CN103154964B - 内容数据再生装置及更新管理方法 - Google Patents

Abstract

在具有安全芯片的内容数据再生装置中，上述安全芯片具有:存储单元，其存储包括固件程序的固件数据；和固件更新管理单元，其响应于内容秘钥的取得请求或者内容数据的解密请求对上述安全芯片的输入，通过比较上述固件数据设定的期限信息与经由网络接收到的时间信息，来判定是否需要执行上述固件数据的更新处理，在需要执行上述更新处理的情况下拒绝上述请求；上述固件程序使上述安全芯片作为经由网络取得用于对内容数据进行解密的内容秘钥的内容秘钥取得控制单元、和使用上述内容秘钥对内容数据进行解密的解密单元发挥功能。

Description

内容数据再生装置及更新管理方法

技术领域

本发明涉及对固件持续地进行更新的内容数据再生装置、更新管理方法以及更新管理程序。

背景技术

以往，存在经由线路来接收音乐、影像等内容数据，并进行再生的终端(以下称为“内容再生终端”)。作为内容再生终端的一个例子，可举出PC(Personal Computer)、IPTV(Internet Protocol Television)、STB(Set Top Box)、搭载有便携音乐播放器的各种便携式终端等。

为了防止内容再生终端对内容数据的非法利用，希望内容再生终端的固件被定期更新。这是因为该固件中含有为了安全地取得内容的解密秘钥而实现安全通信用的秘钥。即，是因为在长期基于同一秘钥等进行安全通信的情况下，理论上存在该通信内容被盗听的可能性。因此，一般地,内容再生终端的固件被定期更新来加以运用。其结果，上述秘钥也被更新，可持续地确保安全通信的安全性。

图1是用于对以往的内容再生终端中的固件的更新功能进行说明的图。

在该图中，内容再生终端510具有安全芯片511。安全芯片511内包括固件更新部512和作为更新对象的固件513等。

另外，内容再生终端510具有固件更新应用程序514以及内容再生播放应用程序515等，作为安全芯片511外的CPU所执行的应用程序。

固件更新应用程序514是从固件更新服务520下载固件，使固件更新部512执行固件513的更新的应用程序。

内容再生播放应用程序515是使用固件513等对从内容分发服务530下载的内容数据进行再生的应用程序。

固件更新服务520是经由网络提供固件的服务。固件更新服务520一般地被内容再生终端510的制造商运用。

内容分发服务530是经由网络分发内容数据的服务。

该内容再生终端510的固件513的更新例如按下述那样的顺序执行。

例如，在由用户输入了固件513的更新指示后，固件更新应用程序514调出安全芯片511的固件更新部512，取得当前时刻的固件513的版本号(固件版本号)(S1)。

接着，固件更新应用程序514指定所取得的固件版本号，向固件更新服务520发送固件更新委托(S2)。

固件更新服务520将发送来的固件版本号与最新的固件版本号进行比较，如果前者较旧则返回包含最新的固件513的数据(固件数据)(S3)。另外，无论有无返回最新的固件数据，都返回下次固件更新时间。下次固件更新时间是用于定期发送固件更新委托的管理信息，可指定从当前时刻开始一定期间后的时间。

在从固件更新服务520返回了固件数据后，固件更新应用程序514将该固件数据输入给安全芯片511的固件更新部512，请求固件513的更新(S4)。另外，固件更新应用程序514将返回来的下次固件更新时间记录到规定的非易失区域。

固件更新部512基于被输入的固件数据，来更新安全芯片511内的固件513(S5)。

关于如以上那样被更新的固件513，如以下那样的方式来检测需要更新的情况并通知给用户。

如果对内容再生播放应用程序515输入了内容数据的再生指示，则在内容再生播放应用程序515中,判定内容再生终端510的当前时刻(终端时刻)是否到达了下次固件更新时间。在终端时刻到达了下次固件更新时间的情况下，输出表示固件513需要更新的错误。

在输出了该错误的情况下，不执行内容数据的再生。因此，为了使内容再生终端510执行内容数据的再生，用户必须使内容再生终端510执行步骤S501以下的处理。

专利文献1:日本特开2008－181228号公报

专利文献2:日本特开2005－148840号公报

然而，在上述的结构中，存在针对固件更新的强制力非常脆弱这一问题。

即，在上述的结构中，内容再生播放应用程序515通过比较终端时刻与下次更新时间的来拒绝内容数据的再生，由此确保了针对固件513更新的强制力。但是，与安全芯片相比，内容再生播放应用程序515被记录在能够容易地改变的存储介质。因此，存在内容再生播放应用程序515被改变成即使终端时刻到达下次更新时间，也能够执行内容数据的再生的可能性。

另外，与下次固件更新时间进行比较的终端时刻可通过用户的操作被容易地变更。因此，例如存在通过在内容数据的再生时将终端时刻返回到过去，导致基于与下次固件更新时间的比较来进行检查的检查机构在实施上被无效化的可能性。

此外，如果在安全芯片510内安装计时器，则能防止时刻的变更。但是，这样的安全芯片510变得昂贵而不现实。

发明内容

本发明鉴于上述的情况而提出，其目的在于，提供能够提高与固件的更新相关的强制力的内容数据再生装置、更新管理方法以及更新管理程序。

鉴于此，为了解决上述课题，所涉及的内容数据再生装置具有安全芯片，上述安全芯片具有：存储单元，其存储包括固件程序的固件数据；和固件更新管理单元，其响应于内容秘钥的取得请求或者内容数据的解密请求对上述安全芯片的输入，通过比较上述固件数据设定的期限信息与经由网络接收到的时间信息，来判定是否需要执行上述固件数据的更 新处理，在需要执行上述更新处理的情况下拒绝上述请求；上述固件程序使上述安全芯片作为内容秘钥取得控制单元和解密单元发挥功能,其中,上述内容秘钥取得控制单元经由网络取得用于对内容数据进行解密的内容秘钥,上述解密单元使用上述内容秘钥对内容数据进行解密。

能够提高与固件更新有关的强制力。

附图说明

图1是用于对以往的内容再生终端中的固件的更新功能进行说明的图。

图2是表示本发明的实施方式中的内容再生终端的功能构成例的图。

图3是表示固件管理信息的构成例的图。

图4是表示与从内容秘钥分发服务器取得内容秘钥的取得处理有关的功能构成例的图。

图5是用于对内容秘钥的取得处理的处理顺序的一个例子进行说明的流程图。

图6是表示与内容数据的再生处理有关的功能构成例的图。

图7是用于对内容数据的再生处理的处理顺序进行说明的流程图。

图8是用于对与固件数据的更新处理有关的功能构成例进行说明的图。

图9是表示固件数据管理DB的构成例的图。

图10是用于对固件数据的更新处理的处理顺序的一个例子进行说明的流程图。

图11是表示安全连接开设请求的构成例的图。

图12是表示安全连接开设应答的构成例的图。

图13是表示固件更新请求的构成例的图。

图14是表示固件更新应答的构成例的图。

图15是表示安全连接关闭请求的构成例的图。

图16是表示安全连接关闭应答的构成例的图。

图17是表示本发明的实施方式中的内容再生终端的硬件构成等的一个例子的图。

具体实施方式

以下，基于附图对本发明的实施方式进行说明。图2是表示本发明的实施方式中的内容再生终端的功能构成例的图。

内容再生终端10是经由网络接收内容数据，并对该内容数据进行再生的信息处理装置(内容再生装置的一个例子)。作为内容再生终端10的一个例子，可举出PC(Personal Computer)、IPTV(Internet Protocol Television)、STB(Set Top Box)或搭载有便携音乐播放器的各种便携式终端、电子书籍的再生装置等。

在该图中，内容再生终端10具有安全芯片11。安全芯片11例如是遵照由TCG(Trusted Computing Group)决定的标准即TPM(Trusted Platform Module)的LSI。因此，关于安全芯片11内记录的信息，难以从外部进行参照。从而，安全芯片11内记录的信息被篡改的可能性非常低。

在该图中，安全芯片11具有非易失存储部12以及固件更新部13等。非易失存储部12是安全芯片11内的非易失性存储介质中的存储区域。非易失存储部12是存储单元以及更新状态存储单元的一个例子，存储固件管理信息121等。固件管理信息121包括用于恰当地更新固件数据的信息、固件数据等。固件数据是保存了作为固件的各种程序以及各种数据的数据。

图3是表示固件管理信息的构成例的图。在该图中，固件管理信息121包括下次更新确认时间、最终确认服务器时间、固件ID、固件版本 号、固件更新状态、固件更新用路径公钥证书的大小、固件更新用路径公钥证书、固件更新用客户端公钥证书的大小、固件更新用客户端公钥证书、固件更新用客户端私钥的大小、固件更新用客户端私钥、固件数据长度、固件数据、固件数据的电子签名的大小、固件数据的电子签名以及固件更新服务器的公钥证书等。其中，该图中表示的各项目的数据大小(字节数)为例示。

下次更新确认时间是固件数据中设定的期限信息的一个例子。具体而言，下次更新确认时间是表示即使不对固件更新服务器20执行固件数据的更新请求(是否更新的确认请求)，也允许利用内容数据等的期限的时间(例如UTC时刻)。换言之，在经过了下次更新确认时间的情况下，如果不执行固件数据的更新请求，则内容数据的再生被拒绝。下次更新确认时间根据固件数据的更新请求被更新。即，根据该更新请求，从固件更新服务器20返回新的值(时间)。在安全芯片11的初始状态(即，开始使用内容再生终端10前的状态)下，下次更新确认时间的值例如只要设定为0(零)等适当的初始值即可。在下次更新确认时间的值为初始值的情况下，如果不执行固件数据的更新请求，则无法将固件数据加载到存储器中。此外，并不限定于响应固件数据的更新请求就一定更新固件数据。如果内容再生终端10所具有的固件数据是最新版本，则不进行更新。

最终确认服务器时间是经由网络接收的时间信息的一个例子。具体而言，最终确认服务器时间是内容再生终端10最后访问固件更新服务器20或者内容秘钥分发服务器30的时间(例如UTC时刻)。即，如果内容再生终端10访问固件更新服务器20或者内容秘钥分发服务器30，则最终确认服务器时间被更新成访问时的时间。其中，该时间可使用从固件更新服务器20或者内容秘钥分发服务器30返回的值。即，该时间不是内容再生终端10的计时器表示的值。

固件ID是用于识别固件(固件数据)的种类的识别信息。

固件版本号是内容再生终端10中当前安装的固件数据的版本号(版本编号)。

固件更新状态表示固件数据的更新处理的状态，在该更新处理的过 程中被更新。具体而言，在该更新处理开始时被更新成“更新中”，在该更新处理结束时被更新成“更新完成”。其中，在本实施方式中，0x01表示“更新中”，0x00表示“更新完成”。

固件更新用路径公钥证书的大小是固件更新用的路径公钥的数据大小(字节数)。固件更新用路径公钥证书是为了建立固件数据更新用(传输用)的安全通信(加密通信)而使用的路径认证局的公钥证书。

固件更新用客户端公钥证书的大小是固件更新用客户端公钥证书的数据大小(字节数)。固件更新用客户端公钥证书是为了建立固件数据的更新用(传输用)的安全通信而使用的、针对安全芯片11的公钥证书。

固件更新用客户端私钥的大小是固件更新用客户端私钥的数据大小(字节数)。固件更新用客户端私钥是为了建立固件数据的更新用(传输用)的安全通信而使用的安全芯片11的私钥。

固件数据长度是固件数据的数据大小(字节数)。固件数据是固件数据的实体。

固件数据的电子签名的大小是固件数据的电子签名的数据大小(字节数)。固件数据的电子签名是针对固件数据的电子签名，由固件更新服务器20生成。固件更新服务器的公钥证书是用于检查固件数据的电子签名的公钥证书。

其中，如图3所示，固件数据包括：内容秘钥取得程序、加密内容解密程序、内容秘钥取得用客户端DRM私钥、内容秘钥取得用客户端DRM公钥证书、内容秘钥取得用路径公钥证书等。

内容秘钥取得程序是被加载到安全芯片11内的RAM中，使安全芯片11作为内容秘钥取得协议控制部141发挥功能的程序。内容秘钥取得协议控制部141是内容秘钥取得控制单元的一个例子。例如，内容秘钥取得协议控制部141控制由内容再生播放应用程序16从内容秘钥分发服务器30取得(下载)内容数据的解密秘钥(以下称为“内容秘钥”)的取得处理。

加密内容解密程序是被加载到安全芯片11内的RAM1002，使安全芯片11作为内容再生部142发挥功能的程序。内容再生部142是解密单元的一个例子。例如，内容再生部142根据来自内容再生播放应用程序16的请求，执行内容数据的解密以及再生等。

内容秘钥取得用客户端DRM私钥是被用于内容秘钥取得协议控制部141建立安全通信的、安全芯片11的私钥。内容秘钥取得用客户端DRM公钥证书是被用于内容秘钥取得协议控制部141建立安全的通信的、针对安全芯片11的公钥证书。内容秘钥取得用路径公钥证书是被用于内容秘钥取得协议控制部141建立安全通信的、路径认证站的公钥证书。

