権利委任によって権利オブジェクトを代理して生成する方法および装置
本発明は権利委任によって権利オブジェクトを代理して生成する方法および装置に関する発明であって、本発明の一実施形態による権利委任によって権利オブジェクトを代理して生成する方法は、権利発行者と認証する段階、権利発行者から第1権利オブジェクトを受信する段階、権利発行者から委任署名情報を受信する段階、前記委任署名情報を使用し前記第1権利オブジェクトを第2権利オブジェクトに変更する段階、および前記第2権利オブジェクトを非権限デバイスに送信する段階を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、DRMによるコンテンツ使用に関するものであって、より詳細には権利委任によって権利オブジェクトを代理して生成する方法および装置に関するものである。
【背景技術】
【0002】
図1は、従来のOMA DRMアーキテクチャーで提供している該当コンテンツ(content)に対する権限情報(Rights Object)を生成して配布する動作を示すものであって、ドメイン(domain)の内の複数のデバイス:D1、D2、D3、D4は該当サービス提供者(service provider)に各自が登録手続きによりドメイン内のメンバーとして登録を終えた後、その他のデバイスとコンテンツ(content)および権利オブジェクト(rights object)を共有することができる。ここで、一つの代表デバイスDevice:D1は、自分が得たコンテンツと権利オブジェクトを残りの他のデバイスD2、D3、D4に伝送して共有することができる。そうすると、残りの他のデバイスは、自分が受けたコンテンツと権利オブジェクトの情報をサービス提供者との情報を用いて信頼し、使用できる。
【0003】
一般的なDRMシステムは、コンテンツを不法な使用から保護するためにコンテンツ提供者(Content Provider)または権利生成者(Rights Issuer)がコンテンツを暗号化して伝送する。また、コンテンツ使用を保護するために該当コンテンツの使用規則(Usage Rule)を含む権限オブジェクト(Rights Object)を発給することで原作者の権利を保護するように設計される。これのため、DRMデバイスは権限オブジェクト(Rights Object)に含まれた使用規則(Usage Rule)を強制的に守るように設計される。
【0004】
OMA DRMアーキテクチャーv2.0ではドメインを用いて該当コンテンツに対する権利情報(i.e RO)を共有しているが、その手続きは図1のような順序で行われる。
【0005】
先ず、一つのドメイン内に四つのデバイスが存在し、サーバ基盤のドメイン技術において、コンテンツサーバは暗号化されたコンテンツとこれを使用するための暗号化キーと使用規則を含む権限オブジェクトを生成するためにルート認証書およびサービス提供者認証書を含む。ルート認証書は、認証体系を確認するための認証書発給者の認証書であり、サービス提供者認証書は、サービス提供者の公開キーを認証書発給者から認証を受けた認証書である。
【0006】
図1のフローを見ると、デバイス:D1、D2、D3は権利発行者(Right Issuer)に登録をしてドメインに参加している(1)。デバイス:D1は、権利発行者からコンテンツと権利を取得して(2)、取得したコンテンツと権利をD2とD3に伝送する(3)。一方、デバイス:D1が(4)でのようにD4にコンテンツと権利オブジェクトを伝送してもデバイスD4がまだ権利発行者に登録しなかったため、権利発行者に対して登録およびドメインにジョインする過程(5)を必要とする。
【0007】
暗号化されたコンテンツの権利オブジェクトを生成する段階を詳しく調べれば次の通りである。サービス提供者(Service Provider)は、コンテンツパッケージングプロセス(content packaging process)によって暗号化されたコンテンツおよび権利オブジェクトを生成する。権利オブジェクトは、コンテンツを暗号化したコンテンツ暗号化キー(Content Encryption Key、CEK)と使用規則(Usage Rule)を含む。権利オブジェクトの生成時にCEKなどのような重要情報はコンテンツを要請したデバイス:D1のキーで暗号化される。したがって、コンテンツを解読するためのkeyは、デバイス:D1のみが自分のキーを用いて獲得することができ、これによって該当コンテンツはコンテンツを要請したデバイス:D1のみが使用することができる。
【0008】
また、権利オブジェクトは個人キー(private key)で署名され、デバイス:D1は自分が所有するルート認証書を用いて権限オブジェクト発給者(すなわち、Rights Issuer)の署名を確認する。仮に、権利発給者の署名が正しくなければ、デバイス:D1は該当権利オブジェクトを使用することができない。
【0009】
生成されたコンテンツおよび権利オブジェクトを使用する段階を見ると、次の通りである。コンテンツと権利オブジェクトを受信したデバイスは該当コンテンツを使用するために先ず、自分が伝達を受けた権利オブジェクトの権利発行者の署名を確認した後、権利オブジェクトの権利暗号化キー(Rights Encryption Key、REK)を復号化した後、その得られたREKを用いてコンテンツ暗号化キー(CEK)を復号化する。その後、得られたCEKによってコンテンツを復号化した後、その権利オブジェクトが有する使用規則(Usage Rule)によってコンテンツを使用するようになる。
【0010】
前記した通り、サーバ基盤の再配布モデルでは再配布のために権利オブジェクトを常に権利オブジェクトから再発給を受けなければならない。
【0011】
したがって、ローカルドメインマネージャー(local Domain Manager)を用いてコンテンツを再配布する場合、次のような問題点が存在する。最初に、ローカルドメイン管理者(local Domain Manager)が自分に発給された権限オブジェクト(権利オブジェクト)内に含まれたキー(key)をドメインキー(Domain Key)に変え、ドメイン内の他のデバイスと共有する時、サービス提供者(Service Provider)の署名(signature)がこれ以上有効でなくなる。その結果、サービス提供者(Service Provider)はローカルドメイン管理者(local Domain Manager)が変えたコンテンツに対する統制権限を喪失するようになり、これは認証されないコンテンツの配布の可能性を排除できなくなる。
【0012】
次に、サービス提供者(Service Provider)はローカルでドメイン管理者(domain manager)が任意に形成したいずれか一つのドメインに対する存在の可否を分かることができず、一つのコンテンツがどのデバイスによって使用されるのか、そして、いかなる制限事項(constraints)を有して使用されるのかなど、該当コンテンツがどのドメイン内で使用されるのか分からなくなる。
【0013】
最後に、ドメイン内のデバイス(レンダリング装置を含む)は自分に伝達されたコンテンツおよび権限オブジェクト(権利オブジェクト)を使用するために予めローカルドメイン管理者(local Domain Manager)の公開キー(public key)を知っていなければならず、毎回ローカルドメイン管理者(local Domain Manager)の認証書の有効性を検証しなければならない(CRL)。すなわち、これはローカルドメイン管理者(local Domain Manager)がハッキングされた場合、これによる情報の無制限に再配布が起こりうる。
【0014】
何よりOMA DRM環境でコンテンツ共有の問題点は、それぞれのデバイスがコンテンツを使用するため、権利発行者(Rights Issuer)から伝達された権利オブジェクトに対してその権利オブジェクトが権利発行者のキーで署名されているため、各デバイスの各自が有している権利発行者のキーで伝達された権利オブジェクトを認証できるようになる。すなわち、すべてのデバイスが権利発行者のキーを有していなければならない問題点がある。したがって、このような問題点を解決するための方法および装置が必要である。
【発明の開示】
【発明が解決しようとする課題】
【0015】
本発明は、前記した問題点を改善するために案出されたものであって、不必要な認証の手続きなしで権利オブジェクトを使用するようにすることに目的がある。
【0016】
