暗号化データ記録装置

【課題】ネットワークに接続されるデータ記録装置において、著作権付きコンテンツのような暗号化データを保存可能とする。
【解決手段】ネットワーク１００を介して伝送される暗号化データをＲＡＭ１６の第１のメモリ領域に記憶し、ＤＣＴＰ／ＩＰ暗号化復号化回路２０は、この第１のメモリ領域に記憶された第１の暗号化が施されたデータを読み込み、第１の暗号化を復号化し、ハードディスク等の記録手段（データストレージ）１８に記録するための第２の暗号化を施して、ＲＡＭ１６の第２のメモリ領域に転送する。ＲＡＭ１６の第２のメモリ領域に記憶された暗号化データを記録手段１８に記録する。また、記録手段１８に記録された暗号化データを、ＲＡＭ１６の第１のメモリ領域に記憶し、ＤＣＴＰ／ＩＰ暗号化復号化回路２０で暗号化を復号化した後ＤＣＴＰ／ＩＰ暗号化を施してＲＡＭ１６の第２のメモリ領域に記憶し、ネットワーク１００に出力する。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、暗号化データ記録装置に関し、特に、ネットワークに接続されて暗号化されたコンテンツデータを記録するためのネットワーク接続ストレージ装置等の暗号化データ記録装置に関する。
【背景技術】
【０００２】
近年において、デジタル化された映像及び音声等のデジタルコンテンツをハードディスク装置等の記録（ストレージ）装置に記録し、再生するようなデジタルＡＶシステム等が普及してきている。
【０００３】
また、ＩＥＥＥ（Institute of Electrical and Electronics Engineers）８０２．３準拠のいわゆるイーサネット（Ethernet）（登録商標）、あるいはＩＥＥＥ８０２．１１準拠のワイヤレス規格に基づいた方法によりネットワーク接続されたパーソナルコンピュータから容易に接続できるストレージ装置として、ネットワーク接続ストレージ装置（Network Attached Storage；ＮＡＳ）が広く普及している。
【０００４】
ところで、このようなInternet Protocol（ＩＰ）によって通信する装置の間では、従来においては、著作権付き動画データ等のコンテンツの送受信ができなかったが、２００４年になってＤＴＣＰ (Digital Transmission Contents Protection）規格の一部として正式規格が発行されることになり、ライセンスも開始されるようになってきている。これにより、例えばイーサネット（登録商標）上で、ＤＴＣＰ／ＩＰを用いて著作権付データを流すことが可能になっており、また、例えばいわゆるCopy Once（１回のみコピー可能）のように、記録保存が許されているコンテンツの場合には、著作権付きデータの保存をすることも可能になる。
【０００５】
このような著作権付きのコンテンツデータについては、暗号化を施して保存、取り出しを行うことが必要とされる。このための暗号化・復号化回路を導入した暗号化対応のネットワーク接続ストレージ装置をいかに実現するかが重要である。
【０００６】
ここで、一般のデータを記憶・保存するための通常のネットワーク接続ストレージ装置を図１０に示す。通常のネットワーク接続ストレージ装置においては、上述したような暗号化・復号化回路は存在しない。すなわち、この図１０において、イーサネット（登録商標）やＩＥＥＥ８０２．１１準拠の無線ＬＡＮ規格等に基づくネットワーク１００に、ネットワーク接続ストレージ装置であるデータ記録装置２１０が接続されている。このデータ記録装置２１０は、ネットワーク１００に対して、ネットワークインターフェース２１１及びＭＡＣ（Media Access Control）ブロック２１２を介して接続され、ＭＡＣブロック２１２は、データ記録装置２１０の内部バスである例えばＰＣＩ（Peripheral Component Interconnect）バス２１３に接続される。このＰＣＩバス２１３には、制御手段としてのＣＰＵ２１４、プログラム等が記憶されたＲＯＭ２１５、及びデータ記憶手段としてのＲＡＭ２１６が接続され、また、バスブリッジ２１７を介してハードディスク等の記録手段（データストレージ）２１８が接続されている。ＲＯＭ２１５には、例えばＥＰＲＯＭ（Erasable and Programmable Read Only Memory）が用いられ、ＲＡＭ２１６には、例えばＳＤＲＡＭ（Synchronous Dynamic Random Access Memory）が用いられる。
【０００７】
このような構成のネットワーク接続ストレージ装置であるデータ記録装置２１０において、イーサネット（登録商標）等のネットワーク１００を介して、例えば上述したようなＤＴＣＰ規格の一部としての著作権付き動画データ等のコンテンツの送受信を行おうとする場合に、暗号化・復号化のための構成をどのように実現するかが重要である。
【０００８】
ここで、特許文献１には、デジタルインターフェース制御機能及び暗号化解読機能を備え、ＩＥＥＥ１３９４シリアルデータバスで接続されている電子機器が記載されている。
【０００９】
