WO2004064314A1

WO2004064314A1 - 信号処理システム

Info

Publication number: WO2004064314A1
Application number: PCT/JP2003/016937
Authority: WO
Inventors: Satoshi Kitani; Katsumi Muramatsu
Original assignee: Sony Corporation
Priority date: 2003-01-15
Filing date: 2003-12-26
Publication date: 2004-07-29
Also published as: US20050089165A1; JP4525350B2; CN1692599A; JPWO2004064314A1; CN100542084C; US7421742B2; AU2003292648A1

Abstract

相互認証を行うドライブ１０２とホスト１０３とからレコーダが構成される。ドライブ１０２のＣ２Ｇ１４１がメディアＩＤとメディアキーから計算したメディアユニークキーが相互認証によって生成したセッションキーＫｓを用いて暗号化されてからホスト１０３に転送される。ドライブ１０２の乱数発生器１４３が発生したタイトルキーがホスト１０３に転送される。ドライブ１０２のＣ２Ｇ１４５がタイトルキーとＣＣＩ２３２とから計算したコンテンツキーがセッションキーＫｓを用いて暗号化されてからホスト１０３へ転送される。ホスト１０３が復号したコンテンツキーを用いてコンテンツを暗号化し、ドライブ１０２が暗号化コンテンツ、暗号化タイトルキーおよびＣＣＩ２３２をメディア１０１へ記録する。

Description

信号処理システム

技術分野

この発明は、例えばパーソナルコンピュー夕と接続されたドライブによってディスクメディアに明暗号化コンテンッを記録し、また、ディスクメディアから暗号化コンテンッを再生する場合に適用される信号処理システム、記録方法、プログラム、記録媒体、再生装置および情書

報処理装置に関する。背景技術

近年開発された DVD (Digital Versatile Disc)等の記録媒体では、 1枚の媒体に例えば映画 1本分の大量のデータをディジタル情報として記録することが可能である。このように映像情報等をディジタル情報として記録することが可能となってくると不正コピーを防止して著作権の保護を図ることがますます重要となっている。

DVD-Video では、コピープロテクション技術として C S S (Con tent Scrambling System) が採用されている。 C S Sは、 DVD— R 〇Mメディアに対する適用のみが認可されており、 DVD— R、 D V D— RW、 DVD + R. D VD + RW等の記録型 D VDでの C S Sの利用が C S S契約によって禁止されている。したがって、 C S S方式で著作権保護された D V D— Video の内容を記録型 D V Dへのまるごとコピー（ビットバイビットコピー）することは、 C S S契約上では、認められた行為ではない。しかしながら、 C S Sの暗号方式が破られる事態が発生した。 C S Sの暗号化を解除して DVD— Video の内容を簡単にハードディスクにコピーすることを可能とする「D e C S S」と呼ばれるソフトゥヱァがィン夕一ネット上で配布された。「D e C S S」が出現した背景には、本来耐夕ンパー化が義務付けられているはずの C S S復号用の鍵データを耐タンパ一化しないまま設計された再生ソフトゥヱァがリバースエンジニアされて鍵データが解読されたことによって、連鎖的に C S Sアルゴリズム全体が解読された経緯がある。

C S Sの後に、 D VD— Audio 等の D V D— R 0 Mの著作権保護技術である C P P M (Content Protection for Pre- Recorded Media) 、並びに記録型 DVD、メモリカードに関する著作権保護技術 C P RM (Content Protection for Recordable Media) が提案されている。これらの方式は、コンテンッの暗号化や管理情報の格納等に問題が生じたときに、システムを更新でき、データをまるごとコピーしても再生を制限できる特徴を有している。 DVDに関する著作権保護の方法に関しては、下記の非特許文献 1に説明され、 C PRMは、ライセンス管理者である米 4C Entity, LLC が配布する下記の資料に説明されている。

山田，「DVDを起点に著作権保護空間を広げる」，日経エレクト口ニクス 2001.8.13, p.143-153

Content Protection for Recordable Media ipecit ication DVD Boo k"、インターネツ卜 <υΐ¾ ： ht tp: //www.4Centity. com/>

パーソナルコンピュータ（以下、適宜 P Cと略す）環境下では、 P Cとドライブとが標準的ィンタ一フヱ一スで接続されるために、標準的ィンターフェースの部分で秘密保持が必要なデータが知られたり、デ一タが改ざんされるおそれがある。アプリケーションソフトウヱァがリバースエンジニアリングされ、秘密情報が盗まれたり、改ざんされる危険がある。このような危険性は、記録再生装置が一体に構成された電子機器の場合では、生じることが少ない。

著作権保護技術を P C上で実行されるアプリケーションプログラムへ実装する際には、その著作権保護技術の解析を防ぐため耐タンパ一性を持たせるのが一般的である。しかしながら、耐タンパ一性の強度を示す指標がない。その結果、どの程度のリバースエンジニアリングへの対応を行うかは、ィンプレメンターの個々の判断や能力に委ねられているのが現状である。 C S Sの場合は、結果としてその著作権保護技術が破られてしまった。 C S Sの後に提案された C P P Mおよび記録型 D V Dに関する著作権保護技術 C P R Mにおいても、既に破られている C S Sに新たな機能を加えたものであり、また、著作権保護技術に関わるアルゴリズムは、大部分が P Cでの実装に依存するものであり、コンテンップロテクションの機能が充分に強いものと言えない問題があった。すなわち、アプリケーションソフトゥヱァなどのリバースエンジニアリングによって、著作権保護技術に関わる秘密情報の解析により暗号方式が破られ、ディスクからのデータとして P Cがそのまま読み出した暗号化コンテンツが「D e C S S」のような解読ソフトゥヱァにより復号され、平文のままのクリア ' コンテンツとしてコピー制限の働かない状態で複製が繰り返されるような事態を招くことで、著作権保護が機能しなくなるという危険性があつた。

この発明の目的は、 P C環境下でも著作権保護技術の安全性を確保することができる相互認証方法、プログラム、記録媒体、信号処理システム、再生装置および情報処理装置を提供することにある。発明の開示上述した課題を解決するために、この発明の第 1の態様は、記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と、再生装置が伝達部を介して相互認証接続される情報処理装置とを備える信号処理システムであって、

再生装置は、

中間鍵情報に基づいてコンテンツ情報暗号化鍵を生成する最終暗号化鍵生成部と、

中間鍵情報を伝達部を介して情報処理装置へ送る第 1 の送信部と、コンテンッ情報暗号化鍵を伝達部を介して情報処理装置へ送る第 2 の送信部とを有し、

情報処理装置は、

コンテンッ情報暗号化鍵によりコンテンツ情報を暗号化するコンテンッ情報暗号化部と、

記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて中間鍵情報を暗号化する中間鍵情報暗号化部と、

暗号化されたコンテンツ情報および暗号化された中間鍵情報とを記録媒体に記録する記録部とを有する信号処理システムである。

この発明の第 2の態様は、記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と、再生装置が伝達部を介して相互認証接続される情報処理装置とが、記録媒体に情報を記録する記録方法であって、

再生装置は、

中間鍵情報に基づいてコンテンツ情報暗号化鍵を生成する最終暗号化鍵生成ステップと、

中間鍵情報を伝達部を介して情報処理装置へ送る第 1 の送信ステツプと、コンテンッ情報暗号化鍵を伝達部を介して情報処理装置へ送る第 2 の送信ステツプとを有し、

情報処理装置は、

コンテンッ情報暗号化鍵によりコンテンツ情報を暗号化するコンテンッ情報暗号化ステップと、

記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて中間鍵情報を暗号化する中間鍵情報暗号化ステップと、

暗号化されたコンテンツ情報および暗号化された中間鍵情報とを記録媒体に記録する記録ステップとを有する記録方法である。

この発明の第 3の態様は、記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と、再生装置が伝達部を介して相互認証接続される情報処理装置とが、記録媒体に情報を記録するプ口グラムであって、

再生装置に、

中間鍵情報を伝達部を介して情報処理装置へ送る第 1の送信ステツプと、

コンテンッ情報暗号化鍵を伝達部を介して情報処理装置へ送る第 2 の送信ステップとを行わせ、

情報処理装置に、

コンテンッ情報暗号化鍵によりコンテンッ情報を暗号化するコンテンッ情報暗号化ステップと、

記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて中間鍵情報を暗号化する中間鍵情報暗号化ステップと、暗号化されたコンテンツ情報およぴ暗号化された中間鍵情報とを記録媒体に記録する記録ステップとを行わせるプログラムである。

この発明の第 4の態様は、記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と、再生装置が伝達部を介して相互認証接続される情報処理装置とが、記録媒体に情報を記録するプログラムを格納した記録媒体であって、

再生装置に、

コンテンッ情報暗号化鍵を伝達部を介して情報処理装置へ送る第 2 の送信ステツプを行わせ、

情報処理装置に、

暗号化されたコンテンツ情報および暗号化された中間鍵情報とを記録媒体に記録する記録ステップとを行わせるプログラムを格納した記録媒体である。

この発明の第 5の態様は、記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出し、伝達部を介して情報処理装置と接続される再生装置であって、中間鍵情報に基づいてコンテンツ情報暗号化鍵を生成する最終暗号化鍵生成部と、

中間鍵情報を伝達部を介して情報処理装置へ送る第 1の送信部と、コンテンッ情報暗号化鍵を伝達部を介して情報処理装置へ送る第 2 の送信部とを有し、

コンテンッ情報暗号化鍵によりコンテンツ情報を暗号化するコンテンッ情報暗号化部と、記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて中間鍵情報を暗号化する中間鍵情報暗号化部と、暗号化されたコンテンツ情報および暗号化された中間鍵情報とを記録媒体に記録する記録部とを有する情報処理装置と相互認証接続される再生装置である。

この発明の第 6の態様は、記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と伝達部を介して接続される情報処理装置であって、

中間鍵情報に基づいてコンテンツ情報暗号化鍵を生成する最終暗号化鍵生成部と、中間鍵情報を伝達部を介して情報処理装置へ送る第 1 の送信部と、コンテンッ情報暗号化鍵を伝達部を介して情報処理装置へ送る第 2の送信部とを有する再生装置と伝達部を介して相互認証接続され、

暗号化されたコンテンツ情報および暗号化された中間鍵情報を記録媒体に記録する記録部とを有する情報処理装置である。

この発明の第 7の態様は、不正な電子機器を無効化するための第 1 の情報と、コンテンツ毎に異なる第 2の情報と、暗号化単位毎に定義可能な第 3の情報と、スタンパ毎に異なる識別データとが記録された記録媒体へ暗号化されたデータを記録する記録部および記録媒体に記録されている暗号化されたデータを再生する再生部の少なくとも一方と、