本発明のまた他の目的は、権利オブジェクトの合法的な使用が可能な範囲内で権利オブジェクトをデバイス間に伝達するようにすることにある。
【0017】
本発明の目的は以上で言及した目的に制限されず、言及されていないまた他の目的は次の記載から当業者に明確に理解できるであろう。
【課題を解決するための手段】
【0018】
本発明の一実施形態による任意署名情報を送信する方法は、デバイスを認証する段階と、前記デバイスに所定コンテンツを使用するのに必要な第1権利オブジェクトを送信する段階、および前記デバイスに前記第1権利オブジェクトを第2権利オブジェクトに変更するのに必要な委任署名情報を送信する段階と、を含む。
【0019】
本発明の一実施形態による権利委任によって権利オブジェクトを代理して生成する方法は、権利発行者と認証する段階と、権利発行者から第1権利オブジェクトを受信する段階と、権利発行者から委任署名情報を受信する段階と、前記委任署名情報を使用し前記第1権利オブジェクトを第2権利オブジェクトに変更する段階、および前記第2権利オブジェクトを非権限デバイスに送信する段階と、を含む。
【0020】
本発明の一実施形態による権利委任によって権利オブジェクトを代理して生成する装置は、権利発行者と認証して、権利発行者から第1権利オブジェクトを管理する保安管理部と、権利発行者から委任署名情報を受信して保存する委任署名情報保存部と、前記委任署名情報を使用し前記第1権利オブジェクトを第2権利オブジェクトに変更する2次権利オブジェクト生成部、および前記第2権利オブジェクトを非権限デバイスに送信する送受信部と、を含む。
【0021】
その他実施形態の具体的な事項は詳細な説明および図に含まれている。
【0022】
本発明の利点および特徴、並びにそれらを達成する方法は、添付する図面と共に後述する実施形態を参照することにより明確になる。しかし、本発明の目的は、以下に開示される実施形態に限定されず、相異なる多様な形態によって達成可能である。したがって、以下の実施形態は単に、本発明の開示を十全たるものとし、当業者に本発明の範囲を認識させるために提供するものである。すなわち、本発明の範囲はあくまで、請求項に記載された発明によってのみ規定される。なお、明細書全体において同一参照符号は同一構成要素を指称する。
【0023】
以下、本発明の実施形態による権利委任によって権利オブジェクトを代理して生成する方法および装置を説明するためのブロック図または処理フローチャートに対する図を参照して本発明について説明する。この時、処理フローチャートの各ブロックとフローチャートの組み合せはコンピュータプログラムインストラクションにより実行可能なのが理解できるであろう。これらコンピュータプログラムインストラクションは、凡庸コンピュータ、特殊用コンピュータまたはその他プログラマブルデータプロセッシング装備のプロセッサーに搭載されうるので、コンピュータまたはその他プログラマブルデータプロセシッング装備のプロセッサーを通じて、実行されるそのインストラクションがフローチャートブロックで説明された機能を行う手段を生成するように機構を作れる。これらコンピュータプログラムインストラクションは特定方式で機能を具現するためにコンピュータまたはその他プログラマブルデータプロセッシング装備を指向できるコンピュータ利用可能またはコンピュータ判読可能メモリに保存することも可能であるため、そのコンピュータ利用可能またはコンピュータ判読可能メモリに保存されたインストラクションはフローチャートブロックで説明された機能を行うインストラクション手段を内包する製造品目を生産することも可能である。コンピュータプログラムインストラクションはコンピュータまたはその他プログラマブルデータプロセッシング装備上に搭載することも可能であるため、コンピュータまたはその他プログラマブルデータプロセッシング装備上で一連の動作段階が実行されてコンピュータで実行されるプロセスを生成し、コンピュータまたはその他プログラマブルデータプロセッシング装備を行うインストラクションはフローチャートブロックで説明された機能を実行するための段階を提供することも可能である。
【0024】
また、各ブロックは特定された論理的機能を実行するための一つ以上の実行可能なインストラクションを含むモジュール、セグメントまたはコードの一部を示しうる。また、いくつかの代替実行形態においては、ブロックで言及された機能が順序から外れ発生することも可能であることに注目しなければならない。例えば、相次いで図示されている二つのブロックは事実、実質的に同時に実行されることも可能であり、または、そのブロックが時々該当する機能によって逆順で実行されることも可能である。
【0025】
図2は、本発明の一実施形態による2次権利オブジェクトを生成する順序図である。サービス提供者または権利発行者(Right Issuer)100はステップ1でデバイス(D1)210を認証する。そして、サービス提供者100はステップ2でデバイス:D1(210)に予め定められた委任署名情報を送る。委任署名情報は、権利オブジェクトを生成できるようにする限定的な署名情報である。
【0026】
この情報を受信したデバイス:D1(210)は、ステップ3で委任署名情報を用いて再配布のための2次権利オブジェクト(Rights Object)を生成する。そして、この2次権利オブジェクトをステップ4に示した通りデバイス:D2(220)に伝送する。デバイス:D2は、該当コンテンツの権利オブジェクト(Rights Object)を得るためにはこれ以上ネットワーク接続(network connection)による権利発行者(Rights Issuer)との相互作用なしでデバイス:D1にデバイス:D1が生成した2次権利オブジェクト(Rights Object)を得る。
【0027】
デバイス:D2は、非権限デバイスであって、従来には権利オブジェクトを権利発行者から受けてコンテンツを使用しなければならない。しかし、本明細書で提示した通り、委任署名情報を有するデバイス:D1から権利オブジェクトを受信してコンテンツを使用する。
【0028】
図2の構成によって特定ユーザは、特定コンテンツとこのコンテンツを実行するのに必要な権利オブジェクトを取得した場合、これを他のデバイスでも使用できるように権利オブジェクトを代理生成する。この時、無分別な代理生成を防ぐため、サービス提供者100から委任署名情報の委任を受けたデバイスのみが2次権利オブジェクトを生成できるようにし、使用の便宜性とコンテンツの保護を可能とする。
【0029】
図3は、本発明の一実施形態による権利オブジェクトの生成を示す図である。図3では該当権利オブジェクト(Rights Object)を有するデバイス210が権利発行者100から2次権利オブジェクト(Rights Object)を代わりに委任して生成した後、伝達する過程を示す。デバイス:D1は、自分がコンテンツ提供者150から得たコンテンツ(C)と権利発行者100から該当コンテンツの権利オブジェクト(RO)を得た後、コンテンツCを使用しようとする他のデバイス、例えばデバイス:D2がコンテンツCを要求する時、コンテンツCを伝達した後、該当コンテンツの権利オブジェクトを自分のキー(key)で再署名する。この時、予めデバイス:D1は、権利発行者100からそれに相応する権限の委任を受けたことと仮定する。すなわち、自分が有する委任署名情報を用いて自分のキーでRO’という権利オブジェクトを再生成してデバイス:D2に伝達する。
【0030】
図4は、本発明の一実施形態による権利オブジェクトの構成の変化を示す図である。権利生成者(Rights Issuer)から発給を受けた権利オブジェクト310は権利生成者(Rights Issuer)の秘密キー(private key)で署名(sign)され伝達される。これを受けたデバイス(図3のデバイス:D1)は、自分が有している権利生成者(Rights Issuer)の公開キー(public key)を用いて権利オブジェクトを認証して使用する。デバイス:D2がデバイス:D1から伝達をうけた該当コンテンツに対する自分の権利オブジェクトは2次権利オブジェクトである。この2次権利オブジェクト320は、予め権利生成者(Rights Issuer)との認証の手続きおよび該当委任署名情報を有するデバイス:D1が委任署名情報を用いて再権利オブジェクトのRO’を生成してデバイス:D2に送る。
【0031】
一方、2次権利オブジェクト内に2次権利オブジェクトを受信する非権限デバイス の識別子を追加することができる。
【0032】
本実施形態で使用される「〜部」という用語、すなわち「〜モジュール」または「〜テーブル」などはソフトウェア、FPGA(Field Programmable Gate Array)または注文型半導体(Application Specific Integrated Circuit、ASIC)のようなハードウェア構成要素を意味し、モジュールはある機能を果たす。しかし、モジュールはソフトウェアまたはハードウェアに限定される意味ではない。モジュールは、アドレッシングできる保存媒体にあるように構成されることもでき、一つまたはそれ以上のプロセッサーを再生させるように構成されることもできる。
【0033】
したがって、実施形態でのモジュールは、ソフトウェアの構成要素、オブジェクト指向ソフトウェアの構成要素、クラスの構成要素およびタスクの構成要素のような構成要素と、プロセス、関数、属性、プロシーザー、サブルーチン、プログラムコードのセグメント、ドライバ、ファームウェア、マイクロコード、回路、データ、データベース、データ構造、テーブル、アレイ、および変数を含む。構成要素とモジュールのうち提供される機能はさらに小さい数の構成要素およびモジュールに結合されたり追加的な構成要素とモジュールにさらに分離したりすることができる。のみならず、構成要素およびモジュールはデバイス内の一つまたはそれ以上のCPUを再生させるように実現されることもできる。
【0034】
図5は、本発明の一実施形態による委任署名情報を有するデバイスの構成要素を示す図である。保安管理者または保安管理部410は認証に関する情報と署名(Signature)を生成する役割をする。権利生成者(Right Issuer)と認証を行い、権利生成者から委任署名情報を受信するための作業を実行する。権利オブジェクト管理部420は権利オブジェクトを管理する。権利オブジェクトは、権利生成者から受信され、この権利オブジェクトを他のデバイスが使用できるように後に2次権利オブジェクト生成部440で使用することができる。委任署名情報保存所または委任署名情報保存部430では、権利発行者から受信した委任署名を保存してこれを使用して2次権利オブジェクトを生成できるようにする。
【0035】
2次権利オブジェクト生成部440は、権利オブジェクト管理部420が管理する権利オブジェクトを他のデバイスで使用できるように委任署名情報を使用し新たに署名された2次権利オブジェクトに変換して第2次権利オブジェクトを生成する。
【0036】
コンテンツ制御部450は、コンテンツ提供者から受信したコンテンツを特定デバイスに伝達する。もちろん、このコンテンツに対する権利オブジェクト同様に2次権利オブジェクト生成部440を通じて生成され伝達される。署名部460は、2次権利オブジェクト生成部440が委任署名情報を使用し権利オブジェクトを暗号化できるように署名する機能を提供する。
【0037】
送受信部470は、権利発行者と情報を交換したり、または非権限デバイスに2次権利オブジェクトを送信したりする機能を果たす。
【0038】
前記の構成によってユーザが購入したコンテンツを権利生成者(Rights Issuer)の意図から外れない範囲内で多様なデバイス間に自由に伝達して使用することができる。
【0039】
デバイス:D1(400)あるコンテンツCをコンテンツ提供者から発給を受けて自分が使用とする。この時、デバイス:D1は権利発行者にコンテンツCに対する権利オブジェクト(Rights Object)の発給を受ける。発給を受けた権利オブジェクトは権利オブジェクト管理部420で管理し、権利オブジェクトを使用しコンテンツCを使用するのはコンテンツ制御部450によって可能である。
【0040】
一方、他のデバイス(デバイス:D2)がコンテンツCを使用するためにデバイス:D1が有している権利オブジェクトを使用しようとする。したがって、デバイス:D1は、自分が有している権利オブジェクトをデバイス:D2が使用できるようにする作業を実行する。
【0041】
このためにデバイス:D1は、権利発行者から委任署名情報を得る。委任署名情報は、デバイス:D1が直接コンテンツCに対して代理署名をできるようにする情報を含む。デバイス:D1は、権利発行者のキー(key)で署名された権利オブジェクトをデバイス:D1自身の個人キー(private key)で署名をし、2次権利オブジェクト(権利オブジェクトRO’)を生成する。新たに生成された2次権利オブジェクト(RO’)の伝達を受けたデバイス:D2は再びデバイス:D1のように権利発行者にインターネットに接続して権利発行者のキー(key)を得なくても良い。一方、デバイス:D2以外の他のデバイスも伝達された権利オブジェクト(RO’)を使用するために権利発行者からキーを受ける過程を省略しても良いため、認証過程にともなうオーバーヘッドを減少させることができる。
【0042】
図6は、本発明の一実施形態によるデバイス登録および2次権利オブジェクトを生成する過程を示す順序図である。
【0043】
先ず、権利発行者(または権利生成者)は委任署名情報を生成する(S510)。委任署名情報は後に代表デバイスに伝達され、代表デバイスが2次権利オブジェクトを生成できるようにする。委任署名情報を生成するための一実施形態として、乱数を生成して署名キーを計算する過程を経ることもある。委任署名情報を生成した後、代表デバイスを認証する(S520)。代表デバイスは、他のデバイスに2次権利オブジェクトを伝達できるデバイスを意味する。代表デバイスの認証のための実施形態として、代表デバイスの識別情報を使用し認証することを挙げることができる。認証が完了すれば権利発行者は代表デバイスに権利オブジェクトを伝送する(S530)。伝送された権利オブジェクトは予めデバイスが保有しているコンテンツを使用するために必要な権利オブジェクトであり得、また、代表デバイスまたはコンテンツ提供者から直接伝送されたコンテンツを使用するのに必要な権利オブジェクトでありうる。
【0044】
代表デバイスが認証されれば権利オブジェクトを伝送する(S530)。この権利オブジェクトは認証過程で生成された暗号キーを使用するか、または予め約束された暗号キーを使用し暗号化して伝送する。そして、委任署名情報を伝送する(S540)。委任署名情報は前述した通り、新たな権利オブジェクトを生成するのに必要な暗号化キーまたは署名情報を含む。権利オブジェクトと委任署名情報を受信した代表デバイスは2次権利オブジェクトを生成する(S550)。2次権利オブジェクトは委任署名情報内のキー情報(σ)を使用して生成する。この時、委任署名キーの使用規則情報も共に提供される。そして、生成された2次権利オブジェクトを他のデバイスに伝送する(S560)。他のデバイスは2次権利オブジェクトを使用しコンテンツを使用することができる。
【0045】
S530の過程で権利発行者が代表デバイスに伝送する権利オブジェクトの構成の一実施形態は次の通りである。
【0046】
content ID || E(REK、CEK) || E(Device D1_prv key、REK) || Rights || Sign(RI) || Sign(RI、(R||K))
【0047】
contentIDは、コンテンツ識別子であり、REKは権利オブジェクトを暗号化あるキーでありCEKはコンテンツを暗号化したキーである。Device:D1_prv keyは、Device:D1の秘密キーであり、この秘密キーでREKを暗号化するが分かる。そしてRightsは権利オブジェクトであり、Sign(RI)およびSign(RI、R(||K))は、署名およびそれに対する検証値を意味する。
【0048】
S550で前記権利オブジェクトを委任署名によって署名をした以後、他のデバイスに送信するための実施形態は次の通りである。
【0049】
content ID || E(REK、CEK) || E(Device:D2_prv key、REK) || Rights ||委任署名||委任署名検証値(R、K) ||再配布者ID
【0050】
Device:D2_prv keyは、Device:D2の秘密キーであり、Device:D2が委任署名による権利オブジェクトを受信する。委任署名と委任署名検証値はS520で生成されてS540から伝送された委任署名情報を使用して成される。
【0051】
