JP2004030326A - コンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラム - Google Patents

コンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラム Download PDF

Info

Publication number
JP2004030326A
JP2004030326A JP2002186786A JP2002186786A JP2004030326A JP 2004030326 A JP2004030326 A JP 2004030326A JP 2002186786 A JP2002186786 A JP 2002186786A JP 2002186786 A JP2002186786 A JP 2002186786A JP 2004030326 A JP2004030326 A JP 2004030326A
Authority
JP
Japan
Prior art keywords
content
key
token
license
nonce
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002186786A
Other languages
English (en)
Other versions
JP2004030326A5 (ja
JP4168679B2 (ja
Inventor
Yoichiro Iino
飯野 陽一郎
Naoki Tanaka
田中 直樹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2002186786A priority Critical patent/JP4168679B2/ja
Publication of JP2004030326A publication Critical patent/JP2004030326A/ja
Publication of JP2004030326A5 publication Critical patent/JP2004030326A5/ja
Application granted granted Critical
Publication of JP4168679B2 publication Critical patent/JP4168679B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】コンテンツの利用者にライセンスを与えてコンテンツの利用を制御しコンテンツの保護を図る。
【解決手段】ライセンス・トークンは、再生装置で生成されたノンスとコンテンツの識別番号、利用条件に、コンテンツ利用許可の権限者が電子署名やメッセージ認証コードを付加したものとする。再生装置は、自分が生成したノンスが含まれることで、ライセンス・トークンが自分宛てであることを知り、なお且つコンテンツ提供者又はシステム管理者が電子署名やメッセージ認証コードが付加されていることで、ライセンス・トークンとして有効であることを判断する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、広帯域通信網(xDSL:x Digital Subscriber Line、CATV(Cable TV)、無線ネットワーク)などによって配信される音楽データや画像データ、電子出版物などのデジタル・データや動画像などリッチ・コンテンツの利用を管理するコンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラムに係り、特に、使用許諾など何らかの契約や利用条件に基づいてコンテンツの利用を管理するコンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラムに関する。
【0002】
さらに詳しくは、本発明は、コンテンツの利用者にライセンスを与えることによりコンテンツの利用を制御しコンテンツの保護を図るコンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラムに係り、特に、コンテンツ鍵の不正利用を防止しながらコンテンツの利用者にライセンスを与えるコンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラムに関する。
【0003】
【従来の技術】
近年の広帯域通信網(xDSL:x Digital Subscriber Line、CATV(Cable TV)、無線ネットワークなど)の普及により、音楽データや画像データ、電子出版物などのデジタル・データや動画像などリッチ・コンテンツの配信もユーザにストレスなく伝送できるような仕組みが整いつつある。
【0004】
一方、配信されるコンテンツはデジタル・データであり、コピーや改ざんなどの操作を比較的容易に行うことができる。また、現在これらのコンテンツのコピーや改竄などの不正行為は頻繁に行われており、これがデジタル・コンテンツ・ベンダの利益を阻害する主要な要因となっている。この結果、コンテンツの値段も高くしなければならなくなり、普及の障壁となるという悪循環が起こっている。
【0005】
暗号技術を用いることによって、通信路上に流れるコンテンツを悪意のある第三者から保護することが可能となっている。しかしながら、コンテンツの配信過程だけでなく、コンテンツが正規のユーザに提供された後に行なわれる不正コピーや不正利用も大きな問題となっている。
【0006】
デジタル・コンテンツに関するこの種の問題への対策として、最近では権利管理方式(DRM:Digital Rights Management)と呼ばれる方式が採用されている。以下では、このDRMの概要とその問題点について説明する。
【0007】
DRM( Digital Right Management ):
権利情報管理方式(DRM)によって、ユーザはコンテンツの利用許可(ライセンス)を得なければ,コンテンツを利用できない仕組みが実現される。このようなシステムとしては米マイクロソフト社の”Windows Media Right Manager”や、米IBM社の”Electronic Media Management System(EMMS)”と呼ばれるシステムが挙げられる。
【0008】
DRMのシステムは、典型的にはコンテンツ提供者とライセンス管理者とユーザという参加者で構成される。ユーザは、コンテンツの再生装置を所持し、それを使ってコンテンツを利用する。また、ライセンス管理者はのユーザにライセンスの発行を行なう。また、コンテンツ提供者は、ユーザにコンテンツの提供を行なう。
【0009】
コンテンツ(Cont)は、コンテンツ提供者によって、コンテンツ毎に異なる鍵(コンテンツ鍵K)で暗号化された形式E(K,Cont)で配布される。本明細書中では、これを暗号化コンテンツと呼ぶことにする。
【0010】
ユーザは、あるコンテンツContを使用する場合、ライセンス管理者に対してライセンス発行を要求する。これに対し、ライセンス発行者は、ユーザへの課金処理などを行なった上でライセンスを発行する。
【0011】
ここで言うライセンスの発行は、実際には、ユーザの再生装置にコンテンツ鍵Kを与えることである。このために、ライセンス管理者は再生装置との間で、再生装置毎に異なる暗号鍵Kを共有しており(暗号鍵Kの共有は、ライセンス発行時に行われるか、又はあらかじめ共有したものが再生装置に組み込まれている)、コンテンツ鍵Kを暗号鍵Kで暗号化したデータE(K,K)として再生装置に送付する。このデータのことを「ライセンス・トークン」と呼ぶ。
【0012】
ライセンスを受けたユーザの再生装置は、暗号鍵Kuと受け取ったライセンス・トークンE(K,K)と暗号化コンテンツE(K,Cont)を使って、コンテンツを再生することができる。まず、ライセンス・トークンE(K,K)からコンテンツ鍵Kを復号し、次いでコンテンツ鍵Kを使って暗号化コンテンツE(K,Cont)からコンテンツContを復号して再生する。したがって、再生装置とライセンス・トークンと暗号化コンテンツの組み合わせが正しいときだけ、つまりライセンスを得たユーザだけがコンテンツを利用できることになる。
【0013】
ここで、コンテンツの利用権を保護するためには、再生装置側では、復号されたコンテンツが外部に漏洩することを防がなければならない。このためには、再生装置は、暗号鍵Kやコンテンツ鍵Kや復号されたコンテンツContを外部に漏らさないように処理しなければならない。何故なら、復号されたコンテンツが一旦外部に漏洩すれば、それを複製し利用することが制約なしに可能になるからである。言い換えれば、再生装置には、暗号鍵Kやコンテンツ鍵K、並びに復号されたコンテンツContを外部に漏らさないで処理できるという条件が必要である。本明細書中では、このような条件を備えた再生装置のことを「正当」であると呼ぶことにする。
【0014】
DRMでは、コンテンツのライセンス(利用許可)をユーザに与えることは、コンテンツ鍵Kをそのユーザの再生装置に与えることで実現される。このライセンス供与の際に、コンテンツ鍵Kを受け取る再生装置は正当であるという条件が必須である。したがって、ライセンスの発行を行なうライセンス発行者は、発行相手の再生装置を特定し、正当な再生装置だけにコンテンツ鍵を与えるようにしなければならない。このため、ライセンス発行者は正当な再生装置に関するデータベースを持ち、ライセンス発行はそれに基づいて行なう必要がある。
【0015】
しかしながら、多数の再生装置が存在する場合を考えると、このようなデータベースの検索は時間あるいはコストを要する処理となる。特に、コンテンツの毎回ダウンロードなどの仕組みにより、ライセンス発行が頻繁に行なわれる場合、データベースの置かれるサーバの負荷が過剰になる。つまり、DRMでのライセンス発行は、再生装置の個数の増加に対してスケーラビリティのない処理となる。
【0016】
例えば,特定のユーザに対してコンテンツを提供する場合を考えると、コンテンツ提供の前にユーザ認証を行うことになる。
【0017】
DRMの方法を使うのであれば、さらにユーザ認証に加えてそのユーザが持つコンテンツの再生装置を特定し、再生装置に専用のライセンスを生成するという処理が必要になる。このことはコンテンツ提供の処理速度を低下させてしまう。
【0018】
【発明が解決しようとする課題】
本発明の目的は、使用許諾など何らかの契約や利用条件に基づいてコンテンツの利用を好適に管理することができる、優れたコンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラムを提供することにある。
【0019】
本発明のさらなる目的は、コンテンツの利用者にライセンスを与えることによりコンテンツの利用を制御しコンテンツの保護を図ることができる、優れたコンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラムを提供することにある。
【0020】
本発明のさらなる目的は、コンテンツ鍵の不正利用を防止しながらコンテンツの利用者にライセンスを与えることができる、優れたコンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラムを提供することにある。
【0021】
【課題を解決するための手段及び作用】
本発明は、上記課題を参酌してなされたものであり、その第1の側面は、ライセンスの配布によりコンテンツの利用を管理するコンテンツ利用管理システムであって、
コンテンツを利用する正当な装置で生成された一回限りの乱数からなるノンスとコンテンツの利用許可の権限者に関する認証情報を少なくとも含むデータをライセンス・トークンとして用い、
コンテンツを利用する正当な装置側では、ライセンス・トークンに自分が生成したノンスが含まれていること及びコンテンツ利用許可の権限者に関する認証情報の認証処理によりライセンス・トークンの有効性を検証し、ライセンス・トークンが有効である場合に該当するコンテンツをユーザに利用させる、
ことを特徴とするコンテンツ利用管理システムである。
【0022】
但し、ここで言う「システム」とは、複数の装置(又は特定の機能を実現する機能モジュール)が論理的に集合した物のことを言い、各装置や機能モジュールが単一の筐体内にあるか否かは特に問わない。
【0023】
また、本発明の第2の側面は、ライセンスの配布によりコンテンツの利用を管理する情報処理装置又は情報処理方法であって、
コンテンツの利用者から一回限りの乱数であるノンスを受信するノンス受信手段又はステップと、
受信したノンスと自身の認証情報を少なくとも含むライセンス・トークンをコンテンツの利用者に配布するライセンス・トークン発行手段又はステップと、
を具備することを特徴とする情報処理装置又は情報処理方法である。
【0024】
また、本発明の第3の側面は、コンテンツを安全に提供する情報処理装置又は情報処理方法であって、
コンテンツを正当に利用する装置にイネーブル鍵を発行するイネーブル鍵発行手段又はステップと、
コンテンツ毎に固有のコンテンツ鍵でコンテンツを暗号化するコンテンツ暗号化手段又はステップと、
コンテンツ鍵を含むデータをイネーブル鍵で暗号化してなるコンテンツ・トークンを生成するコンテンツ・トークン生成手段又はステップと、
暗号化コンテンツをコンテンツ・トークンとともに配布するコンテンツ提供手段又はステップと、
を具備することを特徴とする情報処理装置又は情報処理方法である。
【0025】
また、本発明の第4の側面は、ライセンスの取得によりコンテンツの正当な利用を行なう情報処理装置又は情報処理方法であって、
コンテンツを取得するコンテンツ取得手段又はステップと、
一回限りの乱数であるノンスを発行するノンス発行手段又はステップと、
コンテンツに関するライセンス・トークンを受信して、前記ノンス発行手段又はステップが発行したノンスが含まれているか、及び所定のコンテンツ利用許可の権限者から得られたものであるかどうかを認証することにより該ライセンス・トークンの有効性を検証するライセンス・トークン検証手段又はステップと、
ライセンス・トークンが有効であることに応答して、該当するコンテンツの利用を行なうコンテンツ利用手段又はステップと、
を具備することを特徴とする情報処理装置又は情報処理方法である。
【0026】
本発明では、再生装置で生成されたノンス(1回限りの乱数)とコンテンツの識別番号、利用条件(例えば利用許可の回数や期間など)に、コンテンツの提供者あるいはシステム管理者などのコンテンツ利用許可の権限者が、電子署名やメッセージ認証コードを付加したものをランセンス・トークンとして用いる。
【0027】
ライセンス・トークンを受け取った再生装置は、自分が生成したノンスが含まれることで、ライセンス・トークンが自分宛てであることを知り、なお且つコンテンツの提供者又はシステム管理者が電子署名やメッセージ認証コードが付加されていることで、ライセンス・トークンとして有効であることを判断することができる。
【0028】
また本発明では、コンテンツ鍵をライセンスとして配布する代わりに、コンテンツ配布と同時にコンテンツ・トークンとして配布するようになっている。このコンテンツ・トークンは、コンテンツ鍵をイネーブル鍵で暗号化したデータである。また、イネーブル鍵はライセンスの有無とは独立に、正当な再生装置だけが利用可能な鍵である。
