el contenido digital. Sin embargo, una gran cantidad de costo, trabajo y tiempo se requieren para producir el contenido digital. Asi, cuando el contenido digital es copiado y distribuido sin permiso, un productor del contenido digital puede perder utilidades, y el entusiasmo para la creación puede ser desalentado. Como resultado, el desarrollo de negocios de contenido digital podría ser afectado. Hubieron varios esfuerzos por proteger el contenido digital. Convencionalmente, la protección de contenido digital se ha concentrado en evitar el acceso no permitido a contenido digital, permitiendo que sólo personas que han pagado los cargos tengan acceso al contenido digital-. Así, a las personas que han pagado cargos al contenido digital se les permite acceso a contenido digital no encriptado mientras que a las personas que no pagaron cargos no se les permite. En este caso, cuando una persona pagó cargos intencionalmente distribuye el contenido digital a otras personas, sin embargo, la persona puede usar el contenido digital sin pagar cargos. Para resolver este programa, se introdujo el DRM. En DRM, a cualquiera se le permite tener acceso libremente al contenido digital codificado, pero una li-cencia conocida como un objeto de derechos se requiere para decodificar y ejecutar el contenido digital.
En consecuencia, el contenido digital puede ser protegido en forma más efectiva mediante el uso de DRM. La concepción del DRM se describirá con referencia a la figura 1. DRM se refiere al manejo de contenidos (en adelante, referido como contenidos encriptados) que están protegidos usando un método tal como encripción o aleatorización y objetos de derechos que permiten acceso a los contenidos encriptados . En referencia a la figura 1, un sistema DRM incluye terminales de usuario 11 y 12 que desean el acceso a contenido protegido por DRM, un emisor de contenidos 13 que emite contenido, un emisor de derechos 14 que emite un objeto de derechos que contiene un derecho para tener acceso al contenido y una autoridad de certificación 15 que emite un certificado. En operación, la terminal de usuario 11 puede obtener contenido deseado del emisor de contenidos 13 en formato encriptado protegido por DRM. La terminal de usuario 11 puede obtener una licencia para reproducir el contenido encriptado a partir de un objeto de derechos recibido desde el emisor de derechos 13. Después, la terminal de usuario 11 puede reproducir el contenido encriptado. Ya que los contenidos encriptados pueden ser circulados o distribuidos libremente, la terminal de usuario 11 puede transmitir libremente el contenido encriptado al usuario 12. La terminal de usuario 12 necesita el objeto de derechos para reproducir el contenido encriptado. El objeto de derechos puede obtenerse del emisor de derechos 14. Mientras tanto, la autoridad de certificación 15 emite un certificado que indica que el emisor de contenidos 13 es auténtico y las terminales de usuario 11 y 12 son autorizadas. El certificado puede ser insertado en dispositivos usados por las terminales de usuarios 11 y 12 cuando los dispositivos sean fabricados y puede volverse a emitir por la autoridad de certificación 15 después de que haya expirado una duración predeterminada. DRM protege los intereses de aquellos que producen o proporcionan contenidos digitales y de esta manera podría ser útil para activar la industria del contenido digital. Breve descripción de la invención Problema técnico Sin embargo, existe una inconveniencia prácticamente aunque un objeto de derechos o contenido encriptado puedan ser transferidos entre las terminales de usuario 11 y 12 usando dispositivos móviles . De esta manera, es necesario mover fácilmente un objeto de derechos o contenido encriptado entre dispositivos. Cuando se usa un dispositivo de almacenamiento portátil, un objeto de derechos y un contenido encriptado pueden moverse fácilmente entre dispositivos. Solución técnica La presente invención proporciona una estructura DRM que facilita el movimiento de un objeto de derechos o contenido encriptado a través de una memoria volátil, un dispositivo de almacenamiento portátil y un método de manejo de contenidos que usa el dispositivo de almacenamiento portátil . De acuerdo con un aspecto de la presente invención, se proporciona una estructura de manejo de derechos digitales que incluye una sección de seguridad que comprende la información de clave privada y el método criptográfico que se requiere para desencriptar información que ha sido encriptada por un dispositivo huésped, una sección de restricción que