正当な電子機器またはアプリケ一シヨンソフトウェアにのみ与えられる当該電子機器またはアプリケ一ションソフ卜ゥヱァ固有の第 4の情報が格納される格納部と、

第 1 の情報と第 4の情報とから当該格納された第 4の情報が正当な電子機器またはアプリケ一ションソフトウエア固有の情報であるかを判定するリボーク処理部と、

リボーク処理部で第 4の情報が正当な電子機器またはアプリケ一ションソフトウユア固有の情報であると判定された場合に、第 1の情報、第 4の情報、第 2の情報および識別データから、個々の記録媒体毎に固有の中間鍵情報を求める演算部と、

中間鍵情報を伝達部を介して情報処理装置の最終暗号化鍵生成部へ送る送信部とを有する再生装置である。

この発明の第 8の態様は、正当な電子機器またはアプリケ一ションソフトウヱァにのみ与えられる当該電子機器またはアプリケ一ションソフトウヱァ固有の第 4の情報を有するとともに、不正な電子機器を無効化するための第 1の情報と、コンテンッ毎に異なる第 2の情報と、暗号化単位每に定義可能な第 3の情報と、スタンパ毎に異なる識別データとが記録された記録媒体への暗号化されたデータの記録および記録媒体に記録されている暗号化されたデータの再生の少なくとも一方を行う記録再生装置との認証を行う認証部と、

記録再生装置から、認証が成立した場合に形成されるセッションキ一によつて暗号化された、第 1の情報、第 4の情報、第 2の情報および識別データから生成された個々の記録媒体毎に固有の中間鍵情報を受け取り、当該中間鍵情報を復号する鍵情報復号部と、

記録再生装置から受け取った第 3の情報と、復号された中間鍵情報から最終暗号化鍵を生成する最終暗号化鍵生成部と、最終暗号化鍵による暗号化と最終暗号化鍵による復号との少なくとも一方を行う暗号化復号部とを有するデータ処理装置である。

この発明では、再生装置側でコンテンツキーを生成し、情報処理装置側でコンテンツキーによってコンテンツを暗号化している。このように著作権保護のための鍵情報の生成を再生装置で行うので、ハードゥヱァ構成でコンテンツキ一を生成することが可能となり、耐タンパ一性を高めることができる。また、再生装置において、乱数を生成し、乱数を中間鍵とするので、再生装置において、真正乱数またはそれに近い乱数をハードウヱァ例えば L S Iによって発生することができ、生成した乱数を固定値への置き換えを困難とすることができる。このように、この発明では、情報処理装置にインストールされるアプリケ一シヨンソフトウェアは、著作権保護技術に関する秘密情報の全てを持つ必要がなくなる。それによつて、ソフトゥヱァのリバ一スェンジニアリングによる解析に対する耐性を持つことができ、著作権保護技術の安全性を確保することができる。

この発明では、電子機器固有の情報としてのデバイスキーを記録再生装置が持つことによって、記録再生装置自身をリボークすることが可能となる。この発明では、情報処理装置におけるコンテンツキーを計算するのに必要とされる乱数情報が記録再生装置内の例えば L S I によって生成できるので、 P C内でソフトウエアによって乱数を生成するのと比較して、真正または真正乱数に近い乱数を生成することができる。したがって、乱数が固定値に置き換えられる等のおそれを少なくできる。図面の簡単な説明第 1図は、先に提案されているレコーダ、プレーヤおよび D V Dメディアからなるシステムを説明するためのプロック図である。

第 2図は、 P Cベースの D V Dメディア記録再生システムを説明するためのブロック図である。

第 3図は、第 2図のシステムにおける D V D ドライブ 4およびホスト 5の処理の手順を説明するための略線図である。

第 4図は、第 2図のシステムにおける認証動作を説明するためのフ口一チャートである。

第 5図は、この発明の一実施形態による相互認証のための構成を示すブロック図である。

第 6図は、この発明の一実施形態におけるドライブの認証動作の処理の手順を説明するためのフロ一チヤ一トである。

第 7図は、この発明の一実施形態におけるホストの認証動作の処理の手順を説明するためのフロ一チヤ一トである。

第 8図は、この発明の一実施形態によるドライブとホストを組み合わせたレコーダの構成の一例を示すブロック図である。

第 9図は、レコーダの一例の通信の手順を説明するための略線図である。

第 1 0図は、この発明の一実施形態によるドライブとホストを組み合わせたプレーヤの構成の一例を示すブロック図である。

第 1 1図は、プレーヤの一例の通信の手順を説明するための略線図である。

第 1 2図は、この発明の他の実施形態によるドライブとホストを組み合わせたレコーダの構成の一例を示すブロック図である。

第 1 3図は、この発明の他の実施形態によるドライブとホストを組み合わせたプレイヤの構成の一例を示すブロック図である。発明を実施するための最良の形態

この発明の一実施形態の説明に先立って、特許請求の範囲において使用される用語と実施の形態中で使用される用語との対応関係について以下に説明する。

記録媒体：メディア例えばディスク、再生装置：ドライブ、情報処理装置：ホスト、伝達手段：ドライブ一ホストインタ一フヱ一ス、信号処理システム：メディアを再生するドライブとホストとがドライブ一ホストインターフヱースを介して接続されるシステムである。第 1 の送信手段：ドライブ側からセッションキーを共通鍵とした共通鍵暗号方式で情報をホスト側に送る手段、第 2の送信手段：逆にホスト側からセッションキーを共通鍵として情報をドライブ側に送る手段のことである。

コンテンッ情報：メディアに記録されている情報または記録すべき情報をコンテンツ情報としている。記録媒体固有の情報：メディア I Dである。乱数を生成する乱数生成手段：乱数発生器（RNG : Rand om Number Generator)である。記録媒体固有の鍵情報：メディアュニークキー、中間鍵情報：タイトルヰ一である。コンテンツ情報暗号化鍵：コンテンツキ一（記録時に使われるコンテンツキ一をコンテンッ情報暗号化鍵とし、再生時に使われるコンテンツキーをコンテンツ情報復号鍵としている。）

この発明の理解の容易のために、最初に第 1図を参照して著作権保護技術例えば DVD用 C P RMのアーキテクチャについて説明する。第 1図において、参照符号 1が例えば C PRM規格に準拠した DVD — R/RW、 DVD— RAM等の記録型 DVDメディアを示す。参照符号が例えば C P R M規格に準拠したレコーダを示す。参照符号 3 が例えば C P R M規格に準拠したプレーヤを示す。レコーダ 2およびプレーヤ 3は、機器またはアプリケ一ションソフトゥヱァである。未記録ディスクの状態において、 DVDメディア 1の最内周側のリードインエリアの B C A (Burst Cutting Area)または NB C A (Narro w Burst Cutting Area) と称されるエリアには、メディア I D 1 1が記録されている。リードインエリアのエンボスまたはプリ記録デ一夕ゾーンには、メディアキーブロック（以下、 MKBと適宜略す） 1 2 が予め記録されている。メディア I D 1 1は、個々のメディア単位例えばディスク 1枚毎に異なる番号であり、メディアの製造者コ一ドとシリアル番号から構成される。メディア I D 1 1は、メディアキ一を個々のメディアで異なるメディアユニークキ一へ変換する際に必要となる。メディアキーブロック MKBは、メディアキーの導出、並びに機器のリボケ一シヨン（無効化）を実現するための鍵束である。これらのメディア I Dおよびメディアキ一プロックは、記録媒体固有の第 1の情報である。

ディスク 1の書き換えまたは追記可能なデータ領域には、コンテンツキ一で暗号化された暗号化コンテンツ 1 3が記録される。暗号化方式としては、 C 2 (Cryptomeria Ciphering) が使用される。

DVDメディア 1には、暗号化タイトルキ一 1 4および C C I (Cop y Control Information) 1 5が記録される。暗号化タイトルキー 1 4 は、暗号化されたタイトルキー情報であり、タイトルキー情報は、タイトル每に付加される鍵情報である。 C C Iは、コピーノーモア、コピーワンス、コビーフリ一等のコピー制御情報である。

レコーダ 2は、デバイスキ一 2 1、プロセス MK B 2 2、 C 2 __G 2 3、乱数発生器 2 4、 C 2— E 2 5、 C 2— G 2 6および C 2 __E C B C 2 7の構成要素を有する。プレーヤ 3は、デバイスキー 3 1、プロセス MKB 3 2、 C 2— G 3 3、 C 2— D 3 5、 C 2— G 3 6および C 2— D C B C 3 7の構成要素を有する。 C 2— G 2 3および 3 3は、それぞれメディア I Dとメディアキ一とからメディアユニークキーを演算するプロックである。 C 2_G 2 6および 3 6は、それぞれ C C I とタイトルキ一とからコンテンツキーを演算するブロックで ¾る。

デバイスキー 2 1、 3 1は、個々の装置メ一力、またはアプリケ一シヨンソフトウェアベンダー毎に発行された識別番号である。デバイスキーは、ライセンス管理者によって正当な電子機器またはアプリケ —シヨンソフトゥヱァにのみ与えられる当該電子機器またはアプリケ —シヨンソフトゥエア固有の情報である。 D V Dメディア 1から再生された MKB 1 2とデバイスキー 2 1 とがプロセス MKB 2 において演算されることによって、リボケ一ションされたかどうかの判別ができる。レコーダ 2におけるのと同様に、プレーヤ 3においても、 M KB 1 とデバイスキ一 3 1 とがプロセス MK B 3 2において演算され、リボケーションされたかどうかの判別がなされる。

プロセス MKB 2 2、 3 2のそれぞれにおいて、 MK B 1 2 とデバイスキー 2 1、 3 1からメディアキーが算出される。 MKB 1 2の中にレコーダ 2またはプレーヤ 3のデバイスキーが入っておらず、演算された結果が予め決められたある値例えばゼロの値と一致した場合、そのデバィスキーを持つレコーダ 2またはプレーヤ 3が正当なものでないと判断される。すなわち、そのようなレコーダ 2またはプレーヤ 3がリボケーシヨンされる。

