WO2007026511A1 - グループ登録装置，グループ登録解除装置，グループ登録方法，ライセンス取得装置及びライセンス取得方法，並びに，時刻設定装置及び時刻設定方法 - Google Patents

Abstract

　セキュアな登録処理は保持した上で登録処理を簡略化して容易にグループ登録することの可能なグループ登録装置等を提供する。 　グループ登録装置１０は，登録要求検知部と，セッションＩＤを生成するセッションＩＤ生成部と，登録要求メッセージ送信部と，登録回答メッセージ受信部と，メッセージの一回性検証をする検証部２３１と，登録回答メッセージに含まれるＩＤリストを，グループＩＤとひも付けて記憶領域に格納させる格納部２４１とを備える。同じ登録セッション内では，上記登録要求メッセージを１回送信し，上記登録回答メッセージを１回受信し，上記登録要求メッセージの送信と，上記登録回答メッセージの受信に限られる。

Description

明 細 書

グループ登録装置，グループ登録解除装置，グループ登録方法，ライセ ンス取得装置及びライセンス取得方法，並びに，時刻設定装置及び時刻設定方 法

技術分野

[oooi] 本発明はグループ登録 Z登録解除するグループ登録装置，グループ登録方法， グループ登録解除装置にかかり，特に著作権管理におけるグループ登録装置，ダル ープ登録方法，グループ登録解除装置に関する。

[0002] また，本発明はライセンス取得装置及びライセンス取得方法にかかり，特に著作権 管理におけるライセンス取得装置及びライセンス取得方法に関する。

[0003] また，本発明は時刻を設定する時刻設定装置及び時刻設定方法にかかり，特にネ ットワークを介して時刻を設定する時刻設定装置及び時刻設定方法に関する。 背景技術

[0004] 現在では，ディジタルコンテンツの違法コピーを防止するため，コンテンツの流通' 利用に制限を加える DRM (ディジタル著作権管理)技術を利用した著作権管理シス テムが普及しつつある。

[0005] 上記著作権管理システムには，各ユーザが所有する複数の PC等のコンテンツ処 理装置をサーバにユーザ単位で登録し，そのユーザ単位で登録された各コンテンツ 処理装置において，コンテンツの共有ィ匕を図ることが可能なシステムが存在する（例 えば，特許文献 1参照)。

[0006] つまり，各ユーザが所有する複数のコンテンツ処理装置がサーバに登録を要求し， サーバはユーザ単位 (又は，グループ）に識別可能な共通の IDを生成して，その ID をユーザが所有する複数のコンテンツ処理装置が記憶することで，各コンテンツ処理 装置はコンテンツを共有して再生することができる。

[0007] し力しながら，コンテンツ処理装置がサーバに登録を要請して力もコンテンツ処理 装置が登録する（自装置内に IDを記憶する）するまでの間に，コンテンツ処理装置は ,対サーバとの間で認証処理など登録以外の処理について複数回のやりとりを必要 としていた。

[0008] したがって，コンテンツ処理装置は，サーバにより送信される IDを待ち受けて登録 に関連する処理に対処するための処理資源と，その登録以外の認証処理等の処理 に対処するための処理資源とを有する必要があった。特に処理能力が高くない装置 の場合は，登録処理に対する処理負荷が高いため，サーバに対して直接的に登録 処理を実行することができな力つた。

[0009] また，現在では，インターネットの普及やパーソナルコンピュータ（PC)の高速化.記 憶容量の増大化にともなって，映画や音楽等のディジタルコンテンツをネットワーク又 は記録媒体を介して提供することが一般的になりつつある。

[0010] ディジタルコンテンツは品質の劣化を伴わずに複数回コピーすることができる。この ため，著作者の許諾を得ないで違法にコンテンツが複製 (コピー）され，当該コンテン ッが配布 ·交換されるケースが増えて 、る。

[0011] 力かるディジタルコンテンツの違法コピーを防止するため，配布されるコンテンツに 対してライセンスを付与し，コンテンツを利用する際に，そのコンテンツに対応するラ ィセンスを PCが取得していない場合， PCは，コンテンツを再生又は複製等すること ができないシステムが存在する（例えば，特許文献 2参照)。

[0012] 上記システムでは， PC等のクライアントは，サーバに対してライセンスを要求し，サ ーノ から送信されてくるライセンスを取得することによって，そのライセンスに対応する コンテンッを利用して!/、る。

[0013] し力しながら，サーノ からライセンスを取得する前に，利用するコンテンツが決まつ ていたとしても，クライアントはサーバからー且，ライセンスリストを取得し，それから再 度改めて目的のコンテンツに対応するライセンスを選択し，そのライセンスをサーバ に要求しなければならなかった。

[0014] また，クライアントはライセンスリストをクライアントに要求し，サーバからライセンスを 取得するまでの一連のやりとりのなかで，上記ライセンスリストの他にも，クライアントと サーバとの間で複数回の通信を行い SSL (Secure Session Layer)を確立する 必要があった。

[0015] また，現在では，ソフトウェアプログラム，映画，または音楽などの各種コンテンツデ ータを，ネットワークを介してクライアントに配信するシステムにおいて，クライアントが コンテンツデータを再生 z起動する際に制限時間等の有効期限が設けられたコンテ ンッ配信システムが存在する。

[0016] このように，コンテンツデータについて有効期限を付して，コンテンツデータを再生

Z起動する処理を制限する場合，有効期限内である力否か等を正確に判断するた めコンテンツデータの配信先において時刻管理が重要となる。

[0017] 従来でも，パーソナルコンピュータ (PC)等のクライアントには自装置内の内部時計 として時刻管理する機能が備わっていたが，上記自装置内の時刻を不正に改ざんさ れるおそれがあった。

[0018] そこで，時刻を出力するモジュールは耐タンパ構造で，そのモジュールから出力さ れた時刻は公開鍵暗号ィ匕方式で暗号ィ匕されることで，不正に時刻が改ざんされる危 険性を防止して 、る（例えば，特許文献 3参照)。

[0019] し力しながら，コンテンツデータを利用しない限り，時刻を出力するモジュールから 時刻が出力されず， PC等のクライアント側の時刻が，有効期限内であるか否か等の 判断に用いられるため，その間に不正に改ざんされる恐れがあった。

[0020] また，その PCが管理する時刻精度関係なく，コンテンツデータを利用するたびに， モジュールから時刻が出力されて，クライアント側の時刻が設定されてしまうため，利 用頻度が高いと時刻設定処理が度重なり，非効率となる恐れがあった。

[0021] また，時刻を出力するモジュール力PC等に内蔵されていない場合，コンテンツデ ータを利用するたびに， USBポート等に接続可能な記憶手段が必須となるが，かか る記憶手段を置き忘れたり，無くしたりした場合， PC等のクライアントに時刻を設定す ることができない。なお，時刻を出力するモジュールは上記記憶手段に記憶されてい る。

[0022] 特許文献 1 :特開 2005— 141635号公報

特許文献 2 :特開 2003— 174443号公報

特許文献 3：特開 2003 - 280522号公報

発明の開示

発明が解決しょうとする課題 [0023] そこで，本発明は，上記問題点に鑑みてなされたものであり，本発明の目的は，セ キュアな登録処理は保持した上で登録処理を簡略ィヒして容易にグループ登録又は グループ登録解除することの可能な，新規かつ改良されたグループ登録装置，ダル ープ登録方法，グループ登録解除装置を提供することである。

[0024] また，本発明の別の目的は，セキュアなライセンス取得処理は保持した上でライセ ンス取得処理を簡略化して容易にライセンス取得することの可能な，新規かつ改良さ れたライセンス取得装置，ライセンス取得方法を提供することである。

[0025] また，本発明のさらに別の目的は，時刻設定の必要性を的確に把握し，処理負荷 を低減して時刻設定をすることが可能な，新規かつ改良された時刻設定装置及び時 刻設定方法を提供することである。

課題を解決するための手段

[0026] 上記課題を解決するため，本発明の第 1の観点によれば，少なくとも 1つの情報記 録媒体及び Z又は情報処理装置をグループに登録するグループ登録装置が提供さ れる。上記グループ登録装置は，上記グループに上記情報記録媒体及び Z又は情 報処理装置を登録する要求を検知する登録要求検知部と；上記グループ登録を要 求するメッセージを送信しそのメッセージに対する回答メッセージを受信する一連の やりとりを登録セッションとし，その登録セッションを識別するためのセッション IDを生 成するセッション ID生成部と；上記グループに登録する上記情報記録媒体の情報記 録媒体 ID及び Z又は上記情報処理装置の情報処理装置 IDと，上記セッション IDと を含んだ登録要求メッセージを登録サーバに対して送信する登録要求メッセージ送 信部と；上記登録サーバによりグループに登録された上記情報記録媒体 ID及び Z 又は情報処理装置 IDの IDリストと，上記セッション IDとを含んだ登録回答メッセージ を該登録サーノから受信する登録回答メッセージ受信部と；上記登録回答メッセ一 ジに含まれるセッション IDと上記セッション ID生成部で生成したセッション IDとが同 一であることを検証し，上記セッション IDを削除する検証部と；上記登録回答メッセ一 ジに含まれる IDリストを，上記グループを特定するグループ IDとひも付けて記憶領域 に格納させる格納部と；を備え，上記登録要求メッセージ送信部と上記登録回答メッ セージ受信部とは，同じ上記登録セッション内で上記登録要求メッセージを 1回送信 し，上記登録回答メッセージを 1回受信し;上記登録セッション内で実行される処理は

,上記登録要求メッセージ送信部による上記登録要求メッセージの送信と，上記登 録回答メッセージ受信部による上記登録回答メッセージの受信に限られることを特徴 としている。なお，上記グループ登録装置は，例えば，オンライン（同期）又はオフライ ン (非同期）でありセッション ID方式における装置であるが，かかる例に限定されない

[0027] 上記格納部は， 自装置の記憶領域又はオフラインか，オンラインの他装置の記憶 領域に上記グループ IDとひも付けて格納するようにしてもょ 、。

[0028] 上記課題を解決するために，本発明の別の観点によれば，少なくとも 1つの情報記 録媒体及び Z又は情報処理装置をグループに登録するグループ登録装置が提供さ れる。上記グループ登録装置は，上記グループに上記情報記録媒体及び Z又は情 報処理装置を登録する要求を検知する登録要求検知部と；上記グループ登録を要 求するメッセージを送信しそのメッセージに対する回答メッセージを受信する一連の やりとりを登録セッションとし，その登録セッションを識別するためのセッション IDを生 成するセッション ID生成部と；上記グループに登録する上記情報記録媒体の情報記 録媒体 ID及び Z又は上記情報処理装置の情報処理装置 IDと，上記セッション IDと を含んだ登録要求メッセージを登録サーバに対して送信する登録要求メッセージ送 信部と；上記登録サーバによりグループに登録された上記情報記録媒体 ID及び Z 又は情報処理装置 IDの IDリストと，上記セッション IDとを含む登録回答メッセージが エンコードされたパスフレーズを該登録サーノくから受信するパスフレーズ受信部と； 上記パスフレーズを上記登録回答メッセージにデコードし，該登録回答メッセージに 含まれるセッション IDと上記セッション ID生成ステップで生成したセッション IDとが同 一であることを検証し，上記セッション IDを削除する検証部と；上記登録回答メッセ一 ジに含まれる IDリストを，上記グループを特定するグループ IDとひも付けて自装置内 の記憶領域に格納させる格納部と；を備え，上記登録要求メッセージ送信部と上記 パスフレーズ受信部とは，同じ上記登録セッション内で上記上記登録要求メッセージ を 1回送信し，上記パスフレーズを 1回受信し;上記登録セッション内で実行される処 理は，上記登録要求メッセージ送信部による上記登録要求メッセージの送信と，上記 パスフレーズ受信部による上記ノ スフレーズの受信に限られることを特徴としている。 なお，上記グループ登録装置は，例えば，オフライン (非同期）でありセッション ID方 式における装置であるが，力かる例に限定されない。

[0029] 上記パスフレーズ受信部は，オフラインでパスフレーズを受信するように構成しても よい。

[0030] 上記課題を解決するために，本発明の別の観点によれば，少なくとも 1つの情報記 録媒体及び Z又は情報処理装置をグループに登録するグループ登録装置が提供さ れる。上記グループ登録装置は，上記グループに上記情報記録媒体及び Z又は情 報処理装置を登録する要求を検知する登録要求検知部と；上記グループに登録す る上記情報記録媒体の情報記録媒体 ID及び Z又は上記情報処理装置の情報処理 装置 IDを含んだ登録要求メッセージを登録サーバに対して送信する登録要求メッセ ージ送信部と;上記登録サーバによりグループに登録された上記情報記録媒体 ID 及び Z又は情報処理装置 IDの IDリストと，該登録サーバ側で取得したカウンタ情報 とを含んだ登録回答メッセージを該登録サーノから受信する登録回答メッセージ受 信部と；上記登録回答メッセージに設定されたカウンタ情報と上記グループ登録する 対象の自装置内で取得したカウンタ情報との前後関係が適切であることを検証し，上 記自装置内のカウンタ情報を更新する検証部と；上記登録回答メッセージに含まれる IDリストを，上記グループを特定するグループ IDとひも付けて記憶領域に格納させる 格納部と；を備え，上記登録要求メッセージ送信部と上記登録回答メッセージ受信部 とは，上記グループ登録を要求するメッセージを送信しそのメッセージに対する回答 メッセージを受信する一連のやりとりを登録セッションとしその同じ登録セッション内で 上記登録要求メッセージを 1回送信し，上記登録回答メッセージを 1回受信し；上記 登録セッション内で実行される処理は，上記登録要求メッセージ送信部による上記登 録要求メッセージの送信と，上記登録回答メッセージ受信部による上記登録回答メッ セージの受信に限られることを特徴としている。なお，上記グループ登録装置は，例 えば，オンライン（同期）又はオフライン (非同期）でありカウンタ情報方式における装 置であるが，力かる例に限定されない。

[0031] 上記カウンタ情報は，タイムスタンプであって，上記登録回答メッセージ受信部は， 上記登録サーバにより上記タイムスタンプが設定された上記登録回答メッセージを受 信し;上記検証部は，上記登録回答メッセージに設定された上記タイムスタンプよりも ,該登録回答メッセージ受信時に上記自装置内で生成したタイムスタンプの方が新

L ヽことを検証するようにしてもょ 、。

[0032] 上記課題を解決するために，本発明の別の観点によれば，少なくとも 1つの情報記 録媒体及び Z又は情報処理装置をグループに登録するグループ登録装置が提供さ れる。上記グループ登録装置は，上記グループに上記情報記録媒体及び Z又は情 報処理装置を登録する要求を検知する登録要求検知部と；上記グループに登録す る上記情報記録媒体の情報記録媒体 ID及び Z又は上記情報処理装置の情報処理 装置 IDを含んだ登録要求メッセージを登録サーバに対して送信する登録要求メッセ ージ送信部と;上記登録サーバによりグループに登録された上記情報記録媒体 ID 及び Z又は情報処理装置 IDの IDリストと，該登録サーバ側で取得したカウンタ情報 とを含む登録回答メッセージがエンコードされたパスフレーズを該登録サーノくから受 信するパスフレーズ受信部と；上記パスフレーズを上記登録回答メッセージにデコー ドし，上記登録回答メッセージに設定されたカウンタ情報と上記グループ登録する対 象の自装置内で取得したカウンタ情報との前後関係が適切であることを検証し，上記 自装置内のカウンタ情報を更新する検証部と；上記登録回答メッセージに含まれる I Dリストを，上記グループを特定するグループ IDとひも付けて記憶領域に格納させる 格納部と；を備え，上記登録要求メッセージ送信部と上記パスフレーズ受信部とは， 上記グループ登録を要求するメッセージを送信しそのメッセージに対する回答メッセ ージを受信する一連のやりとりである同じ登録セッション内で上記登録要求メッセ一 ジを 1回送信し，上記パスフレーズを 1回受信し；上記登録セッション内で実行される 処理は，上記登録要求メッセージ送信部による上記登録要求メッセージの送信と，上 記パスフレーズ受信部による上記ノ スフレーズの受信に限られることを特徴としてい る。なお，上記グループ登録装置は，オフライン (非同期）でありカウンタ情報方式に おける装置であるが，かかる例に限定されない。

[0033] 上記パスフレーズ受信部は，オフラインでパスフレーズを受信するように構成しても よい。 [0034] 上記カウンタ情報は，タイムスタンプであって，上記パスフレーズ受信部は，上記登 録サーバから上記パスフレーズを受信し；上記検証部は，上記パスフレーズのデコー ドにより得られる上記登録回答メッセージに設定された上記タイムスタンプよりも，該 パスフレーズ受信時に上記自装置内で生成したタイムスタンプの方が新 、ことを検 証するようにしてちょい。

[0035] 上記課題を解決するために，本発明の別の観点によれば，少なくとも 1つの情報記 録媒体及び Z又は情報処理装置がグループに登録されており，そのグループから 少なくとも 1つの情報記録媒体及び Z又は情報処理装置の登録を解除するグループ 登録解除装置が提供される。上記グループ登録解除装置は，上記グループに登録 された情報記録媒体及び z又は情報処理装置の登録を解除する要求を検知する登 録解除要求検知部と；上記グループ登録解除を開始するメッセージを受信しそのメッ セージに対する回答メッセージを送信する一連のやりとりを登録解除セッションとし， その登録解除セッションを識別するためのセッション IDを含んだ上記グループ登録 解除を開始する合図となる登録解除開始メッセージを登録解除サーバから受信する 登録解除開始メッセージ受信部と；上記グループ登録解除する対象となる上記情報 記憶媒体の情報記憶媒体 ID及び Z又は上記情報処理装置の情報処理装置 IDの I Dリストと，上記セッション IDとを基にして上記グループ登録解除を要求するための登 録解除要求メッセージを作成し送信する登録解除要求メッセージ送信部と；上記グ ループを特定するグループ IDとひも付いた上記登録解除要求メッセージに含まれる IDリストを削除し，グループ登録解除する解除部と;を備え，上記登録解除開始メッ セージ受信部と上記登録解除要求メッセージ送信部とは，同じ上記登録解除セッシ ヨン内で上記登録解除開始メッセージを 1回受信し，上記登録解除要求メッセージを 1回送信し;上記登録解除セッション内で実行される処理は，上記登録解除開始メッ セージ受信部による上記登録解除開始メッセージの受信と，上記登録解除要求メッ セージ送信部による上記登録解除要求メッセージの送信に限られることを特徴として いる。なお，上記グループ登録解除装置は，例えば，オンライン（同期）でありセッショ ン ID方式における装置であるが，力かる例に限定されない。

[0036] 上記課題を解決するために，本発明の別の観点によれば，少なくとも 1つの情報記 録媒体及び z又は情報処理装置がグループに登録されており，そのグループから 少なくとも 1つの情報記録媒体及び Z又は情報処理装置の登録を解除するグループ 登録解除装置が提供される。上記グループ登録解除装置は，上記グループに登録 された情報記録媒体及び Z又は情報処理装置の登録を解除する要求を検知する登 録解除要求検知部と；上記登録解除サーバにより取得されたカウンタ情報を含んだ 上記グループ登録解除を開始する合図となる登録解除開始メッセージを上記登録解 除サーバから受信する登録解除開始メッセージ受信部と；上記グループから登録解 除する対象となる上記情報記録媒体の情報記録媒体 ID及び Z又は上記情報処理 装置の情報処理装置 IDの IDリストと，上記カウンタ情報とを基にして上記グループ登 録解除を要求するための登録解除要求メッセージを作成し送信する登録解除要求メ ッセージ送信部と；上記登録解除開始メッセージに含まれるカウンタ情報と上記ダル ープ登録解除する対象の自装置内で取得したカウンタ情報との前後関係が適切で あることを検証する検証部と；上記グループを特定するグループ IDとひも付 、た上記 登録解除要求メッセージに含まれる IDリストを削除し，グループ登録解除する解除部 と；を備え，上記登録解除開始メッセージ受信部と上記登録解除要求メッセージ送信 部とは，上記グループ登録解除を開始するメッセージを受信しそのメッセージに対す る回答メッセージを送信する一連のやりとりを登録解除セッションとしその同じ上記登 録解除セッション内で上記登録解除開始メッセージを 1回受信し，上記登録解除要 求メッセージを 1回送信し;上記登録解除セッション内で実行される処理は，上記登 録解除開始メッセージ受信部による上記登録解除開始メッセージの受信と，上記登 録解除要求メッセージ送信部による上記登録解除要求メッセージの送信に限られる ことを特徴としている。なお，上記グループ登録解除装置は，例えば，オンライン（同 期）でありカウンタ情報方式における装置であるが，力かる例に限定されない。

[0037] 上記検証部は，上記自装置内のカウンタ情報を更新するように構成してもよい。

[0038] 上記課題を解決するために，本発明の別の観点によれば，少なくとも 1つの情報記 録媒体及び Z又は情報処理装置をグループに登録するグループ登録方法が提供さ れる。上記グループ登録方法は，上記グループに上記情報記録媒体及び Z又は情 報処理装置を登録する要求を検知する登録要求検知ステップと；上記グループ登録 を要求するメッセージを送信しそのメッセージに対する回答メッセージを受信する一 連のやりとりを登録セッションとし，その登録セッションを識別するためのセッション ID を生成するセッション ID生成ステップと；上記グループに登録する上記情報記録媒 体の情報記録媒体 ID及び Z又は上記情報処理装置の情報処理装置 IDと，上記セ ッシヨン IDとを含んだ登録要求メッセージを登録サーバに対して送信する登録要求メ ッセージ送信ステップと；上記登録サーバによりグループに登録された上記情報記録 媒体 ID及び/又は情報処理装置 IDの IDリストと，上記セッション IDとを含んだ登録 回答メッセージを該登録サーノ から受信する登録回答メッセージ受信ステップと；上 記登録回答メッセージに含まれるセッション IDと上記セッション ID生成ステップで生 成したセッション IDとが同一であることを検証すると，上記登録回答メッセージに含ま れる IDリストを，上記グループを特定するグループ IDとひも付けて記憶領域に格納さ せる格納ステップと；上記セッション IDを削除する削除ステップと；を含み，上記登録 要求メッセージ送信ステップと上記登録回答メッセージ受信ステップとは，同じ上記 登録セッション内で 1回ずつ順に実行され;上記登録セッション内で実行される処理 は，上記登録要求メッセージ送信ステップ及び登録回答メッセージ受信ステップに限 られることを特徴としている。なお，上記グループ登録方法は，例えば，オンライン（同 期）又はオフライン (非同期）でありセッション ID方式における方法であるが，かかる例 に限定されない。

上記課題を解決するために，本発明の別の観点によれば，少なくとも 1つの情報記 録媒体及び Z又は情報処理装置をグループに登録するグループ登録方法が提供さ れる。上記グループ登録方法は，上記グループに上記情報記録媒体及び Z又は情 報処理装置を登録する要求を検知する登録要求検知ステップと；上記グループ登録 を要求するメッセージを送信しそのメッセージに対する回答メッセージを受信する一 連のやりとりを登録セッションとし，その登録セッションを識別するためのセッション ID を生成するセッション ID生成ステップと；上記グループに登録する上記情報記録媒 体の情報記録媒体 ID及び Z又は上記情報処理装置の情報処理装置 IDと，上記セ ッシヨン IDとを含んだ登録要求メッセージを登録サーバに対して送信する登録要求メ ッセージ送信ステップと；上記登録サーバによりグループに登録された上記情報記録 媒体 ID及び Z又は情報処理装置 IDの IDリストと，上記セッション IDとを含む登録回 答メッセージがエンコードされたパスフレーズを該登録サーノくから受信するパスフレ ーズ受信ステップと；上記パスフレーズを上記登録回答メッセージにデコードし，該登 録回答メッセージに含まれるセッション IDと上記セッション ID生成ステップで生成した セッション IDとが同一であることを検証すると，上記登録回答メッセージに含まれる ID リストを，上記グループを特定するグループ IDとひも付けて上記グループ登録する対 象の自装置内の記憶領域に格納させる格納ステップと；上記セッション IDを削除する 削除ステップと；を含み，上記登録要求メッセージ送信ステップと上記パスフレーズ受 信ステップとは，同じ上記登録セッション内で 1回ずつ順に実行され;上記登録セッシ ヨン内で実行される処理は，上記登録要求メッセージ送信ステップ及びパスフレーズ 受信ステップに限られることを特徴としている。なお，上記グループ登録方法は，例え ば，オフライン (非同期）でありセッション ID方式における方法であるが，かかる例に 限定されない。

[0040] 上記ノ スフレーズ受信ステップでは，パスフレーズをオフラインで受信するように構 成してもよく，また，グループ IDに有効期限を設けてもよい。

[0041] 上記登録要求メッセージで指定された情報記録媒体及び Z又は情報処理装置を 登録するグループが存在しな 、場合，上記登録装置により新規にグループ IDが生 成され;上記受信ステップでは，上記 IDリストに上記グループ IDをさらに含んだ上記 登録回答メッセージが受信されるようにしてもよ!、。

[0042] 上記格納ステップでは， 自装置の記憶領域，又は，オフライン若しくはオンラインの 他装置の記憶領域に上記グループ IDとひも付けて格納するようにしてもょ 、。

[0043] 上記登録セッションごとに生成されるセッション IDは 1つであって，該登録セッション ごとに送信するメッセージ及び受信するメッセージも 1つずつであるように構成しても よい。

[0044] 上記課題を解決するために，本発明の別の観点によれば，少なくとも 1つの情報記 録媒体及び Z又は情報処理装置をグループに登録するグループ登録方法が提供さ れる。上記グループ登録方法は，上記グループに上記情報記録媒体及び Z又は情 報処理装置を登録する要求を検知する登録要求検知ステップと；上記グループに登 録する上記情報記録媒体の情報記録媒体 ID及び Z又は上記情報処理装置の情報 処理装置 IDを含んだ登録要求メッセージを登録サーバに対して送信する登録要求 メッセージ送信ステップと；上記登録サーバによりグループに登録された上記情報記 録媒体 ID及び Z又は情報処理装置 IDの IDリストと，該登録サーバ側で取得した力 ゥンタ情報とを含んだ登録回答メッセージを該登録サーノ から受信する登録回答メッ セージ受信ステップと；上記登録回答メッセージに設定されたカウンタ情報と上記グ ループ登録する対象の自装置内で取得したカウンタ情報との前後関係が適切である ことを検証すると，上記登録回答メッセージに含まれる IDリストを，上記グループを特 定するグループ IDとひも付けて記憶領域に格納させる格納ステップと；上記自装置 内のカウンタ情報を更新する更新ステップと；を含み，上記登録要求メッセージ送信 ステップと上記登録回答メッセージ受信ステップとは，上記グループ登録を要求する メッセージを送信しそのメッセージに対する回答メッセージを受信する一連のやりとり を登録セッションとしその同じ登録セッション内で 1回ずつ順に実行され;上記登録セ ッシヨン内で実行される処理は，上記登録要求メッセージ送信ステップ及び登録回答 メッセージ受信ステップに限られることを特徴としている。なお，上記グループ登録方 法は，例えば，オンライン（同期）又はオフライン (非同期）でありカウンタ情報方式に おける方法であるが，かかる例に限定されない。

[0045] 上記カウンタ情報は，タイムスタンプであって，上記登録回答メッセージ受信ステツ プでは，上記登録サーバにより上記タイムスタンプが設定された上記登録回答メッセ ージを受信し；上記格納ステップでは，上記登録回答メッセージに設定された上記タ ィムスタンプよりも，該登録回答メッセージ受信時に上記自装置内で生成したタイムス タンプの方が新 、ことを検証してもよ!/、。

[0046] 上記課題を解決するために，本発明の別の観点によれば，少なくとも 1つの情報記 録媒体及び Z又は情報処理装置をグループに登録するグループ登録方法が提供さ れる。上記グループ登録方法は，上記グループに上記情報記録媒体及び Z又は情 報処理装置を登録する要求を検知する登録要求検知ステップと；上記グループに登 録する上記情報記録媒体の情報記録媒体 ID及び Z又は上記情報処理装置の情報 処理装置 IDを含んだ登録要求メッセージを登録サーバに対して送信する登録要求 メッセージ送信ステップと；上記登録サーバによりグループに登録された上記情報記 録媒体 ID及び Z又は情報処理装置 IDの IDリストと，該登録サーバ側で取得した力 ゥンタ情報とを含む登録回答メッセージがエンコードされたパスフレーズを該登録サ ーバから受信するパスフレーズ受信ステップと；上記パスフレーズを上記登録回答メ ッセージにデコードし，上記登録回答メッセージに設定されたカウンタ情報と上記グ ループ登録する対象の自装置内で取得したカウンタ情報との前後関係が適切である ことを検証すると，上記登録回答メッセージに含まれる IDリストを，上記グループを特 定するグループ IDとひも付けて記憶領域に格納させる格納ステップと；上記自装置 内のカウンタ情報を更新する更新ステップと；を含み，上記登録要求メッセージ送信 ステップと上記パスフレーズ受信ステップとは，上記グループ登録を要求するメッセ ージを送信しそのメッセージに対する回答メッセージを受信する一連のやりとりである 同じ登録セッション内で 1回ずつ順に実行され;上記登録セッション内で実行される 処理は，上記登録要求メッセージ送信ステップ及びパスフレーズ受信ステップに限ら れることを特徴としている。なお，上記グループ登録方法は，例えば，例えば，オフラ イン (非同期）でありカウンタ情報方式における方法であるが，かかる例に限定されな い。

[0047] 上記ノ スフレーズ受信ステップでは，オフラインでパスフレーズを受信するように構 成してちょい。

[0048] 上記カウンタ情報は，タイムスタンプであって，上記パスフレーズ受信ステップでは ,上記登録サーバから上記パスフレーズを受信し;上記格納ステップでは，上記パス フレーズのデコードにより得られる上記登録回答メッセージに設定された上記タイム スタンプよりも，該パスフレーズ受信時に上記自装置内で生成したタイムスタンプの 方が新 ヽことを検証するようにしてもよ!、。

[0049] また，上記課題を解決するため，本発明の別の観点によれば，ライセンス保有装置 力 コンテンツの処理を許可する 1又は 2以上のライセンスを取得するライセンス取得 装置が提供される。上記ライセンス取得装置は，上記ライセンスを取得する要求を検 知するライセンス取得要求検知部と；上記ライセンス取得を要求するメッセージを送 信しそのメッセージに対する回答メッセージを受信する一連のやりとりを取得セッショ ンとし，その取得セッションを識別するためのセッション IDを生成するセッション ID生 成部と；上記要求した 1又は 2以上のライセンスを保存する保存先を特定する保存先 I Dと，上記セッション IDとを含んだライセンス取得要求メッセージを上記ライセンス保 有装置に対して送信するライセンス取得要求メッセージ送信部と；上記要求したライ センスと，該ライセンスの利用条件に関する付属情報と，上記保存先 IDと，上記セッ シヨン IDとを含んだライセンス取得回答メッセージを上記ライセンス保有装置カも受 信するライセンス取得回答メッセージ受信部と；上記ライセンス取得回答メッセージに 含まれるセッション IDと上記セッション ID生成部で生成したセッション IDとが同一で あることを検証し，そのセッション IDを削除する検証部と；上記ライセンスを上記保存 先 IDに従って記憶領域に保存させる保存部と；を備え，上記ライセンス取得要求メッ セージ送信部と上記ライセンス取得回答メッセージ受信部とは，同じ上記取得セッシ ヨン内で上記ライセンス取得要求メッセージを 1回送信し，上記ライセンス取得回答メ ッセージを 1回受信し;上記取得セッション内で実行される処理は，上記ライセンス取 得要求メッセージ送信部による上記ライセンス取得要求メッセージの送信と，上記ラ ィセンス取得回答メッセージ受信部による上記ライセンス取得回答メッセージの受信 に限られることを特徴としている。なお，上記ライセンス取得装置は，例えば，オンライ ン（同期）又はオフライン (非同期）でありセッション ID方式における装置であるが，か 力る例に限定されない。

[0050] 上記保存先 IDは，情報記録媒体の情報記録媒体 ID及び Z又は情報処理装置の 情報処理装置 IDであるようにしてもょ 、。

[0051] 上記付属情報には，伝送タイプ識別情報と，コンポーネント属性情報とが含まれる ように構成してもよい。

[0052] 上記ライセンスには，該ライセンスに対応する暗号化されたコンテンツを復号するコ ンテンッ鍵が含まれて 、るようにしてもょ 、。

[0053] 上記ライセンス保有装置は，ライセンスを保有するサーバ，ライセンスを保有する情 報処理装置，またはライセンスを保有する情報記録媒体であるように構成してもよ 、

[0054] 上記課題を解決するために，本発明の別の観点によれば，ライセンス保有装置力も コンテンツの処理を許可する 1又は 2以上のライセンスを取得するライセンス取得装 置が提供される。上記ライセンス取得装置は，上記ライセンスを取得する要求を検知 するライセンス取得要求検知部と；上記要求した 1又は 2以上のライセンスを保存する 保存先を特定する保存先 IDを含んだライセンス取得要求メッセージを上記ライセン ス保有装置に対して送信するライセンス取得要求メッセージ送信部と；上記要求した ライセンスと，該ライセンスの利用条件に関する付属情報と，上記保存先 IDと，上記 ライセンス保有装置が取得したカウンタ情報とを含んだライセンス取得回答メッセージ を上記ライセンス保有装置力 受信するライセンス取得回答メッセージ受信部と；上 記ライセンス取得回答メッセージに含まれるカウンタ情報と，上記ライセンス保存先の 自装置内が取得したカウンタ情報との前後関係が適切であることを検証し，該自装置 内のカウンタ情報を更新する検証部と；上記ライセンスを上記保存先 IDに従って記 憶領域に保存させる保存部と；を備え，上記ライセンス取得要求メッセージ送信部と 上記ライセンス取得回答メッセージ受信部とは，上記ライセンス取得を要求するメッセ ージを送信しそのメッセージに対する回答メッセージを受信する一連のやりとりを取 得セッションとしその同じ取得セッション内で上記ライセンス取得要求メッセージを 1 回送信し，上記ライセンス取得回答メッセージを 1回受信し；上記取得セッション内で 実行される処理は，上記ライセンス取得要求メッセージ送信部による上記ライセンス 取得要求メッセージの送信と，上記ライセンス取得回答メッセージ受信部による上記 ライセンス取得回答メッセージの受信に限られることを特徴としている。なお，上記ラ ィセンス取得装置は，例えば，オンライン（同期）又はオフライン (非同期）でありカウン タ情報方式における装置だが，力かる例に限定されない。

[0055] 上記保存先 IDは，情報記録媒体の情報記録媒体 ID及び Z又は情報処理装置の 情報処理装置 IDであるようにしてもょ 、。

[0056] 上記付属情報には，伝送タイプ識別情報と，コンポーネント属性情報とが含まれる ように構成してもよい。

[0057] 上記カウンタ情報は，タイムスタンプであって，上記ライセンス取得回答メッセージ 受信部は，上記ライセンス保有装置により上記タイムスタンプが設定された上記ライ センス取得回答メッセージを受信し；上記検証部は，上記ライセンス取得回答メッセ ージに含む上記タイムスタンプよりも，該ライセンス取得回答メッセージ受信時に上記 情報処理装置が取得したタイムスタンプの方が新 、ことを検証するようにしてもょ ヽ

[0058] 上記課題を解決するために，本発明の別の観点によれば，ライセンス保有装置力も コンテンツの処理を許可する 1又は 2以上のライセンスを取得するライセンス取得装 置が提供される。上記ライセンス取得装置は，上記ライセンスを取得する要求を検知 するライセンス取得要求検知部と；上記ライセンス取得を要求するメッセージを送信し そのメッセージに対する回答メッセージを受信する一連のやりとりを取得セッションと し，その取得セッションを識別するためのセッション IDを生成するセッション ID生成部 と；上記要求した 1又は 2以上のライセンスを保存する保存先を特定する保存先 IDと ,上記セッション IDとを含んだライセンス取得要求メッセージをライセンス保有装置に 対して送信するライセンス取得要求メッセージ送信部と；上記要求したライセンスと， 該ライセンスの利用条件に関する付属情報と，上記保存先 IDと，上記セッション IDと を含んだライセンス取得回答メッセージがエンコードされたパスフレーズを上記ライセ ンス保有装置力 受信するパスフレーズ受信部と；上記パスフレーズを上記ライセン ス取得回答メッセージにデコードし，該ライセンス取得回答メッセージに含まれるセッ シヨン IDと上記セッション ID生成ステップで生成したセッション IDとが同一であること を検証し，上記セッション IDを削除する検証部と；上記ライセンス取得回答メッセージ に含む上記ライセンスを上記保存先 IDに従って記憶領域に保存させる保存部と；を 備え，上記ライセンス取得要求メッセージ送信部と上記パスフレーズ受信部とは，同 じ上記取得セッション内で上記ライセンス取得要求メッセージを 1回送信し，上記ライ センス取得回答メッセージを 1回受信し;上記取得セッション内で実行される処理は， 上記ライセンス取得要求メッセージ送信部による上記ライセンス取得要求メッセージ の送信と，上記パスフレーズ受信部による上記パスフレーズの受信に限られることを 特徴としている。なお，上記ライセンス取得装置は，例えば，オフライン (非同期）であ りセッション ID方式における装置であるが，力かる例に限定されない。

[0059] 上記保存先 IDは，情報記録媒体の情報記録媒体 ID及び Z又は情報処理装置の 情報処理装置 IDであるようにしてもょ 、。 [0060] 上記付属情報には，伝送タイプ識別情報と，コンポーネント属性情報とが含まれる ように構成してもよい。

[0061] また，上記パスフレーズ受信部は，上記パスフレーズをオフラインで受信するように 構成してちょい。

[0062] 上記課題を解決するために，本発明の別の観点によれば，ライセンス保有装置力も コンテンツの処理を許可する 1又は 2以上のライセンスを取得するライセンス取得装 置が提供される。上記ライセンス取得装置は，上記ライセンスを取得する要求を検知 するライセンス取得要求検知部と；上記要求した 1又は 2以上のライセンスを保存する 保存先を特定する保存先 IDを含んだライセンス取得要求メッセージを上記ライセン ス保有装置に対して送信するライセンス取得要求メッセージ送信部と；上記要求した ライセンスと，該ライセンスの利用条件に関する付属情報と，上記保存先 IDと，上記 ライセンス保有装置が取得したカウンタ情報とを含んだライセンス取得回答メッセージ がエンコードされたパスフレーズを上記ライセンス保有装置力 受信するパスフレー ズ受信部と；上記パスフレーズを上記ライセンス取得回答メッセージにデコードし，該 ライセンス取得回答メッセージに含まれるカウンタ情報と上記ライセンス保存先の自 装置内が取得したカウンタ情報との前後関係が適切であることを検証し，該ライセン ス保存先の自装置内のカウンタ情報を更新する検証部と；上記ライセンス取得回答メ ッセージに含まれるライセンスを上記保存先 IDに従って記憶領域に保存させる保存 部と；を備え，上記ライセンス取得要求メッセージ送信部と上記パスフレーズ受信部と は，上記ライセンス取得を要求するメッセージを送信しそのメッセージに対する回答メ ッセージを受信する一連のやりとりを取得セッションとし，その同じ取得セッション内で 上記ライセンス取得要求メッセージを 1回送信し，上記ライセンス取得回答メッセージ を 1回受信し;上記取得セッション内で実行される処理は，上記ライセンス取得要求メ ッセージ送信部による上記ライセンス取得要求メッセージの送信と，上記パスフレー ズ受信部による上記パスフレーズの受信に限られることを特徴としている。なお，上記 ライセンス取得装置は，例えば，オフライン (非同期）でありカウンタ情報方式におけ る装置であるが，力かる例に限定されない。

[0063] 上記パスフレーズ受信部は，上記パスフレーズをオフラインで受信するように構成し てもよい。

[0064] 上記カウンタ情報は，タイムスタンプであって，上記パスフレーズ受信部は，上記ラ ィセンス保有装置により上記タイムスタンプが設定された上記パスフレーズを受信し； 上記検証部は，上記パスフレーズのデコードにより得られた上記ライセンス取得回答 メッセージに含む上記タイムスタンプよりも，該パスフレーズ受信時に上記情報処理 装置が取得したタイムスタンプの方が新し 、ことを検証するようにしてもょ 、。

[0065] 上記課題を解決するために，本発明の別の観点によれば，ライセンス保有装置力も コンテンツの処理を許可する 1又は 2以上のライセンスを取得するライセンス取得方 法が提供される。上記ライセンス取得方法は，上記ライセンスを取得する要求を検知 するライセンス取得要求検知ステップと；上記ライセンス取得を要求するメッセージを 送信しそのメッセージに対する回答メッセージを受信する一連のやりとりを取得セッシ ヨンとし，その取得セッションを識別するためのセッション IDを生成するセッション ID 生成ステップと；上記要求した 1又は 2以上のライセンスを保存する保存先を特定する 保存先 IDと，上記セッション IDとを含んだライセンス取得要求メッセージを上記ライセ ンス保有装置に対して送信するライセンス取得要求メッセージ送信ステップと；上記 要求したライセンスと，該ライセンスの利用条件に関する付属情報と，上記保存先 ID と，上記セッション IDとを含んだライセンス取得回答メッセージを上記ライセンス保有 装置力 受信するライセンス取得回答メッセージ受信ステップと；上記ライセンス取得 回答メッセージに含まれるセッション IDと上記セッション ID生成ステップで生成したセ ッシヨン IDとが同一であることを検証すると，上記ライセンスを上記保存先 IDに従って 記憶領域に保存させる保存ステップと；上記セッション IDを削除する削除ステップと； を含み，上記ライセンス取得要求メッセージ送信ステップと上記ライセンス取得回答メ ッセージ受信ステップとは， 同じ上記取得セッション内で 1回ずつ順に実行され;上記 取得セッション内で実行される処理は，上記ライセンス取得要求メッセージ送信ステ ップ及びライセンス取得回答メッセージ受信ステップに限られることを特徴としている 。なお，上記ライセンス取得方法は，例えば，オンライン（同期）又はオフライン (非同 期）でありセッション ID方式における方法であるが，力かる例に限定されない。

[0066] 上記保存先 IDは，情報記録媒体の情報記録媒体 ID及び Z又は情報処理装置の 情報処理装置 IDであるようにしてもょ 、。

[0067] 上記付属情報には，伝送タイプ識別情報と，コンポーネント属性情報とが含まれる ように構成してもよい。

[0068] 上記課題を解決するために，本発明の別の観点によれば，ライセンス保有装置力も コンテンツの処理を許可する 1又は 2以上のライセンスを取得するライセンス取得方 法が提供される。上記ライセンス取得方法は，上記ライセンスを取得する要求を検知 するライセンス取得要求検知ステップと；上記要求した 1又は 2以上のライセンスを保 存する保存先を特定する保存先 IDを含んだライセンス取得要求メッセージを上記ラ ィセンス保有装置に対して送信するライセンス取得要求メッセージ送信ステップと；上 記要求したライセンスと，該ライセンスの利用条件に関する付属情報と，上記保存先 I Dと，上記ライセンス保有装置が取得したカウンタ情報とを含んだライセンス取得回答 メッセージを上記ライセンス保有装置力 受信するライセンス取得回答メッセージ受 信ステップと；上記ライセンス取得回答メッセージに含まれるカウンタ情報と，上記ライ センス保存先の自装置内が取得したカウンタ情報との前後関係が適切であることを 検証すると，上記ライセンスを上記保存先 IDに従って記憶領域に保存させる保存ス テツプと；上記ライセンス保存先の自装置内のカウンタ情報を更新する更新ステップと ；を含み，上記ライセンス取得要求メッセージ送信ステップと上記ライセンス取得回答 メッセージ受信ステップとは，上記ライセンス取得を要求するメッセージを送信しその メッセージに対する回答メッセージを受信する一連のやりとりを取得セッションとしそ の同じ取得セッション内で 1回ずつ順に実行され;上記取得セッション内で実行され る処理は，上記ライセンス取得要求メッセージ送信ステップ及びライセンス取得回答 メッセージ受信ステップに限られることを特徴としている。なお，上記ライセンス取得方 法は，例えば，オンライン（同期）又はオフライン (非同期）でありカウンタ情報方式に おける方法であるが，かかる例に限定されない。

[0069] 上記カウンタ情報は，タイムスタンプであって，上記ライセンス取得回答メッセージ 受信ステップでは，上記ライセンス保有装置により上記タイムスタンプが設定された上 記ライセンス取得回答メッセージを受信し；上記保存ステップでは，上記ライセンス取 得回答メッセージに含む上記タイムスタンプよりも，該ライセンス取得回答メッセージ 受信時に上記情報処理装置が取得したタイムスタンプの方が新しいことを検証するよ うにしてもよい。

[0070] 上記保存先 IDは，情報記録媒体の情報記録媒体 ID及び Z又は情報処理装置の 情報処理装置 IDであるようにしてもょ 、。

[0071] 上記付属情報には，伝送タイプ識別情報と，コンポーネント属性情報とが含まれる ように構成してもよい。

[0072] 上記課題を解決するために，本発明の別の観点によれば，ライセンス保有装置力も コンテンツの処理を許可する 1又は 2以上のライセンスを取得するライセンス取得方 法が提供される。上記ライセンス取得方法は，上記ライセンスを取得する要求を検知 するライセンス取得要求検知ステップと；上記ライセンス取得を要求するメッセージを 送信しそのメッセージに対する回答メッセージを受信する一連のやりとりを取得セッシ ヨンとし，その取得セッションを識別するためのセッション IDを生成するセッション ID 生成ステップと；上記要求した 1又は 2以上のライセンスを保存する保存先を特定する 保存先 IDと，上記セッション IDとを含んだライセンス取得要求メッセージをライセンス 保有装置に対して送信するライセンス取得要求メッセージ送信ステップと；上記要求 したライセンスと，該ライセンスの利用条件に関する付属情報と，上記保存先 IDと，上 記セッション IDとを含んだライセンス取得回答メッセージがエンコードされたパスフレ ーズを上記ライセンス保有装置力 受信するパスフレーズ受信ステップと；上記パス フレーズを上記ライセンス取得回答メッセージにデコードし，該ライセンス取得回答メ ッセージに含まれるセッション IDと上記セッション ID生成ステップで生成したセッショ ン IDとが同一であることを検証すると，上記ライセンスを上記保存先 IDに従って記憶 領域に保存させる保存ステップと；上記セッション IDを削除する削除ステップと；を含 み，上記ライセンス取得要求メッセージ送信ステップと上記パスフレーズ受信ステップ とは，同じ上記取得セッション内で 1回ずつ順に実行され;上記取得セッション内で実 行される処理は，上記ライセンス取得要求メッセージ送信ステップ及びパスフレーズ 受信ステップに限られることを特徴としている。なお，上記ライセンス取得方法は，例 えば，オフライン (非同期）でありセッション ID方式における方法であるが，かかる例に 限定されない。 [0073] 上記保存先 IDは，情報記録媒体の情報記録媒体 ID及び Z又は情報処理装置の 情報処理装置 IDであるようにしてもょ 、。

[0074] 上記付属情報には，伝送タイプ識別情報と，コンポーネント属性情報とが含まれる ように構成してもよい。

[0075] また，上記パスフレーズ受信部は，上記パスフレーズをオフラインで受信するように 構成してちょい。

[0076] さらに，上記課題を解決するために，本発明の別の観点によれば，ライセンス保有 装置力 コンテンツの処理を許可する 1又は 2以上のライセンスを取得するライセンス 取得方法が提供される。上記ライセンス取得方法は，上記ライセンスを取得する要求 を検知するライセンス取得要求検知ステップと；上記要求した 1又は 2以上のライセン スを保存する保存先を特定する保存先 IDを含んだライセンス取得要求メッセージを 上記ライセンス保有装置に対して送信するライセンス取得要求メッセージ送信ステツ プと;上記要求したライセンスと，該ライセンスの利用条件に関する付属情報と，上記 保存先 IDと，上記ライセンス保有装置が取得したカウンタ情報とを含んだライセンス 取得回答メッセージがエンコードされたパスフレーズを上記ライセンス保有装置から 受信するパスフレーズ受信ステップと；上記パスフレーズを上記ライセンス取得回答メ ッセージにデコードし，該ライセンス取得回答メッセージに含まれるカウンタ情報と上 記ライセンス保存先の自装置内が取得したカウンタ情報との前後関係が適切である ことを検証すると，上記ライセンスを上記保存先 IDに従って記憶領域に保存させる保 存ステップと；上記ライセンス保存先の自装置内のカウンタ情報を更新する更新ステ ップと；を含み，上記ライセンス取得要求メッセージ送信ステップと上記パスフレーズ 受信ステップとは，上記ライセンス取得を要求するメッセージを送信しそのメッセージ に対する回答メッセージを受信する一連のやりとりを取得セッションとし，その同じ取 得セッション内で 1回ずつ順に実行され;上記取得セッション内で実行される処理は， 上記ライセンス取得要求メッセージ送信ステップ及びパスフレーズ受信ステップに限 られることを特徴としている。なお，上記ライセンス取得方法は，例えば，オフライン（ 非同期）でありカウンタ情報方式における方法であるが，力かる例に限定されない。

[0077] 上記パスフレーズ受信部は，上記パスフレーズをオフラインで受信するように構成し てもよい。

[0078] 上記カウンタ情報は，タイムスタンプであって，上記パスフレーズ受信ステップでは ,上記ライセンス保有装置により上記タイムスタンプが設定された上記パスフレーズを 受信し;上記保存ステップでは，上記パスフレーズのデコードにより得られる上記ライ センス取得回答メッセージに含む上記タイムスタンプよりも，該パスフレーズ受信時に 上記情報処理装置が取得したタイムスタンプの方が新し 、ことを検証するようにして ちょい。

[0079] 上記課題を解決するために，本発明の別の観点によれば，ライセンス保有装置力も コンテンツの処理を許可するライセンスを取得するライセンス取得方法が提供される。 上記ライセンス取得方法は，上記ライセンスを取得する要求を検知する要求検知ステ ップと；上記ライセンスを取得する取得セッションを識別するためのセッション IDを生 成するセッション ID生成ステップと；上記取得セッションでは，上記ライセンスを取得 し保存する保存先を特定するための保存先 IDと上記セッション IDとを含んだライセン ス取得要求メッセージを上記ライセンス処理装置に対して送信する送信ステップと； 上記送信ステップに引き続 、て，上記ライセンスサーバ側で作成されるメッセージで あって，上記ライセンスに関する付属情報と，上記ライセンスと，上記セッション IDと， 該ライセンスが保存先にて保存可能であると確認された上記保存先 IDとを含んだラ ィセンス取得回答メッセージを上記ライセンスサーノから受信する受信ステップと；上 記ライセンス取得回答メッセージに含まれる情報を自装置又は他装置の記憶領域内 に格納させるとともに，上記ライセンス保有装置力 受け取った上記セッション IDが， 自己が生成したセッション IDと同一と判断すると，そのセッション IDを削除する検証ス テツプと；を含むことを特徴として 、る。

[0080] また，上記課題を解決するため，本発明の別の観点によれば，正確な時を刻む時 刻装置により生成される時刻情報を基にして情報処理装置が刻む時刻を設定する 時刻設定装置が提供される。上記時刻設定装置は，上記時刻装置が生成する時刻 情報の要求を検知する要求検知部と；上記時刻情報を要求するメッセージを送信し そのメッセージに対する回答メッセージを受信する一連のやりとりを時刻設定セッショ ンとし，その時刻設定セッションを識別するためのセッション IDを生成するセッション I D生成部と;上記情報処理装置の記憶領域に予めセキュアに格納された情報であつ て該情報処理装置の時刻精度を示す時刻精度情報と，上記セッション IDとを含んだ 時刻設定要求メッセージを上記時刻装置に対して送信する時刻設定要求メッセージ 送信部と；上記時刻情報と，該時刻情報を基にして時刻設定可能な条件が記述され た時刻設定条件情報と，上記セッション IDとを含んだ時刻設定回答メッセージを上 記時刻装置力 受信する時刻設定回答メッセージ受信部と；上記時刻設定回答メッ セージに設定された上記セッション IDと上記セッション ID生成ステップで生成したセ ッシヨン IDとが同一であることを検証するとともに，上記時刻設定要求メッセージの送 信時刻と上記時刻設定回答メッセージの受信時刻との差分時間が上記時刻設定条 件情報に記述された許容時間の範囲内であることを検証する検証部と；上記検証部 による検証の結果，時刻設定可能であると判断された場合，上記セッション IDを削除 するとともに，上記時刻情報を基に上記情報処理装置の時刻を設定する設定部と； を備え，上記時刻設定要求メッセージ送信部と上記時刻設定回答メッセージ受信部 とは，同じ上記時刻設定セッション内で上記時刻設定要求メッセージを 1回送信し， 上記時刻設定回答メッセージを 1回受信し；上記時刻設定セッション内で実行される 処理は，上記時刻設定要求メッセージ送信部による上記時刻設定要求メッセージの 送信と，上記時刻設定回答メッセージ受信部による上記時刻設定回答メッセージの 受信に限られることを特徴としている。なお，上記時刻設定装置は，例えば，オンライ ン（同期）でセッション ID方式におけるものであるが，力かる例に限定されない。また， 上記正確な時を刻むとは，例えば，標準時を刻むことであるが，かかる例に限定され ない。

[0081] 上記時刻設定条件情報は，上記時刻精度情報が示す時刻精度に応じて上記時刻 装置が生成する情報であるように構成してもよ 、。

[0082] 上記要求検知部は，上記時刻設定条件情報に含む上記設定された時刻の有効期 限が経過した場合，所定時間経過した場合，または上記情報処理装置がコンテンツ を取得する場合，上記時刻情報の要求を少なくとも検知するようにしてもよい。

[0083] 上記課題を解決するために，本発明の別の観点によれば，正確な時を刻む時刻装 置により生成される時刻情報を基にして情報処理装置が刻む時刻を設定する時刻 設定方法が提供される。上記時刻設定方法は，上記時刻装置が生成する時刻情報 の要求を検知する要求検知ステップと；上記時刻情報を要求するメッセージを送信し そのメッセージに対する回答メッセージを受信する一連のやりとりを時刻設定セッショ ンとし，その時刻設定セッションを識別するためのセッション IDを生成するセッション I D生成ステップと;上記情報処理装置の記憶領域に予めセキュアに格納された情報 であって該情報処理装置の時刻精度を示す時刻精度情報と，上記セッション IDとを 含んだ時刻設定要求メッセージを上記時刻装置に対して送信する時刻設定要求メッ セージ送信ステップと；上記時刻情報と，該時刻情報を基にして時刻設定可能な条 件が記述された時刻設定条件情報と，上記セッション IDとを含んだ時刻設定回答メ ッセージを上記時刻装置から受信する時刻設定回答メッセージ受信ステップと；上記 時刻設定回答メッセージに設定された上記セッション IDと上記セッション ID生成ステ ップで生成したセッション IDとが同一であることを検証するとともに，上記時刻設定要 求メッセージの送信時刻と上記時刻設定回答メッセージの受信時刻との差分時間が 上記時刻設定条件情報に記述された許容時間の範囲内であることを検証する検証 ステップと;上記検証の結果，時刻設定可能であると判断された場合，上記時刻情報 を基に上記情報処理装置の時刻を設定する時刻設定ステップと；上記セッション ID を削除する削除ステップと；を含み，上記時刻設定要求メッセージ送信ステップと上 記時刻設定回答メッセージ受信ステップとは，同じ上記時刻設定セッション内で 1回 ずつ実行され;上記時刻設定セッション内で実行される処理は，上記時刻設定要求 メッセージ送信ステップ及び時刻設定回答メッセージ受信ステップに限られることを 特徴としている。なお，上記時刻設定方法は，例えば，オンライン（同期）でセッション ID方式における方法であるが，力かる例に限定されない。

上記課題を解決するために，本発明の別の観点によれば，正確な時を刻む時刻装 置により生成される時刻情報を基にして情報処理装置が刻む時刻を設定する時刻 設定装置が提供される。上記時刻設定装置は，上記時刻装置が生成する時刻情報 の要求を検知する要求検知部と;上記情報処理装置の記憶領域に予めセキュアに 格納された情報であって該情報処理装置の時刻精度を示す時刻精度情報を含んだ 時刻設定要求メッセージを上記時刻装置に対して送信する時刻設定要求メッセージ 送信部と；上記時刻情報と，該時刻情報を基にした時刻設定可能な条件が記述され た時刻設定条件情報と，該時刻装置により取得されたカウンタ情報とを含んだ時刻 設定回答メッセージを該時刻装置から受信する時刻設定回答メッセージ受信部と； 上記時刻設定回答メッセージに設定されたカウンタ情報と上記時刻設定する対象の 情報処理装置が取得したカウンタ情報とを比較し前後関係が適切であることを検証し ,上記時刻設定要求メッセージの送信時刻と上記時刻設定回答メッセージの受信時 刻との差分時間が上記設定条件情報に含む許容時間の範囲内であることを検証す ると，上記情報処理装置のカウンタ情報を更新する検証部と;上記検証の結果，時刻 設定可能であると判断された場合，上記時刻情報を基に該情報処理装置の時刻を 設定する設定部と；を備え，上記時刻設定要求メッセージ送信部と上記時刻設定回 答メッセージ受信部とは，上記時刻情報を要求するメッセージを送信しそのメッセ一 ジに対する回答メッセージを受信する一連のやりとりを時刻設定セッションとしその時 刻設定セッション内で上記時刻設定要求メッセージを 1回送信し，上記時刻設定回 答メッセージを 1回受信し；上記時刻設定セッション内で実行される処理は，上記時 刻設定要求メッセージ送信部による上記時刻設定要求メッセージの送信と，上記時 刻設定回答メッセージ受信部による上記時刻設定回答メッセージの受信に限られる ことを特徴としている。なお，上記時刻設定装置は，例えば，オンライン（同期）でカウ ンタ情報方式における装置である。また，上記正確な時を刻むとは，例えば，標準時 を刻むことである。

[0085] 上記時刻設定条件情報は，上記時刻精度情報が示す時刻精度に応じて上記時刻 装置が生成する情報であるようにしてもよく，上記要求検知部は，上記時刻設定条件 情報に含む上記設定された時刻の有効期限が経過した場合，所定時間経過した場 合，または上記情報処理装置がコンテンツを取得する場合，上記時刻情報の要求を 少なくとも検知するようにしてもょ 、。

[0086] 上記カウンタ情報は，タイムスタンプであって，上記時刻設定回答メッセージ受信部 は，上記時刻装置により上記タイムスタンプが設定された上記時刻設定回答メッセ一 ジを受信し；上記検証部は，上記時刻設定回答メッセージに設定された上記タイムス タンプよりも，該時刻設定回答メッセージ受信時に上記情報処理装置が生成したタイ ムスタンプの方が新 、ことを検証するようにしてもょ 、。

[0087] 上記課題を解決するために，本発明の別の観点によれば，正確な時を刻む時刻装 置により生成される時刻情報を基にして情報処理装置が刻む時刻を設定する時刻 設定方法が提供される。上記時刻装置が生成する時刻情報の要求を検知する要求 検知ステップと；上記情報処理装置の記憶領域に予めセキュアに格納された情報で あって該情報処理装置の時刻精度を示す時刻精度情報を含んだ時刻設定要求メッ セージを上記時刻装置に対して送信する時刻設定要求メッセージ送信ステップと；上 記時刻情報と，該時刻情報を基にした時刻設定可能な条件が記述された時刻設定 条件情報と，該時刻装置により取得されたカウンタ情報とを含んだ時刻設定回答メッ セージを該時刻装置から受信する時刻設定回答メッセージ受信ステップと；上記時 刻設定回答メッセージに設定されたカウンタ情報と上記時刻設定する対象の情報処 理装置が生成したカウンタ情報とを比較し前後関係が適切であることを検証するとと もに，上記時刻設定要求メッセージの送信時刻と上記時刻設定回答メッセージの受 信時刻との差分時間が上記設定条件情報に含む許容時間の範囲内であることを検 証する検証ステップと；上記検証の結果，時刻設定可能であると判断された場合，上 記時刻情報を基に該情報処理装置の時刻を設定する時刻設定ステップと；上記情 報処理装置のカウンタ情報を更新する更新ステップと；を含み，上記時刻設定要求メ ッセージ送信ステップと上記時刻設定回答メッセージ受信ステップとは，上記時刻情 報を要求するメッセージを送信しそのメッセージに対する回答メッセージを受信する 一連のやりとりを時刻設定セッションとしその時刻設定セッション内で 1回ずつ順に実 行され;上記時刻設定セッション内で実行される処理は，上記時刻設定要求メッセ一 ジ送信ステップ及び時刻設定回答メッセージ受信ステップに限られることを特徴とし ている。なお，上記時刻設定方法は，オンライン（同期）でカウンタ情報方式における 方法である。また，上記正確な時を刻むとは，例えば，標準時を刻むことである。 発明の効果

[0088] 以上説明したように，本発明によれば，登録セッション内では登録要求メッセージ送 信と，その回答メッセージである登録回答メッセージ受信 (又は，パスフレーズ人力) から構成され，メッセージ一回性保証等でセキュリティは保持した上で，登録処理が 簡略化されているため処理能力が高くないユーザ機器でも充分に処理実行すること が可能である。

[0089] また，本発明によれば，取得セッション内ではライセンス取得要求メッセージ送信と ,その回答メッセージであるライセンス取得回答メッセージ受信 (又は，パスフレーズ 入力）から構成され，メッセージ一回性保証等でセキュリティは保持した上で取得処 理が簡略化されているため処理能力が高くないユーザ機器でも充分に処理実行す ることが可能である。

[0090] また，本発明によれば，有効期限切れや所定時間ごと等に応じて時刻設定の要求 を検知し，クライアントの情報処理装置の時刻設定をすることができる。また，情報処 理装置の時刻精度が低く信頼性の低!ヽ場合でも，その時刻精度に応じた時刻設定 に関する条件を定めて時刻に対する信頼性を保持することができる。

図面の簡単な説明

[0091] [図 1]図 1は、本発明の第 1の実施形態に力かる実施形態に力かるグループ登録シス テムのグループ登録の概要を示す説明図である。

[図 2]図 2は、同実施形態に力かるグループ管理方式の著作権管理システムの主な 構成要素を示すブロック図である。

[図 3]図 3は、同実施形態にカゝかるグループ登録システムの全体構成を概略的に示 すブロック図である。

[図 4]図 4は、同実施形態に力かる PCの概略的なハードウェア構成を示すブロック図 である。

[図 5]図 5は、同実施形態に力かる PCの機能を概略的に示すブロック図である。

[図 6]図 6は、本実施の形態に力かるユーザ機器のハードウェア構成の例を概略的に 示すブロック図である。

[図 7]図 7は、同実施形態に力かる PDの機能を概略的に示すブロック図である。

[図 8]図 8は、同実施形態に力かる同期 ·セッション ID方式のグループ登録方法の概 略を示すシーケンス図である。

[図 9]図 9は、同実施形態に力かる同期'カウンタ情報方式のグループ登録方法の概 略を示すシーケンス図である。 [図 10]図 10は、同実施形態に力かる非同期 ·セッション ID方式のグループ登録方法 の概略を示すシーケンス図である。

[図 11]図 11は、同実施形態に力かる非同期'カウンタ情報方式のグループ登録方法 の概略を示すシーケンス図である。

[図 12]図 12は、同実施形態にカゝかるユーザ機器のグループ登録解除処理を示すシ 一ケンス図である。

[図 13]図 13は、同実施形態にカゝかるユーザ機器のグループ登録解除処理を示すシ 一ケンス図である。

[図 14]図 14は、本発明の第 2の実施形態にカゝかる著作権管理システムにおける各ラ ィセンス処理コンポーネントと，その組合せの具体例を示す説明図である。

[図 15]図 15は、同実施形態に力かるライセンス処理コンポーネント間におけるメッセ ージ伝送の概要を示す説明図である。

[図 16A]図 16Aは、同実施形態に力かるコンポーネント間におけるライセンスの伝送 タイプを示す説明図である。

[図 16B]図 16Bは、同実施形態に力かるコンポーネント間におけるライセンスの伝送 タイプを示す説明図である。

[図 16C]図 16Cは、同実施形態に力かるコンポーネント間におけるライセンスの伝送 タイプを示す説明図である。

[図 17]図 17は、同実施形態にカゝかる伝送タイプ識別情報の一例である伝送タイプ ID と，メッセージとの関係を示す説明図である。

[図 18]図 18は、本実施の形態に力かるコンポーネント属性情報の具体例であるコン ポーネント属性 IDと，メッセージとの関係を示す説明図である。

[図 19]図 19は、同実施形態にカゝかるライセンス取得システムの全体構成を概略的に 示すブロック図である。

[図 20]図 20は、同実施形態に力かる PCのハードウェア構成例を概略的に示すプロ ック図である。

[図 21]図 21は、同実施形態に力かる PDのハードウェア構成例を概略的に示すプロ ック図である。 [図 22]図 22は、同実施形態にかかるユーザ機器等が備える著作権管理部の機能構 成を示すブロック図である。

[図 23]図 23は、同実施形態にかかるユーザ機器等が備える著作権管理部の機能構 成を示すブロック図である。

[図 24]図 24は、同実施形態に力かる同期 ·セッション ID方式のライセンス取得方法の 概略を示すシーケンス図である。

[図 25]図 25は、同実施形態に力かる同期'カウンタ情報方式のライセンス取得方法 の概略を示すシーケンス図である。

[図 26]図 26は、同実施形態に力かる非同期 ·セッション ID方式のライセンス取得方 法の概略を示すシーケンス図である。

[図 27]図 27は、同実施形態に力かる非同期'カウンタ情報方式のライセンス取得方 法の概略を示すシーケンス図である。

[図 28]図 28は、本実施の形態にカゝかるユーザ機器同士でライセンスを取得するライ センス取得方法の概略を示す説明図である。

[図 29]図 29は、本実施の形態に力かるライセンス取得システムにおける方式の概略 を示す説明図である。

[図 30]図 30は、本発明の第 3の実施形態にカゝかる時刻設定システムの全体構成を 概略的に示すブロック図である。

[図 31]図 31は、同実施形態にかかる情報処理装置の構成を概略的に示すブロック 図である。

[図 32]図 32は、同実施形態にカゝかる時刻サーバの概略的な構成を示すブロック図で ある。

[図 33]図 33は、同実施形態に力かる時刻設定システムで用いられるデータの概略を 示す説明図である。

[図 34]図 34は、同実施形態に力かる設定条件情報テーブルの概略的な構成の一例 を示した説明図である。

[図 35]図 35は、同実施形態に力かるセッション ID方式の時刻設定方法の処理の概 略を示すシーケンス図である。 [図 36]図 36は、同実施形態に力かる差分時間の概略について示した説明図である。

[図 37]図 37は、同実施形態に力かるカウンタ情報方式の時刻設定方法の処理の概 略を示すシーケンス図である。

発明を実施するための最良の形態

[0092] 以下に添付図面を参照しながら，本発明の好適な実施の形態について詳細に説 明する。なお，本明細書及び図面において，実質的に同一の機能構成を有する構 成要素については，同一の符号を付することにより重複説明を省略する。

[0093] <第 1の実施形態 >

まず，本発明の第 1の実施形態に力かるグループ登録装置，グループ登録方法， グループ登録解除装置，グループ登録解除方法につ!ヽて説明する。

[0094] (グループ管理方式の著作権管理の概要）

まず，本実施形態に力かるグループ登録システムの基礎となるグループ管理方式 の著作権管理システムの概要について説明する。

[0095] 本実施形態に力かるグループ管理方式の著作権管理システムは，複数の機器 (コ ンテンッ処理装置等）間におけるコンテンツの利用を管理し，コンテンツの著作権を 保護する著作権管理システムとして構成されて ヽる。

[0096] 即ち，上記グループ管理方式の著作権管理システムは，インターネット等を通じた コンテンツの大量配布行為等といったコンテンツの違法利用を確実に防止するべく， 相異なるユーザが所有する機器間では，コンテンツの共有を制限する。

[0097] グループ管理方式の著作権管理システムでは，コンテンツ利用の管理単位を， 「コ ンテンッの提供元 (source；ソース）」単位 (具体的には「コンテンツを最初に所有した ユーザ単位」若しくは「コンテンツを作成した機器単位」）とし，各機器におけるコンテ ンッの再生を，コンテンツの提供元に応じて許可 Z不許可すると 、う著作権管理を行

[0098] より具体的には，このグループ管理方式の著作権管理システムでは，各ユーザが 所有する複数の機器をサービスサーバ 20又は管理サーバ 21にユーザ単位でダル ープ登録し，グループ登録された各機器において，コンテンツの提供元を表すソース IDと，ソース IDリストとに基づいて，コンテンツの再生を制御する。これにより， 同一の ユーザの機器グループに登録された機器間では，同一の提供元のコンテンツを自由 にコピーして再生できるようになる。

[0099] なお，コンテンツは，例えば，音楽，講演，ラジオ番組等の音声 (Audio)コンテンツ や，映画，テレビジョン番組，ビデオプログラム，写真，絵画，図表等を構成する静止 画若しくは動画からなる映像 (Video)コンテンツ，電子図書 (E— book) ,ゲーム，ソ フトウェアなど，任意のコンテンツであってよい。以下では，コンテンツとして，音声コ ンテンッ，特に，配信サーノ から配信された，或いは音楽 CDからリツビングされた音 楽コンテンツの例を挙げて説明するが，本発明は力かる例に限定されない。

[0100] 次に，図 1に基づいて，上記のようなグループ管理方式の著作権管理システムにお けるグループ登録の概要について説明する。なお，図 1は，本実施形態に力かるグ ループ登録システム 100のグループ登録の概要を示す説明図である。

[0101] 図 1に示すように，コンテンツ処理装置 (PC,情報処理装置，またはユーザ機器） 1 0- 1, 2およびコンテンツ再生装置（PD) 20— 1, 2は，例えば，ユーザ Aの所有する 機器グループ（コンテンツ処理装置 10—1,コンテンツ再生装置 20—1)と，ユーザ B の所有する機器グループ (コンテンツ処理装置 10— 2,コンテンツ再生装置 20— 2) とにグループィ匕されている。このような機器のグループィ匕は，管理サーバ 21又はサ 一ビスサーバ 20に対し，コンテンツ処理装置 10およびコンテンツ再生装置 20を，ュ 一ザ単位でグループ登録することによって成される。

[0102] このグループ登録について，ユーザ Aが所有するコンテンツ処理装置（PC) 10— 1 の例を挙げて具体的に説明する。まず，ユーザ Aは， 自身の所有するコンテンツ処理 装置 10— 1を用いてサービスサーバ 20,管理サーバ 21にアクセスし，ユーザ認証処 理を行い，コンテンツ処理装置 10—1の機器 ID (例えばデバイス ID)を管理サーバ 2 1に送信する。次いで，サービスサーバ 20は，当該コンテンツ処理装置 10— 1の機 器 IDをユーザ Aに関連付けて保存して，コンテンツ処理装置 10— 1をユーザ Aの機 器グループにグループ登録する。

[0103] なお，上記アクセスは，例えば，システムの利用，サーバへの接続，ファイルの参照 ,ファイルの保存，ファイルの削除，またはファイルの変更など， 自装置内又はネット ワークを介して情報を処理する情報処理を総称したものである。 [0104] さらに，管理サーバ 21は，コンテンツ処理装置 10—1に対して，ユーザ Aを表すュ 一ザ識別情報 (例えば，グループ ID,デバイス ID,メディア ID,リーフ IDなど）を送信 し，コンテンツ処理装置 10は，受信したユーザ識別情報を自己の記憶手段に格納す る。同様にして，他のコンテンツ処理装置 10もグループ登録される。また，コンテンツ 再生装置（PD) 20のグループ登録は，コンテンツ処理装置（PC) 10を介して行われ る。

[0105] このように，グループ管理方式の著作権管理システムでは，サービスサーバ 20,管 理サーバ 21に対し，機器を所有するユーザ単位で各機器をグループ登録する。この 結果， 同一ユーザの機器グループに登録された機器間では，コンテンツを自由に共 有することができる。一方，異なるユーザの機器グループに登録された機器間では， コンテンツを共有することができな 、。

[0106] ここで，図 2に基づいて，このようなコンテンツ共有の管理手法の概要について説明 する。なお，図 2は，本実施形態に力かるグループ管理方式の著作権管理システム の主な構成要素を示すブロック図である。

[0107] 図 2に示すように，本実施形態に力かるグループ管理方式の著作権管理システム は，ソース ID付加部 Aと，コンテンツ再生部 Bと，リスト管理部 Cとを，主な構成要素と している。

[0108] ソース ID付加部 Aは，例えば，コンテンツ処理装置 10等に設けられ，コンテンツに ,コンテンツの提供元を表すソース IDを付加する機能を有する。なお， 「コンテンツに ソース IDを付加する」とは，コンテンツにソース IDを関連付けるという意味であり，例 えば，コンテンツデータを含むファイル（コンテンツファイル）内にソース IDのデータを 追加する処理や，上記コンテンツファイルと，ソース IDのデータを含むファイルとを関 連付ける処理などを含む。

[0109] また， 「コンテンツの提供元」は，グループ管理方式の著作権管理システム内で共 有されるコンテンツの個人ユーザレベルでの出所である。具体的には，このコンテン ッの提供元は，例えば， （1)コンテンツ配信サ—ビスを利用してコンテンツを取得 (購 入等）したユーザ， (2)リツビングまたはセノレフレコーディング等によりコンテンツを作 成したコンテンツ処理装置 10などである。 [0110] 上記ソース IDは，このようなコンテンツ提供元ごとに固有に付与される識別子である 。このソース IDをコンテンツに付加することによって，システム内で流通するコンテン ッの提供元を特定することができる。

[0111] 本実施形態では，力かるソース IDとして，例えば，メディア ID,レコーダ IDと，ダル ープ IDとを使用する。レコーダ IDは，コンテンツ処理装置 10をコンテンツの提供元と する場合のソース IDであり，グループ IDは，ユーザをコンテンツの提供元とする場合 のソース IDである。

[0112] レコーダ IDは，コンテンツのリツビング (ripping)機能を有するコンテンツ処理装置

10 (PC等）単位で固有に付与される識別子である。このレコーダ IDは，上記リツピン グ機能を有するコンテンツ処理装置 10によって，当該コンテンッ処理装置 10の機器 ID等に基づ 、て生成され，当該コンテンッ処理装置 10内に安全に保存されて 、る。 コンテンツ処理装置 10は，音楽 CD等のリムーバブル記憶媒体 40から，コンテンツを リツビングしたときに，リツビングされたコンテンツ（以下「リツビングコンテンツ」という。 ) に対して，コンテンツ処理装置 10自身のレコーダ IDを付加する。従って，かかるレコ ーダ IDによって，リツビングコンテンツの作成元（即ち，コンテンツの提供元）のコンテ ンッ処理装置 10を特定することができる。

[0113] また，グループ IDは，コンテンツ処理装置 10及び Z又はコンテンツ再生装置 20等 の媒体 ·装置を所有するユーザ単位で固有に付与される識別子である。具体的には ,このグループ IDは，本実施形態にカゝかるグループ管理方式の著作権管理システム が提供するコンテンツ共有サービスのユーザアカウント単位で付与される。かかるグ ループ IDによって，所属する機器グループ，およびこれらの所有者を識別できる。

[0114] サービス IDは，グループ管理方式の著作権管理システムにおいて実現されるコン テンッ配信サービスまたはリツビングコンテンツ共有サービス単位で固有の IDである 。ここで，コンテンツ配信サービスは，コンテンツ配信サーノくからコンテンツ処理装置 10にコンテンツを酉 S信するサービスである。また，リツビングコンテンツ共有サービス は，上記グループ登録を行うことにより，リツビングコンテンツを，同一ユーザ所有の 複数のコンテンツ処理装置 10およびコンテンツ再生装置 20等の間で共有できるよう にするサービスである。 [0115] このようなグループ IDは，例えばコンテンツ処理装置 10によって，コンテンツ配信 サーノくから配信された配信コンテンツに付加される。このようにグループ IDを配信コ ンテンッに付加することにより，当該配信コンテンツの購人元 (即ち，コンテンツの提 供元）のユーザを識別できるようになる。

[0116] 以上のように，コンテンツ処理装置 10が有するコンテンツ付力！]部 1によってソース I D (レコーダ ID,グループ ID)が付加されたコンテンツは，コンテンツ処理装置 10およ びコンテンツ再生装置 20間で， 自由にコピー可能である。

[0117] 次に，コンテンツ再生部 Bは，コンテンツの再生機若しくは再生ソフトウェアなどで構 成され，コンテンツ処理装置 10またはコンテンツ再生装置 20に設けられる。このコン テンッ再生部 Bは，当該コンテンツ再生部において再生を許可されたソース IDが追 カロされるソース IDリスト Lを有している。このソース IDリスト Lは，コンテンツ再生部 Bご とにそれぞれ設けられるものであり，コンテンツ再生部 Bが異なれば，それぞれのソー ス IDリスト Lに含まれるソース IDも異なる。

