WO2006068152A1

WO2006068152A1 - 鍵情報生成方法

Info

Publication number: WO2006068152A1
Application number: PCT/JP2005/023397
Authority: WO
Inventors: Tomoya Satou; Makoto Fujiwara; Kentaro Shiomi; Yusuke Nemoto; Yuishi Torisaki; Kazuya Shimizu; Shinji Inoue; Kazuya Fujimura; Makoto Ochi
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2004-12-20
Filing date: 2005-12-20
Publication date: 2006-06-29
Also published as: JP4606421B2; JPWO2006068152A1; US20080212770A1

Abstract

　ドメイン鍵を用いて暗号化コンテンツ鍵情報を連鎖復号化し(ST203-1)、第１データを抽出する(ST203-2)。抽出された第１データと部分検査用データとを比較する(ST203-4)。ｍ個の暗号化コンテンツ鍵情報の各々の中から第１データを暗号化されたままの状態で抽出し(ST203-6)、抽出されたｍ個のチェック値を含む連結データに対して所定演算を実行して、第２データを生成する(ST203-8)。第２データとドメイン鍵情報に含まれる全体検査用データとを比較する(ST203-11)。第１データと部分検査用データとが一致し(ST203-5)、且つ、第２データと全体検査用データとが一致する(ST203-12)と、改竄されていないと判断する。

Description

明細書

鍵情報生成方法および装置，鍵情報更新方法，改竄検出方法および装置，鍵情報のデータ構造

技術分野

[0001] 本発明は、ターゲット機器等に格納される機密情報における改竄の有無を検出する方法および装置，改竄の有無を検出される機密情報を生成する方法および装置，改竄の有無を検出される機密情報のデータ構造に関する。

背景技術

[0002] 著作物や個人情報等に関するコンテンツ (例えば、音楽データや映像データに代表されるコンテンツ）は、不正なコピーあるいは外部への漏洩を防ぐ必要がある。このようなコンテンツは、暗号ィ匕された状態でターゲット機器に格納される。ホスト機器がターゲット機器に格納された暗号ィ匕コンテンツを扱う際には、ホスト機器は、ターゲット機器との間で認証処理を実行する。この認証が失敗すると、ホスト機器は、暗号化コンテンッを復号ィ匕するためのコンテンツ鍵をターゲット機器力も入手することができない。一方、この認証が成功すると、ホスト機器は、ターゲット機器に格納されたコンテンッにアクセスして、そのコンテンツを利用することができる。このような構成にすることにより、不正なホスト機器による暗号ィ匕コンテンツの復号ィ匕を防いでいる。なお、ここで、ターゲット機器は、例えば、 SDカードのようなメモリカードである。また、ホスト機器は、メモリカードからデータを読み出す半導体集積回路，その半導体集積回路を実装したセット機器，あるいはターゲット機器へとコンテンツを配信するコンテンツ配信機器である。

[0003] 次に、図 32を参照しつつ、従来におけるターゲット機器の格納領域およびその格納領域に格納される機密情報について説明する。なお、以下の説明において、機密情報とはコンテンツを再生するために必要な情報 (例えば、鍵情報等)を示す。

[0004] ターゲット機器内の格納領域は、システム領域 901,保護領域 902,および通常領域 903に分けられている。システム領域 901は、ターゲット機器とホスト機器との間で認証を行うための情報が格納される領域である。ホスト機器は、システム領域 901へのアクセスが許可された所定の処理でなければ、システム領域 901にアクセスすることができない。保護領域 902は、ユーザ (ホスト機器）が任意にアクセスをすることができず、且つ、認証に成功して初めてアクセスすることができる領域である。通常領域 9 03は、ユーザが任意にアクセスすることができる領域である。システム領域 901には、認証鍵が格納される。保護領域 902には、暗号ィ匕コンテンツ鍵が格納される。通常領域 903には、暗号ィ匕コンテンツが格納される。

[0005] また、ターゲット機器に多くのコンテンツを格納することができるように、コンテンツを格納する通常領域 903の格納サイズは、保護領域 902の格納サイズよりも大きく設定されている。したがって、保護領域 902に格納することができるデータ量は、通常領域 903に格納することができるデータ量よりも少ない。

[0006] 次に、ホスト機器がターゲット機器内の暗号ィ匕コンテンツを復号ィ匕して利用する方法について説明する。まず、ホスト機器は、自己に格納している認証鍵とターゲット機器に格納された認証鍵とを用いて、認証を行う。認証に成功すると、ホスト機器は、これらの認証鍵を用いて認証中間鍵を生成する。この認証中間鍵は、暗号化コンテンッ鍵を復号ィ匕するための鍵として規定されている。したがって、ホスト機器は、ターゲット機器から暗号ィ匕コンテンツ鍵を取得するとともに、その暗号ィ匕コンテンツ鍵を認証中間鍵で復号ィ匕して、平文（暗号化されて、な、状態を示す)のコンテンツ鍵を生成する。さらに、ホスト機器は、暗号ィ匕コンテンツをターゲット機器力も取得し、平文のコンテンッ鍵を用 V、てその暗号ィ匕コンテンッを復号化して、平文のコンテンッを生成する。これにより、コンテンツが利用可能になる。以上のような処理を実行することにより、認証に成功したホスト機器のみがターゲット機器に格納された暗号ィ匕コンテンツを禾 IJ用することがでさる。

[0007] 上述のコンテンツの復号ィ匕では、認証に成功すれば認証中間鍵が生成されるので、認証にさえ成功すれば暗号ィ匕コンテンツを復号ィ匕することが可能である。すなわち、ターゲット機器に格納されている暗号ィ匕コンテンツは、正当なホスト機器であれば利用することができる。

[0008] 一方で、近年では、電子配信を利用して暗号ィ匕コンテンツを特定のユーザに送信することによって、その特定ユーザのみにコンテンツを利用させるといった動きが活発である。しかし、このような電子配信での利用を想定した場合、特定ユーザに送信される暗号ィ匕コンテンツは、その特定ユーザが所有する特定のホスト機器でしか復号化できないようにする必要がある。しかし、上述の方法ではその要求を満足することができない。

[0009] そのため、有効なドメイン鍵を特定のユーザにのみ設定する方法が新たに考えられている。ドメイン鍵が設定された場合、コンテンツはコンテンツ鍵で暗号化され、コンテンッ鍵は認証中間鍵ではなく特定ユーザのみに設定されたドメイン鍵を用いて暗号ィ匕されることになる。また、ドメイン鍵自体も、認証中間鍵，あるいは認証中間鍵の情報を用いて生成される別の鍵を用いて、暗号ィ匕してターゲット機器に格納される。これにより、ドメイン鍵自体の秘匿性も確保される。

[0010] 図 33を参照しつつ、このようにドメイン鍵を設定した場合における、ターゲット機器内の格納領域に格納される機密情報にっヽて説明する。ドメイン鍵を設定した場合であっても従来のターゲット機器との互換性を保っために、ターゲット機器内の領域の分割方法は同一でなくてはならない。また、ドメイン鍵とコンテンツ鍵との双方を保護領域 902に格納してしまうと、ドメイン鍵は、コンテンツ鍵の復号ィ匕のための鍵であるにもかかわらず、コンテンツ鍵と同一のセキュリティレベルの領域に格納されてしまう。したがって、セキュリティと互換性とを保っために、ドメイン鍵を設定した場合は、ドメイン鍵は、暗号化された状態で、保護領域 902に格納される。また、コンテンツ鍵は、暗号化された状態で、通常領域 903に格納される。

[0011] 図 34を参照しつつ、ターゲット機器内に格納される機密情報についてさらに詳細に説明する。ターゲット機器内の保護領域 902には、 n個 (nは 1以上の整数)の暗号ィ匕されたドメイン鍵 Ku(l)〜Ku(n)が格納されている。ドメイン鍵 Ku(l)〜Ku(n)には、 n個のドメイン鍵管理情報 UR[u](l)〜UR[u](n)が一対一で付与されている。

[0012] ターゲット機器の通常領域 903には、複数のコンテンツ鍵が格納されている。コンテンッ鍵の各々は、ドメイン鍵 Ku(l)〜Ku(n)のうちいずれか 1つに対応する。すなわち、 1つのドメイン鍵を用いて、複数の暗号ィ匕コンテンツ鍵を復号ィ匕することができる。例えば、ドメイン鍵 Ku(l)には、 m個（mは 1以上の整数）のコンテンツ鍵 Kt(l- l)〜Kt(l- m)が対応する。コンテンツ鍵 Kt(l- l)〜Kt(l- m)には、 m個のコンテンツ鍵管理情報 U R[t](l- l)〜UR[t](l- m)と m個の付加情報 info(l- l)〜info(l- m)とが一対一で付与されている。

[0013] なお、図 34では、ドメイン鍵 Ku(l)〜Ku(n)とドメイン鍵管理情報 UR[u](l)〜UR[u](n) との集合は「ドメイン鍵群 UKUREJと示し、コンテンツ鍵 Kt(l- l)〜Kt(l- m),コンテンツ鍵管理情報 UR[t](l- l)〜UR[t](l- m),および付加情報 info(l- l)〜info(l- m)の集合は「コンテンツ鍵群 TKURE(1)」と示されて!/、る。

[0014] 暗号ィ匕されたコンテンツを復号ィ匕するためには、平文のコンテンツ鍵が必要である

。また、暗号ィ匕されたコンテンツ鍵を復号ィ匕するためには、ドメイン鍵が必要である。どのコンテンツ鍵がどのドメイン鍵によって復号ィ匕できるのかを素早く検索するために

、通常領域には鍵対応テーブル Address Listも格納されている。鍵対応テーブル Add ress Listには、ドメイン鍵とコンテンツ鍵との対応関係が記されている。例えば、ドメイン鍵 Ku(l)には、そのドメイン鍵を用いて復号化できるコンテンツ鍵 Kt(l- l)〜Kt(l- m) が対応付けられている。

[0015] このように、暗号ィ匕コンテンツ鍵は、通常領域 903に格納される。通常領域 903はユーザが任意にアクセスすることが可能な領域であるので、通常領域 903に格納された暗号ィ匕コンテンツ鍵の正当性を保証すること、言、換えれば改竄を検査することが重要となってくる。

[0016] ターゲット機器に格納された機密情報の改竄を検査する場合、機密情報毎にハツシュ関数を用いる方法がある。ここで、機密情報に関連する全ての情報についてハツシュ演算を実行することによって、機密情報における改竄の有無を検出する手順について説明する。なお、ここで、「Enc」は、暗号化された状態を表す接頭語として使用する。例えば、「En_CUR[_U](l)」は、暗号化されたドメイン鍵管理情報 UR[u](l)を示す

[0017] まず、ドメイン鍵 Ku(l)によって復号化することができる暗号化コンテンツ鍵 EncKt(l- l)〜EncKt(l-m),それらの暗号化コンテンツ鍵 EncKt(l-l)〜EncKt(l-m)に対応する暗号ィ匕コンテンツ鍵管理情報 EncUR[t](l- l)〜EncUR[t](l- m),およびそれら暗号ィ匕コンテンツ鍵 EncKt(l- l)〜EncKt(l- m)に対応する付カ卩情報 info(l- l)〜info(l- m)をすベて連結してハッシュ演算を実行する。そのハッシュ演算によって得られたハッシュ値 Hash(K_U(l》をドメイン鍵管理情報 UR[u](l)に格納する。

[0018] 次に、暗号ィ匕コンテンツ鍵 EncKt l- 1)における改竄を検査する際には、ホスト機器は、鍵対応テーブル Address Listを参照して、ターゲット機器内の通常領域 903からコンテンツ鍵群 TKURE(l)を読み出し、ノ、ッシュ演算を実行する。一方、ホスト機器は、認証によって得られた認証中間鍵を用いて、ターゲット機器内の保護領域 902に格納された暗号ィ匕ドメイン鍵管理情報 En_CUR[_U](l)を復号ィ匕する。次に、ホスト機器は、復号ィ匕によって得られたドメイン鍵管理情報 UR[u](l)の中からハッシュ値 Hash(K u(l》を抽出する。次に、ホスト機器は、ノ、ッシュ演算によって算出したハッシュ値とドメイン鍵管理情報 UR[u](l)の中から抽出したハッシュ値とを比較する。ホスト機器は、両者が一致すれば改竄されてヽなヽと判断して、暗号ィ匕コンテンツ鍵を復号ィ匕する。一方、ホスト機器は、両者が不一致であれば改竄されたものとして暗号ィ匕コンテンツを復号化しない。

特許文献 1：特開 2001— 203686号公報

発明の開示

発明が解決しょうとする課題

[0019] し力しながら、図 34に示したような改竄検出方法では、処理量が非常に大きくなる。

すなわち、 1つのコンテンツ鍵 (コンテンツ鍵 Kt(l-l))の改竄をチェックするためには、ホスト機器は、同一のドメイン鍵で復号ィ匕可能な全てのコンテンツ鍵とそれに付随する全ての情報 (コンテンツ鍵群 TKURE(l))をターゲット機器力も読み出し、その読み出した情報に対してハッシュ演算を実行する必要がある。特に、ターゲット機器に格納されるコンテンツの個数が増加すると、それに従って、コンテンツ鍵の個数も増カロする。その結果、 1つのドメイン鍵に対応付けられるコンテンツ鍵は増加していくので、処理時間は、さらに増加していく。

[0020] また、コンテンツとコンテンツ鍵とがー組のデータとして、ネットワーク等を介して配信されることも想定される。そのような場合には、 1つのドメイン鍵に対応付けられるコンテンッ鍵の追加 Z削除が生じる。し力しながら、従来の方法によれば、コンテンツ鍵を追加 Z削除する場合、 1つのドメイン鍵 (ドメイン鍵 Ku(l))に対応付けられる全てのコンテンツ鍵とそれに付随する全ての情報（コンテンツ鍵群 TKURE(l))につ!/、てハッシュ演算を再度やりなおし、算出されたハッシュ値をそのドメイン鍵に付随するドメイン鍵管理情報（ドメイン鍵管理情報 UR[u](l))に埋め込む必要がある。このように、コンテンッ鍵の追加 Z削除のたびに、膨大な処理を実行する必要がある。

[0021] ここで、同一のドメイン鍵で復号ィ匕可能な全てのコンテンツ鍵とそれに付随する全ての情報 (コンテンツ鍵群 TKURE(l))に対してハッシュ演算を実行するのではなぐ 1つのドメイン鍵に関連づけられた複数のコンテンツ鍵の各々に対して予めノ、ッシュ演算を実行してハッシュ値を算出しておき、算出された複数のノ、ッシュ値をドメイン鍵管理情報に埋め込んでおく方法も考えられる。

[0022] しかし、コンテンツ鍵の個数が多くなると算出されるハッシュ値の個数も多くなるので、格納サイズが小さ、保護領域 902に対してすべてのハッシュ値を格納することは困難である。この場合、保護領域 902の格納サイズを拡大する必要があり、通常領域 9 03の格納サイズが小さくなつてしまうので、好ましくない。

[0023] そこで、本発明は、所定領域に格納されるデータ量を低減し、且つ、改竄検出時における処理量を低減することを目的とする。さら〖こ詳しくは、所定領域に格納されるデータ量が少なく且つ改竄検出時における処理量が少な!/、鍵情報のデータ構造，その鍵情報を生成する方法および装置，その鍵情報における改竄を検出する方法および装置，その鍵情報を更新する方法を提供することを目的とする。

課題を解決するための手段

[0024] この発明の 1つの局面に従うと、鍵情報生成方法では、ホスト機器によって鍵情報が生成される。鍵情報は、ドメイン鍵情報と、 m個 (mは自然数)のコンテンツ鍵情報とを含む。鍵情報は、改竄の有無を検出される。ホスト機器は、データ生成部と、データ書込部とを備える。データ生成部は、鍵情報を生成する。データ書込部は、データ生成部によって生成された鍵情報をターゲット機器に書き込む。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵を含む。ドメイン鍵情報は、 m個のコンテンツ鍵情報を暗号ィ匕および復号化するために使用されるドメイン鍵を含む。上記生成方法は、ステップ (A) 〜ステップ (E)を備える。ステップ (A)では、データ生成部が、 m個のコンテンツ鍵情報の各々に対して、第 1データを追加し、ドメイン鍵を用いてその m個のコンテンツ鍵情報の各々を連鎖暗号化する。第 1データは、改竄検出処理のために使用される部分検査用データに相当する。ステップ (B)では、データ生成部が、ステップ (A)において暗号ィ匕された m個のコンテンツ鍵情報の各々の中力第 1データを暗号ィ匕されたままの状態で抽出する。ステップ (C)では、データ生成部が、ステップ）において抽出された m個の第 1データを含む連結データに対して所定演算を実行して、第 2データを生成する。ステップ (D)では、データ生成部が、ステップ (C)において生成された第 2データを全体検査用データとしてドメイン鍵情報に追加する。ステップ (E)では、データ書込部が、上記 m個の暗号化されたコンテンツ鍵情報を第 1記憶領域に書き込み、且つ、上記ドメイン鍵情報を第 2記憶領域に書き込む。

[0025] 上記鍵情報生成方法では、改竄検出処理のために使用されるデータが複数段階に分けて生成される。また、改竄検出処理のために使用されるデータのすべてが所定領域 (セキュリティレベルが比較的高い第 2記憶領域）に格納されるのではなぐ最終段階の検査用データが所定領域に格納される。これにより、所定領域に格納されるデータ量を低減することができる。また、ある 1つのコンテンツ鍵情報に対して所定処理を実行して得られる第 1データと予め用意された部分検査用データとの比較を行えば、そのコンテンツ鍵情報における改竄の有無を検出できる。また、 m個の第 1 データに基づいて生成される第 2データと全体検証用データとの比較を行えば、鍵情報全体における改竄の有無を検出することができる。したがって、鍵情報全体に対して処理を実行する必要がな!ヽので、改竄検出処理時の処理量を低減することができる。

[0026] また、鍵情報生成方法では、ホスト機器によって鍵情報が生成される。鍵情報は、ドメイン鍵情報と、 m個のコンテンツ鍵情報とを含む。鍵情報は、改竄の有無を検出される。ホスト機器は、データ生成部と、データ書込部とを備える。データ生成部は、鍵情報を生成する。データ書込部は、データ生成部によって生成された鍵情報をターゲット機器に書き込む。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。 m個のコンテンツ鍵情報の各々は、コンテンッを暗号化および復号化するために使用されるコンテンツ鍵を含む。ドメイン鍵情報は、 m個のコンテンツ鍵情報を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵を含む。上記生成方法は、ステップ (A)〜ステップ (E)を備える。ステップ (A)では、データ生成部が、 m個のコンテンツ鍵情報の各々に対して、第 1データを追加し、ドメイン鍵を用いてその m個のコンテンツ鍵情報の各々を連鎖暗号ィ匕する。第 1データは、改竄検出処理のために使用される部分検査用データに相当する。ステップ（ B)では、データ生成部が、ステップ (A)において暗号ィ匕された m個のコンテンツ鍵情報の各々の中から第 1データを暗号化されたままの状態で抽出する。ステップ (C)では、データ生成部が、第 2データとステップ (B)において抽出された m個の第 1データとを含む連結データをドメイン鍵を用いて連鎖暗号ィ匕し、その暗号化された連結データの中から第 2データを暗号ィ匕されたままの状態で抽出する。ステップ (D)では、データ生成部が、ステップ (C)において抽出された第 2データを全体検査用データとしてドメイン鍵情報に追加する。ステップ (E)では、データ書込部が、ステップ (C)において暗号化された連結データに含まれる m個の暗号化された第 1データを第 1記憶領域に書き込む。また、ステップ (E)では、データ書込部が、上記 m個の暗号化されたコンテンツ鍵情報を第 1記憶領域に書き込み、且つ、上記ドメイン鍵情報を第 2記憶領域に書き込む。

また、鍵情報生成方法では、ホスト機器によって鍵情報が生成される。鍵情報は、ドメイン鍵情報と、 m個のコンテンツ鍵情報とを含む。鍵情報は、改竄の有無を検出される。ホスト機器は、データ生成部と、データ書込部とを備える。データ生成部は、鍵情報を生成する。データ書込部は、データ生成部によって生成された鍵情報をターゲット機器に書き込む。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。 m個のコンテンツ鍵情報の各々は、コンテンッを暗号化および復号化するために使用されるコンテンツ鍵を含む。ドメイン鍵情報は、 m個のコンテンツ鍵情報を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵を含む。上記生成方法は、ステップ (A)〜ステップ (E)を備える。ステップ (A)では、データ生成部が、ドメイン鍵を用いて m個のコンテンツ鍵情報の各々を暗号ィ匕する。ステップ (B)では、データ生成部が、ステップ (A)によって暗号ィ匕された m個のコンテンッ鍵情報の各々に対して第 1演算を実行して、 m個の第 1データを生成する。ステップ (C)では、データ生成部が、ステップ）において生成された m個の第 1データを含む連結データに対して第 2演算を実行して、第 2データを生成する。ステツプ (D)では、データ生成部が、ステップ (C)において生成された第 2データを全体検查用データとしてドメイン鍵情報に追加する。ステップ (E)では、データ書込部が、上記 m個の第 1データを m個の部分検査用データとして第 1記憶領域に書き込む。また、ステップ (E)では、データ書込部が、上記 m個の暗号ィ匕されたコンテンツ鍵情報を第 1記憶領域に書き込み、且つ、上記ドメイン鍵情報を第 2記憶領域に書き込む。この発明のもう 1つの局面に従うと、鍵情報更新方法では、ホスト機器によって鍵情報が更新される。鍵情報は、改竄の有無を検出される。ホスト機器は、データ更新部と、データ書込部とを備える。データ更新部は、鍵情報に対して新たなコンテンツ鍵情報を追加するとともに、その鍵情報を更新する。データ書込部は、データ更新部によって更新された鍵情報をターゲット機器に書き込む。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。鍵情報は、ドメイン鍵情報と、 m個のコンテンツ鍵情報とを含む。 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1データとを含む。ドメイン鍵情報は、 m個のコンテンツ鍵情報を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、全体検査用データとを含む。 m個のコンテンツ鍵情報の各々は、暗号化されている。上記更新方法は、ステップ (A)〜ステップ (E)を備える。ステップ (A) では、データ更新部が、新たなコンテンツ鍵情報に対して第 1データを追加し、そのコンテンツ鍵情報をドメイン鍵を用いて連鎖暗号ィ匕する。ステップ (B)では、データ更新部が、ステップ (A)において暗号ィ匕されたコンテンツ鍵情報の中力第 1データを暗号化されたままの状態で抽出する。ステップ (C)では、データ更新部が、ステップ（ B)において抽出された第 1データと m個の暗号ィ匕されたコンテンツ鍵情報の各々に含まれる第 1データとを含む連結データに対して所定演算を実行して、第 2データを生成する。ステップ (D)では、データ更新部が、ドメイン鍵情報に含まれる全体検査用データをステップ (C)において生成された第 2データに書き換える。ステップ (E)では、データ書込部が、上記 m個の暗号化されたコンテンツ鍵情報と暗号化された新たなコンテンツ鍵情報とを第 1記憶領域に書き込み、且つ、上記ドメイン鍵情報を第 2 記憶領域に書き込む。

[0029] 上記鍵情報更新方法では、鍵情報を更新するときに、鍵情報全体に対して所定処理を実行する必要がない。したがって、鍵情報の更新時における処理量を低減することができる。また、更新された鍵情報では、改竄検出処理のために使用されるデータのすべてが所定領域 (セキュリティレベルが比較的高、第 2記憶領域）に格納されるのではなぐ最終段階の検査用データが所定領域に格納される。これにより、所定領域に格納されるデータ量を低減することができる。また、更新された鍵情報に対して改竄検出処理を実行する場合、鍵情報全体に対して処理する必要がな!ヽので、改竄検出時における処理量を低減することができる。

[0030] また、鍵情報更新方法では、ホスト機器によって鍵情報が更新される。鍵情報は、改竄の有無を検出される。ホスト機器は、データ更新部と、データ書込部とを備える。データ更新部は、鍵情報に対して新たなコンテンツ鍵情報を追加するとともに、その鍵情報を更新する。データ書込部は、データ更新部によって更新された鍵情報をタ一ゲット機器に書き込む。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキユリティレベルが高い第 2記憶領域とを含む。鍵情報は、ドメイン鍵情報と、 m個のコンテンッ鍵情報と、 m個の暗号ィ匕された第 1データと、第 2データとを含む。 m個のコンテンッ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンッ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1 データとを含む。ドメイン鍵情報は、 m個のコンテンツ鍵情報を暗号化および復号ィ匕するために使用されるドメイン鍵と、全体検査用データとを含む。 m個のコンテンツ鍵情報の各々は、暗号化されて、る。上記更新方法は、ステップ (A)〜ステップ (E)を備える。ステップ (A)では、データ更新部が、新たなコンテンツ鍵情報に対して第 1データを追加し、そのコンテンツ鍵情報をドメイン鍵を用いて連鎖暗号ィ匕する。ステップ (B)では、データ更新部が、ステップ (A)において暗号ィ匕されたコンテンツ鍵情報の中から第 1データを暗号化されたままの状態で抽出する。ステップ (C)では、データ更新部が、第 2データ， m個の暗号化された第 1データ，およびステップ (B)において抽出された第 1データを含む連結データを、ドメイン鍵を用いて連鎖暗号ィ匕し、その暗号化された連結データの中から第 2データを暗号化されたままの状態で抽出する。ステップ (D)では、データ更新部が、ドメイン鍵情報に含まれる全体検査用データをステップ (C)において抽出された第 2データに書き換える。ステップ (E)では、データ書込部が、ステップ (C)において暗号ィ匕された連結データに含まれる（m+ 1)個の第 1データを第 1記憶領域に書き込む。また、ステップ (E)では、データ書込部が、上記 m個の暗号化されたコンテンツ鍵情報および上記暗号化された新たなコンテンツ鍵情報を第 1記憶領域に書き込み、且つ、上記ドメイン鍵情報を第 2記憶領域に書き込む。

また、鍵情報更新方法では、ホスト機器によって鍵情報が更新される。鍵情報は、改竄の有無を検出される。ホスト機器は、データ更新部と、データ書込部とを備える。データ更新部は、鍵情報に対して新たなコンテンツ鍵情報を追加するとともに、その鍵情報を更新する。データ書込部は、データ更新部によって更新された鍵情報をタ一ゲット機器に書き込む。上記ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。鍵情報は、ドメイン鍵情報と、 m 個のコンテンツ鍵情報と、 m個の部分検査用データとを含む。 m個のコンテンツ鍵情報の各々は、コンテンツを暗号化および復号化するために使用されるコンテンツ鍵を含む。ドメイン鍵情報は、 m個のコンテンツ鍵情報を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、全体検査用データとを含む。 m個のコンテンツ鍵情報の各々は、暗号ィ匕されている。上記更新方法は、ステップ (A)〜ステップ (E)を備える。ステツプ (A)では、データ更新部が、新たなコンテンツ鍵情報を暗号ィ匕する。ステップ（ B)では、データ更新部が、ステップ (A)において暗号ィ匕された新たなコンテンツ鍵に対して第 1演算を実行して、第 1データを生成する。ステップ (C)では、データ更新部が、 m個の部分検査用データとステップ (B)において生成された第 1データとを含む連結データに対して第 2演算を実行して、第 2データを生成する。ステップ (D)では、データ更新部が、ドメイン鍵情報に含まれる全体検査用データをステップ (C)において生成された第 2データに書き換える。ステップ (E)では、データ書込部が、 m個の部分検査用データと上記第 1データとを (m+ 1)個の部分検査用データとして第 1記憶領域に書き込む。また、ステップ (E)では、データ書込部が、上記 m個の暗号化されたコンテンツ鍵情報および上記暗号化された新たなコンテンツ鍵情報を第 1記憶領域に書き込み、且つ、上記ドメイン鍵情報を第 2記憶領域に書き込む。

[0032] また、鍵情報更新方法では、ホスト機器によって鍵情報が更新される。鍵情報は、改竄の有無を検出される。ホスト機器は、データ更新部と、データ書込部とを備える。データ更新部は、改竄の有無を検出することができる鍵情報の中からいずれか 1つのコンテンツ鍵情報を削除するとともに、その鍵情報を更新する。データ書込部は、データ更新部によって更新された鍵情報をターゲット機器に書き込む。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。鍵情報は、ドメイン鍵情報と、 m個のコンテンツ鍵情報とを含む。 m個のコンテンッ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンッ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1デ一タとを含む。ドメイン鍵情報は、上記 m個のコンテンツ鍵情報を暗号化および復号化するために使用されるドメイン鍵と、全体検査用データとを含む。 m個のコンテンツ鍵情報の各々は、暗号ィ匕されている。上記更新方法は、ステップ (A)〜ステップ (E) を備える。ステップ (A)では、データ更新部が、 m個の暗号ィ匕されたコンテンツ鍵情報のうちいずれか 1つを削除する。ステップ (B)では、データ更新部が、ステップ (A) において削除されな力つた (m— 1)個の暗号ィ匕されたコンテンツ鍵情報の各々に含まれる第 1データを暗号化されたままの状態で抽出する。ステップ (C)では、データ更新部が、ステップ）において抽出された (m— 1)個の第 1データを含む連結データに対して所定演算を実行して、第 2データを生成する。ステップ (D)では、データ更新部が、ドメイン鍵情報に含まれる全体検査用データをステップ (C)において生成された第 2データに書き換える。ステップ (E)では、データ書込部が、上記 (m— 1)個の暗号化されたコンテンツ鍵情報を第 1記憶領域に書き込み、且つ、上記ドメイン鍵情報を第 2記憶領域に書き込む。

[0033] また、鍵情報更新方法では、ホスト機器によって鍵情報が更新される。鍵情報は、改竄の有無を検出される。ホスト機器は、データ更新部と、データ書込部とを備える。データ更新部は、改竄の有無を検出することができる鍵情報の中からいずれか 1つのコンテンツ鍵情報を削除するとともに、その鍵情報を更新する。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む o鍵情報は、ドメイン鍵情報と、 m個のコンテンツ鍵情報と、 m個の暗号化された第 1 データと、第 2データとを含む。 m個のコンテンツ鍵情報の各々は、コンテンツを暗号化および復号ィ匕するために使用されるコンテンツ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1データとを含む。ドメイン鍵情報は、 m個のコンテンッ鍵情報を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、全体検査用データとを含む。 m個の暗号ィ匕された第 1データは、 m個のコンテンツ鍵情報と一対一で対応する。 m個のコンテンツ鍵情報の各々は、暗号ィ匕されている。上記更新方法は、ステップ (A)〜ステップ (E)を備える。ステップ (A)では、データ更新部が、 _m個のコンテンツ鍵情報のうちいずれか 1つを削除する。ステップ（B)では、データ更新部が、ステップ (A)において削除されな力つた (m—1)個の暗号ィ匕されたコンテンッ鍵情報の各々に含まれる第 1データを暗号化されたままの状態で抽出する。ステツプ (C)では、データ更新部が、 m個の暗号ィ匕された第 1データのうちステップ (A)において削除されたコンテンツ鍵情報に対応する第 1データを削除する。ステップ (C) では、データ更新部が、第 2データとステップ (B)において削除されな力つた (m—1) 個の暗号化された第 1データとを含む連結データをドメイン鍵を用いて連鎖暗号ィ匕し、その暗号化された連結データの中力も第 2データを暗号化されたままの状態で抽出する。ステップ (D)では、データ更新部が、ドメイン鍵情報に含まれる全体検査用データをステップ (C)において抽出された第 2データに書き換える。ステップ (E)では、データ書込部が、ステップ (C)において暗号ィ匕された連結データに含まれる (m- 1)個の第 1データを第 1記憶領域に書き込む。また、ステップ (E)では、データ書込部が、上記 (m—1)個の暗号化されたコンテンツ鍵情報を第 1記憶領域に書き込み、且つ、上記ドメイン鍵情報を第 2記憶領域に書き込む。

また、鍵情報更新方法では、ホスト機器によって鍵情報が更新される。鍵情報は、改竄の有無を検出される。ホスト機器は、データ更新部と、データ書込部とを備える。データ更新部は、改竄の有無を検出することができる鍵情報の中からいずれか 1つのコンテンツ鍵情報を削除するとともに、その鍵情報を更新する。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。鍵情報は、ドメイン鍵情報と、 m個のコンテンツ鍵情報と、 m個の部分検査用データとを含む。 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵を含む。ドメイン鍵情報は、 m個のコンテンツ鍵情報を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、全体検査用データとを含む。 m個の部分検査用データは、 m個のコンテンツ鍵情報と一対一で対応する。 m個のコンテンツ鍵情報の各々は、暗号ィ匕されている。上記更新方法は、ステップ (A)〜ステツプ (E)を備える。ステップ (A)では、データ更新部が、 m個の暗号ィ匕されたコンテンッ鍵情報のうちいずれか 1つを削除する。ステップ (B)では、データ更新部が、 m個の部分検査用データのうちステップ ( A)において削除されたコンテンッ鍵情報に対応する部分検査用データを削除する。ステップ (C)では、データ更新部が、ステップ（ B)において削除されな力つた (m—1)個の部分検査用データを含む連結データに対して第 2演算を実行して、第 2データを生成する。ステップ (D)では、データ更新部力ドメイン鍵情報に含まれる全体検査用データをステップ (C)において生成された第 2データに書き換える。ステップ (E)では、データ書込部が、ステップ）において削除されなかった (m— 1)個の部分検査用データを上記第 1記憶領域に書き込む。また、ステップ (E)では、データ書込部が、上記 (m—1)個の暗号ィ匕されたコンテンツ鍵情報を第 1記憶領域に書き込み、且つ、上記ドメイン鍵情報を第 2記憶領域に書き込む。

この発明のさらにもう 1つの局面に従うと、改竄検出方法では、ホスト機器によって、ターゲット機器に格納された鍵情報における改竄の有無が検出される。鍵情報は、ドメイン鍵情報と、 m個（mは自然数)のコンテンツ鍵情報とを含む。 m個のコンテンツ鍵情報の各々は、コンテンツを暗号化および復号化するために使用されるコンテンツ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1データとを含む。ドメイン鍵情報は、 m個のコンテンツ鍵を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、全体検査用データとを含む。 m個のコンテンツ鍵情報の各々は、暗号ィ匕されている。上記検出方法は、ステップ (A)〜ステップ (E)を備える。ステップ (A)では、 m個の暗号ィ匕されたコンテンツ鍵情報のうちいずれ力 1つをドメイン鍵を用いて連鎖復号化し、その復号化されたコンテンツ鍵情報の中から上記第 1データを抽出する。ステップ (B)では、ステップ (A)において抽出された第 1データと予め用意された部分検査用データとを比較する。ステップ (C)では、 m個のコンテンツ鍵情報の各々の中から第 1データを暗号化されたままの状態で抽出し、その抽出された m個の第 1データを含む連結データに対して所定演算を実行して、第 2データを生成する。ステップ (D)では、ステップ (C)において生成された第 2データと上記ドメイン鍵情報に含まれる全体検査用データとを比較する。ステップ (E)では、ステップ (B)において第 1データと部分検査用データとがー致し、且つ、ステップ (D)において第 2データと全体検査用データとがー致すると、上記鍵情報が改竄されていないと判断する。

[0036] 上記改竄検出方法では、鍵情報全体に対して処理を実行する必要がな!ヽので、改竄検出処理時の処理量を低減することができる。また、改竄検出処理のために使用されるデータのすべてが所定領域 (セキュリティレベルが比較的高、第 2記憶領域）に格納されている必要はなぐ最終段階で使用される検査用データが所定領域に格納されていれば良い。したがって、所定領域に格納されるデータ量を低減することができる。

[0037] また、改竄検出方法では、ホスト機器によって、ターゲット機器に格納された鍵情報における改竄の有無が検出される。鍵情報は、ドメイン鍵情報と、 m個のコンテンツ鍵情報と、 m個の暗号ィ匕された第 1データと、第 2データとを含む。 m個のコンテンツ鍵情報の各々は、コンテンツを暗号化および復号化するために使用されるコンテンツ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1データとを含む。ドメイン鍵情報は、 m個のコンテンツ鍵を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、全体検査用データとを含む。 m個のコンテンツ鍵情報の各々は、暗号ィ匕されている。上記検出方法は、ステップ (A)〜ステップ (E)を備える。ステップ (A)では、 m個の暗号ィ匕されたコンテンツ鍵情報のうちいずれ力 1つをドメイン鍵を用いて連鎖復号化し、その復号化されたコンテンツ鍵情報の中力ゝら第 1データを抽出する。ステップ (B)では、ステップ (A)において抽出された第 1データと予め用意された部分検査用データとを比較する。ステップ (C)では、ドメイン鍵情報に含まれる全体検査用データと m個の暗号ィ匕された第 1データとを含む連結データをドメイン鍵を用いて連鎖復号ィ匕し、その復号ィ匕された連結データの中からその全体検査用データを抽出する。ステップ (D)では、第 2データとステップ (C)において抽出された全体検查用データとを比較する。ステップ (E)では、ステップ）において第 1データと部分検査用データとがー致し、且つ、ステップ（D)において第 2データと全体検査用データとが一致すると、上記鍵情報が改竄されてヽなヽと判断する。

[0038] また、改竄検出方法では、ホスト機器によって、ターゲット機器に格納された鍵情報における改竄の有無が検出される。鍵情報は、ドメイン鍵情報と、 m個のコンテンツ鍵情報と、 m個の部分検査用データとを含む。 m個のコンテンツ鍵情報の各々は、コンテンッを暗号化および復号化するために使用されるコンテンツ鍵を含む。ドメイン鍵情報は、 m個のコンテンツ鍵を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、全体検査用データとを含む。 m個の部分検査用データは、 m個のコンテンツ鍵情報と一対一で対応する。 m個のコンテンツ鍵情報の各々は、暗号ィ匕されている。上記検出方法は、ステップ (A)〜ステップ (E)を備える。ステップ (A)では、 m個の暗号化されたコンテンツ鍵情報のうちいずれか 1つに対して第 1演算を実行して、第 1データを生成する。ステップ (B)では、ステップ (A)において生成された第 1データと、 m個の部分検査用データのうちステップ (A)において第 1演算が実行されたコンテンツ鍵情報に対応する部分検査用データとを比較する。ステップ (C)では、 m個の部分検查用データを含む連結データに対して第 2演算を実行して、第 2データを生成する。ステップ (D)では、ステップ (C)において生成された第 2データとドメイン鍵情報に含まれる全体検査用データとを比較する。ステップ (E)では、ステップ (B)において第 1 データと部分検査用データとがー致し、且つ、ステップ (D)において第 2データと全体検査用データとがー致すると、上記鍵情報が改竄されていないと判断する。

[0039] この発明のさらにもう 1つの局面に従うと、鍵情報のデータ構造は、 m個のコンテンッ鍵情報と、ドメイン鍵情報とを備える。鍵情報は、ターゲット機器に格納される。また、鍵情報は、ホスト機器によって改竄の有無を検出される。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。 m個のコンテンツ鍵情報は、第 1記憶領域に格納される。ドメイン鍵情報は、第 2記憶領域に格納される。 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵と、ホスト機器による改竄検出処理のために使用される部分検査用データに相当する第 1データとを含む。ドメイン鍵情報は、 m個のコンテンッ鍵情報を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、ホスト機器による改竄検出処理のために使用される全体検査用データとを含む。 m個のコンテンッ鍵情報の各々は、暗号ィ匕されている。全体検査用データは、改竄されていない m個の暗号ィ匕されたコンテンツ鍵情報の各々力第 1データを暗号ィ匕されたままの状態で抽出し、その抽出された m個の第 1データを含む連結データに対して所定演算を実行することによって得られるデータに相当する。

[0040] 上記鍵情報のデータ構造では、改竄検出処理のために使用されるデータのすべてが所定領域 (セキュリティレベルが比較的高、第 2記憶領域）に格納されて、るのではなぐ最終段階の検査用データが所定領域に格納されている。したがって、所定領域に格納されるデータ量を低減することができる。また、ある 1つのコンテンツ鍵情報に対して所定処理を実行して得られる第 1データと予め用意された部分検査用データとの比較を行えば、そのコンテンツ鍵情報における改竄の有無を検出できる。また、m個の第 1データに基づいて生成される第 2データと全体検証用データとの比較を行えば、鍵情報全体における改竄の有無を検出することができる。したがって、鍵情報全体に対して処理を実行する必要がないので、改竄検出処理時における処理量を低減することができる。

[0041] また、鍵情報のデータ構造は、 m個のコンテンツ鍵情報と、ドメイン鍵情報と、 m個の暗号化された第 1データと、第 2データとを備える。鍵情報は、ターゲット機器に格納される。また、鍵情報は、ホスト機器によって改竄の有無を検出される。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。 m個のコンテンツ鍵情報， m個の暗号化された第 1データ，および第 2データは、第 1記憶領域に格納される。ドメイン鍵情報は、第 2記憶領域に格納される。 m 個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵と、ホスト機器による改竄検出処理のために使用される部分検査用データに相当する第 1データとを含む。ドメイン鍵情報は、 m個のコンテンツ鍵情報を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、ホスト機器による改竄検出処理のために使用される全体検査用データとを含む。 m個の暗号化された第 1データは、 m個のコンテンツ鍵情報と一対一で対応する。 m個のコンテンツ鍵情報の各々は、暗号ィ匕されている。全体検査用データは、改竄されていない m個の暗号ィ匕された第 1データと第 2データとを含む連結データをドメイン鍵を用いて連鎖暗号ィ匕し、その暗号化された連結データの中から暗号化されたままの状態で抽出される第 2データに相当する。

[0042] また、鍵情報のデータ構造は、 m個のコンテンツ鍵情報と、ドメイン鍵情報と、 m個の部分検査用データとを備える。鍵情報は、ターゲット機器に格納される。また、鍵情報は、ホスト機器によって改竄の有無を検出される。ターゲット機器は、第 1記憶領域と、第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含む。 m個のコンテンッ鍵情報および m個の部分検査用データは、第 1記憶領域に格納される。ドメイン鍵情報は、第 2記憶領域に格納される。 m個のコンテンツ鍵情報の各々は、コンテンッを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵を含む。ドメイン鍵情報は、 m個のコンテンツ鍵情報を暗号ィ匕および復号ィ匕するために使用されるドメイン鍵と、ホスト機器による改竄検出処理のために使用される全体検査用データとを含む。 m個の部分検査用データは、 m個のコンテンツ鍵情報と一対一で対応する。 m個の部分検査用データの各々は、その部分検査用データに対応する改竄されていないコンテンツ鍵情報に対して第 1演算を実行することによって得られるデータに相当する。全体検査用データは、改竄されていない m個の部分検査用データを含む連結データに対して第 2演算を実行することによって得られるデータに相当する。

発明の効果

[0043] 以上のように、改竄検出処理のために使用されるデータのすべてが所定領域 (セキユリティレベルが比較的高い第 2記憶領域）に格納されるのではなぐ最終段階の検查用データが所定領域に格納される。これにより、所定領域に格納されるデータ量を低減することができる。

[0044] また、鍵情報全体に対して処理を実行する必要がな!、ので、改竄検出処理時における処理量を低減することができる。

[0045] また、鍵情報を更新するときに、鍵情報全体に対して所定処理を実行する必要がない。したがって、鍵情報の更新時における処理量を低減することができる。

図面の簡単な説明

[図 1]図 1は、この発明の第 1の実施形態による機密情報処理システムの全体構成を示すブロック図である。

[図 2]図 2は、この発明の第 1の実施形態におけるターゲット機器に格納される機密情報を示す図である。

[図 3]図 3は、ドメイン鍵の暗号ィ匕 Z復号ィ匕とコンテンツ鍵の暗号ィ匕 Z復号ィ匕とについて説明するための図である。

[図 4]図 4は、図 2に示したハッシュリストおよび全体検査用データの生成手順について説明するための図である。

[図 5]図 5は、機密情報処理システムによる動作についての概略フローチャートである [図 6]図 6は、認証処理について説明するための図である。

[図 7]図 7は、この発明の第 1の実施形態における改竄検出方法についてのフローチヤートである。

[図 8]図 8は、コンテンツ鍵情報が追加された場合におけるハッシュリストおよび全体検査用データの更新手順について説明するための図である。

[図 9]図 9は、コンテンツ鍵情報が削除された場合におけるハッシュリストおよび全体検査用データの更新手順について説明するための図である。

[図 10]図 10は、図 2に示した機密情報の改変例について説明するための図である。

[図 11]図 11は、図 2に示した機密情報の改変例について説明するための図である。

[図 12]図 12は、連鎖暗号方式について説明するための図である。

[図 13]図 13は、この発明の第 2の実施形態による機密情報処理システムの全体構成を示すブロック図である。

圆 14]図 14は、図 13に示したターゲット機器に格納される機密情報を示す図である

[図 15]図 15は、図 14に示した全体検査用データの生成手順について説明するための図である。 [図 16]図 16は、チェック値を利用した改竄検出処理の手順について説明するための図である。

[図 17]図 17は、この発明の第 2の実施形態における改竄検出方法についてのフローチャートである。

[図 18]図 18は、コンテンツ鍵情報が追加された場合における全体検査用データの更新手順について説明するための図である。

[図 19]図 19は、コンテンツ鍵情報が削除された場合における全体検査用データの更新手順について説明するための図である。

[図 20]図 20は、一方向関数型のハッシュ演算（DES HASH)について説明するための図である。

[図 21]図 21は、図 20に示したハッシュ演算を実行するためのアルゴリズムを示す図である。

[図 22]図 22は、一方向関数型のハッシュ演算（C2)について説明するための図である。

[図 23]図 23は、連鎖暗号方式（DES E-CBC)について説明するための図である。

[図 24]図 24は、図 23に示した連鎖暗号方式を実行するためのアルゴリズムを示す図である。

[図 25]図 25は、連鎖暗号方式 (C2 E-CBC)について説明するための図である。

[図 26]図 26は、図 14に示した機密情報の改変例について説明するための図である

[図 27]図 27は、この発明の第 3の実施形態におけるターゲット機器に格納される機密情報を示す図である。

[図 28]図 28は、図 27に示したチェック値リストおよび全体検査用データの生成手順について説明するための図である。

[図 29]図 29は、全体チェック値およびチェック値リストを利用した改竄検出処理の手順について説明するための図である。

[図 30]図 30は、コンテンツ鍵情報が追加された場合におけるチェック値リストおよび全体検査用データの更新手順について説明するための図である。 [図 31]図 31は、コンテンツ鍵情報が削除された場合におけるチェック値リストおよび全体検査用データの更新手順について説明するための図である。

[図 32]図 32は、従来のターゲット機器に格納される機密情報を示す図である。

圆 33]図 33は、ドメイン鍵を設定した場合のターゲット機器に格納される機密情報を示す図である。

[図 34]図 34は、ターゲット機器に格納される機密情報についてさらに詳細に示した図である。

符号の説明

(10) ターゲット機器

(11) ホスト機器

(101, 901) システム領域

(102, 902) 保護領域

(103, 903) 通常領域

(111) 内部バス

(112) ターゲット IZF部

(113) 機密情報処理部

(114) ホスト IZF部

(115) ホスト CPU

(116) ROM

(117) RAM

発明を実施するための最良の形態

以下、この発明の実施の形態を図面を参照して詳しく説明する。なお、図中同一または相当部分には同一の符号を付しその説明は繰り返さない。

(第 1の実施形態）

<全体構成 >

図 1は、この発明の第 1の実施形態による機密情報処理システムの全体構成を示す。この機密情報処理システムは、ターゲット機器 10と、ホスト機器 11とを備える。ターゲット機器 10は、例えば、 SDカードに代表されるメモリカードのような可搬型記憶デバイスであり、鍵情報を含むデータを格納する。ホスト機器 11は、ターゲット機器 10 が接続されて、ターゲット機器 10との間で鍵情報の読み出し Z書き込みを行う。なお

、ターゲット機器 10とホスト機器 11とが一体となって、ても良、。

[0049] <ターゲット機器の内部構成 >

ターゲット機器 10は、システム領域 101と、保護領域 102と、通常領域 103とを含む。システム領域 101,保護領域 102,通常領域の各々の格納サイズは、予め設定されている。例えば、ターゲット機器 10の格納領域全体 (例えば、 512MB)のうち、約 1%がシステム領域 101および保護領域 102に割り当てられ、残りが通常領域 103に割り当てられることが理想的である。

[0050] 〔システム領域〕

システム領域 101は、ホスト機器 11からアクセスすることができる領域と、ホスト機器 11からアクセスすることができない領域に分かれている。システム領域 101のうちホスト機器 11からアクセス可能な領域には、ターゲット機器 10とホスト機器 11との間で実行される認証処理に必要な情報 (ターゲット機器用認証鍵)が格納されている。システム領域 101のうちホスト機器 11からアクセス不可能な領域には、相互認証の結果得られる認証中間鍵 Aが予め格納されている。システム領域 101に格納されるべき情報は製造段階で予め書き込まれており、製品となって出荷された後に書き換えることはできない。

[0051] 〔保護領域〕

保護領域 102は、ターゲット機器 10とホスト機器 11との間で実行される認証処理が成功して初めてホスト機器 11がアクセスすることができる領域である。保護領域 102 には、少なくとも 1つのドメイン鍵情報が格納されている。ドメイン鍵情報は、ドメイン鍵を含む。また、ドメイン鍵情報は、ドメイン鍵管理情報を含んでいても良い。ドメイン鍵管理情報には、このドメイン鍵を使用することができるホスト機器を特定するための情報等が書き込まれている。

[0052] 〔通常領域〕

通常領域 103は、ホスト機器 11が任意にアクセスすることができる領域である。通常領域 103には、複数のコンテンツ鍵情報と、複数のコンテンツとが格納されている。複数のコンテンツ鍵情報の各々は、保護領域 102に格納されたドメイン鍵情報のうちいずれか 1つに対応する。複数のコンテンツ鍵情報の各々は、コンテンツ鍵を含む。また、複数のコンテンツ鍵情報の各々は、コンテンツ鍵管理情報を含んでいても良い。コンテンツ鍵管理情報には、コンテンツの再生限度回数やコピー限度回数，コンテンッについての著作権に関する情報等が書き込まれている。複数のコンテンツは、複数のコンテンツ鍵情報と一対一で対応する。

[0053] ドメイン鍵情報は、認証中間鍵 Aを用いて暗号ィ匕されて、る。複数のコンテンツ鍵情報の各々は、対応するドメイン鍵を用いて暗号ィ匕されている。コンテンツは、対応するコンテンツ鍵を用いて暗号ィ匕されて、る。

[0054] <ホスト機器の内部構成 >

ホスト機器 11は、内部バス 111と、ターゲット IZF部 112と、機密情報処理部 113と、ホスト I/F部 114と、ホスト CPU115と、 ROM116と、 RAMI 17とを含む。ターゲッ HZF部 112は、ターゲット機器 10との間でデータの入出力を行う。機密情報処理部 113は、所定シーケンスに従って、ターゲット機器 10との間で認証を実行する。また、機密情報処理部 113は、ターゲット機器 10に格納された機密情報の暗号ィ匕 Z復号化を実行する。ホスト IZF部 114は、ターゲット IZF部 112との間，機密情報処理部 113との間，およびホスト CPU115との間で、データの入出力を行う。ホスト CPU11 5は、機密情報処理部 113に所定シーケンスを実行させる。 ROM116には、ホスト機器用認証鍵が格納されている。 RAMI 17は、ホスト CPU115や機密情報処理部 11 3に、データを一時格納しておくためのワーク領域として使用される。

[0055] ターゲット機器 10とホスト機器 11との間において機密情報の読み出し Z書き込みが行われる場合には、ターゲット機器 10とホスト機器 11との間で認証を行う必要がある。この場合、ホスト CPU115によって機密情報処理部 113が起動され、機密情報処理部 113が認証処理を行う。認証が成功すると、ホスト機器 11では、ターゲット機器 10からターゲット IZF部 112を介して機密情報が読み出され、機密情報処理部 1 13によって復号ィ匕される。

[0056] 機密情報処理部 113は、秘匿されたハードウェアである。また、機密情報処理部 11 3は、ホスト CPU115によって起動されると、セキュリティの確保された，あるいはセキユリティの必要の少ない所定のシーケンスのみを実行する。

[0057] <機密情報 >

次に、ターゲット機器 10に格納される機密情報について図 2を参照しつつ説明する。保護領域 102〖こは、ドメイン鍵群 UKUREが格納されている。通常領域 103には、鍵対応テープノレ Address Listと、コンテンツ鍵群 TKURE(i)と、ハッシュリスト Hash List(i) とが格納されている。なお、通常領域 103には、暗号ィ匕されたコンテンツも格納されているが、図 2では省略する。

[0058] 〔ドメイン鍵群〕

ドメイン鍵群 UKUREは、 n個（nは 1以上の整数）の暗号化ドメイン鍵 EncKu(l)〜Enc Ku(n)と、 n個の暗号化ドメイン鍵管理情報 EncUR[u](l)〜EncUR[u](n)とを含む。

[0059] 暗号化ドメイン鍵 EncKu(l)〜EncKu(n)の各々には、複数の暗号化コンテンツ鍵（1 つのコンテンツ鍵群）が対応付けられている。また、図 3のように、暗号ィ匕ドメイン鍵 En cKu(l)〜EncKu(n)は、認証中間鍵 Aを用いて復号ィ匕されることによって、ドメイン鍵 K u(l)〜Ku(n)になる。ドメイン鍵 Ku(l)〜Ku(n)の各々は、自己に対応付けられた複数のコンテンツ鍵を暗号ィ匕 Z復号ィ匕するために使用される。つまり、 1つのドメイン鍵を用 V、て、複数のコンテンツ鍵を暗号ィ匕 Z復号ィ匕することができる。

[0060] 暗号化ドメイン鍵管理情報 EncUR[u](l)〜EncUR[u](n)は、暗号化ドメイン鍵 EncKu( l)〜EncKu(n)と一対一で対応する。また、図 3のように、暗号ィ匕ドメイン鍵管理情報 En cUR[u](l)〜EncUR[u](n)は、認証中間鍵 Aを用いて復号ィ匕されることによって、ドメイン鍵管理情報 UR[u](l)〜UR[u](n)になる。さらに、暗号ィ匕ドメイン鍵管理情報 EncUR[ u](l)〜EncUR[u](n)の各々の所定位置には、全体検査用データが格納されている。全体検査用データは、その暗号ィ匕ドメイン鍵管理情報に対応するコンテンツ鍵群に基づいて生成されている。例えば、暗号ィ匕ドメイン鍵管理情報 EncUR[u](l)〜EncUR[ u](n)のうち i番目の暗号ィ匕ドメイン鍵管理情報 EncURMG) (iは整数，且つ， 1≤i≤n) の所定位置には、コンテンツ鍵群 TKURE(i)に基づ、て生成された全体検査用データ DATAll(i)が格納される。

[0061] なお、図 2では、暗号化ドメイン鍵 EncKu(i)に対応するコンテンツ鍵群 TKURE(i)のみしか図示して、な、が、暗号化ドメイン鍵 EncKu(i)以外の暗号化ドメイン鍵の各々にもコンテンツ鍵群が一対一で対応して、てもよ、。

[0062] 〔コンテンツ鍵群〕

コンテンツ鍵群 TKURE(i)は、ドメイン鍵 Ku(i)を用いて暗号ィ匕 Z復号ィ匕することができるコンテンツ鍵およびそのコンテンツ鍵に付随する†青報の集合である。コンテンツ鍵群 TKURE(i)は、 m個（mは 1以上の整数）の暗号化コンテンツ鍵 EncKt(i- l)〜EncK t(i- m)と、 m個の暗号化コンテンツ鍵管理情報 EncUR[t](i- l)〜EncUR[t](i- m)とを含む。

[0063] 図 3のように、暗号化コンテンツ鍵 EncKtG- l)〜EncKt(i- m)は、ドメイン鍵 Ku(i)を用いて復号化されることによって、コンテンツ鍵 Kt(i-l)〜Kt(i-m)になる。コンテンツ鍵 Kt (i-l)〜Kt(i-m)の各々は、自己に対応するコンテンツ（図示せず)を暗号化 Z復号ィ匕するために使用される。

[0064] 暗号化コンテンツ鍵管理情報 EncUR[t](i- l)〜EncUR[t](i- m)は、暗号化コンテンツ鍵 EncKt(i-l)〜EncKt(i-m)と一対一で対応する。また、図 3のように、暗号化コンテンッ鍵管理情報 EncUR[t](i- l)〜EncUR[t](i- m)は、ドメイン鍵 Ku(i)を用いて復号ィ匕されることによって、コンテンツ鍵管理情報 UR[t]G-l)〜UR[t]G-m)になる。

[0065] 〔鍵対応テーブル〕

鍵対応テーブル Address Listには、 n個の暗号化ドメイン鍵のアドレス Ku addr(l)〜 Ku addr(n)と n個のコンテンツ鍵テーブル Kt addr list(l)〜Kt addr list(n)とが対応付けられている。 n個のコンテンツ鍵テーブルの各々は、 n個のコンテンツ群（図 2では、コンテンッ鍵群 TKURE(i)のみを図示している。）と一対一で対応する。また、コンテンツ鍵テーブルの各々には、対応するコンテンツ鍵群に含まれる暗号化コンテンツ鍵のアドレスが書き込まれている。例えば、ドメイン鍵 Ku(i)のアドレス Ku addr (0に対応するコンテンツ鍵テープノレ Kt addr list(i)を参照して、ドメイン鍵 Ku(i)に対応するコンテンッ鍵群 TKURE(i) (詳しくは、暗号化コンテンツ鍵 EncKtG- l)〜EncKt(i-m))を検索することができる。このように、鍵管理テーブル Address Listを参照することによって、ドメイン鍵とコンテンツ鍵との対応関係を素早く検索することができる。

[0066] 〔ハッシュリスト〕

ノヽッシユリスト Hash List(i)は、コンテンツ鍵群 TKURE(i)に対応する。また、ノヽッシユリスト Hash List(i)は、 m個のハッシュ値 Hash(i- l)〜Hash(i- m)を含む。ハッシュ値 Hash(i - l)〜Hash(i- m)は、暗号化コンテンツ鍵 EncKtG- l)〜EncKt(i- m)と一対一で対応する。なお、図 2では、コンテンツ鍵群 TKURE(i)に対応するハッシュリスト Hash List(i)のみしか図示していないが、コンテンツ鍵群 TKURE(i)以外のコンテンツ鍵群（図示せず）の各々に対応するハッシュリストも存在してヽても良、。

[0067] <ハッシュリストの生成手順 >

次に、図 4を参照しつつ、図 2に示したハッシュリスト Hash List(i)の生成手順について説明する。

[0068] 〔ステップ ST101— 1〕

まず、暗号ィ匕コンテンツ鍵 EncKtG- 1)および暗号ィ匕コンテンツ鍵管理情報 EncUR[t] (i-1)は、 1つに連結される。暗号化コンテンツ鍵 EncKt (i-2)〜EncKt(i-m)の各々においても、同様に、その暗号ィ匕コンテンツ鍵，その暗号ィ匕コンテンツ鍵に付随する暗号化コンテンツ鍵管理情報力 1つに連結される。これにより、 m個の連結データが生成される。

[0069] 〔ステップ ST101— 2〕

次に、暗号ィ匕コンテンツ鍵 EncKt(i-l)に対応する連結データに対して、ノ、ッシュ演算が実行される。これにより、ノ、ッシュ値 Hash(i-l)が算出される。 B音号化コンテンツ鍵 EncKt(i-2)〜EncKt(i-m)の各々に対応する連結データにおいても、同様に、その連結データに対してハッシュ演算が実行される。このようにして、 m個のハッシュ値 Hash (i- l)〜HashG- m)が算出される。

[0070] 〔ステップ ST101— 3〕

次に、算出された m個のハッシュ値 Hash(i- l)〜Hash(i- m)は、 1つのリストにまとめられる。これにより、コンテンツ鍵群 TKURE(i)に対応するハッシュリスト Hash List(i)が完成する。

[0071] <連結ハッシュ値の生成手順 >

次に、図 4を参照しつつ、図 2に示した全体検査用データ DATA11(0の生成手順について説明する。

[0072] 〔ステップ ST101— 4〕まず、ハッシュリスト Hash List(i)に存在する m個のハッシュ値 Hash(i- l)〜Hash(i- m) は、 1つに連結される。これにより、 1つのハッシュ連結データが生成される。

[0073] 〔ステップ ST101— 5〕

次に、ステップ ST101— 4において生成されたハッシュ連結データに対して、ハツシュ演算が実行される。これにより、連結ハッシュ値 Hash(i)が算出される。

[0074] 〔ステップ ST101— 6〕

次に、ステップ ST101— 5において算出された連結ハッシュ値 Hash(i)は、全体検查用データ DATA11(0として、暗号ィ匕ドメイン鍵管理情報 EncUR[u](i)の所定位置に格納される。暗号ィ匕ドメイン鍵管理情報 EncUR[u](i)は、ハッシュリスト Hash List(i)に対応する。

[0075] ここで、暗号ィ匕ドメイン鍵管理情報 EncURMG)を更新する場合 (例えば、既に存在する暗号ィ匕ドメイン鍵 EncKu(i)に対して新たなコンテンッ鍵情報が対応付けられた場合や、暗号ィ匕ドメイン鍵 EncKu(i)に対して対応付けられてヽるコンテンツ鍵情報が削除された場合）は、暗号ィ匕ドメイン鍵管理情報 EncURMG)は、連結ハッシュ値 Hash(i) を格納する前に一且復号化されて、ドメイン鍵管理情報 UR[u](i)になる。そして、ドメイン鍵管理情報 UR[u](i)に連結ハッシュ値 HashG)が格納されると、そのドメイン鍵管理情報 UR[u](i)は、暗号化されて暗号ィ匕ドメイン鍵管理情報 EncURMG)に戻る。このようにして、全体検査用データ DATA11(0が更新される。

[0076] ただし、ドメイン鍵 Ku(i)も新たに作成された場合は、ドメイン鍵管理情報 UR[u](i)も新規に作成されることになるので、ー且復号ィ匕の処理を行う必要はない。この場合、新たに作成されたドメイン鍵管理情報 UR[u](i)に連結ハッシュ値 HashG)を格納した後、そのドメイン鍵管理情報 UR[u](i)が暗号化される。このようにして新たな暗号ィ匕ドメイン鍵管理情報 EncURMG)が生成される。

[0077] <全体の処理の流れ >

次に、図 5を参照しつつ、ホスト機器 11がターゲット機器 10に格納された暗号ィ匕コンテンッを復号化する処理につ、て説明する。

[0078] 〔ステップ ST11〕

まず、ターゲット機器 10がホスト機器 11に接続されると、ターゲット機器 10のシステム領域 101に格納されたターゲット機器用認証鍵を読み出す。

[0079] 〔ステップ ST12〕

次に、ホスト機器 11は、ターゲット機器 10から読み出したターゲット機器用認証鍵と自らが有するホスト機器用認証鍵とを用いて、認証処理を実行する。

[0080] 〔ステップ ST13〕

認証処理の結果、認証に失敗した場合には、ホスト機器 11は、不正なアクセスであると判断して異常終了を実行する。一方、ホスト機器 11が認証に成功した場合には、ステップ ST14へ進む。

[0081] 〔ステップ ST14〕

次に、ホスト機器 11は、ターゲット機器 10から読み出したターゲット機器用認証鍵と自らが有するホスト機器用認証鍵とに基づいて、認証中間鍵を生成する。生成された認証中間鍵は、機密情報処理部 113内の認証中間鍵格納領域に格納される。これによって、ターゲット機器 10とホスト機器 11との間で以降のやりとりを行う準備が完了する。

[0082] 〔ステップ ST15〕

次に、ホスト機器 11は、ターゲット機器 10に格納された暗号ィ匕コンテンツの復号ィ匕をユーザなど力も要求されている力否かを判断する。要求されていると判断すると、ステツプ ST16へ進む。

[0083] 〔ステップ ST16〕

次に、ホスト機器 11は、暗号化コンテンツの復号化に必要となる機密情報（暗号ィ匕コンテンツ鍵、暗号ィ匕ドメイン鍵、およびそれらに付随する情報)をターゲット機器 10 から読み出す。具体的な処理としては、ホスト機器 11は、まず、暗号化コンテンツに付随する情報カゝらコンテンツ IDを抽出し、コンテンツ IDに基づいて、暗号化コンテンッの復号ィ匕に必要となるコンテンツ鍵を特定する。コンテンツ IDとコンテンツ鍵との対応関係はテーブルとして準備されている。次に、ホスト機器 11は、特定されたコンテンッ鍵に基づいてターゲット機器 10内の通常領域 103に格納された鍵対応テープルを参照して、必要となるドメイン鍵を特定する。コンテンツ鍵とドメイン鍵とが特定されると、必要となる鍵情報が読み出される。 [0084] 〔ステップ ST17〕

次に、ホスト機器 11は、ステップ ST14において生成された認証中間鍵を用いて、ステップ ST16において読み出された暗号ィ匕ドメイン鍵を復号ィ匕する。これにより、平文のドメイン鍵が生成される。

[0085] 〔ステップ ST18〕

次に、ホスト機器 11は、ステップ ST16において読み出された暗号ィ匕コンテンツ鍵に対して改竄チェックを実行する。

[0086] 〔ステップ ST19〕

暗号ィ匕コンテンツ鍵の改竄が検出された場合には、ホスト機器 11は、不正なァクセスであると判断して異常終了を実行する。一方、暗号ィ匕コンテンツ鍵の改竄が検出されなかった場合には、ステップ ST20へ進む。

[0087] 〔ステップ ST20〕

次に、ホスト機器 11は、ステップ ST17において生成されたドメイン鍵を用いて、暗号ィ匕コンテンツ鍵を復号ィ匕する。これにより、ホスト機器 11は、平文のコンテンツ鍵を取得する。

[0088] 〔ステップ ST21〕

次に、ホスト機器 11は、ステップ ST20において取得した平文のコンテンツ鍵を用いて、暗号ィ匕コンテンツを復号ィ匕する。これにより、コンテンツが利用可能となる。

[0089] <認証処理 >

ここで、図 6を参照しつつ、ターゲット機器 10とホスト機器 11との間で実行される認証処理について説明する。

[0090] 〔ステップ ST31〕

まず、ホスト機器 11は、ターゲット機器 10のシステム領域 101に格納されたターゲット機器用認証鍵を読み出す。

[0091] 〔ステップ ST32〕

次に、ホスト機器 11は、 ROM116に格納されたホスト機器用認証鍵を読み出す。

[0092] 〔ステップ ST33〕

次に、ホスト機器 11は、ターゲット機器用認証鍵とホスト機器用認証鍵とに基づいて、認証中間鍵 Aを生成する。具体的には、ホスト機器 11は、ターゲット機器用認証鍵とホスト機器用認証鍵とを掛け合わせることによって、認証中間鍵 Aを生成する。

[0093] 〔ステップ ST34〕

次に、ホスト機器 11およびターゲット機器 10の各々は、互いに個別に所定関数 (例えば、乱数)を生成し、生成した所定関数を互いに交換する。

[0094] 〔ステップ ST35〕

次に、ホスト機器 11は、ステップ ST33において生成された認証中間鍵 Aに対して、ステップ ST34にお、てホスト機器 11にお、て生成された所定関数およびターゲット機器 10で生成された所定関数を掛け合わせることによって、認証中間鍵 Bを生成する。

[0095] 〔ステップ ST36〕

一方、ターゲット機器 10 (具体的にはターゲット機器 10内の処理部（図示せず)）は、システム領域 101に格納された認証中間鍵 Aを読み出し、読み出した認証中間鍵 Aに対してステップ ST34においてターゲット機器 10で生成された所定関数およびホスト機器 11にお、て生成された所定関数を掛け合わせることによって、認証中間鍵 B を生成する。

[0096] 〔ステップ ST37〕

次に、ターゲット機器 10は、保護領域 102に格納された暗号ィ匕ドメイン鍵情報 (ここでは、暗号ィ匕ドメイン鍵 EncKu(i),暗号ィ匕ドメイン鍵管理情報 EncUR[u](i))を読み出し、ステップ ST36において生成された認証中間鍵 Bを用いて、読み出した暗号化ドメイン鍵情報を暗号ィ匕する。

[0097] 〔ステップ ST38〕

次に、ターゲット機器 10は、暗号ィ匕されたドメイン鍵情報をホスト機器 10へ送る。

[0098] 〔ステップ ST39〕

次に、ホスト機器 11は、ステップ ST34において生成された認証中間鍵 Bを用いて、ターゲット機器 10から送られたドメイン鍵情報を復号ィ匕する。

[0099] 〔ステップ ST40〕

次に、ホスト機器 11は、ステップ ST33において生成された認証中間鍵 Aを用いて、ステップ ST39において復号ィ匕されたドメイン鍵情報をさらに復号ィ匕する。これにより、平文状態のドメイン鍵情報 (ここでは、ドメイン鍵 Ku(i),ドメイン鍵管理情報 UR[u](i) )が生成される。

[0100] このように、ターゲット機器 10とホスト機器 11との間でドメイン鍵情報がやりとりされる場合、ドメイン鍵情報は、認証中間鍵 A,認証中間鍵 Bを用いて、 2重に暗号ィ匕される。

[0101] <コンテンツ鍵の改竄検出 >

図 7を参照しつつ、ホスト機器 11がターゲット機器 10に格納された機密情報における改竄を検出する処理 (ステップ ST22における処理）について説明する。ここでは、ホスト機器 11は、ドメイン鍵 Ku(i)に対応するコンテンツ鍵 KtG- l)〜KtG- m)のうち j番目 (jは整数，且つ， l≤j≤m)のコンテンツ鍵 KtG-j)を改竄検出の対象とする。

[0102] 〔ステップ ST102— 1〕

まず、ホスト機器 11は、暗号ィ匕コンテンツ鍵 EncKt(i-j)とそれに付随する暗号ィ匕コンテンッ鍵管理情報 EncUR[t](i-j)とを連結する。これにより、 1つの連結データが生成される。

[0103] 〔ステップ ST102— 2〕

次に、ホスト機器 11は、ステップ ST102—1において生成された連結データに対してハッシュ演算を実行して、ノ、ッシュ値 Hash (i-j)を算出する。

[0104] 〔ステップ ST102— 3〕

次に、ホスト機器 11は、ステップ ST102— 2において算出されたハッシュ値 Hash(i- j )とターゲット機器 10の通常領域 103に格納されたハッシュリスト Hash List(i)内のハツシュ値 HashG-j)とを比較する。

[0105] 〔ステップ ST102—4〕

ステップ ST102— 3における比較の結果、ステップ ST102— 2において算出されたハッシュ値 Hash(i- j)とハッシュリスト Hash List(i)のハッシュ値 Hash(i- j)とが不一致であると判断すると、ホスト機器 11は、暗号ィ匕コンテンツ鍵 EncKt(H),あるいは暗号ィ匕コンテンッ鍵管理情報 EncUR[t]G-j)が改竄されて、ると判断して、異常終了を実行する。一方、両者が一致すると判断された場合には、ステップ ST102— 5へ進む。 [0106] 〔ステップ ST102— 5〕

次に、ホスト機器 11は、ターゲット機器 10に格納されたハッシュリスト Hash List(i)の中からコンテンツ鍵 Kt(i-j)に対応するハッシュ値 Hash(i-j)を除、た (m— 1)個のハツシュ値 Hash(i- l)〜Hash(i- (j- 1)), Hash(i- (j+l》〜Hash(i- m)を取得する。つまり、ホスト機器 11は、暗号ィ匕ドメイン鍵 EncKu(i)に対応する暗号ィ匕コンテンツ鍵 EncKtG- 1)〜E ncKt(i-m)のうち暗号化コンテンツ鍵 EncKt(i-j)以外の（m— 1)個の暗号化コンテンツ鍵に対しては、ノ、ッシュ演算を実行しない。次に、ホスト機器 11は、ノ、ッシュ値 Hash(i -j)の直前に位置するハッシュ値 Hash(Hj-l))とハッシュ値 Hash(i-j)の直後に位置するハッシュ値 Hash(i-(j+l》との間にステップ ST102— 2において算出されたハッシュ値 Hash (i-j)を配置する。そして、ホスト機器 11は、それらのハッシュ値 Hash(i- l)〜Hash (i-O'-D), Hash(i-j), Hash(i- (j+l》〜Hash(i- m)を 1つに連結する。これにより、ハッシュ連結データが生成される。つまり、このハッシュ連結データでは、ハッシュリスト Hash L ist(i)に存在する m個のハッシュ値 Hash(i- l)〜Hash(i- m)のうちハッシュ値 Hash(i- j)がステップ ST102— 2にお!/、て算出されたハッシュ値 Hash(i- j)に置換されて!、る。

[0107] なお、ハッシュ値 Hash(i-j)を置換する必要は必ずしもなぐすでにハッシュリスト Has h List(i)内のハッシュ値との比較によって正当性は検証されているので、ハッシュリスト Hash List(i)をそのまま連結してハッシュ連結データを生成しても良、。

[0108] 〔ステップ ST102— 6〕

次に、ホスト機器 11は、ステップ ST102— 5において生成されたハッシュ連結データに対してさらにハッシュ演算を行い、連結ハッシュ値 Hash(i)を算出する。次に、ステップ ST102— 9へ進む。

[0109] 〔ステップ ST102— 7〕

一方、ホスト機器 11は、鍵対応テーブル Address Listを参照して、暗号化コンテンッ鍵 EncKt(i-j)の復号ィ匕に必要な暗号ィ匕ドメイン鍵 EncKu(i)を検出する。そして、ホスト機器 11は、認証中間鍵 Aを用いて、その検出した暗号ィ匕ドメイン鍵 EncKu(i)および暗号ィ匕ドメイン鍵管理情報 EncURMG)を復号ィ匕する。これにより、ドメイン鍵 Ku(i)およびドメイン鍵管理情報 UR[u](i)が生成される。

[0110] 〔ステップ ST102— 8〕次に、ホスト機器 11は、ドメイン鍵管理情報 UR[u](i)の中から所定のビット位置に格納された全体検査用データ DATA11(0を抽出する。次に、ステップ ST102— 9へ進む。

[0111] 〔ステップ ST102— 9〕

次に、ホスト機器 11は、ステップ ST102— 6において算出された連結ハッシュ値 Ha sh(i)とステップ ST102— 8において抽出された全体検査用データ DATA11(0とを比較する。

[0112] 〔ステップ ST102—10〕

ステップ ST102— 9における比較の結果、ステップ ST102— 6において算出された連結ハッシュ値 Hash(i)とステップ ST102— 8において抽出された全体検査用データ DATA11(0とが不一致であると判断すると、ホスト機器 11は、ハッシュリスト Hash List(i )が改竄されていると判断して、異常終了を実行する。一方、両者が一致すると判断された場合には、ステップ ST20へ進む。

[0113] このようにして、ターゲット機器に格納された機密情報における改竄の有無が検出される。

[0114] くコンテンツ鍵情報の追加や削除 >

また、今後は、ネットワークを介した配信によってコンテンツ鍵を追加したり、削除したりすることも考えられる。コンテンツ鍵情報の追加や削除にともない、ノ、ッシユリスト H ash List(i),および全体検査用データ DATA11(0が更新される。

[0115] 〔コンテンツ鍵情報の追加〕

図 8を参照しつつ、コンテンツ鍵情報が追加された場合について説明する。なお、ここでは、暗号化コンテンツ鍵 EncKt(i-a),暗号化コンテンツ鍵管理情報 EncUR[t](i- a)を含む暗号ィ匕コンテンツ鍵情報が追加される。この暗号ィ匕コンテンツ鍵情報は、コンテンッ鍵 Kt(i-a),コンテンツ鍵管理情報 UR[t](i-a)を含むコンテンツ鍵情報がドメイン鍵 Ku(i)を用いて暗号ィ匕されることによって生成される。

[0116] 〔ステップ ST103— 1〕

まず、追加された暗号ィ匕コンテンツ鍵 EncKtG-a),暗号化コンテンツ鍵管理情報 Enc UR[t](i-a)は、 1つに連結される。これにより、 1つの連結データが生成される。 [0117] 〔ステップ ST103— 2〕

次に、ステップ ST103— 1において生成された連結データに対して、ハッシュ演算が実行される。これにより、ノ、ッシュ値 Hash (ト a)が算出される。

[0118] 〔ステップ ST103— 3〕

次に、ステップ ST103— 2において算出されたハッシュ値 Hash(i- a)がハッシュリスト Hash List(i)に追加される。

[0119] 次に、ハッシュリスト Hash List(i)に存在するハッシュ値 Hash(i- l)〜Hash(i- m)とステツプ ST103— 2において算出されたハッシュ値 Hash(i-a)とが 1つに連結される。これにより、 1つのハッシュ連結データが生成される。

[0120] 〔ステップ ST101— 4〜： L01— 6〕

次に、ステップ ST101— 4, 101— 5における処理と同様に、（m+ 1)個のハッシュ値 Hash(i-l)〜Hash(i-m), Hash(i-a)が 1つに連結されてハッシュ連結データが生成され、そのハッシュ連結データに対してハッシュ演算が実行されて、新たな連結ハツシュ値 Hash(i')が算出される。次に、ステップ ST101— 6における処理と同様に、算出された新たな連結ハッシュ値 Hash(i')は、新たな全体検査用データ DATA11(0として、暗号ィ匕ドメイン鍵管理情報 En_CUR[t](i)の所定位置に格納される。

[0121] このようにして、ノ、ッシユリスト Hash List(i),全体検査用データ DATA11(0が更新される。

[0122] 〔コンテンツ鍵情報の削除〕

図 9を参照しつつ、コンテンツ鍵情報が削除された場合について説明する。なお、ここでは、暗号化コンテンツ鍵 EncKt(i-2),暗号化コンテンツ鍵管理情報 EncUR[t](i- 2)を含む暗号化コンテンツ鍵情報が削除される。

[0123] 〔ステップ ST104— 1〕

まず、暗号化コンテンツ鍵 EncKt(i-l)〜EncKt(i-m)のうち削除された暗号化コンテンッ鍵 EncKt(i- 2)に対応するハッシュ値 Hash(i- 2)が、ハッシュリスト Hash List(i)の中力削除される。

[0124] 〔ステップ ST104— 2〕

次に、ハッシュリスト Hash List(i)に存在する（m—l)個のハッシュ値 Hash(i- 1), Hash (i-3)〜！ iash(i-m)が 1つに連結される。これにより、 1つのハッシュ連結データが生成される。

[0125] 〔ステップ ST101— 5〕

次に、ステップ ST101— 5における処理と同様に、ステップ ST104— 2において生成された連結データに対してハッシュ演算が実行されて、新たな連結ハッシュ値 Has h(i")が生成される。算出された新たな連結ハッシュ値 HashG")は、新たな全体検査用データ DATA11(0として、暗号ィ匕ドメイン鍵管理情報 EncUR[u](i)の所定位置に格納される。

[0126] このようにして、ノ、ッシユリスト Hash List(i),全体検査用データ DATA11(0が更新される。

[0127] <効果>

以上のように、機密情報における改竄の有無を検出する処理において、 1つのコンテンッ鍵情報に対するハッシュ演算と、ノ、ッシユリストに存在する m個のハッシュ値からなる連結データに対するハッシュ演算とが実行される。このように、コンテンツ鍵群 T KURE(i)全体に対してハッシュ演算を実行する必要がな、ので、改竄検出処理時における処理量を低減することができる。

[0128] また、機密情報を生成する処理にぉ、て、 m個の暗号ィ匕されたコンテンツ鍵情報の各々力ハッシュ値が算出された後、 m個のハッシュ値から 1つの全体検査用データが生成される。このように、改竄検出処理のために使用されるデータ (ハッシュリスト，全体検査用データ）が複数段階に分けて生成される。そして、最終段階の検査用データ (全体検査用データ）が保護領域に格納される。このように、保護領域に格納されるデータ量を低減することができる。

[0129] さらに、機密情報に新たなコンテンツ鍵情報が追加された場合、追加されたコンテンッ鍵情報力も新たなハッシュ値を算出し、算出されたハッシュ値とハッシュリストの m 個のハッシュ値とから新たな全体検査用データを生成する。また、コンテンツ鍵情報が削除された場合、ノ、ッシユリストを更新して、更新したハッシュリストから新たな全体検査用データを生成する。このように、コンテンツ鍵群 TKURE(i)全体に対してハツシュ演算を実行する必要がな、ので、機密情報の更新時における処理量を低減することがでさる。

[0130] <エントリー >

ターゲット機器によっては、コンテンツ鍵が格納される領域を、エントリーという形で、予め確保しているものもある。エントリーの各々は、複数のドメイン鍵のうちいずれか 1つに対応付けられる。つまり、ドメイン鍵の各々には、複数のエントリーが対応付けられる。エントリーに格納される暗号ィ匕コンテンツ鍵は、そのエントリーに対応付けられたドメイン鍵によって復号ィ匕することができる。このような場合には、各々のエントリーに対応するノ、ッシュ値をまとめたハッシュリストという概念が生じる。すなわち、コンテンッ鍵が実際に格納されているか否かに関わらず、同一のドメイン鍵に対応付けられた全てのエントリーについてのハッシュ値をノヽッシユリストとして通常領域 103に格納してもよい。また、同一のドメイン鍵に対応付けられた全てのエントリーのハッシュ値を 1つに連結して、その連結データに対してハッシュ演算を実行してハッシュ値を算出し、その算出したハッシュ値をドメイン鍵管理情報に格納してもよい。もちろん、処理量を軽減するためには、ノ、ッシュ演算の演算量が少ない方が好ましい。したがって、コンテンツ鍵が実際に格納されているエントリーのみにハッシュ演算を実行することによってハッシュリストを生成し、そのハッシュリストのハッシュ値を連結したものに対してノ、ッシュ演算を実行することによって算出されるハッシュ値をドメイン鍵管理情報に格納する方が好ましい。

[0131] <付加情報 >

また、図 10のように、 m個の暗号化コンテンツ鍵 EncKt(i- l)〜EncKt(i- m)に対して m 個の付加情報 info(i-l)〜info(i-m)が一対一で対応付けられてヽても良ヽ。 m個の付加情報 infoG- l)〜infoG- m)の各々は、暗号化されておらず、機密性の比較的低い情報 (例えば、曲名）を格納する。

[0132] また、付加情報をハッシュ演算の対象にしても構わなヽ。例えば、付加情報 info(i-j) ,暗号ィ匕コンテンツ鍵 EncKt(i- j),および暗号ィ匕コンテンツ鍵管理情報 EncUR[t]( ') 力もなる連結データに対してハッシュ演算を実行することによって、ノ、ッシュ値 Hash(i -j)を算出しても構わない。

[0133] <改変例> 本実施形態について様々な改変例が考えられるが、代表例として以下の改変例を開示する。

[0134] (1)暗号ィ匕コンテンツは、必ずしも暗号ィ匕コンテンツ鍵を格納するターゲット機器と同一のターゲット機器内に格納されている必要はなぐ別の記録媒体に格納されるものであっても良い。その場合には、ホスト機器は、その別の記録媒体に格納された暗号ィ匕コンテンツをネットワーク等を介して取得し、本実施形態の改竄チェック方法によつて正当性が保証されたコンテンッ鍵を用いてその暗号化コンテンッを復号ィ匕することになる。

[0135] (2)第 1の実施形態では、同一のドメイン鍵で復号ィ匕されるコンテンツ鍵の集合 (コンテンッ鍵群 TKURE(O)に対して 1つのハッシュリスト Hash List(i)が設けられている構成であるが、 1つのコンテンツ鍵群に対して P個（Pは 2以上の整数)の部分集合ハツシュリストおよび 1つの全体集合ハッシュリストを設けることも可能である。ここで、部分集合ハッシュリストおよび全体集合ハッシュリストについてコンテンツ鍵群 TKURE(i)を例に挙げて図 11を参照しつつ説明する。ここでは、ドメイン鍵 Ku(i)を用いて復号ィ匕することができる複数の暗号ィ匕コンテンツ鍵 (コンテンツ鍵群 TKURE(i)に含まれる m 個の暗号化コンテンツ鍵 EncKt(i-l)〜EncKt(i-m))は、 P個（Pは 2以上の整数）の部分集合に分割される。 P個の部分集合には、 P個の部分集合ハッシュリスト Hash ListG - Grl)〜Hash ListG- GrP)が一対一で対応する。例えば、 j番目のコンテンツ鍵 Kt(i- j) 力も k番目（kは整数，且つ， j <k≤m)のコンテンツ鍵 Kt(i-K)までの部分集合には、部分集合ハッシュリスト Hash List (ト GrJ)が対応する Ciは整数，且つ， 1≤J≤P)。また、部分集合ハッシュリスト Hash List(i- GrJ)は、（k— j)個のハッシュ値 Hash(i- j)〜Has h(i- k)を含む。また、部分集合ハッシュリスト Hash List(i- Grl)〜Hash List(i- GrP)は、全体集合ハッシュリスト Hash ListG- ALL)に対応付けられる。全体集合ハッシュリスト H ash List(i- ALL)は、 P個の部分集合ハッシュリスト Hash List(i- Grl)〜Hash List(i- GrP )と一対一で対応する P個の部分ハッシュ値 Hash(i-Grl)〜Hash(i-GrP)を含む。全体ハッシュ値 ALL Hash(i)は、全体集合ハッシュリスト Hash List(i- ALL)に基づいて生成される。なお、全体ハッシュ値 ALL Hash(i)は、全体検査用データ ALL DATAll(i)として暗号ィ匕ドメイン鍵管理情報 EncURMG)に格納される。このような構成にすれば、暗号ィ匕コンテンツ鍵 EncKt(i-j)につ、て改竄チェックを実行する場合、暗号化コンテンッ鍵 EncKt(i-j)と暗号ィ匕コンテンツ鍵管理情報 EncUR[t](i-j)とからなる連結データ〖こ対するハッシュ演算 (ハッシュ演算 1) ,コンテンツ鍵 Kt(i-j)が属する部分集合に対応する部分集合ハッシュリスト Hash ListG-GrJ)に対するハッシュ演算 (ハッシュ演算 2) , および全体集合ハッシュリスト Hash List(i-ALL)に対するハッシュ演算（ノヽッシュ演算 3)を実行することになる。ノ、ッシュ演算 2とハッシュ演算 3とをあわせた処理量は、図 4 に示した処理における処理量よりも小さい。したがって、さらなる処理の高速化を期待できる。

[0136] (第 2の実施形態）

この発明の第 2の実施形態では、コンテンツ鍵およびコンテンツ鍵管理情報は、連鎖暗号方式によって暗号化 Z復号化される (連鎖暗号化 Z連鎖復号化される)。

[0137] <連鎖暗号方式 >

ここで、連鎖暗号方式（Cipher Block Chaining)による暗号化方法について図 12を参照しつつ説明する。なお、ここでは、暗号ィ匕の対象がコンテンツ鍵 Kt(i-j)およびコンテンッ鍵管理情報 UR[t](i-j)であるものとする。

[0138] 〔暗号化処理〕

まず、コンテンツ鍵 Kt(i-j)およびコンテンツ鍵管理情報 UR[t](i-j)は、 1つに連結された後、先頭力も順番に 8バイト毎に分割されて、「データ 1」，「データ 2」， ···, 「データ

X」になる (Xは 2以上の整数)。なお、 8バイトではなく任意に分割され得ることはいうまでもない。

[0139] 次に、 MSB (Most significant bitまたは Most Significant Byte)側の最初の 8バイトである「データ i」は、ドメイン鍵 KuG)を用いて暗号ィ匕されて「暗号ィ匕データ 1」になる。次に、「データ 1」に対する暗号ィ匕の中間値 1に所定演算が実行されて、連鎖鍵 1が生成される（例えば、中間値 1とドメイン鍵 Ku(i)とが掛け合わされて連鎖鍵 1が生成される)。次に、「データ 1」の 1つ後ろに位置する「データ 2」は、連鎖鍵 1を用いて暗号化されて「暗号ィ匕データ 2」になる。次に、「データ 2」に対する暗号ィ匕の中間値 2に所定演算が実行されて、連鎖鍵 2が生成される。このように、先頭の 8バイトである「データ 1」は、ドメイン鍵 Ku(i)を用いて暗号ィ匕される。また、 2番目以降の 8バイトデータの各々は、 1つ前の 8バイトデータについての暗号ィ匕の結果を利用して順次暗号ィ匕される。

[0140] MSBから数えて最後の 8バイト（つまり、 LSB (Least Significant Bitまたは Least Si gnificant Byte) )である「データ X」まで上述の暗号化処理が繰り返されることにより、「データ 1」〜「データ X」は、「暗号化データ 1」〜「暗号化データ X」になる。この「暗号化データ 1」〜「暗号化データ X」の集合が、暗号化コンテンツ鍵 EncKt(i-j)および暗号化コンテンツ鍵管理情報 EncUR[t]( ')の集合となる。

[0141] 〔復号化処理〕

次に、連鎖暗号方式による復号化方法について説明する。

[0142] まず、暗号化コンテンツ鍵 EncKt(i-j)および暗号化コンテンツ鍵管理情報 EncUR[t](

')の集合は、先頭力も順番に 8バイト毎に分割されて、「暗号化データ 1」，「暗号ィ匕データ 2」， ···, 「暗号ィ匕データ X」になる。次に、「暗号ィ匕データ 1」は、ドメイン鍵 Ku(i) を利用して復号化されて、「データ 1」になる。次に、「暗号ィ匕データ 2」は、「暗号化データ 1」の復号ィ匕の結果を利用して復号ィ匕されて、「データ 2」になる。このように、先頭の 8バイトである「暗号ィ匕データ 1」は、ドメイン鍵 Ku(i)を利用して復号ィ匕される。 2番目以降の暗号化データの各々は、 1つ前の暗号ィヒデータについての復号ィヒの結果を利用して順次復号化される。

[0143] このような連鎖暗号方式では、部分毎のデータが（8バイトデータ毎に)連鎖しながら暗号化 Z復号化されていく。つまり、このような連鎖暗号方式は、復号ィ匕の際に何れかの段階で復号化に失敗すると、その段階以降の暗号ィヒデータの全てが正常に復号化されないという特徴を有する。したがって、例えば、最後の 8バイト (LSB)である暗号化データ Xの復号化に成功すれば、全てのデータが正当であることが保証される。

[0144] また、このような連鎖暗号方式では、同一のデータを暗号ィ匕する場合であっても、事前に暗号ィ匕されたデータが異なっている場合には暗号ィ匕の結果が異なるという特徴を有する。

[0145] <構成 >

以上を踏まえて、この発明の第 2の実施形態による機密情報処理システムについて説明する。図 13は、この発明の第 2の実施形態による機密情報処理システムの全体構成を示す。ここで、 ROM116には、部分検査用データ DATA21がさらに格納されている。

[0146] <機密情報 >

図 14は、図 13に示したターゲット機器 10に格納される機密情報を示す。保護領域 102〖こは、ドメイン鍵群 UKUREが格納される。通常領域 103には、鍵対応テーブル A ddress Listと、コンテンツ鍵群 TKURE(i)とが格納される。なお、通常領域 103には、暗号ィ匕されたコンテンツも格納されているが、図 14では省略する。

[0147] 〔ドメイン鍵群〕

ドメイン鍵群 UKUREは、図 2と同様に、 n個の暗号化ドメイン鍵 EncKu(l)〜EncKu(n) と、 n個の暗号ィ匕ドメイン鍵管理情報 En_CUR[u](l)〜E_ncUR[u](_n)とを含む。また、暗号化ドメイン鍵管理情報 EncUR[u](l)〜EncUR[u](n)の各々の所定位置には、全体検査用データが格納される。全体検査用データは、その暗号ィ匕ドメイン鍵管理情報に対応するコンテンツ鍵群に基づいて生成されている。例えば、暗号化ドメイン鍵管理情報 EncUR[u](i)の所定位置には、コンテンツ鍵群 TKURE(i)に基づ、て生成された全体検査用データ DATA22G)が格納されてヽる。

[0148] なお、図 14では、暗号化ドメイン鍵 EncKu(i)に対応するコンテンツ鍵群 TKURE(i)のみしか図示して、な、が、暗号化ドメイン鍵 EncKu(i)以外の暗号化ドメイン鍵の各々にもコンテンツ鍵群が対応して、てもよ、。

[0149] 〔コンテンツ鍵群〕

コンテンツ鍵群 TKURE(i)は、図 2に示したコンテンツ鍵群 TKURE(i)に加えて、 m個の暗号化チヱック値 EncCheck(i-l)〜EncCheck(i-m)を含む。暗号化チェック値 EncC heck(i- l)〜EncCheck(i- m)は、暗号化コンテンツ鍵 EncKt(i- l)〜EncKt(i- m)と一対一で対応する。平文状態のチヱック値 Check(i-l)〜Check(i-m)の各々は、ホスト機器 11 の ROM 116に格納されてヽる部分検査用データ DATA21に相当する。

[0150] 鍵対応テーブル Address Listは、図 2に示した鍵対応テーブル Address Listと同様である。

[0151] くコンテンッ鍵およびそれに付随する情報の暗号ィ匕 > 次に、コンテンツ鍵，コンテンツ鍵管理情報，チェック値の暗号ィ匕処理について説明する。ここでは、コンテンツ鍵 KtG- j),コンテンツ鍵管理情報 UR[t]G-j),チェック値 c heck(i-j)を例に挙げて説明する。

[0152] まず、コンテンツ鍵 Kt(i-j)とコンテンツ鍵管理情報 UR[t](i-j)とが連結される。次に、指定バイトに従って、コンテンツ鍵 Kt(i-j)およびコンテンツ鍵管理情報 UR[t](i-j)からなる連結データの所定位置にチェック値 Check(i-j)が埋め込まれる。この例（図 14参照）では LSBにチェック値を埋め込んでいる。次に、連鎖暗号方式に従って、チエツク値 Check(H)が埋め込まれた連結データ力暗号化される。次に、暗号化された連結データを、暗号ィ匕コンテンツ鍵 EncKt(i- j),暗号ィ匕コンテンツ鍵管理情報 EncUR[t]( i-j),および暗号ィ匕チェック値 EncCheck(i- j)に分割する。

[0153] このようにして、コンテンツ鍵，コンテンツ鍵管理情報，およびチェック値が暗号ィ匕される。また、チェック値が埋め込まれる位置が固定位置ではなく指定バイトによって指定することも可能であるので、チェック値が埋め込まれる位置を秘匿することができ、セキュリティが向上する。

[0154] <全体検査用データの生成手順 >

図 15を参照しつつ、図 14に示した全体検査用データ DATA22G)の生成手順について説明する。なお、ここでは、暗号ィ匕コンテンツ鍵管理情報 EncUR[t](i- l)〜EncUR [t](i-m)の各々は、対応する暗号ィ匕コンテンツ鍵の後段に連結されているものとし、暗号化チック値 EncCheckG- l)〜EncCheck(i- m)の各々は、対応する暗号化コンテンッ鍵管理情報の後段に連結されているものとする。また、暗号ィ匕チェック値 EncCheck (i- l)〜EncCheck(i- m)の各々は、 8バイトデータであるものとする。

[0155] 〔ステップ ST201— 1〕

まず、指定バイトに従って、コンテンツ鍵群 TKURE(i)の中力 m個の暗号ィ匕チェック値 EncCheckG- l)〜EncCheck(i- m)が抽出される。例えば、暗号化コンテンツ鍵 EncKt (i-j)とこれに付随する情報（暗号化コンテンツ鍵管理情報 EncUR[t](i-j)および暗号ィ匕チヱック値 EncCheck(i-j))との集合の中から、所定位置のデータ（ここでは、暗号化コンテンッ鍵管理情報 EncUR[t](i-j)の直後に存在する 8バイトデータ）が抽出される。これにより、暗号ィ匕チェック値 EncCheck(i-j)が抽出されたことになる。このような抽出処理を、暗号化コンテンツ鍵 EncKt(i-l)〜EncKt(i-m)の各々に対して実行されることによって、 m個の暗号化チェック値 EncCheck(i- l)〜EncCheck(i- m)が抽出される。

[0156] 〔ステップ ST201— 2〕

次に、抽出された m個の暗号化チェック値 EncCheck(i-l)〜EncCheck(i-m)が 1つに連結される。これにより、 1つのチェック値連結データが生成される。

[0157] 〔ステップ ST201— 3〕

次に、ステップ ST201— 2にお、て生成されたチェック値連結データに対してハツシュ演算が実行される。これにより、連鎖ハッシュ値 Chain Hash(i)が算出される。

[0158] 〔ステップ ST201— 4〕

次に、ステップ ST201— 3において算出された連鎖ハッシュ値 Chain Hash(i)は、全体検査用データ DATA22G)として、暗号ィ匕ドメイン鍵管理情報 EncURMG)の所定位置に格納される。

[0159] ここで、暗号ィ匕ドメイン鍵管理情報 En_CUR[u](i)を更新する場合は、暗号化ドメイン鍵管理情報 EncUR[u](i)は、連鎖ハッシュ値 Chain Hash(i)を格納する前に一且復号化されて、ドメイン鍵管理情報 UR[u](i)になる。そして、ドメイン鍵管理情報 UR[u](i)に連鎖ハッシュ値 Chain Hash(i)が格納されると、そのドメイン鍵管理情報 UR[u](i)は、暗号ィ匕されて暗号ィ匕ドメイン鍵管理情報 EncUR[u](i)に戻る。このようにして、全体検査用データ DATA22G)が更新される。

[0160] ただし、ドメイン鍵 Ku(i)も新たに作成された場合は、ドメイン鍵管理情報 UR[u](i)も新規に作成されることになるので、ー且復号ィ匕の処理を行う必要はない。この場合、新たに作成されたドメイン鍵管理情報 UR[u](i)に連鎖ハッシュ値 Chain Hash(i)を格納した後、そのドメイン鍵管理情報 UR[u](i)が暗号ィ匕される。このようにして新たな暗号化ドメイン鍵管理情報 EncURMG)が生成される。

[0161] なお、チェック値は、また 8バイトである必要はなく任意のバイト数でょ、。

[0162] くコンテンツ鍵情報の改竄検出 >

図 16を参照しつつ、図 14に示したチェック値 Check(i-l)〜Check(i-m)を利用した改竄検出方法について説明する。ここでは、暗号ィ匕コンテンツ鍵 EncKt(i-j),暗号ィ匕コンテンツ鍵管理情報 EncUR[t](i-j),および暗号化チェック値 EncCheckG- j)を例に挙げて説明する。

[0163] 〔ステップ ST202— 1〕

まず、暗号ィ匕コンテンツ鍵 EncKtG- j),暗号ィ匕コンテンツ鍵管理情報 EncUR[t]G- j), および暗号ィ匕チェック値 EncCheck(i-j)が 1つに連結される。これにより、 1つの連結データが生成される。

[0164] 〔ステップ ST202— 2〕

次に、連鎖暗号方式によって連結データが復号化される。これにより、コンテンツ鍵

Kt(i-j),コンテンッ鍵管理情報 UR[t](i-j),およびチェック値 Check(i-j)力なる連結データが生成される。この連結データは、所定位置にチェック値 Check(i-j)が埋め込まれた構成になっている。

[0165] 〔ステップ ST202— 3〕

次に、指定バイト (所定のビット位置を示す情報）に従って、コンテンツ鍵 KtG- j),コンテンッ鍵管理情報 UR[t](i-j),およびチェック値 Check(i-j)力なる連結データの中力チヱック値 Check(i-j)が抽出される。

[0166] 〔ステップ ST202— 4〕

次に、ステップ ST202— 3にお!/、て抽出されたチェック値 Check(i- j)とホスト機器 11 の ROM 116に格納された部分検査用データ DATA21とが比較される。

[0167] このように、コンテンツ鍵 Kt(i-l)〜Kt(i-m)の各々にお!/、て、復号化された連結データの中力抽出されたチェック値と ROM116に格納された部分検査用データを比較することによって、そのコンテンツ鍵の正当性が検証される。

[0168] なお、チェック値は、コンテンツ鍵管理情報の直後に付加することが好ましい。つまり、コンテンツ鍵，コンテンツ鍵管理情報，チェック値で構成される連結データにおいて、その連結データの LSBがチェック値であることが好ましい。それは、連鎖暗号方式では、 LSBをチェックすることによって復号ィ匕の対象となるデータ全体の正当性を検証することができるカゝらである。

[0169] <改竄検出方法 >

図 17を参照しつつ、図 13に示した機密情報処理システムにおける改竄検出方法（図 5のステップ ST22における処理）について説明する。ここでは、ドメイン鍵 Ku(i)に対応するコンテンツ鍵 Kt(i-j)を改竄検出の対象とする。また、チェック値 Check(i-j)は、コンテンツ鍵管理情報 UR[t]G-j)の直後に付加された 8バイトデータであるものとする

[0170] 〔ステップ ST203— 1〕

まず、ホスト機器 11は、暗号ィ匕コンテンツ鍵 EncKt(i-j),暗号ィ匕コンテンツ鍵管理情報 EncUR[t](i- j),および暗号化チェック値 EncCheckG-j)を復号化する。これらは 1つの連結データとして上述の連鎖暗号方式によって暗号ィヒされて、るので、この連結データは MSB (最初の 8バイト）から順番に復号化される。

[0171] 〔ステップ ST203— 2〕

次に、ホスト機器 11は、指定バイトに従って、復号ィ匕して平文になった連結データ（コンテンツ鍵 Kt(i- j) ,コンテンツ鍵管理情報 UR[t](i-j),およびチェック値 CheckG- j)からなる連結データ）の中から 8バイト分のデータを抽出する。なお、ここでは、チェック値 Check(i-j)がコンテンツ鍵管理情報 UR[t](i-j)の直後に付加されて、るので、指定バイトは、 LSB (最後の 8バイト）を示す。これにより、平文になった連結データの中からチェック値 Check(i-j)が抽出されたことになる。次に、ステップ ST203— 4へ進む。

[0172] 〔ステップ ST203— 3〕

一方、ホスト機器 11は、 ROM116に格納された部分検査用データ DATA21を抽出する。

[0173] 〔ステップ ST203—4〕

次に、ホスト機器 11は、ステップ ST203— 2において抽出されたチェック値 Check(i -j)とステップ ST203— 3にお、て抽出された部分検査用データ DATA21とを比較する。このように、両者を比較することにより、コンテンツ鍵，コンテンツ鍵管理情報，およびチェック値力なる連結データのうちチェック値が埋め込まれた位置までのデータの正当性を検証することができる。

[0174] 〔ステップ ST203— 5〕

ステップ ST203—4における比較の結果、ステップ ST203— 2において抽出されたチェック値 Check(i-j)とステップ ST203— 3において抽出された部分検査用データ D ATA21とが一致しないと判断すると、ホスト機器 11は、暗号ィ匕コンテンツ鍵 EncKt( ') ,暗号化コンテンツ鍵管理情報 EncUR[t](i-j),あるいは暗号化チェック値 EncCheck(i -j)が改竄されていると判断して、異常終了を実行する。一方、両者が一致すると判断された場合には、ステップ ST203— 6へ進む。

[0175] 〔ステップ ST203— 6〕

次に、ホスト機器 11は、指定バイトに従って、コンテンツ鍵群 TKURE(i)の中力 m 個の暗号化チェック値 EncCheckG- l)〜EncCheck(i- m)を抽出する。例えば、ホスト機器 11は、指定バイトに従って、暗号ィ匕コンテンツ鍵 EncKtG- j),暗号ィ匕コンテンツ鍵管理情報 EncUR[t](i-j),暗号化チェック値 EncCheck(i-j)力もなる連結データの中から 8 バイト分のデータを抽出する。これにより、暗号ィ匕チェック値 EncCheck(i-j)が抽出されたことになる。ホスト機器 11は、このような抽出処理を、各々の連結データに対して実行することによって、 m個の暗号化チェック値 EncCheck(i- l)〜EncCheck(i- m)を抽出する。

[0176] 〔ステップ ST203— 7〕

次に、ホスト機器 11は、ステップ ST203— 6において抽出された暗号ィ匕チェック値 EncCheck(i- l)〜EncCheck(i- m)を 1つに連結する。これにより、 1つのチェック値連結データが生成される。

[0177] 〔ステップ ST203— 8〕

次に、ホスト機器 11は、ステップ ST203— 7において生成されたチェック値連結データに対してハッシュ演算を実行する。これにより、連鎖ハッシュ値 Chain Hash(i)が算出される。次に、ステップ ST203— 11へ進む。

[0178] 〔ステップ ST203— 9〕

一方、ホスト機器 11は、鍵対応テーブル Address Listを参照して、暗号化コンテンッ鍵 EncKt(i-j)の復号ィ匕に必要な暗号ィ匕ドメイン鍵 EncKu(i)を検出する。そして、ホスト機器 11は、認証中間鍵 Aを用いて、その検出した暗号ィ匕ドメイン鍵 EncKu(i)および暗号ィ匕ドメイン鍵管理情報 EncURMG)を復号ィ匕する。これにより、ホスト機器 11は、ドメイン鍵 Ku(i)およびドメイン鍵管理情報 UR[u](i)を取得する。なお、復号化されたドメイン鍵は、ステップ ST203— 1においてコンテンツ鍵の復号化に使用される。

[0179] 〔ステップ ST203— 10〕次に、ホスト機器 11は、ドメイン鍵管理情報 UR[u](i)の中から所定のビット位置に格納された全体検査用データ DATA22G)を抽出する。

[0180] 〔ステップ ST203— 11〕

次に、ホスト機器 11は、ステップ ST203— 8において算出された連鎖ハッシュ値 Ch ain Hash(i)とステップ ST203— 10において抽出された全体検査用データ DATA22(i) とを比較する。

[0181] 〔ステップ ST203— 12〕

ステップ ST203 - 11における比較の結果、ステップ ST203 - 8にお!/、て算出された連鎖ハッシュ値 Chain Hash(i)とステップ ST203— 10において抽出された全体検查用データ DATA22G)とが一致しないと判断すると、ホスト機器 11は、暗号化チェック値 EncCheckG-l)〜EncCheckG-m)が改竄されて!、ると判断して、異常終了を実行する。一方、両者が一致すると判断された場合には、ステップ ST20へ進む。

[0182] このような処理によって得られた平文のコンテンツ鍵 Kt(i-j)を用いて、ホスト機器 11 は、暗号ィ匕されたコンテンツを復号ィ匕する。

[0183] <コンテンツ鍵情報の追加や削除 >

また、今後は、ネットワークを介した配信によってコンテンツ鍵を追加したり、削除したりすることも考えられる。コンテンツ鍵情報の追加や削除にともない、全体検査用データ DATA22G)が更新される。

[0184] 〔コンテンツ鍵情報の追加〕

図 18を参照しつつ、コンテンツ鍵が追加された場合について説明する。なお、ここでは、暗号化コンテンツ鍵 EncKt(i-a),暗号化コンテンツ鍵管理情報 EncUR[t](i-a), 暗号ィ匕チェック値 EncCheckG-a)を含む暗号ィ匕コンテンツ鍵情報が追加される。この暗号ィ匕されたコンテンツ鍵情報は、コンテンツ鍵 Kt(i-a),コンテンツ鍵管理情報 UR[t] (ト a)を含むコンテンツ鍵情報にチェック値 Check (ト a)が追加された後、そのコンテンツ鍵情報がドメイン鍵 Ku(i)を用いて連鎖暗号ィ匕されることによって生成される。また、コンテンッ鍵情報の追加や削除を実行する場合には、まず上述の方法（図 17参照）によって既存のコンテンツ鍵情報に対して改竄検出処理を実行することもある力ここでは説明を省略する。 [0185] 〔ステップ ST204— 1〕

まず、暗号化コンテンツ鍵 EncKt(i-l)〜EncKt(i-m)に付随する暗号化チック値 En cCheckG- l)〜EncCheck(i- m)と、追加された暗号化コンテンツ鍵 EncKtG- a)に付随するチェック値 EncCheck(i-a)とが抽出される。

[0186] 〔ステップ ST204— 2〕

次に、抽出された（m+ 1)個の暗号化チェック値 EncCheck(i- l)〜EncCheck(i- m), EncCheckG-a)が 1つに連結される。これにより、 1つのチェック値連結データが生成される。

[0187] 〔ステップ ST201— 3〕

次に、ステップ ST201— 3における処理と同様に、ステップ ST204— 2において生成されたチェック値連結データに対してハッシュ演算が実行されて、新たな連鎖ハツシュ値 Chain Hash(i')が算出される。算出された新たな連鎖ハッシュ値 Chain Hash(i') は、新たな全体検査用データ DATA22G)として、暗号ィ匕ドメイン鍵管理情報 EncUR[t]( 0の所定位置に格納される。

[0188] このようにして、全体検査用データ DATA22G)が更新される。

[0189] 〔コンテンツ鍵情報の削除〕

図 19を参照しつつ、コンテンツ鍵情報が削除された場合について説明する。なお、ここでは、暗号化コンテンツ鍵 EncKt(i-2),暗号化コンテンツ鍵管理情報 EncUR[t](i- 2),暗号ィ匕チェック値 EncCheckG-2)を含む暗号ィ匕されたコンテンツ鍵情報が削除される。

[0190] 〔ステップ ST205— 1〕

まず、削除された暗号ィ匕コンテンツ鍵 EncKt(i-2)以外の（m— 1)個の暗号化コンテンッ鍵 EncKt(i- 1), EncKt(i- 3)〜EncKt(i- m)に付随する暗号化チック値 EncCheck(i -1), EncCheck(i- 3)〜EncCheck(i- m)が抽出される。

[0191] 〔ステップ ST205— 2〕

次に、抽出された（m— 1)個の暗号化チェック値 EncCheck(i-l), EncCheck(i-3)〜E ncCheck(i-m)が 1つに連結される。これにより、チェック値連結データが生成される。

[0192] 〔ステップ ST201— 3〕次に、ステップ ST201— 3における処理と同様に、ステップ ST205— 2において生成されたチェック値連結データに対してハッシュ演算が実行されて、新たな連鎖ハツシュ値 Chain HashG")が算出される。算出された新たな連鎖ハッシュ値 Chain Hash(i") は、新たな全体検査用データ DATA22G)として、暗号ィ匕ドメイン鍵管理情報 EncUR[t]( 0の所定位置に格納される。

[0193] このようにして、全体検査用データ DATA22G)が更新される。

[0194] <暗号アルゴリズム >

ここで、ハッシュ演算および連鎖暗号方式による暗号アルゴリズムにつ、て説明する。

[0195] 図 20は、一方向関数型のハッシュ演算（DES HASH)についての暗号アルゴリズムを示す概念図である。図 21は、一方向関数型のハッシュ演算（DES HASH)についての暗号アルゴリズムを示すフローチャートである。図 22は、一方向関数型のハッシュ演算（C2 HASH)についての暗号アルゴリズムを示す概念図である。図 23は、連鎖暗号方式（DES E-CBC)についての暗号アルゴリズムを示す概念図である。図 24は、連鎖暗号方式（DES E-CBC)についての暗号アルゴリズムを示すフローチャートである。図 25は、連鎖暗号方式（C2 E-CBC)についての暗号アルゴリズムを示す概念図である。

[0196] 図 21と図 24とを比較すると、一方向関数型のハッシュ演算と連鎖暗号方式とは、暗号アルゴリズムの一部が互いに共通している。したがって、演算回路を共有することができ、回路面積を低減することができる。

[0197] <効果 >

以上のように、機密情報における改竄の有無を検出する処理において、 1つのコンテンッ鍵情報におけるチェック値の抽出と、 m個の暗号ィ匕チェック値力なる連結データに対するハッシュ演算とが実行される。このように、コンテンツ鍵群 TKURE(i)全体に対してハッシュ演算を実行する必要がな!、ので、改竄検出処理時における処理量を低減することができる。

[0198] また、機密情報を生成する処理にぉ、て、 m個の暗号ィ匕されたコンテンツ鍵情報の各々力チェック値が抽出され、 m個の暗号化チェック値から 1つの全体検査用データが生成される。このように、改竄検出処理のために使用されるデータ（チェック値，全体検査用データ）が複数段階に分けて生成される。そして、最終段階の検査用データ (全体検査用データ）が保護領域に格納される。このように、保護領域に格納されるデータ量を低減することができる。

[0199] さらに、機密情報に新たなコンテンツ鍵情報が追加された場合、追加されたコンテンッ鍵情報力チェック値を抽出し、一方で、既存のコンテンツ鍵情報力抽出された暗号ィ匕チェック値と新たなコンテンツ鍵情報力も抽出された暗号ィ匕チェック値とから新たな全体検査用データを生成する。また、機密情報カゝらコンテンツ鍵情報が削除された場合、削除されたコンテンッ鍵情報以外のコンテンッ鍵情報に含まれるチエツク値から全体検査用データが生成される。このように、コンテンツ鍵群 TKURE(i)全体に対してハッシュ演算を実行する必要がな!、ので、機密情報の更新時における処理量を低減することができる。

[0200] さらに、本実施形態では、コンテンツ鍵情報の各々に対する改竄検出処理と、すべてのチェック値に対する改竄検出処理とを別々の方式で行っている。すなわち、コンテンッ鍵の各々に対する改竄検出処理では、そのコンテンツ鍵情報に対して連鎖暗号方式を利用した復号化処理が実行され抽出処理が実行される。一方、すべてのチエック値に対する改竄検出処理では、すべての暗号ィ匕チェック値に対してハッシュ演算が実行される。このように、改竄検出時における検査手段が互いに異なっているので、セキュリティレベルを向上させることができる。

[0201] なお、部分検査用データ DATA21は、 ROM 116やレジスタ（図示せず）に格納されている必要はない。また、部分検査用データ DATA21の定数がある規則性を有する場合には、レジスタを設けなくとも、演算器の組み合わせなどで実現することも可能である。一般に、レジスタを設けるよりも演算器の組み合わせによって定数を実装する方力回路面積としては有利である。

[0202] また、ドメイン鍵管理情報の中にチェック値が埋め込まれていても良い。例えば、ドメイン鍵管理情報 UR[t](i)の中にチェック値 Check(i)が埋め込まれて、ても良、。この場合、暗号ィ匕コンテンツ鍵 EncKt(H),暗号ィ匕コンテンツ鍵管理情報 EncUR[t]G- j), および暗号ィ匕チェック値 EncCheckG-j)を含む暗号ィ匕コンテンツ鍵情報に対する改竄検出処理（図 16参照）と同様の処理を実行すれば、暗号ィ匕ドメイン鍵 EncKu(i)および暗号ィ匕ドメイン鍵管理情報 En_CUR[t](i)を含むドメイン鍵情報における改竄の有無を検出することができる。

[0203] <付加情報 >

また、図 26のように、 m個の暗号化コンテンツ鍵 EncKt(i- l)〜EncKt(i- m)に対して m 個の付加情報 info(i-l)〜info(i-m)が対応付けられて、ても構わな、。付加情報 info(i - l)〜info(i- m)の各々には、暗号化チヱック値 EncCheck(i- l)〜EncCheck(i- m)のうち自己に対応するチェック値が平文の状態で格納されている（図 26では、代表としてチエック値 Check(i-j)のみを図示している。 ) o例えば、暗号化チェック値 EncCheck(i-j) が付随する暗号ィ匕コンテンツ鍵 EncKt(i-j)の付加情報 info(i-j)には、平文のチェック値 Check(i-j)が格納されている。この場合、コンテンツ鍵毎に異なるチェック値を設けることが可能であり、セキュリティを向上させることができる。また、チェック値 Check(i-j )は、指定バイトに従って、対応する付加情報 info( ')の所定位置に格納されていても良い。

[0204] ここで、暗号ィ匕コンテンツ鍵 EncKt(i-j)について改竄チェックを実行する場合、指定ノイトに従って、付加情報 info(i-j)の中から部分検査用データ DATA21が抽出される（ ST202— 5)。次に、ステップ 202— 4で ίま、ステップ ST202— 1〜ST202— 3における処理によって得られたチェック値 Check(i-j)とステップ ST202— 5にお!/、て抽出された部分検査用データ DATA21とが比較される。このようにして、 B音号化コンテンツ鍵 EncKt(i-j)における改竄の有無を検査する。

[0205] <エントリー >

なお、ターゲット機器によっては、コンテンツ鍵が格納される領域を、エントリーという形で、予め確保しているものもある。エントリーの各々には、ドメイン鍵が対応付けられる。エントリーに格納される暗号ィ匕コンテンツ鍵は、そのエントリーに対応付けられたドメイン鍵によって復号ィ匕することができる。このような場合には、各々のエントリーに対応するチェック値を連結してハッシュ演算を実行するという概念が生じる。すなわち、コンテンツ鍵が実際に格納されているカゝ否かに関わらず、同一のドメイン鍵が対応付けられた全てのエントリーの中力指定バイトに従って所定位置のデータを抽出し、その抽出したデータを 1つに連結してハッシュ演算を実行し、算出されたハッシュ値をドメイン鍵管理情報に格納してもよい。もちろん、処理量を軽減するためにはハツシュ演算の演算量が少ない方が好ましい。したがって、コンテンツ鍵が実際に格納されているエントリーだけに指定バイトに従ったデータ抽出を実行し、その抽出したデータを 1つに連結してハッシュ演算を実行し、算出されたハッシュ値をドメイン鍵管理情報に格納する方が好ましい。

[0206] <改変例>

本実施形態について様々な改変例が考えられるが、代表例として以下の改変例を開示する。

[0207] (1)暗号ィ匕コンテンツは、必ずしも暗号ィ匕コンテンツ鍵を格納するターゲット機器と同一のターゲット機器内に格納されている必要はなぐ別の記録媒体に格納されるものであっても良い。その場合には、ホスト機器は、その別の記録媒体に格納された暗号ィ匕コンテンツをネットワーク等を介して取得し、本実施形態の改竄検出方法によつて正当性が保証されたコンテンッ鍵を用いてその暗号化コンテンッを復号化することになる。

[0208] (2)チヱック値が埋め込まれる位置は、指定バイトで指定する必要は必ずしもなぐ固定でも構わない。例えば、 LSBの 8バイトと固定して埋め込んでおけば、全てのデータ（コンテンツ鍵、コンテンツ鍵管理情報）の改竄をチェックすることが可能である。

[0209] (第 3の実施形態）

この発明の第 3の実施形態では、全体チェック値を利用して改竄検出が実行される。連鎖暗号方式は図 12に示したものと同様である。また、コンテンツ鍵 Kt(i-j)およびそれに付随する情報 UR[t](i-j)の改竄の有無を検出する方法は、第 2の実施形態と同様である。

[0210] <構成 >

この発明の第 3の実施形態による機密情報処理システムの全体構成は、図 13に示したものと同様である。ただし、ターゲット機器 10に格納される機密情報が異なる。

[0211] <機密情報 >

図 27は、本実施形態におけるターゲット機器 10に格納される機密情報を示す。保護領域 102〖こは、ドメイン鍵群 UKUREが格納される。通常領域 103には、鍵対応テ一ブル Address Listと、コンテンツ鍵群 TKURE(i)と、チェック値リスト Check List(i)と、全体チェック値 Check(i)とが格納される。なお、通常領域 103には、暗号ィ匕されたコンテンッも格納されているが、図 27では省略する。

[0212] 〔ドメイン鍵群〕

ドメイン鍵群 UKUREは、図 14と同様に、 n個の暗号化ドメイン鍵 EncKu(l)〜EncKu( n)と、 n個の暗号ィ匕ドメイン鍵管理情報 EncUR[u](l)〜EncUR[u](n)とを含む。また、暗号ィ匕ドメイン鍵管理情報 EncUR[u](l)〜EncUR[u](n)の各々の所定位置には、全体検查用データが格納される。全体検査用データは、そのドメイン鍵に対応するコンテンッ鍵群と全体チェック値とに基づいて生成されている。例えば、暗号ィ匕ドメイン鍵管理情報 EncUR[u](i)の所定位置には、コンテンツ鍵群 TKURE(i)および全体チェック値 Ch eck(i)に基づ、て生成された全体検査用データ DATA32(i)が格納されて、る。

[0213] なお、図 27では、暗号化ドメイン鍵 EncKu(i)に対応するコンテンツ鍵群 TKURE(i)のみしか図示してヽな、が、暗号化ドメイン鍵 EncKu(i)以外の暗号化ドメイン鍵 EncKu(l ；)〜 EncKu(n)の各々にもコンテンツ鍵群が対応して、てよ！/、。

[0214] 〔コンテンツ鍵群および鍵対応テーブル〕

コンテンツ鍵群 TKURE(i)および鍵対応テーブル Address Listは、図 14に示したものと同様である。

[0215] 〔チェック値リスト〕

チェック値リスト Check List(i)は、コンテンツ鍵群 TKURE(i)に対応する。また、チエツク値リスト Check List(i)は、 m個の二重暗号化チェック値 Enc²Check(i- l)〜Enc²Check( i- m)を含む。二重暗号化チェック値 Enc²Check(i- l)〜Enc²Check(i- m)は、コンテンツ鍵群 TKURE(i)に含まれる暗号化チェック値 EncCheck(i- l)〜EncCheck(i- m)と一対一で対応する。

[0216] なお、図 27では、コンテンツ鍵群 TKURE(i)に対応するチェック値リスト Check List(i) のみしか図示していないが、コンテンツ鍵群 TKURE(i)以外のコンテンツ鍵群（図示せず）の各々に対応するハッシュリストも存在してヽても良、。

[0217] 〔全体チェック値〕全体チェック値 Check(i)は、コンテンツ鍵群 TKUREG)に対応する。なお、図 27では、コンテンツ鍵群 TKURE(i)に対応する全体チェック値 Check(i)のみ図示されて、るが、コンテンツ鍵群 TKURE(i)以外のコンテンツ鍵群（図示せず)の各々に対応する全体チェック値も存在して、ても良、。

[0218] <チェック値リストおよび暗号ィ匕チェック値の生成手順 >

図 28を参照しつつ、図 27に示したチェック値リスト Check List(i)および全体検査用データ DATA32G)の生成手順について説明する。

[0219] 〔ステップ ST301— 1〕

まず、指定バイトに従って、コンテンツ鍵群 TKURE(i)の中力 m個の暗号ィ匕チェック値 EncCheckG- l)〜EncCheck(i- m)が抽出される。例えば、暗号化コンテンツ鍵 EncKt (i-j),暗号化コンテンツ鍵管理情報 EncUR(i-j),および暗号化チェック値 EncCheckG- j)からなる連結データの中から暗号ィ匕チェック値 EncCheck(i-j)が抽出される。このようにして、 m個の暗号化チェック値 EncCheck(i-l)〜EncCheck(i-m)が抽出される。

[0220] 〔ステップ ST301 - 2]

次に、ステップ ST301— 1にお!/ヽて抽出された m個の暗号化チェック値 EncCheck(i

- l)〜EncCheck(i- m)と全体チェック値 Check(i)とが 1つに連結される。これにより、 1つのチェック値連結データが生成される。

[0221] 〔ステップ ST301— 3〕

次に、連鎖暗号方式にしたがって、ドメイン鍵 Ku(i)を用いてチェック値連結データが暗号化される。これにより、二重暗号化チヱック値 Enc²Check(i-l)〜Enc²Check(i-m )と暗号ィ匕全体チェック値 EncCheckG)との集合が生成される。

[0222] 〔ステップ ST301 -4]

次に、二重暗号化チェック値 Enc²Check(i-l)〜Enc²Check(i-m)と暗号化全体チック値 EncCheck(i)との集合の中から、暗号化全体チェック値 EncCheck(i)が取り出される。これにより、二重暗号化チェック値 Enc²Check(i- l)〜Enc²Check(i- m)の集合は、チエック値リスト Check List(i)になる。

[0223] 〔ステップ ST301 - 5]

次に、ステップ ST301— 4にお!/、て取り出された暗号化全体チェック値 EncCheck(i) は、全体検査用データ DATA32G)として、ドメイン鍵管理情報 UR[u](i)の所定位置に格納される。

[0224] ここで、暗号ィ匕ドメイン鍵管理情報 EncURMG)を更新する場合 (例えば、既に存在する暗号ィ匕ドメイン鍵 EncKu(i)に対して新たなコンテンッ鍵情報が対応付けられた場合や、暗号ィ匕ドメイン鍵 EncKu(i)に対して対応付けられてヽるコンテンツ鍵情報が削除された場合)は、暗号ィ匕ドメイン鍵管理情報 EncUR[u](i)は、暗号ィ匕全体チェック値 EncCheck(i)を格納する前にー且復号ィ匕されて、ドメイン鍵管理情報 UR[u](i)になる。そして、ドメイン鍵管理情報 UR[u](i)に暗号ィ匕全体チェック値 EncCheck(i)が格納されると、そのドメイン鍵管理情報 UR[u](i)は、暗号化されて暗号ィ匕ドメイン鍵管理情報 En cUR[u](i)に戻る。このようにして、全体検査用データ DATA32G)が更新される。

[0225] ただし、ドメイン鍵 Ku(i)も新たに作成された場合は、ドメイン鍵管理情報 UR[u](i)も新規に作成されることになるので、ー且復号ィ匕の処理を行う必要はない。この場合、新たに作成されたドメイン鍵管理情報 UR[u](i)に暗号ィ匕全体チェック値 EncCheckG)を格納した後、そのドメイン鍵管理情報 UR[u](i)が暗号化される。このようにして新たな暗号ィ匕ドメイン鍵管理情報 EncURMG)が生成される。

[0226] <改竄検出方法 >

図 29を参照しつつ、図 27に示した全体チェック値 Check(i)を利用した改竄検出方法について説明する。ここでは、暗号化ドメイン鍵 EncKu(i),チェック値リスト Check Li st(i),および全体チェック値 Check(i)を例に挙げて説明する。なお、図 27に示したチエック値 Check(i-l)〜Check(i-m)を利用した改竄検出方法は、図 16に示した方法と同様である。

[0227] 〔ステップ ST302—1〕

まず、暗号ィ匕ドメイン鍵管理情報 EncURMG)が復号ィ匕される。これにより、ドメイン鍵管理情報 UR[u](i)が生成される。そして、ドメイン鍵管理情報 UR[u](i)の所定位置に格納された全体検査用データ DATA32G)が抽出される。

[0228] 〔ステップ ST302— 2〕

次に、チェック値リスト Check List(i)に存在する m個の二重暗号化チェック値 Enc²Ch eck(i- l)〜Enc²Check(i- m)が 1つに連結される。そして、ステップ ST302— 1において抽出された全体検査用データ DATA32G)は、それら m個の二重暗号ィ匕チェック値 Enc 2Check(i-l)〜Enc²Check(i-m)力なる連結データの後段にさらに連結される。つまり、二重暗号化チヱック値 Enc²Check(i-l)〜Enc²Check(i-m)と全体検査用データ DATA 32(0と力なる連結データにおいて、その連結データの LSBは、全体検査用データ DATA32G)である。これにより、 1つのチェック値連結データが生成される。

[0229] 〔ステップ ST302— 3〕

次に、ドメイン鍵 Ku(i)を用いて、連鎖暗号方式による復号ィ匕がチェック値連結データに対して実行される。

[0230] 〔ステップ ST302— 4〕

次に、復号ィ匕されたチェック値連結データの中から所定位置のデータ (ここでは、その集合の LSBである 8バイトデータ）が抽出される。これにより、全体チェック値 Check( 0に相当するデータが抽出されたことになる。次に、ステップ ST302— 6へ進む。

[0231] 〔ステップ ST302— 5〕

一方、指定バイトに従って、ターゲット機器 10の通常領域 103に格納されている全体チェック値 Check(i)が抽出される。次に、ステップ ST302— 6へ進む。

[0232] 〔ステップ ST302— 6〕

次に、ステップ ST302—4において抽出されたデータとステップ ST302— 5において抽出された全体チェック値 Check(i)とが比較される。ここで、両者が一致する場合チエック値リスト Check List(i)あるいは全体チェック値 Check(i)に改竄がなかったものと判断される。一方、両者が一致しない場合チェック値リスト Check List(i)あるいは全体チエック値 CheckG)が改竄されていると判断されて、異常終了が実行される。

[0233] このようにして、チェック値リスト Check List(i)の正当性を検証することができる。チェック値リストが改竄されて、なければ、暗号ィ匕コンテンツ鍵の改竄の有無を検出することができる。例えば、暗号ィ匕コンテンツ鍵 EncKt(i-j)の改竄について検査したい場合、ステップ ST302— 3において復号化されたチェック値リスト Check List(i)の中からコンテンツ鍵 Kt(i-j)に対応する暗号ィ匕チェック値 EncCheck(i-j)を抽出する。一方、コンテンッ鍵群 TKURE(i)の中から暗号化チェック値 EncCheck(i-j)を抽出する。そして、復号化されたチェック値リスト Check List(i)から抽出された暗号化チェック値 EncChec kG- j)とコンテンツ鍵群 TKURE(i)力抽出された暗号化チェック値 EncCheckG- j)とを比較する。このようにすれば、暗号ィ匕コンテンツ鍵 EncKt(i-j)およびこれに付随する情報（暗号化コンテンツ鍵管理情報 EncUR[t](i-j)等）が改竄されてヽるか否かを検証することがでさる。

[0234] <改竄検出方法 >

次に、本実施形態の機密情報処理システムによる動作について説明する。本実施形態の機密情報処理システムによる動作の全体の流れは、図 5と同様であるが、コンテンッ鍵の改竄をチェックする処理 (ステップ ST22)における詳細な処理が異なる。本実施形態では、ステップ ST22において、図 16に示した改竄チェック方法 (チェック値 Check(i-l)〜Check(i-m)を利用した改竄チェック方法）と図 29に示した改竄チェック方法 (全体チェック値 CheckG)を利用した改竄チェック方法)を実行することによって、コンテンツ鍵の正当性を検証する。

[0235] <コンテンツ鍵情報の追加や削除 >

また、今後は、ネットワークを介した配信によってコンテンツ鍵を追加したり、削除したりすることも考えられる。コンテンツ鍵情報の追加や削除にともない、チェック値リスト Check List(i),および全体検査用データ DATA32G)が更新される。

[0236] 〔コンテンツ鍵情報の追加〕

図 30を参照しつつ、コンテンツ鍵情報が追加された場合について説明する。なお、ここでは、暗号化コンテンツ鍵 EncKt(i-a),暗号化コンテンツ鍵管理情報 EncUR[t](i- a),暗号ィ匕チェック値 EncCheckG-a)を含む暗号ィ匕コンテンツ鍵情報が追加される。この暗号ィ匕コンテンツ鍵情報は、コンテンツ鍵 Kt(i-a),コンテンツ鍵管理情報 UR[t](i-a )を含むコンテンツ鍵情報にチェック値 Check (ト a)が追加された後、そのコンテンツ鍵情報がドメイン鍵 Ku(i)を用いて連鎖暗号ィ匕されることによって生成される。

[0237] 〔ステップ ST303 - 1〕

まず、暗号化コンテンツ鍵 EncKt(i-l)〜EncKt(i-m)に付随する暗号化チック値 En cCheckG- l)〜EncCheck(i- m)と、追加された暗号化コンテンツ鍵 EncKtG- a)に付随する暗号化チェック値 EncCheck(i-a)とが抽出される。

[0238] 〔ステップ ST303— 2〕次に、抽出された暗号化チェック値 EncCheck(i- l)〜EncCheck(i- m), EncCheck(i- a )と全体チェック値 CheckG)とが 1つに連結される。これにより、 1つのチェック値連結データが生成される。

[0239] 〔ステップ ST303— 3〕

次に、連鎖暗号方式にしたがって、ステップ ST303— 2において生成されたチエツク値連結データが暗号ィ匕される。これ〖こより、二重暗号ィ匕チェック値 Enc²Check(i-l) 〜Enc²Check(i-m), Enc²Check(i-a)と暗号化全体チヱック値 EncCheck(i')との集合が生成される。

[0240] 〔ステップ ST303— 4, ST303— 5〕

次に、ステップ ST303— 4における処理と同様に、二重暗号化チェック値 Enc²Chec k(i- l)〜Enc²Check(i- m), Enc²Check(i- a)と暗号化全体チヱック値 EncCheck(i)との集合の中から、暗号化全体チェック値 EncCheck(i')が取り出される。これにより、二重暗号化チヱック値 Enc²Check(i- l)〜Enc²Check(i- m), Enc²Check(i- a)の集合は、新たなチェック値リスト Check List(i')になる。次に、ステップ ST303— 5における処理と同様に、取り出された暗号ィ匕全体チェック値 EncCheck(i')は、新たな全体検査用データ D ATA32G)として、ドメイン鍵管理情報 UR[u](i)の所定位置に格納される。

[0241] このようにして、チェック値リスト Check List(i),および全体検査用データ DATA32(i) が更新される。

[0242] 〔コンテンツ鍵情報の削除〕

図 31を参照しつつ、コンテンツ鍵情報が削除された場合について説明する。なお、ここでは、暗号化コンテンツ鍵 EncKt(i-2),暗号化コンテンツ鍵管理情報 EncUR[t](i- 2),暗号ィ匕チェック値 EncCheckG-2)を含む暗号ィ匕されたコンテンツ鍵情報が削除される。

[0243] 〔ステップ ST304—1〕

まず、削除された暗号ィ匕コンテンツ鍵 EncKt(i-2)以外の（m— 1)個の暗号化コンテンッ鍵 EncKt(i- 1), EncKt(i- 3)〜EncKt(i- m)に付随する暗号化チック値 EncCheck(i

-1), EncCheck(i- 3)〜EncCheck(i- m)が抽出される。

[0244] 〔ステップ ST304— 2] 次に、抽出された（m— 1)個の暗号化チェック値 EncCheck(i-l), EncCheck(i-3)〜E ncCheckG-m)と全体チェック値 Check(i)とが 1つに連結される。これにより、チェック値連結データが生成される。

[0245] 〔ステップ ST304 - 3〕

次に、連鎖暗号方式にしたがって、ステップ ST205— 2において生成されたチエツク値連結データが暗号ィヒされる。これ〖こより、二重暗号化チェック値 Enc²Check(i-l), Enc²Check(i-3)〜Enc²Check(i-m)と暗号化全体チヱック値 EncCheckG")との集合が生成される。

[0246] 〔ステップ ST301—4, ST301— 5〕

次に、ステップ ST301— 4における処理と同様に、二重暗号化チェック値 Enc²Chec k(i-l), Enc²Check(i- 3)〜Enc²Check(i- m)と暗号化全体チヱック値 EncCheck(i")との集合の中から、暗号ィ匕全体チェック値 EncCheck Oが取り出される。これにより、二重暗号化チヱック値 Enc²Check(i-l), Enc²Check(i-3)〜Enc²Check(i-m)の集合は、新たなチェック値リスト Check List になる。次に、ステップ ST301— 5における処理と同様に、取り出された暗号ィ匕全体チェック値 EncCheck Oは、新たな全体検査用データ DATA32G)として、ドメイン鍵管理情報 UR[u](i)の所定位置に格納される。

[0247] このようにして、チェック値リスト Check List(i),および全体検査用データ DATA32(i) が更新される。

[0248] <効果 >

以上のように、機密情報における改竄の有無を検出する処理において、 1つのコンテンッ鍵情報におけるチェック値の抽出と、全体検査用データと m個の二重暗号ィ匕チェック値とからなる連結データに対する復号化処理とが実行される。このように、コンテンッ鍵群 TKURE(i)全体に対してハッシュ演算を実行する必要がな、ので、改竄検出処理時における処理量を低減することができる。

[0249] また、機密情報を生成する処理にぉ、て、 m個の暗号ィ匕されたコンテンツ鍵情報の各々力チェック値が抽出され、全体チェック値および m個の暗号ィ匕チェック値から 1 つの全体検査用データが生成される。このように、改竄検出処理のために使用されるデータ (チヱック値，全体検査用データ）が複数段階に分けて生成される。そして、最終段階の検査用データ (全体検査用データ）が保護領域に格納される。このように、保護領域に格納されるデータ量を低減することができる。

[0250] さらに、機密情報に新たなコンテンツ鍵情報が追加された場合、追加されたコンテンッ鍵情報カゝらチェック値を抽出し、一方で、全体チェック値，既存のコンテンツ鍵情報カゝら抽出された暗号ィ匕チェック値，新たなコンテンツ鍵情報カゝら抽出された暗号ィ匕チェック値を含む連結データ力新たな全体検査用データが生成される。また、機密情報からコンテンツ鍵情報が削除された場合、削除されたコンテンツ鍵情報に対応する二重暗号ィ匕チェック値をチェック値リストの中から削除し、全体チェック値と削除されなかった二重暗号ィヒチェック値とを含む連結データに対して連鎖暗号方式を利用した暗号ィ匕処理が実行されて、新たな全体検査用データが生成される。このように

、コンテンツ鍵群 TKURE(i)全体に対してハッシュ演算を実行する必要がな、ので、機密情報の更新時における処理量を低減することができる。

[0251] <改変例>

本実施形態について様々な改変例が考えられる力代表例として以下の 3つの改変例を開示する。

[0252] (1)暗号ィ匕コンテンツは、必ずしも暗号ィ匕コンテンツ鍵を格納するターゲット機器と同一のターゲット機器内に格納されている必要はなぐ別の記録媒体に格納されるものであっても良い。その場合には、ホスト機器は、その別の記録媒体に格納された暗号ィ匕コンテンツをネットワーク等を介して取得し、本実施形態の改竄検出方法によつて正当性が保証されたコンテンッ鍵を用いてその暗号化コンテンッを復号化することになる。

[0253] (2)チヱック値が埋め込まれる位置は、指定バイトで指定する必要は必ずしもなぐ固定でも構わない。例えば、 LSBの 8バイトと固定して埋め込んでおけば、全てのデータ（コンテンツ鍵、コンテンツ鍵管理情報）の改竄の有無を検出することが可能である。

[0254] (3)全体チェック値 Check(i)も、部分検査用データ DATA21と同様に、定数として R OM 116やレジスタ（図示せず)などに格納しておいても良い。また、その定数がある規則性を有する場合には、レジスタを設けなくとも、演算器の組み合わせなどで実現することも可能である。一般に、レジスタを設けるよりも演算器の組み合わせによって定数を実装する方が、回路面積としては有利である。

[0255] 以上の各実施形態の説明において、図 5に示した概略フローチャートは、各々の実施形態によるコンテンツ鍵の改竄チェック方法 (ステップ ST22における処理）に応じて、適宜変更されても構わない。当業者であれば、図 5の概略フローチャートを各実施形態に応じて適宜変更することは容易である。

産業上の利用可能性

[0256] 本発明は、ターゲット機器とホスト機器カゝら構成される機密情報処理システム等に利用可能である。

Claims

請求の範囲

[1] ドメイン鍵情報と m個 (mは自然数)のコンテンツ鍵情報とを含み且つ改竄の有無を検出される鍵情報を生成するデータ生成部と、

前記データ生成部によって生成された鍵情報をターゲット機器に書き込むデータ書込部とを備えるホスト機器による鍵情報の生成方法であって、

前記ターゲット機器は、第 1記憶領域と、当該第 1記憶領域よりもセキュリティレベルが高!、第 2記憶領域とを含み、

前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号化および復号化するために使用されるコンテンツ鍵を含み、

前記ドメイン鍵情報は、前記 m個のコンテンツ鍵情報を暗号化および復号化するために使用されるドメイン鍵を含み、

前記生成方法は、

前記データ生成部が、前記 m個のコンテンツ鍵情報の各々に対して、改竄検出処理のために使用される部分検査用データに相当する第 1データを追加し、前記ドメイン鍵を用いて当該 m個のコンテンツ鍵情報の各々を連鎖暗号ィ匕するステップ (A)と、前記データ生成部が、前記ステップ (A)において暗号ィ匕された m個のコンテンツ鍵情報の各々の中から前記第 1データを暗号化されたままの状態で抽出するステップ（ B)と、

前記データ生成部が、前記ステップ (B)において抽出された m個の第 1データを含む連結データに対して所定演算を実行して、第 2データを生成するステップ (C)と、前記データ生成部が、前記ステップ (C)において生成された第 2データを全体検査用データとして前記ドメイン鍵情報に追加するステップ (D)と、

前記データ書込部が、前記 m個の暗号化されたコンテンツ鍵情報を前記第 1記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むステップ (E)とを備える

ことを特徴とする鍵情報生成方法。

[2] 請求項 1において、

前記所定演算は、ハッシュ演算であることを特徴とする鍵情報生成方法。

[3] 請求項 2において、

前記連鎖暗号ィ匕のアルゴリズムと前記ハッシュ演算のアルゴリズムとは、一部が共通している

ことを特徴とする鍵情報生成方法。

[4] ドメイン鍵情報と m個 (mは自然数)のコンテンツ鍵情報とを含み且つ改竄の有無を検出される鍵情報を生成するデータ生成部と、

前記生成方法は、

前記データ生成部が、第 2データと前記ステップ (B)において抽出された m個の第 1データとを含む連結データを前記ドメイン鍵を用いて連鎖暗号ィ匕し、当該暗号化された連結データの中から前記第 2データを暗号化されたままの状態で抽出するステップ (C)と、

前記データ生成部が、前記ステップ (C)において抽出された第 2データを全体検査用データとして前記ドメイン鍵情報に追加するステップ (D)と、前記データ書込部が、前記ステップ (C)において暗号化された連結データに含まれる m個の暗号化された第 1データを前記第 1記憶領域に書き込み、前記 m個の暗号化されたコンテンツ鍵情報を前記第 1記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むステップ (E)とを備える

ことを特徴とする鍵情報生成方法。

[5] 請求項 1または請求項 4において、

前記 m個のコンテンツ鍵情報の各々では、前記第 1データは、当該コンテンツ鍵情報のうち予め指定された位置に配置される

ことを特徴とする鍵情報生成方法。

[6] 請求項 1または請求項 4において、

前記 m個のコンテンツ鍵情報の各々では、前記第 1データは、当該コンテンツ鍵情報の最下位に位置する所定長のデータとして配置される

ことを特徴とする鍵情報生成方法。

[7] 請求項 1または請求項 4において、

前記 m個のコンテンツ鍵情報に対して、所定位置に前記部分検査用データを格納する付加情報を対応付けるステップ (F)をさらに備え、

前記ステップ (E)では、さらに、

前記データ書込部が、前記 m個の付加情報を前記第 1記憶領域に書き込むことを特徴とする鍵情報生成方法。

[8] ドメイン鍵情報と m個 (mは自然数)のコンテンツ鍵情報とを含み且つ改竄の有無を検出される鍵情報を生成するデータ生成部と、

前記ターゲット機器は、第 1記憶領域と、当該第 1記憶領域よりもセキュリティレベルが高!、第 2記憶領域とを有し、

前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵を含み、

前記生成方法は、

前記データ生成部が、前記ドメイン鍵を用いて前記 m個のコンテンツ鍵情報の各々を暗号ィ匕するステップ (A)と、

前記データ生成部が、前記ステップ (A)によって暗号ィ匕された m個のコンテンツ鍵情報の各々に対して第 1演算を実行して、 m個の第 1データを生成するステップ (B) と、

前記データ生成部が、前記ステップ (B)において生成された m個の第 1データを含む連結データに対して第 2演算を実行して、第 2データを生成するステップ (C)と、前記データ生成部が、前記ステップ (C)において生成された第 2データを全体検査用データとして前記ドメイン鍵情報に追加するステップ (D)と、

前記データ書込部が、前記 m個の第 1データを m個の部分検査用データとして前記第 1記憶領域に書き込み、前記 m個の暗号化されたコンテンツ鍵情報を前記第 1 記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むステツプ (E)とを備える

ことを特徴とする鍵情報生成方法。

[9] 請求項 8において、

前記第 1および第 2演算の各々は、ハッシュ演算である

ことを特徴とする鍵情報生成方法。

[10] 請求項 1,請求項 4,請求項 8のうちいずれ力 1つにおいて、

前記鍵情報は、前記ドメイン鍵情報を暗号化および復号化するために使用される認証鍵をさらに含み、

前記ターゲット機器は、前記第 2領域よりもセキュリティレベルが高ぐ且つ、前記認証鍵を格納する第 3記憶領域をさらに含み、

前記生成方法は、

前記データ生成部が、前記認証鍵を用いて前記ドメイン鍵情報を暗号化するステツプ (F)をさらに備え、

前記ステップ (E)では、前記データ書込部が、前記ステップ (F)において暗号ィ匕されたドメイン鍵情報を前記第 2記憶領域に書き込む

ことを特徴とする鍵情報生成方法。

[11] 請求項 10において、

前記第 1記憶領域は、前記ホスト機器が任意にアクセスすることができ、前記第 2記憶領域は、前記ホスト機器と前記ターゲット機器との間で認証が成功すると、当該ホスト機器がアクセスすることができ、

前記第 3記憶領域は、前記ホスト機器と前記ターゲット機器との間で相互認証を実行するために使用される

ことを特徴とする鍵情報生成方法。

[12] 請求項 11において、

前記第 3記憶領域は、前記認証鍵が書き込まれた後に書き換えができなくなるように処理される

ことを特徴とする鍵情報生成方法。

[13] 請求項 1,請求項 4,請求項 8のうちいずれ力 1つにおいて、

前記ターゲット機器は、前記ホスト機器からのクロックおよび動作命令に従って動作する可搬型記憶デバイスである

ことを特徴とする鍵情報生成方法。

[14] ドメイン鍵と m個（mは自然数)のコンテンツ鍵情報とを含み且つ改竄の有無を検出される鍵情報を生成する装置であって、

前記生成装置は、

前記 m個のコンテンツ鍵情報の各々に対して、改竄検出処理のために使用される部分検査用データに相当する第 1データを追加し、前記ドメイン鍵を用いて当該 m個のコンテンツ鍵情報の各々を連鎖暗号化する暗号化部と、

前記暗号ィ匕部によって暗号ィ匕された m個のコンテンツ鍵情報の各々の中力前記第 1データを暗号化されたままの状態で抽出するデータ抽出部と、

前記データ抽出部によって抽出された m個の第 1データを含む連結データに対して所定演算を実行して、第 2データを生成するデータ生成部と、

前記データ生成部によって生成された第 2データを全体検査用データとして前記ドメイン鍵情報に追加するデータ追加部と、

前記 m個の暗号化されたコンテンツ鍵情報を前記第 1記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むデータ書込部とを備えることを特徴とする鍵情報生成装置。

ドメイン鍵と m個（mは自然数)のコンテンツ鍵情報とを含み且つ改竄の有無を検出される鍵情報を生成する装置であって、

前記生成装置は、

第 2データと前記データ抽出部によって抽出された m個の第 1データとを含む連結データを前記ドメイン鍵を用いて連鎖暗号ィ匕し、当該暗号化された連結データの中力も前記第 2データを暗号化されたままの状態で抽出するデータ処理部と、前記データ処理部によって抽出された第 2データを全体検査用データとして前記ドメイン鍵情報に追加するデータ追加部と、

前記データ処理部によって暗号ィ匕された連結データに含まれる m個の暗号ィ匕された第 1データを前記第 1記憶領域に書き込み、前記 m個の暗号化されたコンテンツ鍵情報を前記第 1記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むデータ書込部とを備える

ことを特徴とする鍵情報生成装置。

前記生成装置は、

前記ドメイン鍵を用いて前記 m個のコンテンツ鍵情報の各々を暗号化する暗号ィ匕部と、

前記暗号ィ匕部によって暗号ィ匕された m個のコンテンツ鍵情報の各々に対して第 1 演算を実行して、 m個の第 1データを生成する第 1演算部と、

前記第 1演算部によって生成された m個の第 1データを含む連結データに対して第 2演算を実行して、第 2データを生成する第 2演算部と、

前記第 2演算部によって生成された第 2データを全体検査用データとして前記ドメイン鍵情報に追加するデータ追加部と、

前記 m個の第 1データを前記 m個の部分検査用データとして前記第 1記憶領域に書き込み、前記 m個の暗号化されたコンテンツ鍵情報を前記第 1記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むデータ書込部とを備えことを特徴とする鍵情報生成装置。

改竄の有無を検出される鍵情報に対して新たなコンテンツ鍵情報を追加するとともに、当該鍵情報を更新するデータ更新部と、

前記データ更新部によって更新された鍵情報をターゲット機器に書き込むデータ書込部とを備えるホスト機器による鍵情報の更新方法であって、

前記ターゲット機器は、第 1記憶領域と、前記第 1記憶領域よりもセキュリティレベルが高!、第 2記憶領域とを含み、

前記鍵情報は、ドメイン鍵情報と、 m個 (mは自然数)のコンテンツ鍵情報とを含み、前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1データとを含み、

前記ドメイン鍵情報は、前記 m個のコンテンツ鍵情報を暗号化および復号化するために使用されるドメイン鍵と、全体検査用データとを含み、

前記 m個のコンテンツ鍵情報の各々は、暗号化されており、

前記更新方法は、

前記データ更新部が、前記新たなコンテンツ鍵情報に対して前記第 1データを追加し、当該コンテンツ鍵情報を前記ドメイン鍵を用いて連鎖暗号ィ匕するステップ (A) と、

前記データ更新部が、前記ステップ (A)において暗号ィ匕されたコンテンツ鍵情報の中から前記第 1データを暗号化されたままの状態で抽出するステップ (B)と、前記データ更新部が、前記ステップ (B)において抽出された第 1データと前記 m個の暗号ィ匕されたコンテンツ鍵情報の各々に含まれる第 1データとを含む連結データに対して所定演算を実行して、第 2データを生成するステップ (C)と、

前記データ更新部が、前記ドメイン鍵情報に含まれる全体検査用データを前記ステツプ (C)において生成された第 2データに書き換えるステップ (D)と、

前記データ書込部が、前記 m個の暗号化されたコンテンツ鍵情報と前記暗号化された新たなコンテンツ鍵情報とを前記第 1記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むステップ (E)とを備えることを特徴とする鍵情報更新方法。

前記鍵情報は、ドメイン鍵情報と、 m個（mは自然数)のコンテンツ鍵情報と、 m個の暗号化された第 1データと、第 2データとを含み、

前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1データとを含み、

前記更新方法は、

前記データ更新部が、前記ステップ (A)において暗号ィ匕されたコンテンツ鍵情報の中から前記第 1データを暗号化されたままの状態で抽出するステップ (B)と、前記データ更新部が、前記第 2データ，前記 m個の暗号化された第 1データ，および前記ステップ (B)において抽出された第 1データを含む連結データを、前記ドメイン鍵を用いて連鎖暗号化し、当該暗号化された連結データの中から前記第 2データを暗号化されたままの状態で抽出するステップ (C)と、

前記データ更新部が、前記ドメイン鍵情報に含まれる全体検査用データを前記ステツプ (C)において抽出された第 2データに書き換えるステップ (D)と、

前記データ書込部が、前記ステップ (C)において暗号化された連結データに含まれる (m+ 1)個の第 1データを前記第 1記憶領域に書き込み、前記 m個の暗号化されたコンテンツ鍵情報および前記暗号化された新たなコンテンツ鍵情報を前記第 1 記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むステツプ (E)とを備える

ことを特徴とする鍵情報更新方法。

前記鍵情報は、ドメイン鍵情報と、 m個（mは自然数)のコンテンツ鍵情報と、 m個の部分検査用データとを含み、

前記更新方法は、

前記データ更新部が、前記新たなコンテンツ鍵情報を暗号ィ匕するステップ (A)と、前記データ更新部が、前記ステップ (A)において暗号ィ匕された新たなコンテンツ鍵情報に対して第 1演算を実行して、第 1データを生成するステップ (B)と、

前記データ更新部が、前記 m個の部分検査用データと前記ステップ (B)において生成された第 1データとを含む連結データに対して第 2演算を実行して、第 2データを生成するステップ (C)と、

前記データ書込部が、 m個の部分検査用データと前記第 1データとを (m+ 1)個の部分検査用データとして前記第 1記憶領域に書き込み、前記 m個の暗号化されたコンテンッ鍵情報および前記暗号化された新たなコンテンツ鍵情報を前記第 1記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むステップ (E )とを備える

ことを特徴とする鍵情報更新方法。

改竄の有無を検出される鍵情報の中から、ずれか 1つのコンテンッ鍵情報を削除するとともに、当該鍵情報を更新するデータ更新部と、

前記鍵情報は、ドメイン鍵情報と、 m個 (mは自然数)のコンテンツ鍵情報とを含み、前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号化および復号化するために使用されるコンテンツ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1データとを含み、

前記更新方法は、

前記データ更新部が、前記 m個の暗号化されたコンテンツ鍵情報のうちヽずれか 1 つを削除するステップ (A)と、

前記データ更新部が、前記ステップ (A)において削除されな力つた (m—1)個の暗号化されたコンテンツ鍵情報の各々に含まれる第 1データを暗号化されたままの状態で抽出するステップ (B)と、

前記データ更新部が、前記ステップ (B)において抽出された (m— 1)個の第 1データを含む連結データに対して所定演算を実行して、第 2データを生成するステップ（ C)と、

前記データ書込部が、前記 (m— 1)個の暗号化されたコンテンツ鍵情報を前記第 1 記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むステツプ (E)とを備える

ことを特徴とする鍵情報更新方法。

前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号化および復号化するために使用されるコンテンツ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1データとを含み、

前記 m個の暗号ィ匕された第 1データは、前記 m個のコンテンツ鍵情報と一対一で対応し、

前記更新方法は、

前記データ更新部が、前記 m個のコンテンツ鍵情報のうちいずれ力 1つを削除するステップ（A)と、

前記データ更新部が、前記 m個の暗号化された第 1データのうち前記ステップ (A) において削除されたコンテンツ鍵情報に対応する第 1データを削除するステップ (B) と、

前記データ更新部が、前記第 2データと前記ステップ (B)において削除されなかつた (m— 1)個の暗号ィ匕された第 1データとを含む連結データを前記ドメイン鍵を用いて連鎖暗号化し、当該暗号化された連結データの中から前記第 2データを暗号化されたままの状態で抽出するステップ (C)と、

前記データ書込部が、前記ステップ (C)において暗号化された連結データに含まれる (m— 1)個の第 1データを前記第 1記憶領域に書き込み、前記 (m— 1)個の暗号化されたコンテンツ鍵情報を前記第 1記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むステップ (E)とを備える

ことを特徴とする鍵情報更新方法。

前記 m個の部分検査用データは、前記 m個のコンテンツ鍵情報と一対一で対応し前記 m個のコンテンツ鍵情報の各々は、暗号化されており、前記更新方法は、

前記データ更新部が、前記 m個の部分検査用データのうち前記ステップ (A)において削除されたコンテンツ鍵情報に対応する部分検査用データを削除するステップ（ B)と、

前記データ更新部が、前記ステップ (B)において削除されな力つた (m—1)個の部分検査用データを含む連結データに対して第 2演算を実行して、第 2データを生成するステップ (C)と、

前記データ書込部が、前記ステップ (B)において削除されな力つた (m—1)個の部分検査用データを前記第 1記憶領域に書き込み、前記 (m— 1)個の暗号化されたコンテンッ鍵情報を前記第 1記憶領域に書き込み、且つ、前記ドメイン鍵情報を前記第 2記憶領域に書き込むステップ (E)とを備える

ことを特徴とする鍵情報更新方法。

ホスト機器によって、ターゲット機器に格納された鍵情報における改竄の有無を検出する方法であって、

前記ドメイン鍵情報は、前記 m個のコンテンツ鍵を暗号化および復号化するために使用されるドメイン鍵と、全体検査用データとを含み、

前記検出方法は、

前記 m個の暗号ィ匕されたコンテンツ鍵情報のうちいずれか 1つを前記ドメイン鍵を用いて連鎖復号ィ匕し、当該復号化されたコンテンツ鍵情報の中から前記第 1データを抽出するステップ (A)と、

前記ステップ (A)において抽出された第 1データと予め用意された部分検査用デ一タとを比較するステップ (B)と、

前記 m個のコンテンツ鍵情報の各々の中力前記第 1データを暗号ィ匕されたままの状態で抽出し、当該抽出された m個の第 1データを含む連結データに対して所定演算を実行して、第 2データを生成するステップ (C)と、

前記ステップ (C)におヽて生成された第 2データと前記ドメイン鍵情報に含まれる全体検査用データとを比較するステップ (D)と、

前記ステップ (B)において前記第 1データと前記部分検査用データとがー致し、且つ、前記ステップ (D)において前記第 2データと前記全体検査用データとがー致すると、前記鍵情報が改竄されていないと判断するステップ (E)とを備える

ことを特徴とする改竄検出方法。

[24] 請求項 23において、

前記全体検査用データは、改竄されてヽなヽ m個の暗号ィ匕されたコンテンツ鍵情報の中から m個の第 1データを暗号化されたままの状態で抽出し、当該抽出された m 個の第 1データを含む連結データに対して所定演算を実行することによって得られるデータに相当する

ことを特徴とする改竄検出方法。

[25] 請求項 23において、

前記ターゲット機器は、

前記 m個の暗号化されたコンテンツ鍵情報を格納する第 1記憶領域と、前記第 1記憶領域よりもセキュリティレベルが高ぐ且つ、前記ドメイン鍵情報を格納する第 2記憶領域とを含む

ことを特徴とする改竄検出方法。

[26] 請求項 23において、

前記所定演算は、ハッシュ演算である

ことを特徴とする改竄検出方法。

[27] 請求項 26において、前記ハッシュ演算のアルゴリズムと前記連鎖暗号ィ匕のアルゴリズムとは、一部が共通している

ことを特徴とする改竄検出方法。

前記検出方法は、

前記ドメイン鍵情報に含まれる全体検査用データと前記 m個の暗号化された第 1デ一タとを含む連結データを前記ドメイン鍵を用いて連鎖復号ィ匕し、当該復号化された連結データの中から当該全体検査用データを抽出するステップ (C)と、

前記第 2データと前記ステップ (C)におヽて抽出された全体検査用データとを比較するステップ (D)と、

ことを特徴とする改竄検出方法。 [29] 請求項 28において、

前記全体検査用データは、改竄されていない m個の暗号化された第 1データと前記第 2データとを含む連結データを前記ドメイン鍵を用いて連鎖暗号ィ匕し、当該暗号ィ匕された連結データの中から暗号化されたままの状態で抽出される第 2データに相当する

ことを特徴とする改竄検出方法。

[30] 請求項 28において、

前記ターゲット機器は、

前記 m個の暗号化されたコンテンツ鍵，前記 m個の暗号化された第 1データ，および前記第 2データを格納する第 1記憶領域と、

前記第 1記憶領域よりもセキュリティレベルが高ぐ且つ、前記ドメイン鍵情報を格納する第 2記憶領域とを含む

ことを特徴とする改竄検出方法。

[31] 請求項 23または請求項 28において、

前記 m個のコンテンツ鍵情報の各々では、前記第 1データは、当該コンテンツ鍵情報のうち予め指定された位置に配置されている

ことを特徴とする改竄検出方法。

[32] 請求項 23または請求項 28において、

前記 m個のコンテンツ鍵情報の各々では、前記第 1データは、当該コンテンツ鍵情報の最下位に位置する所定長のデータとして配置されている

ことを特徴とする改竄検出方法。

[33] 請求項 23または請求項 28において、

前記鍵情報は、 m個のコンテンツ鍵情報と一対一で対応する m個の付加情報をさらに含み、

前記 m個の付加情報の各々には、前記部分検査用データが所定位置に格納されており、

前記ステップ (B)では、

前記ステップ (A)において抽出された第 1データと当該第 1データが抽出されたコンテンッ鍵情報に対応する付加情報に格納された部分検査用データとを比較することを特徴とする改竄検出方法。

[34] ホスト機器によって、ターゲット機器に格納された鍵情報における改竄の有無を検出する方法であって、

前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号化および復号化するために使用されるコンテンツ鍵と含み、

前記 m個の部分検査用データは、前記 m個のコンテンツ鍵情報と一対一で対応し前記 m個のコンテンツ鍵情報の各々は、暗号化されており、

前記検出方法は、

前記 m個の暗号ィ匕されたコンテンツ鍵情報のうちいずれか 1つに対して第 1演算を実行して、第 1データを生成するステップ (A)と、

前記ステップ (A)にお、て生成された第 1データと前記 m個の部分検査用データのうち前記ステップ (A)におヽて第 1演算が実行されたコンテンツ鍵情報に対応する部分検査用データとを比較するステップ (B)と、

前記 m個の部分検査用データを含む連結データに対して第 2演算を実行して、第 2データを生成するステップ (C)と、

ことを特徴とする改竄検出方法。

[35] 請求項 34において、前記 m個の部分検査用データの各々は、当該部分検査用データに対応する改竄されてヽないコンテンッ鍵情報に対して前記第 1演算を実行することによって得られるデータに相当し、

前記全体検査用データは、改竄されてヽな、m個の部分検査用データを含む連結データに対して前記第 2演算を実行することによって得られるデータに相当することを特徴とする改竄検出方法。

[36] 請求項 34において、

前記ターゲット機器は、

前記 m個の暗号化されたコンテンツ鍵情報と前記 m個の部分検査用データとを格納する第 1記憶領域と、

ことを特徴とする改竄検出方法。

[37] 請求項 34において、

前記第 1および第 2演算の各々は、ハッシュ演算である

ことを特徴とする改竄検出方法。

[38] 請求項 25,請求項 30,請求項 36のうちいずれ力 1つにおいて、

前記ドメイン鍵情報は、暗号化されている

ことを特徴とする改竄検出方法。

[39] 請求項 38において、

前記第 1記憶領域は、前記ホスト機器が任意にアクセスすることができ、前記第 2記憶領域は、前記ホスト機器と前記ターゲット機器との間で認証が成立すると、当該ホスト機器がアクセスすることができ、

ことを特徴とする改竄検出方法。

[40] 請求項 39において、

ことを特徴とする改竄検出方法。

[41] 請求項 23,請求項 28,請求項 34のうちいずれ力 1つにおいて、

ことを特徴とする改竄検出方法。

[42] ターゲット機器に格納された鍵情報における改竄の有無を検出する装置であって、前記鍵情報は、ドメイン鍵情報と、 m個 (mは自然数)のコンテンツ鍵情報とを含み、前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵と、改竄検出処理のために使用される部分検査用データに相当する第 1データとを含み、

前記検出装置は、

前記 m個の暗号ィ匕されたコンテンツ鍵情報のうちいずれか 1つを前記ドメイン鍵を用いて連鎖復号ィ匕し、当該復号化されたコンテンツ鍵情報の中から前記第 1データを抽出するデータ処理部と、

前記データ処理部によって抽出された第 1データと予め用意された部分検査用デ一タとを比較する第 1比較部と、

前記 m個のコンテンツ鍵情報の各々の中力前記第 1データを暗号ィ匕されたままの状態で抽出し、当該抽出された m個の第 1データを含む連結データに対して所定演算を実行して、第 2データを生成するデータ生成部と、

前記データ生成部によって生成された第 2データと前記ドメイン鍵情報に含まれる全体検査用データとを比較する第 2比較部と、

前記第 1比較部において前記第 1データと前記部分検査用データとがー致し、且つ、前記第 2比較部において前記第 2データと前記全体検査用データとがー致すると、前記鍵情報が改竄されて、な、と判断する改竄判断部とを備える

ことを特徴とする改竄検出装置。

ターゲット機器に格納された鍵情報における改竄の有無を検出する装置であって、前記鍵情報は、ドメイン鍵情報と、 m個（mは自然数)のコンテンツ鍵情報と、 m個の暗号化された第 1データと、第 2データとを含み、

前記検出装置は、

前記 m個の暗号ィ匕されたコンテンツ鍵情報のうちいずれか 1つを前記ドメイン鍵を用いて連鎖復号ィ匕し、当該復号化されたコンテンツ鍵情報の中から前記第 1データを抽出する第 1データ処理部と、

前記第 1データ処理部によって抽出された第 1データと予め用意された部分検査用データとを比較する第 1比較部と、

前記ドメイン鍵情報に含まれる全体検査用データと前記 m個の暗号化された第 1デ一タとを含む連結データを前記ドメイン鍵を用いて連鎖復号ィ匕し、当該復号化された連結データの中から当該全体検査用データを抽出する第 2データ処理部と、前記第 2データと前記第 2データ処理部によって抽出された全体検査用データとを比較する第 2比較部と、

前記第 1比較部において前記第 1データと前記部分検査用データとがー致し、且つ、前記第 2比較部において前記第 2データと前記全体検査用データとがー致すると、前記鍵情報が改竄されて、な、と判断する改竄判断部とを備えることを特徴とする改竄検出装置。

[44] 鍵ターゲット機器に格納された鍵情報における改竄を有無を検出する装置であつて、

前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵と含み、

前記検出装置は、

前記 m個の暗号ィ匕されたコンテンツ鍵情報のうちいずれか 1つに対して第 1演算を実行して、第 1データを生成する第 1演算部と、

前記第 1演算部によって生成された第 1データと前記 m個の部分検査用データのうち前記第 1演算部によって第 1演算が実行されたコンテンツ鍵情報に対応する部分検査用データとを比較する第 1比較部と、

前記 m個の部分検査用データを含む連結データに対して第 2演算を実行して、第 2データを生成する第 2演算部と、

前記第 2演算部によって生成された第 2データと前記ドメイン鍵情報に含まれる全体検査用データとを比較する第 2比較部と、

前記第 1比較部において前記第 1データと前記部分検査用データとがー致し、且つ、前記第 2比較部において前記第 2データと前記全体検査用データとがー致すると、前記 m個のコンテンツ鍵情報が改竄されて、な、と判断する改竄判断部とを備える

ことを特徴とする改竄検出装置。

[45] 第 1記憶領域と当該第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含むターゲット機器に格納され、且つ、ホスト機器によって改竄の有無を検出される鍵情報であって、

前記第 1記憶領域に格納される m個（mは自然数)のコンテンツ鍵情報と、前記第 2記憶領域に格納されるドメイン鍵情報とを備え、

前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵と、前記ホスト機器による改竄検出処理のために使用される部分検査用データに相当する第 1データとを含み、

前記ドメイン鍵情報は、前記 m個のコンテンツ鍵情報を暗号化および復号化するために使用されるドメイン鍵と、前記ホスト機器による改竄検出処理のために使用される全体検査用データとを含み、

前記全体検査用データは、改竄されてヽなヽ m個の暗号ィ匕されたコンテンツ鍵情報の各々力前記第 1データを暗号化されたままの状態で抽出し、当該抽出された m個の第 1データを含む連結データに対して所定演算を実行することによって得られるデータに相当する

ことを特徴とする鍵情報のデータ構造。

[46] 請求項 45において、

前記所定演算は、ハッシュ演算である

ことを特徴とする鍵情報のデータ構造。

[47] 第 1記憶領域と当該第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含むターゲット機器に格納され、且つ、ホスト機器によって改竄の有無を検出される鍵情報であって、

前記第 1記憶領域に格納される m個（mは自然数)のコンテンツ鍵情報， m個の暗号化された第 1データ，および第 2データと、

前記第 2記憶領域に格納されるドメイン鍵情報とを備え、

前記 m個のコンテンツ鍵情報の各々は、コンテンツを暗号ィ匕および復号ィ匕するために使用されるコンテンツ鍵と、前記ホスト機器による改竄検出処理のために使用される部分検査用データに相当する第 1データとを含み、前記ドメイン鍵情報は、前記 m個のコンテンツ鍵情報を暗号化および復号化するために使用されるドメイン鍵と、前記ホスト機器による改竄検出処理のために使用される全体検査用データとを含み、

ことを特徴とする鍵情報のデータ構造。

[48] 請求項 45または請求項 47において、

ことを特徴とする鍵情報のデータ構造。

[49] 請求項 45または請求項 47において、

ことを特徴とする鍵情報のデータ構造。

[50] 請求項 45または請求項 47において、

前記 m個の付加情報の各々には、前記部分検査用データが所定位置に格納されている

ことを特徴とする鍵情報のデータ構造。

[51] 第 1記憶領域と当該第 1記憶領域よりもセキュリティレベルが高い第 2記憶領域とを含むターゲット機器に格納され、且つ、ホスト機器によって改竄の有無を検出される鍵情報であって、前記第 1記憶領域に格納される m個（mは自然数)のコンテンツ鍵情報および m個の部分検査用データと、

前記第 2記憶領域に格納されるドメイン鍵情報とを備え、

前記 m個の部分検査用データは、前記 m個のコンテンツ鍵情報と一対一で対応し前記 m個の部分検査用データの各々は、当該部分検査用データに対応する改竄されていないコンテンツ鍵情報に対して第 1演算を実行することによって得られるデータに相当し、

前記全体検査用データは、改竄されてヽな、m個の部分検査用データを含む連結データに対して第 2演算を実行することによって得られるデータに相当することを特徴とする鍵情報のデータ構造。

請求項 51において、

前記第 1および第 2演算は、ハッシュ演算である

ことを特徴とする鍵情報のデータ構造。