また、特許文献２には、ストレージ内に記録されたデータを不正の第三者にアクセスさせないようにするストレージおよびその制御方法が記載されている。
【００１０】
【特許文献１】特開２００１−４３６１８号公報
【特許文献２】特開２００２−１４０１７２号公報
【発明の開示】
【発明が解決しようとする課題】
【００１１】
ところで、ＩＥＥＥ１３９４のシリアルインターフェース規格を用いたストレージ装置において、上述したような著作権付きデータの保存再生を行う場合には、著作権付きデータを送受信するための暗号化・復号化は、リンクチップ（Link Chip）あるいはリンクブロック（Link Block）と呼ばれるブロックにて行うのが通常である。このような手法をそのまま上記ＩＥＥＥ８０２．３あるいはＩＥＥＥ８０２．１１に適用しようとすると、暗号化/復号化はＭＡＣチップ（MAC Chip）あるいはＭＡＣブロック（MAC Block）と呼ばれるＭＡＣ（Medium Access Controller）のブロックで行うことになるが、この構造をＩＥＥＥ８０２系で実現するのは、大変困難である。これは、ＩＥＥＥ８０２系の場合、著作権付きのＡＶデータを流すにあたっても、単にＡＶデータの連続ではなく、例えば、ＡＶデータの受信と電子メールの受信を同時に行う場合のように、いつどんな他のデータが紛れ込んでくるか分からないからである。
【００１２】
また、上記ＤＴＣＰ／ＩＰにおいては、著作権付きデータのストリーム暗号化・復号化はＡＥＳ（Advanced Encryption Standard）を用いることと規格上決められており、このＡＥＳ暗号化を復号化した後に、ハードディスク等のデータストレージに保存するためにローカル暗号化を施す必要があり、また、保存されたデータを読み出す際には、ローカル暗号化を復号化した後に、ＤＴＣＰ／ＩＰ規格に従ったＡＥＳ暗号化を施す必要がある。このような２系統の暗号化・復号化には、２系統の暗号化・復号化器が必要とされ、構成が複雑化し、処理も複雑化する、という問題点がある。
【００１３】
本発明は、このような従来の実情に鑑みて提案されたものであり、ネットワークに接続されるデータ記録装置において、著作権付きコンテンツのような暗号化データを保存可能とする場合に、ネットワークの通信プロトコルの規格に基づく暗号化・復号化（例えばＤＴＣＰ／ＩＰ暗号化・復号化）と、ハードディスク等の記録手段へのデータ保存のためのローカル暗号化・復号化とを、簡単な構成で、また簡単な処理で行えるような暗号化データ記録装置を提供することを目的とする。
【課題を解決するための手段】
【００１４】
上述の課題を解決するために、本発明は、パケット通信が行われるネットワークに通信インターフェースを介して接続されたバスラインと、上記バスラインに接続された制御手段と、上記バスラインに接続された記憶手段と、上記バスラインに接続された暗号化復号化手段と、上記バスラインに接続されたデータ記録手段とを有し、上記暗号化復号化手段は、上記記憶手段の第１の領域に記憶された第１の暗号化が施されたデータを読み込み、上記第１の暗号化を復号化し、上記データ記録手段に記録するための第２の暗号化を施して、上記記憶手段の第２の領域に転送することを特徴とする。
【００１５】
ここで、上記ネットワークを介して伝送される暗号化データは、ＤＣＴＰ／ＩＰ規格のＡＥＳ暗号化が施されたものであることことが好ましい。
【００１６】
上記制御手段は、上記ネットワークを介して伝送された暗号化データを上記記憶手段の第１の領域に記憶し、上記暗号化復号化手段に対して、上記記憶手段の第１の領域に記憶された暗号化データを読み込んで上記記憶手段の第２の領域に書き出すデータ転送処理を行わせ、上記記憶手段の第２の領域に記憶された暗号化データを上記データ記録手段に記録する。また、上記制御手段は、上記ネットワークを介して伝送された暗号化データを上記記憶手段の第１の領域に記憶し、上記暗号化復号化手段に対して、上記記憶手段の第１の領域に記憶された暗号化データを読み込んで上記記憶手段の第２の領域に書き出すデータ転送処理を行わせ、上記記憶手段の第２の領域に記憶された暗号化データを上記データ記録手段に記録する。
【００１７】
また、上記ネットワークを介して伝送される暗号化データは、ＤＣＴＰ／ＩＰ規格のＡＥＳ暗号化が施されたものであることが挙げられる。この場合、上記ネットワークを介して伝送される上記ＤＣＴＰ／ＩＰ規格のＡＥＳ暗号化データを上記記憶手段に記憶するときには、上記第１の暗号化の復号化としてＤＣＴＰ／ＩＰ規格のＡＥＳ暗号化を復号化し、上記第２の暗号化としてローカルのＡＥＳ暗号化を施し、上記記憶手段に記憶された暗号化データを上記ネットワークに出力するときには、上記第１の暗号化の復号化として上記ローカルのＡＥＳ暗号化を復号化し、上記第２の暗号化として上記ＤＣＴＰ／ＩＰ規格のＡＥＳ暗号化を施すことが好ましい。
【００１８】
また、上記暗号化復号化手段は、上記記憶手段の第１の領域の先頭アドレス及び転送データサイズの属性情報に基づき上記第１の領域からデータを順次読み出し、上記第１の暗号化の復号化及び第２の暗号化を施して、上記記憶手段の第２の領域の先頭アドレス及び転送データサイズの属性情報に基づき上記第２の領域に順次データを書き込むような、双方向のダイレクトメモリアクセス処理を行うことが好ましい。
