JP4663992B2 - 端末装置及びそれを備えたデータ保護システム - Google Patents
端末装置及びそれを備えたデータ保護システム Download PDFInfo
- Publication number
- JP4663992B2 JP4663992B2 JP2004020440A JP2004020440A JP4663992B2 JP 4663992 B2 JP4663992 B2 JP 4663992B2 JP 2004020440 A JP2004020440 A JP 2004020440A JP 2004020440 A JP2004020440 A JP 2004020440A JP 4663992 B2 JP4663992 B2 JP 4663992B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- domain
- terminal device
- key
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000003860 storage Methods 0.000 claims description 213
- 238000012545 processing Methods 0.000 claims description 157
- 238000000034 method Methods 0.000 claims description 122
- 238000004891 communication Methods 0.000 claims description 77
- 238000013500 data storage Methods 0.000 claims description 34
- 230000010076 replication Effects 0.000 claims description 17
- 230000004044 response Effects 0.000 claims description 14
- 230000000295 complement effect Effects 0.000 claims description 10
- 238000007726 management method Methods 0.000 description 105
- 230000008569 process Effects 0.000 description 90
- 230000005540 biological transmission Effects 0.000 description 41
- 239000013589 supplement Substances 0.000 description 27
- 238000010586 diagram Methods 0.000 description 24
- 238000012986 modification Methods 0.000 description 22
- 230000004048 modification Effects 0.000 description 22
- 238000013523 data management Methods 0.000 description 14
- 239000000284 extract Substances 0.000 description 7
- 238000013478 data encryption standard Methods 0.000 description 5
- 230000033458 reproduction Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000014759 maintenance of location Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000003362 replicative effect Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
一般に、データ配信システムでは、会員登録をする、あるいは対価を払うなどにより、サーバ装置から端末装置にユーザにとって有益なデータが配信され、端末装置が保持するHDDなどの記憶媒体に格納される。
したがって、数多くの端末装置が同時に復元処理に伴う処理をサーバ装置に依頼した場合、サーバ装置の負荷が大きくなり、処理ができない、あるいは処理時間が長くなりすぎるという問題点がある。また、ネットワークに無用な負荷をかけることになる。
本発明は、かかる問題に鑑みてなされたものであり、暗号化してバックアップされたデータの復元が不正に行われるのを防ぎつつ、サーバ装置に対する依存度を抑えてその復元を行う端末装置を提供することを目的とする。
また、上記目的を達成するために、本発明の端末装置は、端末装置群たる第1及び第2のドメインに属する端末装置であって、前記第1又は第2のドメインで共用されるデータを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製手段と、前記複製データが前記第1のドメインに対応するものであれば、前記複製データを前記第1のドメインに関連付けて記憶媒体に格納し、前記複製データが前記第2のドメインに対応するものであれば、前記複製データを前記第2のドメインに関連付けて前記記憶媒体に格納するデータ格納手段とを備え、前記データ格納手段は、前記第1のドメインに共通の第1のドメイン鍵、または前記第2のドメインに共通の第2のドメイン鍵で、前記複製データを暗号化することによって、前記複製データを前記第1または第2のドメインに関連付けることを特徴とする。
また、本発明の端末装置は、端末装置群たる第1のドメインに属する端末装置であって、前記第1のドメインに共通の第1のドメイン鍵を保持する鍵保持手段と、前記第1のドメインで共用されるデータを複製することにより複製データを生成する複製手段と、前記鍵保持手段に保持されている第1のドメイン鍵を用い、前記複製データを暗号化して暗号化複製データを生成する暗号化手段と、前記暗号化複製データを記憶媒体に格納するデータ格納手段とを備えることを特徴とする。好ましくは、前記端末装置は、さらに、前記鍵保持手段に保持されている第1のドメイン鍵を用い、前記記憶媒体に格納されている暗号化複製データを復号化して前記複製データに復元する復号化手段を備える。
ここで、前記端末装置は、さらに、外部装置と通信回線を介した通信を行うことにより、前記復号化手段により復号化されたデータに対して、前記複製手段により削除された部分を前記外部装置に補完させる補完手段を備えることを特徴としても良い。
また、前記復号化手段は、通信回線を介して接続されたサーバ装置から、前記暗号化複製データの復号化に対して許可を受けている場合に、前記暗号化複製データの復号化を行うことを特徴としても良い。例えば、前記復号化手段は、前記暗号化複製データを復号化するときには、前記サーバ装置に復号化が可能か否かを問合せ、可能であるとの応答を受けた場合に、前記暗号化複製データの復号化を行う。
なお、本発明は、上記端末装置を備えるデータ保護システムや、データ保護方法、プログラムとしても実現することもできる。
以下、本発明における実施の形態1について、図面を用いて詳細に説明する。
図1は、本発明における実施の形態1のデータ保護システムSの全体の概略構成を示す図である。
このデータ保護システムSは、端末装置が保持するデータが破損、および消失した際に、可能な範囲でデータを保護するシステムであって、ドメイン管理を行うドメイン管理サーバ100と、暗号化バックアップデータを格納するネットワークストレージ200と、バックアップ対象となるデータを保持する端末装置300a〜300cと、これらを相互に接続する伝送路Nと、から構成されている。
なお、ドメインの設定において、1つの端末装置のみが属するドメインを形成するとしてもよいし、1つの端末装置が2つ以上のドメインに属するとしてもよい。
なお、ドメイン鍵等のセキュアに管理する必要のあるデータを、伝送路Nを通じて、ドメイン管理サーバ100と端末装置300a〜300cとの間で送受信する場合には、セキュリティを確保するため、安全な認証チャネル(Secure Authenticated Channel、以下、SACと記述)を確立してから、データの送受信を行う。SACの確立には、例えばSSL(Secure Socket Layer)やTLS(Transport Layer Security)を利用することができる。
具体的には、ネットワークストレージ200は、HDD(Hard Disk Drive)などの記憶媒体を備え、その記憶媒体は、テープによるデータのバックアップや、RAID(Redundant Array of Independent Disks)などにより、クラッシュ耐性に優れたものとして構成される。
端末装置300a〜300cは、伝送路Nと接続する機能を有し、ユーザがコンテンツ等のデータをモニター画面などで利用したり、ドメインごとのデータを保持し、データのバックアップや、データの復元を行う装置である。具体的には、端末装置300a〜300cは、デジタル放送を受信するためのSTB(Set Top Box)、デジタルTV、DVD(Digital Versatile Disc)レコーダ、HDD(Hard Disk Drive)レコーダ、PC(Personal Computer)などのコンテンツ表示装置、その他のレコーダ、あるいは、これらの複合機器である。
ここで、ドメイン識別子とは、データ保護システムSにおいてドメインを一意に特定するための情報である。また、端末識別子とは、データ保護システムSにおいて端末装置を一意に特定するための情報である。なお、本実施の形態では端末装置300aの端末識別子は「TERMINAL−ID−0001」として説明する。また、端末識別子は端末装置300a〜300cのそれぞれのROMに記憶されているとして以降の説明を行う。
まず、ドメイン管理サーバ100の詳細な構成について説明する。ドメイン管理サーバ100は、ドメイン情報を格納するドメイン情報格納部111と、ドメイン鍵を格納するドメイン鍵格納部112と、端末装置300と通信を行う通信部101と、ドメイン情報格納部111にドメイン情報の登録を行うドメイン情報登録部102と、端末装置300が属するドメインを判定するドメイン判定部103と、ドメイン鍵格納部112からドメイン鍵を取得するドメイン鍵取得部104と、ドメイン鍵の生成を行うドメイン鍵生成部105とを備える。
まず、ドメイン管理サーバ100の各格納部が保持するデータについて図を参照して説明する。
図3は、ドメイン管理サーバ100のドメイン情報格納部111が保持するドメイン管理テーブルのデータ構造を示す図である。
また、このドメイン管理テーブルD300は、ドメイン識別子D301が「DOMAIN−ID−0002」であるドメインに、端末識別子D302が「TERMINAL−ID−1001」、「TERMINAL−ID−1002」という2つの端末装置300が属していることを示している。
ドメイン鍵格納部112は、バックアップデータの暗号処理、および暗号化バックアップデータの復号処理に用いるドメイン鍵を管理するためのドメイン鍵管理テーブルD400を保持するデータベースである。このドメイン鍵管理テーブルD400は、端末装置300からのドメイン鍵取得要求に対してドメイン鍵が送信される際に、ドメイン鍵取得要求に含まれる端末識別子に対応するドメインのドメイン鍵を取得するために用いられる。具体的には、ドメイン鍵格納部112は、図4に示すドメイン鍵管理テーブルD400を有し、ドメイン識別子D401と、ドメイン鍵D402とを管理している。
なお、ドメイン情報格納部111、およびドメイン鍵格納部112へのデータ登録は、端末装置300を所有するユーザが、伝送路Nを通じて、データ配信サービスを運営する事業者のWebサイト(ドメイン管理サーバ100)に接続し、ドメイン登録画面により、オンラインで行われる。なお、そのデータ登録は登録用の葉書を用いる等、オフラインで行ってもよい。
次に、ネットワークストレージ200の格納部が保持するデータについて図を参照して説明する。
図5の(a)は、ネットワークストレージ200のデータ格納部211が保持するデータ管理テーブルのデータ構造を示す図である。
具体的には、データ格納部211は、図5の(a)に示すデータ管理テーブルD500を保持し、そのデータ管理テーブルD500はドメイン識別子D501と格納データD502とを関連付けている。
端末装置300のドメイン鍵格納部311は、バックアップデータの暗号処理、および復号処理に用いるドメイン鍵を管理するためのデータベースであって、ドメイン管理サーバ100より取得したドメイン鍵を格納するために用いられる。具体的に、ドメイン鍵格納部311は、ドメイン鍵格納部112が保持するドメイン管理テーブルD400と同様のテーブルを保持する。
データ格納部312は、端末装置300が保持するデータをドメインごとに管理するためのデータベースであって、図5の(b)に示すデータ管理テーブルD510を保持する。そしてこのデータ管理テーブルD510は、ドメイン識別子D511と、データ識別子D512と、格納データD513とを関連付けている。
但し、データの格納はドメインごとに行う必要があり、データがデータ格納部312に格納される際、そのデータは少なくともいずれか1つのドメインに属するデータとして格納されなければならない。なお、データがどのドメインに属するかは、端末装置300がデータを要求するデータ要求時、データ配信側のデータ配信時、端末装置300がデータを取得するデータ取得時など、どのタイミングで決定してもよい。以上の理由から、端末装置300は、データをドメインごとに管理し、データのバックアップ処理、および、データの復元処理もドメインごとに行う。
ライセンスは、データ配信システムの代表例であるコンテンツ配信システムで用いられるデータの1つである。ここで、コンテンツ配信システムについて簡単に説明する。
コンテンツ配信システムとは、コンテンツを、インターネット等の通信やデジタル放送等を通じて、サーバ装置から端末装置に配信し、端末装置においてコンテンツを利用することが可能となるシステムであり、コンテンツの著作権を保護し、悪意あるユーザ等によるコンテンツの不正利用を防止するため、著作権保護技術が用いられる。
以上で、コンテンツ配信システム、およびライセンスについて説明した。
図6は、ライセンスのデータ構造を示す図である。
ライセンス600は、コンテンツの利用可能な情報からなる利用条件601と、ライセンス600に対応する暗号化コンテンツの復号を行うためのコンテンツ鍵602とからなる。ここで、利用条件601とは、ライセンス600に対応するコンテンツの利用可能な回数、例えば「10回」や、利用可能な期間、例えば「2002年12月1日〜2003年2月13日」などである。
以上で、ライセンスのデータ構造について説明した。
ここで、データ保護システムSにおいて、データ保護に必要となる処理について説明する。
まず、データを保護するために端末装置300が保持するデータのバックアップ処理、および、バックアップしたデータに基づくデータ復元処理が必要である。また、本発明においてバックアップ処理およびデータ復元処理時にはドメイン鍵を予め取得しておく必要がある。また、バックアップしたデータのデータ内容を参照する処理が必要となる場合も想定される。例えば、保護対象のデータがライセンスの場合、バックアップしているライセンスの利用条件を、ユーザに提示する場合が想定される。
図7は、ドメイン管理サーバ100およびネットワークストレージ200と端末装置300との間の通信において送受信される通信メッセージのメッセージフォーマットの内容を示す図である。この図7に示す通信メッセージM700は、メッセージヘッダM701とメッセージ本体M702とからなる。
一方、メッセージ本体M702は各々の通信メッセージM700で固有の情報を含む。
まず、上述のドメイン鍵取得処理について説明する。
ドメイン鍵取得処理に関係する通信メッセージM700のデータ構造について図8および図9を参照して説明する。
この図8に示すように、メッセージ本体M702は、ドメイン鍵要求メッセージ本体M800として構成され、そのドメイン鍵要求メッセージ本体M800は端末識別子M801からなる。
この図9に示すように、メッセージ本体M702は、ドメイン鍵送信メッセージ本体M900として構成され、そのドメイン鍵送信メッセージ本体M900はドメイン識別子M901とドメイン鍵M902とからなる。
端末装置300は、ユーザの端末アプリケーションへのドメイン鍵取得指示により、ドメイン鍵取得処理を開始する。即ち、ドメイン鍵取得指示を受けた端末アプリケーションは、ドメイン鍵要求部302にドメイン鍵取得指示を行う。
検索の結果、端末識別子M801が存在する場合は、ドメイン判定部103は、端末装置300が属するドメインのドメイン識別子D301を特定して取得する(ステップS1913)。
ドメイン鍵取得部104は、ステップS1913で取得されたドメイン識別子と、ステップS1914で取得されたドメイン鍵とをメッセージ本体M702に含める。そしてドメイン鍵取得部104は、そのメッセージ本体M702にメッセージヘッダM701をつけて通信メッセージM700(ドメイン鍵送信メッセージ)を生成し、通信部101を通じて端末装置300に送信する(ステップS1915)。
なお、端末装置300が複数のドメインに属する場合には、端末装置300は、ユーザによって選択されたドメインに対応するドメイン鍵をドメイン管理サーバ100から取得して、その取得したドメイン鍵を上述のドメインのドメイン識別子に関連付けてドメイン鍵格納部311に格納しても良い。この場合には、端末装置300は、ユーザによって選択されたドメインのドメイン識別子をドメイン鍵要求メッセージに格納することで、そのドメイン識別子をドメイン管理サーバ100に伝え、そのドメイン識別子を一時的に記憶しておく。そして、端末装置300は、上述のように一時的に記憶していたドメイン識別子に、ドメイン管理サーバ100から取得したドメイン鍵を関連付ける。
以上で、ユーザがドメイン鍵取得指示を行い、端末装置300がドメイン管理サーバ100よりドメイン鍵を取得するまでの処理について説明した。
次に、端末装置300が、データのバックアップを行う際の処理について図を参照して説明する。まず、バックアップ時の処理に関係する通信メッセージM700のメッセージ本体M702のデータ構造について図11、および図12を参照して説明する。
図11に示すように、このメッセージ本体M702は、バックアップ要求メッセージ本体M1000として構成され、このバックアップ要求メッセージ本体M1000は、バックアップデータが暗号化された暗号化バックアップデータM1001とドメイン識別子M1002とからなる。
図12に示すように、このメッセージ本体M702は、バックアップ要求返信メッセージ本体M1100として構成され、このバックアップ要求返信メッセージ本体M1100は、端末装置300からの要求に対してネットワークストレージ200で行われた処理の結果を示す処理結果M1101からなる。
端末装置300は、ユーザの端末アプリケーションへのバックアップ指示により、端末装置300が保持するデータのバックアップ処理を開始する。即ち、ユーザからバックアップ指示を受けた端末アプリケーションは、バックアップ処理部303にバックアップ指示を行う。
ここで、ユーザは、端末装置300が2つ以上のドメインに属する場合は、バックアップ対象となるデータが、どのドメインに対応するかを特定する情報を入力する。ここではドメイン識別子を入力するとして説明する。また、ドメインに対応するデータの一部のみをバックアップする場合は、さらにデータを限定する情報を入力する。以上のドメイン識別子、およびデータを限定する情報をまとめて、バックアップ対象データ限定情報とする。
バックアップ処理部303は、ドメイン鍵格納部311より、ドメイン鍵を取得する(ステップS2032)。
暗号・復号部306は受信したバックアップデータをドメイン鍵を用いて暗号化し、暗号化バックアップデータを生成(ステップS2033)し、バックアップ処理部303に送信する。
ネットワークストレージ200は、通信部201を通じて上述のバックアップ要求メッセージを受信する(ステップS2021)。データ取得・格納部202は、バックアップ要求メッセージ本体M1000からドメイン識別子M1002を抽出し、データ格納部211のデータ管理テーブルD500からドメイン識別子M1002を検索し、そのドメイン識別子M1002に対応するドメインの暗号化バックアップデータである格納データD502の存在の有無を確認する(ステップS2022)。ドメイン識別子M1002に対応するドメインの暗号化バックアップデータが存在しない場合は、データ取得・格納部202は、新規のレコードを作成して暗号化バックアップデータM1001を格納(ステップS2023)し、ドメイン識別子M1002に対応するドメインの暗号化バックアップデータが存在する場合は、既存の暗号化バックアップデータのレコードに暗号化バックアップデータM1001を上書き(ステップS2024)する。
〈バックアップ処理の変形例1:付加データ〉
ここで、端末装置300は上述のようにバックアップデータを暗号化してネットワークストレージ200に格納するときには、以下の処理をしても良い。
付加データがデータバージョンを示す場合、端末装置300は、暗号化バックアップデータの生成回数をカウントして、そのカウント値をデータバージョンとして付加データを生成し、その付加データを暗号化バックアップデータに付加する。
付加データが暗号アルゴリズム識別子を示す場合、端末装置300は、暗号化バックアップデータを生成するために用いた例えばAES(Advanced Encryption Standard)やTriple DES(Data Encryption Standard)等の共通鍵暗号アルゴリズムなどを示す識別子を上述の暗号アルゴリズム識別子として付加データを生成し、その付加データを暗号化バックアップデータに付加する。ここで、暗号アルゴリズムとしては、AESやTriple DES等の共通鍵暗号アルゴリズムが一般的である。なお、データ保護システムSにおいて複数の暗号アルゴリズムをサポートする場合は、暗号化バックアップデータに、暗号化を行った暗号アルゴリズムの情報を付加する必要がある。
付加データがサーバ識別子を示す場合、端末装置300は、バックアップデータの元のデータの出所となるサーバ、即ちそのデータを配信しているサーバから、そのデータとともにサーバ識別子(例えば、URL(uniform resource locator)や位置情報など)を予め取得しておく。そして、端末装置300はそのデータから暗号化バックアップデータを生成したときには、そのサーバ識別子を示す付加データを生成してその暗号化バックアップデータに付加する。
また、図13のステップS2024において、ドメイン識別子M1002に対応する暗号化バックアップデータが存在する場合、上書きするとして説明したが、既存の暗号化バックアップデータに付加データとしてデータバージョン又はバックアップ処理時刻が付加されていれば、同様の付加データが付加された新たな暗号化バックアップデータM1001を上書きすることなく追加的に格納しても良い。
〈バックアップ処理の変形例2:ドメインのデータをバックアップ〉
また、端末装置300は、同一ドメインに属する他の端末装置300が保持するデータを取得して、取得したデータに基づいて暗号化バックアップデータを生成する。
バックアップの対象となるデータがライセンスの場合、「データが重複する」とは、それぞれのライセンスに対応するコンテンツ識別子が同一であることを意味する。そして、複数のライセンスが重複している、つまり複数のライセンスに対応するコンテンツ識別子が同一であるときには、端末装置200は何れかのライセンスをバックアップデータとしても良い。
また、端末装置300は、生成した暗号化バックアップデータをそのデータ種別に応じて異なるネットワークストレージ200に格納する。即ち、データ保護システムSはセキュリティレベルが異なる複数のネットワークストレージ200を備えており、端末装置300は、そのバックアップデータであるライセンスを、利用条件とコンテンツ鍵とに分けて暗号化したときには、利用条件を示す暗号化バックアップデータを低セキュリティレベルのネットワークストレージ200に格納し、コンテンツ鍵を示す暗号化バックアップデータを高セキュリティレベルのネットワークストレージ200に格納する。また、端末装置300は、データ種別に関わりなく、1つの暗号化バックアップデータを分割し、複数のネットワークストレージ200に分散して格納しても良い。なお、このように暗号化バックアップデータが分散して格納された場合、分散されたデータのうち何れか1つでも取得することができなければ、元のバックアップデータに復元することができなくなる。
端末装置300は、自らが保持するデータが複数のドメインに関連付けられている場合には、そのデータをドメインの数だけ複製し、それぞれのバックアップデータを、各ドメインに対応するドメイン鍵で暗号化し、複数の暗号化バックアップデータを生成する。
以上の説明では、バックアップデータであるライセンスの構成要素である利用条件とコンテンツ鍵を意識することなく、一緒に暗号化し、バックアップするとして説明したが、利用条件と、コンテンツ鍵とを別々に暗号化処理するとしてもよい。具体的には、利用条件はドメイン鍵で暗号化し、コンテンツ鍵は端末装置300ごとに設定された共通鍵暗号方式の鍵で暗号化する、などである。この場合、利用条件の内容参照はドメイン内の端末装置300であれば可能だが、コンテンツ鍵のデータ復元処理は、バックアップを行った端末装置300でのみ可能となる。
また、「コンテンツ鍵は、データ自体の保護が必要なため、暗号化する必要があるが、利用条件は、改ざんされなければよい」という運用も考えられる。その場合は、バックアップ処理時に、利用条件は暗号化ではなく、改ざん検出の一手法としての署名を行うとしてもよい。署名する鍵は、ドメインごとに設定される公開鍵暗号方式の秘密鍵、あるいは端末装置300ごとに設定される公開鍵暗号方式の秘密鍵、あるいはドメイン管理サーバ100に設定される公開鍵暗号方式の秘密鍵が想定される。
まず、内容参照時の処理に関係する通信メッセージM700のメッセージ本体M702のデータ構造について図14、および図15を参照して説明する。
図14に示すように、このメッセージ本体M702は、バックアップデータ取得要求メッセージ本体M1200として構成され、そのバックアップデータ取得要求メッセージ本体M1200はドメイン識別子M1201からなる。
図15に示すように、このメッセージ本体M702は、バックアップデータ送信メッセージ本体M1300として構成され、このバックアップデータ送信メッセージ本体M1300は、暗号化バックアップデータM1301と、ドメイン識別子M1302とからなる。
端末装置300が、ネットワークストレージ200に格納されている暗号化バックアップデータの内容を参照するまでの処理について図16を参照して説明する。
端末装置300は、ユーザの端末アプリケーションへのバックアップデータ内容参照指示により、ネットワークストレージ200に格納されている暗号化バックアップデータの内容の参照処理を開始する。即ち、ユーザから内容参照指示を受けた端末アプリケーションは、バックアップデータ参照部305に内容参照指示を行う。ここで、ユーザは、参照する暗号化バックアップデータに対応するドメイン識別子を入力する。
バックアップデータ取得要求メッセージ本体M1200に含まれるドメイン識別子M1201は、内容参照の対象となる暗号化バックアップデータに対応するドメイン識別子である。
バックアップデータ参照部305は、そのバックアップデータ送信メッセージより、ドメイン識別子M1302を抽出し、ドメイン鍵格納部311においてドメイン識別子M1302をキーとしてドメイン鍵を特定し、これを取得する。なお、ネットワークストレージ200は、バックアップデータ送信メッセージ本体M1300にドメイン識別子M1302を含めなくても良い。この場合、端末装置300は、バックアップデータ取得要求メッセージに含めたドメイン識別子M1201を一時的に記憶しておき、その記憶しておいたドメイン識別子1201に対応するドメイン鍵をドメイン鍵格納部311から特定してこれを取得する。
バックアップデータ参照部305は、暗号化バックアップデータM1301とドメイン鍵とを暗号・復号部306に送信する。暗号・復号部306は、受信したその暗号化バックアップデータM1301の復号処理を行い(ステップS2133)、復号されたバックアップデータをバックアップデータ参照部305に送信する。バックアップデータ参照部305は、受信したバックアップデータの中でユーザが参照したいデータ内容をユーザに提示する(ステップS2134)。本実施の形態ではユーザが確認したい内容とはライセンスの利用条件である。なお、ユーザが参照したいデータを指定する情報を入力し、端末装置300はその情報に従い、ユーザに提示するデータ内容を変えてもよい。
ここで、ネットワークストレージ200に格納されている暗号化バックアップデータに上述の例えば復元有効期限を示す付加データが付加されている場合には、端末装置300は、その付加データの内容を表示してユーザに知らしめる。
データ復元時の処理に関係する通信メッセージのデータ構造は、上述の内容参照時に関する通信メッセージのデータ構造と同様である。
端末装置300が、ネットワークストレージ200に格納してある暗号化バックアップデータを復元するまでの処理について図17を参照して説明する。
端末装置300は、ユーザの端末アプリケーションへのデータ復元指示により、ネットワークストレージ200に格納されている暗号化バックアップデータの復元処理を開始する。即ち、ユーザからデータ復元指示を受けた端末アプリケーションは、データ復元部304にデータ復元指示を行う。ここで、ユーザは、復元の対象となる暗号化バックアップデータに対応するドメイン識別子を入力する。
〈復元処理の変形例1:付加データ〉
ここで、端末装置300は上述のように暗号化バックアップデータを復元するときには、以下の処理をしても良い。
例えば、付加データが復元有効期限を示す場合、端末装置300は、その付加データが付加された暗号化バックアップデータをネットワークストレージ200から取得して、その付加データが示す復元有効期限を確認する。そして、端末装置300は、現在の日時が復元有効期限を経過してしまっていると判断したときには、暗号化バックアップデータに対する復元を行わず、復元有効期限を経過していないと判断したときには、暗号化バックアップデータに対する復元を行う。
端末装置300は、上述のように他の端末装置に対して復元を許可するか否かを判定するため、復元が許可される端末装置の端末識別子が登録されたリストを管理している。即ち、他の端末装置が端末装置300に復元の問合せをするときには、その他の端末装置は自らの端末識別子を通知する。そしてその通知を受けた端末装置300は、その通知により示される端末識別子を上述のリストから検索し、リストにその端末識別子があれば、問合せをしてきた端末装置に対して復元を許可し、リストにその端末識別子がなければ、問合せをしてきた端末装置に対して復元を許可しない。また、端末装置300は、リストにその端末識別子があっても、その端末識別子の端末装置に対して既に所定の回数だけ復元を許可している場合には、その端末装置に対して復元を許可しなくても良い。
サーバは、上述のように端末装置300に対して復元を許可するか否かを判定するため、端末装置300又はユーザごとに、これまで復元を許可してきた回数(データ復元回数)を管理する。即ち、端末装置は300は、サーバに対して復元をしても良いか否かを問い合わせるときには、自らの端末識別子をサーバに通知する。サーバは、その通知に示される端末識別子から、問い合わせてきた端末装置300又はそのユーザを特定し、その端末装置300又はユーザに対するデータ復元回数が所定の回数以下であれば、その端末装置300に対して復元を許可し、データ復元回数が所定の回数を上回る場合には、その端末装置300に対する復元を許可しない。なお、上述では端末装置300は、付加データの示すサーバに対して復元をしても良いか否かを問合せたが、サービスから一意に特定されるサーバや、端末装置300から一意に特定されるサーバに対して問い合わせても良い。
また、ドメインごとに管理されるデータは、ドメインに含まれる端末装置300のデータ取得あるいは、データ消費処理により、時間と共に変化するものである。端末装置300は、バックアップ時、およびデータ復元時において、ドメイン内に含まれる端末装置300間で通信を行いドメインとして保持するデータの整合性チェックを行っても良い。
ここで、本実施の形態の全体的な処理に関する変形例について説明する。
上記説明では、バックアップデータの暗号・復号は、ドメインごとに設定される共通鍵暗号方式の鍵であるドメイン鍵を用いて行われるとしたが、以下のような鍵を用いて暗号・復号をしてもよい。
また、バックアップデータを暗号化する鍵として、ドメイン管理サーバ100の共通鍵暗号方式の鍵、あるいは公開鍵暗号方式の鍵ペアも考えられる。例えば、端末装置300がドメイン管理サーバ100の公開鍵とドメイン鍵とを保持しており、暗号化バックアップデータの復元をドメイン管理サーバ100の制御なしに端末装置300が自由に行ってよい場合は、端末装置300は、ドメイン鍵でバックアップデータの暗号化を行う。また、ドメイン管理サーバ100が暗号化バックアップデータの復元の可否を制御する場合は、端末装置300は、ドメイン管理サーバ100の公開鍵で、バックアップデータの暗号化を行うとしてもよい。ドメイン管理サーバ100の公開鍵でバックアップデータが暗号化された場合、端末装置300はデータ復元時にドメイン管理サーバ100に暗号化バックアップデータの復号処理を依頼する必要がある。つまり、ドメイン管理サーバ100は、暗号化バックアップデータの復元の可否を制御することができる。なお、バックアップデータの暗号化をどちらの鍵で行うかは、ドメイン管理サーバ100が決定してもよいし、端末装置300が決定するとしてもよい。
本変形例に係る端末装置300は、データ配信サーバから取得したデータに対するバックアップ処理や、暗号化バックアップデータの復元処理、暗号化バックアップデータの参照処理などの各処理を行うときには、そのデータや暗号化バックアップデータに設定されたデータ種別に応じた処理を行う。ここで、データ種別は、データ配信サーバにより各データに対して設定されたものである。端末装置300は、データ配信サーバからそのデータ種別が設定されたデータを取得し、そのデータ種別が設定されたデータを複製してバックアップデータを生成する。
さらに、端末装置300は、暗号化バックアップデータを復元するときには、その暗号化バックアップデータに設定されているデータ種別から、そのバックアップデータを復元できるか否かを判別する。端末装置300は、復元できると判別したときには、復元処理を行い、復元できないと判別したときには、復元処理を中止する。
本変形例に係るネットワークストレージ200は、端末装置300からの暗号化バックアップデータを限られた記憶容量に格納するために、端末装置300から暗号化バックアップデータを取得するごとに、既に格納されている暗号化バックアップデータのうち、例えば最も古い暗号化バックアップデータを削除する。
また、ネットワークストレージ200は、格納している暗号化バックアップデータに上述の付加データが付加されている場合には、その付加データの内容に応じて暗号化バックアップデータの削除を行う。即ち、付加データに復元有効期限が示されているときには、ネットワークストレージ200は、現在の日時がその付加データの復元有効期限を経過しているか否かを判別する。そしてネットワークストレージ200は、復元有効期限を経過していればその付加データに対応する暗号化バックアップデータを削除する。
また、ネットワークストレージ200は、格納している暗号化バックアップデータを例えば古いものから順に定期的に削除する。
本変形例に係る端末装置300は、ドメイン管理サーバ100又はデータ配信サーバから配信される制御情報に基いて、バックアップ処理や復元処理やデータ参照処理などの制御を行う。
ドメイン管理サーバ100又はデータ配信サーバは、このような制御情報を生成するための制御情報一覧表を有している。
このような制御情報一覧表Cd1には、バックアップ処理や復元処理などの処理種別と、各処理種別に対して制御単位や制御対象などの制御情報に含める必要がある項目と、各項目に対するデータ内容とが記録されている。
制御情報Ci1は、制御単位と、処理種別及び制御内容からなる処理別制御情報とを含む。
ドメイン管理サーバ100又はデータ配信サーバは、例えば、端末装置300ごとにバックアップ処理に対する制御を行うときには、制御単位として所定の端末装置300の端末識別子を格納し、処理種別としてバックアップ処理を格納し、制御内容として制御対象と暗号アルゴリズム種別と署名方法と処理種別と付加データ種別とを格納する。例えば、ドメイン管理サーバ100又はデータ配信サーバは、制御対象として「利用条件」を格納し、暗号アルゴリズム種別として「DES」を格納し、署名方法として「署名なし」を格納し、処理種別として「コンテンツ鍵を削除してバックアップ」を格納し、付加種別として「復元有効期限」を格納する。このような制御情報Ci1を取得した端末装置300は、バックアップ処理を行うときには、ライセンスに含まれる利用条件のみを「DES」で暗号化して暗号化バックアップデータを生成し、その暗号化バックアップデータに対して復元有効期限を示す付加データを付加する。また、制御情報Ci1には、制御対象や暗号アルゴリズム種別などの各項目に対して編集可否フラグが格納される。この編集可否フラグは、端末装置300のユーザによる操作に基いて編集可能か否かを示す。
以上、本発明について本実施の形態及び変形例を用いて説明したが、本発明はこれらに限定されるものではない。
また、ネットワークストレージ200と端末装置300との通信においてもSACを確立するとしてもよい。
例えば、復元処理時に、ライセンスの利用条件の有効期間が切れている場合、ネットワークストレージ200は、有効期間が切れているライセンスを端末装置300に送信しない、あるいは利用条件の内容を変更して端末装置300に送信する。また、暗号化バックアップデータとしてライセンスが複数存在し、一部のライセンスの有効期限が切れている場合、ネットワークストレージ200はその一部の有効期限が切れているライセンスに対してのみ上記処理をしても良いし、全てのライセンスに対して上記処理を行っても良い。
以下、本発明における実施の形態2について、図面を用いて詳細に説明する。
図20は、本発明における実施の形態2のデータ保護システムの構成を示す構成図である。
本実施の形態のデータ保護システムは、図1に示したデータ保護システムSの構成要素と、データ補完サーバ400とを備える。ドメイン管理サーバ100、ネットワークストレージ200、および端末装置300の詳細な構成は、実施の形態1と同様であるため説明を省略する。ここでは、実施の形態1と構成の異なるデータ補完サーバ400の詳細な構成について説明する。なお、端末装置300a〜300cは、実施の形態1と同様、何れも同一の構成を有するため、端末装置300a〜300cのうち何れか1つを端末装置300として図20に表す。
そこで本実施の形態におけるデータ補完サーバ400は、その暗号化バックアップデータが復号化されたバックアップデータを端末装置300から受信し、そのバックアップデータに欠落した情報を補完することで、元のデータに復元する。そしてデータ補完サーバ400はその復元したデータを端末装置300に送信する。具体的には、データ補完サーバ400は、ドメイン識別子、コンテンツ識別子と利用条件、および、コンテンツ識別子とコンテンツ鍵を管理しており、端末装置300からのデータ復元要求に基づき、データの復元処理を行い、伝送路Nを通じて、復元したデータを端末装置300a〜300cに配信する。なお、本実施の形態では、復号処理及び補完処理からデータの復元を行う。
データ補完サーバ400は、利用条件を格納する利用条件格納部411と、コンテンツ鍵を格納するコンテンツ鍵格納部412と、端末装置300と通信を行う通信部401と、利用条件格納部411、およびコンテンツ鍵格納部412からデータを取得し、データを補完し、復元データの生成を行うデータ補完部402とから構成される。
ここで、本実施の形態2で新たに扱うデータのデータ構造について説明する。データ補完サーバ400の各格納部が保持するデータについて図を参照して説明する。
利用条件格納部411は、利用条件を管理するための利用条件管理テーブルを有するデータベースであって、その利用条件管理テーブルは、利用条件を識別するための情報と利用条件との関連付けを示す。
利用条件格納部411は、図21に示す利用条件管理テーブルD1500を有し、利用条件を識別するための情報としてのドメイン識別子D1501およびコンテンツ識別子D1502と、利用条件としてのライセンスの有効期間D1503およびコンテンツの利用可能回数D1504とを管理している。
コンテンツ鍵格納部412は、コンテンツ鍵を管理するためのコンテンツ鍵管理テーブルを有するデータベースであって、そのコンテンツ鍵管理テーブルはコンテンツ識別子とコンテンツ鍵との関連付けを示す。
コンテンツ鍵格納部412は、図22に示すコンテンツ鍵管理テーブルD1600を有し、コンテンツ識別子D1601とコンテンツ鍵D1602とを管理している。
例えば、図22において、コンテンツ鍵管理テーブルD1600は、「CONTENT−ID−0001」のコンテンツ識別子D1601に対応するコンテンツのコンテンツ鍵D1602が「CONTENT−KEY−0001」であることを示している。
実施の形態1ではバックアップ対象のデータであるライセンスを構成する利用条件およびコンテンツ鍵の両者を暗号化又は署名を行ってバックアップする方法について説明した。実施の形態2ではライセンスを構成する利用条件およびコンテンツ鍵のいずれか一方のみをバックアップし、復元処理時に、データ補完サーバ400を利用してデータを復元する方法について説明する。
以上の構成のデータ保護システムにおいて、端末装置300がデータのバックアップを行う際の処理、および端末装置300が暗号化バックアップデータの復元を行う際の処理について図を参照して説明する。
まず、端末装置300がデータのバックアップを行う際の処理について図23を参照して説明する。
なお、バックアップ処理に関係する通信メッセージM700のデータ構造については、実施の形態1のバックアップ処理に関する通信メッセージM700と同様であるため、説明を省略する。
図23は、バックアップ処理を示すフロー図である。
端末装置300は、ユーザの端末アプリケーションへのバックアップ指示により、端末装置300が保持するデータのバックアップ処理を開始する。即ち、ユーザからバックアップ指示を受けた端末アプリケーションは、バックアップ処理部303にバックアップ指示を行う。ここで、ユーザは必要であればバックアップ対象データ限定情報を入力する。
バックアップ処理部303は、そのバックアップデータから各々のライセンスのコンテンツ鍵をセキュアに削除する(ステップS2332)。ここでセキュアに削除するとは、コンテンツ鍵を第3者に盗聴されることなく、コンテンツ鍵のデータを消去することである。また、バックアップ処理部303は、コンテンツ鍵が削除されたバックアップデータに対して、そこに含まれる各ライセンスに対応するコンテンツ識別子を関連付ける。
なお、バックアップ処理部303がドメイン鍵を取得してからバックアップ対象のデータをバックアップするまでの処理(ステップS2333〜ステップS2336)、およびネットワークストレージ200が行う処理(ステップS2321〜ステップS2325)は、実施の形態1のバックアップ処理で説明した処理(図20のステップS2032〜ステップS2035、およびステップS2021〜ステップS2025)と同じであるため説明を省略する。
ここで、端末装置300は、上述のようにデータを複製し暗号化してネットワークストレージ200にバックアップするときには、実施の形態1と同様、暗号化バックアップデータに付加データを付加しても良い。また、本変形例における付加データは、復元有効期限などの他、データ補完サーバ400を識別するための補完サーバ識別子であっても良い。
まず、データ復元処理に関係する通信メッセージM700のデータ構造について図を参照して説明する。
図24は、端末装置300がデータ補完サーバ400に対してデータの補完を要求するときに送信される通信メッセージM700(データ復元要求メッセージ)のメッセージ本体M702のデータ構造を示す図である。
図25は、データ補完サーバ400から端末装置300に送信される通信メッセージM700(復元データ送信メッセージ)のメッセージ本体M702のデータ構造を示す図である。
また、端末装置300がネットワークストレージ200から暗号化バックアップデータを取得する処理に関係する通信メッセージM700のメッセージ本体M702のデータ構造については、実施の形態1の図14および図15に示すデータ構造と同一であるため、説明を省略する。
ユーザのデータ復元指示により、端末装置300がネットワークストレージ200に暗号化バックアップデータを要求し、復号するまでの処理(ステップS2431〜ステップS2433、およびステップS2421〜ステップS2423)は、実施の形態1の図22に示す処理(ステップS2231〜ステップS2233、およびステップS2221〜ステップS2223)と同じであるため説明を省略する。
ここで、データ復元要求メッセージ本体M1700に含まれる利用条件M1711は、復号化されたバックアップデータの利用条件であって、コンテンツ識別子M1712は、バックアップデータにおいてその利用条件と関連付けられているコンテンツ識別子である。
データ補完部402は、そのデータ復元要求メッセージより、復元用データM1701のコンテンツ識別子M1712を抽出し、コンテンツ鍵格納部412において、コンテンツ識別子M1712をキーとしてコンテンツ鍵D1602を特定し、これを取得する。そしてデータ補完部402は、利用条件M1711とコンテンツ鍵D1602とから復元データM1801を生成する、すなわちコンテンツ鍵を補完することによりデータを復元する。上記データ復元処理は復元用データM1701ごとに繰り返され、データの復元が行われる(ステップS2442)。
復元データ送信メッセージ本体M1800に含まれる復元データM1801はステップS2442で復元したデータである。
データ復元部304は、通信部301を通じてその復元データ送信メッセージを受信する(ステップS2435)。
なお、ここでは端末装置300が利用条件とコンテンツ識別子とをデータ補完サーバ400に送信し、データ補完サーバ400がデータを復元するとして説明したが、端末装置300がコンテンツ識別子のみをデータ補完サーバ400に送信して、対応するコンテンツ鍵を取得し、端末装置300のデータ復元部304がデータの復元を行うとしてもよい。
ここで、本変形例に係る端末装置300は、実施の形態1と同様、暗号化バックアップデータに付加データが付加されている場合には、その付加データにより示される内容に応じた処理を行う。例えば、付加データが補完サーバ識別子を示す場合、端末装置300は、その補完サーバ識別子により示されるデータ補完サーバ400に対してデータの復元を要求する。
本実施の形態の端末装置300は、実施の形態1の端末装置300と同様、暗号化バックアップデータの内容を表示するとともに、暗号化バックアップデータに付加データが付加されているときには、その付加データの内容を表示する。例えば、その付加データが補完サーバ識別子を示すときには、その補完サーバ識別子や、その補完サーバ識別子に対応するデータ補完サーバ400の名称などを表示する。
〈全体的な変形例1:制御情報〉
本変形例に係る端末装置300は、実施の形態1の変形例と同様、ドメイン管理サーバ100又はデータ配信サーバから配信される制御情報に基いて、バックアップ処理や復元処理やデータ参照処理などの制御を行う。
本変形例に係る端末装置300は、実施の形態1の変形例と同様、データ配信サーバから取得したデータに対するバックアップ処理や、暗号化バックアップデータの復元処理、バックアップデータの参照処理などの各処理を行うときには、そのデータやバックアップデータに設定されたデータ種別に応じた処理を行う。
また、端末装置300は、データの補完をデータ補完サーバ400に要求するときには、バックアップデータのデータ種別に応じて、その要求ができるか否かを先に判別する。その結果、端末装置300は、要求することができないと判別すると、その要求を行わず、要求することができると判別すると、データ補完サーバ400に対してデータの補完を要求する。
以上、本発明について本実施の形態及び変形例を用いて説明したが、本発明はこれらに限定されるものではない。
例えば本実施の形態では、コンテンツ鍵を削除したが、利用条件を削除しても良い。この場合には、暗号化されたコンテンツ鍵が暗号化バックアップデータとしてネットワークストレージ200に格納され、データ復元時に、データ補完サーバ400がそのコンテンツ鍵に利用条件を補完する。また、データを復元するために、データ補完サーバ400は、利用条件を特定するための情報とコンテンツ鍵とを関連付けた利用条件管理テーブルD1500を保持しなければならない。例えば、この利用条件管理テーブルD1500は、図21で説明した利用条件管理テーブルD1500のドメイン識別子D1501とコンテンツ識別子D1502の組の代わりに、利用条件を特定するための情報を保持する。
101 通信部
102 ドメイン情報登録部
103 ドメイン判定部
104 ドメイン鍵取得部
105 ドメイン鍵生成部
111 ドメイン情報格納部
112 ドメイン鍵格納部
200 ネットワークストレージ
201 通信部
202 データ取得・格納部
211 データ格納部
300,300a〜300b 端末装置
301 通信部
302 ドメイン鍵要求部
303 バックアップ処理部
304 データ復元部
305 バックアップデータ参照部
306 暗号・復号部
311 ドメイン鍵格納部
312 データ格納部
S データ保護システム
Claims (28)
- 端末装置群たる第1及び第2のドメインに属する端末装置であって、
前記第1のドメインに共通の第1のドメイン鍵、及び前記第2のドメインに共通の第2のドメイン鍵を保持する鍵保持手段と、
前記第1又は第2のドメインで共用されるデータである、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製手段と、
前記複製データが前記第1のドメインに対応するものであれば、前記複製データを前記第1のドメインに関連付けて記憶媒体に格納し、前記複製データが前記第2のドメインに対応するものであれば、前記複製データを前記第2のドメインに関連付けて前記記憶媒体に格納するデータ格納手段とを備え、
前記データ格納手段は、
前記複製データが第1のドメインに対応するものであれば、前記第1のドメイン鍵を用いて前記複製データを暗号化し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメイン鍵を用いて前記複製データを暗号化することにより暗号化複製データを生成するとともに前記複製データを前記第1または第2のドメインに関連付ける暗号化手段と、
前記暗号化手段で生成された暗号化複製データを前記記憶媒体に格納する格納手段とを備え、
前記暗号化手段は、前記暗号化複製データの取り扱いに関する内容を示し、前記利用の条件に基づいて生成される付加情報を、当該暗号化複製データに付し、
前記格納手段は、前記付加情報が付された前記暗号化複製データを前記記憶媒体に格納する
ことを特徴とする端末装置。 - 前記複製データが前記第1のドメインに対応するものであれば、前記第1のドメインを識別するための識別子を、暗号化された前記複製データに付して前記記憶媒体に格納し、前記複製データが前記第2のドメインに対応するものであれば、前記第2のドメインを識別するための識別子を、暗号化された前記複製データに付して前記記憶媒体に格納する
ことを特徴とする請求項1記載の端末装置。 - 前記複製手段は、生成された複製データの内容に応じて、前記複製データの一部を削除し、前記削除された残りの複製データに対してデジタル署名を施し、
前記データ格納手段は、デジタル署名が施された複製データを前記記憶媒体に格納する
ことを特徴とする請求項2記載の端末装置。 - 前記複製手段は、前記データに対する複製データのうち、コンテンツ鍵を示す部分を削除する
ことを特徴とする請求項3記載の端末装置。 - 前記端末装置は、さらに、
前記鍵保持手段に保持されている第1又は第2のドメイン鍵を用い、前記記憶媒体に格納されている暗号化複製データを復号化して前記複製データに復元する復号化手段を備える
ことを特徴とする請求項1記載の端末装置。 - 前記暗号化手段は、生成された前記暗号化複製データの暗号化に用いられた第1又は第2のドメイン鍵を識別するための識別子を前記暗号化複製データに付し、
前記格納手段は、前記識別子が付された暗号化複製データを前記記憶媒体に格納し、
前記復号化手段は、前記記憶媒体に格納されている暗号化複製データを復号化するときには、前記暗号化複製データに付された識別子に基いて、前記暗号化複製データの暗号化に用いられた第1又は第2のドメイン鍵を特定し、特定した第1又は第2のドメイン鍵を用いて前記暗号化複製データの復号化を行う
ことを特徴とする請求項5記載の端末装置。 - 前記複製手段は、生成された複製データの内容に応じて、前記複製データの一部を削除し、
前記暗号化手段は、前記削除された残りの複製データを暗号化して前記暗号化複製データを生成する
ことを特徴とする請求項5記載の端末装置。 - 前記複製手段は、前記データに対する複製データのうち、コンテンツ鍵を示す部分を削除する
ことを特徴とする請求項7記載の端末装置。 - 前記端末装置は、さらに、
外部装置と通信回線を介した通信を行うことにより、前記復号化手段により復号化されたデータに対して、前記複製手段により削除された部分を前記外部装置に補完させる補完手段を備える
ことを特徴とする請求項8記載の端末装置。 - 前記復号化手段は、通信回線を介して接続されたサーバ装置から、前記暗号化複製データの復号化に対して許可を受けている場合に、前記暗号化複製データの復号化を行う
ことを特徴とする請求項5記載の端末装置。 - 前記復号化手段は、前記暗号化複製データを復号化するときには、前記サーバ装置に復号化が可能か否かを問合せ、可能であるとの応答を受けた場合に、前記暗号化複製データの復号化を行う
ことを特徴とする請求項10記載の端末装置。 - 前記端末装置は、さらに、
前記復号化手段により復元された複製データの内容をユーザに参照させる参照手段を備える
ことを特徴とする請求項5記載の端末装置。 - 前記暗号化手段は、データ内容の開示が認められて改変が禁止される複製データに対しては、デジタル署名により前記暗号化複製データを生成する
ことを特徴とする請求項1記載の端末装置。 - 前記端末装置は、さらに、
前記第1及び第2のドメイン鍵を配信する鍵サーバ装置と通信回線を介して通信する通信手段を備え、
前記鍵保持手段は、前記鍵サーバ装置から前記通信手段を介して前記第1及び第2のドメイン鍵を取得して保持する
ことを特徴とする請求項1記載の端末装置。 - 前記鍵保持手段は、
前記通信手段を介して前記鍵サーバ装置に前記第1及び第2のドメイン鍵を要求することにより、前記第1及び第2のドメイン鍵を取得して保持する
ことを特徴とする請求項14記載の端末装置。 - 前記第1及び第2のドメイン鍵のうち少なくとも1つは、共通鍵暗号化方式の暗号鍵である
ことを特徴とする請求項15記載の端末装置。 - 前記暗号化手段は、前記暗号化複製データの復元可能な期間を示す復元有効期限を、前記付加情報として前記暗号化複製データに付し、
前記復号化手段は、前記付加情報が示す復元有効期限と現在の日時を比較し、現在の日時が前記復元有効期限を経過している場合は、前記暗号化複製データの復号化を行わない、
請求項5記載の端末装置。 - 前記暗号化手段は、前記暗号化複製データを生成した時刻を示すバックアップ処理時刻を、前記付加情報として前記暗号化複製データに付し、
前記復号化手段は、前記付加情報が示すバックアップ処理時刻を参照し、最新のバックアップ処理時刻が付された暗号化複製データを前記記憶媒体から取得して当該暗号化複製データの復号化を行う、
請求項5記載の端末装置。 - 前記暗号化手段は、前記暗号化複製データの生成回数を示すデータバージョンを、前記付加情報として前記暗号化複製データに付し、
前記復号化手段は、前記付加情報が示すデータバージョンを参照し、最新のデータバージョンが付された暗号化複製データを前記記憶媒体から取得して当該暗号化複製データの復号化を行う、
請求項5記載の端末装置。 - 前記端末装置は、さらに、データを表示する表示手段を備え、
前記暗号化手段は、前記暗号化複製データを参照するために用いられる参照専用データを、前記付加情報として前記暗号化複製データに付し、
前記表示手段は、前記付加情報が示す参照専用データを表示する、
請求項1記載の端末装置。 - 前記暗号化手段は、前記端末装置を一意に特定するための端末識別子を、前記付加情報として前記暗号化複製データに付し、
前記復号化手段は、前記付加情報が示す端末識別子が前記端末装置を示していない場合には、前記端末識別子によって示される他の端末装置に復元の可否を問い合わせ、復元の許可が得られない場合には、前記暗号化複製データの復号化を中止する、
請求項5記載の端末装置。 - 端末装置群たる第1及び第2のドメイン、並びに前記各端末装置と通信するサーバ装置を備えて、前記第1及び第2のドメインのそれぞれで共用されるデータを保護するデータ保護システムであって、
前記サーバ装置は、前記第1のドメインに属する各端末装置に対して共通の第1のドメイン鍵を配信するとともに、前記第2のドメインに属する各端末装置に対して共通の第2のドメイン鍵を配信し、
前記第1及び第2のドメインに属する端末装置は、
前記第1及び第2のドメイン鍵を前記サーバ装置から取得して保持する鍵保持手段と、
前記第1又は第2のドメインで共用されるデータである、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製手段と、
前記複製データが第1のドメインに対応するものであれば、前記第1のドメイン鍵を用いて前記複製データを暗号化し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメイン鍵を用いて前記複製データを暗号化することにより暗号化複製データを生成する暗号化手段と、
前記暗号化手段で生成された暗号化複製データを記憶媒体に格納する格納手段と
を備え、
前記暗号化手段は、前記暗号化複製データの取り扱いに関する内容を示し、前記利用の条件に基づいて生成される付加情報を、当該暗号化複製データに付し、
前記格納手段は、前記付加情報が付された前記暗号化複製データを前記記憶媒体に格納する
ことを特徴とするデータ保護システム。 - 前記第1及び第2のドメインに属する端末装置は、さらに、
前記鍵保持手段に保持されている第1又は第2のドメイン鍵を用い、前記記憶媒体に格納されている暗号化複製データを復号化して前記複製データに復元する復号化手段を備える
ことを特徴とする請求項22記載のデータ保護システム。 - 前記複製手段は、複製した複製データの内容に応じて、前記複製データの一部を削除し、
前記暗号化手段は、前記削除された残りの複製データを暗号化して前記暗号化複製データを生成する
ことを特徴とする請求項23記載のデータ保護システム。 - 前記データ保護システムは、さらに、
前記第1及び第2のドメインに属する端末装置と通信することにより、前記復号化手段により復号化されたデータに対して、前記複製手段により削除された部分を補完する補完サーバ装置を備える
ことを特徴とする請求項22記載のデータ保護システム。 - 前記暗号化手段は、前記暗号化複製データの元のデータの出所となるサーバ装置を一意に特定するためのサーバ識別子を、前記付加情報として前記暗号化複製データに付し、
前記復号化手段は、前記付加情報が示すサーバ識別子により特定されるサーバ装置に復元の可否を問い合わせ、復元の許可が得られない場合には、前記暗号化複製データの復号化を中止する、
請求項5記載の端末装置。 - 端末装置群たる第1及び第2のドメインに属する端末装置が前記第1又は第2のドメインで共用されるデータを保護する方法であって、
前記第1のドメインに共通の第1のドメイン鍵、及び前記第2のドメインに共通の第2のドメイン鍵を保持する鍵保持ステップと、
前記第1又は第2のドメインで共用されるデータである、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製ステップと、
前記複製データが第1のドメインに対応するものであれば、前記第1のドメインに共通の第1のドメイン鍵を取得し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメインに共通の第2のドメイン鍵を取得する鍵取得ステップと、
前記鍵取得ステップで取得された第1又は第2のドメイン鍵を用いて前記複製データを暗号化することにより暗号化複製データを生成する暗号化ステップと、
前記暗号化ステップで生成された暗号化複製データを記憶媒体に格納する格納ステップとを含み、
前記暗号化ステップでは、前記暗号化複製データの取り扱いに関する内容を示し、前記利用の条件に基づいて生成される付加情報を、当該暗号化複製データに付し、
前記格納ステップでは、前記付加情報が付された前記暗号化複製データを前記記憶媒体に格納する
ことを特徴とするデータ保護方法。 - 端末装置群たる第1及び第2のドメインに属する端末装置が前記第1又は第2のドメインで共用されるデータを保護するためのプログラムであって、
前記第1のドメインに共通の第1のドメイン鍵、及び前記第2のドメインに共通の第2のドメイン鍵を保持する鍵保持ステップと、
前記第1又は第2のドメインで共用されるデータである、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製ステップと、
前記複製データが第1のドメインに対応するものであれば、前記第1のドメインに共通の第1のドメイン鍵を取得し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメインに共通の第2のドメイン鍵を取得する鍵取得ステップと、
前記鍵取得ステップで取得された第1又は第2のドメイン鍵を用いて前記複製データを暗号化することにより暗号化複製データを生成する暗号化ステップと、
前記暗号化ステップで生成された暗号化複製データを記憶媒体に格納する格納ステップとをコンピュータに実行させ、
前記暗号化ステップでは、前記暗号化複製データの取り扱いに関する内容を示し、前記利用の条件に基づいて生成される付加情報を、当該暗号化複製データに付し、
前記格納ステップでは、前記付加情報が付された前記暗号化複製データを前記記憶媒体に格納する
プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004020440A JP4663992B2 (ja) | 2003-02-07 | 2004-01-28 | 端末装置及びそれを備えたデータ保護システム |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003030841 | 2003-02-07 | ||
JP2004020440A JP4663992B2 (ja) | 2003-02-07 | 2004-01-28 | 端末装置及びそれを備えたデータ保護システム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2004259262A JP2004259262A (ja) | 2004-09-16 |
JP2004259262A5 JP2004259262A5 (ja) | 2007-02-15 |
JP4663992B2 true JP4663992B2 (ja) | 2011-04-06 |
Family
ID=33133763
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004020440A Expired - Lifetime JP4663992B2 (ja) | 2003-02-07 | 2004-01-28 | 端末装置及びそれを備えたデータ保護システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4663992B2 (ja) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006119751A (ja) * | 2004-10-19 | 2006-05-11 | Victor Co Of Japan Ltd | データ利用装置及び属性情報発行装置 |
US20080212770A1 (en) * | 2004-12-20 | 2008-09-04 | Matsushita Electric Industrial Co., Ltd. | Key Information Generating Method and Device, Key Information Updating Method, Tempering Detecting Method and Device, and Data Structure of Key Information |
US7272727B2 (en) * | 2005-04-18 | 2007-09-18 | Hitachi, Ltd. | Method for managing external storage devices |
JP2007034487A (ja) | 2005-07-25 | 2007-02-08 | Canon Inc | 情報処理装置及びその制御方法、コンピュータプログラム |
US7805375B2 (en) * | 2005-08-22 | 2010-09-28 | Microsoft Corporation | Digital license migration from first platform to second platform |
EP2016522A2 (en) * | 2006-05-02 | 2009-01-21 | Koninklijke Philips Electronics N.V. | Improved access to domain |
JP5117748B2 (ja) * | 2007-03-29 | 2013-01-16 | 株式会社日立製作所 | 暗号化機能を備えたストレージ仮想化装置 |
WO2008146639A1 (ja) * | 2007-05-23 | 2008-12-04 | Nec Corporation | 情報共有システム、コンピュータ、プロジェクト管理サーバ及びそれらに用いる情報共有方法 |
JP5015662B2 (ja) * | 2007-05-30 | 2012-08-29 | 株式会社リコー | 暗号通信路復帰方法、暗号通信装置及び暗号通信システム |
AU2008290860B2 (en) | 2007-08-17 | 2013-02-21 | Fraunhofer-Gesellschaft Zur Foerderung Der Angewandten Forschung E.V. | Device and method for a backup of rights objects |
JP2009230745A (ja) * | 2008-02-29 | 2009-10-08 | Toshiba Corp | バックアップ及びリストアの方法、プログラム、及びサーバ |
JP2010231650A (ja) * | 2009-03-27 | 2010-10-14 | Fujitsu Ltd | 端末装置、データ提供システム、データ提供方法及びコンピュータプログラム |
EP2476077B1 (en) | 2009-09-11 | 2018-03-28 | Koninklijke Philips N.V. | Method and system for restoring domain management |
JP5573525B2 (ja) * | 2010-09-13 | 2014-08-20 | 株式会社リコー | 通信装置、電子証明書の有効性判定方法、電子証明書の有効性判定プログラム及び記録媒体 |
JP6154378B2 (ja) * | 2011-08-31 | 2017-06-28 | トムソン ライセンシングThomson Licensing | エンド・ユーザ装置の構成データの安全なバックアップと復元のための方法、および、その方法を利用する装置 |
DE102012110507A1 (de) * | 2012-11-02 | 2014-05-08 | Fujitsu Technology Solutions Intellectual Property Gmbh | Verfahren zum geschützten Wiederherstellen von Daten, Computerprogrammprodukt sowie Computersystem |
KR102534072B1 (ko) * | 2017-01-09 | 2023-05-19 | 인터디지털 매디슨 페턴트 홀딩스 에스에이에스 | 보안 백업 및 복원을 수행하기 위한 방법들 및 장치 |
JP6721266B2 (ja) | 2017-04-14 | 2020-07-08 | 三菱電機株式会社 | 鍵管理システム、通信機器および鍵共有方法 |
JP2019054363A (ja) * | 2017-09-14 | 2019-04-04 | 株式会社日立システムズ | サーバー装置、秘密分散管理システムおよび秘密分散管理装置 |
JP7277624B2 (ja) * | 2017-09-14 | 2023-05-19 | 株式会社日立システムズ | 秘密分散管理システム、秘密分散管理装置およびプログラム |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05347616A (ja) * | 1992-06-15 | 1993-12-27 | Hitachi Ltd | グループ暗号通信方法およびグループ暗号通信システム |
JPH09247141A (ja) * | 1996-03-05 | 1997-09-19 | Hitachi Ltd | グループ暗号方法 |
JPH09247174A (ja) * | 1996-03-08 | 1997-09-19 | Nippon Telegr & Teleph Corp <Ntt> | Atm通信網 |
JPH11239127A (ja) * | 1998-02-19 | 1999-08-31 | Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk | グループ暗号通信装置 |
JPH11346210A (ja) * | 1998-06-02 | 1999-12-14 | Nippon Telegr & Teleph Corp <Ntt> | 暗号化方法及び装置、復号化方法及び装置、暗号化プログラムを記録した記録媒体、復号化プログラムを記録した記録媒体、電子署名方法、並びに電子署名検証方法 |
JP2002152188A (ja) * | 2000-11-13 | 2002-05-24 | Ilinx Inc | 情報取得システム |
JP2002366438A (ja) * | 2001-06-11 | 2002-12-20 | Sharp Corp | ディジタル情報提供取得システムおよびディジタル情報配信方法 |
-
2004
- 2004-01-28 JP JP2004020440A patent/JP4663992B2/ja not_active Expired - Lifetime
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05347616A (ja) * | 1992-06-15 | 1993-12-27 | Hitachi Ltd | グループ暗号通信方法およびグループ暗号通信システム |
JPH09247141A (ja) * | 1996-03-05 | 1997-09-19 | Hitachi Ltd | グループ暗号方法 |
JPH09247174A (ja) * | 1996-03-08 | 1997-09-19 | Nippon Telegr & Teleph Corp <Ntt> | Atm通信網 |
JPH11239127A (ja) * | 1998-02-19 | 1999-08-31 | Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk | グループ暗号通信装置 |
JPH11346210A (ja) * | 1998-06-02 | 1999-12-14 | Nippon Telegr & Teleph Corp <Ntt> | 暗号化方法及び装置、復号化方法及び装置、暗号化プログラムを記録した記録媒体、復号化プログラムを記録した記録媒体、電子署名方法、並びに電子署名検証方法 |
JP2002152188A (ja) * | 2000-11-13 | 2002-05-24 | Ilinx Inc | 情報取得システム |
JP2002366438A (ja) * | 2001-06-11 | 2002-12-20 | Sharp Corp | ディジタル情報提供取得システムおよびディジタル情報配信方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2004259262A (ja) | 2004-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4663992B2 (ja) | 端末装置及びそれを備えたデータ保護システム | |
CN108804879B (zh) | 用于内容和服务共享的方法和系统 | |
JP4562909B2 (ja) | デジタル表現の安全な配信 | |
JP4759513B2 (ja) | 動的、分散的および協働的な環境におけるデータオブジェクトの管理 | |
US6683954B1 (en) | Key encryption using a client-unique additional key for fraud prevention | |
JP4884535B2 (ja) | 装置間でのデータオブジェクトの転送 | |
US20060149683A1 (en) | User terminal for receiving license | |
KR101224677B1 (ko) | 액세스 권한에 기초하여 아이템에 대한 사용 권한을 생성하는 방법 및 컴퓨터 판독가능 매체 | |
US10417392B2 (en) | Device-independent management of cryptographic information | |
US20070014403A1 (en) | Controlling distribution of protected content | |
JP2007531127A (ja) | デジタルライセンス共有システム及び共有方法 | |
KR20050101163A (ko) | 단말 장치 및 그것을 구비한 데이터 보호 시스템 | |
JP2004259262A5 (ja) | ||
JP3556891B2 (ja) | デジタルデータ不正使用防止システム及び再生装置 | |
GB2404828A (en) | Copyright management where encrypted content and corresponding key are in same file | |
EP4028923A1 (en) | Method and system for securely sharing a digital file | |
JP2004185500A (ja) | データ保護制御装置及びデータバックアップ装置及びデータバックアップシステム | |
JP2001350727A (ja) | コンテンツ配信システム | |
JP4125454B2 (ja) | オブジェクト連携装置 | |
JP7086163B1 (ja) | データ処理システム | |
WO2023119554A1 (ja) | 制御方法、情報処理装置および制御プログラム | |
KR100566633B1 (ko) | 컨텐츠 소유자를 위한 디지털 저작권 보호 방법 | |
KR100444983B1 (ko) | 합법적인 컨텐트의 멀티 pc 지원 방법 | |
JP2023535459A (ja) | 信頼できないシステム上のメディアファイルの遠隔所有権およびコンテンツ制御のためのシステムならびに方法 | |
JP2011090551A (ja) | 情報公開システムおよび情報公開方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061221 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100413 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100614 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101214 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110106 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4663992 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140114 Year of fee payment: 3 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |