JP2009033721A - グループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法 - Google Patents

グループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法 Download PDF

Info

Publication number
JP2009033721A
JP2009033721A JP2008137142A JP2008137142A JP2009033721A JP 2009033721 A JP2009033721 A JP 2009033721A JP 2008137142 A JP2008137142 A JP 2008137142A JP 2008137142 A JP2008137142 A JP 2008137142A JP 2009033721 A JP2009033721 A JP 2009033721A
Authority
JP
Japan
Prior art keywords
group
key
terminal
update
device unique
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008137142A
Other languages
English (en)
Other versions
JP5204553B2 (ja
Inventor
Taichi Sato
太一 佐藤
Kaoru Yokota
薫 横田
Natsume Matsuzaki
なつめ 松崎
Yuichi Fuda
裕一 布田
Tetsuya Inoue
哲也 井上
Masao Nonaka
真佐男 野仲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Original Assignee
Panasonic Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp filed Critical Panasonic Corp
Priority to JP2008137142A priority Critical patent/JP5204553B2/ja
Publication of JP2009033721A publication Critical patent/JP2009033721A/ja
Application granted granted Critical
Publication of JP5204553B2 publication Critical patent/JP5204553B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Abstract

【課題】更新サービス提供側が、更新対象の機器とグループを構成する端末機器のリストを保持することなく、機器固有鍵の更新対象である端末機器以外のグループを構成する端末機器のグループ鍵を更新させることができるグループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法を提供する。
【解決手段】グループ管理端末と複数のグループ従属端末とで構成されるグループとサーバとを備える鍵更新システムのグループ従属端末は、保持している機器固有鍵の更新指示を受けてグループからの離脱要求をグループ管理端末に送信するグループ離脱要求処理部と、保持するグループ鍵が無効されることによりグループからの離脱が完了した旨を示すグループ離脱証明書をサーバに送信することで他の機器固有鍵の取得を要求する更新機器固有鍵要求部と、固有鍵保持部の機器固有鍵をサーバにより取得した他の機器固有鍵に更新する更新処理部とを備える。
【選択図】図1