S560段階以後、再配布された権利オブジェクト(RO’)を受信したデバイス:D2は権利発行者の公開キーを用いて委任署名の有効性を判断する。デバイス:D1が獲得した権利オブジェクト(RO)をデバイス:D2に再配布しようとする場合、登録段階で獲得された委任署名情報(σ)と再配布しようとする権利オブジェクト(RO’)に含まれた署名された検証値情報を必要とするので、デバイス:D1(またはローカルドメイン管理者機能をするデバイス)は、サーバが許容する情報のみを再配布することができる。
【0052】
図7は、本発明の一実施形態による使用例を示す図である。権利発行者100とデバイス:D1(210)は認証を実行する。そして、認証が行わればデバイス:D1(210)は権利発行者100から権利オブジェクトを受信して委任署名情報を受信する。以後、デバイス:D1(210)と同一なドメインに属するデバイス:D2(220)は、権利発行者との介入がなくてもデバイス:D1(210)が保有した権利オブジェクトを使用することができる。この時、無分別な使用を防ぐため、デバイス:D1(210)は2次権利オブジェクトを生成してデバイス:D2(220)に送信する。そして、デバイス:D2(220)は2次権利オブジェクトを使用しコンテンツを再生する。デバイス:D2(220)は、デバイス:D1(210)からコンテンツを受信して2次権利オブジェクトを使用することができる。また、デバイス:D1(210)が2次権利オブジェクトによってコンテンツの一部のみを伝送することもできる。コンテンツは、コンテンツ提供者から独立的に受信することもあり得、代表デバイスであるデバイス:D1(210)から受信することもあり得、コンテンツの受信経路は多様である。
【0053】
図7に示した通り、同一のドメイン内のデバイス:D2(220)は、権利発行者100との相互作用がなくても権利オブジェクトを使用できるため、権利発行者100との認証または権利オブジェクトを受信する過程に所要される時間を減らすことができる。一方、同一のドメイン内での権利オブジェクトの使用は同一の所有者の使用に判断できるため、コンテンツの使用権利を害しない。
【0054】
本発明が属する技術分野における通常の知識を有する者は、本発明を、その技術的思想や必須の特徴を変更しない範囲で他の具体的な形態において実施されうることを理解することができる。したがって、上記実施形態はすべての面で例示的なものであり、限定的なものではないと理解しなければならない。本発明の範囲は前記詳細な説明よりは後述する特許請求の範囲によって示され、特許請求の範囲の意味および範囲そして、その均等概念から導き出されるすべての変更または変形された形態が本発明の範囲に含まれると解釈されなければならない。
【発明の効果】
【0055】
本発明を実現することによって様々なデバイスの間で一つのコンテンツを使用するための権利オブジェクト(RO)を再生成して伝達することができる。すなわち、権利オブジェクト再生性のための権利オブジェクト(Rights Object)生成権利を委任(delegation)すればこれを有するデバイスはこれに適した2次権利オブジェクトを生成して他のデバイスに送って使用することができる。
【0056】
本発明を実現することによって該当デバイスが再び別途のネットワーク接続によって権利発行者に特定の登録の手続きをした後、該当コンテンツの権利オブジェクト(RO)を得る必要がないだけではなく、該当権利オブジェクト(RO’)の特別な検証手続きのための認証情報が必要とされず、さらに権利オブジェクトを使用するのに容易性を提供することができる。
【図面の簡単な説明】
【0057】
【図1】従来のOMA DRMアーキテクチャーで提供している該当コンテンツ(content)に対する権限情報(Rights Object)を生成して配布する動作を示す図である。
【図2】本発明の一実施形態による2次権利オブジェクトを生成する順序図である。
【図3】本発明の一実施形態による権利オブジェクトの生成を示す図である。
【図4】本発明の一実施形態による権利オブジェクトの構成の変化を示す図である。
【図5】本発明の一実施形態による任意署名情報を有するデバイスの構成要素を示す図である。
【図6】本発明の一実施形態によるデバイス登録および2次権利オブジェクトを生成する過程を示す順序図である。
【図7】本発明の一実施形態による使用例を示す図である。
【符号の説明】
【0058】
100 権利発行者
150 コンテンツ提供者
210 代表デバイス
220 非権限デバイス
310 第1次権利オブジェクト
320 第2次権利オブジェクト
430 委任署名情報保存部
440 2次権利オブジェクト生成部
【技術分野】
【0001】
本発明は、DRMによるコンテンツ使用に関するものであって、より詳細には権利委任によって権利オブジェクトを代理して生成する方法および装置に関するものである。
【背景技術】
【0002】
図1は、従来のOMA DRMアーキテクチャーで提供している該当コンテンツ(content)に対する権限情報(Rights Object)を生成して配布する動作を示すものであって、ドメイン(domain)の内の複数のデバイス:D1、D2、D3、D4は該当サービス提供者(service provider)に各自が登録手続きによりドメイン内のメンバーとして登録を終えた後、その他のデバイスとコンテンツ(content)および権利オブジェクト(rights object)を共有することができる。ここで、一つの代表デバイスDevice:D1は、自分が得たコンテンツと権利オブジェクトを残りの他のデバイスD2、D3、D4に伝送して共有することができる。そうすると、残りの他のデバイスは、自分が受けたコンテンツと権利オブジェクトの情報をサービス提供者との情報を用いて信頼し、使用できる。
【0003】
一般的なDRMシステムは、コンテンツを不法な使用から保護するためにコンテンツ提供者(Content Provider)または権利生成者(Rights Issuer)がコンテンツを暗号化して伝送する。また、コンテンツ使用を保護するために該当コンテンツの使用規則(Usage Rule)を含む権限オブジェクト(Rights Object)を発給することで原作者の権利を保護するように設計される。これのため、DRMデバイスは権限オブジェクト(Rights Object)に含まれた使用規則(Usage Rule)を強制的に守るように設計される。
【0004】
OMA DRMアーキテクチャーv2.0ではドメインを用いて該当コンテンツに対する権利情報(i.e RO)を共有しているが、その手続きは図1のような順序で行われる。
【0005】
先ず、一つのドメイン内に四つのデバイスが存在し、サーバ基盤のドメイン技術において、コンテンツサーバは暗号化されたコンテンツとこれを使用するための暗号化キーと使用規則を含む権限オブジェクトを生成するためにルート認証書およびサービス提供者認証書を含む。ルート認証書は、認証体系を確認するための認証書発給者の認証書であり、サービス提供者認証書は、サービス提供者の公開キーを認証書発給者から認証を受けた認証書である。
【0006】
図1のフローを見ると、デバイス:D1、D2、D3は権利発行者(Right Issuer)に登録をしてドメインに参加している(1)。デバイス:D1は、権利発行者からコンテンツと権利を取得して(2)、取得したコンテンツと権利をD2とD3に伝送する(3)。一方、デバイス:D1が(4)でのようにD4にコンテンツと権利オブジェクトを伝送してもデバイスD4がまだ権利発行者に登録しなかったため、権利発行者に対して登録およびドメインにジョインする過程(5)を必要とする。
【0007】
暗号化されたコンテンツの権利オブジェクトを生成する段階を詳しく調べれば次の通りである。サービス提供者(Service Provider)は、コンテンツパッケージングプロセス(content packaging process)によって暗号化されたコンテンツおよび権利オブジェクトを生成する。権利オブジェクトは、コンテンツを暗号化したコンテンツ暗号化キー(Content Encryption Key、CEK)と使用規則(Usage Rule)を含む。権利オブジェクトの生成時にCEKなどのような重要情報はコンテンツを要請したデバイス:D1のキーで暗号化される。したがって、コンテンツを解読するためのkeyは、デバイス:D1のみが自分のキーを用いて獲得することができ、これによって該当コンテンツはコンテンツを要請したデバイス:D1のみが使用することができる。
【0008】
また、権利オブジェクトは個人キー(private key)で署名され、デバイス:D1は自分が所有するルート認証書を用いて権限オブジェクト発給者(すなわち、Rights Issuer)の署名を確認する。仮に、権利発給者の署名が正しくなければ、デバイス:D1は該当権利オブジェクトを使用することができない。
【0009】
生成されたコンテンツおよび権利オブジェクトを使用する段階を見ると、次の通りである。コンテンツと権利オブジェクトを受信したデバイスは該当コンテンツを使用するために先ず、自分が伝達を受けた権利オブジェクトの権利発行者の署名を確認した後、権利オブジェクトの権利暗号化キー(Rights Encryption Key、REK)を復号化した後、その得られたREKを用いてコンテンツ暗号化キー(CEK)を復号化する。その後、得られたCEKによってコンテンツを復号化した後、その権利オブジェクトが有する使用規則(Usage Rule)によってコンテンツを使用するようになる。
【0010】
前記した通り、サーバ基盤の再配布モデルでは再配布のために権利オブジェクトを常に権利オブジェクトから再発給を受けなければならない。
【0011】
したがって、ローカルドメインマネージャー(local Domain Manager)を用いてコンテンツを再配布する場合、次のような問題点が存在する。最初に、ローカルドメイン管理者(local Domain Manager)が自分に発給された権限オブジェクト(権利オブジェクト)内に含まれたキー(key)をドメインキー(Domain Key)に変え、ドメイン内の他のデバイスと共有する時、サービス提供者(Service Provider)の署名(signature)がこれ以上有効でなくなる。その結果、サービス提供者(Service Provider)はローカルドメイン管理者(local Domain Manager)が変えたコンテンツに対する統制権限を喪失するようになり、これは認証されないコンテンツの配布の可能性を排除できなくなる。
【0012】
次に、サービス提供者(Service Provider)はローカルでドメイン管理者(domain manager)が任意に形成したいずれか一つのドメインに対する存在の可否を分かることができず、一つのコンテンツがどのデバイスによって使用されるのか、そして、いかなる制限事項(constraints)を有して使用されるのかなど、該当コンテンツがどのドメイン内で使用されるのか分からなくなる。
【0013】
最後に、ドメイン内のデバイス(レンダリング装置を含む)は自分に伝達されたコンテンツおよび権限オブジェクト(権利オブジェクト)を使用するために予めローカルドメイン管理者(local Domain Manager)の公開キー(public key)を知っていなければならず、毎回ローカルドメイン管理者(local Domain Manager)の認証書の有効性を検証しなければならない(CRL)。すなわち、これはローカルドメイン管理者(local Domain Manager)がハッキングされた場合、これによる情報の無制限に再配布が起こりうる。
【0014】
何よりOMA DRM環境でコンテンツ共有の問題点は、それぞれのデバイスがコンテンツを使用するため、権利発行者(Rights Issuer)から伝達された権利オブジェクトに対してその権利オブジェクトが権利発行者のキーで署名されているため、各デバイスの各自が有している権利発行者のキーで伝達された権利オブジェクトを認証できるようになる。すなわち、すべてのデバイスが権利発行者のキーを有していなければならない問題点がある。したがって、このような問題点を解決するための方法および装置が必要である。
【発明の開示】
【発明が解決しようとする課題】
【0015】
本発明は、前記した問題点を改善するために案出されたものであって、不必要な認証の手続きなしで権利オブジェクトを使用するようにすることに目的がある。
【0016】
本発明のまた他の目的は、権利オブジェクトの合法的な使用が可能な範囲内で権利オブジェクトをデバイス間に伝達するようにすることにある。
【0017】
本発明の目的は以上で言及した目的に制限されず、言及されていないまた他の目的は次の記載から当業者に明確に理解できるであろう。
【課題を解決するための手段】
【0018】
本発明の一実施形態による任意署名情報を送信する方法は、デバイスを認証する段階と、前記デバイスに所定コンテンツを使用するのに必要な第1権利オブジェクトを送信する段階、および前記デバイスに前記第1権利オブジェクトを第2権利オブジェクトに変更するのに必要な委任署名情報を送信する段階と、を含む。
【0019】
本発明の一実施形態による権利委任によって権利オブジェクトを代理して生成する方法は、権利発行者と認証する段階と、権利発行者から第1権利オブジェクトを受信する段階と、権利発行者から委任署名情報を受信する段階と、前記委任署名情報を使用し前記第1権利オブジェクトを第2権利オブジェクトに変更する段階、および前記第2権利オブジェクトを非権限デバイスに送信する段階と、を含む。
【0020】
本発明の一実施形態による権利委任によって権利オブジェクトを代理して生成する装置は、権利発行者と認証して、権利発行者から第1権利オブジェクトを管理する保安管理部と、権利発行者から委任署名情報を受信して保存する委任署名情報保存部と、前記委任署名情報を使用し前記第1権利オブジェクトを第2権利オブジェクトに変更する2次権利オブジェクト生成部、および前記第2権利オブジェクトを非権限デバイスに送信する送受信部と、を含む。
【0021】
その他実施形態の具体的な事項は詳細な説明および図に含まれている。
【0022】
本発明の利点および特徴、並びにそれらを達成する方法は、添付する図面と共に後述する実施形態を参照することにより明確になる。しかし、本発明の目的は、以下に開示される実施形態に限定されず、相異なる多様な形態によって達成可能である。したがって、以下の実施形態は単に、本発明の開示を十全たるものとし、当業者に本発明の範囲を認識させるために提供するものである。すなわち、本発明の範囲はあくまで、請求項に記載された発明によってのみ規定される。なお、明細書全体において同一参照符号は同一構成要素を指称する。
【0023】
以下、本発明の実施形態による権利委任によって権利オブジェクトを代理して生成する方法および装置を説明するためのブロック図または処理フローチャートに対する図を参照して本発明について説明する。この時、処理フローチャートの各ブロックとフローチャートの組み合せはコンピュータプログラムインストラクションにより実行可能なのが理解できるであろう。これらコンピュータプログラムインストラクションは、凡庸コンピュータ、特殊用コンピュータまたはその他プログラマブルデータプロセッシング装備のプロセッサーに搭載されうるので、コンピュータまたはその他プログラマブルデータプロセシッング装備のプロセッサーを通じて、実行されるそのインストラクションがフローチャートブロックで説明された機能を行う手段を生成するように機構を作れる。これらコンピュータプログラムインストラクションは特定方式で機能を具現するためにコンピュータまたはその他プログラマブルデータプロセッシング装備を指向できるコンピュータ利用可能またはコンピュータ判読可能メモリに保存することも可能であるため、そのコンピュータ利用可能またはコンピュータ判読可能メモリに保存されたインストラクションはフローチャートブロックで説明された機能を行うインストラクション手段を内包する製造品目を生産することも可能である。コンピュータプログラムインストラクションはコンピュータまたはその他プログラマブルデータプロセッシング装備上に搭載することも可能であるため、コンピュータまたはその他プログラマブルデータプロセッシング装備上で一連の動作段階が実行されてコンピュータで実行されるプロセスを生成し、コンピュータまたはその他プログラマブルデータプロセッシング装備を行うインストラクションはフローチャートブロックで説明された機能を実行するための段階を提供することも可能である。
【0024】
また、各ブロックは特定された論理的機能を実行するための一つ以上の実行可能なインストラクションを含むモジュール、セグメントまたはコードの一部を示しうる。また、いくつかの代替実行形態においては、ブロックで言及された機能が順序から外れ発生することも可能であることに注目しなければならない。例えば、相次いで図示されている二つのブロックは事実、実質的に同時に実行されることも可能であり、または、そのブロックが時々該当する機能によって逆順で実行されることも可能である。
【0025】
図2は、本発明の一実施形態による2次権利オブジェクトを生成する順序図である。サービス提供者または権利発行者(Right Issuer)100はステップ1でデバイス(D1)210を認証する。そして、サービス提供者100はステップ2でデバイス:D1(210)に予め定められた委任署名情報を送る。委任署名情報は、権利オブジェクトを生成できるようにする限定的な署名情報である。
【0026】
この情報を受信したデバイス:D1(210)は、ステップ3で委任署名情報を用いて再配布のための2次権利オブジェクト(Rights Object)を生成する。そして、この2次権利オブジェクトをステップ4に示した通りデバイス:D2(220)に伝送する。デバイス:D2は、該当コンテンツの権利オブジェクト(Rights Object)を得るためにはこれ以上ネットワーク接続(network connection)による権利発行者(Rights Issuer)との相互作用なしでデバイス:D1にデバイス:D1が生成した2次権利オブジェクト(Rights Object)を得る。
【0027】
デバイス:D2は、非権限デバイスであって、従来には権利オブジェクトを権利発行者から受けてコンテンツを使用しなければならない。しかし、本明細書で提示した通り、委任署名情報を有するデバイス:D1から権利オブジェクトを受信してコンテンツを使用する。
【0028】
図2の構成によって特定ユーザは、特定コンテンツとこのコンテンツを実行するのに必要な権利オブジェクトを取得した場合、これを他のデバイスでも使用できるように権利オブジェクトを代理生成する。この時、無分別な代理生成を防ぐため、サービス提供者100から委任署名情報の委任を受けたデバイスのみが2次権利オブジェクトを生成できるようにし、使用の便宜性とコンテンツの保護を可能とする。
【0029】
図3は、本発明の一実施形態による権利オブジェクトの生成を示す図である。図3では該当権利オブジェクト(Rights Object)を有するデバイス210が権利発行者100から2次権利オブジェクト(Rights Object)を代わりに委任して生成した後、伝達する過程を示す。デバイス:D1は、自分がコンテンツ提供者150から得たコンテンツ(C)と権利発行者100から該当コンテンツの権利オブジェクト(RO)を得た後、コンテンツCを使用しようとする他のデバイス、例えばデバイス:D2がコンテンツCを要求する時、コンテンツCを伝達した後、該当コンテンツの権利オブジェクトを自分のキー(key)で再署名する。この時、予めデバイス:D1は、権利発行者100からそれに相応する権限の委任を受けたことと仮定する。すなわち、自分が有する委任署名情報を用いて自分のキーでRO’という権利オブジェクトを再生成してデバイス:D2に伝達する。
【0030】
図4は、本発明の一実施形態による権利オブジェクトの構成の変化を示す図である。権利生成者(Rights Issuer)から発給を受けた権利オブジェクト310は権利生成者(Rights Issuer)の秘密キー(private key)で署名(sign)され伝達される。これを受けたデバイス(図3のデバイス:D1)は、自分が有している権利生成者(Rights Issuer)の公開キー(public key)を用いて権利オブジェクトを認証して使用する。デバイス:D2がデバイス:D1から伝達をうけた該当コンテンツに対する自分の権利オブジェクトは2次権利オブジェクトである。この2次権利オブジェクト320は、予め権利生成者(Rights Issuer)との認証の手続きおよび該当委任署名情報を有するデバイス:D1が委任署名情報を用いて再権利オブジェクトのRO’を生成してデバイス:D2に送る。
【0031】
一方、2次権利オブジェクト内に2次権利オブジェクトを受信する非権限デバイス の識別子を追加することができる。
【0032】
本実施形態で使用される「〜部」という用語、すなわち「〜モジュール」または「〜テーブル」などはソフトウェア、FPGA(Field Programmable Gate Array)または注文型半導体(Application Specific Integrated Circuit、ASIC)のようなハードウェア構成要素を意味し、モジュールはある機能を果たす。しかし、モジュールはソフトウェアまたはハードウェアに限定される意味ではない。モジュールは、アドレッシングできる保存媒体にあるように構成されることもでき、一つまたはそれ以上のプロセッサーを再生させるように構成されることもできる。
【0033】
したがって、実施形態でのモジュールは、ソフトウェアの構成要素、オブジェクト指向ソフトウェアの構成要素、クラスの構成要素およびタスクの構成要素のような構成要素と、プロセス、関数、属性、プロシーザー、サブルーチン、プログラムコードのセグメント、ドライバ、ファームウェア、マイクロコード、回路、データ、データベース、データ構造、テーブル、アレイ、および変数を含む。構成要素とモジュールのうち提供される機能はさらに小さい数の構成要素およびモジュールに結合されたり追加的な構成要素とモジュールにさらに分離したりすることができる。のみならず、構成要素およびモジュールはデバイス内の一つまたはそれ以上のCPUを再生させるように実現されることもできる。
【0034】
図5は、本発明の一実施形態による委任署名情報を有するデバイスの構成要素を示す図である。保安管理者または保安管理部410は認証に関する情報と署名(Signature)を生成する役割をする。権利生成者(Right Issuer)と認証を行い、権利生成者から委任署名情報を受信するための作業を実行する。権利オブジェクト管理部420は権利オブジェクトを管理する。権利オブジェクトは、権利生成者から受信され、この権利オブジェクトを他のデバイスが使用できるように後に2次権利オブジェクト生成部440で使用することができる。委任署名情報保存所または委任署名情報保存部430では、権利発行者から受信した委任署名を保存してこれを使用して2次権利オブジェクトを生成できるようにする。
【0035】
2次権利オブジェクト生成部440は、権利オブジェクト管理部420が管理する権利オブジェクトを他のデバイスで使用できるように委任署名情報を使用し新たに署名された2次権利オブジェクトに変換して第2次権利オブジェクトを生成する。
【0036】
コンテンツ制御部450は、コンテンツ提供者から受信したコンテンツを特定デバイスに伝達する。もちろん、このコンテンツに対する権利オブジェクト同様に2次権利オブジェクト生成部440を通じて生成され伝達される。署名部460は、2次権利オブジェクト生成部440が委任署名情報を使用し権利オブジェクトを暗号化できるように署名する機能を提供する。
【0037】
送受信部470は、権利発行者と情報を交換したり、または非権限デバイスに2次権利オブジェクトを送信したりする機能を果たす。
【0038】
前記の構成によってユーザが購入したコンテンツを権利生成者(Rights Issuer)の意図から外れない範囲内で多様なデバイス間に自由に伝達して使用することができる。
【0039】
デバイス:D1(400)あるコンテンツCをコンテンツ提供者から発給を受けて自分が使用とする。この時、デバイス:D1は権利発行者にコンテンツCに対する権利オブジェクト(Rights Object)の発給を受ける。発給を受けた権利オブジェクトは権利オブジェクト管理部420で管理し、権利オブジェクトを使用しコンテンツCを使用するのはコンテンツ制御部450によって可能である。
【0040】
一方、他のデバイス(デバイス:D2)がコンテンツCを使用するためにデバイス:D1が有している権利オブジェクトを使用しようとする。したがって、デバイス:D1は、自分が有している権利オブジェクトをデバイス:D2が使用できるようにする作業を実行する。
【0041】
このためにデバイス:D1は、権利発行者から委任署名情報を得る。委任署名情報は、デバイス:D1が直接コンテンツCに対して代理署名をできるようにする情報を含む。デバイス:D1は、権利発行者のキー(key)で署名された権利オブジェクトをデバイス:D1自身の個人キー(private key)で署名をし、2次権利オブジェクト(権利オブジェクトRO’)を生成する。新たに生成された2次権利オブジェクト(RO’)の伝達を受けたデバイス:D2は再びデバイス:D1のように権利発行者にインターネットに接続して権利発行者のキー(key)を得なくても良い。一方、デバイス:D2以外の他のデバイスも伝達された権利オブジェクト(RO’)を使用するために権利発行者からキーを受ける過程を省略しても良いため、認証過程にともなうオーバーヘッドを減少させることができる。
【0042】
図6は、本発明の一実施形態によるデバイス登録および2次権利オブジェクトを生成する過程を示す順序図である。
【0043】
先ず、権利発行者(または権利生成者)は委任署名情報を生成する(S510)。委任署名情報は後に代表デバイスに伝達され、代表デバイスが2次権利オブジェクトを生成できるようにする。委任署名情報を生成するための一実施形態として、乱数を生成して署名キーを計算する過程を経ることもある。委任署名情報を生成した後、代表デバイスを認証する(S520)。代表デバイスは、他のデバイスに2次権利オブジェクトを伝達できるデバイスを意味する。代表デバイスの認証のための実施形態として、代表デバイスの識別情報を使用し認証することを挙げることができる。認証が完了すれば権利発行者は代表デバイスに権利オブジェクトを伝送する(S530)。伝送された権利オブジェクトは予めデバイスが保有しているコンテンツを使用するために必要な権利オブジェクトであり得、また、代表デバイスまたはコンテンツ提供者から直接伝送されたコンテンツを使用するのに必要な権利オブジェクトでありうる。
【0044】
代表デバイスが認証されれば権利オブジェクトを伝送する(S530)。この権利オブジェクトは認証過程で生成された暗号キーを使用するか、または予め約束された暗号キーを使用し暗号化して伝送する。そして、委任署名情報を伝送する(S540)。委任署名情報は前述した通り、新たな権利オブジェクトを生成するのに必要な暗号化キーまたは署名情報を含む。権利オブジェクトと委任署名情報を受信した代表デバイスは2次権利オブジェクトを生成する(S550)。2次権利オブジェクトは委任署名情報内のキー情報(σ)を使用して生成する。この時、委任署名キーの使用規則情報も共に提供される。そして、生成された2次権利オブジェクトを他のデバイスに伝送する(S560)。他のデバイスは2次権利オブジェクトを使用しコンテンツを使用することができる。
【0045】
S530の過程で権利発行者が代表デバイスに伝送する権利オブジェクトの構成の一実施形態は次の通りである。
【0046】
content ID || E(REK、CEK) || E(Device D1_prv key、REK) || Rights || Sign(RI) || Sign(RI、(R||K))
【0047】
contentIDは、コンテンツ識別子であり、REKは権利オブジェクトを暗号化あるキーでありCEKはコンテンツを暗号化したキーである。Device:D1_prv keyは、Device:D1の秘密キーであり、この秘密キーでREKを暗号化するが分かる。そしてRightsは権利オブジェクトであり、Sign(RI)およびSign(RI、R(||K))は、署名およびそれに対する検証値を意味する。
【0048】
S550で前記権利オブジェクトを委任署名によって署名をした以後、他のデバイスに送信するための実施形態は次の通りである。
【0049】
content ID || E(REK、CEK) || E(Device:D2_prv key、REK) || Rights ||委任署名||委任署名検証値(R、K) ||再配布者ID
【0050】
Device:D2_prv keyは、Device:D2の秘密キーであり、Device:D2が委任署名による権利オブジェクトを受信する。委任署名と委任署名検証値はS520で生成されてS540から伝送された委任署名情報を使用して成される。
【0051】
S560段階以後、再配布された権利オブジェクト(RO’)を受信したデバイス:D2は権利発行者の公開キーを用いて委任署名の有効性を判断する。デバイス:D1が獲得した権利オブジェクト(RO)をデバイス:D2に再配布しようとする場合、登録段階で獲得された委任署名情報(σ)と再配布しようとする権利オブジェクト(RO’)に含まれた署名された検証値情報を必要とするので、デバイス:D1(またはローカルドメイン管理者機能をするデバイス)は、サーバが許容する情報のみを再配布することができる。
【0052】
図7は、本発明の一実施形態による使用例を示す図である。権利発行者100とデバイス:D1(210)は認証を実行する。そして、認証が行わればデバイス:D1(210)は権利発行者100から権利オブジェクトを受信して委任署名情報を受信する。以後、デバイス:D1(210)と同一なドメインに属するデバイス:D2(220)は、権利発行者との介入がなくてもデバイス:D1(210)が保有した権利オブジェクトを使用することができる。この時、無分別な使用を防ぐため、デバイス:D1(210)は2次権利オブジェクトを生成してデバイス:D2(220)に送信する。そして、デバイス:D2(220)は2次権利オブジェクトを使用しコンテンツを再生する。デバイス:D2(220)は、デバイス:D1(210)からコンテンツを受信して2次権利オブジェクトを使用することができる。また、デバイス:D1(210)が2次権利オブジェクトによってコンテンツの一部のみを伝送することもできる。コンテンツは、コンテンツ提供者から独立的に受信することもあり得、代表デバイスであるデバイス:D1(210)から受信することもあり得、コンテンツの受信経路は多様である。
【0053】
図7に示した通り、同一のドメイン内のデバイス:D2(220)は、権利発行者100との相互作用がなくても権利オブジェクトを使用できるため、権利発行者100との認証または権利オブジェクトを受信する過程に所要される時間を減らすことができる。一方、同一のドメイン内での権利オブジェクトの使用は同一の所有者の使用に判断できるため、コンテンツの使用権利を害しない。
【0054】
本発明が属する技術分野における通常の知識を有する者は、本発明を、その技術的思想や必須の特徴を変更しない範囲で他の具体的な形態において実施されうることを理解することができる。したがって、上記実施形態はすべての面で例示的なものであり、限定的なものではないと理解しなければならない。本発明の範囲は前記詳細な説明よりは後述する特許請求の範囲によって示され、特許請求の範囲の意味および範囲そして、その均等概念から導き出されるすべての変更または変形された形態が本発明の範囲に含まれると解釈されなければならない。
【発明の効果】
【0055】
本発明を実現することによって様々なデバイスの間で一つのコンテンツを使用するための権利オブジェクト(RO)を再生成して伝達することができる。すなわち、権利オブジェクト再生性のための権利オブジェクト(Rights Object)生成権利を委任(delegation)すればこれを有するデバイスはこれに適した2次権利オブジェクトを生成して他のデバイスに送って使用することができる。
【0056】
本発明を実現することによって該当デバイスが再び別途のネットワーク接続によって権利発行者に特定の登録の手続きをした後、該当コンテンツの権利オブジェクト(RO)を得る必要がないだけではなく、該当権利オブジェクト(RO’)の特別な検証手続きのための認証情報が必要とされず、さらに権利オブジェクトを使用するのに容易性を提供することができる。
【図面の簡単な説明】
【0057】
【図1】従来のOMA DRMアーキテクチャーで提供している該当コンテンツ(content)に対する権限情報(Rights Object)を生成して配布する動作を示す図である。
【図2】本発明の一実施形態による2次権利オブジェクトを生成する順序図である。
【図3】本発明の一実施形態による権利オブジェクトの生成を示す図である。
【図4】本発明の一実施形態による権利オブジェクトの構成の変化を示す図である。
【図5】本発明の一実施形態による任意署名情報を有するデバイスの構成要素を示す図である。
【図6】本発明の一実施形態によるデバイス登録および2次権利オブジェクトを生成する過程を示す順序図である。
【図7】本発明の一実施形態による使用例を示す図である。
【符号の説明】
【0058】
100 権利発行者
150 コンテンツ提供者
210 代表デバイス
220 非権限デバイス
310 第1次権利オブジェクト
320 第2次権利オブジェクト
430 委任署名情報保存部
440 2次権利オブジェクト生成部
【特許請求の範囲】
【請求項1】
デバイスを認証する段階と、
前記デバイスに所定コンテンツを使用するのに必要な第1権利オブジェクトを送信する段階、および
前記デバイスに前記第1権利オブジェクトを第2権利オブジェクトに変更するのに必要な委任署名情報を送信する段階と、を含む、委任署名情報を送信する方法。
【請求項2】
前記デバイスは、前記デバイスが含まれたドメインの代表デバイスである、請求項1に記載の委任署名情報を送信する方法。
【請求項3】
権利発行者と認証する段階と、
権利発行者から第1権利オブジェクトを受信する段階と、
権利発行者から委任署名情報を受信する段階と、
前記委任署名情報を使用し前記第1権利オブジェクトを第2権利オブジェクトに変更する段階、および
前記第2権利オブジェクトを非権限デバイスに送信する段階と、を含む、権利委任によって権利オブジェクトを代理して生成する方法。
【請求項4】
前記非権限デバイスに前記第1権利オブジェクトとして使用できるコンテンツを送信する段階をさらに含む、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項5】
前記非権限デバイスは、前記権利発行者と認証したデバイスと同一なドメインに含まれるデバイスである、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項6】
前記委任署名情報は、前記第2権利オブジェクトを復号化するのに必要な暗号化キーを含む、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項7】
前記委任署名情報は、前記非権限デバイスの識別子を含む、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項8】
前記第2権利オブジェクトは、前記非権限デバイスでだけ使用可能である、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項9】
権利発行者と認証し、権利発行者から第1権利オブジェクトを管理する保安管理部と、
権利発行者から委任署名情報を受信して保存する委任署名情報保存部と、
前記委任署名情報を使用し前記第1権利オブジェクトを第2権利オブジェクトに変更する2次権利オブジェクト生成部、および
前記第2権利オブジェクトを非権限デバイスに送信する送受信部と、を含む、権利委任によって権利オブジェクトを代理して生成する装置。
【請求項10】
前記送受信部は、前記第1権利オブジェクトまたは前記委任署名情報を権利発行者から受信する、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項11】
前記送受信部は、前記非権限デバイスに前記第1権利オブジェクトとして使用できるコンテンツを送信する、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項12】
前記非権限デバイスは、前記権利発行者と認証したデバイスと同一なドメインに含まれるデバイスである、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項13】
前記委任署名情報は前記第2権利オブジェクトを復号化するのに必要な暗号化キーを含む、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項14】
前記委任署名情報は、前記非権限デバイスの識別子を含む、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項15】
前記第2権利オブジェクトは前記非権限デバイスでだけ使用可能である、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項1】
デバイスを認証する段階と、
前記デバイスに所定コンテンツを使用するのに必要な第1権利オブジェクトを送信する段階、および
前記デバイスに前記第1権利オブジェクトを第2権利オブジェクトに変更するのに必要な委任署名情報を送信する段階と、を含む、委任署名情報を送信する方法。
【請求項2】
前記デバイスは、前記デバイスが含まれたドメインの代表デバイスである、請求項1に記載の委任署名情報を送信する方法。
【請求項3】
権利発行者と認証する段階と、
権利発行者から第1権利オブジェクトを受信する段階と、
権利発行者から委任署名情報を受信する段階と、
前記委任署名情報を使用し前記第1権利オブジェクトを第2権利オブジェクトに変更する段階、および
前記第2権利オブジェクトを非権限デバイスに送信する段階と、を含む、権利委任によって権利オブジェクトを代理して生成する方法。
【請求項4】
前記非権限デバイスに前記第1権利オブジェクトとして使用できるコンテンツを送信する段階をさらに含む、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項5】
前記非権限デバイスは、前記権利発行者と認証したデバイスと同一なドメインに含まれるデバイスである、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項6】
前記委任署名情報は、前記第2権利オブジェクトを復号化するのに必要な暗号化キーを含む、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項7】
前記委任署名情報は、前記非権限デバイスの識別子を含む、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項8】
前記第2権利オブジェクトは、前記非権限デバイスでだけ使用可能である、請求項3に記載の権利委任によって権利オブジェクトを代理して生成する方法。
【請求項9】
権利発行者と認証し、権利発行者から第1権利オブジェクトを管理する保安管理部と、
権利発行者から委任署名情報を受信して保存する委任署名情報保存部と、
前記委任署名情報を使用し前記第1権利オブジェクトを第2権利オブジェクトに変更する2次権利オブジェクト生成部、および
前記第2権利オブジェクトを非権限デバイスに送信する送受信部と、を含む、権利委任によって権利オブジェクトを代理して生成する装置。
【請求項10】
前記送受信部は、前記第1権利オブジェクトまたは前記委任署名情報を権利発行者から受信する、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項11】
前記送受信部は、前記非権限デバイスに前記第1権利オブジェクトとして使用できるコンテンツを送信する、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項12】
前記非権限デバイスは、前記権利発行者と認証したデバイスと同一なドメインに含まれるデバイスである、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項13】
前記委任署名情報は前記第2権利オブジェクトを復号化するのに必要な暗号化キーを含む、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項14】
前記委任署名情報は、前記非権限デバイスの識別子を含む、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【請求項15】
前記第2権利オブジェクトは前記非権限デバイスでだけ使用可能である、請求項9に記載の権利委任によって権利オブジェクトを代理して生成する装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2009−526287(P2009−526287A)
【公表日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願番号】特願2008−553168(P2008−553168)
【出願日】平成19年2月2日(2007.2.2)
【国際出願番号】PCT/KR2007/000565
【国際公開番号】WO2007/091804
【国際公開日】平成19年8月16日(2007.8.16)
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
【公表日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願日】平成19年2月2日(2007.2.2)
【国際出願番号】PCT/KR2007/000565
【国際公開番号】WO2007/091804
【国際公開日】平成19年8月16日(2007.8.16)
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
[ Back to top ]