JP2004515159A - 条件付きアクセス・システムのためのしきい値暗号方法およびシステム - Google Patents
条件付きアクセス・システムのためのしきい値暗号方法およびシステム Download PDFInfo
- Publication number
- JP2004515159A JP2004515159A JP2002546354A JP2002546354A JP2004515159A JP 2004515159 A JP2004515159 A JP 2004515159A JP 2002546354 A JP2002546354 A JP 2002546354A JP 2002546354 A JP2002546354 A JP 2002546354A JP 2004515159 A JP2004515159 A JP 2004515159A
- Authority
- JP
- Japan
- Prior art keywords
- share
- shares
- smart card
- signal
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000000873 masking effect Effects 0.000 claims description 2
- 238000001914 filtration Methods 0.000 claims 1
- 230000004913 activation Effects 0.000 description 19
- 230000000007 visual effect Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000013478 data encryption standard Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000011084 recovery Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000036962 time dependent Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26606—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
- H04N7/163—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/167—Systems rendering the television signal unintelligible and subsequently intelligible
- H04N7/1675—Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Graphics (AREA)
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Mobile Radio Communication Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
サービス・プロバイダのイベントを表す信号へのアクセスを管理するための方法および装置であって、スクランブル鍵を使用してスクランブルされた前記信号をスマート・カード中で受け取ること、第1のシェアを表すデータを前記スマート・カード中で受け取ること、前記第1のシェアと前記スマート・カードに記憶された少なくとも1つの追加シェアとを使用して前記スクランブル鍵を構成すること、および、前記構成したスクランブル鍵を使用して前記信号をスクランブル解除して、スクランブル解除済み信号を生成することを含み、前記スクランブル鍵を構成するステップは、前記第1のシェアおよび前記少なくとも1つの追加シェアによってユークリッド平面上に形成される曲線のY切片を計算することを含んでいる。
Description
【0001】
(発明の分野)
本発明は、放送テレビジョン・ネットワーク、ケーブル・テレビジョン・ネットワーク、ディジタル衛星システム、インターネット・サービス・プロバイダなど様々なソース(source:源)からのスクランブル済み(scrambled)受信オーディオ/ビジュアル(Audio/Visual:A/V)信号への条件付きアクセス(conditional access)を提供する(即ち、アクセスを管理する)ためのシステムに関する。秘密分散(secret sharing)の概念を利用することにより、このシステムは、完全なスクランブル解除鍵(descrambling key)を暗号化(encryption)して受信装置に送信することを必要としない。鍵(key:キー)は、サービス・プロバイダから受信した少なくとも1つのシェア(share:分担、割り当て、一部、断片)と、装置に記憶された少なくとも2つのシェア(share)を使用して回復される。
【0002】
(発明の背景)
今日、ユーザは、放送テレビジョン・ネットワーク、ケーブル・テレビジョン・ネットワーク、ディジタル衛星システム、インターネット・サービス・プロバイダなど様々なサービス・プロバイダからサービスを受けることができる。ほとんどのテレビジョン受信機は、放送ネットワークおよびケーブル・ネットワークから、スクランブルされていない情報または番組を直接受信することができる。スクランブルされた番組を提供するケーブル・ネットワークは、通常、番組をスクランブル解除するための別個の独立型セットトップ・ボックス(STB)を必要とする。同様に、通常、ディジタル衛星システムも別個のセットトップ・ボックスの使用をやはり必要とするスクランブル済みプログラムを提供する。これらのセットトップ・ボックスは、スクランブル解除鍵を回復するために必要な鍵を含む取り外し可能なスマート・カードを利用することがある。番組の未許可コピーを防止するためには、これらの重要な鍵を保護することが最優先事項である。
【0003】
条件付きアクセス・システム(CAS:Conditional Access System)は、限定受信方式とも呼ばれ、支払い、および/または許可や識別や登録など他の要件に基づいて、サービス(例えば、テレビジョン、インターネットなど)へのアクセスを可能にする。条件付きアクセス・システムでは、ユーザ(加入者(subscriber))が、サービス・プロバイダとサービス契約を結んでアクセス権を得る。
【0004】
図7に、従来の条件付きアクセス・システム・アーキテクチャを示す。情報またはコンテンツ(例えば、テレビジョン番組、映画など)および権利の付与メッセージ(entitlement message)が、保護(例えば、暗号化)された後で加入者に配信される。現在、各番組またはサービスに関連する権利の付与メッセージには2つのタイプがある。権利の付与制御メッセージ(ECM:Entitlement Control Message)は、スクランブル解除鍵(「制御ワード(control word)」と呼ばれることもある)および番組の簡単な記述(例えば、番組番号、日付、時間、コストなど)を伝える。権利の付与管理メッセージ(EMM:Entitlement Management Message)は、サービスに関係する許可レベル(例えば、サービス・タイプ、サービス継続時間などを示す)を指定する。権利の付与管理メッセージ(EMM)は、サービスと同じチャネル上で配信することもでき、あるいは電話回線など別個のチャネル上で送信することもできる。通常、権利の付与制御メッセージ(ECM)は、多重化されて関連の番組と共に送信される。
【0005】
図8に、図7に示したものなどの条件付きアクセス・システムに関する従来の送信側アーキテクチャを示す。図から分かるように、サービスからのオーディオ、ビデオ、およびデータのストリームが、多重化された後でスクランブルされ、変調され、受信側(即ち、加入者)に送信される。
【0006】
図9に、図7に示したものなどの条件付きアクセス・システムに関する従来の受信側アーキテクチャを示す。図から分かるように、受信ビット・ストリームが復調され、復号され、圧縮解除された後に、別々のオーディオ、ビデオ、およびデータのストリームが表示装置(例えば、テレビジョン画面)に送られる。
【0007】
暗号化に基づく技術は、配信コンテンツを保護するために広く使用されている。保護された特定の番組を視聴することが加入者に許可されている場合、この番組はスクランブル解除(descramble:デスクランブル)され、視聴のために表示装置(例えば、テレビジョン画面)に送られる。ほとんどの条件付きアクセス・システムでは、加入者は、権利の付与管理メッセージ(EMM)および権利の付与制御メッセージ(ECM)に基づいて、番組をスクランブル解除するためのスマート・カード(smart card)を備えるディジタル装置(例えば、セットトップ・ボックス、ディジタル・テレビジョン、ディジタル・ビデオカセット・レコーダ)を有することになる。
【0008】
通常、番組は、データ暗号化規格(DES:Data Encryption Standard)などの対称暗号を用いてスクランブルされる。セキュリティの理由から、スクランブル鍵(従って、権利の付与制御メッセージ(ECM))は頻繁に変更され、変更期間はおよそ数秒である。条件付きアクセス・プロバイダは、権利の付与制御メッセージ(ECM)の保護を秘密に定めることが多いものの、公開鍵暗号法(public key cryptography)が、鍵をサービス・プロバイダから加入者まで伝送するための実行可能なツールである。スクランブル解除鍵は、送信側で公開鍵(public key)により暗号化され、受信側で対応する秘密鍵(private key)(受信側のスマート・カードに記憶されている)により回復される。
【0009】
しかし、公開鍵暗号法には重大な欠点がある。例えば、公開鍵方式は、対称鍵方式よりも著しく時間が掛かり、しばしばより長い鍵(より多くの英数字を含む鍵)を有する。更に、鍵を回復するには、計算上の要求の厳しいアルゴリズム(RSA(Rivest‐Shamir‐Adleman)暗号など)が必要である。
【0010】
これらのディジタル装置において、セキュリティ機能をナビゲーション機能(即ち、チャネル・サーフィン)から分離することは重要である。分離することにより、装置メーカは、特定の条件付きアクセス・システムに依存せずに動作する装置を製造することができる。これは以下の2つの理由により重要である。
【0011】
(1)最近まで、セットトップ・ボックスは小売店で容易に入手可能ではなく、加入者に直接配送するケーブル会社向けに製造されてきた。主要な家電メーカおよび電子機器小売店は、独占的であるとしてこの慣例に反発してきた。
【0012】
(2)セキュリティの観点から見ると、鍵が不正に見つけられた(「ハッキング(hack)」)場合、条件付きアクセス・プロバイダは、影響を受ける装置(例えば、セットトップ・ボックス)中のスマート・カードを入れ替えるだけでよく、システム全体を再構成する必要はない。
【0013】
従って、現在、しきい値暗号法(threshold cryptography)など、公開鍵暗号法以外の概念を利用する情報保護の方式が必要とされている。
【0014】
(発明の概要)
本発明は、サービス・プロバイダのイベント(event)を表す信号へのアクセスを、スマート・カードを利用して管理するための方法および装置を定める。即ち、この方法は、対称スクランブル鍵を使用してスクランブルされた信号をスマート・カード中で受け取ること、第1のシェアを表すデータを受け取ること、第1のシェアとスマート・カードに記憶された少なくとも2つの追加シェアとを使用してスクランブル鍵を構成すること、および、構成したスクランブル鍵を使用して信号をスクランブル解除して、スクランブル解除済み信号を生成することを含んでいる。
【0015】
本発明の第2の例示的な実施形態によれば、第1、第2、第3のシェアを使用する。第1、第2、第3のシェアは、ユークリッド平面上の点であり、スクランブル鍵を構成するステップは、第1、第2、第3のシェアによってユークリッド平面上に形成される放物曲線のY切片を計算することを含んでいる。
【0016】
本発明の第3の例示的な実施形態によれば、第1、第2、第3、第4のシェアを使用する。第1、第2、第3、第4のシェアは、ユークリッド平面上の点であり、スクランブル鍵を構成するステップは、第1、第2、第3、第4のシェアによってユークリッド平面上に形成される曲線のY切片を計算することを含んでいる。一般に、必要とされるセキュリティ・レベルに応じて、任意の数のシェアを使用することができる。
【0017】
(実施形態の詳細な説明)
通常、条件付きアクセス(CA:Conditional Access)システムでは、信号は、データ暗号化規格(DES)などの対称暗号(秘密鍵暗号)を使用してスクランブルされる。セキュリティの理由から、スクランブル鍵は頻繁に変更され、変更期間はおよそ数秒である。スクランブル解除鍵(信号と共に送信される)の保護は、公開鍵暗号法で行われることが多く、公開鍵暗号法は、先に説明したように比較的多くの計算パワーおよびメモリを必要とする。本発明は、一部には、上述の問題を認識することにあり、また一部には、この問題への解決法を提供することにある。
【0018】
本明細書で述べる信号(例えば、イベントや番組)には、(1)オーディオ/ビジュアル・データ(例えば、映画、毎週の「テレビ」ショーまたはドキュメンタリー)、(2)テキスト・データ(例えば、電子雑誌、新聞、または天気ニュース)、(3)コンピュータ・ソフトウェア、(4)バイナリ・データ(例えば、画像)、(5)HTMLデータ(例えば、ウェブ・ページ)などの情報、あるいは、アクセス制御が必要な他の任意の情報が含まれる。サービス・プロバイダには、イベントをブロードキャストする任意のプロバイダ、例えば従来の放送テレビジョン・ネットワーク、ケーブル・ネットワーク、ディジタル衛星ネットワークや、電子番組ガイド(EPG)プロバイダなど電子イベント・リストのプロバイダが含まれ、場合によってはインターネット・サービス・プロバイダが含まれる。
【0019】
本発明は、スクランブル解除鍵を安全に伝送するための方法および装置を提供する。本発明は、番組またはサービスが複数のソースのうちの1つから得られる条件付きアクセス・システムで特に使用することができる。この方法をディジタル・テレビジョンやディジタル・ビデオ・カセット・レコーダやセットトップ・ボックスなどの装置内で実施するとき、鍵構成に必要なデータの一部だけしか装置に記憶されないので、この方法は、スクランブル解除鍵の好都合な管理をもたらす。説明を簡単にするために、以下の本発明の記述では、ディジタル・テレビジョンおよびスマート・カードを使用する実装形態を対象とする。
【0020】
図1で、システム30は、ディジタル・テレビジョン(DTV)40へのアクセスを管理するための一般的なアーキテクチャを表す。スマート・カード(SC)42が、ディジタル・テレビジョン(DVT)40のスマート・カード・リーダ43に挿入されるかまたは結合される。内部バス45が、ディジタル・テレビジョン(DVT)40とスマート・カード(SC)42を相互接続し、それによってこれらの間のデータ転送を可能にする。このようなスマート・カードには、ナショナル・リニューアブル・セキュリティ規格(NRSS:National Renewable Security Standard)パートAに準拠して表面に複数の端子ピンが配置されたカード本体を有するISO7816カードや、NRSSパートBに準拠するPCMCIAカードが含まれる。
【0021】
ディジタル・テレビジョン(DVT)40は、放送テレビジョンSP(Service Provider)50、ケーブル・テレビジョンSP52、衛星システムSP54、インターネットSP56など、複数のサービス・プロバイダ(SP)からサービスを受ける機能を有する。条件付きアクセス組織(CA)75は、サービス・プロバイダとディジタル・テレビジョン(DVT)40のどちらにも直接には接続されないが、鍵管理を行い、公開鍵と秘密鍵の対を発行する。鍵の対は、必要な場合に後述のように使用することができる。
【0022】
本発明は、公開鍵暗号法(または、他の任意の暗号システム)を使用するための要件を無くす秘密分散の概念を採用して、オーディオ/ビジュアル(A/V)ストリームがサービス・プロバイダ(例えば、SP50〜56)から加入者のスマート・カード(例えば、スマート・カード(SC)42)に安全に送信されるようにする。
【0023】
本発明は、アジ・シャミル氏(Adi Shamir)によって元々開発された、「しきい値法(threshold scheme)」または「しきい値暗号法(threshold cryptography)」として知られる秘密分散法(secret sharing scheme)の適用を採用する(A.Shamir「How to share a secret」Communications of the ACM、Vol.22、No.11、612〜613ページ、1979年11月参照)。シャミル氏によって提案されるような(t,n)しきい値法は、秘密(情報)(secret)を再構成するために断片のうち少なくともt個(≦n)が必要になるような形式で、秘密をn個の断片(「シェア(share)」または「シャドウ(shadow)」と呼ばれることがある)に分割するものである。完全なしきい値法は、(t−1)個以下の断片(「シェア」または「シャドウ」)がわかっても、秘密に関する情報は何も提供されないしきい値法である。
【0024】
例えば、(3,4)しきい値法では、秘密は4つのシェアに分割されるが、秘密鍵を再構成するには3つのシェアしか必要でない。ただし2つのシェアでは秘密鍵を再構成することはできない。シャミル氏の(t,n)しきい値法では、より大きい値をtに選択して(t−1)個の秘密をスマート・カードに記憶すれば、暗号文攻撃に対するシステムの抵抗力は高まるものの、多項式を構成するための計算はより多くなる。
【0025】
このようなしきい値法は、対称鍵を回復する際のスマート・カードに対する計算要件を削減する。モジュラー(modular)べき乗計算を必要とするRSA(Rivest‐Shamir‐Adleman)復号と比較して、新しい鍵それぞれにつき単純な操作が行われるだけである(即ち、x=0における多項式の値が計算される)。加えて、セキュリティは完全である(即ち、(x1,y1)が分っても、秘密の値はすべて依然として等しい確率を有する)。
【0026】
本発明は、条件付きアクセス・システムで、シャミル氏の秘密分散の原理を利用して、スクランブル済み信号をスクランブル解除するための鍵の識別を秘匿する。具体的には、本発明者は、ユークリッド平面(Euclidean plane)中の2つ以上の点で形成される特定の線または曲線のY切片(Y−intercept)がスクランブル鍵を構成する方式を提案する。
【0027】
この方式の最も単純な実施形態では、受信側(例えば、スマート・カード)は、あらかじめシェアが記憶された状態で製造される(後述の通り、これはしばしば「予め組み込まれた(prepositioned)」分散秘密法と呼ばれる)。この記憶されたシェアを使用して、送信側で信号をスクランブルするための鍵を計算する。スクランブルされた信号を送信するとき、追加の、即ち、「アクティブ化(activating)」シェアも一緒に送信する。アクティブ化シェアを知っていても記憶済みシェアを知らなければ意味がないので、この方式では「アクティブ化」シェアを暗号化する必要はないことに留意されたい。受信側は、「アクティブ化」シェアを受け取ると、記憶済みシェアと「アクティブ化」シェアとによって形成される線のY切片を見つけることによって計算されるスクランブル解除鍵を使用して、スクランブル済み信号を再構成する。新しい鍵が必要になる度に、送信側で新しい「アクティブ化」シェアを選択し、それにより記憶済みシェアと「アクティブ化」シェアとによって形成される線のY切片を変更することができる。このようにして、有限数のスクランブル鍵を定義し、スマート・カードも受信側ハードウェアまたはソフトウェアも変更せずにスクランブル鍵を利用することができる。
【0028】
鍵の生成および配布のプロセスは、以下のステップを実施するためのプログラムを開発することによって自動化することができる。
(a)秘密Sを選択する。これはユークリッド平面のY軸に沿った値となる。
(b)点(0,S)と別の点(x0,y0)を通る1次多項式f(x)を構成する。
(c)x1におけるf(x)を計算する。x1はx0と等しくはなり得ない。
(d)Sで保護したコンテンツと共に(x1,y1)を配布する。
【0029】
前述のような方式は、秘密の一部が受信側に「予め組み込まれる」ので、しばしば「予め組み込まれた」分散秘密法と呼ばれる。上の例では、「予め組み込まれた」シェアは、受信側でスマート・カードに記憶されているシェアである。このような「予め組み込まれた」分散秘密法は、暗号学の分野で他者によって考察されている(例えば、G.J.Simmons「How to(really)share a secret」Advances in Cryptology−CRYPTO’88 Proceedings、Springer−Verlag、390〜448ページ、1990年、およびG.J.Simmons「Prepositioned shared secret and/or shared control schemes」Advances in Cryptology−EUROCRYPT’89 Proceedings、Springer−Verlag、436〜467ページ、1990年参照)。所定のシェアを予め組み込まれることにより、スクランブル鍵は、受信側のどんな回路も変更せずに比較的容易に変更することができ、「アクティブ化」シェアを変更する必要があるだけである。
【0030】
上記のアルゴリズムは、2つのシェア(即ち、ユークリッド平面上の線の2点)だけを有する秘密Sを利用した予め組み込まれた秘密分散法を概説したものであることに留意されたい。当然、より多くのシェア(点(point))を有するより複雑な他の秘密Sを開発してもよい。予め組み込まれた秘密分散法の重要な面は、シェアの幾つかが受信側に「予め組み込まれる」ことである。
【0031】
本発明は、特定位置(場所)(例えば、スマート・カード・メモリ)に秘密のシェアの少なくとも1つを記憶することを含んでいる。次いで、記憶したシェアを「アクティブ化」シェアと共に使用して、秘密を構成する。例えば(4,4)方式では、4つのシェアのうち3つを特定位置(例えば、スマート・カード)に記憶することが好ましい。次いで、秘密を得るための最後のシェア(本明細書では「アクティブ化」シェアとも呼ぶ)をこの位置に送信する。本発明では、秘密はシェア自体ではなく、シェアがユークリッド平面上の点として表されたときにシェアによって形成される線、または曲線(より高次の多項式の場合)のY切片であることに留意するのが重要である。
【0032】
図2および図3は共に、本発明の第1の例示的な実施形態を例示するものである。第1の例示的な実施形態では、2つのシェアを有する秘密を使用する。前述のように、各シェアはユークリッド平面上の点で定められる。具体的には、スマート・カード(SC)42に第1のシェア(または、データ点)が記憶される。第1のシェアは、ユークリッド平面上の単一の点(即ち、(x0,y0)の形式)と考えることができる。サービス・プロバイダ58は、対称鍵、例えば、データ暗号化規格(DES)鍵でスクランブルされたものとすることのできる信号(即ち、イベントまたは番組)を送信する。スクランブルされた信号に加えて、サービス・プロバイダ58は、第2の(即ち、「アクティブ化」)シェアも送信する。第2のシェアも同様に、同じユークリッド平面からの第2の単一の点(即ち、(x1,y1)の形式)とすることができる。
【0033】
スクランブルされたオーディオ/ビジュアル(A/V)信号、および第2の(「アクティブ化」)シェアは、ディジタル・テレビジョン(DVT)40によって受信され、処理のためにスマート・カード(SC)42に送られる。スマート・カード(SC)42は、第2の(「アクティブ化」)シェアを受け取り、記憶されている第1のシェアと受け取った第2のシェアの両方を使用して、対称鍵を再構成(または、回復)する。次いでスマート・カード(SC)42は、再構成された対称鍵を使用して、受信されたスクランブル済みオーディオ/ビジュアル(A/V)信号をスクランブル解除し、スクランブル解除済みオーディオ/ビジュアル(A/V)信号を生成する。このスクランブル解除済みオーディオ/ビジュアル(A/V)信号は、表示されるようディジタル・テレビジョン(DVT)40に提供される。
【0034】
対称鍵の回復は、第1および第2のシェアを利用して多項式を構成することによって達成される。即ち、構成された多項式のY切片が対称鍵である。例えば、(x0,y0)および(x1,y1)がある場合、対称鍵は、この所定の有限体中でSの値を計算することによって構成され、以下のようになる。
S=f(0)=y0−((y1−y0)/(x1−x0))×(x0)
【0035】
図3Aに、本発明の第1の例示的な実施形態のグラフを示す。このグラフは、例示的なシェア(x0,y0)および(x1,y1)と、これらによって形成される線を示しており、この線は特定の点でY軸と交差する(この点が鍵である)。例として、図3Aのプロットは、モジュラー算術ではなく実数を使用して得られる。
【0036】
第1の例示的な実施形態に関して上述したような手法では、複数のサービス・プロバイダが、記憶される第2のシェア(x0,y0)(即ち、「アクティブ化」シェア)を共用することができる。次いで、各サービス・プロバイダは、独自の第1のシェア(即ち、(x1,y1))を自由に選択することができる。同一のY切片(即ち、同一の対称鍵)を伴う多項式を構成する確率は低い。ただし、可能な第2のシェアの範囲は、各サービス・プロバイダが重ならない固有の範囲を有するように割り振ることもできる(図3B参照)。更に、各サービス・プロバイダが独自の第1のシェアを選択して、これをダウンロード前にスマート・カードの公開鍵を使用して暗号化することができることも、本発明の範囲内である。このシェアは、スマート・カードがその秘密鍵KSCpriを使用して回復することになる。更に、後で説明するが、イベントの各部分を異なる鍵スクランブル解除して異なる複数の第2のシェアを送っても、定める本システムの堅牢性を高めることができる。
【0037】
本発明の第1の例示的な実施形態による例を考察するために、点(x0,y0)=(17,15)、(x1,y1)=(5,10)、およびp=23と仮定する。(x0,y0)および(x1,y1)を通る1次多項式
f(x)=a1x+a0(mod23)
は、以下の式を解くことによって構成することができる。
a1×(17)+a0=15(mod23)
a1×(5)+a0=10(mod23)
解(a1,a0)=(10,6)は、以下の多項式をもたらす。
f(x)=10x+6(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=6(mod23)
【0038】
従って、上の例によれば、秘密の値は、即ち、スクランブル鍵の値は、6(mod23)になる。当然、この秘密の値は、(x1,y1)の値が変わる度に変化することになる。
【0039】
図4に、(第1の例示的な実施形態の2つのシェアとは対照的に)3つのシェアを利用する本発明の第2の例示的な実施形態による鍵回復方式を示す。第2の例示的な実施形態では、対称鍵の回復は、第1、第2、第3のシェア(例えば、(x0,y0)、(x1,y1)、(x2,y2))を利用して2次多項式(即ち、放物曲線)を構成することによって達成される。構成された2次多項式のY切片が、対称鍵である。
【0040】
本発明の第2の例示的な実施形態による例を考察するために、点(x0,y0)=(17,15)、(x1,y1)=(5,10)、(x2,y2)=(12,6)、およびp=23と仮定する。(x0,y0)、(x1,y1)、(x2,y2)を通る2次多項式
f(x)=a2x2+a1x+a0(mod23)
は、以下の式を解くことによって構成することができる。
a2×(172)+a1×(17)+a0=15(mod23)
a2×(122)+a1×(12)+a0=6(mod23)
a2×(52)+a1×(5)+a0=10(mod23)
解(a2,a1,a0)=(10,20,5)は、以下の多項式をもたらす。
f(x)=10x2+20x+5(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=5(mod23)
【0041】
図4に示すように、第1、第2、第3のシェアは、ユークリッド平面上の点として表すことができる。例として、図4のプロットはモジュラー算術ではなく実数を使用して得られる。
【0042】
図5に、4つのシェアを利用する本発明の第3の例示的な実施形態による鍵回復方式を示す。第3の例示的な実施形態では、対称鍵の回復は、第1、第2、第3、第4のシェア(例えば、(x0,y0)、(x1,y1)、(x2,y2)、(x3,y3))を利用して3次多項式(即ち、曲線)を構成することによって達成される。構成された3次多項式のY切片が対称鍵である。
【0043】
本発明の第3の例示的な実施形態による例を考察するために、点(x0,y0)=(17,15)、(x1,y1)=(5,10)、(x2,y2)=(12,6)、(x3,y3)=(3,12)、およびp=23と仮定する。(x0,y0)、(x1,y1)、(x2,y2)、(x3,y3)を通る3次多項式
f(x)=a2x3+a2x2+a1x+a0(mod23)
は、以下の式を解くことによって構成することができる。
a3×(173)+a2×(172)+a1×(17)+a0=15(mod23)
a3×(123)+a2×(122)+a1×(12)+a0=6(mod23)
a3×(53)+a2×(52)+a1×(5)+a0=10(mod23)
a3×(33)+a2×(32)+a1×(3)+a0=12(mod23)
解(a3,a2,a1,a0)=(18,19,0,22)は、以下の多項式をもたらす。
f(x)=18x3+19x2+0x+22(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=22(mod23)
【0044】
図5に示すように、第1、第2、第3、第4のシェアは、ユークリッド平面上の点として表すことができる。例として、図5のプロットはモジュラー算術ではなく実数を使用して得られる。
【0045】
前述のような複数のシェアを使用して、条件付きアクセス・システムのための好都合な鍵管理方式を構成することもできる。条件付きアクセス・システムのオペレータはしばしば、(1)個人(individual)、(2)グループ(group)、(3)地域(regional)の3レベルの鍵を定める。条件付きアクセス・システムの加入者の各スマート・カードごとに異なる数のシェアを記憶することにより、加入者にこれらの種々の許可レベルのうちの1つまたは複数を割り当てることができる。
【0046】
指定の個体数のスマート・カードを使用してシステムへのアクセスを制御する条件付きアクセス・システムを検討する。以下のように、異なる3つのカード・タイプを製造することができる。
(1)レベル1スマート・カード:放送「領域」中のすべてのスマート・カードに、1つの共通シェア(即ち、領域中のすべてのスマート・カードに共通のシェア)を割り当てる。
(2)レベル2スマート・カード:指定のグループ中のすべてのスマート・カードに、追加の共通シェア(即ち、指定のグループ中のすべてのスマート・カードに共通のもう1つのシェア)を割り当てる。
(3)レベル3スマート・カード:各スマート・カードに固有の追加シェアを割り当てる。
【0047】
前述のスマート・カードを「アクティブ化」シェアと共に使用して、ある種の番組をスクランブル解除することができる。レベル1スマート・カードは1つのシェアだけを含み、レベル2スマート・カードは2つのシェアを含み、レベル3スマート・カードは3つのシェアを含むので、各カードは異なるスクランブル解除鍵セット(set:組)を提供することになる。従って、放送領域内のすべてのスマート・カード(即ち、レベル1スマート・カード)は、一般の放送(例えば、基本的なテレビジョン・チャネル)を受信してスクランブル解除する機能を有するが、レベル2スマート・カードだけは、幾つかの追加の番組(例えば、HBO(Home Box Office)やショータイム(Showtime)など)を受信してスクランブル解除する機能を有し、レベル3スマート・カードだけは、その他に幾つかの追加の番組(例えば、ペイ・パー・ビュー(PPV:pay−per−view)映画など)を受信してスクランブル解除する機能を有する。レベル1〜3スマート・カード中に配置されるシェアは、秘密(例えば、スクランブル解除鍵)を計算するために「アクティブ化」シェアと共に使用することのできる「予め組み込まれた」情報を構成することに留意されたい。
【0048】
図6に、どのようにユークリッド平面を使用して複数シェア方式を構成するかを示す。図から分かるように、異なる3つの許可レベルは、3つのY切片に対応する(即ち、「地域鍵」、「グループ鍵」、「個人鍵」)。1次多項式(レベル1即ち、「地域」許可に対応する)は、「アクティブ化シェア」およびレベル1共通シェアを通る線を構成する。2次多項式(レベル2即ち、「グループ」許可に対応する)は、「アクティブ化」シェア、レベル1共通シェア、およびレベル2シェアを通る放物線を構成する。3次多項式(レベル3即ち、「個人」許可に対応する)は、「アクティブ化」シェア、レベル1共通シェア、レベル2シェア、およびレベル3シェアを通る曲線を構成する。この例では、異なる各鍵(即ち、個人、グループ、地域)を計算するために「アクティブ化」シェアを使用していることに留意されたい。例として、図6のプロットはモジュラー算術ではなく実数を使用して得られることを理解されたい。
【0049】
上の例を用いて、以下の表に、シェアと種々の許可レベルとの関係を記述する。
【表1】
【0050】
前述の方法および装置について、マルチメディア・コンテンツを配信するための条件付きアクセス・システムのコンテキストで述べたが、本発明の原理は、情報の送信側と受信側の間で安全に通信するための方法および装置にも適用することができる。
【0051】
前述の方法および装置の幾つかの利点には、次のことが含まれる。
(a)対称鍵を回復する際の受信側に対する計算要件が削減される(即ち、各鍵につき単純な操作しか実施されない)。これは、モジュラーべき乗の計算を必要とするRSA復号とは対照的である。
【0052】
(b)セキュリティは「完全」である。言い換えれば、アクティブ化シェアがあっても、秘密の値はすべて依然として等しい確率を有する。より高次の多項式であるほど、アクティブ化シェアを得て秘密を決定する作業はより一層困難になる。
【0053】
(c)送信側と受信側の間で共有される「予め組み込まれた」情報の所定のセットに対し、異なる対称鍵を容易に導出して頻繁に使用することができる(即ち、「アクティブ化」シェアを変更することによって)。
【0054】
(d)各受信側に異なるシェアを割り当てることにより、異なる許可レベルを定めることができる。
【0055】
(e)セキュリティは、証明されていない数学的仮定に依拠しない(即ち、RSAのセキュリティは、整数因数分解の問題の困難さに基づく)。
【0056】
前述の方式は、対称鍵システムと公開鍵システムの利点を効果的に結合する。「予め組み込まれた」情報は、受信側の秘密鍵と考えることができる。構成される対称鍵は、権利の付与制御メッセージ(ECM)の一部として送信される公開情報によって決定される。スクランブル解除鍵は放送のソースでは生成されないので、これらを配布時に保護するための追加の暗号は必要ない。
【0057】
前述の方式の効果は、次のことを含めた様々な仕方で高めることができる。
【0058】
(1)分散秘密に応じてスクランブル鍵を定める。一般に、鍵は、秘密の値において予め定められた関数を評価することによって生成することができる。例えば、分散秘密(例えば、関数f(x)のY切片)が実数7であった場合、鍵は7の平方根として定めることができる。このようにすれば、たとえ秘密を発見してもスクランブル解除できるとは限らない。あるいは、多項式の係数が得られた後で他の任意の定義を用いることもできる。実際上は、関数はエントロピー保存特性を有することが必要な場合がある(即ち、エントロピー(秘密)=エントロピー[f(秘密)])。
【0059】
(2)多項式関数の次数(従って、秘密を発見するために必要なシェアの数)を、時間依存の秘密のシステム・パラメータにする。例えば、秘密を定める多項式f(x)の次数は、1日ごと、1時間ごとなどで変化する。最初に多項式の次数を決定しなければならないので、暗号解読はより要求の厳しい作業になる。
【0060】
(3)アクティブ化シェアを送信前にマスク(mask)する。次いで、スクランブル済みコンテンツと共に送信されたアクティブ化シェアを、受信側が予め定められたプロセスでマスク解除(unmask)することができる。マスキングの一例では、コンテンツをスクランブルするためにはアクティブ化シェアのハッシュ値(hash value)を使用するが、送信するのはそうでなくアクティブ化シェアである。次いで、受信側はハッシング(hashing)を実施して実際の値を決定する。
【0061】
(4)冗長なアクティブ化シェアを追加する。実際のアクティブ化シェアと共に送信された追加のアクティブ化シェアを、受信側が予め定められたプロセスでフィルタリングして除去する。
【0062】
以上に参照した改良を任意に組み合わせても、アクティブ化シェアの実際の値を送信時に秘匿するために役立ち、コンテンツに対する追加のセキュリティ・レベルを導入する。
【0063】
秘密を形成する際に1次、2次、3次の多項式を使用することのできる秘密分散法に関して本発明を述べたが、任意の次数の多項式(例えば、4次、5次など)も使用できることは当業者には理解されるであろう。実際、より高次の多項式であるほど、推定しなければならないシェアの数が増加するので、より低い多項式に勝る追加のセキュリティをもたらすという点で好ましい。更に、以上の記述では単一のスマート・カード(例えば、スマート・カード42)を使用するシステムに焦点を合わせているが、複数のスマート・カードを使用し、各スマート・カードに1つまたは複数のシェア値を記憶することもできることは、当業者には理解されるであろう。
【図面の簡単な説明】
【図1】
共通のセットトップ・ボックス(STB)を様々なサービス・プロバイダ(SP)にインタフェースするためのアーキテクチャの1つを示すブロック図である。
【図2】
本発明による、装置へのアクセスを管理するためのシステムのブロック図である。
【図3A】
本発明の第1の例示的な実施形態による、スクランブル鍵の決定を表すグラフである。
【図3B】
図3Aによる、各サービス・プロバイダ(SP)について重ならない固有の範囲を割り当てることを表すグラフである。
【図4】
本発明の第2の例示的な実施形態による、スクランブル鍵の決定を表すグラフである。
【図5】
本発明の第3の例示的な実施形態による、スクランブル鍵の決定を表すグラフである。
【図6】
本発明の第4の例示的な実施形態による、複数のスクランブル鍵の決定を表すグラフである。
【図7】
従来の条件付きアクセス・システム(CAS)を示すブロック図である。
【図8】
条件付きアクセス・システム(CAS)に関する従来の送信側アーキテクチャを示すブロック図である。
【図9】
条件付きアクセス・システム(CAS)に関する従来の受信側アーキテクチャを示すブロック図である。
(発明の分野)
本発明は、放送テレビジョン・ネットワーク、ケーブル・テレビジョン・ネットワーク、ディジタル衛星システム、インターネット・サービス・プロバイダなど様々なソース(source:源)からのスクランブル済み(scrambled)受信オーディオ/ビジュアル(Audio/Visual:A/V)信号への条件付きアクセス(conditional access)を提供する(即ち、アクセスを管理する)ためのシステムに関する。秘密分散(secret sharing)の概念を利用することにより、このシステムは、完全なスクランブル解除鍵(descrambling key)を暗号化(encryption)して受信装置に送信することを必要としない。鍵(key:キー)は、サービス・プロバイダから受信した少なくとも1つのシェア(share:分担、割り当て、一部、断片)と、装置に記憶された少なくとも2つのシェア(share)を使用して回復される。
【0002】
(発明の背景)
今日、ユーザは、放送テレビジョン・ネットワーク、ケーブル・テレビジョン・ネットワーク、ディジタル衛星システム、インターネット・サービス・プロバイダなど様々なサービス・プロバイダからサービスを受けることができる。ほとんどのテレビジョン受信機は、放送ネットワークおよびケーブル・ネットワークから、スクランブルされていない情報または番組を直接受信することができる。スクランブルされた番組を提供するケーブル・ネットワークは、通常、番組をスクランブル解除するための別個の独立型セットトップ・ボックス(STB)を必要とする。同様に、通常、ディジタル衛星システムも別個のセットトップ・ボックスの使用をやはり必要とするスクランブル済みプログラムを提供する。これらのセットトップ・ボックスは、スクランブル解除鍵を回復するために必要な鍵を含む取り外し可能なスマート・カードを利用することがある。番組の未許可コピーを防止するためには、これらの重要な鍵を保護することが最優先事項である。
【0003】
条件付きアクセス・システム(CAS:Conditional Access System)は、限定受信方式とも呼ばれ、支払い、および/または許可や識別や登録など他の要件に基づいて、サービス(例えば、テレビジョン、インターネットなど)へのアクセスを可能にする。条件付きアクセス・システムでは、ユーザ(加入者(subscriber))が、サービス・プロバイダとサービス契約を結んでアクセス権を得る。
【0004】
図7に、従来の条件付きアクセス・システム・アーキテクチャを示す。情報またはコンテンツ(例えば、テレビジョン番組、映画など)および権利の付与メッセージ(entitlement message)が、保護(例えば、暗号化)された後で加入者に配信される。現在、各番組またはサービスに関連する権利の付与メッセージには2つのタイプがある。権利の付与制御メッセージ(ECM:Entitlement Control Message)は、スクランブル解除鍵(「制御ワード(control word)」と呼ばれることもある)および番組の簡単な記述(例えば、番組番号、日付、時間、コストなど)を伝える。権利の付与管理メッセージ(EMM:Entitlement Management Message)は、サービスに関係する許可レベル(例えば、サービス・タイプ、サービス継続時間などを示す)を指定する。権利の付与管理メッセージ(EMM)は、サービスと同じチャネル上で配信することもでき、あるいは電話回線など別個のチャネル上で送信することもできる。通常、権利の付与制御メッセージ(ECM)は、多重化されて関連の番組と共に送信される。
【0005】
図8に、図7に示したものなどの条件付きアクセス・システムに関する従来の送信側アーキテクチャを示す。図から分かるように、サービスからのオーディオ、ビデオ、およびデータのストリームが、多重化された後でスクランブルされ、変調され、受信側(即ち、加入者)に送信される。
【0006】
図9に、図7に示したものなどの条件付きアクセス・システムに関する従来の受信側アーキテクチャを示す。図から分かるように、受信ビット・ストリームが復調され、復号され、圧縮解除された後に、別々のオーディオ、ビデオ、およびデータのストリームが表示装置(例えば、テレビジョン画面)に送られる。
【0007】
暗号化に基づく技術は、配信コンテンツを保護するために広く使用されている。保護された特定の番組を視聴することが加入者に許可されている場合、この番組はスクランブル解除(descramble:デスクランブル)され、視聴のために表示装置(例えば、テレビジョン画面)に送られる。ほとんどの条件付きアクセス・システムでは、加入者は、権利の付与管理メッセージ(EMM)および権利の付与制御メッセージ(ECM)に基づいて、番組をスクランブル解除するためのスマート・カード(smart card)を備えるディジタル装置(例えば、セットトップ・ボックス、ディジタル・テレビジョン、ディジタル・ビデオカセット・レコーダ)を有することになる。
【0008】
通常、番組は、データ暗号化規格(DES:Data Encryption Standard)などの対称暗号を用いてスクランブルされる。セキュリティの理由から、スクランブル鍵(従って、権利の付与制御メッセージ(ECM))は頻繁に変更され、変更期間はおよそ数秒である。条件付きアクセス・プロバイダは、権利の付与制御メッセージ(ECM)の保護を秘密に定めることが多いものの、公開鍵暗号法(public key cryptography)が、鍵をサービス・プロバイダから加入者まで伝送するための実行可能なツールである。スクランブル解除鍵は、送信側で公開鍵(public key)により暗号化され、受信側で対応する秘密鍵(private key)(受信側のスマート・カードに記憶されている)により回復される。
【0009】
しかし、公開鍵暗号法には重大な欠点がある。例えば、公開鍵方式は、対称鍵方式よりも著しく時間が掛かり、しばしばより長い鍵(より多くの英数字を含む鍵)を有する。更に、鍵を回復するには、計算上の要求の厳しいアルゴリズム(RSA(Rivest‐Shamir‐Adleman)暗号など)が必要である。
【0010】
これらのディジタル装置において、セキュリティ機能をナビゲーション機能(即ち、チャネル・サーフィン)から分離することは重要である。分離することにより、装置メーカは、特定の条件付きアクセス・システムに依存せずに動作する装置を製造することができる。これは以下の2つの理由により重要である。
【0011】
(1)最近まで、セットトップ・ボックスは小売店で容易に入手可能ではなく、加入者に直接配送するケーブル会社向けに製造されてきた。主要な家電メーカおよび電子機器小売店は、独占的であるとしてこの慣例に反発してきた。
【0012】
(2)セキュリティの観点から見ると、鍵が不正に見つけられた(「ハッキング(hack)」)場合、条件付きアクセス・プロバイダは、影響を受ける装置(例えば、セットトップ・ボックス)中のスマート・カードを入れ替えるだけでよく、システム全体を再構成する必要はない。
【0013】
従って、現在、しきい値暗号法(threshold cryptography)など、公開鍵暗号法以外の概念を利用する情報保護の方式が必要とされている。
【0014】
(発明の概要)
本発明は、サービス・プロバイダのイベント(event)を表す信号へのアクセスを、スマート・カードを利用して管理するための方法および装置を定める。即ち、この方法は、対称スクランブル鍵を使用してスクランブルされた信号をスマート・カード中で受け取ること、第1のシェアを表すデータを受け取ること、第1のシェアとスマート・カードに記憶された少なくとも2つの追加シェアとを使用してスクランブル鍵を構成すること、および、構成したスクランブル鍵を使用して信号をスクランブル解除して、スクランブル解除済み信号を生成することを含んでいる。
【0015】
本発明の第2の例示的な実施形態によれば、第1、第2、第3のシェアを使用する。第1、第2、第3のシェアは、ユークリッド平面上の点であり、スクランブル鍵を構成するステップは、第1、第2、第3のシェアによってユークリッド平面上に形成される放物曲線のY切片を計算することを含んでいる。
【0016】
本発明の第3の例示的な実施形態によれば、第1、第2、第3、第4のシェアを使用する。第1、第2、第3、第4のシェアは、ユークリッド平面上の点であり、スクランブル鍵を構成するステップは、第1、第2、第3、第4のシェアによってユークリッド平面上に形成される曲線のY切片を計算することを含んでいる。一般に、必要とされるセキュリティ・レベルに応じて、任意の数のシェアを使用することができる。
【0017】
(実施形態の詳細な説明)
通常、条件付きアクセス(CA:Conditional Access)システムでは、信号は、データ暗号化規格(DES)などの対称暗号(秘密鍵暗号)を使用してスクランブルされる。セキュリティの理由から、スクランブル鍵は頻繁に変更され、変更期間はおよそ数秒である。スクランブル解除鍵(信号と共に送信される)の保護は、公開鍵暗号法で行われることが多く、公開鍵暗号法は、先に説明したように比較的多くの計算パワーおよびメモリを必要とする。本発明は、一部には、上述の問題を認識することにあり、また一部には、この問題への解決法を提供することにある。
【0018】
本明細書で述べる信号(例えば、イベントや番組)には、(1)オーディオ/ビジュアル・データ(例えば、映画、毎週の「テレビ」ショーまたはドキュメンタリー)、(2)テキスト・データ(例えば、電子雑誌、新聞、または天気ニュース)、(3)コンピュータ・ソフトウェア、(4)バイナリ・データ(例えば、画像)、(5)HTMLデータ(例えば、ウェブ・ページ)などの情報、あるいは、アクセス制御が必要な他の任意の情報が含まれる。サービス・プロバイダには、イベントをブロードキャストする任意のプロバイダ、例えば従来の放送テレビジョン・ネットワーク、ケーブル・ネットワーク、ディジタル衛星ネットワークや、電子番組ガイド(EPG)プロバイダなど電子イベント・リストのプロバイダが含まれ、場合によってはインターネット・サービス・プロバイダが含まれる。
【0019】
本発明は、スクランブル解除鍵を安全に伝送するための方法および装置を提供する。本発明は、番組またはサービスが複数のソースのうちの1つから得られる条件付きアクセス・システムで特に使用することができる。この方法をディジタル・テレビジョンやディジタル・ビデオ・カセット・レコーダやセットトップ・ボックスなどの装置内で実施するとき、鍵構成に必要なデータの一部だけしか装置に記憶されないので、この方法は、スクランブル解除鍵の好都合な管理をもたらす。説明を簡単にするために、以下の本発明の記述では、ディジタル・テレビジョンおよびスマート・カードを使用する実装形態を対象とする。
【0020】
図1で、システム30は、ディジタル・テレビジョン(DTV)40へのアクセスを管理するための一般的なアーキテクチャを表す。スマート・カード(SC)42が、ディジタル・テレビジョン(DVT)40のスマート・カード・リーダ43に挿入されるかまたは結合される。内部バス45が、ディジタル・テレビジョン(DVT)40とスマート・カード(SC)42を相互接続し、それによってこれらの間のデータ転送を可能にする。このようなスマート・カードには、ナショナル・リニューアブル・セキュリティ規格(NRSS:National Renewable Security Standard)パートAに準拠して表面に複数の端子ピンが配置されたカード本体を有するISO7816カードや、NRSSパートBに準拠するPCMCIAカードが含まれる。
【0021】
ディジタル・テレビジョン(DVT)40は、放送テレビジョンSP(Service Provider)50、ケーブル・テレビジョンSP52、衛星システムSP54、インターネットSP56など、複数のサービス・プロバイダ(SP)からサービスを受ける機能を有する。条件付きアクセス組織(CA)75は、サービス・プロバイダとディジタル・テレビジョン(DVT)40のどちらにも直接には接続されないが、鍵管理を行い、公開鍵と秘密鍵の対を発行する。鍵の対は、必要な場合に後述のように使用することができる。
【0022】
本発明は、公開鍵暗号法(または、他の任意の暗号システム)を使用するための要件を無くす秘密分散の概念を採用して、オーディオ/ビジュアル(A/V)ストリームがサービス・プロバイダ(例えば、SP50〜56)から加入者のスマート・カード(例えば、スマート・カード(SC)42)に安全に送信されるようにする。
【0023】
本発明は、アジ・シャミル氏(Adi Shamir)によって元々開発された、「しきい値法(threshold scheme)」または「しきい値暗号法(threshold cryptography)」として知られる秘密分散法(secret sharing scheme)の適用を採用する(A.Shamir「How to share a secret」Communications of the ACM、Vol.22、No.11、612〜613ページ、1979年11月参照)。シャミル氏によって提案されるような(t,n)しきい値法は、秘密(情報)(secret)を再構成するために断片のうち少なくともt個(≦n)が必要になるような形式で、秘密をn個の断片(「シェア(share)」または「シャドウ(shadow)」と呼ばれることがある)に分割するものである。完全なしきい値法は、(t−1)個以下の断片(「シェア」または「シャドウ」)がわかっても、秘密に関する情報は何も提供されないしきい値法である。
【0024】
例えば、(3,4)しきい値法では、秘密は4つのシェアに分割されるが、秘密鍵を再構成するには3つのシェアしか必要でない。ただし2つのシェアでは秘密鍵を再構成することはできない。シャミル氏の(t,n)しきい値法では、より大きい値をtに選択して(t−1)個の秘密をスマート・カードに記憶すれば、暗号文攻撃に対するシステムの抵抗力は高まるものの、多項式を構成するための計算はより多くなる。
【0025】
このようなしきい値法は、対称鍵を回復する際のスマート・カードに対する計算要件を削減する。モジュラー(modular)べき乗計算を必要とするRSA(Rivest‐Shamir‐Adleman)復号と比較して、新しい鍵それぞれにつき単純な操作が行われるだけである(即ち、x=0における多項式の値が計算される)。加えて、セキュリティは完全である(即ち、(x1,y1)が分っても、秘密の値はすべて依然として等しい確率を有する)。
【0026】
本発明は、条件付きアクセス・システムで、シャミル氏の秘密分散の原理を利用して、スクランブル済み信号をスクランブル解除するための鍵の識別を秘匿する。具体的には、本発明者は、ユークリッド平面(Euclidean plane)中の2つ以上の点で形成される特定の線または曲線のY切片(Y−intercept)がスクランブル鍵を構成する方式を提案する。
【0027】
この方式の最も単純な実施形態では、受信側(例えば、スマート・カード)は、あらかじめシェアが記憶された状態で製造される(後述の通り、これはしばしば「予め組み込まれた(prepositioned)」分散秘密法と呼ばれる)。この記憶されたシェアを使用して、送信側で信号をスクランブルするための鍵を計算する。スクランブルされた信号を送信するとき、追加の、即ち、「アクティブ化(activating)」シェアも一緒に送信する。アクティブ化シェアを知っていても記憶済みシェアを知らなければ意味がないので、この方式では「アクティブ化」シェアを暗号化する必要はないことに留意されたい。受信側は、「アクティブ化」シェアを受け取ると、記憶済みシェアと「アクティブ化」シェアとによって形成される線のY切片を見つけることによって計算されるスクランブル解除鍵を使用して、スクランブル済み信号を再構成する。新しい鍵が必要になる度に、送信側で新しい「アクティブ化」シェアを選択し、それにより記憶済みシェアと「アクティブ化」シェアとによって形成される線のY切片を変更することができる。このようにして、有限数のスクランブル鍵を定義し、スマート・カードも受信側ハードウェアまたはソフトウェアも変更せずにスクランブル鍵を利用することができる。
【0028】
鍵の生成および配布のプロセスは、以下のステップを実施するためのプログラムを開発することによって自動化することができる。
(a)秘密Sを選択する。これはユークリッド平面のY軸に沿った値となる。
(b)点(0,S)と別の点(x0,y0)を通る1次多項式f(x)を構成する。
(c)x1におけるf(x)を計算する。x1はx0と等しくはなり得ない。
(d)Sで保護したコンテンツと共に(x1,y1)を配布する。
【0029】
前述のような方式は、秘密の一部が受信側に「予め組み込まれる」ので、しばしば「予め組み込まれた」分散秘密法と呼ばれる。上の例では、「予め組み込まれた」シェアは、受信側でスマート・カードに記憶されているシェアである。このような「予め組み込まれた」分散秘密法は、暗号学の分野で他者によって考察されている(例えば、G.J.Simmons「How to(really)share a secret」Advances in Cryptology−CRYPTO’88 Proceedings、Springer−Verlag、390〜448ページ、1990年、およびG.J.Simmons「Prepositioned shared secret and/or shared control schemes」Advances in Cryptology−EUROCRYPT’89 Proceedings、Springer−Verlag、436〜467ページ、1990年参照)。所定のシェアを予め組み込まれることにより、スクランブル鍵は、受信側のどんな回路も変更せずに比較的容易に変更することができ、「アクティブ化」シェアを変更する必要があるだけである。
【0030】
上記のアルゴリズムは、2つのシェア(即ち、ユークリッド平面上の線の2点)だけを有する秘密Sを利用した予め組み込まれた秘密分散法を概説したものであることに留意されたい。当然、より多くのシェア(点(point))を有するより複雑な他の秘密Sを開発してもよい。予め組み込まれた秘密分散法の重要な面は、シェアの幾つかが受信側に「予め組み込まれる」ことである。
【0031】
本発明は、特定位置(場所)(例えば、スマート・カード・メモリ)に秘密のシェアの少なくとも1つを記憶することを含んでいる。次いで、記憶したシェアを「アクティブ化」シェアと共に使用して、秘密を構成する。例えば(4,4)方式では、4つのシェアのうち3つを特定位置(例えば、スマート・カード)に記憶することが好ましい。次いで、秘密を得るための最後のシェア(本明細書では「アクティブ化」シェアとも呼ぶ)をこの位置に送信する。本発明では、秘密はシェア自体ではなく、シェアがユークリッド平面上の点として表されたときにシェアによって形成される線、または曲線(より高次の多項式の場合)のY切片であることに留意するのが重要である。
【0032】
図2および図3は共に、本発明の第1の例示的な実施形態を例示するものである。第1の例示的な実施形態では、2つのシェアを有する秘密を使用する。前述のように、各シェアはユークリッド平面上の点で定められる。具体的には、スマート・カード(SC)42に第1のシェア(または、データ点)が記憶される。第1のシェアは、ユークリッド平面上の単一の点(即ち、(x0,y0)の形式)と考えることができる。サービス・プロバイダ58は、対称鍵、例えば、データ暗号化規格(DES)鍵でスクランブルされたものとすることのできる信号(即ち、イベントまたは番組)を送信する。スクランブルされた信号に加えて、サービス・プロバイダ58は、第2の(即ち、「アクティブ化」)シェアも送信する。第2のシェアも同様に、同じユークリッド平面からの第2の単一の点(即ち、(x1,y1)の形式)とすることができる。
【0033】
スクランブルされたオーディオ/ビジュアル(A/V)信号、および第2の(「アクティブ化」)シェアは、ディジタル・テレビジョン(DVT)40によって受信され、処理のためにスマート・カード(SC)42に送られる。スマート・カード(SC)42は、第2の(「アクティブ化」)シェアを受け取り、記憶されている第1のシェアと受け取った第2のシェアの両方を使用して、対称鍵を再構成(または、回復)する。次いでスマート・カード(SC)42は、再構成された対称鍵を使用して、受信されたスクランブル済みオーディオ/ビジュアル(A/V)信号をスクランブル解除し、スクランブル解除済みオーディオ/ビジュアル(A/V)信号を生成する。このスクランブル解除済みオーディオ/ビジュアル(A/V)信号は、表示されるようディジタル・テレビジョン(DVT)40に提供される。
【0034】
対称鍵の回復は、第1および第2のシェアを利用して多項式を構成することによって達成される。即ち、構成された多項式のY切片が対称鍵である。例えば、(x0,y0)および(x1,y1)がある場合、対称鍵は、この所定の有限体中でSの値を計算することによって構成され、以下のようになる。
S=f(0)=y0−((y1−y0)/(x1−x0))×(x0)
【0035】
図3Aに、本発明の第1の例示的な実施形態のグラフを示す。このグラフは、例示的なシェア(x0,y0)および(x1,y1)と、これらによって形成される線を示しており、この線は特定の点でY軸と交差する(この点が鍵である)。例として、図3Aのプロットは、モジュラー算術ではなく実数を使用して得られる。
【0036】
第1の例示的な実施形態に関して上述したような手法では、複数のサービス・プロバイダが、記憶される第2のシェア(x0,y0)(即ち、「アクティブ化」シェア)を共用することができる。次いで、各サービス・プロバイダは、独自の第1のシェア(即ち、(x1,y1))を自由に選択することができる。同一のY切片(即ち、同一の対称鍵)を伴う多項式を構成する確率は低い。ただし、可能な第2のシェアの範囲は、各サービス・プロバイダが重ならない固有の範囲を有するように割り振ることもできる(図3B参照)。更に、各サービス・プロバイダが独自の第1のシェアを選択して、これをダウンロード前にスマート・カードの公開鍵を使用して暗号化することができることも、本発明の範囲内である。このシェアは、スマート・カードがその秘密鍵KSCpriを使用して回復することになる。更に、後で説明するが、イベントの各部分を異なる鍵スクランブル解除して異なる複数の第2のシェアを送っても、定める本システムの堅牢性を高めることができる。
【0037】
本発明の第1の例示的な実施形態による例を考察するために、点(x0,y0)=(17,15)、(x1,y1)=(5,10)、およびp=23と仮定する。(x0,y0)および(x1,y1)を通る1次多項式
f(x)=a1x+a0(mod23)
は、以下の式を解くことによって構成することができる。
a1×(17)+a0=15(mod23)
a1×(5)+a0=10(mod23)
解(a1,a0)=(10,6)は、以下の多項式をもたらす。
f(x)=10x+6(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=6(mod23)
【0038】
従って、上の例によれば、秘密の値は、即ち、スクランブル鍵の値は、6(mod23)になる。当然、この秘密の値は、(x1,y1)の値が変わる度に変化することになる。
【0039】
図4に、(第1の例示的な実施形態の2つのシェアとは対照的に)3つのシェアを利用する本発明の第2の例示的な実施形態による鍵回復方式を示す。第2の例示的な実施形態では、対称鍵の回復は、第1、第2、第3のシェア(例えば、(x0,y0)、(x1,y1)、(x2,y2))を利用して2次多項式(即ち、放物曲線)を構成することによって達成される。構成された2次多項式のY切片が、対称鍵である。
【0040】
本発明の第2の例示的な実施形態による例を考察するために、点(x0,y0)=(17,15)、(x1,y1)=(5,10)、(x2,y2)=(12,6)、およびp=23と仮定する。(x0,y0)、(x1,y1)、(x2,y2)を通る2次多項式
f(x)=a2x2+a1x+a0(mod23)
は、以下の式を解くことによって構成することができる。
a2×(172)+a1×(17)+a0=15(mod23)
a2×(122)+a1×(12)+a0=6(mod23)
a2×(52)+a1×(5)+a0=10(mod23)
解(a2,a1,a0)=(10,20,5)は、以下の多項式をもたらす。
f(x)=10x2+20x+5(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=5(mod23)
【0041】
図4に示すように、第1、第2、第3のシェアは、ユークリッド平面上の点として表すことができる。例として、図4のプロットはモジュラー算術ではなく実数を使用して得られる。
【0042】
図5に、4つのシェアを利用する本発明の第3の例示的な実施形態による鍵回復方式を示す。第3の例示的な実施形態では、対称鍵の回復は、第1、第2、第3、第4のシェア(例えば、(x0,y0)、(x1,y1)、(x2,y2)、(x3,y3))を利用して3次多項式(即ち、曲線)を構成することによって達成される。構成された3次多項式のY切片が対称鍵である。
【0043】
本発明の第3の例示的な実施形態による例を考察するために、点(x0,y0)=(17,15)、(x1,y1)=(5,10)、(x2,y2)=(12,6)、(x3,y3)=(3,12)、およびp=23と仮定する。(x0,y0)、(x1,y1)、(x2,y2)、(x3,y3)を通る3次多項式
f(x)=a2x3+a2x2+a1x+a0(mod23)
は、以下の式を解くことによって構成することができる。
a3×(173)+a2×(172)+a1×(17)+a0=15(mod23)
a3×(123)+a2×(122)+a1×(12)+a0=6(mod23)
a3×(53)+a2×(52)+a1×(5)+a0=10(mod23)
a3×(33)+a2×(32)+a1×(3)+a0=12(mod23)
解(a3,a2,a1,a0)=(18,19,0,22)は、以下の多項式をもたらす。
f(x)=18x3+19x2+0x+22(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=22(mod23)
【0044】
図5に示すように、第1、第2、第3、第4のシェアは、ユークリッド平面上の点として表すことができる。例として、図5のプロットはモジュラー算術ではなく実数を使用して得られる。
【0045】
前述のような複数のシェアを使用して、条件付きアクセス・システムのための好都合な鍵管理方式を構成することもできる。条件付きアクセス・システムのオペレータはしばしば、(1)個人(individual)、(2)グループ(group)、(3)地域(regional)の3レベルの鍵を定める。条件付きアクセス・システムの加入者の各スマート・カードごとに異なる数のシェアを記憶することにより、加入者にこれらの種々の許可レベルのうちの1つまたは複数を割り当てることができる。
【0046】
指定の個体数のスマート・カードを使用してシステムへのアクセスを制御する条件付きアクセス・システムを検討する。以下のように、異なる3つのカード・タイプを製造することができる。
(1)レベル1スマート・カード:放送「領域」中のすべてのスマート・カードに、1つの共通シェア(即ち、領域中のすべてのスマート・カードに共通のシェア)を割り当てる。
(2)レベル2スマート・カード:指定のグループ中のすべてのスマート・カードに、追加の共通シェア(即ち、指定のグループ中のすべてのスマート・カードに共通のもう1つのシェア)を割り当てる。
(3)レベル3スマート・カード:各スマート・カードに固有の追加シェアを割り当てる。
【0047】
前述のスマート・カードを「アクティブ化」シェアと共に使用して、ある種の番組をスクランブル解除することができる。レベル1スマート・カードは1つのシェアだけを含み、レベル2スマート・カードは2つのシェアを含み、レベル3スマート・カードは3つのシェアを含むので、各カードは異なるスクランブル解除鍵セット(set:組)を提供することになる。従って、放送領域内のすべてのスマート・カード(即ち、レベル1スマート・カード)は、一般の放送(例えば、基本的なテレビジョン・チャネル)を受信してスクランブル解除する機能を有するが、レベル2スマート・カードだけは、幾つかの追加の番組(例えば、HBO(Home Box Office)やショータイム(Showtime)など)を受信してスクランブル解除する機能を有し、レベル3スマート・カードだけは、その他に幾つかの追加の番組(例えば、ペイ・パー・ビュー(PPV:pay−per−view)映画など)を受信してスクランブル解除する機能を有する。レベル1〜3スマート・カード中に配置されるシェアは、秘密(例えば、スクランブル解除鍵)を計算するために「アクティブ化」シェアと共に使用することのできる「予め組み込まれた」情報を構成することに留意されたい。
【0048】
図6に、どのようにユークリッド平面を使用して複数シェア方式を構成するかを示す。図から分かるように、異なる3つの許可レベルは、3つのY切片に対応する(即ち、「地域鍵」、「グループ鍵」、「個人鍵」)。1次多項式(レベル1即ち、「地域」許可に対応する)は、「アクティブ化シェア」およびレベル1共通シェアを通る線を構成する。2次多項式(レベル2即ち、「グループ」許可に対応する)は、「アクティブ化」シェア、レベル1共通シェア、およびレベル2シェアを通る放物線を構成する。3次多項式(レベル3即ち、「個人」許可に対応する)は、「アクティブ化」シェア、レベル1共通シェア、レベル2シェア、およびレベル3シェアを通る曲線を構成する。この例では、異なる各鍵(即ち、個人、グループ、地域)を計算するために「アクティブ化」シェアを使用していることに留意されたい。例として、図6のプロットはモジュラー算術ではなく実数を使用して得られることを理解されたい。
【0049】
上の例を用いて、以下の表に、シェアと種々の許可レベルとの関係を記述する。
【表1】
前述の方法および装置について、マルチメディア・コンテンツを配信するための条件付きアクセス・システムのコンテキストで述べたが、本発明の原理は、情報の送信側と受信側の間で安全に通信するための方法および装置にも適用することができる。
【0051】
前述の方法および装置の幾つかの利点には、次のことが含まれる。
(a)対称鍵を回復する際の受信側に対する計算要件が削減される(即ち、各鍵につき単純な操作しか実施されない)。これは、モジュラーべき乗の計算を必要とするRSA復号とは対照的である。
【0052】
(b)セキュリティは「完全」である。言い換えれば、アクティブ化シェアがあっても、秘密の値はすべて依然として等しい確率を有する。より高次の多項式であるほど、アクティブ化シェアを得て秘密を決定する作業はより一層困難になる。
【0053】
(c)送信側と受信側の間で共有される「予め組み込まれた」情報の所定のセットに対し、異なる対称鍵を容易に導出して頻繁に使用することができる(即ち、「アクティブ化」シェアを変更することによって)。
【0054】
(d)各受信側に異なるシェアを割り当てることにより、異なる許可レベルを定めることができる。
【0055】
(e)セキュリティは、証明されていない数学的仮定に依拠しない(即ち、RSAのセキュリティは、整数因数分解の問題の困難さに基づく)。
【0056】
前述の方式は、対称鍵システムと公開鍵システムの利点を効果的に結合する。「予め組み込まれた」情報は、受信側の秘密鍵と考えることができる。構成される対称鍵は、権利の付与制御メッセージ(ECM)の一部として送信される公開情報によって決定される。スクランブル解除鍵は放送のソースでは生成されないので、これらを配布時に保護するための追加の暗号は必要ない。
【0057】
前述の方式の効果は、次のことを含めた様々な仕方で高めることができる。
【0058】
(1)分散秘密に応じてスクランブル鍵を定める。一般に、鍵は、秘密の値において予め定められた関数を評価することによって生成することができる。例えば、分散秘密(例えば、関数f(x)のY切片)が実数7であった場合、鍵は7の平方根として定めることができる。このようにすれば、たとえ秘密を発見してもスクランブル解除できるとは限らない。あるいは、多項式の係数が得られた後で他の任意の定義を用いることもできる。実際上は、関数はエントロピー保存特性を有することが必要な場合がある(即ち、エントロピー(秘密)=エントロピー[f(秘密)])。
【0059】
(2)多項式関数の次数(従って、秘密を発見するために必要なシェアの数)を、時間依存の秘密のシステム・パラメータにする。例えば、秘密を定める多項式f(x)の次数は、1日ごと、1時間ごとなどで変化する。最初に多項式の次数を決定しなければならないので、暗号解読はより要求の厳しい作業になる。
【0060】
(3)アクティブ化シェアを送信前にマスク(mask)する。次いで、スクランブル済みコンテンツと共に送信されたアクティブ化シェアを、受信側が予め定められたプロセスでマスク解除(unmask)することができる。マスキングの一例では、コンテンツをスクランブルするためにはアクティブ化シェアのハッシュ値(hash value)を使用するが、送信するのはそうでなくアクティブ化シェアである。次いで、受信側はハッシング(hashing)を実施して実際の値を決定する。
【0061】
(4)冗長なアクティブ化シェアを追加する。実際のアクティブ化シェアと共に送信された追加のアクティブ化シェアを、受信側が予め定められたプロセスでフィルタリングして除去する。
【0062】
以上に参照した改良を任意に組み合わせても、アクティブ化シェアの実際の値を送信時に秘匿するために役立ち、コンテンツに対する追加のセキュリティ・レベルを導入する。
【0063】
秘密を形成する際に1次、2次、3次の多項式を使用することのできる秘密分散法に関して本発明を述べたが、任意の次数の多項式(例えば、4次、5次など)も使用できることは当業者には理解されるであろう。実際、より高次の多項式であるほど、推定しなければならないシェアの数が増加するので、より低い多項式に勝る追加のセキュリティをもたらすという点で好ましい。更に、以上の記述では単一のスマート・カード(例えば、スマート・カード42)を使用するシステムに焦点を合わせているが、複数のスマート・カードを使用し、各スマート・カードに1つまたは複数のシェア値を記憶することもできることは、当業者には理解されるであろう。
【図面の簡単な説明】
【図1】
共通のセットトップ・ボックス(STB)を様々なサービス・プロバイダ(SP)にインタフェースするためのアーキテクチャの1つを示すブロック図である。
【図2】
本発明による、装置へのアクセスを管理するためのシステムのブロック図である。
【図3A】
本発明の第1の例示的な実施形態による、スクランブル鍵の決定を表すグラフである。
【図3B】
図3Aによる、各サービス・プロバイダ(SP)について重ならない固有の範囲を割り当てることを表すグラフである。
【図4】
本発明の第2の例示的な実施形態による、スクランブル鍵の決定を表すグラフである。
【図5】
本発明の第3の例示的な実施形態による、スクランブル鍵の決定を表すグラフである。
【図6】
本発明の第4の例示的な実施形態による、複数のスクランブル鍵の決定を表すグラフである。
【図7】
従来の条件付きアクセス・システム(CAS)を示すブロック図である。
【図8】
条件付きアクセス・システム(CAS)に関する従来の送信側アーキテクチャを示すブロック図である。
【図9】
条件付きアクセス・システム(CAS)に関する従来の受信側アーキテクチャを示すブロック図である。
Claims (19)
- 信号へのアクセスを管理する方法であって、
第1のシェアを表すデータをスマート・カード中で受け取ること、
前記第1のシェアと前記スマート・カードに記憶された少なくとも2つの追加シェアとを使用して対称スクランブル鍵を構成すること、および、
前記構成したスクランブル鍵を使用して信号をスクランブル解除して、スクランブル解除済み信号を生成することを含む方法。 - 前記第1、第2、第3のシェアが、ユークリッド平面上の点である、請求項1に記載の方法。
- サービス・プロバイダのイベントを表す信号へのアクセスを管理する方法であって、
対称スクランブル鍵を使用してスクランブルされた前記信号をスマート・カード中で受け取ること、
第1のシェアを表すデータを前記スマート・カード中で受け取り、前記第1のシェアと前記スマート・カードに記憶された第2、第3のシェアとを使用して前記スクランブル鍵を構成すること、および、
前記構成したスクランブル鍵を使用して前記信号をスクランブル解除して、スクランブル解除済み信号を生成することを含み、
前記スクランブル鍵を構成するステップが、前記第1、第2、第3のシェアによってユークリッド平面上に形成される曲線のY切片を計算することを含む方法。 - 前記第1、第2、第3のシェアがユークリッド平面上の点である、請求項3に記載の方法。
- 前記スマート・カードが、ISO7816カード規格とPCMCIAカード規格のうちの一方に従って表面に複数の端子ピンが配置されたカード本体を有する、請求項3に記載の方法。
- サービス・プロバイダと、スマート・カードが結合された装置との間のアクセスを管理するためのシステムであって、
対称スクランブル鍵を使用してスクランブルされた信号をスマート・カード中で受け取るステップと、
第1のシェアを表すデータを前記スマート・カード中で受け取り、前記第1のシェアと前記スマート・カードに記憶された第2、第3のシェアとを使用して前記スクランブル鍵を構成するステップと、
前記構成したスクランブル鍵を使用して前記信号をスクランブル解除して、スクランブル解除済み信号を生成するステップとを実施し、
前記スクランブル鍵を構成するステップが、前記第1、第2、第3のシェアによってユークリッド平面上に形成される曲線のY切片を計算することを含むシステム。 - 少なくとも1つのプログラム・サービス・プロバイダと、
前記少なくとも1つのプログラム・サービス・プロバイダから送られたスクランブル済み信号および第1のシェアを受け取るための少なくとも1つのスマート・カードを有するディジタル装置とを備える条件付きアクセス・システムであって、
前記少なくとも1つのスマート・カードが、前記スクランブル済み信号をスクランブル解除するために第2、第3のシェアを記憶しており、前記第2、第3のシェアが前記第1のシェアと共に使用されて前記スクランブル信号がスクランブル解除される条件付きアクセス・システム。 - 前記第1のシェアおよび前記少なくとも2つの追加シェアが、少なくとも2次多項式関数上の点である、請求項1に記載の方法。
- 前記少なくとも2つの追加シェアが少なくとも3つの追加シェアを含み、従って前記第1のシェアおよび前記少なくとも3つの追加シェアが、少なくとも3次多項式関数上の点である、請求項1に記載の方法。
- 前記スクランブル鍵が、前記第1のシェアおよび前記少なくとも2つの追加シェアから計算される秘密の値を含む、請求項1に記載の方法。
- 前記スクランブル鍵が、前記第1のシェアおよび前記少なくとも2つの追加シェアから計算される秘密の値の関数を含む、請求項1に記載の方法。
- 前記第1のシェアおよび前記少なくとも2つの追加シェアが多項式関数上の点を含む、請求項1に記載の方法。
- 前記多項式関数の次数が定期的に変更される、請求項12に記載の方法。
- 前記第1のシェアが前記スマート・カード中で受け取られる前に前記第1のシェアをマスクするステップを更に含む、請求項1に記載の方法。
- 前記第1のシェアのマスク済みバージョンから前記第1のシェアを計算するステップを更に含む、請求項14に記載の方法。
- 第1のシェアおよび少なくとも1つの冗長シェアを送るステップを更に含む、請求項1に記載の方法。
- 前記第1のシェアを前記スマート・カード中で受け取った後で、前記少なくとも1つの冗長シェアをフィルタリングして除去するステップを更に含む、請求項16に記載の方法。
- 条件付きアクセス・システムを運営する方法であって、
スクランブル済み信号および第1のシェアをサービス・プロバイダからディジタル装置に送るステップと、
前記スクランブル済み信号および前記第1のシェアを前記ディジタル装置中で受け取るステップと、
前記第1のシェアと前記ディジタル装置のスマート・カードに記憶された少なくとも2つの追加シェアとを使用してスクランブル鍵を構成するステップと、
前記構成したスクランブル鍵を使用して前記信号をスクランブル解除して、スクランブル解除済み信号を生成するステップとを含む方法。 - 送信機と、
前記送信機から送られたスクランブル済み信号および第1のシェアを受け取るための少なくとも1つのスマート・カードを有する受信機とを備える条件付きアクセス・システムであって、
前記少なくとも1つのスマート・カードが、前記スクランブル済み信号をスクランブル解除するために第2、第3のシェアを記憶しており、前記第2、第3のシェアが前記第1のシェアと共に使用されて前記スクランブル信号がスクランブル解除される条件付きアクセス・システム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US25378100P | 2000-11-29 | 2000-11-29 | |
| PCT/US2001/029790 WO2002045337A2 (en) | 2000-11-29 | 2001-09-24 | Threshold cryptography scheme for conditional access systems |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004515159A true JP2004515159A (ja) | 2004-05-20 |
Family
ID=22961673
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002546354A Withdrawn JP2004515159A (ja) | 2000-11-29 | 2001-09-24 | 条件付きアクセス・システムのためのしきい値暗号方法およびシステム |
| JP2002546357A Withdrawn JP2004515160A (ja) | 2000-11-29 | 2001-09-24 | メッセージ認証システムのためのしきい値暗号方法およびシステム |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002546357A Withdrawn JP2004515160A (ja) | 2000-11-29 | 2001-09-24 | メッセージ認証システムのためのしきい値暗号方法およびシステム |
Country Status (8)
| Country | Link |
|---|---|
| EP (2) | EP1348276A2 (ja) |
| JP (2) | JP2004515159A (ja) |
| KR (2) | KR20030094217A (ja) |
| CN (2) | CN1484901A (ja) |
| AU (2) | AU2001296294A1 (ja) |
| BR (2) | BR0115573A (ja) |
| MX (2) | MXPA03004599A (ja) |
| WO (2) | WO2002045340A2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008219178A (ja) * | 2007-02-28 | 2008-09-18 | Kddi Corp | 端末装置、データ管理装置およびコンピュータプログラム |
| JP2008271356A (ja) * | 2007-04-24 | 2008-11-06 | Kddi Corp | 秘密情報管理システム、秘密情報管理方法およびプログラム |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7594275B2 (en) * | 2003-10-14 | 2009-09-22 | Microsoft Corporation | Digital rights management system |
| US7620187B1 (en) | 2005-03-30 | 2009-11-17 | Rockwell Collins, Inc. | Method and apparatus for ad hoc cryptographic key transfer |
| CN103647641B (zh) * | 2005-06-08 | 2017-07-11 | 皇家飞利浦电子股份有限公司 | 识别传感器和最大化无线系统的可扩展性、弹性和性能的方法 |
| JP4776378B2 (ja) * | 2006-01-11 | 2011-09-21 | 日本電信電話株式会社 | 複数鍵認証端末装置及び複数鍵認証管理装置及び複数鍵認証システム及びプログラム |
| GB2451505A (en) | 2007-08-01 | 2009-02-04 | Iti Scotland Ltd | Key distribution in a network using key shares in a secret sharing scheme |
| US7958354B1 (en) | 2008-02-14 | 2011-06-07 | Rockwell Collins, Inc. | High-order knowledge sharing system to distribute secret data |
| JP2008167505A (ja) * | 2008-03-26 | 2008-07-17 | Dainippon Printing Co Ltd | 公開鍵暗号処理システムおよび方法 |
| JP5608509B2 (ja) * | 2010-10-21 | 2014-10-15 | Kddi株式会社 | 鍵管理システム、鍵管理方法及びコンピュータプログラム |
| US11170094B2 (en) | 2016-01-27 | 2021-11-09 | Secret Double Octopus Ltd. | System and method for securing a communication channel |
| WO2017130200A1 (en) * | 2016-01-27 | 2017-08-03 | Secret Double Octopus Ltd | System and method for securing a communication channel |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7610614B1 (en) * | 1999-02-17 | 2009-10-27 | Certco, Inc. | Cryptographic control and maintenance of organizational structure and functions |
-
2001
- 2001-09-24 WO PCT/US2001/029842 patent/WO2002045340A2/en active Search and Examination
- 2001-09-24 CN CNA01819723XA patent/CN1484901A/zh active Pending
- 2001-09-24 AU AU2001296294A patent/AU2001296294A1/en not_active Abandoned
- 2001-09-24 BR BR0115573-3A patent/BR0115573A/pt not_active IP Right Cessation
- 2001-09-24 EP EP01977153A patent/EP1348276A2/en not_active Withdrawn
- 2001-09-24 KR KR10-2003-7006413A patent/KR20030094217A/ko not_active Application Discontinuation
- 2001-09-24 JP JP2002546354A patent/JP2004515159A/ja not_active Withdrawn
- 2001-09-24 MX MXPA03004599A patent/MXPA03004599A/es active IP Right Grant
- 2001-09-24 BR BR0115575-0A patent/BR0115575A/pt not_active IP Right Cessation
- 2001-09-24 MX MXPA03004822A patent/MXPA03004822A/es active IP Right Grant
- 2001-09-24 CN CNA018196888A patent/CN1483259A/zh active Pending
- 2001-09-24 WO PCT/US2001/029790 patent/WO2002045337A2/en active Application Filing
- 2001-09-24 EP EP01981324A patent/EP1366594A2/en not_active Withdrawn
- 2001-09-24 AU AU2002212977A patent/AU2002212977A1/en not_active Abandoned
- 2001-09-24 KR KR10-2003-7006964A patent/KR20040010565A/ko not_active Application Discontinuation
- 2001-09-24 JP JP2002546357A patent/JP2004515160A/ja not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008219178A (ja) * | 2007-02-28 | 2008-09-18 | Kddi Corp | 端末装置、データ管理装置およびコンピュータプログラム |
| JP2008271356A (ja) * | 2007-04-24 | 2008-11-06 | Kddi Corp | 秘密情報管理システム、秘密情報管理方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004515160A (ja) | 2004-05-20 |
| MXPA03004822A (es) | 2003-09-25 |
| AU2001296294A1 (en) | 2002-06-11 |
| WO2002045337A2 (en) | 2002-06-06 |
| BR0115575A (pt) | 2003-07-29 |
| AU2002212977A1 (en) | 2002-06-11 |
| CN1484901A (zh) | 2004-03-24 |
| WO2002045340A3 (en) | 2002-10-17 |
| KR20040010565A (ko) | 2004-01-31 |
| WO2002045340A2 (en) | 2002-06-06 |
| WO2002045337A3 (en) | 2002-09-06 |
| KR20030094217A (ko) | 2003-12-11 |
| EP1348276A2 (en) | 2003-10-01 |
| CN1483259A (zh) | 2004-03-17 |
| EP1366594A2 (en) | 2003-12-03 |
| MXPA03004599A (es) | 2003-09-04 |
| BR0115573A (pt) | 2003-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100564832B1 (ko) | Nrss 인터페이스를 가로지르는 오디오/비디오 데이터를 보호하기 위한 방법 및 시스템 | |
| JP4080039B2 (ja) | セキュリティ要素からデコーダへ伝送される情報アイテムを保護する方法及びそのような方法を使用する保護システム | |
| EP0787391B1 (en) | Conditional access system | |
| KR100672983B1 (ko) | 암호화된 데이터 스트림 전송 방법 및 장치 | |
| EP2219374A1 (en) | Securely providing a control word from a smartcard to a conditional access module | |
| EP1491046A2 (en) | Selective multimedia data encryption | |
| US7224806B2 (en) | Threshold cryptography scheme for conditional access systems | |
| JP2004515159A (ja) | 条件付きアクセス・システムのためのしきい値暗号方法およびシステム | |
| US8401190B2 (en) | Portable security module pairing | |
| Eskicioglu | Key transport protocol based on secret sharing: an application to conditional access systems | |
| US9210137B2 (en) | Local digital network, methods for installing new devices and data broadcast and reception methods in such a network | |
| US20040047472A1 (en) | Threshold cryptography scheme for conditional access systems | |
| CA2318939C (en) | Conditional access system for digital receivers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060725 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060810 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20061115 |
|
| RD05 | Notification of revocation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7425 Effective date: 20080318 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080415 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080924 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20091008 |