【００１９】
このような本発明では、ネットワークを介して伝送される暗号化データを記憶手段の第１の領域に記憶し、暗号化復号化手段は、この第１の領域に記憶された第１の暗号化が施されたデータを読み込み、第１の暗号化を復号化し、データ記録手段に記録するための第２の暗号化を施して、記憶手段の第２の領域に転送する。記憶手段の第２の領域に記憶された暗号化データをデータ記録手段に記録する。また、記録手段に記録された暗号化データを、記憶手段の第１の領域に記憶し、暗号化復号化手段で第１の暗号化を復号化した後に第２の暗号化を施して記憶手段の第２の領域に記憶し、ネットワークに出力する。
【発明の効果】
【００２０】
本発明によれば、暗号化復号化手段が、記憶手段の第１の領域に記憶された暗号化データを読み込んで、第１の暗号化の復号化、及び第２の暗号化を施し、記憶手段の第２の領域に書き込むような、同時双方向型のデータ転送処理、いわゆる同時双方向型ＤＭＡ（Direct Memory Access）処理を行うことにより、処理を軽減すると共にメモリサイズを小さくすることができる。
【００２１】
また、第１の暗号化及び第２の暗号化に同じ規格の暗号を用いることにより、第１及び第２の暗号化・復号化に共通の暗号化・復号化器を用いることができ、暗号化・復号化の回路構成を簡略化できる。
【発明を実施するための最良の形態】
【００２２】
以下、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。
【００２３】
図１は、本発明の実施の形態として、ネットワークに接続されて暗号化されたコンテンツデータを記録するためのネットワーク接続ストレージ装置である暗号化データ記録装置１０を概略的に示すブロック図である。
【００２４】
この図１におけるネットワーク１００は、例えばＩＥＥＥ（Institute of Electrical and Electronics Engineers）８０２．３準拠のイーサネット（登録商標）、あるいはＩＥＥＥ８０２．１１準拠のワイヤレス規格（無線ＬＡＮ規格）等に基づくネットワークである。暗号化データ記録装置１０は、イーサネット（登録商標）等のネットワーク１００に対して、ネットワークインターフェース１１及びＭＡＣ（Media Access Control）ブロック１２を介して接続され、ＭＡＣブロック１２は、暗号化データ記録装置１０の内部バスである例えばＰＣＩ（Peripheral Component Interconnect）バス１３に接続される。このＰＣＩバス１３には、制御手段としてのＣＰＵ１４、プログラム等が記憶されたＲＯＭ１５、及びデータ記憶手段としてのＲＡＭ１６が接続され、また、バスブリッジ１７を介してハードディスク等の記録手段（データストレージ）１８が接続されている。ＲＯＭ１５には、例えばＥＰＲＯＭ（Erasable and Programmable Read Only Memory）が用いられ、ＲＡＭ１６には、例えばＳＤＲＡＭ（Synchronous Dynamic Random Access Memory）が用いられる。さらに、ＰＣＩバス１３には、ＤＴＣＰ／ＩＰ (Digital Transmission Contents Protection／Internet Protocol）暗号化復号化回路２０が接続されている。このようなネットワーク１００を介して通信される著作権付きのデジタルコンテンツデータには、ＤＴＣＰ／ＩＰ規格の一部として、いわゆるＡＥＳ（Advanced Encryption Standard）による暗号化が施される。このＡＥＳとは、米国のＮＩＳＴ（商務省標準技術局）がＤＥＳ(Data Encryption Standard)が次世代の国際標準暗号として採用した共通鍵（秘密鍵）暗号方式の暗号技術のことである。
【００２５】
図１の暗号化データ記録装置１０では、ネットワーク１００からの暗号化されたコンテンツデータを一旦ＣＰＵ１４側のＲＡＭ１６に書き込んで、ＣＰＵ１４側のＲＡＭ１６からＤＴＣＰ／ＩＰ暗号化復号化回路２０に送られる。ＤＴＣＰ／ＩＰ暗号化復号化回路２０は、暗号化コンテンツデータのＤＴＣＰ／ＩＰ暗号化（ＡＥＳ暗号化）を解除（暗号復号化）した後に該ＤＴＣＰ／ＩＰ暗号化復号化回路２０でストレージ保存用のローカル暗号化を施し、ＣＰＵ１４側のＲＡＭ１６に戻されて、バスブリッジ１７を介してハードディスク等の記録手段１８に記録される。また、記録手段１８に記録されているコンテンツデータ（ローカル暗号化が施されている）は、バスブリッジ１７を介して読み出され、ＤＴＣＰ／ＩＰ暗号化復号化回路２０に送られてローカル暗号化を解除（暗号復号化）した後にＤＴＣＰ／ＩＰ暗号化を施したものが、ＭＡＣブロック１２及びインターフェース１１を介してネットワーク１００に出力される。本実施の形態では、上記ストレージ保存用のローカル暗号化にも上記ＡＥＳ暗号を用いている。
【００２６】
