低階層キーマネージメントシステムおよび方法
【課題】
【解決手段】メディアストリーム復号化キーを管理する制御装置が、メディア復号化エンジンと、テーブルと、コンテントキーリストとを具える。このメディア復号化エンジンは、ヘッドエンドから暗号化されたメディアストリームを受信し、復号化キーに対応する受信装置に復号化されたメディアストリームを送信し、前記復号化キーはコンテントキーの機能を有する。テーブルは、コンテントキーインデックスおよび複数の対応するコンテントキーを含む。特定の暗号化されたメディアストリームに対応するコンテントキーは、暗号化されたメディアストリームに対応するヘッドエンドから受信する識別子より参照されるコンテントキーテーブルのインデックスを利用して選択される。
【解決手段】メディアストリーム復号化キーを管理する制御装置が、メディア復号化エンジンと、テーブルと、コンテントキーリストとを具える。このメディア復号化エンジンは、ヘッドエンドから暗号化されたメディアストリームを受信し、復号化キーに対応する受信装置に復号化されたメディアストリームを送信し、前記復号化キーはコンテントキーの機能を有する。テーブルは、コンテントキーインデックスおよび複数の対応するコンテントキーを含む。特定の暗号化されたメディアストリームに対応するコンテントキーは、暗号化されたメディアストリームに対応するヘッドエンドから受信する識別子より参照されるコンテントキーテーブルのインデックスを利用して選択される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、低階層キーマネージメントシステムおよび方法に関する。
【背景技術】
【0002】
メディア(例えば、デジタルビデオ、オーディオ、ビデオとオーディオの複合機等)ストリームの生成および配信システム(例えば、ケーブルシステム)は、キーによる暗号化および復号化を利用してメディアのストリームコンテキストのセキュリティを提供している(例えば、メディアストリームの権限のない使用や侵害を減らしまたは防ぐこと)。暗号化/復号化キーの管理の提供に用いられる従来の製品は、通常扱いにくく、実現および使用するのに費用がかかる。
【0003】
一般に、従来のメディアストリームの限定受信システム(CAS)、カテゴリーキー、またはセッションキーをプログラム制御情報(ECMs)の復号化に使用して、メディアストリームでコンテントキーまたはコントロールワードを得る。各メディアプログラムストリームは特有のコンテントキーまたはコントロールワードを有している。
【0004】
したがって、従来の方法よりも費用が少なく、また実現し易くて使い易い低階層のキーマネージメントシステムおよび方法が所望されている。
【発明の開示】
【課題を解決するための手段】
【0005】
本発明は通常、従来の方法よりも費用が少なくまた実現し易くて使い易い、低階層のキーマネージメントシステムおよび方法を提供する。本発明は通常、(認証に基づく機能を利用して)キーマネージメント製品を安全に復元および変更することができる新しい概念を提供し、独占的および非独占的なシステムの両方をサポートする。
【0006】
本発明により、メディアストリーミングの復号化キーを管理する制御装置が提供される。前記制御装置は、メディア復号化エンジンと、テーブルと、およびコンテントキーリストとを具える。前記メディア復号化エンジンは通常、復号化されたメディアストリームをヘッドエンドから受信し、復号化されたメディアストリームを復号化キーに対応する受信装置に送信する。前記暗号キーは通常、コンテントキーの機能を有する。前記テーブルは、コンテントキー、インデックス、および複数の対応するコンテントキーを含む。特定の復号化されたメディアストリームに対応するコンテントキーは、前記コンテントキーテーブルのインデックスを使って前記コンテントキーリストから選択され、前記暗号化メディアストリームに対応するヘッドエンドから受信する識別子により参照される。前記テーブルは選択的に(すなわち、代替的に)、インデックスを付したり選択可能な初期化ベクタ(IV)値を含んでもよい。
【0007】
また、本発明によりメディアストリーム復号化キーの管理方法が提供される。前記方法は、ヘッドエンドから暗号化されたメディアストリームを受信するステップと、メディア復号化エンジンを用いて復号化キーに対応する受信装置に復号化したメディアストリームを送信するステップとを具える。前記復号化キーは通常、コンテントキーの機能を有する。前記方法はさらに、コンテントキーインデックスおよび複数の対応するコンテントキーインデックスをテーブルに格納するステップと、前記暗号化されたメディアストリームに対応する前記ヘッドエンドから受信する識別子により参照される前記コンテントキーテーブルのインデックスを利用して、コンテントキーリストから特定の暗号化されたメディアストリームに対応するコンテントキーを選択するステップとを具える。前記テーブルは選択的に(すなわり、代替的に)、インデックスを付したり選択可能な初期化ベクタ(IV)値を含んでもよい。
【0008】
さらに、本発明によりメディアストリームを配信、受信、および表示するシステムが提供される。前記システムは、ヘッドエンドと、メディア復号化エンジンと、テーブルとを具える。前記ヘッドエンドは、少なくとも一つの暗号化されたメディアストリームを生成および送信するように設定される。前記メディア復号化エンジンは通常、少なくとも一つの暗号化されたメディアストリームを受信し、復号化キーに応じて復号化されたメディアストリームを送信する。前記復号化キーは、コンテントキーの機能を有する。特定の暗号化されたメディアストリームに対応するコンテントキーは、前記暗号化されたメディアストリームに対応する前記ヘッドエンドから受信する識別子により参照されるコンテントキーインデックスのエントリを用いて、コンテントキーテーブルから選択される。
【0009】
本発明の上記特徴ならびにその他の特徴および利点は、添付図面と関連して、以下の詳細な説明により容易に理解できる。
【発明を実施するための最良の形態】
【0010】
本発明を説明する用語は以下のように定義されている。
AES:次世代暗号化標準。AESは通常、DESと比較した場合に、デジタルコンテントをデジタルビデオレコーディングに記憶するのに用いられる非常に安全なアルゴリズムである。AECに使用される標準的な鍵長は、128ビットである。
DES:データ暗号化標準。56ビットの鍵長を採用する、鍵長が固定されたセキュリティアルゴリズムである。DESきーとしていかなる56ビットの数を用いることができる。DESは比較的鍵長さが短いため、正しいキーが見つかる(すなわち、キーが“解読される”)まで考えられる総てのキーが一つ一つ試されるブルートフォースアタックに弱い。
エレクトロニックコードブロック:ECB。ECBでは、メッセージは64ビットブロックに分割され、各ブロックが別々に暗号化される。暗号化はブロック毎で独立である。
エンタイトルメントコントロールメッセージ:ECM。通常、プログラムのアクセス要求を定義し、受信を要求するティアおよびプログラムの衝動買いに関連する費用を特定するメッセージである。インデックスは、コンテントキーを参照してECMで配信される。暗号化されたプログラムキーは、ECMストリームで配信される。
エンタイトルメントマネージメントメッセージ(ストリーム):EMM。それぞれ独立したデコーダのアクセス権を定義するメッセージである。EMMは、アクセス制御装置で処理されるが、ユーザのプロセッサは、EMMをバッファし、インタフェースを介してアクセス制御装置に送る。
ハッシュ:大きなドメインからの入力(例えば、入力ストーム)を小さいセットの出力(すなわち、ハッシュ値、例えば、出力ストリーム)に変換する機能(または処理)である。様々なハッシュ処理は、入力ストリームおよび出力ストリームのセットのそれぞれのドメインおよびパターンにおいて異なり、類似する入力ストリームは、別々の出力ストリームを生成する。ハッシュが生成するアルゴリズムの一例は、セキュアハッシュアルゴリズム−1(SHA−1)である。ハッシュが生成するアルゴリズムの別の例は、メッセージダイジェスト5(MD5)である。ハッシュは適切なアルゴリズムを用いて生成され、特定のアプリケーションの設計基準に適合する。
ヘッドエンド:ケーブルテレビシステムのコントロールセンタであり、放送信号が受信および配信される。ヘッドエンドは通常、アンテナ、プリアンプ、周波数コンバータ、復調器、エンコーダ、圧縮器、自動切り替え装置、ならびに配信チャネルの提供のために衛星および地上のストリームを受信、増幅、フィルタリング、暗号化、符号化するその他の関連する装置を含む。
初期化ベクタ:IV。ブロック暗号の初期化ベクタは、いくつかのフィードバックモードの初めのデータブロックに結合するビットブロックである。IVは、同様の簡単なテキストがチェーンブロック符号化(CBC)モードで同一のキーで暗号化された場合でも、各暗号テキストをユニークにする。
キーリスト:デコーダアドレスおよび各デコーダキーが順序付けて並べられたリストである。キーリストは、エンコーダシステムに特有のデコーダに埋め込まれる診断回路に送るアルゴリズムメッセージを生成するために、アップリンクコントロールシステム(UCS)で使用される。
プログラム:エンティティとして送られる(すなわち、提供、放送、送信、配信等)動画情報、オーディオ情報、またはこれらの組合せの時間的に連続したコレクションである。
プログラムキー:特定のプログラムのアクセス、暗号化/復号化等を制御する暗号化/復号化キーである。
トリプル−DES:(3−DES)3つの異なるキーを使用し、または、代わりに1つのキーを3つのセグメントキーの第1および第3のセグメントに使用して第2のキーを中間のセグメントに使用して、キー全体のビット幅が112または168ビットがまた、特定の構造およびエンタイトルメント内のキーを保護するのに使用される3重のDES暗号化アプリケーション。
装置アドレス:一のデコーダを別のデコーダから識別および区別する固有の数字である。ユニットアドレスの一例は、メディアアクセスコントロール(MAC)である。
装置キー(またはプライベートキー):各デコーダに固有のキーである。特定のデコーダ用のメッセージが、各装置キーにより暗号化される。
装置キーリスト:装置アドレスおよび各装置キーを含むファイルである。
アップリンクコントロールシステム(UCS):デジタルで圧縮されたサービスを安全に配信するのをサポートするソフトウェアである。UCSは通常、イベントベースで各デコーダを許可および拒否する権限を提供する。
UTC:ユニバーサルタイムコードである。
ワーキングキー:通常、1秒間に数回変化するレベルの低いキーである。ワーキングキーは通常、関連するプログラムの時間と等しいまたは短い有効性を有する。ワーキングキーはまた、“コントロールワード”として参照される。一般的な例では、ワーキングキーは、20から30秒おきに変化する。ある例(サービスに映像コンポーネントがない場合)では、ワーキングキーの期間(すなわち、ワーキングキーがプログラムに対して有効である期間)の長さは適切な時間間隔で設定される。しかしながら、ワーキングキーが変化する適切な時間は、特定のアプリケーションの設計基準に適合するように設定することができる。ワーキングキーは、キーストリームを動作させるのに用いられる。ワーキングキーは通常、暗号化された状態で各プログラムキーとともに配信される。
ワーキングキーファイル:プログラムキーで暗号化されたプログラム全体のワーキングキーを含むファイルであり、通常時系列になっている。
【0011】
本発明の低階層キーマネージメントは通常、エンタイトルメントマネージメントメッセージ(EMM)、エンタイトルメントコントロールメッセージ(ECM)、コンテントキー、および関連するキーの更新および再設定可能なセキュリティシステムおよび方法を提供する。通常の限定受信システム(CAS)では、(EMMにより復号化される)カテゴリーキーまたはセッションキーが、ECMを復号化するのに使用され、ビデオストリームのコンテントキーまたはコントロールワードを取得する。各メディアストリーム(すなわち、ビデオプログラムストリーム)は通常、固有のコンテントキーまたはコントローキーを有する。本発明の低階層キーマネージメントは通常、安全性の高い方法により、(一方向のハッシュ(例えば、SHA−1、MD5等)、排他的論理和(EXOR)処理などの1以上の相互に定義されるアルゴリズムおよびデータを利用し、総てのプログラムメディアストリームのEMMの一部として保護される)トリプルDESまたはAESのような対称なキーのセットを配信する。AES、DESまたはトリプルDESのECBモードは、CBCモードが初期化ベクタ(IV)を要求するのに対し、IVを要求しない。本発明のシステムおよび方法は、選択的に(すなわち、代替的に)、CBCモードが選択されたアルゴリズムに使用される場合に参照および選択されるIVを含んでもよい。
【0012】
キーリストを配信するヘッドエンドおよび受信装置はいずれも、暗号化されたデータを受信し、復号化されたテキストキーを取得することができる。また、インデックステーブルは通常、配信されるキーを参照するために配信される。EMMアップデートは通常、初めのテーブルが送信された後、単独でエンタイトルメントを配信するのに用いられる。ある例では、本発明の低階層により、プログラム識別子(PID)を使用してキーインデックスを取得することできる。別の例では、本発明の低階層により、ビデオオンデマンド(VOD)セッションIDのようなセッションIDを用いてキーインデックスを取得することができる。キーインデックスは通常、1以上の関連するコンテントキーを参照するインデックスを決定するのに使用される。
【0013】
キーインデックスは通常、暗号ブロックチェーンモードが使用される場合に、キー(および代替的にIV)を取得するのに使用される。インデックステーブルは、新しいEMMのそれぞれに新しいキーを送信する代わりの手段として、アップデート可能である。ストリームは他のキーの組合せから数学的に得られるため、キーの数は、プログラムストリームおよびコンテントキー全体の数より少なくすることができる。その他の場合では、サービスティア全体を同一の汎用キーに組み込むことができ、各ティアのプログラムストリーム用に派生キーを生成することができる。本発明のシステムおよび方法により、カテゴリまたはセッションキーおよびヘッドエンドからの関連するECMを削減することができる。
【0014】
VODサービスでは、セッションをセットアップするときにキーテーブルを生成および配信することができる。VODサービスのキーは、短いワーキングキー期間用のその他の情報と同様に、キーの変更に関する対称な情報とともに配信することができる。VODセッションIDまたは、代替的にプログラムIDをインデックスとして使用して、VOD送信復号化情報の適切なレコードによりキーリストを参照することができる。本発明の低階層キーマネージメントの代替的な実施例では、一方向のハッシュが、復号化されたキーの保護、選択、および処理に用いられる。
【0015】
本発明の低階層キーマネージメントシステムは通常、限定受信システム(例えば、放送およびビデオオンデマンドアプリケーション)の復号化されたプログラムストリーム用のコンテントキーを配信する新しくてより安全で簡潔なシステムおよび方法を提供する。本発明のキーマネージメントは、初めてエンタイトルメントメッセージが送信された場合(提供、伝送、供給、放送等)に新しいコンテントキーの配信に必要とされる複雑さを劇的に低減することができる。本発明の低階層キーマネージメントシステムおよび方法は、新しいCASシステムの一部として実現される。このCASシステムは通常、インフラストラクチャ使用される特定のコンテントセキュリティメカニズムに関わらず、インフラストラクチャに対応する装置の製造および販売を提供する。新しいCASシステムは、より効果的な製造、販売および運用を提供し、従来の方法に比べ、非常に安価な宅内機器(CPE)の販売の可能性を含む新しいビジネスモデルを可能にする。
【0016】
本発明の低階層キーマネージメントはユーザーが順応し易く、また従来の方法に比べ、ヘッドエンドのインパルスペイパービュー(IPPV)およびビデオオンデマンド(VOD)のセキュリティを簡素化するのに役立つ。本発明の簡素化されたキーマネージメント構造はIPPVおよびVOD技術に適応でき、これによりVODのセキュリティ方法の総てを標準化することが可能である。
【0017】
本発明は、マルチプルシステムオペレータ(MSO)用の新しい種類の製品を導入するための総ての家庭用電化製品(CE)を産業に提供するため、本発明の低階層キーマネージメントにおける固有のシステムおよび方法の商業的価値は、潜在的に非常に大きい。さらに、総ての家庭用電化製品メーカーは潜在的な顧客である。本発明は、ヘッドエンド、STB、およびデジタルテレビの製造費用全体を低減し、IPPVおよびVODのコストを低減し、複雑さを軽減することができ、これにより、従来の方法に比べてMSOの費用を有意に削減することができる。さらに、コストを劇的に削減すると同時に革新および新しいビジネスを生み出すことにより、本発明の低階層キーマネージメントは、デジタル放送衛星(DBS)(すなわち、衛星を介したデジタルTVの送信)などの双方向の映像配信および映像システムを利用した新しい遠距離通信に対するケーブルテレビ装置の競争力を高めることができる。
【0018】
図1aを参照して、本発明のメディアデコーダ(すなわち、制御装置、プロセッサ、装置、回路、デバイス等)100を示す図を説明する。デコーダ100は、デジタルメディアストリーム配信システム(図2(a−b)により詳細に説明する)に関連して実現される。制御装置100は通常、少なくとも1つのセキュリティに関する特徴(例えば、暗号化、復号化、認証、セキュリティキー管理、コピープロテクション、デジタル権利管理等)を少なくとも1つのデジタルメディア入力/出力ストリームに提供するセキュリティプロセッサ(または処理システム)として実現される。デコーダ100は通常、少なくとも1つの信号(例えば、VIDINおよびPID)を受信する入力102と、付加データ、信号、メッセージ等と同じように信号(例えば、TFHE)を受信/送信する入力/出力104と、ワーキングキーモディファイヤおよびアプリケーションファンクション信号(例えば、WKM)を受信する入力106と、信号(例えば、VIDOUT)を送信する出力108とを具える。
【0019】
VIDINおよびVIDOUTストリームはそれぞれ、暗号化およびクリア(すなわち、暗号化されていないまたは復号化された)状態(または条件)であるデジタルメディアストリームとして実現される。各VIDINおよびVIDOUTストリームは通常、デジタルメディア信号のストリーム(例えば、MPEG、MPEG2等、ストリームまたはその他の送信ストリーム)として実現される。ある例では、VIDOUTストリームは、VIDINストリームを復号(伸張)したバージョンとして実現される。しかしながら、VIDINおよびVIDOUTストリームは、特定のアプリケーションの設計基準に適合する様々な適切なフォーマットおよびプロトコルを有して実現することができる。
【0020】
信号PIDは、ユーザ(すなわち、顧客、クライアント、視聴者、リスナー)により選択された各プログラムのプログラム識別子として実現される。信号TFHEは、帯域外(OOB)送信によるヘッドエンドから受信しヘッドエンドへ送信する少なくとも一つのエンタイトルメントマネージメントメッセージ(EMM)として実現される。ワーキングキーモディファイヤおよびアプリケーションファンクション(例えば、暗号化を強化するためにコンテントキーに適用されるファクタ、オペレータ、またはファクタおよびオペレータの組合せ)WKMは通常、暗号化されたメディアストリーム(例えば、VIDINストリーム)ワーキングキーを生成すべくコンテントキーに組み合わされて、復号化された出力メディアストリーム(例えば、VIDOUTストリーム)を生成する。
【0021】
制御装置100は通常、メディアストリーム送信復号化エンジン110と、テーブル112と、リスト114と、コンバイナ116とを具える。デコーダ100は通常、少なくとも1つのプロセッサ(例えば、マイクロプロセッサ、制御装置等)と、1以上のプロセス、ルーチン、エンジン、リスト、テーブル等が格納された少なくとも1つのメモリ(例えば、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、NVROM、フラッシュ、EPROM等)とにより実現される。エンジン110、テーブル112、リスト114、およびコンバイナ116は通常、デコーダ100のプロセッサおよびメモリ内で実現される。
【0022】
エンジン110は、(図2に関連して説明する)ヘッドエンドからストリーム(例えば、VIDIN)受信する第1の入力と、ストリーム復号化ワーキングキー(例えば、WK)を受信する入力と、ストリーム(例えば、VIDOUT)を送信(すなわち、伝送、放送、送出)する出力とを具える。復号化エンジン110は、メディアストリームVIDINを復号化(伸張)し、ワーキングキー(WK)およびメディアストリーム(VIDIN)に応じて復号化されたメディアストリームVIDOUTを送信するよう設定できる。復号化キーWKは通常、コンテントキーの機能を有する。
【0023】
入力/出力104は、ヘッドエンド(例えば、図2(a、b)と関連してより詳細に説明するヘッドエンド202)およびメディアデコーダ100間で認証されたエンタイトルメントマネージメントメッセージ(EMM)のダウンロードに対応(または関連)するインタフェースを提供する。入力/出力104はさらに、エンタイトルメント構造、コンテントキーリスト、IVリスト、コンテントキーインデックステーブル、およびデジタル署名のいずれか一つに関連する、デコーダへのダウンロードに対応するインタフェースを提供する。
【0024】
テーブル112は通常、コンテントキーインデックステーブルを具える。テーブル112のコンテンツは通常、ヘッドエンドから(例えば、入力/出力104を介して)ロードされる。ヘッドエンドからダウンロードする間、コンテントキーリストテーブルは、それぞれの装置またはデバイスキーを利用して復号化および伸張される。テーブル112は、入力102を介して識別子PIDを受信する。テーブル112は、当該テーブルに含まれるコンテントキーインデックスを利用して、テーブル112のそれぞれの値に基づき、識別子PIDに対応するコンテントキーリストにインデックス(例えば、IND)を送信する。代替的(すなわち、選択的)な例では、テーブル112は、コンテントキーおよびIVインデックスデーブルを含む。
【0025】
リスト114には通常、各インデックス値(例えば、インデックスIND)により参照されるコンテントキーリストが含まれる。リスト114のコンテンツは、入力/出力104を介してロードされる。リスト114は、各インデックスINDに応答してコンバイナ116にコンテントキーを送信するよう設定される。特定の暗号化されたメディアストリームVIDINに対応するリスト114のコンテントキー(および、代替的または選択的に、IV値)は、暗号化されたメディアストリームVIDINに対応するヘッドエンドから受信する識別子PIDにより参照されるコンテントキー(および、代替的または選択的に、IV)インデックスのエントリを用いて、コンテントキー(および、代替的または選択的に、IV)テーブル112から選択される。特定の暗号化されたメディアストリームに対応するコンテントキーおよびIVは、選択されたアルゴリズムのモードとして暗号ブロックチェーンが使用される場合、暗号化されたメディアストリームに対応するヘッドエンドから受信する識別子PIDにより参照されるコンテントキーおよびIVテーブルのインデックスINDを利用して、コンテントキーおよびIVリストから選択される。
【0026】
コンバイナ116は、ワーキングキーモディファイヤWKMおよびコンテントキーに対応するエンジン110にワーキングキーWKを送信するよう設定される。コンバイナ116は、ハッシュおよび排他的論理和(EXOR)処理(すなわち、ルーチン、アルゴリズム、プロセス、方法、ステップ、ブロック等)のうち少なくとも一つを利用して、ワーキングキーモディファイヤWKMおよびコンテントキーを結合する。ある例(選択的または代替的な処理モード)では、コンバイナ116はワーキングキーWKを定期的に変更するよう設定してもよい。例えば、コンバイナ116は、ビデオフレームの表示4回毎にワーキングキーWKを変更してもよい。
【0027】
本発明により、従来の方法で使用していた各エンタイトルメントコントロールメッセージ(ECM)の送信、受信、および処理の必要がなくなる。このように、本発明の低階層キーマネージメントは、従来の方法に比べて、費用が抑えられ、実現し易くて使い易い。
【0028】
図1bを参照して、本発明の代替的なメディアデコーダ(すなわち、制御装置、プロセッサ、装置、回路、デバイス等)100’を示す図を説明する。デコーダ/制御装置100’はデコーダ/制御装置100と同様に実現され、さらに、1以上の一方向ハッシュ処理部118(例えば、処理部118a−118n)を具える。ハッシュ処理部118は、リスト114を介してテーブル112から選択されるインデックスIND、および112から選択されるキーの少なくとも一つに一方向ハッシュ処理(すなわち、プロセス、ルーチン、アルゴリズム等)をし、モディファイヤWKMと組み合わせて復号化(すなわち、ワーキング)キーWKを生成する。
【0029】
図1cを参照して、本発明の代替的なメディアデコーダ(すなわち、制御装置、プロセッサ、装置、回路、デバイス等)100’を示す図を説明する。デコーダ100’’は、ビデオオンデマンド(VOD)キーマネージメントに関連して効果的に実現される。メディアストリームVIDINは、暗号化されたVODメディアストリームである。メディアストリームVIDOUTは、復号化されたVODメディアストリームである。入力102は、メディアストリームVIDINを受信する。ある例では、入力102は識別子PIDを受信する。別の例では、入力102はVODセッション識別子(例えば、VODID)を受信する。デコーダ100’’は通常、ワーキングキーモディファイヤWKMを受信しない。
【0030】
入力/出力104は、ヘッドエンドおよびメディアデコーダ100’間で認証されたEMMのダウンロードに対応(または関連)するインタフェースを提供する。入力/出力104はさらに、エンタイトルメント構造、VODキーレコードリスト、IVリスト、コンテントキーインデックステーブル、およびデジタル署名のうち少なくとも一つに関連するデコーダへのダウンロードに対応するインタフェースを提供する。
【0031】
制御装置100’’は通常、メディアストリーム送信復号化エンジン110、テーブル112’’、およびリスト114’’を具える。デコーダ/制御装置100’’は通常、デコーダ100のコンバイナ116のようなコンバイナなしで実現される。エンジン110は、ワーキングキーWKの代わりにビデオコンテントキー(例えば、VK)を受信する。エンジン110は、メディアストリームVIDINおよび復号化キーVKに対応する復号化されたメディアストリームVIDOUTを生成および送信する。
【0032】
テーブル112’’は通常、コンテントキー(および、代替的または選択的に、IV)インデックステーブルを具える。テーブル112’’のコンテンツは通常、ヘッドエンド(例えば、入力/出力104を介して)からロードされる。テーブル112’’は、入力102を介して識別子PIDまたは代替的に識別子VODIDを受信する。テーブル112’’は、テーブル112’’に含まれるキーレコードインデックスを利用して、テーブル112’’の各値に基づき、識別子PIDまたは代替的にVODIDに対応するコンテントキーリスト114’’にインデックス(例えば、IND’’)を送信する。
【0033】
リスト114’’は通常、各インデックス値(例えば、インデックスIND’’)により参照されるVODコンテントキー(例えば、キーVK)のリストを含む。リスト114’’のコンテンツは入力/出力104を介してロードされる。リスト114’’は、各インデックスIND’’に対応するエンジン110にコンテントキーを送信するよう設定される。特定の暗号化されたVODメディアストリームVIDINに対応するリスト114’’のVODコンテントキー(および、代替的または選択的にはIV)VKは、暗号化されたメディアストリームVIDINに対応するヘッドエンドから受信する識別子PIDまたは代替的に識別子VODIDにより参照されるコンテントキーレコードインデックスのエントリを利用して、コンテントキー(および、代替的または選択的にはIV)テーブル112’’から選択される。ストリーム復号化キーVKは通常、各キー単位でエンジン110に送信される。
【0034】
図1dを参照して、本発明の代替的なメディアデコーダ(すなわち、制御装置、プロセッサ、装置、回路、デバイス等)100’’’を示す図を説明する。デコーダ/制御装置100’’’は、デコーダ/制御装置100’’と同様に実現され、さらに1以上の一方向ハッシュ処理部118a−118nを具える。このハッシュ処理部118は、リスト114’’を介してテーブル112’’から選択されるインデックスIND、112’’から選択されるキーの少なくとも一つに一方向ハッシュ処理をして復号化(すなわち、ワーキングキー)VKに組み合わせるように設定される。
【0035】
図2aを参照して、本発明に関連して実現されるメディアストリーム処理および配信システム200を示す図を説明する。この配信システム200は通常、ヘッドエンド202と、ネットワーク204と、少なくとも一つのセットトップボックス(STB)206(通常、複数のSTB206a−206n)と、少なくとも一つの各受信装置(通常、複数の装置208a−208n)とを具える。配信システム200は通常、メディアサービスプロバイダ/加入者システムとして実現され、プロバイダ(またはベンダ)は通常、ヘッドエンド202およびネットワーク204を管理し、また加入者(すなわち、クライアント、顧客、サービスを受ける人、ユーザ等)にSTB206を提供する。
【0036】
STB206は通常、加入者の敷地(図示せず、例えば、住宅、居酒屋、ホテルの個室、会社等)に設置され、受信装置208は通常、クライアントにより提供される。装置208は通常、テレビ、高鮮明度テレビ(HDTV)、モニタ、ラジオ、パーソナルコンピュータ、メディアプレイヤー、デジタルビデオプレーヤ、ゲームプレー装置等として実現される。装置208は、STB206、ヘッドエンド202、またはSTB206およびヘッドエンド202双方に接続される双方向通信機能を有する送受信装置として実現される。
【0037】
ヘッドエンド202は通常、ネットワーク204に電気的に接続され、当該ネットワーク204は通常、STB206に電気的に接続され、当該STB206は通常、各装置208に電気的に接続される。電気的な接続は、適切な配線(例えば、ツイストペア、非ツイスト導線、同軸ケーブル、マイクロワイヤ、光ファイバーケーブル、ハイブリッドファイバーケーブル等)または無線(例えば、無線周波数、マイクロ波、赤外線)による接続および特定の設計基準に適合するプロトコル(例えば、ホームプラグ、HomePNA、IEEE802.11(a、b)、ブルートゥース、HomeRF等)として実現される。配信システム200は、一つのSTB206がそれぞれ一つの装置208に接続するように図示されているが、各STB206は、1以上の装置208(図示せず)に接続する機能を有するように実現してもよい。
【0038】
ヘッドエンド202は通常、アンプ、プリアンプ、データサーバ、コンピュータ、プロセッサ、暗号化および復号化するセキュリティ装置およびシステム等として実現される複数の装置210(例えば、210a−210n)を具え、ビデオおよびオーディオデータ(例えば、映画、音楽、テレビ番組等)、処理装置(例えば、プロバイダにより管理される加入者アカウントサーバ)、テレビサービス送受信装置(例えば、通常のテレビおよびラジオ放送、デジタルテレビ、HDTV、オーディオ、MP3、テキストメッセージ通信、ゲーム等)、メディアストリーム等を提供するよう構成される。ある例では、ヘッドエンド202は、ストリームVIDIN、信号TFHE、およびプログラム識別信号PIDおよびVODIDを生成および送信(すなわち、伝送、提供、パス、放送、送出)する。
【0039】
ネットワーク204は通常、メディアサービスプロバイダのストリーム(通常のテレビおよびラジオ放送、デジタルテレビ、HDTV、オーディオ、MP3、テキストメッセージ通信、ゲーム)を選択的に配信(すなわち、送信および受信)するよう構成されたメディアストリーム配信ネットワーク(例えば、ケーブル、衛星等)として実現され、例えば、ストリームVIDIN、ダウンロードTFHE、および識別子PIDおよびVODIDをSTB206に配信し、例えば、VIDOUTとして受信装置208に配信する。ストリームVIDIN、ダウンロードTEHE、および識別子PIDおよびVODIDは通常、加入者情報に基づいて(または対応して)配信される。例えば、顧客が購入したサービスのレベル(例えば、基本サービス、プレミアムービーチャネル等)、顧客が要求したサービスの種類(例えば、通常のテレビ、HDTV、双方向メッセージ通信、ビデオオンデマンド、有料放送、インパルスペイパービュー等)等により、特定の加入者に送信(および加入者にから受信する)メディアストリームが決まる。
【0040】
STB206は通常、複数のストリーム機能(例えば、通常のテレビおよびラジオ放送、デジタルテレビ、オーディオ、MP3、高鮮明度テレビ(HDTV)、メッセージ通信等)を有するSTBとして実現される。STB206は通常、個別のメディアデコーダ(例えば、適切なデコーダ(制御装置)100、100’、100’’、および100’’’のうちの一つ)を少なくとも一つ具える。STB206は、暗号化(および圧縮)されたビデオおよびオーディオデータ(例えば、ストリームVIDIN)、EMM信号およびダウンロードTFHE、ID信号PIDおよびVODIDを受信し、EMM信号TFHEをネットワーク204を介してヘッドエンド202に送信し、暗号化されていないビデオおよびオーディオデータ(例えば、ストリームVIDOUT)を受信装置208に送信する。
【0041】
図2bを参照して、本発明に関連して実現されるメディアストリーム処理および配信システム200’を示す図を説明する。配信システム200’は通常、ヘッドエンド202と、ネットワーク204と、少なくとも一つの受信装置(すなわち、レシーバ、トランシーバ等)208’(通常、複数の装置208a’−208n’)とを具える。受信装置208’は通常、ネットワーク204に直接接続され、ストリームVIDIN、信号TFHE、およびプログラム識別情報信号PIDおよびVODIDを受信し、EMM信号TFHEを受信および送信する。受信装置208’は通常、個別のメディアデコーダ(例えば、適切なデコーダ(制御装置)100、100’、100’’、および100’’’のうちの一つ)を少なくとも一つ具える。
【0042】
別の例(図示せず)では、システム200’は、ネットワーク204に接続された少なくとも一つのSTB206と、これらに接続された少なく一つの受信装置208と、また、ネットワーク204に直接接続される少なくとも一つの装置208’とを具えるように構成してもよい。
【0043】
前述した説明から明らかなように、本発明は通常、低階層キーマネージメントの改良されたシステム(例えば、デコーダ100および100’)および改良された方法を提供し、従来の方法に比べて、費用を抑えられ、実現し易くまた使い易い。
【0044】
本発明の実施例が図示され、説明されているが、これらの実施例は本発明の総ての可能な形態を図示し、説明していることを意味するものではない。むしろ、明細書で使用された語は、限定ではなく説明としての語であり、また、本発明の意図及び目的を超えない限りにおいて、様々な変形例を実現できると解される。
【図面の簡単な説明】
【0045】
【図1a】図1(a)は、本発明のメディアストリームデコーダの図である。
【図1b】図1(b)は、本発明のメディアストリームデコーダの図である。
【図1c】図1(c)は、本発明のメディアストリームデコーダの図である。
【図1d】図1(d)は、本発明のメディアストリームデコーダの図である。
【図2a】図2(a)は、本発明を実現するメディア処理および配信システムの図である。
【図2b】図2(b)は、本発明を実現するメディア処理および配信システムの図である。
【技術分野】
【0001】
本発明は、低階層キーマネージメントシステムおよび方法に関する。
【背景技術】
【0002】
メディア(例えば、デジタルビデオ、オーディオ、ビデオとオーディオの複合機等)ストリームの生成および配信システム(例えば、ケーブルシステム)は、キーによる暗号化および復号化を利用してメディアのストリームコンテキストのセキュリティを提供している(例えば、メディアストリームの権限のない使用や侵害を減らしまたは防ぐこと)。暗号化/復号化キーの管理の提供に用いられる従来の製品は、通常扱いにくく、実現および使用するのに費用がかかる。
【0003】
一般に、従来のメディアストリームの限定受信システム(CAS)、カテゴリーキー、またはセッションキーをプログラム制御情報(ECMs)の復号化に使用して、メディアストリームでコンテントキーまたはコントロールワードを得る。各メディアプログラムストリームは特有のコンテントキーまたはコントロールワードを有している。
【0004】
したがって、従来の方法よりも費用が少なく、また実現し易くて使い易い低階層のキーマネージメントシステムおよび方法が所望されている。
【発明の開示】
【課題を解決するための手段】
【0005】
本発明は通常、従来の方法よりも費用が少なくまた実現し易くて使い易い、低階層のキーマネージメントシステムおよび方法を提供する。本発明は通常、(認証に基づく機能を利用して)キーマネージメント製品を安全に復元および変更することができる新しい概念を提供し、独占的および非独占的なシステムの両方をサポートする。
【0006】
本発明により、メディアストリーミングの復号化キーを管理する制御装置が提供される。前記制御装置は、メディア復号化エンジンと、テーブルと、およびコンテントキーリストとを具える。前記メディア復号化エンジンは通常、復号化されたメディアストリームをヘッドエンドから受信し、復号化されたメディアストリームを復号化キーに対応する受信装置に送信する。前記暗号キーは通常、コンテントキーの機能を有する。前記テーブルは、コンテントキー、インデックス、および複数の対応するコンテントキーを含む。特定の復号化されたメディアストリームに対応するコンテントキーは、前記コンテントキーテーブルのインデックスを使って前記コンテントキーリストから選択され、前記暗号化メディアストリームに対応するヘッドエンドから受信する識別子により参照される。前記テーブルは選択的に(すなわち、代替的に)、インデックスを付したり選択可能な初期化ベクタ(IV)値を含んでもよい。
【0007】
また、本発明によりメディアストリーム復号化キーの管理方法が提供される。前記方法は、ヘッドエンドから暗号化されたメディアストリームを受信するステップと、メディア復号化エンジンを用いて復号化キーに対応する受信装置に復号化したメディアストリームを送信するステップとを具える。前記復号化キーは通常、コンテントキーの機能を有する。前記方法はさらに、コンテントキーインデックスおよび複数の対応するコンテントキーインデックスをテーブルに格納するステップと、前記暗号化されたメディアストリームに対応する前記ヘッドエンドから受信する識別子により参照される前記コンテントキーテーブルのインデックスを利用して、コンテントキーリストから特定の暗号化されたメディアストリームに対応するコンテントキーを選択するステップとを具える。前記テーブルは選択的に(すなわり、代替的に)、インデックスを付したり選択可能な初期化ベクタ(IV)値を含んでもよい。
【0008】
さらに、本発明によりメディアストリームを配信、受信、および表示するシステムが提供される。前記システムは、ヘッドエンドと、メディア復号化エンジンと、テーブルとを具える。前記ヘッドエンドは、少なくとも一つの暗号化されたメディアストリームを生成および送信するように設定される。前記メディア復号化エンジンは通常、少なくとも一つの暗号化されたメディアストリームを受信し、復号化キーに応じて復号化されたメディアストリームを送信する。前記復号化キーは、コンテントキーの機能を有する。特定の暗号化されたメディアストリームに対応するコンテントキーは、前記暗号化されたメディアストリームに対応する前記ヘッドエンドから受信する識別子により参照されるコンテントキーインデックスのエントリを用いて、コンテントキーテーブルから選択される。
【0009】
本発明の上記特徴ならびにその他の特徴および利点は、添付図面と関連して、以下の詳細な説明により容易に理解できる。
【発明を実施するための最良の形態】
【0010】
本発明を説明する用語は以下のように定義されている。
AES:次世代暗号化標準。AESは通常、DESと比較した場合に、デジタルコンテントをデジタルビデオレコーディングに記憶するのに用いられる非常に安全なアルゴリズムである。AECに使用される標準的な鍵長は、128ビットである。
DES:データ暗号化標準。56ビットの鍵長を採用する、鍵長が固定されたセキュリティアルゴリズムである。DESきーとしていかなる56ビットの数を用いることができる。DESは比較的鍵長さが短いため、正しいキーが見つかる(すなわち、キーが“解読される”)まで考えられる総てのキーが一つ一つ試されるブルートフォースアタックに弱い。
エレクトロニックコードブロック:ECB。ECBでは、メッセージは64ビットブロックに分割され、各ブロックが別々に暗号化される。暗号化はブロック毎で独立である。
エンタイトルメントコントロールメッセージ:ECM。通常、プログラムのアクセス要求を定義し、受信を要求するティアおよびプログラムの衝動買いに関連する費用を特定するメッセージである。インデックスは、コンテントキーを参照してECMで配信される。暗号化されたプログラムキーは、ECMストリームで配信される。
エンタイトルメントマネージメントメッセージ(ストリーム):EMM。それぞれ独立したデコーダのアクセス権を定義するメッセージである。EMMは、アクセス制御装置で処理されるが、ユーザのプロセッサは、EMMをバッファし、インタフェースを介してアクセス制御装置に送る。
ハッシュ:大きなドメインからの入力(例えば、入力ストーム)を小さいセットの出力(すなわち、ハッシュ値、例えば、出力ストリーム)に変換する機能(または処理)である。様々なハッシュ処理は、入力ストリームおよび出力ストリームのセットのそれぞれのドメインおよびパターンにおいて異なり、類似する入力ストリームは、別々の出力ストリームを生成する。ハッシュが生成するアルゴリズムの一例は、セキュアハッシュアルゴリズム−1(SHA−1)である。ハッシュが生成するアルゴリズムの別の例は、メッセージダイジェスト5(MD5)である。ハッシュは適切なアルゴリズムを用いて生成され、特定のアプリケーションの設計基準に適合する。
ヘッドエンド:ケーブルテレビシステムのコントロールセンタであり、放送信号が受信および配信される。ヘッドエンドは通常、アンテナ、プリアンプ、周波数コンバータ、復調器、エンコーダ、圧縮器、自動切り替え装置、ならびに配信チャネルの提供のために衛星および地上のストリームを受信、増幅、フィルタリング、暗号化、符号化するその他の関連する装置を含む。
初期化ベクタ:IV。ブロック暗号の初期化ベクタは、いくつかのフィードバックモードの初めのデータブロックに結合するビットブロックである。IVは、同様の簡単なテキストがチェーンブロック符号化(CBC)モードで同一のキーで暗号化された場合でも、各暗号テキストをユニークにする。
キーリスト:デコーダアドレスおよび各デコーダキーが順序付けて並べられたリストである。キーリストは、エンコーダシステムに特有のデコーダに埋め込まれる診断回路に送るアルゴリズムメッセージを生成するために、アップリンクコントロールシステム(UCS)で使用される。
プログラム:エンティティとして送られる(すなわち、提供、放送、送信、配信等)動画情報、オーディオ情報、またはこれらの組合せの時間的に連続したコレクションである。
プログラムキー:特定のプログラムのアクセス、暗号化/復号化等を制御する暗号化/復号化キーである。
トリプル−DES:(3−DES)3つの異なるキーを使用し、または、代わりに1つのキーを3つのセグメントキーの第1および第3のセグメントに使用して第2のキーを中間のセグメントに使用して、キー全体のビット幅が112または168ビットがまた、特定の構造およびエンタイトルメント内のキーを保護するのに使用される3重のDES暗号化アプリケーション。
装置アドレス:一のデコーダを別のデコーダから識別および区別する固有の数字である。ユニットアドレスの一例は、メディアアクセスコントロール(MAC)である。
装置キー(またはプライベートキー):各デコーダに固有のキーである。特定のデコーダ用のメッセージが、各装置キーにより暗号化される。
装置キーリスト:装置アドレスおよび各装置キーを含むファイルである。
アップリンクコントロールシステム(UCS):デジタルで圧縮されたサービスを安全に配信するのをサポートするソフトウェアである。UCSは通常、イベントベースで各デコーダを許可および拒否する権限を提供する。
UTC:ユニバーサルタイムコードである。
ワーキングキー:通常、1秒間に数回変化するレベルの低いキーである。ワーキングキーは通常、関連するプログラムの時間と等しいまたは短い有効性を有する。ワーキングキーはまた、“コントロールワード”として参照される。一般的な例では、ワーキングキーは、20から30秒おきに変化する。ある例(サービスに映像コンポーネントがない場合)では、ワーキングキーの期間(すなわち、ワーキングキーがプログラムに対して有効である期間)の長さは適切な時間間隔で設定される。しかしながら、ワーキングキーが変化する適切な時間は、特定のアプリケーションの設計基準に適合するように設定することができる。ワーキングキーは、キーストリームを動作させるのに用いられる。ワーキングキーは通常、暗号化された状態で各プログラムキーとともに配信される。
ワーキングキーファイル:プログラムキーで暗号化されたプログラム全体のワーキングキーを含むファイルであり、通常時系列になっている。
【0011】
本発明の低階層キーマネージメントは通常、エンタイトルメントマネージメントメッセージ(EMM)、エンタイトルメントコントロールメッセージ(ECM)、コンテントキー、および関連するキーの更新および再設定可能なセキュリティシステムおよび方法を提供する。通常の限定受信システム(CAS)では、(EMMにより復号化される)カテゴリーキーまたはセッションキーが、ECMを復号化するのに使用され、ビデオストリームのコンテントキーまたはコントロールワードを取得する。各メディアストリーム(すなわち、ビデオプログラムストリーム)は通常、固有のコンテントキーまたはコントローキーを有する。本発明の低階層キーマネージメントは通常、安全性の高い方法により、(一方向のハッシュ(例えば、SHA−1、MD5等)、排他的論理和(EXOR)処理などの1以上の相互に定義されるアルゴリズムおよびデータを利用し、総てのプログラムメディアストリームのEMMの一部として保護される)トリプルDESまたはAESのような対称なキーのセットを配信する。AES、DESまたはトリプルDESのECBモードは、CBCモードが初期化ベクタ(IV)を要求するのに対し、IVを要求しない。本発明のシステムおよび方法は、選択的に(すなわち、代替的に)、CBCモードが選択されたアルゴリズムに使用される場合に参照および選択されるIVを含んでもよい。
【0012】
キーリストを配信するヘッドエンドおよび受信装置はいずれも、暗号化されたデータを受信し、復号化されたテキストキーを取得することができる。また、インデックステーブルは通常、配信されるキーを参照するために配信される。EMMアップデートは通常、初めのテーブルが送信された後、単独でエンタイトルメントを配信するのに用いられる。ある例では、本発明の低階層により、プログラム識別子(PID)を使用してキーインデックスを取得することできる。別の例では、本発明の低階層により、ビデオオンデマンド(VOD)セッションIDのようなセッションIDを用いてキーインデックスを取得することができる。キーインデックスは通常、1以上の関連するコンテントキーを参照するインデックスを決定するのに使用される。
【0013】
キーインデックスは通常、暗号ブロックチェーンモードが使用される場合に、キー(および代替的にIV)を取得するのに使用される。インデックステーブルは、新しいEMMのそれぞれに新しいキーを送信する代わりの手段として、アップデート可能である。ストリームは他のキーの組合せから数学的に得られるため、キーの数は、プログラムストリームおよびコンテントキー全体の数より少なくすることができる。その他の場合では、サービスティア全体を同一の汎用キーに組み込むことができ、各ティアのプログラムストリーム用に派生キーを生成することができる。本発明のシステムおよび方法により、カテゴリまたはセッションキーおよびヘッドエンドからの関連するECMを削減することができる。
【0014】
VODサービスでは、セッションをセットアップするときにキーテーブルを生成および配信することができる。VODサービスのキーは、短いワーキングキー期間用のその他の情報と同様に、キーの変更に関する対称な情報とともに配信することができる。VODセッションIDまたは、代替的にプログラムIDをインデックスとして使用して、VOD送信復号化情報の適切なレコードによりキーリストを参照することができる。本発明の低階層キーマネージメントの代替的な実施例では、一方向のハッシュが、復号化されたキーの保護、選択、および処理に用いられる。
【0015】
本発明の低階層キーマネージメントシステムは通常、限定受信システム(例えば、放送およびビデオオンデマンドアプリケーション)の復号化されたプログラムストリーム用のコンテントキーを配信する新しくてより安全で簡潔なシステムおよび方法を提供する。本発明のキーマネージメントは、初めてエンタイトルメントメッセージが送信された場合(提供、伝送、供給、放送等)に新しいコンテントキーの配信に必要とされる複雑さを劇的に低減することができる。本発明の低階層キーマネージメントシステムおよび方法は、新しいCASシステムの一部として実現される。このCASシステムは通常、インフラストラクチャ使用される特定のコンテントセキュリティメカニズムに関わらず、インフラストラクチャに対応する装置の製造および販売を提供する。新しいCASシステムは、より効果的な製造、販売および運用を提供し、従来の方法に比べ、非常に安価な宅内機器(CPE)の販売の可能性を含む新しいビジネスモデルを可能にする。
【0016】
本発明の低階層キーマネージメントはユーザーが順応し易く、また従来の方法に比べ、ヘッドエンドのインパルスペイパービュー(IPPV)およびビデオオンデマンド(VOD)のセキュリティを簡素化するのに役立つ。本発明の簡素化されたキーマネージメント構造はIPPVおよびVOD技術に適応でき、これによりVODのセキュリティ方法の総てを標準化することが可能である。
【0017】
本発明は、マルチプルシステムオペレータ(MSO)用の新しい種類の製品を導入するための総ての家庭用電化製品(CE)を産業に提供するため、本発明の低階層キーマネージメントにおける固有のシステムおよび方法の商業的価値は、潜在的に非常に大きい。さらに、総ての家庭用電化製品メーカーは潜在的な顧客である。本発明は、ヘッドエンド、STB、およびデジタルテレビの製造費用全体を低減し、IPPVおよびVODのコストを低減し、複雑さを軽減することができ、これにより、従来の方法に比べてMSOの費用を有意に削減することができる。さらに、コストを劇的に削減すると同時に革新および新しいビジネスを生み出すことにより、本発明の低階層キーマネージメントは、デジタル放送衛星(DBS)(すなわち、衛星を介したデジタルTVの送信)などの双方向の映像配信および映像システムを利用した新しい遠距離通信に対するケーブルテレビ装置の競争力を高めることができる。
【0018】
図1aを参照して、本発明のメディアデコーダ(すなわち、制御装置、プロセッサ、装置、回路、デバイス等)100を示す図を説明する。デコーダ100は、デジタルメディアストリーム配信システム(図2(a−b)により詳細に説明する)に関連して実現される。制御装置100は通常、少なくとも1つのセキュリティに関する特徴(例えば、暗号化、復号化、認証、セキュリティキー管理、コピープロテクション、デジタル権利管理等)を少なくとも1つのデジタルメディア入力/出力ストリームに提供するセキュリティプロセッサ(または処理システム)として実現される。デコーダ100は通常、少なくとも1つの信号(例えば、VIDINおよびPID)を受信する入力102と、付加データ、信号、メッセージ等と同じように信号(例えば、TFHE)を受信/送信する入力/出力104と、ワーキングキーモディファイヤおよびアプリケーションファンクション信号(例えば、WKM)を受信する入力106と、信号(例えば、VIDOUT)を送信する出力108とを具える。
【0019】
VIDINおよびVIDOUTストリームはそれぞれ、暗号化およびクリア(すなわち、暗号化されていないまたは復号化された)状態(または条件)であるデジタルメディアストリームとして実現される。各VIDINおよびVIDOUTストリームは通常、デジタルメディア信号のストリーム(例えば、MPEG、MPEG2等、ストリームまたはその他の送信ストリーム)として実現される。ある例では、VIDOUTストリームは、VIDINストリームを復号(伸張)したバージョンとして実現される。しかしながら、VIDINおよびVIDOUTストリームは、特定のアプリケーションの設計基準に適合する様々な適切なフォーマットおよびプロトコルを有して実現することができる。
【0020】
信号PIDは、ユーザ(すなわち、顧客、クライアント、視聴者、リスナー)により選択された各プログラムのプログラム識別子として実現される。信号TFHEは、帯域外(OOB)送信によるヘッドエンドから受信しヘッドエンドへ送信する少なくとも一つのエンタイトルメントマネージメントメッセージ(EMM)として実現される。ワーキングキーモディファイヤおよびアプリケーションファンクション(例えば、暗号化を強化するためにコンテントキーに適用されるファクタ、オペレータ、またはファクタおよびオペレータの組合せ)WKMは通常、暗号化されたメディアストリーム(例えば、VIDINストリーム)ワーキングキーを生成すべくコンテントキーに組み合わされて、復号化された出力メディアストリーム(例えば、VIDOUTストリーム)を生成する。
【0021】
制御装置100は通常、メディアストリーム送信復号化エンジン110と、テーブル112と、リスト114と、コンバイナ116とを具える。デコーダ100は通常、少なくとも1つのプロセッサ(例えば、マイクロプロセッサ、制御装置等)と、1以上のプロセス、ルーチン、エンジン、リスト、テーブル等が格納された少なくとも1つのメモリ(例えば、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、NVROM、フラッシュ、EPROM等)とにより実現される。エンジン110、テーブル112、リスト114、およびコンバイナ116は通常、デコーダ100のプロセッサおよびメモリ内で実現される。
【0022】
エンジン110は、(図2に関連して説明する)ヘッドエンドからストリーム(例えば、VIDIN)受信する第1の入力と、ストリーム復号化ワーキングキー(例えば、WK)を受信する入力と、ストリーム(例えば、VIDOUT)を送信(すなわち、伝送、放送、送出)する出力とを具える。復号化エンジン110は、メディアストリームVIDINを復号化(伸張)し、ワーキングキー(WK)およびメディアストリーム(VIDIN)に応じて復号化されたメディアストリームVIDOUTを送信するよう設定できる。復号化キーWKは通常、コンテントキーの機能を有する。
【0023】
入力/出力104は、ヘッドエンド(例えば、図2(a、b)と関連してより詳細に説明するヘッドエンド202)およびメディアデコーダ100間で認証されたエンタイトルメントマネージメントメッセージ(EMM)のダウンロードに対応(または関連)するインタフェースを提供する。入力/出力104はさらに、エンタイトルメント構造、コンテントキーリスト、IVリスト、コンテントキーインデックステーブル、およびデジタル署名のいずれか一つに関連する、デコーダへのダウンロードに対応するインタフェースを提供する。
【0024】
テーブル112は通常、コンテントキーインデックステーブルを具える。テーブル112のコンテンツは通常、ヘッドエンドから(例えば、入力/出力104を介して)ロードされる。ヘッドエンドからダウンロードする間、コンテントキーリストテーブルは、それぞれの装置またはデバイスキーを利用して復号化および伸張される。テーブル112は、入力102を介して識別子PIDを受信する。テーブル112は、当該テーブルに含まれるコンテントキーインデックスを利用して、テーブル112のそれぞれの値に基づき、識別子PIDに対応するコンテントキーリストにインデックス(例えば、IND)を送信する。代替的(すなわち、選択的)な例では、テーブル112は、コンテントキーおよびIVインデックスデーブルを含む。
【0025】
リスト114には通常、各インデックス値(例えば、インデックスIND)により参照されるコンテントキーリストが含まれる。リスト114のコンテンツは、入力/出力104を介してロードされる。リスト114は、各インデックスINDに応答してコンバイナ116にコンテントキーを送信するよう設定される。特定の暗号化されたメディアストリームVIDINに対応するリスト114のコンテントキー(および、代替的または選択的に、IV値)は、暗号化されたメディアストリームVIDINに対応するヘッドエンドから受信する識別子PIDにより参照されるコンテントキー(および、代替的または選択的に、IV)インデックスのエントリを用いて、コンテントキー(および、代替的または選択的に、IV)テーブル112から選択される。特定の暗号化されたメディアストリームに対応するコンテントキーおよびIVは、選択されたアルゴリズムのモードとして暗号ブロックチェーンが使用される場合、暗号化されたメディアストリームに対応するヘッドエンドから受信する識別子PIDにより参照されるコンテントキーおよびIVテーブルのインデックスINDを利用して、コンテントキーおよびIVリストから選択される。
【0026】
コンバイナ116は、ワーキングキーモディファイヤWKMおよびコンテントキーに対応するエンジン110にワーキングキーWKを送信するよう設定される。コンバイナ116は、ハッシュおよび排他的論理和(EXOR)処理(すなわち、ルーチン、アルゴリズム、プロセス、方法、ステップ、ブロック等)のうち少なくとも一つを利用して、ワーキングキーモディファイヤWKMおよびコンテントキーを結合する。ある例(選択的または代替的な処理モード)では、コンバイナ116はワーキングキーWKを定期的に変更するよう設定してもよい。例えば、コンバイナ116は、ビデオフレームの表示4回毎にワーキングキーWKを変更してもよい。
【0027】
本発明により、従来の方法で使用していた各エンタイトルメントコントロールメッセージ(ECM)の送信、受信、および処理の必要がなくなる。このように、本発明の低階層キーマネージメントは、従来の方法に比べて、費用が抑えられ、実現し易くて使い易い。
【0028】
図1bを参照して、本発明の代替的なメディアデコーダ(すなわち、制御装置、プロセッサ、装置、回路、デバイス等)100’を示す図を説明する。デコーダ/制御装置100’はデコーダ/制御装置100と同様に実現され、さらに、1以上の一方向ハッシュ処理部118(例えば、処理部118a−118n)を具える。ハッシュ処理部118は、リスト114を介してテーブル112から選択されるインデックスIND、および112から選択されるキーの少なくとも一つに一方向ハッシュ処理(すなわち、プロセス、ルーチン、アルゴリズム等)をし、モディファイヤWKMと組み合わせて復号化(すなわち、ワーキング)キーWKを生成する。
【0029】
図1cを参照して、本発明の代替的なメディアデコーダ(すなわち、制御装置、プロセッサ、装置、回路、デバイス等)100’を示す図を説明する。デコーダ100’’は、ビデオオンデマンド(VOD)キーマネージメントに関連して効果的に実現される。メディアストリームVIDINは、暗号化されたVODメディアストリームである。メディアストリームVIDOUTは、復号化されたVODメディアストリームである。入力102は、メディアストリームVIDINを受信する。ある例では、入力102は識別子PIDを受信する。別の例では、入力102はVODセッション識別子(例えば、VODID)を受信する。デコーダ100’’は通常、ワーキングキーモディファイヤWKMを受信しない。
【0030】
入力/出力104は、ヘッドエンドおよびメディアデコーダ100’間で認証されたEMMのダウンロードに対応(または関連)するインタフェースを提供する。入力/出力104はさらに、エンタイトルメント構造、VODキーレコードリスト、IVリスト、コンテントキーインデックステーブル、およびデジタル署名のうち少なくとも一つに関連するデコーダへのダウンロードに対応するインタフェースを提供する。
【0031】
制御装置100’’は通常、メディアストリーム送信復号化エンジン110、テーブル112’’、およびリスト114’’を具える。デコーダ/制御装置100’’は通常、デコーダ100のコンバイナ116のようなコンバイナなしで実現される。エンジン110は、ワーキングキーWKの代わりにビデオコンテントキー(例えば、VK)を受信する。エンジン110は、メディアストリームVIDINおよび復号化キーVKに対応する復号化されたメディアストリームVIDOUTを生成および送信する。
【0032】
テーブル112’’は通常、コンテントキー(および、代替的または選択的に、IV)インデックステーブルを具える。テーブル112’’のコンテンツは通常、ヘッドエンド(例えば、入力/出力104を介して)からロードされる。テーブル112’’は、入力102を介して識別子PIDまたは代替的に識別子VODIDを受信する。テーブル112’’は、テーブル112’’に含まれるキーレコードインデックスを利用して、テーブル112’’の各値に基づき、識別子PIDまたは代替的にVODIDに対応するコンテントキーリスト114’’にインデックス(例えば、IND’’)を送信する。
【0033】
リスト114’’は通常、各インデックス値(例えば、インデックスIND’’)により参照されるVODコンテントキー(例えば、キーVK)のリストを含む。リスト114’’のコンテンツは入力/出力104を介してロードされる。リスト114’’は、各インデックスIND’’に対応するエンジン110にコンテントキーを送信するよう設定される。特定の暗号化されたVODメディアストリームVIDINに対応するリスト114’’のVODコンテントキー(および、代替的または選択的にはIV)VKは、暗号化されたメディアストリームVIDINに対応するヘッドエンドから受信する識別子PIDまたは代替的に識別子VODIDにより参照されるコンテントキーレコードインデックスのエントリを利用して、コンテントキー(および、代替的または選択的にはIV)テーブル112’’から選択される。ストリーム復号化キーVKは通常、各キー単位でエンジン110に送信される。
【0034】
図1dを参照して、本発明の代替的なメディアデコーダ(すなわち、制御装置、プロセッサ、装置、回路、デバイス等)100’’’を示す図を説明する。デコーダ/制御装置100’’’は、デコーダ/制御装置100’’と同様に実現され、さらに1以上の一方向ハッシュ処理部118a−118nを具える。このハッシュ処理部118は、リスト114’’を介してテーブル112’’から選択されるインデックスIND、112’’から選択されるキーの少なくとも一つに一方向ハッシュ処理をして復号化(すなわち、ワーキングキー)VKに組み合わせるように設定される。
【0035】
図2aを参照して、本発明に関連して実現されるメディアストリーム処理および配信システム200を示す図を説明する。この配信システム200は通常、ヘッドエンド202と、ネットワーク204と、少なくとも一つのセットトップボックス(STB)206(通常、複数のSTB206a−206n)と、少なくとも一つの各受信装置(通常、複数の装置208a−208n)とを具える。配信システム200は通常、メディアサービスプロバイダ/加入者システムとして実現され、プロバイダ(またはベンダ)は通常、ヘッドエンド202およびネットワーク204を管理し、また加入者(すなわち、クライアント、顧客、サービスを受ける人、ユーザ等)にSTB206を提供する。
【0036】
STB206は通常、加入者の敷地(図示せず、例えば、住宅、居酒屋、ホテルの個室、会社等)に設置され、受信装置208は通常、クライアントにより提供される。装置208は通常、テレビ、高鮮明度テレビ(HDTV)、モニタ、ラジオ、パーソナルコンピュータ、メディアプレイヤー、デジタルビデオプレーヤ、ゲームプレー装置等として実現される。装置208は、STB206、ヘッドエンド202、またはSTB206およびヘッドエンド202双方に接続される双方向通信機能を有する送受信装置として実現される。
【0037】
ヘッドエンド202は通常、ネットワーク204に電気的に接続され、当該ネットワーク204は通常、STB206に電気的に接続され、当該STB206は通常、各装置208に電気的に接続される。電気的な接続は、適切な配線(例えば、ツイストペア、非ツイスト導線、同軸ケーブル、マイクロワイヤ、光ファイバーケーブル、ハイブリッドファイバーケーブル等)または無線(例えば、無線周波数、マイクロ波、赤外線)による接続および特定の設計基準に適合するプロトコル(例えば、ホームプラグ、HomePNA、IEEE802.11(a、b)、ブルートゥース、HomeRF等)として実現される。配信システム200は、一つのSTB206がそれぞれ一つの装置208に接続するように図示されているが、各STB206は、1以上の装置208(図示せず)に接続する機能を有するように実現してもよい。
【0038】
ヘッドエンド202は通常、アンプ、プリアンプ、データサーバ、コンピュータ、プロセッサ、暗号化および復号化するセキュリティ装置およびシステム等として実現される複数の装置210(例えば、210a−210n)を具え、ビデオおよびオーディオデータ(例えば、映画、音楽、テレビ番組等)、処理装置(例えば、プロバイダにより管理される加入者アカウントサーバ)、テレビサービス送受信装置(例えば、通常のテレビおよびラジオ放送、デジタルテレビ、HDTV、オーディオ、MP3、テキストメッセージ通信、ゲーム等)、メディアストリーム等を提供するよう構成される。ある例では、ヘッドエンド202は、ストリームVIDIN、信号TFHE、およびプログラム識別信号PIDおよびVODIDを生成および送信(すなわち、伝送、提供、パス、放送、送出)する。
【0039】
ネットワーク204は通常、メディアサービスプロバイダのストリーム(通常のテレビおよびラジオ放送、デジタルテレビ、HDTV、オーディオ、MP3、テキストメッセージ通信、ゲーム)を選択的に配信(すなわち、送信および受信)するよう構成されたメディアストリーム配信ネットワーク(例えば、ケーブル、衛星等)として実現され、例えば、ストリームVIDIN、ダウンロードTFHE、および識別子PIDおよびVODIDをSTB206に配信し、例えば、VIDOUTとして受信装置208に配信する。ストリームVIDIN、ダウンロードTEHE、および識別子PIDおよびVODIDは通常、加入者情報に基づいて(または対応して)配信される。例えば、顧客が購入したサービスのレベル(例えば、基本サービス、プレミアムービーチャネル等)、顧客が要求したサービスの種類(例えば、通常のテレビ、HDTV、双方向メッセージ通信、ビデオオンデマンド、有料放送、インパルスペイパービュー等)等により、特定の加入者に送信(および加入者にから受信する)メディアストリームが決まる。
【0040】
STB206は通常、複数のストリーム機能(例えば、通常のテレビおよびラジオ放送、デジタルテレビ、オーディオ、MP3、高鮮明度テレビ(HDTV)、メッセージ通信等)を有するSTBとして実現される。STB206は通常、個別のメディアデコーダ(例えば、適切なデコーダ(制御装置)100、100’、100’’、および100’’’のうちの一つ)を少なくとも一つ具える。STB206は、暗号化(および圧縮)されたビデオおよびオーディオデータ(例えば、ストリームVIDIN)、EMM信号およびダウンロードTFHE、ID信号PIDおよびVODIDを受信し、EMM信号TFHEをネットワーク204を介してヘッドエンド202に送信し、暗号化されていないビデオおよびオーディオデータ(例えば、ストリームVIDOUT)を受信装置208に送信する。
【0041】
図2bを参照して、本発明に関連して実現されるメディアストリーム処理および配信システム200’を示す図を説明する。配信システム200’は通常、ヘッドエンド202と、ネットワーク204と、少なくとも一つの受信装置(すなわち、レシーバ、トランシーバ等)208’(通常、複数の装置208a’−208n’)とを具える。受信装置208’は通常、ネットワーク204に直接接続され、ストリームVIDIN、信号TFHE、およびプログラム識別情報信号PIDおよびVODIDを受信し、EMM信号TFHEを受信および送信する。受信装置208’は通常、個別のメディアデコーダ(例えば、適切なデコーダ(制御装置)100、100’、100’’、および100’’’のうちの一つ)を少なくとも一つ具える。
【0042】
別の例(図示せず)では、システム200’は、ネットワーク204に接続された少なくとも一つのSTB206と、これらに接続された少なく一つの受信装置208と、また、ネットワーク204に直接接続される少なくとも一つの装置208’とを具えるように構成してもよい。
【0043】
前述した説明から明らかなように、本発明は通常、低階層キーマネージメントの改良されたシステム(例えば、デコーダ100および100’)および改良された方法を提供し、従来の方法に比べて、費用を抑えられ、実現し易くまた使い易い。
【0044】
本発明の実施例が図示され、説明されているが、これらの実施例は本発明の総ての可能な形態を図示し、説明していることを意味するものではない。むしろ、明細書で使用された語は、限定ではなく説明としての語であり、また、本発明の意図及び目的を超えない限りにおいて、様々な変形例を実現できると解される。
【図面の簡単な説明】
【0045】
【図1a】図1(a)は、本発明のメディアストリームデコーダの図である。
【図1b】図1(b)は、本発明のメディアストリームデコーダの図である。
【図1c】図1(c)は、本発明のメディアストリームデコーダの図である。
【図1d】図1(d)は、本発明のメディアストリームデコーダの図である。
【図2a】図2(a)は、本発明を実現するメディア処理および配信システムの図である。
【図2b】図2(b)は、本発明を実現するメディア処理および配信システムの図である。
【特許請求の範囲】
【請求項1】
メディアストリーム復号化キーを管理する制御装置であって、当該制御装置が:
暗号化されたメディアストリームをヘッドエンドから受信し、コンテントキーの機能を有する復号化キーに応答して受信装置に復号化されたメディアストリームを送信するメディア復号化エンジンと;
コンテントキーインデックスおよび複数の対応するコンテントキーを含むテーブルと;
コンテントキーリストとを具え、特定の暗号化されたメディアストリームに対応するコンテントキーが、ヘッドエンドから前記暗号化されたメディアストリームに関連して受信した識別子により参照されるコンテントキーテーブルのインデックスを利用して、前記コンテントキーリストから選択されることを特徴とする制御装置。
【請求項2】
請求項1に記載の制御装置において、前記復号化キーは、定期的に変更されるワーキングキーであることを特徴とする制御装置。
【請求項3】
請求項1に記載の制御装置において、前記コンテントキーのリストおよび前記キーインデックスが、前記ヘッドエンドから前記制御装置にロードされることを特徴とする制御装置。
【請求項4】
請求項1に記載の制御装置がさらに、選択されたコンテントキーおよびワーキングキーモディファイヤを受信し当該選択されたコンテントキーおよびワーキングキーモディファイヤに対応する復号化キーを生成するよう構成されたコンバイナを具えることを特徴とする制御装置。
【請求項5】
請求項4に記載の制御装置において、前記識別子は、メディアストリームのプログラム識別子であることを特徴とする制御装置。
【請求項6】
請求項4に記載の制御装置において、前記コンバイナが、排他論理和(EXOR)およびハッシュ処理のうち少なくとも一つを利用して前記復号化キーを生成することを特徴とする制御装置。
【請求項7】
請求項1に記載の制御装置において、前記識別子はビデオオンデマンド識別子であり、前記テーブルはさらに各コンテントキーに関連するビデオオンデマンド期間を含み、前記復号化キーはさらに、前記コンテントキーが選択されたときに各ビデオオンデマンド期間に対応して送信されることを特徴とする制御装置。
【請求項8】
請求項3に記載の制御装置において、前記ヘッドエンドから前記制御装置にダウンロードされるエンタイトルマネージメントメッセージ(EMM)のアップデートが、単独で、前記コンテントキーテーブルの初めのリストが送信された後にエンタイトルメントを配信するために利用され、前記インデックステーブルが、新しいEMMそれぞれの新しいキーを送信する代わりにアップデートされることを特徴とする制御装置。
【請求項9】
請求項1に記載の制御装置において、前記インデックスがさらに、初期化ベクタ(IV)値と、IVを含む前記コンテントキーリストとを具え、特定の暗号化されたメディアストリームに対応するコンテントキーおよびIVが、前記暗号化されたメディアストリームに関連して前記ヘッドエンドから受信する前記識別子により参照されるコンテントキーおよびIVのインデックス利用して、前記コンテントキーおよびIVリストから選択されることを特徴とする制御装置。
【請求項10】
請求項1に記載の制御装置がさらに、前記インデックス、前記コンテントキー、前記復号化キーのうちの少なくとも一つに一方向ハッシュ処理を実施するよう構成されたハッシュ処理部を少なくとも一つ具えることを特徴とする制御装置。
【請求項11】
メディアストリーム復号化キーを管理する方法において、当該方法が、
暗号化されたメディアストリームをヘッドエンドから受信し、コンテントキー機能を有する復号化キーに応答してメディア復号化エンジンを用いて受信装置に復号化したメディアストリームを送信するステップと、
コンテントキーインデックスおよび複数の対応するコンテントキーをテーブルに格納するステップと、
前記ヘッドエンドから前記暗号化されたメディアストリームに関連して受信された識別子により参照される前記コンテントキーテーブルのインデックスを利用して、コンテントキーリストから特定の暗号化されたメディアストリームに対応するコンテントキーを選択するステップとを具えることを特徴とする方法。
【請求項12】
請求項11に記載の方法において、前記復号化キーは、定期的に変更されるワーキングキーであることを特徴とする方法。
【請求項13】
請求項11に記載の方法がさらに、前記ヘッドエンドから制御装置に前記コンテントキーのリストおよび前記キーインデックスをロードするステップを具えることを特徴とする方法。
【請求項14】
請求項11に記載の方法がさらに、前記の選択されたコンテントキーおよびワーキングキーモディファイヤを受信するステップと、制御装置のコンバイナを利用して前記選択されたコンテントキーおよび前記ワーキングキーモディファイヤに対応する前記復号化キーを生成するステップとを具えることを特徴とする方法。
【請求項15】
請求項14に記載の方法において、前記識別子は、前記メディアストリームのプログラム識別子であることを特徴とする方法。
【請求項16】
請求項12に記載の方法が、排他的論理和(EXOR)およびハッシュ処理の少なくとも一つを利用して、前記コンバイナにより前記復号化キーを生成するステップを具えることを特徴とする方法。
【請求項17】
請求項11に記載の方法において、前記識別子はビデオオンデマンド識別子であり、前記テーブルがさらに、各コンテントキーに関連するビデオオンデマンド期間を含み、前記復号化キーがさらに、前記コンテントキーが選択されたときに選択されるビデオオンデマンド期間それぞれに対応して送信されることを特徴とする方法。
【請求項18】
請求項11に記載の方法がさらに、前記コンテントキーテーブルの初めのリストが送信された後にエンタイトルメントを単独で配信する前記ヘッドエンドから前記制御装置にダウンロードされるエンタイトルマネージメントメッセージ(EMM)のアップデートをダウンロードするステップと、新しいEMMそれぞれの新しいキーを送信する代わりに前記インデックステーブルをアップデートするステップとを具えることを特徴とする方法。
【請求項19】
請求項11に記載の方法において、前記インデックスがさらに、初期化ベクタ(IV)値およびIVを含む前記コンテントキーリストを具え、選択されたアルゴリズムのモードとして暗号ブロックチェーンが使用される場合に、特定の暗号化されたメディアストリームに対応するコンテントキーおよびIVが、前記暗号化されたメディアストリームに関連して前記ヘッドエンドから受信される識別子により参照されるコンテントキーおよびIVテーブルのインデックスを利用して、前記コンテントキーおよびIVリストから選択されることを特徴とする方法。
【請求項20】
請求項11に記載の方法がさらに、前記インデックス、前記コンテントキー、および前記復号化キーのうち少なくとも一つに一方向ハッシュ処理をするよう設定されたハッシュ処理部を少なくとも一つ具えることを特徴とする方法。
【請求項21】
メディアストリームを配信、受信、および表示するシステムにおいて、当該システムが:
少なくとも一つの暗号化されたメディアスクリームを生成および送信するよう構成されたヘッドエンドと;
少なくとも一つの前記暗号化されたメディアスクリームを受信し、コンテントキーの機能を有する復号化キーに対応して復号化されたメディアストリームを出力するメディア復号化エンジンと;
コンテントキーインデックスおよび複数の対応するコンテントキーを含むテーブルとを具え、特定の暗号化されたメディアストリームに対応するコンテントキーが、前記暗号化されたメディアストリームに関連して前記ヘッドエンドから受信された識別子により参照されるコンテントキーインデックスのエントリを用いて、コンテントキーテーブルから選択されることを特徴とするシステム。
【請求項22】
請求項21に記載のシステムがさらに、少なくとも一つの暗号化されたメディアストリームを受信するとともに、前記メディア復号化エンジンおよび前記テーブルを具えるセットトップボックス(STB)および受信装置に前記少なくとも一つの暗号化されたメディアストリームを送信するよう構成されたネットワークを具えることを特徴とするシステム。
【請求項1】
メディアストリーム復号化キーを管理する制御装置であって、当該制御装置が:
暗号化されたメディアストリームをヘッドエンドから受信し、コンテントキーの機能を有する復号化キーに応答して受信装置に復号化されたメディアストリームを送信するメディア復号化エンジンと;
コンテントキーインデックスおよび複数の対応するコンテントキーを含むテーブルと;
コンテントキーリストとを具え、特定の暗号化されたメディアストリームに対応するコンテントキーが、ヘッドエンドから前記暗号化されたメディアストリームに関連して受信した識別子により参照されるコンテントキーテーブルのインデックスを利用して、前記コンテントキーリストから選択されることを特徴とする制御装置。
【請求項2】
請求項1に記載の制御装置において、前記復号化キーは、定期的に変更されるワーキングキーであることを特徴とする制御装置。
【請求項3】
請求項1に記載の制御装置において、前記コンテントキーのリストおよび前記キーインデックスが、前記ヘッドエンドから前記制御装置にロードされることを特徴とする制御装置。
【請求項4】
請求項1に記載の制御装置がさらに、選択されたコンテントキーおよびワーキングキーモディファイヤを受信し当該選択されたコンテントキーおよびワーキングキーモディファイヤに対応する復号化キーを生成するよう構成されたコンバイナを具えることを特徴とする制御装置。
【請求項5】
請求項4に記載の制御装置において、前記識別子は、メディアストリームのプログラム識別子であることを特徴とする制御装置。
【請求項6】
請求項4に記載の制御装置において、前記コンバイナが、排他論理和(EXOR)およびハッシュ処理のうち少なくとも一つを利用して前記復号化キーを生成することを特徴とする制御装置。
【請求項7】
請求項1に記載の制御装置において、前記識別子はビデオオンデマンド識別子であり、前記テーブルはさらに各コンテントキーに関連するビデオオンデマンド期間を含み、前記復号化キーはさらに、前記コンテントキーが選択されたときに各ビデオオンデマンド期間に対応して送信されることを特徴とする制御装置。
【請求項8】
請求項3に記載の制御装置において、前記ヘッドエンドから前記制御装置にダウンロードされるエンタイトルマネージメントメッセージ(EMM)のアップデートが、単独で、前記コンテントキーテーブルの初めのリストが送信された後にエンタイトルメントを配信するために利用され、前記インデックステーブルが、新しいEMMそれぞれの新しいキーを送信する代わりにアップデートされることを特徴とする制御装置。
【請求項9】
請求項1に記載の制御装置において、前記インデックスがさらに、初期化ベクタ(IV)値と、IVを含む前記コンテントキーリストとを具え、特定の暗号化されたメディアストリームに対応するコンテントキーおよびIVが、前記暗号化されたメディアストリームに関連して前記ヘッドエンドから受信する前記識別子により参照されるコンテントキーおよびIVのインデックス利用して、前記コンテントキーおよびIVリストから選択されることを特徴とする制御装置。
【請求項10】
請求項1に記載の制御装置がさらに、前記インデックス、前記コンテントキー、前記復号化キーのうちの少なくとも一つに一方向ハッシュ処理を実施するよう構成されたハッシュ処理部を少なくとも一つ具えることを特徴とする制御装置。
【請求項11】
メディアストリーム復号化キーを管理する方法において、当該方法が、
暗号化されたメディアストリームをヘッドエンドから受信し、コンテントキー機能を有する復号化キーに応答してメディア復号化エンジンを用いて受信装置に復号化したメディアストリームを送信するステップと、
コンテントキーインデックスおよび複数の対応するコンテントキーをテーブルに格納するステップと、
前記ヘッドエンドから前記暗号化されたメディアストリームに関連して受信された識別子により参照される前記コンテントキーテーブルのインデックスを利用して、コンテントキーリストから特定の暗号化されたメディアストリームに対応するコンテントキーを選択するステップとを具えることを特徴とする方法。
【請求項12】
請求項11に記載の方法において、前記復号化キーは、定期的に変更されるワーキングキーであることを特徴とする方法。
【請求項13】
請求項11に記載の方法がさらに、前記ヘッドエンドから制御装置に前記コンテントキーのリストおよび前記キーインデックスをロードするステップを具えることを特徴とする方法。
【請求項14】
請求項11に記載の方法がさらに、前記の選択されたコンテントキーおよびワーキングキーモディファイヤを受信するステップと、制御装置のコンバイナを利用して前記選択されたコンテントキーおよび前記ワーキングキーモディファイヤに対応する前記復号化キーを生成するステップとを具えることを特徴とする方法。
【請求項15】
請求項14に記載の方法において、前記識別子は、前記メディアストリームのプログラム識別子であることを特徴とする方法。
【請求項16】
請求項12に記載の方法が、排他的論理和(EXOR)およびハッシュ処理の少なくとも一つを利用して、前記コンバイナにより前記復号化キーを生成するステップを具えることを特徴とする方法。
【請求項17】
請求項11に記載の方法において、前記識別子はビデオオンデマンド識別子であり、前記テーブルがさらに、各コンテントキーに関連するビデオオンデマンド期間を含み、前記復号化キーがさらに、前記コンテントキーが選択されたときに選択されるビデオオンデマンド期間それぞれに対応して送信されることを特徴とする方法。
【請求項18】
請求項11に記載の方法がさらに、前記コンテントキーテーブルの初めのリストが送信された後にエンタイトルメントを単独で配信する前記ヘッドエンドから前記制御装置にダウンロードされるエンタイトルマネージメントメッセージ(EMM)のアップデートをダウンロードするステップと、新しいEMMそれぞれの新しいキーを送信する代わりに前記インデックステーブルをアップデートするステップとを具えることを特徴とする方法。
【請求項19】
請求項11に記載の方法において、前記インデックスがさらに、初期化ベクタ(IV)値およびIVを含む前記コンテントキーリストを具え、選択されたアルゴリズムのモードとして暗号ブロックチェーンが使用される場合に、特定の暗号化されたメディアストリームに対応するコンテントキーおよびIVが、前記暗号化されたメディアストリームに関連して前記ヘッドエンドから受信される識別子により参照されるコンテントキーおよびIVテーブルのインデックスを利用して、前記コンテントキーおよびIVリストから選択されることを特徴とする方法。
【請求項20】
請求項11に記載の方法がさらに、前記インデックス、前記コンテントキー、および前記復号化キーのうち少なくとも一つに一方向ハッシュ処理をするよう設定されたハッシュ処理部を少なくとも一つ具えることを特徴とする方法。
【請求項21】
メディアストリームを配信、受信、および表示するシステムにおいて、当該システムが:
少なくとも一つの暗号化されたメディアスクリームを生成および送信するよう構成されたヘッドエンドと;
少なくとも一つの前記暗号化されたメディアスクリームを受信し、コンテントキーの機能を有する復号化キーに対応して復号化されたメディアストリームを出力するメディア復号化エンジンと;
コンテントキーインデックスおよび複数の対応するコンテントキーを含むテーブルとを具え、特定の暗号化されたメディアストリームに対応するコンテントキーが、前記暗号化されたメディアストリームに関連して前記ヘッドエンドから受信された識別子により参照されるコンテントキーインデックスのエントリを用いて、コンテントキーテーブルから選択されることを特徴とするシステム。
【請求項22】
請求項21に記載のシステムがさらに、少なくとも一つの暗号化されたメディアストリームを受信するとともに、前記メディア復号化エンジンおよび前記テーブルを具えるセットトップボックス(STB)および受信装置に前記少なくとも一つの暗号化されたメディアストリームを送信するよう構成されたネットワークを具えることを特徴とするシステム。
【図1a】
【図1b】
【図1c】
【図1d】
【図2a】
【図2b】
【図1b】
【図1c】
【図1d】
【図2a】
【図2b】
【公表番号】特表2008−509634(P2008−509634A)
【公表日】平成20年3月27日(2008.3.27)
【国際特許分類】
【出願番号】特願2007−525626(P2007−525626)
【出願日】平成17年7月19日(2005.7.19)
【国際出願番号】PCT/US2005/025728
【国際公開番号】WO2006/020320
【国際公開日】平成18年2月23日(2006.2.23)
【出願人】(506132027)コムキャスト ケーブル ホールディングス,エルエルシー (7)
【Fターム(参考)】
【公表日】平成20年3月27日(2008.3.27)
【国際特許分類】
【出願日】平成17年7月19日(2005.7.19)
【国際出願番号】PCT/US2005/025728
【国際公開番号】WO2006/020320
【国際公開日】平成18年2月23日(2006.2.23)
【出願人】(506132027)コムキャスト ケーブル ホールディングス,エルエルシー (7)
【Fターム(参考)】
[ Back to top ]