JP2003204320A5 - - Google Patents

Download PDF

Info

Publication number
JP2003204320A5
JP2003204320A5 JP2002303509A JP2002303509A JP2003204320A5 JP 2003204320 A5 JP2003204320 A5 JP 2003204320A5 JP 2002303509 A JP2002303509 A JP 2002303509A JP 2002303509 A JP2002303509 A JP 2002303509A JP 2003204320 A5 JP2003204320 A5 JP 2003204320A5
Authority
JP
Japan
Prior art keywords
key
invalidated
nodes
recording medium
keys
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002303509A
Other languages
Japanese (ja)
Other versions
JP2003204320A (en
JP4220213B2 (en
Filing date
Publication date
Application filed filed Critical
Priority to JP2002303509A priority Critical patent/JP4220213B2/en
Priority claimed from JP2002303509A external-priority patent/JP4220213B2/en
Publication of JP2003204320A publication Critical patent/JP2003204320A/en
Publication of JP2003204320A5 publication Critical patent/JP2003204320A5/ja
Application granted granted Critical
Publication of JP4220213B2 publication Critical patent/JP4220213B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Claims (30)

n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置と、1以上の利用者装置とからなる著作物保護システムであって、前記鍵管理装置は、デバイス鍵を各利用者装置に割り当て、各利用者装置は、割り当てられたデバイス鍵に基づいて、コンテンツを暗号化して記録媒体に書き込み又は前記記録媒体から読み出した暗号化コンテンツを復号し、
前記鍵管理装置は、
n分木においてルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しているデバイス鍵記憶手段と、
複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込む鍵情報生成手段と、
リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込む無効化情報生成手段とを備え、
前記利用者装置は、
前記記録媒体に前記配列順序に従って書き込まれた前記複数の無効化情報を用いて、前記記録媒体に前記配列順序に従って書き込まれた前記複数の暗号化メディア鍵の中から、当該利用者装置に割り当てられたデバイス鍵により暗号化された暗号化メディア鍵を特定する特定手段と、
特定した暗号化メディア鍵を、当該利用者装置に割り当てられたデバイス鍵に基づいて復号して、メディア鍵を生成する復号手段と、
生成した前記メディア鍵に基づいてコンテンツを暗号化して前記記録媒体に書き込み、又は前記記録媒体から暗号化コンテンツを読み出し読み出した暗号化コンテンツを生成した前記メディア鍵に基づいて復号してコンテンツを生成する暗号復号手段と
を備えることを特徴とする著作物保護システム。A copyright protection system comprising a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more) and one or more user devices, wherein the key management device is Assigning a device key to each user device, and each user device encrypts the content based on the assigned device key and writes the content on a recording medium or decrypts the encrypted content read from the recording medium,
The key management device,
A plurality of nodes existing on the route from the root to some leaves in the n-ary tree are invalidated, and one or more device keys are associated with one or more nodes constituting the n-ary tree, respectively. Device key storage means for storing
One media key is encrypted using each of the plurality of common device keys to generate a plurality of encrypted media keys, and each common device key is assigned to a plurality of device keys associated with a non-invalidated node. The device key is a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained, and the obtained plurality of encrypted media keys are arrayed in an n-ary tree configuration. Key information generating means for writing to a recording medium according to an order;
Except for the leaf, with respect to the invalidated node, invalidation information indicating whether or not each of the lower n nodes is invalidated is generated. As a result, a plurality of pieces of invalidation information are obtained and obtained. A plurality of invalidation information, invalidation information generating means for writing to the recording medium according to the arrangement order,
The user device,
Using the plurality of revocation information written on the recording medium according to the arrangement order, the plurality of encryption media keys written on the recording medium according to the arrangement order are assigned to the user device. Specifying means for specifying an encrypted media key encrypted with the device key,
Decrypting means for decrypting the specified encrypted media key based on the device key assigned to the user device to generate a media key;
Content is generated by encrypting the content based on the generated media key and writing it to the recording medium, or decrypting the encrypted content by reading and reading the encrypted content from the recording medium based on the generated media key. A copyright protection system comprising encryption / decryption means. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有し、前記デバイス鍵を利用者装置に割り当てる鍵管理装置であって、
n分木においてルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しているデバイス鍵記憶手段と、
複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込む鍵情報生成手段と、
リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込む無効化情報生成手段と
を備えることを特徴とする鍵管理装置。A key management device having one or more device keys associated with an n-ary tree (n is an integer of 2 or more) and allocating the device keys to user devices,
A plurality of nodes existing on the route from the root to some leaves in the n-ary tree are invalidated, and one or more device keys are associated with one or more nodes constituting the n-ary tree, respectively. Device key storage means for storing
One media key is encrypted using each of the plurality of common device keys to generate a plurality of encrypted media keys, and each common device key is assigned to a plurality of device keys associated with a non-invalidated node. The device key is a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained, and the obtained plurality of encrypted media keys are arrayed in an n-ary tree configuration. Key information generating means for writing to a recording medium according to an order;
Except for the leaf, with respect to the invalidated node, invalidation information indicating whether or not each of the lower n nodes is invalidated is generated. As a result, a plurality of pieces of invalidation information are obtained and obtained. A key management device comprising: revocation information generating means for writing a plurality of revocation information to the recording medium in the arrangement order. 前記n分木は、複数のレイヤから構成され、
前記鍵情報生成手段は、得られた複数の暗号化メディア鍵を、ルートを起点とし、ルート側のレイヤからリーフ側のレイヤへの順序である前記配列順序に従って記録媒体に書き込み、
前記無効化情報生成手段は、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込む
ことを特徴とする請求項2に記載の鍵管理装置。The n-ary tree is composed of a plurality of layers,
The key information generating means writes the obtained plurality of encrypted media keys on a recording medium in accordance with the arrangement order, which is the order from the root layer to the leaf layer, starting from the root,
3. The key management device according to claim 2, wherein the revocation information generating unit writes the obtained pieces of revocation information on the recording medium in the arrangement order. 前記鍵情報生成手段は、得られた複数の暗号化メディア鍵を、ルートを起点とし、ルートから各リーフへ至る経路上に配されるノードの順序であって、重複して配列されない前記配列順序に従って記録媒体に書き込み、
前記無効化情報生成手段は、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込む
ことを特徴とする請求項2に記載の鍵管理装置。The key information generating means may be configured to store the plurality of obtained encrypted media keys in an order of nodes arranged on a path from the root to each leaf, starting from the root, wherein the array order is not overlapped. Write on the recording medium according to
3. The key management device according to claim 2, wherein the revocation information generating unit writes the obtained pieces of revocation information on the recording medium in the arrangement order. 前記無効化情報生成手段は、リーフを除き、無効化された全てのノードについて、無効化情報を生成する
ことを特徴とする請求項2に記載の鍵管理装置。3. The key management device according to claim 2, wherein the revocation information generating unit generates revocation information for all revoked nodes except for the leaf. 前記無効化情報生成手段は、
リーフを除き、無効化されたノードであって、下位側に接続する全てのノードが無効化されているものについて、下位側に接続する全てのノードが無効化されている旨を示す特別無効化情報を生成し、
前記下位側に接続する全ての無効化されたノードについて、無効化情報の生成を抑制し、
リーフを除く他の無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成する
ことを特徴とする請求項2に記載の鍵管理装置。The invalidation information generating means includes:
Special invalidation indicating that all nodes connected to the lower side are invalidated for all invalidated nodes except for the leaf, and all nodes connected to the lower side are invalidated. Generate information,
For all invalidated nodes connected to the lower side, suppress generation of invalidation information,
3. The key management device according to claim 2, wherein for other invalidated nodes other than the leaf, invalidation information indicating whether or not each of the lower n nodes is invalidated is generated. . 前記無効化情報生成手段は、
リーフを除き、無効化されたノードであって、下位側に接続する全てのノードが無効化されているものについて、下位側に接続する全てのノードが無効化されている旨を示す第1付加情報と、下位のn個のノードのそれぞれが無効化されていることを示すn桁の情報とから構成される特別無効化情報を生成し、
前記下位側に接続する全ての無効化されたノードについて、無効化情報の生成を抑制し、
リーフを除く他の無効化されたノードについて、下位側に接続する全てのノードが無効化されていない旨を示す第2付加情報と、下位のn個のノードのそれぞれが無効化されているか否かを示すn桁の情報とから構成される無効化情報を生成する
ことを特徴とする請求項6に記載の鍵管理装置。The invalidation information generating means includes:
A first addition indicating that all nodes connected to the lower side of the invalidated nodes except for the leaf, in which all nodes connected to the lower side are invalidated, are invalidated. Generating special invalidation information including information and n-digit information indicating that each of the lower n nodes is invalidated,
For all invalidated nodes connected to the lower side, suppress generation of invalidation information,
For other invalidated nodes other than the leaf, second additional information indicating that all nodes connected to the lower side are not invalidated, and whether each of the lower n nodes is invalidated 7. The key management apparatus according to claim 6, wherein the key management apparatus generates revocation information composed of n-digit information indicating whether the key information is invalid or not. 前記無効化情報生成手段は、
リーフを除き、無効化されたノードであって、下位側に接続する全てのノードが無効化されているものについて、下位のn個のノードのそれぞれが無効化されていることを示すn桁の特別値から構成される特別無効化情報を生成し、
前記下位側に接続する全ての無効化されたノードについて、無効化情報の生成を抑制し、
リーフを除く他の無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示すn桁の無効化情報を生成する
ことを特徴とする請求項6に記載の鍵管理装置。The invalidation information generating means includes:
For an invalidated node excluding a leaf, in which all nodes connected to the lower side are invalidated, an n-digit number indicating that each of the lower n nodes is invalidated. Generate special invalidation information consisting of special values,
For all invalidated nodes connected to the lower side, suppress generation of invalidation information,
7. The n-digit invalidation information indicating whether or not each of the lower n nodes is invalidated for other invalidated nodes other than the leaves is generated, according to claim 6, wherein: Key management device. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有し、前記デバイス鍵を利用者装置に割り当てる鍵管理装置であって、
n分木において一部のノードは、無効化されており、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しているデバイス鍵記憶手段と、
複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込む鍵情報生成手段と、
リーフを除き、無効化された各ノードについて、
下位のn個のノードの少なくとも1個が無効化されている場合に、それぞれが無効化されているか否かを示す第1無効化情報を生成し、
下位のn個のノードのいずれも無効化されていない場合に、いずれのノードも無効化されていないことを示す第2無効化情報を生成し、
その結果、1個以上の第1無効化情報、1個以上の第2無効化情報、又は1個以上の第1無効化情報及び1個以上の第2無効化情報が得られ、
得られた1個以上の第1無効化情報、1個以上の第2無効化情報、又は1個以上の第1無効化情報及び1個以上の第2無効化情報を、前記配列順序に従って前記記録媒体に書き込む無効化情報生成手段と
を備えることを特徴とする鍵管理装置。A key management device having one or more device keys associated with an n-ary tree (n is an integer of 2 or more) and allocating the device keys to user devices,
a device key storage means for storing one or more device keys in association with one or more nodes constituting the n-ary tree, wherein some nodes in the n-ary tree are invalidated;
One media key is encrypted using each of the plurality of common device keys to generate a plurality of encrypted media keys, and each common device key is assigned to a plurality of device keys associated with a non-invalidated node. The device key is a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained, and the obtained plurality of encrypted media keys are arrayed in an n-ary tree configuration. Key information generating means for writing to a recording medium according to an order;
Except for the leaf, for each disabled node,
When at least one of the lower n nodes is invalidated, first invalidation information indicating whether or not each of the nodes is invalidated is generated;
When none of the lower n nodes has been invalidated, second invalidation information indicating that none of the nodes has been invalidated is generated;
As a result, one or more pieces of first revocation information, one or more pieces of second revocation information, or one or more pieces of first revocation information and one or more pieces of second revocation information are obtained,
The obtained one or more pieces of first revocation information, one or more pieces of second revocation information, or one or more pieces of first revocation information and one or more pieces of second revocation information are written in accordance with the arrangement order. A key management device comprising: revocation information generation means for writing to a recording medium. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有し、前記デバイス鍵を利用者装置に割り当てる鍵管理装置であって、n分木を構成する全てのノードは、有効であり、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しているデバイス鍵記憶手段と、
各利用者装置に共通に割り当てられた1個のデバイス鍵に基づいて、1個のメディア鍵を暗号化して1個の暗号化メディア鍵を生成し、生成した前記暗号化メディア鍵を、記録媒体に書き込む鍵情報生成手段と、
n分木を構成する全てのノードが有効であることを示す情報を前記記録媒体に書き込む無効化情報生成手段と
を備えることを特徴とする鍵管理装置。A key management device that has one or more device keys in association with an n-ary tree (n is an integer of 2 or more) and allocates the device keys to user devices. Is valid, and a device key storage unit that stores one or more device keys in association with one or more nodes constituting the n-ary tree, respectively,
One media key is encrypted based on one device key commonly assigned to each user device to generate one encrypted media key, and the generated encrypted media key is stored in a recording medium. Key information generating means for writing to
A key management device comprising: revocation information generating means for writing information indicating that all nodes constituting an n-ary tree are valid on the recording medium. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置により、1個以上のデバイス鍵が割り当てられ、割り当てられた前記デバイス鍵の中の1個のデバイス鍵に基づいて、コンテンツを暗号化して記録媒体に書き込み又は前記記録媒体から読み出した暗号化コンテンツを復号する利用者装置であって、
前記鍵管理装置は、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しており、ルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込み、リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込み、
前記利用者装置は、
前記記録媒体に前記配列順序に従って書き込まれた前記複数の無効化情報を用いて、前記記録媒体に前記配列順序に従って書き込まれた前記複数の暗号化メディア鍵の中から、当該利用者装置に割り当てられたデバイス鍵により暗号化された暗号化メディア鍵を特定する特定手段と、
特定した暗号化メディア鍵を、当該利用者装置に割り当てられたデバイス鍵に基づいて復号して、メディア鍵を生成する復号手段と、
生成した前記メディア鍵に基づいてコンテンツを暗号化して前記記録媒体に書き込み、又は前記記録媒体から暗号化コンテンツを読み出し読み出した暗号化コンテンツを生成した前記メディア鍵に基づいて復号してコンテンツを生成する暗号復号手段と
を備えることを特徴とする利用者装置。One or more device keys are assigned by a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more), and one of the assigned device keys is assigned. A user device that encrypts content based on a device key, writes the content on a recording medium, or decrypts the encrypted content read from the recording medium,
The key management device stores one or more device keys in association with one or more nodes forming an n-ary tree, and stores a plurality of nodes existing on a route from a root to some leaves. Has been revoked and encrypts one media key using a plurality of common device keys to generate a plurality of encrypted media keys, each of which corresponds to a node that has not been revoked. Among the attached device keys, a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained. Writing is performed on the recording medium in accordance with the arrangement order related to the configuration of the n-ary tree, and invalidation information indicating whether or not each of the lower n nodes is invalidated is generated for the invalidated nodes except for the leaves. As a result a plurality of invalidation information is obtained, a plurality of invalidation information obtained, writing on the recording medium in accordance with the arrangement order,
The user device,
Using the plurality of revocation information written on the recording medium according to the arrangement order, the plurality of encryption media keys written on the recording medium according to the arrangement order are assigned to the user device. Specifying means for specifying an encrypted media key encrypted with the device key,
Decrypting means for decrypting the specified encrypted media key based on the device key assigned to the user device to generate a media key;
Content is generated by encrypting the content based on the generated media key and writing it to the recording medium, or decrypting the encrypted content by reading and reading the encrypted content from the recording medium based on the generated media key. A user device comprising an encryption / decryption unit. 前記n分木は、複数のレイヤから構成され、
前記複数の暗号化メディア鍵は、ルートを起点とし、ルート側のレイヤからリーフ側のレイヤへの順序である前記配列順序に従って記録媒体に書き込まれ、
前記複数の無効化情報は、前記配列順序に従って前記記録媒体に書き込まれ、前記特定手段は、前記配列順序に従って書き込まれた前記複数の無効化情報を用いて、前記配列順序に従って書き込まれた前記複数の暗号化メディア鍵の中から、前記暗号化メディア鍵を特定する
ことを特徴とする請求項11に記載の利用者装置。The n-ary tree is composed of a plurality of layers,
The plurality of encrypted media keys are written on a recording medium in accordance with the arrangement order, which is an order from a root layer to a leaf layer, starting from a root,
The plurality of pieces of invalidation information are written to the recording medium according to the arrangement order, and the specifying unit uses the plurality of pieces of invalidation information written according to the arrangement order to write the plurality of pieces of invalidation information according to the arrangement order. The user device according to claim 11, wherein the encrypted media key is specified from among the encrypted media keys. 前記複数の暗号化メディア鍵は、ルートを起点とし、ルートから各リーフへ至る経路上に配されるノードの順序であって、重複して配列されない前記配列順序に従って記録媒体に書き込まれ、
前記複数の無効化情報は、前記配列順序に従って前記記録媒体に書き込まれ、前記特定手段は、前記配列順序に従って書き込まれた前記複数の無効化情報を用いて、前記配列順序に従って書き込まれた前記複数の暗号化メディア鍵の中から、前記暗号化メディア鍵を特定する
ことを特徴とする請求項11に記載の利用者装置。The plurality of encrypted media keys are written on a recording medium in accordance with the order of the nodes arranged on the path from the root to each leaf, starting from the root, and not being arranged in an overlapping manner,
The plurality of pieces of invalidation information are written to the recording medium according to the arrangement order, and the specifying unit uses the plurality of pieces of invalidation information written according to the arrangement order to write the plurality of pieces of invalidation information according to the arrangement order. The user device according to claim 11, wherein the encrypted media key is specified from among the encrypted media keys. リーフを除き、無効化された全てのノードについて、無効化情報が生成されて、前記記録媒体に書き込まれ、
前記特定手段は、前記複数の無効化情報を用いて、前記暗号化メディア鍵を特定する
ことを特徴とする請求項11に記載の利用者装置。Except for the leaf, for all the invalidated nodes, invalidation information is generated and written to the recording medium,
The user device according to claim 11, wherein the specifying unit specifies the encrypted media key using the plurality of pieces of revocation information. リーフを除き、無効化されたノードであって、下位側に接続する全てのノードが無効化されているものについて、下位側に接続する全てのノードが無効化されている旨を示す特別無効化情報が生成されて前記記録媒体に書き込まれ、
前記下位側に接続する全ての無効化されたノードについて、無効化情報の生成が抑制され、
リーフを除く他の無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報が生成されて前記記録媒体に書き込まれ、
前記特定手段は、前記特別無効化情報及び前記無効化情報を用いて、前記暗号化メディア鍵を特定する
ことを特徴とする請求項11に記載の利用者装置。Special invalidation indicating that all nodes connected to the lower side are invalidated for all invalidated nodes except for the leaf, and all nodes connected to the lower side are invalidated. Information is generated and written to the recording medium,
For all the invalidated nodes connected to the lower side, generation of invalidation information is suppressed,
For other invalidated nodes other than the leaf, invalidation information indicating whether or not each of the lower n nodes is invalidated is generated and written to the recording medium,
The user device according to claim 11, wherein the specifying unit specifies the encrypted media key using the special revocation information and the revocation information. リーフを除き、無効化されたノードであって、下位側に接続する全てのノードが無効化されているものについて、下位側に接続する全てのノードが無効化されている旨を示す第1付加情報と、下位のn個のノードのそれぞれが無効化されていることを示すn桁の情報とから構成される特別無効化情報が生成されて前記記録媒体に書き込まれ、
前記下位側に接続する全ての無効化されたノードについて、無効化情報の生成が抑制され、
リーフを除く他の無効化されたノードについて、下位側に接続する全てのノードが無効化されていない旨を示す第2付加情報と、下位のn個のノードのそれぞれが無効化されているか否かを示すn桁の情報とから構成される無効化情報が生成されて前記記録媒体に書き込まれ、
前記特定手段は、前記特別無効化情報及び前記無効化情報を用いて、前記暗号化メディア鍵を特定する
ことを特徴とする請求項15に記載の利用者装置。A first addition indicating that all nodes connected to the lower side of the invalidated nodes except for the leaf, in which all nodes connected to the lower side are invalidated, are invalidated. Special invalidation information composed of information and n-digit information indicating that each of the lower n nodes is invalidated is generated and written to the recording medium,
For all the invalidated nodes connected to the lower side, generation of invalidation information is suppressed,
For other invalidated nodes other than the leaf, second additional information indicating that all nodes connected to the lower side are not invalidated, and whether each of the lower n nodes is invalidated And n-digit information indicating whether the invalidation information is generated and written to the recording medium,
16. The user device according to claim 15, wherein the specifying unit specifies the encrypted media key using the special revocation information and the revocation information. リーフを除き、無効化されたノードであって、下位側に接続する全てのノードが無効化されているものについて、下位のn個のノードのそれぞれが無効化されていることを示すn桁の特別値から構成される特別無効化情報が生成されて前記記録媒体に書き込まれ、
前記下位側に接続する全ての無効化されたノードについて、無効化情報の生成が抑制され、
リーフを除く他の無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示すn桁の無効化情報が生成されて前記記録媒体に書き込まれ、
前記特定手段は、前記特別無効化情報及び前記無効化情報を用いて、前記暗号化メディア鍵を特定する
ことを特徴とする請求項15に記載の利用者装置。For an invalidated node excluding a leaf, in which all nodes connected to the lower side are invalidated, an n-digit number indicating that each of the lower n nodes is invalidated. Special invalidation information composed of special values is generated and written to the recording medium,
For all the invalidated nodes connected to the lower side, generation of invalidation information is suppressed,
For other invalidated nodes other than the leaf, n-digit invalidation information indicating whether or not each of the lower n nodes is invalidated is generated and written to the recording medium,
16. The user device according to claim 15, wherein the specifying unit specifies the encrypted media key using the special revocation information and the revocation information. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置により、1個以上のデバイス鍵が割り当てられ、割り当てられた前記デバイス鍵の中の1個のデバイス鍵に基づいて、コンテンツを暗号化して記録媒体に書き込み又は前記記録媒体から読み出した暗号化コンテンツを復号する利用者装置であって、
前記鍵管理装置は、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しており、一部のノードは、無効化されており、複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込み、リーフを除き、無効化された各ノードについて、下位のn個のノードの少なくとも1個が無効化されている場合に、それぞれが無効化されているか否かを示す第1無効化情報を生成し、下位のn個のノードのいずれも無効化されていない場合に、いずれのノードも無効化されていないことを示す第2無効化情報を生成し、その結果、1個以上の第1無効化情報、1個以上の第2無効化情報、又は1個以上の第1無効化情報及び1個以上の第2無効化情報が得られ、得られた1個以上の第1無効化情報、1個以上の第2無効化情報、又は1個以上の第1無効化情報及び1個以上の第2無効化情報を、前記配列順序に従って前記記録媒体に書き込み、
前記利用者装置は、
前記記録媒体に前記配列順序に従って書き込まれた前記第1無効化情報、前記第2無効化情報、又は前記第1無効化情報及び前記第2無効化情報を用いて、前記記録媒体に前記配列順序に従って書き込まれた前記複数の暗号化メディア鍵の中から、当該利用者装置に割り当てられたデバイス鍵により暗号化された暗号化メディア鍵を特定する特定手段と、
特定した暗号化メディア鍵を、当該利用者装置に割り当てられたデバイス鍵に基づいて復号して、メディア鍵を生成する復号手段と、
生成した前記メディア鍵に基づいてコンテンツを暗号化して前記記録媒体に書き込み、又は前記記録媒体から暗号化コンテンツを読み出し読み出した暗号化コンテンツを生成した前記メディア鍵に基づいて復号してコンテンツを生成する暗号復号手段と
を備えることを特徴とする利用者装置。One or more device keys are assigned by a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more), and one of the assigned device keys is assigned. A user device that encrypts content based on a device key, writes the content on a recording medium, or decrypts the encrypted content read from the recording medium,
The key management device stores one or more device keys in association with one or more nodes constituting an n-ary tree, and some of the nodes are invalidated, and a plurality of common devices are stored. One media key is encrypted using each key to generate a plurality of encrypted media keys, and each common device key is one or more of a plurality of device keys associated with a non-invalidated node. A plurality of encrypted media keys are obtained, and the obtained plurality of encrypted media keys are stored in a recording medium in accordance with the arrangement order according to the configuration of the n-ary tree. , And when at least one of the lower n nodes is invalidated for each of the invalidated nodes except for the leaf, first invalidation information indicating whether or not each of the nodes is invalidated. Raw Then, if none of the lower n nodes has been invalidated, second invalidation information indicating that none of the nodes has been invalidated is generated. As a result, one or more first invalidation information is generated. Information, one or more pieces of second revocation information, or one or more pieces of first revocation information and one or more pieces of second revocation information, and the obtained one or more pieces of first revocation information, Writing one or more pieces of second revocation information, or one or more pieces of first revocation information and one or more pieces of second revocation information to the recording medium according to the arrangement order;
The user device,
Using the first revocation information, the second revocation information, or the first revocation information and the second revocation information written on the recording medium in accordance with the reordering order, the reordering order on the recording medium. Specifying means for specifying, from among the plurality of encrypted media keys written according to the encrypted media key encrypted by the device key assigned to the user device,
Decrypting means for decrypting the specified encrypted media key based on the device key assigned to the user device to generate a media key;
Content is generated by encrypting the content based on the generated media key and writing it to the recording medium, or decrypting the encrypted content by reading and reading the encrypted content from the recording medium based on the generated media key. A user device comprising an encryption / decryption unit. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置により、1個以上のデバイス鍵が割り当てられ、割り当てられた前記デバイス鍵の中の1個のデバイス鍵に基づいて、コンテンツを暗号化して記録媒体に書き込み又は前記記録媒体から読み出した暗号化コンテンツを復号する利用者装置であって、
前記鍵管理装置は、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しており、n分木を構成する全てのノードは、有効であり、各利用者装置に共通に割り当てられた1個のデバイス鍵に基づいて、1個のメディア鍵を暗号化して1個の暗号化メディア鍵を生成し、生成した前記暗号化メディア鍵を、記録媒体に書き込み、n分木を構成する全てのノードが有効であることを示す情報を前記記録媒体に書き込み、
前記利用者装置は、
前記記録媒体に有効であることを示す前記情報が記録されていると判断する場合に、前記記録媒体に記録されている前記暗号化メディア鍵を読み出す読出手段と、
読み出した暗号化メディア鍵を、当該利用者装置に割り当てられたデバイス鍵に基づいて復号して、メディア鍵を生成する復号手段と、
生成した前記メディア鍵に基づいてコンテンツを暗号化して前記記録媒体に書き込み、又は前記記録媒体から暗号化コンテンツを読み出し読み出した暗号化コンテンツを生成した前記メディア鍵に基づいて復号してコンテンツを生成する暗号復号手段と
を備えることを特徴とする利用者装置。One or more device keys are assigned by a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more), and one of the assigned device keys is assigned. A user device that encrypts content based on a device key, writes the content on a recording medium, or decrypts the encrypted content read from the recording medium,
The key management device stores one or more device keys in association with one or more nodes constituting an n-ary tree, and all nodes constituting the n-ary tree are valid. One media key is encrypted based on one device key commonly assigned to the user device to generate one encrypted media key, and the generated encrypted media key is stored in a recording medium. Writing, writing information indicating that all nodes constituting the n-ary tree are valid to the recording medium,
The user device,
Reading means for reading out the encrypted media key recorded on the recording medium, when judging that the information indicating that the recording medium is valid is recorded,
Decryption means for decrypting the read encrypted media key based on the device key assigned to the user device to generate a media key;
Content is generated by encrypting the content based on the generated media key and writing it to the recording medium, or decrypting the encrypted content by reading and reading the encrypted content from the recording medium based on the generated media key. A user device comprising an encryption / decryption unit. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置で用いられる鍵管理プログラムであって、前記鍵管理装置は、n分木においてルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、前記デバイス鍵を各利用者装置に割り当て、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しているデバイス鍵記憶手段を備え、
前記鍵管理プログラムは、
複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込む鍵情報生成ステップと、
リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込む無効化情報生成ステップと
を含むことを特徴とする鍵管理プログラム。A key management program used in a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more), wherein the key management device includes a part of the n-ary tree from a root. A plurality of nodes existing on the path to the leaf of the user are invalidated, the device key is assigned to each user device, and one or more nodes are associated with one or more nodes constituting the n-ary tree, respectively. Device key storage means for storing the device key of
The key management program includes:
One media key is encrypted using each of the plurality of common device keys to generate a plurality of encrypted media keys, and each common device key is assigned to a plurality of device keys associated with a non-invalidated node. The device key is a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained, and the obtained plurality of encrypted media keys are arrayed in an n-ary tree configuration. A key information generating step of writing to a recording medium according to the order;
Except for the leaf, with respect to the invalidated node, invalidation information indicating whether or not each of the lower n nodes is invalidated is generated. As a result, a plurality of pieces of invalidation information are obtained and obtained. A revocation information generating step of writing a plurality of revocation information to the recording medium in accordance with the arrangement order. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置により、1以上のデバイス鍵が割り当てられ、割り当てられた前記デバイス鍵の中の1個のデバイス鍵に基づいて、コンテンツを暗号化して記録媒体に書き込み又は前記記録媒体から読み出した暗号化コンテンツを復号する利用者装置で用いられる利用者プログラムであって、
前記鍵管理装置は、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しており、ルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込み、リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込み、
前記利用者プログラムは、
前記記録媒体に前記配列順序に従って書き込まれた前記複数の無効化情報を用いて、前記記録媒体に前記配列順序に従って書き込まれた前記複数の暗号化メディア鍵の中から、当該利用者装置に割り当てられたデバイス鍵により暗号化された暗号化メディア鍵を特定する特定ステップと、
特定した暗号化メディア鍵を、当該利用者装置に割り当てられたデバイス鍵に基づいて復号して、メディア鍵を生成する復号ステップと、
生成した前記メディア鍵に基づいてコンテンツを暗号化して前記記録媒体に書き込み、又は前記記録媒体から暗号化コンテンツを読み出し読み出した暗号化コンテンツを生成した前記メディア鍵に基づいて復号してコンテンツを生成する暗号復号ステップと
を含むことを特徴とする利用者プログラム。One or more device keys are assigned by a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more), and one device in the assigned device keys is assigned. A user program used in a user device that encrypts content based on a key and writes the content on a recording medium or decrypts the encrypted content read from the recording medium,
The key management device stores one or more device keys in association with one or more nodes forming an n-ary tree, and stores a plurality of nodes existing on a route from a root to some leaves. Has been revoked and encrypts one media key using a plurality of common device keys to generate a plurality of encrypted media keys, each of which corresponds to a node that has not been revoked. Among the attached device keys, a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained. Writing is performed on the recording medium in accordance with the arrangement order related to the configuration of the n-ary tree, and invalidation information indicating whether or not each of the lower n nodes is invalidated is generated for the invalidated nodes except for the leaves. As a result a plurality of invalidation information is obtained, a plurality of invalidation information obtained, writing on the recording medium in accordance with the arrangement order,
The user program,
Using the plurality of revocation information written on the recording medium according to the arrangement order, the plurality of encryption media keys written on the recording medium according to the arrangement order are assigned to the user device. Identifying an encrypted media key encrypted with the device key,
A decryption step of decrypting the specified encrypted media key based on the device key assigned to the user device to generate a media key;
Content is generated by encrypting the content based on the generated media key and writing it to the recording medium, or decrypting the encrypted content by reading and reading the encrypted content from the recording medium based on the generated media key. A user program comprising an encryption / decryption step. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置で用いられる鍵管理方法であって、前記鍵管理装置は、n分木においてルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、前記デバイス鍵を各利用者装置に割り当て、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しているデバイス鍵記憶手段を備え、
前記鍵管理方法は、
無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵をそれぞれ用いて、1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込む鍵情報生成ステップと、
リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込む無効化情報生成ステップと
を含むことを特徴とする鍵管理方法。A key management method used in a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more), wherein the key management device includes a part of an n-ary tree from a root. A plurality of nodes existing on the path to the leaf of the user are invalidated, the device key is assigned to each user device, and one or more nodes are associated with one or more nodes constituting the n-ary tree, respectively. Device key storage means for storing the device key of
The key management method includes:
One media key is encrypted using a device key commonly assigned to one or more user devices, among a plurality of device keys associated with a node that has not been revoked, and a plurality of encryptions are performed. A key information generating step of generating a media key and, as a result, obtaining a plurality of encrypted media keys, and writing the obtained plurality of encrypted media keys to a recording medium in accordance with the arrangement order according to the configuration of the n-ary tree;
Except for the leaf, with respect to the invalidated node, invalidation information indicating whether or not each of the lower n nodes is invalidated is generated. As a result, a plurality of pieces of invalidation information are obtained and obtained. Writing a plurality of pieces of revocation information on the recording medium in accordance with the arrangement order. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置により、1以上のデバイス鍵が割り当てられ、割り当てられた複数のデバイス鍵の中の1個のデバイス鍵に基づいて、コンテンツを暗号化して記録媒体に書き込み又は前記記録媒体から読み出した暗号化コンテンツを復号する利用者装置で用いられる利用方法であって、
前記鍵管理装置は、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しており、ルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込み、リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込み、
前記利用方法は、
前記記録媒体に前記配列順序に従って書き込まれた前記複数の無効化情報を用いて、前記記録媒体に前記配列順序に従って書き込まれた前記複数の暗号化メディア鍵の中から、当該利用者装置に割り当てられたデバイス鍵により暗号化された暗号化メディア鍵を特定する特定ステップと、
特定した暗号化メディア鍵を、当該利用者装置に割り当てられたデバイス鍵に基づいて復号して、メディア鍵を生成する復号ステップと、
生成した前記メディア鍵に基づいてコンテンツを暗号化して前記記録媒体に書き込み、又は前記記録媒体から暗号化コンテンツを読み出し読み出した暗号化コンテンツを生成した前記メディア鍵に基づいて復号してコンテンツを生成する暗号復号ステップと
を含むことを特徴とする利用方法。One or more device keys are assigned by a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more), and one of the plurality of assigned device keys is assigned. A usage method used in a user device that encrypts content based on a device key and writes the content on a recording medium or decrypts the encrypted content read from the recording medium,
The key management device stores one or more device keys in association with one or more nodes forming an n-ary tree, and stores a plurality of nodes existing on a route from a root to some leaves. Has been revoked and encrypts one media key using a plurality of common device keys to generate a plurality of encrypted media keys, each of which corresponds to a node that has not been revoked. Among the attached device keys, a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained. Writing is performed on the recording medium in accordance with the arrangement order related to the configuration of the n-ary tree, and invalidation information indicating whether or not each of the lower n nodes is invalidated is generated for the invalidated nodes except for the leaves. As a result a plurality of invalidation information is obtained, a plurality of invalidation information obtained, writing on the recording medium in accordance with the arrangement order,
The usage method,
Using the plurality of revocation information written on the recording medium according to the arrangement order, the plurality of encryption media keys written on the recording medium according to the arrangement order are assigned to the user device. Identifying an encrypted media key encrypted with the device key,
A decryption step of decrypting the specified encrypted media key based on the device key assigned to the user device to generate a media key;
Content is generated by encrypting the content based on the generated media key and writing it to the recording medium, or decrypting the encrypted content by reading and reading the encrypted content from the recording medium based on the generated media key. A use method comprising an encryption / decryption step. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置で用いられる鍵管理プログラムを記録しているコンピュータ読み取り可能な記録媒体であって、前記鍵管理装置は、n分木においてルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、前記デバイス鍵を各利用者装置に割り当て、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しているデバイス鍵記憶手段を備え、
前記鍵管理プログラムは、
複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込む鍵情報生成ステップと、
リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込む無効化情報生成ステップと
を含むことを特徴とする記録媒体。A computer-readable recording medium storing a key management program used in a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more), wherein the key management In the n-ary tree, a plurality of nodes existing on the path from the root to some leaves in the n-ary tree are invalidated, and the device key is assigned to each user apparatus, and one of the nodes constituting the n-ary tree is Device key storage means for storing at least one device key in association with each of the above nodes,
The key management program includes:
One media key is encrypted using each of the plurality of common device keys to generate a plurality of encrypted media keys, and each common device key is assigned to a plurality of device keys associated with a non-invalidated node. The device key is a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained, and the obtained plurality of encrypted media keys are arrayed in an n-ary tree configuration. A key information generating step of writing to a recording medium according to the order;
Except for the leaf, with respect to the invalidated node, invalidation information indicating whether or not each of the lower n nodes is invalidated is generated. As a result, a plurality of pieces of invalidation information are obtained and obtained. A rewriting information writing step of writing a plurality of pieces of revocation information to the recording medium in accordance with the arrangement order. n分木(nは、2以上の整数)に関連付けて1個以上のデバイス鍵を有する鍵管理装置により、1以上のデバイス鍵が割り当てられ、割り当てられた複数のデバイス鍵の中の1個のデバイス鍵に基づいて、コンテンツを暗号化して記録媒体に書き込み又は前記記録媒体から読み出した暗号化コンテンツを復号する利用者装置で用いられる利用者プログラムを記録しているコンピュータ読み取り可能な記録媒体であって、
前記鍵管理装置は、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しており、ルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込み、リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込み、
前記利用者プログラムは、
前記記録媒体に前記配列順序に従って書き込まれた前記複数の無効化情報を用いて、前記記録媒体に前記配列順序に従って書き込まれた前記複数の暗号化メディア鍵の中から、当該利用者装置に割り当てられたデバイス鍵により暗号化された暗号化メディア鍵を特定する特定ステップと、
特定した暗号化メディア鍵を、当該利用者装置に割り当てられたデバイス鍵に基づいて復号して、メディア鍵を生成する復号ステップと、
生成した前記メディア鍵に基づいてコンテンツを暗号化して前記記録媒体に書き込み、又は前記記録媒体から暗号化コンテンツを読み出し読み出した暗号化コンテンツを生成した前記メディア鍵に基づいて復号してコンテンツを生成する暗号復号ステップと
を含むことを特徴とする記録媒体。One or more device keys are assigned by a key management device having one or more device keys in association with an n-ary tree (n is an integer of 2 or more), and one of the plurality of assigned device keys is assigned. A computer-readable recording medium that records a user program used in a user device that encrypts content based on a device key and writes the content on a recording medium or decrypts the encrypted content read from the recording medium. hand,
The key management device stores one or more device keys in association with one or more nodes forming an n-ary tree, and stores a plurality of nodes existing on a route from a root to some leaves. Has been revoked and encrypts one media key using a plurality of common device keys to generate a plurality of encrypted media keys, each of which corresponds to a node that has not been revoked. Among the attached device keys, a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained. Writing is performed on the recording medium in accordance with the arrangement order related to the configuration of the n-ary tree, and invalidation information indicating whether or not each of the lower n nodes is invalidated is generated for the invalidated nodes except for the leaves. As a result a plurality of invalidation information is obtained, a plurality of invalidation information obtained, writing on the recording medium in accordance with the arrangement order,
The user program,
Using the plurality of revocation information written on the recording medium according to the arrangement order, the plurality of encryption media keys written on the recording medium according to the arrangement order are assigned to the user device. Identifying an encrypted media key encrypted with the device key,
A decryption step of decrypting the specified encrypted media key based on the device key assigned to the user device to generate a media key;
Content is generated by encrypting the content based on the generated media key and writing it to the recording medium, or decrypting the encrypted content by reading and reading the encrypted content from the recording medium based on the generated media key. A recording medium comprising an encryption / decryption step. コンピュータ読み取り可能な記録媒体であって、
n分木(nは、2以上の整数)の構成に係る配列順序に従って、複数の暗号化メディア鍵及び複数の無効化情報を記録しており、
ここで、前記複数の暗号化メディア鍵及び前記複数の無効化情報は、鍵管理装置により生成され、記録され、前記鍵管理装置は、n分木に関連付けて1個以上のデバイス鍵を有し、前記デバイス鍵を利用者装置に割り当て、
前記鍵管理装置は、n分木を構成する1個以上のノードにそれぞれ対応付けて1個以上のデバイス鍵を記憶しており、ルートから一部のリーフへの経路上に存在する複数のノードは、無効化されており、複数の共通デバイス鍵をそれぞれ用いて1個のメディア鍵を暗号化して複数の暗号化メディア鍵を生成し、各共通デバイス鍵は、無効化されていないノードに対応付けられた複数のデバイス鍵のうち、1以上の利用者装置に共通に割り当てられたデバイス鍵であり、その結果複数の暗号化メディア鍵が得られ、得られた複数の暗号化メディア鍵を、n分木の構成に係る配列順序に従って記録媒体に書き込み、リーフを除き、無効化されたノードについて、下位のn個のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記配列順序に従って前記記録媒体に書き込む
ことを特徴とする記録媒体。A computer-readable recording medium,
A plurality of encrypted media keys and a plurality of pieces of revocation information are recorded in accordance with the arrangement order according to the configuration of an n-ary tree (n is an integer of 2 or more).
Here, the plurality of encrypted media keys and the plurality of revocation information are generated and recorded by a key management device, and the key management device has one or more device keys associated with the n-ary tree. Assigning the device key to a user device,
The key management device stores one or more device keys in association with one or more nodes forming an n-ary tree, and stores a plurality of nodes existing on a route from a root to some leaves. Has been revoked and encrypts one media key using a plurality of common device keys to generate a plurality of encrypted media keys, each of which corresponds to a node that has not been revoked. Among the attached device keys, a device key commonly assigned to one or more user devices. As a result, a plurality of encrypted media keys are obtained. Writing is performed on the recording medium in accordance with the arrangement order related to the configuration of the n-ary tree, and invalidation information indicating whether or not each of the lower n nodes is invalidated is generated for the invalidated nodes except for the leaves. As a result a plurality of invalidation information is obtained, a plurality of invalidation information obtained, a recording medium and writes to the recording medium in accordance with the arrangement order. 対象物の無効化を管理する無効化管理装置と対象物が無効か否かを判定する無効判定装置とから構成される認証システムであって、
前記無効化管理装置は、
木構造の複数のリーフが、それぞれ複数の対象物に対応し、各リーフを示すリーフ識別子は、各対象物を識別し、前記対象物のうち少なくとも1個の対象物が無効化されており、無効化された対象物を識別するリーフ識別子により示されるリーフからルートに至るまでの全てのノードは無効化されており、前記木構造を構成する複数のノードを有する木構造記憶手段と、
リーフを除く無効化された各ノードについて、下位のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記木構造の構成に係る配列順序に従って配列して無効化リストを生成する無効化リスト生成手段と、
生成した無効化リストを出力する出力手段とを含み、
前記無効判定装置は、
前記木構造の1個のリーフを示すリーフ識別子であり、対象物を識別する識別子を取得する識別子取得手段と、
前記無効化リストを取得するリスト取得手段と、
取得した前記無効化リスト内に配列されている前記無効化情報を用いて、ルートから前記リーフに至る経路の構築を試み、構築された経路内に前記リーフが含まれる場合に、前記対象物が無効であると判断し、前記リーフが含まれない場合に、前記対象物が有効であると判断する判定手段と、
前記対象物が無効であると判断される場合に、前記対象物の利用を禁止し、前記対象物が有効であると判断される場合に、前記対象物を利用する利用手段とを含む
ことを特徴とする認証システム。An authentication system comprising an invalidation management device that manages invalidation of an object and an invalidation determination device that determines whether the object is invalid,
The invalidation management device,
A plurality of leaves in a tree structure correspond to a plurality of objects, respectively, a leaf identifier indicating each leaf identifies each object, and at least one of the objects is invalidated, Tree structure storage means having a plurality of nodes constituting the tree structure, wherein all nodes from the leaf indicated by the leaf identifier identifying the invalidated object to the root are invalidated,
For each invalidated node excluding the leaf, invalidation information indicating whether each of the lower nodes is invalidated is generated, and as a result, a plurality of invalidation information is obtained, and the obtained invalidation information is obtained. Revocation information, revocation list generating means for generating an revocation list by arranging according to the arrangement order related to the configuration of the tree structure,
Output means for outputting the generated revocation list.
The invalidity determination device,
Identifier acquisition means for acquiring a leaf identifier indicating one leaf of the tree structure and identifying an object;
List acquisition means for acquiring the revocation list,
Using the revocation information arranged in the obtained revocation list, an attempt is made to construct a route from a root to the leaf, and when the leaf is included in the constructed route, the object is Judging means for judging that the object is invalid, and judging that the object is valid when the leaf is not included,
When the object is determined to be invalid, use of the object is prohibited, and when it is determined that the object is valid, a utilization unit that uses the object is included. Characteristic authentication system. 対象物の無効化を管理する無効化管理装置であって、
木構造の複数のリーフが、それぞれ複数の対象物に対応し、各リーフを示すリーフ識別子は、各対象物を識別し、前記対象物のうち少なくとも1個の対象物が無効化されており、無効化された対象物を識別するリーフ識別子により示されるリーフからルートに至るまでの全てのノードは無効化されており、前記木構造を構成する複数のノードを有する木構造記憶手段と、
リーフを除く無効化された各ノードについて、下位のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記木構造の構成に係る配列順序に従って配列して無効化リストを生成する無効化リスト生成手段と、
生成した無効化リストを出力する出力手段と
を備えることを特徴とする無効化管理装置。An invalidation management device that manages invalidation of an object,
A plurality of leaves in a tree structure correspond to a plurality of objects, respectively, a leaf identifier indicating each leaf identifies each object, and at least one of the objects is invalidated, Tree structure storage means having a plurality of nodes constituting the tree structure, wherein all nodes from the leaf indicated by the leaf identifier identifying the invalidated object to the root are invalidated,
For each invalidated node excluding the leaf, invalidation information indicating whether each of the lower nodes is invalidated is generated, and as a result, a plurality of invalidation information is obtained, and the obtained invalidation information is obtained. Revocation information, revocation list generating means for generating an revocation list by arranging according to the arrangement order related to the configuration of the tree structure,
Output means for outputting the generated revocation list. 対象物が無効か否かを判定する無効判定装置であって、
無効化管理装置は、木構造を構成する複数のノードを有し、前記木構造の複数のリーフは、それぞれ複数の対象物に対応し、各リーフを示すリーフ識別子は、各対象物を識別し、前記対象物のうち少なくとも1個の対象物が無効化されており、無効化された対象物を識別するリーフ識別子により示されるリーフからルートに至るまでの全てのノードは無効化されており、リーフを除く無効化された各ノードについて、下位のノードのそれぞれが無効化されているか否かを示す無効化情報を生成し、その結果複数の無効化情報が得られ、得られた複数の無効化情報を、前記木構造の構成に係る配列順序に従って配列して無効化リストを生成し、生成した無効化リストを出力し、
前記無効判定装置は、
前記木構造の1個のリーフを示すリーフ識別子であり、対象物を識別する識別子を取得する識別子取得手段と、
前記無効化管理装置から前記無効化リストを取得するリスト取得手段と、
取得した前記無効化リスト内に配列されている前記無効化情報を用いて、ルートから前記リーフに至る経路の構築を試み、構築された経路内に前記リーフが含まれる場合に、前記対象物が無効であると判断し、前記リーフが含まれない場合に、前記対象物が有効であると判断する判定手段と、
前記対象物が無効であると判断される場合に、前記対象物の利用を禁止し、前記対象物が有効であると判断される場合に、前記対象物を利用する利用手段と
を備えることを特徴とする無効判定装置。An invalidity determination device that determines whether an object is invalid,
The invalidation management device has a plurality of nodes constituting a tree structure, a plurality of leaves of the tree structure respectively correspond to a plurality of objects, and a leaf identifier indicating each leaf identifies each object. , At least one of the objects is invalidated, all nodes from the leaf indicated by the leaf identifier identifying the invalidated object to the root are invalidated, For each invalidated node excluding the leaf, invalidation information indicating whether each of the lower nodes is invalidated is generated, and as a result, a plurality of invalidation information is obtained, and the obtained invalidation information is obtained. , The revocation information is arranged according to the arrangement order according to the configuration of the tree structure to generate a revocation list, and the generated revocation list is output.
The invalidity determination device,
Identifier acquisition means for acquiring a leaf identifier indicating one leaf of the tree structure and identifying an object;
List acquisition means for acquiring the revocation list from the revocation management device,
Using the revocation information arranged in the obtained revocation list, an attempt is made to construct a route from a root to the leaf, and when the leaf is included in the constructed route, the object is Judging means for judging that the object is invalid, and judging that the object is valid when the leaf is not included,
When the object is determined to be invalid, use of the object is prohibited, and when it is determined that the object is valid, a use unit that uses the object is provided. Characteristic invalidity determination device. 対象物の無効化に係る無効化リストを記録しているコンピュータ読取り可能な記録媒体であって、
無効化管理装置は、
木構造の複数のリーフが、それぞれ複数の対象物に対応し、各リーフを示すリーフ識別子は、各対象物を識別し、前記対象物のうちいずれも無効化されておらず、全てのノードは、無効化されておらず、前記木構造を構成する複数のノードを有する木構造記憶手段と、
木構造を構成する全てのノードは、無効化されていないと判断し、無効化された対象物が存在しないことを示す無効化リストを生成する無効化リスト生成手段とを含み、
前記記録媒体は、生成された前記無効化リストを記録している
ことを特徴とする記録媒体。A computer-readable recording medium recording a revocation list according to the revocation of the object,
The invalidation management device is
A plurality of leaves in a tree structure correspond to a plurality of objects, respectively, a leaf identifier indicating each leaf identifies each object, none of the objects is invalidated, and all nodes are Tree structure storage means having a plurality of nodes that are not invalidated and constitute the tree structure;
All nodes constituting the tree structure include a revocation list generation unit that determines that the revocation list has not been revoked and generates a revocation list indicating that the revoked object does not exist;
The recording medium, wherein the generated revocation list is recorded.
JP2002303509A 2001-10-26 2002-10-17 Copyright protection system, key management device and user device Expired - Fee Related JP4220213B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002303509A JP4220213B2 (en) 2001-10-26 2002-10-17 Copyright protection system, key management device and user device

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001-329863 2001-10-26
JP2001329863 2001-10-26
JP2002303509A JP4220213B2 (en) 2001-10-26 2002-10-17 Copyright protection system, key management device and user device

Publications (3)

Publication Number Publication Date
JP2003204320A JP2003204320A (en) 2003-07-18
JP2003204320A5 true JP2003204320A5 (en) 2004-07-08
JP4220213B2 JP4220213B2 (en) 2009-02-04

Family

ID=27666562

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002303509A Expired - Fee Related JP4220213B2 (en) 2001-10-26 2002-10-17 Copyright protection system, key management device and user device

Country Status (1)

Country Link
JP (1) JP4220213B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7340603B2 (en) * 2002-01-30 2008-03-04 Sony Corporation Efficient revocation of receivers
KR101022465B1 (en) 2003-11-13 2011-03-15 삼성전자주식회사 Method of copying and decrypting encrypted digital data and apparatus therefor
CN100568366C (en) 2004-01-15 2009-12-09 松下电器产业株式会社 Content playback unit
JP2005311490A (en) * 2004-04-19 2005-11-04 Sony Corp Communication system and method for conducting secure communication
KR100717005B1 (en) * 2005-04-06 2007-05-10 삼성전자주식회사 Method and apparatus for determining revocation key, and method and apparatus for decrypting thereby
KR100765750B1 (en) 2005-05-09 2007-10-15 삼성전자주식회사 Method and apparatus for encrypting/decrypting efficiently according to broadcast encryption scheme
KR100803596B1 (en) 2005-11-25 2008-02-19 삼성전자주식회사 Method and apparatus for decryption using external device or service on revocation mechanism, method and apparatus for supporting decryption therefor

Similar Documents

Publication Publication Date Title
KR100859622B1 (en) Information processing system and method
KR100859623B1 (en) Information processing system and method
KR100852305B1 (en) Information processing system and method
CN102623030B (en) Recording device, and content-data playback system
JP4870727B2 (en) Data protection system that protects data by applying encryption
CN100490369C (en) System and mehtod for processing information using encryption key block
CN1901446B (en) System and method for processing information using encryption key block
JP4574175B2 (en) Copyright protection system, key data generation device and terminal device
ES2277919T3 (en) INFORMATION PROCESSING SYSTEM AND METHOD.
JP2002215465A5 (en)
JP2004320719A5 (en)
JP2012248178A (en) Secure removable media and method for managing the same
JP2003158514A5 (en)
JP2003204320A5 (en)
JP4199472B2 (en) Data protection system that protects data by applying encryption
JP4220213B2 (en) Copyright protection system, key management device and user device
JP4615444B2 (en) Copyright protection system
JP2003204321A (en) Literary work protective system and key management system
JP5296195B2 (en) Content data reproduction system and recording apparatus
JP2005020703A5 (en)
WO2004114584A1 (en) Copyright protection system, power residue calculation device, and method
JP2004118830A (en) Limited-regional reproducing system
WO2005124762A1 (en) Recording medium, and contents reproduction system
JP2002198951A (en) System and method for processing information, and information recording medium and program recording medium
JP2004032707A (en) Revocation list preparation apparatus for public key certificate, revocation discrimination apparatus, and authentication system