【0029】
コンテンツの識別情報は、暗号化コンテンツ又はコンテンツ・トークンの一部として、コンテンツ鍵又はイネーブル鍵で暗号化して含まれるので、正当な再生装置が判断可能な形式で配布され、コンテンツ利用許可の権限者以外から意図的な改変ができない。したがって、暗号化コンテンツを復号するコンテンツ鍵を再生装置に与えるのではなく、再生装置から判断できる形式で、コンテンツの利用許可の権限者が利用を許可するコンテンツの識別情報を指定することにより、再生装置に対してコンテンツの利用を許可することができる。
【0030】
そして、再生装置は、ライセンスを取得できたと判断した場合だけ、ライセンスで指定されたコンテンツの識別番号を含むコンテンツ・トークンを自身が保持するイネーブル鍵で復号してコンテンツ鍵を取り出し、次いで、コンテンツ鍵で暗号化コンテンツを復号して得られるコンテンツをユーザに利用させる。したがって、正当な再生装置は、復号したコンテンツそのものを装置外に漏らすことなく、コンテンツを利用に供することができる。
【0031】
また、イネーブル鍵は、システム管理者が生成するとして、正当な再生装置にイネーブル鍵を利用可能にする方法としては2種類が考えられる。1つの方法は、正当な再生装置にあらかじめイネーブル鍵を配布しておく方法である。
【0032】
このような方法としては、例えばRFC(Request for Comment)2627に記載のユーザ・グループに暗号鍵を共有させる方法のいずれかを用いればよい。最も単純にシステム管理者が再生装置毎にイネーブル鍵を配布する場合には、イネーブル鍵の配布に再生装置の個数Nに比例する手間が必要になる。しかし、RFC2627には、各再生装置に再生装置の個数Nの対数に比例するサイズのデータを持たせる階層鍵構造(hierarchical key tree)による管理方式が示されており、これを適用することにより、個数Nの対数に比例するサイズのデータのブロードキャストでイネーブル鍵の配布を行なうことができる。
【0033】
イネーブル鍵を配布するもう1つの方法は、イネーブル鍵を正当な再生装置だけに取得可能な形式で暗号化コンテンツとともに配布する方法である。本出願人に既に譲渡されている特開2001−352321号公報(発明の名称:情報システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体)に開示されているように、各再生装置に再生装置に個数Nの対数に比例するサイズのデータを持たせることで、イネーブル鍵の配布を再生装置の個数Nの対数に比例するサイズのデータを暗号化コンテンツとともに配布することで行なうことができる。
【0034】
また、耐タンパ性が破壊された再生装置が発生した場合には、イネーブル鍵を更新するようにしてもよい。イネーブル鍵を更新して、新しいコンテンツ鍵でコンテンツを暗号化したものと、新しいイネーブル鍵でコンテンツ鍵を暗号化したものとしてコンテンツの配布を行なうことで、耐タンパ性が破壊された再生装置に含まれる情報を使っても、暗号化コンテンツを2度と復号できなくすることができる。
【0035】
本発明で重要な点は、ライセンスがコンテンツ鍵でないため、任意の装置にライセンスを与えても、実際にコンテンツを復号できるのは、あらかじめイネーブル鍵を共有している正当な再生装置に限定される、ということである。したがって、本発明によって、ライセンス発行時に発行対象の再生装置を特定して各再生装置に専用のライセンスを発行することが不要になる。これによって、ライセンス発行を高速に処理することが可能になり、再生装置の個数の増加に関してスケーラビリティのよいライセンス発行処理を実現することができる。
【0036】
また、本発明の第5の側面は、ライセンスの配布によりコンテンツの利用を管理するための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、
コンテンツの利用者から一回限りの乱数であるノンスを受信するノンス受信ステップと、
受信したノンスと自身の認証情報を少なくとも含むライセンス・トークンをコンテンツの利用者に配布するライセンス・トークン発行ステップと、
を具備することを特徴とするコンピュータ・プログラムである。
【0037】
また、本発明の第6の側面は、コンテンツを安全に提供するための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、
コンテンツを正当に利用する装置にイネーブル鍵を発行するイネーブル鍵発行ステップと、
コンテンツ毎に固有のコンテンツ鍵でコンテンツを暗号化するコンテンツ暗号化ステップと、
コンテンツ鍵を含むデータをイネーブル鍵で暗号化してなるコンテンツ・トークンを生成するコンテンツ・トークン生成ステップと、
暗号化コンテンツをコンテンツ・トークンとともに配布するコンテンツ提供ステップと、
を具備することを特徴とするコンピュータ・プログラムである。
【0038】
また、本発明の第7の側面は、ライセンスの取得によりコンテンツの正当な利用を行なうための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、
コンテンツを取得するコンテンツ取得ステップと、
1回限りの乱数であるノンスを発行するノンス発行ステップと、
コンテンツに関するライセンス・トークンを受信して、前記ノンス発行ステップにおいて発行したノンスが含まれているか、及び所定のコンテンツ利用許可の権限者から得られたものであるかどうかを認証することにより該ライセンス・トークンの有効性を検証するライセンス・トークン検証ステップと、
ライセンス・トークンが有効であることに応答して、該当するコンテンツの利用を行なうコンテンツ利用ステップと、
を具備することを特徴とするコンピュータ・プログラムである。
【0039】
本発明の第5乃至第7の各側面に係るコンピュータ・プログラムは、コンピュータ・システム上で所定の処理を実現するようにコンピュータ可読形式で記述されたコンピュータ・プログラムを定義したものである。換言すれば、本発明の第5乃至第7の各側面に係るコンピュータ・プログラムをコンピュータ・システムにインストールすることによって、コンピュータ・システム上では協働的作用が発揮され、本発明の第2乃至第4の各側面に係る情報処理装置又は情報処理方法と同様の作用効果を得ることができる。
【0040】
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施形態や添付する図面に基づくより詳細な説明によって明らかになるであろう。
【0041】
【発明の実施の形態】
以下では、本発明の実施形態として、正当な再生装置であらかじめイネーブル鍵が共有されている場合(実施形態1)と、正当な再生装置にのみ取得可能な形式でイネーブル鍵が暗号化コンテンツとともに配布される場合(実施形態2)について、図面を参照しながら詳解する。その前に、まず本発明で用いられる暗号技術について簡単に説明しておく。
【0042】
A.暗号技術
本明細書では、E(K,M)は、暗号鍵KによるデータMの暗号化を意味する。また、MAC(K,M)はデータMに対して鍵Kを使って生成したメッセージ認証コードを表す。
【0043】
メッセージ認証コード(MAC:Message Authentication Code)は、共通鍵暗号を利用してデータの改竄の発見とメッセージ生成者の特定を可能にする方法である。データMの作成者とMの送付先だけが共通鍵暗号の鍵Kを共有していると仮定し、このときデータMのメッセージ認証コードは鍵Kを用いてMAC(K,M)=E(K,h(M))(鍵Kによるh(M)の暗号化データ)とすればよい。ここで、h()はデータの送り側と受け側が共通に持つ一方向性関数である。一方向性関数としては、例えばMD5やSHA−1と呼ばれるものが挙げられる(詳しくは、例えばISO/IEC10118やFIPS180−1などを参照のこと)。
【0044】
データMを送る際に、メッセージ認証コードと組み合わせて、(M,MAC(K,M))という形式で送ると、データの受け取り側では、データMに一方向性関数を適用して、h(M)=E(K,h(M))が満たされるかどうかを確認することによって、データMが改竄されていないことと、メッセージ認証コードMAC(K,M)が鍵Kの所有者によって付加されたものであることを確認することができる。
【0045】
また、以下の説明においてメッセージ認証コードを使う箇所では、メッセージ認証コードの変わりに電子署名を使うこともできる。その場合には、以下の説明でメッセージ認証コードを確認する側が、共通鍵暗号の暗号鍵の代わりに署名検証のための公開鍵を保持すればよい。
【0046】
電子署名は公開鍵暗号の応用の一種である。ここで、公開鍵暗号方式は、データを暗号化する際に用いる鍵(公開鍵)Pと、復号化する際に用いる鍵(秘密鍵)Sが異なり、且つ一方の鍵から他方を算出することが非常に困難であるという性質を持った暗号アルゴリズムである。すなわち、rのPによる暗号化をR=E(P,r)とすれば、暗号データRの秘密鍵Sによる復号D(S,R)はrに一致する)。公開鍵暗号については、例えばIEEE−P1363で標準的手法がまとめられている。
【0047】
電子署名は、データMが存在するとき、Mの作成者が自分の秘密鍵Sを用いて計算したデータSG(M)=D(S,h(M))である。データMを送る際に、電子署名と組み合わせて(M,SG(M))という形式で送ると、受け取り側では、受信したデータMに一方向性関数を適用して、h(M)=E(P,SG(M))が満たされるかどうかを確認することによって、Mが改竄されていないこと、及びSG(M)が秘密鍵Sの所有者によって付加されたことを確認することができる。このような手続のことを電子署名の検証と呼ぶ。電子署名についても、例えばIEEE−P1363に標準的手法がまとめられている。
【0048】
B.第1の実施形態
B−1.全体構成
図1には、本発明の第1の実施形態に係るシステムの参加者を示している。同図に示すように、参加者は、コンテンツ提供者30、システム管理者20、及び再生装置40からなる。なお、コンテンツ提供者と再生装置は複数存在してもよい。
【0049】
再生装置40は、システム管理者20から、当該システムを利用するユーザに配布されているものとする。
【0050】
コンテンツ提供者30は、コンテンツ(例えば、音楽又は画像データや電子文書、ソフトウェアなど)をユーザへ提供するために、システム管理者20と契約を結び、各ユーザの再生装置40にコンテンツを提供する。
【0051】
B−2.システム管理者
図2には、システム管理者20の機能構成を模式的に示している。同図に示すように、システム管理者20は、暗号処理部21と、データ記憶部22と、乱数発生器23と、時計24と、通信処理部25とを備えている。システム管理者20は、実際には、広域ネットワークに接続されたコンピュータ・システム上で所定のサーバ・アプリケーションを動作させることによって構成される。
【0052】
システム管理者20は、通信処理部25によってコンテンツ提供者や再生装置との間で通信が可能であるとする。以下で説明するシステム管理者20の保持するデータは、すべてデータ記憶部22に保持される。
【0053】
図3〜図5には、システム管理者20において保持されているデータ構成を模式的に示している。
【0054】
システム管理者20は、システムに参加しているすべての再生装置40についての再生装置固有番号、再生装置固有鍵a、並びに再生装置固有鍵bを管理する再生装置表211を備えている(図3を参照のこと)。この再生装置表211は、正当な再生装置毎の再生装置固有番号、再生装置固有鍵a、並びに再生装置固有鍵bを、表の1列(以下では1「レコード」と呼ぶ)とし、各レコードを再生装置固有番号で検索できるデータベースとして実装すればよい。
【0055】
また、システム管理者20は、システムに参加しているすべてのコンテンツ提供者30のコンテンツ提供者固有番号、コンテンツ提供者固有鍵a、コンテンツ提供者固有鍵b、並びにコンテンツ提供者アドレスを管理するコンテンツ提供者表212を備えている(図4を参照のこと)。このコンテンツ提供者表212は、コンテンツ毎のコンテンツ提供者固有番号、コンテンツ提供者固有鍵a、コンテンツ提供者固有鍵b、コンテンツ提供者アドレスを1レコードで表し、各レコードをコンテンツ提供者固有番号で検索できるデータベースとして実装すればよい。
【0056】
また、イネーブル鍵情報213は、現在のイネーブル鍵のバージョン番号IVERとイネーブル鍵Kを保持する(図5を参照のこと)。
【0057】
B−3.コンテンツ提供者
図6には、コンテンツ提供者30の機能構成を模式的に示している。同図に示すように、コンテンツ提供者30は、耐タンパ性暗号処理部31と、耐タンパ性データ記憶部32と、データ記憶部33と、乱数発生器34と、通信処理部35と、時計36とを備えている。通信処理部35によってシステム管理者や再生装置との間で通信が可能であるとする。コンテンツ提供者30は、実際には、広域ネットワークに接続されたコンピュータ・システム上で所定のサーバ・アプリケーションを動作させることによって構成される。
【0058】
ここで言う「耐タンパ性」とは、外部からの観察や解析によって内部の処理やデータが取得、改竄できない性質のことである。また、耐タンパ性暗号処理部31と耐タンパ性データ記憶部32の間では、耐タンパ性を持った通信が可能である。
【0059】
以下で説明するコンテンツ提供者30の保持データのうちで、コンテンツ表はデータ記憶部33に保持され、また、コンテンツ提供者固有情報とイネーブル鍵情報は耐タンパ性データ記憶部32に保持される。また、イネーブル鍵を使う処理(後述のイネーブル鍵取得、及びコンテンツ・トークン生成)は、耐タンパ性暗号処理部31で行なわれる。
【0060】
図7〜図9には、コンテンツ提供者30において保持されるデータ構成を模式的に示している。
【0061】
コンテンツ提供者30は、提供するコンテンツContを管理するコンテンツ表311を備えている(図7を参照のこと)。コンテンツ識別番号CIDでコンテンツ鍵KであるコンテンツContに対して、コンテンツ表311はコンテンツ識別番号CID、コンテンツ鍵Kc、暗号化コンテンツE(K,Cont)、コンテンツ・トークンIVER||E(K,K||CID)からなるレコードを用意する。コンテンツ表311は、各レコードをコンテンツ識別番号CIDで検索できるデータベースとして実装すればよい。
【0062】
上述の例では、コンテンツ識別番号CIDでコンテンツ鍵KであるコンテンツContに対して、暗号化コンテンツとコンテンツ・トークンはそれぞれ、E(K,Cont)とIVER||E(K,K||CID)とした。但し、コンテンツ識別番号は暗号化コンテンツ又はコンテンツ・トークンから再生装置40で取得できる形式であればよいので、例えば暗号化コンテンツとコンテンツ・トークンがE(K,Cont||CID)とIVER||E(K,K)という形式であっても構わない。後者の形式を扱う場合、以下で説明する実施例に必要な変更は自明であるので、その説明は省略する。また、コンテンツを暗号化するだけでなく、改変を防ぐためにメッセージ認証コード(前述)を付加することも考えられるが、その場合も必要な変更は自明であるので説明は省略する。
【0063】
コンテンツ提供者固有情報312は、コンテンツ提供者固有番号、コンテンツ提供者固有鍵a、コンテンツ提供者固有鍵bで構成される(図8を参照のこと)。これらは、コンテンツ提供者30がシステムの使用の契約を結ぶときにシステム管理者20が決めたもので、同じデータにコンテンツ提供者30のアドレスを追加したレコードがシステム管理者20のコンテンツ提供者表212にも登録される。
【0064】
イネーブル鍵情報313は、現在のイネーブル鍵のバージョン番号IVERとイネーブル鍵Kを保持し(図9を参照のこと)、これらは、イネーブル鍵取得の手続きでシステム管理者から取得する(後述)。
【0065】
B−4.再生装置
図10には、再生装置40の機能構成を模式的に示している。同図に示すように、再生装置40は、暗号処理部41と、データ記憶部42と、乱数発生器43と、通信処理部44と、時計45とを備えている。再生装置40は、全体が耐タンパ性を持つ。通信処理部44によってシステム管理者やコンテンツ提供者との間で通信が可能であるとする。再生装置40は、実際には、広域ネットワークに接続されたコンピュータ・システム上でコンテンツ再生・アプリケーションを動作させることによって構成される。以下で説明する再生装置の保持するデータはすべてデータ記憶部42に保持される。
【0066】
なお、時計45は、再生装置40に与えられる後述のライセンス情報に、(コンテンツの)利用条件として有効期限が含まれる場合のみ必要である。したがって、利用条件として有効期限を用いない場合には、再生装置40に時計45が含まれることは必須ではない。また、利用条件として有効期限を使う場合であっても、有効期限を時刻として指定するのではなく、ライセンスを受けとってからの経過時間(期間)として指定する場合には、時計45の絶対的な時刻を保持するものを使う必要はない(この場合、再生装置40の時計45には時刻合わせが不要である)。
【0067】
図11〜図13には、再生装置40において保持されるデータ構成を模式的に示している。再生装置40は、再生装置固有情報411と、イネーブル鍵情報412と、ライセンス情報413を備えている。
【0068】
再生装置固有情報411は再生装置固有番号、再生装置固有鍵a、再生装置固有鍵bを保持する(図11を参照のこと)。これらは再生装置40が出荷される際に入力され、システム管理者20の再生装置表211にも登録される。
【0069】
イネーブル鍵情報412は、現在のイネーブル鍵のバージョン番号IVERとイネーブル鍵Kを保持し(図12を参照のこと)、これらは、イネーブル鍵取得の手続きでシステム管理者40から取得する(後述)。
【0070】
ライセンス情報413は、コンテンツ識別番号とライセンス条件からなり(図13を参照のこと)、コンテンツ利用の際に取得したライセンスの情報が記録される。
【0071】
B−5.動作の概要
コンテンツ提供者30、システム管理者20、並びに再生装置40からなる本発明のシステムの動作について以下で説明する。
【0072】
システムの動作は、初期化、コンテンツ利用、イネーブル鍵更新からなる。各参加者では最初に初期化が行われてから、コンテンツ追加・削除、コンテンツ利用、イネーブル鍵更新が行われる。
【0073】
初期化は、最初にシステム管理者20で行われる。コンテンツ提供者30、再生装置40については、システムに新たに参加した際に初期化が行われる。
【0074】
コンテンツ追加・削除は、コンテンツ提供者30が提供するコンテンツを追加あるいは削除する際に行なう処理である。
【0075】
コンテンツ利用は、ユーザが自分の再生装置40にコンテンツ提供者30からコンテンツの提供を受けて、コンテンツを利用する際の処理である。以下の説明では、コンテンツ利用の際に暗号化コンテンツ、コンテンツ・トークン、ライセンスの取得が同時に行なわれる場合について説明するが、ライセンスの取得が暗号化コンテンツ、コンテンツ・トークンの取得とは別のタイミングで行われても勿論よい。
【0076】
また、ライセンス取得の際には、ユーザへの課金処理や、ユーザがコンテンツを利用する権利を得ていることの確認のために、ユーザの認証が行われることが一般的である。このようなユーザ認証の方法としては,例えばKerberosやPKIと呼ばれる方法を使えばよい。但し、これらは本発明の要旨には直接関係しないので、ここでは説明を省略して、以降は利用権利の確認が終わったユーザの持つ再生装置40に対して1回又は複数回のコンテンツ利用のラインセンス(=利用許可)を与える場合について説明する。
【0077】
イネーブル鍵更新は、システムに参加しているいずれかの再生装置40の耐タンパ性が破られ、再生装置40のデータ記憶部42に保持されているデータが漏洩したときに、それらの情報を使って暗号化コンテンツを復号できなくするための処理である。すなわち、イネーブル鍵を更新して、耐タンパ性の破られていない正当な再生装置40だけに新たなイネーブル鍵を共有させる。コンテンツ提供者30には新たなイネーブル鍵を提供して、コンテンツを新たなコンテンツ鍵で再暗号化させ、コンテンツ・トークンも新たなコンテンツ鍵を新たなイネーブル鍵で暗号化したものに置き換えることで、耐タンパ性の破られた再生装置40に含まれていたイネーブル鍵を使っても暗号化コンテンツを復号できなくする。
【0078】
イネーブル鍵更新はシステム管理者と再生装置、コンテンツ提供者で行なう処理になる。
【0079】
以下では、再生装置40、コンテンツ提供者30、システム管理者20についての初期化、コンテンツ追加・削除、コンテンツ利用、イネーブル鍵更新を順に説明する。
【0080】
B−6.初期化
システム管理者20の初期化では、乱数発生器23を使って新たなイネーブル鍵を生成し、イネーブル鍵バージョン番号0とイネーブル鍵をイネーブル鍵情報213として保持する。また、再生装置表211とコンテンツ提供者表212にレコードがない状態にする。
【0081】
コンテンツ提供者30は、初期化の前に、コンテンツ利用権管理システムの利用契約を結ぶ。その際、システム管理者20との間で一意なコンテンツ提供者固有番号PIDとコンテンツ提供者固有鍵Kpa,Kpbを取り決め、これをコンテンツ提供者固有情報312として保持する。このときに、システム管理者20のコンテンツ提供者表212にもコンテンツ提供者固有番号PID、コンテンツ提供者固有鍵Kpa,Kpb、並びにコンテンツ提供者アドレスからなる新たなレコードが追加される。以上の登録手続きが終わってから、コンテンツ提供者30の初期化として、コンテンツ表311にレコードがない状態にすることと、イネーブル鍵の取得を行なう。
【0082】
ここで、コンテンツ提供者30がシステム管理者20からイネーブル鍵を取得するための処理手順について、図14を参照しながら説明する。
【0083】
まず、コンテンツ提供者30からシステム管理者にイネーブル鍵取得要求が送付される(ステップS1)。イネーブル鍵取得要求は、コンテンツ提供者固有番号PIDとコンテンツ提供者固有鍵Kpa,Kpbとした場合に、PID||nonce||MAC(Kpb,nonce||PID)で構成される。ここで、nonceはコンテンツ提供者が生成したノンス(1回限り使用される乱数)である。
【0084】
これに対し、システム管理者20側では、受け取ったイネーブル鍵取得要求からコンテンツ提供者固有番号PIDを使ってコンテンツ提供者表212を検索する。検索に成功した場合には対応するコンテンツ提供者固有鍵Kpa,Kpbを使ってイネーブル鍵取得要求が正しいこと(イネーブル鍵取得要求に含まれるメッセージ認証コードが正しいこと)を確認する。
【0085】
イネーブル鍵取得要求の確認に成功した場合には、イネーブル・トークンPID||nonce||IVER||E(Kpa,K)||MAC(Kpb,PID||nonce||IVER||E(Kpa,K))を生成する(ステップS3)。
【0086】
図15には、この場合のイネーブル・トークンのデータ構成を示している。同図において、Kはイネーブル鍵、Kpa,Kpbはコンテンツ提供者固有鍵、nonceはステップS2においてコンテンツ提供者30から受け取ったノンスである。
【0087】
システム管理者20は、イネーブル・トークンをコンテンツ提供者に送付する(ステップS4)。これに対し、コンテンツ提供者30側では、イネーブル・トークンが正しいこと(イネーブル・トークンに含まれるメッセージ認証コードが正しいことと、ノンスがステップS1で自ら送ったものと一致すること)を確認する。コンテンツ提供者30は確認に成功した場合には、受け取ったイネーブル・トークンからイネーブル鍵Kを取り出し(ステップS6)、イネーブル鍵情報313として保持する。
【0088】
再生装置40は出荷される際に、その再生装置固有番号UIDと再生装置固有鍵Kua,Kubが決定され、システム管理者20に登録される。これによって、システム管理者20の再生装置表211に再生装置固有番号UIDと再生装置固有鍵Kua,Kubからなる新たなレコードが追加される。再生装置40の初期化はイネーブル鍵の取得である。再生装置40がイネーブル鍵を取得するための処理手順について、図14を参照しながら説明する。
【0089】
まず、再生装置40からシステム管理者20にイネーブル鍵取得要求が送付される(ステップS1)。イネーブル鍵取得要求は、再生装置40が再生装置固有番号UIDと再生装置固有鍵Kua,Kubを持つ場合に対して、UID||nonce||MAC(Kub,nonce||UID)である。nonceは、再生装置40が生成したノンスである。
【0090】
次いで、システム管理者20側では、受け取ったイネーブル鍵取得要求から再生装置固有番号UIDを使って再生装置表211を検索する。検索に成功した場合には対応する再生装置固有鍵Kua,Kubを使ってイネーブル鍵取得要求が正しいことを確認する(ステップS2)。これは、イネーブル鍵取得要求に含まれるメッセージ認証コードが正しいことを確認することである。
【0091】
イネーブル鍵取得要求の確認に成功した場合には、まずイネーブル・トークンUID||nonce||IVER||E(Kua,Kr)||MAC(Kub,UID||nonce||IVER||E(Kua,Kr))を生成する(ステップS3)。
【0092】
図16には、この場合のイネーブル・トークンのデータ構成を示している。ここでIVERはイネーブル鍵のバージョン番号、Kはイネーブル鍵、Kua,Kubは再生装置固有鍵、nonceはステップS2において再生装置40から受け取ったノンスである。
【0093】
次いで、システム管理者20は、生成したイネーブル・トークンを再生装置40に送付する(ステップS4)。
【0094】
再生装置40側では、イネーブル・トークンが正しいこと(すなわち、イネーブル・トークンに含まれるメッセージ認証コードが正しいことと、ノンスがステップS1で送ったものと一致すること)を確認する(ステップS5)。
【0095】
確認に成功した場合、再生装置40は受け取ったイネーブル・トークンからイネーブル鍵のバージョン番号IVERとイネーブル鍵Kを取り出して、これらをイネーブル鍵情報412として保持する。
【0096】
B−7.コンテンツ追加・削除
コンテンツ提供者30は、提供するコンテンツの追加又は削除の際の処理を行なう。図17には、コンテンツ提供者30におけるコンテンツの追加又は削除時の処理動作をフローチャートの形式で示している。
【0097】
まず、コンテンツ提供者30は、コンテンツの追加か削除かを判断する(ステップS11)。
【0098】
コンテンツContを追加する場合ならば、追加するコンテンツに対するコンテンツ鍵Kを乱数発生器34で新たに生成するとともに、コンテンツ識別番号CIDをコンテンツ提供者30が扱うコンテンツ毎の一意な番号とコンテンツ提供者固有番号を連結したものなどとして生成する(ステップS12)。
【0099】
次いで、ステップS12で生成したコンテンツ鍵Kで追加コンテンツContを暗号化して、暗号化コンテンツE(K,Cont)を得る(ステップS13)。次いで、コンテンツ鍵Kとイネーブル鍵情報を使ってコンテンツ・トークンIVER||E(K,K||CID)を生成する(ステップS14)。
【0100】
そして、コンテンツの識別番号CIDとコンテンツ鍵Kと暗号化コンテンツE(K,Cont)とコンテンツ・トークンIVER||E(K,K||CID)をコンテンツ表311の新たなレコードとして追加して(ステップS15)、本処理ルーチン全体を終了する。
【0101】
一方、ステップS11においてコンテンツを削除すると判断した場合には、削除されるコンテンツのレコードをコンテンツ表311から検索し(ステップS16)、そのレコードを削除して(ステップS17)、本処理ルーチン全体を終了する。
【0102】
B−8.コンテンツ利用
コンテンツ利用は、コンテンツ提供者30からユーザの再生装置40にコンテンツが送られて、ユーザ側でコンテンツを利用する際の処理である。図18には、ユーザの再生装置40がコンテンツ提供者30から取得したコンテンツを利用するための処理手順をフローチャートの形式で示している。
【0103】
まず、ユーザが自分の再生装置40上で利用するコンテンツを選択すると(ステップS21)、これに応答して、選択したコンテンツの識別番号CIDがコンテンツ提供者30に通知される。
【0104】
このコンテンツ選択操作には、例えば一般的なWebブラウザなどでユーザに対してコンテンツの内容(例えばコンテンツが音楽であれば曲名など)とその利用を希望するボタンを表示させ、ユーザがボタンをマウスなどでクリックするなどのGUI操作で実装することができる。但し、こうしたユーザ・インターフェースの構成は一般的なものであり、且つ本発明の要旨には直接関連しないので、ここではこれ以上説明しない。
【0105】
また、このときに、選択したコンテンツの利用権利をユーザが購入する、あるいは既にユーザが権利を持つことを確認する目的で、ユーザ認証が行われることが一般的である。しかし、これについても前述の通り、本発明の要旨とは直接関連しないのでここでは説明を省略する。そこで、以降では、ユーザが利用するコンテンツを選択して、そのコンテンツに対する利用権利の確認が済んでいるものとして、本実施形態に関する説明を進める。
【0106】
コンテンツ提供者30は、ユーザから利用を希望するコンテンツの識別番号の通知を受け付けると、この識別番号に対応するレコードをコンテンツ表311から検索する(ステップS22)。そして、該当するレコードに含まれる暗号化コンテンツE(K,Cont)とコンテンツ・トークンIVER||E(K,K||CID)を要求元ユーザの再生装置40に送付する(ステップS23)。図19には、コンテンツ提供装置30から再生装置40に送付されるコンテンツ配布形式のデータ構成を示している。
【0107】
再生装置40側では、暗号化コンテンツE(Kc1,Cont)とコンテンツ・トークンIVER||E(K,K||CID)を受け取ると、続いて、コンテンツ・トークンに含まれるイネーブル鍵のバージョン番号と自分のイネーブル鍵のバージョン番号を比較する(ステップS24)。そして、コンテンツ・トークンに含まれるイネーブル鍵のバージョン番号のほうが新しい場合には、イネーブル鍵の取得を行なう(ステップS31)。イネーブル鍵の取得は、再生装置40の初期化時においてシステム管理者20からイネーブル鍵を取得する処理として図14を参照しながら既に説明した通りなので、ここでは説明を省略する。