このようなネットワーク接続タイプの暗号化データ記録装置１０は、例えば図２のような家庭内ネットワーク形態等で用いられる。すなわち、暗号化データ記録装置１０が接続される上述したようなイーサネット（登録商標）や無線ＬＡＮ等のネットワーク１００としての家庭内ネットワークには、例えばＢＳチューナやＣＳチューナ等の受信端末装置１１０や、ネットワーク接続タイプのテレビジョン受像機のようなディスプレイ装置１２０が接続されている。
【００２７】
この図２において、受信端末装置１１０は、セットトップボックス（ＳＴＢ）あるいはＩＲＤ（Integrated Receiver Decoder）とも称され、ＢＳ（Broadcasting Satellite）放送、ＣＳ（Communications Satellite）放送、地上波デジタル放送等のデジタル放送を受信するデジタルチューナ１１１からの放送番組等のデジタルコンテンツデータを、ＤＴＣＰ／ＩＰ暗号化回路１１２に送って上述したようなＡＥＳ暗号化を施し、インターフェース１１３を介してネットワーク１００に送る。この暗号化されたコンテンツデータは、暗号化データ記録装置１０に送られて、上述したようにＤＴＣＰ／ＩＰ暗号化回路２０によりＤＴＣＰ／ＩＰ暗号化が解除（復号化）され、ストレージ保存用のローカル暗号化が施されて、記録手段１８に記録される。本実施の形態では、上述したように、このローカル暗号化にも上記ＡＥＳ暗号を用いている。この記録手段１８に記録されたコンテンツデータを読み出す際には、ＤＴＣＰ／ＩＰ暗号化回路２０によりローカル暗号化が解除されて再びＤＴＣＰ／ＩＰ暗号化が施された後に、ネットワーク１００に送られる。このとき、ＤＴＣＰ／ＩＰ暗号化回路２０による暗号復号化及び暗号化は、ＲＡＭ１６に対してＤＭＡ（Direct Memory Access）処理することにより行われるが、この動作については後述する。ディスプレイ装置１２０は、ネットワーク１００を介して送られた暗号化コンテンツデータをインターフェース１２１を介して入力し、暗号復号化回路１２２でＤＴＣＰ／ＩＰ暗号化を解除し、デコーダ１２３に送ってＭＰＥＧ（Moving Picture Experts Group）方式等の符号化方式で符号化されているコンテンツデータの符号化を復号化し、ＰＤＰ（Plasma Display Panel）、ＬＣＤ（Liquid Crystal Display）、ＣＲＴ（Cathode Ray Tube）等を用いた表示手段１２４に送って映像表示を行う。
【００２８】
この図２に示すようなシステムは、家庭に設けられたネットワーク接続された各種家電製品やコンピュータ等の間で、動画や音楽のデータを通信するものであり、著作権付き動画データについては、ＤＴＣＰ規格の一部としてＡＥＳ暗号化を施して通信可能とされているものである。
【００２９】
図３は、上記暗号化データ記録装置１０内のＤＴＣＰ／ＩＰ暗号化復号化回路２０の具体的な構成例を説明するためのブロック回路図である。この図３において、暗号化データ記録装置の内部バスであるＰＣＩバスの制御（コントロール）バス１３ＣＴ、データバス１３ＤＴ及びアドレスバス１３ＡＤには、ＣＰＵ（コントローラ）１４、ＲＡＭ１６、ＤＴＣＰ／ＩＰ暗号化復号化回路２０が接続されている。ＲＡＭ１６内には、ＤＴＣＰ／ＩＰ暗号化コンテンツデータ用のメモリ領域１６Ａ及びストレージ保存用のローカル暗号化コンテンツデータ用のメモリ領域１６Ｂが少なくとも設けられている。ＤＴＣＰ／ＩＰ暗号化復号化回路２０は、同時双方向型のＤＭＡ（Direct Memory Access）機能を用いて、ＤＴＣＰ／ＩＰ暗号化コンテンツデータ用のメモリ領域１６ＡのコンテンツデータをＤＴＣＰ／ＩＰ暗号化復号化回路２０内に取り込み、ＤＴＣＰ／ＩＰ暗号化を解除（暗号復号化）し、ストレージ保存用のローカル暗号化を施して、ローカル暗号化コンテンツデータ用のメモリ領域１６Ｂに転送するような動作を行う。なお、このメモリ領域１６Ｂに記憶されたローカル暗号化コンテンツデータを、図１のバスブリッジ１７を介してハードディスク等の記録手段（データストレージ）１８に記録する。
【００３０】
ここで、一般のＤＭＡ機能とは、ＤＭＡコントローラがバスに付随するメモリ空間上の特定のアドレスから、同じバスに付随するメモリ空間上の特定のアドレスへのデータ移動（データ転送）を、ＣＰＵの介在なしに行うものである。これに対して、本実施の形態においては、ＤＴＣＰ／ＩＰ暗号化の解除と、ストレージ保存用のローカル暗号化の処理を実現するのに、ＤＭＡ操作を２回行うのでは、ＤＴＣＰ／ＩＰ暗号化復号化回路側に大きなサイズのメモリを搭載しなければならず不便である事を考慮し、図３に示すように、ＤＴＣＰ／ＩＰ暗号化の復号前のメモリエリアであるメモリ領域１６Ａと、復号後のメモリエリアであるメモリ領域１６Ｂとを、ＣＰＵ１４側のＲＡＭ１６内に確保し、ＤＴＣＰ／ＩＰ暗号化復号化回路２０のＤＭＡコントローラ２２を起動して、ＣＰＵ側のメモリ領域１６Ａに存在するデータを取り出して復号し、また、暗号化を行って、ＣＰＵ側のメモリ領域１６Ｂに転送するようにしている。
【００３１】
次に、図３のＤＴＣＰ／ＩＰ暗号化復号化回路２０の内部構成及び動作の具体例について説明する。
【００３２】
