Un sistema de protección de contenido incluyendo un aparato de generación de datos de clave (100) que usa una estructura de árbol para gestionar una pluralidad de claves de dispositivo mantenidas por un aparato terminal (200),

y el aparato terminal (200), el aparato de generación de datos de clave (100) para generar información de cabecera basada en una información posicional de claves de dispositivo seleccionadas en la estructura de árbol, una unidad de selección (102), operable para seleccionar una o más claves de dispositivo correspondientes a información de revocación, una unidad de conversión (103) operable para convertir primeros datos de clave usados para encriptar contenido, realizando una conversión predeterminada con el uso de información de conversión generada para una clave de dispositivo seleccionada usada para el encriptado de los primeros datos de clave, generando por ello segundos datos de clave; una unidad de encriptado (105) operable para encriptar los segundos datos de clave usando la clave de dispositivo, generando por ello datos de clave encriptados; una unidad de salida (110) operable para enviar los datos de clave encriptados, que tiene la información de cabecera anexa y el aparato terminal (200) incluye: una unidad de conservación (202) operable para mantener una pluralidad de claves de dispositivo y para mantener información posicional de las claves de dispositivo del aparato terminal en la estructura de árbol; una unidad de obtención (207) operable para obtener los datos de clave encriptados y la información de cabecera que está anexa a los datos de clave encriptados; una unidad de selección (201) operable para seleccionar una de las claves de dispositivo correspondientes a información de revocación, una unidad de desencriptado (203) operable para desencriptar los datos de clave encriptados usando la clave de dispositivo seleccionada mantenida por la unidad de conservación (202), generando por ello los segundos datos de clave; una unidad de conversión (204) operable para generar información de conversión a partir de la información de cabecera y la información posicional, y convertir los segundos datos de clave, realizando una conversión predeterminada con el uso de la información de conversión generada; generando por ello los primeros datos de clave; y una unidad de uso de contenido (205, 206, 208) operable para enviar el contenido desencriptado usando los primeros datos de clave

CAMPO TÉCNICO

La presente invención se refiere a un sistema para grabar datos digitalizados de contenido que es una obra, tal como una película, en un medio de grabación de gran capacidad, tal como un disco óptico, y reproducir el contenido.

ANTECEDENTES DE LA INVENCIÓN

Con el fin de proteger los derechos de autor de contenido que es una obra, tal como una película o música, los aparatos de reproducción reciben una pluralidad de claves de dispositivo, y el contenido es grabado en un estado encriptado en un medio de grabación, con juntamente con datos de clave que se usan para desencriptar el contenido y que pueden ser obtenidos solamente por un aparato de reproducción que pueda reproducir el contenido. Una forma de gestionar claves para generar este tipo de datos de clave es usar una estructura de árbol.

El documento 1 describe una técnica relativa a un sistema de gestión de claves que usa una estructura de árbol, y en el que la cantidad de información de clave es relativamente pequeña y las claves individuales pueden ser revocadas. Además, el documento 2 describe una técnica que se basa en la técnica del documento 1 y que se refiere a un método de gestión de claves de protección de contenido digital que evita los aumentos del número de claves de dispositivo mantenidas con anterioridad por los aparatos de reproducción, reduciendo al mismo tiempo la cantidad de la información de clave grabada en el medio de grabación.

A continuación se esboza el método de gestión de claves descrito en el documento 1.

Una organización de gestión de claves gestiona claves de dispositivo de tal manera que las hojas en una estructura de árbol estén en correspondencia de uno a uno con los aparatos de reproducción. Cada aparato de reproducción mantiene claves de dispositivo que corresponden a nodos colocados en la ruta desde la raíz a la hoja correspondiente al dispositivo de reproducción. La organización de gestión de claves encripta un contenido y una clave de medio MK usada para desencriptar el contenido, usando una clave de dispositivo K que es la clave de dispositivo entre todas las claves de dispositivo gestionadas que es compartida por el mayor número de aparatos de reproducción. Entonces, la organización de gestión de claves escribe la clave de medio encriptada E (K, MK) en un medio de grabación. Obsérvese que E(X, Y) denota un texto cifrado obtenido encriptando datos Y con datos de clave X.

