实现发明的最佳方式
下面使用附图来具体解释本发明的实施例。
图1是示出了根据本发明实施例的内容分发系统1的整体示意性结构的图。
如图1所示,内容分发系统1包括:成员管理服务器10;内容分发服务器20;元数据分发服务器30;许可证管理服务器40;鉴权服务器50;一个或多个终端设备60;以及连接上述组成部分以便它们彼此能够通信的传输路径N。
成员管理服务器10是一种计算机装置,其包括用于管理订阅内容分发系统1的用户的用户信息DB110,并且所述成员管理服务器10将域密钥112传输到一个或多个终端装置60。
内容分发服务器20是一种由内容提供者(CP)使用的计算机装置,并且包括:内容提供者ID212;用于该内容提供者的秘密密钥;用于该秘密密钥的公共密钥;公共密钥证书;内容加密密钥415;以及内容主体。并且,内容分发服务器20至少产生加密内容210并且将该加密内容210传输到一个或多个终端装置60。
元数据分发服务器30是一种由元数据提供者(MP)使用的计算机装置,并且包括:元数据提供者ID;用于该元数据提供者的秘密密钥;用于该秘密密钥的公共密钥;公共密钥证书510;以及元数据310。并且,元数据分发服务器30至少产生用于内容的元数据310,并且将该元数据310传输到一个或多个终端装置60。
许可证管理服务器40至少产生用于使用加密内容210和元数据310的许可证410,并且将该许可证410传输到一个或多个终端装置60。
鉴权服务器50是一种鉴定机构(CA)使用的计算机装置,并且包括用于该CA的秘密密钥和用于秘密密钥的公共密钥等。并且,鉴权服务器50至少产生用于该CP、MP和CA的公共密钥证书510以及CRL520,并且将CRL520传输到一个或多个终端装置60。
一个或多个终端装置60至少使用加密内容210和元数据310。该一个或多个终端装置60包括通信单元和防窜改单元等。并且,由防窜改单元来执行诸如鉴权通信、获得加密密钥、加密和译码这样的与加密相关的处理,以便不会出现加密密钥等的流出。并且,防窜改单元包括:域密钥112;加密内容210;元数据310;许可证410;CA公共密钥证书510;用于存储CRL520等的存储单元;判断元数据的使用许可的元数据使用许可判断单元;以及基于该元数据使用许可判断单元的判断结果来使用内容和元数据的使用单元。
传输路径N是诸如互联网、数字广播或其复合网络的通信网络。
接下来,将描述涉及使用内容分发系统1中的元数据310和加密内容210的处理概述。
图2是示出了涉及使用元数据310和加密内容210的通信程序的顺序图。
成员管理服务器10基于会员的登记请求将域密钥112分发到该一个或多个终端装置60(S1100)。
内容分发服务器20产生加密内容210(S1200),并且基于内容获取请求将加密内容210分发到该一个或多个终端装置60(S1210)。
元数据分发服务器30产生元数据310(S1400),并且基于来自该一个或多个终端装置的元数据获取请求将产生的元数据310传输到该一个或多个终端装置60(S1410)。
许可证管理服务器40产生许可证410(S1300),并且基于许可证购买请求将许可证410传输到该一个或多个终端装置60(S1310)。
该一个或多个终端装置60(i)接收来自成员管理服务器10的域密钥112(S1000),(ii)接收来自内容分发服务器20的加密内容210(S1010),(iii)接收来自许可证管理服务器40的许可证410(S1020),(iv)接收来自元数据分发服务器30的元数据310(S1030),以及(v)使用元数据310和加密内容210(S1040)。
对于以下描述的内容的加密,通常,使用诸如高级加密标准(AES)和三重数据加密标准(Triple DES)这样的秘密密钥密码学算法。然而,以下描述的处理并不依赖于特定的加密。
并且,对于数字签名的格式而言,通常,使用诸如RSA和椭圆曲线数字标签算法(EC DSA)那样的公共密钥密码学算法。然而,以下所述的处理不依赖于特定的加密。
另外,对于散列计算格式而言,通常使用安全散列算法1(SHA-1)、MD5等等。然而,以下所述的处理并不依赖于特定的计算格式。
而且,对于从成员管理服务器10、内容分发服务器20、元数据分发服务器30以及许可证管理服务器40传输到该一个或多个终端装置60的内容选择屏幕等的用户界面屏幕而言,通常使用根据诸如超文本传输协议(HTTP)和可扩展标记语言(XML)那样的协议传输的以诸如超文本标记语言(HTML)这样的脚本语言所编写的网页,或者通过数字广播传输的以广播标记语言(BML)编写的网页。然而,以下的处理不依赖于特定的网页编写格式。
首先,具体描述涉及该一个或多个终端装置60接收域密钥的处理。
如图3所示,成员管理服务器10包括用户信息DB110,其由用户ID111和域密钥112对构成。在此,用户ID111意指提供给该一个或多个终端装置60的每一个拥有者的ID。并且,该域意指由用户所拥有的该一个或多个终端装置60所形成的集合。以及,该域密钥112意指用于数据加密和鉴权通信的加密密钥,以便数据通信仅局限于具有相同域密钥112的一个或多个终端装置之间。例如,在图3中,域密钥112“XXXCCC”被分配给用户ID111“XXXAAA”。
该一个或多个终端装置60将包括用户ID111的成员登记请求传输到成员管理服务器10。在接收到来自该一个或多个终端装置60的终端登记请求之后,成员管理服务器10从用户信息DB110中获得与用户ID111相对应的域密钥112,并且将该域密钥112传输到该一个或多个终端装置60(S1100)。该一个或多个终端装置60接收域密钥112(S1000),并且将接收到的域密钥112存储在防窜改单元的存储单元中。
在经由通信路径N以在成员管理服务器10和该一个或多个终端装置60之间传输域密钥112的情况下,为了确保安全,在建立诸如安全套接层(SSL)这样的已安全鉴定的通道(下文中称为SAC)之后,传送数据。
根据本实施例,在成员管理服务器10和该一个或多个终端装置60之间建立SAC之后,传送域密钥112。然而,在固有密钥(例如终端ID)被存储在该一个或多个终端装置60中以及成员管理服务器10管理每一终端装置60的固有密钥的情况下,可以通过该一个或多个终端装置60的固有密钥来加密域密钥112,并且将其从成员管理服务器传输到该一个或多个终端装置60。
接下来,将具体解释涉及加密内容210的接收的处理。
该一个或多个终端装置60将内容选择请求传输到内容分发服务器20。内容服务器20根据该一个或多个终端装置60的内容选择请求,产生内容选择屏幕,并且将该内容选择屏幕传输到该一个或多个终端装置60。该一个或多个终端装置60显示从内容分发服务器20接收到的内容选择屏幕,并且将包括由用户的操作所选择的内容的内容ID 211的内容获取请求传输到内容分发服务器20。对于该内容选择屏幕,在由该一个或多个终端装置60选择内容之后,包括相应的内容ID 211的内容获取请求被传输到内容分发服务器20。
内容分发服务器20产生加密内容210(S1200)。具体而言,通过向内容主体213添加不同于每一内容的内容ID 211和不同于每一内容提供者的内容提供者ID 212以及利用内容加密密钥415对内容提供者ID 212和内容主体213进行加密,内容分发服务器20产生加密内容210。
如图4所示,加密内容210包括:内容ID211、内容提供者ID212和内容主体213。通过许可证410中所包括的内容加密密钥415对内容提供者ID 212和内容主体213加密。
使用内容ID211以将许可证410与加密内容210相关联。内容提供者ID212也用于标识加密内容210的提供者。内容主体213是诸如视频和音乐那样的数字数据。
内容分发服务器20将与内容获取请求中所包含的内容ID211相对应的加密内容210传输到该一个或多个终端装置60(S1210)。该一个或多个终端装置60从内容分发服务器20接收加密内容210(S1010),并且将接收到的加密内容存储在防窜改单元的存储单元中。
可以通过数据流(streaming)或文件分发来执行加密内容210从内容分发服务器20到该一个或多个终端装置60的传输。
接下来将具体说明涉及元数据310的接收的处理。
该一个或多个终端装置60将元数据选择请求传输到元数据分发服务器30。元数据分发服务器30根据来自该一个或多个终端装置60的元数据获取请求,产生元数据选择屏幕,并且将产生的元数据选择屏幕传输到该一个或多个终端装置60。该一个或多个终端装置60显示接收到的元数据选择屏幕,并且将包括由用户的操作所选择的元数据310的元数据ID的元数据获取请求传输到元数据分发服务器30。对于元数据选择屏幕而言,在该一个或多个终端装置60选择期望的元数据之后,包括相应的元数据ID的元数据获取请求被传输到元数据分发服务器30。
元数据分发服务器30产生元数据310(S1400)。具体而言,元数据分发服务器30产生元数据主体311,并且将元数据提供者的ID存储到元数据签名人ID 312。从而,元数据分发服务器30产生用于数据主体311和元数据签名人ID 312的数字签名313。也存在由内容分发服务器20执行元数据310的数字签名的情况。在上述的情况中,从元数据分发服务器30将元数据主体311传输到内容分发服务器20。然后,内容分发服务器20将内容提供者ID存储在元数据签名人ID312,并通过产生内容提供者的数字签名313来产生元数据310。并且,将元数据310传输到元数据分发服务器30。
如图5所示,元数据310包括元数据主体311、元数据签名人ID312和数字签名313。
元数据主体311除元数据本身之外还包括:用于标识元数据的元数据ID 3111;诸如内容ID这样的属性信息3112;内容的位置信息3113;诸如片断索引这样的内容的控制信息3114;以及用于指示元数据是由用户产生的元数据的用户产生标记3115。元数据签名人ID 312用于标识对元数据310进行数字签名的签名人。数字签名313用于检测元数据主体311的窜改。
元数据分发服务器30将与元数据获取请求中所包括的元数据ID相对应的元数据310传输到该一个或多个终端装置60(S1410)。该一个或多个终端装置60从元数据分发服务器接收元数据310(S1030)并且将接收到的元数据310存储在防窜改单元的存储单元中。
接下来将说明涉及接收内容的许可证410的处理。
该一个或多个终端装置60将许可证选择请求传输到许可证管理服务器40。许可证管理服务器40根据来自该一个或多个终端装置60的许可证选择请求,产生许可证选择屏幕,并且将产生的许可证选择屏幕传输到该一个或多个终端装置60。该一个或多个终端装置60显示接收到的许可证选择屏幕,并且将包括由用户的操作所选择的许可证410的许可证ID 411的许可证购买请求传输到许可证管理服务器40。对于许可证选择屏幕而言,在选择期望的许可证之后,包括相应的许可证ID的许可证购买请求被传输到许可证管理服务器40。
当产生许可证购买请求时,许可证管理服务器40产生包括相应的许可证ID的许可证410(S1300)。具体而言,许可证管理服务器40从内容分发服务器20接收:内容ID 412;内容提供者ID 413;使用规则414;以及内容加密密钥415,并且通过添加许可证ID 411来产生许可证410(S1300)。
如图6所示,许可证410包括:许可证ID 411;内容ID 412;内容提供者ID 413;使用规则414;以及内容加密密钥415。
许可证ID 411用于标识许可证管理服务器40中的许可证410。内容ID 412用于将许可证410与加密内容210相关联。内容提供者ID 413用于标识由许可证410控制的内容的内容提供者。用户规则414用于控制内容和元数据的使用。内容加密密钥415用于对内容进行解码。
具体而言,使用规则414包括有关内容使用控制的信息4140和有关元数据使用控制的信息4144。
对于有关内容使用控制的信息4140而言,存在有关使用期满日期的信息4141、有关可能的使用频率的信息4142等等。对于有关使用期满日期的信息4141而言,例如,包括诸如“直到2005年12月31都可使用”那样的信息。对于有关可能的使用频率的信息4142而言,例如,包括诸如“可使用三次”那样的信息。
对于有关元数据使用控制4144的信息而言,存在元数据的签名人标识信息4145、元数据的参考指定信息4146、元数据的修订许可信息4147、与由用户产生的元数据相应的控制许可信息4148、与由用户产生的元数据相应的移动范围指定信息4149,等等。
签名人标识信息4145是用于指定能够被使用的元数据的签名人的信息,并且包括:签名人ID、内容提供者、上述内容提供者所信任的一组元数据提供者、以及表示对上述这样的组没有限制的标记。换句话说,对于签名人标识信息4145而言,例如,包括:元数据签名人、诸如“除了内容提供者之外是不可能的”、“内容提供者和由内容提供者授权的元数据提供者是可能的”以及“对于所有都是可能的”这样的签名人标识信息。在此,由内容提供者授权的元数据提供者是具有由内容提供者进行数字签名的公共密钥证书510的元数据提供者,并且与其他的元数据提供者相比具有较高的内容分发服务器20的可信度。元数据签名人标识信息4145是许可或不许可的元数据签名人ID 312。
参考指定信息4146是当使用内容时指定元数据的参考方法的信息,并且包括:指定需要参考元数据的标记、将被参考的元数据ID、将被参考的元数据的签名人等等。换句话说,就元数据参考指定信息4146而言,例如,在期望强行对利用加密内容210进行分发的元数据310进行参考的情况中,包括元数据参考指定标记。参考指定信息4146可以是元数据参考指定标记、期望强行参考的元数据的元数据ID、或元数据的元数据签名人ID。根据本实施例,描述将元数据参考指定信息4146包括在内容许可证中的实例。然而,加密内容210可以包括参考指定信息4146。
修订许可信息4147包括:指示元数据修订许可的标记、可修订的元数据ID、可修订的元数据的签名人ID、内容提供者、由上述内容提供者信任的一组元数据提供者、以及指示对这样的元数据提供者的没有限制的标记。换句话说,元数据的修订许可信息4147例如是指示“元数据可修订”或“元数据不可修订”的标记、可修订的元数据或不可修订的元数据的元数据ID、或者对可修订的元数据或不可修订的元数据已经数字签名的元数据签名人ID 312。
根据本实施例,描述内容许可证包括元数据的修订许可信息4147的情况。然而,修订许可信息4147可以包括在以下任意一个中:加密内容210、元数据310的元数据主体311、或在元数据310和内容被加密并且存在包括加密密钥的元数据310的许可证的情况下的元数据310的许可证。
控制许可信息4148是指示由用户产生的元数据的使用许可的标记。换句话说,对于与由用户产生的元数据相应的控制许可信息4148,例如,包括诸如“对于由用户产生的元数据控制是可能的”或“对于由用户产生的元数据控制是不可能的”这样的信息。根据本实施例,描述与由用户产生的元数据相应的控制许可信息4148被包括在内容许可证中的情况。然而,与由用户产生的元数据相应的控制许可信息4148可以被包括在加密内容210中。
移动范围指定信息4149是指定已经产生由用户产生的可被使用的元数据的一个或多个终端装置的信息。移动范围指定信息4149包括:表示对由已经产生元数据的用户所拥有的一个或多个终端装置没有限制或进行限制的标记;使用频率,其对除了由已经产生元数据的用户所拥有的一个或多个终端装置之外的一个或多个终端装置的使用进行限制;期满日期等等。
换句话说,就移动范围指定信息4149而言,例如包括诸如“移动不受限制”或“限制于由已经产生元数据的用户所拥有的一个或多个终端装置”这样的指示移动范围的信息。根据本实施例,描述由用户产生的元数据的移动范围指定信息4149被包括在内容许可证中的情况。然而,移动范围指定信息4149可以被包括在以下任意一个之中:加密内容210;元数据310的元数据主体311;以及在元数据和内容被加密并且存在包括加密密钥的元数据的许可证的情况下的元数据许可证。
在完成许可证产生之后,许可证管理服务器40在执行购买许可证的处理之后,根据来自该一个或多个终端装置60的许可证获取请求,将许可证410传输到该一个或多个终端装置60(S1310)。许可证的购买处理在图中未示出的购买服务器和许可证管理服务器40之间执行。
在通过传输路径N在许可证管理服务器40和该一个或多个终端装置60之间传递许可证410的情况下,为了确保安全,在建立SAC之后,传递数据。
根据本实施例,在许可证管理服务器40和该一个或多个终端装置60之间建立SAC之后,传递许可证410。然而,在一个或多个终端装置60存储有固有密钥,并且许可证管理服务器40管理每一终端装置60的固有密钥的情况下,可以使用该一个或多个终端装置60的固有密钥来加密许可证410,并且将其从许可证管理服务器40传输到该一个或多个终端装置60。
该一个或多个终端装置60从许可证管理服务器40中接收许可证410(S1020),并且将许可证410存储在防窜改单元的存储单元中。
接下来,具体说明公共密钥证书510和CRL 520的接收处理。
该一个或多个终端装置60将公共密钥证书的请求传输到内容分发服务器20,并且接收内容分发服务器20的公共密钥证书510。并且,该一个或多个终端装置60将公共密钥证书的请求传输到元数据分发服务器30,并接收元数据分发服务器30的公共密钥证书510。而且,该一个或多个终端装置60将公共密钥证书的请求传输到鉴权服务器50,并接收鉴权服务器50的公共密钥证书510。
尽管图2并未示出,但是每次内容分发服务器20和元数据分发服务器30请求公共密钥证书510时,鉴权服务器50都产生公共密钥证书510,并且将公共密钥证书510传输到内容分发服务器20和元数据分发服务器30。并且,每次内容分发服务器20请求取消元数据分发服务器30时,鉴权服务器50产生CRL,并且将产生的CRL传输到该一个或多个终端装置60。
具体而言,鉴权服务器50具有秘密密钥和与秘密密钥成对的公共密钥。并且,当作为主体的内容分发服务器20和元数据分发服务器30请求产生公共密钥证书510来替换该主体的公共密钥512时,鉴权服务器50将公共密钥证书510传输到该主体。换句话说,在从内容分发服务器20或元数据分发服务器30接收到包括主体公共密钥512的公共密钥证书510产生请求之后,鉴权服务器50(i)产生不同于每一主体公共密钥512的主体ID 511,(ii)产生用于主体ID 511和主体公共密钥512的数字签名513,(iii)产生由主体ID 511、主体公共密钥512和数字签名构成的公共密钥证书510,以及(iv)将公共密钥证书510传输到内容分发服务器20或元数据分发服务器30。
在内容分发服务器20将元数据的数字签名授权给所信任的元数据分发服务器30的情况中,内容分发服务器20可以执行元数据分发服务器30的公共密钥证书510的产生处理。
在上述的情况中,与其他元数据分发服务器30相比,将具有由内容分发服务器20数字签名的公共密钥证书510的元数据分发服务器30判断为被内容分发服务器20信任。上述方法是一种称为证书传递(certificate pass)的通用方法,并且在非专利文献1中具体进行了描述。
如图7所示,公共密钥证书510至少包括主体ID 511、主体公共密钥512、数字签名513和证书签名人ID 514。主体ID 511是用于标识公共密钥证书510的主体的ID,并且例如可以使用X.509证书的序列号。
主体公共密钥512用于验证由主体ID 511所指定的签名人的数字签名。数字签名513用于至少主体ID 511和主体公共密钥512的窜改检测。证书签名人ID 514用于指定已经对公共密钥证书510进行数字签名的签名人。
并且,鉴权服务器50具有CRL 520。如图8所示,CRL 520至少包括更新日期521和被取消的主体ID 522。在此,取消意思是指通过由主体ID 522指定的签名人来取消数字签名。
更新日期521例如是产生CRL时的日期,并且用于CRL 520的版本确认。被取消的主体ID 522用于标识将被取消的签名人。
在从内容分发服务器20中接收到包括将被取消的元数据分发服务器30的ID的CRL更新的请求之后,鉴权服务器(i)将更新日期521更新为CRL产生日期,例如,从“2003年1月1日”变为“2003年11月11日”,(ii)将接收到的元数据分发服务器30的ID添加到主体ID 522,(iii)产生CRL 520,以及(iv)将CRL 520传输到该一个或多个终端装置60。
如上所述,从成员管理服务器10获得域密钥112(S1000);从内容分发服务器20接收加密内容210(S1010);从许可证管理服务器40接收许可证410(S1020);从元数据分发服务器30接收元数据310(S1030);以及该一个或多个终端装置60使用元数据310和内容(S1040)。
接下来,将说明由内容分发服务器20或元数据分发服务器30签名的元数据以及由用户产生的元数据的使用许可判断。
图9是示出了由该一个或多个终端装置60所进行的元数据的使用许可判断处理的操作的流程图。
元数据310判断元数据是否是由用户产生的元数据(S200)。随后将说明判断由用户产生的元数据的处理(S200)。
在元数据不是由用户产生的元数据的情况中,所述处理转移到签名人标识信息判断(S100)。在元数据是由用户产生的元数据的情况中(在随后所述的值为“0”的情况中),所述处理转移到步骤S201。在签名人标识信息判断(S100)中,签名人标识信息4145被从许可证410的使用规则414中获得,并且被判断是以下签名人标识信息4145的哪一个:“除了内容提供者之外是不可能的”、“内容提供者和由内容提供者所授权的元数据提供者是可能的”或“对于所有都是可能的”。
在签名人标识信息4145是“除了内容提供者之外的不可能的”或“内容提供者和由内容提供者授权的元数据提供者是可能的”的情况下,所述处理转移到ID比较(S101)。
将使用图10来描述ID比较(S101)。
图10是示出了ID比较的子程序的流程图(S101)。
在ID比较(S101)中,(i)通过内容加密密钥415对加密内容210进行加密,(ii)获得内容提供者ID 212,(iii)从元数据310中获得元数据签名人ID 312,以及(iv)比较上述的内容提供者ID 212和元数据签名人ID 312(S301)。
在内容提供者ID 212与元数据签名人ID 312相一致的情况中,所述处理转移到签名验证(S102)。换句话说,在上述情况中,为了实现“仅内容提供者所产生的元数据能够被使用”的要求,所述处理进行到步骤S102。
在内容提供者ID 212与元数据签名人ID 312相互不一致的情况中,签名标识信息4145被证实(S302)。
在签名人标识信息4145是“内容提供者和由内容提供者授权的元数据提供者是可能的”的情况中,内容提供者ID 212与元数据签名人ID 312和主体ID 511相互一致的公共密钥证书510的证书签名人ID 514进行比较(S303)。
在证书签名人ID 514与内容提供者ID 212相一致的情况中,所述处理转移到签名验证(S102)。换句话说,在上述情况中,为了实现“内容提供者和由内容提供者授权的元数据提供者是可能的”的要求,所述处理进展到步骤S102。
另一方面,在步骤S302中签名人标识信息4145是“除了内容提供者之外是不可能的”的情况下,即使签名人标识信息4145将可被使用的元数据的签名人设置为“内容提供者和由内容提供者授权的元数据提供者是可能的”,由于元数据310的签名人不是内容分发服务器20时,所以不能够使用元数据310。
并且,在步骤S303中,在证书签名人ID 514与内容提供者ID 212相互不一致的情况下,即使签名人标识信息4145将可被使用的元数据的签名人设置为“内容提供者和由内容提供者授权的元数据提供者是可能的”,由于元数据的签名人不是内容分发服务器20和由内容分发服务器20授权的元数据分发服务器30时,所以不能够使用元数据310。
返回到图9的主程序,在内容提供者ID 212与元数据签名人ID312相互不一致的情况下,(i)执行签名验证(S102),(ii)获取包括与元数据的数字签名的元数据签名人ID 312相对应的主体ID 511的公共密钥证书510,(iii)使用公共密钥证书510所包括的主体公共密钥512来解密元数据的数字签名,(iv)比较元数据主体311和元数据签名人ID 312的保密(hush)值,并且验证它们相互是否一致。在元数据主体311和元数据签名人ID 312的上述保密值相互一致的情况下,由于不存在窜改,所以将元数据310判断为可被使用。另一方面,在元数据主体311和元数据签名人ID 312的上述保密值相互不一致的情况下,由于存在窜改,所以将元数据310判断不可被使用。
另一方面,在步骤S100中,签名人标识信息4145是“对于所有都是可能的”,所述处理转移到CRL确认(S110)
在CRL确认(S110)中,判断CRL 520的被取消的主体ID 522是否包含元数据310的元数据签名人ID 312。在元数据ID 312没有包含于被取消的主体ID 522的情况中,所述处理转移到签名验证(S102),并且根据窜改的存在来判断使用许可。
另一方面,在列表中包含元数据签名人ID 312的情况下,由于签名人被取消,所以将元数据310判断为不可被使用。
通过上述操作,基于许可证410的使用规则414中所存储的签名人标识信息4145,能够判断由内容分发服务器20或元数据分发服务器30签名的元数据的使用许可。
根据本实施例,签名人标识信息4145是一个标记,其标识诸如“除了内容提供者之外是不可能的”、“内容提供者和由内容提供者授权的元数据提供者是可能的”或“对于所有都是可能的”这样的三个值的其中一个值。然而,签名人标识信息4145可以是标识在“除了内容提供者之外是不可能的”、“内容提供者和由内容提供者授权的元数据提供者是可能的”或“对于所有都是可能的”中的至少两个值的其中之一的标记。
在上述情况中,例如,如果签名人标识信息4145是标识“除了内容提供者之外是不可能的”或“对于所有都是可能的”的标记,那么不执行根据本实施例的签名人标识信息4145是“内容提供者和由内容提供者授权的元数据提供者是可能的”情况的处理。如果签名人标识信息4145是标识“除了内容提供者之外是不可能的”、“内容提供者和由内容提供者授权的元数据提供者是可能的”或“对于所有都是可能的”的标记,那么不执行签名人标识信息4145是“对于所有都是可能的”情况的处理。然而,上述情况的任意一个都能够获得相同的效果。
根据本实施例,在签名人标识信息判断中(S100),当签名人标识信息4145是“除了内容提供者之外是不可能的”或“内容提供者和由内容提供者授权的元数据提供者是可能的”,那么不执行CRL确认(S110),但是可以在签名人标识信息判断之后执行(S100)。
根据本实施例,签名人标识信息4145存储在许可证410的使用规则414中。然而,签名人标识信息4145可以存储在除了许可证410的使用规则414之外的其它区域中。同样,签名人标识信息4145可以存储在加密内容210中。而且,在元数据和内容被加密并且存在包括加密密钥的元数据310的许可证的情况下,签名人标识信息4145可以存储在元数据310的许可证中。在上述情况中,签名人标识信息4145的获取源各自不同,但是在每一种情况下都能获得相同的效果。
根据本实施例,签名人标识信息4145是表示“除了内容提供者之外是不可能的”、“内容提供者和由内容提供者授权的元数据提供者是可能的”或“对于所有都是可能的”的标记。然而,签名人标识信息4145可以是元数据310的元数据签名人ID 312。在上述情况中,虽然可被使用的元数据的签名人被限制为元数据签名人ID 312的签名人。然而,能够获得同样的效果。
根据本实施例,对于元数据的元数据签名人ID 312是否为内容提供者的ID的ID比较(S101),使用加密内容210中包括的内容提供者ID 212。然而,在仅预先存储内容提供者的公共密钥证书510的情况中,诸如当传输到该一个或多个终端装置60时,可以使用公共密钥证书510中所包括的主体ID 511。同样,在仅预先存储内容提供者ID的情况中,诸如当传输到该一个或多个终端装置60时,可以使用存储的内容提供者ID。而且,在存在元数据310的许可证并且内容提供者ID存储在元数据310的许可证的情况中,可以使用元数据310的许可证的内容提供者ID。在上述每一情况中,由于能够指定内容分发服务器20的内容提供者ID,所以能够获得相同的效果。
接下来,在对由用户产生的元数据的使用许可进行说明之前,将说明由用户等进行的元数据的产生处理。
根据用户的输入操作,该一个或多个终端装置60产生元数据。特别地,当将用户产生标记3115设置为“1”时,其中用户产生标记3115表示其是由用户产生的元数据,将诸如片断索引那样的信息存储在元数据主体311。并且,为了表示元数据产生器是用户,将值“0”存储在元数据签名人ID 312,并且存储值“0”而不对数字签名313进行数字签名。
根据本实施例,描述值“0”存储于元数据签名人ID 312和数字签名313中的情况。然而,只要能够标识在该一个或多个终端装置60中由用户产生元数据310,也可以使用其他值。
根据本实施例,不对由用户产生的元数据进行数字签名。然而,在该一个或多个终端装置60的所有终端装置中具有元数据签名人ID312、秘密密钥和公共密钥证书510的情况中,可以对由用户产生的元数据进行数字签名。在上述情况下,在随后提及的对由用户产生的元数据的判断中(S200),判断元数据310的数字签名人是否为由用户拥有的该一个或多个终端装置60。
在该一个或多个终端装置60不具有秘密密钥和公共密钥证书的情况下,通过使用域密钥112或固有密钥来加密元数据310的保密值,能够获得相同的效果。
该一个或多个终端装置60从使用规则414中获得由用户产生的元数据的移动范围指定信息4149。在“移动不受限制”的情况中,在该一个或多个终端装置60等中按照原样聚集上述处理所产生的元数据。在“限制于由已经产生元数据的用户所拥有的一个或多个终端装置”的情况中,元数据主体311可以通过域密钥112来加密并且聚集在该一个或多个终端装置60或诸如DVD-R那样的外部存储介质中。否则,可以将元数据主体311传输到由用户所拥有的其他终端装置。在上述情况中,由于由域密钥来加密元数据主体311,所以即使不同域的一个或多个终端装置60获得元数据310,也不能够使用元数据310。
根据本实施例,在由用户产生的元数据的移动范围指定信息4149是“限制于由已经产生元数据的用户所拥有的一个或多个终端装置”的情况中,使用域密钥112来加密元数据主体311。然而,只要使用由用户所拥有的一个或多个终端装置60所共有的秘密信息,也可以使用其他的信息。
接下来,将使用图9来说明由用户所产生的元数据的使用许可判断。
该一个或多个终端装置60执行由用户产生的元数据的判断(S200)。
在由用户产生的元数据的判断中(S200),判断元数据310的元数据签名人ID 312是否为值“0”。
在元数据310的元数据签名人ID 312不是值“0”的情况中,所述处理转移到上述签名人标识信息判断(S100)。
在元数据的签名人ID 312是值“0”的情况中,该处理转移到由用户产生的元数据的控制许可判断(S201)。
在由用户产生的元数据的控制许可判断中(S201),从许可证410的使用规则414中获得与由用户产生的元数据相应的控制许可信息4148。在与由用户产生的元数据相应的控制许可信息4148是“对于由用户产生的元数据控制是可能的”的情况中,该处理转移到由用户产生的元数据的移动范围判断(S202)。
在由用户产生的元数据的移动范围判断中(S202),从许可证410的使用规则414中获得由用户产生的元数据的移动范围指定信息4149。在移动范围指定信息4149是“移动不受限制”的情况下,将由上述处理产生的元数据判断为可被使用。
另一方面,在移动范围指定信息4149是“限制于由已经产生元数据的用户所拥有的一个或多个终端装置”的情况下,通过域密钥112来解密元数据主体311,并且判断是否存在指示元数据是由用户产生的元数据的用户产生标记3115(S203)。作为判断的结果,在存在用户产生标记3115的情况中,也就是说,在用户产生标记3115被设置为“1”的情况中,将元数据310判断为可被使用。
在不存在用户产生标记3115的情况中,也就是说,在用户产生标记3115被设置为“0”的情况中,不能够使用元数据310。
同样,作为步骤S201的判断结果,在“对于由用户产生的元数据控制是不可能的”的情况中,不能够使用元数据310。
通过上述处理,基于控制许可信息4148和移动范围指定信息4149,能够判断由用户产生的元数据的使用许可。
根据本实施例,移动范围指定信息4149是指示“对于由用户产生的元数据控制是可能的”或“对于由用户产生的元数据控制是不可能的”的标记。在移动范围指定信息4149是“对于由用户产生的元数据控制是可能的”的情况中,通过使用域密钥112来加密由用户产生的元数据,由用户产生的元数据的移动范围被限制于由用户所拥有的一个或多个终端装置。然而,诸如移动频率和移动期满日期那样的使用规则可以存储为移动范围指定信息4149,并且可以通过由该一个或多个终端装置60产生的加密密钥来加密由用户产生的元数据。同样,在由用户产生的元数据的包括加密密钥的许可证中,通过设置存储为移动范围指定信息4149的诸如移动频率和移动期满日期那样的使用规则,可以限制移动。在上述情况中,通过存储为移动范围指定信息4149的移动频率和移动期满日期来限制由用户产生的元数据的移动范围。
公共密钥签名的验证需要长的处理时间。使用公共密钥重复验证已验证过的元数据是效率很差的。所以,在对于由用户产生的元数据控制是可能的情况中,也就是说,在内容提供者许可的情况下,通过将判断为可被使用的正常元数据视为由用户产生的元数据,能够省略签名验证处理。所以,处理时间能够减少很多。
以下,将说明在上述判断处理中将元数据310判断为可被使用的情况下所执行的处理。
首先,将说明具有强制参考元数据的内容的使用处理。
该一个或多个终端装置60根据许可证410的使用规则414,检测是否存在元数据的参考指定信息4146。在不存在参考指定信息4146的情况下,启动加密内容210的使用。在存在参考指定信息4146的情况下,获取参考指定信息4146。并且,从参考指定信息4146所包括的元数据ID中获取将被参考的元数据。在元数据的使用许可判断中将元数据判断为可被使用的情况下,在参考元数据中启动内容的使用。在不能够获得将被参考的元数据的情况下,以及在元数据的使用许可判断中将元数据判断为不可被使用的情况下,不能够使用内容。
根据本实施例,参考指定信息4146是元数据ID。然而,参考指定信息4146可以是元数据签名人ID 312。
根据本实施例,参考指定信息4146是元数据ID。然而,例如,在加密内容210和元数据310都被传输到该一个或多个终端装置60,并且加密内容210和元数据310彼此相关联的情况下,参考指定信息4146可以是标识参考或不参考上述加密内容210和元数据310的标记。
该一个或多个终端装置60从许可证410的使用规则414中获得元数据的修订许可信息4147,并且判断是为“元数据可修订”或“元数据不可修订”。
在元数据的修订许可信息4147是“元数据不可修订”的情况中,不能够修订包括元数据主体311中的加密内容210的内容ID 211的元数据310。
在元数据的修订许可信息4147是“元数据可修订”的情况中,根据用户的操作,修订包括元数据主体311中的加密内容210的内容ID 211的元数据310。包括已修订的元数据310的再次数字签名请求被传输到元数据签名人ID 312的签名人。并且,元数据签名人ID 312的签名人接收再次数字签名的元数据310。
根据本实施例,修订许可信息4147是指示“元数据可修订”或“元数据不可修订”之一的标记。然而,修订许可信息4147可以是可修订元数据310的元数据ID。在上述情况中,仅将由修订许可信息4147指定的元数据判断为可被修订。
同样,修订许可信息4147可以是不可修订元数据310的元数据ID。在上述情况中,仅将由修订许可信息4147指定的元数据310判断为不可被修订。
根据本实施例,在修订元数据310之后,由元数据签名人ID 312的签名人再次对元数据310进行数字签名。然而,在该一个或多个终端装置60具有公共密钥、秘密密钥和公共密钥证书的情况中,该一个或多个终端装置60可以对元数据310进行数字签名。
尽管仅详细地描述了本发明的示例性实施例,但是本领域的技术人员应当明白,在实质上没有脱离该发明的新颖性教导和优点的情况下,该示例性实施例可以进行许多变型。因此,所有这些变型被确定为包含于该发明的范围内。
工业应用
根据本实施例的内容分发系统1能够通过内容分发服务器20来控制元数据310的使用,并作为内容分发系统是有益处的,其能够通过内容分发服务器20排除不想要的低可靠性的元数据。