WO2003083746A1

WO2003083746A1 - Appareil de reproduction de contenu et procede de commande de reproduction de contenu

Info

Publication number: WO2003083746A1
Application number: PCT/JP2003/003930
Authority: WO
Inventors: Eiji Takahashi; Junko Furuyama; Atsushi Minemura; Masataka Sugiura
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2002-03-29
Filing date: 2003-03-28
Publication date: 2003-10-09
Also published as: JPWO2003083746A1; EP1492040A4; CN1297911C; KR20040103743A; EP1492040A1; CN1514982A; US20040102987A1; JP4250089B2

Description

明細書コンテンツ再生装置およびコンテンッ再生制御方法技術分野

本発明は、コンテンツ再生装置およびコンテンッ再生制御方法に関する。背景技術

近年、インターネットの普及により、コンテンツやライセンスをインターネットを通じて P C (パーソナルコンピュータ）へ販売したり、携帯電話網を通じて携帯電話へ販売するビジネス形態が出現し、今後、ますます増加する傾向を示している。配信されたコンテンツは P cや携帯電話、専用再生端末等で再生される。

コンテンツとは文字、音声、映像、地図などを電子化したデータや、グームゃソフトウェアなどや、または、これらを組み合わせたものである。コンテンッの再生とは、例えば文字や映像であればディスプレイに表示したり、音声であればスピー力から音を出力したりすることである。

ライセンスとは、コンテンツに対して著作権保護を行うために、コンテンッの再生や配信、蓄積の許可を行うための情報であり、利用条件の記述ゃコンテンッ復号鍵を含む場合がある。利用条件とはコンテンツの再生の制御を行うための情報であり、例えばコンテンッの再生回数制限や再生期限制限、再生累計時間制限等の情報である。コンテンツ復号鍵とはコンテンツを暗号ィ匕して配信、蓄積する場合にコンテンツを復号する鍵である。

従来のコンテンツ配信システムでは、サーバから、暗号化したコンテンツやユーザ固有鍵で暗号化したコンテンッ復号鍵を含むライセンスを端末に配信し、それらを端末の記憶媒体に記憶していた。また、端末では、コンテンッのライセンスの検証およびライセンスの更新や、コンテンッ復号鍵の復号化の処理を行ってコンテンツの復号を行い、コンテンツを再生していた。さらに、端末では、ライセンスの検証やライセンスの更新等のコンテンツの利用制御をセキュアに行うために、セキュア L S Iゃ耐タンパモジュール等を使用していた。また、コンテンツ再生に使用される端末は、コンテンツ配信システム毎の専用端末である場合が多い。

ところで、最近、携帯電話や携帯端末（P D A) 等の汎用的な端末においてセキュアかつ拡張性のあるコンテンッの利用制御を行いたいという要求が高まっている。

コンテンツの再生時にはコンテンツのライセンスに関する処理を行うァプリケーシヨン（ライセンス処理アプリ）により、ライセンスの検証や更新が行われる。さらに、コンテンツデータがデコーダに送られ、そこでコンテンッが復号化される。例えば、コンテンツデータが A A Cフォーマットの音楽データである場合、 A A C用のデコーダを利用して復号化し、そのデコーダに接続されたスピーカから音を出す。

ここで、コンテンツの複号化とライセンスの検証をデコーダの外部で行つて、平文のコンテンツデータをデコーダに渡して再生する方法がある。しかし、これでは、デコーダへ平文のコンテンツデータを渡す際に盗聴される可能性がある。そこで、これを防止するためにデコーダの外部でライセンスの検証を行い、デコーダに暗号化コンテンツデータと平文のコンテンツ復号鍵を渡して、デコーダ内でコンテンツの複号化を行って再生を行う方法がある。しかし、これでは、平文のコンテンツ復号鍵をデコーダへ渡す際に盗聴される可能性がある。そこで、これを防止するためにデコーダの外部でライセンスの検証を行い、暗号化コンテンツデータと、デコーダの公開鍵で暗号化されたコンテンツ復号鍵をデコーダに渡し、デコーダ内に保持されているデコ —ダの秘密鍵でコンテンツ復号鍵を復号化し、さらにコンテンツ復号鍵でコンテンッデータを複号化して再生を行う方法がある。しかし、これでは、デコーダの公開鍵で暗号化されたコンテンッ復号鍵をデコーダへ渡す際に盗聴され、それを再利用することによる、いわゆるライセンス処理アプリの成りすましが行われる可能性がある。また、デコーダに暗号化コンテンツデータとライセンスを渡し、デコーダ内部でライセンスの検証とコンテンツの復号化を行う方法がある。しカゝし、通常ライセンスはコンテンツ配信再生サービスに依存するものであり、また、デコーダはハードウェアとして構成されソフトウェアのように処理内容を書き換えられないものである場合が多いので、デコーダ内部でライセンスの検証を行うにはデコーダ自身がコンテンツ配信/再生サービスに依存することになり、その結果、ユーザはコンテンツ配信/再生サービス毎の端末を用意する必要がある。

また、利用条件として再生可能時間の総時間が記述されている場合、その時間だけコンテンツを再生したら自動的に再生を停止しなければならない。このため、再生に要した時間を測定し、利用条件を書き換えることによるラィセンスの更新、つまり利用条件として記述されている再生可能時間の総時間の値から再生に要した時間の値を引く処理を行う必要がある。また、利用条件として再生可能回数が記述され、さらに 1回の再生とみなす再生時間が記述されている場合、その 1回の再生とみなす再生時問再生した場合のみ、利用条件を書き換えることによるライセンスの更新、つまり利用条件として記述されている再生可能回数を 1減らす必要がある。

これを実現するためにデコーダ内で再生時間の測定とライセンスの更新を行う方法がある。しかし、通常ライセンスはコンテンツ配信再生サービスに依存するものであり、また、デコーダはハードウェアとして構成されソフトウエアのように処理内容を書き換えられないものである場合が多いので、デコーダ内部でライセンスの更新を行うにはデコーダ自身がコンテンツ配信

/再生サービスに依存することになり、その結果、ユーザはコンテンツ配信ノ再生サービス毎の端末を用意する必要がある。

また、デコーダの外部で再生時間の測定とライセンスの更新を行う方法がある。しかし、デコーダの外部でコンテンツの再生時間を正確に測定することは困難である。コンテンッの再生時間とは実際にコンテンッが再生されていた時間であるが、単純にユーザが「再生ボタン」を押してから「停止ボタン」を押すまでの時間を計測しても、デコーダがコンテンツデータを読み込んでから再生を始めるまでの時間等があり、また、デコーダに送られるコンテンッデータのデータサイズを測定しても、データサイズと再生時間は比例しているとは限らないので、デコーダの外部で正確に再生時間を測定することは困難である。発明の開示

本発明の目的は、汎用的な端末においてセキュアでかつ拡張性のあるコンテンッの利用制御を行うことができるコンテンッ再生装置およびコンテンツ再生制御方法を提供することである。

本発明の一形態によれば、コンテンツ再生装置は、コンテンツの利用条件を記述したライセンスデータを取得する取得手段と、利用条件に反しない場合、再生命令を含んだ利用許可情報をライセンスデータに基づいて作成する作成手段と、利用許可情報の正当性を判定する判定手段と、前記判定手段によって正当性が認められた場合、再生命令に従ってコンテンツを再生する再生手段とを具備する。

本発明の他の形態によれば、コンテンツ再生制御方法は、コンテンツの利用条件を記述したライセンスデータを取得する取得ステップと、利用条件に反しない場合、再生命令を含んだ利用許可情報をライセンスデータに基づいて作成する作成ステップと、利用許可情報の正当性を判定する判定ステップと、前記判定ステップにおいて正当性が認められた場合、再生命令に従ってコンテンッを再生する再生ステップとを具備する。図面の簡単な説明

図 1は、本発明の実施の形態 1に係るコンテンツ再生装置の構成を示すブ口ック図、

図 2は、本発明の実施の形態 1に係るコンテンツ再生装置での処理手順を示す図、

図 3は、本発明の実施の形態 1に係るライセンスデータの構成を示す図、図 4は、本発明の実施の形態 1に係る利用許可証明の構成を示す図、図 5は、本発明の実施の形態 1に係るライセンスデータの内容を示す図、図 6は、本発明の実施の形態 1に係る利用許可情報の内容を示す図、図 7は、本発明の実施の形態 1に係るライセンスデータの内容を示す図、図 8は、本発明の実施の形態 1に係る利用許可情報の内容を示す図、図 9は、本発明の実施の形態 2に係るコンテンツ再生装置の構成を示すブロック図、

図 1 0は、本発明の実施の形態 2に係るコンテンツ再生装置での処理手順を示す図、

図 1 1は、本発明の実施の形態 2に係る利用許可情報の内容を示す図、図 1 2は、本発明の実施の形態 2に係るライセンスデータの内容を示す図、図 1 3は、本発明の実施の形態 2に係る利用許可情報の内容を示す図、図 1 4は、本発明の実施の形態 2に係る利用許可情報の内容を示す図、図 1 5は、本発明の実施の形態 2に係るライセンスデータの内容を示す図、図 1 6は、本発明の実施の形態 2に係る利用許可情報の内容を示す図、図 1 7は、本発明の実施の形態 3に係るコンテンツのデータ構造を示す図、図 1 8は、本発明の実施の形態 3に係るフィンガープリントのデータ構造を示す図、

