专利名称:加密装置、解密装置、密钥生成装置、版权保护系统和密码通信装置的制作方法
技术领域:
本发明涉及一种当经由记录介质或传输媒介传送数字产品时用 于保护版权的加密装置和解密装置。更具体地,本发明涉及一种保护 不受通过替换指定已注销公开密钥证书的证书注销列表(CRL)来实 施攻击的保护技术。技术背景当数字产品从一个(第一)装置传送到另一个(第二)装置时, 在传送之前,执行计算机认证以避免经授权而获得的版权受侵犯。第 一计算机要认证第二计算机。换言之,第一计算机确定第二计算机是 有资格传送的计算机。例如,第一计算机向第二计算机发送一个随机数,然后第二计算 机用自身的密钥(即数字签名)来加密该随机数并回复给第一计算机。 最后,第一计算机使用第二计算机的公开密钥来验证回复的密文(或 数字签名)。但是,使用所述公开密钥加密的认证应当是基于该公开密钥自身 没被注销的条件。因此,近年来, 一个称作"证书认证中心"(CA)的组织或公司 发行"公开密钥证书",用于证明公开密钥对于每个用户都是合格的 密钥。在这些发行的公开密钥证书中,存在有用户的证书,该用户使用过期或偷窃的密钥或作非法事情。为了使这些证书无效(或通知其他的用户这些证书无效),发行证书注销列表(以下称为"CRL"、"公 开密钥证书注销列表"或"注销列表"),该证书注销列表是用于指定 己注销公开密钥证书的信息列表。因此,当使用伙伴的公开密钥来认证通信伙伴时,从通信伙伴处 得到公开密钥证书,在确认得到的公开密钥证书没被列在CRL中后, 执行上述认证处理,以避免向未授权的通信伙伴传送有价值的数字产口叩o存在有一些设备和系统(参见日本专利号3199119),其中只参考 公开密钥证书进行密钥验证,但是,当用户使用过期密钥或偷窃的密 钥,或作非法的事情时,如上所述,该设备和系统不适用(cover)。但是,对每台计算机来说,获取合格的CRL并且检验通信伙伴 的公开密钥证书的有效性是不可能的。结果,会进行未授权的使用。例如, 一种装置,例如播放其上记录了数字作品(即,电影)的 DVD (数字视频/通用盘)的DVD驱动装置经由DVD获取合格的 CRL,并从DVD中读出最新的CRL,然后参考CRL认证通信伙伴 计算机(执行集成播放处理电路或播放软件的计算机)。在读出CRL 的过程中,有可能CRL被旧的CRL替换。结果,尽管计算机在合格(最新)的CRL中被列为已注销的计 算机,但是对该已注销计算机来说,有可能使用没被列在替换后的旧 CRL中的已注销公开密钥来非法传送数字产品。另外,当已经持有CRL的计算机获得一个新的CRL时,贝U必须 比较这两个列表以判断哪个是最新的,然后只持有最新的一个,也就 是说必须正确地检验应当持有哪些列表。因此,鉴于上述的问题,本发明的第一个目的在于提供一种加密 装置、解密装置、密钥生成装置、版权保护系统和密码通信装置,其 可以防护由于替换CRL所实施的攻击,从而安全地传送数字产品。本发明的第二个目的在于提供一种密码通信装置,其可以在获取 新的CRL时正确地指定最新CRL,而且只持有最新CRL,取代旧的 CRL。发明内容为了实现上述第一个目的, 一种根据本发明的加密装置,即加密 数字产品和将数字产品输出到记录介质或传输媒介的加密装置,包括 一个数字产品存储单元,用于存储数字产品;第一密钥存储单元,用 于存储用来加密数字产品的第一密钥;第二密钥存储单元,用于存储 对应于解密己加密数字产品的解密装置的第二密钥; 一个CRL存储 单元,用于存储其为指定已注销公开密钥证书的信息列表的CRL; 一个属性值计算单元,用于根据存储在CRL存储单元的CRL计算基 于CRL细节的属性值; 一个变换单元,用于使用在属性值计算单元 中计算出的属性值来变换存储在第二密钥存储单元中的第二密钥;第 一加密单元,用于使用由变换单元变换的第二密钥来加密存储在第一 密钥存储单元中的第一密钥;第二加密单元,用于使用存储在第一密 钥存储单元中的第一密钥来加密存储在数字产品存储单元中的数字 产品;和一个输出单元,用于向记录介质或传输媒介输出存储在CRL 存储单元中的CRL、第一加密单元加密的第一密钥和第二加密单元 加密的数字产品。结果,已加密数字产品、用于加密该数字产品的已加密第一密钥 和CRL从加密装置输出。己加密的第一密钥不仅使用对应于解密装 置的第二密钥,还使用其上已经反映CRL细节的第二密钥来加密。 因此,当CRL被替换时,解密装置收到的CRL细节不同于解密装置 自身持有的第二密钥所反映的列表,也就是说,第二密钥被变换。结 果,收到已加密数字产品、已加密第一密钥和CRL的解密装置不能 使用如此变换的第二密钥来将已加密第一密钥解密成原始的第一密 钥。因此,解密装置不能正确解密已加密数字产品。结果,实现了数 字产品的安全传输,具有防备通过替换CRL实施的攻击的功能。另外,上述的加密装置还可以包括一个确认数据输出单元,用于 输出确认数据,该确认数据是用于确认解密装置解密的第一密钥是否是正确密钥的标准。例如,确认数据输出单元将通过使用存储在第一 密钥存储单元中的第一密钥加密预定固定格式数据而得到的数据,作 为确认数据输出到记录介质或传输媒介,或者确认数据输出单元将通 过使用存储在第一密钥存储单元中的第一密钥来加密第一密钥而得 到的数据,作为确认数据输出到记录介质或传输媒介。结果,接收从加密装置输出的已加密数字产品、已加密第一密钥和CRL的解密装置可以验证CRL是否被替换,也就是说,第一密钥 是否被正确解密,从而避免进行使用错误的密钥解密数字产品的无用 处理。另夕卜, 一种加密装置,即加密数字产品和将数字产品输出到记录 介质或传输媒介的加密装置,包括一个数字产品存储单元,用于存储 数字产品;第一密钥存储单元,用于存储用来加密数字产品的第一密 钥;第二密钥存储单元,用于存储对应于解密己加密数字产品的解密 装置的第二密钥; 一个CRL存储单元,用于存储其为指定已注销公 开密钥证书的信息列表的CRL;第一加密单元,用于使用第二密钥 存储单元中存储的第二密钥来加密存储在第一密钥存储单元中的第 一密钥; 一个属性值计算单元,用于根据存储在CRL存储单元的CRL 计算基于CRL细节的属性值; 一个变换单元,用于使用在属性值计 算单元中计算的属性值来变换存储在第一密钥存储单元中的第一密钥;第二加密单元,用于使用由变换单元变换的第一密钥来加密存储 在数字产品存储单元中的数字产品;和一个输出单元,用于向记录介 质或传输媒介输出存储在CRL存储单元中的CRL、第一加密单元加 密的第一密钥和第二加密单元加密的数字产品。结果,从加密装置输出己加密数字产品、用于加密该数字产品的 已加密第一密钥和CRL。已加密的数字产品不仅使用第一密钥,还 使用其上己经反映CRL细节的第一密钥来加密。因此,当CRL被替 换时,解密装置收到的CRL细节不同于解密装置自身持有的第一密钥所反映的列表,也就是说,第一密钥被变换。结果,收到己加密数字产品、已加密第一密钥和CRL的解密装置不能使用如此变换的第 一密钥正确解密已加密数字产品。结果,实现了数字产品的安全传输, 具有防备通过替换CRL实施的攻击的功能。另外,如上所述,对于收到从加密装置输出的己加密数字产品、 已加密第一密钥和CRL的解密装置,有可能通过从加密装置输出附 加了其上已经反映第一密钥的CRL的确认数据的第一密钥,可以验 证CRL是否被替换,即用于加密数字产品的密钥是否被正确解密, 从而避免使用错误的密钥解密数字产品的无用处理。为了实现上述的第二个目的,根据本发明的密码通信系统,即使 用伙伴装置的公开密钥建立与伙伴装置的密码通信的密码通信装置, 包括一个存储单元,用于存储其为指定已注销公幵密钥证书的信息列 表的CRL; —个获取单元,用于获取新的CRL, 一个储存单元,用 于比较己获得CRL与存储在存储单元中的CRL的长度,当己获得 CRL的长度更长时,将已获得CRL存储在存储单元中并更新; 一个 通信单元,用于参考存储在存储单元中的CRL来判断伙伴装置的密 钥有效性,当公开密钥未被注销时,使用该公开密钥建立与伙伴装置 的密码通信。储存单元的上述功能也可以改变,即比较列在已获得CRL上的 证书号与列在上述存储单元所存储的CRL上的证书号,当列在已获 得CRL上的证书号大时,将它存储在存储单元中并更新。结果,因为列在CRL上的公开密钥证书号随着时间流逝而增加, 所以密码通信装置可以总是持有长度长(或注册号大),即最新列表 的CRL。如上所述,本发明实现了数字产品的安全传输,从而防止了替换 CRL的攻击。在经由近年来比较活跃的例如互联网的传输线路或例 如DVD的记录介质来递送/发行数字产品方面,本发明的实用价值就7非常高。本发明可以实现作为与上述加密装置或密钥生成装置对应的解 密装置;实现作为包括加密装置和解密装置的版权保护系统;实现作 为具有加密装置所包括的特征单元步骤的加密方法、解密方法或密码 通信方法;或实现作为使计算机执行上述步骤的程序。另外,不用说, 根据本发明的程序可以经由例如DVD的记录介质或例如互联网的传 输媒介来投入市场。
从下面结合附图的描述中本发明的这些和其它目的、优点和特征 将变得显而易见,这些
了本发明的具体实施例。在附图中图1是表示根据第一实施例的记录版权介质保护系统la的整体 结构的功能方框图;图2示出了一个CRL构造例子的图;图3示出了一个版权保护许可方(licenor)的公开密钥证书的构 造例子的图;图4示出了一个播放器制造商的公开密钥证书的构造例子的图;图5示出了在解密装置200a的IC卡210a和解扰器260之间执 行的处理序列的图;图6示出了根据第二实施例的记录版权介质保护系统lb的整体 结构的功能方框图;图7示出了根据第三实施例的记录版权介质保护系统lc的整体 结构的功能方框图;图8示出了根据第四实施例的记录版权介质保护系统ld的整体 结构的功能方框图;图9示出了根据第五实施例的记录版权介质保护系统le的整体 结构的功能方框图;图IO示出了根据第六实施例的记录版权介质保护系统的整体结 构的功能方框图;8图11A示出了图10中最新版检测处理单元2391执行的验证处理 的流程图;图IIB示出了最新版列表读出处理的流程图;图12是HD-DVD播放器的外视图,其中应用了根据本发明第一 和第二实施例的记录介质的解密装置200a到200f;图13示出了根据第七实施例的记录版权介质保护系统lg的整体 结构的功能方框图;图14示出了根据第八实施例的记录版权介质保护系统lh的整体 结构的功能方框图;图15示出了根据第九实施例的记录版权介质保护系统li的整体 结构的功能方框图;图16示出了一个其中包括LSI的版权保护模块的例子的图;图17示出了经由小规模家庭LAN建立内容的密码通信的版权保 护系统的整体结构方框图;图18示出了图17的AV服务器100j和等离子TV200k的结构方框图。实施例的最佳方式下面是参照附图对根据本发明实施例的版权保护系统的说明。 (第一实施例)图1示出了根据本发明第一实施例的记录介质版权保护系统的 整体结构的功能方框图。记录介质版权保护系统la是在作为记录介质的DVD 2a上记录 已加密内容,或从DVD2a读出已加密内容并解密的系统。该系统包 括在DVD2a上存储已加密内容的加密装置100a;从DVD2a读出已 加密内容并解密的解密装置200a;和发行CRL的证书认证中心(CA) 所使用的终端装置300等。加密装置100a包括两个终端装置,终端装置110a由版权保护许 可方使用,终端装置160由内容制造商使用。解密装置200a例如是能够再现图像级为HD (1125i/750p)的内 容的HD-DVD播放器,包括版权保护许可方提供的IC卡210a;播放 器制造商使用的解扰器260;和从DVD 2a读出已加密内容的 DVD-ROM驱动器(图中未示出)。版权保护许可方使用的终端装置110a是向解密装置200a提供版 权保护信息,即提供CRL、用于解密内容的内容密钥、和已加密内 容密钥环的计算机装置。它包括CRL存储单元111、装置密钥环存储 单元112、内容密钥存储单元113、哈希函数处理单元114、异或 (Ex-OR)单元115和加密单元116。CRL存储单元111经由通信网,即互联网等定期访问终端装置 300,并更新/存储证书认证中心(CA)提供的最新CRL。如图2所 示,CRL包括"文件头"字段、"通用"字段和"已注销列表"字段。 在"文件头"区内,包括有文件"名"是OA口A.crl,文件大小79KB, 文件"类型"是已注销证书列表和文件"更新"是2001/09/07/12:34。 在"通用"字段区内,包括有"版本"VI、"出版商"是OA口A、 "有效期开始日"是2001/09/06、"下一次更新到期日"是2001/09/16、 和"签名算法"是md5RSA。另夕卜,在"已注销列表"区内,以文本 形式描述了已注销证书的"序列号"和"注销日"的记录。因为CRL 随时间而单调递增,由于已注销证书序列号单调递增,CRL越新, 实体(CRL的登记单位)数越多。它具有文件大小单调递增的特性。装置密钥环存储单元112预先存储版权保护许可方提供的每个 IC卡210a所专用的装置密钥环KD—A (即128比特)。内容密钥存储单元113存储用于加密预定内容,例如音乐或电影 的内容密钥Kc (即128比特)。哈希函数处理单元114是处理单元,它压縮存储在CRL存储单 元111中的可变长度的CRL数据,根据哈希函数将其转换成固定长 度(即,128比特)数据(哈希值Hash)。例如它根据SHA-1 (安全 哈希算法-l)或MD5转换。在异或单元115中,对哈希函数处理单元114计算出的哈希值 Hash和存储在装置密钥环存储单元112中的每个装置密钥KD—A执行异或运算(使用该哈希值变换每个装置密钥KD—A)。
加密单元116向异或单元115输出存储在内容密钥存储单元113 中的内容密钥,也就是说,使用哈希值Hash和每个装置密钥KD—A 之间的异或值来加密并生成加密内容密钥环。
另外,终端装置110a中的哈希函数处理单元114和异或单元115 使用存储在CRL存储单元111中的CRL来变换装置密钥KD_A。这 是因为通过使用已变换的装置密钥KD_A加密内容密钥Kc,它能够 确定从加密单元116输出的已加密内容密钥和CRL之间的关系。通 过这样做,将会破坏在随后描述的解密装置200a解密处理时通过替 换CRL实施的攻击。
内容制造商所用的终端装置160是将从终端装置110a传送的 CRL或已加密内容密钥环记录到DVD2a的写入装置。终端装置160 包括内容存储单元161和加密单元162。
内容存储单元161存储预定内容,例如音乐或电影内容。 加密单元162使用从终端装置110a传送的内容密钥Kc来加密存 储在内容存储单元161中的内容,并生成已加密内容。
如上所述,当在包括两个终端装置110a和160的加密装置100a 中制造DVD 2a时,终端装置110a从CRL存储单元111读出CRL。 读出的CRL被传送到哈希函数处理单元114和终端装置160。哈希函 数处理单元114计算CRL的哈希值Hash,并将它传送到异或单元 115。异或单元115从装置密钥环存储单元112逐一读出装置密钥 KD—A、内容密钥Kc等,并一个接一个地计算与哈希值Hash的异或, 然后将每个异或值输出到加密单元U6。终端装置110a从内容密钥存 储单元113读出内容密钥Kc,并将它传送到加密单元116和终端装 置160。加密单元116使用从异或单元115输出的每个异或值来加密 传送的内容密钥Kc。更具体地,加密单元116使用装置密钥KD—A 的每个值和哈希值Hash间的异或值来加密内容密钥Kc。结果加密单 元116生成多个已加密的内容密钥,并将它们捆绑成一束传送到终端 装置160。
终端装置160将终端装置110a传送来的CRL和已加密内容密钥环写入到DVD 2a。然后将加密单元162生成的已加密内容写入DVD 2a。如此生成的DVD2a卖给用户,该DVD 2a具有已加密内容,该 加密内容还捆绑有已加密内容密钥和最新CRL。
另一方面,解密这种DVD 2a的解密装置200a的IC卡210a包 括一个用于防止计算机程序被蓄意改变和通过排除列在CRL上的非 法解扰器来保护版权的模块(TRM:防止篡改模块)。换言之,IC卡 210a包括一个内容密钥解密单元220a,用于根据DVD 2a所捆绑的 CRL获得用于解密已加密内容的密钥;和一个认证处理单元230a, 用于检验通信伙伴(解扰器260)是否已被注销,并且同时,在解扰 器260之间设置双向认证形式的SAC (安全认证信道)。
认证处理单元230a包括证书认证中心(CA)公开密钥存储单元 231、 IC卡密钥存储单元232、 IC卡(版权许可方)公开密钥证书存 储单元233、随机数生成单元234、 CRL检验单元235、椭圆曲线密 码编码学(ECC)处理单元236、认证单元237、和缓冲存储器238。
证书认证中心(CA)公开密钥存储单元231预先存储用于解密 证书认证中心(CA)的数字签名的认证中心(CA)公开密钥PK—CA。
IC卡密钥存储单元232预先存储IC卡所专用的IC卡密钥,该 密钥用于解密版权保护许可方预先提供的IC卡210a的数字签名。
IC卡公开密钥证书存储单元233存储IC卡公开密钥证书Cert一A, 其是证书认证中心(CA)证明公开密钥PK—A确实属于IC卡210a 的文件。如图3所示,IC卡公开密钥证书Cert—A包括它的IC卡210a (版权保护许可方)ID、用于IC卡密钥的IC卡公开密钥SK—A、用 于IC卡公开密钥的CA签名PK—A、(证书)到期日。
随机数生成单元234生成一个随机数(即,128比特)作为时间 调制值。
CRL检验单元235检验CRL是否包括伙伴(解扰器260)的ID。 椭圆曲线密码编码学(ECC)处理单元236在建立SAC认证时 根据椭圆曲线执行加密处理(即,256比特处理单元)。
认证单元237是经由SAC与解扰器260通信的通信接口 。 缓冲存储器238持有临时数据,例如随机数生成单元234产生的随机数或椭圆曲线密码编码学(ECC)处理单元236生成的数据。 内容密钥解密单元220包括装置密钥存储单元221 、哈希函数处