comprende información de autentificación que se requiere para la autentificación con el dispositivo huésped e información de objeto de derechos relacionada con contenido, y una sección de datos que comprende contenido encriptado al cual intenta tener acceso el dispositivo huésped. La estructura de manejo de derechos digitales puede comprender además una sección de sistema que comprende información de identificador mediante la cual el dispositivo huésped identifique un dispositivo de almacenamiento portátil conectado al mismo. La información de autentificación puede incluir al menos una entre información de clave pública de una autoridad de certificación, información de clave pública de un dispositivo de almacenamiento portátil conectado con el dispositivo huésped, la información de certificado del dispositivo de almacenamiento portátil firmada con una firma digital de la autoridad de certificación e información de lista de revocación de certificados. La información de clave pública de la autoridad de certificación se puede usar para desencriptar un certificado del dispositivo huésped. La información de clave pública del dispositivo de almacenamiento portátil se puede usar por el dispositivo 3 huésped para encriptar información que será transmitida al dispositivo de almacenamiento portátil. La información del certificado del dispositivo de almacenamiento portátil y la información de la lista de revocación de certificados se pueden usar para verificar si el dispositivo huésped o el dispositivo de almacenamiento portátil son auténticos durante la autentificación entre el dispositivo huésped y el dispositivo de almacenamiento portátil . La información de objeto de derechos puede incluir al menos una entre una definición de un derecho por el contenido encriptado, restricciones al derecho y un derecho para un objeto de derechos mismo.
De acuerdo con otro aspecto de la presente invención, se proporciona un dispositivo de almacenamiento portátil que incluye una memoria no volátil que almacena contenido encriptado, información de objeto de derechos que se refiere al contenido e información de autentificación necesaria para la autentificación con un dispositivo huésped, y un controlador de acceso que permite selectivamente al dispositivo huésped accesar a la memoria no volátil de acuerdo con un resultado de la autentificación. El dispositivo de almacenamiento portátil puede incluir además un procesador de trabajo que procese trabajo general relacionado con la autentificación con el dispositivo huésped y el acceso del dispositivo huésped. La memoria no volátil puede incluir una sección de sistema que comprenda información identificadora mediante la cual el dispositivo huésped identifique al dispositivo de almacenamiento portátil, una sección de seguridad que comprenda información de clave privada e información de método criptográfico que se requieren para desencriptar información encriptada por el dispositivo huésped, una sección de restricción que comprenda la información de autentificación necesaria para la autentificación con el dispositivo huésped y la información de objeto de derechos que se refiera al contenido, y una sección de datos que comprenda -el contenido encriptado al cual intente tener acceso el dispositivo huésped. De acuerdo con otro aspecto más de la presente invención, se proporciona un método para manejar contenidos usando un dispositivo de almacenamiento portátil, que incluye llevar a cabo la autentificación entre el dispositivo de almacenamiento portátil y un dispositivo huésped, y permitir selectivamente el acceso del dispositivo huésped a una memoria no volátil incluida en el dispositivo de almacenamiento portátil de acuerdo con un resultado de la autentificación. El permitir selectivamente el acceso puede comprender, luego de la conclusión de la autentificación, recibir del dispositivo huésped la solicitud de acceso a por lo menos uno de entre contenido encriptado predeterminado, información de objeto de derechos que se refiera al contenido e información de autentificación. El dispositivo huésped puede solicitar el contenido encriptado predeterminado con base en una lista de contenidos encriptados almacenada en la memoria no volátil del dispositivo de almacenamiento portátil y una ID del contenido encriptado predeterminado . El acceso a la memoria no volátil se permite mientras el dispositivo huésped puede estar teniendo acceso al menos a uno entre el contenido encriptado predeterminado, la información de objeto de derechos que se refiere al conteniólo y la información de autentificación.
