WO2006064768A1

WO2006064768A1 - 不正機器検出装置、不正機器検出システム、不正機器検出方法、プログラム、記録媒体及び機器情報更新方法

Info

Publication number: WO2006064768A1
Application number: PCT/JP2005/022788
Authority: WO
Inventors: Masao Nonaka; Toshihisa Nakano; Yuichi Futa; Motoji Ohmori; Takeshi Gomi; Kazukuni Kobara; Hideki Imai
Original assignee: Matsushita Electric Industrial Co., Ltd.; The University Of Tokyo
Priority date: 2004-12-13
Filing date: 2005-12-12
Publication date: 2006-06-22
Also published as: JPWO2006064768A1; WO2006064765A1; US20070283162A1; US7617536B2; JP4827034B2; JP4857123B2; US20080016001A1; JPWO2006064765A1

Abstract

　本発明は、コンテンツの再生装置に係るクローン装置を検出することのできる、不正機器検出装置、コンテンツ再生装置、不正機器検出システム、情報収集装置、不正機器検出方法、プログラム、記録媒体、機器情報更新方法及び集積回路を提供する。　管理サーバ２において、受信処理部２４１が、不正機器の検出対象である利用者端末から、利用者端末識別子と第１利用者端末乱数とを取得し、記録部２３に保持している、前記利用者端末識別子に対応する第２管理サーバ乱数と、前記第１利用者端末乱数とが一致しているか否かを判定し、一致しない場合には、表示部２２がクローン端末が存在する旨の表示を行い、一致する場合には、端末情報生成部２４３が新たに乱数を生成して、記録部２３に生成した乱数を前記第２管理サーバ乱数に上書き記録し、また生成した乱数を、送信処理部２４６が送受信部２１を介して、利用者端末に送信し、前記利用者端末に第１利用者端末乱数を、前記生成した乱数に更新させる。

Description

明細書

不正機器検出装置、不正機器検出システム、不正機器検出方法、プログラム、記録媒体及び機器情報更新方法

技術分野

[0001] 本発明は、模倣により製造された不正な機器を検出する不正機器検出装置に関し

、特に、映画や音楽などの著作物であるコンテンツを再生する再生装置の模倣機器を検出する技術に関する。

背景技術

[0002] 近年、 DVDプレーヤ一等のデジタルコンテンツを再生する再生装置に関し、正規な再生装置を不正にコピーしたクローン装置の存在力重大な問題となっている。クローン装置は、正規な再生装置が保持しているデバイス鍵と同じ鍵を保持しており、著作権保護のため正規な再生装置にのみ復号再生を許可している暗号化コンテンッを、正規な再生装置が行うのと同じ方法で復号再生する。よって、前記クローン装置の所持者は、前記コンテンツを不正に視聴することが可能となる。

[0003] 上記問題に関連し、特許文献 1には、正規な移動端末である携帯電話機について、クローン端末を検出する方法が開示されている。

特許文献 1によると、クローン端末の検出装置は、同じ電話番号を持つ複数の移動端末が同時に複数の基地局の制御下に存在した場合に、クローン端末が存在すると判断する。

特許文献 1：特開 2000— 184447号公報

発明の開示

発明が解決しょうとする課題

[0004] し力しながら、前述の技術は、移動端末が基地局に対して位置登録を行うことを前提とするものであり、当該技術を、位置登録を行うことのないコンテンツ再生装置に係るシステムに適用することは、妥当でない。

上記問題に鑑み、本発明は、コンテンツの再生装置に係るクローン装置を検出することのできる、不正機器検出装置、コンテンツ再生装置、不正機器検出システム、情報収集装置、不正機器検出方法、プログラム、記録媒体、機器情報更新方法及び集積回路を提供することを目的とする。

課題を解決するための手段

[0005] 上記課題を解決するために、本発明の不正機器検出装置は、模倣により製造された不正な機器を検出する不正機器検出装置であって、検証機器識別子と対応づけて保持して!/ヽる検証値とは異なる検証値を生成し、保持して!/ヽる前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、前記検証機器識別子を保持する機器に、生成した前記検証値を配布する配布手段と、不正検出の対象である検出対象機器により可搬媒体に書き込まれた対象機器識別子と検証値とを前記可搬媒体カゝら取得する取得手段と、前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持して!/ヽる検証値と取得した検証値とがー致するか否かを判定する判定手段と、一致しないと判定された場合に、前記対象機器識別子を不正機器リストに登録する登録手段とを備える。

発明の効果

[0006] 本発明の不正機器検出装置は、上述の構成を備えることにより、前記検証機器識別子と同じ対象機器識別子を保持している前記検出対象機器が、更新された検証値を保持してヽるカゝ否かを判定するので、前記検証機器識別子を保持し更新前の検証値を保持する機器と、前記検証機器識別子を保持し更新後の検証値を保持する機器とが同時に存在するという状態を不正な状態として検知することができる。

[0007] ここで、前記登録手段による、検証値が一致しなヽと判定された対象機器識別子の不正機器リストへの登録とは、一致しないと判定された前記対象機器識別子を、他の対象機器識別子と区別して何らかの処理をするという概念を表している。

例えば、不正機器検出装置が、 RAM上に複数の対象機器識別子を保持しており、一致しなヽと判定された前記対象機器識別子を他の対象機器識別子と区別して、別途設けたディスプレイ表示部に送信すると!ヽうような場合も、一致しな！ヽと判定された前記対象機器識別子を不正機器リストに登録して、前記不正機器リストを前記表示部に送信していることとなる。前記不正機器リストは、最低限、 RAMなどの揮発性メモリ上にあればよぐ不揮発性メモリ等に保持する必要はない。 [0008] また、前記配布手段は、更に、前記判定手段により一致すると判定された場合に、保持して!/ヽる検証値とは異なる検証値を生成し、保持して!/ヽる前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、生成した前記検証値を前記検出対象機器に配布することとしてもょヽ。

この構成によれば、前記検証機器識別子と一致する前記検出対象機器の検証値を更新するので、新たな同一の検証値を、前記検出対象機器と前記不正機器検出装置とが保持することができる。

[0009] 再度、前記取得手段による対象機器識別子及び検証値の取得、前記判定手段による判定と同様の処理を行えば、前記検証対象識別子を保持しているにもカゝかわらず検証値の更新されな!、不正な検出対象機器を検出できる。

また、前記不正機器検出装置は、更に、暗号ィ匕コンテンツの復号のためのタイトル鍵を保持するタイトル鍵記憶手段を備え、前記配布手段は、更に、前記判定手段により一致すると判定された場合に、前記タイトル鍵を前記検出対象機器に配布することとしてもよ、。

[0010] この構成によれば、前記コンテンツの復号、再生を、正規と判定された検出対象機器のみに許可することができるので、コンテンツが不当に再生されるのを防ぐことができる。

また、前記検出対象機器は、予め、個別鍵を保持しており、前記不正機器検出装置は、更に、暗号ィ匕コンテンツの復号のためのタイトル鍵を保持するタイトル鍵記憶手段と、前記検証機器識別子に対応づけて前記個別鍵の複製である複製鍵を保持してヽる複製鍵記憶手段と、前記複製鍵を用いて前記タイトル鍵を暗号ィ匕する暗号化タイトル鍵生成手段とを備え、前記配布手段は、更に、前記判定手段により一致すると判定された場合に、暗号化された前記タイトル鍵を前記検出対象機器に配布することとしてちよい。

[0011] この構成によれば、前記タイトル鍵の復号を正規と判定された検出対象機器のみに許可することができるので、コンテンツが不当に再生されるのを防ぐことができる。また、前記不正機器検出装置は、更に、過去に前記判定手段により一致すると判定された回数を計測する計測手段と、前記回数が所定回数を超えたカゝ否かを判定する回数判定手段とを備え、前記配布手段は、更に、前記回数が所定回数を超えた場合に、保持している検証値とは異なる検証値を生成し、保持している前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、生成した前記検証値を前記検出対象機器に配布することとしてもよい。

[0012] また、前記不正機器検出装置は、更に、前記配布手段により前記配布がされてから経過した期間を計測する計測手段と、経過した前記期間が、所定期間を超えたか否かを判定する期間判定手段とを備え、前記配布手段は、更に、前記期間が所定期間を超えたと判定された場合に、保持している検証値とは異なる検証値を生成し、保持して、る前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、生成した前記検証値を前記検出対象機器に配布することとしてもよい。

[0013] この構成によれば、新たな検証値の生成及び更新の回数を少なくすることにより、更新処理の負担を軽減することができる。

また、前記配布手段は、前記検証値として、舌 L数を生成することとしてもよい。

この構成によれば、検証が推測されることにより不正にコンテンツが再生される可能性を低減することができる。

[0014] 本発明のコンテンツ再生装置は、コンテンツの再生を行うコンテンツ再生装置であつて、機器識別子と、模倣により製造された不正な機器を検出する不正機器検出装置により生成された検証値とを対応づけて記憶してヽる記憶手段と、前記機器識別子と前記検証値とを、前記不正機器検出装置に通知する通知手段と、前記通知に対する応答として、前記不正機器検出装置により可搬媒体に書き込まれた、機器識別子と前記不正機器検出装置により生成された検証値とを、前記可搬媒体から取得する取得手段と、前記記憶手段に記憶されて!、る前記機器識別子と取得した前記機器識別子とがー致する場合に、前記記憶手段に記憶されている検証値に替えて、取得した前記検証値と前記機器識別子とを対応づけて記憶させる更新手段とを備える

[0015] この構成によれば、前記コンテンツ再生装置は、保持している検証値を不正機器検出装置により生成された検証値で書き換えるので、不正機器検出装置が生成した最新の検証値を不正機器検出装置に通知することができ、古い検証値を通知することによって正規な機器であるにも関わらず、不正な機器であると誤判定されるのを防ぐことができる。

本発明の不正機器検出システムは、模倣により製造された不正な機器を検出する不正機器検出システムであって、不正機器検出装置と検出対象機器とから成り、前記検出対象機器は、対象機器識別子と検証値とを対応づけて記憶して！/、る記憶手段と、前記対象機器識別子と前記検証値とを前記不正機器検出装置に通知する通知手段と、前記不正機器検出装置により配布される、検証機器識別子と前記不正機器検出装置により生成された検証値とを取得する更新情報取得手段と、前記対象機器識別子と前記検証機器識別子とがー致する場合に、前記記憶手段に記憶されて Vヽる検証値に替えて、取得した前記検証値と前記対象機器識別子とを対応づけて記憶させる更新手段とを含み、前記不正機器検出装置は、検証機器識別子と対応づけて保持して!/ヽる検証値とは異なる検証値を生成し、保持して!/ヽる前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、前記検証機器識別子を保持する機器に検証機器識別子と生成した前記検証値を配布する配布手段と、前記検出対象機器から、前記対象機器識別子と前記検証値とを取得する取得手段と、前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持している前記検証値と取得した前記検証値とがー致するか否かを判定する判定手段と、一致しないと判定された場合に、前記対象機器識別子を不正機器リストに登録する登録手段とを含む。

[0016] この構成によれば、正規と判定された機器が保持する検証値は更新し、前記検証機器識別子と同じ対象機器識別子を保持している前記検出対象機器が、更新された検証値を保持している力否かを判定するので、前記正規と判定された機器と、前記検証機器識別子を保持し更新前の検証値を保持する機器とが同時に存在すると V、う不正な状態を検知することができる。

[0017] また、前記通知手段は、前記対象機器識別子と前記検証値とを可搬媒体に書き込み、前記取得手段は、情報収集装置を用いて、前記可搬媒体に記録された前記対象機器識別子と前記検証値とを読み出すこととしてもょヽ。また、前記情報収集装置は、前記可搬媒体に書き込まれた対象機器識別子と検証値とを、当該可搬媒体から読み出す読出手段と、前記対象機器識別子と、前記検証値とを送信する送信手段とを含み、前記取得手段は、前記情報収集装置から前記対象機器識別子と前記検証値とを受信することとしてもよい。

[0018] この構成によれば、検出対象機器から可搬媒体を介して検証値を取得し、通信により不正機器検出装置に送信するので、複数の検出対象機器が地理的に散在して V、る場合であっても、各検出対象機器が保持する検証値を前記不正機器検出装置に集約させることが出来る。

本発明の情報収集装置は、不正検出の対象である検出対象機器が保持する情報を、模倣により製造された不正な機器を検出する不正機器検出装置へ送信する情報収集装置であって、前記検出対象機器は、対象機器識別子と前記不正機器検出装置により生成された検証値とを保持しており、前記不正機器検出装置は、検証値を生成し、生成した検証値と検証機器識別子とを対応づけて保持し、対象機器識別子と検証値とを取得し、前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持して!/ヽる検証値と取得した検証値とがー致するカゝ否かを判定して一致しな!ヽと判定された場合に、前記対象機器識別子を不正機器リストに登録し、前記情報収集装置は、前記検出対象機器により可搬媒体に書き込まれた前記対象機器識別子と前記検証値とを、前記可搬媒体から読み出す読出手段と、読み出した前記対象機器識別子と前記検証値とを、前記不正機器検出装置に送信する送信手段とを備える

[0019] この構成によれば、検出対象機器から可搬媒体を介して取得した検証値を、通信により不正機器検出装置に送信するので、複数の検出対象機器が地理的に散在して、る場合であっても、各検出対象機器が保持する検証値を前記不正機器検出装置に集約させることが出来る。

本発明の不正機器検出方法は、模倣により製造された不正な機器を検出する、記憶手段を備えた不正機器検出装置に用いられる不正機器検出方法であって、前記記憶手段に検証機器識別子と対応づけて保持している検証値とは異なる検証値を生成し、保持している前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて前記記憶手段に保持させ、前記検証機器識別子を保持する機器に、生成した前記検証値を配布する配布ステップと、不正検出の対象である検出対象機器により可搬媒体に書き込まれた対象機器識別子と検証値とを前記可搬媒体力ゝら取得する取得ステップと、前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持してヽる検証値と取得した検証値とがー致するカゝ否かを判定する判定ステップと、一致しないと判定された場合に、前記対象機器識別子を不正機器リストに登録する登録ステップとを含む。

[0020] 本発明のコンピュータプログラムは、模倣により製造された不正な機器を検出する、記憶手段を備えた不正機器検出装置に用いられるコンピュータプログラムであって、前記記憶手段に検証機器識別子と対応づけて保持している検証値とは異なる検証値を生成し、保持している前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて前記記憶手段に保持させ、前記検証機器識別子を保持する機器に、生成した前記検証値を配布する配布ステップと、不正検出の対象である検出対象機器により可搬媒体に書き込まれた対象機器識別子と検証値とを当該可搬媒体から取得する取得ステップと、前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持して!/ヽる検証値と取得した検証値とがー致するカゝ否かを判定する判定ステップと、一致しないと判定された場合に、前記対象機器識別子を不正機器リストに登録する登録ステップとを含む。

[0021] 本発明の記録媒体は、コンピュータ読み取り可能な記録媒体であって、前記コンビユータプログラムが記録されて、る。

この構成によれば、正規と判定された機器が保持する検証値は更新し、前記検証機器識別子と同じ対象機器識別子を保持している前記検出対象機器が、更新された検証値を保持している力否かを判定するので、前記正規と判定された機器と、前記検証機器識別子を保持し更新前の検証値を保持する機器とが同時に存在するという状態を、不正な状態として検知することができる。

[0022] 本発明の機器情報更新方法は、コンテンツの再生を行うコンテンツ再生装置に用いられる機器情報更新方法であって、前記コンテンツ再生装置は、機器識別子と、模倣により製造された不正な機器を検出する不正機器検出装置により生成された検証値とを対応づけて記憶する記憶手段を備え、前記機器情報更新方法は、前記機器識別子と前記検証値とを、前記不正機器検出装置に通知する通知ステップと、前記通知に対する応答として、前記不正機器検出装置により可搬媒体に書き込まれた、機器識別子と前記不正機器検出装置により生成された検証値とを、当該可搬媒体から取得する取得ステップと、前記記憶手段に記憶されて!、る前記機器識別子と取得した機器識別子とがー致する場合に、前記記憶手段に記憶されてヽる検証値に替えて、取得した前記検証値と前記機器識別子とを対応づけて記憶させる更新ステップとを含む。

[0023] 本発明のコンピュータプログラムは、コンテンツの再生を行うコンテンツ再生装置に用いられるコンピュータプログラムであって、前記コンテンツ再生装置は、機器識別子と、模倣により製造された不正な機器を検出する不正機器検出装置により生成された検証値とを対応づけて記憶する記憶手段を備え、前記コンピュータプログラムは、前記機器識別子と前記検証値とを、前記不正機器検出装置に通知する通知ステップと、前記通知に対する応答として、前記不正機器検出装置により可搬媒体に書き込まれた、機器識別子と前記不正機器検出装置により生成された検証値とを、当該可搬媒体から取得する取得ステップと、前記記憶手段に記憶されて!、る前記機器識別子と取得した機器識別子とがー致する場合に、前記記憶手段に記憶されてヽる検証値に替えて、取得した前記検証値と前記機器識別子とを対応づけて記憶させる更新ステツプとを含む。

[0024] 本発明の記録媒体は、コンピュータ読み取り可能な記録媒体であって、前記コンビユータプログラムが記録されて、る。

本発明の集積回路は、コンテンツの再生を行うコンテンツ再生装置に用いられる集積回路であって、機器識別子と、模倣により製造された不正な機器を検出する不正機器検出装置により生成された検証値とを対応づけて記憶している記憶手段と、前記機器識別子と前記検証値とを、前記不正機器検出装置に通知する通知手段と、前記通知に対する応答として、前記不正機器検出装置により可搬媒体に書き込まれた、機器識別子と前記不正機器検出装置により生成された検証値とを、当該可搬媒体から取得する取得手段と、前記記憶手段に記憶されて!、る前記機器識別子と取得した前記機器識別子とがー致する場合に、前記記憶手段に記憶されてヽる検証値に替えて、取得した前記検証値と前記機器識別子とを対応づけて記憶させる更新手段とを備える。

[0025] この構成によれば、前記コンテンツ再生装置が保持している検証値を不正機器検出装置により生成された検証値で書き換えるので、不正機器検出装置が生成した最新の検証値を不正機器検出装置に通知することができ、古い検証値を通知することによって正規な機器であるにも関わらず、不正な機器であると誤判定されるのを防ぐことができる。図面の簡単な説明

[0026] [図 1]本発明の実施の形態におけるクローン端末発見システムの構成を示す図である。

[図 2]本発明の実施の形態における第 1可搬媒体のデータ構造を示す図である。

[図 3]本発明の実施の形態における第 2可搬媒体のデータ構造を示す図である。

[図 4]本発明の実施の形態における管理サーバの構成を示すブロック図である。

[図 5]本発明の実施の形態における管理サーバの記録部に記録されるデータ構造を示す図である。

[図 6]本発明の実施の形態における管理サーバの動作の一例を示すフローチャートである。

[図 7]本発明の実施の形態における情報収集サーバの構成を示すブロック図である。

[図 8]本発明の実施の形態における情報収集サーバの動作を示すフローチャートである。

[図 9]本発明の実施の形態における利用者端末の構成を示すブロック図である。

[図 10]本発明の実施の形態における利用者端末の記録部のデータ構造を示す図である。

[図 11]本発明の実施の形態における利用者端末の第 2可搬媒体を挿入した際の初期設定時、更新時動作を示すフローチャートである。

[図 12]本発明の実施の形態における利用者端末のコンテンツ再生処理を示すフローチャートである。

符号の説明

1 クローン端末発見システム

2 管理サーバ

3 情報収集サーバ

4 第 1可搬媒体

5a〜5m 第 2可搬媒体

6a〜6n 利用者端末

21 送受信部

22 表示部

23 記録部

24 制御部

31 送受信部

32 第 2可搬媒体アクセス部

33 外部入力部

34 制御部

61 第 2可搬媒体アクセス部

62 第 1可搬媒体アクセス部

63 出力部

64 記録部

65 制御部

241 . 受信処理部

242 端末情報確認部

243 端末情報生成部

244 タイトル鍵暗号ィ匕部 245 送信データ生成部 246 送信処理部

341 第 2可搬媒体挿入処理部 342 タイトル情報取得部

343 送信データ生成部

344 送信処理部

345 受信処理部

346 第 2可搬媒体データ書込部

651 第 2可搬媒体挿入処理部

652 端末情報書込部

653 暗号化タイトル鍵復号化部

654 端末情報更新部

655 第 1可搬媒体挿入処理部

656 デスクランプノレ咅

7 通信路発明を実施するための最良の形態

[0028] 本発明の一実施形態に係るクローン端末発見システムは、製造業者により正規に製造された DVDプレーヤ一等の利用者端末が、不正な製造業者等により不正に複製されて市場に出回ってしまった場合に、その不正に複製された端末 (以下、クローン端末という。）を発見するためのものである。

以下、前記クローン端末発見システムについて、図面を参照しながら説明する。 <概要 >

本発明の一実施形態に係るクローン端末発見システム 1は、図 1に示すように、管理サーバ 2と、情報収集サーバ 3と、第 1可搬媒体 4と、 m個 (mは自然数)の第 2可搬媒体 5a〜5mと、 n台 (nは自然数)の利用者端末 6a〜6nと、通信路 7とから構成される。

[0029] 第 1可搬媒体 4は、タイトル鍵を用いて暗号ィ匕された動画コンテンツが記録されている光ディスク (例えば DVD— ROM)であり、小売店で販売される。

第 2可搬媒体 5a〜5mは、データの書き換えが可能なポータブルメディア（例えば S Dカード)であり、第 1可搬媒体 4に記録されてヽる暗号化された動画コンテンッの復号に必要な鍵や、クローン端末の発見に必要な、利用者端末に関する端末情報を保持し、利用者端末 6a〜6nと、情報収集サーバ 3との間のデータのやりとりに用いられる。

[0030] 利用者端末 6a〜6nはそれぞれ、第 1可搬媒体 4に記録されている動画コンテンツの復号再生を行う再生装置 (例えば DVDプレーヤー）であって、予め割り当てられた各端末に固有の個別鍵を保持しており、第 2可搬媒体 5a〜5mのいずれかに記録されて、る情報と個別鍵とを用いて、暗号ィ匕された動画コンテンツのタイトル鍵を生成して、動画コンテンツを復号再生する。

[0031] 情報収集サーバ 3は、第 1可搬媒体 4を販売する小売店に設置されたコンピュータ装置であり、第 2可搬媒体 5a〜5mに記録されているデータの読み書きが可能であり、第 2可搬媒体 5a〜5mのいずれかが挿入された場合に、挿入された第 2可搬媒体から、当該第 2可搬媒体に記録されている端末情報を読み出して、当該端末情報をネットワークである通信路 7を介して接続する管理サーバ 2へ送信し、応答として管理サーバ 2から情報を受信して、受信した情報を挿入されて、る第 2可搬媒体に書き込む。

[0032] 管理サーバ 2は、クローン端末を発見するコンピュータ装置であり、通信路 7を介して、情報収集サーバ 3から利用者端末 6a〜6nの何れかに係る端末情報を受け取り、受けとつた端末情報に係る利用者端末がクローン端末力否かを判定する。クローン端末でな、と判定した場合には、前記動画コンテンツのタイトル鍵を暗号ィ匕した暗号化タイトル鍵と、端末情報に係る利用者端末が保持して、る端末情報を更新するための更新情報を生成して情報収集サーバ 3に送信する。ここで、クローン端末は、正規の利用者端末の複製であり、複製元の利用者端末が保持しているのと同じ個別鍵を保持しているものとする。また、クローン端末か否かの判定に関しては、後に詳述する。

[0033] ここで、クローン端末を発見するまでの処理の流れにっ、て、コンテンツの購入、再生を希望するユーザが、利用者端末 6a、第 2可搬媒体 5aを所持してる場合を例に簡単に説明する。

前記ユーザは、先ず、自身が所有する第 2可搬媒体 5aを、自身が所有する利用者端末 6aに挿入する。利用者端末 6aは、第 2可搬媒体 5aに、利用者端末 6aの利用者端末識別子等の端末情報を書き込む。

[0034] 次に、ユーザは、第 2可搬媒体 5aを持参して小売店に行き、小売店に設置されている情報収集サーバ 3に第 2可搬媒体 5aを挿入する。

情報収集サーバ 3は、第 2可搬媒体 5aから端末情報を読み出して、管理サーバ 2 に送信する。

管理サーバ 2においては、前記端末情報に基づき、前記端末情報に係る利用者端末がクローン端末力否かを判定し、クローン端末でない場合には、第 1可搬媒体 4に記録されて、る動画コンテンッの暗号ィ匕に用、たタイトル鍵を、前記端末情報に対応する利用者端末の個別鍵で暗号ィ匕することにより暗号ィ匕タイトル鍵を生成し、また、利用者端末 6aが保持している端末情報を更新するための更新情報を生成し、暗号化タイトル鍵と更新情報とを情報収集サーバ 3に送信する。

[0035] 情報収集サーバ 3は、暗号化タイトル鍵と更新情報とを第 2可搬媒体 5aに書き込む前記ユーザは、第 2可搬媒体 5aと購入した第 1可搬媒体 4とを所持して帰宅し、第 1 可搬媒体 4と第 2可搬媒体 5aとを利用者端末 6aに挿入する。

利用者端末 6aは、暗号ィ匕タイトル鍵を復号してタイトル鍵を生成し、第 1可搬媒体 4 に記録されている暗号ィ匕された動画コンテンツを復号して再生し、また、更新情報に基づき、保持している端末情報を更新する。

<構成>

<第 1可搬媒体 4の構成 >

第 1可搬媒体 4は、 DVD—ROMであり、タイトル識別子と、当該タイトル識別子で識別されるコンテンツが暗号ィ匕された暗号ィ匕コンテンツとが記録されている。

[0036] タイトル識別子は、コンテンツの映画や曲のタイトル、シリアル番号（1、 2、 3、 · · - ) など第 1可搬媒体 4に蓄積されているコンテンツを一意に特定可能な識別子であり、コンテンツは、利用者端末 6a〜6nにおいて復号再生や外部出力が可能な MPEG2 (Moving Picture Expert Group)フォーマットなどの形式で符号化されている。

[0037] 第 1可搬媒体 4は、一例として、図 2に示すように、タイトル識別子 401「TLID1」と、暗号化コンテンツ 402「ENCCNT1」を保持する。

ここで、 ENCCNT1は、コンテンツ「CNT1」が、タイトル識別子「TLID1」に対応するタイトル鍵「TLK1」で暗号化されたものであり、 Enc (TLK1、 CNT1)と表す。 Enc (Κ、 Ρ)の記載は、平文 Ρを暗号化鍵 Κで暗号化した際の暗号文を示す。

[0038] なお、暗号、復号処理は、秘密鍵暗号方式によるものとし、本実施形態では一例として、ブロック暗号 AESを用いるものとする。 AESについては、公知であるので説明を省略する。

<第 2可搬媒体 5aの構成 >

第 2可搬媒体 5aは、 SDカードであり、利用者端末テーブルを保持する。

[0039] 前記利用者端末テーブルは、一以上の利用者端末情報から成り、利用者端末情報は、利用者端末識別子と、第 1利用者端末乱数と、第 2利用者端末乱数と、タイトル識別子と、暗号ィ匕タイトル鍵とから成る。

利用者端末識別子は、利用者端末 6a〜6nそれぞれを一意に識別するための識別子である。

[0040] 第 1利用者端末乱数は、第 2可搬媒体 5aが前記利用者端末識別子により識別される利用者端末に最後に挿入された時点で当該利用者端末が保持していた乱数であり、当該利用者端末により書き込まれる。

第 2利用者端末乱数は、利用者端末の保持する第 1利用者端末乱数を更新するために、管理サーバ 2によって生成された乱数であり、管理サーバ 2から当該乱数を受信した情報収集サーバ 3によって書き込まれる。

[0041] タイトル識別子は、第 1可搬媒体 4に記録されたコンテンツを一意に識別する識別子であり、情報収集サーバ 3によって書き込まれる。

暗号ィ匕タイトル鍵は、前記タイトル識別子に対応するタイトル鍵が、前記利用者端末識別子により識別される利用者端末が保持する個別鍵を用いて暗号化されたものである。

ここで、第 1利用者端末乱数と第 2利用者端末乱数と個別鍵とタイトル鍵は、一例として 128ビットの自然数であるとする。

[0042] また、第 2利用者端末乱数の値力 S「0」である時は、利用者端末が保持している第 1 利用者端末乱数の更新が不要であることを意味し、暗号ィ匕タイトル鍵の値が「0」であるときは、暗号ィ匕タイトル鍵が無効又は記録されて、な、ことを意味する。

第 2可搬媒体 5aは、一例として図 3 (c)に示すように、利用者端末識別子 511「TM IDa」と、第 1利用者端末乱数 512「TMRNDla」、第 2利用者端末乱数「TMRND2 a」、タイトル鍵「TLID1」、暗号ィ匕タイトル鍵「Enc (IKa, TLK1)」から成る利用者端末情報 531を含む利用者端末テーブル 501を保持する。

[0043] <管理サーバ 2の構成 >

管理サーバ 2は、図 4に示すように、送受信部 21と表示部 22と記録部 23と制御部 2 4とを含んで構成される。

管理サーバ 2は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードディスクュニット、ディスプレイユニット、キーボード、マウス、モデムなどから構成されるコンビュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、管理サーバ 2は、その機能を達成する。

[0044] 送受信部 21は、モデム等であり、 TCP/IP等の通信プロトコルを用い、通信路 7を介して、情報収集サーバ 3とデータの通信を行う。

表示部 22は、液晶ディスプレイ等の表示装置であり、制御部 24から表示指示を受信し、当該表示指示に基づき画面表示を行う。

記録部 23は、図 5に示すように、端末管理テーブル 251と、タイトル管理テーブル 2 52とを保持する。

[0045] 端末管理テーブル 251は、複数の端末管理情報から成り、各端末管理情報は、利用者端末識別子と、第 1管理サーバ乱数と、第 2管理サーバ乱数と、個別鍵とから成る。

利用者端末識別子は、利用者端末 6a〜6nを識別する識別子である。

以下、利用者端末 6x (xは、 a〜nのいずれかを示す)を識別する利用者端末識別子の値を TMIDxと示す。

[0046] 第 2管理サーバ乱数は、利用者端末の保持する端末乱数を更新するために、後述する端末情報生成部 243が生成した乱数であり、第 1管理サーバ乱数は、端末情報生成部 243により 1つ前に生成された乱数である。

第 1管理サーバ乱数と第 2管理サーバ乱数は、一例として 128ビットの自然数であり、第 2利用者端末乱数が「0」である場合は、第 2利用者端末乱数が無効であることを示す。

[0047] 個別鍵は、利用者端末のそれぞれに付与されているユニークなデバイス鍵であり、利用者端末 6aには、個別鍵 IKaが付与されており、利用者端末 6bには、個別鍵 1Kb が付与されており、以下同様に、利用者端末 6nには、個別鍵 IKnが付与されているものとする。

端末管理テーブル 251は、一例として、図 5に示すように、利用者端末 6aを示す値 TMIDaである利用者端末識別子 262と、第 1管理サーバ乱数 263「CRNDla」と、第 2管理サーバ乱数 264「CRND2a」と、個別鍵 265「IKa」とから成る端末管理情報 261を含む。

[0048] 端末管理テーブル 251には、正規の利用者端末が新たに製造されるごとに、新たな利用者端末に対応する端末管理情報が追記されるものとする。

タイトル管理テーブル 252は、複数のタイトル管理情報カゝら成り、各タイトル管理情報は、タイトル識別子と、タイトル鍵とから成る。

タイトル識別子は、コンテンツを識別する識別子であり、タイトル鍵は、前記タイトル識別子で識別されるコンテンツを暗号ィ匕及び復号するための鍵である。

[0049] また、タイトル管理テーブル 252は、一例として、図 5に示すように、タイトル識別子 2 72「TLID1」と、 TLID1で識別されるコンテンツのタイトル鍵であるタイトル鍵 273「T LK1」とから成るタイトル識別情報 271を含む。

タイトル管理テーブル 252には、コンテンツ制作者により新たにコンテンツが生成されるごとに、新たなコンテンツに対応するタイトル管理情報が追記されるものとする。

[0050] 制御部 24は、図 4に示すように、受信処理部 241と、端末情報確認部 242と、端末情報生成部 243と、タイトル鍵暗号化部 244と、送信データ生成部 245と、送信処理部 246とを含んで構成される。制御部 24は、各機能部を有する専用のマイクロコンビユータ等であり、各機能部は、マイクロコンピュータにマスクされているプログラムによつて実現される。なお、各機能部は、独立のマイクロコンピュータであってもよい。 [0051] 受信処理部 241は、情報収集サーバ 3から送受信部 21を介して、利用者端末識別子と第 1利用者端末乱数とタイトル識別子を受け取る。そして、受け取った利用者端末識別子と第 1利用者端末乱数を端末情報確認部 242へ出力し、利用者端末識別子とタイトル識別子をタイトル鍵暗号ィ匕部 244へ出力する。

端末情報確認部 242は、受信処理部 241から利用者端末識別子と第 1利用者端末乱数を取得する。そして、受け取った利用者端末識別子に対応する第 1管理サーバ乱数を記録部 23から取得し、当該利用者端末識別子に対応する第 2管理サーバ乱数が記録されている場合には、第 2管理サーバ乱数も取得する。

[0052] まず、第 2管理サーバ乱数が記録されている場合、第 1利用者端末乱数と第 2管理サーバ乱数が一致して、るかどうか確認する。

そこで、第 1利用者端末乱数と第 2管理サーバ乱数が一致している場合、記録部 2 3に記録されている第 1管理サーバ乱数の値に第 2管理サーバ乱数の値をコピーした後、第 2管理サーバ乱数を消去する。そして、端末情報生成部 243へ利用者端末識別子を出力し、タイトル鍵暗号ィ匕部 244へ暗号ィ匕タイトル鍵生成要求を出力する。

[0053] 次に、第 2管理サーバ乱数が記録されているが第 1利用者端末乱数と第 2管理サーバ乱数が一致しない場合、もしくは、第 2管理サーバ乱数が記録されていない場合、第 1利用者端末乱数と第 1管理サーバ乱数が一致しているかどうか確認する。第 1利用者端末乱数と第 1管理サーバ乱数が一致していない場合、利用者端末識別子に対応する利用者端末がクローンであることを示す画面を表示部 22に表示させ、第 1利用者端末乱数と第 1管理サーバ乱数が一致していた場合、端末情報生成部 243へ利用者端末識別子を出力し、タイトル鍵暗号ィ匕部 244へ暗号ィ匕タイトル鍵生成要求を出力する。

[0054] 端末情報生成部 243は、端末情報確認部 242から利用者端末識別子を取得してまず乱数を生成し、当該乱数を記録部 23に記録されている前記利用者端末識別子に対応する第 2管理サーバ乱数に上書きするとともに、同一の乱数を、第 2利用者端末乱数として送信データ生成部 245へ出力する。ここで、端末情報生成部 243は、少なくとも前回生成した乱数とは異なる乱数を生成するものとする。また、乱数を生成する方法については公知であるので説明を省略する。 [0055] タイトル鍵暗号ィ匕部 244は、受信処理部 241から利用者端末識別子とタイトル識別子を取得する。また、端末情報確認部 242から暗号ィ匕タイトル鍵生成要求を取得する。そして、記録部 23に記録されている端末管理テーブル 251から、前記利用者端末識別子に対応する個別鍵を取得し、タイトル管理テーブル 252から、前記タイトル識別子に対応するタイトル鍵を取得する。次に、タイトル鍵暗号ィ匕部 244は、取得した個別鍵を基にタイトル鍵を暗号ィ匕して、暗号ィ匕タイトル鍵を生成し、取得した前記タィトル識別子と生成した前記暗号ィ匕タイトル鍵を送信データ生成部 245へ出力する。

[0056] 送信データ生成部 245は、端末情報生成部 243から第 2利用者端末乱数を取得する。また、タイトル鍵暗号ィ匕部 244からタイトル識別子と暗号ィ匕タイトル鍵を取得する。そして、情報収集サーバ 3へ送信するための、取得した第 2利用者端末乱数とタィトル識別子と暗号ィ匕タイトル鍵を含む更新指示データを生成し、当該更新指示データを送信処理部 246に出力する。

[0057] 送信処理部 246は、送信データ生成部 245から更新指示データを取得し、当該更新指示データを送受信部 21を介して、情報収集サーバ 3へ送信する。

<情報収集サーバ 3の構成 >

情報収集サーバ 3は、図 7に示すように、送受信部 31と第 2可搬媒体アクセス部 32 と外部入力部 33と制御部 34と表示部 35から構成される。

[0058] 送受信部 31は、モデム等であり、 TCP/IP等の通信プロトコルを用い、通信路 7を介して、管理サーバ 2とデータの通信を行う。

第 2可搬媒体アクセス部 32は、 SDカードリーダであり、情報収集サーバ 3に設けられた SDカードスロット（図示せず）に第 2可搬媒体が挿入されたことを検知した場合に制御部 34に挿入通知を送信する。また、挿入された第 2可搬媒体に記録されているデータの取得、及び挿入されて、る第 2可搬媒体へのデータの記録を行う。

[0059] 外部入力部 33は、数字 0〜9やアルファベット A〜Zを入力可能なキーボードゃキ一パット、マウス等の、ユーザ力 Sタイトル識別子を入力するために用いる入力デバイスであり、入力されたタイトル識別子を、制御部 34へと送信する。

本実施形態にぉヽては、前記入力されたタイトル識別子が TLID1であったものとする。 [0060] 表示部 35は、液晶ディスプレイ等の表示装置であり、制御部 34から表示指示を受信し、当該表示指示に基づき画面表示を行う。

制御部 34は、第 2可搬媒体挿入処理部 341と、タイトル情報取得部 342と、送信データ生成部 343と、送信処理部 344と、受信処理部 345と、第 2可搬媒体データ書込部 346とを含む。

[0061] 制御部 34は、各機能部を有する専用のマイクロコンピュータ等である。各機能部は、マイクロコンピュータにマスクされているプログラムによって実現される。なお、各機能部は、独立のマイクロコンピュータであってもよい。

第 2可搬媒体挿入処理部 341は、第 2可搬媒体アクセス部 32から前記挿入通知を取得した場合に、第 2可搬媒体に記録されている利用者端末識別子と第 1利用者端末乱数とを第 2可搬媒体アクセス部 32を介して取得する。

[0062] そして、取得した前記利用者端末識別子と前記第 1利用者端末乱数とを送信データ生成部 343へ出力し、タイトル情報要求をタイトル情報取得部 342へ出力する。タイトル情報取得部 342は、第 2可搬媒体挿入処理部 341からタイトル情報要求を受け取った場合に、表示部 35にタイトル識別子の入力を促すメッセージの表示指示を送信し、当該メッセージを表示させる。次に、ユーザが外部入力部 33を用いて入力するタイトル識別子を取得し、取得した当該タイトル識別子を送信データ生成部 34 3へ出力する。

[0063] 送信データ生成部 343は、第 2可搬媒体挿入処理部 341から利用者端末識別子と第 1利用者端末乱数を取得し、タイトル情報取得部 342からタイトル識別子を取得する。

そして、管理サーバ 2へ送信するための、取得した前記利用者端末識別子と前記第 1利用者端末乱数と前記タイトル識別子とを含む送信データを生成し、その生成した送信データを送信処理部 344に出力する。

[0064] 送信処理部 344は、送信データ生成部 343から前記送信データを取得し、取得した当該送信データを送受信部 31を介して、管理サーバ 2へ送信する。

受信処理部 345は、送受信部 31を介して管理サーバ 2から、第 2利用者端末乱数とタイトル識別子と暗号化タイトル鍵とを含む更新指示データを受け取り、更新指示データに含まれる第 2利用者端末乱数とタイトル識別子と暗号ィ匕タイトル鍵とを第 2可搬媒体データ書込部 346へ出力する。

[0065] 第 2可搬媒体データ書込部 346は、受信処理部 345から第 2利用者端末乱数とタィトル識別子と暗号ィ匕タイトル鍵を受け取り、受け取った第 2利用者端末乱数とタイトル識別子と暗号ィ匕タイトル鍵とを第 2可搬媒体アクセス部 32を介して第 2可搬媒体へ記録する。

<利用者端末 6aの構成 >

利用者端末 6aは、図 9に示すように、第 2可搬媒体アクセス部 61、第 1可搬媒体ァクセス部 62、出力部 63、記録部 64、制御部 65とから構成される。

[0066] 第 2可搬媒体アクセス部 61は、 SDカードリーダであり、利用者端末 6aに備えるカードスロット（図示せず）に第 2可搬媒体が挿入されたことを検知し、挿入通知を制御部 65に通知する。また、挿入されている第 2可搬媒体からのデータの読み出し及び第 2 可搬媒体に対するデータの書き込みを行う。

第 1可搬媒体アクセス部 62は、 DVDドライブであり、利用者端末 6aが備えるデイスクスロット（図示せず）に第 1可搬媒体が挿入されたことを検知し、挿入通知を制御部 65に通知する。また、第 1可搬媒体アクセス部 62は、挿入された第 1可搬媒体からデータを読み出す。

[0067] 出力部 63は、ディスプレイアダプタであり、液晶ディスプレイやプラズマテレビ等の外部ディスプレイと接続され、制御部 65から受け取ったデータを当該外部ディスプレィに表示させる。

記録部 64は、利用者端末識別子と、個別鍵と、端末保持乱数と、タイトル情報テーブルとを保持する。

[0068] 利用者端末識別子は、利用者端末を識別する識別子であり、当該利用者端末の出荷時に書き込まれる。

個別鍵は、利用者端末毎に異なる鍵であり、当該利用者端末の出荷時に書き込まれる。

端末保持乱数は、管理サーバ 2によりクローン端末検出に用いられる乱数であり、利用者端末の出荷時には、初期値として値「0」が書き込まれる。 [0069] タイトル情報テーブルは、一以上のタイトル情報カゝら構成され、タイトル情報は、タイトル識別子と、タイトル鍵とから成る。タイトル識別子は、コンテンツを識別する識別子であり、タイトル鍵は、タイトル識別子により識別されるコンテンツの暗号ィ匕及び復号に用いられる鍵である。

タイトル情報テーブルには、タイトル情報を新たに取得した場合に、当該タイトル情報を追記することができる。

[0070] 記録部 64は、一例として図 10に示すように、利用者端末識別子 671「TMIDa」と、個別鍵 672「IKa」と、端末保持乱数 673「CRNDla」と、タイトル情報テーブル 681 とを保持しており、タイトル情報テーブル 681は、値が TLID1であるタイトル識別子 6

83と、 TLID1で識別されるコンテンツの暗号化及び復号の鍵「TLK1」であるタイトル鍵 684とから成るタイトル情報 682を含む。

[0071] 制御部 65は、第 2可搬媒体挿入処理部 651と、端末情報書込部 652と、暗号化タイトル鍵復号化部 653と、端末情報更新部 654と、第 1可搬媒体挿入処理部 655と、デスクランブル処理部 656とを含んで構成される。

制御部 65は、各機能部を有する専用のマイクロコンピュータ等である。各機能部は

、マイクロコンピュータにマスクされているプログラムによって実現される。なお、各機能部は、独立のマイクロコンピュータであってもよい。

[0072] 第 2可搬媒体挿入処理部 651は、第 2可搬媒体アクセス部 61から挿入通知を受信すると、記録部 64に記録されている利用者端末識別子 671「TMIDa」を取得する。次に、第 2可搬媒体アクセス部 61経由で、第 2可搬媒体に値力^ TMIDa」である利用者端末識別子が記録されて!、るか否かを確認し、第 2可搬媒体に値が「TMIDa」である利用者端末識別子が記録されて!ヽな、場合、端末情報書込部 652へ利用者端末識別子 671を出力し、処理を終了する。

[0073] 一方、第 2可搬媒体に値が「TMIDa」である利用者端末識別子が記録されて!、る場合には、第 2可搬媒体に利用者端末識別子「TMIDa」に対応する第 2利用者端末乱数とタイトル識別子と暗号ィ匕タイトル鍵が記録されているカゝ否かを確認する。

ここで、第 2可搬媒体に利用者端末識別子「TMIDa」に対応する第 2利用者端末乱数が記録されて、る場合、読み出した第 2利用者端末乱数を端末情報更新部 65 4へ出力し、また、第 2可搬媒体アクセス部 61を介して、第 2可搬媒体に記録されている第 1利用者端末乱数を第 2利用者端末乱数の値で上書きし、また、第 2利用者端末乱数を消去する。

[0074] また、第 2可搬媒体に利用者端末識別子「TMIDa」に対応するタイトル識別子と暗号ィ匕タイトル鍵が記録されてヽる場合、タイトル識別子と暗号ィ匕タイトル鍵とを第 2可搬媒体アクセス部 61経由で第 2可搬媒体力も読み出して、読み出したタイトル識別子と暗号ィ匕タイトル鍵を暗号ィ匕タイトル鍵復号ィ匕部 653へ出力するとともに、第 2可搬媒体に記録されているタイトル識別子と暗号ィ匕タイトル鍵を消去する。

[0075] 暗号化タイトル鍵復号化部 653は、第 2可搬媒体挿入処理部 651からタイトル識別子と暗号ィ匕タイトル鍵を取得し、記録部 64から個別鍵 IKaを取得する。

次に、個別鍵 IKaを基に前記暗号ィ匕タイトル鍵の復号ィ匕を行うことによりタイトル鍵を取得し、前記タイトル識別子と当該タイトル鍵を記録部 64のタイトル情報テーブル 6 81に追記する。

[0076] 端末情報更新部 654は、第 2可搬媒体挿入処理部 651から第 2利用者端末乱数を取得し、記録部 64に記録されている端末保持乱数の値を、取得した第 2利用者端末乱数の値に変更する。

第 1可搬媒体挿入処理部 655は、第 1可搬媒体アクセス部 62から挿入通知を取得し、第 1可搬媒体アクセス部 62を介して、第 1可搬媒体 4に記録されているタイトル識別子を取得する。

[0077] そして、取得したタイトル識別子に対応するタイトル鍵が記録部 64のタイトル情報テ一ブル 681に記録されているカゝ否かを判定し、記録されている場合、記録部 64からタイトル鍵を取得し、取得したタイトル鍵をデスクランブル処理部 656へ出力する。デスクランブル処理部 656は、第 1可搬媒体挿入処理部 655からタイトル鍵を取得し、第 1可搬媒体アクセス部 62経由で第 1可搬媒体 4に記録されている暗号化コンテンッを逐次取得し、前記タイトル鍵を基に暗号ィ匕コンテンツを逐次でスクランブルを行い、出力部 63経由で外部へ逐次出力する。

[0078] 以上、利用者端末 6aの構成について説明した力他の利用者端末 6b〜6nについては、利用者端末識別子として TMIDb〜TMIDnをそれぞれ保持し、個別鍵として I Kb〜IKnをそれぞれ保持してヽる点が異なるのみであるので、説明を省略する。 <動作 >

以下、クローン端末発見システム 1の動作について、（1)初期設定、更新時動作、 ( 2)コンテンツ購入時動作、（3)コンテンツ再生時動作の順に説明する。

[0079] ここで、（1)初期設定、更新時動作は、コンテンツの再生を行うユーザが、自身が所有する第 2可搬媒体 5aを、自身が所有する利用者端末 6aに挿入したときの動作であり、（2)コンテンツ購入時動作は、前記ユーザが、第 2可搬媒体 5aを持参して小売店に行き、コンテンツが記録された第 1可搬媒体 4を購入し、小売店に設置されている情報収集サーバ 3に第 2可搬媒体 5aを挿入したときの動作であり、（3)コンテンツ再生時動作は、前記ユーザが、第 1可搬媒体 4を購入して帰宅し、前記コンテンツを鑑賞するため、第 1可搬媒体 4と第 2可搬媒体 5aとを利用者端末 6aに挿入したときの動作である。

[0080] (1)初期設定時、更新時動作

初期設定時動作、更新時動作について、図 11を用いて説明する。

前提として、コンテンツの購入を希望するユーザは、利用者端末 6a及び第 2可搬媒体 5aを所有しており、利用者端末 6aの記録部 64には、初期出荷時に、利用者端末識別子 671として値 TMIDaが書き込まれ、個別鍵 672として値 IKaが書き込まれ、第 1利用者端末乱数 673として CRNDlaが書き込まれており、第 2可搬媒体 5aの利用者端末テーブル 501には、図 3 (a)に示すように何もデータが書き込まれていないものとする。

[0081] 前記ユーザは、先ず、第 2可搬媒体 5aを、利用者端末 6aのカードスロットに挿入する。

第 2可搬媒体アクセス部 61は、挿入を検知し、第 2可搬媒体挿入処理部 651に対し挿入通知を送信する (ステップ S601)。

第 2可搬媒体挿入処理部 651は、前記挿入通知を受け取ると、記録部 64から利用者端末識別子 671「TMIDa」を読み出す。（ステップ S602)

第 2可搬媒体挿入処理部 651は、第 2可搬媒体アクセス部 61を介して、第 2可搬媒体 5a中のデータを検索し、「TMIDa」と同値の利用者端末識別子が記録されているか否かを判定する（ステップ S603)。

[0082] 第 2可搬媒体 5aに、値が TMIDaである利用者端末識別子が記録されて、な、場合 (ステップ S603 :いいえ）、第 2可搬媒体挿入処理部 651は、端末情報書込部 652 へ利用者端末識別子 TMIDaを出力し、端末情報書込部 652は、第 2可搬媒体挿入処理部 651から利用者端末識別子 TMIDaを取得する。

その後、端末情報書込部 652は、記録部 64から第 1利用者端末乱数 673「TMRN

Dla」を読み出し、利用者端末識別子 671と第 1利用者端末乱数 673とを、第 2可搬媒体アクセス部 61を介して第 2可搬媒体 5aの利用者端末テーブル 501に記録し、処理を終了する（ステップ S604)。

[0083] このとき、第 2可搬媒体 5aに記録された利用者端末テーブル 501は、図 3 (b)に示す状態となる。

一方、第 2可搬媒体 5aに、値が TMIDaである利用者端末識別子が記録されている場合 (ステップ S603 :はい）、第 2可搬媒体挿入処理部 651は、第 2可搬媒体 5aに、利用者端末識別子「TMIDa」に対応する第 2利用者端末乱数が記録されているか否かを判定し (ステップ S605)、記録されて!ヽな、場合 (ステップ S605：いいえ）、後述するステップ S607に進む。

[0084] 利用者端末識別子「TMIDa」に対応する第 2利用者端末乱数が記録されてヽる場合 (ステップ S605：はヽ）、第 2可搬媒体 5aに記録された利用者端末テーブル 501 は、図 3 (c)に示す状態となっており、第 2可搬媒体挿入処理部 651は、第 2利用者端末乱数 TMRND2aを端末情報更新部 654へ出力し、第 2可搬媒体アクセス部 61 を介して、第 2可搬媒体 5aに記録されている第 1利用者端末乱数を第 2利用者端末乱数の値で上書きし、また、第 2利用者端末乱数を消去する。

[0085] 端末情報更新部 654は、第 2可搬媒体挿入処理部 651から第 2利用者端末乱数 T MRND2aを取得し、記録部 64に記録されている端末保持乱数 673の値を、第 2利用者端末乱数 TMRND2aの値で上書きする（ステップ S606)。

次に、第 2可搬媒体挿入処理部 651は、第 2可搬媒体アクセス部 61を介して、第 2 可搬媒体 5aに利用者端末識別子 TMIDaに対応するタイトル識別子と、暗号ィ匕タイトル鍵が記録されてヽるか否かを判定し (ステップ S607)、記録されて!ヽな、場合 (ステツプ S607： Vヽ、え）、処理を終了し、記録されて!ヽる場合 (ステップ S607：はヽ）、前記タイトル識別子と、暗号ィ匕タイトル鍵とを読み出し、読み出した前記タイトル識別子と、暗号ィ匕タイトル鍵とを暗号ィ匕タイトル鍵復号ィ匕部 653に送信し、第 2可搬媒体ァクセス部 61を介して、第 2可搬媒体 5aに記録されている利用者端末識別子 TMIDa に対応するタイトル識別子と、暗号ィ匕タイトル鍵とを消去する。

[0086] このとき、第 2可搬媒体 5aに記録された利用者端末テーブル 501は、前述の図 3 (d )に示す状態となる。

暗号ィ匕タイトル鍵復号ィ匕部 653は、第 2可搬媒体挿入処理部 651から前記タイトル識別子と前記暗号ィ匕タイトル鍵を取得し、記録部 64から個別鍵 672を取得し、当該個別鍵に基づき暗号ィ匕タイトル鍵の復号ィ匕を行、、タイトル鍵を取得する。

[0087] ここで、一例として、タイトル識別子が「TLID1」であり、前記暗号化タイトル鍵が、個別鍵「IKa」によりタイトル鍵「TLK1」が暗号化された Enc (iKa, TLK1)であるとすると、暗号ィ匕タイトル鍵復号部 653は、第 2可搬媒体挿入処理部 651から TLID1と、 E nc (IKa, TLK1)とを取得し、記録部 64力個別鍵 672「IKa」を取得して、個別鍵 I Kaに基づき暗号化タイトル鍵 Enc (IKa, TLK1)を復号し、タイトル鍵 TLK1を取得することとなる。

[0088] 暗号ィ匕タイトル鍵復号ィ匕部 653は、取得したタイトル識別子とそのタイトル鍵との組を、タイトル情報として記録部 64に記録されて、るタイトル情報テーブル 681に追記し (ステップ S608)、処理を終了する。

(2)コンテンツ購入時処理

前述の（1)初期設定時動作により、第 2可搬媒体 5aには、利用者端末 6aの端末情報である利用者端末識別子 TMIDaと第 1利用者端末乱数 TMRNDlaとが記録されているものとする。

[0089] 前記ユーザは、第 2可搬媒体 5aを持参して小売店に行き、タイトル識別子「TLID1 」で識別されるコンテンツが暗号化された ENCCNT1 ( = ENC (TLK1, CNT1) )が記録された第 1可搬媒体 4を購入し、前記ユーザは、情報収集サーバ 3が備えるカードスロットに、第 2可搬媒体 5aを挿入する。

以下、コンテンツ購入時動作について、図 8を用いて説明する。 [0090] 情報収集サーバ 3において、第 2可搬媒体アクセス部 32は、前記カードスロットに第 2可搬媒体 5aが挿入されたことを検知し、挿入通知を第 2可搬媒体挿入処理部 34

1に送信する (ステップ S301)。

第 2可搬媒体挿入処理部 341は、前記挿入通知を取得し、第 2可搬媒体アクセス部 32を介して、第 2可搬媒体 5aに記録されている利用者端末識別子 TMIDaと第 1 利用者端末乱数 TMRNDlaを取得する (ステップ S302)。

[0091] 第 2可搬媒体挿入処理部 341は、取得した利用者端末識別子 TMIDaと第 1利用者端末乱数 TMRNDlaを送信データ生成部 343へ出力し、タイトル情報要求をタイトル情報取得部 342へ出力する。（ステップ S303)

タイトル情報取得部 342は、第 2可搬媒体挿入処理部 341からタイトル情報要求を受け取り、表示部 35にタイトル識別子の入力を促すメッセージの表示指示を送信し、表示部 5は、前記表示指示に従って当該メッセージを表示する。

[0092] 前記ユーザは、前記メッセージに促され、外部入力部 33を介して、購入したコンテンッを識別するタイトル識別子の値「TLID1」を入力する。

タイトル情報取得部 342は、外部入力部 33から、タイトル識別子 TLID1を取得し（ステップ S304)、取得したタイトル識別子を送信データ生成部 343へ出力する (ステップ S 305)。

[0093] 送信データ生成部 343は、第 2可搬媒体挿入処理部 341から利用者端末識別子 T MIDaと第 1利用者端末乱数 TMRNDlaを取得し、タイトル情報取得部 342からタイトル識別子 TLID1を取得し、取得した利用者端末識別子 TMIDaと第 1利用者端末乱数 TMRNDlaとタイトル識別子 TLID1とを含む送信データを生成し、当該送信データを送信処理部 344に出力する (ステップ S306)。

[0094] 送信処理部 344は、送信データ生成部 343から前記送信データを取得し、取得した送信データを送受信部 31を介して、管理サーバ 2へ送信する (ステップ S307)。管理サーバ 2は、前記送信データを受信して、当該送信データを用いて、後述するクローン判定処理を行う（ステップ S308)。

管理サーバ 2は、前記クローン判定処理において生成した端末更新データを、情報収集サーバ 3に送信する前記端末更新データには、第 2利用者端末乱数 TMRND2aとタイトル識別子 TLI D1と暗号化タイトル鍵 ENCTLKl ( = ENC (iKa, TLK1) )が含まれる。

[0095] 情報収集サーバ 3における、送受信部 31は、通信路 7を介して、管理サーバ 2から前記端末更新データを受信するのを待ち (ステップ S309： V 、え）、受信できた場合 (ステップ S309 :はい）に、受信処理部 345に当該端末更新データを送信する。受信処理部 345は、受信した端末更新データに含まれる第 2利用者端末乱数 TM RND2aとタイトル識別子 TLID1と暗号ィ匕タイトル鍵 ENCTLKlを第 2可搬媒体デ一タ書込部 346へ出力する（ステップ S310)。

[0096] 第 2可搬媒体データ書込部 346は、受信処理部 345から第 2利用者端末乱数 TM RND2aとタイトル識別子 TLID1と暗号化タイトル鍵 ENCTLKlを受け取り、受け取つた第 2利用者端末乱数 TMRND2aとタイトル識別子 TLID1と暗号ィ匕タイトル鍵 E NCTLKlを第 2可搬媒体アクセス部 32を介して、第 2可搬媒体 5aに記録する (ステップ S311)。

[0097] ここで、前記ステップ S308において、管理サーバ 2により行われるクローン判定処理について、図 6を用いて説明する。

管理サーバ 2における送受信部 21は、情報収集サーバ 3から、前記送信データを受信し、当該送信データを、受信処理部 241に送信する。

受信処理部 241は、前記送信データを受信し、前記送信データに含まれる利用者端末識別子 TMIDaと第 1利用者端末乱数 TMRNDlaとを端末情報確認部 242へ出力し、利用者端末識別子 TMIDaとタイトル識別子 TLID1をタイトル鍵暗号ィ匕部 2 44へ出力する（ステップ S 201)。

[0098] 端末情報確認部 242は、受信処理部 241から利用者端末識別子 TMIDaと第 1利用者端末乱数 TMRNDlaを取得し (ステップ S202)、記録部 23に、利用者端末識別子 TMIDaに対応する第 2管理サーバ乱数 CRND2aが記録されているか否かを判定し (ステップ S 203)、記録されて!、な、場合 (ステップ S203：なし）、後述するステツプ S207に進み、記録されている場合 (ステップ S 203 :あり）、記録部 23から第 2 管理サーバ乱数 CRND2aを取得する（ステップ S204)。

[0099] 端末情報確認部 242は、第 1利用者端末乱数 TMRNDlaの値と第 2管理サーバ乱数 CRND2aの値が一致しているか否かを判定し (ステップ S 205)、一致していない場合 (ステップ S 205 :—致しない）、後述するステップ S 207に進み、一致している場合、利用者端末識別子 TMIDaに対応する第 1管理サーバ乱数 CRNDlaの値に第 2管理サーバ乱数 CRND2aの値をコピーし、第 2管理サーバ乱数 CRND2aを消去し、ステップ S210に進む（ステップ S206)。

[0100] 端末情報確認部 242は、第 1利用者端末乱数 TMRNDlaの値と第 2管理サーバ乱数 CRND2aの値が一致して!/、ると判定しなかった場合には (ステップ S205：一致しない）、記録部 23から、利用者端末識別子 TMIDaに対応する第 1管理サーバ乱数 CRNDlaを取得する（ステップ S 207)。

端末情報確認部 242は、第 1利用者端末乱数 TMRNDlaの値と第 1管理サーバ乱数 CRNDlaの値を比較し (ステップ S208)、一致していると判定した場合 (ステツプ S208 :はい）、ステップ S210に進み、一致していない場合 (ステップ S 208 :いいえ )、利用者端末識別子 TMIDaに対応する利用者端末がクローンであることを示す、例えば、「クローンを発見しました:利用者端末識別子 TMIDa」と表示する画面を表示部 22に表示させ (ステップ S209)、ステップ S210へ進む。

[0101] 端末情報確認部 242は、端末情報生成部 243へ利用者端末識別子 TMIDaを出力し、タイトル鍵暗号ィ匕部 244へ暗号ィ匕タイトル鍵生成要求を出力する (ステップ S2 10)。

端末情報生成部 243は、端末情報確認部 242から利用者端末識別子 TMIDaを取得して、新たに乱数を生成し、生成した乱数を記録部 23の利用者端末識別子 TM IDaに対応する第 2管理サーバ乱数 CRND2aの値として記録する。

また、前記乱数を、第 2利用者端末乱数 TMRND2aとして、送信データ生成部 245 へ出力する (ステップ S211)。

[0102] タイトル鍵暗号ィ匕部 244は、受信処理部 241から利用者端末識別子 TMIDaとタイトル識別子 TLID1を取得し、端末情報確認部 242から暗号ィ匕タイトル鍵生成要求を取得し、記録部 23から、利用者端末識別子 TMIDaに対応する個別鍵 IKaと、タイトル識別子 TLID1に対応するタイトル^ TLK1を取得する。

そして、個別鍵 IKaを基にタイトル^ TLK1を暗号ィ匕して、暗号ィ匕タイトル鍵 ENCT LKl =Enc (TLKl、 IKa)を生成し、タイトル識別子 TLID1と暗号化タイトル鍵 ENC

TLK1とを送信データ生成部 245へ出力する (ステップ S212)。

[0103] データ生成部 245は、端末情報生成部 243から第 2利用者端末乱数 TMRND2a を取得し、タイトル鍵暗号ィ匕部 244からタイトル識別子 TLID1と暗号ィ匕タイトル鍵 EN

CTLK1を取得する。

そして、取得した第 2利用者端末乱数 TMRND2aとタイトル識別子 TLID1と暗号化タイトル鍵 ENCTLK1とを含む端末更新データを生成し、当該端末更新データを送信処理部 246に出力する (ステップ S213)。

[0104] 送信処理部 246は、送信データ生成部 245から前記端末更新データを取得し、当該端末更新データを送受信部 21を介して、情報収集サーバ 3へ送信し、処理を終了する（ステップ S 214)。

(3)コンテンツ再生時処理

前記ユーザは、小売店で第 1可搬媒体 4を購入して帰宅し、前記コンテンツを鑑賞するため、第 1可搬媒体 4と第 2可搬媒体 5aとを利用者端末 6aに挿入する。利用者端末 6aに第 2可搬媒体 5aが挿入されると、利用者端末 6aは、図 11のステップ S605 〜S608で示した更新処理を行う。

[0105] 以下、コンテンツ再生時処理について、図 12を用いて説明する。

利用者端末 6aが備えるディスクスロットに第 1可搬媒体 4が挿入された場合に、第 1 可搬媒体アクセス部 62は、第 1可搬媒体 4の挿入を検知して、挿入通知を第 1可搬媒体挿入処理部 655に送信し、第 1可搬媒体挿入処理部 655が、前記挿入通知を受信する (ステップ S651)。

[0106] 第 1可搬媒体挿入処理部 655は、第 1可搬媒体アクセス部 62を介して、第 1可搬媒体 4に記録されてヽるタイトル識別子 TLID1を取得する（ステップ S652)。

第 1可搬媒体挿入処理部 655は、記録部 64にタイトル識別子 TLID 1に対応するタイトル^ TLK1が記録されているか否かを判定し (ステップ S653)、記録されていない場合には (ステップ S653 :いいえ）、処理を終了し、記録されている場合には (ステップ S653 :はい）、第 1可搬媒体 4力読み出した前記タイトル識別子 (TLID1)に対応する前記タイトル鍵 (TLK1)を記録部 64から読み出して (ステップ S654)、当該タイトル鍵をデスクランブル処理部 656へ出力する（ステップ S655)。

[0107] デスクランブル処理部 656は、第 1可搬媒体挿入処理部 655からタイトル鍵 (TLK1 )を取得し、その後、第 1可搬媒体アクセス部 62を介して第 1可搬媒体 4に記録されて V、る暗号化コンテンッを逐次取得し、タイトル^ TLK 1を用 V、て読み出した暗号化コンテンッ ENCCNT1を逐次デスクランブルし、出力部 63を介して外部ディスプレイに逐次出力する。

[0108] 読み出した暗号化コンテンツ ENCCNT1のデスクランブル及び外部への出力が終了した場合に、処理を終了する (ステップ S656)。

<実施形態による効果にっ、ての補足説明 >

本発明の実施形態の効果について、利用者端末の一つ (ここでは 6aとする）が内部解析され、利用者端末 6aの端末情報として利用者端末識別子 TMIDaと個別鍵 I Kaと第 1利用者端末乱数 TMRNDlaが外部へ漏洩した場合を例に挙げ、補足説明する。

[0109] まず、その利用者端末 6aの端末情報が外部に漏洩した場合、その端末情報を保持する大量のクローン端末 (ここではその一つを 6yとする）が巿場に出回る可能性がある。

つまり、利用者端末 6aとクローン端末 6yは同じ端末情報 (利用者端末識別子 TMI Daと個別鍵 IKaと第 1利用者端末乱数 TMRNDla)を保持してヽることとなる。

ここでは、利用者端末 6aの利用者 (利用者 aと呼ぶ）とクローン端末 6yの利用者 (利用者 yと呼ぶ）は異なると想定し、また、利用者 aと利用者 yはそれぞれ異なる第 2可搬媒体 5aと第 2可搬媒体 5yを保持しているとする。

[0110] まず、一般的なシナリオとして、利用者端末 6aの利用者 aが小売店にコンテンツの入った第 1可搬媒体 4を購入しに行くとする。

その場合、利用者 aの保持する第 2可搬媒体 5aを小売店に設置されている情報収集サーバ 3に挿入する。

ここで、管理サーバ 2は、第 2可搬媒体 5aに、暗号化されたタイトル鍵に加え、利用者端末識別子 TMIDaの利用者端末向けの新たな乱数を第 2利用者端末乱数として書き込む。 [0111] 利用者 aはその第 2可搬媒体 5aを利用者端末 6aに挿入し、利用者端末 6aが保持する第 1利用者端末乱数の値を第 2可搬媒体 5aに記録されている第 2利用者端末乱数の値に更新する。

続いて利用者 aが別のコンテンツを購入する際に、同様に第 2可搬媒体 5aを小売店に設置されている情報収集サーバ 3に挿入する。

[0112] その際、第 2可搬媒体 5aには第 1利用者端末乱数として新しい乱数の値が設定されている。

新しい乱数を、情報収集サーバ 3を介して受け取った管理サーバ 2は、利用者端末識別子 TMIDaに対応する利用者端末 6aの第 1利用者端末乱数が更新されたことを認識する。

[0113] その後、クローン端末 6yの利用者 yがコンテンツを購入しに小売店に行くとする。

その際、利用者 yは、同様に第 2可搬媒体 5yを小売店に設置されている情報収集サーバ 3に挿入する。

その際、その利用者 yが保持する第 2可搬媒体 5yには、利用者端末識別子 TMID aと、端末情報が漏洩した時点の古い第 1利用者端末乱数が書き込まれている。

[0114] よって、管理サーバ 2は、利用者端末識別子 TMIDaに対応する利用者端末 6xが、古い第 1利用者端末乱数を保持していると認識する。

しかし、管理サーバ 2は、利用者端末識別子 TMIDaに対応する利用者端末 6aの第 1利用者端末乱数が新たな乱数に更新されたと認識している。

その結果から、同じ利用者端末識別子 TMIDaを保持する利用者端末が市場に 2 台以上存在すると判断する。

[0115] そして、利用者端末識別子 TMIDaに対応する利用者端末にクローンが存在する旨の警告を表示する。

このようにして、本発明の実施形態では、利用者端末のクローンが存在することを効率的に発見、検知することが出来る。

また、クローン利用者端末の別の形として、利用者端末の一つ (ここでも利用者端末 6aとする）が内部解析され、利用者端末 6aに関する端末情報 (利用者端末識別子 TMIDaと個別鍵と IKa第 1利用者端末乱数 TMRNDla)が外部へ漏洩した場合に、クローン検知を逃れる目的で、その利用者端末識別子 (TMIDa)を違う偽の値 (ここでは TMIDzとする）にしてクローン端末 6zに埋め込む不正が考えられる。

[0116] しかし、本発明の実施形態では、管理サーバ 2は購入した暗号ィ匕コンテンツのタイトル鍵を、受け取った利用者端末識別子に対応する個別鍵で暗号ィ匕した暗号ィ匕タイトル鍵を提供するようにした。

これにより、偽の利用者端末識別子 TMIDzを管理サーバ 2に渡した場合、そのクローン端末 6zが保持する個別鍵 IKaでは、受け取る暗号ィ匕タイトル鍵を復号ィ匕出来な、こととなる。

[0117] つまり、クローン端末 6zでは購入したコンテンツの出力が出来ないこととなる。

これは、漏洩した利用者端末識別子を違う偽の値にして管理サーバ 2へ提供しても意味がないことに繋がり、漏洩した利用者端末識別子を偽造することの抑止力として効果的である。

<変形例>

上記に説明した実施の形態は、本発明の実施の一例であり、本発明はこの実施の形態に何ら限定されるものではなぐその旨を逸脱しな、範囲にぉ、て主な態様で実施し得るものである。以下のような場合も本発明に含まれる。

[0118] (1)本実施形態では、第 2可搬媒体が情報収集サーバに挿入され、情報収集サーバから管理サーバ 2が情報を取得する毎に、管理サーバ 2は新たな乱数を生成し、それを第 2利用者端末乱数として第 2可搬媒体に記録するようにして、利用者端末の乱数を毎回更新するようにしていた力これに限るものではない。例えば、ある一定期間（例えば一ヶ月）に一回のみ乱数を更新するようにしてもよい。また、外部から乱数更新要求信号を受けた時にのみ、乱数を更新するようにしてもよい。また、ある一定回数 (例えば 10回）コンテンツを購入する毎に、乱数を更新するようにしてもよい。これは、乱数を更新しない場合に、管理サーバ 2は新たな乱数を生成せず、第 2利用者端末乱数を第 2可搬媒体に記録しないようにすることで実現可能である。

[0119] また、管理サーバ 2に関し、ステップ S205において一致しないと判定した後に、ステツプ S208において、第 1利用者端末乱数 TMRNDlaの値と第 1管理サーバ乱数 CRNDlaの値が一致していると判定した場合には、クローン端末ではないと決定しているが、これは、利用者端末 6aにおいて、利用者端末 6aの端末内部乱数が更新されるまでに、時間を要する場合があることを考慮してのものである。

[0120] 前記クローン端末の判定基準をより厳しくする場合には、ステップ S205において一致しないと判定された場合に、クローン端末であるとみなして、ステップ S209に進むこととすればよい。

(2)本実施形態においては、端末情報に乱数を用いていたが、該当端末を保持しない第三者ユーザによって推定できず、さらに、管理サーバ 2が把握可能な値であれさえすれば、乱数でなくてもよい。例えば、シリアル番号で 0から 1つずつカウントァップしていってもよい。また、管理サーバ 2が情報収集サーバ 3からデータを受け取つた時刻に関する情報でも良い。また、情報収集サーバ 3へ第 2可搬媒体が挿入された時刻に関する情報でも良い。また、情報収集サーバ 3へ第 2可搬媒体が挿入された延べ回数でも良い。また、対応する利用者端末で以前に外部へ出力したコンテンッタイトルの履歴に関する情報であってもよい。また、それらの値のハッシュ値であつても良い。

[0121] (3)本実施形態では、端末情報に乱数を用いていたが、該当端末を保持しない第三者ユーザによって推定できず、さらに、各利用者端末が自動で更新される値であれば、乱数でなくてもよい。例えば、利用者端末に第 2可搬媒体が最後に挿入された時刻情報でも良い。また、利用者端末に第 2可搬媒体が挿入された延べ回数でも良い。この場合、管理サーバ 2は特に端末情報を更新する必要がなくなる。これにより、管理サーバ 2の手間を軽減することが可能となる。

[0122] (4)本実施形態では、各ユーザが第 2可搬媒体を一つずつ保持して、る場合を例に説明を行ったが、これに限られるものではない。たとえば、一人のユーザがニ枚以上の第 2可搬媒体を保持していても良い。このような場合に、同じ利用者端末識別子を複数の第 2可搬媒体が保持し、管理サーノ 2は、同じ利用者端末識別子を複数の第 2可搬媒体経由で受け取る場合が考えられる。その際に、管理サーバ 2は、その利用者端末識別子に対応する第 2利用者端末乱数を、その内の一つの第 2可搬媒体にのみ書き込んでも良いし、一つの利用者端末識別子に対応する同じ第 2利用者端末乱数を、複数の第 2可搬媒体に書き込むようにしても良い。前者の場合、第 2利用者端末乱数を書き込まれた第 2可搬媒体をユーザが紛失した場合に、利用者端末の乱数を更新できないという欠点がある。一方、後者の場合、第 2利用者端末乱数を書き込まれた第 2可搬媒体をユーザが紛失した場合にでも、別の第 2可搬媒体を用いて利用者端末の乱数を更新できるという利点がある。後者を実現するために、第 2可搬媒体に記録する端末情報として乱数更新完了フラグを追加してもよ、。乱数更新完了フラグは、第 2可搬媒体に記録されている第 2利用者端末乱数の値に、該当する利用者端末の第 1利用者端末乱数の値の更新が完了した場合に、第 2可搬媒体に書き込むフラグである。このようなフラグを追加することによって、一つの利用者端末識別子に対応する同じ第 2利用者端末乱数を、複数の第 2可搬媒体に書き込むようにして、その複数の第 2可搬媒体を介して端末情報が管理サーバ 2へ提供されたとしても、乱数更新完了フラグが記録されている場合にのみ利用者端末の乱数更新が完了したと認識することが出来る。

[0123] (5)本実施形態では、第 2可搬媒体は SDカード等のポータブルメディアであつたが、これに限るものではない。例えば、演算処理の可能な ICカードでも良い。その場合、例えば、第 2可搬媒体は、暗号処理等で利用者端末を認証してから端末情報ゃタイトル鍵情報を提供するようにしてもよい。これにより、より安全なシステムを構築することが出来る。また、変形例 (4)の乱数更新完了フラグを ICカード内で追加するようにしてもよい。これにより、不正な利用者端末が、第 2可搬媒体に乱数更新完了フラグを立てな!/、と、う不正を排除することが出来る。

[0124] また、第 1可搬媒体 4は、 DVD—ROMとした力これに限らず、コンテンツの格納ができる BDや、 CD— Rなどのメディアであってもよい。また、第 2可搬媒体は、 SD力ードに限らず、データの書き換えが可能なポータブルメディアであればょ、。

(6)本実施形態では、管理サーバ 2は、第 2可搬媒体経由での端末情報の収集に応答して、タイトル鍵情報を提供していたが、これに限るものはない。例えば、管理サーノ 2は、第 2可搬媒体経由で端末情報を収集するだけで、特に情報を提供しなくてもよい。また、管理サーバ 2は、第 2可搬媒体経由で端末情報を収集する見返りに一定期間（例えば 1ヶ月）有効なライセンスを利用者端末に提供し、そのライセンスをある一定期間毎に取得しないと、利用者端末が利用不可になるような仕組みを備えていてもよい。

[0125] (7)本実施形態では、クローンを発見する対象は、コンテンツを出力する利用者端末であつたが、本技術はこれに限るものではない。例えば、第 2可搬媒体 (例： SD力ード)でも良い。また、電車の定期券や回数券や乗車券、 ICカード、クレジットカード、キャッシュカード、デビットカード、電子マネー、電子チケット、電子パスポート（電子旅券)、入出門管理カード、運転免許書、住民基本台帳カード、携帯電話、 PDA, ST B (セットトップボックス）、電子ブック、コンピュータ、 ICタグ、コンピュータソフトウェア、オンラインゲームのライセンスなどでもよい。この場合、クローンを発見する対象に、乱数を保持させることとなる。これにより、コンテンツを出力する利用者端末以外でも、クローンを発見することが出来る。

[0126] (8)本実施形態では、暗号化方法は、秘密鍵暗号方式 AESを利用してヽたが、これに限るものではない。例えば、別の秘密鍵暗号方式 (例えば DES)でも良いし、公開鍵暗号 (例えば RSA方式)でもよヽし、別の暗号方式でもよ!/ヽ。

(9)本実施形態では、管理サーバ 2が、同一の利用者端末識別子に対応する異なる二種類の第 1利用者端末乱数を受け取った場合に、その利用者端末識別子に対応する利用者端末はクローンであると判断していた力これに限るものではない。例えば、同一の利用者端末識別子に対応するある閾値 (例えば 3)以上の異なる第 1利用者端末乱数を受け取った場合に、その利用者端末識別子に対応する利用者端末はクローンであると判断してもよい。これにより、クローンの誤検知の確率を少なくすることが出来る。また、これは、同じ利用者端末識別子を複数の利用者端末が共有するようなシステムにも適用出来る。

[0127] 例えば、利用者端末識別子が、機種毎に共通な場合である。この場合、閾値としては、同じ利用者端末識別子を有する利用者端末の数以上に設定するようにする。このよう〖こすることで、同じ利用者端末識別子を複数の利用者端末が共有するようなシステムであっても、クローンを検知することが出来る。

(10)管理サーバ 2と、情報収集サーバ 3とは、それぞれがモデム等を備えて、モデムを用いて通信することとしていた力これには限らない。例えば、管理サーバ 2の送受信部 21及び情報収集サーバ 3の送受信部 31は、 LANアダプタであって、通信路 7は、インターネットであってもよい。

[0128] (11)本実施形態では、 13個の第 2可搬媒体である第 2可搬媒体 5a〜5mを用いた例で説明したが、これに限るものではない。例えば、 12個以下でもよいし、 14個以上であってもよい。また、 14台の利用者端末である利用者端末 6a〜6nを用いた例で説明したが、これに限るものではない。例えば、 15台以上であっても良いし、 13台以下であっても良い。また、情報収集サーバ 3の数は、 1台以上であれば何台でも良い。また、第 1可搬媒体 4の数も、 1個以上であれば何個でも良い。タイトル識別子及びタイトル鍵の種類も、 1種類以上であれば何種類でも良、。

[0129] また、管理サーバ 2が前記小売店に設置されるような場合は、情報収集サーバ 3を用いずに、管理サーバ 2と、第 2可搬媒体である SDカードのリーダライタ装置とを用いることとしてもよい。この場合、実施形態において情報収集サーバ 3がユーザ入力により取得していたタイトル識別子は、管理サーバ 2が取得すればよい。

(12)本実施形態では、小売店においてコンテンツを販売する場合を例に説明した力これに限らず、本発明は、例えば、コンテンツをレンタルする場合や、リースする場合などにも適用可能である。

[0130] (13)管理サーバ 2の制御部 24、情報収集サーバ 3の制御部 34、利用者端末 6a〜 6nの各制御部である制御部 65における各機能ブロックは典型的には集積回路である LSIとして実現されていてもよい。これらは個別に 1チップ化されても良いし、一部又は全てを含むように 1チップ化されても良、。

ここでは、 LSIとした力集積度の違いにより、 IC、システム LSI、スーパー LSI、ゥノレ卜ラ LSIと呼称されることちある。

[0131] また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセサで実現してもよい。 LSI製造後に、プログラムすることが可能な FPGA (Field Progra mmable Gate Array)や、 LSI内部の回路セルの接続や設定を再構成可能なリコンフィギユラブル ·プロセッサーを利用しても良、。

さらには、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィ匕を行ってもよい。バイオ技術の適応等が可能性としてありえる。 [0132] (14)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラム力もなるデジタル信号であるとしても良い。また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD— ROM、 MO、 DVD, DVD-ROM, D VD— RAM、 BD (Blu-ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク等を経由して伝送するものとしてもよい。また、本発明は、マイクロプ口セッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンビュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプロダラムに従って動作するとしてもよい。また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよ、。

[0133] (15)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよ!/ヽ。

産業上の利用可能性

[0134] 本発明の不正機器検出装置、コンテンツ再生装置、情報収集装置、プログラム、記録媒体、集積回路は、著作権保護が必要なコンテンツの管理システムに用いられ、コンテンッの再生装置、当該再生装置の管理サーバなどデジタル家電機器、コンビュータ装置を扱う業者により、製造、販売等が成される。

Claims

請求の範囲

[1] 模倣により製造された不正な機器を検出する不正機器検出装置であって、

検証機器識別子と対応づけて保持してヽる検証値とは異なる検証値を生成し、保持して、る前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、前記検証機器識別子を保持する機器に、生成した前記検証値を配布する配布手段と、

不正検出の対象である検出対象機器により可搬媒体に書き込まれた対象機器識別子と検証値とを前記可搬媒体から取得する取得手段と、

前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持して！/ヽる検証値と取得した検証値とがー致するか否かを判定する判定手段と、

一致しなヽと判定された場合に、前記対象機器識別子を不正機器リストに登録する登録手段と

を備えることを特徴とする不正機器検出装置。

[2] 前記配布手段は、更に、前記判定手段により一致すると判定された場合に、保持している検証値とは異なる検証値を生成し、保持している前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、生成した前記検証値を前記検出対象機器に配布する

ことを特徴とする請求項 1に記載の不正機器検出装置。

[3] 前記不正機器検出装置は、更に、

暗号ィ匕コンテンツの復号のためのタイトル鍵を保持するタイトル鍵記憶手段を備え、

前記配布手段は、更に、前記判定手段により一致すると判定された場合に、前記タイトル鍵を前記検出対象機器に配布する

ことを特徴とする請求項 2に記載の不正機器検出装置。

[4] 前記検出対象機器は、予め、個別鍵を保持しており、

前記不正機器検出装置は、更に、

暗号ィ匕コンテンツの復号のためのタイトル鍵を保持するタイトル鍵記憶手段と、前記検証機器識別子に対応づけて前記個別鍵の複製である複製鍵を保持している複製鍵記憶手段と、

前記複製鍵を用いて前記タイトル鍵を暗号ィ匕する暗号ィ匕タイトル鍵生成手段とを備え、

前記配布手段は、更に、前記判定手段により一致すると判定された場合に、暗号化された前記タイトル鍵を前記検出対象機器に配布する

ことを特徴とする請求項 2に記載の不正機器検出装置。

[5] 前記不正機器検出装置は、更に、

過去に前記判定手段により一致すると判定された回数を計測する計測手段と、前記回数が所定回数を超えた力否かを判定する回数判定手段と

を備え、

前記配布手段は、更に、前記回数が所定回数を超えた場合に、保持している検証値とは異なる検証値を生成し、保持している前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、生成した前記検証値を前記検出対象機器に配布する

ことを特徴とする請求項 1に記載の不正機器検出装置。

[6] 前記不正機器検出装置は、更に、

前記配布手段により前記配布がされてカゝら経過した期間を計測する計測手段と、経過した前記期間が、所定期間を超えたか否かを判定する期間判定手段とを備え、

前記配布手段は、更に、前記期間が所定期間を超えたと判定された場合に、保持している検証値とは異なる検証値を生成し、保持している前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、生成した前記検証値を前記検出対象機器に配布する

ことを特徴とする請求項 1に記載の不正機器検出装置。

[7] 前記配布手段は、前記検証値として、乱数を生成する

ことを特徴とする請求項 1に記載の不正機器検出装置。

[8] コンテンツの再生を行うコンテンツ再生装置であって、

機器識別子と、模倣により製造された不正な機器を検出する不正機器検出装置により生成された検証値とを対応づけて記憶している記憶手段と、

前記機器識別子と前記検証値とを、前記不正機器検出装置に通知する通知手段と、

前記通知に対する応答として、前記不正機器検出装置により可搬媒体に書き込まれた、機器識別子と前記不正機器検出装置により生成された検証値とを、前記可搬媒体から取得する取得手段と、

前記記憶手段に記憶されている前記機器識別子と取得した前記機器識別子とが一致する場合に、前記記憶手段に記憶されている検証値に替えて、取得した前記検証値と前記機器識別子とを対応づけて記憶させる更新手段と

を備えることを特徴とするコンテンツ再生装置。

模倣により製造された不正な機器を検出する不正機器検出システムであって、不正機器検出装置と検出対象機器とから成り、

前記検出対象機器は、

対象機器識別子と検証値とを対応づけて記憶している記憶手段と、

前記対象機器識別子と前記検証値とを前記不正機器検出装置に通知する通知手段と、

前記不正機器検出装置により配布される、検証機器識別子と前記不正機器検出装置により生成された検証値とを取得する更新情報取得手段と、

前記対象機器識別子と前記検証機器識別子とがー致する場合に、前記記憶手段に記憶されてヽる検証値に替えて、取得した前記検証値と前記対象機器識別子とを対応づけて記憶させる更新手段と

を含み、

前記不正機器検出装置は、

検証機器識別子と対応づけて保持してヽる検証値とは異なる検証値を生成し、保持して、る前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて保持し、前記検証機器識別子を保持する機器に検証機器識別子と生成した前記検証値を配布する配布手段と、

前記検出対象機器から、前記対象機器識別子と前記検証値とを取得する取得手段と、

前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持して！/ヽる前記検証値と取得した前記検証値とがー致する力否かを判定する判定手段と、一致しなヽと判定された場合に、前記対象機器識別子を不正機器リストに登録する登録手段と

を含むことを特徴とする不正機器検出システム。

[10] 前記通知手段は、前記対象機器識別子と前記検証値とを可搬媒体に書き込み、前記取得手段は、情報収集装置を用いて、前記可搬媒体に記録された前記対象機器識別子と前記検証値とを読み出す

ことを特徴とする請求項 9に記載の不正機器検出システム。

[11] 前記情報収集装置は、

前記可搬媒体に書き込まれた対象機器識別子と検証値とを、当該可搬媒体から読み出す読出手段と、

前記対象機器識別子と、前記検証値とを送信する送信手段と

を含み、

前記取得手段は、前記情報収集装置から前記対象機器識別子と前記検証値とを受信する

ことを特徴とする請求項 10に記載の不正機器検出システム。

[12] 不正検出の対象である検出対象機器が保持する情報を、模倣により製造された不正な機器を検出する不正機器検出装置へ送信する情報収集装置であって、前記検出対象機器は、対象機器識別子と前記不正機器検出装置により生成された検証値とを保持しており、

前記不正機器検出装置は、検証値を生成し、生成した検証値と検証機器識別子とを対応づけて保持し、対象機器識別子と検証値とを取得し、前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持して!/ヽる検証値と取得した検証値とがー致するカゝ否かを判定して一致しな!ヽと判定された場合に、前記対象機器識別子を不正機器リストに登録し、

前記情報収集装置は、前記検出対象機器により可搬媒体に書き込まれた前記対象機器識別子と前記検証値とを、前記可搬媒体から読み出す読出手段と、

読み出した前記対象機器識別子と前記検証値とを、前記不正機器検出装置に送信する送信手段と

を備えることを特徴とする情報収集装置。

[13] 模倣により製造された不正な機器を検出する、記憶手段を備えた不正機器検出装置に用いられる不正機器検出方法であって、

前記記憶手段に検証機器識別子と対応づけて保持している検証値とは異なる検証値を生成し、保持している前記検証値に替えて、生成した前記検証値と前記検証機器識別子とを対応づけて前記記憶手段に保持させ、前記検証機器識別子を保持する機器に、生成した前記検証値を配布する配布ステップと、

不正検出の対象である検出対象機器により可搬媒体に書き込まれた対象機器識別子と検証値とを前記可搬媒体力取得する取得ステップと、

前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持して！/ヽる検証値と取得した検証値とがー致するカゝ否かを判定する判定ステップと、

一致しなヽと判定された場合に、前記対象機器識別子を不正機器リストに登録する登録ステップと

を含むことを特徴とする不正機器検出方法。

[14] 模倣により製造された不正な機器を検出する、記憶手段を備えた不正機器検出装置に用いられるコンピュータプログラムであって、

不正検出の対象である検出対象機器により可搬媒体に書き込まれた対象機器識別子と検証値とを当該可搬媒体から取得する取得ステップと、

前記対象機器識別子と前記検証機器識別子とがー致する場合に、保持して！/ヽる検証値と取得した検証値とがー致するカゝ否かを判定する判定ステップと、一致しなヽと判定された場合に、前記対象機器識別子を不正機器リストに登録する登録ステップと

を含むことを特徴とするコンピュータプログラム。

[15] コンピュータ読み取り可能な記録媒体であって、請求項 14に記載のコンピュータプログラムが記録されている

ことを特徴とする記録媒体。

[16] コンテンツの再生を行うコンテンツ再生装置に用いられる機器情報更新方法であつて、

前記コンテンツ再生装置は、機器識別子と、模倣により製造された不正な機器を検出する不正機器検出装置により生成された検証値とを対応づけて記憶する記憶手段を備え、

前記機器情報更新方法は、

前記機器識別子と前記検証値とを、前記不正機器検出装置に通知する通知ステツプと、

前記通知に対する応答として、前記不正機器検出装置により可搬媒体に書き込まれた、機器識別子と前記不正機器検出装置により生成された検証値とを、当該可搬媒体から取得する取得ステップと、

前記記憶手段に記憶されている前記機器識別子と取得した機器識別子とがー致する場合に、前記記憶手段に記憶されている検証値に替えて、取得した前記検証値と前記機器識別子とを対応づけて記憶させる更新ステップと

を含むことを特徴とする機器情報更新方法。

[17] コンテンツの再生を行うコンテンツ再生装置に用いられるコンピュータプログラムであって、

前記コンピュータプログラムは、

を含むことを特徴とするコンピュータプログラム。

[18] コンピュータ読み取り可能な記録媒体であって、請求項 17に記載のコンピュータプログラムが記録されている

ことを特徴とする記録媒体。

[19] コンテンツの再生を行うコンテンツ再生装置に用いられる集積回路であって、機器識別子と、模倣により製造された不正な機器を検出する不正機器検出装置により生成された検証値とを対応づけて記憶している記憶手段と、

前記通知に対する応答として、前記不正機器検出装置により可搬媒体に書き込まれた、機器識別子と前記不正機器検出装置により生成された検証値とを、当該可搬媒体から取得する取得手段と、

を備えることを特徴とする集積回路。