローカルエリアネットワークの生成が可能になった。ある実施形態では、このモジュールはユーザーモジュールの機能も備えるため、デコーダMD1等の装置から送信される暗号化されたデータを復号化することができる。
【0055】
ここで、コンピュータDV2内に新規の第2ユーザーモジュールTC2が接続される際、マスターモジュールMCとこの新規モジュールとの間に通信が確立する。相互認証の後、マスターモジュールはネットワーク鍵NKをユーザーモジュールTC2に送信し、ユーザーモジュールは、それからはこのローカルエリアネットワークのためにデータを受信し復号化することができる。マスターモジュールはネットワーク鍵NKをもっているので、これ以降、ローカル鍵により暗号化されたデータにアクセスするのにマスター鍵MCが存在することを必要としなくなる。
【0056】
ローカルエリアネットワークを認定するための基本原則は可能なユーザーモジュール数である。この機能は、ユーザーモジュールがネットワーク鍵を受け取る毎にカウンタを減分するマスターモジュールに与えられる。
【0057】
ネットワーク生成機能と暗号化されたデータへのアクセス機能とを明確に区別したい場合、マスターモジュールMC内にネットワーク管理機能しか含めないようにすることが可能である。ユーザーモジュールTC2を初期化した後、マスターモジュールMCを取り出し、予め設定してあるユーザーモジュールTC1を挿入する。
【0058】
本発明はローカルエリアネットワークの適合性の確認方法にも関する。端末モジュールTCと変換モジュールCCの間のネゴシエーションの時、端末モジュールは、このネットワークの基本となるマスターモジュールMCに固有な情報を送信する。これは、識別子、署名、又は証明(例えばX509)とすることができる。
【0059】
マスターモジュールMCのみがローカルエリアネットワークを生成することができることから、使用中のユーザーモジュールの数より台数がはるかに少ないこのタイプのモジュールにのみ着目する。
【0060】
変換モジュールCCは、われわれがローカルエリアネットワーク識別子と呼ぶこの情報を保存する。
【0061】
有料テレビのデコーダの場合、ローカルな消費量の更新、統計、請求書発行を行うために、管理センターに接続するようになる。
【0062】
この時、変換モジュールCCは、このデコーダに接続されているローカルエリアネットワークの識別子を通常のデータとともに送信する。
【0063】
管理センターは、変換モジュールにより復号化されたデータを受信することを許可されていないローカルエリアネットワークの識別子のリストを有し、この情報を前記モジュールに通知する。
【0064】
すると変換モジュールはそのようなネットワークとともに作動することに同意するか拒否することができる。
【0065】
例えば第三者がその端末モジュールをテレビDV1に接続するようになった場合、変換モジュールは複数のローカルエリアネットワークと対話できるようになることに留意すべきである。この構成では、変換モジュールは複数のネットワーク識別子をそのメモリーに保存することができる。
【0066】
一実施形態においては、暗号化されたデータ、特に単数又は複数の復号化鍵を含むメッセージは、そのような確認が義務であり、ある所与のローカルエリアネットワークについての再暗号化の前に行わなければならなくなるような条件を含むことができる。
【0067】
従ってデコーダは、自身に接続されているローカルエリアネットワークの識別子を承認するために、確認操作を実行する。ローカル鍵のネゴシエーションの際に別のネットワーク識別子が通知された場合、デコーダは、ローカルエリアネットワーク側への制御語の復号化を許可しない。
【0068】
従って、新しいセキュリティーレベルを設定するために、暗号化されたデータ、或いはこれを伴う鍵の中に条件を入れ込むことが可能である。
【0069】
本発明の適用形態は、プリント上に直接取り付けられたセキュリティモジュールを有する再生装置に対し特に好適であることに留意すべきである。このモジュールは、(場合によってはハンダ付けされた)電子回路の形態であり、ユーザーセキュリティモジュールの全ての機能を含むことになる。マスターモジュールのみがリムーバブルとなり、ネットワークを初期化し従ってネットワーク鍵をこの電子回路にロードする目的のためだけに接続される。この装置が別のネットワークを接続しなければならない場合も、前ネットワークへの所属の消去を許可し、新規ネットワークの接続を許可するだけでよい。
【0070】
ネットワーク鍵により保存され暗号化されていたであろうデータの初期化するには、自前のネットワーク鍵を使用してユーザーモジュールの役割を果たすマスターモジュールが依然として残っている。
【図面の簡単な説明】
【0071】
【図1】図1はローカルエリアネットワークの構成を示す図である。
【特許請求の範囲】
【請求項1】
暗号化されたデータのフローの少なくとも1つの再生装置と、前記暗号化されたデータの全て又は一部の配信又は再暗号化装置とを含み、これら2つの装置がセキュリティモジュールを備える、ローカルエリアネットワークの構築及び管理方法であって、
‐ ローカルエリアネットワークに接続された装置のうちの1つにマスターセキュリティモジュールを接続する工程と、
‐ マスターセキュリティモジュールによりローカルエリアネットワーク鍵を作成する工程と、
‐ このネットワーク鍵をユーザーセキュリティモジュールのうちの1つ又は複数にセキュアな状態で送信する工程と、
‐ 配信及び再暗号化装置により暗号化されたデータを復号化する工程と、
‐ ローカル鍵を使用し前記装置によりデータを再暗号化する工程と、
‐ 再暗号化されたデータを再生装置に送信する工程と、
‐ 再生装置に結合され、ローカル鍵を見つけるための手段を有するユーザーセキュリティモジュールにより前記再生装置で復号化する工程と
を含む方法。
【請求項2】
ローカル鍵が、ランダムに生成されネットワーク鍵で暗号化されたセッション鍵であることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項3】
ローカル鍵がネットワーク鍵であることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項4】
ローカルエリアネットワークの初期化時、鍵の擬似ランダム生成によりネットワーク鍵の作成が得られることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項5】
ネットワーク鍵の作成がマスターモジュールを初期化する工程の際に行われることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項6】
マスターモジュールがリムーバブルセキュリティモジュール内にあることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項7】
リムーバブルセキュリティモジュールが、マスターモジュールによって管理されるネットワークの一部を成すユーザーモジュールを備えることを特徴とする、請求項6記載のローカルエリアネットワークの構築及び管理方法。
【請求項8】
ユーザーセキュリティモジュールが、再生装置の製造時に実装される電子回路の形態であることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項9】
ユーザーセキュリティモジュールがリムーバブルセキュリティモジュールの形態であることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項10】
配信及び再暗号化装置が前記変換モジュールと呼ばれるセキュリティモジュールを備え、このモジュールが、変換モジュールがデータを再暗号化するネットワークを構築したマスターモジュールの識別子を受信し保存することを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項11】
管理センターへの接続工程の際、マスターモジュールのこの識別子が前記管理センターに送信されることを特徴とする、請求項10記載のローカルエリアネットワークの構築及び管理方法。
【請求項1】
暗号化されたデータのフローの少なくとも1つの再生装置と、前記暗号化されたデータの全て又は一部の配信又は再暗号化装置とを含み、これら2つの装置がセキュリティモジュールを備える、ローカルエリアネットワークの構築及び管理方法であって、
‐ ローカルエリアネットワークに接続された装置のうちの1つにマスターセキュリティモジュールを接続する工程と、
‐ マスターセキュリティモジュールによりローカルエリアネットワーク鍵を作成する工程と、
‐ このネットワーク鍵をユーザーセキュリティモジュールのうちの1つ又は複数にセキュアな状態で送信する工程と、
‐ 配信及び再暗号化装置により暗号化されたデータを復号化する工程と、
‐ ローカル鍵を使用し前記装置によりデータを再暗号化する工程と、
‐ 再暗号化されたデータを再生装置に送信する工程と、
‐ 再生装置に結合され、ローカル鍵を見つけるための手段を有するユーザーセキュリティモジュールにより前記再生装置で復号化する工程と
を含む方法。
【請求項2】
ローカル鍵が、ランダムに生成されネットワーク鍵で暗号化されたセッション鍵であることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項3】
ローカル鍵がネットワーク鍵であることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項4】
ローカルエリアネットワークの初期化時、鍵の擬似ランダム生成によりネットワーク鍵の作成が得られることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項5】
ネットワーク鍵の作成がマスターモジュールを初期化する工程の際に行われることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項6】
マスターモジュールがリムーバブルセキュリティモジュール内にあることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項7】
リムーバブルセキュリティモジュールが、マスターモジュールによって管理されるネットワークの一部を成すユーザーモジュールを備えることを特徴とする、請求項6記載のローカルエリアネットワークの構築及び管理方法。
【請求項8】
ユーザーセキュリティモジュールが、再生装置の製造時に実装される電子回路の形態であることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項9】
ユーザーセキュリティモジュールがリムーバブルセキュリティモジュールの形態であることを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項10】
配信及び再暗号化装置が前記変換モジュールと呼ばれるセキュリティモジュールを備え、このモジュールが、変換モジュールがデータを再暗号化するネットワークを構築したマスターモジュールの識別子を受信し保存することを特徴とする、請求項1記載のローカルエリアネットワークの構築及び管理方法。
【請求項11】
管理センターへの接続工程の際、マスターモジュールのこの識別子が前記管理センターに送信されることを特徴とする、請求項10記載のローカルエリアネットワークの構築及び管理方法。
【図1】
【公表番号】特表2007−528145(P2007−528145A)
【公表日】平成19年10月4日(2007.10.4)
【国際特許分類】
【出願番号】特願2006−520053(P2006−520053)
【出願日】平成16年7月6日(2004.7.6)
【国際出願番号】PCT/IB2004/051130
【国際公開番号】WO2005/006706
【国際公開日】平成17年1月20日(2005.1.20)
【出願人】(504344495)ナグラビジョン エス アー (20)
【Fターム(参考)】
【公表日】平成19年10月4日(2007.10.4)
【国際特許分類】
【出願日】平成16年7月6日(2004.7.6)
【国際出願番号】PCT/IB2004/051130
【国際公開番号】WO2005/006706
【国際公開日】平成17年1月20日(2005.1.20)
【出願人】(504344495)ナグラビジョン エス アー (20)
【Fターム(参考)】
[ Back to top ]