【0108】
続いて、再生装置40は、コンテンツ提供者30にnonce(1回限りの乱数)を送る(ステップS25)。これに対し、コンテンツ提供者30は、ライセンス・トークンを生成する(ステップS26)。ラインセンス・トークンはCID||CND||nonce||MAC(K,CID||CND||nonce)で構成される。
【0109】
図20には、ライセンス・トークンのデータ構成を示している。ここで、CIDは利用許可の対象となるコンテンツの識別番号、CNDは利用許可の条件、nonceはステップS25で再生装置40から送られたノンスである。
【0110】
ライセンス・トークンは、コンテンツの利用許可を与える権限者(一般的にはコンテンツ提供者30)が生成したことを再生装置40で確認できるデータであればよいので、メッセージ認証コードを使う代わりにKによる暗号化データE(K,CID||CND||nonce)を使うことも可能である。また、コンテンツの利用許可を与える権限者をコンテンツ提供者30以外の第3者やシステム管理者20とすれば、コンテンツ鍵Kの代わりに、これらと再生装置40の間であらかじめ共有している暗号鍵(例えばイネーブル鍵Kr)を使うことも可能である。
【0111】
ステップS27では、コンテンツ提供者30は、ライセンス・トークンを再生装置40に送る。これに対し、再生装置40側では、受け取ったライセンス・トークンの確認を行なう(ステップS28)。すなわち、ライセンス・トークンに含まれるnonceがステップS25において自分が送ったものと同じであり、なお且つメッセージ認証コードが正しいかどうかを確認する。
【0112】
ステップS28において、ライセンス・トークンが正しいことが確認できた場合には、再生装置40はライセンス・トークンに含まれているコンテンツの識別番号CIDと利用許可の条件CNDを再生装置40内のライセンス情報413として保持する。
【0113】
次いで、再生装置40は、ライセンス情報413のコンテンツ識別番号CIDがライセンス情報記憶領域に保持されているコンテンツの識別番号CIDと一致することを確認し、さらに利用許可条件CNDが満足されることを確認する(ステップS29)。
【0114】
ここで、利用条件CNDは、例えば利用可能回数や有効期限である。利用可能回数であれば確認の度に1ずつ減算して0より大きい限りは条件が満たされるとする。また有効期限であれば再生装置40内の時計45が計時する実時刻と比較して条件が満たされることを判断する。但し、前述したように、利用条件CNDとして有効期限を使わない場合には、再生装置40に時計45は不要である。また、有効期限を使う場合であっても、有効期限を時刻で指定するのではなく、ライセンスを受け取ってからの経過時間(期間)で指定する場合には、時計45として絶対的な時刻を保持するものを使う必要はない。
【0115】
ステップS29において利用条件が満たされると判断した場合には、再生装置40は、コンテンツ鍵Kを使って暗号化コンテンツを復号して得たコンテンツをユーザの利用に供する(ステップS30)。そして、コンテンツの利用が終わったらステップS29の条件判断に戻り、条件が満足される限りコンテンツ利用を繰り返すことができる。
【0116】
B−9.イネーブル鍵更新
イネーブル鍵更新は、システムに参加しているいずれかの再生装置40においてその耐タンパ性が破られたときに、イネーブル鍵を更新する処理のことである。イネーブル鍵を更新した後、コンテンツ提供者30の保持するコンテンツの暗号化を新たなコンテンツ鍵で行ない、新たなコンテンツ鍵を含むコンテンツ・トークンの暗号化も新たなイネーブル鍵で行なう。この結果、耐タンパ性の破られた再生装置40に含まれる情報を使ってコンテンツを再生することを不可能にすることができる。
【0117】
このようなイネーブル鍵の更新に伴うコンテンツの利用制限を実現するために、耐タンパ性の破られていない正当な再生装置40には新たなイネーブル鍵を共有させる必要がある。このため、イネーブル鍵更新の処理は大きく2つの部分に分かれる。第1は、耐タンパ性が破られた以外の正当な再生装置40に新たなイネーブル鍵を共有させることである。第2は、コンテンツ提供者30がコンテンツ表311中のすべてのレコードについてコンテンツ鍵を更新して、暗号化コンテンツを新たなコンテンツ鍵で暗号化しなおしたものに置き換え、さらにコンテンツ・トークンを新たなイネーブル鍵を使って新たなコンテンツ鍵を含むように生成し直したものに置き換えることである。
【0118】
上述の第2の処理を行ない、イネーブル鍵のバージョンが更新されれば、再生装置40でコンテンツを利用する際に、イネーブル鍵のバージョンの検査(ステップS31:上述)で再生装置40の保持するイネーブル鍵が古いことが分かるので、システム管理者20から新規のイネーブル鍵の取得が行われる。したがって、本実施形態においては、イネーブル鍵更新としては第2の処理だけを行なえばよい。
【0119】
図21には、システム管理者20においてイネーブル鍵を更新する処理手順をフローチャートの形式で示している。
【0120】
耐タンパ性の破られた装置を発見したとき、システム管理者20は、まず乱数発生器23を使って新たなイネーブル鍵K’を生成し(ステップS41)、システム管理者20のイネーブル鍵情報213のイネーブル鍵を更新し、イネーブル鍵バージョン番号を1つ増加させる。
【0121】
次いで、コンテンツ提供者表212の最初のレコードを選択して(ステップS42)、該選択されたレコードのコンテンツ提供者アドレスにイネーブル鍵更新通知を送る(ステップS43)。
【0122】
イネーブル鍵更新通知は、新規のイネーブル鍵をK’としてPID||time||nonce||E(Kpa,IVER’||K’)||MAC(Kpb,PID||time||nonce||E(Kpa,IVER’||K’))で構成される。ここで、PIDはこのイネーブル鍵更新通知を受け取るべきコンテンツ提供者のコンテンツ提供者固有番号、timeはイネーブル鍵更新通知の生成時刻、nonceはシステム管理者の生成したノンス、KpaとKpbはコンテンツ提供者固有鍵、IVER’とK’は新たなイネーブル鍵のバージョン番号とイネーブル鍵である。
【0123】
コンテンツ提供者30側では、イネーブル鍵更新通知を受け取ると、それが正しいことを確認する(ステップS44)。ここでは、イネーブル鍵更新通知に含まれるコンテンツ提供者固有番号が自分のものであること、時刻timeが現時刻から適当な基準の範囲内(例えば1分など)であること、並びにメッセージ認証コードが正しいことが確認される。
【0124】
イネーブル鍵更新通知の正しいことが確認できた場合には、コンテンツ提供者30は、イネーブル鍵情報313を新たなイネーブル鍵のバージョン番号IVER’とイネーブル鍵K’に置き換える。また、イネーブル鍵更新通知PID||nonce||MAC(Kpb,PID||nonce)を生成して、システム管理者20に送信する(ステップS45)。ここで、PIDはコンテンツ提供者のコンテンツ提供者固有番号、nonceはステップS44で受け取ったノンスである。
【0125】
次いで、コンテンツ提供者30は、コンテンツ表311の更新を行なう(ステップS46)。図22には、コンテンツ表311を更新するための処理手順をフローチャートの形式で示している。
【0126】
コンテンツ提供者30は、まず、コンテンツ表311の最初のレコードを選択する(ステップS51)。
【0127】
次いで、選択したレコード向けに乱数発生器34でコンテンツ鍵K’を再生成する(ステップS52)。そして、選択したレコードの暗号化コンテンツE(K,Cont)をレコードに含まれるコンテンツ鍵Kcで復号してから、新しいコンテンツ鍵K’で再暗号化してE(K’,Cont)を得る(ステップS53)。
【0128】
次いで、新しいコンテンツ鍵K’に対するコンテンツ・トークンIVER’||E(K’,K’)を生成して(ステップS54)、新たなコンテンツ鍵K’、暗号化コンテンツE(K’,Cont)、コンテンツ・トークンIVER’||E(K’,K’)で現レコードを更新する(ステップS55)。
【0129】
次いで、現レコードがコンテンツ表311の最後のレコードかどうかを確かめ(ステップS56)、そうであれば本処理全体を終了し、そうでなければコンテンツ表311の次のレコードを現レコードとして選択してから(ステップS57)、ステップS52に戻り、次のレコードについて更新処理を繰り返し行なう。
【0130】
再び図21に戻って、イネーブル鍵の更新処理について説明する。システム管理者20は、イネーブル鍵更新通知PID||nonce||MAC(Kpb,PID||nonce)を受け取ると(ステップS47)、PID並びにnonceがステップS43において自分で送ったものであり、且つメッセージ認証コードが正しいかどうかを判断する。
【0131】
判断結果が肯定的である場合には、現レコードがコンテンツ提供者表212の最後のレコードであるかどうかを確認する(ステップS48)。最後のレコードであれば本処理ルーチン全体を終了し、そうでなければコンテンツ提供者表212の次のレコードを現レコードとして選択してから(ステップS49)、ステップS43に戻り、次のレコードについてイネーブル鍵の更新処理を繰り返し行なう。
【0132】
また、ステップS47で、適当な時間だけ待つなどの基準で、イネーブル鍵更新通知を受け取ることができない場合には、ステップS43に戻って、イネーブル更新通知を再送付する。
【0133】
C.第2の実施形態
C−1.全体構成
本発明の第2の実施形態においても、図1に示すように、参加者は、コンテンツ提供者30と、システム管理者20と、再生装置40で構成される。なお、コンテンツ提供者30と再生装置20は複数存在していてもよい。再生装置40はシステム管理者20から、本発明のシステムを利用するユーザに配布されているとする。また、コンテンツ提供者30は、コンテンツ(例えば、音楽又は画像データや電子文書、ソフトウェアなど)をユーザへ提供するために、システム管理者20と契約を結び、ユーザの再生装置40にコンテンツを提供する。
【0134】
C−2.システム管理者
システム管理者20の構成は、上述した第1の実施形態のそれと略同一なので、ここでは説明を省略する。なお、システム管理者20の保持するデータはすべてデータ記憶部22に保持されている。
【0135】
図23〜図25には、システム管理者20において保持されるデータ構成を模式的に示している。
【0136】
システム管理者20は、システムに参加しているすべての再生装置の再生装置固有番号、排除フラグ、再生装置固有鍵セットを管理する再生装置表221(図23を参照のこと)を備えている。この再生装置表221は、正当な再生装置40についての再生装置固有番号、排除フラグ、再生装置固有鍵セット(後述)を、表のレコードとして各レコードを再生装置固有番号で検索できるデータベースとして実装すればよい。
【0137】
また、システム管理者20はシステムに参加しているすべてのコンテンツ提供者30のコンテンツ提供者固有番号、コンテンツ提供者固有鍵a、コンテンツ提供者固有鍵b、コンテンツ提供者アドレスを管理するコンテンツ提供者表222(図24を参照のこと)を備えている。コンテンツ提供者表221は、コンテンツ提供者固有番号、コンテンツ提供者固有鍵a、コンテンツ提供者固有鍵b、コンテンツ提供者アドレスを1レコードで表し、各レコードをコンテンツ提供者固有番号で検索できるデータベースとして実装すればよい。
【0138】
イネーブル鍵情報223は、現在のコンテンツ提供者30とイネーブル鍵ブロックを保持する(図25を参照のこと)。
【0139】
C−3.コンテンツ提供者
コンテンツ提供者30の構成は、上述した第1の実施形態のそれと略同一なので、ここでは説明を省略する。なお、コンテンツ提供者30が保持するデータのうちで、コンテンツ表はデータ記憶部33に保持され、コンテンツ提供者固有情報とイネーブル鍵情報は耐タンパ性データ記憶部32に保持される。また、イネーブル鍵を使う処理(後述のイネーブル鍵取得、及びコンテンツ・トークン生成)は、耐タンパ性暗号処理部31で行なわれる。
【0140】
図26〜図28には、コンテンツ提供者30において保持されるデータ構成を模式的に示している。
【0141】
コンテンツ提供者30は、提供するコンテンツを管理するコンテンツ表321(図26を参照のこと)を備えている。コンテンツ表321は、コンテンツ毎の一つのレコードが設けられ、各レコードは、コンテンツ識別番号CID、コンテンツ鍵K、コンテンツ鍵KでコンテンツContを暗号化してなる暗号化コンテンツE(K,Cont)、コンテンツ・トークンE(K(t),K||CID)で構成される。コンテンツ表321は、各レコードをコンテンツ識別番号CIDで検索できるデータベースとして実装すればよい。なお、コンテンツ識別番号CIDは暗号化コンテンツあるいはコンテンツ・トークンから再生装置で取得できる形式であればよく、他の形式で実現してもよい(同上)。
【0142】
コンテンツ提供者固有情報322は、コンテンツ提供者固有番号、コンテンツ提供者固有鍵a、コンテンツ提供者固有鍵bで構成され(図27を参照のこと)、これらはコンテンツ提供者30がシステムの使用の契約を結ぶときにシステム管理者が決めたものであり、同じデータにコンテンツ提供者のアドレスを追加したレコードがシステム管理者20のコンテンツ提供者表222にも登録される。
【0143】
イネーブル鍵情報323は、現在のイネーブル鍵とイネーブル鍵ブロックを保持し(図28を参照のこと)、これらは、イネーブル鍵取得の手続きでシステム管理者20から取得する(後述)。
【0144】
C−4.再生装置
再生装置40の構成は、上述した第1の実施形態のそれと略同一なので、ここでは説明を省略する。再生装置40は耐タンパ性を持ち、以下のデータはすべてデータ記憶部42に保持される。
【0145】
図29〜図30には、再生装置40において保持されるデータ構成を模式的に示している。
【0146】
再生装置40は、再生装置固有情報421とライセンス情報423を備えている。再生装置固有情報421は、再生装置固有番号、再生装置固有鍵セット(後述)を保持する(図29を参照のこと)。これらは再生装置40が出荷される際に入力され、同時にシステム管理者の再生装置表221にも登録される。
【0147】
ライセンス情報423は、コンテンツ識別番号とライセンス条件からなり(図30を参照のこと)、コンテンツ利用の際に取得したライセンスの情報が記録される。
【0148】
C−5.再生装置固有鍵セット、イネーブル鍵ブロック
本実施形態では、すべての再生装置40は仮想的なツリー構造に属する。図31にはこの仮想的なツリー構造の例を示している。ツリー構造の最下段を「リーフ」と呼ぶ。各再生装置は1つのリーフに対応する。また、ツリー構造の途中の分岐点を「ノード」と呼ぶ。最上層の唯一のノードを「ルート」と呼ぶ。リーフとノードには暗号鍵が割り振られる。この暗号鍵は乱数を基に生成される。
【0149】