Description

本発明は、グループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法に関し、特に、特に、複数の端末で共有するグループ鍵の更新を可能とするグループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法に関する。
音楽や映像、小説等の創作物を電子化したデジタルコンテンツは、複製や頒布が容易である。
これは、創作物の著作権を有する著作権者が正規の複製や正規の頒布をする場合のみならず、著作権を有しない不正者が不正複製や不正頒布をする場合にも成り立つ。そこで、著作権者の権利や利益を保護するために、不正複製や不正頒布の防止が必要となる。特に、著作権者が著作権を有する創作物であるコンテンツのデジタル化を行って正規に頒布した正規コンテンツを元にして不正複製や不正頒布が行われることを防止することは、権利保護において重要である。
著作権保護技術として、暗号等を用いて不正複製や不正頒布を防止する技術がある。具体的には、コンテンツを頒布する機器に予め異なる鍵(機器固有鍵)を埋め込んでおく。そして、コンテンツを頒布する際には、正規購入者の機器が保持する機器固有鍵でコンテンツを暗号化して頒布する。例えば、機器1に機器固有鍵1を、機器2に機器固有鍵2を、・・・、機器Nに機器固有鍵Nを、それぞれ埋め込んでおき、機器1を持つユーザ1がコンテンツXを購入した際には、コンテンツXを機器固有鍵1で暗号化し、機器1に送付することで、ユーザ1にコンテンツXを頒布する。このような頒布方法を用いれば、機器2を保持するユーザ2が、機器固有鍵1で暗号化されたコンテンツXを入手しても、機器2を保持するユーザが使用できるのは、機器固有鍵2のみであり、機器固有鍵1で暗号化されたコンテンツXを機器固有鍵2によって復号することはできない。したがって、コンテンツXの著作権が保護されることになる。
しかしながら、機器1の機器固有鍵1を不正解析者が解析できたとすると、不正解析者は機器固有鍵1で暗号化されたコンテンツXを復号化できる。そして、不正解析者は暗号化を解いた平文のコンテンツXを不正複製することや不正頒布することが可能となる。よって、機器が保持する機器固有鍵は不正に解析されないように実装する必要がある。
また、機器固有鍵1を用いて復号を行う処理を不正解析者に不正改竄されて、平文のコンテンツをHDD(Hard Disk Drive)等に書き出すよう改変された場合、書き出されたコンテンツを元に不正複製や不正頒布が可能となる。よって、機器が行う復号処理が不正に改竄されないように、復号処理の機能を実装する必要がある。
上記のように、機器固有鍵を用いた処理は、不正解析・不正改竄されないように実装される必要がある。このような実装をする技術として耐タンパ実装技術がある。
ところで、不正解析をする方法には様々な方法がある。そのため、機器を製造する際には、様々な不正解析方法での攻撃を考慮して保護対象の耐タンパ実装を行う必要がある。しかし、耐タンパ実装を行った機器を製造して発売した後に、新たな不正解析方法が発見される場合がある。現在、完全に解析/改竄を防止できる耐タンパ技術は存在せず、今後も新たな不正解析方法が発見されることが予想される。よって、機器発売後においても新たな不正解析方法が発見された場合に、耐タンパ実装を更新できることが望まれる。
新しい不正解析方法が発見される場合、理論的に攻撃可能性が指摘されて、しばらく時間が経過した後に、その新しく発見された不正解析方法を用いて実際に不正解析される場合が多い。そのため、不正解析方法が指摘された早期の段階で耐タンパ実装を更新することが望ましい。また、実際に不正解析がなされたという事実によって脆弱性が発見された場合においても、不正解析された機器台数が少ないうちに耐タンパ実装が早期更新されることが望ましい。
ところで、耐タンパ実装を解除できることは、不正解析者にとって都合が良いので、不正解析者にとっては耐タンパ実装が更新されないことが望ましい。また、更新がされておらず脆弱性を有する機器は、不正解析者に高値で購入される場合もある。よって、不正解析を行わないような一般ユーザにとっても、更新を行わないことが後々の利益となる場合があるので、ユーザが耐タンパ実装の更新を回避する場合があることも考えられる。
そのような場合にも対処するために、耐タンパ実装の更新をする必要があるのに更新を行っていない機器では新しいコンテンツを受信できないようにすることで更新を促進する方法がある。すなわち、更新を行わない機器の機器固有鍵で、コンテンツを暗号化して配信することを中止することで、新しいコンテンツを受信したい機器の保持者に対して機器固有鍵の早期更新を促進する方法がある。
ところで、各機器は異なる機器固有鍵を保持するが、各機器が保持するコンテンツが他の機器で使用できないことが問題となる場合がある。例えば、一つの家庭に機器が複数台ある場合である。すなわち、一つの家庭に機器が複数台あるが、家庭内のある機器で購入したコンテンツが家庭内の他の機器で使用できない場合である。
そこで、家庭内の複数機器からなる機器のグループを設定することで、グループ内の機器の間ではコンテンツの相互利用が可能となる仕組みが提案されている。前記仕組みを実現するために、機器固有鍵に加えて、グループ固有のグループ鍵が用いられる。すなわち、同一家庭内の機器には機器固有鍵に加えて同一のグループ鍵が格納される。例えば、家庭内のある機器Aのコンテンツを他の機器Bで使用したい場合、ある機器Aにおいて機器固有鍵で暗号化されたコンテンツを機器固有鍵で一旦復号化して、グループ鍵で再度暗号化して他の機器Bに送信する。それを受信した機器Bでは、グループ鍵でコンテンツを復号化して使用する。このような構成を用いれば、ある機器Aで購入したコンテンツを他の機器Bで使用することができる。例えば下記特許文献1には、グループ鍵を用いたシステムが述べられている。
グループ鍵やグループ鍵を用いた暗復号処理(グループ鍵を用いた暗号、復号処理のこと。以下、グループ鍵処理とも称する。)は、上述同様に、耐タンパ実装をしておく必要がある。また、その耐タンパ実装に脆弱性が見つかった場合には更新を行うことが望まれるだけでなく、機器の保持者へのグループ鍵の更新促進も望まれる。
特開2000−101566号公報 特開2003−273857号公報
しかしながら、機器固有鍵を用いた処理の場合は、機器固有鍵で暗号化したコンテンツを配信するのはコンテンツ配信者側であったので、機器固有鍵を用いた処理を更新しない端末機器にはコンテンツを配信しないように操作することができた。しかし、グループ鍵で暗号化したコンテンツを配信するのは既にユーザの手に渡っているグループ端末機器である。そのため、グループ鍵を用いた処理を更新しない端末機器に対してコンテンツを配信しないように操作することはできなかった。
そこで、下記特許文献2には、グループ鍵が暴露された際に、暴露された端末機器以外のグループ端末に新しいグループ鍵を配信する方法が述べられている。下記特許文献2では、更新サービス提供者側にあるサーバが、各グループを構成する端末機器リストを保持している。そして、ユーザ側のある端末機器の脆弱性が発見された場合には、サーバ側で脆弱性がある端末機器を含む端末機器リストを見つけ、その端末機器リストに含まれる端末機器のうち、脆弱性がある端末機器以外の端末機器に新しいグループ鍵を送信する。
しかし、下記特許文献2では、更新サービス提供側がグループを構成する端末機器のリストを保持する必要がある。そのため、更新対象を管理/把握して更新を行うサービス主体/サーバが、グループを管理/把握しているサービス主体/サーバと別々の場合、このような方法を用いることは複雑な処理を必要とする。
また、下記特許文献2では、新しいグループ鍵を受信する端末機器は、脆弱性がある端末機器と同じグループの端末機器であり、既にユーザの手元に渡っている端末機器である。そのため、それらの端末機器側で新しいグループ鍵を受信しないようにされた場合、グループ鍵の更新は行われずに古いグループ鍵が使用され続けてしまう場合が想定される。
そこで、本発明は、上述の事情を鑑みてなされたものであり、更新サービス提供側が、更新対象の機器とグループを構成する端末機器のリストを保持することなく、機器固有鍵の更新対象である端末機器以外のグループを構成する端末機器のグループ鍵を更新させることができるグループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法を提供することを目的とする。
上記課題を解決するために、本発明の一実施の形態は、グループ管理端末と複数のグループ従属端末とで構成されるグループとサーバとを備える鍵更新システムのグループ従属端末は、保持している機器固有鍵を更新する指示を受けてグループからの離脱要求をグループ管理端末に送信するグループ離脱要求処理部と、保持するグループ鍵が無効されることによりグループからの離脱が完了した旨を示すグループ離脱証明書をサーバに送信することで他の機器固有鍵の取得を要求する更新機器固有鍵要求部と、固有鍵保持部の機器固有鍵をサーバにより取得した他の機器固有鍵に更新する更新処理部とを備えるものである。
本態様によれば、更新サービス提供側が、更新対象の機器とグループを構成する端末機器のリストを保持することなく、機器固有鍵の更新対象である端末機器以外のグループを構成する端末機器のグループ鍵を更新させることができるグループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法を実現することができる。
第1の発明の実施態様のグループ従属端末は、グループ管理端末及び複数のグループ従属端末から構成されるグループとサーバとを備える鍵更新システムにおけるグループ従属端末であって、前記グループ従属端末のみに対応する鍵である機器固有鍵を保持する機器固有鍵保持部と、前記グループが共有する鍵であるグループ鍵を保持するグループ鍵保持部と、前記機器固有鍵または前記グループ鍵を用いてデータを暗復号する暗復号処理部と、前記機器固有鍵の更新指示を受けて、前記グループからの離脱要求であるグループ離脱要求を前記グループ管理端末に送信するグループ離脱要求処理部と、前記グループ鍵が無効化されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を前記グループ管理端末から受信し、受信した前記グループ離脱証明書を前記サーバに送信することで、他の機器固有鍵の取得を要求する更新機器固有鍵要求部と、前記サーバから他の機器固有鍵を取得し、前記機器固有鍵保持部の前記機器固有鍵を取得した当該他の機器固有鍵に書き換える更新処理部とを備えたものである。
第2の発明の実施態様のグループ従属端末は、前記更新処理部は、有効な他のグループ鍵を、前記グループ管理端末に要求し、前記グループ鍵保持部の前記グループ鍵を、前記グループ管理端末より取得した当該有効な他のグループ鍵に更新するグループ鍵更新処理部を備えたものである。
第3の発明の実施態様のグループ従属端末は、前記グループ従属端末は、前記サーバからの更新指示を受けて、前記グループ離脱要求処理部に前記機器固有鍵を更新するよう指示する更新指示受信部を備えたものである。
上記実施態様の構成により、グループ従属端末は、グループから離脱したことを示すグループ離脱証明書を取得しないと、サーバから新しい機器固有鍵を取得することができない。それにより、グループ従属端末を使用するユーザに対して、機器固有鍵の更新だけでなく、グループから離脱することにより脆弱性のあるグループ鍵の無効化(または更新)を促進することができる。それにより、更新サービス提供側が、更新対象の機器とグループを構成する端末機器のリストを保持することなく、機器固有鍵の更新対象である端末機器以外のグループを構成する端末機器のグループ鍵を更新させることができるグループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法を提供できる。
第6の発明の実施態様のグループ管理端末は、グループ管理端末と少なくとも第1及び第2のグループ従属端末とから構成されるグループとサーバとを備える鍵更新システムにおけるグループ管理端末であって、前記グループが共有する鍵であるグループ鍵を保持するグループ鍵保持部と、前記グループからの離脱要求であるグループ離脱要求を前記第1のグループ従属端末から受信するグループ離脱要求受信部と、前記グループ離脱要求に従って、新しいグループ鍵を生成し、生成した当該新しいグループ鍵を前記第2のグループ従属端末に送信するグループ離脱処理部と、前記第2のグループ従属端末が有するグループ鍵を当該新しいグループ鍵に更新を完了した旨を示すグループ鍵更新完了通知を、前記第2のグループ従属端末から受信し、前記第1のグループ従属端末が有するグループ鍵が無効化されることにより前記グループからの離脱が完了した旨を示すグループ離脱証明書を前記第1のグループ従属端末に送信するグループ離脱証明送信部とを備えたものである。
第7の発明の実施態様のサーバは、グループ管理端末及び複数のグループ従属端末から構成されるグループとサーバとを備える鍵更新システムにおけるサーバであって、前記複数のグループ従属端末のいずれかの端末の機器固有鍵を生成する更新用鍵生成部と、前記端末が保持するグループ鍵が無効化されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を、前記端末から受信し、受信した前記グループ離脱証明書を検証後、前記端末に前記生成した機器固有鍵を送信する機器固有鍵更新処理部とを備えたものである。
なお、上記実施態様は、例えば、装置として実現するだけでなく、このような装置が備える処理手段を備える集積回路として実現したり、その装置を構成する処理手段をステップとする方法として実現したり、それらステップをコンピュータに実行させるプログラムとして実現したりすることもできる。そして、それらプログラムは、CD−ROM等の記録媒体やインターネット等の通信媒体を介して配信してもよい。
例えば、上記課題を解決するために、上記実施形態のグループ従属端末の鍵更新のプログラムは、グループ管理端末及び複数のグループ従属端末から構成されるグループとサーバとを備える鍵更新システムにおけるグループ従属端末の鍵更新のプログラムであって、前記グループ従属端末のみに対応する鍵である機器固有鍵の更新指示を受けて、前記グループからの離脱要求であるグループ離脱要求を前記グループ管理端末に送信するグループ離脱要求処理ステップと、前記グループ鍵が無効されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を前記グループ管理端末から受信し、受信した前記グループ離脱証明書を前記サーバに送信することで、他の機器固有鍵の取得を要求する更新機器固有鍵要求ステップと、前記サーバから他の機器固有鍵を取得し、前記機器固有鍵を、取得した当該他の機器固有鍵に書き換える更新処理ステップとをコンピュータに実行させるためのプログラムであってもよい。
例えば、上記課題を解決するために、上記実施形態のグループ管理端末の鍵更新のプログラムは、グループ管理端末と第1及び第2グループ従属端末とから構成されるグループとサーバとを備える鍵更新システムにおけるグループ管理端末の鍵更新のプログラムであって、前記グループからの離脱要求であるグループ離脱要求を前記第1のグループ従属端末から受信するグループ離脱要求受信ステップと、前記グループ離脱要求に従って、前記グループが共有する新しいグループ鍵を生成し、生成した当該新しいグループ鍵を前記第2のグループ従属端末に送信するグループ離脱処理ステップと、前記第2のグループ従属端末が有するグループ鍵を当該新しいグループ鍵に更新を完了した旨を示すグループ鍵更新完了通知を、前記第2のグループ従属端末から受信し、前記第1のグループ従属端末が有するグループ鍵が無効されることにより前記グループからの離脱が完了した旨を示すグループ離脱証明書を前記第1のグループ従属端末に送信するグループ離脱証明送信ステップとをコンピュータに実行させるためのプログラムであってもよい。
