JP4737857B2 - データ端末装置 - Google Patents
データ端末装置 Download PDFInfo
- Publication number
- JP4737857B2 JP4737857B2 JP2001087322A JP2001087322A JP4737857B2 JP 4737857 B2 JP4737857 B2 JP 4737857B2 JP 2001087322 A JP2001087322 A JP 2001087322A JP 2001087322 A JP2001087322 A JP 2001087322A JP 4737857 B2 JP4737857 B2 JP 4737857B2
- Authority
- JP
- Japan
- Prior art keywords
- license
- data
- license management
- encrypted
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
【発明の属する技術分野】
この発明は、コピーされた情報に対する著作権保護を可能とするデータ配信システムにおいて用いられるデータ端末装置およびデバイスに関するものである。
【0002】
【従来の技術】
近年、インターネット等の情報通信網等の進歩により、携帯電話機等を用いた個人向け端末により、各ユーザが容易にネットワーク上の情報にアクセスすることが可能となっている。
【0003】
このような情報通信網においては、デジタル信号により情報が伝送される。したがって、たとえば上述のような情報通信網において伝送された音楽や映像データを各個人ユーザがコピーした場合でも、そのような複製による音質や画質の劣化をほとんど生じさせることなく、データの複製を行なうことが可能である。
【0004】
したがって、このような情報通信網上において音楽データや画像データ等の著作者の創作物であるコンテンツデータが伝達される場合、適切な著作権保護のための方策が取られていないと、著しく著作権者の権利が侵害されてしまうおそれがある。
【0005】
一方で、著作権保護の目的を最優先して、急拡大する情報通信網を介してコンテンツデータの配信を行なうことができないとすると、基本的には、コンテンツデータの複製に際し一定の著作権料を徴収することが可能な著作権者にとっても、かえって不利益となる。
【0006】
ここで、上述のような情報通信網を介した配信ではなく、デジタルデータを記録した記録媒体を例にとって考えて見ると、通常販売されている音楽データを記録したCD(コンパクトディスク)については、CDから光磁気ディスク(MD等)への音楽データの複製は、当該複製した音楽を個人的な使用に止める限り原則的には自由に行なうことができる。ただし、デジタル録音等を行なう個人ユーザは、デジタル録音機器自体やMD等の媒体の代金のうちの一定額を間接的に著作権者に対して保証金として支払うことになっている。
【0007】
しかも、CDからMDへデジタル信号である音楽データを複製した場合、これらの情報が複製劣化の殆どないデジタルデータであることに鑑み、記録可能なMDからさらに他のMDに音楽情報をデジタルデータとして複製することは、著作権保護のために機器の構成上できないようになっている。
【0008】
このような事情からも、音楽データや画像データを情報通信網を通じて公衆に配信することは、それ自体が著作権者の公衆送信権による制限を受ける行為であるから、著作権保護のための十分な方策が講じられる必要がある。
【0009】
この場合、情報通信網を通じて公衆に送信される音楽データや画像データ等のコンテンツデータについて、一度受信されたコンテンツデータが、さらに勝手に複製され利用されることを防止することが必要となる。
【0010】
そこで、コンテンツデータを暗号化した暗号化コンテンツデータを保持する配信サーバが、携帯電話機等の端末装置に装着されたメモリカードに対して端末装置を介して暗号化コンテンツデータを配信するデータ配信システムが提案されている。このデータ配信システムにおいては、予め認証局で認証されたメモリカードの公開暗号鍵とその証明書を暗号化コンテンツデータの配信要求の際に配信サーバへ送信し、配信サーバが認証された証明書を受信したことを確認した上でメモリカードに対して暗号化コンテンツデータと、暗号化コンテンツデータを復号するためのライセンス鍵を送信する。そして、暗号化コンテンツデータやライセンス鍵を配信する際、配信サーバおよびメモリカードは、配信毎に異なるセッションキーを発生させ、その発生させたセッションキーによって公開暗号鍵の暗号化を行ない、配信サーバ、メモリカード相互間で鍵の交換を行なう。
【0011】
最終的に、配信サーバは、メモリカードごとに割り当てられた固有の公開暗号鍵によって暗号化され、さらにセッションキーによって暗号化したライセンスと、暗号化コンテンツデータをメモリカードに送信する。そして、メモリカードは、受信したライセンス鍵と暗号化コンテンツデータをメモリカードに記録する。
【0012】
そして、メモリカードに記録した暗号化コンテンツデータを再生するときは、メモリカードを専用の再生回路を備えた携帯電話又は再生端末に装着する。
【0013】
このように、携帯電話機のユーザは、携帯電話機を用いて暗号化コンテンツデータを配信サーバから受信し、その暗号化コンテンツデータを再生することができる。
【0014】
一方、インターネットを用いて暗号化コンテンツデータをパーソナルコンピュータに配信することも行なわれている。そして、パーソナルコンピュータへの暗号化コンテンツデータの配信においては、パーソナルコンピュータにインストールされたソフトウエアによって暗号化コンテンツデータの配信が行なわれており、受信した暗号化コンテンツデータおよびライセンスを他のパーソナルコンピュータへ移動することは、パーソナルコンピュータが容易に複製を作成できる機器であり、保護が困難であるために著作権保護の観点から実施されていない。
【0015】
つまり、パーソナルコンピュータへ配信された暗号化コンテンツデータおよびライセンスを他のパーソナルコンピュータへ移動できるとすると、暗号化コンテンツデータおよびライセンスのバックアップを取っておき、他のパーソナルコンピュータへ暗号化コンテンツデータおよびライセンスを移動させた後に、バックアップを取った暗号化コンテンツデータおよびライセンスをパーソナルコンピュータへ戻せば、暗号化コンテンツデータおよびライセンスを複製したのと同じことになる。したがって、ソフトウエアによってパーソナルコンピュータへ配信された暗号化コンテンツデータおよびライセンスを他のパーソナルコンピュータへ移動することは複製を提供することとなり、著作権保護の観点から暗号化コンテンツデータおよびライセンスの移動は禁止されている。
【0016】
また、メモリカードと同じ構成を有するデバイスを内蔵したパーソナルコンピュータにインターネットによって暗号化コンテンツデータおよびライセンスを配信し、ライセンスをデバイスに格納し、暗号化コンテンツデータをハードディスクに格納すれば、配信サーバから暗号化コンテンツデータおよびライセンスをメモリカードへ配信したのと同じになる。この場合、ライセンスはデバイスというハードウエアに格納されており、ライセンスがソフトウエアによって管理される場合のような問題が生じないため、そのライセンスを他のパーソナルコンピュータへ移動することができる。
【0017】
【発明が解決しようとする課題】
しかし、パーソナルコンピュータは、ソフトウエアおよびハードウエアによって暗号化コンテンツデータおよびライセンスを受信可能であるにも拘わらず、ソフトウエアによって受信したときだけ、ライセンスを他のパーソナルコンピュータへ移動できないという問題が生じする。
【0018】
そこで、本発明は、かかる問題を解決するためになされたものであり、その目的は、ソフトウエアまたはハードウエアによって受信された暗号化コンテンツデータおよびライセンスを同じように他のデータ端末装置へ移動可能なデータ端末装置およびデバイスを提供することである。
【0019】
【課題を解決するための手段および発明の効果】
この発明によるデータ端末装置は、コンテンツデータを暗号化した暗号化コンテンツデータおよび暗号化コンテンツデータを復号して元の平文を得るためのライセンスを取得するデータ端末装置であって、ソフトウエアによって暗号化コンテンツデータおよびライセンスを取得し、その取得したライセンスをバインディング鍵によって暗号化した暗号化ライセンスとバインディング鍵を含むバインディングライセンスとを生成するモジュール部と、暗号化コンテンツデータおよびライセンスを取得するためのやり取りを行なうとともに、やり取りによって取得したライセンスとバインディングライセンスと第1および第2の管理ファイルとを格納するデバイス部と、データを記憶する記憶部と、デバイス部と外部との間のやり取りを制御する制御部とを備え、記憶部は、複数の暗号化コンテンツデータを含み、暗号化コンテンツデータの取得時、制御部は、外部から取得した暗号化コンテンツデータを記憶部に与え、第1の管理ファイルを生成し、ライセンスと生成した第1の管理ファイルとをデバイス部に与え、モジュール部は、暗号化ライセンスを含む第2の管理ファイルを生成し、バインディングライセンスと生成した第2の管理ファイルとをデバイス部に与える。
【0020】
この発明によるデータ端末装置においては、デバイス部によって取得された暗号化コンテンツデータのライセンスはデバイス部に格納され、モジュール部によって取得された暗号化コンテンツデータのライセンスはバインディング鍵によって暗号化されて暗号化ライセンスとしてデバイス部に記録された第2のライセンス管理ファイルに格納される。そして、デバイス部またはモジュール部によって取得された暗号化コンテンツデータは記憶部に格納される。また、デバイス部は、モジュール部によって取得された暗号化コンテンツデータのライセンスを暗号化するバインディング鍵も格納する。そして、バインディング鍵によって暗号化ライセンスを復号しなければ、モジュール部によって取得された暗号化コンテンツデータのライセンスを取出すことができない。つまり、ソフトウエアによって取得された暗号化コンテンツデータのライセンスは、バインディング鍵を含むバインディングライセンスによって管理される。そして、バインディングライセンスと、デバイス部によって取得された暗号化コンテンツデータのライセンスとは、デバイス部というハードウエアに格納される。
【0021】
したがって、この発明によれば、ソフトウエアによって取得された暗号化コンテンツデータのライセンスと、ハードウエアによって取得された暗号化コンテンツデータのライセンスとを同一のセキュリティレベルで管理できる。その結果、ソフトウエアによって取得された暗号化コンテンツデータのライセンスは、ハードウエアによって取得された暗号化コンテンツデータのライセンスと同じように他のデータ端末装置へ移動可能である。
【0040】
また、この発明によるデータ端末装置においては、コンテンツデータを暗号化した暗号化コンテンツデータおよび暗号化コンテンツデータを復号して元の平文を得るためのライセンスを取得し、その取得した暗号化コンテンツデータおよびライセンスを他のデータ端末装置へ移動するデータ端末装置であって、ソフトウエアによって暗号化コンテンツデータおよびライセンスを取得し、その取得したライセンスをバインディング鍵によって暗号化した暗号化ライセンスとバインディング鍵を含むバインディングライセンスとを生成するモジュール部と、暗号化コンテンツデータおよびライセンスを取得するためのやり取りを行なうとともに、やり取りによって取得したライセンスとバインディングライセンスと第1および第2の管理ファイルとを格納するデバイス部と、データを記憶する記憶部と、デバイス部と外部との間のやり取りを制御する制御部とを備え、記憶部は、複数の暗号化コンテンツデータを含み、暗号化コンテンツデータの取得時、制御部は、外部から取得した暗号化コンテンツデータを記憶部に与え、第1の管理ファイルを生成し、ライセンスと生成した第1の管理ファイルとをデバイス部に与え、モジュール部は、暗号化ライセンスを含む第2の管理ファイルを生成し、バインディングライセンスと生成した第2の管理ファイルとをデバイス部に与え、暗号化コンテンツデータの移動時、制御部は、移動する暗号化コンテンツデータのライセンスおよび第1の管理ファイルをデバイス部から読出し、移動する暗号化コンテンツデータを記憶部から読出し、読出したライセンス、第1の管理ファイル、および暗号化コンテンツデータを他のデータ端末装置へ送信し、モジュール部は、移動する暗号化コンテンツデータのライセンスを暗号化したバインディング鍵を含むバインディングライセンスおよび第2の管理ファイルをデバイス部から読出し、移動する暗号化コンテンツデータを記憶部から読出し、読出したバインディングライセンス、第2の管理ファイル、および暗号化コンテンツデータを他のデータ端末装置へ送信する。
【0041】
この発明によるデータ端末装置においては、デバイス部によって取得された暗号化コンテンツデータのライセンスはデバイス部に格納され、モジュール部によって取得された暗号化コンテンツデータのライセンスはバインディング鍵によって暗号化されて暗号化ライセンスとして記憶部に記憶された第2のライセンス管理ファイルに格納される。そして、デバイス部またはモジュール部によって取得された暗号化コンテンツデータは記憶部に格納される。また、デバイス部は、モジュール部によって取得された暗号化コンテンツデータのライセンスを暗号化するバインディング鍵も格納する。そして、バインディング鍵によって暗号化ライセンスを復号しなければ、モジュール部によって取得された暗号化コンテンツデータのライセンスを取出すことができない。つまり、ソフトウエアによって取得された暗号化コンテンツデータのライセンスは、バインディング鍵を含むバインディングライセンスによって管理される。そして、バインディングライセンスと、デバイス部によって取得された暗号化コンテンツデータのライセンスとは、デバイス部というハードウエアに格納される。
【0042】
また、モジュール部によって取得された暗号化コンテンツデータの移動時、バインディングライセンス、ライセンス、および暗号化コンテンツデータが他のデータ端末装置へ移動され、デバイス部によって取得された暗号化コンテンツデータの移動時、ライセンス、および暗号化コンテンツデータが他のデータ端末装置へ移動される。
【0043】
したがって、この発明によれば、ソフトウエアによって取得された暗号化コンテンツデータのライセンスと、ハードウエアによって取得された暗号化コンテンツデータのライセンスとを同じように他のデータ端末装置へ移動可能である。
【0047】
好ましくは、データ端末装置は、指示を受付ける受付部をさらに備え、暗号化コンテンツデータの移動時、制御部は、受付部からの暗号化コンテンツデータの移動要求に応じて、移動要求された暗号化コンテンツデータの名称を格納する第1のコンテンツファイルを特定し、その特定した第1のコンテンツファイルに対応する第1のライセンス管理ファイルを読出すことによって第1の管理番号を取得し、モジュール部は、受付部からの暗号化コンテンツデータの移動要求に応じて、移動要求された暗号化コンテンツデータの名称を格納する第2のコンテンツファイルを特定し、その特定した第2のコンテンツファイルに対応する第2のライセンス管理ファイルを読出すことによって第2の管理番号を取得する。
【0048】
制御部またはモジュール部は、移動する暗号化コンテンツデータの名称が格納されたコンテンツファイルに対応するライセンス管理ファイルから、移動する暗号化コンテンツデータのライセンスまたはバインディングライセンスが格納された管理番号を取得する。
【0049】
したがって、この発明によれば、移動する暗号化コンテンツデータが決定されれば、容易にライセンスまたはバインディングライセンスを取得できる。
【0050】
好ましくは、記暗号化コンテンツデータの移動時、データ端末装置のデバイス部は、他のデータ端末装置に内蔵されたもう1つのデバイス部からの認証データを認証したことに基づいて、ライセンスまたはバインディングライセンスを出力する。
【0051】
デバイス部は、正当な移動先にライセンスまたはバインディングライセンスを出力する。
【0052】
したがって、この発明によれば、ライセンスまたはバインディングライセンスの不正な移動を防止できる。
【0061】
好ましくは、暗号化コンテンツデータの移動時、データ端末装置のモジュール部は、ライセンスの複製が禁止されているとき、移動したライセンスが格納された第2のライセンス管理ファイルから暗号化ライセンスと第2の管理番号を削除する削除要求をデバイス部へ出力する。
【0062】
ライセンスの複製が禁止されているとき、移動元のライセンスが削除される。
したがって、この発明によれば、ライセンスの不正な複製を防止できる。
【0066】
また、この発明によるデバイスは、コンテンツデータを暗号化した暗号化コンテンツデータおよび暗号化コンテンツデータを復号して元の平文を得るためのライセンスを取得するデータ端末装置に用いられるデバイスであって、データ端末装置の他の部分とデータのやり取りを行なうための入出力端子と、入出力端子との間のやり取りを行なうインタフェースと、データを記録する記録部と、制御部とを備え、暗号化コンテンツデータの取得時、制御部は、自己がインタフェースおよび入出力端子を介して外部とやり取りを行なうことによって取得したライセンスを記録部に書込み、入出力端子およびインタフェースを介して入力されたバインディングライセンスを記録部に書込み、バインディングライセンスは、ソフトウェアによって取得されたライセンスを暗号化するためのバインディング鍵を含むライセンスである。
【0067】
この発明によるデバイスは、自己が取得したライセンスと、入力されたバインディングライセンスとを記録部に書込んで一括管理する。
【0068】
したがって、この発明によれば、ハード的に取得したライセンスと、ソフト的に取得したライセンスを管理するためのバインディングライセンスとを同一のセキュリティレベルで管理できる。
【0078】
好ましくは、デバイスは、認証データを保持する認証データ保持部をさらに備え、制御部は、認証データをインタフェースおよび入出力端子を介して出力し、認証データが認証されたことに伴いライセンスまたはバインディングライセンスを入出力端子およびインタフェースを介して受取る。
【0079】
デバイスが保持する認証データが認証されると、ライセンスまたはバインディングライセンスがデバイスへ入力される。
【0080】
したがって、この発明によれば、不正なデバイスにライセンスまたはバインディングライセンスが送信されるのを防止できる。
【0084】
【発明の実施の形態】
本発明の実施の形態について図面を参照しながら詳細に説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰返さない。
【0085】
図1は、本発明によるデータ端末装置(パーソナルコンピュータ)が暗号化コンテンツデータを取得するとともに、その取得した暗号化コンテンツデータを他のデータ端末装置(パーソナルコンピュータ)へ移動するデータ配信システムの全体構成を概念的に説明するための概略図である。
【0086】
なお、以下ではインターネットを介して音楽データを各パーソナルコンピュータのユーザに配信するデータ配信システムの構成を例にとって説明するが、以下の説明で明らかとなるように、本発明はこのような場合に限定されることなく、他の著作物としてのコンテンツデータ、たとえば画像データ、動画像データ、ゲームプログラム等を配信する場合においても適用することが可能なものである。
【0087】
図1を参照して、パーソナルコンピュータ50は、インターネット網30を介して、各パーソナルコンピュータのユーザからの配信要求(配信リクエスト)を配信サーバ10に送信する。著作権の存在する音楽データを管理する配信サーバ10は、データ配信を求めてアクセスして来たパーソナルコンピュータのユーザが所有するパーソナルコンピュータ50が正当な認証データを持つか否か、すなわち、パーソナルコンピュータがコンテンツの配信を受けるために必要な正規なプログラム又は正規な記録デバイスを備え、正規なプログラム又は正規な記録デバイスを用いて配信サーバ10に対してアクセスしてきているか否かの認証処理を行ない、正規なプログラム又は正規な記録デバイスを用いてアクセスしてきたパーソナルコンピュータに対して所定の暗号方式により音楽データ(以下コンテンツデータとも呼ぶ)を暗号化した上で、このような暗号化コンテンツデータおよび暗号化コンテンツデータを再生するために必要な情報としてのライセンスをパーソナルコンピュータ50に配信する。
【0088】
この場合、パーソナルコンピュータ50は、インターネット網30を介して異なるセキュリティレベルによって暗号化コンテンツデータおよびライセンスを配信サーバ10から受信する。すなわち、パーソナルコンピュータ50は、正規な記録装置であるライセンス管理デバイスを内蔵しており、配信サーバ10は、インターネット網30等を介してライセンス管理デバイスにライセンスを配信する。このライセンス管理デバイスは、暗号化コンテンツデータを再生するためのライセンスをハード的に保持するものであり、セキュリティレベルが高いものである。また、パーソナルコンピュータ50は、ソフトウエアによって暗号化コンテンツデータとライセンスとをインターネット網30等を介して配信サーバ10から受信する正規のプログラムであるライセンス管理モジュールを内蔵する。このライセンス管理モジュールはライセンス管理デバイスよりも低いセキュリティレベルでライセンスを受信し、管理するものである。暗号化コンテンツデータはライセンスに含まれる復号鍵(ライセンス鍵)がなければ復号して再生することができないデータ列であるため取得経路は問わないが、図1に示すデータ配信システムでは、パーソナルコンピュータ50は、ライセンスと同様に、暗号化コンテンツデータを配信サーバ10からインターネット網30を介して受信し、その受信した暗号化コンテンツデータを内蔵するHDD(Hard Disk Drive)(図示せず)に記録する。ライセンス管理デバイスおよびライセンス管理モジュールについては、後に詳細に説明する。
【0089】
さらに、図1においては、パーソナルコンピュータ50は、音楽データを記録した音楽CD(Compact Disk)60からリッピングによって暗号化コンテンツデータと、暗号化コンテンツデータを再生するためのライセンスとを生成することで取得する。その詳細については後述する。
【0090】
またさらに、パーソナルコンピュータ50は、USB(Universal Serial Bus)ケーブル70によって再生端末100と接続し、配信サーバ10から受信した暗号化コンテンツデータおよびライセンスを再生端末100に装着されたメモリカード110に送信することが可能である。
【0091】
またさらに、パーソナルコンピュータ50は、受信した暗号化コンテンツデータおよびライセンスを通信ケーブル90を介して、パーソナルコンピュータ80へ送信する。
【0092】
したがって、図1に示すデータ配信システムにおいては、パーソナルコンピュータ50は、インターネット網30を介して配信サーバ10から暗号化コンテンツデータとライセンスとを受信するとともに、音楽CDから暗号化コンテンツデータとライセンスとを取得する。また、再生端末100に装着されたメモリカード110は、パーソナルコンピュータ50が配信サーバ10または音楽CD60から取得した暗号化コンテンツデータおよびライセンスを受信する。再生端末100のユーザは、パーソナルコンピュータ50を介することによって音楽CDから暗号化コンテンツデータおよびライセンスを取得することが可能となる。
【0093】
図1においては、たとえば携帯電話ユーザの再生端末100には、着脱可能なメモリカード110が装着される構成となっている。メモリカード110は、再生端末100により受信された暗号化コンテンツデータを受取り、上記配信にあたって行なわれた暗号化を復号した上で、再生端末100中のコンテンツ音楽再生回路(図示せず)に与える。
【0094】
さらに、たとえば携帯電話ユーザは、再生端末100に接続したヘッドホーン130等を介してこのようなコンテンツデータを「再生」して、聴取することが可能である。
【0095】
このような構成とすることで、正規なパーソナルコンピュータでないと、配信サーバ10からコンテンツデータの配信を受信し、パーソナルコンピュータ80や再生端末100へ暗号化コンテンツデータを送信することが困難な構成となる。
【0096】
しかも、配信サーバ10において、たとえば1曲分のコンテンツデータを配信するたびにその度数を計数しておくことで、パーソナルコンピュータのユーザがコンテンツデータを受信(ダウンロード)するたびに発生する著作権料を、インターネット網の使用料とともに徴収することとすれば、著作権者が著作権料を確保することが容易となる。
【0097】
図1に示したような構成においては、暗号化して配信されるコンテンツデータを再生端末またはパーソナルコンピュータのユーザ側で再生可能とするためにシステム上必要とされるのは、第1には、通信における暗号鍵を配信するための方式であり、さらに第2には、配信したいコンテンツデータを暗号化する方式そのものであり、さらに、第3には、このように配信されたコンテンツデータの無断コピーを防止するためのコンテンツデータ保護を実現する構成である。
【0098】
本発明の実施の形態においては、特に、配信、移動、チェックアウト、チェックイン、および再生の各セッションの発生時において、これらのコンテンツデータの移動先に対する認証およびチェック機能を充実させ、非認証もしくは復号鍵の破られた記録装置およびデータ再生端末(専用のコンテンツ再生回路を備える再生端末またはパーソナルコンピュータ)に対するコンテンツデータの出力を防止することによってコンテンツデータの著作権保護を強化する構成を説明する。
【0099】
なお、以下の説明においては、配信サーバ10から、各パーソナルコンピュータ等にコンテンツデータを伝送する処理を「配信」と称することとする。
【0100】
図2は、図1に示したデータ配信システムにおいて、使用される通信のためのデータ、情報等の特性を説明する図である。
【0101】
まず、配信サーバ10より配信されるデータについて説明する。Dcは、音楽データ等のコンテンツデータである。コンテンツデータDcは、ライセンス鍵Kcで復号可能な暗号化が施される。ライセンス鍵Kcによって復号可能な暗号化が施された暗号化コンテンツデータ{Dc}Kcがこの形式で配信サーバ10よりパーソナルコンピュータのユーザに配布される。
【0102】
なお、以下においては、{Y}Xという表記は、データYを、復号鍵Xにより復号可能な暗号化を施したことを示すものとする。
【0103】
さらに、配信サーバ10からは、暗号化コンテンツデータとともに、コンテンツデータに関する著作権あるいはサーバアクセス関連等の平文情報としての付加情報Dc−infが配布される。また、配信サーバ10からの暗号化コンテンツデータおよびライセンス鍵等の配信を特定するための管理コードであるトランザクションIDが配信サーバ10とパーソナルコンピュータ50との間でやり取りされる。さらに、ライセンス情報としては、コンテンツデータDcを識別するためのコードであるコンテンツIDおよびライセンスの発行を特定できる管理コードであるライセンスIDや、コンテンツ提供者と利用者側からの指定によって決定されるライセンス数や機能限定等の情報を含んだライセンス購入条件ACに基づいて生成される、記録装置(メモリカード、またはライセンス管理デバイス)のアクセスに対する制限に関する情報であるアクセス制限情報ACmおよびコンテンツ再生回路における制御情報である再生制限情報ACp等が存在する。具体的には、アクセス制限情報ACmは、メモリカード、ライセンス管理デバイスおよびライセンス管理モジュールからのライセンス鍵を外部へ出力するに当たっての制限を示す情報であり、再生回数(再生のためのライセンス鍵を出力する回数)、ライセンスの移動・複製に関する制限、ライセンスの出力可能なセキュリティレベルなどが想定される。また、再生情報としては、再生可能な期間、再生速度の変更に関する制限、編集に関する制限、再生範囲(部分ライセンス)などが想定できる。以後、トランザクションIDとコンテンツIDとを併せてライセンスIDと総称し、ライセンス鍵KcとライセンスIDとアクセス制限情報ACmと再生制限情報ACpとを併せて、ライセンスと総称することとする。
【0104】
また、以降では簡単化のためアクセス制限情報は、再生回数制限(0〜244:残り再生回数、255:制限なし)、移動フラグ(0:移動禁止、1:移動可)とセキュリティフラグ(1:ソフトウエアによる管理可、2:ハードウエア管理のみ可)の3項とし、再生制限情報は再生可能な期限(日時)を示す再生期限の1項とする。
【0105】
本発明の実施の形態においては、記録装置(メモリカード、またはライセンス管理デバイス)やコンテンツデータを再生するコンテンツ再生回路のクラスごとに、コンテンツデータの配信、および再生を禁止することができるように証明書失効リストCRL(Certificate Revocation List)の運用を行なう。以下では、必要に応じて記号CRLによって証明書失効リスト内のデータを表わすこともある。
【0106】
証明書失効リスト関連情報には、ライセンスの配信、移動、チェックアウト、チェックイン、および再生が禁止されるコンテンツ再生回路、メモリカード、ライセンス管理モジュール、およびライセンス管理デバイスのクラスをリストアップした証明書失効リストデータCRLが含まれる。
【0107】
証明書失効リストデータCRLは、配信サーバ10内で管理されるとともに、メモリカードや、パーソナルコンピュータ50内のHDDまたはライセンス管理デバイス内にも記録保持される。このような証明書失効リストは、随時バージョンアップしデータを更新していく必要があるが、データの変更については、基本的にはライセンス鍵等のライセンスを配信する際の日時を基準として、パーソナルコンピュータ(ライセンス管理デバイスまたはライセンス管理モジュール)から受取った証明書失効リストの更新の有無を判断し、更新されていないとき、更新された証明書失効リストをパーソナルコンピュータに配信する。また、ライセンス管理モジュール、ライセンス管理デバイス、および再生端末100の間でも証明書失効リストはやり取りされ、そのデータ変更も上述したのと同じである。さらに、証明書失効リストの変更については、新しい証明書失効リストCRLを全て送信しても良いし、変更点のみを反映した差分データである差分CRLを配信サーバ10側より発生して、これに応じてメモリカード、ハードディスク、およびライセンス管理デバイス内の証明書失効リストCRLが書替えられる構成とするも可能である。また、証明書失効リストのバージョンについては、証明書失効リストが更新された日時情報であり、更新日時CRLdateをメモリカード、ハードディスク、およびライセンス管理デバイス側より出力し、これを配信サーバ10側で確認することによってバージョン管理を実行する。なお、証明書失効リストCRLには更新日時CRLdateも含まれる。従って差分データである差分CRLにも更新日時CRLdateが含まれる。
【0108】
このように、証明書失効リストCRLを、配信サーバのみならずメモリカードまたはパーソナルコンピュータ内においても保持運用することによって、クラス固有すなわち、コンテンツ再生回路およびメモリカードまたはパーソナルコンピュータ(ライセンス管理デバイスまたはライセンス管理モジュール)の種類に固有の復号鍵が破られた、コンテンツ再生回路およびメモリカードまたはパーソナルコンピュータへのライセンス鍵の供給を禁止する。このため、コンテンツ再生回路またはパーソナルコンピュータではコンテンツデータの再生が、メモリカード、ライセンス管理モジュール、およびライセンス管理デバイスではコンテンツデータの移動が行なえなくなる。
【0109】
このように、メモリカードまたはライセンス管理デバイス内の証明書失効リストCRLは、ライセンスが新たに格納される都度、逐次データを更新する構成とする。また、メモリカード、ライセンス管理モジュール、およびライセンス管理デバイスにおける証明書失効リストCRLの管理は、上位レベルとは独立にメモリカード、ライセンス管理デバイス、およびライセンス管理モジュールによって制御されるハードディスクでタンパーレジスタントモジュール(Tamper Resistant Module)に記録する等によって、ファイルシステムやアプリケーションプログラム等によって上位レベルから証明書失効リストデータCRLを改ざんすることが不可能な構成とする。この結果、データに関する著作権保護をより強固なものとすることができる。
【0110】
図3は、図1に示すデータ配信システムにおいて使用される認証のためのデータ、情報等の特性を説明する図である。
【0111】