C 2_G 2 3、 3 3は、それぞれ、メディアキーとメディア I Dとを演算し、メディアユニークキーを導出する処理である。

乱数発生器（RNG ： Random Number Generator) 2 4は、タイトルキーの生成に利用される。乱数発生器 2 4からのタイトルキーが C 2 — E 2 5に入力され、タイトルキーがメディアユニークキーで暗号化される。暗号化タイトルキ一 1 4が DVDメディア 1に記録される。プレーヤ 3では、 DVDメディア 1から再生された暗号化タイトルキー 1 4 とメディァユニークキーとが C 2_D 3 5に供給され、暗号化タイトルキーがメディアユニークキーで復号され、タイトルキーが得られる。

レコーダ 2においては、 C C I とタイトルキーとが C 2_G 6に供給され、コンテンツキーが導出される。コンテンツキーが C 2— E C B C 2 7に供給され、コンテンツキ一を鍵としてコンテンツが暗号化される。暗号化コンテンツ 1 3が DVDメディア 1に記録される。プレーヤ 3においては、 C C I とタイトルキーとが C 2_G 3 6に供給され、コンテンツキーが導出される。コンテンツキーが C 2— E C B C 3 7に供給され、 D VDメディア 1から再生された暗号化コンテンッ 1 3がコンテンツキ一を鍵として復号される。

第 1図の構成において、レコーダ 2による記録の手順について説明する。レコーダ 2は、 DVDメディア 1から MKB 1 2を読み出し、プロセス MKB 1 2によってデバイスキー 2 1 と MKB 1 2 とを演算し、メディアキーを計算する。演算結果が予め定められた値を示すならば、デバイスキー 2 1 (レコーダ 2の機器またはアプリケーション ) が MKBによってリボークされたと判定される。レコーダ 2は、以後の処理を中断し、 D VDメディア 1への記録を禁止する。若し、メディアキーの値が予め定められた値以外であれば、処理を継続する。

レコーダ 2は、 DVDメディア 1からメディア I D 1 1 を読み、メディアキ一と共にメディア I Dを C 2_G 2 3に入力しメディア毎に異なるメディアユニークキーが演算される。乱数発生器 2 4で発生させたタイトルキーが C 2_E 2 5で暗号化され、暗号化タイトルキ一 1 4として DVDメディア 1に記録される。タイトルキーとコンテンッの CC I情報が C 2_G 2 6で演算され、コンテンツキが導出される。コンテンツキーでコンテンツを C 2— ECBC 2 7で暗号化し、 DVDメディア 1上に暗号化コンテンッ 1 3として C C I 1 5と共に記録する。

プレーヤ 3による再生の手順について説明する。最初に MKB 1 2 を DVDメディア 1から読み出す。デバイスキ一3 1と MKB 1 2を演算し、リボケ一シヨンの確認がなされる。デバイスキー 3 1、すなわち、プレーヤ 3の機器またはアプリケ一ションがリボークされない場合には、メディア I Dを使用してメディアユニークキーが演算され、読み出された暗号化タイトルキー 1 4とメディアユニークキーからタイトルキーが演算される。タイトルキーと C C I 1 5とが C 2一 G 3 6に入力され、コンテンツキーが導出される。コンテンツキーが C 2— D C B C 37に入力され、コンテンツキ一を鍵として、 DVDメディア 1から再生された暗号化コンテンッ 1 3に対して C 2— D C B C 3 7の演算が施される。その結果、暗号化コンテンツ 1 3が復号される。

このように、コンテンッの復号に必要なコンテンツキ一を得るためには、 D V Dメディアの 1枚毎に異なるメディア I Dが必要となるので、たとえメディァ上の暗号化コンテンッが忠実に他のメディアにコピーされても、他のメディアのメディア I Dがオリジナルのメディア I Dと異なるために、コピーされたコンテンツを復号することができず、コンテンツの著作権を保護することができる。

上述した第 1図の構成は、記録再生機器として構成されたものである。この発明は、 DVDメディア 1に対するコンテンツ保護処理を P C環境下で扱う場合に適用される。第 2図を参照して現行の方式による PCとドライブの役割分担を示す。第 2図において、参照符号 4が上述した CPRM規格に準拠した DVDメディア 1を記録および再生する記録再生装置としての D VDドライブを示す。

参照符号 5がデータ処理装置としてのホスト例えば P Cを示す。ホスト 5は、 DVDメディア 1に記録可能で、 DVDメディア 1から再生可能なコンテンツを扱うことができ、且つ DVDドライブ 4と接続されてデータ交換が可能な装置またはアプリケーシヨンソフトウェアである。例えば P Cに対してアプリケーシヨンソフトゥエアがィンスト一ルされることによってホスト 5が構成される。

D V Dドライブ 4とホスト 5との間がイン夕一フヱ一ス 4 aで接続されている。ィンタ一フェース 4 aは、 AT A P I (AT Attachment w ith Packet Interface) , S C S I (Small Computer System Interfa ce) , USB (Universal Serial Bus) , I E E E (Institute of Elec trical and Electronics Engineers) 1 3 9 4等である。

D V Dメディア 1には、メディア I D 1 1、メディアキーブロック 1 2および AC C (Authentication Control Code) が予め記録されている。 ACCは、 DVDドライブ 4とホスト 5との間の認証が DVD メディア 1によって異なるようにするために予め DVDメディア 1に記録されたデータである。

D VDドライブ 4は、 AC C 1 6を DVDメディア 1から読み出す。 DVDメディア 1から読み出された AC C 1 6が DVDドライブ 4 の AK E (Authentication and Key Exchange) 4 1に入力されると共に、ホスト 5へ転送される。ホスト 5は、受け取った AC Cを AK E 5 1に入力する。 AKE 4 1および 5 1は、乱数データを交換し、この交換した乱数と AC Cの値とから認証動作の度に異なる値となる共通のセッションキー（第 2図の構成においてはバスキーと称する）を生成する。

バスキーが MAC (Message Authentication Code) 演算ブロック 4 2および 5 2にそれぞれ供給される。 MAC演算プロック 4 2および 5 2は、 AKE 4 1および 5 1でそれぞれ得られたバスキーをパラメ一夕として、メディア I Dおよびメディアキーブロック 1 2の MAC を計算するプロセスである。 MKBとメディア I Dの完全性（integri ty) をホスト 5が確認するために利用される。

MAC 4 2および 5 2によってそれぞれ計算された MACがホスト 5の比較 5 3において比較され、両者の値が一致するかどうかが判定される。これらの MACの値が一致すれば、 MKBとメディア I Dの完全性が確認されたことになる。比較出力でスィツチ SW1が制御される。

スィッチ SW 1は、 D VDドライブ 4の D VDメディア 1の記録または再生経路と、ホスト 5の暗号化/ (または）復号モジュール 5 4 との間の信号路を〇N/〇 F Fするものとして示されている。スイツチ SW 1は、信号路の ON/ OF Fを行うものとして示されているが、より実際には、 ONの場合にホスト 5の処理が継続し、 OF Fの場合にホスト 5の処理が停止することを表している。暗号化/復号モジユール 54は、メディァユニークキーと暗号化タイトルキーと C C I とからコンテンツキーを算出し、コンテンツキーを鍵としてコンテンッを暗号化コンテンツ 1 3へ暗号化し、またはコンテンツキ一を鍵として暗号化コンテンッ 1 3を復号する演算プロックである。

メディアユニークキ一演算プロック 5 5は、 MKB 1 2とメディア I Dとデバイスキ一 5 6とからメディアユニークキーを演算する演算ブロックである。第 1図に示すレコーダまたはプレーヤと同様に、デバイスキーと MKB 1 2 とからメディアキーが演算される。メディアキーとメディア I D 1 1 とからメディアユニークキーが演算される。メディアキーが所定の値となった場合には、その電子機器またはアブリケ一シヨンソフトゥヱァが正当なものではないと判断され、リボ一クされる。したがって、メディアユニークキ一演算ブロック 5 5は、リボケ一ションを行うリボーク処理部としての機能も有する。

記録時に、比較 5 3によって完全性が確認された場合には、スイツチ SW 1が ONされる。暗号化/復号モジュール 5 4からスィッチ S W 1を通じてドライブ 4に対して、暗号化コンテンッ 1 3、暗号化夕イトルキー 1 4および C C I 1 5が供給され、 D VDメディア 1に対してそれぞれ記録される。再生時に、比較 5 3によって完全性が確認された場合には、スィッチ SW 1が ONされる。 DVDメディア 1からそれぞれ再生された暗号化コンテンッ 1 3、暗号化タイトルキ一 1 4および C C I 1 5がスィツチ SW 1 を通じてホスト 5の暗号化/復号モジュール 5 4に対して供給され、暗号化コンテンツが復号される第 3図は、第 2図に示す現行の P C環境下の DVDメディアを利用するシステムにおいて、 DVDメディア 1 と、 DVD ドライブ 4と、ホスト 5との間の信号の授受の手順を示す。ホスト 5が D VD ドライブ 4に対してコマンドを送り、 DVD ドライブ 4がコマンドに応答した動作を行う。

ホスト 5からの要求に応じて DVDメディア 1上の AC Cがシークされ、読み出される（ステップ S 1 ) 。次のステップ S 2において、読み出された AC Cが A KE 4 1に入力されると共に、ホスト 5へ転送され、ホスト 5では、受け取った AC Cが AKE 5 1へ入力される。 AK E 4 1および 5 1は、乱数データを交換し、この交換した乱数と AC C 1 6の値から認証動作の度に異なる値となるセッシヨンキーとしてのバスキーを生成し、バスキ一を DVD ドライブ 4とホスト 5 が共有する。相互認証が成立しなかった場合では、処理が中断する。認証動作は、電源の 0 N後のディスク検出時並びにディスクの交換時には、必ず行われる。記録ボタンを押して記録動作を行う場合、並びに再生ボタンを押して再生動作を行う場合に、認証動作を行うようにしても良い。一例として、記録ボタンまたは再生ボタンを押した時に、認証がなされる。

認証が成功すると、ステップ S 3において、ホスト 5が DVD ドライブ 4に対して、 D V Dメディア 1からの M K B (メディアキープ口ック）パック # 0の読み出しを要求する。 MKBは、パック 0〜パック 1 5の 1 6セクタが 1 2回繰り返してリードインエリァに記録されている。パック単位で、エラー訂正符号化がなされている。