例えば、上記課題を解決するために、上記実施形態のサーバの鍵更新のプログラムは、グループ管理端末及び複数のグループ従属端末から構成されるグループとサーバとを備える鍵更新システムにおけるサーバの鍵更新のプログラムであって、前記複数のグループ従属端末のいずれかの端末の機器固有鍵を生成する更新用鍵生成ステップと、前記端末が保持するグループ鍵が無効されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を、前記端末から受信し、受信した前記グループ離脱証明書を検証後、前記端末に前記生成した機器固有鍵を送信する機器固有鍵更新処理ステップとをコンピュータに実行させるためのプログラムであってもよい。
以下、本発明の実施形態について、図面を用いて説明する。
(実施の形態1)
本発明に関わる実施の形態1におけるグループ鍵更新システム100について説明する。
図1は、実施の形態1におけるグループ鍵更新システム100の構成を示す図である。
グループ鍵更新システム100は、グループ110及びグループ111等と、非グループ端末140や非グループ端末141等とから構成されるユーザの端末と、機器固有鍵管理サーバ150と、更新サーバ160と、コンテンツ配信サーバ170とから構成される更新サービス提供側のサーバから構成されている。グループ鍵更新システム100では、サーバ及び端末それぞれがインターネット180を介して接続されている。
次に、グループ鍵更新システム100を構成するサーバ及び端末について説明する。
<端末>
(1)各端末
グループ管理端末120、グループ従属端末130、グループ従属端末131等、非グループ端末140及び非グループ端末141等は、コンテンツの配信先となる端末であって、コンテンツ配信サーバ170から受信したコンテンツを使用する端末である。
なお、本実施の形態において、グループ管理端末120は、例えばパーソナルコンピュータ、ホームサーバ、STB(Set Top Box)等である。グループ従属端末130、グループ従属端末131等、非グループ端末140、及び非グループ端末141等は、PC、携帯端末、テレビ等である。
なお、本実施の形態において、コンテンツとは、音楽や映像、小説等の創作物を電子化したデジタルコンテンツであるものとして以下説明する。
また、本実施の形態において、コンテンツを使用するとは、コンテンツの再生、複製、印刷等の形態でコンテンツを利用することをいう。
また、上述の各端末は、それぞれ対応する(または異なる)機器固有鍵を保持する。
(2)グループ110、グループ111等
グループ110及びグループ111等は、1つ以上の端末からなる端末群であって、コンテンツ配信サーバ170が配信したコンテンツを共有して使用する端末群である。各グループは、グループに属する端末を管理するグループ管理端末と、それ以外のグループ従属端末とからなる。例えば、グループ110は、図1に示すように、グループ管理端末120とグループ従属端末130及びグループ従属端末131等とから構成されている。
また、同一のグループに属する端末は同一のグループ鍵を保持する。各端末は、グループ鍵を用いて暗復号を行う処理部(以下、グループ鍵処理部)を有する。
また、各端末は、グループ鍵を用いて暗復号を行う処理(グループ鍵処理)を実現するソフトウェアモジュールを保持するグループ鍵処理モジュール保持部を有する。グループ鍵処理部は、グループ鍵処理モジュール保持部が保持するソフトウェアモジュールを実行することでグループ鍵を用いた暗復号を行う。ここで、グループ鍵処理モジュールは、更新が可能な構成となっている。グループ鍵処理モジュールに脆弱性が発見された場合には、後述の更新サーバ160より更新版のグループ鍵処理モジュールが送信されて更新される。
なお、非グループ端末140や非グループ端末141等はいずれのグループにも属さない端末である。例えば、いずれのグループ鍵も保持していない端末は非グループ端末であり、いずれかのグループに属していた端末がそのグループから離脱した場合、非グループ端末になる。また、非グループ端末は、いずれかのグループのグループ鍵を取得すればグループ端末となる。
<サーバ>
(3)コンテンツ配信サーバ170
コンテンツ配信サーバ170は、例えばパーソナルコンピュータであり、インターネット180を介して各端末(例えば、グループ管理端末120やグループ従属端末130)へコンテンツを配信するサーバである。
(4)機器固有鍵管理サーバ150
機器固有鍵管理サーバ150は、典型的にはパーソナルコンピュータであり、上述した各端末の機器固有鍵を保持する。例えば、配信先の端末には予めIP(Internet Protocol)アドレスなどの固有の識別情報が割り振られており、固有の識別情報と機器固有鍵の組をデータベースに記憶している。
また、コンテンツ配信サーバ170は、各端末にコンテンツを配信する際、配信先の端末固有の識別情報を機器固有鍵管理サーバ150へ送信する。機器固有鍵管理サーバ150は、受信した固有の識別情報に基づいて、データベースから適切な機器固有鍵を特定し、コンテンツ配信サーバ170へ送信する。
コンテンツ配信サーバ170は、機器固有鍵を機器固有鍵管理サーバ150より受信して取得し、取得した機器固有鍵でコンテンツを暗号化して配信先の端末に配信する。暗号化したコンテンツを受信した端末は、自端末が保持する機器固有鍵でコンテンツを復号化して使用する。なお、コンテンツの暗号化には例えばDES(Data Encryption Standard)を使用するものとする。DESについては公知であるので詳細な説明は省略する。
(5)更新サーバ160
更新サーバ160は、典型的にはパーソナルコンピュータであり、例えばオペレータが指定した端末に機器固有鍵や更新版のグループ鍵処理モジュールを配信するためのサーバである。
更新サーバ160は、ある端末が保持するグループ鍵処理モジュールに脆弱性が見つかった場合、脆弱性が見つかった端末に更新版のグループ鍵処理モジュールを配信する。
ここで、端末と端末との間、または端末とサーバとの間で送受信される、各種指示や通知等のメッセージについて説明する。
メッセージは、以下の3つの要素からなる。
1.メッセージがどのような指示、通知であるかを示す識別子
2.通信ネットワーク上の送信元を識別するために用いられる、通信ネットワーク上の送信元を示す識別子。具体的には送信元のIPアドレス等である。
3.指示や通知の内容を示すパラメータ
したがって、指示及び通知にそれぞれに異なる識別子が予め割り当てられており、通信を受信した側は識別子によって、どの送信元からどのような指示または通知を受けたかを識別できる。
次に、グループ従属端末130、グループ管理端末120及び更新サーバ160の構成について、機器固有鍵及びグループ鍵の更新処理に関する機能を主として説明する。
<グループ従属端末130>
図2は、グループ従属端末130のコンピューティングシステム200の構成例を示すブロック図である。図2では、本発明にかかるグループ従属端末130のハードウェア構成の一例であるコンピューティングシステム200を示している。
コンピューティングシステム200は、計算装置240、コンテンツ等を表示するディスプレイ210、キーボード等からユーザの指示を受け付けて処理を行う入力装置220、プログラム等を記憶する外部メモリ230、及び、外部との通信を行う通信部250で構成される。
計算装置240は、入出力を管理するI/O部241と、演算を行うCPU242と、メモリ243とから構成され、計算処理を行う。計算装置240は、具体的には、パーソナルコンピュータ、家電機器またはICカードなどである。好ましくは、計算装置240は、外部からの解析が困難なセキュリティ対策がされている1チップLSIである。
本発明にかかるグループ従属端末130の処理は、メモリ243や外部メモリ230に記憶され、CPU242によって実行される。
図3は、グループ従属端末130の構成例を示すブロック図である。グループ従属端末130は、グループ管理端末IP保持部305と、グループ鍵保持部310と、グループ鍵処理部320と、グループ鍵処理モジュール保持部325と、機器固有鍵保持部330と、暗復号処理部340と、更新指示受信部350と、グループ離脱要求処理部355と、グループ離脱完了処理部360と、通信部370と、更新処理部375と、グループ鍵更新処理部390とから構成される。以下各部について説明する。
グループ管理端末IP保持部305は、グループ従属端末130が属するグループ110のグループ管理端末120のIPアドレスを保持する。
グループ鍵保持部310は、グループ従属端末130が属するグループ110のグループ鍵を保持する。
グループ鍵処理モジュール保持部325は、グループ鍵保持部310が保持するグループ鍵を用いて暗復号を行うグループ鍵処理モジュールを保持する。
グループ鍵処理部320は、グループ鍵処理モジュール保持部325を有し、グループ鍵保持部310が保持するグループ鍵を用いてコンテンツの暗復号を行う処理部である。具体的には、グループ鍵処理部320は、グループ鍵保持部310が保持するグループ鍵を用いて、グループ鍵処理モジュール保持部325が保持するグループ鍵処理モジュールでコンテンツの暗復号の処理を実行する。
なお、グループ鍵処理部320は、グループ鍵処理モジュール保持部325を有さなくてもよい。グループ鍵処理部320がグループ鍵処理モジュール保持部325のグループ鍵処理モジュールでコンテンツの暗復号の処理を実行できれば、その形態は限定されない。
機器固有鍵保持部330は、グループ従属端末130の機器固有鍵を保持する。
暗復号処理部340は、機器固有鍵保持部330が保持する機器固有鍵を用いてデータの暗復号を行う。
更新指示受信部350は、通信部370を介して更新サーバ160からの更新指示(M610)を受信する。更新指示受信部350は、更新指示(M610)を受信すると、グループ離脱要求処理部355にグループ110から離脱する処理を開始する指示を行う。
グループ離脱要求処理部355は、更新指示受信部350よりグループ110から離脱する処理を開始する指示を受けて、グループ110から離脱するためのグループ離脱要求(M620)を、通信部370を介してグループ管理端末120に送信する。具体的には、グループ離脱要求処理部355は、グループ管理端末IP保持部305が保持するグループ管理端末120のIPアドレスに向けて、自端末であるグループ従属端末130を離脱させるためのグループ離脱要求(M620)を、通信部370を介して送信する。
グループ離脱完了処理部360は、通信部370を介してグループ管理端末120からグループ離脱完了通知(M650)を受信し、グループ離脱証明書を取得する。
グループ離脱完了処理部360は、グループ離脱完了通知(M650)を受信後に、通信部370を介して更新サーバ160に、グループ離脱証明書を含めた機器固有鍵更新要求(M660)を送信する。具体的には、グループ離脱完了処理部360は、受信したグループ離脱完了通知(M650)を解析し、パラメータであるグループ離脱証明書を取得する。そして、グループ離脱完了処理部360は、更新サーバ160に機器固有鍵更新要求(M660)を送信する。その際のパラメータは、取得したグループ離脱証明書とする。なお、グループ離脱証明書の詳細については後述する。
更新処理部375は、通信部370を介して更新サーバ160から送信された機器固有鍵更新通知(M670)を受信し、新しい機器固有鍵と新しいグループ鍵処理モジュールとを取得する。
更新処理部375は、取得した新しい機器固有鍵と新しいグループ鍵処理モジュールとで機器固有鍵保持部330が保持する機器固有鍵とグループ鍵処理モジュール保持部325が保持するグループ鍵処理モジュールをそれぞれ更新する。具体的には、更新処理部375は、機器固有鍵更新通知(M670)のメッセージのパラメータとして受信した新しい機器固有鍵の値を機器固有鍵保持部330に上書きする。また、更新処理部375は、機器固有鍵更新通知(M670)のメッセージのパラメータとして受信した更新版のグループ鍵処理モジュールをグループ鍵処理モジュール保持部325に上書きする。
グループ鍵更新処理部390は、通信部370を介してグループ管理端末120からグループ鍵更新指示(M630)を受信し、新しいグループ鍵を取得する。
グループ鍵更新処理部390は、取得した新しいグループ鍵でグループ鍵保持部310が保持するグループ鍵を更新する。具体的には、メッセージのパラメータとして受信した新しい鍵の値を、グループ鍵保持部310に上書きする。
グループ鍵更新処理部390は、グループ鍵の更新後、通信部370を介してグループ管理端末120にグループ鍵の更新が完了した旨を示すグループ鍵更新完了通知(M640)を送信する。
また、グループ鍵更新処理部390は、グループ従属端末130が、機器固有鍵を更新後、グループ110に再度加入する場合、通信部370を介してグループ管理端末120にグループ110に再度加入したい旨を示すグループ加入要求を送信する。
通信部370は、各端末やサーバ等からメッセージを受信し、受信したメッセージの識別子を解析し、解析した識別子によって、更新指示受信部350、グループ離脱完了処理部360、更新処理部375、グループ鍵更新処理部390のいずれかに受信したメッセージを送信する。
また、通信部370は、グループ離脱要求処理部355や、グループ鍵更新処理部390からのメッセージをサーバやグループ管理端末120等に送信する。
以上の説明における各保持部が保持する情報は、上述したコンピューティングシステム200において、メモリ243や外部メモリ230に記憶される。また、各処理部はメモリ243や外部メモリ230に記憶されCPU242で実行されることで実現する。また、通信部370が行う受信処理及び各処理部が行う送信処理は、通信部250を用いて実現する。また、好ましくは、メモリ243は不揮発性メモリであって、上記の記憶される内容は全てメモリ243に記憶される。
以上のように、グループ従属端末130は、更新サーバ160からの更新指示(M610)を受信すると、グループ管理端末120にグループ110からのグループ離脱を要求して、グループ110から離脱したことを示すグループ離脱完了通知(M650)を取得しないと、更新サーバ160から新しい機器固有鍵を取得することができない。それにより、グループ従属端末130を使用するユーザに対して、機器固有鍵の更新だけでなく、脆弱性のあるグループ鍵の無効化(及び更新)、かつ、グループ鍵処理を行うモジュールの更新を促進することができる。
<グループ管理端末120>
図4は、グループ管理端末120の構成例を示すブロック図である。グループ管理端末120は、グループ従属端末IP保持部410と、グループ鍵保持部420と、グループ鍵処理部425と、機器固有鍵保持部430と、暗復号処理部440と、グループ離脱要求受信部450と、グループ離脱処理部455と、更新処理部460と、通信部470とを備える。以下、各構成要素の詳細について説明する。
グループ従属端末IP保持部410は、グループ管理端末120と同じグループ110に属するグループ従属端末(例えば、グループ従属端末130及び131等)のIPアドレスリストを保持する。
グループ鍵保持部420は、グループ管理端末120のグループ110のグループ鍵を保持する。
グループ鍵処理部425は、グループ鍵保持部420が保持するグループ鍵を用いてデータの暗復号を行う。
機器固有鍵保持部430は、グループ管理端末120の機器固有鍵を保持する。
暗復号処理部440は、機器固有鍵保持部430が保持する機器固有鍵を用いてデータの暗復号を行う処理部である。
グループ離脱要求受信部450は、通信部470を介してグループ従属端末130からグループ離脱要求(M620)を受信する。グループ離脱要求受信部450は、グループ離脱要求(M620)を受信すると、グループ離脱処理部455にグループ従属端末130をグループ110から離脱させる処理を開始する指示を行う。
