JP2003330365A - コンテンツ配布/受信方法 - Google Patents

コンテンツ配布/受信方法

Info

Publication number
JP2003330365A
JP2003330365A JP2002134507A JP2002134507A JP2003330365A JP 2003330365 A JP2003330365 A JP 2003330365A JP 2002134507 A JP2002134507 A JP 2002134507A JP 2002134507 A JP2002134507 A JP 2002134507A JP 2003330365 A JP2003330365 A JP 2003330365A
Authority
JP
Japan
Prior art keywords
content
program
server
key
reception
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002134507A
Other languages
English (en)
Inventor
Hiroshi Isozaki
宏 磯崎
Mikio Hashimoto
幹生 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002134507A priority Critical patent/JP2003330365A/ja
Priority to KR1020030028924A priority patent/KR100615021B1/ko
Priority to CNB031491529A priority patent/CN1266875C/zh
Priority to EP03252895A priority patent/EP1361497A3/en
Priority to US10/434,082 priority patent/US20040030911A1/en
Publication of JP2003330365A publication Critical patent/JP2003330365A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

(57)【要約】 【課題】 配布者側が安心してコンテンツを配布でき、
受信者側が信頼できるコンテンツを受信できるようにす
ることである。 【解決手段】 ファイル受信装置は、プロセッサ秘密鍵
を内蔵した耐タンパプロセッサを有している。ファイル
受信装置には、プログラム暗号化鍵で暗号化されたコン
テンツ受信プログラム及び認証秘密鍵が搭載されると共
に、それらを復号化するためのプログラム復号化鍵がプ
ロセッサ秘密鍵に対応するプロセッサ公開鍵で暗号化さ
れて搭載されている。コンテンツ受信要求に係るコンテ
ンツがその著作権者を保護すべきとの属性を有している
場合(S11)、ファイル受信装置までの通信暗号化処
理を行い(S12)、ファイル受信装置が有する認証秘
密鍵に対応した認証公開鍵に基づいて、受信プログラム
を認証し(S13)、認証に成功した場合、受信プログ
ラムを信頼できると判定し(S14)、コンテンツ受信
要求に係るコンテンツを送信する(S16)。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、コンテンツ配布/
受信方法に関し、特に、プロセッサ秘密鍵を内蔵する耐
タンパプロセッサを採用した装置を利用したコンテンツ
配布/受信方法に関する。
【0002】
【従来の技術】近年のコンピュータネットワークの普及
によって、提供者側は、ソフトウェアや音楽データなど
のデジタルコンテンツを、インターネットなどのネット
ワークを介して劣化なく安価に配布することが可能にな
ってきた。
【0003】一方、同様に、利用者側は、それらのデジ
タルコンテンツを簡単にダウンロード等することが可能
になった。
【0004】
【発明が解決しようとする課題】<コンテンツ提供者に
よるコンテンツの配布という視点>上述のようなデジタ
ルコンテンツは品質を劣化させることなく安価に複製す
ることが可能な性質ゆえに、コンテンツがひとたび利用
者の手に渡ってしまえば、著作権者の許可を得ない不正
コピーを防いだり、料金徴収を伴うライセンス制御を課
すことは容易ではない。また、そのコンテンツを入手し
た利用者が、あたかもそのコンテンツの作者であるよう
に振舞って、当該コンテンツを利用した別のコンテンツ
を作成し、不正に2次利用することも防止は難しい。と
りわけ、さまざまなプログラムを利用することができる
パーソナルコンピュータ(PC)やPDA(Personal Di
gital Assistant)といったオープンシステムの機器にお
いて、その防止は困難である。現在の技術において、こ
れらの機器でリバースエンジニアリングと呼ばれる利用
者によるプログラムの解析を防ぐことは困難なためであ
る。
【0005】インターネットによる情報の配布では、W
ebブラウザを使うことが広く普及している。従来のW
ebブラウザでは、ネットワーク経由で配布される情報
の秘密を保護するために SSL(Secure Socket Layer)
と呼ばれる暗号機構が広く使われている。ただ、この機
構はサーバ側からの情報の配送を特定の端末にのみに制
限すること、及び端末が閲覧している情報を他の端末か
ら特定されないことで端末側のプライバシを保護するこ
とはできるものの、配送された情報は、平文の形式で端
末に保存されるため、その情報を無制限に複製、2次利
用することができてしまう。仮にブラウザ側に暗号技術
を応用した不正コピー防止の機構を設けたとしても、P
CやPDAのソフトウェアではリバースエンジニアリン
グによりその機構が解析され、解読されてしまうことを
防止しがたい。
【0006】もちろん、サーバで情報に2次的な暗号化
を施すことにより、配送された情報の複製利用を制限す
ることはできるが、そのようにすると、一方、ブラウザ
において情報の再生利用ができなくなり、利便性が低下
してしまう。
【0007】コンテンツの不正な2次利用を防ぐため、
コンテンツ作成者がコンテンツ自体に不可分な形で著作
権表示を含む情報を埋め込んでおき、それを不正コピー
の追跡や利用制御に使う手法が電子透かし(Digital Wat
ermark)として知られている。サーバ側で情報に電子透
かしを埋め込むことにより、不正2次利用された情報に
おいて本来の著作権者を特定することは現在の技術で可
能である。
【0008】だが、情報の不正利用を根本的に防止する
ためには、単に不正2次利用を検出するだけでなく、情
報が不正に2次利用された経路を特定し、適切な対策を
とることが不可欠である。しかしながら、現在の機構で
は経路を特定できるような情報をコンテンツに埋め込む
ことは、次の2つの理由により難しい。
【0009】1つはクライアント側における信頼できる
経路特定情報埋め込み手段がないことである。現在の情
報配信機構においても、サーバ側が利用者を特定し、利
用者情報を電子透かしなどの手段でコンテンツに埋め込
むことは可能である。しかし、配信数が増えるにつれ、
サーバの負荷は大きくなるため、配信コストが高くなっ
てしまう。キャッシュサーバなどのサーバの負荷軽減手
段も使えなくなる。
【0010】もう1つは、利用者のプライバシ保護の観
点である。上述の現在の情報配信の機構においては、サ
ーバ側から端末を確実に特定するには、利用者の個人情
報を特定することに頼らざるをえないため、サーバ側が
情報を配信した個人を特定することとなり、利用者側は
プライバシ情報流出の懸念があり、利用の障壁となる。
一方、サーバ側では収集した利用者情報の適切な管理を
怠った場合、利用者情報の流出を招き、利用者との守秘
義務違反の責任を負うリスクがある。
【0011】一方、マルチベンダのオープンシステムに
おいて、アプリケーションプログラムのプログラムや処
理するデータの秘密を守ることのできるシステムが提案
されている(特開2001-230770(P2001-230770A))。この技
術の適用により、端末側プログラムにおける不正複製を
防止して、配信された情報が正しく取り扱われることを
保証できる可能性がある(このようなソフトウェアを保
護ソフトウェアと呼ぶ)。ただし、仮にこのようなソフ
トウェアが存在したとしても、従来からの端末側プログ
ラム(従来プログラム)がネットワーク上に混在していた
場合、サーバはこれらの端末ソフトウェアを区別して、
著作権保護された情報は保護ソフトウェアにのみ配信
し、従来ソフトウェアには配信しないことが必要であ
る。
【0012】以上を要約すると、従来においては、サー
バ側が複製不能と指示した情報でも、端末側のソフトウ
ェアの処理過程において、確実に複製を防止できるよう
な機構がなかった。また、仮に複製を確実防止できる端
末ソフトウェア(保護ソフトウェア)があったとして
も、サーバがそれ以外の端末ソフトウェア(従来ソフト
ウェア)と保護ソフトウェアとをネットワーク上の認証
により区別して、著作権保護された情報は保護ソフトウ
ェアにのみ配布するような機構が存在しなかった。
【0013】また、かかる問題点に加えて、配信したコ
ンテンツに経路特定情報を埋め込むことができる安全か
つ効率的な手段がなかった。更に具体的には、経路特定
情報の埋め込みを端末側において確実に行うことがで
き、かつその埋め込みに際し、利用者のプライバシ情報
をサーバ側に開示する必要のない方法が存在しなかっ
た。
【0014】ところで、コンテンツ提供者によるコンテ
ンツの配布の形態の変形態様として、キャッシュサーバ
を活用する形態がある。キャッシュサーバを利用するこ
とにより、大量のコンテンツを配布することが可能にな
るだけでなく、キャッシュサーバに負荷を分散させるこ
とで、コンテンツ配布サーバに要求される処理能力を小
さく抑え、結果としてコンテンツ作成者の負担を抑える
ことになり、コンテンツ作成者は安価に配布サーバを構
築できる。
【0015】従来においては、キャッシュサーバを利用
してコンテンツを配布する際、コンテンツ提供元は、キ
ャッシュサーバがライセンスなどの制限を守る利用者の
みに配布されているか確実に確認することができない。
また、キャッシュサーバが悪意ある管理者によって管理
されていた場合、コンテンツ提供元の希望に反して、コ
ンテンツが不正に2次コピーされて不特定多数の利用者
に配布されることを未然に防ぐことはできなかった。更
に、利用者個別のライセンス管理を行うには、利用者と
コンテンツ配布元の間で認証処理と顧客管理処理が必要
である。この処理をキャッシュサーバに代行させる場合
にも、同様にコンテンツ提供元を倫理的に信頼しなけれ
ばならない。
【0016】また、キャッシュサーバにウィルスチェッ
クプログラムがインストールされている場合、そのウィ
ルスチェックプログラムはチェックのために一時的にコ
ンテンツを復号化する必要があるが、悪意のある管理者
によりそのウィルスチェックプログラムがコンテンツを
攻撃するように操作された場合、復号化されたコンテン
ツはかかる攻撃に対して無防備である。
【0017】<コンテンツ利用者によるコンテンツの取
得という視点>一方、コンテンツ利用者側からみると、
コンテンツ配布元が正当なサーバであるか、あるいは配
布されたコンテンツは改竄されていないかといった問題
がある。特に、近年Nimdaに代表されるようなコン
ピュータウィルスやトロイの木馬などのコンピュータネ
ットワークを介した攻撃により、サーバ管理者だけでな
く、一般の計算機利用者が被害を受ける場合が多い。ま
た、それらの攻撃により社会的な信頼度が高いサーバ上
の情報の一部が改変され、その情報を閲覧した利用者が
被害をうける、いわば間接的な攻撃を受ける場合も目立
つようになってきている。従って、サーバ管理者だけで
なく、利用者がネットワークを介してサーバの安全性を
確実に評価し、その評価に基づいてサーバの利用を判断
し危険を回避することができれば、利用者にとって有益
である。
【0018】しかし、従来の技術で利用者側がコンテン
ツの安全性を確認するには以下のような問題がある。
【0019】コンテンツやアプリケーションの配布サー
ビスを提供するサーバにおいて、設定上のミスやソフト
ウェア上の欠陥が存在する場合、悪意ある利用者がその
サーバの内容を改変し、正当なアプリケーションやコン
テンツに見せかけて、利用者に対し、不当なアプリケー
ションやコンテンツをダウンロードさせることでウィル
スやトロイの木馬を混入させる危険性がある。
【0020】つまり、現状では、バッファオーバーフロ
ー攻撃などサーバ側のシステムプログラムやアプリケー
ションに内在する不具合により、たとえサーバが倫理的
に信頼できる管理者によって運営されていても、サーバ
が配布する情報が改変されたり、ウィルスが混入される
ことが避けられない。
【0021】ただし、上記の攻撃によって、ウィルスに
感染したサーバがネットワーク上に多数存在するとき、
サーバ利用者の計算機がウィルスの感染を回避する方法
として、サーバのプログラムが各種攻撃への対策を施さ
れたバージョンのものであることを確認できれば、既知
の手法による攻撃から安全であることが確かめられるは
ずである。
【0022】しかし、従来の技術では単純にサーバで動
作するプログラムのバージョン番号などを取得する機能
があるだけで、これらバージョン情報はウィルス作成者
がサーバプログラムを改変することにより、偽造するこ
とも容易であるため、信頼するに足る確認手段とはなり
えなかった。
【0023】以下、利用者側によるコンテンツの安全性
の確認という視点における従来の問題点を具体例で説明
する。図28から図31は、サーバプログラムなどの脆
弱性情報を公開及び提供するセキュリティ機関110、
サーバプログラムを配布するサーバプログラムベンダ1
20、悪意ある攻撃者130、コンテンツを配布する機
能をもつサーバ140、サーバ150、及びそれらサー
バ140,150の利用者160のそれぞれの動作を時
系列で示している。
【0024】図28は、サーバのバージョンチェックを
行わない従来のコンテンツ取得方法を示す図である。一
般的に、サーバプログラムに対するセキュリティ上の脆
弱性情報、特に問題点は、セキュリティ機関110から
勧告という形で広く告知・開示されることが多い。サー
バプログラムベンダ120は、それらの脆弱性情報に基
づいて、修正プログラムを作成し、サーバ管理者に対し
て例えばインターネットを利用して公開する。以下この
修正プログラムを修正パッチと呼ぶ。勿論、問題点をセ
キュリティ機関が一般に公開する前に、サーバベンダが
自主的に修正パッチを公開する場合もある。
【0025】サーバ利用者は、サーバプログラムベンダ
によって公開された修正パッチを自主的に入手し、自分
の管理するサーバに適用する。もちろん修正パッチの適
用は強制されるものではないため、現状では、必ずしも
すべてのサーバ管理者が最新の修正パッチを適用してい
るとは限らない。
【0026】図28に示す具体例において、サーバ14
0は修正パッチを適用し、サーバ150は修正パッチを
適用しなかったする。
【0027】一方で、悪意ある攻撃者は、公開された脆
弱性情報や、修正パッチを解析することで、サーバを攻
撃するための攻撃プログラムを作成し、サーバに対して
攻撃を行う。ここで、悪意ある攻撃者130がサーバ1
40及びサーバ150に攻撃を行ったとする。
【0028】修正パッチを適用したサーバ140はこの
攻撃を防ぐことができる。しかしながら、サーバ150
は修正パッチを適用していないため、攻撃者130によ
って乗っ取られてしまう危険性がある。この具体例で
は、サーバ150に対する攻撃は成功し、攻撃後にコン
テンツの内容を改変し、正当なコンテンツをウィルス付
きコンテンツに置き換えたものとする。
【0029】利用者160が、サーバ140,150の
コンテンツを利用しようとすると、利用者160は、サ
ーバ140からは正当なコンテンツを利用することがで
きる。しかしながら、サーバ150のコンテンツは、既
に攻撃者によってウィルス付きのコンテンツに改変され
ているため、利用者160は、ウィルスを含んだコンテ
ンツとは知らずに、サーバ150からコンテンツをダウ
ンロードしてしまい、利用者160のコンピュータがウ
ィルスに感染してしまう。
【0030】かかる観点から、図29に示す具体例にお
いては、利用者がコンテンツのダウンロードを行う前
に、サーバのバージョン番号を確認することでサーバが
改変されていないかを判断し、ウィルスを含んだコンテ
ンツをダウンロードすることを未然に防ぐ方法を示す。
【0031】セキュリティ上の欠陥があるサーバプログ
ラムのバージョン番号を0とする。ここで、サーバプロ
グラムに修正パッチを適用した場合、サーバのバージョ
ン番号は1になるものとする。
【0032】図28の例と異なる点は、サーバ利用者1
60は、自身のコンピュータにサーバチェックプログラ
ムをインストールし、ダウンロードを行う前にこのサー
バチェックプログラムを動作させ、修正パッチの適用さ
れたバージョン番号1のサーバに限り、そこからコンテ
ンツをダウンロードするという点である。
【0033】このように利用者160がサーバプログラ
ムをチェックした場合、修正パッチを適用したサーバ1
40は、バージョン番号が1であるため、利用者160
はそのサーバ140を正常利用する。この例では利用者
160はコンテンツをダウンロードする。一方、修正パ
ッチを適用していないサーバ150は、バージョン番号
が0のままであるため、利用者160はそこからはコン
テンツをダウンロードしない。このため、ウィルスの感
染を未然に防ぐことができる。
【0034】しかしながら、この方法でもウィルスの感
染を完全に防ぐことができない例を図30及び31に示
す。
【0035】一般に修正パッチは広く公開されているた
め、悪意ある攻撃者がそれを入手して解析することは比
較的容易である。
【0036】この例では、悪意のある攻撃者130、配
布された修正パッチを解析し、バージョンチェックプロ
グラムに対してバージョン番号を偽るような偽修正パッ
チを作成し、攻撃が成功した際にはこの偽修正パッチを
適用するような攻撃を行ったとする。図30の例では、
正規の修正パッチを適用したサーバ140に対しては、
攻撃は失敗する。一方、修正パッチを適用していないサ
ーバ150に対して攻撃は成功し、上記偽修正パッチが
適用される。
【0037】このような場合、利用者160がたとえダ
ウンロード前にチェックプログラムを動作させたとして
も、サーバ150が偽修正パッチを適用されて偽ったバ
ージョン番号を受け取ったものであることを知らずに、
そのサーバ150からウィルスに感染したコンテンツを
ダウンロードしてしまう。
【0038】この危険はダウンロードの際にサーバ及び
利用者間で複雑な暗号プロトコルを使ったとしても解決
できない。なぜならば、サーバプログラムや修正パッチ
が解析されてしまえば、暗号プロトコルを再現するよう
な処理を攻撃者が偽修正パッチに組み込むことが可能と
なってしまうからである。従って、利用者はサーバが偽
修正パッチを適用された攻撃済みサーバであることに気
が付かない。
【0039】要約すると、問題となるのは以下の2点で
ある。
【0040】サーバの安全性を評価するためにはサーバ
のバージョンチェックだけでは不十分である。また、安
全性を評価する処理は確実に行われる必要がある。
【0041】サーバプログラムや、修正パッチが解析さ
れてしまうことで、その動作を再現するプログラムを攻
撃者が作成することが可能である。
【0042】以上、「コンテンツ提供者によるコンテン
ツの配布という視点」及び「コンテンツ利用者によるコ
ンテンツの取得という視点」から説明したが、併せれ
ば、ネットワークを介したコンテンツの配布において、
著作権者が不正コピーを確実に防止することができ、か
つコンテンツ利用者はコンテンツを受信する前に、サー
バの安全性を評価して安全なサーバからのみコンテンツ
を取得できることが、著作権者にとっても、コンテンツ
利用者にとっても重要である。
【0043】本発明は、上述のような事情を鑑みて為さ
れたものであり、本発明の目的は、配布者側が安心して
コンテンツを配布でき、受信者側が信頼できるコンテン
ツを受信できるコンテンツ配布/受信方法を提供するこ
とにある。
【0044】具体的には、本発明の目的は、コンテンツ
に係る著作権者の権利と受信者のプライバシーを正当に
保護しつつコンテンツを配布し、また、受信者がコンテ
ンツ配布サーバの安全性を確実に確認しつつコンテンツ
を受信できるコンテンツ配布/受信方法を提供すること
にある。
【0045】また、本発明の目的は、コンテンツに係る
著作権者の権利と受信者のプライバシーを正当に保護し
つつコンテンツを配布できるコンテンツ配布/受信方法
を提供することにある。
【0046】更に、本発明の目的は、受信者がコンテン
ツ配布サーバの安全性を確実に確認しつつコンテンツを
受信できるコンテンツ配布/受信方法を提供することに
ある。
【0047】
【課題を解決するための手段】上記目的を達成するた
め、請求項1に記載のコンテンツ配布/受信方法は、プ
ロセッサ秘密鍵を内蔵するマイクロプロセッサ及び外部
メモリを備えた送信装置及び受信装置において実行され
るコンテンツ配布/受信方法において、前記送信装置及
び受信装置に備えられる前記マイクロプロセッサは、複
数のプログラムに各々対応する複数の配布鍵を前記プロ
セッサ秘密鍵によって各々復号化することにより得られ
る複数のプログラム鍵を取り出し、前記複数のプログラ
ム鍵により各々暗号化された状態で前記外部メモリに配
置された複数のプログラムを、対応するプログラム鍵に
よってそれぞれ復号化して擬似並列的に実行可能なもの
であって、前記受信装置において実行されるコンテンツ
受信閲覧プログラムは、所定の秘密が、対応するプログ
ラム鍵に基づいて暗号化された状態で格納され、前記送
信装置に対して前記秘密の保持を証明する証明ステップ
を備え、前記送信装置において実行されるコンテンツ送
信プログラムは、前記受信装置のコンテンツ受信閲覧プ
ログラムからコンテンツを特定した受信要求を受け取る
要求受信ステップと、前記受信要求の発行元のコンテン
ツ受信閲覧プログラムについて前記所定の秘密を、前記
コンテンツ受信閲覧プログラムの秘密鍵に対応し、コン
テンツ送信プログラムが予め保持する公開鍵に基づい
て、所定の公開鍵アルゴリズムにより認証する機能、又
は、コンテンツ送信プログラムが予め保持する前記コン
テンツ受信閲覧プログラムとの間で共有する秘密鍵に基
づいて秘密鍵アルゴリズムにより認証する機能のいずれ
かを持つ認証ステップと、前記認証ステップにおいてコ
ンテンツ受信閲覧プログラムが前記所定の秘密を保持す
ることが証明された場合のみ、前記コンテンツ受信閲覧
プログラムとコンテンツ送信プログラムとの間で他のプ
ログラムから排他的に共有された秘密に基づいて暗号化
したコンテンツの送信を許可する保護ステップと、を備
えることを要旨とする。
【0048】本発明によれば、受信装置で実行されるコ
ンテンツ受信閲覧プログラムにおいて、所定の秘密が、
対応するプログラム鍵に基づいて暗号化された状態で格
納されており、送信装置において実行されるコンテンツ
送信プログラムは、コンテンツ受信閲覧プログラムの所
定の秘密を公開鍵アルゴリズム又は秘密鍵アルゴリズム
により認証するようにしているので、コンテンツ送信プ
ログラムは、その認証に成功すれば、受信装置を信頼し
てコンテンツを送信することができる。
【0049】また、請求項2に記載のコンテンツ配布/
受信方法は、請求項1に記載のコンテンツ配布/受信方
法において、前記送信装置において実行されるコンテン
ツ送信プログラムは、前記要求されたコンテンツに含ま
れる著作権保護指定の有無を判別する判別ステップを更
に持ち、この判別ステップにより保護指定有りと判別さ
れたコンテンツに対して、前記認証ステップを実行する
ことを要旨とする。
【0050】また、請求項3に記載のコンテンツ配布/
受信方法は、請求項1に記載のコンテンツ配布/受信方
法において、前記受信装置において実行されるコンテン
ツ受信閲覧プログラムは、有効期間に関する情報が含ま
れるコンテンツを受信した場合には、前記有効期間に関
する情報に基づいてコンテンツの閲覧を制御することを
要旨とする。
【0051】また、請求項4に記載のコンテンツ配布/
受信方法は、請求項1に記載のコンテンツ配布/受信方
法において、前記コンテンツは、該コンテンツを利用す
る際の制限事項、該コンテンツの著作権表示内容、該コ
ンテンツの課金情報のうち少なくとも1つを含むことを
要旨とする。
【0052】また、請求項5に記載のコンテンツ配布/
受信方法は、請求項1に記載のコンテンツ配布/受信方
法において、前記コンテンツ受信閲覧プログラムは、前
記コンテンツを受信した際に、前記コンテンツを受信し
た受信装置及び前記受信装置の所有者の少なくとも一方
を特定する情報を、受信した該コンテンツに付加するこ
とを要旨とする。
【0053】また、請求項6に記載のコンテンツ配布/
受信方法は、プロセッサ秘密鍵を内蔵するマイクロプロ
セッサ及び外部メモリを備えた送信装置と、他の受信装
置において実行されるコンテンツ配布/受信方法におい
て、前記送信装置に備えられる前記マイクロプロセッサ
は、複数のプログラムに各々対応する複数の配布鍵を前
記プロセッサ秘密鍵によって各々復号化することにより
得られる複数のプログラム鍵を取り出し、前記複数のプ
ログラム鍵により各々暗号化された状態で前記外部メモ
リに配置された複数のプログラムを、対応するプログラ
ム鍵によってそれぞれ復号化して擬似並列的に実行可能
なものであって、前記送信装置において実行されるコン
テンツ送信プログラムには、該コンテンツ送信プログラ
ムに対応付けられた秘密鍵が前記プログラム鍵に基づい
て暗号化された状態で格納され、前記受信装置のコンテ
ンツ受信閲覧プログラムは、前記コンテンツの送信元の
コンテンツ送信プログラムについて、前記コンテンツ送
信プログラムの秘密鍵に対応し、コンテンツ受信閲覧プ
ログラムが予め保持する公開鍵に基づいて、所定の公開
鍵アルゴリズムにより認証する認証ステップと、前記認
証ステップにおいてコンテンツ送信プログラムが前記所
定の秘密を保持することが証明された場合のみ前記コン
テンツ送信プログラムからコンテンツを受信することを
要旨とする。
【0054】本発明によれば、送信装置で実行されるコ
ンテンツ送信プログラムにおいて、そのコンテンツ送信
プログラムに対応付けられた秘密鍵がプログラム鍵に基
づいて暗号化された状態で格納されており、受信装置の
コンテンツ受信閲覧プログラムは、コンテンツの送信元
のコンテンツ送信プログラムについて、コンテンツ送信
プログラムの秘密鍵に対応し、コンテンツ受信閲覧プロ
グラムが予め保持する公開鍵に基づいて、所定の公開鍵
アルゴリズムにより認証するようにしているので、コン
テンツ受信閲覧プログラムは、その認証に成功すれば、
配布装置を信頼してコンテンツを受信することができ
る。
【0055】また、請求項7に記載のコンテンツ配布/
受信方法は、プロセッサ秘密鍵を内蔵するマイクロプロ
セッサ及び外部メモリを備えた送信装置及び受信装置に
おいて実行されるコンテンツ配布/受信方法において、
前記送信装置及び受信装置に備えられる前記マイクロプ
ロセッサは、複数のプログラムに各々対応する複数の配
布鍵を前記プロセッサ秘密鍵によって各々復号化するこ
とにより得られる複数のプログラム鍵を取り出し、前記
複数のプログラム鍵により各々暗号化された状態で前記
外部メモリに配置された複数のプログラムを、対応する
プログラム鍵によってそれぞれ復号化して擬似並列的に
実行可能なものであって、前記受信装置において実行さ
れるコンテンツ受信閲覧プログラム及び前記送信装置に
おいて実行されるコンテンツ送信プログラムは、所定の
秘密が、それぞれ対応するプログラム鍵に基づいて暗号
化された状態で格納され、通信相手に対して前記秘密の
保持を証明する証明ステップを備え、前記証明ステップ
において、前記通信相手の秘密の保持が証明された場合
には、前記送信装置が、前記受信装置から受信した送信
装置チェックプログラムの実行を許可すると共に、前記
受信装置が、前記送信装置チェックプログラムにより前
記送信装置の安全性を検証し、前記受信装置は、前記送
信装置を安全であると判定した場合、前記コンテンツ受
信要求に係るコンテンツを前記送信装置から受信するこ
とを要旨とする。
【0056】本発明によれば、コンテンツ送信プログラ
ムとコンテンツ受信閲覧プログラムとが相互に認証を行
い、認証に成功した場合、コンテンツ受信閲覧プログラ
ムが、配布装置チェックプログラムによりコンテンツ送
信プログラムの安全性を検証し、コンテンツ送信プログ
ラムを安全であると判定した場合のみ、コンテンツ受信
要求に係るコンテンツをコンテンツ送信プログラムから
受信する。
【0057】また、請求項8に記載のコンテンツ配布/
受信方法は、請求項7に記載のコンテンツ配布/受信方
法において、前記受信装置は、前記安全性を検証する際
の判断基準が列記され、前記プログラム暗号化鍵で暗号
化されたテーブルを更に有し、そのテーブルに列記され
た判断基準に基づいて前記配布装置の安全性を検証する
ことを要旨とする。
【0058】
【発明の実施の形態】以下、図面に基づいて、本発明に
おけるコンテンツ配布/受信方法の実施形態について詳
細に説明する。
【0059】<コンテンツ受信閲覧プログラムの信頼性
を確認することができるコンテンツ配布/受信方法>図
1は、本発明のコンテンツ配布/受信方法が適用される
送受信ネットワークシステムの構成を示す図である。
【0060】この送受信ネットワークシステムは、コン
テンツ作成者3、ファイル送信装置1及び複数のファイ
ル受信装置2で構成される。ファイル送信装置1にはコ
ンテンツ配布サーバ50が含まれている。各ファイル受
信装置1にはコンテンツ閲覧プログラム60が含まれて
いる。ここでコンテンツとは、例えば、音楽・動画のデ
ジタルコンテンツであったり、写真や絵などの画像コン
テンツであったりする。もちろんテキストのコンテンツ
であってもよい。以後、これらを単にコンテンツと表記
する。
【0061】先ず、コンテンツ作成者3は、コンテンツ
を作成し、そのコンテンツをコンテンツ配布サーバ50
に保存する。このコンテンツ配布サーバ50は、例えば
インターネットなどのネットワークに接続されたWeb
サーバなどであり、ファイル送信装置1上で動作し、一
般の利用者の要求に応じてコンテンツを配布する機能を
持つ。コンテンツ作成者3とコンテンツ配布サーバ50
との間には信頼関係があり、コンテンツ作成者3の意図
に反してコンテンツが扱われることはないものとする。
【0062】図2に示すように、コンテンツ本体901
には、少なくとも1ビットのフィールドからなる著作権
保護属性902が設けられる。この属性は少なくとも著
作権保護あり“1”と著作権保護なし“0”の2種類の
値をとる。コンテンツ配布サーバ50は、著作権保護あ
りのコンテンツについては後述の認証済みクライアント
以外には配信しない。コンテンツ配布サーバ50におい
て著作権保護属性をもたない従来のコンテンツは著作権
保護なしとして扱われる。
【0063】ファイル受信装置2は、コンテンツ利用者
の計算機であり、この装置も、他の計算機と通信が可能
なようにインターネットなどのネットワークに接続され
ている。また、ファイル受信装置2は、ファイル送信装
置1からコンテンツをダウンロードして閲覧する機能を
持つ。利用者は、ファイル受信装置2にインストールさ
れたコンテンツ閲覧プログラム60を利用してコンテン
ツを閲覧する。利用者は、コンテンツ配布サーバ50か
ら、このコンテンツ閲覧プログラム50を用いてコンテ
ンツをダウンロードし、閲覧する。以下、コンテンツ閲
覧プログラムをブラウザプログラムとも呼ぶ。
【0064】図3は、ファイル送信装置1のハードウェ
ア構成を示す図である。ハードウェアとしてのファイル
送信装置1は、汎用プロセッサ11、メモリ12、ハー
ドディスク13及び通信モジュール/ファイル送信モジ
ュール14で構成される。
【0065】図4は、ファイル受信装置2のハードウェ
ア構成を示す図である。ハードウェアとしてのファイル
受信装置2は、プロセッサ秘密鍵211を内蔵する耐タ
ンパプロセッサ21、メモリ22、ハードディスク23
及び通信モジュール/ファイル受信モジュール24で構
成される。
【0066】図5は、コンテンツ配布サーバ50のソフ
トウェア4の構成を示す図である。コンテンツ配布サー
バ50のソフトウェア4は、サーバプログラム41とオ
ペレーティングシステム(OS)42で構成される。サ
ーバプログラム41は、クライアントと認証を行うため
のクライアント認証プログラム413、コンテンツを暗
号化するためのコンテンツ暗号化機能411及び予め信
頼できているブラウザの公開鍵リスト412を含んでい
る。クライアント認証プログラム413は、後述するブ
ラウザプログラム内の認証秘密鍵に対応した認証公開鍵
414を有している。また、OS42はファイル送信機
能421を備えている。
【0067】図6は、ファイル受信装置2のソフトウェ
ア5の構成を示す図である。ファイル受信装置2のソフ
トウェア5は、ブラウザプログラム51とOS52で構
成される。ブラウザプログラム51は、コンテンツ受信
プログラム53を有しており、コンテンツ受信プログラ
ム53は、コンテンツ暗号化機能533、プログラム復
号化鍵531及び認証秘密鍵532を含んでいる。ま
た、OS52はファイル受信機能521を備えている。
【0068】そこで、ファイル受信装置2は、前述のよ
うに、特開2001-230770(P2001-230770A)に記載されたマ
イクロプロセッサ(耐タンパプロセッサ21)を備えて
いる。このプロセッサは実行中のプロセスについての保
護機構を有しており、ファイル送信装置1の管理者が不
正にデータを盗み見るとを防ぐことができる。また、ブ
ラウザプログラム51は、ソフトウェア配布元が管理す
るプログラム暗号化鍵で暗号化されており、プログラム
実行時には、ソフトウェア自身に埋め込まれた前記プロ
グラム暗号化鍵に対応するプログラム復号化鍵531で
復号化する。更に、このプログラム復号化鍵531は、
コンテンツ受信プログラム53を実行するファイル受信
装置2の耐タンパプロセッサ21のプロセッサ秘密鍵2
11に対応するプロセッサ公開鍵により、RSAアルゴ
リズムなどの公開鍵アルゴリズムで暗号化されている。
従って、耐タンパプロセッサ21に内蔵されたプロセッ
サ秘密鍵211を知らない限り、プログラムを復号化す
るためのプログラム復号化鍵531を得ることはでき
ず、結果として、ソフトウェアを解析したり改変したり
することは不可能である。
【0069】また、認証秘密鍵532は、コンテンツ受
信プログラムベンダのバージョン番号ごとに固有の値が
選択され、コンテンツ受信プログラム53に埋め込まれ
る。認証秘密鍵532の値はベンダ以外には秘密とさ
れ、対応する認証公開鍵414のみが利用者に公開され
る。この認証秘密鍵532もコンテンツ受信プログラム
53のデータの一部として暗号化されている。従って、
ファイル送信装置1の管理者や不正アクセスによって当
該サーバの管理者特権を手に入れた攻撃者でも、この認
証秘密鍵532を望んだように書き換えることはできな
い。
【0070】尚、コンテンツ受信プログラム53は、単
体のプログラムでもよいし、ブラウザプログラム51の
一部として組み込まれていてもよい。以下では、ブラウ
ザプログラム51の機能の一部としてコンテンツ受信プ
ログラム53が含まれていることとする。
【0071】以下、コンテンツ配布サーバ50が、利用
者の要求に応じてコンテンツを配布し、コンテンツ閲覧
プログラム60がその配布されたコンテンツを受信し
て、利用者が閲覧する場合の手順を説明する。
【0072】図7は、コンテンツ配布プログラム(サー
バ)とコンテンツ受信プログラムのやり取りを示す図で
ある。図8は、コンテンツ受信プログラムの処理手順を
示すフローチャートである。図9は、コンテンツ配布プ
ログラムの処理手順を示すフローチャートである。
【0073】コンテンツ受信プログラムは、利用者から
コンテンツダウンロードの指示を受けると、コンテンツ
配布プログラムにコンテンツの受信要求を発行する(図
7)。コンテンツ配布プログラムは、要求されたコンテ
ンツの属性が著作権保護ありの場合(図9(図8)のス
テップ11(ステップ1)において、肯定判定の場
合)、通信暗号化処理(ステップ12(ステップ2))
とブラウザの安全性認証処理(ステップ13(ステップ
3))を行う。
【0074】そこで、先ず、コンテンツ配布サーバとブ
ラウザとの間の通信路は、第3者の傍受を防ぐため、何
らかの暗号化が施される(ステップ12(ステップ
2))。ここではよく知られたSSLを用いることと
し、サーバとブラウザの間でSSLセッションが設定さ
れる。ただし、SSLにはサーバの認証処理が含まれる
が、これは利用者によるサーバが信頼できるか否かの判
定のために行われるものであり、ここでの目的である、
サーバが配布するコンテンツの著作権保護にとって必ず
しも必須ではない。
【0075】続いて、コンテンツ配布プログラムは、安
全なブラウザの公開鍵リスト412に基づき、ブラウザ
プログラムの認証を行う(ステップ13(ステップ
3))。クライアントとの認証は、よく知られた方法、
例えばISO/IEC 9798-3において定められた方式を用いれ
ばよい。このステップにより、サーバはブラウザが正当
な認証秘密鍵532を持っていることが確認できる。
【0076】認証に失敗した場合、クライアントプログ
ラムは信頼できないと判断され(ステップ17)、著作
権保護ありの情報の配信は中止され(ステップ18)、
エラーとしてブラウザに通知される(ステップ19)。
正当な認証秘密鍵532を持たない安全ではないブラウ
ザの場合、エラーとなり、著作権保護ありのコンテンツ
をダウンロード、利用することはできない(ステップ
7)。勿論、著作権保護なしのコンテンツの場合には、
安全でないブラウザからでも閲覧が可能であり、互換性
が保たれる(ステップ8、ステップ20、ステップ
9)。
【0077】コンテンツ配布プログラムは、ブラウザが
安全なものであると認証すると(ステップ14)、配布
すべきコンテンツを暗号化し(ステップ15)、上記S
SLセッションを通じてブラウザに配送する(ステップ
16、ステップ4)。ブラウザはSSLセッション鍵を
使ってコンテンツを復号化し(ステップ5)、ブラウザ
のユーザインタフェースを通じて利用者に情報を提供す
る(ステップ6)。ただし、復号したコンテンツのう
ち、著作権保護ありのものについては、ブラウザプログ
ラムのみが鍵を保持する暗号化データ領域にその情報を
保持し、セッションの終了とともに鍵とその情報を廃棄
する。また、安全なブラウザは、著作権情報ありのコン
テンツについては決して平文ファイルで保存したり平文
デジタル出力しない。暗号化属性の設定によっては印刷
などの行為も禁止される。暗号化属性については後述す
る。
【0078】上述のように、ブラウザソフトウェアの保
持する認証秘密鍵532の安全性は耐タンパプロセッサ
21のハードウェアとして保持されたプロセッサ秘密鍵
211の安全性によって保証されており、サーバはネッ
トワークを通じて、セッションの相手が認証秘密鍵53
2を持つことを確認することにより、配送した著作権保
護ありの情報が安全に扱われることを確認できる。
【0079】ここで、認証秘密鍵532は、コンテンツ
受信プログラムのベンダ及びバージョンごとに設定され
る。従って、この鍵に基づく認証のみでは、サーバが利
用者あるいは端末を特定することはできず、利用者のプ
ライバシ情報の流出は一切生じていない。
【0080】[暗号化属性]上述のようにコンテンツを
暗号化して送信する際、図10に示すような暗号化属性
903を付けて送信を行う。暗号化属性903とは、コ
ンテンツを利用する際の制限事項や、有効期限などのコ
ンテンツの制御情報のほか、著作者の名前及び連絡先、
課金情報、配布サーバが配布する際に一意につけるID
などのテーブルを指す。以下に、その利用例を示す。
【0081】コンテンツ配布元が百科事典などのデータ
ベースを所有しており、CD−ROMやDVDで利用者
に配布し、一定期間は試用期間として無料で利用可能と
するが、有効期限後もデータベースの利用を希望する利
用者に限っては課金をするようなサービスの提供をした
とする。ここで、コンテンツに暗号化属性として使用期
限をつけ、閲覧プログラムが起動時にこの有効期限をチ
ェックすることでコンテンツ利用の制御を行ったとす
る。
【0082】従来の方法では、データベースの閲覧プロ
グラムを解析することにより、有効制限を回避するよう
な改変をブラウザプログラムに行うことが原理的に可能
であるため、そのような悪意ある利用者からコンテンツ
を確実に保護することができなかった。しかしながら、
これまで述べたようにブラウザプログラムが暗号化され
ており、耐タンパプロセッサ上で動作することを前提と
すれば、プログラム配布元以外の第三者が暗号化属性を
不正に解析したり、改変したりすることを防ぐことがで
きる。
【0083】従って、コンテンツの有効期限を改竄され
たり、有効期限を回避するようにブラウザプログラムを
改変したりすることはできず、コンテンツが確実に有効
期限を守って閲覧されることが保証される。
【0084】[経路特定情報の埋め込み]上記実施形態
では、ブラウザが著作権保護された情報を平文出力しな
いことで、不正コピーを防止していた。しかし、画像、
音声などのコンテンツについて、画面の複製やアナログ
録音などの行為により、複製2次利用が可能である。こ
れらのコンテンツをより厳密に著作権保護する目的で、
配信データの経路特定情報を電子透かしとして埋め込む
方法を併用することにより、万一コンテンツが不正2次
利用された場合にも情報の流出経路を特定する手段を提
供できる。
【0085】図11は、経路特定情報の埋め込みの処理
手順を示す図である。
【0086】先ず、コンテンツ作成者3が経路情報埋め
込みの有無を著作権保護属性の一部として指定する。サ
ーバからブラウザまでの配信は前述の実施形態と同様の
処理が行われる。最後にブラウザにおいて、画像や音
声、あるいはテキストのコンテンツに経路特定情報が埋
め込まれ、埋め込みが行われた画像や音声がブラウザを
通じて利用者に提供される。尚、文字情報についても文
字間隔をわずかに変更するなどの電子透かし埋め込みの
技術が知られており、このような埋め込みを行った文字
情報を画像の形式でブラウザに表示してもよい。
【0087】経路特定情報としては様々なものが利用可
能である。例えば、インターネット接続端末であればI
Pアドレス、プロバイダ名、接続先のセッション情報を
記録することにより、サーバとプロバイダの情報を突き
合わせることで利用者の個人情報ができる。また、端末
に接続されたICカードなの身分証明書情報、あるいは
指紋などの身体情報を記録してもよい。
【0088】注記すべき点は、この埋め込みは全て利用
者の端末において行われるため、通常の利用者のプライ
バシ情報の流出は一切生じないことである。
【0089】前述のように、従来においては、このよう
な管理は、コンテンツ配布サーバの側で利用者を識別
し、適切な情報を識別情報として埋め込むことで実現さ
れてきた。しかし、このような管理方法は著作権者にと
っては利用者情報の管理の手間がかかり、利用者にとっ
ては著作権者が信用できない場合のプライバシ情報流出
のリスクがある。
【0090】本発明に係る手法では、識別情報が確実に
付加されることの確認を、耐タンパプロセッサの使用を
前提として配布先の閲覧プログラムの正当性確認に依存
することにより、利用者の個人情報をコンテンツ配布サ
ーバへ送付することなく識別情報の確実な付加を実現す
る。個人情報の送付がないので、プライバシ情報のリス
クはありえず、著作権者のユーザ情報管理負荷も当然な
い。本発明のコンテンツ配布方法は、この点で、サーバ
に個人特定情報を開示する従来の手法と異なり、一般の
利用者にとってより安全な物となっている。
【0091】一方、著作権者の観点から見たとき、ブラ
ウザが正しく経路特定情報を埋め込むことは、耐タンパ
プロセッサのハードウェアによって守られていることで
暗号学的に保証されており、ブラウザの認証によってそ
れが確認されている。この点で、ブラウザソフトウェア
はいわば著作権者の出張所として機能するとも言える。
【0092】ブラウザ利用者はブラウザソフトウェアを
インストールするときに、それが信頼できるベンダから
供給されたものであることをファイルのハッシュ値を検
証することで確認することができる。信頼できるベンダ
は、上述のようなコンテンツへの経路特定情報埋め込み
を正しく行い、ブラウザを通じた個人情報の流出が起こ
らないことを保証している。このような前提が成り立つ
とき、本発明に係るブラウザは、コンテンツ著作権者と
利用者との間でいわば信頼できる第3者として機能する
と言え、コンテンツ著作権者の権利の保護と利用者の安
全性及び利便性を両立させている。
【0093】この手法は、キャッシュサーバを介して情
報を配布するときにとりわけ有効である。コンテンツ配
布サーバがコンテンツをキャッシュサーバに配布する段
階では、最終的な利用者は未定である。従って、従来手
法では、コンテンツ配布サーバは、コンテンツ利用者の
身元を表すような付加情報を付けることはできない。一
方、キャッシュサーバに識別情報の付加を委ねる方法
は、利用者のプライバシ保護と識別情報の付加の確実性
は一般には保証できない。しかしながら、本発明に係る
手法を使えば、個別の利用者対応の配布をキャッシュサ
ーバに代行させながら、安全な識別情報付加が可能とな
る。
【0094】<サーバの安全性を保証することができる
コンテンツ配布/受信方法>次に、サーバの安全性を保
証することができる本発明のコンテンツ配布/受信方法
の実施形態を説明する。
【0095】[クライアントプログラムからコンテンツ
配布サーバへの片方向認証]先ず、クライアントプログ
ラムからコンテンツ配布サーバへの片方向への認証のみ
が行われる場合を説明する。
【0096】図12は、かかる場合のコンテンツ配布サ
ーバを含むファイル送信装置6のハードウェア構成を示
す図である。ファイル送信装置6は、プロセッサ秘密鍵
611を内蔵する耐タンパプロセッサ61、メモリ6
2、ハードディスク63及び通信モジュール/ファイル
送信モジュール64で構成される。
【0097】図13は、かかる場合のクライアントプロ
グラムを有するファイル受信装置7のハードウェア構成
を示す図である。ファイル受信装置7は、汎用プロセッ
サ71、メモリ72、ハードディスク73及び通信モジ
ュール/ファイル受信モジュール74で構成される。
【0098】図14は、コンテンツ配布サーバのソフト
ウェア8の構成を示す図である。コンテンツ配布サーバ
のソフトウェア8は、コンテンツ配布サーバプログラム
81とオペレーティングシステム(OS)82で構成さ
れる。コンテンツ配布サーバプログラム81は、コンテ
ンツを暗号化するためのコンテンツ暗号化機能813、
コンテンツ配布機能814、プログラム復号化鍵811
及び認証秘密鍵812を含んでいる。また、OS82は
ファイル送信機能821を備えている。
【0099】図15は、ファイル受信装置7のソフトウ
ェア9の構成を示す図である。ファイル受信装置7のソ
フトウェア9は、クライアントプログラム91とOS9
2で構成される。クライアントプログラム91は、サー
バチェックプログラム93を有しており、サーバチェッ
クプログラム93は、サーバチェック機能931及び認
証公開鍵932を含んでいる。また、OS92はファイ
ル受信機能921を備えている。尚、サーバチェックプ
ログラム93は、クライアントプログラム91と対等独
立であってもよい。
【0100】コンテンツ配布サーバプログラム81は、
プログラム復号化鍵811に対応したプログラム暗号化
鍵で暗号化されている。更に、このプログラム復号化鍵
811は、ファイル送信装置6に備えられた耐タンパプ
ロセッサ61のプロセッサ秘密鍵611に対応する公開
鍵で暗号化されている。従って、プロセッサ秘密鍵61
1を知らない限り、ソフトウェアを解析したり改変した
りすることは不可能である。
【0101】コンテンツ配布サーバプログラム81は、
上述のように認証秘密鍵812を持ち、それは後述する
クライアントによる認証ステップにおいて用いられる。
この認証秘密鍵812は、サーバプログラムベンダのバ
ージョン番号ごとに固有の値が選択され、プログラムに
埋め込まれる。
【0102】認証秘密鍵812の値はベンダ以外には秘
密とされ、対応する認証公開鍵932のみが利用者に公
開される。尚、この認証秘密鍵812もサーバプログラ
ムのデータの一部としてサーバプログラムとともに暗号
化されている。従って、ファイル送信装置の管理者や不
正アクセスによって当該サーバの管理者特権を手に入れ
た攻撃者でも、この認証秘密鍵を望んだように書き換え
ることはできない。
【0103】一方、前述のように、サーバチェックプロ
グラム931は、サーバが正当なバージョンのサーバプ
ログラムであるか認証を行うサーバチェック機能931
を実行するものであり、内部に、コンテンツ配布サーバ
プログラム81が持つ認証秘密鍵812に対応する認証
公開鍵932を持つ。
【0104】コンテンツ利用者のファイル受信装置7
は、利用者からサーバに対するファイル受信要求を受け
ると、当該サーバに対するサーバチェックプログラム9
3を起動させる。サーバチェックプログラム93は、ネ
ットワーク経由で接続先のサーバの認証を行う。サーバ
との認証は、よく知られた方法、例えばISO/IEC 9798-3
において定められた方式を用いればよい。この方式によ
り通信相手、この場合はサーバがクライアントの調査す
るバージョン番号に対応する正当な認証秘密鍵812を
持っていることが確認できる。
【0105】上述のように、ベンダによりコンテンツ配
布サーバプログラム81の認証鍵812は秘密とされ、
かつサーバシステムの耐タンパプロセッサ61の機能に
よりコンテンツ配布サーバプログラム81に埋め込まれ
た認証秘密鍵812の値を改変することができないた
め、公開鍵による認証に成功すれば、コンテンツ配布サ
ーバプログラム81が期待のバージョンであることが確
実になる。
【0106】よって、クライアントシステムは、サーバ
プログラムが修正パッチを適用していないことによって
生じるコンピュータウィルス感染の危険を未然に回避す
ることができる。
【0107】[クライアントプログラムとコンテンツ配
布サーバとの間の相互認証]上述においては、クライア
ントプログラムがコンテンツ配布サーバを片方向で認証
する場合を説明したが、クライアントプログラムとコン
テンツ配布サーバとが相互認証をすることで、コンテン
ツ利用者の要求に応じた柔軟なサーバプログラムの安全
性評価を行う例を以下に示す。
【0108】クライアントプログラムとコンテンツ配布
サーバとの間の相互認証を実現するためには、コンテン
ツ配布サーバ側のハードウェア構成及びソフトウェア構
成は上述の片方向での認証の場合と同じである。即ち、
図12に構成が示されるファイル送信装置6及び図14
に構成が示されるソフトウェア8が採用される。
【0109】しかし、クライアントプログラム側のハー
ドウェア構成及びソフトウェア構成は片方向での認証の
場合とが異なる。
【0110】図16は、ファイル受信装置のハードウェ
ア構成を示す図である。このファイル受信装置は図4に
示すものと同じである。即ち、ファイル受信装置2は、
プロセッサ秘密鍵211を内蔵する耐タンパプロセッサ
21、メモリ22、ハードディスク23及び通信モジュ
ール/ファイル受信モジュール24で構成される。
【0111】図17は、ファイル受信装置2のソフトウ
ェア10の構成を示す図である。ファイル受信装置2の
ソフトウェア10は、クライアントプログラム101と
OS102で構成される。クライアントプログラム10
1は、サーバチェックプログラム103を有しており、
サーバチェックプログラム103は、サーバチェック実
行プログラム1033、プロセッサ公開鍵によって暗号
化されたプログラム復号化鍵1031、認証鍵1032
及びポリシーテーブル1034を含んでいる。また、O
S102はファイル受信機能1021を備えている。
尚、サーバチェックプログラム103は、クライアント
プログラム101と対等独立であってもよい。
【0112】サーバチェックプログラム103は、プロ
グラム復号化鍵1031に対応するプログラム暗号化鍵
で暗号化されている。更に、このプログラム復号化鍵1
031は、ファイル受信装置2に備えられた耐タンパプ
ロセッサ21のプロセッサ秘密鍵211に対応する公開
鍵で暗号化されている。従って、プロセッサ秘密鍵21
1を知らない限り、ソフトウェアを解析したり改変した
りすることは不可能である。
【0113】サーバチェック実行プログラム1033
は、サーバのバージョンなどをチェックする実行ファイ
ルであり、例えば、サーバのバージョンを調査したり、
サーバに最新のパッチがあたっているか確認する機能な
どを有する。認証秘密鍵1032は、サーバと相互認証
を行うために用いる。ポリシーテーブル1034は、サ
ーバの安全性を評価する際に用いる。ポリシーテーブル
については後述する。
【0114】以下、コンテンツ利用者がサーバからコン
テンツをダウンロードする場合の手順を説明する。図1
8は、クライアントプログラム101の処理手順を示す
フローチャートである。
【0115】コンテンツ利用者のファイル受信装置2
は、利用者からサーバに対し、ファイル受信要求を受け
ると、サーバチェックプログラム103を起動する。サ
ーバチェックプログラム103は接続先のサーバプログ
ラムとネットワーク経由で相互認証を行う(ステップ2
1)。ここではサーバの認証鍵812とクライアントの
認証鍵1032は同一の値を使い、共通鍵認証による認
証、たとえばISO/IEC 9798-2において定められた方式を
使う。この方式により、通信相手が認証鍵を持っている
ことが確認できる。
【0116】ここで重要なことは、認証鍵812及び1
032がサーバ及びクライアントプログラム以外の第三
者、例えばウィルス作成者に漏れないようにすることで
ある。コンテンツ配布サーバプログラム81は暗号化さ
れている。従って、ウィルス作成者がコンテンツ配布サ
ーバプログラム81を解析して偽の修正パッチを作成し
たり、サーバチェックプログラム103との認証に用い
る認証鍵が盗まれることはない。クライアントチェック
プログラムも同様の方式で暗号化されているため、認証
鍵が盗まれることはない。
【0117】認証が成功した場合、サーバチェック実行
プログラム1033はサーバの安全性評価を行う(ステ
ップ22)。認証が失敗すると(ステップ23において
否定判定)、サーバプログラム81はサーバチェックプ
ログラム103の要求を受け付けず、ファイルのダウン
ロードは中止される(ステップ25)。これは悪意のあ
るサーバチェックプログラムが、不正にサーバを調査す
ることにより、攻撃者に攻撃のための有用な情報を提供
してしまうことを防ぐためである。例えば、特定のバー
ジョンのプログラムにセキュリティ上の欠陥が発見され
ている場合、攻撃者にとってプログラムのバージョン情
報は調査のための有益な情報となりうる。従って、コン
テンツ配布サーバプログラム81は、正当な認証鍵をも
つサーバチェックプログラム103のみにバージョン番
号を提供する。
【0118】サーバチェックプログラム103によりサ
ーバの安全性の評価が利用者の希望する基準を満たして
いれば(ステップ23において肯定判定)、クライアン
トプログラム101は所望のファイルをダウンロードす
る(ステップ24)。
【0119】一方、ステップ21において認証が失敗す
ると、クライアントプログラム101は、所定のエラー
処理を行い、コンテンツのダウンロード処理を中止する
(ステップ25)。
【0120】サーバの安全性を評価するための評価項目
は、図20にその例を示すポリシーテーブル904に記
述する。コンテンツ利用者は、例えばサーバのバージョ
ンが1.2以上であれば利用する、といったように、ポ
リシーとなるチェック項目とその判断基準を予めこのテ
ーブル904に定義しておく。判断基準をこのようなテ
ーブル形式としておけば、その判断基準を容易に変更で
きるという利点がある。
【0121】このポリシーテーブル904は必ずしもコ
ンテンツ利用者本人が記述する必要はなく、例えばクラ
イアントプログラム配布元がテンプレートを作成しても
よい。ポリシーを複数指定し、その組み合わせで評価し
てもよい。アプリケーションがチェックの結果とポリシ
ーを比較し、コンテンツやソフトウェアをダウンロード
すべきかどうかを判断する。従って、アプリケーション
がチェックの結果を、利用者のホストに返す必要はな
い。勿論、サーバのバージョンを調べ、その都度利用者
に結果を返してダウンロードの可否を問い合わせてもよ
い。
【0122】図19は、コンテンツ配布サーバプログラ
ム81の処理手順を示すフローチャートである。コンテ
ンツ配布サーバプログラム81は、サーバのファイル送
信装置6上で実行され、クライアントのサーバチェック
プログラム103からの相互認証処理の要求を受け付け
るため待機している。
【0123】コンテンツ利用者からコンテンツ受信要求
を受け、相互認証処理が成功すると(ステップ31)、
サーバチェック実行プログラム1033の実行を許可
し、必要な情報をサーバチェックプログラム103に提
供する(ステップ32)。サーバの安全性の評価が利用
者の希望する基準を満たしており、所望のファイルの受
信要求を受けると(ステップ33において肯定判定)、
サーバプログラム81はファイルを送信する(ステップ
34)。
【0124】一方、ステップ31において認証が失敗し
た場合や、サーバチェックプログラム103が安全性を
満たしていないと判断し、ファイルのダウンロード中止
要求を受けた場合(ステップ33において否定判定)
は、ファイルの送信を中止する(ステップ35)。
【0125】以上で説明したコンテンツ配布サーバから
のコンテンツ受信方法によれば、以下の二つの事項にお
いて、サーバ管理者のセキュリティ意識を向上させるこ
とが期待できる。
【0126】1つめは、バージョンが低いサーバでコン
テンツを提供した場合、利用者はそのサーバの利用を避
けることが予想されるため、サーバ利用者が減る。従っ
て、利用者を確保するために、サーバ管理者は常にサー
バを安全なバージョンにする必要がある。
【0127】2つめは、HTTPなど一般に公開するサ
ービスであれば、どの利用者からでもサーバをチェック
することが可能である。これは、もしもそのサーバにセ
キュリティ上の欠陥があった場合、その欠陥を公表する
ことを意味する。従って、サーバ管理者はサービスを公
開すると同時に、セキュリティ上の管理責任を負うとい
う意味でセキュリティ意識を高めることにつながること
が期待できる。
【0128】<キャッシュサーバを介したコンテンツ配
布/受信方法>次に、コンテンツ配布サーバが一旦キャ
ッシュサーバにコンテンツを配布し、利用者閲覧プログ
ラムがキャッシュサーバから希望のコンテンツを受信す
る場合について説明する。
【0129】図21は、キャッシュサーバを含む送受信
ネットワークシステムの構成を示す図である。この送受
信ネットワークシステムは、コンテンツ作成者3、コン
テンツ配布サーバ50、キャッシュサーバ70及び複数
の利用者閲覧プログラム80で構成される。
【0130】図22は、キャッシュサーバ70のハード
ウェア構成、即ちキャッシュサーバ70としてのファイ
ル送受信装置20の構成を示す図である。ファイル送受
信装置20は、プロセッサ秘密鍵2011を内蔵する耐
タンパプロセッサ201、ハードディスク202、メモ
リ203、通信モジュール/ファイル送信モジュール2
04及び通信モジュール/ファイル受信モジュール20
5で構成される。
【0131】図23は、キャッシュサーバ70のソフト
ウェア30の構成を示す図である。
【0132】キャッシュサーバ70のソフトウェア30
は、キャッシュサーバプログラム301と、OS302
をと含んでいる。キャッシュサーバプログラム301
は、コンテンツ配布サーバ用認証鍵3014を有するコ
ンテンツ受信プログラム3011と、コンテンツ受信プ
ログラム用認証鍵3015を有するコンテンツ配布機能
3012とを含んでいる。また、キャッシュサーバプロ
グラム301は、プログラム復号化鍵3013を有して
いる。更に、OS302は、ファイル送信機能3021
及びファイル受信機能3021を備えている。
【0133】キャッシュサーバプログラム301は、プ
ログラム復号化鍵3013に対応するプログラム暗号化
鍵で暗号化されている。更に、このプログラム復号化鍵
3013は、ファイル送受信装置20に備えられた耐タ
ンパプロセッサ201のプロセッサ秘密鍵2011に対
応する公開鍵で暗号化されている。従って、プロセッサ
秘密鍵2011を知らない限り、ソフトウェアを解析し
たり改変したりすることは不可能である。
【0134】尚、コンテンツ配布サーバ50に係るハー
ドウェア構成及びソフトウェア構成は、それぞれ図12
及び図14に示したものと同じである。また、利用者閲
覧プログラム80に係るハードウェア構成及びソフトウ
ェア構成は、それぞれ図16及び図17に示したものと
同じである。
【0135】以下、キャッシュサーバ70を介してコン
テンツ配布サーバ50から利用者160へコンテンツを
配布する手順を説明する。図24は、コンテンツ配布サ
ーバ50とキャッシュサーバ70やり取りと、キャッシ
ュサーバ70と利用者160とのやり取りを示す図であ
る。図25は、キャッシュサーバ70がコンテンツ配布
サーバ50からコンテンツを受信するまでの処理手順を
示すフローチャートである。図26は、キャッシュサー
バ70が利用者160にコンテンツを送信するまでの処
理手順を示すフローチャートである。
【0136】先ず、コンテンツ配布サーバ50とキャッ
シュサーバ70が相互認証処理を行う(ステップ4
1)。コンテンツ配布サーバ50及びキャッシュサーバ
70は、それぞれ相互認証のための認証鍵812及び認
証鍵3014を持つ。認証には、たとえばコンテンツ配
布サーバ50の認証鍵812とキャッシュサーバ70の
認証鍵3014は同一の値を使い、ISO/IEC 9798-2にお
いて定められたような共通鍵認証方式を使えばよい。こ
の方式により、通信相手が認証鍵を持っていることが確
認できる。
【0137】認証が成功すると、キャッシュサーバ70
は、コンテンツ配布サーバ50によって暗号化されたコ
ンテンツとコンテンツを復号化するための鍵を受信する
(ステップ42)。このコンテンツを復号化するための
鍵は、暗号化などの手段によりコンテンツ配布サーバ5
0とキャッシュサーバ70以外には漏れないようにして
キャッシュサーバ70のメモリ又はハードディスクの記
憶域に保存される。尚、認証が失敗に終わった場合に
は、コンテンツの送信は中止されて、キャッシュザーバ
70はコンテンツを受信することはない(ステップ4
3)。
【0138】次に、図26を参照して、利用者160が
キャッシュサーバ70からコンテンツをダウンロードす
る手順について説明する。キャッシュサーバ70は、利
用者160からの配布要求に基づき、利用者160のコ
ンテンツ受信プログラムと相互認証処理を行う(ステッ
プ51)。この認証処理は、コンテンツ配布サーバ50
とキャッシュサーバ70の認証処理と同様の方式を用い
る。認証が成功すると、キャッシュサーバ70は、利用
者160のコンテンツ受信プログラムに対して、コンテ
ンツとコンテンツを復号化するための鍵を送信する(ス
テップ52)。鍵の送信にはデフィーフェルマン(Diffi
e-Hellman)のようなよく知られた方法を用いて通信系路
上を暗号化しておく。尚、認証が失敗に終わった場合に
は、コンテンツの送信を中止する(ステップ53)。
【0139】ここで重要なことは、コンテンツを復号化
する鍵がキャッシュサーバの管理者やコンテンツ利用者
にも不明である点である。前述のように、キャッシュサ
ーバプログラムやコンテンツ受信プログラムはプログラ
ム復号化鍵に対応するプログラム暗号化鍵によって、コ
ンテンツを復号化する鍵とともに暗号化されており、解
析や改変をすることができない。
【0140】従って、たとえ悪意ある管理者がキャッシ
ュサーバ70の管理を行っていたとしても、コンテンツ
を復号化することはできないため、キャッシュサーバ7
0がどのような人物によって管理されているかに関わら
ず、コンテンツは、正当な認証鍵をもつファイル受信プ
ログラムによって閲覧されることが確実となる。
【0141】更に、コンテンツ複製の可否などライセン
ス制御は暗号化属性に応じて利用者の受信プログラムで
実行されるため、コンテンツ配布元はキャッシュサーバ
70を用いたとしても、最終的な利用者がライセンスを
遵守していることが保証される。
【0142】従って、コンテンツ配布元は、従来のよう
にIDとパスワードを用いて利用者を個別に管理する必
要がなくなる。一方、利用者側は、コンテンツ配布元に
対してプライバシーを必要以上に開示する必要がなくな
る。
【0143】[キャッシュサーバとキャッシュサーバ上
のアプリケーションとの間の認証]キャッシュサーバ5
0で受信蓄積されるコンテンツは、キャッシュサーバ5
0の管理者を信頼していないというのが前提である。こ
こで、キャッシュサーバ50は、コンテンツ配布サーバ
とコンテンツ利用プログラムとの間の認証処理を行うだ
けで、キャッシュサーバ50においてコンテンツが復号
されてその内容が変更することはないのが通常であるの
で問題はない。
【0144】しかしながら、キャッシュサーバ50上で
コンテンツが一時的にせよ復号されなければならない場
合がある。キャッシュサーバ50上でウィルスチェック
ソフトが動作する場合である。
【0145】ウィルスチェックプログラムは、一般的に
コンテンツの内容とウィルスに見られる特徴的な情報と
を比較し、合致したものをウィルスとして検出する。こ
のとき、ウィルス検査対象となるコンテンツが暗号化さ
れていると、正しく比較することができない。従って、
ウィルスチェックプログラムは、コンテンツを検査する
際には、コンテンツを一時的に復号化する必要がある。
【0146】そこで、キャッシュサーバ70はウィルス
チェックプログラムが正当であるか認証処理を行う。図
27は、ウィルスチェックプログラムの構成を示す図で
ある。
【0147】ウィルスチェックプログラム40は、プロ
グラム復号化鍵401に対応するプログラム暗号化鍵で
暗号化されている。更に、このプログラム復号化鍵は、
図22に示したプロセッサ秘密鍵2011に対応するプ
ロセッサ公開鍵で暗号化されている。ウィルスチェック
プログラム40は、キャッシュサーバと認証を行うため
の認証秘密鍵403を持つ。この認証秘密鍵403もプ
ログラムと同様暗号化されている。ウィルスチェック機
能を含めたウィルスチェックプログラム40全体を暗号
化しておく必要は必ずしもないが、安全性を向上させる
には暗号化させておいた方が望ましい。
【0148】認証が成功すると、キャッシュサーバプロ
グラム301は、コンテンツを復号化するための鍵をウ
ィルスチェックプログラム40に提供する。このとき、
コンテンツを復号化する鍵をそのまま提供してもよい
が、キャッシュサーバプログラム301内で一旦コンテ
ンツを復号化し、一時的な鍵でコンテンツ暗号化した
後、その鍵をウィルスチェックプログラム40に渡すよ
うにしてもよい。更にこのとき、図10に示した暗号化
属性の中の有効期限を短時間に設定することで更に安全
性が向上する。
【0149】以上の処理により、ウィルスチェックプロ
グラム40は、キャッシュサーバ70から提供された鍵
を用いてコンテンツを復号化し、ウィルスチェックを行
うことができる。
【0150】以上のキャッシュサーバを介したコンテン
ツ配布/受信方法で説明したように、コンテンツ配布サ
ーバ、キャッシュサーバ及びコンテンツ受信プログラム
が耐タンパプロセッサ上で実行されることを前提とする
ことで、コンテンツの不正な流出と改変の防止と、キャ
ッシュサーバを利用することによる配布サーバの処理負
荷の分散とを両立させることができる。更に、万が一配
布サーバがウィルスを含むコンテンツを配布してしまっ
たとしても、キャッシュサーバがウィルスチェックを行
うことで、利用者に配布する前に未然にウィルスを検出
することができ、配布サーバの管理上の負荷も軽減させ
ることができる。
【0151】
【発明の効果】以上説明したように、本発明によれば、
受信装置で実行されるコンテンツ受信閲覧プログラムに
おいて、所定の秘密が、対応するプログラム鍵に基づい
て暗号化された状態で格納されており、その所定の秘密
は悪意のある者に改変されることはなく、また送信装置
において実行されるコンテンツ送信プログラムは、コン
テンツ受信閲覧プログラムの所定の秘密を公開鍵アルゴ
リズム又は秘密鍵アルゴリズムにより認証し、その認証
に成功した場合にのみ、受信装置を信頼してコンテンツ
を送信するので、コンテンツの無制限な2次利用を防止
して著作権者を保護できると共に、受信者のプライバシ
ーを保護することができる。
【0152】また、本発明によれば、送信装置で実行さ
れるコンテンツ送信プログラムにおいて、そのコンテン
ツ送信プログラムに対応付けられた秘密鍵がプログラム
鍵に基づいて暗号化された状態で格納されており、悪意
のある者に改変されることはなく、受信装置のコンテン
ツ受信閲覧プログラムは、コンテンツの送信元のコンテ
ンツ送信プログラムについて、コンテンツ送信プログラ
ムの秘密鍵に対応し、コンテンツ受信閲覧プログラムが
予め保持する公開鍵に基づいて、所定の公開鍵アルゴリ
ズムにより認証し、その認証に成功した場合にのみ、コ
ンテンツ送信プログラムを信頼してコンテンツを受信す
るので、悪意のある攻撃者が介在したセキュリティ上問
題のあるコンテンツ送信プログラムを選別してそのよう
なコンテンツ送信プログラムからはコンテンツを受信し
ないようにすることができる。
【0153】また、本発明によれば、コンテンツ送信プ
ログラムとコンテンツ受信閲覧プログラムとが相互に認
証を行い、認証に成功した場合、コンテンツ受信閲覧プ
ログラムが、配布装置チェックプログラムによりコンテ
ンツ送信プログラムの安全性を検証し、コンテンツ送信
プログラムを安全であると判定した場合のみ、コンテン
ツ受信要求に係るコンテンツをコンテンツ送信プログラ
ムから受信するので、悪意のある攻撃者が介在したセキ
ュリティ上問題のあるコンテンツ送信プログラムを選別
してそのようなコンテンツ送信プログラムからはコンテ
ンツを受信しないようにすることができる。
【図面の簡単な説明】
【図1】本発明のコンテンツ配布/受信方法が適用され
る送受信ネットワークシステムの構成を示す図である。
【図2】コンテンツの構成を示す図である。
【図3】ファイル送信装置のハードウェア構成を示す図
である。
【図4】ファイル受信装置のハードウェア構成を示す図
である。
【図5】コンテンツ配布サーバのソフトウェアの構成を
示す図である。
【図6】ファイル受信装置のソフトウェアの構成を示す
図である。
【図7】コンテンツ配布プログラム(サーバ)とコンテ
ンツ受信プログラムのやり取りを示す図である。
【図8】コンテンツ受信プログラムの処理手順を示すフ
ローチャートである。
【図9】コンテンツ配布プログラムの処理手順を示すフ
ローチャートである。
【図10】コンテンツに付される暗号化属性を説明する
ための図である。
【図11】経路特定情報の埋め込みの処理手順を示す図
である。
【図12】クライアントプログラムがコンテンツ配布サ
ーバを認証する場合のファイル送信装置のハードウェア
構成を示す図である。
【図13】クライアントプログラムがコンテンツ配布サ
ーバを認証する場合のファイル受信装置のハードウェア
構成を示す図である。
【図14】クライアントプログラムがコンテンツ配布サ
ーバを認証する場合のコンテンツ配布サーバのソフトウ
ェアの構成を示す図である。
【図15】クライアントプログラムがコンテンツ配布サ
ーバを認証する場合のファイル受信装置のソフトウェア
の構成を示す図である。
【図16】相互認証する場合のファイル受信装置のハー
ドウェア構成を示す図である。
【図17】相互認証する場合のファイル受信装置のソフ
トウェアの構成を示す図である。
【図18】相互認証する場合のクライアントプログラム
の処理手順を示すフローチャートである。
【図19】相互認証する場合のコンテンツ配布サーバプ
ログラムの処理手順を示すフローチャートである。
【図20】ポリシーテーブルの例を示す図である。
【図21】キャッシュサーバを含む送受信ネットワーク
システムの構成を示す図である。
【図22】キャッシュサーバのハードウェア構成、即ち
キャッシュサーバとしてのファイル送受信装置の構成を
示す図である。
【図23】キャッシュサーバのソフトウェアの構成を示
す図である。
【図24】コンテンツ配布サーバとキャッシュサーバや
り取りと、キャッシュサーバと利用者とのやり取りを示
す図である。
【図25】キャッシュサーバがコンテンツ配布サーバか
らコンテンツを受信するまでの処理手順を示すフローチ
ャートである。
【図26】キャッシュサーバが利用者にコンテンツを送
信するまでの処理手順を示すフローチャートである。
【図27】ウィルスチェックプログラムの構成を示す図
である。
【図28】サーバのバージョンチェックを行わない従来
のコンテンツ取得方法を示す図である。
【図29】サーバのバージョンチェックを行う従来のコ
ンテンツ取得方法を示す図である。
【図30】サーバのバージョンチェックを行ってもウィ
ルスに感染してしまう従来のコンテンツ取得方法を示す
図である。
【図31】サーバのバージョンチェックを行ってもウィ
ルスに感染してしまう従来のコンテンツ取得方法を示す
図である。
【符号の説明】
1 ファイル送信装置 11 汎用プロセッサ 2 ファイル受信装置 21 耐タンパプロセッサ 211 プロセッサ秘密鍵 3 コンテンツ作成者 41 サーバプログラム 411 コンテンツ暗号化機能 412 ブラウザ公開鍵リスト 413 クライアント認証プログラム 414 認証公開鍵 51 ブラウザプログラム 53 コンテンツ受信プログラム 531 プログラム復号化鍵 532 認証秘密鍵 533 コンテンツ復号化機能 6 ファイル送信装置 61 耐タンパプロセッサ 7 ファイル受信装置 71 汎用プロセッサ 81 コンテンツ配布サーバプログラム 811 プログラム復号化鍵 812 認証秘密鍵 813 コンテンツ暗号化機能 814 コンテンツ配布機能 91 クライアントプログラム 93 サーバチェックプログラム 931 サーバチェック機能 932 認証公開鍵 101 クライアントプログラム 103 サーバチェックプログラム 1031 プログラム復号化鍵 1032 認証秘密鍵 1033 サーバチェック実行プログラム 1034 ポリシーテーブル 20 ファイル送受信装置 201 耐タンパプロセッサ 2011 プロセッサ秘密鍵 301 キャッシュサーバプログラム 3011 コンテンツ受信プログラム 3012 コンテンツ配布機能 3013 プログラム復号化鍵 3014 コンテンツ配布サーバ用認証鍵 3015 コンテンツ受信プログラム用認証鍵 40 ウィルスチェックプログラム 401 プログラム復号化鍵 402 ウィルスチェック機能 403 認証鍵 50 コンテンツ配布サーバ 60 コンテンツ閲覧プログラム 70 キャッシュサーバ 80 利用者閲覧プログラム 110 セキュリティ機関 120 サーバプログラムベンダ 130 攻撃者 140,150 サーバ 160 利用者 901 コンテンツ本体 902 著作権保護属性 903 暗号化属性 904 ポリシーテーブル

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】 プロセッサ秘密鍵を内蔵するマイクロプ
    ロセッサ及び外部メモリを備えた送信装置及び受信装置
    において実行されるコンテンツ配布/受信方法におい
    て、 前記送信装置及び受信装置に備えられる前記マイクロプ
    ロセッサは、複数のプログラムに各々対応する複数の配
    布鍵を前記プロセッサ秘密鍵によって各々復号化するこ
    とにより得られる複数のプログラム鍵を取り出し、 前記複数のプログラム鍵により各々暗号化された状態で
    前記外部メモリに配置された複数のプログラムを、対応
    するプログラム鍵によってそれぞれ復号化して擬似並列
    的に実行可能なものであって、 前記受信装置において実行されるコンテンツ受信閲覧プ
    ログラムは、 所定の秘密が、対応するプログラム鍵に基づいて暗号化
    された状態で格納され、前記送信装置に対して前記秘密
    の保持を証明する証明ステップを備え、 前記送信装置において実行されるコンテンツ送信プログ
    ラムは、 前記受信装置のコンテンツ受信閲覧プログラムからコン
    テンツを特定した受信要求を受け取る要求受信ステップ
    と、 前記受信要求の発行元のコンテンツ受信閲覧プログラム
    について前記所定の秘密を、前記コンテンツ受信閲覧プ
    ログラムの秘密鍵に対応し、コンテンツ送信プログラム
    が予め保持する公開鍵に基づいて、所定の公開鍵アルゴ
    リズムにより認証する機能、又は、コンテンツ送信プロ
    グラムが予め保持する前記コンテンツ受信閲覧プログラ
    ムとの間で共有する秘密鍵に基づいて秘密鍵アルゴリズ
    ムにより認証する機能のいずれかを持つ認証ステップ
    と、 前記認証ステップにおいてコンテンツ受信閲覧プログラ
    ムが前記所定の秘密を保持することが証明された場合の
    み、前記コンテンツ受信閲覧プログラムとコンテンツ送
    信プログラムとの間で他のプログラムから排他的に共有
    された秘密に基づいて暗号化したコンテンツの送信を許
    可する保護ステップと、 を備えることを特徴とするコンテンツ配布/受信方法。
  2. 【請求項2】 前記送信装置において実行されるコンテ
    ンツ送信プログラムは、前記要求されたコンテンツに含
    まれる著作権保護指定の有無を判別する判別ステップを
    更に持ち、この判別ステップにより保護指定有りと判別
    されたコンテンツに対して、前記認証ステップを実行す
    ることを特徴とする請求項1に記載のコンテンツ配布/
    受信方法。
  3. 【請求項3】 前記受信装置において実行されるコンテ
    ンツ受信閲覧プログラムは、有効期間に関する情報が含
    まれるコンテンツを受信した場合には、前記有効期間に
    関する情報に基づいてコンテンツの閲覧を制御すること
    を特徴とする請求項1に記載のコンテンツ配布/受信方
    法。
  4. 【請求項4】 前記コンテンツは、該コンテンツを利用
    する際の制限事項、該コンテンツの著作権表示内容、該
    コンテンツの課金情報のうち少なくとも1つを含むこと
    を特徴とする請求項1に記載のコンテンツ配布/受信方
    法。
  5. 【請求項5】 前記コンテンツ受信閲覧プログラムは、
    前記コンテンツを受信した際に、前記コンテンツを受信
    した受信装置及び前記受信装置の所有者の少なくとも一
    方を特定する情報を、受信した該コンテンツに付加する
    ことを特徴とする請求項1に記載のコンテンツ配布/受
    信方法。
  6. 【請求項6】 プロセッサ秘密鍵を内蔵するマイクロプ
    ロセッサ及び外部メモリを備えた送信装置と、他の受信
    装置において実行されるコンテンツ配布/受信方法にお
    いて、 前記送信装置に備えられる前記マイクロプロセッサは、
    複数のプログラムに各々対応する複数の配布鍵を前記プ
    ロセッサ秘密鍵によって各々復号化することにより得ら
    れる複数のプログラム鍵を取り出し、 前記複数のプログラム鍵により各々暗号化された状態で
    前記外部メモリに配置された複数のプログラムを、対応
    するプログラム鍵によってそれぞれ復号化して擬似並列
    的に実行可能なものであって、 前記送信装置において実行されるコンテンツ送信プログ
    ラムには、該コンテンツ送信プログラムに対応付けられ
    た秘密鍵が前記プログラム鍵に基づいて暗号化された状
    態で格納され、 前記受信装置のコンテンツ受信閲覧プログラムは、 前記コンテンツの送信元のコンテンツ送信プログラムに
    ついて、前記コンテンツ送信プログラムの秘密鍵に対応
    し、コンテンツ受信閲覧プログラムが予め保持する公開
    鍵に基づいて、所定の公開鍵アルゴリズムにより認証す
    る認証ステップと、 前記認証ステップにおいてコンテンツ送信プログラムが
    前記所定の秘密を保持することが証明された場合のみ前
    記コンテンツ送信プログラムからコンテンツを受信する
    ことを特徴とするコンテンツ配布/受信方法。
  7. 【請求項7】 プロセッサ秘密鍵を内蔵するマイクロプ
    ロセッサ及び外部メモリを備えた送信装置及び受信装置
    において実行されるコンテンツ配布/受信方法におい
    て、 前記送信装置及び受信装置に備えられる前記マイクロプ
    ロセッサは、複数のプログラムに各々対応する複数の配
    布鍵を前記プロセッサ秘密鍵によって各々復号化するこ
    とにより得られる複数のプログラム鍵を取り出し、 前記複数のプログラム鍵により各々暗号化された状態で
    前記外部メモリに配置された複数のプログラムを、対応
    するプログラム鍵によってそれぞれ復号化して擬似並列
    的に実行可能なものであって、 前記受信装置において実行されるコンテンツ受信閲覧プ
    ログラム及び前記送信装置において実行されるコンテン
    ツ送信プログラムは、 所定の秘密が、それぞれ対応するプログラム鍵に基づい
    て暗号化された状態で格納され、通信相手に対して前記
    秘密の保持を証明する証明ステップを備え、 前記証明ステップにおいて、前記通信相手の秘密の保持
    が証明された場合には、 前記送信装置が、前記受信装置から受信した送信装置チ
    ェックプログラムの実行を許可すると共に、前記受信装
    置が、前記送信装置チェックプログラムにより前記送信
    装置の安全性を検証し、 前記受信装置は、前記送信装置を安全であると判定した
    場合、前記コンテンツ受信要求に係るコンテンツを前記
    送信装置から受信することを特徴とするコンテンツ配布
    /受信方法。
  8. 【請求項8】 前記受信装置は、前記安全性を検証する
    際の判断基準が列記され、前記プログラム暗号化鍵で暗
    号化されたテーブルを更に有し、そのテーブルに列記さ
    れた判断基準に基づいて前記配布装置の安全性を検証す
    ることを特徴とする請求項7に記載のコンテンツ配布/
    受信方法。
JP2002134507A 2002-05-09 2002-05-09 コンテンツ配布/受信方法 Pending JP2003330365A (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2002134507A JP2003330365A (ja) 2002-05-09 2002-05-09 コンテンツ配布/受信方法
KR1020030028924A KR100615021B1 (ko) 2002-05-09 2003-05-07 콘텐츠 배포/수신 방법
CNB031491529A CN1266875C (zh) 2002-05-09 2003-05-09 内容发布/接收方法
EP03252895A EP1361497A3 (en) 2002-05-09 2003-05-09 Contents distribution scheme using tamper-resistant processor
US10/434,082 US20040030911A1 (en) 2002-05-09 2003-05-09 Contents distribution scheme using tamper-resistant processor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002134507A JP2003330365A (ja) 2002-05-09 2002-05-09 コンテンツ配布/受信方法

Publications (1)

Publication Number Publication Date
JP2003330365A true JP2003330365A (ja) 2003-11-19

Family

ID=29244185

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002134507A Pending JP2003330365A (ja) 2002-05-09 2002-05-09 コンテンツ配布/受信方法

Country Status (5)

Country Link
US (1) US20040030911A1 (ja)
EP (1) EP1361497A3 (ja)
JP (1) JP2003330365A (ja)
KR (1) KR100615021B1 (ja)
CN (1) CN1266875C (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007128313A (ja) * 2005-11-04 2007-05-24 Nec Corp コンテンツ提供システム、コンテンツ提供装置、端末装置、コンテンツ提供方法およびコンテンツ取得方法
JP2009055086A (ja) * 2007-08-23 2009-03-12 Ricoh Co Ltd 画像処理装置及び画像処理方法
US7971239B2 (en) 2005-07-07 2011-06-28 Sony Computer Entertainment Inc. Device control apparatus

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4282472B2 (ja) * 2003-12-26 2009-06-24 株式会社東芝 マイクロプロセッサ
EP1594083A1 (de) * 2004-05-07 2005-11-09 Alcatel Verfahren zum Zusenden von digitalen Kopien geschützter Medien sowie Netzzugangseinrichtung
JP4559794B2 (ja) * 2004-06-24 2010-10-13 株式会社東芝 マイクロプロセッサ
JP4612461B2 (ja) * 2004-06-24 2011-01-12 株式会社東芝 マイクロプロセッサ
JP4204522B2 (ja) * 2004-07-07 2009-01-07 株式会社東芝 マイクロプロセッサ
KR20060004490A (ko) * 2004-07-09 2006-01-12 백원장 배포가능한 유료 디지털 컨텐츠에 관한 권리를 관리하는시스템 및 방법
US8839450B2 (en) * 2007-08-02 2014-09-16 Intel Corporation Secure vault service for software components within an execution environment
US7669242B2 (en) * 2005-06-30 2010-02-23 Intel Corporation Agent presence monitor configured to execute in a secure environment
US7953980B2 (en) 2005-06-30 2011-05-31 Intel Corporation Signed manifest for run-time verification of software program identity and integrity
US7571298B2 (en) * 2005-06-30 2009-08-04 Intel Corporation Systems and methods for host virtual memory reconstitution
US20070006307A1 (en) * 2005-06-30 2007-01-04 Hahn Scott D Systems, apparatuses and methods for a host software presence check from an isolated partition
US20070067590A1 (en) * 2005-09-22 2007-03-22 Uday Savagaonkar Providing protected access to critical memory regions
US8168487B2 (en) 2006-09-28 2012-05-01 Hrl Laboratories, Llc Programmable connection and isolation of active regions in an integrated circuit using ambiguous features to confuse a reverse engineer
US7802050B2 (en) * 2006-09-29 2010-09-21 Intel Corporation Monitoring a target agent execution pattern on a VT-enabled system
US7882318B2 (en) * 2006-09-29 2011-02-01 Intel Corporation Tamper protection of software agents operating in a vitual technology environment methods and apparatuses
US8495383B2 (en) * 2006-12-14 2013-07-23 Nokia Corporation Method for the secure storing of program state data in an electronic device
KR100924314B1 (ko) * 2007-07-09 2009-11-02 주식회사 태그스토리 멀티미디어 데이터 소스 보호 시스템 및 그 방법
US8099718B2 (en) 2007-11-13 2012-01-17 Intel Corporation Method and system for whitelisting software components
JP4976991B2 (ja) * 2007-11-22 2012-07-18 株式会社東芝 情報処理装置、プログラム検証方法及びプログラム
US7979909B2 (en) * 2007-12-03 2011-07-12 Wells Fargo Bank Application controlled encryption of web browser data
JP5322620B2 (ja) 2008-12-18 2013-10-23 株式会社東芝 情報処理装置、プログラム開発システム、プログラム検証方法及びプログラム
US8364601B2 (en) * 2008-12-31 2013-01-29 Intel Corporation Methods and systems to directly render an image and correlate corresponding user input in a secure memory domain
JP5171907B2 (ja) * 2010-09-13 2013-03-27 株式会社東芝 情報処理装置、情報処理プログラム
KR101255137B1 (ko) * 2011-05-17 2013-04-22 인크로스 주식회사 콘텐츠 검증 정책 배포 관리 방법
CN103140856B (zh) 2011-09-13 2016-02-17 松下电器产业株式会社 内容再生系统、信息处理终端、媒体服务器、安全器件以及服务器安全器件
US20140059708A1 (en) * 2012-08-23 2014-02-27 Condel International Technologies Inc. Apparatuses and methods for protecting program file content using digital rights management (drm)
GB2531770A (en) * 2014-10-30 2016-05-04 Ibm Confidential Extracting System Internal Data
CN106713253B (zh) * 2015-11-18 2020-10-13 中兴通讯股份有限公司 周边感知联网中发送、接收信息的方法和装置
US11032320B1 (en) * 2016-09-19 2021-06-08 Jpmorgan Chase Bank, N.A. Systems and methods for dynamic application level encryption
EP3890382B1 (en) 2017-07-25 2022-09-07 Telefonaktiebolaget LM Ericsson (publ) Subscription concealed identifier
CN111026986B (zh) * 2018-10-10 2023-07-04 阿里巴巴集团控股有限公司 一种网页水印渲染方法及装置
US12088694B2 (en) 2020-12-24 2024-09-10 Samsung Electronics Co., Ltd. Method for providing encrypted object and electronic device for supporting the same
CN115243112A (zh) * 2022-06-07 2022-10-25 苏州思萃工业互联网技术研究所有限公司 一种监控视频溯源的装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4558176A (en) * 1982-09-20 1985-12-10 Arnold Mark G Computer systems to inhibit unauthorized copying, unauthorized usage, and automated cracking of protected software
US5666411A (en) * 1994-01-13 1997-09-09 Mccarty; Johnnie C. System for computer software protection
US6542610B2 (en) * 1997-01-30 2003-04-01 Intel Corporation Content protection for digital transmission systems
US6611812B2 (en) * 1998-08-13 2003-08-26 International Business Machines Corporation Secure electronic content distribution on CDS and DVDs
US6330670B1 (en) * 1998-10-26 2001-12-11 Microsoft Corporation Digital rights management operating system
US7270193B2 (en) * 2000-02-14 2007-09-18 Kabushiki Kaisha Toshiba Method and system for distributing programs using tamper resistant processor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7971239B2 (en) 2005-07-07 2011-06-28 Sony Computer Entertainment Inc. Device control apparatus
JP2007128313A (ja) * 2005-11-04 2007-05-24 Nec Corp コンテンツ提供システム、コンテンツ提供装置、端末装置、コンテンツ提供方法およびコンテンツ取得方法
JP2009055086A (ja) * 2007-08-23 2009-03-12 Ricoh Co Ltd 画像処理装置及び画像処理方法

Also Published As

Publication number Publication date
KR100615021B1 (ko) 2006-08-25
CN1457169A (zh) 2003-11-19
KR20030087951A (ko) 2003-11-15
EP1361497A2 (en) 2003-11-12
US20040030911A1 (en) 2004-02-12
EP1361497A3 (en) 2004-11-17
CN1266875C (zh) 2006-07-26

Similar Documents

Publication Publication Date Title
KR100615021B1 (ko) 콘텐츠 배포/수신 방법
KR100362219B1 (ko) 변조방지 프로세서를 이용하여 프로그램을 분배하기 위한방법 및 시스템
US8136166B2 (en) Installation of black box for trusted component for digital rights management (DRM) on computing device
US7797544B2 (en) Attesting to establish trust between computer entities
JP4278327B2 (ja) コンピュータ・プラットフォームおよびその運用方法
US8204233B2 (en) Administration of data encryption in enterprise computer systems
US7685425B1 (en) Server computer for guaranteeing files integrity
US20050060568A1 (en) Controlling access to data
CN109923548A (zh) 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品
US20020032873A1 (en) Method and system for protecting objects distributed over a network
KR20030036787A (ko) 네트워크를 통하여 분배되는 객체를 보안화하기 위한 감사추적 구축용 시스템
KR20070046982A (ko) 하드웨어 식별에 기초한 디지털권 관리 시스템
JPH1185622A (ja) コア・データ機密事項の保護記憶
KR100561497B1 (ko) 소프트웨어 보안 인증 경로
CN113614720A (zh) 一种动态配置可信应用程序访问控制的装置和方法
CN100591006C (zh) 安全读取下载数据的方法和系统
JP2005197912A (ja) 情報開示制御方法、情報開示制御プログラム、ならびに、耐タンパ装置
EP1662693B1 (en) Digital literary work protection system and digital literary work protection method
JPH10260939A (ja) コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム
JP2008021021A (ja) ソフトウエアのライセンス認証方法
KR20050026131A (ko) 개인 휴대 단말기의 데이터 동기화 방법 및 그 시스템
KR100523843B1 (ko) 디지털 저작권 관리 클라이언트에서의 접근권한 제어를위한 접근 제어 목록 기반의 제어 장치
WO2019235450A1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
WO2003067850A1 (en) Verifying digital content integrity
CN117294448A (zh) 一种增强互联网服务端安全性能的方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060807

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060829