D VDドライブ 4がステップ S 4において M KBのパック # 0を読みに行き、ステップ S 5において、パック # 0が読み出される。 DV D ドライブ 4は、モディファイド M K Bをホスト 5へ戻す（ステップ S 6 ) 。 MKBを読み出す際に、バスキ一をパラメ一夕として MAC 値を計算し、 MKBに対して MAC値を付加してホスト 5へデータを転送する。パック # 0以外の残りの MKBパックの要求と、 DVD ドライブ 4の読み出し動作と、モディファイド MK Bパックの転送動作とが M K Bのパックがなくなるまで、例えばパック # 1 5が読み出され、ホスト 5へ転送されるまで、ステップ S 7および S 8によって繰り返しなされる。

ホスト 5が DVD ドライブ 4に対してメディア I Dを要求する。 D VD ドライブ 4が DVDメディァ 1に記録されているメディァ I Dを読みに行き、ステップ S 1 1において、メディア I Dが読み出される。 DVDドライブ 4は、メディア I Dを読み出す際に、バスキーをパラメ一夕としてその MAC値を計算する。 DVDドライブ 4はステツプ S 1 2において、読み出されたメディア I Dに対して MAC値 m 1 を付加してホスト 5へデータを転送する。

ホスト 5では、 D VDドライブ 4から受け取った MKB 1 2およびメディア I D 1 1からバスキーをパラメ一夕として再度 MAC値を計算し、計算した MAC値と DVDドライブ 4から受け取った MAC値とを比較 5 3で比較する。両者が一致したならば、正しい MKBおよびメディア I Dを受け取つたと判定して、スィッチ SW 1を ONに設定して処理を先に進める。逆に両者が一致しなかったならば、 MKB およびメディア I Dが改ざんされたものと判定して、スィッチ S W 1 を〇 F Fに設定して処理を中断する。

ステップ S 1 3において、ホスト 5が DVDドライブ 4に対して暗号化コンテンツを要求し、ステップ S 1 4において、 DVDドライブ 4が暗号化コンテンツを読み出し、ステップ S 1 3において、読み出した暗号化コンテンッがホスト 5に転送される。ホスト 5のメディアユニークキー演算プロック 5 5では、デバイスキー 5 6と MK B 1 2 とメディア I D 1 1 とによってメディアユニークキーが計算される。メディアユニークキーが暗号化/復号モジュール 5 4に供給され、暗号化タイトルキ一 1 4、 C C I 1 5からコンテンツキーが求められる。コンテンツキーを鍵として DVDメディア 1から読み出された暗号ィ匕コンテンッが復号される。 D VDメディア 1に対して記録されるコンテンッが暗号化される。

第 4図のフローチャートにおいて、ステップ ST 1は、 MAC演算ブロック 4 2でバスキ一をパラメ一夕として求められた MAC計算値と、 MAC演算ブロック 5 3でバスキーをパラメ一夕として求められた M A C計算値とを比較するステップである。両者が一致すれば、スイッチ S W 1がステップ S T 2において〇 Nとされる。両者が一致しない場合では、スィッチ S W 1がステップ S T 3において 0 F Fとされ、処理が停止する。

上述した C P R Mでは、 D V D— Video の著作権保護技術である C S Sと同じバスキー生成方法を採用している。 C S S認証方式の内容は、本来秘密であるべき情報であるが、既に解析され一般ユーザーが入手可能な C S Sライセンス管理団体である D V D _ C C Aの許諾を得ていないフリーソフトウェアによつて動作させることが可能となつている。加えて、コンテンツプロテクション処理は、ホスト側でなされる、すなわち、リボケ一ション判定、メディアキ一取得、メディァユニークキ一導出、タイトルキー生成 ·導出からコンテンツキ一導出およびコンテンッ暗号化 .復号の全てがホスト側の処理であることから、著作権保護技術としての信頼性が低下している。

以下に述べるこの発明の一実施形態では、かかる問題点を解決するものである。一実施形態では、 P C環境下でのコンテンツプロテクション処理におけるタイトルキー導出に関わる構成をドライブ内部に持ち、 P Cとの相互認証を経てタイトルキ一およびコンテンツキ一を P Cに送信するものである。

第 5図は、一実施形態における相互認証の構成を示すブロック図であり、第 6図は、ドライブ側の処理の流れを示すフローチャートであり、第 7図は、ホスト側の処理の流れを示すフローチャートである。以下の説明において、参照符号 1 0 1がメディア例えば光ディスクを示し、参照符号 1 0 2がメディアのドライブを示し、参照符号 1 0 3 がドライブ 1 0 2 とドライブ一ホストインターフヱース 1 0 4を介して接続されたホストを示す。メディア 1 0 1は、上述した D V Dメディァと同様の情報が予め記録されているものである。メディア 1 0 1 は、記録可能なものに限らず、読み出し専用のものでも良い。ホスト

1 0 3がドライブ 1 0 2に対して所定のコマンドを送り、その動作を制御する。使用するコマンドは、上述した非特許文献 2に記載されているコマンド並びにコマンドを拡張したもの、および、メディア 1 0 1からコンテンツをセクタ . データとして読み出すための R E A Dコマンド、メディア 1 0 1へコンテンツをセクタ ' データとして書き込むための W R I T Eコマンドである。

ドライブ 1 0 2は、ドライブのデバイスキー 1 2 1 を有し、ホスト 1 0 3がホストのデバイスキ一 1 3 1 を有している。デバイスキー 1 1 は、多くの場合に L S I (Large Sca l e Integrated C i rcui t ：大規模集積回路）内部に配置され、外部から読み出すことができないよぅセキュアに記憶される。デバイスキ一 1 3 1 は、ソフトゥヱァプログラム内にセキュアに記憶される場合と、ハードウェアとしてセキュァに記憶される場合とがある。ドライブ 1 0 2がメディア 1 0 1 を扱う正当なドライブとなるためには、一実施形態のように、デバイスキ一のような著作権保護技術に関する秘密情報を必要とするので、正規のライセンスを受けずに正規品になりすますようなクローン · ドライブの作成を防止できる効果がある。

第 5図に示すように、ドライブ 1 0 2には、 M K Bとデバイスキー 1 2 1 とが入力され、ドライブのデバイスキーがリボケ一シヨンされたかどうかを判定するプロセス M K B 1 2 2が備えられている。ホスト 1 0 3にも同様に、プロセス M K B 1 3 2が備えられている。リボケ一ションされない場合に、プロセス M K B 1 2 2および 1 3 2からそれぞれメディアキー K mが出力される。リボーク判定処理がなされ、メディアキ一 K mが得られてから認証処理がなされる。参照符号 1 2 3、 1 2 4および 1 2 5は、メディアキー Kmをパラメータとして MAC値を計算する MAC演算ブロックをそれぞれ示す。参照符号 1 2 6、 1 2 7および 1 2 8は、乱数発生器（RNG ： Ra ndom Number Generator ) をそれぞれ示す。乱数発生器 1 1 6が乱数 Ralを生成し、乱数発生器 1 2 7が乱数 Ra2を生成し、乱数発生器 1

2 8が乱数 Ra3を生成する。乱数発生器 1 2 6、 1 2 7、 1 2 8は、例えば L S Iの構成の乱数発生器であり、ソフトウヱァにより乱数を発生する方法と比較してより真正乱数に近い乱数を発生することができる。乱数発生器を共通のハードウヱァとしても良いが、乱数 Ral、 Ra2、 Ra3は、互いに独立したものである。

ホスト 1 0 3に、メディアキ一 Kmをパラメ一夕として MAC値を計算する MAC演算プロック 1 3 3、 1 3 4および 1 3 5と、乱数発生器 1 3 6、 1 3 7および 1 3 8が備えられている。乱数発生器 1 3 6が乱数 Rblを生成し、乱数発生器 1 3 7が乱数 Rb2を生成し、乱数発生器 1 3 8が乱数 Rb3を生成する。乱数発生器 1 3 6、 1 3 7、 1

3 8は、通常はソフトウヱァによって乱数を発生するものであるが、ハードゥヱァによる乱数が利用できる場合にはこれを用いても良い。

ドライブ 1 0 2において生成された乱数とホスト 1 0 3において生成された乱数とが交換される。すなわち、乱数 Ralおよび乱数 RMが MAC演算ブロック 1 1 3および 1 3 3に入力され、乱数 Ra2および乱数 Rb2が MAC演算プロック 1 2 4および 1 3 4に入力され、乱数 Ra3および乱数 Rb3が MAC演算ブロック 1 2 5および 1 3 5に入力される。

ドライブ 1 0 1の MAC演算プロック 1 2 3が演算した MAC値と、ホスト 1 0 3の MAC演算プロック 1 3 3が演算した MAC値とがホスト 1 0 3内の比較 1 3 9において比較され、二つの値が同一か否かが判定される。ここでの MAC値は、 eKm(Ral II Rbl) と表記される。 e Km () は、メディアキー Kmを鍵として括弧内のデータを暗号化することを表している。 Ral II Rblの記号は、左側に乱数 Ralを配し、右側に乱数 Rblを配するように、二つの乱数を結合することを表している。比較の結果、二つの値が同一と判定されると、ホスト 1 0 3によるドライブ 1 0 2の認証が成功したことになり、そうでない場合には、この認証が失敗したことになる。

ホスト 1 0 3の MAC演算プロック 1 3 4が演算した MAC値と、ドライブ 1 0 2の MAC演算プロック 1 2 4が演算した MAC値とがドライブ 1 0 2内の比較 1 1 9において比較され、二つの値が同一か否かが判定される。ここでの MAC値は、 eKm(Rb2 II Ra2)と表記される。比較の結果、二つの値が同一と判定されると、ドライブ 1 0 2によるホスト 1 0 3の認証が成功したことになり、そうでない場合には、この認証が失敗したことになる。

かかる相互認証において、比較 1 3 9および 1 9の両者において、 MAC値が同一と判定され、ドライブ 1 0 1およびホスト 1 0 3の両者の正当性が確認されると、すなわち、相互認証が成功すると、 M A C演算ブロック 1 2 5および 1 3 5によって、共通のセッシヨンキ -eKm(Ra3 II Rb3)がそれぞれ生成される。

さらに、上述した相互認証の処理の流れを第 6図および第 7図のフ口一チャートを参照して説明する。最初に、第 7図のステップ S T 2 0において、ホスト 1 0 3がドライブ 1 0 に対して、コマンド REP0 RT KEYを発行し、 MKBの転送を要求する。第 6図のステップ S T 1 0において、ドライブ 1 0 2がメディア 1 0 1から MK B 1 1 2を読み出して、ホスト 1 0 3へ転送する。

次に、ドライブ 1 0 Iがステツプ S T 1 1において、プロセス MK B 1 2 によってメディアキー Kmを計算し、ホスト 1 0 3がステツプ S T 2 1 において、プロセス MKB 1 3 2によってメディアキー K mを計算する。この計算の過程でそれぞれが内蔵するデバイスキー 1 2 1および 1 3 1がリボケーションの対象とされているか否かが自分自身によって確認される（第 6図中のステップ S T 1 2、第 7図中のステップ S T 2 2 ) 。

ドライブ 1 0 2およびホスト 1 0 3のそれぞれは、リボケーションの対象とされている場合にはリボークされ、処理が終了する。若し、ホスト 1 0 3がリボケーシヨンの対象とされていなければ、ステップ S T 2 3において、コマンド SEND KEYにより、ドライブ 1 0 2に対して乱数発生器 1 3 6および 1 3 7でそれぞれ生成された乱数 Rblと乱数 Rb2を転送する。若し、ドライブ 1 0 1がリボケーションの対象とされていなければ、ステップ S T 1 3において、ドライブ 1 0 2がホスト 1 0 3から転送されたこれらの乱数を受け取る。

その後、ホスト 1 0 3は、コマンド REPORT KEYによりドライブ 1 0 2に対してドライブ 1 0 1が持つメディアキ一Kmを鍵とした MAC によるレスポンス値と乱数生成器 1 2 6が発生した乱数 Ralとをホスト 1 0 3へ転送することを要求する（ステップ S T 2 4 ) 。このレスポンス値は、 eKm (Ral II Rbl)と表記される。 e Km () は、メディアキ一Kmを暗号鍵として括弧内のデ一夕を暗号化することを表している。 Ral ll Rblの記号は、左側に乱数 Ralを配し、右側に乱数 Rblを配するように、二つの乱数を結合することを表している。

ホスト 1 0 3からコマンド REPORT KEYを受け取ったドライブ 1 0 2 は、ステップ S T 1 4において、 MAC演算プロック 1 2 3が生成した MAC値 eKm(Ral と乱数 Ralをホスト 1 0 3へ転送する。ステツプ S T 2 5において、ホスト 1 0 3は、自身の MAC演算プロック 1 3 3で MAC値を計算し、比較 1 3 9においてドライブ 1 0 2から受け取った値と一致するかの確認を行う。若し、受け取った MAC 値と計算された MAC値とがー致したのなら、ホスト 1 0 3によるドライブ 1 0 の認証が成功したことになる。ステップ S T 2 5における比較の結果が同一でない場合には、ホスト 1 0 3によるドライブ 1 0 2の認証が失敗したことになり、リジヱクト処理がなされる。

ホスト 1 0 3によるドライブ 1 0 2の認証が成功した場合には、ステツプ S T 2 6において、ホスト 1 0 3がドライブ 1 0 2へコマンド REPORT KEYを送付し、ドライブ 1 0 2の乱数生成器 1 2 4および 1 2 5がそれぞれ生成する乱数 Ra2と乱数 Ra3の転送を要求する。このコマンドに応答して、ステップ S T 1 5において、ドライブ 1 0 1は、これらの乱数をホスト 1 0 3へ転送する。

ステップ S T 2 7において、ホスト 1 0 3の MAC演算ブロック 1 3 4は、ドライブ 1 0 2から受け取った乱数からホスト 1 0 3が持つメディアキ一 Kmを鍵とした MACによるレスポンス値 eKm(Rb2 II Ra2 )を計算し、乱数 Rb3とともに、コマンド SEND KEYを用いてドライブ 1 0 2へ転送する。

ステップ S T 1 6において、ドライブ 1 0 2は、ホスト 1 0 3からレスポンス値 eKm(Rb2 II Ra2)および乱数 Rb3 を受け取ると、自身で M AC値を計算し、ステップ S T 1 7において、比較 1 1 9によってホスト 1 0 3から受け取った MAC値と一致するかの確認を行う。若し、受け取った MAC値と計算された MAC値とがー致したのなら、ドライブ 1 0 2によるホスト 1 0 3の認証が成功したことになる。この場合には、ステップ S T 1 8において、 MAC演算プロック 1 2 5がセッションキー eKm(Rb3 ll Ra3)を生成し、ホスト 1 0 3に対して認証が成功したことを示す情報を送信し、認証処理が完了する。セッションキ一は、認証動作の度に異なる値となる。

ステップ S T 1 7における比較の結果が同一でない場合には、ドライブ 1 0 2によるホスト 1 0 3の認証が失敗したことになり、ステツプ S T 1 9において、認証が失敗したことを示すエラー情報がホスト 1 0 3に送信される。

ホスト 1 0 3は、送付したコマンド SEND KEYに対する応答としてドライブ 1 0 2から認証が成功したか否かを示す情報を受け取り、受け取った情報に基づいてステップ S T 2 8において、認証完了か否かを判断する。認証が成功したことを示す情報を受け取ることで認証完了と判断し、認証が失敗したことを示す情報を受け取ることで認証が完了しなかったと判断する。認証が完了した場合は、ステップ S T 2 9 において、 M A C演算ブロック 1 3 5がドライブ側と共通のセッションキー eKm (Ra3 II Rb3) (例えば 6 4 ビット長）を生成する。認証が完了しなかった場合には、リジヱクト処理がなされる。セッションキ一 eKm (Ra3 II Rb3)を以下の説明では、適宜 sと表記する。

上述した一実施形態による相互認証は、ドライブ 1 0 2がリボケ一シヨン機能を持つことができ、認証専用の特定の認証鍵を必要としない特徴を有している。

さらに、ドライブ 1 0 2が比較 1 2 9によってホスト 1 0 3の認証結果を確認することで、ドライブ 1 0 2がホスト 1 0 3から正規のラィセンスを受けた上で実装されたものであるか否かを判定することが可能となる。

次に、上述した相互認証を行うドライブ 1 0 2とホスト 1 0 3 とを組み合わせて実現したレコーダの一実施形態の構成を第 8図に示す。一実施形態のレコーダは、ドライブ 1 0 2が計算したメディアュニークキ一を相互認証によって生成したセッシヨンキー K sを用いてセキユアにホスト 1 0 3に転送する。また、ドライブ 1 0 2の乱数発生器 1 4 3によってタイトルキーが生成される。ドライブ 1 0 Iにおいてタイトルキーおよび C C I 2 3 2からコンテンツキーが生成され、生成されたコンテンツキ一がセッションキー K sを用いてホスト 1 0 3 へセキュアに転送され、ホスト 1 0 3が復号したコンテンツキーを用いてコンテンツを暗号化し、暗号化コンテンツをドライブ 1 0 2へ転送し、ドライブ 1 0 2が暗号化コンテンッ、暗号化タイトルキ一およぴ C C I 2 3 2をメディア 1 0 1へ記録する構成とされている。メディァ 1 0 1に記録されている C C I に対して参照符号 1 1 5を付す。すなわち、ドライブ 1 0 2において、メディアユニークキ一およびコンテンツキ一を生成している。

レコーダを構成するドライブ 1 0 2は、デバイスキー 1 2 1、プロセス MK B 1 2 2、 C 2_G 2 1 4 K D E S (Data Encryption Sta ndard)ェンクリプタ 1 4 2、乱数発生器 1 4 3、 C 2— G 1 4 5、 D E Sェンクリプタ 1 4 6の構成要素を有する。 C 2_G 2 1 4 1は、メディア I Dとメディアキーからメディアユニークキ一を演算するブロックである。 C 2_G 2 1 4 5は、タイトルキーと C C I 2 3 2 とからコンテンツキ一を演算するブロックである。

メディア 1 0 1から再生された MK B 1 1 とデバイスキ一 1 1 1 とがプロセス MKB 1 2 2において演算されることによって、リボケーシヨンされたかどうかの判別ができる。プロセス MKB 1 2 2において、 MKB 1 1 2とデバイスキ一 1 1 1からメディアキーが算出される。 MK B 1 1 2の中にドライブ 1 0 1のデバイスキー 1 1 1が入つておらず、演算された結果が予め決められたある値例えばゼロの値と一致した場合、そのデバイスキ一 1 2 1 を持つドライブ 1 0 2が正当なものでないと判断され、ドライブ 1 0 2がリボケーションされる C 2_G 1 4 1は、メディアキ一とメディア I D 1 1 1 とを演算し、メディアユニークキーを導出する処理である。メディアユニークキ一が D E Sェンクリプタ 1 4 2にてセッションキ一 K sによって暗号化される。暗号化の方式として、例えば D E S C B Cモードが使用される。 D E Sェンクリプタ 1 4 2の出力がホスト 1 0 3の D E Sデクリプ夕 1 5 1に送信される。

ドライブ 1 0 1の乱数発生器 1 4 3によってタイトルキーが生成され、乱数発生器 1 4 3からのタイトルキーがホスト 1 0 3の C 2— E 1 5 3に供給され、タイトルキーがメディアユニークキ一を使用して C 2によって暗号化される。暗号化タイトルキ一 1 1 4がメディア 1 0 1に記録される。

ホスト 1 0 3において、セッションキ一 K sを鍵として MAC演算プロック 1 5 8により C C Iの MAC値 e K s (C C I ) が計算され、 C C I 2 3 2とともにドライブ 1 0 2へ転送される。

ドライブ 1 0 において、ホスト 1 0 3から受け取った C C I 2 3 2からセッションキー K sを鍵として MAC演算プロック 1 5 7により C C Iの MAC値 e K s (C C I ) が計算され、ホスト 1 0 3から受け取った MAC値とともに比較 1 5 9へ供給される。

比較 1 5 9では、両方の MAC値が一致したならば、ホスト 1 0 3 から受け取った C C 1 2 3 2の改ざんは無いものと判断し、スィツチ SW2を〇Nする。一致しなかった場合は、 C C Iは改ざんされたものとみなし、スィッチ SW2を OF Fし、以降の処理を中断する。

ドライブ 1 0 2において、ホスト 1 0 3から受け取った C C I 2 3 2とタイトルキーとが C 2_G 1 4 5に供給され、コンテンツキ一が導出される。コンテンツキーが D E Sェンクリブ夕 1 4 6に供給され、セッションキー K sを鍵として、コンテンツキ一が暗号化される。暗号化コンテンツキ一がホスト 1 0 3の D E Sデクリプタ 1 5 6に転送される。

ホスト 1 0 3の D E Sデクリブ夕 1 5 6でセッションキー K sを鍵として復号されたコンテンツキーが C 2 _ E C B C 1 5 5に供給され、コンテンツキーを鍵としてコンテンツが暗号化される。暗号化コンテンッ 1 1 3がドライブ 1 0 2に転送され、ドライブ 1 0 2によってメディア 1 0 1 に記録される。

第 9図は、レコーダの一実施形態によるコンテンツ記録時の手順を示すものである。最初に、ホスト 1 0 3からの要求に応じてメディア 1 0 1上の M K Bがシークされ、読み出される（ステップ S 6 1 ) 。次のステップ S 6 2の A K E (Authent i cat ion and Key Exchange) において、上述したようなリボーク処理とドライブ 1 0 2 とホスト 1 0 3の相互認証動作がなされる。

相互認証動作は、電源の O N後のディスク検出時並びにディスクの交換時には、必ず行われる。また、記録ボタンを押して記録動作を行う場合、並びに再生ボタンを押して再生動作を行う場合に、認証動作を行うようにしても良い。一例として、記録ボタンまたは再生ボタンを押した時に、認証がなされる。

相互認証が成功しないと、リジェクト処理によって例えば処理が中断する。相互認証が成功すると、ドライブ 1 0 2およびホスト 1 0 3 の両者において、セッションキー K sが生成され、セッションキ一 K sが共有される。

次のステップ S 6 3において、ホスト 1 0 3がドライブ 1 0 2に対してメディアユニークキーを要求する。ドライブ 1 0 2は、メディア 1 0 1のメディア I Dをシークし（ステップ S 6 4 ) 、メディア I D をメディア 1 0 1から読み出す（ステップ S 6 5 ) 。ドライブ 1 0 2 は、メディアキーとメディア I Dとを演算することによってメディアユニークキーを生成する。ステップ S 6 6において、メディァュニークキーがセッションキ一K sによって暗号化され、暗号化されたメディァユニークキーがホスト 1 0 3に転送される。

次に、ステップ S 6 7において、ホスト 1 0 3がドライブ 1 0 2に対してタイトルキーを要求する。ステップ S 6 8において、ドライブ 1 0 2がタイトルキ一をホスト 1 0 3に転送する。ホスト 1 0 3において、セッションキー K sによって、暗号化されたメディアユニークキ一が復号される。そして、タイトルキーがメディアユニークキーによって暗号化され、暗号化タイトルキーが生成される。

また、ステップ S 6 9において、ホスト 1 0 3がドライブ 1 0 2に対して C C I 2 3 2 を送る。このとき、 C C I 2 3 2の改ざんを回避するために C C I 2 3 2の認証デー夕として計算された M A C値 e K s ( C C I ) を付加して転送する。ドライブ 1 0 1において、 C C I 2 3 2の改ざんが無いことを確認後、夕イトルキーと C C I 2 3 2からコンテンツキーが生成され、コンテンツキ一がセッションキ一 K s で暗号化される。ステップ S 7 0において、ホスト 1 0 3がドライブ 1 0 に対してコンテンツキ一を要求すると、ステップ S 7 1 において、ドライブ 1 0 2が暗号化されたコンテンツキ一をホスト 1 0 3にホスト 1 0 3は、暗号化コンテンツキ一をセッションキ一 K sによつて復号し、コンテンツキーを得る。コンテンツキーによってコンテンッが暗号化される。ステップ S 7 2において、ホスト 1 0 3からドライブ 1 0 2に対して、暗号化タイトルキー、暗号化コンテンッおよぴ C C I 2 3 2が転送される。ステップ S 7 3において、ドライブ 1 i w 丄 υί? ί ―

0 2によって、暗号化タイトルキー、暗号化コンテンッおよび C C I 2 3 2がメディア 1 0 1に対して記録される。

上述した第 8図に示す構成のレコーダは、ドライブ 1 0 1において、真正乱数またはそれに近い乱数をドウヱァ例えば L S I によつて発生することができ、生成した乱数を固定値への置き換えを困難とすることができる。また、ドライブ 1 0 2において、ドウヱァ構成によってコンテンツキ一を生成するので、著作権保護の実装を強力とすることができる。

次に、上述した相互認証を行うドライブ 1 0 2 とホスト 1 0 3 とを組み合わせて実現したプレーヤの一実施形態の構成を第 1 0図に示す。一実施形態のプレーヤは、ドライブ 1 0 2が計算したメディアュニ —クキーを相互認証によって生成したセッションキ一 K sを用いてセキュアにホスト 1 0 3に転送し、ホスト 1 0 3が暗号化タイトルキ一をメディアユニークキーによって復号し、タイトルキーと C C I 1 1 5とから導出したコンテンツキ一を用いてコンテンツを復号する構成とされている。

プレーヤを構成するドライブ 1 0 2は、デバイスキ一 1 2 1、プロセス MKB 1 2 2 C 2_G 1 4 K D E Sェンクリブ夕 1 4 2の構成要素を有する。メディア 1 0 1から再生された M KB 1 1 2 とデバイスキ一 1 2 1 とがプロセス MKB 1 2 2において演算されることによって、リボケーシヨンされたかどうかの判別ができる。プロセス MKB 1 2 2において、 MKB 1 1 2 とデバイスキ一 1 2 1からメディアキ一が算出される。

C 2_G 1 4 1は、メディアキーとメディア I D 1 1 1 とを演算し、メディアユニークキーを導出する処理である。メディアユニークキ —が D E Sェンクリプタ 1 4 2にてセッションキ一 K sによって暗号 ■ · , " · \y / ± O O 化される。暗号化の方式として、例えば D E S C B Cモードが使用される。 D E Sェンクリプ夕 1 4 2の出力がホスト 1 0 3の D E Sデクリプ夕 1 5 1 に送信される。

ホスト 1 0 3において、 D E Sデクリブ夕 1 5 1 において、セッシヨンキ一 K sによってメディアユニークキーが復号される。メディアユニークキーおよび暗号化タイトルキ一 1 1 4が C 2 _ D 1 5 3に供給され、暗号化タイトルキーがメディアユニークキ一を使用して復号される。復号されたタイトルキーとメディア 1 0 1 から再生された C C I 1 1 5が C 2— G 1 5 4に供給され、コンテンツキ一が導出される。メディア 1 0 1から再生された暗号化コンテンッ 1 1 3が C 2デクリプ夕 1 5 5において、コンテンツキ一によって復号され、コンテンツキ一が得られる。

第 1 1図は、コンテンツ再生時の手順を示すものである。最初に、ホスト 1 0 3からの要求に応じてメディア 1 0 1上の M K Bがシークされ、読み出される（ステップ S 4 1 ) 。 M K Bがパック毎に読み出される。次のステップ S 4 2の A K Eにおいて、上述したようなリボ ―ク処理と、ドライブ 1 0 2 とホスト 1 0 3の相互認証動作がなされる。

相互認証が成功しないと、リジヱクト処理によって例えば処理が中断する。相互認証が成功すると、ドライブ 1 0 2およびホスト 1 0 3 の両者において、セッションキー K sが生成され、セッションキ一 K sが共有される。

次のステツプ S 4 3において、ホスト 1 0 3がドライブ 1 0 2に対してメディアユニークキーを要求する。ドライブ 1 0 2は、メディア 1 0 1のメディア I Dをシークし（ステップ S 4 4 ) 、メディア I D をメディア 1 0 1から読み出す（ステップ S 4 5 ) 。ドライブ 1 0 2 υ / r \i / Ι Ό ϋ ύ ί は、メディアキーとメディア I Dとを演算することによってメディアユニークキーを生成する。ステップ S 4 6において、メディァュニークキーがセッションキ一 K sによって暗号化され、暗号化されたメディァユニークキーがホスト 1 0 3に転送される。

次に、ステップ S 4 7において、ホスト 1 0 3がドライブ 1 0 2に対して、暗号化タイトルキー、 C C Iおよび暗号化コンテンッを要求する。ステップ S 4 8において、ドライブ 1 0 2が暗号化タイトルキ一 1 1 4、 C C I 1 1 5および暗号化コンテンッ 1 1 3 をメディア 1 0 1からリードする。ステップ S 4 9において、ドライブ 1 0 2が暗号化タイトルキ一 1 1 4、 C C I 1 1 5および暗号化コンテンッ 1 1 3 を読み取る。そして、ステップ S 5 0において、ドライブ 1 0 1が暗号化タイトルキ一 1 1 4、 C C I 1 1 5および暗号化コンテンッ 1 1 3をホスト 1 0 3に対して転送する。

ホスト 1 0 3 において、タイトルキーが復号され、タイトルキーと C C I 1 1 5 とからコンテンツキーが求められ、コンテンツキ一を鍵として暗号化コンテンッが復号される。

第 1 0図に示すプレーヤの構成においては、ホスト 1 0 3が暗号化タイトルキ一を復号するデクリブ夕 C 2 _ D 1 5 3 を備えているが、ドライブ 1 0 2が暗号化タイトルキ一を復号するデクリブ夕を備えるようにしても良い。この場合、復号されたタイトルキーがホスト 1 0 3のコンテンツキ一生成用の C 2— G 1 5 4に対してセキュアに転送される。または、ドライブ 1 0 2にコンテンツキー生成装置 C 2一 G を設け、ドライブ 1 0 2において復号されたタイトルキーと C C I とからコンテンツキーを生成するようにしても良い。この場合、復号されたコンテンツキ一がホスト 1 0 3の C 2— D C B C 1 5 5へセキュァに転送される。にし l/Jド U3/ it>g3 ,ンこの発明のレコーダおよびプレイヤの他の実施形態について、第 1 2図および第 1 3図を参照して説明する。他の実施形態は、メディアユニークキーをドライブで生成するものであり、コンテンツキーを生成する場合に関与するパラメ一夕を使用するもの（C P RMを拡張したシステム）である。

C P RMを拡張したシステムにおいて、メディアユニークキーを演算するためのパラメ一夕 Aと、暗号化/復号のためのパラメ一夕 Bとが使用される。これらのパラメータ A, Bがホスト側にある場合と、ドライブ側にある場合と、メディアに記録されており、ホストが読み出す場合との全てが可能である。パラメータ A， Bをインターフエ一スを介して授受する場合には、暗号化を行い、セキュアに伝送しても良い。

第 1 2図は、レコーダの他の実施形態の構成を示す。第 1 2図において、参照符号 2 0 1が記録可能なメディアを示し、メディア 2 0 1 には、 E KB 2 1 1、暗号化ディスクキ一 Em (K d) 2 1 2、ディスク I D 2 1 3およびュニットキ一生成用値 Vu 2 1 4が記録されている。

第 1 2図中に記載されている鍵情報に関する用語を下記に説明する E K B 2 1 1は、各デバイスキーに対してメディアキ一 Kmを配布するための鍵束である。既述の実施形態におけるメディアキープ口ック MKBに相当する。 .

メディアキ一Kmは、メディア毎に固有の鍵情報である。 EKBの中にメディアキーが見つからない場合は、そのデバイスキーがリボ一クされたことを示す。

ディスクキー Kdは、少なくともコンテンツ毎に異なる鍵情報である。コンテンツのマスタ一ディスク每に異ならせても良い。暗号化デイスクキー Em (Kd) 2 1 2は、メディアキー Kmでディスクキー K dを暗号化した暗号化鍵で、メディア 2 0 1に記録されている。暗号化ディスクキー Em (Kd) 2 1 2は、ドライブ 1 0 2において、個々のメディア毎に異なるェンべディッドキー K eを生成するために使用される。

ュニットキ一生成用値 Vu 2 1 4は、暗号化単位（暗号化ュニットと称する）ごとに定義することが可能なパラメ一夕である。各暗号化ュニットは、複数のセクタデータから構成される。ュニットキ一生成用値 Vu 2 1 4は、ホスト 1 0 3においてコンテンツを暗号化する暗号化鍵としてのュニットキ一 Kuを生成するために使用される。

ディスク I D .2 1 3は、スタンパ毎に異なる I Dである。一実施形態におけるメディァ I D 1 1 1に相当する。

ェンべデイツドキ一 K eは、個々のメディア毎に異なる鍵情報であり、一実施形態におけるメディアユニークキーに相当する。

ドライブ 1 0 2が持つデバィスキ一 2 2 1 と、メディア 2 0 1が持つ EKB 2 1 1とに基づいてプロセス E K B 2 2 2によってメディアキ一 Kmが得られる。メディアキ一 Kmとメディア 2 0 1が持つ暗号化ディスクキー Em (K d ) 1 2とに基づいて A E S— D 2 2 3においてディスクキ一Kdが復号される。ディスクキ一K dとディスク I D 2 1 3とに基づいて A E S_G 2 2 4においてェンべデイツドキ — K eが得られる。

ュニットキ一Kuは、コンテンツを暗号化する鍵であり、ェンべディッドキー Κ Θとュニットキ一生成用値 Vuとコピー制御情報 C C I 2 3 2とに基づいて得られる。ュニットキ一 Kuは、上述の一実施形態におけるコンテンツキーに相当する。 I υ i / u I u O / 丄 υ J 'J * 上述した他の実施形態のレコーダの動作について処理の流れにしたがって説明する。

最初に A K E 2 2 5および 2 2 7による認証がなされる。認証が成功すると、セッションキー K sが生成される。第 1 図では省略されているが、 A K E 2 2 5および 2 2 7の少なくとも一方に対して認証に関係するパラメータが供給されている。

ドライブ 1 0 2は、メディア 2 0 1から E K B 2 1 1 を読み出す。メディア 2 0 1からの E K B 2 1 1 とデバイスキ一 2 2 1がドライブ 1 0 2のプロセス E K B 2 2 で演算され、メディアキ一 K mが算出される。演算結果が例えば 0になるような場合では、デバイスキーがリボークされる。ドライブ 1 0 2が有しているデバイスキー 2 2 1 は、例えば機種単位でドライブに与えられる固有の鍵である。

ドライブ 1 0 2が暗号化ディスクキー E m ( K d ) 2 1 2をメディァ 2 0 1から読み出し、 A E S— D 2 2 3において、メディアキー K mによってディスクキ一K dが得られる。 A E S (Advanced Encrypt i on Standard)は、米国政府が D E Sに代わる新しい暗号化標準として採用した暗号化方法である。

さらに、ドライブ 1 0 2は、メディア 2 0 1からディスク I D 2 1 3を読み出し、 A E S _ G 2 2 4において、ディスク I Dとディスクキー K dを演算し、ェンべディッドキ一 K eを得る。

ドライブ 1 0 2 とホスト 1 0 3の認証が完了し、セッションキ一 K sが得られているならば、ホスト 1 0 3がドライブ 1 0 2に対してェンべディッドキー K eの転送を要求する。

ドライブ 1 0 2がインタ一フヱ一ス 1 0 4 を経由してホスト 1 0 3 に対して eを転送する際に、 A E Sェンクリブ夕 2 2 6にてセッションキー K sにより K eを暗号化する。ホスト 1 0 3は、 A E Sデクリプ夕 1 2 8によって復号を行い、 K eを得る。 AE Sェンクリプ夕 2 2 6および AE Sデクリプタ 2 2 8は、例えば C B C (Cipher Bloc k Chaining)モードの処理を行う。

ホスト 1 0 3は、コンテンツを暗号化ュニット単位で処理する。ホスト 1 0 3は、暗号化ュニットのュニットキ一生成用値 Vu 2 1 4をドライブ 1 0 1から読み出す。 AE S— G 2 2 9において、ェンべデイツドキ一 K eとュニットキ一生成用値 Vu 2 1 4 と C C I 2 3 2 とからュニットキ一 Kuが計算される。ュニットキ一 Kuの生成に C C I 2 3 2を用いることで、コンテンッの著作権がより強固に保護される。

ホスト 1 0 3は、暗号化モジュール 2 3 0において、コンテンッをュニットキ一 Kuで暗号化する。暗号化コンテンツ 1 1 3がドライブ 1 0 2へ伝送され、記録可能なメディア 1 0 1に記録される。

次に、第 1 3図を参照してこの発明の他の実施形態のプレイヤについて説明する。プレイヤは、 ROMタイプのメディア 2 1 0例えば R 〇Mディスクを再生する例である。

R〇 Mタイプのメディア 2 1 0には、予めコンテンツが記録されている。ホスト 1 0 3では、暗号化の処理が不要となり、復号モジュ一ル 2 3 1が使用される。メディア 2 1 0から読み出された暗号化コンテンッが復号モジュール 2 3 1にて復号され、 A Vコンテンツが得られる。

ROMタイプのメディア 2 1 0の場合では、メディアキ一Kmおよびディスクキー K dがコンテンッ毎に固有の鍵情報である。各コンテンッは、 1または複数の暗号化ュニットから構成される。

メディア 2 1 0上にェンべデイツドキ一生成値 V e 1 5が記録されている。ェンべディッドキ一生成値 V e 2 1 5は、ディスク製造ェ場でスタンパ一（フォトレジストを現像したディスク原盤またはディスク原盤から最初に作成されたスタンパ一を意味する） -毎に、記録されたゼロでない値である。物理的ウォータ一マークとして、通常のデータ記録とは、別の手段でディスク上に記録される。

ェンべデイツドキー K eは、一実施形態におけるメディアユニークキーに相当する。ェンべデイツドキー K eを生成するためのェンべディッドキー生成値 V e 2 1 5は、一種のメディア I Dである。

第 1 3図のレコーダは、第 1 2図に示すプレイヤと同様の処理を行う。最初に A K E 2 2 5および 2 2 7による認証がなされ、セッションキー K sが生成される。読み出された E K B 2 1 1 とデバイスキー 2 1がドライブ 1 0 2のプロセス E K B 2 2 2で演算され、メディアキ一 K mが算出とリボーク処理がなされる。そして、 A E S— D 2 2 3において、メディアキ一 K mによってディスクキ一K dが復号される。さらに、 A E S— G 2 2 4において、ェンべデイツドキー K e が得られる。

A E Sェンクリプ夕 2 2 6にてセッションキ一 K sにより K eが暗号化される。ホスト 1 0 3は、 A E Sデクリプタ 2 2 8によつて復号を行い、 K eを得る。

ホスト 1 0 3は、読み出したい暗号化ュニッ卜のュニットキ一生成用値 V u 2 1 4およびコピ一制御情報 C C I をドライブ 1 0 2から読み出し、 A E S _ G 2 2 9において、ュニットキ一 K uが計算されるホスト 1 0 3が要求した暗号化ュニッ卜のセクタデ一夕がホスト 1 0 3の復号モジュール 1 3 1 において、属する暗号化ュニットのュニットキ一 K uで復号される。

この発明では、著作権保護技術に関する秘密情報である電子機器またはアプリケ一シヨンソフトゥヱァ固有の情報例えばデバイスキーが記録再生装置内に実装されているので、 D V D処理装置にィンスト一ルされるアプリケーションソフトゥヱァは、著作権保護技術に関する秘密情報を持つ必要がなくなる。それによつて、ソフトゥヱァのリバースエンジニアリングによる解析に対する耐性を持つことができ、著作権保護技術の安全性を確保することができる。

電子機器またはアプリケーシヨンソフトゥヱァ固有の情報としてのデバイスキーを記録再生装置とデータ処理装置が分けて持つことによつて、記録再生装置およびアプリケーシヨンソフトゥヱァの両方について、リボーク処理を行うことが可能となる。

この発明では、著作権保護技術に関するアルゴリズムの一部例えばメディアユニークキーの演算が記録再生装置内に実装されている。したがって、データ処理装置のアプリケーションソフトウェアは、著作権保護技術に関するアルゴリズムの一部しか持たないで良く、それによって、ソフトウェアのリバースエンジニアリングによる解析に対する耐性を持つことができ、著作権保護技術の安全性を確保することができる。

この発明は、上述したこの発明の一実施形態等に限定されるものではなく、この発明の要旨を逸脱しない範囲内で様々な変形や応用が可能である。例えばタイトルキ一は、タイトル毎のキーであるが、この発明では、乱数情報であれば、タイトル毎に異なることは、必要ではない。

また、上述した説明においては、著作権保護技術として C P R Mおよび C P R Mを拡張した例を挙げたが、 C P R M以外の著作権保護技術に対してもこの発明を適用することができる。例えば、特開 2 0 0 1 - 3 5 2 3 2 2号公報において提案されるッリ一構造の鍵配布構成に基づく著作権保護技術に対して適用可能である。また、 P Cベースのシステムに対してこの発明が適用されるが、このことは、 P Cとドライブを組み合わせる構成にのみ限定されることを意味するものではない。例えば携帯型動画または静止画カメラの場合に、メディアとして光ディスクを使用し、メディアを駆動するドライブとドライブを制御するマイクロコンピュータが設けられる動画または静止画カメラシステムに対してもこの発明を適用することが可能である。

この発明では、再生装置側でコンテンツキ一を生成し、コンテンツキーを情報処理装置へ送信し、情報処理装置側でコンテンツキ一によつてコンテンツを暗号化している。このように著作権保護のための鍵情報の生成を再生装置で行うので、ハードゥヱァ構成でコンテンツキ一を生成することが可能となり、耐タンパ一性を高めることができる。また、再生装置において、乱数を生成し、乱数を中間鍵とするので、再生装置において、真正乱数またはそれに近い乱数をハードゥヱァ例えば L S Iによって発生することができ、生成した乱数を固定値への置き換えを困難とすることができる。このように、この発明では、情報処理装置にインスト一ルされるアプリケーションソフトゥヱァは、著作権保護技術に関する秘密情報の全てを持つ必要がなくなる。それによって、ソフトゥヱァのリバースエンジニアリングによる解析に対する耐性を持たせることが容易に実施でき、また、ディスクからのデータとしてそのまま読み出された暗号化コンテンッが「D e C S S 」のような解読ソフトウヱァにより復号され、平文のままのクリァ - コンテンツとしてコピー制限の働かない状態で複製が繰り返されるような事態を防ぐことができることから、著作権保護技術の安全性を確保することができる。

また、電子機器固有の情報としてのデバイスキーを記録再生装置が持つことによって、記録再生装置自身をリボークすることが可能となる。さらに、この発明では、情報処理装置におけるコンテンツキーを計算するのに必要とされる乱数情報が記録再生装置内の例えば L S I によって生成できるので、 P C内でソフトウェアによって乱数を生成するのと比較して、真正または真正乱数に近い乱数を生成することができる。したがって、乱数が固定値に置き換えられる、等のおそれを少なくできる。

Claims

請求の範囲

1 . 記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と、上記再生装置が伝達部を介して相互認証接続される情報処理装置とを備える信号処理システムであって、

上記再生装置は、

上記中間鍵情報を上記伝達部を介して上記情報処理装置へ送る第 1 の送信部と、

上記コンテンッ情報暗号化鍵を上記伝達部を介して上記情報処理装置へ送る第 1の送信部とを有し、

上記情報処理装置は、

上記コンテンッ情報暗号化鍵によりコンテンツ情報を暗号化するコンテンッ情報暗号化部と、

上記記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて上記中間鍵情報を暗号化する中間鍵情報暗号化部と、暗号化された上記コンテンッ情報および暗号化された上記中間鍵情報とを上記記録媒体に記録する記録部とを有する信号処理システム。

2 . 請求の範囲 1において、

上記再生装置は、

乱数を生成する乱数生成部を有し、

上記中間鍵情報は、

上記乱数生成部により生成された乱数である信号処理システム。

3 . 記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と、上記再生装置が伝達部を介して相互認証接続される情報処理装置とが、上記記録媒体に情報を記録する記録方法であって、上記再生装置は、

中間鍵情報に基づいてコンテンッ情報暗号化鍵を生成する最終暗号化鍵生成ステップと、

上記中間鍵情報を上記伝達部を介して上記情報処理装置へ送る第 1 の送信ステツプと、

上記コンテンッ情報暗号化鍵を上記伝達部を介して上記情報処理装置へ送る第 2の送信ステップとを有し、

上記情報処理装置は、

上記コンテンッ情報暗号化鍵によりコンテンツ情報を暗号化するコンテンッ情報暗号化ステップと、

上記記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて上記中間鍵情報を暗号化する中間鍵情報暗号化ステップと暗号化された上記コンテンッ情報および暗号化された上記中間鍵情報とを上記記録媒体に記録する記録ステップとを有する記録方法。

4 . 請求の範囲 3において、

上記再生装置は、

乱数を生成する乱数生成ステップを有し、

上記中間鍵情報は、

上記乱数生成ステップにより生成された乱数である記録方法。

5 . 記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と、上記再生装置が伝達部を介して相互認証接続される情報処理装置とが、上記記録媒体に情報を記録するプログラムであつて、

上記再生装置に、中間鍵情報に基づいてコンテンツ情報暗号化鍵を生成する最終暗号化鍵生成ステップと、

上記コンテンッ情報暗号化鍵を上記伝達部を介して上記情報処理装置へ送る第 2の送信ステツプとを行わせ、

上記情報処理装置に、

上記記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて上記中間鍵情報を暗号化する中間鍵情報暗号化ステップと暗号化された上記コンテンッ情報および暗号化された上記中間鍵情報とを上記記録媒体に記録する記録ステップとを行わせるプログラム。

6 . 請求の範囲 5において、

上記再生装置に、

乱数を生成する乱数生成ステップを行わせ、

上記中間鍵情報は、

上記乱数生成ステツプにより生成された乱数であるプログラム。

7 . 記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と、上記再生装置が伝達部を介して相互認証接続される情報処理装置とが、上記記録媒体に情報を記録するプログラムを格納した記録媒体であって、

上 Ϊ己再生装置に、

上記中間鍵情報を上記伝達部を介して上記情報処理装置へ送る第 1 の送信ステップと、

上記コンテンッ情報暗号化鍵を上記伝達部を介して上記情報処理装置へ送る第 2の送信ステップを行わせ、

上記情報処理装置に、

上記コンテンッ情報暗号化鍵によりコンテンッ情報を暗号化するコンテンッ情報暗号化ステップと、

上記記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて上記中間鍵情報を暗号化する中間鍵情報暗号化ステップと暗号化された上記コンテンッ情報および暗号化された上記中間鍵情報とを上記記録媒体に記録する記録ステップとを行わせるプログラムを格納した記録媒体。

8 . 請求の範囲 7において、

上記再生装置に、

乱数を生成する乱数生成ステップを行わせ、

上記中間鍵情報は、

上記乱数生成ステップにより生成された乱数であるプログラムを格納した記録媒体。

9。記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出し、伝達部を介して情報処理装置と接続される再生装置であって、中間鍵情報に基づいてコンテンツ情報暗号化鍵を生成する最終暗号化鍵生成部と、

上記中間鍵情報を上記伝達部を介して上記情報処理装置へ送る第 1 の送信部と、上記コンテンッ情報暗号化鍵を上記伝達部を介して上記情報処理装置へ送る第 2の送信部とを有し、

上記コンテンッ情報暗号化鍵によりコンテンツ情報を暗号化するコンテンッ情報暗号化部と、上記記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて上記中間鍵情報を暗号化する中間鍵情報暗号化部と、暗号化された上記コンテンッ情報および暗号化された上記中間鍵情報とを上記記録媒体に記録する記録部とを有する上記情報処理装置と相互認証接続される再生装置。

1 0 . 請求の範囲 9において、

乱数を生成する乱数生成部を有し、

上記中間鍵情報は、

上記乱数生成部により生成された乱数である再生装置。

1 1 . 記録媒体固有の情報をあらかじめ備えた記録媒体から情報を読み出す再生装置と伝達部を介して接続される情報処理装置であって、中間鍵情報に基づいてコンテンツ情報暗号化鍵を生成する最終暗号化鍵生成部と、上記中間鍵情報を上記伝達部を介して上記情報処理装置へ送る第 1 の送信部と、上記コンテンツ情報暗号化鍵を上記伝達部を介して上記情報処理装置へ送る第 2の送信部とを有する上記再生装置と伝達部を介して相互認証接続され、

上記記録媒体固有の情報に基づいて生成される記録媒体固有の鍵情報を用いて上記中間鍵情報を暗号化する中間鍵情報暗号化部と、暗号化された上記コンテンツ情報および暗号化された上記中間鍵情報を上記記録媒体に記録する記録部とを有する情報処理装置。

1 2 . 請求の範囲 1 1において、上記再生装置は、

乱数を生成する乱数生成部を有し、

上記中間鍵情報は、

上記乱数生成部により生成された乱数である情報処理装置。

1 3 . 不正な電子機器を無効化するための第 1の情報と、コンテンツ毎に異なる第 2の情報と、暗号化単位毎に定義可能な第 3の情報と、ス夕ンパ每に異なる識別デ一夕とが記録された記録媒体へ暗号化されたデータを記録する記録部および上記記録媒体に記録されている暗号化されたデータを再生する再生部の少なくとも一方と、

正当な電子機器またはアプリケーシヨンソフトゥヱァにのみ与えられる当該電子機器またはアプリケーションソフトウヱァ固有の第 4の情報が格納される格納部と、

上記第 1の情報と上記第 4の情報とから当該格納された第 4の情報が正当な電子機器またはアプリケ一ションソフトウヱァ固有の情報であるかを判定するリボーク処理部と、

上記リボーク処理部で上記第 4の情報が正当な電子機器またはアブリケ一ションソフトウヱァ固有の情報であると判定された場合に、上記第 1の情報、上記第 4の情報、上記第 2の情報および上記識別デ一夕から、個々の記録媒体毎に固有の中間鍵情報を求める演算部と、上記中間鍵情報を伝達部を介して情報処理装置の最終暗号化鍵生成部へ送る送信部とを有する再生装置。

1 4 . 請求の範囲 1 3において、

上記中間鍵情報に基づいて生成された鍵を用いて、データの暗号化および暗号化されたデ一夕の復号の少なくとも一方を行うデータ処理装置と相互認証を行う認証部と、

上記認証が成立した場合に形成されるセッションキーによつて上記中間鍵情報を暗号化して上記データ処理装置に送出する中間鍵情報暗号化部とを有する記録再生装置。

1 5 . 正当な電子機器またはアプリケーシヨンソフトゥヱァにのみ与えられる当該電子機器またはアプリケーションソフトウヱァ固有の第 4の情報を有するとともに、不正な電子機器を無効化するための第 1 の情報と、コンテンツ毎に異なる第 2の情報と、暗号化単位毎に定義可能な第 3の情報と、スタンパ每に異なる識別データとが記録された記録媒体への暗号化されたデータの記録および上記記録媒体に記録されている暗号化されたデータの再生の少なくとも一方を行う記録再生装置との認証を行う認証部と、

上記記録再生装置から、上記認証が成立した場合に形成されるセッシヨンキーによって暗号化された、上記第 1 の情報、上記第 4の情報、上記第 2の情報および上記識別データから生成された個々の記録媒体毎に固有の中間鍵情報を受け取り、当該中間鍵情報を復号する鍵情報復号部と、

上記記録再生装置から受け取った上記第 3の情報と、復号された上記中間鍵情報から最終暗号化鍵を生成する最終暗号化鍵生成部と、上記最終暗号化鍵による暗号化と上記最終暗号化鍵による復号との少なくとも一方を行う暗号化復号部とを有するデータ処理装置。