図 1 9は、本発明の実施の形態 3に係るコンテンツ取得の処理手順を示す図、

図 2 0は、本発明の実施の形態 4に係るライセンス購入処理の手順を示す図、

図 2 1は、本発明の実施の形態 4に係るコンテンッ再生処理の手順を示す図、

図 2 2は、本発明の実施の形態 5に係るライセンス購入処理の手順を示す図、

図 2 3は、本発明の実施の形態 5に係るコンテンツ再生処理の手順を示す図、

図 2 4は、本発明の実施の形態 5に係るライセンス購入処理の手順を示す図、

図 2 5は、本発明の実施の形態 5に係るコンテンツ再生処理の手順を示す図、

図 2 6は、本発明の実施の形態 6に係るライセンス購入処理の手順を示す図、

図 2 7は、本発明の実施の形態 6に係るコンテンッ再生処理の手順を示す図、

図 2 8は、本発明の実施の形態 7に係るライセンスアップロード処理の手順を示す図、

図 2 9は、本発明の実施の形態 7に係るライセンスアップロード処理の手順を示す図である。発明を実施するための最良の形態

本発明のコンテンツ再生装置およびコンテンツ再生制御方法では、耐タンパモジユーノレ（Tamper Resistant Module ： T R M) をもつセキュアデバイスと、ライセンス処理アプリと、デコーダとを組み合わせて用いる。すなわち、セキュアデバイスと相互認証を行ったライセンス処理アプリが、セキュアデバイスの署名がついた利用許可情報を作成する。なお、以下の説明では、セキュアデバイスの署名がついた利用許可情報を利用許可証明という。そして、デコーダ I Z Fライブラリが利用許可情報と署名の正当性を判定する。これにより、いわゆるライセンス処理アプリの成りすましを防ぐことができる。

また、デコーダは、コンテンツ復号鍵と正当な利用許可情報の双方を受け取った場合にのみコンテンツを再生する。例えばオーディォデコーダであれば、スピーカに接続されている。 1つのデコーダに対して再生指示を出したり、再生するコンテンツデータを渡したりできるのは、 1つのコンテンツ再生装置の中で 1つのデコーダのみである。利用許可情報には、例えば日時のように毎回異なるデータが含まれるようにし、デコーダまたはデコーダ I Z

Fライブラリ内にそのデータを記憶しておくようにする。

また、利用許可情報に再生回数や再生時間と共に「実際に再生した再生時間を通知する」等の情報が入っている。そして、デコーダ I Z Fライブラリ力ライセンス処理アプリに再生時間を通知したり、デコーダに再生停止命令を行う。ライセンス処理アプリは、デコーダ I Z Fライブラリからの通知または命令を受けた後に、ライセンスデータの更新を行う。これにより、コンテンッの再生制御を正確に行うことができる。

以下、本発明の実施の形態について、添付図面を参照して詳細に説明する。

(実施の形態 1 )

図 1は、本発明の実施の形態 1に係るコンテンツ再生装置の構成を示すブロック図である。コンテンツ再生装置は、コンテンツ再生装置に予め備えられたメモリにライセンス処理アプリ 2 0を格納している。ライセンス処理ァプリ 2 0は、例えば j a V aライブラリ拡張として実行される。また、コンテンッ再生装置は、デコーダ I / Fライブラリ 3 0およびオーディオデコーダ 4 0を備える。デコーダ I Z Fライブラリ 3 0およびオーディオデコーダ 4 0は、ハードウェアとして構成される。また、コンテンツ再生装置には、着脱可能な記憶メディアであるセキュアデバイス 1 0が装着される。

セキュアデバイス 1 0において、フラッシュメモリ 1 0 1はデータ記憶領域 1 0 2を有し、このデータ記憶領域 1 0 2には、コンテンツサーバから取得されたコンテンツやそのコンテンツのライセンスが記憶される。また、 T R M 1 0 3は、例えば WA Pフォーラムで定義されている W I M機能のような署名機能 1 0 4および重要情報格納領域 1 0 5を有する。重要情報格納領域 1 0 5には、フィンガープリント等の重要な情報が格納される。

ライセンス処理アプリ 2 0において、ライセンス受渡部 2 0 1は、セキュアデバイス 1 0とライセンス処理アプリ 2 0との問で、暗号化されたコンテンッ復号鍵およびライセンスデータの受け渡しを行う。ライセンスデータ処理部 2 0 2は、フィンガープリントの検証、ライセンスデータの更新、利用許可情報の作成、重要情報格納領域 1 0 5へのブインガープリントの登録、ライセンス受渡部 2 0 1を介してデータ記憶領域 1 ◦ 2への更新済みライセンスの格納を行う。署名部 2 0 3は、ライセンスデータ処理部 2 0 2から利用許可情報を受け取り、ダイジェストを作成し、利用許可情報にセキュアデバイス 1 0の署名機能 1 0 4を用いて作成した署名を行って利用許可証明を作成する。送信部 2 0 4は、ライセンス受渡部 2 0 1から喑号化されたコンテンッ復号鍵を、署名部 2 0 3から利用許可証明をそれぞれ受け取り、暗号化されたコンテンツ復号鍵に利用許可証明を付随させてデコーダ I ライブラリ 3 0の受信部 3 0 1に送る。

デコーダ I Z Fライブラリ 3 0において、受信部 3 0 1は、ライセンス処理アプリ 2 0の送信部 2 0 4から送られたコンテンツ復号鍵および利用許可証明を受け取り、喑号化されたコンテンツ復号鍵を再生命令部 3 0 4に送り、利用許可証明を判定部 3 0 2に送る。判定部 3 0 2は、受信部 3 0 1力ゝら禾 IJ 用許可証明を受け取り、署名の正当性の判定と、利用許可情報に含まれる動的情報を用いて利用許可情報の正当性の判定を行う。判定後、判定部 3 0 2 は、動的情報を動的情報格納領域 3 0 3に格納するとともに、利用許可情報に含まれる再生コマンドを再生命令部 3 0 4に送る。動的情報格納領域 3 0 3には、これまでの動的情報が格納される。再生命令部 3 0 4は、再生コマンドと暗号化されたコンテンツ復号鍵をオーディオデコーダ 4 0に送る。オーディオデコーダ 4 0において、再生部 4 0 1は、重要情報格納領域 4 0 2に格納されているデコーダ秘密鍵でコンテンツ復号鍵を復号化し、再生コマンドに従ってコンテンツを復号化して再生する。

次いで、本実施の形態に係るコンテンッ再生装置での処理手順について図 2を用いて説明する。

セキュアデバイスのフラッシュメモリには、コンテンツ復号鍵で喑号化されたコンテンツ本体が格納されている。コンテンツ復号鍵はさらにデコーダ公開鍵で暗号化され、ライセンスデータとともにフラッシュメモリに格納されている。このライセンスデータは、コンテンツの再生可能回数や、再生可能時間等、コンテンツの利用条件が記述されたデータである。暗号化されたコンテンツ復号鍵とライセンスデータとによってライセンスが構成される。なお、ライセンスデータの構成は後述する。

ライセンス処理アプリで行われる処理手順は以下のようになる。（ 1 )まず、フラッシュメモリからライセンスが読み出され、ライセンスが取得される。

( 2 ) 次いで、ライセンスデータに対してフィンガープリン卜の検証が行われる。（3 )次いで、ライセンスの検証とライセンスデータの更新が行われる。具体的な更新方法は後述する。（4 ) 次いで、ライセンスデータが示す利用条件に反しない場合、ライセンスデータに基づいて利用許可情報が作成される。この利用許可情報は、デコーダ I Z Fライブラリにおいて正当性が判定される。また、この利用許可情報には再生コマンドを含める。利用許可情報の具体的な作成方法は後述する。（5 ) 次いで、更新後のライセンスデータに基づいてフィンガープリントが作成されてセキュアデバイスの T R Mに登録される。（6 ) 次いで、更新後のライセンスデータを含むライセンスがセキュアデバイスのフラッシュメモリに保存される。（7 ) 次いで、セキュアデバイスの署名機能を用いて利用許可情報へ署名を行う。署名後の利用許可情報は、利用許可証明となる。なお、セキュアデバイスの署名機能は、セキュアデバイス秘密鍵により実現される。また、利用許可情報への署名は、セキュアデバイスと相互認証を行った正しいライセンス処理アプリのみが行うことができる。（8 )次いで、ライセンスから取り出されたコンテンツ復号鍵に利用許可証明を付随させて、デコーダ I / Fライブラリに送る。以上が、ライセンス処理アプリでの処理手順である。なお、（6 ) の処理は（7 ) または（8 ) の処理、または後述する（9 ) の処理の後で行ってもよい。