なお、図31には対称な4段のツリー構造でリーフが16個の場合を示したが、より多くのリーフを持ち段数の大きい場合や、対称でないツリー構造の場合、あるいは分岐の数が2個以上の場合を考えることもできる。こうした一般化については、例えばRFC2627を参照されたい。
【0150】
各再生装置40の再生装置固有鍵セットは、対応するリーフの鍵、及び対応するリーフからルートまでのノードに割り振られている鍵であるとする。例えば、図31中でリーフ1に対応する再生装置の再生装置固有鍵セットは{K0001,K000,K00,K,Kroot}である。したがって、再生装置の耐タンパ性が完全であれば、Krootがすべての再生装置で共有されていることになる。そこで、イネーブル鍵Kに対して、イネーブル鍵ブロックは{(”root”,E(Kroot,K))}という集合とすればよい。但し、{a,(b,c)}は要素aと(c,d)からなる集合を表し、(c,d)は要素cとdの順序付きの集合を表す。また、”root”は、rootという文字列、あるいはrootを識別できる記号であるとし、(”root”,E(Kroot,K))は、”root”に続く要素がルートのノードの鍵Krootで暗号化されていることを示す。
【0151】
次に、あるリーフに対応する再生装置の耐タンパ性が破られた場合を考えると、その再生装置の持つ再生装置固有鍵セットが漏洩しているので、Krootはもはや正当な再生装置だけに共有されているとは言えない。しかしながら、耐タンパ性の破られた再生装置を特定することができれば、その再生装置固有鍵セットは分かるので、適当なイネーブル鍵ブロックを使って、耐タンパ性の破られていない再生装置だけに新たに共通のイネーブル鍵を取得させることができる。
【0152】
例として、図31中のリーフ1に対応する再生装置の耐タンパ性が破られたと仮定する。この場合、{K0001,K000,K00,K,Kroot}の鍵が漏洩していることになる。したがって、新しいイネーブル鍵K’を{K0001,K000,K00,K,Kroot}に含まれない鍵を使って暗号化して各再生装置に配布すればよい。
【0153】
また、図31中のリーフ8からリーフ15に対応する再生装置は、{K0001,K000,K00,K,Kroot}に含まれない鍵Kを共有しているので、E(K,K’)として配布すればよい。
【0154】
同様に、リーフ4からリーフ7に対応する再生装置は{K0001,K000,K00,K,Kroot}に含まれない鍵K01を共有しているので、E(K01,K’)として配布すればよい。
【0155】
リーフ2とリーフ3に対応する再生装置は{K0001,K000,K00,K,Kroot}に含まれない鍵K001を共有しているので、E(K001,K’)として配布すればよい。
【0156】
最後に、リーフ0は{K0001,K000,K00,K,Kroot}に含まれない鍵K0000を持つので、E(K0000,K’)として配布すればよい。
【0157】
このことから、イネーブル鍵ブロックは{(”1”,E(K,K’)),(”01”,E(K01,K’)),(”001”,E(K001,K’)),(”0000”,E(K0000,K’))}とすればよい。図32にはイネーブル鍵ブロック(EBLK)のデータ構成を模式的に示している。
【0158】
排除すべき再生装置が複数になった場合にも、上述と同様にイネーブル鍵ブロックを生成することができる。一般に、深さがdで各ノードでの分岐がk本のツリー構造を使った場合、m個の再生装置を排除したイネーブル鍵の共有に必要なイネーブル鍵ブロックの要素数は、高々(k−1)×d×mである(RFC2627を参照のこと)。ツリー構造をできるだけ対称性よく構成することにより、深さdは再生装置の個数Nのkを底とする対数程度なので、Nに比べて非常に小さく、イネーブル鍵ブロックのデータサイズも小さくすることが可能である。イネーブル鍵ブロックを効率的に生成するデータ構造については、本出願人に既に譲渡されている特開2001−352321号公報(発明の名称:情報システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体)に開示されている。
【0159】
C−6.動作の概要
コンテンツ提供者30、システム管理者20、並びに再生装置40からなる本実施形態に係るシステムの動作について以下で説明する。システムの動作は、初期化、コンテンツ利用、イネーブル鍵更新で構成される。システムの各参加者では、最初に初期化が行なわれてから、コンテンツ追加・削除、コンテンツ利用、イネーブル鍵更新が行なわれる。
【0160】
初期化は、最初にシステム管理者20で行なわれる。コンテンツ提供者30、再生装置40については、システムに新たに参加した際に初期化が行なわれる。
【0161】
コンテンツ追加・削除は、コンテンツ提供者30が提供するコンテンツを追加あるいは削除する際に行なう処理である。
【0162】
コンテンツ利用は、ユーザが自分の再生装置40にコンテンツ提供者側からコンテンツの提供を受けて、コンテンツを利用する際に行なう処理である。以下では、コンテンツの利用を求めてきた再生装置40に対して1回又は複数回のコンテンツ利用のライセンス(=利用許可)を与える場合について説明する。但し、コンテンツ利用の際に暗号化コンテンツ、コンテンツ・トークン、ライセンスの取得が同時に行なわれる場合を想定するが、ライセンスの取得が暗号化コンテンツ、コンテンツ・トークンの取得とは別のタイミングで行われてもよい。また、ライセンス取得の際には、課金処理あるいはコンテンツ利用権利の確認のためにユーザの認証が行われることが一般的であるが、本発明の要旨には直接関連しないので、ここでは説明を省略する。
【0163】
イネーブル鍵更新は、システムに参加しているいずれかの再生装置40の耐タンパ性が破られ、再生装置40内のデータ記憶部42に保持されているデータ(再生装置固有鍵セット)が漏洩したときに、それらの情報を使っても暗号化コンテンツを復号できなくするための処理である。この場合、システム管理者20はイネーブル鍵を更新するとともに、新たなイネーブル鍵ブロックを生成して、耐タンパ性の破られていない正当な再生装置だけが更新されたイネーブル鍵を取得できるようにする。また、コンテンツ提供者30にはシステム管理者20から新たなイネーブル鍵とイネーブル鍵ブロックが提供され、コンテンツを新たなコンテンツ鍵で再暗号化し、コンテンツ・トークンも新たなイネーブル鍵で生成し直すことで、耐タンパ性の破られた再生装置に含まれていたデータを使っても暗号化コンテンツを復号できなくする。イネーブル鍵更新はシステム管理者20、及びコンテンツ提供者30で行なう処理となる。
【0164】
以下では、再生装置40、コンテンツ提供者30、システム管理者20の初期化、コンテンツ追加・削除、コンテンツ利用、イネーブル鍵更新という順で説明する。
【0165】
C−7.初期化
システム管理者20の初期化では、乱数発生器23を使ってイネーブル鍵Kを生成する。この時点では不正者排除は必要ないので、イネーブル鍵ブロックは{(”root”,E(Kroot,K))}とし、イネーブル鍵とイネーブル鍵ブロックをイネーブル鍵情報213として保持する。また、再生装置表221並びにコンテンツ提供者表222をレコードがない状態にする。
【0166】
コンテンツ提供者30は、初期化の前に、コンテンツ利用権管理システムの利用契約を結ぶ。その際、システム管理者20との間で一意なコンテンツ提供者固有番号PIDとコンテンツ提供者固有鍵Kpa,Kpbを取り決め、これをコンテンツ提供者固有情報312にとして保持する。このとき、システム管理者20のコンテンツ提供者表222にもコンテンツ提供者固有番号PID、コンテンツ提供者固有鍵Kpa,Kpb、コンテンツ提供者アドレスからなる新たなレコードが追加される。この手続きはオフラインで行なわれることが好ましい。以上の登録手続きが終わってから、コンテンツ提供者30の初期化では、コンテンツ表321にレコードがない状態にし、イネーブル鍵とイネーブル鍵ブロックの取得を行なう。
【0167】
本実施形態に係るシステムにおいて、コンテンツ提供者30がイネーブル鍵とイネーブル鍵ブロックを取得する処理は、図14でフローチャートの形式で示した処理手続きに従う。
【0168】
まず、コンテンツ提供者30からシステム管理者20にイネーブル鍵取得要求が送付される(ステップS1)。イネーブル鍵取得要求は、コンテンツ提供者固有番号PIDとコンテンツ提供者固有鍵Kpa,Kpbに対して、PID||nonce||MAC(Kpb,nonce||PID)で構成される。nonceはコンテンツ提供者30が生成したノンス(1回限り使用される乱数)である。
【0169】
システム管理者20側では、受け取ったイネーブル鍵取得要求からコンテンツ提供者固有番号PIDを使ってコンテンツ提供者表222を検索する。そして、検索に成功した場合には対応するコンテンツ提供者固有鍵Kpa,Kpbを使ってイネーブル鍵取得要求が正しいこと(イネーブル鍵取得要求に含まれるメッセージ認証コードが正しいこと)を確認する(ステップS2)。
【0170】
イネーブル鍵取得要求の確認に成功した場合には、システム管理者20はイネーブル・トークンPID||nonce||E(Kpa,K)||EBLK||MAC(Kpb,PID||nonce||E(Kpa,K)||EBLK)を生成する。図33にはイネーブル・トークンのデータ構成を模式的に示している。ここでKはイネーブル鍵、Kpa,Kpbはコンテンツ提供者固有鍵、nonceはステップS2においてコンテンツ提供者から受け取ったノンス、EBLKはイネーブル鍵ブロックである。
【0171】
システム管理者20は、生成したイネーブル・トークンをコンテンツ提供者40に送付する。これに対し、コンテンツ提供者30は、イネーブル・トークンが正しいこと、すなわちイネーブル・トークンに含まれるメッセージ認証コードが正しいことと、ノンスがステップS1で送ったものと一致することを確認する(ステップS5)。
【0172】
そして、コンテンツ提供者は確認に成功した場合には、イネーブル・トークンからイネーブル鍵Kとイネーブル鍵ブロックEBLKを取り出して(ステップS6)、イネーブル鍵情報323として保持する。
【0173】
再生装置40は、出荷される際に、再生装置固有番号UIDと再生装置固有鍵セット{Kroot,K,Kxx,Kxxx,...}が決定されシステム管理者20に登録される。これによってシステム管理者20の再生装置表221には再生装置固有番号UIDと排除フラグの値OFF、再生装置固有鍵セット{Kroot,K,Kxx,Kxxx,...}からなる新たなレコードが追加される。
【0174】
C−8.コンテンツ追加・削除
コンテンツ提供者が提供するコンテンツの追加あるいは削除の際の処理について説明する。図17には、コンテンツ提供者30におけるコンテンツの追加又は削除時の処理動作をフローチャートの形式で示している。
【0175】
まず、コンテンツ提供者30は、コンテンツの追加か削除かを判断する(ステップS11)。
【0176】
コンテンツContを追加する場合ならば、追加するコンテンツに対するコンテンツ鍵Kを乱数発生器34で新たに生成するとともに、コンテンツ識別番号CIDをコンテンツ提供者30が扱うコンテンツ毎の一意な番号とコンテンツ提供者固有番号を連結したものなどとして生成する(ステップS12)。
【0177】
次いで、ステップS12で生成したコンテンツ鍵Kで追加コンテンツContを暗号化して、暗号化コンテンツE(K,Cont)を得る(ステップS13)。次いで、コンテンツ鍵Kとイネーブル鍵情報を使ってコンテンツ・トークンIVER||E(K,K||CID)を生成する(ステップS14)。
【0178】
そして、コンテンツの識別番号CIDとコンテンツ鍵Kと暗号化コンテンツE(K,Cont)とコンテンツ・トークンIVER||E(K,K||CID)をコンテンツ表321の新たなレコードとして追加して(ステップS15)、本処理ルーチン全体を終了する。
【0179】
一方、ステップS11においてコンテンツを削除する場合と判断した場合には、削除されるコンテンツのレコードをコンテンツ表321から検索し(ステップS16)、そのレコードを削除して(ステップS17)、本処理ルーチン全体を終了する。
【0180】
C−9.コンテンツ利用
コンテンツ利用は、コンテンツ提供者30からユーザの再生装置40にコンテンツが送られて、ユーザ側でコンテンツを利用する際の処理である。図34には、ユーザの再生装置40がコンテンツ提供者30から取得したコンテンツを利用するための処理手順をフローチャートの形式で示している。
【0181】
まず、ユーザが自分の再生装置40上で利用するコンテンツを選択すると(ステップS61)、これに応答して、選択したコンテンツの識別番号CIDがコンテンツ提供者30に通知される。
【0182】
このコンテンツ選択操作には、例えば一般的なWebブラウザなどでユーザに対してコンテンツの内容(例えばコンテンツが音楽であれば曲名など)とその利用を希望するボタンを表示させ、ユーザがボタンをマウスなどでクリックするなどのGUI操作で実装することができる。但し、こうしたユーザ・インターフェースの構成は一般的なものであり、且つ本発明の要旨には直接関連しないので、ここではこれ以上説明しない。
【0183】
また、このときに、選択したコンテンツの利用権利をユーザが購入する、あるいは既にユーザが権利を持つことを確認する目的で、ユーザ認証が行われることが一般的である。しかし、これについても前述したように、本発明の要旨とは直接関係しないので、ここでは説明を省略する。そこで、以降では、ユーザが利用するこんてんつを選択して、そのコンテンツに対する利用権利の確認が済んでいるものとして本実施形態の説明を進める。
【0184】
コンテンツ提供者30は、でユーザから利用を希望するコンテンツの識別番号の通知を受け付けると、この識別番号に対応するレコードをコンテンツ表321から検索する(ステップS62)。そして、レコードに含まれる暗号化コンテンツE(K,Cont)とコンテンツ・トークンE(K,K||CID)、及びイネーブル鍵情報323のイネーブル鍵ブロックEBLKを要求元ユーザの再生装置40に送付する(ステップS63)。図35には、このとき送付されるコンテンツ配布形式のデータ構成を模式的に示す。
【0185】
再生装置40は、暗号化コンテンツE(Kc1,Cont)、コンテンツ・トークンE(K, K||CID)、並びにイネーブル鍵ブロックEBLKの組を受け取ると、続いて、イネーブル鍵ブロックEBLKからイネーブル鍵を取得する(ステップS64)。
【0186】
一方、イネーブル鍵の取得に失敗した(すなわち、イネーブル鍵を暗号化している鍵が自分の持つ再生装置固有鍵セットに含まれない)場合には、コンテンツ利用は失敗して、本処理ルーチン全体を終了する。
【0187】
再生装置40は、イネーブル鍵を取得すると、コンテンツ提供者30にnonce(1回限りの乱数)を送付する(ステップS65)。これに対し、コンテンツ提供者30は、ライセンス・トークンを生成する(ステップS66)。そして、コンテンツ提供者30は、生成したライセンス・トークンを再生装置40に送付する(ステップS67)。
【0188】
図36には、ライセンス・トークンのデータ構成を模式的に示している。ラインセンス・トークンはCID||CND||nonce||MAC(K,CID||CND||nonce)で構成される。CIDは利用許可の対象となるコンテンツの識別番号、CNDは利用許可の条件、nonceはステップS65において再生装置40から送られたノンスである。
【0189】
ライセンス・トークンは、コンテンツの利用許可を与える権限者(一般的には、コンテンツ提供者30)が生成したことを再生装置40で確認できるデータであればよい。したがって、上述のようにメッセージ認証コードを使う代わりに、コンテンツ鍵Kによる暗号化データE(K,CID||CND||nonce)を使うことも可能である。また、コンテンツの利用許可を与える権限者をコンテンツ提供者30以外の第3者やシステム管理者20とすれば、コンテンツ鍵Kの代わりに、これらと再生装置40の間で共通に利用できる暗号鍵(例えばイネーブル鍵K)を使うことも可能である。
【0190】
次いで、再生装置40側では、コンテンツ提供者30から受け取ったライセンス・トークンの確認を行なう(ステップS68)。すなわち、ライセンス・トークンに含まれるnonceがステップS65で送ったものと同じであり、なお且つメッセージ認証コードが正しいことを確認する。そして、ライセンス・トークンが正しいことが確認できた場合には、再生装置40は、ライセンス・トークンに含まれているコンテンツの識別番号CIDと利用許可の条件CNDを再生装置40のライセンス情報423として保持する。
【0191】
次いで、再生装置40は、ライセンス情報423のコンテンツ識別番号CIDがライセンス情報記憶領域に保持されているコンテンツの識別番号CIDと一致することを確認し(ステップS68)、さらに、ライセンスの確認すなわち利用許可条件CNDが満足されることを確認する(ステップS69)。CNDは例えば利用可能回数や有効期限である。CNDが利用可能回数であれば、確認の度に1ずつ減算して0より大きい限りは条件が満たされるとする。また、CNDが有効期限であれば、再生装置40の時計45が計時する実時刻と比較して条件が満たされることを判断する。前述した通り、利用条件CNDとして有効期限を使わない場合には、再生装置40に時計45は不要である。また、有効期限を使う場合であっても、有効期限を時刻で指定するのではなく、ライセンスを受け取ってからの経過時間(期間)で指定する場合には、時計45として絶対的な時刻を保持するものを使う必要はない。
【0192】
ステップS69においてコンテンツの利用条件が満たされると判断された場合には、再生装置40は、コンテンツ鍵Kを使って暗号化コンテンツを復号して得たコンテンツを利用する。また、コンテンツの利用が終わったら、ステップS69の条件判断に戻り、コンテンツの利用条件が満足される限り、コンテンツ利用を繰り返すことができる。
【0193】
C−10.イネーブル鍵更新
イネーブル鍵更新は、耐タンパ性の破られた再生装置40に含まれる情報を使ってコンテンツを再生することを不可能にする処理である。具体的には、システムに参加しているいずれかの再生装置40の耐タンパ性が破られたときに、イネーブル鍵を更新して、コンテンツ提供者30の保持するコンテンツの暗号化を新たなコンテンツ鍵で行ない、新たなコンテンツ鍵を含むコンテンツ・トークンの暗号化を新たなイネーブル鍵で行なう。
【0194】
また、正当な再生装置40には新たなイネーブル鍵を利用できるようにするために、耐タンパ性が破られた再生装置を除く再生装置から新たなイネーブル鍵が取得可能なイネーブル鍵ブロックを、システム管理者20がコンテンツ提供者30に提供し、それをコンテンツ提供者30がコンテンツ利用時に再生装置40に配布する。
【0195】
図21には、システム管理者20においてイネーブル鍵を更新する処理手順をフローチャートの形式で示している。
【0196】
システム管理者20は、耐タンパ性の破られた再生装置を発見したとき、再生装置表221の該当する再生装置のレコードの排除フラグをONにするとともに、乱数発生器23を使って新たなイネーブル鍵K’を生成し、新たなイネーブル鍵と耐タンパ性の破られた再生装置の情報(再生装置表221の排除フラグがONであるレコードの再生装置固有鍵セット)から新たなイネーブル鍵ブロックEBLK’を生成する(ステップS41)。そして、システム管理者20は、イネーブル鍵情報223のイネーブル鍵とイネーブル鍵ブロックを更新する。
【0197】
次いで、コンテンツ提供者表222の最初のレコードを選択し(ステップS42)、該選択されたレコードのコンテンツ提供者アドレスにイネーブル鍵更新通知を送る(ステップS43)。
【0198】
イネーブル鍵更新通知は新規のイネーブル鍵をK’としてPID||time||nonce||E(Kpa,K’)||EBLK’||MAC(Kpb,PID||time||nonce||E(Kpa,Kr’)||EBLK’)で構成される。ここで、PIDはこのイネーブル鍵更新通知を受け取るべきコンテンツ提供者30のコンテンツ提供者固有番号、timeはイネーブル鍵更新通知の生成時刻、nonceはシステム管理者20の生成したノンス、KpaとKpbはコンテンツ提供者固有鍵、K’は新たなイネーブル鍵、EBLK’は新たなイネーブル鍵ブロックである。
【0199】
コンテンツ提供者30は、イネーブル鍵更新通知を受け取ると、それが正しいことを確認する(ステップS44)。具体的には、イネーブル鍵更新通知に含まれるコンテンツ提供者固有番号が自分のものであること、時刻timeが現時刻から適当な基準の範囲内(例えば1分など)であること、並びにメッセージ認証コードが正しいことを確認する。
【0200】
イネーブル鍵更新通知の正しいことが確認できた場合、コンテンツ提供者30は、新たなイネーブル鍵K’とイネーブル鍵ブロックEBLK’を取り出して、イネーブル鍵情報323を更新する。また、イネーブル鍵更新通知PID||nonce||MAC(Kpb,PID||nonce)を生成して、これをシステム管理者20に送信する(ステップS45)。ここで、PIDはコンテンツ提供者のコンテンツ提供者固有番号、nonceはステップS44で受け取ったノンスである。
【0201】
次いで、コンテンツ提供者30は、コンテンツ表321の更新を行なう(ステップS46)。図22には、コンテンツ表321を更新するための処理手順をフローチャートの形式で示している。
【0202】
コンテンツ提供者30は、まず、コンテンツ表311の最初のレコードを選択する(ステップS51)。
【0203】
次いで、選択したレコード向けに乱数発生器34でコンテンツ鍵K’を再生成する(ステップS52)。そして、選択したレコードの暗号化コンテンツE(K,Cont)をレコードに含まれるコンテンツ鍵Kで復号してから、新しいコンテンツ鍵K’で再暗号化してE(K’,Cont)を得る(ステップS53)。
【0204】
次いで、新しいコンテンツ鍵Kc’に対するコンテンツ・トークンE(K’,K’)を生成して(ステップS54)、新たなコンテンツ鍵K’、暗号化コンテンツE(K’,Cont)、コンテンツ・トークンE(K’,K’)で現レコードを更新する(ステップS55)。
【0205】
次いで、現レコードがコンテンツ表311の最後のレコードかどうかを確かめ(ステップS56)、そうであれば本処理全体を終了し、そうでなければコンテンツ表311の次のレコードを現レコードとして選択してから(ステップS57)、ステップS52に戻り、次のレコードについて更新処理を繰り返し行なう。
【0206】
再び図21に戻って、イネーブル鍵の更新処理について説明する。システム管理者20は、イネーブル鍵更新通知PID||nonce||MAC(Kpb,PID||nonce)を受け取ると(ステップS47)、PID並びにnonceがステップS43において自分で送ったものであり、且つメッセージ認証コードが正しいかどうかを判断する。
【0207】
判断結果が肯定的である場合には、現レコードがコンテンツ提供者表212の最後のレコードであるかどうかを確認する(ステップS48)。最後のレコードであれば本処理ルーチン全体を終了し、そうでなければコンテンツ提供者表212の次のレコードを現レコードとして選択してから(ステップS49)、ステップS43に戻り、次のレコードについてイネーブル鍵の更新処理を繰り返し行なう。
【0208】
また、ステップS47で、適当な時間だけ待つなどの基準で、イネーブル鍵更新通知を受け取ることができない場合には、ステップS43に戻って、イネーブル更新通知を再送付する。
【0209】
[追補]
以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本発明の要旨を判断するためには、冒頭に記載した特許請求の範囲の欄を参酌すべきである。
【0210】
【発明の効果】
以上詳記したように、本発明によれば、コンテンツの利用者にライセンスを与えることによりコンテンツの利用を制御しコンテンツの保護を図ることができる、優れたコンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラムを提供することができる。
【0211】
また、本発明によれば、コンテンツ鍵の不正利用を防止しながらコンテンツの利用者にライセンスを与えることができる、優れたコンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラムを提供することができる。
【0212】
本発明によれば、コンテンツの利用許可が暗号化コンテンツを復号する鍵(コンテンツ鍵)ではなく、利用を許可するコンテンツの識別番号(ライセンス・トークン)を再生装置が判断できる形式でコンテンツの利用許可の権限者が指定することによりライセンスの付与を行なう。したがって、利用許可を与える先が権利保護を行なうかどうかを確認することなしに、利用許可を与えることが可能になり、利用許可を与える際の処理を高速化することができる。
【0213】
また、本発明によれば、正当な再生装置以外はイネーブル鍵を持たないので、コンテンツの利用許可の権限者が正当でない再生装置に利用許可を与えたとしても、その装置ではコンテンツを復号することができないので、コンテンツの利用権は保護される。
【0214】
また、本発明によれば、コンテンツ鍵を正当な再生装置だけが利用可能な暗号鍵(イネーブル鍵)で暗号化してコンテンツとともに配布するので、コンテンツ鍵を変更したとしても再生装置側で特別の処理を必要としない。
【0215】
また、本発明によれば、耐タンパ性が破られた再生装置が発生したときには、イネーブル鍵を変更し、新たなイネーブル鍵を耐タンパ性が破られていない正当な再生装置とコンテンツ提供者に配布することによって、耐タンパ性が破られた再生装置に含まれる情報を使っても、以降に配布されるコンテンツを利用することをできなくすることができる。
【0216】
本発明で重要な点は、ライセンスがコンテンツ鍵でないため、任意の装置にライセンスを与えても、実際にコンテンツを復号できるのは、あらかじめイネーブル鍵を共有している正当な再生装置に限定される、ということである。したがって、本発明によって、ライセンス発行時に発行対象の再生装置を特定して各再生装置に専用のライセンスを発行することが不要になる。これによって、ライセンス発行を高速に処理することが可能になり、再生装置の個数の増加に関してスケーラビリティのよいライセンス発行処理を実現することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係るシステムの参加者を示した図である。
【図2】システム管理者20の構成を模式的に示した図である。
【図3】システム管理者20において保持されるデータ構成を模式的に示した図である。
【図4】システム管理者20において保持されるデータ構成を模式的に示した図である。
【図5】システム管理者20において保持されるデータ構成を模式的に示した図である。
【図6】コンテンツ提供者30の機能構成を模式的に示した図である。
【図7】コンテンツ提供者30において保持されるデータ構成を模式的に示した図である。
【図8】コンテンツ提供者30において保持されるデータ構成を模式的に示した図である。
【図9】コンテンツ提供者30において保持されるデータ構成を模式的に示した図である。
【図10】再生装置40の機能構成を模式的に示した図である。
【図11】再生装置40において保持されるデータ構成を模式的に示した図である。
【図12】再生装置40において保持されるデータ構成を模式的に示した図である。
【図13】再生装置40において保持されるデータ構成を模式的に示した図である。
【図14】コンテンツ提供者30又は再生装置がシステム管理者20からイネーブル鍵を取得するための処理手順を示したフローチャートである。
【図15】イネーブル・トークンのデータ構成を示した図である。
【図16】イネーブル・トークンのデータ構成を示した図である。
【図17】コンテンツ提供者30における動作特性を示したフローチャートである。
【図18】ユーザの再生装置40がコンテンツ提供者30から取得したコンテンツを利用するための処理手順を示したフローチャートである。
【図19】コンテンツ提供装置30から再生装置40に送付されるコンテンツ配布形式のデータ構成を示した図である。
【図20】ライセンス・トークンのデータ構成を示した図である。
【図21】システム管理者20においてイネーブル鍵を更新する処理手順をフローチャートである。
【図22】コンテンツ表311を更新するための処理手順を示したフローチャートである。
【図23】システム管理者20において保持されるデータ構成を模式的に示した図である。
【図24】システム管理者20において保持されるデータ構成を模式的に示した図である。
【図25】システム管理者20において保持されるデータ構成を模式的に示した図である。
【図26】コンテンツ提供者30において保持されるデータ構成を模式的に示した図である。
【図27】コンテンツ提供者30において保持されるデータ構成を模式的に示した図である。
【図28】コンテンツ提供者30において保持されるデータ構成を模式的に示した図である。
【図29】再生装置40において保持されるデータ構成を模式的に示した図である。
【図30】再生装置40において保持されるデータ構成を模式的に示した図である。
【図31】31すべての再生装置が属する仮想的なツリー構造の例を示した図である。
【図32】イネーブル鍵ブロックのデータ構成を模式的に示した図である。
【図33】イネーブル・トークンのデータ構成を模式的に示した図である。
【図34】ユーザの再生装置40がコンテンツ提供者30から取得したコンテンツを利用するための処理手順を示したフローチャートである。
【図35】再生装置40に送付されるコンテンツ配布形式のデータ構成を模式的に示した図である。
【図36】ライセンス・トークンのデータ構成を模式的に示した図である。
【符号の説明】
20…システム管理者
21…暗号処理部,22…データ記憶部
23…乱数発生部,24…時計
25…通信処理部
30…コンテンツ提供者
31…耐タンパ性暗号処理部,32…耐タンパ性データ記憶部
33…データ記憶部,34…乱数発生器
35…通信処理部,36…時計
40…再生装置
41…暗号処理部,42…データ記憶部
43…乱数発生器,44…通信処理部
45…時計

Claims (19)

  1. ライセンスの配布によりコンテンツの利用を管理するコンテンツ利用管理システムであって、
    コンテンツを利用する正当な装置で生成された一回限りの乱数からなるノンスとコンテンツの利用許可の権限者に関する認証情報を少なくとも含むデータをライセンス・トークンとして用い、
    コンテンツを利用する正当な装置側では、ライセンス・トークンに自分が生成したノンスが含まれていること及びコンテンツ利用許可の権限者に関する認証情報の認証処理によりライセンス・トークンの有効性を検証し、ライセンス・トークンが有効である場合に該当するコンテンツをユーザに利用させる、
    ことを特徴とするコンテンツ利用管理システム。
  2. ライセンスの配布によりコンテンツの利用を管理する情報処理装置であって、コンテンツの利用者から一回限りの乱数であるノンスを受信するノンス受信手段と、
    受信したノンスと自身の認証情報を少なくとも含むライセンス・トークンをコンテンツの利用者に配布するライセンス・トークン発行手段と、
    を具備することを特徴とする情報処理装置。
  3. 前記ライセンス・トークン発行手段は、コンテンツ利用を許可する回数や期間などの利用条件をライセンス・トークンに含めて発行する、
    ことを特徴とする請求項2に記載の情報処理装置。
  4. ライセンスの配布によりコンテンツの利用を管理する情報処理方法であって、コンテンツの利用者から一回限りの乱数であるノンスを受信するノンス受信ステップと、
    受信したノンスと自身の認証情報を少なくとも含むライセンス・トークンをコンテンツの利用者に配布するライセンス・トークン発行ステップと、
    を具備することを特徴とする情報処理方法。
  5. コンテンツを安全に提供する情報処理装置であって、
    コンテンツを正当に利用する装置にイネーブル鍵を発行するイネーブル鍵発行手段と、
    コンテンツ毎に固有のコンテンツ鍵でコンテンツを暗号化するコンテンツ暗号化手段と、
    コンテンツ鍵を含むデータをイネーブル鍵で暗号化してなるコンテンツ・トークンを生成するコンテンツ・トークン生成手段と、
    暗号化コンテンツをコンテンツ・トークンとともに配布するコンテンツ提供手段と、
    を具備することを特徴とする情報処理装置。
  6. 前記コンテンツ暗号化手段はコンテンツの一部としてその識別情報を含めてコンテンツ鍵で暗号化し、あるいは前記コンテンツ・トークン生成手段はコンテンツ鍵の一部としてコンテンツの識別情報を含めてイネーブル鍵で暗号化する、
    ことを特徴とする請求項5に記載の情報処理装置。
  7. 前記イネーブル鍵発行手段は、コンテンツを利用する正当な装置にあらかじめイネーブル鍵を配布する、
    ことを特徴とする請求項5に記載の情報処理装置。
  8. 前記イネーブル鍵発行手段は、コンテンツを利用する正当な装置毎に固有のイネーブル鍵を発行する、
    ことを特徴とする請求項5に記載の情報処理装置。
  9. 前記イネーブル鍵発行手段は、コンテンツを利用する正当な各装置に該装置の個数の対数に比例するサイズのデータからなる階層構造のイネーブル鍵を発行する、
    ことを特徴とする請求項5に記載の情報処理装置。
  10. 前記イネーブル鍵発行手段は、コンテンツを利用する正当な装置だけに取得可能な形式でイネーブル鍵を発行する、
    ことを特徴とする請求項5に記載の情報処理装置。
  11. イネーブル鍵はコンテンツを利用する正当な各装置内の耐タンパ性のある記憶手段に保持されており、
    前記イネーブル鍵発行手段は、耐タンパ性が破壊された装置が発生したことに応答して、イネーブル鍵を更新する、
    ことを特徴とする請求項5に記載の情報処理装置。
  12. コンテンツを安全に提供する情報処理方法であって、
    コンテンツを正当に利用する装置にイネーブル鍵を発行するイネーブル鍵発行ステップと、
    コンテンツ毎に固有のコンテンツ鍵でコンテンツを暗号化するコンテンツ暗号化ステップと、
    コンテンツ鍵を含むデータをイネーブル鍵で暗号化してなるコンテンツ・トークンを生成するコンテンツ・トークン生成ステップと、
    暗号化コンテンツをコンテンツ・トークンとともに配布するコンテンツ提供ステップと、
    を具備することを特徴とする情報処理方法。
  13. ライセンスの取得によりコンテンツの正当な利用を行なう情報処理装置であって、
    コンテンツを取得するコンテンツ取得手段と、
    一回限りの乱数であるノンスを発行するノンス発行手段と、
    コンテンツに関するライセンス・トークンを受信して、前記ノンス発行手段が発行したノンスが含まれているか、及び所定のコンテンツ利用許可の権限者から得られたものであるかどうかを認証することにより該ライセンス・トークンの有効性を検証するライセンス・トークン検証手段と、
    ライセンス・トークンが有効であることに応答して、該当するコンテンツの利用を行なうコンテンツ利用手段と、
    を具備することを特徴とする情報処理装置。
  14. コンテンツの利用を可能にするイネーブル鍵を保持するイネーブル鍵保持手段をさらに備え、
    前記コンテンツ取得手段は、コンテンツ鍵で暗号化された暗号化コンテンツを、コンテンツ鍵を含むデータがイネーブル鍵で暗号化されたコンテンツ・トークンとともに取得し、
    前記コンテンツ利用手段は、ライセンス・トークンに該当するコンテンツのコンテンツ・トークンをイネーブル鍵で復号してコンテンツ鍵を取り出すとともに、該コンテンツ鍵で暗号化コンテンツを復号して得られるコンテンツをユーザに利用させる、
    ことを特徴とする請求項13に記載の情報処理装置。
  15. ライセンス・トークンは該当するコンテンツの識別情報並びにコンテンツの利用条件を含み、
    前記コンテンツ利用手段は、ライセンス・トークンが有効であっても、利用が許可されたコンテンツの識別情報と一致しない場合、又は、利用条件が満たされない場合には、コンテンツの利用を中断する、
    ことを特徴とする請求項13に記載の情報処理装置。
  16. ライセンスの取得によりコンテンツの正当な利用を行なう情報処理方法であって、
    コンテンツを取得するコンテンツ取得ステップと、
    一回限りの乱数であるノンスを発行するノンス発行ステップと、
    コンテンツに関するライセンス・トークンを受信して、前記ノンス発行ステップにおいて発行したノンスが含まれているか、及び所定のコンテンツ利用許可の権限者から得られたものであるかどうかを認証することにより該ライセンス・トークンの有効性を検証するライセンス・トークン検証ステップと、
    ライセンス・トークンが有効であることに応答して、該当するコンテンツの利用を行なうコンテンツ利用ステップと、
    を具備することを特徴とする情報処理方法。
  17. ライセンスの配布によりコンテンツの利用を管理するための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、
    コンテンツの利用者から一回限りの乱数であるノンスを受信するノンス受信ステップと、
    受信したノンスと自身の認証情報を少なくとも含むライセンス・トークンをコンテンツの利用者に配布するライセンス・トークン発行ステップと、
    を具備することを特徴とするコンピュータ・プログラム。
  18. コンテンツを安全に提供するための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、
    コンテンツを正当に利用する装置にイネーブル鍵を発行するイネーブル鍵発行ステップと、
    コンテンツ毎に固有のコンテンツ鍵でコンテンツを暗号化するコンテンツ暗号化ステップと、
    コンテンツ鍵を含むデータをイネーブル鍵で暗号化してなるコンテンツ・トークンを生成するコンテンツ・トークン生成ステップと、
    暗号化コンテンツをコンテンツ・トークンとともに配布するコンテンツ提供ステップと、
    を具備することを特徴とするコンピュータ・プログラム。
  19. ライセンスの取得によりコンテンツの正当な利用を行なうための処理をコンピュータ・システム上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、
    コンテンツを取得するコンテンツ取得ステップと、
    一回限りの乱数であるノンスを発行するノンス発行ステップと、
    コンテンツに関するライセンス・トークンを受信して、前記ノンス発行ステップにおいて発行したノンスが含まれているか、及び所定のコンテンツ利用許可の権限者から得られたものであるかどうかを認証することにより該ライセンス・トークンの有効性を検証するライセンス・トークン検証ステップと、
    ライセンス・トークンが有効であることに応答して、該当するコンテンツの利用を行なうコンテンツ利用ステップと、
    を具備することを特徴とするコンピュータ・プログラム。
JP2002186786A 2002-06-26 2002-06-26 コンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラム Expired - Fee Related JP4168679B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002186786A JP4168679B2 (ja) 2002-06-26 2002-06-26 コンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002186786A JP4168679B2 (ja) 2002-06-26 2002-06-26 コンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラム

Publications (3)

Publication Number Publication Date
JP2004030326A true JP2004030326A (ja) 2004-01-29
JP2004030326A5 JP2004030326A5 (ja) 2005-09-22
JP4168679B2 JP4168679B2 (ja) 2008-10-22

Family

ID=31182034

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002186786A Expired - Fee Related JP4168679B2 (ja) 2002-06-26 2002-06-26 コンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラム

Country Status (1)

Country Link
JP (1) JP4168679B2 (ja)

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006333095A (ja) * 2005-05-26 2006-12-07 Hiromi Fukaya 暗号通信方法、暗号通信システム、暗号通信装置及び暗号通信プログラム
JP2006352483A (ja) * 2005-06-15 2006-12-28 Sharp Corp 画像送信システム、画像送信装置、及び画像処理装置
JP2007124415A (ja) * 2005-10-28 2007-05-17 Nifty Corp コンテンツ格納プログラム,コンテンツ再生プログラム,及び、コンテンツ配信プログラム
JP2007189505A (ja) * 2006-01-13 2007-07-26 Felica Networks Inc コンテンツ流通システム,コンテンツ利用管理サーバ,コンテンツ再生許可データ管理鍵格納手段を含む装置,コンテンツ再生許可データ管理鍵格納手段を接続した情報処理装置およびコンピュータプログラム
CN101655891A (zh) * 2008-08-21 2010-02-24 索尼株式会社 信息处理装置、数据处理方法和程序
JP2010114579A (ja) * 2008-11-05 2010-05-20 Toshiba Corp 記憶媒体処理サーバ、記憶媒体処理方法及びシステム、及びユーザ端末
JP2012133798A (ja) * 2005-09-29 2012-07-12 Contentguard Holdings Inc デジタルコンテンツプレーヤ、トークンレジストリ、及びトークンを使用するオリジナル記録媒体
JP2013117880A (ja) * 2011-12-02 2013-06-13 Toshiba Corp ホスト装置、システム、及び装置
KR20130085540A (ko) * 2011-12-19 2013-07-30 삼성전자주식회사 콘텐츠 서비스를 위한 다운로드할 수 있는 디지털 저작권 관리를 수행하는 방법 및 장치
US8634557B2 (en) 2011-12-02 2014-01-21 Kabushiki Kaisha Toshiba Semiconductor storage device
US8650393B2 (en) 2011-11-11 2014-02-11 Kabushiki Kaisha Toshiba Authenticator
US8661527B2 (en) 2011-08-31 2014-02-25 Kabushiki Kaisha Toshiba Authenticator, authenticatee and authentication method
US8667286B2 (en) 2012-01-16 2014-03-04 Kabushiki Kaisha Toshiba Host device, semiconductor memory device, and authentication method
US8732466B2 (en) 2011-12-02 2014-05-20 Kabushiki Kaisha Toshiba Semiconductor memory device
JP2014517972A (ja) * 2011-05-24 2014-07-24 アマゾン テクノロジーズ インコーポレイテッド デジタルコンテンツ再販管理サービス
US8855297B2 (en) 2011-12-02 2014-10-07 Kabushiki Kaisha Toshiba Device and authentication method therefor
US8984294B2 (en) 2013-02-15 2015-03-17 Kabushiki Kaisha Toshiba System of authenticating an individual memory device via reading data including prohibited data and readable data
US9053482B2 (en) 2011-05-24 2015-06-09 Amazon Technologies, Inc. Service for managing digital content licenses
US9166783B2 (en) 2010-10-14 2015-10-20 Kabushiki Kaisha Toshiba Protection method, decryption method, player, storage medium, and encryption apparatus of digital content
US9201811B2 (en) 2013-02-14 2015-12-01 Kabushiki Kaisha Toshiba Device and authentication method therefor
JP2018078592A (ja) * 2017-12-11 2018-05-17 パナソニックIpマネジメント株式会社 通信システム、通信装置、鍵管理装置、及び通信方法
JP2021506050A (ja) * 2017-12-07 2021-02-18 セントレ・ナショナル・デ・ラ・レシェルシェ・サイエンティフィーク Ipブロックの使用を許可して測定するためのシステム及び方法
JP2022536820A (ja) * 2020-05-21 2022-08-19 グーグル エルエルシー デバイスおよびアプリケーションの完全性の検証
JP2022129988A (ja) * 2021-02-25 2022-09-06 株式会社東芝 情報処理システム、サーバ装置、情報処理方法及びプログラム
WO2024198042A1 (zh) * 2023-03-25 2024-10-03 陈军 支付文件生成读取的方法、系统、存储介质

Cited By (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006333095A (ja) * 2005-05-26 2006-12-07 Hiromi Fukaya 暗号通信方法、暗号通信システム、暗号通信装置及び暗号通信プログラム
JP4545050B2 (ja) * 2005-06-15 2010-09-15 シャープ株式会社 画像送信システム及び画像送信装置
JP2006352483A (ja) * 2005-06-15 2006-12-28 Sharp Corp 画像送信システム、画像送信装置、及び画像処理装置
JP2012133798A (ja) * 2005-09-29 2012-07-12 Contentguard Holdings Inc デジタルコンテンツプレーヤ、トークンレジストリ、及びトークンを使用するオリジナル記録媒体
JP2007124415A (ja) * 2005-10-28 2007-05-17 Nifty Corp コンテンツ格納プログラム,コンテンツ再生プログラム,及び、コンテンツ配信プログラム
JP2007189505A (ja) * 2006-01-13 2007-07-26 Felica Networks Inc コンテンツ流通システム,コンテンツ利用管理サーバ,コンテンツ再生許可データ管理鍵格納手段を含む装置,コンテンツ再生許可データ管理鍵格納手段を接続した情報処理装置およびコンピュータプログラム
JP2010050676A (ja) * 2008-08-21 2010-03-04 Sony Corp 情報処理装置、およびデータ処理方法、並びにプログラム
JP4752884B2 (ja) * 2008-08-21 2011-08-17 ソニー株式会社 情報処理装置、およびデータ処理方法、並びにプログラム
CN101655891A (zh) * 2008-08-21 2010-02-24 索尼株式会社 信息处理装置、数据处理方法和程序
US8549620B2 (en) 2008-08-21 2013-10-01 Sony Corporation Information processing device, data processing method, and program
JP2010114579A (ja) * 2008-11-05 2010-05-20 Toshiba Corp 記憶媒体処理サーバ、記憶媒体処理方法及びシステム、及びユーザ端末
US9166783B2 (en) 2010-10-14 2015-10-20 Kabushiki Kaisha Toshiba Protection method, decryption method, player, storage medium, and encryption apparatus of digital content
US9053482B2 (en) 2011-05-24 2015-06-09 Amazon Technologies, Inc. Service for managing digital content licenses
JP2014517972A (ja) * 2011-05-24 2014-07-24 アマゾン テクノロジーズ インコーポレイテッド デジタルコンテンツ再販管理サービス
US10361851B2 (en) 2011-08-31 2019-07-23 Toshiba Memory Corporation Authenticator, authenticatee and authentication method
US8661527B2 (en) 2011-08-31 2014-02-25 Kabushiki Kaisha Toshiba Authenticator, authenticatee and authentication method
US9225513B2 (en) 2011-08-31 2015-12-29 Kabushiki Kaisha Toshiba Authenticator, authenticatee and authentication method
US9887841B2 (en) 2011-08-31 2018-02-06 Toshiba Memory Corporation Authenticator, authenticatee and authentication method
US10361850B2 (en) 2011-08-31 2019-07-23 Toshiba Memory Corporation Authenticator, authenticatee and authentication method
US8650393B2 (en) 2011-11-11 2014-02-11 Kabushiki Kaisha Toshiba Authenticator
US9100187B2 (en) 2011-11-11 2015-08-04 Kabushiki Kaisha Toshiba Authenticator
US8855297B2 (en) 2011-12-02 2014-10-07 Kabushiki Kaisha Toshiba Device and authentication method therefor
US8761389B2 (en) 2011-12-02 2014-06-24 Kabushiki Kaisha Toshiba Memory
US8732466B2 (en) 2011-12-02 2014-05-20 Kabushiki Kaisha Toshiba Semiconductor memory device
US8634557B2 (en) 2011-12-02 2014-01-21 Kabushiki Kaisha Toshiba Semiconductor storage device
JP2013117880A (ja) * 2011-12-02 2013-06-13 Toshiba Corp ホスト装置、システム、及び装置
KR20130085540A (ko) * 2011-12-19 2013-07-30 삼성전자주식회사 콘텐츠 서비스를 위한 다운로드할 수 있는 디지털 저작권 관리를 수행하는 방법 및 장치
US9160531B2 (en) 2012-01-16 2015-10-13 Kabushiki Kaisha Toshiba Host device, semiconductor memory device, and authentication method
US8667286B2 (en) 2012-01-16 2014-03-04 Kabushiki Kaisha Toshiba Host device, semiconductor memory device, and authentication method
US8990571B2 (en) 2012-01-16 2015-03-24 Kabushiki Kaisha Toshiba Host device, semiconductor memory device, and authentication method
US9201811B2 (en) 2013-02-14 2015-12-01 Kabushiki Kaisha Toshiba Device and authentication method therefor
US8984294B2 (en) 2013-02-15 2015-03-17 Kabushiki Kaisha Toshiba System of authenticating an individual memory device via reading data including prohibited data and readable data
JP2021506050A (ja) * 2017-12-07 2021-02-18 セントレ・ナショナル・デ・ラ・レシェルシェ・サイエンティフィーク Ipブロックの使用を許可して測定するためのシステム及び方法
JP2018078592A (ja) * 2017-12-11 2018-05-17 パナソニックIpマネジメント株式会社 通信システム、通信装置、鍵管理装置、及び通信方法
JP2022536820A (ja) * 2020-05-21 2022-08-19 グーグル エルエルシー デバイスおよびアプリケーションの完全性の検証
JP7189372B2 (ja) 2020-05-21 2022-12-13 グーグル エルエルシー デバイスおよびアプリケーションの完全性の検証
US11886569B2 (en) 2020-05-21 2024-01-30 Google Llc Verifying device and application integrity
JP2022129988A (ja) * 2021-02-25 2022-09-06 株式会社東芝 情報処理システム、サーバ装置、情報処理方法及びプログラム
JP7379400B2 (ja) 2021-02-25 2023-11-14 株式会社東芝 情報処理システム、サーバ装置、情報処理方法及びプログラム
WO2024198042A1 (zh) * 2023-03-25 2024-10-03 陈军 支付文件生成读取的方法、系统、存储介质

Also Published As

Publication number Publication date
JP4168679B2 (ja) 2008-10-22

Similar Documents

Publication Publication Date Title
JP4168679B2 (ja) コンテンツ利用管理システム、コンテンツを利用し又は提供する情報処理装置又は情報処理方法、並びにコンピュータ・プログラム
JP5200204B2 (ja) 高信頼性システムを含む連合型デジタル権限管理機構
EP1452941B1 (en) Publishing digital content within a defined universe such as an organization in accordance with a digital rights management (DRM) system
US5673316A (en) Creation and distribution of cryptographic envelope
CA2457291C (en) Issuing a publisher use license off-line in a digital rights management (drm) system
US8731202B2 (en) Storage-medium processing method, a storage-medium processing apparatus, and a storage-medium processing program
RU2352985C2 (ru) Способ и устройство для санкционирования операций с контентом
US7644446B2 (en) Encryption and data-protection for content on portable medium
US6950941B1 (en) Copy protection system for portable storage media
US7542568B2 (en) Encryption device a decrypting device a secret key generation device a copyright protection system and a cipher communication device
US20040158731A1 (en) Publishing digital content within a defined universe such as an organization in accordance with a digital rights management (DRM) system
JP2006352289A (ja) コンテンツの利用端末を制限する方法、記憶装置およびシステム
US8347098B2 (en) Media storage structures for storing content, devices for using such structures, systems for distributing such structures
KR20050020165A (ko) 사용자간 콘텐츠에 대한 권한정보의 공유방법
WO2004109972A1 (ja) ライセンス受信用ユーザ端末
JP4248208B2 (ja) 暗号化装置、復号化装置、秘密鍵生成装置、著作権保護システムおよび暗号通信装置
US20160204939A1 (en) Media storage structures for storing content, devices for using such structures, systems for distributing such structures
JP2002164880A (ja) コンテンツ提供サーバ、コンテンツ提供プログラムを記録した記録媒体、コンテンツ配信サーバ、およびコンテンツ配信プログラムを記録した記録媒体
JP2008209960A (ja) コンテンツの利用端末を制限する方法、記憶装置およびシステム
JP4673150B2 (ja) デジタルコンテンツ配信システムおよびトークンデバイス
JP2003298565A (ja) コンテンツ配信システム
KR101203744B1 (ko) 컨텐츠 재생 관리 시스템 및 컨텐츠 재생 관리 방법
JP2005149002A (ja) コンテンツ流通管理方法および装置
JP2003188869A (ja) コンテンツ提供システム、コンテンツ提供方法およびプログラム
JP2005277951A (ja) 認証システム及び認証方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050420

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050420

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080109

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080422

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080514

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20080623

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080715

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080728

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120815

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees