JP2004326277A - Method for distributing data - Google Patents
Method for distributing data Download PDFInfo
- Publication number
- JP2004326277A JP2004326277A JP2003117821A JP2003117821A JP2004326277A JP 2004326277 A JP2004326277 A JP 2004326277A JP 2003117821 A JP2003117821 A JP 2003117821A JP 2003117821 A JP2003117821 A JP 2003117821A JP 2004326277 A JP2004326277 A JP 2004326277A
- Authority
- JP
- Japan
- Prior art keywords
- information
- access
- time
- storage medium
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Television Signal Processing For Recording (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、記憶媒体に格納された動画や音楽などのコンテンツデータなどに対する再生期限管理に係り、再生期限管理の制御を適用した記憶媒体に対する再生ライセンスなどのデータを配信する方法に関する。
【0002】
【従来の技術】
メモリカードなどの記憶媒体に記憶された画像データおよび音楽データレンタルされる場合、予め設定された再生期限内であれば、ユーザは、再生装置を用いて画像および音楽を再生できる。ユーザの再生装置において検知された時刻と、記憶媒体にデジタルデータを記憶する時に書込まれた再生期限情報とに基づいて、再生が管理される。ユーザの再生装置により検知される現在時刻が改ざんされると、再生期限を経過しているにもかかわらず、コンテンツを再生することができる。
【0003】
再生装置の時刻改ざんに対する対策として、例えば特許文献1に記載された技術が有る。すなわち、データ書込み装置は、データ読取り装置によりデータを出力可能な期限を設定して、記憶媒体に、データと、期限と、記憶媒体へのデータおよび期限の書込み日時とを書込む。データ読取り装置は、記憶媒体から読取った期限と書込み日時と、検知した現在日時とに基づいて、記憶媒体に書込まれたデータの出力の可否を判断して、データの出力が可能であると、記憶媒体からデータを読取って出力する。データを出力できる期限が経過したときに、データ読取り装置の検知手段により検知される現在日時を書込み日時以前に変更して、不正にデータの出力を行なおうとする場合を想定する。この場合、不正に変更された現在日時が、データが書込まれた日時以前であるため、判断手段は、データの出力が可能と判断しない。更に前記書き込み日時は再生処理の終了時に現在時刻に更新するようになっている。
【0004】
【特許文献1】
特開2002−259917号公報(段落99、図7)
【0005】
【発明が解決しようとする課題】
上記特許文献1の技術によればメモリカード等の記憶媒体に日時データを記録することによって端末内部の時計を操作されても期限付きコンテンツの不正な再生を抑制することができるが、充分ではないことが本発明者によって見出された。第1に、記憶媒体の現在時刻を再生終了時点で更新するだけでは不十分な場合が想定される。例えばコンテンツ再生終了直前に電源が遮断された場合には記憶媒体の現在時刻が全く更新されない虞がある。第2に、期限付きコンテンツの不正再生抑制機能は再生装置側が備えるので、再生装置を変えれば依然として不正アクセスが可能になる。
【0006】
本発明の目的は、再生装置や端末装置内部の時計の操作による期限付きデータの不正アクセスを効果的に抑制する技術を提供することにある。
【0007】
本発明の前記並びにその他の目的と新規な特徴は本明細書の記述及び添付図面から明らかになるであろう。
【0008】
【課題を解決するための手段】
本願において開示される発明のうち代表的なものの概要を簡単に説明すれば下記の通りである。
【0009】
〔1〕本発明の第1の観点はネットワークを介する認証を受けてデータを配信する。このデータ配信方法は、配信サーバに接続可能なデータ端末装置を用いて、前記データ端末装置に装着された記憶媒体に所定の情報を格納する方法であって、復号鍵の受領要求と共に記憶媒体が保有する証明情報を前記配信サーバに送出する第1処理と、前記第1処理に応答して返される情報を受領し、これに基いて、前記記憶媒体に、前記所定の情報として、利用情報を復号するための復号鍵と利用情報に対するアクセス制限を行なう制限情報とを格納する第2処理とを含む。前記制限情報にはアクセス期限情報とアクセス時間情報とが含まれ、前記アクセス時間情報の初期値は前記受領した情報に含まれる時間情報であり、前記証明情報は特定の記憶媒体であることを表す情報である。前記特定の記憶媒体は、外部より供給される時刻情報と前記制限情報とに基いて前記利用情報のアクセス可否を判定し且つ前記時刻情報に基づいて前記アクセス時間情報を更新するアクセス判定動作を行ない、前記アクセス可否の判定において前記時刻情報がアクセス期限情報により示されるアクセス期限よりも後であり、又は前記時刻情報が前記アクセス時間情報により示されるアクセス時間よりも前である場合にアクセス否と判定し、その他の場合をアクセス可と判定し、前記アクセス判定動作を少なくとも前記利用情報に対するアクセス開始時とアクセス終了時とに行なう。
【0010】
上記手段において、利用情報(コンテンツデータ)の再生時において記憶媒体にはアクセス時間情報のような日時データが更新して記録されるから、更新毎に、アクセス時間情報により示される時間と期限情報により示される時間差は狭められ、最後にアクセス時間情報により示される時間が期限情報により示される時間を超える。一旦超えれば利用不可にされる。最早、ユーザーは端末内の時計を利用制限より前の日時に戻しても再生は不可とされる。これにより、再生装置などの端末内部の時計が操作されても期限付き利用情報の不正な再生を抑制することが可能になる。アクセス時間情報の更新はアクセス終了時点だけでなくアクセス開始時点でも行なわれるから、利用情報の再生終了直前に電源が遮断されても少なくとも1回のアクセス時間情報の更新は保証される。期限付き利用情報の不正再生抑制機能は記憶媒体が備えるので、再生装置を変えても依然として不正アクセス抑止機能を働かせることは容易である。したがって、上記データ配信方法を用いれば、その証明情報に対する認証により、記憶媒体を介する再生ライセンスの頒布もしくは販売対象が、前記利用期限判定機能を有する記憶媒体に限定されるから、期限付きコンテンツデータに対する不正アクセスの抑止を支援することができる。
【0011】
〔2〕本発明の第2の観点はデータ端末装置による認証を受けてデータを配信する。このデータ配信方法は、データ端末装置を用いてこれに装着された記憶媒体に所定の情報を格納する方法であって、復号鍵の発行要求に応答して記憶媒体から証明情報を取得し、取得した証明情報に対する認証の可否を判定する第1処理と、前記証明情報を認証した後に、前記記憶媒体に、前記所定の情報として、利用情報を復号するための復号鍵と利用情報に対するアクセス制限を行なう制限情報とを格納する第2処理とを含む。前記制限情報にはアクセス期限情報とアクセス時間情報とが含まれ、前記アクセス時間情報の初期値は所定に時間情報である。前記証明情報は特定の記憶媒体であることを表す情報である。前記特定の記憶媒体は上記同様の不正アクセス抑止機能付きである。このデータ配信方法によっても上記同様、その証明情報に対する認証により、記憶媒体を介する再生ライセンスの頒布もしくは販売対象が、前記利用期限判定機能を有する記憶媒体に限定されるから、期限付きコンテンツデータに対する不正アクセスの抑止を支援することができる。
【0012】
〔3〕前記不正アクセス抑止機能付きの前記特定の記憶媒体において、前記アクセス判定動作は、少なくとも記憶媒体へ動作電源を投入するときと動作電源を遮断するときに行なうようにしてもよい。
【0013】
〔4〕前記所定の情報には復号対象とされるコンテンツデータを含んでもよい。含まない場合には、CD−ROMなどの他の記憶媒体によってコンテンツデータを配布すればよい。
【0014】
前記特定の記憶媒体は、例えば電気的に書換え可能なフラッシュメモリと制御回路を有するメモリカードである。
【0015】
【発明の実施の形態】
図1にはコンテンツデータ配信システムが例示される。コンテンツサーバ1が接続するネットワーク2には代表的に示される利用期限付きデータ端末装置(データ処理装置)3が接続される。利用期限付きデータ端末装置(単にデータ端末装置とも称する)3はダウンロード再生部(ダウンロード部及び再生部)10、利用期限判定部(利用制限部)11、及び端末内部時計12を有する。データ端末装置3には記憶媒体として不揮発性記憶装置(単にメモリカードとも称する)13が着脱自在にされる。メモリカード13はフラッシュメモリなどの電気的に消去及び書き込み可能な不揮発性メモリ(不揮発性記憶回路)14を備える。
【0016】
データ端末装置3によるコンテンツデータのダウンロード機能の概略を説明する。データ端末装置3にメモリカード13が装着されて、データ端末装置3にコンテンツデータのダウンロードが指示されると、データ端末装置3は、コンテンツサーバ1から利用期限付きコンテンツデータ(利用情報)とそれに対応した再生ライセンス(利用情報ライセンス)をダウンロードし、メモリカードに書き込む。更に、サーバ1からダウンロードの日時データを取得し、メモリカード13に書き込む。メモリカード13に書き込まれた日時データがカード日時データである。特に制限されないが、ダウンロードされた日時データは利用制限判定部でライセンスフォーマットに組み込まれてセキュアライセンスとして不揮発性メモリ14のセキュア領域に格納される。特に制限されないが、利用期限もセキュアライセンスが保有する。また、特に制限されないが、再生ライセンスも不揮発性メモリ14のセキュア領域に格納される。
【0017】
データ端末装置3による期限付きコンテンツデータの再生機能について概略を説明する。データ端末装置3に再生が指示されるとデータ端末装置3はメモリカード13から再生ライセンスを読み出す。読み出した再生ライセンスから利用期限を取出し、コンテンツデータの利用期限を利用期限判定部11に送る。利用期限部11は、コンテンツデータの利用期限(アクセス期限情報)、端末内部時計12が示す端末日時データ(時刻情報)、カードが保有するカード日時データ(アクセス時間情報)とによって、アクセス可否を判定する。即ち、前記端末日時データにより示される日時がアクセス期限情報により示されるアクセス期限よりも後であり、又は前記端末日時データにより示される日時がカード日時データにより示される日時よりも前である場合にアクセス否と判定し、その他の場合をアクセス可と判定する。アクセス可であればメモリカード13のコンテンツデータを読み出して再生する。アクセス否であれば再生ライセンスなどを消去する。利用期限判定部11は前記アクセス可否判定と共に、前記端末日時データに基づいてメモリカード13内のカード日時データを更新する。
【0018】
カード日時データの更新は、上記アクセス可否判定時に代表されるアクセス開始時だけでなく、アクセス終了時にも行なう。また、例えば、少なくともメモリカードへ動作電源を投入するときと動作電源を遮断するときに行なうようにしてもよい。
【0019】
図2にはコンテンツデータ配信システムに別のデータ端末装置4が接続されている例が示される。データ端末装置4はダウンロード再生部(ダウンロード部及び再生部)10と端末内部時計12を有する。データ端末装置3には記憶媒体として不揮発性記憶装置(単にメモリカードとも称する)15が着脱自在にされる。メモリカード15は利用期限判定部(利用制限部)16と不揮発性メモリ14を備える。
【0020】
