WO2005096157A1

WO2005096157A1 - セキュアシステム、セキュアデバイス、端末装置、方法およびプログラム

Info

Publication number: WO2005096157A1
Application number: PCT/JP2005/005817
Authority: WO
Inventors: Akio Higashi; Hiroki Murakami; Katsumi Tokuda
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2004-03-31
Filing date: 2005-03-29
Publication date: 2005-10-13
Also published as: CN1938692A; US20070165854A1; EP1736888A1; JPWO2005096157A1

Abstract

　ＩＣカード３００は、ＩＣカード３００を共用する端末装置か２００らなるドメインに属する端末装置２００に、コンテンツ利用を可能にする暗号鍵を供給し、ＩＣカード３００は、ドメイン外の端末装置２００に対するＩＣカード３００の利用条件を記憶するドメイン外利用条件保持部３０５と、ＩＣカード３００が端末装置２００に装着されたとき、利用条件に従ってＩＣカード３００の利用可否を判定するドメイン外利用可否判定部３０９とを備え、ＩＣカード３００は、さらに、ドメイン外利用可否判定部３０９によって利用可と判定されたとき、ドメイン外の端末装置２００に暗号鍵を供給する。

Description

明細書

セキュアシステム、セキュアデバイス、端末装置、方法およびプログラム技術分野

[0001] 本発明は、端末装置とセキュアデバイスとを含むセキュアシステムであって、例えば、複数のコンテンツ利用装置および ICカードからなるコンテンツまたはライセンスを共有可能な範囲であるドメイン内外でのコンテンツの利用制御をおこなうコンテンツ利用システム、 ICカード、コンテンツ利用装置、方法およびプログラムに関する。

背景技術

[0002] 現行のデジタル放送において、有料放送を契約した会員だけにコンテンツを提供するため、ハードウェア的に耐タンパイ匕されたセキュリティ 'モジュール (例えば IC力ード）を用いて、コンテンツの利用を制御するコンテンツ利用システムがある。このようなシステムでは、 ICカードは、暗号ィ匕コンテンツを復号するために必要な暗号鍵をセキュアに格納し、限定された 1台のコンテンッ利用装置においてコンテンッの復号を可能にする「ペアリング」とよばれる技術がしばしば用いられる。しかし、このようなコンテンッ利用システムにおいては、会員が複数台のコンテンッ利用装置を所有して!/ヽる場合に、特定の 1台でし力 ICカードが使用できないので、不便である。これは、例えば、コンテンツをいつたんハードディスク等に蓄積して、会員が所望する時間に視聴する放送形態 (サーバ型放送と呼ぶ。 )においても、特定の 1台のコンテンツ利用装置でしか ICカードが使用できないと不便である。なお、サーバ型放送規格について ίま、 ARIB (Association of Radio Industries and Businessesノにより発行されている STD— B25などが詳しい。

[0003] また、日本における現行 BSZCSZ地上デジタル放送では、 ICカードとコンテンツ利用装置はペアリングされておらず、 ICカードはどのコンテンツ利用装置であっても利用可能である。しかし、多様なサービスを提供可能なサーバ型放送などにおいては、 ICカードが利用可能なコンテンツ利用装置を限定したい、というニーズは大きいと考えられる。

[0004] このような背景から、複数台のコンテンツ利用装置で ICカードを共用するコンテンツ利用システムが提案されている。例えば、特許文献 1に開示されたコンテンツ利用システムでは、 ICカードを共用する複数のコンテンツ利用装置と複数の ICカードとからなるグループ（以降、ドメインと呼ぶ。）には共通の識別子が割り当てられ、コンテンツ利用装置は同じ識別子が割り当てられた ICカードを利用することができる。

特許文献 1：特表 2001— 518255号公報

発明の開示

発明が解決しょうとする課題

[0005] し力しながら、上記従来技術によれば、 ICカードをドメイン外のコンテンツ利用装置で使用することができないので、ユーザの利便性が悪い場合が発生しうる。例えば、ユーザが友人宅に ICカードを持って行った場合に、友人宅のコンテンツ利用装置では、その ICカードを一時的にでも一切使用するということができないので、極めて利便性が悪くなつてしまう。

[0006] つまり、 ICカードは、その ICカードと同じドメイン以外に属するコンテンツ利用装置に挿入しても、そのコンテンツ利用装置でコンテンツを再生することができない。

[0007] 上記課題に鑑み、本発明は、コンテンツなどの秘匿データの保護を考慮しつつ、ドメイン外のコンテンツ利用装置においてもセキュアデバイスを利用可能にすることで、秘匿データの保護とユーザ利便性の両者のバランスをとるセキュアシステム、セキュアデバイス、コンテンツ利用装置、方法およびプログラムを提供することを目的とする

課題を解決するための手段

[0008] 上記目的を達成するため、本発明のセキュアシステムは、秘匿データを保持するセキュアデバイスと、セキュアデバイスを接続する端末装置とを含むセキュアシステムであって、セキュアデバイスおよび端末装置の何れかに備えられ、セキュアデバイスおよび端末装置のドメインを定義するドメイン情報とを記憶する第 1記憶手段と、セキュアデバイスおよび端末装置の何れかに備えられ、ドメイン外におけるセキュアデバイスの利用条件であるドメイン外利用条件を記憶する第 2記憶手段と、セキュアデバイスおよび端末装置の何れかに備えられ、前記ドメイン情報に従ってセキュアデバイスまたは端末装置が現在ドメイン内であるかドメイン外であるかを判定する第 1判定手段と、セキュアデバイスおよび端末装置の何れかに備えられ、第 1判定手段によってドメイン外であると判定されたとき、前記ドメイン外利用条件に従ってセキュアカードの利用可否を判定する第 2判定手段と、セキュアデバイスおよび端末装置の何れかに備えられ、第 1判定手段によってドメイン内と判定された場合、および、第 2判定手段によって利用可能と判定された場合に、端末装置によるセキュアデバイスの利用を可能にする制御手段とを備える。

[0009] この構成によれば、ドメイン外でのセキュアデバイスの利用条件を示すドメイン外利用条件の範囲内でセキュアデバイスをドメイン外のコンテンッ利用装置でも使用することができるので、ユーザの利便性を向上させることができる。し力も、ドメイン外でのセキュアデバイスの使用は無制限ではなぐドメイン外利用条件によって限定されるので、コンテンツなどの秘匿データの保護を図ることができる。

[0010] ここで、前記第 1記憶手段はセキュアデバイスに備えられ、前記第 1判定手段は、端末装置に備えられ、当該端末装置が現在ドメイン内であるかドメイン外であるかを判定し、前記制御手段はセキュアデバイスに備えられるようにしてもょ、。

[0011] ここで、前記端末装置は、暗号化されたコンテンツを再生するコンテンツ利用装置であり、前記秘匿データは前記コンテンツを復号するための暗号鍵であり、前記制御手段は、セキュアデバイスに備えられ、第 1判定手段によってドメイン内と判定された場合、および、第 2判定手段によって利用可能と判定された場合に、セキュアデバイスカも端末装置に前記秘匿データを供給するようにしてもょ、。

[0012] ここで、前記ドメイン外利用条件は、ドメイン外での（a)コンテンツ再生の回数、（b) コンテンツ利用装置の台数、（c)ドメイン数、（d)有効期限、（e)利用時間、（f)端末 I D数、（g)ドメイン ID数、（h)コンテンツの数および (i)ライセンスの数、の少なくとも 1 つに関するようにしてもよい。

[0013] この構成によれば、ドメイン外利用条件として、例えば、ドメイン外では 3回までコンテンッを利用可能であるとか、ドメイン外のコンテンツ利用装置は 2台（2つの端末 ID )まで利用可能であると力、ドメイン外でのコンテンツ利用は 1つまでであると力、ドメイン外では 4月 1日まで使用可能であるとか、ドメイン外では 2週間使用可能であるとか、ドメイン外では 4月 6日力も使用可能であると力、ドメイン外では 1つのドメイン IDに限定するとか、コンテンツ 2種類まで、ライセンス（暗号鍵) 2つまで等のドメイン外利用条件を設定することができるので、事業者の意向やコンテンツの特性に応じた利用条件を設定することによって、事業者の権利保護とユーザの利便性を十分に調整することができる。

[0014] ここで前記セキュアデバイスは、ドメイン外のコンテンツ利用装置における前記ドメィン外利用条件に基づくコンテンツの利用履歴を示すドメイン外利用履歴を記録する履歴記録手段を備え、前記第 2判定手段は、前記ドメイン外利用履歴が前記利用条件に示される利用可能な範囲を超えな、か否かを判定するようにしてもょ、。

[0015] この構成によれば、第 2判定手段はドメイン外での利用履歴 (以下、ドメイン外利用履歴)とドメイン外利用条件に示される利用可能な範囲とを比較することにより容易に半 U定することができる。

[0016] ここで、第 2記憶手段および第 2判定手段は、前記セキュアデバイスに備えられる構成としてもよい。

[0017] この構成によれば、セキュアデバイス自身が利用可否を判定し、セキュアデバイス内にドメイン外利用履歴を記録するので、コンテンツ利用装置はほぼ従来の構成であっても利用することができる。また、 ICカードなどのセキュアデバイスはハードウェアレベルで耐タンパ化されているので、セキュリティレベルをより向上させることができる。さらに、 ICカードを新しい ICカードに交換することにより、ドメイン外利用条件などを含めたセキュリティの更新が可能となる。

[0018] ここで、第 2記憶手段および第 2判定手段は、前記コンテンツ利用装置に備えられる構成としてちよい。

[0019] この構成によれば、コンテンツ利用装置自身が利用可否を判定し、ドメイン外利用履歴を記録するので、セキュアデバイスはほぼ従来の構成であっても利用することができる。