理单元222、异或单元223、和解密处理单元224。
装置密钥存储单元221将特有的装置密钥KD_A (其为密钥,即
AES128比特密钥)存入IC卡210a。
哈希函数处理单元222与终端装置110a的哈希函数处理单元114
的结构相同,并计算捆绑到DVD2a的CRL的哈希值Hash(g卩,128
比特)。
异或单元223计算在哈希函数处理单元222计算出的哈希值Hash 和存储在装置密钥存储单元221中的每个装置密钥KD_A间的异或 (使用哈希值来变换每个装置密钥KD一A)。
解密处理单元224通过使用装置密钥KD一A和哈希值Hash间的 异或值来解密存储在捆绑到DVD 2a的已加密内容密钥环中的预定 位置中的自身已加密内容密钥,从而生成内容密钥Kc。
解扰器260与IC卡210a的结构相同,配置有用于防止计算机程 序非法篡改的模块,它包括认证处理单元270,用于使用CRL来检 验通信伙伴(IC卡210a)是否已被注销,和用于在IC卡210a之间 设置双向认证形式的SAC;和解密处理单元280,用于使用从IC卡 210a传送的内容密钥来解密从DVD 2a读出的已加密内容,和用于获 取内容。
认证处理单元270包括证书认证中心(CA)公开密钥存储单元 271、解扰器密钥存储单元272、解扰器(播放器制造商)公开密钥 证书存储单元273、随机数生成单元274、 CRL检验单元275、椭圆 曲线密码编码学(ECC)处理单元276和缓冲存储器278。
证书认证中心(CA)公开密钥存储单元271预先存储用于解密 证书认证中心(CA)的数字签名的认证中心公开密钥PKj:A。
解扰器密钥的存储单元272由HD-DVD播放器200的制造商提 供,并存储解扰器所特有的密钥SK一i,该密钥用于解扰器260a的自 身签名。
解扰器公幵密钥证书存储单元273存储解扰器公开密钥证书Cert一i,它是证书认证中心(CA)证明公开密钥PK_i确实属于播放 器制造商的文件。如图4所示,解扰器证书Cert—i包括解扰器260(播 放器制造商)ID (证书序列号)、用于解扰器密钥SK—i的解扰器公开 密钥PKj、用于解扰器密钥PK—i的证书认证中心(CA)数字签名 和(证书)到期日。
随机数生成单元274生成一个随机数(即,128比特)作为时间 调制。
CRL检验单元275检验伙伴(IC卡210a)的ID号是否包括在 CRL中。
椭圆曲线密码编码学(ECC)处理单元276在建立SAC认证时 根据椭圆曲线执行加密处理(即,256比特处理单元)。
认证单元277是经由SAC与IC卡210a通信的通信接口 。
缓冲存储器278持有临时数据,例如随机数生成单元234生成的 随机数或椭圆曲线密码编码学(ECC)处理单元276生成的数据。
现在参见图5,它说明了 IC卡210a和解扰器260之间的SAC设 置,和记录在DVD2a上的己加密内容的解密序列。图5示出了在解 密装置200a中的IC卡210a和解扰器260之间执行的处理序列图。
当用户指示播放DVD 2a的内容时,解扰器260的随机数生成单 元274生成第一随机数y (即,128比特),并将它存入缓冲存储器 278 (Sl)。解扰器260的认证单元277读出存储在缓冲存储器278 中的第一随机数y和存储在解扰器公开密钥证书存储单元273中的解 扰器公开密钥证书Cert—i,然后将它们发送到IC卡210a (S2)。
IC卡210a中的认证单元237将从解扰器260收到的第一随机数 y和解扰器公开密钥证书Cert—i存入缓冲存储器238。 CRL检验单元 235根据从HD-DVD播放器200a传送的CRL检验解扰器260是否已 被注销(S3)。更具体地,根据这样一种事实来执行检验,即解扰器 260的ID是否列在CRL上。当解扰器260没被注销时,认证单元237 使用证书认证中心(CA)公开密钥PK—CA来验证公开密钥证书Cert—i (S4)。更具体地,使用证书认证中心(CA)公开密钥PK一CA来解 密包含在解扰器公开密钥证书Cert一i中的公开密钥认证中心数字签名,并验证解扰器公开密钥证书Certj是否确实属于解扰器260。在 验证以后,随机数生成单元234生成第一随机数x (即,128比特), 并将它存入缓冲存储器238 (S5)。认证单元237读出存储在缓冲存 储器238中的第一随机数x,和存储在IC卡公开密钥证书的存储单 元233中的IC卡公开密钥证书Cert—A,并将它们发送到解扰器260 (S6)。
在解扰器260中,在将从IC卡210a接收的第一随机数x和IC 卡公开密钥证书Cert—A存入缓冲存储器278以后,CRL检验单元275 根据从HD-DVD播放器200a传送的CRL检验IC卡210a是否己被 注销(S7)。换言之,通过判断IC卡210a的ID是否列在CRL来进 行检验。当没被注销时,认证单元277使用证书认证中心(CA)公 开密钥PK一CA来验证IC卡公开密钥证书Cert—A (S8)。换言之,认 证单元277解密包含在IC卡公开密钥证书Cert_A中的公开密钥认证 中心数字签名,和验证IC卡公开密钥证书Cert—A是否确实属于IC 卡210a。在验证以后,随机数生成单元274生成第二随机数y'(即, 128比特),并将它存入缓冲存储器278 (S9)。椭圆曲线密码编码学 (ECC)处理单元276将第二个随机数y'乘以椭圆曲线上的基点G (常数),因此,生成y' G。然后将y' G存入缓冲存储器278 (S10)。 接下来,认证单元277生成对应于乘积y'G的数字签名Sl:=Sig(SK—i, y, G||x),并将该数字签名S1存入缓冲存储器278 (Sll)。该数字签 名是通过将密钥SK—i签进乘积y' G和第一随机数x的比特连接中 生成,符号"| |"代表比特连接,即,表示y, G和第一随机数x在 数字方面(digit direction)连接,以得到256比特(即,y, G是高 128比特,而随机数x是低128比特)。在完成数字签名Sl的存储以 后,认证单元277向IC卡210a发送乘积y, G和对应于乘积y' G 的数字签名Sl (S12)。
IC卡210a中的认证单元237将y' G和对应于y' G的数字签名 Sl存入缓冲存储器238,之后,使用从解扰器公开密钥证书Cert一i 获得的解扰器公开密钥PK一i来验证数字签名Sl是否是对应于y' G| |x的解扰器260的数字签名(S13)。换言之,通过使用解扰器公开密钥PK_i来解密数字签名Sl来进行验证,并且分开y' G和随机数x 的比特连接。这能够确认通信伙伴(解扰器260)不是非法伙伴。
在上述的验证以后,IC卡210a中的随机数生成单元234生成第 二随机数x',并将它存入缓冲存储器238 (S14)。椭圆曲线密码编码 学(ECC)处理单元236将第二随机数x'乘以椭圆曲线上的基点G (常数),由此生成x' G。然后,将x' G存入缓冲存储器238 (S15)。 接下来,认证单元237生成对应于乘积x'G的数字签名SO:=Sig(SK—A, x' G||y),并将该数字签名SO存入缓冲存储器238 (S16)。该数字签 名是通过将密钥SK—A签进乘积x' G和第一随机数y的比特连接中 来生成的,在存储数字签名以后,认证单元237向解扰器260发送乘 积x' G和数字签名SO (S17)。
解扰器260中的认证单元277将从IC卡210a收到的乘积x' G 和数字签名S0存入缓冲存储器缓冲存储器278。之后,认证单元277 使用从解扰器公开密钥证书Cert—A获得的解扰器公开密钥PK—A来 验证数字签名SO是否是对应于x' G| |y的解扰器260的数字签名 (S18)。换言之,通过使用解扰器公开密钥PK—i解密数字签名SI 来进行验证,并且分幵y' G和随机数x的比特连接。这能够确认通 信伙伴(解扰器260)不是非法伙伴。
在解扰器中的认证单元277验证为IC卡210a未被注销也没有被 窃听以后,将在自己这端生成的、存储在缓冲存储器278中的第二随 机数y'(即,128比特)乘以从通信伙伴获得的乘积x' G来计算K' =y, (x' G),并将结果K,作为会话密钥(session key)存入缓冲存 储器278 (S19)。
另一方面,在IC卡210a中的认证单元237验证为解扰器260未 被注销也没有被窃听以后,将在自己这端生成的、存储在缓冲存储器 238中的第二随机数x'(即,128比特)乘以从通信伙伴获得的乘积 y' G来计算K, =x, (y' G),并将结果K作为会话密钥存入缓冲存 储器238 (S20)。
结果,IC卡210a和解扰器260可以持有相同值的密钥K(-K,), 随后,它们可以将K^K')作为会话密钥使用来建立密码通信(S21)。在生成会话密钥K以后,IC卡210a中的内容密钥解密单元220a 执行内容密钥解密处理。在这个处理中,哈希函数处理单元222首先 计算从HD-DVD播放器200a传送来的CRL的哈希值Hash (S22)。 接下来,异或单元223执行存储在证书认证中心(CA)公开密钥存 储单元231中的IC卡210a自身的装置密钥KD—A与哈希值Hash间 的异或(S23)。解密处理单元224利用得到的异或值解密已加密内容 密钥,获得内容密钥Kc (S24),并将内容密钥Kc传送到认证单元 237,然后结束内容密钥解密处理。在给出内容密钥Kc以后,认证 单元237使用会话密钥K将其加密(S25),并将它经由SAC发送到 解扰器260 (S26)。这能够防止内容密钥Kc被窃听。解扰器260中的认证单元277使用会话密钥K'来解密从IC卡 210a收到的已加密内容密钥,获得内容密钥Kc (S27),并将内容密 钥Kc传送到解密处理单元280。解扰器260使用从认证单元277收 到的内容密钥Kc来解密己加密内容,并获得内容(S28)。这使能内 容能够在版权保护的情况下被解密。另外,可以用HD-DVD播放器200a替换IC卡21 Oa和解扰器260 , 以及用密钥没被注销的CRL替换捆绑到DVD 2a的CRL。在这种情 况下,与上述情况相同地设置SAC,并使用会话密钥来继续密码通 信步骤(S21)。在第一个实施例中,CRL和使用与CRL的哈希值Hash有关的信 息加密的已加密内容密钥环被捆绑到DVD2a。为此,当CRL被替换 时,已替换CRL的哈希值Hash与捆绑到DVD 2a的CRL的哈希值 Hash不匹配。结果,利用已替换CRL的哈希值Hash解密己加密内 容不可能得到合格的内容密钥Kc。为了获得解密已加密内容的合格 的内容密钥Kc,必须传送捆绑到DVD 2a的CRL作为回复。因此,通过排除解密装置200a执行非法操作,例如替换CRL, 可以加强版权保护。 (第二实施例)图6是根据第二实施例的记录介质版权保护系统lb的结构外视 图。因为与第一个实施例的记录介质版权保护系统la的组成部件对应的记录介质版权保护系统lb的组成部件的附图标记相同,所以除了与记录介质版权保护系统la不同的部分外,省略其说明。在根据第一实施例的加密装置100a的终端装置110a中,异或单 元115执行从哈希函数处理单元114输出的CRL哈希值Hash和每个 装置密钥间的异或运算。加密单元116使用该异或值来加密内容密钥 Kc,并生成已加密内容密钥环。另一方面,根据本发明第二实施例 的加密装置100b中的终端装置110b,加密单元117只使用存储在装 置密钥环存储单元112中的每个装置密钥来加密内容密钥Kc,并生 成一个只使用每个装置密钥来加密的已加密内容密钥环。根据第一实施例的加密装置100a中的终端装置110a将内容密钥 Kc没有任何改变地传送到终端装置160。因此,终端装置160使用 内容密钥Kc来加密内容,并生成已加密内容。另一方面,根据本发 明第二实施例的加密装置100b中的终端装置110b,在异或单元118 中执行从哈希函数处理单元114输出的CRL哈希值Hash和内容密钥 Kc间的异或运算,并将它传送到终端装置160。结果,终端装置160 接收该异或值、使用该异或值来加密内容,并在加密单元162生成已 加密内容。因此,没有与捆绑到DVD2b的每个已加密内容密钥有关的哈希 值Hash,但是已加密内容与哈希值Hash有关。这与DVD 2a的情况 相反。根据第一实施例的解密装置200a的内容密钥解密单元220a在异 或单元223中计算存储在装置密钥存储单元221中的自身装置密钥 KD一A和CRL的哈希值Hash间的异或。解密处理单元224使用该异 或值来解密与哈希值Hash有关的已加密内容,并得到内容密钥Kc。另一方面,因为哈希值Hash与捆绑到DVD 2b的已加密内容密 钥无关,根据第二实施例的解密装置200b的内容密钥解密单元220b 在解密处理单元225中只使用存储在装置密钥存储单元221中的自身 装置密钥来解密已加密内容密钥,并获得内容密钥Kc。自捆绑到DVD 2b的已加密内容与哈希值Hash有关后,异或单元226执行从解密处 理单元225得到的内容密钥Kc和在哈希函数处理单元222计算出的CRL哈希值Hash间的异或运算,并将得到的异或值传送到认证处理 单元230a中的认证单元237。内容密钥Kc和哈希值Hash间的异或值经由SAC和解扰器260 中的认证单元277从认证单元237传送到解密处理单元280。解密处 理单元280通过使用内容密钥和哈希值Hash间的异或值来解密与记 录在DVD 2b的哈希值Hash有关的已加密内容,从而获得内容。因此,在根据第二实施例的记录介质版权保护系统lb中,必须 传送捆绑到DVD2a的CRL,以获得用于解密内容的密钥。结果,通 过排除解密装置200b执行非法操作,例如替换CRL,可以加强版权 保护。(第三实施例)图7是根据第三实施例的记录介质版权保护系统lc的整体结构 的功能方框图。在本图中,对应于第一个实施例的记录介质版权保护 系统la的功能部分没有示出,只示出了记录介质版权保护系统lc所 特有的部分。根据第一实施例的解密装置200c的IC卡210a只是简单地向解 扰器260b传送得到的内容密钥Kc。这样,IC卡210a自己不可能知 道得到的密钥是否是可以解密已加密内容的合格密钥。因此,希望在 将得到的内容密钥Kc传送到解扰器260b之前就预先检验解扰器260 是否具有正确值。因此,根据第三实施例的记录介质版权保护系统lc是具有密钥 检验功能的系统。加密装置100c的版权保护许可方所用的终端装置 110c除了终端装置110a的组成部件以外还具有固定格式存储单元 119。固定格式存储单元119预先存储使用内容密钥Kc加密的预定固 定格式明文(即,用十六进制表示的固定格式明文 "0123456789ABCDEF")。存储在固定格式存储单元119中的该固定 格式经由终端装置160捆绑到DVD 2c。在解密装置200c的IC卡210c中设置的内容密钥解密单元220c 除了内容密钥解密单元220a的组成部件以外,还包括解密处理单元 227和内容解密密钥检验单元228。解密处理单元227使用解密处理单元224解密的内容密钥Kc来解密捆绑到DVD 2a的固定格式明文 的加密数据。内容解密密钥检验单元228预先持有上述的固定格式明 文"0123456789ABCDEF",并通过检验预先持有的固定格式明文和 解密处理单元227所解密的固定格式明文是否相同来检验解密密钥 Kc是否具有正确值。根据记录介质版权保护系统lc,可以预先检验IC卡210c中的内 容密钥Kc是否具有正确值。并可以避免在解扰器260中使用错误的 内容密钥Kc来执行解密处理。在根据第三实施例的记录介质版权保护系统lc中,尽管已经对 根据第一实施例的记录介质版权保护系统la应用了密钥检验功能, 但是密钥检验功能也可以应用于根据第二实施例的记录介质版权保 护系统lb。在这种情况下,因为要使用内容密钥Kc和CRL的哈希值Hash 间的异或值来加密内容,所以固定格式存储单元119预先将使用内容 密钥Kc和CRL的哈希值Hash间的异或值加密的固定格式明文 "0123456789ABCDEF",作为固定格式存储,并记录到DVD2c上。 内容密钥解密单元220c中的解密处理单元227输出解密处理单 元224即输出异或单元226 (参见图6)来替代内容密钥Kc,即使用 内容密钥Kc和CRL的哈希值Hash间的异或值来解密DVD 2a所捆 绑的规定格式明文的加密数据。通过检验预先持有的固定格式明文 "0123456789ABCDEF"和解密处理单元227解密的固定格式明文是 否相同,内容解密密钥检验单元228能够检验用于解密已加密内容的 密钥是否是合格密钥,换言之,内容密钥Kc和CRL的哈希值Hash 间的异或值是否具有正确值。 (第四实施例)图8是根据第四实施例的记录介质版权保护系统ld的整体结构 的功能方框图。在本图中,对应于第一实施例的记录介质版权保护系 统la的功能部分也没有示出,只示出了记录介质版权保护系统ld所 特有的部分。根据第四实施例的记录介质版权保护系统ld是具有与记录介质版权保护系统lc相同密钥检验功能的系统。加密装置100d的终端装 置110d除了终端装置110a的组成部件以外,还包括加密单元131。 加密单元131生成使用从内容密钥存储单元113读出的内容密钥Kc 加密的内容密钥参考数据。该内容密钥参考数据捆绑到DVD 2d。另一方面,在解密装置200d中的IC卡210d的内容密钥解密单 元220d除了内容密钥解密单元220a的组成部件以外,还包括加密单 元241和内容密钥检验单元242。加密单元241与终端装置110d的 加密单元131的结构相同,使用内容密钥Kc来加密解密处理单元224 解密的内容密钥,并生成内容密钥参考数据。内容密钥检验单元242 将加密单元241中生成的内容密钥参考数据与DVD 2d所捆绑的内容 密钥参考数据匹配,通过检验解密处理单元224所解密的内容密钥 Kc是否是合格密钥,即该密钥可否用于解密已加密内容,来检验这 两个数据是否相同。如上所述,根据记录介质版权保护系统ld,与记录介质版权保 护系统lc相同,可以检验IC卡210d中的内容密钥Kc是否具有正确 值。可以避免在解扰器260中使用错误的内容密钥Kc来执行解密处 理。在根据第四实施例的记录介质版权保护系统Id中,尽管密钥检 验功能应用于根据第一实施例的记录介质版权保护系统la,但密钥 检验功能还可应用于根据第二实施例的记录介质版权保护系统lb。在这种情况下,因为要使用内容密钥Kc和CRL的哈希值Hash 之间的异或值来加密内容,加密单元131输出内容密钥存储单元113, 即输出异或单元118来替代内容密钥Kc ,即使用内容密钥Kc和CRL 的哈希值Hash间的异或值来解密捆绑到DVD 2a的固定格式明文的 加密数据,并将它作为内容密钥参考数据记录到DVD2c。另一方面,内容密钥解密单元220c中的加密单元241输出解密 处理单元224即输出异或单元226 (参见图6)来替代内容密钥Kc, 即使用异或值来加密内容密钥Kc和哈希值Hash之间的异或值。通 过比较加密单元241生成的内容密钥参考数据和捆绑到DVD2d的内 容密钥参考数据,内容密钥检验单元242检验异或单元226所生成的密钥是否是用于解密已加密内容的合格密钥。 (第五实施例)图9是根据第五实施例的记录介质版权保护系统le的整体结构 的功能方框图。在本图中,对应于第一个实施例的记录介质版权保护 系统la的功能部分也没有示出,只示出了记录介质版权保护系统le 所特有的部分。根据第五实施例的记录介质版权保护系统le是具有与记录介质 版权保护系统lc和ld相同密钥检验功能的系统,它的组成部件与根 据第四实施例的加密装置100d相同。加密单元131生成的内容密钥 参考数据被捆绑到DVD 2d。在解密装置200e中IC卡210e中设置的内容密钥解密单元220e 除了内容密钥解密单元220a的组成部件以外,还包括解密处理单元 243和内容密钥检验单元244。解密处理单元243在上述的加密单元 131中加密,并使用解密处理单元224解密的内容密钥Kc解密捆绑 到DVD 2d的内容密钥参考数据。内容密钥检验单元244将在解密处 理单元224解密的内容密钥Kc与在解密处理单元243解密的内容密 钥Kc匹配,并通过检验解密处理单元224所解密的内容密钥Kc是 否是合格密钥,即该密钥可否用于解密已加密内容,来检验这两个数 据是否相同。如上所述,根据记录介质版权保护系统le,与记录介质版权保护 系统lc和ld相同,可以检验IC卡210d中的内容密钥Kc是否具有 正确值。可以避免在解扰器260中使用错误的内容密钥Kc来执行解 密处理。在根据第五实施例的记录介质版权保护系统le中,尽管密钥检 验功能应用于根据第一实施例的记录介质版权保护系统la,密钥检 验功能还可应用于根据第二实施例的记录介质版权保护系统lb。在这种情况下,因为要使用内容密钥Kc和CRL的哈希值Hash 间的异或值来加密内容,这与第四实施例相同,加密单元131输出内 容密钥存储单元113,即输出异或单元118来替代内容密钥Kc,即使 用内容密钥Kc和哈希值Hash的异或值来解密捆绑到DVD 2a的固定格式明文的加密数据,并将它作为内容密钥参考数据记录到DVD2c。 另一方面,内容密钥解密单元220e中的解密处理单元243输出 解密处理单元224即输出异或单元226 (参见图6)来替代内容密钥 Kc,即使用内容密钥Kc和哈希值Hash间的异或值来解密。内容密 钥检验单元244检验异或单元226所生成的密钥是否是用于解密已加 密内容的合格密钥,即比较内容密钥Kc和哈希值Hash间的异或值 与解密处理单元243所解密的密钥,并检验这两个值是否匹配。 (第六实施例)图10是根据第六实施例的记录介质版权保护系统的整体结构的 功能方框图。如上所述,在记录介质版权保护系统la到le中,CRL 检验单元235检验DVD所捆绑的CRL并判断通信伙伴(解扰器260) 是否被注销。但是,根据这种检验,如果制造DVD的时间在前,即 捆绑到DVD的CRL是旧的,那么当在更新CRL后注销通信伙伴(解 扰器260)的公开密钥证书时,就不可能注销解扰器260。为此,必 须使用最新CRL来判断通信伙伴(解扰器260)是否被注销。因此,根据第六实施例的记录介质版权保护系统lf除了在解密 装置200f中IC卡210f中的认证处理单元230b中的认证处理单元 230a的组件以外,还具有最新版CRL存储处理单元239。最新版CRL存储处理单元239是一个用于存储从其接收的CRL 中提取的最新版CRL,并将其保持在解密装置200f中的处理单元。 该处理单元包括最新版检测处理单元2391、最新版检测信息存储单 元2392和存储单元2393。最新版检测处理单元2391每收到DVD 2a所捆绑的CRL都验证 该CRL是否最新。最新版检测信息存储单元2392存储解密装置200f所持有的CRL 的最新版检测信息(即,列表的文件大小)。存储单元2393存储解密装置200f所持有的CRL的哈希值Hash (即,128比特)。其原因在于,当更大的CRL存入IC卡210f内时, IC卡210f的成本效率会变高。也就是说,在本实施例中,最新版CRL 存储单元250安装在IC卡210f外(和解密装置200f内),并存储最新版CRL,从而只将列表中的哈希值Hash存入IC卡210f内的存储 单元2393 。当CRL检验单元235检验通信伙伴是否是已注销装置时, 从IC卡210f读出最新版CRL,并使用哈希值Hash来检验它。更具体地,当收到DVD 2a所捆绑的新的CRL时,最新版检测 处理单元2391执行CRL是否是最新版的验证,即图11A的流程图所 示的持有(或不持有)CRL的中间处理。也就是说,最新版检测处理单元2391比较记录在DVD 2a所捆 绑的CRL头的文件大小与存储在最新版检测信息存储单元2392中的 大小(S101)。这种比较是基于已注销计算机单调递增和文件大小随 时间而变大的CRL特性。结果,当DVD2a所捆绑的CRL文件大小大于(S101 "是")先 前的CRL时,即当此时从DVD2a读出的CRL最新时,通过将最新 版列表存入(重写)到最新版检测信息存储单元2392来更新最新版 的文件大小(S102)。最新版检测处理单元2391计算最新版列表的哈 希值Hash,将哈希值Hash存入存储单元2393 (S103),将最新版列 表存入最新版CRL存储单元250 (S104),并将最新版列表转发到 CRL检验单元235 (S105)。因此,确认验证处理结束。另一方面,当DVD 2a所捆绑的CRL文件大小不大于(S101"否") 先前的CRL时,即当此时从DVD2a读出的CRL不是最新时,则最 新版检测处理单元2391立即结束确认验证处理。如图11B所示,当 必须有最新CRL时,才执行读出最新CRL的处理。在读出处理中,最新版检测处理单元2391从存储单元,即最新 版CRL存储单元250的外部读出最新版列表(Slll),计算最新版列 表的哈希值Hash (S112),并验证计算的哈希值Hash是否与存储在 存储单元2393中的哈希值Hash匹配(S113)。执行此验证,用于检 测是否进行了替换。当没有进行替换时,这两个哈希值Hash匹配。当哈希值Hash匹配(在S113中为"是")时,最新版检测处理 单元2391将从最新版CRL存储单元250读出的最新版列表转发到 CRL检验单元235 (S114),并结束最新版列表读出处理。另一方面, 当哈希值Hash不匹配(在S113中为"否")时,最新版检测处理单24元2391停止处理(S115),并结束读出处理。当由于两个哈希值Hash 失配而没有读出最新CRL时,最新版检测处理单元2391假设执行了 一些未授权的使用,并在使用CRL的处理以后结束所有的处理(拒 绝伙伴计算机认证)。结果,根据第六实施例的记录介质版权保护系统lf,将从DVD 2a 读出的CRL中的最新列表保持在最新版CRL存储单元250中并使用。 因此,可以避免使用旧的CRL来认证伙伴装置。另外,根据第六实施例,文件大小可以以一种方式用来确认最新 版列表,而且CRL中登记的证书号(序列流水号)也可用于确认处 理。将参照
施加到HD-DVD播放器上的根据本发明实施例 的记录介质版权保护系统的解密装置200a到200f。现在参见图12,其示出了 HD-DVD播放器排列的外视图,该 HD-DVD播放器包括根据本发明实施例的记录介质的解密装置200a 到200f。HD-DVD播放器200是使用IC卡210a到210f播放记录在DVD 2a到2d中的内容(BP,电影)的系统。它包括插入IC卡210a到210f 的插卡器2100、播放DVD 2a到2d的DVD-ROM驱动器2200,和在 HD-DVD播放器200内实现的解扰器260。另外,IC卡210a到210f是塑料卡,它嵌入了包括CPU的IC端, 该卡能够验证在读出数据时的访问是不是合格的访问。结果,外来者 非常难以进行未授权的使用或篡改,因此保证了较高的安全性。由于根据本发明的加密装置应用在图像播放系统,所以记录在 DVD 2a到2d中的数字产品可以受到保护而不被非法复制,可以预期 本发明在多媒体相关产品流通市场中的开发。 (第七实施例)现在参见图13,图13是根据第七实施例的记录介质版权保护系 统lg的整体结构的功能方框图。因为与第一实施例的记录介质版权 保护系统la的组成部件对应的记录介质版权保护系统lg的组成部件 的附图标记相同,所以除了与记录介质版权保护系统la不同的部分外,省略其说明。在根据第一实施例的加密装置100a将两个密钥,装置密钥环 KD_A和内容密钥Kc分别存储到装置密钥环存储单元112和内容密 钥存储单元113。然后使用装置密钥环KD—A加密内容密钥Kc并生 成已加密内容密钥,该装置密钥环KD一A与CRL的哈希值Hash有 关。也就是说,加密装置是带有装置密钥KD—A和内容密钥Kc的双 层结构。这种结构通常使加密增强对攻击的防护。但是,还存在有想进一步增强加密的许可方。因此,根据第七实 施例的加密装置100e的终端装置llOe通过采用三层结构,即上述的 装置密钥环KD一A、内容密钥Kc以及光盘密钥Kd来增强加密。换言之,除了CRL存储单元lll、装置密钥环存储单元112、内 容密钥存储单元113、哈希函数处理单元114、异或单元115以外, 加密装置100e的终端装置llOe还包括存储光盘密钥Kd的哈希函数 处理单元114、加密单元142、 143。另外,考虑到DVD记录了多个 内容(接近为7),光盘密钥Kd位于DVD的上层。加密单元142使用哈希值Hash与每个装置密钥KD—A间的异或 值来加密存储在光盘密钥存储单元141中的光盘密钥Kd,并生成已 加密光盘密钥环。加密单元143使用光盘密钥Kd来加密存储在内容密钥存储单元 113中的内容密钥Kc,并生成已加密内容密钥。结果,终端装置160将已加密内容、CRL、通过加密单元142、 143生成的已加密光盘密钥环和已加密内容密钥捆绑到DVD2e。作为对上述的响应,解密装置220f中的IC卡210g中的内容密 钥解密单元220f只存储装置密钥KD—A,并通过使用装置密钥KD—A 和CRL的哈希值Hash解密DVD 2e所捆绑的已加密光盘密钥环来解 密光盘密钥Kd。此外,它通过使用光盘密钥Kd解密DVD 2e所捆绑 的已加密内容密钥来解密内容密钥Kc。换言之,内容密钥解密单元220f除了装置密钥存储单元221、哈 希函数处理单元222和异或单元223以外,还包括解密处理单元245 和246。解密处理单元245通过使用装置密钥KD—A的哈希值Hash和 CRL的哈希值Hash来解密解扰器260所传送的已加密光盘密钥环, 从而来解密光盘密钥Kd。解密处理单元246通过使用光盘密钥Kd解密解扰器260所传送 的已加密内容密钥,来解密内容密钥Kc。因此,根据第七实施例的记录介质版权保护系统lg,与第一个 实施例相同,应当给出DVD2e所捆绑的CRL,以获得用于解密返回 内容的密钥。因为密钥为三层,这不仅能够排除替换CRL的非法解 扰器260,还能够进一步加强版权保护。结果,增加了防止攻击的加 密强度。另外,尽管在本实施例中密钥为三层,但也可以是多层。在这种 情况下,防止攻击的加密强度会更强。而且,终端装置110e还可以进一步包括向DVD 2e输出确认数 据的确认数据输出单元,该确认数据是用于验证已解密内容密钥是不 是解密装置200k中的合格密钥的标准。该确认数据输出单元还将使 用内容密钥存储单元113所存储的内容密钥加密预定的固定格式数 据而得到的数据作为确认数据,输出到DVD2e。另外,对应于终端 装置110e,内容密钥解密单元220f还包括内容解密密钥检验单元 228、内容密钥检验单元242、和内容密钥解密检验单元244,以验证 已解密内容密钥是不是合格密钥。 (第八实施例)现在参见图14,图14是根据第八实施例的记录介质版权保护系 统lh的整体结构的功能方框图。因为与第一个实施例的记录介质版 权保护系统lg的组成部件对应的记录介质版权保护系统lh的组成部 件的附图标记相同,所以除了与记录介质版权保护系统lg不同的部 分之外,省略其说明。根据第七实施例的加密装置100e中的终端装置110e使用哈希值 Hash与每个装置密钥KD_A间的异或值来加密存储在光盘密钥存储 单元141中的光盘密钥Kd,并生成已加密光盘密钥环,之后使用光 盘密钥Kd加密存储在内容密钥存储单元113中的内容密钥,并且生成已加密内容密钥。结果终端装置110e加强了防止攻击的加密强度, 但是两次解密处理的负荷变高。在内容密钥解密单元220f中,两次 解密处理的负荷也变高。因此,根据记录介质版权保护系统lh的加密装置100f的终端装 置110f,通过去除内容密钥Kc的加密处理来降低负荷,即使用介质 ID存储单元144来存储每个DVD所特有的介质ID和MID,从而取 代内容密钥存储单元113,以及使用生成基于介质ID和MID的内容 密钥Kc的单向函数单元145,从而取代加密单元I43。换言之,除了CRL存储单元lll、装置密钥环存储单元112、哈 希函数处理单元114、异或单元115、光盘密钥存储单元141和加密 单元142以外,加密装置100f中的终端装置110f还包括介质ID存 储单元144和单向函数单元145。单向函数单元145 (即,异或)通过将存储在介质ID存储单元 144中的介质ID、 MID和光盘密钥Kd输入单向函数而生成内容密钥 Kc。生成内容密钥Kc的负荷比图13所示的加密单元143生成已加 密内容密钥的处理负荷高得多。除了 CRL和已加密内容以外,终端装置160还将加密单元142 生成的已加密光盘密钥环、介质ID存储单元144输出的介质ID和 MID捆绑到DVD 2f。另一方面,解密装置200h的IC卡210h中的内容密钥解密单元 220g只存储装置密钥KD—A,通过解密DVD 2e所捆绑的已加密光盘 密钥环和CRL的哈希值Hash来解密光盘密钥Kd,并根据捆绑到DVD 2e的介质ID、 MID和光盘密钥Kd来生成内容密钥Kc。换言之,内容密钥解密单元220g除了装置密钥存储单元221、 哈希函数处理单元222、异或单元223和解密处理单元245以外,还 包括与单元145结构相同的单向函数单元247。单向函数单元247使用光盘密钥Kd,通过处理放入单向函数单 元247中的介质ID和MID来生成内容密钥Kc。该内容密钥Kc生成 处理的负荷要小于图13的解密处理单元246中的内容密钥解密处理 的负荷。因为它们捆绑到DVD 2f,所以很容易获知介质ID和MID。但 是,很难得知单向函数单元145和247的结构,这与密钥的情形相同。因此,因为根据第八实施例的记录介质版权保护系统lh应当传 送DVD2a所捆绑的CRL,以得到用于解密返回内容的密钥,与第一 实施例相同,这能够排除执行未授权使用(例如替换CRL)的解扰 器260并提高防止攻击的加密强度。因此,版权保护的加密强度得以 进一步提高,并将低了终端装置110f和内容密钥解密单元220g的负 荷。另外,终端装置110f还进一步包括向DVD2f输出确认数据的确 认数据输出单元。该确认数据是确认解密装置200f所解密的内容密 钥是不是合格密钥的标准。确认数据输出单元还可以使用存储在内容 密钥存储单元113中的内容密钥来加密预定固定格式数据,并作为确 认数据输出。另外,确认数据输出单元可以向DVD2f输出通过使用 内容密钥加密内容密钥而得到的数据作为确认数据。响应于终端装置 110f,内容密钥解密单元220a可以包括内容解密密钥检验单元228、 内容密钥检验单元242和内容解密密钥检验单元244。 (第九实施例)现在参见图15,图15是根据第九实施例的记录介质版权保护系 统li的整体结构的功能方框图。因为与第一个实施例的记录介质版 权保护系统la的组成部件对应的记录介质版权保护系统li的组成部 件的附图标记相同,所以除了与记录介质版权保护系统la不同的部 分外,省略其说明。顺便提一下,DVD介质有版权保护也是必要的,这与HD-DVD 的情况相同,因为DVD与个人计算机(PC)的关系非常密切。因此, DVD可以从个人计算机(PC)中读出,当DVD驱动器安装到PC时, 同时,PC将播放软件安装到硬盘,以便利用作为解密装置的PC观 看内容,这与DVD-HD的情况相同。解密装置200a包括根据第一实施例的IC卡210a和解扰器260, 但是PC的解密装置通常包括DVD驱动器和播放软件。因此,解密装置200i包括DVD驱动器400和DVD播放PC软件500, DVD驱动器400包括解扰器260和认证处理单元270, DVD 播放PC软件500包括IC卡210a和解扰器260中的解密处理单元280。 进一步的信息,DVD驱动器400的制造商不同于DVD播放PC软件 500。DVD驱动器400与认证处理单元270的结构相同。DVD驱动器 400包括总线认证公开密钥证书存储单元410、总线认证密钥存储单 元420、公开密钥解密单元430、密钥计算单元440和总线加密单元 450。DVD驱动器400中的总线认证公开密钥证书存储单元410预先 存储总线认证公开密钥证书,例如IDE总线和SCSI总线,以及当 DVD 2a播放内容时,将总线认证公开密钥证书410传送到DVD播 放PC软件500。总线认证密钥存储单元420、公开密钥解密单元430、密钥计算 单元440和总线加密单元450产生会话密钥K并形成DVD播放PC 软件500之间的SAC。DVD播放PC软件500包括证书合格检验单元510、公开密钥有 效性检验单元520、公开密钥加密单元530、验证单元540、密钥计 算单元550、总线解密单元560、哈希函数处理单元570、装置密钥 存储单元580、解密处理单元解密处理单元590、 595。上述的每个单 元在软件、PC中的CPU和存储器等中实现。证书合格检验单元510通过使用公开密钥解密从总线认证公开 密钥证书存储单元410发送的证书来检验证书是否合格。在从证书合格检验单元510收到证书合格的通知以后,公开密钥 有效性捡验单元520参考经由DVD驱动器400收到的用于总线认证 的CRL和从最新版CRL存储单元250读出的用于总线认证的CRL 来检验该DVD驱动器是否已被注销。当公开密钥加密单元530、验证单元540、密钥计算单元550和 总线解密单元560从公开密钥有效性检验单元520收到DVD驱动器 400未被注销的通知时,即DVD驱动器400合格时,生成会话密钥 K',并在DVD驱动器400之间形成SAC。公开密钥加密单元530计算CRL的哈希值Hash。 装置密钥存储单元580预先存储装置密钥KD_A。 解密处理单元590根据从总线解密单元560输出的已加密内容密钥、从哈希函数处理单元570输出的哈希值Hash和装置密钥KD—A来产生内容密钥Kc。解密处理单元590通过使用内容密钥Kc解密DVD 2a所捆绑的已加密内容来生成内容。这里说明DVD驱动器400和DVD播放PC软件500之间执行的认证处理。在收到DVD驱动器合格的通知以后,公开密钥加密单元530产 生随机数cha,使用用于总线认证的伙伴公开密钥来加密生成的随机 数cha、和将已加密随机数cha传送到公开密钥解密单元430。公开密钥解密单元430通过使用存储在总线认证密钥存储单元 420中的密钥存储单元中的总线认证密钥来解密已加密随机数cha, 从而获得随机数cha。公开密钥解密单元430使用用于总线认证的伙 伴公开密钥来加密生成的随机数cha和自身密钥,将加密结果传送到 验证单元验证单元540和将随机数cha和密钥传送到密钥计算单元 440。密钥计算单元440根据随机数cha和密钥来计算会话密钥K, 并将它传送到总线加密单元450。总线加密单元450加密已加密内容 密钥环和将双重加密的内容密钥环发送到DVD播放PC软件500。一方面,DVD播放PC软件500中的验证单元540验证通过使用 自身密钥解密而得到的随机数cha是否与原始随机数cha匹配,当它 们彼此匹配时,将随机数cha和伙伴密钥传送到密钥计算单元550。 密钥计算单元550利用随机数cha和伙伴密钥来计算会话密钥并 传送到总线解密单元560。总线解密单元560使用会话密钥K'解密 双重加密的内容密钥环,生成已加密内容密钥环和向解密处理单元 5卯输出已加密内容密钥环。另 一方面,哈希函数处理单元570计算从DVD驱动器输出的CRL 的哈希值Hash,并将哈希值Hash输出到解密处理单元590。解密处 理单元590使用装置密钥KD—A,通过计算已加密内容密钥环和哈希将内容密钥解密到已加密值,并且通过解密 装置密钥KD_A来解密内容密钥Kc,并将它传送到解密处理单元 595。解密处理单元595使用内容密钥Kc解密DVD 2a所捆绑的已加 密内容,并播放内容。因此,根据第九实施例的记录介质版权保护系统li的解密装置 200i,即包括DVD驱动器400和DVD播放PC软件500的PC应传 送DVD 2a所捆绑的CRL,以得到用于解密返回内容的密钥,与 HD-DVD的情况相同。结果这使计算机能够排除未授权使用(例如 替换CRL)的非法解扰器260,由此保护版权。另外,解密装置200i在DVD2e播放时访问终端装置300,即当 PC连接到互联网时,解密装置200i从终端装置300下载最新CRL, 并利用已下载的最新CRL在公开密钥有效性检验单元520中检验 DVD驱动器400是否已被注销。根据第九实施例的解密装置200i包括DVD驱动器400和DVD 播放PC软件500,但是DVD播放PC软件只具有我们所称的"解扰" 功能。因此在这种情况下,假设解密装置200i应当结合许可方提供 保护模块A使用。换言之,PC应当对IC卡210a和解密装置200i采 用灵活的方式,DVD驱动器400可以包含在IC卡210a中,DVD播 放PC软件可以部分地处于该PC的解密处理单元中。在这种情况下,在DVD播放PC软件中设置DVD驱动器400和 IC卡210a之间、IC卡210a和解密处理单元595之间的SAC后,通 过解密从DVD驱动器400读出的已加密内容,来播放内容。另外,加密装置lOOa还可以包括向DVD 2a输出确认数据的确 认数据输出单元,该确认数据是确认解密装置200i所解密的内容密 钥是不是合格密钥的标准。当在确认数据输出单元可以将使用存储在 内容密钥存储单元113的内容密钥来加密预定的固定格式数据而得 到的数据作为确认数据向DVD2f输出时,或在确认数据输出单元可 以将使用内容密钥加密内容密钥而得到的数据作为确认数据向DVD 2f输出时。内容密钥解密单元220i可以包括检验内容密钥是不是合 格密钥的内容解密密钥检验单元228、内容密钥检验单元242和内容244。上面解释了根据本发明实施例的版权保护系统。但是,本发明并不局限于上述实施例。例如,在上述版权保护系统的实施例中,数字产品经由DVD介 质传送,但是经由例如互联网的传输媒介传送数字产品的系统也可应 用到本发明。换言之,通过替换"记录到记录介质"为"发送到传输 线路"和替换"从记录介质读出"为"从传输线路接收"方式的系统 也可应用到本发明。另外,本发明可应用于通过组合记录介质和传输媒介来传送数字 产品的系统。也就是说,已加密内容可以由例如DVD的记录介质提 供,用于解密已加密内容的密钥和CRL通过传输媒介、网络递送提 供。也可以应用相反的情况,密钥由记录介质提供,已加密内容由传 输媒介、网络递送提供。在通过组合记录介质和传输媒介传送数字产 品的系统中,可以在己加密内容和密钥中选择由记录介质提供,或者 由传输媒介、网络递送提供。在上述的实施例中,版权保护模块(防止篡改模块)用于IC卡 210a到210f,但是,可以应用将IC卡210a到210f的每个结构集成 到一个芯片的LSI210i,而且LSI210i可以安装在插座(socket) 210j 或通过焊接安装在电路板上。另外,在上述的实施例中,IC卡210a 到210f由版权保护许可方提供,但是也可以使用由解密装置200a到 200f的制造商制造的IC卡210a到210f或LSI 210i,以取代IC卡210a 到210f。另外,在上述的实施例中,根据本发明的版权保护系统可广泛地 应用于版权保护许可方或内容制造商的加密装置100a到100f和用户 所用的解密装置200a到200f,但是,当执行密码通信处理时,本系 统还可应用于小范围,例如家庭范围或企业内联网。 (第十实施例)图17是表示经家庭LAN与内容建立密码通信的版权保护系统整 体结构的方框图,图18是表示图17和图18中的AV服务器100j、 每个等离子TV 200k、VTR 200m和DVD记录器200n的结构方框图。33在图18中,因为等离子TV 200k、 VTR 200m和DVD记录器200n 的结构与版权保护系统的结构相同,所以只将等离子TV200k作为例 子示出。版权保护系统lj包括作为传输媒介的家庭LAN 30、连接到家庭 LAN30的AV服务器100j、作为客户的等离子TV200k、 VTR200m 和DVD记录器200n。尽管AV服务器lOOj具有几乎与图1所示的加密装置100a相同 的组成部件,但是AV服务器lOOj将从屋外接收的内容存入包括HDD 的内容存储单元161,并经由家庭LAN30通过已存储内容传送的请 求来传送内容。这是不同点。更具体地,AV服务器100j从广播站100g经由广播(BS、 CS) 或陆地广播的广播网3a、从内容提供商的服务器100h经由互联网3b、 或从CATV广播100i经由CATV网3c接收内容,并将内容存入内容 存储单元161。AV服务器100j包括会话密钥存储单元112a。当从例如等离子 TV200k的客户传送存储在内容存储单元161的内容的请求后,根据 传送请求在等离子TV200k之间形成SAC。将在形成SAC时得到的 会话密钥Kses存入会话密钥存储单元112a,并使用会话密钥Kses 代替在加密装置100a中使用的装置密钥来加密内容密钥Kc。加密装 置100a使用装置密钥,即会话密钥Kses加密内容密钥Kc。这是与 加密装置100a的不同点。另一方面,等离子TV200k、 VTR 200m和DVD记录器200n具 有与图1所示的解密装置200a几乎相同的组成部件,但是等离子TV 200k、 VTR 200m和DVD记录器200n中的每个都包括会话密钥存储 单元221a,用于存储在AV服务器lOOj之间形成SAC时得到的会话 密钥,并使用存储在会话密钥存储单元221a中的会话密钥Kses解密 内容密钥Kc。这是与使用装置密钥KD一A解密内容密钥Kc的解密 装置200a的不同点。下面描述根据版权保护系统lj的AV服务器lOOj和等离子TV 200k之间的处理,集中在与版权保护系统la的不同点上。AV服务器100j利用来自客户、DVD记录器200n的传送请求使 用椭圆曲线密码编码学(ECC)来执行等离子TV 200k之间的SAC 处理。AV服务器100j和等离子TV 200k持有彼此相同的会话密钥 Kses值。AV服务器100j将会话密钥Kses存入会话密钥存储单元 112a,等离子TV 200k的版权保护模块210k中的内容密钥解密单元 220h将会话密钥Kses存入会话密钥存储单元221a。 AV服务器100j 中的异或单元115执行等离子TV 200k之间共享的会话密钥Kses与 CRL的哈希值Hash间的异或运算。加密单元116使用异或单元获得 值作为密钥来加密内容密钥Kc。加密单元162使用内容密钥加密内 容,该内容是已请求AV数据。在完成内容密钥和内容的加密以后, AV服务器100j经由家庭LAN 30向等离子TV 200k发送已加密内容 密钥、已加密内容和CRL。等离子TV 200k中的版权保护模块210k接收经由家庭LAN 30 发送的CRL和已加密内容。解扰器260接收CRL和已加密内容。在 等离子TV 200k的版权保护模块210k中的内容密钥解密单元220h 中的异或单元223执行存储在会话密钥存储单元221a中的会话密钥 Kses和哈希函数处理单元222获得的CRL哈希值之间的异或运算。 解密处理单元224使用异或单元223获得的值作为密钥来解密内容密 钥。'在等离子TV 200k中的版权保护模块210k和解扰器260之间基 于CRL来执行SAC处理,并且会话密钥KK是共享的。版权保护模块210k中的认证单元237使用共享会话密钥KK加 密内容密钥Kc,将内容密钥Kc发送到解扰器260。解扰器260中的 认证单元277解密内容密钥Kc。解密处理单元280使用得到的内容 密钥Kc来解密已加密内容。因此,对使用连接到相对小规模网络,例如家庭网或内联网的客 户来说,使用该内容是容易的。此外,对终端用户严格控制版权保护。另外,在第十实施例中,使用会话密钥Kses来取代装置密钥, 但是密钥Ks可以预先在AV服务器100j和等离子TV 200k之间共享, 并使用来取代会话密钥。为了检验已解密内容密钥是不是合格密钥,则上述预定的固定格式数据可以与CRL—起发送,并在版权保护模 块210k中确定。另外,通过组合上述实施例的处理可以实现各种加密装置或解密 装置。也就是说,在加密的情况下,(1)当我们称每个处理;i. 密钥的加密ii. 单向函数的变换至于层,系统可以选择是两层或三层,(2)对于用于加密内容的 密钥,可以选择这个密钥是内容密钥或是通过单向函数中的变换介质 ID得到的函数值,(3)对于CRL哈希值的关联对象,可以选择对象 是装置密钥、光盘密钥、内容密钥、介质ID、会话密钥或是通过单 向函数中的变换介质ID得到的函数值。因此,通过任意组合上述独 立的三个参数(1)、 (2)和(3)可以实现各种形式的加密装置、解 密装置和IC卡。另外,上述密钥加密(或解密)的层数并不局限于1到3。层数 可以超过3。考虑到这些变化,下面将描述加密装置、解密装置和IC 模块(密钥生成装置)。也就是说,有关使用内容密钥的加密方法;一种加密装置中的加密方法,该加密装置用于加密数字产品和将 数字产品输出到记录介质或传输媒介,该加密方法包括(1) 加密步骤,用于对第一密钥到第(n-l)密钥,重复使用n(》 2)个密钥中的第一密钥来加密数字产品和使用第i(2《i《n)密钥加密 第(i-l)密钥的链式加密处理;和(2) 输出步骤,用于向记录介质和传输媒介输出已加密的第一 密钥到第(n-l)密钥,其中使用第一密钥到第n密钥中至少一个的链式加密处理包括 第一步骤,用于在加密之前使用基于CRL细节的属性值变换密钥, 该CRL是指定己注销公开密钥证书的信息列表。有关使用介质ID的加密方法;一种加密装置中的加密方法,该加密装置用于加密数字产品和将 数字产品输出到记录介质或传输媒介,该加密方法包括(1) 加密步骤,用于对第一密钥到第(n-l)密钥,重复使用n(》 l)个密钥中的第一密钥利用单向函数来变换介质标识信息、使用已变 换的介质标识信息加密数字产品、和在n》2的情况下,利用第i(2《 i《n)密钥加密第(i-l)密钥的链式加密和变换处理;和(2) 输出步骤,用于向记录介质和传输媒介输出已加密的第一 密钥到第(n-l)密钥,其中使用第一密钥到第n密钥中至少一个的链式加密或变换处 理包括第二步骤,用于(1)在加密之前使用基于CRL细节的属性值 变换密钥,该CRL是指定已注销公开密钥证书的信息列表,或(2) 使用属性值变换通过变换得到的介质标识信息。有关使用内容的解密方法;一种解密装置中的解密方法,该解密装置用于解密已加密的数字 产品,该解密方法包括(1) 第一解密步骤,用于对n(》2)个己加密密钥重复经由记录 介质或传输媒介获得已加密数字产品、n个已加密密钥和其为指定已 注销公幵密钥证书的信息列表的CRL,和使用预先持有的密钥来解 密n个已加密密钥中的第一已加密密钥,和使用得到的第一密钥解密 已加密第二密钥的链式解密处理;和(2) 第二解密步骤,使用最后解密得到的第n密钥解密数字产口口fi j其中使用第一密钥到第n密钥中的至少一个的解密处理包括第 三步骤,用于在解密前,使用基于CRL细节的属性值变换用于解密 的密钥。有关使用媒介ID的解密方法。一种解密装置中的解密方法,该解密装置用于解密已加密的数字 产品,该解密方法包括(1)第一解密步骤,用于对n(》l)个已加密密钥重复经由记录 介质或传输媒介获得已加密数字产品、介质标识信息、n(》l)个已加 密密钥和其为指定已注销公幵密钥证书的信息列表的CRL,和使用 预先持有的密钥来解密第一密钥,和在n(》2)的情况下,使用得到的第一密钥解密已加密第二密钥的链式解密处理;和(2)第二解密步骤,使用最后解密使用的第n密钥利用单向函 数来变换介质标识信息,和使用变换后的介质标识信息解密数字产口叫7其中使用第一密钥到第n密钥的至少一个的解密处理和介质标 识信息的变换包括第四步骤,用于(1)在解密或变换前,使用基于 CRL细节的属性值变换用于解密或变换的密钥,或(2)使用属性值 变换通过变换得到的介质标识信息。工业实用性如上所述,版权保护系统的加密装置,AV服务器、解密装置和 客户可以作为一个计算机装置来使用服务器、机顶盒、个人计算机、 数字电视、VTR、 DVD记录器、打印机、蜂窝电话机和个人数字助 理,经由记录介质或传输媒介来递送和接收内容。
权利要求
1、一种使用伙伴装置的公开密钥与伙伴装置建立密码通信的密码通信装置,包括一个存储单元,用于存储CRL,该CRL是指定已注销公开密钥证书的信息列表;一个获取单元,用于获取新的CRL;一个储存单元,用于比较已获取的CRL与存储在存储单元中的CRL的长度,当已获取的CRL的长度更长时,将已获取CRL存储在存储单元中并更新CRL;和一个通信单元,用于参考存储在存储单元中的CRL来判断伙伴装置的密钥有效性,当公开密钥未被注销时,利用该公开密钥建立与伙伴装置的密码通信。
2、 一种使用伙伴装置的公开密钥与伙伴装置建立密码通信的密 码通信装置,包括一个存储单元,用于存储CRL,该CRL是用于指定已注销公开 密钥证书的信息列表;一个获取单元,用于获取新的CRL;一个储存单元,用于比较已获取CRL中指示的证书号与上述存 储单元所存储的CRL中指示的证书号,当己获得CRL中指示的证书 号大时,将它存储在存储单元中并更新CRL;和一个通信单元,用于参考存储在存储单元中的CRL来判断伙伴 装置的密钥有效性,当公开密钥未被注销时,利用该公开密钥建立与 伙伴装置的密码通信。
全文摘要
一种加密装置、解密装置、密钥生成装置、版权保护系统和密码通信装置包括存储CRL的CRL存储单元111;在解密装置200a所用的每个IC卡210a中存储特有装置密钥KD_A的装置密钥环存储单元112,存储内容密钥Kc,即用于解密内容的密钥Kc的内容密钥存储单元113;计算存储在CRL存储单元111中的CRL的哈希值的哈希函数处理单元114;对哈希值和存储在装置密钥环存储单元112中的装置密钥KD_A间执行异或运算的异或单元115;和使用异或单元115的输出值来加密存储在内容密钥存储单元113中的内容密钥Kc的加密单元116。
文档编号H04L9/08GK101262339SQ20081008322
公开日2008年9月10日 申请日期2002年9月11日 优先权日2001年9月27日
发明者大森基司, 永井隆弘, 石原秀志, 馆林诚 申请人:松下电器产业株式会社