グループ離脱処理部455は、グループ離脱要求受信部450より指示を受けて、グループ従属端末130をグループ110から離脱させる処理を開始する。具体的には、まず、グループ離脱処理部455は、グループ離脱要求受信部450が受信したグループ離脱要求(M620)のメッセージ送信元(ここでは、グループ従属端末130)のIPアドレスを、グループ従属端末IP保持部410が保持するIPアドレスリストから削除する。次に、グループ離脱処理部455は、ランダムな値を生成して新しいグループ鍵とし、グループ鍵保持部420が保持するグループ鍵を更新する。次に、グループ離脱処理部455は、グループ従属端末IP保持部410が保持するIPアドレスリストにある各IPアドレスのグループ従属端末(ここでは、グループ従属端末131等)に通信部470を介して、グループ鍵更新指示(M630)を送信する。ここで、メッセージのパラメータは、上記の新しいグループ鍵とする。
更新処理部460は、通信部470を介してグループ従属端末IP保持部410が保持するIPアドレスリストにある各IPアドレスのグループ従属端末(ここでは、グループ従属端末131等)から、グループ鍵更新完了通知(M640)を受信する。そして、更新処理部460は、グループ離脱要求受信部450が受信したグループ離脱要求(M620)のメッセージ送信元(ここでは、グループ従属端末130)に対して、グループ離脱証明書を含めたグループ離脱完了通知(M650)を送信する。具体的には、更新処理部460は、グループ鍵更新完了通知(M640)を受信したのち、グループ離脱要求(M620)のメッセージ送信元であるグループ従属端末130にグループ離脱完了通知(M650)を送信する。その際のパラメータに、更新処理部460が生成したグループ離脱証明書が含まれている。
ここで、グループ離脱証明書について説明する。
グループ離脱証明書は以下の3つのフィールドからなる。
フィールドA:グループ離脱要求(M620)のメッセージ送信元のIPアドレス
フィールドB:グループ管理端末120自身のIPアドレス
フィールドC:フィールドA及びフィールドBのハッシュ値を算出し、算出した値をグループ管理端末120自身の機器固有鍵で暗号化した値
ここで、ドキュメントや数字などの文字列の羅列から一定長のデータに要約するための関数・手順のことをハッシュ関数といい、関数を通して出力される値を「ハッシュ値」という。SHA−1とMD5というハッシュ関数が代表的で、いずれも1方向関数であり、生成データから原文を推定することは不可能である。
また、更新処理部460は、グループ従属端末130により、機器固有鍵を更新後、グループ110に再度加入する場合に送信されたグループ加入要求を受信する。更新処理部460は、グループ加入要求を受信後、更新したグループ鍵をグループ従属端末130に送信する。
通信部470は、各端末やサーバ等から指示または通知を示すメッセージを受信し、受信したメッセージの識別子を解析し、解析した識別子によって、グループ離脱要求受信部450または更新処理部460に受信したメッセージを送信する。
また、通信部470は、グループ離脱処理部455や、更新処理部460からのメッセージをサーバやグループ管理端末120等に送信する。
なお、以上の説明における各保持部及び各処理部は、上述したコンピューティングシステム200で実行される。コンピューティングシステム200における各部と図4の各部との対応はグループ従属端末130の場合と同様であるので説明を省略する。
以上のように、グループ管理端末120は、グループ従属端末130からのグループ離脱要求(M620)を受信すると、グループ離脱要求(M620)を送信したグループ従属端末130以外のグループ従属端末131等のグループ鍵を更新する。グループ管理端末120は、グループ離脱要求(M620)を送信したグループ従属端末130以外のグループ従属端末131等のグループ鍵を更新し、グループ従属端末130がグループ110から離脱したことを証明するグループ離脱証明書を含めたグループ離脱完了通知をグループ従属端末130に送信する。すなわち、グループ鍵の更新をするに際して、更新サーバ160との連携や通信が不要であり、グループ110内の通信及び連携のみでグループ鍵の更新及びグループ従属端末130の機器固有鍵の更新を促進することができる。
<更新サーバ160>
図5は、更新サーバ160の構成例を示すブロック図である。更新サーバ160は、更新対象端末IP保持部510と、更新処理部520と、更新版モジュール保持部530と、更新処理検証部540と、入力処理部505と、通信部570とを備える。以下、各構成要素の詳細について説明する。
更新対象端末IP保持部510は、更新対象端末のIPアドレスを保持する。
更新版モジュール保持部530は、例えばグループ従属端末130等の更新対象端末に送信する更新版のグループ鍵処理モジュールを保持する。
更新処理部520は、入力処理部505による指示に基づいて、更新対象端末IP保持部510にセットする新しい機器固有鍵をランダムに生成する。更新処理部520は、機器固有鍵管理サーバ150に機器固有鍵更新指示(M605)を送信する。その際のパラメータは、更新対象端末IP保持部510が保持するIPアドレスと、上記のランダムに生成した新しい機器固有鍵の値である。
更新処理部520は、更新対象端末IP保持部510が保持するIPアドレスの端末の中で更新が必要な更新対象端末に更新指示(M610)を送信する。
更新処理検証部540は、例えばグループ従属端末130等の更新対象端末から機器固有鍵更新要求(M660)を受信した際に実行する処理部である。具体的には、更新処理検証部540は、更新対象端末から受信した機器固有鍵更新要求(M660)のメッセージに含まれるパラメータとして取得したグループ離脱証明書を検証する。更新処理検証部540は、グループ離脱証明書の検証後、機器固有鍵更新要求(M660)のメッセージの送信元である更新対象端末に、機器固有鍵更新通知(M670)を送信する。ここで、更新処理検証部540は、更新版グループ鍵処理モジュールを、更新版モジュール保持部530より取得し、新しい機器固有鍵を機器固有鍵管理サーバ150より取得し、機器固有鍵更新通知(M670)に含めてグループ離脱要求(M620)のメッセージ送信元に送信する。
また、機器固有鍵更新通知(M670)のパラメータには以下の2つが含まれる。
1.更新版モジュール保持部530が保持する更新版のグループ鍵処理モジュール
2.更新対象端末の新しい機器固有鍵。ここで、更新対象端末の新しい機器固有鍵は、機器固有鍵更新要求(M660)のメッセージ送信元のIPアドレスを有する機器の機器固有鍵を、機器固有鍵管理サーバ150より取得したものである。
ここで、グループ離脱証明書の検証処理について説明する。
図6は、更新処理検証部540が行う処理を示すフローチャートである。
図6では、グループ離脱証明書の検証を行い、検証が成功した場合に機器固有鍵更新通知(M670)を送信するまでの更新処理検証部540の処理の流れを示している。
まず、ステップS800では、更新処理検証部540は、例えばグループ従属端末130の更新対象端末から受信した機器固有鍵更新要求(M660)のメッセージのパラメータを解析し、以下のフィールドA〜Cを取得する。
フィールドA:グループ離脱要求(M620)のメッセージ送信元のIPアドレス
フィールドB:グループ管理端末120のIPアドレス
フィールドC:フィールドA及びフィールドBのハッシュ値を算出し、算出した値をグループ管理端末120の機器固有鍵で暗号化した値
次に、ステップS820では、更新対象端末IP保持部510が保持するIPアドレスを取得する。
次に、ステップS830では、更新処理検証部540は、ステップS820で取得したIPアドレスと、フィールドAのIPアドレスを比較し、同じ場合は、S850に遷移し、異なる場合は処理を終了する。これにより、機器固有鍵更新要求(M660)を行っている更新対象端末が正しいかどうかを判断できる。
次に、ステップS850では、更新処理検証部540は、フィールドBのIPアドレスの端末の機器固有鍵を機器固有鍵管理サーバ150より取得する。すなわち、離脱を行ったグループ管理端末120の機器固有鍵を取得する。
次に、ステップS860では、更新処理検証部540は、フィールドCの値をステップ850で取得した機器固有鍵で復号化する。
次に、ステップS870では、更新処理検証部540は、フィールドA及びフィールドBのハッシュ値を算出する。
次に、ステップS875では、更新処理検証部540は、ステップ860の復号化で得た値と、ステップ870のハッシュ値を比較し、等しい場合にはステップS880へ遷移し、異なる場合には処理を終了する。機器固有鍵更新要求(M660)を行った更新対象端末が正しい場合には一致するので、機器固有鍵更新要求(M660)を行った更新対象端末が正しいかどうかを判断できる。
次に、ステップS880では、更新処理検証部540は、フィールドAのIPアドレスの端末、すなわちグループ離脱要求(M620)のメッセージ送信元のIPアドレスに、機器固有鍵更新通知(M670)を送信する。
ここで、機器固有鍵更新通知(M670)に含まれるパラメータは、更新版グループ鍵処理モジュールと、フィールドAのIPアドレスにおける端末の新しい機器固有鍵である。なお、更新処理検証部540は、更新版グループ鍵処理モジュールを、更新版モジュール保持部530より取得し、新しい機器固有鍵を機器固有鍵管理サーバ150より取得し、機器固有鍵更新通知(M670)に含めてグループ離脱要求(M620)のメッセージ送信元に送信する。
以上のように、更新処理検証部540は、グループ離脱要求(M620)のメッセージ送信元から取得したグループ離脱証明書を検証し、検証が成功した場合に機器固有鍵更新通知(M670)をグループ離脱要求(M620)のメッセージ送信元に送信する。
入力処理部505は、入力された更新対象端末IP、更新版のグループ鍵処理モジュールをそれぞれ、更新対象端末IP保持部510、更新版モジュール保持部530に入力する。入力処理部505は、更新処理部520に更新対象端末の新しい機器固有鍵を生成するよう指示する。
通信部570は、各端末やサーバ等から指示または通知を示すメッセージを受信し、受信したメッセージの識別子を解析し、解析した識別子によって、更新処理部520または更新処理検証部540に受信したメッセージを送信する。
なお、以上の説明における各保持部及び各処理部は、上述したコンピューティングシステム200で実行される。コンピューティングシステム200における各部と図5の各部との対応はグループ従属端末130の場合と同様であるので説明を省略する。また、入力処理部505における入力は、入力装置220によって実現される。
以上のように、更新サーバ160は、機器固有鍵の更新対象である端末に、更新指示(M610)を送信するだけで、グループ管理端末120など更新対象でない端末との連携や通信をすることなしに、機器固有鍵の更新対象である端末に機器固有鍵だけでなく、機器固有鍵の更新対象である端末が所属するグループ110のグループ鍵の更新を促進することができる。
次に、本発明におけるグループ鍵更新システムにおいて、機器固有鍵の更新が行われる際の処理について説明する。
<更新処理概要>
図7は、グループ鍵更新システム100において、機器固有鍵の更新が行われる際の処理を示すシーケンス図である。図7は、グループ従属端末130に脆弱性が発見されて場合に、グループ従属端末130が機器固有鍵及びグループ鍵処理モジュールを更新する際のメッセージのやり取りについて示している。
まず、更新サーバ160は、更新対象端末であるグループ従属端末130の機器固有鍵を更新するよう新しい機器固有鍵の値を含めた機器固有鍵更新指示(M605)を機器固有鍵管理サーバ150に送信する(S702)。ここで、機器固有鍵更新指示(M605)に含まれるパラメータは、更新対象の端末を識別する識別子と、更新後の新しい機器固有鍵の値である。なお、図7においてメッセージの後の括弧の中は、当該メッセージに含まれるパラメータを示している。機器固有鍵管理サーバ150は、機器固有鍵更新指示(M605)を受信し、受信したグループ従属端末130の機器固有鍵を更新する。
また、更新サーバ160は、更新が必要な更新対象端末に更新指示(M610)を送信する(S704)。
ここで、更新指示(M610)は、更新サーバ160から、グループ鍵処理モジュールに脆弱性のあるグループ従属端末(ここでは、グループ従属端末130)へ送信されるメッセージであり、機器固有鍵及びグループ鍵処理モジュールの更新を指示するメッセージである。なお、更新指示(M610)には、パラメータはない。
次に、グループ従属端末130は、更新サーバ160からの更新指示(M610)を受信すると、グループ管理端末120にグループ離脱要求(M620)を送信する(S706)。
ここで、グループ離脱要求(M620)は、グループ従属端末130から、グループ管理端末120に送信されるメッセージであり、グループ従属端末130に対してグループ110からのグループ離脱を要求するメッセージである。ここで、グループ離脱要求(M620)には、パラメータはない。
次に、グループ管理端末120は、グループ従属端末130からのグループ離脱要求(M620)を受信すると、グループ従属端末130以外のグループ従属端末131等にグループ鍵更新指示(M630)を送信する(S708)。
ここで、グループ鍵更新指示(M630)は、グループ管理端末120から送信され、グループ従属端末130以外のグループ従属端末131等にグループ鍵の更新を指示するメッセージである。グループ鍵更新指示(M630)におけるパラメータは、更新に用いる新しいグループ鍵の値である。
グループ従属端末131等は、グループ管理端末120からグループ鍵更新指示(M630)を受信し、新しいグループ鍵を取得する。グループ従属端末131等は、取得した新しいグループ鍵に更新する。
次に、グループ従属端末131等は、グループ鍵の更新後、グループ管理端末120にグループ鍵更新完了通知(M640)を送信する(S710)。
ここで、グループ鍵更新完了通知(M640)は、グループ従属端末131等から送信され、グループ管理端末120にグループ鍵の更新の完了を通知するメッセージである。なお、グループ鍵更新完了通知(M640)には、パラメータはない。
次に、グループ管理端末120は、グループ従属端末131等からグループ鍵更新完了通知(M640)を受信すると、グループ離脱要求(M620)のメッセージ送信元であるグループ従属端末130に対して、グループ離脱証明書を含めたグループ離脱完了通知(M650)を送信する(S712)。
ここで、グループ離脱完了通知(M650)は、グループ管理端末120から送信されるメッセージであり、グループ離脱要求(M620)を送信した端末に対して、グループからの離脱完了を通知するメッセージである。グループ離脱完了通知(M650)に含まれるパラメータは、離脱を証明するグループ離脱証明書である。
次に、グループ従属端末130は、グループ管理端末120からのグループ離脱完了通知(M650)を受信すると、更新サーバ160に、グループ離脱証明書を含めた機器固有鍵更新要求(M660)を送信する(S714)。
ここで、機器固有鍵更新要求(M660)は、グループ従属端末130から、更新サーバ160へ送信されるメッセージであり、更新サーバ160に更新版のグループ鍵処理モジュールの送信を要求するメッセージである。なお、機器固有鍵更新要求(M660)に含まれるパラメータは、グループ離脱証明書である。
次に、更新サーバ160は、グループ従属端末130からの機器固有鍵更新要求(M660)を受信し、受信したグループ離脱証明書の検証をする。更新サーバ160は、受信したグループ離脱証明書の検証後、更新対象端末であるグループ従属端末130に、機器固有鍵更新通知(M670)を送信する(S716)。
ここで、機器固有鍵更新通知(M670)は、脆弱性のある端末であるグループ従属端末130に、更新版のグループ鍵処理モジュールと新しい機器固有鍵とを含めて送信するメッセージである。機器固有鍵更新処理通知(M670)に含まれるパラメータは、更新版のグループ鍵処理モジュールと、新しい機器固有鍵とである。
次に、グループ従属端末130は、更新サーバ160から送信された機器固有鍵更新通知(M670)を受信し、新しい機器固有鍵と新しいグループ鍵処理モジュールとを取得する。グループ従属端末130は、取得した新しい機器固有鍵と新しいグループ鍵処理モジュールとに更新する。そして、グループ従属端末130は、グループ管理端末120にグループ110に再度加入したい旨を示すグループ加入要求を送信する(S720)。
次に、グループ管理端末120は、グループ従属端末130よりグループ加入要求を受信する。グループ管理端末120は、グループ従属端末131等で共有している更新した新グループ鍵をグループ従属端末130に送信する(S722)。
以上のようにして、本発明におけるグループ鍵更新システムでは、脆弱性のある端末での機器固有鍵の更新とともに脆弱性のある端末が所属するグループのグループ鍵の更新を安全に行うことができる。
以上のように、更新サービス提供側が、更新対象の機器とグループを構成する端末機器のリストを保持することなく、機器固有鍵の更新対象である端末機器以外のグループを構成する端末機器のグループ鍵を更新させることができるグループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法を提供できるだけでなく、合わせてグループ鍵処理の実装に脆弱性を有する端末の、機器固有鍵及びグループ鍵処理を行うモジュールの更新を促進することができる。
<更新処理詳細>
図8は、グループ鍵更新システム100において、機器固有鍵の更新が行われる際の処理を示すフローチャートである。図8は、グループ従属端末130に脆弱性が発見された場合にグループ従属端末130のグループ鍵保持部310を更新する際の処理の流れを示す。なお、図7と同様の処理には同一のステップを付している。
まず、初期状態では、グループ管理端末120のグループ従属端末IP保持部410にはグループ従属端末130及び131等のIPアドレスが保持されている。また、グループ従属端末130及び131等のそれぞれのグループ管理端末IP保持部305には、グループ管理端末120のIPアドレスが格納されている。また、機器固有鍵管理サーバ150には、グループ管理端末120、グループ従属端末130、及びグループ従属端末131等の機器固有鍵が端末のIPアドレスと対応付けて保持されている。
まず、更新サービス提供側のオペレータは、更新サーバ160の入力処理部505を介して、脆弱性のあるグループ従属端末130のIPアドレス、更新版のグループ鍵処理モジュールを入力する。更新サーバ160の入力処理部505は、入力された脆弱性のあるグループ従属端末130のIPアドレス、更新版のグループ鍵処理モジュールを、更新対象端末IP保持部510、更新版モジュール保持部530に格納し、更新処理部520の処理を開始する(S700)。
次に、更新サーバ160の更新処理部520は、更新対象端末IP保持部510が保持するグループ従属端末130のIPアドレスを取得し、グループ従属端末130用の新しい機器固有鍵を生成する。次に、更新サーバ160の更新処理部520は、グループ従属端末130のIPアドレスと生成した新しい機器固有鍵をパラメータとする機器固有鍵更新指示(M605)を機器固有鍵管理サーバ150に送信し(S702)、続いて、グループ従属端末130のIPアドレスに更新指示(M610)を送信する(S704)。
次に、更新対象の端末であるグループ従属端末130の通信部370は、更新サーバ160からの更新指示(M610)を受信し(S705)、受信したメッセージの識別子より、機器固有鍵の更新指示を示すメッセージであることを判定し、更新指示受信部350に更新指示(M610)を送信する。
更新指示受信部350は、更新指示(M610)を受信すると、グループ離脱要求処理部355にグループ110から離脱する処理を開始する指示を行う。
次に、グループ従属端末130のグループ離脱要求処理部355は、通信部370を介してグループ管理端末IP保持部305が保持するIPアドレスのグループ管理端末120に向けて、グループ110から自端末(グループ従属端末130)を離脱するよう要求するグループ離脱要求(M620)を送信する(S706)。
次に、グループ管理端末120の通信部470は、グループ離脱要求(M620)を受信する(S707)。グループ管理端末120の通信部470は、受信したメッセージの識別子より、メッセージがグループ110からのグループ離脱要求を示すグループ離脱要求(M620)であることを判定して、グループ離脱要求受信部450にグループ離脱要求(M620)を送信する。グループ離脱要求受信部450は、グループ離脱要求(M620)を受信すると、グループ離脱処理部455にグループ従属端末130をグループ110から離脱させる処理を開始する指示を行う。
次に、グループ管理端末120のグループ離脱処理部455は、メッセージを解析し、送信元のIPアドレスを判別する。ここでは、グループ従属端末130のIPアドレスが判別される。次に、グループ管理端末120のグループ離脱処理部455は、グループ従属端末IP保持部410が保持するIPアドレスから、グループ従属端末130のIPアドレスを削除する。この段階でグループ従属端末IP保持部410に残るIPアドレスは、グループ従属端末131のIPアドレスのみとなる。そして、グループ鍵保持部420が保持するグループ鍵をランダムな値に更新する。次に、グループ管理端末120のグループ離脱処理部455は、通信部470を介してグループ従属端末IP保持部410が保持する各IPアドレスの端末に、新たなグループ鍵の値をパラメータとしてもつグループ鍵更新指示(M630)を送信する(S708)。ここでは、グループ従属端末131にグループ鍵更新指示(M630)を送信する。
次に、グループ従属端末131の通信部370は、グループ鍵更新指示(M630)を受信し(S709)、受信したメッセージの識別子より、グループ管理端末120からのメッセージがグループ鍵更新の指示を示すグループ鍵更新指示(M630)であることを判定し、グループ鍵更新処理部390に送信する。
次に、グループ従属端末131のグループ鍵更新処理部390は、グループ鍵保持部310のグループ鍵の値を、パラメータで指定された値に書き換える。グループ鍵更新処理部390は、グループ鍵の更新後、通信部370を介して、メッセージの送信元であるグループ管理端末120にグループ鍵更新完了通知(M640)を送信する(S710)。
次に、グループ管理端末120の通信部470は、グループ鍵更新完了通知(M640)を受信し(S711)、受信したメッセージの識別子より、メッセージがグループ鍵の更新完了を示すグループ鍵更新完了通知(M640)であることを判定し、更新処理部460に送信する。
次に、グループ管理端末120の更新処理部460は、ステップS706でグループ離脱要求(M620)を送信してきたグループ従属端末130にグループ離脱完了通知(M650)を送信する(S712)。その際のパラメータはグループ離脱証明書となる。なお、上述したようにグループ離脱証明書は以下の3つのフィールドからなる。
フィールドA:グループ離脱要求(M620)のメッセージ送信元のグループ従属端末130のIPアドレス
フィールドB:グループ管理端末120自身のIPアドレス
フィールドC:フィールドA〜Bのハッシュ値を算出し、算出した値をグループ管理端末120の機器固有鍵で暗号化した値
次に、グループ従属端末130の通信部370は、グループ離脱完了通知(M650)を受信し(S713)、受信したメッセージの識別子より、メッセージがグループ110からグループ従属端末130のグループ離脱が完了した旨を示すグループ離脱完了通知(M650)であることを判定し、グループ離脱完了処理部360に送信する。
次に、グループ従属端末130のグループ離脱完了処理部360は、更新サーバ160に機器固有鍵更新要求(M660)を送信する(S714)。その際のパラメータは、受信したグループ離脱完了通知(M650)のパラメータであるグループ離脱証明書である。
次に、更新サーバ160の通信部570は、機器固有鍵更新要求(M660)を受信し(S715)、受信したメッセージの識別子より、メッセージが新しい機器固有鍵の要求を示す機器固有鍵更新要求(M660)であることを判定し、更新処理検証部540に送信する。
次に、更新サーバ160の更新処理検証部540は、機器固有鍵更新要求(M660)のパラメータであるグループ離脱証明書を検証し、検証後に、機器固有鍵更新要求(M660)の送信元であるグループ従属端末130に機器固有鍵更新通知(M670)を送信する(S716)。ここで、検証から機器固有鍵更新通知までの処理は図6に示したものになる。
次に、グループ従属端末130の通信部370は、機器固有鍵更新通知(M670)を受信し(S717)、受信したメッセージの識別子より、メッセージが機器固有鍵更新通知(M670)であることを判定し、更新処理部375に送信する。
グループ従属端末130の更新処理部375は、機器固有鍵更新通知(M670)のパラメータとして受信した新しい機器固有鍵の値を機器固有鍵保持部330に上書きする。また、グループ従属端末130の更新処理部375は、機器固有鍵更新通知(M670)パラメータとして受信した新しい更新版のグループ鍵処理モジュールをグループ鍵処理モジュール保持部325に上書きする(S718)。
以上のように、グループ鍵更新システム100において、機器固有鍵の更新が行われる。
上述のように、ステップS702において機器固有鍵管理サーバ150が保持するグループ従属端末130の機器固有鍵を更新したことによって、その時にグループ従属端末130が保持する機器固有鍵は無効化される。すなわち、これ以降、コンテンツ配信サーバ170は、グループ従属端末130が保持している機器固有鍵でコンテンツを暗号化しなくなる。よって、グループ従属端末130は、ステップS718で機器固有鍵とグループ鍵処理モジュールの更新が完了するまで新しいコンテンツを使用することができなくなる。よって、新しいコンテンツを使用したいユーザに対して機器固有鍵及びグループ鍵処理モジュールの更新を促進することができる。
また、S707からS711までのステップによって、グループ管理端末120及びグループ従属端末131のグループ鍵は更新されて、グループ従属端末130が保持するグループ鍵とは異なる値となる。よって、グループ鍵処理モジュールに脆弱性を有するグループ従属端末130のグループ鍵処理モジュールが解析されて、グループ鍵が不正に解析されていたとしても、上記のS711以降は不正解析されたグループ鍵は使用されなくなり、更新したグループ鍵が用いられる。つまり、グループ従属端末130が更新された後は、不正解析されたグループ鍵は使用されなくなる。それにより、更新サーバ160は、グループ従属端末130がいずれの端末とグループを形成するかの情報を用いずに、グループ従属端末130の属していたグループ110のグループ鍵を更新することができる。
また、S704において、グループ従属端末130が更新サーバ160により更新指示されたのにかかわらず機器固有鍵の更新を回避した場合には、グループ従属端末130は、S704以降新しいコンテンツを使用できなくなる。それにより、グループ鍵の更新を促進することができる。
また、グループ従属端末130はグループ離脱要求処理部355において、グループ離脱要求(M620)を送信する。これにより、グループ鍵保持部310に保持されているグループ鍵の無効化がグループ管理端末120により行われることとなる。
また、グループ従属端末130の更新処理部375は、このグループ鍵無効化の制御が行われた後に、通信部370を介して更新サーバ160から送信された機器固有鍵更新通知(M670)を受信し、新しい機器固有鍵と新しいグループ鍵処理モジュールとを取得する。これによって、グループ鍵が更新されずに更新版の機器固有鍵が受信されることがなくなり、グループ鍵の更新を促進することができる。
また、S712〜S714で示されるように、グループ従属端末130のグループ離脱完了処理部360において、グループ鍵の無効化完了すなわちグループ110からの離脱完了を示すグループ離脱証明書を含むグループ離脱完了通知(M650)を受信する。その後に、更新処理部375が更新サーバ160に、グループ離脱証明書を含めた機器固有鍵更新要求(M660)を送信する。このように、グループ鍵の無効化が完了してから機器固有鍵の更新を行うので、グループ鍵の更新をより確実に促進することができる。
また、グループ従属端末130のグループ離脱完了処理部360は、機器固有鍵更新要求(M660)を更新サーバ160に送信するので、更新サーバ160では機器固有鍵更新通知(M670)を送信するタイミングの決定を容易にすることができる。
以上のように、更新サービス提供側が、更新対象の機器とグループを構成する端末機器のリストを保持することなく、機器固有鍵の更新対象である端末機器以外のグループを構成する端末機器のグループ鍵を更新させることができるグループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法を実現することができる。
<変形例1>
なお、上述の実施の形態では、グループ従属端末130が、更新サーバ160に機器固有鍵更新要求(M660)を送信する構成を示したが、グループ管理端末120が送信する構成としても構わない。例えば、グループ管理端末120が、グループ離脱完了通知(M650)をグループ従属端末130に送信する替わりに、更新サーバ160に機器固有鍵更新要求(M660)を送信する。この際、メッセージの送信元として、グループ離脱要求(M620)の送信元であるグループ従属端末130のIPアドレスが指定されるとする。
<変形例2>
また、上述の実施の形態では、グループ管理端末120は、グループ鍵更新完了通知(M640)を受信した後にグループ離脱完了通知(M650)を送信する構成を示したが、グループ鍵更新完了通知(M640)を受信せずに、グループ鍵更新指示(M630)を送信した後に、グループ離脱完了通知(M650)を送信する構成としても構わない。
<変形例3>
また、上述の実施の形態では、各端末が保持する機器固有鍵と、機器固有鍵管理サーバ150が保持する機器固有鍵とを共通の鍵とする共通鍵暗号を用いた場合を示したが、各端末が保持する暗復号処理部340または440を公開鍵暗号処理とし、各端末が保持する機器固有鍵を秘密鍵とし、機器固有鍵管理サーバ150は公開鍵を保持する構成としても構わない。
このような構成を用いれば、機器固有鍵管理サーバ150が保持する機器固有鍵は公開鍵となり、機器固有鍵管理サーバ150からの端末の秘密情報漏洩を防止することができる。
<変形例4>
また、上述の実施の形態では、説明を簡単にするために機器固有鍵更新通知(M670)で新しい機器固有鍵や更新版モジュールを平文で送信する構成を示したが、グループ従属端末130の更新前の旧鍵で暗号化して送信する更新としても構わない。そのような構成を取る場合、機器固有鍵管理サーバ150は、更新前の旧鍵と、更新後の新鍵との両方を保持する構成とする。
また、各端末間のメッセージのやり取りはグループ鍵で暗号化して行う構成としても構わない。また機器固有鍵に基づく署名を付ける構成としても構わない。
このような構成を用いれば、機器固有鍵更新要求(M660)を偽造することが困難になる。
<変形例5>
また、グループ従属端末130が機器固有鍵更新要求(M660)を送受信する際の通信用鍵を、更新サーバ160とグループ従属端末130で別途予め保持しておく構成としても構わない。このような構成を用いる場合には、機器固有鍵更新要求(M660)の偽造は困難である。その場合、グループ離脱証明書を生成しない構成としてもよい。
<変形例6>
また、上述の実施の形態では、コンテンツ配信サーバ170は、コンテンツ全体を送信先の機器固有鍵で暗号化して送信し、グループ端末(グループ管理端末及びグループ従属端末)間で共有する際には、コンテンツ全体を機器固有鍵で一旦復号化し、再度グループ鍵でコンテンツ全体を暗号化して他のグループ端末に送信する構成を示した。しかし、コンテンツ配信サーバ170がコンテンツを配布する配信先が多い場合に、計算にかかる負荷は大きい。また、グループ110でコンテンツを共有する際の送信側の計算にかかる負荷も大きい。
そこで、コンテンツを予め機器固有鍵とは別のタイトル鍵で暗号化しておき、コンテンツ配信サーバ170が送信を行う際には、送信先の機器固有鍵でタイトル鍵のみを暗号化して、タイトル鍵で暗号化したコンテンツと、送信先の機器固有鍵で暗号化したタイトル鍵を送信する構成としても構わない。この際、受信側では、端末が保持する機器固有鍵でタイトル鍵を復号化して、取得したタイトル鍵でコンテンツを復号化して使用する。
また、コンテンツを共有する際には、送信側のグループ端末(グループ管理端末及びグループ従属端末)は、端末が保持する機器固有鍵でタイトル鍵を一旦復号化して、取得したタイトル鍵をグループ鍵で再度暗号化し、グループ鍵で暗号化したタイトル鍵と、タイトル鍵で暗号化したコンテンツを送信する。受信側のグループ端末(グループ管理端末及びグループ従属端末)では、端末が保持するグループ鍵で暗号化したタイトル鍵を復号化して、取得したタイトル鍵でコンテンツを復号化して使用する。
このような構成を用いれば、コンテンツ配信サーバ170の計算負荷を減らすことができ、また、コンテンツを共有する際の、送信側のグループ端末(グループ管理端末及びグループ従属端末)の計算負荷を減らすことができる。
また、コンテンツ配信サーバ170は、タイトル鍵で暗号化したコンテンツをマルチキャストし、送信先の機器固有鍵で暗号化したタイトル鍵のみをユニキャストする構成としても構わない。
また、変形例4〜5で述べた更新サーバ160が、更新版モジュールを暗号化して送信する構成において、同様に、更新版モジュールをタイトル鍵で暗号化し、タイトル鍵のみを送信先の機器固有鍵等で暗号化して送信する構成としても構わない。また、その際、タイトル鍵で暗号化した更新版モジュールは、予めマルチキャストする構成としてもよい。
<変形例7>
また、上述の実施の形態では、更新サーバ160における更新処理部520において、機器固有鍵管理サーバ150にグループ従属端末130の新しい機器固有鍵をセットする構成を示したが、更新サーバ160における更新処理部520は、古い鍵を無効化する指示を送信し、更新処理検証部540において、新しい機器固有鍵を生成し、機器固有鍵更新指示(M605)を送信する構成としても構わない。このような構成を用いれば、更新を行わないグループ従属端末のために新たな鍵を生成する無駄が生じない。
<変形例8>
また、上述の実施の形態では、グループ従属端末130は、更新指示(M610)をトリガーとして、グループ離脱を行う構成を示した。そのため、更新指示(M610)を受信する前にグループ従属端末130がグループ110から離脱していた場合、グループ離脱証明書は発行されない。そこで、グループ従属端末130は、グループ離脱証明書保持部を有する構成としても構わない。その構成では、グループ従属端末130は、グループ110を離脱する際には、取得したグループ離脱証明書をグループ離脱証明書保持部に格納することとし、グループ離脱完了処理部360では、グループ従属端末130が、グループ離脱証明書を保持する場合には、そのグループ離脱証明書をパラメータとして、機器固有鍵更新要求(M660)を、更新サーバ160に送信する。
このような構成を用いれば、グループ従属端末130は、更新指示(M610)とは無関係なタイミングでグループ離脱を行ったとしても、その後に更新を行うことができる。なお、別のグループに加入した場合には、グループ離脱証明書を削除する。
<変形例9>
また、上述の実施の形態では、通信ネットワーク上において通信を行う際の送信先を識別する情報としてIPアドレスを用いる構成を示したが、MACアドレス、メールアドレス及びURL等の他の識別情報を用いる構成としても構わない。
<変形例10>
また、上述の実施の形態では、脆弱性のあるグループ従属端末130は、更新版モジュールを受信し、脆弱性のあるモジュールを更新する構成を示したが、脆弱性を解決した更新版モジュールのサイズや処理時間が増大してしまい、どうしてもグループ従属端末130では使用できなくなる場合が考えられる。そのような場合は、機器固有鍵更新通知(M670)では、パラメータとして、新しい機器固有鍵のみを送信する構成としても構わない。
このような構成においては、脆弱性を有するグループ従属端末130は、機器固有鍵更新通知(M670)のパラメータに更新版モジュールがあるか否かを判定し、偽の場合は、グループ鍵処理モジュール保持部325のメモリをクリアする等して、グループ鍵処理を無効化する。
なお、このような構成を用いると、それ以降、グループ従属端末130をグループ110内でのコンテンツ共有に用いることができないので、グループ鍵処理部320を有する外部ハードウェアの追加した場合に、外部ハードウェアでグループ鍵処理ができるようにしておくことが望ましい。その場合、グループ鍵処理部320は、外部ハードウェアの有無を判断し、ある場合には、外部ハードウェアのグループ鍵処理を開始する構成とする。
<変形例11>
また、上述の実施の形態では、更新サーバ160がグループ従属端末130に送信した更新指示(M610)をトリガーとして、グループ従属端末130がグループ離脱を開始する構成を示したが、他のトリガーによってグループ離脱を開始する構成としても構わない。例えば、機器固有鍵更新指示(M605)によって、グループ従属端末130の機器固有鍵が一旦無効化されてしまうと、それ以後にはグループ従属端末130がコンテンツ配信サーバ170から受信したコンテンツが正しく復号できなくなる。そこで、コンテンツ配信サーバ170から受信したコンテンツを正しく復号できたか否かを判定し、その判定結果が偽であることをトリガーとしてグループ離脱を開始する構成としてもよい。ここで、コンテンツが正しく復号できたかの判定は、例えば平文コンテンツの最後の特定の値を付加しておくことをルール化し、復号を行った際に復号文の最後がその特定の値であるかの判定によって行えばよい。
<変形例12>
また、上述の実施の形態では、更新サーバ160が、更新対象端末であるグループ従属端末130の新しい機器固有鍵を生成し、機器固有鍵更新指示(M605)によって、機器固有鍵管理サーバ150が保持するグループ従属端末130の機器固有鍵を更新する構成を示したが、更新サービス提供側のオペレータが直接、機器固有鍵管理サーバ150のグループ従属端末130の機器固有鍵を更新する構成としても構わない。
<変形例13>
また、上述の実施の形態では、グループ従属端末130が、グループ鍵を用いて暗復号を行う際は、グループ鍵処理モジュール保持部325が保持するモジュールを用い、機器固有鍵を用いて復号化を行う際には、グループ鍵処理モジュール保持部325が保持するモジュールを使用しないで暗復号処理部340で復号化する構成を示した。しかし、グループ鍵を用いた暗復号処理と、機器固有鍵を用いた暗復号処理が同じ暗号アルゴリズムであるならば、共通して使用する暗号処理モジュールを設けてもよい。すなわち、グループ鍵を用いて暗復号を行う際には、グループ鍵保持部310が保持するグループ鍵を鍵としその暗号処理モジュールを実行し、機器固有鍵を用いて暗復号を行う際には、機器固有鍵保持部330が保持する機器固有鍵を鍵としてその暗号処理モジュールを実行する構成としても構わない。このような構成を用いれば、グループ鍵を用いて暗復号処理を行う暗号処理モジュールと機器固有鍵を用いて暗復号処理を行う暗号処理モジュールの更新を一つのモジュールの更新で行うことができる。
<変形例14>
また、上述の実施の形態では、グループ従属端末130が、機器固有鍵更新要求(M660)を更新サーバ160に送信し、更新サーバ160より、更新版モジュールと新しい機器固有鍵を受信する構成を示した。しかし、機器固有鍵更新要求(M660)を更新サーバ160と機器固有鍵管理サーバ150とに送信してもよく、更新サーバ160より、更新版モジュールを受信し、機器固有鍵管理サーバ150より新しい機器固有鍵を受信する構成としても構わない。
このような構成を用いれば、機器固有鍵管理サーバ150はグループ従属端末130の機器固有鍵を、更新サーバ160に通知することなく、機器固有鍵の更新を行うことができる。
<変形例15>
また、上述の実施の形態では、グループ従属端末130がグループ鍵処理モジュールと機器固有鍵とを更新した後の動作については、詳細な説明を省略したが、以下のような構成としても構わない。
グループ従属端末130は、グループ鍵処理モジュールと機器固有鍵とを更新した後に、グループ110への再度の加入を要求するメッセージ(グループ加入要求)をグループ管理端末120に送信する。グループ加入要求のメッセージを受信したグループ管理端末120は、グループ鍵保持部420に格納されている更新後のグループ鍵を、グループ従属端末130に送信する。また、グループ管理端末120は、グループ従属端末130のIPアドレスをグループ従属端末IP保持部410が保持するIPアドレスリストに書き加える。グループ従属端末130は、受信したグループ鍵をグループ鍵保持部310に格納することによってグループ鍵を更新する。
<変形例16>
また、上述の実施の形態では、グループ鍵や機器固有鍵を更新された後で、グループ管理端末120、グループ従属端末130または131が暗号化されたコンテンツを利用する動作については説明を省略したが、以下のような構成としても構わない。
例えば、グループ管理端末120は、新しいグループ鍵を含むグループ鍵更新指示(M630)をグループ従属端末131に送信する。これを受信したグループ従属端末131は、自身が保持する暗号化コンテンツが更新前のグループ鍵で暗号化されている場合、一旦更新前のグループ鍵で復号化し、その後、新しいグループ鍵で暗号化する。これは、更新前と更新後のグループ鍵が異なるために、更新前のグループ鍵で暗号化されたコンテンツは、更新後のグループ鍵で復号することができなくなる事態を回避するためである。同様に、機器固有鍵更新通知(M670)を受信したグループ従属端末130は、自身が保持する暗号化コンテンツが更新前の機器固有鍵で暗号化されている場合、一旦、更新前の機器固有鍵で復号化し、その後、新しい機器固有鍵で暗号化する。これは、更新前と更新後の機器固有鍵が異なるために、更新前の機器固有鍵で暗号化されたコンテンツは、更新後の機器固有鍵で復号することができなくなる事態を回避するためである。
<変形例17>
また、上述の実施の形態では、更新サーバ160は、更新指示(M610)を更新対象のグループ従属端末130に送信する構成を示した。しかし、グループ従属端末130が更新指示(M610)を受信できない場合、あるいは受信を迂回する場合が考えられる。そこで、以下のような構成としても構わない。
更新サーバ160は、更新対象端末であるグループ従属端末130のIPアドレスをパラメータとして含めた更新指示(M610)をマルチキャストする。グループ管理端末120は、自端末のグループ従属端末IP保持部410に、マルチキャストされた更新対象端末のIPアドレスが格納されているかを確認し、格納されている場合は、そのIPアドレスの端末からグループ離脱要求(M620)を受信した場合と同様の処理を行う。このような構成を用いれば、グループ従属端末130が更新指示(M610)を受信できない場合、あるいは受信を迂回した場合にも、グループ鍵の更新を行うことができる。
<変形例18>
また、上述の実施の形態では、グループ離脱証明書は以下の3つのフィールドからなる場合を示した。
フィールドA:グループ離脱要求(M620)のメッセージ送信元のIPアドレス
フィールドB:グループ管理端末120自身のIPアドレス
フィールドC:フィールドA〜フィールドBのハッシュ値を算出し、算出した値をグループ管理端末120自身の機器固有鍵で暗号化した値
しかし、グループ離脱証明書は、以下の構成としてもよい。
フィールドD:グループ離脱要求(M620)のメッセージ送信元のIPアドレスをグループ管理端末120自身の機器固有鍵で暗号化した値
フィールドE:グループ管理端末120自身のIPアドレス
この場合、更新サーバ160は、以下のステップによりグループ離脱証明書の検証を行う。
ステップ1において、フィールドEに示されたIPアドレスの端末の機器固有鍵を機器固有鍵管理サーバ150から取得する。
ステップ2において、取得した機器固有鍵でフィールドDを復号化する。
ステップ3において、復号化したIPアドレスが更新サーバ160の更新対象端末IP保持部510に格納されているかを判定する。格納されている場合は、機器固有鍵更新通知(M660)を実施し、格納されていない場合は通知処理を中止する。
このような構成を用いれば、グループ管理端末120が、グループ離脱証明書を生成する際に行う暗号化にかかる処理時間は増大するが、ハッシュ算出にかかる処理時間は減少する。また、フィールドCの分だけ、グループ離脱証明書のサイズが小さくなる。
(その他変形例)
なお、本発明を上記実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード及びマウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(2)上記の各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
(3)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(4)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスクや、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記憶しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。
また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
本発明は、端末機器、鍵更新サーバ、グループ鍵更新システム及びグループ鍵更新方法に利用でき、特に、デジタル放送、CATV、インターネット等によるコンテンツ配信サービス受信端末等を構成する端末機器、鍵更新サーバ、グループ鍵更新システム及びグループ鍵更新方法に利用できる。
実施の形態1におけるグループ鍵更新システム100の構成を示す図である。 グループ従属端末130のコンピューティングシステム200の構成例を示すブロック図である。 グループ従属端末130の構成例を示すブロック図である。 グループ管理端末120の構成例を示すブロック図である。 更新サーバ160の構成例を示すブロック図である。 更新処理検証部540が行う処理を示すフローチャートである。 グループ鍵更新システム100において、機器固有鍵の更新が行われる際の処理を示すシーケンス図である。 グループ鍵更新システム100において、機器固有鍵の更新が行われる際の処理を示すフローチャートである。
符号の説明
100 グループ鍵更新システム
110、111 グループ
120 グループ管理端末
130、131 グループ従属端末
140、141 非グループ端末
150 機器固有鍵管理サーバ
160 更新サーバ
170 コンテンツ配信サーバ
180 インターネット
200 コンピューティングシステム
210 ディスプレイ
220 入力装置
230 外部メモリ
240 計算装置
241 I/O部
242 CPU
243 メモリ
250、370、470、570 通信部
305 グループ管理端末IP保持部
310、420 グループ鍵保持部
320 グループ鍵処理部
325 グループ鍵処理モジュール保持部
330、430 機器固有鍵保持部
340、440 暗復号処理部
350 更新指示受信部
355 グループ離脱要求処理部
360 グループ離脱完了処理部
375 更新処理部
390 グループ鍵更新処理部
410 グループ従属端末IP保持部
425 グループ鍵処理部
450 グループ離脱要求受信部
455 グループ離脱処理部
460、520 更新処理部
505 入力処理部
510 更新対象端末IP保持部
530 更新版モジュール保持部
540 更新処理検証部

Claims (12)

  1. グループ管理端末及び複数のグループ従属端末から構成されるグループとサーバとを備える鍵更新システムにおけるグループ従属端末であって、
    前記グループ従属端末のみに対応する鍵である機器固有鍵を保持する機器固有鍵保持部と、
    前記グループが共有する鍵であるグループ鍵を保持するグループ鍵保持部と、
    前記機器固有鍵または前記グループ鍵を用いてデータを暗復号する暗復号処理部と、
    前記機器固有鍵の更新指示を受けて、前記グループからの離脱要求であるグループ離脱要求を前記グループ管理端末に送信するグループ離脱要求処理部と、
    前記グループ鍵が無効化されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を前記グループ管理端末から受信し、受信した前記グループ離脱証明書を前記サーバに送信することで、他の機器固有鍵の取得を要求する更新機器固有鍵要求部と、
    前記サーバから他の機器固有鍵を取得し、前記機器固有鍵保持部の前記機器固有鍵を取得した当該他の機器固有鍵に書き換える更新処理部とを備える
    ことを特徴とするグループ従属端末。
  2. 前記更新処理部は、有効な他のグループ鍵を、前記グループ管理端末に要求し、前記グループ鍵保持部の前記グループ鍵を、前記グループ管理端末より取得した当該有効な他のグループ鍵に更新するグループ鍵更新処理部を備える
    ことを特徴とする請求項1に記載のグループ従属端末。
  3. 前記グループ従属端末は、前記サーバからの更新指示を受けて、前記グループ離脱要求処理部に前記機器固有鍵を更新するよう指示する更新指示受信部を備える
    ことを特徴とする請求項2に記載のグループ従属端末。
  4. 前記グループ従属端末は、前記グループ従属端末の使用者からの更新指示を受けて、前記グループ離脱要求処理部に前記機器固有鍵を更新するよう指示する更新指示受信部を備える
    ことを特徴とする請求項2に記載のグループ従属端末。
  5. 前記更新機器固有鍵要求部は、前記グループ離脱証明書を保持するグループ離脱証明保持部を備える
    ことを特徴とする請求項3に記載のグループ従属端末。
  6. グループ管理端末と少なくとも第1及び第2のグループ従属端末とから構成されるグループとサーバとを備える鍵更新システムにおけるグループ管理端末であって、
    前記グループが共有する鍵であるグループ鍵を保持するグループ鍵保持部と、
    前記グループからの離脱要求であるグループ離脱要求を前記第1のグループ従属端末から受信するグループ離脱要求受信部と、
    前記グループ離脱要求に従って、新しいグループ鍵を生成し、生成した当該新しいグループ鍵を前記第2のグループ従属端末に送信するグループ離脱処理部と、
    前記第2のグループ従属端末が有するグループ鍵を当該新しいグループ鍵に更新を完了した旨を示すグループ鍵更新完了通知を、前記第2のグループ従属端末から受信し、
    前記第1のグループ従属端末が有するグループ鍵が無効化されることにより前記グループからの離脱が完了した旨を示すグループ離脱証明書を前記第1のグループ従属端末に送信するグループ離脱証明送信部とを備える
    ことを特徴とするグループ管理端末。
  7. グループ管理端末及び複数のグループ従属端末から構成されるグループとサーバとを備える鍵更新システムにおけるサーバであって、
    前記複数のグループ従属端末のいずれかの端末の機器固有鍵を生成する更新用鍵生成部と、
    前記端末が保持するグループ鍵が無効化されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を、前記端末から受信し、受信した前記グループ離脱証明書を検証後、前記端末に前記生成した機器固有鍵を送信する機器固有鍵更新処理部とを備える
    ことを特徴とするサーバ。
  8. 前記サーバは、さらに、前記端末に、前記機器固有鍵の更新指示を送信する鍵更新指示部を備える
    ことを特徴とする請求項7に記載のサーバ。
  9. グループ管理端末と少なくとも第1及び第2のグループ従属端末から構成されるグループとサーバとを備える鍵更新システムであって、
    前記第1のグループ従属端末は、
    前記グループ従属端末のみに対応する鍵である機器固有鍵を保持する機器固有鍵保持部と、
    前記グループが共有する鍵であるグループ鍵を保持するグループ鍵保持部と、
    前記機器固有鍵または前記グループ鍵を用いてデータを暗復号する暗復号処理部と、
    前記機器固有鍵の更新指示を受けて、前記グループからの離脱要求であるグループ離脱要求を前記グループ管理端末に送信するグループ離脱要求処理部と、
    前記グループ鍵が無効化されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を前記グループ管理端末から受信し、受信した前記グループ離脱証明書を前記サーバに送信することで、他の機器固有鍵の取得を要求する更新機器固有鍵要求部と、
    前記サーバから他の機器固有鍵を取得し、前記機器固有鍵保持部の前記機器固有鍵を、取得した当該他の機器固有鍵に書き換える更新処理部とを備え、
    前記グループ管理端末は、
    前記グループ鍵を保持するグループ鍵保持部と、
    前記グループからの離脱要求であるグループ離脱要求を前記第1のグループ従属端末から受信するグループ離脱要求受信部と、
    前記グループ離脱要求に従って、新しいグループ鍵を生成し、生成した当該新しいグループ鍵を前記第2のグループ従属端末に送信するグループ離脱処理部と、
    前記第2のグループ従属端末が有するグループ鍵を当該新しいグループ鍵に更新を完了した旨を示すグループ鍵更新完了通知を、前記第2のグループ従属端末から受信し、
    前記第1のグループ従属端末が有する前記グループ鍵が無効化されることにより前記グループからの離脱が完了した旨を示すグループ離脱証明書を前記第1のグループ従属端末に送信するグループ離脱証明送信部とを備え、
    前記サーバは、
    前記第1のグループ従属端末の機器固有鍵を生成する更新用鍵生成部と、
    前記第1のグループ従属端末が保持する前記グループ鍵が無効化されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を、前記第1のグループ従属端末から受信し、受信した前記グループ離脱証明書を検証後、前記第1のグループ従属端末に、前記生成した機器固有鍵を前記他の機器固有鍵として送信する機器固有鍵更新処理部とを備える
    ことを特徴とする鍵更新システム。
  10. グループ管理端末及び複数のグループ従属端末から構成されるグループとサーバとを備える鍵更新システムにおけるグループ従属端末の鍵更新方法であって、
    前記グループ従属端末のみに対応する鍵である機器固有鍵の更新指示を受けて、前記グループからの離脱要求であるグループ離脱要求を前記グループ管理端末に送信するグループ離脱要求処理ステップと、
    前記グループ鍵が無効化されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を前記グループ管理端末から受信し、受信した前記グループ離脱証明書を前記サーバに送信することで、他の機器固有鍵の取得を要求する更新機器固有鍵要求ステップと、
    前記サーバから他の機器固有鍵を取得し、前記機器固有鍵を、取得した当該他の機器固有鍵に書き換える更新処理ステップとを含む
    ことを特徴とするグループ従属端末の鍵更新方法。
  11. グループ管理端末と少なくとも第1及び第2グループ従属端末とから構成されるグループとサーバとを備える鍵更新システムにおけるグループ管理端末の鍵更新方法であって、
    前記グループからの離脱要求であるグループ離脱要求を前記第1のグループ従属端末から受信するグループ離脱要求受信ステップと、
    前記グループ離脱要求に従って、前記グループが共有する新しいグループ鍵を生成し、生成した当該新しいグループ鍵を前記第2のグループ従属端末に送信するグループ離脱処理ステップと、
    前記第2のグループ従属端末が有するグループ鍵を当該新しいグループ鍵に更新を完了した旨を示すグループ鍵更新完了通知を、前記第2のグループ従属端末から受信し、前記第1のグループ従属端末が有するグループ鍵が無効化されることにより前記グループからの離脱が完了した旨を示すグループ離脱証明書を前記第1のグループ従属端末に送信するグループ離脱証明送信ステップとを含む
    ことを特徴とするグループ管理端末の鍵更新方法。
  12. グループ管理端末及び複数のグループ従属端末から構成されるグループとサーバとを備える鍵更新システムにおけるサーバの鍵更新方法であって、
    前記複数のグループ従属端末のいずれかの端末の機器固有鍵を生成する更新用鍵生成ステップと、
    前記端末が保持するグループ鍵が無効化されることにより前記グループからの離脱を完了した旨を示すグループ離脱証明書を、前記端末から受信し、受信した前記グループ離脱証明書を検証後、前記端末に前記生成した機器固有鍵を送信する機器固有鍵更新処理ステップとを含む
    ことを特徴とするサーバの鍵更新方法。
JP2008137142A 2007-06-28 2008-05-26 グループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法 Expired - Fee Related JP5204553B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008137142A JP5204553B2 (ja) 2007-06-28 2008-05-26 グループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2007169929 2007-06-28
JP2007169929 2007-06-28
JP2008137142A JP5204553B2 (ja) 2007-06-28 2008-05-26 グループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法

Publications (2)

Publication Number Publication Date
JP2009033721A true JP2009033721A (ja) 2009-02-12
JP5204553B2 JP5204553B2 (ja) 2013-06-05

Family

ID=40403667

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008137142A Expired - Fee Related JP5204553B2 (ja) 2007-06-28 2008-05-26 グループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法

Country Status (2)

Country Link
US (1) US7995766B2 (ja)
JP (1) JP5204553B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012169753A (ja) * 2011-02-10 2012-09-06 Sony Corp 情報処理装置、および情報処理方法、並びにプログラム
JP2019033458A (ja) * 2017-08-09 2019-02-28 Necプラットフォームズ株式会社 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5630176B2 (ja) * 2010-09-16 2014-11-26 ソニー株式会社 電力供給装置
KR20130140948A (ko) * 2012-05-17 2013-12-26 삼성전자주식회사 저장 장치의 식별자에 기반한 컨텐츠의 암복호화 장치 및 방법
US9882713B1 (en) 2013-01-30 2018-01-30 vIPtela Inc. Method and system for key generation, distribution and management
US9467478B1 (en) 2013-12-18 2016-10-11 vIPtela Inc. Overlay management protocol for secure routing based on an overlay network
US9980303B2 (en) 2015-12-18 2018-05-22 Cisco Technology, Inc. Establishing a private network using multi-uplink capable network devices
US10333935B2 (en) * 2016-06-06 2019-06-25 Motorola Solutions, Inc. Method and management server for revoking group server identifiers of compromised group servers
US10277567B2 (en) 2016-06-06 2019-04-30 Motorola Solutions, Inc. Method and server for issuing cryptographic keys to communication devices
US10341107B2 (en) 2016-06-06 2019-07-02 Motorola Solutions, Inc. Method, server, and communication device for updating identity-based cryptographic private keys of compromised communication devices

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004023237A (ja) * 2002-06-13 2004-01-22 Mitsubishi Electric Corp 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラム
JP2006245663A (ja) * 2005-02-28 2006-09-14 Matsushita Electric Ind Co Ltd 暗号化マルチキャスト通信鍵管理システム、暗号化マルチキャスト通信鍵管理方法、送信端末、受信端末、およびプログラム
JP2007049455A (ja) * 2005-08-10 2007-02-22 Toshiba Corp 暗号鍵管理サーバ、暗号鍵管理方法および暗号鍵管理プログラム
JP2007208897A (ja) * 2006-02-06 2007-08-16 Sony Corp 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム
JP2008177815A (ja) * 2007-01-18 2008-07-31 Matsushita Electric Ind Co Ltd ブロードキャスト暗号方式およびブロードキャスト暗号装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000101566A (ja) 1998-09-24 2000-04-07 Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk 移動通信ダイナミックセキュアグルーピング通信方法
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
JP2003273857A (ja) 2002-03-14 2003-09-26 Matsushita Electric Ind Co Ltd 共通鍵配布装置及び共通鍵配布方法並びに共通鍵配布システム
US7751569B2 (en) * 2002-11-19 2010-07-06 Oracle America, Inc. Group admission control apparatus and methods
JP2007305173A (ja) * 2006-05-08 2007-11-22 Toshiba Corp 情報記憶媒体、情報再生方法、及び情報再生装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004023237A (ja) * 2002-06-13 2004-01-22 Mitsubishi Electric Corp 暗号通信システム、暗号通信方法およびその方法をコンピュータに実行させるプログラム
JP2006245663A (ja) * 2005-02-28 2006-09-14 Matsushita Electric Ind Co Ltd 暗号化マルチキャスト通信鍵管理システム、暗号化マルチキャスト通信鍵管理方法、送信端末、受信端末、およびプログラム
JP2007049455A (ja) * 2005-08-10 2007-02-22 Toshiba Corp 暗号鍵管理サーバ、暗号鍵管理方法および暗号鍵管理プログラム
JP2007208897A (ja) * 2006-02-06 2007-08-16 Sony Corp 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム
JP2008177815A (ja) * 2007-01-18 2008-07-31 Matsushita Electric Ind Co Ltd ブロードキャスト暗号方式およびブロードキャスト暗号装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012169753A (ja) * 2011-02-10 2012-09-06 Sony Corp 情報処理装置、および情報処理方法、並びにプログラム
JP2019033458A (ja) * 2017-08-09 2019-02-28 Necプラットフォームズ株式会社 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム

Also Published As

Publication number Publication date
JP5204553B2 (ja) 2013-06-05
US7995766B2 (en) 2011-08-09
US20100014677A1 (en) 2010-01-21

Similar Documents

Publication Publication Date Title
JP5204553B2 (ja) グループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法
US7376624B2 (en) Secure communication and real-time watermarking using mutating identifiers
US20180144107A1 (en) Method and system for unified mobile content protection
JP4553947B2 (ja) 解析装置、解析方法、コンピュータプログラム、及び記録媒体
US7188224B2 (en) Content duplication management system and networked apparatus
JP4981921B2 (ja) 移動ディジタル著作権管理ネットワークにおけるライセンス作成のための方法および装置
US20100017599A1 (en) Secure digital content management using mutating identifiers
US20080010207A1 (en) Information delivery system, node device, method to issue unrestricted data, and the like
KR20050074494A (ko) 콘텐트 동작들을 승인하는 방법 및 장치
CN105027130A (zh) 延迟数据访问
US20190340336A1 (en) License confirmation via embedded confirmation challenge
JP4283699B2 (ja) コンテンツ転送制御装置、コンテンツ配信装置およびコンテンツ受信装置
CN103731395A (zh) 文件的处理方法及系统
US20060155650A1 (en) Method and device for consuming rights objects having inheritance structure in environment where the rights objects are distributed over plurality of devices
JP2006524860A (ja) 失効リストを格納する方法
WO2009026825A1 (fr) Procédé et appareil de distribution de document électronique
JP6976405B2 (ja) アクセス管理システム、及びそのプログラム
JP2009212689A (ja) 共通鍵自動配布システム、クライアント、第三者認証機関側サーバ、及び共通鍵自動共有方法
JP2008271564A (ja) ライセンスのオフライン環境下における送信流通システム及び送信流通方法
KR101690093B1 (ko) 제어된 보안 도메인
JP6792191B2 (ja) 情報送信方法、情報処理方法、プログラム、復号方法、プログラム
KR100989371B1 (ko) 개인 홈 도메인을 위한 디지털 저작권 관리방법
JP5139045B2 (ja) コンテンツ配信システム、コンテンツ配信方法およびプログラム
JP2014016659A (ja) 電子認証システム、端末、サーバ、および電子認証プログラム
JPH11331145A (ja) 情報共有システム、情報保管装置およびそれらの情報処理方法、並びに記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130215

R150 Certificate of patent or registration of utility model

Ref document number: 5204553

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160222

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees