別個の記憶媒体上のコンテンツの結合
再生機器上のローカル記憶装置は、さらなる修正および最新の追加内容を光学ディスクコンテンツに付加する可能性を提供する。このような技術的に実用的な手段に伴う問題は、ディスクおよび追加データに所属するコピーライトの保護である。本発明では、この問題に対処できるセキュリティフレームワークを保証する技術を開示する。こうするためには、光学ディスクデータとローカル記憶装置データとを、共通の識別子に基づいてマージすることにより、仮想ファイルシステム(VFS)を作成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ローカル記憶媒体上のコンテンツを取り外し可能な記憶媒体上のコンテンツにセキュアに結合するための方法および装置に関する。とりわけ、前記取り外し可能な記憶媒体は読み出し専用光学ディスクである。
【0002】
背景技術
今後の光学ディスクフォーマットは、再生機器上のローカルの記憶装置を必要とするようになる。その理由は、たとえば読み出し専用光学ディスク上で搬送されるコンテンツは非常に早く時代遅れになり、コンテンツ製作スタジオは、作品の魅力を増そうとするからである。再生機器上のローカル記憶装置は、書き込み可能ディスクで必要とされていたようなディスク製造コストを増大せずに、さらなる修正と最新の追加内容を光学ディスクコンテンツに付加する可能性を提供する。インターネットと接続すると、ローカル記憶装置に追加内容をダウンロードしたり、読み出し専用ディスクのコンテンツを置き換えたりすることができる。たとえば、古い映画予告を新しい映画予告に置き換えたり、ディスクコンテンツに別のオーディオトラックまたは字幕トラックを追加したりすることができる。関連のディスクがプレーヤ内にある間は、特定の光学ディスクに所属するゲーム等の実行可能なコードを機器上にダウンロードして実行することもできる。
【0003】
このような技術的に実用的な手段に伴う問題は、ディスクおよび追加データに所属するコピーライトの保護である。関連の光学ディスクが再生機器に挿入されている間だけ、ダウンローダされた追加データを使用できるように、コピーライトを保護することが望ましい。コンテンツプロバイダに由来する追加データのいかなる使用も、また専用の光学ディスクから独立した使用も、コンテンツ所有者の管理下すなわちコンテンツプロバイダの管理下になければならない。コンテンツプロバイダは、該コンテンツがディスクに由来するものかまたはローカル記憶装置に記憶されたものであるかにかかわらず、ディスクを所有せずに、または別のコンテンツとのいかなる組み合わせでも、該コンテンツプロバイダのコンテンツすべてが違法または偶発的に使用されることがないことを保証したい。
【0004】
通常、ローカル記憶装置からのデータおよび光学ディスク記憶装置からのデータは一緒に、プレーヤ内の仮想ファイルシステム(VFS)に組み込まれる。このことは1回のみ行われる。すなわち、ディスクが挿入され最初のアプリケーションが開始される際にのみ行われる。その後のアプリケーション開始はすべて、この仮想ファイルシステムに基づいて行われる。このことはセキュリティ上のリスクになる。というのも、データアクセスが制限されている場合でも、コンテンツは無関係のアプリケーションに対して可視となるからである。
【0005】
発明の概要
本発明は、上記の一般的なシナリオを対処できるセキュリティフレームワークを保証する技術を開示する。有利には、異なる著作者からのアプリケーションが唯一の光学ディスク上に位置するケースも含まれる。この唯一の光学ディスクは、たとえばDVDまたはブルーレイディスク等である。
【0006】
本発明の要点は、仮想ファイルシステム(VFS)を作成するために、光学ディスクデータとローカル記憶装置データとを共通の識別子に基づいてマージすることである。この識別子は、ここでは「組織ID」と称する。これは、コンテンツを証明するために使用される。VFSの作成は、すべてのアプリケーションの開始前に、たとえば作品の再生前に、動的に行われる。このようにしてVFS生成は、光学ディスクのプレゼンテーション中に変更することができる。というのも、含まれるローカル記憶装置データおよび光学ディスクデータは、作品における関係にしたがって変化するからである。組織IDの位置および処理は、基本的にはアプリケーション固有であるセキュリティフレームワーク内に含まれる。
【0007】
再生機器のローカル記憶装置は、異なるコンテンツプロバイダに由来するデータを含むことができる。本発明では、このようなデータは異なる組織IDを有し、これらの組織IDはそれぞれのコンテンツプロバイダを示す。より一般的な用途では光学ディスクも、異なるコンテンツプロバイダに由来する作品を含むことができ、これらの作品は、異なる組織IDによって証明される。VFSは、再生機器上で再生される作品にしたがって、再生開始直前に生成される。このようにして、データがローカル記憶装置に由来するか、または光学ディスクまたは一般的には取り外し可能な記憶装置に由来するかに依存せずに、管理されないデータの組み合わせはすべて排除される。ローカル記憶装置上の更新の透明性も、一時データの動的な使用も保護される。
【0008】
請求項2に、この方法を使用する装置が記載されている。
【0009】
従属請求項、以下の説明ならびに図面に、本発明の有利な実施形態が開示されている。
【0010】
図面の簡単な説明
次に、添付の図面を参照しながら本発明の実施例について説明する。
図1 署名生成および確認を示す。
図2 信頼されるサードパーティの証明書発行機関による証明書の生成を示す。
図3 公開鍵に対する証明書の確認を示す。
図4 セキュリティフレームワークにおける組織IDの使用を示す。
図5 仮想ファイルシステムにおけるマッピングにしたがい、2つの異なる組織IDを含む異なるファイルに適用される証明書を示す。
図6 取り外し可能なディスク上およびローカル記憶装置上に存在する異なるファイルに適用される証明書を示しており、該証明書は、ファイルシステムにおける該異なるファイルのマッピングによる2つの異なる組織IDを搬送する。
図7 ローカル記憶装置上の得られたディレクトリ組織を含む組織IDの下位分割を示す。
図8 関与するパーティ相互間での役割および責務を示す。
図9 ダウンロードを行うための役割および責務を示す。
図10 仮想ファイルシステムを構築するための役割および責務を示す。
図11 ローカルの削除動作を行う際の役割および責務を示す。
図12 仮想ファイルシステムを構築すべき時点を示す。
図13 結合ユニットを選択する根拠を示す。
図14 仮想ファイルシステムの完全性をどのように検査すべきかを示す。
図15 ファイル構造例を示す。
図16 複数のプロバイダからのコンテンツの結合を示す。
図17 共用されるトレーラとディスクとの結合を示す。
【0011】
本発明の詳細な説明
本発明は、次のようなセキュリティフレームワークを使用することに基づいている。すなわち、たとえばローカルの第1記憶媒体と取り外し可能な第2の媒体とに分配できるファイルのマッチングを識別するための組織IDを含むセキュリティフレームワークを使用することに基づいている。該第1記憶媒体は、たとえばハードディスクドライブ(HDD)等である。以下では、取り外し可能な第2の記憶媒体は読み出し専用の光学的ディスクであると仮定する。しかし、この第2の記憶媒体は任意の取り外し可能な記憶媒体とすることができ、たとえばフラッシュメモリ等とすることができる。光学ディスクを再生機器に挿入すると、仮想ファイルシステム(VFS)が編成される。編成すべきファイルの選択は、提供される作品と該作品の組織IDとに基づいて行われる。以下では「組織ID」という用語は、一般的なコンセプトを説明するために使用される。別の実施形態では、たとえばディスクIDまたはアプリケーションID等のさらなる下位構造を定義することができ、その際にはディスクの一部は、より細かい粒度の組織IDを使用することができる。
【0012】
典型的なセキュリティフレームワークは、非対称暗号と署名の要素と証明書とを使用することに基づく。図1は、メッセージの正当性または一般的にデータセットの正当性の受信者を保証するための署名の一般的な使用を示す。メッセージの発信者(「Alice」)は秘密鍵を有し、彼女はこれを使用して、メッセージのコンテンツから自動的に生成されたハッシュ値を暗号化する。暗号化されたハッシュ値は「署名」と称され、保護すべきメッセージとともに伝送される。受信者(「Bob」)は、受信された署名と同一であるメッセージからハッシュ値を生成できる場合、このメッセージを開けることのみが可能である。こうするためには、受信者は予め定義されたアルゴリズムを使用して、受信されたメッセージからハッシュ値を生成し、発信者の公開鍵を使用して署名を復号化する。発信者はこの鍵を公然と分配することができる。というのも、この公開鍵は発信者の秘密鍵と異なるからである。公開鍵は、相応の秘密鍵によって暗号化されたデータを復号化するのに適している。発信者の公開鍵を把握している受信者はこの署名を、すなわち受信された暗号化済みのハッシュ値を確認することができる。受信者側で生成されたハッシュ値と復号化された署名とが同一である場合のみ、受信者は、このメッセージが現時点までに変更されなかったことを確認することができる。
【0013】
公開鍵をあちこちに送信する苦労は、セキュリティ上のリスクにも鍵管理のオーバヘッドにもなり、このような苦労を回避するために証明技術を使用する。図2に示されているように、信頼されるサードパーティ認証機関(証明書発行機関、CA)がクライアント(「Alice」)の公開鍵に署名する。このことは、公開鍵のハッシュ値を生成し、該ハッシュ値をCAの秘密鍵によって暗号化し、この暗号化されたハッシュ値をクライアントへ送信し戻すことによって行われる。この署名はクライアントの公開鍵とともに、使用される証明書を構成する。本発明によれば、さらに別の情報を付加し、証明書中に含め、とりわけ、たとえば組織ID等の識別子を付加する。
【0014】
発信者がCAの公開鍵を有する場合、受信者(「Bob」)は、発信者の公開鍵が正当であるか否かを確認することができる。図3に、Aliceの鍵の証明書の確認が示されている。受信された公開鍵が、予め既知でない発信者に所属するものであっても、受信者は、信頼されたサードパーティの公開鍵によって証明書を復号化することにより、この公開鍵の正当性を確認することができる。受信された公開鍵から再生成されたハッシュ値が、復号化された証明書と一致する場合のみ、発信者から受信された公開鍵は信頼できる。
【0015】
図4に示されているように、本発明は一般的なセキュリティフレームワークに基づいて使用することができる。光学ディスク上およびローカル記憶装置上のデータに対して、証明書を含み組織IDを搬送する署名が生成される。署名証明書が署名の正当性を証明し、組織IDの正当性も証明する。本発明では、次の構成も含まれる。すなわち、ローカル記憶装置が永続的であり、換言すると、記憶されたデータは電源遮断後に失われることなく、該ローカル記憶装置に記憶されたデータがディスクに由来するか、またはインターネットダウンロードを介して得られたものであるか、または別のソースに由来するものであるかに関係なく、すべて維持される構成も含まれる。
【0016】
図5に、本発明によるディスクファイルシステムのための上記のようなセキュリティフレームワークの使用が示されている。ここでは、組織IDによって制御されるVFSの組立が適用される。証明書certificate_ID#1,certificate_ID#2がそれぞれの組織IDを搬送し、実際のデータ内容に固定的に結合された署名ファイルが証明書をポインティングする。署名ファイルとデータ内容との間の意味論的な結合は、定義されたアルゴリズムをデータ内容に適用することによって生成されたコードであるいわゆる「ダイジェストコード」によって実現される。署名とデータとの間の物理的な結合は、データ構造または明示的なファイルによって行うことができる。図5に示されたファイルは、たとえばすべて光学ディスク上に、すなわち、異なる証明書および異なる署名識別子signature_ID#1,signature_ID#2を有する2つの異なるコンテンツプロバイダによって作成された作品を搬送するディスク上に位置する。
【0017】
たとえばTitle_1のプレゼンテーションが開始される前に、プレーヤは仮想ファイルシステムVFSを編成する。この編成は、ディスク上のデータに所属する署名に割り当てられた証明書certificate_ID#1,certificate_ID#2によって制御される。この実施例では、作品Title_1に添付された署名signature_ID#1は組織ID#1によって証明されると仮定する。したがって本発明では、組織ID#1によって証明されるデータのみを、Title_1のプレゼンテーション開始前に組み立てることができる。これと同様に、たとえば、組織ID#2によって証明されるTitle_2のプレゼンテーション開始前に、組織ID#2によって証明されるデータのみをVFSに対して組み立てることができる。組織IDが異なれば、組織IDが所属するコンテンツ作成者またはコンテンツ所有者も異なることができる。すなわち、コンテンツ著作者、スタジオ、プロバイダ等も異なることができる。
【0018】
図5に示されているように、上記の作品はたとえば、映画オブジェクトファイル(MovieObject)またはJavaオブジェクトファイル(JavaObject)または別の種類のファイルを含むことができる。MovieObjectは、オーディオおよび/またはビデオ(AV)プレゼンテーション用のストリーミングファイルを記述し、JavaObjectは、Java仮想マシン(JVM)上で実行できるJava実行可能ファイルを記述する。Javaオブジェクトデータは、JavaアーカイブファイルBD‐jar1,BD‐jar2に記憶されている。これらのオブジェクト種類は双方とも、証明された署名ファイルを有することができる。
【0019】
可能な例外に、AVストリームファイルの加工処理がある。というのも、これは必ずしも署名ファイルを有する必要がないからである。その理由は、ストリームファイルは大きく、大きなファイルのダイジェストコード(すなわちハッシュコード)の計算は長時間を要するからである。VFSを組み立てるためには、署名付きのAVストリームファイルを、別のファイルに関して説明したのと同様に加工処理する。しかし組立プロセスは、全く署名されていないこのようなAVストリームファイルも含む。すなわち、適正な組織IDによって証明されるかまたは署名を全く有さないこのようなストリームファイルのみが含まれる。AVストリームファイルのこのような加工処理がセキュリティの連鎖を遮断することはない。というのもAVストリームファイルへのアクセスは、いかなるアクセスも、MovieObject,PlayListおよびクリップファイルによってのみ可能であるからだ。このようなファイルは常に、直接的または間接的に署名および証明されている。
【0020】
本発明の別の実施形態では、組織IDはディスク全体に対して適用される。この場合、VFSはディスクのプレゼンテーション開始前に1回だけ生成される。従来技術のシステムに対する相違は、ローカル記憶媒体を考慮すると明確になる。
【0021】
本発明では、ディスクに所属するデータおよびローカル記憶媒体に記憶されたデータは、署名と、組織IDを含む証明書とを搬送する。AVストリームファイルでは、上記の例外がなお有効である。ローカル記憶媒体上の証明されないデータはすべて、別個に実行することができるだけである。すなわち、ローカル記憶媒体から生成された仮想ファイルシステムは、証明されたディスクコンテンツも、異なって証明されたディスクコンテンツも有することはできない。このようにしてコンテンツプロバイダは、該コンテンツプロバイダのコンテンツが保護され、ディスク上のデータ素材はどれも悪用されないことを保証できる。
【0022】
本発明の別の実施形態では、組織IDは図6に示されているように、ローカル記憶装置とともに使用される。再生機器にロードされた光学ディスクはインデックスファイルを有し、このインデックスファイルの第1の作品Title_1はJavaObjectファイルを参照する。JavaObjectファイルは、BD‐jarアプリケーションをポインティングする。ディスク上のファイルはすべて、同一の識別子である組織ID#1によって署名および証明され、たとえば、該当のディスクコンテンツを作成したコンテンツプロバイダに関連づけされる。AVストリームファイルでは、上記の例外規則がなお有効である。たとえばHDDであるローカル記憶装置は、2つの異なるコンテンツプロバイダからのファイルを含む。これらのファイルは、コンテンツプロバイダに依存して異なる署名によって署名される。たとえば、JavaObjectファイルおよびBD‐jarアプリケーションは組織ID#1によって署名および証明され、MovieObjectファイルと、PlayListファイルと、クリップファイルと、AVストリームファイルは組織ID#2によって署名および証明される。
【0023】
ディスク挿入後に仮想ファイルシステムVFSは、ディスク上に位置する証明書に基づいて組み立てられる。この実施例では、ディスク上に1つの証明書のみが存在し、すなわち組織ID#1のみが存在するので、本発明ではこのようなファイルのみがVFSに含まれ、かつ、マッチング識別子である組織ID#1によって証明される。別のファイルはすべて不可視のままであり、VFSの有効期間中はアクセス不能のままである。ローカル記憶装置はこの場合、JavaObjectファイルの更新を含み、すなわち、署名signature_ID#1に同一の名前および同一の識別子(organization_ID#1)を有するJavaObjectファイルを含むので、これがディスク上のものの代替となり、HDDからのJavaアプリケーションBD‐jar2が、ディスクからの本来のJavaアプリケーションの代わりに実行される。
【0024】
この実施例から理解できるように、仮想ファイルシステムの生成を制御する証明書中の組織IDを使用することにより、ローカル記憶媒体に由来するデータとの間で行える可能性のある管理されないデータのいかなる組み合わせも禁止して、ローカル記憶装置のセキュリティが格段に改善される。ローカル記憶装置上にデータを生成するアプリケーションは、生成されたファイルに署名しなければならず、署名は、適切な組織IDを搬送するディスク証明書をポインティングしなければならない。こうしないとアプリケーションは、新規に生成されたデータをローカル記憶装置上で再び見つけることができなくなる。この生成されたデータがキャッシュに保持されている場合、VFSが破壊されるまで、このデータはVFSに使用可能のままである。このVFSの破壊はたとえば、ディスクがプレーヤから取り外された場合、プレーヤがスイッチオフされた場合、または該ディスクからの別の作品が選択された場合に起こるか、または別のイベントが生じることで起こる。次にVFSが編成された場合、適正な組織IDによって証明される、ローカル記憶装置からのデータのみが、この結合に含まれる。
【0025】
このようにして、特定のアプリケーションに関連し相応に署名されたデータは、無関係のアプリケーションによって、たとえば別のコンテンツプロバイダからのアプリケーションによって使用することができなくなる。
【0026】
本発明の別の側面に、組織IDを組織構造に下位分割する側面がある。このことは、証明書に別の識別子を追加することによって行うことができ、たとえばディスクID、アプリケーションID等を追加することによって行うことができる。別の手段に、図4の「組織名」内の「テキスト」フィールドを使用する手段がある。このような下位分割の利点は、たとえばDisney Studio等のコンテンツプロバイダが該コンテンツプロバイダの汎用のファイルへのアクセスを管理し、かつ、とりわけファイルおよびデータを別のコンテンツプロバイダからのアプリケーションによっても使用でき、これを保護しなければならない場合に、異なるアプリケーションによって使用できる別のデータも管理できることである。このことを実現するためには、許可されたすべてのアプリケーションがこのようなデータへのアクセス権を有すると同時に、別の(未許可の)アプリケーションからのアクセスを阻止しなければならない。
【0027】
しかし、このようなファイルに相応の証明書を上記のように適用するためには、後で使用することを予め知らなければならない。たとえば新規の証明書を追加することによって、後から証明書を得ることは不可能である。というのも、ローカル記憶装置上の相応のディレクトリに対する書き込みアクセスが必要であるからだ。しかしこのようなディレクトリは、アプリケーションが別の証明書を有する場合、後からのVFSでは可視ではない。解決手段として、予め傘(umbrella)を拡げ、時間的に後で、どのアプリケーションがこの傘の下になるのを許可するかを決定することを提案する。この傘は、ルートディレクトリを定義する組織IDの主要部分によって拡げられる。
【0028】
このことが図7に示されている。すべての下位分割は、このルートディレクトリ_root_内のサブディレクトリ内に位置づけされる。VFSを生成する際には、組織ディレクトリ(たとえば「傘」)および所属の下位分割ディレクトリ内のすべてのファイルおよびディレクトリが含まれる。隣接ディレクトリは可視でなく、ルートディレクトリ内のすべてのデータおよびファイルのみが可視であるだけである。たとえば、図7における映画オブジェクトMovie_Object_1は最新の映画トレーラを含む。ディレクトリ組織ID#1.0内のここに示された記憶位置によって、この最新の映画トレーラを、ディスクに関連し同一のスタジオからのすべてのVFSに結合し、最新の映画広告をすべてのディスクから開始することができる。たとえば組織ID#1.2によって証明される光学ディスクは、組織ID#1.0によって証明されるローカル記憶装置からのファイルも含むことができる。というのも、このファイルは同一のルートディレクトリで記憶されるからである。これらのファイルは、たとえば異なるディスクまたは異なる作品に関連する異なるサブディレクトリに記憶され、かつ同一の「組織」からのものであると受け取られる。この組織は一般的に、上記のようにすべての証明書発行機関のうちいずれかである。
【0029】
本発明の1つの側面に、識別子または組織IDを使用して、仮想ファイルシステムVFSの組立を制御する側面がある。
【0030】
本発明の別の1つの側面に、識別子または組織IDによって管理される仮想ファイルシステムの組立を、たとえばHDD等の(ローカル)記憶媒体に適用する側面がある。ここでは、組立プロセスを制御するそれぞれ有効な識別子が、取り外し可能な記憶媒体から検索される。
【0031】
本発明の1つの側面では、識別子管理される仮想ファイルシステムの組立を光学ディスクに適用し、それぞれ有効な識別子は、該光学ディスク上のその時点でプレゼンテーションされる作品から検索される。
【0032】
本発明の1つの側面では識別子または組織IDを、セキュリティシステムフレームワーク内で定義された証明書中に記憶する。
【0033】
本発明の1つの側面では、ローカル記憶媒体上でメインディレクトリツリーを、複数のサブディレクトリを含む組織構造に下位分割し、サブディレクトリに、同一のメインディレクトリの別のすべてのサブディレクトリによってアクセスできるようにする。このメインディレクトリツリーは組織IDによって証明される。
【0034】
本発明の1つの側面では、MovieObjectおよび/またはJavaObjectを署名および証明する。
【0035】
本発明の1つの側面では、新規に作成されローカル記憶媒体上に記憶されたファイルに対して署名を作成し、この署名が、取り外し可能な記憶媒体上に位置する証明書および識別子をポインティングする。この取り外し可能な記憶媒体はとりわけ光学ディスクである。
【0036】
ここではたとえば、ローカルディスク上に記憶されたすべてのAVストリームファイルに特定の組織IDによって署名および証明しなければならないという規則を設けることができる。このことにより、ローカル記憶媒体上のストリームファイルの未許可の改ざんが不可能になることが保証される。このことを可能にするためには、存在するすべてのクリップファイルのうちいずれかに一致する前面(face)AVストリームファイルを生成する。別のセキュリティメカニズムを採用して、このことを保証することができ、たとえばAVストリームファイルの暗号化を採用できる。たとえば、すべてのAVストリームファイルを同一の鍵によって暗号化することを要求する規則を設けることができる。ここでは、鍵は取り外し可能なディスク上に位置し、未暗号化のAVストリームファイルはすべて、機器によってプレゼンテーションすることはできない。
【0037】
図8は、ユーザとコンテンツプロバイダとプレーヤ製造者との間の依存関係を示す。これらはすべて、仮想ファイルシステムVFSを生成するための規則のセットに同意しなければならない。
【0038】
図9は、たとえばインターネットを介して付加的なコンテンツをダウンロードするのに考慮すべき側面を示す。コンテンツ著作者はこのようなダウンロードを、たとえば専用のインターネットサイト上に通知メッセージを出すことによって開始することができる。定義されたイベントに対して、たとえばユーザが、付加的なコンテンツに関連するディスクを該ユーザのプレーヤに挿入するか、またはユーザが特定の関連のアプリケーションを開始し、かつ、さらにユーザがプレーヤにネットワークアクセスを許可しかつ該プレーヤがこの機能をサポートする場合、この付加的なコンテンツをダウンロードし、上記のように確認および記憶することができる。
【0039】
図10は、関与するパーティが仮想ファイルシステムの構築に作用するのを示しており、かつ、これら関与するパーティが仮装ファイルシステムにどのように作用するかを示している。ユーザはプリファレンスを設定し、プレーヤ製造者は必要なソフトウェアおよび/またはハードウェアの機能を提供し、たとえば、付加的なコンテンツをメモリカードに記憶するためのメモリカードドライブを提供し、コンテンツ著作者は、該コンテンツ著作者が販売するディスクのうち幾つかまたはすべてに対して、同意したVFS規則を使用する。
【0040】
図11は、ダウンロードされたコンテンツを削除する場合に考慮すべき種々の側面を示す。たとえば、許可されたコンテンツ著作者(相応の識別子を有するコンテンツ著作者)が相応の信号を送信した場合、1つまたは複数の結合ユニットに所属する記憶済みのコンテンツをプレーヤが自動的に削除するように、該プレーヤをプログラムすることができる。このことはたとえば、映画トレーラが古くなった場合または同様である場合に使用することができる。
【0041】
図12において、どのような時に仮想ファイルシステムを構築すべきかという疑問を解説する。
ディスク挿入に応答してVFSが構築される場合、このことはプレーヤ具現化の観点で見て最も簡単な解決手段であるが、ディスクが挿入されている間はデータを生成またはダウンロードすることができない。
第2の手段は、ディスクが挿入されているかまたは新たな作品が選択された場合に、VFSを構築することである。このことはユーザの観点から見て良い解決手段である。というのも、作品が変更されると中断が生じ、この中断中に、ユーザを煩わせることなく新規のVFSを生成できるからである。
第3の手段は、再生が開始する際に常にVFSを構築することである。しかしこうするためには、MovieObjectまたはJavaObjectを結合に含まなければならない場合、PlayList、ClipInfoおよびMPEG2‐TS(transport stream)ファイルのみが含まれる場合と異なるメカニズムが必要である。これらは異なる論理レベルにあり、再生開始に対する新規のMovieObjectまたはJavaObjectが、どのファイルが有効であるかに関して混乱を引き起こす場合がある。
第4の手段は、Java仮想マシンJVM等のプログラミング可能なプラットフォームが存在する場合に適用できる手段である。すなわち、アプリケーションプログラムインタフェース(API)呼び出しに応答してVFSを動的に生成する手段である。
【0042】
VFSの構築は「結合」と称される。図13において、どのようなものが良好な結合ユニットであるか、すなわち、どのようなユニットまたはエンティティに対して結合が有効であるかを説明する。結合はディスクを参照するか、または特定のディスクからの作品を参照するか、または特定のディスクからの作品を参照するプレイリストを参照するか、または動的に参照することができる。有利な結合ユニットは作品ごとの結合ユニットである。というのも、VFSフレームワークは作品ベースであるからだ。
【0043】
上記のように、VFSの完全性をチェックしなければならない。このことを図14で説明する。完全性チェックは有利には、VFSを構築する前に常に行われる。目的は、たとえば異なるスタジオからのコンテンツを切り離し、改ざんまたは無効化されたデータの使用を阻止することである。
【0044】
図15は、ファイル構造例を示している。フルフィーチャインデックスファイルは、映画オブジェクトテーブルおよび/またはJavaオブジェクトである複数の作品に対する参照を含む。各Javaオブジェクトには、アプリケーション管理テーブルAMTを含むことができる。映画オブジェクトテーブルおよびAMTはそれぞれ、MovieObjectまたはJavaアーカイブファイルをポインティングする。これは、本発明によるVFSに含まれる。MovieObjectはたとえば、ビデオシーン、サブタイトルストリーム、グラフィックアニメーション等である。
【0045】
図16は、異なるプロバイダからのコンテンツをどのようにVFSに結合するかを示す。すなわち、プロバイダがたとえば同一のディスク識別子Disc_ID_0を使用するか否かを示す。これは、たとえばUUIDである。
【0046】
図17は、共用のトレーラをどのようにして読み出し専用ディスクに関連づけるかを説明している。
【0047】
本発明は、HDD等のさらに再書込み可能な記憶媒体へアクセス可能である取り外し可能な記憶媒体のための記録および/または再生装置に使用することができる。本発明は、たとえばブルーレイディスク等の高密度データ担体において有利である。
【図面の簡単な説明】
【0048】
【図1】署名生成および確認を示す。
【図2】信頼されるサードパーティの証明書発行機関による証明書の生成を示す。
【図3】公開鍵に対する証明書の確認を示す。
【図4】セキュリティフレームワークにおける組織IDの使用を示す。
【図5】仮想ファイルシステムにおけるマッピングにしたがい、2つの異なる組織IDを含む異なるファイルに適用される証明書を示す。
【図6】取り外し可能なディスク上およびローカル記憶装置上に存在する異なるファイルに適用される証明書を示している。
【図7】ローカル記憶装置上の得られたディレクトリ組織を含む組織IDの下位分割を示す。
【図8】関与するパーティ相互間での役割および責務を示す。
【図9】ダウンロードを行うための役割および責務を示す。
【図10】仮想ファイルシステムを構築するための役割および責務を示す。
【図11】ローカルの削除動作を行う際の役割および責務を示す。
【図12】仮想ファイルシステムを構築すべき時点を示す。
【図13】結合ユニットを選択する根拠を示す。
【図14】仮想ファイルシステムの完全性をどのように検査すべきかを示す。
【図15】ファイル構造例を示す。
【図16】複数のプロバイダからのコンテンツの結合を示す。
【図17】共用されるトレーラとディスクとの結合を示す。
【技術分野】
【0001】
本発明は、ローカル記憶媒体上のコンテンツを取り外し可能な記憶媒体上のコンテンツにセキュアに結合するための方法および装置に関する。とりわけ、前記取り外し可能な記憶媒体は読み出し専用光学ディスクである。
【0002】
背景技術
今後の光学ディスクフォーマットは、再生機器上のローカルの記憶装置を必要とするようになる。その理由は、たとえば読み出し専用光学ディスク上で搬送されるコンテンツは非常に早く時代遅れになり、コンテンツ製作スタジオは、作品の魅力を増そうとするからである。再生機器上のローカル記憶装置は、書き込み可能ディスクで必要とされていたようなディスク製造コストを増大せずに、さらなる修正と最新の追加内容を光学ディスクコンテンツに付加する可能性を提供する。インターネットと接続すると、ローカル記憶装置に追加内容をダウンロードしたり、読み出し専用ディスクのコンテンツを置き換えたりすることができる。たとえば、古い映画予告を新しい映画予告に置き換えたり、ディスクコンテンツに別のオーディオトラックまたは字幕トラックを追加したりすることができる。関連のディスクがプレーヤ内にある間は、特定の光学ディスクに所属するゲーム等の実行可能なコードを機器上にダウンロードして実行することもできる。
【0003】
このような技術的に実用的な手段に伴う問題は、ディスクおよび追加データに所属するコピーライトの保護である。関連の光学ディスクが再生機器に挿入されている間だけ、ダウンローダされた追加データを使用できるように、コピーライトを保護することが望ましい。コンテンツプロバイダに由来する追加データのいかなる使用も、また専用の光学ディスクから独立した使用も、コンテンツ所有者の管理下すなわちコンテンツプロバイダの管理下になければならない。コンテンツプロバイダは、該コンテンツがディスクに由来するものかまたはローカル記憶装置に記憶されたものであるかにかかわらず、ディスクを所有せずに、または別のコンテンツとのいかなる組み合わせでも、該コンテンツプロバイダのコンテンツすべてが違法または偶発的に使用されることがないことを保証したい。
【0004】
通常、ローカル記憶装置からのデータおよび光学ディスク記憶装置からのデータは一緒に、プレーヤ内の仮想ファイルシステム(VFS)に組み込まれる。このことは1回のみ行われる。すなわち、ディスクが挿入され最初のアプリケーションが開始される際にのみ行われる。その後のアプリケーション開始はすべて、この仮想ファイルシステムに基づいて行われる。このことはセキュリティ上のリスクになる。というのも、データアクセスが制限されている場合でも、コンテンツは無関係のアプリケーションに対して可視となるからである。
【0005】
発明の概要
本発明は、上記の一般的なシナリオを対処できるセキュリティフレームワークを保証する技術を開示する。有利には、異なる著作者からのアプリケーションが唯一の光学ディスク上に位置するケースも含まれる。この唯一の光学ディスクは、たとえばDVDまたはブルーレイディスク等である。
【0006】
本発明の要点は、仮想ファイルシステム(VFS)を作成するために、光学ディスクデータとローカル記憶装置データとを共通の識別子に基づいてマージすることである。この識別子は、ここでは「組織ID」と称する。これは、コンテンツを証明するために使用される。VFSの作成は、すべてのアプリケーションの開始前に、たとえば作品の再生前に、動的に行われる。このようにしてVFS生成は、光学ディスクのプレゼンテーション中に変更することができる。というのも、含まれるローカル記憶装置データおよび光学ディスクデータは、作品における関係にしたがって変化するからである。組織IDの位置および処理は、基本的にはアプリケーション固有であるセキュリティフレームワーク内に含まれる。
【0007】
再生機器のローカル記憶装置は、異なるコンテンツプロバイダに由来するデータを含むことができる。本発明では、このようなデータは異なる組織IDを有し、これらの組織IDはそれぞれのコンテンツプロバイダを示す。より一般的な用途では光学ディスクも、異なるコンテンツプロバイダに由来する作品を含むことができ、これらの作品は、異なる組織IDによって証明される。VFSは、再生機器上で再生される作品にしたがって、再生開始直前に生成される。このようにして、データがローカル記憶装置に由来するか、または光学ディスクまたは一般的には取り外し可能な記憶装置に由来するかに依存せずに、管理されないデータの組み合わせはすべて排除される。ローカル記憶装置上の更新の透明性も、一時データの動的な使用も保護される。
【0008】
請求項2に、この方法を使用する装置が記載されている。
【0009】
従属請求項、以下の説明ならびに図面に、本発明の有利な実施形態が開示されている。
【0010】
図面の簡単な説明
次に、添付の図面を参照しながら本発明の実施例について説明する。
図1 署名生成および確認を示す。
図2 信頼されるサードパーティの証明書発行機関による証明書の生成を示す。
図3 公開鍵に対する証明書の確認を示す。
図4 セキュリティフレームワークにおける組織IDの使用を示す。
図5 仮想ファイルシステムにおけるマッピングにしたがい、2つの異なる組織IDを含む異なるファイルに適用される証明書を示す。
図6 取り外し可能なディスク上およびローカル記憶装置上に存在する異なるファイルに適用される証明書を示しており、該証明書は、ファイルシステムにおける該異なるファイルのマッピングによる2つの異なる組織IDを搬送する。
図7 ローカル記憶装置上の得られたディレクトリ組織を含む組織IDの下位分割を示す。
図8 関与するパーティ相互間での役割および責務を示す。
図9 ダウンロードを行うための役割および責務を示す。
図10 仮想ファイルシステムを構築するための役割および責務を示す。
図11 ローカルの削除動作を行う際の役割および責務を示す。
図12 仮想ファイルシステムを構築すべき時点を示す。
図13 結合ユニットを選択する根拠を示す。
図14 仮想ファイルシステムの完全性をどのように検査すべきかを示す。
図15 ファイル構造例を示す。
図16 複数のプロバイダからのコンテンツの結合を示す。
図17 共用されるトレーラとディスクとの結合を示す。
【0011】
本発明の詳細な説明
本発明は、次のようなセキュリティフレームワークを使用することに基づいている。すなわち、たとえばローカルの第1記憶媒体と取り外し可能な第2の媒体とに分配できるファイルのマッチングを識別するための組織IDを含むセキュリティフレームワークを使用することに基づいている。該第1記憶媒体は、たとえばハードディスクドライブ(HDD)等である。以下では、取り外し可能な第2の記憶媒体は読み出し専用の光学的ディスクであると仮定する。しかし、この第2の記憶媒体は任意の取り外し可能な記憶媒体とすることができ、たとえばフラッシュメモリ等とすることができる。光学ディスクを再生機器に挿入すると、仮想ファイルシステム(VFS)が編成される。編成すべきファイルの選択は、提供される作品と該作品の組織IDとに基づいて行われる。以下では「組織ID」という用語は、一般的なコンセプトを説明するために使用される。別の実施形態では、たとえばディスクIDまたはアプリケーションID等のさらなる下位構造を定義することができ、その際にはディスクの一部は、より細かい粒度の組織IDを使用することができる。
【0012】
典型的なセキュリティフレームワークは、非対称暗号と署名の要素と証明書とを使用することに基づく。図1は、メッセージの正当性または一般的にデータセットの正当性の受信者を保証するための署名の一般的な使用を示す。メッセージの発信者(「Alice」)は秘密鍵を有し、彼女はこれを使用して、メッセージのコンテンツから自動的に生成されたハッシュ値を暗号化する。暗号化されたハッシュ値は「署名」と称され、保護すべきメッセージとともに伝送される。受信者(「Bob」)は、受信された署名と同一であるメッセージからハッシュ値を生成できる場合、このメッセージを開けることのみが可能である。こうするためには、受信者は予め定義されたアルゴリズムを使用して、受信されたメッセージからハッシュ値を生成し、発信者の公開鍵を使用して署名を復号化する。発信者はこの鍵を公然と分配することができる。というのも、この公開鍵は発信者の秘密鍵と異なるからである。公開鍵は、相応の秘密鍵によって暗号化されたデータを復号化するのに適している。発信者の公開鍵を把握している受信者はこの署名を、すなわち受信された暗号化済みのハッシュ値を確認することができる。受信者側で生成されたハッシュ値と復号化された署名とが同一である場合のみ、受信者は、このメッセージが現時点までに変更されなかったことを確認することができる。
【0013】
公開鍵をあちこちに送信する苦労は、セキュリティ上のリスクにも鍵管理のオーバヘッドにもなり、このような苦労を回避するために証明技術を使用する。図2に示されているように、信頼されるサードパーティ認証機関(証明書発行機関、CA)がクライアント(「Alice」)の公開鍵に署名する。このことは、公開鍵のハッシュ値を生成し、該ハッシュ値をCAの秘密鍵によって暗号化し、この暗号化されたハッシュ値をクライアントへ送信し戻すことによって行われる。この署名はクライアントの公開鍵とともに、使用される証明書を構成する。本発明によれば、さらに別の情報を付加し、証明書中に含め、とりわけ、たとえば組織ID等の識別子を付加する。
【0014】
発信者がCAの公開鍵を有する場合、受信者(「Bob」)は、発信者の公開鍵が正当であるか否かを確認することができる。図3に、Aliceの鍵の証明書の確認が示されている。受信された公開鍵が、予め既知でない発信者に所属するものであっても、受信者は、信頼されたサードパーティの公開鍵によって証明書を復号化することにより、この公開鍵の正当性を確認することができる。受信された公開鍵から再生成されたハッシュ値が、復号化された証明書と一致する場合のみ、発信者から受信された公開鍵は信頼できる。
【0015】
図4に示されているように、本発明は一般的なセキュリティフレームワークに基づいて使用することができる。光学ディスク上およびローカル記憶装置上のデータに対して、証明書を含み組織IDを搬送する署名が生成される。署名証明書が署名の正当性を証明し、組織IDの正当性も証明する。本発明では、次の構成も含まれる。すなわち、ローカル記憶装置が永続的であり、換言すると、記憶されたデータは電源遮断後に失われることなく、該ローカル記憶装置に記憶されたデータがディスクに由来するか、またはインターネットダウンロードを介して得られたものであるか、または別のソースに由来するものであるかに関係なく、すべて維持される構成も含まれる。
【0016】
図5に、本発明によるディスクファイルシステムのための上記のようなセキュリティフレームワークの使用が示されている。ここでは、組織IDによって制御されるVFSの組立が適用される。証明書certificate_ID#1,certificate_ID#2がそれぞれの組織IDを搬送し、実際のデータ内容に固定的に結合された署名ファイルが証明書をポインティングする。署名ファイルとデータ内容との間の意味論的な結合は、定義されたアルゴリズムをデータ内容に適用することによって生成されたコードであるいわゆる「ダイジェストコード」によって実現される。署名とデータとの間の物理的な結合は、データ構造または明示的なファイルによって行うことができる。図5に示されたファイルは、たとえばすべて光学ディスク上に、すなわち、異なる証明書および異なる署名識別子signature_ID#1,signature_ID#2を有する2つの異なるコンテンツプロバイダによって作成された作品を搬送するディスク上に位置する。
【0017】
たとえばTitle_1のプレゼンテーションが開始される前に、プレーヤは仮想ファイルシステムVFSを編成する。この編成は、ディスク上のデータに所属する署名に割り当てられた証明書certificate_ID#1,certificate_ID#2によって制御される。この実施例では、作品Title_1に添付された署名signature_ID#1は組織ID#1によって証明されると仮定する。したがって本発明では、組織ID#1によって証明されるデータのみを、Title_1のプレゼンテーション開始前に組み立てることができる。これと同様に、たとえば、組織ID#2によって証明されるTitle_2のプレゼンテーション開始前に、組織ID#2によって証明されるデータのみをVFSに対して組み立てることができる。組織IDが異なれば、組織IDが所属するコンテンツ作成者またはコンテンツ所有者も異なることができる。すなわち、コンテンツ著作者、スタジオ、プロバイダ等も異なることができる。
【0018】
図5に示されているように、上記の作品はたとえば、映画オブジェクトファイル(MovieObject)またはJavaオブジェクトファイル(JavaObject)または別の種類のファイルを含むことができる。MovieObjectは、オーディオおよび/またはビデオ(AV)プレゼンテーション用のストリーミングファイルを記述し、JavaObjectは、Java仮想マシン(JVM)上で実行できるJava実行可能ファイルを記述する。Javaオブジェクトデータは、JavaアーカイブファイルBD‐jar1,BD‐jar2に記憶されている。これらのオブジェクト種類は双方とも、証明された署名ファイルを有することができる。
【0019】
可能な例外に、AVストリームファイルの加工処理がある。というのも、これは必ずしも署名ファイルを有する必要がないからである。その理由は、ストリームファイルは大きく、大きなファイルのダイジェストコード(すなわちハッシュコード)の計算は長時間を要するからである。VFSを組み立てるためには、署名付きのAVストリームファイルを、別のファイルに関して説明したのと同様に加工処理する。しかし組立プロセスは、全く署名されていないこのようなAVストリームファイルも含む。すなわち、適正な組織IDによって証明されるかまたは署名を全く有さないこのようなストリームファイルのみが含まれる。AVストリームファイルのこのような加工処理がセキュリティの連鎖を遮断することはない。というのもAVストリームファイルへのアクセスは、いかなるアクセスも、MovieObject,PlayListおよびクリップファイルによってのみ可能であるからだ。このようなファイルは常に、直接的または間接的に署名および証明されている。
【0020】
本発明の別の実施形態では、組織IDはディスク全体に対して適用される。この場合、VFSはディスクのプレゼンテーション開始前に1回だけ生成される。従来技術のシステムに対する相違は、ローカル記憶媒体を考慮すると明確になる。
【0021】
本発明では、ディスクに所属するデータおよびローカル記憶媒体に記憶されたデータは、署名と、組織IDを含む証明書とを搬送する。AVストリームファイルでは、上記の例外がなお有効である。ローカル記憶媒体上の証明されないデータはすべて、別個に実行することができるだけである。すなわち、ローカル記憶媒体から生成された仮想ファイルシステムは、証明されたディスクコンテンツも、異なって証明されたディスクコンテンツも有することはできない。このようにしてコンテンツプロバイダは、該コンテンツプロバイダのコンテンツが保護され、ディスク上のデータ素材はどれも悪用されないことを保証できる。
【0022】
本発明の別の実施形態では、組織IDは図6に示されているように、ローカル記憶装置とともに使用される。再生機器にロードされた光学ディスクはインデックスファイルを有し、このインデックスファイルの第1の作品Title_1はJavaObjectファイルを参照する。JavaObjectファイルは、BD‐jarアプリケーションをポインティングする。ディスク上のファイルはすべて、同一の識別子である組織ID#1によって署名および証明され、たとえば、該当のディスクコンテンツを作成したコンテンツプロバイダに関連づけされる。AVストリームファイルでは、上記の例外規則がなお有効である。たとえばHDDであるローカル記憶装置は、2つの異なるコンテンツプロバイダからのファイルを含む。これらのファイルは、コンテンツプロバイダに依存して異なる署名によって署名される。たとえば、JavaObjectファイルおよびBD‐jarアプリケーションは組織ID#1によって署名および証明され、MovieObjectファイルと、PlayListファイルと、クリップファイルと、AVストリームファイルは組織ID#2によって署名および証明される。
【0023】
ディスク挿入後に仮想ファイルシステムVFSは、ディスク上に位置する証明書に基づいて組み立てられる。この実施例では、ディスク上に1つの証明書のみが存在し、すなわち組織ID#1のみが存在するので、本発明ではこのようなファイルのみがVFSに含まれ、かつ、マッチング識別子である組織ID#1によって証明される。別のファイルはすべて不可視のままであり、VFSの有効期間中はアクセス不能のままである。ローカル記憶装置はこの場合、JavaObjectファイルの更新を含み、すなわち、署名signature_ID#1に同一の名前および同一の識別子(organization_ID#1)を有するJavaObjectファイルを含むので、これがディスク上のものの代替となり、HDDからのJavaアプリケーションBD‐jar2が、ディスクからの本来のJavaアプリケーションの代わりに実行される。
【0024】
この実施例から理解できるように、仮想ファイルシステムの生成を制御する証明書中の組織IDを使用することにより、ローカル記憶媒体に由来するデータとの間で行える可能性のある管理されないデータのいかなる組み合わせも禁止して、ローカル記憶装置のセキュリティが格段に改善される。ローカル記憶装置上にデータを生成するアプリケーションは、生成されたファイルに署名しなければならず、署名は、適切な組織IDを搬送するディスク証明書をポインティングしなければならない。こうしないとアプリケーションは、新規に生成されたデータをローカル記憶装置上で再び見つけることができなくなる。この生成されたデータがキャッシュに保持されている場合、VFSが破壊されるまで、このデータはVFSに使用可能のままである。このVFSの破壊はたとえば、ディスクがプレーヤから取り外された場合、プレーヤがスイッチオフされた場合、または該ディスクからの別の作品が選択された場合に起こるか、または別のイベントが生じることで起こる。次にVFSが編成された場合、適正な組織IDによって証明される、ローカル記憶装置からのデータのみが、この結合に含まれる。
【0025】
このようにして、特定のアプリケーションに関連し相応に署名されたデータは、無関係のアプリケーションによって、たとえば別のコンテンツプロバイダからのアプリケーションによって使用することができなくなる。
【0026】
本発明の別の側面に、組織IDを組織構造に下位分割する側面がある。このことは、証明書に別の識別子を追加することによって行うことができ、たとえばディスクID、アプリケーションID等を追加することによって行うことができる。別の手段に、図4の「組織名」内の「テキスト」フィールドを使用する手段がある。このような下位分割の利点は、たとえばDisney Studio等のコンテンツプロバイダが該コンテンツプロバイダの汎用のファイルへのアクセスを管理し、かつ、とりわけファイルおよびデータを別のコンテンツプロバイダからのアプリケーションによっても使用でき、これを保護しなければならない場合に、異なるアプリケーションによって使用できる別のデータも管理できることである。このことを実現するためには、許可されたすべてのアプリケーションがこのようなデータへのアクセス権を有すると同時に、別の(未許可の)アプリケーションからのアクセスを阻止しなければならない。
【0027】
しかし、このようなファイルに相応の証明書を上記のように適用するためには、後で使用することを予め知らなければならない。たとえば新規の証明書を追加することによって、後から証明書を得ることは不可能である。というのも、ローカル記憶装置上の相応のディレクトリに対する書き込みアクセスが必要であるからだ。しかしこのようなディレクトリは、アプリケーションが別の証明書を有する場合、後からのVFSでは可視ではない。解決手段として、予め傘(umbrella)を拡げ、時間的に後で、どのアプリケーションがこの傘の下になるのを許可するかを決定することを提案する。この傘は、ルートディレクトリを定義する組織IDの主要部分によって拡げられる。
【0028】
このことが図7に示されている。すべての下位分割は、このルートディレクトリ_root_内のサブディレクトリ内に位置づけされる。VFSを生成する際には、組織ディレクトリ(たとえば「傘」)および所属の下位分割ディレクトリ内のすべてのファイルおよびディレクトリが含まれる。隣接ディレクトリは可視でなく、ルートディレクトリ内のすべてのデータおよびファイルのみが可視であるだけである。たとえば、図7における映画オブジェクトMovie_Object_1は最新の映画トレーラを含む。ディレクトリ組織ID#1.0内のここに示された記憶位置によって、この最新の映画トレーラを、ディスクに関連し同一のスタジオからのすべてのVFSに結合し、最新の映画広告をすべてのディスクから開始することができる。たとえば組織ID#1.2によって証明される光学ディスクは、組織ID#1.0によって証明されるローカル記憶装置からのファイルも含むことができる。というのも、このファイルは同一のルートディレクトリで記憶されるからである。これらのファイルは、たとえば異なるディスクまたは異なる作品に関連する異なるサブディレクトリに記憶され、かつ同一の「組織」からのものであると受け取られる。この組織は一般的に、上記のようにすべての証明書発行機関のうちいずれかである。
【0029】
本発明の1つの側面に、識別子または組織IDを使用して、仮想ファイルシステムVFSの組立を制御する側面がある。
【0030】
本発明の別の1つの側面に、識別子または組織IDによって管理される仮想ファイルシステムの組立を、たとえばHDD等の(ローカル)記憶媒体に適用する側面がある。ここでは、組立プロセスを制御するそれぞれ有効な識別子が、取り外し可能な記憶媒体から検索される。
【0031】
本発明の1つの側面では、識別子管理される仮想ファイルシステムの組立を光学ディスクに適用し、それぞれ有効な識別子は、該光学ディスク上のその時点でプレゼンテーションされる作品から検索される。
【0032】
本発明の1つの側面では識別子または組織IDを、セキュリティシステムフレームワーク内で定義された証明書中に記憶する。
【0033】
本発明の1つの側面では、ローカル記憶媒体上でメインディレクトリツリーを、複数のサブディレクトリを含む組織構造に下位分割し、サブディレクトリに、同一のメインディレクトリの別のすべてのサブディレクトリによってアクセスできるようにする。このメインディレクトリツリーは組織IDによって証明される。
【0034】
本発明の1つの側面では、MovieObjectおよび/またはJavaObjectを署名および証明する。
【0035】
本発明の1つの側面では、新規に作成されローカル記憶媒体上に記憶されたファイルに対して署名を作成し、この署名が、取り外し可能な記憶媒体上に位置する証明書および識別子をポインティングする。この取り外し可能な記憶媒体はとりわけ光学ディスクである。
【0036】
ここではたとえば、ローカルディスク上に記憶されたすべてのAVストリームファイルに特定の組織IDによって署名および証明しなければならないという規則を設けることができる。このことにより、ローカル記憶媒体上のストリームファイルの未許可の改ざんが不可能になることが保証される。このことを可能にするためには、存在するすべてのクリップファイルのうちいずれかに一致する前面(face)AVストリームファイルを生成する。別のセキュリティメカニズムを採用して、このことを保証することができ、たとえばAVストリームファイルの暗号化を採用できる。たとえば、すべてのAVストリームファイルを同一の鍵によって暗号化することを要求する規則を設けることができる。ここでは、鍵は取り外し可能なディスク上に位置し、未暗号化のAVストリームファイルはすべて、機器によってプレゼンテーションすることはできない。
【0037】
図8は、ユーザとコンテンツプロバイダとプレーヤ製造者との間の依存関係を示す。これらはすべて、仮想ファイルシステムVFSを生成するための規則のセットに同意しなければならない。
【0038】
図9は、たとえばインターネットを介して付加的なコンテンツをダウンロードするのに考慮すべき側面を示す。コンテンツ著作者はこのようなダウンロードを、たとえば専用のインターネットサイト上に通知メッセージを出すことによって開始することができる。定義されたイベントに対して、たとえばユーザが、付加的なコンテンツに関連するディスクを該ユーザのプレーヤに挿入するか、またはユーザが特定の関連のアプリケーションを開始し、かつ、さらにユーザがプレーヤにネットワークアクセスを許可しかつ該プレーヤがこの機能をサポートする場合、この付加的なコンテンツをダウンロードし、上記のように確認および記憶することができる。
【0039】
図10は、関与するパーティが仮想ファイルシステムの構築に作用するのを示しており、かつ、これら関与するパーティが仮装ファイルシステムにどのように作用するかを示している。ユーザはプリファレンスを設定し、プレーヤ製造者は必要なソフトウェアおよび/またはハードウェアの機能を提供し、たとえば、付加的なコンテンツをメモリカードに記憶するためのメモリカードドライブを提供し、コンテンツ著作者は、該コンテンツ著作者が販売するディスクのうち幾つかまたはすべてに対して、同意したVFS規則を使用する。
【0040】
図11は、ダウンロードされたコンテンツを削除する場合に考慮すべき種々の側面を示す。たとえば、許可されたコンテンツ著作者(相応の識別子を有するコンテンツ著作者)が相応の信号を送信した場合、1つまたは複数の結合ユニットに所属する記憶済みのコンテンツをプレーヤが自動的に削除するように、該プレーヤをプログラムすることができる。このことはたとえば、映画トレーラが古くなった場合または同様である場合に使用することができる。
【0041】
図12において、どのような時に仮想ファイルシステムを構築すべきかという疑問を解説する。
ディスク挿入に応答してVFSが構築される場合、このことはプレーヤ具現化の観点で見て最も簡単な解決手段であるが、ディスクが挿入されている間はデータを生成またはダウンロードすることができない。
第2の手段は、ディスクが挿入されているかまたは新たな作品が選択された場合に、VFSを構築することである。このことはユーザの観点から見て良い解決手段である。というのも、作品が変更されると中断が生じ、この中断中に、ユーザを煩わせることなく新規のVFSを生成できるからである。
第3の手段は、再生が開始する際に常にVFSを構築することである。しかしこうするためには、MovieObjectまたはJavaObjectを結合に含まなければならない場合、PlayList、ClipInfoおよびMPEG2‐TS(transport stream)ファイルのみが含まれる場合と異なるメカニズムが必要である。これらは異なる論理レベルにあり、再生開始に対する新規のMovieObjectまたはJavaObjectが、どのファイルが有効であるかに関して混乱を引き起こす場合がある。
第4の手段は、Java仮想マシンJVM等のプログラミング可能なプラットフォームが存在する場合に適用できる手段である。すなわち、アプリケーションプログラムインタフェース(API)呼び出しに応答してVFSを動的に生成する手段である。
【0042】
VFSの構築は「結合」と称される。図13において、どのようなものが良好な結合ユニットであるか、すなわち、どのようなユニットまたはエンティティに対して結合が有効であるかを説明する。結合はディスクを参照するか、または特定のディスクからの作品を参照するか、または特定のディスクからの作品を参照するプレイリストを参照するか、または動的に参照することができる。有利な結合ユニットは作品ごとの結合ユニットである。というのも、VFSフレームワークは作品ベースであるからだ。
【0043】
上記のように、VFSの完全性をチェックしなければならない。このことを図14で説明する。完全性チェックは有利には、VFSを構築する前に常に行われる。目的は、たとえば異なるスタジオからのコンテンツを切り離し、改ざんまたは無効化されたデータの使用を阻止することである。
【0044】
図15は、ファイル構造例を示している。フルフィーチャインデックスファイルは、映画オブジェクトテーブルおよび/またはJavaオブジェクトである複数の作品に対する参照を含む。各Javaオブジェクトには、アプリケーション管理テーブルAMTを含むことができる。映画オブジェクトテーブルおよびAMTはそれぞれ、MovieObjectまたはJavaアーカイブファイルをポインティングする。これは、本発明によるVFSに含まれる。MovieObjectはたとえば、ビデオシーン、サブタイトルストリーム、グラフィックアニメーション等である。
【0045】
図16は、異なるプロバイダからのコンテンツをどのようにVFSに結合するかを示す。すなわち、プロバイダがたとえば同一のディスク識別子Disc_ID_0を使用するか否かを示す。これは、たとえばUUIDである。
【0046】
図17は、共用のトレーラをどのようにして読み出し専用ディスクに関連づけるかを説明している。
【0047】
本発明は、HDD等のさらに再書込み可能な記憶媒体へアクセス可能である取り外し可能な記憶媒体のための記録および/または再生装置に使用することができる。本発明は、たとえばブルーレイディスク等の高密度データ担体において有利である。
【図面の簡単な説明】
【0048】
【図1】署名生成および確認を示す。
【図2】信頼されるサードパーティの証明書発行機関による証明書の生成を示す。
【図3】公開鍵に対する証明書の確認を示す。
【図4】セキュリティフレームワークにおける組織IDの使用を示す。
【図5】仮想ファイルシステムにおけるマッピングにしたがい、2つの異なる組織IDを含む異なるファイルに適用される証明書を示す。
【図6】取り外し可能なディスク上およびローカル記憶装置上に存在する異なるファイルに適用される証明書を示している。
【図7】ローカル記憶装置上の得られたディレクトリ組織を含む組織IDの下位分割を示す。
【図8】関与するパーティ相互間での役割および責務を示す。
【図9】ダウンロードを行うための役割および責務を示す。
【図10】仮想ファイルシステムを構築するための役割および責務を示す。
【図11】ローカルの削除動作を行う際の役割および責務を示す。
【図12】仮想ファイルシステムを構築すべき時点を示す。
【図13】結合ユニットを選択する根拠を示す。
【図14】仮想ファイルシステムの完全性をどのように検査すべきかを示す。
【図15】ファイル構造例を示す。
【図16】複数のプロバイダからのコンテンツの結合を示す。
【図17】共用されるトレーラとディスクとの結合を示す。
【特許請求の範囲】
【請求項1】
取り外し可能な読み出し専用の第1の記憶媒体からの第1のデータと、第2の記憶媒体からの第2のデータとを結合する方法において、
・挿入された読み出し専用の第1の記憶媒体から、第1の識別子(組織ID)と第2の識別子(ディスクID)と第1のデータセット(インデックスファイル)とを決定するステップと、
・アプリケーションを開始するためのコマンドを受け取るステップと、
・該第2の記憶媒体上において第1の識別子(組織ID)による第1のディレクトリが使用可能であるか否かを検出し、かつ、該第1のディレクトリにおいて該第2の識別子(ディスクID)による第2のディレクトリが使用可能であるか否かを検出し、そうである場合には、
該第2のディレクトリから第2のデータセットを読み出し、読み出された該第2のデータセットから、該アプリケーションに関連するファイルのリストを抽出するステップと、
関連する該ファイルが読み出し専用な該第1の記憶媒体上に存在するかまたは該第2の媒体上において第1のディレクトリに存在するかを検出するステップと、
使用可能である該関連のファイルを含む仮想ファイルシステム(VFS)を生成するステップと、
生成された該仮想ファイルシステム(VFS)に基づいて該アプリケーションを開始するステップとを実施するステップ
とを有することを特徴とする方法。
【請求項2】
前記第2の記憶媒体から読み出されたデータの正当性を、該第2の記憶媒体から読み出され前記第1の識別子(組織ID)を含む証明書によって確認する、請求項1記載の方法。
【請求項3】
前記アプリケーションは、前記第1の識別子(組織ID)によって前記第1のディレクトリに新規のファイルを書き込み/作成できる、請求項1または2記載の方法。
【請求項4】
前記第2のディレクトリを、前記VFSが存在する間は書き込み保護する、請求項1から3までのいずれか1項記載の方法。
【請求項5】
前記VFS内の前記ファイルは、該VFSが存在しない間は書き込み可能である、請求項1から4までのいずれか1項記載の方法。
【請求項6】
前記第2のデータセットを署名ファイルによって証明する、請求項1から5までのいずれか1項記載の方法。
【請求項7】
前記第1のディレクトリに位置しかつ前記第2のディレクトリには位置しない関連のファイルを、署名付きの別個の証明書ファイルによって証明する、請求項1から6までのいずれか1項記載の方法。
【請求項8】
取り外し可能である読み出し専用の第1の記憶媒体からのデータと、第2の記憶媒体からのデータとを有する仮想ファイルシステム(VFS)を作成する方法において、
・挿入された第1の記憶媒体から第1の識別子(組織ID)と第2の識別子(ディスクID)とを決定するステップと、
・該第2の記憶媒体上において、該第2の識別子(ディスクID)によるサブディレクトリを有する、該第1の識別子(組織ID)によるディレクトリが使用可能であるか否かを検出するステップと、
・そうでない場合には、該第2の記憶媒体上に該ディレクトリを作成するステップと、
・ファイルのリストを含むファイルを該第1の記憶媒体から検索するか、またはインターネットを介して検索して、該第2のディレクトリに記憶するステップと、
該ファイルのリストにしたがって仮想ファイルシステム(VFS)を作成するステップ
とを有することを特徴とする方法。
【請求項9】
取り外し可能な読み出し専用の前記第1の記憶媒体にアクセス可能である間だけ、前記仮想ファイルシステム(VFS)を維持し、該第1の記憶媒体がアクセス可能でない場合には該仮想ファイルシステムを除去する、請求項8記載の方法。
【請求項10】
請求項1から7までのいずれか1項記載の方法にしたがって証明されたデータを含むことを特徴とする、光学的読み出し専用ディスク。
【請求項1】
取り外し可能な読み出し専用の第1の記憶媒体からの第1のデータと、第2の記憶媒体からの第2のデータとを結合する方法において、
・挿入された読み出し専用の第1の記憶媒体から、第1の識別子(組織ID)と第2の識別子(ディスクID)と第1のデータセット(インデックスファイル)とを決定するステップと、
・アプリケーションを開始するためのコマンドを受け取るステップと、
・該第2の記憶媒体上において第1の識別子(組織ID)による第1のディレクトリが使用可能であるか否かを検出し、かつ、該第1のディレクトリにおいて該第2の識別子(ディスクID)による第2のディレクトリが使用可能であるか否かを検出し、そうである場合には、
該第2のディレクトリから第2のデータセットを読み出し、読み出された該第2のデータセットから、該アプリケーションに関連するファイルのリストを抽出するステップと、
関連する該ファイルが読み出し専用な該第1の記憶媒体上に存在するかまたは該第2の媒体上において第1のディレクトリに存在するかを検出するステップと、
使用可能である該関連のファイルを含む仮想ファイルシステム(VFS)を生成するステップと、
生成された該仮想ファイルシステム(VFS)に基づいて該アプリケーションを開始するステップとを実施するステップ
とを有することを特徴とする方法。
【請求項2】
前記第2の記憶媒体から読み出されたデータの正当性を、該第2の記憶媒体から読み出され前記第1の識別子(組織ID)を含む証明書によって確認する、請求項1記載の方法。
【請求項3】
前記アプリケーションは、前記第1の識別子(組織ID)によって前記第1のディレクトリに新規のファイルを書き込み/作成できる、請求項1または2記載の方法。
【請求項4】
前記第2のディレクトリを、前記VFSが存在する間は書き込み保護する、請求項1から3までのいずれか1項記載の方法。
【請求項5】
前記VFS内の前記ファイルは、該VFSが存在しない間は書き込み可能である、請求項1から4までのいずれか1項記載の方法。
【請求項6】
前記第2のデータセットを署名ファイルによって証明する、請求項1から5までのいずれか1項記載の方法。
【請求項7】
前記第1のディレクトリに位置しかつ前記第2のディレクトリには位置しない関連のファイルを、署名付きの別個の証明書ファイルによって証明する、請求項1から6までのいずれか1項記載の方法。
【請求項8】
取り外し可能である読み出し専用の第1の記憶媒体からのデータと、第2の記憶媒体からのデータとを有する仮想ファイルシステム(VFS)を作成する方法において、
・挿入された第1の記憶媒体から第1の識別子(組織ID)と第2の識別子(ディスクID)とを決定するステップと、
・該第2の記憶媒体上において、該第2の識別子(ディスクID)によるサブディレクトリを有する、該第1の識別子(組織ID)によるディレクトリが使用可能であるか否かを検出するステップと、
・そうでない場合には、該第2の記憶媒体上に該ディレクトリを作成するステップと、
・ファイルのリストを含むファイルを該第1の記憶媒体から検索するか、またはインターネットを介して検索して、該第2のディレクトリに記憶するステップと、
該ファイルのリストにしたがって仮想ファイルシステム(VFS)を作成するステップ
とを有することを特徴とする方法。
【請求項9】
取り外し可能な読み出し専用の前記第1の記憶媒体にアクセス可能である間だけ、前記仮想ファイルシステム(VFS)を維持し、該第1の記憶媒体がアクセス可能でない場合には該仮想ファイルシステムを除去する、請求項8記載の方法。
【請求項10】
請求項1から7までのいずれか1項記載の方法にしたがって証明されたデータを含むことを特徴とする、光学的読み出し専用ディスク。
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図1】
【図2】
【図3】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図1】
【図2】
【図3】
【公表番号】特表2008−522255(P2008−522255A)
【公表日】平成20年6月26日(2008.6.26)
【国際特許分類】
【出願番号】特願2007−540626(P2007−540626)
【出願日】平成17年10月25日(2005.10.25)
【国際出願番号】PCT/EP2005/055501
【国際公開番号】WO2006/051037
【国際公開日】平成18年5月18日(2006.5.18)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
【公表日】平成20年6月26日(2008.6.26)
【国際特許分類】
【出願日】平成17年10月25日(2005.10.25)
【国際出願番号】PCT/EP2005/055501
【国際公開番号】WO2006/051037
【国際公開日】平成18年5月18日(2006.5.18)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
[ Back to top ]