DE60132552T2 - Inhaltsliefersystem und Inhaltslieferverfahren - Google Patents

Inhaltsliefersystem und Inhaltslieferverfahren Download PDF

Info

Publication number
DE60132552T2
DE60132552T2 DE60132552T DE60132552T DE60132552T2 DE 60132552 T2 DE60132552 T2 DE 60132552T2 DE 60132552 T DE60132552 T DE 60132552T DE 60132552 T DE60132552 T DE 60132552T DE 60132552 T2 DE60132552 T2 DE 60132552T2
Authority
DE
Germany
Prior art keywords
key
content
server
user device
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60132552T
Other languages
English (en)
Other versions
DE60132552D1 (de
Inventor
Kenji Yoshino
Yoshihito Ishibashi
Toru Akishita
Taizo Shirai
Makoto Oka
Masaharu Yoshimori
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Interactive Entertainment Inc
Sony Corp
Original Assignee
Sony Corp
Sony Computer Entertainment Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp, Sony Computer Entertainment Inc filed Critical Sony Corp
Application granted granted Critical
Publication of DE60132552D1 publication Critical patent/DE60132552D1/de
Publication of DE60132552T2 publication Critical patent/DE60132552T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf ein Inhaltsliefersystem und Inhaltslieferverfahren. Insbesondere bezieht sich die vorliegende Erfindung auf ein Inhaltsliefersystem und ein Inhaltslieferverfahren, bei denen eine Inhaltstransaktion zwischen einer Einheit, welche einen Inhalt bereitstellt, und einer Einheit, welche den Inhalt empfängt, in einer verbesserten Weise durchgeführt wird, um hohe Sicherheit zu erzielen. Hier wird der Ausdruck "System" dazu verwendet, eine logische Sammlung mehrerer Einrichtungen zu beschreiben, und es nicht notwendigerweise erforderlich, dass die mehreren Einrichtungen in einem einzigen Gehäuse untergebracht sind.
  • Hintergrund der Erfindung
  • Es ist nunmehr sehr populär, verschiedene Arten an Softwaredaten, beispielsweise ein Spielprogramm, Audiodaten, Bilddaten und ein Dokumenterzeugungsprogramm (anschließend werden diese Daten als Inhalt bezeichnet) über ein Netzwerk, beispielsweise das Internet, zu verteilen. Es ist außerdem populär, eine kommerzielle Transaktion und eine Begleichung, beispielsweise Online-Einkaufen, eine Bankkonto-Rechnungsbegleichung oder Kartenverkäufe über ein Netzwerk durchzuführen.
  • Bei der Datenkommunikation über ein Netzwerk werden für diesen Zweck Daten allgemein nach Bestätigung übertragen, ob ein Sender von Daten oder ein Empfänger von Daten ein berechtigter Sender oder Empfänger ist, um Sicherheit zu erzielen. Ein bekanntes Verfahren zum Erlangen von Sicherheit bei der Übertragung von Daten besteht darin, die Daten nach dem Verschlüsseln der Daten zu übertragen. Ein weiteres Verfahren ist es, eine digitale Signatur auf die Daten zu schreiben.
  • Die verschlüsselten Daten können in ihre Ursprungsform (Klarschrift) umgesetzt werden, indem ein vorgegebener Entschlüsselungsprozess hinsichtlich der verschlüsselten Daten durchgeführt wird. Das Datenverschlüsselungs- und Entschlüsselungsverfahren, bei dem die Information unter Verwendung eines Verschlüsselungsschlüssels verschlüsselt wird und unter Verwendung eines Entschlüsselungsschlüssels entschlüsselt wird, ist durch die den Standard der Technik bekannt.
  • Verschiedene Verschlüsselungs- und Entschlüsselungsverfahren sind unter Verwendung eines Verschlüsselungsschlüssels und eines Entschlüsselungsschlüssels durch den Stand der Technik bekannt. Ein derartiges Verfahren ist die öffentliche Schlüsselkryptographie. Bei der öffentlichen Schlüsselkryptographie verwenden ein Sender und ein Empfänger unterschiedliche Schlüssel, wobei einer der Schlüssel ein öffentlicher Schlüssel ist, der durch einen nicht spezifizierten Benutzer erlaubt ist, und der andere Schlüssel ein Geheimschlüssel ist, der geheim gehalten wird. Beispielsweise wird ein öffentlicher Schlüssel als Datenverschlüsselungsschlüssel verwendet, und ein Geheimschlüssel wird als Entschlüsselungsschlüssel verwendet. Ein weiteres Beispiel ist, dass ein Geheimschlüssel als ein Beglaubigungserzeugungsschlüssel verwendet wird und ein öffentlicher Schlüssel als ein Beglaubigungsverifikationsschlüssel (Berechtigungsverifikationsschlüssel) verwendet wird.
  • Der relevante Stand der Technik ist folgender: US-A 5 673 316 , welche die Verwendung von Krypotographie-Hüllen offenbart, um Zugriff auf digitale Dokumente zu bilden, zu verkaufen und zu steuern; "Safeguarding Digital Library Contents and Users – Protecting Documents Rather Than Channels" U. Kohl, J. Lotspiech and M. A. Kaplan, D-Lib Magazine, September 1997 (URL: http: www.dlib.org/dlib/september97/ibm/O9lotspiech.html), welche die Verwendung von sicheren Behältern und Krypotographie-Hüllen offenbart, um digitalen Inhalt zu verwalten und zu sichern; "Jitsuyou-ki no heishin system chosaku-ken kanri ga kagi nigiru", NIKKAI ELECTRONICS, Nr. 738, 8. März 1999, Seite 94-98, welches die Verwendung von Copyright-Verwaltungsverfahren zusammen mit Rechnungsstellungsverfahren offenbart, um digitalen Online-Musikinhalt zu verwalten; und JP-A 11 191 092 , welche ein System offenbart, um den Status dezentralisierter Job-Anwendungen unter Verwendung eines Administratorendgeräts offenbart. Bei der öffentlichen Schlüsselkryptographie wird im Gegensatz zur allgemeinen Schlüsselkryptographie, bei der ein allgemeiner Schlüssel sowohl zur Verschlüsselung als auch zur Entschlüsselung verwendet wird, ein Geheimschlüssel, der geheim gehalten sein sollte, durch eine spezielle eine Person gehalten. Damit hat die öffentliche Schlüsselkryptographie den Vorteil, dass der Schlüssel leicht verwaltet werden kann. Bei der öffentlichen Schlüsselkryptographie ist jedoch die Datenverarbeitungsgeschwindigkeit im Vergleich zur allgemeinen Schlüsselkryptographie niedrig. Aufgrund der niedrigen Datenverarbeitungsgeschwindigkeit wird die öffentliche Schlüsselkryptographie hauptsächlich bei Anwendungen, beispielsweise einer digitalen Signatur oder Übertragung eines Geheimschlüssels verwendet, bei der eine kleine Datengröße benötigt wird. Ein repräsentatives Beispiel der öffentlichen Schlüsselkryptographie ist das RSA-Kryptosystem (Rivest-Shamir-Adelman). Bei diesem Verfahren wird ein Produkt von zwei sehr großen Primzahlen (beispielsweise Primzahlen mit 150 Stellen) verwendet, da es schwierig ist, das Produkt von zwei sehr großen Primzahlen (Primzahlen aus 150 Zeichen) in Primzahlen zu faktorisieren.
  • Bei der öffentlichen Schlüsselkryptographie wird es einer großen Anzahl nicht spezifizierten Benutzern erlaubt, den gleichen öffentlichen Schlüssel zu nutzen, und die Gültigkeit eines verteilten öffentlichen Schlüssels wird allgemein durch ein Zertifikat zertifiziert, welches als öffentliches Schlüsselzertifikat bezeichnet wird. Beispielsweise bildet ein Benutzer A ein Paar aus einem öffentlichen Schlüssel und einem Geheimschlüssel und sendet den gebildeten öffentlichen Schlüssel zu einer Zertifikatverwaltung, um ein öffentliches Schlüsselzertifikat von der Zertifikatverwaltung zu erlangen. Der Benutzer A öffnet das öffentliche Schlüsselzertifikat der Öffentlichkeit. Ein nicht spezifizierter Benutzer erwirbt den öffentlichen Schlüssel vom öffentlichen Schlüsselzertifikat über eine vorgegebene Prozedur und überträgt zum Benutzer A ein Dokument oder dgl., nachdem dies unter Verwendung des öffentlichen Schlüssels verschlüsselt wurde. Bei einem Empfang des Dokuments entschlüsselt der Benutzer A das empfangene Dokument unter Verwendung des Geheimschlüssels. Der Benutzer A kann außerdem seine Signatur, welche mit dem Geheimschlüssel verschlüsselt ist, an einem Dokument oder dgl anbringen., und der nicht spezifizierte Benutzer kann die Signatur unter Verwendung des öffentlichen Schlüssels verifizieren, der vom öffentlichen Schlüsselzertifikat über die vorgegebene Prozedur extrahiert wird.
  • Bei der öffentlichen Schlüsselkryptographie wird ein öffentliches Schlüsselzertifikat durch eine Zertifikatverwaltung (CA) oder einen Herausgeber (IA) herausgegeben, wenn als Antwort auf den Empfang einer ID und eines öffentlichen Schlüssels von einem Benutzer der Zertifikatverwaltung ein Zertifikat ausgibt, nachdem sie Information, beispielsweise eine ID der Zertifikatverwaltung und ein Gültigkeitsdauer hinzugefügt hat und außerdem eine Signatur der Zertifikatverwaltung hinzugefügt hat. Das öffentliche Schlüsselzertifikat besitzt Information über eine Versionsnummer des Zertifikats, eine serielle Nummer des Zertifikats, welches durch die Herausgeberverwaltung an den Benutzer des Zertifikats zugeteilt wird, einen Algorithmus und einen Parameter, welche bei der digitalen Signatur verwendet werden, einen Namen der Zertifikatsverwaltung, eine Gültigkeitsdauer des Zertifikats, einen Namen (Benutzer ID) des Benutzers des Zertifikats, einen öffentlichen Schlüssel des Benutzers des Zertifikats und eine digitale Signatur.
  • Die digitale Signatur sind Daten, welche durch Erzeugen eines Hash-Werts gebildet werden, indem eine Hash-Funktion auf alle Daten, die oben beschrieben wurden, mit Ausnahme für die digitale Signatur angewandt werden, d. h., die Versionsnummer des Zertifikats, die serielle Nummer des Zertifikats, welche durch die Zertifikatverwaltung dem Benutzer des Zertifikats zugeteilt wird, der Algorithmus und der Parameter, der bei der digitalen Signatur verwendet werden, den Namen der Zertifikatsberechtigung, die Gültigkeitsdauer des Zertifikats, der Namen des Benutzers des Zertifikats und der öffentliche Schlüssel des Benutzers des Zertifikats, und dann durch Verschlüsseln des resultierenden Hash-Werts unter Verwendung des Geheimschlüssels der Zertifikatsberechtigung.
  • Wenn ein Benutzer das öffentliche Schlüsselzertifikat verwendet, verifiziert der Benutzer die digitale Signatur des öffentlichen Schlüsselzertifikats unter Verwendung des öffentlichen Schlüssels der Zertifikatsverwaltung, welche der Benutzer hat, und der Benutzer extrahiert den öffentlichen Schlüssel vom öffentlichen Schlüsselzertifikat. Daher müssen alle Benutzer, welche wünschen, das öffentliche Schlüsselzertifikat zu verwenden, den allgemeinen öffentlichen Schlüssel der Zertifikatsverwaltung haben. Bei einem Datenübertragungssystem auf Basis der öffentlichen Schlüsselkryptographie überträgt unter Verwendung eines öffentlichen Schlüsselzertifikats, welche durch eine Zertifikatsverwaltung ausgegeben wird, beispielsweise ein Inhaltsbereitstellungsladen einen Inhalt zu einer Benutzereinrichtung nach Verschlüsseln des Inhalts unter Verwendung des öffentlichen Schlüssels der Benutzereinrichtung. Wenn die Benutzereinrichtung die verschlüsselten Daten vom Inhaltslieferladen empfängt, entschlüsselt die Benutzereinrichtung den verschlüsselten Inhalt unter Verwendung eines Geheimschlüssels entsprechend dem öffentlichen Schlüssel der Benutzereinrichtung.
  • Bei vielen praktischen Inhaltstransaktionen wird jedoch ein Inhalt einem Benutzer durch einen Inhaltslieferladen bereitgestellt, der weder ein Halter einer Lizenz des Inhalts noch ein Inhaltserzeuger ist, der das Copyright des Inhalts hat. In vielen Fällen liefert in dieser Situation der Inhaltsbereitstellungsladen den Inhalt zum Benutzer, ohne zu bestätigen, dass der Benutzer ein berechtigter Benutzer ist. Das heißt, in einigen Fällen wird der Inhalt an einen nicht berechtigten Benutzer geliefert oder verkauft. Bei dem oben beschriebenen Inhaltstransaktionssystem wird, obwohl eine Gebühr für einen Inhalt von der Benutzereinrichtung, der den Inhalt erworben hat, an den Inhaltslieferladen gezahlt wird, der den Inhalt verkauft hat, nicht sichergestellt, dass eine Lizenzgebühr an einen Lizenzhalter des Inhalts oder einen Inhaltserzeuger, der das Copyright des Inhalts hat, gezahlt wird. Bei vielen aktuellen Systemen bewertet der Inhaltslieferladen den Verkaufsbetrag und deklariert diesen, und es wird eine Lizenzgebühr vom Laden an einen Lizenzhalter oder einen Inhaltserzeuger bezahlt, der das Copyright eines Inhalts hat, auf Basis des Verkaufsbetrags, der durch den Inhaltslieferladen deklariert wird.
  • Das heißt, bei dem herkömmlichen Inhaltsliefersystem kann der Lizenzhalter oder der Inhaltserzeuger, der das Copyright des Inhalts hat, den aktuellen Verkaufsbetrag nicht kennen und er kann nicht wissen, ob der Inhalt in einer adäquaten Art verteilt wurde. Im Hinblick der Probleme beim herkömmlichen Inhaltsliefersystem ist es eine Aufgabe der vorliegenden Erfindung, ein Inhaltsliefersystem und ein Inhaltslieferverfahren bereitzustellen, welches es einem Lizenzhalter oder einem Inhaltshersteller erlauben, der das Copyright des Inhalts hat, eine genaue Information über eine aktuelle Inhaltstransaktion zu bekommen, welche zwischen einem Inhaltslieferladen und einem Benutzer durchgeführt wird, und welches zulässt, dass ein Inhalt verteilt wird, während das Copyright des Inhalts adäquat geschützt wird.
  • Überblick über die Erfindung
  • Gemäß einem ersten Merkmal der vorliegenden Erfindung wird ein Inhaltsliefersystem bereitgestellt, welches aufweist:
    eine Benutzereinrichtung, welche eine Inhaltserwerbsanforderung überträgt, wobei die Benutzereinrichtung eine Speichereinrichtung aufweist; einen Ladenserver, der die Inhaltserwerbsanforderung von der Benutzereinrichtung empfängt und der einen verschlüsselten Inhalt, der unter Verwendung eines Inhaltsschlüssels Kc verschlüsselt wurde, verwaltet und außerdem einen verschlüsselten Inhaltsschlüssel verwaltet, der durch einen Schlüssel, der in der Benutzereinrichtung gespeichert ist, nicht entschlüsselt werden kann; und einen Benutzereinrichtungs-Beglaubigungsserver zum Durchführen eines Schlüsselumsetzungsprozesses, um den verschlüsselten Inhaltsschlüssel in eine Form umzusetzen, welche unter Verwendung des Schlüssels, der in der Benutzereinrichtung gespeichert ist, entschlüsselt werden kann; wobei, wenn ein Prozess zum Belasten der Gebühr für den Inhalt, der durch die Benutzereinrichtung erworben wurde, beendet wurde, der verschlüsselte Inhaltsschlüssel, der durch den Benutzereinrichtungs-Beglaubigungsserver in die Form umgesetzt wurde, welche durch den Schlüssel entschlüsselt werden kann, welche in der Benutzereinrichtung gespeichert ist, durch den Ladenserver der Benutzereinrichtung bereitgestellt wird; wobei das System dadurch gekennzeichnet ist, dass die Benutzereinrichtung betriebsfähig ist, um: die Form des verschlüsselten Inhaltsschlüssels zu entschlüsseln, der unter Verwendung des Schlüssels entschlüsselt werden kann, der in der Benutzereinrichtung gespeichert ist, in Abhängigkeit davon, ob der Schlüssel in der Benutzereinrichtung gespeichert wurde, um einen entschlüsselten Inhaltsschlüssel zu erzeugen; den verschlüsselten Inhaltsschlüssel unter Verwendung eines Speicherschlüssels zu verschlüsseln, der mit der Benutzereinrichtung verknüpft ist, um einen verschlüsselten Inhaltsspeicherschlüssel zu erzeugen; und den verschlüsselten Inhaltsspeicherschlüssel in der Speichereinrichtung zu speichern.
  • Bei diesem Inhaltsliefersystem ist gemäß der Erfindung vorzugsweise der verschlüsselte Inhaltsschlüssel, der durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, nicht entschlüsselt werden kann, ein verschlüsselter Inhaltsschlüssel (KpDAS(Kc)), der unter Verwendung eines öffentlichen Schlüssels (KpDAS) des Benutzereinrichtungs-Beglaubigungsservers verschlüsselt wurde, und der Schlüsselumsetzungsprozess wird durch den Benutzereinrichtungs- Beglaubigungsserver (300) durchgeführt, so dass der verschlüsselte Inhaltsschlüssel (KpDAS(Kc)) unter Verwendung eines Geheimschlüssels (KsDAS) des Benutzereinrichtungs-Beglaubigungsservers entschlüsselt wird, um dadurch den Inhaltsschlüssel (Kc) zu erlangen, und danach der Inhaltsschlüssel (Kc) wiederum unter Verwendung des öffentlichen Schlüssels (KpDEV) der Benutzereinrichtung verschlüsselt wird, um dadurch einen verschlüsselten Inhaltsschlüssel (KpDEV(Kc)) zu erzeugen.
  • Bei diesem Inhaltsliefersystem gemäß der vorliegenden Erfindung empfängt vorzugsweise der Benutzereinrichtungs-Beglaubigungsserver von der Benutzereinrichtung den verschlüsselten Inhaltsschlüssel, der durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, nicht entschlüsselt werden kann, und der Benutzereinrichtungs-Beglaubigungsserver überträgt zum Ladenserver den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt wurde, welche unter Verwendung des Schlüssels, der in der Benutzereinrichtung gespeichert ist, entschlüsselt werden kann, und, wenn der Belastungsprozess abgeschlossen ist, überträgt der Ladenserver den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt wurde, welche durch den Schlüssel entschlüsselt werden kann, der in der Benutzereinrichtung gespeichert ist, zur Benutzereinrichtung.
  • Bei dem Inhaltliefersystem nach der Erfindung empfängt vorzugsweise der Benutzereinrichtungs-Beglaubigungsserver vom Ladenserver den verschlüsselten Inhaltsschlüssel, der durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, nicht entschlüsselt werden kann, und der Benutzereinrichtungs-Beglaubigungsserver überträgt den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche unter Verwendung des Schlüssels entschlüsselt werden kann, der in der Benutzereinrichtung gespeichert ist, zum Ladenserver, und, wenn der Belastungsprozess beendet ist, überträgt der Ladenserver den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche durch den Schlüssel entschlüsselt werden kann, der in der Benutzereinrichtung gespeichert ist, zur Benutzereinrichtung.
  • Vorzugsweise weist das Inhaltsliefersystem außerdem einen Inhaltslieferserver zum Liefern eines verschlüsselten Inhalts zur Benutzereinrichtung auf, wobei als Antwort auf das Empfangen einer Inhaltserwerbsanforderung von der Benutzereinrichtung der Ladenserver eine Inhaltslieferanforderung zum Inhaltslieferserver überträgt, und wobei als Antwort auf das Empfangen der Inhaltslieferanforderung vom Ladenserver der Inhaltslieferserver den verschlüsselten Inhalt zur Benutzereinrichtung überträgt. Bei dem Inhaltsliefersystem nach der vorliegenden Erfindung weisen vorzugsweise die Inhaltserwerbs-Anforderungsdaten, welche durch die Benutzereinrichtung erzeugt werden und zum Ladenserver übertragen werden, eine Laden-ID auf, welche einen Laden identifiziert, zu dem die Anforderungsdaten übertragen werden; eine Transaktions-ID, welche eine Inhaltstransaktion identifiziert; eine Inhalts-ID, welche einen Erwerbsanforderungs-Inhalt identifiziert; und eine digitale Signatur der Benutzereinrichtung; und der Ladenserver prüft, ob die Integrität von Daten beibehalten ist, indem die digitale Signatur, welche in die Inhaltserwerbs-Anforderungsdaten geschrieben ist, verifiziert wird; fügt einen neuen Eintrag für die Ladenverwaltungs-Datenbank auf Basis der Inhaltserwerbs-Anforderungsdaten hinzu; setzt Statusinformation, welche einen Prozessstatus zeigt, der mit dem hinzugefügten Eintrag verknüpft ist; und verwaltet einen Übergang einer Verarbeitungssequenz, die mit dem Laden verknüpft ist, auf Basis der Statusinformation.
  • Vorzugsweise fügt bei dem Inhaltsliefersystem nach der vorliegenden Erfindung, wenn der Benutzereinrichtungs-Beglaubigungsserver eine Schlüsselumsetzungsanforderung von der Benutzereinrichtung oder dem Ladenserver empfängt, der Benutzereinrichtungs-Beglaubigungsserver einen neuen Eintrag in die Datenbank, welche durch den Benutzereinrichtungs-Beglaubigungsserver verwaltet wird, setzt Statusinformation, welche einen Prozessstatus zeigt, der mit dem hinzugefügten Eintrag verknüpft ist, und verwaltet einen Übergang einer Verarbeitungssequenz, die mit dem Benutzereinrichtungs-Beglaubigungsserver verknüpft ist, auf Basis der Statusinformation.
  • Bei dem Inhaltsliefersystem nach der vorliegenden Erfindung ist vorzugsweise der Benutzereinrichtungs-Beglaubigungsserver betriebsfähig, den verschlüsselten Inhaltsschlüssel von der verschlüsselten Form, welche durch den Schlüssel nicht entschlüsselt werden kann, der in der Benutzereinrichtung gespeichert ist, in die Form umzusetzen, welche durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, entschlüsselt werden kann, als Antwort auf das Empfangen einer Schlüsselumsetzungsanforderung vom Ladenserver oder der Benutzereinrichtung; und der Benutzereinrichtungs-Beglaubigungsserver ist betriebsfähig, eine Digitalsignatur des Ladenservers oder eine Digitalsignatur der Benutzereinrichtung, welche in die Schlüsselumsetzungsanforderung geschrieben ist, zu verifizieren; und der Benutzereinrichtungs-Beglaubigungsserver ist betriebsfähig, die Schlüsselumsetzung durchzuführen, wenn die Verifikation zeigt, dass die Schlüsselumsetzungsanforderung gültig ist.
  • Bei dem Inhaltsliefersystem nach der vorliegenden Erfindung ist vorzugsweise der Ladenserver betriebsfähig, den Inhaltsschlüssel zu speichern, der verwendet wird, den Inhalt in einer Weise zu verschlüsseln, dass der Inhaltsschlüssel, der verwendet wird, den Inhalt zu verschlüsseln, in die Form verschlüsselt wird, welche durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, nicht entschlüsselt werden kann; und wenn der Belastungsprozess als Antwort auf eine Inhaltserwerbsanforderung, welche durch die Benutzereinrichtung ausgegeben wird, erfolgreich abgeschlossen ist, ist der Ladenserver betriebsfähig, den verschlüsselten Inhaltsschlüssel, der über den Schlüsselumsetzungsprozess erzeugt wurde, der durch den Benutzereinrichtungs-Beglaubigungsserver durchgeführt wurde, zur Benutzereinrichtung zu übertragen.
  • Bei dem Inhaltsliefersystem nach der vorliegenden Erfindung weist vorzugsweise der Ladenserver einen Inhaltslieferserver auf, um einen verschlüsselten Inhalt zu liefern. Bei dem Inhaltsliefersystem nach der vorliegenden Erfindung weist vorzugsweise das System eine Inhaltwiedergabeeinrichtung auf, die betriebsfähig ist, eine Inhaltserwerbsanforderung zu erzeugen, diese zu einem Ladenserver zu übertragen und einen Inhalt wiederzugeben, wobei die Inhaltswiedergabeeinrichtung betriebsfähig ist, den Inhaltsschlüssel durch Durchführen eines Prozesses zu erwerben, der folgende Schritte umfasst: Empfangen – über den Ladenserver – des verschlüsselten Inhaltsschlüssels, der über den Schlüsselumsetzungsprozess, der durch den Benutzereinrichtungs-Beglaubigungsserver durchgeführt wurde, erzeugt wurde; Verifizieren von Signaturen, welche in den empfangenen verschlüsselten Inhaltsschlüsseldaten enthalten sind, des Ladenservers und des Benutzereinrichtungs-Beglaubigungsservers; und wenn die Verifikation zeigt, dass die Daten nicht damit verfälscht sind, Extrahieren des verschlüsselten Inhaltsschlüssels von den empfangenen verschlüsselten Inhaltsschlüsseldaten, um dadurch den Inhaltschlüssel zu erwerben. Gemäß einem fünften Merkmal der vorliegenden Erfindung wird ein Inhaltslieferverfahren bereitgestellt zum Liefern von Inhalt zu einer Benutzereinrichtung, welche eine Speichereinrichtung umfasst, wobei das Verfahren folgende Schritte umfasst: Übertragen einer Inhaltserwerbsanforderung von der Benutzereinrichtung zu einem Ladenserver; Empfangen – im Ladenserver – der Inhaltserwerbsanforderung von der Benutzereinrichtung; in einem Benutzereinrichtungs-Beglaubigungsserver, Umsetzen eines verschlüsselten Inhaltsschlüssels in einer Form, welche durch einen Schlüssel, der in der Benutzereinrichtung gespeichert ist, in einen verschlüsselten Inhaltsschlüssel in eine Form, nicht entschlüsselt werden kann, welche durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, verschlüsselt werden kann; und, wenn die Benutzereinrichtung einen Belastungsprozess in Verbindung mit dem Erwerb eines Inhalts beendet hat, Bereitstellen – vom Ladenserver zur Benutzereinrichtung – des verschlüsselten Inhaltsschlüssels, der durch den Benutzereinrichtungs-Beglaubigungsserver in die Form umgesetzt wurde, welche durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, entschlüsselt werden kann; wobei das Verfahren gekennzeichnet ist durch die Schritte: Entschlüsseln der Form des verschlüsselten Inhaltsschlüssels, der unter Verwendung des Schlüssels entschlüsselt werden kann, der in der Benutzereinrichtung gespeichert ist, in Abhängigkeit von dem Schlüssel, der in der Benutzereinrichtung gespeichert ist, um einen entschlüsselten Inhaltsschlüssel zu erzeugen; Verschlüsseln des entschlüsselten Inhaltsschlüssels unter Verwendung eines Speicherschlüssels, der mit der Benutzereinrichtung verknüpft ist, um einen verschlüsselten Inhaltsspeicherschlüssel zu erzeugen; und Speichern des verschlüsselten Inhaltsspeicherschlüssels in der Speichereinrichtung.
  • Bei dem Inhaltsverfahren nach der vorliegenden Erfindung ist vorzugsweise der verschlüsselte Inhaltsschlüssel, der in der Form verschlüsselt ist, welche nicht durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, entschlüsselt werden kann, ein verschlüsselter Inhaltsschlüssel (KpDAS(Kc)), der unter Verwendung eines öffentlichen Schlüssels (KpDAS) des Benutzereinrichtungs-Beglaubigungsservers (300) verschlüsselt ist; und der Benutzereinrichtungs-Beglaubigungsserver führt die Schlüsselumsetzung so durch, dass der verschlüsselte Schlüssel (KpDAS(Kc)) unter Verwendung eines Geheimschlüssels (KpDAS) des Benutzereinrichtungs-Beglaubigungsservers entschlüsselt wird und dann wiederum unter Verwendung eines öffentlichen Schlüssels (KpDEV) der Benutzereinrichtung (200) verschlüsselt wird, um dadurch den verschlüsselten Inhaltsschlüssel (KpDEV(Kc)) zu erzeugen. Bei dem Inhaltslieferverfahren nach der vorliegenden Erfindung empfängt vorzugsweise der Benutzereinrichtungs-Beglaubigungsserver von der Benutzereinrichtung den verschlüsselten Inhaltsschlüssel, der durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, nicht entschlüsselt werden kann, und der Benutzereinrichtungs-Beglaubigungsserver überträgt zum Ladenserver den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche entschlüsselt werden kann, wobei der Schlüssel, der in der Benutzereinrichtung gespeichert ist, verwendet wird, und, wenn der Belastungsprozess beendet ist, überträgt der Ladenserver den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt wurde, welche durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, entschlüsselt werden kann, zur Benutzereinrichtung.
  • Bei dem Inhaltslieferverfahren nach der vorliegenden Erfindung empfängt vorzugsweise der Benutzereinrichtungs-Beglaubigungsserver vom Ladenserver den verschlüsselten Inhaltsschlüssel, der durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, nicht entschlüsselt werden kann, und der Benutzereinrichtungs-Beglaubigungsserver überträgt den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche unter Verwendung des Schlüssels entschlüsselt werden kann, der in der Benutzereinrichtung gespeichert ist, zum Ladenserver; und, wenn der Belastungsprozess beendet ist, überträgt der Ladenserver den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, entschlüsselt werden kann, zur Benutzereinrichtung.
  • Bei dem Inhaltslieferverfahren nach der vorliegenden Erfindung weisen vorzugsweise die Inhaltserwerbs-Anforderungsdaten, welche durch die Benutzereinrichtung erzeugt werden und welche zum Ladenserver übertragen werden, eine Laden-ID, welche einen Laden identifiziert, zu dem die Anforderungsdaten übertragen werden; eine Transaktions-ID, welche eine Inhaltstransaktion identifiziert; eine Inhalts-ID, welche einen Erwerbsanforderungsinhalt identifiziert; und eine digitale Signatur der Benutzereinrichtung auf; wobei der Ladenserver prüft, ob Datenintegrität beibehalten ist, indem die Datensignatur, welche in die Inhaltserwerbs-Anforderungsdaten geschrieben ist, verifiziert wird; einen neuen Eintrag der Ladenverwaltungsdatenbank auf Basis der Inhaltserwerbs-Anforderungsdaten hinzufügt; Statusinformation, welche einen Prozessstatus zeigen, der mit dem hinzugefügten Eintrag verknüpft ist, setzt; und einen Übergang einer Prozesssequenz, die mit dem Laden verknüpft ist, auf Basis der Statusinformation verwaltet.
  • Bei dem Inhaltslieferverfahren nach der vorliegenden Erfindung fügt vorzugsweise, wenn der Benutzereinrichtungs-Beglaubigungsserver eine Schlüsselumsetzungsanforderung von der Benutzereinrichtung oder den Ladenserver empfängt, der Benutzereinrichtungs-Beglaubigungsserver einen neuen Eintrag einer Datenbank hinzu, welche durch den Benutzereinrichtungs-Beglaubigungsserver verwaltet wird, setzt Statusinformation, welche einen Prozessstatus zeigt, die mit dem hinzugefügten Eintrag verknüpft ist, und verwaltet einen Übergang einer Prozesssequenz, die mit dem Benutzereinrichtungs-Beglaubigungsserver verknüpft ist, auf Basis der Statusinformation.
  • Vorzugsweise wird ein Datenträger bereitgestellt, der computer-lesbare Instruktionen umfasst, welche, wenn diese durch den Computer ausgeführt werden, veranlassen, dass der Computer das Inhaltslieferverfahren gemäß der vorliegenden Erfindung ausführt. Der Datenträger ist nicht auf eine besondere Art begrenzt, sondern es können verschiedene Arten an Medien, beispielsweise ein Speichermedium, wie eine CD, FD oder MD oder ein Übertragungsmedium, beispielsweise ein Netzwerk, verwendet werden. Der Datenträger definiert eine zusammenwirkende Beziehung in Struktur oder Funktion, um ein Funktion eines bestimmten Computerprogramms auf einem Computersystem zu realisieren, zwischen dem Computerprogramm und dem Speichermedium. Das heißt, durch Installieren eines bestimmten Computerprogramms auf einem Computersystem über einen Datenträger wird es möglich, einen zusammenwirkenden Betrieb auf dem Computersystem zu erreichen, um dadurch Funktionen ähnlich denen zu erzielen, welche durch die anderen Merkmale der vorliegenden Erfindung erreicht werden.
  • Die vorliegende Erfindung wird aus der folgenden ausführlichen Beschreibung von Ausführungsformen unter Bezug auf die beiliegenden Zeichnungen deutlicher.
  • Kurzbeschreibung der Zeichnungen
  • 1 ist ein Diagramm, welches ein Inhaltsliefersystem und einen Inhaltslieferprozess gemäß der vorliegenden Erfindung zeigt;
  • 2 ist ein Diagramm, welches den Aufbau eines Ladenservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 3 ist ein Diagramm, welches den Datenaufbau einer Erwerbsverwaltungs-Datenbank des Ladenservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 4 ist ein Diagramm, welches den Aufbau einer Steuereinrichtung des Ladenservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 5 ist ein Diagramm, welches den Aufbau eines Benutzereinrichtungs-Berechtigungsservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 6 ist ein Diagramm, welches den Aufbau einer Lizenzverwaltungs-Datenbank des Benutzereinrichtungs-Berechtigungsservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 7 ist ein Diagramm, welches den Aufbau einer Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 8 ist ein Diagramm, welches den Aufbau einer Erwerbsverwaltungs-Datenbank der Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 9 ist ein Diagramm, welches eine Weise zum Liefern öffentlicher Schlüsselzertifikate im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 10 ist ein Diagramm, welches einen Signaturerzeugungsprozess zeigt, der in einem Inhaltsliefersystem gemäß der vorliegenden Erfindung angewandt werden kann;
  • 11 ist ein Diagramm, welches einen Signaturverifizierungsprozess zeigt, welcher im Inhaltsliefersystem gemäß der vorliegenden Erfindung angewandt werden kann;
  • 12 ist ein Diagramm, welches einen wechselseitigen Berechtigungsprozess (unter Verwendung symmetrischer Schlüssel) zeigt, der bei dem Inhaltsliefersystem gemäß der vorliegenden Erfindung angewandt werden kann;
  • 13 ist ein Diagramm, welches einen wechselseitigen Berechtigungsprozess (unter Verwendung asymmetrischer Schlüssel) zeigt, der in dem Inhaltsliefersystem gemäß der vorliegenden Erfindung angewandt werden kann;
  • 14 ist ein Diagramm, welches Datenstrukturen von Daten zeigt, welche zwischen Einheiten im Inhaltsliefersystem gemäß der vorliegenden Erfindung übertragen werden;
  • 15 ist ein Diagramm, welches einen Signaturverifizierungsprozess zeigt, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung angewandt werden kann;
  • 16 ist ein Diagramm, welches einen Schlüsselumsetzungsprozess zeigt, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird;
  • 17 ist ein Diagramm, welches Datenstrukturen von Daten zeigt, welche zwischen Einheiten im Inhaltsliefersystem gemäß der vorliegenden Erfindung übertragen werden;
  • 18 ist ein Diagramm, welches Datenstrukturen von Daten zeigt, welche zwischen Einheiten im Inhaltsliefersystem gemäß der vorliegenden Erfindung übertragen werden;
  • 19 ist ein Diagramm, welches einen Inhaltsschlüssel-Speicherprozess zeigt, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird;
  • 20 ist ein Diagramm, welches die Statusübergänge des Ladenservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 21 ist ein Diagramm, welches die Statusübergänge der Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 22 ist ein Diagramm, welches die Statusübergänge des Benutzereinrichtungs-Berechtigungsservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 23 ist ein Diagramm, welches den Prozessfluss (Teil 1) zwischen dem Ladenserver und der Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 24 ist ein Diagramm, welches den Prozessfluss (Teil 2) zwischen dem Ladenserver und der Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 25 ist ein Diagramm, welches den Prozessfluss zwischen dem Benutzereinrichtungs-Berechtigungsserver und Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 26 ist ein Diagramm, welches den Prozessfluss zwischen dem Benutzereinrichtungs-Berechtigungsserver und dem Ladenserver im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 27 ist ein Diagramm, welches den Prozessfluss (Teil 1) zwischen dem Ladenserver und der Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 28 ist ein Diagramm, welches den Prozessfluss (Teil 2) zwischen dem Ladenserver und der Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 29 ist ein Diagramm, welches einen Inhaltslieferprozess zeigt, der in einem modifizierten Inhaltsliefersystem durchgeführt wird, bei dem ein Inhaltslieferserver verwendet wird, gemäß der vorliegenden Erfindung;
  • 30 ist ein Diagramm, welches einen Inhaltslieferprozess zeigt, der in einem modifizierten Inhaltsliefersystem durchgeführt wird, bei dem ein Inhaltslieferserver verwendet wird, gemäß der vorliegenden Erfindung;
  • 31 ist ein Diagramm, welches einen Inhaltslieferprozess zeigt, der in einem modifizierten Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird;
  • 32 ist ein Diagramm, welches Datenstrukturen von Daten zeigt, welche zwischen Einheiten im Inhaltsliefersystem gemäß der vorliegenden Erfindung übertragen werden;
  • 33 ist ein Diagramm, welches Datenstrukturen von Daten zeigt, welche zwischen den Einheiten im Inhaltsliefersystem gemäß der vorliegenden Erfindung übertragen werden;
  • 34 ist ein Diagramm, welches Datenstrukturen von Daten zeigt, welche zwischen Einheiten im Inhaltsliefersystem gemäß der vorliegenden Erfindung übertragen werden;
  • 35 ist ein Diagramm, welches einen Inhaltslieferprozess zeigt, bei dem eine Berechtigung nicht durchgeführt wird, gemäß der vorliegenden Erfindung;
  • 36 ist ein Diagramm, welches eine Modifikation des Inhaltslieferprozesses, bei dem wechselseitige Berechtigung nicht durchgeführt wird, gemäß der vorliegenden Erfindung zeigt;
  • 37 ist ein Diagramm, welches einen Inhaltslieferprozess zeigt, bei dem eine elektronische Karte verwendet wird, gemäß der vorliegenden Erfindung;
  • 38 ist ein Diagramm, welches den Aufbau eines Kartenausgabeservers bei dem Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 39 ist ein Diagramm, welches eine Kartenausgabe-Verwaltungsdatenbank des Kartenausgabeservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 40 ist ein Diagramm, welches Erwerbsverwaltungsdatenbank der Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 41 ist ein Diagramm, welches eine Lizenzverwaltungs-Datenbank des Benutzereinrichtungs-Berechtigungsservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 42 ist ein Diagramm, welches den Aufbau eines Inhaltslieferservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 43 ist ein Diagramm, welches eine Lieferverwaltungs-Datenbank des Inhaltslieferservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 44 ist ein Diagramm, welches den Aufbau eines Kartenaustauschservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 45 ist ein Diagramm, welches eine Kartenaustausch-Verwaltungsdatenbank des Kartenausgabeservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 46 ist ein Diagramm, welches Datenstrukturen von Daten zeigt, welche zwischen den Einheiten im Inhaltsliefersystem gemäß der vorliegenden Erfindung übertragen werden;
  • 47 ist ein Diagramm, welches Datenstrukturen von Daten zeigt, welche zwischen Einheiten im Inhaltsliefersystem gemäß der vorliegenden Erfindung übertragen werden;
  • 48 ist ein Diagramm, welches Statusübergänge des Kartenausgabeservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 49 ist ein Diagramm, welches die Statusübergänge des Benutzereinrichtungs-Berechtigungsservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 50 ist ein Diagramm, welches die Statusübergänge des Inhaltslieferservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 51 ist ein Diagramm, welches die Statusübergänge der Benutzereinrichtung im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 52 ist ein Diagramm, welches die Statusübergänge des Kartenaustauschservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 53 ist ein Diagramm, welches ein spezifisches Beispiel eines Inhaltslieferprozesses zeigt, bei dem eine elektronische Karte verwendet wird, gemäß der vorliegenden Erfindung;
  • 54 ist ein Diagramm, welches einen Inhaltslieferprozess zeigt, bei dem ein Protokollaufzeichnungsserver verwendet wird, gemäß der vorliegenden Erfindung;
  • 55 ist ein Diagramm, welches ein Beispiel der Datenstruktur eines Erwerbsprotokolls im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 56 ist ein Diagramm, welches den Aufbau eines Protokollaufzeichnungsservers im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 57 ist ein Diagramm, welches den Prozessfluss (Teil 1) zwischen der Benutzereinrichtung und dem Ladenserver im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 58 ist ein Diagramm, welches den Prozessfluss (Teil 2) zwischen der Benutzereinrichtung und dem Ladenserver im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 59 ist ein Diagramm, welches ein Beispiel eines Formats von Erwerbsanforderungsdaten und ein Beispiel eines Formats von Verkaufsdaten im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 60 ist ein Diagramm, welches einen Prozess zum Erzeugen eines Integritätsprüfwerts (ICV) zeigt, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung angewandt werden kann;
  • 61 ist ein Diagramm, welches den Prozessfluss (Teil 1) zwischen der Benutzereinrichtung und dem Protokollaufzeichnungsserver im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 62 ist ein Diagramm, welches den Prozessfluss (Teil 2) zwischen der Benutzereinrichtung und dem Protokollaufzeichnungsserver im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 63 ist ein Diagramm, welches den Prozessfluss zwischen dem Inhaltsanbieter und dem Protokollaufzeichnungsserver im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 64 ist ein Diagramm, welches den Prozessfluss zwischen dem Ladenserver und dem Protokollaufzeichnungsserver im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 65 ist ein Diagramm, welches den Prozessfluss zwischen dem Ladenserver und dem Protokollaufzeichnungsserver im Inhaltsliefersystem gemäß der vorliegenden Erfindung zeigt;
  • 66 ist ein Diagramm, welches Attributinformation zeigt, welche im Inhaltsliefersystem gemäß der vorliegenden Erfindung angewandt wird;
  • 67 ist ein Diagramm, welches ein öffentliches Schlüsselzertifikat zeigt, welche Attributinformation umfasst, welche in dem Inhaltsliefersystem, welche dem Inhaltsliefersystem gemäß der vorliegenden Erfindung angewandt werden kann;
  • 68 ist ein Diagramm, welches ein öffentliches Schlüsselzertifikat und ein Attributzertifikat zeigt, welche im Inhaltsliefersystem gemäß der vorliegenden Erfindung angewandt werden können;
  • 69 ist ein Diagramm, welches einen Prozess zum neuen Ausgeben eines öffentlichen Schlüsselzertifikats zeigt, welches im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird;
  • 70 ist ein Diagramm, welches einen Prozess zum Aktualisieren eines öffentlichen Schlüsselzertifikats zeigt, welches im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird;
  • 71 ist ein Diagramm, welches einen Prozess zum neuen Ausgeben einer Attributinformation zeigt, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird;
  • 72 ist ein Diagramm, welches einen Inhaltslieferprozess zeigt, der einen Schritt zum Prüfen eines Attributs umfasst, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird;
  • 73 ist ein Diagramm, welches einen gegenseitigen Berechtigungsprozess zeigt, der einen Schritt aufweist, um ein Attribut zu prüfen, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird;
  • 74 ist ein Diagramm, welches einen Inhaltslieferprozess zeigt, der einen Schritt zum Prüfen eines Attributs umfasst, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird;
  • 75 ist ein Diagramm, welches einen Datenverifikationsprozess zeigt, der einen Schritt zum Prüfen eines Attributs aufweist, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird; und
  • 76 ist ein Diagramm, welches einen Datenverifizierungsprozess zeigt, der einen Schritt aufweist, um ein Attribut zu prüfen, der im Inhaltsliefersystem gemäß der vorliegenden Erfindung durchgeführt wird.
  • Beschreibung der bevorzugten Ausführungsformen
  • Die vorliegende Erfindung wird weiter ausführlich mit Hilfe der bevorzugten Ausführungsformen in Verbindung mit den beiliegenden Zeichnungen beschrieben.
  • Die Beschreibung wird hinsichtlich der folgenden Posten angegeben:
    • 1. Verwaltung der Lieferung von Inhalt mittels verschlüsselter Inhaltsschlüsselumsetzung 1.1 Systemkonfiguration: Bassinhalts-Liefermodell 1 1.2 Modifikation des Basisinhalts-Liefermodells 1 1.3 Basisinhalts-Liefermodell 2
    • 2. Inhaltsliefermodell unter Verwendung einer elektronischen Karte
    • 3. Verwaltung der Lieferung von Inhalt unter Verwendung eines Protokollaufzeichnungsservers
    • 4. Verwendung eines Attributzertifikats oder eines öffentlichen Schlüsselzertifikats einschließlich von Attributdaten
  • 1. Verwaltung der Lieferung von Inhalt mittels verschlüsselter Inhaltsschlüsselumsetzung
  • 1.1 Systemkonfiguration: Basisinhalt-Liefermodell 1
  • 1 ist ein Diagramm, welches ein Inhaltsliefersystem und ein Inhaltslieferverfahren gemäß einer Ausführungsform der vorliegenden Erfindung zeigt. Hier wird der Ausdruck "System" verwendet, eine logische Sammlung mehrerer Einrichtung zu beschreiben, und es nicht notwendigerweise erforderlich, dass die mehreren Einrichtungen in einem einzigen Gehäuse angeordnet sind.
  • Im Inhaltsliefersystem, welches in 1 gezeigt ist, sind die Hauptteile ein Ladenserver 100, der einen Inhalt zu einer Benutzereinrichtung liefert, die Benutzereinrichtung 200, welche den Inhalt von Ladenserver 100 empfängt und ein Benutzereinrichtungs-Berechtigungsserver 300, der als Verwaltungsserver dient, um Inhaltstransaktionen genau zu verwalten. Es sei angemerkt, dass, obwohl lediglich ein Ladenserver 100, eine Benutzereinrichtung 200 und ein Benutzereinrichtungs-Berechtigungsserver 300 in 1 gezeigt sind, ein praktisches System mehrere dieser Einrichtungen aufweisen kann. Bei diesem tatsächlichen System wird die Information längs unterschiedlicher Wege in Abhängigkeit von einer spezifischen Inhaltstransaktion übertragen. Das heißt, dass 1 eines der Beispiele von Datenflüssen bei einer Inhaltstransaktion zeigt.
  • Ladenserver
  • 2 zeigt den Aufbau des Ladenservers 100 im Inhaltsliefersystem, welches in 1 gezeigt ist. Der Ladenserver 100 hat eine Inhaltsdatenbank 110, in welcher verschlüsselte Inhaltsdaten Kc(Inhalt), welche durch Verschlüsseln eines Inhalts erlangt werden, der zu verkaufen ist, unter Verwendung eines Inhaltsschlüssels und eines Verschlüsselungsinhaltsschlüssels KpDAS(Kc), die durch Verschlüsseln des Inhaltsschlüssels Kc erlangt werden, wobei ein öffentlicher Schlüssel KpDAS des Benutzereinrichtungs-Beglaubigungsservers (DAS) erlangt werden, gespeichert sind. Wie in 2 gezeigt ist, sind alle verschlüsselten Inhaltsdaten Kc(Inhalt) einem Inhaltsidentifizierer (ID) zugeteilt, so dass alle verschlüsselten Inhaltsdaten Kc(Inhalt) durch die zugeteilte Inhalts-ID identifiziert werden können.
  • Der Ladenserver 100 weist außerdem eine Verkaufsverwaltungs-Datenbank 120 auf, um Inhaltsverkaufs-Verwaltungsdaten zu speichern, einschließlich beispielsweise einer Inhalts-ID und eines Identifizierers einer Benutzereinrichtung, an die ein Inhalt, der durch die Inhalts-ID gezeigt wird, verkauft wird. Der Ladenserver 100 umfasst außerdem eine Steuereinrichtung 130, um einen Inhalt, der einer Benutzereinrichtung bereitzustellen ist, von der Inhaltdatenbank 110 zu extrahieren, welche Verkaufsdaten erzeugt, welche in der Verkaufsverwaltungs-Datenbank 120 als Antwort auf das Verkaufen eines Inhalts zu speichern sind, welche mit der Benutzereinrichtung 200 und dem Benutzereinrichtungs-Berechtigungsserver 300 kommuniziert, und Daten während des Kommunikationsprozesses verschlüsselt/entschlüsselt.
  • 3 zeigt die Datenstruktur der Verkaufsverwaltungs-Datenbank 120. Die Verkaufsverwaltungs-Datenbank 120 umfasst Information über eine Ladenverarbeitungsnummer, welche eine Nummer ist, welche durch den Ladenserver erzeugt wird, um eine Inhaltstransaktion zu identifizieren, welche durch den Ladenserver durchgeführt wird, eine Einrichtungs-ID, um eine Benutzereinrichtung zu identifizieren, welche eine Inhaltserwerbsanforderung ausgegeben hat, eine Transaktions-ID, welche als Identifizierer einer Inhaltstransaktion durch eine Benutzereinrichtung erzeugt wird, wenn die Inhaltstransaktion zwischen der Benutzereinrichtung und einem Laden durchgeführt wird, eine Inhalts-ID, welche den Inhalt identifiziert, der der Transaktion unterworfen wurde, und eine Statusinformation, welche den Status des Ladenservers betreffend der Inhaltstransaktion zeigt. Der Status wird aktualisiert, wenn die Inhaltstransaktion voranschreitet, wie später beschrieben wird.
  • Die Steuereinrichtung 130 wird aus einem Computer gebildet, in welchem ein Verschlüsselungsprogramm und ein Kommunikationsprogramm gespeichert sind, wie in 2 gezeigt ist, so dass die Steuereinrichtung 130 auch als Verschlüsselungseinrichtung und Kommunikationseinrichtung dient. Schlüsseldaten oder dgl., welche beim Verschlüsselungsprozess durch die Verschlüsselungseinrichtung der Steuereinrichtung 130 verwendet werden, werden in einer sicheren Weise in der Speichereinrichtung in der Steuereinrichtung gespeichert. Die Daten, beispielsweise Verschlüsselungsschlüssel, welche im Ladenserver 100 zur Verwendung beim Verschlüsselungsprozess gespeichert sind, umfassen einen Geheimschlüssel KsSHOP des Ladenservers, ein öffentliches Schlüsselzertifikat Cert_SHOP des Ladenservers und einen öffentlichen Schlüssel KpCA einer Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat ausgibt. 4 zeigt ein Beispiel des Aufbaus der Steuereinrichtung 130. Gemäß 4 wird der Aufbau der Steuereinrichtung 130 anschließend beschrieben. Die Steuereinheit 131 weist eine Zentralverarbeitungseinheit (CPU) auf, um verschiedene Verarbeitungsprogramme auszuführen, um Prozesse, welche durch verschiedene Teile der Steuereinrichtung 130 durchgeführt werden, zu steuern, welche in 4 gezeigt sind. Ein ROM (Nur-Lese-Speicher) speichert ein Programm, beispielsweise IPL (Anfangsprogrammlader). Ein RAM (Speicher mit wahlfreiem Zugriff) 133 weist einen Speicherbereich auf, um Programme zu speichern, beispielsweise ein Datenbank-Verwaltungsprogramm, ein Verschlüsselungsprogramm und ein Kommunikationsprogramm, die durch die Steuereinheit 131 auszuführen sind. Der RAM umfasst außerdem einen Speicherbereich, der als Arbeitsbereich verwendet wird, wenn die Programme ausgeführt werden.
  • Eine Anzeigeeinheit 134 weist eine Anzeigeeinrichtung auf, beispielsweise eine Flüssigkristallanzeige oder eine CRT, und zeigt verschiedene Daten, beispielsweise Benutzerdaten, für die ein Inhalt zu übertragen ist, während der Ausführung der Programme unter der Steuerung der Steuereinheit 131 an. Eine Eingabeeinheit 135 umfasst eine Tastatur und eine Zeigereinrichtung, beispielsweise eine Maus. Verschiedene Befehle und Daten werden von diesen Eingabeeinrichtungen zur Eingabeeinheit 135 ausgegeben, welche wiederum die Befehle und Daten zur Steuereinheit 131 überträgt. Ein HDD (Festplattenlaufwerk) 136 speichert verschiedene Programme, beispielsweise das Datenbank-Verwaltungsprogramm, das Verschlüsselungsprogramm und das Kommunikationsprogramm und speichert außerdem verschiedene Daten.
  • Eine Ansteuerung 137 steuert das Zugreifen auf verschiedene Speichermedien, beispielsweise eine Magnetplatte, beispielsweise eine HD (Festplatte) oder eine FD (Diskette), eine optische Platte, beispielsweise eine CD-ROM (Compact Disc-ROM), eine magneto-optische Platte, beispielsweise eine MiniDisc oder einen Halbleiterspeicher, beispielsweise einen ROM oder einen Flash-Speicher. Die verschiedenen Speichermedien, beispielsweise die Magnetplatte, wird verwendet, ein Programm oder Daten zu speichern. Eine Netzwerkschnittstelle 138 dient als Kommunikationsschnittstelle zur Kommunikation über ein drahtloses Netzwerk oder ein drahtgebundenes Netzwerk, beispielsweise das Internet oder eine Kommunikationsleitung, beispielsweise eine Telefonleitung. Unter Verwendung der Steuereinrichtung 130, welche in der oben beschriebenen Weise aufgebaut ist, führt der Ladenserver 100 verschiedene Prozesse durch, beispielsweise einen Verschlüsselungsprozess in einer Inhaltstransaktion zwischen dem Ladenserver 100 und der Benutzereinrichtung 200 oder einen Berechtigungsprozess zwischen dem Ladenserver 100 und dem Benutzereinrichtungs-Berechtigungsserver 300.
  • Benutzereinrichtungs-Berechtigungsserver
  • 5 zeigt den Aufbau des Benutzereinrichtungs-Berechtigungsservers (DAS) 300. Der Benutzereinrichtungs-Berechtigungsserver 300 hat eine Lizenzverwaltungs-Datenbank 320. 6 zeigt die Datenstruktur der Lizenzverwaltungs-Datenbank 320. Die Lizenzverwaltungs-Datenbank 320 hat Information über eine DAS-Prozessnummer, welche intern erzeugt wird, um einen Prozess zu identifizieren, der durch die Benutzereinrichtungs-Berechtigungsserver (DAS) während einer Inhaltstransaktion durchgeführt wird, eine Inhalts-ID, um eine Benutzereinrichtung zu identifizieren, welche eine Inhaltserwerbsanforderung ausgegeben hat, eine Transaktion-ID, welche als ein Identifizierer einer Inhaltstransaktion durch die Benutzereinrichtung erzeugt wird, wenn die Inhaltstransaktion durchgeführt wird, eine Inhalts-ID, welche den Inhalt identifiziert, der der Transaktion unterworfen ist, eine Laden-ID, welche einen Ladenserver identifiziert, der eine Inhaltstransaktion ausführt, eine Ladenprozessnummer, welche durch den Laden ausgegeben wird, um einen Prozess zu identifizieren, der durch einen Laden durchgeführt wird, und die Statusinformation, welche den Status des Benutzereinrichtungs-Berechtigungsservers (DAS) zeigt, der die Inhaltstransaktion betrifft. Der Status wird aktualisiert, wenn die Inhaltstransaktion voranschreitet, wie später beschrieben wird.
  • Der Benutzereinrichtungs-Berechtigungsserver (DAS) 300 weist eine Steuereinrichtung 330 auf, um Kommunikation mit der Benutzereinrichtung 200 oder dem Ladenserver 100 durchzuführen und um das Verschlüsseln/Entschlüsseln von Daten bei der Kommunikation durchzuführen. Wie die Steuereinrichtung des Ladenservers dient die Steuereinrichtung 330 ebenfalls als Verschlüsselungseinrichtung und Kommunikationseinrichtung. Der Benutzereinrichtungs-Berechtigungsserver (DAS) 300 ist in einer ähnlichen Weise wie oben mit Hilfe von 4 beschrieben aufgebaut. Schlüsseldaten oder dgl., welche im Verschlüsselungsprozess durch die Verschlüsselungseinrichtung der Steuereinrichtung 330 verwendet werden, werden in einer sicheren Weise in der Speichereinrichtung in der Steuereinrichtung gespeichert. Die Daten, beispielsweise Verschlüsselungsschlüssel, welche im Benutzereinrichtungs-Berechtigungsserver (DAS) 300 gespeichert sind, um beim Verschlüsselungsprozess verwendet zu werden, umfassen einen Geheimschlüssel KsDAS des Benutzereinrichtungs-Berechtigungsservers (DAS) 300, ein öffentliches Schlüsselzertifikat Cert_DAS des Benutzereinrichtungs-Berechtigungsservers (DAS) 300, und einen öffentlichen Schlüssel KpCA einer Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat ausgibt.
  • Benutzereinrichtung
  • 7 zeigt den Aufbau der Benutzereinrichtung 200. Die Benutzereinrichtung 200 erwirbt einen Inhalt und verwendet den erworbenen Inhalt. Ein spezifisches Beispiel der Benutzereinrichtung ist eine Inhaltswiedergabeeinrichtung, welche einen erworbenen Inhalt wiedergibt. Die Benutzereinrichtung umfasst eine Erwerbsverwaltungs-Datenbank 220. 8 zeigt die Datenstruktur der Erwerbsverwaltungs-Datenbank 220. Die Erwerbsverwaltungs-Datenbank umfasst eine Transaktion-ID, welche als Identifizierer einer Inhaltstransaktion durch die Benutzereinrichtung erzeugt wird, wenn die Inhaltstransaktion durchgeführt wird, eine Inhalts-ID, welche den Inhalt identifiziert, der der Transaktion unterworfen wurde, eine Laden-ID, welche einen Ladenserver identifiziert, der eine Inhaltstransaktion ausführt, die Statusinformation, welche den Status der Benutzereinrichtung zeigt, welche die Inhaltstransaktion betrifft, und eine Einrichtungs-ID, welche die Benutzereinrichtung identifiziert. Der Status wird aktualisiert, wenn die Inhaltstransaktion voranschreitet, wie später beschrieben wird.
  • Die Benutzereinrichtung 200 weist eine Steuereinrichtung 230 auf, um Kommunikation mit dem Ladenserver 100 oder dem Benutzereinrichtungs-Berechtigungsserver 300 durchzuführen und um das Verschlüsseln/Entschlüsseln von Daten bei Kommunikation durchzuführen. Wie die Steuereinrichtung des Ladenservers dient die Steuereinrichtung 230 ebenfalls als Verschlüsselungseinrichtung und Kommunikationseinrichtung. Die Benutzereinrichtung 200 ist in ähnlicher Weise wie früher mit Hilfe von 4 beschrieben aufgebaut. Schlüsseldaten oder dgl., welche beim Verschlüsselungsprozess durch die Verschlüsselungseinrichtung der Steuereinrichtung 230 verwendet werden, werden in einer sicheren Weise in der Speichereinrichtung in der Steuereinrichtung gespeichert. Die Daten, beispielsweise Verschlüsselungsschlüssel, welche in der Benutzereinrichtung 200 gespeichert sind, umfassen zur Verwendung im Verschlüsselungsprozess einen Geheimschlüssel KsDEV der Benutzereinrichtung, ein öffentliches Schlüsselzertifikat Cert_DEV der Benutzereinrichtung, einen öffentlichen Schlüssel KpCA einer Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat ausgibt, und einen Speicherschlüssel Ksto, der als Verschlüsselungsschlüssel verwendet wird, um einen Inhalt zu verschlüsseln, wenn der Inhalt auf der Speichereinrichtung gespeichert ist, beispielsweise einer Festplatte der Benutzereinrichtung.
  • Öffentliches Schlüsselzertifikat
  • Öffentliche Schlüsselzertifikate, welche dem Ladenserver (SHOP) 100, der Benutzereinrichtung (DEVICE) 200 bzw. dem Benutzereinrichtungs-Berechtigungsserver (DAS) 300 gehören, werden anschließend mit Hilfe von 9 beschrieben.
  • Das öffentliche Schlüsselzertifikat bezieht sich auf ein Zertifikat, welches durch eine dritte Partei ausgegeben wird, welches als Zertifikatverwaltung (CA) bezeichnet wird, um zu zeigen, dass ein öffentlicher Schlüssel ein gültiger Schlüssel ist, dem ein berechtigter Benutzer gehört, wodurch sichergestellt wird, dass die Daten, welche unter Verwendung des öffentlichen Schlüssels verschlüsselt werden, in einer sicheren Weise übertragen werden, und dass gegenseitige Berechtigung zwischen einem Sender und einem Empfänger adäquat unter Verwendung des öffentlichen Schlüssels durchgeführt werden kann. 9A zeigt ein Format des öffentlichen Schlüsselzertifikats.
  • In 9A zeigt eine Versionsnummer eine Version des Zertifikatformats.
  • Eine serielle Nummer wird durch eine öffentliche Schlüssel-Herausgeberverwaltung (CA) einem öffentlichen Schlüsselzertifikat zugeteilt.
  • In einem Feld "Signatur-Algorithmus und Algorithmusparameter" sind ein Signatur-Algorithmus und ein Parameter, die verwendet werden, einen digitalen Algorithmus in das öffentliche Schlüsselzertifikat zu schreiben, beschrieben. Es kann entweder die elliptische Kurvenkryptographie oder die RSA als Signatur-Algorithmus verwendet werden, wobei in dem Fall, wo die elliptische Kurvenkryptographie verwendet wird, Parameter und die Schlüssellänge beschrieben werden, während die Schlüssellänge im Fall beschrieben wird, wo die RSA verwendet wird.
  • Im einen Feld "Herausgebername" ist der Herausgeber des öffentlichen Schlüsselzertifikats, d. h., der Name der öffentlichen Schlüsselzertifikatverwaltung (CA) in Form eines Unterscheidungsnamens beschrieben.
  • In einem Feld "Gültigkeitsdauer des Zertifikats" ist eine Dauer, während das Zertifikat gültig ist, beschrieben. Insbesondere sind ein Anfangsdatum und ein Ablaufdatum in diesem Feld beschrieben.
  • In einem Feld "Name (ID) eines Benutzers des öffentlichen Schlüsselzertifikats" ist der Name des Benutzers, an den das Zertifikat ausgegeben wird, beschrieben. Insbesondere ist beispielsweise die ID einer Benutzereinrichtung oder die ID eines Dienstanbieters beschrieben.
  • In einem Feld "öffentlicher Schlüssel des Benutzers" wird Information über den Schlüsselalgorithmus oder die Schlüsselinformation selbst beschrieben. Das öffentliche Schlüsselzertifikat weist außerdem eine Signatur der Zertifikatverwaltung auf. Insbesondere wird eine digitale Signatur unter Verwendung eines Geheimschlüssels der öffentlichen Schlüsselzertifikatverwaltung (CA) erzeugt und in die Daten des öffentlichen Schlüsselzertifikats geschrieben. Der Benutzer des öffentlichen Schlüsselzertifikats kann die Signatur unter Verwendung eines öffentlichen Schlüssels der öffentlichen Schlüsselzertifikatverwaltung (CA) verifizieren, um zu prüfen, ob das öffentliche Schlüsselzertifikat gültig ist, ohne damit verfälscht zu sein.
  • Ein Verfahren zum Erzeugen einer digitalen Signatur auf Basis der öffentlichen Schlüsselkryptographie wird anschließend mit Hilfe von 10 beschrieben. In dem Beispiel, welches in 10 gezeigt ist, wird eine digitale Signatur gemäß dem Standard EC-DSA-IEEE P1363/D3 erzeugt (elliptischer Kurven-Digital-Signatur-Algorithmus). Hier wird beispielsweise die elliptische Kurvenkryptographie (ECC) verwendet, um einen öffentlichen Schlüssel zu verschlüsseln. Es sei angemerkt, dass bei der vorliegenden Erfindung die Kryptographie nicht auf die elliptische Kurvenkryptographie (ECC) begrenzt ist, sondern auch eine andere Kryptographie, beispielsweise die RSA (Rivest-Shamir-Adleman)-Kryptographie (ANSI X0.31) verwendet werden kann, um öffentliche Schlüssel zu verschlüsseln.
  • Ein Digitalsignal wird über die Verarbeitungsschritte, welche in 10 gezeigt sind, wie anschließend beschrieben erzeugt. Im Schritt S1 werden die folgenden Parameter eingestellt: eine Charakteristik p; Koeffizienten a und b einer elliptischen Kurve (wobei die elliptische Kurve angegeben wird durch 4a3 + 27b2.0 (mod p)); ein Basispunkt G der elliptischen Kurve; die Ordnung r von G und ein Geheimschlüssel Ks(0 < Ks < r). Im Schritt S2 wird ein Hash-Wert einer Nachricht M berechnet, beispielsweise f = Hash(M).
  • Der Hash-Wert wird unter Verwendung der Hash-Funktion wie folgt berechnet. Wenn eine Nachricht einer Hash-Funktion zugeführt wird, setzt die Hash-Funktion die vorhandene Nachricht in eine komprimierte Form um, welche eine Datenlänge hat, welche aus einer vorgegebenen Anzahl von Bits besteht und gibt das Ergebnis aus. Das Merkmal von Hash-Funktionen ist das, dass es schwierig ist, die Ursprungsnachricht (Eingang) vom Hash-Wert (Ausgang) zu erraten. Wenn eines der Bits von Daten, welche zur Hash-Funktion geliefert werden, variiert, ist die Folge davon, dass eine große Anzahl von Bits des Hash-Werts variieren. Es ist außerdem schwierig, eine korrekte Dateneingabe von einer großen Anzahl von Kandidaten zu identifizieren, welche den gleichen Hash-Wert haben. Spezifische Beispiele von Hash-Funktionen umfassen MD4, MD5, SHA-1 und DES-CBC. Wenn DES-CBC verwendet wird, wird ein endgültiger Ausgangswert MAC (Prüfwert ICV) als Hash-Wert verwendet. Im nächsten Schritt S3 wird eine Zufallszahl u (0 < u < r) erzeugt. Im Schritt S4 werden die Koordinaten V(Xv, Yv) durch Multiplizieren eines Basispunkts mit u bestimmt. Arithmetische Operationen, welche das Addieren und das Verdoppeln auf einer elliptischen Kurve betreffen, sind wie folgt definiert:
    Wenn P = (Xa, Ya), Q = (Xb, Yb), R = (Xc, Yc) = P + Q, wenn P.Q, wird die Addition wie folgt durchgeführt: Xc = .- Xa–Xb Yc = .x(Xa – Xc) – Ya .= (Yb – Ya)/(Xb – Xa)
  • Wenn dagegen P = Q, wird das Verdoppeln durchgeführt, wie folgt: Xc = .2 – 2Xa Yc = .x (Xa – Xc) – Ya .= (3(Xa)2 + a)/(2Ya)
  • Unter Verwendung der obigen Gleichungen wird der Punkt G mit u multipliziert. (Dies kann wie folgt erreicht werden. G, 2 × G, 4 × G usw. werden zunächst berechnet. Dann wird 2i × G entsprechend "1"-Bits einer Binärzahl, welche durch Expandieren von u erlangt wird, dazu addiert (wobei 2i × G durch Verdoppeln von G so häufig wir i erlangt wird, wobei i eine Bitposition bezeichnet, welche von dem LSB von u gezählt wird). Dies ist ein schnell verständliches Berechnungsverfahren, obwohl die Berechnung eine Länge Zeit braucht)
  • Im Schritt S5 wird c = Xv mod r berechnet. Im Schritt S6 wird bestimmt, ob c = 0. Wenn c.0 geht der Prozess weiter zum Schritt S7, und d = [(f + cKs)/u] mod r zu berechnen. Im Schritt S8 wird bestimmt, ob d = 0. Wenn d.0, läuft die Verarbeitung weiter zum Schritt S9, in welchem c und d als digitale Signaldaten ausgegeben werden. Wenn beispielsweise r eine Länge von 160 Bits hat, haben die resultierenden Digitalsignaldaten eine Länge von 320 Bits.
  • In dem Fall, wo im Schritt S6 bestimmt wird, dass c = 0, kehrt der Prozess zurück zum Schritt S3, um eine neue Zufallszahl zu erzeugen. Wenn ähnlich im Schritt S8 bestimmt wird, dass d = 0, kehrt der Prozess zurück zum Schritt S3, um eine neue Zufallszahl zu erzeugen.
  • Eine Art und Weise zum Verifizieren einer digitalen Signatur auf Basis der öffentlichen Schlüsselkryptographie wird anschließend mit Hilfe von 11 beschrieben. Im Schritt S11 werden die folgenden Parameter angegeben: eine Nachricht M; eine Charakteristik p; Koeffizienten a und b einer elliptischen Kurve (wobei die elliptische Kurve gegeben ist durch y2 = x3 + ax + b); ein Basispunkt G der elliptischen Kurve; die Reihenfolge r von G, und öffentliche Schlüssel G und Ks × G (0 < Ks < r). Im Schritt S12 wird bestimmt, ob die digitalen Signaturdaten c und d die Bedingungen erfüllen: 0 < r und 0 < d < r. Wenn die Bedingungen erfüllt werden, läuft der Prozess weiter zum Schritt S13, um den Hash-Wert der Nachricht M zu berechnen, beispielsweise f = Hash(M). Danach wird im Schritt S14 h = 1/d mod r berechnet, und es werden h1 = fh mod r und h2 = ch mod r im Schritt S15 berechnet.
  • Im Schritt S16 wird der Punkt P = (Xp, Yp) = h1 × G + h2.Ks × G unter Verwendung von h1 und h2 berechnet, welche im vorherigen Schritt berechnet wurden. Da die öffentlichen Schlüssel G und Ks × G für den bekannt sind, der die digitale Signatur verifiziert, ist es möglich, einen Punkt einer elliptischen Kurve mit einem Skalarwert in einer ähnlichen Weise wie im Schritt S4 in 10 zu multiplizieren. Im Schritt S17 ist der Punkt P ein unendlicher Punkt. Wenn der Punkt P kein unendlicher Punkt ist, läuft das Verfahren weiter zum Schritt S18. (In der Praxis wird die Bestimmung, ob der Punkt P ein unendlicher Punkt ist, im Schritt S16 durchgeführt, da, wenn der Punkt P ein unendlicher Punkt ist,. nicht berechnet werden kann, wenn die Addition von P = (X, Y) und Q = (X, –Y) berechnet wird, und somit wird herausgestellt, dass P und Q ein unendlicher Punkt ist). Im Schritt S18 wird Xp mod r berechnet, und das Ergebnis wird mit den Digitalsignaldaten c verglichen. Wenn das Ergebnis gleich c ist, läuft die Verarbeitung zum Schritt S19, in welchem das Digitalsignal als gültig bestimmt wird. In dem Fall, wo die digitale Signatur als gültig bestimmt wird, kann daraus geschlossen werden, dass die Daten damit nicht verfälscht sind und somit kann daraus geschlossen werden, dass die digitale Signatur die ist, welche durch einen erzeugt wurde, der den Geheimschlüssel hat, der dem öffentlichen Schlüssel entspricht.
  • Wenn im Schritt S12 bestimmt wird, dass die digitalen Signaldaten c oder d nicht 0 < c < r oder 0 < d < r erfüllen, springt das Verfahren auf den Schritt S20. Auch in dem Fall, wo im Schritt S17 bestimmt wird, dass der Punkt P ein unendlicher Punkt ist, springt das Verfahren auf den Schritt S20. Wenn im Schritt S18 bestimmt wird, dass Xp mod r nicht gleich den digitalen Signaldaten c ist, springt das Verfahren ebenfalls zum Schritt S20.
  • Im Schritt S20 wird bestimmt, dass die digitale Signatur nicht gültig ist. In diesem Fall wird daraus gefolgert, dass die Daten damit verfälscht sind oder die digitale Signatur durch einen erzeugt wurde, der den Geheimschlüssel nicht hat, der dem öffentlichen Schlüssel entspricht.
  • Wenn somit ein öffentliches Schlüsselzertifikat eine digitale Signatur aufweist, welche in der oben beschriebenen Weise durch eine Zertifikatverwaltung beschrieben ist, kann ein Benutzer des öffentlichen Schlüsselzertifikats das Digitalsignal verifizieren, um zu prüfen, ob das Zertifikat gültig ist, ohne damit verfälscht zu sein. Bezugnehmend wiederum auf 9 wird das öffentliche Schlüsselzertifikat Cert_DEV einer Benutzereinrichtung in der Benutzereinrichtung gespeichert, wobei das öffentliche Schlüsselzertifikat Cert_DEV, wie in 9B gezeigt ist, eine Benutzereinrichtungs-ID und einen öffentlichen Schlüssel KpDEV der Benutzereinrichtung aufweist. 9C zeigt ein öffentliches Schlüsselzertifikat Cert_SHOP eines Ladenservers, welches im Ladenserver gespeichert ist, wobei das öffentliche Schlüsselzertifikat Cert_SHOP eine Laden-ID und einen öffentlichen Schlüssel KcSHOP des Ladenservers aufweist. 9D zeigt ein öffentliches Schlüsselzertifikat Cert_DAS eines Benutzereinrichtungs-Berechtigungsservers, welches im Benutzereinrichtungs-Berechtigungsserver gespeichert ist, wobei das öffentliche Schlüsselzertifikat Cert_DAS eine Benutzereinrichtungs-Berechtigungsserver-ID und einen öffentlichen Schlüssel KpDAS des Benutzereinrichtungs-Berechtigungsservers aufweist. Wie oben beschrieben haben die Benutzereinrichtung, der Ladenserver und der Benutzereinrichtungs-Berechtigungsserver ihre eigenen öffentlichen Schlüsselzertifikate.
  • Inhaltserwerbsprozess
  • Unter Bezug wiederum auf 1 wird anschließend ein Prozess, bei dem eine Benutzereinrichtung einen Inhalt von einem Ladenserver erwirbt und diesen verwendet, anschließend beschrieben. In 1 läuft die Verarbeitung in der Reihenfolge von den Prozessschritten von (1) bis (20) wie anschließend beschrieben. Obwohl bei der vorliegenden Ausführungsform gegenseitige Berechtigung zwischen Einheiten durchgeführt wird (Schritte (1), (7) und (11)), kann die gegenseitige Berechtigung in Abhängigkeit von der Situation übersprungen werden.
    • (1) Gegenseitige Berechtigung
  • Wenn die Benutzereinrichtung 200 es wünscht, einen Inhalt von Ladenserver 100 zu erwerben, wird zunächst die gegenseitige Berechtigung zwischen der Benutzereinrichtung 200 und dem Ladenserver 100 durchgeführt. Bei der gegenseitigen Berechtigung wird bestimmt, ob die beiden Einrichtungen, zwischen denen die Daten zu übertragen sind, korrekte Einrichtungen sind. Wenn die gegenseitige Berechtigung erfolgreich verlief, wird die Datenübertragung begonnen. Vorzugsweise wird ein Sitzungsschlüssel während der gegenseitigen Berechtigung erzeugt, und die Daten werden unter Verwendung des Sitzungsschlüssels als gemeinsamen Schlüssel während des folgenden Datenübertragungsprozesses verschlüsselt.
  • Ein Prozess zum gegenseitigen Berechtigen auf Basis symmetrischer Schlüsselkryptographie wird anschließend mit Hilfe von 12 beschrieben. In dem Prozess, der in 12 gezeigt ist, wird DES als symmetrische Schlüsselkryptographie verwendet, wobei eine andere ähnliche symmetrische Schlüsselkryptographie ebenfalls verwendet werden kann.
  • Zunächst erzeugt eine Einrichtung B eine Zufallszahl Rb aus 64 Bits und überträgt Rb zusammen mit einer Identifizier-ID (b) der Einrichtung B zu einer Einrichtung A. Als Antwort auf den Empfang von Rb und ID(b) erzeugt die Einrichtung A eine Zufallszahl Ra von 64 Bits, verschlüsselt Ra, Rb und ID(b) im CBC Modus von DES, in der Reihenfolge von Ra, Rb und ID(b). Die resultierenden verschlüsselten Daten werden zur Einrichtung B zurückgebracht.
  • Als Antwort auf den Empfang der verschlüsselten Daten entschlüsselt die Einrichtung B die empfangenen Daten unter Verwendung eines Schlüssels Kab. Insbesondere wird die Entschlüsselung der empfangenen Daten wie folgt durchgeführt. Zunächst werden die verschlüsselten Daten EI unter Verwendung des Schlüssels Kab entschlüsselt, um den Zufallswert Ra zu erlangen. Danach werden die verschlüsselten Daten E2 unter Verwendung des Schlüssels Kab entschlüsselt. Rb wird durch Berechnen von Exklusiv-ODER zwischen den resultierenden entschlüsselten Daten und E1 erlangt. Schließlich werden die entschlüsselten Daten E3 unter Verwendung des Schlüssel Kab entschlüsselt, und das Exklusive-ODER zwischen den resultierenden entschlüsselten Daten und E2 wird berechnet, um ID(b) zu erlangen. Von Ra, Rb und ID(b), welche über den obigen Prozess erlangt werden, werden Rb und ID(b) mit denen, welche von der Einrichtung B übertragen werden, verglichen. Wenn sie mit den Ursprungsdaten identisch sind, welche von der Einrichtung B übertragen werden, bestimmt die Einrichtung B, dass die Einrichtung A eine berechtigte Einrichtung ist.
  • Danach erzeugt die Einrichtung B einen Sitzungsschlüssel Kses, der nach der Berechtigung verwendet (der Sitzungsschlüssel Kses wird unter Verwendung einer Zufallszahl erzeugt). Rb, Ra und Kses werden in dieser Reihenfolge unter Verwendung des Schlüssels Kab im CBC-Modus von DES verschlüsselt und zur Einrichtung A übertragen.
  • Bei einem Empfang der Daten entschlüsselt die Einrichtung A die empfangenen Daten unter Verwendung des Schlüssels Kab. Die empfangenen Daten können in einer Weise ähnlich der Entschlüsselung entschlüsselt werden, welche durch die Einrichtung B durchgeführt wird, wobei dies somit nicht weiter ausführlich beschrieben wird. Somit werden Rb, Ra und Kses erlangt, und es werden Rb und Ra mit den Ursprungsdaten verglichen, welche von der Einrichtung A übertragen werden. Wenn die Verifizierung erfolgreich vorüber ist, bestimmt die Einrichtung A, dass die Einrichtung B eine berechtigte Einrichtung ist. Bei der Kommunikation, die durchgeführt wird, nachdem die Berechtigung erfolgreich vorüber ist, wird der Sitzungsschlüssel Kses verwendet, um die Geheimhaltung zu sichern.
  • In dem Fall, wo die empfangenen Daten dazu bestimmt sind, bei der obigen Verifikation ungültig zu sein, wird die gegenseitige Berechtigung verfehlt und der Prozess wird beendet.
  • Anschließend wird ein Verfahren zur gegenseitigen Berechtigung unter Verwendung der elliptischen Kurvenkryptographie mit 160 Bits, welche eine der öffentlichen Schlüsselkryptographieverfahren ist, mit Hilfe von 13 beschrieben. Obwohl ECC als öffentliches Schlüsselkryptographieverfahren in dem Prozess, der in 13 gezeigt ist, verwendet wird, kann ein anderes öffentliches Schlüsselkryptographieverfahren ebenfalls verwendet werden. Außerdem ist die Schlüsselgröße nicht auf 160 Bits beschränkt. In 13 erzeugt zunächst eine Einrichtung B eine Zufallszahl Rb mit 64 Bits und überträgt diese zu einer Einrichtung A. Bei einem Empfang von Rb erzeugt die Einrichtung eine Zufallszahl Ra mit 64 Bits, und eine Zufallszahl Ak, welche kleiner ist als eine Charakteristik p. Der Punkt Av = Ak × G wird durch Multiplizieren eines Basispunkt G mit Ak berechnet. Eine digitale Signatur A.Sig. für Ra, Rb und Av (X und Y-Koordinaten) wird danach erzeugt und zusammen mit dem öffentlichen Schlüsselzertifikat der Einrichtung A zur Einrichtung B übertragen. Hier haben Ra und Rb eine Länge von 64 Bits, und die X und Y-Koordinaten von Av haben eine Länge von 160 Bits, womit somit die digitale Signatur für eine Gesamtlänge von 448 Bits erzeugt wird.
  • Wenn ein öffentliches Schlüsselzertifikat verwendet wird, verifiziert ein Benutzer eine digitale Signatur des öffentlichen Schlüsselzertifikats unter Verwendung eines öffentlichen Schlüssels der öffentlichen Schlüsselzertifikatverwaltung (CA) 410, welche dem Benutzer gehört. Wenn die Verifizierung der digitalen Signatur erfolgreich vorüber ist, wird der öffentliche Schlüssel von dem öffentlichen Schlüsselzertifikat extrahiert und verwendet. Daher ist es erforderlich, dass jeder Benutzer eines öffentlichen Schlüsselzertifikats einen gemeinsamen öffentlichen Schlüssel der öffentlichen Schlüsselzertifikatverwaltung (CA) hat. Die digitale Signatur kann in einer ähnlichen Weise wie oben mit Hilfe von 11 beschrieben verifiziert werden.
  • Bei einem Empfangen des öffentlichen Schlüsselzertifikats der Einrichtung A, Ra, Rb und Rv und der digitalen Signatur A.Sig. verifiziert die digitale Einrichtung B, ob Rb, welches von der Einrichtung A empfangen wird, gleich dem Ursprungswert ist, der durch die Einrichtung B erzeugt wird. Wenn die Verifizierung zeigt, dass Rb gleich dem Ursprungswert ist, wird die digitale Signatur, welche in das öffentliche Schlüsselzertifikat der Einrichtung A geschrieben ist, dann unter Verwendung des öffentlichen Schlüssels der Zertifikatverwaltung verifiziert, und es wird der öffentliche Schlüssel der Einrichtung A extrahiert. Danach wird die digitale Signatur A.Sig. unter Verwendung des extrahierten öffentlichen Schlüssels der Einrichtung A verifiziert. Wenn die Verifizierung der digitalen Signatur erfolgreich vorüber ist, betrachtet die Einrichtung B die Einrichtung A als eine berechtigte Einrichtung.
  • Danach erzeugt die Einrichtung B eine Zufallszahl Bk, welche kleiner ist als die Charakteristik p. Danach wird der Punkt Bv = Bk × G berechnet, wobei der Basispunkt G mit Bk multipliziert wird. Eine digitale Signatur B.Sig. für Rb, Ra, Bv (X- und Y-Koordinaten) wird dann erzeugt und zusammen mit dem öffentlichen Schlüsselzertifikat der Einrichtung B zur Einrichtung A übertragen.
  • Bei einem Empfang des öffentlichen Schlüsselzertifikats der Einrichtung B, Rb, Ra, Bv und der digitalen Signatur B.Sig verifiziert die digitale Einrichtung A, ob Ra, welches von der Einrichtung B empfangen wird, gleich dem Ursprungswert ist, der durch die Einrichtung A erzeugt wird. Wenn die Verifizierung zeigt, dass Ra gleich dem Ursprungswert ist, wird die digitale Signatur, welche in das öffentliche Schlüsselzertifikat der Einrichtung B geschrieben ist, dann unter Verwendung des öffentlichen Schlüssels der Zertifikatverwaltung verifiziert, und es wird der öffentliche Schlüssel der Einrichtung B extrahiert. Danach wird die digitale Signatur B.Sig unter Verwendung des extrahierten öffentlichen Schlüssels der Einrichtung B verifiziert.
  • Wenn die Verifizierung der digitalen Signatur erfolgreich vorbei ist, betrachtet die Einrichtung A die Einrichtung B als eine berechtigte Einrichtung.
  • Wenn die gegenseitige Berechtigung erfolgreich vorüber ist, berechnet die Einrichtung Bk × Av (durch Multiplizieren des Punkts Av auf der elliptischen Kurve mit Bk, welches eine Zufallszahl ist), und die Einrichtung A berechnet Ak × Bv. 64 Bits niedriger Ordnung der X-Koordinaten der resultierenden Punkte werden als Sitzungsschlüssel verwendet, während eine Kommunikation danach durchgeführt wird (in dem Fall, wo Schlüssel von 64 Bits als symmetrische Schlüssel gemäß der symmetrischen Schlüsselkryptographie verwendet werden). Die Sitzungsschlüssel können von Y-Koordinaten erzeugt werden. Anstelle niedrigwertige 64 Bits zu verwenden, kann ein anderer Satz von Bits ebenfalls verwendet werden. Bei geheimer Kommunikation, welche nach der gegenseitigen Berechtigung durchgeführt wird, kann zusätzlich zum Verschlüsseln der Daten eine digitale Signatur den Daten hinzugefügt werden.
  • In dem Fall, wo die digitale Signatur oder die empfangenen Daten bei der oben beschriebenen Verifizierung als gültig bestimmt werden, wird die gegenseitige Berechtigung verfehlt und der Prozess wird beendet.
  • Bei der Kommunikation, welche durchgeführt wird, nachdem die gegenseitige Berechtigung erfolgreich vorbei ist, wird der Sitzungsschlüssel, der während des gegenseitigen Berechtigungsprozesses erzeugt wird, verwendet, die Daten zu entschlüsseln.
    • (2) Erzeugung der Transaktions-ID und der Erwerbsanforderungsdaten, und
    • (3) Übertragung der Erwerbsanforderungsdaten Wenn die gegenseitige Berechtigung zwischen dem Ladenserver 100 und der Benutzereinrichtung 200 erfolgreich vorbei ist, erzeugt die Benutzereinrichtung 200 Inhaltserwerbs-Anforderungsdaten. 14A zeigt die Datenstruktur der Erwerbsanforderungsdaten. Die Erwerbsanforderungsdaten umfassen eine Laden-ID, welche einen Ladenserver 100 identifizieren, zu dem die Inhaltserwerbsanforderung gesendet wird, eine Transaktions-ID, welche als Identifizierer einer Inhaltstransaktion durch die Verschlüsselungseinrichtung der Benutzereinrichtung 200 auf Basis beispielsweise einer Zufallszahl erzeugt wird, und eine Inhalts-ID, welche einen Inhalt zeigt, den die Benutzereinrichtung zu erwerben wünscht. Außerdem wird eine digitale Signatur der Benutzereinrichtung für die obigen Daten den Erwerbsanforderungsdaten hinzugefügt. Die Erwerbsanforderungsdaten werden zusammen mit dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung zum Ladenserver 100 übertragen. Es sei angemerkt, dass, wenn das öffentliche Schlüsselzertifikat zum Laden während oder vor dem gegenseitigen Berechtigungsprozess übertragen wurde, es nicht erforderlich ist, das öffentliche Schlüsselzertifikat zurück zu übertragen.
    • (4) Verifizierung der empfangene Daten Wenn der Ladenserver 100 die Erwerbsanforderung, beispielsweise die, welche in 14A gezeigt ist, von der Benutzereinrichtung 200 empfängt, verifiziert der Ladenserver 100 die empfangen Daten. Der Verifizierungsprozess ist ausführlich in 15 beschrieben. Zunächst verifiziert der Ladenserver 100 das öffentliche Schlüsselzertifikat Cert_DEV der Benutzereinrichtung, welches in den empfangen Daten enthalten ist (S51). Die Verifizierung wird wie früher beschrieben durchgeführt, indem die Signatur der Zertifikatverwaltung, welche in das öffentliche Schlüsselzertifikat geschrieben ist, verifiziert wird, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung verwendet wird (11). Wenn die Verifizierung erfolgreich vorbei ist, d. h., wenn bestimmt wird, dass das öffentliche Schlüsselzertifikat nicht damit verfälscht ist (wenn die Antwort im Schritt S52 "JA" ist), läuft der Prozess weiter zum Schritt S53. Wenn jedoch die Verifizierung nicht vorbei ist (wenn die Antwort im Schritt S52 "NEIN" ist), wird im Schritt S57 bestimmt, dass das öffentliche Schlüsselzertifikat damit verfälscht ist, und der Prozess, bei dem das öffentliche Schlüsselzertifikat verwendet wird, wird beendet. Im Schritt S53 wird der öffentliche Schlüssel KpDEV der Benutzereinrichtung 200 vom öffentlichen Schlüsselzertifikat extrahiert. Im Schritt S54 wird die Signatur der Benutzereinrichtung, welche in die Erwerbsanforderungsdaten geschrieben ist, auf Basis von KpDEV (11) verifiziert. Wenn die Verifizierung erfolgreich vorbei ist, d. h., wenn bestimmt wird, dass die Erwerbsanforderungsdaten nicht damit verfälscht sind, (wenn die Antwort im Schritt S55 "JA" ist), wird im Schritt S56 bestimmt, dass die empfangenen Daten gültige Inhaltserwerbs-Anforderungsdaten sind. Wenn jedoch die Verifizierung nicht vorbei ist (wenn die Antwort im Schritt S55 "NEIN" ist), wird im Schritt S57 bestimmt, dass die Erwerbsanforderungsdaten verfälscht sind, und es wird der Prozess in Verbindung mit den Erwerbsanforderungsdaten beendet.
    • (5) Übertragung des verschlüsselten Inhalts und der verschlüsselten Inhaltsschlüsseldaten 1 (Laden) Wenn die Verifizierung, welche durch den Ladenserver 100 durchgeführt wird, zeigt, dass die Erwerbsanforderungsdaten gültig sind, ohne verfälscht zu sein, überträgt der Ladenserver 100 zur Benutzereinrichtung den verschlüsselten Inhalt und die verschlüsselten Inhaltsdaten 1 (Laden), welche in der Inhaltsdatenbank 110 gespeichert sind. Das heißt, dass der verschlüsselte Inhalt Kc(Inhalt), der durch Verschlüsseln des Inhalts erlangt wird, indem der Inhaltsschlüssel verwendet wird, und die verschlüsselten Inhaltsschlüsseldaten KpDAS(Kc), welche durch Verschlüsseln des Inhaltsschlüssels Kc erlangt werden, wobei der öffentliche Schlüssel des Benutzereinrichtungs-Berechtigungsservers (DAS) 300 verwendet wird, übertragen werden. 14B zeigt die Datenstruktur der verschlüsselten Inhaltsschlüsseldaten 1 (Laden). Die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) umfassen eine Benutzereinrichtungs-ID, welche die Benutzereinrichtung 200 identifiziert, welche die Inhaltserwerbsanforderung ausgegeben hat, Erwerbsanforderungsdaten (die Daten, welche in 14A gezeigt sind, abweichend vom öffentlichen Schlüsselzertifikat der Benutzereinrichtung), eine Ladenprozessnummer, welche durch den Ladenserver 100 als Antwort auf das Initialisieren einer Inhaltstransaktion erzeugt wird, und verschlüsselte Inhaltsschlüsseldaten KpDAS(Kc). Außerdem wird eine digitale Signatur des Ladenservers 100 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten 1 (Laden) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 100 zur Benutzereinrichtung 200 übertragen. Es sei angemerkt, dass, wenn das öffentliche Schlüsselzertifikat zur Benutzereinrichtung während oder vor dem gegenseitigen Berechtigungsprozess übertragen wurde, es nicht erforderlich ist, das öffentliche Schlüsselzertifikat nochmals zu übertragen.
    • (6) Verifizierung der empfangenen Daten Wenn die Benutzereinrichtung 200 den verschlüsselten Inhalt Kc(Inhalt) und die verschlüsselten Inhaltsschlüsseldaten 1 (Laden), wie in 14B gezeigt ist, vom Ladenserver 100 empfängt, verifiziert die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten 1 (Laden). Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Flussdiagramms beschrieben durchgeführt, welches in 15 gezeigt ist. Das heißt, die Benutzereinrichtung 200 verifiziert zunächst das öffentliche Schlüsselzertifikat des Ladenservers, welches vom Ladenserver 100 empfangen wird, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert die Benutzereinrichtung 200 die Ladensignatur, welche in die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) geschrieben sind, welche in 14B gezeigt sind, wobei der öffentliche Schlüssel KpSHOP des Ladenservers verwendet wird, der vom öffentlichen Schlüsselzertifikat extrahiert wird.
    • (7) Gegenseitige Berechtigung Wenn die Benutzereinrichtung 200 die Verifizierung der verschlüsselten Inhaltsschlüsseldaten 1 (Laden) beendet hat, nachdem der verschlüsselte Inhalt Kc(Inhalt) und die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) vom Ladenserver 100 empfangen hat, bekommt die Benutzereinrichtung 200 Zugriff auf den Benutzereinrichtungs-Berechtigungsserver 300. Beim Zugreifen auf den Benutzereinrichtungs-Berechtigungsserver 300 wird die gegenseitige Berechtigung zwischen der Benutzereinrichtung und dem Benutzereinrichtungs-Berechtigungsserver 300 durchgeführt. Diese gegenseitige Berechtigung wird in einer ähnlichen Weise wie die oben beschriebene gegenseitige Berechtigung zwischen dem Ladenserver 100 und der Benutzereinrichtung 200 durchgeführt.
    • (8) Übertragung der verschlüsselten Schlüsseldaten (Benutzereinrichtung) und der verschlüsselten Inhaltsschlüssel-Umsetzungsanforderung Wenn die gegenseitige Berechtigung zwischen der Benutzereinrichtung 200 und dem Benutzereinrichtungs-Berechtigungsserver 300 erfolgreich vorbei ist, überträgt die Benutzereinrichtung 200 die verschlüsselten Schlüsseldaten (Benutzereinrichtung), welche den verschlüsselten Inhaltsschlüssel KpDAS(Kc) aufweisen, der vom Ladenserver 100 empfangen wird, zum Benutzereinrichtungs-Berechtigungsserver 300, und die Benutzereinrichtung 200 fordert den Benutzereinrichtungs-Berechtigungsserver 300 auf, die Umsetzung des verschlüsselten Inhaltsschlüssels durchzuführen. 14C zeigt die Datenstruktur der verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung). Die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) weisen eine Benutzereinrichtungs-Berechtigungsserver-ID auf, welche den Benutzereinrichtungs-Berechtigungsserver 300 identifiziert, zu dem die Anforderung auf Umsetzung des verschlüsselten Inhaltsschlüssel gesendet wird, und die verschlüsselten Inhaltsschlüsseldaten (die Daten, welche in 14B gezeigt sind, die von dem Ladenöffentlichkeits-Schlüsselzertifikat abweichen), welche vom Ladenserver 100 empfangen werden. Außerdem wird eine digitale Signatur der Benutzereinrichtung 200 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 100 und dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung 200 zum Benutzereinrichtungs-Berechtigungsserver 300 übertragen. In dem Fall, wo der Benutzereinrichtungs-Berechtigungsserver 300 schon das Zertifikat des öffentlichen Schlüssels der Benutzereinrichtung und das Zertifikat des öffentlichen Schlüssels des Ladenservers hat, ist es nicht erforderlich, diese Zertifikate nochmals zu übertragen.
    • (9) Verifizierung der empfangenen Daten Wenn der Benutzereinrichtungs-Berechtigungsserver 300 die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) und die verschlüsselte Inhaltsschlüssel-Umsetzungsanforderung (14C) von der Benutzereinrichtung 200 empfängt, verifiziert der Benutzereinrichtungs-Berechtigungsserver 300 die verschlüsselte Inhaltsschlüssel-Umsetzungsanforderung. Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses, der in 15 gezeigt ist, durchgeführt. Das heißt, die Benutzereinrichtung 300 verifiziert zunächst das öffentliche Schlüsselzertifikat der Benutzereinrichtung, welches von der Benutzereinrichtung 200 empfangen wird, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert die Benutzereinrichtung 300 die digitale Signatur, welche in die Erwerbsanforderungsdaten, welche in 14A gezeigt sind, geschrieben ist, und die digitale Signatur, welche in die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung), welche in 14C gezeigt sind, geschrieben ist, wobei der öffentliche Schlüssel KpDEV der Benutzereinrichtung, der von dem öffentlichen Schlüsselzertifikat extrahiert wird, verwendet wird. Außerdem verifiziert die Benutzereinrichtung 300 das öffentliche Schlüsselzertifikat des Ladenservers, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert die Benutzereinrichtung 300 die Ladensignatur, welche in die verschlüsselten Inhaltsschlüsseldaten 1 (Benutzereinrichtung) geschrieben ist (mit (5) in 14C bezeichnet) unter Verwendung des öffentlichen Schlüssel KpSHOP des Ladenservers, der vom öffentlichen Schlüsselzertifikat extrahiert wird.
    • (10) Umsetzung des verschlüsselten Inhaltsschlüssels Bei der Verifizierung, welche durch den Benutzereinrichtungs-Berechtigungsserver 300 durchgeführt wird, was die verschlüsselten Inhaltsschlüsseldaten(Benutzereinrichtung) und die verschlüsselte Inhaltsschlüssel-Umsetzungsanforderung betrifft, welche von der Benutzereinrichtung 200 empfangen wird, entschlüsselt, wenn bestimmt wird, dass die Schlüsselumsetzungsanforderung gültig ist, der Benutzereinrichtungs-Berechtigungsserver (DAS) 300 unter Verwendung des Geheimschlüssels KsDAS des Benutzereinrichtungs-Berechtigungsservers 300 den verschlüsselten Inhaltsschlüssel, der in den verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) enthalten ist, d. h., die verschlüsselten Daten KpDAS(Kc), welche durch Verschlüsseln des Inhaltsschlüssels Kc unter Verwendung des öffentlichen Schlüssels KpDAS des Benutzereinrichtungs-Berechtigungsservers (DAS) 300 erlangt werden, um dadurch den Inhaltsschlüssel Kc zu erlangen. Außerdem verschlüsselt der Benutzereinrichtungs-Berechtigungsserver 300 den erlangten Inhaltsschlüssel Kc unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung, um dadurch den verschlüsselten Inhaltsschlüssel KpDEV(Kc) zu erzeugen. Das heißt, der Schlüssel wird umgesetzt, so das gilt: KpDAS(Kc).Kc. KpDEV(Kc) 16 zeigt den Fluss des verschlüsselten Inhaltsschlüssel-Umsetzungsprozesses, der durch den Benutzereinrichtungs-Berechtigungsserver 300 durchgeführt wird. Zunächst extrahiert der Benutzereinrichtungs-Berechtigungsserver (DAS) die Inhaltsschlüsseldaten KpDAS(Kc), welche unter Verwendung des öffentlichen Schlüssels KpDAS des Benutzereinrichtungs-Berechtigungsservers (DAS) 300 verschlüsselten wurden, von den verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung), welche von der Benutzereinrichtung 200 empfangen werden (Schritt S61). Danach entschlüsselt der Benutzereinrichtungs-Berechtigungsserver 300 die verschlüsselten Inhaltsschlüsseldaten unter Verwendung des Geheimschlüssels KsDAS des Benutzereinrichtungs-Berechtigungsservers 300, um dadurch den Inhaltsschlüssel Kc zu erlangen (Schritt S62). Außerdem verschlüsselt der Benutzereinrichtungs-Berechtigungsserver 300 den erlangten Inhaltsschlüssel Kc unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung nochmals, um dadurch den verschlüsselten Inhaltsschlüssel KpDEV(KC) zu erzeugen (Schritt S63). Nach Beendigung des obigen Prozesses wird der Status, der in die Lizenzverwaltungs-Datenbank (6) beschrieben wird, auf "Schlüsselumsetzung ist beendet" gesetzt.
    • (11) Gegenseitige Berechtigung Wenn der Benutzereinrichtungs-Berechtigungsserver 300 die Schlüsselumsetzung des verschlüsselten Inhaltsschlüssels beendet hat, erlangt der Benutzereinrichtungs-Berechtigungsserver 300 Zugriff auf den Ladenserver. Beim Zugreifen auf den Ladenserver 100 wird gegenseitige Berechtigung zwischen dem Benutzereinrichtungs-Berechtigungsserver 300 und dem Ladenserver 100 durchgeführt. Diese gegenseitige Berechtigung wird in einer ähnlichen Weise wie die oben beschriebene gegenseitige Berechtigung zwischen dem Ladenserver 100 und der Benutzereinrichtung 200 durchgeführt.
    • (12) Übertragung der verschlüsselten Inhaltsdaten Wenn die gegenseitige Berechtigung zwischen dem Benutzereinrichtungs-Berechtigungsserver 300 und dem Ladenserver 100 erfolgreich vorbei ist, überträgt der Benutzereinrichtungs-Berechtigungsserver 300 die verschlüsselten Inhaltsschlüsseldaten (DAS) zum Ladenserver 100. 17 zeigt die Datenstruktur der verschlüsselten Inhaltsschlüsseldaten (DAS). Die verschlüsselten Inhaltsschlüsseldaten (DAS) umfassen eine Laden-ID, welche einen Ladenserver 100 identifizieren, zu dem die Inhaltserwerbsanforderung gesendet wird, die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) (die Daten, welche in 14C gezeigt sind, welche vom Zertifikat des öffentlichen Schlüssels des Ladens und dem der Benutzereinrichtung abweichen), und die verschlüsselten Inhaltsschlüsseldaten KbDEV(Kc), welche durch den Benutzereinrichtungs-Berechtigungsserver 300 über den oben beschriebenen Schlüsselumsetzungsprozess erzeugt werden. Außerdem wird eine digitale Signatur der Benutzereinrichtung 300 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten (DAS) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten (DAS) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 und dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung 200 zum Ladenserver 100 übertragen. In dem Fall, wo der Ladenserver schon diese Zertifikate hat, ist es nicht erforderlich, diese Zertifikate nochmals zu übertragen. In dem Fall, wo der Benutzereinrichtungs-Berechtigungsserver 300 als hochverlässlich angesehen werden kann, brauchen die verschlüsselten Inhaltsschlüsseldaten (DAS) nicht in der Form aufgebaut sein, welche in 17D gezeigt ist, bei der die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) (bezeichnet durch (8)), welche durch die Benutzereinrichtung erzeugt werden, in ihrer ursprünglichen Form enthalten sind, sondern so aufgebaut sein, so dass, wie in 18D' gezeigt ist, die Benutzereinrichtungs-ID, die Transaktions-ID, die Inhalts-ID, die Ladenprozessnummer und der Inhaltsschlüssel KbDEV(Kc), welche unter Verwendung des öffentlichen Schlüssels der Benutzereinrichtung verschlüsselt wurden, durch den Benutzereinrichtungs-Berechtigungsserver 300 extrahiert werden und die verschlüsselten Inhaltsschlüsseldaten (DAS) von diesen extrahierten Daten zusätzlich zur digitalen Signatur des Benutzereinrichtungs-Berechtigungsservers 300 gebildet werden. In diesem Fall ist es nicht notwendig, die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) zu verifizieren (mit (8) in 17D bezeichnet), und es ist somit notwendig, lediglich das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 an die verschlüsselten Inhaltsschlüsseldaten (DAS) anzuhängen.
    • (13) Verifizieren der empfangenen Daten Wenn der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten (DAS) (17D) von dem Benutzereinrichtungs-Berechtigungsserver 300 empfängt, verifiziert der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten (DAS). Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses beschrieben, der in 15 gezeigt ist, durchgeführt. Das heißt, der Ladenserver 100 verifiziert zunächst das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers, welches vom Benutzereinrichtungs-Berechtigungsserver 300 empfangen wird, indem der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert der Ladenserver 100 die digitale Signatur, welche in die verschlüsselten Inhaltsschlüsseldaten (DAS), welche in 17D gezeigt sind, geschrieben ist, wobei der öffentliche Schlüssel KpDAS des Benutzereinrichtungs-Berechtigungsservers 300 verwendet wird. Außerdem verifiziert der Ladenserver 100 das öffentliche Schlüsselzertifikat der Benutzereinrichtung unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert der Ladenserver 100 die digitale Signatur, welche durch die Benutzereinrichtung in (8) die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) geschrieben sind, welche in den verschlüsselten Inhaltsschlüsseldaten (DAS), welche in 17D gezeigt sind, enthalten sind, unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung, welcher vom öffentlichen Schlüsselzertifikat extrahiert wird. Alternativ kann die Verifizierung der verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) unter Verwendung des öffentlichen Schlüssels KpSHOP des Ladenservers 100 durchgeführt werden. In dem Fall, wo der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten (DAS) in der vereinfachten Form, welche oben mit Hilfe von 18D' beschrieben wurde, empfängt, verifiziert der Ladenserver 100 das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA), wonach der Ladenserver 100 die digitale Signatur der verschlüsselten Inhaltsschlüssel-Umsetzungsanforderung (DAS), welche in 18D' gezeigt ist, unter Verwendung des öffentlichen Schlüssels KpDAS des Benutzereinrichtungs-Berechtigungsservers 300 verifiziert.
    • (14) Gegenseitige Berechtigung, und
    • (15) Übertragung der verschlüsselten Inhaltsschlüsselanforderung Danach überträgt die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten zum Ladenserver 100. In dem Fall, wo die verschlüsselten Inhaltsschlüssel-Anforderungsdaten in einer Sitzung, die gegenüber einer Sitzung verschieden ist, in welcher eine vorherige Anforderung übertragen wurde, übertragen werden, wird wiederum gegenseitige Berechtigung durchgeführt, und die verschlüsselten Inhaltsschlüssel-Anforderungsdaten werden von der Benutzereinrichtung 200 zum Ladenserver 100 lediglich dann übertragen, wenn die gegenseitige Berechtigung erfolgreich vorüber ist. 17E zeigt die Datenstruktur der verschlüsselten Inhaltsschlüssel-Anforderungsdaten. Die verschlüsselten Inhaltsschlüssel-Anforderungsdaten umfassen eine Laden-ID, welche einen Ladenserver 100 identifiziert, zu dem eine Inhaltserwerbsanforderung gesendet wird, eine Transaktion-ID, welche durch die Benutzereinrichtung 200 erzeugt wird, um eine Inhaltstransaktion zu identifizieren, eine Inhalts-ID, welche einen Inhalt zeigt, den die Benutzereinrichtung zu erwerben wünscht, und eine Ladenprozessnummer, welche in den Daten enthalten ist (14B), welche durch den Laden erzeugt wurde und als Inhaltsschlüsseldaten 1 (Laden) zur Benutzereinrichtung 200 übertragen wird. Außerdem wird eine digitale Signatur der Benutzereinrichtung für die obigen Daten den verschlüsselten Inhaltsschlüssel-Anforderungsdaten hinzugefügt. Die verschlüsselten Inhaltsschlüssel-Anforderungsdaten werden zusammen mit dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung zum Ladenserver 100 übertragen. In dem Fall, wo der Ladenserver schon das Zertifikat hat, ist es nicht erforderlich, das Zertifikat nochmals zu übertragen.
    • (16) Verifizierung, und
    • (17) Belastungsprozess Wenn der Ladenserver 100 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten von der Benutzereinrichtung empfängt, verifiziert der Ladenserver 100 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten. Dieser Verifizierungsprozess wird in einer ähnlichen Weise wie oben mit Hilfe von 15 beschrieben durchgeführt. Nach Beendigung der Datenverifizierung führt der Ladenserver 100 einen Belastungsprozess in Verbindung mit der Inhaltstransaktion durch. Dieser Belastungsprozess wird durchgeführt, um die Gebühr für den Inhalt von einem Konto eines Benutzers zu empfangen. Die empfangene Gebühr für den Inhalt wird unter einem Copyright-Halter des Inhalts, dem Laden, einem Eigner des Benutzereinrichtungs-Berechtigungsservers oder dgl. verteilt. Es sei angemerkt, dass es erforderlich ist, die verschlüsselte Inhaltsschlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver 300 vor dem Belastungsprozess durchzuführen, und somit der Belastungsprozess lediglich über einen Prozess zwischen dem Ladenserver 100 und der Benutzereinrichtung nicht durchgeführt werden kann. Die Benutzereinrichtung 200 kann den verschlüsselten Inhaltsschlüssel nicht entschlüsseln, und somit kann die Benutzereinrichtung 200 den Inhalt nicht verwenden, wenn die Schlüsselumsetzung nicht durchgeführt wurde. Die Historie aller Inhaltstransaktionen, bei denen die Schlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver durchgeführt wurde, wird in einer Lizenzverwaltungs-Datenbank aufgezeichnet, welche früher mit Hilfe von 6 beschrieben wurde, womit somit jegliche Inhaltstransaktion, welche einen Belastungsprozess benötigt, überwacht und verwaltet werden kann. Dies verhindert, dass irgendein Laden selbst eine Inhaltsverkaufstransaktion durchführt und somit wird verhindert, dass ein Inhalt in nichtberechtigter Weise verkauft wird.
    • (18) Übertragen von verschlüsselten Inhaltsschlüsseldaten 2 (Laden) Nach Beendigung des Belastungsprozesses überträgt der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) zur Benutzereinrichtung 200. 17F zeigt die Datenstruktur der verschlüsselten Inhaltsschlüsseldaten 2 (Laden). Die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) umfassen eine Benutzereinrichtungs-ID, welche die Benutzereinrichtung 200 identifiziert, welche die verschlüsselte Inhaltsschlüssel-Anforderung ausgegeben hat, und die verschlüsselten Inhaltsschlüsseldaten (DAS) (die Daten, welche in 17D gezeigt sind, abweichend von den öffentlichen Schlüsselzertifikaten der Benutzereinrichtung und des Benutzereinrichtungs-Berechtigungsservers), welche vom Benutzereinrichtungs-Berechtigungsserver 300 empfangen werden. Außerdem wird eine digitale Signatur des Ladenservers 100 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten 2 (Laden) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 100 und dem öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 zur Benutzereinrichtung 200 übertragen. In dem Fall, wo die Benutzereinrichtung 200 das Zertifikat des öffentlichen Schlüssels des Benutzereinrichtungs-Berechtigungsservers 300 und das Zertifikat des öffentlichen Schlüssels des Ladenservers schon hat, ist es nicht erforderlich, diese Zertifikate nochmals zu übertragen. In dem Fall, wo der Benutzereinrichtungs-Berechtigungsserver 300 durch eine hochverlässliche dritte Partei verwaltet wird und der Ladenserver 100 vom Benutzereinrichtungs-Berechtigungsserver 300 die verschlüsselten Inhaltsschlüsseldaten (DAS) in der vereinfachten Form empfängt, welche oben mit Hilfe von 18D' beschrieben wurde, überträgt der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) in der Form, welche in 18F' gezeigt ist, zur Benutzereinrichtung. Das heißt, die verschlüsselten Inhaltsschlüsseldaten (DAS) in der vereinfachten Form, welche in 18D' gezeigt sind, welche die Signatur des Ladenservers umfassen, werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 100 und dem öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 zur Benutzereinrichtung 200 übertragen.
    • (19) Verifizieren der empfangenen Daten Wenn die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) vom Ladenserver 100 empfängt, verifiziert die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden). Diese Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses beschrieben, der in 15 gezeigt ist, durchgeführt. Das heißt, die Benutzereinrichtung 200 verifiziert zunächst das öffentliche Schlüsselzertifikat des Ladenservers, welches vom Ladenserver 100 empfangen wird, unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert die Benutzereinrichtung 200 die digitale Signatur, welche in die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) geschrieben ist, welche in 17F gezeigt ist, wobei der öffentliche Schlüssel KpSHOP des Ladenservers 100 verwendet wird, der vom öffentlichen Schlüsselzertifikat extrahiert wird. Außerdem verifiziert die Benutzereinrichtung 200 das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert die Benutzereinrichtung 200 die digitale Signatur, welche in (12) die verschlüsselten Inhaltsschlüsseldaten (DAS) geschrieben ist, welche in den verschlüsselten Inhaltsschlüsseldaten 2 (Laden) enthalten ist, welche in 17F gezeigt ist, wobei der öffentliche Schlüssel KpDAS des Benutzereinrichtungs-Berechtigungsservers 300, der vom öffentlichen Schlüsselzertifikat extrahiert wird, verwendet wird. Alternativ kann die Verifizierung der verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung 200 durchgeführt werden.
    • (20) Speichern der Daten
  • Nachdem die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden), welche vom Ladenserver 100 empfangen werden, verifiziert hat, entschlüsselt die Benutzereinrichtung 200 unter Verwendung des Geheimschlüssels KsDEV der Benutzereinrichtung 200 den verschlüsselten Inhaltschlüssel KpDEV(Kc), der verschlüsselt wurde, wobei der öffentliche Schlüssel KpDEV der Benutzereinrichtung 200 verwendet wird und der in den verschlüsselten Inhaltsschlüsseldaten 2 (Laden) enthalten ist, wonach die Benutzereinrichtung 200 den Inhaltsschlüssel unter Verwendung des Speicherschlüssels Ksto der Benutzereinrichtung verschlüsselt, wodurch ein verschlüsselter Inhaltsschlüssel Ksto(Kc) erzeugt wird. Der resultierende verschlüsselte Inhaltsschlüssel Ksto(Kc) ist in der Speichereinrichtung der Benutzereinrichtung 200 gespeichert. Wenn der Inhalt verwendet wird, wird der verschlüsselte Inhaltsschlüssel Ksto(Kc) unter Verwendung des Speicherschlüssels Ksto entschlüsselt, wodurch der Inhaltsschlüssel Kc erlangt wird, und der verschlüsselte Inhalt Kc(Inhalt) wird unter Verwendung des erlangten Inhaltsschlüssels Kc entschlüsselt, um dadurch den Inhalt wiederzugeben.
  • 19 zeigt den Fluss des Prozesses, der durch die Benutzereinrichtung 200 durchgeführt wird, um den Inhaltsschlüssel Kc zu erlangen und um diesen zu speichern. Zunächst extrahiert die Benutzereinrichtung 200 den verschlüsselten Inhaltsschlüssel KpDEV(Kc), der unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung 200 verschlüsselt wurde, von den verschlüsselten Inhaltsschlüsseldaten 2 (Laden), welche vom Ladenserver 100 empfangen werden (Schritt S71), und die Benutzereinrichtung 200 entschlüsselt den verschlüsselten Inhaltsschlüssel KpDEV(Kc) unter Verwendung des Geheimschlüssels KsDEV der Benutzereinrichtung 200, um dadurch den Inhaltsschlüssel Kc zu extrahieren (Schritt S72).
  • Außerdem wird der Inhaltsschlüssel Kc unter Verwendung des Speicherschlüssels Ksto der Benutzereinrichtung verschlüsselt, wodurch der verschlüsselte Inhaltsschlüssel Ksto(Kc) erzeugt wird, wobei der resultierende verschlüsselte Inhaltsschlüssel Ksto(Kc) in der Speichereinrichtung (interner Speicher) der Benutzereinrichtung 200 gespeichert wird (Schritt S73).
  • Wenn der obige Prozess beendet ist, wird es für die Benutzereinrichtung möglich, den verschlüsselten Inhalt Kc(Inhalt), einen Inhaltsschlüssel Kc in Verbindung mit dem verschlüsselten Inhalt, zu erlangen, und es wird somit möglich für die Benutzereinrichtung möglich, den Inhalt zu verwenden. Es sei angemerkt, dass wie oben beschrieben es für die Benutzereinrichtung 200 möglich wird, den Inhalt nur zu verwenden, wenn die verschlüsselte Inhaltsschlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver 300 schon durchgeführt wurde. Dies bedeutet, dass der Ladenserver 100 einen Inhalt an die Benutzereinrichtung 200 nicht verkaufen kann, ohne den Benutzereinrichtungs-Berechtigungsserver 300 über die Verkaufstransaktion zu informieren, und es somit für die Benutzereinrichtung 200 nicht möglich wird, einen Inhalt zu verwenden, wenn der Benutzereinrichtungs-Berechtigungsserver 300 von der Verkaufstransaktion nicht informiert wird. Die Historie aller Inhaltstransaktionen, in denen die Schlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver durchgeführt wurde, wird in der Lizenzverwaltungs-Datenbank aufgezeichnet, welche früher mit Hilfe von 6 beschrieben wurde, und somit kann jegliche Inhaltstransaktion, welche einen Belastungsprozess benötigt, überwacht und verwaltet werden. Somit wird es möglich, dass die Gebühr für den Inhalt, die über den Belastungsprozess empfangen wird, geeignet unter einem Copyright-Halter des Inhalts dem Laden, einem Eigner des Benutzereinrichtungs-Berechtigungsservers oder dgl. verteilt werden kann.
  • Statusübergang der Einrichtungen
  • Der Ladenserver 100, die Benutzereinrichtung 200 und der Benutzereinrichtungs-Berechtigungsserver (DAS) 300, welche in 1 gezeigt sind, bestimmen einen nächsten Prozess während einer Sequenz von Prozessen in Verbindung mit einer Inhaltstransaktion gemäß der Statusinformation, welche den Status des Prozesses zeigt. Die Statusinformation wird für jede Inhaltstransaktion in der Verkaufsverwaltungs-Datenbank, welche in 3 gezeigt ist, des Ladenservers, in der Lizenzverwaltungs-Datenbank, welche in 6 gezeigt ist, des Benutzereinrichtungs-Berechtigungsservers und der Erwerbsverwaltungs-Datenbank, welche in 8 gezeigt ist, der Benutzereinrichtung gespeichert und verwaltet.
  • Der Statusübergang des Ladenserver 100 wird anschließend mit Hilfe von 20 beschrieben. Der Ladenserver initialisiert einen Prozess, wenn der Ladenserver Inhaltserwerbs-Anforderungsdaten von der Benutzereinrichtung 200 (Prozess 3, der in 1 gezeigt ist) empfängt. Bei einem Empfang der Daten von der Benutzereinrichtung 200 verifiziert der Ladenserver 100 die empfangenen Daten. Wenn die Verifizierung erfolgreich vorbei ist, wird der Status gesetzt auf einen Status "Erwerbsanforderung akzeptiert". Wenn jedoch die Datenverifizierung zeigt, dass die Erwerbsanforderung nicht gültig ist, wird der Prozess (in diesem speziellen Beispiel der Erwerbsanforderungs-Empfangsprozess) unmittelbar oder nach Wiederholung des Prozesses mit einer vorgegebenen Häufigkeit beendet, und der Status wird auf einen Status gesetzt "Erwerbsanforderung zurückgewiesen". Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Status im Status "Erwerbsanforderung akzeptiert" ist.
  • Wenn der Status in den Status "Erwerbsanforderung akzeptiert" geändert ist, überträgt der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) zur Benutzereinrichtung 200 (Prozessschritt (5) in 1). Wenn der Ladenserver 100 eine Bestätigungsantwort von der Benutzereinrichtung empfängt, wird der Status auf den Status "Schlüssel 1 geliefert" geändert. Wenn jedoch die Übertragung der Schlüsseldaten 1 fehlgeschlagen hat, wird der Prozess (in diesem speziellen Fall die Übertragung der Schlüsseldaten 1) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Status wird auf einen Status "Lieferung des Schlüssels 1 fehlgeschlagen" gesetzt. Der Prozess läuft zu einem nächsten Schritt nur dann, wenn der Status der Status "Schlüssel 1 geliefert" ist.
  • Wenn der Status in einen Status "Schlüssel 1 geliefert" geändert wird, empfängt der Ladenserver die verschlüsselten Inhaltsschlüsseldaten (DAS) vom Benutzereinrichtungs-Berechtigungsserver 300 (Prozessschritt (12) in 1) und verifiziert die empfangenen Daten. Wenn die Verifizierung erfolgreich vorüber ist, wird der Status auf einen Status "Empfang des Schlüssels beendet" gesetzt. Wenn jedoch die Datenverifizierung zeigt, dass die empfangenen Daten nicht gültige verschlüsselte Inhaltsschlüsseldaten (DAS) sind, wird der Prozess (in diesem speziellen Fall der Empfang des Schlüssels) unmittelbar oder nach Wiederholung des Prozesses mit einer vorher festgelegten Häufigkeit beendet, und der Status wird auf einen Status "Empfang des Schlüssels fehlgeschlagen" gesetzt. Das Verfahren läuft weiter zu einem nächsten Schritt nur dann, wenn der Status im Status "Empfang des Schlüssels beendet" ist.
  • Wenn der Status in den Status "Empfang des Schlüssels beendet" geändert wird, empfängt der Ladenserver 100 die verschlüsselten Inhaltsschlüssel-Übertragungsanforderungsdaten von der Benutzereinrichtung 200 (Prozessschritt (15) in 1) und verifiziert die empfangenen Daten. Wenn die Verifizierung erfolgreich vorbei ist, wird der Status auf einen Status "Empfang der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung beendet" geändert. Wenn jedoch die Datenverifizierung zeigt, dass die verschlüsselten Inhaltsschlüssel-Übertragungsanforderungsdaten nicht gültig sind, wird der Prozess (Empfang der verschlüsselten Inhaltsschlüssel-Übertragungsanforderungsdaten in diesem speziellen Fall) unmittelbar beendet oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit, und der Status wird auf einen Status "Empfang der verschlüsselten Inhaltsschlüsselanforderung fehlgeschlagen" gesetzt. Der Prozess läuft weiter zum nächsten Schritt nur dann, wenn der Status im Status "Empfang der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung beendet" ist.
  • Wenn der Status in den Status "Empfang der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung beendet" geändert wird, führt der Ladenserver 100 den Belastungsprozess durch (Prozessschritt (17) in 1). Nach Beendigung des Belastungsprozesses wird der Status in einem Status "Belastung beendet" geändert. Wenn jedoch der Belastungsprozess wegen beispielsweise eines Fehlers nicht erfolgreich beendet ist, um eine Gebühr von einem speziellen Konto der Benutzereinrichtung zu empfangen, wird der Prozess (Belastungsprozess in diesem speziellen Fall) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Status wird auf einen Status "Belasten fehlgeschlagen" eingestellt. Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Status im Status "Belastung beendet" ist.
  • Wenn der Status auf den Status "Belastung beendet" geändert wird, überträgt der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) zur Benutzereinrichtung (Prozessschritt 18) in 1. Nach Beendigung der Übertragung der verschlüsselten Inhaltsschlüsseldaten 2 (Laden) setzt, wenn der Ladenserver 100 eine Bestätigungsantwort von der Benutzereinrichtung empfängt, der Ladenserver 100 den Status auf einen Status "Schlüssel 2 geliefert". Wenn jedoch die Übertragung der Schlüsseldaten 2 (Laden) fehlschlägt, wird der Status in einem Status "Lieferung des Schlüssels 2 fehlgeschlagen" geändert. Lediglich, wenn der Status im Status "Schlüssel 2 geliefert" ist, läuft der Prozess zu einem nächsten Schritt, der ein Schlussschritt in diesem speziellen Fall ist. Wenn der Status im Status "Liefern des Schlüssels 2 fehlgeschlagen" ist, werden die nachfolgenden Schritte nicht durchgeführt, sondern es wird der Prozess (in diesem speziellen Fall die Übertragung der Schlüsseldaten 2 (Laden)) unmittelbar oder nach Wiederholen des Prozesses mit einer bestimmten Häufigkeit beendet. Im Ladenserver 100 wird der Status in der oben beschriebenen Weise für jede Inhaltstransaktion geändert.
  • Der Statusübergang der Benutzereinrichtung 200 wird anschließend mit Hilfe von 21 erläutert. Die Benutzereinrichtung 200 initialisiert einen Prozess, Inhaltserwerbs-Anforderungsdaten zum Ladenserver 100 zu übertragen (Prozess (3), der in 1 gezeigt ist). Wenn die Benutzereinrichtung 200 vom Ladenserver 100 eine Antwort empfängt, die zeigt, dass die Inhaltserwerbs-Anforderungsdaten erfolgreich durch den Ladenserver 100 empfangen wurden, wird der Status auf einen Status "Erwerbsanforderungsübertragung beendet" gesetzt. Wenn jedoch die Antwort, die zeigt, dass die Inhaltserwerbs-Anforderungsdaten erfolgreich durch den Ladenserver 100 empfangen wurden, nicht vom Ladenserver 100 empfangen wird, wird der Prozess (Übertragung der Erwerbsanforderung in diesem speziellen Fall) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Status wird auf einen Status" Erwerbsanforderungsübertragung fehlgeschlagen" gesetzt. Dieser Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Status im Status "Erwerbsanforderungsübertragung beendet" ist.
  • Wenn der Status auf den Status "Erwerbsanforderungsübertragung beendet" geändert wird, empfängt die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) vom Ladenserver 100 (Prozessschritt (5) in 1) und verifiziert die empfangen Daten. Wenn die verschlüsselten Inhaltsschlüsseldaten erfolgreich vom Ladenserver 100 empfangen werden, wird der Status auf einen Status "Empfang des Schlüssels 1 beendet" gesetzt. Wenn jedoch die Datenverifizierung zeigt, dass die empfangenen Daten keine gültigen verschlüsselten Inhaltsschlüsseldaten sind, wird der Prozess (in diesem speziellen Fall der Empfang des Schlüssels 1) unmittelbar, nachdem der Prozess mehrere Male wiederholt wird, beendet, und der Status wird auf einen Status "Empfang des Schlüssels 1 fehlgeschlagen" gesetzt. Der Prozess läuft weiter zum nächsten Schritt lediglich dann, wenn der Status im Status "Empfang des Schlüssels 1 beendet" ist.
  • Wenn der Status in den Status "Empfang des Schlüssels 1 beendet" geändert wird, überträgt die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten (die Benutzereinrichtung zum Benutzereinrichtungs-Berechtigungsserver 300 (Prozessschritt (8) in 1) und wartet auf eine Antwort vom Benutzereinrichtungs-Berechtigungsserver 300. Wenn eine Bestätigungsantwort vom Benutzereinrichtungs-Berechtigungsserver 300 empfangen wird, wird der Status auf einen Status "Übertragung des Schlüssels beendet" geändert. Wenn jedoch die Bestätigungsantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung des Schlüssels) unmittelbar oder nach dem Wiederholen des Prozesses mit einer vorgegebenen Häufigkeit beendet, und der Status wird auf einen Status "Übertragung des Schlüssels fehlgeschlagen" gesetzt. Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Status im Status "Übertragung des Schlüssels beendet" ist. Wenn der Status in den Status "Übertragung des Schlüssels beendet" geändert wird, überträgt die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüssel-Übertragungsanforderungsdaten zum Ladenserver 100 (Prozessschritt (15) in 1) und wartet auf eine Antwort vom Ladenserver 100. Wenn eine Bestätigungsantwort vom Ladenserver 100 empfangen wird, wird der Status in einen Status "Übertragung der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung beendet" geändert. Wenn jedoch die Bestätigungsantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung unmittelbar oder nach dem Wiederholen des Prozesses mit einer vorgegebenen Häufigkeit beendet, und der Status wird auf einen Status "Übertragung der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung fehlgeschlagen" eingestellt. Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Status im Status "Übertragung der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung beendet" ist.
  • Wenn der Status in den Status "Übertragung der verschlüsselten Inhaltsschlüssel Übertragungsanforderung beendet" geändert wird, empfängt die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) vom Ladenserver 100 (Prozessschritt (18) in 1) und verifiziert die empfangenen Daten. Wenn die Datenverifizierung erfolgreich vorüber ist, wird der Status auf einen Status "Empfang des Schlüssels 2 beendet" eingestellt. Der Prozess (in diesem Fall der Empfang der verschlüsselten Inhaltsschlüsseldaten 2 (Laden)) wird unmittelbar oder nach Wiederholung des Prozesses mit einer vorgegebenen Häufigkeit beendet, und der Status wird auf einen Status "Wiederholung des Schlüssels 2 fehlgeschlagen" eingestellt. Wenn der Status im Status "Empfang des Schlüssels 2 beendet" ist, wird der Prozess beendet. In der Einrichtung 200 wird der Status in der oben beschriebenen Weise für jede Inhaltstransaktion geändert.
  • Der Statusübergang des Benutzereinrichtungs-Berechtigungsservers 300 wird anschließend mit Hilfe von 22 beschrieben. Der Benutzereinrichtungs-Berechtigungsserver 300 initialisiert einen Prozess, wenn der Benutzereinrichtungs-Berechtigungsserver 300 verschlüsselte Inhaltsschlüsseldaten (Benutzereinrichtung) von der Benutzereinrichtung 200 empfängt (Prozess (8) in 1). Beim Empfang der Daten von der Benutzereinrichtung 200 verifiziert der Benutzereinrichtungs-Berechtigungsserver 300 die empfangenen Daten. Wenn die Verifizierung erfolgreich vorbei ist, wird der Status auf einen Status "Empfang des Schlüssels beendet" eingestellt. Wenn jedoch die Datenverifizierung zeigt, dass die empfangenen Daten nicht gültig sind, wird der Prozess (in diesem speziellen Fall der Empfang der verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung)) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Status wird auf einen Status "Empfang des Schlüssels fehlgeschlagen" eingestellt. Die Verarbeitung läuft weiter zu einem nächsten Schritt nur dann, wenn der Status im Status "Empfang des Schlüssels beendet" ist.
  • Wenn der Status auf den Status "Empfang des Schlüssels beendet" geändert wird, führt der Benutzereinrichtungs-Berechtigungsserver 300 den Inhaltsschlüssel-Umsetzungsprozess durch (Prozessschritt (10) in 1). Wenn die Inhaltsschlüsselumsetzung erfolgreich abgeschlossen ist, wird der Status auf einen Status "Schlüsselumsetzung beendet" eingestellt. Hier sei angenommen, dass die Schlüsselumsetzung immer erfolgreich abgeschlossen ist, und der Status immer auf den Status "Schlüsselumsetzung beendet" eingestellt ist.
  • Wenn der Status in den Status "Schlüsselumsetzung beendet" geändert wird, überträgt der Benutzereinrichtungs-Berechtigungsserver 300 die verschlüsselten Inhaltsschlüsseldaten (DAS) zum Ladenserver 100 (Prozessschritt (12) in 1) und wartet auf eine Antwort vom Ladenserver 100. Wenn eine Bestätigungsantwort vom Ladenserver 100 empfangen wird, wird der Status auf einen Status "Übertragung des Schlüssels beendet" geändert. Wenn jedoch die Bestätigungsantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung der verschlüsselten Inhaltsschlüsseldaten (DAS)) unmittelbar oder nach Wiederholen des Prozesses mit einer vorgegebenen Häufigkeit beendet, und der Status wird auf einen Status "Übertragung des Schlüssels fehlgeschlagen" eingestellt. Wenn der Status der Status "Übertragung des Schlüssels beendet" ist, wird der Prozess beendet. Im Benutzereinrichtungs-Berechtigungsserver 300 wird der Status in der oben beschriebenen Weise für jede Inhaltstransaktion geändert.
  • Inhaltserwerbsprozess
  • Als Antwort auf das Ausgeben einer Inhaltserwerbs-Anforderung von der Benutzereinrichtung 200 an den Ladenserver 100 wird die Datenübertragung/der Datenempfang zwischen dem Ladenserver 100, der Benutzereinrichtung 200 und dem Benutzereinrichtungs-Berechtigungsserver 300 durchgeführt, wie anschließend beschrieben wird. Der Prozess umfasst die folgenden vier Teile A, B, C und D.
  • A. Prozess zwischen dem Ladenserver und der Benutzereinrichtung (Prozessschritte (1) bis (6) in 1)
  • Dieser Prozessteil A umfasst einen Schritt zur gegenseitigen Berechtigung zwischen der Benutzereinrichtung 200 und dem Ladenserver 100, einen Schritt, bei dem die Benutzereinrichtung 200 eine Inhaltserwerbs-Anforderung an den Ladenserver 100 überträgt, und einen Schritt, bei dem der Ladenserver 100 einen Schlüssel 1 (Laden) zur Benutzereinrichtung 200 überträgt.
  • B. Prozess zwischen dem Benutzereinrichtungs-Berechtigungsserver und der Benutzereinrichtung (Prozessschritte (7) bis (9) in 1)
  • Dieser Prozessteil B umfasst einen Schritt, bei dem die gegenseitige Berechtigung zwischen der Benutzereinrichtung 200 und dem Benutzereinrichtungs-Berechtigungsserver 300 durchgeführt wird, einen Schritt, bei dem verschlüsselte Inhaltsschlüsseldaten übertragen werden, und einen Schritt, bei dem der Benutzereinrichtungs-Berechtigungsserver 300 die empfangenen Daten verifiziert.
  • C. Prozess zwischen dem Benutzereinrichtungs-Berechtigungsserver und dem Ladenserver (Prozessschritte (11) bis (13) in 1)
  • Dieser Prozessteil C umfasst einen Schritt, bei dem die gegenseitige Berechtigung zwischen dem Benutzereinrichtungs-Berechtigungsserver 300 und dem Ladenserver 100 durchgeführt wird, einen Schritt, bei dem verschlüsselte Inhaltsschlüsseldaten (DAS) übertragen werden, und einen Schritt, bei dem der Ladenserver 100 die empfangenen Daten verifiziert.
  • D. Prozess zwischen dem Ladenserver und der Benutzereinrichtung (Prozessschritte (14) bis (19) in 1)
  • Dieser Prozessteil D umfasst einen Schritt, bei dem die gegenseitige Berechtigung zwischen der Benutzereinrichtung 200 und dem Ladenserver 100 durchgeführt wird, einen Schritt, bei dem die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten zum Ladenserver 100 überträgt, einen Schritt, bei dem der Ladenserver 100 einen Schlüssel 2 (Laden) zur Benutzereinrichtung 200 überträgt, und einen Schritt, bei dem die Benutzereinrichtung 200 die empfangenen Daten verifiziert.
  • Zunächst wird der Prozessteil A, der zwischen dem Ladenserver und der Benutzereinrichtung durchgeführt wird (Schritte (1) bis (6) in 1) mit Hilfe von 23 und 24 beschrieben.
  • In 23 und 24 ist der Prozess, der durch den Ladenserver durchgeführt wird, auf der linken Seite gezeigt, und der Prozess, der durch die Benutzereinrichtung durchgeführt wird, ist auf der rechten Seite gezeigt. In den Flussdiagrammen sind die Schritte, welche durch den Ladenserver durchgeführt werden, mit S10xx bezeichnet, die Schritte, welche durch die Benutzereinrichtung durchgeführt werden, sind mit S20xx bezeichnet, und die Schritte, welche durch den Benutzereinrichtungs-Berechtigungsserver durchgeführt werden, sind mit S30xx bezeichnet.
  • Am Beginn des Prozesses wird, wie in 23 gezeigt, gegenseitige Berechtigung zwischen dem Ladenserver und der Benutzereinrichtung durchgeführt (Schritte S1001 und S2001). Die gegenseitige Berechtigung wird in einer ähnlichen Weise wie oben mit Hilfe von 12 und 13 beschrieben durchgeführt. Bei der folgenden Datenübertragung werden die Daten, nachdem sie verschlüsselt sind, wenn erforderlich, unter Verwendung eines Sitzungsschlüssels, der während des gegenseitigen Berechtigungsprozesses erzeugt wird, übertragen. Wenn die gegenseitige Berechtigung erfolgreich vorbei ist, fügt der Ladenserver eine neue Ladenprozessnummer als einen neuen Prozesseintrag der Verlaufsverwaltungs-Datenbank hinzu (3) (Schritt S1003).
  • Wenn dagegen die gegenseitige Berechtigung erfolgreich vorbei ist, erzeugt die Benutzereinrichtung auf Basis von beispielsweise einer Zufallszahl eine Transaktions-ID, die für die aktuelle Inhaltstransaktion angewandt wird, und die Benutzereinrichtung fügt die Inhalts-ID als neuen Eintrag der Erwerbsdatenbank hinzu (8) (Schritt S2003). Danach überträgt die Benutzereinrichtung die Inhaltserwerbs-Anforderungsdaten zum Ladenserver (Schritt S2004). Das heißt, (3) die Erwerbsanforderungsdaten, welche in 14A gezeigt sind, werden übertragen.
  • Wenn der Ladenserver die Inhaltserwerbs-Anforderungsdaten von der Benutzereinrichtung empfängt (Schritt S1004), verifiziert der Ladenserver die empfangenen Daten (Schritt S1005). Die Datenverifizierung wird gemäß dem Prozessfluss durchgeführt, der oben mit Hilfe von 11 beschrieben wurde. Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten nicht verfälscht sind und die Daten gültig sind, überträgt der Ladenserver zur Benutzereinrichtung eine Nachricht, die zeigt, dass die Inhaltserwerbs-Anforderungsdaten erfolgreich empfangen wurden (Schritt S1008), und der Ladenserver setzt den Zustand, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, auf einen Zustand "Empfang der Erwerbsanforderung beendet" (Schritt S1010). Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten verfälscht sind und die Daten nicht gültig sind, überträgt der Ladenserver zur Benutzereinrichtung eine Nachricht, die zeigt, dass die empfangenen Daten nicht gültig sind (Schritt S1007), und der Ladenserver setzt den Zustand, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, so, um zu zeigen, dass die Erwerbsanforderung zurückgewiesen wurde (Schritt S1009).
  • Bei einem Empfang der Nachricht, die zeigt, dass die Daten erfolgreich durch den Ladenserver akzeptiert wurden (Schritte S2005 und S2006), setzt die Benutzereinrichtung den Status, der in der Erwerbsverwaltungs-Datenbank beschrieben wurde, so, um zu zeigen, dass die Erwerbsanforderung erfolgreich übertragen wurde. In dem Fall jedoch, wo die Benutzereinrichtung vom Ladenserver eine Nachricht empfängt, die zeigt, dass die Erwerbsanforderung zurückgewiesen wurde (Schritte S2005 und S2006), setzt die Benutzereinrichtung den Status, der in der Erwerbsverwaltungs-Datenbank beschrieben wurde, so, um zu zeigen, dass die Erwerbsanforderung zurückgewiesen wurde.
  • Wenn der Ladenserver den in der Verkaufsverwaltungs-Datenbank beschriebenen Zustand so eingestellt hat, um zu zeigen, dass die Erwerbsanforderung akzeptiert wurde (Schritt S1010), erzeugt der Ladenserver die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) (14B) (Schritt S1011) und überträgt zur Benutzereinrichtung den verschlüsselten Inhalt Kc(Inhalt), der unter Verwendung des Inhaltsschlüssels Kc verschlüsselt wurde (Schritt S1012). Außerdem überträgt der Ladenserver zur Benutzereinrichtung die verschlüsselten Inhaltsschlüsseldaten 1 (Laden), welche in 14B gezeigt sind (Schritt S1013).
  • Nach dem Setzen des Status, der in der Erwerbsverwaltungs-Datenbank beschrieben wurde, um so anzuzeigen, dass die Erwerbsanforderung erfolgreich übertragen wurde (Schritt S2007), empfängt die Benutzereinrichtung vom Ladenserver den verschlüsselten Inhalt Kc(Inhalt), der unter Verwendung des Inhaltsschlüssels Kc (Schritt S2009) verschlüsselt wurde, und empfängt außerdem die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) (14B) (Schritt S2010).
  • Im Schritt S2021 führt die Benutzereinrichtung die Verifizierung (11) der Daten durch, welche in den Schritten S2009 und S2010 empfangen wurden. Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten nicht verfälscht sind und die Daten gültig sind, überträgt die Benutzereinrichtung zum Ladenserver eine Nachricht, die zeigt, dass die Daten erfolgreich empfangen wurden (Schritt S2023), und die Benutzereinrichtung setzt den in der Erwerbsverwaltungs-Datenbank beschriebenen Zustand so, um zu zeigen, dass der Schlüssel 1 erfolgreich empfangen wurde (Schritt S2025). Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten verfälscht wurden und die Daten nicht gültig sind, überträgt die Benutzereinrichtung zum Ladenserver eine Nachricht, die zeigt, dass die empfangenen Daten nicht gültig sind (Schritt S2024), und die Benutzereinrichtung setzt den Status, der in der Erwerbsverwaltungs-Datenbank beschrieben wurde, so, um zu zeigen, dass der Empfang des Schlüssels 1 fehlgeschlagen hat (Schritt S2026). Danach trennt die Benutzereinrichtung die Verbindung mit dem Ladenserver (Schritt S2027).
  • Wenn Ladenserver von der Benutzereinrichtung die Nachricht empfängt, die zeigt, dass die Daten durch die Benutzereinrichtung erfolgreich empfangen wurden (Schritt S1021), setzt der Ladenserver den Status, der in der Verkaufsverwaltungs-Datenbank beschrieben wurde, so, um zu zeigen, dass der Schlüssel 1 erfolgreich geliefert wurde (Schritt S1024). Wenn jedoch die Nachricht von der Benutzereinrichtung zeigt, dass die Daten nicht gültig sind, setzt der Ladenserver den Status, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, so, um zu zeigen, dass das Liefern des Schlüssels 1 fehlgeschlagen ist (Schritt S1023). Danach trennt der Ladenserver die Verbindung mit der Benutzereinrichtung (Schritt S1025).
  • In dem Fall, wo die gegenseitige Berechtigung in den Schritten S1002 und S2002 fehlschlägt, oder in dem Fall, wo der Status auf den Status gesetzt wird "Empfang der Erwerbsanforderung fehlgeschlagen" im Schritt S1009, oder der Status auf den Status "Übertragung der Erwerbsanforderung fehlgeschlagen" im Schritt S2008 gesetzt ist, wird der Prozess beendet, und die Kommunikationsverbindung wird abgeschaltet. Anschließend wird der Prozessteil B, der zwischen dem Benutzereinrichtungs-Berechtigungsserver und der Benutzereinrichtung durchgeführt wird (Schritt (7) bis (9) in 1) mit Hilfe des Flussdiagramms, welches in 25 gezeigt ist, beschrieben. Zunächst wird die gegenseitige Berechtigung zwischen dem Benutzereinrichtungs-Berechtigungsserver und der Benutzereinrichtung durchgeführt (Schritte S3001 und S2031). Die gegenseitige Berechtigung wird in einer ähnlichen Weise wie oben mit Hilfe von 12 und 13 beschrieben durchgeführt. Bei der nachfolgenden Datenübertragung werden die Daten, nachdem sie verschlüsselt sind, wenn dies erforderlich ist, übertragen, wobei ein Sitzungsschlüssel verwendet wird, der während des gegenseitigen Berechtigungsprozesses erzeugt wird. Wenn die gegenseitige Berechtigung erfolgreich vorbei ist, fügt der Benutzereinrichtungs-Berechtigungsserver eine neue DAS-Prozessnummer als neuen Prozesseintrag der Lizenzverwaltungs-Datenbank hinzu (6) (Schritt S3003).
  • Wenn dagegen die gegenseitige Berechtigung erfolgreich vorbei ist, erzeugt die Benutzereinrichtung die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) (14C) (Schritt S2023) und überträgt diese zum Benutzereinrichtungs-Berechtigungsserver (Schritt S2034).
  • Wenn der Benutzereinrichtungs-Berechtigungsserver die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) von der Benutzereinrichtung (Schritt S3004) empfängt, verifiziert der Benutzereinrichtungs-Berechtigungsserver die empfangenen Daten (Schritt 3005). Die Datenverifizierung wird gemäß dem Prozessfluss durchgeführt, der oben mit Hilfe von 11 beschrieben wurde. Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten nicht verfälscht sind und die Daten gültig sind, überträgt der Benutzereinrichtungs-Berechtigungsservers zur Benutzereinrichtung eine Nachricht, die zeigt, dass die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) erfolgreich empfangen wurden (Schritt S3008), und der Benutzereinrichtungs-Berechtigungsserver setzt den Status, der in der Lizenzverwaltungs-Datenbank beschrieben wurde, so, um zu zeigen, dass der Schlüssel erfolgreich empfangen wurde (Schritt S3010). Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten verfälscht sind und die Daten nicht gültig sind, überträgt der Benutzereinrichtungs-Berechtigungsserver zur Benutzereinrichtung eine Nachricht, die zeigt, dass die empfangenen Daten nicht gültig sind (Schritt S3007), und der Benutzereinrichtungs-Berechtigungsserver setzt den Status, der in der Lizenzverwaltungs-Datenbank beschrieben ist, so, um zu zeigen, dass der Empfang des Schlüssels fehlgeschlagen hat (Schritt S3009). Danach trennt der Benutzereinrichtungs-Berechtigungsserver die Verbindung mit der Benutzereinrichtung (Schritt S3011). Wenn die Benutzereinrichtung die Bestätigungsantwort vom Benutzereinrichtungs-Berechtigungsserver empfängt (Schritte S2035 und S2036), setzt die Benutzereinrichtung den Status, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, auf einen Zustand "Übertragung des Schlüssels beendet" (Schritt S2037). In dem Fall jedoch, wo die Benutzereinrichtung die negative Bestätigungsantwort vom Benutzereinrichtungs-Berechtigungsserver empfängt (Schritte S2035 und S2036), setzt die Benutzereinrichtung den Status, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, auf den Status "Übertragung des Schlüssels fehlgeschlagen" (Schritt S2038). Danach wird die Verbindung mit dem Benutzereinrichtungs-Berechtigungsserver abgeschaltet (Schritt S2039).
  • In dem Fall, wo die gegenseitige Berechtigung in den Schritten S3002 und S2032 fehlgeschlagen hat, wird der Prozess beendet und die Verbindung getrennt.
  • Der Prozessteil C, der zwischen dem Benutzereinrichtungs-Berechtigungsserver und dem Ladenserver durchgeführt wird (Schritte (11) bis (13) in 1), wird anschließend mit Hilfe des in 26 gezeigten Flussdiagramms beschrieben. Zunächst wird die gegenseitige Berechtigung zwischen dem Benutzereinrichtungs-Berechtigungsserver und dem Ladenserver durchgeführt (Schritte S3021 und S1031). Die gegenseitige Berechtigung wird in einer ähnlichen Weise wie oben mit Hilfe von 12 und 13 beschrieben durchgeführt. Bei der nachfolgenden Datenübertragung werden die Daten, nachdem sie verschlüsselt wurden, wenn dies erforderlich ist, unter Verwendung eines Sitzungsschlüssels übertragen, der während des gegenseitigen Berechtigungsprozesses erzeugt wird. Wenn die gegenseitige Berechtigung erfolgreich vorbei ist, erzeugt der Benutzereinrichtungs-Berechtigungsserver die verschlüsselten Inhaltsschlüsseldaten (DAS) (17D) (Schritt S3023) und überträgt diese zum Ladenserver (Schritt S3024).
  • Wenn dagegen die gegenseitige Berechtigung erfolgreich verlaufen ist, empfängt der Ladenserver die verschlüsselten Inhaltsschlüsseldaten (DAS) (17D) vom Benutzereinrichtungs-Berechtigungsserver (Schritt S1033) und verifiziert die empfangenen Daten (Schritt S1034). Die Datenverifizierung wird gemäß dem Prozessfluss durchgeführt, der oben mit Hilfe von 11 beschrieben wurde. Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten nicht verfälscht sind und dass die Daten gültig sind, überträgt der Ladenserver eine Bestätigungsantwort an den Benutzereinrichtungs-Berechtigungsserver (Schritt S1036) und setzt den Status, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, auf einen Zustand "Empfang des Schlüssels beendet" (Schritt S1038). Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten verfälscht wurden und die Daten nicht gültig sind, überträgt der Ladenserver eine negative Bestätigungsantwort an den Benutzereinrichtungs-Berechtigungsserver (Schritt S1037) und setzt den Status, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, auf einen Zustand "Empfang des Schlüssels fehlgeschlagen" (Schritt S1039). Danach wird die Verbindung mit dem Benutzereinrichtungs-Berechtigungsserver getrennt (Schritt S1040).
  • Wenn der Benutzereinrichtungs-Berechtigungsserver die Bestätigungsantwort vom Ladenserver empfängt (Schritte S3025 und S3026), setzt die Benutzereinrichtungs-Berechtigungsserver den Status, welcher in Lizenzverwaltungs-Datenbank beschrieben wurde, auf einen Zustand "Übertragung des Schlüssels beendet" (Schritt S3028). In dem Fall jedoch, wo der Benutzereinrichtungs-Berechtigungsserver die negative Bestätigungsantwort vom Ladenserver empfängt (Schritte S3025 und S3026), wird der Status, der in der Lizenzverwaltungs-Datenbank beschrieben wird, auf einen Zustand "Übertragung des Schlüssels fehlgeschlagen" gesetzt (Schritt S3027) und die Verbindung mit dem Ladenserver wird abgeschaltet (Schritt S3029).
  • In dem Fall, wo die gegenseitige Berechtigung in den Schritten S3022 und S1032 fehlgeht, wird der Prozess beendet und die Kommunikationsverbindung wird abgeschaltet.
  • Anschließend wird der Prozessteil D, der zwischen dem Ladenserver und der Benutzereinrichtung durchgeführt wird (Schritte (14) bis (19) in 1) mit Hilfe von 27 und 28 beschrieben.
  • Am Anfang des Prozesses wird die gegenseitige Berechtigung zwischen dem Ladenserver und der Benutzereinrichtung durchgeführt (Schritte S1051 und S2051). Die gegenseitige Berechtigung wird in einer ähnlichen Weise wie oben mit Hilfe von 12 und 13 beschrieben durchgeführt. Bei der folgenden Datenübertragung werden die Daten übertragen, nachdem diese wenn erforderlich verschlüsselt sind, unter Verwendung eines Sitzungsschlüssels, der während des gegenseitigen Berechtigungsprozesses erzeugt wird. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, erzeugt die Benutzereinrichtung die verschlüsselten Inhaltsschlüssel-Übertragungsanforderungsdaten (17E) (Schritt S2053) und überträgt diese zum Ladenserver (Schritt S2054).
  • Wenn der Ladenserver die verschlüsselte Inhaltsschlüssel-Übertragungsanforderung von der Benutzereinrichtung empfängt (Schritt S1054), verifiziert der Ladenserver die empfangenen Daten (Schritt S1055). Die Datenverifizierung wird gemäß dem Prozessfluss durchgeführt, der oben mit Hilfe von 11 beschrieben wurde. Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten nicht verfälscht sind und die Daten gültig sind, überträgt der Ladenserver zur Benutzereinrichtung eine Nachricht, die zeigt, dass die verschlüsselten Inhaltsschlüssel-Anforderungsdaten erfolgreich empfangen wurden (Schritt S1058), und der Ladenserver setzt den Status, der in der Verwaltungsdatenbank beschrieben wurde, auf einen Status "Empfang der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung beendet" (S1060). Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten verfälscht wurden und die Daten nicht gültig sind, überträgt der Ladenserver zur Benutzereinrichtung eine Nachricht, welche zeigt, dass die empfangenen Daten nicht gültig sind (Schritt S1057) und setzt den Status, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, auf einen Zustand "Empfang der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung fehlgeschlagen" (Schritt S1059).
  • Wenn die Benutzereinrichtung die Bestätigungsantwort vom Ladenserver empfängt (Schritte S2055 und S2056), setzt die Benutzereinrichtung den beschriebenen Status in der Erwerbsverwaltungs-Datenbank auf einen Zustand "Übertragung der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung beendet" (Schritt S2057). In dem Fall jedoch, wo die Benutzereinrichtung die negative Bestätigungsantwort vom Ladenserver empfängt (Schritte S2055 und S2056), setzt die Benutzereinrichtung den in den beschriebenen Status in der Erwerbsverwaltungs-Datenbank auf einen Zustand "Übertragung der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung fehlgeschlagen" (Schritt S2058).
  • Im Ladenserver erzeugt nach dem Setzen des Status, der in der Erwerbsverwaltungs-Datenbank beschrieben ist, auf den Zustand "Empfang der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung beendet" (Schritt S1060), der Ladenserver die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) (17F) (Schritt S1061) und überträgt diese zur Benutzereinrichtung (Schritt S1062).
  • In der Benutzereinrichtung empfängt dagegen nach dem Setzen des Status, der in der Erwerbsverwaltungs-Datenbank beschrieben ist, auf den Zustand "Übertragung der verschlüsselten Inhaltsschlüssel-Übertragungsanforderung beendet" (Schritt S2057), die Benutzereinrichtung die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) (17F) vom Ladenserver (Schritt S2059).
  • Im Schritt S2071 führt die Benutzereinrichtung die Verifizierung (11) der Daten durch, welche im Schritt S2059 empfangen wurden. Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten nicht verfälscht sind und die Daten gültig sind, überträgt die Benutzereinrichtung zum Ladenserver eine Nachricht, die zeigt, dass die Daten erfolgreich empfangen wurden (Schritt S2073), und die Benutzereinrichtung setzt den Status, der in der Erwerbsverwaltungs-Datenbank beschrieben wurde, so, um zu zeigen, dass der Schlüssel 2 erfolgreich empfangen wurde (Schritt S2075). Wenn das Ergebnis der Verifizierung der empfangenen Daten zeigt, dass die Daten verfälscht wurden und die Daten nicht gültig sind, überträgt die Benutzereinrichtung zum Ladenserver eine Nachricht, die zeigt, dass die empfangenen Daten nicht gültig sind (Schritt S2074), und die Benutzereinrichtung setzt den Status, der in der Erwerbsverwaltungs-Datenbank beschrieben ist, so, um zu zeigen, dass das Empfangen des Schlüssels 2 fehlgeschlagen ist (Schritt S2076). Danach trennt die Benutzereinrichtung die Verbindung mit dem Ladenserver (Schritt S2077).
  • Wenn der Ladenserver von der Benutzereinrichtung die Nachricht empfängt, die zeigt, dass die Daten durch die Benutzereinrichtung erfolgreich empfangen wurden (Schritt S1071), setzt der Ladenserver den Status, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, so, um zu zeigen, dass der Schlüssel 2 erfolgreich geliefert wurde (Schritt S1074). Wenn jedoch die Nachricht von der Benutzereinrichtung zeigt, dass die Daten nicht gültig sind, setzt der Ladenserver den Status, der in der Verkaufsverwaltungs-Datenbank beschrieben ist, so, um zu zeigen, dass die Lieferung des Schlüssels 2 fehlgeschlagen hat (Schritt S1073). Danach trenn der Ladenserver die Verbindung mit der Benutzereinrichtung (Schritt S1075).
  • In dem Fall, wo die gegenseitige Berechtigung in den Schritten S1052 und S2052 fehlgeschlagen hat, wird der Prozess beendet und die Verbindung abgeschaltet.
  • Modifikation des Basisinhalts-Liefermodells 1
  • Der Inhaltserwerbs-Lieferprozess auf Basis des Basisinhalts-Liefermodells 1, welches in 1 gezeigt ist, wurde oben beschrieben. Die Systemkonfiguration ist jedoch nicht darauf beschränkt, welche in 1 gezeigt ist, sondern das System kann in verschiedener Weise konfiguriert werden, solange die Inhaltsschlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver, wie anschließend beschrieben, durchgeführt wird.
  • Bei dem Beispiel, welches in 29 gezeigt ist, werden die Funktionen des Ladenservers separat durch einen Ladenserver und einen Inhaltslieferserver durchgeführt, derart, dass der Ladenserver 100 eine Inhaltserwerbs-Anforderung von einer Benutzereinrichtung 200 empfängt und der Inhaltslieferserver 400 einen Inhalt zur Benutzereinrichtung 200 überträgt. Obwohl gegenseitige Berechtigung zwischen den Einheiten nicht durchgeführt wird, kann die gegenseitige Berechtigung in einer ähnlichen Weise wie oben beschrieben unter Bezug auf das Basisinhaltsverteilungsmodell 1 durchgeführt werden.
  • Wenn der Ladenserver 100 Erwerbsanforderungsdaten von der Benutzereinrichtung 200 empfängt, verifiziert der Ladenserver 100 die empfangenen Daten (Prozessschritt (3) in 29). Wenn die empfangenen Daten als gültig bestimmt werden, überträgt der Ladenserver 100 eine Inhaltslieferanforderung an den Inhaltslieferserver 400 (Prozessschritt (4) in 19). Der Inhaltslieferserver 400 verifiziert die Inhaltsliefer-Anforderungsdaten, welche vom Ladenserver 100 empfangen werden. Wenn die empfangenen Daten gültig sind, ruft der Inhaltslieferserver 400 den verschlüsselten Inhalt und die verschlüsselten Inhaltsschlüsseldaten (Inhaltslieferserver) von der Inhaltsdatenbank 410 ab und überträgt die abgerufenen Daten (Prozessschritt (5) in 29). Hier entsprechen die verschlüsselten Inhaltschlüsseldaten (Inhaltslieferserver) den verschlüsselten Inhaltsschlüsseldaten 1 (Laden) bei der oben beschriebenen Ausführungsform, und die verschlüsselten Inhaltsschlüsseldaten (Inhaltslieferserver) umfassen den Inhaltsschlüssel Kc, der KpDAS(Kc) verschlüsselt wurde, unter Verwendung des öffentlichen Schlüssels KpDAS des Benutzereinrichtungs-Berechtigungsservers.
  • Wenn die Benutzereinrichtung 200 den verschlüsselten Inhalt und die verschlüsselten Inhaltsschlüsseldaten (Inhaltslieferserver) vom Inhaltslieferserver 400 empfängt, wird der Prozess danach in einer ähnlichen Weise wie der Prozess durchgeführt, der durch das in 1 gezeigte System durchgeführt wird.
  • Bei dieser modifizierten System sind die Hauptfunktionen des Ladenservers 100 das Empfangen von Inhaltsanforderungsdaten von der Benutzereinrichtung, das Verifizieren der empfangen Anforderungsdaten, das Empfangen eines schlüssel-umgesetzten verschlüsselten Inhaltschlüssels vom Benutzereinrichtungs-Berechtigungsserver und das Übertragen von diesen zur Benutzereinrichtung. Die Verwaltung und die Lieferung des Inhalts werden jedoch nicht durch den Ladenserver 100 durchgeführt. Wenn der Ladenserver eine Inhaltsanforderung von einer Benutzereinrichtung empfängt, wählt dagegen der Ladenserver einen Inhaltslieferserver in Abhängigkeit vom angeforderten Inhalt von mehreren Inhaltslieferservern aus, beispielsweise einem Musikinhalt-Lieferserver oder einem Spielinhalt-Lieferserver, und der Ladenserver überträgt die Inhaltsanforderung an den ausgewählten Inhaltslieferserver. Bei diesem System wird, obwohl Kommunikation zwischen der Benutzereinrichtung und dem Ladenserver in beiden Richtungen unter Verwendung des Internets durchgeführt wird, die Kommunikation zwischen dem Inhaltslieferserver und der Benutzereinrichtung lediglich in einer Richtung vom Inhaltslieferserver und der Benutzereinrichtung durchgeführt, und somit kann eine Satellitenkommunikationsleitung verwendet werden, um eine hohe Übertragungsgeschwindigkeit zu erreichen.
  • 30 zeigt eine Systemkonfiguration, bei der wie in dem System, welches in 29 gezeigt ist, die Funktionen des Ladenservers in einer separaten Weise durch einen Ladenserver und einen Inhaltslieferserver durchgeführt werden, so dass der Ladenserver 100 eine Inhaltserwerbsanforderung von einer Benutzereinrichtung 200 empfängt, jedoch ein Inhalt von einem Inhaltslieferserver 400 zur Benutzereinrichtung 200 übertragen wird. Der Unterschied gegenüber dem in 29 gezeigten System ist der, dass der Ladenserver 100 keine Inhaltslieferanforderung an den Inhaltslieferserver 400 überträgt, jedoch der Benutzereinrichtungs-Berechtigungsserver 300 eine Inhaltslieferanforderung an den Inhaltslieferserver 400 überträgt.
  • Wenn der Ladenserver 100 Erwerbsanforderungsdaten von der Benutzereinrichtung 200 empfängt, verifiziert der Ladenserver 100 die empfangenen Anforderungsdaten (Schritt (3) in 30). Nach der Verifizierung der Erwerbsanforderungsdaten überträgt der Ladenserver 100 eine Inhaltslieferanforderung an den Benutzereinrichtungs-Berechtigungsserver 300 (Schritt (4) in 30). Bei einem Empfang der Inhaltslieferanforderung verifiziert der Benutzereinrichtungs-Berechtigungsserver 300 die empfangene Inhaltslieferanforderung (Schritt (5) in 30). Nach der Verifizierung überträgt der Benutzereinrichtungs-Berechtigungsserver 300 eine Inhaltslieferanforderung an den Inhaltslieferserver 400 (Schritt (6) in 30). Der Inhaltslieferserver 400 verifiziert die Inhaltsliefer-Anforderungsdaten, welche vom Benutzereinrichtungs-Berechtigungsserver 300 empfangen werden. Wenn die Verifizierung erfolgreich verlaufen ist, ruft der Inhaltslieferserver 400 einen verschlüsselten Inhalt und verschlüsselte Inhaltsschlüsseldaten (Inhaltslieferserver) von der Inhaltsdatenbank 410 ab und überträgt diese zur Benutzereinrichtung 300 (Schritt (8) in 30). Hier entsprechen die verschlüsselten Schlüsseldaten (Inhaltslieferserver) den verschlüsselten Inhaltsschlüsseldaten 1 (Laden) in der oben beschriebenen Ausführungsform, und sie umfassen einen Inhaltschlüssel Kc, der unter Verwendung des Inhaltschlüssels KpDAS der Benutzereinrichtungs-Berechtigung verschlüsselt wurde, d. h., er umfasst KpDAS(Kc).
  • Der Prozess, der durchgeführt wird, wenn die Benutzereinrichtung 200 den verschlüsselten Inhalt und die verschlüsselten Inhaltsschlüsseldaten (Inhaltslieferserver) vom Inhaltslieferserver 400 empfängt, ist ähnlich dem, der im System, welches in 4 gezeigt ist, welches oben beschrieben ist, durchgeführt wird.
  • Bei dem modifizierten System kann der Benutzereinrichtungs-Berechtigungsserver 300 Information über die Benutzereinrichtung 200 erwerben, wenn eine Inhaltserwerbsanforderung an den Ladenserver 100 ausgegeben ist. Das heißt, der Benutzereinrichtungs-Berechtigungsserver 300 kann Information über die Benutzereinrichtung 200 erwerben, bevor eine Schlüsselumsetzungsanforderung von der Benutzereinrichtung 200 empfangen wird. Dies erlaubt der Benutzereinrichtungs-Berechtigungsserver 300 in einem Zeitpunkt, wenn die Schlüsselumsetzungsanforderung von der Benutzereinrichtung 200 empfangen wird, zu prüfen, ob die Schlüsselumsetzungsanforderung durch die gleiche Einrichtung wie die, welche schon als Inhaltserwerbsanforderungseinrichtung registriert wurde, ausgegeben wurde.
  • 1.3 Basisinhalt-Liefermodell 2
  • Unter Bezug auf 31 wird ein Basisinhalt-Liefermodell 2, welches einige Unterschiede gegenüber dem Basisinhalt-Liefermodell 1 hat, anschließend beschrieben. Bei diesem Basisinhalt-Verteilungsmodell 2 wird eine Datenübertragung zwischen der Benutzereinrichtung 200 und dem Benutzereinrichtungs-Berechtigungsserver 300 nicht durchgeführt. Von den Verarbeitungsschritten (1) bis (19), welche in 31 gezeigt sind, werden die Schritte, welche gegenüber denen bei dem Basisinhalt-Liefermodell 1 verschieden sind, hauptsächlich unten beschrieben. Obwohl bei der vorliegenden Ausführungsform eine gegenseitige Berechtigung zwischen Einheiten durchgeführt wird, (Schritte (1), (7) und (13)), kann die gegenseitige Berechtigung in Abhängigkeit von der Situation übersprungen werden.
    • (1) Gegenseitige Berechtigung Wenn die Benutzereinrichtung 200 es wünscht, Inhalt vom Ladenserver 100 zu erwerben, wird zunächst eine gegenseitige Berechtigung zwischen der Benutzereinrichtung 200 und dem Ladenserver 100 durchgeführt. Die gegenseitige Berechtigung wird in einer ähnlichen Weise wie oben mit Hilfe von 12 und 13 beschrieben durchgeführt. Bei der folgenden Datenübertragung werden die Daten, nachdem sie verschlüsselt sind, wenn erforderlich, unter Verwendung eines Sitzungsschlüssels, der während des gegenseitigen Berechtigungsprozesses erzeugt wird übertragen.
    • (2) Erzeugen der Transaktions-ID und der Erwerbsanforderungsdaten, und
    • (3) Übertragung der Erwerbsanforderungsdaten Wenn die gegenseitige Berechtigung zwischen dem Ladenserver 100 und der Benutzereinrichtung 200 erfolgreich verlaufen ist, erzeugt die Benutzereinrichtung 200 Inhaltserwerbsanforderungsdaten. 32G zeigt die Datenstruktur der Erwerbsanforderungsdaten. Die Erwerbsanforderungsdaten umfassen eine Laden-ID, welche einen Ladenserver 100 identifizieren, zu dem die Inhaltserwerbsanforderung gesendet wird, eine Transaktions-ID, welche als ein Identifizierer der Inhaltstransaktion durch die Verschlüsselungseinrichtung der Benutzereinrichtung 200 auf Basis einer Zufallszahl erzeugt wird, und eine Inhalts-ID, welche einen Inhalt zeigt, den die Benutzereinrichtung zu erwerben wünscht. Außerdem wird eine digitale Signatur der Benutzereinrichtung für die obigen Daten den Erwerbsanforderungsdaten hinzugefügt. Die Erwerbsanforderungsdaten werden zusammen mit dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung zum Ladenserver 100 übertragen. Es sei angemerkt, dass, wenn das öffentliche Schlüsselzertifikat zum Laden während oder vor dem gegenseitigen Berechtigungsprozess übertragen wurde, es nicht erforderlich ist, das öffentliche Schlüsselzertifikat nochmals zu übertragen.
    • (4) Verifizierung der empfangenen Daten Wenn der Ladenserver 100 die Erwerbsanforderung, beispielsweise die, welche in 32G gezeigt ist, von der Benutzereinrichtung 200 empfängt, verifiziert der Ladenserver 100 die empfangenen Daten. Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe von 15 beschrieben durchgeführt.
    • (5) Übertragung des verschlüsselten Inhalts und der Erwerbszusagedaten Wenn die Verifikation, welche durch den Ladenserver 100 durchgeführt wird, zeigt, dass die Erwerbsanforderungsdaten gültig sind, ohne verfälscht zu sein, überträgt der Ladenserver 100 den verschlüsselten Inhalt und die Erwerbszusagedaten zur Benutzereinrichtung. Hier umfassen die Daten, welche zur Benutzereinrichtung übertragen werden, lediglich die verschlüsselten Inhaltsdaten Kc(Inhalt), welche erlangt werden, indem der Inhalt unter Verwendung des Inhaltsschlüssels verschlüsselt wird, und die Erwerbszusagedaten, welche zeigen, dass die Erwerbsanforderung angenommen wurde, wobei die Daten jedoch keine verschlüsselte Inhaltschlüsseldaten KpDAS(Kc) enthalten, welche durch Verschlüsseln des Inhaltsschlüssel Kc unter Verwendung des öffentlichen Schlüssels des Benutzereinrichtungs-Berechtigungsservers (DAS) 300 erlangt werden. 32H zeigt die Datenstruktur der Erwerbsanforderungs-Zusagedaten. Die Erwerbszusagedaten umfassen eine Benutzereinrichtungs-ID, welche die Benutzereinrichtung 200 identifiziert, welche die Inhaltserwerbsanforderung ausgegeben hat, Erwerbsanforderungsdaten (die Daten, welche in 32G gezeigt sind, welche vom öffentlichen Schlüsselzertifikat der Benutzereinrichtung abweichen), eine Ladenprozessnummer, welche durch den Ladenserver 100 als Antwort auf das Initialisieren einer Inhaltstransaktion erzeugt wird. Außerdem wird eine digitale Signatur des Ladenservers 100 für die obigen Daten den Erwerbsanforderungs-Zusagedaten hinzugefügt. Die Erwerbsanforderungs-Zusagedaten werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 100 zur Benutzereinrichtung 200 übertragen. Es sei angemerkt, dass, wenn das öffentliche Schlüsselzertifikat zur Benutzereinrichtung während oder vor dem gegenseitigen Berechtigungsprozess übertragen wurde, es nicht erforderlich ist, das öffentliche Schlüsselzertifikat wiederum zu übertragen.
    • (6) Verifizierung der empfangenen Daten Wenn die Benutzereinrichtung 200 den verschlüsselten Inhalt Kc(Inhalt) und die Erwerbsanforderungs-Zusagedaten, welche in 32H 1 (Laden) gezeigt sind, vom Ladenserver 100 empfängt, verifiziert die Benutzereinrichtung 200 die Erwerbsanforderungs-Zusagedaten. Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses durchgeführt, der in 15 gezeigt ist. Das heißt, die Benutzereinrichtung 200 verifiziert zunächst das öffentliche Schlüsselzertifikat des Ladenservers, welches vom Ladenserver 100 empfangen wird, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert die Benutzereinrichtung 200 die Ladensignatur, welche in die Erwerbsanforderungs-Zusagedaten, welche in 32H gezeigt sind, geschrieben ist, wobei der öffentliche Schlüssel KpSHOP des Ladenservers, der von dem öffentlichen Schlüsselzertifikat extrahiert wird, verwendet wird.
    • (7) Gegenseitige Berechtigung, und
    • (8) Übertragung der verschlüsselten Inhaltsschlüsseldaten 1 (Laden) Danach erlangt der Ladenserver 100 Zugriff auf den Benutzereinrichtungs-Berechtigungsserver 300. Beim Zugreifen auf den Benutzereinrichtungs-Berechtigungsserver 300 wird die gegenseitige Berechtigung zwischen dem Ladenserver 100 und dem Benutzereinrichtungs-Berechtigungsserver 300 durchgeführt. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, überträgt der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) zum Benutzereinrichtungs-Berechtigungsserver 300. 32I zeigt die Datenstruktur der verschlüsselten Inhaltsschlüsseldaten 1 (Laden). Die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) umfassen eine Benutzereinrichtungs-Berechtigungsserver-ID, welche den Benutzereinrichtungs-Berechtigungsserver 300 identifiziert, zu dem die Anforderung zur Umsetzung des verschlüsselten Inhaltsschlüssel gesendet wird, die Erwerbsanforderungsdaten, welche von der Benutzereinrichtung 200 empfangen werden (Daten, welche in 32G gezeigt sind, welche von dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung abweichen), und die Ladenprozessnummer. Außerdem wird eine digitale Signatur des Ladenservers 100 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten 1 (Laden) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 100 und dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung 200 zum Benutzereinrichtungs-Berechtigungsserver 300 übertragen. In dem Fall, wo der Benutzereinrichtungs-Berechtigungsserver 300 das Zertifikat des öffentlichen Schlüssels der Benutzereinrichtung und das Zertifikat des öffentlichen Schlüssels des Ladenservers 100 schon hat, ist es nicht erforderlich, diese Zertifikate nochmals zu übertragen.
    • (9) Verifizierung der empfangenen Daten Wenn die Benutzereinrichtung 300 die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) (32I) vom Ladenserver 100 empfängt, verifiziert die Benutzereinrichtung 300 die verschlüsselten Inhaltsschlüsseldaten 1 (Laden). Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses, der in 15 gezeigt ist, beschrieben ist, durchgeführt. Das heißt, der Benutzereinrichtungs-Berechtigungsserver 300 verifiziert zunächst das öffentliche Schlüsselzertifikat des Ladenservers, welches vom Ladenserver 100 empfangen wird, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert der Benutzereinrichtungs-Berechtigungsserver 300 die digitale Signatur, welche in die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) geschrieben sind, welche in 32I gezeigt sind, wobei der öffentliche Schlüssel KpSHOP des Ladenservers verwendet wird, der vom öffentlichen Schlüsselzertifikat extrahiert wird. Außerdem verifiziert der Benutzereinrichtungs-Berechtigungsserver 300 das öffentliche Schlüsselzertifikat der Benutzereinrichtung unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert der Benutzereinrichtungs-Berechtigungsserver 300 die digitale Signatur, welche durch die Benutzereinrichtung in (3) die Erwerbsanforderungsdaten beschrieben ist, welche in den verschlüsselten Inhaltsschlüsseldaten 1 (Laden) enthalten sind, welche in 32I gezeigt sind, wobei der öffentliche Schlüssel KpDEV der Benutzereinrichtung verwendet wird, der vom öffentlichen Schlüsselzertifikat extrahiert wird.
    • (10) Umsetzung des verschlüsselten Inhaltsschlüssels Bei der Verifizierung, welche durch den Benutzereinrichtungs-Berechtigungsserver 300 durchgeführt wird, welche die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) be trifft, welche vom Ladenserver 100 empfangen werden, entschlüsselt, wenn die empfangenen Daten als gültig bestimmt werden, der Benutzereinrichtungs-Berechtigungsserver (DAS) 300 unter Verwendung des Geheimschlüssels KsDAS des Benutzereinrichtungs-Berechtigungsservers (DAS) 300 den verschlüsselten Inhaltsschlüssel, der in den verschlüsselten Inhaltsschlüsseldaten (Laden) enthalten ist, d. h., die verschlüsselten Daten KpDAS(Kc), welche durch Verschlüsseln des Inhaltsschlüssels Kc unter Verwendung des öffentlichen Schlüssels KpDAS des Benutzereinrichtungs-Berechtigungsservers (DAS) 300 erlangt werden, wodurch der Inhaltsschlüssel Kc erlangt wird. Außerdem verschlüsselt der Benutzereinrichtungs-Berechtigungsserver 300 den erlangten Inhaltsschlüssel Kc unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung, um dadurch den verschlüsselten Inhaltsschlüssel KpDEV(Kc) zu erzeugen. Das heißt, der Schlüssel wird umgesetzt, so dass gilt: KpDAS(Kc).Kc.KpDEV(Kc). Dieser Schlüsselumsetzungsprozess wird gemäß dem Verarbeitungsfluss durchgeführt, der oben mit Hilfe von 16 beschrieben wurde.
    • (11) Übertragung der verschlüsselten Inhaltsdaten Danach überträgt der Benutzereinrichtungs-Berechtigungsserver 300 die verschlüsselten Inhaltsschlüsseldaten (DAS) zum Ladenserver 100. 33J zeigt die Datenstruktur der verschlüsselten Inhaltsschlüsseldaten (DAS). Die verschlüsselten Inhaltsschlüsseldaten (DAS) umfassen eine Laden-ID, welche einen Ladenserver 100 identifiziert, zu dem die Inhaltserwerbsanforderung gesendet wird, die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) (die Daten, welche in 321 gezeigt sind, welche von dem Zertifikat des öffentlichen Schlüssels des Ladens und dem der Benutzereinrichtung abweichen), und die verschlüsselten Inhaltsschlüsseldaten KpDEV(Kc), welche durch den Benutzereinrichtungs-Berechtigungsserver 300 über den oben beschriebenen Schlüsselumsetzungsprozess erzeugt werden. Außerdem wird eine digitale Signatur der Benutzereinrichtung 300 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten (DAS) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten (DAS) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 und dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung 200 zum Ladenserver 100 übertragen. In dem Fall, wo der Ladenserver schon diese Zertifikate hat, ist es nicht erforderlich, diese Zertifikate nochmals zu übertragen. In dem Fall, wo der Benutzereinrichtungs-Berechtigungsserver 300 durch eine hochverlässliche dritte Partei verwaltet wird, brauchen die verschlüsselten Inhaltsschlüsseldaten (DAS) nicht in der Form aufgebaut sein, welche in 33J gezeigt ist, bei der die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) (bezeichnet durch (8) in 33J) in ihrer ursprünglichen Form enthalten sind, sondern so aufgebaut sein, dass, wie in 33J' gezeigt ist, die Laden-ID, die Benutzereinrichtungs-ID, die Transaktions-ID, die Inhalts-ID, die Ladenprozessnummer und der Inhaltsschlüssel KpDEV(Kc), der unter Verwendung des öffentlichen Schlüssels der Benutzereinrichtung verschlüsselte wurde, durch den Benutzereinrichtungs-Berechtigungsserver 300 extrahiert werden, und die verschlüsselten Inhaltsschlüsseldaten (DAS) von diesen extrahierten Daten zusätzlich zur digitalen Signatur des Benutzereinrichtungs-Berechtigungsservers 300 gebildet werden. In diesem Fall wird lediglich das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 an die verschlüsselten Inhaltsschlüsseldaten (DAS) angehängt.
    • (12) Verifizierung der empfangenen Daten Wenn der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten (DAS) (33J) vom Benutzereinrichtungs-Berechtigungsserver 300 empfängt, verifiziert der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten (DAS). Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses, der in 15 gezeigt ist, durchgeführt. Das heißt, der Ladenserver 100 verifiziert zunächst das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers, welches von dem Benutzereinrichtungs-Berechtigungsserver 300 empfangen wird, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert der Ladenserver 100 die digitale Signatur, welche in die verschlüsselten Inhaltsschlüsseldaten (DAS), welche in 33J gezeigt sind, geschrieben ist, wobei der öffentliche Schlüssel KpDAS des Benutzereinrichtungs-Berechtigungsservers 300 verwendet wird. In dem Fall, wo der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten (DAS) in der vereinfachten Form, die oben mit Hilfe von 33J' beschrieben wurde, empfängt, wird die Verifizierung in einer ähnlichen Weise durchgeführt. Außerdem kann wenn erforderlich der verschlüsselte Inhaltsschlüssel 1 (Laden), der in den verschlüsselten Inhaltsdaten (DAS), welche in 33J gezeigt sind enthalten ist, verifiziert werden.
    • (13) Gegenseitige Berechtigung und (14) Übertragung der verschlüsselten Inhaltsschlüsselanforderung Danach überträgt die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten zum Ladenserver. In dem Fall, wo die verschlüsselten Inhaltsschlüssel-Anforderungsdaten in einer Sitzung übertragen werden, welche gegenüber eine Sitzung verschieden ist, bei der eine vorherige Anforderung übertragen wurde, wird wiederum gegenseitige Berechtigung durchgeführt, und die verschlüsselten Inhaltsschlüssel-Anforderungsdaten werden von der Benutzereinrichtung 200 zum Ladenserver 100 nur dann übertragen, wenn die gegenseitige Berechtigung erfolgreich verlaufen ist.
    • (15) Verifizierung, und
    • (16) Belastungsprozess Wenn der Ladenserver 100 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten von der Benutzereinrichtung empfängt, verifiziert der Ladenserver 100 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten. Dieser Verifizierungsprozess wird in einer ähnlichen Weise wie oben mit Hilfe von 15 beschrieben durchgeführt. Nach Beendigung der Datenverifizierung führt der Ladenserver 100 einen Belastungsprozess in Verbindung mit der Inhaltstransaktion durch. Dieser Belastungsprozess wird durchgeführt, um die Gebühr für den Inhalt von einem Konto eines Benutzers zu empfangen. Die empfangene Gebühr für den Inhalt wird unter einem Copyright-Halter des Inhalts, dem Laden, einem Eigner des Benutzereinrichtungs-Berechtigungsservers oder dgl. verteilt. Wie bei dem Basismodell 1, welches oben beschrieben wurde, ist es, um den Belastungsprozess durchzuführen, erforderlich, dass die verschlüsselte Inhaltsschlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver 300 schon durchgeführt wurde, und somit kann der Belastungsprozess nur über einen Prozess zwischen dem Ladenserver 100 und der Benutzereinrichtung nicht durchgeführt werden. Die Benutzereinrichtung 200 kann den verschlüsselten Inhaltsschlüssel nicht entschlüsseln und somit kann die Benutzereinrichtung 200 den Inhalt nicht verwenden, wenn die Schlüsselumsetzung nicht durchgeführt wurde. Die Historie aller Inhaltstransaktionen, bei denen die Schlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver durchgeführt wurde, wird in der Lizenzverwaltungs-Datenbank aufgezeichnet, welche früher mit Hilfe von 6 beschrieben wurde, und somit kann irgendeine Inhaltstransaktion, welche einen Belastungsprozess benötigt, überwacht und verwaltet werden. Dies verhindert, dass irgendein Laden selbst eine Inhaltsverkaufstransaktion durchführt und somit einen Inhalt in nicht berechtigter Weise verkauft.
    • (17) Übertragung der verschlüsselten Inhaltsschlüsseldaten 2 (Laden) Nach Beendigung des Belastungsprozesses überträgt der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) zur Benutzereinrichtung 200. 33K zeigt die Datenstruktur der verschlüsselten Inhaltsschlüsseldaten 2 (Laden). Die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) umfassen eine Benutzereinrichtungs-ID, welche die Benutzereinrichtung 200 identifiziert, welche die verschlüsselte Inhaltsschlüssel-Anforderung ausgegeben hat, und die verschlüsselten Inhaltsschlüsseldaten (DAS) (die Daten, welche in 33J gezeigt sind, welche vom öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers abweichen), welche von dem Benutzereinrichtungs-Berechtigungsserver 300 empfangen werden. Außerdem wird eine digitale Signatur des Ladenservers 100 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten 2 (Laden) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 100 und dem öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 zur Benutzereinrichtung 200 übertragen. In dem Fall, wo die Benutzereinrichtung 200 das Zertifikat des öffentlichen Schlüssels des Benutzereinrichtungs-Berechtigungsservers und der Zertifikat des öffentlichen Schlüssels des Ladenservers schon hat, ist es nicht erforderlich diese Zertifikate nochmals zu übertragen. In dem Fall, wo der Benutzereinrichtungs-Berechtigungsserver 300 durch eine hochverlässliche dritte Partei verwaltet wird, und der Ladenserver 100 von dem Benutzereinrichtungs-Berechtigungsserver 300 die verschlüsselten Inhaltsschlüsseldaten (DAS) in der vereinfachten Form, die oben mit Hilfe von 33J' beschrieben wurde, empfängt, überträgt der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) in der Form, welche in 34K' gezeigt ist, zur Benutzereinrichtung. Das heißt, die verschlüsselten Inhaltsschlüsseldaten (DAS) in der vereinfachten Form, welche in 33J' gezeigt sind, einschließlich der Signatur des Ladenservers, werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 100 und dem öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 zur Benutzereinrichtung 200 übertragen.
    • (18) Verifizierung der empfangenen Daten Wenn die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) vom Ladenserver 100 empfängt, verifiziert die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden). Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses beschrieben, der in 15 gezeigt ist, durchgeführt. Das heißt, die Benutzereinrichtung 200 verifiziert zunächst das öffentliche Schlüsselzertifikat des Ladenservers, welches vom Ladenserver 100 empfangen wird, unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert die Benutzereinrichtung 200 die digitale Signatur, welche in die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) geschrieben ist, die in 33K gezeigt sind, unter Verwendung des öffentlichen Schlüssels KpSHOP des Ladenservers 100, welcher vom öffentlichen Schlüsselzertifikat extrahiert wird. Außerdem verifiziert die Benutzereinrichtung 200 das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 300 unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert die Benutzereinrichtung 200 die digitale Signatur, welche in (11) die verschlüsselten Inhaltsschlüsseldaten (DAS) geschrieben ist, welche in den verschlüsselten Inhaltsschlüsseldaten 2 (Laden) enthalten sind, die in 33J gezeigt sind, unter Verwendung des öffentlichen Schlüssels KpDAS des Benutzereinrichtungs-Berechtigungsservers 300, der vom öffentlichen Schlüsselzertifikat extrahiert wird. Außerdem kann, wenn erforderlich, der verschlüsselte Inhaltsschlüssel 1 (Laden), der in den verschlüsselten Inhaltsdaten (DAS) enthalten ist, welche in 33J gezeigt sind, verifiziert werden.
    • (19) Speicherung der Daten
  • Nachdem die Benutzereinrichtung 200 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden), welche vom Ladenserver 100 empfangen werden, verifiziert hat, entschlüsselt die Benutzereinrichtung 200 unter Verwendung des Geheimschlüssels KsDEV der Benutzereinrichtung 200 den verschlüsselten Inhaltsschlüssel KpDEV(Kc), der unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung 200 verschlüsselt wurde und der in den verschlüsselten Inhaltsschlüsseldaten 2 (Laden) enthalten ist, wonach die Benutzereinrichtung 200 den Inhaltsschlüssel unter Verwendung des Speicherschlüssels Ksto der Benutzereinrichtung verschlüsselt, um dadurch einen verschlüsselten Inhaltsschlüssel Ksto(Kc) zu erzeugen. Der resultierende verschlüsselte Inhaltsschlüssel Ksto(Kc) wird in der Speichereinrichtung der Benutzereinrichtung 200 gespeichert. Wenn der Inhalt verwendet wird, wird der verschlüsselte Inhaltsschlüssel Ksto(Kc) unter Verwendung des Speicherschlüssels Ksto entschlüsselt, um dadurch den Inhaltsschlüssel Kc zu erlangen, und der verschlüsselte Inhalt Kc(Inhalt) wird unter Verwendung des erlangten Inhaltsschlüssels Kc entschlüsselt, um dadurch den Inhalt wiederzugeben.
  • Bei dem Basisverteilungsmodell 2 wird, wie oben beschrieben, die Datenübertragung nicht zwischen der Benutzereinrichtung 200 und dem Benutzereinrichtungs-Berechtigungsserver 300 durchgeführt, und die Benutzereinrichtung 200 führt die Datenübertragung lediglich mit dem Ladenserver 100 durch. Dies hat eine Verminderung einer Prozessbelastung, welche der Benutzereinrichtung auferlegt wird, zur Folge.
  • 1.2 Modifikation des Basisinhalts-Liefermodells 2
  • Beispiele von Modifikationen des Basisinhalts-Verteilungsmodells 2, welches in 31 gezeigt sind, werden anschließend beschrieben. In einem in 35 gezeigten Beispiel werden die Funktionen des Ladenservers separat durch einen Ladenserver und einen Inhaltslieferserver durchgeführt, so dass der Ladenserver 100 eine Inhaltserwerbsanforderung von einer Benutzereinrichtung 200 empfängt und der Inhaltslieferserver 400 einen Inhalt zur Benutzereinrichtung 200 überträgt. Bei diesem modifizierten Modell wird gegenseitige Berechtigung zwischen Einheiten, zwischen denen Daten übertragen werden, nicht durchgeführt, wobei jedoch jede Einheit eine digitale Signatur, welche in die empfangenen Daten geschrieben ist, verifiziert. Gegenseitige Berechtigung kann jedoch in einer ähnlichen Weise wie bei dem Basisinhalt-Verteilungsmodell 2 durchgeführt werden.
  • Wenn der Ladenserver 100 Erwerbsanforderungsdaten von der Benutzereinrichtung 200 empfängt, verifiziert der Ladenserver 100 die empfangenen Daten (Prozessschritt (3) in 35). Wenn die empfangenen Daten als gültig bestimmt werden, überträgt der Ladenserver 100 eine Inhaltslieferanforderung zum Inhaltslieferserver 400 (Prozessschritt (4) in 25). Der Inhaltslieferserver 400 verifiziert die Inhaltsliefer-Anforderungsdaten, welche vom Ladenserver 100 empfangen werden. Der Inhaltslieferserver 400 ruft den verschlüsselten Inhalt von der Inhaltsdatenbank 410 ab und überträgt die abgerufenen Daten (Prozessschritt (6) in 35).
  • Wenn die Benutzereinrichtung 200 den verschlüsselten Inhalt vom Inhaltslieferserver 400 empfängt, verifiziert die Benutzereinrichtung 200 die empfangenen Daten. Wenn die empfangenen Daten gültig sind, überträgt die Benutzereinrichtung 200 zum Inhaltslieferserver 400 eine Nachricht, die zeigt, dass der verschlüsselte Inhalt erfolgreich empfangen wurde. Der Inhaltslieferserver 400 verifiziert die empfangenen Daten. Wenn die empfangenen Daten gültig sind, überträgt der Inhaltslieferserver 400 die verschlüsselten Inhaltsschlüsseldaten (Inhaltslieferserver) zum Benutzereinrichtungs-Berechtigungsserver 300 und fordert den Benutzereinrichtungs-Berechtigungsserver 300 auf, den verschlüsselten Inhaltsschlüssel-Umsetzungsprozess durchzuführen (Prozessschritt (10) in 35).
  • Nachdem der Benutzereinrichtungs-Berechtigungsserver 300 die verschlüsselten Inhaltsschlüsseldaten (Inhaltslieferserver) und die verschlüsselte Inhaltsschlüssel-Umsetzungsanforderung vom Inhaltslieferserver 400 empfangen hat, wird der Prozess anschließend in einer ähnlichen Weise wie bei der Ausführungsform durchgeführt, die oben mit Hilfe von 31 beschrieben wurde, mit der Ausnahme, dass gegenseitige Berechtigung nicht durchgeführt wird.
  • Bei diesem modifizierten Inhaltsverteilungsmodell überträgt die Benutzereinrichtung eine Inhaltserwerbsanforderung zum Ladenserver und empfängt einen verschlüsselten Inhalt, ohne gegenseitige Berechtigung durchzuführen. Wenn der Ladenserver 100 die Inhaltserwerbsanforderung von der Benutzereinrichtung empfängt, verifiziert der Ladenserver die empfangenen Inhaltserwerbsanforderungsdaten lediglich durch Verifizierung einer darin geschriebenen digitalen Signatur. Wenn außerdem der Ladenserver 100 von dem Benutzereinrichtungs-Berechtigungsserver einen verschlüsselten Inhaltsschlüssel empfängt, der dem Schlüsselumsetzungsprozess unterworfen wurde, verifiziert der Ladenserver 100 den verschlüsselten Inhaltsschlüssel mittels Verifizierung einer darin geschriebenen digitalen Signatur. Wenn der Inhaltslieferserver 400 Daten vom Ladenserver empfängt, verifiziert in einer ähnlichen Weise der Inhaltslieferserver 400 die empfangenen Daten mittels Verifizierung einer digitalen Signatur, die darin geschrieben ist, und überträgt einen Inhalt, wenn die Verifizierung erfolgreich verlaufen ist.
  • Der Ladenserver 100 verwaltet oder überträgt keinen Inhalt. Wenn anstelle davon der Ladenserver eine Inhaltsanforderung von einer Benutzereinrichtung empfängt, wählt der Ladenserver einen Inhaltslieferserver in Abhängigkeit vom angeforderten Inhalt von mehreren Inhaltslieferservern an, beispielsweise einen Musikinhalt-Lieferserver oder einem Spielinhalt-Lieferserver, und der Ladenserver überträgt eine Inhaltslieferanforderung an den ausgewählten Inhaltslieferserver. Bei diesem System wird, obwohl eine Kommunikation zwischen der Benutzereinrichtung und dem Ladenserver in beiden Richtungen unter Verwendung des Internets durchgeführt wird, eine Kommunikation zwischen dem Inhaltslieferserver und der Benutzereinrichtung lediglich in einer Richtung vom Inhaltslieferserver und der Benutzereinrichtung durchgeführt, womit somit eine Satellitenkommunikationsleitung verwendet werden kann, um eine hohe Übertragungsgeschwindigkeit zu erreichen.
  • Bei dieser Ausführungsform werden die Daten lediglich durch Überprüfen der digitalen Signatur verifiziert, ohne gegenseitige Berechtigung durchzuführen, womit somit die Prozesseffektivität verbessert ist.
  • 36 zeigt einen Systemaufbau, bei dem, wie in dem in 35 gezeigten System die Funktionen des Ladenservers in einer separaten Weise durch einen Ladenserver und einen Inhaltslieferserver durchgeführt werden, so dass der Ladenserver 100 eine Inhaltserwerbsanforderung von der Benutzereinrichtung 200 empfängt und eine Signatur, die darin geschrieben ist, verifiziert, ohne gegenseitige Berechtigung durchzuführen, und ein Inhalt von einem Inhaltslieferserver 400 zur Benutzereinrichtung 200 übertragen wird. Der Unterschied gegenüber dem System, welches in 35 gezeigt ist, ist der, dass der Ladenserver 100 keine Inhaltslieferanforderung an den Inhaltslieferserver 400 überträgt, sondern der Benutzereinrichtungs-Berechtigungsserver 300 eine Inhaltslieferanforderung an den Inhaltslieferserver 400 überträgt.
  • Wenn der Ladenserver 100 Erwerbsanforderungsdaten von der Benutzereinrichtung 200 empfängt, verifiziert der Ladenserver 100 die empfangenen Anforderungsdaten (Schritt (3) in 36). Nach der Verifizierung der Erwerbsanforderungsdaten überträgt der Ladenserver 100 die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) zum Benutzereinrichtungs-Berechtigungsserver 300 (Schritt (4) in 36). Bei einem Empfang der Inhaltslieferanforderung verifiziert der Benutzereinrichtungs-Berechtigungsserver 300 die empfangene Inhaltlieferanforderung (Schritt (5) in 36). Nach der Verifizierung überträgt der Benutzereinrichtungs-Berechtigungsserver 300 eine Inhaltlieferanforderung an den Inhaltslieferserver 400 (Schritt (6) in 36). Der Inhaltslieferserver 400 verifiziert die Inhaltlieferanforderungsdaten, welche vom Benutzereinrichtungs-Berechtigungsserver 300 empfangen werden. Wenn die Verifizierung erfolgreich verlaufen ist, ruft der Inhaltslieferserver 400 einen verschlüsselten Inhalt von der Inhaltsdatenbank 410 ab und überträgt diesen an die Benutzereinrichtung 200 (Schritt (8) in 36). Der Prozess, der danach durchgeführt wird, ist ähnlich dem, der bei dem System durchgeführt wird, welche in 35 gezeigt ist, welcher oben beschrieben wurde.
  • Bei diesem modifizierten System kann der Benutzereinrichtungs-Berechtigungsserver 300 Information über die Benutzereinrichtung erwerben, wenn eine Inhaltserwerbsanforderung an den Ladenserver 100 ausgegeben ist. Das heißt, der Benutzereinrichtungs-Berechtigungsserver 300 kann Information über die Benutzereinrichtung vor einem Empfang einer Schlüsselumsetzungsanforderung vom Inhaltslieferserver 400 erwerben. Dies erlaubt, dass der Benutzereinrichtungs-Berechtigungsserver 300 in einem Zeitpunkt, wo die Schlüsselumsetzungsanforderung vom Inhaltslieferserver 400 empfangen wird, zu prüfen, ob die Schlüsselumsetzungsanforderung durch die gleiche Einrichtung wie die ausgegeben wurde, welche schon in der Inhaltserwerbsanforderungseinrichtung registriert wurde. In dem Fall, wo der DAS dazu angesehen wird, hochverlässlich zu sein, ist es notwendigerweise nicht erforderlich, dass der Inhaltslieferserver die Daten, welche vom Ladenserver empfangen werden, verifiziert, und somit wird die Prozesseffektivität verbessert.
  • Bei diesem Inhaltsliefersystem gemäß der Erfindung kann wie oben beschrieben die Benutzereinrichtung den Inhalt nicht verwenden, sogar, wenn die Benutzereinrichtung den verschlüsselten Inhalt Kc(Inhalt) erworben hat, wenn die verschlüsselte Inhaltsschlüsselumsetzung nicht schon durch den Benutzereinrichtungs-Berechtigungsserver durchgeführt wurde. Dies bedeutet, dass der Ladenserver einen Inhalt zur Benutzereinrichtung ohne Mitteilen des Benutzereinrichtungs-Berechtigungsservers von der Verkaufstransaktion nicht verkaufen kann, und somit es für die Benutzereinrichtung nicht möglich, einen Inhalt zu verwenden, wenn der Benutzereinrichtungs-Berechtigungsserver nicht von der Verkaufstransaktion informiert ist. Die Historie aller Inhaltstransaktionen, bei der die Schlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver durchgeführt wurde, wird in der Lizenzverwaltungs-Datenbank (6) aufgezeichnet, welche durch den Benutzereinrichtungs-Berechtigungsserver verwaltet wird, so dass alle Inhaltsverkaufs-Transaktionen, die in irgendeinem Laden durchgeführt werden, überwacht und verwaltet werden. Somit ist es möglich, dass Geld, welches über den Belastungsprozess erlangt wird, der durch den Laden durchgeführt wird, korrekt unter dem Copyright-Halter des Inhalts, dem Laden, dem Eigner des Benutzereinrichtungs-Berechtigungsservers oder dgl. korrekt anteilig aufgeteilt wird. Dies verhindert, dass der Inhalt in einer betrügerischen Weise verwendet wird.
  • 2. Inhaltliefermodell unter Verwendung einer elektronischen Karte
  • Eine elektronische Karte kann ausgegeben werden, welche anteilige Verdienst-Information aufweist, welche den Geldbetrag zeigt, der durch einen Verkauf (Bereitstellung) eines Inhalts erlangt wird, der unter einem Copyright-Halter des Inhalts, einem Hersteller, einem Lizenzhalter oder einem Laden oder dgl. anteilig genutzt werden sollte, und das Geld gemäß der anteiligen Verdienst-Information, welche auf der elektronischen Karte beschrieben ist, bezahlt werden kann, wie anschließend beschrieben wird.
  • 37 zeigt ein System, bei dem Geld gemäß dem Erlangen der anteiligen Verdienst-Information, welche auf einer elektronischen Karte beschrieben ist, bezahlt wird. Wie in 37 gezeigt ist, weist dieses Inhaltliefersystem einen Kartenausgabeserver 610 auf, der einen Inhaltserwerbsanforderung von einer Benutzereinrichtung empfängt und gibt eine elektronische Karte aus, auf welcher Information über die Verteilungsraten der Inhaltsgebühr beschrieben ist, einen Benutzereinrichtung (DEV) 620, welche eine Inhaltserwerbsanforderung ausgibt, einen Benutzereinrichtungs-Berechtigungsserver (DAS) 630, der eine Schlüsselumsetzung durchführt, so dass eine Inhaltstransaktion passend durchgeführt wird, einen Inhaltslieferserver 640, beispielsweise einen Inhaltsanbieter (CP), der einen Inhalt bereitstellt, und einen Kartenaustauschserver 650, der einen Kartenaustauschprozess durchführt, beispielsweise das Übertragen einer Gebühr gemäß einer Information, welche in einer elektronischen Karte beschrieben ist.
  • Kartenausgabeserver
  • 38 zeigt den Aufbau eines Kartenausgabeservers (TIS) 610 im Inhaltliefersystem, welches in 37 gezeigt ist. Wenn der Kartenausgabeserver 620 eine Erwerbsanforderung von der Benutzereinrichtung 620 empfängt, gibt der Kartenausgabeserver 610 eine elektronische Karte aus, in welcher Information, die zeigt, wie der Gewinn (Verdienst) für den angeforderten Inhalt anteilig zu nutzen ist, beschrieben ist. Der Kartenausgabeserver (TIS) 610 hat eine Kartenverwaltungsdatenbank 612, in welcher die Historie der Ausgabekarten als Antwort auf Inhaltstransaktionen beschrieben ist. Wenn insbesondere eine Karte ausgegeben wird, werden der Identifizierer einer Benutzereinrichtung, an den der Inhalt verkauft wird, der Identifizierer des Inhalts und der Inhaltspreis in der Kartenverwaltungs-Datenbank 612 aufgezeichnet, so dass diese Daten miteinander in Bezug kommen. Der Kartenausgabeserver 610 umfasst außerdem eine Steuereinrichtung 613, um die Verifizierung der Inhaltserwerbsanforderung durchzuführen, welche von der Benutzereinrichtung 620 empfangen wird, die Kartenverwaltungs-Datenbank, die Benutzereinrichtung gemäß der Information, welche auf einer Karte beschrieben ist, zu belasten, die Kommunikation mit der Benutzereinrichtung, und die Verschlüsselung/Entschlüsselung der Daten während der Kommunikation zu steuern.
  • 39 zeigt die Datenstruktur der Kartenverwaltungs-Datenbank 612. Die Kartenverwaltungs-Datenbank 612 beschreibt Information über eine Kartennummer, welche intern erzeugt wird, als einen Identifizierer einer Karte, wenn die Karte durch einen Kartenausgabeserver ausgegeben wird, als Antwort auf eine Inhaltstransaktion, eine Einrichtungs-ID, um eine Benutzereinrichtung zu identifizieren, welche eine Inhaltserwerbsanforderung ausgegeben hat, eine Transaktions-ID, welche als Identifizierer einer Inhaltstransaktion durch die Benutzereinrichtung erzeugt wird, wenn die Inhaltstransaktion zwischen der Benutzereinrichtung und dem Kartenausgabeserver durchgeführt wird, eine Inhalts-ID, welche den Inhalt identifiziert, der der Transaktion unterworfen wurde, Kartenbenutzer-IDs, welche Einheiten identifizieren, beispielsweise einen Copyright-Halter, einen Lizenzhalter, einen Verwalter und einen Inhaltsverkäufer, welche eine Gebühr gemäß der Information empfangen, welche in der elektronischen Karte beschrieben ist, welche durch den Kartenausgabeserver 610 ausgegeben wird, Beträge des Gelds, welche an die jeweiligen Einheiten bezahlt werden, welche durch die Kartenbenutzer-IDs angezeigt werden, ein Ablaufdatum, bei dem der Austausch unter Verwendung der Karte durchgeführt werden sollte, und die Statusinformation, welche den Status zeigt, der die Ausgabe und das Verwalten der Karte, welche durch den Kartenausgabeserver 610 durchgeführt wird, betrifft. Der Status wird aktualisiert, wenn die Inhaltstransaktion weitergeht, wie später beschrieben wird.
  • Die Steuereinrichtung 613 des Kartenausgabeserver 610 besteht aus einem Computer, in welchem ein Verschlüsselungsprogramm und ein Kommunikationsprogramm gespeichert sind, wie in 38 gezeigt ist, so dass die Steuereinrichtung 613 auch als Verschlüsselungseinrichtung und Kommunikationseinrichtung dient. Schlüsseldaten oder dgl., welche bei dem Verschlüsselungsprozess durch die Verschlüsselungseinrichtung der Steuereinrichtung 613 verwendet werden, sind in einer sicheren Weise in der Speichereinrichtung in der Steuereinrichtung gespeichert. Die Daten, beispielsweise Verschlüsselungsschlüssel, welche im Kartenausgabeserver 610 gespeichert sind, welche für den Verschlüsselungsprozess zu verwenden sind, umfassen einen Geheimschlüssel KsTIS des Kartenausgabeservers 610, ein öffentliches Schlüsselzertifikat Cert_TIS des Kartenausgabeservers 610 und einen öffentlichen Schlüssel KpCA der Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat ausgibt.
  • Die Steuereinrichtung 613 ist in einer ähnlichen Weise wie die Steuereinrichtung aufgebaut, die früher mit Hilfe von 4 beschrieben wurde. Das heißt, die Steuereinrichtung 613 weist eine CPU (Zentralverarbeitungseinheit), einen ROM (nur Lesespeicher), einen RAM (Speicher mit wahlfreiem Zugriff), eine Anzeigeeinheit, eine Eingabeeinheit, eine Speichereinrichtung und eine Kommunikationsschnittstelle auf.
  • Benutzereinrichtung
  • Die Benutzereinrichtung (DEV) 620 ist in einer ähnlichen Weise wie die Benutzereinrichtung aufgebaut, welche bei dem in 1 gezeigten System verwendet wird. Das heißt, die Benutzereinrichtung 620 ist in einer ähnlichen Weise aufgebaut, wie oben mit Hilfe von 7 beschrieben wurde. Die Daten, beispielsweise der Verschlüsselungsschlüssel, welche in der Benutzereinrichtung 620 gespeichert sind, um beim Verschlüsselungsprozess verwendet zu werden, umfassen einen Geheimschlüssel KeDEV der Benutzereinrichtung, ein öffentliches Schlüsselzertifikat Cert_DEV der Benutzereinrichtung, einen öffentlichen Schlüssel KpCA einer Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat ausgibt, und einen Speicherschlüssel Ksto, der als Verschlüsselungsschlüssel verwendet wird, um einen Inhalt verschlüsseln, wenn der Inhalt in der Speichereinrichtung gespeichert wird, beispielsweise einer Festplatte der Benutzereinrichtung.
  • Die Erwerbverwaltungs-Datenbank der Benutzereinrichtung 620, welche bei dem Kartenverwaltungssystem, welches in 37 gezeigt ist, verwendet wird, hat die Fähigkeit, Karten zu verwalten. 40 zeigt die Datenstruktur der Erwerbsverwaltungs-Datenbank. Die Erwerbsverwaltungs-Datenbank hat Information über eine Transaktions-ID, welche durch die Benutzereinrichtung erzeugt wird, wenn die Inhaltstransaktion durchgeführt wird, eine Inhalts-ID, welche den Inhalt identifiziert, welche der Transaktion unterworfen wird, eine Kartenausgeber-ID, welche einen Kartenherausgeber identifiziert, der die Karte ausgibt, als Antwort auf die Inhaltstransaktion, eine Kartennummer, welche durch den Kartenausgabeserver 610 zugeteilt wird, eine Kartenempfänger-ID, welche eine Einheit identifiziert, zu welcher die Karte gesendet wird, und eine Statusinformation, welch den Status der Benutzereinrichtung zeigt, welche die Inhaltstransaktion betrifft. Der Status wird aktualisiert, wenn die Inhaltstransaktion voranschreitet, wie später beschrieben wird.
  • Benutzereinrichtungs-Berechtigungsserver
  • Der Benutzereinrichtungs-Berechtigungsserver (DAS) 630 ist in einer ähnlichen Weise wie der Benutzereinrichtungs-Berechtigungsserver aufgebaut, der bei dem System, welches in 1 gezeigt ist, verwendet wird. Das heißt, der Benutzereinrichtungs-Berechtigungsserver 630 ist in einer ähnlichen Weise wie oben mit Hilfe von 5 beschrieben aufgebaut. Die Daten, beispielsweise Verschlüsselungsschlüssel, welche im Benutzereinrichtungs-Berechtigungsserver 630 gespeichert sind, um bei dem Verschlüsselungsprozess verwendet zu werden, umfassen einen Geheimschlüssel KsDAS des Benutzereinrichtungs-Berechtigungsservers (DAS) 300, ein öffentliches Schlüsselzertifikat Cert_DAS des Benutzereinrichtungs-Berechtigungsservers (DAS) 300, und einen öffentlichen Schlüssel KpCA der Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat ausgibt. Die Lizenzverwaltungs-Datenbank des Benutzereinrichtungs-Berechtigungsservers 630, welche bei dem Kartenverwaltungssystem verwendet wird, welches in 37 gezeigt ist, hat die Fähigkeit, Karten zu verwalten. 41 zeigt die Datenstruktur der Lizenzverwaltungs-Datenbank. Die Lizenzverwaltungs-Datenbank beschreibt Information über einen DAS-Prozessnummer, welche intern erzeugt wird, um einen Prozess zu identifizieren, der durch den Benutzereinrichtungs-Berechtigungsserver (DAS) 630 während einer Inhaltstransaktion durchgeführt wird, eine Einrichtungs-ID, um eine Benutzereinrichtung zu identifizieren, welche eine Inhaltserwerbsanforderung ausgegeben hat, eine Transaktion-ID, welche durch die Benutzereinrichtung erzeugt wird, wenn die Inhaltstransaktion durchgeführt wird, eine Inhalts-ID, welche den Inhalt identifiziert, der der Transaktion unterworfen wurde, eine Kartenausgeber-ID, welche einen Kartenherausgeber identifiziert, welcher die Karte ausgibt, als Antwort auf die Inhaltstransaktion, eine Kartennummer, welche durch den Kartenausgabeserver 610 zugeteilt wird, und eine Statusinformation, welche den Status des Benutzereinrichtungs-Berechtigungsservers (DAS) zeigt, der die Inhaltstransaktion betrifft. Der Status wird aktualisiert, wenn die Inhaltstransaktion weitergeht, wie später beschrieben wird.
  • Inhaltslieferserver
  • 42 zeigt den Aufbau des Inhaltslieferservers 640 im Inhaltsliefersystem, welches in 37 gezeigt ist. Ein Beispiel des Inhaltslieferservers 640 ist ein Inhaltsanbieter (CP), der eine Inhaltsdatenbank 644 hat, welche verschlüsselte Inhaltsdaten Kc(Inhalt) aufweist, welche durch Verschlüsseln eines Inhalts gebildet werden, der unter Verwendung eines Inhaltsschlüssels verkauft werden soll, und einen verschlüsselten Inhaltsschlüssel KpDAS(Kc), der durch Verschlüsseln des Inhaltsschlüssels Kc durch den öffentlichen Schlüssel KpDAS des Benutzereinrichtungs-Berechtigungsservers (DAS) erlangt wird. Wie in 42 gezeigt ist, wird eine Inhalts-ID allen verschlüsselten Inhaltsdaten Kc(Inhalt zugeteilt, so dass jeder verschlüsselte Inhalt durch die Inhalts-ID identifiziert werden kann.
  • Der Inhaltslieferserver 640 weist außerdem eine Inhaltslieferdatenbank 642 zum Speichern und zum Verwalten von Inhaltslieferdaten auf. Die Inhaltsliefer-Verwaltungsdatenbank 642 hat die Fähigkeit, um Karten zu verwalten. 43 zeigt die Datenstruktur der Inhaltsliefer-Verwaltungsdatenbank. Die Inhaltsliefer-Verwaltungsdatenbank 642 beschreibt Information über eine Lieferprozessnummer, welche durch den Inhaltslieferserver 640 erzeugt wird, wenn ein Inhalt geliefert wird, eine Inhalts-ID, welche den Inhalt identifiziert, welcher der Transaktion unterworfen wird, eine Benutzereinrichtungs-ID, welche eine Benutzereinrichtung identifiziert, zu der der Inhalt geliefert wird, eine Kartenherausgeber-ID, welche einen Kartenherausgeber identifiziert, der die Karte herausgibt, als Antwort auf die Inhaltstransaktion, eine Kartennummer, welche durch den Kartenherausgeber zugeteilt wird, und Statusinformation, welche den Status des Inhaltslieferservers während der Inhaltstransaktion zeigt. Der Status wird aktualisiert, wenn die Inhaltstransaktion voranschreitet, wie später beschrieben wird.
  • Der Inhaltslieferserver 640 weist eine Steuereinrichtung 643 auf, um das Abrufen eines Inhalts, der von der Inhaltsdatenbank 644 geliefert wird, das Erzeugen von Transaktionsdaten, welche in der Inhaltsliefer-Verwaltungsdaten 642 beschrieben sind, als Antwort auf eine Transaktion, Kommunikation mit der Benutzereinrichtung 620 oder dgl., und Verschlüsseln/Entschlüsseln von Daten während der Kommunikation durchzuführen. Die Steuereinrichtung 643 besteht aus einem Computer, in welchem ein Verschlüsselungsprogramm und ein Kommunikationsprogramm gespeichert sind, wie in 42 gezeigt ist, so dass die Steuereinrichtung 643 auch als Verschlüsselungseinrichtung und als Kommunikationseinrichtung dient.
  • Schlüsseldaten oder dgl., welche beim Verschlüsselungsprozess durch die Verschlüsselungseinrichtung der Steuereinrichtung 643 verwendet werden, sind in einer sicheren Weise in der Speichereinrichtung in der Steuereinrichtung gespeichert. Die Daten, beispielsweise Verschlüsselungsschlüssel, welche im Inhaltslieferserver 640 gespeichert sind, um bei dem Verschlüsselungsprozess verwendet zu werden, umfassen einen Geheimschlüssel KsCP des Inhaltslieferservers 640, ein öffentliches Schlüsselzertifikat Cert_CP des Inhaltslieferservers 640 und einen öffentlichen Schlüssel KpCA einer Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat ausgibt.
  • Die Steuereinrichtung 643 ist in einer ähnlichen Weise wie die Steuereinrichtung, welche früher mit Hilfe von 4 beschrieben wurde, aufgebaut. Das heißt, die Steuereinrichtung 643 weist eine CPU (Zentralverarbeitungseinheit), einen ROM (Nur Lesespeicher), einen RAM (Speicher mit wahlfreiem Zugriff), eine Anzeigeeinrichtung, eine Eingabeeinheit, eine Speichereinrichtung, und eine Kommunikationsschnittstelle auf.
  • Kartenaustauschserver
  • 44 zeigt den Aufbau des Kartenaustauschservers (TES) 650 im Inhaltliefersystem, welches in 37 gezeigt ist. Der Kartenaustauschserver 650 empfängt elektronische Karten von verschiedenen Einheiten und führt nach dem Verifizieren der empfangenen Daten Austauschprozesse auf Basis der Information durch, welche in den Karten beschrieben ist, durch beispielsweise Übertragen von Geld zwischen Konten oder Ändern der verbleibenden Beträge des elektronischen Gelds. Insbesondere kann der Kartenaustauschserver 650 ein Server sein, welcher in einer Bank installiert ist, um Bankkonten entsprechender Einheiten zu verwalten.
  • Der Kartenaustauschserver 650 hat eine Kartenaustausch-Verwaltungsdatenbank 652, um Daten in Verbindung mit einem Austauschprozess auf Basis einer Karte zu verwalten, welche als Antwort auf eine Inhaltstransaktion ausgegeben wird. Der Kartenaustauschserver 650 besitzt außerdem eine Steuereinrichtung 653, um eine Verifizierung einer Karte, welche von einer Einheit empfangen wird, die Steuerung der Kartenaustausch-Verwaltungsbank, die Kommunikation mit einer Einheit, und Verschlüsselung/Entschlüsselung von Daten während der Kommunikation durchzuführen.
  • 45 zeigt den Datenaufbau der Kartenaustausch-Verwaltungsdatenbank 652. Die Kartenaustausch-Verwaltungsdatenbank 652 hat eine TES-Prozessnummer, welche intern erzeugt wird, um einen Kartenaustauschprozess durch den Kartenaustauschserver als Antwort auf eine empfangene Karte zu identifizieren, eine Austauschanforderer-ID, welche eine Einheit identifiziert, welche einen Austausch auf Basis der Karte anfordert, eine Kartenherausgeber-ID, welche einen Kartenherausgeber identifiziert, der die Karte als Antwort auf die Inhaltstransaktion ausgibt, eine Kartennummer, welche durch einen Kartenausgabeserver 610 zugeteilt wird, einen Austauschbetrag auf Basis der Karte, eine Benutzereinrichtungs-ID, welche die Benutzereinrichtung identifiziert, welche den Inhalt erworben hat, eine Transaktions-ID, welche durch die Benutzereinrichtung erzeugt wird, wenn die Inhaltstransaktion durchgeführt wird, und Statusinformation, welche den Status des Austauschprozesses zeigt, der durch den Kartenaustauschserver durchgeführt wird. Der Status wird aktualisiert, wenn die Transaktion voranschreitet, wie später beschrieben wird.
  • Der Kartenaustauschserver 650 weist eine Steuereinrichtung 653 auf, um das Erzeugen und Aktualisieren von Daten, welche in der Kartenaustausch-Verwaltungsdatenbank 652 beschrieben sind, das Verifizieren einer Karte, welche empfangen wurde, die Kommunikation mit einer Einheit und das Verschlüsseln/Entschlüsseln von Daten während der Kommunikation durchzuführen. Die Steuereinrichtung 653 besteht aus einem Computer, in welchem ein Verschlüsselungsprogramm und ein Kommunikationsprogramm gespeichert sind, wie in 44 gezeigt ist, so dass die Steuereinrichtung 653 auch als Verschlüsselungseinrichtung und Kommunikationseinrichtung dient. Schlüsseldaten oder dgl., welche beim Verschlüsselungsprozess durch die Verschlüsselungseinrichtung der Steuereinrichtung 653 verwendet werden, sind in einer sicheren Weise in der Speichereinrichtung in der Steuereinrichtung gespeichert. Die Daten, beispielsweise Verschlüsselungsschlüssel, welche im Kartenaustauschserver 650 gespeichert sind, um bei dem Verschlüsselungsprozess verwendet zu werden, umfassen einen Geheimschlüssel KsTES des Kartenaustauschservers 650, ein öffentliches Schlüsselzertifikat Cert_TES des Kartenaustauschservers 650, und einen öffentlichen Schlüssel KpCA einer Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat ausgibt.
  • Die Steuereinrichtung 653 ist in einer ähnlichen Weise wie die Steuereinrichtung aufgebaut, die früher mit Hilfe von 4 beschrieben wurde. Das heißt, die Steuereinrichtung 653 weist eine CPU (Zentralverarbeitungseinheit), einen ROM (nur Lesespeicher), einen RAM (Speicher mit wahlfreiem Zugriff), eine Anzeigeeinrichtung, eine Eingabeeinheit, eine Speichereinrichtung und eine Kommunikationsschnittstelle auf.
  • Inhaltserwerbsprozess
  • Wiederum bezugnehmend auf 37 ist dort der Prozess beschrieben, mit dem die Benutzereinrichtung eine Inhalterwerbsanforderung an den Kartenausgabeserver ausgibt, die Benutzereinrichtung einen Inhalt erwirbt, die Benutzereinrichtung den erworbenen Inhalt in der Benutzereinrichtung speichert, so dass der Inhalt verwendet werden kann, und Geld, welches durch Verkaufen des Inhalts erlangt wird, bezahlt (ausgetauscht) wird, gemäß der anteiligen Verdienst-Information, welche auf einer Karte beschrieben ist. In 37 läuft der Prozess in der Reihenfolge der Prozessschritte von (1) bis (32) wie anschließend beschrieben ist weiter.
    • (1) Gegenseitige Berechtigung Wenn die Benutzereinrichtung 620 wünscht, einen Inhalt zu erwerben, wird zunächst gegenseitige Berechtigung zwischen der Benutzereinrichtung 620 und dem Kartenausgabeserver 610 durchgeführt. Die gegenseitige Berechtigung wird in einer ähnlichen Weise wie oben mit Hilfe von 12 und 13 beschrieben durchgeführt. Bei der nachfolgenden Datenübertragung werden die Daten, nachdem sie verschlüsselt sind, wenn erforderlich, unter Verwendung eines Sitzungsschlüssels, der während des gegenseitigen Berechtigungsprozesses erzeugt wird, übertragen.
    • (2) Erzeugung der Transaktions-ID und der Erwerbsanforderungsdaten, und
    • (3) Übertragung der Erwerbsanforderungsdaten Wenn die gegenseitige Berechtigung zwischen dem Kartenherausgeberserver 610 und der Benutzereinrichtung 620 erfolgreich verlaufen ist, erzeugt die Benutzereinrichtung 620 Inhaltserwerbsanforderungsdaten. 46M zeigt die Datenstruktur der Erwerbsanforderungsdaten. Die Erwerbsanforderungsdaten umfassen eine Benutzereinrichtungs-ID auf, welche die Benutzereinrichtung 620 identifizieren, welche die Inhaltserwerbsanforderung ausgegeben hat, eine Transaktions-ID, welche als Identifizierer einer Inhaltstransaktion durch die Verschlüsselungseinrichtung der Benutzereinrichtung 620 auf Basis von beispielsweise einer Zufallszahl erzeugt wird, und eine Inhalts-ID, welche einen Inhalt zeigt, den die Benutzereinrichtung zu erwerben wünscht. Außerdem wird eine digitale Signatur der Benutzereinrichtung für die obigen Daten den Erwerbsanforderungsdaten hinzugefügt. Wenn erforderlich wird das öffentliche Schlüsselzertifikat der Benutzereinrichtung zur Verwendung bei der Verifizierung der Signatur an die Erwerbsanforderungsdaten angehängt.
    • (4) Verifizierung der empfangenen Daten Wenn der Kartenherausgabeserver 610 die Erwerbsanforderung, beispielsweise, welche in 46M gezeigt ist, von der Benutzereinrichtung 620 empfängt, verifiziert der Kartenherausgabeserver 610 die empfangenen Daten. Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe von 15 beschrieben durchgeführt.
    • (5) Belastungsprozess
    • (6) Herausgabe der elektronischen Karte, und
    • (7) Übertragung der elektronischen Karte
  • Danach führt der Kartenherausgabeserver 610 einen Belastungsprozess in Verbindung mit einer Inhaltstransaktion durch und gibt eine elektronische Karte aus. Hier wird die elektronische Karte unter einer oberen Transaktionsgrenze herausgegeben, welche auf Basis des verbleibenden Betrags der Bankkontos oder des elektronischen Geldkontos des Benutzers festgelegt ist. Die herausgegebene elektronische Karte wird zur Benutzereinrichtung 620 übertragen.
  • 47A und 47B zeigen Beispiele der Datenstruktur der elektronischen Karte. In dem Beispiel, welches in 47A gezeigt ist, weist die anteilige Verdienst-Information, welche in der elektronischen Karte beschrieben ist, lediglich eine Empfangseinheit auf, an welche Geld zu bezahlen ist. Wie in 47A gezeigt ist, weist die elektronische Karte eine Kartenherausgeber-ID, eine Kartenherausgabe-Prozessnummer, eine Kartenbenutzer-ID, welche eine Einheit zeigt, für die eine Belastung gegeben wird gemäß der Information, welche in der Karte beschrieben ist, eine Geldmenge, welche gemäß der Karte zu bezahlen ist, eine Gültigkeitsdauer der elektronischen Karte, während der die empfangende Einheit einen Geldempfangsprozess (Belastung) auf Basis der elektronischen Karte durchführen kann, und Erwerbsanforderungsdaten (47M), welche von der Benutzereinrichtung zum Kartenherausgabeserver übertragen werden, auf. Die elektronische Karte kann außerdem Daten aufweisen, welche das Datum zeigen, an dem die Karte ausgegeben wurde. Außerdem wird eine digitale Signatur des Kartenherausgabeserver 610 den Daten hinzugefügt. Außerdem wird ein öffentliches Schlüsselzertifikat des Kartenherausgabeservers der elektronischen Karte angehängt, wenn notwendig, um bei der Verifizierung der Signatur verwendet zu werden.
  • 47B zeigt ein Datenformat einer elektronischen Karte, welche anteilige Verdienst-Information aufweist, welche Beträge zeigt, welche mehreren Empfangseinheiten bezahlt werden sollten. Wie in 47B gezeigt ist, weist die elektronische Karte mehrere Kartenbenutzer-IDs auf (IDs des Kartenbenutzers 1 zum Kartenbenutzer n), und Beträge, welche an die jeweiligen Kartenbenutzer zu zahlen sind, welche durch die Kartenbenutzer-IDs identifiziert werden, sind in der elektronischen Karte beschrieben. Das heißt, jede Empfangseinheit kann einen Geldbetrag entsprechend der ID der Einheit empfangen.
  • Bei dem Beispiel des Prozesses, der in 37 gezeigt ist, gibt der Kartenherausgabeserver 610 eine elektronische Karte aus, welche durch den Inhaltsanbieter (CP) zu verwenden ist, der den Inhaltslieferserver betreibt, und außerdem eine elektronische Karte aus, welche durch den Benutzereinrichtungs-Berechtigungsserver (DAS) zu verwenden ist. Welche Einheitenkarten ausgegeben werden, hängt von dem verkauften Inhalt ab. In einigen Fällen wird eine elektronische Karte an den Autor eines Inhalts oder dgl. ausgegeben. Der Inhaltsausgabeserver hat eine Tabelle, in welcher Einheiten, an die Karten ausgegeben werden sollten und Beträge, welche an entsprechende Einheiten gezahlt werden sollten, für jede Inhalts-ID beschrieben sind. Wenn der Kartenherausgabeserver eine Inhaltserwerbsanforderung von einer Benutzereinrichtung empfängt, ermittelt der Kartenherausgabeserver die Inhalts-ID, welche in der Inhaltserwerbsanforderung beschrieben ist, und bestimmt die Einheiten, an welche Karten herausgegeben werden sollten und an welche die Beträge zu zahlen sind, unter Bezug auf die Einheiten von der Tabelle. Danach gibt der Kartenherausgabeserver Karten gemäß der Bestimmung aus.
    • (8) Verifizierung der empfangenen Daten Wenn die Benutzereinrichtung 620 eine Karte von dem Kartenherausgabeserver 610 empfängt, verifiziert die Benutzereinrichtung 620 die empfangene Karte. Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses, der in 15 gezeigt ist, beschrieben durchgeführt. Das heißt, die Benutzereinrichtung 620 verifiziert zunächst das öffentliche Schlüsselzertifikat des Kartenherausgabeservers, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Die Benutzereinrichtung 620 extrahiert dann den öffentlichen Schlüssel KpTIS des Kartenherausgabeservers vom öffentlichen Schlüsselzertifikat und verifiziert die Signatur der Karte unter Verwendung des extrahierten öffentlichen Schlüssels KpTIS.
    • (9) Gegenseitige Berechtigung, und
    • (10) Übertragung der elektronischen Karte (zur Verwendung durch CP) Danach erlangt die Benutzereinrichtung 620 Zugriff auf den Inhaltslieferserver 640, und es wird gegenseitige Berechtigung zwischen diesen durchgeführt. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, überträgt die Benutzereinrichtung 620 eine elektronische Karte (zur Verwendung durch CP) zum Inhaltslieferserver 640.
    • (11) Verifizierung der empfangenen Daten, und
    • (12) Übertragung des verschlüsselten Inhalts und des verschlüsselten Inhaltsschlüssels Wenn bei der Verifizierung, welche durch den Inhaltslieferserver 640 durchgeführt wird, welche die elektronische Karte betrifft (zur Verwendung durch CP) bestimmt wird, dass die elektronische Karte nicht verfälscht wurde und somit die elektronische Karte gültig ist, überträgt der Inhaltslieferserver 640 den verschlüsselten Inhalt und den verschlüsselten Inhaltsschlüssel zur Benutzereinrichtung. Das heißt, der verschlüsselte Inhalt Kc(Inhalt), der durch Verschlüsseln des Inhalts unter Verwendung des Inhaltsschlüssels erlangt wird, und die verschlüsselten Inhaltsschlüsseldaten KpDAS(Kc), welche durch Verschlüsseln des Inhaltsschlüssels Kc unter Verwendung des öffentlichen Schlüssels des Benutzereinrichtungs-Berechtigungsservers (DAS) 630 erlangt werden, werden übertragen.
    • (13) Verifizierung der empfangen Daten,
    • (14) Gegenseitige Berechtigung, und
    • (15) Übertragung der elektronischen Karte (zur Verwendung durch DAS) und der Schlüsselumsetzungsanforderung Wenn die Benutzereinrichtung 620 den verschlüsselten Inhalt und den verschlüsselten Inhaltsschlüssel vom Inhaltslieferserver 640 empfängt, verifiziert die Benutzereinrichtung 620 die empfangenen Daten. Nach der Verifizierung erlangt die Benutzereinrichtung 620 Zugriff auf den Benutzereinrichtungs-Berechtigungsserver 630 und führt gegenseitige Berechtigung mit dem Benutzereinrichtungs-Berechtigungsserver 630 durch. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, überträgt die Benutzereinrichtung 620 eine elektronische Karte (DAS) und eine Schlüsselumsetzungsanforderung zum Benutzereinrichtungs-Berechtigungsserver 630. Hier dient die Schlüsselumsetzungsanforderung zur Umsetzung des verschlüsselten Inhaltsschlüssels Kc, der durch den öffentlichen Schlüssel des Benutzereinrichtungs-Berechtigungsservers verschlüsselt wurde, wobei der verschlüsselte Inhaltsschlüssel Kc vom Inhaltslieferserver 640 empfangen wurde. Das heißt, als Antwort auf die Schlüsselumsetzungsanforderung setzt der Benutzereinrichtungs-Berechtigungsserver 630 den verschlüsselten Inhaltsschlüssel KpDAS(Kc) in den verschlüsselten Inhaltsschlüssel KpDEV(Kc) um, der unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung verschlüsselt wurde, in einer ähnlichen Weise wie beim Schlüsselumsetzungsprozess, der früher mit Hilfe von 1 beschrieben wurde.
    • (16) Verifizierung der empfangenen Daten, und
    • (17) Umsetzung des verschlüsselten Inhaltsschlüssels Wenn der Benutzereinrichtungs-Berechtigungsserver 630 von der Benutzereinrichtung 620 die elektronische Karte (zur Verwendung durch den DAS) und die Anforderung auf Umsetzung des verschlüsselten Inhaltsschlüssels KpDAS(Kc) empfängt, verifiziert der Benutzereinrichtungs-Berechtigungsserver 630 die elektronische Karte (zur Verwendung durch den DAS) und die Anforderung auf Umsetzung des verschlüsselten Inhaltsschlüssels. Wenn die Verifizierung zeigt, dass die elektronische Karte eine gültige Karte ist, welche nicht verfälscht ist und dass die Schlüsselumsetzungsanforderung gültig ist, entschlüsselt der Benutzereinrichtungs-Berechtigungsserver 630 unter Verwendung des Geheimschlüssels KsDAS des Benutzereinrichtungs-Berechtigungsservers 630 die verschlüsselten Daten KpDAS(Kc), welche durch Verschlüsseln des Inhaltsschlüssels Kc erlangt werden, unter Verwendung des öffentlichen Schlüssels KpDAS(Kc) des Benutzereinrichtungs-Berechtigungsservers (DAS) 630, um dadurch den Inhaltsschlüssel Kc zu erlangen. Außerdem verschlüsselt der Benutzereinrichtungs-Berechtigungsserver 630 den erlangten Inhaltsschlüssel Kc unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung, um dadurch den verschlüsselten Inhaltsschlüssel KpDEV(Kc) zu erzeugen. Das heißt, der Schlüssel wird umgesetzt, so dass gilt: KpDAS(Kc).Kc.KpDEV(Kc). Dieser Umsetzungsprozess wird in einer ähnlichen Weise wie früher mit Hilfe von 16 beschrieben durchgeführt.
    • (18) Übertragung des verschlüsselten Inhaltsschlüssels
    • (19) Verifizierung der empfangene Daten, und
    • (20) Speichern der Daten Der Benutzereinrichtungs-Berechtigungsserver 630 überträgt den verschlüsselten Inhaltsschlüssel KpDEV(Kc), welcher über die Schlüsselumsetzung erzeugt wird, zur Benutzereinrichtung 620. Wenn die Benutzereinrichtung 620 den verschlüsselten Inhaltsschlüssel KpDEV(Kc) von den Benutzereinrichtungs-Berechtigungsserver 630 empfängt, verifiziert die Benutzereinrichtung 620 die empfangenen Daten. Nach der Verifizierung entschlüsselt die Benutzereinrichtung 620 den verschlüsselten Inhaltsschlüssel KpDEV(Kc) unter Verwendung des Geheimschlüssels KsDEV der Benutzereinrichtung 620, und danach verschlüsselt die Benutzereinrichtung 620 den Inhaltsschlüssel unter Verwendung des Speicherschlüssels Ksto der Benutzereinrichtung 620, um dadurch einen verschlüsselten Inhaltsschlüssel Ksto(Kc) zu erzeugen. Der resultierende verschlüsselte Inhaltsschlüssel Ksto(Kc) wird in der Speichereinrichtung der Benutzereinrichtung 620 gespeichert. Wenn der Inhalt verwendet wird, wird der verschlüsselte Inhaltsschlüssel Ksto(Kc) unter Verwendung des Speicherschlüssels Ksto entschlüsselt, um dadurch den Inhaltsschlüssel Kc zu erlangen, und der verschlüsselte Inhalt Kc(Inhalt) wird unter Verwendung des erlangten Inhaltsschlüssels Kc entschlüsselt, um dadurch den Inhalt wiederzugeben.
    • (21) Gegenseitige Berechtigung, und
    • (22) Übertragung der elektronischen Karte (zur Verwendung durch den CP) Nach dem Übertragen des verschlüsselten Inhalts zur Benutzereinrichtung 620 erlangt der Inhaltslieferserver 640 Zugriff auf den Kartenaustauschserver 650 und führt gegenseitige Berechtigung mit dem Kartenaustauschserver 650 durch. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, überträgt der Inhaltslieferserver 640 zum Kartenaustauschserver 650 die elektronische Karte (zur Verwendung durch CP) zur Verwendung durch den Inhaltslieferserver 650.
    • (23) Verifizierung der empfangenen Daten und Austauschprozess Wenn die Verifizierung, welche durch den Kartenaustauschserver 650 durchgeführt wird, zeigt, dass die elektronische Karte (zur Verwendung durch CP) eine gültige Karte ist, welche nicht verfälscht wurde, führt der Kartenaustauschserver 650 einen Austauschprozess gemäß der Information durch, welche auf der empfangenen elektronischen Karte (zur Verwendung durch CP) beschrieben ist. Der Prozess wird beispielsweise durch Übertragen einer Geldmenge, welche in der elektronischen Karte (zur Verwendung durch CP) spezifiziert ist, von einem Konto der Benutzereinrichtung auf ein Bankkonto, oder eines elektronischen Geldbetrags, der vorher registriert wurde, vom Inhaltsanbieter (CP), der den Inhaltlieferserver verwaltet, durchgeführt. Alternativ kann der Austauschprozess durchgeführt werden, indem Geldbetrag, der in der elektronischen Karte spezifiziert wird, auf das Konto des Inhaltsanbieters (CP) von dem Geldbetrag übertragen wird, der vorher als Einlage durch den Kartenherausgabeserver vom Benutzer empfangen wurde. Der oben beschriebene Austauschprozess oder Begleichungsprozess wird lediglich dann durchgeführt, wenn die Verifizierung der Gültigkeitsdauer, der Karte beschrieben ist, durch den Kartenaustauschserver 650 durchgeführt wird, zeigt, dass die Gültigkeitsdauer noch nicht abgelaufen ist.
    • (24) Übertragung des Austauschprozessberichts Nach Beendigung des Austauschprozesses auf Basis der elektronischen Karte (zur Verwendung durch CP) überträgt der Kartenaustauschserver 650 zum Inhaltslieferserver 640 einen Bericht, der das Ergebnis des Austauschprozesses zeigt. 46N zeigt ein Beispiel des Datenaufbaus des Austauschprozessberichts. Der Austauschprozessbericht weist eine Kartenaustausch-Prozess-ID auf, welche einen Kartenaustauschprozess identifiziert, eine Austauschanforderungs-ID, welche eine Einheit identifiziert, welche einen Austausch anfordert, auf Basis der Karte, eine Austauschmenge auf Basis der Karte, eine Kartenherausgeber-ID, welche einen Kartenherausgeber identifiziert, der die Karte ausgibt, als Antwort auf die Inhaltstransaktion, eine Kartennummer, welche durch den Kartenherausgabeserver 610 zugeteilt wird, und ein Datum des Kartenaustauschprozesses, bei dem der Kartenaustauschprozess durch den Kartenaustauschserver 650 durchgeführt wurde. Die elektronische Signatur des Kartenaustauschservers 650 wird zum Austauschprozessbericht hinzugefügt. Außerdem wird das öffentliche Schlüsselzertifikat des Kartenaustauschservers an den Austauschprozessbericht angehängt, wenn notwendig, zur Verifizierung der Signatur.
    • (25) Verifizierung der empfangenen Daten Wenn der Inhaltslieferserver 640 den Austauschprozessbericht vom Kartenaustauschserver 650 empfängt, verifiziert der Inhaltslieferserver 640 den empfangenen Austauschprozessbericht. Wenn die Datenverifizierung zeigt, dass der Bericht gültig ist, kann gefolgert werden, dass das Liefern einer bestimmten Geldmenge, welche zugeteilt wird, zum Inhaltsbereitsteller, der den Inhaltslieferserver verwaltet, korrekt zum Inhaltsbereitsteller geliefert wurde.
    • (26) Gegenseitige Berechtigung,
    • (27) Übertragung der elektronischen Karte (zur Verwendung durch DAS),
    • (28) Verifizierung der empfangenen Daten und Austauschprozess,
    • (29) Übertragung des Austauschprozessberichts, und
    • (30) Verifizierung der empfangenen Daten Ein Prozess ähnlich dem oben beschriebenen Prozess ((21) bis (25)), der zwischen dem Inhaltslieferserver 640 und dem Kartenaustauschserver 650 durchgeführt wird, wird ebenfalls auf Basis einer elektronischen Karte (zur Verwendung durch DAS) zwischen dem Benutzereinrichtungs-Berechtigungsserver 630 und dem Kartenaustauschserver 650 durchgeführt.
    • (31) Gegenseitige Berechtigung
    • (32) Übertragung des Austauschprozessberichts, und
    • (33) Verifizierung der empfangenen Daten
  • Nachdem der Kartenaustauschserver 650 den Austauschprozess auf Basis der elektronischen Karten durchgeführt hat, welche von den jeweiligen Einheiten empfangen werden, wird die gegenseitige Berechtigung zwischen dem Kartenaustauschserver 650 und dem Kartenherausgabeserver 610 durchgeführt, und ein Austauschbericht (46N) ähnlich denen, welche zu den jeweiligen Einheiten übertragen wurde, wird vom Kartenaustauschserver 650 zum Kartenherausgabeserver 610 übertragen. Der Kartenherausgabeserver 610 prüft den Austauschbericht, der vom Kartenaustauschserver 650 empfangen wird, um zu bestätigen, dass der Austauschprozess in Verbindung mit den herausgegebenen Karten beendigt wurde.
  • Statusübergang der Einrichtungen
  • Die Einheiten, welche in 37 gezeigt sind, beispielsweise der Kartenherausgabeserver 610, bestimmen den Prozess, der anschließend durchzuführen ist, in Abhängigkeit von der Zustandsinformation (Statusinformation), welche den Prozesszustand zeigt, während der Sequenz der Schritte bei der Inhaltstransaktion. Die Zustandsinformation wird für jede Inhaltstransaktion unter Verwendung der Kartenherausgabe-Verwaltungsdatenbank, welche in 39 gezeigt ist, und der Erwerbsverwaltungs-Datenbank, welche in 40 gezeigt ist, der Benutzereinrichtung verwaltet.
  • Der Zustandsübergang des Kartenherausgabeservers 610 wird anschließend mit Hilfe von 48 beschrieben. Der Kartenherausgabeserver 610 initialisiert einen Prozess, wenn der Kartenherausgabeserver 610 Inhaltserwerbs-Anforderungsdaten von der Benutzereinrichtung 610 empfängt (Prozess (3) in 37). Bei einem Empfang der Daten von der Benutzereinrichtung 620 verifiziert der Kartenherausgabeserver 610 die empfangenen Daten. Wenn die Verifizierung erfolgreich verlaufen ist, wird der Zustand auf einen Zustand "Erwerbsanforderung akzeptiert" gesetzt. Wenn jedoch die Datenverifizierung zeigt, dass die Erwerbsanforderung nicht gültig ist, wird der Prozess (in diesem speziellen Beispiel der Erwerbsanforderungs-Empfangsprozess) unmittelbar oder nach dem Wiederholen des Prozesses mit einer vorgegebenen Häufigkeit beendet, und der Zustand wird auf einen Zustand gesetzt: "Erwerbsanforderung zurückgewiesen". Der Prozess geht weiter zu einem nächsten Schritt nur dann, wenn der Zustand im Zustand "Erwerbsanforderung akzeptiert" ist.
  • Wenn der Zustand auf den Zustand "Erwerbsanforderung akzeptiert" geändert wird, gibt der Kartenherausgabeserver 610 eine elektronische Karte an die Benutzereinrichtung 620 aus (Schritte (7) in 37). Wenn der Kartenherausgabeserver 610 eine Zusageantwort von der Benutzereinrichtung empfängt, wird der Zustand auf einen Zustand "Kartenlieferung beendet" gesetzt. Wenn jedoch die Zusageantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung der elektronischen Karte) unmittelbar oder nach Wiederholen des Prozesses mit einer bestimmten Häufigkeit beendet, und der Status wird auf einen Zustand "Kartenlieferung missglückt" gesetzt. Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Zustand im Zustand "Kartenlieferung beendet" ist.
  • Wenn der Zustand auf den Zustand "Kartenlieferung beendet" geändert wird, empfängt der Kartenherausgabeserver 610 einen Austauschbericht vom Kartenaustauschserver und verifiziert den empfangenen Bericht (Prozessschritte (32) und (33) in 37). Wenn die Verifizierung erfolgreich verlaufen ist, wird der Zustand auf einen Zustand "Empfang des Austauschberichts beendet" geändert. Wenn die jedoch die Verifizierung zeigt, dass der empfangene Bericht nicht gültig ist, wird der Prozess (in diesem speziellen Fall der Empfang und die Verifizierung des Berichts) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Status wird auf einen Status "Empfang des Austauchberichts missglückt" gesetzt. Im Kartenherausgabeserver 610 wird der Zustand in der oben beschriebenen Weise für jede Inhaltstransaktion geändert.
  • Der Zustandsübergang des Benutzereinrichtungs-Berechtigungsservers 630 wird anschließend mit Hilfe von 49 beschrieben. Der Benutzereinrichtungs-Berechtigungsserver 630 initialisiert einen Prozess, wenn der Benutzereinrichtungs-Berechtigungsserver 630 einen verschlüsselten Inhaltsschlüssel KpDAS(KC) von der Benutzereinrichtung 620 empfängt (Prozess (15) in 37). Bei einem Empfang der Daten, welche die elektronische Karte (DAS) von der Benutzereinrichtung 620 enthalten, verifiziert der Benutzereinrichtungs-Berechtigungsserver 630 die empfangenen Daten. Wenn die Verifizierung erfolgreich verlaufen ist, wird der Status auf einen Status "Empfang des Schlüssels beendet" gesetzt. Wenn jedoch die Datenverifizierung zeigt, dass die empfangenen Daten nicht gültig sind, wird der Prozess (in diesem speziellen Fall der Empfang der verschlüsselten Inhaltschlüsseldaten (Benutzereinrichtung)) unmittelbar beendet oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit, und der Status wird auf einen Status "Empfang des Schlüssels missglückt" gesetzt. Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Status im Status "Empfang des Schlüssels beendet" ist.
  • Wenn der Zustand auf den Zustand "Empfang des Schlüssels beendet" geändert ist, führt der Benutzereinrichtungs-Berechtigungsserver 630 den Inhaltsschlüssel-Umsetzungsprozess durch (Prozessschritt (17) in 37). Wenn die Inhaltsschlüssel-Umsetzung erfolgreich beendet ist, wird der Zustand auf einen Zustand "Schlüsselumsetzung beendet" gesetzt. Hier wird angenommen, dass die Schlüsselumsetzung immer erfolgreich beendet wird, und der Zustand wird immer auf den Zustand "Schlüsselumsetzung beendet" gesetzt.
  • Wenn der Zustand auf den Zustand "Schlüsselumsetzung beendet" geändert wird, überträgt der Benutzereinrichtungs-Berechtigungsserver 630 die verschlüsselten Inhaltsschlüsseldaten (DAS) zur Benutzereinrichtung 620 (Prozessschritt (18) in 37) und wartet auf eine Antwort von der Benutzereinrichtung 620. Wenn eine Zusageantwort von der Benutzereinrichtung 620 empfangen wird, wird der Zustand auf einen Zustand "Übertragung des Schlüssels beendet" geändert. Wenn jedoch die Zusageantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung der verschlüsselten Inhaltsschlüsseldaten (DAS)) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Übertragung des Schlüssels missglückt" gesetzt.
  • Wenn der Zustand auf den Zustand "Übertragung des Schlüssel beendet" geändert ist, überträgt der Benutzereinrichtungs-Berechtigungsserver 630 die elektronische Karte (zur Verwendung durch DAS) zum Kartenaustauschserver 650 (Prozessschritt (27) in 37) und wartet auf eine Antwort vom Kartenaustauschserver 650. Wenn eine Bestätigungsantwort vom Kartenaustauschserver 650 empfangen wird, wird der Zustand auf einen Zustand "Übertragung der Kartenaustauschanforderung beendet" gesetzt. Wenn jedoch die Bestätigungsantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung der Kartenaustauschanforderung) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Übertragung der Kartenaustauschanforderung missglückt" gesetzt.
  • Wenn der Zustand auf den Zustand "Übertragung der Kartenaustauschanforderung beendet" geändert wird, empfängt der Benutzereinrichtungs-Berechtigungsserver 630 den Austauschprozessbericht vom Kartenaustauschserver 650 und verifiziert den empfangenen Bericht (Prozessschritte (29) und (30) in 37). Wenn die Verifizierung erfolgreich verlaufen ist, wird der Zustand auf einen Zustand "Empfang des Austauschprozessberichts beendet" gesetzt, und der Prozess wird beendet. Wenn jedoch die Datenverifizierung zeigt, dass der empfangene Bericht nicht gültig ist, wird der Prozess (in diesem speziellen Fall der Empfang und die Verifizierung des Berichts) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Empfang des Austauschberichts missglückt" gesetzt. Im Benutzereinrichtungs-Berechtigungsserver 630 wird der Zustand in der oben beschriebenen Weise für jede Inhaltstransaktion geändert.
  • Der Zustandsübergang des Inhaltslieferservers 640 wird anschließend mit Hilfe von 50 beschrieben. Der Inhaltslieferserver 640 initialisiert einen Prozess, wenn der Inhaltslieferserver 640 eine elektronische Karte (zur Verwendung durch CP) von der Benutzereinrichtung 620 empfängt (Prozess (10) in 37). Bei einem Empfang der Daten von der Benutzereinrichtung 620 verifiziert der Inhaltslieferserver 640 die empfangenen Daten. Wenn die Verifizierung erfolgreich verlaufen ist, wird der Zustand auf einen Zustand "Empfang der elektronischen Karte beendet" gesetzt. Wenn jedoch die Datenverifizierung zeigt, dass die empfangenen Daten nicht gültig sind, wird der Prozess (in diesem speziellen Fall der Empfang der Karte) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Empfang der elektronischen Karte missglückt" gesetzt. Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Zustand im Zustand "Empfang der elektronischen Karte beendet" ist.
  • Wenn der Zustand auf den Zustand "Empfang der elektronischen Karte beendet" geändert ist, überträgt der Inhaltslieferserver 640 den verschlüsselten Inhalt und die verschlüsselten Inhaltsschlüsseldaten KpDAS(Kc) zur Benutzereinrichtung 620 (Prozessschritt (12) in 37) und wartet auf eine Antwort von der Benutzereinrichtung 620. Wenn eine Bestätigungsantwort von der Benutzereinrichtung 620 empfangen wird, wird der Zustand auf einen Zustand "Lieferung beendet" gesetzt.
  • Wenn jedoch die Bestätigungsantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung des verschlüsselten Inhalts und der verschlüsselten Inhaltsschlüsseldaten KpDAS(Kc)) unmittelbar oder nach einem Wiederholen des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Lieferung missglückt" gesetzt.
  • Wenn der Zustand in den Zustand "Lieferung beendet" geändert wird, überträgt der Inhaltslieferserver 640 die elektronische Karte (zur Verwendung durch CP) zum Kartenaustauschserver 650 (Prozessschritt (22) in 37) und wartet auf eine Antwort vom Kartenaustauschserver 650. Wenn eine Bestätigungsantwort vom Kartenaustauschserver 650 empfangen wird, wird der Zustand auf einen Zustand "Übertragung der Kartenaustauschanforderung beendet" gesetzt. Wenn jedoch die Bestätigungsantwort nicht empfangen wird, wird der Prozess (in diesem Fall die Übertragung der Kartenaustauschanforderung) unmittelbar oder nach Wiederholen des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Übertragung der Kartenaustauschanforderung missglückt" gesetzt. Wenn der Zustand auf den Zustand "Übertragung der Kartenaustauschanforderung beendet" geändert ist, empfängt der Kartenlieferserver 640 den Austauschprozessbericht vom Kartenaustauschserver 650 und verifiziert den empfangenen Bericht (Prozessschritte (24) und (25) in 37). Wenn die Verifizierung erfolgreich verlaufen ist, wird der Zustand auf einen Zustand "Empfang des Austauschprozessberichts beendet" gesetzt und der Prozess wird beendet. Wenn jedoch die Datenverifizierung zeigt, dass der empfangene Bericht nicht gültig ist, wird der Prozess (in diesem speziellen Fall der Empfang und die Verifizierung des Berichts) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Empfang des Austauschberichts missglückt" gesetzt. Im Inhaltslieferserver 640 wird der Zustand in der oben beschriebenen Weise für jede Inhaltstransaktion geändert.
  • Der Zustandsübergang der Benutzereinrichtung 620 wird anschließend mit Hilfe von 51 beschrieben. Die Benutzereinrichtung 620 initialisiert einen Prozess, um Erwerbsanforderungsdaten zum Kartenherausgabeserver 610 zu übertragen (Prozess (3) in 37). Wenn die Benutzereinrichtung 620 vom Kartenherausgabeserver 610 eine Antwort empfängt, die zeigt, dass die Inhaltserwerbs-Anforderungsdaten erfolgreich durch den Kartenherausgabeserver 610 empfangen wurden, wird der Zustand auf einen Zustand "Erwerbsanforderungsübertragung beendet" gesetzt. Wenn jedoch die Antwort, die zeigt, dass die Inhaltserwerbs-Anforderungsdaten erfolgreich durch den Kartenherausgabeserver 610 empfangen wurden, nicht empfangen wird, wird der Prozess (Übertragung der Erwerbsanforderung in diesem speziellem Fall) unmittelbar oder nach Wiederholen des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Erwerbsanforderungsübertragung missglückt" gesetzt. Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Zustand im Zustand "Erwerbsanforderungsübertragung beendet" ist.
  • Wenn der Zustand in den Zustand "Erwerbsanforderungsübertragung beendet" geändert wird, empfängt die Benutzereinrichtung 620 die elektronische Karte vom Kartenherausgabeserver 610 (Prozessschritte (7) und (8) in 37) und verifiziert die empfangenen Daten. Wenn die Karte, welche vom Kartenherausgabeserver 610 empfangen wird, als gültig bestimmt wird, wird der Zustand auf einen Zustand "Empfang der elektronischen Karte beendet" gesetzt. Wenn jedoch die Datenverifizierung zeigt, dass die empfangene Karte nicht gültig ist, wird der Prozess (in diesem speziellen Fall der Empfang der Karte) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Empfang der elektronischen Karte missglückt" gesetzt. Der Prozess geht zu einem nächsten Schritt nur dann, wenn der Zustand im Zustand "Empfang der elektronischen Karte beendet" ist.
  • Wenn der Zustand auf den Zustand "Empfang der elektronischen Karte beendet" geändert ist, überträgt die Benutzereinrichtung 620 die elektronische Karte zum Inhaltslieferserver 640 (Prozessschritt (10) in 37) und wartet auf eine Antwort vom Inhaltslieferserver 640. Wenn eine Bestätigungsantwort vom Inhaltslieferserver 640 empfangen wird, wird der Zustand in einen Zustand "Übertragung der elektronischen Karte beendet" geändert. Wenn jedoch die Bestätigungsantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung der Karte) unmittelbar oder nach Wiederholen des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Übertragung der elektronischen Karte missglückt" gesetzt. Der Prozess geht weiter zu einem nächsten Schritt nur dann, wenn der Zustand im Zustand "Übertragung der elektronischen Karte beendet" ist.
  • Wenn der Zustand in den Zustand "Übertragung der elektronischen Karte beendet" geändert wird, empfängt die Benutzereinrichtung 620 den verschlüsselten Inhalt und den verschlüsselten Inhaltsschlüssel KpDAS(Kc) vom Inhaltslieferserver 640 und verifiziert die empfangenen Daten (Prozessschritte (12) und (13) in 37). Wenn die Datenverifizierung erfolgreich verlaufen ist, wird der Zustand auf einen Zustand "Empfang des Schlüssels 1 beendet" gesetzt. Wenn jedoch die Datenverifizierung nicht vorbei ist, wird der Prozess (Empfang der Schlüsseldaten in diesem speziellen Fall) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Status wird auf einen Status "Liefern des Schlüssels 1 missglückt" gesetzt.
  • Wenn der Zustand auf den Zustand "Empfang des Schlüssels 1 beendet" geändert wird, beiträgt die Benutzereinrichtung 620 die elektronische Karte (zur Verwendung durch DAS) und den verschlüsselten Inhaltsschlüssel KpDAS(Kc) zum Benutzereinrichtungs-Berechtigungsserver 630 (Prozessschritt (15) in 37) und wartet auf eine Antwort vom Benutzereinrichtungs-Berechtigungsserver 630. Wenn eine Bestätigungsantwort vom Benutzereinrichtungs-Berechtigungsserver 630 empfangen wird, wird der Zustand auf einen Zustand "Übertragung der Schlüsselumsetzungsanforderung beendet" gesetzt. Wenn jedoch die Bestätigungsantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung der elektronischen Karte (zur Verwendung durch DAS) und des verschlüsselten Inhaltsschlüssels KpDAS(Kc) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Übertragung der Schlüsselumsetzungsanforderung missglückt" gesetzt. Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Zustand im Zustand "Übertragung der Schlüsselumsetzungsanforderung beendet" ist.
  • Wenn der Zustand auf den Zustand "Übertragung der Schlüsselumsetzungsanforderung beendet" geändert ist, empfängt die Benutzereinrichtung 620 den verschlüsselten Inhaltsschlüssel KpDEV(Kc) von den Benutzereinrichtungs-Berechtigungsserver 630 und verifiziert die empfangenen Daten (Prozessschritte (18) und (19) in 37). Wenn die Datenverifizierung erfolgreich verlaufen ist, wird der Zustand auf einen Zustand "Empfang des Schlüssels 2 beendet" gesetzt, und der Prozess wird beendet. Wenn jedoch die Datenverifizierung nicht vorbei ist, wird der Prozess (in diesem speziellen Fall der Empfang der Schlüsseldaten) unmittelbar oder nach Wiederholung des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Empfang des Schlüssels 2 missglückt" gesetzt.
  • Der Zustandsübergang des Kartenaustauschserver 650 wird anschließend mit Hilfe von 52 beschrieben. Der Kartenaustauschserver 650 beginnt den Prozess als Antwort auf den Empfang einer elektronischen Karte von einer Einheit, welche das Recht hat, ein Teil vom Verkaufsgeld auf Basis der elektronischen Karte zu empfangen (Schritte (22) und (27) in 37). Der Kartenaustauschserver 650 verifiziert die empfangene Karte. Wenn die Verifizierung erfolgreich vorbei ist, wird der Zustand auf einen Zustand "Empfang der elektronischen Karte beendet" gesetzt. Wenn jedoch die Datenverifizierung zeigt, dass die empfangenen Daten nicht gültig sind, wird der Prozess (in diesem speziellen Fall der Empfang der Karte) unmittelbar oder nach dem Wiederholen des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Empfang der elektronischen Karte missglückt" gesetzt. Der Prozess läuft weiter zu einem nächsten Schritt nur dann, wenn der Zustand im Zustand "Empfang der elektronischen Karte beendet" ist.
  • Wenn der Zustand auf den Zustand "Empfang der elektronischen Karte beendet" geändert ist, führt der Kartenaustauschserver 650 den Austauschprozess auf Basis der elektronischen Karte durch. Der Austauschprozess wird beispielsweise durch Übertragen einer Menge an Geld, welches in der elektronischen Karte spezifiziert ist (zur Verwendung durch CP) von einem Konto der Benutzereinrichtung auf ein Bankkonto oder ein elektronisches Geldkonto, welches vorher registriert ist, des Inhaltsanbieters (CP), der den Inhaltslieferserver verwaltet, durchgeführt. Alternativ kann der Austauschprozess durch Transferieren einer Geldmenge, welche in der elektronischen Karte spezifiziert ist, auf das Konto des Inhaltsanbieters (CP) vom Geldkonto, der vorher als Einlage empfangen wurde, durch den Kartenherausgabeserver vom Benutzer durchgeführt werden. Nach Beendigung des Austauschprozesses wird der Zustand auf einen Zustand "Austauschprozess beendet" geändert. Wenn jedoch der Austauschprozess missglückt, wird der Status auf einen Status "Austauschprozess missglückt" geändert.
  • Wenn der Zustand auf den Zustand "Austauschprozess beendet" geändert ist, überträgt der Kartenaustauschserver 650 einen Austauschbericht an jede Einheit, welche die Karten übertragen hat (Schritte (24) und (29) in 37) und wartet auf Antworten von den jeweiligen Einheiten. Wenn eine Bestätigungsantwort von jeder Einheit empfangen wird, wird der Zustand auf einen Zustand "Übertragung des Austauschprozessbericht beendet" gesetzt, und der Prozess wird beendet. Wenn jedoch die Bestätigungsantwort nicht empfangen wird, wird der Prozess (in diesem speziellen Fall die Übertragung des Austauschprozessberichts) unmittelbar oder nach Wiederholen des Prozesses mit einer bestimmten Häufigkeit beendet, und der Zustand wird auf einen Zustand "Übertragung des Austauschprozessberichts missglückt" gesetzt. Im Kartenaustauschserver 650 wird der Zustand in der oben beschriebenen Weise für jede Inhaltstransaktion geändert. 53 zeigt ein spezielles Beispiel eines Systems, bei dem Karten durch einen Kartenherausgeber ausgegeben werden und Gebühren für den Inhalt unter Verwendung der Karten beglichen werden. Wenn der Kartenherausgeber 801 eine Inhaltserwerbsanforderung von einer Benutzereinrichtung 802 empfängt, führt der Kartenherausgeber einen Belastungsprozess in Verbindung mit der Inhaltstransaktion durch und gibt eine elektronische Karte aus. Hier wird die elektronische Karte innerhalb einer oberen Transaktionsgrenze ausgegeben, welche auf Basis des verbleibenden Betrags des Bankkontos oder des elektronischen Geldkontos des Benutzers festgelegt ist. In dem in 53 gezeigten Beispiel wird eine elektronische Karte zum Belasten einer Inhaltsgebühr von 1000 japanischen Yen insgesamt durch den Kartenherausgeber an die Benutzereinrichtung ausgegeben.
  • In dem Beispiel, welches in 53 gezeigt ist, wird der Gesamtbetrag von 1000 japanischen Yen so anteilig verteilt, dass 300 japanische Yen als Verkaufsgebühr an den Laden, der der Herausgeber der Karte ist, 100 japanische Yen als Lizenzgebühr für einen Lizenzhalter (Benutzereinrichtungs-Berechtigungsserver) 803, der das Inhaltsliefersystem betreibt, und 600 japanische Yen als Inhaltsgebühr an einen Inhaltserzeuger (Inhaltslieferserver) bezahlt werden.
  • Wenn der Kartenherausgeber 801 eine Erwerbsanforderung von der Benutzereinrichtung empfängt, bestimmt der Kartenherausgeber 801 die Inhaltsgebühr-Anteilsraten in Abhängigkeit von der Inhalts-ID, und gibt so viele elektronische Karten aus, wie es Einheiten gibt, welche den anteiligen Betrag der Inhaltsgebühr empfangen werden. In dem in 53 gezeigten Beispiel gibt der Kartenherausgeber 801 eine elektronische Karte aus, um eine Lizenzgebühr von 100 japanischen Yen an den Lizenzhalter 803 zu bezahlen und eine elektronische Karte, um eine Inhaltsgebühr von 600 japanischen Yen an den Benutzerinhaltserzeuger zu bezahlen, und liefert diese elektronischen Karten zur Benutzereinrichtung 802. Es sei angemerkt, dass jede elektronische Karte, welche geliefert wird, eine Signatur aufweist, welche durch den Kartenherausgeber geschrieben ist.
  • Die Benutzereinrichtung 802 überträgt die elektronischen Karten zum Lizenzhalter 803 bzw. zum Inhaltserzeuger 804. Der Lizenzhalter 803 und der Inhaltserzeuger 804 verifizieren die empfangenen elektronischen Karten. Nach Bestätigung, dass die elektronischen Karten gültig sind, überträgt der Lizenzhalter 803 und der Inhaltserzeuger 804 die Karten zu einer Bank (Kartenaustauschserver) 805. Der Kartenaustauschserver 805 verifiziert die digitalen Signaturen, um zu bestätigen, dass die Karten gültig sind. Nach der Bestätigung überträgt der Kartenaustauschserver 805 die spezifizierte Geldmenge. Bei dem obigen Prozess wird die Verifizierung von Karten durch die Bank (Bankaustauschserver) hinsichtlich der Signaturen durchgeführt, welche in die elektronischen Karten durch den Kartenherausgeber geschrieben sind. Die Verifizierung der Signaturen, welche durch die Benutzereinrichtung in die Erwerbsanforderungsdaten in die Karten geschrieben ist, wird ebenfalls durchgeführt.
  • Der Inhaltserzeuger und der Lizenzhalter, die die Karten übertragen, können ihre Signatur auf die Daten schreiben, welche die elektronischen Karten umfassen, und die Bank (Kartenaustauschserver) kann diese Signaturen verifizieren.
  • Bei dem System, welches in 53 gezeigt ist, überträgt der Kartenherausgeber (Laden) 801 selbst eine elektronische Karte zur Bank (Bankaustauschserver) 805, um die anteilige Menge der Inhaltsgebühr zu empfangen, d. h., in diesem Beispiel 300 japanische Yen.
  • Der oben beschriebene Austauschprozess sichert unter Verwendung der elektronischen Karten, dass die anteiligen Beträge der Inhaltsgebühr korrekt an die jeweiligen Einheiten bezahlt werden. Wenn der Inhaltserzeuger 804 die elektronische Karte von der Benutzereinrichtung 802 empfängt, verifiziert der Inhaltserzeuger 804 die empfangene elektronische Karte. Nach der Verifizierung überträgt der Inhaltserzeuger 804 einen verschlüsselten Inhalt, der unter Verwendung eines Inhaltsschlüssels Kc verschlüsselt wurde, und einen verschlüsselten Inhaltsschlüssel KpDAS(Kc), der unter Verwendung eines öffentlichen Schlüssels KpDAS des Lizenzhalters (Benutzereinrichtungs-Berechtigungsserver) verschlüsselt wurde, an die Benutzereinrichtung 802.
  • Die Benutzereinrichtung 802 überträgt den verschlüsselten Inhaltsschlüssel KpDAS(Kc), der vom Inhaltserzeuger 804 empfangen wird, zusammen mit der elektronischen Karte (DAS) zum Lizenzhalter 803. Der Lizenzhalter verifiziert die empfangene elektronische Karte. Nach der Verifizierung führt der Lizenzhalter den Schlüsselumsetzungsprozess hinsichtlich des verschlüsselten Inhaltsschlüssels KpDAS(Kc) durch. Das heißt, es wird ein verschlüsselter Inhaltsschlüssel KpDEV(Kc) erzeugt, indem der Inhaltsschlüssel unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung verschlüsselt wird. Der resultierende verschlüsselte Inhaltsschlüssel KpDEV wird zur Benutzereinrichtung 802 übertragen. Die Benutzereinrichtung 802 entschlüsselt den verschlüsselten Inhaltsschlüssel KpDEV(Kc) unter Verwendung des Geheimschlüssels KsDEV der Benutzereinrichtung 802, um den Inhaltsschlüssel Kc zu erlangen. Der Inhaltsschlüssel Kc kann in der Benutzereinrichtung 802 gespeichert werden. In diesem Fall wird der Inhaltsschlüssel Kc gespeichert, nachdem er unter Verwendung eines Speicherschlüssels Ksto der Benutzereinrichtung verschlüsselt wurde. Bei diesem System verifiziert wie oben beschrieben, wenn der Inhaltslieferserver (beispielsweise der Inhaltserzeuger) eine Karte empfängt, welche durch den Kartenherausgeber herausgegeben wird, der Inhaltslieferserver die empfangene Karte. Wenn die Verifizierung zeigt, dass die empfangene Karte gültig ist, überträgt der Inhaltslieferserver einen verschlüsselten Inhalt und einen verschlüsselten Inhaltsschlüssel zur Benutzereinrichtung. Wenn dagegen der Lizenzhalter (Benutzereinrichtungs-Berechtigungsserver) eine elektronische Karte empfängt, verifiziert der Lizenzhalter die empfangene Karte. Wenn die Verifizierung zeigt, dass die empfangene Karte gültig ist, führt der Lizenzhalter eine verschlüsselte Schlüsselumsetzung durch und überträgt den resultierenden schlüssel-umgesetzten verschlüsselten Schlüssel zur Benutzereinrichtung. Damit wird sichergestellt, dass die anteiligen Beträge der Inhaltsgebühr korrekt an die jeweiligen Zahlungsempfänger bezahlt werden und es für die Benutzereinrichtung möglich wird, den Inhalt zu nutzen.
  • 3. Verwaltung der Inhaltslieferung durch den Protokollaufzeichnungsserver
  • Anschließend wird ein Inhaltsliefersystem beschrieben, bei dem Historiedaten, welche den Erwerb betreffen, der durch eine Benutzereinrichtung ausgeführt wird, als Protokolldaten in der Benutzereinrichtung angesammelt sind, und die Protokolldaten durch eine Systemverwaltungseinrichtung gesammelt werden, wodurch es ermöglicht wird, den aktuellen Zustand der Inhaltsverteilung zu überwachen.
  • 54 zeigt ein Inhaltsliefersystem, welches ein Protokollaufzeichnungssystem aufweist. Wie in 54 gezeigt ist, besteht dieses Inhaltsliefersystem hauptsächlich aus einem Ladenserver (SHOP) 901, um einen Inhalt einer Benutzereinrichtung bereitzustellen, einer Benutzereinrichtung (DEVICE) 902, welche den Inhalt vom Ladenserver 901 empfängt, und einem Protokollaufzeichnungsserver 903, der ein Protokoll in Verbindung mit einer Inhaltstransaktion aufzeichnet, um dadurch die Inhaltstransaktion zu verwalten. Das Inhaltsliefersystem umfasst außerdem einen Inhaltsbereitsteller 905, der einen Inhalt bereitstellt, einen Berechtigungsserver 904, der verschiedene Arten an Information erzeugt, beispielsweise Verwendungseinschränkungsinformation in Verbindung mit einem Inhalt, der von dem Inhaltsanbieter 905 empfangen wird, fügt die erzeugte Information als Datenkopf dem Inhalt hinzu und liefert die resultierenden Daten zum Ladenserver 901, und eine Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat (Cert_xxx) für eine Einheit ausgibt.
  • Bei dem in 54 gezeigten System sind der Inhaltsanbieter 905 und der Berechtigungsserver 904 Beispiele von Einheiten, welche einen Inhalt, der zu verteilen ist, dem Ladenserver 104 bereitstellen. Es sei angemerkt, dass die Art und Weise, einen Inhalt dem Ladenserver bereitzustellen, nicht auf das begrenzt ist, das in 54 gezeigt ist, sondern ein Inhalt, der zu verteilen ist, dem Ladenserver in verschiedener Weise bereitgestellt werden kann. Beispielsweise kann ein Inhalt durch einen Inhaltsanbieter unmittelbar dem Ladenserver bereitgestellt werden. Alternativ kann ein Inhalt durch einen Autor, der ein Copyright hat, an einen Ladenserver über mehrere Dienstanbieter bereitgestellt werden.
  • Bei dem System, welches in 54 gezeigt ist, wird aus Einfachheitsgründen und um das Verstehen zu erleichtern ein Inhaltsanbieter 905 als ein typisches Beispiel einer Einheit verwendet, der das Recht hat, ein Teil des Inhaltsverkaufsgelds zu empfangen. Bei dem in 54 gezeigten System wird sichergestellt, dass der Inhaltsanbieter 905 einen korrekten Geldbetrag empfangen kann, der dem Inhaltsanbieter 905 zugeteilt ist, gemäß den Inhaltsverkaufsdaten, welche auf Basis der Protokolldaten verwaltet werden, welche durch den Protokollaufzeichnungsserver 903 aufgezeichnet wurden. In dem Fall, wo das System, welches in 54 gezeigt ist, eine andere Einheit aufweist, welche ebenfalls das Recht hat, einen Teil des Inhaltsverkaufsgelds zu empfangen, kann diese Einheit ebenfalls einen korrekten Geldbetrag empfangen, der ihr zugeteilt ist, gemäß den Protokolldaten, welche durch den Protokollaufzeichnungsserver 903 aufgezeichnet sind.
  • Bei dem in 54 gezeigten System ist der Ladenserver 901 in einer ähnlichen Weise wie der Ladenserver aufgebaut, der bei dem in 1 gezeigten System verwendet wird. Das heißt, der Ladenserver 901 weist eine Steuereinheit auf, welche in der Lage ist, einen Verschlüsselungs-/Entschlüsselungsprozess und einen Kommunikationsprozess durchzuführen, wodurch der Ladenserver 901 eine Inhaltstransaktionssequenz durchführt, mit verschiedenen Einrichtungen, und den Zustand während der Inhaltstransaktion verwaltet. Jeder Inhaltsanbieter 905 und die Berechtigungsserver 904 umfasst außerdem eine Steuereinheit, welche in der Lage ist, einen Verschlüsselungs-/Entschlüsselungsprozess und einen Kommunikationsprozess durchzuführen, wodurch eine Inhaltstransaktionssequenz mit verschiedenen Einrichtungen durchgeführt wird und der Zustand während der Inhaltstransaktion verwaltet wird.
  • Benutzereinrichtung
  • Die Benutzereinrichtung 902 hat einen ähnlichen Aufbau wie die, die oben mit Hilfe von 7 beschrieben wurde, und hat eine Steuereinrichtung 230 (7), welche in der Lage ist, einen Verschlüsselungs-/Entschlüsselungsprozess und einen Kommunikationsprozess durchzuführen. Die Steuereinrichtung 230 nach der vorliegenden Ausführungsform ist jedoch dahingehend verschieden, dass die Steuereinrichtung 230 Protokolldaten erzeugt, jedes Mal dann, wenn ein Inhaltserwerbsprozess durchgeführt wird, und die erzeugten Protokolldaten in einer Erwerbsverwaltungs-Datenbank 220 speichert.
  • 55(A) und 55(B) zeigen zwei Beispiele von Datenstrukturen von Protokolldaten, welche durch die Benutzereinrichtung 902 erzeugt werden und welche darin gespeichert sind. In dem in 55(A) gezeigten Beispiel weisen die Protokolldaten eine Inhalts-ID auf, welche einen Inhalt identifiziert, den die Benutzereinrichtung 902 vom Ladenserver 901 über eine Inhaltstransaktion erworben hat, eine Benutzereinrichtungs-ID (ID_DEV), welche die Benutzereinrichtung identifiziert, eine Laden-ID (ID_SHOP), welche einen Laden identifiziert, mit dem die Inhaltstransaktion durchgeführt wurde, und eine Datumsinformation, welche ein Datum zeigt, an dem die Inhaltstransaktion durchgeführt wurde. Außerdem weisen die Protokolldaten eine Signatur (Sig_DEV) auf, welche durch die Benutzereinrichtung geschrieben wurde. Wenn der Protokollaufzeichnungsserver ein Erwerbsprotokoll von der Benutzereinrichtung empfängt, verifiziert der Protokollaufzeichnungsserver die darin geschriebene digitale Signatur. In dem in 55B gezeigten Beispiel weisen die Protokolldaten Verkaufsdaten, Empfangsdatumsdaten, welche ein Datum zeigen, bei dem der Inhalt empfangen wurde, und eine Signatur (Sig_Dev), welche durch die Benutzereinrichtung geschrieben wurde, auf. Die Verkaufsdaten werden durch den Ladenserver 901 als Antwort auf eine Inhaltserwerbsanforderung erzeugt, welche durch die Benutzereinrichtung 902 ausgegeben wurde, um somit anzuzeigen, dass der Inhalt verkauft wurde. Die Verkaufsdaten werden später ausführlich beschrieben. Beim Inhaltserwerbsprozess erzeugt die Benutzereinrichtung 902 Protokolldaten, beispielsweise, welche in 55 gezeigt sind und speichert diese in der Benutzereinrichtung 902. Die Protokolldaten werden außerdem zum Protokollaufzeichnungsserver 903 übertragen. Insbesondere, wenn die Benutzereinrichtung das öffentliche Schlüsselzertifikat der Benutzereinrichtung aktualisiert, überträgt die Benutzereinrichtung die Protokolldaten, welche bis zu diesem Zeitpunkt gespeichert wurden, zum Protokollaufzeichnungsserver 903. Die Sequenz des obigen Prozesses wird später ausführlich beschrieben.
  • Protokollaufzeichnungsserver
  • 56 zeigt den Aufbau des Protokollaufzeichnungsservers 903. Wie in 56 gezeigt ist, weist der Protokollaufzeichnungsserver 903 eine Protokollverwaltungs-Datenbank 9031 auf. Die Protokollverwaltungs-Datenbank 9031 speichert Protokolldaten (55), welche von verschiedenen Benutzereinrichtungen empfangen werden.
  • Der Protokollaufzeichnungsserver 903 weist eine Steuereinrichtung (9032) auf, um mit einer Einrichtung, beispielsweise der Benutzereinrichtung 902 oder dem Ladenserver 901 zu kommunizieren und um Verschlüsselung/Entschlüsselung während der Kommunikation durchzuführen. Wie bei der Steuereinrichtung des oben beschriebenen Ladenservers dient die Steuereinrichtung 9032 auch als Verschlüsselungs-/Entschlüsselungseinrichtung und Kommunikationseinrichtung. Die Steuereinrichtung 9032 ist in einer ähnlichen Weise wie oben mit Hilfe von 4 beschrieben aufgebaut. Schlüsseldaten oder dgl., welche beim Verschlüsselungsprozess durch die Verschlüsselungseinrichtung der Steuereinrichtung 9032 verwendet werden, werden in einer sicheren Weise in der Speichereinrichtung in der Steuereinrichtung gespeichert. Die Daten, beispielsweise Verschlüsselungsschlüssel, welche im Protokollaufzeichnungsserver 903 gespeichert sind, um beim Verschlüsselungsprozess verwendet zu werden, umfassen einen Geheimschlüssel KsLOG des Protokollaufzeichnungsservers 903, ein öffentliches Schlüsselzertifikat Cert_LOG des Protokollaufzeichnungsservers 903 und einen öffentlichen Schlüssel KpCA einer Zertifikatverwaltung (CA), welche ein öffentliches Schlüsselzertifikat ausgibt. Als Antwort auf den Empfang der Protokolldaten von der Benutzereinrichtung 902 führt der Protokollaufzeichnungsserver 903 einen öffentlichen Schlüsselzertifikat-Herausgabeprozess durch. Insbesondere, wenn der Protokollaufzeichnungsserver 903 einen öffentlichen Schlüssel empfängt, der als ein aktualisierter öffentlicher Schlüssel verwendet wird, von der Benutzereinrichtung 902, überträgt der Protokollaufzeichnungsserver den empfangenen öffentlichen Schlüssel zur Zertifikatverwaltung 906 und fordert die Zertifikatverwaltung 906 auf, ein öffentliches Schlüsselzertifikat auszugeben. Wenn der Protokollaufzeichnungsserver 903 das öffentliche Schlüsselzertifikat empfängt, welches durch die Zertifikatverwaltung 906 ausgegeben wird, überträgt der Protokollaufzeichnungsserver 903 dies zur Benutzereinrichtung 902. Die Sequenz dieses Prozesses wird ausführlich später beschrieben.
  • Inhaltserwerbsprozess
  • Bei der vorliegenden Ausführungsform weist der Prozess vier Teile auf, welche unten aufgelistet sind und welche außerdem am Kopf von 54 gezeigt sind.
    • A. Inhaltserwerbsprozess
    • B. Übertragung des Protokolls und Aktualisierung des öffentlichen Schlüsselzertifikats
    • C. Vorbereitung für Inhaltsverkäufe
    • D. Prüfung des Verkaufsbetrags Jeder dieser Teile des Prozesses wird unten beschrieben.
  • A. Inhaltserwerbsprozess
  • Der Inhaltserwerbsprozess wird durchgeführt, wie anschließend mit Hilfe der Flussdiagramme beschrieben, welche in 57 und 58 gezeigt sind. In 57 und 58 ist der Prozess, der durch die Benutzereinrichtung durchgeführt wird, auf der linken Seite gezeigt, und der Prozess, der durch den Ladenserver durchgeführt wird, ist auf der rechten Seite gezeigt. Am Anfang des Prozesses wird, wie in 57 gezeigt ist, gegenseitige Berechtigung zwischen dem Ladenserver und der Benutzereinrichtung durchgeführt (Schritte S1501 und 1601).
  • Die gegenseitige Berechtigung wird unter Verwendung eines öffentlichen Schlüssels in einer ähnlichen Weise wie oben mit Hilfe von 13 beschrieben durchgeführt. Insbesondere wird die gegenseitige Berechtigung unter Verwendung eines öffentlichen Schlüsselzertifikats durchgeführt, welches durch die Zertifikatverwaltung (CA) 906 ausgegeben wird und welches eine Gültigkeitsperiode, welche ihr zugeteilt wird, hat. Um die gegenseitige Berechtigung zu durchzulaufen, ist es erforderlich, dass die Benutzereinrichtung ein öffentliches Schlüsselzertifikat hat, dessen Gültigkeitsdauer noch nicht abgelaufen ist. Wie später beschrieben wird, ist es, um das öffentliche Schlüsselzertifikat zu aktualisieren, erforderlich, ein Protokoll zum Protokollaufzeichnungsserver 903 zu übertragen.
  • Ein Sitzungsschlüssel Kses wird im gegenseitigen Berechtigungsprozess verwendet, wenn erforderlich, um Daten in Kommunikation zu verschlüsseln, welche nach der gegenseitigen Berechtigung durchgeführt wird, oder um einen ICV (Integritätsprüfwert) zu erzeugen. Die Erzeugung des ICV wird später weiter ausführlich beschrieben. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, erzeugt die Benutzereinrichtung auf Basis von beispielsweise einer Zufallszahl eine Transaktions-ID, welche bei der aktuellen Inhaltstransaktion angewandt wird und erzeugt Inhaltserwerbs-Anforderungsdaten (Schritt S1502). 59A zeigt ein Beispiel eines Formats von Erwerbsanforderungsdaten.
  • Die Erwerbsanforderungsdaten weisen die Transaktions-ID (TID_DEV) auf, welche oben beschrieben wurde, eine Inhalts-ID, welche einen Inhalt identifiziert, eine Benutzereinrichtungs-ID (ID_DEV), welche die Benutzereinrichtung identifiziert, einen Inhaltspreis, ein Datum/Zeit, an welchem die Erwerbsanforderung ausgegeben wurde, und eine Signatur (Sig.Dev) der Benutzereinrichtung.
  • Außerdem erzeugt die Benutzereinrichtung einen Integritätsprüfwert (ICV1) der Erwerbsanforderungsdaten und überträgt diesen zum Ladenserver (Schritt 1503). Bei dem obigen Prozess wird der Integritätsprüfwert (ICV) bestimmt, indem eine Hash-Funktion für die Daten angewandt wird, welche zu prüfen sind, hinsichtlich der Integrität, beispielsweise ICV = hash(Kicv, C1, C2, ...), wobei Kicv ein ICV ein Erzeugungsschlüssel ist, C1 und C2 Information der Daten, die zu prüfen sind hinsichtlich der Integrität, und Nachrichtenberechtigungscodes (MAC) wichtiger Information der Daten, die zu prüfen sind, als C1 und C2 angewandt werden.
  • 60 zeigt ein Beispiel einer Art und Weise, mit der MAC-Werte unter Verwendung eines DES-Verschlüsselungsprozesses erzeugt werden. Wie in 60 gezeigt ist, wird eine Nachricht von Interesse in Teile unterteilt, von denen jede aus 8 Bytes besteht (anschließend werden unterteilte Teile der Nachricht mit M1, M2, ... MN) bezeichnet). Zunächst wird das exklusive ODER zwischen einem Anfangswert (IV) und M1 berechnet (wobei das Ergebnis mit I1 gezeigt wird). Danach wird I1 für eine DES-Verschlüsselungseinheit angewandt, um I1 unter Verwendung eines Schlüssels (K1) zu verschlüsseln (wobei das verschlüsselte Ausgangssignal mit E1 bezeichnet ist). Das Exklusive-ODER zwischen E1 und M1 wird danach berechnet, und das Ergebnis I2 wird bei der DES-Verschlüsselungseinheit angewandt, um diese zu verschlüsseln, wobei ein Schlüssel K1 verwendet wird (wobei das resultierende Ausgangssignal mit E2 bezeichnet ist). Danach wird der obige Prozess wiederholt, bis alle Teile der Nachricht verschlüsselt sind. Das endgültige Ausgangssignal EN wird als Nachrichtenberechtigungscode (MAC) verwendet. Bei dem obigen Prozess wird ein Teil der Daten, welche zu prüfen sind, als Nachricht verwendet.
  • Der Integritätsprüfwert (ICV) der Daten wird durch einen MAC-Wert angegeben, der unter Verwendung eines ICV-Erzeugungsschlüssels Kicv erzeugt wird. In der Empfangseinrichtung wird der ICV für die empfangenen Daten erzeugt und mit dem ICV verglichen, der für die Daten erzeugt wird, die als gültig garantiert sind, beispielsweise die Daten, welche durch die Übertragungseinrichtung für die Ursprungsdaten erzeugt werden. Wenn das Vergleichsergebnis zeigt, dass die ICVs gleich sind, wird dann bestimmt, dass die Daten nicht verfälscht sind. Wenn die ICVs unterschiedlich sind, wird bestimmt, dass die Daten verfälscht sind.
  • Hier wird der Sitzungsschlüssel Kses, der im gegenseitigen Berechtigungsprozess erzeugt wird, als ICV-Erzeugungsschlüssel verwendet. Die Benutzereinrichtung erzeugt den Integritätsprüfwert (ICV1) für die Erwerbsanforderungsdaten (59A) unter Verwendung des Sitzungsschlüssels Kses, und überträgt die Erwerbsanforderungsdaten zusammen mit dem ICV1 zum Ladenserver.
  • Der Ladenserver erzeugt den Integritätsprüfwert ICV1', wobei der Sitzungsschlüssel Kses auf die empfangenen Daten angewandt wird und vergleicht diesen mit dem ICV1, der von der Benutzereinrichtung empfangen wird, um zu bestimmen, ob: ICV1 = ICV1'. Wenn ICV1 = ICV', wird bestimmt, dass die Daten nicht verfälscht wurden.
  • Außerdem verifiziert der Ladenserver die digitale Signatur, welche in die Erwerbsanforderungsdaten geschrieben ist (Schritt S1603). Die Verifizierung der digitalen Signatur wird unter Verwendung des öffentlichen Schlüssels der Benutzereinrichtung durchgeführt. Der öffentliche Schlüssel wird vom öffentlichen Schlüsselzertifikat Cert_DEV der Benutzereinrichtung extrahiert. Hier ist es erforderlich, dass die Gültigkeitsperiode des öffentlichen Schlüsselzertifikats nicht abgelaufen ist. Wenn die Gültigkeitsperiode des öffentlichen Schlüsselzertifikats abgelaufen ist, verwendet der Ladenserver das öffentliche Schlüsselzertifikat bei der Verifizierung der Signatur nicht, und die Erwerbsanforderung wird zurückgewiesen. Wenn sowohl die Prüfung des ICV als auch die Verifizierung der Signatur erfolgreich verlaufen sind, erzeugt der Ladenserver Verkaufsdaten (Schritt S1604).
  • Die Verkaufsdaten haben eine Datenstruktur, beispielsweise die, welche in 59B gezeigt ist. Die Verkaufsdaten umfassen eine Transaktions-ID (TID_SHOP, welche durch den Ladenserver erzeugt wird, eine Laden-ID (ID_SHOP), welche den Laden identifiziert, ein Verkaufsdatum/Zeit, und die Verwaltungsgebühreninformation, welche den Betrag der Gebühr für den verkauften Inhalt, der an den Verwalter zu zahlen ist, zeigt. Hier bezieht sich der Verwalter auf eine Verwaltungseinheit (Systemhalter) des Inhaltsverkaufssystems. In dem Beispiel, welches in 54 gezeigt ist, ist der Verwalter eine Einheit, welche den Protokollaufzeichnungsserver 903 verwaltet.
  • Die Verkaufsdaten umfassen außerdem eine Betragsabgabe-CP-Information, welche den Betrag zeigt, der an den Inhaltsanbieter zu zahlen ist. Die Verkaufsdaten umfassen außerdem die Erwerbsanforderungsdaten (59A), und eine Signatur (Sig.SHOP) des Ladens wird in die Verkaufsdaten geschrieben.
  • Im Datenformat der Verkaufsdaten, welches in 59B gezeigt ist, umfasst die anteilige Verdienst-Information, welche in den Verkaufsdaten beschrieben ist, lediglich Information, welche die Beträge zeigt, welche an zwei Einheiten zu zahlen sind, d. h., den Systemhalter SH, der das System betreibt, und den Inhaltsanbieter (CP). Wenn es jedoch weitere Einheiten gibt, welche Anteilsbeträge der Inhaltsgebühr empfangen, werden die an diese Einheiten zu zahlenden Beträge ebenfalls beschrieben. Wenn die Verkaufsdaten erzeugt werden, nachdem die Prüfung des ICVs und die Verifizierung der Signatur vorbei ist (Schritt S1604), erzeugt der Ladenserver Erwerbsanforderungs-Zusagedaten einschließlich einer Nachricht, welche zeigt, dass die Erwerbsanforderung angenommen wurde, und erzeugt den Integritätsprüfwert (ICV2) für die Erwerbsanforderungs-Zusagedaten unter Verwendung des Sitzungsschlüssels Kses. Die Erwerbsanforderungs-Zusagedaten und der damit verknüpfte Integritätsprüfwert (ICV2) werden zur Benutzereinrichtung übertragen (Schritt 1605). In dem Fall, wo entweder die Prüfung des ICV oder die Verifizierung der Signatur misslingt, erzeugt der Ladenserver Erwerbsanforderungs-Zurückweisungsdaten einschließlich einer Nachricht, welche zeigt, dass die Erwerbsanforderung zurückgewiesen wurde und erzeugt den Integritätsprüfwert ICV2 für die Erwerbsanforderungs-Zurückweisungsdaten unter Verwendung des Sitzungsschlüssels Kses. Die Erwerbsanforderungs-Zurückweisungsdaten werden zusammen mit dem Integritätsprüfwert ICV2 zur Benutzereinrichtung übertragen (Schritt 1606).
  • In dem Fall, wo der Ladenserver die Erwerbsanforderungs-Zusagedaten zur Benutzereinrichtung übertragen hat, überträgt der Ladenserver außerdem zur Benutzereinrichtung die Verkaufsdaten (59B), den Datenkopf (Information in Verbindung mit dem Inhalt einschließlich von Information, welche die Art und Weise zum Verwenden des Inhalts zeigt) mit dem Integritätsprüfwert (ICV3), der unter Verwendung des Sitzungsschlüssels Kses erzeugt wird, und den Inhalt (Schritt 1607). Wenn die Benutzereinrichtung den Inhalt, die Erwerbsanforderungs-Antwortdaten (Zusage oder Zurückweisung) und den Integritätsprüfwert IVC2 (Schritt 1504) empfängt, verifiziert die Benutzereinrichtung den ICV2 und prüft die Erwerbsanforderungsantwort (Schritt S1505). Wenn die Prüfung des ICV2 zeigt, dass die Daten nicht verfälscht sind, und wenn die Erwerbsanforderung akzeptiert wurde, empfängt die Benutzereinrichtung die Verkaufsdaten (59B) und den Datenkopf (Information in Verbindung mit dem Inhalt einschließlich von Information, welche die Art und Weise zum Verwenden des Inhalts zeigt) mit dem Integritätsprüfwert (ICV3) (Schritt S1506). Die Benutzereinrichtung prüft den ICV3 und verifiziert die Signatur, welche in die Verkaufsdaten geschrieben wurde. Wenn sowohl ICV3 als auch die Signatur gültig sind, überträgt die Benutzereinrichtung zum Ladenserver eine Inhaltsempfangs-Bestätigungsantwort zusammen mit dem verknüpften Integritätsprüfwert ICV4.
  • Wenn jedoch die Antwort des Entscheidungsschritts S1507 "NEIN" ist, springt der Prozess zum Schritt S1505, in welchem die Benutzereinrichtung zum Ladenserver eine Inhaltsempfangs-Fehlerantwort zusammen mit dem verknüpften Integritätsprüfwert ICV4 überträgt.
  • Wenn der Ladenserver die Inhaltsempfangsantwort (Bestätigung oder Negativbestätigung) und den verknüpften Integritätsprüfwert ICV4 empfängt (Schritt S1608), prüft der Ladenserver den ICV4 (Schritt 1611). In dem Fall, wo die Antwort von der Benutzereinrichtung zeigt, dass der Inhalt erfolgreich von der Benutzereinrichtung empfangen wurde, belastet der Ladenserver die Benutzereinrichtung für den verkauften Inhalt (Schritt S1613). Der Belastungsprozess wird durchgeführt, wie bei der vorherigen Ausführungsform, indem ein spezifizierter Betrag von einem Konto der Benutzereinrichtung oder einem Kreditkartenkonto empfangen wird. Nach dem Belastungsprozess überträgt der Ladenserver eine Belastungsabschlussnachricht zusammen mit einem verknüpften Integritätsprüfwert ICV5 zur Benutzereinrichtung (Schritt S1614). In dem Fall, wo die Antwort im Schritt 1611 oder S1612 "NEIN" ist, springt der Prozess zum Schritt S1615. Im Schritt S1615 überträgt der Ladenserver eine Belastungsfehlmeldungsnachricht zusammen mit einem verknüpften Integritätsprüfwert ICV5 zur Benutzereinrichtung.
  • Wenn die Benutzereinrichtung eine Belastungsbeendigungsnachricht (oder Belastungsfehlnachricht) und den damit verknüpften Integritätsprüfwert ICV5 empfängt, prüft die Benutzereinrichtung den ICV5 und bestimmt, ob das Belasten erfolgreich beendet wurde. Wenn bestimmt wird, dass das Belasten erfolgreich beendet wurde, erzeugt die Benutzereinrichtung ein Erwerbsprotokoll (55) und speichert dieses in einem Speicher der Benutzereinrichtung. Danach verwendet die Benutzereinrichtung den Inhalt. In dem Fall, dass die Antwort weder im Schritt S1512 noch im Schritt S1513 "NEIN" ist, springt der Prozess zum Schritt S1514. Im Schritt S1514 löscht die Benutzereinrichtung den Kopf und den Inhalt, der vom Ladenserver empfangen wurde. Bezugnehmend auf 61 und 62 werden der Schlüsselaktualisierungsprozess und der Protokollübertragungsprozess, welche zwischen der Benutzereinrichtung und dem Protokollaufzeichnungsserver durchgeführt werden, beschrieben. In 61 und 62 ist der Prozess, der durch die Benutzereinrichtung durchgeführt wird, auf der linken Seite gezeigt, und der Prozess, der durch den Protokollaufzeichnungsserver durchgeführt wird, ist auf der rechten Seite gezeigt. Diese Prozesse werden durchgeführt, wenn die Benutzereinrichtung, welche wünscht, einen Inhalt vom Ladenserver zu erwerben, das öffentliche Schlüsselzertifikat der Benutzereinrichtung, welches in der Benutzereinrichtung gespeichert ist, aktualisiert. Das öffentliche Schlüsselzertifikat der Benutzereinrichtung ist lediglich dann gültig während einer spezifizierten Gültigkeitsperiode, und es somit erforderlich, das öffentliche Schlüsselzertifikat in bestimmten Intervallen zu aktualisieren. Zunächst wird der Prozess, der in 61 gezeigt ist, beschrieben.
  • Zunächst wird die gegenseitige Berechtigung zwischen der Benutzereinrichtung und dem Protokollaufzeichnungsserver durchgeführt (Schritte S1521 und S1721), und es wird ein Sitzungsschlüssel erzeugt. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, liest die Benutzereinrichtung das Erwerbsprotokoll vom Speicher der Benutzereinrichtung und überträgt das Erwerbsprotokoll zusammen mit einem verknüpften Integritätsprüfwert (ICV1), der unter Verwendung des Sitzungsschlüssels Kses erzeugt wurde, zum Protokollaufzeichnungsserver (Schritt S1522).
  • Wenn der Protokollaufzeichnungsserver das Erwerbsprotokoll und den verknüpften Integritätsprüfwert ICV1 empfängt (Schritt S1722), prüft der Protokollaufzeichnungsserver ICV1 den ICV1 (Schritt 1723). Wenn der ICV1 gültig ist, speichert der Protokollaufzeichnungsserver das empfangene Erwerbsprotokoll in der Datenbank (Schritt S1724). Der Protokollaufzeichnungsserver kann weiter die digitale Signatur verifizieren, welche durch die Benutzereinrichtung in das Erwerbsprotokoll geschrieben wurde, um zu bestätigen, dass die Erwerbsdaten nicht verfälscht wurden. Der Protokollaufzeichnungsserver überträgt dann Protokollempfangs-Bestätigungsdaten zusammen mit dem verknüpften Integritätsprüfwert ICV2, der unter Verwendung des Sitzungsschlüssels Kses erzeugt wurde, zur Benutzereinrichtung (Schritt 1725). Wenn jedoch die Verifizierung des ICV1 im Schritt S1723 misslingt, überträgt der Protokollaufzeichnungsserver eine Protokollzusage-Fehlermeldung zusammen mit einem verknüpften Integritätsprüfwert ICV2, der unter Verwendung des Sitzungsschlüssels Kses erzeugt wurde, zur Benutzereinrichtung (Schritt S1726).
  • Wenn die Benutzereinrichtung die Protokollempfangsnachricht und den verknüpften Integritätsprüfwert ICV2 empfängt (Schritt S1523), verifiziert die Benutzereinrichtung den Integritätsprüfwert ICV2. Wenn der ICV2 gültig ist und wenn die Protokollempfangsnachricht zeigt, dass die Protokolldaten erfolgreich durch den Protokollaufzeichnungsserver empfangen wurden (Schritt S1524), erzeugt die Benutzereinrichtung einen öffentlichen Schlüssel (KpDEV), der als aktualisierter öffentlicher Schlüssel zu verwenden ist, und einen entsprechenden Geheimschlüssel (KsDEV) (Schritt S1525) und überträgt den erzeugten öffentlichen Schlüssel (KpDEV) zusammen mit dem verknüpften Integritätsprüfwert (ICV3) zum Protokollaufzeichnungsserver (Schritt S1526).
  • Wenn der Protokollaufzeichnungsserver den öffentlichen Schlüssel (KpDEV) und den verknüpften Integritätsprüfwert ICV3 von der Benutzereinrichtung empfängt (Schritt 1727), verifiziert der Protokollaufzeichnungsserver den Integritätsprüfwert ICV3 (Schritt S1731). Wenn die Verifizierung erfolgreich vorbei ist, überträgt der Protokollaufzeichnungsserver eine öffentliche Schlüsselempfangs-Bestätigungsnachricht zusammen mit dem verknüpften Integritätsprüfwert ICV4 zur Benutzereinrichtung (Schritt S1732). Wenn jedoch die Verifizierung zeigt, dass der Integritätsprüfwert ICV3 ungültig ist, überträgt der Protokollaufzeichnungsserver eine öffentliche Schlüsselempfangs-Fehlermeldung zusammen mit einem verknüpften Integritätsprilfwert ICV4 zur Benutzereinrichtung (Schritt S1733). In dem Fall, wo der Protokollaufzeichnungsserver die öffentliche Schlüsselempfangs-Bestätigungsnachricht zusammen mit dem verknüpften Integritätsprüfwert ICV4 zur Benutzereinrichtung übertragen hat (Schritt S1732), überträgt der Protokollaufzeichnungsserver den empfangenen öffentlichen Schlüssel zur Zertifikatsverwaltung (CA) und fordert die Zertifikatverwaltung auf, ein öffentliches Schlüsselzertifikat auszugeben. Wenn der Protokollaufzeichnungsserver das aktualisierte öffentliche Schlüsselzertifikat (Cert_DEV) der Benutzereinrichtung empfängt (Schritt S1734), überträgt der Protokollaufzeichnungsserver das aktualisierte öffentliche Schlüsselzertifikat (Cert_DEV) zusammen mit einem verknüpften Integritätsprüfwert ICV5 zur Benutzereinrichtung (Schritt S1735).
  • Wenn die Benutzereinrichtung die öffentliche Schlüsselempfangs-Bestätigungs-/Fehlermeldung und den verknüpften Integritätsprüfwert ICV4 empfängt, verifiziert die Benutzereinrichtung den Integritätsprüfwert ICV4. Wenn der Integritätsprüfwert ICV4 gültig ist und wenn der öffentliche Schlüssel erfolgreich durch den Protokollaufzeichnungsserver empfangen wurde (Schritt S1532), empfängt die Benutzereinrichtung das öffentliche aktualisierte Schlüsselzertifikat zusammen mit dem verknüpften Integritätsprüfwert ICV5 (Schritt S1533) und verifiziert den Integritätsprüfwert ICV5 und das empfangene öffentliche Schlüsselzertifikat (Schritt S1534). Wenn die Verifizierung für sowohl den Integritätsprüfwert ICV5 als auch das öffentliche Schlüsselzertifikat erfolgreich verlaufen ist, extrahiert die Benutzereinrichtung den öffentlichen Schlüssel vom öffentlichen Schlüsselzertifikat und vergleicht diesen mit dem ursprünglichen öffentlichen Schlüssel, den die Benutzereinrichtung übertrug (Schritt S1535). Wenn der empfangene öffentliche Schlüssel nicht der gleiche ist wie der ursprüngliche öffentliche Schlüssel, speichert die Benutzereinrichtung den Geheimschlüssel entsprechend dem aktualisierten öffentlichen Schlüssel und das empfangene öffentliche Schlüsselzertifikat im Speicher der Benutzereinrichtung (Schritt S1536). Die Benutzereinrichtung löscht dann das Protokoll (welches zum Protokollaufzeichnungsserver übertragen wurde) (Schritt S1537).
  • In dem Fall, wo die Antwort in einem der Entscheidungsschritte S1532, S1534 und S1535 "NEIN" ist, wird das öffentliche Schlüsselzertifikat nicht aktualisiert und der Prozess wird beendet.
  • Anschließend wird ein Prozess, der zwischen dem Inhaltsanbieter und dem Protokollaufzeichnungsserver durchgeführt wird, um den Verkaufsbetrag zu prüfen, mit Hilfe des in 23 gezeigten Flussdiagramms beschrieben. Der Protokollaufzeichnungsserver speichert Verkaufsgeld-Anteilsinformation, welche die Art und Weise zeigt, mit der Geld empfangen wurde, als Gebühr für den Inhalt, welche an eine Einheit zu liefern ist oder welche unter mehreren Einheiten anteilig aufzuteilen ist, gemäß dem Erwerbsprotokoll, welches von der Benutzereinrichtung empfangen wird. Als Antwort auf den Empfang einer Verkaufsbetrags-Mitteilungsanforderung überträgt der Protokollaufzeichnungsserver eine Antwortnachricht gemäß der anteiligen Verdienst-Information. Der Protokollaufzeichnungsserver kann dann den Geldbetrag berechnen, der an die jeweiligen Einheiten für den verkauften Inhalt zu zahlen ist, auf Basis der Inhalts-ID, welche im Erwerbsprotokoll beschrieben wurde, und auf Basis der anteiligen Verdienst-Information. In dem Fall, wo die Protokolldaten, welche durch den Protokollaufzeichnungsserver empfangen werden, die Verkaufsdaten aufweisen, wie in 55B gezeigt ist, kann der Protokollaufzeichnungsserver die Beträge des Gelds berechnen, welches an die entsprechenden Einheiten zu zahlen ist, auf Basis der anteiligen Verdienst-Information, welche in den Verkaufsdaten beschrieben ist.
  • Zunächst wird die gegenseitige Berechtigung zwischen dem Inhaltsanbieter und dem Protokollaufzeichnungsserver durchgeführt (Schritte S1521 und S1721), und es wird ein Sitzungsschlüssel Kses erzeugt. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, extrahiert der Protokollaufzeichnungsserver den Identifizierer ID_CP des Inhaltsanbieters vom öffentlichen Schlüsselzertifikat Cert_CP des Inhaltsanbieters (CP) (Schritt S1722) und erzeugt Verkaufsbetragsdaten, welche den Betrag des Gelds zeigen, der an den Inhaltsanbieter zu zahlen ist, der durch die ID_CP angezeigt wird, auf Basis der Protokollinformation, welche in der Datenbank gespeichert ist (Schritt S1723). Wie oben beschrieben umfassen die erworbenen Protokolldaten, welche die Geldbeträge zeigen, welche an die Inhaltsanbieter zu zahlen sind, und die Geldbeträge, welche an die jeweiligen Inhaltsanbieter zu zahlen sind, werden gemäß damit bestimmt. Der Protokollaufzeichnungsserver überträgt die Verkaufsbetragsdaten zusammen mit einem verknüpften Integritätsprüfwert ICV1 zum Inhaltsanbieter (CP) (Schritt S1724).
  • Wenn der Inhaltsanbieter (CP) die Verkaufsbetragsdaten und den verknüpften Integritätsprüfwert ICV1 vom Protokollaufzeichnungsserver empfängt (Schritt 1522), prüft der Inhaltsanbieter (CP) den Inhaltsprüfwert ICV1, um zu bestätigen, dass die Daten damit nicht verfälscht sind (Schritt S1523) und speichert die Verkaufsbetragsdaten im Speicher (Schritt S1524). Wenn die Verifizierung des Integritätsprüfwert ICV1 zeigt, dass die Daten damit verfälscht sind, werden die Daten nicht im Speicher gespeichert und der Prozess wird beendet. In diesen Fall überträgt der Inhaltsanbieter (CP) die Verkaufsbetragsdatenanforderung wiederum an den Protokollaufzeichnungsserver zurück.
  • Unter Bezug auf die in 64 und 65 gezeigten Flussdiagramme wird nun der Verkaufsbetrags-Berichtsprozess, der unter dem Ladenserver, dem Protokollaufzeichnungsserver und dem Inhaltsanbieter durchgeführt wird, beschrieben. Der Ladenserver speichert und verwaltet Daten, welche die Inhaltsverkaufsbeträge zeigen. Der Ladenserver überträgt alle Daten, welche Verkaufsbeträge für eine bestimmte Periode zeigen oder überträgt Daten, welche Verkaufsbeträge für jede Einheit zeigen. 64 zeigt den Prozess, mit dem alle Daten, welche die Inhaltsverkaufstransaktionen zeigen, welche durch den Ladenserver durchgeführt werden, zum Protokollaufzeichnungsserver übertragen werden. 65 zeigt den Prozess, bei dem Daten, welche die Verkaufsbeträge eines Inhalts zeigen, welche durch einen bestimmten Inhaltsanbieter bereitgestellt werden, selektiv zum Inhaltsanbieter übertragen werden.
  • Zunächst führt der in 65 zeigte Prozess beschrieben. Zunächst wird die gegenseitige Berechtigung zwischen dem Ladenserver und dem Protokollaufzeichnungsserver durchgeführt (Schritte S1631 und S1731), und es wird ein Sitzungsschlüssel Kses erzeugt. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, liest der Ladenserver alle Verkaufsbetragsdaten eine bestimmte Zeitdauer lang und überträgt diese zusammen mit dem verknüpften Integritätsprüfwert ICV1 zum Protokollaufzeichnungsserver (Schritt S1632).
  • Wenn der Protokollaufzeichnungsserver alle Verkaufsbetragsdaten und den damit verknüpften Integritätsprüfwert ICV1 vom Ladenserver empfängt (Schritt S1732), verifiziert der Protokollaufzeichnungsserver den Integritätsprüfwert ICV1, um zu bestätigen, dass die Daten damit nicht verfälscht sind (Schritt S1733). Nach der Bestätigung speichert der Protokollaufzeichnungsserver alle Verkaufsbetragsdaten im Speicher (Schritt S1734). Wenn jedoch die Verifizierung des Integritätsprüfwerts ICV1 zeigt, dass die Daten ungültig sind, wird der Prozess beendet, ohne die Daten im Speicher zu speichern. In diesem Fall fordert der Protokollaufzeichnungsserver den Ladenserver nochmals auf, die Verkaufsbetragsdaten zu übertragen.
  • Unter Bezug auf 65 wird der Prozess zum Übertragen von Verkaufsbetragsdaten für einen bestimmten Inhaltsanbieter beschrieben. Zunächst wird gegenseitige Berechtigung zwischen dem Ladenserver und dem Inhaltsanbieter durchgeführt (Schritt S1641 und S1741), und es wird ein Sitzungsschlüssel Kses erzeugt. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, liest der Ladenserver den Identifizierer ID_CP vom Inhaltsanbieter vom öffentlichen Schlüsselzertifikat Cert_CP, welches über den gegenseitigen Berechtigungsprozess erlangt wird, des Inhaltsanbieters (Schritt S1642). Der Ladenserver ruft die Verkaufsbetragsdaten auf Basis des extrahierten Identifizierers ID_CP ab, um die Verkaufsbetragsdaten des Inhalts zu erlangen, welche durch den speziellen Inhaltsanbieter bereitgestellt werden (Schritt S1643). Der Ladenserver überträgt dann die Verkaufsbetragsdaten zusammen mit einem verknüpften Integritätsprüfwert ICV1 zum Protokollaufzeichnungsserver (S1644).
  • Wenn der Protokollaufzeichnungsserver die Verkaufsbetragsdaten und den verknüpften Integritätsprüfwert ICV1 vom Ladenserver empfängt (Schritt S1742), verifiziert der Protokollaufzeichnungsserver den Integritätsprüfwert ICV1, um zu bestätigen, dass die Daten damit nicht verfälscht sind (Schritt S1743). Nach der Bestätigung speichert der Protokollaufzeichnungsserver die Verkaufsbetragsdaten im Speicher (Schritt S1744). Wenn die Verifizierung des Integritätsprüfwert ICV1 zeigt, dass die Daten damit verfälscht sind, wird der Prozess beendet, ohne die Daten im Speicher zu speichern. In diesem Fall fordert der Protokollaufzeichnungsserver den Ladenserver wiederum an, die Verkaufsbetragsdaten zu übertragen.
  • Bei diesem System ist es möglich, Inhaltserwerbs-Protokolldaten als Antwort auf das Aktualisieren eines öffentlichen Schlüsselzerüfikats einer Benutzereinrichtung zu erwerben, womit somit sichergestellt ist, dass ein Systemhalter, der den Protokollaufzeichnungsserver verwaltet, den aktuellen Zustand kennen kann, der den Inhaltsverkauf betrifft. Das öffentliche Schlüsselzertifikat der Benutzereinrichtung wird bei der gegenseitigen Berechtigung mit dem Ladenserver benötigt, wobei, um einen Inhalt zu erwerben, es erforderlich ist, dass die Gültigkeitsperiode des öffentlichen Schlüsselzertifikats nicht abgelaufen ist. Wegen der Verifizierung einer Signatur, welche auf die Erwerbsanforderungsdaten geschrieben wurde oder dgl., welche durch die Benutzereinrichtung ausgegeben werden, unter Verwendung des öffentlichen Schlüssels durchgeführt wird, welcher vom öffentlichen Schlüsselzertifikat extrahiert wird, ist es außerdem erforderlich, dass die Benutzereinrichtung ein öffentliches Schlüsselzertifikat haben sollte, was noch nicht abgelaufen ist. Das heißt, um einen Inhalt zu erwerben, muss die Benutzereinrichtung die Protokolldaten zum Protokollaufzeichnungsserver übertragen, und die Benutzereinrichtung muss das öffentliche Schlüsselzertifikat vor dem Ablauf der Gültigkeitsperiode des öffentlichen Schlüsselzertifikats aktualisieren. Die Gültigkeitsperiode des öffentlichen Schlüsselzertifikats kann beispielsweise auf einen Monat oder drei Monate festgelegt werden, so dass der Systemhalter, der den Protokollaufzeichnungsserver verwaltet, Protokolldaten während der spezifizierten Gültigkeitsperiode ansammeln kann. Damit ist sichergestellt, dass der Systemhalter des Protokollaufzeichnungsservers die Protokolldaten von der Benutzereinrichtung erwerben kann, und es wird somit ermöglicht, den Zustand der Inhaltsverkäufe zu überwachen und zu verwalten. Außerdem ist es möglich, die anteiligen Beträge des Gelds an die jeweiligen Zahlungsempfänger korrekt zu bezahlen, beispielsweise einen Inhaltsanbieter, gemäß der Gewinnanteilsinformation, welche in den Protokolldaten beschrieben ist. Bei der vorliegenden Ausführungsform wird außerdem ein Integritätsprüfwert (ICV) für Daten, welche zwischen Einheiten zu übertragen sind, unter Verwendung als Erzeugungsschlüssel eines Sitzungsschlüssels Kses erzeugt, der bei der gegenseitigen Berechtigung erzeugt wird, und die Daten werden zusammen mit dem erzeugten Integritätsprüfwert (ICV) übertragen, um hohe Sicherheit bei der Datenübertragung zu erlangen.
  • Obwohl bei der oben beschriebenen Ausführungsform die gegenseitige Berechtigung zwischen der Benutzereinrichtung und dem Ladenserver, die Erzeugung der Signatur und die Verifizierung der Signatur durchgeführt werden, braucht lediglich einer dieser Prozesse durchgeführt werden. Beispielsweise kann entweder die gegenseitige Berechtigung, die Erzeugung der Signatur oder die Verifizierung der Signatur durchgeführt werden. In diesem Fall wird das öffentliche Schlüsselzertifikat, welches noch nicht abgelaufen ist, benötigt, wenn einer dieser Prozesse durchgeführt wird.
  • 4. Verwendung eines Attributzertifikats oder eines öffentlichen Schlüsselzertifikats, welches Attributdaten aufweist
  • Eine Art und Weise, um ein Attributzertifikat eines öffentlichen Schlüsselzertifikats einschließlich von Attributdaten zu verwenden, wird anschließend beschrieben. Bei dem Inhaltsliefersystem, welches in einer der oben beschriebenen Art und Weisen aufgebaut ist, besteht eine Möglichkeit, dass sich ein Ladenhalter beispielsweise eine Benutzereinrichtung betrügerisch verhält und eine betrügerische Inhaltstransaktion durchführt. Es besteht außerdem die Möglichkeit, dass eine betrügerische Inhaltstransaktion zwischen einem Inhaltsanbieter und einem Laden durchgeführt wird. Wenn weiter eine Benutzereinrichtung eine Kommunikation mit einem Anbieter initialisiert, ohne die Absicht, eine Berechtigungstransaktion durchzuführen, besteht, wenn sich der Server betrügerisch verhält, als ob er ein berechtigter Ladenserver wäre, dann eine Möglichkeit, dass, wenn die Benutzereinrichtung Daten überträgt, welche die Kreditkontonummer der Benutzereinrichtung zeigt, zum betrügerischer Server für den Zweck, einen Inhalt zu erwerben, der Server betrügerisch eine Kreditkontonummer der Benutzereinrichtung erlangt. Außerdem besteht eine Möglichkeit, dass sich die Benutzereinrichtung so verhält, als ob sie ein Laden wäre, um betrügerisch einen Inhalt zu einer anderen Benutzereinrichtung zu verkaufen. Dieses betrügerische Verhalten macht es für den Systemverwalter schwierig, den tatsächlichen Zustand der Inhaltsverteilung zu kennen.
  • Ein Attributzertifikat oder ein öffentliches Schlüsselzertifikat einschließlich von Attributdaten kann dazu verwendet werden, eine solche betrügerische Transaktion zu verhindern, wie anschließend beschrieben wird.
  • Die Attributdaten beziehen sich auf Daten, welche die Art einer Einheit zeigen, welche ein Mitglied eines Inhaltsliefersystems ist, beispielsweise eine Benutzereinrichtung (DEVICE), einen Laden (SHOP), einen Inhaltsanbieter (CP), einen Systemhalter (SH) oder eine Zertifikatverwaltung, welche ein öffentliches Berechtigungsschlüsselzertifikat oder Attributzertifikat ausgibt.
  • 66 ist eine Tabelle, welche einige Beispiele von Daten, welche in Attributdaten beschrieben sind, zeigen. Wie in 66 gezeigt ist, sind unterschiedliche Codes entsprechenden Einheiten zugeteilt. Beispielsweise ist "0000" einer Zertifikatverwaltung zugeteilt, welche eine Anforderung empfängt, um ein öffentliches Schlüsselzertifikat oder ein Attributzertifikat von einer Benutzereinrichtung eines Ladens auszugeben, und die Anforderung prüft. "0001" wird als Attributcode beispielsweise einem Dienstanbieter oder einem Systemhalter zugeteilt, der eine Lizenzgebühr für einen Inhalt empfängt, der über ein Inhaltsliefersystem verteilt wird.
  • In den Beispielen, die vorher beschrieben wurden, kann der Inhaltsanbieter eine Einheit, welche einen Benutzereinrichtungs-Berechtigungsserver betreibt, der einen Schlüsselumsetzungsprozess durchführt, oder eine Einheit sein, welche einen Protokollinformations-Aufzeichnungsserver betreibt, der Protokollinformation erwirbt und aufzeichnet.
  • Ähnlich wird "0002" einem Laden zugeteilt, der einen Inhalt an eine Benutzereinrichtung verkauft, "0003" einem Inhaltsanbieter, d. h., eine Einheit, welche einen Inhaltslieferserver betreibt, um einen Inhalt an einen Benutzer als Antwort auf eine Anforderung zu liefern, welche durch einen Laden ausgegeben wird (Inhaltverkäufer), und "0004" einer Benutzereinrichtung, welche einen Inhalt erwirbt und diesen nutzt. Zusätzlich werden unterschiedliche Codes anderen Einheiten zugeteilt, welche mit der Inhaltslieferung verknüpft sind, in Abhängigkeit von der Art der Einheiten. Es ist nicht notwendigerweise erforderlich, dass lediglich ein Code den Läden zugeteilt werden muss. Wenn es Läden gibt, welche bezüglich der Aufgabe oder Funktion verschieden sind, können unterschiedliche Codes in Abhängigkeit von der Aufgabe oder Funktion zugeteilt werden, um zu unterscheiden. Ähnlich können unterschiedliche Attributcodes den Benutzereinrichtungen in Abhängigkeit von einer Kategorie zugeteilt werden. Die Attributinformation kann in einem öffentlichen Schlüsselzertifikat beschrieben sein. Alternativ kann die Attributinformation in einem Attributzertifikat beschrieben sein, welches separat von einem öffentlichen Schlüsselzertifikat ausgegeben wird. 67 zeigt ein Beispiel eines Formats eines öffentlichen Schlüsselzertifikats einschließlich der Attributinformation.
  • In dem in 67 gezeigten Beispiel umfasst das öffentliche Schlüsselzertifikat eine Versionsnummer des Zertifikats, eine Reihennummer des Zertifikats, welches einem Benutzer des Zertifikats durch eine öffentliche Schlüsselzertifikatverwaltung (CA) zugeteilt ist, einen Algorithmus und einen Parameter, der verwendet wird, um eine digitale Signatur zu schreiben, den Namen der Zertifikatverwaltung, die Gültigkeitsdauer des Zertifikats, einen Namen (beispielsweise eine Benutzereinrichtungs-ID) des Benutzers des Zertifikats, einen öffentlichen Schlüssel des Benutzers des Zertifikats, Attributinformation, welche oben beschrieben wurde, beispielsweise "0000", "0001", ... "nnnn", und eine digitale Signatur. Die Reihennummer des Zertifikats kann beispielsweise durch eine Gesamtzahl von 16 Bytes dargestellt werden, welche 4 Bytes aufweisen, welche das Jahr zeigen, 2 Bytes, welche den Monat zeigen, 2 Bytes, welche den Tag zeigen, bei dem das Zertifikat ausgegeben wurde, zusätzlich 8 Bytes einer Reihennummer. Der Name des Benutzers kann ein Name sein, der durch die Zertifikatverwaltung verliehen wird, oder er kann durch eine Zufallszahl oder eine Reihennummer angegeben werden. Alternativ kann der Name des Benutzers durch höherwertigere Bytes dargestellt werden, welche eine Kategorie zeigen, zusätzlich von niedrigwertigeren Bytes, welche eine Reihennummer zeigen.
  • Die digitale Signatur sind Daten, welche durch Anwenden einer Hash-Funktion auf die gesamten Daten, welche die Versionsnummer des Zertifikats, die Reihennummer des Zertifikats, welches dem Benutzer des Zertifikats durch die öffentliche Schlüsselzertifikatsverwaltung (CA) zugeteilt ist, den Algorithmus und den Parameter, die verwendet werden, die digitale Signatur zu schreiben, den Namen der Zertifikatverwaltung, die Gültigkeitsdauer des Zertifikats, den Namen des Benutzers des Zertifikats, die öffentliche Schlüsselnummer des Benutzers des Zertifikats und die Attributdaten umfassen, und dann durch Verschlüsseln des resultierenden Hash-Werts unter Verwendung des Geheimschlüssels der Zertifikatverwaltung erzeugt werden. Die öffentliche Schlüsselzertifikatverwaltung (CA) gibt ein öffentliches Schlüsselzertifikat aus, beispielsweise das, welches in 67 gezeigt ist, aktualisiert ein öffentliches Schlüsselzertifikat, wenn dessen Gültigkeitsperiode abgelaufen ist, und erzeugt, verwaltet und verteilt eine Liste von Benutzern, welche betrogen haben, um diese auszuschließen (dieser Prozess wird als Widerruf bezeichnet).
  • Wenn ein Benutzer ein öffentliches Schlüsselzertifikat verwendet, verifiziert der Benutzer das digitale Signal, welches auf das öffentliche Schlüsselzertifikat geschrieben wurde, unter Verwendung des öffentlichen Schlüssels KpCA, der durch den Benutzer gehalten wird, der Zertifikatverwaltung. Wenn die Verifizierung erfolgreich verlaufen ist, extrahiert der Benutzer den öffentlichen Schlüssel vom öffentlichen Schlüsselzertifikat und verwendet den extrahierten öffentlichen Schlüssel. Daher ist es erforderlich, dass jeder Benutzer, der es wünscht, ein öffentliches Schlüsselzertifikat zu verwenden, den gemeinsamen öffentlichen Schlüssel der öffentlichen Schlüsselzertifikatverwaltung hat.
  • 68A zeigt ein Datenformat eines öffentlichen Schlüsselzertifikats, welches keine Attributinformation aufweist, und 68B zeigt ein Datenformat eines Attributzertifikats. Wie in 68A gezeigt ist, besteht das öffentliche Schlüsselzertifikat, welches keine Attributinformation hat, aus Daten, welche im öffentlichen Schlüsselzertifikat enthalten sind, wie in 67 gezeigt ist, abweichend von der Attributinformation. Diese Art des öffentlichen Schlüsselzertifikats wird auch durch eine öffentliche Schlüsselzertifikatsverwaltung ausgegeben. Dagegen wird das Attributzertifikat durch eine Attributzertifikatsverwaltung (AA) ausgegeben.
  • Das in 68B gezeigte Attributzertifikat umfasst eine Versionsnummer des Zertifikats und eine Reihennummer eines öffentlichen Schlüsselzertifikats entsprechend dem Attributzertifikat, welches durch die Attributzertifikatverwaltung (AA) ausgegeben wird. Die Reihennummer wird so angegeben, dass sie gleiche ist wie die Reihennummer des entsprechenden öffentlichen Schlüsselzertifikats, so das die Reihennummer als Verknüpfungsdaten dient, welche beide Zertifikate miteinander verknüpft. Wenn eine Einheit wünscht, ein Attributzertifikat zu verwenden, um das Attribut einer anderen Einheit zu prüfen, mit der Kommunikation gerade durchgeführt wird, bestätigt die Einheit zunächst, dass das Attributzertifikat eines ist, welches mit öffentlichen Schlüsselzertifikat verknüpft ist, indem geprüft wird, dass das Attributzertifikat die gleiche Reihennummer hat, wie die des öffentlichen Schlüsselzertifikats, und danach liest die Einheit die Attributinformation vom Attributzertifikat. Die Reihennummer des Zertifikats kann beispielsweise dargestellt werden durch einen Gesamtzahl von 16 Bytes einschließlich von 4 Bytes, welches das Jahr zeigen, 2 Bytes, welche den Monat zeigen, 2 Bytes, welche den Tag zeigen, an dem das Zertifikat ausgegeben wurde, plus 8 Bytes der Reihennummer. Das Attributzertifikat umfasst außerdem einen Algorithmus und einen Parameter, die verwendet werden, eine digitale Signatur zu schreiben, einen Namen der Attributzertifikatverwaltung, eine Gültigkeitsperiode des Zertifikats und einen Namen (beispielsweise eine Benutzereinrichtungs-ID) des Benutzers des Zertifikats. Der Name des Benutzers des Zertifikats ist der gleiche wie der des öffentlichen Schlüsselzertifikats, wobei der Name in einer unterscheidbaren Form durch die Zertifikatverwaltung bestimmt wird. Der Name des Benutzers des Zertifikats kann auch durch eine Zufallszahl oder eine serielle Zahl angegeben werden. Alternativ kann der Name des Benutzers des Zertifikats durch höherwertigere Bytes dargestellt werden, welche eine Kategorie zeigen, zusätzlich von niedrigwertigeren Bytes, welche eine Reihennummer zeigen. Das Attributzertifikat umfasst außerdem Attributinformation, beispielsweise "0000", "0001", ... "nnnn", und eine digitale Signatur der Attributzertifikatverwaltung (AA).
  • Die digitale Signatur wird durch Anwenden einer Hash-Funktion auf die gesamten Daten erzeugt, einschließlich der Versionsnummer des Zertifikats, der Reihennummer des öffentlichen Schlüsselzertifikats, des Algorithmus und des Parameters, die verwendet werden, die digitale Signatur zu schreiben, und des Namens der Zertifikatverwaltung, der Gültigkeitsdauer des Zertifikats, des Namens des Benutzers des Zertifikats und der Attributdaten, um dadurch einen Hash-Wert zu erzeugen und um danach den resultierenden Hash-Wert unter Verwendung des Geheimschlüssels der Attributzertifikatverwaltung zu verschlüsseln.
  • Die Attributzertifikatverwaltung (AA) gibt ein Attributzertifikat aus, beispielsweise, welches in 68B gezeigt ist, aktualisiert ein Attributzertifikat, wenn dessen Gültigkeitsperiode abgelaufen ist, und erzeugt, verwaltet und verteilt eine Liste von Benutzern, welche betrogen haben, um diese auszuschließen (dieser Prozess wird als Widerruf bezeichnet).
  • 69 zeigt einen Prozess von neuerlich ausgegebenen öffentlichen Schlüsselzertifikaten, welche durch eine neue Benutzereinrichtung und eine neuen Ladenserver verwendet werden, welche bei einer Inhaltstransaktion teilnehmen. Hier wird angenommen, dass ein Ladenserver 1010 und eine Benutzereinrichtung 1020 einen ähnlichen Aufbau wie die haben, die früher mit Hilfe von 1 beschrieben wurden. Ein Dienstanbieter oder Systemhalter (SH) 1030 verwaltet den gesamten Inhaltslieferprozess. Insbesondere führt der Dienstanbieter den Inhaltsschlüssel-Umsetzungsprozess, der oben beschrieben ist, durch und erwirbt Protokollinformation, welche durch eine Benutzereinrichtung erzeugt wird, wenn die Benutzereinrichtung einen Inhalt erwirbt, um dadurch den Zustand der Inhaltsverteilung zu überwachen. In diesem Beispiel, welches in 69 gezeigt ist, dient der Dienstanbieter auch als Registrierungsverwaltung (RA), welche eine Anforderung empfängt und prüft, um einen öffentliches Schlüsselzertifikat oder ein Attributzertifikat von einem Ladenserver 1010 oder einer Benutzereinrichtung 1020 auszugeben. Obwohl bei dem vorliegenden System, welches in 69 gezeigt ist, der Dienstanbieter 1030 als Systemhalter (SH) und als Registrierungsverwaltung (RA) arbeitet, können diese Funktionen separat durch verschiedene Einheiten durchgeführt werden.
  • In 69 umfasst die Prozedur in Verbindung mit der Herausgabe eines neuen öffentlichen Schlüsselzertifikats an die Benutzereinrichtung 1020 die Schritte (A1) bis (A8), und die Prozedur in Verbindung mit der Herausgabe eines neuen öffentlichen Schlüsselzertifikats an den Ladenserver 1010 umfasst die Schritte (B1) bis (B7). Zunächst wird die Prozedur zum neuerlichen Herausgeben eines öffentlichen Schlüsselzertifikats an die Benutzereinrichtung 1020 beschrieben.
    • (A1) Gegenseitige Berechtigung Zunächst wird die gegenseitige Berechtigung zwischen der Benutzereinrichtung 1020 und dem Dienstanbieter 1030 durchgeführt. In diesem Zeitpunkt jedoch hat die Benutzereinrichtung 1020 noch nicht ein öffentliches Schlüsselzertifikat, und somit kann die Benutzereinrichtung 1020 ein öffentliches Schlüsselzertifikat bei der gegenseitigen Berechtigung nicht verwenden. Aus diesem Grund wird die gegenseitige Berechtigung auf Basis der symmetrischen Schlüsselkryptographie durchgeführt, welche früher mit Hilfe von 12 beschrieben wurde. Das heißt, die gegenseitige Berechtigung wird unter Verwendung eines gemeinsamen Geheimschlüssels und von Identifizierern (ID) durchgeführt (siehe 12 für Details des Prozesses).
    • (A2) Erzeugen eines öffentlichen Schlüssels und eines entsprechenden Geheimschlüssels,
    • (A3) Anfordern zum Herausgeben eines öffentlichen Schlüsselzertifikats,
    • (A4) Prüfung der Anforderung und Anfordern zur Herausgabe eines öffentlichen Schlüsselzertifikats, und
    • (A5) Anfordern zum Herausgeben eines öffentlichen Schlüsselzertifikats Nach der gegenseitigen Berechtigung erzeugt die Benutzereinrichtung 1020 einen öffentlichen Schlüssel, um registriert zu werden, und einen entsprechenden Geheimschlüssel unter Verwendung einer Verschlüsselungseinheit der Benutzereinrichtung 1020 und überträgt eine Zertifikatausgabeanforderung zusammen mit dem erzeugten öffentlichen Schlüssel zum Dienstanbieter 1030. Bei einem Empfang der Anforderung zum Herausgeben des öffentlichen Schlüsselzertifikats prüft der Dienstanbieter 1030 die Anforderung. Wenn bestimmt wird, dass die Benutzereinrichtung 1020 die Bedingungen erfüllt, welche durch eine Einheit erfüllt werden sollten, welche wünscht, ein öffentliches Schlüsselzertifikat zu erhalten, überträgt der Dienstanbieter 1030 eine Zertifikatausgabeanforderung an eine öffentliche Schlüsselzertifikatverwaltung (CA) 1040. Bei dem obigen Prozess bestimmt, wenn das öffentliche Schlüsselzertifikat, welches ausgegeben wird, Attributinformation aufweisen sollte, wie in 68A gezeigt ist, der Dienstanbieter 1030 die Einheit, welche die Zertifikatausgabeanforderung herausgegeben hat, auf Basis von deren ID. Eine Benutzereinrichtung, welche bei einer Inhaltslieferung teilnimmt, hat einen Benutzereinrichtungsidentifizierer (ID) und einen Geheimschlüssel (Geheiminformation), die vorher gespeichert wurden, wobei die Benutzereinrichtungs-ID und der Geheimschlüssel durch den Dienstanbieter 1020 verwaltet werden. Der Dienstanbieter 1020 prüft eine Geheiminformations-Datenbank auf Basis der ID, welche von der Benutzereinrichtung empfangen wird, um zu bestätigen, dass die Benutzereinrichtungs-ID schon registriert wurde. Nach der Bestätigung extrahiert der Dienstanbieter 1030 den Geheimschlüssel und führt gegenseitige Berechtigung mit der Benutzereinrichtung unter Verwendung des extrahierten Geheimschlüssels in der Weise durch, welche in 12 gezeigt ist. Nur, wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, bestimmt der Dienstanbieter 1030, dass die Benutzereinrichtung eine berechtigte Einrichtung ist, der erlaubt wird, an der Inhaltslieferung teilzunehmen.
    • (A6) Ausgeben des öffentlichen Schlüsselzertifikats,
    • (A7) Übertragung des öffentlichen Schlüsselzertifikats, und
    • (A8) Übertragen des öffentlichen Schlüsselzertifikats
  • Wenn die öffentliche Schlüsselzertifikatsverwaltung 1040 die Anforderung empfängt, ein öffentliches Schlüsselzertifikat vom Dienstanbieter 1030 auszugeben, gibt die öffentliche Schlüsselzertifikatsverwaltung 1040 ein öffentliches Schlüsselzertifikat aus (in der Form, wie in 67 oder 68A gezeigt ist), welches einen öffentlichen Schlüssel der Benutzereinrichtung und eine digitale Signatur der öffentlichen Schlüsselzertifikatverwaltung 1040 hat. Das resultierende öffentliche Schlüsselzertifikat wird zum Dienstanbieter 1030 übertragen. Der Dienstanbieter 1030 überträgt das öffentliche Schlüsselzertifikat, welches von der öffentlichen Schlüsselzertifikatverwaltung 1040 empfangen wird, zur Benutzereinrichtung. Die Benutzereinrichtung 1020 speichert das empfangene öffentliche Schlüsselzertifikat und den Geheimschlüssel, welche im Schritt (A2) erzeugt werden, in der Benutzereinrichtung 1020, so dass das öffentliche Schlüsselzertifikat bei gegenseitiger Berechtigung, Datenverschlüsselung, Datenentschlüsselung oder dgl. verwendet werden kann.
  • Der Prozess, der durchgeführt wird, ein öffentliches Schlüsselzertifikat an den Ladenserver 1010 auszugeben, ist grundsätzlich gleich dem Prozess, der für ein öffentliches Schlüsselzertifikat für die Benutzereinrichtung durchgeführt wird, mit der Ausnahme, dass es nicht notwendig ist, dass der Ladenserver 1010 als eine Inhaltsverkaufseinheit durch den Dienstanbieter 1030 berechtigt werden muss. Zu diesem Zweck muss der Ladenserver 1010 den öffentlichen Schlüssel des Ladenservers 1010 zum Dienstanbieter 1030 übertragen und den Dienstanbieter 1030 auffordern, eine Lizenz zu erteilen (B2 in 69). Die Lizenz wird nur dann erteilt, wenn der Ladenserver 1010 zustimmt, auf die Inhaltsverkaufspolitik zu hören, welche durch den Dienstanbieter 1030 eingerichtet wurde. Wenn der Dienstanbieter 1030 bestimmt, dass der Ladenserver 1010 die Fähigkeit hat, einen Inhalt gemäß der Politik zu verkaufen, welche durch den Dienstanbieter 1030 eingerichtet wurde, und wenn der Ladenserver 1010 zustimmt, auf die Politik zu hören, führt der Dienstanbieter 1030 einen Prozess durch, der notwendig ist, ein öffentliches Schlüsselzertifikat an den Ladenserver 1010 auszugeben. Der folgende Prozess zum Ausgeben des öffentlichen Schlüsselzertifikats ist ähnlich dem oben beschriebenen Prozess zum Ausgeben eines öffentlichen Schlüsselzertifikats an die Benutzereinrichtung.
  • Der Prozess zum Aktualisieren eines öffentlichen Schlüsselzertifikats wird anschließend mit Hilfe von 70 beschrieben. Wie in 67 oder 68A gezeigt ist, ist ein öffentliches Schlüsselzertifikat nur während einer speziellen Periode gültig. Wenn die Gültigkeitsperiode eines öffentlichen Schlüsselzertifikats abgelaufen ist, kann eine Einheit dieses öffentliche Schlüsselzertifikat nicht verwenden. Daher ist es erforderlich, einen Aktualisierungsprozess vor dem Ablauf des aktuellen öffentlichen Schlüsselzertifikats durchzuführen, um ein öffentliches Schlüsselzertifikat zu bekommen, welches eine aktualisierte Gültigkeitsperiode hat. In 70 weist die Prozedur zum Aktualisieren des öffentlichen Schlüsselzertifikats der Benutzereinrichtung 1020 die Schritte (A1) bis (A8) auf, und die Prozedur zum Aktualisieren des öffentlichen Schlüsselzertifikats des Ladenservers 1010 umfasst die Schritte (B1) bis (B7). Zunächst wird die Prozedur zum Aktualisieren des öffentlichen Schlüsselzertifikats der Benutzereinrichtung 1020 beschrieben.
    • (A1) Gegenseitige Berechtigung Zunächst wird die gegenseitige Berechtigung zwischen der Benutzereinrichtung 1020 und dem Dienstanbieter 1030 durchgeführt. In diesem Zeitpunkt hat die Benutzereinrichtung 1020 schon ein aktuell gültiges öffentliches Schlüsselzertifikat, und somit wird die gegenseitige Berechtigung unter Verwendung des öffentlichen Schlüsselzertifikats in einer ähnlichen Weise wie oben mit Hilfe von 13 beschrieben durchgeführt. Wenn jedoch das öffentliche Schlüsselzertifikat der Benutzereinrichtung 1020 abgelaufen ist, kann die gegenseitige Berechtigung unter Verwendung des gemeinsamen Geheimschlüssels auf Basis von Identifizierem (ID) in einer ähnlichen Weise wie die gegenseitige Berechtigung durchgeführt werden, welche beim Prozess zum Ausgeben eines neuen öffentlichen Schlüsselzertifikats durchgeführt wird, wie oben mit Hilfe von 12 beschrieben wurde.
    • (A2) Erzeugung eines neuen öffentlichen Schlüssels und eines entsprechenden Geheimschlüssels,
    • (A3) Anfordern zum Aktualisieren des öffentlichen Schlüsselzertifikats,
    • (A4) Prüfen der Anforderung und Anfordern der Aktualisierung des öffentlichen Schlüsselzertifikats, und
    • (A5) Anfordern zum Aktualisieren des öffentlichen Schlüsselzertifikats Nach der erfolgreichen gegenseitigen Berechtigung erzeugt die Benutzereinrichtung 1020 einen öffentlichen Schlüssel, der bei einem aktualisierten Zertifikat zu verwenden ist, und einen entsprechenden Geheimschlüssel unter Verwendung einer Verschlüsselungseinheit der Benutzereinrichtung 1020 und überträgt eine Zertifikataktualisierungsanforderung zusammen mit dem erzeugten öffentlichen Schlüssel zum Dienstanbieter 1030. Bei einem Empfang der Anforderung zum Aktualisieren des öffentlichen Schlüsselzertifikats prüft der Dienstanbieter 1030 die empfangene Aktualisierungsanforderung. Wenn die notwendigen Erfordernisse erfüllt sind, überträgt der Dienstanbieter 1030 die Zertifikataktualisierungsanforderung an die öffentliche Schlüsselzertifikatverwaltung (CA) 1040. Im obigen Prozess bestimmt, wenn das öffentliche Schlüsselzertifikat, welches auszugeben ist, Attributinformation enthalten sollte, wie in 68A gezeigt ist, der Dienstanbieter 1030 die Einheit, welche die Zertifikatausgabeanforderung ausgegeben hat, auf Basis von ihrer ID.
    • (A6) Aktualisieren des öffentlichen Schlüsselzertifikats,
    • (A7) Übertragen des öffentlichen Schlüsselzertifikats, und
    • (A8) Übertragen des öffentlichen Schlüsselzertifikats
  • Wenn die öffentliche Schlüsselzertifikatverwaltung 1040 die Anforderung zum Aktualisieren des öffentlichen Schlüsselzertifikats vom Dienstanbieter 1030 empfängt, gibt die öffentliche Schlüsselzertifikatverwaltung 1040 ein öffentliches Schlüsselzertifikat aus (in der Form, welche in 67 oder 68A gezeigt ist), welches einen neuen öffentlichen Schlüssel der Benutzereinrichtung und eine digitale Signatur der öffentlichen Schlüsselzertifikatverwaltung 1040 hat. Das resultierende öffentliche Schlüsselzertifikat wird zum Dienstanbieter 1030 übertragen. Der Dienstanbieter 1030 überträgt das öffentliche Schlüsselzertifikat, welches von der öffentlichen Schlüsselzertifikatverwaltung 1040 empfangen wird, zur Benutzereinrichtung 1020. Die Benutzereinrichtung 1020 speichert das empfangene öffentliche Schlüsselzertifikat und den Geheimschlüssel, welche im Schritt (A2) erzeugt werden, in der Benutzereinrichtung 1020, so dass das öffentliche Schlüsselzertifikat bei gegenseitiger Berechtigung, Datenverschlüsselung, Datenentschlüsselung oder dgl. verwendet werden kann.
  • Der Prozess, der durchgeführt wird, um das öffentliche Schlüsselzertifikat des Ladenservers 1010 zu aktualisieren, ist grundsätzlich ähnlich dem Prozess für das öffentliche Schlüsselzertifikat der Benutzereinrichtung, mit der Ausnahme, dass das Aktualisieren der Lizenz notwendig ist ((B2) in 70). Wenn der Dienstanbieter 1030 bestimmt, dass das Aktualisieren der Lizenz für den Ladenserver 1010 erlaubt wird, führt der Dienstanbieter 1030 den folgenden Prozess durch, der notwendig ist, das öffentliche Schlüsselzertifikat des Ladenservers 1010 zu aktualisieren. Der folgende Prozess, der durchgeführt wird, das öffentliche Schlüsselzertifikat zu aktualisieren, ist ähnlich dem oben beschriebenen Prozess für die Benutzereinrichtung. Unter Bezug auf 71 wird der Prozess zum neuen Ausgeben eines Attributzertifikats beschrieben. Hier wird angenommen, dass das Attributzertifikat die Form hat, welche in 68B gezeigt ist. Dieses Attributzertifikat wird ausgegeben, nachdem ein öffentliches Schlüsselzertifikat in der Form, welche in 68A gezeigt ist, ausgegeben wird. In 71 umfasst die Prozedur in Verbindung mit dem Ausgeben eines neuen Attributzertifikats an die Benutzereinrichtung 1020 die Schritte (A1) bis (A7), und die Prozedur in Verbindung mit dem Ausgeben eines neuen Attributzertifikats an den Ladenserver 1010 umfasst die Schritte (B1) bis (B7). Zunächst wird die Prozedur zum neuen Ausgeben eines Attributzertifikats an die Benutzereinrichtung 1020 beschrieben.
    • (A1) Gegenseitige Berechtigung Zunächst wird die gegenseitige Berechtigung zwischen der Benutzereinrichtung 1020 und dem Dienstanbieter 1030 durchgeführt. In diesem Zeitpunkt hat die Benutzereinrichtung 1020 schon ein öffentliches Schlüsselzertifikat, welches durch die öffentliche Schlüsselzertifikatverwaltung ausgegeben wurde, und somit wird die gegenseitige Berechtigung unter Verwendung des öffentlichen Schlüsselzertifikats durchgeführt.
    • (A2) Anfordern zur Ausgabe eines Attributzertifikats,
    • (A3) Prüfen der Anforderung und Anfordern einer Ausgabe des öffentlichen Schlüsselzertifikats, und
    • (A4) Anfordern zur Ausgabe eines Attributzertifikats Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, überträgt die Benutzereinrichtung 1020 eine Anforderung zur Ausgabe eines Attributzertifikats an den Dienstanbieter 1030. Als Antwort auf das Empfangen der Anforderung zur Ausgabe des Attributzertifikats prüft der Dienstanbieter 1030 die empfangene Anforderung. Wenn bestimmt wird, dass die empfangene Anforderung die Erfordernisse erfüllt, welche durch die Einheit erfüllt werden sollten, überträgt der Dienstanbieter 1030 eine Zertifikatausgabeanforderung an die Attributzertifikatverwaltung (AA) 1050. Bei dem obigen Prüfprozess prüft der Dienstanbieter 1030 das Attribut der Einheit, welche die Zertifikatausgabeanforderung übertragen hat, auf Basis der ID der Einheit. Wie oben beschrieben hat jede Benutzereinrichtung, welche bei einer Inhaltslieferung teilnimmt, ihren eigenen Benutzereinrichtungsidentifizierer (ID), der vorher gespeichert wurde, wobei die Benutzereinrichtungs-ID durch den Dienstanbieter 1030 verwaltet wird. Der Dienstanbieter 1030 vergleicht die Benutzereinrichtungs-ID, welche von der Benutzereinrichtung empfangen wird, mit der Benutzereinrichtungs-ID, welche im Dienstanbieter 1030 registriert wurde, um zu prüfen, ob die Benutzereinrichtung eine berechtigte Einrichtung ist, der erlaubt wird, bei der Inhaltslieferung teilzunehmen.
    • (A5) Ausgabe des Attributzertifikats,
    • (A6) Übertragung des Attributzertifikats, und
    • (A7) Übertragung des Attributzertifikats
  • Bei einem Empfang der Anforderung zum Ausgeben des Attributzertifikats vom Dienstanbieter 1030 gibt die Attributzertifikatverwaltung 1050 ein Attributzertifikat aus (68B), welches Attributinformation der Benutzereinrichtung und eine digitale Signatur der Attributzertifikatverwaltung 1050 aufweist und überträgt diese zum Dienstanbieter 1030. Der Dienstanbieter 1030 überträgt das Attributzertifikat, welches von der Attributzertifikatverwaltung 1050 empfangen wird, zur Benutzereinrichtung 1020. Die Benutzereinrichtung speichert das empfangene Attributzertifikat in der Benutzereinrichtung, so dass das Attributzertifikat bei einem Attributverifizierungsprozess während einer Inhaltstransaktion verwendet werden kann.
  • Der Prozess ((B1) bis (B7)), der durchgeführt wird, ein Attributzertifikat an den Ladenserver 1010 auszugeben, ist grundsätzlich gleich dem Prozess, der für ein öffentliches Schlüsselzertifikat an die Benutzereinrichtung durchgeführt wird. Außerdem wird das Aktualisieren des Attributzertifikats des Servers 1010 in einer ähnlichen Weise wie der Prozess zum Ausgeben eines neuen Attributzertifikats durchgeführt.
  • Der Prozess zum Durchführen einer Inhaltstransaktion, der das Prüfen eines Attributs umfasst, unter Verwendung eines Attributzertifikats oder unter Verwendung eines öf fentlichen Schlüsselzertifikats, welches Attributinformation aufweist, wird anschließend beschrieben.
  • 72 zeigt den Prozess, bei dem die Attributverifizierung durchgeführt wird, wenn die gegenseitige Berechtigung durchgeführt wird. Der Systemaufbau, der in 72 gezeigt ist, ist ähnlich dem, der in 1 gezeigt ist. Das heißt, das System, welches in 72 gezeigt ist, weist einen Ladenserver 1010, der einen Inhalt verkauft, eine Benutzereinrichtung 1020, welche den Inhalt erwirbt, und einen Benutzereinrichtungs-Berechtigungsserver 1030, der unter der Steuerung des oben beschriebenen Dienstanbieter 1030 arbeitet, auf. In 72 läuft der Prozess in der Reihenfolge der Prozessschritte von (1) bis (20) weiter, wie anschließend beschrieben wird.
    • (1) Gegenseitige Berechtigung und Attributverifizierung
  • Wenn die Benutzereinrichtung 1020 wünscht, einen Inhalt vom Ladenserver 1010 zu erwerben, wird die gegenseitige Berechtigung zunächst zwischen der Benutzereinrichtung 1020 und dem Ladenserver 1010 durchgeführt. Bei der gegenseitigen Berechtigung wird bestimmt, ob die beiden Einrichtungen, zwischen denen die Daten zu übertragen sind, korrekte Einrichtungen sind. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist, wird die Datenübertragung begonnen. Vorzugsweise wird ein Sitzungsschlüssel während der gegenseitigen Berechtigung erzeugt, und die Daten werden unter Verwendung des Sitzungsschlüssels als ein gemeinsamer Schlüssel während des folgenden Datenübertragungsprozesses verschlüsselt. Die gegenseitige Berechtigung auf Basis eines öffentlichen Schlüssels wird so durchgeführt, dass zunächst die Signatur der Zertifikatverwaltung des öffentlichen Schlüsselzertifikats verifiziert wird, dann der öffentliche Schlüssel der Einheit am entgegengesetzten Ende extrahiert wird und die Berechtigung unter Verwendung des extrahierten öffentlichen Schlüssels durchgeführt wird, wie oben ausführlich mit Hilfe von 13 beschrieben wurde.
  • Danach wird bei der vorliegenden Ausführungsform die Attributverifizierung durchgeführt. In dem Fall, wo Attributdaten in einem öffentlichen Schlüsselzertifikat einer Einrichtung enthalten sind, mit dem der Ladenserver 1010 in Kommunikation ist, bestätigt der Ladenserver 1010, dass die Attributinformation zeigt, dass die Einrichtung, mit der der Ladenserver 1010 kommuniziert, eine Benutzereinrichtung ist. In dem Fall, wo keine Attributdaten im öffentlichen Schlüsselzertifikat vorhanden sind, prüft der Ladenserver 1010 das Attribut unter Verwendung des Attributzertifikats. Das Attributzertifikat umfasst eine digitale Signatur, welche durch die Attributzertifikatverwaltung geschrieben wurde, unter Verwendung von deren Geheimschlüssel. Der Ladenserver 1010 verifiziert die digitale Signatur, welche in das Attributzertifikat geschrieben wurde, unter Verwendung des öffentlichen Schlüssels KpAA der Attributzertifikatverwaltung, um zu bestätigen, dass das Zertifikat gültig ist.
  • Nach dem Bestätigen, dass die Reihennummer und/oder die Benutzer-ID, welche im Attributzertifikat beschrieben ist, die gleichen sind wie die Reihennummer und/oder die Benutzer-ID, welche im öffentlichen Schlüsselzertifikat beschrieben sind, prüft der Ladenserver 1010 die Attributinformation, welche im Zertifikat beschrieben ist. Dagegen bestätigt in der Benutzereinrichtung 1020, wenn Attributdaten in einem öffentlichen Schlüsselzertifikat einer Einrichtung, mit der die Benutzereinrichtung 1020 kommuniziert, die Benutzereinrichtung 1020, dass die Attributinformation zeigt, dass die Einrichtung, mit die Benutzereinrichtung 1020 kommuniziert, ein Ladenserver ist. In dem Fall, wo Attributdaten im öffentlichen Schlüsselzertifikat nicht beschrieben sind, wird ein Attributzertifikat verwendet, um das Attribut zu prüfen. In diesem Fall verifiziert die Benutzereinrichtung 1020 eine digitale Signatur, welche in das Attributzertifikat geschrieben wurde, unter Verwendung des öffentlichen Schlüssels KpAA der Attributzertifikatverwaltung, um zu bestätigen, dass das Zertifikat gültig ist. Außerdem bestätigt die Benutzereinrichtung 1020, dass die Reihennummer und/oder die Benutzer-ID, welche im Attributzertifikat beschrieben sind, gleich sind wie die Reihennummer und/oder die Benutzer-ID, welche im öffentlichen Schlüsselzertifikat beschrieben sind. Danach prüft die Benutzereinrichtung 1020 die Attributinformation, welche im Zertifikat beschrieben ist.
  • Wenn der Ladenserver 1010 bestätigt, dass die Einheit, welche die Inhaltserwerbsanforderung ausgegeben hat, eine Benutzereinrichtung ist, indem die Attributinformation, welche im öffentlichen Schlüsselzertifikat beschrieben ist, oder indem das Attributzertifikat dieser Einheit geprüft wird, und, wenn die Benutzereinrichtung 1020 bestätigt, dass die Einheit, an welche die Inhaltserwerbsanforderung übertragen wurde, ein Laden ist, indem die Attributinformation, welche im öffentlichen Schlüsselzertifikat beschrieben ist, oder das Attributzertifikat dieser Einheit in der oben beschriebenen Weise geprüft wird, wonach der Prozess zum nächsten Schritt weitergehen kann.
  • 73A und 73B sind Flussdiagramme, welche einen Prozess zum Prüfen eines Attributs zeigen, wobei 73A einen Attributprüfprozess unter Verwendung eines öffentlichen Schlüsselzertifikats zeigt, welches Attributdaten aufweist, und 73B einen Attributprüfprozess zeigt, bei dem ein Attributzertifikat verwendet wird.
  • Zunächst wird der in 73A gezeigte Fluss beschrieben. Zunächst wird im Schrit6 S2101 gegenseitige Berechtigung durchgeführt (13), wobei ein öffentliches Schlüsselzertifikat verwendet wird. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist (wenn die Antwort im Schritt S2102 "JA" ist), wird die Attributinformation vom öffentlichen Schlüsselzertifikat der Einrichtung extrahiert, mit der die Kommunikation gerade durchgeführt wird. Wenn die Attributinformation gültig ist (wenn die Antwort im Schritt S2104 "JA" ist), wird bestimmt, dass die gegenseitige Berechtigung und die Attributverifizierung erfolgreich verlaufen sind (Schritt S2105), und der Prozess läuft weiter zu einem nächsten Schritt. In dem Fall beispielsweise, wo eine Benutzereinrichtung Zugriff auf einen Ladenserver erlangt, um einen Inhalt zu erwerben, wird hier das Attribut so angesehen, gültig zu sein, wenn das Attribut "Laden" ist, jedoch das Attribut als ungültig angesehen, wenn das Attribut einen Attributcode hat, der anders ist als der "Laden". Insbesondere in dem Fall, wo eine Inhaltserwerbsanforderung an einen Ladenserver ausgegeben wird, ist der Schritt zum Vergleichen von Attributcodes in der Inhaltserwerbs-Anforderungssequenz (Verarbeitungsprogramm) enthalten. Im Attributcode-Vergleichsschritt wird der Code "0002", der dem "Laden" zugeteilt ist, mit dem Attributcode verglichen, der im öffentlichen Schlüsselzertifikat beschrieben ist, oder dem Attributzertifikat der Einheit, mit der Kommunikation gerade durchgeführt wird. Wenn die Codes miteinander zusammenpassen, wird das Attribut als gültig angesehen, jedoch wird das Attribut als ungültig angesehen, wenn sie nicht miteinander zusammenpassen. Alternativ wird der Attributcode, der vom öffentlichen Schlüsselzertifikat extrahiert wird, oder das Attributzertifikat der Einheit, mit dem die Kommunikation gerade durchgeführt wird, auf einer Anzeigeeinrichtung angezeigt, so dass der menschliche Benutzer bestimmen kann, ob der angezeigte Attributcode identisch mit dem der Einheit ist, den sie haben sollte. Wenn die Antwort des Entscheidungsschritts S2101 oder S2104 "NEIN" ist, wird bestimmt, dass die gegenseitige Berechtigung oder die Attributverifizierung misslungen ist (Schritt S2106), und der Prozess wird beendet.
  • Im Verarbeitungsprogramm, welches bei einem Prozess in Verbindung mit einem Laden, der damit kommuniziert, ausgeführt wird, wird der Attributcode, der vom öffentlichen Schlüsselzertifikat oder vom Attributzertifikat der Einheit, mit der Kommunikation gerade durchgeführt wird, extrahiert wird, geprüft, ob er mit "0002" zusammenpasst, der ein Code ist, der dem "Laden" zugeteilt ist. Dagegen wird die Schlüsselumsetzungs-Anforderungssequenz (Programm) durch eine Benutzereinrichtung mit einem Benutzereinrichtungs-Berechtigungsserver ausgeführt, der Attributcode, der vom öffentlichen Schlüsselzertifikat oder vom Attributzertifikat der Einheit, mit der Kommunikation gerade durchgeführt wird, extrahiert wird, wird geprüft, ob er mit "0001" zusammenpasst, der ein Code ist, der dem "Benutzereinrichtungs-Berechtigungsserver" zugeteilt ist. Wenn eine Prozesssequenz (Programm) bei einer Kommunikation zwischen Einheiten ausgeführt wird, von denen angenommen wird, bestimmte Arten zu sein, beispielsweise zwischen einem Laden und einem Benutzereinrichtungs-Berechtigungsserver, wird in ähnlicher Weise der Attributcode, der vom öffentlichen Schlüsselzertifikat oder der Attributcode einer Einheit, mit der gerade Kommunikation durchgeführt wird, geprüft, um zu bestimmen, ob er mit einem erwarteten Code zusammenpasst.
  • Anschließend wird der Prozess, bei dem ein Attributzertifikat verwendet wird, mit Hilfe von 73B beschrieben. Zunächst wird im Schritt S2201 gegenseitige Berechtigung durchgeführt (13), wobei ein öffentliches Schlüsselzertifikat verwendet wird. Wenn die gegenseitige Berechtigung erfolgreich verlaufen ist (wenn die Antwort im Schritt S2202 "JA" ist), wird das Attributzertifikat der Einheit, mit der Kommunikation gerade durchgeführt wird, unter Verwendung des öffentlichen Schlüssels der Attributzertifikatverwaltung verifiziert (Schritt S2203). Wenn die Verifizierung erfolgreich verlaufen ist, wird weiter bestätigt, dass das Attributzertifikat mit dem öffentlichen Schlüsselzertifikat verknüpft ist, indem geprüft wird, ob das Attributzertifikat die gleiche Reihennummer wie die des öffentlichen Schlüsselzertifikats hat. Wenn die Bestätigung erfolgreich verlaufen ist (wenn die Antwort im Entscheidungsschritt S2204 "JA" ist), wird die Attributinformation vom Attributzertifikat extrahiert, welches die gleiche Reihennummer hat wie des öffentlichen Schlüsselzertifikats (Schritt S2205). Wenn die Attributinformation gültig ist (wenn die Antwort im Entscheidungsschritt S2206 "JA" ist, wird bestimmt, dass die gegenseitige Berechtigung und die Attributverifizierung erfolgreich verlaufen sind (Schritt S2207), und der Prozess geht weiter zu einem nächsten Schritt. Wenn die Antwort irgendeiner der Entscheidungsschritte S2202, S2204 und S2206 "NEIN" ist, wird bestimmt, dass die gegenseitige Berechtigung oder die Attributverifizierung misslungen sind (Schritt S2208) und der Prozess wird beendet.
    • (2) Erzeugen der Transaktions-ID und Erwerbsanforderungsdaten, und
    • (3) Übertragung der Erwerbsanforderungsdaten Wenn die gegenseitige Berechtigung und die Attributverifizierung zwischen dem Ladenserver 1010 und der Benutzereinrichtung 1020 erfolgreich verlaufen sind, erzeugt die Benutzereinrichtung 1020 Inhaltserwerbs-Anforderungsdaten. Die Datenstruktur der Erwerbsanforderungsdaten ist ähnlich der, welche in 14A, welche früher beschrieben wurde, gezeigt ist. Es gibt eine Laden-ID, welche einen Ladenserver 1010 identifiziert, zu dem die Inhaltserwerbs-Anforderung gesendet wird, eine Transaktions-ID, welche als Identifizierer eine Inhaltstransaktion durch die Verschlüsselungseinrichtung der Benutzereinrichtung 1020 auf Basis einer Zufallszahl erzeugt wird, und eine Inhalts-ID, welche einen Inhalt, den die Benutzereinrichtung zu erwerben wünscht, zeigt. Außerdem wird eine digitale Signatur der Benutzereinrichtung für die obigen Daten den Erwerbsanforderungsdaten hinzugefügt.
    • (4) Verifizierung der empfangenen Daten Wenn der Ladenserver die Erwerbsanforderung, beispielsweise die, welche in 14A gezeigt ist, von der Benutzereinrichtung 1020 empfängt, verifiziert der Ladenserver die empfangenen Daten. Die Verifizierung wird durchgeführt, wie oben mit Hilfe von 15 beschrieben wurde, indem zunächst das öffentliche Schlüsselzertifikat Cert_DEV der Benutzereinrichtung verifiziert wird, danach der öffentliche Schlüssel KpDEV der Benutzereinrichtung vom öffentlichen Schlüsselzertifikat extrahiert wird, und schließlich die Signatur der Benutzereinrichtung, welche in die Erwerbsanforderungsdaten beschrieben ist, verifiziert wird, wobei der öffentliche Schlüssel KpDEV der Benutzereinrichtung verwendet wird. Wenn die Verifizierung erfolgreich verlaufen ist, d. h., wenn bestimmt wird, dass die Erwerbsanforderungsdaten nicht damit verfälscht sind, wird bestimmt, dass die empfangenen Daten gültige Inhaltserwerbs-Anforderungsdaten sind. Wenn jedoch die Verifizierung nicht vorbei ist, wird bestimmt, dass die Erwerbsanforderungsdaten damit verfälscht sind, und der Prozess in Verbindung mit den Erwerbsanforderungsdaten wird beendet.
    • (5) Übertragung des verschlüsselten Inhalts und der verschlüsselten Inhaltsschlüsseldaten 1 (Laden) Wenn die Verifizierung, welche durch den Ladenserver 1010 durchgeführt wird, zeigt, dass die Erwerbsanforderungsdaten gültige Daten sind, welche nicht verfälscht sind, überträgt der Ladenserver 1010 den verschlüsselten Inhalt und die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) zur Benutzereinrichtung. Bei dem obigen Prozess werden sowohl die verschlüsselten Inhaltsdaten als auch die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) von der Inhaltsdatenbank erlangt, wobei der verschlüsselte Inhalt Daten Kc(Inhalt) sind, welche in der Inhaltsdatenbank gespeichert sind, nachdem sie erzeugt wurden, indem der Inhalt unter Verwendung des Inhaltsschlüssels verschlüsselt wurde, und der verschlüsselte Inhaltschlüssel Daten KpDAS(Kc) sind, der in der Inhaltsdatenbank gespeichert ist, nachdem sie durch Verschlüsseln des Inhaltsschlüssels Kc unter Verwendung des öffentlichen Schlüssels des Benutzereinrichtungs-Berechtigungsservers (DAS) 1030 erzeugt wurden. Hier haben die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) eine Datenstruktur ähnlich der, welche in 14B gezeigt ist. Das heißt, die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) umfassen eine Benutzereinrichtungs-ID, welche die Benutzereinrichtung 1020 identifiziert, welche die Inhaltserwerbsanforderung ausgegeben hat, Erwerbsanforderungsdaten (die Daten, welche in 14A gezeigt sind, welche vom öffentlichen Schlüsselzertifikat der Benutzereinrichtung abweichen), eine Ladenprozessnummer, welche durch den Ladenserver 1010 als Antwort auf die Inhaltstransaktion erzeugt wird, und verschlüsselte Inhaltsschlüsseldaten KpDAS(Kc). Außerdem ist eine digitale Signatur des Ladenservers 1010 für die obigen Daten an die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) angehängt. Die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 1010 zur Benutzereinrichtung 1020 übertragen. Es sei angemerkt, dass, wenn das öffentliche Schlüsselzertifikat zur Benutzereinrichtung während oder vor dem gegenseitigen Berechtigungsprozess übertragen wurde, es nicht erforderlich ist, das öffentliche Schlüsselzertifikat wieder zu übertragen.
    • (6) Verifizierung der empfangenen Daten Wenn die Benutzereinrichtung 1020 den verschlüsselten Inhalt Kc(Inhalt) und die verschlüsselten Inhaltsschlüsseldaten 1 (Laden), welche in 14B gezeigt sind, vom Ladenserver 1010 empfängt, verifiziert die Benutzereinrichtung 1020 die verschlüsselten Inhaltsschlüsseldaten 1 (Laden). Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses, der in 15 gezeigt ist, durchgeführt. Das heißt, die Benutzereinrichtung 1020 verifiziert zunächst das öffentliche Schlüsselzertifikat des Ladenservers, welches vom Ladenserver 1010 empfangen wird, unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert die Benutzereinrichtung 1020 die Ladensignatur, welche in die verschlüsselten Inhaltsschlüsseldaten 1 geschrieben ist, welche in 14B gezeigt sind, wobei der öffentliche Schlüssel KpSHOP des Ladenservers, der vom öffentlichen Schlüsselzertifikat extrahiert wird, verwendet wird.
    • (7) Gegenseitige Berechtigung und Attributverifizierung Wenn die Benutzereinrichtung 1020 die Verifizierung der verschlüsselten Inhaltsschlüsseldaten 1 (Laden) nach dem Empfang des verschlüsselten Inhalts Kc(Inhalt) und der verschlüsselten Inhaltsschlüsseldaten 1 (Laden) vom Ladenserver 1010 beendet hat, erlangt die Benutzereinrichtung 1020 Zugriff auf den Benutzereinrichtungs-Berechtigungsserver 1030, und die gegenseitige Berechtigung und Attributverifizierung werden zwischen der Benutzereinrichtung 1020 und dem Benutzereinrichtungs-Berechtigungsserver 1030 durchgeführt. Dieser Prozess wird in einer ähnlichen Weise wie die gegenseitige Berechtigung und die Attributverifizierung zwischen dem Ladenserver 1010 und der Benutzereinrichtung 1020 durchgeführt.
    • (8) Übertragung der verschlüsselten Schlüsseldaten (Benutzereinrichtung) und der verschlüsselten Inhaltsschlüssel-Umsetzungsanforderung Wenn die gegenseitige Berechtigung zwischen der Benutzereinrichtung 1020 und dem Benutzereinrichtungs-Berechtigungsserver 1030 erfolgreich verlaufen ist, überträgt die Benutzereinrichtung 1020 den verschlüsselten Inhaltsschlüssel KpDAS(Kc), der vom Ladenserver 1010 empfangen wird, an den Benutzereinrichtungs-Berechtigungsserver 1030, und die Benutzereinrichtung 1020 fordert den Benutzereinrichtungs-Berechtigungsserver 1030 auf, die Umsetzung des verschlüsselten Inhaltsschlüssels durchzuführen. Hier haben die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) eine Datenstruktur ähnlich der, welche in 14C gezeigt ist. Eine Benutzereinrichtungs-Berechtigungsserver-ID identifiziert den Benutzereinrichtungs-Berechtigungsserver 1020, zu dem die Anforderung auf Umsetzung des verschlüsselten Inhaltsschlüssels gesendet wird, und die verschlüsselten Inhaltsschlüsseldaten (die Daten, welche in 14B gezeigt sind), welche vom öffentlichen Ladenschlüsselzertifikat abweichen), welche vom Ladenserver 1010 empfangen werden. Außerdem wird eine digitale Signatur der Benutzereinrichtung 1020 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 1010 und dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung 1020 zum Benutzereinrichtungs-Berechtigungsserver 1030 übertragen. In dem Fall, wo der Benutzereinrichtungs-Berechtigungsserver 1030 das Zertifikat des öffentlichen Schlüssels der Benutzereinrichtung und das Zertifikat des öffentlichen Schlüssels des Ladenservers schon hat, ist es nicht erforderlich, diese Zertifikate wieder zu übertragen.
    • (9) Verifizierung der empfangenen Daten Wenn der Benutzereinrichtungs-Berechtigungsserver 1030 die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) und die verschlüsselte Inhaltsschlüssel-Umsetzungsanforderung (14C) von der Benutzereinrichtung 1020 empfängt, verifiziert der Benutzereinrichtungs-Berechtigungsserver 1030 die verschlüsselte Inhaltsschlüssel-Umsetzungsanforderung. Die Verifizierung wird in einer ähnlichen Weise wie oben in Bezug auf den Verarbeitungsfluss, der in 15 gezeigt ist, durchgeführt. Das heißt, die Benutzereinrichtung 1020 verifiziert zunächst das öffentliche Schlüsselzertifikat der Benutzereinrichtung, welches von der Benutzereinrichtung 1020 empfangen wird, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert die Benutzereinrichtung 1030 die digitale Signatur, welche in die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung), welche in 14C gezeigt ist, geschrieben ist, wobei der öffentliche Schlüssel KpDEV der Benutzereinrichtung verwendet wird. Außerdem verifiziert die Benutzereinrichtung 1030 das öffentliche Schlüsselzertifikat des Ladenservers, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert die Benutzereinrichtung 1030 die Ladensignatur, welche in (5) die verschlüsselten Inhaltsschlüsseldaten 1 geschrieben ist, welche in den verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung), welche in 14C gezeigt ist, enthalten sind, wobei der öffentliche Schlüssel KpSHOP des Ladenservers, der vom öffentlichen Schlüsselzertifikat extrahiert wird, verwendet wird. In dem Fall, wo eine Nachricht, welche von der Benutzereinrichtung übertragen wird, in dem in 14C gezeigten Format enthalten ist, wird die Nachricht wenn erforderlich verifiziert.
    • (10) Umsetzung des verschlüsselten Inhaltsschlüssels Bei der Verifizierung, welche durch den Benutzereinrichtungs-Berechtigungsserver 1030 durchgeführt wird, welche die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) und die verschlüsselte Inhaltsschlüssel-Umsetzungsanforderung, welche von der Benutzereinrichtung 1020 empfangen wird, betrifft, wenn bestimmt wird, dass die Schlüsselumsetzungsanforderung gültig ist, entschlüsselt der Benutzereinrichtungs-Berechtigungsserver 1030 unter Verwendung des Geheimschlüssels KsDAS des Benutzereinrichtungs-Berechtigungsservers 1030 den verschlüsselten Inhaltsschlüssel, der in den verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) enthalten ist, d. h., die verschlüsselten Daten KpDAS(Kc), welche durch Verschlüsseln des Inhaltsschlüssels erlangt werden, wobei der öffentliche Schlüssel KpDAS des Benutzereinrichtungs-Berechtigungsserver (DAS) 1030 verwendet wird, um dadurch den Inhaltsschlüssel Kc zu erlangen. Außerdem verschlüsselt der Benutzereinrichtungs-Berechtigungsserver 1030 den erlangten Inhaltsschlüssel Kc unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung, um dadurch den verschlüsselten Inhaltsschlüssel KpDEV(Kc) zu erzeugen. Das heißt, der Schlüssel wird umgesetzt, so dass: KpDAS(Kc).Kc.KpDEV(Kc). Danach werden, wie oben mit Hilfe von 16 beschrieben, die Inhaltsschlüsseldaten KpDAS(Kc), welche unter Verwendung des öffentlichen Schlüssels KpDAS des Benutzereinrichtungs-Berechtigungsserver (DAS) 1030 verschlüsselt wurden, von den verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) extrahiert und unter Verwendung des Geheimschlüssels KsDAS des Benutzereinrichtungs-Berechtigungsservers 1030 entschlüsselt, um dadurch den Inhaltschlüssel Kc zu erlangen. Der erlangte Inhaltsschlüssel Kc wird dann unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung wiederum verschlüsselt, um dadurch den verschlüsselten Inhaltsschlüsseldaten KpDEV(Kc) zu erzeugen.
    • (11) Gegenseitige Berechtigung und Attributverifizierung Wenn der Benutzereinrichtungs-Berechtigungsserver 1030 die verschlüsselte In haltsschüsselumsetzung beendet hat, erlangt der Benutzereinrichtungs-Berechtigungsserver 1030 Zugriff auf den Ladenserver 1010, und die gegenseitige Berechtigung und die Attributverifizierung werden zwischen dem Benutzereinrichtungs-Berechtigungsserver 1030 und dem Ladenserver 1010 durchgeführt. Dieser Prozess wird in einer ähnlichen Weise wie die gegenseitige Berechtigung und die Attributverifizierung zwischen dem Ladenserver 1010 und der Benutzereinrichtung 1020 durchgeführt.
    • (12) Übertragung der verschlüsselten Inhaltsdaten Wenn die gegenseitige Berechtigung und die Attributverifizierung zwischen dem Benutzereinrichtungs-Berechtigungsserver 1030 und dem Ladenserver 1010 erfolgreich verlaufen sind, überträgt der Benutzereinrichtungs-Berechtigungsserver 1030 die verschlüsselten Inhaltsschlüsseldaten (DAS) zum Ladenserver 1010. Hier haben die verschlüsselten Inhaltsschlüsseldaten (DAS) eine Datenstruktur ähnlich der, welche in 17D gezeigt ist. Eine Laden-ID, welche einen Ladenserver 1010 identifiziert, zu dem die Inhaltserwerbsanforderung gesendet wird, die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) (die Daten, welche in 14C gezeigt sind, welche von dem Zertifikat des öffentlichen Schlüssels des Ladens und dem der Benutzereinrichtung abweichen), und die verschlüsselten Inhaltsschlüsseldaten KpDEV(Kc) werden über den Benutzereinrichtungs-Berechtigungsserver 1030 über den oben beschriebenen Schlüsselumsetzungsprozess erzeugt. Außerdem wird eine digitale Signatur der Benutzereinrichtung 1030 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten (DAS) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten (DAS) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsserver 1030 und dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung 1020 zum Ladenserver 1010 übertragen. In dem Fall, wo der Ladenserver schon diese Zertifikate hat, ist es nicht erforderlich, diese Zertifikate wieder zu übertragen. In dem Fall, wo der Benutzereinrichtungs-Berechtigungsserver 1030 durch eine hochverlässliche dritte Partei verwaltet wird, brauchen die verschlüsselten Inhaltsschlüsseldaten (DAS) nicht in der Form aufgebaut sein, die in 17D gezeigt ist, bei der die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) (bezeichnet mit (8)), welche durch die Benutzereinrichtung erzeugt werden, in ihrer ursprünglichen Form enthalten sind, sondern brauchen so aufgebaut sein, dass, wie in 18D' gezeigt ist, die Benutzereinrichtungs-ID, die Transaktions-ID, die Inhalts-ID, die Ladenprozessnummer und der Inhaltsschlüssel KpDEV(Kc), welche unter Verwendung des öffentlichen Schlüssels der Benutzereinrichtung verschlüsselt wurden, durch den Benutzereinrichtungs-Berechtigungsserver 1030 extrahiert werden, und die verschlüsselten Inhaltsschlüsseldaten (DAS) von diesen extrahierten Daten zusätzlich der digitalen Signatur des Benutzereinrichtungs-Berechtigungsservers 1030 gebildet werden. In diesem Fall wird es nicht notwendig sein, die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) (bezeichnet mit (8) in 17D) zu verifizieren, und es ist somit notwendig, lediglich das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 1030 an die verschlüsselten Inhaltsschlüsseldaten (DAS) anzuhängen.
    • (13) Verifizierung der empfangenen Daten Wenn der Ladenserver 1010 die verschlüsselten Inhaltsschlüsseldaten (DAS) (17D) vom Benutzereinrichtungs-Berechtigungsserver 1030 empfängt, verifiziert der Ladenserver 1010 die verschlüsselten Inhaltsschlüsseldaten (DAS). Die Verifizierung wird in einer ähnlichen Weise wie oben beschrieben mit Hilfe des Verarbeitungsflusses, der in 15 gezeigt ist. Das heißt, der Ladenserver 1010 verifiziert zunächst das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 1030, welches von dem Benutzereinrichtungs-Berechtigungsserver 1030 empfangen wird, wobei der öffentliche Schlüssel KpCA der Zertifikatverwaltung (CA) verwendet wird. Danach verifiziert der Ladenserver 1010 die digitale Signatur, welche in die verschlüsselten Inhaltsschlüsseldaten (DAS), welche in 17D gezeigt sind, geschrieben ist, wobei der öffentliche Schlüssel KpDAS des Benutzereinrichtungs-Berechtigungsservers 1030 verwendet wird. Außerdem verifiziert der Ladenserver 1010 das öffentliche Schlüsselzertifikat der Benutzereinrichtung unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert der Ladenserver 1010 die digitale Signatur, welche durch die Benutzereinrichtung in (8) die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) geschrieben ist, welche in den verschlüsselten Inhaltsschlüsseldaten (DAS), welche in 17D gezeigt sind, enthalten ist, wobei der öffentliche Schlüssel KpDEV der Benutzereinrichtung verwendet wird, der von dem öffentlichen Schlüsselzertifikat extrahiert wird. In dem Fall, wo eine Nachricht, welche von der Benutzereinrichtung übertragen wird, in dem Format, welches in 14C gezeigt ist, enthalten ist, wird die Nachricht, wenn erforderlich verifiziert. In dem Fall, wo der Ladenserver 1010 die verschlüsselten Inhaltsschlüsseldaten (DAS) in der vereinfachten Form empfängt, welche oben mit Hilfe von 18D' beschrieben wurde, verifiziert der Ladenserver 1010 das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA), und danach verifiziert der Ladenserver 100 die digitale Signatur der verschlüsselten Inhaltsschlüsseldaten (DAS), welche in 18D' gezeigt sind, unter Verwendung des öffentlichen Schlüssels KpDAS des Benutzereinrichtungs-Berechtigungsservers 1030.
    • (14) Gegenseitige Berechtigung und Attributverifizierung, und
    • (15) Übertragung der verschlüsselten Inhaltsschlüsselanforderung Danach überträgt die Benutzereinrichtung 1020 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten zum Ladenserver. In dem Fall, wo die verschlüsselten Inhaltsschlüssel-Anforderungsdaten in einer Sitzung übertragen werden, die gegenüber einer Sitzung verschieden ist, in welcher eine vorherige Anforderung übertragen wurde, wird wiederum gegenseitige Berechtigung durchgeführt, und die verschlüsselten Inhaltsschlüssel-Anforderungsdaten werden von der Benutzereinrichtung 1020 zum Ladenserver 1010 nur dann übertragen, wenn die gegenseitige Berechtigung erfolgreich verlaufen ist. In dem Fall, wo eine Nachricht, welche von der Benutzereinrichtung überragen wird, in dem in 14C gezeigten Format enthalten ist, wird die Nachricht wenn erforderlich verifiziert. 17E zeigt die Datenstruktur der verschlüsselten Inhaltsschlüssel-Anforderungsdaten. Das heißt, die verschlüsselten Inhaltsschlüssel-Anforderungsdaten weisen eine Laden-ID auf, welche einen Ladenserver 1010 identifizieren, zu dem die Inhaltserwerbsanforderung gesendet wird, eine Transaktions-ID, welche als Identifizierer einer Inhaltstransaktion durch die Verschlüsselungseinrichtung der Benutzereinrichtung 1020 auf Basis einer Zufallszahl erzeugt wird, eine Inhalts-ID, welche einen Inhalt, den der Benutzer zu erwerben wünscht, zeigt, und eine Ladenprozessnummer, welche in den Daten (14B) enthalten ist, welche durch den Laden erzeugt wurden und als Inhaltsschlüssel-Anforderungsdaten 1 (Laden) zur Benutzereinrichtung 1020 übertragen wurden. Außerdem wird eine digitale Signatur der Benutzereinrichtung für die obigen Daten den verschlüsselten Inhaltsschlüssel-Anforderungsdaten hinzugefügt. Die verschlüsselten Inhaltsschlüssel-Anforderungsdaten werden zusammen mit dem öffentlichen Schlüsselzertifikat der Benutzereinrichtung zum Ladenserver 1010 übertragen. In dem Fall, wo der Ladenserver schon das Zertifikat hat, ist es nicht erforderlich, das Zertifikat nochmals zu übertragen.
    • (16) Verifizierung, und
    • (17) Belastungsprozess Wenn der Ladenserver 1010 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten von der Benutzereinrichtung empfängt, verifiziert der Ladenserver 1010 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten. Dieser Verifizierungsprozess wird in einer ähnlichen Weise oben mit Hilfe von 15 beschrieben durchgeführt. Nach Beendigung der Datenverifizierung führt der Ladenserver 1010 einen Belastungsprozess in Verbindung mit der Inhaltstransaktion durch. Dieser Belastungsprozess wird durchgeführt, um die Gebühr für den Inhalt von einem Konto eines Benutzers zu empfangen. Die empfangene Gebühr für den Inhalt wird unter einem Copyright-Halter des Inhalts, dem Laden, einem Eigner des Benutzereinrichtungs-Berechtigungsservers oder dgl. verteilt. Es sei angemerkt, dass es erforderlich ist, die verschlüsselte Inhaltsschlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver 1030 vor dem Belastungsprozess durchzuführen, und somit kann der Belastungsprozess lediglich über einen Prozess zwischen dem Ladenserver 1010 und der Benutzereinrichtung nicht durchgeführt werden. Die Benutzereinrichtung 1020 kann den verschlüsselten Inhaltsschlüssel nicht entschlüsseln, und somit kann die Benutzereinrichtung 1020 den Inhalt nicht verwenden, wenn die Schlüsselumsetzung nicht durchgeführt wurde. Die Historie aller Inhaltstransaktionen, für welche die Schlüsselumsetzung durch den Benutzereinrichtungs-Berechtigungsserver durchgeführt wurde, wird in der Lizenzverwaltungs-Datenbank aufgezeichnet, welche früher mit Hilfe von 6 beschrieben wurde, und somit kann jegliche Inhaltstransaktion, welche einen Belastungsprozess benötigt, überwacht und verwaltet werden. Dies verhindert, dass irgendein Laden selbst eine Inhaltsverkaufstransaktion durchführt und somit einen Inhalt in einer nicht berechtigten Weise verkauft.
    • (18) Übertragung der verschlüsselten Inhaltsschlüsseldaten 2 (Laden) Wenn der Ladenserver 1010 den Belastungsprozess beendet hat, überträgt der Ladenserver 1010 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) zur Benutzereinrichtung 1020. Hier haben die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) eine Datenstruktur, die ähnlich der ist, welche in 17F gezeigt ist, eine Benutzereinrichtungs-ID, welche die Benutzereinrichtung 1020 identifiziert, welche die verschlüsselte Inhaltsschlüssel-Anforderung ausgegeben hat, die verschlüsselten Inhaltsschlüsseldaten (DAS) (die Daten, welche in 17D gezeigt sind, die anders sind als die öffentlichen Schlüsselzertifikate der Benutzereinrichtung und des Benutzereinrichtungs-Berechtigungsservers), welche von dem Benutzereinrichtungs-Berechtigungsserver 1030 empfangen werden. Außerdem wird eine digitale Signatur des Ladenserver 1010 für die obigen Daten den verschlüsselten Inhaltsschlüsseldaten 2 (Laden) hinzugefügt. Die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 1010 und dem öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 1030 zur Benutzereinrichtung 1020 übertragen. In dem Fall, wo die Benutzereinrichtung 1020 schon das Zertifikat des öffentlichen Schlüssels des Benutzereinrichtungs-Berechtigungsservers und das Zertifikat des öffentlichen Schlüssels des Ladenservers hat, ist es nicht erforderlich, diese Zertifikate nochmals zu übertragen. In dem Fall, wo der Benutzereinrichtungs-Berechtigungsserver 1030 durch eine hochverlässliche dritte Partei verwaltet wird und der Ladenserver 1010 von dem Benutzereinrichtungs-Berechtigungsserver 1030 die verschlüsselten Inhaltsschlüsseldaten (DAS) in der vereinfachten Form, welche oben unter Bezug auf 18D' beschrieben wurde, empfängt, überträgt der Ladenserver 1010 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) in der Form, welche in 18F' gezeigt ist, zur Benutzereinrichtung. Das heißt, die verschlüsselten Inhaltsschlüsseldaten (DAS) in der vereinfachten Form, welche in 18D' gezeigt ist, welche die Signatur des Ladenservers aufweisen, werden zusammen mit dem öffentlichen Schlüsselzertifikat des Ladenservers 1010 und dem öffentlichen Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 1030 zur Benutzereinrichtung 1020 übertragen.
    • (19) Verifizierung der empfangenen Daten Wenn die Benutzereinrichtung 1020 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) vom Ladenserver 1010 empfängt, verifiziert die Benutzereinrichtung 1020 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden). Die Verifizierung wird in einer ähnlichen Weise wie oben unter Bezug auf den Verarbeitungsfluss, der in 15 gezeigt ist, beschrieben wurde, durchgeführt. Das heißt, die Benutzereinrichtung 1020 verifiziert zunächst das öffentliche Schlüsselzertifikat des Ladenservers, welches vom Ladenserver 1010 empfangen wird, unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert die Benutzereinrichtung 1020 die digitale Signatur, welche in die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) geschrieben ist, welche in 17F gezeigt sind, unter Verwendung des öffentlichen Schlüssels KpSHOP des Ladenservers 1010, der vom öffentlichen Schlüsselzertifikat extrahiert wird. Außerdem verifiziert die Benutzereinrichtung 1020 das öffentliche Schlüsselzertifikat des Benutzereinrichtungs-Berechtigungsservers 1030 unter Verwendung des öffentlichen Schlüssels KpCA der Zertifikatverwaltung (CA). Danach verifiziert die Benutzereinrichtung 1020 die digitale Signatur, welche in (12) die verschlüsselten Inhaltsschlüsseldaten (DAS) geschrieben ist, welche in den verschlüsselten Inhaltsschlüsseldaten 2 (Laden), welche in 17F gezeigt sind, enthalten sind, unter Verwendung des öffentlichen Schlüssels KpDAS des Benutzereinrichtungs-Berechtigungsservers 1030, der von dem öffentlichen Schlüsselzertifikat extrahiert wird. In dem Fall, wenn irgendeine Nachricht in dem Format, welches in 17F gezeigt ist, enthalten ist, wird die Nachricht, wenn erforderlich verifiziert.
    • (20) Speicherung von Daten
  • Nachdem die Benutzereinrichtung 1020 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden), welche vom Ladenserver 1010 empfangen werden, verifiziert hat, entschlüsselt die Benutzereinrichtung 1020 unter Verwendung des Geheimschlüssels KsDEV der Benutzereinrichtung 200 den verschlüsselten Inhaltsschlüssel KpDEV(Kc), der unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung 1020 verschlüsselt wurde und der in den verschlüsselten Inhaltsschlüsseldaten 2 (Laden) enthalten ist, wonach die Benutzereinrichtung 1020 den Inhaltsschlüssel unter Verwendung des Speicherschlüssels Ksto der Benutzereinrichtung verschlüsselt, um dadurch einen verschlüsselten Inhaltsschlüssel Ksto(Kc) zu erzeugen. Der resultierende verschlüsselte Inhaltsschlüssel (Ksto(Kc) wird in der Speichereinrichtung der Benutzereinrichtung 1020 gespeichert. Wenn der Inhalt verwendet wird, wird der verschlüsselte Inhaltsschlüssel Ksto(Kc) unter Verwendung des Speicherschlüssels Ksto entschlüsselt, um dadurch den Inhaltsschlüssel Kc zu erlangen, und der verschlüsselte Inhalt Kc(Inhalt) wird unter Verwendung des erlangten Inhaltsschlüssels Kc entschlüsselt und dadurch den Inhalt wiederzugeben.
  • Bei der vorliegenden Ausführungsform wird wie oben beschrieben, bevor ein Prozess in Verbindung mit der Inhaltslieferung über Kommunikation zwischen zwei Einheiten begonnen wird, das Attribut einer Einheit am entgegengesetzten Kommunikationsende geprüft, und der Prozess wird ausgeführt, wenn das Attribut der Einheit am entgegengesetzten Kommunikationsende von einer erwarteten Einrichtungsart ist, beispielsweise einer Benutzereinrichtung. Dies verhindert eine betrügerische Inhaltsverkaufstransaktion. Beispielsweise ist es möglich, einen Laden an betrügerischem Verhalten zu hindern, als ob dieser eine Benutzereinrichtung wäre, um eine betrügerische Inhaltstransaktion durchzuführen. Es ist auch möglich, einen Server an einem betrügerischen Verhalten zu hindern, als ob er ein berechtigter Ladenserver wäre, um die Kreditkontonummer einer Benutzereinrichtung betrügerisch zu erwerben. Wenn beispielsweise eine Benutzereinrichtung auf Basis der Attributprüfung bestimmt, dass eine Einheit der Benutzereinrichtung eine ist, welche mit einem Laden kommuniziert, wird sichergestellt, dass die Benutzereinrichtung eine Inhaltserwerbsanforderung an den Laden ohne ein Risiko zu haben ausgeben kann. Wenn dagegen die Attributprüfung zeigt, dass eine Einheit einer Benutzereinrichtung ist, welche mit einem Benutzereinrichtungs-Berechtigungsserver kommuniziert, wird sichergestellt, dass die Benutzereinrichtung eine Anforderung ausgeben kann, beispielsweise eine Schlüsselumsetzungsanforderung an den Benutzereinrichtungs-Berechtigungsserver, ohne ein Risiko zu haben. Bei diesem System gemäß der vorliegenden Erfindung ermöglicht die Attributprüfung es, die Art einer Einheit am gegenüberliegenden Kommunikationsende zu erfahren, es wird sichergestellt, dass ein Prozess adäquat in Abhängigkeit von der Art der Einheit am entgegengesetzten Kommunikationsende durchgeführt werden kann. Außerdem wird es ermöglicht, zu verhindern, dass Geheimdaten zu einer nicht korrekten Einheit übertragen werden, womit es somit möglich ist, zu verhindern, dass Daten abgeleitet werden. Unter Bezug auf 74 wird nun ein Prozess beschrieben, bei dem eine Inhaltstransaktion durchgeführt wird, nachdem eine Signatur, welche in empfangenen Daten geschrieben ist, verifiziert wird, um zu bestätigen, dass die Integrität der Daten beibehalten wird und das Attribut geprüft wird, ohne gegenseitige Berechtigung durchzuführen.
  • Der Prozess, der in 74 gezeigt ist, ist ähnlich dem, der in 72 gezeigt ist, mit der Ausnahme, dass die gegenseitige Berechtigung nicht durchgeführt wird. In 74 läuft der Prozess weiter in der Reihenfolge der Prozessschritte von (1) bis (16), wie anschließend beschrieben wird.
    • (1) Erzeugung der Transaktions-ID und der Erwerbsanforderungsdaten, und
    • (2) Übertragung der Erwerbsanforderungsdaten Zunächst erzeugt die Benutzereinrichtung 1020 die Inhaltserwerbs-Anforderungsdaten und überträgt diese zum Ladenserver 1010. Hier haben die Erwerbsanforderungsdaten (Benutzereinrichtung) eine Datenstruktur ähnlich der, welche in 14A gezeigt ist.
    • (3) Verifizierung der empfangenen Daten Wenn der Ladenserver die Erwerbsanforderung, beispielsweise die, welche in 14A gezeigt ist, von der Benutzereinrichtung 200 empfängt, verifiziert der Ladenserver 100 die empfangenen Daten. Bei der vorliegenden Ausführungsform wird zusätzlich zur Verifizierung, um zu prüfen, ob die Integrität der Erwerbsanforderungsdaten beibehalten ist, das Prüfen der Attributinformation durchgeführt. 75 zeigt den Fluss zum Verifizieren der empfangenen Daten für den Fall, wo das öffentliche Schlüsselzertifikat Attributinformation aufweist. Wenn der Ladenserver 1010 die Nachricht, die Signatur (Erwerbsanforderungsdaten) und das öffentliche Schlüsselzertifikat der Benutzereinrichtung (Schritt S2301) empfängt, verifiziert der Ladenserver 1010 das öffentliche Schlüsselzertifikat der Benutzereinrichtung unter Verwendung des öffentlichen Schlüssels KpCA der öffentlichen Schlüsselzertifikatverwaltung (Schritt S2302). Wenn die Verifizierung erfolgreich verlaufen ist (wenn die Antwort im Schritt S2303 "JA" ist), wird der öffentliche Schlüssel KpDEV der Benutzereinrichtung vom öffentlichen Schlüsselzertifikat extrahiert (Schritt S2304), und die Signatur der Benutzereinrichtung, welche in die Erwerbsanforderungsdaten geschrieben ist, wird unter Verwendung des öffentlichen Schlüssels Kp_DEV der Benutzereinrichtung verifiziert (Schritt 2305). Wenn die Verifizierung erfolgreich verlaufen ist (wenn die Antwort im Schritt S2306 "JA" ist, wird die Attributinformation vom öffentlichen Schlüsselzertifikat extrahiert (Schritt S2307), und es wird bestimmt, ob das Attribut gültig ist (in diesem speziellen Fall wird bestimmt, ob die Attributinformation zeigt, dass die Einrichtung eine Benutzereinrichtung ist) (Schritt S2308). Wenn das Attribut gültig ist, d. h., wenn die Verifizierung erfolgreich verlaufen ist (Schritt S2309), läuft der Prozess weiter zu einem nächsten Schritt. Wenn die Antwort irgendeiner der Entscheidungsschritte S2303, S2306 und S2308 "NEIN" ist, wird bestimmt, dass die Verifizierung missglückt ist (Schritt S2310), und der Prozess wird beendet. Bezugnehmend nun auf das Flussdiagramm, welches in 76 gezeigt ist, wird der Prozess zum Verifizieren empfangener Daten unter Verwendung eines öffentlichen Schlüsselzertifikats und eines Attributzertifikats nachstehend beschrieben. Zunächst empfängt ein Ladenserver 1010 eine Nachricht, eine Signatur (Erwerbsanforderungsdaten), und ein öffentliches Schlüsselzertifikat sowie ein Attributzertifikat einer Benutzereinrichtung (Schritt S2401). Der Ladenserver 1010 verifiziert das öffentliche Schlüsselzertifikat der Benutzereinrichtung unter Verwendung eines öffentlichen Schlüssels KpCA der öffentlichen Schlüsselzertifikatverwaltung (Schritt S2402). Wenn die Verifizierung erfolgreich verlaufen ist (wenn die Antwort im Schritt S2403 "JA" ist), wird der öffentliche Schlüssel KpDEV der Benutzereinrichtung vom öffentlichen Schlüsselzertifikat extrahiert (Schritt S2404) und die Signatur der Benutzereinrichtung, welche in die Erwerbsanforderungsdaten geschrieben ist, wird unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung verifiziert (Schritt S2405). Wenn die Verifizierung erfolgreich verlaufen ist (wenn die Antwort im Schritt S2406 "JA" ist), wird danach das Attributzertifikat unter Verwendung des öffentlichen Schlüssels KpAA der Attributzertifikatverwaltung verifiziert (Schritt S2407). Wenn die Verifizierung erfolgreich verlaufen ist (wenn die Antwort im Schritt S2408 "JA" ist), wird die Attributinformation vom Attributzertifikat extrahiert (Schritt S2409), und es wird bestimmt, ob das Attribut gültig ist (in diesem speziellen Fall wird bestimmt, ob die Attributinformation zeigt, ob die Einrichtung eine Benutzereinrichtung ist) (Schritt S2410). Wenn das Attribut gültig ist, d. h., wenn die Verifizierung erfolgreich verlaufen ist (Schritt S2411), läuft der Prozess weiter zu einem nächsten Schritt. Wenn die Antwort in einem der Entscheidungsschritte S2403, S2406, S2408 und S2410 "NEIN" ist, wird bestimmt, dass die Verifizierung missglückt ist (Schritt S2412), und der Prozess wird beendet.
    • (4) Übertragung des verschlüsselten Inhalts und der verschlüsselten Inhaltsschlüsseldaten 1 (Laden) Wenn die Verifizierung, welche durch den Ladenserver 1010 durchgeführt wird, zeigt, dass die Erwerbsanforderungsdaten gültige Daten sind, welche nicht verfälscht wurden, und wenn das Attribut bestätigt wird, überträgt der Ladenserver 1010 den verschlüsselten Inhalt und die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) zur Benutzereinrichtung (14B).
    • (5) Verifizierung der empfangenen Daten Wenn die Benutzereinrichtung 1020 den verschlüsselten Inhalt Kc(Inhalt) und die verschlüsselten Inhaltsschlüsseldaten 1 (Laden), welche in 14B gezeigt sind, vom Ladenserver 1010 empfängt, verifiziert die Benutzereinrichtung 1020 die verschlüsselten Inhaltsschlüsseldaten 1 (Laden) und verifiziert außerdem das Attribut. Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses beschrieben, der in 75 oder 76 gezeigt ist. Wenn das Attribut, welche im öffentlichen Schlüsselzertifikat oder im Attributzertifikat beschrieben ist, nicht "Laden" ist, wird der Prozess beendet.
    • (6) Übertragung der verschlüsselten Schlüsseldaten (Benutzereinrichtung) und der verschlüsselten Inhaltsschlüssel-Umsetzungsanforderung Danach überträgt die Benutzereinrichtung 1020 den verschlüsselten Inhaltsschlüssel KpDAS(Kc), der vom Ladenserver 1010 empfangen wird, zum Benutzereinrichtungs-Berechtigungsserver 1030, und die Benutzereinrichtung 1020 fordert den Benutzereinrichtungs-Berechtigungsserver 1030 auf, die Umsetzung des verschlüsselten Inhaltsschlüssels durchzuführen (14C).
    • (7) Verifizierung der empfangenen Daten Wenn der Benutzereinrichtungs-Berechtigungsserver 1030 die verschlüsselten Inhaltsschlüsseldaten (Benutzereinrichtung) und die verschlüsselte Inhaltschlüssel-Umsetzungsanforderung von der Benutzereinrichtung 1020 empfängt (14C), verifiziert der Benutzereinrichtungs-Berechtigungsserver 1030 die verschlüsselte Inhaltsschlüssel-Umsetzungsanforderung. Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses beschrieben, der in 75 oder 76 gezeigt ist, durchgeführt, wobei die Attributverifizierung ebenfalls durchgeführt wird. Wenn das Attribut, welches im öffentlichen Schlüsselzertifikat oder im Attributzertifikat beschrieben ist, nicht "Benutzereinrichtung" ist, wird der Prozess beendet.
    • (8) Umsetzung des verschlüsselten Inhaltsschlüssels Danach wird der Schlüssel durch den Benutzereinrichtungs-Berechtigungsserver 1030 umgesetzt, so dass gilt: KpDAS(Kc).Kc.KpDEV(Kc).
    • (9) Übertragung der verschlüsselten Inhaltsdaten Danach überträgt der Benutzereinrichtungs-Berechtigungsserver 1030 die verschlüsselten Inhaltsschlüsseldaten (DAS) zum Ladenserver 1010. Hier haben die verschlüsselten Inhaltsschlüsseldaten (DAS) eine Datenstruktur ähnlich der, die in 17D gezeigt ist.
    • (10) Verifizieren der empfangenen Daten Wenn der Ladenserver 1010 die verschlüsselten Inhaltsschlüsseldaten (DAS) (17D) vom Benutzereinrichtungs-Berechtigungsserver 1030 empfängt, verifiziert der Ladenserver 1010 die verschlüsselten Inhaltsschlüsseldaten (DAS). Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses, der in 75 oder 76 gezeigt ist, beschrieben wurde, durchgeführt, wobei die Attributverifizierung ebenfalls durchgeführt wird. Wenn das Attribut, welches im öffentlichen Schlüsselzertifikat beschrieben ist, oder das Attributzertifikat nicht vom Benutzereinrichtungs-Berechtigungsserver (Dienstanbieter) ist, wird der Prozess beendet.
    • (11) Übertragung der verschlüsselten Inhaltsschlüssel-Anforderung Danach überträgt die Benutzereinrichtung 1020 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten zum Ladenserver. Die verschlüsselten Inhaltsschlüssel-Anforderungsdaten haben eine Datenstruktur, beispielsweise die, welche in 17E gezeigt ist.
    • (12) Verifizierung, und
    • (13) Belastungsprozess Wenn der Ladenserver 1010 die verschlüsselten Inhaltsschlüsseldaten von der Benutzereinrichtung empfängt, verifiziert der Ladenserver 1010 die verschlüsselten Inhaltsschlüssel-Anforderungsdaten. Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses, der in 75 und 76 gezeigt ist, beschrieben wurde, durchgeführt, wobei die Attributprüfung ebenfalls durchgeführt wird. Wenn das Attribut, welches im öffentlichen Schlüsselzertifikat beschrieben ist, oder im Attributzertifikat nicht von der Benutzereinrichtung ist, wird der Prozess beendet. Nach Beendigung der Datenverifizierung führt der Ladenserver 1010 einen Belastungsprozess in Verbindung mit der Inhaltstransaktion durch.
    • (14) Übertragung der verschlüsselten Inhaltsschlüsseldaten 2 (Laden) Wenn der Ladenserver 1010 den Belastungsprozess beendet hat, überträgt der Ladenserver 1010 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) zur Benutzereinrichtung 1020. Hier haben die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) eine Datenstruktur ähnlich der, welche in 17F gezeigt ist.
    • (15) Verifizierung der empfangenen Daten, und
    • (16) Speicher der Daten
  • Wenn die Benutzereinrichtung 1020 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden) vom Ladenserver 1010 empfängt, verifiziert die Benutzereinrichtung 1020 die verschlüsselten Inhaltsschlüsseldaten 2 (Laden). Die Verifizierung wird in einer ähnlichen Weise wie oben mit Hilfe des Verarbeitungsflusses, der in 75 oder 76 gezeigt ist, beschrieben wurde, durchgeführt, wobei die Attributverifizierung ebenfalls durchgeführt wird. Wenn das Attribut, welches im öffentlichen Schlüsselzertifikat oder im Attributzertifikat nicht "Laden" ist, wird der Prozess beendet. Nach dem Verifizieren der Daten führt die Benutzereinrichtung 1020 einen Speicherungsprozess durch. Das heißt, die Benutzereinrichtung 1020 entschlüsselt unter Verwendung des Geheimschlüssels KsDEV der Benutzereinrichtung 200 den verschlüsselten Inhaltsschlüssel KpDEV(Kc), der unter Verwendung des öffentlichen Schlüssels KpDEV der Benutzereinrichtung 1020 verschlüsselt wurde, wonach die Benutzereinrichtung 1020 den Inhaltsschlüssel unter Verwendung des Speicherschlüssels Ksto der Benutzereinrichtung 1020 verschlüsselt, um dadurch einen verschlüsselten Inhaltsschlüssel Ksto(Kc) zu erzeugen. Der resultierende verschlüsselte Inhaltsschlüssel Ksto(Kc) wird in der Speichereinrichtung der Benutzereinrichtung 1020 gespeichert.
  • In dem in 74 gezeigten Prozess wird wie oben beschrieben das Prüfen des Attributs nicht durchgeführt, wenn die gegenseitige Berechtigung durchgeführt wird, außer, wenn die Signatur der empfangenen Daten verifiziert wird, und somit wird der Prozess vereinfacht und die Inhaltstransaktion kann in einer effizienteren Weise durchgeführt werden.
  • Bei der oben beschriebenen Ausführungsform wird unter Verwendung von Attributdaten, um das Attribut der Einheit zu prüfen, die Schlüsselumsetzung durch einen Dienstanbieter durchgeführt. Das Prüfen des Attributs kann jedoch auch in einem System angewandt werden, bei dem ein Protokollaufzeichnungsserver verwendet wird. Außerdem können bei einem allgemeinen System, bei dem Daten unter Einheiten übertragen werden, die Attribute der jeweiligen Einheiten in Abhängigkeit von den speziellen Funktionen der Einheiten definiert werden, oder das definierte Attribut jeder Einheit kann in seinem öffentlichen Schlüsselzertifikat oder Attributzertifikat beschrieben werden, um dadurch für jede Einheit zu ermöglichen, das Attribut einer anderen Einheit, mit der kommuniziert wird, kennen zu lernen und somit eine hohe Sicherheit bei der Datenkommunikation zu erreichen. Der Attributprüfprozess kann zusätzlich zur gegenseitigen Berechtigung und/oder Signaturverifizierung, welche bei dem herkömmlichen Verfahren durchgeführt wird, durchgeführt werden.
  • Beispielsweise braucht lediglich die Signaturverifizierung oder nur die gegenseitige Berechtigung bei allgemeiner Datenkommunikation durchgeführt werden, und der Attributprüfprozess braucht lediglich durchgeführt werden, wenn dies notwendig ist. Das heißt, in Abhängigkeit von dem gewünschten Sicherheitsgrad kann eine von einer Kombination der Signaturverifizierung, der gegenseitigen Berechtigung und der Attributprüfung durchgeführt werden.
  • Die vorliegende Erfindung wurde ausführlich oben mit Hilfe bestimmter Ausführungsformen beschrieben. Die Ausführungsformen wurden oben als Beispiel beschrieben und nicht als Beschränkung. Der Rahmen der Erfindung wird lediglich durch die angehängten Patentansprüche begrenzt.
  • Schließlich kann man ersehen, dass die vorliegende Erfindung ein Inhaltsliefersystem und ein Inhaltslieferverfahren bereitstellt, bei dem, wenn eine Benutzereinrichtung eine Inhaltserwerbsanforderung an einen Ladenserver ausgegeben hat, wenn ein Belastungsprozess in Verbindung mit der Inhaltserwerbsanforderung erfolgreich abgeschlossen wurde, der Ladenserver zur Benutzereinrichtung einen verschlüsselten Inhaltsschlüssel in einer Form überträgt, welcher durch einen Schlüssel, der in der Speichereinrichtung gespeichert ist, entschlüsselt werden kann, wodurch sichergestellt wird, dass der Belastungsprozess in einer hochverlässlichen Weise durchgeführt werden kann.
  • Die vorliegende Erfindung liefert auch ein Inhaltsliefersystem und ein Inhaltslieferverfahren, bei dem als Antwort auf eine Inhaltserwerbsanforderung, welche durch eine Benutzereinrichtung ausgegeben wird, ein Benutzereinrichtungs-Berechtigungsserver, der das Liefern des Inhalts verwaltet, einen Inhaltsschlüssel KpDAS(Kc), der unter Verwendung eines öffentlichen Schlüssels einer Benutzereinrichtungs-Berechtigungsserver (DAS) verschlüsselt wurde, in einen Inhaltsschlüssel KpDEV(Kc) umsetzt, der unter Verwendung eines öffentlichen Schlüssels der Benutzereinrichtung verschlüsselt wurde, wodurch sichergestellt wird, dass der Benutzereinrichtungs-Berechtigungsserver den aktuellen Zustand der Inhaltsverkaufstransaktion zwischen einem Laden und der Benutzereinrichtung überwachen kann.
  • Die vorliegende Erfindung liefert außerdem ein Inhaltsliefersystem und ein Inhaltslieferverfahren, bei dem, wenn eine Datenkommunikation unter einer Benutzereinrichtung, einem Laden, und einen Benutzereinrichtungs-Berechtigungsserver durchgeführt wird, zumindest eines von der gegenseitigen Berechtigung und der Signaturerzeugung/Verifizierung durchgeführt wird, wodurch hohe Sicherheit bei der Datenkommunikation sichergestellt wird und es ermöglicht wird, zu prüfen, ob die Datenintegrität beibehalten wird.

Claims (18)

  1. Inhaltsliefersystem, welches umfasst: eine Benutzereinrichtung (200), welche eine Inhaltserwerbsanforderung überträgt, wobei die Benutzereinrichtung (200) eine Speichereinrichtung aufweist; einen Ladenserver (100), der die Inhaltserwerbsanforderung von der Benutzereinrichtung (200) empfängt und der einen verschlüsselten Inhalt, der unter Verwendung eines Inhaltsschlüssels Kc verschlüsselt wurde, verwaltet und außerdem einen verschlüsselten Inhaltsschlüssel verwaltet, der durch einen Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, nicht entschlüsselt werden kann; und einen Benutzereinrichtungs-Beglaubigungsserver (300) zum Durchführen eines Schlüsselumsetzungsprozesses, um den verschlüsselten Inhaltsschlüssel in eine Form umzusetzen, welche unter Verwendung des Schlüssels, der in der Benutzereinrichtung (200) gespeichert ist, entschlüsselt werden kann; wobei, wenn ein Prozess zum Belasten der Gebühr für den Inhalt, der durch die Benutzereinrichtung erworben wurde, beendet wurde, der verschlüsselte Inhaltsschlüssel, der durch den Benutzereinrichtungs-Beglaubigungsserver (300) in die Form umgesetzt wurde, welche durch den Schlüssel entschlüsselt werden kann, welche in der Benutzereinrichtung (200) gespeichert ist, durch den Ladenserver (100) der Benutzereinrichtung (200) bereitgestellt wird; wobei das System dadurch gekennzeichnet ist, dass die Benutzereinrichtung (200) betriebsfähig ist, um: die Form des verschlüsselten Inhaltsschlüssels zu entschlüsseln, der unter Verwendung des Schlüssels entschlüsselt werden kann, der in der Benutzereinrichtung (200) gespeichert ist, in Abhängigkeit davon, ob der Schlüssel in der Benutzereinrichtung (200) gespeichert wurde, um einen entschlüsselten Inhaltsschlüssel zu erzeugen; den verschlüsselten Inhaltsschlüssel unter Verwendung eines Speicherschlüssels zu verschlüsseln, der mit der Benutzereinrichtung (200) verknüpft ist, um einen verschlüsselten Inhaltsspeicherschlüssel zu erzeugen; und den verschlüsselten Inhaltsspeicherschlüssel in der Speichereinrichtung zu speichern.
  2. Inhaltsliefersystem nach Anspruch 1, wobei der verschlüsselte Inhaltsschlüssel, der durch den Schlüssel, der in der Benutzereinrichtung gespeichert ist, nicht entschlüsselt werden kann, ein verschlüsselter Inhaltsschlüssel (KpDAS(Kc)) ist, der unter Verwendung eines öffentlichen Schlüssels (KpDAS) des Benutzereinrichtungs-Beglaubigungsservers (300) verschlüsselt wurde, und wobei der Schlüsselumsetzungsprozess durch den Benutzereinrichtungs-Beglaubigungsserver (300) durchgeführt wird, so dass der verschlüsselte Inhaltsschlüssel (KpDAS(Kc)) unter Verwendung eines Geheimschlüssels (KsDAS) des Benutzereinrichtungs-Beglaubigungsservers (300) entschlüsselt wird, um dadurch den Inhaltsschlüssel (Kc) zu erlangen, und danach der Inhaltsschlüssel (Kc) wiederum unter Verwendung des öffentlichen Schlüssels (KpDEV) der Benutzereinrichtung verschlüsselt wird, um dadurch einen verschlüsselten Inhaltsschlüssel (KpDEV(Kc)) zu erzeugen.
  3. Inhaltsliefersystem nach Anspruch 1, wobei der Benutzereinrichtungs-Beglaubigungsserver (300) von der Benutzereinrichtung (200) den verschlüsselten Inhaltsschlüssel empfängt, der durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, nicht entschlüsselt werden kann, und der Benutzereinrichtungs-Beglaubigungsserver (300) zum Ladenserver den verschlüsselten Inhaltsschlüssel überträgt, der in die Form umgesetzt wurde, welche unter Verwendung des Schlüssels, der in der Benutzereinrichtung (200) gespeichert ist, entschlüsselt werden kann, und wobei, wenn der Belastungsprozess abgeschlossen ist, der Ladenserver (100) den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt wurde, welche durch den Schlüssel entschlüsselt werden kann, der in der Benutzereinrichtung (200) gespeichert ist, zur Benutzereinrichtung (200) überträgt.
  4. Inhaltsliefersystem nach Anspruch 1, wobei der Benutzereinrichtungs-Beglaubigungsserver (300) vom Ladenserver (100) den verschlüsselten Inhaltsschlüssel empfängt, der durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, nicht entschlüsselt werden kann, und der Benutzereinrichtungs-Beglaubigungsserver (300) den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche unter Verwendung des Schlüssels entschlüsselt werden kann, der in der Benutzereinrichtung (200) gespeichert ist, zum Ladenserver überträgt, und wobei, wenn der Belastungsprozess beendet ist, der Ladenserver (100) den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche durch den Schlüssel entschlüsselt werden kann, der in der Benutzereinrichtung (200) gespeichert ist, zur Benutzereinrichtung (200) überträgt.
  5. Inhaltsliefersystem nach Anspruch 1, welches außerdem aufweist: einen Inhaltslieferserver zum Liefern eines verschlüsselten Inhalts zur Benutzereinrichtung (200), wobei als Antwort auf das Empfangen einer Inhaltserwerbsanforderung von der Benutzereinrichtung (200) der Ladenserver (100) eine Inhaltslieferanforderung zum Inhaltslieferserver überträgt, und wobei als Antwort auf das Empfangen der Inhaltslieferanforderung vom Ladenserver (100) der Inhaltslieferserver den verschlüsselten Inhalt zur Benutzereinrichtung (200) überträgt.
  6. Inhaltsliefersystem nach Anspruch 1, wobei die Inhaltserwerbs-Anforderungsdaten, welche durch die Benutzereinrichtung (200) erzeugt werden und zum Ladenserver (100) übertragen werden, eine Laden-ID aufweisen, welche einen Laden identifiziert, zu dem die Anforderungsdaten übertragen werden; eine Transaktions-ID, welche eine Inhaltstransaktion identifiziert; eine Inhalts-ID, welche einen Erwerbsanforderungs-Inhalt identifiziert; und eine digitale Signatur der Benutzereinrichtung (200); und wobei der Ladenserver (100) prüft, ob die Integrität von Daten beibehalten ist, indem die digitale Signatur, welche in die Inhaltserwerbs-Anforderungsdaten geschrieben ist, verifiziert wird; einen neuen Eintrag für die Ladenverwaltungs-Datenbank auf Basis der Inhaltserwerbs-Anforderungsdaten hinzufügt; Statusinformation, welche einen Prozessstatus zeigt, der mit dem hinzugefügten Eintrag verknüpft ist, setzt; und einen Übergang einer Verarbeitungssequenz, die mit dem Laden verknüpft ist, auf Basis der Statusinformation verwaltet.
  7. Inhaltsliefersystem nach Anspruch 1, wobei, wenn der Benutzereinrichtungs-Beglaubigungsserver (300) eine Schlüsselumsetzungsanforderung von der Benutzereinrichtung (200) oder dem Ladenserver (100) empfängt, der Benutzereinrichtungs-Beglaubigungsserver (300) einen neuen Eintrag in die Datenbank hinzufügt, welche durch den Benutzereinrichtungs-Beglaubigungsserver (300) verwaltet wird, Statusinformation, welche einen Prozessstatus zeigt, der mit dem hinzugefügten Eintrag verknüpft ist, setzt, und einen Übergang einer Verarbeitungssequenz, die mit dem Benutzereinrichtungs-Beglaubigungsserver (300) verknüpft ist, auf Basis der Statusinformation verwaltet.
  8. Inhaltsliefersystem nach Anspruch 1, wobei: der Benutzereinrichtungs-Beglaubigungsserver (300) betriebsfähig ist, den verschlüsselten Inhaltsschlüssel von der verschlüsselten Form, welche durch den Schlüssel nicht entschlüsselt werden kann, der in der Benutzereinrichtung (200) gespeichert ist, in die Form umsetzt, welche durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, entschlüsselt werden kann, als Antwort auf das Empfangen einer Schlüsselumsetzungsanforderung vom Ladenserver oder der Benutzereinrichtung; und der Benutzereinrichtungs-Beglaubigungsserver (300) betriebsfähig ist, eine Digitalsignatur des Ladenservers oder eine Digitalsignatur der Benutzereinrichtung (200), welche in die Schlüsselumsetzungsanforderung geschrieben ist, zu verifizieren; und der Benutzereinrichtungs-Beglaubigungsserver (300) betriebsfähig ist, die Schlüsselumsetzung durchzuführen, wenn die Verifikation zeigt, dass die Schlüsselumsetzungsanforderung gültig ist.
  9. Inhaltsliefersystem nach Anspruch 1, wobei der Ladenserver (100) betriebsfähig ist, den Inhaltsschlüssel zu speichern, der verwendet wird, den Inhalt in einer Weise zu verschlüsseln, dass der Inhaltsschlüssel, der verwendet wird, den Inhalt zu verschlüsseln, in die Form verschlüsselt wird, welche durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, nicht entschlüsselt werden kann; und wenn der Belastungsprozess als Antwort auf eine Inhaltserwerbsanforderung, welche durch die Benutzereinrichtung (200) ausgegeben wird, erfolgreich abgeschlossen ist, der Ladenserver (100) betriebsfähig ist, den verschlüsselten Inhaltsschlüssel, der über den Schlüsselumsetzungsprozess erzeugt wurde, der durch den Benutzereinrichtungs-Beglaubigungsserver (300) durchgeführt wurde, zur Benutzereinrichtung (200) zu übertragen.
  10. Inhaltsliefersystem nach Anspruch 9, wobei der Ladenserver (100) einen Inhaltslieferserver zum Liefern eines verschlüsselten Inhalts aufweist.
  11. Inhaltsliefersystem nach Anspruch 1, welches eine Inhaltwiedergabeeinrichtung aufweist, die betriebsfähig ist, eine Inhaltserwerbsanforderung zu erzeugen, diese zu einem Ladenserver zu übertragen und einen Inhalt wiederzugeben, wobei die Inhaltswiedergabeeinrichtung betriebsfähig ist, den Inhaltsschlüssel durch Durchführen eines Prozesses zu erwerben, der folgende Schritte umfasst: Empfangen – über den Ladenserver (100) – des verschlüsselten Inhaltsschlüssels, der über den Schlüsselumsetzungsprozess, der durch den Benutzereinrichtungs-Beglaubigungsserver (300) durchgeführt wurde, erzeugt wurde; Verifizieren von Signaturen, welche in den empfangenen verschlüsselten Inhaltsschlüsseldaten enthalten sind, des Ladenservers (100) und des Benutzereinrichtungs-Beglaubigungsservers (300); und wenn die Verifikation zeigt, dass die Daten nicht damit verfälscht sind, Extrahieren des verschlüsselten Inhaltsschlüssels von den empfangenen verschlüsselten Inhaltsschlüsseldaten, um dadurch den Inhaltschlüssel zu erwerben.
  12. Inhaltslieferverfahren zum Liefern von Inhalt zu einer Benutzereinrichtung (200), welche eine Speichereinrichtung umfasst, wobei das Verfahren folgende Schritte umfasst: Übertragen einer Inhaltserwerbsanforderung von der Benutzereinrichtung (200) zu einem Ladenserver (100); Empfangen – im Ladenserver (100) – der Inhaltserwerbsanforderung von der Benutzereinrichtung (200); in einem Benutzereinrichtungs-Beglaubigungsserver (300), Umsetzen eines verschlüsselten Inhaltsschlüssels in einer Form, welche durch einen Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, in einen verschlüsselten Inhaltsschlüssel in eine Form, nicht entschlüsselt werden kann, welche durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, verschlüsselt werden kann; und wenn die Benutzereinrichtung (200) einen Belastungsprozess in Verbindung mit dem Erwerb eines Inhalts beendet hat, Bereitstellen – vom Ladenserver (100) zur Benutzereinrichtung (200) – des verschlüsselten Inhaltsschlüssels, der durch den Benutzereinrichtungs-Beglaubigungsserver (300) in die Form umgesetzt wurde, welche durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, entschlüsselt werden kann; wobei das Verfahren gekennzeichnet ist durch die Schritte: Entschlüsseln der Form des verschlüsselten Inhaltsschlüssels, der unter Verwendung des Schlüssels entschlüsselt werden kann, der in der Benutzereinrichtung (200) gespeichert ist, in Abhängigkeit von dem Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, um einen entschlüsselten Inhaltsschlüssel zu erzeugen; Verschlüsseln des entschlüsselten Inhaltsschlüssels unter Verwendung eines Speicherschlüssels, der mit der Benutzereinrichtung (200) verknüpft ist, um einen verschlüsselten Inhaltsspeicherschlüssel zu erzeugen; und Speichern des verschlüsselten Inhaltsspeicherschlüssels in der Speichereinrichtung.
  13. Inhaltslieferverfahren nach Anspruch 12, wobei der verschlüsselte Inhaltsschlüssel, der in der Form verschlüsselt ist, welche nicht durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, entschlüsselt werden kann, ein verschlüsselter Inhaltsschlüssel (KpDAS(Kc)) ist, der unter Verwendung eines öffentlichen Schlüssels (KpDAS) des Benutzereinrichtungs-Beglaubigungsservers (300) verschlüsselt ist; und wobei der Benutzereinrichtungs-Beglaubigungsserver (300) die Schlüsselumsetzung so durchführt, dass der verschlüsselte Schlüssel (KpDAS(Kc)) unter Verwendung eines Geheimschlüssels (KpDAS) des Benutzereinrichtungs-Beglaubigungsservers (300) entschlüsselt wird und dann wiederum unter Verwendung eines öffentlichen Schlüssels (KpDEV) der Benutzereinrichtung (200) verschlüsselt wird, um dadurch den verschlüsselten Inhaltsschlüssel (KpDEV(Kc)) zu erzeugen.
  14. Inhaltslieferverfahren nach Anspruch 12, wobei der Benutzereinrichtungs-Beglaubigungsserver (300) von der Benutzereinrichtung (200) den verschlüsselten Inhaltsschlüssel empfängt, der durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, nicht entschlüsselt werden kann, und der Benutzereinrichtungs-Beglaubigungsserver (300) zum Ladenserver (100) den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche entschlüsselt werden kann, wobei der Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, verwendet wird, und wobei, wenn der Belastungsprozess beendet ist, der Ladenserver (100) den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt wurde, welche durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, entschlüsselt werden kann, zur Benutzereinrichtung (200) überträgt.
  15. Inhaltslieferverfahren nach Anspruch 12, wobei der Benutzereinrichtungs-Beglaubigungsserver (300) vom Ladenserver (100) den verschlüsselten Inhaltsschlüssel empfängt, der durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, nicht entschlüsselt werden kann, und der Benutzereinrichtungs-Beglaubigungsserver (300) den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche unter Verwendung des Schlüssels entschlüsselt werden kann, der in der Benutzereinrichtung (200) gespeichert ist, zum Ladenserver (100) überträgt; und wobei, wenn der Belastungsprozess beendet ist, der Ladenserver (100) den verschlüsselten Inhaltsschlüssel, der in die Form umgesetzt ist, welche durch den Schlüssel, der in der Benutzereinrichtung (200) gespeichert ist, entschlüsselt werden kann, zur Benutzereinrichtung (200) überträgt.
  16. Inhaltslieferverfahren nach Anspruch 12, wobei die Inhaltserwerbs-Anforderungsdaten, welche durch die Benutzereinrichtung (200) erzeugt werden und welche zum Ladenserver (100) übertragen werden, eine Laden-ID aufweisen, welche einen Laden identifiziert, zu dem die Anforderungsdaten übertragen werden; eine Transaktion-ID, welche eine Inhaltstransaktion identifiziert; eine Inhalts-ID, welche einen Erwerbsanforderungsinhalt identifiziert; und eine digitale Signatur der Benutzereinrichtung (200); und wobei der Ladenserver (100) prüft, ob Datenintegrität beibehalten ist, indem die Datensignatur, welche in die Inhaltserwerbs-Anforderungsdaten geschrieben ist, verifiziert wird; einen neuen Eintrag der Ladenverwaltungsdatenbank auf Basis der Inhaltserwerbs-Anforderungsdaten hinzufügt; Statusinformation, welche einen Prozessstatus zeigen, der mit dem hinzugefügten Eintrag verknüpft ist, setzt; und einen Übergang einer Prozesssequenz, die mit dem Laden verknüpft ist, auf Basis der Statusinformation verwaltet.
  17. Inhaltslieferverfahren nach Anspruch 12, wobei, wenn der Benutzereinrichtungs-Beglaubigungsserver (300) eine Schlüsselumsetzungsanforderung von der Benutzereinrichtung (200) oder den Ladenserver (100) empfängt, der Benutzereinrichtungs-Beglaubigungsserver (300) einen neuen Eintrag einer Datenbank hinzufügt, welche durch den Benutzereinrichtungs-Beglaubigungsserver (300) verwaltet wird, Statusinformation setzt, welche einen Prozessstatus zeigt, die mit dem hinzugefügten Eintrag verknüpft ist, und einen Übergang einer Prozesssequenz, die mit dem Benutzereinrichtungs-Beglaubigungsserver (300) verknüpft ist, auf Basis der Statusinformation verwaltet.
  18. Datenträger, der computer-lesbare Instruktionen umfasst, welche, wenn diese durch den Computer ausgeführt werden, veranlassen, dass der Computer das Inhaltslieferverfahren gemäß einem der Ansprüche 12 bis 17 ausführt.
DE60132552T 2000-11-01 2001-11-01 Inhaltsliefersystem und Inhaltslieferverfahren Expired - Lifetime DE60132552T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000334183A JP2002141895A (ja) 2000-11-01 2000-11-01 コンテンツ配信システムおよびコンテンツ配信方法
JP2000334183 2000-11-01
PCT/JP2001/009607 WO2002037746A1 (fr) 2000-11-01 2001-11-01 Systeme de distribution de contenu et procede de distribution de contenu

Publications (2)

Publication Number Publication Date
DE60132552D1 DE60132552D1 (de) 2008-03-13
DE60132552T2 true DE60132552T2 (de) 2009-01-22

Family

ID=18810146

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60132552T Expired - Lifetime DE60132552T2 (de) 2000-11-01 2001-11-01 Inhaltsliefersystem und Inhaltslieferverfahren

Country Status (10)

Country Link
US (1) US8538887B2 (de)
EP (1) EP1237321B1 (de)
JP (1) JP2002141895A (de)
KR (1) KR20030004312A (de)
CN (1) CN100512095C (de)
AU (1) AU2002215209A1 (de)
DE (1) DE60132552T2 (de)
HK (1) HK1050776B (de)
TW (1) TW546937B (de)
WO (1) WO2002037746A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013101834A1 (de) * 2013-02-25 2014-08-28 Bundesdruckerei Gmbh Attributnetzwerkentität zur Bereitstellung von personenbezogenen Attributen für die Erstellung von digitalen Attributzertifikaten
US20230135598A1 (en) * 2011-02-23 2023-05-04 Catch Media, Inc. E-used digital assets and post-acquisition revenue

Families Citing this family (131)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7149514B1 (en) 1997-07-30 2006-12-12 Bellsouth Intellectual Property Corp. Cellular docking station
US7730300B2 (en) * 1999-03-30 2010-06-01 Sony Corporation Method and apparatus for protecting the transfer of data
US7389531B2 (en) * 2000-06-16 2008-06-17 Entriq Inc. Method and system to dynamically present a payment gateway for content distributed via a network
AU6985601A (en) * 2000-06-16 2002-01-02 Mindport Usa Methods and systems to distribute content via a network utilizing distributed conditional access agents and secure agents, and to perform digital rights management (drm)
US7237255B2 (en) * 2000-06-16 2007-06-26 Entriq Inc. Method and system to dynamically present a payment gateway for content distributed via a network
US7991697B2 (en) * 2002-12-16 2011-08-02 Irdeto Usa, Inc. Method and system to digitally sign and deliver content in a geographically controlled manner via a network
US7107462B2 (en) * 2000-06-16 2006-09-12 Irdeto Access B.V. Method and system to store and distribute encryption keys
US6961858B2 (en) * 2000-06-16 2005-11-01 Entriq, Inc. Method and system to secure content for distribution via a network
US7404084B2 (en) * 2000-06-16 2008-07-22 Entriq Inc. Method and system to digitally sign and deliver content in a geographically controlled manner via a network
US7228427B2 (en) * 2000-06-16 2007-06-05 Entriq Inc. Method and system to securely distribute content via a network
EP2378733B1 (de) * 2000-11-10 2013-03-13 AOL Inc. System zur Verteilung und Abonnierung von digitalen Inhalten
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
JP4783992B2 (ja) * 2001-03-28 2011-09-28 凸版印刷株式会社 属性証明書管理サーバ、属性証明書管理方法およびそのプログラム
WO2002085023A1 (fr) * 2001-04-12 2002-10-24 Webstream Corporation Systeme et procede de gestion de distribution en continu
US20050038705A1 (en) * 2001-11-01 2005-02-17 Tokuhiro Yamada Pos system, pos server, shop terminal, sales managing method, and recording medium
US20030112977A1 (en) * 2001-12-18 2003-06-19 Dipankar Ray Communicating data securely within a mobile communications network
CA2642320A1 (en) * 2002-03-20 2003-09-25 Research In Motion Limited System and method for supporting multiple certificate status providers on a mobile communication device
US8423763B2 (en) * 2002-03-20 2013-04-16 Research In Motion Limited System and method for supporting multiple certificate status providers on a mobile communication device
JP2003316913A (ja) * 2002-04-23 2003-11-07 Canon Inc サービス提供方法、情報処理システム、その制御プログラム及び記憶媒体
US20060206725A1 (en) * 2002-04-23 2006-09-14 Michael Milgramm System and method for platform-independent biometrically verified secure information transfer and access control
US7099331B2 (en) * 2002-04-29 2006-08-29 The Boeing Company System and methods for monitoring a network workload
US7181010B2 (en) * 2002-05-24 2007-02-20 Scientific-Atlanta, Inc. Apparatus for entitling remote client devices
US7861082B2 (en) 2002-05-24 2010-12-28 Pinder Howard G Validating client-receivers
US8380879B2 (en) 2002-07-15 2013-02-19 At&T Intellectual Property I, L.P. Interface devices for facilitating communications between devices and communications networks
US8554187B2 (en) 2002-07-15 2013-10-08 At&T Intellectual Property I, L.P. Apparatus and method for routing communications between networks and devices
US8416804B2 (en) 2002-07-15 2013-04-09 At&T Intellectual Property I, L.P. Apparatus and method for providing a user interface for facilitating communications between devices
US8533070B2 (en) * 2002-07-15 2013-09-10 At&T Intellectual Property I, L.P. Apparatus and method for aggregating and accessing data according to user information
US8526466B2 (en) * 2002-07-15 2013-09-03 At&T Intellectual Property I, L.P. Apparatus and method for prioritizing communications between devices
US8543098B2 (en) 2002-07-15 2013-09-24 At&T Intellectual Property I, L.P. Apparatus and method for securely providing communications between devices and networks
JP2004056620A (ja) 2002-07-23 2004-02-19 Sony Corp 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム
US7706540B2 (en) * 2002-12-16 2010-04-27 Entriq, Inc. Content distribution using set of session keys
JP3956130B2 (ja) * 2002-12-25 2007-08-08 インターナショナル・ビジネス・マシーンズ・コーポレーション 認証装置、認証システム、認証方法、プログラム、及び記録媒体
US7801820B2 (en) * 2003-01-13 2010-09-21 Sony Corporation Real-time delivery of license for previously stored encrypted content
WO2004068358A1 (ja) * 2003-01-27 2004-08-12 Matsushita Electric Industrial Co., Ltd. デジタルコンテンツ配信システム
US7318236B2 (en) * 2003-02-27 2008-01-08 Microsoft Corporation Tying a digital license to a user and tying the user to multiple computing devices in a digital rights management (DRM) system
JP2004265139A (ja) * 2003-02-28 2004-09-24 Nec Corp コンテンツ実行システム、携帯情報端末、外部機器、コンテンツ実行方法及びプログラム
KR100755683B1 (ko) 2003-05-07 2007-09-05 삼성전자주식회사 컨텐츠 제공자 인증 및 컨텐츠 무결성 보장 방법
US7440574B2 (en) * 2003-06-11 2008-10-21 Hewlett-Packard Development Company, L.P. Content encryption using programmable hardware
KR101020913B1 (ko) * 2003-07-28 2011-03-09 소니 주식회사 데이터 송신 장치, 데이터 사용 인정 방법, 데이터 수신 장치 및 방법, 및 기록 매체
US8015399B2 (en) * 2003-09-30 2011-09-06 Ricoh Company, Ltd. Communication apparatus, communication system, certificate transmission method and program
WO2005034421A2 (en) * 2003-10-03 2005-04-14 Matsushita Electric Industrial Co., Ltd. Information transfer system, encryption device, and decryption device using elliptic curve
US20050076214A1 (en) * 2003-10-03 2005-04-07 Thomas David Andrew Method and system for file downloads to portable computing devices
US7979911B2 (en) * 2003-10-08 2011-07-12 Microsoft Corporation First computer process and second computer process proxy-executing code from third computer process on behalf of first process
US8103592B2 (en) 2003-10-08 2012-01-24 Microsoft Corporation First computer process and second computer process proxy-executing code on behalf of first process
US7788496B2 (en) * 2003-10-08 2010-08-31 Microsoft Corporation First computer process and second computer process proxy-executing code on behalf thereof
US7788480B2 (en) * 2003-11-05 2010-08-31 Cisco Technology, Inc. Protected dynamic provisioning of credentials
JP2005175992A (ja) * 2003-12-12 2005-06-30 Mitsubishi Electric Corp 証明書配布システムおよび証明書配布方法
US7924709B2 (en) 2004-05-12 2011-04-12 Hewlett-Packard Development Company, L.P. Access control of resources using tokens
US20050273629A1 (en) * 2004-06-04 2005-12-08 Vitalsource Technologies System, method and computer program product for providing digital rights management of protected content
KR100490863B1 (ko) * 2004-06-09 2005-05-24 디지아나 주식회사 디지털 멀티미디어 방송에서의 저작권료 과금처리 시스템및 과금처리방법
JP4671783B2 (ja) * 2004-07-20 2011-04-20 株式会社リコー 通信システム
EP1621955B1 (de) * 2004-07-30 2017-06-07 Irdeto B.V. Verfahren und Vorrichtung zum Zugriff auf einen verschlüsselten Inhalt
EP1621956B1 (de) * 2004-07-30 2017-05-31 Irdeto B.V. Bereitstellungsverfahren von digitalen Rechten
US8402283B1 (en) 2004-08-02 2013-03-19 Nvidia Corporation Secure content enabled drive system and method
US8359332B1 (en) 2004-08-02 2013-01-22 Nvidia Corporation Secure content enabled drive digital rights management system and method
US7630499B2 (en) * 2004-08-18 2009-12-08 Scientific-Atlanta, Inc. Retrieval and transfer of encrypted hard drive content from DVR set-top boxes
US7602914B2 (en) * 2004-08-18 2009-10-13 Scientific-Atlanta, Inc. Utilization of encrypted hard drive content by one DVR set-top box when recorded by another
US20060051061A1 (en) * 2004-09-09 2006-03-09 Anandpura Atul M System and method for securely transmitting data to a multimedia device
JP4615276B2 (ja) * 2004-09-21 2011-01-19 シャープ株式会社 コンテンツデータ配信装置およびコンテンツデータ配信システム
EP1670172A1 (de) * 2004-12-10 2006-06-14 Nagra France Sarl Verfahren und Vorrichtung zur Verschlüsselung mittels eines Proxy
US8875309B1 (en) 2004-12-15 2014-10-28 Nvidia Corporation Content server and method of providing content therefrom
US8751825B1 (en) 2004-12-15 2014-06-10 Nvidia Corporation Content server and method of storing content
US8788425B1 (en) 2004-12-15 2014-07-22 Nvidia Corporation Method and system for accessing content on demand
US8346807B1 (en) 2004-12-15 2013-01-01 Nvidia Corporation Method and system for registering and activating content
US7860802B2 (en) * 2005-02-01 2010-12-28 Microsoft Corporation Flexible licensing architecture in content rights management systems
US8893299B1 (en) * 2005-04-22 2014-11-18 Nvidia Corporation Content keys for authorizing access to content
US8091142B2 (en) * 2005-04-26 2012-01-03 Microsoft Corporation Supplementary trust model for software licensing/commercial digital distribution policy
US7933838B2 (en) * 2005-05-17 2011-04-26 Zhishen Ye Apparatus for secure digital content distribution and methods therefor
US9213992B2 (en) * 2005-07-08 2015-12-15 Microsoft Technology Licensing, Llc Secure online transactions using a trusted digital identity
JP4783112B2 (ja) * 2005-10-11 2011-09-28 株式会社日立製作所 署名履歴保管装置
US8364949B1 (en) * 2005-11-01 2013-01-29 Juniper Networks, Inc. Authentication for TCP-based routing and management protocols
US8145914B2 (en) 2005-12-15 2012-03-27 Microsoft Corporation Client-side CAPTCHA ceremony for user verification
KR100834752B1 (ko) * 2006-02-17 2008-06-05 삼성전자주식회사 컨텐츠의 라이센스를 전달하기 위한 장치 및 방법
US8208796B2 (en) * 2006-04-17 2012-06-26 Prus Bohdan S Systems and methods for prioritizing the storage location of media data
US9277295B2 (en) * 2006-06-16 2016-03-01 Cisco Technology, Inc. Securing media content using interchangeable encryption key
US9137480B2 (en) 2006-06-30 2015-09-15 Cisco Technology, Inc. Secure escrow and recovery of media device content keys
US7978720B2 (en) * 2006-06-30 2011-07-12 Russ Samuel H Digital media device having media content transfer capability
US20080022304A1 (en) * 2006-06-30 2008-01-24 Scientific-Atlanta, Inc. Digital Media Device Having Selectable Media Content Storage Locations
EP1876549A1 (de) * 2006-07-07 2008-01-09 Swisscom Mobile AG Verfahren und System zur verschlüsselten Datenübertragung
JP4921899B2 (ja) * 2006-09-07 2012-04-25 日本放送協会 暗号化装置、復号化装置及び暗号鍵更新方法
KR100772534B1 (ko) * 2006-10-24 2007-11-01 한국전자통신연구원 공개키 기반 디바이스 인증 시스템 및 그 방법
FR2909243B1 (fr) * 2006-11-23 2009-02-06 Sagem Comm Procede et systeme de controle du verrouillage / deverrouillage des fonctions d'acces reseau d'un terminal a fonctions multiples.
JP4787730B2 (ja) * 2006-12-22 2011-10-05 Necインフロンティア株式会社 無線lan端末及び無線lanシステム
US20080243696A1 (en) * 2007-03-30 2008-10-02 Levine Richard B Non-repudiation for digital content delivery
US8108680B2 (en) * 2007-07-23 2012-01-31 Murray Mark R Preventing unauthorized poaching of set top box assets
US7949133B2 (en) * 2007-09-26 2011-05-24 Pinder Howard G Controlled cryptoperiod timing to reduce decoder processing load
KR100925327B1 (ko) * 2007-11-26 2009-11-04 한국전자통신연구원 다운로더블 제한 수신 시스템에서 호스트의 망 이동 여부감지 방법 및 그 장치
WO2009148370A1 (en) * 2008-06-05 2009-12-10 Telefonaktiebolaget Lm Ericsson (Publ) A method and equipment for providing unicast preparation for iptv
US20090313648A1 (en) * 2008-06-12 2009-12-17 Microsoft Corporation Audio/video distribution apparatus
US20100131347A1 (en) * 2008-11-24 2010-05-27 Research In Motion Limited Electronic payment system using mobile wireless communications device and associated methods
US20100306083A1 (en) * 2009-05-26 2010-12-02 Neurotic Media Llc Systems and methods for the confirmation of download delivery and its use within a clearinghouse service
US10284679B2 (en) * 2010-01-07 2019-05-07 Microsoft Technology Licensing, Llc Maintaining privacy during personalized content delivery
DE102010027018A1 (de) * 2010-07-08 2012-01-12 Bundesdruckerei Gmbh Verfahren zur sicheren Datenübertragung und Entschlüsselung für die Kommunikation via Internet
GB2484893A (en) * 2010-10-15 2012-05-02 Samsung Electronics Co Ltd Validation and fast channel change for broadcast system
US9264235B2 (en) * 2010-11-16 2016-02-16 Blackberry Limited Apparatus, system and method for verifying server certificates
CN102111192B (zh) * 2011-03-03 2014-09-10 中兴通讯股份有限公司 一种蓝牙连接方法及系统
WO2012162739A1 (en) * 2011-05-31 2012-12-06 Piratec Pty Ltd System and method for encrypted media distribution
US9639825B1 (en) * 2011-06-14 2017-05-02 Amazon Technologies, Inc. Securing multifactor authentication
US9628875B1 (en) 2011-06-14 2017-04-18 Amazon Technologies, Inc. Provisioning a device to be an authentication device
GB201110492D0 (en) * 2011-06-21 2011-08-03 Irdeto Corporate Bv Receiver software protection
US20130205133A1 (en) * 2012-02-07 2013-08-08 David K. Hess Strongly authenticated, third-party, out-of-band transactional authorization system
AU2013200916B2 (en) * 2012-02-20 2014-09-11 Kl Data Security Pty Ltd Cryptographic Method and System
FR2988884A1 (fr) * 2012-03-29 2013-10-04 France Telecom Procede et systeme de fourniture d'un ticket numerique pour l'acces a au moins un objet numerique
KR101960062B1 (ko) * 2012-08-24 2019-03-19 삼성전자주식회사 콘텐트 공유 방법 및 장치
US9208528B2 (en) 2012-10-16 2015-12-08 American Express Travel Related Services Company, Inc. Systems and methods for expense management
US20140108210A1 (en) * 2012-10-16 2014-04-17 American Express Travel Related Services Company, Inc. Systems and Methods for Expense Management
KR101538424B1 (ko) 2012-10-30 2015-07-22 주식회사 케이티 결제 및 원격 모니터링을 위한 사용자 단말
US20140122302A1 (en) * 2012-11-01 2014-05-01 At&T Mobility Ii Llc Customized Data Delivery
CN103905187B (zh) * 2012-12-26 2018-04-03 厦门雅迅网络股份有限公司 一种基于内容的网络通信加密方法
US20140283143A1 (en) * 2013-03-12 2014-09-18 Harnischfeger Technologies, Inc. Software application for managing product manuals
CA2918066A1 (en) 2013-07-15 2015-01-22 Visa International Service Association Secure remote payment transaction processing
CN105684010B (zh) 2013-08-15 2021-04-20 维萨国际服务协会 使用安全元件的安全远程支付交易处理
RU2663476C2 (ru) 2013-09-20 2018-08-06 Виза Интернэшнл Сервис Ассосиэйшн Защищенная обработка удаленных платежных транзакций, включающая в себя аутентификацию потребителей
DE102013019487A1 (de) * 2013-11-19 2015-05-21 Giesecke & Devrient Gmbh Verfahren, Vorrichtungen und System zur Online-Datensicherung
US9509509B2 (en) 2014-02-06 2016-11-29 Dropbox, Inc. Random identifier generation for offline database
US9843446B2 (en) * 2014-10-14 2017-12-12 Dropbox, Inc. System and method for rotating client security keys
US9792604B2 (en) * 2014-12-19 2017-10-17 moovel North Americ, LLC Method and system for dynamically interactive visually validated mobile ticketing
CN105721413B (zh) * 2015-09-08 2018-05-29 腾讯科技(深圳)有限公司 业务处理方法及装置
EP3347868A4 (de) * 2015-09-09 2019-04-17 Mastercard International Incorporated Verfahren und system zur intelligenten speicherung und verteilung von medienschlüsseln zur inhaltsbereitstellung
KR101981203B1 (ko) * 2015-09-23 2019-05-22 주식회사 엔터플 사용자 계정 동기화를 이용한 디지털 상품 제공 방법 및 장치
JP6449131B2 (ja) * 2015-10-23 2019-01-09 Kddi株式会社 通信装置、通信方法、およびコンピュータプログラム
JP2017107357A (ja) * 2015-12-09 2017-06-15 セイコーエプソン株式会社 制御装置、制御装置の制御方法、サーバー、及び、ネットワークシステム
JP6471112B2 (ja) 2016-02-29 2019-02-13 Kddi株式会社 通信システム、端末装置、通信方法、及びプログラム
US10115092B1 (en) * 2016-03-04 2018-10-30 Sprint Communications Company L.P. Service composition in a mobile communication device application framework
US11146397B2 (en) * 2017-10-31 2021-10-12 Micro Focus Llc Encoding abelian variety-based ciphertext with metadata
US11509637B2 (en) * 2018-12-27 2022-11-22 Silver Rocket Data Technology (Shanghai) Co., Ltd. Data transmission method, system and platform using blockchain, and storage medium
JP2020108070A (ja) * 2018-12-28 2020-07-09 株式会社東芝 通信制御装置および通信制御システム
US11070533B2 (en) * 2019-10-10 2021-07-20 Forcepoint Llc Encrypted server name indication inspection
US11526928B2 (en) * 2020-02-03 2022-12-13 Dell Products L.P. System and method for dynamically orchestrating application program interface trust
JP7068515B1 (ja) 2021-01-15 2022-05-16 株式会社メディアドゥ 共同視聴システム、情報処理装置、共同視聴方法及び共同視聴プログラム
US20230394445A1 (en) * 2022-06-02 2023-12-07 Videomentum, Inc. Digital media distribution system and uses thereof

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61221880A (ja) * 1985-03-27 1986-10-02 Fujitsu Ltd 会話型システムの会話手順制御方式
JPH04139576A (ja) * 1990-10-01 1992-05-13 Hitachi Ltd 住民票自動発行システム
JPH09223095A (ja) * 1996-02-16 1997-08-26 Fuji Xerox Co Ltd サーバ装置
US5673316A (en) 1996-03-29 1997-09-30 International Business Machines Corporation Creation and distribution of cryptographic envelope
JP3427933B2 (ja) * 1997-11-28 2003-07-22 インターナショナル・ビジネス・マシーンズ・コーポレーション クライアント・サーバ・システムにおける長期トランザクションの処理
US5918217A (en) * 1997-12-10 1999-06-29 Financial Engines, Inc. User interface for a financial advisory system
JPH11191092A (ja) 1997-12-26 1999-07-13 Hitachi Ltd 業務アプリケーションのステータスを管理するシステム
US6226618B1 (en) * 1998-08-13 2001-05-01 International Business Machines Corporation Electronic content delivery system
JP2000231590A (ja) * 1998-12-10 2000-08-22 Taikodo:Kk 情報提供装置、情報端末装置、情報提供方法、情報利用方法および記録媒体

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230135598A1 (en) * 2011-02-23 2023-05-04 Catch Media, Inc. E-used digital assets and post-acquisition revenue
DE102013101834A1 (de) * 2013-02-25 2014-08-28 Bundesdruckerei Gmbh Attributnetzwerkentität zur Bereitstellung von personenbezogenen Attributen für die Erstellung von digitalen Attributzertifikaten

Also Published As

Publication number Publication date
HK1050776A1 (en) 2003-07-04
CN100512095C (zh) 2009-07-08
TW546937B (en) 2003-08-11
HK1050776B (zh) 2008-04-25
WO2002037746A1 (fr) 2002-05-10
AU2002215209A1 (en) 2002-05-15
US8538887B2 (en) 2013-09-17
EP1237321A4 (de) 2006-11-15
KR20030004312A (ko) 2003-01-14
JP2002141895A (ja) 2002-05-17
DE60132552D1 (de) 2008-03-13
CN1394408A (zh) 2003-01-29
EP1237321B1 (de) 2008-01-23
US20020099663A1 (en) 2002-07-25
EP1237321A1 (de) 2002-09-04

Similar Documents

Publication Publication Date Title
DE60132552T2 (de) Inhaltsliefersystem und Inhaltslieferverfahren
CN109155036B (zh) 用于经由区块链控制资产有关的动作的系统及方法
KR20020067062A (ko) 콘텐츠 분배 시스템 및 콘텐츠 분배 방법
KR102147083B1 (ko) 블록체인 기술을 이용한 전자문서 유효성 검증 시스템 및 그것의 제어 방법
DE60034159T2 (de) Verfahren zur elektronischen speicherung und wiedergewinnung von authentifizierten originaldokumenten
JP4583434B2 (ja) 保険システム
US8606673B1 (en) Escrowing digital property in a secure information vault
DE69534490T2 (de) Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem
US20070073624A1 (en) Content transaction system and method, and program providing medium therefor
CN108781161A (zh) 用于控制和分发数字内容的区块链实现的方法
US20020038318A1 (en) System and method for managing transferable records
KR20200046260A (ko) 블록체인 기반의 디지털 콜렉터블 카드 관리 장치 및 방법
CN112435006A (zh) 一种应用区块链技术的专利全过程管理方法、系统及设备
TW202338686A (zh) 資訊處理系統、方法及程式
KR102220599B1 (ko) 통합 인증을 위한 블록체인 시스템 및 그것의 제어 방법
JP2002140534A (ja) ログ管理構成を持つコンテンツ配信システムおよびコンテンツ配信方法
JP2004220546A (ja) 電子的利用権の管理サーバ、端末装置、管理システムおよび管理方法
TW202336667A (zh) 資訊處理系統、方法及程式
DE10248006A1 (de) Verfahren und Vorrichtung zum Verschlüsseln von Daten
KR20050059347A (ko) 디지털 만화 콘텐츠 보호 및 유통을 위한 피투피통합구현방법
DE102006017911B4 (de) Elektronisches Bezahlsystem und Verfahren zum Ausführen eines Bezahlvorgangs
JP2002139998A (ja) 属性確認処理を含むデータ通信システムおよび属性確認処理を含むデータ通信方法
JP2023122854A (ja) 情報処理システム、方法及びプログラム
JP2001256355A (ja) コンテンツ利用管理システムおよびコンテンツ利用管理方法、並びにプログラム提供媒体
KR20230089769A (ko) Nft 발행을 적용한 창작자의 저작물 이력 관리 시스템

Legal Events

Date Code Title Description
8381 Inventor (new situation)

Inventor name: YOSHINO, KENJI, TOKYO 141-0001, JP

Inventor name: ISHIBASHI, YOSHIHITO, TOKYO 141-0001, JP

Inventor name: AKISHITA, TORU, TOKYO 141-0001, JP

Inventor name: SHIRAI, TAIZO, TOKYO 141-0001, JP

Inventor name: OKA, MAKOTO, TOKYO 141-0001, JP

Inventor name: YOSHIMORI, MASAHARU, TOKYO 107-0052, JP

8364 No opposition during term of opposition