図３において、暗号化データ記録装置の内部バスであるＰＣＩバスとしての制御（コントロール）バス１３ＣＴ、データバス１３ＤＴ及びアドレスバス１３ＡＤには、ＤＴＣＰ／ＩＰ暗号化復号化回路２０内のＰＣＩバスインターフェース２１が接続されている。ＰＣＩバスインターフェース２１には、ＤＭＡコントローラ２２が接続され、ＤＭＡコントローラ２２内にはＤＭＡレジスタブロック２３が設けられている。この図３のＤＴＣＰ／ＩＰ暗号化復号化回路２０の内部の各部を接続する信号線において、ＣＴがコントロール（制御）線、ＤＴがデータ線、ＡＤがアドレス線、ＳＴがステータス線をそれぞれ示している。ＰＣＩバスインターフェース２１とＤＭＡコントローラ２２との間にはコントロール（制御）線ＣＴ、データ線ＤＴ、アドレス線ＡＤが接続されている。外部メモリのＲＡＭ１６の第１のメモリ領域１６ＡからのＤＴＣＰ／ＩＰ暗号化（ＡＥＳ暗号化）データは、データバス１３ＤＴ、ＰＣＩバスインターフェース２１を介し、ＦＩＦＯ（First In First Out）メモリ２４に一時記憶され、ＡＥＳ復号化ブロック２５に送られて、ＡＥＳ暗号化が解除（復号化）され、ＦＩＦＯメモリ２６を介して、ＡＥＳ暗号化ブロック２７に送られて、後述するようなストレージ保存用のローカル暗号化が施され、ＦＩＦＯメモリ２８に一時記憶され、ＰＣＩバスインターフェース２１を介し、ＰＣＩバスのデータバス１３ＤＴを介して第２のメモリ領域１６Ｂに送られ、記憶される。このＤＴＣＰ／ＩＰ暗号化復号化回路２０において、ＤＭＡコントローラ２２から各ＦＩＦＯメモリ２４、２８にコントロール信号が送られ、各ＦＩＦＯメモリ２４、２８からはステータス情報がＤＭＡコントローラ２２に送られる。ＡＥＳ復号化ブロック２５から各ＦＩＦＯメモリ２４、２６にコントロール信号が送られ、各ＦＩＦＯメモリ２４、２６からはステータス情報がＡＥＳ復号化ブロック２５に送られる。また、ＡＥＳ暗号化ブロック２７から各ＦＩＦＯメモリ２６、２８にコントロール信号が送られ、各ＦＩＦＯメモリ２６、２８からはステータス情報がＡＥＳ暗号化ブロック２７に送られる。
【００３３】
このようなＤＴＣＰ／ＩＰ暗号化復号化回路２０におけるＤＭＡコントローラ２２によるデータ転送動作についてさらに詳細に説明する。
【００３４】
ＤＭＡ処理の際には、データ転送に関する属性情報であるデータ転送アドレスや転送サイズ等のディスクリプタ（descriptor：記述子）を、外部メモリ（例えば図１のＲＡＭ１６）のディスクリプタ格納領域１６ＤからＤＭＡコントローラ２２内のＤＭＡレジスタブロック２３に読み込んで、メモリ領域１６Ａ、１６Ｂとの間のデータ転送を制御する。これは、ＤＴＣＰ／ＩＰ暗号化復号化回路２０内のディスクリプタ格納メモリアドレスレジスタ２９に予め外部メモリのＲＡＭ１６の上記ディスクリプタ格納領域１６Ｄのアドレス（ディスクリプタ格納メモリアドレスＤＡＤ−１、ＤＡＤ−２等）が書き込まれており、ＤＭＡ起動時に、上記ディスクリプタ格納メモリアドレスレジスタ２９に保存されているアドレス（ＲＡＭ１６のディスクリプタ格納領域１６ＤのアドレスＤＡＤ−１、ＤＡＤ−２等）に対してアクセスを行うことで、該ディスクリプタ格納領域１６Ｄに格納されている上記データ転送アドレスや転送サイズ等のディスクリプタをＤＭＡレジスタブロック２３、２９内のレジスタに読み込む。図３の例では、転送元の先頭アドレスＡＤ−１及び転送データサイズＴＳ−１と、転送先の先頭アドレスＡＤ−２及び転送データサイズＴＳ−２とをＤＭＡレジスタブロック２３内のレジスタに読み込んでいる。
【００３５】
なお、転送元のメモリ部分や転送先のメモリ部分が複数の部分に分かれている場合に、複数の各メモリ部分に対応するディスクリプタとして、各メモリ部分の先頭アドレス及び転送データサイズと共に次のディスクリプタのアドレスを含むような、いわゆるスキャタギャザーテーブル（Scatter Gather Table：ＳＧＴ）を用いるようにしてもよい。この場合、ＤＴＣＰ／ＩＰ暗号化復号化回路２０内のディスクリプタ格納メモリアドレスレジスタ２９には、先頭のディスクリプタ格納メモリアドレスを保存しておけばよい。
【００３６】
ＤＭＡが起動されると、ＤＭＡコントローラ２２は、ＤＭＡレジスタブロック２３に書き込まれたデータ（メモリアドレス及び転送データサイズ）を読み出し、メモリ領域１６Ａの転送元アドレスＡＤ−１から転送データサイズＴＳ−１分のデータを読み出し制御して、ＰＣＩバスインターフェース２１を介し、ＦＩＦＯメモリ２４に送る。このＦＩＦＯメモリ２４の状態（データ蓄積状態等）がステータス情報としてＤＭＡコントローラ２２及びＡＥＳ復号化ブロック２５に送られ、ＤＭＡコントローラ２２及びＡＥＳ復号化ブロック２５から制御信号がＦＩＦＯメモリ２４に送られることにより、メモリ領域１６ＡからＦＩＦＯメモリ２４へのデータ転送、及びＦＩＦＯメモリ２４からＡＥＳ復号化ブロック２５へのデータ転送が制御される。例えば、ＡＥＳ復号化ブロック２５の復号処理動作の進行に従って要求されたデータがＦＩＦＯメモリ２４からＡＥＳ復号化ブロック２５へ転送され、ＦＩＦＯメモリ２４がフル（満杯）状態のときはメモリ領域１６ＡからＦＩＦＯメモリ２４へのデータ転送を停止する等の制御が行われる。