返回到图2。固件更新部13执行固件数据的更新处理。固件更新部13包括固件更新协议控制部131以及固件更新管理部132等。

固件更新协议控制部131使与通过固件更新应用程序15从固件更新服务器取得(下载)固件数据等的取得处理相关的通信为安全通信，利用下载得到的固件数据来更新现有的固件数据。

固件更新管理部132基于固件管理信息121等来判定是否要更新固件数据。其中，固件更新部13是通过使安全芯片11的CPU执行与固件不同的程序的处理来实现的虚拟的处理单元。这样，在本实施方式的内容再生终端10中，用于安全地执行固件数据的更新的功能被安装在安全芯片11内。

内容再生终端10的安全芯片11外的存储介质中安装有固件更新应用程序15以及内容再生播放应用程序16等应用程序。固件更新应用程序15响应固件数据的更新指示的输入，使用固件更新协议控制部131等来执行固件数据的更新。内容再生播放应用程序16利用安全芯片11的内容秘钥取得协议控制部141或者内容再生部142等，执行内容数据秘钥的下载或者内容数据的再生。其中，内容再生播放应用程序16在内容数据再生前，向固件更新管理部132询问是否要更新固件数据。在响应为需要更新固件的情况下，内容再生播放应用程序16拒绝内容数据的再生。

固件更新服务器20是辅助固件数据的更新处理的计算机。固件更新服务器20中存储有最新的固件数据。

内容秘钥分发服务器30是将各种内容数据的内容秘钥等与内容秘钥的识别符建立关联存储的计算机。内容秘钥分发服务器30返回与在内容秘钥的取得请求中指定的识别符对应的内容秘钥。

其中，固件更新服务器20与内容秘钥分发服务器30分别基于NTP(Network Time Protocol)等恰当地进行该计算机的计时器的时刻修正。因此，两者的时刻之差十分小(例如小于5分钟)。这是因为如后述那样，固件更新服务器20的计时器所表示的时刻、和内容秘钥分发服务器30所表示的时刻作为同一参数(最终确认服务器时间)被利用。

以下，对从内容秘钥分发服务器30取得内容秘钥的取得处理、内容数据的再生处理、以及固件数据的更新处理分别详细进行说明。其中，加密后的内容数据以及与该内容数据对应的内容秘钥的识别符已经被下载到内容再生终端10，并保存在内容再生终端10的规定存储介质中。该规定存储介质是被配置在安全芯片11外，内容再生播放应用程序16能够自由访问的存储介质。

图4是表示与从内容秘钥分发服务器取得内容秘钥的取得处理相关的功能构成例的图。在该图中，将与内容秘钥的取得处理相关的构成要素从图2中提取出。另外，针对一部分的构成要素将其功能构成细化。其中，在图4中对与图2相同的部分赋予相同的附图标记而省略其说明。

例如，固件更新管理部132包括更新状态判定部132a以及更新要否判定部132b等。更新状态判定部132a根据来自内容再生播放应用程序16的针对安全芯片11的请求，基于固件管理信息121中所含的固件更新状态，来判定上次的固件数据的更新处理的状态。在固件更新状态无问题的情况下(即，上次的更新处理未被中断的情况下)，更新状态判定部132a调出更新要否判定部132b。

更新要否判定部132b通过将固件管理信息121中所含的最终确认服务器时间与下次更新确认时间进行比较，来判定是否需要固件数据的更新处理。即，在本实施方式中，内容再生终端10内置的计时器所表 示的时刻不被利用。因此，取代当前时刻而将最终确认服务器时间与下次更新确认时间比较。最终确认服务器时间不一定是当前时刻。其中，在本实施方式中，允许最终确认服务器时间与当前时刻的偏差。在不需要更新处理的情况下，更新要否判定部132b调出内容秘钥取得协议控制部141。

内容秘钥取得协议控制部141具有内容秘钥取得请求生成部141a、内容秘钥取得应答接收部141b、以及内容秘钥更新部141c等。

内容秘钥取得请求生成部141a生成用于安全地取得内容秘钥的请求数据(以下称为“内容秘钥取得请求”)。例如，内容秘钥取得请求生成部141a基于PKI(Public Key Infrastructure)方式与内容秘钥分发服务器30之间共享暂时共享秘钥。此时，内容秘钥取得请求生成部141a使用固件数据中所含的内容秘钥取得用路径公钥证书、内容秘钥取得用客户端公钥证书、以及内容秘钥取得用客户端私钥等。其中，暂时共享秘钥的共享例如只要使用EC－DH+EC－DSA+SHA、或者RSA－DH+RSA－DSA+SHA等公知的方式来实现即可。内容秘钥取得用协议数据处理部利用暂时共享秘钥对内容秘钥取得请求的一部分进行加密。

内容秘钥取得应答接收部141b响应内容秘钥取得请求而接收从内容秘钥分发服务器30返回的响应(内容秘钥取得应答)，使用暂时共享秘钥对内容秘钥取得应答进行解密。内容秘钥取得应答中包括内容秘钥以及内容秘钥分发服务器30中的计时器所表示的当前时刻(以下称为“服务器时刻”)。更新要否判定部132b根据该服务器时刻来更新固件管理信息121的最终确认服务器时间，通过将更新后的最终确认服务器时间与下次更新确认时间进行比较，来重新判定是否需要更新处理。

在由更新要否判定部132b基于更新后的最终确认服务器时间判定为不要更新处理的情况下，内容秘钥更新部141c将内容秘钥取得应答中所含的内容秘钥记录到非易失存储部的许可(license)DB122。许可DB122将内容秘钥与各个识别符建立关联存储。

图5是用于对内容秘钥的取得处理的处理顺序的一个例子进行说明的流程图。例如，在基于用户对内容再生终端10的操作，对内容再生播放应用程序16输入了针对某个内容数据取得内容秘钥的取得指示时， 开始该图的处理。

在步骤S101中，内容再生播放应用程序16对安全芯片11输入内容秘钥取得请求的生成请求(S101)。该生成请求被指定取得对象的内容秘钥的识别符。

其中，从应用程序针对安全芯片11请求的输入经由由安全芯片11的驱动程序提供的接口(例如函数)来进行。另外，该生成请求的输入相当于内容秘钥的取得请求对安全芯片11的输入的一个例子。

安全芯片11的固件更新管理部132的更新状态判定部132a响应内容秘钥取得请求的生成请求，确认固件管理信息121中的固件更新状态的值(S102)。在固件更新状态为“更新中(0x01)”的情况下(S102中为“是”)，更新状态判定部132a向内容再生播放应用程序16返回对需要重新执行固件数据的更新处理进行表示的错误。这是因为如后述那样，固件更新状态为“更新中(0x01)”的状态例如是固件数据的更新处理因电源断开等而在中途结束的状态。若被返回该错误，则内容再生播放应用程序16例如向内容再生终端10的液晶面板等显示部输出该错误(S103)。

另一方面，在固件更新状态不是“更新中(0x01)”的情况下(S102中为“否”)，更新要否判定部132b将固件管理信息121中的最终确认服务器时间与下次更新确认时间进行比较(S104)。在最终确认服务器时间达到或者经过了下次更新确认时间的情况下(即，最终确认服务器时间≥下次更新确认时间的情况下)(S104中为“是”)，更新要否判定部132b向内容再生播放应用程序16返回对需要执行固件数据的更新处理(严格来说是确认是否需要更新固件数据)进行表示的错误。若被返回该错误，则内容再生播放应用程序16例如向内容再生终端10的显示部输出该错误(S105)。

另一方面，在最终确认服务器时间没有到达下次更新确认时间的情况下(S104中为“否”)，固件更新管理部132请求内容秘钥取得协议控制部141生成内容秘钥的内容秘钥取得请求。该请求被指定取得对象的内容秘钥的识别符。

接着，内容秘钥取得协议控制部141的内容秘钥取得请求生成部141a生成内容秘钥取得请求(S106)。内容秘钥取得请求包括取得对象的内容秘钥的识别符，通过基于PKI方式在内容秘钥取得协议控制部141与内容秘钥分发服务器30之间共享的暂时共享秘钥被加密。生成的内容秘钥取得请求被向内容再生播放应用程序16输出。

接着，内容再生播放应用程序16将生成的内容秘钥取得请求发送给内容秘钥分发服务器30(S107)。

若接收到内容秘钥取得请求，则内容秘钥分发服务器30取得与由该请求指定的识别符对应的内容秘钥。并且，内容秘钥分发服务器30取得本机(内容秘钥分发服务器30)中的计时器所表示的当前时刻(以下称为“服务器时刻”)。接着，内容秘钥分发服务器30生成包含内容秘钥以及服务器时刻的内容秘钥取得应答，将内容秘钥取得应答以被暂时共享秘钥加密后的状态返回(S108)。内容再生播放应用程序16若接收到内容秘钥取得应答，则将该应答输入给安全芯片11(S109)。

若接收到内容秘钥取得应答(S110)，则安全芯片11的内容秘钥取得应答接收部141b指定该应答中包含的服务器时刻，询问固件更新管理部132的更新要否判定部132b是否需要更新处理。其中，内容秘钥取得应答接收部141b利用暂时共享秘钥对内容秘钥取得应答进行解密。

更新要否判定部132b利用被指定的服务器时刻对固件管理信息121的最终确认服务器时间进行更新(S111)。接着，更新要否判定部132b将更新后的最终确认服务器时间与下次更新确认时间进行比较(S112)。在最终确认服务器时间到达或者经过了下次更新确认时间的情况下(即，最终确认服务器时间≥下次更新确认时间的情况下)(S112中为“是”)，更新要否判定部132b向内容秘钥应答接收部返回对需要执行固件数据的更新处理(严格来说是确认是否需要更新固件数据)进行表示的错误。

内容秘钥取得应答接收部141b接收到该错误，将上述应答(即，取得的内容秘钥)废弃(S113)。因此，该情况下，内容秘钥未被保存到许可DB122中。接着，内容秘钥取得应答接收部141b将该错误输出 给内容再生播放应用程序16。若被返回该错误，则内容再生播放应用程序16例如向内容再生终端10的显示部输出该错误(S114)。

另一方面，在最终确认服务器时间没有到达下次更新确认时间的情况下(S112中为“否”)，内容秘钥更新部141c将内容秘钥取得应答中所含的内容秘钥记录到许可DB122中(S115)。此时，该内容秘钥与在步骤S101中指定的识别符相关联地记录到许可DB122中。接着，内容秘钥更新部141c向内容再生播放应用程序16输出内容秘钥的取得处理正常结束的信息。

接收到正常结束的信息后，内容再生播放应用程序16使内容秘钥的取得处理结束(S116)。

接下来，对内容数据的再生处理进行说明。图6是表示与内容数据的再生处理相关的功能构成例的图。该图中将与内容数据的再生处理相关的构成要素从图2中提取出。另外，针对一部分的构成要素其功能构成被细化。其中，在图6中对与图4或者图2相同的部分赋予相同的附图标记而省略其说明。

在该图中，内容再生部142包括加密内容解密环境创建部142a以及再生控制部142b等。加密内容解密环境创建部142a在安全芯片11内创建用于对成为再生对象的被加密的内容数据(加密内容161)进行解密的环境(加密内容解密环境)。即，加密内容解密环境创建部142a使安全芯片11处于能够执行加密内容161的解密的状态。

再生控制部142b在加密内容解密环境中对加密内容161进行解密，控制解密后的内容数据的再生。

图7是用于对内容数据的再生处理的处理顺序进行说明的流程图。例如，基于用户对内容再生终端10的操作，来选择内容再生终端10中保存的加密内容161。接着，如果对内容再生播放应用程序16输入了所选择的加密内容161的再生指示，则开始该图的处理。

在步骤S201中，内容再生播放应用程序16对安全芯片11输入加密内容161的解密环境的创建请求(S201)。解密环境的创建是指使安全芯片11处于能够对加密内容161进行解密的状态。该请求被指定与 成为再生对象的内容数据对应的内容秘钥的识别符。其中，该解密环境的创建请求相当于内容数据对安全芯片11的解密请求的一个例子。

接着，由于步骤S202～S205与图5的S102～S105同样，所以省略其说明。即，在上次的固件数据的更新状态为“更新中”的情况下，输出错误。另外，在最终确认服务器时间到达或者经过了下次更新确认时间的情况下(即，最终确认服务器时间≥下次更新确认时间的情况下)，输出错误。

在最终确认服务器时间没有到达下次更新确认时间的情况下(S204中为“否”)，固件更新管理部132指定内容秘钥的识别符，请求加密内容解密环境创建部142a创建加密内容解密环境。加密内容解密环境创建部142a判断许可DB122中是否记录有与被指定的识别符对应的内容秘钥(S206)。即，判定是否已经取得与再生对象的加密内容161对应的内容秘钥。

当许可DB122中没有记录相符的内容秘钥时(S206中为“否”)，加密内容解密环境创建部142a向内容再生播放应用程序16返回表示没有内容秘钥的错误。如果被返回该错误，则内容再生播放应用程序16例如向内容再生终端10的显示部输出该错误(S207)。该情况下，用户只要在使内容再生终端10执行了利用图5说明的内容秘钥的取得处理后，重新开始图10的处理即可。或者，内容再生播放应用程序16也可以自动开始图5的步骤S107以后的处理。

另一方面，当许可DB122中记录有相符的内容秘钥时(S206中为“是”)，加密内容解密环境创建部142a创建加密内容解密环境，将该加密内容解密环境的识别符(解密环境处理句柄)向内容再生播放应用程序16返回(S208)。其中，响应于加密内容解密环境的创建，相符的内容秘钥作为该加密内容解密环境中的解密用的秘钥，被加载到安全芯片11的存储器中。

如果被返回解密环境处理句柄，则内容再生播放应用程序16指定再生对象的加密内容161和解密环境处理句柄，对安全芯片11输入该加密内容161的再生请求(S209)。

安全芯片11的再生控制部142b在与再生请求中所指定的解密环境处理句柄对应的加密内容解密环境中对加密内容161进行解密，使解密后的内容数据再生(S210)。与解密环境处理句柄对应的加密内容解密环境中的加密内容161的解密是指该解密/加密内容解密环境中的基于内容秘钥的加密内容161的解密。其中，步骤S209以及S210按将加密内容161分割成规定单位后的分割单位被反复执行。这是因为，通常安全芯片11不具有将加密内容161一次就全部解密的存储容量。

接下来，对固件数据的更新处理进行说明。图8是用于对与固件数据的更新处理相关的功能构成例进行说明的图。在该图中将与固件数据的更新处理相关的构成要素从图2中提取出。另外，针对一部分的构成要素其功能构成被细化。其中，在图8中对与图6、图4或者图2相同的部分赋予相同的附图标记而省略其说明。

在该图中，固件更新协议控制部131包括固件更新请求生成部131a以及固件更新应答接收部131b等。

固件更新请求生成部131a生成用于安全地取得内容秘钥的请求数据(例如，固件数据的更新的请求数据(以下称为“固件更新请求”)。例如，固件更新请求生成部131a基于PKI(Public Key Infrastructure)方式与固件更新服务器20的固件数据提供部21之间共享暂时共享秘钥。此时，固件更新请求生成部131a使用固件管理信息121中所含的固件更新用路径公钥证书、固件更新用客户端公钥证书、以及固件更新用客户端私钥。其中，暂时共享秘钥的共享例如只要利用EC－DH+EC－DSA+SHA、或者RSA－DH+RSA－DSA+SHA等公知的方式来实现即可。另外，固件数据提供部21根据固件更新服务器20的私钥生成固件数据的电子签名，对基于上述暂时共享秘钥对固件数据进行加密后的数据附加该电子签名并返回。该电子签名作为固件管理信息121的一部分(“固件数据的电子签名”)被管理。该电子签名例如基于EC－DSA+SHA、或者RSA－DSA+SHA等方式生成。

固件更新应答接收部131b响应于固件更新请求而接收从固件数据提供部21返回的应答(固件更新应答)。当固件更新应答中含有固件数据时，基于该固件数据对已有的固件数据进行更新。

固件更新服务器20具有固件数据提供部21以及固件数据管理DB22等。

固件数据管理DB22是存储与固件数据的更新有关的管理信息的数据库。

图9是表示固件数据管理DB的构成例的图。固件数据管理DB22的各记录包括芯片ID、固件ID、最新固件版本号、下次更新确认时间、固件数据长度、以及固件数据等。

芯片ID是用于唯一识别安全芯片11的识别信息。固件ID是作为对象的固件数据的固件ID。针对同一固件ID涉及的固件数据，可以存在多个版(版本)。最新固件版本号是以固件ID识别的固件的最新版的版本号。下次更新确认时间是与芯片ID对应的安全芯片11(内容再生终端10)中最后被返回的下次更新确认时间。固件数据长度是最新版的固件数据的数据大小(字节数)。固件数据是最新版的固件数据。

返回到图8。固件数据提供部21响应于固件更新请求，返回固件更新应答。固件更新应答中可以根据需要而包括固件数据等。即使在没有必要返回固件数据的情况下，下次更新确认时间以及固件更新服务器20的服务器时刻也包含在固件更新应答中。

图10是用于对固件数据的更新处理的处理顺序的一个例子进行说明的流程图。例如，在内容秘钥取得处理时或者内容再生处理时等，如果输出对需要固件数据的更新处理进行表示的错误，则用户对固件更新应用程序15输入固件数据的更新指示。响应于该更新指示，开始图10的处理。

在步骤S301中，固件更新应用程序15向安全芯片11输入固件更新请求的生成请求。接着，安全芯片11的固件更新请求生成部131a生成包括该安全芯片11的芯片ID、和固件管理信息121中所含的固件ID以及固件版本号的固件更新请求(S302)。固件ID以及固件版本号可经由固件更新管理部132从固件管理信息121处取得。对该固件更新请求而言，通过暂时共享秘钥将至少一部分加密。固件更新请求生成部131a将生成的固件更新请求返回给固件更新应用程序15。

接着，固件更新应用程序15将该固件更新请求发送给固件更新服务器20(S303)。固件更新服务器20的固件数据提供部21从固件数据管理DB22中检索与由固件更新请求指定的芯片ID、固件ID对应的记录(S304)。接着，固件数据提供部21将检索出的记录(以下称为“当前记录”)的最新固件版本号与固件更新请求中所含的固件版本号(以下称为“当前固件版本号”)进行比较(S305)。

在当前固件版本号与最新固件版本号一致的情况下(S305中为“是”)，固件数据提供部21返回不含有固件数据的固件更新应答(以下称为“更新不要应答”)(S306)。其中，更新不要应答中包括固件更新服务器20的服务器时刻(当前时刻)、以及下次更新确认时间等。

另一方面，在当前固件版本号比最新固件版本号旧的情况下(S305中为“否”)，固件数据提供部21使用针对固件更新服务器20的固件更新用服务器DRM私钥，生成当前记录的固件数据的电子签名(S307)。接着，固件数据提供部21生成含有固件数据的固件数据更新应答，并返回该固件更新应答(S308)。固件更新应答中含有：当前记录中含有的最新固件版本号以及固件数据、下次更新确认时间、固件更新服务器20的服务器时刻、以及生成的电子签名。另外，该固件更新应答的至少一部分被暂时共享秘钥加密。

其中，关于步骤S306或者S308的应答中所含的下次更新时间的值，只要根据运用而适当地决定即可。例如，可以将距离当前时刻为规定期间后的时间设为下次更新时间。应答中所含的下次更新时间被记录在固件数据管理DB22的当前记录中。另外，固件数据的更新时期也只要根据运用而适当地决定即可。

内容再生终端20的固件更新应用程序15如果接收到在步骤S306或者S308中返回的更新不要应答或者固件更新应答(S311或者S312)，则将该该应答向安全芯片11输入。

安全芯片11的固件更新应答接收部131b在接收到该应答后(S313)，根据该应答的内容使处理分支(S314)。

即，在该应答是更新不要应答的情况下(S314中为“否”)，固件 更新应答接收部131b判断为不需要更新固件数据，指定固件更新应答中所含的下次更新确认时间以及服务器时刻等，调出固件更新管理部132。固件更新管理部132根据该信息对固件管理信息121进行更新(S315)。具体而言，利用被指定的下次更新确认时间来更新固件管理信息121的下次更新确认时间。另外，利用被指定的服务器时刻来更新固件管理信息121的最终确认服务器时间。

接着，如果固件管理信息121的固件更新状态为“更新中”(S316中为是)，则固件更新管理部132将该固件更新状态变更成“更新完成”，重新加载非易失存储部12内的固件数据，使更新处理结束(S317)。结果，固件处于能够执行的状态。

其中，在步骤S316的阶段，固件管理信息121的固件更新状态为“更新中”的情况是上次的更新处理被中断的情况。

另一方面，在接收到的应答是含有固件数据的固件更新应答的情况下(S314中为“是”)，固件更新应答接收部131b针对该固件更新应答中所含的固件数据检查有无篡改(S318)。在有无篡改的检查中使用该固件更新应答中所含的电子签名。

在检测出针对固件数据的篡改的情况下(S318中为“是”)，固件更新应答接收部131b向固件更新应用程序15输出表示固件数据被篡改的错误。内容更新应用程序根据该错误，例如向内容再生终端10的显示部输出该错误(S319)。

在没有检测出针对固件数据的篡改的情况下(S318中为“否”)，固件更新应答接收部131b针对固件更新管理部132请求固件数据的更新。该请求被指定固件更新应答中所含的数据。

响应于该请求，固件更新管理部132按照以下的顺序进行固件数据等的更新(S320)。

(1)将固件管理信息121的固件更新状态变更成“更新中”。

(2)利用被指定的数据中所含的固件数据以及电子签名来更新固件管理信息121的固件数据以及电子签名。

(3)利用被指定的数据中所含的固件版本号来更新固件管理信息121的固件版本号。

(4)利用被指定的数据中所含的下次更新时间来更新固件管理信息121的下次更新确认时间的值。

(5)利用被指定的数据中所含的服务器时刻来更新固件管理信息121的最终确认服务器时间的值。

(6)将固件管理信息121的固件更新状态变更成“更新完成”。

这样，在伴随着固件数据的更新而需要更新的信息被全部更新了的情况下，固件管理信息121的固件更新状态返回到“更新完成”。因此，在上述(1)以后到(5)之间，当处理因电源切断等而被中断时，固件更新状态保持“更新中”。

接着，固件更新管理部132将更新后的固件数据加载到安全芯片11内的存储器，使固件处于可执行状态(S321)。其中，关于固件数据的加载定时与固件执行的串行化，只要按照公知技术即可。

但在图10中，表示了固件更新请求与针对该请求的应答通过一次(一次往返的)通信实现，严格来说是通过多次通信实现的。

例如，首先由固件更新请求生成部131a生成安全通信(连接)的开设请求(安全连接开设请求)，并从固件更新应用程序15发送给固件更新服务器20。

图11是表示安全连接开设请求的构成例的图。在该图中，安全连接开设请求包括：RequestID、Version、ChipID、RandaomNumber、CertificateSize、以及Certificate等项目。

RequestID表示请求的种类。因此，RequestID被指定表示安全连接开设请求的值。Version是协议的版本。ChipID是安全芯片11的ID(即，上述的芯片ID)。RandomNumber是为了防止(或者检测)冒充而按每个连接生成的客户端侧(安全芯片11侧)的随机值。连接是指根据开设请求而开设，根据关闭请求而关闭的一系列通信单位。CertificateSize是Certificate的数据大小。Certificate是固件更新用客 户端公钥，从固件管理信息121处取得。

响应于安全连接开设请求，固件更新服务器20的固件数据提供部21生成安全连接开设应答并返回。

图12是表示安全连接开设应答的构成例的图。在该图中，安全连接开设应答包括RequestID、Version、RandaomNumber、EC－DHPhave1Value、Signature、CertificateSize、以及Certificate等项目。

RequestID被指定表示安全连接开设应答的值。Version是协议的版本。RandaomNumber是服务器侧(固件更新服务器20侧)的随机值。EC－DHPhave1Value是固件更新服务器20的固件数据提供部21创建的暂时公钥。Signature是利用固件更新用服务器秘钥对将安全连接开设应答中所含的RandomNumber的值与第4项目的EC－DHPhave1Value的值结合后的值进行签名而得到的值。CertificateSize是Certificate的数据大小。Certificate是固件更新用服务器公钥，被预先保存在固件更新服务器20中。

如果开设可安全连接，则固件更新请求被以在图7中说明的顺序生成以及发送。

图13是表示固件更新请求的构成例的图。在该图中，固件更新请求包括RequestID、Version、ChipID、EC－DHPhave1Value、Signature、ParameterSize、ChipID、FirmID、以及FirmVersion等项目。由于RequestID、Version、以及ChipID的说明可根据上述记载而明确，因此省略。

EC－DHPhave1Value是固件更新请求生成部131a创建的暂时公钥。Signature是利用固件更新用客户端私钥对将安全连接开设应答中所含的RandomNumber的值与EC－DHPhave1Value的值结合后的值进行签名而得到的值。ParameterSize是固件更新请求的参数的数据大小。在本实施方式中，该参数是从第7项目到第9项目的ChipID、FirmID以及FirmVersion。ChipID是安全芯片11的芯片ID。FirmID是固件管理信息121中所含的固件ID。FirmVersion是固件管理信息121中所含的固件版本号。

其中，固件更新请求生成部131a使用自身创建的暂时秘钥、和安全连接开设应答的第4项目中所含的EC－DHPhave1Value(暂时公钥)，基于EC－DH(素域224位秘钥)创建暂时共享秘钥(AES 128位)。固件更新请求的参数(第7项目到第9项目)基于该暂时共享秘钥被加密。

响应于固件更新请求，固件更新服务器20的固件数据提供部21生成固件更新应答并返回。

图14是表示固件更新应答的构成例的图。在该图中，固件更新应答包括RequestID、Version、ParameterSize、NextCheckDateTime、ServerTime、FirmVersion、FirmDataSize、FrimData以及Digest等项目。由于RequestID以及Version的说明根据上述记载而明确，所以被省略。

ParameterSize是固件更新应答的参数(第4项目到第9项目)的数据大小。NextCheckDateTime是下次更新确认时间。ServerTime是固件更新服务器20的服务器时刻。FirmVersion是第8项目中所含的固件数据的固件版本号。在不需要更新固件数据的情况下(即，固件数据未被返回的情况下)，FirmVersion的值无效。FirmDataSize是第8项目中所含的固件数据的数据大小。在不需要更新固件数据的情况下，FirmDataSize的值为0。FirmData是最新的固件数据。在不需要更新固件数据的情况下，该项目不包含在固件更新应答中。Digest是从第1项目到第8项目的SHA－256的报文摘译(message digest)。其中，在不需要更新固件数据的情况下，Digest是从第1项到第7项目的报文摘译。

其中，固件数据提供部21使用自身创建的暂时私钥、和固件更新要请求的第4项目中所含的EC－DHPhave1Value(暂时公钥)，基于EC－DH(素域(prime field)224位秘钥)来创建暂时共享秘钥(AES128位)。固件更新应答的参数(从第4项目到第9项目)被该暂时共享秘钥加密。

在将安全连接关闭的情况下，由固件更新请求生成部131a生成该连接的关闭请求(安全连接关闭请求)，并从固件更新应用程序15发送 给固件更新服务器20。

图15是表示安全连接关闭请求的构成例的图。在该图中，安全连接关闭请求包括RequestID、Version、ChipID、ParameterSize、以及Digest等项目。由于RequestID、Version以及ChipID的说明根据上述记载而明确，所以被省略。

ParameterSize是第5项目的Digest的数据大小。Digest是从第一项目到第4项目的SHA－256的报文摘译。其中，Digest被固件更新请求生成部131a创建的暂时共享秘钥加密。

响应于安全连接关闭请求，固件更新服务器20的固件数据提供部21生成安全连接关闭应答并返回。

图16是表示安全连接关闭应答的构成例的图。在该图中，安全连接关闭应答包括RequestID、Version、ParameterSize、ReturnCode、以及Digest等项目。由于RequestID以及Version的说明根据上述记载而明确，所以被省略。

ParameterSize是第4项目以及第5项目的数据大小。ReturnCode是复原码。Digest是第一项目到第4项目的SHA－256的报文摘译。其中，第4项目以及第5项目被固件数据提供部21创建的暂时共享秘钥加密。

接着，对内容再生终端10的硬件构成的一个例子、和图2等中表示的各部与硬件之间的关系进行说明。

图17是表示本发明的实施方式中的内容再生终端的硬件构成等的一个例子的图。在图17中，对与图2相同的部分赋予相同的附图标记，来适当省略其说明。在该图中，除了安全芯片11之外，还将主CPU1001、RAM1002、ROM1003、HDD1004以及通信接口1005等例示成构成内容再生终端的硬件。

主CPU1001基于固件更新应用程序15、内容再生播放应用程序16、以及驱动程序17等，实现各自的功能。其中，驱动程序17是对安全芯片11提供软件接口的驱动程序。RAM1002被用作在执行时加载固件更新应用程序15、内容再生播放应用程序16以及驱动程序17等的区域等。ROM1003存储固件更新应用程序15、内容再生播放应用程序16 以及驱动程序17等。HDD1004被用作加密内容161等的保存区域。此外，也可以根据内容再生终端10的特性，取代HDD1004(Hard Disk Drive)而使用其他的非易失性存储介质。该非易失性存储介质也可以如存储卡那样能够取下。通信接口1005例如是用于经由LAN(有线或者无线都可)等网络或者移动体通信网等实现通信的硬件。固件更新应用程序15以及内容再生播放应用程序16等利用通信接口1005，与固件更新服务器20或者内容秘钥分发服务器30等进行通信。

安全芯片11包括USB1101、ROM1102、RAM1103、CPU1104、AES128位芯片1105、EC－DH芯片1106、EC－DSA芯片1107、SHA－256芯片1108、SHA－1芯片1109、RNG芯片1110、非易失性存储介质1111、多路分配器1112、D/A转换器1113、H.264解码器1114、AAC解码器1115、以及HDMI1116等硬件。

USB1101是将主CPU1001等连接的总线与安全芯片11进行USB连接用的接口。ROM1102存储用于使CPU1104作为固件更新部13发挥功能的程序(以下称为“固件更新程序”)等。RAM1103被用作执行固件更新程序、固件等时的加载区域。CPU1104基于固件更新程序或者固件等，作为固件更新部13、内容秘钥取得协议控制部141以及内容再生部142等发挥功能。

AES 128位芯片1105、EC－DH芯片1106以及EC－DSA芯片1107被用于加密处理。SHA－256芯片1108以及SHA－1芯片1109被用于报文摘译的生成。RNG芯片1110产生随机数。

非易失性存储介质1111作为图2等中的非易失存储部12发挥功能。因此，固件管理信息121、固件数据等被记录于非易失性存储介质1111。

多路分配器1112、D/A转换器1113、H.264解码器1114以及AAC解码器1115等被用于解密后的内容数据的再生。其中，这些器件也可以配置在安全芯片11外。

HDMI1116是遵照所谓的HDMI1116(High-Definition Multimedia Interface)的接口。

其中，在如图5、图7以及图10、图17所示，应用程序利用作为 固件的内容秘钥取得协议控制部141、内容再生部142等的情况下，经由固件更新部13进行调出。固件更新管理部132在调出内容秘钥取得协议控制部141、或者内容再生部142之前，确认固件数据是否是更新中途(即，固件管理信息121的固件更新状态是否是“更新中”)。在固件数据是更新中途的情况下，固件更新部13对应用程序返回错误。

如上述那样，根据本实施方式中的内容再生终端10，基于从内容再生终端10的外部(在本实施方式中为固件更新服务器20、内容秘钥分发服务器30)取得的服务器时刻，来判断固件数据的更新处理(是否需要更新的确认)的定时。即，不利用内容再生终端10具备的计时器所表示的时刻。因此，能够防止因对内容再生终端10具备的计时器进行调整而使该定时无效化等。

另外，服务器时刻通过安全通信被加密而取得。因此，也能够恰当防止服务器时刻在流通路径中的篡改。

另外，固件数据是否需要执行更新处理(更新确认)在安全芯片11内判定，实际是否需要更新由固件更新服务器20进行。因此，可恰当防止因应用程序的篡改而避免固件数据的更新处理。

另外，如果固件数据的更新处理未被执行的状态超过规定期间并继续，则由安全芯片11拒绝内容秘钥的下载、内容数据的再生执行。因此，能够强制用户执行固件数据的更新处理(是否需要更新的确认)。此外，在本实施方式中，如果内容再生终端10不与固件更新服务器20或者内容秘钥分发服务器30进行通信，则最终确认服务器时间不被更新。但在该情况下，能够再生的范围也被限定为已经取得了内容秘钥的内容数据。即，在想要再生新的内容数据的情况下，必须下载其内容秘钥。通过该下载的开始，最终确认服务器时间被更新，可根据与下次更新确认时间的比较来拒绝该下载。

另外，用于更新最终确认服务器时间的服务器时刻与内容秘钥一同被加密并向内容再生终端10传输。即，服务器时刻包含在与内容秘钥相同的内容秘钥取得应答中向内容再生终端10传输。因此，在服务器时刻的传输受到阻碍的情况下，内容秘钥不被下载到内容再生终端10。换言之，内容再生终端10为了接收内容秘钥，必须对安全芯片11 输入包含该内容秘钥的应答。因此，能够恰当抑制服务器时刻的接收受到阻碍(即，最终确认服务器时间的更新受到阻碍)。

另外，由于对固件更新状态进行管理，所以安全芯片11能够恰当地检测固件数据的更新未完成(被中断的)情况。而且，在检测出固件数据的更新未完成的情况下，安全芯片11拒绝内容秘钥的下载、内容数据的再生等。因此，可提高固件数据的更新被恰当完成的可能性(在更新中不进行非法中断的可能性)。

另外，在固件数据的更新中，在固件数据的实体更新之后进行固件版本号的更新，最后更新固件更新状态。即，当基于固件版本号判定是否需要更新时，固件版本号在固件数据被更新之后更新。因此，在固件数据的更新的再执行中，能够提高固件数据被更新为最新的数据的可能性。

以上，对本发明的实施例进行了详细叙述，但本发明并不限定于这种特定的实施方式，在技术方案所记载的本发明主旨范围内，能够进行各种变形、变更。

附图标记说明：10-内容再生终端；11-安全芯片；12-非易失存储部；13-固件更新部；15-固件更新应用程序；16-内容再生播放应用程序；17-驱动程序；20-固件更新服务器；21-固件数据提供部；22-固件数据管理DB；30-内容秘钥分发服务器；121-固件管理信息；122-许可DB；131-固件更新协议控制部；132-固件更新管理部；131a-固件更新请求生成部；131b-固件更新应答接收部；132a-更新状态判定部；132b-更新要否判定部；141-内容秘钥取得协议控制部；141a-内容秘钥取得请求生成部；141b-内容秘钥取得应答接收部；141c-内容秘钥更新部；142-内容再生部；142a-加密内容解密环境创建部；142b-再生控制部；161-加密内容；1001-主CPU；1002-RAM；1003-ROM；1004-HDD；1005-通信接口；1101-USB；1102-ROM；1103-RAM；1104-CPU；1105-AES128位芯片；1106-EC－DH芯片；1107-EC－DSA芯片；1108-SHA－256芯片；1109-SHA－1芯片；1110-RNG芯片；1111-非易失性存储介质；1112-多路分配器；1113-D/A转换器；1114-H.264解码器；1115-AAC解码器；1116-HDMI。

Claims (6)

1.一种内容数据再生装置，具有安全芯片，其中，

上述安全芯片接受内容秘钥的取得请求的输入或者内容数据的解密请求的输入，并且具有：

存储单元，其存储包括固件程序的固件数据；和

固件更新管理单元，其响应于内容秘钥的取得请求或者内容数据的解密请求对上述安全芯片的输入，判断上述固件数据的更新处理的状态是否为更新结束，在是更新结束状态时，通过比较上述固件数据设定的期限信息与经由网络接收到的时间信息，来判定是否需要执行固件数据的更新处理，在需要执行上述更新处理的情况下拒绝上述请求；

上述固件程序使上述安全芯片作为内容秘钥取得控制单元和解密单元发挥功能，其中,上述内容秘钥取得控制单元经由网络取得用于对内容数据进行解密的内容秘钥，上述解密单元使用上述内容秘钥对内容数据进行解密，

上述固件更新管理单元在上述固件数据的更新处理中将表示该更新处理的状态的更新状态信息记录到更新状态存储单元中，

响应于上述内容秘钥的取得请求或者内容数据的解密请求对上述安全芯片的输入，参照上述更新状态信息，在该更新状态信息未正表示更新处理已完成的情况下拒绝该请求。

2.根据权利要求1所述的内容数据再生装置，其中，

上述内容秘钥取得控制单元在取得上述时间信息的同时取得上述内容秘钥。

3.根据权利要求2所述的内容数据再生装置，其中，

上述内容秘钥取得控制单元通过加密通信来取得上述内容秘钥以及上述时间信息。

4.一种更新管理方法，是内容数据再生装置具有的安全芯片所执行的更新管理方法，其中，具有：

接受内容秘钥的取得请求的输入或者内容数据的解密请求的输入的步骤，

固件更新管理步骤，在上述固件更新管理步骤中响应于内容秘钥的取得请求或者内容数据的解密请求对上述安全芯片的输入，判断固件数据的更新处理的状态是否为更新结束，在是更新结束状态时，通过比较上述安全芯片具有的存储单元所存储的固件数据设定的期限信息与经由网络接收到的时间信息，来判定是否需要执行固件数据的更新处理，在需要执行上述更新处理的情况下拒绝上述请求，

上述固件数据中所含的固件程序使上述安全芯片作为内容秘钥取得控制单元和解密单元发挥功能，其中，上述内容秘钥取得控制单元经由网络取得用于对内容数据进行解密的内容秘钥，上述解密单元使用上述内容秘钥对内容数据进行解密，

上述安全芯片执行更新状态记录步骤，上述更新状态记录步骤在上述固件数据的更新处理中将表示该更新处理的状态的更新状态信息记录到更新状态存储单元中，

上述固件更新管理步骤响应于上述内容秘钥的取得请求或者内容数据的解密请求对上述安全芯片的输入，参照上述更新状态信息，在该更新状态信息未正表示更新处理已完成的情况下拒绝该请求。

5.根据权利要求4所述的更新管理方法，其中，

上述内容秘钥取得控制单元在取得上述时间信息的同时取得上述内容秘钥。

6.根据权利要求5所述的更新管理方法，其中，

上述内容秘钥取得控制单元通过加密通信来取得上述内容秘钥以及上述时间信息。