WO2001099331A1

WO2001099331A1 - System and method for processing information using encryption key block

Info

Publication number: WO2001099331A1
Application number: PCT/JP2001/005146
Authority: WO
Inventors: Yoshimichi Kitaya; Ryuji Ishiguro; Yoshitomo Osawa; Tomoyuki Asano
Original assignee: Sony Corporation
Priority date: 2000-06-15
Filing date: 2001-06-15
Publication date: 2001-12-27
Also published as: CN100490369C; HK1053556A1; US20070263875A1; CN1389042A; US7957537B2; CA2379476A1; MXPA02001533A; KR100840823B1; EP1204236A1; EP1204236A4; HK1053556B; CA2379476C; KR20020041804A

Description

明細書暗号鍵プロックを用いた情報処理システム及び方法技術分野本発明は、暗号鍵ブロックを用いた情報処理システム及び情報処理方法、並びにプログラム提供媒体に関し、特に、暗号処理を伴うシステムにおける暗号処理鍵を配信するシステム及び方法に関する。特に、木構造の階層的鍵配信方式を用いることにより、メッセージ量を小さく抑えて、例えばコンテンツキー配信、あるいは各種鍵の更新の際のデ一夕配信の負荷を軽減し、かつデータの安全性を保持することを可能とするとともに、階層的鍵配信ッリーを管理下のデバイスのデ一夕処理能力としてのケィパピリティに基づいて区分したサブヅリーとしてのェンティティで管理する構成としてケィパピリティに基づく鍵配信及び管理構成を実現した暗号鍵ブロックを用いた情報処理システム及び情報処理方法、並びにプログラム提供媒体、及び階層的鍵配信ヅリーを共通要素を持つ部分集合としてのエンティティで管理する構成として効率的な鍵配信及び管理構成を実現した暗号鍵プロックを用いた情報処理システム及び情報処理方法、並びにプログラム提供媒体に関する。景技術昨今、ゲームプログラム、音声データ、画像データ等、様々なソフトウェアデ

—夕（以下、これらをコンテンツ（Content) と呼ぶ）を、インターネット等のネットワーク、あるいは D V D、 C D等の流通可能な記憶媒体を介しての流通が盛んになってきている。これらの流通コンテンツは、ユーザの所有する P C (Pers onal Computer) 、ゲーム機器によってデ一夕受信、あるいは記憶媒体の装着がなされて再生されたり、あるいは P C等のに附属する記録再生機器内の記録デバィス、例えばメモリカード、ハードディスク等に格納されて、格納媒体からの新たな再生により利用される。

ビデオゲーム機器、 P C等の情報機器には、流通コンテンヅをネットワークから受信するため、あるいは D V D、 C D等にアクセスするためのインタフェースを有し、さらにコンテンツの再生に必要となる制御手段、プログラム、デ一夕のメモリ領域として使用される R A M、 R O M等を有する。

音楽データ、画像データ、あるいはプログラム等の様々なコンテンツは、再生機器として利用されるゲーム機器、 P C等の情報機器本体からのユーザ指示、あるいは接続された入力手段を介したユーザの指示により記憶媒体から呼び出され、情報機器本体、あるいは接続されたディスプレイ、スピーカ等を通じて再生される。

ゲームプログラム、音楽デ一夕、画像データ等、多くのソフトウヱァ · コンテンッは、一般的にその作成者、販売者に頒布権等が保有されている。したがって、これらのコンテンツの配布に際しては、一定の利用制限、すなわち、正規なュ一ザに対してのみ、ソフトウェアの使用を許諾し、許可のない複製等が行われないようにする、すなわちセキュリティを考慮した構成をとるのが一般的となっている。

ユーザに対する利用制限を実現する 1つの手法が、配布コンテンツの暗号化処理である。すなわち、例えばインターネット等を介して暗号化された音声データ、画像データ、ゲームプログラム等の各種コンテンヅを配布するとともに、正規ュ —ザであると確認された者に対してのみ、配布された暗号化コンテンヅを復号する手段、すなわち復号鍵を付与する構成である。

暗号化データは、所定の手続きによる復号化処理によって利用可能な復号デ一夕（平文）に戻すことができる。このような情報の暗号化処理に暗号化鍵を用い、復号化処理に復号化鍵を用いるデータ暗号化、復号化方法は従来からよく知られている。

暗号化鍵と復号化鍵を用いるデータ暗号化 ·復号化方法の態様には様々な種類あるが、その 1つの例としていわゆる共通鍵暗号化方式と呼ばれている方式がある。共通鍵暗号化方式は、デ一夕の暗号化処理に用いる暗号化鍵とデータの復号化に用いる復号化鍵を共通のものとして、正規のユーザにこれら暗号化処理、復号化に用いる共通鍵を付与して、鍵を持たない不正ユーザによるデータアクセスを排除するものである。この方式の代表的な方式に D E S (データ暗号標準： Da ta encryption standard) がある。

上述の暗号化処理、復号化に用いられる暗号化鍵、復号化鍵は、例えばあるパスワード等に基づいてハッシュ関数等の一方向性関数を適用して得ることができる。一方向性関数とは、その出力から逆に入力を求めるのは非常に困難となる関数である。例えばユーザが決めたパスヮードを入力として一方向性関数を適用して、その出力に基づいて暗号化鍵、復号化鍵を生成するものである。このようにして得られた暗号化鍵、復号化鍵から、逆にそのオリジナルのデ一夕であるパスヮードを求めることは実質上不可能となる。

また、暗号化するときに使用する暗号化鍵による処理と、復号するときに使用する復号化鍵の処理とを異なるアルゴリズムとした方式がいわゆる公開鍵暗号化方式と呼ばれる方式である。公開鍵暗号化方式は、不特定のユーザが使用可能な公開鍵を使用する方法であり、特定個人に対する暗号化文書を、その特定個人が発行した公鬨鍵を用いて暗号化処理を行う。公開鍵によって暗号化された文書は、その暗号化処理に使用された公開鍵に対応する秘密鍵によってのみ復号処理が可能となる。秘密鍵は、公開鍵を発行した個人のみが所有するので、その公鬨鍵によって暗号化された文書は秘密鍵を持つ個人のみが復号することができる。公鬨鍵暗号化方式の代表的なものには R S A (Rivest- Shamir- Adleman) 暗号がある。このような暗号化方式を利用することにより、暗号化コンテンツを正規ユーザに対してのみ復号可能とするシステムが可能となる。

上記のようなコンテンツ配信システムでは、コンテンヅを暗号化してユーザにネヅトワーク、あるいは D V D、 C D等の記録媒体に格納して提供し、暗号化コンテンヅを復号するコンテンツキーを正当なユーザにのみ提供する構成が多く採用されている。コンテンヅキー自体の不正なコピー等を防ぐためのコンテンツキ一を暗号化して正当なユーザに提供し、正当なユーザのみが有する復号キ一を用いて暗号化コンテンツキーを復号してコンテンツキーを使用可能とする構成が提案されている。

正当なユーザであるか否かの判定は、一般には、例えばコンテンツの送信者であるコンテンツプロバイダとユーザデバイス間において、コンテンツ、あるいはコンテンツキーの配信前に認証処理を実行することによって行う。一般的な認証処理においては、相手の確認を行うとともに、その通信でのみ有効なセッションキーを生成して、認証が成立した場合に、生成したセヅシヨンキーを用いてデー夕、例えばコンテンヅあるいはコンテンツキーを暗号化して通信を行う。認証方式には、共通鍵暗号方式を用いた相互認証と、公開鍵方式を使用した認証方式があるが、共通鍵を使った認証においては、システムワイドで共通な鍵が必要になり、更新処理等の際に不便である。また、公開鍵方式においては、計算負荷が大きくまた必要なメモリ量も大きくなり、各デバイスにこのような処理手段を設けることは望ましい構成とはいえない。発明の鬨示本発明の目的は、上述のようなデータの送信者、受信者間の相互認証処理に頼ることなく、正当なユーザに対してのみ、安全にデータを送信することを可能とするとともに、階層的鍵配信ヅリーを管理下のデバイスのデータ処理能力としてのケィパピリティに基づいて区分したサブヅリーとしてのエンティティで管理する構成としてケィパピリティに基づく鍵配信及び管理構成を実現した暗号鍵プロヅクを用いた情報処理システム及び情報処理方法、並びにプログラム提供媒体を提供することである。

また、本発明の目的は、上述のようなデータの送信者、受信者間の相互認証処理に頼ることなく、正当なユーザに対してのみ、安全にデ一夕を送信することを可能とするとともに、階層的鍵配信ヅリーを共通要素を持つ部分集合としてのェンティティで管理する構成として効率的な鍵配信及び管理構成を実現した暗号鍵ブロックを用いた情報処理システム及び情報処理方法、並びにプログラム提供媒体を提供することである。

本発明に係る暗号鍵プロックを用いた情報処理システムは、複数のデバイスをリーフとして構成したッリ一のルートからリーフまでのパス上のル一ト、ノード、及ぴリーフに各々キーを対応付けたキーツリ一を構成し、キーツリーを構成するパスを選択して選択パス上のキー更新、及び下位キーによる上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キープ口ヅク（E K B) を生成してデバイスに提供する暗号鍵プロックを用いた情報処理システムにおいて、キーツリーの一部を構成し、デバイスのデータ処理能力としてのケィパビリティに基づいて区分されたサブヅリーを管理し、サブヅリーに属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キープ口ック（サブ EKB) を生成する複数のエンティティと、複数のエンティティのケィパピリティ情報を管理し、共通のケィパピリティを持つエンティティの生成するサブ有効化キ一ブロック（サブ EKB) を用いて、共通のケィパピリティを持つェンティティにおいてのみ復号可能な有効化キーブロック（EKB) を生成するキ一発行セン夕（KD C) とを有する。

さらに、本発明に係る暗号鍵プロヅクを用いた情報処理システムにおいて、キ —発行センタ（KD C) は、複数のエンティティ各々の識別子と、エンティティ各々のケィパピリティ情報と、エンティティ各々のサブ有効化キープロヅク（サブ EKB) 情報とを対応付けたケィパピリティ管理テーブルを有し、ケィパピリティ管理テーブルに基づいて、デバイスに対する配信デ一夕の処理可能なエンディティを選択して、選択エンティティ配下のデバイスでのみ復号可能な有効化キ一ブロック（EKB) を生成する構成を有する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、キーヅリーに対する新規追加エンティティは、新規エンティティ内のサブヅリ一内のノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キーブロヅク（サブ EKB) を生成し、キー発行セン夕（KD C) に対するサブ EKBの登録処理を実行するとともに、自己のエンティティのケィパピリティ情報の通知処理を実行する構成である。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、複数のエンティティは、 1つのエンティティの最下段の末端ノードを他のェンティティの頂点ノード（サブルート）として構成した上位エンティティ及び下位ェンティティの階層化構造を有する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、複数のエンティティの各々は、自己のエンティティに属するサブヅリーを構成するノード又はリーフに対応するキーの設定、更新処理権限を有する構成である。さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、複数のエンティティ中、エンティティ内の最下段リーフを個々のデバイスに対応するリーフとした最下層のエンティティに属するデバイスの各々は、自己の属するエンティティの頂点ノード（サブルート）から自己のデバイスに対応するリーフに至るパス上のノード、リーフに設定されたノードキー及びリーフキーを格納した構成を有する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、複数のエンティティの各々は、自己のエンティティの下位に、さらに自己管理ェンティティを追加するため、自己のエンティティ内の最下段のノード又はリーフ中の 1以上のノ一ド又はリーフをリザーブノードとして保留して設定した構成を有する。

さらに、本発明に係る暗号鍵プロヅクを用いた情報処理システムにおいて、新規エンティティを末端ノ一ドに追加する上位エンティティは、新規エンティティのサブヅリ一を設定するノードである上位エンティティ末端ノードに対応するキ —を、新規エンティティの頂点ノード（サブルート）キーとして設定する構成である。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、デバイスのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード (サブルート）からリボーク .デバイスに対応するリーフに至るパス上のノードに設定されたノードキーを更新し、更新ノードキ一を.リポークデバイス以外のリーフデバイスにおいてのみ復号可能な暗号化キーとして構成した更新サブ E K B を生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボークデバイスからルートに至るパス上のノ一ドキー更新を行い、キー更新により生成された更新サブ E K Bのキ一発行センタ（K D C ) への登録処理を行うことにより、デバイスのリポーク処理を実行する構成を有する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、下位エンティティのリポーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク 'エンティティに対応する末端ノードに至るパス上のノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブル一トに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、ェンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク · エンティティからルートに至るパス上のノードキー更新を行い、キー更新により生成された更新サブ E K Bのキー発行セン夕（K D C ) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行する構成を有する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、下位エンティティのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク ·エンティティに対応する末端ノードに至るパス上の、末端ノードを除くノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位ェンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リポーク ·エンティティからルートに至るパス上のリボーク ·ェンティティに対応する末端ノードを除くノードキー更新を行い、キー更新により生成された更新サブ E K Bのキー発行セン夕（K D C ) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行する構成を有する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法は、複数のデバイ' スをリーフとして構成したヅリ一のル一トからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキ一ツリーを構成し、キーツリーを構成するパスを選択して選択パス上のキー更新、及び下位キーによる上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キープ口ック (EKB) を生成してデバイスに提供する情報処理システムにおける暗号鍵プロヅクを用いた情報処理方法において、キーツリーの一部を構成し、デバイスのデ一夕処理能力としてのケィパピリティに基づいて区分されたサブツリーを管理するエンティティにおいて、各エンティティのサブッリーに属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キ一ブロック（サブ E K B) を生成するステヅプと、複数のエンティティのケィパピリティ情報を保有するキー発行セン夕（KD C) において、複数のエンティティのケィパピリティ情報に基づいて、共通のケィパピリティを持つエンティティの生成するサブ有効化キープロヅク（サブ EKB) を抽出し共通のケィパピリティを持つエンティティにおいてのみ復号可能な有効化キーブロック（EKB) を生成するステップとを有する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、キー発行セン夕（KD C) における有効化キ一ブロック（EKB) 生成ステヅプは、共通のケィパピリティを持つエンティティを選択するエンティティ選択ステヅプと、エンティティ選択ステヅプにおいて選択されたエンティティによって構成されるエンティティ · ツリーを生成するステヅプと、エンティティ · ツリーを構成するノードキーを更新するノードキー更新ステップと、ノードキー更新ステップにおいて更新したノードキー、及び選択エンティティのサブ EKBに基づいて選択ェンティティにおいてのみ復号可能な有効化キ一ブロック（EKB) を生成するステツプとを含む。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、キー発行センタ（KD C) は、複数のエンティティ各々の識別子と、エンティティ各々のケィパピリティ情報と、エンティティ各々のサブ有効化キーブロック（サブ E KB) 情報とを対応付けたケィパピリティ管理テーブルを有し、ケィパピリティ管理テーブルに基づいて、デバイスに対する配信デ一夕の処理可能なェンティティを選択して、選択エンティティ配下のデバイスでのみ復号可能な有効化キープロック（E KB) を生成する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、キ一ヅリ一に対する新規追加エンティティは、新規エンティティ内のサブヅリー内のノ ―ド又はリーフに対応して設定されるキーのみに基づくサブ有効化キープ口ヅク (サブ E K B ) を生成し、キー発行セン夕（K D C ) に対するサブ E K Bの登録処理を実行するとともに、自己のエンティティのケィパピリティ情報の通知処理を実行する。，

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、複数のエンティティの各々は、自己のエンティティに属するサブッリ一を構成するノード又はリーフに対応するキーの設定、更新処理を実行する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、新規ェンティティを末端ノードに追加する上位エンティティは、新規エンティティのサグヅリーを設定するノードである上位エンティティ末端ノードに対応するキーを、新規エンティティの頂点ノード（サブルート）キーとして設定する。

. さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、デバイスのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク ·デバイスに対応するリーフに至るパス上のノードに設定されたノードキーを更新し、更新ノードキーをリボークデバイス以外のリーフデバイスにおいてのみ復号可能な暗号化キーとして構成した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボークデバイスからルートに至るパス上のノ一ドキー更新を行い、キー更新により生成された更新サブ E K Bのキー発行センタ（K D C ) への登録処理を行うことにより、デバイスのリボーク処理を実行する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、下位ェンティティのリボーク処理を実行するエンティティは、エンティティ内の頂点ノ —ド（サブルート）からリボーク .エンティティに対応する末端ノードに至るパス上のノ一ドに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、ェンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク .ェンティティからルートに至るパス上のノードキー更新を行い、キー更新により生成された更新サブ E K Bのキ一発行セン夕（K D C ) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、下位ェンティティのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリポーク ·エンティティに対応する末端ノードに至るパス上の、末端ノードを除くノードに設定されたノ一ドキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K B を提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位ェンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リポーク ·エンティティからルートに至るパス上のリポーク 'エンティティに対応する末端ノードを除くノ一ドキー更新を行い、キー更新により生成された更新サブ E K Bのキー発行セン夕（K D C ) への登録処理を行うことにより、ェンティティ単位のリボーク処理を実行する。

さらに、本発明に係るプログラム提供媒体は、複数のデバイスをリーフとして構成したツリーのルートからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対^付けたキーツリーを構成し、キ一ヅリーを構成するパスを選択して選択パス上のキー更新、及び下位キーによる上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キープロヅク（E K B ) を生成してデバイスに提供する情報処理システムにおける有効化キープロック（ E K B ) 生成処理をコンピュータ · システム上で実行せしめるコンピュータ · プログラムを提供する。コンピュータ 'プログラムは、キーヅリーの一部を構成し、デバイスのデ一夕処理能力としてのゲイパビリティに基づいて区分されたサブヅリーを管理するエンティティにおいて、各エンティティのサブヅリーに属するノード又はリーフに対応して設定されるキ一のみに基づくサブ有効化キープ口ヅク（サブ E K B ) を生成するステップと、複数のエンティティのケィパピリティ情報を保有するキー発行セン夕（K D C ) において、複数のエンティティのケィパビリティ情報に基づいて、共通のケィパピリティを持つエンティティの生成するサブ有効化キ一ブロック（サブ E K B ) を抽出し共通のゲイパビリティを持つェンティティにおいてのみ復号可能な有効化キ一ブロック（E K B ) を生成するステップとを含む。

本発明に係る暗号鍵ブロックを用いた情報処理システムは、複数のデバイスをリーフとして構成したヅリーのルー卜からリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキーツリーを構成し、キーツリーを構成するパスを選択して選択パス上のキー更新、及び下位キーによる上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キ一プロヅク（E K B ) を生成してデバイスに提供する暗号鍵プロヅクを用いた情報処理システムにおいて、キーツリーを構成する部分ツリーとしてのサブヅリーを管理し、サブッリーに属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キープロヅク（サブ E K B ) を生成する複数のエンティティと、複数のェンティティの生成するサブ有効化キーブロック（サブ E K B ) を用いて、選択されたエンティティにおいてのみ復号可能な有効化キーブロック（E K B ) を生成するキー発行セン夕（K D C ) とを有する。

さらに、本発明に係る暗号鍵プロヅクを用いた情報処理システムにおいて、複数のエンティティは、 1つのエンティティの最下段の末端ノードを他のェンティティの頂点ノード（サブルート）として構成した上位エンティティ及び下位ェンティティの階層化構造を有する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、複数のエンティティの各々は、自己のエンティティの下位に、さらに自己管理ェンティティを追加するため、自己のエンティティ内の最下段のノード又はリ一フ中の 1以上のノード又はリーフをリザーブノードとして保留して設定した構成を有する。

さらに、本発明に係る暗号鍵プロヅクを用いた情報処理システムにおいて、新規エンティティを末端ノードに追加する上位エンティティは、新規エンティティのサブヅリーを設定するノードである上位エンティティ末端ノードに対応するキ —を、新規エンティティの頂点ノード（サブルート）キーとして設定する構成である。