【００３７】
ＡＥＳ復号化ブロック２５では、上記ＤＴＣＰ／ＩＰ規格に従ってＡＥＳ暗号化されたデータのＡＥＳ復号化処理が施され、暗号復号化されたデータがＦＩＦＯメモリ２６を介してＡＥＳ暗号化ブロック２７に送られる。ＡＥＳ復号化ブロック２５でのＤＴＣＰ／ＩＰ規格に従うＡＥＳ暗号化データの復号処理は、後述するＤＴＣＰヘッダの所定位置に配されるコンテンツキー生成のための乱数（シード）に基づいて生成される暗号鍵を用いて行われる。
【００３８】
ＦＩＦＯメモリ２６の状態（データ蓄積状態等）がステータス情報としてＡＥＳ復号化ブロック２５及びＡＥＳ暗号化ブロック２７に送られ、ＡＥＳ復号化ブロック２５及びＡＥＳ暗号化ブロック２７から制御信号がＦＩＦＯメモリ２６に送られることにより、ＡＥＳ復号化ブロック２５からＦＩＦＯメモリ２４へのデータ転送、及びＦＩＦＯメモリ２４から及びＡＥＳ暗号化ブロック２７へのデータ転送が制御される。
【００３９】
ＡＥＳ暗号化ブロック２７では、上記図１のハードディスク等の記録手段（データストレージ）１８にコンテンツデータを記録するための暗号化を行うものであり、この暗号化にもＡＥＳ暗号を用いている。これは、図１の記録手段１８に記録されたコンテンツデータを読み出して、ＤＴＣＰ／ＩＰ暗号化復号化回路２０により暗号復号化及び暗号化を施して、イーサネット（登録商標）等のネットワーク１００に出力する際に、ＤＴＣＰ／ＩＰ規格に従ったＡＥＳ暗号化を施す頃が必要になることを考慮したものである。
【００４０】
ＡＥＳ暗号化ブロック２７で暗号化されたデータは、ＦＩＦＯメモリ２８を介し、ＰＣＩバスインターフェース２１を介して、メモリ領域１６Ｂに送られて、送信先のアドレスＡＤ−２から転送データサイズＴＳ−２分の領域に書き込まれる。メモリ領域１６Ｂに書き込まれた暗号化コンテンツデータは、図１のバスブリッジ１７を介してハードディスク等の記録手段（データストレージ）１８に送られ、記録される。
【００４１】
ここで、図３のＤＴＣＰ／ＩＰ暗号化復号化回路２０を実現するための具体的な手法としては、２チャネルのＤＭＡを時分割で切り換えて動作させ、一方のチャネルで送り手側のメモリ領域１６ＡからＦＩＦＯメモリ２４へのデータ転送を行い、他方のチャネルでＦＩＦＯメモリ２８から受け手側のメモリ領域１６Ｂへのデータ転送を行うことが挙げられる。また、ＡＥＳ復号化ブロック２５及びＡＥＳ暗号化ブロック２７は、１つのＡＥＳ暗号化復号化ブロックを時分割で用いるようにしてもよい。
【００４２】
上述したＤＴＣＰ／ＩＰ暗号化復号化回路２０の動作は、図１のネットワーク１００からのＤＴＣＰ／ＩＰ暗号化されたコンテンツデータをＤＴＣＰ／ＩＰ暗号化復号化回路２０で復号化しローカル暗号化を施して、ハードディスク等の記録手段１８に記録する場合の動作であるが、逆に、ハードディスク等の記録手段１８に記録されたローカル暗号化されたコンテンツデータをＤＴＣＰ／ＩＰ暗号化復号化回路２０で復号化しＤＴＣＰ／ＩＰ暗号化を施して、ネットワーク１００に出力する場合の動作について、以下説明する。
【００４３】
この場合、外部メモリのＲＡＭ１６のメモリ領域１６Ａには、ハードディスク等の記録手段１８に記録されたローカル暗号化されたコンテンツデータが書き込まれており、このデータが読み出され、ＤＴＣＰ／ＩＰ暗号化復号化回路２０でローカル暗号化の復号化及びＤＴＣＰ／ＩＰ暗号化が施されたデータが、ＲＡＭ１６のメモリ領域１６Ｂに転送されて書き込まれる。
【００４４】
すなわち、ＲＡＭ１６のメモリ領域１６Ａからのローカル暗号化（ＡＥＳ暗号化）データは、データバス１３ＤＴ、ＰＣＩバスインターフェース２１を介し、ＦＩＦＯメモリ２４に一時記憶され、ＡＥＳ復号化ブロック２５に送られて、ＡＥＳ暗号化が解除（復号化）され、ＦＩＦＯメモリ２６を介して、ＡＥＳ暗号化ブロック２７に送られて、ＤＴＣＰ／ＩＰ暗号化が施され、ＦＩＦＯメモリ２８に一時記憶され、ＰＣＩバスインターフェース２１を介し、ＰＣＩバスのデータバス１３ＤＴを介してメモリ領域１６Ｂに送られ、記憶される。
【００４５】
ＲＡＭ１６のメモリ領域１６Ｂに記憶されたＤＴＣＰ／ＩＰ暗号化データは、図１のＰＣＩバス１３を介してＭＡＣブロック１２に送られ、ネットワークインターフェース１１を介して、ＩＥＥＥ８０２．３準拠のイーサネット（登録商標）あるいはＩＥＥＥ８０２．１１準拠のワイヤレス規格（無線ＬＡＮ規格）等に基づくネットワーク１００に送り出される。
【００４６】
次に、図１のネットワーク１００を介して伝送されるデータパケットの構成について、図４〜図９を参照しながら説明する。
【００４７】
図４の（Ａ）はＲＴＰ／ＵＤＰ／ＩＰ伝送の場合のパケットの構成を、図４の（Ｂ）はＨＴＴＰ／ＴＣＰ／ＩＰ伝送の場合のパケットの構成を、それぞれ示している。先ず、図４の（Ａ）において、ＭＰＥＧトランスポートストリームのようなＡＶ（Audio Visual）ストリーム等のパケットデータ４１に、上述したＤＴＣＰ／ＩＰ規格に従うＤＴＣＰヘッダ４２を付加し、ＲＴＰ／ＵＤＰ／ＩＰ伝送のために、ＲＴＰヘッダ４３、ＵＤＰヘッダ４４、ＩＰヘッダ４５を順次付加して、ＩＰパケット（ＩＰデータグラム）とし、ネットワーク１００を介して伝送する。図４の（Ｂ）の例では、上記図４の（Ａ）のＲＴＰヘッダ４３、ＵＤＰヘッダ４４の代わりに、ＨＴＴＰ／ＴＣＰ／ＩＰ伝送のためのＨＴＴＰヘッダ４６、ＴＣＰヘッダ４７を付加し、さらに図４の（Ａ）と同様にＩＰヘッダ４５を付加してＩＰパケットとしている。
