以下、本発明の実施の形態について図面を参照して説明する。
≪第1実施形態≫
[コンテンツ配信システムの構成]
まず、図1を参照して、本発明の第1実施形態に係るコンテンツ配信システムの構成について説明する。図1は、本発明の第1実施形態に係るコンテンツ配信システムの構成を示すブロック図である。
このコンテンツ配信システム1は、限定受信方式によりコンテンツの配信を行うシステムであって、受信装置60の正当性を認証することで、受信装置60におけるコンテンツの利用(再生、コピー等)を可能とするものである。ここでは、コンテンツ配信システム1は、コンテンツの配信者(以下、プロバイダという)側にイントラネットNで接続された認証情報生成サーバ10と、コンテンツ配信サーバ20と、コンテンツサーバ30と、送信装置40とを備え、放送波Wを介して、コンテンツの利用者側の端末である利用者端末50にコンテンツを配信するシステムである。
また、利用者端末50は、受信装置60と、受信装置60に挿入して使用するセキュリティモジュール70とを備えている。ここでは、利用者端末50を1つだけ図示しているが、通常、利用者端末50は、一般家庭に配置されるもので、複数存在するものである。
なお、コンテンツ配信システム1は、これらの構成以外にも、限定受信方式を実現するための構成、例えば、コンテンツの暗号化、復号等を行うための鍵(スクランブル鍵、ワーク鍵等)を生成する鍵生成サーバ、コンテンツの視聴を契約した利用者の契約情報を生成する契約情報生成サーバ等を備えるが、これらの構成は限定受信方式において一般的なものであるため、図示および説明を省略する。
認証情報生成サーバ(認証情報生成装置)10は、利用者端末50の受信装置60を予め定めたグループ単位ごとに認証するための情報として、受信装置60に対応した秘密情報(グループ単位秘密情報)を生成するものである。また、生成された秘密情報は、受信装置60の製造者(以下、メーカという)において、予め受信装置60内部に記憶される。
なお、このグループ単位秘密情報は、受信装置60を識別するあるグループ単位で生成される情報である。例えば、このグループ単位秘密情報は、受信装置60の機種ごとの情報として生成してもよいし、受信装置60を生成するメーカごとの情報として生成してもよい。本実施の形態においては、グループ単位秘密情報は、受信装置60のメーカごとに生成される情報(メーカ秘密情報)として説明する。
コンテンツ配信サーバ(コンテンツ配信装置)20は、コンテンツを暗号化して、利用者端末50に配信するものである。なお、ここでは、コンテンツ配信サーバ20は、暗号化したコンテンツを、イントラネットNを介して送信装置40に送信することとする。また、ここでは、コンテンツ配信サーバ20は、配信すべきコンテンツが指示された際に、コンテンツサーバ30から、指示されたコンテンツを取得することとする。
さらに、コンテンツ配信サーバ20は、認証情報生成サーバ10から、受信装置60の機種固有の秘密情報(メーカ秘密情報)が更新された旨が通知された場合は、その更新された秘密情報を、暗号化されたコンテンツとともに利用者端末50に配信する。
コンテンツサーバ30は、複数のコンテンツを蓄積し、要求のあったコンテンツを、イントラネットNを介して送信するサーバである。このコンテンツサーバ30は、例えば、放送用VTR機器であって、放送番組として配信するコンテンツをコンテンツ配信サーバ20に送信する。
送信装置40は、コンテンツ配信サーバ20から送信されたコンテンツ(更新された秘密情報を含む)を、放送波Wを介して送信するものである。ここでは、送信装置40は、コンテンツ配信サーバ20から送信されたコンテンツを、放送番組の編成に合わせて順次編成し、デジタル放送の放送波Wとして送信する。また、ここでは、送信装置40を、放送波Wによってコンテンツを送信するものとしたが、IPネットワーク等の通信回線を介して、利用者端末50から要求のあったコンテンツを送信するものとしてもよい。
利用者端末50は、コンテンツを利用する利用者側の端末であって、受信装置60と、セキュリティモジュール70とで構成される。
受信装置60は、放送波Wを介して配信されたコンテンツを受信して、当該コンテンツを利用(再生、コピー等)するものである。この受信装置60は、受信装置60に対して発行されたセキュリティモジュール70を内部に挿入されることで、契約によって視聴等が可能なコンテンツの限定受信を行う。なお、受信装置60には、機種を識別する秘密情報(メーカ秘密情報)が登録されている。
セキュリティモジュール(CASカード)70は、受信装置60との間で、受信装置60に予め登録されているメーカ秘密情報により認証を行い、その認証結果に基づいて、暗号化されたコンテンツを復号するための鍵(スクランブル鍵)を受信装置60に出力するものである。このセキュリティモジュール70は、対タンパ性を有するICカードであって、受信装置60に対して着脱可能なものである。
このように、利用者端末50は、受信装置60とセキュリティモジュール70との間で、認証を行うことで、不正な受信装置でのコンテンツの利用を防止する。
以下、本発明の特徴となる構成であるプロバイダ側の装置である認証情報生成サーバ10およびコンテンツ配信サーバ20の各構成、利用者側の装置である利用者端末50(受信装置60およびセキュリティモジュール70)の構成について順次説明を行う。
(認証情報生成サーバの構成)
まず、図2を参照(適宜図1参照)して、認証情報生成サーバの構成について説明する。図2は、本発明の第1実施形態に係る認証情報生成サーバの構成を示すブロック図である。ここでは、認証情報生成サーバ10は、秘密・更新情報生成手段11と、デバイス鍵生成手段12と、認証用情報記憶手段13と、更新情報合成手段14と、更新情報送信手段15と、秘密情報暗号化手段16と、秘密情報出力手段17と、デバイス鍵出力手段18と、を備えている。
秘密・更新情報生成手段11は、利用者端末50の受信装置60の正当性を認証するための情報であるメーカ秘密情報(グループ単位秘密情報)やその更新情報を生成するものである。ここでは、秘密・更新情報生成手段11は、識別子受信手段111と、秘密情報生成手段112と、リボークフラグ受信手段113と、を備えている。
識別子受信手段111は、図示していないキーボード等の入力手段により、受信装置60のメーカ(グループ)を識別するための識別子であるメーカ識別子(mid)を受信するものである。この受信されたメーカ識別子は、秘密情報生成手段112に出力されるとともに、認証用情報記憶手段13に書き込まれ、記憶される。
秘密情報生成手段112は、セキュリティモジュール70に登録されてメーカを識別するための情報となるメーカ秘密情報(Smid;グループ単位秘密情報)を、メーカ識別子に対応付けて生成するものである。なお、ここでは、メーカ秘密情報を生成した順番を特定する場合、メーカ秘密情報Smidに、順番を示す番号iを付加し、Smidiと表記することとする。このメーカ秘密情報は、メーカを識別する情報であれば、数値、文字列等、その形態は構わない。例えば、秘密情報生成手段112は、乱数によりランダムにメーカ秘密情報を生成する。この生成されたメーカ秘密情報は、認証用情報記憶手段13に書き込まれ、記憶される。
リボークフラグ受信手段113は、図示していないキーボード等の入力手段により、メーカ識別子と、当該メーカ識別子に対応する受信装置60の動作を停止(失効)させるか否かの指示を示すリボークフラグ(r_mid)を受信するものである。このリボークフラグは、メーカ秘密情報が漏洩し、不正な受信装置が製造された際に、漏洩したメーカ秘密情報を無効にすることを示すフラグである。例えば、リコール期間として、あるメーカのメーカ秘密情報を失効させたい場合、リボークフラグを値“1”とし、リコール期間が終了し、失効を解除させたい場合、リボークフラグを値“0”とする。このリボークフラグ受信手段113で受信されたリボークフラグは、メーカ識別子に対応付けられて認証用情報記憶手段13に書き込まれ、記憶される。
デバイス鍵生成手段12は、セキュリティモジュール70において、暗号化されたメーカ秘密情報を復号するための鍵であるデバイス鍵(Kd)を生成するものである。このデバイス鍵は、共通暗号化方式の鍵生成アルゴリズムにより生成された鍵であればよく、例えば、デバイス鍵生成手段12は、DES(Data Encryption Standard)、AES(Advanced Encryption Standard)等のアルゴリズムによりデバイス鍵を生成する。この生成されたデバイス鍵は、認証用情報記憶手段13に書き込まれ、記憶される。
なお、生成されたデバイス鍵は、すべてのセキュリティモジュール70に共通に登録されるものであって、セキュリティモジュール70のメーカにおいて、製造段階に予めセキュリティモジュール70に書き込まれる。
認証用情報記憶手段13は、受信装置60を認証するための認証情報を記憶するものであって、ハードディスク等の一般的な記憶装置である。なお、ここでは、認証用情報記憶手段13には、認証用情報として、メーカ識別子と、当該メーカ識別子に対応付けられたメーカ秘密情報およびリボークフラグとを記憶し、さらに、デバイス鍵を記憶しておく。
更新情報合成手段14は、認証用情報記憶手段13に記憶されている認証用情報を、放送波を介して受信装置60に配信するための情報(メーカ更新情報;グループ単位更新情報)として合成するものである。ここでは、更新情報合成手段14は、認証用情報記憶手段13に記憶されているリボークフラグを参照し、メーカ識別子(mid)およびメーカ秘密情報(Smid)を読み出し合成することでメーカ更新情報を生成する。なお、更新情報合成手段14は、リボークフラグが“0”の場合、メーカ識別子と1つのメーカ秘密情報Smidiとを合成することで、メーカ更新情報(Mup=(mid,Smidi))を生成する。また、更新情報合成手段14は、リボークフラグが“1”の場合、メーカ識別子と、旧メーカ識別情報Smidi−1および新メーカ識別情報Smidiとを合成することで、メーカ更新情報(Mup=(mid,Smidi−1,Smidi))を生成する。なお、メーカ更新情報(Mup)は、更新が必要となったメーカ(機種)ごと、すなわち、メーカ識別子ごとに複数(Mup0〜Mupn)生成されることになる。この生成されたメーカ更新情報は、更新情報送信手段15に出力される。
更新情報送信手段15は、更新情報合成手段14で生成されたメーカ更新情報(Mup)を、コンテンツ配信サーバ20に送信するものである。このコンテンツ配信サーバ20に送信されたメーカ更新情報は、放送波Wを介して受信装置60に送信されることになる。
秘密情報暗号化手段16は、認証用情報記憶手段13に記憶されているメーカ秘密情報(Smidi)を、メーカ識別子(mid)ごとに、デバイス鍵(Kd)で暗号化するものである。すなわち、秘密情報暗号化手段16は、メーカ識別子(mid)に対応する暗号化メーカ秘密情報(ESmidi;暗号化グループ単位秘密情報)を、ESmidi=ENC(Smidi,Kd)(ただし、ENC(a,b)はデータaを鍵bにより暗号化することを示す)により演算し生成する。この生成された暗号化メーカ秘密情報(ESmidi)と、その元となるメーカ秘密情報(Smidi)とは、メーカ識別子(mid)に対応付けられて秘密情報出力手段17に出力される。なお、ここでは、暗号化メーカ秘密情報を生成した順番を特定する場合、暗号化メーカ秘密情報ESmidに、メーカ秘密情報Smidと対応付けた順番を示す番号iを付加し、ESmidiと表記することとする。
秘密情報出力手段17は、秘密情報暗号化手段16で暗号化された暗号化メーカ秘密情報(ESmidi)と、メーカ秘密情報(Smidi)とを、メーカ識別子(mid)ごとに出力するものである。なお、この暗号化メーカ秘密情報(ESmidi)と、メーカ秘密情報(Smidi)とは、メーカ識別子(mid)に対応するメーカごとに、メーカが製造する受信装置60内部に予め登録される。
デバイス鍵出力手段18は、認証用情報記憶手段13に記憶されているデバイス鍵(Kd)を読み出して出力するものである。なお、このデバイス鍵(Kd)は、セキュリティモジュール70のメーカ(配布会社、製造会社)によって、予めセキュリティモジュール70に登録される。
このように認証情報生成サーバ10を構成することで、認証情報生成サーバ10は、メーカ(機種)ごとに異なるメーカ秘密情報を生成することができる。これによって、予め受信装置60に登録されたメーカ秘密情報と、コンテンツ配信サーバ20を経由して受信装置60に配信されたメーカ秘密情報との間で認証を行うことが可能になる。
(コンテンツ配信サーバの構成)
次に、図3を参照(適宜図1参照)して、コンテンツ配信サーバの構成について説明する。図3は、本発明の実施形態に係るコンテンツ配信サーバの構成を示すブロック図である。ここでは、コンテンツ配信サーバ20は、コンテンツ暗号化手段21と、更新情報受信手段22と、鍵合成手段23と、鍵情報暗号化手段24と、公開情報合成手段25と、公開情報送信手段26と、を備えている。
コンテンツ暗号化手段21は、コンテンツサーバ(放送用VTR機器等)30からコンテンツを入力し、図示を省略した鍵生成サーバ等で生成されたスクランブル鍵Ksを用いて暗号化するものである。この暗号化されたコンテンツ(暗号化コンテンツ)は、公開情報合成手段25に出力される。
更新情報受信手段22は、認証情報生成サーバ10から送信されたメーカ更新情報(Mup)を受信するものである。この受信されたメーカ更新情報は、鍵合成手段23に出力される。
鍵合成手段23は、更新情報受信手段22で受信されたメーカ更新情報(Mup)に、スクランブル鍵(Ks)を付加(合成)した鍵情報を生成するものである。例えば、更新情報受信手段22で受信されたメーカ更新情報Mupが、更新が必要な数だけ複数(Mup0〜Mupn)存在していた場合、鍵合成手段23は、スクランブル鍵(Ks)と、複数のメーカ更新情報(Mup0〜Mupn)とを、(Ks‖Mup0‖…‖Mupn)(ただし、“‖”は連結を示す)のように直列につなぎ合わせることで、鍵情報を生成する。この生成された鍵情報は、鍵情報暗号化手段24に出力される。
鍵情報暗号化手段24は、鍵合成手段23で生成された鍵情報を、図示を省略した鍵生成サーバ等で生成されたワーク鍵Kwを用いて暗号化するものである。この暗号化された鍵情報(暗号化鍵情報)は、公開情報合成手段25に出力される。
公開情報合成手段25は、コンテンツ暗号化手段21で暗号化されたコンテンツ(暗号化コンテンツ)に、鍵情報暗号化手段24で暗号化された鍵情報(暗号化鍵情報)を連結、多重化等によって付加(合成)した公開情報を生成するものである。この公開情報合成手段25で生成された公開情報は、公開情報送信手段26に出力される。
公開情報送信手段26は、公開情報合成手段25で生成された公開情報を利用者端末50に送信するものである。この公開情報送信手段26から出力される公開情報は、送信装置40を介して放送波Wにより、利用者端末50に配信される。
このようにコンテンツ配信サーバ20を構成することで、コンテンツ配信サーバ20は、メーカ秘密情報が更新された場合に、その更新情報となるメーカ更新情報(Mup)をコンテンツとともに利用者端末50に配信することができる。
(利用者端末の構成)
次に、図4および図5を参照して、利用者端末の構成について説明する。なお、以下では、利用者端末を構成する受信装置と、その内部に装着されるセキュリティモジュールとに分けて説明する。
〔利用者端末における受信装置の構成〕
まず、図4を参照(適宜図1参照)して、利用者端末50における受信装置60の構成について説明する。図4は、本発明の第1実施形態に係る受信装置の構成を示すブロック図である。ここでは、受信装置60は、公開情報受信手段61と、公開情報分離手段62と、鍵受信手段63と、コンテンツ復号手段64と、鍵情報送信手段65と、メーカ秘密情報記憶手段66と、メーカ情報送信手段67と、秘密情報認証応答手段68と、を備えている。
公開情報受信手段61は、放送波Wを介して配信された公開情報を受信するものである。この受信された公開情報は、公開情報分離手段62に出力される
公開情報分離手段62は、公開情報受信手段61で受信された公開情報から、暗号化コンテンツと、暗号化鍵情報とを分離するものである。この分離された暗号化コンテンツは、コンテンツ復号手段64に出力され、分離された暗号化鍵情報は、鍵情報送信手段65に出力される。
鍵受信手段63は、セキュリティモジュール70から送信されたスクランブル鍵(Ks)を受信するものである。この受信されたスクランブル鍵は、コンテンツ復号手段64に出力される。
コンテンツ復号手段64は、公開情報分離手段62で分離された暗号化コンテンツを、鍵受信手段63で受信されたスクランブル鍵で復号するものである。この復号されたコンテンツは、図示を省略した表示装置等に出力される。なお、セキュリティモジュール70から、スクランブル鍵が送信されなかった場合、コンテンツ復号手段64は、暗号化コンテンツの復号が行えず、その旨を表示装置等に出力する。
鍵情報送信手段65は、公開情報分離手段62で分離された暗号化鍵情報をセキュリティモジュール70に送信するものである。
メーカ秘密情報記憶手段(秘密情報記憶手段)66は、認証情報生成サーバ10で生成されたメーカ秘密情報(Smid;グループ単位秘密情報)および暗号化メーカ秘密情報(ESmid;暗号化グループ単位秘密情報)をメーカ識別子(mid)とともに予め記憶したものであって、ハードディスク等の一般的な記憶装置である。なお、このメーカ秘密情報記憶手段66に記憶されているメーカ秘密情報および暗号化メーカ秘密情報ESmidは、認証情報生成サーバ10において、いつ生成されたものであるのかがわからないため、生成された順番を特定する場合、順番を示す番号jを付加し、SmidjおよびESmidjと表記することとする。
メーカ情報送信手段(秘密情報送信手段)67は、メーカ秘密情報記憶手段66に記憶されているメーカ識別子と暗号化メーカ秘密情報とを、メーカ情報としてセキュリティモジュール70に送信するものである。すなわち、メーカ情報送信手段67は、メーカ秘密情報記憶手段66に記憶されているメーカ識別子(mid)と、暗号化メーカ秘密情報(ESmidj)とから構成されるメーカ情報(Imid=(mid,ESmidj))をセキュリティモジュール70に送信する。このメーカ情報をセキュリティモジュール70に送信することで、セキュリティモジュール70において、受信装置60において正しく更新されたメーカ秘密情報が記憶されているかが確認されることになる。
秘密情報認証応答手段68は、セキュリティモジュール70との間で認証を行うものであって、セキュリティモジュール70からの認証の要求に対し応答を行うものである。ここでは、秘密情報認証応答手段68は、認証チャレンジ受信手段681、認証レスポンス生成手段682、認証レスポンス送信手段683と、を備えている。
認証チャレンジ受信手段681は、セキュリティモジュール70から送信されたメーカ認証チャレンジ情報(CHmid)を受信するものである。このメーカ認証チャレンジ情報は、セキュリティモジュール70内部で生成される情報である。この受信されたメーカ認証チャレンジ情報は、認証レスポンス生成手段682に出力される。
認証レスポンス生成手段682は、認証チャレンジ受信手段681で受信されたメーカ認証チャレンジ情報に対する応答であるメーカ認証レスポンス情報を、メーカ秘密情報記憶手段66に記憶されているメーカ秘密情報を用いて生成するものである。
なお、メーカ認証レスポンス情報の生成は、セキュリティモジュール70(認証レスポンス判定手段754(図5))と同一の手法であればよい。例えば、認証レスポンス生成手段682は、メーカ認証チャレンジ情報(CHmid)と、メーカ秘密情報(Smidj)と、セキュリティモジュール70で使用するものと同一のハッシュ関数Hash()とにより、メーカ認証レスポンス情報(ECHmid)を、ECHmid=Hash(CHmid,Smidj)として生成する。
また、例えば、認証レスポンス生成手段682は、共通鍵暗号方式により、メーカ秘密情報(Smidj)を暗号化鍵とし、メーカ認証チャレンジ情報(CHmid)を暗号化することで、メーカ認証レスポンス情報(ECHmid)を、ECHmid=ENC(CHmid,Smidj)(ただし、ENC(a,b)はデータaを鍵bにより暗号化することを示す)として生成してもよい。
この認証レスポンス生成手段682で生成されたメーカ認証レスポンス情報は、認証レスポンス送信手段683に出力される。
認証レスポンス送信手段683は、認証レスポンス生成手段682で生成されたメーカ認証レスポンス情報を、セキュリティモジュール70に送信するものである。
このように受信装置60を構成することで、受信装置60は、メーカ秘密情報を用いて、セキュリティモジュール70との間で、認証を行うことが可能になる。
〔利用者端末におけるセキュリティモジュールの構成〕
次に、図5を参照(適宜図1参照)して、利用者端末50におけるセキュリティモジュール70の構成について説明する。図5は、本発明の第1実施形態に係るセキュリティモジュールの構成を示すブロック図である。ここでは、セキュリティモジュール70は、鍵・更新情報抽出手段71と、更新情報確認手段72と、デバイス鍵記憶手段73と、メーカ情報記憶手段74と、秘密情報認証確認手段75と、鍵送信制御手段76と、を備えている。
鍵・更新情報抽出手段71は、受信装置60から送信された暗号化鍵情報から、暗号化コンテンツを復号するスクランブル鍵(Ks)と、メーカ更新情報(Mup=(mid,Smidi)、または、Mup=(mid,Smidi−1,Smidi))とを分離抽出するものである。ここでは、鍵・更新情報抽出手段71は、鍵情報受信手段711と、鍵情報復号手段712と、鍵情報分離手段713と、を備えている。
鍵情報受信手段711は、受信装置60から送信された暗号化鍵情報を受信するものである。この受信された暗号化鍵情報は、鍵情報復号手段712に出力される。なお、この暗号化鍵情報は、放送波Wを介して配信されて、受信装置60が受信した情報である。
鍵情報復号手段712は、鍵情報受信手段711で受信された暗号化鍵情報を、ワーク鍵(Kw)で復号するものである。この暗号化鍵情報を復号することで得られた鍵情報は、鍵情報分離手段713に出力される。なお、暗号化鍵情報を復号するワーク鍵(Kw)は、従来の限定受信方式で使用されているワーク鍵と同様のものであって、図示を省略した半導体メモリ等に記憶されているものとする。
鍵情報分離手段713は、鍵情報復号手段712で復号された鍵情報を個々の情報に分離するものである。ここでは、鍵情報分離手段713は、鍵情報を、スクランブル鍵(Ks)と、メーカ更新情報(Mup=(mid,Smid)、または、Mup=(mid,Smidi−1,Smidi))とに分離する。なお、鍵情報分離手段713は、メーカ情報記憶手段74に記憶されているメーカ識別子(mid)と同一のメーカ識別子を有するメーカ更新情報のみを分離抽出するものとする。さらに、鍵情報分離手段713は、その分離されたメーカ更新情報Mupを、メーカ識別子midと、メーカ秘密情報(Smidi、または、(Smidi−1,Smidi))とに分離する。分離されたスクランブル鍵(Ks)は、鍵送信制御手段76に出力される。また、分離されたメーカ秘密情報(第1グループ単位秘密情報:Smidi、または、(Smidi−1,Smidi))は、更新情報確認手段72に出力される。また、分離されたメーカ識別子(mid)およびメーカ秘密情報(Smidi、または、(Smidi−1,Smidi))は、メーカ情報記憶手段74に書き込まれ、記憶される。
更新情報確認手段72は、受信装置60から送信されたメーカ情報に含まれるメーカ秘密情報と、鍵・更新情報抽出手段71で分離抽出されたメーカ秘密情報との同一性を確認するものである。ここでは、更新情報確認手段72は、メーカ情報受信手段721と、識別子分離手段722と、秘密情報復号手段723と、更新情報判定手段724と、を備えている。
メーカ情報受信手段(秘密情報受信手段)721は、受信装置60から送信されたメーカ情報(Imid=(mid,ESmidj))を受信するものである。この受信されたメーカ情報は、識別子分離手段722に出力される。
識別子分離手段722は、メーカ情報受信手段721で受信されたメーカ情報(Imid=(mid,ESmidj))からメーカ識別子(mid)と暗号化メーカ秘密情報(ESmidj)とを分離するものである。この分離されたメーカ識別子(mid)は、メーカ情報記憶手段74に書き込まれ、記憶される。また、分離された暗号化メーカ秘密情報(ESmidj)は、秘密情報復号手段723に出力される。
秘密情報復号手段723は、識別子分離手段722で分離された暗号化メーカ秘密情報(ESmidj)を、デバイス鍵記憶手段73に記憶されているデバイス鍵(Kd)で復号するものである。この復号されたメーカ秘密情報(第2グループ単位秘密情報:Smidj)は、メーカ情報記憶手段74に書き込まれ、記憶される。
更新情報判定手段724は、鍵・更新情報抽出手段71(鍵情報分離手段713)で分離抽出されたメーカ秘密情報(Smidi、または、(Smidi−1,Smidi))と、秘密情報復号手段723で復号され、メーカ情報記憶手段74に記憶されているメーカ秘密情報(Smidj)とが一致するか否かを判定するものである。なお、鍵・更新情報抽出手段71で分離抽出されたメーカ秘密情報には、(Smidi)と(Smidi−1,Smidi)との2つのタイプがある。メーカ秘密情報が前者(Smidi)の場合、更新情報判定手段724は、メーカ秘密情報(Smidi)と、秘密情報復号手段723で復号され、メーカ情報記憶手段74に記憶されているメーカ秘密情報(Smidj)とが一致するか否かを判定する。一方、メーカ秘密情報が後者(Smidi−1,Smidi)の場合、更新情報判定手段724は、メーカ秘密情報(Smidi−1,Smidi)のどちらかがメーカ情報記憶手段74に記憶されているメーカ秘密情報(Smidj)と一致しているか否かを判定する。そして、更新情報判定手段724はメーカ秘密情報が一致する場合、スクランブル鍵の送信を許可する旨の指示を鍵送信制御手段76に出力し、一致しない場合、スクランブル鍵の送信を許可しない旨の指示を鍵送信制御手段76に出力する。
ここで、鍵・更新情報抽出手段71の鍵情報分離手段713で分離抽出されたメーカ秘密情報(Smidi、または、(Smidi−1,Smidi))は、放送波Wを介して配信される公開情報に含まれている暗号化鍵情報から抽出されたものであり、秘密情報復号手段723で復号され、メーカ情報記憶手段74に記憶されているメーカ秘密情報(Smidj)は、予め受信装置60に登録されているメーカ情報から抽出されたものである。これによって、同一のメーカ秘密情報を保持していない受信装置60に対して、スクランブル鍵の送信を停止させることができる。
デバイス鍵記憶手段73は、認証情報生成サーバ10のデバイス鍵生成手段12(図2)で生成されたデバイス鍵を予め記憶しておくものであって、半導体メモリ等の一般的な記憶媒体である。なお、このデバイス鍵は、セキュリティモジュール70の製造段階に予め書き込まれているものとする。
メーカ情報記憶手段(第2秘密情報記憶手段)74は、鍵・更新情報抽出手段71によって分離抽出されたメーカ秘密情報(第1グループ単位秘密情報:Smidi、または、(Smidi−1,Smidi);グループ単位秘密情報)および更新情報確認手段72の秘密情報復号手段723で復号されたメーカ秘密情報(第2グループ単位秘密情報:Smidj)を記憶するものであって、半導体メモリ等の一般的な記憶媒体である。すなわち、メーカ情報記憶手段74には、受信装置60から出力されたメーカ識別子(mid)に対応付けて、受信装置60からメーカ情報として出力され、復号されたメーカ秘密情報(Smidj)と、コンテンツ配信サーバ20から公開情報として配信され、復号されたメーカ秘密情報(Smidi−1,Smidi)とが更新に応じて記憶されることになる。
秘密情報認証確認手段75は、受信装置60との間で認証を行うものであって、受信装置60に対して認証の要求を行い、その応答によって認証を行うものである。この秘密情報認証確認手段75は、チャレンジ/レスポンス認証方式により認証を行う。ここでは、秘密情報認証確認手段75は、認証チャレンジ生成手段751と、認証チャレンジ送信手段752と、認証レスポンス受信手段753と、認証レスポンス判定手段754と、を備えている。
認証チャレンジ生成手段751は、受信装置60に対して送信するチャレンジ/レスポンス認証方式におけるチャレンジ情報であるメーカ認証チャレンジ情報(CHmid)を生成するものである。ここでは、認証チャレンジ生成手段751は、ランダムに生成した乱数をメーカ認証チャレンジ情報として使用する。この生成されたメーカ認証チャレンジ情報は、認証チャレンジ送信手段752と、認証レスポンス判定手段754とに出力される。
認証チャレンジ送信手段752は、認証チャレンジ生成手段751で生成されたメーカ認証チャレンジ情報を、受信装置60に送信するものである。このメーカ認証チャレンジ情報に対する応答(メーカ認証レスポンス情報)が、受信装置60において生成されることになる。
認証レスポンス受信手段753は、受信装置60から送信されたメーカ認証レスポンス情報を受信するものである。この受信されたメーカ認証レスポンス情報は、認証レスポンス判定手段754に出力される。
認証レスポンス判定手段754は、認証レスポンス受信手段753で受信されたメーカ認証レスポンス情報が、認証チャレンジ生成手段751で生成されたメーカ認証チャレンジ情報により生成されたものと一致するか否かを判定するものである。
例えば、受信装置60の認証レスポンス生成手段682(図4)において、ハッシュ関数によりメーカ認証レスポンス情報(ECHmid)を生成することとした場合、認証レスポンス判定手段754は、認証チャレンジ生成手段751で生成されたメーカ認証チャレンジ情報(CHmid)と、鍵・更新情報抽出手段71で分離され、メーカ情報記憶手段74に記憶されているメーカ秘密情報(Smidi、または、(Smidi−1,Smidi))とを、認証レスポンス生成手段682と同一のハッシュ関数Hash()により演算を行い、メーカ認証レスポンス情報(ECHmid)と比較し、同一の値であるか否かを判定する。
なお、鍵・更新情報抽出手段71で分離抽出されたメーカ秘密情報には、(Smidi)と(Smidi−1,Smidi)との2つのタイプがある。メーカ秘密情報が前者(Smidi)の場合、認証レスポンス判定手段754は、認証チャレンジ生成手段751で生成されたメーカ認証チャレンジ情報(CHmid)とメーカ秘密情報(Smidi)とをハッシュ関数Hash()により演算し、メーカ認証レスポンス情報(ECHmid)と同一の値であるか否かを判定する。一方、メーカ秘密情報が後者(Smidi−1,Smidi)の場合、認証レスポンス判定手段754は、メーカ認証チャレンジ情報(CHmid)とメーカ秘密情報(Smidi)とをハッシュ関数Hash()により演算した値と、メーカ認証チャレンジ情報(CHmid)とメーカ秘密情報(Smidi−1)とをハッシュ関数Hash()により演算した値とのいずれか一方が、メーカ認証レスポンス情報(ECHmid)と同一である場合に、同一の値であると判定する。
また、例えば、受信装置60の認証レスポンス生成手段682(図4)において、共通鍵暗号方式によりメーカ認証レスポンス情報(ECHmid)を生成することとした場合、認証レスポンス判定手段754は、認証チャレンジ生成手段751で生成されたメーカ認証チャレンジ情報(CHmid)を、メーカ情報記憶手段74に記憶されているメーカ秘密情報(Smid)により暗号化することで、メーカ認証レスポンス情報(ECHmid′)を生成する。そして、認証レスポンス判定手段754は、メーカ認証レスポンス情報(ECHmid′)と、認証レスポンス受信手段753で受信されたメーカ認証レスポンス情報(ECHmid)とを比較し、同一の値であるか否かを判定する。
この場合も、メーカ秘密情報がSmidiの場合、認証レスポンス判定手段754は、認証チャレンジ生成手段751で生成されたメーカ認証チャレンジ情報(CHmid)をメーカ秘密情報(Smidi)により暗号化することでメーカ認証レスポンス情報(ECHmidi)を生成し、メーカ認証レスポンス情報(ECHmid)と同一の値であるか否かを判定する。一方、メーカ秘密情報が(Smidi−1,Smidi)の場合、認証レスポンス判定手段754は、メーカ認証チャレンジ情報(CHmid)をメーカ秘密情報(Smidi−1)により暗号化することで生成したメーカ認証レスポンス情報(ECHmidi−1)と、メーカ認証チャレンジ情報(CHmid)をメーカ秘密情報(Smidi)により暗号化することで生成したメーカ認証レスポンス情報(ECHmidi)とのいずれか一方が、メーカ認証レスポンス情報(ECHmid)と同一である場合に、同一の値であると判定する。
この認証レスポンス判定手段754は、メーカ認証チャレンジ情報とメーカ認証レスポンス情報との同一性(対応したものであること)が確認された場合、スクランブル鍵の送信を許可する旨の指示を鍵送信制御手段76に出力し、同一性が確認されなかった場合、スクランブル鍵の送信を許可しない旨の指示を鍵送信制御手段76に出力する。
鍵送信制御手段76は、鍵・更新情報抽出手段71で抽出されたスクランブル鍵を、受信装置60に出力するか否かを制御するものである。ここでは、鍵送信制御手段76は、更新情報確認手段72(更新情報判定手段724)および秘密情報認証確認手段75(認証レスポンス判定手段754)の両手段から、ともにスクランブル鍵の送信を許可する旨の指示を受信した場合にのみ、スクランブル鍵を受信装置60に出力する。
このようにセキュリティモジュール70を構成することで、セキュリティモジュール70は、メーカ秘密情報を用いて、受信装置60との間で、認証を行うことが可能になる。
以上説明したように、コンテンツ配信システム1を構成することで、受信装置60とセキュリティモジュール70との間で、メーカ秘密情報に基づいて、認証を行うことができ、不正な受信装置におけるコンテンツの不正利用を防止することができる。また、セキュリティモジュール70において、放送波Wを介して配信されるメーカ秘密情報により、メーカ秘密情報を更新することができるため、例え、メーカ秘密情報を不正に入手して受信装置が製造された場合であっても、メーカ秘密情報を更新することで、当該不正な受信装置におけるコンテンツの不正利用を停止させることができる。
[コンテンツ配信システムの動作]
次に、図6〜図10を参照して、本発明の第1実施形態に係るコンテンツ配信システムの動作について説明する。以下では、認証情報生成サーバのメーカ秘密情報の生成動作、メーカ秘密情報を用いた利用者端末(受信装置およびセキュリティモジュール)の認証動作、メーカ秘密情報の更新認証動作、メーカ秘密情報が漏洩した受信装置の利用停止動作(リボーク動作)について順次説明を行う。
(認証情報生成サーバのメーカ秘密情報の生成動作)
最初に、図6を参照(適宜図2参照)して、認証情報生成サーバにおけるメーカ秘密情報の生成動作について説明する。図6は、本発明の第1実施形態に係る認証情報生成サーバにおけるメーカ秘密情報の生成動作を示すフローチャートである。なお、メーカ秘密情報を暗号化するデバイス鍵(Kd)は、予めデバイス鍵生成手段12によって生成されたものが、認証用情報記憶手段13に書き込まれているものとする。また、そのデバイス鍵は、デバイス鍵出力手段18によって、認証用情報記憶手段13から読み出され、出力されているものとする。
まず、認証情報生成サーバ10は、秘密・更新情報生成手段11の識別子受信手段111によって、外部からキーボード等の入力手段(図示せず)により、受信装置60のメーカを識別するメーカ識別子(mid)を受信し、認証用情報記憶手段13に書き込む(ステップS1)。
そして、認証情報生成サーバ10は、秘密・更新情報生成手段11の秘密情報生成手段112によって、ステップS1で受信されたメーカ識別子に対応付けて、乱数によりランダムにメーカ秘密情報(Smidi)を生成し、認証用情報記憶手段13に書き込む(ステップS2)。
その後、認証情報生成サーバ10は、秘密情報暗号化手段16によって、メーカ秘密情報(Smidi)を、デバイス鍵(Kd)で暗号化することで、暗号化メーカ秘密情報(ESmidi)を生成する(ステップS3)。そして、認証情報生成サーバ10は、秘密情報出力手段17によって、ステップS3で生成された暗号化メーカ秘密情報(ESmidi)と、その元となるメーカ秘密情報(Smidi)とを出力する(ステップS4)。
以上の動作によって、認証情報生成サーバ10は、メーカ(機種)ごとに異なるメーカ秘密情報(暗号化メーカ秘密情報)を生成することができる。
(メーカ秘密情報を用いた利用者端末の認証動作)
次に、図7を参照(適宜図4および図5参照)して、メーカ秘密情報を用いた利用者端末の認証動作について説明する。図7は、本発明の第1実施形態に係る利用者端末(受信装置およびセキュリティモジュール)における受信装置のメーカ秘密情報を用いた認証動作を示すフローチャートである。なお、本動作は、利用者端末50の新規購入等によって、受信装置60にセキュリティモジュール70を初めて接続した場合等、新規に受信装置60の認証を行う際に動作するものである。また、この認証を行うために、放送波を介して配信される公開情報には、定期的にメーカ秘密情報が付加されているものとする。
まず、受信装置60は、メーカ情報送信手段67によって、メーカ秘密情報記憶手段66に記憶されているメーカ情報(Imid=(mid,ESmid))を、セキュリティモジュール70に送信する(ステップS10)。
一方、セキュリティモジュール70は、更新情報確認手段72のメーカ情報受信手段721によって、受信装置60から送信されたメーカ情報(Imid=(mid,ESmid))を受信する(ステップS11)。そして、セキュリティモジュール70は、識別子分離手段722によって、メーカ情報からメーカ識別子(mid)を分離し、メーカ情報記憶手段74に記憶する(ステップS12)。さらに、セキュリティモジュール70は、秘密情報復号手段723によって、暗号化メーカ秘密情報(ESmid:ESmidj)を復号することで、メーカ秘密情報(Smid:Smidj)を取得し(ステップS13)、メーカ情報記憶手段74に記憶する(ステップS14)。
次に、受信装置60は、公開情報受信手段61によって、放送波を介して配信された公開情報を受信する(ステップS20)。そして、受信装置60は、公開情報分離手段62によって、公開情報に含まれているコンテンツ(暗号化コンテンツ)、暗号化鍵情報を分離する(ステップS21)。そして、受信装置60は、鍵情報送信手段65によって、分離された暗号化鍵情報をセキュリティモジュール70に送信する(ステップS22)。
そして、セキュリティモジュール70は、鍵・更新情報抽出手段71の鍵情報受信手段711によって、受信装置60から送信された暗号化鍵情報を受信する(ステップS23)。そして、セキュリティモジュール70は、鍵情報復号手段712によって、受信された暗号化鍵情報をワーク鍵Kwで復号し、鍵情報分離手段713によって、その復号された鍵情報を、スクランブル鍵(Ks)と、メーカ秘密情報(Smid′:Smidi、または、(Smidi−1,Smidi)とに分離する(ステップS24)。
そして、セキュリティモジュール70は、更新情報確認手段72の更新情報判定手段724によって、秘密情報復号手段723で復号されメーカ情報記憶手段74に記憶されているメーカ秘密情報(Smidj)と、受信されたメーカ秘密情報(Smid′:Smidi、または、(Smidi−1,Smidi))とを比較する(ステップS25)。なお、このステップS25において、メーカ秘密情報Smid′が(Smidi)の場合、更新情報判定手段724は、メーカ秘密情報(Smidi)と、秘密情報復号手段723で復号され、メーカ情報記憶手段74に記憶されているメーカ秘密情報(Smidj)とが一致するか否かを判定する。一方、メーカ秘密情報Smid′が(Smidi−1,Smidi)の場合、更新情報判定手段724は、メーカ秘密情報(Smidi−1,Smidi)のどちらかがメーカ情報記憶手段74に記憶されているメーカ秘密情報(Smidj)と一致しているか否かを判定する。
ここで、メーカ秘密情報が同一でない場合(ステップS25でNo)、セキュリティモジュール70は、鍵送信制御手段76によって、スクランブル鍵の受信装置60への出力を中止する(ステップS38)。一方、メーカ秘密情報が同一である場合(ステップS25でYes)、セキュリティモジュール70は、ステップS30以降の認証動作を実行する。
すなわち、セキュリティモジュール70は、秘密情報認証確認手段75の認証チャレンジ生成手段751によって、チャレンジ/レスポンス認証方式におけるチャレンジ情報であるメーカ認証チャレンジ情報(CHmid)を生成する(ステップS30)。そして、セキュリティモジュール70は、認証チャレンジ送信手段752によって、ステップS30で生成されたメーカ認証チャレンジ情報(CHmid)を受信装置60に送信する(ステップS31)。
一方、受信装置60は、秘密情報認証応答手段68の認証チャレンジ受信手段681によって、セキュリティモジュール70から送信されたメーカ認証チャレンジ情報(CHmid)を受信する(ステップS32)。
そして、受信装置60は、認証レスポンス生成手段682によって、受信されたメーカ認証チャレンジ情報(CHmid)と、メーカ秘密情報記憶手段66に記憶されているメーカ秘密情報(Smidj)とから、メーカ認証レスポンス情報(ECHmidj)を生成する(ステップS33)。そして、受信装置60は、認証レスポンス送信手段683によって、ステップS33で生成されたメーカ認証レスポンス情報(ECHmidj)をセキュリティモジュール70に送信する(ステップS34)。
そして、セキュリティモジュール70は、秘密情報認証確認手段75の認証レスポンス受信手段753によって、受信装置60から送信されたメーカ認証レスポンス情報(ECHmidj)を受信する(ステップS35)。
その後、セキュリティモジュール70は、認証レスポンス判定手段754によって、ステップS30で生成されたメーカ認証チャレンジ情報(CHmid)と、秘密情報復号手段723で復号され、メーカ情報記憶手段74に記憶されているメーカ秘密情報(Smidj)とから、受信装置60と同一のハッシュ関数Hash()により演算(Hash(CHmid,Smidj))を行い、正規の受信装置60で生成されるはずのメーカ認証チャレンジ情報(ECHmid′)を生成する(ステップS36)。
そして、セキュリティモジュール70は、認証レスポンス判定手段754によって、ステップS35で受信されたメーカ認証レスポンス情報(ECHmid:ECHmidj)と、ステップS36で生成されたメーカ認証チャレンジ情報(ECHmid′)とを比較する(ステップS37)。
ここで、両情報(ECHmid,ECHmid′)が同一でない場合(ステップS37でNo)、セキュリティモジュール70は、鍵送信制御手段76によって、スクランブル鍵の受信装置60への出力を中止する(ステップS38)。一方、両情報が同一である場合(ステップS37でYes)、セキュリティモジュール70は、鍵送信制御手段76によって、スクランブル鍵を受信装置60に出力する(ステップS39)。
以上の動作によって、利用者端末50は、メーカ秘密情報に基づいて、受信装置60とセキュリティモジュール70との間で、認証を行うことができる。
(メーカ秘密情報の更新認証動作)
次に、図8を参照(適宜図4および図5参照)して、メーカ秘密情報の更新認証動作について説明する。図8は、本発明の第1実施形態に係る利用者端末(受信装置およびセキュリティモジュール)における受信装置のメーカ秘密情報の更新認証動作を示すフローチャートである。なお、本動作は、放送波を通じて新しいメーカ秘密情報が送信され、メーカ秘密情報が更新される場合に、受信装置60の認証を行う動作である。また、この認証を行うために、放送波を介して配信される公開情報には、定期的に更新情報が付加されているものとする。
まず、受信装置60は、公開情報受信手段61によって、放送波を介して配信された公開情報を受信する(ステップS20)。そして、受信装置60は、公開情報分離手段62によって、公開情報に含まれているコンテンツ(暗号化コンテンツ)、暗号化鍵情報を分離する(ステップS21)。そして、受信装置60は、鍵情報送信手段65によって、ステップS21で分離された暗号化鍵情報をセキュリティモジュール70に送信する(ステップS22)。
一方、セキュリティモジュール70は、鍵・更新情報抽出手段71の鍵情報受信手段711によって、受信装置60から送信された暗号化鍵情報を受信する(ステップS23)。
そして、セキュリティモジュール70は、鍵・更新情報抽出手段71の鍵情報復号手段712によって、ステップS23で受信された暗号化鍵情報をワーク鍵Kwで復号し、鍵情報分離手段713によって、その復号された鍵情報を、スクランブル鍵(Ks)と、メーカ更新情報(Mup)とに分離する(ステップS24)。さらに、セキュリティモジュール70は、鍵情報分離手段713によって、メーカ情報記憶手段74に記憶されているメーカ識別子(mid)を取得し、復号された鍵情報にメーカ識別子(mid)に相当するメーカ更新情報があるか否かを判定する(ステップS25)。
ここで、メーカ識別子(mid)に相当するメーカ更新情報が存在しない場合(ステップS25でNo)、セキュリティモジュール70は、更新認証動作を終了する。一方、メーカ識別子(mid)に相当するメーカ更新情報がある場合(ステップS25でYes)、セキュリティモジュール70は、鍵情報分離手段713によって、そのメーカ更新情報から、メーカ秘密情報(Smid:Smidi、または、(Smidi−1,Smidi))を分離する(ステップS26)。
そして、セキュリティモジュール70は、更新情報判定手段724によって、これ以前に鍵・更新情報抽出手段71で分離し、メーカ情報記憶手段74に記憶されているメーカ秘密情報(Smid′:Smidj、または、(Smidj−1,Smidj))を取得し、ステップS26において分離されたメーカ情報記憶手段74に記憶されているメーカ秘密情報(Smid)とを比較する(ステップS28)。
ここで、メーカ秘密情報が同一である場合(ステップS28でNo)、セキュリティモジュール70は、更新認証動作を終了する。一方、メーカ秘密情報が同一でない場合(ステップS28でYes)、セキュリティモジュール70は、更新情報判定手段724によって、ステップS26で分離されたメーカ秘密情報(Smid)を、メーカ情報記憶手段74に書き込み、記憶(更新)する(ステップS29)。
そして、セキュリティモジュール70は、ステップS30A以降の認証動作を、受信装置60に対して実行する。なお、図8中、ステップS30Aは、図7のステップS30〜S37と同一の動作を示している。
以上の動作によって、利用者端末50は、メーカ秘密情報の更新情報に基づいて、受信装置60とセキュリティモジュール70との間で、認証を行うことができる。また、これによって、正しい更新情報が登録されていない受信装置60におけるコンテンツの利用を停止させることができる。
なお、図8では、メーカ秘密情報が同一であるか否かの判断により、メーカ情報記憶手段74に記憶されているメーカ秘密情報を更新するか否かを決定したが、本発明は、他の方法を用いてもよい。例えば、認証情報生成サーバ10(図2参照)の更新情報合成手段14において、メーカ更新情報(Mup)を生成する際に、メーカ更新情報(Mup=(mid,Smid))に、更新フラグ(u_flg)をさらに付加した更新フラグ付きのメーカ更新情報(Mup=(mid,u_flg,Smid))として生成してもよい。この場合、例えば、u_flg=1の場合、更新情報判定手段724は、メーカ情報記憶手段74の内容を更新し、その後の認証を行う。また、u_flg=0の場合、更新情報判定手段724は、メーカ情報記憶手段74の内容の更新およびその後の認証を行わないこととする。これによって、更新情報判定手段724は、メーカ情報記憶手段74から、何回もメーカ秘密情報を取得する必要がなくなる。
(リボーク動作)
次に、図9および図10を参照して、メーカ秘密情報が漏洩した際の受信装置の利用停止動作(リボーク動作)について説明する。ここでは、リボーク動作を、受信装置の利用停止動作を行う前の準備段階としてのメーカのリコール時の動作(リコール動作)と、リコール期間を終了した際に、リコールが行われていない受信装置の利用を停止させる動作(リコール期間終了時動作)とについて説明する。なお、メーカ秘密情報が漏洩した際の受信装置の特定は、不正受信装置特定システムにおいて行うことができる。この不正受信装置特定システムについては、後で説明を行うこととする。
(リボーク動作1:リコール動作)
最初に、図9を(適宜図2および図3参照)参照して、リコール動作について説明する。図9は、本発明の第1実施形態におけるメーカ秘密情報が漏洩した際の受信装置の利用停止動作を行う前の準備段階としてのメーカのリコール時の動作を示すフローチャートである。
まず、認証情報生成サーバ10は、秘密・更新情報生成手段11の識別子受信手段111によって、不正な受信装置として特定されている受信装置のメーカ識別子(mid)を受信し、秘密・更新情報生成手段11のリボークフラグ受信手段113によって、当該受信装置の利用を停止させる旨を示すリボークフラグ(r_mid=1:リボーク指示)を受信する(ステップS50)。
そして、認証情報生成サーバ10は、更新情報合成手段14によって、ステップS50で入力された指示がリボーク指示であるか否かを判定する(ステップS51)。そして、リボーク指示があった場合、すなわち、リボークフラグが“1”に設定されている場合(ステップS51でYes)、認証情報生成サーバ10は、秘密・更新情報生成手段11の秘密情報生成手段112によって、ステップS50で受信されたメーカ識別子に対応付けて、乱数によりランダムに新規にメーカ秘密情報(Smidi)を生成し、メーカ識別子に対応付けて、認証用情報記憶手段13に書き込む(ステップS52)。
また、認証情報生成サーバ10は、秘密情報暗号化手段16によって、認証用情報記憶手段13に記憶されているメーカ秘密情報(Smidi)を、メーカ識別子(mid)ごとに、デバイス鍵(Kd)で暗号化することで、暗号化メーカ秘密情報(ESmidi)を生成する(ステップS53)。
そして、認証情報生成サーバ10は、秘密情報出力手段17によって、認証用情報記憶手段13に記憶されているメーカ秘密情報(Smidi)と、ステップS53で生成された暗号化メーカ秘密情報(ESmidi)とを出力する(ステップS54)。このステップS54で出力されるメーカ秘密情報および暗号化メーカ秘密情報は、メーカに渡される情報となる。そして、メーカでは、このメーカ秘密情報および暗号化メーカ秘密情報を、リコール等の手段によって、リボークされた受信装置のメーカ秘密情報記憶手段66(図4参照)に書き込む。
そして、認証情報生成サーバ10は、更新情報合成手段14によって、認証用情報記憶手段13に記憶されているメーカ識別子(mid)、現在使用されているメーカ秘密情報(Smidi−1)および新たに生成されたメーカ秘密情報(Smidi)を読み出して合成し、メーカ更新情報(Mup=(mid,Smidi−1,Smidi))を生成する(ステップS55)。そして、認証情報生成サーバ10は、更新情報送信手段15によって、ステップS55で生成されたメーカ更新情報をコンテンツ配信サーバ20に送信する(ステップS56)。
一方、コンテンツ配信サーバ20は、更新情報受信手段22によって、認証情報生成サーバ10から送信されたメーカ更新情報(Mup)を受信する(ステップS57)。そして、コンテンツ配信サーバ20は、鍵合成手段23によって、スクランブル鍵(Ks)と、ステップS57で受信されたメーカ更新情報(Mup)とを合成した鍵情報を生成する(ステップS58)。
そして、コンテンツ配信サーバ20は、鍵情報暗号化手段24によって、ステップS58で生成された鍵情報をワーク鍵(Kw)で暗号化する(ステップS59)。さらに、コンテンツ配信サーバ20は、公開情報合成手段25によって、ステップS58で暗号化された鍵情報を暗号化コンテンツと合成することで公開情報を生成する(ステップS60)。その後、コンテンツ配信サーバ20は、公開情報送信手段26によって、ステップS60で生成された公開情報を、放送波を介して利用者端末50に配信する(ステップS61)。
この後、図8のステップS20〜S29の動作によって、セキュリティモジュール70のメーカ秘密情報が更新されることになる。これによって、セキュリティモジュール70は受信装置60との間で、図7で説明した認証を行い、受信装置60が古いメーカ秘密情報(Smidi−1)を記憶している場合、もしくは、リコールにより新しいメーカ秘密情報(Smidi)を記憶している場合でも、認証が成功することになる。すなわち、この段階では、古いメーカ秘密情報(Smidi−1)しか持っていない受信装置60であっても、認証に成功する。
(リボーク動作2:リコール期間終了時動作)
次に、図10を参照(適宜図2および図3参照)して、リコール期間終了により、リコールが行われていない受信装置の利用停止動作(リボーク動作)について説明する。図10は、本発明の第1実施形態におけるリコール期間終了により、リコールが行われていない受信装置の利用を停止させる動作を示すフローチャートである。
まず、認証情報生成サーバ10は、秘密・更新情報生成手段11の識別子受信手段111によって、コンテンツの利用を再開させる受信装置のメーカ識別子(mid)を受信し、秘密・更新情報生成手段11のリボークフラグ受信手段113によって、当該受信装置のリコール期間の終了、および、リコールが行われていない受信装置の利用を停止させる旨を示すリボークフラグ(r_mid=0:リボーク解除指示)を受信する(ステップS70)。
そして、認証情報生成サーバ10は、更新情報合成手段14によって、ステップS70で入力された指示がリボーク解除指示であるか否かを判定する(ステップS71)。そして、リボーク解除指示があった場合、すなわち、リボークフラグが“0”に設定されている場合(ステップS71でYes)、認証情報生成サーバ10は、更新情報合成手段14によって、認証用情報記憶手段13に記憶されているメーカ識別子(mid)および最新のメーカ秘密情報(Smidi)を読み出して合成し、メーカ更新情報Mup=(mid,Smidi)を生成する(ステップS72)。そして、認証情報生成サーバ10は、更新情報送信手段15によって、ステップS72で生成されたメーカ更新情報をコンテンツ配信サーバ20に送信する(ステップS73)。
一方、コンテンツ配信サーバ20は、ステップS74〜S78の動作によって、放送波を介して、メーカ更新情報を含んだ公開情報を受信装置60に配信する。これによって、セキュリティモジュール70のメーカ秘密情報が更新されることになる。なお、このステップS74〜S78の動作は、図9で説明したステップS57〜S61の動作と同一であるため、説明を省略する。
この後、図8のステップS20〜S29の動作によって、セキュリティモジュール70のメーカ秘密情報が更新されることになる。一方、受信装置60においては、同一のメーカ秘密情報で更新されているため、図7の動作において認証が成功し、セキュリティモジュール70から受信装置60へのスクランブル鍵の出力が行われ、リコールが行われた受信装置に関しては、認証に成功し、通常の動作となる。一方、リコールが行われていない受信装置に関しては、受信装置が古いメーカ秘密情報しか持ち得ないため、メーカ秘密情報の相違によって認証が失敗することで、セキュリティモジュール70から受信装置60へのスクランブル鍵の出力が中止され、不正な受信装置においてコンテンツの利用が停止されることになる。
[不正受信装置特定システム]
次に、図11を参照して、コンテンツ配信システム1(図1参照)において、不正に製造された受信装置のメーカ(機種)を特定する不正受信装置特定システムの構成について説明する。図11は、不正受信装置特定システムの全体構成を示すブロック図である。
図11に示すように、不正受信装置特定システム2は、受信装置60と接続することで不正に製造された受信装置を特定するシステムである。ここでは、不正受信装置特定システム2は、テストモジュール80と、メーカ特定装置90とを備えている。
テストモジュール80は、セキュリティモジュール70(図1参照)の代わりに受信装置60に挿入され、受信装置60が生成するメーカ認証レスポンス情報を取得するものである。
メーカ特定装置(グループ特定装置)90は、テストモジュール80によって取得されたメーカ認証レスポンス情報に基づいて、受信装置60のメーカ(機種)を特定するものである。
以下、図12を参照して、テストモジュール80およびメーカ特定装置90の構成について説明する。図12は、不正受信装置特定システムを構成するテストモジュールおよびメーカ特定装置の具体的な構成を示すブロック図である。
(テストモジュールの構成)
まず、図12を参照して、テストモジュール80の構成について説明する。ここでは、テストモジュール80は、認証チャレンジ入力手段81と、認証チャレンジ送信手段82と、認証レスポンス受信手段83と、認証レスポンス出力手段84と、を備えている。
認証チャレンジ入力手段81は、メーカ特定装置90から出力されるメーカ認証チャレンジ情報を入力するものである。この入力されたメーカ認証チャレンジ情報は、認証チャレンジ送信手段82に出力される。
認証チャレンジ送信手段82は、認証チャレンジ入力手段81で入力されたメーカ認証チャレンジ情報を受信装置60に送信するものである。これによって、受信装置60では、秘密情報認証応答手段68(図4参照)によって、メーカ認証レスポンス情報が生成されることになる。
認証レスポンス受信手段83は、受信装置60から、メーカ認証レスポンス情報を受信するものである。この受信されたメーカ認証レスポンス情報は、認証レスポンス出力手段84に出力される。
認証レスポンス出力手段84は、認証レスポンス受信手段83で受信されたメーカ認証レスポンス情報を、メーカ特定装置90に出力するものである。
このように、テストモジュール80は、セキュリティモジュール70の秘密情報認証確認手段75(図5参照)において行われるメーカ認証チャレンジ情報の受信装置60への出力と、受信装置60からのメーカ認証レスポンス情報の入力とを疑似的に再現する。これによって、受信装置60において生成されるメーカ認証レスポンス情報をメーカ特定装置90において収集することができる。
(メーカ特定装置の構成)
次に、図12を参照して、メーカ特定装置90の構成について説明する。ここでは、メーカ特定装置90は、レスポンス情報収集手段91と、レスポンス情報取得手段92と、レスポンス情報記憶手段93と、メーカ探索手段94と、を備えている。
レスポンス情報収集手段91は、外部からメーカ識別子と、メーカ認証チャレンジ情報とを入力し、メーカ(機種)ごとに、メーカ認証チャレンジ情報に対応するメーカ認証レスポンス情報を収集するものである。なお、メーカ認証チャレンジ情報は、図5で説明したセキュリティモジュール70の認証チャレンジ生成手段751で生成するものと同様のものであるが、ここでは、メーカ(機種)固有に予め定めた値を用いることとする。これによって、固有のメーカ認証チャレンジ情報に対して、固有のメーカ認証レスポンス情報を収集することができる。また、ここでは、レスポンス情報収集手段91は、モード切り替え手段911を備えている。
モード切り替え手段911は、外部から入力される指示(モード)に基づいて、レスポンス情報収集手段91の動作を切り替えるものである。ここで、動作モードとしては、「レスポンス収集モード」と、「メーカ探索モード」とがある。
この「レスポンス収集モード」は、正規の受信装置60が生成するメーカ認証レスポンス情報を収集するモードである。また、「メーカ探索モード」は、不正な受信装置60が生成するメーカ認証レスポンス情報と、すでに収集してある正規の受信装置60が生成するメーカ認証レスポンス情報とを比較することで、どのメーカ(機種)の情報をもとに不正な受信装置60が製造されたのかを探索するモードである。
ここで、モードとして「レスポンス収集モード」が設定された場合、レスポンス情報収集手段91は、入力されたメーカ認証チャレンジ情報をレスポンス情報取得手段92に出力する。そして、レスポンス情報収集手段91は、レスポンス情報取得手段92から入力されるメーカ認証レスポンス情報をメーカ識別子に対応付けてレスポンス情報記憶手段93に書き込む。これによって、正規の受信装置60が生成するメーカ認証レスポンス情報が収集されることになる。
また、モードとして「メーカ探索モード」が設定された場合、レスポンス情報収集手段91は、入力されたメーカ認証チャレンジ情報をレスポンス情報取得手段92に出力する。そして、レスポンス情報収集手段91は、レスポンス情報取得手段92から入力されるメーカ認証レスポンス情報を、メーカ探索手段94に出力する。これによって、メーカ探索手段94により、不正な受信装置60のメーカ(メーカ識別子)が特定されることになるが、この説明は後記する。
レスポンス情報取得手段92は、レスポンス情報収集手段91と、テストモジュール80とのインタフェースを行うものである。ここでは、レスポンス情報取得手段92は、認証チャレンジ出力手段921と、認証レスポンス入力手段922と、を備えている。
認証チャレンジ出力手段921は、レスポンス情報収集手段91から入力されたメーカ認証チャレンジ情報を、テストモジュール80に出力するものである。
認証レスポンス入力手段922は、テストモジュール80から、メーカ認証レスポンス情報を入力するものである。この入力されたメーカ認証レスポンス情報は、レスポンス情報収集手段91に出力される。
レスポンス情報記憶手段93は、レスポンス情報収集手段91によって収集されたメーカ認証レスポンス情報をメーカ識別子に対応付けて記憶するものであって、ハードディスク等の一般的な記憶装置である。
メーカ探索手段94は、レスポンス情報収集手段91から入力されるメーカ認証レスポンス情報と、レスポンス情報記憶手段93に記憶されているメーカ認証レスポンス情報とを比較し、同一のメーカ認証レスポンス情報に対応するメーカ識別子を、不正な受信装置として利用されたメーカ(機種)として探索するものである。この探索結果(メーカ識別子)に対応したメーカ更新情報を、認証情報生成サーバ10(図2参照)で生成することで、不正な受信装置に対してリボークを行うことが可能になる。
なお、ここでは、メーカ特定装置90は、正規の受信装置から、メーカ認証レスポンス情報を収集する機能を有することとしたが、予めメーカ(機種)ごとに、メーカ認証チャレンジ情報に対してメーカ認証レスポンスが既知である場合は、その情報をレスポンス情報記憶手段93に予め記憶して、「レスポンス収集モード」の動作を省略することも可能である。
≪第2実施形態≫
[コンテンツ配信システムの構成]
次に、図13を参照して、本発明の第2実施形態に係るコンテンツ配信システムの構成について説明する。図13は、本発明の第2実施形態に係るコンテンツ配信システムの構成を示すブロック図である。
コンテンツ配信システム1Bの構成は、基本的に図1で説明したコンテンツ配信システム1と同様に、限定受信方式によりコンテンツの配信を行うシステムであって、受信装置60Bの正当性を認証することで、受信装置60Bにおけるコンテンツの利用(再生、コピー等)を可能とするものである。なお、コンテンツ配信システム1と、コンテンツ配信システム1Bとでは、認証情報生成サーバ10と、利用者側の端末(利用者端末50)の機能が異なっている。
なお、コンテンツ配信システム1Bは、図4で説明した受信装置60においては、受信装置60がどのメーカのものであるか否かを、メーカ情報(メーカ識別子、暗号化メーカ秘密情報)によりセキュリティモジュール70に通知していたが、この受信装置60Bでは、その通知を行わないこととしている。その代わり、セキュリティモジュール70Bでは、すべてのメーカのメーカ情報を保持している。
以下、コンテンツ配信システム1と異なる認証情報生成サーバ10Bと、利用者端末50Bを構成する受信装置60Bおよびセキュリティモジュール70Bとについて説明を行う。
(認証情報生成サーバの構成)
まず、図14を参照(適宜図13参照)して、認証情報生成サーバの構成について説明する。図14は、本発明の第2実施形態における認証情報生成サーバの構成を示すブロック図である。ここでは、認証情報生成サーバ10Bは、秘密・更新情報生成手段11と、認証用情報記憶手段13と、更新情報合成手段14と、更新情報送信手段15と、秘密情報出力手段17Bと、を備えている。秘密情報出力手段17B以外の構成については、図2で説明した認証情報生成サーバ10と同一のものであるため、同一の符号を付して説明を省略する。
秘密情報出力手段17Bは、認証用情報記憶手段13に記憶されているメーカ秘密情報(Smidi)を、メーカ識別子(mid)ごとに出力するものである。なお、このメーカ秘密情報(Smidi)は、メーカ識別子(mid)に対応するメーカごとに、メーカが製造する受信装置60B内部に予め登録される。
(利用者端末の構成)
次に、図15および図16を参照して、利用者端末50Bの構成について説明する。
〔利用者端末における受信装置の構成〕
まず、図15を参照して、利用者端末50Bにおける受信装置60Bの構成について説明する。図15は、本発明の第2実施形態に係る受信装置の構成を示すブロック図である。ここでは、受信装置60Bは、公開情報受信手段61と、公開情報分離手段62と、鍵受信手段63と、コンテンツ復号手段64と、鍵情報送信手段65と、メーカ秘密情報記憶手段66と、秘密情報認証応答手段68Bと、を備えている。この受信装置60Bは、受信装置60(図4)の構成から、メーカ情報送信手段67を省き、秘密情報認証応答手段68を、その機能を変更した秘密情報認証応答手段68Bに替えて構成している。他の構成については、図4で説明した受信装置60と同一であるため説明を省略する。
秘密情報認証応答手段68Bは、セキュリティモジュール70Bとの間で認証を行うものであって、セキュリティモジュール70Bからの認証の要求に対し応答を行うものである。ここでは、秘密情報認証応答手段68Bは、認証チャレンジ受信手段681、認証レスポンス生成手段682B、認証レスポンス送信手段683と、を備えている。認証レスポンス生成手段682B以外の構成については、図4で説明した秘密情報認証応答手段68の構成と同一であるため説明を省略する。
認証レスポンス生成手段682Bは、認証チャレンジ受信手段681で受信されたメーカ認証チャレンジ情報に対する応答であるメーカ認証レスポンス情報を、メーカ秘密情報記憶手段66に記憶されているメーカ秘密情報を用いて生成するものである。また、この認証レスポンス生成手段682Bで生成するメーカ認証レスポンス情報には、メーカ識別子を付加することとする。以下、メーカ識別子が付加されたメーカ認証レスポンス情報を、識別子付メーカ認証レスポンス情報と呼ぶこととする。
このメーカ認証レスポンスの生成は、図4で説明した秘密情報認証応答手段68と同一であり、例えば、認証レスポンス生成手段682Bは、メーカ認証チャレンジ情報(CHmid)と、メーカ秘密情報(Smid)と、セキュリティモジュール70Bで使用する同一のハッシュ関数Hash()とにより、メーカ認証レスポンス情報(ECHmid)を、ECHmid=Hash(CHmid,Smid)として生成する。
また、例えば、認証レスポンス生成手段682Bは、共通鍵暗号方式により、メーカ秘密情報(Smid)を暗号化鍵とし、メーカ認証チャレンジ情報(CHmid)を暗号化することで、メーカ認証レスポンス情報(ECHmid)を、ECHmid=ENC(CHmid,Smid)(ただし、ENC(a,b)はデータaを鍵bにより暗号化することを示す)として生成してもよい。
そして、認証レスポンス生成手段682Bは、このメーカ認証レスポンス情報(ECHmid)にメーカ秘密情報記憶手段66に記憶されているメーカ識別子(mid)を付加し、識別子付メーカ認証レスポンス情報(RESmid)を、RESmid=(mid,ECHmid)として生成する。
この認証レスポンス生成手段682Bで生成された識別子付メーカ認証レスポンス情報は、認証レスポンス送信手段683に出力される。
これによって、受信装置60Bから、セキュリティモジュール70Bに送信されるメーカ認証レスポンス情報は、メーカ識別子が付加された情報となる。
〔利用者端末におけるセキュリティモジュールの構成〕
次に、図16を参照して、利用者端末50Bにおけるセキュリティモジュール70Bの構成について説明する。図16は、本発明の第2実施形態に係るセキュリティモジュールの構成を示すブロック図である。ここでは、セキュリティモジュール70Bは、鍵・更新情報抽出手段71Bと、メーカ情報記憶手段74と、秘密情報認証確認手段75Bと、鍵送信制御手段76Bと、を備えている。このセキュリティモジュール70Bは、セキュリティモジュール70(図5)の構成から、更新情報確認手段72およびデバイス鍵記憶手段73を省き、鍵・更新情報抽出手段71、秘密情報認証確認手段75および鍵送信制御手段76を、その機能を変更した鍵・更新情報抽出手段71B、秘密情報認証確認手段75Bおよび鍵送信制御手段76Bに替えて構成している。
鍵・更新情報抽出手段71Bは、受信装置60Bから送信された暗号化鍵情報から、暗号化コンテンツを復号するスクランブル鍵(Ks)と、メーカ更新情報(Mup=(mid,Smidi)、または、Mup=(mid,Smidi−1,Smidi))とを分離抽出するものである。ここでは、鍵・更新情報抽出手段71は、鍵情報受信手段711と、鍵情報復号手段712と、鍵情報分離手段713Bと、を備えている。なお、鍵・更新情報抽出手段71Bは、鍵情報分離手段713Bが、図5で説明した鍵情報分離手段713と機能が異なっているだけであるため、他の構成については説明を省略する。
鍵情報分離手段713Bは、鍵情報復号手段712で復号された鍵情報を個々の情報に分離するものである。ここでは、鍵情報分離手段713Bは、鍵情報を、スクランブル鍵(Ks)と、メーカ更新情報(Mup=(mid,Smidi)、または、Mup=(mid,Smidi−1,Smidi))とに分離する。分離されたスクランブル鍵Ksは、鍵送信制御手段76Bに出力される。
また、鍵情報分離手段713Bは、分離されたメーカ更新情報(Mup)に含まれているメーカ識別子midと同一のメーカ識別子が、メーカ情報記憶手段74に存在する場合には、メーカ更新情報Mupをメーカ情報記憶手段74に上書き保存する。また、同一のメーカ識別子が、メーカ情報記憶手段74に存在していない場合には、メーカ更新情報Mupをメーカ情報記憶手段74に追記保存する。
秘密情報認証確認手段75Bは、受信装置60Bとの間で認証を行うものであって、受信装置60Bに対して認証の要求を行い、その応答によって認証を行うものである。この秘密情報認証確認手段75Bは、チャレンジ/レスポンス認証方式により認証を行う。ここでは、秘密情報認証確認手段75Bは、認証チャレンジ生成手段751と、認証チャレンジ送信手段752と、認証レスポンス受信手段753と、認証レスポンス判定手段754Bと、を備えている。なお、秘密情報認証確認手段75Bは、認証レスポンス判定手段754Bが、図5で説明した認証レスポンス判定手段754と機能が異なっているだけであるため、他の構成については説明を省略する。
認証レスポンス判定手段754Bは、認証レスポンス受信手段753で受信されたメーカ認証レスポンス情報(識別子付メーカ認証レスポンス情報)が、認証チャレンジ生成手段751で生成されたメーカ認証チャレンジ情報により生成されたものであるか否かを判定するものである。
例えば、受信装置60Bの認証レスポンス生成手段682B(図15)において、ハッシュは関数により識別子付メーカ認証レスポンス情報(RESmid)を生成することとした場合、以下の手順により判定を行う。
まず、認証レスポンス判定手段754Bは、識別子付メーカ認証レスポンス情報(RESmid=(mid,ECHmid))に含まれているメーカ識別子(mid)に対応するメーカ秘密情報(Smidi、または、(Smidi−1,Smidi))をメーカ情報記憶手段74から読み出して、認証チャレンジ生成手段751で生成されたメーカ認証チャレンジ情報(CHmid)を用いて、認証レスポンス生成手段682Bと同一のハッシュ関数Hash()により、メーカ認証レスポンス情報(ECHmidi、または、(ECHmidi−1,ECHmidi))をECHmid=Hash(CHmid,Smidi)、および、ECHmidi−1=Hash(CHmid,Smidi−1)として生成する。
そして、認証レスポンス判定手段754Bは、この生成されたメーカ認証レスポンス情報(ECHmidi、または、(ECHmidi−1,ECHmidi))と、認証レスポンス受信手段753で受信された識別子付メーカ認証レスポンス情報(RESmid=(mid,ECHmid))に含まれているメーカ認証レスポンス情報(ECHmid)とを比較し、同一の値であるか否かを判定する。
この場合、生成されたメーカ認証レスポンス情報には、(ECHmidi)と、(ECHmidi−1、ECHmidi)との2つのタイプがある。メーカ認証レスポンス情報が前者(ECHmidi)の場合、認証レスポンス判定手段754Bは、生成されたメーカ認証レスポンス情報(ECHmidi)と受信したメーカ認証レスポンス情報(ECHmidi)とを比較し、同一の値であるか否かを判定する。一方、メーカ認証レスポンス情報が後者(ECHmidi−1,ECHmidi)の場合、認証レスポンス判定手段754Bは、生成された2つのメーカ認証レスポンス情報(ECHmidi−1、ECHmidi)と、それぞれに対し、受信したメーカ認証レスポンス情報(ECHmidi−1、ECHmidi)とを比較し、同一の値であるか否かを判定し、どちらか一方でも同一である場合は、同一の値であると判定する。
また、例えば、受信装置60Bの認証レスポンス生成手段682B(図15)において、共通鍵暗号方式によりメーカ認証レスポンス情報(ECHmid)を生成することとした場合、以下の手順により判定を行う。
まず、認証レスポンス判定手段754Bは、認証チャレンジ生成手段751で生成されたメーカ認証チャレンジ情報(CHmid)を、識別子付メーカ認証レスポンス情報(RESmid=(mid,ECHmid))に含まれているメーカ識別子(mid)に対応してメーカ情報記憶手段74に記憶されているメーカ秘密情報(Smid)により暗号化することで、メーカ認証レスポンス情報(ECHmid)を生成する。
そして、認証レスポンス判定手段754Bは、この生成されたメーカ認証レスポンス情報(ECHmid)と、識別子付メーカ認証レスポンス情報(RESmid=(mid,ECHmid))に含まれているメーカ認証レスポンス情報(ECHmid)とを比較し、同一の値であるか否かを判定する。
この場合も、メーカ認証レスポンス情報がECHmidiの場合、認証レスポンス判定手段754Bは、生成されたメーカ認証レスポンス情報(ECHmidi)と受信したメーカ認証レスポンス情報(ECHmidi)とを比較し、同一の値であるか否かを判定する。一方、メーカ認証レスポンス情報が(ECHmidi−1,ECHmidi)の場合、認証レスポンス判定手段754Bは、生成された2つのメーカ認証レスポンス情報(ECHmidi−1、ECHmidi)と、それぞれに対し、受信したメーカ認証レスポンス情報(ECHmidi−1、ECHmidi)とを比較し、同一の値であるか否かを判定し、どちらか一方でも同一である場合は、同一の値であると判定する。
この認証レスポンス判定手段754Bは、メーカ認証チャレンジ情報とメーカ認証レスポンス情報との同一性が確認された場合、スクランブル鍵の送信を許可する旨の指示を鍵送信制御手段76Bに出力し、同一性が確認されなかった場合、スクランブル鍵の送信を許可しない旨の指示を鍵送信制御手段76Bに出力する。
鍵送信制御手段76Bは、鍵・更新情報抽出手段71Bで抽出されたスクランブル鍵を、受信装置60Bに出力するか否かを制御するものである。ここでは、鍵送信制御手段76Bは、秘密情報認証確認手段75B(認証レスポンス判定手段754B)から、スクランブル鍵の送信を許可する旨の指示を受信した場合にのみ、スクランブル鍵を受信装置60Bに出力する。
[コンテンツ配信システムの動作]
次に、図17〜図20を参照して、本発明の第2実施形態に係るコンテンツ配信システムの動作について説明する。以下では、認証情報生成サーバのメーカ秘密情報の生成動作、メーカ秘密情報を用いた利用者端末(受信装置およびセキュリティモジュール)の認証動作、メーカ秘密情報の更新認証動作、メーカ秘密情報が漏洩した受信装置の利用停止動作(リボーク動作)について順次説明を行う。
(認証情報生成サーバのメーカ秘密情報の生成動作)
最初に、図17を参照(適宜図14参照)して、認証情報生成サーバにおけるメーカ秘密情報の生成動作について説明する。図17は、本発明の第2実施形態の認証情報生成サーバにおけるメーカ秘密情報の生成動作を示すフローチャートである。
まず、認証情報生成サーバ10Bは、秘密・更新情報生成手段11Bの識別子受信手段111によって、外部からキーボード等の入力手段(図示せず)により、受信装置60Bのメーカを識別するメーカ識別子(mid)を受信し、認証用情報記憶手段13に書き込む(ステップS1)。
そして、認証情報生成サーバ10Bは、秘密・更新情報生成手段11Bの秘密情報生成手段112によって、ステップS1で受信されたメーカ識別子に対応付けて、乱数によりランダムにメーカ秘密情報(Smidi)を生成し、認証用情報記憶手段13に書き込む(ステップS2)。
そして、認証情報生成サーバ10Bは、秘密情報出力手段17Bによって、ステップS2で生成されたメーカ秘密情報(Smidi)を出力する(ステップS4B)。
以上の動作によって、認証情報生成サーバ10Bは、メーカ(機種)ごとに異なるメーカ秘密情報(暗号化メーカ秘密情報)を生成することができる。
(メーカ秘密情報を用いた利用者端末の認証動作)
次に、図18を参照(適宜図15および図16参照)して、メーカ秘密情報を用いた利用者端末の認証動作について説明する。図18は、本発明の第2実施形態に係る利用者端末(受信装置およびセキュリティモジュール)における受信装置のメーカ秘密情報を用いた認証動作を示すフローチャートである。なお、本動作は、図7で説明した第1実施形態における認証動作において、メーカ秘密情報を受信装置からセキュリティモジュールに送信し、復号するステップがなくなったことと、メーカ認証レスポンスのデータの生成方法が異なるだけである。ここでは、図7で説明した動作と同一の動作については、同一のステップ番号を付し、説明を省略する。
ステップS20〜S24、および、ステップS30〜S32の動作の後、受信装置60Bは、認証レスポンス生成手段682Bによって、メーカ認証チャレンジ情報(CHmid)と、メーカ秘密情報記憶手段66に記憶されているメーカ秘密情報(Smid)およびメーカ識別子(mid)とから、メーカ識別子付きのメーカ認証レスポンス情報(識別子付認証レスポンス情報:RESmid)を,RESmid=(mid,ECHmid(=Hash(CHmid,Smid)))として生成する(ステップS33B)。
そして、受信装置60Bは、認証レスポンス送信手段683によって、ステップS33Bで生成されたメーカ識別子付きのメーカ認証レスポンス情報(識別子付メーカ認証レスポンス情報:RESmid)をセキュリティモジュール70Bに送信する(ステップS34B)。
そして、セキュリティモジュール70Bは、認証レスポンス受信手段753によって、受信装置60Bから送信された識別子付メーカ認証レスポンス情報(RESmid)を受信する(ステップS35B)。
その後、セキュリティモジュール70Bは、認証レスポンス判定手段754Bによって、識別子付メーカ認証レスポンス情報(RESmid=(mid,ECHmid))に含まれているメーカ識別子(mid)に対応するメーカ秘密情報(Smid:Smidi、または、(Smidi−1,Smidi)をメーカ情報記憶手段74から読み出し、ステップS30で生成されたメーカ認証チャレンジ情報(CHmid)と、読み出したメーカ秘密情報(Smid)とから、受信装置60Bと同一のハッシュ関数Hash()により演算(Hash(CHmid,Smidi)、および、Hash(CHmid,Smidi−1))を行い、正規の受信装置60Bで生成されるはずのメーカ認証チャレンジ情報(ECHmid′)を生成する(ステップS36B)。
そして、セキュリティモジュール70Bは、認証レスポンス判定手段754Bによって、ステップS35Bで受信された識別子付メーカ認証レスポンス情報(RESmid)に含まれているメーカ認証レスポンス情報(ECHmid)と、ステップS36Bで生成されたメーカ認証レスポンス情報(ECHmid′)とを比較する(ステップS37B)。なお、このステップS37Bにおいて、メーカ認証レスポンス情報が(ECHmidi)の場合、認証レスポンス判定手段754Bは、生成されたメーカ認証レスポンス情報(ECHmidi)と受信したメーカ認証レスポンス情報(ECHmidi)とを比較し、同一の値であるか否かを判定する。一方、メーカ認証レスポンス情報が(ECHmidi−1,ECHmidi)の場合、認証レスポンス判定手段754Bは、生成された2つのメーカ認証レスポンス情報(ECHmidi−1、ECHmidi)と、それぞれに対し、受信したメーカ認証レスポンス情報(ECHmidi−1、ECHmidi)とを比較し、同一の値であるか否かを判定し、どちらか一方でも同一である場合は、同一の値であると判定する。ステップS38以降の動作については、図7で説明した動作と同一である。
以上の動作によって、利用者端末50Bは、メーカ秘密情報に基づいて、受信装置60Bとセキュリティモジュール70Bとの間で、認証を行うことができる。
(メーカ秘密情報の更新認証動作)
次に、図19を参照(適宜図15および図16参照)して、メーカ秘密情報の更新認証動作について説明する。図19は、本発明の第2実施形態に係る利用者端末(受信装置およびセキュリティモジュール)における受信装置のメーカ秘密情報の更新認証動作を示すフローチャートである。なお、本動作は、図8で説明した第1実施形態における更新認証動作の一部と同一であるため、同一の動作については、同一のステップ番号を付し、説明を省略する。
受信装置60Bは、図8で説明した動作と同様に、ステップS20〜S22によって、放送波を介して配信された公開情報から、暗号鍵情報を分離し、セキュリティモジュール70Bに送信する。
そして、セキュリティモジュール70Bは、鍵・更新情報抽出手段71Bの鍵情報受信手段711によって、受信装置60Bから送信された暗号化鍵情報を受信する(ステップS23)。そして、セキュリティモジュール70Bは、鍵・更新情報抽出手段71Bの鍵情報復号手段712によって、ステップS23で受信された暗号化鍵情報をワーク鍵Kwで復号し、鍵情報分離手段713Bによって、その復号された鍵情報から、スクランブル鍵(Ks)、メーカ更新情報(Mup)を分離し(ステップS24)、さらに、メーカ更新情報を、メーカ識別子(mid)と、メーカ秘密情報(Smid)とに分離する(ステップS25)。さらに、セキュリティモジュール70Bは、鍵情報復号手段712によって、ステップS25で分離されたメーカ秘密情報(Smid)をメーカ識別子(mid)と関連付けてメーカ情報記憶手段74に書き込み、記憶(更新)する(ステップS26)。その後、セキュリティモジュール70B、ステップS30B以降の認証動作を、受信装置60Bに対して実行する。なお、図19中、ステップS30Bは、図18のステップS30〜S37Bと同一の動作を示している。
以上の動作によって、利用者端末50Bは、メーカ秘密情報に基づいて、受信装置60Bとセキュリティモジュール70Bとの間で、認証を行うことができる。また、これによって、メーカ秘密情報が更新されていない受信装置60Bにおけるコンテンツの利用を停止させることができる。
(リボーク動作)
次に、図20および図10を参照して、メーカ秘密情報が漏洩した際の受信装置の利用停止動作(リボーク動作)について説明する。なお、メーカ秘密情報が漏洩した際の受信装置の特定は、図11で説明した不正受信装置特定システムにおいて行うことができる。
(リボーク動作1:リコール動作)
最初に、図20を(適宜図14)参照して、受信装置の利用停止動作を行う前の準備段階としてのメーカのリコール時の動作(リコール動作)について説明する。図20は、本発明の第2実施形態におけるメーカ秘密情報が漏洩した際の受信装置の利用停止動作を行う前の準備段階としてのメーカのリコール時の動作を示すフローチャートである。
この図20に示したリボーク動作は、図9に示した第1実施形態のコンテンツ配信システム1(図1)のリボーク動作に対して、ステップS53を省き、ステップS54を、ステップS54Bに替えている点が異なっている。
すなわち、このステップS54Bにおいて、認証情報生成サーバ10Bは、秘密情報出力手段17Bによって、認証用情報記憶手段13に記憶されているメーカ識別子(mid)およびメーカ秘密情報(Smidi)を読み出して合成し、メーカ更新情報(Mup=(mid,Smidi))を生成している。
この後、ステップS57〜S61までの動作によって、メーカ秘密情報(Smid)を含んだメーカ更新情報(Mup)が公開情報として、放送波を介して、利用者端末50Bに配信されることになる。
そして、図19のステップS20〜S26の動作によって、セキュリティモジュール70Bのメーカ秘密情報が更新されることになる。そして、さらに、セキュリティモジュール70Bが、図19のステップS30B以降の認証動作を、受信装置60Bに対して実行する。これによって、セキュリティモジュール70Bは受信装置60Bとの間で、図18で説明した認証を行い、受信装置が古いメーカ秘密情報(Smidi−1)を記憶している場合、もしくは、リコールにより新しいメーカ秘密情報(Smidi)を記憶している場合でも、認証が成功することになる。すなわち、この段階では、古いメーカ秘密情報(Smidi−1)しか持っていない受信装置60Bであっても、認証に成功する。
(リボーク動作2:リコール期間終了時動作)
リコール期間を終了した際に、リコールが行われていない受信装置の利用を停止させる動作(リコール期間終了時動作)については、図10で説明した本発明の第1実施形態の動作と同一であるため説明を省略する。
以上説明したように、本発明によって、受信装置60,60Bと、セキュリティモジュール70,70Bとで、メーカ秘密情報により認証を行うことができるため、不正に製造された受信装置を特定することができるとともに、不正のあった受信装置のコンテンツの利用を停止させることができる。これによって、本発明は、コンテンツの著作権の保護を適切に行うことができる。