KR20100133410A - 콘텐츠 분배 시스템에서 멀티미디어 콘텐츠 론더링과 재패키징을 방지하기 위한 방법 - Google Patents

Abstract

콘텐츠 분배 시스템에서 콘텐츠(M)를 분배하기 위한 방법이 개시되며, 이 방법은 콘텐츠 패키저(2)에서 암호화된 콘텐츠(C)를 생성하기 위해 콘텐츠 암호 키(K_c)를 이용해서 콘텐츠(M)를 암호화하는 단계; 상기 콘텐츠 암호 키(K_c)를 라이센싱 기관(4)에 송신하는 단계; 인가된 디바이스(6)의 소정의 집합을 위해 상기 콘텐츠 해독 키(K_c)의 암호를 포함하는 분배 키(K_d)를 상기 라이센싱 기관(4)으로부터 수신하는 단계; 상기 콘텐츠 암호 키(K_c)와, 상기 콘텐츠의 서명(Σ_cp)을 이용해서 상기 콘텐츠 암호 키(K_c)에 의해 보호되는 상기 콘텐츠간의 안전한 링크를 생성하는 단계와; 상기 콘텐츠의 서명과 함께 상기 암호화된 콘텐츠를 분배하는 단계를 포함한다. 상기 콘텐츠를 재생할 수 있는 디바이스에서 상기 언급된 방법에 따라 분배된 콘텐츠를 수신하기 위한 방법이 또한 개시되는데, 콘텐츠 서명(Σ_cp)은 상기 콘텐츠의 임의의 재생 이전에 검사된다.

Description

콘텐츠 분배 시스템에서 멀티미디어 콘텐츠 론더링과 재패키징을 방지하기 위한 방법{METHOD FOR PREVENTING LAUNDERING AND REPACKAGING OF MULTIMEDIA CONTENT IN CONTENT DISTRIBUTION SYSTEMS}

본 발명은 멀티미디어 콘텐츠의 안전한 분배를 가능케 하는 콘텐츠 분배 시스템의 분야에 대한 것이다. 본 발명은 더 구체적으로는 보호된 콘텐츠를 분배하기 위해 사용되는 대부분의 시스템에 적용할 수 있는, 본 발명자들에 의해 식별된, "론더링(laundering) 공격"과 "재패키징 공격"이라고 불리는 새로운 종류의 공격을 방지하기 위한 방법에 대한 것이다.

오늘날, 고 대역폭 접속과 효율적인 데이터 압축 기술들의 유효성 덕분에, 멀티미디어 콘텐츠는 고품질로 전송될 수 있다. 이러한 사실은 새로운 사업 및 분배 모형들을 창출한다. 불행히도, 이러한 사실은 또한 높은 수준의 저작권 침해를 발생시킨다. 예를 들면, 디지털 콘텐츠(음악, 비디오와 소프트웨어 게임)는 복제본을 다른 사용자들에게 이용가능하게 하는 사용자들, 또는 생산 과정 동안 내부자에 의해 저작권이 침해될 수 있다. 콘텐츠 보호 기술은 콘텐츠 저작권 침해에 대해 보호하기 위해 의도된다. 이러한 기술의 적절한 설계와 정확한 구현은, 저작권 침해에 의해 초래되는 손실이 막대할 수 있으므로, 연예 산업을 위해 매우 중요하다.

유력한 콘텐츠 보호 기술에 대한 조사는 이러한 기술의 많은 변종들이 존재한다는 것을 보여준다. 하지만, 각 콘텐츠 분배 시스템에서 공통적인 것은 기본적 보안 기능이다. 참으로, 물리적 지원에 기록되거나, 그렇지 않으면 전송되기 전에, 콘텐츠는 일반적으로 콘텐츠 제공자에 의해 암호화된다. 결과적으로, 불법 분배(즉, Kazaa 또는 E-mule과 같은 p2p 파일 공유 시스템에서 또는 DVD와 같은 물리적 매체상에서 콘텐츠의 비인가된 분배) 또는 불법 소비(즉, 불법적으로 구매된 콘텐츠의 비인가된 사용)전에 요구되는 단계는 콘텐츠를 보호된 형태로부터 추출하는 것이다. 대부분, 이것은 명문으로(in the clear) 콘텐츠를 복구하는 것을 의미한다. 기존의 콘텐츠 분배 시스템이 이러한 문제를 다루고 있지만, 이러한 시스템은 저작권 침해자 또는 최종 사용자가 이러한 시스템의 주요 목적에서 벗어나는 것을 방지하기 위해 거의 또는 전혀 아무 역할을 수행하지 못한다.

또 다른 형태의 저작권 침해는 비트 단위 복제 또는 디바이스 클로닝(cloning)을 수반하는 불법 분배의 형태이다. 많은 복제 방법들을 불능화시키는, 고유 하드웨어 ID에 기반을 둔 기술들이 존재한다(예를 들면, 인텔사, IBM사, 마쓰시타 전기산업사와 도시바사에 의한 "CPRM"이라고 불리는 "Content Protection for Recordable Media: Introduction and Common Cryptographic Elements", 2000. Revision 0.94, 또는 인텔사, IBM사, 마쓰시타 전기산업사, 도시바사, 마이크로소프트사, 소니사, 월트 디즈니사와 워너 브라더즈에 의한 "AACS"라고 불리는 "Advanced Access Content System(AACS): Introduction and Common Cryptographic Element's, 2006년 2월 17일, Revision 0.91에 개시됨). 통상적으로, 고유 ID는 하드웨어의 재질의 물리적인 구조, 즉, 일반적으로 사용자의 플레이어, 또는 멀티미디어 콘텐츠를 포함하는 물리적 지원 내에 인코딩되거나, 이러한 물리적 구조로부터 계산된다. 이러한 기술들은 이러한 ID가 하드웨어 재질의 기록가능하지 않은 영역에 위치된다는 공통점을 갖는다. 고유 하드웨어 ID는 멀티미디어 콘텐츠를 플레이어 또는 물리적 지원에 안전하게 바인딩(binding)하여, 이러한 콘텐츠가 대응되는 플레이어 또는 대응되는 지원을 사용할 경우에만 재생될 수 있게 한다. 예를 들면, Claudine Conrado, Franck Kamperman, Geert Jan Schrijen과 Willem Jonker에 의한 "Privacy in and identity-based DRM system"{Proceedings of the 14th International Workshop on Database and Expert Systems Applications(DEXA '03), 389-395 페이지, IEEE Computer Society, 2003에 발간됨}, 또는 "Paul Koster, Franck Kamperman, Peter Lenoir와 Koen Vrielink에 의한 "Identity-based DRM: Personal entertainment Domain"(Transactions on Data Hiding and Multimedia Security I, volume 4300 of Lecture Notes in Computer Science, 104-122 페이지, Springer-Verlag, 2006에 발간됨)에 개시된 다른 병행하는 기술들은 콘텐츠 분배자들에 의해 발행된 인가 증명서에 기초하고 있으며, 이러한 증명서는 고유 사용자 ID에 연결된다.

본 발명자들은 현재의 구현들이 아동 음란물(콘텐츠 론더링)과, 저작권 위반(콘텐츠 재패키징)을 포함하는 다양한 범죄에서 정보를 분배하기 위한 도구로서 이용될 수 있다는 것을 알게 되었다. 보안 체인(chain)이 전체적으로 다루어지지 않기 때문에 인가되지 않은 사용자들은 분배 시스템을 오용할 수 있다.

본 발명은 콘텐츠 분배 시스템에서 콘텐츠를 분배하기 위한 방법에 대한 것으로서, 여기서 콘텐츠 M은 콘텐츠 암호 키(K_c)를 복구하는 것을 가능케 하는 분배 키(K_d)와 함께 암호화된 형태{C=Enc(K_c, M)}로 플레이어에게 분배된다.

본 발명의 주 사상은 콘텐츠의 서명을 이용해서 키 자료(key material)와 콘텐츠 자체간의 안전한 링크를 생성하는 것이다.

보다 구체적으로, 본 발명의 발명은:

콘텐츠 패키저(packager)에서 암호화된 콘텐츠를 생성하기 위해 콘텐츠 암호 키(K_c)를 이용해서 콘텐츠를 암호화하는 단계;

상기 콘텐츠 암호 키(K_c)를 라이센싱 기관에 송신하는 단계;

인가된 디바이스의 소정의 집합을 위해 상기 콘텐츠 해독 키(K_c)의 암호를 포함하는 분배 키(K_d)를 상기 라이센싱 기관으로부터 수신하는 단계;

상기 콘텐츠 암호 키(K_c)와, 상기 콘텐츠의 서명을 이용해서 상기 콘텐츠 암호 키(K_c)에 의해 보호되는 상기 콘텐츠간의 안전한 링크를 생성하는 단계와;

상기 콘텐츠의 서명과 함께 상기 암호화된 콘텐츠를 분배하는 단계를

포함한다.

본 발명의 실시예에 따라, 상기 콘텐츠 암호 키(K_c)와, 상기 콘텐츠 암호 키(K_c)에 의해 보호되는 콘텐츠간의 안전한 링크를 생성하는 단계는:

상기 콘텐츠 패키저에서 콘텐츠 서명을 생성하기 위해 상기 콘텐츠 암호 키(K_c)와 상기 분배 키(K_d)와 함께 상기 콘텐츠를 서명하는 단계를 포함한다.

본 발명의 또 다른 실시예에 따라, 상기 콘텐츠 암호 키(K_c)와, 상기 콘텐츠 암호 키(K_c)에 의해 보호되는 콘텐츠간의 안전한 링크를 생성하는 단계는:

상기 콘텐츠 패키저에서 콘텐츠 서명을 생성하기 위해 상기 암호화된 콘텐츠를 서명하는 단계를 포함한다.

본 발명의 또 다른 실시예에 따라, 상기 콘텐츠 암호 키(K_c)와, 상기 콘텐츠 암호 키(K_c)에 의해 보호되는 콘텐츠간의 안전한 링크를 생성하는 단계는:

상기 콘텐츠 패키저에서 콘텐츠 서명을 생성하기 위해 상기 콘텐츠를 서명하는 단계를 포함하며, 상기 콘텐츠 서명은 상기 암호화된 콘텐츠를 생성하기 위해 상기 콘텐츠 암호 키를 계산하기 위해 사용된다.

이러한 특별한 실시예에서, 상기 콘텐츠 서명은 상기 암호화된 콘텐츠와 함께, 상기 분배 키(K_d)에서 암호화된 형태로 분배된다. 바람직하게 콘텐츠 서명은 콘텐츠 암호 키와 동일하다.

또 다른 특별한 실시예에 따라, 이 방법은:

상기 콘텐츠 패키저에서, 계층적 키들(K₁,..., K_i)의 집합을 생성하는 단계;

상기 콘텐츠 패키저에서, 계층적 키들의 상기 집합 내의 처음 키(K₁)를 이용해서 상기 콘텐츠 암호 키(K_c)를 암호화하는 단계;

계층적 키들의 상기 집합의 각 키(K_n)(n은 1과 i-1 사이의 값)를 계층적 키들의 상기 집합 내의 후속 키(K_{n +1})를 이용해서 암호화하는 단계;

상기 콘텐츠 암호 키(K_c) 대신에 계층적 키들의 상기 집합의 마지막 키(K_i)를 상기 라이센싱 기관에 송신하는 단계를 더 포함하며,

상기 라이센싱 기관으로부터 수신된 상기 분배 키(K_d)는 인가된 디바이스의 소정의 집합을 위해 상기 마지막 키(Ki)의 암호를 포함하고;

상기 콘텐츠 서명은 상기 콘텐츠 패키저에서 상기 콘텐츠 암호 키(K_c), 계층적 키들의 상기 집합의 모든 키들(K₁,...,K_i)과, 상기 분배 키(K_d)와 함께 상기 콘텐츠를 서명함으로써 생성된다.

또 다른 특정 실시예에 따라, 이 방법은:

콘텐츠 패키저에서 계층적 키들(K₁,..., K_i)의 집합을 생성하는 단계;

상기 콘텐츠 패키저에서, 계층적 키들의 상기 집합 내의 처음 키(K₁)를 이용해서 상기 콘텐츠 암호 키(K_c)를 암호화하는 단계;

계층적 키들의 상기 집합의 각 키(K_n)(n은 1과 i-1 사이의 값)를 계층적 키들의 상기 집합 내의 후속 키(K_{n +1})를 이용해서 암호화하는 단계;

상기 콘텐츠 암호 키(K_c) 대신에 계층적 키들의 상기 집합의 마지막 키(K_i)를 상기 라이센싱 기관에 송신하는 단계를 더 포함하며,

상기 라이센싱 기관으로부터 수신된 상기 분배 키(K_d)는 인가된 디바이스의 소정의 집합을 위해 상기 마지막 키(K_i)의 암호를 포함하고;

상기 콘텐츠 서명은 상기 콘텐츠 패키저에서, 계층적 키들의 집합 내의 처음 키(K₁)에 의한 상기 콘텐츠 암호 키(K_c)의 암호화와, 후속 키(K_{n +1})에 의한 각 키(K_n)의 암호화와 함께 상기 암호화된 콘텐츠를 서명함으로써 생성된다.

본 발명의 또 다른 실시예에 따라, 이 방법은:

콘텐츠 패키저에서 계층적 키들(K₁,..., K_i)의 집합을 생성하는 단계;

상기 콘텐츠 패키저에서, 계층적 키들의 상기 집합 내의 처음 키(K₁)를 이용해서 상기 콘텐츠 암호 키(K_c)를 암호화하는 단계;

계층적 키들의 상기 집합의 각 키(K_n)(n은 1과 i-1 사이의 값)를 계층적 키들의 상기 집합 내의 후속 키(K_{n +1})를 이용해서 암호화하는 단계;

상기 콘텐츠 암호 키(K_c) 대신에 계층적 키들의 상기 집합의 마지막 키(K_i)를 상기 라이센싱 기관에 송신하는 단계를 더 포함하며,

상기 라이센싱 기관으로부터 수신된 상기 분배 키(K_d)는 인가된 디바이스의 소정의 집합을 위해 상기 마지막 키(K_i)의 암호를 포함하고;

상기 처음 키(K₁)는 상기 콘텐츠 패키저에서, 상기 콘텐츠 암호 키(K_c)를 서명함으로써 생성되고, 계층적 키들의 상기 집합의 각 키(K_m)(m은 2와 i 사이의 값)는 상기 콘텐츠 패키저에서, 계층적 키들의 상기 집합 내의 선행 키(K_m-1)를 서명함으로써 생성된다.

앞에서 언급된 방법들 중 임의의 하나의 방법에서, 분배 키(K_d)를 상기 라이센싱 기관으로부터 수신하는 단계는 상기 라이센싱 기관에 의해 생성된 상기 분배 키의 서명을 수신하는 단계를 더 포함한다.

본 발명은 또한 콘텐츠를 재생할 수 있는 디바이스에서 앞에서 언급된 방법들 중 하나의 방법에 따라 분배된 콘텐츠를 수신하기 위한 방법에 대한 것으로서, 이 방법은:

상기 분배 키(K_d)와 함께 수신된 상기 콘텐츠 패키저의 검증 키를 이용해서, 상기 콘텐츠와 함께 분배된 상기 콘텐츠 서명을 검증하는 단계와;

만약 상기 검증이 성공하면, 상기 디바이스에 저장된 디바이스 해독 키를 이용해서 상기 콘텐츠 암호 키(K_c)를 상기 분배 키(K_d)로부터 획득하고, 상기 콘텐츠를 재생하기 위해 상기 획득된 콘텐츠 암호 키를 이용해서 상기 콘텐츠를 해독하는 단계를 포함한다.

특별한 실시예에서, 상기 방법은 상기 디바이스에 저장된 상기 라이센싱 기관의 검증 키를 이용해서 상기 분배 키(K_d)의 서명을 검증하는 단계와; 상기 분배 키의 서명의 상기 검증이 성공할 경우에만, 위에서 언급된 방법의 후속 단계들을 수행하는 단계를 더 포함한다.

본 발명은 콘텐츠 키와, 이 키가 보호하고 있는 콘텐츠 간의 안전한 링크의 생성을 가능케 하여 "콘텐츠 론더링"과 "콘텐츠 재패키징" 공격들 중 어느 것도 더 이상 동작하지 않게 하는 효과를 제공한다.

도 1은 콘텐츠 분배 시스템의 예를 묘사한 도면.
도 2는 본 발명의 상이한 실시예들을 묘사한 도면.

본 발명의 다양한 특징들과, 실시예들은 이제 아래의 설명과, 첨부된 도면들을 참조해서 더 잘 이해될 것이다.

일반적인 콘텐츠 분배 시스템이 도 1에 제시된다. 이 시스템은 다수의 변형과 최적화를 거칠 수 있다. 우리의 목적은 콘텐츠 소유자로부터 콘텐츠 플레이어에 이르기까지의 전체 과정에 수반된 주요한 구성 요소들과 관계자들을 소개하는 것이다. 제시된 아키텍처는 일반적이고, 다양한 실제적인 시스템들을 수용할 수 있다.

멀티미디어 콘텐츠의 생명 주기는 4개의 주요한 단계들로 나누어 질 수 있다:

콘텐츠 생성 및 편집: 이 단계는 콘텐츠를 최종 형태로 공개하기 이전에 제작 과정의 일부로서 영화 촬영 또는 게임 프로그래밍, 오디오 및 그래픽 효과, 애니메이션, 자막을 포함한다. 선택적으로, 워터마크가 콘텐츠를 추적하기 위해 삽입될 수 있다.

콘텐츠 패키징: 이 단계는 오용 또는 인가되지 않은 분배로부터 콘텐츠를 보호하기 위해 예를 들면, 암호화에 의한 콘텐츠의 보호를 포함한다.

콘텐츠 분배: 일단 콘텐츠가 준비되고 보호되었으면, 이 콘텐츠는 최종 사용자에게 전달되어야 한다. 이러한 전달은 위성, 인터넷 또는 물리적 매체(예, DVD 또는 카트리지)와 같은 다양한 기존 채널들을 통해 수행될 수 있다.

콘텐츠 소비: 이러한 단계는 최종 사용자가 자신의 플레이어상에서 콘텐츠에 액세스 하고 렌더링(render)하기 위한 매커니즘을 제공한다. 이러한 매커니즘은 일반적으로 셋톱 박스 내에서, 게임 콘솔 내에서 또는 사용자의 컴퓨터상의 전용 소프트웨어에 의해 수행된다.

우리는 본 발명의 범위 밖의 콘텐츠 생성 단계를 고려하지 않으며, 우리는 "멀티미디어 콘텐츠"를 콘텐츠 생성 단계의 출력이라고 부른다.

도 1에 도시된 통상적인 콘텐츠 분배 시스템에서, M은 멀티미디어 콘텐츠를 표시한다. 콘텐츠 분배자(1)는 고유 식별자 #를 M에 할당하고, M에 헤더(hdr)(예를 들면, 콘텐츠의 명칭, 식별자, 인코딩 포맷 등을 포함함)를 연관시킨다.

분배되기 전에, 멀티미디어 콘텐츠(M)는 "준비될", 또는 보다 정확한 표현으로는 보호될 필요가 있다. 이것은 콘텐츠 패키저(2)의 역할이다. 이 역할은 콘텐츠 키(Kc)를 이용해 M을 암호화하는 것을 수반한다. 일반화를 해치지 않으면서, 우리는 M이 암호화된 콘텐츠{C=Enc(K_c; M)}를 형성하기 위해 Enc()라고 표기된 대칭 암호화 알고리즘을 이용해서 암호화된다고 가정한다. 콘텐츠 키(K_c)는 바람직하게 무작위적으로 생성된다. 콘텐츠 패키저(2)는 키 자료를 검색하기 위해 헤더에 정보(예, URL)를 또한 추가할 수 있다. 보호된 콘텐츠와 대응 헤더, 즉, [hdr, C]는 그런 후에 콘텐츠 서버(3)상에 이용가능하게 된다.

콘텐츠를 해독하기 위해 필요한 키 자료는 키 서버(5)상에서 이용가능하게 된다. 키 자료의 관료 및 저장이 아래에서 설명된다. 하지만, 그전에, 우리는 라이센싱 기관(4)을 소개할 필요가 있다.

콘텐츠 패키저에 의해 패키징된 멀티미디어 콘텐츠는 도 1의 플레이어(6)와 같은 임의의 플레이어상에서 판독될 수 없다. 플레이어는 신뢰되는 제3자로서의 역할을 하는 라이센싱 기관(4)에 의해 규정되는 특정 요구사항들을 준수해야 한다. 라이센싱 기관(4)은 공중/사설 키들(vk_la, sk_la)의 매칭 쌍을 가지고 있다. 사설 키(sk_la)는 디지털 방식으로 서명하기 위해 일반적으로 이용되며, 반면에 공중 키(vk_la)는 라이센싱 기관에 의해 발행된 서명의 유효성을 검사하기 위해 바람직하게 이용된다.

만약 플레이어 제조사가 콘텐츠를 판독할 수 있는 플레이어를 생산 및 판매하기 원하면, 이 제조사는 라이센싱 기관(4)에 플레이어 키를 요청해야 한다. 만약 라이센싱 기관이 플레이어(6)가 컴플라이언트(compliant)하다고 평가하면, 플레이어 제조사는 하나 또는 여러 개의 플레이어 키들을 수신한다. 소정의 플레이어 키는 하나의 플레이어에 대해 고유하거나, 한 종류의 동일 플레이어들 중에서 공유될 수 있다. p_id가 플레이어 식별자를 나타낸다고 간주한다. 보다 상세하게, 각 p_id에 대해, 라이센싱 기관(4)은 암호화/해독 키들의 쌍, 즉, (ekp_id, dkp_id)을 생성하고, 플레이어 제조사에게 dkp_id를 제공한다. 해독 키(dkp_id)와 검증 키(vk_la)(즉, 라이센싱 기관의 공중 키)는 플레이어(6)와 같은 각 플레이어(p_id)에 저장된다.

라이센싱 기관(4)은 모든 컴플라이언트한 플레이어의 식별자들과, 그 대응하는 암호 키(p_id, ekp_id)를 포함하는 하나의 리스트(L)를 유지한다. 만약 나중에 플레이어가 더 이상 컴플라이언트하지 않게 되면(예를 들면, 보안 결함이 발생한 후), 라이센싱 기관은 플레이어를 무효화하기 위해(철회 매커니즘) 리스트(L)로부터 그 대응하는 기입사항을 제거한다.

멀티미디어 콘텐츠(M)의 암호화는 바람직하게 (적어도) 두 레벨의 과정이다. 먼저 콘텐츠 패키저(2)는 C를 형성하기 위해 무작위 콘텐츠 키(K_c)하에서 M을 암호화한다. 콘텐츠 키(K_c)는 "분배 키"(K_d)라고 불리는 키를 형성하기 위해 또한 암호화된다. 키의 이러한 제2 레벨의 키 보호된 동일한 콘텐츠를 상이한 플레이어들에게 분배하는 것을 가능케 한다.

Kc의 암호화는 다음과 같이 진행한다. 콘텐츠 패키저(2)는 멀티미디어 콘텐츠를 수신하도록 의도된 플레이어들의 식별자들의 집합(P={p_id})을 라이센싱 기관(4)에 송신한다. 그 다음에, 라이센싱 기관은 의도된 플레이어들의 집합이 유효한지, 즉, P의 각 pid가 리스트(L)에 포함되어 있는지를 검사한다. 만약 포함되어 있다면, 라이센싱 기관은 분배 키:

를 발행하는데, 이 분배키는 P 내의 각 p_id에 대해, 암호화 알고리즘 ε()을 사용해서 암호 키 ekp_id하에서 K_c를 암호화한 것이다.

멀티미디어 콘텐츠가 아주 많은 수의(예를 들면 수백만의) 플레이어들에게 의도되었을 때, K_d의 생성은 예를 들면, Amos Fiat와 Moni Naor에 의한 "Broadcast encryption"(D. R. Stinson, editor, Advances in Cryptology - CRYPTO'93 volume 773 of Lecture Notes in Computer Sciences, 480-491 페이지. Springer-Verlag, 1994에서 발간됨)과, Dalit Naor, Moni Naor와 Jeffrey B. Lotspiech에 의한 "Revocation and tracing schemes for stateless receivers"(Advanced in Cryptology - CRYPTO 2001, volume 2139 of Lecture Notes in Computer Science, 41-62 페이지, Springer-Verlag, 2001에서 발간됨)에 개시된 방송 암호화 기술들을 이용해서 최적화될 수 있다는 것이 주목되어야 한다. 하지만 설명을 간단하게 유지하기 위해, 우리는 K_d를 P내의 각 플레이어의 키 ekp_id하에서 K_c의 분리된 암호화라고 고려한다.

바람직하게, 라이센싱 기관은 서명 σ_la=S(sk_la; K_d)를 얻기 위해 사설 서명 키(sk_la)를 가지고 서명 알고리즘 S()를 이용해서 분배 키(K_d)를 또한 서명한다. K_d와 σ_la는 콘텐츠 패키저(2)에 송신된다. 콘텐츠 식별자(#)와 함께 이러한 두 개의 분량(k_d와 σ_la)은 키 서버(5)에 저장된다.

콘텐츠 소비(또는 재생)와 관련해서, 우리는 두 가지 유형의 분배 채널들을 고려한다:

전자 분배: 만약 사용자가 콘텐츠 서버(3)로부터 {헤더(hdr)와 식별자(#)를 사용해) 검색된 보호된 콘텐츠(C)를 재생하기 원하면, 사용자는 먼저 콘텐츠를 특정 소매상인으로부터 구매할 필요가 있다. 이러한 구매 프로세스는 본 발명의 범위 밖이고, 전자 지불 시스템, 스마트 카드에 저장된 사전 지불된 "전자 화폐" 등을 이용해서 수행될 수 있다. 이러한 구매는 사용자가 구매를 액세스할 권한을 가지고 있다는 것을 증명하는, 사용자에 의해 획득된 "토큰"에 의해 실현된다. 그런 후에, 이러한 토큰은 분배 키(K_d)와 서명(σ_la)을 얻기 위해 키 서버(5)에 송신된다. 이런 키와 서명 자료는 라이센스{DRM(Digital Rights Management) 시스템에서 사용되는 용어} 또는 ECM(Entitlement Control Message)(조건적 액세스 시스템에서 사용되는 용어)내에 포함되어 송신될 수 있다.

물리적 매체: 이 경우에, 콘텐츠 서버(3)와 키 서버(5)간에는 아무런 구별이 없다. 보호된 콘텐츠(C)와 이에 대응하는 키 자료(K_d와 σ_la) 모두는 물리적 매체(예, DVD 또는 카트리지)상에 저장된다. 사용자는 물리적 매체의 복제본을 단순히 구매한다.

멀티미디어 콘텐츠가 어떻게 [C, K_d, σ_la]로부터 재생되는지를 설명할 여지가 있다. 플레이어(6)는 두 개의 구성요소들: 콘텐츠 해독 유닛(CDU)과 탬퍼-내성(tamper-resistant) 모듈(TRM)을 포함한다. 탬퍼-내성 모듈(TRM)은 플레이어 해독 키(dkp_id)와 라이센싱 기관의 공중 키(vk_la)를 내장한다. 입력 [K_d, σ_la]에 대해, 탬퍼-내성 모듈은 먼저 검증 키(vk_la)를 이용해서 서명(σla)을 검증한다. 만약 검증이 성공하면, 이 모듈은 해독 키(dkp_id)와 해독 알고리즘{D()}를 이용해서 콘텐츠 키를 K_c=D(dkp_id; K_d)로서 계산한다. 그런 후에, K_c와 C로부터, 콘텐츠 해독 유닛(CDU)은 플레이어(6)에 의해 재생되는 (암호화되지 않은) 멀티미디어 콘텐츠 M=Enc^-1(K_c; C)를 복구한다.

도 1에 개시된 콘텐츠 분배 시스템은 상이한 종류들의 공격을 받을 수 있다. 우리는 이하 두 부류들의 공격을 제시하는데, 여기서 공격자는 필요한 키 자료를 제공하도록 가정된 라이센싱 기관과 상호작용하지 않고 보호된 멀티미디어 콘텐츠를 생성할 수 있다. 이러한 공격은 정품 콘텐츠와 구별될 수 없는 (저작권이 침해된) 멀티미디어 콘텐츠의 불법 분배를 초래한다.

이하에서, 우리는 3개의 범주들의 플레이어들을 구별한다:

컴플라이언트한 플레이어: 시스템 규격을 준수하고, 라이센싱 기관으로부터 획득된 키들을 가지며, 라이센싱 기관에 의해 유지되는 리스트(L)에 존재하는 플레이어 식별자(p_id)를 가지는, 디바이스 또는 소프트웨어.

준수하지만, 컴플라이언트하지 않는 플레이어: 키{라이센싱 기관으로부터 획득되거나 되지 않은 해독 키(dkp_id)와 검증 키(vk_la)}를 가지고 있으나, 리스트(L)에 존재하지 않는, 시스템 규격을 준수하는 디바이스 또는 소프트웨어. 이런 범주의 플레이들은 규격을 준수하지만, 라이센싱 기관의 검증 과정을 통과하지 못한{이 경우, 대응하는 암호 키들(ekp_id)은 리스트(L)에 존재하지 않았음) 구현들, 또는 철회된(revoked) 디바이스들을{철회된 경우에는, 대응되는 암호 키들(ekp_id)이 리스트(L)로부터 제거되었음} 포함한다.

준수하지 않은 플레이어: 시스템 규격을 준수하지 않고, 따라서 보호된 멀티미디어 콘텐츠를 재생할 수 없는 디바이스 또는 소프트웨어.

명확성을 위해, 이하에서는, 컴플라이언트하거나 그렇지 않든지 간에 보호된 콘텐츠를 재생할 수 있는 플레이어는 준수하는 플레이어로서 지칭될 것이다. 이것은 처음 두 개의 범주들을 포함한다.

우리는 또한 효율적인 철회 매커니즘이 실시되고 있다는 것을 가정하는데, 이러한 가정은 오용된(compromised) 플레이어가 리스트(L)로부터 즉시 제거되는 것을 가정하기 때문이다. 더 나아가, 제1 접근법으로서, 우리는 준수하는 플레이어가 암호화되지 않은(clear) 콘텐츠를 취급할 수 없다는 것을 가정한다(즉, 이러한 플레이어는 보호된 멀티미디어 콘텐츠만을 소비할 수 있다). 이러한 접근법은 예를 들면, 다음의 경우들에 대응한다:

안전한 p2p(Peer-to-Peer) 콘텐츠 분배 시스템: 이러한 시스템의 목적은 보호된 멀티미디어 콘텐츠를 분배하기 위해서만 이용될 것이다. 따라서, 암호화되지 않은 콘텐츠의 분배를 불능화하는 것은 이러한 시스템에서 중요한 특징이다.

게임 콘솔: 대부분의 플랫폼에서, 이러한 콘솔상에서 보호되지 않은 게임을 플레이하는 것은 가능하지 않다.

"콘텐츠 론더링"과 "콘텐츠 재패키징"이라고 지칭되는 두 부류들의 공격이 이제 설명될 것이다. 이러한 두 부류들의 공격 모두에 대해서, 우리는 공격자가 하나 또는 여러 개의 콘텐츠 키들(K_c)을 안다고 가정한다.

콘텐츠 론더링 공격은 암호화되지 않은 콘텐츠를 보호된 콘텐츠로 변환하여, 이러한 콘텐츠가 준수하는(conformant) 플레이어상에 재생될 수 있게 하는 것이다. 콘텐츠 소스는 지정되지 않지만, 일반적으로 예를 들면 p2p 네트워크와 같은 불법 소스이다. 여기에 몇 가지 예시적인 시나리오들이 있다:

저작권 침해자들은 자신들의 제공물에 대한 관심을 증대시키기 때문에 이러한 공격을 수행하길 원할 수 있다. 예를 들면, 마피아 조직은 세관 통제를 통과하기 위해 저작권 침해된 자신들의 DVD들을 "숨길" 수 있다. DVD상의 암호화되지 않은 콘텐츠는 보호된 콘텐츠에 반해 수상하게 보일 수 있다.

안전한 p2p 분배 시스템에서, 콘텐츠는 암호화되고, 그 소스는 중앙집중화된다. 론더링 공격을 사용해서, 안전한 p2p는 범죄자 또는 테러리스트에 의해 강탈될 수 있다. 이러한 공격은 범죄자 또는 테러리스트가 예를 들면, 아동 음란물 또는 테러리스트 메시지에 대한 비디오를 소개하고 교환하는 것을 가능하게 한다. 이런 경우에, 이러한 시스템에 의해 이용되는 암호화는 수상한 비디오를 숨길 것이기 때문에, 검출은 실패할 가능성이 매우 높을 것이다.

자기 자신의 비디오 게임을 {특정 회사가 소유한(proprietary) 게임 플랫폼상에서} 개발한 사용자는, 이러한 게임이 더 나은 사용자 경험을 제공하기 때문에, 컴플라이언트한 디바이스(게임 콘솔)상에서 이러한 게임을 플레이하길 원할 수 있다.

사용자는 합법적인 카트리지상에서는 발견될 수 없는, 게임들의 광범위한 선택을 (심지어 낮은 가격으로) 발견하기 때문에, 인터넷으로부터 다운로딩되는 다른 게임들을 즐기기를 원할 수 있다. 이러한 게임은 예를 들면, 오래된 콘솔 세대들의 게임들일 수 있다.

공격 자체가 이제 설명된다.

우리는 저작권 침해자가 론더링하길 원하는 저작권 침해된 콘텐츠(P)의 복제본을 얻는 것을 가정한다. 이러한 저작권 침해된 콘텐츠(P)는 통상적으로 암호화되지 않는다. 우리의 초기 가정에 따라서, 저작권 침해자도 또한 적어도 하나의 콘텐츠 키(K_c)와 정품 콘텐츠에 대응하는 연관된 hdr과 #를 안다.

K_c를 이용해서 저작권 침해자는 P를 암호화하고, 론더링된 콘텐츠 L=Enc(K_c; P)를 얻는다. 그런 후에, 저작권 침해자는 헤더(hdr)와 식별자(#)와 함께 L을 분배한다.

이러한 론더링된 콘텐츠(L)를 수신하는 준수하는 플레이어를 가지고 있는 사용자는, 헤더(hdr) 덕분에, 키 서버(5)로부터 대응하는 분배 키(K_d)와 이를 동반하는 서명(σ_la)을 얻을 수 있다. 서명 검증이 정확하면, 플레이어는 K_c를 얻기 위해 K_d를 해독할 것이고, 따라서 플레이어는 P를 얻기 위해 L을 해독할 것이다. 플레이어가 론더링된 콘텐츠를 해독하고 있다는 것을 검출할 실제적으로 어떠한 수단도 플레이어를 위한 존재하지 않는다.

저작권 침해자가 특정 콘텐츠 키(K_c)와 연관된 hdr과 #을 알자마자 이러한 공격이 수행될 수 있다는 것이 주목되어야 한다. 그런 후에, 동일한 콘텐츠 키(K_c)는 임의의 저작권 침해된 콘텐츠에 적용될 수 있다.

콘텐츠 재패키징 공격은 공격자가 상이한 콘텐츠 키를 이용해서 멀티미디어 콘텐츠를 재암호화하게 한다. 재패키징된 멀티미디어 콘텐츠는 재분배되고, 준수하는 플레이어에 의해 재생될 수 있다.

이런 유형의 공격은 저작권 침해자가 원래 정품보다 최종 사용자에게 보다 매력적인 제공을 제안하게 한다. 다음은 공격이 저작권 침해자에게 유용할 수 있는 몇몇 예시적인 시나리오들이다:

지리적 방송 관제(black-out) 시나리오에서: 특정 스포츠 게임에 대해, 경기가 플레이되는 지역은 사람들이 이 경기로 가게 장려하기 위해 방송 관제된다. 이 공격을 수행해서, 저작권 침해자는 두절된 지역으로부터 사람들에게 이 경기를 제안할 수 있다.

다수의 디바이스가 철회된 상황에서, 저작권 침해자는 철회된 디바이스가 콘텐츠를 또한 액세스할 수 있게 허용하기 위해 철회된 디바이스의 키를 이용해서 이 콘텐츠를 재패키징할 수 있다.

저작권 침해자는 지역 설정(zoning) 제어를 회피하기 위해 게임 또는 영화를 재패키징할 수 있어서, 저작권 침해자는 여러 달 동안 기다려야 하는 지리적 지역에서 콘텐츠를 이용가능하게 할 수 있을 것이다.

저작권 침해자는 동일한 지원부(support) 상에서 다수의 콘텐츠 단편들(pieces)을 재패키징할 수 있다. 저작권 침해자는 자신이 암호화되지 않은 형태로 복구하는, 예를 들면, 3개의 보호된 영화들을 구매한다. 그런 후에, 그는 자신이 매력적인 가격으로 수백만의 사용자들에게 판매할 수 있도록, 이러한 콘텐츠를 동일한 지원부상에서 재패키징한다. 그는 예를 들면, 3개의 영화들을 하나의 영화만큼의 가격으로 판매할 수 있다.

공격을 수행하기 위해, 저작권 침해자는 자신이 재분배하길 원하는, 콘텐츠(M_a)를 합법적인 분배 채널로부터 획득한다. M_a는 암호화된 형태(C_a)로 이러한 합법적인 분배 채널을 통해 분배되고, 헤더(hdr_a)와 식별자(#_a)와 함께 분배된다.

그런 후에, 공격자는 대응하는 콘텐츠 키(K_ca)를 복구해야 한다. K_ca를 이용해서, 그는 암호화되지 않은 콘텐츠(M_a)를 복구할 수 있다. 그런 후에, 그가 특정 다른 콘텐츠 키(K_c)와 대응하는 헤더(hdr)와 식별자(#)를 알고 있다는 가정을 이용해서, 그는 재패키징된 콘텐츠{R=Enc(K_c; M_a)}를 얻기 위해 K_c를 사용해서 M_a를 재암호화한다. 그런 후에, 그는 론더링 공격으로서, hdr과 #과 함께 R을 재분배할 수 있다.

준수하는 플레이는 론더링된 콘텐츠의 경우와 동일한 방식으로 R로부터 암호화되지 않은 콘텐츠(M_a)를 복구할 수 있을 것이다.

론더링 공격을 방지하기 위해 가능한 대응책은 암호화되지 않은 콘텐츠(M)를 분배하기 전에 서명하는 것일 것이다. 콘텐츠를 (예를 들면, 내부자, 즉, 멀티미디어 콘텐츠를 소유하는 회사 내에서 일하는 개인으로부터) 그 서명과 함께 얻지 못한다면, 저작권 침해자는 콘텐츠의 서명을 처리할 수 없다. 결과적으로, "아날로그 구멍"으로부터 획득된 저작권 침해된 임의의 콘텐츠(예, 캠코더로 촬영된 콘텐츠)는 서명을 수반하고 있지 않기 때문에 론더링될 수 없다.

하지만, 이러한 공격은 서명된 콘텐츠에 대해 완벽하게 동작하기 때문에, 이러한 대응책은 재패키징 공격의 경우에서는 비효율적이다. 공격자가 콘텐츠를 합법적인 분배 채널로부터 얻기 때문에, 그는 콘텐츠와 함께 콘텐츠 서명을 얻는다. 따라서, 그는 콘텐츠를 재패키징하고 재분배할 수 있다.

이 두 개의 공격들(콘텐츠 론더링과 콘텐츠 재패키징)은 저작권 침해자가 적어도 하나의 콘텐츠 암호 키(K_c)를 복구할 수 있었다는 것을 가정한다. 재패키징 공격은 재패키징할 각 새로운 콘텐츠를 위해 이러한 키를 복구하는 것을 심지어 요구한다. 하지만, 이러한 상황은 이하에서 제시된 이유들 때문에 실제적이지 않다.

심지어 탬퍼-내성 모듈이 기반구조(infrastructure) 키들과 데이터를 보호하기 위해 각 플레이어에서 이용될지라도, 이러한 모듈은 메모리와 계산상의 능력의 관점 모두에서 제한된 용량 때문에, 콘텐츠 자체를 조작하기 위해 이용될 수 없다. 그런 후에, 콘텐츠 암호 키는 표준 메모리에서 조작되고, 따라서 구현 공격에 보다 민감하다.

방송 시스템에서(예, 방송 텔레비전, 또는 DVD-롬상의 분배), 소정의 콘텐츠는 많은 플레이어들에 분배될지라도, 동일한 콘텐츠 암호화(K_c)하에서 암호화된다. 이런 경우에, 키는 보다 노출되고, "덜 안전한" 구현을 갖는 하나의 플레이어를 처리하는 것은 K_c를 복구하기 위해 충분하다. 다른 수단은 또한 예를 들면, 내부자, 즉, 멀티미디어 콘텐츠를 소유하는 회사 내에서 일하는 사람들로부터 사회 공학(social engineering) 기술들을 이용해서 콘텐츠 암호 키를 얻기 위해 이용될 수 있다.

위에서 설명된 공격에서, 공격자는 단지 콘텐츠 암호 키(K_c)로의 액세스만을 얻을 수 있다는 것이 가정된다. 이러한 가정은 K_c를 갖는 것은 론더링 공격과 재패키징 공격들을 위해 충분하다는 것이므로 의도적으로 약하게 선택된다. 가장 강력한 공격자는 콘텐츠 암호 키의 재계산을 여하튼 간에 허용하는 계층 구조의 높은 레벨에서 키들(예, 플레이어 키)을 획득할 것이다.

마지막으로, 공격 가능성은 Kc를 보호하기 위해 이용되는 암호화 알고리즘에 의존하지 않는다. 보다 특별하게, 만약 콘텐츠 암호 키(K_c)가 비대칭적으로 암호화되면, 공격은 여전히 동작할 것이다. 저작권 침해자는 하나의 K_c를 여전히 얻어야 할 것이고, 대응하는 식별자와 분배 키(K_d)를 복제할 것이다.

이러한 공격을 수행하기 위한 능력은 암호화된 멀티미디어 데이터와 키 자료 사이에 어떠한 안전한 링크도 존재하지 않는다는 사실에 기인하며, 임의의 키(K_c)는 콘텐츠의 소정의 부분을 암호화하기 위해 이용될 수 있다. 그러므로, 콘텐츠 키는 저작권 침해된 콘텐츠, 또는 의도되지 않았고 초기 콘텐츠 저작권을 위반할 수 있는 콘텐츠에 적용될 수 있다.

우리는 여기서 이런 문제점을 개선하기 위한 상이한 경로를 제안하는데, 이 모든 제안된 해결법들은 콘텐츠 키와, 이 키가 보호하고 있는 콘텐츠 간의 안전한 링크의 생성에 기반을 두고 있다. 만약 이러한 안전한 링크가 존재하면, 상기 언급된 공격들 중 어느 것도 더 이상 동작하지 않을 것이다.

모든 해결책들은 많은 분량의 데이터를 서명하는 것을 의미한다. 결과적으로, 부가물(appendix)을 갖는 서명 방식이 바람직하게 이용된다. 이하에서, σ(또는 Σ)는 서명만을 표시할 것이다. 독자는 효율적인 서명 방법을 위해 다음 저작물 "How to sign digital streams"(Rosario Gennaro and Pankaj Rohatgi, Information and Computation, 165(1):110-116, earlier version in Proc. of Crypto'97)을 참고할 수 있다.

론더링과 재패키징 공격에 반격하기 위한 제안되는 첫 번째 해결책은 콘텐츠 보호에 수반되는 모든 키들과 함께 멀티미디어 콘텐츠를 서명하는 것이다. 즉, 키 계층 구조 내의 모든 키들과 함께 연결된(concatenated) 콘텐츠를 서명하는 것이다.

도 2는 제안된 해결책이 구현되는, 도 1의 콘텐츠 분배 시스템을 보여 준다(이 도면에서 동일한 요소들은 동일한 참조 번호들을 가짐).

본 발명의 제1 실시예에 따라, 콘텐츠(M)를 수신할 때, 콘텐츠 패키저(2)는 K_c를 생성하고, 플레이어들의 소정의 집합(P={p_id})에 대해 분배 키(K_d)를 송신할 것을 라이센싱 기관에게 요청한다. K_d를 수신하면, 콘텐츠 패키저(2)는

를 얻기 위해 K_d를 콘텐츠(M)와 함께 서명하고, 콘텐츠 키(K_c)를 사설 키(sk_cp)와 서명한다. 그런 후에, Σ_cp는 보조 데이터[#, K_d, vk_cp, σ_la]와 함께 키 서버(5)상에서 이용가능하게 되는데, #는 콘텐츠를 식별자를 표시하고, K_d는 분배 키를 표시하며, vk_cp는 라이센싱 기관에 의해 생성된 분배 키의 서명을 표시하는 서명 Σ_cp와 σ_la를 검증하기 위한 검증 키로서 이용되는, 콘텐츠 패키저의 공중 키를 표시한다. 서명 σ_la는:

- 콘텐츠 패키저의 검증 키(vk_cp){도 2에

라고 도시됨},

- 콘텐츠 패키저의 ID; 또는

- 라이센싱 기관의 ID에 연결된 분배 키(K_d)를 서명함으로써 또한 계산될 수 있다.

재생 시간에, 집합 P={p_id} 내의 각 플레이어는 키 자료(K_d, σ_la)와 함께 수신된 검증 키(vk_cp)를 이용해서 서명 Σ_cp을 검증한다. 서명 σ_la는 검증 키(vk_la)를 이용해서 플레이어에서 또한 검증된다. 만약 서명들 Σ_cp와 σ_la, 둘 다의 검증이 성공할 경우에만, 멀티미디어 콘텐츠가 재생된다.

안전한 바인딩(binding)은, K_d가 다른 하나의 콘텐츠(M')를 분배하기 위해 사용될 수 없고(론더링이 대처됨), 콘텐츠[#', hdr', C']에 연관된 다른 하나의 키 자료(K_d')는 M을 분배하기 위해 이용될 수 없기 때문에(재패키징이 대처됨) 효과적이다.

상기 예시에서, 단지 두 단계들의 암호화만이 존재하기 때문에, 두 개의 키들(K_c와 K_d)이 서명(Σ_cp)내의 콘텐츠(M)에 추가되었다. 만약 (이전에 언급되고, CPRM 또는 AACS라고 알려진 시스템들에서와 같이) 매우 가능성 높게 더 많은 암호화 단계들이 수반되면, 콘텐츠 패키저(2)에서 서명을 생성하기 전에, 키 계층 내의 모든 키들이 콘텐츠에 추가되어야 한다. 예를 들면, 만약 플레이어들의 소정의 집합 P={p_id}에 대해, 콘텐츠 암호 키(K_c) 자신이 키(K₁)에 의해 암호화되고, 키(K₁)는 K₂에 의해 암호화되며, 이렇게 계속 암호화가 진행되어 K_i 자신까지 분배 키(K_d)에서 암호화되면, 콘텐츠 서명(Σ_cp)은 다음과 같이 계산된다:

이러한 다중-레벨 암호화 시나리오에서, 바람직한 실시예는 콘텐츠 M과, K_i까지 키 계층구조의 나머지 키들을 암호화하기 위해 이용되는 콘텐츠 키(K_c)를 생성하는 콘텐츠 패키저(2)를 갖는 것이다. 다른 말로 하면, 다음과 같은 단계들이 콘텐츠 패키저(2)에서 수행된다: K_c의 생성, C=Enc(K_c, M)를 얻기 위해 K_c에 의한 콘텐츠(M)의 암호화, K₁의 생성, E(K₁; K_c)를 얻기 위해 K₁에 의한 K_c의 암호화, K₂의 생성, K₂에 의한 K₁의 암호화, 이런 방식으로 K_i의 생성까지 단계들이 수행된다. 암호화 알고리즘{E()}은 Enc()와 동일하거나 상이할 수 있다는 것이 주목되어야 한다. 그런 후에, 키 계층의 마지막 키(K_i)는 라이센싱 기관으로부터 플레이어들의 소정의 집합 P={p_id}에 대해 분배 키(K_d) 내에서 K_i의 암호화를 얻기 위해 콘텐츠 패키저(2)에 의해 라이센싱 기관(4)에 송신된다.

콘텐츠가 분배될 때, 콘텐츠 패키저(2)는 콘텐츠 서버(3)에 다음과 같은 콘텐츠를:

송신하고, 보조 데이터[#, K_d, vk_cp, σ_la]와 서명(Σ_cp)과 함께 라이센싱 기관으로부터 획득된 키 자료가 키 서버(5)에 송신된다.

론더링과 재패키징 공격들을 대처하기 위해 두 번째로 제안된 해결책은 멀티미디어 콘텐츠의 암호화되지 않은 버전상에서 하나의 서명을 이용하는 대신에, 암호화된 버전상에서 서명을 이용하는 것이다. 이러한 실시예에 따라, M을 수신할 때 콘텐츠 패키저(2)는 먼저 C=Enc(K_c; M)를 생성하기 위해 콘텐츠 암호 키(K_c)를 이용해서 M을 암호화하고,

를 획득하기 위해 자신의 사설 키(sk_cp)를 사용해 C를 서명한다. 그 다음에, 라이센싱 기관(4)은 콘텐츠를 플레이어들의 소정의 집합 P={p_id}에 분배하기 위해 Σ_cp와 함께 키 서버(5)에 송신되는, 키 자료[#, K_d, vk_cp, σ_la]를 발행한다.

재생 시간에, 플레이어의 콘텐츠 해독 유닛(content decryption unit: CDU)(도 2에는 미도시)은 검증 키(vk_cp)를 사용해서 서명(Σ_cp)을 검증한다. 서명(σ_la)은 검증 키(vk_cp)를 사용해서 플레이어에서 또한 검증된다. 만약 두 서명 모두가 유효하다면, 콘텐츠 해독 유닛은 재생되는 멀티미디어 콘텐츠를 복구한다. 만약 콘텐츠 서명(Σ_cp)이 유효하지 않다면, 멀티미디어 콘텐츠는 재생되지 않는다. 그러면, 두 개의 시나리오들이 가능하다: K_c가 인증되지 않았거나, 콘텐츠(M)가 변경되었다. 만약 K_c가 인증되지 않았지만, K_d는 인증되었다면{만약 서명(σ_la)의 검증이 성공적이라면, K_d는 인증되었다고 고려됨}, K_d는 다른 하나의 보호된 멀티미디어 콘텐츠[hdr', C']로부터 검증되었고, 이러한 새로운 콘텐츠(M)를 보호하기 위해 이용되었다. 만약 콘텐츠가 "인증되지" 않았다면, 우리는 론더링 공격에 직면하고 있다. 결과적으로, 이러한 해결책을 이용하는 바인딩은 효과적이다.

다시, 만약 2개보다 많은 암호화 레벨들이 존재하면, 서명은 반드시 전체 키 계층구조에 적용되어야 한다. 예를 들면, 만약 콘텐츠 암호 키(K_c) 자체는 키(K₁)에 의해 암호화되고, 키(K₁)는 K₂에 의해 암호화되고 이런 방식으로 플레이어들의 소정의 집합 P={p_id}에 대해 K_i 자신이 분배 키(K_d)에서 암호화될 때까지 계속되면, 콘텐츠 서명(Σ_cp)은 다음과 같이 계산된다:

Kd가 라이센싱 기관의 서명(σ_la)에 의해 이미 인증되었기 때문에, 서명(Σ_cp)내에 E(K_d;K_i) 또는

를 포함할 필요가 없다.

론더링과 재패키징 공격들을 대처하기 위한 세 번째 해결책은 무작위로 K_c를 생성하는 대신에, 이러한 생성이 멀티미디어 콘텐츠의 서명에 의존하게 하는 것이다. M을 수신할 때, 콘텐츠 패키지는 먼저 사설 키(sk_cp)를 이용해 M을 서명한다

. 그 다음에, 콘텐츠 패키저는 K_c를 콘텐츠 서명 값(K_c=Σ_cp)으로 선택하고, 이 서명 값 하에서 M을 암호화한다{C=Enc(K_c; M)}. 실제적으로, 특히 만약 K_c와 Σ_cp가 동일한 개수의 비트들을 이용해 코딩되지 않으면, 콘텐츠 키(K_c)는 서명{Σ_cp=Sign(sk_cp; M)}과 반드시 동일하지는 않지만, 만약 서명이 256비트로 계산되면, K_c는 예를 들면, Σ_cp의 처음 128개의 비트들을 취함으로써 Σ_cp으로부터 계산될 수 있다.

분배된 보호된 멀티미디어 콘텐츠는 [hdr, C, #, K_d, vk_cp, σ_la]가 된다. 서명(Σ_cp)이 K_d 내부에 암호화된 형태로 이미 존재하기 때문에 이러한 서명을 이용가능하게 할 필요가 없다. 콘텐츠가 물리적 매체(예를 들면, 광학 디스크)상에 분배될 때, 모든 요소들[hdr, C, #, K_d, vk_cp, σ_la]이 이러한 매체 자체상에 저장된다는 것을 주목해야 한다. 대조적으로, 콘텐츠가 방송(예를 들면, 위성, 지상파 등) 또는 광대역(예를 들면, 인터넷) 분배 네트워크들을 통해 분배될 때, 콘텐츠와 그 헤더([hdr, C])는 콘텐츠 서버(3)로부터 플레이어에게로 송신되는 한편으로, 플레이어가 콘텐츠를 액세스하기 위해 인가될 때 키 자료([#, K_d, vk_cp, σ_la])는 키 서버(5)로부터 플레이어에 송신된다.

플레이어가 보호된 콘텐츠를 수신할 때, 플레이어는 vk_la를 이용해서 서명(σ_la)을 검증한다. 만약 σ_la가 유효하다면, 플레이어는 해독 키(dkp_id)를 이용해서 K_c=D(dkp_id; K_d)로서 콘텐츠 키를 계산한다. 그런 후에, K_c와 C로부터, 플레이어는 멀티미디어 콘텐츠를 복구한다{M=Enc^-1(K_c; C)}. 마지막으로, 플레이어는 콘텐츠(M)와 검증 키(vk_cp)를 이용해서 콘텐츠 서명{Σ_cp(=K_c)}을 검증한다. 검증이 성공할 때에만, 멀티미디어 콘텐츠가 재생된다.

이전처럼, 최종 인증이 실패하면, 론더링 또는 재패키징 공격이 발생했을 가능성이 매우 높다. 만약 두 개보다 많은 암호화 레벨들이 존재하면, 서명은 전체 키 계층구조에 적용되어야 한다. 예를 들면, 만약 콘텐츠 암호 키(K_c) 자신이 키(K₁)에 의해 암호화되고, 키(K₁)는 K₂에 의해 암호화되고, 플레이어들의 소정의 집합(P={p_id})에 대해 K_i 자신이 분배 키(K_d)에서 암호화될 때까지 이런 과정이 계속되면,

K₁은 K₁=Sign(sk_cp;K_c)로서 계산되고, 계층 구조의 각 키(K_n)(n은 2와 i 사이의 값)는 K_n=Sign(sk_cp; K_{n -1})로서 계산된다.

제안된 해결책들 덕분에, 론더링 공격들 또는 재패키징 공격들에 대한 현재 콘텐츠 분배 시스템들의 취약성은 회피될 수 있다.

비록 위의 설명이 서명들을 생성하고 검증하기 위해 비대칭 암호학{라이센싱 기관의 공중/사설 키들(vk_la, sk_la)과, 콘텐츠 패키저의 vk_cp, sk_cp} 을 참조해서 제시되었지만, 본 발명의 다른 실시예들이 구상될 수 있다. 예를 들면, 만약 대칭 암호학이 사용되면, 라이센싱 기관은 서명들 대신에 MAC(Message Authentication Codes: 메시지 인증 코드)를 생성하고 검증하기 위해 이용되는 단지 하나의 비밀키(vk_la=sk_la)만을 가질 것이다.

유사하게, 각 컴플라이언트한 플레이어를 위해 라이센싱 기관에 의해 생성된 암호화/해독 키들(ekp_id, dkp_id)의 쌍은 콘텐츠 키를 암호화하고 해독하기 위해 이용되는 단일 비밀키(ekp_id=dkp_id)에 의해 대안적인 실시예에서 대체될 수 있다. 이런 경우에, 이러한 비밀 키는 플레이어의 안전한 메모리내에 저장되어야 한다.

이러한 두 경우들 모두에서, MAC를 생성하기 위해 이용되는 키들의 전송은 예를 들면, 콘텐츠 암호 키(K_c)와 동일한 분배 방법을 이용해서 안전하게 될 것인데, 즉, 키들은 암호화된 방식으로 전송될 것이다.

1: 분배자 2: 콘텐츠 패키저
3: 콘텐츠 서버 4: 라이센싱 기관
5: 키 서버 6: 플레이어

Claims (11)

1. 콘텐츠 분배 시스템에서 콘텐츠(M)를 분배하기 위한 방법으로서
   콘텐츠 패키저(2)에서 암호화된 콘텐츠(C)를 생성하기 위해 콘텐츠 암호 키(K_c)를 이용해서 콘텐츠(M)를 암호화하는 단계;
   상기 콘텐츠 암호 키(K_c)를 라이센싱 기관(4)에 송신하는 단계;
   인가된 디바이스(6)의 소정의 집합을 위해 상기 콘텐츠 해독 키(K_c)의 암호를 포함하는 분배 키(K_d)를 상기 라이센싱 기관(4)으로부터 수신하는 단계;
   상기 콘텐츠 암호 키(K_c)와, 상기 콘텐츠의 서명(Σ_cp)을 이용해서 상기 콘텐츠 암호 키(K_c)에 의해 보호되는 상기 콘텐츠간의 안전한 링크를 생성하는 단계와;
   상기 콘텐츠의 서명과 함께 상기 암호화된 콘텐츠를 분배하는 단계를
   포함하는, 콘텐츠(M)를 분배하기 위한 방법.
2. 제1항에 있어서, 상기 콘텐츠 암호 키(K_c)와, 상기 콘텐츠 암호 키(K_c)에 의해 보호되는 콘텐츠간의 안전한 링크를 생성하는 단계는:
   상기 콘텐츠 패키저(2)에서 콘텐츠 서명

   

   을 생성하기 위해 상기 콘텐츠 암호 키(K_c)와 상기 분배 키(K_d)와 함께 상기 콘텐츠(M)를 서명하는 단계를 포함하는, 콘텐츠(M)를 분배하기 위한 방법.
3. 제1항에 있어서, 상기 콘텐츠 암호 키(K_c)와, 상기 콘텐츠 암호 키(K_c)에 의해 보호되는 콘텐츠간의 안전한 링크를 생성하는 단계는:
   상기 콘텐츠 패키저(2)에서 콘텐츠 서명

   

   을 생성하기 위해 상기 암호화된 콘텐츠(C)를 서명하는 단계를 포함하는, 콘텐츠(M)를 분배하기 위한 방법.
4. 제1항에 있어서, 상기 콘텐츠 암호 키(K_c)와, 상기 콘텐츠 암호 키(K_c)에 의해 보호되는 콘텐츠간의 안전한 링크를 생성하는 단계는:
   상기 콘텐츠 패키저(2)에서 콘텐츠 서명

   

   을 생성하기 위해 상기 콘텐츠(M)를 서명하는 단계를 포함하며, 상기 콘텐츠 서명은 상기 암호화된 콘텐츠(C)를 생성하기 위해 상기 콘텐츠 암호 키(K_c)를 계산하기 위해 사용되는, 콘텐츠(M)를 분배하기 위한 방법.
5. 제4항에 있어서, 상기 콘텐츠 서명은 상기 암호화된 콘텐츠와 함께, 상기 분배 키(K_d)에서 암호화된 형태로 분배되는, 콘텐츠(M)를 분배하기 위한 방법.
6. 제2항에 있어서, 상기 방법은:
   상기 콘텐츠 패키저(2)에서, 계층적 키들(K₁,..., K_i)의 집합을 생성하는 단계;
   상기 콘텐츠 패키저(2)에서, 계층적 키들의 상기 집합 내의 처음 키(K₁)를 이용해서 상기 콘텐츠 암호 키(K_c)를 암호화하는 단계;
   계층적 키들의 상기 집합의 각 키(K_n)(n은 1과 i-1 사이의 값)를 계층적 키들의 상기 집합 내의 후속 키(K_{n +1})를 이용해서 암호화하는 단계;
   상기 콘텐츠 암호 키(K_c) 대신에 계층적 키들의 상기 집합의 마지막 키(K_i)를 상기 라이센싱 기관(4)에 송신하는 단계를
   더 포함하며,
   상기 라이센싱 기관(4)으로부터 수신된 상기 분배 키(K_d)는 인가된 디바이스의 소정의 집합을 위해 상기 마지막 키(Ki)의 암호를 포함하고;
   상기 콘텐츠 서명(Σ_cp)은 상기 콘텐츠 패키저(2)에서 상기 콘텐츠 암호 키(K_c), 계층적 키들의 상기 집합의 모든 키들(K₁,...,K_i)과, 상기 분배 키(K_d)와 함께 상기 콘텐츠(M)를 서명함으로써 생성되는

   

   , 콘텐츠(M)를 분배하기 위한 방법.
7. 제3항에 있어서, 상기 방법은:
   콘텐츠 패키저(2)에서 계층적 키들(K₁,..., K_i)의 집합을 생성하는 단계;
   상기 콘텐츠 패키저(2)에서, 계층적 키들의 상기 집합 내의 처음 키(K1)를 이용해서 상기 콘텐츠 암호 키(K_c)를 암호화하는 단계;
   계층적 키들의 상기 집합의 각 키(K_n)(n은 1과 i-1 사이의 값)를 계층적 키들의 상기 집합 내의 후속 키(K_{n +1})를 이용해서 암호화하는 단계;
   상기 콘텐츠 암호 키(K_c) 대신에 계층적 키들의 상기 집합의 마지막 키(K_i)를 상기 라이센싱 기관(4)에 송신하는 단계를
   더 포함하며,
   상기 라이센싱 기관(4)으로부터 수신된 상기 분배 키(K_d)는 인가된 디바이스의 소정의 집합을 위해 상기 마지막 키(K_i)의 암호를 포함하고;
   상기 콘텐츠 서명(Σ_cp)은 상기 콘텐츠 패키저(2)에서, 계층적 키들의 집합 내의 처음 키(K₁)에 의한 상기 콘텐츠 암호 키(K_c)의 암호화와, 후속 키(K_{n +1})에 의한 각 키(K_n)의 암호화와 함께 상기 암호화된 콘텐츠(C)를 서명함으로써 생성되는

   

   

   , 콘텐츠(M)를 분배하기 위한 방법.
8. 제4항에 있어서, 상기 방법은:
   콘텐츠 패키저(2)에서 계층적 키들(K₁,..., K_i)의 집합을 생성하는 단계;
   상기 콘텐츠 패키저(2)에서, 계층적 키들의 상기 집합 내의 처음 키(K₁)를 이용해서 상기 콘텐츠 암호 키(K_c)를 암호화하는 단계;
   계층적 키들의 상기 집합의 각 키(K_n)(n은 1과 i-1 사이의 값)를 계층적 키들의 상기 집합 내의 후속 키(K_{n +1})를 이용해서 암호화하는 단계;
   상기 콘텐츠 암호 키(K_c) 대신에 계층적 키들의 상기 집합의 마지막 키(K_i)를 상기 라이센싱 기관(4)에 송신하는 단계를
   더 포함하며,
   상기 라이센싱 기관(4)으로부터 수신된 상기 분배 키(K_d)는 인가된 디바이스의 소정의 집합을 위해 상기 마지막 키(K_i)의 암호를 포함하고;
   상기 처음 키(K₁)는 상기 콘텐츠 패키저(2)에서, 상기 콘텐츠 암호 키(K_c)를 서명함으로써 생성되고, 계층적 키들의 상기 집합의 각 키(K_m)(m은 2와 i 사이의 값)는 상기 콘텐츠 패키저(2)에서, 계층적 키들의 상기 집합 내의 선행 키(K_{m -1})를 서명함으로써 생성되는, 콘텐츠(M)를 분배하기 위한 방법.
9. 제1항 내지 제8항 중 어느 한 항에 있어서, 분배 키(K_d)를 상기 라이센싱 기관(4)으로부터 수신하는 단계는 상기 라이센싱 기관(4)에 의해 생성된 상기 분배 키의 서명(σ_la)을 수신하는 단계를 더 포함하는, 콘텐츠(M)를 분배하기 위한 방법.
10. 콘텐츠를 재생할 수 있는 디바이스(6)에서 제9항에 기재된 방법에 따라 분배된 콘텐츠를 수신하기 위한 방법으로서,
    상기 분배 키(K_d)와 함께 수신된 상기 콘텐츠 패키저(2)의 검증 키(vk_cp)를 이용해서, 상기 콘텐츠와 함께 분배된 상기 콘텐츠 서명(Σ_cp)을 검증하는 단계와;
    만약 상기 검증이 성공하면, 상기 디바이스(6)에 저장된 디바이스 해독 키(dkp_id)를 이용해서 상기 콘텐츠 암호 키(K_c)를 상기 분배 키(K_d)로부터 획득하고, 상기 콘텐츠를 재생하기 위해 상기 획득된 콘텐츠 암호 키를 이용해서 상기 콘텐츠를 해독하는 단계를
    포함하는, 분배된 콘텐츠를 수신하기 위한 방법.
11. 제10항에 있어서,
    상기 디바이스(6)에 저장된 상기 라이센싱 기관(4)의 검증 키(vk_la)를 이용해서 상기 분배 키(K_d)의 서명(σ_la)을 검증하는 단계와;
    상기 분배 키의 서명의 상기 검증이 성공할 경우에만, 제10항에 기재된 방법의 후속 단계들을 수행하는 단계를
    더 포함하는, 분배된 콘텐츠를 수신하기 위한 방법.

Images