De acuerdo con otro aspecto más de la presente invención, se proporciona un método para manejar contenidos usando un dispositivo de almacenamiento portátil, que comprende llevar a cabo la autentificación entre el dispositivo de almacenamiento portátil y un dispositivo huésped, después de concluir la autentificación, recibir el dispositivo huésped de una solicitud para actualizar la información de autentificación e información de objeto de derechos, y permitir acceso del dispositivo huésped mientras se actualiza la información de autentificación y la información de objeto de derechos. La información de autentificación actualizada puede incluir al menos una de entre información de clave pública de una autoridad de certificación, información de clave pública de un dispositivo de almacenamiento portátil conectado al dispositivo huésped, la información del certificado del dispositivo de almacenamiento portátil firmada con una firma digital de la autoridad de certificación, e información de lista de revocación de certificados. El método para manejar contenidos puede incluir además, después de la actualización, convertir un modo para el acceso del dispositivo huésped en un modo de sólo lectura. Breve Descripción de las figuras Los anteriores y otros aspectos de la presente invención serán más aparentes al describir en detalle modalidades ejemplares de la misma con referencia a las figuras anexas, en las cuales: La figura 1 es un diagrama conceptual de manejo de derechos digitales (DRM) . La figura 2 es un diagrama conceptual de DRM de acuerdo con la modalidad ejemplar de la presente invención. La figura 3 es un diagrama de bloques de un dispositivo de almacenamiento portátil de acuerdo con una modalidad ejemplar de la presente invención. La figura 4 es una estructura DRM de una memoria no volátil de acuerdo con una modalidad ejemplar de la presente invención. La figura 5 es un diagrama de flujo de un método de manejo de contenidos usando un dispositivo de almacenamiento portátil de acuerdo con una modalidad ejemplar de la presente invención. La figura 6 es un diagrama que ilustra un procedimiento de autentificación de acuerdo con una modalidad ejemplar de la presente invención y La figura 7 es una gráfica de flujo de un método para actualizar información de autentificación de acuerdo con una modalidad ejemplar de la presente invención. Descripción detallada de la invención La presente invención y métodos para lograr la misma se pueden entender más fácilmente mediante referencia a la siguiente descripción detallada de modalidades ejemplares y las figuras anexas. Sin embargo, la presente invención puede incorporarse en muchas formas diferentes y no debe considerarse como estando limitada a las modalidades ejemplares descritas en la presente. En lugar de ello, estas modalidades se proporcionan de tal forma que esta descripción sea cuidadosa y completa y transmita completamente el concepto de la invención a aquellos expertos en la técnica, y la presente invención sólo será definida por las reivindicaciones anexas. Los números de referencia iguales se refieren a elementos similares a lo largo de la descripción. Se describirá ahora la presente invención de manera más completa con referencia a las figuras anexas, en las cuales se muestran modalidades ejemplares de la invención. La figura 2 es un diagrama conceptual de manejo de derechos digitales (DRM) de acuerdo con una modalidad ejemplar de la presente invención. En referencia a la figura 2, una terminal de usuario 21 puede obtener contenido encriptado de un emisor de contenidos 22. El contenido encriptado es contenido protegido a través de DRM. Para reproducir el contenido encriptado, se requiere un objeto de derechos para el contenido encriptado. Un objeto de derechos contiene una definición de un derecho por contenido o restricciones para el derecho y un derecho al objeto de derechos mismo. Un ejemplo del derecho al contenido puede ser una reproducción. Ejemplos de las restricciones pueden ser el número de reproducciones, un tiempo de reproducción y una duración de reproducción. Un ejemplo del derecho al objeto de derechos puede ser mover o copiar. En otras palabras, un objeto de derechos que contenga un derecho a mover o copiar puede ser movido o copiado a otro dispositivo a través de un dispositivo de almacenamiento portátil 26. El dispositivo de almacenamiento portátil 26 usado en, modalidades ejemplares de la presente invención incluye una memoria no volátil tal como una memoria intermedia que puede leer> escribir y borrar datos que indican un dispositivo de almacenamiento que puede ser conectado con un dispositivo. El dispositivo de almacenamiento portátil 26 puede ser una tarjeta de medios inteligente, un almacenamiento portátil, una tarjeta de memoria compacta (CF) , una tarjeta de imágenes XD o una tarjeta de multimedia, pero no está restringido a las mismas . La terminal de usuario 21 que obtuvo el contenido encriptado puede solicitar un objeto de derechos de un emisor de derechos 23 para obtener un derecho de reproducción. Cuando la terminal de usuario 21 recibe el objeto de derechos junto con una respuesta de objeto de derechos del emisor de derechos 23, la terminal de usuario 21 puede reproducir el contenido encriptado usando el objeto de derechos. Mientras tanto, la terminal de usuario 21 puede transmitir el objeto de derechos a una terminal de usuario 25 que tenga un obj eto . encriptado correspondiente por medio del dispositivo de almacenamiento portátil 26. Por ejemplo, el dispositivo de almacenamiento portátil 26 puede ser una tarjeta de multimedia segura que tenga una función de DRM. En este caso, la terminal de usuario 21 transmite el objeto de derechos a la tarjeta de multimedia segura después de la autentificación mutua. Cuando se reproduce contenido encriptado, la terminal de usuario 21 puede solicitar un derecho a reproducir del dispositivo de almacenamiento portátil 26 y recibir el derecho de reproducción, es decir, una clave de encripción de contenido, del dispositivo de almacenamiento portátil 26. Después, la terminal de usuario 21 puede reproducir el contenido encriptado usando la calve de encripción de contenidos . Mientras tanto, después de llevar a -cabo la autentificación con la terminal de usuario 25, el dispositivo de almacenamiento portátil 26 puede mover un objeto de derechos a la terminal de usuario 25 o hacer -posible que la terminal de usuario 25 reproduzca contenido encriptado. La figura 3 es un diagrama de bloques -de un dispositivo de almacenamiento portátil 200 de acuerdo con una modalidad ejemplar de la presente invención. Como se muestra en la figura 3, el dispositivo de almacenamiento portátil 200 incluye un procesador de trabajo 210 que procesa trabajo general relacionado con la autentificación con un dispositivo huésped predeterminado 100 y acceso del dispositivo huésped 100 al contenido encriptado. Una memoria no volátil 220 almacena el contenido encriptado e información de autentificación requerida para la autentificación y controlador de acceso 230 que es controlado por el procesador de trabajo 210 para tener acceso al contenido encriptado en el dispositivo huésped 100. Además, el dispositivo de almacenamiento portátil 200 puede incluir además un almacenamiento de programas 240 que almacene un programa de control requerido para operar el dispositivo de almacenamiento portátil 200. En detalle, el almacenamiento de programas 240 puede almacenar un programa conductor para controlar varios métodos de encripción, por ejemplo, RSA, estándar de encripción avanzado (AES) , y estándar de encripción de datos (DES) . El almacenamiento de programas 240 puede almacenar además un programa controlador para otras operaciones tales como mover y copiar contenido encriptado que puedan ser llevadas a cabo por el dispositivo de almacenamiento portátil 200 además del programa de control para los métodos de encripción.
El procesador de trabajo 210 puede incluir una unidad de procesamiento de control (CPU) , un objeto de derechos y una unidad de entrada/salida. El procesador de trabajo 210 puede servir para transferir información entre el dispositivo huésped 100 y el controlador de acceso 230. El controlador de acceso 230 puede permitir restrictivamente que el dispositivo huésped 100 tenga acceso a contenido encriptado almacenado en la memoria no volátil 220. En detalle, el controlador de acceso 230 puede determinar si se permite un acceso del dispositivo huésped 100 de acuerdo con un resultado de determinar si el dispositivo huésped 100 es auténtico a través de una autentificación entre el dispositivo de almacenamiento portátil 200 y el dispositivo huésped 100. En referencia a la figura 4, la memoria no volátil
220 incluye una sección de sistema 221 que incluye información identificadora 221a mediante la cual el dispositivo huésped 100 identifica al dispositivo de almacenamiento portátil 200, una sección de seguridad 222 que incluye información de clave privada 222a del dispositivo de almacenamiento portátil 200 e información de método criptográfico 222d, una sección de restricción 223 que incluye información de autentificacióri requerida para la autentificación con el dispositivo huésped 100 y una sección de datos 224 que almacena contenido encriptado 224a.
La sección de restricción 223 puede incluir información de clave pública de autoridad de certificación 223a requerida para la autentificación con el dispositivo huésped 100, información de clave pública de dispositivo de almacenamiento portátil 223b, información de certificados del dispositivo de almacenamiento portátil 223c firmada con una firma digital de la autoridad de certificación, información de lista de revocación de certificados (CRL) 223d, e información de objeto de derechos 223e. La información de clave pública de la autoridad de certificación 223a se usa para desencriptar un certificado del dispositivo huésped 100. La información de clave pública del dispositivo de almacenamiento portátil 223b se usa por el dispositivo huésped 100 para encriptar información que será transmitida al dispositivo de almacenamiento portátil 200. La información de certificado del dispositivo de almacenamiento portátil 223c y la información de CRL 223d se usan para verificar si el dispositivo huésped 100 y el dispositivo de almacenamiento portátil 200 son auténticos durante la autentificación. La información de objeto de derechos 223e contiene una definición de un derecho al contenido encriptado 224a, restricciones al derecho y un derecho a un objeto de derechos mismo .
Un acceso al la sesión de restricción 223 puede ser restringido selectivamente por el controlador de acceso 230. Por ejemplo, el identificador 221a incluido en la sección de sistema 221 y la información de clave privada del dispositivo de almacenamiento portátil 222a y la información del método criptográfico 222b incluida en la sección de seguridad 222 son información única poseída por el dispositivo de almacenamiento portátil 200. En consecuencia, para seguridad, un acceso del dispositivo huésped 100 a la información -única puede ser interrumpido. Como alternativa, la información única puede ser almacenada en una memoria separada. Como otra alternativa, cuando se requiere una actualización de la información de certificado del dispositivo de almacenamiento portátil 223c debido a la expiración del mismo o cuando se requiere una actualización de la información de CRL 223d, un acceso del dispositivo huésped 100 puede permitirse selectivamente. Generalmente, para evitar que la información CRL 223d y la información de objeto de derechos 223e sean modificadas o borradas por otro dispositivo, un acceso del dispositivo huésped 100 al mismo puede ser totalmente interrumpido. Para esta interrupción de un acceso, la información CRL 223d y la información de objeto de derechos 223c pueden ser encriptadas y almacenadas . Mientras tanto, información de clave publica del dispositivo de almacenamiento portátil 223b puede ser puesta en sólo lectura toda vez que puede ser publicada. La sección de datos 224 es un área en la cual se almacena el contenido encriptado 224a al cual el dispositivo huésped 100 actualmente intenta tener acceso. Los mismos elementos que los elementos 210, 220, 230 y 240 incluidos en el dispositivo de almacenamiento portátil 200 pueden incluirse en el dispositivo huésped 100. En consecuencia, se hace posible la autentificación entre el dispositivo huésped 100 y el dispositivo de almacenamiento portátil 200. La siguiente descripción se refiere a un método de manejo de contenidos usando el dispositivo de almacenamiento portátil 200 de acuerdo con una modalidad ejemplar de la presente invención. En referencia a la figura 5, en la operación S310, el dispositivo de almacenamiento portátil 2?0 está conectado con el dispositivo huésped 100. Cuando el dispositivo de almacenamiento portátil 200 está conectado con el dispositivo huésped 100, una unidad de interfaz del dispositivo de almacenamiento portátil 200 es conectado eléctricamente con una unidad de interfaz del dispositivo huésped 100. Sin embargo, esto sólo es un ejemplo, y 'estar conectado' implica simplemente que dos dispositivos puedan comunicarse uno con otro a través de un medio inalámbrico en un estado de no contacto. En la operación S320, el dispositivo huésped 100 y el dispositivo de almacenamiento portátil 200 llevan a cabo un procedimiento de autentificación. El procedimiento de autentificación se describirá en detalle con referencia a la figura 6. La autentificación es un procedimiento en el cual el dispositivo huésped 100 y el dispositivo de almacenamiento portátil 200 autentifican el carácter genuino uno del otro e intercambian números aleatorios para la generación de una clave de sesión. Una clave de sesión puede generarse usando un número aleatorio obtenido durante la autentificación. En la figura 6, las descripciones sobre las líneas con flechas se refieren a un comando que solicita a otro dispositivo llevar a cabo cierta operación, y las descripciones debajo de las líneas encabezadas por flechas se refieren a un parámetro que se requiere para ejecutar el comando o datos transportados. Un subíndice 'D' de un objeto indica que el objeto es poseído o generado por un dispositivo y un subíndice '?' de un objeto indica que el objeto es poseído o generado por un dispositivo de almacenamiento portátil . En una modalidad ejemplar de la presente invención, el dispositivo huésped 100 emite todos los comandos para la autentificación y el dispositivo de almacenamiento portátil 200 lleva a cabo operaciones requeridas para ejecutar el comando . Por ejemplo, el dispositivo huésped 100 puede enviar un comando tal como una respuesta de autentificación al dispositivo de almacenamiento portátil 200. Después, el dispositivo de almacenamiento portátil 200 envía un certificador! y un número aleatorio encriptadoM al dispositivo huésped 100 en respuesta a la respuesta de autentificación. En otra modalidad ejemplar de la presente invención, tanto el dispositivo huésped 100 como el dispositivo de almacenamiento portátil 200 pueden emitir comandos. Por ejemplo, el dispositivo de almacenamiento portátil 200 puede enviar la respuesta de autentificación junto con el certificadoM y el número aleatorio encriptadoM al dispositivo huésped 100. A continuación se darán descripciones detalladas del procedimiento de autentificación. En la operación S10, el dispositivo huésped 100 envía una solicitud de autentificación al dispositivo de almacenamiento portátil 200. Cuando se solicita autentificación, el dispositivo huésped 100 envía una clave pública de dispositivo huésped al dispositivo de almacenamiento portátil 200. Por ejemplo, la clave pública del dispositivo huéspedD puede ser enviada al enviar un certificado de dispositivo huéspedD emitido al dispositivo huésped 100 por una autoridad de certificación. El certificado de dispositivo huéspedD es firmado con una firma digital de la autoridad de certificación y contiene una ID de dispositivo huésped y la clave pública de dispositivo huéspedD. Con base en el certificado de dispositivo huéspedDí el dispositivo de almacenamiento portátil 200 puede autentificar el dispositivo huésped 100 y obtener la clave pública del dispositivo huéspedD. En la operación S20, el dispositivo de almacenamiento portátil 200 verifica si el certificado del dispositivo huéspedD es válido usando una CRL. Si el certificado de dispositivo huéspedD está registrado en la CRL, el dispositivo de almacenamiento portátil 200 puede rechazar la autentificación con el dispositivo huésped 100. Si el certificado del dispositivo huéspedD no está registrado en la CRL, el dispositivo de almacenamiento portátil 200 obtiene la clave pública de dispositivo huéspedD usando el certificado de dispositivo huéspedD. En la operación S30, el dispositivo de almacenamiento portátil 200 genera un número aleatorioM. En la operación S40, el número aleatorioM es encriptado usando la clave pública de dispositivo huéspedD. En la operación S50, se lleva a cabo un procedimiento de respuesta de autentificación al enviar una respuesta de autentificación del dispositivo huésped 100 al dispositivo de almacenamiento portátil 200 o del dispositivo de almacenamiento portátil 200 al dispositivo 100. Durante el procedimiento de respuesta de autentificación, el dispositivo de almacenamiento portátil 200 envía una clave pública del dispositivo de almacenamiento portátilM y un número aleatorio encriptadoM al dispositivo huésped 100. En una modalidad ejemplar de la presente invención, en lugar de la clave pública del dispositivo de almacenamiento portátilM/ un certificado de dispositivo de almacenamiento portátilM puede ser enviado al dispositivo huésped 100. En otra modalidad ejemplar de la presente invención, el dispositivo de almacenamiento portátil 20 puede enviar su firma digitalM al dispositivo huésped 100 junto con el número aleatorio encriptadoM y el certificado de dispositivo de almacenamiento portátilM. En la operación S60, el dispositivo huésped 100 recibe el certificado de dispositivo de almacenamiento portátilM y número aleatorio encriptadoM, autentifica el dispositivo de almacenamiento portáil 200 al verificar el certificado del dispositivo de almacenamiento portátilM/ obtiene la clave pública del dispositivo de almacenamiento portátilM y obtiene el número aleatorioM al desencriptar el número aleatorio encriptadoM usando la clave pública del dispositivo huéspeda. En la operación S70, el dispositivo huésped 100 genera un número aleatorioD. En la operación S80, el número aleatorion es encriptado usando la clave pública del dispositivo de almacenamiento portátilM. Posteriormente, se lleva a cabo un procedimiento de fin de autentificación en la operación S90 en donde el dispositivo huésped 100 envía el número aleatorio encriptadoD al dispositivo de almacenamiento portátil 200. En una modalidad ejemplar- de la presente invención, el dispositivo huésped 100 puede enviar su firma digitalD al dispositivo de almacenamiento portátil 200 junto con el número aleatorio encriptadoD. En la operación S100, el dispositivo de almacenamiento portátil 200 recibe y desencripta el número aleatorio encriptadoD. En la modalidad ejemplar, ya que tanto el dispositivo huésped 100 como el dispositivo de almacenamiento portátil 200 generan sus propios números aleatorios y usan los números aleatorios de uno y otro, el carácter aleatorio puede incrementarse ampliamente y una autentificación mutua segura es posible. En otras palabras, incluso si uno del dispositivo huésped 100 y el dispositivo de almacenamiento portátil 200 tienen un carácter aleatorio débil, el otro de ellos puede complementar el carácter aleatorio . En modalidades ejemplares de la presente invención, un número aleatorio puede generarse usando un módulo de generación de números aleatorios (no mostrado) . Como alternativa, un número aleatorio puede ser un número seleccionado de una pluralidad de números almacenados en un dispositivo o una MMC segura o una combinación de varios números seleccionados de la misma. Además, un número aleatorio puede no sólo ser un número sino una cadena de caracteres . En consecuencia, un número aleatorio puede indicar un número, una combinación de números o una cadena de caracteres que se genere usando un módulo de generación de números aleatorios, o puede indicar un número, una combinación de varios números, una cadena de caracteres o una combinación de varias cadenas de caracteres seleccionada de la pluralidad de números o cadenas de caracteres almacenadas previamente. En las operaciones S110 y S120, el dispositivo huésped 100 y el dispositivo de almacenamiento portátil 200 que comparten los números aleatorios entre sí generan sus claves de sesión usando ambos de sus números aleatorios. Para generar una clave de sesión usando los dos números aleatorios, un algoritmo que haya sido publicado puede usarse. Un algoritmo más simple es llevar a cabo una operación XOR de dos números aleatorios . . . _ _ _ Una vez que se __generan claves de sesión, diversas operaciones protegidas por DRM pueden llevarse a cabo entre el dispositivo huésped 100 y el dispositivo de almacenamiento portátil 200. Cuando la autentificación ha sido completada en la operación S330, el dispositivo huésped 100 envía una solicitud para tener acceso a contenido encriptado predeterminado al dispositivo de almacenamiento portátil 200. Aquí, el dispositivo huésped 100 puede buscar contenidos encriptados almacenados en la sección de datos 224 y luego solicitar contenido encriptado deseado. Como alternativa, el dispositivo huésped 100 puede solicitar un acceso al contenido encriptado deseado usando una ID del contenido encriptado deseado que se conozca por anticipado. En la operación S350, la solicitud de acceso al contenido del dispositivo huésped 100 se transmite al controlador de acceso 230. En la operación S360, el controlador de acceso 230 retira contenido encriptado que corresponde a la solicitud de acceso a contenido de la sección de datos 224. En la operación S370, el dispositivo huésped 100 lleva a cabo una operación en el contenido encriptado. Después de que el dispositivo huésped 100 completa la operación en el contenido encriptado, el controlador de acceso 230 puede restringir el acceso del dispositivo huésped 100. En otra modalidad ejemplar, la información almacenada en el dispositivo de almacenamiento portátil 200 puede ser actualizada, lo cual se describirá abajo. La figura 7 es un diagrama de flujo de un método para actualizar información de autentificación incluida en la sección de restricción 223 entre información almacenada en el dispositivo de almacenamiento portátil 200, de acuerdo con una modalidad ejemplar de la presente invención. En referencia a la figura 7, la operación S410, el dispositivo de almacenamiento portátil 200 está conectado con el dispositivo huésped 100. En la operación S420, el dispositivo huésped 100 y el dispositivo de almacenamiento portátil 200 llevan a cabo un procedimiento de autentificación. Aguí, el procedimiento de autentificación ilustrado en la figura 6 puede llevarse a cabo. Cuando la autentificación ha sido completada en la operación S430, el dispositivo huésped 100 genera una solicitud de actualización de información en la operación S440. Después, en la operación S450, el procesador de trabajo 210 transmite la solicitud de actualización de información al controlador de acceso 230. En la operación S460, en respuesta a la solicitud de actualización de información, el controlador de acceso 23? convierte un ajuste de acceso de la sección de restricción 223 de unjnodo_de sólo lectura a un modo actualizable . Posteriormente, en la operación S470, el dispositivo huésped 100 tiene acceso a la sección de restricción 223 y actualiza la información de certificado del dispositivo de almacenamiento portátil 223c. Cuando la actualización de la información del certificado del dispositivo de almacenamiento portátil 223c se completa en la operación S480, el controlador de acceso 230 convierte la programación de acceso en un módulo de sólo lectura para evitar que otros dispositivos huésped tengan acceso a la sección de restricción 223 sin permiso en la operación S490. Aplicabilidad industrial Como se describió arriba, de acuerdo con la presente invención, un objeto de derechos y contenido encriptado pueden moverse fácilmente a través de un dispositivo de almacenamiento portátil, y por lo tanto, se incrementa la conveniencia de usuarios que usan el contenido -encriptado. Aunque la estructura de manejo de derechos digitales, el dispositivo de almacenamiento portátil y el método para manejar contenidos usando el dispositivo de almacenamiento portátil de acuerdo con la presente invención han sido descritos con referencia a las modalidades ejemplares de los mismos, se entenderá que la invención no -está limitada a los detalles de los mismos. En lugar de ello, se han sugerido varias sustituciones y modificaciones en la descripción anterior, y todas ocurrirán para aquellos de capacidad ordinaria en la técnica. Por lo tanto, todas esas sustituciones y modificaciones están destinadas a ser abarcadas dentro del alcance de la invención como el definido en las reivindicaciones anexas . Se hace constar que con relación a esta fecha, el mejor método conocido por la solicitante para llevar a la práctica la citada invención, es el que resulta claro de la presente descripción de la invención.