JP4663992B2 - 端末装置及びそれを備えたデータ保護システム - Google Patents

端末装置及びそれを備えたデータ保護システム Download PDF

Info

Publication number
JP4663992B2
JP4663992B2 JP2004020440A JP2004020440A JP4663992B2 JP 4663992 B2 JP4663992 B2 JP 4663992B2 JP 2004020440 A JP2004020440 A JP 2004020440A JP 2004020440 A JP2004020440 A JP 2004020440A JP 4663992 B2 JP4663992 B2 JP 4663992B2
Authority
JP
Japan
Prior art keywords
data
domain
terminal device
key
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004020440A
Other languages
English (en)
Other versions
JP2004259262A5 (ja
JP2004259262A (ja
Inventor
徹 中原
仙一 小野田
雅哉 山本
康史 三浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2004020440A priority Critical patent/JP4663992B2/ja
Publication of JP2004259262A publication Critical patent/JP2004259262A/ja
Publication of JP2004259262A5 publication Critical patent/JP2004259262A5/ja
Application granted granted Critical
Publication of JP4663992B2 publication Critical patent/JP4663992B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、データを保護する端末装置及びデータ保護システムに関し、特にバックアップによりデータを保護する端末装置及びデータ保護システムに関する。
近年、音楽、映像、ゲーム等のデジタルコンテンツ(以下、コンテンツと記述)や、そのコンテンツを利用するための権利、といった価値あるデータを、インターネット等の通信やデジタル放送等を通じて、サーバ装置から端末装置に配信する、データ配信システムが実用化段階に入っている。
一般に、データ配信システムでは、会員登録をする、あるいは対価を払うなどにより、サーバ装置から端末装置にユーザにとって有益なデータが配信され、端末装置が保持するHDDなどの記憶媒体に格納される。
しかし、端末装置の記憶媒体は、クラッシュなどにより、ユーザの落ち度なしにデータが破損、あるいは消失することが起こりうる。対価を支払って取得したデータはユーザの資産であり、ユーザの資産保護という立場から、端末装置が保持するデータの保護の必要性が増してきている。データ保護の一手法としては、端末装置が保持するデータをバックアップし、バックアップしたデータを用いてデータを復元するという手法が広く知られている。
また、データ配信者の権利保護の観点、および、端末装置所有者のプライバシー保護の観点から、第3者へのデータの復元は許可しない仕組みが必要となってきている。例えば、従来のデータ保護システムでは、端末装置は、バックアップ対象のデータを複製するとともに、自ら生成した端末装置固有の鍵を用いてその複製されたデータを暗号化する(例えば、特開2000−124890号公報参照。)。さらにその端末装置は、その暗号化によって生成された暗号化バックアップデータと、暗号化に用いた鍵をサーバ装置の公開鍵で暗号化した暗号化バックアップ鍵とを共に外部記憶媒体に格納する。そしてデータ復元時には、端末装置は、暗号化バックアップデータと、暗号化バックアップ鍵とを外部記憶媒体から取得してサーバ装置に送信する。サーバ装置は、暗号化バックアップ鍵の復号処理及び暗号化バックアップデータの復号処理を行い、その処理によって復元されたデータを端末装置に送信する。即ち、上記従来のデータ保護システムでは、上述の第3者へのデータの復元を許可しない仕組みを構築するため、端末装置の鍵はサーバ装置の公開鍵を用いて暗号化されることとし、暗号化バックアップデータの復元処理にはサーバ装置の許可を要することとしている。つまり、サーバ装置が、処理を依頼してきた端末装置を認証し、正当な端末装置であればその依頼を引き受けることで、不正な復元を防いで上述の権利保護及びプライバシー保護が図られている。
特開2000−124890号公報
しかしながら、従来のデータ保護システムでは、次のような問題点がある。端末装置が暗号化バックアップデータの復元処理、あるいは暗号化バックアップデータの内容の参照を行う際、必ずサーバ装置に処理を依頼しなければならない。
したがって、数多くの端末装置が同時に復元処理に伴う処理をサーバ装置に依頼した場合、サーバ装置の負荷が大きくなり、処理ができない、あるいは処理時間が長くなりすぎるという問題点がある。また、ネットワークに無用な負荷をかけることになる。
次に、サーバ装置とオフライン環境にある端末装置では暗号化バックアップデータの復元処理ができないという問題点がある。すなわち、従来、サーバ装置とオフライン環境にある端末装置で復元処理を行う方法が知られていなかった。
本発明は、かかる問題に鑑みてなされたものであり、暗号化してバックアップされたデータの復元が不正に行われるのを防ぎつつ、サーバ装置に対する依存度を抑えてその復元を行う端末装置を提供することを目的とする。
上記目的を達成するために、本発明の端末装置は、端末装置群たる第1及び第2のドメインに属する端末装置であって、前記第1のドメインに共通の第1のドメイン鍵、及び前記第2のドメインに共通の第2のドメイン鍵を保持する鍵保持手段と、前記第1又は第2のドメインで共用されるデータである、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製手段と、前記複製データが前記第1のドメインに対応するものであれば、前記複製データを前記第1のドメインに関連付けて記憶媒体に格納し、前記複製データが前記第2のドメインに対応するものであれば、前記複製データを前記第2のドメインに関連付けて前記記憶媒体に格納するデータ格納手段とを備え、前記データ格納手段は、前記複製データが第1のドメインに対応するものであれば、前記第1のドメイン鍵を用いて前記複製データを暗号化し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメイン鍵を用いて前記複製データを暗号化することにより暗号化複製データを生成するとともに前記複製データを前記第1または第2のドメインに関連付ける暗号化手段と、前記暗号化手段で生成された暗号化複製データを前記記憶媒体に格納する格納手段とを備え、前記暗号化手段は、前記暗号化複製データの取り扱いに関する内容を示し、前記利用の条件に基づいて生成される付加情報を、当該暗号化複製データに付し、前記格納手段は、前記付加情報が付された前記暗号化複製データを前記記憶媒体に格納することを特徴とする。
また、上記目的を達成するために、本発明の端末装置は、端末装置群たる第1及び第2のドメインに属する端末装置であって、前記第1又は第2のドメインで共用されるデータを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製手段と、前記複製データが前記第1のドメインに対応するものであれば、前記複製データを前記第1のドメインに関連付けて記憶媒体に格納し、前記複製データが前記第2のドメインに対応するものであれば、前記複製データを前記第2のドメインに関連付けて前記記憶媒体に格納するデータ格納手段とを備え、前記データ格納手段は、前記第1のドメインに共通の第1のドメイン鍵、または前記第2のドメインに共通の第2のドメイン鍵で、前記複製データを暗号化することによって、前記複製データを前記第1または第2のドメインに関連付けることを特徴とする。
また、本発明の端末装置は、端末装置群たる第1のドメインに属する端末装置であって、前記第1のドメインに共通の第1のドメイン鍵を保持する鍵保持手段と、前記第1のドメインで共用されるデータを複製することにより複製データを生成する複製手段と、前記鍵保持手段に保持されている第1のドメイン鍵を用い、前記複製データを暗号化して暗号化複製データを生成する暗号化手段と、前記暗号化複製データを記憶媒体に格納するデータ格納手段とを備えることを特徴とする。好ましくは、前記端末装置は、さらに、前記鍵保持手段に保持されている第1のドメイン鍵を用い、前記記憶媒体に格納されている暗号化複製データを復号化して前記複製データに復元する復号化手段を備える。
これによって、端末装置はデータを複製して第1のドメイン鍵を用いて暗号化し、その結果を暗号化複製データとして記憶媒体に格納するため、その記憶媒体に格納された暗号化複製データが、端末装置の第1のドメインに属さない装置によって不正に復元されるのを防ぐことができる。さらに、端末装置は暗号化複製データを復元するきには、暗号化に利用したドメイン鍵でその暗号化複製データを復号してこれを復元することができ、従来例のようにサーバ装置に頼ることなく復元を行うことができる。つまり、端末装置はオフライン環境であってもその復元を行うことができ、サーバ装置に対する処理負担やネットワーク上の通信負担を軽減することができる。
また、前記端末装置は、さらに、前記第1のドメインと異なる第2のドメインに属しており、前記鍵保持手段は、さらに、前記第2のドメインに共通の第2のドメイン鍵を保持し、前記複製手段は、前記第1又は第2のドメインで共用されるデータを複製することにより、前記第1又は第2のドメインに対応する前記複製データを生成し、前記暗号化手段は、前記複製データが第1のドメインに対応するものであれば、前記第1のドメイン鍵を用いて前記複製データを暗号化し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメイン鍵を用いて前記複製データを暗号化することにより前記暗号化複製データを生成し、前記復号化手段は、前記記憶媒体に格納されている暗号化複製データを復号化するときには、前記暗号化複製データの暗号化に用いられた前記第1又は第2のドメイン鍵を用いることを特徴としても良い。
好適には、前記データ格納手段は、前記暗号化手段によって生成された前記暗号化複製データを記憶媒体に格納するときには、前記暗号化複製データの暗号化に用いられた第1又は第2のドメイン鍵を識別するための識別子を、前記暗号化復号データに付して前記記憶媒体に格納し、前記復号化手段は、前記記憶媒体に格納されている暗号化複製データを復号化するときには、前記暗号化複製データに付された識別子に基いて、前記暗号化複製データの暗号化に用いられた第1又は第2のドメイン鍵を特定し、特定した第1又は第2のドメイン鍵を用いて前記暗号化複製データの復号化を行う。
これにより、端末装置が第1及び第2のドメインに属していても、第1のドメインに共用されるデータは第1のドメイン鍵で暗号化され、第2のドメインに共用されるデータは第2のドメイン鍵で暗号化されるため、例えば第1のドメインにのみ属する他の端末装置によって、第2のドメインに共用されるデータの暗号化複製データが復元されるのを防ぐことができる。
また、前記複製手段は、複製した複製データの内容に応じて、前記複製データの一部を削除し、前記暗号化手段は、前記削除された残りの複製データを暗号化して前記暗号化複製データを生成することを特徴としても良い。例えば、前記第1及び第2のドメインのそれぞれで共用されるデータは、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを示し、前記複製手段は、前記データに対する複製データのうち、コンテンツ鍵を示す部分を削除する。
これにより、複製データのうち例えばコンテンツ鍵の部分が削除されて、利用条件の部分のみがバックアップされるため、重要なデータであるコンテンツ鍵の不正な復元を確実に防ぐことができる。
ここで、前記端末装置は、さらに、外部装置と通信回線を介した通信を行うことにより、前記復号化手段により復号化されたデータに対して、前記複製手段により削除された部分を前記外部装置に補完させる補完手段を備えることを特徴としても良い。
これにより、例えば、復号化手段により復号化された利用条件にコンテンツ鍵が補完されるため、重要なデータの不正な復元を確実に防ぎつつ、暗号化複製データを削除前の元の複製データに復元することができる。
また、前記復号化手段は、通信回線を介して接続されたサーバ装置から、前記暗号化複製データの復号化に対して許可を受けている場合に、前記暗号化複製データの復号化を行うことを特徴としても良い。例えば、前記復号化手段は、前記暗号化複製データを復号化するときには、前記サーバ装置に復号化が可能か否かを問合せ、可能であるとの応答を受けた場合に、前記暗号化複製データの復号化を行う。
これにより、復号化手段が暗号化複製データを復号化するときには、サーバ装置の許可を要するため、不正なデータの復元を確実に防ぐことができる。
なお、本発明は、上記端末装置を備えるデータ保護システムや、データ保護方法、プログラムとしても実現することもできる。
本発明の端末装置は、端末装置のドメインに属さない装置によって暗号化複製データが不正に復元されるのを防ぐことができるとともに、従来例のようにサーバ装置に頼ることなく復元を行うことができるという作用効果を奏する。
(実施の形態1)
以下、本発明における実施の形態1について、図面を用いて詳細に説明する。
図1は、本発明における実施の形態1のデータ保護システムSの全体の概略構成を示す図である。
このデータ保護システムSは、端末装置が保持するデータが破損、および消失した際に、可能な範囲でデータを保護するシステムであって、ドメイン管理を行うドメイン管理サーバ100と、暗号化バックアップデータを格納するネットワークストレージ200と、バックアップ対象となるデータを保持する端末装置300a〜300cと、これらを相互に接続する伝送路Nと、から構成されている。
ここで詳細の説明に先立ち、本発明におけるドメインの定義を行う。あるデータ配信サービスにおいて、データの共有や移動が相互に可能な端末装置が存在する場合に、それらの端末装置群は論理的にグルーピングが可能である。そしてグルーピングした端末装置群の属する単位をドメインと定義する。また、異なるドメインに属する端末装置間でのデータの移動や共有は許可しないこととする。
一般に、データ配信サービスを提供する事業者のデータの権利保護の観点と、ユーザのプライバシー保護の観点と、からドメインを設定する単位が決定されるが、データ配信サービスの契約者としてのユーザごとにドメインを設定するのが典型例である。
なお、ドメインの設定において、1つの端末装置のみが属するドメインを形成するとしてもよいし、1つの端末装置が2つ以上のドメインに属するとしてもよい。
ドメイン管理サーバ100は、ドメインに属する端末装置300a〜300cの管理、および、ドメインごとに設定されるドメイン鍵を生成、管理し、端末装置300a〜300cにドメイン鍵を送信するサーバ装置である。具体的には、ドメイン管理サーバ100は、ドメイン、およびドメイン鍵を管理しており、端末装置300a〜300cからの要求に基づき、伝送路Nを通じて、ドメイン鍵をその端末装置300a〜300cに送信する。また、このようなドメイン管理サーバ100はワークステーション等により実現される。
ここで、ドメイン鍵とは同一ドメインに属する端末装置が共有する共通鍵暗号方式の暗号鍵であり、データのバックアップ時の暗号化、あるいはデータ復元時の復号化の際に使用される。なお、ドメイン鍵は同一ドメイン内で許可されるデータ共有や、移動、あるいは認証などの処理に用いるとしてもよい。
なお、ドメイン鍵等のセキュアに管理する必要のあるデータを、伝送路Nを通じて、ドメイン管理サーバ100と端末装置300a〜300cとの間で送受信する場合には、セキュリティを確保するため、安全な認証チャネル(Secure Authenticated Channel、以下、SACと記述)を確立してから、データの送受信を行う。SACの確立には、例えばSSL(Secure Socket Layer)やTLS(Transport Layer Security)を利用することができる。
ネットワークストレージ200は、伝送路Nを通じて端末装置300a〜300cより受信した暗号化バックアップデータの格納や、端末装置300a〜300cの要求に応じて暗号化バックアップデータを端末装置300a〜300cに送信する。また、このようなネットワークストレージ200は、ワークステーション等により実現される。
具体的には、ネットワークストレージ200は、HDD(Hard Disk Drive)などの記憶媒体を備え、その記憶媒体は、テープによるデータのバックアップや、RAID(Redundant Array of Independent Disks)などにより、クラッシュ耐性に優れたものとして構成される。
伝送路Nは、ドメイン管理サーバ100とネットワークストレージ200および端末装置300a〜300cとを相互に接続するネットワークである。例えば、伝送路Nは、インターネット等の通信ネットワークや、デジタル放送、あるいは、これらが複合したネットワークである。
端末装置300a〜300cは、伝送路Nと接続する機能を有し、ユーザがコンテンツ等のデータをモニター画面などで利用したり、ドメインごとのデータを保持し、データのバックアップや、データの復元を行う装置である。具体的には、端末装置300a〜300cは、デジタル放送を受信するためのSTB(Set Top Box)、デジタルTV、DVD(Digital Versatile Disc)レコーダ、HDD(Hard Disk Drive)レコーダ、PC(Personal Computer)などのコンテンツ表示装置、その他のレコーダ、あるいは、これらの複合機器である。
このようなデータ保護システムSにおいて、本実施の形態では、端末装置300a〜300cがデータのバックアップを行い、データを復元するまでの処理の流れについて図面を用いて詳細に説明する。
ここで、ドメイン識別子とは、データ保護システムSにおいてドメインを一意に特定するための情報である。また、端末識別子とは、データ保護システムSにおいて端末装置を一意に特定するための情報である。なお、本実施の形態では端末装置300aの端末識別子は「TERMINAL−ID−0001」として説明する。また、端末識別子は端末装置300a〜300cのそれぞれのROMに記憶されているとして以降の説明を行う。
図2は、図1に示されるドメイン管理サーバ100、ネットワークストレージ200、および端末装置300a〜300cの詳細な構成を示す機能ブロック図である。なお、図2において端末装置300a〜300cの機能構成は、端末装置300aをその代表とし、端末装置300として図示している。
まず、ドメイン管理サーバ100の詳細な構成について説明する。ドメイン管理サーバ100は、ドメイン情報を格納するドメイン情報格納部111と、ドメイン鍵を格納するドメイン鍵格納部112と、端末装置300と通信を行う通信部101と、ドメイン情報格納部111にドメイン情報の登録を行うドメイン情報登録部102と、端末装置300が属するドメインを判定するドメイン判定部103と、ドメイン鍵格納部112からドメイン鍵を取得するドメイン鍵取得部104と、ドメイン鍵の生成を行うドメイン鍵生成部105とを備える。
次に、ネットワークストレージ200の詳細な構成について説明を行う。ネットワークストレージ200は、データを格納するデータ格納部211と、端末装置300と通信を行う通信部201と、データのデータ格納部211への登録と、通信部201を介したデータの取得と、データ格納部211からのデータの取得とを行うデータ取得・格納部202とを備えている。
最後に、端末装置300の詳細な構成について説明を行う。端末装置300は、ドメイン管理サーバ100から取得したドメイン鍵を格納するドメイン鍵格納部311と、端末装置300が保持するデータをドメインごとに格納するデータ格納部312と、ドメイン管理サーバ100およびネットワークストレージ200と通信を行う通信部301と、ドメイン鍵要求メッセージを生成し、ドメイン管理サーバ100にドメイン鍵の取得要求を行うドメイン鍵要求部302と、バックアップデータを生成し、バックアップデータが暗号化された暗号化バックアップデータをネットワークストレージ200に送信するバックアップ処理部303と、ネットワークストレージ200から暗号化バックアップデータを取得し、暗号化バックアップデータの復元を行うデータ復元部304と、ネットワークストレージ200から暗号化バックアップデータを取得し、バックアップデータの内容をユーザに提示するバックアップデータ参照部305と、バックアップデータの暗号及び暗号化バックアップデータの復号を行う暗号・復号部306とを備えている。
このようなドメイン管理サーバ100及びネットワークストレージ200並びに端末装置300を構成する例えばドメイン鍵格納部311などのデータを格納する各構成要素(格納部)は、HDD等の記憶媒体で実現される。また、ドメイン管理サーバ100及びネットワークストレージ200並びに端末装置300を構成する上記各格納部以外の構成要素(例えばドメイン鍵要求部302など)は、LSI等のハードウェアあるいはCPU、RAM、ROM等を利用して実行されるプログラム等によって実現される。なお、端末装置300において各構成要素は、ハード的あるいはソフト的に耐タンパされていることが望ましい。
ここで、本実施の形態で扱うデータ、およびデータ構造について説明する。まず、各格納部が保持するデータのデータ構造を、ドメイン管理サーバ100、ネットワークストレージ200、端末装置300の順で説明し、最後に本実施の形態においてバックアップ対象のデータの一例を説明し、さらにバックアップ対象のデータの一例であるライセンス、およびそのライセンスのデータ構造について説明する。
(ドメイン管理サーバ100の各格納部が保持するデータ)
まず、ドメイン管理サーバ100の各格納部が保持するデータについて図を参照して説明する。
図3は、ドメイン管理サーバ100のドメイン情報格納部111が保持するドメイン管理テーブルのデータ構造を示す図である。
ドメイン情報格納部111は、ドメインに関する情報を管理するためのドメイン管理テーブルD300を保持するデータベースであって、このドメイン管理テーブルD300はドメインと、前記ドメインに属する端末装置300とを関連付ける。具体的には、ドメイン情報格納部111は、図3に示すドメイン管理テーブルD300を有し、ドメイン識別子D301と、端末識別子D302とを管理している。
例えば、図3に示すドメイン管理テーブルD300は、ドメイン識別子D301が「DOMAIN−ID−0001」であるドメインに、端末識別子D302が「TERMINAL−ID−0001」である端末装置300aが属していることを示している。
また、このドメイン管理テーブルD300は、ドメイン識別子D301が「DOMAIN−ID−0002」であるドメインに、端末識別子D302が「TERMINAL−ID−1001」、「TERMINAL−ID−1002」という2つの端末装置300が属していることを示している。
また、このドメイン管理テーブルD300は、「DOMAIN−ID−0003」のドメインには、端末識別子D302が「TERMINAL−ID−0001」、「TERMINAL−ID−3333」という2つの端末装置300が属していることを示しており、端末識別子D302が「TERMINAL−ID−0001」の端末装置300aは、ドメイン識別子D301が「DOMAIN−ID−0001」のドメインと、ドメイン識別子D301が「DOMAIN−ID−0003」のドメインとに属していることを示している。
図4は、ドメイン鍵格納部112が保持するドメイン鍵管理テーブルのデータ構造を示す図である。
ドメイン鍵格納部112は、バックアップデータの暗号処理、および暗号化バックアップデータの復号処理に用いるドメイン鍵を管理するためのドメイン鍵管理テーブルD400を保持するデータベースである。このドメイン鍵管理テーブルD400は、端末装置300からのドメイン鍵取得要求に対してドメイン鍵が送信される際に、ドメイン鍵取得要求に含まれる端末識別子に対応するドメインのドメイン鍵を取得するために用いられる。具体的には、ドメイン鍵格納部112は、図4に示すドメイン鍵管理テーブルD400を有し、ドメイン識別子D401と、ドメイン鍵D402とを管理している。
例えば、図4に示すドメイン鍵管理テーブルD400は、ドメイン識別子D401が「DOMAIN−ID−0001」であるドメインに属する端末装置300に用いられるドメイン鍵が「DOMAIN−KEY−0001」であることを示している。
なお、ドメイン情報格納部111、およびドメイン鍵格納部112へのデータ登録は、端末装置300を所有するユーザが、伝送路Nを通じて、データ配信サービスを運営する事業者のWebサイト(ドメイン管理サーバ100)に接続し、ドメイン登録画面により、オンラインで行われる。なお、そのデータ登録は登録用の葉書を用いる等、オフラインで行ってもよい。
ドメイン新規登録処理では、まず前記事業者が、ユーザに対してドメイン識別子D301を割り当て、割り当てたドメイン識別子D301に対応するドメイン鍵をドメイン鍵生成部105が生成する。ドメイン鍵生成部105は、ドメイン識別子D401とドメイン鍵D402とを関連付けて、ドメイン鍵格納部112のドメイン鍵管理テーブルD400に登録する。
その後、端末装置300は、端末識別子D302をオンラインまたはオフラインにより前記事業者(ドメイン管理サーバ100)に通知するので、ドメイン管理サーバ100のドメイン情報登録部102は、ドメイン識別子D301と端末識別子D302とを関連付け、ドメイン情報格納部111のドメイン管理テーブルD300に登録する。以上のようなドメイン新規登録処理が行われる結果、ドメイン情報格納部111のドメイン管理テーブルD300が構築される。
ドメインへの端末装置300を追加する処理は、同様にユーザ(端末装置300)が前記事業者のWebサイト(ドメイン管理サーバ100)に接続し、端末装置追加画面により、ドメインのドメイン識別子と、追加対象となる端末装置300の端末識別子を送信する。これにより、ドメイン情報登録部102は、ドメイン情報格納部111のドメイン管理テーブルD300のドメイン識別子D301に対応する端末識別子D302に、上述のように送信された端末識別子を追加することにより実現する。
(ネットワークストレージ200の格納部が保持するデータ)
次に、ネットワークストレージ200の格納部が保持するデータについて図を参照して説明する。
図5の(a)は、ネットワークストレージ200のデータ格納部211が保持するデータ管理テーブルのデータ構造を示す図である。
データ格納部211は、暗号化バックアップデータを管理するためのデータベースであって、端末装置300からのバックアップ要求に対して、受信した暗号化バックアップデータを格納し、バックアップデータ取得要求に含まれるドメイン識別子に対応した暗号化バックアップデータを送信するために用いられる。
具体的には、データ格納部211は、図5の(a)に示すデータ管理テーブルD500を保持し、そのデータ管理テーブルD500はドメイン識別子D501と格納データD502とを関連付けている。
例えば、図5の(a)に示すデータ管理テーブルD500は、ドメイン識別子D501が「DOMAIN−ID−0001」であるドメインにおける暗号化バックアップデータとして、「DATA−0001」の格納データD502が格納されていることを示している。
(端末装置300の格納部が保持するデータ)
端末装置300のドメイン鍵格納部311は、バックアップデータの暗号処理、および復号処理に用いるドメイン鍵を管理するためのデータベースであって、ドメイン管理サーバ100より取得したドメイン鍵を格納するために用いられる。具体的に、ドメイン鍵格納部311は、ドメイン鍵格納部112が保持するドメイン管理テーブルD400と同様のテーブルを保持する。
図5の(b)は、端末装置300のデータ格納部312が保持するデータ管理テーブルのデータ構造を示す図である。
データ格納部312は、端末装置300が保持するデータをドメインごとに管理するためのデータベースであって、図5の(b)に示すデータ管理テーブルD510を保持する。そしてこのデータ管理テーブルD510は、ドメイン識別子D511と、データ識別子D512と、格納データD513とを関連付けている。
ここで、データ識別子D51とは、ドメイン識別子D511との組み合わせにより、データを一意に特定することが可能な情報である。例えば、図5の(b)に示すデータ管理テーブルD510は、ドメイン識別子D511が「DOMAIN−ID−0001」でデータ識別子D512が「DATA−ID−0001」に対応する格納データD513として「DATA−0001」が格納されていることを示している。
ここで、端末装置300が2つ以上のドメインに属する場合の、データ格納部312におけるデータ管理方法について説明する。先のドメインの定義によれば、端末装置300に保持するデータはドメインごとに分離して管理する必要がある。なぜなら、端末装置300aが2つのドメインαとβに、端末装置300bがドメインαに、端末装置300cがドメインβに属している場合に、ドメインごとにデータを分離して管理しないと、端末装置300bが保持するデータが端末装置300aを介して、端末装置300cに移動することが可能となる。これは異なるドメインに属する端末装置間でのデータ移動を許可しないドメインの定義に矛盾するためである。
なお、データ格納部312へのデータ登録は、伝送路Nを通じてサーバ装置から取得したり、パッケージメディアから取得するなど考えられるが、本発明の本質ではないため説明を省略する。
但し、データの格納はドメインごとに行う必要があり、データがデータ格納部312に格納される際、そのデータは少なくともいずれか1つのドメインに属するデータとして格納されなければならない。なお、データがどのドメインに属するかは、端末装置300がデータを要求するデータ要求時、データ配信側のデータ配信時、端末装置300がデータを取得するデータ取得時など、どのタイミングで決定してもよい。以上の理由から、端末装置300は、データをドメインごとに管理し、データのバックアップ処理、および、データの復元処理もドメインごとに行う。
最後に本実施の形態において、データ格納部312に保持され、バックアップの対象となるデータの一例であるライセンスと、そのライセンスのデータ構造について説明する。
ライセンスは、データ配信システムの代表例であるコンテンツ配信システムで用いられるデータの1つである。ここで、コンテンツ配信システムについて簡単に説明する。
コンテンツ配信システムとは、コンテンツを、インターネット等の通信やデジタル放送等を通じて、サーバ装置から端末装置に配信し、端末装置においてコンテンツを利用することが可能となるシステムであり、コンテンツの著作権を保護し、悪意あるユーザ等によるコンテンツの不正利用を防止するため、著作権保護技術が用いられる。
著作権保護技術とは、具体的には、暗号技術等を用いて、ユーザがコンテンツを再生したり、記録メディアにコピーしたりといったようなコンテンツの利用を、セキュアに制御する技術である。例えば、サーバ装置が、端末装置において利用可能なコンテンツの再生回数などの利用条件と、暗号化コンテンツの復号を行うためのコンテンツ鍵とを含むライセンスを生成し、端末装置に配信し、端末装置は前記ライセンスのコンテンツ鍵で、別途取得した暗号化コンテンツを復号し、利用条件に基づいてコンテンツの利用を制御するシステムがある。
一般に、コンテンツ鍵、およびライセンスはコンテンツ単位で付与され、コンテンツ識別子と関連付けられる。ここで、コンテンツ識別子とは、コンテンツ配信システムにおいて、コンテンツを一意に特定するための情報である。本実施の形態では、ライセンスはコンテンツ単位で付与されるものとして説明する。
以上で、コンテンツ配信システム、およびライセンスについて説明した。
次に、ライセンスのデータ構造について図6を参照して説明する。
図6は、ライセンスのデータ構造を示す図である。
ライセンス600は、コンテンツの利用可能な情報からなる利用条件601と、ライセンス600に対応する暗号化コンテンツの復号を行うためのコンテンツ鍵602とからなる。ここで、利用条件601とは、ライセンス600に対応するコンテンツの利用可能な回数、例えば「10回」や、利用可能な期間、例えば「2002年12月1日〜2003年2月13日」などである。
なお、ライセンス600は、データ格納部312およびライセンス600に関する処理において、コンテンツ識別子と関連付ける必要がある。例えば、端末装置300におけるライセンス600とコンテンツ識別子を関連付けるといった処理を省略するため、予めライセンス600にコンテンツ識別子を含めるとしてもよい。
以上で、ライセンスのデータ構造について説明した。
ここで、端末装置300が、データ格納部312に保持するデータの種別について説明する。端末装置300が保持するデータには、ユーザがデータの内容を参照して意味のあるデータと、ユーザがデータ内容を意識する必要がない、あるいは参照できてはならないデータがある。前者は、少なくともユーザに提示可能な可読情報であり、前記ライセンスの例では利用条件がこれにあたる。後者は、主に制御などに用いられる情報であり、前記ライセンスの例ではコンテンツ鍵がこれにあたる。コンテンツ鍵はユーザが参照できてはならないデータの典型例である。
以上で、本実施の形態1で扱うデータのデータ構造について説明した。
ここで、データ保護システムSにおいて、データ保護に必要となる処理について説明する。
まず、データを保護するために端末装置300が保持するデータのバックアップ処理、および、バックアップしたデータに基づくデータ復元処理が必要である。また、本発明においてバックアップ処理およびデータ復元処理時にはドメイン鍵を予め取得しておく必要がある。また、バックアップしたデータのデータ内容を参照する処理が必要となる場合も想定される。例えば、保護対象のデータがライセンスの場合、バックアップしているライセンスの利用条件を、ユーザに提示する場合が想定される。
以上の構成のデータ保護システムSにおいて、端末装置300がドメイン管理サーバ100よりドメイン鍵を取得する際の処理、端末装置300がデータのバックアップを行う際の処理、端末装置300がバックアップしたデータの内容参照を行う際の処理、端末装置300が暗号化バックアップデータの復元を行う際の処理、の順番で図を参照して説明する。
各処理の説明に先立ち、本実施の形態1で扱う通信メッセージについて説明する。
図7は、ドメイン管理サーバ100およびネットワークストレージ200と端末装置300との間の通信において送受信される通信メッセージのメッセージフォーマットの内容を示す図である。この図7に示す通信メッセージM700は、メッセージヘッダM701とメッセージ本体M702とからなる。
ここで、メッセージヘッダM701は、少なくとも送信先を特定するための情報と、送信元を特定するための情報とを含んでいる。その送信先を特定するための情報は、メッセージの宛先として参照され、その送信元を特定するための情報は、メッセージに対して返信する際に宛先として参照される。前記送信元、あるいは送信先を特定するための情報の典型例としてIPアドレスがある。また、メッセージヘッダM701に、認証処理に必要となる情報を含めても良い。この場合、通信メッセージM700の送受信を行うデータ管理サーバ100及びネットワークストレージ200並びに端末装置300の間で認証処理を行うことができる。
一方、メッセージ本体M702は各々の通信メッセージM700で固有の情報を含む。
(ドメイン鍵取得処理)
まず、上述のドメイン鍵取得処理について説明する。
ドメイン鍵取得処理に関係する通信メッセージM700のデータ構造について図8および図9を参照して説明する。
図8は、端末装置300がドメイン管理サーバ100にドメイン鍵を要求するときにドメイン管理サーバ100に対して送信される通信メッセージM700のメッセージ本体M702の構成を示す図である。
この図8に示すように、メッセージ本体M702は、ドメイン鍵要求メッセージ本体M800として構成され、そのドメイン鍵要求メッセージ本体M800は端末識別子M801からなる。
図9は、ドメイン管理サーバ100が端末装置300にドメイン鍵を受け渡すときにドメイン管理サーバ100から送信される通信メッセージM700のメッセージ本体M702の構成を示す図である。
この図9に示すように、メッセージ本体M702は、ドメイン鍵送信メッセージ本体M900として構成され、そのドメイン鍵送信メッセージ本体M900はドメイン識別子M901とドメイン鍵M902とからなる。
以上で、ドメイン鍵取得処理に関係する通信メッセージM700のデータ構造について説明した。次に、端末装置300が、ドメイン管理サーバ100からドメイン鍵を取得するまでの各部の処理について図10を参照して説明する。
図10は、ドメイン鍵取得処理を示すフロー図である。
端末装置300は、ユーザの端末アプリケーションへのドメイン鍵取得指示により、ドメイン鍵取得処理を開始する。即ち、ドメイン鍵取得指示を受けた端末アプリケーションは、ドメイン鍵要求部302にドメイン鍵取得指示を行う。
ドメイン鍵要求部302は、メッセージ本体M702としてドメイン鍵要求メッセージ本体M800を含む通信メッセージM700(ドメイン鍵要求メッセージ)を生成し、通信部301を通じてドメイン管理サーバ100に送信する(ステップS1931)。ドメイン鍵要求メッセージ本体M800に含まれる端末識別子M801は、端末装置300のROMから取得された端末識別子である。ここでは「TERMINAL−ID−0001」が端末識別子M801として含まれる。
ドメイン管理サーバ100は、通信部101を通じて前記ドメイン鍵要求メッセージを受信する(ステップS1911)。ドメイン判定部103は、ドメイン鍵要求メッセージ本体M800から端末識別子M801を抽出し、ドメイン情報格納部111のドメイン管理テーブルD300から端末識別子M801を検索し、端末装置300がドメインに登録されているか否かを確認する(ステップS1912)。
検索の結果、端末識別子M801が存在しない場合は、ドメインに属していない旨をメッセージ本体M702に含む通信メッセージM700(返信メッセージ)を端末装置300に送信する。端末装置300は、その返信メッセージを受信する(ステップS1932)と、ユーザにその旨を提示して処理を終了する。
検索の結果、端末識別子M801が存在する場合は、ドメイン判定部103は、端末装置300が属するドメインのドメイン識別子D301を特定して取得する(ステップS1913)。
また、端末装置300が複数のドメインに属する場合は、上述の検索により複数のドメイン識別子がヒットする。この場合は、各々のドメイン識別子ごとに以降の処理(ステップS1913からの処理)を行う。なお、ドメイン鍵とドメイン識別子の組のリストをメッセージ本体M702に含む通信メッセージM700(ドメイン鍵送信メッセージ)を送信するとしてもよいし、端末装置300にヒットした複数のドメイン識別子をメッセージ本体M702に含む通信メッセージM700(返信メッセージ)を送信し、ユーザに1つのドメイン識別子を選択させ、以降の処理(ステップS1913からの処理)を行うとしてもよい。
ドメイン鍵取得部104は、ドメイン鍵格納部112のドメイン鍵管理テーブルD400にあるドメイン識別子D401から、ステップS1913で取得されたドメイン識別子を検索し、そのドメイン識別子に対応するドメインのドメイン鍵D402を特定して取得する(ステップS1914)。
ドメイン鍵取得部104は、ステップS1913で取得されたドメイン識別子と、ステップS1914で取得されたドメイン鍵とをメッセージ本体M702に含める。そしてドメイン鍵取得部104は、そのメッセージ本体M702にメッセージヘッダM701をつけて通信メッセージM700(ドメイン鍵送信メッセージ)を生成し、通信部101を通じて端末装置300に送信する(ステップS1915)。
端末装置300は、通信部301を通じてそのドメイン鍵送信メッセージを受信すると(ステップS1933)、そのドメイン鍵送信メッセージに含まれるドメイン識別子およびドメイン鍵を抽出し、両者を関連付けてドメイン鍵格納部311に格納する(ステップS1934)。
なお、端末装置300が複数のドメインに属する場合には、端末装置300は、ユーザによって選択されたドメインに対応するドメイン鍵をドメイン管理サーバ100から取得して、その取得したドメイン鍵を上述のドメインのドメイン識別子に関連付けてドメイン鍵格納部311に格納しても良い。この場合には、端末装置300は、ユーザによって選択されたドメインのドメイン識別子をドメイン鍵要求メッセージに格納することで、そのドメイン識別子をドメイン管理サーバ100に伝え、そのドメイン識別子を一時的に記憶しておく。そして、端末装置300は、上述のように一時的に記憶していたドメイン識別子に、ドメイン管理サーバ100から取得したドメイン鍵を関連付ける。
以上で、ユーザがドメイン鍵取得指示を行い、端末装置300がドメイン管理サーバ100よりドメイン鍵を取得するまでの処理について説明した。
(データのバックアップ処理)
次に、端末装置300が、データのバックアップを行う際の処理について図を参照して説明する。まず、バックアップ時の処理に関係する通信メッセージM700のメッセージ本体M702のデータ構造について図11、および図12を参照して説明する。
図11は、端末装置300がネットワークストレージ200に暗号化バックアップデータの格納を要求するときに送信される通信メッセージM700(バックアップ要求メッセージ)のメッセージ本体M702の構成を示す図である。
図11に示すように、このメッセージ本体M702は、バックアップ要求メッセージ本体M1000として構成され、このバックアップ要求メッセージ本体M1000は、バックアップデータが暗号化された暗号化バックアップデータM1001とドメイン識別子M1002とからなる。
図12は、端末装置300からの要求に対してネットワークストレージ200が端末装置300に返信する通信メッセージM700(バックアップ要求返信メッセージ)のメッセージ本体M702の構成を示す図である。
図12に示すように、このメッセージ本体M702は、バックアップ要求返信メッセージ本体M1100として構成され、このバックアップ要求返信メッセージ本体M1100は、端末装置300からの要求に対してネットワークストレージ200で行われた処理の結果を示す処理結果M1101からなる。
以上で、バックアップ処理に関係する通信メッセージM700のデータ構造について説明した。次に、端末装置300が、自らが保持するデータをバックアップする処理、即ちバックアップ対象のデータを複製して暗号化してネットワークストレージ200に格納するまでの処理について図13を参照して説明する。
図13は、バックアップ処理を示すフロー図である。
端末装置300は、ユーザの端末アプリケーションへのバックアップ指示により、端末装置300が保持するデータのバックアップ処理を開始する。即ち、ユーザからバックアップ指示を受けた端末アプリケーションは、バックアップ処理部303にバックアップ指示を行う。
ここで、ユーザは、端末装置300が2つ以上のドメインに属する場合は、バックアップ対象となるデータが、どのドメインに対応するかを特定する情報を入力する。ここではドメイン識別子を入力するとして説明する。また、ドメインに対応するデータの一部のみをバックアップする場合は、さらにデータを限定する情報を入力する。以上のドメイン識別子、およびデータを限定する情報をまとめて、バックアップ対象データ限定情報とする。
まず、バックアップ処理部303は、バックアップ対象データ限定情報に基づき、データ格納部312に格納されているデータからバックアップ対象となるデータを特定して複製し、バックアップデータを生成する。(ステップS2031)。
バックアップ処理部303は、ドメイン鍵格納部311より、ドメイン鍵を取得する(ステップS2032)。
ここで、ドメイン鍵格納部311に2つ以上のドメイン鍵が存在する場合は、上述のドメイン識別子をキーとしてドメイン鍵を特定して取得する。なお、ドメイン鍵格納部311にドメイン鍵が1つしか存在しない場合も、バックアップ処理部303が上述のドメイン識別子による確認を行っても良い。また、ドメイン鍵がドメイン鍵格納部311に格納されていない場合には、端末装置300は、先に説明したドメイン鍵取得の処理の流れに従いドメイン鍵を取得する。
バックアップ処理部303は、ステップS2031で生成したバックアップデータ、およびステップS2032で取得したドメイン鍵を暗号・復号部306に送信する。
暗号・復号部306は受信したバックアップデータをドメイン鍵を用いて暗号化し、暗号化バックアップデータを生成(ステップS2033)し、バックアップ処理部303に送信する。
バックアップ処理部303は、上述のバックアップ要求メッセージを生成し、通信部301を通じてネットワークストレージ200に送信する(ステップS2034)。バックアップ要求メッセージ本体M1000に含まれるドメイン識別子M1002は、ステップS2032で取得されたドメイン鍵に対応するドメイン識別子である。
ネットワークストレージ200は、通信部201を通じて上述のバックアップ要求メッセージを受信する(ステップS2021)。データ取得・格納部202は、バックアップ要求メッセージ本体M1000からドメイン識別子M1002を抽出し、データ格納部211のデータ管理テーブルD500からドメイン識別子M1002を検索し、そのドメイン識別子M1002に対応するドメインの暗号化バックアップデータである格納データD502の存在の有無を確認する(ステップS2022)。ドメイン識別子M1002に対応するドメインの暗号化バックアップデータが存在しない場合は、データ取得・格納部202は、新規のレコードを作成して暗号化バックアップデータM1001を格納(ステップS2023)し、ドメイン識別子M1002に対応するドメインの暗号化バックアップデータが存在する場合は、既存の暗号化バックアップデータのレコードに暗号化バックアップデータM1001を上書き(ステップS2024)する。
データ取得・格納部202は、バックアップ処理が完了するとバックアップ処理完了を示す処理結果M1101を含むバックアップ要求返信メッセージを作成し、端末装置300に送信する(ステップS2025)。また、何らかの原因でバックアップ処理が完了しなかった場合は、異常終了を示す処理結果M1101を含むバックアップ要求返信メッセージを端末装置300に送信する。
端末装置300は、そのバックアップ要求返信メッセージを受信し(ステップS2035)、例えば、その受信した処理結果M1101の内容をユーザに提示する。
〈バックアップ処理の変形例1:付加データ〉
ここで、端末装置300は上述のようにバックアップデータを暗号化してネットワークストレージ200に格納するときには、以下の処理をしても良い。
即ち、端末装置300は、その暗号化されたバックアップデータに付加データを付加する。この付加データは、復元可否の制御に関わる情報を示すものであって、例えば、復元可能な期間を示す復元有効期限、バックアップされた時刻を示すバックアップ処理時刻、バックアップデータのデータバージョン、暗号化バックアップデータを参照するために用いられる参照専用データ、バックアップデータの暗号アルゴリズムを識別するための暗号アルゴリズム識別子、バックアップを行った端末装置300の端末識別子、又はバックアップデータの出所であるデータ配信サーバを示すサーバ識別子などを示す。
付加データが復元有効期限を示す場合、端末装置300は、例えば、データ配信サービスを運営する事業者のサーバからの指示に基き、その復元有効期限を示す付加データを生成して暗号化バックアップデータに付加する。ここで、バックアップデータに複数のライセンスが含まれる場合には、端末装置300は、複数のライセンスの復元有効期限の中で最長または最短のものを示す付加データを生成しても良い。具体的に、復元有効期限が「2003/2/13まで有効」のライセンスと、「2003/3/14まで有効」のライセンスと、「2003/3/25まで有効」のライセンスとを端末装置300がバックアップする場合、端末装置300は、最短の復元有効期限「2003/2/13」を示す付加データを生成したり、最長の復元有効期限「2003/3/25」を示す付加データを生成したりする。
付加データがバックアップ処理時刻を示す場合、端末装置300は、バックアップデータを暗号化して暗号化バックアップデータを生成した時刻を特定して、その時刻を上述のバックアップ処理時刻として付加データを生成し、その付加データを暗号化バックアップデータに付加する。
付加データがデータバージョンを示す場合、端末装置300は、暗号化バックアップデータの生成回数をカウントして、そのカウント値をデータバージョンとして付加データを生成し、その付加データを暗号化バックアップデータに付加する。
付加データが参照専用データを示す場合、端末装置300は、バックアップデータの例えば利用条件が平文で表された内容を上述の参照専用データとして付加データを生成し、その付加データを暗号化バックアップデータに付加する。
付加データが暗号アルゴリズム識別子を示す場合、端末装置300は、暗号化バックアップデータを生成するために用いた例えばAES(Advanced Encryption Standard)やTriple DES(Data Encryption Standard)等の共通鍵暗号アルゴリズムなどを示す識別子を上述の暗号アルゴリズム識別子として付加データを生成し、その付加データを暗号化バックアップデータに付加する。ここで、暗号アルゴリズムとしては、AESやTriple DES等の共通鍵暗号アルゴリズムが一般的である。なお、データ保護システムSにおいて複数の暗号アルゴリズムをサポートする場合は、暗号化バックアップデータに、暗号化を行った暗号アルゴリズムの情報を付加する必要がある。
付加データが端末識別子を示す場合、端末装置300は、自らが保持するROMに記憶されている端末識別子を読み出してその端末識別子を示す付加データを生成しその付加データを暗号化バックアップデータに付加する。
付加データがサーバ識別子を示す場合、端末装置300は、バックアップデータの元のデータの出所となるサーバ、即ちそのデータを配信しているサーバから、そのデータとともにサーバ識別子(例えば、URL(uniform resource locator)や位置情報など)を予め取得しておく。そして、端末装置300はそのデータから暗号化バックアップデータを生成したときには、そのサーバ識別子を示す付加データを生成してその暗号化バックアップデータに付加する。
なお、復元有効期限などを示す付加データは端末装置300が生成するとして説明したが、ネットワークストレージ200が、バックアップ時に生成しても良いし、バックアップデータ取得要求メッセージの受信時に生成しても良い。
また、図13のステップS2024において、ドメイン識別子M1002に対応する暗号化バックアップデータが存在する場合、上書きするとして説明したが、既存の暗号化バックアップデータに付加データとしてデータバージョン又はバックアップ処理時刻が付加されていれば、同様の付加データが付加された新たな暗号化バックアップデータM1001を上書きすることなく追加的に格納しても良い。
〈バックアップ処理の変形例2:ドメインのデータをバックアップ〉
また、端末装置300は、同一ドメインに属する他の端末装置300が保持するデータを取得して、取得したデータに基づいて暗号化バックアップデータを生成する。
例えば、端末装置300がデータDA,DB,DCを保持し、他の端末装置300がデータDB,DC,DDを保持している場合には、端末装置300は、他の端末装置300からデータDB,DC,DDを取得して、データDA,DB,DC,DDの暗号化バックアップデータを生成する。又は、端末装置300は、他の端末装置300から取得したデータと自らが保持するデータとの重複するデータDB,DCの暗号化バックアップデータを生成する。
ここで、重複するデータのバックアップ処理について説明する。
バックアップの対象となるデータがライセンスの場合、「データが重複する」とは、それぞれのライセンスに対応するコンテンツ識別子が同一であることを意味する。そして、複数のライセンスが重複している、つまり複数のライセンスに対応するコンテンツ識別子が同一であるときには、端末装置200は何れかのライセンスをバックアップデータとしても良い。
ここで、複数のライセンスが重複しているものの、その内容が異なっている場合、例えばそれらのライセンスに含まれる利用条件が異なっている場合には、端末装置300は、所定の制御ルールに従い、何れかのライセンスをバックアップデータとして選択する。上述の所定の制御ルールは、例えば、(1)「利用条件においてユーザに有利なライセンスを選択すること」や、(2)「事業者に有利なライセンスを選択すること」などである。また、そのような制御ルールは、端末装置300の出荷時にその端末装置300に設定されたり、事業者のサーバからの送信により端末装置300に設定されたりする。例えば、利用条件として再生可能回数「2回」のライセンスと、同じく利用条件として再生可能回数「5回」のライセンスとが重複し、端末装置300に(1)の制御ルールが設定されている場合には、端末装置300は再生可能回数「5回」のライセンスをバックアップデータとして選択する。また、端末装置300に(2)の制御ルールが設定されている場合には、端末装置300は再生可能回数「2回」のライセンスをバックアップデータとして選択する。
〈バックアップ処理の変形例3:複数のストレージに格納〉
また、端末装置300は、生成した暗号化バックアップデータをそのデータ種別に応じて異なるネットワークストレージ200に格納する。即ち、データ保護システムSはセキュリティレベルが異なる複数のネットワークストレージ200を備えており、端末装置300は、そのバックアップデータであるライセンスを、利用条件とコンテンツ鍵とに分けて暗号化したときには、利用条件を示す暗号化バックアップデータを低セキュリティレベルのネットワークストレージ200に格納し、コンテンツ鍵を示す暗号化バックアップデータを高セキュリティレベルのネットワークストレージ200に格納する。また、端末装置300は、データ種別に関わりなく、1つの暗号化バックアップデータを分割し、複数のネットワークストレージ200に分散して格納しても良い。なお、このように暗号化バックアップデータが分散して格納された場合、分散されたデータのうち何れか1つでも取得することができなければ、元のバックアップデータに復元することができなくなる。
〈バックアップ処理の変形例4:複数ドメインに関連付け〉
端末装置300は、自らが保持するデータが複数のドメインに関連付けられている場合には、そのデータをドメインの数だけ複製し、それぞれのバックアップデータを、各ドメインに対応するドメイン鍵で暗号化し、複数の暗号化バックアップデータを生成する。
又は、端末装置300は、自らが保持するデータが複数のドメインに関連付けられている場合には、そのデータを1つだけ複製し、そのバックアップデータを、その複数のドメインのうちの何れか1つのドメインに対応するドメイン鍵で暗号化し、1つの暗号化バックアップデータを生成しても良い。このような場合、端末装置300は、複数のドメインの中から、ユーザによる操作に応じたドメインを特定するか、ドメイン管理サーバ100からの制御に基いてドメインを特定し、そのドメインに対応するドメイン鍵を上記暗号化に使用する。
〈バックアップ処理の変形例5:別々に暗号化〉
以上の説明では、バックアップデータであるライセンスの構成要素である利用条件とコンテンツ鍵を意識することなく、一緒に暗号化し、バックアップするとして説明したが、利用条件と、コンテンツ鍵とを別々に暗号化処理するとしてもよい。具体的には、利用条件はドメイン鍵で暗号化し、コンテンツ鍵は端末装置300ごとに設定された共通鍵暗号方式の鍵で暗号化する、などである。この場合、利用条件の内容参照はドメイン内の端末装置300であれば可能だが、コンテンツ鍵のデータ復元処理は、バックアップを行った端末装置300でのみ可能となる。
また、利用条件をドメイン鍵で、コンテンツ鍵をドメイン管理サーバ100の公開鍵で暗号化すると、利用条件の内容参照はドメイン内の端末装置300であれば自由に行えるが、コンテンツ鍵のデータ復元処理は、ドメイン管理サーバ100に復号処理を依頼する必要があり、重要なデータの復元の可、不可をドメイン管理サーバ100が制御可能となる。
〈バックアップ処理の変形例6:署名〉
また、「コンテンツ鍵は、データ自体の保護が必要なため、暗号化する必要があるが、利用条件は、改ざんされなければよい」という運用も考えられる。その場合は、バックアップ処理時に、利用条件は暗号化ではなく、改ざん検出の一手法としての署名を行うとしてもよい。署名する鍵は、ドメインごとに設定される公開鍵暗号方式の秘密鍵、あるいは端末装置300ごとに設定される公開鍵暗号方式の秘密鍵、あるいはドメイン管理サーバ100に設定される公開鍵暗号方式の秘密鍵が想定される。
以上で、ユーザがバックアップ指示を行い、端末装置300が、自らが保持するデータをネットワークストレージ200にバックアップするまでの処理について説明した。次に、端末装置300が、ネットワークストレージ200にバックアップしているデータの内容参照を行う際の処理について図を参照して説明する。
(暗号化バックアップデータの内容参照を行う際の処理)
まず、内容参照時の処理に関係する通信メッセージM700のメッセージ本体M702のデータ構造について図14、および図15を参照して説明する。
図14は、端末装置300がネットワークストレージ200に格納されている暗号化バックアップデータを取得するために送信される通信メッセージM700(バックアップデータ取得要求メッセージ)のメッセージ本体M702の構成を示す図である。
図14に示すように、このメッセージ本体M702は、バックアップデータ取得要求メッセージ本体M1200として構成され、そのバックアップデータ取得要求メッセージ本体M1200はドメイン識別子M1201からなる。
図15は、端末装置300からの取得要求に対してネットワークストレージ200が端末装置300に返信する通信メッセージM700(バックアップデータ送信メッセージ)のメッセージ本体M702の構成を示す図である。
図15に示すように、このメッセージ本体M702は、バックアップデータ送信メッセージ本体M1300として構成され、このバックアップデータ送信メッセージ本体M1300は、暗号化バックアップデータM1301と、ドメイン識別子M1302とからなる。
以上で、内容参照処理に関係する通信メッセージM700のデータ構造について説明した。
端末装置300が、ネットワークストレージ200に格納されている暗号化バックアップデータの内容を参照するまでの処理について図16を参照して説明する。
図16は、参照処理を示すフロー図である。
端末装置300は、ユーザの端末アプリケーションへのバックアップデータ内容参照指示により、ネットワークストレージ200に格納されている暗号化バックアップデータの内容の参照処理を開始する。即ち、ユーザから内容参照指示を受けた端末アプリケーションは、バックアップデータ参照部305に内容参照指示を行う。ここで、ユーザは、参照する暗号化バックアップデータに対応するドメイン識別子を入力する。
バックアップデータ参照部305は、上述のバックアップデータ取得要求メッセージを生成し、通信部301を通じてネットワークストレージ200に送信する(ステップS2131)。
バックアップデータ取得要求メッセージ本体M1200に含まれるドメイン識別子M1201は、内容参照の対象となる暗号化バックアップデータに対応するドメイン識別子である。
ネットワークストレージ200は、通信部201を通じてそのバックアップデータ取得要求メッセージを受信する(ステップS2121)。データ取得・格納部202は、バックアップデータ取得要求メッセージ本体M1200からドメイン識別子M1201を抽出し、データ格納部211のデータ管理テーブルD500からドメイン識別子M1201を検索する。さらにデータ取得・格納部202は、そのドメイン識別子M1201に対応するドメインの暗号化バックアップデータである格納データD502を特定し、これを取得する(ステップS2122)。ドメイン識別子M1201に対応するドメインの暗号化バックアップデータが存在しない場合は、データ取得・格納部202は、暗号化バックアップデータが存在しない旨をメッセージ本体M702に含む通信メッセージM700(返信メッセージ)を端末装置300に送信する。
暗号化バックアップデータが存在するときには、データ取得・格納部202は、その暗号化バックアップデータである格納データD502とドメイン識別子M1201とを含むメッセージ本体M702に、メッセージヘッダM701をつけて通信メッセージM700(バックアップデータ送信メッセージ)を生成し、通信部201を通じて端末装置300に送信する(ステップS2123)。
バックアップデータ参照部305は、通信部301を通じてそのバックアップデータ送信メッセージを受信する(ステップS2132)。
バックアップデータ参照部305は、そのバックアップデータ送信メッセージより、ドメイン識別子M1302を抽出し、ドメイン鍵格納部311においてドメイン識別子M1302をキーとしてドメイン鍵を特定し、これを取得する。なお、ネットワークストレージ200は、バックアップデータ送信メッセージ本体M1300にドメイン識別子M1302を含めなくても良い。この場合、端末装置300は、バックアップデータ取得要求メッセージに含めたドメイン識別子M1201を一時的に記憶しておき、その記憶しておいたドメイン識別子1201に対応するドメイン鍵をドメイン鍵格納部311から特定してこれを取得する。
また、ドメイン鍵がドメイン鍵格納部311に格納されていない場合は、端末装置300は、先に説明したドメイン鍵取得の処理の流れに従いドメイン鍵を取得する。
バックアップデータ参照部305は、暗号化バックアップデータM1301とドメイン鍵とを暗号・復号部306に送信する。暗号・復号部306は、受信したその暗号化バックアップデータM1301の復号処理を行い(ステップS2133)、復号されたバックアップデータをバックアップデータ参照部305に送信する。バックアップデータ参照部305は、受信したバックアップデータの中でユーザが参照したいデータ内容をユーザに提示する(ステップS2134)。本実施の形態ではユーザが確認したい内容とはライセンスの利用条件である。なお、ユーザが参照したいデータを指定する情報を入力し、端末装置300はその情報に従い、ユーザに提示するデータ内容を変えてもよい。
〈参照処理の変形例〉
ここで、ネットワークストレージ200に格納されている暗号化バックアップデータに上述の例えば復元有効期限を示す付加データが付加されている場合には、端末装置300は、その付加データの内容を表示してユーザに知らしめる。
また、ネットワークストレージ200に格納されている暗号化バックアップデータに上述の参照専用データを示す付加データが付加されている場合には、端末装置300は、その参照用データの内容を表示してユーザに知らしめる。暗号化バックアップデータがライセンスであって、その参照専用データが利用条件であれば、端末装置300は利用条件の参照時に復号処理を必要としないため、処理を簡素化することができる。なお、この参照専用データは、参照用のみに利用され、復元処理には用いられない。また、暗号化バックアップデータが署名されている場合には、端末装置300は、署名検証による改ざん検出を行い、改ざんされていない場合のみ、その暗号化バックアップデータの内容を表示してユーザに知らしめても良い。
以上で、ユーザがバックアップデータ内容参照指示を行い、端末装置300が、ネットワークストレージ200より暗号化バックアップデータを取得し、その内容をユーザに提示するまでの処理について説明した。次に、端末装置300が、ネットワークストレージ200に格納している暗号化バックアップデータを復元する際の処理について図を参照して説明する。
(暗号化バックアップデータの復元を行う際の処理)
データ復元時の処理に関係する通信メッセージのデータ構造は、上述の内容参照時に関する通信メッセージのデータ構造と同様である。
端末装置300が、ネットワークストレージ200に格納してある暗号化バックアップデータを復元するまでの処理について図17を参照して説明する。
図17は、暗号化バックアップデータの復元処理を示すフロー図である。
端末装置300は、ユーザの端末アプリケーションへのデータ復元指示により、ネットワークストレージ200に格納されている暗号化バックアップデータの復元処理を開始する。即ち、ユーザからデータ復元指示を受けた端末アプリケーションは、データ復元部304にデータ復元指示を行う。ここで、ユーザは、復元の対象となる暗号化バックアップデータに対応するドメイン識別子を入力する。
ここで、データ復元部304が、ネットワークストレージ200に暗号化バックアップデータを要求し、復号するまでの処理(ステップS2231〜ステップS2233、およびステップS2221〜ステップS2223)は、上述のバックアップデータ参照時のバックアップデータ参照部305の処理(図16のステップS2131〜ステップS2133、およびステップS2121〜ステップS2123)と同じであるため説明を省略する。
データ復元部304は、復号したバックアップデータをドメイン識別子M1302と関連付けてデータ格納部312に格納する(ステップS2234)。そして、データ復元部304は、復号したバックアップデータをデータ格納部312に格納するときには、そのバックアップデータと同一のドメイン識別子に対応する元のデータを削除する。なお、復元処理を開始する前に予め元のデータを削除しておいても良い。また、データ復元部304は、復元処理によりデータが重複してしまう場合、その重複する元のデータのみを削除しても良い。例えば、端末装置300が同の一ドメイン識別子に対応付けて保持する元のデータとして、コンテンツ識別子「CONTENT−ID−9001」のライセンスと、コンテンツ識別子「CONTENT−ID−9002」のライセンスとがあり、暗号化バックアップデータとしてコンテンツ識別子「CONTENT−ID−9001」のライセンスがある場合、データ復元部304は、その暗号化バックアップデータに対する復元処理を行うときには、元のデータであるコンテンツ識別子「CONTENT−ID−9001」のライセンスのみを削除し、コンテンツ識別子「CONTENT−ID−9002」のライセンスは削除しない。
〈復元処理の変形例1:付加データ〉
ここで、端末装置300は上述のように暗号化バックアップデータを復元するときには、以下の処理をしても良い。
即ち、端末装置300は、その暗号化バックアップデータに上述の付加データが付加されているときには、その付加データにより示される内容に応じた処理を行う。
例えば、付加データが復元有効期限を示す場合、端末装置300は、その付加データが付加された暗号化バックアップデータをネットワークストレージ200から取得して、その付加データが示す復元有効期限を確認する。そして、端末装置300は、現在の日時が復元有効期限を経過してしまっていると判断したときには、暗号化バックアップデータに対する復元を行わず、復元有効期限を経過していないと判断したときには、暗号化バックアップデータに対する復元を行う。
付加データがバックアップ処理時刻を示す場合、端末装置300は、ネットワークストレージ200に格納されている暗号化バックアップデータから、最新のバックアップ処理時刻を示す付加データが付加された暗号化バックアップデータを選択し、その暗号化バックアップデータを取得して復元する。つまり、端末装置300がバックアップ処理を複数回行った場合には、ネットワークストレージ200には、その処理によって生成された複数の暗号化バックアップデータが格納されている。そして、これらの暗号化バックアップデータには上述の付加データが付加されているので、端末装置300は、最近にバックアップ処理を行った暗号化バックアップデータに対して復元処理を行うのである。また、端末装置300は、バックアップ処理時刻から一定時間を加えたものを復元有効期限として、その復元有効期限を経過してしまった暗号化バックアップデータに対する復元処理を中止しても良い。
付加データがデータバージョンを示す場合、端末装置300は、ネットワークストレージ200に格納されている暗号化バックアップデータから、最新のデータバージョンを示す付加データが付加された暗号化バックアップデータを選択し、その暗号化バックアップデータを取得して復元する。なお、ネットワークストレージ200が所定の制御ルールに従って暗号化バックアップデータを選択しても良い。例えば、その所定の制御ルールとして「最新の暗号化バックアップデータを選択すること」がネットワークストレージ200に設定されている場合には、ネットワークストレージ200は、上述のデータバージョンやバックアップ処理時刻から最新の暗号化バックアップデータを選択する。そして、ネットワークストレージ200は、その選択した暗号化バックアップデータを端末装置300に受け渡す。
付加データが暗号アルゴリズム識別子を示す場合、端末装置300は、ネットワークストレージ200から暗号化バックアップデータを取得すると、その暗号化バックアップデータに付加されている付加データの示す暗号アルゴリズム識別子から、暗号アルゴリズムを特定する。そして、端末装置300は、その特定した暗号アルゴリズムに従って暗号化バックアップデータに対する復元処理を行う。なお、端末装置300は、暗号化バックアップデータに付加されている暗号アルゴリズム識別子に対応する暗号アルゴリズムを保持していないときには、他の端末装置やサーバと通信することで、その暗号アルゴリズムを取得しても良い。
付加データが端末識別子を示す場合、端末装置300は、ネットワークストレージ200から暗号化バックアップデータを取得すると、その暗号化バックアップデータに付加されている付加データの示す端末識別子から端末装置を特定する。端末装置300は、その特定した端末装置が自らでない場合、その特定した端末装置に対して、取得した暗号化バックアップデータを復元しても良いか否かを問い合わせる。ここで、他の端末装置から復元の許可が得られたときには、端末装置300はその暗号化バックアップデータに対する復元処理を行い、許可が得られなかったときには、その暗号化バックアップデータに対する復元処理を中止する。
ここで、端末装置300の復元許可判定について説明する。
端末装置300は、上述のように他の端末装置に対して復元を許可するか否かを判定するため、復元が許可される端末装置の端末識別子が登録されたリストを管理している。即ち、他の端末装置が端末装置300に復元の問合せをするときには、その他の端末装置は自らの端末識別子を通知する。そしてその通知を受けた端末装置300は、その通知により示される端末識別子を上述のリストから検索し、リストにその端末識別子があれば、問合せをしてきた端末装置に対して復元を許可し、リストにその端末識別子がなければ、問合せをしてきた端末装置に対して復元を許可しない。また、端末装置300は、リストにその端末識別子があっても、その端末識別子の端末装置に対して既に所定の回数だけ復元を許可している場合には、その端末装置に対して復元を許可しなくても良い。
付加データがサーバ識別子を示す場合、端末装置300は、ネットワークストレージ200から暗号化バックアップデータを取得すると、その暗号化バックアップデータに付加されている付加データの示すサーバ識別子からサーバを特定する。端末装置300は、その特定したサーバに対して、取得した暗号化バックアップデータを復元しても良いか否かを問い合わせる。ここで、サーバから復元の許可が得られたときには、端末装置300はその暗号化バックアップデータに対する復元処理を行い、許可が得られなかったときには、その暗号化バックアップデータに対する復元処理を中止する。また、端末装置300は、暗号化バックアップデータに対して復元できるか否かを、サーバに事前に問い合わせていても良い。
ここで、サーバの復元許可判定について説明する。
サーバは、上述のように端末装置300に対して復元を許可するか否かを判定するため、端末装置300又はユーザごとに、これまで復元を許可してきた回数(データ復元回数)を管理する。即ち、端末装置は300は、サーバに対して復元をしても良いか否かを問い合わせるときには、自らの端末識別子をサーバに通知する。サーバは、その通知に示される端末識別子から、問い合わせてきた端末装置300又はそのユーザを特定し、その端末装置300又はユーザに対するデータ復元回数が所定の回数以下であれば、その端末装置300に対して復元を許可し、データ復元回数が所定の回数を上回る場合には、その端末装置300に対する復元を許可しない。なお、上述では端末装置300は、付加データの示すサーバに対して復元をしても良いか否かを問合せたが、サービスから一意に特定されるサーバや、端末装置300から一意に特定されるサーバに対して問い合わせても良い。
〈復元処理の変形例2:整合性〉
また、ドメインごとに管理されるデータは、ドメインに含まれる端末装置300のデータ取得あるいは、データ消費処理により、時間と共に変化するものである。端末装置300は、バックアップ時、およびデータ復元時において、ドメイン内に含まれる端末装置300間で通信を行いドメインとして保持するデータの整合性チェックを行っても良い。
例えば、端末装置300aは、暗号化バックアップデータを復元した後、その復元されたバックアップデータに対応する元のデータが端末装置300bに保持されていると判断すると、そのバックアップデータと、端末装置300bのデータとの整合性をチェックする。そのチェックの結果、整合性がなくバックアップデータの方が新しい場合には、端末装置300aはそのバックアップデータを残し、端末装置300bのデータを破棄させる。また、端末装置300bのデータの方が新しい場合には、端末装置300aはそのデータを残し、バックアップデータを破棄する。
また、端末装置300aは、上述と同様に整合性をチェックした結果、整合性がないと判断したときには、そのバックアップデータを無効とする。即ち、端末装置300aは復元処理を行わなかったこととする。例えば、バックアップデータが再生回数3回を示す利用条件であって、元のデータが再生回数5回を示す利用条件である場合、端末装置300aはそのバックアップデータを無効とする。つまり、利用条件としての再生回数は通常、時間とともに単調減少するものであり、元のデータの再生回数が、バックアップデータの再生回数よりも多いのは不自然である。そして、このような場合には不正な処理が行われた可能性が高いため、端末装置300aは上述のようにバックアップデータを無効にするのである。また、端末装置300aは、整合性がないと判断したときには、上述のように不正な処理が行われたと判断し、元のデータを削除したり、その元のデータの利用を不可能にするなどの処理を行っても良い。
なお、整合性をチェックするために、端末装置300aは先に暗号化バックアップデータを復元したが、暗号化バックアップデータに付加された付加データなどから整合性をチェックすることができるような場合には、端末装置300aは先に暗号化バックアップデータを復元することなく整合性をチェックし、整合性がない場合には、復元処理を中止するようにしても良い。
また、バックアップデータ及びその元のデータがライセンスであって、端末装置300がそのライセンスの利用履歴を蓄積しているような場合、端末装置300は、暗号化バックアップデータの復元後、復元されたバックアップデータから、バックアップ時以降に元のデータが利用された利用分を減算する。つまり、バックアップデータの再生可能回数が5回であって、そのバックアップデータの復元時には元のデータは既に消失しているものの、利用履歴として2回再生されたことが記録されている場合には、端末装置300はバックアップデータの再生可能回数を5−2=3回とする。
以上で、ユーザがデータ復元指示を行い、端末装置300が、ネットワークストレージ200より暗号化バックアップデータを取得し、暗号化バックアップデータを復元するまでの処理について説明した。
ここで、本実施の形態の全体的な処理に関する変形例について説明する。
〈全体的な変形例1:鍵〉
上記説明では、バックアップデータの暗号・復号は、ドメインごとに設定される共通鍵暗号方式の鍵であるドメイン鍵を用いて行われるとしたが、以下のような鍵を用いて暗号・復号をしてもよい。
まず、ドメインごとに設定される公開鍵暗号方式の鍵であるドメイン公開鍵及びドメイン秘密鍵を用いる方法について説明する。ドメイン公開鍵及びドメイン秘密鍵の鍵ペアは、ドメイン管理サーバ100が生成する。端末装置300は、ドメイン秘密鍵をドメイン鍵と同様の方法で取得しセキュアに管理しておく。ドメイン公開鍵は、ドメイン管理サーバ100が公開しておく。この場合、バックアップ時には、ドメイン公開鍵でバックアップデータは暗号化され、データ復元時には、暗号化バックアップデータはドメイン秘密鍵で復号化される。
ここまで、ドメイン内でデータの共有が可能となるように、ドメインごとにバックアップ時の暗号化処理に用いる鍵が設定されるとして説明したが、バックアップ時の暗号化処理に用いる鍵を端末装置300ごとに設定するとしてもよい。なお、この場合は、暗号化処理を行った端末装置300のみが暗号化バックアップデータの復元処理を行うことができる。
端末装置300ごとに設定される鍵としては、共通鍵暗号方式の鍵、あるいは公開鍵暗号方式の鍵ペアが考えられる。また、鍵の取得方法と、バックアップデータに対する暗号化及び復号化の方法とについては、ドメインごとに鍵が設定される場合と同様である。
また、バックアップデータを暗号化する鍵として、ドメイン管理サーバ100の共通鍵暗号方式の鍵、あるいは公開鍵暗号方式の鍵ペアも考えられる。例えば、端末装置300がドメイン管理サーバ100の公開鍵とドメイン鍵とを保持しており、暗号化バックアップデータの復元をドメイン管理サーバ100の制御なしに端末装置300が自由に行ってよい場合は、端末装置300は、ドメイン鍵でバックアップデータの暗号化を行う。また、ドメイン管理サーバ100が暗号化バックアップデータの復元の可否を制御する場合は、端末装置300は、ドメイン管理サーバ100の公開鍵で、バックアップデータの暗号化を行うとしてもよい。ドメイン管理サーバ100の公開鍵でバックアップデータが暗号化された場合、端末装置300はデータ復元時にドメイン管理サーバ100に暗号化バックアップデータの復号処理を依頼する必要がある。つまり、ドメイン管理サーバ100は、暗号化バックアップデータの復元の可否を制御することができる。なお、バックアップデータの暗号化をどちらの鍵で行うかは、ドメイン管理サーバ100が決定してもよいし、端末装置300が決定するとしてもよい。
〈全体的な変形例2:データ種別に応じて処理〉
本変形例に係る端末装置300は、データ配信サーバから取得したデータに対するバックアップ処理や、暗号化バックアップデータの復元処理、暗号化バックアップデータの参照処理などの各処理を行うときには、そのデータや暗号化バックアップデータに設定されたデータ種別に応じた処理を行う。ここで、データ種別は、データ配信サーバにより各データに対して設定されたものである。端末装置300は、データ配信サーバからそのデータ種別が設定されたデータを取得し、そのデータ種別が設定されたデータを複製してバックアップデータを生成する。
例えば、端末装置300は、データをバックアップするときには、そのデータのデータ種別に応じた暗号鍵、暗号方法、あるいは署名方法を用いる。即ち、端末装置300はデータ種別に応じて暗号鍵などを切り換える。なお、端末装置300は、データ保護システムSにおいて、求められるセキュリティおよびプライバシー保護のレベルなどをデータ種別から特定し、その特定したレベルに応じて、複数の暗号鍵、暗号方法、および署名方法を組み合わせて利用してもよい。
また、端末装置300は、データをバックアップするときには、そのデータに設定されたデータ種別から、上述の付加データのデータバージョンやバックアップ処理時刻などと言った種別(付加データ種別)を特定し、その特定した付加データ種別の付加データを暗号化バックアップデータに付加する。
さらに、端末装置300は、暗号化バックアップデータを復元するときには、その暗号化バックアップデータに設定されているデータ種別から、そのバックアップデータを復元できるか否かを判別する。端末装置300は、復元できると判別したときには、復元処理を行い、復元できないと判別したときには、復元処理を中止する。
またさらに、端末装置300は、バックアップデータの参照処理を行うときには、その暗号化バックアップデータに付加されている付加データの内容の中から、その暗号化バックアップデータに設定されているデータ種別に対応する内容を選定する。そして端末装置300は、その選定した内容(例えば利用条件)を取得して表示する。
〈全体的な変形例3:バックアップデータの削除〉
本変形例に係るネットワークストレージ200は、端末装置300からの暗号化バックアップデータを限られた記憶容量に格納するために、端末装置300から暗号化バックアップデータを取得するごとに、既に格納されている暗号化バックアップデータのうち、例えば最も古い暗号化バックアップデータを削除する。
また、ネットワークストレージ200は、端末装置300からの要求に基いて、格納している暗号化バックアップデータをその端末装置300に送信した後、その暗号化バックアップデータを削除する。
また、ネットワークストレージ200は、格納している暗号化バックアップデータに上述の付加データが付加されている場合には、その付加データの内容に応じて暗号化バックアップデータの削除を行う。即ち、付加データに復元有効期限が示されているときには、ネットワークストレージ200は、現在の日時がその付加データの復元有効期限を経過しているか否かを判別する。そしてネットワークストレージ200は、復元有効期限を経過していればその付加データに対応する暗号化バックアップデータを削除する。
また、ネットワークストレージ200は、格納している暗号化バックアップデータを例えば古いものから順に定期的に削除する。
〈全体的な変形例4:制御情報〉
本変形例に係る端末装置300は、ドメイン管理サーバ100又はデータ配信サーバから配信される制御情報に基いて、バックアップ処理や復元処理やデータ参照処理などの制御を行う。
例えば、バックアップ処理に対して暗号鍵、暗号方法、又は署名方法の種別を示す制御情報が端末装置300に配信されたときには、端末装置300はその種別に応じたバックアップを行う。また、データバージョンやバックアップ処理時刻などの付加データの種別(付加データ種別)を示す制御情報が端末装置300に配信されたときには、端末装置300は、暗号化バックアップデータにその付加データ種別に応じた付加データを付加する。さらに、バックアップ処理に対して復元有効期限の最長や最短の種別を示す制御情報が端末装置300に配信されたときには、端末装置300は、複数のライセンスから構成される暗号化バックアップデータに対して、各ライセンスに対して与えられる復元有効期限のうち、その制御情報が示す種別(最長又は最短)の復元有効期限を示す付加データを付加する。
また、復元処理に対して上述のような付加データ種別を示す制御情報が端末装置300に配信されたときには、端末装置300は、暗号化バックアップデータに付加された付加データに含まれるデータバージョンやバックアップ処理時刻や復元有効期限などから、制御情報により示される付加データ種別を特定する。例えば、その特定した付加データ種別が復元有効期限であれば、端末装置300は、現在の日時がその復元有効期限を経過しているか否かを判別する。そして、復元有効期限を経過しているときには、端末装置300は暗号化バックアップデータを復元できないと判別する。
さらに、データ参照処理に対して利用条件や復元有効期限などの種別(参照データ種別)を示す制御情報が端末装置300に配信されたときには、端末装置300は、その参照データ種別に対応する利用条件や復元有効期限などの内容を表示する。
ドメイン管理サーバ100又はデータ配信サーバは、このような制御情報を生成するための制御情報一覧表を有している。
図18は、制御情報一覧表の内容を示す内容表示図である。
このような制御情報一覧表Cd1には、バックアップ処理や復元処理などの処理種別と、各処理種別に対して制御単位や制御対象などの制御情報に含める必要がある項目と、各項目に対するデータ内容とが記録されている。
図19は、制御情報のデータ構成を示すデータ構成図である。
制御情報Ci1は、制御単位と、処理種別及び制御内容からなる処理別制御情報とを含む。
ドメイン管理サーバ100又はデータ配信サーバは、例えば、端末装置300ごとにバックアップ処理に対する制御を行うときには、制御単位として所定の端末装置300の端末識別子を格納し、処理種別としてバックアップ処理を格納し、制御内容として制御対象と暗号アルゴリズム種別と署名方法と処理種別と付加データ種別とを格納する。例えば、ドメイン管理サーバ100又はデータ配信サーバは、制御対象として「利用条件」を格納し、暗号アルゴリズム種別として「DES」を格納し、署名方法として「署名なし」を格納し、処理種別として「コンテンツ鍵を削除してバックアップ」を格納し、付加種別として「復元有効期限」を格納する。このような制御情報Ci1を取得した端末装置300は、バックアップ処理を行うときには、ライセンスに含まれる利用条件のみを「DES」で暗号化して暗号化バックアップデータを生成し、その暗号化バックアップデータに対して復元有効期限を示す付加データを付加する。また、制御情報Ci1には、制御対象や暗号アルゴリズム種別などの各項目に対して編集可否フラグが格納される。この編集可否フラグは、端末装置300のユーザによる操作に基いて編集可能か否かを示す。
また、ドメイン管理サーバ100又はデータ配信サーバは、例えば、端末装置300ごとに復元処理に対する制御を行うときには、制御単位としてその端末装置の端末識別子を格納し、可否判定種別として「復元可能回数」などを格納し、可否判定情報として復元可能回数に応じた例えば「3回」といった情報と、補完データ種別として「補完データなし」を格納し、補完要求先として「要求先なし」を格納する。このような制御情報Ci1を取得した端末装置300は、暗号化バックアップデータを復元するときには、その暗号化バックアップデータの復元可能回数を特定し、その特定した回数が上述の「3回」未満であるときには復元を行い、「3回」以上であるときには復元を行わずに処理を終了する。
ここで、上述のような制御情報Ci1をユーザが端末装置300に入力しても良い。例えば、その制御情報Ci1が参照データ種別として利用条件を示しているときには、端末装置300はデータ参照処理時に暗号化バックアップデータの利用条件を表示する。
以上、本発明について本実施の形態及び変形例を用いて説明したが、本発明はこれらに限定されるものではない。
例えば、暗号化バックアップデータはネットワークストレージ200に送信されて格納されるとしたが、端末装置300に直接接続される外部記憶媒体に格納されるようにしてもよい。
また、ネットワークストレージ200と端末装置300との通信においてもSACを確立するとしてもよい。
さらに、復元処理時に暗号化バックアップデータであるライセンスの内容に基いて、ネットワークストレージ200がライセンスの復元を制限したり、ライセンスを更新してもよい。
例えば、復元処理時に、ライセンスの利用条件の有効期間が切れている場合、ネットワークストレージ200は、有効期間が切れているライセンスを端末装置300に送信しない、あるいは利用条件の内容を変更して端末装置300に送信する。また、暗号化バックアップデータとしてライセンスが複数存在し、一部のライセンスの有効期限が切れている場合、ネットワークストレージ200はその一部の有効期限が切れているライセンスに対してのみ上記処理をしても良いし、全てのライセンスに対して上記処理を行っても良い。
(実施の形態2)
以下、本発明における実施の形態2について、図面を用いて詳細に説明する。
図20は、本発明における実施の形態2のデータ保護システムの構成を示す構成図である。
本実施の形態のデータ保護システムは、図1に示したデータ保護システムSの構成要素と、データ補完サーバ400とを備える。ドメイン管理サーバ100、ネットワークストレージ200、および端末装置300の詳細な構成は、実施の形態1と同様であるため説明を省略する。ここでは、実施の形態1と構成の異なるデータ補完サーバ400の詳細な構成について説明する。なお、端末装置300a〜300cは、実施の形態1と同様、何れも同一の構成を有するため、端末装置300a〜300cのうち何れか1つを端末装置300として図20に表す。
本実施の形態における端末装置300は、データをバックアップするときには、そのデータの内容に応じてバックアップデータから一部を削除し、残りのバックアップデータを暗号化する。つまり、端末装置300が暗号化バックアップデータを単に復号しても、その暗号化バックアップデータは元のデータに復元されないのである。
そこで本実施の形態におけるデータ補完サーバ400は、その暗号化バックアップデータが復号化されたバックアップデータを端末装置300から受信し、そのバックアップデータに欠落した情報を補完することで、元のデータに復元する。そしてデータ補完サーバ400はその復元したデータを端末装置300に送信する。具体的には、データ補完サーバ400は、ドメイン識別子、コンテンツ識別子と利用条件、および、コンテンツ識別子とコンテンツ鍵を管理しており、端末装置300からのデータ復元要求に基づき、データの復元処理を行い、伝送路Nを通じて、復元したデータを端末装置300a〜300cに配信する。なお、本実施の形態では、復号処理及び補完処理からデータの復元を行う。
一般に、データ補完サーバ400は、端末装置300にデータ配信を行ったデータ配信サーバと同一であると考えられる。
データ補完サーバ400は、利用条件を格納する利用条件格納部411と、コンテンツ鍵を格納するコンテンツ鍵格納部412と、端末装置300と通信を行う通信部401と、利用条件格納部411、およびコンテンツ鍵格納部412からデータを取得し、データを補完し、復元データの生成を行うデータ補完部402とから構成される。
以上で、データ補完サーバ400の詳細な構成について説明した。
ここで、本実施の形態2で新たに扱うデータのデータ構造について説明する。データ補完サーバ400の各格納部が保持するデータについて図を参照して説明する。
利用条件格納部411は、利用条件を管理するための利用条件管理テーブルを有するデータベースであって、その利用条件管理テーブルは、利用条件を識別するための情報と利用条件との関連付けを示す。
図21は、上述の利用条件管理テーブルの内容を示す図である。
利用条件格納部411は、図21に示す利用条件管理テーブルD1500を有し、利用条件を識別するための情報としてのドメイン識別子D1501およびコンテンツ識別子D1502と、利用条件としてのライセンスの有効期間D1503およびコンテンツの利用可能回数D1504とを管理している。
例えば、図21において、利用条件管理テーブルD1500は、ドメイン識別子D1501が「DOMAIN−ID−0001」でコンテンツ識別子D1502が「CONTENT−ID−0001」である利用条件は、有効期間D1503が「2003/3/1まで有効」で且つ、利用可能回数D1504が「10回」であることを示している。
コンテンツ鍵格納部412は、コンテンツ鍵を管理するためのコンテンツ鍵管理テーブルを有するデータベースであって、そのコンテンツ鍵管理テーブルはコンテンツ識別子とコンテンツ鍵との関連付けを示す。
図22は、上述のコンテンツ鍵管理テーブルの内容を示す図である。
コンテンツ鍵格納部412は、図22に示すコンテンツ鍵管理テーブルD1600を有し、コンテンツ識別子D1601とコンテンツ鍵D1602とを管理している。
例えば、図22において、コンテンツ鍵管理テーブルD1600は、「CONTENT−ID−0001」のコンテンツ識別子D1601に対応するコンテンツのコンテンツ鍵D1602が「CONTENT−KEY−0001」であることを示している。
以上で、本実施の形態2で新たに扱うデータのデータ構造について説明した。
実施の形態1ではバックアップ対象のデータであるライセンスを構成する利用条件およびコンテンツ鍵の両者を暗号化又は署名を行ってバックアップする方法について説明した。実施の形態2ではライセンスを構成する利用条件およびコンテンツ鍵のいずれか一方のみをバックアップし、復元処理時に、データ補完サーバ400を利用してデータを復元する方法について説明する。
ここでは、バックアップ時にコンテンツ鍵を削除し、利用条件のみをバックアップする方法について説明する。これは、セキュリティの観点からコンテンツ鍵のバックアップが許されず、且つ、データ参照時にはデータ補完サーバ400との通信が必要とされないため、有効である。
以上の構成のデータ保護システムにおいて、端末装置300がデータのバックアップを行う際の処理、および端末装置300が暗号化バックアップデータの復元を行う際の処理について図を参照して説明する。
なお、端末装置300がドメイン管理サーバ100よりドメイン鍵を取得する際の処理は実施の形態1で説明した処理と同様のため、説明を省略する。
(データのバックアップ処理)
まず、端末装置300がデータのバックアップを行う際の処理について図23を参照して説明する。
なお、バックアップ処理に関係する通信メッセージM700のデータ構造については、実施の形態1のバックアップ処理に関する通信メッセージM700と同様であるため、説明を省略する。
図23は、バックアップ処理を示すフロー図である。
端末装置300は、ユーザの端末アプリケーションへのバックアップ指示により、端末装置300が保持するデータのバックアップ処理を開始する。即ち、ユーザからバックアップ指示を受けた端末アプリケーションは、バックアップ処理部303にバックアップ指示を行う。ここで、ユーザは必要であればバックアップ対象データ限定情報を入力する。
バックアップ処理部303は、バックアップ対象データ限定情報に基づき、データ格納部312に格納されているデータからバックアップ対象となるデータ、すなわちライセンス群を特定し、それ複製することによりバックアップデータを生成する(ステップS2331)。
バックアップ処理部303は、そのバックアップデータから各々のライセンスのコンテンツ鍵をセキュアに削除する(ステップS2332)。ここでセキュアに削除するとは、コンテンツ鍵を第3者に盗聴されることなく、コンテンツ鍵のデータを消去することである。また、バックアップ処理部303は、コンテンツ鍵が削除されたバックアップデータに対して、そこに含まれる各ライセンスに対応するコンテンツ識別子を関連付ける。
バックアップ処理部303は、このように生成されたバックアップデータを用いて、ステップS2333〜S2336の処理を行い、ネットワークストレージ200はステップS2321〜S2325までの処理を行う。
なお、バックアップ処理部303がドメイン鍵を取得してからバックアップ対象のデータをバックアップするまでの処理(ステップS2333〜ステップS2336)、およびネットワークストレージ200が行う処理(ステップS2321〜ステップS2325)は、実施の形態1のバックアップ処理で説明した処理(図20のステップS2032〜ステップS2035、およびステップS2021〜ステップS2025)と同じであるため説明を省略する。
〈バックアップ処理の変形例:付加データ〉
ここで、端末装置300は、上述のようにデータを複製し暗号化してネットワークストレージ200にバックアップするときには、実施の形態1と同様、暗号化バックアップデータに付加データを付加しても良い。また、本変形例における付加データは、復元有効期限などの他、データ補完サーバ400を識別するための補完サーバ識別子であっても良い。
以上で、ユーザがバックアップ指示を行い、端末装置300が、ライセンス群のバックアップデータからコンテンツ鍵を削除して暗号化された暗号化バックアップデータを、ネットワークストレージ200に格納するまでの処理について説明した。次に、端末装置300が、ネットワークストレージ200に格納されている暗号化バックアップデータを用いて、データの復元を行う際の処理について図を参照して説明する。
(暗号化バックアップデータの復元を行う際の処理)
まず、データ復元処理に関係する通信メッセージM700のデータ構造について図を参照して説明する。
図24は、端末装置300がデータ補完サーバ400に対してデータの補完を要求するときに送信される通信メッセージM700(データ復元要求メッセージ)のメッセージ本体M702のデータ構造を示す図である。
図24に示すように、メッセージ本体M702は、データ復元要求メッセージ本体M1700として構成され、このデータ復元要求メッセージ本体M1700は、1つ以上の復元用データM1701〜M1703からなる。各々の復元用データM1701〜M1703は利用条件M1711とコンテンツ識別子M1712とからなる。
図25は、データ補完サーバ400から端末装置300に送信される通信メッセージM700(復元データ送信メッセージ)のメッセージ本体M702のデータ構造を示す図である。
図25に示すように、メッセージ本体M702は、復元データ送信メッセージ本体M1800として構成され、この復元データ送信メッセージ本体M1800は、1つ以上の復元データM1801〜M1803からなる。各々の復元データM1801〜M1803は利用条件M1811とコンテンツ識別子M1812とからなる。
また、端末装置300がネットワークストレージ200から暗号化バックアップデータを取得する処理に関係する通信メッセージM700のメッセージ本体M702のデータ構造については、実施の形態1の図14および図15に示すデータ構造と同一であるため、説明を省略する。
以上で、データ復元処理に関係する通信メッセージM700のデータ構造について説明した。次に、端末装置300が、ネットワークストレージ200に格納されている暗号化バックアップデータを用いて、データの復元を行うまでの各部の処理について図26を参照して説明する。
図26は、データ復元処理を示すフロー図である。
ユーザのデータ復元指示により、端末装置300がネットワークストレージ200に暗号化バックアップデータを要求し、復号するまでの処理(ステップS2431〜ステップS2433、およびステップS2421〜ステップS2423)は、実施の形態1の図22に示す処理(ステップS2231〜ステップS2233、およびステップS2221〜ステップS2223)と同じであるため説明を省略する。
データ復元部304は、上述のデータ復元要求メッセージを生成し、通信部301を通じて、これをデータ補完サーバ400に送信する(ステップS2434)。
ここで、データ復元要求メッセージ本体M1700に含まれる利用条件M1711は、復号化されたバックアップデータの利用条件であって、コンテンツ識別子M1712は、バックアップデータにおいてその利用条件と関連付けられているコンテンツ識別子である。
データ補完サーバ400は、通信部401を通じてそのデータ復元得要求メッセージを受信する(ステップS2441)。
データ補完部402は、そのデータ復元要求メッセージより、復元用データM1701のコンテンツ識別子M1712を抽出し、コンテンツ鍵格納部412において、コンテンツ識別子M1712をキーとしてコンテンツ鍵D1602を特定し、これを取得する。そしてデータ補完部402は、利用条件M1711とコンテンツ鍵D1602とから復元データM1801を生成する、すなわちコンテンツ鍵を補完することによりデータを復元する。上記データ復元処理は復元用データM1701ごとに繰り返され、データの復元が行われる(ステップS2442)。
データ補完部402は、上述の復元データ送信メッセージを生成し、通信部401を通じて端末装置300に送信する(ステップS2443)。
復元データ送信メッセージ本体M1800に含まれる復元データM1801はステップS2442で復元したデータである。
データ復元部304は、通信部301を通じてその復元データ送信メッセージを受信する(ステップS2435)。
データ復元部304は、前記復元データ送信メッセージより、復元データを抽出し、バックアップデータ送信メッセージ本体M1300に含まれるドメイン識別子M1302と関連付けてデータ格納部312に格納する(ステップS2436)。
なお、ここでは端末装置300が利用条件とコンテンツ識別子とをデータ補完サーバ400に送信し、データ補完サーバ400がデータを復元するとして説明したが、端末装置300がコンテンツ識別子のみをデータ補完サーバ400に送信して、対応するコンテンツ鍵を取得し、端末装置300のデータ復元部304がデータの復元を行うとしてもよい。
〈復元処理の変形例:付加データ〉
ここで、本変形例に係る端末装置300は、実施の形態1と同様、暗号化バックアップデータに付加データが付加されている場合には、その付加データにより示される内容に応じた処理を行う。例えば、付加データが補完サーバ識別子を示す場合、端末装置300は、その補完サーバ識別子により示されるデータ補完サーバ400に対してデータの復元を要求する。
(暗号化バックアップデータの内容参照を行う際の処理)
本実施の形態の端末装置300は、実施の形態1の端末装置300と同様、暗号化バックアップデータの内容を表示するとともに、暗号化バックアップデータに付加データが付加されているときには、その付加データの内容を表示する。例えば、その付加データが補完サーバ識別子を示すときには、その補完サーバ識別子や、その補完サーバ識別子に対応するデータ補完サーバ400の名称などを表示する。
ここで、本実施の形態の全体的な処理に関する変形例について説明する。
〈全体的な変形例1:制御情報〉
本変形例に係る端末装置300は、実施の形態1の変形例と同様、ドメイン管理サーバ100又はデータ配信サーバから配信される制御情報に基いて、バックアップ処理や復元処理やデータ参照処理などの制御を行う。
例えば、復号化されたバックアップデータに対する補完の可否を示す制御情報が端末装置300に配信されたときには、端末装置300はその制御情報に基づいて、データの補完をデータ補完サーバ400に要求することができるか否かを判別する。その結果、端末装置300は、要求することができないと判別すると、その要求を行わず、要求することができると判別すると、データ補完サーバ400に対してデータの補完を要求する。
〈全体的な変形例2:データ種別に応じて処理〉
本変形例に係る端末装置300は、実施の形態1の変形例と同様、データ配信サーバから取得したデータに対するバックアップ処理や、暗号化バックアップデータの復元処理、バックアップデータの参照処理などの各処理を行うときには、そのデータやバックアップデータに設定されたデータ種別に応じた処理を行う。
例えば、端末装置300は、データをバックアップするときには、そのデータのデータ種別に応じた暗号鍵、暗号方法、あるいは署名方法を用いる。なお、端末装置300は、データ保護システムにおいて、求められるセキュリティおよびプライバシー保護のレベルなどをデータ種別から特定し、その特定したレベルに応じて、複数の暗号鍵、暗号方法、および署名方法を組み合わせて利用してもよい。
また、端末装置300は、暗号化バックアップデータを復元するときには、その暗号化バックアップデータに設定されているデータ種別から、そのデータを復元できるか否かを判別する。端末装置300は、復元できると判別したときには、復元処理を行い、復元できないと判別したときには、復元処理を中止する。
また、端末装置300は、データの補完をデータ補完サーバ400に要求するときには、バックアップデータのデータ種別に応じて、その要求ができるか否かを先に判別する。その結果、端末装置300は、要求することができないと判別すると、その要求を行わず、要求することができると判別すると、データ補完サーバ400に対してデータの補完を要求する。
なお、データ補完サーバ400が、データ復元時に暗号化バックアップデータであるライセンスの内容に基づいて、データの復元を制限したり、そのライセンスを更新してもよい。例えば、データ補完サーバ400は、データ補完時に、ライセンスの利用条件の有効期間が切れている場合、有効期間が切れているライセンスのデータの補完を行わず、未補完のデータを端末装置300に送信する。あるいは、データ補完サーバ400は、復元したバックアップデータを端末装置300に送信しなかったり、利用条件の内容を変更して端末装置300に送信してもよい。
また、バックアップデータとしてライセンスが複数存在し、一部のライセンスの有効期限が切れている場合、データ補完サーバ400は、その一部の有効期限が切れているライセンスに対してのみ上記処理をしてもよいし、全てのライセンスに対して上記処理を行ってもよい。
以上、本発明について本実施の形態及び変形例を用いて説明したが、本発明はこれらに限定されるものではない。
例えば、暗号化バックアップデータはネットワークストレージ200に送信されて格納されるとしたが、端末装置300に直接接続される外部記憶媒体に格納されるようにしてもよい。
例えば本実施の形態では、コンテンツ鍵を削除したが、利用条件を削除しても良い。この場合には、暗号化されたコンテンツ鍵が暗号化バックアップデータとしてネットワークストレージ200に格納され、データ復元時に、データ補完サーバ400がそのコンテンツ鍵に利用条件を補完する。また、データを復元するために、データ補完サーバ400は、利用条件を特定するための情報とコンテンツ鍵とを関連付けた利用条件管理テーブルD1500を保持しなければならない。例えば、この利用条件管理テーブルD1500は、図21で説明した利用条件管理テーブルD1500のドメイン識別子D1501とコンテンツ識別子D1502の組の代わりに、利用条件を特定するための情報を保持する。
本発明に係る端末装置は、暗号化してバックアップされたデータの復元が不正に行われるのを防ぎつつ、サーバ装置に対する依存度を抑えてその復元を行うことができ、例えばコンテンツ及びそのライセンスを扱うデータ配信システムなどの端末装置に適している。
本発明における実施の形態1のデータ保護システムの全体の概略構成を示す図である。 同上のドメイン管理サーバ、ネットワークストレージ、および端末装置の詳細な構成を示す機能ブロック図である。 同上のドメイン管理サーバのドメイン情報格納部が保持するドメイン管理テーブルのデータ構造を示す図である。 同上のドメイン鍵格納部が保持するドメイン鍵管理テーブルのデータ構造を示す図である。 (a)は、同上のネットワークストレージのデータ格納部が保持するデータ管理テーブルのデータ構造を示す図であり、(b)は、端末装置のデータ格納部が保持するデータ管理テーブルのデータ構造を示す図である。 同上のライセンスのデータ構造を示す図である。 同上のドメイン管理サーバおよびネットワークストレージと端末装置との間の通信において送受信される通信メッセージのメッセージフォーマットの内容を示す図である。 同上の端末装置がドメイン管理サーバにドメイン鍵を要求するときにドメイン管理サーバに対して送信される通信メッセージのメッセージ本体の構成を示す図である。 同上のドメイン管理サーバが端末装置300にドメイン鍵を受け渡すときにドメイン管理サーバから送信される通信メッセージのメッセージ本体の構成を示す図である。 同上のドメイン鍵取得処理を示すフロー図である。 同上の端末装置がネットワークストレージに暗号化バックアップデータの格納を要求するときに送信されるバックアップ要求メッセージのメッセージ本体の構成を示す図である。 同上の端末装置からの要求に対してネットワークストレージが端末装置に返信するバックアップ要求返信メッセージのメッセージ本体の構成を示す図である。 同上のバックアップ処理を示すフロー図である。 同上の端末装置がネットワークストレージに格納されている暗号化バックアップデータを取得するために送信されるバックアップデータ取得要求メッセージのメッセージ本体の構成を示す図である。 同上の端末装置からの取得要求に対してネットワークストレージが端末装置に返信するバックアップデータ送信メッセージのメッセージ本体の構成を示す図である。 同上の参照処理を示すフロー図である。 同上の暗号化バックアップデータの復元処理を示すフロー図である。 同上の制御情報一覧表の内容を示す内容表示図である。 同上の制御情報のデータ構成を示すデータ構成図である。 本発明における実施の形態2のデータ保護システムの構成を示す構成図である。 同上の利用条件管理テーブルの内容を示す図である。 同上のコンテンツ鍵管理テーブルの内容を示す図である。 同上のバックアップ処理を示すフロー図である。 同上の端末装置がデータ補完サーバ400に対してデータの補完を要求するときに送信されるデータ復元要求メッセージのメッセージ本体のデータ構造を示す図である。 同上のデータ補完サーバから端末装置に送信される復元データ送信メッセージのメッセージ本体のデータ構造を示す図である。 同上のデータ復元処理を示すフロー図である。
符号の説明
100 ドメイン管理サーバ
101 通信部
102 ドメイン情報登録部
103 ドメイン判定部
104 ドメイン鍵取得部
105 ドメイン鍵生成部
111 ドメイン情報格納部
112 ドメイン鍵格納部
200 ネットワークストレージ
201 通信部
202 データ取得・格納部
211 データ格納部
300,300a〜300b 端末装置
301 通信部
302 ドメイン鍵要求部
303 バックアップ処理部
304 データ復元部
305 バックアップデータ参照部
306 暗号・復号部
311 ドメイン鍵格納部
312 データ格納部
S データ保護システム

Claims (28)

  1. 端末装置群たる第1及び第2のドメインに属する端末装置であって、
    前記第1のドメインに共通の第1のドメイン鍵、及び前記第2のドメインに共通の第2のドメイン鍵を保持する鍵保持手段と、
    前記第1又は第2のドメインで共用されるデータである、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製手段と、
    前記複製データが前記第1のドメインに対応するものであれば、前記複製データを前記第1のドメインに関連付けて記憶媒体に格納し、前記複製データが前記第2のドメインに対応するものであれば、前記複製データを前記第2のドメインに関連付けて前記記憶媒体に格納するデータ格納手段とを備え、
    前記データ格納手段は、
    前記複製データが第1のドメインに対応するものであれば、前記第1のドメイン鍵を用いて前記複製データを暗号化し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメイン鍵を用いて前記複製データを暗号化することにより暗号化複製データを生成するとともに前記複製データを前記第1または第2のドメインに関連付ける暗号化手段と、
    前記暗号化手段で生成された暗号化複製データを前記記憶媒体に格納する格納手段とを備え、
    前記暗号化手段は、前記暗号化複製データの取り扱いに関する内容を示し、前記利用の条件に基づいて生成される付加情報を、当該暗号化複製データに付し、
    前記格納手段は、前記付加情報が付された前記暗号化複製データを前記記憶媒体に格納する
    ことを特徴とする端末装置。
  2. 前記複製データが前記第1のドメインに対応するものであれば、前記第1のドメインを識別するための識別子を、暗号化された前記複製データに付して前記記憶媒体に格納し、前記複製データが前記第2のドメインに対応するものであれば、前記第2のドメインを識別するための識別子を、暗号化された前記複製データに付して前記記憶媒体に格納する
    ことを特徴とする請求項1記載の端末装置。
  3. 前記複製手段は、生成された複製データの内容に応じて、前記複製データの一部を削除し、前記削除された残りの複製データに対してデジタル署名を施し、
    前記データ格納手段は、デジタル署名が施された複製データを前記記憶媒体に格納する
    ことを特徴とする請求項2記載の端末装置。
  4. 記複製手段は、前記データに対する複製データのうち、コンテンツ鍵を示す部分を削除する
    ことを特徴とする請求項3記載の端末装置。
  5. 前記端末装置は、さらに、
    前記鍵保持手段に保持されている第1又は第2のドメイン鍵を用い、前記記憶媒体に格納されている暗号化複製データを復号化して前記複製データに復元する復号化手段を備える
    ことを特徴とする請求項記載の端末装置。
  6. 前記暗号化手段は、生成された前記暗号化複製データの暗号化に用いられた第1又は第2のドメイン鍵を識別するための識別子を前記暗号化複製データに付し、
    前記格納手段は、前記識別子が付された暗号化複製データを前記記憶媒体に格納し、
    前記復号化手段は、前記記憶媒体に格納されている暗号化複製データを復号化するときには、前記暗号化複製データに付された識別子に基いて、前記暗号化複製データの暗号化に用いられた第1又は第2のドメイン鍵を特定し、特定した第1又は第2のドメイン鍵を用いて前記暗号化複製データの復号化を行う
    ことを特徴とする請求項記載の端末装置。
  7. 前記複製手段は、生成された複製データの内容に応じて、前記複製データの一部を削除し、
    前記暗号化手段は、前記削除された残りの複製データを暗号化して前記暗号化複製データを生成する
    ことを特徴とする請求項記載の端末装置。
  8. 記複製手段は、前記データに対する複製データのうち、コンテンツ鍵を示す部分を削除する
    ことを特徴とする請求項記載の端末装置。
  9. 前記端末装置は、さらに、
    外部装置と通信回線を介した通信を行うことにより、前記復号化手段により復号化されたデータに対して、前記複製手段により削除された部分を前記外部装置に補完させる補完手段を備える
    ことを特徴とする請求項記載の端末装置。
  10. 前記復号化手段は、通信回線を介して接続されたサーバ装置から、前記暗号化複製データの復号化に対して許可を受けている場合に、前記暗号化複製データの復号化を行う
    ことを特徴とする請求項記載の端末装置。
  11. 前記復号化手段は、前記暗号化複製データを復号化するときには、前記サーバ装置に復号化が可能か否かを問合せ、可能であるとの応答を受けた場合に、前記暗号化複製データの復号化を行う
    ことを特徴とする請求項10記載の端末装置。
  12. 前記端末装置は、さらに、
    前記復号化手段により復元された複製データの内容をユーザに参照させる参照手段を備える
    ことを特徴とする請求項記載の端末装置。
  13. 前記暗号化手段は、データ内容の開示が認められて改変が禁止される複製データに対しては、デジタル署名により前記暗号化複製データを生成する
    ことを特徴とする請求項記載の端末装置。
  14. 前記端末装置は、さらに、
    前記第1及び第2のドメイン鍵を配信する鍵サーバ装置と通信回線を介して通信する通信手段を備え、
    前記鍵保持手段は、前記鍵サーバ装置から前記通信手段を介して前記第1及び第2のドメイン鍵を取得して保持する
    ことを特徴とする請求項記載の端末装置。
  15. 前記鍵保持手段は、
    前記通信手段を介して前記鍵サーバ装置に前記第1及び第2のドメイン鍵を要求することにより、前記第1及び第2のドメイン鍵を取得して保持する
    ことを特徴とする請求項14記載の端末装置。
  16. 前記第1及び第2のドメイン鍵のうち少なくとも1つは、共通鍵暗号化方式の暗号鍵である
    ことを特徴とする請求項15記載の端末装置。
  17. 前記暗号化手段は、前記暗号化複製データの復元可能な期間を示す復元有効期限を、前記付加情報として前記暗号化複製データに付し、
    前記復号化手段は、前記付加情報が示す復元有効期限と現在の日時を比較し、現在の日時が前記復元有効期限を経過している場合は、前記暗号化複製データの復号化を行わない、
    請求項5記載の端末装置。
  18. 前記暗号化手段は、前記暗号化複製データを生成した時刻を示すバックアップ処理時刻を、前記付加情報として前記暗号化複製データに付し、
    前記復号化手段は、前記付加情報が示すバックアップ処理時刻を参照し、最新のバックアップ処理時刻が付された暗号化複製データを前記記憶媒体から取得して当該暗号化複製データの復号化を行う、
    請求項5記載の端末装置。
  19. 前記暗号化手段は、前記暗号化複製データの生成回数を示すデータバージョンを、前記付加情報として前記暗号化複製データに付し、
    前記復号化手段は、前記付加情報が示すデータバージョンを参照し、最新のデータバージョンが付された暗号化複製データを前記記憶媒体から取得して当該暗号化複製データの復号化を行う、
    請求項5記載の端末装置。
  20. 前記端末装置は、さらに、データを表示する表示手段を備え、
    前記暗号化手段は、前記暗号化複製データを参照するために用いられる参照専用データを、前記付加情報として前記暗号化複製データに付し、
    前記表示手段は、前記付加情報が示す参照専用データを表示する、
    請求項1記載の端末装置。
  21. 前記暗号化手段は、前記端末装置を一意に特定するための端末識別子を、前記付加情報として前記暗号化複製データに付し、
    前記復号化手段は、前記付加情報が示す端末識別子が前記端末装置を示していない場合には、前記端末識別子によって示される他の端末装置に復元の可否を問い合わせ、復元の許可が得られない場合には、前記暗号化複製データの復号化を中止する、
    請求項5記載の端末装置。
  22. 端末装置群たる第1及び第2のドメイン、並びに前記各端末装置と通信するサーバ装置を備えて、前記第1及び第2のドメインのそれぞれで共用されるデータを保護するデータ保護システムであって、
    前記サーバ装置は、前記第1のドメインに属する各端末装置に対して共通の第1のドメイン鍵を配信するとともに、前記第2のドメインに属する各端末装置に対して共通の第2のドメイン鍵を配信し、
    前記第1及び第2のドメインに属する端末装置は、
    前記第1及び第2のドメイン鍵を前記サーバ装置から取得して保持する鍵保持手段と、
    前記第1又は第2のドメインで共用されるデータである、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製手段と、
    前記複製データが第1のドメインに対応するものであれば、前記第1のドメイン鍵を用いて前記複製データを暗号化し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメイン鍵を用いて前記複製データを暗号化することにより暗号化複製データを生成する暗号化手段と、
    前記暗号化手段で生成された暗号化複製データを記憶媒体に格納する格納手段と
    を備え
    前記暗号化手段は、前記暗号化複製データの取り扱いに関する内容を示し、前記利用の条件に基づいて生成される付加情報を、当該暗号化複製データに付し、
    前記格納手段は、前記付加情報が付された前記暗号化複製データを前記記憶媒体に格納す
    ことを特徴とするデータ保護システム。
  23. 前記第1及び第2のドメインに属する端末装置は、さらに、
    前記鍵保持手段に保持されている第1又は第2のドメイン鍵を用い、前記記憶媒体に格納されている暗号化複製データを復号化して前記複製データに復元する復号化手段を備える
    ことを特徴とする請求項22記載のデータ保護システム。
  24. 前記複製手段は、複製した複製データの内容に応じて、前記複製データの一部を削除し、
    前記暗号化手段は、前記削除された残りの複製データを暗号化して前記暗号化複製データを生成する
    ことを特徴とする請求項23記載のデータ保護システム。
  25. 前記データ保護システムは、さらに、
    前記第1及び第2のドメインに属する端末装置と通信することにより、前記復号化手段により復号化されたデータに対して、前記複製手段により削除された部分を補完する補完サーバ装置を備える
    ことを特徴とする請求項22記載のデータ保護システム。
  26. 前記暗号化手段は、前記暗号化複製データの元のデータの出所となるサーバ装置を一意に特定するためのサーバ識別子を、前記付加情報として前記暗号化複製データに付し、
    前記復号化手段は、前記付加情報が示すサーバ識別子により特定されるサーバ装置に復元の可否を問い合わせ、復元の許可が得られない場合には、前記暗号化複製データの復号化を中止する、
    請求項5記載の端末装置。
  27. 端末装置群たる第1及び第2のドメインに属する端末装置が前記第1又は第2のドメインで共用されるデータを保護する方法であって、
    前記第1のドメインに共通の第1のドメイン鍵、及び前記第2のドメインに共通の第2のドメイン鍵を保持する鍵保持ステップと、
    前記第1又は第2のドメインで共用されるデータである、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製ステップと、
    前記複製データが第1のドメインに対応するものであれば、前記第1のドメインに共通の第1のドメイン鍵を取得し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメインに共通の第2のドメイン鍵を取得する鍵取得ステップと、
    前記鍵取得ステップで取得された第1又は第2のドメイン鍵を用いて前記複製データを暗号化することにより暗号化複製データを生成する暗号化ステップと、
    前記暗号化ステップで生成された暗号化複製データを記憶媒体に格納する格納ステップとを含み、
    前記暗号化ステップでは、前記暗号化複製データの取り扱いに関する内容を示し、前記利用の条件に基づいて生成される付加情報を、当該暗号化複製データに付し、
    前記格納ステップでは、前記付加情報が付された前記暗号化複製データを前記記憶媒体に格納する
    ことを特徴とするデータ保護方法。
  28. 端末装置群たる第1及び第2のドメインに属する端末装置が前記第1又は第2のドメインで共用されるデータを保護するためのプログラムであって、
    前記第1のドメインに共通の第1のドメイン鍵、及び前記第2のドメインに共通の第2のドメイン鍵を保持する鍵保持ステップと、
    前記第1又は第2のドメインで共用されるデータである、デジタル著作物であるコンテンツを利用するために必要なコンテンツ鍵と前記利用の条件とを複製することにより、前記第1又は第2のドメインに対応する複製データを生成する複製ステップと、
    前記複製データが第1のドメインに対応するものであれば、前記第1のドメインに共通の第1のドメイン鍵を取得し、前記複製データが第2のドメインに対応するものであれば、前記第2のドメインに共通の第2のドメイン鍵を取得する鍵取得ステップと、
    前記鍵取得ステップで取得された第1又は第2のドメイン鍵を用いて前記複製データを暗号化することにより暗号化複製データを生成する暗号化ステップと、
    前記暗号化ステップで生成された暗号化複製データを記憶媒体に格納する格納ステップとをコンピュータに実行させ
    前記暗号化ステップでは、前記暗号化複製データの取り扱いに関する内容を示し、前記利用の条件に基づいて生成される付加情報を、当該暗号化複製データに付し、
    前記格納ステップでは、前記付加情報が付された前記暗号化複製データを前記記憶媒体に格納す
    プログラム。
JP2004020440A 2003-02-07 2004-01-28 端末装置及びそれを備えたデータ保護システム Expired - Lifetime JP4663992B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004020440A JP4663992B2 (ja) 2003-02-07 2004-01-28 端末装置及びそれを備えたデータ保護システム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2003030841 2003-02-07
JP2004020440A JP4663992B2 (ja) 2003-02-07 2004-01-28 端末装置及びそれを備えたデータ保護システム

Publications (3)

Publication Number Publication Date
JP2004259262A JP2004259262A (ja) 2004-09-16
JP2004259262A5 JP2004259262A5 (ja) 2007-02-15
JP4663992B2 true JP4663992B2 (ja) 2011-04-06

Family

ID=33133763

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004020440A Expired - Lifetime JP4663992B2 (ja) 2003-02-07 2004-01-28 端末装置及びそれを備えたデータ保護システム

Country Status (1)

Country Link
JP (1) JP4663992B2 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006119751A (ja) * 2004-10-19 2006-05-11 Victor Co Of Japan Ltd データ利用装置及び属性情報発行装置
US20080212770A1 (en) * 2004-12-20 2008-09-04 Matsushita Electric Industrial Co., Ltd. Key Information Generating Method and Device, Key Information Updating Method, Tempering Detecting Method and Device, and Data Structure of Key Information
US7272727B2 (en) * 2005-04-18 2007-09-18 Hitachi, Ltd. Method for managing external storage devices
JP2007034487A (ja) 2005-07-25 2007-02-08 Canon Inc 情報処理装置及びその制御方法、コンピュータプログラム
US7805375B2 (en) * 2005-08-22 2010-09-28 Microsoft Corporation Digital license migration from first platform to second platform
EP2016522A2 (en) * 2006-05-02 2009-01-21 Koninklijke Philips Electronics N.V. Improved access to domain
JP5117748B2 (ja) * 2007-03-29 2013-01-16 株式会社日立製作所 暗号化機能を備えたストレージ仮想化装置
WO2008146639A1 (ja) * 2007-05-23 2008-12-04 Nec Corporation 情報共有システム、コンピュータ、プロジェクト管理サーバ及びそれらに用いる情報共有方法
JP5015662B2 (ja) * 2007-05-30 2012-08-29 株式会社リコー 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
AU2008290860B2 (en) 2007-08-17 2013-02-21 Fraunhofer-Gesellschaft Zur Foerderung Der Angewandten Forschung E.V. Device and method for a backup of rights objects
JP2009230745A (ja) * 2008-02-29 2009-10-08 Toshiba Corp バックアップ及びリストアの方法、プログラム、及びサーバ
JP2010231650A (ja) * 2009-03-27 2010-10-14 Fujitsu Ltd 端末装置、データ提供システム、データ提供方法及びコンピュータプログラム
EP2476077B1 (en) 2009-09-11 2018-03-28 Koninklijke Philips N.V. Method and system for restoring domain management
JP5573525B2 (ja) * 2010-09-13 2014-08-20 株式会社リコー 通信装置、電子証明書の有効性判定方法、電子証明書の有効性判定プログラム及び記録媒体
JP6154378B2 (ja) * 2011-08-31 2017-06-28 トムソン ライセンシングThomson Licensing エンド・ユーザ装置の構成データの安全なバックアップと復元のための方法、および、その方法を利用する装置
DE102012110507A1 (de) * 2012-11-02 2014-05-08 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zum geschützten Wiederherstellen von Daten, Computerprogrammprodukt sowie Computersystem
KR102534072B1 (ko) * 2017-01-09 2023-05-19 인터디지털 매디슨 페턴트 홀딩스 에스에이에스 보안 백업 및 복원을 수행하기 위한 방법들 및 장치
JP6721266B2 (ja) 2017-04-14 2020-07-08 三菱電機株式会社 鍵管理システム、通信機器および鍵共有方法
JP2019054363A (ja) * 2017-09-14 2019-04-04 株式会社日立システムズ サーバー装置、秘密分散管理システムおよび秘密分散管理装置
JP7277624B2 (ja) * 2017-09-14 2023-05-19 株式会社日立システムズ 秘密分散管理システム、秘密分散管理装置およびプログラム

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05347616A (ja) * 1992-06-15 1993-12-27 Hitachi Ltd グループ暗号通信方法およびグループ暗号通信システム
JPH09247141A (ja) * 1996-03-05 1997-09-19 Hitachi Ltd グループ暗号方法
JPH09247174A (ja) * 1996-03-08 1997-09-19 Nippon Telegr & Teleph Corp <Ntt> Atm通信網
JPH11239127A (ja) * 1998-02-19 1999-08-31 Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk グループ暗号通信装置
JPH11346210A (ja) * 1998-06-02 1999-12-14 Nippon Telegr & Teleph Corp <Ntt> 暗号化方法及び装置、復号化方法及び装置、暗号化プログラムを記録した記録媒体、復号化プログラムを記録した記録媒体、電子署名方法、並びに電子署名検証方法
JP2002152188A (ja) * 2000-11-13 2002-05-24 Ilinx Inc 情報取得システム
JP2002366438A (ja) * 2001-06-11 2002-12-20 Sharp Corp ディジタル情報提供取得システムおよびディジタル情報配信方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05347616A (ja) * 1992-06-15 1993-12-27 Hitachi Ltd グループ暗号通信方法およびグループ暗号通信システム
JPH09247141A (ja) * 1996-03-05 1997-09-19 Hitachi Ltd グループ暗号方法
JPH09247174A (ja) * 1996-03-08 1997-09-19 Nippon Telegr & Teleph Corp <Ntt> Atm通信網
JPH11239127A (ja) * 1998-02-19 1999-08-31 Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk グループ暗号通信装置
JPH11346210A (ja) * 1998-06-02 1999-12-14 Nippon Telegr & Teleph Corp <Ntt> 暗号化方法及び装置、復号化方法及び装置、暗号化プログラムを記録した記録媒体、復号化プログラムを記録した記録媒体、電子署名方法、並びに電子署名検証方法
JP2002152188A (ja) * 2000-11-13 2002-05-24 Ilinx Inc 情報取得システム
JP2002366438A (ja) * 2001-06-11 2002-12-20 Sharp Corp ディジタル情報提供取得システムおよびディジタル情報配信方法

Also Published As

Publication number Publication date
JP2004259262A (ja) 2004-09-16

Similar Documents

Publication Publication Date Title
JP4663992B2 (ja) 端末装置及びそれを備えたデータ保護システム
CN108804879B (zh) 用于内容和服务共享的方法和系统
JP4562909B2 (ja) デジタル表現の安全な配信
JP4759513B2 (ja) 動的、分散的および協働的な環境におけるデータオブジェクトの管理
US6683954B1 (en) Key encryption using a client-unique additional key for fraud prevention
JP4884535B2 (ja) 装置間でのデータオブジェクトの転送
US20060149683A1 (en) User terminal for receiving license
KR101224677B1 (ko) 액세스 권한에 기초하여 아이템에 대한 사용 권한을 생성하는 방법 및 컴퓨터 판독가능 매체
US10417392B2 (en) Device-independent management of cryptographic information
US20070014403A1 (en) Controlling distribution of protected content
JP2007531127A (ja) デジタルライセンス共有システム及び共有方法
KR20050101163A (ko) 단말 장치 및 그것을 구비한 데이터 보호 시스템
JP2004259262A5 (ja)
JP3556891B2 (ja) デジタルデータ不正使用防止システム及び再生装置
GB2404828A (en) Copyright management where encrypted content and corresponding key are in same file
EP4028923A1 (en) Method and system for securely sharing a digital file
JP2004185500A (ja) データ保護制御装置及びデータバックアップ装置及びデータバックアップシステム
JP2001350727A (ja) コンテンツ配信システム
JP4125454B2 (ja) オブジェクト連携装置
JP7086163B1 (ja) データ処理システム
WO2023119554A1 (ja) 制御方法、情報処理装置および制御プログラム
KR100566633B1 (ko) 컨텐츠 소유자를 위한 디지털 저작권 보호 방법
KR100444983B1 (ko) 합법적인 컨텐트의 멀티 pc 지원 방법
JP2023535459A (ja) 信頼できないシステム上のメディアファイルの遠隔所有権およびコンテンツ制御のためのシステムならびに方法
JP2011090551A (ja) 情報公開システムおよび情報公開方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100413

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100614

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110106

R150 Certificate of patent or registration of utility model

Ref document number: 4663992

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140114

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350