PatentDe  


Dokumentenidentifikation DE69836455T2 29.03.2007
EP-Veröffentlichungsnummer 0000898396
Titel System für elektronische Wasserzeichen, elektronisches Informationsverteilungssystem und Gerät zur Abspeicherung von Bildern
Anmelder Canon K.K., Tokio/Tokyo, JP
Erfinder Iwamura, Keiichi, Ohta-ku, Tokyo, JP
Vertreter TBK-Patent, 80336 München
DE-Aktenzeichen 69836455
Vertragsstaaten DE, FR, GB
Sprache des Dokument EN
EP-Anmeldetag 14.08.1998
EP-Aktenzeichen 983065194
EP-Offenlegungsdatum 24.02.1999
EP date of grant 22.11.2006
Veröffentlichungstag im Patentblatt 29.03.2007
IPC-Hauptklasse H04L 9/00(2006.01)A, F, I, 20051017, B, H, EP
IPC-Nebenklasse H04N 1/32(2006.01)A, L, I, 20051017, B, H, EP   

Beschreibung[de]

Die Erfindung betrifft ein Verfahren und ein System für elektronische Wasserzeichen, und bezieht sich insbesondere auf eine Technik für elektronische Wasserzeichen zum Schützen eines Urheberrechts für digitale Informationen, wie beispielsweise Bewegtbilddaten, Standbilddaten, Audiodaten, Computerdaten und Computerprogramme.

Als eine Folge neuerer Entwicklungen betreffend Computernetzwerke und die Verfügbarkeit von preiswerten, hoch leistungsfähigen Computern wurden elektronische Transaktionen zum Handeln mit Produkten über ein Netzwerk populär. Produkte für solche Transaktionen können zum Beispiel digitale Daten, einschließlich Bilder, sein.

Da jedoch eine große Anzahl vollständiger Kopien von digitalen Daten leicht erstellt werden kann, wäre ein Benutzer, der digitale Daten kauft, in der Lage, illegal Kopien mit derselben Qualität wie das Original herzustellen, und könnte dann die kopierten Daten verteilen. Infolge dessen würde dem Inhaber des Urheberrechts für die digitalen Daten oder einer Person (nachstehend als ein "Verkäufer" bezeichnet), welcher der Verkauf der digitalen Daten von dem Eigentümer des Urheberrechts erlaubt ist, ein garantierbarer Preis nicht bezahlt, und würde die Verletzung des Urheberrechts auftreten.

Nachdem ein Inhaber eines Urheberrechts oder ein Verkäufer (nachstehend wird eine Person, die legal digitale Daten verteilt, allgemein als ein "Server" bezeichnet) digitale Daten an einen Benutzer übertragen hat, ist ein vollständiger Schutz gegen das illegale Kopieren von Daten nicht möglich.

Daher wurde eine Technik für elektronische Wasserzeichen zur Verwendung anstelle eines Verfahrens für das direkte verhindern illegalen Kopierens vorgeschlagen. In Übereinstimmung mit dem Verfahren für elektronische Wasserzeichen wird ein spezifischer Prozess für die ursprünglichen digitalen Daten durchgeführt, und werden Urheberrechtsinformationen betreffend die digitalen Daten, oder Benutzerinformationen, in die digitalen Daten eingebettet, so dass dann, wenn eine illegale Kopie der digitalen Daten entdeckt wird, die Person, die die kopierten Daten verteilt hat, identifiziert werden kann.

In einem konventionellen elektronisches Wasserzeichen-System bzw. einem System für elektronische Wasserzeichen wird angenommen, dass ein Server vollkommen vertrauenswürdig ist. Daher kann dann, wenn sich ein Server in einem konventionellen System als nicht vertrauenswürdig erweist, und in eine Art von illegalen Aktivitäten verwickelt sein kann, ein Benutzer, der kein Verbrechen begangen hat, wegen illegalen Kopierens von Daten beschuldigt werden.

Dies tritt auf, weil es in einem konventionellen System für elektronische Wasserzeichen, wie in 1 gezeigt ist, dann, wenn ein Server Benutzerinformationen d1 zum Identifizieren eines Benutzers (Benutzer U in 1) in digitale Daten g (im folgenden werden erklärende Bilddaten als die digitalen Daten verwendet), die an den Benutzer verteilt werden, einbettet und danach ohne die Erlaubnis des Benutzers eine weitere Verteilung der die Identifikationsdaten des Benutzers enthaltenden Daten durchführt und dann den Benutzer wegen des Herstellens illegaler Kopien beschuldigt, keinen Weg gibt, auf dem der Benutzer die Beschuldigung des Servers zurückweisen kann, auch wenn es in diesem Fall der Server ist, der einen Fehler begeht.

Als eine Gegenmaßnahme wurde ein System (2), das ein Verschlüsselungsverfahren mit einem öffentlichen Schlüssel verwendet, zum Beispiel in "Asymmetric Finger Printing", B. Pfitmmann und M. Waidner, EUROCRYPT '96 (nachstehend als Referenz 1 bezeichnet) vorgeschlagen. In Übereinstimmung mit dem einen öffentlichen Schlüssel verwendenden Verschlüsselungsverfahren unterscheiden sich ein Verschlüsselungsschlüssel und ein Entschlüsselungsschlüssel, und wird der Verschlüsselungsschlüssel als ein öffentlicher Schlüssel verwendet, während der Entschlüsselungsschlüssel als ein geheimer Schlüssel verwendet wird. Die RSA-Verschlüsselung und die E1Gama1-Verschlüsselung sind als typische Beispiele für die Verschlüsselung mit einem öffentlichen Schlüssel bekannt.

Nachstehend wird eine Erklärung für (a) Merkmale des den öffentlichen Schlüssel verwendenden Verschlüsselungssystems und (b) Protokolle für eine geheime Kommunikation und eine authentifizierte Kommunikation gegeben.

(a) Merkmale der Verschlüsselung mit öffentlichem Schlüssel

(1) Da sich ein Verschlüsselungsschlüssel und ein Entschlüsselungsschlüssel unterscheiden und der Verschlüsselungsschlüssel veröffentlicht werden kann, ist ein geheimer Lieferprozess für den Verschlüsselungsschlüssel nicht erforderlich, so dass er leicht verschickt werden kann.

(2) Da die Verschlüsselungsschlüssel von Benutzern veröffentlicht werden, brauchen Benutzer nur für die geheime Speicherung ihrer Entschlüsselungsschlüssel zu sorgen.

(3) Eine Authentifikationsfunktion kann bereitgestellt werden, mit welcher ein Empfänger überprüfen kann, dass der Sender einer Mitteilung keinen Betrug begeht, und dass die empfangene Mitteilung nicht geändert worden ist.

(b) Protokolle für die Verschlüsselung mit öffentlichem Schlüssel

Wenn zum Beispiel E(kp, M) einen Verschlüsselungsvorgang für eine Mitteilung M bezeichnet, die einen öffentlichen Verschlüsselungsschlüssel kp verwendet, und D(ks, M) einen Entschlüsselungsvorgang für eine Mitteilung Ms bezeichnet, die einen geheimen Entschlüsselungsschlüssel ks verwendet, erfüllt der Verschlüsselungsalgorithmus mit öffentlichem Schlüssel die folgenden beiden Bedingungen.

(1) Die Berechnungen für die Verschlüsselung E(kp, M) können unter Verwendung des Verschlüsselungsschlüssel kp, der bereitgestellt ist, leicht durchgeführt werden, und die Berechnungen für die Entschlüsselung D(ks, M) können ebenfalls unter Verwendung des Entschlüsselungsschlüssels ks, der bereitgestellt ist, leicht durchgeführt werden.

(2) Solange ein Benutzer den Entschlüsselungsschlüssel ks nicht kennt, kann der Benutzer auch dann, wenn der Benutzer den Verschlüsselungsschlüssel kp und die Berechnungsprozeduren für die Verschlüsselung E(kp, M) kennt und weiß, dass die verschlüsselte Mitteilung C = E(kp, M) ist, die Inhalte der Mitteilung M nicht ermitteln, weil eine große Anzahl von Berechnungen erforderlich ist.

Wenn zusätzlich zu den Bedingungen (1) und (2) die folgende Bedingung (3) hergestellt ist, kann die geheime Kommunikationsfunktion implementiert werden.

(3) Die Verschlüsselung E(kp, M) kann für alle Mitteilungen (nur Text) M definiert werden, und D(ks, E(kp, M)) = M wird hergestellt.

Das heißt, jeder kann die Berechnungen für die Verschlüsselung E(kp, M) unter Verwendung des öffentlichen Verschlüsselungsschlüssels kp durchführen, aber nur ein Benutzer, der den geheimen Entschlüsselungsschlüssel ks besitzt, kann die Berechnungen für die Entschlüsselung D(ks, E(kp, M)) durchführen, um die Mitteilung M zu erhalten.

Wenn zusätzlich zu den vorstehenden Bedingungen (1) und (2) die folgende Bedingung (4) hergestellt ist, kann die authentifizierte Kommunikationsfunktion implementiert werden.

(4) Die Entschlüsselung D(ks, M) kann für alle Mitteilungen (nur Text) M definiert werden, und E(kp, D(ks, M)) = M wird hergestellt. Das heißt, nur ein Benutzer, der den geheimen Entschlüsselungsschlüssel ks besitzt, kann die Entschlüsselung D(ks, M) berechnen. Selbst falls ein anderer Benutzer D(ks', M) unter Verwendung eines gefälschten geheimen Entschlüsselungsschlüssels ks' berechnet und die Berechnungen so durchführt, wie dies ein Benutzer tun würde, der den geheimen Entschlüsselungsschlüssel ks besitzt, ist das erhaltene Ergebnis E(kp, D(ks', M) ≠ M, und kann ein Empfänger verstehen, dass die empfangenen Informationen illegal erstellt wurden.

Wenn der Wert D(ks, M) geändert wird, ist das Ergebnis E(kp, D(ks, M)') ≠ M, so dass ein Empfänger verstehen kann, das die empfangenen Informationen illegal erstellt wurden.

Bei dem vorstehend beschriebenen Verschlüsselungsverfahren wird die Operation E() unter Verwendung des öffentlichen Verschlüsselungsschlüssels (nachstehend auch als ein öffentlicher Schlüssel bezeichnet) kp als "Verschlüsselung" bezeichnet, und wird die Operation D() unter Verwendung des geheimen Entschlüsselungsschlüssels (nachstehend auch als ein geheimer Schlüssel bezeichnet) ks als "Entschlüsselung" bezeichnet.

Daher führt für eine geheime Kommunikation ein Sender die Verschlüsselung durch, und führt ein Empfänger die Entschlüsselung durch, während für eine authentifizierte Kommunikation ein Sender die Entschlüsselung durchführt und ein Empfänger die Verschlüsselung durchführt.

Die Protokolle sind für eine geheime Kommunikation, eine authentifizierte Kommunikation und eine geheime Kommunikation mit einer Signatur, durchgeführt von einem Sender A für einen Empfänger B unter Verwendung des Verschlüsselungssystems mit dem öffentlichen Schlüssel, gezeigt.

Der geheime Schlüssel des Senders A ist ksA, und der öffentliche Schlüssel ist kpA, der geheime Schlüssel des Empfängers B ist ksB, und der öffentliche Schlüssel ist kpB.

Geheime Kommunikation

Die folgenden Prozeduren werden für die geheime Übertragung einer Mitteilung (nur Text) M von dem Sender A zu dem Empfänger B durchgeführt.

Schritt 1: Der Sender A überträgt an den Empfänger B eine Mitteilung C, die unter Verwendung des öffentlichen Schlüssels kpB des Empfängers B zum Verschlüsseln der Mitteilung M wie folgt erhalten wird: C = E(kpB, M).

Schritt 2: Um die ursprüngliche Mitteilung M in lesbarer Sprache zu erhalten, verwendet der Empfänger B seinen oder ihren geheimen Schlüssel ksB, um die empfangene Mitteilung C wie folgt zu entschlüsseln: M = D(ksB, C).

Da der öffentliche Schlüssel kpB des Empfängers B für eine nicht spezifizierte Anzahl von Menschen offen verfügbar ist, können andere Benutzer als der Sender A ebenfalls geheime Kommunikationen an den Empfänger B übermitteln.

Authentifizierte Kommunikation

Für die authentifizierte Übertragung einer Mitteilung (nur Text) M von dem Sender A zu dem Empfänger B werden die folgenden Prozeduren durchgeführt.

Schritt 1: Der Sender A übermittelt an den Empfänger B eine Mitteilung S, die er oder sie unter Verwendung seines oder ihres geheimen Schlüssels wie folgt erzeugt hat: S = D(ksA, M).

Diese Mitteilung S wird als eine signierte Mitteilung bzw. Mitteilung bezeichnet, und der Vorgang zum Gewinnen der signierten Mitteilung S wird als "Signieren" bezeichnet.

Schritt 2: Um die signierte Mitteilung S umzuwandeln und die ursprüngliche Mitteilung M in lesbarer Sprache zu erhalten, verwendet der Empfänger B den öffentlichen Schlüssel kpA des Senders A wie folgt: M = E(kpA, S).

Falls der Empfänger B feststellt, das die Mitteilung M Sinn macht, gibt er oder sie eine Verifikation aus, dass die Mitteilung M von dem Sender A übermittelt worden ist. Und da der öffentliche Schlüssel kpA des Senders A für eine nicht spezifizierte Anzahl von Personen verfügbar ist, können andere Benutzer als der Empfänger B ebenfalls die signierte Mitteilung S von dem Sender A authentifizieren. Diese Authentifikation wird als "digitales Signieren" bezeichnet.

Geheime Kommunikation mit Signatur

Die folgenden Prozeduren werden für die geheime Übermittlung einer Mitteilung (nur Text) M, für welche eine Signatur bereitgestellt ist, an den Empfänger B durch den Sender A durchgeführt.

Schritt 1: Der Sender A erstellt eine signierte Mitteilung S durch Verwenden seines oder ihres geheimen Schlüssels ksA, um die Mitteilung M wie folgt zu signieren: S = D(ksA, M).

Ferner verwendet, um eine verschlüsselte Mitteilung C zu erhalten, die danach an den Empfänger B übermittelt wird, der Sender A den öffentlichen Schlüssel kpB des Empfängers B, um die signierte Mitteilung S wie folgt zu verschlüsseln: C = E(kpB, S).

Schritt 2: Um die signierte Mitteilung S zu erhalten, verwendet der Empfänger B seinen oder ihren geheimen Schlüssel ksB, um die verschlüsselte Mitteilung C wie folgt zu entschlüsseln: S = D(ksB, C).

Darüber hinaus verwendet, um die ursprüngliche Mitteilung M als reinen Text zu erhalten, der Empfänger B den öffentlichen Schlüssel kpA des Senders A, um die signierte Mitteilung S wie folgt umzuwandeln: M = E(kpA, S).

Wenn der Empfänger sichergestellt hat, das die Mitteilung M Sinn ergibt, verifiziert er oder sie, dass die Mitteilung M von dem Sender A übermittelt wurde.

Für eine geheime Kommunikation, für welche eine Signatur bereitgestellt worden ist, kann die Reihenfolge, in welcher die Berechnungsfunktionen in den einzelnen Schritten durchgeführt werden, umgekehrt werden. In anderen Worten werden in den vorstehenden Prozeduren

  • Schritt 1: C = E(kpB, D(ksA, M))
  • Schritt 2: M = E(kpA, D(ksB, C))
in dieser Reihenfolge berechnet. Für eine solche geheime Kommunikation durchgeführte Berechnungen kann jedoch die folgende Reihenfolge verwendet werden:
  • Schritt 1: C = D(ksA, E(kpB, M))
  • Schritt 2: M = D(ksB, E(kpA, C)).

Nun wird eine Erklärung für die Betriebsablaufprozeduren für ein konventionelles System für elektronische Wasserzeichen, das das vorstehend beschriebene Verschlüsselungsverfahren mit öffentlichem Schlüssel verwendet, gegeben.

1) Zunächst wird durch einen Server und einen Benutzer ein das Handeln von Bilddaten g betreffender Vertrag d2 vorbereitet.

2) Als Nächstes erzeugt der Benutzer eine Zufallszahl ID, um ihn oder sie selbst zu identifizieren, und verwendet diese ID, um eine Einwege-Funktion f zu erzeugen. Die Einwege-Funktion ist eine Funktion derart, dass für eine Funktion y = f(x) das Berechnen von y aus x leicht ist, aber das Berechnen von x aus y schwierig ist. Zum Beispiel wird häufig eine einmalige Faktorisierung oder ein diskreter Logarithmus für eine Ganzzahl mit einer Anzahl von Stellen als eine Einwege-Funktion verwendet.

3) Dann erstellt der Benutzer die Signaturinformationen d3 unter Verwendung seines oder ihres geheimen Schlüssels ksU und übermittelt diese mit dem Vertrag d2 und der Einwege-Funktion f an den Server.

4) Darauf folgend verifiziert der Server die Signaturinformationen d3 und den Vertrag d2 unter Verwendung des öffentlichen Schlüssels kpU des Benutzers.

5) Nachdem die Verifizierung abgeschlossen worden ist, bettet der Server in die Bilddaten g einen aktuellen Datenverteilungseintrag d4 und eine von dem Benutzer erstellte Zufallszahl ID ein und erzeugt Bilddaten, welche ein elektronisches Wasserzeichen (g + d4 + ID) beinhalten.

6) Schließlich übermittelt der Server an den Benutzer die Bilddaten, die das elektronische Wasserzeichen (g + d4 + ID) beinhalten.

Wenn eine illegale Kopie von Daten gefunden wird, werden eingebettete Informationen aus den illegalen Bilddaten extrahiert, und wird ein bestimmter Benutzer unter Verwendung der darin enthaltenen ID identifiziert. Zu dieser Zeit beruht ein Anspruch von dem Server, dass er die illegale Kopie nicht ohne Erlaubnis verteilt hat, auf den folgenden Gründen.

Da die spezifisch einen Benutzer identifizierende ID von dem Benutzer erzeugt wird, und da unter Verwendung dieser ID die Signatur des Benutzers für die Einwege-Funktion f bereitgestellt wird, kann der Server eine solche ID für einen beliebigen Benutzer nicht erzeugen.

Da jedoch ein Benutzer, der offiziell einen Vertrag mit dem Server geschlossen hat, seine oder ihre ID an den Server übermitteln muss, können nur Benutzer, die keine Verträge mit dem Server geschlossen haben, nicht wegen des Begehens einer Straftat beschuldigt werden, wohingegen ein Benutzer, der offiziell einen Vertrag geschlossen hat, dessen beschuldigt werden kann.

Ein System (3) zum Neutralisieren einer Beschuldigung dahingehend, dass eine Straftat von einem Benutzer begangen worden ist, der offiziell einen Vertrag geschlossen hat, wird in "Electronic watermarking while taking server's illegal activity into account", Miura, Watanabe und Kasa (Nara Sentan University), SCIS97-31C (nachstehend als Referenz 2 bezeichnet) vorgeschlagen. Dieses System wird durch Aufteilen des Servers in einen Originalbildserver und einen Einbettungsserver implementiert. In Übereinstimmung mit diesem System wird das eingebettete elektronische Wasserzeichen während der Verschlüsselung und der Entschlüsselung nicht zerstört.

Die Betriebsablaufprozeduren für das System in 3 werden nun beschrieben.

1) Zunächst gibt, um gewünschte Bilddaten zu erhalten, ein Benutzer eine Anfrage, die seine oder ihre Signatur d5 trägt, an einen Originalbildserver aus.

2) Der Originalbildserver verwendet die Signatur d5 des Benutzers, um die Inhalte der Anfrage zu überprüfen, und verschlüsselt darauf folgend die angeforderten Bilddaten g und übermittelt die verschlüsselten Daten an einen Einbettungsserver.

Zu dieser Zeit übermittelt der Originalbildserver an den Einbettungsserver einen Benutzernamen u, der von einer Signatur für Sendungsinhalte d6 begleitet wird. Gleichzeitig übermittelt der Originalbildserver darüber hinaus an den Benutzer eine Entschlüsselungsfunktion f', die sich auf die Verschlüsselung bezieht.

3) Der Einbettungsserver überprüft die empfangenen verschlüsselten Bilddaten g' und die Signatur (u + d6), verwendet den Benutzernamen u und die Sendungsinhalte d6, um Benutzerinformationen d7 zum spezifischen Identifizieren eines Benutzers zu erstellen und einzubetten, und erzeugt dadurch verschlüsselte Daten mit einem eingeschlossenen elektronischen Wasserzeichen (g' + d7). Dann übermittelt der Einbettungsserver an den Benutzer die verschlüsselten Bilddaten (g' + d7), die das elektronische Wasserzeichen beinhalten.

4) Der Benutzer verwendet die Entschlüsselungsfunktion f', welche von dem Originalbildserver empfangen wurde, um die verschlüsselten Bilddaten, die ein elektronisches Wasserzeichen (g' + d7) beinhalten, zu entschlüsseln und die mit dem elektronischen Wasserzeichen (g + d7) bereitgestellten Bilddaten zu erhalten.

Wenn später eine illegale Kopie gefunden wird, verschlüsselt der Originalbildserver die illegalen Bilddaten, und extrahiert die eingebetteten Informationen und übermittelt diese an den Einbettungsserver. Der Einbettungsserver identifiziert spezifisch einen Benutzer aus den eingebetteten Informationen.

Dieses System beruht auf der Voraussetzung dahingehend, dass, da der Originalbildserver die einen Benutzer spezifisch identifizierenden Benutzerinformationen d7 nicht in die Bilddaten g einbettet, und da der Einbettungsserver die Entschlüsselungsfunktion f nicht kennt (das Originalbild nicht wieder herstellen kann), die einzelnen Server nicht illegal an offiziell vertragsgebundene Server Bilddaten verteilen können, in welchen die Benutzerinformationen d7 eingebettet sind.

Bei dem System in 3 wird jedoch weder die Kollusion des Originalbildservers mit dem Einbettungsserver noch die Kollusion des Einbettungsservers mit einem Benutzer berücksichtigt. Da der Einbettungsserver die verschlüsselten Bilddaten g' für die Bilddaten g hält, welche die Originalbilddaten sind, und der Benutzer die Entschlüsselungsfunktion f' hält, wenn der Originalbildserver sich in Kollusion mit dem Einbettungsserver befindet, können die Server, wie bei dem System in 2, eine illegale Aktivität durchführen. Und wenn der Einbettungsserver sich in Kollusion mit dem Benutzer befindet, kann das Originalbild illegal erhalten werden.

Der Originalbildserver übermittelt die Entschlüsselungsfunktion f' an den Benutzer; falls jedoch der Benutzer keine geeignete Verwaltungssteuerung für die Entschlüsselungsfunktion f' bereitstellt, wird die Sorglosigkeit des Benutzers dazu führen, dass der Einbettungsserver Kenntnis von der Entschlüsselungsfunktion f' erhält, und zwar auch dann, wenn der Einbettungsserver sich nicht in Kollusion mit dem Benutzer befindet.

Ferner beinhaltet in dem System in 3 der Originalbildserver keine Einbettungsinformationen, noch kann er eine Einbettung korrekt durchführen. Da jedoch die eingebetteten Informationen durch den Originalbildserver extrahiert werden, könnte der Originalbildserver das Einbetten durch Analysieren der eingebetteten Informationen korrekt durchführen.

Da der Einbettungsserver seine eigene Signatur nicht einbettet, sind die eingebetteten Informationen und die entsprechenden Benutzerinformationen die einzigen Geheimnisse des Einbettungsservers. Jedoch sind die über die eingebetteten Informationen auftretende Korrespondenz und die Benutzerinformationen keine zufällige Korrespondenz, die die Verwendung einer Datenbank involvieren, und falls die eingebetteten Informationen aus den Benutzerinformationen in Übereinstimmung mit bestimmten Regeln erstellt werden, besteht eine gute Wahrscheinlichkeit, dass eine Analyse der eingebetteten Informationen möglich sein wird.

In diesem Fall ist, wie bei dem System in 2, die Durchführung einer illegalen Aktivität möglich.

Ferner wird für die vorstehend beschriebene geheime Kommunikation, für welche eine Signatur bereitgestellt ist, ein Blindentschlüsselungsverfahren mit den folgenden Merkmalen für die vorstehend erwähnte Entschlüsselung durchgeführt.

In der folgenden Erklärung werden digitale Daten, wie beispielsweise Bilddaten, von A (von dem angenommen wird, dass er ein Server ist) unter Verwendung des Verschlüsselungsverfahrens mit öffentlichem Schlüssel verschlüsselt, und werden die verschlüsselten Daten G von B (von dem angenommen wird, das er ein Benutzer ist) erhalten.

Eine Person, die legal digitale Daten, wie beispielsweise Bilddaten, verteilt, wird als ein Server bezeichnet.

Merkmale der Blindentschlüsselung

1) Die Inhalte der Daten G werden gegenüber dritten, anderen Personen als dem Server und dem Benutzer geheim gehalten.

2) Der Benutzer erhält die Daten G, während er die Fähigkeit des Servers sperrt, die Daten G in dem Protokoll zusammenzustellen oder zu ändern.

3) Der Benutzer entschlüsselt die verschlüsselten Daten G, ohne dies dem Server mitzuteilen, und schützt folglich die Privatsphäre der Transaktion.

Die Blindverschlüsselung wird dazu verwendet, dass dann, wenn eine große Menge von durch einen Server verschlüsselten Daten auf einer CD-ROM usw. gespeichert und an einen Benutzer geliefert wird, der Benutzer gewünschte Daten erhalten kann, ohne dass sich der Server bewusst ist, welche auf der CD-ROM enthaltenen Daten entschlüsselt worden sind. Infolge dessen kann die Privatsphäre des Benutzers, wie beispielsweise Informationen betreffend welche Daten der Benutzer gekauft hat, geschützt werden.

Die folgenden Blindentschlüsselungsprozeduren werden durchgeführt, wenn der Benutzer dem Server einen Preis für Daten bezahlt, die gekauft werden. Das Handeln mit Daten, wie beispielsweise Softwareprogrammen, kann über ein Netzwerk oder elektronisch implementiert sein, um einen elektronischen Handel zu beginnen.

Eine Beschreibung der Blindprozeduren folgt.

Die Verschlüsselungssysteme des Servers und des Benutzers werden jeweils mit E1() und E2() bezeichnet, und die Entschlüsselungssysteme des Servers und des Benutzers werden jeweils mit D1() und D2() bezeichnet. Es sei weiter angenommen, dass für eine Blindentschlüsselung die folgende Gleichung durch die Verschlüsselungssysteme des Servers und des Benutzers erfüllt wird: E1(E2(G)) = E2(E1(G)).

Blindentschlüsselungsprozeduren

1) Der Benutzer verwendet den Verschlüsselungsschlüssel (öffentlicher Schlüssel) des Servers, um Daten G zu verschlüsseln, und erhält die verschlüsselte Mitteilung Cs.

Die verschlüsselte Mitteilung Cs wird repräsentiert durch Cs = E1(G).

2) Der Benutzer verschlüsselt die bei 1) erhaltene Mitteilung Cs unter Verwendung des Verschlüsselungsschlüssels (öffentlicher Schlüssel) des Benutzers und übermittelt die verschlüsselte Mitteilung Csu an den Server.

Die verschlüsselte Mitteilung Csu wird repräsentiert durch Csu = E2(Cs).

3) Der Server verwendet den Entschlüsselungsschlüssel (geheimer Schlüssel) des Servers, um die von dem Benutzer empfangene Mitteilung Csu zu entschlüsseln, und übermittelt die entschlüsselte Mitteilung Cu an den Benutzer.

Die entschlüsselte Mitteilung Cu wird repräsentiert durch Cu = D1(Csu) = D1(E2(E1(G))) = E2(G).

4) Der Benutzer verwendet den Entschlüsselungsschlüssel (geheimer Schlüssel) des Benutzers, um die von dem Server empfangene Mitteilung Cu zu entschlüsseln, und erhält Daten G.

Die Daten G werden repräsentiert durch G = D2(E2(G))

Wenn das RSA-Verschlüsselungssystem für die Blindentschlüsselung verwendet wird, wird allgemein unter der Annahme, dass jeweils die öffentlichen Schlüssel des Servers und des Benutzers e1 und e2 sind und ihre geheimen Schlüssel d1 und d2 sind, die Blindentschlüsselung wie folgt durchgeführt.

Die Mod-Operation ist nicht gezeigt.

Verarbeitung zur Blindentschlüsselung unter Verwendung des RSA-Verschlüsselungssystems

1) Der Benutzer verschlüsselt die Daten G unter Verwendung des öffentlichen Schlüssels e1 des Servers und erhält die verschlüsselte Mitteilung Cs. Die Mitteilung Cs wird repräsentiert durch Cs = Ge1.

2) Der Benutzer verwendet den öffentlichen Schlüssel e2 des Benutzers, um die Mitteilung Cs (= Ge1), die bei 1) erhalten wurde, zu verschlüsseln, und übermittelt die verschlüsselte Mitteilung Csu an den Server.

Die Mitteilung Csu wird repräsentiert durch CSU = (Ge1)e2.

3) Der Server verwendet den öffentlichen Schlüssel e1 des Servers, um die von dem Benutzer empfangene verschlüsselte Mitteilung Csu (= (Ge1)e2) zu entschlüsseln, und übermittelt die entschlüsselte Mitteilung Cu an den Benutzer.

Die entschlüsselte Mitteilung Cu wird repräsentiert durch Cu = Ge2.

4) Der Benutzer verwendet den öffentlichen Schlüssel e2 des Benutzers, um die von dem Server empfangene Mitteilung Cu (= Ge2) zu entschlüsseln, und erhält die ursprünglichen Daten G (die endgültigen Daten für den Benutzer).

Jedoch könnte auch dann, wenn das vorstehende Verschlüsselungssystem mit öffentlichem Schlüssel verwendet wird, der Benutzer, der digitale Daten, wie beispielsweise Bilddaten, gekauft hat, einen Vorteil durch Erstellen einer Kopie der Daten und illegales Verteilen der Kopie erhalten.

Daher existiert ein Verfahren, das als "Markieren mir elektronischem Wasserzeichen" bezeichnet wird. In Übereinstimmung mit dem Verfahren zum "Markieren mit elektronischem Wasserzeichen" wird ein bestimmter Betriebsablauf für ursprüngliche digitale Daten, wie beispielsweise Bilddaten, durchgeführt, um in den digitalen Daten Urheberrechtsinformationen betreffend die digitalen Daten und Benutzerinformationen einzubetten (ein Einbettungsprozess für ein elektronisches Wasserzeichen), so dass dann, wenn eine illegale Kopie gefunden wird, die Person die die Kopie verteilt hat, spezifisch identifiziert werden kann.

Die Verwendung von sowohl des Verfahrens für elektronische Wasserzeichen als auch das Verschlüsselungssystem mit öffentlichem Schlüssel können die Privatsphäre eines Benutzers schützen, und können darüber hinaus die illegale Verteilung von Daten durch einen Benutzer verhindern.

Das konventionelle Blindentschlüsselungsverfahren, welches ein System zum Entschlüsseln von Daten ist, die unter Verwendung des vorstehend beschriebenen Verschlüsselungssystems mit öffentlichem Schlüssel verschlüsselt sind, ist als ein Protokoll zum Übermitteln von ursprünglichen digitalen Daten (der Daten G) von einem Server zu einem Benutzer wirkungsvoll, wobei die Privatsphäre des Benutzers geschützt wird. Das konventionelle Blindentschlüsselungsverfahren ist jedoch nicht geeignet als ein Protokoll zum Implementieren der folgenden Merkmale.

1) Die Inhalte der Daten G werden vor dritten Parteien, anderen Personen als dem Server und dem Benutzer geheim gehalten.

2) Der Server führt in Übereinstimmung mit dem Protokoll eine Modifikation durch, wie beispielsweise einen elektronisches Wasserzeichen-Markierungsprozess, und überträgt die Daten G nicht unverändert an den Benutzer.

3) Das Protokoll, gemäß welchem ein Partner nicht eines Verbrechens beschuldigt werden kann, wird verwendet, um die illegale Verteilung von Daten durch einen Server und einen Benutzer zu verhindern.

In einem ersten Aspekt stellt die Erfindung ein elektronisches Wasserzeichen-Verfahren bereit, das für ein Netzwerksystem verwendet wird, welches eine Vielzahl von Instanzen einschließt, wobei für den Austausch von digitalen Informationen mittels zumindest einer ersten Instanz und einer zweiten Instanz

die erste Instanz ein elektronisches Wasserzeichen in den digitalen Informationen einbettet, einen ersten Verschlüsselungsprozess für die digitalen Informationen durchführt, und die resultierenden digitalen Informationen an die zweite Instanz überträgt,

die zweite Instanz in den von der ersten Instanz empfangenen digitalen Informationen ein zweites elektronisches Wasserzeichen einbettet, zu dessen Erzeugung nur die zweite Instanz in der Lage ist, einen zweiten Verschlüsselungsprozess für die digitalen Informationen durchführt, einen Wert durch Transformieren der resultierenden verschlüsselten digitalen Informationen unter Verwendung einer Einwege-Kompressionsfunktion erhält, und den Wert und die verschlüsselten digitalen Informationen an die erste Instanz überträgt, und

die erste Instanz die von der zweiten Instanz empfangenen digitalen Informationen unter Verwendung derselben Einwege-Kompressionsfunktion umwandelt und in Übereinstimmung damit, ob der so erhaltene Wert mit dem von der zweiten Instanz empfangenen Wert übereinstimmt, einen ersten Decodierprozess mit Bezug zu dem ersten Verschlüsselungsprozess für die digitalen Informationen durchführt;

wobei verschlüsselte Daten nur durch die Instanz decodiert werden können, die die Daten verschlüsselte, und Daten, die durch eine Vielzahl von Instanzen verschlüsselt wurden, durch die Instanzen in beliebiger Reihenfolge decodiert werden können.

In einem zweiten Aspekt stellt die Erfindung ein elektronisches Wasserzeichen-System für ein Netzwerksystem bereit, welches eine Vielzahl von Instanzen einschließt, wobei für den Austausch von digitalen Informationen mittels zumindest einer ersten Instanz und einer zweiten Instanz der Vielzahl von Instanzen das elektronisches Wasserzeichen-System aus der ersten Instanz und der zweiten Instanz besteht, wobei

die erste Instanz aufweist: eine erste Einbettungseinrichtung zum Einbetten eines elektronischen Wasserzeichens in den digitalen Informationen; eine erste Verschlüsselungseinrichtung zum Durchführen eines ersten Verschlüsselungsprozesses für die digitalen Informationen; und eine erste Übertragungseinrichtung zum Übertragen der resultierenden digitalen Informationen an die zweite Instanz;

die zweite Instanz aufweist: eine zweite Einbettungseinrichtung zum Einbetten eines zweiten elektronischen Wasserzeichens, zu dessen Erzeugung nur die zweite Instanz in der Lage ist, in den von der ersten Instanz empfangenen digitalen Informationen; eine zweite Verschlüsselungseinrichtung zum Durchführen eines zweiten Verschlüsselungsprozesses für die digitalen Informationen; eine erste Transformationseinrichtung zum Erhalten eines Werts durch Transformieren der verschlüsselten digitalen Information unter Verwendung einer Einwege-Kompressionsfunktion; und eine zweite Übertragungseinrichtung zum Übertragen der des Werts und der verschlüsselten digitalen Informationen an die erste Instanz; und

die erste Instanz eine erste Bestätigungseinrichtung zum Umwandeln der von der zweiten Instanz empfangenen digitalen Informationen unter Verwendung derselben Einwege-Kompressionsfunktion und Ermitteln, ob der so erhaltene Wert mit dem von der zweiten Instanz empfangenen Wert übereinstimmt; und eine erste Decodereinrichtung zum Durchführen, in Abhängigkeit von dem Ergebnis der Wertübereinstimmung, eines ersten Decodierprozesses mit Bezug zu dem ersten Verschlüsselungsprozess für die digitalen Informationen;

wobei verschlüsselte Daten nur durch die Instanz decodiert werden können, die die Daten verschlüsselte, und Daten, die durch eine Vielzahl von Instanzen verschlüsselt wurden, durch die Instanzen in beliebiger Reihenfolge decodiert werden können.

In einem dritten Aspekt stellt die Erfindung ein Computerprogrammprodukt bereit mit Programmcode-Anweisungen für eine erste und eine zweite Instanz eines Netzwerksystems zum Anpassen derselben so, dass eine Verarbeitung in Übereinstimmung mit jedem der Schritte des vorstehend beschriebenen elektronisches Wasserzeichen-Verfahrens ausgeführt wird.

Ausführungsbeispiele der Erfindung und Vergleichsbeispiele, die nicht in den Schutzumfang der beanspruchten Erfindung fallen, werden nun unter Bezugnahme auf die beigefügten Zeichnungen beschrieben, in welchen:

1 ein Diagramm ist zum Erklären eines konventionellen elektronisches Wasserzeichen-Systems;

2 ein Diagramm ist zum Erklären eines konventionellen elektronisches Wasserzeichen-Systems, das durch Verbessern des Verfahrens in 1 erhalten wurde;

3 ein Diagramm ist zum Erklären eines konventionellen elektronisches Wasserzeichen-Systems, das durch Verbessern des Verfahrens in 2 erhalten wurde;

4 ein Diagramm ist zum Erklären eines elektronisches Wasserzeichen-Systems gemäß einem ersten Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt;

5 ein Diagramm ist zum Erklären eines elektronisches Wasserzeichen-Systems gemäß einem zweiten Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt;

6 ein Diagramm ist, das ein allgemeines Bildformat zeigt;

7 ein Diagramm ist, das ein beispielhaftes Dateiformat zeigt;

8 ein Diagramm ist, das ein anderes beispielhaftes Dateiformat zeigt;

9 ein Diagramm ist, das Attributinformationen zeigt, die in einem Bildinhalte-Eigenschaftensatz-Bereich des Dateiformats gespeichert sind;

10 ein Diagramm ist, das eine beispielhafte Bilddatei zeigt, die durch eine Vielzahl von Bildern mit unterschiedlichen Auflösungen gebildet wird;

11 ein Diagramm ist, das die Aufteilung eines Bilds mit unterschiedlichen Auflösungsschichten in Kacheln zeigt;

12 eine Tabelle ist, die Attributinformationen betreffend Bilddaten zeigt, die durch die Kachelaufteilung erhalten wurden;

13 ein Blockdiagramm ist, das die Anordnung eines elektronischen Informationsverteilungssystems gemäß einem ersten Ausführungsbeispiel der Erfindung darstellt;

14 ein Blockdiagramm ist, das die Anordnung eines elektronischen Informationsverteilungssystems gemäß einem zweiten Ausführungsbeispiel der Erfindung darstellt;

15 ein Diagramm ist zum Erklären eines elektronisches Wasserzeichen-Systems gemäß einem dritten Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt;

16 ein Diagramm ist zum Erklären eines elektronisches Wasserzeichen-Systems gemäß einem vierten Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt;

17 ein Blockdiagramm ist, das die Anordnung eines elektronischen Informationsverteilungssystems gemäß einem fünften Vergleichsbeispiel darstellt, das nicht in den Schutzumfang der beanspruchten Erfindung darstellt;

18 ein Diagramm ist zum Erklären der Implementierung des Protokolls für das vorstehende System, wenn RSA-Kryptografie verwendet wird;

19 ein Blockdiagramm ist, das ein elektronisches Informationsverteilungssystem gemäß einem sechsten Vergleichsbeispiel darstellt, das nicht in den Schutzumfang der beanspruchten Erfindung fällt; und

20 ein Diagramm ist zum Erklären der Implementierung des Protokolls für das vorstehende System, wenn RSA-Kryptografie verwendet wird.

(Erstes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt)

Ein erstes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt, wird nun unter Bezugnahme auf 4 beschrieben.

Ein elektronisches Wasserzeichen-Verfahren gemäß diesem Beispiel wird durch ein in 4 gezeigtes System 100 durchgeführt, für welches ein elektronisches Informationsverteilungssystem gemäß dem Beispiel angewandt ist.

Das System 100 ist ein Netzwerk, gebildet durch mehrere Instanzen (nicht gezeigt), das ein Terminal bzw. Endgerät 10 auf der Serverseite (ein Server-Endgerät), ein Terminal bzw. Endgerät 20 auf der Benutzerseite (ein Benutzer-Endgerät), und ein Terminal bzw. Endgerät 30 auf der Verifizierungsbüro-Seite (ein Verifizierungsbüro) beinhaltet. Die einzelnen Instanzen tauschen digitale Daten über das Netzwerk aus.

Das Server-Endgerät 10 umfasst: eine Vertragsbestätigungseinheit 11, zum Empfangen von Daten von dem Benutzer-Endgerät 20; eine erste elektronisches Wasserzeichen-Einbettungseinheit 12, zum Empfangen von zum Beispiel Bilddaten (digitale Daten); eine primäre Verschlüsselungseinheit 13, zum Empfangen der Ausgabe der ersten elektronisches Wasserzeichen-Einbettungseinheit 12; eine primäre Entschlüsselungseinheit 14, zum Empfangen von Daten von dem Benutzer-Endgerät 20; eine zweite elektronisches Wasserzeichen-Einbettungseinheit 15, zum Empfangen von Daten von dem Benutzer-Endgerät 20 und der Ausgabe von der primären Eetschlüsselungseinheit 14; und einen Hash-Generator 16 zum Empfangen der Ausgabe der zweiten elektronisches Wasserzeichen-Einbettungseinheit 15. Die Ausgaben der primären Verschlüsselungseinheit 13 und des Hash-Generators 16 werden an das Benutzer-Endgerät 20 übertragen, und die Ausgabe der zweiten elektronisches Wasserzeichen-Einbettungseinheit 15 wird an sowohl den Hash-Generator 16 als auch an das Benutzer-Endgerät 20 übertragen.

Das Benutzer-Endgerät 20 umfasst: einen Vertragsgenerator 21, zum Übertragen von Daten an die Vertragsbestätigungseinheit 11 des Server-Endgeräts 10; einen Signaturgenerator 22; eine sekundäre Verschlüsselungseinheit 24, zum Empfangen von Daten von der primären Verschlüsselungseinheit 13 des Server-Endgeräts 10; eine sekundäre Entschlüsselungseinheit 25, zum Empfangen von Daten von der primären Entschlüsselungseinheit 14 und von der elektronisches Wasserzeichen-Einbettungseinheit 15 des Server-Endgeräts 10; und eine Hash-Bestätigungseinheit 27, zum Empfangen von Daten von der zweiten elektronisches Wasserzeichen-Einbettungseinheit 15 und dem Hash-Generator 16 des Server-Endgeräts 10. Die von der sekundären Entschlüsselungseinheit 25 produzierten Daten werden als Bilddaten ausgegeben, für welche ein elektronisches Wasserzeichen bereitgestellt wird. Die von der sekundären Verschlüsselungseinheit 24 produzierten Daten werden an die primäre Entschlüsselungseinheit 14 des Server-Endgeräts 10 übertragen, und die von dem Signaturgenerator 23 produzierten Daten werden an die sekundäre elektronisches Wasserzeichen-Einbettungseinheit 15 des Server-Endgeräts 10 übertragen.

In dem vorstehenden System 100 sind den primären Verschlüsselungsprozess betreffende Informationen, wie beispielsweise das verwendete Verfahren und ein geheimer Schlüssel, nur diejenigen, welche für den Server verfügbar sind, und sind den sekundären Verschlüsselungsprozess betreffende Informationen nur diejenigen, die für den Benutzer verfügbar sind. Es wird angemerkt, dass eine Eigenschaft sowohl des primären Verschlüsselungsprozesses als auch des sekundären Verschlüsselungsprozesses diejenige ist, dass unabhängig davon, welcher Verschlüsselungsprozess auch immer zuerst durchgeführt wird, eine Mitteilung durch den Entschlüsselungsprozess dechiffriert werden kann.

Nachstehend wird der Verschlüsselungsprozess durch "Ei()" repräsentiert, wird der Entschlüsselungsprozess durch "Di()" repräsentiert, und wird der Einbettungsprozess durch "+" repräsentiert.

Die durch das derart angeordnete System 100 durchgeführte Verarbeitung wird nun erklärt. Zunächst wird der Einbettungsprozess für ein elektronisches Wasserzeichen erklärt.

Einbettungsprozess

1) Zunächst gibt, um gewünschte Bilddaten G zu erhalten, das Benutzer-Endgerät 20 an das Server-Endgerät 10 eine die Signatur des Benutzers tragende Anforderung aus. Die angeforderten Daten sind Informationen (Signaturinformationen des Benutzers), die durch den Vertragsgenerator 21 generiert werden, und die nachstehend als Vertragsinformationen bezeichnet werden.

2) Die Vertragsbestätigungseinheit 11 in dem Server-Endgerät 10 verwendet die Signatur des Benutzers, um die empfangenen Vertragsinformationen zu verifizieren, und verwendet dann die Vertragsinformationen, um Benutzerinformationen U zu erstellen. Die erste elektronisches Wasserzeichen-Einbettungseinheit 12 bettet in die angeforderten Bilddaten G die von der Vertragsbestätigungseinheit 11 erstellten Benutzerinformationen U ein. Die erste Verschlüsselungseinheit 13 führt den primären Verschlüsselungsprozess E1() für die Bilddaten (G + U) unter Verwendung der Benutzerinformationen U durch, die eingebettet sind, und überträgt die erhaltenen Daten an das Benutzer-Endgerät 20. Auf diese Art und Weise empfängt das Benutzer-Endgerät 20 die primären verschlüsselten Daten E1(G + U).

3) Die sekundäre Verschlüsselungseinheit 24 des Benutzer-Endgeräts 20 führt die sekundäre Verschlüsselung der primären verschlüsselten Bilddaten E1(G + U) durch, die von dem Server-Endgerät 10 empfangen worden sind, und überträgt die erhaltenen sekundären verschlüsselten Bilddaten E2(E1(G + U)) an das Server-Endgerät 10. Zu dieser Zeit erwirbt der Benutzer seinen oder ihren geheimen Schlüssel von dem Signaturgenerator 22, und erstellt Signaturinformationen S und überträgt diese an das Server-Endgerät 10.

4) Die primäre Verschlüsselungseinheit 14 in dem Server-Endgerät 10 entschlüsselt die primären verschlüsselten Daten der sekundären verschlüsselten Daten E2(E1(G + U)), die von dem Benutzer-Endgerät 210 empfangen wurden. Die zweite elektronisches Wasserzeichen-Einbettungseinheit 15 überprüft bzw. bestätigt die von dem Benutzer-Endgerät 20 empfangenen Signaturinformationen S, bettet die Signaturinformationen S in die von der primären Eetschlüsselungseinheit 14 generierten Bilddaten E2(G + U) ein, und überträgt die erhaltenen Daten an das Benutzer-Endgerät 20. Der Hash-Generator 16 generiert einen Hash-Wert H1 für die Daten E2(G + U), der an das Benutzer-Endgerät 20 zu übertragen ist, signiert diesen und überträgt, zusammen mit den Daten E2(G + U) + S, den erhaltenen Hash-Wert H1 an das Benutzer-Endgerät 20. Infolge dessen empfängt das Benutzer-Endgerät 20 die Daten E2(G + U), den Hash-Wert H1, und dessen Signatur.

Der Hash-Wert ist ein Wert, der durch Berechnen der Hash-Funktion h() erhalten wurde, und die Hash-Funktion ist eine Kompressionsfunktion, die selten eine Kollision verursacht. Eine Kollision in diesem Fall würde bedeuten, dass für die unterschiedlichen Werte x1 und x2 h(x1) = h(x2) wäre. Die Kompressionsfunktion ist eine Funktion zum Umwandeln einer Bitkette bzw. eines Bitstrings mit einer bestimmten Bitlänge in eine Bitkette mit einer unterschiedlichen Bitlänge. Daher ist die Hash-Funktion eine Funktion h(), durch welche eine Bitkette mit einer bestimmten Bitlänge in eine Bitkette mit einer unterschiedlichen Länge umgewandelt wird, und für welche Werte x1 und x2, die h(x1) = h(x2) erfüllen, selten existieren. Da ein Wert x, der y = h(x) erfüllt, aus einem beliebigen y nicht leicht erhalten wird, ist demgemäß die Hash-Funktion eine Einwege-Funktion. Spezifische Beispiele für die Hash-Funktion sind ein MD (Message Digest) 5 oder ein SHA (Secure Hash Algorithm).

5) Als Nächstes bestätigt die Hash-Bestätigungseinheit 27 in dem Benutzer-Endgerät 20 den Hash H1 und seine Signatur, die von dem Server-Endgerät 10 übertragen wurden, um zu bestätigen, dass der Hash-Wert H1 mit einem aus den Daten E2(G + U) + S generierten Hash-Wert übereinstimmt. Nach dieser Bestätigung werden die Daten E2(G + U) + S, der Hash-Wert H1 und dessen Signatur gespeichert.

Dann entschlüsselt die sekundäre Entschlüsselungseinheit 25 die sekundären verschlüsselten Daten E2(G + U) + S, die von dem Server-Endgerät 10 übertragen wurden, um Bilddaten Gw zu extrahieren, zu welchen das elektronische Wasserzeichen hinzugefügt ist. Daher werden die mit dem elektronischen Wasserzeichen hinzugefügten Bilddaten Gw als Gw = G + U + D2(S) repräsentiert. Dies repräsentiert, dass die durch die sekundäre Chiffre bzw. Verschlüsselung beeinflussten Benutzerinformationen U und die Signaturinformationen S als Wasserzeicheninformationen in die ursprünglichen Bilddaten G eingebettet sind.

Wie vorstehend beschrieben ist, kann gemäß dem elektronisches Wasserzeichen-Verfahren des vorliegenden Vergleichsbeispiels, da der Server die Einbettung von elektronisches Wasserzeichen-Informationen durchführt, der Benutzer grundlegend eine illegale Aktivität nicht durchführen. Der Server empfängt die Signaturinformationen S direkt von dem Benutzer und bettet sie als elektronisches Wasserzeichen-Informationen in die Daten ein; jedoch kann, da die Signaturinformationen D2(S), die durch den Benutzer in der Umwandlungsprozedur in 5) des Einbettungsprozesses erhalten werden, durch den sekundären Verschlüsselungsprozess beeinflusst werden, der nur dem Benutzer bekannt ist, der Server die Signaturinformationen D2 (S) nicht direkt in ursprüngliche Bilddaten einbetten und dann dem Benutzer die Schuld für das Verbrechen geben.

Wenn eine illegale Kopie (ein illegales Bild) gefunden wird, wird der folgende Verifikationsprozess durchgeführt, um eine nicht autorisierte Person zu identifizieren. Es wird angemerkt, dass wie in den vorstehenden Referenzen 1 und 2 die Bilddaten durch die Modifikation oder das Löschen von elektronischen Informationen nicht beeinträchtigt werden.

Verifikationsprozess

1) Zunächst extrahiert das Server-Endgerät 10 Benutzerinformationen U' aus dem illegalen Bild Gw' = G + U' + D2(S'), das gefunden wurde.

2) Das Server-Endgerät 10 überträgt an das Verifikationsbüro 30 das illegale Bild Gw' und die extrahierten Benutzerinformationen U', und fordert an, dass eine Untersuchung bzw. Überprüfung des Benutzers durchgeführt wird.

3) Das Verifikationsbüro 30 fordert an, dass ihm der Benutzer den sekundären Verschlüsselungsschlüssel, den der Benutzer gespeichert hat, übergibt, und verwendet, um die Signaturinformationen S' zu extrahieren, den übergebenen Verschlüsselungsschlüssel, um einen sekundären Verschlüsselungsprozess für das illegale Bild Gw' durchzuführen.

4) Wenn die korrekten Signaturinformationen (S' = S) extrahiert sind, ermittelt das Verifikationsbüro 30, dass von dem Benutzer eine illegale Aktivität durchgeführt worden ist.

5) Wenn die korrekten Signaturinformationen nicht extrahiert werden können, fordert das Verifikationsbüro 30 an, dass der Benutzer die Daten E2(G + U) + S seinen Hash-Wert H1 und seine Signatur übergibt, welche alle durch das Server-Endgerät 10 an das Benutzer-Endgerät 20 übertragen werden, verifiziert den Hash-Wert H1 und die die Signatur, und bestätigt, dass der Hash-Wert H1 mit einem für die Daten E2(G + U) + S generierten Hash-Wert übereinstimmt. Nach der Durchführung dieser Bestätigung, gemäß der Prozedur 3) in dem Verifikationsprozess, entschlüsselt das Verifikationsbüro 30 die Daten E2(G + U) + S unter Verwendung des sekundären Verschlüsselungsschlüssels, der von dem Benutzer übergeben wird, und extrahiert Bilddaten Gw mit einem elektronischen Wasserzeichen.

6) Wenn das Verifikationsbüro 30 korrekte Bilddaten Gw unter Verwendung eines elektronischen Wasserzeichens nicht extrahieren kann, ermittelt das Büro 30, dass eine illegale Aktivität durch den Benutzer durchgeführt wurde. Dies bedeutet, dass der in dem Prozedurschritt 3) des Verifikationsprozesses übergebene sekundäre Verschlüsselungsschlüssel nicht korrekt ist.

7) Wenn korrekte Bilddaten mit einem elektronischen Wasserzeichen extrahiert sind, ermittelt das Verifikationsbüro 30, dass eine illegale Aktivität durch den Server durchgeführt wurde.

Wie dem vorstehenden Verifikationsprozess entnehmbar ist, kann das Endgerät des Verifikationsbüros 30 dieselben Funktionen wie die sekundäre Verschlüsselungseinheit 24, die sekundäre Entschlüsselungseinheit 25 und die Hash-Bestätigungseinheit 27 des Benutzer-Endgeräts 20 durchführen.

Wie vorstehend beschrieben ist, tritt gemäß dem ersten Vergleichsbeispiel, da die für einen Server und einen Benutzer entstehenden Vorteile in Konflikt zueinander stehen, eine Kollusion zwischen den beiden nicht auf. Daher kann, da falls der Benutzer keine korrekten Signaturinformationen einbettet, und diese Tatsache aus dem reproduzierten Bild während des Verifikationsprozesses erfasst werden kann, der Benutzer keine illegale Aktivität durchführen. Darüber hinaus kann, da während des Einbettungsprozesses die durch die sekundäre Verschlüsselung auf der Benutzerseite beeinflussten Signaturinformationen dem Server nicht zur Verfügung stehen, auch der Server keine illegale Aktivität durchführen. Und schließlich wird, bis ein illegales Bild entdeckt wird, das Verifikationsbüro nicht benötigt, da bis ein illegales Bild entdeckt wird, die Tatsache, dass eine illegale Aktivität durchgeführt wurde, nicht ermittelt werden.

Falls die Prozeduren für den vorstehenden Verifikationsprozess gut bekannt sind, und falls sich sowohl ein Benutzer als auch ein Server der Ergebnisse bewusst sind, die durch den Prozess bereitgestellt werden, eine durch den Benutzer oder durch den Server durchgeführte illegale Aktivität auch dann erfasst werden, falls ein Verifikationsbüro nicht bereitgestellt ist.

(Zweites Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt)

Als Nächstes wird ein zweites Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt, erklärt.

Seit kurzem findet der Transfer von Geld über Netzwerke hinweg, eine Geldmittel-Transferprozedur, die als elektronisches Bargeld bezeichnet wird, Verwendung. Da wie bei einer regulären Bargeldzahlung der Name des Besitzers eines elektronischen Bargeldtransfers nicht identifiziert wird, wird Anonymität erreicht. Falls das Erreichen von Anonymität nicht möglich wäre, könnte ein Verkäufer eines Produkts aus einem elektronischen Bargeldtransfer einen Käufer betreffende Informationen und die Benutzung seines Produkts erhalten, so dass die Privatsphäre eines Benutzers nicht geschützt sein würde. Daher ist der Schutz der Privatsphäre eines Benutzers so wichtig wie der Schutz eines Urheberrechts für einen Schöpfer, der ein elektronisches Wasserzeichen benutzt.

In diesem zweiten Vergleichsbeispiel wird daher die Anonymität eines Benutzers für einen Kaufvorgang bereitgestellt, und wenn eine Illegalität, wie beispielsweise eine illegale Verteilung von Bildern, aufgefunden wird, ist es möglich, einen nicht autorisierten Verteiler zu identifizieren, welches der ursprüngliche Zweck eines elektronischen Wasserzeichens ist. Dies wird durch zum Beispiel ein in 5 gezeigtes System 200 erreicht.

Das System 200 hat dieselbe Struktur wie das System 100 gemäß dem ersten Vergleichsbeispiel, mit einem anonymen öffentlichen Schlüsselzertifikat, das durch ein für ein Benutzer-Endgerät 20 bereitgestelltes Verifikationsbüro 40 ausgegeben wird.

Allgemein wird, um Signaturinformationen zu authentifizieren, ein durch eine als ein Verifikationsbüro bezeichnete Organisation ausgegebenes Zertifikat zu einem öffentlichen Schlüssel hinzugefügt, der zum Untersuchen der Signaturinformationen benutzt wird.

Das Verifikationsbüro ist eine Organisation, die Zertifikate für öffentliche Schlüssel ausgibt, die Benutzern gehören, um eine Authentifikation für öffentliche Schlüssel in Übereinstimmung mit den Verschlüsselungssystemen für öffentliche Schlüssel bereitzustellen. Das heißt, das Verifikationsbüro verwendet einen geheimen Schlüssel, den es besitzt, um eine Signatur für den öffentlichen Schlüssel eines Benutzers für den Benutzer betreffende Daten bereitzustellen, und erstellt zu diesem Zweck ein Zertifikat und gibt es aus. Wenn ein Benutzer von einem anderen Benutzer eine Signatur empfängt, die von einem Zertifikat begleitet wird, untersucht der Benutzer das Zertifikat unter Verwendung des öffentlichen Schlüssels des Verifikationsbüros, um die durch den Benutzer, der den öffentlichen Schlüssel übertragen hat, bereitgestellte Authentifikation zu verifizieren (zumindest die Tatsache, dass für den Benutzer durch das Verifikationsbüro eine Authentifikation bereitgestellt wurde). Sowohl VeriSign als auch Cyber-Trust sind gut bekannte Organisationen, die solche Verifikationsbüros betreiben.

Wenn bei Prozedur 2) des Einbettungsprozesses in dem ersten Vergleichsbeispiel ein Server eine Signatur bereitstellt, um die Vertragsinformationen für einen Benutzer zu verifizieren, kann der Server den öffentlichen Schlüssel mit einer durch das Verifikationsbüro 40 in 5 ausgegebenen Signatur verwenden. Da jedoch der Name des Besitzers des öffentlichen Schlüssels allgemein in das Zertifikat geschrieben ist, wird die Benutzeranonymität zu der Zeit, zu der Daten gekauft werden, nicht bereitgestellt.

Falls andererseits das Verifikationsbüro 40 die Korrespondenz von öffentlichen Schlüsseln und deren Benutzer geheim hält, kann der Name eines Besitzers nicht in das Zertifikat für einen öffentlichen Schlüssel geschrieben werden. Ein anonymes Zertifikat für einen öffentlichen Schlüssel wird nachstehend als ein "anonymes öffentlicher Schlüssel-Zertifikat" bezeichnet, und ein öffentlicher Schlüssel, für welchen ein solches Zertifikat bereitgestellt ist, wird als ein "anonymer öffentlicher Schlüssel mit einem Zertifikat" bezeichnet. In Prozedur 1) des vorstehend beschriebenen Einbettungsprozesses kann dann, wenn das Benutzer-Endgerät 20 an das Server-Endgerät 10 nicht nur Vertragsinformationen, sondern auch den anonymen öffentlichen Schlüssel mit einem Zertifikat überträgt, so dass die Vertragsinformationen für die Signatur und die Signaturinformationen S untersucht bzw. geprüft werden können, der Benutzer bei einem Kauf von digitalen Daten anonym bleiben.

Das Server-Endgerät 10 empfängt den anonymen öffentlichen Schlüssel mit dem Zertifikat als Informationen, die zum Identifizieren eines Benutzers zu verwenden sind. Wenn eine illegale Kopie gefunden wird, übergibt das Server-Endgerät 10 den anonymen öffentlichen Schlüssel mit dem Zertifikat an das Verifikationsbüro 40 und erhält im Gegenzug den Namen des Benutzers, dem der öffentliche Schlüssel entspricht, so dass der Benutzer identifiziert werden kann. Demzufolge werden die Prozeduren 1) und 2) des Einbettungsprozesses und die Prozeduren 1) und 2) des Verifikationsprozesses in dem ersten Vergleichsbeispiel wie folgt modifiziert, um sowohl Anonymität für einen Benutzer bei einem Kauf von digitalen Daten bereitzustellen als auch einen nicht autorisierten Benutzer zu identifizieren, wenn die Durchführung einer illegalen Aktivität entdeckt wird.

Der Einbettungsprozess und der Verifikationsprozess, die durch das System 200 in 5 durchgeführt werden, werden im Einzelnen erklärt.

Da dieselben Bezugszeichen, wie sie für das System 100 in 4 verwendet werden, auch dazu verwendet werden, um entsprechende oder identische Komponenten in dem System in 5 zu bezeichnen, wird keine spezielle Erklärung für andere Komponenten als diejenigen gegeben, welchen unterschiedliche Bezugszeichen zugewiesen sind. Und da die Verarbeitung in dem zweiten Vergleichsbeispiel dieselbe ist wie die in dem ersten Vergleichsbeispiel, mit Ausnahme der Prozeduren 1) und 2) des Einbettungsprozesses und der Prozeduren 1) und 2) des Verifikationsprozesses, wird keine detaillierte Erklärung der Verarbeitung gegeben.

Einbettungsprozess

1) Zunächst stellt in dem Benutzer-Endgerät 20 ein Vertragsgenerator 21 für Vertragsinformationen zum Anfordern gewünschter Bilddaten eine Signatur bereit, die einem anonymen öffentlichen Schlüssel mit einem von einem Verifikationsbüro 40 ausgegebenen Zertifikat entspricht, und überträgt die Vertragsinformationen zusammen mit dem anonymen öffentlichen Schlüssel mit dem Zertifikat an das Server-Endgerät 10.

2) In dem Server-Endgerät 10 benutzt eine Vertragsbestätigungseinheit 11 den öffentlichen Schlüssel des Verifikationsbüros 40, um den öffentlichen Schlüssel des Benutzers zu untersuchen, worauf folgend sie die für die Vertragsinformationen bereitgestellte Signatur unter Verwendung des anonymen öffentlichen Schlüssels des Benutzers verifiziert und Benutzerinformationen U durch die Benutzung von zumindest der Vertragsinformationen oder des anonymen öffentlichen Schlüssels mit dem Zertifikat erstellt. Eine erste elektronisches Wasserzeichen-Einbettungseinheit 12 bettet in angeforderte Bilddaten G die Benutzerinformationen U ein, die von der Vertragsbestätigungseinheit 11 erstellt werden. Eine primäre Verschlüsselungseinheit 13 führt den primären Verschlüsselungsprozess E1() für die resultierenden Bilddaten G durch und überträgt die erhaltenen Daten an das Benutzer-Endgerät 20. Auf diese Art und Weise empfängt das Benutzer-Endgerät 20 primäre verschlüsselte Bilddaten E1(G + U).

Danach werden die Prozeduren 3) bis 5) des Einbettungsprozesses in dem ersten Vergleichsbeispiel durchgeführt.

Verifikationsprozess

1) Das Server-Endgerät 10 extrahiert Benutzerinformationen U' aus einem illegalen Bild Gw', das entdeckt ist, und übergibt an das Verifikationsbüro 40 die extrahierten Benutzerinformationen U' und einen anonymen öffentlichen Schlüssel, welcher aus den Vertragsinformationen erhalten wird, um den Namen eines Benutzers zu gewinnen, der dem anonymen öffentlichen Schlüssel entspricht.

2) Das Server-Endgerät 10 übergibt an das Verifikationsbüro 40 das illegale Bild Gw', die extrahierten Benutzerinformationen U' und den Namen des Benutzers, und fordert an, dass ein Verifikationsprozess für den Benutzer durchgeführt wird.

Dann werden die Prozeduren 3) bis 7) des Verifikationsprozesses in dem ersten Vergleichsbeispiel durchgeführt.

Wie vorstehend beschrieben ist, kann gemäß dem vorliegenden Vergleichsbeispiel der Benutzer anonym bleiben, sogar so weit wie das Verifikationsbüro betroffen ist, wenn digitale Daten gekauft werden.

Verschiedene Daten, um Bilddaten in dem ersten und dem zweiten Vergleichsbeispiel und einen während des Einbettungsprozesses für ein elektronisches Wasserzeichen erhaltenen Hash-Wert einzuschließen, können in dem folgenden Bildformat gespeichert werden.

In Übereinstimmung mit dem folgenden allgemeinen Bildformat zum Beispiel können Bilddaten, die in einzelnen Schritten übertragen werden, in einem Bilddatenabschnitt gespeichert sein, und ein entsprechender Hash-Wert und dessen Signatur können in einem Bildvorspannabschnitt gespeichert sein. Ferner können ein Hash-Wert und dessen Signatur, welche der Benutzer zurückbehalten muss, sowie der sekundäre Verschlüsselungsschlüssel in dem Bildvorspannabschnitt gespeichert sein, während Bilddaten mit einem elektronischen Wasserzeichen in dem Bilddatenabschnitt gespeichert sein können.

In Übereinstimmung mit dem folgenden Dateiformat kann das allgemeine Bildformat, welches den Hash-Wert und die Signatur beinhaltet, als Daten in jeder Schicht gespeichert sein. Und der Hash-Wert und die Signatur können als Attributinformationen in einem Eigenschaftensatz gespeichert sein.

Das allgemeine Bildformat wird nun erklärt.

In Übereinstimmung mit dem allgemeinen Bildformat ist eine Bilddatei in einen Bildvorspannabschnitt und einen Bilddatenabschnitt unterteilt, wie in 6 gezeigt ist.

Allgemein sind in dem Bildvorspannabschnitt Informationen, die zum Lesen von Bilddaten aus einer Bilddatei, und zusätzliche Informationen zum Erklären der Inhalte eines Bilds gespeichert. In dem Beispiel in 6 sind ein Bildformatidentifikator, der den Namen eines Bildformats beschreibt, eine Dateigröße, die Breite, die Höhe und die Tiefe eines Bilds, Informationen dahin gehend, ob Daten komprimiert sind oder nicht, eine Auflösung, ein Verweis zu einem Bilddaten-Speicherort, die Größe einer Farbpalette usw. gespeichert. Bilddaten sind sequentiell in dem Bilddatenabschnitt gespeichert. Typische Beispiele solcher Bildformate sind das BMP-Format von Microsoft und das GIF-Format von Compuserve.

Ein anderes Bildformat wird nun erklärt.

In Übereinstimmung mit dem folgenden Dateiformat sind in dem Bildvorspannabschnitt gespeicherte Attributinformationen und die in dem Bilddatenabschnitt gespeicherten Bilddaten stärker als eine Struktur neu angeordnet und in der Datei gespeichert. Die strukturierte Bilddatei ist in den 7 und 8 gezeigt.

Auf die einzelnen Eigenschaften und Daten in der Datei wird als Speicher und Ströme bzw. Streams zugegriffen, die den Verzeichnissen und Dateien von MS-DOS entsprechen. In den 7 und 8 sind die schattierten Abschnitte Speicher und die nicht schattierten Abschnitt Streams. Bilddaten und Bildattributinformationen sind in den Streams gespeichert.

In 7 sind die Bilddaten hierarchisch in Übereinstimmung mit unterschiedlichen Auflösungen angeordnet, wobei ein Bild bei jeder Auflösung als ein Unterbild bezeichnet wird und durch eine Auflösung 0, 1, ..., oder n repräsentiert wird. Für ein Bild bei jeder Auflösung sind die Informationen, die für das Lesen der Bilddaten erforderlich sind, in einem Unterbild-Vorspannbereich gespeichert, und sind die Bilddaten in einem Unterbild-Datenbereich gespeichert.

Die Eigenschaftensätze, welche aus Attributinformationen zusammengesetzt sind, die durch Sortieren derselben in Entsprechung mit dem Zweck definiert sind, für welchen sie benutzt werden, und ihre Inhalte umfassen Zusammenfassungsinformationen-Eigenschaftensätze, Bildinformationen-Eigenschaftensätze, Bildinhalte-Eigenschaftensätze, und Erweiterungslisten-Eigenschaftensätze.

Erklärung für jeden Eigenschaftensatz

Ein Zusammenfassungsinformationen-Eigenschaftensatz ist nicht ein inhärenter Teil dieses Dateiformats, sondern ist erforderlich für eine strukturierte Speicherung für Microsoft zum Speichern der Kachel einer Datei, des Namens, des Autors und des Thumbnail-Bilds bzw. verkleinerten Vorschaubilds.

Allgemeine Informationen betreffend eine Speichereinheit (Speicher) sind in dem Com Obj. Stream gespeichert.

Ein Bildinhalte-Eigenschaftensatz ist ein Attribut zum Beschreiben eines Speicherverfahrens für Bilddaten (vgl. 9). Für dieses Attribut sind die Anzahl von Schichten bzw. Lagen von Bilddaten, die Breite und die Höhe eines Bilds bei der maximalen Auflösung, die Breite, die Höhe und die Farbe eines Bilds bei jeder Auflösung, und die Definition einer Quantisierungstabelle oder einer Huffman-Tabelle, die zur JPEG-Kompression benutzt werden, bereitgestellt.

Ein Erweiterungslisten-Eigenschaftensatz ist ein Bereich, der zum Hinzufügen von Informationen benutzt wird, die nicht in der grundlegenden Spezifikation des vorstehenden Dateiformats enthalten sind.

In einem ICC-Profilbereich ist ein ICC (International Color Consortium)-spezifiziertes Umwandlungsprofil zur Farbraumumwandlung beschrieben.

In einem Bildinformationen-Eigenschaftensatz sind verschiedene Arten von Informationen gespeichert, die dazu genutzt werden können, Bilddaten zu verwenden, zum Beispiel die folgenden Arten von Informationen, die beschreiben, wie ein Bild geholt wird und wie es benutzt werden kann:

  • – Informationen betreffend ein Holverfahren oder ein Erzeugungsverfahren für digitale Daten;
  • – Informationen betreffend ein Urheberrecht;
  • – Informationen betreffend die Inhalte eines Bilds (eine Person oder den Ort eines Bilds;
  • – Informationen betreffend eine zur Aufnahme einer Fotografie benutzten Kamera;
  • – Informationen betreffend die Einstellungen für eine Kamera (Belichtung, Verschlussgeschwindigkeit, Brennweite, ob ein Blitzgerät benutzt wurde, usw.);
  • – Informationen betreffend eine einer Kamera eigenen Auflösung und einen Mosaikfilter;
  • – Informationen betreffend den Namen des Herstellers und den Modellnamen der Kamera, sowie die Art (Negativ/Positiv, oder Farbe/Monochrom);
  • – Informationen betreffend die Art und die Größe, wenn das Original ein Buch oder ein anderer gedruckter Gegenstand ist; und
  • – Informationen betreffend einen Scanner und eine Software-Anwendung, die zum Abtasten eines Bilds verwendet wurden, und den Bediener.

Ein Bildansichtsobjekt in 8 ist eine Bilddatei, in welcher ein Betrachtungsparameter, welcher zum Anzeigen eines Bilds benutzt wird, und Bilddaten zusammen gespeichert sind. Der Betrachtungsparameter ist ein Satz von gespeicherten Koeffizienten zum Einstellen der Rotation, der Vergrößerung/Verkleinerung, der Verschiebung, der Farbumwandlung und der Filterverarbeitung für ein Bild, wenn es angezeigt wird. In 8 ist in einen Globale-Informationen-Eigenschaftenbereich eine verriegelte Attributliste geschrieben, zum Beispiel ein Index für ein maximales Bild, ein Index für das am meisten geänderte Element, und Informationen betreffend die Person, welche die letzte Korrektur durchführte.

Ferner ist ein Quellen/Ergebnisbildobjekt die Substanz der Bilddaten, während ein Quellenobjekt notwendig erforderlich ist und ein Ergebnisbildobjekt optional ist. Originalbilddaten sind in dem Quellenobjektbereich gespeichert, und Bilddaten, die durch eine Bildverarbeitung unter Verwendung des Betrachtungsparameters erhalten wurden, sind in dem Ergebnisobjektbereich gespeichert.

Ein Quellen/Ergebnisbeschreibung-Eigenschaftensatz ist ein Eigenschaftensatz, der zum Identifizieren der vorstehenden Bilddaten verwendet wird. Eine Bildidentifikation bzw. Bild-ID, ein Eigenschaftensatz, für welchen Änderungen gesperrt sind, und das Datum und die Zeit der letzten Aktualisierung sind in diesem Bereich gespeichert.

In einem Transformations-Eigenschaftensatz sind ein für die Rotation, die Vergrößerung/Verkleinerung und die Verschiebung eines Bilds benutzter affiner Umwandlungskoeffizient, eine Farbumwandlungsmatrix, ein Kontrasteinstellwert und ein Filterkoeffizient gespeichert.

Nun wird eine Erklärung darüber gegeben, wie Bilddaten gehandhabt werden. Für diese Erklärung wird ein Bildformat verwendet, das eine Vielzahl von Bildern mit unterschiedlichen Auflösungen beinhaltet, die durch Aufteilung eines Bilds in eine Vielzahl von Kacheln erhalten werden.

In 10 ist eine beispielhafte Bilddatei gezeigt, die durch eine Vielzahl von Bildern mit unterschiedlichen Auflösungen gebildet wird. In 10 besteht ein Bild mit der höchsten Auflösung aus X0 Spalten x Y0 Reihen, und besteht ein Bild mit der nächst höchsten Auflösung aus X0/2 Spalten x Y0/2 Reihen. Die Anzahl von Spalten und die Anzahl von Reihen werden sequentiell um 1/2 verringert, bis die Spalten und Reihen gleich oder kleiner als 64 Pixel sind, oder die Spalten und die Reihen gleich sind.

Infolge der schichten- bzw. lagenweisen Anordnung von Bilddaten ist die Anzahl von Lagen in einer Bilddatei eine erforderliche Bildattributinformation, und sind die Vorspanninformationen und die Bilddaten, welche für das allgemeine Bildformat erklärt wurden, ebenfalls für ein Bild bei jeder Lage erforderlich (vgl. 6). Die Anzahl von Lagen in einer Bilddatei, die Breite und die Höhe eines Bilds bei seiner maximalen Auflösung, die Breite, die Höhe und die Farbe eines Bilds mit einer individuellen Auflösung sowie ein Kompressionsverfahren sind in dem Bildinhalte-Eigenschaftensatz-Bereich gespeichert (vgl. 9).

Das Bild bei einer Schicht bei jeder Auflösung wird in Kacheln bzw. Tiles unterteilt, von welchen jede 64 × 64 Pixel groß ist, wie in 11 gezeigt ist. Wenn ein Bild beginnend bei dem linken oberen Abschnitt in Kacheln von 64 × 64 Pixel unterteilt wird, kann ein leerer Raum in einem Teil einer Kachel an der rechten Kante oder an der unteren Kante auftreten. In diesem Fall wird das am weitesten rechts liegende Bild oder das unterste Bild wiederholt eingefügt, um 64 × 64 Pixel aufzubauen.

In diesem Format werden Bilddaten für die einzelnen Kacheln unter Verwendung entweder einer JPEG-Kompression, der Einzelfarbe oder eines nicht komprimierten Verfahrens gespeichert. Die JPEG-Kompression ist die durch ISO/IEC JTC1/SC29 international standardisierte Bildkompressionstechnik, so dass folglich eine Erklärung dieser Technik nicht gegeben wird. Das Einzelfarbverfahren ist eine Technik, durch die nur dann, wenn eine Kachel ganz aus derselben Farbe aufgebaut ist, die Kachel als eine Einzelfarbe ausgedrückt, wobei keine individuellen Pixelwerte aufgezeichnet werden. Dieses Verfahren ist insbesondere wirkungsvoll für ein Bild, das durch Computergraphik erzeugt ist.

Die Bilddaten, die derart in Kacheln aufgeteilt sind, sind zum Beispiel in dem Unterbild-Datenstrom in 7 gespeichert, und die Gesamtanzahl von Kacheln, die Größen der einzelnen Kacheln, die Stelle, an welcher Daten beginnen, und das Datenkompressionsverfahren sind in dem Unterbild-Vorspannbereich gespeichert (vgl. 12).

In dem ersten und dem zweiten Vergleichsbeispiel können elektronisches Wasserzeichen-Informationen unter Verwendung verschiedenartiger Verfahren eingebettet werden, wie beispielsweise die gut bekannten Verfahren, die zum Beispiel in "Hiding of Static Picture Data Using Pixel Blocks", Shimizu, Nuamo, Morimoto (IBM, Japan), 53rd Information Processing Institute National Assembly, IN-11, September 1996; oder in "Source Spread Spectrum Watermarking for Multimedia", I.J. Cox, J. Kilian, T. Leighton und T. Shamoon (NEC), NEC Research Institute Technical Report 95-10, beschrieben sind.

Die primäre Verschlüsselung und die sekundäre Verschlüsselung können ebenfalls durch Verwenden verschiedenartiger verfahren implementiert werden, wie beispielsweise ein Verschlüsselungssystem zum Ändern der Anordnung von Bits in Übereinstimmung mit einem Verschlüsselungsschlüssel; und ein Hash-Wert und dessen Signatur können für alle Daten bereitgestellt werden, die zu übertragen sind. In diesen Vergleichsbeispielen werden die primäre Verschlüsselung und die sekundäre Verschlüsselung so durchgeführt, dass in dem elektronisches Wasserzeichen-Einbettungsprozess der Server und der Benutzer keine Informationen auszutauschen brauchen. Jedoch können eine DES (Date Encryption Standard)-Kryptografie oder eine Hash-Funktion verwendet werden, um ein Abhören und die Änderung von Daten entlang eines Kommunikationspfads durch eine dritte Partei zu verhindern.

Ferner ist in dem ersten und dem zweiten Vergleichsbeispiel der Server für die Erfassung einer illegalen Datenverteilung verantwortlich. Solange jedoch eine elektronisches Wasserzeichen-Extraktionseinrichtung bereitgestellt ist, kann jeder beliebige Benutzer eine illegale Datenerfassung und Informationen betreffend einen geeigneten Benutzer erfassen, auch obwohl er oder sie den geheimen Schlüssel für die primäre Verschlüsselung und die sekundäre Verschlüsselung nicht kennt; und wenn eine illegale Verteilung erfasst wird, braucht der Benutzer nur den Server zu informieren, damit der Verifikationsprozess begonnen wird. Daher ist die Erfassung illegaler Verteilungen nicht auf den Server beschränkt.

Das Server-Endgerät 10 kann in die Bilddaten nicht nur die Benutzerinformationen U einbetten, sondern bedarfsweise auch andere Informationen, wie beispielsweise Urheberrechtsinformationen und Informationen betreffend einen Bilddaten-Verteilungszustand. Darüber hinaus braucht das Server-Endgerät 10, um geheime Informationen einzubetten, nur den Einbettungsprozess nach der primären Verschlüsselung durchzuführen, so dass zusätzlich zu den Signaturinformationen Informationen, die durch die primäre Verschlüsselung beeinflusst werden, in die Bilddaten eingebettet werden können. Die Benutzerinformationen U werden nicht immer vor der primären Verschlüsselung eingebettet, und können nach der primären Verschlüsselung eingebettet werden (in diesem Fall kann die Erfassung der Benutzerinformationen U nur durch den Server oder eine Person, die den für die primäre Verschlüsselung benutzten geheimen Schlüssel kennt, durchgeführt werden).

Wenn eine Vielzahl von Benutzern einen Drucker oder ein Endgerät gemeinsam verwenden bzw. teilen, können die Signaturinformationen des Benutzers und die sekundäre Verschlüsselung die Signaturinformationen und das Verschlüsselungssystem für den gemeinsamen Drucker oder das gemeinsame Endgerät einschließen. Die primären verschlüsselten Informationen von dem Server-Endgerät 10 können weithin über ein Netzwerk oder unter Verwendung einer CD-ROM verteilt werden, auch wenn dieses nicht von dem Benutzer-Endgerät 20 auf der Grundlage der Vertragsinformationen angefordert wird.

Die Signaturinformationen S für den Benutzer werden nicht notwendiger Weise durch das öffentlicher Schlüssel-Verschlüsselungsverfahren generiert, sondern können Informationen (beispielsweise eine Codezahl) sein, die durch den Benutzer auf der Grundlage der vertraglichen Informationen definiert werden.

In den Vereinigten Staaten ist, um eine Verschlüsselung für 40 Bits oder mehr zu verwenden, ein Schlüsselverwaltungsbüro zum Verwalten eines Verschlüsselungsschlüssels erforderlich, um die nicht autorisierte Benutzung des Kryptografen zu verhindern. Das Verifikationsbüro 30 kann daher auch als ein Schlüsselverwaltungsbüro dienen. Und wenn das Verifikationsbüro 30 eine Vorabverwaltung des sekundären Verschlüsselungsschlüssels bereitstellt, kann das Verifikationsbüro 30 die Verifikationsprozesse 1) bis 3) durch Durchführen der Überwachung auf ein illegales Bild selbst durchführen. Der primäre Verschlüsselungsschlüssel des Servers 10 kann entweder durch das Verifikationsbüro 30 oder durch ein anderes Schlüsselverwaltungsbüro verwaltet werden. Und die Schlüssel des Server-Endgeräts 10 und des Benutzer-Endgeräts 20 können durch das Schlüsselverwaltungsbüro generiert und verteilt werden.

Wie aus der vorstehenden Erklärung ersichtlich ist, können in Übereinstimmung mit dem elektronisches Wasserzeichen-Verfahren und dem elektronischen Informationsverteilungssystem der Vergleichsbeispiele das illegale Kopieren und die illegale Verteilung digitaler Daten erfasst werden, und kann eine schuldige Person identifiziert werden, so dass alle illegalen Aktivitäten verhindert werden können. Daher kann, was die illegale Verteilung digitaler Daten anbelangt, ein sicheres System bereitgestellt werden. Ferner kann eine Bilddateivorrichtung bereitgestellt werden, die Bilddaten ablegen kann, in welche ein elektronisches Wasserzeichen unter Verwendung des elektronisches Wasserzeichen-Verfahrens eingebettet worden ist, und das insbesondere leichter eingebettete elektronisches Wasserzeichen-Informationen identifizieren kann. Darüber hinaus kann dieses System leicht für ein Schlüsselverwaltungsbüro angewandt werden, das die Anonymität eines Benutzers aufrecht erhält, und das die nicht autorisierte Benutzung einer Kryptografie verhindert.

Nun werden Ausführungsbeispiele der Erfindung unter Bezugnahme auf die beigefügten Zeichnungen beschrieben.

(Erstes Ausführungsbeispiel der Erfindung)

Ein elektronisches Wasserzeichen-Verfahren gemäß der Erfindung wird durch ein in 13 gezeigtes System 100 durchgeführt, für welches ein elektronisches Informationsverteilungssystem gemäß der Erfindung angewandt ist.

Das System 100 ist ein Netzwerk, gebildet durch mehrere Instanzen (nicht gezeigt), das ein Terminal bzw. Endgerät 10 auf der Serverseite (ein Server-Endgerät), ein Terminal bzw. Endgerät 20 auf der Benutzerseite (ein Benutzer-Endgerät) beinhaltet. Die einzelnen Instanzen tauschen digitale Daten über das Netzwerk aus.

Das Server-Endgerät 10 umfasst: eine Vertragsbestätigungseinheit 11, zum Empfangen von Daten von dem Benutzer-Endgerät 20; eine elektronisches Wasserzeichen-Einbettungseinheit 12, zum Empfangen von zum Beispiel Bilddaten (digitale Daten); eine primäre Verschlüsselungseinheit 13, zum Empfangen der Ausgabe der elektronisches Wasserzeichen-Einbettungseinheit 12; eine primäre Entschlüsselungseinheit 14, zum Empfangen von Daten von dem Benutzer-Endgerät 20; eine Hash-Bestätigungseinheit 15, zum Empfangen von Daten von dem Benutzer-Endgerät 20 und von der primären Entschlüsselungseinheit 14 ausgegebenen Daten; und einen Hash-Generator 16 zum Empfangen der Ausgabe der primären Entschlüsselungseinheit 14. Die Ausgaben der primären Verschlüsselungseinheit 13 und des Hash-Generators 16 werden an das Benutzer-Endgerät 20 übertragen. Und die Ausgabe der primären Entschlüsselungseinheit 14 wird an sowohl den Hash-Generator 16 als auch an das Benutzer-Endgerät 20 übertragen.

Das Benutzer-Endgerät 20 umfasst: einen Vertragsgenerator 21, zum Übertragen von Daten an die Vertragsbestätigungseinheit 11 des Server-Endgeräts 10; einen Signaturgenerator 22; eine elektronisches Wasserzeichen-Einbettungseinheit 23, zum Empfangen von Daten von dem Signaturgenerator 22 und von der primären Verschlüsselungseinheit 13 des Server-Endgeräts 10; eine sekundäre Verschlüsselungseinheit 24, zum Empfangen von Daten von der elektronisches Wasserzeichen-Einbettungseinheit 23; einen Hash-Generator 26, zum Empfangen von Daten von der sekundären Verschlüsselungseinheit 24; eine sekundäre Entschlüsselungseinheit 25, zum Empfangen von Daten von der primären Entschlüsselungseinheit 14 des Server-Endgeräts 10; und eine Hash-Bestätigungseinheit 27, zum Empfangen von Daten von der primären Entschlüsselungseinheit 14 und dem Hash-Generator 16 des Server-Endgeräts 10. Die durch die zweite Entschlüsselungseinheit 25 ausgegebenen Daten sind ein elektronisches Wasserzeichen enthaltende Bilddaten.

Die von der sekundären Verschlüsselungseinheit 24 ausgegebenen Daten werden an die primäre Entschlüsselungseinheit 14 und an die Hash-Bestätigungseinheit 15 des Server-Endgeräts 10 übertragen, und die durch den Hash-Generator 26 ausgegebenen Daten werden ebenfalls an die Hash-Bestätigungseinheit 15 des Server-Endgeräts 10 übertragen.

In dem vorstehenden System 100 sind die primäre Verschlüsselung betreffende Informationen, wie beispielsweise das Verfahren und ein geheimer Schlüssel, nur dem Server bekannt, und sind die sekundäre Verschlüsselung betreffende Informationen nur dem Benutzer bekannt. Es wird angemerkt, dass eine Eigenschaft sowohl der primären Verschlüsselung als auch der sekundären Verschlüsselung derart ist, dass unabhängig davon, welche Verschlüsselung auch immer zuerst durchgeführt wird, eine Mitteilung durch die Entschlüsselung dechiffriert werden kann.

Nachstehend wird der Verschlüsselungsprozess durch "Ei()" repräsentiert, wird der Entschlüsselungsprozess durch "Di()" repräsentiert, und wird der ein elektronisches Wasserzeichen betreffende Einbettungsprozess durch "+" repräsentiert.

Nun wird der durch das System 100 durchgeführte elektronisches Wasserzeichen-Einbettungsprozess erklärt.

Einbettungsprozess

1) Zunächst gibt das Benutzer-Endgerät 20 eine seine oder ihre Signatur tragende Anforderung an den Server aus, um gewünschte Bilddaten G zu erhalten. Die angeforderten Daten sind Informationen (Signaturinformationen des Benutzers), die durch den Vertragsgenerator 21 generiert werden, und die nachstehend als Vertragsinformationen bezeichnet werden.

2) Die Vertragsbestätigungseinheit 11 in dem Server-Endgerät 10 verwendet die Signatur des Benutzers, um die empfangenen Vertragsinformationen zu verifizieren, und verwendet dann die Vertragsinformationen, um die Benutzerinformationen U zu erstellen.

Die erste elektronisches Wasserzeichen-Einbettungseinheit 12 bettet in die angeforderten Bilddaten G die von der Vertragsbestätigungseinheit 11 erstellten Benutzerinformationen U ein.

Die erste Verschlüsselungseinheit 13 führt den primären Verschlüsselungsprozess E1() für die Bilddaten (G + U), in welche die Benutzerinformationen U eingebettet worden sind, durch und überträgt die erhaltenen Daten an das Benutzer-Endgerät 20.

Auf diese Art und Weise werden die primären verschlüsselten Bilddaten E1(G + U) durch das Benutzer-Endgerät 20 empfangen.

3) Der Signaturgenerator 22 des Benutzer-Endgeräts 20 generiert Signaturinformationen 5 unter Verwendung des von dem Benutzer eingegebenen geheimen Schlüssels.

Die elektronisches Wasserzeichen-Einbettungseinheit 23 bettet die Signaturinformationen S, die durch den Signaturgenerator 22 generiert werden, in die primären verschlüsselten Bilddaten E1(G + U) ein, die von dem Server-Endgerät 10 empfangen werden.

Die sekundäre Verschlüsselungseinheit 24 führt die sekundäre Verschlüsselung für die primären verschlüsselten Bilddaten E1 (G + U) + S durch, in welchen die Signaturinformationen S durch die elektronisches Wasserzeichen-Einbettungseinheit 23 eingebettet sind, und überträgt die erhaltenen Daten an das Server-Endgerät 10.

Daher empfängt das Server-Endgerät 10 die sekundären verschlüsselten Bilddaten E2(E1(G + U) + S).

Zu dieser Zeit generiert der Hash-Generator 26 einen Hash-Wert H2 für die sekundären verschlüsselten Bilddaten E2(E1(G + U) + S), welche an das Server-Endgerät 10 zu übertragen sind, stellt eine Signatur für den Hash-Wert H2 bereit, und überträgt an das Server-Endgerät 10 den erhaltenen Wert, der, mit Ausnahme der Signaturinformationen S, geheime Informationen betreffend ein elektronisches Wasserzeichen enthält.

Die geheimen Informationen sind Informationen betreffend den Einbettungsort und die Tiefe zum Erfassen des elektronischen Wasserzeichens und werden, vor der Übertragung, mittels einem anderen Verschlüsselungsverfahren, das gemeinsam mit dem Server-Endgerät 10 verwendet wird, verschlüsselt.

Der Hash-Wert ist ein Wert, der durch Berechnen der Hash-Funktion h() erhalten wurde, und die Hash-Funktion ist eine Kompressionsfunktion, die selten eine Kollision verursacht. Eine Kollision in diesem Fall würde bedeuten, dass für die unterschiedlichen Werte x1 und x2 h(x1) = h(x2) wäre. Die Kompressionsfunktion ist eine Funktion zum Umwandeln einer Bitkette bzw. eines Bitstrings mit einer bestimmten Bitlänge in eine Bitkette mit einer unterschiedlichen Bitlänge. Daher ist die Hash-Funktion eine Funktion h(), durch welche eine Bitkette mit einer bestimmten Bitlänge in eine Bitkette mit einer unterschiedlichen Länge umgewandelt wird, und für welche Werte x1 und x2, die h(x1) = h(x2) erfüllen, selten existieren. Da ein Wert x, der y = h(x) erfüllt, aus einem beliebigen Wert y nicht leicht erhalten wird, ist demgemäß die Hash-Funktion eine Einwege-Funktion. Spezifische Beispiele für die Hash-Funktion sind ein MD (Message Digest) 5 oder ein SHA (Secure Hash Algorithm).

4) Die Hash-Bestätigungseinheit 15 des Server-Endgeräts 10 bestätigt, dass die Signatur auf dem von dem Benutzer-Endgerät 20 empfangenen Hash-Wert H2 mit dem Hash-Wert der Übertragungsdaten übereinstimmt, und speichert den Hash-Wert H2.

Die primäre Entschlüsselungseinheit 14 führt die primäre Entschlüsselung für die von dem Benutzer-Endgerät 20 empfangenen, sekundär verschlüsselten Bilddaten E2(E1(G + U) + S) durch und überträgt die erhaltenen Daten an das Benutzer-Endgerät 20.

Infolge dessen empfängt das Benutzer-Endgerät 20 Bilddaten E2(G + U) + D1(E2(S)).

Zu dieser Zeit generiert der Hash-Generator 16 einen Hash-Wert H1 für die Daten E2(G + U) + D1(E2(S)), die an das Benutzer-Endgerät 20 zu übertragen sind, stellt eine Signatur für den Hash-Wert H1 bereit, und überträgt den erhaltenen Hash-Wert H1 mit den vorstehenden Bilddaten an das Benutzer-Endgerät 20.

5) Die Hash-Bestätigungseinheit 27 des Benutzer-Endgeräts 20 bestätigt, das die an den von dem Server-Endgerät 20 empfangenen Hash-Wert H1 angehängte Signatur mit dem Hash-Wert der Übertragungsdaten übereinstimmt und speichert den Hash-Wert H1.

Die sekundäre Entschlüsselungseinheit 25 führt die sekundäre Entschlüsselung für die von dem Server-Endgerät 10 empfangenen Bilddaten E2(G + U) + D1(E2(S)) durch und extrahiert Bilddaten Gw, für welche ein elektronisches Wasserzeichen bereitgestellt ist.

Die Bilddaten Gw, die mit einem elektronischen Wasserzeichen versehen sind, werden repräsentiert durch GW = G + U + D1(S).

Dies bedeutet, dass das Wasserzeichen (Benutzerinformationen) U und die Wasserzeicheninformationen (Signaturinformationen) S, die durch die primäre Verschlüsselung beeinflusst werden, in die ursprünglichen Bilddaten G eingebettet sind.

Die Bilddaten Gw, die mit einem elektronischen Wasserzeichen versehen sind, werden gespeichert.

Wie vorstehend beschrieben ist, werden die Benutzerinformationen U durch die Verschlüsselung nicht beeinflusst, während die Signaturinformationen S durch die von dem Server durchgeführte primäre Verschlüsselung beeinflusst werden.

Wenn eine illegale Kopie (ein illegales Bild) gefunden wird, wird ein schuldiger, nicht autorisierter Benutzer durch den folgenden Prozess identifiziert (nachstehend wird der Prozess als ein verifikationsprozess bezeichnet). Es wird angemerkt, dass wie in den vorstehenden Vergleichsbeispielen die Bilddaten durch die Modifikation oder das Löschen von elektronischen Informationen nicht beeinträchtigt werden.

Verifikationsprozess

1) Zunächst extrahiert das Server-Endgerät 10 Benutzerinformationen U' aus einem illegalen Gw', das entdeckt ist, und führt darüber hinaus eine primäre Verschlüsselung der Daten Gw' durch, um Signaturinformationen S' zu extrahieren.

2) Wenn korrekte Signaturinformationen S bei der Prozedur 1) extrahier werden (S' = S), übergibt der Server 10 diese in das Verifikationsbüro 30, welches ermittelt, dass der Benutzer eine illegale Aktivität durchgeführt hat.

Die ist deshalb so, weil die Signaturinformationen S' nur durch diesen Benutzer erzeugt werden können, und der Server über keine Informationen betreffend die Signaturinformationen S' verfügt. Die Korrektheit der Signaturinformationen S' kann durch Ermitteln, ob im Voraus in den Vertragsinformationen definierte Informationen durch Verwenden des öffentlichen Schlüssels ausgegeben werden können, der dem geheimen Schlüssel entspricht, den der Benutzer benutzte, um die Signaturinformationen zu generieren.

3) Wenn korrekte Signaturinformationen S aus dem illegal verteilten Bild Gw' nicht extrahiert werden können (S' ≠ S), übergibt das Server-Endgerät 10, um eine Untersuchung dieses Bilds anzufordern, an das Verifikationsbüro 30 die sekundären verschlüsselten Bilddaten E2(E1(G + U) + S), die in dem Verifikationsbüro 30 gespeichert sind, den Hash-Wert H2 und die daran angebrachte Signatur, den geheimen Schlüssel für die primäre Verschlüsselung, sowie das Bild Gw' betreffende geheime Informationen.

4) Bei Empfangen der in der Prozedur 3) übergebenen Anforderung bestätigt das Verifikationsbüro 30, dass die korrekten Signaturinformationen S nicht aus dem illegalen Bild Gw' extrahiert werden können. Dann bestätigt das Verifikationsbüro 30 den Hash-Wert H2 und dessen Signatur, die übergeben wurden, und verifiziert, dass der Hash-Wert der sekundären verschlüsselten Bilddaten E2(E1(G + U) + S) mit dem Hash-Wert H2 übereinstimmt, der übergeben wurde.

Nach Durchführen der Verifizierung führt das Verifikationsbüro 30 die primäre Entschlüsselung für die sekundären verschlüsselten Bilddaten E2(E1(G + U) + S) durch und bestätigt, dass deren Hash-Wert mit dem von dem Benutzer gehaltenen Hash-Wert H1 übereinstimmt. Zu dieser Zeit wird auch die an dem Hash-Wert H1 angebrachte Signatur verifiziert.

5) Wenn diese Hash-Werte bei der Prozedur 4) nicht übereinstimmen, ermittelt das Verifikationsbüro 30, dass eine illegale Aktivität durch den Benutzer durchgeführt wurde. Dies bedeutet, dass sich der geheime Schlüssel für die primäre Verschlüsselung für die Prozedur 4) des Einbettungsprozesses und die Prozedur 4) des Verifikationsprozesses unterscheidet.

6) Wenn die beiden Hash-Werte bei der Prozedur 4) übereinstimmen, fordert das Verifikationsbüro 30 an, dass die sekundäre Entschlüsselung für die Bilddaten E2(G + U + D1(S)) durchgeführt wird, und extrahiert die Signaturinformationen S aus den erhaltenen Daten.

7) Wenn die korrekten Signaturinformationen S bei der Prozedur 6) nicht extrahiert werden können, ermittelt das Verifikationsbüro 30, dass der Benutzer eine illegale Aktivität durchführte.

8) Wenn die korrekten Signaturinformationen S bei der Prozedur 6) extrahiert werden, ermittelt das Verifikationsbüro 30, dass der Benutzer keine illegale Aktivität durchführte, das aber der Server dies tat.

Wie vorstehend beschrieben ist, tritt gemäß dem ersten Ausführungsbeispiel, da die von einem Server und einem Benutzer herrührenden Vorteile in Konflikt zueinander stehen, eine Kollusion zwischen den beiden nicht auf. Daher kann, da falls der Benutzer korrekte Signaturinformationen nicht einbettet, diese Tatsache aus dem reproduzierten Bild während des Verifikationsprozesses erfasst werden kann, der Benutzer eine illegale Aktivität nicht durchführen. Und ferner kann, da während des Einbettungsprozesses die Signaturinformationen für den Benutzer dem Server nicht zur Verfügung stehen, der Server ebenfalls keine illegale Aktivität durchführen. Und schließlich besteht, bis ein illegales Bild entdeckt wird, keine Notwendigkeit für das Verifikationsbüro, da bis ein illegales Bilds entdeckt wird die Tatsache, dass eine illegale Aktivität durchgeführt wurde, nicht ermittelt werden kann.

(Zweites Ausführungsbeispiel der Erfindung)

Ein zweites Ausführungsbeispiel der Erfindung wird nun beschrieben.

Seit kurzem findet der Transfer von Geld über Netzwerke hinweg, eine Geldmittel-Transferprozedur, die als elektronisches Bargeld bezeichnet wird, Verwendung. Da wie bei einer regulären Bargeldzahlung der Name des Besitzers eines elektronischen Bargeldtransfers nicht identifiziert wird, wird Anonymität erreicht. Falls das Erreichen von Anonymität nicht möglich wäre, könnte ein Verkäufer eines Produkts aus einem elektronischen Bargeldtransfer einen Käufer betreffende Informationen und die Benutzung seines Produkts erhalten, so dass die Privatsphäre eines Benutzers nicht geschützt sein würde. Daher ist der Schutz der Privatsphäre eines Benutzers so wichtig wie der Schutz eines Urheberrechts für einen Schöpfer, der ein elektronisches Wasserzeichen benutzt.

In einem zweiten Ausführungsbeispiel wird daher die Anonymität eines Benutzers für einen Kaufvorgang bereitgestellt, und wenn eine Illegalität, wie beispielsweise eine illegale Verteilung von Bildern, aufgefunden wird, ist es möglich, einen nicht autorisierten Verteiler zu identifizieren, welches der ursprüngliche Zweck eines elektronischen Wasserzeichens ist. Dies wird durch zum Beispiel ein in 14 gezeigtes System 200 erreicht.

Das System 200 hat dieselbe Struktur wie das System 100 gemäß dem ersten Ausführungsbeispiel, mit einem anonymen öffentlichen Schlüsselzertifikat, das durch ein für ein Benutzer-Endgerät 20 bereitgestelltes Verifikationsbüro 40 ausgegeben wird.

Allgemein wird, um Signaturinformationen zu authentifizieren, ein durch eine als ein Verifikationsbüro bezeichnete Organisation ausgegebenes Zertifikat zu einem öffentlichen Schlüssel hinzugefügt, der zum Untersuchen der Signaturinformationen benutzt wird.

Das Verifikationsbüro ist eine Organisation, die Zertifikate für öffentliche Schlüssel ausgibt, die Benutzern gehören, um eine Authentifikation für öffentliche Schlüssel in Übereinstimmung mit den Verschlüsselungssystemen für öffentliche Schlüssel bereitzustellen. Das heißt, das Verifikationsbüro verwendet einen geheimen Schlüssel, den es besitzt, um eine Signatur für den öffentlichen Schlüssel eines Benutzers für den Benutzer betreffende Daten bereitzustellen, und erstellt zu diesem Zweck ein Zertifikat und gibt es aus. Wenn ein Benutzer von einem anderen Benutzer eine Signatur empfängt, die von einem Zertifikat begleitet wird, untersucht der Benutzer das Zertifikat unter Verwendung des öffentlichen Schlüssels des Verifikationsbüros, um die durch den Benutzer, der den öffentlichen Schlüssel übertragen hat, bereitgestellte Authentifikation zu verifizieren (zumindest die Tatsache, dass für den Benutzer durch das Verifikationsbüro eine Authentifikation bereitgestellt wurde). Sowohl VeriSign als auch Cyber-Trust sind gut bekannte Organisationen, die solche Verifikationsbüros betreiben.

Wenn bei Prozedur 2) des Einbettungsprozesses in dem ersten Ausführungsbeispiel ein Server eine Signatur untersucht, um die Vertragsinformationen für einen Benutzer zu verifizieren, kann der Server den öffentlichen Schlüssel mit einer durch das Verifikationsbüro ausgegebenen Signatur verwenden.

Da jedoch der Name des Besitzers des öffentlichen Schlüssels allgemein in das Zertifikat geschrieben ist, wird die Benutzeranonymität zu der Zeit, zu der Daten gekauft werden, nicht bereitgestellt.

Falls andererseits das Verifikationsbüro die Korrespondenz von öffentlichen Schlüsseln und deren Besitzer geheim hält, kann der Name eines Besitzers nicht in das Zertifikat für einen öffentlichen Schlüssel geschrieben werden. Ein öffentlicher Schlüssel, für welchen ein solches Zertifikat bereitgestellt ist, wird als ein "anonymer öffentlicher Schlüssel mit einem Zertifikat" bezeichnet.

In Prozedur 1) des vorstehend beschriebenen Einbettungsprozesses kann dann, wenn der Benutzer an den Server nicht nur Vertragsinformationen, sondern auch den anonymen öffentlichen Schlüssel mit einem Zertifikat überträgt, so dass die Vertragsinformationen für die Signatur und die Signaturinformationen S untersucht bzw. geprüft werden können, der Benutzer bei einem Kauf von digitalen Daten anonym bleiben. Der Server empfängt den anonymen öffentlichen Schlüssel mit dem Zertifikat als Informationen, die zum Identifizieren eines Benutzers zu benutzen sind. Wenn eine illegale Kopie aufgefunden wird, übergibt der Server den anonymen öffentlichen Schlüssel mit dem Zertifikat an das Verifikationsbüro 40 und erhält im Gegenzug den Namen des Benutzers, dem der öffentliche Schlüssel entspricht, so dass der Benutzer identifiziert werden kann.

Demzufolge werden die Prozeduren 1) und 2) des Einbettungsprozesses und die Prozedur 1) des Verifikationsprozesses in dem ersten Ausführungsbeispiel wir folgt modifiziert, um sowohl Anonymität für einen Benutzer bei einem Kauf digitaler Daten bereitzustellen als auch einen nicht autorisierten Benutzer zu identifizieren, wenn die Durchführung einer illegalen Aktivität entdeckt wird.

Der Einbettungsprozess und der Verifikationsprozess, die durch das System 200 in 14 durchgeführt werden, werden speziell beschrieben.

Da dieselben Bezugszeichen, wie sie für das System 100 in 13 benutzt werden, auch dazu verwendet werden, entsprechende oder identische Komponenten in dem System 200 in 14 zu bezeichnen, wird keine spezielle Erklärung für andere Komponenten als diejenigen gegeben, denen unterschiedliche Bezugszeichen zugewiesen sind.

Und da die Verarbeitung in dem zweiten Ausführungsbeispiel dieselbe ist wie die in dem ersten Ausführungsbeispiel, mit Ausnahme der Prozeduren 1) und 2) des Einbettungsprozesses und der Prozedur 1) des Verifikationsprozesses, wird keine detaillierte Erklärung der Verarbeitung gegeben.

Einbettungsprozess

1) Zunächst stellt in dem Benutzer-Endgerät 20 ein Vertragsgenerator 21 für Vertragsinformationen zum Anfordern gewünschter Bilddaten eine Signatur bereit, die einem anonymen öffentlichen Schlüssel mit einem von einem Verifikationsbüro 40 ausgegebenen Zertifikat entspricht, und überträgt die Vertragsinformationen zusammen mit dem anonymen öffentlichen Schlüssel mit dem Zertifikat an das Server-Endgerät 10.

2) In dem Server-Endgerät 10 benutzt eine Vertragsbestätigungseinheit 11 den öffentlichen Schlüssel des Verifikationsbüros 40, um den öffentlichen Schlüssel des Benutzers zu untersuchen, worauf folgend sie die für die Vertragsinformationen bereitgestellte Signatur unter Verwendung des anonymen öffentlichen Schlüssels des Benutzers verifiziert und Benutzerinformationen U durch die Benutzung von zumindest der Vertragsinformationen oder des anonymen öffentlichen Schlüssels mit dem Zertifikat erstellt.

Eine elektronisches Wasserzeichen-Einbettungseinheit 12 bettet, in angeforderte Bilddaten G, die Benutzerinformationen U ein, die von der Vertragsbestätigungseinheit 11 erstellt werden. Eine primäre Verschlüsselungseinheit 13 führt den primären Verschlüsselungsprozess E1() für die resultierenden Bilddaten G durch und überträgt die erhaltenen Daten an das Benutzer-Endgerät 20.

Auf diese Art und Weise empfängt das Benutzer-Endgerät 20 primäre verschlüsselte Bilddaten E1(G + U).

Danach werden die Prozeduren 3) bis 5) des Einbettungsprozesses in dem ersten Vergleichsbeispiel durchgeführt.

Auch in diesem Fall werden die Benutzerinformationen U durch die Verschlüsselung nicht beeinflusst, während die Signaturinformationen S durch die durch den Server durchgeführte primäre Verschlüsselung beeinflusst werden.

Wenn eine illegale Kopie (ein illegales Bild) entdeckt wird, wird der folgende Verifikationsprozess durchgeführt.

Verifikationsprozess

1) Das Server-Endgerät 10 extrahiert Benutzerinformationen aus einem illegalen elektronischem Geld Mw', und extrahiert darüber hinaus Signaturinformationen S' durch Durchführen der primären Verschlüsselung für das elektronische Geld Mw'. Darüber hinaus übergibt das Server-Endgerät 10 an das Verifikationsbüro 40 einen anonymen öffentlichen Schlüssel, in Übereinstimmung mit dem illegalen elektronischen Geld Mw', den extrahierten Benutzerinformationen und den Vertragsinformationen erhalten wird, und fordert den Namen des Benutzers an,, der dem anonymen öffentlichen Schlüssel entspricht.

Danach werden die Prozeduren 2) bis 8) des Verifikationsprozesses in dem ersten Ausführungsbeispiel durchgeführt.

Wie vorstehend beschrieben ist, tritt, da in diesem Ausführungsbeispiel wie in dem ersten Ausführungsbeispiel die für einen Server und einen Benutzer entstehenden Vorteile in Konflikt zu einander stehen, eine Kollusion zwischen den beiden nicht auf. Daher wird, da wenn der Benutzer keine korrekten Signaturinformationen einbettet, diese Tatsache aus dem reproduzierten Bild während des Verifikationsprozesses erfasst, so dass der Benutzer keine illegale Aktivität durchführen kann. Darüber hinaus kann, da während des Einbettungsprozesses der Server keinen Zugriff auf die Signaturinformationen des Benutzers hat, der Server ebenfalls keine illegale Aktivität durchführen. Darüber hinaus ist das Verifikationsbüro nicht notwendig, bis ein illegales Bild entdeckt wird, da nicht ermittelt werden kann, dass eine illegale Aktivität durchgeführt wurde, bevor ein illegales Bild entdeckt wird.

Verschiedene Daten, einschließlich Bilddaten in dem ersten und dem zweiten Ausführungsbeispiel und des Hash-Werts, erhalten in dem elektronisches Wasserzeichen-Einbettungsprozess, können in den in den 6 bis 12 gezeigten Bildformaten gespeichert werden.

Wie vorstehend beschrieben ist, tritt gemäß dem ersten und dem zweiten Ausführungsbeispiel, da die für den Server (die erste Instanz) und den Benutzer (die zweite Instanz) entstehenden Vorteile in Konflikt miteinander stehen, eine Kollusion zwischen den beiden nicht auf. Daher wird, wenn der Benutzer korrekte Signaturinformationen nicht einbettet, diese Tatsache aus dem reproduzierten Bild während des Verifikationsprozesses erfasst, so dass die Durchführung einer illegalen Aktivität durch den Benutzer verhindert werden kann. Ferner kann, da während des Einbettungsprozesses der Server keinen Zugriff auf die Signaturinformationen des Benutzers hat, die Durchführung einer illegalen Aktivität durch den Server ebenfalls verhindert werden. Ferner ist das Verifikationsbüro nicht notwendig, bis ein illegales Bild gefunden wird, da eine illegale Aktivität nicht durchgeführt werden kann, bevor ein illegales Bild gefunden wird. Daher kann, was die illegale Verteilung digitaler Daten anbelangt, ein sicheres System bereitgestellt werden, und kann mit diesem System die Anonymität eines Benutzers leicht sichergestellt werden.

Ferner kann eine Bildablagevorrichtung bereitgestellt werden, die Bilddaten ablegen bzw. speichern kann, in welchen ein elektronisches Wasserzeichen unter Verwendung des vorstehend beschriebenen elektronisches Wasserzeichen-Verfahrens eingebettet wurde, und das insbesondere leichter die eingebetteten elektronisches Wasserzeichen-Informationen identifizieren kann.

(Drittes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt)

Nun wird ein drittes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt, unter Bezugnahme auf 15 beschrieben.

Ein elektronisches Wasserzeichen-Verfahren gemäß diesem Beispiel wird durch ein in 15 gezeigtes System 100 durchgeführt, auf welches ein elektronisches Informationsverteilungssystem gemäß dem Vergleichsbeispiel angewandt ist.

Das System 100 ist ein Netzwerk, gebildet durch mehrere Instanzen (nicht gezeigt), das ein Terminal bzw. Endgerät 10 auf der Seite des Servers (ein Server-Endgerät), ein Terminal bzw. Endgerät 20 auf der Seite des Benutzers (ein Benutzer-Endgerät), und ein Terminal bzw. Endgerät 30 auf der Seite des Verifizierungsbüros (ein Verifizierungsbüro) beinhaltet. Die einzelnen Instanzen tauschen digitale Daten über das Netzwerk aus.

Das Server-Endgerät 10 umfasst: eine Vertragsbestätigungseinheit 11, zum Empfangen von Daten von dem Benutzer-Endgerät 20; eine elektronisches Wasserzeichen-Einbettungseinheit 12, zum Empfangen von zum Beispiel Bilddaten (digitale Daten); eine primäre Verschlüsselungseinheit 13, zum Empfangen der Ausgabe der elektronisches Wasserzeichen-Einbettungseinheit 12; und eine primäre Entschlüsselungseinheit 14, zum Empfangen von Daten von dem Benutzer-Endgerät 20. Die Daten für die primären Verschlüsselungseinheit 13 und der primären Entschlüsselungseinheit 14 werden an das Benutzer-Endgerät 20 übertragen.

Das Benutzer-Endgerät 20 umfasst: einen Vertragsgenerator 21, zum Übertragen von Daten an die Vertragsbestätigungseinheit 11 des Server-Endgeräts 10; einen Signaturgenerator 22; eine elektronisches Wasserzeichen-Einbettungseinheit 23, zum Empfangen von Daten von dem Signaturgenerator 22 und von der primären Verschlüsselungseinheit 13 des Server-Endgeräts 10; eine sekundäre Verschlüsselungseinheit 24, zum Empfangen von Daten von der elektronisches Wasserzeichen-Einbettungseinheit 23; und eine sekundäre Entschlüsselungseinheit 25, zum Empfangen von Daten von der primären Entschlüsselungseinheit 14 des Server-Endgeräts 10. Die durch die sekundäre Entschlüsselungseinheit 25 ausgegebenen Daten sind Bilddaten, die ein elektronisches Wasserzeichen enthalten. Die von der sekundären Verschlüsselungseinheit 24 ausgegebenen Daten werden an die primäre Entschlüsselungseinheit 14 des Server-Endgeräts 10 und an das Verifikationsbüro 30 übertragen.

Das Verifikationsbüro-Terminal bzw. -Endgerät 30 umfasst: eine sekundäre Entschlüsselungseinheit 31, zum Empfangen von Daten von der sekundären Verschlüsselungseinheit 24 des Benutzer-Endgeräts 20; und eine elektronisches Wasserzeichen-Bestätigungseinheit 32, zum Empfangen von Daten von der sekundären Entschlüsselungseinheit 31. Die Daten von der elektronisches Wasserzeichen-Bestätigungseinheit 32 werden an das Server-Endgerät 10 und das Benutzer-Endgerät 20 übertragen. Die Daten von der zweiten Entschlüsselungseinheit 31 werden darüber hinaus an die primäre Entschlüsselungseinheit 14 des Server-Endgeräts 10 übertragen.

In dem vorstehenden System 100 sind den primären Verschlüsselungsprozess betreffende Informationen, wie beispielsweise das verwendete Verfahren und ein geheimer Schlüssel, nur diejenigen, welche für den Server verfügbar sind, und sind den sekundären Verschlüsselungsprozess betreffende Informationen nur diejenigen, die für den Benutzer verfügbar sind. Es wird angemerkt, dass eine Eigenschaft sowohl des primären Verschlüsselungsprozesses als auch des sekundären Verschlüsselungsprozesses diejenige ist, dass unabhängig davon, welcher Verschlüsselungsprozess auch immer zuerst durchgeführt wird, eine Mitteilung durch den Entschlüsselungsprozess dechiffriert werden kann.

Nachstehend wird der Verschlüsselungsprozess durch "Ei()" repräsentiert, wird der Entschlüsselungsprozess durch "Di()" repräsentiert, und wird der ein elektronisches Wasserzeichen betreffende Einbettungsprozess durch "+" repräsentiert.

Die durch das derart angeordnete System 100 durchgeführte Verarbeitung wird nun erklärt. Zunächst wird der Einbettungsprozess für ein elektronisches Wasserzeichen erklärt.

Einbettungsprozess

1) Zunächst gibt, um gewünschte Bilddaten G zu erhalten, das Benutzer-Endgerät 20 an das Server-Endgerät 10 eine die Signatur des Benutzers tragende Anforderung aus. Die angeforderten Daten sind Informationen (Signaturinformationen des Benutzers), die durch den Vertragsgenerator 21 generiert werden, und die nachstehend als Vertragsinformationen bezeichnet werden.

2) Die Vertragsbestätigungseinheit 11 in dem Server-Endgerät 10 verwendet die Signatur des Benutzers, um die empfangenen Vertragsinformationen zu verifizieren, und verwendet dann die Vertragsinformationen, um Benutzerinformationen U zu erstellen. Die elektronisches Wasserzeichen-Einbettungseinheit 12 bettet in die angeforderten Bilddaten G die von der Vertragsbestätigungseinheit 11 erstellten Benutzerinformationen U ein. Die erste Verschlüsselungseinheit 13 führt den primären Verschlüsselungsprozess E1() für die Bilddaten (G + U) unter Verwendung der Benutzerinformationen U durch, die eingebettet sind, und überträgt die erhaltenen Daten an das Benutzer-Endgerät 20. Auf diese Art und Weise empfängt das Benutzer-Endgerät 20 die primären verschlüsselten Daten E1(G + U).

3) Dann generiert der Signaturgenerator 22 des Benutzer-Endgeräts 20 Signaturinformationen S unter Verwendung seines eigenen geheimen Schlüssels. Die elektronisches Wasserzeichen-Einbettungseinheit 23 bettet die Signaturinformationen S, die durch den Signaturgenerator 22 generiert wurden, in die primären verschlüsselten Bilddaten E1(G + U) ein, die durch das Server-Endgerät 10 übertragen (verteilt) werden. Die sekundäre Verschlüsselungseinheit 24 führt die sekundäre Verschlüsselung der primären verschlüsselten Bilddaten E1(G + U) + S durch, in welchen die Signaturinformationen S durch die elektronisches Wasserzeichen-Einbettungseinheit 23 eingebettet sind, und überträgt die erhaltenen Bilddaten an das Verifikationsbüro 30.

Auf diese Art und Weise empfängt das Verifikationsbüro 30 die sekundär verschlüsselten Bilddaten E2(E1(G + U) + S).

Zu dieser Zeit generiert die sekundäre Verschlüsselungseinheit 24 einen Hash-Wert H2 für die sekundären verschlüsselten Bilddaten E2(E1(G + U) + S), welche an das Verifikationsbüro 30 zu übertragen sind, stellt eine Signatur für den Hash-Wert H2 bereit, und überträgt an das Verifikationsbüro 30 den erhaltenen Wert zusammen mit dem geheimen Schlüssel für die sekundäre Verschlüsselung und geheimen Informationen betreffend ein elektronisches Wasserzeichen, mit Ausnahme der Signaturinformationen S.

Die geheimen Informationen sind Informationen betreffend den Einbettungsort und die Tiefe zum Erfassen des elektronischen Wasserzeichens und werden, vor der Übertragung, mittels einem anderen Verschlüsselungsverfahren, das gemeinsam mit dem Verifikationsbüro 30 verwendet wird, verschlüsselt.

Der Hash-Wert ist ein Wert, der durch Berechnen der Hash-Funktion h() erhalten wurde, und die Hash-Funktion ist eine Kompressionsfunktion, die selten eine Kollision verursacht. Eine Kollision in diesem Fall würde bedeuten, dass für die unterschiedlichen Werte x1 und x2 h(x1) = h(x2) wäre. Die Kompressionsfunktion ist eine Funktion zum Umwandeln einer Bitkette bzw. eines Bitstrings mit einer bestimmten Bitlänge in eine Bitkette mit einer unterschiedlichen Bitlänge. Daher ist die Hash-Funktion eine Funktion h(), durch welche eine Bitkette mit einer bestimmten Bitlänge in eine Bitkette mit einer unterschiedlichen Länge umgewandelt wird, und für welche Werte x1 und x2, die h(x1) = h(x2) erfüllen, selten existieren. Da ein Wert x, der y = h(x) erfüllt, aus einem beliebigen Wert y nicht leicht erhalten wird, ist demgemäß die Hash-Funktion eine Einwege-Funktion. Spezifische Beispiele für die Hash-Funktion sind ein MD (Message Digest) 5 oder ein SHA (Secure Hash Algorithm).

4) Auf dieses folgend verifiziert die sekundäre Entschlüsselungseinheit 31 des Verifikationsbüros 30 die an dem von dem Benutzer-Endgerät 20 empfangenen Hash-Wert H2 angebrachte Signatur und bestätigt, dass der Hash-Wert H2 mit dem Hash-Wert der übertragenen Daten übereinstimmt. Nach diesen Bestätigungen entschlüsselt die sekundäre Entschlüsselungseinheit 31 die sekundären verschlüsselten Bilddaten E2(E1(G + U) + S) und extrahiert die Signaturinformationen S aus den Bilddaten. Die elektronisches Wasserzeichen-Bestätigungseinheit 32 untersucht die Signaturinformationen S. Falls die Signaturinformationen S korrekt sind, werden Verifikationsinformationen mit der Signatur des Verifikationsbüros 30 bereitgestellt. Schließlich überträgt das Verifikationsbüro 30 an das Server-Endgerät 10 die sekundären verschlüsselten Bilddaten E2(E1(G + U) + S), die von dem Benutzer-Endgerät 20 empfangen werden, den Hash-Wert H2 und die Signatur hierfür, sowie die diese Daten betreffenden Verifikationsinformationen und die Signatur dafür.

5) Als Nächstes bestätigt die primäre Entschlüsselungseinheit 14 des Server-Endgeräts 10 die Verifikationsinformationen und die begleitende Signatur, empfangen von dem Verifikationsbüro 30, und verifiziert die sekundären verschlüsselten Bilddaten E2(E1(G + U) + S), den Hash-Wert H2 und dessen angebrachte Signatur. Nach diesen Bestätigungen führt die primäre Entschlüsselungseinheit 14 die primäre Entschlüsselung für die sekundären verschlüsselten Bilddaten E2(E1(G + U) + S) durch, um die Bilddaten E2(G + U) + D1(E2(S)) zu erhalten, welche dann an das Benutzer-Endgerät 20 übertragen werden.

6) Die sekundäre Entschlüsselungseinheit 25 des Benutzer-Endgeräts 20 führt die sekundäre Entschlüsselung für die Bilddaten E2(G + U) + D1(E2(S)) durch, die von dem Server-Endgerät 10 empfangen wurden, und extrahiert Bilddaten Gw, in welchen das elektronische Wasserzeichen eingebettet ist. Die Bilddaten, in welchen das elektronische Wasserzeichen eingebettet sind, werden daher durch Gw = G + U + D1(S) repräsentiert. Dies zeigt an, dass die Benutzerinformationen U und die Signaturinformationen S des Benutzers, die durch die primäre Verschlüsselung beeinflusst sind, als Wasserzeicheninformationen in den ursprünglichen Bilddaten G eingebettet sind.

Falls bei Prozedur 4) korrekte Wasserzeicheninformationen aufgrund der Durchführung einer illegalen Aktivität durch den Server oder den Benutzer durch das Verifikationsbüro 30 nicht verifiziert werden, werden Benachrichtigungen in dieser Hinsicht an das Server-Endgerät 10 und an das Benutzer-Endgerät 20 weitergeleitet. Auch dann, wenn die Transaktion zu dieser Zeit angehalten wird, kann der Server den Benutzer daran hindern, illegal Bilddaten zu erwerben, während er keine Bezahlung für die Daten erhalten kann, so dass der Benutzer dem Server die Kosten der Bilddaten nicht zu bezahlen braucht, solange er die Daten nicht erhalten kann. Daher stellt die Durchführung einer illegalen Aktivität für weder den Server noch den Benutzer ein Problem dar. Wenn eine illegale Kopie (ein illegales Bild) gefunden wird, kann eine schuldige Person durch den folgenden, einfachen Verifikationsprozess leicht identifiziert werden.

Verifikationsprozess

1) Zunächst extrahiert das Server-Endgerät 10 Benutzerinformationen U' aus einem illegalen Bild Gw' = G + U' + D1(S'), das entdeckt ist, und extrahiert weiter Signaturinformationen S' durch Durchführen der primären Verschlüsselung für das illegale Bild Gw'.

2) Wenn korrekte Signaturinformationen extrahiert werden (S' = S), übergibt das Server-Endgerät 10 diese an das Verifikationsbüro 30, um zu ermitteln, ob der Benutzer eine illegale Aktivität durchgeführt hat. Dies ist möglich, weil die korrekten Signaturinformationen S nur durch diesen Benutzer erzeugt werden können, und der Server keinen Zugriff auf die Signaturinformationen S hat.

3) Falls korrekte Signaturinformationen nicht extrahiert werden können (S' ≠ S), übergibt das Server-Endgerät 10 dies an das Verifikationsbüro 30, um zu ermitteln, ob der Server eine illegale Aktivität durchgeführt hat.

In Übereinstimmung mit dem elektronisches Wasserzeichen-Verfahren des dritten Vergleichsbeispiels kann, da sowohl das Server-Endgerät 10 als auch das Benutzer-Endgerät 20 den Verschlüsselungsprozess der digitalen Daten und den Einbettungsprozess der elektronisches Wasserzeichen-Informationen durchführen, auch dann, falls entweder der Server oder der Benutzer unabhängig digitale Daten illegal kopieren, eine solche Aktivität leicht erfasst werden, und kann eine schuldige Person leicht identifiziert werden. Ferner tritt, da die bei dem Server und bei dem Benutzer entstehenden Vorteile in Konflikt zu einander stehen, eine Kollusion zwischen den beiden nicht auf. Und selbst dann, wenn die beiden in Kollusion wären, könnte eine illegale Aktivität leicht erfasst werden. Die Sicherheit dieses Prozesses beruht darauf, das das Verifikationsbüro vertrauenswürdig ist.

(Viertes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt)

Nun wird ein viertes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt, beschrieben.

Seit kurzem findet der Transfer von Geld über Netzwerke hinweg, eine Geldmittel-Transferprozedur, die als elektronisches Bargeld bezeichnet wird, Verwendung. Da wie bei einer regulären Bargeldzahlung der Name des Besitzers eines elektronischen Bargeldtransfers nicht identifiziert wird, Anonymität erreicht. Falls das Erreichen von Anonymität nicht möglich wäre, könnte ein Verkäufer eines Produkts aus einem elektronischen Bargeldtransfer einen Käufer betreffende Informationen und die Benutzung seines Produkts erhalten, so dass die Privatsphäre eines Benutzers nicht geschützt sein würde. Daher ist der Schutz der Privatsphäre eines Benutzers so wichtig wie der Schutz eines Urheberrechts für einen Schöpfer, der ein elektronisches Wasserzeichen benutzt.

In diesem vierten Vergleichsbeispiel wird daher die Anonymität eines Benutzers für einen Kaufvorgang bereitgestellt, und wenn eine Illegalität, wie beispielsweise eine illegale Verteilung von Bildern, aufgefunden wird, ist es möglich, einen nicht autorisierten Verteiler zu identifizieren, welches der ursprüngliche Zweck eines elektronischen Wasserzeichens ist. Dies wird durch zum Beispiel ein in 16 gezeigtes System 200 erreicht.

Das System 200 hat dieselbe Struktur wie das System 100 gemäß dem dritten Vergleichsbeispiel, mit einem anonymen öffentlichen Schlüsselzertifikat, das durch ein für ein Benutzer-Endgerät 20 bereitgestelltes Verifikationsbüro 40 ausgegeben wird.

Allgemein wird, um Signaturinformationen zu authentifizieren, ein durch eine als ein Verifikationsbüro bezeichnete Organisation ausgegebenes Zertifikat zu einem öffentlichen Schlüssel hinzugefügt, der zum Untersuchen der Signaturinformationen benutzt wird.

Das Verifikationsbüro ist eine Organisation, die Zertifikate für öffentliche Schlüssel ausgibt, die Benutzern gehören, um eine Authentifikation für öffentliche Schlüssel in Übereinstimmung mit dem Verschlüsselungssystem für öffentliche Schlüssel bereitzustellen. Das heißt, das Verifikationsbüro verwendet einen geheimen Schlüssel, den es besitzt, um eine Signatur für den öffentlichen Schlüssel eines Benutzers oder für den Benutzer betreffende Daten bereitzustellen, und erstellt zu diesem Zweck ein Zertifikat und gibt es aus. Wenn ein Benutzer von einem anderen Benutzer eine Signatur empfängt, die von einem Zertifikat begleitet wird, untersucht der Benutzer das Zertifikat unter Verwendung des öffentlichen Schlüssels des Verifikationsbüros, um die durch den Benutzer, der den öffentlichen Schlüssel übertragen hat, bereitgestellte Authentifikation zu verifizieren (zumindest die Tatsache, dass für den Benutzer durch das Verifikationsbüro eine Authentifikation bereitgestellt wurde). Sowohl VeriSign als auch CyberTrust sind gut bekannte Organisationen, die solche Verifikationsbüros betreiben.

Wenn bei Prozedur 2) des Einbettungsprozesses in dem dritten Vergleichsbeispiel ein Server eine Signatur untersucht, um die Vertragsinformationen für einen Benutzer zu verifizieren, kann der Server den öffentlichen Schlüssel mit einer durch das Verifikationsbüro 40 in 16 ausgegebenen Signatur verwenden. Da jedoch der Name des Besitzers des öffentlichen Schlüssels allgemein in das Zertifikat geschrieben ist, wird eine Benutzeranonymität zu der Zeit, zu der Daten gekauft werden, nicht bereitgestellt.

Falls andererseits das Verifikationsbüro 40 die Korrespondenz von öffentlichen Schlüsseln und deren Besitzer geheim hält, kann der Name eines Besitzers nicht in das Zertifikat für einen öffentlichen Schlüssel geschrieben werden. Ein anonymes Zertifikat für einen öffentlichen Schlüssel wird nachstehend als ein "anonymes öffentlicher Schlüssel-Zertifikat" bezeichnet, und ein öffentlicher Schlüssel, für welchen ein solches Zertifikat bereitgestellt ist, wird als ein "anonymer öffentlicher Schlüssel mit einem Zertifikat" bezeichnet. In Prozedur 1) des vorstehend beschriebenen Einbettungsprozesses kann dann, wenn das Benutzer-Endgerät 20 an das Server-Endgerät 10 nicht nur Vertragsinformationen, sondern auch den anonymen öffentlichen Schlüssel mit einem Zertifikat überträgt, so dass die Vertragsinformationen für die Signatur und die Signaturinformationen S untersucht bzw. geprüft werden können, der Benutzer bei einem Kauf von digitalen Daten anonym bleiben.

Das Server-Endgerät 10 empfängt den anonymen öffentlichen Schlüssel mit dem Zertifikat als Informationen, die zum Identifizieren eines Benutzers zu verwenden sind. Wenn eine illegale Kopie gefunden wird, übergibt das Server-Endgerät 10 den anonymen öffentlichen Schlüssel mit dem Zertifikat an das Verifikationsbüro 40 und erhält im Gegenzug den Namen des Benutzers, dem der öffentliche Schlüssel entspricht, so dass der Benutzer identifiziert werden kann. Demzufolge werden die Prozeduren 1) und 2) des Einbettungsprozesses und die Prozeduren 1) und 2) des Verifikationsprozesses in dem dritten Vergleichsbeispiel wie folgt modifiziert, um sowohl Anonymität für einen Benutzer bei einem Kauf von digitalen Daten bereitzustellen als auch einen nicht autorisierten Benutzer zu identifizieren, wenn die Durchführung einer illegalen Aktivität entdeckt wird.

Der Einbettungsprozess und der Verifikationsprozess, die durch das System 200 in 16 durchgeführt werden, werden im Einzelnen erklärt.

1) Zunächst stellt in dem Benutzer-Endgerät 20 ein Vertragsgenerator 21 für Vertragsinformationen zum Anfordern gewünschter Bilddaten eine Signatur bereit, die einem anonymen öffentlichen Schlüssel mit einem von einem Verifikationsbüro 40 ausgegebenen Zertifikat entspricht, und überträgt die Vertragsinformationen zusammen mit dem anonymen öffentlichen Schlüssel mit dem Zertifikat an das Server-Endgerät 10.

2) In dem Server-Endgerät 10 benutzt eine Vertragsbestätigungseinheit 11 den öffentlichen Schlüssel des Verifikationsbüros 40, um den öffentlichen Schlüssel des Benutzers zu untersuchen, worauf folgend sie die für die Vertragsinformationen bereitgestellte Signatur unter Verwendung des anonymen öffentlichen Schlüssels des Benutzers verifiziert und Benutzerinformationen U durch die Benutzung von zumindest der Vertragsinformationen oder des anonymen öffentlichen Schlüssels mit dem Zertifikat erstellt. Eine elektronisches Wasserzeichen-Einbettungseinheit 12 bettet, in angeforderte Bilddaten G, die Benutzerinformationen U ein, die von der Vertragsbestätigungseinheit 11 erstellt werden. Eine primäre Verschlüsselungseinheit 13 führt den primären Verschlüsselungsprozess E1() für die resultierenden Bilddaten G durch und überträgt die erhaltenen Daten an das Benutzer-Endgerät 20. Auf diese Art und Weise empfängt das Benutzer-Endgerät 20 primäre verschlüsselte Bilddaten E1(G + U).

Da die sequentiellen Prozeduren 3) bis 6) dieselben sind wie diejenigen in dem dritten Vergleichsbeispiel, wird für diese keine Erklärung gegeben. In der Prozedur 3) verwendet jedoch die sekundäre Verschlüsselungseinheit 24 des Benutzer-Endgeräts 20 ein unterschiedliches Verschlüsselungsverfahren, das gemeinsam mit dem Server-Endgerät 10 verwendet wird, um die geheimen Informationen zu verschlüsseln, mit Ausnahme der Signaturinformationen S, betreffend ein elektronisches Wasserzeichen, und überträgt die erhaltenen geheimen Informationen zusammen mit einem geheimen Schlüssel für die sekundäre Verschlüsselung an das Verifikationsbüro 30.

Verifikationsprozess

1) Das Server-Endgerät 10 extrahiert Benutzerinformationen U' aus einem illegalen Bild Gw', das entdeckt ist, und führt die primäre Verschlüsselung des Bilds Gw' durch, um Signaturinformationen S' zu extrahieren. Ferner übergibt das Server-Endgerät 10 an das Verifikationsbüro 40 die aus dem illegalen Bild Gw' extrahierten Benutzerinformationen U' und den aus den Vertragsinformationen erhaltenen anonymen öffentlichen Schlüssel, und fordert den Namen eines Benutzers an, der dem anonymen öffentlichen Schlüssel entspricht.

Die sequentiellen Prozesse 2) und 3) sind dieselben wie diejenigen in dem dritten Vergleichsbeispiel. Das heißt, wenn korrekte Signaturinformationen extrahiert werden (S' = S), ermittelt das Verifikationsbüro 40, dass der Benutzer eine illegale Aktivität durchgeführt hat, und wenn korrekte Signaturinformationen nicht extrahiert werden (S' ≠ S), ermittelt es, dass der Server eine illegale Aktivität durchführte.

Wie vorstehend beschrieben ist, kann in Übereinstimmung mit dem vierten Vergleichsbeispiel der Benutzer anonym bleiben, selbst insoweit als das Verifikationsbüro betroffen ist, wenn digitale Daten gekauft werden.

Verschiedene Daten, Bilddaten in dem dritten und dem vierten Vergleichsbeispiel und einen während des Einbettungsprozesses für ein elektronisches Wasserzeichen erhaltenen Hash-Wert eingeschlossen, können in einem der in den 6 und 7 gezeigten Bildformaten gespeichert werden. In Übereinstimmung mit dem folgenden allgemeinen Bildformat zum Beispiel können Bilddaten, die in einzelnen Schritten übertragen werden, in einem Bilddatenabschnitt gespeichert sein, und ein entsprechender Hash-Wert und dessen Signatur können in einem Bildvorspannabschnitt gespeichert sein. Ferner können ein Hash-Wert und dessen Signatur, welche der Benutzer zurückbehalten muss, sowie der sekundäre Verschlüsselungsschlüssel in dem Bildvorspannabschnitt gespeichert sein, während Bilddaten mit einem elektronischen Wasserzeichen in dem Bilddatenabschnitt gespeichert sein können.

Wie aus der vorstehenden Erklärung ersichtlich ist, werden in Übereinstimmung mit dem elektronisches Wasserzeichen-Verfahren und dem elektronischen Informationsverteilungssystem in dem dritten und dem vierten Vergleichsbeispiel eine Einrichtung oder eine Instanz zum Verifizieren der Korrektheit von zumindest einem eines Verschlüsselungsprozesses und des elektronischen Wasserzeichen-Einbettungsprozesses separat von den Einrichtungen oder den Instanzen zum Durchführen eines Verschlüsselungsprozesses und des elektronisches Wasserzeichen-Einbettungsprozesses bereitgestellt. Das illegale Kopieren und die illegale Verteilung digitaler Daten sowie eine schuldige Person können erfasst werden, so dass alle illegalen Aktivitäten verhindert werden können. Infolge dessen kann, was die illegale Verteilung digitaler Daten anbelangt, ein sicheres System bereitgestellt werden. Ferner kann eine Bilddateivorrichtung bereitgestellt werden, die Bilddaten ablegen kann, in welchen ein elektronisches Wasserzeichen mittels dem elektronisches Wasserzeichen-Verfahren eingebettet ist, und das insbesondere leichter die eingebetteten elektronisches Wasserzeichen-Informationen identifizieren kann. Darüber hinaus kann dieses System leicht für ein Schlüsselverwaltungsbüro angewandt werden, das die Anonymität eines Benutzers aufrecht erhält, und das die nicht autorisierte Benutzung einer Kryptografie verhindert.

(Fünftes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt)

Ein fünftes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt, wird unter Bezugnahme auf 17 beschrieben.

Ein elektronisches Wasserzeichen-Verfahren gemäß diesem fünften Vergleichsbeispiel wird durch ein in 17 gezeigtes System 100 durchgeführt, auf welches ein elektronisches Informationsverteilungssystem gemäß dem Vergleichsbeispiel angewandt ist.

Das System 100 ist ein Netzwerk, gebildet durch mehrere Instanzen (nicht gezeigt), das ein Terminal bzw. Endgerät 10 auf der Seite des Servers (ein Server-Endgerät) und ein Terminal bzw. Endgerät 20 auf der Seite des Benutzers (ein Benutzer-Endgerät) beinhaltet. Die einzelnen Instanzen tauschen digitale Daten über das Netzwerk aus.

Ein elektronisches Wasserzeichen-Verfahren oder ein öffentlicher Schlüssel-Verschlüsselungsverfahren wird zum Beispiel für das System 100 angewandt.

Das Server-Endgerät 10 umfasst: eine primäre Verschlüsselungseinheit 13, zum Empfangen von Bilddaten (digitale Daten) G und eines Verschlüsselungsschlüssels (öffentlicher Schlüssel), der zum Beispiel von einem Server eingegeben wird; eine primäre Entschlüsselungseinheit 14, zum Empfangen von Daten von dem Benutzer-Endgerät 20 und eines Entschlüsselungsschlüssels (geheimer Schlüssel), der von dem Server eingegeben wird; und eine elektronisches Wasserzeichen-Einbettungseinheit 12, zum Empfangen der Ausgabe der primären Entschlüsselungseinheit 14. Die Ausgaben der elektronisches Wasserzeichen-Einbettungseinheit 12 und der primären Verschlüsselungseinheit 13 werden an das Benutzer-Endgerät 20 übertragen.

Das Benutzer-Endgerät 20 umfasst: eine sekundäre Verschlüsselungseinheit 24, zum Empfangen von Daten von der primären Verschlüsselungseinheit 13 des Server-Endgeräts 10 und eines Verschlüsselungsschlüssels, der durch einen Benutzer eingegeben wird; einen Signaturgenerator 22, zum Empfangen eines Entschlüsselungsschlüssels (geheimer Schlüssel), der durch den Benutzer eingegeben wird; und eine sekundäre Entschlüsselungseinheit 25, zum Empfangen von Daten von der elektronisches Wasserzeichen-Einbettungseinheit 12 des Server-Endgeräts 10 und des Entschlüsselungsschlüssels (geheimer Schlüssel), der durch den Benutzer eingegeben wird. Die Daten von der sekundären Verschlüsselungseinheit 24 werden an die primäre Entschlüsselungseinheit 14 des Server-Endgeräts 10 übertragen, die Daten von dem Signaturgenerator 22 werden an die elektronisches Wasserzeichen-Einbettungseinheit 12 des Server-Endgeräts 10 übertragen, und die Daten von der sekundären Entschlüsselungseinheit 24 werden als Bilddaten mit einem elektronischen Wasserzeichen ausgegeben.

Mit der vorstehenden Anordnung stellt das System 100 die folgenden Merkmale bereit:

  • 1) Die Inhalte der Daten G werden gegenüber dritten Parteien, anderen Personen als dem Server und dem Benutzer geheim gehalten.
  • 2) In dem Protokoll führt das Server-Endgerät 10 zum Beispiel einen elektronisches Wasserzeichen-Einbettungsprozess durch und überträgt die Daten G nicht an das Benutzer-Endgerät 20, bis die Daten verarbeitet worden sind.
  • 3) Das Protokoll, das die Bezichtigung einer anderen Person wegen eines Verbrechens unterbindet, wird dazu verwendet, die illegale Verteilung von Daten durch den Server und den Benutzer zu verhindern.

Nachstehend wird der Verschlüsselungsprozess durch "Ei()" repräsentiert, wird der Entschlüsselungsprozess durch "Di()" repräsentiert, und wird der ein elektronisches Wasserzeichen betreffende Einbettungsprozess durch Multiplikation repräsentiert.

1) Zunächst verschlüsselt die primäre Verschlüsselungseinheit 13 des Server-Endgeräts 10 Bilddaten G durch Benutzen des Verschlüsselungsschlüssels (öffentlicher Schlüssel), der durch den Server eingegeben wird.

Die erhaltenen Mitteilung Cs wird repräsentiert durch Cs = E1(G).

Die verschlüsselte Mitteilung Cs wird an die sekundäre Verschlüsselungseinheit 24 des Benutzer-Endgeräts 20 übertragen.

2) Die sekundäre Verschlüsselungseinheit 24 des Benutzer-Endgeräts 20 verschlüsselt die von dem Server-Endgerät 10 empfangene Mitteilung Cs unter Verwendung des Verschlüsselungsschlüssels (öffentlicher Schlüssel) der durch den Benutzer eingegeben wird.

Die erhaltene Mitteilung Csu wird repräsentiert als Csu = E2(Cs) = E2(E1(G)).

Der Signaturgenerator 22 generiert Signaturinformationen S unter Verwendung des Entschlüsselungsschlüssels (geheimer Schlüssel), der durch den Benutzer eingegeben wird.

Die durch die sekundäre Verschlüsselungseinheit 24 erhaltene verschlüsselte Mitteilung Csu wird an die primäre Entschlüsselungseinheit 14 des Server-Endgeräts 10 übertragen, und die durch den Signaturgenerator 22 generierten Signaturinformationen S werden an die elektronisches Wasserzeichen-Einbettungseinheit 12 des Server-Endgeräts 10 übertragen.

3) Bei Empfang der verschlüsselten Mitteilung Csu von der sekundären Verschlüsselungseinheit 24 des Benutzer-Endgeräts 20 entschlüsselt die primäre Entschlüsselungseinheit 14 des Server-Endgeräts 10 die Mitteilung Csu unter Verwendung des Entschlüsselungsschlüssels (geheimer Schlüssel), der durch den Server eingegeben wird.

Die erhaltene Mitteilung D1 wird repräsentiert durch D1(Csu) = D1(E2(E1(G1))) = E2(G).

Die elektronisches Wasserzeichen-Einbettungseinheit 12 bettet die von dem Benutzer-Endgerät 20 empfangenen Signaturinformationen S in die durch die primäre Entschlüsselungseinheit 14 erhaltene entschlüsselte Mitteilung D1(Csu) ein und überträgt die resultierende Mitteilung an die sekundäre Entschlüsselungseinheit 25 des Benutzer-Endgeräts 20.

Daher werden die an die sekundäre Entschlüsselungseinheit 25 des Benutzer-Endgeräts 20 zu übertragenden Daten Cu repräsentiert durch Cu = D1(Csu)·S = E2(G)·S.

4) Die sekundäre Entschlüsselungseinheit 25 des Benutzer-Endgeräts 20 verwendet den Entschlüsselungsschlüssel (geheimer Schlüssel), der durch den Benutzer eingegeben wird, um die Daten Cu zu entschlüsseln, die von der elektronisches Wasserzeichen-Einbettungseinheit 12 des Server-Endgeräts 10 empfangen werden, und extrahiert Bilddaten M, welche ein elektronisches Wasserzeichen haben.

Daher werden die Bilddaten M, welche ein elektronisches Wasserzeichen haben, repräsentiert durch M = D2(Cu) = D2(E2(G)·S) = G·D2(S).

Dies bedeutet, dass die Wasserzeicheninformationen (Signaturinformationen) S, die durch die sekundäre Verschlüsselung beeinflusst werden, in den ursprünglichen Bilddaten G eingebettet sind.

Wenn RSA-Kryptografie verwendet wird, um die Protokolle 1) bis 4) zu implementieren, wird die Verarbeitung wie folgt durchgeführt.

Für die folgende Erklärung, die unter Bezugnahme auf 18 gegeben wird, sei angenommen, dass die öffentlichen Schlüssel des Servers und des Benutzers e1 und e2 sind, und dass die geheimen Schlüssel d1 und d2 sind.

1) Zunächst überträgt das Server-Endgerät 10 an das Benutzer-Endgerät 20 eine Mitteilung Cs, die durch Verschlüsseln von Bilddaten G unter Verwendung des öffentlichen Schlüssels e1 des Servers erhalten wurde.

Die verschlüsselte Mitteilung Cs (erste Daten) werden repräsentiert durch CS = Ge1.

2) Dann überträgt das Benutzer-Endgerät 20 an das Server-Endgerät 10 eine Mitteilung Csu, die durch Verschlüsseln der Mitteilung Cs unter Verwendung des öffentlichen Schlüssels e2 des Benutzers erhalten wurde.

Die verschlüsselte Mitteilung Csu wird repräsentiert durch CSU = (Ge1)e2.

Die Signaturinformationen S (zweite Daten) werden ebenfalls übertragen.

3) Das Server-Endgerät 10 überträgt an das Benutzer-Endgerät 20 Daten Cu, die durch Einbetten der Signaturinformationen S in die Mitteilung Csud1 erhalten wurden, welche durch Entschlüsseln der verschlüsselten Mitteilung Csu unter Verwendung des geheimen Schlüssels d1 des Servers gewonnen werden.

Die Daten Cu (dritte Daten) werden repräsentiert durch Cu = Csud1·S = Ge2·S.

4) Dann stellt schließlich das Benutzer-Endgerät 20 Benutzerdaten (Bilddaten M mit einem elektronischen Wasserzeichen) bereit, die durch Entschlüsseln der Daten Cu unter Verwendung des geheimen Schlüssels d2 des Benutzers erhalten werden. Die Daten werden repräsentiert durch Cud2 = (Ge2·S)d2 = G·Sd2.

Wie vorstehend beschrieben ist, kann, da in dem fünften Vergleichsbeispiel die Bilddaten G immer vor der Übertragung verschlüsselt werden, das vorstehend beschriebene Merkmal 1) bereitgestellt werden.

Darüber hinaus kann, da in der Prozedur 3) der Server 10 den elektronisches Wasserzeichen-Einbettungsprozess für die Signaturinformationen S durchführt, das Merkmal 2) bereitgestellt werden.

Da die Daten, die der Benutzer schließlich erhält, die Signaturinformationen S enthalten, die unter Verwendung des geheimen Schlüssels d2 signiert sind, der nur dem Benutzer bekannt ist, kann der Server diese nicht fälschen und die endgültigen Daten illegal verteilen.

Ob der elektronisches Wasserzeichen-Einbettungsprozess durch den Server korrekt durchgeführt worden ist, kann durch Ermitteln auf der Seite des Benutzers, ob die folgende Gleichung erfüllt ist, nachgeprüft werden: Csu = (Cu/S)e1.

Ob Daten illegal verteilt werden, kann durch Untersuchen der extrahierten, eingebetteten Informationen (Signaturinformationen) Sd2 unter Verwendung des öffentlichen Schlüssels e2 des Benutzers ermittelt werden.

(Sechstes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt)

Nun wird ein sechstes Vergleichsbeispiel, das nicht in den Schutzumfang der beanspruchten Erfindung fällt, beschrieben.

Wenn zum Beispiel mehrere Benutzer für einen Server vorhanden sind, fügt der Server nicht verschlüsselte Informationen zum Identifizieren eines Benutzers zu Bilddaten hinzu, für welche ein elektronisches Wasserzeichen bereitgestellt ist.

Eine beispielhafte Anordnung eines solchen Systems ist in 19 gezeigt.

Ein System 200 ist dasselbe wie das System 100 in dem fünften Vergleichsbeispiel, mit der Ausnahme, dass eine zusätzliche sekundäre Verschlüsselungseinheit 18 für das Server-Endgerät 10 bereitgestellt ist, und dass ein spezielle Informationen-Generator 28 zusätzlich für das Benutzer-Endgerät 20 bereitgestellt ist.

In dem Server-Endgerät 10 empfängt die sekundäre Verschlüsselungseinheit 18 Daten von dem spezielle Informationen-Generator 28 des Benutzer-Endgeräts 20 und den Verschlüsselungsschlüssel (öffentlicher Schlüssel) des Benutzers. Die Daten von der sekundären Verschlüsselungseinheit 18 werden einer elektronisches Wasserzeichen-Einbettungseinheit 12 zugeführt.

Mit dieser Anordnung kann das System 200 die vorstehend beschriebenen Merkmale 1), 2) und 3) implementieren, auch wenn es mit mehreren Benutzern zurecht kommen muss.

Das Protokoll für das System 200 wird nun erklärt.

Dieselben Bezugszeichen, wie sie für das System 100 in 17 benutzt werden, werden auch dazu benutzt, die entsprechenden oder identischen Komponenten in dem System 200 in 19 zu bezeichnen, so dass keine detaillierte Erklärung für diese gegeben wird.

1) Zunächst verschlüsselt die primäre Verschlüsselungseinheit 13 des Server-Endgeräts 10 die Bilddaten G unter Verwendung des Verschlüsselungsschlüssels (öffentlicher Schlüssel), der durch den Server eingegeben wurde, und überträgt die verschlüsselte Mitteilung Cs (= E1(G)) an die sekundäre Verschlüsselungseinheit 24 des Benutzer-Endgeräts 20.

2) Die sekundäre Verschlüsselungseinheit 24 des Benutzer-Endgeräts 20 verwendet den Verschlüsselungsschlüssel (öffentlicher Schlüssel), der durch den Benutzer eingegeben wurde, um die von der primären Verschlüsselungseinheit 13 des Server-Endgeräts 10 empfangene Mitteilung Cs zu verschlüsseln, und überträgt die erhaltene Mitteilung Csu (= E2(Cs) = E2 (E1(G)) an die primäre Entschlüsselungseinheit 14 des Server-Endgeräts 10.

Der Signaturgenerator 22 generiert Signaturinformationen S unter Verwendung des Entschlüsselungsschlüssels (geheimer Schlüssel), der durch den Benutzer eingegeben wurde, und überträgt diese an die elektronisches Wasserzeichen-Einbettungseinheit 12 des Server-Endgeräts 10.

Ferner generiert der spezielle Informationen-Generator 28 Informationen T, die den öffentlichen Schlüssel beinhalten, der dem geheimen Schlüssel des Benutzers entspricht, d.h. Informationen (spezielle bzw. spezifische Informationen) T zum Spezifizieren eines Benutzers, und überträgt die Informationen T an die sekundäre Verschlüsselungseinheit 18 des Server-Endgeräts 10.

3) Die primäre Entschlüsselungseinheit 14 des Server-Endgeräts 10 verwendet den Entschlüsselungsschlüssel (geheimer Schlüssel), der durch den Server eingegeben wurde, um die Mitteilung Csu zu entschlüsseln, die von der sekundären Verschlüsselungseinheit 24 des Benutzer-Endgeräts 20 empfangen wurde, und überträgt die entschlüsselte Mitteilung D1(Csu) = D1(E2(E1(G))) = E2(G) an die elektronisches Wasserzeichen-Einbettungseinheit 12.

Darüber hinaus verschlüsselt die sekundäre Verschlüsselungseinheit 18 die speziellen Informationen T, welche von dem spezielle Informationen-Generator 18 des Benutzer-Endgeräts 20 empfangen werden, unter Verwendung des Verschlüsselungsschlüssels des Benutzers (öffentlicher Schlüssel), der in den speziellen Informationen T enthalten ist, und überträgt die erhaltene Mitteilung E2(T) an die elektronisches Wasserzeichen-Einbettungseinheit 12.

Die elektronisches Wasserzeichen-Einbettungseinheit 12 bettet in die entschlüsselte Mitteilung D1(Csu), die durch die primäre Entschlüsselungseinheit 14 erhalten wurde, die verschlüsselte Mitteilung E2(T), die durch die sekundäre Verschlüsselungseinheit 18 erhalten wurde, und die Signaturinformationen S, die von dem Signaturgenerator 22 des Benutzer-Endgeräts 20 erhalten wurden, ein und überträgt die resultierende Mitteilung an die sekundäre Entschlüsselungseinheit 25 des Benutzer-Endgeräts 20.

Daher werden die an die sekundäre Verschlüsselungseinheit 25 des Benutzer-Endgeräts 20 übertragenen Daten Cu repräsentiert durch Cu = D1(Csu)·E2(T)·S = E2(G)·E2(T)·S.

4) Die sekundäre Verschlüsselungseinheit 25 des Benutzer-Endgeräts 20 entschlüsselt die von dem Server-Endgerät 10 empfangenen Daten Cu unter Verwendung des Entschlüsselungsschlüssels (geheimer Schlüssel), der von dem Benutzer eingegeben wurde, und extrahiert Bilddaten M, für welche ein elektronisches Wasserzeichen bereitgestellt ist.

Die Bilddaten M, für welche ein elektronisches Wasserzeichen bereitgestellt ist, werden repräsentiert durch M = D2(Cu) = D2(E2(G)·E2(T)·S) = G·T·D2(S).

Dies bedeutet, dass die Wasserzeicheninformationen (Signaturinformationen) S, die durch die sekundäre Entschlüsselung beeinflusst werden, in die ursprünglichen Bilddaten G und die nicht verschlüsselten speziellen Informationen T eingebettet sind.

Wenn die RSA-Kryptografie verwendet wird, um die Protokolle 1) bis 4) zu implementieren, wird die Verarbeitung wie folgt durchgeführt.

Für die folgende Erklärung, die unter Bezugnahme auf 20 gegeben wird, sei angenommen, dass die öffentlichen Schlüssel des Servers und des Benutzers e1 und e2 sind, und dass die geheimen Schlüssel d1 und d2 sind.

1) Zunächst überträgt das Server-Endgerät 10 an das Benutzer-Endgerät 20 eine Mitteilung Cs (= Ge1: erste Daten), die durch Verschlüsseln von Bilddaten G unter Verwendung des öffentlichen Schlüssels e1 des Servers erhalten wurde.

2) Dann überträgt das Benutzer-Endgerät 20 an das Server-Endgerät 10 eine Mitteilung Csu (= (Ge1)e2), die durch Verschlüsseln der Mitteilung Cs unter Verwendung des öffentlichen Schlüssels e2 des Benutzers erhalten wurde.

Die Signaturinformationen S (zweite Daten) und spezielle Daten T (zweiten Daten) werden ebenfalls übertragen.

3) Das Server-Endgerät 10 überträgt an das Benutzer-Endgerät 20 Daten Cu (= Csud1·Te2·S = Ge2·Te2·S: dritte Daten), welche durch Entschlüsseln der verschlüsselten Mitteilung Csu unter Verwendung des geheimen Schlüssels d1 des Servers erhalten werden, durch Verschlüsseln der Signaturinformationen S und der speziellen Informationen T unter Verwendung des öffentlichen Schlüssels e2 des Benutzers, und durch Einbetten der erhaltenen verschlüsselten Mitteilung Te2 in die erhaltene entschlüsselte Mitteilung Csud1.

4) Dann stellt schließlich das Benutzer-Endgerät 20 für Benutzerdaten (Bilddaten M mit einem elektronischen Wasserzeichen) bereit, die durch Entschlüsseln der Daten Cu unter Verwendung des geheimen Schlüssels d2 des Benutzers erhalten werden. Die Daten werden repräsentiert durch Cud2 = (Ge2·S)d2 = G·Sd2.

Wie vorstehend beschrieben ist, können in dem sechsten Vergleichsbeispiel wie in dem fünften Vergleichsbeispiel die Merkmale 1), 2) und 3) implementiert werden.

In diesem Vergleichsbeispiel beinhalten die Daten M, die der Benutzer schließlich erhält, nicht verschlüsselte Informationen T zum Spezifizieren eines Benutzers. Daher kann dann, wenn die Daten M illegal an einen Benutzer verteilt werden, der Benutzer, der die Daten M empfangen hat, unter Verwendung der in den Daten M enthaltenen speziellen Informationen T identifiziert werden, und können die verschlüsselten Signaturinformationen Sd2 unter Verwendung des öffentlichen Schlüssels des so identifizierten Benutzers untersucht werden. Infolge dessen kann die illegale Verteilung von Daten verhindert werden, unabhängig davon, ob mehrere Benutzer vorhanden sind.

Darüber hinaus ist es, da der Server keine Kenntnis von den ursprünglichen Bilddaten für die Signaturinformationen S und die speziellen Informationen T, die eingebettet sind und zu entschlüsseln sind, haben kann, auch möglich, das Merkmal "da der Benutzer verschlüsselte Bilddaten G ohne das Benachrichtigen des Servers entschlüsseln kann, kann die Privatsphäre des Benutzers geschützt werden" bereitzustellen.

In dem sechsten Vergleichsbeispiel überträgt der Benutzer die Signaturinformationen S und die speziellen Informationen T getrennt an den Server. Jedoch können die Informationen T zum Identifizieren eines Benutzers in den Signaturinformationen S enthalten sein. Somit kann, da die speziellen Informationen T nicht separat übertragen zu werden brauchen, die Struktur vereinfacht werden.

Der zur Untersuchung der Bilddaten und der Signatur in dem fünften und dem sechsten Vergleichsbeispiel verwendete öffentliche Schlüssel kann in einem der Formate in den 6 bis 12 gespeichert sein.

Wie vorstehend beschrieben ist, können in Übereinstimmung mit diesem Vergleichsbeispiel, da die ersten Daten (ursprüngliche Daten) immer die verschlüsselten Daten sind, die Inhalte der ersten Daten vor dritten Parteien, anderen Personen als dem Server und dem Benutzer geheim gehalten werden.

Ferner kann, da die Verarbeitung (der elektronisches Wasserzeichen-Einbettungsprozess für die Signaturinformationen usw.) durch die Serverseite (die erste Instanz) durchgeführt wird, kann eine Übertragung der ersten Daten (der ursprünglichen Daten) in dem unverarbeiteten Zustand an den Benutzer (die zweite Instanz) verhindert werden.

Die von dem Benutzer (die zweite Instanz) erhaltenen endgültigen Daten beinhalten die zweiten Daten (die Signaturinformationen usw.), die unter Verwendung des geheimen Schlüssels signiert sind, den nur der Benutzer kennt, so dass der Server (die erste Instanz) diese weder fälschen kann, noch illegal die endgültigen Daten verteilen kann. Ferner kann die illegale Verteilung von Daten durch Untersuchen der zweiten Daten (der Signaturinformationen usw.) unter Verwendung des öffentlichen Schlüssels des Benutzers (der zweiten Instanz) erfasst werden. Infolge dessen kann die illegale Verteilung von Daten durch den Server (die erste Instanz) und durch den Benutzer (die zweite Instanz) verhindert werden.

Daher kann die illegale Verteilung von Daten vollkommen verhindert werden, und können Daten sicher beibehalten werden.

Die Erfindung kann als ein Computerprogramm implementiert werden, das auf einem standardmäßigen Computer arbeitet, und kann somit in Form eines von einem Computer implementierbare Anweisungen tragenden Speichermediums oder eines von einem Computer implementierbare Anweisungen führenden elektrischen Signals, beispielsweise eines herunterladbaren Computercodes, ausgestaltet werden.

Viele stark unterschiedliche Ausführungsbeispiele der Erfindung können ohne Verlassen des Schutzumfangs der Erfindung aufgebaut werden. Es wird angemerkt, dass die Erfindung bis auf die Definition in den beigefügten Patentansprüchen nicht auf die in der Spezifikation beschriebenen speziellen Ausführungsbeispiele beschränkt ist.


Anspruch[de]
Elektronisches Wasserzeichen-Verfahren, das für ein Netzwerksystem verwendet wird, welches eine Vielzahl von Instanzen einschließt, wobei für den Austausch von digitalen Informationen (G) mittels zumindest einer ersten Instanz (10) und einer zweiten Instanz (20)

die erste Instanz (10) ein elektronisches Wasserzeichen (U) in den digitalen Informationen (G) einbettet (12), einen ersten Verschlüsselungsprozess für die digitalen Informationen durchführt (13), und die resultierenden digitalen Informationen an die zweite Instanz (20) überträgt,

die zweite Instanz (20) in den von der ersten Instanz (10) empfangenen digitalen Informationen ein zweites elektronisches Wasserzeichen (U) einbettet (23), zu dessen Erzeugung nur die zweite Instanz (20) in der Lage ist, einen zweiten Verschlüsselungsprozess für die digitalen Informationen durchführt (24), einen Wert (H2) durch Transformieren der resultierenden verschlüsselten digitalen Informationen unter Verwendung einer Einwege-Kompressionsfunktion erhält, und den Wert und die verschlüsselten digitalen Informationen an die erste Instanz (10) überträgt, und

die erste Instanz (10) die von der zweiten Instanz (20) empfangenen digitalen Informationen unter Verwendung derselben Einwege-Kompressionsfunktion umwandelt (15) und in Übereinstimmung damit, ob der so erhaltene Wert mit dem von der zweiten Instanz (20) empfangenen Wert (H2) übereinstimmt, einen ersten Decodierprozess mit Bezug zu dem ersten Verschlüsselungsprozess für die digitalen Informationen durchführt (14);

wobei verschlüsselte Daten nur durch die Instanz decodiert werden können, die die Daten verschlüsselte, und Daten, die durch eine Vielzahl von Instanzen verschlüsselt wurden, durch die Instanzen in beliebiger Reihenfolge decodiert werden können.
Elektronisches Wasserzeichen-Verfahren nach Anspruch 1, bei dem der von der ersten Instanz (10) durchgeführte (12) elektronisches Wasserzeichen-Einbettungsprozess ein Prozess zum Einbetten von die zweite Instanz (20) betreffenden Informationen ist. Elektronisches Wasserzeichen-Verfahren nach Anspruch 1, bei dem der von der ersten Instanz (10) durchgeführte (12) elektronisches Wasserzeichen-Einbettungsprozess ein Prozess zum Einbetten von zu übertragende digitale Informationen betreffenden Informationen ist. Verfahren nach einem der vorangehenden Ansprüche, bei dem die erste Instanz (10) die digitalen Informationen, für welche der erste Decodierprozess durchgeführt (14) wurde, an die zweite Instanz (20) überträgt, und die zweite Instanz (20) einen zweiten Decodierprozess für die von der ersten Instanz (10) empfangenen digitalen Informationen, für welche der erste Decodierprozess durchgeführt wurde, durchführt (25). Verfahren nach einem der vorangehenden Ansprüche, bei dem die Einwege-Kompressionsfunktion, die durchgeführt wird (25, 15; 26, 15, 16, 17), eine Hash-Funktion ist. Elektronisches Wasserzeichen-System für ein Netzwerksystem, welches eine Vielzahl von Instanzen (10, 20, ...) einschließt, wobei für den Austausch von digitalen Informationen (G) mittels zumindest einer ersten Instanz (10) und einer zweiten Instanz (20) der Vielzahl von Instanzen das elektronisches Wasserzeichen-System aus der ersten Instanz (10) und der zweiten Instanz (20) besteht, wobei

die erste Instanz aufweist: eine erste Einbettungseinrichtung (12) zum Einbetten eines elektronischen Wasserzeichens (U) in den digitalen Informationen (G); eine erste Verschlüsselungseinrichtung (13) zum Durchführen eines ersten Verschlüsselungsprozesses für die digitalen Informationen; und eine erste Übertragungseinrichtung zum Übertragen der resultierenden digitalen Informationen an die zweite Instanz (20);

die zweite Instanz (20) aufweist: eine zweite Einbettungseinrichtung (23) zum Einbetten eines zweiten elektronischen Wasserzeichens, zu dessen Erzeugung nur die zweite Instanz (20) in der Lage ist, in den von der ersten Instanz (10) empfangenen digitalen Informationen; eine zweite Verschlüsselungseinrichtung (24) zum Durchführen eines zweiten Verschlüsselungsprozesses für die digitalen Informationen; eine erste Transformationseinrichtung (26) zum Erhalten eines Werts (H2) durch Transformieren der verschlüsselten digitalen Information unter Verwendung einer Einwege-Kompressionsfunktion; und eine zweite Übertragungseinrichtung zum Übertragen der des Werts und der verschlüsselten digitalen Informationen an die erste Instanz (10); und

die erste Instanz eine erste Bestätigungseinrichtung (15) zum Umwandeln der von der zweiten Instanz empfangenen digitalen Informationen unter Verwendung derselben Einwege-Kompressionsfunktion und Ermitteln, ob der so erhaltene Wert mit dem von der zweiten Instanz empfangenen Wert (H2) übereinstimmt; und eine erste Decodereinrichtung (14) zum Durchführen, in Abhängigkeit von dem Ergebnis der Wertübereinstimmung, eines ersten Decodierprozesses mit Bezug zu dem ersten Verschlüsselungsprozess für die digitalen Informationen;

wobei verschlüsselte Daten nur durch die Instanz decodiert werden können, die die Daten verschlüsselte, und Daten, die durch eine Vielzahl von Instanzen verschlüsselt wurden, durch die Instanzen in beliebiger Reihenfolge decodiert werden können.
Computerprogrammprodukt mit Programmcode-Anweisungen für eine erste und eine zweite Instanz (10, 20) eines Netzwerksystems zum Anpassen derselben so, dass eine Verarbeitung in Übereinstimmung mit jedem der Schritte des in einem der Ansprüche 1 bis 6 wiedergegebenen elektronisches Wasserzeichen-Verfahrens ausgeführt wird.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com