[0020] ここで、前記セキュアデバイスは、さらに、所定の時期に前記ドメイン外利用履歴を消去する消去手段を備えてもょヽ。

[0021] ここで、前記消去手段は、セキュアデバイスが特定のドメイン内の何れかの前記コンテンッ利用装置のセキュアデバイススロットに挿入されたとき、前記ドメイン外利用履歴を消去するようにしてもょヽ。

[0022] ここで、前記消去手段は、前記セキュアデバイスが特定のドメイン内の特定のコンテンッ利用装置のセキュアデバイススロットに挿入されたとき、前記ドメイン外利用履歴を消去するようにしてもよ、。

[0023] この構成によれば、利用条件に示される利用可能な範囲を全て使用した場合などに、ユーザは再度ドメイン外利用履歴を初期化（リセット）することができる。

[0024] ここで、前記消去手段は、コンテンツ利用装置から消去指示を受信したとき、前記ドメイン外利用履歴を消去するようにしてもょヽ。

[0025] この構成によれば、コンテンツ利用装置においてドメイン外利用履歴を初期化することを帘 U御することができる。

[0026] ここで、前記コンテンツ利用装置は、外部から前記ドメイン外利用履歴の消去指示を受信し、セキュアデバイススロットに挿入されている同一ドメイン内のセキュアデバイスに当該消去指示を送信するようにしてもよい。

[0027] この構成によれば、例えば、事業者つまりコンテンツ配信装置がドメイン外利用履歴の初期化を制御することにより、ドメイン外でのセキュアデバイスの利用をきめ細かく制御することができる。

[0028] ここで、前記コンテンツ利用端末は、外部から新たなドメイン外利用条件を受信する受信手段を備え、前記第 2記憶手段は、前記ドメイン外利用条件を新たなドメイン外利用条件に更新するようにしてもよい。

[0029] この構成によれば、例えば、事業者つまりコンテンツ配信装置が、利用条件の内容を自由に制御することにより、ドメイン外でのセキュアデバイスの利用を動的に、きめ細力べ制御することができる。

[0030] ここで、前記受信手段は、コンテンツ配信サーノから送信されるライセンスに付加されたドメイン外利用条件を受信するようにしてもょヽ。

[0031] この構成によれば、ライセンス毎にコンテンツやライセンスの特性に適したドメイン外利用条件を設定することができる。

[0032] ここで、第 2記憶手段は、デフォルトのドメイン外利用条件を記憶するようにしてもよい。 [0033] この構成によれば、ドメイン外利用条件を事後的に設定する処理を行うことなぐェ場出荷時に予め利用条件をセキュアデバイスに記憶させることができる。

[0034] ここで、前記コンテンツ利用装置は、さら〖こ、セキュアデバイススロットに挿入されたセキュアデバイスからドメイン外利用条件およびドメイン外利用履歴を取得する取得手段と、取得したドメイン外利用条件およびドメイン外利用履歴に基づ!ヽてドメイン外のコンテンツ利用装置における利用状況に関するガイダンスを表示する表示手段とを備えるようにしてもよ、。

[0035] この構成によれば、ユーザはガイダンス表示によって利用状況を把握することができる。

[0036] ここで、前記表示手段は、前記ドメイン外利用履歴が前記ドメイン外利用条件に示される利用可能範囲に達してヽるとき、前記ドメイン外利用履歴の消去を促すガイダンスを表示するようにしてもょヽ。

[0037] この構成によれば、ドメイン外のコンテンツ利用装置ではもはや使用できなくなった場合に、使、慣れな、ユーザでも対処することができる。

[0038] ここで、前記表示手段は、前記ドメイン外利用履歴の消去方法を示すヘルプメッセージを前記ガイダンスとして表示するようにしてもょ、。

[0039] この構成によれば、ドメイン外のコンテンツ利用装置ではもはや使用できなくなった場合に、使、慣れな、ユーザでも消去のための具体的な行動をすることができる。

[0040] ここで、前記表示手段は、前記ドメイン外利用履歴と前記ドメイン外利用条件に示される利用可能範囲との差分が一定以下のとき、その旨を前記ガイダンスとして表示するようにしてちょい。

[0041] この構成によれば、ドメイン外のコンテンツ利用装置では使用できなる前に、ユーザに対して警告することができる。

[0042] ここで、前記コンテンツ利用装置は、さら〖こ、セキュアデバイススロットに挿入されたセキュアデバイスカゝら前記ドメイン外利用条件および前記ドメイン外利用履歴を取得する取得手段と、取得した前記ドメイン外利用条件および前記ドメイン外利用履歴に基づ、てドメイン外のコンテンツ利用装置における利用状況に関するガイダンスを表示する表示手段とを備えるようにしてもょヽ。 [0043] この構成によれば、ドメイン外のコンテンツ利用装置ではもはや使用できなくなった場合に、その旨を警告するので、ユーザがセキュアデバイスの故障などと勘違いすることを防止することができる。

[0044] また、本発明のセキュアデバイス、コンテンツ利用装置、コンテンツ利用方法、プログラムについても上記と同様の作用 ·効果を奏する。

発明の効果

[0045] 本発明のセキュアシステム、セキュアデバイス、コンテンツ利用装置、コンテンツ利用方法、プログラムによれば、利用条件の範囲内でドメイン外のコンテンツ利用装置においてもセキュアデバイスを利用可能にする。よって、コンテンツなどの秘匿データの保護を考慮しつつ、秘匿データの保護とユーザ利便性の両者のノンスをとることができる。

図面の簡単な説明

[0046] [図 1]図 1は、本発明の実施形態 1におけるコンテンツ利用システムの概要を示す図である。

[図 2]図 2は、本コンテンツ利用システムの全体の構成を示すブロック図である。

[図 3]図 3は、コンテンツ蓄積部に蓄積されるコンテンツの一例を示す図である。

[図 4]図 4は、ライセンス情報蓄積部に蓄積されるライセンス情報例を示す図である。

[図 5]図 5は、ドメイン外利用条件蓄積部に蓄積される利用条件例を示す図である。

[図 6]図 6は、ドメイン情報蓄積部に蓄積されるドメイン情報例を示す図である。

[図 7]図 7は、 EMMのデータ例を示す図である。

[図 8]図 8は、端末 ID保持部のデータ例を示す図である。

[図 9]図 9は、ドメイン情報保持部に保持されるドメイン情報例を示す図である。

[図 10]図 10は、ドメイン外利用条件保持部に保持されるドメイン外利用条件例を示す図である。

[図 11]図 11は、ドメイン外利用記録蓄積部に蓄積される利用記録例を示す図である

[図 12]図 12は、ドメイン外利用条件の ICカードへの設定処理についてのフローチヤートを示す図である。 [図 13]図 13は、コンテンツ再生処理についてのフローチャートを示す図である。

[図 14]図 14は、ドメイン外利用記録の消去処理についてのフローチャートを示す図である。

[図 15]図 15は、本発明の実施形態 2におけるセキュアシステムの概要を示す図である。

[図 16]図 16は、端末装置 Taとメモリカードの構成を示すブロック図である。

圆 17]図 17は、ドメイン情報保持部に保持されるドメイン情報の例を示す図である。圆 18]図 18は、ドメイン情報保持部に保持されるドメイン情報の他の例を示す図である。

符号の説明

100 配信装置

101 コンテンツ蓄積部

102 ライセンス情報蓄積部

103 ドメイン外利用条件蓄積部

104 ドメイン外利用条件付加部

105 ドメイン情報蓄積部

106 端末リスト付加部

107 EMM生成部

108 放送信号多重送信部

200 端末装置

201 放送信号受信分離部

202 rノ §Li fe p[5

203 再生部

204 EMM取得部

205 端末 ID読み出し部

206 端末 ID保持部

207 ドメイン外利用条件取り出し部

208 第 1の送受信部 300 ICカード

301 第 2の送受信部

302 ドメイン情報保持部

303 端末 ID取得部

304 ドメイン情報処理部

305 ドメイン外利用条件保持部

306 ドメイン外利用条件取得部

307 ドメイン外利用記録蓄積部

308 ドメイン外利用記録更新部

309 ドメイン外利用可否判定部

発明を実施するための最良の形態

[0048] 本発明のセキュアシステムは、秘匿データを保持するセキュアデバイスと、セキュアデバイスを利用する複数の端末装置とを含む。ユーザがドメイン内の端末装置だけでなぐ条件付きではあるけれどもドメイン外の端末装置でもセキュアデバイスを利用できるように構成されている。ここで、ドメインとは、ライセンスおよびコンテンツを共用する端末装置およびセキュアデバイスの集合を、う。ユーザがドメイン Aに属するセキユアデバイスをドメイン Aに属する端末装置に接続した場合は、当該端末装置は無条件でセキュアデバイスを利用できるだけでなぐドメイン Bに属する端末装置に接続した場合でも、当該端末装置がドメイン外利用条件の範囲内でセキュアデバイスを利用できるように構成されている。実施の形態 1では、セキュアシステムとしてコンテンツ利用システムを、セキュアデバイスとして ICカードを例にとって説明する。

[0049] (実施の形態 1)

図 1は、本発明の実施の形態 1におけるコンテンツ利用システムの概要を示す図である。同図のように、本コンテンツ利用システムは、放送局 100、端末装置 200a〜20 0c、端末装置 200p、 200q、セキュアデバイスとして ICカード 300a〜300cを含み、ユーザがドメイン内の端末装置だけでなぐ条件付でドメイン外の端末装置で ICカードを使用してコンテンツを視聴できるように構成されている。例えば、ユーザがドメイン Aに属する ICカード 300aを、ドメイン Bに属する端末装置 200pに挿入した場合に、ドメイン外利用条件の範囲内で端末装置 200pがコンテンツを再生できる。

[0050] 図 2は、コンテンツ利用システムの全体構成を示すブロック図である。同図のように、本コンテンツ利用システムは、配信装置 100、端末装置 200、 ICカード 300を含む。

[0051] 配信装置 100は、図 1における放送局 100に相当し、コンテンツプロバイダゃサービスプロバイダと呼ばれる事業者であり、限定受信方式および限定再生方式によるサーバ型放送によりセキュアにコンテンツを放送する。この配信装置 100は、コンテンツ蓄積部 101、ライセンス情報蓄積部 102、ドメイン外利用条件蓄積部 103、ドメイン外利用条件付加部 104、ドメイン情報蓄積部 105、端末リスト付加部 106、 EMM生成部 107、放送信号多重送信部 108を備える。

[0052] コンテンツ蓄積部 101は、図 3に示すようなコンテンツデータ 3000を蓄積する。図 3 に示すように、 =3ンテンッデータ 3000は、 =3ンテンッ ID3001と、メタデータ 3002と、暗号化コンテンツ 3003とから成る。コンテンツ ID3001は、デジタルコンテンツ配信システム内において、コンテンツを一意に特定するための IDである。メタデータ 3002 は、コンテンツの内容を説明するデータであり、コンテンツのタイトルやコンテンツの長さ等が記述されている。暗号ィ匕コンテンツ 3003は、音楽データや映像データ等のコンテンツを暗号ィ匕したものである。なお、コンテンツは、音楽データや映像データに限られたものではなぐ電子新聞、電子ブック、電子マップ、電子辞書、静止画、ゲーム、コンピュータ用ソフトウェア等のデジタルコンテンツであってもよい。

[0053] ライセンス情報蓄積部 102は、図 4に示すようなコンテンツの再生に必要なライセンス 400と、暗号化されたライセンス 400の復号に必要なワーク鍵と呼ばれる暗号鍵とを蓄積する。図 4に示すように、ライセンス 400は、ドメイン内の端末装置 200に対するコンテンツの利用条件を示す利用条件 401と、ライセンス 400に対応する暗号化コンテンッの復号を行うためのコンテンツ鍵 402と、ライセンス 400を共用してよいドメインを特定するドメイン ID403と、力もなる。ここで、利用条件 401の一例としては、ライセンス 400に対応するコンテンツを利用可能な回数 (例えば「10回」）や、利用可能な期間（例えば「2004年 4月 1日〜2004年 5月 30日」）などである。なお、同図において、ライセンス 400は、ドメイン ID403を含む代わりに、あるいはドメイン ID403と併せて、それぞれユーザ、端末装置、 ICカードを一意に識別可能な、ユーザ ID、端末装置 ID、 ICカード IDを含むようにしてもよい。なお、ライセンス 400は、コンテンツ ID30 01と関連付けるため、ライセンス 400にコンテンツ ID3001を含めてもよい。ライセンス 400にコンテンツ ID3001を含める代わりに、ライセンス 400を一意に特定するためのライセンス IDなどの識別子をライセンス 400に含めるようにしてもよい。また、ワーク鍵は、事業者と関連付けて蓄積され、定期的に EMMなどにより更新される。

ドメイン外利用条件蓄積部 103は、図 5に示すような、ドメイン外の端末装置に対する複数のドメイン外利用条件をドメイン外利用条件テーブル 500として蓄積する。図 5 に示すように、ドメイン外利用条件テーブル 500は、ユーザ ID501とドメイン外利用条件 502とを対応付けて蓄積する。ユーザ ID501は、本コンテンツ配信システム内において、ユーザを一意に特定する IDである。ユーザ ID501は、コンテンツ配信サ一ビスを受けるために、事業者に会員登録処理をする際に割り当てられる。この会員登録処理は、ユーザが、ネットワーク上で事業者と通信して行われてもよいし、会員登録用書類の送付等、他の方法で行われてもよい。会員登録処理では、まず、事業者力ユーザに対してユーザ ID501を割り当てる。その後、ユーザが所有する端末装置 200の端末 IDが、ネットワークもしくは書類等により事業者に対して通知される。この通知された端末 IDとユーザ ID501とが関連付けられて管理される。また、 ICカー KID,ドメイン IDの割り当ても同様にして、会員登録後随時行われる。ドメイン外利用条件 502は、 ICカード 300をドメイン外の端末装置で使用する条件を定め、コンテンッ再生の回数、利用可能なドメイン外のコンテンツ利用装置の台数、利用可能なドメイン数、有効期限、有効期間、発効時期、最大の利用時間、端末 ID数、ドメイン ID数、コンテンツの数、ライセンス (コンテンツ鍵)の数、などをドメイン外利用条件として定める。例えば、ユーザ ID「USER— ID— 0001」で特定されるユーザに対して「使用可能な端末装置の端末 IDが 3つまで許可」というドメイン外利用条件 502が与えられている。また、ユーザ ID「USER— ID— 0002」で特定されるユーザに対して、「3つ（回）まで許可」とヽぅドメイン外利用条件が与えられてヽる。ユーザ ID ruSER-ID - 0003」で特定されるユーザに対して「初回利用から 1ヶ月経過後無効」、すなわち、ある端末で最初に利用して力もドメイン外で 1ヶ月間は有効、というドメイン外利用条件 502が与えられている。このドメイン外利用条件に示される利用範囲内で、ユーザは、所有している icカードのドメイン外の端末装置でも、コンテンツを利用することが可能になる。なお、ドメイン外利用条件は複数の条件を含んでいてもよい。その場合

、ドメイン外利用条件による利用可否は、複数の条件の AND (複数の条件を全て満たす場合に利用可能)や OR (複数の条件のいずれかを満たす場合に利用可能）により半 IJ定してちよい。

[0055] ドメイン外利用条件付加部 104は、 EMM生成部 107によって生成される EMM (E ntitlement Management Message)にドメイン外利用条件 502を付カ卩する。ここで EMMは、ユーザとの個別の契約情報やコンテンツ鍵を復号するためのワーク鍵などを含むメッセージであり、共通情報（ECM : Entitlement Control Message) と対比して個別情報とも呼ばれる。なお、 ECMは、番組情報やライセンス (コンテンツ鍵)などの全ユーザに共通の情報を含むメッセージである。 EMMはユーザ個別に対して送信されるので、本実施形態におけるドメイン外利用条件付加部 104は、 EMM にドメイン外利用条件 502を付加するものとしている。なお、ドメイン外利用条件付加部 104は、 EMMにドメイン外利用条件 502を付加する代わりに他のメッセージ又は専用のメッセージにドメイン外利用条件 502を付加するようにしてもよい。

[0056] ドメイン情報蓄積部 105は、ドメインを管理するため、ユーザとドメインに属する端末装置及び ICカードとを関連付けるドメイン情報テーブルを有するデータベースであつて、図 6に示すように、ドメイン ID601と、ユーザ ID602と、端末リスト 603と、 ICカードリスト 604を含む。ドメイン ID601はドメインを一意に特定する識別子である。ユーザ I D602は、ドメインを使用するユーザの識別子である。端末リスト 603は、ドメインに属する端末装置 200を示す端末装置 IDの一覧表である。 ICカードリスト 604は、ドメインに属する ICカード 300を特定する ICカード IDの一覧表である。 ICカードリスト 604 は、ドメインに属する ICカードを特定する ICカード IDのリストである。ドメイン情報テーブルへの端末装置 200および ICカード 300の登録は、会員登録後に随時行われる。なお、ドメイン情報テーブルは、ドメイン ID毎に当該ドメインの名称やニックネームを含んでいてもよい。また、ドメインは、端末装置の IDおよび ICカード IDによってドメインを定義 (以下論理的なドメインと呼ぶ。）してもよいし、端末装置の存在する位置によってドメインを定義（以下物理的なドメインと呼ぶ。）してもよい。図 6に示したドメイン情報テーブルは論理的なドメインの一例である。

[0057] 端末リスト付加部 106は、 EMM生成部 107によって生成されユーザの端末装置に送信すべき EMMにドメイン情報蓄積部 105に蓄積されるドメイン情報を付加する。これにより、 EMMを受信した端末装置 200および ICカード 300はドメインの管理を行うことができる。

[0058] EMM生成部 107は、上記の EMMを生成する。生成された EMMには、ドメイン外利用条件付加部 104によってドメイン外利用条件 502が付加され、端末リスト付加部 106によってドメイン情報が付加される。図 7に EMMの一例を示す。同図のように、 E MM700は、ヘッダ部 701、 EMM本体 702、 CRC704力もなり、 MPEG— 2 Syst ems (IEC/IS013818- 1)のプライベートセクション形式のデータである。 EMM 本体 702には、コンテンツ鍵 402を復号するためのワーク鍵、プライベートデータ等の個別的な情報を含む。利用条件 703は、ドメイン外利用条件付加部 104によって E MM本体 702内にプライベートデータとして付カ卩されている。また、 EMM本体 702 には、端末リスト付加部 106によってプライベートデータとして端末リストも付加される。なお、 EMM700は、 ICカード 300固有のマスタ鍵で暗号化される。

[0059] 放送信号多重送信部 108は、 EMM生成部 107によって生成された EMM700と、コンテンツ蓄積部 101からの配信すべきコンテンツ等を多重化し放送する。これによる放送データは、デジタル放送の場合 MPEG— 2トランスポートストリーム（TS :Tran sport Stream)などの形式で送信される。多重化された放送データには、 ECM等のセクション形式の種々のデータも含まれる力本発明と関連が薄いデータについては説明を省略する。

[0060] 次に端末装置 200の構成について説明する。図 2に示すように、端末装置 200は、図 1における端末装置 200a〜200cの代表として 1つだけ図示してある。この端末装置 200は、放送信号受信分離部 201、コンテンツ記憶部 202、再生部 203、 EMM 取得部 204、端末 ID読み出し部 205、端末 ID保持部 206、ドメイン外利用条件取り出し部 207、第 1の送受信部 208および制御部 209を備える。

[0061] 放送信号受信分離部 201は、配信装置 100から送信される放送データを受信し、受信したデータ力コンテンツと、ドメイン外利用条件 502を含む EMM700と、その他の PSlZ SI (Program Specific Information/ Service Information)等のセクション形式のデータとを分離する。

[0062] コンテンツ記憶部 202は、放送信号受信分離部 201によって分離されたコンテンツをパーシャル TSとして記憶する。なお、サーバ型放送の Typell (ファイル型）コンテンッであれば、タイムスタンプ付き TSや JPEGなどを蓄積する。

[0063] 再生部 203は、コンテンツ記憶部 202に記憶されたコンテンツを復号して再生する。コンテンツ記憶部 202に記憶されたコンテンツは暗号ィ匕されているので、再生部 20 3は、コンテンツ鍵と、コンテンツ鍵の暗号ィ匕を解くためのワーク鍵とを用いて復号化（デクリブト）し、さらに MPEG— 2等に準拠した圧縮符号を伸張 (デコード)する。そのため、再生部 203はコンテンツ鍵を ECMから取得する力ワーク鍵は ICカード 300 力も第 1の送受信部 208を介して再生部 203に供給される。

[0064] なお、ここでは、再生部 203がコンテンツ鍵とワーク鍵とを用いて、コンテンツをデクリプトする場合の例を示したが、 ICカード 300に ECMおよび EMMを復号するための ECMZEMM復号部を備え、 ECMZEMM復号部にお!/、て ECMおよび EMM を復号するようにしてもよい。この場合、 ECMZEMM復号部で EMMを復号することによってワーク鍵を取得し、ワーク鍵を ICカード内部で保持する。また、コンテンツを再生する場合には、再生部 203がコンテンツに多重化された ECMを ICカード 300 に送信し、 ECMZEMM復号部がワーク鍵を用いて ECMを復号することによってコンテンッ鍵を取得する。このように取得したコンテンツ鍵は、端末装置 200に送信され、再生部 203において、コンテンツ鍵を用いて暗号化コンテンツを復号する。

[0065] EMM取得部 204は、放送信号受信分離部 201によって分離された EMM700を取得し、 EMM本体 702をドメイン外利用条件取り出し部 207に出力する。

[0066] 端末 ID読み出し部 205は、端末 ID保持部 206に保持された端末装置 200の端末 I Dを読み出して、第 1の送受信部 208を介して ICカード 300に出力する。

[0067] 端末 ID保持部 206は、端末装置 200の端末 m情報を保持する。図 8に、端末 ID 保持部 206が保持する端末情報の一例を示す。図 8の例では、端末 Iひ f青報 800 は、端末装置 200を特定する端末 ID801、端末装置 200のユーザを特定するユーザ ID802、端末装置 200が属するドメインを特定するドメイン ID803を含む。 [0068] ドメイン外利用条件取り出し部 207は、端末装置 200の ICカードスロットにドメイン内の ICカード 300が挿入されて!、る場合、 EMM取得部 204が取得した EMM本体 702からドメイン外利用条件 502や端末リスト 603を取り出して内部に保持し、また E MM本体 702を第 1の送受信部 208を介して ICカード 300に送信する。

[0069] 第 1の送受信部 208は、 ICカードスロットに挿入された ICカード 300と通信するためのインターフェースである。

[0070] 制御部 209は、ドメイン内の ICカード 300から暗号鍵の供給を受けるための制御と、ドメイン外の ICカード 300からも暗号鍵の供給を受けるための制御を行う。ドメイン外の ICカード 300からは、ドメイン外利用条件 502に従って暗号鍵が供給される。

[0071] 続いて ICカード 300の構成について説明する。 ICカード 300は、図 1における IC力ード 300a〜300cの代表として 1つだけ図示してある。図 2に示すように ICカード 300 は、第 2の送受信部 301、ドメイン情報保持部 302、端末 ID取得部 303、ドメイン情報処理部 304、ドメイン外利用条件保持部 305、ドメイン外利用条件取得部 306、ドメイン外利用記録蓄積部 307、ドメイン外利用記録更新部 308、ドメイン外利用可否判定部 309を備える。

[0072] 第 2の送受信部 301は、 ICカード 300が端末装置 200の ICカードスロットに挿入されたときに端末装置 200と通信するためのインターフェースである。

[0073] ドメイン情報保持部 302は、 ICカード 300のドメインに属する端末装置 200を示すドメイン情報を保持する。このドメイン情報は端末 IDリストを含み、 ICカード IDリストは含まなくてもよいし、含んでもよい。図 9に、ドメイン情報保持部 302に保持されるドメイン情報の一例を示す。図 9の例では、ドメイン情報 900は、 ICカード 300が属するドメインを特定するドメイン ID901、 ICカード 300のユーザを特定するユーザ ID902、ドメイン ID901に特定されるドメインに属する端末装置 200を示す端末リスト 903とを含む。なお、合わせて、端末 IDリストや ICカード IDリストの登録数、期間、サイズなどの最大値を管理するようにしても良い。また、このとき、最大値に達した場合は、古いものや、利用頻度が少ないものから削除 Z上書きするようにすると良い。

[0074] 端末 ID取得部 303は、 ICカード 300が挿入された端末装置 200の端末 ID801を取得する。 [0075] ドメイン情報処理部 304は、端末 ID取得部 303に取得された端末 ID801がドメイン情報保持部 302に保持された端末リスト 903に含まれるカゝ否かを判定する。つまり、ドメイン情報処理部 304は、 ICカード 300を装着した端末装置 200がドメイン内の端末装置 200であるの力ドメイン外の端末装置 200であるのかを判定する。

[0076] ドメイン外利用条件保持部 305は、端末装置 200から第 2の送受信部 301およびドメイン外利用条件取得部 306を介して取得されたドメイン外利用条件 502を保持する。図 10に、ドメイン外利用条件保持部 305に保持されるドメイン外利用条件 502の一例を示す。同図での例では、ドメイン外利用条件 1000は、ドメイン外の端末装置 200 におけるコンテンツ利用可能範囲として「3回まで許可」という条件が保持されている。この場合、本 ICカードのユーザは、ドメイン外の端末装置 200において 3回までコンテンッを利用することが可能となる。

[0077] ドメイン外利用条件取得部 306は、端末装置 200から第 2の送受信部 301を介して取得された EMM本体 702からワーク鍵、端末リストおよびドメイン外利用条件 502を取得し、ワーク鍵、端末リストを内部に保持し、ドメイン外利用条件保持部 305に格納する。

[0078] ドメイン外利用記録蓄積部 307は、ドメイン外のコンテンツ利用装置におけるドメイン外利用条件 502に基づヽてコンテンツが利用されたとき、その利用記録をドメイン外利用履歴として蓄積する。図 11に、利用記録の一例を示す。同図の例では、利用記録 1100は、利用日時 1101、 ICカード 300を使用したドメイン外の端末装置 200 を特定する端末 ID1102、そのドメインを特定するドメイン ID1103、利用したライセンスを特定するためのライセンス ID1104、実際に利用した時間を示す利用時間 1105 等を含む。

[0079] ドメイン外利用記録更新部 308は、ドメイン外利用記録蓄積部 307に対して利用記録 (ドメイン外利用履歴)の消去と追加とを行う。具体的には、ドメイン外利用記録更新部 308は、端末装置 200からの消去指示を受けたとき、ドメイン外利用記録蓄積部 307に蓄積された利用記録を端末装置 200に送信した後に全て消去する。利用記録を消去する理由は、ユーザが、再度 ICカード 300のドメイン外での使用を、ドメイン外利用条件の範囲内で可能にするためである。また、ドメイン外利用記録更新部 30 8は、ドメイン外の端末装置 200におけるドメイン外利用条件 502に基づくコンテンツの利用について、その利用記録をドメイン外利用記録蓄積部 307に記録することにより利用記録を更新する。この利用記録は、例えば、図 11に示した利用記録の 1ェントリーである。なお、ここでは、端末装置 200からの消去指示を受けたとき、ドメイン外利用記録蓄積部 307に蓄積された利用記録を、端末装置 200に送信している力必ずしも送信しなくてもよヽ。

[0080] ドメイン外利用可否判定部 309は、ドメイン情報処理部 304によって、 ICカード 300 を装着した端末装置 200がドメイン外の端末装置 200であると判定されたとき、当該端末装置が ICカード 300を利用可能力否力、を判定する。この判定は、ドメイン外利用記録蓄積部 307に蓄積された利用記録が、ドメイン外利用条件に示される利用可能な範囲を超えないか否かによる。さらに、ドメイン外利用可否判定部 309は、利用可能と判定した場合に、その旨を第 2の送受信部 301を介して装着先の端末装置 20 0に通知するとともに、ドメイン外利用条件取得部 306にワーク鍵を端末装置 200に供給するように指示する。このワーク鍵の供給を受けることにより、ドメイン外の端末装置 200において、コンテンツを再生することが可能となる。

[0081] 以上のように構成された本発明の実施の形態 1におけるコンテンツ利用システムについて、以下、その動作を説明する。

[0082] 図 12は、本コンテンツ利用システムにおいて ICカード 300にドメイン外利用条件を設定する処理を示すフローチャートである。同図のように、配信装置 100において E MM生成部 107は EMM700を生成する（S101)。ドメイン外利用条件付加部 104 はドメイン外利用条件蓄積部 103から EMM700の対象となるユーザに対応するドメイン外利用条件 502を読み出して、生成された EMM700に付加する（S102)。放送信号多重送信部 108は、ドメイン外利用条件 502が付加された EMM700を、コンテンッとともに多重化して放送データとして端末装置 200に送信する（S 103)。

[0083] 端末装置 200において、放送信号受信分離部 201は放送データを受信し、 EMM 本体 702を分離する（S201)。分離された EMM本体 702は、さらに EMM取得部 2 04によってドメイン外利用条件取り出し部 207、第 1の送受信部 208を介して ICカード 300に送信される（S202)。 [0084] ICカード 300において、第 2の送受信部 301は EMM本体 702を受信し、ドメイン外利用条件取得部 306にその EMM本体 702出力する（S303)。ドメイン外利用条件取得部 306は、 EMM本体 702からワーク鍵を取り出して内部に保持し、さらに、ドメイン外利用条件 502を取り出して、ドメイン外利用条件保持部 305に格納する（S3 04)。

[0085] このようにして配信装置 100において事業者等が作成したドメイン外利用条件 502 力 EMM700に付加されることにより、端末装置 200を経由して ICカード 300内に設定される。

[0086] 図 13は、 ICカード 300が揷入された端末装置 200において、ユーザが再生開始操作をしたときのコンテンツの再生処理を示すフローチャートである。同図のように、端末装置 200において、端末 ID読み出し部 205は、端末 ID保持部 206から読み出した端末装置 200が保持する端末 ID801を、第 1の送受信部 208を介して ICカード 3 00に送信する（S210)。その後、第 1の送受信部 208が ICカード 300から暗号鍵 (ヮーク鍵)の供給を受けた場合 (S 211 )、再生部 203はワーク鍵を用、てコンテンッ鍵を復号し、復号されたコンテンツ鍵を用いてコンテンツを復号し、さらに平文となったコンテンッを再生する（S 212)。

[0087] 一方、 ICカード 300において、第 2の送受信部 301を介して端末 ID取得部 303は端末 ID801を受信する（S310)。ドメイン情報処理部 304は、端末 ID取得部 303に取得された端末 ID801がドメイン情報保持部 302に保持された端末リスト 903に含まれるか否かを判定することにより、 ICカード 300を装着された端末装置 200がドメイン内の端末装置 200であるのかドメイン外の端末装置 200であるかを判定する（S311) 。ドメイン情報処理部 304によってドメイン内の端末装置 200であると判定された場合、ドメイン外利用条件取得部 306は保持しているワーク鍵を第 2の送受信部 301を介して端末装置 200に供給する（S312)。

[0088] ドメイン情報処理部 304によってドメイン外の端末装置 200であると判定された場合、ドメイン外利用可否判定部 309は、ドメイン外利用条件保持部 305からドメイン外利用条件 502を読み出し (S313)、ドメイン外利用記録蓄積部 307からドメイン外利用履歴 (利用記録 1100)を読み出し（S 314)、当該端末装置 200での ICカード 300の利用可否を判定する（S315)。利用不可と判定された場合、 ICカード 300はこの処理を終わる。利用可能と判定された場合、ドメイン外利用条件取得部 306は保持しているワーク鍵を第 2の送受信部 301を介して端末装置 200に供給する（S316)。さらにドメイン外利用記録更新部 308はドメイン外利用記録蓄積部 307の利用記録を更新する（S317)。この更新のために、ドメイン外利用記録更新部 308は、端末装置 20 0における再生動作の終了したコンテンツについて端末装置 200から再生時間、コンテンッ ID、ライセンス ID等を取得して、利用記録 1100を生成する。さら〖こ、ドメイン外利用記録更新部 308は、更新後の利用記録およびドメイン外利用条件 502を第 2の送受信部 301を介して端末装置 200に送信し、端末装置 200に利用記録をユーザに表示することを指示する（S318)。この指示に従って、端末装置 200では、送信されたコンテンッ外利用条件および利用記録に基づ!/、てドメイン外の端末装置 200における利用状況に関するガイダンスを表示するようにしてもょヽ。

[0089] このような処理より、ユーザが ICカード 300をドメイン外の端末装置 200に挿入した場合でも、ドメイン外利用条件の範囲内で当該端末装置 200にお、てコンテンツを視¾することができる。

[0090] 図 14は、端末装置 200及び ICカード 300における利用記録の消去処理を示すフローチャートである。端末装置 200において、第 1の送受信部 208は ICカードスロットに ICカード 300が新たに挿入された力どうかを判定する（S220)。新たに挿入されたと判定された場合、第 1の送受信部 208は、端末 ID読み出し部 205によって端末 ID 保持部 206から読み出された端末 ID801を送信するとともに、 ICカード 300から送信される ICカード IDを受信する（S221)。その後、第 1の送受信部 208が ICカード 300 から利用記録 1100を受信した場合 (S222) (端末装置 200と ICカード 300とが同じドメインに属する場合）、制御部 209は、第 1の送受信部 208を介して ICカード 300に利用記録 1100の消去指示を送信する（S223)。さらに、制御部 209は、利用記録 1 100に基づ、てドメイン外の端末装置 200における利用状況に関するガイダンスを表示する（S224)。

[0091] 一方、 ICカード 300において、第 2の送受信部 301は ICカードスロットに ICカード 3 00が新たに挿入された力どうかを判定する（S320)。新たに挿入されたと判定された場合、第 2の送受信部 301は、 ICカード IDを端末装置 200に送信するとともに、端末装置 200から送信される端末 ID801を受信する（S321)。さらにドメイン情報処理部 304は、第 2の送受信部 301および端末 ID取得部 303を介して受信された端末 ID8 01と、ドメイン情報保持部 302に保持された端末リスト 903とを比較して、 ICカード 30 0を装着した端末装置 200がドメイン内の端末装置 200であるのかドメイン外の端末装置 200であるかを判定する（S322)。ドメイン外と判定された場合、 ICカード 300はこの消去処理を終わる。ドメイン内と判定された場合、ドメイン外利用記録更新部 308 は、ドメイン外利用記録蓄積部 307から利用記録を読み出して（S323)、第 2の送受信部 301を介して端末装置 200に送信する（S324)。さらに、第 2の送受信部 301が端末装置 200から消去指示を受信した場合 (S325)、ドメイン外利用記録更新部 30 8はドメイン外利用記録蓄積部 307内の利用記録 1100を消去する（S326)。

[0092] このような消去処理により、ドメイン外の端末装置 200で ICカード 300を使用しきつた場合 (ドメイン外利用条件が許す範囲を消耗した場合)に、二度と使用できなくなる事態を避けることができる。また、ドメイン外利用条件の許す範囲の全てを使いきつていない場合でも、ドメイン外利用条件の許す範囲を回復することができる。消去処理をドメイン内の端末装置 200に ICカード 300が挿入された場合に行っているのは、ュ一ザがドメイン外の端末装置 200で長期間にわたって (あるいは何度も繰り返し) IC カード 300を使用することを防止している。これにより、ユーザはドメイン内の端末装置 200での ICカード利用を原則としつつ、例外的にドメイン外の端末装置 200で IC カード 300を使用することを可能にして、る。

[0093] 以上説明してきたように、本発明の実施の形態 1におけるコンテンツ利用システムによれば、ユーザはドメイン外利用条件の範囲内で、 ICカード 300をドメイン外の端末装置 200でも使用することができるので、ユーザの利便性を向上させることができる。し力も、ドメイン外での ICカード 300の使用は無制限ではなくドメイン外利用条件 502 によって制限されるので、コンテンツを提供する事業者の権利保護を図ることができる。

[0094] また、ドメイン外利用履歴の消去処理を適宜行うことにより、ユーザがドメイン内の端末装置 200で ICカード 300を利用することを原則としつつ、例外的にドメイン外の端末装置 200で ICカード 300を使用することを可能にしている。

[0095] 次に、本実施の形態におけるコンテンツ利用システムの変形例について説明する。

[0096] なお、上記実施の形態 1では、ドメイン外利用記録更新部 308とドメイン外利用可否判定部 309は ICカード 300内に備えられている力これらのいずれかを端末装置 200内に備える構成としてもよい。前者の場合は、既存の端末装置 200に対して少ない変更量で本発明を適用することでき、後者の場合は、既存の ICカード 300に対して少ない変更量で本発明を適用することができる。また、端末装置 200および IC力ード 300の両方に備える構成としても良、。

[0097] なお、上記実施の形態では、デジタル放送の EMMを用いてドメイン外利用条件を ICカード 300に設定する場合の例を示した力これに限られるものではなぐデジタル放送の ECM (Kc伝送用 ECM、 ECM— Kw、 ECM-Kc)や ACI (Account Co ntrol Information)、 Kc伝送用 EMM、グループ宛て EMMなどを用いてドメイン外利用条件を ICカード 300に設定してもよいし、インターネットなどの通信経由で設定しても良い。また ICカード 300に限らず、端末装置 200に設定するようにしても良い。

[0098] また、上記実施の形態では、 ICカード 300が同じドメイン内のどの端末装置 200の I Cカードスロットに挿入されたときでも、前記利用記録を消去するが、同じドメイン内の特定の端末装置 200の ICカードスロットに挿入されたときのみ消去するように構成してもよい。その場合、図 14のステップ S223における消去指示の送信は、端末 ID80 1と ICカード IDなどを用いて、特定の端末装置 200のみが行い、他の端末装置 200 は行わな、ように構成すればょ、。

[0099] さらに、特定ドメインの特定端末装置 200が、ドメイン内かドメイン外かに関わらず I Cカードに消去指示を送信するようにしてもょヽ。

[0100] また、上記実施の形態では、 ICカード 300を端末装置 200の ICカードスロットに揷入したときにドメイン外利用履歴を消去するようにした力これに限らず、端末装置 20 0あるいは ICカード 300にお!/、て、コンテンツやライセンスを利用した時点でドメイン外利用履歴を消去するようにしても良い。このときのコンテンツやライセンスは、特定コンテンツや特定ライセンスに限定してもよい。 [0101] また、ドメイン外利用記録更新部 308は、端末装置 200からの消去指示がなくても、利用記録 1100を消去するようにしてもよい。例えば、 1ヶ月に 1回など、定期的に消去したり、ドメイン内の端末装置 200でのコンテンツ利用が N回（例えば 10回）なされる毎に消去するようにしてもよい。この場合、消去の頻度をドメイン外利用条件 502の程度に応じて定めればよい。なお、この場合の消去の頻度を、ドメイン外利用条件 50 2で指定するようにしてもょヽ。

[0102] また、ドメイン外利用履歴の消去にあたっては、通信や放送を介して、配信装置 10 0が消去指示をおこなうようにしても良い。この場合、 ICカード 300がドメイン内の端末装置 200に挿入されている場合のみに、ドメイン外利用履歴を消去するようにしても良い。

[0103] なお、上記実施の形態では、ドメイン外利用条件 502は配信装置 100から端末装置 200を介して ICカード 300に設定されている力ドメイン外利用条件保持部 305はデフォルト（あら力じめ出荷時などに設定されていてもよいし、または、特定の方法により内部で生成してもよヽ）のドメイン外利用条件を保持するようにしてもょヽし、端末装置 200がデフォルトで保持するドメイン外利用条件の設定を受けるようにしてもょヽ

[0104] また、図 13のステップ S318における利用記録 1100の表示指示を受けて、端末装置 200は、次のようなガイダンス表示をしてもよい。

[0105] (a)ドメイン外利用条件およびドメイン外利用履歴 (利用記録）に基づ!/ヽてドメイン外の端末装置 200における利用状況に関するガイダンス、

[0106] (b)利用記録がドメイン外利用条件に示される利用可能範囲に達して、るとき、利用記録の消去を促すガイダンス、

[0107] (c)利用記録の消去方法を示すヘルプメッセージ記したガイダンス (例えば、「端末装置 AAAに ICカードを挿入して消去してくださ、」 )、

[0108] (d)利用記録とドメイン外利用条件に示される利用可能範囲との差分が一定以下のとき、その旨示すガイダンス (例えば、「ドメイン外ではあと 1回だけ利用可能」「ドメイン外ではコンテンツ Aのみ利用可能」「ドメイン外ではドメイン Bでのみ利用可能」など） [0109] (e)利用記録とドメイン外利用条件に示される利用可能範囲との差分を示すガイダンス、

[0110] (f)利用記録がドメイン外利用条件に示される利用可能範囲に達したとき、その旨をガイダンス (例えば「これ以上ドメイン外では利用できません」）、

[0111] (g)利用記録とドメイン外利用条件に示される利用可能範囲との差分が小さくなるに連れて、ガイダンス表示の大きさおよび色の少なくとも一方を変化させる、

[0112] (h)利用状況に応じて端末装置 200に備えられた発光部および音声出力部の少なくとも一方の出力態様をガイダンスとして変化させる、

[0113] (i)外部から更新可能なスケジュールに従ってガイダンスを表示すること (例えば 1ケ月ごと、起動時、 ICカード IDの登録時 Z削除時、 ICカードの挿入時など）、

[0114] (j) ICカードの状態を示すガイダンス (例えば、 ICカード内の記憶容量、そのうちの空き容量、設定されているプロファイル (ユーザ ID、ドメイン、 ICカード IDなど）、保持されているライセンス数 (コンテンツ鍵あるいはワーク鍵数）、コンテンツを保持するための空き容量など）

[0115] (k) ICカード 300と端末装置 200とが異なるドメインに属する旨のガイダンス。

[0116] なお、上記（a)〜（k)のメッセージ表示は、ユーザ操作に基づいて行うようにしても良い。さらに、端末装置 200または ICカード 300が属するドメイン IDまたはドメイン名称を表示するようにしても良い。また、あるドメインに属する端末装置 200または IC力ード 300の一覧を表示するようにしても良い。これらの表示タイミングは、端末装置 20 0の起動時、 ICカード 300の挿抜時、端末装置 200または ICカード 300のドメインへの登録 Zドメインからの削除時、端末装置 200と ICカード 300の属するドメインが異なる場合、などが考えられる。

[0117] また、ドメインへの端末装置 200または ICカード 300の登録 Z削除を促すメッセ一ジを表示するようにしても良、。

[0118] また、図 14のステップ S222において消去指示を送信しない場合に、ステップ S22 4にお、て上記（a)〜（k)のガイダンス表示を行ってもよ!、。

[0119] また、端末装置 200または ICカード 300は、上記各ガイダンス用の複数メッセージを予め記憶する記憶部を有していてもよいし、デジタル放送や通信経由で、放送局 1 01から動的に更新できるようにしても良い。あるいは、ユーザ設定によって更新できるようにしても良い

[0120] なお、図 13のステップ S316において、 ICカード 300は、コンテンツ鍵を供給するようにしてもよい。また、ワーク鍵を供給しないで利用可能というメッセージだけを応答することにより、端末装置 200と ICカード 300の組で利用可能かどうかを確認する手段として用いてもよい。

[0121] また、ドメインを構成する端末装置 200または ICカード 300において、ドメインへの所属を有効期限で管理するようにしてもょ、。

[0122] また、上記発明の実施形態では、全ての端末装置 102および ICカード 300において、ドメイン外利用条件 502による制御を適用する場合の例を示した力このような制御の対象外である端末装置 200、 ICカード 300、もしくは、複数の端末装置 200あるいは ICカード 300で構成するグループを設けるようにしても良、。

[0123] なお、端末装置 200または ICカード 300でライセンス管理する場合に、ドメイン内で取得したライセンスとドメイン外で取得したライセンスとを区別するようにしてもょ、。また、端末装置 200または ICカード 300は、ドメイン外でのライセンスの取得を抑制するようにしても良い。但し、ここでのライセンスとは、少なくとも、コンテンツの利用条件とコンテンツ鍵とを含むデータ構造のことを指す。

[0124] また、ドメイン外利用条件保持部 305は、複数のドメイン外利用条件 502を保持してもよいし、この場合に、ドメイン外利用可否判定部 309が状況に応じて選択するようにしてもよい。例えば、ドメイン毎やコンテンツ毎にドメイン外利用条件 502を選択すればよい。また、ドメイン外利用可否判定部 309が複数のドメイン外利用条件 502を選択し、アンド条件またはオア条件として判定してもよ!/、。

[0125] さらに、ドメイン外利用可否判定部 309は、状況に応じて、ドメイン外利用条件を厳しくまたは緩く解釈して、利用可否を判定するようにしてもよい。このときのドメイン外利用条件 502の解釈は、例えば、ドメイン外利用条件を示す数値を 5割増しや 5割引きした数値に換算すればよい。また、上記状況とは、端末装置 200または ICカード 3 00が保持するライセンス、コンテンツ、プログラムや、加入しているサービス、端末装置 200や ICカード 300の種類 Z機能（グレード）、または、ユーザ操作などを含むものとする。 [0126] また、同一ドメインに属する端末装置 200あるいは ICカード 300の間で、連携することにより、ドメイン外利用条件やドメイン外利用履歴を共有、交換するようにしても良い

[0127] また、上記実施の形態では、端末装置 200と ICカード 300とをバインドする場合の例を示したが、本発明は、端末装置 200上で動作する特定プログラムを ICカード 30 0とをバインドする場合や、端末装置 200と ICカード 300上の特定プログラムとをバインドする場合や、端末装置 200上の特定プログラムと ICカード上の特定プログラムとをバインドする場合にも適用することができるのは言うまでもない。

[0128] なお、上記実施の形態では、放送局 100で端末装置 200と ICカード 300のドメイン制御（ドメイン登録 Z削除)をおこなう場合の例を示したが、放送局 100でドメイン制御をおこなわず、全てローカルでおこなう方法も可能であるし、端末装置 200同士または ICカード 300同士のドメイン制御は放送局 100で行うものの、端末装置 200と IC カード 300のドメイン制御、端末装置 200と ICカード 300の組の利用可否制御については、ローカルでおこなう方法も可能である。具体的には、

[0129] (A)共通情報 (暗号鍵や IDなど)を保持する端末装置 200と ICカード 300を同一ドメインとする。共通情報の設定 Z削除は、デジタル放送や通信でおこなってもよいし、ローカルで行ってもよ!ヽ。

[0130] (B) ICカード 300を端末装置 200に最初に挿入したときに自動的にドメイン登録をおこなう。ドメイン登録の方法は、共通情報を共有する方法でも良いし、端末 IDリストまたは ICカードリストに、端末 IDまたは ICカード IDを追加する方法でも良い。

[0131] (C)最初にコンテンツまたはライセンスを、利用または取得した端末装置 200と IC力ード 300を同一ドメインとする（ドメイン登録する）。

[0132] (D)端末装置 200への ICカード 300の挿抜回数、挿入期間で制御する。なお、この場合、端末装置 200への ICカード 300の挿入時や端末装置 200の電源投入時などの、コンテンツを利用するタイミング以外に、ドメイン外利用条件判定を行うようにしてちょい。

などがあげられる。

[0133] また、ドメイン制御について、 ICカード 300で保持するライセンスあるいはコンテンツに応じて、端末装置 200と ICカード 300とのノインドを変更するようにしても良いし、利用するライセンスあるいはコンテンツによっても、端末装置 200と ICカード 300とのバインドを変更するようにしても良、。

[0134] また、端末装置 200同士または ICカード 300同士が構築するドメインに連動して、端末装置 200と ICカード 300との間のドメイン制御 (利用可能な組の制御）をおこなうようにしても良い。

[0135] また、ドメイン制御に必要な情報 (共通情報や端末 IDリスト、 ICカードリスト）は、ホームネットワークに属する他の端末装置 200あるいは ICカード 300から取得 Z同期するようにしてちょい。

[0136] また、ドメイン制御に必要な情報は、デジタル放送や通信経由で、放送局 101から動的に指示できるようにしてもよぐ特に、放送局 101からのドメインへの登録 Z削除指示を受信した時点で、端末装置 200に挿入されて、る ICカード 300と関連付けをおこなうようにしてもよい。通信の場合は、 SAC (Secure Authenticated Chann el)により、セキュアに登録 Z削除をおこなえばよい。

[0137] (実施の形態 2)

本実施の形態におけるセキュアシステムは、企業内あるいは家庭内のシステムなどに本発明を適用する場合について説明する。また、ドメインは、端末装置の存在する位置などによって定義された物理的なドメインを用いる例を説明する。

[0138] 図 15は、本発明の実施の形態 2におけるセキュアシステムの概要を示す図である。

同図のように、本セキュアシステムは、端末装置 Ta〜Tc、端末装置 Tp、 Tq、セキュアデバイスとしてメモリカード Ca〜Ccを含み、ユーザがドメイン内の端末装置だけでなぐ条件付でドメイン外の端末装置でメモリカードを使用できるように構成されている。

[0139] 同図のドメイン C、 Dは、物理的に定義されたドメインであり、例えば、企業内の事業所と事業所 B、 A棟と B棟、部署 Aと部署 B、学校内の校舎 Aと校舎 B、 1学年の教室と 2学年の教室、ネットワーク Aに接続された端末群とネットワーク Bに接続された端末群、などである。

[0140] 端末 Taは、パーソナルコンピュータ!^、モパイル機器 (携帯電話機、 PDAなど)などであり、メモリカードにセキュアに秘匿データを読み書きする。また、実施の形態 1 に示したコンテンツ利用端末や、セキュリティモジュール (ICカード)を利用してデジタル放送を受信するためのセットトップボックス、デジタル TV、 DVDレコーダ、ハードデイスタレコーダ、パーソナルコンピュータなどのコンテンツ再生装置、記録装置）であつてもよい。他の端末 Tb等についても同様である。

[0141] メモリカード Caは、秘匿データをセキュアに保持するセキュアデバイスの一種である。例えば、 SDカード、メモリスティックといったセキュリティ保護機能付きメモリカードや、 smartSDカード、 MOPASS (MObile PASS port)カードといった ICカード機能付きメモリカードなどがある。秘匿データは、コンテンツの暗号鍵に限らず、機密文書や、暗号ィ匕されたコンテンツ (動画、音声、静止画など)などである。

[0142] 図 16は、端末装置 Taとメモリカードの構成を示すブロック図である。同図の端末装置 Taは、図 2の端末装置 200と比較して、放送信号受信分離部 201、コンテンツ記憶部 202、再生部 203、 EMM取得部 204が削除されている点と、 GPS部 210が追加されている点と、端末 ID読み出し部 205の代わりに読み出し部 205aを備える点と、ドメイン外利用条件取り出し部 207の代わりにドメイン外利用条件記憶部部 207aを備える点とが異なる。また、同図のメモリカード Caは、図 2の ICカード 300と比較して、ほぼ同様に構成されているが、ドメイン情報保持部 302に保持されるドメイン定義情報が異なっている。以下、同じ点は説明を省略して異なる点を中心に説明する。

[0143] GPS部 210は、 GPS (Global Positioning System)システムから端末装置の位置を検出する。検出される位置は、緯度、経度、高度などで表される。

[0144] 読み出し部 205aは、端末 ID読み出し部 205の機能にカ卩えて、 GPS部 210によつて検出された位置を示す情報を、端末 IDと共に第 1の送受信部 208を介してメモリ力ード Caに出力する。

[0145] ドメイン外利用条件記憶部 207aは、ドメイン外利用条件を保持する。ドメイン外利用条件は実施の形態 1と同様である。

[0146] ドメイン情報保持部 302は、物理的に定義されたドメインを示すドメイン情報を保持する。

[0147] 図 17は、ドメイン情報保持部 302に保持されるドメイン情報の例を示す図である。同図のドメイン情報は、図 9のドメイン情報と比較して、端末リストの代わりにドメイン定義データとして位置情報の組みが設定されている。例えば、位置情報の組みによつて囲まれる範囲に存在する端末装置はドメイン内と判定される。位置情報に高さが含まれる場合は 3次元の範囲としてドメインが定義される。なお、位置情報と半径の組みによってドメインが定義されてもょ、。

[0148] 図 18は、ドメイン情報保持部 302に保持されるドメイン情報の他の例を示す図である。同図のドメイン定義データは、ネットワーク IDを含む。この場合、ネットワーク IDで特定されるネットワークに接続されていること端末装置は、ドメイン内と判定される。

[0149] 本実施の形態におけるセキュアシステム力会社の構内をドメインとする端末装置と、機密文書を保持するメモリカードとに適用される場合について説明する。

[0150] ユーザは原則として、会社の構内（ドメイン）において、会社の機密文書 (秘匿データ）をメモリカード (セキュアデバイス）に記録し、会社が認定したセキュリティ対策済 P C (端末装置 Ta)で機密文書を利用する。会社の構内であることは、 GPS部 210により検出される位置に基づいて、ドメイン内であるかドメイン外であるかが判定される。ドメイン内かドメイン外かの判定の結果、会社の構内であれば、機密文書を自由に利用可能だが、会社の構内でない場合は、メモリカード Caに記録しておいた時間制限 Z回数制限 (ドメイン外利用条件）により、機密文書へのアクセスが限定されるが、例外的に利用可能となる。

[0151] ドメイン外利用条件を使い切ってしまった場合、会社の構内でメモリカードを端末装置 Taに挿入し、ドメイン内であることを確認できた時点で、ドメイン外利用条件がリセットされ、再度ドメイン外で利用可能な状態となる。

[0152] なお、物理的なドメイン定義は、例えば、 GPSの利用により事前に登録された範囲、無線 LAN、 RFID (無線タグ)等の電波を受信できる範囲、特定ネットワークに接続されていることが確認できる端末装置、特定端末など力音や光が届く範囲、などとしてもよい。また、論理的なドメイン定義は、端末装置 IDZセキュアデバイス IDのリスト以外でもよぐ例えば、ドメイン鍵、ドメイン、リージョンコード、セキュアデバイスの挿抜回数 Z時間等で定義してもよい。また、これらは秘密にしていてもよい。

[0153] また、端末装置とセキュアデバイスとが同じドメインに属するかを判定する代わりに、端末装置とセキュアデバイスのそれぞれにつ、て自身のドメインに属して、るかを判定するようにしてもよい。この判定の結果、一方のみがドメインに属している場合には

、セキュアデバイスの利用可否判定をセキュアに行うため、端末装置とセキュアデバイスとの間で相互認証を行ってもよ!、。

[0154] なお、ドメイン情報保持部 302は、 ICカード Caだけでなく端末装置 Taに備えられてもよいし、端末装置 Taのみに備えられてもよい。

[0155] また、端末装置 Ta等は、図 2の端末装置 200に示した放送信号？受信分離部 201 やコンテンツ記憶部 202を備え、外部からコンテンツ等を受信および記憶する構成であってもよい。

[0156] なお、端末装置 Ta等は、必ずしも端末 IDを保持しなくてよぐ端末 ID読み出し部 2 05を備えていなくてもよぐまた、端末 IDをメモリカード Ca等に送信しなくてもよい。

[0157] また、実施の形態 1のコンテンツ利用システムの各種変形例は、本実施の形態のセキュアシステムにも同様に適用できることはいうまでもない。

産業上の利用可能性

[0158] 本発明は、端末装置とセキュアデバイスとを含むセキュアシステムに適している。特に、セキュアデバイスを共用するコンテンッ利用装置からなるドメインに属するコンテンッ利用装置にコンテンッ利用を可能にする暗号鍵を供給するセキュアデバイスを利用するコンテンツ利用システム、セキュアデバイス、コンテンツ利用装置、方法およびプログラムに適していて、例えば、セキュリティモジュール (ICカード）を利用してデジタル放送を受信するためのセットトップボックス、デジタル TV、 DVDレコーダ、ハードディスクレコーダ、ノーソナルコンピュータなどのコンテンツ再生装置、記録装置あるいはこれらの複合機器等に適して、る。

Claims

請求の範囲

[1] 秘匿データを保持するセキュアデバイスと、セキュアデバイスを接続する端末装置とを含むセキュアシステムであって、

セキュアデバイスおよび端末装置の何れかに備えられ、セキュアデバイスおよび端末装置のドメインを定義するドメイン情報とを記憶する第 1記憶手段と、

セキュアデバイスおよび端末装置の何れかに備えられ、ドメイン外におけるセキュアデバイスの利用条件であるドメイン外利用条件を記憶する第 2記憶手段と、

セキュアデバイスおよび端末装置の何れかに備えられ、前記ドメイン情報に従ってセキュアデバイスまたは端末装置が現在ドメイン内であるかドメイン外であるかを判定する第 1判定手段と、

セキュアデバイスおよび端末装置の何れかに備えられ、第 1判定手段によってドメイン外であると判定されたとき、前記ドメイン外利用条件に従ってセキュアデバイスの利用可否を判定する第 2判定手段と、

セキュアデバイスおよび端末装置の何れかに備えられ、第 1判定手段によってドメイン内と判定された場合、および、第 2判定手段によって利用可能と判定された場合に、端末装置によるセキュアデバイスの利用を可能にする制御手段と、

を備えることを特徴とするセキュアシステム。

[2] 前記端末装置は、暗号化されたコンテンツを再生するコンテンツ利用装置であり、前記秘匿データは前記コンテンツを復号するための暗号鍵であり、

前記制御手段は、セキュアデバイスに備えられ、第 1判定手段によってドメイン内と判定された場合、および、第 2判定手段によって利用可能と判定された場合に、セキユアデバイス力端末装置に前記秘匿データを供給する

ことを特徴とする請求項 1記載のセキュアシステム。

[3] 前記ドメイン外利用条件は、ドメイン外での（a)コンテンツ再生の回数、（b)コンテンツ利用装置の台数、（c)ドメイン数、（d)有効期限、（e)利用時間、（f)端末 ID数、（g)ドメイン ID数、（h)コンテンツの数および (i)ライセンスの数、の少なくとも 1つに関することを特徴とする請求項 2記載のセキュアシステム。

[4] 前記セキュアデバイスは、ドメイン外のコンテンッ利用装置における前記ドメイン外利用条件に基づくコンテンッの利用履歴を示すドメイン外利用履歴を記録する履歴記録手段を備え、

前記第 2判定手段は、前記ドメイン外利用履歴が前記利用条件に示される利用可能な範囲を超えな、か否かを判定する

ことを特徴とする請求項 2記載のセキュアシステム。

[5] 第 2記憶手段および第 2判定手段は、前記セキュアデバイスに備えられる

ことを特徴とする請求項 2記載のセキュアシステム。

[6] 第 2記憶手段および第 2判定手段は、前記コンテンツ利用装置に備えられる

ことを特徴とする請求項 2記載のセキュアシステム。

[7] 前記コンテンツ利用装置は、外部力新たなドメイン外利用条件を受信する受信手段を備え、

前記第 2記憶手段は、前記ドメイン外利用条件を新たなドメイン外利用条件に更新する

ことを特徴とする請求項 2記載のセキュアシステム。

[8] 前記受信手段は、コンテンツ配信サーノから送信されるライセンスに付加されたドメイン外利用条件を受信する

ことを特徴とする請求項 7記載のセキュアシステム。

[9] 前記コンテンツ利用装置は、さらに、

セキュアデバイススロットに挿入されたセキュアデバイス力も前記ドメイン外利用条件および前記ドメイン外利用履歴を取得する取得手段と、

取得した前記ドメイン外利用条件および前記ドメイン外利用履歴に基づいてドメイン外のコンテンッ利用装置における利用状況に関するガイダンスを表示する表示手段と

を備えることを特徴とする請求項 2記載のセキュアシステム。

[10] 端末装置に接続され、秘匿データを保持するセキュアデバイスであって、

ドメイン外の端末装置に対するセキュアデバイスのドメイン外利用条件を記憶する条件記憶手段と、

前記ドメイン外利用条件に従ってセキュアデバイスの利用可否を判定する判定手段と

判定手段によって利用可能と判定された場合に、端末装置によるセキュアデバィスの利用を可能にする制御手段と、

を備えることを特徴とするセキュアデバイス。

[11] 前記端末装置は、暗号化されたコンテンツを再生するコンテンツ利用装置であり、前記秘匿データは前記コンテンツを復号するための暗号鍵であり、

前記制御手段は、セキュアデバイスに備えられ、判定手段によって利用可能と判定された場合に、セキュアデバイスカゝら端末装置に前記秘匿データを供給することを特徴とする請求項 10記載のセキュアシステム。

[12] 前記ドメイン外利用条件は、（a)コンテンツ再生の回数、（b)コンテンツ利用装置の台数、（c)ドメイン数、（d)有効期限、（e)利用時間、（f)端末 ID数、（g)ドメイン ID数、（ h)コンテンッの数および (i)ライセンスの数、の少なくとも 1つに関する

ことを特徴とする請求項 11記載のセキュアデバイス。

[13] 前記セキュアデバイスは、

ドメイン外の端末装置における前記ドメイン外条件に基づくコンテンツの利用履歴を示す前記ドメイン外利用履歴を記録する履歴記録手段を備え、

前記判定手段は、前記ドメイン外利用履歴が前記ドメイン外利用条件に示される利用可能な範囲を超えないか否かを判定する

ことを特徴とする請求項 12記載のセキュアデバイス。

[14] 前記セキュアデバイスは、さらに、所定の時期に前記ドメイン外利用履歴を消去する消去手段を備える

ことを特徴とする請求項 13記載のセキュアデバイス。

[15] 前記セキュアデバイスは、端末装置力新たなドメイン外利用条件を受信する受信手段を備え、

前記条件記憶手段は、前記ドメイン外利用条件を新たなドメイン外利用条件に更新する

ことを特徴とする請求項 11記載のセキュアデバイス。

[16] 条件記憶手段は、デフォルトのドメイン外利用条件を記憶することを特徴とする請求項 11記載のセキュアデバイス。

[17] 前記セキュアデバイスは、さらに、

前記ドメイン外利用条件および前記ドメイン外利用履歴に基づいてドメイン外のコンテンッ利用装置における利用状況提示する表示手段を有する

ことを特徴とする請求項 11記載のセキュアデバイス。

[18] 前記セキュアデバイスは、さらに、

挿入されてヽるセキュアデバイススロットの端末装置に、ドメイン IDを送信する送信手段を備える

ことを特徴とする請求項 11記載のセキュアデバイス。

[19] 前記セキュアデバイスは、さらに、

挿入されてヽるセキュアデバイススロットの端末装置に、前記ドメイン外利用履歴を送信する送信手段を備える

ことを特徴とする請求項 11記載のセキュアデバイス。

[20] 秘匿データを保持するセキュアデバイスを接続する端末装置であって、

ドメイン外の端末装置に対するセキュアデバイスの利用条件であるドメイン外利用条件を記憶する記憶手段と、

を備えることを特徴とする端末装置。

[21] 前記端末装置は、暗号化されたコンテンツを再生するコンテンツ利用装置であり、前記秘匿データは前記コンテンツを復号するための暗号鍵であり、

前記制御手段は、セキュアデバイスに備えられ、判定手段によって利用可能と判定された場合に、セキュアデバイスカゝら端末装置に前記秘匿データを供給することを特徴とする請求項 20記載のセキュアシステム。

[22] 前記ドメイン外利用条件は、（a)コンテンツ再生の回数、（b)コンテンツ利用装置の台数、（c)ドメイン数、（d)有効期限、（e)利用時間、（f)端末 ID数、（g)ドメイン ID数、（ h)コンテンッの数および (i)ライセンスの数、の少なくとも 1つに関することを特徴とする請求項 21記載の端末装置。

[23] コンテンツ配信装置とコンテンツ利用装置とセキュアデバイスとを含むセキュアシステムであって、

前記コンテンツ配信装置は、ドメイン外のコンテンツ利用装置に対するセキュアデバイスの利用条件であるドメイン外利用条件をコンテンツ利用装置に送信する送信手段を備え、

前記セキュアデバイスは、セキュアデバイスを共用するコンテンツ利用装置カゝらなるドメインに属するコンテンツ禾 lj用装置に、コンテンッ禾 lj用を可會にする B音号鍵を供給する供給手段を備え、

前記コンテンツ利用装置は、前記送信手段から前記ドメイン外利用条件を受信する受信手段を備え、

前記コンテンツ利用装置およびセキュアデバイスの一方は、

セキュアデバイスおよび端末装置のドメインを定義するドメイン情報とを記憶する第

1記憶手段と、

受信手段に受信された利用条件を記憶する第 2記憶手段と、

前記ドメイン情報に従ってセキュアデバイスまたは端末装置が現在ドメイン内であるかドメイン外であるかを判定する第 1判定手段と、

第 1判定手段によってドメイン外であると判定されたとき、前記ドメイン外利用条件に従ってセキュアデバイスの利用可否を判定する第 2判定手段と

を備え、

前記供給手段は、さらに、前記判定手段によって利用可と判定されたとき、ドメイン外のコンテンツ利用装置に暗号鍵を供給する

ことを特徴とするセキュアシステム。

[24] 秘匿データを保持するセキュアデバイスと、セキュアデバイスを接続する端末装置とを含むセキュアシステムにおけるセキュアデバイス利用方法であって、

セキュアデバイスおよび端末装置の何れかに備えられたメモリから、セキュアデバイスおよび端末装置のドメインを定義するドメイン情報を読み出すステップと、読み出されたドメイン情報に従ってセキュアデバイスまたは端末装置が現在ドメイン内であるかドメイン外であるかを判定するステップと、

セキュアデバイスおよび端末装置の何れかに備えられたメモリから、ドメイン外におけるセキュアデバイスの利用条件であるドメイン外利用条件を読み出すステップと、第 1判定手段によってドメイン外であると判定されたとき、読み出されたドメイン外利用条件に従ってセキュアデバイスの利用可否を判定するステップと、

ドメイン内と判定された場合、および、利用可能と判定された場合に、端末装置によるセキュアデバイスの利用を可能にする制御ステップと、

を備えることを特徴とするセキュアデバイス利用方法。

[25] 前記端末装置は、暗号ィ匕されたコンテンツを再生するコンテンツ利用装置であり、前記秘匿データは前記コンテンツを復号するための暗号鍵であり、

前記制御ステップにおいて、セキュアデバイスに備えられ、第 1判定手段によってドメイン内と判定された場合、および、第 2判定手段によって利用可能と判定された場合に、セキュアデバイス力端末装置に前記秘匿データを供給する

ことを特徴とする請求項 24記載のセキュアデバイス利用方法。

[26] 秘匿データを保持するセキュアデバイスと、セキュアデバイスを接続する端末装置とを含むセキュアシステムにおけるコンピュータ実行可能なプログラムであって、前記プログラムは、

セキュアデバイスおよび端末装置の何れかに備えられたメモリから、セキュアデバイスおよび端末装置のドメインを定義するドメイン情報を読み出すステップと、

読み出されたドメイン情報に従ってセキュアデバイスまたは端末装置が現在ドメイン内であるかドメイン外であるかを判定するステップと、

ドメイン内と判定された場合、および、利用可能と判定された場合に、端末装置によるセキュアデバイスの利用を可能にするステップと、をコンピュータに実行させることを特徴とするプログラム。

をコンピュータに実行させることを特徴とするプログラム。

[27] コンテンツ酉己信装置とコンテンツ禾 IJ用装置とセキュアデバイスとを含むコンテンツ禾 IJ 用システムにおけるコンテンツ配信装置であって、

ドメイン外のコンテンッ利用装置に対するセキュアデバイスの利用条件であるドメイン外利用条件をコンテンツ利用装置に送信する送信手段を備える

ことを特徴とするコンテンツ配信装置。

[28] 前記ドメイン外利用条件は、ドメイン外での（a)コンテンツ再生の回数、（b)コンテンッ利用装置の台数、（c)ドメイン数、（d)有効期限、（e)利用時間、（f)端末 ID数、（g) ドメイン ID数、（h)コンテンツの数および (i)ライセンスの数、の少なくとも 1つに関することを特徴とする請求項 27記載のコンテンツ配信装置。