さらに、本発明に係る暗号鍵プロヅクを用いた情報処理システムにおいて、新規追加ェンティティは、新規ェンティティ内のサブツリー内のノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キープロヅク（サブ E K B ) を生成し、キー発行センタ（K D C ) に対するサブ E K Bの登録処理を実行する構成である。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、デバイスのリポーク処理を実行するエンティティは、エンティティ内の頂点ノード (サブルート）からリポーク .デバイスに対応するリーフに至るパス上のノードに設定されたノードキーを更新し、更新ノードキーをリボークデバイス以外のリーフデバイスにおいてのみ復号可能な暗号化キーとして構成した更新サブ E K B を生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リポークデバイスからルートに至るパス上のノードキー更新を行い、キー更新により生成された更新サブ E K Bのキー発行セン夕（K D C ) への登録処理を行うことにより、デバイスのリボーク処理を実行する構成を有する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システムにおいて、下位エンティティのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリポーク ·エンティティに対応する末端ノードに至るパス上のノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに.送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、ェンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク - エンティティからルートに至るパス上のノードキ一更新を行い、キー更新により生成された更新サブ E K Bのキー発行セン夕（K D C ) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行する構成を有する。

さらに、本発明に係る暗号鍵プロヅクを用いた情報処理システムにおいて、下位エンティティのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク 'エンティティに対応する末端ノードに至るパス上の、末端ノードを除くノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルードに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位ェンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク 'エンティティからルートに至るパス上のリボーク ·ェンティティに対応する末端ノードを除くノードキー更新を行い、キ一更新により生成された更新サブ E K Bのキー発行セン夕（K D C ) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行する構成を有する。

さらに、本発明に係る暗号鍵プロヅクを用いた情報処理システムにおいて、ェンティティは、デバイス種類、サービス種類、管理手段種類等の共通のカテゴリに属するデバイスあるいはエンティティの管理主体として構成される。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法は、複数のデバイスをリーフとして構成したヅリ一のルートからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキ一ツリーを構成し、キーツリーを構成するパスを選択して選択パス上のキー更新、及び下位キーによる上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キープ口ック ( E K B ) を生成してデバイスに提供する情報処理システムにおける暗号鍵プロヅクを用いた情報処理方法において、キ一ヅリーを構成する部分ヅリーとしてのサブヅリ一を管理する複数のエンティティにおいて、サブヅリ一に属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キープ口ヅク（サブ E K B ) を生成するステップと、キ一発行センタ（K D C ) において、複数のエンティティの生成するサブ有効化キーブロック（サブ E K B ) を用いて、選択されたエンティティにおいてのみ復号可能な有効化キープロヅク（E K B ) を生成するステップとを有する。

さらに、本発明に係る.暗号鍵ブロックを用いた情報処理方法において、複数のエンティティの各々は、自己のエンティティに属するサブヅリーを構成するノ一ド又はリーフに対応するキーの設定、更新処理を実行する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、新規ェンティティを末端ノ一ドに追加する上位エンティティは、新規エンティティのサブヅリーを設定するノードである上位エンティティ末端ノードに対応するキーを、新規エンティティの頂点ノ一ド（サブルート）キーとして設定する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、新規追加エンティティは、新規エンティティ内のサブヅリ一内のノード又はリーフに対応して設定されるキ一のみに基づくサブ有効化キーブロック（サブ E K B ) を生成し、キー発行センタ（K D C ) に対するサブ E K Bの登録処理を実行する。さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、デバイスのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク ·デバイスに対応するリーフに至るパス上のノードに設定されたノードキーを更新し、更新ノードキーをリボークデバイス以外のリーフデバイスにおいてのみ復号可能な暗号化キーとして構成した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボークデバイスからルー卜に至るパス上のノードキー更新を行い、キ一更新により生成された更新サブ E K Bのキ一発行センタ（K D C ) への登録処理を行うことにより、デバイスのリボーク処理を実行する。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、下位ェンティティのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク 'エンティティに対応する未端ノードに至るパス上のノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位ェンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブル一トに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、ェンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボ一ク ·ェンティティからルートに至るパス上のノ一ドキ一更新を行い、キー更新により生成された更新サブ E K Bのキー発行セン夕（K D C ) への登録処理を行うことにより、エンティティ単位のリポーク処理を実行する。，さらに、本発明に係る暗号鍵ブロックを用いた情報処理方法において、下位ェンティティのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク .エンティティに対応する末端ノードに至るパス上の、末端ノードを除くノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K B を提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位ェンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク ·エンティティからルー卜に至るパス上のリボーク 'エンティティに対応する末端ノードを除くノードキー更新を行い、キー更新により生成された更新サブ E K Bのキ一発行セン夕（K D C ) への登録処理を行うことにより、ェンティティ単位のリボーク処理を実行する。

さらに、本発明に係るプログラム提供媒体は、複数のデバイスをリーフとして構成したヅリ—のルートからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキーヅリーを構成し、キーツリーを構成するパスを選択して選択パス上のキー更新、及び下位キーによる上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キーブロック（E K B ) を生成してデバイスに提供する情報処理システムにおける有効化キープロヅク（ E K B ) 生成処理をコンピュータ · システム上で実行せしめるコンピュータ · プログラムを提供する。コンピュータ 'プログラムは、キーツリ一を構成する部分ツリーとしてのサブヅリーを管理する複数のエンティティにおいて、サブツリーに属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キ一プロヅク（サブ E K B ) を生成するステップと、キー発行セン夕（K D C ) において、複数のエンティティの生成するサブ有効化キーブロック（サブ E K B ) を用いて、選択されたエンティティにおいてのみ復号可能な有効化キ一プロック（E K B ) を生成するステップとを含む。

本発明に係る暗号鍵ブロックを用いた情報処理システム及び情報処理方法では、ツリー（木）構造の階層的構造の暗号化鍵配信構成を用いることにより、キ一更新に必要な配信メッセージ量を小さく抑えている。すなわち、各機器を n分木の各葉（リーフ）に配置した構成の鍵配信方法を用い、記録媒体若しくは通信回線を介して、例えばコンテンツデ一夕の暗号鍵であるコンテンツキー若しくは認証処理に用いる認証キー、あるいはプログラムコード等を有効化キープ口ヅクとともに配信する構成としている。このようにすることにより、正当なデパイスのみが復号可能なデ一夕を安全に配信することが可能となる。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システム及び方法では、階層的鍵配信ヅリーを、管理下のデバイスのデータ処理能力としてのケィパピリティに基づいて区分したサブヅリーとしてのエンティティで管理する構成としてケィパピリティに基づく鍵配信及び管理構成を実現している。

さらに、本発明に係る暗号鍵プロックを用いた情報処理システム及び方法では、階層的鍵配信ヅリーを共通要素を持つ部分集合としてのエンティティで管理する構成として効率的な鍵配信及び管理構成を実現している。

なお、本発明に係るプログラム提供媒体は、例えば、様々なプログラム · コードを実行可能な汎用コンピュータ 'システムに対して、コンピュータ · プログラムをコンピュータ可読な形式で提供する媒体である。媒体は、 C D F D、 M O などの記録媒体、あるいは、ネットワークなどの伝送媒体など、その形態は特に限定されない。

このようなプログラム提供媒体は、コンピュータ · システム上で所定のコンビユー夕 · プログラムの機能を実現するための、コンピュータ · プログラムと提供媒体との構造上又は機能上の協働的関係を定義したものである。換言すれば、提供媒体を介してコンピュータ · プログラムをコンピュータ 'システムにインスト —ルすることによって、コンピュータ · システム上では協働的作用が発揮され、本発明の他の側面と同様の作用効果を得ることができるのである。

本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。図面の簡単な説明図 1は、本発明の情報処理システムの構成例を説明する図である。

図 2は、本発明の情報処理システムにおいて適用可能な記録再生装置の構成例を示すブロック図である。

図 3は、本発明の情報処理システムにおける各種キー、データの暗号化処理について説明するヅリー構成図である。

図 4 A及び図 4 Bは、本発明の情報処理システムにおける各種キー、データの配布に使用される有効化キープロヅク（E K B ) の例を示す図である。

図 5は、本発明の情報処理システムにおけるコンテンツキーの有効化キープ口ツク（E K B ) を使用した配布例と復号処理例を示す図である。

図 6は、本発明の情報処理システムにおける有効化キ一プロヅク（E K B ) のフォーマヅト例を示す図である。

図 7 A乃至図 7 Cは、本発明の情報処理システムにおける有効化キーブロック ( E K B ) のタグの構成を説明する図である。

図 8 A及び図 8 Bは、本発明の情報処理システムにおける有効化キープ口ヅク ( E K B ) と、コンテンツキ一、コンテンヅを併せて配信するデ一夕構成例を示す図である。図 9は、本発明の情報処理システムにおける有効化キーブロック（EKB) と、コンテンツキー、コンテンツを併せて配信した場合のデバイスでの処理例を示す図である。

図 1 Qは、本発明の情報処理システムにおける有効化キ一ブロック（EKB) とコンテンヅを記録媒体に格納した場合の対応について説明する図である。

図 1 1 A及び図 1 1 Bは、本発明の情報処理システムにおける有効化キープ口ヅク（EKB) と、コンテンツキーを送付する処理を従来の送付処理と比較した図である。

図 1 2は、本発明の情報処理システムにおいて適用可能な共通鍵暗号方式による認証処理シーケンスを示す図である。

図 1 3は、本発明の情報処理システムにおける有効化キープロヅク（EKB) と、認証キーを併せて配信するデ一夕構成と、デバイスでの処理例を示す図（その 1 ) である。

図 14は、本発明の情報処理システムにおける有効化キーブロック（EKB) と、認証キ一を併せて配信するデ一夕構成と、デバイスでの処理例を示す図（その 2 ) である。

図 1 5は、本発明の情報処理システムにおいて適用可能な公開鍵暗号方式による認証処理シーケンスを示す図である。

図 1 6は、本発明の情報処理システムにおいて公開鍵暗号方式による認証処理を用いて有効化キーブロック（EKB) と、コンテンツキーを併せて配信する処理を示す図である。

図 1 7は、本発明の情報処理システムにおいて有効化キーブロック（EKB) と、暗号化プログラムデータを併せて配信する処理を示す図である。

図 1 8は、本発明の情報処理システムにおいて適用可能なコンテンツ ·ィンテグリティ ·チヱヅク値（I CV) の生成に使用する MAC値生成例を示す図である。

図 1 9は、本発明の情報処理システムにおける有効化キ一ブロック（EKB) と、 I CV生成キーを併せて配信するデータ構成と、デバイスでの処理例を示す図（その 1 ) である。図 20は、本発明の情報処理システムにおける有効化キープロヅク（EKB) と、 I CV生成キーを併せて配信するデ一夕構成と、デバイスでの処理例を示す図（その 2 ) である。

図 2 1 A及び図 2 I Bは、本発明の情報処理システムにおいて適用可能なコンテンッ ·ィンテグリティ 'チェヅク値（I CV) をメディアに格納した場合のコピ一防止機能を説明する図である。

図 22は、本発明の情報処理システムにおいて適用可能なコンテンツ ·ィンテグリティ ·チヱツク値（I CV) をコンテンツ格納媒体と別に管理する構成を説明する図である。

図 23は、本発明の情報処理システムにおける階層ツリー構造のカテゴリ分類の例を説明する図であ.る。

図 24 A及び図 24Bは、本発明の情報処理システムにおける簡略化有効化キ一ブロック（EKB) の生成過程を説明する図である。

図 2 5 A及び図 25Bは、本発明の情報処理システムにおける有効化キープ口ヅク（EKB) の生成過程を説明する図である。

図 2 6 A及び図 26 Bは、本発明の情報処理システムにおける簡略化有効化キ一ブロック（EKB) (例 1 ) を説明する図である。

図 27 A乃至図 27 Cは、本発明の情報処理システムにおける階層ヅリ一構造のエンティティ管理構成について説明する図である。

図 28 A乃至図 28 Cは、本発明の情報処理システムにおける階層ヅリー構造のエンティティ管理構成の詳細について説明する図である。

図 29 A及び図 29 Bは、本発明の情報処理システムにおける階層.ツリー構造のエンティティ管理構成について説明する図である。

図 30は、本発明の情報処理システムにおける階層ヅリ一構造のエンティティ管理構成でのリザーブノードについて説明する図である。

図 3 1は、本発明の情報処理システムにおける階層ツリー構造のエンティティ管理構成での新規エンティティ登録処理シーケンスについて説明する図である。図 32は、本発明の情報処理システムにおける階層ヅリー構造のエンティティ管理構成での新規エンティティと上位エンティティの関係について説明する図である。

図 3 3 A及び図 3 3 Bは、本発明の情報処理システムにおける階層ヅリー構造のエンティティ管理構成で用いるサブ E K Bについて説明する図である。

図 3 4 A乃至図 3 4 Dは、本発明の情報処理システムにおける階層ッリー構造のエンティティ管理構成でのデバイスリボーク処理について説明する図である。図 3 5は、本発明の情報処理システムにおける階層ツリー構造のエンティティ管理構成でのデバイスリボーク処理シーケンスについて説明する図である。図 3 6 A及び図 3 6 Bは、本発明の情報処理システムにおける階層ツリー構造のエンティティ管理構成でのデバイスリボーク時の更新サブ E K Bについて説明する図である。

図 3 7 A乃至図 3 7 Dは、本発明の情報処理システムにおける階層ッリー構造のエンティティ管理構成でのエンティティリポーク処理について説明する図である.。

図 3 8は、本発明の情報処理システムにおける階層ヅリ一構造のエンティティ管理構成でのエンティティリボーク処理シーケンスについて説明する図である。図 3 9は、本発明の情報処理システムにおける階層ッリー構造のエンティティ管理構成でのリボークェンティティと上位エンティティの関係について説明する図である。

図 4 0は、本発明の情報処理システムにおける階層ヅリー構造のエンティティ管理構成でのケィパピリティ設定について説明する図である。

図 4 1は、本発明の情報処理システムにおける階層ヅリー構造のエンティティ管理構成でのケィパピリティ設定について説明する図である。

図 4 2 A及び図 4 2 Bは、本発明の情報処理システムにおけるキー発行セン夕 ( K D C ) の管理するケィパピリティ管理テーブル構成を説明する図である。図 4 3は、本発明の情報処理システムにおけるキー発行セン夕（K D C ) の管理するケィパピリティ管理テーブルに基づく E K B生成処理フロー図である。図 4 4は、本発明の情報処理システムにおける新規エンティティ登録時のケィパピリティ通知処理を説明する図である。発明を実施するための最良の形態

[システム概要]

図 1に本発明のデータ処理システムが適用可能なコンテンツ配信システム例を示す。コンテンツの配信側 10は、コンテンツ受信側 20の有する様々なコンテンヅ再生可能な機器に対してコンテンヅ、あるいはコンテンツキーを暗号化して送信する。受信側 20における機器では、受信した暗号化コンテンヅ、あるいは暗号化コンテンツキー等を復号してコンテンツあるいはコンテンツキーを取得して、画像デ一夕、音声データの再生、あるいは各種プログラムの実行等を行う。コンテンツの配信側 1 0とコンテンツ受信側 20との間のデータ交換は、ィン夕一ネット等のネットワークを介して、あるいは DVD、 CD等の流通可能な記憶媒体を介して実行される。

コンテンツの配信側 1 0のデ一夕配信手段としては、イン夕一ネヅト 1 1、衛星放送 1 2、電話回線 1 3、 DVD、 CD等のメディア 14等があり、一方、コンテンヅ受信側 20のデバイスとしては、パーソナルコンピュータ（PC) 2 1、ポータブルデバイス（PD) 22、携帯電話、 PDA (Personal Digital Assis tants) 等の携帯機器 23、 DVD, C Dプレーヤ等の記録再生器 24、ゲ一ム端末等の再生専用器 25等がある。これらコンテンツ受信側 20の各デバイスは、コンテンツ配信側 1 0から提供されたコンテンツをネットワーク等の通信手段あるいは、あるいはメディア 30から取得する。

[デバイス構成]

図 2に、図 1に示すコンテンツ受信側 20のデバイスの一例として、記録再生装置 100の構成プロヅク図を示す。記録再生装置 1 00は、入出力 I /F (In terface) 1 20、 MPEG (Moving Picture Experts Group) コーデヅク 130、 A/D, D/Aコンパ一夕 141を備えた入出力 I /F (Interface) 140、暗号処理手段 1 50、 ROM (Read Only Memory) 1 60、 CPU (Central Proc essing Unit) 1 70、メモリ 180、記録媒体 1 95のドライブ 190を有し、これらはバス 1 10によって相互に接続されている。

入出力 I/F 1 20は、外部から供給される画像、音声、プログラム等の各種コンテンッを構成するディジ夕ル信号を受信し、バス 1 1 0上に出力するとともに、バス 1 10上のディジタル信号を受信し、外部に出力する。 MP EGコーデヅク 130は、バス 1 1 0を介して供給される MP E G符号化されたデ一夕を、 MPEGデコードし、入出力 I /F 140に出力するとともに、入出力 I/F l 40から供給されるディジタル信号を MP E Gェンコ一ドしてバス 1 10上に出力する。入出力 I/F 140は、 A/D, D/ Aコンパ一夕 141を内蔵している。入出力 I/F 140は、外部から供給されるコンテンツとしてのアナログ信号を受信し、 A/D， DZAコンバータ 14； [で A/D (Analog Digital) 変換することで、ディジタル信号として、 MP E Gコーデヅク 130に出力するとともに、 MP E Gコーデヅク 1 30からのディジ夕ル信号を、 A/D， D/Aコンバータ 141で DZA (Digital Analog) 変換することで、アナログ信号として、外部に出力する。

暗号処理手段 1 50は、例えば、 1チップの L S I (Large Scale Integrated Circuit) で構成され、バス 1 1 0を介して供給されるコンテンツとしてのディジ夕ル信号の暗号化、復号処理、あるいは認証処理を実行し、暗号デ一夕、復号データ等をバス 1 1 0上に出力する構成を持つ。なお、暗号処理手段 1 50は 1 チップ L S Iに限らず、各種のソフトウエア又はハードウエアを組み合わせた構成によって実現することも可能である。ソフトウヱァ構成による処理手段としての構成については後段で説明する。

ROM 1 60は、記録再生装置によって処理されるプログラムデータを格納する。 CPU 170は、 ROM1 60、メモリ 1 80に記憶されたプログラムを実行することで、 MP EGコーデヅク 130や暗号処理手段 1 50等を制御する。メモリ 1 80は、例えば、不揮発性メモリで、 C P U 1 70が実行するプログラムゃ、 CPU 170の動作上必要なデータ、さらにデバイスによって実行される暗号処理に使用されるキーセットを記憶する。キーセッ卜については後段で説明する。ドライブ 1 90は、ディジタルデ一夕を記録再生可能な記録媒体 195を駆動することにより、記録媒体 195からディジタルデータを読み出し（再生し）、バス 1 1 0上に出力するとともに、バス 1 1 0を介して供給されるディジタルデータを、記録媒体 195に供給して記録させる。

記録媒体 19 5は、例えば、 DVD、 CD等の光ディスク、光磁気ディスク、磁気ディスク、磁気テープ、あるいは RAM等の半導体メモリ等のディジタルデ —夕の記憶可能な媒体であり、本実施の形態では、ドライブ 1 90に対して着脱可能な構成であるとする。但し、記録媒体 195は、記録再生装置 1 00に内蔵する構成としてもよい。

なお、図 2に示す暗号処理手段 1 50は、 1つのワンチヅプ LS Iとして構成してもよく、また、ソフトウェア、ハードウェアを組み合わせた構成によって実現する構成としてもよい。

[キ一配信構成としてのツリー（木）構造について]

次に、図 1に示すコンテンッ配信側 10からコンテンヅ受信側 20の各デバイスに暗号データを配信する場合における各デバイスにおける暗号処理鍵の保有構成及ぴデ一夕配信構成を図 3を用いて説明する。

図 3の最下段に示すナンパ 0〜 1 5がコンテンツ受信側 20の個々のデバイスである。すなわち図 3に示す階層ツリー（木）構造の各葉（リーフ： leaf) がそれそれのデバイスに相当する。

各デバイス 0〜 1 5は、製造時あるいは出荷時、あるいはその後において、図 3に示す階層ヅリー（木）構造における、自分のリーフからルートに至るまでのノードに割り当てられた鍵（ノードキー）及び各リーフのリ一フキ一からなるキーセヅトをメモリに格納する。図 3の最下段に示す K 0000〜K 1 1 1 1が各デバイス 0〜 1 5にそれそれ割り当てられたリーフキーであり、最上段の KR (ルートキ一）から、最下段から 2番目の節（ノード）に記載されたキー： KR 〜Κ 1 1 1をノードキーとする。

図 3に示すツリー構成において、例えばデバイス 0はリーフキー Κ 0000と、ノードキー： K 000、 K 00、 K0、 KRを所有する。デバイス 5は K 0 1 0 1、 K 0 1 0、 K 01、 K 0、 KRを所有する。デバイス 1 5は、 K 1 1 1 1、 K i l ls K l l、 K l、 KRを所有する。なお、図 3のヅリ"にはデバイスが 0〜 1 5の 1 6個のみ記載され、ツリー構造も 4段構成の均衡のとれた左右対称構成として示しているが、さらに多くのデバイスがツリー中に構成され、また、ヅリーの各部において異なる段数構成を持つことが可能である。

また、図 3のツリー構造に含まれる各デバイスには、様々な記録媒体、例えば、デバイス埋め込み型あるいはデバイスに着脱自在に構成された D V D、 C D、 M D、フラッシュメモリ等を使用する様々なタイプのデバイスが含まれている。さらに、様々なアプリケーションサービスが共存可能である。このような異なるデバイス、異なるアブリケーシヨンの共存構成の上に図 3に示すコンテンツあるいは鍵配布構成である階層ッリ一構造が適用される。

これらの様々なデバイス、アプリケーションが共存するシステムにおいて、例えば図 3の点線で囲んだ部分、すなわちデバイス 0， 1， 2， 3を同一の記録媒体を用いる 1つのグループとして設定する。例えば、この点線で囲んだグループ内に含まれるデバイスに対しては、まとめて、共通のコンテンツを暗号化してプ口バイダから送付したり、各デバイス共通に使用するコンテンツキーを送付したり、あるいは各デバイスからプロバイダあるいは決済機関等にコンテンツ料金の支払デ一夕をやはり暗号化して出力するといつた処理が実行される。コン.テンヅプロバイダ、あるいは決済処理機関等、各デバイスとのデータ送受信を行う機関は、図 3の点線で囲んだ部分、すなわちデバイス 0 , 1， 2 , 3を 1つのグループとして一括してデータを送付する処理を実行する。このようなグループは、図 3のツリー中に複数存在する。コンテンツプロバイダ、あるいは決済処理機関等、各デバイスとのデータ送受信を行う機関は、メツセ一ジデ一夕配信手段として機能する。

なお、ノードキー、リーフキーは、ある 1つの鍵管理セン夕によって統括して管理してもよいし、各グループに対する様々なデータ送受信を行うプロバイダ、決済機関等のメッセージデ一夕配信手段によってグループ毎に管理する構成としてもよい。これらのノードキ一、リーフキーは例えばキーの漏洩等の場合に更新処理が実行され、この更新処理は鍵管理セン夕、プロバイダ、決済機関等が実行する。

このヅリー構造において、図 3から明らかなように、 1つのグループに含まれる 3つのデバイス 0， 1 , 2， 3はノードキーとして共通のキー K 0 0、 K 0、 K Rを保有する。このノードキー共有構成を利用することにより、例えば共通のコンテンツキ一をデバイス 0， 1 , 2 , 3のみに提供することが可能となる。例えば、共通に保有するノードキー Κ 0 0自体をコンテンツキーとして設定すれば、新たな鍵送付を実行することなくデバイス 0 , 1 , 2 , 3のみが共通のコンテンツキ一の設定が可能である。また、新たなコンテンヅキー K c 0 nをノードキー K 00で暗号化した値 E n c (K 00 , Kc o n) を、ネットワークを介してあるいは記録媒体に格納してデバイス 0 , 1， 2 , 3に配布すれば、デバイス 0，

1 , 2 , 3のみが、それそれのデバイスにおいて保有する共有ノードキー K 00 を用いて暗号 Enc (K00, Kc o n) を解いてコンテンツキー： K c o nを得ることが可能となる。なお、 Enc (Ka， Kb) は Kbを K aによって暗号化したデータであることを示す。

また、ある時点 tにおいて、デバイス 3の所有する鍵： K001 1 ,K 00 1， Κ 00，Κ 0，KR.が攻撃者（ハヅカー）により解析されて露呈したことが発覚した場合、それ以降、システム（デバイス 0， 1， 2， 3のグループ）で送受信されるデ一夕を守るために、デバイス 3をシステムから切り離す必要がある。そのためには、ノードキー： K 00 1 ,Κ 00 ,Κ 0 ,KRをそれぞれ新たな鍵 Κ ( t ) 00 1 , K (七） 00，K (t ) Ο,Κ ( t ) Rに更新し、デバイス 0， 1， 2にその更新キーを伝える必要がある。ここで、 K ( t ) aaaは、鍵 Ka a aの世代

(Generation) ： tの更新キーであることを示す。

更新キーの配布処理について説明する。キ一の更新は、例えば、図 4 Aに示す有効化キーブロック（E KB ： Enabling Key Block) と呼ばれるプロヅクデ一夕によって構成されるテーブルを例えばネットワーク、あるいは記録媒体に格納してデバイス 0， 1， 2に供給することによって実行される。なお、有効化キープロック（EKB) は、図 3に示すようなツリー構造を構成する各リーフに対応するデバイスに新たに更新されたキーを配布するための暗号化キーによって構成される。有効化キーブロック（EKB) は、キー更新プロヅク（KRB ： Key Rene wal Block) と呼ばれることもある。

図 4 Aに示す有効化キープロヅク（EKB) には、ノードキーの更新の必要なデバイスのみが更新可能なデ一夕構成を持つプロックデ一夕として構成される。図 4 A及び図 4 Bの例は、図 3に示すツリー構造中のデバス 0， 1 , 2において、世代七の更新ノードキーを配布することを目的として形成されたプロヅクデ一夕である。図 3から明らかなように、デバイス 0，デバイス 1は、更新ノードキーとして K (七） 00、 K (七） 0、 Κ (t ) Rが必要であり、デバイス 2は、更新ノードキーとして K (七） 00 1、 K (t ) 00、 K ( t ) 0、 K ( t ) R が必要である。

, 図 4 Αの ΕΚΒに示されるように ΕΚΒには複数の暗号化キーが含まれる。最下段の暗号化キ一は、 Enc (K 00 1 0 , K ( t ) 00 1) である。これはデバイス 2の持つリーフキー K 00 10によって暗号化された更新ノードキー K

( t ) 001であり、デバイス 2は、自身の持つリーフキーによってこの暗号化キーを復号し、 K (t) 001を得ることができる。また、復号により得た K

(七） 001を用いて、図 4 Aの下から 2段目の暗号化キ一E n c (K ( t ) 0 01 , K ( t ) 00) を復号可能となり、更新ノード.キ一 K (t) 00を得ることができる。以下順次、図 4 Aの上から 2段目の暗号化キー E n c (K ( t ) 0 0 , K (七） 0) を復号し、更新ノードキー K (t) 0、図 4Aの上から 1段目の暗号化キー Enc (K (t) 0， K ( t ) R) を復号し K (t) Rを得る。一方、デバイス K 0000. Κ000 1は、ノードキー K 000は更新する対象に含まれておらず、更新ノードキーとして必要なのは、 Κ ( t ) 00、 K (t ) 0、 K ( t ) Rである。デバイス K 0000. Κ000 1は、図 4 Aの上から 3段目の暗号化キー Enc (K 000 , K (t) 00) を復号し、 K (t) 00を取得し、以下、図 4 Aの上から 2段目の暗号化キー E n c (K ( t ) 00， K ( t ) 0) を復号し、更新ノードキー K (t) 0、図 4 Aの上から 1段目の暗号化キー Enc (K (七） 0， K (t) R) を復号し K ( t ) Rを得る。このようにして、デバイス 0 , 1 , 2は更新した鍵 K ( t ) 00 1 , K ( t ) 00, K (t ) 0,K

(七） Rを得ることができる。なお、図 4Aのインデヅクスは、復号キ一として使用するノードキー、リーフキーの絶対番地を示す。

図 3に示すツリー構造の上位段のノードキー： K (t ) 0,K (t ) Rの更新が不要であり、ノードキ一 K 00のみの更新処理が必要である場合には、図 4Bの有効化キーブロック（EKB) を用いることで、更新ノードキ一K (七） 00をデバイス 0， 1 , 2に配布することができる。

図 4 Bに示す E K Bは、例えば特定のグループにおいて共有する新たなコンテンッキーを配布する場合に利用可能である。具体例として、図 3に点線で示すグループ内のデバイス 0, 1， 2， 3がある記録媒体を用いており、新たな共通のコンテンツキ一 K ( t ) c 0 nが必要であるとする。このとき、デバイス 0， 1 _:

2， 3の共通のノードキ一 K 00を更新した K ( t ) 00を用いて新たな共通の更新コンテンツキ一： K (七） c 0 ηを暗号化したデータ： E n c .(K (t) ， Κ

( t ) c o n) を図 4 Bに示す E KBとともに配布する。この配布により、デバィス 4など、その他のグループの機器においては復号されないデータとしての配布が可能となる。

すなわち、デバイス 0, 1 , 2は EKBを処理して得た K ( t ) 00を用いて上記暗号文を復号すれば、七時点でのコンテンツキー K ( t ) c onを得ることが可能になる。

[ E K Bを使用したコンテンヅキーの配布]

図 5に、 t時点でのコンテンヅキ一K ( t ) c o nを得る処理例として、 K (t ) 00を用いて新たな共通のコンテンツキー K ( t ) c onを暗号化したデ —夕 Enc (K (t) 00， K (t) c on) と図 4 Bに示す E K Bとを記録媒体を介して受領したデバイス 0の処理を示す。すなわち E KBによる暗号化メヅセ一ジデ一夕をコンテンツキー K ( t ) c onとした例である。

図 5に示すように、デバイス 0は、記録媒体に格納されている世代： t時点の E KBと自分が予め格納しているノードキー K 000を用いて上述したと同様の E KB処理により、ノードキ一 K ( t ) 00を生成する。さらに、復号した更新ノードキー K ( t ) 00を用いて更新コンテンツキー K ( t ) c onを復号して、後にそれを使用するために自分だけが持つリーフキ一 K 0000で暗号化して格納する。

[E KBのフォーマツト]

図 6に有効化キープ口ヅク（E KB) のフォーマヅト例を示す。バ一ジョン 6 0 1は、有効化キーブロック（EKB) のバージョンを示す識別子である。なお、バージョンは最新の E K Bを識別する機能とコンテンツとの対応関係を示す機能を持つ。デプスは、有効化キ一ブロック（EKB) の配布先のデバイスに対する階層ツリーの階層数を示す。デ一夕ポインタ 603は、有効化キープロヅク（E KB) 中のデータ部の位置を示すポインタであり、夕グポイン夕 604はタグ部の位置、署名ポインタ 605は署名の位置を示すポイン夕である。

データ部 606は、例えば更新するノードキーを暗号化したデ一夕を格納する, 例えば図 5に示すような更新されたノードキ一に関する各暗号化キー等を格納する。

夕グ部 607は、デ一夕部に格納された暗号化されたノードキー、リ一フキ一の位置関係を示すタグである。このタグの付与ルールを図 7 A乃至図 7 Bを用いて説明する。図 7A乃至図 7Bでは、デ一夕として先に図 4 Aで説明した有効化キープロヅク（EKB) を送付する例を示している。この時のデータは、図 7 B に示すようになる。このときの暗号化キーに含まれるトヅプノードのアドレスをトヅプノードアドレスとする。この場合は、ルートキ一の更新キー K (t ) Rが含まれているので、トップノードアドレスは KRとなる。このとき、例えば最上段のデータ En c (K ( t ) 0 , K (t ) R) は、図 7 Aに示す階層ツリーに示す位置にある。ここで、次のデータは、 Enc (K ( t ) 00， K (七） 0) であり、ツリー上では前のデータの左下の位置にある。データがある場合は、タグが 0、ない場合は 1が設定される。タグは {左（L) 夕グ，右（R) タグ } として設定される。最上段のデ一夕 Enc (K ( t ) 0 , K ( t ) R) の左にはデ一夕があるので、 Lタグ =0、右にはデータがないので、 Rタグ = 1となる。以下、全てのデ一夕にタグが設定され、図 7 Cに示すデ一夕列、及びタグ列が構成される。

夕グは、データ En c (Kxxx , Ky yy) がツリー構造のどこに位置しているのかを示すために設定されるものである。データ部に格納されるキ一デ一夕 Enc (Kxxx, Ky y y) . . . は、単純に暗号化されたキ一の羅列データに過ぎないので、上述したタグによってデータとして格納された暗号化キーのヅリ一上の位置を判別可能としたものである。上述した夕グを用いずに、先の図 4 A及び図 4 Bで説明した構成のように暗号化データに対応させたノード ·ィンデックスを用いて、例えば、

0 ： Enc (K ( ) 0， K ( t ) r o o t)

00 : Enc (K ( t ) 00, K ( t ) 0)

000 ： En c (K ( (七） 000， K ( t ) 00) ) . . . のようなデータ構成とすることも可能であるが、このようなインデックスを用いた構成とすると冗長なデ一夕となりデ一夕量が増大し、ネットワークを介する配信等においては好ましくない。これに対し、上述したタグをキ一位置を示す索引データとして用いることにより、少ないデ一夕量でキー位置の判別が可能となる。

図 6に戻って、 EKBフォーマットについてさらに説明する。署名（Signatur e) は、有効化キーブロック（EKB) を発行した例えば鍵管理センタ、コンテンヅプロバイダ、決済機関等が実行する電子署名である。 E KBを受領したデバイスは署名検証によって正当な有効化キーブロック（EKB) 発行者が発行した有効化キープロヅク（EKB) であることを確認する。

[ E K Bを使用したコンテンツキー及びコンテンッの配信]

上述の例では、コンテンヅキ一のみを E KBとともに送付する例について説明したが、コンテンヅキーで暗号化したコンテンヅと、コンテンツキー暗号キーで暗号化したコンテンツキーと、 E KBによって暗号化したコンテンツキ一暗号鍵を併せて送付する構成について以下説明する。

図 8 A及び図 8 Bにこのデータ構成を示す。図 8 Aに示す構成において、 E n c (K c on， c o nt e nt) 80 1は、コンテンツ（Content) をコンテンツキ一（K c o n) で暗号化したデータであり、 En c (KEK， K c o n) 80 2は、コンテンヅキー（K c o n) をコンテンヅキー暗号キー（KE K ： Key En crypt ion Key) で暗号化したデ一夕であり、 En c (EKB, KE K) 803は、コンテンツキー暗号キー ΚΕΚを有効化キープロヅク（ΕΚΒ) によって暗号化したデ一夕であることを示す。

ここで、コンテンツキー暗号キ一 ΚΕΚは、図 3で示すノードキー（Κ 00 0， Κ 00···) 、あるいはルートキ一（KR) 自体であってもよく、またノードキー (Κ 000， Κ 0 0 ···) 、あるいはルートキー（KR) によって暗号化されたキ一であってもよい。

図 8 Βは、複数のコンテンツがメディアに記録され、それそれが同じ Enc (EKB, KEK) 8 0 5を利用している場合の構成例を示す、このような構成においては、各デ一夕に同じ Enc (EKB, KEK) を付加することなく、 E n c (E KB , KE K) にリンクするリンク先を示すデータを各データに付加する構成とすることができる。

図 9にコンテンツキー暗号キー KE Kを、図 3に示すノードキー K 00.を更新した更新ノードキー K (七） 00として構成した場合の例を示す。この場合、図 3の点線枠で囲んだグループにおいてデバイス 3が、例えば鍵の漏洩によりリポ —ク（排除）されているとして、他のグループのメンバ、すなわち、デバイス 0， 1 , 2に対して図 9に示す有効化キープロヅク（EKB) と、コンテンツキ一 (Kc o n) をコンテンツキー暗号キ一（KEK二 K ( t ) 00) で暗号化したデ一夕と、コンテンツ（content) をコンテンヅキー（Kc o n) で暗号化したデ一夕とを配信することにより、デバイス 0， 1 , 2はコンテンツを得ることができる。

図 9の右側には、デバイス 0における復号手順を示してある。デバイス 0は、 'まず、受領した有効化キープ口ヅクから自身の保有するリーフキー K 000を用いた復号処理により、コンテンヅキ一暗号キー（KEK-K ( t ) 00) を取得する。次に、 K ( t ) 00による復号によりコンテンツキー K c onを取得し、さらにコンテンツキー K c o nによりコンテンツの復号を行う。これらの処理により、デバイス 0はコンテンツを利用可能となる。デバイス 1 , 2においても各々異なる処理手順で EKBを処理することにより、コンテンツキー暗号キ一（K EK = K (t ) 00) を取得することが可能となり、同様にコンテンヅを利用することが可能となる。

図 3に示す他のグループのデバイス 4， 5， 6···は、この同様のデータ（EK B) を受信したとしても、自身の保有するリーフキー、ノードキーを用いてコンテンヅキー暗号キー（KEK==K (t ) 00) を取得することができない。同様にリポークされたデバイス 3においても、自身の保有するリ一フキー、ノードキ一では、コンテンツキー暗号キー（KEK = K ( t ) 00) を取得することができず、正当な権利を有するデバイスのみがコンテンツを復号して利用することが可能となる。

このように、 EKBを利用したコンテンヅキ一の配送を用いれば、データ量を少なくして、かつ安全に正当権利者のみが復号可能とした暗号化コンテンツを配信することが可能となる。

なお、有効化キーブロック（EKB) 、コンテンツキー、暗号化コンテンヅ等は、ネットワークを介して安全に配信することが可能な構成であるが、有効化キ一ブロック（EKB) 、コンテンツキ一、暗号化コンテンツを D VD、 CD等の記録媒体に格納してユーザに提供することも可能である。この場合、記録媒体に格納された暗号化コンテンヅの復号には、同一の記録媒体に格納された有効化キ一ブロック（EKB) の復号により得られるコンテンツキーを使用するように構成すれば、予め正当権利者のみが保有するリーフキー、ノードキーによってのみ利用可能な暗号化コンテンツの配布処理、すなわち利用可能なユーザデバイスを限定したコンテンツ配布が簡易な構成で実現可能となる.。

図 1 0に記録媒体に暗号化コンテンヅとともに有効化キーブロック（EKB) を格納した構成例を示す。図 1 0に示す例においては、記録媒体にコンテンツ C .1〜C 4が格納され、さらに各格納コンテンツに対応するの有効化キープ口ック (EKB) を対応付けたデータが格納され、さらにバージョン Mの有効化キープロヅク（E KB— M) が格納されている。例えば E KB— 1はコンテンツ C 1を暗号化したコンテンツキー Kc 0 n 1を生成するのに使用され、例えば EKB— 2はコンテンヅ C 2を暗号化したコンテンツキー K c 0 n 2を生成するのに使用される。この例では、バ一ジョン Mの有効化キープロヅク（EKB— M) が記録媒体に格納されており、コンテンツ C 3， C4は有効化キーブロック（EKB— M) に対応付けられているので、有効化キーブロック（EKB— M) の復号によりコンテンツ C 3， C 4のコンテンツキ一を取得することができる。 EKB— 1、 E KB— 2はディスクに格納されていないので、新たな提供手段、例えばネットワーク配信、あるいは記録媒体による配信によってそれぞれのコンテンヅキーを復号するために必要な E KB— 1， E KB__2を取得することが必要となる。図 1 1 A及び図 1 1 Bに、複数のデバイス間でコンテンヅキーが流通する場合の E KBを利用したコンテンツキーの配信と、従来のコンテンツキー配信処理の比較例を示す。上段図 1 1 A従来構成であり、下段図 1 1 Bが本発明の有効化キ一プロヅク（EKB) を利用した例である。なお、図 1 1 A及び図 1 1 Bにおいて Ka (Kb) は、 Kbを Kaで暗号化したデ一夕であることを示す。図 1 1 Aに示すように、従来は、デ一夕送受信者の正当性を確認し、またデー夕送信の暗号化処理に使用するセッションキー K s θ sを共有するために各デバイス間において、認証処理及び鍵交換処理（AKE ： Authentication and Key E xchange) を実行し、認証が成立したことを条件としてセッションキ一K s e sでコンテンツキー K c o nを暗号化して送信する処理を行っていた。

例えば図 1 1 Aの PCにおいては、受信したセッションキーで暗号化したコンテンツキ一 Ks e s (Kc on) をセッションキーで復号して K c o nを得ることが可能であり、さらに取得した K c 0 nを P C自体の保有する保存キー K s t rで暗号化して自身のメモリに保存することが可能となる。

図 1 1 Aにおいて、コンテンツプロバイダは、図 1 1 Aの記録デバイス 1 1 0 1にのみデータを利用可能な形で配信したい場合でも、間に P C、再生装置が存在する場合は、図 1 1 Aに示すように認証処理を実行し、それそれのセッションキ一でコンテンツキーを暗号化して配信するといつた処理が必要となる。また、間に介在する P C、再生装置においても認証処理において生成し共有することになったセヅシヨンキ一を用いることで暗号化コンテンツキ一を復号してコンテンツキ一を取得可能となる。

—方、図 1 1 Bの下段に示す有効化キープロヅク（EKB) を利用した例においては、コンテンツプロバイダから有効化キ一プロヅク（EKB) と、有効化キ —プロヅク（EKB) の処理によって得られるノードキー、又はルートキーによつてコンテンヅキー K c 0 nを暗号化したデ一夕（図の例では Kr o o t (Kc o n) ) を配信することにより、配信した E KBの処理が可能な機器においてのみコンテンツキー K c 0 nを復号して取得することが可能になる。

したがって、例えば図 1 1 Bの右端にのみ利用可能な有効化キーブロック（E KB) を生成して、その有効化キーブロック（EKB) と、その EKB処理によつて得られるノードキー、又はルートキ一によつてコンテンツキー K c onを暗号化したデータを併せて送ることにより、間に存在する P C、再生機器等は、自身の有するリーフキ一、ノードキーによっては、 E KBの処理を実行することができない。したがって、データ送受信デバイス間での認証処理、セッションキーの生成、セヅシヨンキーによるコンテンツキ一K c 0 nの暗号化処理といった処理を実行することなく、安全に正当なデバイスに対してのみ利用可能なコンテンツキ一を配信することが可能となる。

P C、記録再生器にも利用可能なコンテンヅキーを配信したい場合は、それそれにおいて処理可能な有効化キーブロック（EKB) を生成して、配信することにより、共通のコンテンヅキーを取得することが可能となる。

[有効化キーブロック（EKB) を使用した認証キーの配信（共通鍵方式） ] 上述の有効化キープロヅク（EKB) を使用したデ一夕あるいはキーの配信において、デバイス間で転送される有効化キーブロック（EKB) 及びコンテンツあるいはコンテンヅキーは常に同じ暗号化形態を維持しているため、デ一夕伝走路を盗み出して記録し、再度、後で転送する、いわゆるリ.プレイァ夕ヅクにより、不正コピ一が生成される可能性がある。これを防ぐ構成としては、デ一夕転送デバイス間において、従来と同様の認証処理及び鍵交換処理を実行することが有効な手段である。ここでは、この認証処理及び鍵交換処理を実行する際に使用する認証キー K ak eを上述の有効化キープロヅク（EKB) を使用してデバイスに配信することにより、安全な秘密鍵として共有する認証キーを持ち、共通鍵方式に従った認証処理を実行する構成について説明する。すなわち E KBによる暗号化メ、ソセージデ一夕を認証キーとした例である。

図 12に、共通鍵暗号方式を用いた相互認証方法（IS0/IEC 9798-2) を示す。図 1 2においては、共通鍵暗号方式として DE Sを用いているが、共通鍵暗号方式であれば他の方式も可能である。図 1 2において、まず、 Bが 64ビットの乱数 Rbを生成し、 R b及び自己の I Dである I D (b) を Aに送信する。これを受信した Aは、新たに 64.ビヅトの乱数 R aを生成し、 R a、 Rb、 I D (b) の順に、 DE Sの CB Cモードで鍵 Kabを用いてデータを暗号化し、 Bに返送する。なお、鍵 Kabは、 A及ぴ Bに共通の秘密鍵としてそれそれの記録素子内に格納する鍵である。 D E Sの C B Cモードを用いた鍵 K a bによる暗号化処理は、例えば DE Sを用いた処理においては、初期値と R aとの排他的論理和を求め、 DE S暗号化部において、鍵 Kabを用いて暗号化し、暗号文 E 1を生成し、続けて暗号文 E 1と R bとの排他的論理和を求め、 DE S暗号化部において、鍵 Kabを用いて暗号化し、暗号文 E 2を生成し、さらに、暗号文 E 2と I D (b) との排他的論理和を求め、 DE S暗号化部において、鍵 Kabを用いて暗号化して生成した暗号文 E 3とによって送信データ（Token- AB) を生成する。これを受信した Bは、受信データを、やはり共通の秘密鍵としてそれそれの記録素子内に格納する鍵 K a b (認証キー）で復号化する。受信データの復号化方法は、まず、暗号文 E 1を認証キー Kabで復号化し、乱数 R aを得る。次に、暗号文 E 2を認証キー K a bで複号化し、その結果と E 1との排他的論理和を求めて Rbを得る。最後に、暗号文 E 3を認証キー K a bで復号化し、その結果と E 2との排他的論理和を求めて I D(b )を得る。こうして得られた Ra、 Rb、 I D(b)の内、 Rb及び I D(b)が、 Bが送信したものと一致するか検証する。この検証に通った場合、 Bは Aを正当なものとして認証する。

次に Bは、認証後に使用するセヅシヨンキー（K s e s) を生成する（生成方法は、乱数を用いる）。そして、 Rb、 Ra、 Ks e sの順に、 DE Sの CB C モードで認証キー K a bを用いて暗号化し、 Aに返送する。

これを受信した Aは、受信データを認証キー Kabで復号化する。受信データの復号化方法は、 Bの復号化処理と同様であるので、ここでは詳細を省略する。こうして得られた Rb、 Ra、 Ks e sの内、！^ 及び！^ が、 Aが送信したものと一致するか検証する。この検証に通った場合、 Aは Bを正当なものとして認証する。互いに相手を認証した後には、セヅシヨンキー K s e sは、認証後の秘密通信のための共通鍵として利用される。

なお、受信データの検証の際に、不正、不一致が見つかった場合には、相互認証が失敗したものとして処理を中断する。

上述の認証処理においては、 A， Bは共通の認証キー K a bを共有する。この共通鍵 Kabを上述の有効化キ一ブロック（EKB) を使用してデバイスに配信する。

例えば、図 1 2の例では、 A，又は: Bのいずれかが他方が復号可能な有効化キ —ブロック（EKB) を生成して生成した有効化キ一プロヅク（EKB) によつて認証キー Kabを暗号化して、他方に送信する構成としてもよいし、あるいは第 3者がデバイス A， Bに対して双方が利用可能な有効化キーブロック（EK B) を生成してデバイス A， Bに対して生成した有効化キーブロック（EKB) によって認証キー K a bを暗号化して配信する構成としてもよい。

図 1 3及び図 14に複数のデバイスに共通の認証キー Kak eを有効化キープロヅク（EKB) によって配信する構成例を示す。図 1 3はデバイス 0， 1 , 2 : 3に対して復号可能な認証キー K ak eを配信する例、図 14はデバイス 0， 1 : 2 , 3中のデバイス 3をリポーク（排除）してデバイス 0 , 1， 2に対してのみ復号可能な認証キーを配信する例を示す。

図 13の例では、更新ノードキー K ( t ) 00によって、認証キ一 K ak eを暗号化したデ一夕とともに、デバイス 0， 1 , 2， 3においてそれそれの有するノードキー、リーフキーを用いて更新されたノードキー K ( t ) 00を復号可能な有効化キーブロック（EKB) を生成して配信する。それぞれのデバイスは、図 1 3の右側に示すようにまず、 E KBを処理（復号）することにより、更新されたノードキー K (t) 00を取得し、次に、取得したノードキー K (t ) 00 を用いて暗号化された認証キー： Enc (K (t ) 00， K a k e) を復号して認証キー K a k eを得ることが可能となる。

その他のデバイス 4， 5 , 6， 7…は同一の有効化キープロヅク（EKB) を受信しても自身の保有するノードキ一、リーフキーでは、 EKBを処理して更新されたノードキー K ( t ) 00を取得することができないので、安全に正当なデバイスに対してのみ認証キーを送付することができる。

一方、図 14の例は、図 3の点線枠で囲んだグループにおいてデバイス 3が、例えば鍵の漏洩によりリボーク（排除）されているとして、他のグループのメンノすなわち、デバイス 0， 1， 2に対してのみ復号可能な有効化キーブロック (E KB) を生成して配信した例である。図 14に示す有効化キ一プロヅク（E KB) と、認証キ一（Kake) をノードキー（K ( t ) 00) で暗号化したデ一夕を配信する。

図 14の右側には、復号手順を示してある。デバイス 0， 1 , 2は、まず、受領した有効化キープ口ヅクから自身の保有するリーフキー又はノードキーを用いた復号処理により、更新ノードキー（K ( t ) 00) を取得する。次に、 K ( t ) 00による復号により認証キー K a k Θを取得する。

図 3に示す他のグループのデバイス 4， 5， 6···は、この同様のデータ（ΕΚ B) を受信したとしても、自身の保有するリーフキー、ノードキーを用いて更新ノードキー（K ( t ) 00) を取得することができない。同様にリボークされたデバイス 3においても、自身の保有するリーフキー、ノードキーでは、更新ノードキー（K ( t ) 00) を取得することができず、正当な権利を有するデバイス. のみが認証キーを復号して利用することが可能となる。

このように、 EKBを利用した認証キーの配送を用いれば、デ一夕量を少なく 'して、かつ安全に正当権利者の.みが復号可能とした認証キーを配信することが可能となる。

[公開鍵認証と有効化キーブロック（EKB) を使用したコンテンツキーの配信]

次に、公開鍵認証と有効化キープロヅク（EKB) を使用したコンテンツキーの配信処理について説明する。まず、公開鍵暗号方式である 1 60ビット長の楕円曲線暗号を用いた相互認証方法を、図 1 5を用いて説明する。図 1 5において、公開鍵暗号方式として E C Cを用いているが、同様な公開鍵暗号方式であればいずれでもよい。また、鍵サイズも 1 60ビットでなくてもよい。図 1 5において、まず Bが、 64ビヅトの乱数 Rbを生成し、 Aに送信する。これを受信した Aは、新たに 64ビヅトの乱数 R a及び素数より小さい乱数 A kを生成する。そして、ペースポイント Gを Ak倍した点 A v = Ak X Gを求め、 Ra、 Rb、 A v (X 座標と Y座標）に対する電子署名 A. S i gを生成し、 Aの公開鍵証明書とともに Bに返送する。ここで、 R a及び R bはそれそれ 64ビヅト、 Avの X座標と Υ座標がそれぞれ 1 60ビヅトであるので、合計 448ビットに対する電子署名を生成する。

Αの公開鍵証明書、 R a、 Rb、 Av、電子署名 Α. 31 を受信した：8は、 Aが送信してきた Rbが、 Bが生成したものと一致するか検証する。その結果、一致していた場合には、 Aの公開鍵証明書内の電子署名を認証局の公鬨鍵で検証し、 Aの公開鍵を取り出す。そして、取り出した Aの公開鍵を用い電子署名 A. S i gを検証する。

次に、 Bは、素数 ρより小さい乱数 B kを生成する。そして、ベースポイント Gを B k倍した点 B v = B k X Gを求め、 Rb、 R a、 B v (X座標と Y座標）に対する電子署名 B. S i gを生成し、 Bの公鬨鍵証明書とともに Aに返送する <

Bの公開鍵証明書、 Rb、 Ra、 Av、電子署名 B. S i gを受信した Αは、 Bが送信してきた R aが、 Aが生成したものと一致するか検証する。その結果、 —致していた場合には、 Bの公開鍵証明書内の電子署名を認証局の公開鍵で検証し、 Bの公鬨鍵を取り出す。そして、取り出した Bの公鬨鍵を用い電子署名 B . S i gを検証する。電子署名の検証に成功した後、 Aは Bを正当なものとして認証する。

両者が認証に成功した場合には、 Bは BkxAv (Bkは乱数だが、 Avは楕円曲線上の点であるため、楕円曲線上の点のスカラー倍計算が必要）を計算し、 Αは Ak X B Vを計算し、これら点の X座標の下位 64ビヅトをセヅシヨンキーとして以降の通信に使用する（共通鍵暗号を 64ビット鍵長の共通鍵暗号とした場合）。もちろん、 Y座標からセヅシヨン鍵を生成してもよいし、下位 64ビヅトでなくてもよい。なお、相互認証後の秘密通信においては、送信デ一タはセヅションキ一で暗号化されるだけでなく、電子署名も付されることがある。

電子署名の検証や受信デ一夕の検証の際に、不正、不一致が見つかった場合には、相互認証が失敗したものとして処理を中断する。

図 1 6に公開鍵認証と有効化キープロヅク（EKB) を使用したコンテンツキ一の配信処理例を示す。まずコンテンヅプロバイダと P C間において図 1 5で説明した公鬨鍵方式による認証処理が実行される。コンテンツプロバイダは、コンテンツキ一配信先である再生装置、記録媒体の有するノードキー、リーフキ一によって復号可能な E KBを生成して、更新ノードキ一による暗号化を実行したコンテンヅキ一 E (K c 0 n) と、有効化キーブロック（EKB) とを P C間の認証処理において生成したセッションキ一 K s e sで暗号化して P Cに送信する。

P Cはセヅシヨンキーで暗号化された [更新ノードキーによる暗号化を実行したコンテンヅキー E (K c on) と、有効化キーブロック（EKB) ] をセヅシヨンキーで復号した後、再生装置、記録媒体に送信する。

再生装置、記録媒体は、自身の保有するノードキー又はリーフキーによって [更新ノードキーによる暗号化を実行したコンテンツキー E (Kc o n) と、有効化キーブロック（EKB) ] を復号することによってコンテンツキー K c 0 n を取得する。

この構成によれば、コンテンツプロバイダと P C間での認証を条件として [更新ノードキ一による暗号化を実行したコンテンツキー E (Kc on) と、有効化キーブロック（EKB) ] が送信されるので、例えば、ノードキーの漏洩があつた場合でも、確実な相手に対するデ一夕送信が可能となる。

[プログラムコードの有効化キ一ブロック（EKB) を使用した配信] 上述した例では、コンテンツキー、認証キー等を有効化キ一プロック（EK B) を用いて暗号化して配信する方法を説明したが、様々なプログラムコードを有効化キーブロック（EKB) を用いて配信する構成も可能である。すなわち E KBによる暗号化メヅセージデータをプログラムコードとした例である。以下、この構成について説明する。

図 1 7にプログラムコード.を有効化キーブロック（EKB) の例えば更新ノードキーによって暗号化してデバイス間で送信する例を示す。デバイス 1 70 1は、デバイス 1 702の有するノードキ一、リーフキーによって復号可能な有効化キ一ブロック（EKB) と、有効化キープロヅク（EKB) に含まれる更新ノードキーで暗号処理したプログラムコ一ドをデバイス 1 702に送信する。デバイス 1702は受信した E KBを処理して更新ノードキーを取得して、さらに取得した更新ノードキーによってプログラムコードの復号を実行して、プログラムコードを得る。

図 1 7に示す例では、さらに、デバイス 1702において取得したプログラムコードによる処理を実行して、その結果をデバイス 170 1に返して、デバイス 170 1がその結果に基づいて、さらに処理を続行する例を示している。

このように有効化キ一プロヅク（EKB) と、有効化キーブロック（EKB) に含まれる更新ノードキーで暗号処理したプログラムコードを配信することにより、特定のデバイスにおいて解読可能なプログラムコードを前述の図 3で示した特定のデバイス、あるいはグループに対して配信することが可能となる。

[送信コンテンツに対するチヱック値（I CV： Integrity Check Value) を対応させる構成]

次に、コンテンツの改竄を防止するためにコンテンツのインテグリティ 'チェヅク値（I CV) を生成して、コンテンヅに対応付けて、 I CVの計算により、コンテンヅ改竄の有無を判定する処理構成について説明する。

コンテンヅのィンテグリティ ·チェック値（I CV) は、例えばコンテンツに対するハッシュ関数を用いて計算され、 I CV = ha s h (K i e v; C I , C 2， ···）によって計算される。 K i c Vは I C V生成キーである。 C l， C 2はコンテンツの情報であり、コンテンツの重要情報のメヅセージ認証符号（MAC ： Message authentication Code) が使用される。

DE S暗号処理構成を用いた MAC値生成例を図 18に示す。図 18の構成に示すように対象となるメッセージを 8バイト単位に分割し、（以下、分割されたメッセージを M l、 M2、 . . ·、 MNとする）、まず、初期値（Initial Valu e (以下、 I Vとする））と M 1との排他的論理和を求める（その結果を I 1とする）。次に、 I 1を D E S暗号化部に入れ、鍵（以下、 K 1とする）を用いて暗号化する（出力を E 1とする）。続けて、 E 1と. M2との排他的論理和を求め、その出力 I 2を D E S暗号化部へ入れ、鍵 K 1を用いて暗号化する（出力 E 2 ) 。以下、これを繰り返し、全てのメッセージに対して暗号化処理を施す。最後に出てきた E Nがメッセージ認証符号（MAC (Message Authentication Code) ) となる。

このようなコンテンツの MAC値と I CV生成キーにハッシュ関数を適用して用いてコンテンヅのインテグリティ 'チェヅク値（I CV) が生成される。改竄のないことが保証された例えばコンテンッ生成時に生成した I C Vと、新たにコンテンヅに基づいて生成した I CVとを比較して同一の I CVが得られればコンテンヅに改竄のないことが保証され、 I CVが異なれば、改竄があつたと判定される。

[チヱック値（I CV) の生成キー K i c Vを E KBによって配布する構成] 次に、コンテンツのィンテグリティ 'チェヅク値（I CV) 生成キーである K i c Vを上述の有効化キープ口ヅクによって送付する構成について説明する。すなわち E KBによる暗号化メッセージデ一夕をコンテンツのインテグリティ ·チェヅク値（ I CV) 生成キーとした例である。

図 19及び図 20に複数のデバイスに共通のコンテンツを送付した場合、それらのコンテンツの改竄の有無を検証するためのィンテグリティ ·チェック値生成キー K i c Vを有効化キーブロック（EKB) によって配信する構成例を示す。図 1 9はデバイス 0， 1， 2 , 3に対して復号可能なチェヅク値生成キー K i c Vを配信する例、図 20はデバイス 0， 1， 2， 3中のデバイス 3をリボーク (排除）してデバイス 0 , 1， 2に対してのみ復号可能なチェヅク値生成キー K i c Vを配信する例を示す。

図 1 9の例では、更新ノードキー K (t ) 00によって、チェック値生成キー K i c Vを暗号化したデ一夕とともに、デバイス 0， 1， 2， 3においてそれそれの有するノードキー、リーフキ一を用いて更新されたノードキー K ( t ) 00 を復号可能な有効化キープロヅク（EKB) を生成して配信する。それそれのデバイスは、図 1 9の右側に示すようにまず、 EKBを処理（復号）することにより、更新されたノードキー K (七） 0 0を取得し、次に、取得したノードキー K ( t ) 0 0を用いて暗号化されたチェック値生成キー： E n c (K. ( t ) 00， K i e v) を復号してチヱヅク値生成キー K i c vを得ることが可能となる。その他のデバイス 4， 5 , 6 , 7…は同一の有効化キ一ブロック（EKB) を受信しても自身の保有するノードキー、リーフキーでは、 EKBを処理して更新されたノードキー K ( t ) 00を取得することができないので、安全に正当なデバイスに対してのみチェヅク値生成キーを送付することができる。

一方、図 20の例は、図 3の点線枠で囲んだグループにおいてデバイス 3が、例えば鍵の漏洩によりリボーク（排除）されているとして、他のグループのメンノすなわち、デバイス 0， 1， 2に対してのみ復号可能な有効化キ一ブロック (EKB) を生成して配信した例である。図 2 0に示す有効化キープロヅク（E KB) と、チヱヅク値生成キー（K i e v) をノードキー（K ( t ) 00) で暗号化したデータを配信する。

図 2 0の右側には、復号手順を示してある。デバイス 0 , 1， 2は、まず、受領した有効化キープ口ックから自身の保有するリーフキ一又はノードキーを用いた復号処理により、更新ノードキー（K (七） 00) を取得する。次に、 K (七） 0 0による復号によりチェヅク値生成キー K i c Vを取得する。

図 3に示す他のグループのデバイス 4 , 5， 6…は、この同様のデータ（EK B) を受信したとしても、自身の保有するリーフキ一、ノードキーを用いて更新ノードキー（K ( ) 00) を取得することができない。同様にリボークされたデバイス 3においても、自身の保有するリーフキー、ノードキーでは、更新ノードキー（K (t ) 00) を取得することができず、正当な権利を有するデバイスのみがチヱック値生成キ一を復号して利用することが可能となる。

このように、 E KBを利用したチヱヅク値生成キーの配送を用いれば、データ量を少なくして、かつ安全に正当権利者のみが復号可能としたチェック値生成キ一を配信することが可能となる。

このようなコンテンヅのインテグリティ 'チェック値（I CV) を用いることにより、 EKBと暗号化コンテンツの不正コピーを排除することができる。例えば図 2 1 A及び図 2 1 Bに示すように、コンテンツ C 1とコンテンツ C 2とをそれそれのコンテンツキーを取得可能な有効化キーブロック（EKB) とともに格納したメディア 1があり、これをそのままメディア 2にコピーした場合を想定する。 E KBと暗号化コンテンツのコピーは可能であり、これを EKBを復号可能なデバイスでは利用できることになる。

図 2 1 Bに示すように各メディアに正当に格納されたコンテンツに対応付けてインテグリティ 'チェック値（I CV (C 1 , C 2 ) ) を格納する構成とする。なお、（I C V (C 1 , C 2) ) は、コンテンツ C 1とコンテンヅ C 2にハヅシュ闋数を用いて計算されるコンテンツのィンテグリティ ·チェヅク値である I C V = h a s h (K i e v, C I , C 2 ) を示している。図 2 1 Bの構成において、メディア 1には正当にコンテンツ 1 とコンテンツ 2が格納され、コンテンツ C 1 とコンテンヅ C 2に基づいて生成されたィンテグリティ ·チェヅク値（I CV (C 1 , C 2) ) が格納される。また、メディア 2には正当にコンテンツ 1が格納され、コンテンツ C 1に基づいて生成されたィンテグリティ 'チェヅク値（I C V (C 1 ) ) が格納される。この構成において、メディア 1に格納された {E KB，コンテンヅ 2} をメディア 2にコピーしたとすると、メディア 2で、コンテンツチェヅク値を新たに生成すると I CV (C 1 , C 2 ) が生成されることになり、メディアに格納されている K i c V (C 1 ) と異なり、コンテンヅの改竄あるいは不正なコピーによる新たなコンテンツの格納が実行されたことが明らかになる。メディアを再生するデバイスにおいて、再生ステヅプの前ステップに I CVチヱヅクを実行して、生成 I CVと格納 I C Vの一致を判別し、一致しない場合は、再生を実行しない構成とすることにより、不正コピーのコンテンツの再生を防止することが可能となる。

また、さらに、安全性を高めるため、コンテンヅのインテグリティ ·チェック値（I CV) を書換カウン夕を含めたデータに基づいて生成する構成としてもよレ、。すなわち I C V = h a s h (Ki e v, c ount e r+ 1 , C l， C 2 , ···) によって計算する構成とする。ここで、カウン夕（c ount e r + 1 ) は、 I CVの書換毎に 1つインクリメントされる値として設定する。なお、カウン夕値はセキュアなメモリに格納する構成とすることが必要である.。

さらに、コンテンツのインテグリティ 'チェヅク値（I CV) をコンテンヅと同一メディアに格納することができない構成においては、コンテンツのインテグリティ ·チェヅク値（I CV) をコンテンツとは別のメディア上に格納する構成としてもよい。

例えば、読出専用メディアや通常の MO等のコピー防止策のとられていないメディアにコンテンツを格納する場合、同一メディアにインテグリティ ·チェック値（I CV) を格納すると I CVの書換が不正なユーザによりなされる可能性があり、 I CVの安全性が保てないおそれがある。このような場合、ホストマシン上の安全なメディアに I CVを格納して、コンテンツのコピーコントロール（例えば check- in/check- out、 move) に I C Vを使用する構成とすることにより、 I CVの安全な管理及びコンテンヅの改竄チェックが可能となる。

この構成例を図 22に示す。図 22では読出専用メディアや通常の MO等のコピー防止策のとられていないメディア 2201にコンテンヅが格納され、これらのコンテンツに関するインテグリティ 'チェック値（I CV) を、ユーザが自由にアクセスすることの許可されないホストマシン上の安全なメディア 2202に格納し、ユーザによる不正なィンテグリティ 'チェヅク値（I CV) の書換を防止した例である。このような構成として、例えばメディア 22 0 1を装着したデバイスがメディア 2201の再生を実行する際にホストマシンである P C、サ一バにおいて I CVのチェックを実行して再生の可否を判定する構成とすれば、不正なコピーコンテンツあるいは改竄コンテンツの再生を防止できる。

[階層ヅリー構造のカテゴリ分類]

暗号鍵をルートキー、ノードキ一、リーフキー等、図 3の階層ツリー構造として構成し、コンテンツキー、認証キー、 I C V生成キー、あるいはプログラムコード、デ一夕等を有効化キープロヅク（E K B ) とともに暗号化して配信する構成について説明してきたが、ノードキ一等を定義している階層ヅリ一構造を各デバイスのカテゴリ毎に分類して効率的なキー更新処理、暗号化キー配信、デ一夕配信を実行する構成について、以下説明する。

図 2 3に階層ツリー構造のカテゴリの分類の一例を示す。図 2 3において、階層ツリー構造の最上段には、ルートキー K r o 0 t 2 3 0 1が設定され、以下の中間段にはノードキー 2 3 0 2が設定され、最下段には、リーフキ一 2 3 0 3が設定される。各デバイスは個々のリーフキーと、リーフキ一からルートキーに至る一連のノードキー、ルートキーを保有する。

ここで、一例として最上段から第 M段目のあるノードをカテゴリノード 2 3 0 4として設定する。すなわち第 M段目のノードの各々を特定カテゴリのデバイス設定ノードとする。第 M段の 1つのノードを頂点として以下、 M + 1段以下のノード、リーフは、そのカテゴリに含まれるデバイスに関するノード及びリーフとする。

例えば図 2 3の第 M段目の 1つのノード 2 3 0 5にはカテゴリ [メモリスティヅク（商標） ] が設定され、このノード以下に連なるノード、リーフはメモリスティヅクを使用した様々なデバイスを含むカテゴリ専用のノード又はリーフとして設定される。すなわち、ノード 2 3 0 5以下を、メモリスティックのカテゴリに定義されるデバイスの関連ノード、及びリーフの集合として定義する。

さらに、 M段から数段分下位の段をサブカテゴリノ一ド 2 3 0 6として設定することができる。例えば図 2 3に示すようにカテゴリ [メモリスティック] ノード 2 3 0 5の 2段下のノードに、メモリスティヅクを使用したデバイスのカテゴリに含まれるサブカテゴリノードとして、 [再生専用器] のノードを設定する。さらに、サブカテゴリノードである再生専用器のノ一ド 2 3 0 6以下に、再生専用器のカテゴリに含まれる音楽再生機能付き電話のノ一ド 2 3 0 7が設定され、さらにその下位に、音楽再生機能付き電話のカテゴリに含まれる [PHS] ノード 2308と [携帯電話] ノード 2309を設定することができる。

さらに、カテゴリ、サブカテゴリは、デバイスの種類のみならず、例えばあるメーカー、コンテンツプロバイダ、決済機関等が独自に管理するノード、すなわち処理単位、管轄単位、あるいは提供サービス単位等、任意の単位（これらを総称して以下、エンティティと呼ぶ）で設定することが可能である。例えば 1つのカテゴリノードをゲーム機器メーカ一の販売するゲーム機器 XYZ専用の頂点ノードとして設定すれば、メ一力一の販売するゲーム機器 X Y Zにその頂点ノ一ド以下の下段のノードキー、リーフキ一を格納して販売することが可能となり、その後、暗号化コンテンツの配信、あるいは各種キーの配信、更新処理を、その頂点ノードキー以下のノードキー、リーフキーによって構成される有効化キープ口ヅク（EKB) を生成して配信し、頂点ノード以下のデバイスに対してのみ利用可能なデータが配信可能となる。

このように、 1つのノードを頂点としして、以下のノードをその頂点ノードに定義されたカテゴリ、あるいはサブカテゴリの関連ノードとして設定する構成とすることにより、カテゴリ段、あるいはサブカテゴリ段の 1つの頂点ノードを管理するメ一カー、コンテンップロバイダ等がそのノードを頂点とする有効化キーブロック（EKB) を独自に生成して、頂点ノード以下に属するデバイスに配信する構成が可能となり、頂点ノードに属さない他のカテゴリのノードに属するデバイスには全く影響を及ぼさずにキー更新を実行することができる。

[簡略 E KBによるキー配信構成]

先に説明した例えば図 3のツリー構成において、キー、例えばコンテンツキーを所定デバイス（リーフ）宛に送付する場合、キー配布先デバイスの所有しているリーフキ一、ノードキーを用いて復号可能な有効化キ一ブロック（EKB) を生成して提供する。例えば図 24 Aに示すヅリー構成において、リーフを構成するデバイス a， g, jに対してキー、例えばコンテンツキ一を送信する場合、 a_: g, jの各ノードにおいて復号可能な有効化キーブロック（EKB) を生成して配信する。

例えば更新ルートキー K ( t ) r 00 tでコンテンツキー K ( t ) c onを暗号化処理し、 E KBとともに配信する場合を考える。この場合、デバイス a， g. jは、それぞれが図 24 Bに示すリーフ及びノードキーを用いて、 E KBの処理を実行して K ( t ) r o o tを取得し、取得した更新ルートキー K ( t ) r 0 0 tによってコンテンヅキー K (七） c 0 ηの復号処理を実行してコンテンツキーを得る。

この場合に提供される有効化キープロヅク（ΕΚΒ) の構成は、図 25Α及び図 25 Βに示すようになる。図 25 Α及び図 25 Bに示す有効化キ一ブロック (EKB) は、先の図 6で説明した有効化キーブロック（EKB) のフォーマヅトに従って構成されたものであり、データ（暗号化キー）と対応するタグとを持つ。タグは、先に図 7 A乃至図 7 Cを用いて説明したように左（L) 、右（R) 、それぞれの方向にデータがあれば 0、無ければ 1を示している。

有効化キーブロック（EKB) を受領したデバイスは、有効化キーブロック (EKB) の暗号化キーとタグに基づいて、順次暗号化キーの復号処理を実行して上位ノードの更新キーを取得していく。図 25 A及び図 25 Bに示すように、有効化キープロヅク（EKB) は、ルートからリーフまでの段数（デブス）が多レ、ほど、そのデ一夕量は増加していく。段数（デブス）は、デバイス（リーフ）数に応じて増大するものであり、キーの配信先となるデバイス数が多い場合は、 E KBのデ一夕量がさらに増大することになる。

このような有効化キーブロック（EKB) のデ一夕量の削減を可能とした構成について説明する。図 26 A及び図 26 Bは、有効化キ一プロヅク（EKB) をキー配信デバイスに応じて簡略化して構成した例を示すものである。

図 25 A及び図 26 Bと同様、リーフを構成するデバイス a， g , jに対してキ一、例えばコンテンツキーを送信する場合を想定する。図 26Aに示すように、キー配信デバイスによってのみ構成されるツリーを構築する。この場合、図 24 Bに示す構成に基づいて新たなッリー構成として図 26 Bのッリー構成が構築される。 K r o o七から K jまでは全く分岐がなく 1つの枝のみが存在すればよく、 Kr o o tから K a及び K gに至るためには、 K 0に分岐点を構成するのみで、 2分岐構成の図 2 6 Aのツリーが構築される。

図 26 Aに示すように、ノードとして K 0のみを持つ簡略化したッリ一が生成される。更新キー配信のための有効化キープロヅク（EKB) は、これらの簡略ヅリーに基づいて生成する。図 26Aに示すヅリ一は、有効化キーブロック（E KB) を復号可能な末端ノード又はリーフを最下段とした 2分岐型ヅリーを構成するパスを選択して不要ノードを省略することにより再構築される再構築階層ッリーである。更新キー配信のための有効化キープロヅク（EKB) は、この再構築階層ヅリーのノ一ド又はリーフに対応するキーのみに基づいて構成される。先の図 25 A及び図 25 Bで説明した有効化キーブロック（EKB) は、各リ一 7 a， , jから K r o o tに至るまでの全てのキーを暗号化したデータを格納していたが、簡略化 EKBは、簡略化したヅリーを構成するノードについてのみの暗号化データを格納する。図 26 Bに示すようにタグは 3ビット構成を有する。第 1及び第 2ビヅトは、図 25A及び図 25 Bの例と、同様の意味を持ち、左（L) 、右（R) 、それぞれの方向にデータがあれば 0、無ければ 1を示す。第 3番目のビットは、 E KB内に暗号化キーが格納されているか否かを示すためのビヅトであり、デ一夕が格納されている場合は 1、データが無い場合は、 0として設定される。

データ通信網、あるいは記憶媒体に格納されてデバイス（リーフ）に提供される有効化キ一ブロック（EKB) は、図 26 Bに示すように、図 25 A及び図 2 5 Bに示す構成に比較すると、デ一夕量が大幅に削減されたものとなる。図 26 B及び図 2 6 Bに示す有効化キ一ブロック（EKB) を受領した各デバイスは、タグの第 3ビットに 1が格納された部分のデータのみを順次復号することにより、所定の暗号化キーの復号を実現することができる。例えばデバイス aは、暗号化データ Enc (Ka, K (t) 0) をリーフキー K aで復号して、ノードキー K (t ) 0を取得して、ノードキー K (t ) 0によって暗号化デ一夕 E n c (K (七） 0 , K (七） r o o t) を復号して K ( t ) r o o tを取得する。デバイス jは、暗号化データ Enc (Kj， K ( t ) r o o t) をリーフキー K jで復号して、 K (t) r o o tを取得する。

このように、配信先のデバイスによってのみ構成される簡略化した新たなッリ —構成を構築して、構築されたッリーを構成するリーフ及びノードのキーのみを用いて有効化キープロヅク（EKB) を生成することにより、少ないデ一夕量の有効化キーブロック（EKB) を生成することが可能となり、有効化キーブロヅク（EKB) のデータ配信が効率的に実行可能となる。

なお、簡略化した階層ツリー構成は、後段で説明するエンティティ単位の EK B管理構成において特に有効に活用可能である。エンティティは、キー配信構成としてのヅリー構成を構成するノードあるいはリーフから選択した複数のノードあるいはリーフの集合体ブロックである。エンティティは、デバイスの種類に応じ t設定される集合であったり、あるいはデバイス提供メーカ一、コンテンツプロバイダ、決済機関等の管理単位等、ある共通点を持った処理単位、管轄単位、あるいは提供サービス単位等、様々な態様の集合として設定される。 1つのェンティティには、ある共通のカテゴリに分類されるデバイスが集まっており、例えば複数のエンティティの頂点ノード（サブルート）によって上述したと同様の簡略化したッリ一を再構築して EKBを生成することにより、選択されたェンティティに属するデバイスにおいて復号可能な簡略化された有効化キープ口ヅク（E KB) の生成、配信が可能となる。エンティティ単位の管理構成については後段で詳細に説明する。

なお、このような有効化キーブロック（EKB) は、光ディスク、 DVD等の情報記録媒体に格納した構成とすることが可能である。例えば、上述の暗号化キーデ一夕によって構成されるデ一夕部と、暗号化キーデ一夕の階層ヅリー構造における位置識別データとしてのタグ部とを含む有効化キーブロック（EKB) にさらに、更新ノードキーによって暗号化したコンテンツ等めメヅセージデ一夕とを格納した情報記録媒体を各デバイスに提供する構成が可能である。デバイスは有効化キ一プロヅク（EKB) に含まれる暗号化キ一データをタグ部の識別デー夕に従って順次抽出して復号し、コンテンツの復号に必要なキ一を取得してコンテンヅの利用を行うことが可能となる。もちろん、有効化キーブロック（EK B) をインターネヅト等のネヅトワークを介して配信する構成としてもよい。

[エンティティ単位の E KB管理構成]

次に、キー配信構成としてのヅリー構成を構成するノードあるいはリーフを、複数のノードあるいはリーフの集合としてのプロヅクで管理する構成について説明する。なお、複数のノードあるいはリーフの集合としてのブロックを以下ェンティティと呼ぶ。エンティティは、デバイスの種類に応じて設定される集合であつたり、あるいはデバイス提供メーカー、コンテンツプロバイダ、決済機関等の管理単位等、ある共通点を持った処理単位、管轄単位、あるいは提供サービス単位等、様々な態様の集合として設定される。すなわち、エンティティは、デバイス種類、サービス種類、管理手段種類等の共通のカテゴリに属するデバイスあるいはエンティティの管理主体として定義される。

エンティティについて、図 2 7 A乃至図 27 Cを用いて説明する。図 27 Aはヅリーのエンティティ単位での管理構成を説明する図である。 1つのェンティティは図では、三角形として示し、例えば 1エンティティ 2 70 1内には、複数のノードが含まれる。 1エンティティ内のノード構成を示すのが図 2 7 Bである。 1つのエンティティは、 1つのノードを頂点とした複数段の 2分岐形ツリーによつて構成される。以下、エンティティの頂点ノー卞 2 702.をサブ.ルートと呼ぶ _c ツリーの末端は、図 2 7 Cに示すようにリーフ、すなわちデバイスによって構成される。デバイスは、複数デバイスをリーフとし、サブルートである頂点ノード 2 702を持つヅリーによって構成されるいずれかのエンティティに属する。図 2 7 Aから理解されるように、エンティティは、階層構造を持つ。この階層構造について、図 28 A乃至図 28 Cを用いて説明する。

図 2 8 Aは、階層構造を簡略化して説明するための図であり、 K r 0 o tから数段下の段にエンティティ A 0 l〜Annが構成され、エンティティ A l〜An の下位には、さらに、エンティティ B O 1〜： Bnk、さらに、その下位にェンティティ C 1〜Cnqが設定されている。各エンティティは、図 2 8 B，図 2 8 C に示す如く、複数段のノード、リーフによって構成されるツリー形状を持つ。例えばエンティティ B nkの構成は、図 28 Bに示すように、サブルート 2 8 1 1を頂点ノードとして、末端ノード 2 8 1 2に至るまでの複数ノードを有する _c このエンティティは識別子 Bnkを持ち、エンティティ Bnk内のノードに対応するノードキー管理をエンティティ B nk独自に実行することにより、末端ノード 28 1 2を頂点として設定される下位（子）エンティティの管理を実行する。また、一方、エンティティ Bnkは、サブルート 2 8 1 1を末端ノードとして持つ上位（親）エンティティ Annの管理下にある。エンティティ C n 3の構成は、図 2 8 Cに示すように、サブルート 2 8 5 1を頂点ノードとして、各デバイスである末端ノード 2 8 5 2、この場合はリーフに至るまで複数ノード、リーフを有する。このエンティティは識別子 C n 3を持ち、エンティティ C n 3内のノード、リーフに対応するノードキー、リーフキー管理をエンティティ C n 3独自に実行することにより、末端ノード 2 8 5 2に対応するリーフ（デバイス）の管理を実行する。また、一方、エンティティ C n 3は、サブルート 2 8 5 1を末端ノードとして持つ上位（親）エンティティ B n 2の管理下にある。各エンティティにおけるキー管理とは、例えばキー更新処理、リボ ―ク処理等であるが、これらは後段で詳細に説明する。

最下段エンティティのリーフであるデバイスには、デバイスの属するェンティティのリ一フキーから、自己の属するエンティティの頂点ノードであるサブルートノードに至るパスに位置する各ノードのノードキー及びリーフキーが格納される。例えば末端ノード 2 8 5 2のデバイスは、末端ノード（リーフ） 2 8 5 2から、サブルートノード 2 8 5 1までの各キーを格納する。

図 2 9 A及ぴ図 2 9 Bを用いて、さらにエンティティの構成について説明する。エンティティは様々な段数によって構成されるッリー構造を持つことが可能である。段数、すなわちデブス（depth) は、エンティティで管理する末端ノードに対応する下位（子）エンティティの数、あるいはリーフとしてのデバイス数に応じて設定可能である。

図 2 9 Aに示すような上下エンティティ構成を具体化すると、図 2 9 Bに示す態様となる。ルートエンティティは、ルートキーを持つ最上段のエンティティである。ルートエンティティの末端ノードに複数の下位ェンティテ.ィとしてェンティティ A， B , Cが設定され、さらに、エンティティ Cの下位エンティティとしてエンティティ Dが設定される。エンティティ Cは 2 9 0 1は、その末端ノードの 1つ以上のノードをリザーブノード 2 9 5 0として保持し、自己の管理するェンティティを増加させる場合、さらに複数段のヅリー構成を持つエンティティ C ， 2 9 0 2をリザーブノード 2 9 5 0を頂点ノードとして新設することにより、管理末端ノード 2 9 7 0を増加させて、管理末端ノードに増加した下位ェンティティを追加することができる。リザーブノードについて、さらに図 30を用いて説明する。エンティティ A, 30 1 1は、管理する下位エンティティ： B， C, D…を持ち、 1つのリザーブノード 302 1を持つ。エンティティは管理対象の下位エンティティをさらに増加させたい場合、リザーブノード 302 1に、自己管理の下位エンティティ A，， 301 2を設定し、下位エンティティ A， , 30 1 2の末端ノードにさらに管理対象の下位エンティティ： F , Gを設定することができる。自己管理の下位ェンティティ A，， 30 1 2も、その末端ノードの少なくとも 1つをリザーブノード 3 022として設定することにより、さらに下位エンティティ A，， 30 13を設定して、さらに管理エンティティを増加させることができる。下位エンティティ A' ⁵ 30 13の末端ノードにも 1以上のリザーブノードを確保する。このようなリザーブノード保有構成をとることにより、あるエンティティの管理する下位' エンティティは、際限なく増加させることが可能となる。なお、リザープエンティティは、末端ノードの 1つのみではなく、複数個設定する構成としてもよい。それそれのエンティティでは、エンティティ単位で有効化キーブロック（EK B) が構成され、エンティティ単位でのキ一更新、リボーク処理を実行することになる。図 30のように複数のエンティティ A, A，， A，，には各ェンティティ個々の有効化キーブロック（EKB) が設定されることになるが、これらは、 . エンティティ A, A，， A，，を共通に管理する例えばあるデバイスメーカーが一括して管理することが可能である。

[新規エンティティの登録処理]

次に、新規エンティティの登録処理について説明する。登録処理シーケンスを図 31に示す。図 3 1のシーケンスに従って説明する。新たにヅリー構成中に追加される新規（子）エンティティ（N— En) は、上位（親）エンティティ（P — En) に対して新規登録要求を実行する。なお、各エンティティは、公開鍵暗号方式に従った公開鍵を保有し、新規エンティティは自己の公開鍵を登録要求に際して上位エンティティ（P— En) に送付する。

登録要求を受領した上位エンティティ（P— En) は、受領した新規（子）ェンティティ（N— En) の公開鍵を証明書発行局（C A： Certificate Authorit y) に転送し、 CAの署名を付加した新規（子）エンティティ（N— En) の公開鍵を受領する。これらの手続きは、上位エンティティ（P— En) と新規（子）エンティティ（N_En) との相互認証の手続きとして行われる。

これらの処理により、新規登録要求エンティティの認証が終了すると、上位ェンティティ（P— En) は、新規（子）エンティティ（N— En) の登録を許可し、新規（子）エンティティ（N— En) のノードキーを新規（子）ェンティティ（N— En) に送信する。このノードキーは、上位エンティティ（P— En) の未端ノードの 1つのノードキーであり、かつ、新規（子）エンティティ（N— En) の頂点ノード、すなわちサブル一トキ一に対応する。

このノードキー送信が終了すると、新規（子）エンティティ（N— En) は、新規（子）エンティティ（N— En) のヅリー構成を構築し、構築したツリーの頂点に受信した頂点ノードのサブルートキーを設定し、各ノード、リーフのキーを設定して、エンティティ内の有効化キープロヅク（E KB) を生成する。 1つのエンティティ内の有効化キープロヅク（EKB) をサブ EKBと呼ぶ。

一方、上位エンティティ（P— En) は、新規（子）エンティティ（N— E n) の追加により、有効化する末端ノードを追加した上位エンティティ（P— E n) 内のサブ E KBを生成する。

新規（子）エンティティ（N— En) は、新規（子）エンティティ（N— E n) 内のノードキー、リーフキーによって構成されるサブ EKBを生成すると、これを上位エンティティ（P— En) に送信する。

新規（子）エンティティ（N— En) からサブ E KBを受信した上位ェンティティ（P— En) は、受信したサブ EKBと、上位エンティティ（P— En) の更新したサブ E KBとをキー発行セン夕（KD C ： Key Distribute Center) に送信する。

キー発行セン夕（KD C) は、全てのエンティティのサブ E KBに基づいて、様々な態様の E KB、すなわち特定のエンティティあるいはデバイスのみが復号可能な E KBを生成することが可能となる。このように復号可能なエンティティあるいはデバィスを設定した E K Bを例えばコンテンツプロバイダに提供し、コンテンップロバイダが E KBに基づいてコンテンツキーを暗号化して、ネットヮークを介して、あるいは記録媒体に格納して提供することにより、特定のデバイスでのみ利用可能なコンテンツを提供することが可能となる。

なお、新規エンティティのサブ E KBのキー発行セン夕（KDC) に対する登録処理は、サブ E KBを上位エンティティを介して順次転送して実行する方法に限るものではなく、上位エンティティを介さずに、新規登録エンティティから直接、キー発行セン夕（KDC) に登録する処理を実行する構成としてもよい。上位エンティティと、上位エンティティに新規追加する下位エンティティとの対応について図 32を用いて説明する。上位エンティティの末端ノードの 1つ 3

20 1を新規追加エンティティの頂点ノードとして、下位エンティティに提供することによって下位エンティティは、上位エンティティの管理下のエンティティとして追加される。上位エンティティの管理下のエンティティとは、後段で詳細に説明するが、下位エンティティのリボーク（排除）処理を上位エンティティが実行できる構成であるという意味を含むものである。

図 32に示すように、上位エンティティに新規エンティティが設定されると、上位エンティティのリーフである末端ノードの 1つのノード 320 1と新規追加エンティティの頂点ノード 3202とが等しいノードとして設定される。すなわち上位ノードの 1つのリーフである 1つの末端ノードが、新規追加エンティティのサブルートとして設定される。このように設定されることにより、新規追加工ンティティが全体ヅリー構成の下で有効化される。

図 33 A及び図 33 Bに新規追加エンティティを設定した際に上位ェンティティが生成する更新 E KBの例を示す。図 33 A及ぴ図 33Bは、図 33 Aに示す構成、すなわち既に有効に存在する末端ノード（no d e O O O) 330 1と末端ノ一ド（n 0 d e◦ 0 1 ) 3302があり、ここに新規追加エンティティに新規エンティティ追加末端ノード（no d e 100 ) 3303を付与した際に上位エンティティが生成するサブ E KBの例を示したものである。

サブ E KBは、図 33 Bに示すようにな構成を持つ。それそれ有効に存在する末端ノードキーにより暗号化された上位ノードキー、上位ノードキーで暗号化されたさらなる上位ノードキー、 …さらに上位に進行してサブル一トキ一に至る構成となっている。この構成によりサブ E KBが生成される。各エンティティは図

33 Bに示すと同様、有効な末端ノード、あるいはリーフキ一により暗号化された上位ノードキー、上位ノードキーでさらに上位のノードキーを暗号化し、順次上位に深厚してサブルートに至る暗号化データによって構成される E K Bを有し、これを管理する。

[エンティティ管理下におけるリボーク処理]

次に、キ一配信ッリー構成をエンティティ単位として管理する構成におけるデバイスあるいはエンティティのリポーク（排除）処理について説明する。先の図 3 , 4では、ツリー構成全体の中から特定のデバイスのみ復号可能で、リボ一クされたデバイスは復号不可能な有効化キーブロック（E K B ) を配信する処理について説明した。図 3，図 4 A及び図 4 Bで説明したリボ一ク処理は、ツリー全体の中から特定のリーフであるデバイスをリボークする処理であつたが、ッリ一のエンティティ管理による構成では、エンティティ毎にリボーク処理が実行可能となる。

. 図 3 4 A乃至図 3 4 D以下の図を用いてエンティティ管理下のヅリー構成におけるリポーク処理について説明する。図 3 4 A乃至図 3 4 Dは、ツリーを構成するエンティティの内、最下段のエンティティ、すなわち個々のデバイスを管理しているエンティティによるデバイスのリボーク処理を説明する図である。

図 3 4 Aは、エンティティ管理によるキー配信ヅリ一構造を示している。ヅリ一最上位にはルートノードが設定され、その数段下にエンティティ A 0 l〜A n n、さらにその下位段に B 0 1〜： B n kのエンティティ、さらにその下位段に C l〜C nのエンティティが構成されている。最も下のエンティティは、末端ノード（リーフ）が個々のデバイス、例えば記録再生器、再生専用器等であるとする。ここで、リボーク処理は、各エンティティにおいて独自に実行される。例えば、最下段のエンティティ C l ~ C nでは、リーフのデバイスのリボーク処理が実行される。図 3 4 Bには、最下段のエンティティの 1つであるエンティティ C n , 3 4 3 0のヅリー構成を示している。エンティティ C n， 3 4 3 0は、頂点ノード 3 4 3 1を持ち、末端ノードであるリーフに複数のデバイスを持つ構成である。この末端ノードであるリーフ中に、リボーク対象となるデバイス、例えばデバイス 3 4 3 2があったとすると、エンティティ C n , 3 4 3 0は、独自に更新したエンティティ C n内のノードキー、リーフキーによって構成される有効化キープロヅク（サブ EKB) を生成する。この有効化キーブロックは、リボークデバイス 3432においては復号できず、他のリーフを構成するデバイスにおいてのみ復号可能な暗号化キーにより構成されるキープ口ックである。エンティティ C nの管理者は、これを更新されたサブ E KBとして生成する。具体的には、サブルートからリボークデバイス 3432に連なるパスを構成する各ノード 343 1：

3434， 3435のノードキーを更新して、この更新ノードキーをリボークデバイス 3432以外のリーフデバイスにおいてのみ復号可能な暗号化キーとして構成したプロヅクを更新サブ E KBとする。この処理は、先の図 3， 4 A及び図

4 Bにおいて説明したリボ一ク処理構成において、ルートキーを、エンティティの頂点キーであるサブルートキーに置き換えた処理に対応する。

このようにエンティティ Cn, 3430がリボーク処理によって更新した有効化キ一ブロック（サブ EKB) は、上位エンティティに送信される。この場合、上位エンティティはエンティティ B nk， 3420であり、エンティティ C n， 3430の頂点ノード 343 1を末端ノードとして有するエンティティである。

エンティティ Bnk， 3420は、下位エンティティ Cn， 3430から有効化キーブロック（サブ EKB) を受領すると、そのキーブロックに含まれるェンティティ Cnk, 3430の頂点ノード 3431に対応するエンティティ B nk , 3420の末端ノード 3431を、下位エンティティ Cn， 3430において更新されたキーに設定して、自身のエンティティ B nk, 3420のサブ EKBの更新処理を実行する。図 34 Cにエンティティ Bnk， 3420のヅリー構成を示す。エンティティ Bnk, 3420において、更新対象となるノードキーは、図 34 Cのサブルート 342 1からリボークデバイスを含むェンティティを構成する末端ノード 343 1に至るパス上のノードキーである。すなわち、更新サブ E KBを送信してきたエンティティのノード 343 1に連なるパスを構成する各ノード 342 1 , 3424, 3425のノードキーが更新対象となる。これら各ノードのノードキーを更新してエンティティ Bnk， 3420の新たな更新サブ EKBを生成する。

さらに、エンティティ Bnk， 3420が更新した有効化キーブロック（サブ E KB) は、上位エンティティに送信される。この場合、上位エンティティはェンティティ Ann, 341 0であり、エンティティ Bnk, 3420の頂点ノード 342 1を末端ノードとして有するエンティティである。

エンティティ Ann， 341 0は、下位エンティティ B n k , 3420から有効化キープロヅク（サブ EKB) を受領すると、そのキ一ブロックに含まれるェンティティ Bnk, 3420の頂点ノード 342 1に対応するエンティティ An n， 341 0の末端ノード 342 1を、下位エンティティ Bnk, 3420において更新されたキーに設定して、自身のエンティティ Ann, 34 10のサブ E KBの更新処理を実行する。図 34Dにエンティティ Ann， 341 0のヅリ一構成を示す。エンティティ Ann， 341 0において、更新対象となるノードキ一は、図 34 Dのサブルート 341 1から更新サブ E KBを送信してきたェンティティのノード 342 1に連なるパスを構成する各ノード 341 1， 3414, 341 5のノードキーである。これら各ノードのノ一ドキーを更新してェンティティ Ann, 341 0の新たな更新サブ EKBを生成する。

これらの処理を順次、上位のエンティティにおいて実行し、図 29 Bで説明したルートエンティティまで実行する。この一連の処理により、デバイスのリボーク処理が完結する。なお、それぞれのエンティティにおいて更新されたサブ; E K Bは、最終的にキー発行セン夕（KD C) に送信され、保管される。キー発行セン夕（KD C) は、全てのエンティティの更新サブ E KBに基づいて、様々な E KBを生成する。更新 EKBは、リボークされたデバイスでの復号が不可能な暗号化キープ口ックとなる。

デバイスのリボーク処理のシーケンス図を図 35に示す。処理手順を図 35のシーケンス図に従って説明する。まず、ツリー構成の最下段にあるデバイス管理エンティティ（D— En) は、デバイス管理エンティティ（D— En) 内のリボーク対象のリーフを排除するために必要なキー更新を行い、デバイス管理ェンティティ（D— En) の新たなサブ EKB (D) を生成する。更新サブ EKB (D) は、上位エンティティに送付される。更新サブ EKB (D) を受領した上位（親）エンティティ（P 1— E n) は、更新サブ E KB (D) の更新頂点ノードに対応した末端ノ一ドキーの更新及び、その末端ノードからサブルートに至るパス上のノードキーを更新した更新サブ EKB (P I) を生成する。これらの処理を順次、上位エンティティにおいて実行して、最終的に更新された全てのサブ E KBがキー発行セン夕（KD C) に格納され管理される。

図 36 A及び図 36 Bにデバイスのリボーク処理によって上位エンティティが更新処理を行って生成する有効化キーブロック（EKB) の例を示す。

図 36 A及び図 36 Bは、図 36 Aに示す構成において、リボークデバイスを含む下位エンティティから更新サブ E KBを受信した上位エンティティにおいて生成する EKBの例を説明する図である。リボークデバイスを含む下位ェンティティの頂点ノ一ドは、上位エンティティの未端ノード（no d e l O O) 360 1に対応する。

上位エンティティは、上位エンティティのサブルートから末端ノード（no d e 100 ) 360 1までのパスに存在するノードキ一を更新して新たな更新サブ E KBを生成する。更新サブ E KBは、図 36Bのようになる。更新されたキ一は、下線及び [， ] を付して示してある。このように更新された末端ノードからサブルートまでのパス上のノードキーを更新してそのエンティティにおける更新サブ E KBとする。

次に、リボークする対象をエンティティとした場合の処理、すなわちェンティティのリボーク処理について説明する。

図 37 Aは、エンティティ管理によるキー配信ヅリ一構造を示している。ッリ一最上位にはルートノードが設定され、その数段下にエンティティ A 0 l〜An n、さらにその下位段に B 01〜； B nkのエンティティ、さらにその下位段に C 1〜Cnのエンティティが構成されている。最も下のエンティティは、末端ノード（リーフ）が個々のデバイス、例えば記録再生器、再生専用器等であるとする。ここで、リボ一ク処理を、エンティティ Cn， 3730に対して実行する場合について説明する。最下段のエンティティ Cn， 3730は、' 図 37 Bに示すように頂点ノード 343 1を持ち、末端ノードであるリ一フに複数のデバイスを持つ構成である。

エンティティ Cn， 3730をリボークすることにより、エンティティ Cn, 3730に属する全てのデバイスのヅリー構造からの一括排除が可能となる。ェンティティ Cn, 3730のリボーク処理は、エンティティ Cn， 3730の上位エンティティであるエンティティ Bnk， 3720において実行される。ェンティティ Bnk, 3720は、エンティティ Cn， 3730の頂点ノード 373 1を末端ノードとして有するエンティティである。

エンティティ Bnk， 3720は、下位エンティティ Cn， 3730のリボークを実行する場合、エンティティ Cnk， 3730の頂点ノード 373 1に対応するエンティティ Bnk， 3720の末端ノード 3731を更新し、さらに、そのリポークエンティティ 3730からエンティティ： Bnk， 3720のサブル一トまでのパス上のノードキ一の更新を行い有効化キープ口ヅクを生成して更新サブ EKBを生成する。更新対象となるノードキ一は、図 37 Cのサブルート 37 2 1からリポークエンティティの頂点ノードを構成する末端ノード 373 1に至るパス上のノードキーである。すなわち、ノード 372 1 , 3724, 3725， 3731のノードキーが更新対象となる。これら各ノードのノードキーを更新してエンティティ Bnk， 3720の新たな更新サブ E K Bを生成する。

あるいは、エンティティ Bnk, 3720は、下位エンティティ Cn, 373 0のリボークを実行する場合、エンティティ Cnk， 3730の頂点ノード 37 3 1に対応するエンティティ B nk， 3720の末端ノード 373 1は更新せず、そのリボークエンティティ 3730からエンティティ Bnk, 3720のサブル一トまでのパス上の末端ノード 3731を除くノードキ一の更新を行い有効化キ一プロヅクを生成して更新サブ E KBを生成してもよい。

さらに、エンティティ Bnk, 3720が更新した有効化キープロヅク（サブ E KB) は、上位エンティティに送信される。この場合、上位エンティティはェンティティ Ann, 37 1 0であり、エンティティ： Bnk， 3720の頂点ノード 372 1を末端ノードとして有するエンティティである。

エンティティ Ann， 37 10は、下位エンティティ Bnk， 3720から有効化キープ口ヅク (サブ EKB) を受領すると、そのキ一プロヅクに含まれるェンティティ： Bnk, 3720の頂点ノード 372 1に対応するエンティティ A n n, 37 1 0の末端ノード 372 1を、下位ェンティティ： B n k , 3720において更新されたキーに設定して、自身のエンティティ Ann, 371 0のサブ E KBの更新処理を実行する。図 37 Dにエンティティ Ann， 37 1 0のツリー構成を示す。エンティティ Ann, 37 1 0において、更新対象となるノードキ一は、図 37 Dのサブルート 37 1 1から更新サブ E KBを送信してきたェンティティのノード 372 1に連なるパスを構成する各ノード 37 1 1， 37 1 , 37 1 5のノードキーである。これら各ノードのノードキーを更新してェンティティ Ann, 3 7 1 0の新たな更新サブ E KBを生成する。

これらの処理を順次、上位のエンティティにおいて実行し、図 2 9 Dで説明したルートエンティティまで実行する。この一連の処理により、エンティティのリボーク処理が完結する。なお、それぞれのエンティティにおいて更新されたサブ EKBは、最終的にキ一発行セン夕（KD C) に送信され、保管される。キー発行センタ（KD C) は、全てのエンティティの更新サブ EKBに基づいて、様々な EKBを生成する。更新 EKBは、リボークされたエンティティに属するデバイスでの復号が不可能な暗号化キープ口ックとなる。

エンティティのリボ一ク処理のシーケンス図を図 38に示す。処理手順を図 3 8のシーケンス図に従って説明する。まず、エンティティをリボークしようとするエンティティ管理エンティティ（E— E n) は、エンティティ管理ェンティティ（E— En) 内のリボーク対象の末端ノードを排除するために必要なキー更新を行い、エンティティ管理エンティティ（E— En) の新たなサブ EKB (E) を生成する。更新サブ EKB (E) は、上位エンティティに送付される。更新サブ E KB (E) を受領した上位（親）エンティティ（P 1 _E n) は、更新サブ E KB (E) の更新頂点ノードに対応した末端ノードキーの更新及び、その末端ノードからサブルートに至るパス上のノードキーを更新した更新サブ E KB (P 1 ) を生成する。これらの処理を順次、上位エンティティにおいて実行して、最終的に更新された全てのサブ E KBがキー発行センタ（KD C) に格納され管理される。キー発行センタ（KD C) は、全てのエンティティの更新サブ E KBに基づいて、様々な EKBを生成する。更新 EKBは、リボークされたェンティティに属するデバイスでの復号が不可能な暗号化キープ口ヅクとなる。

図 3 9にリボークされた下位エンティティと、リボークを行なった上位ェンティティの対応を説明する図を示す。上位エンティティの末端ノード 3 9 0 1は、エンティティのリボークにより更新され、上位エンティティのツリーにおける末端ノード 3 9 0 1からサブルートまでのパスに存在するノードキ一の更新により、新たなサブ E K Bが生成される。その結果、リボークされた下位エンティティの項点ノード 3 9 0 2のノードキーと、上位ェンティティの末端ノード 3 9 0 1のノードキ一は不一致となる。エンティティのリポーク後にキ一発行セン夕（K D C ) によって生成される E K Bは、上位エンティティにおいて更新された末端ノ —ド 3 9 0 1のキーに基づいて生成されることになるので、その更新キ一を保有しない下位エンティティのリーフに対応するデバイスは、キー発行セン夕（K D C ) によって生成される E K Bの復号ガ不可能になる。

なお、上述の説明では、 .デバイスを管理する最下段のエンティティのリボーク処理について説明したが、ヅリ一の中段にあるエンティティ管理ェンティティをその上位エンティティがリボークする処理も上記と同様のプロセスによって可能である。中段のエンティティ管理エンティティをリボークすることにより、リボークされたエンティティ管理エンティティの下位に属する全ての複数ェンティティ及びデバイスを一括してリボーク可能となる。

このように、エンティティ単位でのリボ一クを実行することにより、 1つ 1つのデバイス単位で実行するリボーク処理に比較して簡易なプロセスでのリボーク処理が可能となる。

[エンティティのケィパピリティ管理]

次に、エンティティ単位でのキー配信ツリー構成において、各エンティティの許容するケィパピリティ（Capabi l ity) を管理して、ケィパピリティに応じたコンテンッ配信を行う処理構成について説明する。ここでケィパピリティとは、例えば特定の圧縮音声データの復号が可能であるとか、特定の音声再生方式を許容するとか、あるいは特定の画像処理プログラムを処理できる等、デバイスがどのようなコンテンツ、あるいはプログラム等を処理できるデバイスであるか、すなわちデバイスのデータ処理能力の定義情報である。

図 4 0にケィパピリティを定義したエンティティ構成例を示す。キー配信ヅリ一構成の最頂点にル一トノードが位置し、下層に複数のエンティティが接続されて各ノードが 2分岐を持つツリー構成である。ここで、例えばエンティティ 4 0 0 1は、音声再生方式 A， B， Cのいずれかを許容するケィパピリティを持つェンティティとして定義される。具体的には、例えばある音声圧縮プログラム一 A、 B、又は C方式で圧縮した音楽デ一夕を配信した場合に、エンティティ 4 0 0 1 以下に構成されたエンティティに属するデバイスは圧縮デ一夕を伸長する処理が可能である。

■ 同様にエンティティ 4 0 0 2は音声再生方式 B又は C、エンティティ 4 0 0 3 は音声再生方式 A又は B、エンティティ 4 0 0 4は音声再生方式 B、工ンティティ 4 0 0 5は音声再生方式 Cを処理することが可能なケィパピリティを持つェンティティとして定義される。

一方、エンティティ 4 0 2 1は、画像再生方式 p， q， rを許容するェンティティとして定義され、エンティティ 4 0 2 2は方式 p， qの画像再生方式、ェンティティ 4 0 2 3は方式 pの画像再生が可能なケィパピリティを持つェンティティとして定義される。

このような各エンティティのケィパピリティ情報は、キー発行セン夕（K D C ) において管理される。キー発行セン夕（K D C ) は、例えばあるコンテンツプロバイダが特定の圧縮プログラムで圧縮した音楽データを様々なデバイスに配信したい場合、その特定の圧縮プログラムを再生可能なデバイスに対してのみ復号可能な有効化キーブロック（E K B ) を各エンティティのケィパピリティ情報に基づいて生成することができる。コンテンツを提供するコンテンヅプロバイダは、ケィパピリティ情報に基づいて生成した有効化キープロヅク（E K B ) によつて暗号化したコンテンツキーを配信し、そのコンテンツキーで暗号化した圧縮音声データを各デバイスに提供する。この構成により、データの処理が可能なデバイスに対してのみ特定の処理プログラムを確実に提供することが可能となる。なお、図 4 0では全てのエンティティについてケィパピリティ情報を定義している構成であるが、図 4 0の構成のように全てのエンティティにケィパピリティ情報を定義することは必ずしも必要ではなく、例えば図 4 1に示すようにデバイスが属する最下段のエンティティについてのみケィパピリティを定義して、最下段のエンティティに属するデバイスのケィパピリティをキー発行セン夕（K D C ) において管理して、コンテンツプロバイダが望む処理の可能なデバイスにのみ復号可能な有効化キーブロック（EKB) を最下段のエンティティに定義されたケィパピリティ情報に基づいて生成する構成としてもよい。図 4 1では、末端ノードにデバイスが定義されたエンティティ 410 1 = 4 105におけるケィパピリティが定義され、これらのエンティティについてのケィパピリティをキー発行セン夕（KD C) において管理する構成である。例えばエンティティ 41 0 1 には音声再生については方式 B、画像再生については方式 rの処理が可能なデバイスが属している。エンティティ 4102には音声再生については方式 A、画像再生については方式 qの処理が可能なデバイスが属している等である。

図 42 A及び図 42 Bにキ一発行センタ（KD C) において管理するケィパピリティ管理テーブルの構成例を示す。ケィパピリティ管理テ一ブルは、図 42 A のようなデータ構成を持つ。すなわち、各エンティティを識別する識別子としてのエンティティ I D、そのエンティティに定義されたケィパピリティを示すケィパビリティリスト、このケィパピリティリストは.図 42 Bに示すように、例えば音声データ再生処理（方式 A) が処理可能であれば [1] 、処理不可能であれは

[0] 、音声データ再生処理（方式 B) が処理可能であれば [ 1] 、処理不可能であれは [0] …等、様々な態様のデータ処理についての可否を 1ビヅトずつ

[ 1] 又は [0] を設定して構成されている。なお、このケィパピリティ情報の設定方法はこのような形式に限らず、エンティティの管理デバイスについてのケィパピリティを識別可能であれば他の構成でもよい。

ケィパピリティ管理テーブルには、さらに、各エンティティのサブ E KB、あるいはサブ E KBが別のデータベースに格納されている場合は、サブ E KBの識別情報が格納され、さらに、各エンティティのサブルートノード識別デ一夕が格納される。

キー発行セン夕（KD C) は、ケィパピリティ管理テーブルに基づいて、例えば特定のコンテンツの再生可能なデバイスのみが復号可能な有効化キーブロック (E KB) を生成する。図 43を用いて、ケィパピリティ情報に基づく有効化キーブロヅクの生成処理について説明する。

まず、ステップ S 430 1において、キー発行セン夕（KD C) は、ケィパピリティ管理テーブルから、指定されたケィパピリティを持つエンティティを選択する。具体的には、例えばコンテンヅプロバイダが音声データ再生処理方式 Aに基づく再生可能なデータを配信したい場合は、図 42 Aのケィパピリティリストから、例えば音声デ一夕再生処理（方式 A) の項目が [1 ] に設定されたェンティティを選択する。

次に、ステヅプ S 4302において、選択されたエンティティによって構成される選択エンティティ I Dのリストを生成する。次に、ステヅプ S 4303で、選択エンティティ I Dによって構成されるヅリ一に必要なパス（キー配信ツリー構成のパス）を選択する。ステップ S 4304では、選択エンティティ I Dのリストに含まれる全てのパス選択が完了したか否かを判定し、完了するまで、ステヅプ S 4303においてパスを生成する。これは、複数のエンティティが選択された場合に、それぞれのパスを順次選択する処理を意味している。

選択エンティティ I Dのリストに含まれる全てのパス選択が完了すると、ステヅプ S 4305に進み、選択したパスと、選択エンティティによってのみ構成されるキー配信ヅリー構造を構築する。

次に、ステップ S 4306において、ステヅプ S 4305で生成したッリ一構造のノードキーの更新処理を行い、更新ノードキーを生成する。さらに、ツリーを構成する選択エンティティのサブ E K Bをケィパピリティ管理テーブルから取り出し、サブ E KBと、ステヅプ S 4306で生成した更新ノードキ一とに基づいて選択エンティティのデバイスにおいてのみ復号可能な有効化キープ口ヅク (EKB) を生成する。このようにして生成した有効化キーブロック（EKB) は、特定のケィパピリティを持つデバイスにおいてのみ利用、すなわち復号可能な有効化キーブロック（EKB) となる。この有効化キープロヅク（EKB) で例えばコンテンツキ一を暗号化して、そのコンテンツキーで特定プログラムに基づいて圧縮したコンテンツを暗号化してデバイスに提供することで、キー発行セン夕（KDC) によって選択された特定の処理可能なデバイスにおいてのみコンテンヅが利用される。

このようにキー発行セン夕（KD C) は、ケィパピリティ管理テーブルに基づいて、例えば特定のコンテンツの再生可能なデバイスのみが復号可能な有効化キ一ブロック（EKB) を生成する。したがって、新たなエンティティが登録される場合には、その新規登録エンティティのケィパピリティを予め取得することが必要となる。このエンティティ新規登録に伴うケィパピリティ通知処理について図 44を用いて説明する。 - 図 44は、新規エンティティがキー配信ツリー構成に参加する場合のケィパピリティ通知処理シーケンスを示した図である。

新たにツリー構成中に追加される新規（子）エンティティ（N— En) は、上位（親）エンティティ（P— En) に対して新規登録要求を実行する。なお、各エンティティは、公鬨鍵暗号方式に従った公開鍵を保有し、新規エンティティは . 自己の公闢鍵を登録要求に際して上位エンティティ（P— En) に送付する。登録要求を受領した上位エンティティ（P— En) は、受領した新規（子）ェンティティ（N— En) の公開鍵を証明書発行局（C A： Certificate Authorit y) に転送し、 C Aの署名を付加した新規（子）エンティティ（N— En) の公開鍵を受領する。これらの手続きは、上位エンティティ（P— En) と新規（子）エンティティ（N—En) との相互認証の手続きとして行われる。

これらの処理により、新規登録要求エンティティの認証が終了すると、上位ェンティティ（P— En) は、新規（子）エンティティ（N— En) の登録を許可し、新規（子）エンティティ（N— En) のノードキーを新規（子）ェンティティ（N— En) に送信する。このノードキ一は、上位エンティティ（P— En) の末端ノードの 1つのノードキーであり、かつ、新規（子）エンティティ（N— En) の頂点ノード、すなわちサブルートキーに対応する。

このノードキ一送信が終了すると、新規（子）エンティティ（N_En) は、新規（子）エンティティ（N— En) のヅリ一構成を構築し、構築したヅリーの頂点に受信した頂点ノードのサブルートキーを設定し、各ノード、リーフのキーを設定して、エンティティ内の有効化キープロヅク（サブ EKB) を生成する。一方、上位エンティティ（P— En) も、新規（子）エンティティ（N— En) の追加により、有効化する末端ノードを追加した上位エンティティ（P— En) 内のサブ E KBを生成する。

新規（子）エンティティ（N— En) は、新規（子）エンティティ（N— E n) 内のノードキー、リーフキーによって構成されるサブ EKBを生成すると、これを上位エンティティ（P— En) に送信し、さらに、自己のエンティティで管理するデバイスについてのケィパピリティ情報を上位エンティティに通知する, 新規（子）エンティティ（N— En) からサブ E KB及びケィパピリティ情報を受信した上位エンティティ（P— En) は、受信したサブ EKBとゲイパビリティ情報と、上位エンティティ（P— En) の更新したサブ E KBとをキー発行センタ（KD C ： Key Distribute Center) に送信する。

キー発行セン夕（KD C) は、受領したエンティティのサブ EKB及びケィパピリティ情報とを図 42 A及び図 42 Bで説明し.たケィパピリティ管理テーブルに登録し、ケィパピリティ管理テ一ブルを更新する。キー発行セン夕（KD C) は、更新したケィパピリティ管理テーブルに基づいて、様々な態様の EKB、すなわち特定のケィパピリティを持つエンティティ.あるいはデバイスのみが復号可能な E KBを生成することが可能となる。

以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、冒頭に記載した特許請求の範囲の欄を参酌すべきである。産業上の利用可能性以上、説明したように、本発明に係る暗号鍵ブロックを用いた情報処理システム及び方法によれば、複数のデバイスをリーフとして構成したッリーのルートからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキーヅリーをデバイスのデータ処理能力としてのケィパピリティに基づいて区分したサブヅリーを設定し、それそれのサブヅリーの管理主体であるエンティティにおいて、エンティティ内で有効なサブ有効化キープロヅク（サブ EKB) を生成するとともに、キー発行センタ（KDC) において、エンティティのケィパピリティ情報を管理して、共通のケィパピリティを持つエンティティにおいてのみ復号可能な有効化キーブロック（EKB) を生成する構成としたので、特定のデバイスにおいてのみ処理可能なデ一夕を、そのデバイスにおいてのみ復号可能なデ —夕として提供することができる。

さらに、本発明に係る暗号鍵プロックを用いた情報処理システム及び方法によれば、キー発行セン夕（K D C ) は、複数のエンティティ各々の識別子、ケィパピリティ情報、サブ有効化キープロヅク（サブ E K B ) 情報とを対応付けたケィパピリティ管理テーブルに基づいて、デバイスに対する配信データの処理可能なエンティティを選択して、様々なケィパピリティに応じた様々な E K Bを生成することができる。

また、本発明に係る暗号鍵ブロックを用いた情報処理システム及び方法によれば、複数のデバイスをリーフとして構成したッリ一のルートからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキーヅリーを構成する部分ッリーとしてのサブツリーを管理し、サブヅリーに属するノード又はリーフに対応して設定されるキーのみの基づくサブ有効化キ一プロック（サブ E K B ) を生成する複数のエンティティを設定し、複数のエンティティの生成するサブ有効化キープロヅク（サブ E K B ) を用いて、選択されたエンティティにおいてのみ復号可能な有効化キーブロック（E K B ) を生成して配信する構成としたので、階層構造のキーヅリー構成を分解して管理することが可能となり、デバイスに応じた細かな処理を行うことができる。

さらに、本発明に係る暗号鍵ブロックを用いた情報処理システム及び方法によれば、エンティティでのデバイスあるいはエンティティのリボーク処理が実行可能であり、一括したデバイス管理の場合のデバイス増大に伴う処理量の増加が防止される。

さらに、本発明に係る暗号鍵プロヅクを用いた情報処理システム及び方法によれば、各エンティティの末端ノードにリザーブノードを設定する構成としたので、管理デバィス又は管理エンティティの増加にも対応することができる。

Claims

請求の範囲

1. 複数のデパイスをリーフとして構成したヅリーのルートからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキーヅリーを構成し、該キーツリーを構成するパスを選択して選択パス上のキー更新、及び下位キーによる上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キーブロック（EKB) を生成してデバイスに提供する暗号鍵プロヅクを用いた情報処理システムにおいて、

前記キーヅリーの一部を構成し、デバイスのデータ処理能力としてのゲイパビリティに基づいて区分されたサブヅリーを管理し、該サブヅリーに属するノード又はリーフに対応して設定されるキ一のみに基づくサブ有効化キ一プロック（サブ EKB) を生成する複数のエンティティと、

前記複数のェンティティのケィパピリティ情報を管理し、共通のケィパビリティを持つエンティティの生成するサブ有効化キープロヅク（サブ EKB) を用いて、共通のケィパピリティを持つエンティティにおいてのみ復号可能な有効化キ一ブロック（EKB) を生成するキー発行センタ（KD C) とを有する暗号鍵ブ口ヅクを用いた情報処理システム。

2. 前記キー発行セン夕（KD C) は、複数のエンティティ各々の識別子と、ェンティティ各々のケィパピリティ情報と、エンティティ各々のサブ有効化キープロック（サブ EKB) 情報とを対応付けたケィパピリティ管理テーブルを有し、該ケィパビリティ管理テーブルに基づいて、デバイスに対する配信データの処理可能なエンティティを選択して、該選択エンティティ配下のデバイスでのみ復号可能な有効化キ一ブロック（EKB) を生成する構成を有することを特徴とする請求の範囲第 1項に記載の暗号鍵プロックを用いた情報処理システム。

3. 前記キーヅリーに対する新規追加エンティティは、該新規エンティティ内のサブッリー内のノード又はリーフに対応して設定されるキ一のみに基づくサブ有効化キープ口ヅク（サブ EKB) を生成し、前記キー発行セン夕（KD C) に対するサブ E KBの登録処理を実行するとともに、自己のエンティティのケィパピリティ情報の通知処理を実行する構成であることを特徴とする請求の範囲第 1項に記載の暗号鍵プロヅクを用いた情報処理システム。

4 . 前記複数のエンティティは、 1つのエンティティの最下段の末端ノードを他のエンティティの頂点ノード（サブルート）として構成した上位エンティティ及び下位エンティティの階層化構造を有することを特徴,とする請求の範囲第 1項に記載の暗号鍵ブロックを用いた情報処理システム。

5 . 前記複数のエンティティの各々は、自己のエンティティに属するサブツリーを構成するノ一ド又はリーフに対応するキーの設定、更新処理権限を有する構成であることを特徴とする請求の範囲第 1項に記載の暗号鍵プロックを用いた情報処理システム。

6 . 前記複数のエンティティ中、エンティティ内の最下段リーフを個々のデバイスに対応するリーフとした最下層のエンティティに属するデバイスの各々は、自己の属するエンティティの頂点ノード（サブルート）から自己のデバイスに対応するリーフに至るパス上のノード、リーフに設定されたノードキー及びリーフキ一を格納した構成を有することを特徴とする請求の範囲第 1項に記載の暗号鍵ブ口ヅクを用いた情報処理システム。

7 . 前記複数のエンティティの各々は、自己のエンティティの下位に、さらに自己管理エンティティを追加するため、自己のエンティティ内の最下段のノード又はリーフ中の 1以上のノード又はリーフをリザーブノードとして保留して設定した構成を有することを特徴とする請求の範囲第 1項に記載の暗号鍵プロックを用いた情報処理システム。

8 . 新規エンティティを末端ノードに追加する上位エンティティは、新規ェンティティのサブッリーを設定するノードである上位エンティティ末端ノードに対応するキーを、前記新規エンティティの頂点ノード（サブルート）キ一として設定する構成であることを特徴とする請求の範囲第 1項に記載の暗号鍵プロックを用いた情報処理システム。

9 . デバイスのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク 'デバイスに対応するリーフに至るパス上のノードに設定されたノードキーを更新し、更新ノードキーをリボークデバイス以外のリーフデバイスにおいてのみ復号可能な暗号化キーとして構成した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位ェンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボークデバイスからルートに至るパス上のノ一ドキー更新を行い、キー更新により生成された更新サブ E K Bの前記キー発行センタ（K D C ) への登録処理を行うことにより、デバイスのリボーク処理を実行する構成を有することを特徴とする請求の範囲第 1項に記載の暗号鍵プロックを用いた情報処理システム _c

1 0 . 下位エンティティのリボーク処理を実行するエンティティは、ェンティティ内の頂点ノード（サブルート）からリポーク 'エンティティに対応する末端ノ一ドに至るパス上のノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク 'エンティティからルートに至るパス上のノードキー更新を行い、キ一更新により生成された更新サブ E K Bの前記キー発行セン夕（K D C ) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行する構成を有することを特徴とする請求の範囲第 1項に記載の暗号鍵プロックを用いた情報処理システム。

1 1 . 下位エンティティのリボーク処理を実行するエンティティは、ェンティティ内の頂点ノード（サブルート）からリボーク 'エンティティに対応する末端ノ一ドに至るパス上の、該末端ノードを除くノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキ一を更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ: E K B生成及び送信処理を順次実行して、リボーク ·エンティティからルートに至るパス上のリボーク •エンティティに対応する末端ノードを除くノードキ一更新を行い、キ一更新により生成された更新サブ EKBの前記キー発行セン夕（KD C) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行する構成を有することを特徴とする請求の範囲第 1項に記載の暗号鍵プロックを用いた情報処理システム。

12. 複数のデバイスをリーフとして構成したツリーのルートからリーフまでのパス上のルート、ノード、及びリーフに各々キ一を対応付けたキーヅリーを構成し、該キ一ツリーを構成するパスを選択して選択パス上のキー更新、及び下位キ一による上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キーブロック（EKB) を生成してデバイスに提供する情報処理システムにおける暗号鍵ブロックを用いた情報処理方法において、

前記キーツリーの一部を構成し、デバイスのデ一夕処理能力としてのケィパピリティに基づいて区分されたサブッリーを管理するエンティティにおいて、各ェンティティのサブッリ一に属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キーブロック（サブ EKB) を生成するステップと、前記複数のエンティティのケィパピリティ情報を保有するキー発行センタ（K DC) において、前記複数のエンティティのケィパピリティ情報に基づいて、共通のケィパピリティを持つエンティティの生成するサブ有効化キープ口ヅク（サプ E KB) を抽出し共通のケィパピリティを持つエンティティにおいてのみ復号可能な有効化キープロヅク（EKB) を生成するステップとを有する暗号鍵プロックを用いた情報処理方法。

13. 前記キー発行セン夕（KDC) における有効化キ一プロヅク（EKB) 生成ステツプは、

共通のケィパピリティを持つエンティティを選択するエンティティ選択ステヅプと、

前記エンティティ選択ステヅプにおいて選択されたエンティティによって構成されるエンティティ · ヅリーを生成するステヅプと、

前記エンティティ · ツリーを構成するノ一ドキーを更新するノードキー更新ステヅプと、

前記ノードキ一更新ステップにおいて更新したノードキー、及び選択ェンティティのサブ E KBに基づいて選択エンティティにおいてのみ復号可能な有効化キ —ブロック（EKB) を生成するステップとを含むことを特徴とする請求の範囲第 1 2項に記載の暗号鍵ブロックを用いた情報処理方法。

14. 前記キー発行セン夕（KD C) は、複数のエンティティ各々の識別子と、エンティティ各々のケィパピリティ情報と、エンティティ各々のサブ有効化キーブロック（サブ EKB) 情報とを対応付けたケィパピリティ管理テーブルを有し、該ケィパビリティ管理テーブルに基づいて、デバイスに対する配信デ一夕の処理可能なエンティティを選択して、該選択エンティティ配下のデバイスでのみ復号可能な有効化キーブロック（EKB) を生成することを特徴とする請求の範囲第 1 2項に記載の暗号鍵ブロックを用いた情報処理方法。

1 5. 前記キーツリーに対する新規追加エンティティは、該新規エンティティ内のサブッリー内のノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キーブロック（サブ EKB) を生成し、前記キー発行センタ（KDC) に対するサブ； E KBの登録処理を実行するとともに、自己のエンティティのケィパピリティ情報の通知処理を実行することを特徴とする請求の範囲第 1 2項に記載の暗号鍵ブロックを用いた情報処理方法。

1 6. 前記複数のエンティティの各々は、自己のエンティティに属するサブッリ一を構成するノード又はリーフに対応するキーの設定、更新処理を実行することを特徴とする請求の範囲第 12項に記載の暗号鍵プロックを用いた情報処理方法

17. 新規エンティティを末端ノードに追加する上位エンティティは、新規ェンティティのサブヅリーを設定するノードである上位エンティティ末端ノードに対応するキーを、前記新規エンティティの頂点ノード（サブルート）キーとして設定することを特徴とする請求の範囲第 1 2項に記載の暗号鍵プロックを用いた情報処理方法。

1 8. デバイスのリボーク処理を実行するエンティティは、エンティティ内の頂点ノ一ド（サブルート）からリボーク 'デバイスに対応するリーフに至るパス上のノードに設定されたノードキーを更新し、更新ノードキーをリボークデバイス以外のリーフデバイスにおいてのみ復号可能な暗号化キーとして構成した更新サブ E KBを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位ェンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リポークデバイスからルートに至るパス上のノードキー更新を行い、キ一更新により生成された更新サブ E K Bの前記キー発行センタ（K D C ) への登録処理を行うことにより、デバイスのリボーク処理を実行することを特徴とする請求の範囲第 1 2項に記載の暗号鍵ブロックを用いた情報処理方法。

1 9 . 下位エンティティのリポーク処理を実行するエンティティは、ェンティティ内の頂点ノード（サブルート）からリボーク 'エンティティに対応する末端ノ一ドに至るパス上のノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブル一トに至るパス.上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク ·エンティティからルートに至るパス上のノードキー更新を行い、キ一更新により生成された更新サブ E K Bの前記キー発行セン夕（K D C ) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行することを特徴とする請求の範囲第 1 2項に記載の暗号鍵ブロックを用いた情報処理方法。

2 0 . 下位エンティティのリボーク処理を実行するエンティティは、ェンティティ内の頂点ノード（サブルート）からリボーク ·エンティティに対応する末端ノ一ドに至るパス上の、該末端ノ一ドを除くノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク ·エンティティからルートに至るパス上のリボーク •エンティティに対応する末端ノードを除くノードキー更新を行い、キー更新により生成された更新サブ E K Bの前記キー発行センタ（K D C ) への登録処理を行うことにより、エンティティ単位のリポーク処理を実行することを特徴とする請求の範囲第 1 2項に記載の暗号鍵プロックを用いた情報処理方法。

2 1. 複数のデバイスをリーフとして構成したヅリーのルートからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキーヅリーを構成し、該キーツリーを構成するパスを選択して選択パス上のキー更新、及び下位キ一による上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キ一プロヅク（EKB) を生成してデバイスに提供する情報処理システムにおける有効化キーブロック（EKB) 生成処理をコンピュータ 'システム上で実行せしめるコンピュータ · プログラムを提供するプログラム提供媒体であって、前記コンピュータ . プログラムは、

前記キーヅリーの一部を構成し、デバイスのデータ処理能力としてのケィパピリティに基づいて区分されたサブッリーを管理するエンティティにおいて、各ェンティティのサブッリーに属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キーブロック（サブ EKB) を生成するステップと、前記複数のエンティティのケィパピリティ情報を保有するキー発行セン夕（K D C) において、前記複数のエンティティのケィパピリティ情報に基づいて、共通のケィパビリティを持つエンティティの生成するサブ有効化キープ口ヅク（サブ EKB) を抽出し共通のケィパピリティを持つエンティティにおいてのみ復号可能な有効化キーブロック（EKB) を生成するステップとを含むことを特徴とするプログラム提供媒体。

2 2. 複数のデバイスをリーフとして構成したヅリ一のルートからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキーツリーを構成し、該キーツリーを構成するパスを選択して選択パス上のキー更新、及び下位キ一による上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キーブロック（EKB) を生成してデバイスに提供する暗号鍵ブロックを用いた情報処理システムにおいて、

前記キーツリーを構成する部分ッリーとしてのサブッリーを管理し、該サブヅリーに属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キ一ブロック（サブ EKB) を生成する複数のエンティティと、

前記複数のエンティティの生成するサブ有効化キープロヅク（サブ EKB) を用いて、選択されたエンティティにおいてのみ復号可能な有効化キープロヅク ( E K B ) を生成するキー発行セン夕（K D C ) とを有する暗号鍵ブロックを用いた情報処理システム。

2 3 . 前記複数のエンティティは、 1つのエンティティの最下段の末端ノードを他のエンティティの頂点ノード（サブルート）として構成した上位エンティティ及び下位エンティティの階層化構造を有することを特徴とする請求の範囲第 2 2 項に記載の暗号鍵ブロックを用いた情報処理システム。

2 4 . 前記複数のエンティティの各々は、自己のエンティティに属するサブヅリ一を構成するノード又はリーフに対応するキーの設定、更新処理権限を有する構成であることを特徴とする請求の範囲第 2 2項に記載の暗号鍵ブロックを用いた情報処理システム。

2 5 . 前記複数のエンティティ中、エンティティ内の最下段リーフを個々のデバイスに対応するリーフとした最下層のエンティティに属するデバイスの各々は、自己の属するエンティティの頂点ノード（サブル一ト）から自己のデバイスに対応するリーフに至るパス上のノード、リーフに設定されたノードキー及びリーフキーを格納した構成を有することを特徴とする請求の範囲第 2 2項に記載の暗号鍵ブロックを用いた情報処理システム。

2 6 . 前記複数のエンティティの各々は、自己のエンティティの下位に、さらに自己管理エンティティを追加するため、自己のエンティティ内の最下段のノード又はリーフ中の 1以上のノ一ド又はリーフをリザーブノードとして保留して設定した構成を有することを特徴とする請求の範囲第 2 2項に記載の暗号鍵プロックを用いた情報処理システム。

2 7 . 新規エンティティを末端ノードに追加する上位エンティティは、新規ェンティティのサブッリ一を設定するノードである上位ェンティティ末端ノードに対応するキーを、前記新規エンティティの頂点ノード（サブルート）キーとして設定する構成であることを特徴とする請求の範囲第 2 2項に記載の暗号鍵プロックを用いた情報処理システム。

2 8 . 新規追加エンティティは、該新規エンティティ内のサブツリー内のノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キーブロック（サブ EKB) を生成し、前記キー発行センタ（KD C) に対するサブ EKBの登録処理を実行する構成であることを特徴とする請求の範囲第 22項に記載の暗号鍵プロヅクを用いた情報処理システム。

29. デバイスのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク 'デバイスに対応するリーフに至るパス上のノードに設定されたノードキーを更新し、更新ノードキーをリポ一クデバイス以外のリーフデバイスにおいてのみ復号可能な暗号化キーとして構成した更新サブ E KBを生成して上位エンティティに送信し、上位エンティティは更新サブ E KBを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ EKBを生成してさらに上位エンティティに送信し、最上位ェンティティまで、エンティティ単位での更新サブ E KB生成及び送信処理を順次実行して、リボークデバイスからルートに至るパス上のノードキ一更新を行い、キ一更新により生成された更新サブ E KBの前記キー発行センタ（KD C) への登録処理を行うことにより、デバイスのリポーク処理を実行する構成を有することを特徴とする請求の範囲第 22項に記載の暗号鍵プロックを用いた情報処理システム。

30. 下位エンティティのリボーク処理を実行するエンティティは、ェンティティ内の頂点ノード（サブルート）からリボ一ク ·エンティティに対応する末端ノ一ドに至るパス上のノードに設定されたノ一ドキーを更新した更新サブ E KBを生成して上位エンティティに送信し、上位エンティティは更新サブ E KBを提供した末端ノードから自己のサブル一トに至るパス上のノードキ一を更新した更新サブ E KBを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E KB生成及ぴ送信処理を順次実行して、リボーク 'エンティティからルートに至るパス上のノードキー更新を行い、キ一更新により生成された更新サブ E KBの前記キ一発行セン夕（KD C) への登録処理を行うことにより、エンティティ単位のリポーク処理を実行する構成を有することを特徴とする請求の範囲第 22項に記載の暗号鍵プロックを用いた情報処理システム。

3 1. 下位エンティティのリボーク処理を実行するエンティティは、ェンティティ内の頂点ノード（サブルート）からリボーク .エンティティに対応する末端ノ一ドに至るパス上の、該末端ノードを除くノードに設定されたノードキーを更新した更新サブ E KBを生成して上位エンティティに送信し、上位エンティティは更新サブ E KBを提供した末端ノードから自己のサブルートに至るパス上のノ一ドキ一を更新した更新サブ E KBを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E KB生成及び送信処理を順次実行して、リボーク ·エンティティからルートに至るパス上のリボーク

• エンティティに対応する末端ノードを除くノードキ一更新を行い、キー更新により生成された更新サブ E KBの前記キー発行セン夕（KDC) への登録処理を行うことにより、エンティティ単位のリポーク処理を実行する構成を有することを特徴とする請求の範囲第 22項に記載の暗号鍵ブロックを用いた情報処理システム。

32. 前記エンティティは、デバイス種類、サービス種類、管理手段種類等の共通のカテゴリに属するデバイスあるいはエンティティの管理主体として構成されることを特徴とする請求の範囲第 22項に記載の暗号鍵プロックを用いた情報処理システム。

33. 複数のデバイスをリーフとして構成したヅリーのルートからリーフまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキーヅリーを構成し、該キーヅリーを構成するパスを選択して選択パス上のキー更新、及び下位キ一による上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キープロヅク（EKB) を生成してデバイスに提供する情報処理システムにおける暗号鍵ブロックを用いた情報処理方法において、 .

前記キーツリ一を構成する部分ヅリ一としてのサブヅリーを管理する複数のェンティティにおいて、該サブヅリーに属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キーブロック（サブ EKB) を生成するステヅプと、

キー発行セン夕（KD C) において、前記複数のエンティティの生成するサブ有効化キープロヅク（サブ EKB) を用いて、選択されたエンティティにおいてのみ復号可能な有効化キープロヅク（EKB) を生成するステップとを有する暗号鍵プロックを用いた情報処理方法。

3 4 . 前記複数のエンティティの各々は、自己のエンティティに属するサブヅリ一を構成するノード又はリーフに対応するキーの設定、更新処理を実行することを特徴とする請求の範囲第 3 3項に記載の暗号鍵ブロックを用いた情報処理方法,

3 5 . 新規エンティティを末端ノードに追加する上位エンティティは、新規ェンティティのサブッリ一を設定するノードである上位ェンティティ末端ノードに対応するキーを、前記新規エンティティの頂点ノード（サブルート）キーとして設定することを特徴とする請求の範囲第 3 3項に記載の暗号鍵プロックを用いた情報処理方法。

3 6 . 新規追加エンティティは、該新規エンティティ内のサブツリー内のノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キープ口ック（サブ E K B ) を生成し、前記キ一発行センタ（K D C ) に対するサブ E K Bの登録処理を実行することを特徴とする請求の範囲第 3 3項に記載の暗号鍵ブロックを用いた情報処理方法。

3 7 . デバイスのリボーク処理を実行するエンティティは、エンティティ内の頂点ノード（サブルート）からリボーク 'デバイスに対応するリーフに至るパス上のノードに設定されたノードキーを更新し、更新ノードキーをリボークデバイス以外のリーフデバイスにおいてのみ復号可能な暗号化キ一として構成した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位ェンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボ一クデバイスからルートに至るパス上のノードキー更新を行い、キ一更新により生成された更新サブ E K Bの前記キー発行セン夕（K D C ) への登録処理を行うことにより、デバイスのリボーク処理を実行することを特徴とする請求の範囲第 3 3項に記載の暗号鍵プロックを用いた情報処理方法。

3 8 . 下位エンティティのリボーク処理を実行するエンティティは、ェンティティ内の頂点ノード（サブルート）からリボーク ·エンティティに対応する末端ノードに至るパス上のノードに設定されたソ一ドキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク ·エンティティからルートに至るパス上のノードキー更新を行い、キ一更新により生成された更新サブ E K Bの前記キー発行セン夕（K D C ) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行することを特徴とする請求の範囲第 3 3項に記載の暗号鍵ブロックを用いた情報処理方法。

3 9 . 下位エンティティのリボーク処理を実行するエンティティは、ェンティティ内の頂点ノード（サブルート）からリボーク 'エンティティに対応する末端ノ一ドに至るパス上の、該末端ノードを除くノードに設定されたノードキーを更新した更新サブ E K Bを生成して上位エンティティに送信し、上位エンティティは更新サブ E K Bを提供した末端ノードから自己のサブルートに至るパス上のノードキーを更新した更新サブ E K Bを生成してさらに上位エンティティに送信し、最上位エンティティまで、エンティティ単位での更新サブ E K B生成及び送信処理を順次実行して、リボーク ·エンティティからルートに至るパス上のリボーク

•エンティティに対応する末端ノードを除くノ一ドキー更新を行い、キー更新により生成された更新サブ E K Bの前記キー発行センタ（K D C ) への登録処理を行うことにより、エンティティ単位のリボーク処理を実行することを特徴とする請求の範囲第 3 3項に記載の暗号鍵プロックを用いた情報処理方法。

4 0 . 複数のデバイスをリーフとして構成したッリーのル一トからリ一フまでのパス上のルート、ノード、及びリーフに各々キーを対応付けたキーヅリーを構成し、該キーツリーを構成するパスを選択して選択パス上のキー更新、及び下位キ一による上位キーの暗号化処理を実行して特定デバイスにおいてのみ復号可能な有効化キープロヅク（E K B ) を生成してデバイスに提供する情報処理システムにおける有効化キープロヅク（E K B ) 生成処理をコンピュータ 'システム上で実行せしめるコンビュ一夕 · プログラムを提供するプログラム提供媒体であって、前記コンピュータ · プログラムは、

前記キーツリ一を構成する部分ヅリーとしてのサブヅリ一を管理する複数のェンティティにおいて、該サブヅリーに属するノード又はリーフに対応して設定されるキーのみに基づくサブ有効化キーブロック（サブ EKB) を生成するステヅプと、

キー発行セン夕（KD C) において、前記複数のエンティティの生成するサブ有効化キーブロック（サブ EKB) を用いて、選択されたエンティティにおいてのみ復号可能な有効化キーブロック（EKB) を生成するステップとを含むことを特徴とするプログラム提供媒体。