( 9 ) 次いで、デコーダ I Z Fライブラリでは、コンテンツ復号鍵に付随している利用許可証明の正当性が判定される。すなわち、署名に対する正当性の判定と、利用許可情報に対する正当性の判定が行われて、コンテンツの利用可否が判定される。そして、その署名が正当なもので、かつ、利用許可情報が正当なものである場合に、コンテンツの再生が許可される。署名の正当性は、セキュアデバイス証明書を用いて判定される。セキュアデバイス証明書は上記（8 ) の処理においてコンテンツ複合鍵および利用許可証明と共に取得する。また、本処理手順とは別に、事前に取得しておいてもよい。利用許可情報の正当性は、利用許可情報に含まれる動的情報に基づいて行われる。（1 0 ) 次いで、オーディォデコーダでは、デコーダ I Z Fライブラリで正当性が認められた場合だけ、再生コマンドに従ってコンテンツが再生される。すなわち、オーディオデコーダでは、デコーダ秘密鍵でコンテンツ復号鍵が復号化された後、そのコンテンツ復号鍵でコンテンツ本体が復号化されることによりコンテンツが再生される。

次いで、ライセンスデータの構成について図 3を用いて説明する。図 3に示すように、ライセンスデータは、デコーダ公開鍵で暗号化されたコンテンッ復号鍵と共にライセンスを構成する。ライセンスデータは、ライセンス I Dと、コンテンツ I Dと、コンテンツ関連情報と、 Usage Rule とから構成される。ま 7こ、また Usage Ruleは、 Static Propertiesと VariaDie Properties とから構成される。

コンテンツ関連情報には、コンテンツが楽曲である場合には、曲名ゃァーテイスト名が含まれる。

Usage Rule はコンテンツの利用条件が記述される部分であり、 Static Propertiesには再生期限等、ライセンス処理アプリによって更新されない情報が含まれており、また、 Variable Propertiesには、再生可能回数や再生可能時間等、コンテンツの再生の度に更新される情報が含まれている。

次いで、利用許可証明の構成について図 4を用いて説明する。上述したように、利用許可証明とは、セキュアデバイスによる署名が行われた利用許可情報である。つまり、利用許可証明は、ライセンス処理アプリ内においてラィセンスが検証されたことを証明するものである。

また、利用許可情報は、動的情報と、再生コマンド等のコマンドと、再生制御情報とから構成される。この利用許可情報は、ライセンスデータが示す利用条件に反しない場合に、ライセンスデータの主に Usage Ruleに基づいて作成される。

動的情報は、利用許可情報の作成毎に値が異なる情報である。例えば、利用許可情報を作成した日時を示す日時情報、乱数、連番等である。デコーダ I Z Fライブラリでは、これまでの動的情報と今回の動的情報を比較することにより利用許可情報の正当性を判定してコンテンツの利用可否を判定する。具体的には、以下のように判定する。

動的情報が日時情報または乱数の場合には、これまでの動的情報をすベて格納する。そして、再度同じ内容の動的情報を持つ利用許可情報がデコーダ I / Fライブラリに入力された場合には、いわゆるライセンス処理アプリの成りすましとみなし、その利用許可情報の正当性を認めず、コンテンツの再生を行わない。一方、格納されたこれまでの動的情報のいずれにも一致しない動的情報を持つ'利用許可情報がデコーダ I Z Fライブラリに入力された場合には、その利用許可情報の正当性を認めて、コンテンツを再生する。

動的情報が連番の場合には、前回の動的情報（連番 n ) を格納しておく。そして、デコーダ I Z Fライブラリに今回入力された利用許可情報の持つ動的情報が " n + 1 " の場合だけ、その利用許可情報の正当性を認めて、コンテンッを再生する。その他、前回の動的情報と今回の動的情報との間のルールは、デクリメント "一 1 " や倍数 " X 2 " でもよく、これらのルールに則つた動的情報を持つ利用許可情報が入力された場合にのみ、その利用許可情報の正当性を認める。また、ルールとして前回の動的情報より小さい値/大きい値とした場合は、今回の動的情報が前回の動的情報より小さい場合ノ大きい場合のみ、利用許可情報の正当性を認める。

前回の動的情報より大きい値とするルールは、日時情報にも適用できる。例えば、 1回目の利用許可情報の作成日時が 2 0 0 2年 3月 4ョで、 2回目の利用許可情報の作成日時が 2 0 0 2年 3月 7日で、 3回目の利用許可情報の作成日時が 2 0 0 2年 3月 9 日であるものとする。これらの Θ時情報を含む利用許可情報が、 1回目— 2回目→ 3回目の順番でデコーダ I Z Fライブラリに入力された場合には、これらの日時情報を比較すると順に大きい値となっているため、 1回目、 2回目、 3回目共に利用許可情報の正当性を認めて、コンテンツを再生する。一方、 2回目の日時情報を持つ利用許可情報が、 3回目の日時情報を持つ利用許可情報よりも後にデコーダ I / Fライブラリに入力された場合には、これらの日時情報を比較すると、 3回目の日時情報よりも 2回目の日時情報の方が小さい値となっているため、 2回目の日時情報を持つ利用許可情報の正当性は認められず、コンテンツは再生されない。このように、利用許可情報に利用許可情報の作成毎に値が異なる動的情報を含めることにより、コンテンツ復号鍵の不正使用を防止することができ、いわゆるライセンス処理アプリの成りすましを防ぐことができる。

次いで、利用許可情報のコマンドと再生制御情報の設定方法について説明する。

まず、図 5に示すように、 Usage Ruleの Static Propertiesが " N U L L " で、 Variable Propertiesに " C o u n t (再生可能回数）" が記述されている場合について説明する。この場合には、再生回数による再生制御が行われる。すなわち、ライセンスデータの更新処理では、 " C o u n t≥ 1 " ならば C o u n tを 1減算（C o u n t— 1 ) して、ライセンスデータが更新される。また、 "C o u n t≥ 1 "ならば利用条件に反しないため、図 6に示す利用許可情報が作成される。すなわち、コマンドが "再生" で、再生制御情報 "NUL L" の利用許可情報が作成される。これらのライセンスの検証、ライセンスの更新、および利用許可情報の作成はライセンス処理アプリが行う。この利用許可情報に含まれる再生コマンドに従ってコンテンツが 1回再生される。よって、当初 " C o u n t " に記述されている回数だけコンテンッを再生することができる。一方、 "C o u n t = 0"ならば利用条件に反するため、利用許可情報は作成されない。よって、 "C o u n t = 0" ならばコンテンッの再生も行われない。

次に、図 7に示すように、 Usage Ruleの Static Propertiesに " L i m i t (再生期限）" が記述されていて、 Variable Properties力 "NUL L" である場合について説明する。この場合には、再生期間による再生制御が行われる。すなわち、利用許可情報作成時点の時が "L i m i t" 内ならば利用条件に反しないため、図 8に示すように、コマンドが "再生" で、再生制御情報が "NUL L" の利用許可情報が作成される。これらのライセンスの検証、ライセンスの更新、および利用許可情報の作成はライセンス処理ァプリが行う。この利用許可情報に含まれる再生コマンドに従ってコンテンツが 1回再生される。よって、 "L i m i t "に記述されている期限までコンテンッを再生することができる。一方、利用許可情報作成時点の日時が "L i m i t" 外ならば利用条件に反するため、利用許可情報は作成されない。よつて、利用許可情報作成時点の B時が "L i m i t " 外ならばコンテンツの再生も行われない。

なお、 "L i m i t (再生期限）" の設定に閧しては以下の 3つが考えられる。すなわち、（1) コンテンツサーバが再生可能期限を設定したライセンスを販売する。（2)コンテンツサーバが再生可能期間を設定したライセンスを販売し、端末側がライセンスをフラッシュメモリに格納する時にその再生可能期間に基づいて再生可能期限を設定する。例えば、コンテンツサーバから 3930

14 端末に送られるライセンスデータに再生可能期間（例えば、 2週間）が設定されている場合、端末側では、ライセンスをフラッシュメモリに格納する時に、 "ライセンスデータ格納時の日時 +ライセンスデータに設定されている再生可能期間" を " L i m i t (再生期限）" に設定する。（3 ) コンテンツサーバが再生可能期間を設定したライセンスを販売し、端末側がコンテンツの初回再生時にその再生可能期間に基づいて再生可能期限を設定する。例えば、コンテンツサーバから端末に送られるライセンスデータに再生可能期間 (例えば、 2週間）が設定されている場合、端末側では、コンテンツの初回再生時に "初回再生時の日時 +ライセンスデータに設定されている再生可能期間" を " L i m i t (再生期限）" に設定する。

なお、ライセンス処理アプリはコンテンツ再生装置内に複数存在してもよレ、。例えば、コンテンツ配信 Z再生サービス毎に別個のライセンス処理アブリが同一のコンテンツ再生装置内に複数存在してもよい。

また、デコーダ秘密鍵を格納するための重要情報格納領域をデコ一ダではなくデコーダ I ライブラリに存在させて、コンテンツの複号化をデコーダ Iノ Fライブラリで行ってもよレ、。

また、ライセンスデータはそのデータサイズが小さい場合等は、セキュアデバイスのフラッシュメモリではなく、セキュアデバイスの T R Mに格納してもよい。

また、ライセンスデータの Usage Ruleの Variable Propertiesは更新される情報であるが、これを更新されない初期値の部分と更新される現在値の 2 つに分割し、現在値の部分のみを更新するようにしてもよい。

また、デコーダおよびデコーダ I ライブラリは、対応するライセンスが存在しない平文のコンテンツ、つまり著作権保護されていない通常のコンテンッにも対応可能である。デコーダ I / Fライブラリに対して平文のコンテンッデータが渡された場合は、利用許可情報が無くても再生可能である。また、フラッシュメモリに格納されるコンテンツやライセンスのフォーマットは、コンテンツ再生装置がこれらを取得した際のフォーマツトを変換した後に格納してもよい。つまり、配信時のコンテンツとライセンスの保護法式から、 j a V aライブラリ拡張ゃセキュアデバイスに特化した保護法式へ変換してもよい。

また、ライセンスの Variable Propertiesはコンテンツの再生の度に更新される力このようにライセンス内の Variable Propertiesではなく、ライセンスの外部に動的情報を保持してライセンス自体は更新せず、ライセンスとその外部の動的情報との関連を保つ方式としてもよい。

また、コンテンツを再生時に、ライセンスに対する処理を行う前にコンテンッタイプをチックし、コンテンツ再生処理装置にて再生可能なコンテンッの場合のみライセンスに対する処理を行ってもよい。これにより、再生できないコンテンツに対してライセンスを消費してしまうことを防ぐことが可能となる。

このように、本実施の形態によれば、コンテンツの利用条件を記述したラィセンスデータに基づいて作成する利用許可情報の正当性が認められた場合にだけコンテンツの再生が許可されるので、コンテンツデータの盗聴や、いわゆるライセンス処理アプリの成りすましを防ぐことができ、コンテンツの不正な利用を防止することができる。また、利用許可情報の作成毎に値が異なる動的情報を用いて利用許可情報の正当性を判定するため、利用許可情報の正当性の判定を正確に行うことができ、一度作成した利用許可情報の不正な再利用を防止することができるので、コンテンツの利用可否を正確に判定することができる。また、利用許可情報にセキュアデバイスの署名を行うので、利用許可情報の改竄を防止することができる。

(実施の形態 2 )

本実施の形態に係るコンテンツ再生装置は、コンテンツ再生装置の汎用性を保ちつつ、正確な再生制御を行うための再生制御情報を利用許可情報に含めるものである。また、ライセンス処理アプリが、コンテンツの再生結果または再生経過を通知させるための通知命令を制御情報として利用許可情報に含め、デコーダ I ライブラリが、その通知命令に基づいてコンテンツの再生結果または再生経過をライセンス処理アプリへ通知するものである。また、ライセンス処理アプリが、再生結果または再生経過の通知に基づいてラィセンスデータを更新するものである。

図 9は、本発明の実施の形態 2に係るコンテンッ再生装置の構成を示すブロック図である。なお、図 9において、実施の形態 1 (図 1 ) と同一の部分には同一の符号を付し、その説明を省略する。

ライセンス処理アプリ 2 0において、ライセンスデータ処理部 2 0 5は、フィンガープリントの検証、利用許可情報の作成を行う。また、デコーダ I Z Fライブラリ 3 0からの通知を待って、ライセンスデータの更新、重要情報格納領域 1 0 5へのフィンガープリントの登録、ライセンス受渡部 2 0 1 を介してデータ記憶領域 1 0 2への更新済みライセンスの格納を行う。つまり、利用許可情報を作成してから、デコーダ I Z Fライブラリ 3 0からの通知を受けるまで待ち状態となる。このように、ライセンスデータ処理部 2 0 5が、デコーダ I Z Fライブラリ 3 0からの通知に基づいてライセンスデータを更新する点が実施の形態 1 と相違する。

デコーダ I Z Fライブラリ 3 0において、再生制御部 3 0 5は、判定部 3 0 2から送られた再生制御情報に基づいて、再生コマンドと暗号化されたコンテンッ復号鍵をオーディオデコーダ 4 0に送る。また、再生制御情報に基づいてコンテンツの再生制御（再生時間の測定、再生回数のカウント、再生の停止等）を行い、その後、再生制御情報で指示された再生結果の通知や再生経過の通知を行うためのデータ（再生した時間、再生した回数、再生終了等を示すデータ）を作成して通知部 3 0 6に送る。通知部 3 0 6は、再生制御部 3 0 5で作成されたデータをライセンス処理アプリ 2 0のライセンスデータ処理部 2 0 5に通知する。

オーディオデコーダ 4 0において、再生部 4 0 3は、重要情報格納領域 4 0 2に格納されているデコーダ秘密鍵でコンテンツ復号鍵を複号化し、再生コマンドに従ってコンテンツを復号化して再生する。また、再生制御部 3 0 5からの停止命令によりコンテンッの再生を停止する。

次いで、本実施の形態に係るコンテンッ再生装置での処理手順について図 1 0を用いて説明する。

( 1 ) まず、フラッシュメモリからライセンスが読み出され、ライセンス処理アプリにライセンスが取得される。（2 ) 次いで、ライセンスデータに対してフィンガープリントの検証が行われる。（3 )次いで、ライセンスの検証を行い、ライセンスデータが示す利用条件に反しない場合、ライセンスデータに基づいて利用許可情報が作成される。利用許可情報には、コンテンツの利用条件に適合する再生制御を行うための再生制御情報を含める。また、利用許可情報には、コンテンツの再生結果や再生経過を通知させるための通知命令を含める。（4 )次いで、セキュアデバイスの署名機能を用いて利用許可情報へ署名を行う。署名後の利用許可情報は、利用許可証明となる。（5 ) 次いで、ライセンスから取り出されたコンテンツ復号鍵に利用許可証明を付随させて、デコーダ I ライブラリに送る。（6 ) 次いで、デコーダ I / Fラィブラリでは、コンテンツ復号鍵に付随している利用許可証明の正当性が判定される。すなわち、署名に対する正当性の判定と、利用許可情報に対する正当性の判定が行われて、コンテンツの利用可否が判定される。そして、その署名が正当なもので、かつ、利用許可情報が正当なものである場合に、コンテンッの再生が許可される。（7 ) コンテンツの再生が許可されると、利用許可情報に含まれる再生制御情報に従って再生回数や再生時間、再生品質等の再生制御が行われる。（8 ) 次いで、オーディオデコーダでは、デコーダ I Fライブラリで正当性が認められた場合だけ、再生コマンドに従ってコンテンッが再生される。すなわち、オーディオデコーダでは、デコーダ秘密鍵でコンテンツ復号鍵が復号化された後、そのコンテンツ復号鍵でコンテンツ本体が復号化されることによりコンテンツが再生される。この際、デコーダ I Z Fライブラリからの再生制御に従ってコンテンツを再生する。（9 )次レヽで、デコーダ I Z Fライブラリが、利用許可情報に含まれる通知命令に従つて、コンテンツの再生結果や再生経過をライセンス処理アプリに通知する。

( 1 0 ) 再生結果や再生経過の通知を受けたライセンス処理アプリでは、この通知に応じてライセンスデータが更新される。（ 1 1 ) 次いで、更新後のラィセンスデータに基づいてフィンガープリントが作成されてセキュアデバイスの T R Mに登録される。（ 1 2 ) 次いで、更新後のライセンスデータを含むライセンスがセキュアデバイスのフラッシュメモリに保存される。なお、

( 3 ) の処理後に一旦ライセンスをセキュアデバイスのフラッシュメモリに格納しておき、（1 1 )の処理前に再びセキュアデバイスのフラッシュメモリから読み出してもよい。

また、デコーダ I / Fライブラリが再生制御情報およびコンテンッの再生経過や再生結果を不揮発性メモリに記憶しておき、ライセンス処理アプリに再生経過や再生結果を通知した後、不揮発性メモリの情報を消去するようにしてもよい。コンテンツ再生装置の起動時にデコーダ I Z Fライブラリの不揮発性メモリに再生制御情報および再生経過や再生結果が残っている場合は、ライセンスデータの更新が行われる前に予期せぬ状態で処理が終わってしまつたことを表している。その場合、上記（9 ) の処理から再び処理を開始してもよレ、。これにより、ライセンス更新前に例えば電源が切られるなどにより処理が中断してしまった場合にも再生経過や再生結果を保持し、処理が再開された時に正しくライセンスを更新することができる。

まず、上記図 5のライセンスデータに示すように、 Usage Rule の Static Properties力、 " N U L L " で、 Variable Propertiesに " C o u n t (再生可能回数）"が記述されていて、かつ、ユーザから連続再生指示があった場合について説明する。この場合には、再生回数による再生制御が行われる。すなわち、 "C o u n t≥ 1 "ならば利用条件に反しないため、図 1 1に示すように、コマンドが "再生"で、再生制御情報が "C o u n t以下で複数回再生、再生が終了したら再生回数をライセンス処理アプリに通知" という利用許可情報が作成される。この利用許可情報に含まれる再生コマンドおよび再生制御情報に従ってコンテンツが複数回" C— p 1 a y " (但し、 C o u n t以下）だけ再生される。複数回の再生後、再生結果、具体的には、再生回数 "C— p l a y" がデコーダ I /Fライブラリからライセンス処理アプリに通知される。この再生結果の通知を受けたライセンス処理アプリでは、図 5に示すライセンスデータの "C o u n t (再生可能回数）" 力 S "C— p 1 a y " だけ減らされて、ライセンスデータが更新される。このようにして、複数回の連続再生を可能にすることができる。

また、再生回数制御の別の方法としては、利用許可情報作成時に、再生希望の指示回数以下の再生を許可する再生命令を作成し、以後、再生実行回数が再生希望の指示回数と同じになるまで、利用許可情報の作成とライセンスデータの更新とを繰り返すような方法でも構わない。

具体的には、例えば、 Usage Ruleの Static Properties力 S "NU L L"で、 Variable Propertiesに "C o u n t (再生可能回数）" が記述されていて、かつ、ユーザから連続再生指示があった場合に、以下のようにして再生回数による再生制御を行ってもよレ、。すなわち、 "C o u n t≥ 1 "ならば利用条件に反しないため、コマンドが "再生" で、再生制御情報が "再生が終了した旨をライセンス処理アプリに通知" という利用許可情報が作成される。この利用許可情報に含まれる再生コマンドぉよび再生制御情報に従ってコンテンッが 1回再生され、再生が終了した旨がデコーダ I ZFライブラリからラィセンス処理アプリに通知される。ライセンス処理アプリでは、この再生結果の通知を受ける度に、ライセンスデータの " C o u n t (再生可能回数）" が 1だけ減らされてライセンスデータが更新される。そして、ライセンスデータが更新される度に、 "C o u n t ^ l " かどうかの検証が行われ、 "C o u n t≥ 1 " ならば、再び、コマンドが "再生" で、再生制御情報が "再生が終了した旨をライセンス処理アプリに通知" という利用許可情報が作成される。以上の処理を繰り返すことによつても、複数回の連続再生を可能にすることができる。このようにすることにより、再生回数の管理をデコーダ I / Fライブラリで行わなくてもよくなるため、デコーダ I Z Fライブラリの処理の負荷を軽減することができる。なお、再生回数（利用条件のデクリメント数）は 1ではなく複数でも、また、毎回一定でなくても構わない。

なお、デコーダ I / Fライブラリでの再生回数のカウントの仕方は、例えば、コンテンツを最後まで再生したら 1回、および再生途中で巻き戻しても 1回、および再生途中で終了しても 1回とカウントする。

また、通知については、ライセンス処理アプリへの通知だけではなく、コンテンッ再生装置利用者に対する通知を行ってもよい。例えば、再生終了後、更新後の再生可能回数を液晶ディスプレイ等に表示してもよい。以下に説明する通知についても、これと同様、コンテンツ再生装置利用者に対する通知を行ってもよレヽ。

次に、図 1 2のライセンスデータに示すように、 Usage Rule の Static Properties に " T _m i n ( 1回の再生とみなす再生時間）" が記述され、 Variable Propertiesに " C o u n t (再生可能回数）" が記述されている場合について説明する。 " C o u n t≥ 1 "ならば利用条件に反しないため、図 1 3に示すように、コマンドが "再生" で、再生制御情報が " 1回再生、再生途中でも T— m i nの再生が終了した時点でライセンス処理アプリに通知" という利用許可情報が作成される。この利用許可情報に含まれる再生コマンドおよび再生制御情報に従ってコンテンツが 1回だけ再生される。そして、その再生途中において " T— m i n " 経過した時点で、再生経過、具体的には、 " T—m i n "経過した旨がデコーダ I Z Fライブラリからライセンス処理アプリに通知される。この際、コンテンツの再生は続行されている。この再生経過の通知を受けたライセンス処理アプリでは、図 1 2に示すライセンスデータの "C o u n t (再生可能回数）" が 1だけ減らされて、ライセンスデータが更新される。一方、 "T— m i n"まで再生されなかった場合にはその旨がデコーダ I ZFライブラリからライセンス処理アプリに通知される。 "T— m i n"まで再生されなかった場合にはライセンスデータの更新は行われない。このようにすることにより、短時間の再生は 1回の再生とみなさないという制御が可能になる。

なお、デコーダ I /Fライブラリでの経過した再生時間の計測において、例えば、一時停止中の時間は再生時間に含めないようにする。

また、図 1 2のライセンスデータの場合に、コマンドが "再生" で、再生制御情報が " 1回再生、再生途中でも T— m i nの再生が終了する毎にライセンス処理アプリに通知" という利用許可情報を作成してもよい。このような利用許可情報が作成された場合は、コンテンツの再生途中において "T_ m i n" 経過する毎にその旨が再生経過としてデコーダ I ZFライブラリからライセンス処理アプリに通知される。この際、コンテンツの再生は続行されている。ライセンス処理アプリでは、この再生経過の通知を受ける度に、図 1 2に示すライセンスデータの "C o u n t (再生可能回数）" が 1ずつ減らされて、ライセンスデータが更新される。

次に、上記図 7のライセンスデータに示すように、 Usage Ruleの Static Properties に " L i m i t (再生期限）" が記述されていて、 Variable Propertiesが "NUL L" である場合について説明する。この場合には、再生期間による再生制御が行われる。すなわち、利用許可情報作成時点の日時力 S "L i m i t " 内ならば利用条件に反しないため、図 1 4に示すように、コマンドが "再生" で、再生制御情報が "指定時間（L i m i t—現在の日時）以内の時間で再生" という利用許可情報が作成される。この利用許可情報に含まれる再生コマンドおよび再生制御情報に従つてコンテンツが指定時間以内で再生される。換言すれば、指定時間再生したらその時点で再生が停止される。このようにして、時間単位の厳密な再生制御を行うことができる。次に、図 1 5のライセンスデータに示すように、 Usage Rule の Static Properties力、 UL L で、 Variaoie Propertiesに丄，― a 1 1 (再生可能時間）" が記述されている場合について説明する。 "T— a 1 1 > 0" ならば利用条件に反しないため、図 1 6に示すように、コマンドが "再生" で、再生制御情報が "T— a 1 1以内の時間で再生、再生が終了したら実際の再生時間 T— p 1 a yをライセンス処理アプリに通知" という利用許可情報が作成される。この利用許可情報に含まれる再生コマンドおよび再生制御情報に従ってコンテンツが "T— a 1 1 "以内で再生される。換言すれば、 "T— a l l " だけ再生したらその時点で再生が停止される。再生後、実際の再生時間 "T一 p 1 a y" がデコーダ Iノ Fライブラリからライセンス処理ァプリに通知される。この通知を受けたライセンス処理アプリでは、図 1 5に示すライセンスデータの "T— a 1 1 (再生可能時間）" 力； "T— p l a y" だけ減らされて、ライセンスデータが更新される。

なお、再生可能回数や再生可能時間による再生制御方法において、指定時間の再生や指定回数の再生を行ったときにライセンス処理アプリへその旨の通知を行い、ライセンス処理アプリにおいてコマンドが "停止" の利用許可情報を作成して再生時と同様にデコーダ I ZFライブラリに送り、デコーダ I ZFライブラリが停止命令をオーディオデコーダに送って再生を停止してもよい。

これら再生回数や再生時間以外にも、再生制御情報には再生制御を行うための様々な情報を設定することが可能である。例えば、音質や画質等の再生品質を設定することが可能である。例えば、再生制御情報に音質が設定されている場合、オーディオデコーダは、その音質で楽曲コンテンツを再生する。なお、本実施の形態では、ライセンスの利用条件に従った再生を行うために、ライセンス処理アプリでのライセンスの検証とデコーダ I ライブラリでの利用許可証明の検証を行っている。ライセンス処理アプリでは実際の再生時間や再生品質、再生の範囲等を正確に計測、制御することが困難である。また、デコーダ I / Fライブラリにてすベての制御を行おうとすると、ライセンスのフォーマツト等に依存したデコーダ I Z Fライブラリが必要となり、その結果、コンテンツ配信/再生サービスに依存したデコーダ I Z F ライブラリが必要となる。従って、実際の再生時間や再生品質、再生の範囲等の計測、制御は、デコーダ I Z Fライブラリによって、その他のコンテンッ配信再生サービスに依存する制御に関してはライセンス処理アプリによつて行うようにする。

このように、本実施の形態によれば、利用許可情報に再生制御を行うための再生制御情報が含まれるため、コンテンツ再生装置の汎用性を保ちつつ、正確な再生制御を行うことができる。

すなわち、ライセンスの利用条件として再生可能回数が記述されている場合、コンテンツ再生回数を計測できるので、コンテンツ再生装置の汎用性を保ちつつ、再生可能回数を制限することができる。また、ライセンスの利用条件として再生可能時間が記述されている場合、正確なコンテンツ再生時間を計測できるので、コンテンツ再生装置の汎用性を保ちつつ、再生可能時間を制限することができる。また、ライセンスの利用条件として再生品質が記述されている場合、再生品質を指定できるので、コンテンツ再生装置の汎用性を保ちつつ、再生品質を制限することができる。さらに、ライセンスの利用条件として例えば再生可能回数および 1回の再生とみなす最低再生時間が記述されている場合、コンテンツ再生時間を計測できるので、コンテンツ再生装置の汎用性を保ちつつ、再生可能回数を制限することができる。

また、ライセンスの利用条件として例えば再生可能時間が記述されている場合、正確なコンテンツ再生時間を計測し、それによつてライセンスの利用条件に記述された再生可能時間を書き換えることによるライセンスの更新ができる。また、ライセンスの利用条件として例えば再生可能回数および 1回の再生とみなす最低再生時間が記述されている場合、コンテンッ再生時間を計測し、それによつてライセンスの利用条件に記述された再生可能回数を書 03 03930

24 き換えることによるライセンスの更新ができる。よって、コンテンツ再生装置の汎用性を保ちつつ、再生可能時間の制限や再生可能回数の制限をすることができる。

(実施の形態 3 )

本実施の形態では、コンテンツのデータ構造、フィンガープリントのデータ構造、およびコンテンツサーバからのコンテンツの取得方法について説明する。

コンテンツのデータ構造は、図 1 7に示すようになる。すなわち、コンテンッ I Dと、コンテンツ関連情報と、ライセンス I Dと、ライセンス取得 U R Lと、コンテンツ復号鍵で暗号化されたコンテンツ本体とから構成される。コンテンツ関連情報は、コンテンッが楽曲である場合は例えば曲名やァーテイス卜名等、コンテンツに関連する情報である。ライセンス I Dは、コンテンッに対応するライセンスの I Dであり、同一コンテンツに複数のライセンスが対応する場合もある。例えば、同一のコンテンツに対して、再生回数無制限のライセンスと再生回数 1 0回のお試し版ライセンスとを用意し、それらを別個の価格で販売することもできる。ライセンス取得 U R Lは、ライセンス取得（購入）時に参照する U R Lである。コンテンツ本体は、楽曲データ、ビデオデータ、イメージデータ、ドキュメントデータ、プログラムデータ等である。楽曲とそのジャケットイメージと歌詞データ等、コンテンツ本体に複数種類のデータが含まれることもあり、これらはそれぞれ別個のコンテンッ復号鍵で暗号化されることもある。

フィンガープリン卜のデータ構造は、図 1 8に示すようになる。すなわち、ライセンス I Dとライセンスダイジエス卜から構成される。ライセンスダイジエストは、ライセンスデータをハッシュしたデータである。

次いで、コンテンツサーバからのコンテンツの取得方法について図 1 9を用いて説明する。コンテンッ取得の処理手順は以下のようになる。すなわち、 ( 1 ) コンテンッ再生装置のコンテンツ取得アプリがコンテンツサーバからコンテンツをダウンロードし、 j a v aライブラリ拡張へコンテンツを渡す。 (2) ダウンロードされたコンテンツは、 j a V aライブラリ拡張を介してセキュアデバイスのフラッシュメモリに格納される。

なお、コンテンツの取得と後述するライセンスの購入の順序はどちらが先でもよく、再生時にこの 2つがそろってさえいればよい。

(実施の形態 4)

本実施の形態では、コンテンツ復号鍵がデコーダ公開鍵で暗号化され、さらにセキュアデバイス公開鍵で暗号化されている場合について説明する。また、ダウンロードするライセンス対してダウンロードサーバによって署名されている場合について説明する。これらの場合のライセンス購入処理と、コンテンッの再生処理は以下のようになる。

図 20は、本実施の形態に係るライセンス購入処理の手順を示す図である。 (1) まず、コンテンツ再生装置のライセンス購入アプリがコンテンツサーバからライセンスをダウンロード（購入）し、 j a V aライブラリ拡張ヘラィセンスを渡す。このライセンスには、ダウンロードサーバによって署名がなされている（署名 1)。 (2) 次いで、セキュアデバイスの TRMの署名機能を用いて j a V aライブラリ拡張において署名 1の検証が行われ、署名の正当性が判定される。（3)次いで、ライセンスのフィンガープリントが TR Mに格納される。（4) 次いで、セキュアデバイス秘密鍵を用いて、 TRMが署名をし直す（署名 2)。つまり、署名が署名 1から署名 2に付け替えられる。署名の付け替えを行うのは、コンテンツの再生時にライセンスデータが更新されるからである。（5)署名付け替え後のライセンスは、セキュアデバイスのフラッシュメモリに格納される。購入されたライセンスは、以上のようにして、 j a v aライブラリ拡張を介してセキュアデバイスのフラッシュメモリに格納される。

図 21は、本実施の形態に係るコンテンッ再生処理の手順を示す図である。 (1) まず、フラッシュメモリから j a V aライブラリ拡張にライセンスが読み出される。（2)次いで、セキュアデバイスの署名機能を用いて署名 2の検証が行われ、署名 2の正当性が判定される。（3) 次いで、ライセンスデータに対してフィンガープリン卜の検証が行われる。（4)次いで、ライセンスデータの Usage Ruleの検証が行われる。（5) 次いで、ライセンスデータの Variable Propertiesが更新される。（6) 次いで、更新後のライセンスデータに基づいてフィンガープリントが作成されてセキュアデバイスの TRMに登録される。（7)次いで、セキュアデバイスの署名機能を用いて再署名が行われる。（8) 次いで、コンテンツデータが示す利用条件に反しない場合、ラィセンスデータに基づいて利用許可情報が作成される。（9)次いで、セキュアデバイスの署名機能を用いて利用許可情報へ署名を行う。署名後の利用許可情報は、利用許可証明となる。（10) 次いで、セキュアデバイス秘密鍵でコンテンツ復号鍵が復号化される。この段階では、まだ、コンテンツ復号鍵はデコーダ公開鍵で暗号化されている。（1 1)次いで、更新後のライセンスデータを含むライセンスがセキュアデバイスのフラッシュメモリに保存される。（ 12)次いで、ライセンスから取り出されたコンテンツ復号鍵に利用許可証明を付随させて、デコーダ I ZFライブラリに送る。（ 1 3) 次いで、デコーダ IZFライブラリでは、コンテンツ復号鍵に付随している利用許可証明の正当性が判定される。そして、オーディオデコーダでは、デコーダ 1 Fライブラリで正当性が認められた場合だけ、再生コマンドに従ってコンテンッが再生される。すなわち、オーディオデコーダでは、デコーダ秘密鍵でコンテンツ復号鍵が復号化された後、そのコンテンツ復号鍵でコンテンツ本体が復号化されることによりコンテンツが再生される。

(実施の形態 5)

本実施の形態では、コンテンツ復号鍵がセキュアデバイス公開鍵で暗号化されている場合について説明する。また、購入したライセンスに対する一連の処理を、セキュアデバイスの TRMで行う場合について説明する。これらの場合のライセンス購入処理と、コンテンツの再生処理は以下のようになる。図 22は、本実施の形態に係るライセンス購入処理の手順を示す図である。 (1) まず、コンテンツ再生装置のライセンス購入アプリがコンテンツサーバからライセンスをダウンロード（購入）し、 j a V aライブラリ拡張を介してセキュアデバイスの T RMへライセンスを渡す。このライセンスには、ダウンロードサーバによって署名がなされている（署名 1)。 (2) 次いで、セキュアデバイスの TRMによって署名 1の検証が行われ、署名の正当性が判定される。（ 3 )次いで、ライセンスのフィンガープリントが T RM内に登録される。（4) 次いで、セキュアデバイス秘密鍵を用いて、 TRMが署名をし直す（署名 2)。つまり、署名が署名 1から署名 2に付け替えられる。（5) 署名付け替え後のライセンスは、 j a V aライブラリ拡張を介してセキュアデバイスのフラッシュメモリに格納される。

図 23は、本実施の形態に係るコンテンツ再生処理の手順を示す図である。 (1) まず、フラッシュメモリから j a V aライブラリ拡張を介して TRM にライセンスが読み出される。（2) 次いで、 T RMでは、署名 2の検証が行われ、署名 2の正当性が判定される。（3) 次いで、ライセンスデータに対してフィンガープリントの検証が行われる。（4) 次いで、ライセンスデータの Usage Ruleの検証が行われる。（5) 次いで、ライセンスデータの Variable Properties が更新される。（6) 次いで、更新後のライセンスデータに基づいてフィンガープリントが作成されて TRM内に登録される。（7) 次いで、セキュアデバイスの再署名が行われる。（8) 次いで、 TRMが、セキュアデバイス秘密鍵でコンテンツ復号鍵を復号化した後、再度、コンテンツ復号鍵をデコーダ公開鍵で暗号化する。つまり、鍵の付け替えを行う。（9)次いで、コンテンツデータが示す利用条件に反しない場合、ライセンスデータに基づいて利用許可情報が作成される。（1 0)次いで、利用許可情報へ署名を行う。署名後の利用許可情報は、利用許可証明となる。（ 1 1) 次いで、更新後のラィセンスデータを含むライセンスが、 j a V aライブラリ拡張を介してセキユアデバイスのフラッシュメモリに保存される。（ 1 2)次いで、ライセンスから取り出されたコンテンッ復号鍵に利用許可証明を付随させて、デコーダ I Z Fライブラリに送る。（1 3 ) 次いで、デコーダ I Z Fライブラリでは、コンテンツ復号鍵に付随している利用許可証明の正当性が判定される。そして、オーディオデコーダでは、デコーダ I Z Fライブラリで正当性が認められた場合だけ、再生コマンドに従ってコンテンツが再生される。すなわち、オーディオデコーダでは、デコーダ秘密鍵でコンテンツ復号鍵が複号化された後、そのコンテンツ復号鍵でコンテンツ本体が復号化されることによりコンテンッが再生される。

なお、上記ライセンス購入処理の手順（5 ) を図 2 4に示すようにして行うことも可能である。すなわち、（5 ) 署名付け替え後のライセンスを、 j a V aライブラリ拡張を介さずに、セキュアデバイス内において T R Mからフラッシュメモリへ直接格納する。

また、コンテンツ復号鍵をセキュアデバイス公開鍵で暗号化することも可能である。この場合には、着脱可能な 1つのセキュアデバイスを複数の端末間で相互に付け替えることにより、複数の端末のうちセキュアデバイスを装着された端末においてのみコンテンツを再生可能なようにすることができる。つまり、セキュアデバイスにバインドしたライセンスを実現することができる。

また、上記コンテンツ再生処理の手順（1 ) 〜（ 1 2 ) を、図 2 5に示すようにして、 j a V aライブラリ拡張を介さずに、すべて T RM内で行うことも可能である。

また、ライセンス処理アプリをセキュアデバイス内に格納しておき、セキユアデバイスと相互認証を行った再生装置のみがライセンス処理アプリを読み出して、ライセンス処理を行うことも可能である。

また、ライセンス処理アプリをセキュアデバイスの T R M内で実行されるカードアプリとして実装し、ライセンス処理をセキュアデバイスの T R Mで行うことも可能である。さらに、必要に応じてライセンス処理アプリをコンテンッサーバからダウン口一ドして利用することも可能である。

(実施の形態 6 )

本実施の形態では、コンテンッ復号鍵がセキュアデバイス公開鍵で暗号化され、さらに S I Mカードのユニーク鍵で暗号化されている場合について説明する。この場合、ライセンスは S I Mカード、つまり S I Mカードの所有者であるユーザにバインドされており、 S I Mカードが端末に装着状態にあるときのみコンテンツを再生することが可能となる。

S I Mカードとは、 G S M (Global System for Mobile Communication) 方式の携帯電話で利用される I Cチップであり、携帯電話の端末のみでは電話は作動せず、 S I Mカードの装着が必要となる。 S I Mカード内部には携帯電話番号、電話帳等の情報が記憶されている。

図 2 6は、本実施の形態に係るライセンス購入処理の手順を示す図である。図 2 4のライセンス購入処理手順と比較して（3 ) 端末に装着された S I M カードから S I Mカードのユニーク鍵を読み出し、コンテンツ復号鍵を S I Mカードのュユーク鍵で暗号化する処理が新たに追加されたことのみが異なる。

図 2 7は、本実施の形態に係るコンテンツ再生処理の手順を示す図である。図 2 5のコンテンツ再生処理手順と比較して（8 ) デコーダ公開鍵で再喑号化する際、端末に装着された S I Mカードから S I Mカードのユニーク鍵を読み出し、 S I Mカードのユニーク鍵でコンテンツ復号鍵を複号化し、さらにセキュアデバイス秘密鍵でコンテンツ復号鍵を複号化した後、再度、コンテンッ復号鍵をデコーダ公開鍵で暗号化する処理のみが異なる。

本実施の形態では、コンテンツ復号鍵を S I Mカードのユニーク鍵およびセキュアデバイス公開鍵の両方で暗号化することにより、特定の S I Mカードとセキュアデバイスの組み合わせの場合のみコンテンツの再生を可能とすることができる。

また、図 2、図 1 0のようにコンテンツ復号鍵をデコーダ公開鍵で暗号化することにより端末にバインドすること、図 2 3、図 2 5のようにコンテンッ復号鍵をセキュアデバイス公開鍵で暗号化することによってセキュアデバイスにバインドすること、図 2 1のようにコンテンツ復号鍵をデコーダ公開鍵とセキュアデバイス公開鍵で暗号化することによって端末とセキュアデバイスの両方にバインドすることがそれぞれ可能となる。また、特定の機器やユーザ、セキュアデバイスのみではなく、複数の機器や複数のユーザに共通のユニーク鍵を設定し、コンテンツ復号鍵をそのユニーク鍵で暗号化することによつて機器群やユーザ群にバインドすることが可能となる。

(実施の形態 7 )

本実施の形態では、ライセンスをコンテンツ再生装置外へ出力（アップ口ード）し、権利のバックアップを行う場合について説明する。この場合、ラィセンスのァップロードおよび再ダウンロードの処理は以下のようになる。図 2 8は、本実施の形態に係るライセンスのアップロードおよび再ダウンロードの処理の手順を示す図である。（ 1 ) まず、コンテンツ再生装置 1のラィセンスをコピーし、ネットワーク上のバックアップサーバへアップロードする。（2 )再生回数制限等の再生によってライセンスの状態が変化する（残り再生回数が減少する）場合、ネットワーク上のバックアップサーバのライセンスと、コンテンツ再生装置 1上のライセンスの状態の同期を取る。（3 ) コンテンツ再生装置 1が故障または紛失によってセキュアデバイスも含めて使用不可となる。（4 ) バックアップサーバ上で、コンテンツ復号鍵をコンテンッ再生装置 1に装着されていたセキュアデバイスの公開鍵から、コンテンッ再生装置 2に装着されているセキュアデバイスの公開鍵へ再暗号化を行う。 ( 5 ) コンテンツ再生装置 2へライセンスを再ダウンロードする。

本実施の形態では、ライセンスをネットワーク上のサーバにバックアップすることにより、セキュアデバイスまでも含めたコンテンツ再生装置の故障、紛失に対応すると共に、再生回数制限等の再生によって状態が変化するライセンスにも対応することができる。また、コンテンツ再生処理装置側からライセンスをァップロードするのではなく、ライセンス購入時にサーバ側で購入を記録しておき、それをアップロードしたライセンスの代わりとしてもよい。

また、図 2 9に示すように、ライセンスのコピーを残さないようにアップロードし、再ダウンロード先の装置をアップロード元のコンテンツ再生装置のみに限定することにより、セキュアデバイスのフラッシュメモリの空き容量を一時的に增加させることも可能である。

以上説明したように、本発明によれば、汎用的な端末においてセキュアでかつ拡張性のあるコンテンツの利用制御を行うことができる。

すなわち、本発明のコンテンツ再生装置は、コンテンツの利用条件を記述したライセンスデータを取得する取得手段と、利用条件に反しない場合、再生命令を含んだ利用許可情報をライセンスデータに基づいて作成する作成手段と、利用許可情報の正当性を判定する判定手段と、前記判定手段によって正当性が認められた場合、再生命令に従ってコンテンツを再生する再生手段とを具備する構成を採る。

この構成によれば、コンテンッの利用条件を記述したライセンスデータに基づいて作成する利用許可情報の正当性が認められた場合にだけコンテンッの再生が許可されるので、コンテンツデータの盗聴や、いわゆるライセンス処理アプリの成りすましを防ぐことができ、コンテンツの不正な利用を防止することができる。

その際、例えば、前記作成手段は、利用許可情報の作成毎に値が異なる動的情報を利用許可情報に含め、前記判定手段は、動的情報に基づいて利用許可情報の正当性を判定する構成を採る。

この構成によれば、利用許可情報の作成毎に値が異なる動的情報を用いて利用許可情報の正当性を判定するため、利用許可情報の正当性の判定を正確に行うことができ、一度作成した利用許可情報の不正な再利用を防止することができるので、コンテンツの利用可否を正確に判定することができる。また、例えば、前記作成手段は、利用条件に適合する再生制御を行うための制御情報をさらに含んだ利用許可情報を作成し、前記再生手段は、再生命令および制御情報に従つてコンテンツを再生する構成を採る。

この構成によれば、利用許可情報に再生制御を行うための制御情報が含まれるため、コンテンツ再生装置の汎用性を保ちつつ、正確な再生制御を行うことができる。

また、例えば、前記作成手段は、コンテンツの再生回数を示す回数情報を制御情報として利用許可情報に含め、前記再生手段は、その再生回数以下の回数でコンテンツを再生する構成を採る。

この構成によれば、ライセンスの利用条件として再生可能回数が記述されている場合、コンテンツ再生回数を計測できるので、コンテンツ再生装置の汎用性を保ちつつ、再生可能回数を制限することができる。

また、例えば、前記作成手段は、コンテンツの再生時間を示す時間情報を制御情報として利用許可情報に含め、前記再生手段は、その再生時間以内の時間でコンテンツを再生する構成を採る。

この構成によれば、ライセンスの利用条件として再生可能時間が記述されている場合、正確なコンテンツ再生時間を計測できるので、コンテンツ再生装置の汎用性を保ちつつ、再生可能時間を制限することができる。

また、例えば、前記作成手段は、コンテンツの再生品質を示す品質情報を制御情報として利用許可情報に含め、前記再生手段は、その再生品質でコンテンッを再生する構成を採る。

この構成によれば、ライセンスの利用条件として再生品質が記述されている場合、再生品質を指定できるので、コンテンツ再生装置の汎用性を保ちつつ、再生品質を制限することができる。

また、例えば、前記作成手段は、コンテンツの再生結果を通知させるための通知命令を制御情報として利用許可情報に含め、その通知命令に基づいてコンテンツの再生結果を通知する通知手段をさらに具備する構成を採る。この構成によれば、ライセンスの利用条件として例えば再生可能時間が記述されている場合、正確なコンテンツ再生時間を計測できるので、コンテンッ再生装置の汎用性を保ちつつ、再生可能時間を制限することができる。また、例えば、前記作成手段は、コンテンツの再生経過を通知させるための通知命令を制御情報として利用許可情報に含め、その通知命令に基づいてコンテンツの再生経過を通知する通知手段をさらに具備する構成を採る。この構成によれば、ライセンスの利用条件として例えば再生可能回数および 1回の再生とみなす最低再生時間が記述されている場合、コンテンツ再生時間を計測できるので、コンテンツ再生装置の汎用性を保ちつつ、再生可能回数を制限することができる。

また、例えば、上記コンテンツ再生装置は、前記通知手段からの通知に基づいてライセンスデータを更新する更新手段をさらに具備する構成を採る。この構成によれば、ライセンスの利用条件として例えば再生可能時間が記述されている場合、正確なコンテンツ再生時間を計測し、それによつてライセンスの利用条件に記述された再生可能時間を書き換えることによるライセンスの更新ができる。また、ライセンスの利用条件として例えば再生可能回数および 1回の再生とみなす最低再生時間が記述されている場合、コンテンッ再生時間を計測し、それによつてライセンスの利用条件に記述された再生可能回数を書き換えることによるライセンスの更新ができる。よって、コンテンッ再生装置の汎用性を保ちつつ、再生可能時間の制限や再生可能回数の制限をすることができる。

また、例えば、上記コンテンツ再生装置は、利用許可情報に署名を行う署名手段をさらに具備し、前記判定手段は、その署名の正当性を判定する構成を採る。

この構成によれば、利用許可情報に対し、例えばセキュアデバイス等を利用した署名を行うので、利用許可情報の改竄を防止することができる。また、例えば、上記コンテンツ再生装置は、ユニークな I D (特定の機器、ユーザ、蓄積メディア、特定の機器の種別等）にバインドされたライセンス、例えばそのユニークな I Dに関連する暗号化が施されたライセンスを取得する構成を採る。

この構成によれば、ライセンスの利用を、特定の機器（例えばライセンスを配信した端末）や特定のユーザ（例えばライセンスを購入したユーザ）、特定の種別の機器に限定することができる。

また、例えば、上記コンテンツ再生装置は、ライセンスを外部へ出力するライセンス出力手段をさらに備え、コンテンツ再生装置が保持しているライセンスをネットワーク上のサーバや P Cへアップロードバックアップする構成を採る。

この構成によれば、端末の故障 Z紛失等時や通常の機種交換時にアップ口一ド先のネットワーク上のサーバや p cから再ダウンロードすることが可能となる。さらにメモリ空き領域の一時的確保等が可能となる。

また、例えば、上記コンテンツ再生装置は、外部のライセンスとの同期を取るライセンス同期手段をさらに備え、ネットワーク上のサーバや P C上、及びコンテンツ再生装置上の両方にライセンスを保持する場合、ネットヮーク上のサーバや P Cのライセンスと、コンテンッ再生装置上のライセンスの状態の同期を取る構成を採る。

この構成によれば、再生回数制限等の再生によってライセンスの状態が変化する（例えば残り再生回数が減少する）場合であっても、その状態も含めた権利のバックアップが可能となる。

本発明のライセンス管理装置は、コンテンッの利用条件を記述したライセンスデータを取得する取得手段と、利用条件に反しない場合、再生命令を含んだ利用許可情報をライセンスデータに基づいて作成する作成手段と、利用許可情報を送出する送出手段とを具備する構成を採る。

また、本発明のコンテンツ再生装置は、コンテンツの利用条件を記述したライセンスデータに基づいて作成された利用許可情報であって、再生命令を含む利用許可情報を取得する取得手段と、利用許可情報の正当性を判定する判定手段と、前記判定手段によって正当性が認められた場合、再生命令に従つてコンテンツを再生する再生手段とを具備する構成を採る。

これらの構成によれば、コンテンツの利用条件を記述したライセンスデータに基づいて作成する利用許可情報の正当性が認められた場合にだけコンテンッの再生が許可されるので、コンテンツデータの盗聴や、いわゆるライセンス処理アプリの成りすましを防ぐことができ、コンテンッの不正な利用を防止することができる。

本発明のコンテンツ再生制御方法は、コンテンッの利用条件を記述したラィセンスデータを取得する取得ステップと、利用条件に反しない場合、再生命令を含んだ利用許可情報をライセンスデータに基づいて作成する作成ステップと、利用許可情報の正当性を判定する判定ステップと、前記判定ステツプにおいて正当性が認められた場合、再生命令に従つてコンテンツを再生する再生ステップとを具備するようにした。

この方法によれば、コンテンツの利用条件を記述したライセンスデータに基づいて作成する利用許可情報の正当性が認められた場合にだけコンテンツの再生が許可されるので、コンテンツデータの盗聴や、いわゆるライセンス処理アプリの成りすましを防ぐことができ、コンテンツの不正な利用を防止することができる。

本発明のライセンス管理プログラムは、コンテンツの利用条件を記述したライセンスデータを取得する取得ステップと、利用条件に反しない場合、再生命令を含んだ利用許可情報をライセンスデータに基づいて作成する作成ステツプと、利用許可情報を送出する送出ステップとを具備するようにした。また、本発明のコンテンツ再生プログラムは、コンテンツの利用条件を記述したライセンスデータに基づいて作成された利用許可情報であって、再生命令を含む利用許可情報を取得する取得ステップと、利用許可情報の正当性を判定する判定ステップと、前記判定ステップにおいて正当性が認められた場合、再生命令に従ってコンテンツを再生する再生ステップとを具備するようにした。

これらのプログラムによれば、コンテンツの利用条件を記述したライセンスデータに基づいて作成する利用許可情報の正当性が認められた場合にだけコンテンツの再生が許可されるので、コンテンツデータの盗聴や、いわゆるライセンス処理アプリの成りすましを防ぐことができ、コンテンツの不正な利用を防止することができる。

本明細書は、 2002年 3月 2 9ョ出願の特願 2002— 09 7846に基づく。この内容はすべてここに含めておく。産業上の利用可能性

本発明は、コンテンツ配信システムにおけるコンテンツ再生装置およびラ .管理装置に適用することができる。

Claims

請求の範囲

1 . コンテンツの利用条件を記述したライセンスデータを取得する取得手段と、

利用条件に反しない場合、再生命令を含んだ利用許可情報をライセンスデータに基づいて作成する作成手段と、

利用許可情報の正当性を判定する判定手段と、

前記判定手段によって正当性が認められた場合、再生命令に従ってコンテンッを再生する再生手段と、

を具備するコンテンツ再生装置。

2 . 前記作成手段は、利用条件に適合する再生制御を行うための制御情報をさらに含んだ利用許可情報を作成し、

前記再生手段は、再生命令および制御情報に従ってコンテンツを再生する、請求の範囲 1記載のコンテンツ再生装置。

3 . 前記作成手段は、コンテンツの再生結果または再生経過を通知させるための通知命令を制御情報として利用許可情報に含め、

通知命令に基づいてコンテンツの再生結果または再生経過を通知する通知手段、をさらに具備する、

請求の範囲 2記載のコンテンッ再生装置。

4 . 前記通知手段からの通知に基づいてライセンスデータを更新する更新手段、をさらに具備する、

請求の範囲 3記載のコンテンッ再生装置。

5 . コンテンツの利用条件を記述したライセンスデータを取得する取得ステツプと、

利用条件に反しない場合、再生命令を含んだ利用許可情報

ータに基づいて作成する作成ステップと、

利用許可情報の正当性を判定する判定ステップと、前記判定ステップにおいて正当性が認められた場合、再生命令に従ってコンテンッを再生する再生ステップと、

を具備するコンテンッ再生制御方法。