データ端末装置4によるコンテンツデータのダウンロード機能の概略を説明する。データ端末装置4にメモリカード15が装着されて、データ端末装置4にコンテンツデータのダウンロードが指示されると、データ端末装置4は、コンテンツサーバ1から利用期限付きコンテンツデータ(利用情報)とそれに対応した再生ライセンス(利用情報ライセンス)をダウンロードし、メモリカード15に書き込む。更に、サーバ1からダウンロードの日時データを取得し、メモリカード15に書き込む。メモリカード15に書き込まれた日時データがカード日時データである。特に制限されないが、ダウンロードされた日時データは利用制限判定部でライセンスフォーマットに組み込まれてセキュアライセンスとして不揮発性メモリ14のセキュア領域に格納される。特に制限されないが、再生ライセンスも不揮発性メモリ14のセキュア領域に格納される。
【0021】
期限付きコンテンツデータの再生機能について概略を説明する。データ端末装置4に再生が指示されるとデータ端末装置4は利用期限判定部16にメモリカード15の再生ライセンスを取得させる。利用期限判定部16は読み出した再生ライセンスから利用期限を取出す。利用期限判定部16は、コンテンツデータの利用期限(アクセス期限情報)、端末内部時計12が示す端末日時データ(時刻情報)、不揮発性メモリ14が保有するカード日時データ(アクセス時間情報)とによって、アクセス可否を判定する。即ち、前記端末日時データにより示される日時がアクセス期限情報により示されるアクセス期限よりも後であり、又は前記端末日時データにより示される日時がカード日時データにより示される日時よりも前である場合にアクセス否と判定し、その他の場合をアクセス可と判定する。アクセス可であれば利用期限判定部16はダウンロード再生部10にメモリカード13のコンテンツデータを読み出させて再生可能とする。利用期限判定部16は前記アクセス可否判定と共に、前記端末日時データに基づいてメモリカード内のカード日時データを更新する。
【0022】
カード日時データの更新は、上記アクセス可否判定時に代表されるアクセス開始時だけでなく、アクセス終了時にも行なう。また、例えば、少なくともメモリカードへ動作電源を投入するときと動作電源を遮断するときに行なうようにしてもよい。
【0023】
図3には前記端末日時データに基づいて更新されるカード日時データによる利用制限の概要が例示される。コンテンツデータをダウンロードした日時(借りた日)Ts、利用期限(返却日)Teは固定である。現在とある時間は端末日時データが示す時間Tcである。アクセス日時とあるのがカード日時データが示す時間Tacsである。カード日時データが更新されなければそれが示す日時はコンテンツデータをダウンロードした日時(借りた日)Tsに固定される。仮に(a)のように、カード日時データTacsが更新されなければ現在日時Tcが借りた日Tsと利用期限Teの間の何処にあっても利用可能となり、例えば(b)のように現在日時Tcが利用期限Teを過ぎれば利用不可になる。しかし、端末時計を操作して現在日時を借りた日と利用期限の間に移動すれば、コンテンツデータは不正に利用可能になる。これに対し図1、図2では前記端末日時データに基づいてメモリカード内のカード日時データを更新するから、(c)のようにアクセス日時とあるカード日時データTacsが示す日時から利用期限までの時間は更新毎に狭められ、最後に利用期限Teを超える。一端超えれば利用不可にされる。最早、ユーザーは端末内の時計を利用制限より前の日時に戻しても再生は不可とされる。これにより、データ端末装置内部の時計が操作されても期限付きコンテンツの不正な再生を充分に抑制することが可能になる。
【0024】
カード日時データの更新は、アクセス終了時点だけでなくアクセス開始時点でも行なわれるから、利用情報の再生終了直前に電源が遮断されても少なくとも1回のアクセス時間情報の更新は保証される。図2のように、期限付き利用情報の不正再生抑制機能は不揮発性記憶装置が備えるので、再生装置を変えても依然として不正アクセス抑止機能を働かせることは容易である。
【0025】
図4には前記利用期限判定部11と端末内部時計12の具体例が示される。20で示される回路ブロックは、少なくとも前記利用期限判定部11と端末内部時計12を実現するマイクロコンピュータとされる。図4にはマイクロコンピュータ20の内部を機能ブロックによって示している。マイクロコンピュータ20は、日時データ取得作成部21、暗号化部22、ライセンス作成部23、セキュア領域アクセス部24、日時データ取り出し部25、復号部26、利用制限判定部26、及び端末内時計回路27を有する。
【0026】
不揮発性メモリ14はセキュア領域(アクセス制限領域)14Aと非セキュア領域(アクセス非制限領域)14Bを有する。セキュア領域14Aに対する書き込みアクセスはメモリカード13内の証明情報に対しメモリカード外部例えば端末装置20やサーバ1による認証を受けて可能にされる。外部からセキュア領域14Aに対する読み出しは外部から与えられる証明情報に対して認証を得ることを条件に許可される。図示は省略するが、メモリカード13は不揮発性メモリ14のアクセス制御と外部とのインタフェース制御を行なうカードコントローラを有している。セキュア領域アクセス部24はそのカードコントローラを介してインタフェースされる。
【0027】
この例では、カード日時データ暗号化部22で暗号化した後、これをライセンス作成部23でセキュアライセンスに埋め込んで、セキュア領域アクセス部24の制御で不揮発性メモリ14のセキュア領域14Aに記録するようになっている。
【0028】
前記日時データ取得作成部21はサーバ1がコンテンツデータやライセンスをダウンロードしたときサーバ1から日時データ(ダウンロード日時データ)を取得する回路である。取得した日時データのフォーマットは図5に例示されるように、16バイトのデータで構成される。
【0029】
前記暗号化部22はサーバから取得した前記日時データを暗号化する。暗号化方式は、特に制限されないが、コンテンツの暗号化復号処理で用いているのと同じAES(Advanced Encryption Standard)方式を用いる。日時データを暗号化する鍵はメモリカード固有の属性情報、例えば、カードのシリアル番号等を用いる。
【0030】
前記ライセンス作成部23は、取得して暗号化した日時データを例えばライセンスフォーマット中のコンテンツ鍵の部分に埋め込んでセキュアライセンスを作成する。
【0031】
前記セキュア領域アクセス部24は日時データが含まれているセキュアライセンスを不揮発性メモリのセキュア領域14Aに書き込む。セキュア領域14Aへの書き込みには前記書き込み認証が必要とされる。前記日時データ取り出し部25は暗号化された日時データが含まれるライセンスをセキュア領域から読み出し、暗号化された日時データを取出す。セキュア領域14Aの読み出しには前記読み出し認証が必要とされる。
【0032】
復号部26はセキュアライセンスから取出した暗号化された日時データをAESで復号する。復号する鍵は暗号部22で用いた鍵と同じものを使用する。
【0033】
前記利用制限判定部27は、前述の如く、利用期限が切れていないのかを判定すると共に、端末内の時計がユーザーによって操作されていないかを判定する。その判定内容は図1を参照して既に説明した。操作されていると判定したら、カード内のライセンスを全て消去する。端末内時計回路28は端末内の時計から年月日時間を取得する。
【0034】
図4の各機能ブロックは、特に図示はしないが、中央処理装置、浮動小数点演算ユニット、それらの処理プログラムを保有するROM(リード・オンリ・メモリ)、中央処理装置のワーク領域などに利用されるRAM(ランダム・アクセス・メモリ)、リアルタイムクロック回路、タイマ、及び入出力回路などによって構成される。
【0035】
図4の回路の動作を説明する。最初に、サーバ1と通信したときやコンテンツ、ライセンスをダウンロードしたときの動作を説明する。
【0036】
サーバ1と接続したとき、サーバ1から日時データを日時データ取得・作成部21で取得する。取得した日時データはライセンスフォーマット中のコンテンツ鍵の領域に組込み可能にするために、日時データは例えば図5に例示する16バイトのデータ構成とされる。日時が2002年10月10日(木)15時30分45秒00のとき、この日時データを16進で表すと、“07D2 000A 000A 0004 000F 001E 002D 0000 h”となる。
【0037】
暗号化部22で、日時データ取得・作成部21で作成した16バイトの日時データをAES方式で暗号する。暗号化する鍵はカード固有のシリアル番号を使用する。
【0038】
ライセンス作成部23で、暗号化した日時データをライセンス内のコンテンツ鍵の部分に埋め込み、1つのライセンスを作成する。作成されたライセンスは、セキュア領域アクセス部24によってメモリカードのセキュア領域に書き込まれる。セキュア領域が128個のライセンスを記録できる場合には、最後の128番目に日時データを含むライセンスを書き込む。セキュア領域14Aに対する書き込みは前記書き込み認証を受けて可能にされる。
【0039】
次に利用制限判定処理の動作について説明する。セキュア領域アクセス部24で、セキュア領域14Aから暗号化されている日時データが含まれているセキュアライセンスを読み出す。セキュア領域に対するリードアクセスは前記読み出し認証を受けて可能にされる。日時データ取出し部25で、読み出したライセンスから暗号化されている日時データ16バイトを取出す。復号化部26で、16バイトの日時データをAES方式で復号する。復号化する鍵は暗号化したときと同じカード固有のシリアル番号を使用する。次いで、端末内時計取得部28で、端末内の日時を取得する。利用制限判定部27で、利用期限、端末の日時データ、カードの日時データを用いて期限が切れていないのか、不正な操作が行われていないのかを判定する。
【0040】
次に日時データの更新処理動作について説明する。カード内には電源がないため、カード自身では日時データを更新することはできない。したがって、上記で説明したようにサーバーとの接続時やコンテンツの再生、表示時(利用制限判定処理のとき)に日時データを更新する。しかし、サーバーと接続をしない場合やコンテンツの再生表示を行わない場合には長時間更新されない場合がある。日時データを更新するタイミングは、前述のアクセス開始時と終了時の他に、メモリカードがデータ端末に挿入されたときと離脱されたとき、或はメモリカードがデータ端末に装着されている状態でデータ端末の電源オンが指示されたときと、電源オフが指示されたとき等であってよい。データ端末の電源をオフにするときには、マイクロコンピュータ内部のタイマーで測定した時間をカードに記録されている日時データに加算することにより更新すればよい。
【0041】
図6には前記メモリカード15に内蔵された前記利用期限判定部16の具体例が示される。前記利用期限判定部16はマイクロコンピュータ30によって構成される。図6ではマイクロコンピュータ30は外部インタフェースコントローラ31及びメモリコントローラ32と共にカードコントローラを構成する。図6にはマイクロコンピュータ30をその一部の機能である利用期限判定部16を構成する機能ブロックによって図示している。マイクロコンピュータ30によって実現される図示された機能ブロックは、暗号化部33、ライセンス作成部34、日時データ取り出し部35、復号部36、利用期限取り出し部37、及び利用制限判定部38である。
【0042】
外部インタフェースコントローラ31はマイクロコンピュータ30の指示に従って所定のメモリカードインタフェース仕様に準拠した外部インタフェース制御を行なう。メモリコントローラ32はマイクロコンピュータ30の指示に従って不揮発性メモリ14に対する消去、書き込み及び読み出しのアクセス制御を行なう。
【0043】
特に図示はしないが、マイクロコンピュータ30は中央処理装置、浮動小数点演算ユニット、それらの処理プログラムを保有するROM(リード・オンリ・メモリ)、中央処理装置のワーク領域などに利用されるRAM(ランダム・アクセス・メモリ)、リアルタイムクロック回路、タイマ、及び入出力回路などによって構成される。マイクロコンピュータ30は前記利用期限判定部16を実現すると共に、その動作プログラムに従って認証のための演算処理や不揮発性メモリ14をアクセスするためのアドレス演算処理等を行なう機能を有する。
【0044】
不揮発性メモリ14はセキュア領域(アクセス制限領域)14Aと非セキュア領域(アクセス非制限領域)14Bを有する。セキュア領域14Aに対する書き込みアクセスはメモリカード15内の証明情報に対しメモリカード外部例えば端末装置20やサーバ1による認証を受けて可能にされる。外部からセキュア領域14Aに対する読み出しは外部から与えられる証明情報に対して認証を得ることを条件に許可される。メモリカード15内の前記証明情報は、そのメモリカード15が図2及び図6で説明した利用期限判定機能などを備えたメモリカードであり、その他のメモリカードと区別可能な情報を含んでいる。
【0045】
この例では、カード日時データ暗号化部33で暗号化した後、これをライセンス作成部34でセキュアライセンスに埋め込み、メモリコントローラ32を介して不揮発性メモリ14のセキュア領域14Aに記録するようになっている。特に制限されないが、コンテンツの利用期限もセキュアライセンスが保有する。
【0046】
図2のダウンロード再生部10がコンテンツデータやライセンスをサーバからダウンロードしたときサーバ1から日時データ(ダウンロード日時データ)が取得される。日時データはコンテンツライセンスに付随する。取得した日時データのフォーマットは図5に例示されるように、16バイトのデータで構成される。
【0047】
前記暗号化部33はサーバから取得した前記日時データを受取って暗号化する。暗号化方式は、特に制限されないが、コンテンツの暗号化復号処理で用いているのと同じAES(Advanced Encryption Standard)方式を用いる。日時データを暗号化する鍵はメモリカード固有の属性情報、例えば、カードのシリアル番号等を用いる。
【0048】
前記ライセンス作成部34は、取得して暗号化した日時データを例えばライセンスフォーマット中のコンテンツ鍵の部分に埋め込んでセキュアライセンスを作成する。
【0049】
作成されたセキュアライセンスはメモリコントローラ32を介して不揮発性メモリのセキュア領域14Aに書き込まれる。セキュア領域14Aへの書き込みには前記書き込み認証が必要とされる。前記日時データ取り出し部36は暗号化された日時データが含まれるセキュアライセンスがセキュア領域14Aから読み出されたとき、そこから暗号化された日時データを抽出する。利用期限取り出し部37はセキュアライセンスがセキュア領域14Aから読み出されたとき、そこから利用期限データを抽出する。セキュア領域14Aの読み出しには前記読み出し認証が必要とされる。
【0050】
復号部36はセキュアライセンスから取出した暗号化された日時データをAESで復号する。復号する鍵は暗号部33で用いた鍵と同じものを使用する。
【0051】
前記利用制限判定部27は、前述の如く、利用期限が切れていないのかを判定すると共に、データ端末4内の時計12がユーザーによって操作されていないかを判定する。その判定内容は図2を参照して既に説明した。操作されていると判定したら、セキュア領域14A内のライセンスを全て消去する。
【0052】
図6の回路の動作を説明する。最初に、サーバ1と通信したときやコンテンツ、ライセンスをダウンロードしたときの動作を説明する。
【0053】
データ端末装置4がサーバ1に接続したとき、サーバ1からの日時データを外部インタフェースコントローラ31を介して入力する。併せて再生期限日データも入力する。再生期限日は例えば再生ライセンスに含まれるものを利用する。入力した日時データは図5に例示する16バイトのデータ構成とされる。日時データは暗号化部33によって例えばAES方式で暗号される。暗号化する鍵はカード固有のシリアル番号を使用する。
【0054】
ライセンス作成部34で、暗号化した日時データをライセンス内のコンテンツ鍵の部分に埋め込み、セキュアライセンスを作成する。作成されたライセンスは、メモリコントローラ32を介してメモリカード14のセキュア領域14Aに書き込まれる。セキュア領域が128個のライセンスを記録できる場合には、最後の128番目に前記セキュアライセンスを書き込む。セキュア領域14Aに対する書き込みは前記書き込み認証を受けて可能にされる。
【0055】
次に利用制限判定処理の動作について説明する。メモリコントローラ32を介してセキュア領域14Aからセキュアライセンスが読み出される。セキュア領域に対するリードアクセスは前記読み出し認証を受けて可能にされる。日時データ取出し部35で、読み出したライセンスから暗号化されている日時データ16バイトを取出す。利用期限取り出し部37では利用期限を取出す。復号部36で、16バイトの日時データをAES方式で復号する。復号する鍵は暗号化したときと同じカード固有のシリアル番号を使用する。次いで、端末内の日時を取得する。利用制限判定部38で、利用期限、端末の日時データ、カードの日時データを用いて期限が切れていないのか、不正な操作が行われていないのかを判定する。
【0056】
次に日時データの更新処理動作について説明する。カード内には電源がないため、カード自身では日時データを更新することはできない。したがって、上記で説明したようにサーバーとの接続時やコンテンツの再生、表示時(利用制限判定処理のとき)に日時データを更新する。しかし、サーバーと接続をしない場合やコンテンツの再生表示を行わない場合には長時間更新されない場合がある。日時データを更新するタイミングは、前述のアクセス開始時と終了時の他に、メモリカードがデータ端末に挿入されたときと離脱されたとき、或はメモリカードがデータ端末に装着されている状態でデータ端末の電源オンが指示されたときと、電源オフが指示されたとき等であってよい。データ端末の電源をオフにするときには、マイクロコンピュータ内部のタイマーで測定した時間をカードに記録されている日時データに加算することにより更新すればよい。
【0057】
更新処理を、更に別のタイミングで行なってもよい。即ち、メモリカードがファイルメモリ方式によるセクタ単位で分割してデータアクセスを行なう場合、アクセス開始時の前記アクセス判定動作においてアクセス可と判定された後は、後続セクタのアクセス毎又は所定の複数アクセス毎に前記アクセス判定動作を行なってもよい。このようにセクタ単位で分割されたデータのアクセスに対するアクセス判定動作において、第2回目以降のアクセス判定動作では、時刻情報が前記アクセス期限情報により示されるアクセス期限より後であってもアクセス可と判定するようにしてよい。アクセス判定動作を何回も行なうとき、利用情報の再生途中などで期限が到来して再生が中断される不都合を簡単に解消することができる。
【0058】
図7には再生ライセンスのフォーマットが例示され、図8にはセキュアライセンスのフォーマットが例示される。コンテンツIDはコンテンツ毎にユニークに割り当てられる識別子である。トランザクションIDはトランザクション毎にユニークな識別子である。トランザクションIDには再生可能回数(ライセンスを読み出せる回数)、移動可能回数(ライセンスを移動できる回数)、及びセーフレベル(保護強度)の識別子を含む。メディアアクセス条件はメディア内部で強制可能なアクセス条件である。コンテンツ鍵はコンテンツを暗号化するときに用いた鍵であり、コンテンツを復号する時に利用する復号鍵でもある。デコーダアクセス条件は再生用デコーダの内部で強制可能なアクセス条件を示す。デコーダアクセス条件には再生サイズ(1つのライセンスで再生可能なコンテンツサイズ)と利用期限(利用可能な期限)とを含む。拡張メディアアクセス条件は証明書認証、PIN認証を行うか否かを示すフラグとされる。再生ライセンスはコンテンツ鍵を有しているが、セキュアライセンスは、その再生ライセンスのコンテンツ鍵をカード日時データに入れ替えて構成される。
【0059】
証明書認証例えばセキュア領域の書き込み認証を受けるための証明情報、そしれPIN(Personal Identification Number)による個人認証を行なうためのPINは不揮発性メモリ14に格納されている。
【0060】
図9にはライセンスの書き込み時の認証(書き込み認証)処理手順が例示される。先ず、証明認証を行なうか否かが判定され(S1)、行なう場合にはメモリカードから認証情報と公開暗号鍵を有する証明書(メディアクラス証明書)を読み出し(S2)、これをサーバに送信する(S3)。サーバはその証明書を検証し(S4)、それによって認証されれば、メモリカードのセキュア領域に対する再生ライセンス及びセキュアライセンスの書き込みが許容される(S5)。前記メディアクラス証明書は、例えば前記利用期限判定機能などを備えたメモリカード15を、当該機能を備えていない他のメモリカードと区別することができる証明情報を有している。
【0061】
図10にはライセンスの読み出し時の認証(読み出し認証)処理手順が例示される。先ず、証明認証を行なうか否かが判定され(S11)、行なう場合にはデータ端末からメモリカードに認証情報と公開暗号鍵を有する証明書(デコーダクラス証明書)を送信する(S12)。メモリカードはその証明書を検証し(S3)、それによって認証されれば、メモリカードのセキュア領域から再生ライセンス及びセキュアライセンスの読み出しが許容される(S14)。処理S11の判別で証明認証を行なわない場合には、PIN認証を行なうかの判別を行ない(S15)、行なう場合にはデータ端末装置からPINをメモリカードに送信し(S16)、メモリカード内でPINの検証を行なう。PINが正当であればライセンスの読み出しを行なう(S14)。PINが不当である場合、PIN認証を行なわない場合、証明認証を得られない場合にはそのまま処理を終了する。
【0062】
図11には利用期限付コンテンツの再生処理フローの一例が示される。再生ライセンスを利用して利用期限付コンテンツの再生を行なう場合、先ず利用期限判定処理R21を行ない、再生可能であればカード日時データ更新処理R22を行ない、利用期限付コンテンツの再生終了を判定し(S23)、終了でなければ所定のインターバル毎にカード日時データ更新処理R22を繰返す。再生終了を判別すると、最後にカード日時更新処理R22を行なって終了する。
【0063】
図12には利用期限判定処理R21の詳細な一例が示される。データ端末装置の日時情報を取得し、端末日時データを作成する(S31)。次に、必要な証明認証又はPIN認証を行なってメモリカードから、カード日時データを取得し(S32)、ライセンスから利用期限を取得する(S33)。利用制限とカード日時データを比較し(S34)、利用期限≦カード日時データの場合には期限切れと判定して処理を終了する。利用期限>カード日時データの場合には端末日時データとカード日時データを比較する(S35)。端末日時データ≦カード日時データの場合には端末日時データが不正と判定し、メモリカードが保有する全てのライセンスの消去を行なう(S36)。端末日時データ>カード日時データの場合にはカードの日時データを端末の日時データに更新する(S37)。
【0064】
図13にはカード日時データ更新処理R22の詳細な一例が示される。データ端末装置の日時情報を取得し、端末日時データを作成する(S41)。次に、必要な証明認証又はPIN認証を行なってメモリカードから、カード日時データを取得する(S42)。端末日時データとカード日時データを比較する(S43)。端末日時データ≦カード日時データの場合には端末日時データが不正と判定し、メモリカードが保有する全てのライセンスの消去を行なう(S44)。端末日時データ>カード日時データの場合にはカードの日時データを端末の日時データに更新する(S45)。図13の処理は図12に対して、ライセンスから利用期限を取得せず、利用期限≦カード日時データの場合に期限切れと判定して処理を終了することを行なわない。したがって、利用期限付コンテンツの再生途中などで再生期限が到来して再生が中断される不都合を解消することができる。
【0065】
図14には期限付きデータの再生端末装置40が示される。同図に示される再生端末装置40は再生部41を有し、図2の端末装置4に対しコンテンツデータとライセンスのダウンロード機能が省かれた再生専用器として構成される。図11乃至図13に示されるコンテンツ再生処理を行なうことができる。
【0066】
図15にはダウンロード端末装置45が示される。同図に示されるダウンロード端末装置45は図2で説明した端末装置4におけるダウンロード再生部10に対しコンテンツデータの再生機能が省かれた、コンテンツデータとライセンスのダウンロード専用端末装置とされる。ダウンロード専用端末装置45は、ホストインタフェース部46、メモリカードインタフェース部47、及びデータ処理部48を有し、メモリカードインタフェース部47に装着されたメモリカード15に、コンテンツを復号するためのコンテンツライセンス、コンテンツに対するアクセス制限を行なう再生期限データ、及びカード日時データを初期的に格納する。前記データ処理部48は、前記コンテンツライセンスの受領要求と共にメモリカード15が保有する証明情報をホストインタフェース部46から外部に出力し、これに応答して例えばサーバ1からホストインタフェース部46に返される情報を受領してメモリカードインタフェース部47から前記メモリカード15に格納する。前記受領する情報は、コンテンツの復号に利用されるコンテンツ鍵、コンテンツに対するアクセス制限を行なう再生期限データ、及びカード日時データを含む。前記証明情報は利用期限判定機能を有するメモリカード15であることを表す情報である。このダウンロード端末装置を用いてメモリカードにコンテンツ及びその再生ライセンスを頒布もしくは販売することにより、対象となる記憶媒体が前記利用期限判定機能を有するメモリカード15に限定されるから、期限付きコンテンツデータに対する不正アクセスの抑止を支援することができる。
【0067】
図15の構成はネットワークに接続する端末装置としての構成に限定されない。特に図示はしないが、ダウンロード端末装置45それ自体がコンテンツサーバであってもよく、見方を変えればスタンドアロンの頒布端末装置となる。
【0068】
以上本発明者によってなされた発明を実施形態に基づいて具体的に説明したが、本発明はそれに限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは言うまでもない。
【0069】
例えば、今まで説明したダウンロード機能を有するデータ端末はコンテンツ及びコンテンツライセンスの双方をダウンロードして頒布する機能を有するものとして説明したが、本発明はそれに限定されず、コンテンツライセンスだけのダウンロード若しくは頒布であってもよい。また、再生機能を有するデータ端末装置において、コンテンツはライセンスと同じメモリカードに格納されていなくてもよい場合が有る。その場合、コンテンツデータはCD−ROMやDVD−RAM等のリムーバブルディスクドライブを用いてアクセスするようにしてもよい。或はハードディスクドライブからアクセスするようにしてもよい。
【0070】
また、上記説明では、日時データを暗号化してライセンスに埋め込んでセキュア領域に記録する例を示したが、暗号化を省いても良い。日時データを暗号化しないでライセンスに埋め込むため処理量が少なくて済む。また、日時データを暗号化して非セキュア領域に記録してもよい。セキュア領域を持たない記憶媒体にも使用できる。また、日時データを暗号化せず且つ非セキュア領域に記録してもよい。セキュア領域を持たない記憶媒体にも使用でき、しかも、AESの暗号/復号処理をする必要がないため最小の構成で実現できる。しかし、ユーザーにより日時データを操作される可能性が大きいことに注意を要する。
【0071】
【発明の効果】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば下記の通りである。
【0072】
すなわち、本発明に係るデータ配信方法を用いれば、その証明情報に対する認証により、記憶媒体を介する再生ライセンスの頒布もしくは販売対象が、利用期限判定機能を有する特定の記憶媒体に限定されるから、期限付きコンテンツデータに対する不正アクセスの抑止を支援することができる。前記利用期限判定機能とは、メモリカード等の記憶媒体にアクセス時間情報のような日時データを更新して記録し、しかもアクセス時間情報の更新はアクセス終了時点だけでなく複数時点で行なうから、利用情報の再生終了直前に電源が遮断されても少なくとも1回のアクセス時間情報の更新を保証するようになっている。期限付き利用情報の不正再生抑制機能を不揮発性記憶装置が備えるので、再生装置を変えても依然として不正アクセス抑止機能を働かせることが容易である。
【図面の簡単な説明】
【図1】本発明を適用したコンテンツデータ配信システムのブロック図である。
【図2】本発明を適用したコンテンツデータ配信システムに別のデータ端末装置が接続されている例を示す説明図である。
【図3】端末日時データに基づいて更新されるカード日時データによる利用制限の概要を例示する説明図である。
【図4】図1における利用期限判定部と端末内部時計の具体例を示すブロック図である。
【図5】日時データのフォーマットを例示する説明図である。
【図6】図2のメモリカードに内蔵された利用期限判定部の具体例を示すブロック図である。
【図7】再生ライセンスのフォーマットを例示する説明図である。
【図8】セキュアライセンスのフォーマットを例示する説明図である。
【図9】ライセンスの書き込み時の認証(書き込み認証)処理手順を例示するフローチャートである。
【図10】ライセンスの読み出し時の認証(読み出し認証)処理手順を例示するフローチャートである。
【図11】利用期限付コンテンツの再生処理の一例を示すフローチャートである。
【図12】図11の利用期限判定処理R21の詳細を例示するフローチャートである。
【図13】図11のカード日時データ更新処理R22の詳細を例示するフローチャートである。
【図14】期限付きデータの再生端末装置を例示するブロック図である。
【図15】ダウンロード端末装置を例示するブロック図である。
【符号の説明】
1 サーバ
2 ネットワーク
3 データ端末装置
4 データ端末装置
10 ダウンロード生成部
11 利用期限判定部
12 端末内部時計
13 メモリカード
14 不揮発性メモリ
14A セキュア領域(アクセス制限領域)
14B 非セキュア領域(アクセス非制限領域)
15 メモリカード
16 利用期限判定部
20 マイクロコンピュータ
30 マイクロコンピュータ
40 再生端末装置
41 再生部
45 ダウンロード専用端末装置
46 ホストインタフェース部
47 メモリカードインタフェース部
48 データ処理部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to playback time limit management for content data such as moving images and music stored in a storage medium, and relates to a method of distributing data such as a playback license to a storage medium to which playback time limit management control is applied.
[0002]
[Prior art]
When renting image data and music data stored in a storage medium such as a memory card, a user can reproduce images and music using a reproducing device within a preset reproduction time limit. Playback is managed based on the time detected by the user's playback device and the playback time limit information written when the digital data is stored in the storage medium. If the current time detected by the user's playback device is falsified, the content can be played back even though the playback time limit has passed.
[0003]
As a countermeasure against time tampering of the playback apparatus, for example, there is a technique described in
[0004]
[Patent Document 1]
JP-A-2002-259917 (paragraph 99, FIG. 7)
[0005]
[Problems to be solved by the invention]
According to the technique disclosed in
[0006]
An object of the present invention is to provide a technique for effectively suppressing unauthorized access to time-limited data by operating a clock inside a playback device or a terminal device.
[0007]
The above and other objects and novel features of the present invention will become apparent from the description of the present specification and the accompanying drawings.
[0008]
[Means for Solving the Problems]
The outline of a representative invention among the inventions disclosed in the present application will be briefly described as follows.
[0009]
[1] According to a first aspect of the present invention, data is distributed upon receiving authentication via a network. This data distribution method is a method of using a data terminal device connectable to a distribution server to store predetermined information in a storage medium mounted on the data terminal device. A first process of sending the held certification information to the distribution server, and receiving information returned in response to the first process, and using the received information as the predetermined information in the storage medium based on the first process. A second process for storing a decryption key for decryption and restriction information for restricting access to the usage information. The restriction information includes access time limit information and access time information, an initial value of the access time information is time information included in the received information, and the proof information indicates a specific storage medium. Information. The specific storage medium performs an access determination operation of determining whether or not access to the usage information is possible based on time information supplied from outside and the restriction information, and updating the access time information based on the time information. When the time information is later than the access time limit indicated by the access time limit information in the determination of the access permission or the time information is earlier than the access time indicated by the access time information, it is determined that the access is not possible. In other cases, access is determined to be permitted, and the access determination operation is performed at least at the start of access to the usage information and at the end of access.
[0010]
In the above means, when the usage information (content data) is reproduced, the date and time data such as the access time information is updated and recorded in the storage medium. The indicated time difference is narrowed, and the time finally indicated by the access time information exceeds the time indicated by the term information. Once exceeded, it is disabled. Even if the user returns the clock in the terminal to the date and time before the usage restriction, the reproduction is no longer possible. This makes it possible to suppress illegal reproduction of time-limited use information even when a clock inside a terminal such as a reproduction device is operated. Since the access time information is updated not only at the end of the access but also at the start of the access, at least one update of the access time information is guaranteed even if the power is shut off immediately before the end of the reproduction of the usage information. Since the storage medium has the function of suppressing the unauthorized reproduction of the time-limited use information, it is easy to still operate the unauthorized access suppression function even if the playback device is changed. Therefore, if the above data distribution method is used, the distribution or sale of the reproduction license via the storage medium is limited to the storage medium having the use expiration date judging function by authentication of the certification information. It can help prevent unauthorized access.
[0011]
[2] According to a second aspect of the present invention, data is distributed after being authenticated by the data terminal device. This data distribution method is a method of storing predetermined information in a storage medium attached to the data terminal device using a data terminal device, and acquiring certification information from the storage medium in response to a request for issuing a decryption key. A first process for determining whether or not authentication of the proof information is permitted; and, after authenticating the proof information, as the predetermined information, a decryption key for decrypting usage information and an access restriction on the usage information. And a second process for storing the restriction information to be performed. The restriction information includes access time limit information and access time information, and an initial value of the access time information is predetermined time information. The certification information is information indicating that the storage medium is a specific storage medium. The specific storage medium has an unauthorized access suppression function similar to the above. In the same manner as described above, according to this data distribution method, the authentication or certification of the certification information limits the distribution or sale of the reproduction license via the storage medium to the storage medium having the use expiration date determination function. It can support access deterrence.
[0012]
[3] In the specific storage medium with the unauthorized access suppression function, the access determination operation may be performed at least when the operation power is turned on to the storage medium and when the operation power is cut off.
[0013]
[4] The predetermined information may include content data to be decrypted. If not included, the content data may be distributed by another storage medium such as a CD-ROM.
[0014]
The specific storage medium is, for example, a memory card having an electrically rewritable flash memory and a control circuit.
[0015]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 1 illustrates a content data distribution system. A data terminal device (data processing device) 3 with a usage term, typically shown, is connected to a
[0016]
An outline of a function of downloading content data by the data
[0017]
An outline of a function of reproducing the content data with a time limit by the data
[0018]
The update of the card date and time data is performed not only at the time of starting access represented by the above-described access permission determination but also at the end of access. Further, for example, the operation may be performed when at least the operation power is turned on to the memory card and when the operation power is cut off.
[0019]
FIG. 2 shows an example in which another
[0020]
An outline of the content data download function of the data
[0021]
The outline of the playback function of the content data with a time limit will be described. When the
[0022]
The update of the card date and time data is performed not only at the time of starting access represented by the above-described access permission determination but also at the end of access. Further, for example, the operation may be performed when at least the operation power is turned on to the memory card and when the operation power is cut off.
[0023]
FIG. 3 exemplifies an outline of usage restrictions based on the card date and time data updated based on the terminal date and time data. The date and time (borrowed date) Ts and the expiration date (return date) Te of downloading the content data are fixed. The current time is the time Tc indicated by the terminal date and time data. The access date and time is the time Tacs indicated by the card date and time data. If the card date / time data is not updated, the date / time indicated by the data is fixed to the date / time (borrowed date) Ts at which the content data was downloaded. If the card date / time data Tacs is not updated as in (a), the card can be used wherever the current date / time Tc is between the borrowed date Ts and the expiration date Te, for example, as shown in (b). If Tc has exceeded the expiration date Te, it becomes unusable. However, if the terminal clock is operated to move between the date on which the current date and time was borrowed and the expiration date, the content data can be used illegally. On the other hand, in FIGS. 1 and 2, the card date and time data in the memory card is updated based on the terminal date and time data, so that the access date and time and the date and time indicated by the certain card date and time data Tacs as shown in FIG. The time is reduced for each update, and finally exceeds the usage period Te. If it exceeds one end, it will be unavailable. Even if the user returns the clock in the terminal to the date and time before the usage restriction, the reproduction is no longer possible. As a result, even if the clock inside the data terminal device is operated, it is possible to sufficiently suppress illegal reproduction of the time-limited content.
[0024]
Since the update of the card date and time data is performed not only at the end of the access but also at the start of the access, at least one update of the access time information is guaranteed even if the power is cut off immediately before the end of the reproduction of the usage information. As shown in FIG. 2, since the non-volatile storage device has the function of suppressing the unauthorized reproduction of the time-limited use information, it is easy to still operate the unauthorized access restriction function even if the reproducing device is changed.
[0025]
FIG. 4 shows a specific example of the use
[0026]
The
[0027]
In this example, after the data is encrypted by the card date / time
[0028]
The date and time data acquisition and
[0029]
The
[0030]
The
[0031]
The secure
[0032]
The
[0033]
As described above, the use
[0034]
Although not shown, each functional block in FIG. 4 is used for a central processing unit, a floating point arithmetic unit, a ROM (Read Only Memory) having a processing program for them, a work area of the central processing unit, and the like. It comprises a RAM (random access memory), a real-time clock circuit, a timer, an input / output circuit, and the like.
[0035]
The operation of the circuit of FIG. 4 will be described. First, the operation when communicating with the
[0036]
When connected to the
[0037]
The
[0038]
The
[0039]
Next, the operation of the usage restriction determination process will be described. The secure
[0040]
Next, the operation of updating the date and time data will be described. Since there is no power supply in the card, the card itself cannot update the date and time data. Therefore, as described above, the date and time data is updated at the time of connection with the server and at the time of reproducing and displaying the content (at the time of use restriction determination processing). However, the update may not be performed for a long time when the connection with the server is not made or when the content is not reproduced and displayed. The timing of updating the date and time data may be determined when the memory card is inserted and removed from the data terminal, or when the memory card is attached to the data terminal, in addition to the above-described access start and end times. It may be a time when a power-on of the data terminal is instructed, a time when a power-off is instructed, or the like. When the power of the data terminal is turned off, the data terminal may be updated by adding the time measured by the timer inside the microcomputer to the date and time data recorded on the card.
[0041]
FIG. 6 shows a specific example of the expiration
[0042]
The
[0043]
Although not particularly shown, the
[0044]
The
[0045]
In this example, after being encrypted by the card date / time
[0046]
When the
[0047]
The
[0048]
The
[0049]
The created secure license is written into the
[0050]
The
[0051]
As described above, the use
[0052]
The operation of the circuit of FIG. 6 will be described. First, the operation when communicating with the
[0053]
When the
[0054]
The
[0055]
Next, the operation of the usage restriction determination process will be described. The secure license is read from the
[0056]
Next, the operation of updating the date and time data will be described. Since there is no power supply in the card, the card itself cannot update the date and time data. Therefore, as described above, the date and time data is updated at the time of connection with the server and at the time of reproducing and displaying the content (at the time of use restriction determination processing). However, the update may not be performed for a long time when the connection with the server is not made or when the content is not reproduced and displayed. The timing of updating the date and time data may be determined when the memory card is inserted and removed from the data terminal, or when the memory card is attached to the data terminal, in addition to the above-described access start and end times. It may be a time when a power-on of the data terminal is instructed, a time when a power-off is instructed, or the like. When the power of the data terminal is turned off, the data terminal may be updated by adding the time measured by the timer inside the microcomputer to the date and time data recorded on the card.
[0057]
The update process may be performed at another timing. That is, in the case where the memory card performs data access by dividing the data in the sector unit by the file memory method, after it is determined that the access is permitted in the access determination operation at the start of the access, the memory card is accessed every subsequent sector or every predetermined plurality of accesses. May perform the access determination operation. In the access determination operation for access to data divided in units of a sector in this manner, in the second and subsequent access determination operations, it is determined that access is possible even if the time information is after the access time limit indicated by the access time limit information. You may do it. When the access determination operation is performed many times, the inconvenience that reproduction is interrupted due to the expiration of a time limit during the reproduction of the usage information can be easily eliminated.
[0058]
FIG. 7 illustrates a format of a reproduction license, and FIG. 8 illustrates a format of a secure license. The content ID is an identifier uniquely assigned to each content. The transaction ID is a unique identifier for each transaction. The transaction ID includes the number of reproducible times (the number of times the license can be read), the number of times the license can be moved (the number of times the license can be moved), and an identifier of a safe level (protection strength). The media access condition is an access condition that can be forced inside the media. The content key is a key used when encrypting the content, and is also a decryption key used when decrypting the content. The decoder access condition indicates an access condition that can be forced inside the decoder for reproduction. The decoder access condition includes a reproduction size (a content size that can be reproduced with one license) and a use period (a usable period). The extended media access condition is a flag indicating whether to perform certificate authentication and PIN authentication. The playback license has a content key, while the secure license is configured by replacing the content key of the playback license with card date and time data.
[0059]
Certificate authentication, for example, certificate information for receiving write authentication in a secure area, or a PIN for performing personal authentication using a PIN (Personal Identification Number) is stored in the
[0060]
FIG. 9 illustrates an authentication (write authentication) processing procedure at the time of writing a license. First, it is determined whether or not to perform certification authentication (S1). If so, a certificate (media class certificate) having authentication information and a public encryption key is read from the memory card (S2) and transmitted to the server. (S3). The server verifies the certificate (S4), and if authenticated, the writing of the reproduction license and the secure license in the secure area of the memory card is permitted (S5). The media class certificate includes, for example, certificate information that can distinguish the
[0061]
FIG. 10 illustrates an authentication (reading authentication) processing procedure at the time of reading a license. First, it is determined whether or not to perform certification authentication (S11). If so, the data terminal transmits a certificate (decoder class certificate) having authentication information and a public encryption key to the memory card (S12). The memory card verifies the certificate (S3). If the certificate is authenticated, reading of the reproduction license and the secure license from the secure area of the memory card is permitted (S14). If the certification authentication is not performed in the determination in the process S11, it is determined whether the PIN authentication is performed (S15). If the authentication is performed, the PIN is transmitted from the data terminal device to the memory card (S16). Verify the PIN. If the PIN is valid, the license is read (S14). When the PIN is invalid, when the PIN authentication is not performed, and when the certification authentication cannot be obtained, the processing is terminated as it is.
[0062]
FIG. 11 shows an example of a reproduction processing flow of the content with a usage term. In the case of using the reproduction license to reproduce the content with the expiration date, first, the expiration date determination process R21 is performed. If the reproduction is possible, the card date and time data updating process R22 is performed, and the reproduction end of the content with the expiration date is determined ( S23) If not finished, the card date / time data update processing R22 is repeated at predetermined intervals. When it is determined that the reproduction has been completed, the card date and time update processing R22 is finally performed, and the processing ends.
[0063]
FIG. 12 shows a detailed example of the usage term determination process R21. The date and time information of the data terminal device is obtained, and terminal date and time data is created (S31). Next, necessary certification authentication or PIN authentication is performed to obtain card date and time data from the memory card (S32), and obtain a usage period from the license (S33). The usage restriction and the card date and time data are compared (S34), and if the usage period is equal to or less than the card date and time data, it is determined that the period has expired and the process is terminated. If the term of use> card date data, the terminal date data and the card date data are compared (S35). If the terminal date / time data ≦ card date / time data, the terminal date / time data is determined to be invalid, and all licenses held by the memory card are deleted (S36). If the terminal date / time data> card date / time data, the date / time data of the card is updated to the terminal date / time data (S37).
[0064]
FIG. 13 shows a detailed example of the card date / time data update processing R22. The date and time information of the data terminal device is acquired, and terminal date and time data is created (S41). Next, necessary certification authentication or PIN authentication is performed to obtain card date and time data from the memory card (S42). The terminal date / time data and the card date / time data are compared (S43). If terminal date / time data ≦ card date / time data, the terminal date / time data is determined to be invalid, and all licenses held by the memory card are deleted (S44). If the terminal date / time data> card date / time data, the date / time data of the card is updated to the terminal date / time data (S45). The processing in FIG. 13 does not acquire the expiration date from the license and does not end the processing in the case of FIG. Therefore, it is possible to eliminate the inconvenience that the reproduction expiration arrives during the reproduction of the content with usage expiration and the reproduction is interrupted.
[0065]
FIG. 14 shows a
[0066]
FIG. 15 shows a
[0067]
The configuration in FIG. 15 is not limited to a configuration as a terminal device connected to a network. Although not particularly shown, the
[0068]
Although the invention made by the inventor has been specifically described based on the embodiment, the present invention is not limited to the embodiment, and it goes without saying that the invention can be variously modified without departing from the gist thereof.
[0069]
For example, although the data terminal having the download function described so far has been described as having the function of downloading and distributing both the content and the content license, the present invention is not limited to this, and it is possible to download or distribute only the content license. There may be. In a data terminal device having a reproduction function, there is a case where the content does not have to be stored in the same memory card as the license. In that case, the content data may be accessed using a removable disk drive such as a CD-ROM or a DVD-RAM. Alternatively, access may be made from a hard disk drive.
[0070]
Further, in the above description, an example is shown in which date and time data is encrypted, embedded in a license, and recorded in the secure area. However, the encryption may be omitted. Since the date and time data is embedded in the license without being encrypted, the processing amount is small. Further, the date and time data may be encrypted and recorded in the non-secure area. It can also be used for storage media without a secure area. Further, the date and time data may be recorded in the non-secure area without being encrypted. It can be used for a storage medium without a secure area, and can be realized with a minimum configuration because there is no need to perform AES encryption / decryption processing. However, it should be noted that there is a high possibility that the user operates the date and time data.
[0071]
【The invention's effect】
The effects obtained by the representative inventions among the inventions disclosed in the present application will be briefly described as follows.
[0072]
In other words, if the data distribution method according to the present invention is used, the distribution or sale of the reproduction license via the storage medium is limited to a specific storage medium having the expiration date determination function by authentication of the certification information. It is possible to support the suppression of unauthorized access to attached content data. The use expiration date determination function is to update and record date and time data such as access time information in a storage medium such as a memory card, and to update the access time information not only at the end of access but also at a plurality of times. Even if the power is shut off immediately before the end of the reproduction of the information, at least one update of the access time information is guaranteed. Since the nonvolatile storage device has the function of suppressing unauthorized use of time-limited use information, it is easy to still operate the unauthorized access suppression function even if the playback device is changed.
[Brief description of the drawings]
FIG. 1 is a block diagram of a content data distribution system to which the present invention is applied.
FIG. 2 is an explanatory diagram showing an example in which another data terminal device is connected to a content data distribution system to which the present invention has been applied.
FIG. 3 is an explanatory diagram exemplifying an outline of usage restrictions based on card date and time data updated based on terminal date and time data.
FIG. 4 is a block diagram showing a specific example of a use period determination unit and a terminal internal clock in FIG. 1;
FIG. 5 is an explanatory diagram illustrating a format of date and time data.
FIG. 6 is a block diagram showing a specific example of a use period determining unit incorporated in the memory card of FIG. 2;
FIG. 7 is an explanatory diagram illustrating a format of a reproduction license.
FIG. 8 is an explanatory diagram illustrating a format of a secure license.
FIG. 9 is a flowchart illustrating an authentication (write authentication) processing procedure at the time of writing a license.
FIG. 10 is a flowchart illustrating an authentication (read authentication) processing procedure at the time of reading a license.
FIG. 11 is a flowchart illustrating an example of a process of reproducing content with a usage term.
FIG. 12 is a flowchart illustrating details of a use expiration date determination process R21 in FIG. 11;
FIG. 13 is a flowchart illustrating details of a card date / time data update process R22 in FIG. 11;
FIG. 14 is a block diagram illustrating a playback terminal device for data with a time limit;
FIG. 15 is a block diagram illustrating a download terminal device.
[Explanation of symbols]
1 server
2 Network
3 Data terminal equipment
4 Data terminal equipment
10 Download generator
11 Expiration date judgment unit
12 Terminal internal clock
13 Memory card
14 Non-volatile memory
14A Secure area (access restricted area)
14B Non-secure area (access unrestricted area)
15 Memory card
16 Expiration date judgment section
20 Microcomputer
30 microcomputer
40 playback terminal device
41 Playback unit
45 Download-only terminal
46 Host interface section
47 Memory card interface
48 Data processing unit
Claims (6)
復号鍵の受領要求と共に記憶媒体が保有する証明情報を前記配信サーバに送出する第1処理と、
前記第1処理に応答して返される情報を受領し、これに基いて、前記記憶媒体に、前記所定の情報として、利用情報を復号するための復号鍵と利用情報に対するアクセス制限を行なう制限情報とを格納する第2処理とを含み、
前記制限情報にはアクセス期限情報とアクセス時間情報とが含まれ、
前記アクセス時間情報の初期値は前記受領した情報に含まれる時間情報であり、
前記証明情報は特定の記憶媒体であることを表す情報であり、
前記特定の記憶媒体は、外部より供給される時刻情報と前記制限情報とに基いて前記利用情報のアクセス可否を判定し且つ前記時刻情報に基づいて前記アクセス時間情報を更新するアクセス判定動作を行ない、前記アクセス可否の判定において前記時刻情報がアクセス期限情報により示されるアクセス期限よりも後であり、又は前記時刻情報が前記アクセス時間情報により示されるアクセス時間よりも前である場合にアクセス否と判定し、その他の場合をアクセス可と判定し、前記アクセス判定動作を少なくとも前記利用情報に対するアクセス開始時とアクセス終了時とに行なうことを特徴とするデータ配信方法。A data distribution method for storing predetermined information in a storage medium mounted on the data terminal device using a data terminal device connectable to a distribution server,
A first process of sending proof information held by the storage medium to the distribution server together with a request for receiving a decryption key;
Receiving information returned in response to the first processing, and based on the information, as the predetermined information, a decryption key for decrypting usage information and restriction information for restricting access to usage information. And a second process for storing
The restriction information includes access time limit information and access time information,
The initial value of the access time information is time information included in the received information,
The certification information is information indicating that the storage medium is a specific storage medium,
The specific storage medium performs an access determination operation of determining whether or not access to the usage information is possible based on time information supplied from outside and the restriction information, and updating the access time information based on the time information. When the time information is later than the access time limit indicated by the access time limit information in the determination of the access permission or the time information is earlier than the access time indicated by the access time information, it is determined that the access is not possible. And determining that the access is permitted in other cases, and performing the access determination operation at least at the start and end of the access to the usage information.
復号鍵の受領要求と共に記憶媒体が保有する証明情報を前記配信サーバに送出する第1処理と、
前記第1処理に応答して返される情報を受領し、これに基いて、前記記憶媒体に、前記所定の情報として、利用情報を復号するための復号鍵と利用情報に対するアクセス制限を行なう制限情報とを格納する第2処理とを含み、
前記制限情報にはアクセス期限情報とアクセス時間情報とが含まれ、
前記アクセス時間情報の初期値は前記受領した情報に含まれる時間情報であり、
前記証明情報は特定の記憶媒体であることを表す情報であり、
前記特定の記憶媒体は、外部より供給される時刻情報と前記制限情報とに基いて前記利用情報のアクセス可否を判定し且つ前記時刻情報に基づいて前記アクセス時間情報を更新するアクセス判定動作を行ない、前記アクセス可否の判定において前記時刻情報がアクセス期限情報により示されるアクセス期限よりも後であり、又は前記時刻情報が前記アクセス時間情報により示されるアクセス時間よりも前である場合にアクセス否と判定し、その他の場合をアクセス可と判定し、前記アクセス判定動作を少なくとも記憶媒体へ動作電源を投入するときと動作電源を遮断するときに行なうことを特徴とするデータ配信方法。A data distribution method for storing predetermined information in a storage medium mounted on the data terminal device using a data terminal device connectable to a distribution server,
A first process of sending proof information held by the storage medium to the distribution server together with a request for receiving a decryption key;
Receiving information returned in response to the first processing, and based on the information, as the predetermined information, a decryption key for decrypting usage information and restriction information for restricting access to usage information. And a second process for storing
The restriction information includes access time limit information and access time information,
The initial value of the access time information is time information included in the received information,
The certification information is information indicating that the storage medium is a specific storage medium,
The specific storage medium performs an access determination operation of determining whether or not access to the usage information is possible based on time information supplied from outside and the restriction information, and updating the access time information based on the time information. When the time information is later than the access time limit indicated by the access time limit information in the determination of the access permission or the time information is earlier than the access time indicated by the access time information, it is determined that the access is not possible. And determining that the access is permitted in other cases, and performing the access determination operation at least when the operation power is turned on to the storage medium and when the operation power is cut off.
復号鍵の発行要求に応答して記憶媒体から証明情報を取得し、取得した証明情報に対する認証の可否を判定する第1処理と、
前記証明情報を認証した後に、前記記憶媒体に、前記所定の情報として、利用情報を復号するための復号鍵と利用情報に対するアクセス制限を行なう制限情報とを格納する第2処理とを含み、
前記制限情報にはアクセス期限情報とアクセス時間情報とが含まれ、
前記アクセス時間情報の初期値は所定に時間情報であり、
前記証明情報は特定の記憶媒体であることを表す情報であり、
前記特定の記憶媒体は、外部より供給される時刻情報と前記制限情報とに基いて前記利用情報のアクセス可否を判定し且つ前記時刻情報に基づいて前記アクセス時間情報を更新するアクセス判定動作を行ない、前記アクセス可否の判定において前記時刻情報がアクセス期限情報により示されるアクセス期限よりも後であり、又は前記時刻情報が前記アクセス時間情報により示されるアクセス時間よりも前である場合にアクセス否と判定し、その他の場合をアクセス可と判定し、前記アクセス判定動作を少なくとも前記利用情報に対するアクセス開始時とアクセス終了時とに行なうことを特徴とするデータ配信方法。A data distribution method for storing predetermined information in a storage medium attached thereto using a data terminal device,
A first process of acquiring certification information from a storage medium in response to a decryption key issuance request, and determining whether or not the acquired certification information can be authenticated;
After authenticating the proof information, the storage medium includes, as the predetermined information, a decryption key for decrypting usage information and a second process of storing restriction information for restricting access to the usage information,
The restriction information includes access time limit information and access time information,
The initial value of the access time information is predetermined time information,
The certification information is information indicating that the storage medium is a specific storage medium,
The specific storage medium performs an access determination operation of determining whether or not access to the usage information is possible based on time information supplied from outside and the restriction information, and updating the access time information based on the time information. When the time information is later than the access time limit indicated by the access time limit information in the determination of the access permission or the time information is earlier than the access time indicated by the access time information, it is determined that the access is not possible. And determining that the access is permitted in other cases, and performing the access determination operation at least at the start and end of the access to the usage information.
復号鍵の発行要求に応答して記憶媒体から証明情報を取得し、取得した証明情報に対する認証の可否を判定する第1処理と、
前記証明情報を認証した後に、前記記憶媒体に、前記所定の情報として、利用情報を復号するための復号鍵と利用情報に対するアクセス制限を行なう制限情報とを格納する第2処理とを含み、
前記制限情報にはアクセス期限情報とアクセス時間情報とが含まれ、
前記アクセス時間情報の初期値は所定に時間情報であり、
前記証明情報は特定の記憶媒体であることを表す情報であり、
前記特定の記憶媒体は、外部より供給される時刻情報と前記制限情報とに基いて前記利用情報のアクセス可否を判定し且つ前記時刻情報に基づいて前記アクセス時間情報を更新するアクセス判定動作を行ない、前記アクセス可否の判定において前記時刻情報がアクセス期限情報により示されるアクセス期限よりも後であり、又は前記時刻情報が前記アクセス時間情報により示されるアクセス時間よりも前である場合にアクセス否と判定し、その他の場合をアクセス可と判定し、前記アクセス判定動作を少なくとも記憶媒体へ動作電源を投入するときと動作電源を遮断するときに行なうことを特徴とするデータ配信方法。A data distribution method for storing predetermined information in a storage medium attached thereto using a data terminal device,
A first process of acquiring certification information from a storage medium in response to a decryption key issuance request, and determining whether or not the acquired certification information can be authenticated;
After authenticating the proof information, the storage medium includes, as the predetermined information, a decryption key for decrypting usage information and a second process of storing restriction information for restricting access to the usage information,
The restriction information includes access time limit information and access time information,
The initial value of the access time information is predetermined time information,
The certification information is information indicating that the storage medium is a specific storage medium,
The specific storage medium performs an access determination operation of determining whether or not access to the usage information is possible based on time information supplied from outside and the restriction information, and updating the access time information based on the time information. When the time information is later than the access time limit indicated by the access time limit information in the determination of the access permission or the time information is earlier than the access time indicated by the access time information, it is determined that the access is not possible. And determining that the access is permitted in other cases, and performing the access determination operation at least when the operation power is turned on to the storage medium and when the operation power is cut off.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003117821A JP2004326277A (en) | 2003-04-23 | 2003-04-23 | Method for distributing data |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003117821A JP2004326277A (en) | 2003-04-23 | 2003-04-23 | Method for distributing data |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004326277A true JP2004326277A (en) | 2004-11-18 |
Family
ID=33497555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003117821A Pending JP2004326277A (en) | 2003-04-23 | 2003-04-23 | Method for distributing data |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004326277A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007226657A (en) * | 2006-02-24 | 2007-09-06 | Toshiba Corp | Terminal device |
| JP2010154140A (en) * | 2008-12-25 | 2010-07-08 | Dainippon Printing Co Ltd | Content browsing control system |
| JP2012044577A (en) * | 2010-08-23 | 2012-03-01 | Sony Corp | Information processing apparatus, information processing method, and program |
| JP2015181054A (en) * | 2015-06-18 | 2015-10-15 | ソニー株式会社 | Information processing device and information processing method, and program |
-
2003
- 2003-04-23 JP JP2003117821A patent/JP2004326277A/en active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007226657A (en) * | 2006-02-24 | 2007-09-06 | Toshiba Corp | Terminal device |
| JP4746442B2 (en) * | 2006-02-24 | 2011-08-10 | 株式会社東芝 | Terminal device |
| US8189997B2 (en) | 2006-02-24 | 2012-05-29 | Kabushiki Kaisha Toshiba | Terminal device |
| US8897620B2 (en) | 2006-02-24 | 2014-11-25 | Kabushiki Kaisha Toshiba | Terminal device |
| JP2010154140A (en) * | 2008-12-25 | 2010-07-08 | Dainippon Printing Co Ltd | Content browsing control system |
| JP2012044577A (en) * | 2010-08-23 | 2012-03-01 | Sony Corp | Information processing apparatus, information processing method, and program |
| JP2015181054A (en) * | 2015-06-18 | 2015-10-15 | ソニー株式会社 | Information processing device and information processing method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2004326278A (en) | Nonvolatile storage device and data processor | |
| JP4294083B2 (en) | Electronic device, content reproduction control method, program, storage medium, integrated circuit | |
| JP4857123B2 (en) | Unauthorized device detection apparatus, unauthorized device detection system, unauthorized device detection method, program, recording medium, and device information update method | |
| JP4622082B2 (en) | DATA REPRODUCING DEVICE, DATA RECORDING DEVICE, DATA REPRODUCING METHOD, DATA RECORDING METHOD, LIST UPDATE METHOD, AND PROGRAM PROVIDING MEDIUM | |
| JP3312024B2 (en) | Storage medium, revocation information updating method and apparatus | |
| US20030074569A1 (en) | Data backup method and storage medium for use with content reproduction apparatus | |
| JP3389186B2 (en) | Semiconductor memory card and reading device | |
| JP3764852B2 (en) | DATA REPRODUCING SYSTEM, DATA READING DEVICE USED FOR THE SYSTEM, AND METHOD THEREOF | |
| JP5739925B2 (en) | Record carrier | |
| JP2011091800A (en) | Key distribution via memory device | |
| JP4177517B2 (en) | Content processing system and content protection method | |
| JP2003233795A (en) | Semiconductor memory card and reading device | |
| TWI296375B (en) | Apparatus and method for preventing unauthorized copying | |
| JP5645725B2 (en) | Data processing apparatus, data processing system, and control method therefor | |
| JP2005528714A (en) | Method and apparatus for customizing rewritable storage media | |
| JP2004326277A (en) | Method for distributing data | |
| JPH08180108A (en) | Method and device for permitting use of software | |
| JP4702861B2 (en) | Content activation method and content reproduction apparatus | |
| JP2003078515A (en) | Contents distributing system, decoding device, encrypting device, decoding program, and encrypting program | |
| JP4269507B2 (en) | DATA REPRODUCING DEVICE, DATA RECORDING DEVICE, DATA REPRODUCING METHOD, DATA RECORDING METHOD, AND PROGRAM PROVIDING MEDIUM | |
| JP4674396B2 (en) | DATA REPRODUCING DEVICE, DATA RECORDING DEVICE, DATA REPRODUCING METHOD, DATA RECORDING METHOD, AND PROGRAM PROVIDING MEDIUM | |
| JPH11224189A (en) | Decoding key data writing system | |
| JP5180362B1 (en) | Content reproduction apparatus and content reproduction program | |
| JP2006059385A (en) | Data reproducing system, data writer and data reader for use in the same, and method thereof | |
| KR20060024652A (en) | Storage device for storing encoded multimedia file and method for playing the file |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050707 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080919 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080924 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090203 |