コンテンツ再生回路、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールには固有の公開暗号鍵KPpyおよびKPmwがそれぞれ設けられ、公開暗号鍵KPpyおよびKPmwは携帯電話機に固有の秘密復号鍵Kpyおよびメモリカード、ライセンス管理デバイス、およびライセンス管理モジュールに固有の秘密復号鍵Kmwによってそれぞれ復号可能である。これら公開暗号鍵および秘密復号鍵は、携帯電話機、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールの種類ごとに異なる値を持つ。これらの公開暗号鍵および秘密復号鍵を総称してクラス鍵と称する。
【0112】
また、コンテンツ再生デバイス(携帯電話機)のクラス証明書としてCpyが設けられ、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールのクラス証明書としてCmwが設けられる。
【0113】
これらのクラス証明書は、コンテンツ再生回路、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールのクラスごとに異なる情報を有する。クラス鍵による暗号が破られた、すなわち、秘密復号鍵が取得されたクラス鍵に対しては、証明書失効リストにリストアップされてライセンス発行の禁止対象となる。
【0114】
これらのコンテンツ再生回路、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールに固有の公開暗号鍵およびクラス証明書は、認証データ{KPpy//Cpy}KPaの形式または認証データ{KPmw//Cmw}KPaの形式で、出荷時にデータ再生回路、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールにそれぞれ記録される。後ほど詳細に説明するが、KPaは配信システム全体で共通の公開認証鍵である。
【0115】
また、ソフトウエアによってライセンスか管理されるライセンス管理モジュールのセキュリティレベルとハードウエアによってライセンス管理するメモリカードやライセンス管理デバイスにおけるセキュリティレベルの違いは、この証明書Cmwを参照することで判断できる。
【0116】
ライセンスの授受における秘密保持のための暗号鍵として、コンテンツデータの配信、および再生が行なわれるごとに配信サーバ10、メモリカード110、ライセンス管理デバイス、ライセンス管理モジュールおよびコンテンツ再生回路において生成される共通鍵Ks1〜Ks3が用いられる。
【0117】
ここで、共通鍵Ks1〜Ks3は、配信サーバ、メモリカード、ライセンス管理デバイスもしくはライセンス管理モジュールもしくはコンテンツ再生回路のいずれか二者間の通信の単位あるいはアクセスの単位である「セッション」ごとに発生する固有の共通鍵であり、以下においてはこれらの共通鍵Ks1〜Ks3を「セッションキー」とも呼ぶこととする。
【0118】
これらのセッションキーKs1〜Ks3は、セッションごとに固有の値を有することにより、配信サーバ、メモリカード、ライセンス管理デバイス、ライセンス管理モジュールおよびコンテンツ再生回路によって生成され管理される。具体的には、セッションキーKs1は、配信サーバによって配信セッションごとに発生される。セッションキーKs2は、メモリカード、ライセンス管理デバイス、ライセンス管理モジュールによって全てのセッションにおいてセッションごとに発生し、セッションキーKs3は、コンテンツ再生回路において再生セッションごとに発生される。各セッションにおいて、これらのセッションキーを授受し、他の機器で生成されたセッションキーを受けて、このセッションキーによる暗号化を実行したうえでライセンス鍵等の送信を行なうことによって、セッションにおけるセキュリティ強度を向上させることができる。
【0119】
また、メモリカード110、ライセンス管理デバイス、およびライセンス管理モジュール内のデータ処理を管理するための鍵として、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールという媒体ごとに設定される公開暗号鍵KPmcxと、公開暗号鍵KPmcxで暗号化されたデータを復号することが可能なメモリカードごとに固有の秘密復号鍵Kmcxが存在する。
【0120】
図4は、ソフトウエア(ライセンス管理モジュール)によって取得したライセンスを他のパーソナルコンピュータへ移動可能とするために必要なバインディングライセンスと、メモリカード110へ貸出すチェックアウトセッションにおけるチェックアウト管理情報とを示したものである。
【0121】
バインディングライセンスは、暗号化コンテンツデータを再生するためのライセンスと、暗号化コンテンツデータおよびライセンスのチェックアウト可能数とを管理するための共通鍵であるバインディング鍵と、バインディングライセンスに対する制御情報であるアクセス制限情報ACmb,再生制限情報ACpbと、バインディングライセンス用のトランザクションIDであるトランザクションIDbと、バインディングID用のダミーであるコンテンツIDbと、トランザクションIDbとコンテンツIDbとの総称であるバインディングIDとから成る。
【0122】
バインディング鍵Kbは、ソフトウエアによって取得された暗号化コンテンツデータのライセンスをライセンス管理デバイスにて管理するためのであり、ライセンス管理デバイス(ハードウエア)によって保持される。そして、ハードウエアによって保持されたバインディング鍵Kbによらなければライセンスを取出すことができないようにするものである。また、アクセス制限情報ACmb,再生制限情報ACpbは、暗号化コンテンツデータを再生するライセンスに含まれるアクセス制限情報ACm,再生制限情報ACpの中の1つの固定値を持つものであり、アクセス制限情報ACmbは、ライセンスの複製および移動を禁止し、かつ、再生回数を無制限とし、再生制限情報ACpbは、無期限に暗号化コンテンツデータを再生可能とするものである。バインディングライセンスの構成は、ライセンスと同じ構成であり、ライセンス管理デバイスにおいて管理される。そして、バインディングライセンスは、ハードウエア、すなわち、移動可能な高いセキュリティレベルにて取得されたライセンスと同じ管理がなされる。
【0123】
チェックアウト管理情報は、チェックアウト可能数と、チェックアウト先個別IDと、チェックアウト時トランザクションIDとから成る。チェックアウト可能数は、暗号化コンテンツデータを貸出すことができる回数を示すものであり、暗号化コンテンツデータをチェックアウトする毎に数値が1づつ減じられ、暗号化コンテンツデータをチェックインする毎に数値が1づつ増加されるものである。また、チェックアウト先個別IDは、暗号化コンテンツデータをチェックアウトするメモリカードを特定するものであり、メモリカードが保持する公開暗号鍵KPmcxが該当する。チェックアウト時トランザクションIDは、チェックアウトするときに用いられるトランザクションIDである。
【0124】
図5は、図1に示した配信サーバ10の構成を示す概略ブロック図である。
配信サーバ10は、コンテンツデータを所定の方式に従って暗号化したデータや、ライセンスID等の配信情報を保持するための情報データベース304と、パーソナルコンピュータの各ユーザごとにコンテンツデータへのアクセス開始に従った課金情報を保持するための課金データベース302と、証明書失効リストCRLを管理するCRLデータベース306と、情報データベース304に保持されたコンテンツデータのメニューを保持するメニューデータベース307と、コンテンツデータおよびライセンス鍵等の配信を特定するトランザクションIDを保持する配信記録データベース308と、情報データベース304、課金データベース302、CRLデータベース306、メニューデータベース307、および配信記録データベース308からのデータをバスBS1を介して受取り、所定の処理を行なうためのデータ処理部310と、通信網を介して、配信キャリア20とデータ処理部310との間でデータ授受を行なうための通信装置350とを備える。
【0125】
データ処理部310は、バスBS1上のデータに応じて、データ処理部310の動作を制御するための配信制御部315と、配信制御部315に制御されて、配信セッション時にセッションキーKs1を発生するためのセッションキー発生部316と、ライセンス管理デバイス、およびライセンス管理モジュールから送られてきた認証のための認証データ{KPmw//Cmw}KPaを復号するための公開認証鍵を保持する認証鍵保持部313と、ライセンス管理デバイス、およびライセンス管理モジュールから送られてきた認証のための認証データ{KPmw//Cmw}KPaを通信装置350およびバスBS1を介して受けて、認証鍵保持部313からの公開認証鍵KPaによって復号処理を行なう復号処理部312と、セッションキー発生部316より生成されたセッションキーKs1を復号処理部312によって得られた公開暗号鍵KPmcxを用いて暗号化して、バスBS1に出力するための暗号化処理部318と、セッションキーKs1によって暗号化された上で送信されたデータをバスBS1より受けて、復号処理を行なう復号処理部320とを含む。
【0126】
データ処理部310は、さらに、配信制御部315から与えられるライセンス鍵Kcおよびアクセス制限情報ACmを、復号処理部320によって得られたメモリカード、ライセンス管理デバイス、およびライセンス管理モジュールに固有の公開暗号鍵KPmwによって暗号化するための暗号化処理部326と、暗号化処理部326の出力を、復号処理部320から与えられるセッションキーKs2によってさらに暗号化してバスBS1に出力するための暗号化処理部328とを含む。
【0127】
配信サーバ10の配信セッションにおける動作については、後ほどフローチャートを使用して詳細に説明する。
【0128】
図6は、図1に示したパーソナルコンピュータ50の構成を説明するための概略ブロック図である。パーソナルコンピュータ50は、パーソナルコンピュータ50の各部のデータ授受を行なうためのバスBS2と、インターネット網と公衆電話網を介して接続するためのモデム40とインターネット網を介してライセンス管理デバイス520またはライセンス管理モジュール511に暗号化コンテンツデータ等を配信サーバ10から受信するために、配信サーバ10との間でデータの授受を制御するとともに、CD−ROMドライブ540を介して音楽CDからリッピングによって暗号化コンテンツデータおよびライセンスを取得する際の制御を行なうためのコントローラ510と、配信サーバ10からの暗号化コンテンツデータおよびライセンスの受信を行なう際に配信サーバ10との間で各種の鍵のやり取りを行ない、配信された暗号化コンテンツデータを再生するためのライセンスをハード的に管理するライセンス管理デバイス520と、コントローラ510に含まれ、配信サーバ10からの暗号化コンテンツデータおよびライセンスの送受信をプログラムによって実行し、受信したライセンスに独自の暗号化を施した専用ライセンスを生成するコンテンツ管理モジュール511とを含む。さらに、コンテンツ管理モジュール511は、コンテンツ再生機能を備えることもでき、この場合、取得した暗号化コンテンツデータ{Dc}Kcを取得したライセンス鍵Kcにて復号し再生することができる。
【0129】
ライセンス管理デバイス520は、暗号化コンテンツデータおよびライセンスを配信サーバ10から受信する際のデータの授受をハード的に行ない、受信したライセンスをハード的に管理するものであるため、高いセキュリティレベルで暗号化コンテンツデータ等の配信とライセンスの管理とを行なうことができるものである。また、ライセンス管理デバイス520は、ライセンス管理モジュール511によって取得され、その取得されたライセンスに基づいて生成された専用ライセンスを管理する。なお、ライセンス管理デバイス520は、パーソナルコンピュータ50から脱着可能であり、他のパーソナルコンピュータへ移動可能なものである。
【0130】
一方、ライセンス管理モジュール511は、暗号化コンテンツデータおよびライセンスを配信サーバ10から受信する際のデータの授受をプログラムを用いてソフト的に行なうものであるため、ライセンス管理デバイス520よりもセキュリティレベルが低いものである。以下においては、ライセンス管理モジュール511のセキュリティレベルを「レベル1」と言い、ライセンス管理デバイスのセキュリティレベルを「レベル2」と言う。
【0131】
パーソナルコンピュータ50は、さらに、ライセンス管理モジュール511またはライセンス管理デバイス520によって配信サーバ10から受信した暗号化コンテンツデータと、CD−ROMドライブ540を介して音楽CDから取得した暗号化コンテンツデータと、ライセンス管理モジュール511またはライセンス管理デバイス520によって受信した暗号化コンテンツデータのライセンスを暗号化コンテンツデータのファイル名と対応付けて管理するコンテンツリストファイルとを記憶するHDD530を含む。なお、コンテンツリストファイルの詳細については後述する。
【0132】
パーソナルコンピュータ50は、さらに、暗号化コンテンツデータおよびライセンスを再生端末100等に通信する際にコントローラ510と端子580との間でデータの授受を制御するためのUSBインタフェース550と、音楽CDからコンテンツデータを取得するためのCD−ROMドライブ540と、ユーザからの指示を入力するためのキーボード560と、各種の情報を視覚的にユーザに与えるためのディスプレイ570と、USBケーブル70を接続するための端子580とを含む。
【0133】
このように、パーソナルコンピュータ50は、配信サーバ10からインターネット網30を介して暗号化コンテンツデータおよびライセンスを受信するためのライセンス管理モジュール511およびライセンス管理デバイス520と、音楽CDからリッピングによって暗号化コンテンツデータおよびライセンスを取得するためのCD−ROMドライブ540とを内蔵するものである。なお、CD−ROMドライブ540による暗号化コンテンツデータおよびライセンスの取得は、ライセンス管理モジュール511による暗号化コンテンツデータおよびライセンスの受信と同じレベル1のセキュリティレベルで行なわれる。
【0134】
図7は、図1に示した再生端末100の構成を説明するための概略ブロック図である。
【0135】
再生端末100は、再生端末100の各部のデータ授受を行なうためのバスBS3と、バスBS3を介して再生端末100の動作を制御するためのコントローラ1106と、外部からの指示を再生端末100に与えるための操作パネル1108と、コントローラ1106等から出力される情報を携帯電話ユーザに視覚情報として与えるための表示パネル1110とを含む。
【0136】
再生端末100は、さらに、配信サーバ10からのコンテンツデータ(音楽データ)を記憶しかつ復号化処理するための着脱可能なメモリカード110と、メモリカード110とバスBS3との間のデータの授受を制御するためのメモリインタフェース1200と、パーソナルコンピュータ50から暗号化コンテンツデータおよびライセンスを受信する際にバスBS3と端子1114との間のデータ授受を制御するためのUSBインタフェース1112と、USBケーブル70を接続するための端子1114とを含む。
【0137】
再生端末100は、さらに、再生端末(コンテンツ再生回路)の種類(クラス)ごとにそれぞれ設定される、公開暗号鍵KPp1およびクラス証明書Cp1を公開復号鍵KPaで復号することでその正当性を認証できる状態に暗号化した認証データ{KPp1//Cp1}KPaを保持する認証データ保持部1500を含む。ここで、携帯電話機(データ端末装置)100のクラスyは、y=1であるとする。
【0138】
再生端末100は、さらに、再生端末(コンテンツ再生回路)固有の復号鍵であるKp1を保持するKp1保持部1502と、バスBS3から受けたデータをKp1によって復号しメモリカード110によって発生されたセッションキーKs2を得る復号処理部1504とを含む。
【0139】
再生端末100は、さらに、メモリカード110に記憶されたコンテンツデータの再生を行なう再生セッションにおいてメモリカード110との間でバスBS3上においてやり取りされるデータを暗号化するためのセッションキーKs3を乱数等により発生するセッションキー発生部1508と、暗号化コンテンツデータの再生セッションにおいてメモリカード110からライセンス鍵Kcおよび再生制限情報ACpを受取る際に、セッションキー発生部1508により発生されたセッションキーKs3を復号処理部1504によって得られたセッションキーKs2によって暗号化しバスBS3に出力する暗号化処理部1506とを含む。
【0140】
再生端末100は、さらに、バスBS3上のデータをセッションキーKs3によって復号して出力する復号処理部1510と、バスBS3より暗号化コンテンツデータ{Dc}Kcを受けて、復号処理部1510より取得したライセンス鍵Kcによって復号しコンテンツデータを出力する復号処理部1516と、復号処理部1516の出力を受けてコンテンツデータを再生するための音楽再生部1518と、音楽再生部1518の出力をディジタル信号からアナログ信号に変換するDA変換器1519と、DA変換器1519の出力を外部出力装置(図示省略)へ出力するための端子1530とを含む。
【0141】
なお、図7においては、点線で囲んだ領域は暗号化コンテンツデータを復号して音楽データを再生するコンテンツ再生デバイス1550を構成する。コンテンツ再生デバイス1550は、コンテンツ再生回路を半導体集回路で実現した機密性の高いタンパーレジスタントモジュールとして構成されている。再生端末100の各構成部分の各セッションにおける動作については、後ほどフローチャートを使用して詳細に説明する。
【0142】
図8は、メモリカード110の構成を説明するための概略ブロック図である。
既に説明したように、メモリカードに固有の公開暗号鍵および秘密復号鍵として、KPmwおよびKmwが設けられ、メモリカードのクラス証明書Cmwが設けられるが、メモリカード110においては、これらは自然数w=3でそれぞれ表わされるものとする。
【0143】
したがって、メモリカード110は、認証データ{KPm3//Cm3}KPaを保持する認証データ保持部1400と、メモリカードごとに設定される固有の復号鍵であるKmc4を保持するKmc保持部1402と、メモリカードの種類ごとに設定される固有の秘密復号鍵Km3を保持するKm保持部1421と、Kmc4によって復号可能な公開暗号鍵KPmc4を保持するKPmc保持部1416とを含む。認証データ保持部1400は、メモリカードの種類およびクラスごとにそれぞれ設定される秘密暗号鍵KPm3およびクラス証明書Cm3を公開認証鍵KPaで復号することでその正当性を認証できる状態に暗号化した認証データ{KPm3//Cm3}KPaとして保持する。
【0144】
このように、メモリカードという記録装置の暗号鍵を設けることによって、以下の説明で明らかになるように、配信されたコンテンツデータや暗号化されたライセンス鍵の管理をメモリカード単位で実行することが可能になる。
【0145】
メモリカード110は、さらに、メモリインタフェース1200との間で信号を端子1426を介して授受するインタフェース1424と、インタフェース1424との間で信号をやり取りするバスBS4と、バスBS4にインタフェース1424から与えられるデータから、メモリカードの種類ごとに固有の秘密復号鍵Km3をKm保持部1421から受けて、配信サーバ10が配信セッションにおいて生成したセッションキーKs1を接点Paに出力する復号処理部1422と、KPa保持部1414から認証鍵KPaを受けて、バスBS4に与えられるデータからKPaによる復号処理を実行して復号結果を暗号化処理部1410に出力する復号処理部1408と、切換スイッチ1442によって選択的に与えられる鍵によって、切換スイッチ1446によって選択的に与えられるデータを暗号化してバスBS4に出力する暗号化処理部1406とを含む。
【0146】
メモリカード110は、さらに、再生セッションにおいてセッションキーKs2を発生するセッションキー発生部1418と、セッションキー発生部1418の出力したセッションキーKs2を復号処理部1408によって得られる公開暗号鍵KPpyもしくはKPmwによって暗号化してバスBS4に送出する暗号化処理部1410と、バスBS4よりセッションキーKs2によって暗号化されたデータを受けてセッションキー発生部1418より得たセッションキーKs2によって復号する復号処理部1412と、暗号化コンテンツデータの再生セッションにおいてメモリ1415から読出されたライセンス鍵Kcおよび再生制限情報ACpを、復号処理部1412で復号されたメモリカード110に固有の公開暗号鍵KPmcxで暗号化する暗号処理部1417とを含む。
【0147】
メモリカード110は、さらに、バスBS4上のデータを公開暗号鍵KPmc4と対をなすメモリカード110固有の秘密復号鍵Kmc4によって復号するための復号処理部1404と、証明書失効リストのバージョン更新のためのデータCRL_datによって逐次更新される証明書失効リストデータCRLと、暗号化コンテンツデータ{Dc}Kcと、暗号化コンテンツデータ{Dc}Kcを再生するためのライセンス(Kc,ACp,ACm,ライセンスID)と、付加情報Data−infと、暗号化コンテンツデータの再生リストと、ライセンスを管理するためのライセンス管理ファイルとをバスBS4より受けて格納するためのメモリ1415とを含む。メモリ1415は、例えば半導体メモリによって構成される。また、メモリ1415は、証明書失効リストCRLを記録したCRL領域1415Aと、ライセンスを記録したライセンス領域1415Bと、暗号化コンテンツデータ{Dc}Kc、暗号化コンテンツデータの関連情報Dc−inf、再生リストおよびライセンス管理ファイルを記録したデータ領域1415Cとから成る。
【0148】
メモリカード110は、さらに、バスBS4を介して外部との間でデータ授受を行ない、バスBS4との間で再生情報等を受けて、メモリカード110の動作を制御するためのコントローラ1420とを含む。インタフエース1424、端子1426およびメモリ1415のデータ領域1415Cを除くメモリカード110の各部分は、タンパーレジスタントモジュールにて構成され、高い機密性を保証している。
【0149】
図9は、パーソナルコンピュータ50に内蔵されたライセンス管理デバイス520の構成を示す概略ブロック図である。ライセンス管理デバイス520は、基本的にメモリカード110と同じ構成から成る。ライセンス管理デバイス520の認証データ保持部5200、Kmc保持部5202、復号処理部5204、暗号処理部5206、復号処理部5208、暗号処理部5210、復号処理部5212、KPa保持部5214、KPmc保持部5216、暗号処理部5217、セッションキー発生部5218、コントローラ5220、Km保持部5221、復号処理部5222、インタフェース5224、端子5226、切換スイッチ5242,5246は、それぞれ、メモリカード110の認証データ保持部1400、Kmc保持部1402、復号処理部1404、暗号処理部1406、復号処理部1408、暗号処理部1410、復号処理部1412、KPa保持部1414、KPmc保持部1416、暗号処理部1417、セッションキー発生部1418、コントローラ1420、Km保持部1421、復号処理部1422、インタフェース1424、端子1426、切換スイッチ1442,1446と同じである。ただし、認証データ保持部5200は、{KPm7//Cm7}KPaの形式で認証データを保持し、Km保持部5202は、秘密復号鍵Km7を保持し、Kmc保持部5221は、秘密復号鍵Kmc8を保持する。
【0150】
ライセンス管理デバイス520は、証明書失効リストCRLとライセンス(Kc,ACp,ACm,ライセンスID)とライセンス管理ファイル1521〜152nとを記録するメモリ5215を、メモリカード110のメモリ1415に代えて含む。メモリ5215は、証明書失効リストCRLを記録したCRL領域5215Aと、ライセンスを記録したライセンス領域5215Bと、ライセンス管理ファイル1521〜152nを記録した管理ファイル領域5215Cとから成る。インタフェース5224、端子5226およびメモリ5215の管理ファイル領域5215Cを除くライセンス管理デバイス520の各部分は、タンパーレジスタントモジュールにて構成され、高い機密性を保証している。
【0151】
以下、図1に示すデータ配信システムにおける各セッションの動作について説明する。
【0152】
[配信1]
次に、図1に示すデータ配信システムにおいて、配信サーバ10からパーソナルコンピュータ50のライセンス管理デバイス520へ暗号化コンテンツデータおよびライセンスを配信する動作について説明する。なお、この動作を「配信1」という。
【0153】
図10〜図13は、図1に示すデータ配信システムにおける暗号化コンテンツデータの購入時に発生するパーソナルコンピュータ50に内蔵されたライセンス管理デバイス520への配信動作(以下、配信セッションともいう)を説明するための第1〜第4のフローチャートである。
【0154】
図10を参照して、パーソナルコンピュータ50のユーザからキーボード560を介してコンテンツIDの指定による配信リクエストがなされる(ステップS100)。そして、キーボード560を介して暗号化コンテンツデータのライセンスを購入するための購入条件ACが入力される(ステップS102)。つまり、選択した暗号化コンテンツデータを復号するライセンス鍵Kcを購入するために、暗号化コンテンツデータのアクセス制限情報ACm、および再生制限情報ACpを設定して購入条件ACが入力される。
【0155】
暗号化コンテンツデータの購入条件ACが入力されると、コントローラ510は、バスBS2を介してライセンス管理デバイス520へ認証データの出力指示を与える(ステップS104)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224およびバスBS5を介して認証データの出力指示を受取る。そして、コントローラ5220は、バスBS5を介して認証データ保持部5200から認証データ{KPm7//Cm7}KPaを読出し、{KPm7//Cm7}KPaをバスBS5、インタフェース5224および端子5226を介して出力する(ステップS106)。
【0156】
パーソナルコンピュータ50のコントローラ510は、ライセンス管理デバイス520からの認証データ{KPm7//Cm7}KPaに加えて、コンテンツID、ライセンス購入条件のデータAC、および配信リクエストを配信サーバ10に対して送信する(ステップS108)。
【0157】
配信サーバ10では、パーソナルコンピュータ50から配信リクエスト、コンテンツID、認証データ{KPm7//Cm7}KPa、およびライセンス購入条件のデータACを受信し(ステップS110)、復号処理部312においてライセンス管理デバイス520から出力された認証データを公開認証鍵KPaで復号処理を実行する(ステップS112)。
【0158】
配信制御部315は、復号処理部312における復号処理結果から、処理が正常に行なわれたか否か、すなわち、ライセンス管理デバイス520が正規のライセンス管デバイスからの公開暗号鍵KPm7と証明書Cm7とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS114)。正当な認証データであると判断された場合、配信制御部315は、公開暗号鍵KPm7および証明書Cm7を承認し、受理する。そして、次の処理(ステップS116)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm7および証明書Cm7を受理しないで処理を終了する(ステップS198)。
【0159】
認証の結果、正規の機器であることが認識されると、配信制御部315は、次に、ライセンス管理デバイスのクラス証明書Cm7が証明書失効リストCRLにリストアップされているかどうかをCRLデータベース306に照会し、これらのクラス証明書が証明書失効リストの対象になっている場合には、ここで配信セッションを終了する(ステップS198)。
【0160】
一方、ライセンス管理デバイス520のクラス証明書が証明書失効リストの対象外である場合には次の処理に移行する(ステップS116)。
【0161】
認証の結果、正当な認証データを持つライセンス管理デバイスを備えるパーソナルコンピュータからのアクセスであり、クラスが証明書失効リストの対象外であることが確認されると、配信サーバ10において、配信制御部315は、配信を特定するための管理コードであるトランザクションIDを生成する(ステップS118)。また、セッションキー発生部316は、配信のためのセッションキーKs1を生成する(ステップS120)。セッションキーKs1は、復号処理部312によって得られたライセンス管理デバイス520に対応する公開暗号鍵KPm7によって、暗号化処理部318によって暗号化される(ステップS122)。
【0162】
トランザクションIDおよび暗号化されたセッションキーKs1は、トランザクションID//{Ks1}Km7として、バスBS1および通信装置350を介して外部に出力される(ステップS124)。
【0163】
図11を参照して、パーソナルコンピュータ50が、トランザクションID//{Ks1}Km7を受信すると(ステップS126)、コントローラ510は、トランザクションID//{Ks1}Km7をライセンス管理デバイス520に入力する(ステップS128)。そうすると、ライセンス管理デバイス520においては、端子5226およびインタフェース5224を介して、バスBS5に与えられた受信データを、復号処理部5222が、保持部5221に保持されるライセンス管理デバイス520に固有の秘密復号鍵Km7により復号処理することにより、セッションキーKs1を復号し、セッションキーKs1を受理する(ステップS130)。
【0164】
コントローラ5220は、配信サーバ10で生成されたセッションキーKs1の受理を確認すると、セッションキー発生部5218に対してライセンス管理デバイス520において配信動作時に生成されるセッションキーKs2の生成を指示する。そして、セッションキー発生部5218は、セッションキーKs2を生成する(ステップS132)。
【0165】
また、配信セッションにおいては、コントローラ5220は、ライセンス管理デバイス520内のメモリ5215のCRL領域5215Aに記録されている証明書失効リストCRLからの更新日時CRLdate抽出して切換スイッチ5246に出力する(ステップS134)。
【0166】
暗号化処理部5206は、切換スイッチ5242の接点Paを介して復号処理部5222より与えられるセッションキーKs1によって、切換スイッチ5246の接点を順次切換えることによって与えられるセッションキーKs2、公開暗号鍵KPmc8および証明書失効リストの更新日時CRLdateを1つのデータ列として暗号化して、{Ks2//KPmc8//CRLdate}Ks1をバスBS3に出力する(ステップS136)。
【0167】
バスBS3に出力された暗号化データ{Ks2//KPmc8//CRLdate}Ks1は、バスBS3からインタフェース5224および端子5226を介してパーソナルコンピュータ50に出力され、パーソナルコンピュータ50から配信サーバ10に送信される(ステップS138)。
【0168】
配信サーバ10は、トランザクションID//{Ks2//KPmc8//CRLdate}Ks1を受信して、復号処理部320においてセッションキーKs1による復号処理を実行し、ライセンス管理デバイス520で生成されたセッションキーKs2、ライセンス管理デバイス520固有の公開暗号鍵KPmc8およびライセンス管理デバイス520における証明書失効リストの更新日時CRLdateを受理する(ステップS142)。
【0169】
配信制御部315は、ステップS110で取得したコンテンツIDおよびライセンス購入条件のデータACに従って、アクセス制限情報ACmおよび再生制限情報ACpを生成する(ステップS144)。さらに、暗号化コンテンツデータを復号するためのライセンス鍵Kcを情報データベース304より取得する(ステップS146)。
【0170】
配信制御部315は、生成したライセンス、すなわち、トランザクションID、コンテンツID、ライセンス鍵Kc、再生制限情報ACp、およびアクセス制限情報ACmを暗号化処理部326に与える。暗号化処理部326は、復号処理部320によって得られたライセンス管理デバイス520固有の公開暗号鍵KPmc8によってライセンスを暗号化して暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8を生成する(ステップS148)。
【0171】
図12を参照して、配信サーバ10において、ライセンス管理デバイス520から送信された証明書失効リストの更新日時CRLdateに基づいてライセンス管理デバイス520に格納されている証明書失効リストCRLが最新か否かが判断され、ライセンス管理デバイス520に格納されている証明書失効リストCRLが最新と判断されたとき、ステップS152へ移行する。また、ライセンス管理デバイス520に格納されている証明書失効リストCRLが最新でないときはステップS160へ移行する(ステップS150)。
【0172】
ライセンス管理デバイス520に格納されている証明書失効リストCRLが最新と判断されたとき、暗号化処理部328は、暗号化処理部326から出力された暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8をライセンス管理デバイス520において発生されたセッションキーKs2によって暗号化を行い、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2をバスBS1に出力する。そして、配信制御部315は、バスBS1上の暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2を通信装置350を介してパーソナルコンピュータ50へ送信する(ステップS152)。
【0173】
そして、パーソナルコンピュータ50のコントローラ510は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2を受信し(ステップS154)、バスBS5を介してライセンス管理デバイス520に入力する。ライセンス管理デバイス520の復号処理部5212は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2を端子5226およびインタフェース5224を介して受取り、セッションキー発生部5218によって発生されたセッションキーKs2によって復号し、{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8を受理する(ステップS158)。その後、ステップS172へ移行する。
【0174】
一方、配信サーバ10において、ライセンス管理デバイス520に格納されている証明書失効リストCRLが最新でないと判断されると、配信制御部315は、バスBS1を介してCRLデータベース306から最新の証明書失効リストCRLを取得し、差分データである差分CRLを生成する(ステップS160)。
【0175】
暗号化処理部328は、暗号化処理部326の出力と、配信制御部315がバスBS1を介して供給する証明書失効リストの差分CRLとを受けて、ライセンス管理デバイス520において生成されたセッションキーKs2によって暗号化する。暗号化処理部328より出力された暗号化データ{差分CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2は、バスBS1および通信装置350を介してパーソナルコンピュータ50に送信される(ステップS162)。
【0176】
パーソナルコンピュータ50は、送信された暗号化データ{差分CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2を受信し(ステップS164)、バスBS5を介してライセンス管理デバイス520に入力する(ステップS166)。ライセンス管理デバイス520においては、端子5226およびインタフェース5224を介して、バスBS5に与えられた受信データを復号処理部5212によって復号する。復号処理部5212は、セッションキー発生部5218から与えられたセッションキーKs2を用いてバスBS5の受信データを復号しバスBS5に出力する(ステップS168)。
【0177】
この段階で、バスBS5には、Kmc保持部5221に保持される秘密復号鍵Kmc8で復号可能な暗号化ライセンス{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}と、差分CRLとが出力される(ステップS168)。コントローラ5220の指示によって受理した差分CRLによってメモリ5215内のCRL領域5215Aに記録されている証明書失効リストCRLを差分CRLに基づいて更新する(ステップS170)。
【0178】
ステップS152,S154,S156,S158は、ライセンス管理デバイス520に記録されている証明書失効リストCRLが最新の場合のライセンス鍵Kc等のライセンス管理デバイス520への配信動作であり、ステップS160,S162,S164,S166,S168,S170は、ライセンス管理デバイス520に記録されている証明書失効リストCRLが最新でない場合のライセンス鍵Kc等のライセンス管理デバイス520への配信動作である。このように、ライセンス管理デバイス520から送られてきた証明書失効リストCRLdateに基づいてライセンス管理デバイス520に格納されている証明書失効リストCRLが最新か否かを、逐一、確認し、最新でない時、最新の証明書失効リストCRLをCRLデータベース306から取得し、差分CRLをライセンス管理デバイス520に配信することによって、ライセンス管理デバイス520が格納する証明書失効リストCRLを、逐次、最新となるように更新することで、ライセンス管理デバイス520から、ライセンスの破られた他のライセンス管理デバイス、ライセンス管理モジュール、メモリカードおよびコンテンツ再生デバイスへのライセンス鍵Kcの出力を防止できる。
【0179】
ステップS158またはステップS170の後、コントローラ5220の指示によって、暗号化ライセンス{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8は、復号処理部5204において、秘密復号鍵Kmc8によって復号され、ライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制限情報ACmおよび再生制限情報ACp)が受理される(ステップS172)。
【0180】
このように、配信サーバおよびライセンス管理デバイスでそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行うことができ、データ配信システムのセキュリティを向上させることができる。
【0181】
図13を参照して、コントローラ510は、ライセンス管理デバイス520が受理したライセンスを格納するためのエントリ番号を、ライセンス管理デバイス520に入力する(ステップS174)。そうすると、ライセンス管理デバイス520のコントローラ5220は、端子5226およびインタフェース5224を介してエントリ番号を受取り、その受取ったエントリ番号によって指定されるメモリ5215のライセンス領域5215Bに、ステップS172において取得したライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制限情報ACmおよび再生制限情報ACp)を格納する(ステップS176)。
【0182】
パーソナルコンピュータ50のコントローラ510は、配信サーバ10から送られたトランザクションIDと、暗号化コンテンツデータの配信要求を配信サーバ10へ送信する(ステップS178)。
【0183】
配信サーバ10は、トランザクションIDおよび暗号化コンテンツデータの配信要求を受信し(ステップS180)、情報データベース304より、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを取得して、これらのデータをバスBS1および通信装置350を介して出力する(ステップS182)。
【0184】
パーソナルコンピュータ50は、{Dc}Kc//Dc−infを受信して、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを受理する(ステップS184)。そうすると、コントローラ510は、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infをバスBS2を介してHDD530に記録する(ステップS186)。また、コントローラ510は、ライセンス管理デバイス520に格納されたライセンスのエントリ番号と、平文のトランザクションIDおよびコンテンツIDを含む暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infに対するライセンス管理ファイルを生成し、バスBS2を介して生成したライセンス管理ファイルをライセンス管理デバイス520へ入力し、メモリ5215の管理ファイル領域5215Cに記録するよう指示する(ステップS188)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介してライセンス管理ファイルと指示を受け取り、その受取ったライセンス管理ファイルをメモリ5215の管理ファイル領域5215Cへ記録する(ステップS189)。その後、コントローラ510は、HDD530に記録されているコンテンツリストファイルに受理したコンテンツの名称を追記し(ステップS190)、トランザクションIDと配信受理を配信サーバ10へ送信する(ステップS192)。
【0185】
配信サーバ10は、トランザクションID//配信受理を受信すると(ステップS194)、課金データベース302への課金データの格納、およびトランザクションIDの配信記録データベース308への記録が行われて配信終了の処理が実行され(ステップS196)、全体の処理が終了する(ステップS198)。
【0186】
このようにして、パーソナルコンピュータ50に内蔵されたライセンス管理デバイス50が正規の機器であること、同時に、クラス証明書Cm7とともに暗号化して送信された公開暗号鍵KPm7が有効であることを確認した上で、クラス証明書Cm7が証明書失効リスト、すなわち、公開暗号鍵KPm7による暗号化が破られたクラス証明書リストに記載されていないライセンス管理デバイスからの配信要求に対してのみコンテンツデータを配信することができ、不正なライセンス管理デバイスへの配信および解読されたクラス鍵を用いた配信を禁止することができる。
【0187】
また、ライセンス管理デバイス520は、配信サーバ10から暗号化コンテンツデータおよびライセンスを受信する際に、配信サーバ10との間でハード的にデータのやり取りを行ない、暗号化コンテンツデータを再生するためのライセンスをハード的に格納するため、そのセキュリティレベルは高い。したがって、ライセンス管理デバイス520を用いれば、パーソナルコンピュータ50は、セキュリティレベルの高い配信によって暗号化コンテンツデータおよびライセンスを受信できるとともに、セキュリティレベルの高いライセンスの管理が可能である。
【0188】
[配信2]
図1に示すデータ配信システムにおいて、配信サーバ10からパーソナルコンピュータ50のライセンス管理モジュール511へ暗号化コンテンツデータおよびライセンスを配信する動作について説明する。なお、この動作を「配信2」という。
【0189】
図14〜図19は、図1に示すデータ配信システムにおける暗号化コンテンツデータの購入時に発生するパーソナルコンピュータ50に内蔵されたライセンス管理モジュール511への配信動作を説明するための第1〜第6のフローチャートである。なお、ライセンス管理モジュール511は、暗号化コンテンツデータおよびライセンスの配信サーバ10からの受信をプログラムによって実行する。
【0190】
図14を参照して、パーソナルコンピュータ50のユーザからキーボード560を介してコンテンツIDの指定による配信リクエストがなされる(ステップS200)。そして、キーボード560を介して暗号化コンテンツデータのライセンスを購入するための購入条件ACが入力される(ステップS202)。つまり、選択した暗号化コンテンツデータを復号するライセンス鍵Kcを購入するために、暗号化コンテンツデータのアクセス制限情報ACm、および再生制限情報ACpを設定して購入条件ACが入力される。
【0191】
暗号化コンテンツデータの購入条件ACが入力されると、コントローラ510は、ライセンス管理モジュール511から認証データ{KPm5//Cm5}KPaを読出し、その読出した認証データ{KPm5//Cm5}KPaに加えて、コンテンツID、ライセンス購入条件のデータAC、および配信リクエストを配信サーバ10に対して送信する(ステップS204)。
【0192】
配信サーバ10では、パーソナルコンピュータ50から配信リクエスト、コンテンツID、認証データ{KPm5//Cm5}KPa、およびライセンス購入条件のデータACを受信し(ステップS206)、復号処理部312においてライセンス管理モジュール511から出力された認証データを公開認証鍵KPaで復号処理を実行する(ステップS208)。
【0193】
配信制御部315は、復号処理部312における復号処理結果から、処理が正常に行なわれたか否か、すなわち、ライセンス管理モジュール511が正規のライセンス管モジュールからの公開暗号鍵KPm5と証明書Cm5とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS210)。正当な認証データであると判断された場合、配信制御部315は、公開暗号鍵KPm5および証明書Cm5を承認し、受理する。そして、次の処理(ステップS212)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm5および証明書Cm5を受理しないで処理を終了する(ステップS299k)。
【0194】
認証の結果、正規のモジュールであることが認識されると、配信制御部315は、次に、ライセンス管理モジュールのクラス証明書Cm5が証明書失効リストCRLにリストアップされているかどうかをCRLデータベース306に照会し、これらのクラス証明書が証明書失効リストの対象になっている場合には、ここで配信セッションを終了する(ステップS299k)。
【0195】
一方、ライセンス管理モジュール511のクラス証明書が証明書失効リストの対象外である場合には次の処理に移行する(ステップS214)。
【0196】
認証の結果、正当な認証データを持つライセンス管理モジュールを備えるパーソナルコンピュータからのアクセスであり、クラスが証明書失効リストの対象外であることが確認されると、配信サーバ10において、配信制御部315は、配信を特定するための管理コードであるトランザクションIDを生成する(ステップS214)。また、セッションキー発生部316は、配信のためのセッションキーKs1を生成する(ステップS216)。セッションキーKs1は、復号処理部312によって得られたライセンス管理モジュール511に対応する公開暗号鍵KPm5によって、暗号化処理部318によって暗号化される(ステップS218)。
【0197】
トランザクションIDおよび暗号化されたセッションキーKs1は、トランザクションID//{Ks1}Km5として、バスBS1および通信装置350を介して外部に出力される(ステップS220)。
【0198】
図15を参照して、パーソナルコンピュータ50のコントローラ510が、トランザクションID//{Ks1}Km5を受信すると(ステップS222)、ライセンス管理モジュール511は、{Ks1}Km5を受けて、ライセンス管理モジュール511に固有の秘密復号鍵Km5により復号処理して、セッションキーKs1を受理する(ステップS224)。
【0199】
ライセンス管理モジュール511は、配信サーバ10で生成されたセッションキーKs1の受理を確認すると、セッションキーKs2を生成する(ステップS226)。そして、コントローラ510は、バスBS2を介してHDD530に記憶された暗号化CRLを読出し、ライセンス管理モジュール511は、暗号化CRLを復号して証明書失効リストCRLを取得し、復号した証明書失効リストCRLから証明書失効リストの更新日時CRLdateを取得する(ステップS228)。ライセンス管理モジュール511は、さらに、配信サーバ10において発生されたセッションキーKs1によって、ライセンス管理モジュール511で発生させたセッションキーKs2、公開暗号鍵KPmc6および証明書失効リストの更新日時CRLdateを1つのデータ列として暗号化して、{Ks2//KPmc6//CRLdate}Ks1を出力する(ステップS230)。
【0200】
コントローラ510は、暗号化データ{Ks2//KPmc6//CRLdate}Ks1にトランザクションIDを加えたトランザクションID//{Ks2//KPmc6//CRLdate}Ks1を配信サーバ10へ送信する(ステップS232)。
【0201】
配信サーバ10は、トランザクションID//{Ks2//KPmc6//CRLdate}Ks1を受信して(ステップS234)、復号処理部320においてセッションキーKs1による復号処理を実行し、ライセンス管理モジュール511で生成されたセッションキーKs2、ライセンス管理モジュール511に固有の公開暗号鍵KPmc6およびライセンス管理モジュール511における証明書失効リストの更新日時CRLdateを受理する(ステップS236)。
【0202】
配信制御部315は、ステップS206で取得したコンテンツIDおよびライセンス購入条件のデータACに従って、アクセス制限情報ACmおよび再生制限情報ACpを生成する(ステップS238)。さらに、暗号化コンテンツデータを復号するためのライセンス鍵Kcを情報データベース304より取得する(ステップS240)。
【0203】
配信制御部315は、生成したライセンス、すなわち、トランザクションID、コンテンツID、ライセンス鍵Kc、再生制限情報ACp、およびアクセス制限情報ACmを暗号化処理部326に与える。暗号化処理部326は、復号処理部320によって得られたライセンス管理モジュール511に固有の公開暗号鍵KPmc6によってライセンスを暗号化して暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6を生成する(ステップS242)。
【0204】
図16を参照して、配信サーバ10において、ライセンス管理モジュール511から送信された証明書失効リストの更新日時CRLdateに基づいてライセンス管理モジュール511が管理している証明書失効リストCRLが最新か否かが判断され、最新と判断されたとき、ステップS246へ移行する。また、最新でないときはステップS252へ移行する(ステップS244)。
【0205】
ライセンス管理モジュール511が管理している証明書失効リストCRLが最新と判断されたとき、暗号化処理部328は、暗号化処理部326から出力された暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6をライセンス管理モジュール511において発生されたセッションキーKs2によって暗号化を行い、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2をバスBS1に出力する。そして、配信制御部315は、バスBS1上の暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2を通信装置350を介してパーソナルコンピュータ50へ送信する(ステップS246)。
【0206】
そして、パーソナルコンピュータ50のコントローラ510は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2を受信し(ステップS248)、ライセンス管理モジュール511は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2をセッションキーKs2によって復号し、{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6を受理する(ステップS250)。その後、ステップS262へ移行する。
【0207】
一方、配信サーバ10において、ライセンス管理モジュール511が管理している証明書失効リストCRL最新でないと判断されると、配信制御部315は、バスBS1を介してCRLデータベース306から最新の証明書失効リストを取得し、差分データである差分CRLを生成する(ステップS252)。
【0208】
暗号化処理部328は、暗号化処理部326の出力と、配信制御部315がバスBS1を介して供給する証明書失効リストの差分CRLとを受けて、ライセンス管理モジュール511において生成されたセッションキーKs2によって暗号化する。暗号化処理部328より出力された暗号化データ{差分CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2は、バスBS1および通信装置350を介してパーソナルコンピュータ50に送信される(ステップS254)。
【0209】
パーソナルコンピュータ50は、送信された暗号化データ{差分CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2を受信し(ステップS256)、ライセンス管理モジュール511は、セッションキーKs2を用いて受信データを復号して差分CRLと暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6と受理する(ステップS258)。
【0210】
コントローラ510は、HDD530に記録された証明書失効リストCRLに受理した差分CRLを加え、独自の暗号処理を施し、HDD530内の証明書失効リストCRLを書換える(ステップS260)。
【0211】
ステップS246,S248,S250は、ライセンス管理モジュール511が管理している証明書失効リストCRLが最新の場合のライセンス鍵Kc等のライセンス管理モジュール511への配信動作であり、ステップS252,S254,S256,S258,S260は、ライセンス管理モジュール511が管理している証明書失効リストCRLが最新でない場合のライセンス鍵Kc等のライセンス管理モジュール511への配信動作である。このように、ライセンス管理モジュール511から送られてきた証明書失効リストの更新日時に基づいて、ライセンス管理モジュール511が管理する証明書失効リストCRLが最新か否かを、逐一、確認し、更新されていないとき、最新の証明書失効リストCRLdateをCRLデータベース306から取得し、差分CRLをライセンス管理モジュール511に配信することによって、ライセンス管理モジュール511からライセンスの破られた他のライセンス管理モジュール、ライセンス管理デバイス、メモリカードおよびコンテンツ再生回路へのライセンス鍵Kcの出力を防止できる。
【0212】
ステップS250またはステップS260の後、暗号化ライセンス{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6は、秘密復号鍵Kmc6によって復号され、ライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制限情報ACmおよび再生制限情報ACp)が受理される(ステップS262)。
【0213】
このように、配信サーバおよびライセンス管理モジュールでそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行うことができ、データ配信システムのセキュリティを向上させることができる。
【0214】
ライセンス管理モジュール511は、受理したアクセス制限情報ACmによって再生回数が制限されているか否かを判別し、再生回数が制限されていないときステップS266へ移行し、再生回数が制限されているときステップS268へ移行する(ステップS264)。そして、再生回数が制限されていなとき、ライセンス管理モジュール511は、配信サーバ10から受信した暗号化コンテンツおよびライセンスを他の装置へ貸出すためのチェックアウト可能数を含むチェックアウト情報を生成する(ステップS266)。この場合、チェックアウトの初期値は「3」に設定される。また、再生回数が制限されているとき、ライセンス管理モジュール511は、暗号化コンテンツデータを他の装置へ貸出すためのチェックアウト可能数を「0」に設定してチェックアウト情報を生成する(ステップS268)。
【0215】
図17を参照して、ステップS266またはステップS268の後、ライセンス管理モジュール511は、バインディング鍵Kbを生成し(ステップS270)、受理したライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、および再生制限情報ACp)およびチェックアウト情報をバインディング鍵Kbによって暗号化し、暗号化機密情報{トランザクションID//コンテンツID//ライセンス鍵Kc//アクセス制限情報ACm//再生制限情報ACp//チェックアウト情報}Kbを生成する(ステップS271)。そして、ライセンス管理モジュール511は、バインディングライセンス用のトランザクションIDb、コンテンツIDbを生成し、暗号化コンテンツデータを無期限に通常再生が可能な再生制限情報ACpbを割り当てる(ステップS272)。その後、アクセス制限情報ACmをアクセス制限情報ACmbとして複製し、再生回数制限を制限なし(=255)に変更する(ステップS273)。この時セキュリティフラグは、ライセンス管理モジュール511への配信であるため必ずソフトウエアによる管理可を示す「1」である。
【0216】
その後、ライセンス管理モジュール511は、バスBS2を介してライセンス管理デバイス520へ認証データの出力指示を与える(ステップS274)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224およびバスBS5を介して認証データの出力指示を受取る。そして、コントローラ5220は、バスBS5を介して認証データ保持部5200から認証データ{KPm7//Cm7}KPaを読出し、{KPm7//Cm7}KPaをバスBS5、インタフェース5224および端子5226を介して出力する(ステップS275)。
【0217】
ライセンス管理モジュール511は、ライセンス管理デバイス520からの認証データ{KPm7//Cm7}KPaに加えて、コンテンツID、ライセンス購入条件のデータAC、および配信リクエストを受信する(ステップS276)。
【0218】
ライセンス管理モジュール511では、ライセンス管理デバイス520からの認証データ{KPm7//Cm7}KPaを公開認証鍵KPaで復号処理を実行する(ステップS277)。そして、ライセンス管理モジュール511は、復号処理結果から、処理が正常に行なわれたか否か、すなわち、ライセンス管理デバイス520が正規のライセンス管デバイスからの公開暗号鍵KPm7と証明書Cm7とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS278)。正当な認証データであると判断された場合、ライセンス管理モジュール511は、公開暗号鍵KPm7および証明書Cm7を承認し、受理する。そして、次の処理(ステップS279)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm7および証明書Cm7を受理しないで処理を終了する(ステップS299k)。
【0219】
認証の結果、正規の機器であることが認識されると、ライセンス管理モジュール511は、次に、ライセンス管理デバイス520のクラス証明書Cm7が更新した最新の証明書失効リストCRLにリストアップされているかどうかをHDD530に照会し、これらのクラス証明書が更新した最新の証明書失効リストの対象になっている場合には、ここで配信セッションを終了する(ステップS299k)。
【0220】
一方、ライセンス管理デバイス520のクラス証明書が証明書失効リストの対象外である場合には次の処理に移行する(ステップS279)。
【0221】
認証の結果、正当な認証データを持つライセンス管理デバイスからのアクセスであり、クラスが証明書失効リストの対象外であることが確認されると、ライセンス管理モジュール511は、新たなセッションキーKs2aを生成する(ステップS280)。ライセンス管理モジュール511は、セッションキーKs2aを公開暗号鍵KPm7によって暗号化し、暗号化データ{Ks2a}Km7を生成し(ステップS281)、暗号化データ{Ks2a}Km7をバスBS2を介してライセンス管理デバイス520へ出力する(ステップS282)。そうすると、ライセンス管理デバイス520のコントローラ5220は、端子5226、否tフェース5224、およびバスBS5を介して暗号化データ{Ks2a}Km7を受信し、復号処理部5222は、暗号化データ{Ks2a}Km7を秘密復号鍵Km7によって復号してセッションキーKs2aを受理する(ステップS283)。
【0222】
図18を参照して、セッションキー発生部5218は、セッションキーKs2bを生成し(ステップS284)、コントローラ5220は、バスBS5を介してメモリ5215のCRL領域5215Aに記録されている証明書失効リストCRLから更新日時CRLdateを取得してバスBS5を介して切換スイッチ5246へ更新日時CRLdateを与える(ステップS285)。暗号処理部5206は、切換スイッチ5246を順次切換えることによって取得したセッションキーKs2b、公開暗号鍵KPmc8、および更新日時CRLdateを、復号処理部5222からのセッションキーKs2aによって暗号化して暗号化データ{Ks2b//KPmc8//CRLdate}Ks2aを生成し、コントローラ5220は、暗号化データ{Ks2b//KPmc8//CRLdate}Ks2aをバスBS5、インタフェース5224、および端子5226を介して出力する(ステップS286)。
【0223】
ライセンス管理モジュール511は、暗号化データ{Ks2b//KPmc8//CRLdate}Ks2aを受信し、セッションキーKs2aによって復号してセッションキーKs2b、公開暗号鍵KPmc8、および更新日時CRLdateを受理する(ステップS287)。そして、ライセンス管理モジュール511は、バインディングライセンス(トランザクションIDb、コンテンツIDb、バインディング鍵Kb、アクセス制限情報ACmb、および再生制限情報ACpb)を公開暗号鍵KPmc8によって暗号化して暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}KPmc8を生成する。
【0224】
その後、ライセンス管理モジュール511は、更新日時CRLdateに基づいてライセンス管理デバイス520のメモリ5215のCRL領域5215Aに記録されている証明書失効リストCRLが最新か否かを判断し、最新と判断されたとき、ステップS290へ移行する。また、最新でないときはステップS292へ移行する(ステップS289)。
【0225】
ライセンス管理デバイス520のメモリ5215のCRL領域5215Aに記録されている証明書失効リストCRLが最新と判断されたとき、ライセンス管理モジュール511は、暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}KPmc8をライセンス管理デバイス520において発生されたセッションキーKs2bによって暗号化を行い、暗号化データ{{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}KPmc8}Ks2bを生成してライセンス管理デバイス520へ出力する(ステップS290)。
【0226】
そして、ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して、暗号化データ{{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}KPmc8}Ks2bを受信し、復号処理部5212は、暗号化データ{{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}KPmc8}Ks2bをセッションキーKs2bによって復号して、暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}KPmc8を受理する(ステップS291)。その後、図19のステップS296へ移行する。
【0227】
一方、ステップS289において、ライセンス管理デバイス520のメモリ5215のCRL領域5215Aに記録されている証明書失効リストCRLが最新でないと判断されると、ライセンス管理モジュール511は、バスBS2を介してHDD530から最新の証明書失効リストCRLを取得し、差分データである差分CRLを生成する(ステップS292)。そして、ライセンス管理モジュール511は、HDD530からバスBS2を介して供給される証明書失効リストの差分CRLを受けて、暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8と証明書失効リストの差分CRLとをライセンス管理デバイス520において生成されたセッションキーKs2bによって暗号化して暗号化データ{差分CRL//{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8}Ks2bをライセンス管理デバイス520へ出力する(ステップS293)。
【0228】
ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して暗号化データ{差分CRL//{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8}Ks2bを受信し、復号処理部5212は、暗号化データ{差分CRL//{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8}Ks2bをセッションキーKs2bによって復号して差分CRLと暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8と受理する(ステップS294)。
【0229】
コントローラ5220は、メモリ5215のCRL領域5215Aに記録された証明書失効リストCRLを受理した差分CRLによって更新する(ステップS295)。ステップS290,S291は、ライセンス管理デバイス520のメモリ5215のCRL領域5215Aに記録されている証明書失効リストCRLが最新の場合のバインディングライセンスのライセンス管理デバイス520への送信動作であり、ステップS292,S293,S294,S295は、ライセンス管理デバイス520のメモリ5215のCRL領域5215Aに記録されている証明書失効リストCRL最新でない場合のバインディングライセンスのライセンス管理デバイス520への送信動作である。このように、ライセンス管理デバイス520から送られてきた証明書失効リストの更新日時CRLdateに基づいてメモリ5215のCRL領域5215Aに記録されている証明書失効リストCRL最新か否かを、逐一、確認し、最新でないとき、配信サーバ10から受取った差分CRLによって更新された最新の証明書失効リストCRLに送信する。
【0230】
図19を参照して、ステップS291またはステップS295の後、復号処理部5204は、Kmc保持部5202からの秘密復号鍵Kmc8によって暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8を復号し、トランザクションIDb、コンテンツIDb、バインディング鍵Kb、アクセス制限情報ACmb、および再生制限情報ACpbを受理する(ステップS296)。
【0231】
このように、ライセンス管理デバイスおよびライセンス管理モジュールでそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行うことができ、データ配信システムのセキュリティを向上させることができる。
【0232】
そうすると、ライセンス管理モジュール511は、バインディングライセンスを格納するためのエントリ番号をバスBS2を介してライセンス管理デバイス520に入力する(ステップS297)。ライセンス管理デバイス520のコントローラ5220は、端子5226,インタフェース5224、およびバスBS5を介してエントリ番号を受信し、その受信したエントリ番号によって指定されたメモリ5215のライセンス領域5215Bに受理したトランザクションIDb、コンテンツIDb、バインディング鍵Kb、アクセス制限情報ACmb、および再生制限情報ACpbを格納する(ステップS298)。
【0233】
そして、ライセンス管理モジュール511は、配信サーバ10から送られたトランザクションIDと、暗号化コンテンツデータの配信要求を配信サーバ10へ送信する(ステップS299)。
【0234】
配信サーバ10は、トランザクションIDおよび暗号化コンテンツデータの配信要求を受信し(ステップS299a)、情報データベース304より、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを取得して、これらのデータをバスBS1および通信装置350を介して出力する(ステップS299b)。
【0235】
ライセンス管理モジュール511は、{Dc}Kc//Dc−infを受信して、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを受理する(ステップS299c)。そして、ライセンス管理モジュール511は、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infをバスBS2を介してHDD530に記録する(ステップS299d)。また、ライセンス管理モジュール511は、バインディングライセンスのエントリ番号、暗号化機密情報、トランザクションIDおよびコンテンツIDを含む、記録した暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infに対するライセンス管理ファイルを生成し、バスBS2を介してライセンス管理デバイス520へライセンス管理ファイルを送信する(ステップS299e)。ライセンス管理デバイス520の制御部5220は、端子5226、インタフェース5224、およびバスBS5を介してライセンス管理ファイルを受信し、その受信したライセンス管理ファイルをメモリ5215の管理ファイル領域5215Cへ記録する(ステップS299f)。その後、ライセンス管理モジュール511は、HDD530に記録されているコンテンツリストファイルに受理したコンテンツの名称を追記し(ステップS299g)、トランザクションIDと配信受理を配信サーバ10へ送信する(ステップS299h)。
【0236】
配信サーバ10は、トランザクションID//配信受理を受信すると(ステップS299i)、課金データベース302への課金データの格納、およびトランザクションIDの配信記録データベース308への記録が行なわれて配信終了の処理が実行され(ステップS299j)、全体の処理が終了する(ステップS299k)。
【0237】
このように、ライセンス管理モジュール511は、配信サーバ10との間でソフトウエアによってデータのやり取りを行ない、暗号化コンテンツデータおよびライセンスをソフト的に配信サーバ10から受信する。また、受信した暗号化コンテンツデータをHDD530に記録し、ライセンスをバインディング鍵Kbによって暗号化して暗号化機密情報を作成してライセンス管理ファイルに格納する。そして、暗号化機密情報を復号するバインディング鍵Kbおよびライセンス管理ファイルは、ライセンス管理デバイス520に保持される。この場合、バインディング鍵Kbがないと、ライセンス管理モジュール511によって受信されたライセンスを得ることができない。したがって、バインディング鍵Kbは、実質的にはライセンス管理モジュール511によって受信されたライセンスを管理するものであり、そのバインディング鍵Kbは、ライセンス管理デバイス520によって取得されたライセンスと同じようにライセンス管理デバイス520に格納される。これによって、ライセンス管理モジュール511によって受信されたライセンスとライセンス管理デバイス520によって受信されたライセンスとを同じように管理することができる。
【0238】
なお、本発明の実施の形態においては、ライセンス管理モジュール511によって暗号化コンテンツデータおよびライセンスが受信されるごとに新たなバインディング鍵Kbが生成される。
【0239】
[リッピング]
次に、音楽データが記録された音楽CDからのリッピングによる暗号化コンテンツデータおよびライセンスの生成について説明する。
【0240】
図20〜23は、音楽CDからリッピングによって暗号化コンテンツデータおよびライセンスを生成するための第1〜第4のフローチャートである。
【0241】
図20を参照して、リッピング動作が開始されると、CD−ROMドライブ540が音楽CDから検出した音楽データに基づいてウォータマークの利用規則が検出される(ステップS700)。そして、検出されたウォータマークの利用規則に基づいて複製が可能か否かが判定される(ステップS701)。ウォータマークの利用規則に規則性が有る場合、ステップS702へ移行し、ウォータマークの利用規則に規則性がない場合、複製が禁止され、ステップS743へ移行してリッピング動作は終了する。装着されたCDにウォータマークが含まれていない場合、ステップS705へ移行する。
【0242】
ステップS701において、ウォータマークの利用規則に規則性があると判定された場合、音楽CDから音楽データが取込まれ、ライセンス管理モジュール511は、音楽データに含まれるウォータマークを複製条件を変更したウォータマークに付け替える(ステップS702)。すなわち、ウォータマークの利用規則が3回までの複製を許可している場合、複製回数を2回にしたウォータマークに付け替える。そして、ライセンス管理モジュール511は、利用規則した反映したアクセス制限情報ACmおよび再生制限情報ACpを生成する(ステップS703)。その後、ライセンス管理モジュール511は、利用規則を反映したチェックアウト可能数を含むチェックアウト情報を生成する(ステップS704)。
【0243】
一方、ステップS701において、ウォータマークが検出されず、利用規則が無いと判定された場合、ライセンス管理モジュール511は、ライセンス移動フラグを移動禁止(=0)し、かつ、再生回数を制限なし(=255)、セキュリティフラグをソフトウエアによる管理可(=1)とするアクセス制限情報ACmと、無期限に通常再生が可能な再生制限情報ACpとを割り当てる(ステップS705)。その後、ライセンス管理モジュール511は、初期値が3であるチェックアウト可能数を含むチェックアウト情報を生成する(ステップS706)。
【0244】
ステップS704またはS706の後、ライセンス管理モジュール511は、ライセンス鍵Kcを生成し(ステップS707)、トランザクションIDおよびコンテンツIDを生成し(ステップS708)、さらに、バインディング鍵Kbを生成する(ステップS709)。
【0245】
図21を参照して、ライセンス管理モジュール511は、生成したライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、再生制限情報ACm、および再生制限情報ACp)とチェックアウト情報とをバインディング鍵Kbによって暗号化して暗号化機密情報{トランザクションID//コンテンツID//ライセンス鍵Kc//アクセス制限情報ACm//再生制限情報ACp//チェックアウト情報}Kbを生成する(ステップS710)。そして、ライセンス管理モジュール511は、トランザクションIDbおよびコンテンツIDbを生成し、無期限に通常再生が可能な再生制限情報ACpbを割り当てる(ステップS711)。その後、ライセンス管理モジュール511は、アクセス制限情報ACmをアクセス制限情報ACmbとして複製し、再生回数制限を制限なし(=255)に変更する(ステップS712)。
【0246】
ライセンス管理モジュール511は、バスBS2を介してライセンス管理デバイス520へ認証データの出力指示を与える(ステップS712a)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224およびバスBS5を介して認証データの出力指示を受取る。そして、コントローラ5220は、バスBS5を介して認証データ保持部5200から認証データ{KPm7//Cm7}KPaを読出し、{KPm7//Cm7}KPaをバスBS5、インタフェース5224および端子5226を介して出力する(ステップS713)。
【0247】
ライセンス管理モジュール511は、ライセンス管理デバイス520からの認証データ{KPm7//Cm7}KPaに加えて、コンテンツID、ライセンス購入条件のデータAC、および配信リクエストを受信する(ステップS714)。
【0248】
ライセンス管理モジュール511では、ライセンス管理デバイス520からの認証データ{KPm7//Cm7}KPaを公開認証鍵KPaで復号処理を実行する(ステップS715)。そして、ライセンス管理モジュール511は、復号処理結果から、処理が正常に行なわれたか否か、すなわち、ライセンス管理デバイス520が正規のライセンス管デバイスからの公開暗号鍵KPm7と証明書Cm7とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS716)。正当な認証データであると判断された場合、ライセンス管理モジュール511は、公開暗号鍵KPm7および証明書Cm7を承認し、受理する。そして、次の処理(ステップS717)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm7および証明書Cm7を受理しないで処理を終了する(ステップS743)。
【0249】
認証の結果、正規の機器であることが認識されると、ライセンス管理モジュール511は、次に、ライセンス管理デバイス520のクラス証明書Cm7が証明書失効リストCRLにリストアップされているかどうかをHDD530に照会し、これらのクラス証明書が証明書失効リストの対象になっている場合には、ここでリッピングを終了する(ステップS743)。
【0250】
一方、ライセンス管理デバイス520のクラス証明書が証明書失効リストの対象外である場合には次の処理に移行する(ステップS717)。
【0251】
認証の結果、正当な認証データを持つライセンス管理デバイスからのアクセスであり、クラスが証明書失効リストの対象外であることが確認されると、ライセンス管理モジュール511は、新たなセッションキーKs2を生成する(ステップS718)。ライセンス管理モジュール511は、セッションキーKs2を公開暗号鍵KPm7によって暗号化し、暗号化データ{Ks2}Km7を生成し(ステップS719)、暗号化データ{Ks2}Km7をバスBS2を介してライセンス管理デバイス520へ出力する(ステップS720)。そうすると、ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して暗号化データ{Ks2}Km7を受信し、復号処理部5222は、暗号化データ{Ks2}Km7を秘密復号鍵Km7によって復号してセッションキーKs2を受理する(ステップS721)。
【0252】
図22を参照して、セッションキー発生部5218は、セッションキーKs2aを生成し(ステップS722)、コントローラ5220は、バスBS5を介してメモリ5215のCRL領域5215Aから証明書失効リストCRLの更新日時CRLdateを取得してバスBS5を介して切換スイッチ5246へ更新日時CRLdateを与える(ステップS723)。暗号処理部5206は、切換スイッチ5246を順次切換えることによって取得したセッションキーKs2a、公開暗号鍵KPmc8、および更新日時CRLdateを、復号処理部5222からのセッションキーKs2によって暗号化して暗号化データ{Ks2a//KPmc8//CRLdate}Ks2を生成し、コントローラ5220は、暗号化データ{Ks2a//KPmc8//CRLdate}Ks2をバスBS5、インタフェース5224、および端子5226を介して出力する(ステップS724)。
【0253】
ライセンス管理モジュール511は、暗号化データ{Ks2a//KPmc8//CRLdate}Ks2を受信し、セッションキーKs2によって復号してセッションキーKs2a、公開暗号鍵KPmc8、および更新日時CRLdateを受理する(ステップS725)。そして、ライセンス管理モジュール511は、バインディングライセンス(トランザクションIDb、コンテンツIDb、バインディング鍵Kb、アクセス制限情報ACmb、および再生制限情報ACpb)を公開暗号鍵KPmc8によって暗号化して暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8を生成する(ステップS726)。
【0254】
その後、ライセンス管理モジュール511は、更新日時CRLdateに基づいてライセンス管理デバイス520のメモリ5215のCRL領域5215Aに格納されている証明書失効リストが最新か否かを判断し、最新と判断されたとき、ステップS728へ移行する。また、証明書失効リストが最新でないときはステップS730へ移行する(ステップS727)。
【0255】
証明書失効リストが最新と判断されたとき、ライセンス管理モジュール511は、暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8をライセンス管理デバイス520において発生されたセッションキーKs2aによって暗号化を行い、暗号化データ{{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8}Ks2aを生成してライセンス管理デバイス520へ出力する(ステップS728)。
【0256】
そして、ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して、暗号化データ{{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8}Ks2aを受信し、復号処理部5212は、暗号化データ{{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8}Ks2aをセッションキーKs2aによって復号して、暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8を受理する(ステップS729)。その後、図23のステップS734へ移行する。
【0257】
一方、ステップS727において、証明書失効リストが最新でないと判断されると、ライセンス管理モジュール511は、バスBS2を介してHDD530から最新の証明書失効リストCRLを取得し、差分データである差分CRLを生成する(ステップS730)。そして、ライセンス管理モジュール511は、HDD530からバスBS2を介して供給される証明書失効リストの差分CRLを受けて、暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8と証明書失効リストの差分CRLとをライセンス管理デバイス520において生成されたセッションキーKs2aによって暗号化して暗号化データ{差分CRL//{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8}Ks2aをライセンス管理デバイス520へ出力する(ステップS731)。
【0258】
ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して暗号化データ{差分CRL//{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8}Ks2aを受信し、復号処理部5212は、暗号化データ{差分CRL//{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8}Ks2aをセッションキーKs2aによって復号して差分CRLと暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8と受理する(ステップS732)。
【0259】
図23を参照して、ステップS729またはステップS733の後、復号処理部5204は、Kmc保持部5202からの秘密復号鍵Kmc8によって暗号化データ{トランザクションIDb//コンテンツIDb//Kb//ACmb//ACpb}Kmc8を復号し、トランザクションIDb、コンテンツIDb、バインディング鍵Kb、アクセス制限情報ACmb、および再生制限情報ACpbを受理する(ステップS734)。
【0260】
そうすると、ライセンス管理モジュール511は、バインディングライセンスを格納するためのエントリ番号をバスBS2を介してライセンス管理デバイス520に入力する(ステップS735)。ライセンス管理デバイス520のコントローラ5220は、端子5226,インタフェース5224、およびバスBS5を介してエントリ番号を受信し、その受信したエントリ番号によって指定されたメモリ5215のライセンス領域5215Bに受理したトランザクションIDb、コンテンツIDb、バインディング鍵Kb、アクセス制限情報ACmb、および再生制限情報ACpbを格納する(ステップS736)。
【0261】
そして、ライセンス管理モジュール511は、音楽CDから取得した音楽データを所定の方式に符号化してコンテンツデータDcを生成し(ステップS737)、コンテンツデータをライセンス鍵Kcによって暗号化して暗号化コンテンツデータ{Dc}Kcを生成する(ステップS738)。その後、ライセンス管理モジュール511は、キーボード560を介して入力されたユーザからの情報、および音楽CDからの情報に基づいて、コンテンツデータの付加情報Dc−infを生成し(ステップS739)、暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとをバスBS2を介してHDD530に記録する(ステップS739a)。
【0262】
そうすると、ライセンス管理モジュール511は、生成したライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、および再生制限情報ACp)とステップS704またはステップS706において生成されたチャックアウト情報とをバインディング鍵Kbによって暗号化した暗号化機密情報を生成する(ステップS740)。そして、ライセンス管理モジュール511は、暗号化機密情報および平文のトランザクションIDおよびコンテンツIDを含む、記録した暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとに対するライセンス管理ファイルを作成し、ライセンス管理デバイス520へライセンス管理ファイルを送信する(S741)。ライセンス管理デバイス520の制御部5220は、端子5226、インタフェース5224、およびバスBS5を介してライセンス管理ファイルを受信し、その受信したライセンス管理ファイルをメモリ5215の管理ファイル領域5215Cへ記録する(ステップS741a)。その後、ライセンス管理モジュール511は、HDD530に記録されているコンテンツリストファイルに受理したコンテンツの名称を追記し(ステップS742)、全体の処理が終了する(ステップS743)。
【0263】
このように音楽CDからリッピングによっても暗号化コンテンツデータとライセンスとを取得できる。そして、音楽CDからのリッピングによって取得された暗号化コンテンツデータおよびライセンスは、ライセンス管理モジュール511によって取得された暗号化コンテンツデータおよびライセンスと同じ方式によって管理される。
【0264】
図14、図15、図16,図17、図18および図19に示される配信2のフローチャートにおけるライセンス管理デバイス520にバインディングライセンスを格納するステップS274からステップS298に至る処理と、図20、図21、図22および図23に示されるリッピングのフローチャートにおけるステップS712a〜ステップS739に至る処理は同一の処理である。
【0265】
図24を参照して、パーソナルコンピュータ50のライセンス管理モジュール511またはライセンス管理デバイス520によって受信された暗号化コンテンツデータおよびライセンスの管理について説明する。パーソナルコンピュータ50のHDD530は、コンテンツリストファイル150とコンテンツファイル1531〜153nとを含む。
【0266】
コンテンツリストファイル150は、所有するコンテンツの一覧形式のデータファイルであり、個々のコンテンツに対する情報(楽曲名、アーティスト名など)と、コンテンツファイル1531〜153nとライセンス管理ファイル1521〜152nとを示す情報(ファイル名)などが含まれる。個々のコンテンツに対する情報は、受信時に付加情報Data−infから必要な情報を取得して自動的に、あるいは、ユーザの指示によって記載される。また、コンテンツファイルのみ、またはライセンス管理ファイルのみの再生できないコンテンツについても一覧の中で管理することが可能である。
【0267】
コンテンツファイル1531〜153nは、ライセンス管理モジュール511またはライセンス管理デバイス520によって受信された暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとを記録するファイルであり、コンテンツごとに設けられる。
【0268】
また、ライセンス管理デバイス520のメモリ5215は、配信1にて取得したライセンスおよびバインディングライセンスを含むライセンス領域5215Bと、ライセンス管理ファイル1521〜152nを含む管理ファイル領域5215Cを含む。
【0269】
ライセンス管理ファイル1521〜152nは、それぞれコンテンツファイル1531〜153nに1対1で対応していて、ライセンス管理モジュール511またはライセンス管理デバイス520によって受信されたライセンスを管理するためのファイルである。これまでの説明でも明らかなように、ライセンスは通常参照することができないが、ライセンス鍵Kcを除く他の情報は、ユーザが書き換えることさえできなければ著作権保護の点では問題ない。しかし、運用においてライセンス鍵Kcと分離して管理することはセキュリティの低下につながるため好ましくない。そこで、ライセンス配信を受ける場合に平文にて参照できるトランザクションID、コンテンツIDや、ライセンス購入条件ACから容易に判断できるアクセス制御情報ACmおよび再生制御情報ACpにて制限されている事項の写しを平文にて記録する。さらに、ライセンス管理デバイス520にライセンスが記録された場合にはエントリ番号を、ライセンス管理モジュール511の管理下にあるライセンスについては機密情報(ライセンスとチックアウト情報)を記録する。機密情報は、ライセンス管理モジュール511で生成されたバインディング鍵によって受信したライセンスとチェックアウト情報とを暗号化したものである。
【0270】
ライセンス管理ファイル1521,1522,1524、151nは、それぞれ、エントリ番号0,1,2,mを含む。これは、ライセンス管理デバイス520によって受信され、ライセンス管理デバイス520のメモリ5215のライセンス領域5215Bにおいて管理されるライセンス(ライセンスID、ライセンス鍵Kc、アクセス制限情報ACmおよび再生期限ACm)の管理領域を指定する番号である。
【0271】
したがって、コンテンツリストファイル1531に記録された暗号化コンテンツデータを再生端末100に装着されたメモリカード110へ移動させるとき、移動させる暗号化コンテンツデータの名称をコンテンツリストファイル150において特定し、その特定した名称に対応するコンテンツファイルのファイル名とライセンス管理ファイルのファイル名とを抽出する。そして、コンテンツファイル1531〜153nを検索してコンテンツファイル1531を抽出し、移動させる暗号化コンテンツデータをコンテンツファイル1531から読出す。
【0272】
一方、コンテンツファイル1531に対応するライセンス管理ファイルのファイル名はライセンス管理デバイス520へ入力され、その入力されたファイル名に基づいて管理ファイル領域5215Cからライセンス管理ファイル1521が読出される。そして、ライセンス管理ファイル1521に格納されたエントリ番号「0」が読出され、その読出されたエントリ番号「0」に基づいて、エントリ番号「0」によって指定された領域に記録されたライセンスが読出される。これによって、移動させる暗号化コンテンツデータを復号するためのライセンスがライセンス管理デバイス520から読出される。
【0273】
そして、ライセンスを移動した後、ライセンスの複製が禁止されているとき、メモリ5215のライセンス領域5215Bにおいて指定されたエントリ番号0内のライセンスは削除されるので、それに対応してライセンス管理ファイル1523のように「ライセンス無」が記録される。
【0274】
また、ライセンス管理モジュール511によって受信された暗号化コンテンツデータのライセンスを格納する機密情報は、ライセンス管理ファイル1522,152nによって管理される。ライセンス管理ファイル1522,152nは、ライセンス管理モジュール511によって受信した暗号化コンテンツデータを再生するためのライセンスをバインディング鍵によって暗号化した機密情報と、バインディングライセンスが格納された領域を指定するためのエントリ番号とを含む。
【0275】
そうすると、たとえば、コンテンツファイル1532に記録された暗号化コンテンツデータをパーソナルコンピュータ80へ移動させるとき、コンテンツリストファイル150において特定したファイル名に基づいてコンテンツファイル1531〜153nを検索してコンテンツファイル1532を抽出し、コンテンツファイル1532から暗号化コンテンツデータを読出す。また、コンテンツファイル1532に対応するライセンス管理ファイル1522のファイル名をライセンス管理デバイス520へ入力し、そのファイル名に基づいてライセンス管理ファイル1522を読出す。そして、ライセンス管理ファイル1522からエントリ番号「1」を取得し、その取得したエントリ番号「1」によって指定された領域に格納されたバインディング鍵Kbを取得し、その取得したバインディング鍵Kbによって機密情報を復号して平文のライセンスを取得する。したがって、ライセンス管理モジュール511によって取得された暗号化コンテンツデータのライセンスは、バインディング鍵Kbがないと取得できない。つまり、バインディング鍵Kbを含むバインディングライセンスは、ライセンス管理モジュール511によって取得されたライセンスを取得するためのライセンスであると考えられる。
【0276】
そうすると、ライセンス管理モジュール511によって取得された暗号化コンテンツデータのライセンスと、ライセンス管理デバイス520によって取得されたライセンスとは、同じようにライセンス管理デバイス520のメモリ5215のライセンス領域5215Bに格納される。
【0277】
なお、ライセンス管理モジュール511によって取得される暗号化コンテンツデータが複数あるときは、暗号化コンテンツデータおよびライセンスを取得するごとに新たなバインディングライセンスを生成する。
【0278】
[移動1]
図1に示すデータ配信システムにおいて、配信サーバ10からパーソナルコンピュータ50のライセンス管理デバイス520へ配信された暗号化コンテンツデータおよびライセンスを再生端末100に装着されたメモリカード110へ送信する動作について説明する。なお、この動作を「移動1」という。
【0279】
図25〜図28は、図1に示すデータ配信システムにおいて、ライセンス管理デバイス520が配信サーバ10から受信した暗号化コンテンツデータおよびライセンスを再生端末100に装着されたメモリカード110へ移動する移動動作を説明するための第1〜第4のフローチャートである。
【0280】
図25を参照して、パーソナルコンピュータ50のキーボード560から移動リクエストが入力されると(ステップS300)、コントローラ510は、認証データの送信要求aをUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末100へ送信する(ステップS302)。そうすると、再生端末100のコントローラ1106は、端子1114、USBインタフェース1112およびバスBS3を介して認証データの送信要求を受信し、バスBS3およびメモリカードインタフェース1200を介して認証データの送信要求をメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介して認証データの送信要求を受信する(ステップS304)。
【0281】
コントローラ1420は、認証データの送信要求aを受信すると、認証データ保持部1400から認証データ{KPm3//Cm3}KPaをバスBS4を介して読出し、その読出した認証データ{KPm3//Cm3}KPaをバスBS4、インタフェース1424および端子1426を介して再生端末100へ出力する。そして、再生端末100のコントローラ1106は、メモリカードインタフェース1200およびバスBS3を介して認証データ{KPm3//Cm3}KPaを受取り、バスBS3、USBインタフェース1112、端子1114およびUSBケーブル70を介してパーソナルコンピュータ50へ認証データ{KPm3//Cm3}KPaを送信する(ステップS306)。
【0282】
そうすると、パーソナルコンピュータ50のコントローラ510は、端子580およびUSBインタフェース550を介して認証データ{KPm3//Cm3}KPaを受信し(ステップS308)、その受信した認証データ{KPm3//Cm3}KPaをバスBS2を介してライセンス管理デバイス520へ送信する。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して認証データ{KPm3//Cm3}KPaを受信し、その受信した認証データ{KPm3//Cm3}KPaを復号処理部5208へ与える。認証処理部5208は、KPa保持部5214からの認証鍵KPaによって認証データ{KPm3//Cm3}KPaの復号処理を実行する(ステップS310)。コントローラ5220は、復号処理部5208における復号処理結果から、処理が正常に行なわれたか否か、すなわち、メモリカード110が正規のメモリカードからの公開暗号鍵KPm3と証明書Cm3とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS312)。正当な認証データであると判断された場合、コントローラ5220は、公開暗号鍵KPm3および証明書Cm3を承認し、受理する。そして、次の処理(ステップS314)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm3および証明書Cm3を受理しないで処理を終了する(ステップS404)。
【0283】
認証の結果、正規のメモリカードであることが認識されると、コントローラ5220は、次に、メモリカード110のクラス証明書Cm3が証明書失効リストCRLにリストアップされているかどうかをメモリ5215のCRL領域5215Aに照会し、これらのクラス証明書が証明書失効リストの対象になっている場合には、ここで移動動作を終了する(ステップS404)。
【0284】
一方、メモリカード110のクラス証明書が証明書失効リストの対象外である場合には次の処理に移行する(ステップS314)。
【0285】
認証の結果、正当な認証データを持つメモリカードを備える携帯電話機からのアクセスであり、クラスが証明書失効リストの対象外であることが確認されると、ライセンス管理デバイス520において、コントローラ5220は、移動を特定するための管理コードであるトランザクションIDをメモリ5215のライセンス領域5215Bから取得する(ステップS316)。そして、セッションキー発生部5218は、移動のためのセッションキーKs22を生成する(ステップS318)。セッションキーKs22は、復号処理部5208によって得られたメモリカード110に対応する公開暗号鍵KPm3によって、暗号処理部5210によって暗号化される(ステップS320)。コントローラ5220は、バスBS5を介して暗号化データ{Ks22}Km3を取得し、メモリ5215から取得したトランザクションIDを暗号化データ{Ks22}Km3に追加したトランザクションID//{Ks22}Km3をバスBS5、インタフェース5224および端子5226を介して出力する(ステップS322)。
【0286】
図26を参照して、パーソナルコンピュータ50のコントローラ510は、バスBS2を介してトランザクションID//{Ks22}Km3を受信し(ステップS324)、USBインタフェース550、端子580、およびUSBケーブル70を介してトランザクションID//{Ks22}Km3を再生端末100へ送信する(ステップS324)。そうすると、再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびBS3を介してトランザクションID//{Ks22}Km3を受信し、その受信したトランザクションID//{Ks22}Km3をメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介してトランザクションID//{Ks22}Km3を受信する(ステップS326)。復号処理部1422は、コントローラ1420からバスBS4を介して{Ks22}Km3を受取り、Km保持部1421からの秘密復号鍵Km3によって{Ks22}Km3を復号してセッションキーKs22を受理する(ステップS328)。そして、セッションキー発生部1418は、セッションキーKs2を生成し(ステップS330)、コントローラ1420は、バスBS4を介してメモリ1415のCRL領域1415Aから証明書失効リストCRLの更新日時CRLdateを取得し、その取得した更新日時CRLdateを切換スイッチ1446へ与える(ステップS332)。
【0287】
そうすると、暗号処理部1406は、切換スイッチ1446の端子を順次切換えることによって取得したセッションキーKs2、公開暗号鍵KPmc4および更新日時CRLdateを、復号処理部1404によって復号されたセッションキーKs22によって暗号化し、暗号化データ{Ks2//KPmc4//CRLdate}Ks22を生成する。コントローラ1420は、暗号化データ{Ks2//KPmc4//CRLdate}Ks22をバスBS4、インタフェース1424および端子1426を介して再生端末100へ出力し、再生端末100のコントローラ1106は、メモリカードインタフェース1200を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受取る。そして、コントローラ1106は、USBインタフェース1112、端子1114、およびUSBケーブル70を介してパーソナルコンピュータ50へ送信する(ステップS334)。
【0288】
パーソナルコンピュータ50のコントローラ510は、端子580およびUSBインタフェース550を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受信し(ステップS336)、バスBS2を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22をライセンス管理デバイス520へ入力する(ステップS338)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224およびバスBS5を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受信し、その受信した暗号化データ{Ks2//KPmc4//CRLdate}Ks22を復号処理部5212に与える。復号処理部5212は、セッションキー発生部5218からのセッションキーKs22によって暗号化データ{Ks2//KPmc4//CRLdate}Ks22を復号し、セッションキーKs2、公開暗号鍵KPmc4および更新日時リストCRLdateを受理する(ステップS340)。
【0289】
そうすると、コントローラ5220は、入力されたファイル名に基づいてライセンス管理ファイルを検索し、その検索したライセンス管理ファイルに含まれるライセンスのエントリ番号を管理ファイル領域5215Cから取得する(ステップS342)。そして、コントローラ5220は、取得したエントリ番号によって指定された領域からトランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、再生制限情報ACpを読出す(ステップS344)。
【0290】
アクセス制限情報ACmの受理に応じて、コントローラ5220は、アクセス制限情報ACmを確認する(ステップS346)。つまり、コントローラ5220は、取得したアクセス制限情報ACmに基づいて、再生端末100に装着されたメモリカード110へ移動しようとするライセンスがアクセス制限情報ACmによって、3つの項目を確認する。第1に移動フラグが移動可であることを確認する。移動フラグが移動禁止であれば移動できない。第2に移動先のセキュリティレベルがセキュリティフラグによって許可されたレベルであることを確認する。ステップS312にて受理した証明書Cm3に基づいて、ライセンスの移動先においてライセンスがハードウエアにて管理されるか、ソフトウェアにて管理されるかが証明書Cm3の内容を確認することで特定でき、アクセス制限情報ACm内のセキュリティフラグと比較することでライセンスの移動先となり得るかを決定する。第3に暗号化コンテンツデータの再生ができないライセンスになっていないこと、すなわち、再生回数がアクセス制限情報ACmの制限回数に達している場合、暗号化コンテンツデータをライセンスによって再生することができず、その暗号化コンテンツデータとライセンスとを再生端末100に装着されたメモリカード110へ移動する意味がないからである。以上の3つの項目を満たしたときライセンスが移動可能であると判断しステップS348移行する。
【0291】
また、ステップS346において、上述した3つの項目のうち一つでも満たされない場合、ステップS404へ移行し、移動動作は終了する。
【0292】
図27を参照して、暗号処理部5217は、復号処理部5212によって得られたライセンス管理デバイス520固有の公開暗号鍵KPmc4によってライセンスを暗号化して暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4を生成する(ステップS348)。そして、メモリカード110から送信された証明書失効リストの更新日時CRLdateとメモリ5215のCRL領域5215Aに格納されている証明書失効リストCRLから更新日時を取得し、いずれの証明書失効リストCRLが新しいか比較し、メモリ5215のCRL領域5215Aに格納されている証明書失効リストCRLとメモリカード110に格納される証明書失効リストCRLの新旧を判断する。メモリカード110に格納される証明書失効リストCRLの方が新しい、または同じであるとき、ステップS350へ移行する。また、逆に、メモリカード110に格納される証明書失効リストCRLの方が古いときはステップS362へ移行する(ステップS350)。
【0293】
メモリカード110に格納される証明書失効リストCRLの方が新しい、または同じであると判断されたとき、暗号処理部5206は、暗号処理部5217から出力された暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4をセッションキー発生部5218において発生されたセッションキーKs2によって暗号化を行い、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をバスBS5に出力する。そして、コントローラ5220は、バスBS5上の暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をインタフェース5224および端子5226を介してパーソナルコンピュータ50へ送信する(ステップS352)。そして、コントローラ5220は、メモリ5215のライセンス領域5215Bにおいて指定されたエントリ番号内のライセンスを削除する(ステップS354)。
【0294】
パーソナルコンピュータ50のコントローラ510は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受取り、USBインタフェース550、端子580、およびUSBケーブル70を介して再生端末100へ送信する(ステップS356)。
【0295】
再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受信し、その受信した暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、端子1424、およびバスBS4を介して暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受信する(ステップS358)。
【0296】
メモリカード110の復号処理部1412は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をバスBS4を介して受取り、セッションキー発生部1418によって発生されたセッションキーKs2によって復号し、{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4を受理する(ステップS360)。その後、図28に示すステップS376へ移行する。
【0297】
一方、ステップS350において、メモリカード110に格納される証明書失効リストCRLの方が古いと判断されると、ライセンス管理デバイス520のコントローラ5220は、バスBS5を介してメモリ5215のCRL領域5215Aから最新の証明書失効リストのデータCRLを取得する(ステップS362)。
【0298】
暗号処理部5206は、暗号処理部5217の出力と、コントローラ5220がバスBS5を介してメモリ5215から取得した証明書失効リストのデータCRLとを、それぞれ、切換スイッチ5242および5246を介して受取り、セッションキー発生部5218において生成されたセッションキーKs2によって暗号化する。暗号処理部5206より出力された暗号化データ{CRL//{トランザクションID//コンテンツID/インタフェース5224、および端子5226を介してパーソナルコンピュータ50に出力される(ステップS364)。そして、コントローラ5220は、メモリ5215のライセンス領域5215Bにおける指定されたエントリ番号内のライセンスを削除する(ステップS366)。
【0299】
パーソナルコンピュータ50のコントローラ510は、出力された暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受信し、USBインタフェース550、端子580、およびUSBケーブル70を介して暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を再生端末100へ送信する(ステップS368)。再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受取り、バスBS3およびメモリカードインタフェース1200を介して暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424、およびバスBS4を介して暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受信する(ステップS370)。
【0300】
メモリカード110において、復号処理部1412は、セッションキー発生部1418から与えられたセッションキーKs2を用いてバスBS4上の受信データを復号し、CRLと{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4とを受理する(ステップ372)。コントローラ1420は、復号処理部1412によって受理されたデータCRLをバスBS4を介して受取り、その受取ったデータCRLによってメモリ1415のCRL領域1415Aを書換える(ステップS374)。
【0301】
ステップS352,S354,S356,S358,S360は、メモリカード110に格納される証明書失効リストCRLの方がライセンス管理デバイス520に格納される証明書失効リストCRLより新しいか、同じである場合のライセンス鍵Kc等のメモリカード110への移動動作であり、ステップS362,S364,S366,S368,S370,S372,S374は、メモリカード110に格納される証明書失効リストCRLの方がライセンス管理デバイス520に格納される証明書失効リストCRLより古い場合のライセンス鍵Kc等のメモリカード110への移動動作である。このように、メモリカード110に格納されている証明書失効リストCRLは、逐一、確認され、更新されていないとき、より新しい証明書失効リストCRLに更新される。したがって、メモリカード110からライセンスの破られた他のメモリカード、ライセンス管理デバイスやライセンス管理モジュールおよびコンテンツ再生回路へのライセンスの出力を防止できる。
【0302】
図28を参照して、ステップS360またはステップS374の後、コントローラ1420の指示によって、暗号化ライセンス{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4は、復号処理部1404において、秘密復号鍵Kmc4によって復号され、ライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制限情報ACmおよび再生制限情報ACp)が受理される(ステップS376)。
【0303】
このように、ライセンス管理デバイスおよびメモリカードでそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行なうことができ、暗号化コンテンツデータおよびライセンスの移動動作におけるセキュリティを向上させることができる。
【0304】
パーソナルコンピュータ50のコントローラ510は、メモリカード110へ移動したライセンスを格納するためのエントリ番号を、USBインタフェース550、端子580、およびUSBケーブル70を介して再生端末100へ送信し、再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介してエントリ番号を受取り、バスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信する(ステップS378)。そうすると、メモリカード110のコントローラ1420は、端子1426およびインタフェース1424を介してエントリ番号を受取り、その受取ったエントリ番号によって指定されるメモリ1415のライセンス領域1415Bに、ステップS376において取得したライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制限情報ACmおよび再生制限情報ACp)を格納する(ステップS380)。
【0305】
パーソナルコンピュータ50のコントローラ510は、メモリカード110のメモリ1415に格納されたライセンスのエントリ番号と、平文のトランザクションIDおよびコンテンツIDを含むメモリカード110へ移動しようとする暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infに対するライセンス管理ファイルを生成し、メモリカード110へ送信する(ステップS382)。
【0306】
メモリカード110のコントローラ1420は、再生端末100を介してライセンス管理ファイルを受信し、メモリ1415のデータ領域1415Dに受信したライセンス管理ファイルを記録する(ステップS384)。
【0307】
そして、ライセンス管理デバイス520のコントローラ5220は、メモリ5215に記録されたライセンスのうち、メモリカード110へ移動したライセンスに対するライセンス管理ファイルをライセンス無に更新する(ステップS386)。その後、パーソナルコンピュータ50のコントローラ510は、メモリカード110へ移動しようとする暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとをHDD530から取得し、{Dc}Kc//Dc−infをメモリカード110へ送信する(ステップS390)。メモリカード110のコントローラ1420は、再生端末100を介して{Dc}Kc//Dc−infを受信し(ステップS392)、バスBS4を介して受信した{Dc}Kc//Dc−infをメモリ1415のデータ領域1415Dに記録する(ステップS394)。
【0308】
そうすると、パーソナルコンピュータ50のコントローラ510は、メモリカード110へ移動した楽曲を追記した再生リストを作成し(ステップS396)、再生リストと、再生リストの書換指示とをメモリカード110へ送信する(ステップS398)。メモリカード110のコントローラ1420は、再生端末100を介して再生リストと書換指示とを受信し(ステップS400)、バスBS4を介してメモリ1415の再生リストを受信した再生リストに書換え(ステップS402)、移動動作が終了する(ステップS404)。
【0309】
このようにして、再生端末100に装着されたメモリカード110が正規の機器であること、同時に、クラス証明書Cm3とともに暗号化して送信できた公開暗号鍵KPm3が有効であることを確認した上で、クラス証明書Cm3が証明書失効リスト、すなわち、公開暗号鍵KPm3による暗号化が破られたクラス証明書リストに記載されていないメモリカードへの移動要求に対してのみコンテンツデータを移動することができ、不正なメモリカードへの移動および解読されたクラス鍵を用いた移動を禁止することができる。また、この移動動作を用いることによって、配信サーバ10との通信機能を有さない携帯電話機102のユーザも、パーソナルコンピュータ50を介して暗号化コンテンツデータおよびライセンスをメモリカードに受信することができ、ユーザの利便性は向上する。
【0310】
なお、上記においては、パーソナルコンピュータ50のライセンス管理デバイス520からメモリカード110へのライセンスの移動について説明したが、メモリカード110からライセンス管理デバイス520へのライセンスの移動も、図25〜図28に示すフローチャートに従って行なわれる。また、メモリカード110から他のメモリカードへのライセンスの移動も可能であり、同様に、図25〜図28に示すフローチャートに従って行われる。
【0311】
パーソナルコンピュータ50が配信サーバ10から受信した暗号化コンテンツデータおよびライセンスをメモリカード110へ移動できるのでは、ライセンス管理デバイス520が配信サーバ10からハード的に受信した暗号化コンテンツデータおよびライセンスだけであり、ライセンス管理モジュール511が配信サーバ10からソフト的に受信した暗号化コンテンツデータおよびライセンスを「移動」という概念によってメモリカードへ送信することはできない。ライセンス管理モジュール511は、ライセンス管理デバイス520よりも低いセキュリティレベルによってソフト的に配信サーバ10との間で認証データおよび暗号鍵等のやり取りを行ない、暗号化コンテンツデータおよびライセンスを受信するので、その受信動作において暗号化が破られる可能性は、ライセンス管理デバイス520によって暗号化コンテンツデータおよびライセンスを受信する場合よりも高い。したがって、低いセキュリティレベルによって受信し、かつ、管理された暗号化コンテンツデータおよびライセンスを、ライセンス管理デバイス520と同じセキュリティレベルによって暗号化コンテンツデータおよびライセンスを受信して管理するメモリカード110へ「移動」という概念によって自由に移すことができるとすると、メモリカード110におけるセキュリティレベルが低下するので、これを防止するためにライセンス管理モジュール511によって受信した暗号化コンテンツデータおよびライセンスを「移動」という概念によってメモリカード110へ送信できなくしたものである。
【0312】
しかしながら、ライセンス管理モジュール511によって受信されたセキュリティレベルの低い暗号化コンテンツデータおよびライセンスを、一切、メモリカード110へ移すことができないとすると、著作権を保護しながらコンテンツデータの自由なコピーを許容するデータ配信システムの趣旨に反し、ユーザの利便性も向上しない。そこで、次に説明する貸出(チェックアウト)およびチェックイン(返却)の概念によってライセンス管理モジュール511によって受信したライセンスのチェックインを前提としてチェックアウトすることでメモリカード110へ送信できるようにした。
【0313】
[チェックアウト]
図1に示すデータ配信システムにおいて、配信サーバ10からパーソナルコンピュータ50のライセンス管理モジュール511へ配信された暗号化コンテンツデータおよびライセンスを再生端末100に装着されたメモリカード110に送信する動作について説明する。なお、この動作を「チェックアウト」という。
【0314】
図29〜図33は、図1に示すデータ配信システムにおいて、ライセンス管理モジュール511が配信サーバ10から受信した暗号化コンテンツデータおよびライセンスを、返却を条件として再生端末100に装着されたメモリカード110へ貸出すチェックアウト動作を説明するための第1〜第5のフローチャートである。
【0315】
図29を参照して、パーソナルコンピュータ50のキーボード560からチェックアウトリクエストが入力されると(ステップS500)、ライセンス管理モジュール511は、認証データ{KPm5//Cm5}KPaをバス2を介してライセンス管理デバイス520へ出力する(ステップS501)。ライセンス管理デバイス520では、ライセンス管理モジュール511から認証データ{KPm5//Cm5}KPaを受信し、復号処理部5208が公開認証鍵KPaによって認証データ{KPm5//Cm5}KPaを復号する(ステップS502)。
【0316】
コントローラ5220は、復号処理部5208における復号処理結果から、処理が正常に行なわれたか否か、すなわち、ライセンス管理モジュール511が正規のライセンス管モジュールからの公開暗号鍵KPm5と証明書Cm5とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS503)。正当な認証データであると判断された場合、コントローラ5220は、公開暗号鍵KPm5および証明書Cm5を承認し、受理する。そして、次の処理(ステップS504)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm5および証明書Cm5を受理しないで処理を終了する(ステップS561)。
【0317】
認証の結果、正規の機器であることが認識されると、コントローラ5220は、次に、ライセンス管理モジュール511のクラス証明書Cm5が証明書失効リストCRLにリストアップされているかどうかをメモリ5215のCRL領域5215Aに照会し、これらのクラス証明書が証明書失効リストの対象になっている場合には、ここで配信セッションを終了する(ステップS561)。
【0318】
一方、ライセンス管理モジュール511のクラス証明書が証明書失効リストの対象外である場合には次の処理に移行する(ステップS504)。
【0319】
認証の結果、正当な認証データを持つライセンス管理デバイスを備えるライセンス管理モジュール511からのアクセスであり、クラスが証明書失効リストの対象外であることが確認されると、ライセンス管理デバイス520において、セッションキー発生部5208は、セッションキーKs2を生成し(ステップS505)、暗号処理部5210は、セッションキーKs2を公開暗号鍵KPm5によって暗号化して暗号化データ{Ks2}Km5を出力する(ステップS506)。
【0320】
コントローラ5220は、暗号化データ{Ks2}Km5をバスBS5、インタフェース5224、および端子5226を介して出力し、ライセンス管理モジュール511は、バスBS2を介して暗号化データ{Ks2}Km5を受信し、秘密復号鍵Km5によって暗号化データ{Ks2}Km5を復号してセッションキーKs2を受理する(ステップS507)。そして、ライセンス管理モジュール511は、セッションキーKs2aを生成し(ステップS508)、セッションキーKs2aをセッションキーKs2によって暗号化して暗号化データ{Ks2a}Ks2をバスBS2を介してライセンス管理デバイス520へ出力する(ステップS509)。
【0321】
ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して暗号化データ{Ks2b}Ks2aを受け、復号処理部5212は、セッションキー発生部5208から出力されるセッションキーKs2によって暗号化データ{Ks2a}Ks2を復号してセッションキーKs2aを受理する(ステップS510)。そうすると、コントローラ5220は、メモリ5215に記録されたライセンス管理ファイルから、バインディングライセンスが格納されている領域を特定するためのエントリ番号を取得する(ステップS511)。
【0322】
図30を参照して、ライセンス管理デバイス520のコントローラ5220は、取得したエントリ番号によって指定されている領域に格納されているバインディングライセンス(トランザクションIDb、コンテンツIDb、バインディング鍵Kb、および制御情報ACmb,ACpb)を取得する(ステップS512)。図24におけるライセンス管理ファイル1522に格納された機密情報内のライセンスをチェックアウトする場合には、エントリ番号は「1」である。そして、コントローラ5220は、制御情報ACmbに基づいてバインディングライセンス内のバインディング鍵Kbを出力するか否かを判別する。すなわち、制御情報ACmbに含まれるセキュリティフラグと回数制限を確認する。ここでは、バインディングライセンスの生成時に、セキュリティフラグは、低いセキュリティレベルを示す「1」、再生制限を無制限としているため、必ず、出力可能であると判断され、ステップS561へ移行することはなく、ステップS514へ移行する(ステップS513)。
【0323】
しかしながら、誤って配信サーバ10からライセンス管理デバイス520に対して配信された高いセキュリティレベルを要求するライセンスにアクセスすると、ステップS503によって取得された証明書Cm5によって、ライセンスの出力は禁止される。
【0324】
ステップS513において、バインディングライセンスが出力可能と判断されると、暗号処理部5206は、切換スイッチ5246を介して取得したバインディング鍵Kbおよび制御情報ACpbを、復号処理部5212によって復号され、スイッチ5242を介して取得したセッションキーKs2aによって暗号化して暗号化データ{Kb//ACpb}Ks2aを出力する(ステップS514)。コントローラ5220は、暗号化データ{Kb//ACpb}Ks2aをバスBS5、インタフェース5224、および端子5226を介して出力し、ライセンス管理モジュール511は、バスBS2を介して暗号化データ{Kb//ACpb}Ks2aを受信し、セッションキーKs2aによって暗号化データ{Kb//ACpb}Ks2aを復号してバインディング鍵Kbおよび制御情報ACpbを取得する(ステップS515)。そして、ライセンス管理モジュール511は、バスBS2を介してライセンス管理デバイス520の管理ファイル領域5215Cに格納されているチェックアウトさせるライセンスを含むライセンス管理ファイルから機密情報を取得し、その取得した機密情報をバインディング鍵Kbによって復号してライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、再生制限情報ACp)とチェックアウト情報(チェックアウト可能数と、すでにチェックアウトを行っていれば、チェックアウトした数のチェックアウト時に使用したチェックアウト用トランザクションIDおよびチェックアウト先のメモリカードに固有の公開暗号鍵KPmcx)を取得する(ステップS516)。
【0325】
そうすると、ライセンス管理モジュール511は、取得したチェックアウト情報に含まれるチェックアウト可能数が「0」よりも大きいか否かを確認する(ステップS519)。ステップS519において、チェックアウト可能数が「0」以下であれば、チェックアウトが禁止されているので、ステップS561へ移行し、チェックアウト動作は終了する。ステップS519において、チェックアウト可能数が「0」よりも大きいとき、ライセンス管理モジュール511は、USBインタフェース550、端子580、およびUSBケーブル70を介して認証データの送信要求を送信する(ステップS520)。再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して認証データの送信要求を受信し、その受信した認証データの送信要求をバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介して認証データの送信要求を受信する(ステップS521)。
【0326】
コントローラ1420は、認証データの送信要求を受信すると、認証データ保持部1400から認証データ{KPm3//Cm3}KPaをバスBS4を介して読出し、その読出した認証データ{KPm3//Cm3}KPaをバスBS4、インタフェース1424および端子1426を介して再生端末100へ出力する。そして、再生端末100のコントローラ1106は、メモリカードインタフェース1200およびバスBS3を介して認証データ{KPm3//Cm3}KPaを受取り、バスBS3、USBインタフェース1112、端子1114およびUSBケーブル70を介してパーソナルコンピュータ50へ認証データ{KPm3//Cm3}KPaを送信する(ステップS522)。
【0327】
そうすると、パーソナルコンピュータ50のライセンス管理モジュール511は、端子580およびUSBインタフェース550を介して認証データ{KPm3//Cm3}KPaを受信し(ステップS523)、その受信した認証データ{KPm3//Cm3}KPaを認証鍵KPaによって復号する(ステップS524)。
【0328】
図31を参照して、ライセンス管理モジュール511は、復号処理結果から、処理が正常に行なわれたか否か、すなわち、メモリカード110が正規のメモリカードからの公開暗号鍵KPm3と証明書Cm3とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS525)。正当な認証データであると判断された場合、ライセンス管理モジュール511は、公開暗号鍵KPm3および証明書Cm3を承認し、受理する。そして、次の処理(ステップS526)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm3および証明書Cm3を受理しないで処理を終了する(ステップS561)。
【0329】
認証の結果、正規のメモリカードであることが認識されると、ライセンス管理モジュール511は、次に、メモリカード110のクラス証明書Cm3が証明書失効リストCRLにリストアップされているかどうかをHDD530に照会し、これらのクラス証明書が証明書失効リストの対象になっている場合には、ここでチェックアウト動作を終了する(ステップS561)。一方、メモリカード110のクラス証明書が証明書失効リストの対象外である場合には次の処理に移行する(ステップS526)。
【0330】
認証の結果、正当な認証データを持つメモリカードを備える携帯電話機からのアクセスであり、クラスが証明書失効リストの対象外であることが確認されると、ライセンス管理モジュール511は、チェックアウトを特定するための管理コードであるチェックアウト用トランザクションIDを生成する(ステップS527)。そして、ライセンス管理モジュール511は、チェックアウトのためのセッションキーKs2bを生成し(ステップS528)、メモリカード110から送信された公開暗号鍵KPm3によって、生成したセッションキーKs2bを暗号化する(ステップS529)。そして、ライセンス管理モジュール511は、暗号化データ{Ks2b}Km3にチェックアウト用トランザクションIDを追加したチェックアウト用トランザクションID//{Ks2b}Km3をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末100へ送信する(ステップS530)。そうすると、再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介してチェックアウト用トランザクションID//{Ks2b}Km3を受信し、その受信したチェックアウト用トランザクションID//{Ks2b}Km3をメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介してチェックアウト用トランザクションID//{Ks2b}Km3を受信する(ステップS531)。復号処理部1422は、コントローラ1420からバスBS4を介して{Ks2b}Km3を受取り、Km保持部1421からの秘密復号鍵Km3によって{Ks2b}Km3を復号してセッションキーKs2bを受理する(ステップS532)。そして、セッションキー発生部1418は、セッションキーKs2cを生成し(ステップS533)、コントローラ1420は、バスBS4を介してメモリ1415のCRL領域1415Aから証明書失効リストCRLの更新日時CRLdateを取得し、その取得した更新日時CRLdateを切換スイッチ1446へ与える(ステップS534)。
【0331】
そうすると、暗号処理部1406は、切換スイッチ1446の端子を順次切換えることによって取得したセッションキーKs2c、公開暗号鍵KPmc4および更新日時CRLdateを、復号処理部1404によって復号されたセッションキーKs2bによって暗号化し、暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bを生成する。コントローラ1420は、暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bをバスBS4、インタフェース1424および端子1426を介して再生端末100へ出力し、再生端末100のコントローラ1106は、メモリカードインタフェース1200を介して暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bを受取る。そして、コントローラ1106は、USBインタフェース1112、端子1114、およびUSBケーブル70を介してパーソナルコンピュータ50へ送信する(ステップS535)。
【0332】
パーソナルコンピュータ50のライセンス管理モジュール511は、端子580およびUSBインタフェース550を介して暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bを受信し(ステップS536)、その受信した暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bをセッションキーKs2bによって復号し、セッションキーKs2c、公開暗号鍵KPmc4および更新日時CRLdateを受理する(ステップS537)。そして、ライセンス管理モジュール511は、再生端末100に装着されたメモリカードから他のメモリカード等へライセンスの移動を禁止するために移動フラグが移動禁止(=1)のチェックアウト用アクセス制限情報ACmを生成する(ステップS538)。再生回数は制限なし(=255)、セキュリティフラグはソフトウェア管理(=1)である。
【0333】
図32を参照して、ライセンス管理モジュール511は、ステップS537において受信したメモリカード110に固有の公開暗号鍵KPmc4によってライセンスを暗号化して暗号化データ{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4を生成する(ステップS539)。そして、メモリカード110から送信された証明書失効リストの更新日時CRLdateとライセンス管理モジュール511が管理するHDD530に記録されている証明書失効リストの更新日時を比較して、メモリカード110に格納される証明書失効リストCRLおよびライセンス管理モジュール511が管理する証明書失効リストCRLのいずれが新しいかが判断され、メモリカード110に格納された証明書失効リストCRLが新しいと判断されたとき、ステップS541へ移行する。また、ライセンス管理モジュール511が管理する証明書失効リストCRLが新しいときはステップS544へ移行する(ステップS540)。
【0334】
メモリカード110に格納された証明書失効リストCRLが新しいと判断されたとき、ライセンス管理モジュール511は、暗号化データ{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4をセッションキーKs2cによって暗号化を行い、暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2cをUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末100へ送信する(ステップS541)。
【0335】
再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2cを受信し、その受信した暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2cをバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、端子1424、およびバスBS4を介して暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2cを受信する(ステップS542)。
【0336】
メモリカード110の復号処理部1412は、暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2cをバスBS4を介して受取り、セッションキー発生部1418によって発生されたセッションキーKs2cによって復号し、{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4を受理する(ステップS543)。その後、図33に示すステップS549へ移行する。
【0337】
一方、ステップS540において、ライセンス管理モジュール511が管理する証明書失効リストCRLが新しいと判断されると、ライセンス管理モジュール511は、HDD530からライセンス管理モジュール用の最新の証明書失効リストCRLを取得する(ステップS544)。
【0338】
そして、ライセンス管理モジュール511は、{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4と、HDD530から取得した証明書失効リストのデータCRLとをセッションキーKs2cによって暗号化し、その暗号化データ{CRL//{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2cをUSBインタフェース550、端子580およびUSBケーブル70を介して再生端末100へ送信する(ステップS545)。再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{CRL//{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2cを受信し、その受信した暗号化データ{CRL//{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2cをバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ出力する。そうすると、メモリカード110のコントローラ1420は、端子1426、インタフェース1424、およびバスBS4を介して暗号化データ{CRL//{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2cを受信する(ステップS546)。
【0339】
メモリカード110において、復号処理部1412は、セッションキー発生部1418から与えられたセッションキーKs2cを用いてバスBS4上の受信データを復号し、CRLと{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4とを受理する(ステップ547)。コントローラ1420は、復号処理部1412によって受理されたデータCRLをバスBS4を介して受取り、その受取ったデータCRLによってメモリ1415のCRL領域1415Aを書換える(ステップS548)。
【0340】
ステップS541,S542,S543は、メモリカード110に格納される証明書失効リストが、ライセンス管理モジュール511が管理する証明書失効リストCRLより新しいか同じである場合のライセンス鍵Kc等のメモリカード110へのチェックアウト動作であり、ステップS544,S545,S546,S547,S548は、メモリカード110に格納される証明書失効リストがライセンス管理モジュール511が管理する証明書失効リストCRLより古い場合のライセンス鍵Kc等のメモリカード110へのチェックアウト動作である。このように、メモリカード110から送られてきた証明書失効リストCRLは、逐一、確認され、より新しい証明書失効リストがライセンス管理モジュール511によって管理されているとき証明書失効リストCRLをHDD530から取得し、データCRLをメモリカード110に送信することによって、より新しい証明書失効リストCRLがメモリカードに格納される。このようにしてライセンスの破られた機器に対してメモリカード110に格納されているセンス鍵Kcの出力を防止できる。
【0341】
図33を参照して、ステップS543またはステップS548の後、コントローラ1420の指示によって、暗号化ライセンス{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4は、復号処理部1404において、秘密復号鍵Kmc4によって復号され、ライセンス(ライセンス鍵Kc、チェックアウト用トランザクションID、コンテンツID、チェックアウト用ACmおよび再生制限情報ACp)が受理される(ステップS549)。そして、コントローラ1420は、受理したチェックアウト用トランザクションID、コンテンツID、ライセンス鍵Kc、チェックアウト用ACmおよび再生制限情報ACpをバスBS4を介してメモリ1415のライセンス領域1415Bに記録する(ステップS550)。
【0342】
このように、ライセンス管理モジュールおよびメモリカードでそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行なうことができ、暗号化コンテンツデータおよびライセンスのチェックアウト動作におけるセキュリティを向上させることができる。
【0343】
パーソナルコンピュータ50のライセンス管理モジュール511は、チェックアウト可能数を1減算し(ステップS551)、チェックアウト可能数と、チェックアウト用トランザクションIDと、チェックアウト先のメモリカードに固有の公開暗号鍵KPmc4とを追加してチェックアウト情報を更新し、更新したチェックアウト情報と、ライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、および再生制限情報ACp)とをバインディング鍵Kbによって暗号して機密情報を更新する。そして、ライセンス管理モジュール511は、更新した機密情報をライセンス管理デバイス520へ送信する(ステップS552)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して、更新された機密情報を受信し、その受信した機密情報によってライセンス管理ファイル内の機密情報を更新記録する(ステップS553)。
【0344】
パーソナルコンピュータ50のライセンス管理モジュール511は、メモリカード110へチェックアウトしようとする暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとをHDD530から取得し、{Dc}Kc//Dc−infをメモリカード110へ送信する(ステップS554)。メモリカード110のコントローラ1420は、再生端末100を介して{Dc}Kc//Dc−infを受信し(ステップS555)、バスBS4を介して受信した{Dc}Kc//Dc−infをメモリ1415のデータ領域1415Dに記録する(ステップS556)。
【0345】
そうすると、パーソナルコンピュータ50のライセンス管理モジュール511は、メモリカード110へチェックアウトした楽曲を追記した再生リストを作成し(ステップS557)、再生リストと、再生リストの書換指示とをメモリカード110へ送信する(ステップS558)。メモリカード110のコントローラ1420は、再生端末100を介して再生リストと書換指示とを受信し(ステップS559)、バスBS4を介してメモリ1415の再生リストを受信した再生リストに書換え(ステップS560)、チェックアウト動作が終了する(ステップS561)。
【0346】
このようにして、再生端末100に装着されたメモリカード110が正規の機器であること、同時に、クラス証明書Cm3とともに暗号化して送信された公開暗号鍵KPm3が有効であることを確認した上で、クラス証明書Cm3が証明書失効リスト、すなわち、公開暗号鍵KPm3による暗号化が破られたクラス証明書リストに記載されていないメモリカードへのチェックアウト要求に対してのみコンテンツデータをチェックアウトすることができ、不正なメモリカードへのチェックアウトおよび解読されたクラス鍵を用いたチェックアウトを禁止することができる。また、チェックアウト先のメモリカード110から解読されたクラス鍵を持つコンテンツ再生回路へのライセンス鍵の提供を防ぐことができる。再生の詳細な説明は後述する。
【0347】
このチェックアウト動作を用いることによって、配信サーバ10との通信機能を有さない再生端末100のユーザも、パーソナルコンピュータ50がソフトウエアによって受信した暗号化コンテンツデータおよびライセンスをメモリカードに受信することができ、ユーザの利便性は向上する。
【0348】
[チェックイン]
図1に示すデータ配信システムにおいて、パーソナルコンピュータ50のライセンス管理モジュール511からメモリカード110へチェックアウトされた暗号化コンテンツデータおよびライセンスをライセンス管理モジュール511へ戻す動作について説明する。なお、この動作を「チェックイン」という。
【0349】
図34〜37は、図29〜33を参照して説明したチェックアウト動作によってメモリカード110へ貸出された暗号化コンテンツデータおよびライセンスを返却して貰うチェックイン動作を説明するための第1〜第4のフローチャートである。
【0350】
図34を参照して、パーソナルコンピュータ50のキーボード560からチェックインリクエストが入力されると(ステップS600)、ライセンス管理モジュール511は、認証データ{KPm5//Cm5}KPaをバス2を介してライセンス管理デバイス520へ出力する(ステップS601)。ライセンス管理デバイス520では、ライセンス管理モジュール511から認証データ{KPm5//Cm5}KPaを受信し、復号処理部5208が公開認証鍵KPaによって認証データ{KPm5//Cm5}KPaを復号する(ステップS602)。
【0351】
コントローラ5220は、復号処理部5208における復号処理結果から、処理が正常に行なわれたか否か、すなわち、ライセンス管理モジュール511が正規のライセンス管モジュールからの公開暗号鍵KPm5と証明書Cm5とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS603)。正当な認証データであると判断された場合、コントローラ5220は、公開暗号鍵KPm5および証明書Cm5を承認し、受理する。そして、次の処理(ステップS604)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm5および証明書Cm5を受理しないで処理を終了する(ステップS652)。
【0352】
認証の結果、正規の機器であることが認識されると、コントローラ5220は、次に、ライセンス管理モジュール511のクラス証明書Cm5が証明書失効リストCRLにリストアップされているかどうかをメモリ5215のCRL領域5215Aに照会し、これらのクラス証明書が証明書失効リストの対象になっている場合には、ここで配信セッションを終了する(ステップS652)。
【0353】
一方、ライセンス管理モジュール511のクラス証明書が証明書失効リストの対象外である場合には次の処理に移行する(ステップS604)。
【0354】
認証の結果、正当な認証データを持つライセンス管理デバイスを備えるライセンス管理モジュール511からのアクセスであり、クラスが証明書失効リストの対象外であることが確認されると、ライセンス管理デバイス520において、セッションキー発生部5208は、セッションキーKs2を生成し(ステップS605)、暗号処理部5210は、セッションキーKs2を公開暗号鍵KPm5によって暗号化して暗号化データ{Ks2}Km5を出力する(ステップS606)。
【0355】
コントローラ5220は、暗号化データ{Ks2}Km5をバスBS5、インタフェース5224、および端子5226を介して出力し、ライセンス管理モジュール511は、バスBS2を介して暗号化データ{Ks2}Km5を受信し、秘密復号鍵Km5によって暗号化データ{Ks2}Km5を復号してセッションキーKs2を受理する(ステップS607)。そして、ライセンス管理モジュール511は、セッションキーKs2aを生成し(ステップS608)、セッションキーKs2aをセッションキーKs2によって暗号化して暗号化データ{Ks2a}Ks2をバスBS2を介してライセンス管理デバイス520へ出力する(ステップS609)。
【0356】
ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して暗号化データ{Ks2b}Ks2aを受け、復号処理部5212は、セッションキー発生部5208から出力されるセッションキーKs2によって暗号化データ{Ks2a}Ks2を復号してセッションキーKs2aを受理する(ステップS610)。そして、コントローラ5220は、メモリ5215に記録されたライセンス管理ファイルから、バインディングライセンスが格納されている領域を特定するためのエントリ番号を取得する(ステップS611)。
【0357】
図35を参照して、ライセンス管理デバイス520のコントローラ5220は、取得したエントリ番号「0」によって指定されている領域に格納されているバインディングライセンス(トランザクションIDb、コンテンツIDb、バインディング鍵Kb、および制御情報ACmb,ACpb)を取得する(ステップS612)。そして、コントローラ5220は、制御情報ACmbに基づいてバインディングライセンスが有効か否かを判別し、有効でない場合、ステップS652へ移行し、配信セッションが終了する。一方、バインディングライセンスが有効な場合、ステップS614へ移行する(ステップS613)。
【0358】
ステップS613において、バインディングライセンスが有効と判断されると、暗号処理部5206は、切換スイッチ5246を介して取得したバインディング鍵Kbおよび制御情報ACpbを、復号処理部5212によって復号され、スイッチ5242を介して取得したセッションキーKs2aによって暗号化して暗号化データ{Kb//ACpb}Ks2aを出力する(ステップS614)。コントローラ5220は、暗号化データ{Kb//ACpb}Ks2aをバスBS5、インタフェース5224、および端子5226を介して出力し、ライセンス管理モジュール511は、バスBS2を介して暗号化データ{Kb//ACpb}Ks2aを受信し、セッションキーKs2aによって暗号化データ{Kb//ACpb}Ks2aを復号してバインディング鍵Kbおよび制御情報ACpbを取得する(ステップS615)。そして、ライセンス管理モジュール511は、バスBS2を介してライセンス管理デバイス520の管理ファイル領域5215Cに格納されているチェックインさせるライセンスを含むライセンス管理ファイルから機密情報を取得し、その取得した機密情報をバインディング鍵Kbによって復号してライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、再生制限情報ACp)とチェックアウト情報(チェックアウト可能数、チェックアウト時に使用したチェックアウト用トランザクションIDおよびチェックアウト先のメモリカードに固有の公開暗号鍵KPmcx)とを取得する(ステップS616)。そして、ライセンス管理モジュール511は、認証データの送信要求をUSBインターフェース550、端子580、およびUSBケーブル70を介して再生端末100へ送信する(ステップS618)。
【0359】
そうすると、再生端末100のコントローラ1106は、端子1114、USBインタフェース1112およびバスBS3を介して認証データの送信要求を受信し、バスBS3およびメモリカードインタフェース1200を介して認証データの送信要求をメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介して認証データの送信要求を受信する(ステップS619)。
【0360】
コントローラ1420は、認証データの送信要求を受信すると、認証データ保持部1400から認証データ{KPm3//Cm3}KPaをバスBS4を介して読出し、その読出した認証データ{KPm3//Cm3}KPaをバスBS4、インタフェース1424および端子1426を介して再生端末100へ出力する。そして、再生端末100のコントローラ1106は、メモリカードインタフェース1200およびバスBS3を介して認証データ{KPm3//Cm3}KPaを受取り、バスBS3、USBインタフェース1112、端子1114およびUSBケーブル70を介してパーソナルコンピュータ50へ認証データ{KPm3//Cm3}KPaを送信する(ステップS620)。
【0361】
パーソナルコンピュータ50のライセンス管理モジュール511は、端子580およびUSBインタフェース550を介して認証データ{KPm3//Cm3}KPaを受信し(ステップS621)、その受信した認証データ{KPm3//Cm3}KPaを認証鍵KPaによって復号する(ステップS622)。そして、ライセンス管理モジュール511は、復号処理結果から、処理が正常に行なわれたか否か、すなわち、メモリカード110が正規のメモリカードからの公開暗号鍵KPm3と証明書Cm3とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS623)。正当な認証データであると判断された場合、ライセンス管理モジュール511は、公開暗号鍵KPm3および証明書Cm3を承認し、受理する。そして、次の処理(ステップS624)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm3および証明書Cm3を受理しないで処理を終了する(ステップS652)。認証の結果、正規のメモリカードであることが認識されると、ライセンス管理モジュール511は、ダミートランザクションIDを生成する(ステップS624)。
【0362】
図36を参照して、ライセンス管理モジュール511は、チェックイン用のセッションキーKs2bを生成する(ステップS625)。そして、ライセンス管理モジュール511は、生成したセッションキーKs2bをメモリカード110から受信した公開暗号鍵KPm3によって暗号化し、暗号化データ{Ks2b}Km3を生成し(ステップS626)、暗号化データ{Ks2b}Km3にダミートランザクションIDを追加したダミートランザクションID//{Ks2b}Km3をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末100へ送信する(ステップS627)。再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびBS3を介してダミートランザクションID//{Ks2b}Km3を受信し、その受信したダミートランザクションID//{Ks2b}Km3をメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介してダミートランザクションID//{Ks2b}Km3を受信する(ステップS628)。復号処理部1422は、コントローラ1420からバスBS4を介して{Ks2b}Km3を受取り、Km保持部1421からの秘密復号鍵Km3によって{Ks2b}Km3を復号してセッションキーKs2bを受理する(ステップS629)。そして、セッションキー発生部1418は、セッションキーKs2cを生成し(ステップS630)、コントローラ1420は、バスBS4を介してメモリ1415のCRL領域1415Aから証明書失効リストCRLの更新日時CRLdateを取得し、その取得した更新日時CRLdateを切換スイッチ1446へ与える(ステップS631)。
【0363】
そうすると、暗号処理部1406は、切換スイッチ1446の端子を順次切換えることによって取得したセッションキーKs2c、公開暗号鍵KPmc4および更新日時CRLdateを、復号処理部1422によって復号され、切換スイッチ1442の端子Paを介して取得したセッションキーKs2bによって暗号化し、暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bを生成する。コントローラ1420は、暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bをバスBS4、インタフェース1424および端子1426を介して再生端末100へ出力し、再生端末100のコントローラ1106は、メモリカードインタフェース1200を介して暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bを受取る。そして、コントローラ1106は、暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bをUSBインタフェース1112、端子1114、およびUSBケーブル70を介してパーソナルコンピュータ50へ送信する(ステップS632)。
【0364】
パーソナルコンピュータ50のライセンス管理モジュール511は、端子580およびUSBインタフェース550を介して暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bを受信し(ステップS633)、その受信した暗号化データ{Ks2c//KPmc4//CRLdate}Ks2bをセッションキーKs2bによって復号し、セッションキーKs2c、公開暗号鍵KPmc4および更新日時CRLdateを受理する(ステップS634)。
【0365】
そうすると、ライセンス管理モジュール511は、受理した公開暗号鍵KPmc4がステップS616で取得したチェックアウト先のメモリカードに固有の公開暗号鍵KPmcxと同一かどうかを確認する(ステップS635)。
【0366】
受理された公開暗号鍵KPmc4は、暗号化コンテンツデータおよびライセンスのチェックアウトの際に、更新されたチェックアウト情報に含まれるものである(図33のステップS552を参照)。したがって、暗号化コンテンツデータ等のチェックアウト先に対応する公開暗号鍵KPmc4をチェックアウト情報に含まれる公開暗号鍵KPmcxと一致するか否かでチェックインの際にチェックアウトしたチェックアウト先のメモリカードであることを容易に特定することができる。
【0367】
ステップS635において、公開暗号鍵KPmc4がチェックアウト先のメモリカードに固有の公開暗号鍵KPmcxと一致しないときチェックイン動作は終了する(ステップS652)。ステップS635において、公開暗号鍵KPmc4がチェックアウト先のメモリカードに固有の公開暗号鍵KPmcxと一致すると、ライセンス管理モジュール511は、ダミートランザクションID、ダミーコンテンツID、ダミーライセンス鍵Kc、ダミーアクセス制限情報ACm、およびダミー再生制限情報ACpを公開暗号鍵KPmc4によって暗号化し、暗号化データ{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4を生成する(ステップS636)。
【0368】
ライセンス管理モジュール511は、暗号化データ{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4をセッションキーKs2cによって暗号化を行ない、暗号化データ{{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4}Ks2cを生成し、その生成した暗号化データ{{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4}Ks2cをUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末100へ送信する(ステップS637)。
【0369】
再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4}Ks2cを受信する。コントローラ1106は、受信した暗号化データ{{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4}Ks2cをバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、端子1424、およびバスBS4を介して{{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4}Ks2cを受信する(ステップS638)。
【0370】
図37を参照して、メモリカード110の復号処理部1412は、{{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4}Ks2cをバスBS4を介して受取り、セッションキー発生部1418によって発生されたセッションキーKs2cによって復号し、{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4を受理する(ステップS639)。そして、復号処理部1404は、暗号化データ{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4を復号処理部1412から受取り、その受取った暗号化データ{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーアクセス制限情報ACm//ダミー再生制限情報ACp}Kmc4をKmc保持部1402からの秘密復号鍵Kmc4によって復号し、ダミートランザクションID、ダミーコンテンツID、ダミーライセンス鍵Kc、ダミーアクセス制限情報ACm、およびダミー再生制限情報ACpを受理する(ステップS640)。そして、コントローラ1420は、バスBS4を介してダミートランザクションID、ダミーコンテンツID、ダミーライセンス鍵Kc、ダミーアクセス制限情報ACm、およびダミー再生制限情報ACpをメモリ1415のライセンス領域1415Cに記録する(ステップS641)。このようにダミートランザクションID、ダミーコンテンツID、ダミーライセンス鍵Kc、ダミーアクセス制限情報ACm、およびダミー再生制限情報ACpを記録することによってメモリカード110へチェックアウトされたライセンスを消去することができる。
【0371】
その後、パーソナルコンピュータ50のライセンス管理モジュール511は、チェックアウト情報内のチェックアウト可能数を1だけ増やし、チェックインしたライセンスをチックアウトしたときに記録したチェックアウト用トランザクションID、およびチェックアウト先のメモリカードの個別公開鍵KPmc4を削除してチェックアウト情報を更新する(ステップS642)。そして、ライセンス管理モジュール511は、ライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、および再生制限情報ACp)と更新したチェックアウト情報とをバインディング鍵Kbによって暗号化して機密情報を更新し、その更新した機密情報によって機密情報を置換え、ライセンス管理ファイルを更新する。そして、更新したライセンス管理ファイルをライセンス管理デバイス520へ送信する(ステップS643)。ライセンス管理デバイス520のコントローラ5220は、端子6226、インタフェース5224、およびバスBS5を介して、更新されたライセンス管理ファイルを受信し、その受信したライセンス管理ファイルによって管理ファイル領域5215C内のチェックインしたライセンスを格納しているライセンス管理ファイルを更新記録する(ステップS644)。
【0372】
そうすると、ライセンス管理モジュール511は、暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとを削除する削除指示をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末100へ送信する(ステップS645)。再生端末100のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infの削除指示を受信し、バスBS3およびメモリカードインタフェース1200を介して受信した暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infの削除指示をメモリカード110へ出力する。そうすると、メモリカード110のコントローラ1420は、端子1426、インタフェース1424、およびバスBS4を介して暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infの削除指示を受信する(ステップS646)。そして、コントローラ1420は、バスBS4を介してメモリ1415のデータ領域1415Dに記録された暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを削除する(ステップS647)。
【0373】
パーソナルコンピュータ50のライセンス管理モジュール511は、チェックインした楽曲を削除した再生リストを作成し(ステップS648)、再生リストと、再生リストの書換指示とをメモリカード110へ送信する(ステップS649)。メモリカード110のコントローラ1420は、再生端末100を介して再生リストと書換指示とを受信し(ステップS650)、バスBS4を介してメモリ1415の再生リストを受信した再生リストに書換え(ステップS651)、チェックイン動作が終了する(ステップS652)。
【0374】
このように、暗号化コンテンツデータおよびライセンスをチェックアウトした相手先から暗号化コンテンツデータおよびライセンスを返却して貰うことによって、セキュリティレベルの低い暗号化コンテンツデータおよびライセンスが、次々にセキュリティレベルの高いメモリカードへコピーされ、メモリカードにおけるセキュリティレベルが低下することを防止することができるとともに、不正コピーを防止できる。
【0375】
図38は、メモリカード110のメモリ1415におけるデータ領域1415Dに記録された再生リストファイル160を示したものである。再生リストファイル160は、コンテンツファイル1611〜161nと、ライセンス管理ファイル1621〜162nとから成る。コンテンツファイル1611〜161nは、受信した暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとのファイル名を記録する。また、ライセンス管理ファイル1621〜162nは、それぞれ、コンテンツファイル1611〜161nに対応して記録されている。
【0376】
メモリカード110は、パーソナルコンピュータ50から暗号化コンテンツデータおよびライセンスを「チェックアウトセッション」によって受信したとき、暗号化コンテンツデータおよびライセンスをメモリ1415に記録する。つまり、メモリカード110は、パーソナルコンピュータ50のライセンス管理モジュール511がソフトウエアによって受信し、かつ、管理する暗号化コンテンツデータのライセンスを、ライセンス管理デバイス520が受信し、かつ、管理する暗号化コンテンツデータのライセンスと同じようにハード的(高いセキュリティレベルを意味する)に管理する。
【0377】
したがって、パーソナルコンピュータ50のライセンス管理デバイス520によって受信され、かつ、移動セッションによってメモリカード110に送信されたセキュリティレベルの高い暗号化コンテンツデータのライセンスと、ライセンス管理モジュール511によって受信され、かつ、チェックアウトセッションによってメモリカード110に送信されたセキュリティレベルの低い暗号化コンテンツデータのライセンスとは、メモリ1415のライセンス領域1415Cのエントリ番号によって指定された領域に記録される。そして、メモリ1415のデータ領域1415Dに記録された再生リストファイル160のライセンス管理ファイルを読出せば、エントリ番号を取得でき、その取得したエントリ番号によって対応するライセンスをライセンス領域1415Cから読出すことができる。
【0378】
ライセンス管理ファイル1622は、「ライセンス無」を表しているが、これは、たとえば、再生端末100が他の携帯電話機から暗号化コンテンツデータだけを受信した場合に相当し、暗号化コンテンツデータはメモリ1415に存在するが、その暗号化コンテンツデータを再生するライセンスが存在しないことを意味する。
【0379】
[移動2]
図1に示すデータ配信システムにおいて、パーソナルコンピュータ50のライセンス管理モジュール511が取得した暗号化コンテンツデータおよびライセンスをパーソナルコンピュータ80へ移動する動作について説明する。なお、この移動を[移動2](「ホスト間移動」とも言う)と言う。また、パーソナルコンピュータ80は、パーソナルコンピュータ50と同一の構成であり、図6に従うものとする。また、パーソナルコンピュータ50を構成するライセンス管理モジュール511、ライセンス管理デバイス520と、パーソナルコンピュータ80を構成するライセンス管理モジュール、ライセンス管理デバイスとを区別するためにパーソナルコンピュータ80を構成するライセンス管理モジュールおよびライセンス管理デバイスを、それぞれ、ライセンス管理モジュール811、およびライセンス管理デバイス820とする。
【0380】
図39〜図42は、ライセンス管理モジュール511またはライセンス管理モジュール520が取得した暗号化コンテンツデータおよびライセンスのパーソナルコンピュータ80への移動を説明するための第1〜第4のフローチャートである。
【0381】
図39を参照して、キーボード560を介して取得されたライセンスのホスト間移動のリクエストが入力されると(ステップS800)、ライセンス管理モジュール511は、認証データの送信要求を通信ケーブル90を介してパーソナルコンピュータ80へ送信する(ステップS801)。そうすると、パーソナルコンピュータ80のライセンス管理モジュール811は、認証データの送信要求を受信し(ステップS802)、バスBS2を介して認証データの出力指示をライセンス管理デバイス820に入力する(ステップS802a)。ライセンス管理デバイス820のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して認証データの出力指示を受信し、バスBS5を介して認証データ保持部5200から認証データ{Kpm7//Cm7}KPaを読出し、バスBS5、インタフェース5224、および端子5226を介して認証データ{Kpm7//Cm7}KPaを出力する(ステップS803)。そして、ライセンス管理モジュール811は、認証データ{Kpm7//Cm7}KPaをバスBS2を介して受取り、通信ケーブル90を介して認証データ{Kpm7//Cm7}KPaをパーソナルコンピュータ50へ送信する(ステップS804)。
【0382】
そうすると、パーソナルコンピュータ50のライセンス管理モジュール511は、認証データ{Kpm7//Cm7}KPaをバスBS2を介してライセンス管理デバイス520へ送信する(ステップS805)。ライセンスデバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して認証データ{Kpm7//Cm7}KPaを受信し、復号処理部5208は、認証データ{Kpm7//Cm7}KPaを公開認証鍵KPaによって復号する(ステップS806)。
【0383】
コントローラ5220は、復号処理部5208における復号処理結果から、処理が正常に行なわれたか否か、すなわち、パーソナルコンピュータ80のライセンス管理デバイス820が正規のライセンス管デバイスからの公開暗号鍵KPm7と証明書Cm7とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS807)。正当な認証データであると判断された場合、コントローラ5220は、公開暗号鍵KPm7および証明書Cm7を承認し、受理する。そして、次の処理(ステップS808)へ移行する。正当な認証データでない場合には、非承認とし、公開暗号鍵KPm7および証明書Cm7を受理しないで処理を終了する(ステップS854)。
【0384】
認証の結果、正規の機器であることが認識されると、コントローラ5220は、次に、ライセンス管理デバイスのクラス証明書Cm7が証明書失効リストCRLにリストアップされているかどうかをメモリ5215のCRL領域5215Aに照会し、これらのクラス証明書が証明書失効リストの対象になっている場合には、ここで配信セッションを終了する(ステップS854)。
【0385】
一方、ライセンス管理デバイス820のクラス証明書が証明書失効リストの対象外である場合には次の処理に移行する(ステップS808)。
【0386】
認証の結果、正当な認証データを持つライセンス管理デバイスを備えるパーソナルコンピュータからのアクセスであり、クラスが証明書失効リストの対象外であることが確認されると、ライセンス管理デバイス520において、セッションキー発生部5218は、ホスト間移動のためのセッションキーKs2を生成する(ステップS809)。そして、暗号処理部5210は、復号処理部5208によって得られたライセンス管理デバイス820に対応する公開暗号鍵KPm7によって、セッションキーKs2を暗号化して暗号化データ{Ks2}Km7を生成する。コントローラ5220は、暗号化データ{Ks2}Km7をバスBS5、インタフェース5224、および端子5226を介して出力する(ステップS810)。コントローラ5220は、トランザクションIDをメモリ5215のライセンス管理ファイルから取得する(ステップS811)。
【0387】
図40を参照して、ライセンス管理モジュール511は、ライセンス管理デバイス520から受取った暗号化データ{Ks2}Km7とトランザクションIDとを通信ケーブル90を介してパーソナルコンピュータ80へ送信する(ステップS812)。パーソナルコンピュータ80のライセンス管理モジュール811は、トランザクションID//{Ks2}Km7を受信し(ステップS813)、暗号化データ{Ks2}Km7をバスBS2を介してライセンス管理デバイス820へ送る(ステップS814)。
【0388】
ライセンス管理デバイス820の復号処理部5222は、暗号化データ{Ks2}Km7を秘密復号鍵Km7によって復号してセッションキーKs2を受理する(ステップS815)。コントローラ5220は、セッションキーKs2の受理に応じてセッションキーを発生するようにセッションキー発生部5208を制御する。そして、セッションキー発生部5208は、セッションキーKs2aを生成し(ステップS816)、コントローラ5220は、バスBS5を介してメモり5215のCRL領域5215Aから証明書失効リストCRLの更新日時CRLdateを取得して切換スイッチ5246に与える(ステップS817)。そして、暗号処理部5206は、切換スイッチ5246を順次切換えることによって取得したセッションキーKs2a、公開暗号鍵KPmc9、および更新日時CRLdateを復号処理部5222によって受理されたセッションキーKs2によって暗号化して暗号化データ{Ks2a//Kpmc9//CRLdate}Ks2を生成する。そして、コントローラ5220は、バスBS5、インタフェース5224、および端子5226を介して暗号化データ{Ks2a//Kpmc9//CRLdate}Ks2を出力する(ステップS818)。ライセンス管理モジュール811は、暗号化データ{Ks2a//Kpmc9//CRLdate}Ks2をバスBS2を介して受取り、その受取った暗号化データ{Ks2a//Kpmc9//CRLdate}Ks2を通信ケーブル90を介してパーソナルコンピュータ80へ送信する(ステップS819)。
【0389】
そうすると、パーソナルコンピュータ50のライセンス管理モジュール511は、暗号化データ{Ks2a//Kpmc9//CRLdate}Ks2を受信し(ステップS820)、バスBS2を介して暗号化データ{Ks2a//Kpmc9//CRLdate}Ks2をライセンス管理デバイス520に入力する(ステップS821)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して暗号化データ{Ks2a//Kpmc9//CRLdate}Ks2を受取り、復号処理部5212に暗号化データ{Ks2a//Kpmc9//CRLdate}Ks2を与える。復号処理部5212は、暗号化データ{Ks2a//Kpmc9//CRLdate}Ks2をセッションキーKs2によって復号してセッションキーKs2a、公開暗号鍵Kpmc9、および更新日時CRLdateを受理する(ステップS822)。
【0390】
そして、コントローラ5220は、メモリ5215に記録されたライセンス管理ファイル1521〜152nの内から移動するライセンスに関するライセンス管理ファイを参照し、移動するライセンスが格納されたエントリ番号を取得し(ステップS823)、その取得したエントリ番号によって指定された領域に格納されているライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、および再生制限情報ACp)を読出す(ステップS824)。このライセンスはバインディングライセンスである場合もある。そして、コントローラ5220は、読出したアクセス制限情報ACmに基づいて、ライセンス移動および再生可能か否かを判別する(ステップS825)。アクセス制限情報ACmに基づいてライセンスの移動および再生が禁止されていると判別されたときは、ステップS854へ移行して移動セッションは終了する。また、アクセス制限情報ACmに基づいてライセンスの移動および再生が許可されていると判別されたときは図41の次のステップS826へ移行する(ステップS825)。
【0391】
図41を参照して、ステップS825において、ライセンスの移動および再生が許可されていると判別されると、暗号処理部5217は、復号処理部5212によって復号されたトランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、および再生制限情報ACpを公開暗号鍵Kpmc9によって暗号化して暗号化データ{トランザクションID//コンテンツID//Kc//ACm//再生制限情報ACp}Kmc9を生成する(ステップS826)。そして、コントローラ5220は、更新日時CRLdateに基づいて移動先のパーソナルコンピュータ80のライセンス管理デバイス820に格納されている証明書失効リストCRLと移動元のパーソナルコンピュータ50のライセンス管理デバイス520に格納されている証明書失効リストCRLのいずれが新しいかを判断し、移動先のパーソナルコンピュータ80のライセンス管理デバイス820に格納されている証明書失効リストCRLが新しい、または同じであると判断されたとき、ステップS828へ移行する。また、移動先のパーソナルコンピュータ80のライセンス管理デバイス820に格納されている証明書失効リストCRLが古いと判断されたとき、ステップS835へ移行する(ステップS827)。
【0392】
移動先のパーソナルコンピュータ80のライセンス管理デバイス820に格納されている証明書失効リストCRLが新しい又は同じであると判断されたとき、暗号処理部5206は、暗号処理部5217によって生成された暗号化データ{トランザクションID//コンテンツID//Kc//ACm//再生制限情報ACp}Kmc9を切換スイッチ5246の端子Pcを介して得て、切換スイッチ5246の端子Pdを介して得たセッションキーKs2aによって暗号化を行い、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aを生成する。そして、コントローラ5220は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aをバスBS5、インタフェース5224、および端子5226を介して出力する(ステップS828)。その後、コントローラ5220は、アクセス制限情報ACmに基づいてライセンスの複製が可能な否かを判別し、ライセンスの複製が可能なときはステップS831へ移行し、ライセンスの複製が不可能なときはステップS830へ移行する。ステップS829において、ライセンスの複製が不可能と判別されると、コントローラ5220は、エントリ番号に基づいてメモり5215のライセンス領域5215Bに格納されたライセンスを削除する(ステップS830)。
【0393】
そして、ステップS829においてライセンスの複製が可能と判別されたとき、またはステップS830の後、ライセンス管理モジュール511は、暗号化データ暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aを通信ケーブル90を介してパーソナルコンピュータ80へ送信する(ステップS831)。
【0394】
パーソナルコンピュータ80のライセンス管理モジュール811は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aを受信し(ステップS832)、バスBS2を介して暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aをライセンス管理デバイス820に入力する(ステップS833)。ライセンス管理デバイス820のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aを受信し、復号処理部5212は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aをセッションキーKs2aによって復号して、暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9を受理する(ステップS834)。その後、図42のステップS844へ移行する。
【0395】
一方、ステップS827において移動先のパーソナルコンピュータ80のライセンス管理デバイス820に格納されている証明書失効リストCRLが古いと判断されると、ライセンス管理デバイス520のコントローラ5220は、バスBS5を介してメモリ5215のCRL領域5215Aから最新の証明書失効リストCRLを取得する(ステップS835)。そして、暗号処理部5206は、暗号処理部5217から切換スイッチ5246の端子Pcを介して供給される暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9と、切換スイッチ5246の端子Pfを介して得られる証明書失効リストCRLとを受けて、セッションキーKs2aによって暗号化して暗号化データ{差分CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aを生成する。そして、コントローラ5220は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aをバスBS5、インタフェース5224、および端子5226を介して出力する(ステップS836)。
【0396】
その後、コントローラ5220は、アクセス制限情報ACmに基づいてライセンスの複製が可能な否かを判別し、ライセンスの複製が可能なときはステップS839へ移行し、ライセンスの複製が不可能なときはステップS838へ移行する。ステップS837において、ライセンスの複製が不可能と判別されると、コントローラ5220は、エントリ番号に基づいてメモり5215のライセンス領域5215Bに格納されたライセンスを削除する(ステップS838)。
【0397】
そして、ステップS837においてライセンスの複製が可能と判別されたとき、またはステップS838の後、ライセンス管理モジュール511は、暗号化データ暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aを通信ケーブル90を介してパーソナルコンピュータ80へ送信する(ステップS839)。
【0398】
図42を参照して、パーソナルコンピュータ80のライセンス管理モジュール811は、暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aを受信し(ステップS840)、バスBS2を介して暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aをライセンス管理デバイス820に入力する(ステップS841)。ライセンス管理デバイス820のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して、暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aを受信し、復号処理部5212は、暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9}Ks2aをセッションキーKs2aによって復号して、証明書失効リストCRLと暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9とを受理する(ステップS842)。そして、コントローラ5220は、バスBS5を介して証明書失効リストCRLを取得し、バスBS5を介してメモリ5215のCRL領域5215Aの証明書失効リストCRLを取得した証明書失効リストによって書換える(ステップS843)。
【0399】
図41のステップS834またはステップS843の後、復号処理部5204は、復号処理部5212によって受理された暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc9を秘密復号鍵Kmc9によって復号してトランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、および再生制限情報ACpを受理する(ステップS844)。そうすると、ライセンス管理モジュール811は、ライセンスを格納するためのエントリ番号をライセンス管理デバイス820に入力する(ステップS845)。そして、ライセンス管理デバイス820のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介してエントリ番号を受取り、その受取ったエントリ番号によって指定された領域にライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、および再生制限情報ACp)を格納する(ステップS846)。
【0400】
このように、2つのパーソナルコンピュータのライセンス管理デバイス間でそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行うことができ、データ配信システムのセキュリティを向上させることができる。
【0401】
そうすると、パーソナルコンピュータ50のライセンス管理モジュール511は、ライセンス管理デバイス520からライセンス管理ファイルを読出し、その読出したライセンス管理ファイルを通信ケーブル90を介してパーソナルコンピュータ80へ送信する(ステップS847)。そして、パーソナルコンピュータ80のライセンス管理デバイス820は、受信したライセンス管理ファイルに格納されているエントリ番号を、ステップS845において受信したエントリ番号に変更し、エントリ番号を変更したライセンス管理ファイルをメモリ5215に記録する(ステップS848)。
【0402】
その後、パーソナルコンピュータ50のライセンス管理モジュール511は、暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとをHDDから読出し、通信ケーブル90を介して暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとをパーソナルコンピュータ80へ送信する(ステップS849)。パーソナルコンピュータ80のライセンス管理モジュール811は、暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとを受信し(ステップS850)、バスBS2を介してHDD530に暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとを記録する(ステップS851)。
【0403】
その後、パーソナルコンピュータ50のライセンス管理モジュール511は、アクセス制限情報ACmに基づいて、ライセンスの複製が可能か否かを判別し(ステップS852)、ライセンスの複製が可能なときはステップS854へ移行し、全体の動作が終了する(ステップS854)。また、ステップS852においてライセンスの複製が不可能なとき、ライセンス管理モジュール511は、ライセンス管理ファイルのエントリ番号を削除し(ステップS853)、全体の動作が終了する(ステップS854)。
【0404】
ステップS853において、ライセンス管理ファイルに格納されたエントリ番号を削除するのは、ステップS838(図41参照)においてライセンス管理デバイス520に格納されたライセンスを削除したことに対応させたものである。
【0405】
以上は、パーソナルコンピュータ50のライセンス管理デバイス50によって取得された暗号化コンテンツデータおよびライセンスをパーソナルコンピュータ80へ移動させる場合について説明したが、パーソナルコンピュータ50のライセンス管理モジュール511がソフトウエアによって取得した暗号化コンテンツデータおよびライセンスをパーソナルコンピュータ80へ移動させる動作も、図39〜図42に示すフローチャートに従って行われる。この場合、図40のステップS824〜図42のステップS854におけるトランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、および再生制限情報ACpは、それぞれ、トランザクションIDb、コンテンツIDb、バインディング鍵Kb、アクセス制限情報ACmb、および再生制限情報ACpbに読替えられる。そして、図42のステップS853においては、ライセンス管理モジュール511は、移動させたライセンスに対応するライセンス管理ファイルに格納されたエントリ番号を削除してライセンス無とし、ライセンス管理ファイルがライセンスを暗号化した機密情報を含んでいれば、機密情報を削除したライセンス管理ファイルを用意して、ライセンス管理デバイス520の管理ファイル領域5215Cに記録されている移動させたライセンスに対応するライセンス管理ファイルを書換える。
【0406】
以上、説明したように、パーソナルコンピュータ50のライセンス管理モジュール511によって取得された暗号化コンテンツデータをパーソナルコンピュータ80へ移動するときは、暗号化コンテンツデータ、ライセンス(ライセンス管理ファイルに格納されている)およびバインディングライセンスをパーソナルコンピュータ80へ移動する。また、パーソナルコンピュータ50のライセンス管理デバイス520によって取得された暗号化コンテンツデータをパーソナルコンピュータ80へ移動するときは、暗号化コンテンツデータ、およびライセンスをパーソナルコンピュータ80へ移動する。そして、移動された暗号化コンテンツデータ等は、移動先のパーソナルコンピュータ80においてパーソナルコンピュータ50におけるのと同じように管理される。
【0407】
このように、パーソナルコンピュータ50のライセンス管理モジュール511によって暗号化コンテンツデータおよびライセンスを取得するごとにバインディングライセンスを発生させ、バインディングライセンスによって暗号化コンテンツデータのライセンスを管理することによって、ライセンス管理デバイス520によって取得された暗号化コンテンツデータ等の移動と同じ移動を行なうことができる。
【0408】
[再生]
次に、図43および図44を参照してメモリカード110に移動、およびチェックアウトされたコンテンツデータの再生端末100(コンテンツ再生デバイスとも言う、以下同じ)における再生動作について説明する。図43を参照して、再生動作の開始とともに、再生端末100のユーザから操作パネル1108を介して再生指示が再生端末100にインプットされる(ステップS1000)。そうすると、コントローラ1106は、バスBS3を介して認証データ保持部1500から認証データ{KPp1//Cm1}KPaを読出し、メモリカードインタフェース1200を介してメモリカード110へ認証データ{KPp1//Cm1}KPaを出力する(ステップS1002)。
【0409】
そうすると、メモリカード110は、認証データ{KPp1//Cm1}KPaを受理する(ステップS1004)。そして、メモリカード110の復号処理部1408は、受理した認証データ{KPp1//Cm1}KPaを、KPa保持部1414に保持された公開認証鍵KPaによって復号し(ステップS1006)、コントローラ1420は復号処理部1408における復号処理結果から、認証処理を行なう。すなわち、認証データ{KPp1//Cm1}KPaが正規の認証データであるか否かを判断する認証処理を行なう(ステップS1008)。復号できなかった場合、ステップS1048へ移行し、再生動作は終了する。認証データが復号できた場合、コントローラ1420は、取得した証明書Cm1がメモリ1415から読出した証明書失効リストデータCRLに含まれるか否かを判断する(ステップS1010)。この場合、証明書Cm1にはIDが付与されており、コントローラ1420は、受理した証明書Cm1のIDが証明書失効リストの中に存在するか否かを判別する。証明書Cm1が証明書失効リストに含まれると判断されると、ステップS1048へ移行し、再生動作は終了する。
【0410】
ステップS1010において、証明書Cm1が証明書失効リストCRLに含まれていないと判断されると、メモリカード110のセッションキー発生部1418は、再生セッション用のセッションキーKs2を発生させる(ステップS1012)。そして、暗号処理部1410は、セッションキー発生部1418からのセッションキーKs2を、復号処理部1408で復号された公開暗号鍵KPp1によって暗号化した{Ks2}Kp1をバスBS3へ出力する(ステップS1014)。そうすると、コントローラ1420は、インタフェース1424および端子1426を介してメモリカードインタフェース1200へ{Ks2}Kp1を出力する(ステップS1016)。再生端末100のコントローラ1106は、メモリカードインタフェース1200を介して{Ks2}Kp1を取得する。そして、Kp1保持部1502は、秘密復号鍵Kp1を復号処理部1504へ出力する。
【0411】
復号処理部1504は、Kp1保持部1502から出力された、公開暗号鍵KPp1と対になっている秘密復号鍵Kp1によって{Ks2}Kp1を復号し、セッションキーKs2を暗号処理部1506へ出力する(ステップS1018)。そうすると、セッションキー発生部1508は、再生セッション用のセッションキーKs3を発生させ、セッションキーKs3を暗号処理部1506へ出力する(ステップS1020)。暗号処理部1506は、セッションキー発生部1508からのセッションキーKs3を復号処理部1504からのセッションキーKs2によって暗号化して{Ks3}Ks2を出力し、コントローラ1106は、バスBS3およびメモリカードインタフェース1200を介して{Ks3}Ks2をメモリカード110へ出力する(ステップS1022)。
【0412】
そうすると、メモリカード110の復号処理部1412は、端子1426、インタフェース1424、およびバスBS4を介して{Ks3}Ks2を入力する(ステップS1024)。
【0413】
図44を参照して、復号処理部1412は、セッションキー発生部1418によって発生されたセッションキーKs2によって{Ks3}Ks2を復号して、再生端末100で発生されたセッションキーKs3を受理する(ステップS1026)。セッションキーKs3の受理に応じて、コントローラ1420は、アクセス制限情報ACmを確認する(ステップS1028)。ステップS1028においては、メモリのアクセスに対する制限に関する情報であるアクセス制限情報ACmを確認することにより、既に再生不可の状態である場合には再生動作を終了し、再生回数制限に制限がある場合にはアクセス制限情報ACmのデータを更新し再生可能回数を更新した後に次のステップに進む(ステップS1030)。一方、アクセス制限情報ACmによって再生回数が制限されていない場合においては、ステップS1030はスキップされ、アクセス制限情報ACmは更新されることなく処理が次のステップ(ステップS1032)に進行される。
【0414】
ステップS1028において、当該再生動作において再生が可能であると判断された場合には、メモリ1415のライセンス領域1415Cに記録された再生リクエスト曲のライセンス鍵Kcおよび再生制限情報ACpがバスBS4上に出力される(ステップS1032)。
【0415】
得られたライセンス鍵Kcと再生制限情報ACpは、切換スイッチ1446の接点Pfを介して暗号処理部1406に送られる。暗号処理部1406は、切換スイッチ1442の接点Pbを介して復号処理部1412より受けたセッションキーKs3によって切換スイッチ1446を介して受けたライセンス鍵Kcと再生制限情報ACpとを暗号化し、{Kc//ACp}Ks3をバスBS4に出力する(ステップS1034)。
【0416】
バスBS4に出力された暗号化データは、インタフェース1424、端子1426、およびメモリカードインタフェース1200を介して再生端末100に送出される。
【0417】
再生端末100においては、メモリカードインタフェース1200を介してバスBS3に伝達される暗号化データ{Kc//ACp}Ks3を復号処理部1510によって復号処理を行ない、ライセンス鍵Kcおよび再生制限情報ACpを受理する(ステップS1036)。復号処理部1510は、ライセンス鍵Kcを復号処理部1516に伝達し、再生制限情報ACpをバスBS3に出力する。
【0418】
コントローラ1106は、バスBS3を介して、再生制限情報ACpを受理して再生の可否の確認を行なう(ステップS1040)。
【0419】
ステップS1040においては、再生制限情報ACpによって再生不可と判断される場合には、再生動作は終了される。
【0420】
ステップS1040において再生可能と判断された場合、コントローラ1106は、メモリカードインタフェース1200を介してメモリカード110に暗号化コンテンツデータ{Dc}Kcを要求する。そうすると、メモリカード110のコントローラ1420は、メモリ1415から暗号化コンテンツデータ{Dc}Kcを取得し、バスBS4、インタフェース1424、および端子1426を介してメモリカードインタフェース1200へ出力する(ステップS1042)。
【0421】
再生端末100のコントローラ1106は、メモリカードインタフェース1200を介して暗号化コンテンツデータ{Dc}Kcを取得し、バスBS3を介して暗号化コンテンツデータ{Dc}Kcを復号処理部1516へ与える。
【0422】
そして、復号処理部1516は、暗号化コンテンツデータ{Dc}Kcを復号処理部1510から出力されたコンテンツ鍵Kcによって復号してコンテンツデータDataを取得する(ステップS1044)。
【0423】
そして、復号されたコンテンツデータDcは音楽再生部1518へ出力され、音楽再生部1518は、コンテンツデータを再生し、DA変換器1519はディジタル信号をアナログ信号に変換して端子1530へ出力する。そして、音楽データは端子1530から外部出力装置を介してヘッドホーン130へ出力されて再生される(ステップS1046)。これによって再生動作が終了する。
【0424】
上記においては、メモリカード110に記録された暗号化コンテンツデータを再生端末100によって再生する場合について説明したが、パーソナルコンピュータ50,80に、図7に示すコンテンツ再生デバイス1550を内蔵することによってライセンス管理モジュール511およびライセンス管理デバイス520によって受信された暗号化コンテンツデータを再生することが可能である。なお、ライセンス管理モジュール511によって取得された暗号化コンテンツデータをコンテンツ再生デバイス1550により再生する場合、ライセンス管理モジュール511は、ライセンス管理デバイス520に格納されたバインディング鍵Kbを取得し、HDD530に記録されたライセンス管理ファイルの暗号化機密情報をバインディング鍵Kbによって復号し、平文の機密情報からライセンスを読出してコンテンツ再生デバイス1550へ与える。
【0425】
また、パーソナルコンピュータ50,80に暗号化コンテンツデータを再生するソフトウエアに従って機能する再生部を内蔵することによって、ライセンス管理モジュール511が取得した暗号化コンテンツデータをソフトウエアにより再生することが可能である。この場合も、ライセンス管理モジュール511は、ライセンス管理デバイス520に格納されたバインディング鍵Kbを取得し、HDD530に記録されたライセンス管理ファイルの暗号化機密情報をバインディング鍵Kbによって復号し、平文の機密情報からライセンスを読出してコンテンツ再生デバイス1550へ与える。
【0426】
本発明の実施の形態によれば、パーソナルコンピュータに内蔵されたライセンス管理モジュールがソフトウエアによって取得した暗号化コンテンツデータのライセンスをライセンス管理デバイスによりハード的に管理されるバインディング鍵によって管理するので、ライセンス管理デバイスによって取得された暗号化コンテンツデータのライセンスと同じように「移動」という概念によって他のパーソナルコンピュータへ暗号化コンテンツデータおよびライセンスを送信することが可能である。
【0427】
上述したように、パーソナルコンピュータ50に内蔵されたライセンス管理デバイス520は、配信サーバ10とのやり取りを行ない、暗号化コンテンツデータおよびライセンスを取得し、その取得したライセンスを管理する。また、ライセンス管理デバイス520は、ライセンス管理モジュール511が配信サーバ10から取得した暗号化コンテンツデータのライセンスと、そのライセンスを暗号化するバインディング鍵を含むバインディングライセンスとを管理する。そして、ライセンス管理デバイス520は、図45に示すようにパーソナルコンピュータ50から取外し、他のパーソナルコンピュータ80へ装着可能である。したがって、パーソナルコンピュータ50によって暗号化コンテンツデータおよびライセンスを取得した後、ライセンス管理デバイス520をパーソナルコンピュータ50から取外し、パーソナルコンピュータ80へ装着すれば、パーソナルコンピュータ50によって取得した暗号化コンテンツデータの複製を容易に行なうことができる。つまり、ライセンス管理デバイス520は、自己が取得したライセンスと、ライセンス管理デバイス511が取得したライセンス、およびバインディングライセンスとを管理するので、パーソナルコンピュータ50のハードディスク530に格納されたコンテンツリストファイル150およびコンテンツファイル1531〜153nをケーブルによってパーソナルコンピュータ80のハードディスク830へ複製すれば、その複製したコンテンツファイル1531〜153nに格納された暗号化コンテンツデータを上述した方法によって再生でき、さらに他のパーソナルコンピュータへ移動、チェックアウト、およびチャックインできる。
【0428】
ライセンス管理デバイス520は、自己が保持する認証データによって認証されたことを条件に、ライセンス、バインディングライセンス、およびライセンス管理ファイルを取得するので、ライセンス管理デバイス520をパーソナルコンピュータ間で移動させても、ライセンスおよびバインディングライセンスが不正にコピーされることにはならない。したがって、セキュリティ上の問題は生じない。
【0429】
さらに、バインディング鍵Kbを含むバインディングライセンスをライセンス管理デバイス520に記録するごとに、暗号化コンテンツデータ{Dc}Kcを復号するためのライセンス鍵Kcをそのままバインディング鍵として使用することも可能である。
【0430】
また、さらに、バインディング鍵としてライセンス鍵Kcを用いた場合、ライセンスを記録している機密情報内にライセンス鍵Kcを記録せず、バインディング鍵を読出した際に、バインディング鍵をそのままライセンス鍵として使用することができる。
【0431】
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した実施の形態の説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【図面の簡単な説明】
【図1】 本発明の実施の形態1におけるデータ配信システムを概念的に説明する概略図である。
【図2】 図1に示すデータ配信システムにおける通信のためのデータ、情報等の特性を示す図である。
【図3】 図1に示すデータ配信システムにおける通信のためのデータ、情報等の特性を示す図である。
【図4】 図1に示すデータ配信システムにおけるソフトウエアによって取得したライセンスを他のパーソナルコンピュータへ移動可能とするために必要なバインディングライセンスと、メモリカードへ貸出すチェックアウトセッションにおけるチェックアウト管理情報とを示す図である。
【図5】 配信サーバの構成を示す概略ブロック図である。
【図6】 パーソナルコンピュータの構成を示す概略ブロック図である。
【図7】 再生端末の構成を示すブロック図である。
【図8】 メモリカードの構成を示すブロック図である。
【図9】 ライセンス管理デバイスの構成を示す概略ブロック図である。
【図10】 図1に示すデータ配信システムにおけるセキュリティレベルの高い配信動作を説明するための第1のフローチャートである。
【図11】 図1に示すデータ配信システムにおけるセキュリティレベルの高い配信動作を説明するための第2のフローチャートである。
【図12】 図1に示すデータ配信システムにおけるセキュリティレベルの高い配信動作を説明するための第3のフローチャートである。
【図13】 図1に示すデータ配信システムにおけるセキュリティレベルの高い配信動作を説明するための第4のフローチャートである。
【図14】 図1に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第1のフローチャートである。
【図15】 図1に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第2のフローチャートである。
【図16】 図1に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第3のフローチャートである。
【図17】 図1に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第4のフローチャートである。
【図18】 図1に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第5のフローチャートである。
【図19】 図1に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第6のフローチャートである。
【図20】 図1に示すデータ配信システムにおけるリッピングの動作を説明するための第1のフローチャートである。
【図21】 図1に示すデータ配信システムにおけるリッピングの動作を説明するための第2のフローチャートである。
【図22】 図1に示すデータ配信システムにおけるリッピングの動作を説明するための第3のフローチャートである。
【図23】 図1に示すデータ配信システムにおけるリッピングの動作を説明するための第4のフローチャートである。
【図24】 パーソナルコンピュータのハードディスクにおけるコンテンツリストファイルの構成を示す図である。
【図25】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスの移動動作を説明するための第1のフローチャートである。
【図26】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスの移動動作を説明するための第2のフローチャートである。
【図27】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスの移動動作を説明するための第3のフローチャートである。
【図28】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスの移動動作を説明するための第4のフローチャートである。
【図29】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックアウト動作を説明するための第1のフローチャートである。
【図30】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックアウト動作を説明するための第2のフローチャートである。
【図31】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックアウト動作を説明するための第3のフローチャートである。
【図32】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックアウト動作を説明するための第4のフローチャートである。
【図33】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックアウト動作を説明するための第5のフローチャートである。
【図34】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックイン動作を説明するための第1のフローチャートである。
【図35】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックイン動作を説明するための第2のフローチャートである。
【図36】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックイン動作を説明するための第3のフローチャートである。
【図37】 図1に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックイン動作を説明するための第4のフローチャートである。
【図38】 メモリカードにおける再生リストファイルの構成を示す図である。
【図39】 図1に示すデータ配信システムにおける暗号化コンテンツデータおよびライセンスのパーソナルコンピュータ間での移動を説明するための第1のフローチャートである。
【図40】 図1に示すデータ配信システムにおける暗号化コンテンツデータおよびライセンスのパーソナルコンピュータ間での移動を説明するための第2のフローチャートである。
【図41】 図1に示すデータ配信システムにおける暗号化コンテンツデータおよびライセンスのパーソナルコンピュータ間での移動を説明するための第3のフローチャートである。
【図42】 図1に示すデータ配信システムにおける暗号化コンテンツデータおよびライセンスのパーソナルコンピュータ間での移動を説明するための第4のフローチャートである。
【図43】 再生端末における再生動作を説明するための第1のフローチャートである。
【図44】 再生端末における再生動作を説明するための第2のフローチャートである。
【図45】 ライセンス管理デバイスの使用方法を説明するための図である。
【符号の説明】
10 配信サーバ、20 配信キャリア、30 インターネット網、40 モデム、50,80 パーソナルコンピュータ、60 CD、70 USBケーブル、90 通信ケーブル、100 再生端末、110 メモリカード、130 ヘッドホーン、150 コンテンツリストファイル、160 再生リストファイル、302 課金データベース、304 情報データベース、306 CRLデータベース、307 メニューデータベース、308 配信記録データベース、310 データ処理部、312,320,1404,1408,1412,1422,1504,1510,1516,5204,5208,5212,5222 復号処理部、313 認証鍵保持部、315 配信制御部、316, セッションキー発生部、318,326,328,1406,1410,1417,1506,5206,5210,5217,5405 暗号処理部、350 通信装置、510,1106,1420,5220 コントローラ、511,811 ライセンス管理モジュール、520,820 ライセンス管理デバイス、530,830 ハードディスク、540 CD−ROMドライブ、550,1112 USBインタフェース、560 キーボード、570 ディスプレイ、580,1114,1426,1530,5226 端子、1108 操作パネル、1110 表示パネル、1200 メモリカードインタフェース、1400,1500,5200 認証データ保持部、1402,5202 Kmc保持部、1414,5214 KPa保持部、1415,5215 メモリ、1415A,5215A CRL領域、1415B,5215B ライセンス領域、1415C データ領域、5215C 管理ファイル領域、1416,5216 KPmc保持部、1418,5218 セッションキー発生部、1421,5221Km保持部、1424,5224 インタフェース、1442,1446,5242,5246 切換スイッチ、1502 Kp1保持部、1518 音楽再生部、1519 DA変換器、1521〜152n,1621〜162n ライセンス管理ファイル、1531〜153n,1611〜1612n コンテンツファイル、1550 コンテンツ再生デバイス。
Claims (5)
- コンテンツデータを暗号化した暗号化コンテンツデータおよび前記暗号化コンテンツデータを復号して元の平文を得るためのライセンスを格納するデータ端末装置であって、
前記ライセンスを前記第1のセキュリティレベルで管理するデータ端末装置から着脱可能なデバイス部と、
前記ライセンスを前記第1のセキュリティレベルよりも低い第2のセキュリティレベルで管理するモジュール部と、
前記暗号化コンテンツデータを格納する記憶部と、
制御部とを備え、
前記デバイス部は、
前記第1のセキュリティレベルで管理するライセンスを格納するライセンス格納部と、
暗号路を構築して前記ライセンスを外部から取得して前記ライセンス格納部に格納、あるいは、暗号路を構築して前記ライセンス格納部に格納されたライセンスを外部に提供するライセンス入出力部と、
前記ライセンス格納部に格納されているライセンスの格納位置を特定する第1の管理番号を含む第1の管理ファイルと前記モジュール部で生成された暗号化ライセンスと前記ライセンス格納部に格納されているバインディング用ライセンスの格納位置を特定する第2の管理番号を含む第2の管理ファイルとを格納する管理ファイル格納部とを備え、
前記モジュール部は、
前記第2のセキュリティレベルにて管理するライセンスを、暗号路を構築して前記ライセンスを外部から取得して、前記第1のセキュリティレベルにて管理するバインディング用ライセンスに含まれるバインディング鍵によって暗号化した暗号化ライセンスを生成し、生成した暗号化ライセンスおよび使用したバインディング鍵が含まれるバインディングライセンスに対する第1の管理番号を含む前記第2の管理ファイルを生成し、生成した第2の管理ファイルを前記デバイス部の管理ファイル格納部に格納し、
さらに、前記管理ファイル格納部に格納された第2の管理ファイルを読み出し、読み出した前記第2の管理ファイルに含まれる第2の管理番号に基づいて、前記ライセンス入出力部から前記バインディグ用ライセンスを取得し、取得した前記バインディング用ライセンスに含まれるバインディング鍵と読み出した前記第2の管理ファイルに含まれる暗号化ライセンスからライセンスを抽出し、抽出したライセンス、あるいは抽出したライセンスに含まれるライセンス鍵を含む新たに生成したライセンスを、暗号路を構築して外部に提供し、
前記制御部は、
前記第1のセキュリティレベルで管理する前記ライセンスの取得時、前記デバイス部にて前記ライセンスを取得するように制御し、取得したライセンスに対する第1の管理番号を含む前記第1の管理ファイルを生成し、生成した第1の管理ファイルを前記管理ファイル格納部に格納し、
前記第2のセキュリティレベルで管理する前記ライセンスの取得時、前記モジュール部にて前記ライセンスを取得するように制御し、
暗号化コンテンツデータの取得時、
前記暗号化コンテンツデータを取得して、取得した前記暗号化コンテンツデータを記憶部に格納し、
前記第1のセキュリティレベルで管理する前記ライセンスの提供時、前記管理ファイル格納部に格納された第1の管理ファイルを読出し、読出した前記第1の管理ファイルに含まれる第1の管理番号に基づいて前記ライセンス入出力部から前記ライセンスを提供するように制御し、
前記第2のセキュリティレベルで管理する前記ライセンスの提供時、前記モジュール部から前記ライセンスを提供するように制御し、
暗号化コンテンツデータの提供時、
前記記憶部に格納された暗号化コンテンツデータを読み出して提供する、データ端末装置。 - ライセンスの取得時、
前記モジュール部は、バインディング用ライセンスを生成し、前記ライセンス入出力部に提供する、請求項1に記載のデータ端末装置。 - 前記ライセンス入出力部は、外部あるいは前記モジュール部からの認証データを認証したことに基づいて暗号路を構築し、構築した暗号路を用いて第1のセキュリティレベルで管理する前記ライセンスまたは前記バインディングライセンスを提供する、請求項2に記載のデータ端末装置。
- 前記ライセンスは、複製の可否を示す利用規則をさらに含み、
前記暗号化コンテンツデータの移動時、
前記モジュール部は、前記暗号化コンテンツデータに対する第2の管理ファイルに含まれる前記暗号化ライセンスの利用規則によって移動が禁止されているとき、前記管理ファイル格納部に格納されている前記暗号化コンテンツデータに対する第2の管理ファイルを、前記暗号化ライセンスと前記第2の管理番号を削除した新たな第2の管理ファイルに書き換える、請求項2または3に記載のデータ端末装置。 - 前記ライセンスは、ライセンスの出力可能な数を示す利用規則をさらに含み、
前記暗号化コンテンツデータの提供時、
前記モジュール部は、前記管理ファイル格納部に格納されている前記暗号化コンテンツデータに対する第2の管理ファイルの利用規則を、ライセンスの出力可能数を1だけ減少するように更新した新たな第2の管理ファイルに書き換え、
前記暗号化コンテンツデータの返還時、
前記モジュール部は、前記管理ファイル格納部に格納されている前記暗号化コンテンツデータに対する第2の管理ファイルの利用規則を、ライセンスの出力可能数を1だけ増加するように更新した新たな第2の管理ファイルに書き換える、請求項1〜4のいずれか1項に記載のデータ端末装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001087322A JP4737857B2 (ja) | 2001-03-26 | 2001-03-26 | データ端末装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001087322A JP4737857B2 (ja) | 2001-03-26 | 2001-03-26 | データ端末装置 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2002288377A JP2002288377A (ja) | 2002-10-04 |
JP2002288377A5 JP2002288377A5 (ja) | 2008-05-08 |
JP4737857B2 true JP4737857B2 (ja) | 2011-08-03 |
Family
ID=18942581
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001087322A Expired - Lifetime JP4737857B2 (ja) | 2001-03-26 | 2001-03-26 | データ端末装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4737857B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI738852B (zh) | 2016-09-27 | 2021-09-11 | 日商迪睿合股份有限公司 | 接著膜卷裝體、接著膜卷裝體之製造方法 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060132547A (ko) * | 2003-09-04 | 2006-12-21 | 마츠시타 덴끼 산교 가부시키가이샤 | 디지털 저작물 보호 시스템 및 디지털 저작물 보호 방법 |
WO2006009032A1 (ja) * | 2004-07-20 | 2006-01-26 | Matsushita Electric Industrial Co., Ltd. | コンテンツ管理システム及びコンテンツ管理装置 |
DE112004002943B4 (de) | 2004-08-26 | 2010-06-24 | Fujitsu Ltd., Kawasaki | Inhalte-Management-Programm, -Verfahren und -Vorrichtung |
JP2008033512A (ja) * | 2006-07-27 | 2008-02-14 | Toppan Printing Co Ltd | セキュリティチップ及びプラットフォーム |
US8091137B2 (en) * | 2006-10-31 | 2012-01-03 | Hewlett-Packard Development Company, L.P. | Transferring a data object between devices |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4022976B2 (ja) * | 1998-03-06 | 2007-12-19 | ソニー株式会社 | 記録再生システム |
JP3543618B2 (ja) * | 1998-05-27 | 2004-07-14 | 三菱電機株式会社 | 失効情報検証方式 |
JP2000348105A (ja) * | 1999-03-30 | 2000-12-15 | Sony Corp | 情報提供装置および方法、並びにプログラム格納媒体 |
JP4238411B2 (ja) * | 1999-04-12 | 2009-03-18 | ソニー株式会社 | 情報処理システム |
-
2001
- 2001-03-26 JP JP2001087322A patent/JP4737857B2/ja not_active Expired - Lifetime
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI738852B (zh) | 2016-09-27 | 2021-09-11 | 日商迪睿合股份有限公司 | 接著膜卷裝體、接著膜卷裝體之製造方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2002288377A (ja) | 2002-10-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4743984B2 (ja) | データ記録装置 | |
JP4409081B2 (ja) | データ端末装置 | |
JP4010481B2 (ja) | データ配信システムおよびそれに用いるデータ供給装置、端末装置ならびに記録装置 | |
JP3677001B2 (ja) | データ配信システムおよびそれに用いられる記録装置 | |
JP4524480B2 (ja) | データ端末装置 | |
JP3873090B2 (ja) | データ記録装置、データ供給装置およびデータ配信システム | |
JP3759455B2 (ja) | データ再生装置 | |
KR100682290B1 (ko) | 콘텐츠 관리 시스템, 장치, 방법 및 프로그램 격납 매체 | |
JP3781678B2 (ja) | データ配信システムおよびそれに用いる記録媒体 | |
JP3980355B2 (ja) | ライセンス情報記憶装置、コンテンツ再生装置およびライセンス情報配信システム | |
JP3930321B2 (ja) | データ配信システムおよびそれに使用される記録装置 | |
JP3696206B2 (ja) | 一意義的にのみ存在が許容される独自データを復元可能なデータ記録装置 | |
JP4545994B2 (ja) | データ再生装置それに用いるデータ再生回路、およびデータ記録装置 | |
JP2002271316A (ja) | 再生装置 | |
JP3895940B2 (ja) | 情報端末装置 | |
JP2002288375A (ja) | コンテンツ提供装置、コンテンツ提供方法およびライセンスサーバ | |
JP3934941B2 (ja) | 記録装置 | |
JP3776352B2 (ja) | 記録装置 | |
JP4601153B2 (ja) | データ端末装置およびデータ端末装置の制御方法 | |
JP4737857B2 (ja) | データ端末装置 | |
KR20030070829A (ko) | 기밀 데이터의 안전성을 확보하는 하드디스크 유닛 | |
JP4593764B2 (ja) | データ端末装置 | |
JP4553472B2 (ja) | データ端末装置 | |
JP3851155B2 (ja) | ライセンス移動システム、ライセンス管理サーバおよびデータ端末装置 | |
JP3631186B2 (ja) | データ再生装置およびデータ記録装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080319 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080319 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100914 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100921 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101119 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110329 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110426 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 4737857 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |
|
EXPY | Cancellation because of completion of term |