信息处理设备和方法以及数据处理设备和方法

专利名称：信息处理设备和方法以及数据处理设备和方法
技术领域：
本发明涉及信息处理设备和方法以及数据处理设备和方 法，尤其涉及一种保护存储于存储介质中的数据的持有者的权 利的技术。
背景技术：
计算机和网络的快速增长和发展促进了例如文本数据、图像数据以及音频数据等各种信,l的数字化和这些数字数据的发 布。然而，通过例如因特网的广域网来发布数字数据充满了被 第三方在传送路径上偷听或窃听的危险。不仅传送路径上的数 据，而且存储在存储介质中的数字数据也是不安全的，这是因 为没有访问权的未授权的第三方可能复制并非法使用并泄漏该 数据。为了保证安全的传送路径或在便携式存储介质中安全地 存储数据，通常对数字数据加密。数字数据很容易复制、编辑和修改。复制、编辑和修改的 容易对于用户是有利的，但是同时也引入了保护数字数据不被 第三方非法篡改的必要性。存在添加反篡改数据来检验存在/不存在对数字数据的篡改的数字签名和消息认证码(MAC)。数 字签名不仅有篡改检验功能，而且还具有防止欺骗和拒认 (repudiation)的功能。下面将说明实现上述机制的密码术。哈希(hash)函数哈希函数与数字签名处理一起使用，以缩短对要签名的有 损压缩数据添加签名的处理时间。也就是，哈希函数具有处理 任意长度的数据M以生成具有预定长度的输出数据的功能。将
哈希函数的输出H(M)称为普通可读文本(plaintext)数据M的哈希值。尤其是，按照计算量，给定数据M的单向哈希函数很难计 算满足H(M，)=H(M)的普通可读文本数据M，。单向哈希函数的 例子是MD2(消息摘要2， Message Digest 2)、 MD5(消息摘要5) 以及SHA- l(安全哈希算法l， Secure Hash Algorithm)。公共密钥密码系统作为使用两个不同密钥的公共密钥密码系统的特有特征， 由其中一个密钥加密的数据只能由另 一个密钥来解密。这两个密钥其中的一个被称为公共密钥，并可以对公众开放。另一个 密钥称为私有密钥，只由被授权的人持有。根据该特有特征， 可以对公众开放一个密钥(公共密钥)。因此，可以容易地传送 该密钥，因为不必将其秘密地送给通信对方。公共密钥密码系 统的例子是RSA加密和ElGamal加密。 数字签名使用公共密钥加密系统的数字签名的例子是RSA签名、 DSA签名以及Sch,r签名。 消息i人iiE码数字签名是一种通过使用公共密钥加密系统来保证文档 创建者的权利的消息认证系统。另 一种使用通用密钥密码系统 或哈希函数来代替公共密钥密码系统的消息认证系统被称为消 息认证码(MAC)。MAC与数字签名很大的不同在于发送方(MAC值创建者) 和接收方(认证者)共享保密数据(在消息认证码用密钥哈希法 (HMAC, keyed - hashing for message authentication code)中的 密钥K)。因为计算量小于数字签名，所以它是有利的。然而， 因为认证者也持有该保密数据，所以第三方就不可能证明MAC 的创建者，即发送方或接收方。使用例如SHA- l的标准哈希函 数的MAC^皮用于安全性协议，例如网络中的IPSec(IP安全性协 议，IP Security protocol)或SSL(安全套接层，Secure Socket Layer)。
数字照相机中的图像数据保护
使用上述密码系统或数字签名能够保护数字照相机拍摄 的图像数据不受例如偷听、窃听、篡改和欺骗的威胁。
在日本特开第2005 - 18914号公报中公开的技术的目的是 保护便携式存储介质中记录的数据并实现复制保护和数据加 密。更具体地说，可以由计算机激活的数据记录程序和数据再 现程序被预先写入便携式存储介质中。也就是，存在一种对便 携式存储介质给予版权保护功能的技术。
包括图像数据的内容不总是通过使用便携式存储介质来发 布。在另一种方法中，内容被通过网络自由发布。在日本特开 第2004 - 118327号公报中公开的技术使得指定的服务器管理员 来控制对例如通过网络获取的内容的利用。也就是，假定要使 用该内容的装置连接到网络，则存在一种版权保护技术，其使 得装置与服务器通信并获得使用内容的许可。
通常，作为内容创建者的摄影者可以自由地删除或传输他/ 她使用例如数字照相机所拍摄的图像数据。然而，摄影者不总 是内容的持有者。例如，内容持有者可以是发行公司，摄影者 是与该公司签订合同的摄影师。在这种情况下，摄影者可能错误地或有意地将拍摄的图像数据传送给第三方(合同方之外)。 为了防止这种情况，有必要建立一种机制，用来使不同于摄影 者的实体(内容持有者)保护图像数据的版权。
在日本特开第2005 - 18914号公报中公开的技术通过使用 特殊存储介质来加密图像数据。这种方法在两点上是不利的 特殊存储介质的购买费用和现有存储介质的不可使用性。曰本特开第2004 - 118327号公报中公开的技术需要网络连接来使用 内容。这对于内容使用者来说不总是方便的。为了设置远处地点的照相机中的4又利保护，必须将照相机 从该地点带到内容持有者所在的地方。为了避免这种情况，需 要这样一种机制该机制将远处地点的照相机的存储卡注册为 能够进行权利保护的介质，从而保护拍摄后存储在存储卡中的 图像数据。发明内容在一方面， 一种数据处理设备包括输入部，用于输入用 于生成加密密钥的信息；密钥生成器，用于根据用于生成加密 密钥的信息生成加密密钥；认证器，用于从存储介质中获取加 密密钥检验数据，并基于检验数据来认证由密钥生成器生成的 加密密钥的有效性；数据生成器，用于生成要存储在存储介质 中的数据；加密部，用于通过4吏用由i人i正器i人i正为有效的加密 密钥来加密由数据生成器生成的数据；以及控制器，用于将由 加密部加密了的数据存储在存储介质中。在另一方面， 一种信息处理设备包括密钥生成器，用于 生成当外部装置将数据存储在存储介质中时使用的加密密钥； 检验数据生成器，用于生成认证加密密钥的有效性的检验数据， 并将检验数据存储在存储介质中；以及解密部，用于通过使用 加密密钥来解密存储于存储介质中的数据。在另一方面，一种数据处理方法包括以下步骤输入用于 生成加密密钥的信息；根据用于生成加密密钥的信息生成加密 密钥；从存储介质中获取加密密钥检验数据，并基于检验数据 来认证生成的加密密钥的有效性；生成要存储在存储介质中的
数据；通过使用在所述认证中认证为有效的加密密钥来加密所 生成的数据；以及将加密的数据存储在存储介质中。在另一方面，一种信息处理方法包括以下步骤生成当外 部装置将数据存储在存储介质中时使用的加密密钥；生成认证 加密密钥的有效性的检验数据，并将检验数据存储在存储介质 中；以及通过使用加密密钥来解密存储于存储介质中的数据。根据这些方面，即使当内容持有者与内容创建者不一致的 时候，也有可能保护内容持有者的权利，而不需要结合版权保 护机制的特殊存储介质。根据下面参考附图对典型实施例的说明，本发明的进一步特征将变得明显。


图l是示出根据实施例的信息处理系统的框图； 图2是示出图l中所示信息处理系统使用便携式存储介质的例子的框图；图3是示出解密部的结构的框图；图4是示出加密部的结构的框图；图5是用于示意性说明五个阶段的序列图；图6是示出计算机中的预设置过程的流程图；图7是示出计算机中的另 一 个预设置过程的流程图；图8是示出数字照相机中的预处理过程的流程图；图9是示出计算机中的加密图像数据解密过程的流程图；图IO是示出包括附加处理的图9中所示处理的流程图，所述附加处理为当接收到加密密钥检验数据以及加密的图像数据时，检验加密密钥检验数据与加密的图像数据之间的关联是否正确的处理； 图ll是用于说明为每个图像数据生成会话密钥的加密处理的流程图；图12是用于说明通过为每个图像数据生成会话密钥来加密 缩略像的处理的流程图；图13是用于说明浏览数字照相机中的加密缩略像的解 密方法的流程图。
具体实施方式
下面将参考附图详细说明根据本发明实施例的信息处理设 备和方法以及数据处理设备和方法。下面将说明这样的例子 内容持有者请求数字照相机使用者进行拍照。在这种情况下， 摄影者，即数字照相机使用者，对应于内容创建者。然而，在 本发明中，内容创建者不限于数字照相机使用者(摄影者)。任 何根据来自内容持有者的请求来创建内容的人对应于本发明的 内容创建者，而与创建的内容的类型无关。第一实施例图l是示出根据本实施例的信息处理系统的框图，所述信 息处理系统包括计算机101和数字照相机102。 计算机的设置由微处理器形成的CPU 105通过将包括在存储器107中的 RAM(随机存取存储器)用作工作存储器，来执行存储于硬盘106 和包括在存储器107中的ROM(只读存储器)中的程序。CPU 105 通过系统总线118来控制稍后说明的设置，并执行各种处理。硬盘10 6存储驱动软件以控制数字照相机10 2,例如文本、 图形和照片数据的图像数据以及各种用于生成、编辑和修改图 像数据的软件程序。CPU 105执行各种软件程序并通过视频I/F IIO在监视器
104上显示用户接口 。 CPU 105通过连接到例如USB(通用串行总 线)的接口 (1/F)109的键盘或鼠标103来接收用户指令。I/F 108是串行总线接口，例如USB或IEEE 1394或网络接 口。例如数字照相机102或打印机、存储卡读/写器、或网络电 缆的图像输入/输出装置被连接到该I / F 10 8 。CPU 105通过I/F 108、通过网络从数字照相机102或从附到 存储卡读/写器的存储介质中直接接收图像数据，并将数据存储于硬盘106的预定区域。如果图像数据被加密或具有数字签名， 则CPU 105通过控制解密部117来执行解密或认证。 数字照相机的设置CPU 1U通过将包括在存储器112中的RAM用作工作存储 器来执行存储于包括在存储器112中的ROM中的程序。CPU 105 通过系统总线119来控制稍后说明的设置，并执行各种处理。具有例如C C D的传感器的摄像部113拍摄被摄体并生成对 应于该被摄体的静止图像或运动图像的图像数据。CPU lll将 摄像部113所拍摄的图像数据存储在存储器112的ROM中，执行 必要的数据处理、加密以及数字签名添加，然后将数据存储在 存储部115中。加密部116用于加密数据或为数据添加数字签名。操作部121包括快门按钮和用于设定各种摄影条件的命令 拨盘和键，并能够输入对于加密处理和数字签名处理所必须的 各种设置信息。也就是，用户使用操作部121来例如输入密码， 以生成对于加密处理所必须的密钥信息。I/F 114是串行总线接口，例如USB或IEEE 1394或网络接 口。例如计算机101或打印机、读存储卡/写器、或网络电缆的 各种装置可被连接到I/F 114。图像数据的输入为了从数字照相机102的存储部115接收图像数据，CPU
1 05执行驱动软件或应用软件中描述的指令。图像数据请求被通过I/F 108和114发送到CPU 111。响应于该请求，CPU lll从存 储部115中读出图像数据，并通过I/F 114和108将其提供给计算 机IOI。
CPU 105将接收的图像数据存储到硬盘106的预定区域中。可选4奪地，如图2中所示，数字照相机102可以通过使用俊_ 携式存储介质12 0将图像数据提供给计算机101 。在这种情况， CPU lll根据来自操作部121的指令，将从存储部115中读出的 图像数据写入连接到I/F 114的存储卡读/写器所附的存储介质 120中。CPU 105根据通过用户接口接收的用户指令，从连接到 I/F 108的存储卡读/写器所附的存储介质120中读出图像数据。解密部图3是示出解密部117或122的结构的框图。加密密钥生成器301生成用于将图像数据存储到存储介质 120或硬盘106的加密密钥。存储器107或112存储由加密密钥生 成器301所生成的加密密钥。数据解密部302使用存储于存储器107或112中的加密密钥 来解密存储于存储介质120或硬盘106中的加密的图像数据。解 密的图像数据被存储在硬盘106的预定区域中。加密密钥;险验数据生成器303生成加密密钥检验数据，以检 验与存储在存储介质120或硬盘106中的加密图像数据相对应的 加密密钥是否有效。存储介质120或硬盘106存储由加密密钥检 验数据生成器303生成的加密密钥检验数据。稍后将说明使用加 密密钥检验数据的处理。加密部图4是示出加密部116的结构的框图。加密密钥^全-验数据获取部401通过I/F 108和114从存储介质120中获取加密密钥检验数据。预加密密钥数据输入部402输入作为用于生成加密密钥的信息的预加密密钥数据。预加密密钥数据例如对应于密码，并从计算机101的4建盘103或数字照相机102的操作部121输入。加密密钥生成器403根据预加密密钥数据生成加密密钥。用于根据预加密密钥数据生成加密密钥的算法，或由该算法使用的密钥数据是保密的。加密密钥的生成是在具有篡改抵抗力的存储器上完成的。也就是，即使当第三方知道预加密密钥数据时，他/她既不能通过使用他/她自己的装置来导出加密密钥，也不能解密加密的图像数据。加密密钥检查部4 04基于加密密钥检验数据来确认由加密密钥生成器403生成的加密密钥是否正确。稍后将说明使用加密密钥检验数据的处理。数据加密部405通过使用加密密钥对存储在存储器112中的图像数据加密，并将加密的数据存储到存储部115或存储介质120中。密钥破坏器407例如生成加密图像数据所使用的会话密钥。 图像数据的加密和解密下面将以五个阶段来说明以下 一 系列处理加密由数字照 相机102生成的图像数据、将图像数据存储在存储介质120中、 将加密的图像数据从存储介质120加载到计算机101、以及解密 图像数据以使其可处理。图5是用于示意性说明这五个阶段的序列图。内容持有者 (下文中有时称为"持有者")持有计算机101 。摄影者持有数字照 相机102。阶段l:持有者通过操作计算机101的键盘103来输入密码 (预加密密钥数据)，生成加密密钥和加密密钥检验数据(S501)，
并将加密密钥检验数据设置到存储介质120中(S502)。持有者将 存储介质120给予摄影者，请求摄影，并秘密地使摄影者知道密 码(S511)。在这种情况下，内容持有者不同于摄影者。阶段2:摄影者将接收的存储介质12 0安装到数字照相机10 2 上，并通过操作数字照相机102的操作部121输入从持有者接收 的密码(S503)。数字照相机102通过使用存储介质120中设置的 加密密钥检验数据来检查输入的密码的有效性(S 5 0 4)。这将在 后面i,细i兌明。阶段3:当完成密码检查时，数字照相机通过使用根据密码 导出的加密密钥对所摄图像数据加密，并将图像数据存储到数 字照相机102中(S505)。如上所述，只有持有者知道如何导出加 密密钥。该方法对于包括摄影者的第三方是保密的。稍后将详 细说明密钥的导出。阶段4:摄影者可以浏览拍摄的图像数据(S506)。摄影者将 存储有加密的图像数据的存储介质120给予持有者，或通过I/F 114输出加密的图像数据，并通过例如因特网的广域网将它们发 送给持有者(S507)。为了将从I/F 114输出的加密的图像数据发 送给持有者，不仅可以采用通过广域网传送，还可以使用许多 其它方法。阶段5:持有者通过操作计算机101的键盘103来输入密码 (S508)。计算机101通过使用存储在例如硬盘106中的加密密钥 检验数据来检查输入的密码的有效性(S509)。当完成密码检查 时，计算机101根据密码生成加密密钥，并通过使用该加密密钥 来解密接收的或存储在存储介质120中的图像数据，从而使得可 以使用(例如浏览、复制或编辑)该图像数据(S 510)。阶段l在阶段l,使用计算机IOI,持有者在由摄影者在拍摄中使 用的存储介质120中执行预设置(S501和S502)。图6是示出预设 置程序的流程图。该处理是在CPU 105的控制下执行的。CPU 105判断是否通过键盘103输入了密码(预加密密钥数 据)(S601)。预加密密钥数据可以是任意类型，只要它可以通过 数字照相机102的操作部输入。如果在预定时间内没有输入密码 (预加密密钥数据)，或输入了生成预加密密钥数据的指令，则 CPU 105生成预加密密钥数据并将其显示在监视器104上 CS602)。CPU 105通过控制解密部117的加密密钥生成器301来基于 预加密密钥数据生成加密密钥(S603)。 CPU 105可以通过使用例 如上述哈希函数或MAC来导出加密密钥。例如，当计算机IOI 和数字照相机102分别在硬盘106和存储部115中持有相同的系 统密钥Ksys时，通过将Ksys用作密钥并输入预加密密钥数据来 执行的HMAC处理的输出被设置为加密密钥Kenc。如果不存在 系统密钥K s y s ，通过输入预加密密钥数据来执行的S H A - 1哈希 处理的输出^皮设置为加密密钥Kenc。可选4奪地，使用公共密钥 密码系统的单向函数可以被用于替代SHA- l哈希函数。接下来，CPU 105通过控制加密密钥检验数据生成器303来 生成加密密钥检验数据，并临时将生成的加密密钥检验数据存 储到例如存储器107中(S605)。加密密钥检验数据是从加密密钥 或预加密密钥数据中导出的。生成方法是基于上述加密密钥导 出方法。例如，当计算机101和数字照相才几102分别在硬盘106 和存储部115中持有相同的系统密钥Ksys时，通过将Ksys用作密 钥并输入加密密钥Kenc来执行的HMAC处理的输出被设置为加 密密钥检验数据。如果不存在系统密钥Ksys,可以通过使用公 共密钥密码系统添加数字签名来生成加密密钥检验数据。更具
并将签名的数据设置为加密密钥检验数据。CPU 105通过控制I/F 108将存储在存储器107中的加密密 钥检验数据存储在存储介质120中(S606)。代替临时将加密密钥 检验数据保存于存储器107中，可以将其直接存储在存储介质 120中。在这种情况下，步骤S606被省略。图7是示出另 一个预设置程序的流程图。与图6中相同的步 骤号在图7中表示相同的处理，且不重复对其进行详细说明。如果没有输入密码(预加密密钥数据)，或输入了加密密钥 生成指令，CPU 105通过控制加密密钥生成器301来生成加密密 钥(S607)。 CPU 105生成对应于所生成的加密密钥的预加密密钥 数据，并将其显示在监视器104上(S608)。处理前进到步骤S605。 通过使用例如基于公共密钥密码系统的陷门(trapdoor)单向函 数来生成预加密密钥数据。例如，使用私有密钥的RSA加密处 理被用于将加密密钥转换为预加密密钥数据。根据该方法，数 字照相机102可以通过使用RSA公共密钥来根据预加密密钥数 据导出加密密钥。图6中所示的处理与图7中所示的很大不同在于加密密钥 和预加密密钥数据(密码)中的哪一个首先存在。图6中所示的处 理中预加密密钥数据首先存在，该处理可以通过使用通用密钥 密码系统或哈希函数来导出加密密钥，而不用使用公共密钥加 密系统。另一方面，图7所示的处理中加密密钥首先存在，该处 理必须保证这样的机制只允许私有密钥的持有者通过使用基 于例如RSA力口密的公共密钥密码系统的陷门单向函数，来根据 预加密密钥数据导出加密密钥。公共密钥和私有密钥可以被相反地使用。也就是，用数字 照相机102的公共密钥进行的RSA加密处理被用于将加密密钥 转换为预加密密钥数据。在这种情况下，数字照相机102通过使 用RSA私有密钥来根据预加密密钥数据导出加密密钥。注意数字照相机具有与其它数字照相机所持有的私有密钥不同的自己的私有密钥。该方法允许指定能够使用存储介质120的数字照 相机。然而，需要将数字照相机的私有密钥预先存储在具有篡 改抵抗力的存储器中。 阶段2在阶段2中，数字照相机102执行预处理(S503和S504),检 查其是否具有对连接到I/F 114的存储介质120的写数据权。图8 是示出预处理程序的流程图。该处理由CPU lll执行。CPU lll通过控制加密密钥检验数据获取部401来从存储 介质120中获取加密密钥检验数据(S801)。如果没有获取到加密 密钥检验数据(S802)，则CPU 111判断为该数字照相机没有对存 储介质120的写数据权，并且该处理结束。CPU lll通过控制预加密密钥数据输入部402来输入预加 密密钥数据(密码)(S803)。应该由摄影者通过操作操作部121来 输入的密码(预加密密钥数据)是由持有者给定的密码。要输入 的密码取决于数字照相机102的用户接口 。该密码可以是人可读 的密码、手写在触摸面板上的密码、或对开关和快门按钮的操 作的组合。操作部121可以通过在监视器上显示虛拟键盘并使得 用户在触摸面板上选择字母和数字，或通过设置密码输入模式 并使得用户按下多个按钮的组合来输入密码。因此，计算机IOI 的CPU 105有时将获取的或生成的密码转换为摄影者可以通过 数字照相机10 2的用户接口来输入的操作程序。CPU 111通过控制加密密钥生成器403来基于预加密密钥 数据生成加密密钥，并将生成的加密密钥存储在存储器112中 (S804)。加密密钥生成器403提供用于根据密码导出单独的加密 密钥的机制，该密码例如是人可读的密码、手写在触摸面板上
的密码、或对开关和快门按钮的操作的组合。该加密密钥生成方法符合阶段1的步骤S603中说明的方法。也就是，使用了与 计算机101的生成方法相同的生成方法。可以将加密密钥生成方法说明为获取的加密密钥检验数据的一部分。例如，加密密钥生成方法#:预先注册为对应于指定URI(统一资源标识符，Uniform Resource Identifier)的服务器的存储区。通过基于被说明为加密密钥枱r一验数据的 一 部分的URI 参考注册的信息，可以从多个加密密钥生成方法中选择预定的 加密密钥生成方法。接下来，CPU 111通过控制加密密钥4全查部404来认证加密 密钥检验数据的有效性(S 8 0 5)。该检验方法符合阶段1的步骤 S605中说明的方法。如果该有效性是不可靠的，则结束处理。 也就是，加密密钥检验数据可以被用于检测预加密密钥数据是 否已经纟皮无误的输入。当加密密钥检验数据的有效性是可靠的时，CPU lll将存 储介质120的记录注册到存储部115中存储的介质列表(未示出) 中(S806)。该记录包括存储介质120的ID、加密密钥检验数据或 其哈希值(摘要)、以及预加密密钥数据或根据加密密钥导出的 数据的组合。可以将计数器信息或salt存储在相同的记录中作为 关于用于阶段3的图像加密的密钥信息的元数据。稍后将结合阶 l爻3i羊细i兌明。步骤S806的过程不是必须的，但是对于提供预加密密钥数 据(密码)緩存功能是有效的。也就是，即使当存储介质120被频 繁交换，当在数字照相机10 2和存储介质12 0之间完成预处理时， CPU仅需要参考介质列表，从而节省了用于获取预加密密钥数 据(密码)的时间和精力。阶段3
在阶段3中，数字照相机102使数据加密部405通过使用在 阶段2生成的加密密钥来加密所摄图像数据，并将数据存储在存 储介质120中(S505)。加密密钥可以直接用于使用通用密钥密码 系统的加密。可选择地，可以为每个图像数据导出会话密钥， 并用作加密密钥。为了导出会话密钥，使用哈希函数或HMAC。 更具体地说，该方法与上述^f吏用HMAC处理或SHA - 1P合希处理 的方法是相同的。
下面说明两个作为导出方法的详细例子。(1)当持有系统密 钥Ksys时，第一会话密钥Kenc(O)是加密密钥Kenc,并将通过使 用Ksys作为密钥并输入会话密钥Kenc(i - l)执行的HMAC处理 的输出设置为会话密钥Kenc(i) 。 (2)如果不存在系统密钥Ksys, 则第 一会话密钥Kenc(O)是加密密钥Kenc,且通过输入会话密钥 Kenc(i- l)来执行的SHAl - 1哈希处理的输出被设置为会话密 钥Kenc(i)。
在这两种情况下，都需要将计数器信息i存储在例如存储部 115中。可以通过将计数器信息i存储在步骤S806中说明的介质 列表的记录中来管理计数器信息i。对HMAC处理或SHA- l哈 希处理的输入还可以包括包含随机数据的salt信息。即使在这种 情况下，也需要存储并管理上述介质列表的记录中的salt信息。 在任何一种情况下，计数器信息(和salt信息)对于解密都是必要 的。因此，加密的图像数据必须具有计数器信息(和salt信息)作 为元数据。当为计数器信息(和salt信息)生成了例如MAC的加密 密钥检验数据，并与加密的图像数据 一起发送该加密密钥检验 数据时，可以防止持有者通过使用错误的密钥来解密数据。
对于使用公共密钥密码系统加密的加密密钥是持有者的公 共密钥，并且因此，直接通过使用该加密密钥来完成加密。在 这种情况下，会话密钥Kenc(i)在每次图像被加密时改变。从
Kenc(i)到Kenc(i - l)的反向计算是困难的。因此，被使用过一 次的会话密钥被认为实际上每次都被破坏了 。这使得可以应付 对于CPU 111或存储器112的读攻击，并提高了系统的安全水平。
图ll是用于说明为每个图像数据生成会话密钥的加密处理 的流程图。该处理由加密部116^U亍。
加密部116的加密密钥生成器4 0 3确定计数器信息i是否被 设置在存储器112中、或设置在存储于存储部115或存储介质120 中的介质列表中(SllOl)。这个确定过程的执行是为了检查之前 是否已经生成了会话密钥。如果设置了计数器信息i，处理前进 到步骤S1102。否则，处理前进到步骤Sllll。
如果没有设置计数器信息i,加密密钥生成器403将加密密 钥Kenc作为初始会话密钥Kenc(0)存储于存储器112中(S1111)。 加密密钥生成器403将存储于存储器112或存储介质120中的计 数器信息i设置为0(S1112)。处理前进到步骤S1102。
数据加密部4 0 5从例如存储部115接收要被加密的图像数据 (S1102)。加密密钥生成器403增加计数器信息i(i = i + 1)(S1103)。
密钥破坏器407生成要用于图像数据加密的会话密钥 (S1104)。例如，通过将系统密钥Ksys(例如存储在存储器112中 的系统密钥Ksys)用作密钥并输入会话密钥Kenc(i - 1)来执行的 HMAC处理的输出被设置为会话密钥Kenc(i),并覆盖会话密钥 Kenc(i- 1)。在步骤S1104的操作中，通过使用单向函数，将会 话密钥Kenc(i- l)转换为会话密钥Kenc(i)。从Kenc(i)到Kenc(i -l)的反向计算是困难的。因此，会话密钥Kenc(i- l)被认为实 际上被破坏了 。该会话密钥生成方法将被称为"每次密钥破坏方 案"。
接下来，数据加密部405通过使用会话密钥K enc(i)来力口密 图像数据(S110 5 ),并将计数器信息i作为元数据添加到加密的 图像数据中(S1106)。存储部115或存储介质120存储带有元数据 的加密的图像数据(S1107)。在步骤S1106种，不仅计数器信息， salt信息有时也被作为元数据添加到加密的图像数据中。
在某些情况下，所摄图像数据(原始图像数据)的二次图像 数据(例如缩略像)被添加到图像数据中。缩略像通常 是不加密的，尽管它可以被加密。如果未加密的缩略像被 作为元数据持有，可以从阶段4中显示所摄图像的列表。
为了加密缩略像，与用于原始图像数据的会话密钥相 同的会话密钥或另一个会话密钥是有用的。前者不能应付每次 密钥破坏方案。后者被通过相同的方法导出而作为缩略图的会 话密钥，它不同于用于加密原始图像数据的密钥。如果对步骤 S806中说明的介质列表的记录提供了一种在缩略图之前导出 会话密钥的机制，加密的缩略像可以在阶段4中被显示。
阶段4
在阶段4中，数字照相机102根据摄影者的指令显示存储于 存储介质120中的图像数据以用于浏览(S506)。解密后的加密图 像数据是不可浏览的，但缩略像是可以浏览的。在阶段3 禁止加密縮略像使得可以浏览存储于存储介质120中的图像。
自然地，即使在阶段3被加密的缩略像也可以通过解密 而变成可浏览的。在这种情况下，提供了一种使图像仅在将加 密图像数据存储在存储介质12 0中的数字照相机10 2中是可浏览 的机制。更具体地，通过使用"仅由数字照相机102知道的保密 信息"来加密缩略像。"仅由数字照相机102知道的保密信 息"被存储在步骤S806中说明的介质列表的记录中。由HMAC
处理或SHA - 1处理从加密密钥Kenc中导出缩略图的第 一 会话 密钥Kthum(O)，并将其作为"仅由数字照相机102知道的保密信 息"存储在介质列表的记录中。对于解密，例如通过执行i次对 于Kthum(0)的SHA- 1处理来导出对于第i个缩略#_的会话 密钥Kthum(i)。 可以通过计算SHA- l(Kthum(O川i)或SHA-l(Kthum(O川SHA - l(i))来导出缩略图的会话密钥Kthum(i)。注 意"ir指示数据的连接(concatenation)。在任何一种情况下，实 现安全密钥管理都是可能的，因为不能从缩略图的第 一会话密 钥Kthum(O)导出加密密钥Kenc 。
图12是用于说明通过为每个图像数据生成会话密钥来加密 缩略像的处理的流程图。该处里由加密部116来执行。
加密密钥生成器403判断是否在例如存储器112中设置了缩 略图的会话密钥(S1201)。如果设置了缩略图的会话密钥，则处 理前进到步骤S1202。否则，处理前进到步骤S1211。
如果没有设置缩略图的会话密钥，加密密钥生成器403将加 密密钥Kenc作为缩略图的初始会话密钥Kthum(O)存储在介质 列表的记录中(S1211)。加密密钥生成器403将存储在存储器112 或存储介质120中的计数器信息i设置为0(S1212)。处理前进到 步骤S1202。计数器信息i对于用于加密原始图像数据的计数器 信息可以是共用的(S1103 ~ S1106)。
数据加密部405从例如存储部115接收要加密的缩略像 数据(S1202)。加密密钥生成器403增加计数器信息i (S1203)。
加密密钥生成器403生成要用于缩略像数据加密的缩 略图的会话密钥(S1204)。例如，通过例如对缩略图的初始会话 密钥Kthum(O)执行i次SHA - l处理来导出缩略图的会话密钥 Kthum(i)。 可以通过计算SHA - 1 (Kthum(0)||i)或SHA -l(Kthum(O)IISHA — l(i))来导出缩略图的会话密钥Kthum(i)。
接下来，数据加密部405通过使用缩略图的会话密钥
Kthum(i)来加密缩略像，并将计数器信息i作为元数据添加 到加密的缩略像中(S1206)。存储部115或存储介质120存储 带有元数据的加密的缩略像(S1207)。
图13是用于说明浏览数字照相机中的加密的缩略像的 解密方法的流程图。该处理由解密部122执行。
获取带有元数据的加密的缩略像(S1301),并分离出添加到 加密的缩略像的用作元数据的计数器信息i(S1302)。
加密密钥生成器3 01根据计数器信息i和存储在例如介质列 表中的缩略图的初始会话密钥Kthum(O)导出缩略图的会话密钥 Kthum(i)(S1303)。该密钥生长方法与步骤S1204中 一 致。例如 通过对缩略图的初始会话密钥Kthum(O)执行i次SHA - l处理来 生成对缩略图的会话密钥Kthum(i)。
数据解密部302通过使用缩略图的会话密钥Kthum(i)来解 密加密过的缩略像(S1304),并将缩略像显示在例如操 作部121的监视器上(S 1305)。
阶段5
在阶段5中，计算机101允许使用存储在存储介质120中的加 密的图像数据(S510)。摄影者将存储介质120给予持有者。可选 择地，计算机101通过网络接收加密的图像数据。下面将说明对 于这两种情况通用的处理程序。
图9是示出计算机101中的加密图像数据的解密程序的流程 图。该处理是在CPU 105的控制下执行的。
CPU 105通过例如键盘103接收密码(预加密密钥数 据)(S901)。 CPU 105通过控制解密部117的加密密钥生成器301 来基于预加密密钥数据生成加密密钥(S902)。该加密密钥生成
方法与阶段l中说明的方法一致。然后，CPU105通过控制数据解密部302使用加密密钥来解密加密的图像数据(S903)。图IO是示出包括附加处理的图9中所示处理的流程图，该附 加处理当接收到加密密钥检验数据和加密的图像数据时，检验 加密密钥检验数据和加密的图像数据之间的关联是否正确。该 处理是在CPU 105的控制下执行的。CPU 105获取加密密钥检验数据(S900)。之后，CPU105接 收预加密密钥数据(S901),生成加密密钥(S902),并认证加密密 钥检验数据的有效性(S904)。有效性认证采用与数字照相机102 的加密密钥检查部404的处理相同的方式。如果认证了加密密钥 检验数据的有效性，则加密的图像数据被解密(S903)。如果有 效性未通过认证，则处理结束。当加密密钥检验数据的有效性 未通过认证时，可以节省用于无意义的加密图像数据的解密的 时间和精力。如上所述，即使当摄影者将拍摄的图像数据错误地或有意 地传输给第三方(除内容持有者之外)，摄影者和第三方都不能 解密该加密的图像数据。传输包括通过网络的传送和复制在存 储介质120中存储的图像数据。因此即使当摄影者与内容持有者 不一致时，也可以保护内容持有者的权利，而不需要结合了版 权保护机制的特殊的存储介质。实施例的变形在第一实施例中，当数字照相机102不能获取在加密密钥检 验数据获取(S801)或加密密钥生成(S804)中的加密所必须的信 息时，处理停止。如果处理停止了，则摄影者不能拍摄图像。 这有损摄影者的便利，因此需要一些解决办法。如果数字照相机102不能获取加密所需的信息，代替停止该 处理，将未加密的图像数据存储在存储介质120中。另外，如果 因为数字照相机不能获取加密密钥检验数据而使得加密密钥检 验数据的有效性未通过认证(验证失败)，则基于预加密密钥数据来生成加密密钥(S804)。然后，处理跳到一验证处理(S805),并 将加密的图像数据存储在存储介质120中。当存储介质120允许加密的图像数据与未加密的图像数据 共同存在时，如上所述，提高了摄影者的便利。第 一 实施例没有考虑从存储介质120的非法数据删除。为了 防止这点，在存储介质120中设置仅给予指定用户访问权限的访 问控制机制。还可以通过使用仅允许写入的介质，即一次写入 介质，来防止数据删除。上面举例了将计算机101连接到数字照相机102的信息处理 系统。然而，本发明不限于此，并且还可以用于连接多个任意 的信息处理装置的信息处理系统，这些信息处理装置例如是计 算机、打印机、数字照相机、扫描仪、视频游戏播放机、便携 式信息终端以及便携式电话。本发明还可以用于连接多个相同 类型的信息处理装置的信息处理系统，例如多个计算机。对于加密密钥检验数据生成和认证方法，不4叉可以应用包 括RSA签名的公共密钥密码系统，还可以应用通用密钥密码系 统和MAC(消息认证码)生成方案的密码系统。作为密码系统， 不仅可以应用包括RSA签名的公共密钥密码系统(保密)，还可 以应用通用密钥密码系统。也就是，任何其它的加密算法都可 以应用于第 一 实施例的配置中。典型实施例本发明可以应用于由多个装置(例如主计算机、接口 、读取 器、打印机)构成的系统，或应用于包括单独装置(例如，复印 机、传真机)的设备。而且，本发明可以提供一种存储用于执行上述对计算机系
统或设备(例如个人计算机)的处理的程序代码的存储介质，由 计算机系统或设备的C P U或M P U从该存储介质中读取程序代 码，然后执行该程序。
在这种情况下，从存储介质中读取的程序代码实现根据这 些实施例的功能。
而且，该存储介质可以被用于提供程序代码，存储介质例如软盘、硬盘、光盘、》兹光盘、CD-ROM、 CD-R、》兹带、 非易失性存储卡以及ROM。
而且，除了可以通过执行由计算机读出的程序代码来实现 上面实施例的上述功能，本发明还包括这种情况在计算机上 运行的OS(操作系统)等根据该程序代码的指示来执行部分或全 部处理，并实现#4居上述实施例的功能。
而且，本发明还包括这种情况当将从存储介质读出的程 序代码写入插入到计算机中的功能扩展卡或连接到计算机的功 能扩展单元中设置的存储器中后，该功能扩展卡或单元中包括 的CPU等根据程序代码的指示来执行部分或全部处理，并实现 根据上述实施例的功能。
在本发明被应用到前述的存储介质中的情况下，该存储介 质存储对应于这些实施例中说明的流程图的程序代码。
虽然参考典型实施例说明了本发明，应该理解本发明不限 于所公开的典型实施例。所附权利要求书的范围符合最宽的解 释，从而包括了全部变形、等同结构功能。
权利要求
1、一种数据处理设备，包括输入部，用于输入用于生成加密密钥的信息；密钥生成器，用于根据用于生成加密密钥的所述信息生成加密密钥；认证器，用于从存储介质中获取加密密钥检验数据，并基于所述检验数据来认证由所述密钥生成器生成的所述加密密钥的有效性；数据生成器，用于生成要存储在存储介质中的数据；加密部，用于通过使用由所述认证器认证为有效的加密密钥来加密由所述数据生成器生成的数据；以及控制器，用于将由所述加密部加密了的数据存储在存储介质中。
2、 根据权利要求l所述的数据处理设备，其特征在于，所 述检验数据是用于生成加密密钥的所述信息的消息认证码。
3、 根据权利要求l所述的数据处理设备，其特征在于，所 述检验数据是所述加密密钥的消息认证码。
4、 根据权利要求l所述的数据处理设备，其特征在于，还 包括二次数据生成器，用于生成由所述数据生成器生成的数 据的二次数据，其中，所述控制器将所述二次数据存储在所述存储介质中， 而不加密。
5、 根据权利要求4所述的数据处理设备，其特征在于，所 述数据生成器生成图像数据，且所述二次数据生成器生成缩略 像数据。
6、 根据权利要求l所述的数据处理设备，其特征在于，还 包括存储保密信息的存储器，其中，所述密钥生成器通过组合所述保密信息与用于生成 加密密钥的所述信息来生成所述加密密钥。
7、 根据权利要求l所述的数据处理设备，其特征在于，还 包括存储保密信息的存储器，其中，所述密钥生成器通过连接所述保密信息与用于生成 加密密钥的所述信息并对连接的信息使用单向哈希函数执行数 据转换处理，来生成所述加密密钥。
8、 根据权利要求l所述的数据处理设备，其特征在于，所述密钥生成器生成加密密钥，所述加密密钥在每次由所述加密 部进行的加密中都改变。
9、 根据权利要求l所述的数据处理设备，其特征在于，还 包括密钥破坏器，用于在由所述加密部进行加密之后擦除用 于加密的所述加密密钥。
10、 根据权利要求9所述的数据处理设备，其特征在于，所 述密钥破坏器通过更新用于生成加密密钥的所述信息，来防止 重建由所述加密部在过去使用的加密密钥。
11、 根据权利要求l所述的数据处理设备，其特征在于，如 果所述认证器认证所述加密密钥失败，则所述控制器将由所述 数据生成器生成的数据存储在所述存储介质中，而不加密。
12、 一种信息处理设备，包括密钥生成器，用于生成当外部装置将数据存储在存储介质 中时使用的加密密钥；检验数据生成器，用于生成认证所述加密密钥的有效性的 检验数据，并将所述检验数据存储在所述存储介质中；以及解密部，用于通过使用所述加密密钥来解密存储于所述存 储介质中的所述数据。
13、 根据权利要求12所述的信息处理设备，其特征在于， 所述检验数据是所述加密密钥的消息认证码。
14、 根据权利要求12所述的信息处理设备，其特征在于，还包括输入部，用于输入用于由所述密钥生成器生成加密密钥的信息。
15、 根据权利要求12所述的信息处理设备，其特征在于， 所述检验数据是用于生成加密密钥的所述信息的消息认证码。
16、 根据权利要求12所述的信息处理设备，其特征在于， 还包括认证器，用于基于所述检验数据来认证由所述密钥生 成器生成的所述加密密钥的有效性。
17、 一种数据处理方法，所述方法包括下列步骤 输入用于生成加密密钥的信息；根据用于生成加密密钥的所述信息生成加密密钥；从存储介质中获取加密密钥检验数据，以及基于所述检验 数据来认证生成的加密密钥的有效性的认证步骤；生成要存储在所述存储介质中的数据；通过使用在所述认证步骤中认证为有效的所述加密密钥来 加密所生成的数据；以及将加密的数据存储在所述存储介质中。
18、 一种信息处理方法，所述方法包括下列步骤 生成当外部装置将数据存储在存储介质中时使用的加密密钥；生成认证所述加密密钥的有效性的检验数据，并将所述检 验数据存储在所述存储介质中；以及通过使用所述加密密钥来解密存储于所述存储介质中的数据。
全文摘要
本发明涉及一种信息处理设备和方法以及数据处理设备和方法。本发明的目的是当内容持有者与内容创建者不一致时，保护内容持有者的权利，而不必使用结合了版权保护机制的特殊的存储介质。输入用于生成加密密钥的信息；根据用于生成加密密钥的信息生成加密密钥；从存储介质中获取加密密钥检验数据，以及基于检验数据来认证生成的加密密钥的有效性；生成要存储在存储介质中的数据；通过使用在所述认证中认证为有效的加密密钥来加密所生成的数据；以及将加密的数据存储在存储介质中。
文档编号H04N5/913GK101118586SQ20071014317
公开日2008年2月6日 申请日期2007年8月3日 优先权日2006年8月4日
发明者须贺祐治 申请人:佳能株式会社