Aquí, si se analiza internamente un aparato de reproducción y se exponen todas las claves de dispositivo mantenidas por el aparato de reproducción, la organización de gestión de claves revoca las claves expuestas, y selecciona, de entre las claves de dispositivo restantes, las claves de dispositivo que son compartidas por el mayor número de aparatos de reproducción, y usa las claves de dispositivo seleccionadas para encriptar la clave de medio MK.

Como se representa en la figura 11, en el caso de revocación de un aparato de reproducción 0, se usan claves de dispositivo Kf, Kb y K1 para encriptar la clave de medio MK, generando por ello textos cifrados E (Kf, MK), E (Kb, MK), y E (K1, MK), que se escriben en el medio de grabación.

Consiguientemente, el dispositivo de reproducción revocado 0 es incapaz de obtener la clave de medio MK dado que no tiene ninguna de las claves de dispositivo Kf, Kb, y K1, y solamente los dispositivos de reproducción que tienen alguna de las claves de dispositivo Kf, Kb y

K1 son capaces de obtener la clave de medio MK.

Aquí, si se pierde la unicidad de las claves de dispositivo, por ejemplo si los respectivos valores de la clave de dispositivo Kf y la clave de dispositivo k1 son idénticos, los valores de los textos cifrados E (Kf, MK) y E (K1, MK) grabados en el medio de grabación serán los mismos. Esto significa que será públicamente conocido que las claves de dispositivo Kf y K1 tienen valores idénticos.

Si el aparato de reproducción 7 es revocado posteriormente, como se representa en la figura 12, la organización de gestión de claves encripta la clave de medio MK con el uso de las claves de dispositivo Kb, Kc, K1 y K6, y se graban cuatro textos cifrados E (Kb, MK), E(Kc, MK), E (K1, MK), y E(K6, MK) en el medio de grabación.

Aquí, dado que la clave de dispositivo Kf mantenida por el aparato de reproducción 7 ya ha sido expuesta y a causa del hecho de que se conoce públicamente que Kf y K1 son idénticos, hay peligro de que una parte ilegal use la Kf expuesta para desencriptar el texto cifrado E (K1, MK) y por ello obtener ilegalmente la clave de medio MK. Si, con el fin de evitar tales actuaciones ilegales, el texto cifrado E (K1, MK) no se graba en el medio de grabación, surge el problema de que el aparato de reproducción válido 1 es incapaz de obtener la clave de medio MK y es revocado injustamente.

Un ejemplo de una forma de evitar que la clave de medio sea obtenida ilegalmente y que un aparato de reproducción que no deberá ser revocado sea revocado injustamente, es asegurar (garantizar) la unicidad de cada clave de dispositivo. Específicamente, dado que las claves de dispositivo son generadas por lo general usando un generador de números aleatorios que genera una serie de números aleatorios, un método es comprobar, cada vez que se genera una clave de dispositivo, si la clave de dispositivo corresponde o no a claves de dispositivo previamente generadas. Aquí, la serie de números aleatorios es destruida si existe una clave de dispositivo coincidente, y se usa si no existe una clave de dispositivo coincidente.

Sin embargo, en un sistema a gran escala en el que el número de aparatos de reproducción es miles de millones, es enormemente costoso en términos de tiempo comprobar si cada clave de dispositivo generada corresponde o no a claves de dispositivo previamente generadas. Incluso cuando se usa el método de gestión de claves del documento 2, surge el mismo problema del tiempo que se tarda en comprobar las claves de dispositivo.

Documento 1

Nakano, Ohmori y Tatebayashi “Digital Content Hogoyou Kagi Kanri Houshiki (Key Management System for Digital Content Protection)”, The 2001 Symposium on Cryptography and Information Security, SCIS2001, 5A-5, Enero 2001.

Documento 2

Nakano, Ohmori y Tatebayashi “Digital Content Hogoyou Kanri Houshiki-Ki-kouzou Pattern Bunkatsu Houshiki (Key Management System for Digital Content Protection-Tree Pattern Division Method)”, The 2002 Symposium on Cryptography and Information Security, SCIS2002, 10C-1, Enero 2002.

WO 02/060116 A describe una técnica para formar un árbol, que se usa para dividir receptores sin memoria de estados en un sistema de encriptado de contenido difundido en subconjuntos. Las claves de subconjunto asociadas con los subconjuntos se usan entonces para encriptar una clave de sesión que, a su vez, se usa para encriptar el contenido difundido.

EP 1 176 754 A especifica una técnica para distribuir de forma segura una clave de nodo actualizada realizando procesado de encriptado usando claves de nodo para una ruta completa desde la raíz a una hoja en una estructura de árbol.

GHANEM S. M. y colaboradores: “A simple XOR-based technique for distributing group key in secure multicasting” PROCEEDINGS ISCC 2000. FIFTH IEEE SYMPOSIUM ON COMPUTERS AND COMMUNICATIONS, PROCEEDINGS OF 5TH IEEE SYMPOSIUM ON COMPUTERS AND COMMUNICATIONS, ANTIBES-JUAN LES PINS, FRANCIA, 3-6 JULIO 2000, 3 Julio 2000 (2000-07-03), páginas 166-171, XP010505342 describe una técnica para usar una función XOR para construcción de mensajes por un centro de distribución de claves para multidifusión de una clave de sesión a un grupo con el fin de mantener la seguridad del grupo de multidifusión.

DESCRIPCIÓN DE LA INVENCIÓN

En vista de los problemas indicados, el objeto de la presente invención es proporcionar un sistema de protección de contenido que evita la adquisición ilegal de una clave de medio y la revocación injusta de un dispositivo de reproducción que no deberá ser revocado, sin verificar la unicidad de claves de dispositivo.

Según la presente invención, los objetivos anteriores se logran como se define en las reivindicaciones independientes. Se definen realizaciones preferidas en las reivindicaciones dependientes.

Según la estructura indicada, aunque las claves de dispositivo tengan valores idénticos, los datos de...

1. Un sistema de protección de contenido incluyendo un aparato de generación de datos de clave (100) que usa una estructura de árbol para gestionar una pluralidad de claves de dispositivo mantenidas por un aparato terminal (200), y el aparato terminal (200),

el aparato de generación de datos de clave (100) para generar información de cabecera basada en una información posicional de claves de dispositivo seleccionadas en la estructura de árbol,

una unidad de selección (102), operable para seleccionar una o más claves de dispositivo correspondientes a información de revocación,

una unidad de conversión (103) operable para convertir primeros datos de clave usados para encriptar contenido, realizando una conversión predeterminada con el uso de información de conversión generada para una clave de dispositivo seleccionada usada para el encriptado de los primeros datos de clave, generando por ello segundos datos de clave;

una unidad de encriptado (105) operable para encriptar los segundos datos de clave usando la clave de dispositivo, generando por ello datos de clave encriptados;

una unidad de salida (110) operable para enviar los datos de clave encriptados, que tiene la información de cabecera anexa y

el aparato terminal (200) incluye:

una unidad de conservación (202) operable para

mantener una pluralidad de claves de dispositivo y

para mantener información posicional de las claves

de dispositivo del aparato terminal en la estructura

de árbol;

una unidad de obtención (207) operable para obtener los datos de clave encriptados y la información de cabecera que está anexa a los datos de clave encriptados;

una unidad de selección (201) operable para se

leccionar una de las claves de dispositivo corres

pondientes a información de revocación,

una unidad de desencriptado (203) operable para desencriptar los datos de clave encriptados usando la clave de dispositivo seleccionada mantenida por la unidad de conservación (202), generando por ello los segundos datos de clave;

una unidad de conversión (204) operable para generar información de conversión a partir de la información de cabecera y la información posicional, y convertir los segundos datos de clave, realizando una conversión predeterminada con el uso de la información de conversión generada; generando por ello los primeros datos de clave; y

una unidad de uso de contenido (205, 206, 208)

operable para enviar el contenido desencriptado

usando los primeros datos de clave.

2. Un aparato terminal que desencripta contenido en

criptado, incluyendo: una unidad de obtención (207) operable para obtener

(a) datos de clave encriptados generados por un aparato de generación de datos de clave que usa una estructura de árbol para gestionar una pluralidad de claves de dispositivo mantenidas por el aparato terminal, generando el aparato de generación de datos de clave los datos de clave encriptados sometiendo primeros datos de clave, que se usan para encriptar el contenido, a una conversión predeterminada con el uso de información de conversión generada para una clave de dispositivo seleccionada generando por ello segundos datos de clave, y encriptar los segundos datos de clave usando la clave de dispositivo seleccionada, y (b) información de cabecera que es información para generar la información de conversión, y que es generada en base a información posicional de estructura de árbol de la clave de dispositivo seleccionada usada para generar los datos de clave encriptados;

una unidad de conservación (202) operable para mantener una pluralidad de claves de dispositivo; y

para mantener información posicional de las claves de dispositivo del aparato terminal en la estructura de árbol;

una unidad de selección (201) operable para seleccionar una de las claves de dispositivo correspondientes a información de revocación;

una unidad de desencriptado (203) operable para desencriptar los datos de clave encriptados usando la clave seleccionada de las claves de dispositivo mantenidas por la unidad de conservación (202), generando por ello los segundos datos de clave;

una unidad de conversión (204) operable para generar información de conversión a partir de la información de cabecera y la información posicional, y convertir los segundos datos de clave, realizando una conversión predeterminada con el uso de la información de conversión generada, generando por ello los primeros datos de clave; y

una unidad de uso de contenido (205, 206, 208) operable para enviar el contenido desencriptado usando los primeros datos de clave.

3. El aparato terminal de la reivindicación 2, donde la información de revocación define si cada una de las claves de dispositivo está revocada o no, en base al nodo con que la clave de dispositivo seleccionada corresponde y un estado de revocación de otros nodos.

4. El aparato terminal de la reivindicación 2 o 3, donde la unidad de uso de contenido (208) incluye además: una sub-unidad de obtención de contenido (205) ope

rable para obtener contenido encriptado; una sub-unidad de desencriptado (206) operable para desencriptar el contenido encriptado, en base a los pri

meros datos de clave, generando por ello contenido; y una sub-unidad de reproducción (208) operable para

reproducir el contenido.

5. El aparato terminal de cualquiera de las reivindicaciones 2-4, donde la información de cabecera es anexa a los datos de clave encriptados y ha sido generada por el aparato de generación de datos de clave.

6. Un método en un aparato terminal incluyendo una unidad de conservación operable para mantener una pluralidad de claves de dispositivo, y para mantener información posicional del aparato terminal en una estructura de árbol,

incluyendo el método:

un paso de obtención consistente en obtener (a) datos de clave encriptados generados por un aparato de generación de datos de clave que usa la estructura de árbol para gestionar una pluralidad de claves de dispositivo mantenidas por el aparato terminal, generando el aparato de generación de datos de clave los datos de clave encriptados sometiendo primeros datos de clave, que se usan para encriptar contenido usando conversión predeterminada con el uso de información de conversión generada para una clave de dispositivo seleccionada, generando por ello segundos datos de clave, y encriptar los segundos datos de clave usando la clave de dispositivo seleccionada, y (b) información de cabecera que es información para generar la información de conversión, y que es generada en base a información posicional de estructura de árbol de la clave de dispositivo seleccionada usada para generar los datos de clave encriptados;

un paso de selección para seleccionar una de las claves de dispositivo correspondientes a información de revocación;

un paso de desencriptado consistente en desen

criptar los datos de clave encriptados usando una de

las claves de dispositivo mantenidas por el aparato terminal, generando por ello segundos datos de clave;

un paso de conversión consistente en generar

información de conversión a partir de la información

de cabecera y la información posicional, y convertir los segundos datos de clave realizando una conversión predeterminada con el uso de la información de conversión generada, generando por ello los primeros datos de clave; y

un paso de uso de contenido consistente en en15 viar el contenido desencriptado usando los primeros datos de clave.

7. Un medio de grabación legible por ordenador que almacena un programa de ordenador usado en un aparato terminal, haciendo el programa de ordenador que el aparato terminal realice un método incluyendo los pasos de la reivindicación 6.