【００４８】
この図４のＩＰヘッダ４５の構成を図５に、ＴＣＰヘッダ４７の構成を図６にそれぞれ示す。図６中の「Source Port」は送信元ＴＣＰポート番号を、「Destination Port」は受信側ＴＣＰポート番号をそれぞれ示す。ＴＣＰ／ＩＰネットワークの接続性を検査するためのコマンドであるいわゆるpingコマンドは、図６のデータ部（data）に入るものであり、図７のようになる。この図７の「Identifier」には、送信側と受信側の一致確認のために送信側で任意の数値を入れ、「Sequence Number」にも、送信側と受信側の一致確認のために送信側で任意の数値を入れる。「data」には、pingコマンドでは通常３２バイトの適当なデータを入れ、データの長さは可変であり、受信側はそのまま返す。図８は、図４のＵＤＰヘッダ４４の構成を示し、図８中の「Source Port」は送信元ＴＣＰポート番号を、「Destination Port」は受信側ＴＣＰポート番号をそれぞれ示す。
【００４９】
次に、図９は、図４のＤＴＣＰヘッダ４２の構成を示している。この図９の「Ｃ＿Ａ」（cipher algorithm）は暗号化アルゴリズムを示し、０のときＡＥＳ暗号、１のときオプショナル暗号（optional cipher）であるが、オプショナル暗号の定義は未だされていない。「E_EMI」は、コンテンツ保護（contents protection）のレベルを示し、コピー完全禁止（copy never）では２進数で「１１００」、それ以上のコピーを制限（no-more-copies）では「０１００」、コピー自由（copy free）では「００００」としている。「exchange_key_label」は、コンテンツ毎に定義するラベルであり、「００００」以外であれば暗号化コンテンツである。「Ｎｃ」は、コンテンツキー（コンテンツ暗号化鍵）生成のために用いる乱数であり、ＤＴＣＰ／ＩＰ暗号化の場合には、所定の時間（３０秒〜２分）又はデータの長さ（１２８Ｍバイト以下）毎に「Ｎｃ」を切り換えて、コンテンツ暗号化鍵を切り換えるようにしている。「ＣＬ」は、コンテンツデータのバイト長を示す。
【００５０】
以上説明したような本発明の実施の形態によれば、ＤＴＣＰ／ＩＰ暗号化器とローカル暗号化器を共通にすることにより、暗号化・復号化の回路構成を簡略化でき、また、同時双方向型ＤＭＡ機能を用いることにより、必要とされるメモリサイズを小さくすることができる。
【００５１】
すなわち、ＤＴＣＰ／ＩＰに於いては、ストリーム暗号化・復号化はＡＥＳを用いることと規格上、決められている。従って、ネットワーク側からの暗号化ストリームを復号化するときにはＡＥＳ復号化器を用いるのでＡＥＳ暗号化器は空いており、ネットワーク側にデータを暗号化して出力するときにはＡＥＳ暗号化器を用いるのでＡＥＳ復号化器は空いていることになる。このため図３に示すように、ストレージ装置である記録手段１８への記録のためのローカル暗号化にＡＥＳ暗号化ブロック２７を用い、あるいはストレージ装置である記録手段１８からのローカル暗号化ストリームデータの復号化にＡＥＳ復号化ブロック２５を用いることにより、暗号強度をまったく下げずに、暗号化・復号化のための構成を簡単化することができる。これは、ＤＴＣＰ／ＩＰ暗号化・復号化と、ローカル暗号化・復号化とに、共通の暗号化・復号化構成を用いることであるが、さらに、暗号化器と復号化器とは共通部分が多いことを考慮して、１つの暗号化／復号化のための構成を時分割で暗号化器として又は復号化器として用いるようにしてもよい。
【００５２】
また、ＤＭＡ（Direct Memory Access）機能は、通常ＤＭＡコントローラがバスに付随するメモリ空間上の特定のアドレスから、同じバスに付随するメモリ空間上の特定のアドレスへのデータ移動をＣＰＵの介在なしに行うものである。一方、本実施の形態の装置においては、暗号復号化と暗号化のためにＤＭＡ操作を２回行うのでは、ＤＴＣＰ／ＩＰ暗号化復号化回路２０側に大きなサイズのメモリを搭載しなければならず不便であることを考慮し、図３のＲＡＭ１６の第１のメモリ領域１６ＡからＤＴＣＰ／ＩＰ暗号化復号化回路２０へのデータ転送操作と、ＤＴＣＰ／ＩＰ暗号化復号化回路２０からＲＡＭ１６の第２のメモリ領域１６Ｂへのデータ転送操作を、同時双方向型ＤＭＡ処理により実現している。すなわち、外部メモリであるＲＡＭ１６に、復号前の第１のメモリエリアであるメモリ領域１６Ａと、復号後の第２のメモリエリアであるメモリ領域１６Ｂとを確保して、ＤＴＣＰ／ＩＰ暗号化復号化回路２０のＤＭＡコントローラ２２を起動して、ＣＰＵ１４側にあるデータを取り出して復号し、また、再度暗号化を行って、ＣＰＵ側のメモリ空間に返すようにしている。
【００５３】
従って、本発明の実施の形態によれば、ＤＴＣＰ／ＩＰ暗号化復号化回路２０が、ＲＡＭ１６のメモリ領域１６Ａに記憶された暗号化データを読み込んで、第１の暗号化の復号化、及び第２の暗号化を施し、ＲＡＭ１６のメモリ領域１６Ｂに書き込むような、同時双方向型ＤＭＡ処理を行うことにより、処理を軽減すると共にメモリサイズを小さくすることができる。
【００５４】
なお、本発明は上述した実施の形態のみに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
【図面の簡単な説明】
【００５５】
【図１】本発明の実施の形態となる暗号化データ記録装置の概略構成を示すブロック図である。
【図２】本発明の実施の形態となる暗号化データ記録装置を用いて構成される家庭内ネットワークの具体例を示すブロック図である。
【図３】本発明の実施の形態となる暗号化データ記録装置に用いられるＤＴＣＰ／ＩＰ暗号化復号化回路の構成例を示すブロック図である。
【図４】ＲＴＰ／ＵＤＰ／ＩＰ伝送の場合及びＨＴＴＰ／ＴＣＰ／ＩＰ伝送の場合のパケットの構成をそれぞれ説明するための図である。
【図５】ＩＰヘッダ４５の構成を説明するための図である。
【図６】ＴＣＰヘッダの構成を説明するための図である。
【図７】ＴＣＰ／ＩＰネットワークの接続性を検査するためのコマンドであるpingコマンドを説明するための図である。
【図８】ＵＤＰヘッダの構成を説明するための図である。
【図９】ＤＣＴＰヘッダの構成を説明するための図である。
【図１０】一般のデータを記憶・保存するための通常のネットワーク接続ストレージ装置を示すブロック図である。
【符号の説明】
【００５６】
１０暗号化データ記録装置、１１ネットワークインターフェース、１２ＭＡＣブロック、１３ＰＣＩバス、１４ＣＰＵ、１５ＲＯＭ１６ＲＡＭ、１７バスブリッジ、１８記録手段（データストレージ）、２０ＤＴＣＰ／ＩＰ暗号化復号化回路、２１ＰＣＩバスインターフェース、２２ＤＭＡコントローラ、２４，２６，２８ＦＩＦＯメモリ、２５ＡＥＳ復号化ブロック、２７ＡＥＳ暗号化ブロック、１００ネットワーク

【特許請求の範囲】
【請求項１】
パケット通信が行われるネットワークに通信インターフェースを介して接続されたバスラインと、
上記バスラインに接続された制御手段と、
上記バスラインに接続された記憶手段と、
上記バスラインに接続された暗号化復号化手段と、
上記バスラインに接続されたデータ記録手段とを有し、
上記暗号化復号化手段は、上記記憶手段の第１の領域に記憶された第１の暗号化が施されたデータを読み込み、上記第１の暗号化を復号化し、上記データ記録手段に記録するための第２の暗号化を施して、上記記憶手段の第２の領域に転送すること
を特徴とする暗号化データ記録装置。
【請求項２】
上記第１の暗号化及び上記第２の暗号化には、同じ規格の暗号が用いられ、上記第１の暗号化及び上記第２の暗号化には共通の暗号化器が用いられることを特徴とする請求項１記載の暗号化データ記録装置。
【請求項３】
上記制御手段は、上記ネットワークを介して伝送された暗号化データを上記記憶手段の第１の領域に記憶し、上記暗号化復号化手段に対して、上記記憶手段の第１の領域に記憶された暗号化データを読み込んで上記記憶手段の第２の領域に書き出すデータ転送処理を行わせ、上記記憶手段の第２の領域に記憶された暗号化データを上記データ記録手段に記録することを特徴とする請求項１記載の暗号化データ記録装置。
【請求項４】
上記制御手段は、上記データ記録手段に記録された暗号化データを上記記憶手段の第１の領域に記憶し、上記暗号化復号化手段に対して、上記記憶手段の第１の領域に記憶された暗号化データを読み込んで上記記憶手段の第２の領域に書き出すデータ転送処理を行わせ、上記記憶手段の第２の領域に記憶された暗号化データを上記ネットワークに出力することを特徴とする請求項１記載の暗号化データ記録装置。
【請求項５】
上記ネットワークを介して伝送される暗号化データは、ＤＣＴＰ／ＩＰ規格のＡＥＳ暗号化が施されたものであることを特徴とする請求項１記載の暗号化データ記録装置。
【請求項６】
上記ネットワークを介して伝送される上記ＤＣＴＰ／ＩＰ規格のＡＥＳ暗号化データを上記記憶手段に記憶するときには、上記第１の暗号化の復号化としてＤＣＴＰ／ＩＰ規格のＡＥＳ暗号化を復号化し、上記第２の暗号化としてローカルのＡＥＳ暗号化を施し、上記記憶手段に記憶された暗号化データを上記ネットワークに出力するときには、上記第１の暗号化の復号化として上記ローカルのＡＥＳ暗号化を復号化し、上記第２の暗号化として上記ＤＣＴＰ／ＩＰ規格のＡＥＳ暗号化を施すことを特徴とする請求項５記載の暗号化データ記録装置。
【請求項７】
上記暗号化復号化手段は、上記記憶手段の第１の領域の先頭アドレス及び転送データサイズの属性情報に基づき上記第１の領域からデータを順次読み出し、上記第１の暗号化の復号化及び第２の暗号化を施して、上記記憶手段の第２の領域の先頭アドレス及び転送データサイズの属性情報に基づき上記第２の領域に順次データを書き込むような、双方向のダイレクトメモリアクセス処理を行うことを特徴とする請求項１記載の暗号化データ記録装置。

【図１】