[0118] コンテンツ再生部 Bは，上記ソース IDが付加されたコンテンツを再生する際には， 上記ソース IDリスト Lをチェックして，当該コンテンツの再生を可能化 Z不能化する。 即ち，コンテンツ再生部 Bは，コンテンツに付加されているソース IDがソース IDリスト L に含まれている場合には，当該コンテンツを再生することができ，一方，コンテンツに 付加されて 、るソース IDがソース IDリスト Lに含まれて!/、な!/、場合には，当該コンテ ンッを再生することができない。このように，コンテンツ再生部 Bは，ソース ID単位，即 ちコンテンツ提供元単位で，コンテンツの再生を制御する。

[0119] さらに，コンテンツ再生部 Bは，例えば，リスト管理部 Cに対して， 自己の保有するソ ース IDリスト Lへの新規ソース IDの追加を要求することができる。即ち，コンテンツ再 生部 Bは， 自身の保有するソース IDリスト Lに含まれて ヽな 、新規なソース IDが付カロ されたコンテンツを再生するためには，ソース IDリスト Lに当該新規なソース IDを追カロ する必要がある。このため，コンテンツ再生部 Bは，ソース IDリスト Lの更新を許可する リスト管理部 Cに対して，当該新規ソース IDの追加許可を要求する。

[0120] リスト管理部 ま，例えば，コンテンツ処理装置 10内に設けられ，上記コンテンツ再 生部 Bが保有するソース IDリスト Lを更新する。ここで，ソース IDリスト Lの更新とは，ソ ース IDリスト Lに対するソース IDの追力！],削除である。リスト管理部 Cは，ソース IDリス ト Lに対してソース IDを追加/削除することにより，コンテンッ再生部 Bにおける当該 ソース IDが付加されたコンテンツの再生を可能化 Z不能化することができる。

[0121] かかるリスト管理部 ま，グループ IDとレコーダ IDとが関連付けられた共有情報で あるグループ証明書（Group Certificate) Gを取得し，かかるグループ証明書 Gに 基づいてソース IDリスト Lを更新する。具体的には，リスト管理部 ま，グループ証明 書 G内に含まれるグループ IDが上記ソース IDリスト Lに含まれるグループ IDと同一で ある場合には，グループ証明書 G内に含まれるレコーダ IDをソース IDリスト Lに追カロ する。これにより，同一のユーザの機器グループに登録されているコンテンツ処理装 置 10のレコーダ IDを，ソース IDリスト Lに追加して，力かるコンテンツ処理装置 10がリ ッビングしたリツビングコンテンツを再生できるようにすることができる。

[0122] 以上のように，本実施形態に力かるグループ管理方式の著作権管理システムでは ,上記ソース ID付加部 A,コンテンツ再生部 Bおよびリスト管理部 Cによって，各コン テンッ処理装置 10およびコンテンツ再生装置 20におけるコンテンツの再生を制御す ることにより，コンテンツ処理装置 10間でコピーされるコンテンツの著作権を管理して いる。

[0123] (システム構成）

次に，図 3に基づいて，本実施形態に力かるグループ管理方式の著作権管理シス テムに適用したグループ登録システム 100の全体構成について説明する。なお，図 3 は，本実施形態にカゝかるグループ登録システム 100の全体構成を概略的に示すプロ ック図である。

[0124] 図 3に示すように，本実施形態に力かるグループ登録システム 100は，例えば，複 数のユーザ機器 10a, 10b,…（以下では「ユーザ機器 10」と総称する場合もある。） と，サービスサーバ 20,管理サーバ 21と，これら装置を相互に接続するネットワーク 3 0 (ホームネットワーク 30aおよびローカルライン 30bを含む。）と，これら装置間でコン テンッゃライセンス等のデータを授受するためのリムーバブル記憶媒体 40と，力 構 成される。

[0125] ユーザ機器 10は，例えば，グループ登録する情報処理装置であるが，かかる例に 限定されず，例えば，コンテンツを利用するための各種のコンテンツ処理装置，コン テンッを再生するコンテンツ再生装置等でもよ 、。

[0126] 図 3には，このユーザ機器 10の例として，ノート型若しくはデスクトップ型のパーソナ ルコンピュータ（Personal Computer;以下「PC」という。） 10a,携帯型のコンテン ッ再生装置であるポータブルデバイス（Portable Device；以下「PD」と!、う。） 10b ,ホームサーバ 10c,テレビジョン装置 10d, CD, HD若しくは DVDレコーダ Zプレ ーャ等の記録再生装置 10e,据え置き型の音声プレーヤ 10f,カーオーディオ機器 10g,携帯電話 10hなどが例示されている。

[0127] 力かる例に限定されず，ユーザ機器 10は，例えば，任意のコンピュータ装置， PD A (Personal Digital Assistant)等の携帯端末，ディジタルビデオカメラ，家庭用 ゲーム機，情報家電など，各種の情報処理装置で構成することができる。

[0128] このユーザ機器 10のうち，ネットワーク 30を介した通信機能を有する装置 (例えば， PClOa,携帯電話機 10hなど）は，各サーバ (サービスサーバ 20等)との間で通信接 続可能である。このようなユーザ機器 10は，例えば，管理サーバ 21に対しグループ 登録の要求をしたり，サービスサーバ 20からコンテンツを転送したりすることができる

[0129] なお，ユーザ機器 10は，サービスサーバ 20から，コンテンツ配信サービス用のソフ トウエアや，著作権管理用ソフトウェアをダウンロードして，インストール可能である。こ れにより，ユーザ機器 10は，コンテンツサービスサーバ 20から，暗号処理されたコン テンッ，ライセンスおよび暗号ィ匕されたコンテンツ鍵の配信を受け，これらのデータを ストレージ装置やリムーバブル記憶媒体 40などの記憶手段に記録することができる。

[0130] また，ユーザ機器 10は，例えば，セルフレコーディング（自己録音，録画等)やリツ ビングなどによって，新規にコンテンツを作成して，ストレージ装置やリムーバブル記 憶媒体 40に記録することができてもよい。なお，セルフレコーディングとは，ユーザ機 器 10自身が有する撮像装置 Z集音装置によって撮像 Z集音した音声等を，映像 Z 音声のディジタルデータとして記録することをいう。また，リツビングとは，音楽 CD,ビ デォ DVD,ソフトウェア用 CD— ROM等の記憶媒体に記録されて 、るディジタルコ ンテンッ (音声データや映像データ等）を抽出し，コンピュータで処理可能なファイル 形式に変換して，ストレージ装置やリムーバブル記憶媒体 40に記録することを 、う。

[0131] 管理サーバ 21は，サービスサーバ 20によってグループ登録された IDリスト等のセ キュア情報をユーザ機器 10に転送する機能を有する。またサービスサーバ 20は，コ ンテンッ配信にお!、てユーザの管理やグループの管理，またはライセンスの管理な どを行う。

[0132] サービスサーバ 20,管理サーバ 21は，サーノ機能を備えたコンピュータ装置など で構成される。なお，上記サービスサーバ 20又は管理サーバ 21の少なくとも一方に は，例えば， WWWサーバ，グループ管理サーバ，コンテンツ配信サーノ，証明書 管理サーバ，課金サーバなどが含まれる。

[0133] なお，グループ管理サーバは，ユーザ登録されたユーザが所有するユーザ機器 10 力もの登録要求に応じて，ユーザ機器 10およびコンテンツ再生装置 20をユーザ単 位でグループ登録する。

[0134] コンテンツ配信サーバは，コンテンツ配信サービスを提供するサーバであり，ユー ザが所有するユーザ機器 10からの配信要求に応じて，当該ユーザ機器 10にネットヮ ーク 30を介してコンテンツを配信する。このコンテンツ配信サーバ 34は，例えば，電 子音楽配信 (EMD； Electronic Music Distribution)サービスを提供する EMD サーバなどである。このコンテンツ配信サーバは，配信対象の音楽コンテンツを，例 えば， ATRAC3 (登録商標）方式または MP3方式などの圧縮符号化方式で圧縮符 号化し， DESなどの暗号ィ匕方式で暗号ィ匕した上で，ユーザ機器 10に配信する。また ,コンテンツ配信サーバ 34は，暗号化された配信コンテンツとともに，当該配信コン テンッを復号するためのコンテンツ鍵を暗号化して，ユーザ機器 10に送信する。

[0135] ネットワーク 30は，上記ユーザ機器 10およびサーバ 20, 21を双方向通信可能に 接続する通信回線網である。このネットワーク 30は，例えば，インターネット，電話回 線網，衛星通信網等の公衆回線網や， WAN, LAN, IP— VPN等の専用回線網な どで構成されており，有線'無線を問わない。

[0136] さらに，力かるネットワーク 30は，私的ネットワークを含むものである。この私的ネット ワークとは，著作権管理の観点からみて，私的使用の範囲内でコンテンツを共有する 複数のユーザ機器 10を相互に接続するネットワークである。かかる私的ネットワーク の具体例としては，例えば，同一ユーザによって使用される複数のユーザ機器 10を 接続するネットワークや，同一の家庭内で使用される複数のユーザ機器 10を接続す るホームネットワーク，小規模の限られたグループ (会社，友人等）内で使用される複 数のユーザ機器 10を接続する LANなどが挙げられる。

[0137] リムーバブル記憶媒体 40は，コンテンツ，パスフレーズ，プログラム等の各種データ を格納することが可能なリムーバブルメディアであり，例えば， DVD-R, DVD-R W, DVD-RAM, CD-R, CD-RW,光磁気ディスク等の各種の光ディスクや， フレキシブルディスク，ハードディスク等の磁気ディスク，各種の半導体メモリなどであ る。なお，このリムーバブル記憶媒体 40は，例えば，暗号鍵等を用いてコンテンツの コピーや再生等を制限する著作権管理機能付きの記憶媒体であってもよい。

[0138] 本実施の形態に力かるグループ登録システム 100では，特にユーザ機器 10のなか でも比較的，処理能力が小さいユーザ機器 10,例えば PDlObや携帯電話 10h等で あっても，ユーザ機器 10が管理サーバ 21やサービスサーバ 20とネットワーク接続さ れていれば（つまり，オンライン），処理負荷の軽い通信プロトコルでセキュアにユー ザ機器 10及び Z又はリムーバブル記録媒体 40をグループ登録できることを第 1の特 徴としている。

[0139] また，グループ登録システム 100では，仮にユーザ機器 10又はリムーバブル記録 媒体 40等がネットワーク接続されて 、な 、 (オフライン)場合でも，他のユーザ機器 1 0が管理サーバ 21等に代わりにグループ登録を要求することによって，オフラインの ユーザ機器 10をグループ登録することができることを第 2の特徴としている。

[0140] 図 1に示すように，オンラインである PDlObをグループ登録する場合，例えば， PD 10b自らが管理サーバ 21へアクセスすることによって，グループ登録してもよく，一方 でオフラインであるカーオーディオ機器 10gは，例えば PClOaが代わりに管理サー バ 21等へグループ登録を要求し，パスフレーズが記載された印刷媒体 41もしくはパ スフレーズ情報が記録されたリムーバブル記憶媒体 40等を介して，当該カーオーデ ィォ機器 10gを登録することができる。なお，グループ登録の詳細は後述する。

[0141] 次に，本実施形態に力かるユーザ機器 10の構成について詳細に説明する。

[0142] まず，図 4に基づいて，本実施形態に力かるユーザ機器 10のハードウェア構成に ついて説明する。図 4は，本実施形態に力かるユーザ機器 10のハードウェア構成の 例を概略的に示すブロック図である。なお，図 4は，特にユーザ機器 10が図 3に示す PC 10aである場合のハードウェア構成である。

[0143] 図 4に示すように，ユーザ機器 10は，例えば， CPU (Central Processing Unit )等に相当する制御部 101と， ROM (Read Only Memory) 102と， RAM (Rand om Access Memory) 103と，ホストバス 104と，ブリッジ 105と，外部バス 106と， インタフェース 107と，入力部 108と，出力部 110と，ストレージ装置（HDD) 111と， ドライブ 112と，接続ポート 114と，通信部 115とを備える。

[0144] 制御部 101は，演算処理装置および制御装置として機能し，各種プログラムに従つ て動作し，ユーザ機器 10内の各部を制御する。 ROM102は，制御部 101が使用す るプログラムや演算パラメータ等を記憶する。 RAM103は，制御部 101の実行にお V、て使用するプログラムや，その実行にお!ヽて適宜変化するパラメータ等を一次記 憶する。これらは制御部用バスなど力も構成されるホストバス 104により相互に接続さ れている。

[0145] ホストバス 104は，ブリッジ 105を介して， PCI (Peripheral Component Interc onnectZlnterface)バスなどの外部バス 106に接続されている。

[0146] 入力部 108は，例えば，マウス，キーボード，タツチパネル，ボタン，スィッチ，レバ 一等の操作手段と，入力信号を生成して制御部 101に出力する入力制御回路など 力も構成されている。ユーザ機器 10のユーザは，この入力部 108を操作することによ り，ユーザ機器 10に対して各種のデータを入力したり処理動作を指示したりすること ができる。

[0147] 出力部 110は，例えば， CRT(Cathode Ray Tube)ディスプレイ装置，液晶ディ スプレイ (LCD)装置，ランプ等の表示装置と，スピーカ等の音声出力装置などで構 成される。

[0148] 上記出力部 110は，例えば，再生されたコンテンツを出力する。具体的には，表示 装置は，再生された映像データ等の各種情報をテキストまたはイメージで表示する。 一方，音声出力装置は，再生された音声データ等を発音する。

[0149] ストレージ装置 111は，本実施形態に力かるユーザ機器 10の記憶部の一例として 構成されたデータ格納用の装置であり，例えば， HDD (Hard Disk Drive)で構成 される。このストレージ装置 111は，ハードディスクを駆動し，制御部 101が実行する プログラムや各種データを格納する。また，このストレージ装置 111には，後述のソー ス IDリスト L,コンテンツデータベース 116, 自己 ID用データベース 117,コンテンツ 管理情報データベース 118などが格納されて 、る。

[0150] ドライブ 112は，記憶媒体用リーダライタであり，ユーザ機器 10に内蔵，或いは外 付けされる。このドライブ 112は，ユーザ機器 10にローデイングされた磁気ディスク， 光ディスク，光磁気ディスク，または半導体メモリ等のリムーバブル記憶媒体 40に対 して，コンテンツ，グループ証明書 G,プログラムなどの各種データを記録 Z再生する

[0151] 具体的には，ドライブ 112は，リムーバブル記憶媒体 40に記録されているデータを 読み出して，インタフェース 107，外部バス 106,ブリッジ 105,およびホストバス 104 を介して接続されている RAM103に供給する。制御部 101は，必要に応じて，これ らのデータを ROM102またはストレージ装置 111などに格納する。一方，ドライブ 11 2は， ROM102またはストレージ装置 111などに格納されているデータや，新たに生 成したデータ，外部装置から取得したデータを制御部 101から受け取り，リムーパブ ル記憶媒体 40に書き込む。

[0152] 接続ポート 114は，例えば PDlOb等の外部のユーザ機器 10等を接続するポート であり， USB, IEEE 1394等の接続端子を有する。接続ポート 114は，インタフエ一 ス 107,および外部バス 106,ブリッジ 105,ホストバス 104等を介して制御部 101等 に接続されている。力かる接続ポート 114によって，ユーザ機器 10は， PDlOb等と口 一カルライン 30bを介して各種のデータを通信可能となる。

[0153] 通信部 115は，例えば，ネットワーク 30に接続するための通信デバイス等で構成さ れた通信インタフェースである。この通信部 115は，他のユーザ機器 10やサービスサ ーバ 20等の外部機器との間で，ネットワーク 30を介して，コンテンツ，ソース IDリスト L (又は， GIDリスト），制御信号などの各種データを送受信する。

[0154] 次に，図 5に基づいて，本実施形態に力かるユーザ機器 10である PClOaの主な機 能について説明する。なお，図 5は，本実施形態にかかる PClOaの機能 (又は，モジ ユール）を概略的に示すブロック図である。

[0155] 図 5に示すように， PClOaは，例えば，データ通信部 120と，グループ登録部 130 と，リスト管理部 140と，配信サービス利用部 152と，ソース ID付加部 154と，コンテン ッ処理部 160と，コンテンツデータベース 116と， 自己 ID用データベースと 117,コン テンッ管理情報データベース 118と，を備える。

[0156] データ通信部 120は， PClOaと外部装置との間で各種のデータを送受信する。例 えば，データ通信部 120は，上記通信部 115を利用して，ネットワーク 30を介して， ユーザ機器 10と他のユーザ機器 10またはサーバ 30との間でデータを送受信するモ ジュールプログラムである。また，データ通信部 120は，上記接続ポート 114を利用し て，ローカルライン 30bを介して， PClOaと PDlObとの間でデータを送受信する。

[0157] グループ登録部 130は，管理サーバ 21に対して，ユーザ登録処理，ユーザ機器 1 0のグループ登録処理 (機器登録処理）の要求等を行う。このグループ登録処理では ,グループ登録部 130は，グループ登録要求情報 (例えば，グループ登録要求通知 ,グループ ID,パスワード，ターミナル ID,メディア ID,レコーダ ID等）を，管理サー バ 21に送信する。

[0158] ここで，ターミナル IDは，サーバに対して要求する要求元（又は，通信元）となるュ 一ザ機器 10を一意に識別する IDである。このターミナル IDおよびレコーダ IDは，各 ユーザ機器 10によって，例えば，独自に発生させた乱数や，各ユーザ機器 10のデ バイス ID等に基づいて，固有に生成される。

[0159] また，グループ登録部 130は，ユーザ機器 10のグループ登録に応じて，管理サー ノ 21から通知されたサービスデータ（リーフ ID,サービス共通鍵等）を受信する。さら に，グループ登録部 130は，例えば，受信したリーフ IDをリスト管理部 140に出力し， 受信したサービス共通鍵をコンテンツ処理部 160に出力する。このサービス共通鍵（ 秘密鍵）は，暗号ィ匕されたコンテンツデータを復号するために必要な鍵であり，改ざ んされな 、よう安全に格納される。

[0160] また，グループ登録部 130は，管理サーバ 21に対して，ユーザ機器 10のグループ 登録解除要求処理を行う。この場合にも，登録時と同様に，グループ登録解除要求 情報（例えば，グループ登録解除要求通知，グループ ID,パスワード，ターミナル ID 等)を管理サーバ 21に送信する。登録解除が成された場合には，グループ登録部 1 30は，その旨をリスト管理部 140に通知する。

[0161] リスト管理部 140は，図 2に示したリスト管理部 Cに対応する構成要素である。このリ スト管理部 140は，例えば，ユーザ機器 10が保有するソース IDリスト Lを更新する機 能を有する。

[0162] また，リスト管理部 140は，グループ登録解除時には，ソース IDリスト L内のソース I Dを全て削除する。

[0163] なお，ソース IDリスト Lは，ユーザ機器 10のストレージ装置 111,若しくは ROM102 などに，安全に格納されている。このソース IDリスト Lは，ユーザによる不正な改ざん を防止すべく，例えば，暗号化され，ディジタル署名が付された状態で格納される。

[0164] 本実施形態では，グループ登録時の管理サーバ 21から受け取ったグループ IDは ,上記のようにソース IDリスト L内に含まれるようにして， PClOa内に格納されている。 これは，上記のように，グループ IDを，当該グループ IDが付加された配信コンテンツ を再生可能にするためのソース IDとして利用して，力かるグループ IDに基づいて配 信コンテンツの再生制御を行うためである。

[0165] また，リスト管理部 140には，図示しないが，例えば，レコーダ ID更新部と，リスト同 期部と， 自己 ID追加部と，グループ ID更新部とが備わる。

[0166] レコーダ ID更新部は，ソース IDリスト Lにレコーダ ID又はメディア ID等を追加する。

具体的には，まず，レコーダ ID更新部は，管理サーバ 21から送信されるグループ ID リストを読み出すとともに，ソース IDリスト L内のグループ IDを読み出す。次いで，レコ ーダ ID更新部は，双方のグループ IDがー致するカゝ否かを判断する。この判断の結 果，双方のグループ IDがー致する場合には，上記グループ IDリストに含まれている 他のユーザ機器 10に対応したレコーダ IDを読み出して，ソース IDリスト Lに追加する

[0167] これにより， 同一の機器グループに登録されているユーザ機器 10に対応したレコー ダ IDだけを，ソース IDリスト Lに追加できる。なお，レコーダ ID更新部は，ソース IDリ スト Lに追カ卩可能なレコーダ ID数に上限を設けるなどして，レコーダ IDの追カ卩を制限 してちよい。 [0168] リスト同期部は，複数のソース IDリスト Lを同期する機能を有する。ここでいうソース I Dリスト Lの同期とは，相異なる複数のソース IDリスト Lを併合 (マージ)することを 、 ヽ , 同期された後のソース IDリスト Lには，複数の元のソース IDリスト Lに含まれていたレ コーダ IDの全てが，重複なく，含まれるようになる。

[0169] 自己 ID追加部は，ユーザ機器 10自身に対応するレコーダ IDを例えば無条件でソ ース IDリスト Lに追加する。具体的には， 自己 ID追加部は，例えば， 自己 ID用デー タベース 117から，ユーザ機器 10自身に対応するレコーダ IDを読み出し，ソース ID リスト Lに書き込む。これにより，ユーザ機器 10は，グループ登録の有無にかかわら ず， 自身でリツビングしたリツビングコンテンツを再生できるようになる。なお，グループ IDは，この自己 ID追加部が乱数等に基づき生成して， 自己 ID用データベース 117 に記録してもよい。

[0170] グループ ID更新部は，例えば，ユーザ機器 10のグループ登録時に，上記グルー プ登録部 130からグループ IDが入力されると，力かるグループ IDをソース IDリスト L 内に追加する。これにより，ユーザ機器 10は，当該グループ IDが付加された配信コ ンテンッを再生可能となる。

[0171] また，グループ ID更新部は，上記グループ登録部 130からグループ登録解除通知 が入力されると，ソース IDリスト L内に含まれる全てのソース ID (レコーダ ID,グルー プ ID)を削除する。ただし，ユーザ機器 10自身に対応するレコーダ IDのみは，ソー ス IDリスト Lから削除されない。これにより，ユーザ機器 10は， 自身の作成したリツピン グコンテンツ，および著作権管理されて 、な 、コンテンツのみしか再生できな 、ように なる。

[0172] なお，レコーダ ID更新部およびグループ ID更新部は， PDlOb等のユーザ機器 10 力も受信したソース IDリスト Lを更新して，返信することもできる。

[0173] 配信サービス利用部 152は，上記コンテンツを配信するサービスサーバ 20との間 で，コンテンツ配信サービスに関する処理を行う。

[0174] 具体的には，配信サービス利用部 152は，例えば，上記コンテンツ配信サービスを 利用するために必要なユーザ認証情報 (ユーザ ID (又は，グループ ID) ,パスワード 等），課金情報，コンテンツ配信リクエスト情報などの各種情報を，上記サービスサー バ 20との間で送受信したり，これらの情報の入出力を支援したりする。

[0175] また，配信サービス利用部 152は，サービスサーバ 20から送信された配信コンテン ッと当該配信コンテンツのライセンスを，ネットワーク 30および通信装置 115を介して 受信する。即ち，ユーザ機器 10のユーザがコンテンツ配信サービスを利用してコンテ ンッを購入すると，配信サービス利用部 152は，上記サービスサーバ 20から配信コ ンテンッのファイルと， 当該配信コンテンツの利用条件を定めたライセンスのファイル を，例えば別ファイルでダウンロードする。グループ管理方式の著作権管理がなされ るコンテンツの場合には，配信コンテンツのライセンスには，上記グループ登録により ユーザに割り当てられたリーフ ID又はグループ ID等が記述されている。

[0176] 配信サービス利用部 152は，このように受信した配信コンテンツのデータおよびライ センスのデータをカ卩ェして，例えば，コンテンツとライセンスとを同一ファイルとしたコ ンテンッフアイノレを作成する。

[0177] このとき，グループ管理方式の配信コンテンツに関しては，ソース ID付加部 154に よって，配信コンテンツのコンテンツデータにグループ IDが付加される。ソース ID付 加部 154は，上記ソース ID付加部 Aに対応する構成要素である。このソース ID付カロ 部 154は，配信コンテンツに対しては，グループ IDを付加する。具体的には，ソース I D付加部 154は，配信コンテンツに対応するライセンスに記述されているリーフ IDを， グループ IDに変換する処理を実行する。このリーフ IDからグループ IDへの変換処 理は，上記と同様に，例えば，リーフ IDに，コンテンツ配信サービスのサービス IDを 追加することによってなされる。これによつて，配信コンテンツに対し，当該配信コンテ ンッを購入したユーザ及びサービスを表すグループ IDが関連付けられる。

[0178] このようにして，配信サービス利用部 152およびソース ID付加部 154は，配信され たコンテンツのファイルと，ライセンスのファイルを結合させたコンテンツファイルを作 成する。

[0179] 自己 ID用データベース 117には，例えば，ユーザ機器 10のデバイス ID,レコーダ I D,ターミナル IDなど，ユーザ機器 10自身に対応する IDが格納されている。

[0180] デバイス IDは，各種機器 (ユーザ機器 10およびコンテンツ再生装置 20等）単位で 固有に付与される識別子である。このデバイス IDは，例えば，ユーザ機器 10の工場 出荷時などに付与され， 自己 ID用データベース 117内に安全に格納されている。

[0181] コンテンツ処理部 160は，コンテンツに対する各種処理を行う。このコンテンツ処理 部 160は，例えば，コンテンツ再生部と 170と，コンテンツ提供部 180と，コンテンツ 取得部 182と，リツビング部 184とを備える。

[0182] コンテンツ再生部 170は，図 2に示したコンテンツ再生部 Bに対応する構成要素で ある。このコンテンツ再生部 170は，例えば，コンテンツ再生機能を有する再生装置， あるいはユーザ機器 10にインストールされたコンテンツ再生用ソフトウェアなどによつ て構成されており，各種のコンテンツを再生することができる。このコンテンツ再生部 1 70によって再生されたコンテンツデータは，上記出力部 110から出力される。

[0183] なお，コンテンツ再生部 170は， 1つのユーザ機器 10に 2つ以上設けられてもよい 。例えば， 1つのユーザ機器 10に 2種以上のコンテンツ再生用ソフトウェアをインスト ールする， 2台以上の再生装置を設ける，或いは，コンテンツ再生用ソフトウェアと再 生装置を併用することなどにより， 1つのユーザ機器 10内に，各コンテンツ配信サー ビスや各著作権管理方式に対応した， 2つ以上のコンテンツ再生部 170を構成しても よい。

[0184] コンテンツ提供部 180は，他のユーザ機器 10または PDlObに対して，コンテンツを 提供する。また，コンテンツ取得部 182は，他のユーザ機器 10または PDlObから，コ ンテンッを取得する。これらコンテンツ提供部 180およびコンテンツ取得部 182は，コ ンテンッの提供 Z取得処理を，例えば，ネットワーク 30等を介した送受信処理によつ て実行してもよいし，或いは，リムーバブル記憶媒体 40を介して実行してもよい。

[0185] なお，このようなコンテンツの再生，提供，取得時には，コンテンツ処理部 160は，コ ンテンッ管理情報データベース 118内のコンテンッ管理情報に基づ 、て上記処理を 制御してもよく，また，これらのコンテンツ管理情報を出力装置 110に表示してもよい

[0186] リツビング部 184は，音楽コンテンツや映像コンテンツを記録した CD, DVD等の記 録媒体 40aに記録されているコンテンツをリツビングする。具体的には，リツビング部 1 84は，例えば，ユーザ入力に応じて，ドライブ 112を制御して，記憶媒体 40aから音 楽 Z映像データ等を取り出し，力かる音楽 Z映像データをユーザ機器 10で処理可 能なフォーマット（例えば ATRAC3 (登録商標）形式等）に変換したコンテンツを作成 する。このようにリツビングしたコンテンツは，ソース ID付カ卩部 154によって， PClOaの レコーダ IDが付加される。

[0187] また，図示はしないが， PClOaは， PClOaと PDlObとの間におけるコンテンツの転 送を制御する転送制御部を備えてもよい。この転送制御部は，例えばユーザ入力に 基づく転送要求に応じて， PClOaに記憶されているコンテンツの PDlObへの転送， 或いは， PDlObに記憶されているコンテンツの PClOaへの転送を制御する。

[0188] また，この転送制御部は，著作権管理対象のコンテンツ (ソース IDが付加されたコ ンテンッ)の転送制御のみならず，著作権管理されていないコンテンツ (例えば，ソー ス IDが付加されていない生コンテンツ)の転送制御を行うことができる。例えば，転送 制御部は，著作権管理されていないコンテンツに関し，ユーザ機器 10から PDlObへ の転送要求，或いは， PDlObからユーザ機器 10への転送要求が入力されると，ュ 一ザ機器 10のソース IDリスト内のグループ IDと， PDlObのソース IDリスト内のグル ープ IDとを比較する。転送制御部は，この比較の結果，双方のグループ IDがー致す る場合には当該転送を許可し，一方，双方のグループ IDがー致しない場合には当 該転送を許可しない。これにより，グループ管理方式で著作権管理されたコンテンツ のみならず，著作権保護されていないコンテンツの利用 (機器間の無制限なコピー） を制限することちできる。

[0189] 以上， PClOaの各構成要素について説明した。上記データ通信部 120,グループ 登録部 130,リスト管理部 140,配信サービス利用部 152,ソース ID付加部 154,コ ンテンッ処理部 160,転送制御部などは，例えば，上記各機能を有するハードウェア として構成されてもよいし，或いは，上記各機能をコンピュータに実現させるプロダラ ムをユーザ機器 10にインストールすることによって構成されてもよい。

[0190] なお，図 4,図 5では，ユーザ機器 10が PClOaである場合を例に挙げて説明したが ,例えば，ユーザ機器力 SPClOaと同等レベルの処理能力を具備した装置であれば， 力かる例に限定されない。

[0191] また，図 4,図 5に示すユーザ機器 10に，以降説明する図 6又は図 7に示すユーザ 機器 10に構成される機能をさらに備えた場合であってもよい。 [0192] 次に，図 6を参照しながら，本実施形態に力かるユーザ機器 10のハードウェア構成 について説明する。図 6は，本実施の形態に力かるユーザ機器 10のハードウェア構 成の例を概略的に示すブロック図である。なお，図 6は，特にユーザ機器 10が図 3に 示す PDlObである場合のハードウェア構成である。

[0193] 図 6に示すように， PDlObは，例えば，メイン制御部 201と，フラッシュメモリ 202と， RAM203と，データ処理咅 204と，ノ ス 206と，人力咅 208と，表示咅 210と，ストレ ージ装置 (HDD) 211と，デコーダ 213と，通信部 215と，オーディオ出力回路 216と , リモートコントローラ 218と，ヘッドフォン 219とを備える。

[0194] メイン制御部 201は，制御装置として機能し， PDlObの各部を制御する。フラッシュ メモリ 202は，例えば，メイン制御部 201の動作を規定したプログラムや，各種のデー タを記憶する。また， RAM203は，例えば SDRAM (Synchronous DRAM)で構 成され，メイン制御部 201の処理に関する各種データを一次記憶する。なお，上記メ イン制御部 201の処理能力は，上記説明した図 4に示す制御部 101の処理能力より も程度の差こそあれ劣るものとするが，力かる例に限定されない。

[0195] データ処理部 204は，システム LSI等で構成され， PDlOb内で転送されるデータを 処理する。ノ ス 206は，メイン制御部 201,フラッシュメモリ 202, RAM203,データ 処理部 204,入力部 208,表示部 210,ストレージ装置（HDD) 211,デコーダ 213 ,通信部 215およびオーディオ出力回路 216などを接続するデータ線である。

[0196] 入力部 208とリモートコントローラ 218は，例えば，タツチパネル，ボタンキー，レバ 一，ダイヤル等の操作手段と，ユーザによる操作手段に対する操作に応じて入力信 号を生成してメイン制御部 201に出力する入力制御回路など力も構成されている。 P D10bのユーザは，この入力部 208や，後述のリモートコントローラ 218を操作するこ とにより， PDlObに対して各種のデータを入力したり処理動作を指示したりすること ができる。

[0197] 表示部 210は，例えば LCDパネルおよび LCD制御回路などで構成される。この表 示部 210は，メイン制御部 201の制御に応じて，各種情報をテキストまたはイメージで 表示する。

[0198] ストレージ装置 211は，本実施形態に力かる PDlObの記憶部の一例として構成さ れたデータ格納用の装置である。このストレージ装置 211は，例えば数十 GBの記憶 容量を有するハードディスクドライブ (HDD)で構成され，圧縮されたコンテンツや，メ イン制御部 201のプログラム，処理データ等の各種のデータを格納する。

[0199] デコーダ 213は，暗号化されているコンテンツデータの復号処理，デコード処理， サラウンド処理， PCMデータへの変換処理などを行う。

[0200] 通信部 215は， USBケーブル等のローカルライン 30bを介して接続されたユーザ 機器 10との間で，コンテンツ，ソース IDリスト L,コンテンツ管理情報，制御信号など の各種データを送受信する，または，通信部 215は，他のユーザ機器 10や管理サー ノ 21等の外部機器との間で，ネットワーク 30を介して，コンテンツ，ソース IDリスト L, コンテンツ管理情報，制御信号などの各種データを送受信する。

[0201] オーディオ出力回路 216は，デコーダ 213により復号され， CPUによって DA変換 されたアナログ音声データを増幅してリモートコントローラ 218に出力する。このアナ ログ音声データは，リモートコントローラ 218からヘッドフォン 219に出力され，ヘッド フォン 219に内蔵されたスピーカから出力される。

[0202] ここで，このようなハードウェア構成の PDlObにおける主なデータフローについて 説明する。

[0203] コンテンツ再生装置（PD) 10b力 コンテンツを再生するときのデータフローについ て説明する。まず，コンテンツの再生要求がメイン制御部 201に入力され，メイン制御 部 201によって当該コンテンツの再生が許可された場合には，データ処理部 204は ,再生対象のコンテンツデータをストレージ装置 211から読み出して， RAM203に転 送すると同時並行して， RAM203に転送されたコンテンツデータをデコーダ 213に 転送する。次いで，デコーダ 203は，暗号化されているコンテンツデータの復号処理 ,デコード処理，サラウンド処理， PCMデータへの変換処理などを行い，メイン制御 部 201に転送する。さらに，メイン制御部 201は，入力された PCMデータを， DA変 (図示せず。）によってボリューム調整を行いアナログ音声データに変換して，ォ 一ディォ出力回路 216のアンプに転送する。オーディオ出力回路 216は，このアナ口 グ音声データをリモートコントローラ 218を介して，ヘッドフォン 219から出力する。

[0204] 次に，図 7に基づいて，本実施形態に力かる PDlObの主な機能について説明する 。なお，図 7は，本実施形態にかかる PDlObの機能 (又は，モジュール)を概略的に 示すブロック図である。

[0205] 図 7に示すように，ユーザ機器 10は，例えば，データ通信部 220と，記憶部 230と を備える。さらに記憶部 230には，グループ登録部 231と，リスト管理部 241と，メッセ ージ生成部 261と，カウンタ部 263と，時刻部 264と， ID生成部 265と，登録要求検 知部 267とソース IDリスト Lとコンテンツ DB234とが記憶されている。

[0206] データ通信部 220は，上記通信部 215を利用して，ローカルライン 30bを介して， ユーザ機器 10との間でデータを送受信する，もしくは，ネット—ワーク 30を介して，管 理サーバ 21等のサーバとの間でデータを送受信する。

[0207] 記憶部 230は，例えば，上記ストレージ装置 211およびフラッシュメモリ 202等で構 成され，ユーザ機器 10内で各種データを記憶する。この記憶部 230は，例えば，ソ ース IDリスト L,コンテンツデータベース 234等を記憶して!/、る。

[0208] また，記憶部 230内のソース IDリスト Lは，上記ユーザ機器 10 (PC10a)のソース I Dリスト Lと略同一である。 PDlObがグループ登録されることにより，グループ IDが追 加され，また，同一の機器グループに属するユーザ機器 10のレコーダ IDも追加され る。本実施形態では，このソース IDリスト Lは， PDlObのリスト管理部 140によって更 新されるが， PDlOaが自身のソース IDリスト Lを更新するようにしてもよい。

[0209] グループ登録部（又は，検証部） 231は，管理サーバ 21に対して，ユーザ登録処 理，ユーザ機器 10のグループ登録処理 (機器登録処理）に関する検証等を行う。さら に，グループ登録部 231は，ユーザ機器 10がオフライン (非同期）で外部カもパスフ レーズを入力した場合にそのパスフレーズをデコードし登録回答メッセージに変換で きる。詳細については後述する。

[0210] リスト管理部 (又は，格納部，解除部） 241は，図 2に示したリスト管理部 Cに対応す る構成要素であり，リスト管理部 241は，ソース IDリスト Lにグループ IDを格納したり， メディア IDや，デバイス ID等の IDを当該グループ IDとひも付けてソース IDリストしに 格納したりする。詳細については後述する。

[0211] コンテンツデータベース 234は，ユーザ機器 10又はサービスサーバ 20等力も転送 されたコンテンツを格納する。 PDlObの再生制御方式がグループ管理方式に設定さ れている場合には，このコンテンツデータベース 234には，ソース IDを含むライセン スが付加されたコンテンツが記憶される。

[0212] また，記憶部 230内の図示しない自己 ID用データベースには，例えば， PDlObの デバイス IDが安全に格納されている。このデバイス IDは，工場出荷時等に PDlOb 単位で固有に付与される IDであり， PDlObのグループ登録時に使用される。

[0213] メッセージ生成部 261は，カウンタ部 263により生成されたカウンタ情報 (又は，タイ ムスタンプ)及び Z又は ID生成部 265により生成されたセッション IDを取得し，デー タ通信部 220に登録要求メッセージを送信する。

[0214] また，メッセージ生成部 261は，上記データ通信部 220からの応答を基にしてユー ザ機器 10がネットワーク 30に接続したオンライン（同期）の状態であるか，または，ュ 一ザ機器 10がネットワーク 30に接続していないオフライン (非同期）の状態であるか を判断し，状態情報として登録要求メッセージに付与することもできる。

[0215] カウンタ部 263は，カウンタ情報を生成する。例えば，カウンタ部 263は， "1, 2, 3, …"等のように 1ずつ増加する (インクリメンタル)カウンタ情報を生成したり， "90, 89 , 88,…"等のように 1ずつ減少する（デタリメンタル)カウンタ情報を生成したりする。 なお，生成されたカウンタ情報はユーザ機器 10に備わるキャッシュなどの記憶手段 に，次のカウンタ情報に更新されるまで記憶される。

[0216] また，カウンタ部 263は，上記インクリメンタルカウンタ情報またはデクリメンタルカウ ンタ情報を生成する場合に限定されず，例えば，カウンタ部 263は，時刻部 264が生 成する時刻を参照し， "2005年 8月 22日 13時 50分 15秒，，等のように， "YYYYMM DDhhmmss"形式でタイムスタンプをカウンタ情報として生成することもできる。なお ,生成されたタイムスタンプも，次のタイムスタンプに更新されるまで記憶される。

[0217] 時刻部 264は，正確な時 (標準時)を刻むことができ，外部からの要求に応じて，例 えば， "YYYYMMDDhhmmss"形式で，時刻を出力することができる。なお，時刻 部 264は， 自ら標準時を刻まなくても，ネットワーク 30を介してタイムサーバ等に NTP でアクセスし，標準時刻を取得する場合でもよい。

[0218] ID生成部 265は，グループ登録を行うために，対管理サーバ 21との間で登録を要 求するメッセージを送信し，その回答メッセージを受信する一連のやりとりである登録 セッションを識別するセッション IDを生成する。

[0219] 登録要求検知部（又は，アプリケーション） 267は，入力部 208からの入力信号によ つて，グループ登録の要求を検知する。力かる要求を検知すると，メッセージ生成部 261に登録要求メッセージの生成を指示する。

[0220] PDlObは，コンテンツに付カ卩されたソース IDとソース IDリスト Lに基づいてコンテン ッを再生制御すると!、つたグループ管理方式の著作権管理に対応して!/、る。このた め，ユーザは， 自身の所有するユーザ機器 10から PDlObにコンテンツを自由にダウ ンロードして再生できるので，従来のチェックイン 'チェックアウト方式と比べて，ユー ザによるコンテンツ利用の自由度が高く，よりユーザフレンドリーである。

[0221] なお，上記データ通信部 220,グループ登録部 231,リスト管理部 241,メッセージ 生成部 261,カウンタ部 263,時刻部 264, ID生成部 265,登録要求検知部 267な どは，例えば，上記各機能を有するハードウェアとして構成されてもよいし，或いは， 上記各機會をコンピュータに実現させるプログラムを PDlObにインスト一ノレすること によって構成されてもよい。

[0222] なお，図 6及び図 7に示すユーザ機器 10は， PDlObの場合を例に挙げて説明した 力 処理能力がさほど高くなく通信機能を備えたユーザ機器 10であれば，かかる例 に限定されず，例えば，携帯電話機 10hなど，如何なるユーザ機器 10の場合であつ ても実施可能である。

[0223] (データについて）

ここで，本実施の形態に力かるグループ登録システムにお 、て用いられる主なデー タについて簡単に説明する。

'「セッション ID」は，例えば，対管理サーバ 21との間でメッセージ送受信の一回性保 証する登録セッション等のセッションを識別する IDである。セッションが継続して!/、る 間は，そのセッション IDを第三者によって改ざんされないようにセキュアに保持し，セ ッシヨン終了時に破棄する。

•「カウンタ情報」は，例えば，メッセージ送受信の一回性保証するインクリメントされる カウンタ，または，タイムスタンプ等の情報である。なお，上記カウンタ情報も第三者 によって改ざんされな 、ようにセキュアに保持する必要がある。 ·「ターミナル ID」は，例えば，サービスサーバ 20又は管理サーバ 21に対してグルー プ登録を要求する要求元のユーザ機器 10を識別する IDである。

'「メディア ID」は，例えば，ハードディスクドライブ (HDD)や，リムーバブル記録媒体

40等を識別するグループ登録対象となる IDである。

·「レコーダ ID」は，例えば，録音装置を識別する IDである。

'「デバイス ID」は，例えば，再生装置を識別する IDである。

'「有効期間情報」は，例えば，グループ IDに対して与えられる有効期間の条件が示 された情報である。有効期間情報は，例えば，有効期間開始日時 (年月日時)と有効 期間終了日時 (年月日時)とから構成され，有効期間の範囲を示す。

'「操作許可情報」は，例えば，グループ IDで示されるグループで許可される操作の 種類を示す情報である。操作許可情報は，例えば， "0"が再生不可 ·録音不可を示 し， " 1"が再生可能'録音不可を示し， "2"が再生不可 ·録音可能を示し， "3"が再生 可能，録音可能を示す。

•GIDリストは，例えば，上記グループ ID, IDリスト（デバイス ID,メディア ID等を含ん だリスト），上記有効期限情報，上記操作許可情報等の組からなるリストである。なお , GIDリストは，例えば，登録要求メッセージ内に含まれる情報であって，グループ登 録の対象となる IDのリストであるが，力かる例に限定されない。

小ングネチヤ」は，例えば，署名データである。

'「サービス ID」は，例えば，サービスを識別する IDである。また，サービス IDはダル ープ IDと関連付けられる。

•「オンライン（同期）情報」は，ユーザ機器 10がネットワークに接続した状態を示す情 報。

•「オフライン (非同期）情報」は，ユーザ機器 10がネットワークに接続していない状態 を示す情報。

以上のようなデータが主に用いられるが，本実施の形態に力かるグループ登録シス テム 100では，かかるデータのみに限定されず，他のデータが用いられても実施可 能である。

(グループ登録方法：同期 ·セッション ID方式） 次に，図 8に基づいて，以上のようなグループ登録システム 100を利用したグルー プ登録方法の一連の処理について説明する。図 8は，本実施形態に力かる同期 -セ ッシヨン ID方式のグループ登録方法の概略を示すシーケンス図である。

[0225] なお，図 8に示す著作権管理部は，上記説明したグループ登録部 231,リスト管理 部 241, ID生成部 265等を含んだものに相当し，図 8に示すアプリケーションは，上 記説明したメッセージ生成部 261,登録要求検知部 267等を含んだものに相当する

[0226] まず，図 8に示すように，ステップ S801〜S811では，登録要求元のユーザ機器 10 に備わるアプリケーションとサービスサーバ 20との間でネットワーク 30を介した通信 接続を安全に確立し，ユーザ認証を行う。

[0227] 具体的には，まず，登録要求元のユーザ機器 10に備わるアプリケーションの登録 要求検知部 267が，ユーザ入力に応じて，登録要求を検知すると，データ通信部 22 0は，ユーザ IDおよびパスワードをサービスサーバ 20に送信する（S801)。すると， サービスサーバ 20は，受信したユーザ IDおよびパスワードと，予めデータベースに 登録されているユーザ IDおよびパスワードとを照合して，ユーザ認証処理を行う (S8 03)。

[0228] 上記照合した結果，ユーザ認証が成立すると，サービスサーバ 20は，ログインを許 可し，ユーザ認証が成立した旨の通知をユーザ機器 10のアプリケーションに送信す る（S805)。次いで，アプリケーションは，登録要求通知をサービスサーバ 20に送信 する（S807)。この登録要求通知により，サービスサーバ 20は，ユーザ機器 10が登 録要求のためにアクセスしてきたことを認知する。なお，グループ登録に必須なのは 登録セッションであり，上記登録要求通知については省略することも可能である。

[0229] 次に，サービスサーバ 20は，トランザクション ID (TID)を生成し（S809) ,上記生成 したトランザクション IDと，管理サーバ 21のアドレス情報の一例である URL (Unifor m Resource Locator)とを，ユーザ機器 10のアプリケーションに送信する（S811 ) oこれにより，ユーザ機器 10は，受信した URLに基づいて管理サーバ 21にァクセ スできるようになる。

[0230] 次のステップ S813〜S841では，ユーザ機器 10を管理サーバ 21に実際に登録す るための処理がなされる。

[0231] 具体的には，まず，ユーザ機器 10のアプリケーションは，サービスサーバ 20にサー ビスデータ（又は，サービス ID)を要求する（S813)。すると，サービスサーバ 20は， ユーザ機器 10にサービスデータ（又は，サービス ID)を返信する（S815)。

[0232] なお，上記サービスデータには，上記認証されたユーザに対応するリーフ IDと，上 述したサービス共通鍵とが含まれてもよ!/、。

[0233] 次に，ユーザ機器 10のアプリケーションは，著作権管理部の ID生成部 265に上記 サービスデータを送信する（S817)。

[0234] ID生成部 265は，サービスデータを受け取ると，登録セッションを識別するセッショ ン ID (又は， SID)を生成する。生成された SIDは，ユーザ機器 10自身に対応するタ 一ミナル IDおよびレコーダ ID等力もなる IDリストとともに，アプリケーションに送信さ れる（S819)。

[0235] なお，図 8等に図示された [ ]内のデータは， AES— CBC等の鍵で暗号化 Z復号 することによって，ユーザ機器 10に備わる著作権管理部及び管理サーバ 21のみが 読み取れるものとする。例えば，ステップ S819に示す [IDリスト， SID]は，ユーザ機 器 10に備わる著作権管理部及び管理サーバ 21のみが当該 IDリストと SIDとを読み 取れるものとする。

[0236] 次に，ユーザ機器 10のアプリケーションのメッセージ生成部 261は，上記セッション IDと， IDリストと，上記 S811で受信した TIDと，上記サービスデータとを基にして登 録要求メッセージを生成し，管理サーバ 21に送信する（S821)。なお，登録要求メッ セージにはオンライン情報が含まれて 、る。上記ターミナル IDおよびレコーダ ID等 は，ユーザ機器 10によって生成される。

[0237] 次いで，管理サーバ 21は，受け取った登録要求メッセージに含まれる IDリスト等を 基にユーザ機器 10の登録可否を判断する（S823)。この登録可否判断 (S823)は， 例えば，同一の機器グループに登録可能なユーザ機器 10の上限数 (例えば，デバ イス IDの上限数 (例えば 3個），レコーダ IDの上限数 (例えば 10個））に基づいて成さ れる。より詳細には，上記認証されたユーザの機器グループに，既に，異なるデバイ ス IDを有する例えば 3台のユーザ機器 10が登録済である場合には，管理サーバ 21 は，新たなユーザ機器 10の登録を禁止する。また，当該ユーザの機器グループに， 過去に，異なるレコーダ IDを有する例えば 10台のユーザ機器 10が登録されたことが ある場合 (現在登録されているカゝ否かは不問）には，管理サーバ 21は，新たなユー ザ機器 10の登録を禁止する。

[0238] 登録可否判断の結果，登録を許可する場合には，管理サーバ 21は，上記登録要 求元のユーザ機器 10の登録処理を行うためサービスサーバ 20に IDリストと TIDを送 信する（S825)。

[0239] サービスサーバ 20は，上記登録要求元のユーザ機器 10から受信したターミナル I Dや，デバイス ID,メディア ID,またはレコーダ ID等の IDを，グループ登録データべ ース（図示せず。 )の上記認証されたユーザのレコードに書き込んで登録する（S827 ) oさらに，サービスサーバ 20は，管理サーバ 21に登録されたユーザ機器 10につい ての登録完了通知と GIDリストとを送信する（S829)。

[0240] なお，デバイス IDやメディア IDなど登録する対象のグループ IDが存在しない場合 ,サービスサーノ 20は，例えば，新規にグループ IDを生成し，そのグループ IDにつ V、て登録するデバイス IDやメディア ID等の IDをひも付けてグループに登録する（S8 27)が，かかる例に限定されない。

[0241] 管理サーバ 21は，登録要求メッセージ内にオンライン情報が含まれるのを確認す ると，サービスサーバ 20から受け取った GIDリストと，登録要求元のユーザ機器 10か ら受け取ったセッション ID等を基にして，登録回答メッセージを生成しユーザ機器 10 に送信する（S831)。なお，後述するが，管理サーバ 21は，登録要求メッセージ内に オフライン情報が含まれるのを確認した場合，登録回答メッセージを作成せず，サー ビスサーバ 20にパスフレーズ等の情報を作成させる。

[0242] なお，上記登録回答メッセージに含まれるシグネチヤは，例えば，ターミナル ID, G IDリスト，およびセッション IDなどのデータの MAC値であるが，かかる例に限定され な 、。上記シグネチヤにより登録回答メッセージの完全性を検証することができる。

[0243] ユーザ機器 10のアプリケーションは，上記登録回答メッセージを受け取ると，そのま ま著作権管理部のグループ登録部 231に転送する（S833)。なお，アプリケーション は登録回答メッセージに含まれる，例えば「SID」などの情報を読み取ることができな い。

[0244] グループ登録部 231は，受け取った登録回答メッセージのターミナル IDと登録要 求メッセージ送信時 (又は， 自己）のターミナル IDとが一致することを検証する（S835

) o

[0245] 次に，グループ登録部 231は，ユーザ機器 10がー回送信した登録要求メッセージ に対する登録回答メッセージ (リプライ)の受信が一回であることを検証する（S837)。 例えば，グループ登録部 231は，受け取った SIDと，登録要求メッセージ送信時に I D生成部 265が生成した SIDとが一致することを検証する。

[0246] なお，メッセージの一回性検証 (S837)は， SIDの一致に限定されず，例えば，グ ループ登録部 231は， SIDの一致の検証後，さらにメッセージ送受信の有無を確認 できるように送信フラグと受信フラグを参照することで一回性を検証する場合等でも実 施可能である。

[0247] また，グループ登録部 231は，上記メッセージ一回性検証 (S837)とともに，登録回 答メッセージに含むシグネチヤを基に登録回答メッセージが改ざんされて 、な 、か完 全性にっ 、ても検証する（S837)。

[0248] 次いで，ユーザ機器 10のリスト管理部 241は，力かるグループ登録部 231による検 証が終了すると，ユーザ機器 10は管理サーバ 21から受け取った GIDリスト内のダル ープ IDを自身のソース IDリスト L内に追カ卩して格納することで GIDリストを有効化する (S839)。これにより，ユーザ機器 10は，当該グループ IDが付加された配信コンテン ッを再生可能となる。

[0249] なお，リスト管理部 241は，管理サーバ 21からリーフ IDを受け取って，そのリーフ ID を基にしてグループ IDを生成しても良い。

[0250] また，上記 GIDリスト内の操作許可情報や有効期限情報等の情報もリスト管理部 2

41によりソース IDリスト L又はその他の記憶領域内に格納される。

[0251] 次に，グループ登録部 231及び ID生成部 265は，セッション ID (SID)を破棄する（

S841)。以上で，本実施の形態に力かる同期 'セッション ID方式におけるグループ 登録方法の一連の処理が終了する。

[0252] なお，図 8に示すグループ登録方法では，図 6,図 7に示す PDlObがグループ登 録する場合を例に挙げて説明したが，力かる例に限定されず， PDlOb以外の他のュ 一ザ機器 10の場合であっても同様に実施可能である。

[0253] なお，このようなユーザ機器 10の登録処理の後，以下のような，証明書発行および 配布処理を行ってもよい。即ち，まず，ユーザ機器 10は， 自身に対応するグループ I Dとレコーダ IDを含むグループ証明書 Gを発行し，このグループ証明書 Gを証明書 管理サーバ（図示せず。）に送信する。すると，証明書管理サーバは，受信したダル ープ証明書 Gを証明書データベースに格納する。これによつて，他のユーザ機器 10 が同一の機器グループに登録された際に，当該グループ証明書 Gを配布して，レコ ーダ IDを共有できるようになる。

[0254] (グループ登録方法：同期'カウンタ情報方式）

次に，図 9に基づいて，以上のようなグループ登録システム 100を利用したグルー プ登録方法の一連の処理について説明する。図 9は，本実施形態に力かる同期'力 ゥンタ情報方式のグループ登録方法の概略を示すシーケンス図である。

[0255] なお，図 9に示す著作権管理部は，上記説明したグループ登録部 231,リスト管理 部 241,カウンタ部 263,時刻部 264等を含んだものに相当し，図 9に示すアプリケ ーシヨンは，上記説明したメッセージ生成部 261,登録要求検知部 267等を含んだも のに相当する。

[0256] まず，図 9に示すように，ステップ S901〜S911では，登録要求元のユーザ機器 10 に備わるアプリケーションとサービスサーバ 20との間でネットワーク 30を介した通信 接続を安全に確立し，ユーザ認証を行う。

[0257] 具体的には，まず，登録要求元のユーザ機器 10に備わるアプリケーションの登録 要求検知部 267が，ユーザ入力に応じて，登録要求を検知すると，データ通信部 22 0は，ユーザ IDおよびパスワードをサービスサーバ 20に送信する（S901)。すると， サービスサーバ 20は，受信したユーザ IDおよびパスワードと，予めデータベースに 登録されているユーザ IDおよびパスワードとを照合して，ユーザ認証処理を行う (S9 03)。

[0258] 上記照合した結果，ユーザ認証が成立すると，サービスサーバ 20は，ログインを許 可し，ユーザ認証が成立した旨の通知をユーザ機器 10のアプリケーションに送信す る（S905)。次いで，アプリケーションは，登録要求通知をサービスサーバ 20に送信 する（S907)。この登録要求通知により，サービスサーバ 20は，ユーザ機器 10が登 録要求のためにアクセスしてきたことを認知する。

[0259] 次に，サービスサーバ 20は，トランザクション ID (TID)を生成し（S909) ,上記生成 したトランザクション IDと，管理サーバ 21のアドレス情報の一例である URL (Unifor m Resource Locator)とを，ユーザ機器 10のアプリケーションに送信する（S911 ) oこれにより，ユーザ機器 10は，受信した URLに基づいて管理サーバ 21にァクセ スできるようになる。

[0260] 次のステップ S913〜S941では，ユーザ機器 10を管理サーバ 21に実際に登録す るための処理がなされる。

[0261] 具体的には，まず，ユーザ機器 10のアプリケーションは，サービスサーバ 20にサー ビスデータ（又は，サービス ID)を要求する（S913)。すると，サービスサーバ 20は， ユーザ機器 10にサービスデータ（又は，サービス ID)を返信する（S915)。

[0262] なお，上記サービスデータには，上記認証されたユーザに対応するリーフ IDと，上 述したサービス共通鍵とが含まれてもよ!/、。

[0263] 次に，ユーザ機器 10のアプリケーションは，著作権管理部に上記サービスデータを 送信する（S917)。

[0264] 著作権管理部は，サービスデータを受け取ると，ユーザ機器 10自身に対応するタ 一ミナル IDや，メディア ID,レコーダ ID等からなる IDリストをアプリケーションに送信 する（S919)。

[0265] なお，図 9等に図示された [ ]内のデータは， AES— CBC等の鍵で暗号化 Z復号 することによって，ユーザ機器 10に備わる著作権管理部及び管理サーバ 21のみが 読み取れるものとする。例えば，ステップ S919に示す [IDリスト]は，ユーザ機器 10 に備わる著作権管理部及び管理サーバ 21のみが当該 IDリストを読み取れるものと する。

[0266] 次に，ユーザ機器 10のアプリケーションのメッセージ生成部 261は，上記 IDリストと ,ターミナル IDと，上記 S911で受信した TIDと，上記サービスデータとを基にして登 録要求メッセージを生成し，管理サーバ 21に送信する（S921)。なお，登録要求メッ セージにはオンライン情報が含まれて 、る。上記ターミナル IDおよびレコーダ ID等 は，ユーザ機器 10によって生成される。

[0267] 次いで，管理サーバ 21は，受け取った登録要求メッセージに含まれる IDリスト等を 基にユーザ機器 10の登録可否を判断する（S923)。なお，登録可否判断 (S923) は，上記同期.セッション ID方式のグループ登録方法におけるものと実質的に同一 であるため詳細な説明は省略する。

[0268] 登録可否判断の結果，登録を許可する場合には，管理サーバ 21は，上記登録要 求元のユーザ機器 10の登録処理を行うためサービスサーバ 20に IDリストと TIDを送 信する（S925)。

[0269] サービスサーバ 20は，上記登録要求元のユーザ機器 10から受信したターミナル I Dや，デバイス ID,メディア ID,またはレコーダ ID等の IDを，グループ登録データべ ース（図示せず。 )の上記認証されたユーザのレコードに書き込んで登録する（S927 ) oさらに，サービスサーバ 20は，管理サーバ 21に登録されたユーザ機器 10につい ての登録完了通知と登録した GIDリストを送信する（S929)。

[0270] なお，デバイス IDやメディア IDなど登録する対象のグループ IDが存在しない場合 ,サービスサーノ 20は，例えば，新規にグループ IDを生成し，そのグループ IDにつ V、て登録するデバイス IDやメディア ID等の IDをひも付けてグループに登録する（S9 27)が，かかる例に限定されない。

[0271] 管理サーバ 21は，サービスサーバ 20から受け取った GIDリスト等を基にして，登録 回答メッセージを生成し，その登録回答メッセージにタイムスタンプを設定してユーザ 機器 10に送信する（S931)。上記タイムスタンプは，管理サーバ 21又はユーザ機器 10により生成されるが，上記管理サーバ 21及びユーザ機器 10により生成するタイム スタンプはともに同期しているものとする。

[0272] なお，上記登録回答メッセージに含まれるシグネチヤは，例えば，ターミナル ID, G IDリスト，およびタイムスタンプなどのデータの MAC値であるが，かかる例に限定さ れな 、。上記シグネチヤにより登録回答メッセージの完全性を検証することができる。

[0273] ユーザ機器 10のアプリケーションは，上記登録回答メッセージを受け取ると，そのま ま著作権管理部のグループ登録部 231に転送する（S933)。 [0274] グループ登録部 231は，受け取った登録回答メッセージ内のターミナル IDと登録 要求メッセージ送信時のターミナル IDとが一致することを検証する（S935)。ターミナ ル IDが不一致であれば，登録要求元のユーザ機器 10が異なるため，グループ登録 することができな 、可能性がある。

[0275] 次に，グループ登録部 231は，ユーザ機器 10がー回送信した登録要求メッセージ に対する登録回答メッセージ (リプライ）の受信が一回であることを検証する（S937)。 例えば，グループ登録部 231は，登録回答メッセージ内のタイムスタンプと，登録回 答メッセージ受信時にカウンタ部 263から受け取るタイムスタンプとを比較し，当該力 ゥンタ部 263のタイムスタンプの方が最近 (又は，新しい）であることを検証する。なお ループ登録部 231は，登録回答メッセージのカウンタ情報よりも自己のカウンタ情報 の方が小さ ヽことを検証するが，かかる例に限定されな ヽ。

[0276] また，グループ登録部 231は，例えば，メッセージ送受信の有無を確認できるように 送信フラグと受信フラグを，さらに参照することで一回性を検証してもよいが，かかる 例に限定されない。

[0277] なお，グループ登録部 231は，上記メッセージ一回性検証とともに，登録回答メッセ ージに含むシグネチヤを基に改ざんされて 、な 、か完全性にっ 、ても検証する（S9 37)。

[0278] 次いで，ユーザ機器 10のリスト管理部 241は，力かるグループ登録部 231による検 証が終了すると，ユーザ機器 10は管理サーバ 21から受け取った GIDリスト内のダル ープ IDを自身のソース IDリスト L内に追カ卩して格納することで GIDリストを有効化する (S939)。これにより，ユーザ機器 10は，当該グループ IDが付加された配信コンテン ッを再生可能となる。

[0279] なお，リスト管理部 241は，管理サーバ 21からリーフ IDを受け取って，そのリーフ ID を基にしてグループ IDを生成しても良い。

[0280] 次に，グループ登録部 231は，カウンタ部 263から受け取ったタイムスタンプを破棄 する。さらに，カウンタ部 263は，登録回答メッセージ受信時に生成したタイムスタン プを記憶領域に格納することで，既に記憶されたタイムスタンプを更新する（S941)。 ンタ等のカウンタ情報である場合，グループ登録部 231によるカウンタ情報の破棄の 後，カウンタ部 263は，既に記憶領域に記憶されたカウンタ情報を次のカウンタ情報 (例えば，登録回答メッセージに設定されたカウンタ情報）に更新する。

[0282] 具体的には，例えば，インクリメンタルカウンタであってカウンタ部 263及び管理サ ーバ 21のカウンタ情報の初期値力^である場合，管理サーバ 21が登録要求メッセ一 ジを受信すると，管理サーバ 21は， 自己のカウンタ情報を" 0"→"1"に更新し，カウ ンタ情報力 ' 1"である登録回答メッセージを送信する。

[0283] 次に，グループ登録部 231は，登録回答メッセージに設定されたカウンタ情報の値 力 であって，カウンタ部 263から受けたカウンタ情報が" 0"であるため，適切な登 録回答メッセージであると判断すると，既に記憶領域に記憶された自己のカウンタ情 報" 0"を破棄し，登録回答メッセージのカウンタ情報" 1"に更新する。以上で，本実 施の形態に力かる同期'カウンタ情報方式におけるグループ登録方法の一連の処理 が終了する。

[0284] なお，図 9に示すグループ登録方法では，図 6,図 7に示す PDlObがグループ登 録する場合を例に挙げて説明したが，力かる例に限定されず， PDlOb以外の他のュ 一ザ機器 10の場合であっても同様に実施可能である。

[0285] なお，このようなユーザ機器 10の登録処理の後，以下のような，証明書発行および 配布処理を行ってもよい。即ち，まず，ユーザ機器 10は， 自身に対応するグループ I Dとレコーダ IDを含むグループ証明書 Gを発行し，このグループ証明書 Gを証明書 管理サーバ（図示せず。）に送信する。すると，証明書管理サーバは，受信したダル ープ証明書 Gを証明書データベースに格納する。これによつて，他のユーザ機器 10 が同一の機器グループに登録された際に，当該グループ証明書 Gを配布して，レコ ーダ IDを共有できるようになる。

[0286] なお，図 9に示す同期'カウンタ情報方式のグループ登録方法では，カウンタ情報 がタイムスタンプである場合を例に挙げて説明したが，力かる例に限定されず，例え ば，カウンタ情報が増加 (又は減少)保証のカウンタ等の場合でも実施可能である。 その場合，ユーザ機器 10と管理サーバ 21は，上記カウンタを記憶するカウンタ記憶 領域を割当て，登録要求メッセージ又は登録回答メッセージを送信又は受信したこと によって自己のカウンタをお互い更新する必要がある。

[0287] 以上，本実施の形態に力かる同期 'セッション IDZカウンタ情報方式の登録セッシ ヨン内では，登録要求メッセージと登録回答メッセージのメッセージの送受信に限ら れるため，ネットワークを介した送受信の処理負荷が軽減される。さらに，セッション I D方式の場合，登録セッションを識別するセッション ID (SID)はサーバ側ではなくュ 一ザ機器 10側で生成され，カウンタ情報方式の場合，登録要求メッセージ送信時に ユーザ機器 10側でカウンタ情報を付加する必要がない。また，登録回答メッセージ にはユーザ機器 10自身が追加する（登録する）グループ IDやメディア ID等が含まれ ているため，グループ IDを生成する処理を省略でき，ユーザ機器 10のグループ登録 処理の負荷が軽減される。つまり，力かるグループ登録方法を適用すれば，ユーザ 機器 10の処理能力がさほど高くなヽユーザ機器 10 (携帯電話機 10hなど)でもダル ープ登録を行うことができる。

[0288] (グループ登録方法：非同期'セッション ID方式）

次に，図 10に基づいて，以上のようなグループ登録システム 100を利用したグルー プ登録方法の一連の処理について説明する。図 10は，本実施形態に力かる非同期 •セッション ID方式のグループ登録方法の概略を示すシーケンス図である。

[0289] なお，図 10に示す著作権管理部は，上記説明したグループ登録部 231,リスト管 理部 241, ID生成部 265等を含んだものに相当し，図 10に示すアプリケーションは， 上記説明したメッセージ生成部 261,登録要求検知部 267等を含んだものに相当す る。

[0290] まず，図 10に示すように，ユーザ機器 10—1はサービスサーバ 20又は管理サーバ 21とオンライン（同期）に接続しているが，ユーザ機器 10— 2はオフライン (非同期） である。このように図 10に示すグループ登録では，非同期のユーザ機器 10— 2をグ ループ登録することを目的とする。

[0291] 図 10に示すステップ S1001〜S1011では，登録要求元のユーザ機器 10— 1に備 わるアプリケーションとサービスサーバ 20との間でネットワーク 30を介した通信接続を 安全に確立し，ユーザ認証を行う。なお，上記ステップ S1001〜S1011は，上記説 明した図 8に示すステップ S801〜S811と実質的に同一であるため詳細な説明は省 略する。

[0292] 次のステップ S1013〜S1043では，ユーザ機器 10— 2を管理サーバ 21に実際に 登録するための処理がなされる。

[0293] 具体的には，まず，ユーザ機器 10— 1のアプリケーションは，サービスサーバ 20に サービスデータ（又は，サービス ID)を要求する（S1013)。すると，サービスサーバ 2 0は，ユーザ機器 10にサービスデータ（又は，サービス ID)を返信する（S1015)。

[0294] なお，上記サービスデータには，上記認証されたユーザに対応するリーフ IDと，上 述したサービス共通鍵とが含まれてもよ!/、。

[0295] 次に，ユーザ機器 10— 1のアプリケーションは，著作権管理部の ID生成部 265に 上記サービスデータを送信する（S1017)。

[0296] ID生成部 265は，サービスデータを受け取ると，登録セッションを識別するセッショ ン ID (又は， SID)を生成する。生成された SIDは，ユーザ機器 10— 2自身に対応す るターミナル IDおよびレコーダ ID等力もなる IDリストとともに，アプリケーションに送信 される（S1019)。なお，上記ユーザ機器 10— 2自身に対応する IDリストは，例えば， ユーザ機器 10— 1の入力部 208により直接入力されるが，力かる例に限定されない

[0297] なお，図 10等に図示された [ ]内のデータは， AES— CBC等の鍵で暗号化 Z復 号すること〖こよって，ユーザ機器 10に備わる著作権管理部及び管理サーバ 21のみ が読み取れるものとする。例えば，ステップ S1019に示す [IDリスト， SID]は，ユーザ 機器 10— 1又はユーザ機器 10— 2に備わる著作権管理部及び管理サーバ 21のみ が当該 IDリストと SIDとを読み取れるものとする。

[0298] 次に，ユーザ機器 10— 1のアプリケーションのメッセージ生成部 261は，上記セッシ ヨン IDと， IDリストと，上記 S811で受信した TIDと，上記サービスデータとを基にして 登録要求メッセージを生成し，管理サーバ 21に送信する（S1021)。なお，登録要求 メッセージにはオフライン (非同期）情報が含まれている。また，図示しないが，登録 要求メッセージに少なくとも SIDから求められた MAC値が含まれても良!、。

[0299] 次いで，管理サーバ 21は，受け取った登録要求メッセージに含まれる IDリスト等を 基にユーザ機器 10— 2の登録可否を判断する（S 1023)。この登録可否判断 (S 102 3)は，上記説明した図 8に示す登録可否判断 (S823)と実質的に同一であるため詳 細な説明を省略する。

[0300] 登録可否判断の結果，登録を許可する場合には，管理サーバ 21は，上記ユーザ 機器 10— 2の登録処理を行うためサービスサーバ 20に IDリストと TIDを送信する（S 1025)。

[0301] サービスサーバ 20は，上記ユーザ機器 10— 1から受信したユーザ機器 10— 2のタ 一ミナル IDや，デバイス ID,メディア ID,またはレコーダ ID等の IDを，グループ登録 データベース（図示せず。 )の上記認証されたユーザのレコードに書き込んで登録す る（S1027)。さらに，サービスサーバ 20は，管理サーバ 21に登録完了通知と GIDリ ストとを送信する（S1029)。

[0302] なお，デバイス IDやメディア IDなど登録する対象のグループ IDが存在しない場合 ,サービスサーノ 20は，例えば，新規にグループ IDを生成し，そのグループ IDにつ V、て登録するデバイス IDやメディア ID等の IDをひも付けてグループに登録する（S1 027)力 かかる例に限定されない。

[0303] 管理サーバ 21は，登録要求メッセージ内にオフライン情報が含まれるのを確認す ると，サービスサーバ 20から受け取った GIDリストと，登録要求元のユーザ機器 10か ら受け取ったセッション ID等とを送信するとともに，サービスサーバ 20に対しパスフレ ーズ作成指示する（S1031)。

[0304] サービスサーバ 20は，ユーザ機器 10— 1から受け取ったセッション ID及びその M AC値と，さらに上記 GIDリストとターミナル IDとセッション ID等とを含み，さらにそれら のシグネチヤ（MAC値）を含む登録回答メッセージを生成する。さらにサービスサー ノ 20は，上記登録回答メッセージをエンコードしパスフレーズに変換する。

[0305] つまり，上記パスフレーズには，登録要求メッセージに含まれていた SIDと，その M AC値と，さらに登録回答メッセージ生成時に設定する SIDと，シグネチヤとが存在す る。ユーザ機器 10— 2側では，登録要求メッセージに含まれていた SIDの完全性を 検証し，登録回答メッセージ (SID含む）の完全性を検証し，双方の SIDがー致する ことを検証することでメッセージの一回性の検証が行われるが，かかる例に限定され ない。

[0306] なお，登録要求メッセージに含まれていた SIDの MAC値は，サービスサーバ 20側 で求められる場合を例に挙げて説明したが，力かる例に限定されず，例えば，ユーザ 機器 10— 1側で求めても良い。ユーザ機器 10— 1側で求めた方が，サービスサーバ 20のなりすましにより SIDが不正に生成される危険を防ぐことができる。

[0307] 次に，上記作成されたノ スフレーズは，例えば，リムーバブル記録媒体 40に記録さ れ，または，印刷媒体に文字又は記号などで印刷される。図 10に示すように，ユーザ 機器 10— 2の著作権管理部には，例えば，上記リムーバブル記録媒体 40を介して， または，印刷媒体に印字された文字又は記号をユーザ機器 10— 2の入力部 208を 操作することで，パスフレーズが入力する（S1033)。

[0308] ユーザ機器 10— 2のグループ登録部 231は，上記パスフレーズの入力があると（S 1033) ,そのパスフレーズをデコードし登録回答メッセージに変換する（S1035)。

[0309] グループ登録部 231は，デコードした登録回答メッセージに含むターミナル IDと自 己のターミナル IDとが一致することを検証する（S 1037)。

[0310] 次に，グループ登録部 231は，ユーザ機器 10がー回送信した登録要求メッセージ に対する登録回答メッセージ (リプライ）の受信が一回であることを検証する（S1039) 。例えば，グループ登録部 231は，上記説明したように登録回答メッセージに含む 2 つの SIDがー致することを検証する。

[0311] なお，グループ登録部 231は，上記メッセージ一回性検証の際に，登録回答メッセ ージに含む SIDに係る MAC値とシグネチヤとを基に，改ざんされて!/ヽな 、か完全性 につ 、ても検証する（S 1039)。

[0312] 上記メッセージの一回性検証 (S 1039)では， SIDの同一性に限定されず，例えば ,グループ登録部 231は，上記 SIDの同一性の検証後，さらにメッセージ送受信の 有無を確認できるように送信フラグと受信フラグを参照することで一回性を検証する 場合等でも，実施可能である。

[0313] 次いで，ユーザ機器 10— 2のリスト管理部 241は，力かるグループ登録部 231によ る検証が終了すると，上記デコード後の登録回答メッセージに含む GIDリストを有効 化する。ユーザ機器 10— 2はデコード後の登録回答メッセージに含む GIDリスト内の グループ IDを自身のソース IDリスト L内に追カ卩して格納することで有効化する（S 104 1)。これにより，ユーザ機器 10— 2は，当該グループ IDが付加された配信コンテンツ を再生可能となる。

[0314] なお，ユーザ機器 10— 2のリスト管理部 241は，パスフレーズをデコードすることで 得られる登録回答メッセージに含むリーフ IDを基にしてグループ IDを生成しても良 い。

[0315] また，上記 GIDリスト内の操作許可情報や有効期限情報等の情報もリスト管理部 2 41によりソース IDリスト L又はその他の記憶領域内に格納される。

[0316] 次に，グループ登録部 231は，セッション ID (SID)を破棄する（S 1043)。なお，ュ 一ザ機器 10— 1の ID生成部 265は，例えば，セッション ID生成後，登録要求メッセ ージが送信されると，セッション ID (SID)を破棄する。以上で，本実施の形態にかか る同期'セッション ID方式におけるグループ登録方法の一連の処理が終了する。

[0317] なお，図 10に示すグループ登録方法では，図 6,図 7に示す PDlObによって図 3 に示すオフラインのカーオーディオ機器 10g又はカーナビゲーシヨン（図示せず。 )を グループ登録する場合を例に挙げて説明したが，力かる例に限定されず， PDlOb, カーオーディオ機器 10g以外のユーザ機器 10の場合であっても同様に実施可能で ある。

[0318] (グループ登録方法:非同期'カウンタ情報方式）

次に，図 11に基づいて，グループ登録システム 100を利用したグループ登録方法 の一連の処理について説明する。図 11は，本実施形態に力かる非同期'カウンタ情 報方式のグループ登録方法の概略を示すシーケンス図である。

[0319] なお，図 11に示す著作権管理部は，上記説明したグループ登録部 231,リスト管 理部 241,カウンタ部 263,時刻部 264等を含んだものに相当し，図 11に示すアプリ ケーシヨンは，上記説明したメッセージ生成部 261,登録要求検知部 267等を含んだ ものに相当する。

[0320] まず，図 11に示すように，ユーザ機器 10—1はサービスサーバ 20又は管理サーバ 21とオンライン（同期）に接続しているが，ユーザ機器 10— 2はオフライン (非同期） である。このように図 11に示すグループ登録では，非同期のユーザ機器 10— 2をグ ループ登録することを目的とする。

[0321] 図 11に示すステップ S1101〜S1111では，登録要求元のユーザ機器 10— 1に備 わるアプリケーションとサービスサーバ 20との間でネットワーク 30を介した通信接続を 安全に確立し，ユーザ認証を行う。なお，上記ステップ S1101〜S1111は，上記説 明した図 8に示すステップ S801〜S811と実質的に同一であるため詳細な説明は省 略する。

[0322] 次のステップ S1113〜S1145では，ユーザ機器 10— 2を管理サーバ 21に実際に 登録するための処理がなされる。

[0323] 具体的には，まず，ユーザ機器 10— 1のアプリケーションは，サービスサーバ 20に サービスデータ（又は，サービス ID)を要求する（S1113)。すると，サービスサーバ 2 0は，ユーザ機器 10— 1にサービスデータ（又は，サービス ID)を返信する（S 1115)

[0324] なお，上記サービスデータには，上記認証されたユーザに対応するリーフ IDと，上 述したサービス共通鍵とが含まれてもよ!/、。

[0325] 次に，ユーザ機器 10— 1のアプリケーションは，著作権管理部に上記サービスデー タを送信する（S1117)。

[0326] 著作権管理部は，サービスデータを受け取ると，ユーザ機器 10自身に対応するタ 一ミナル IDや，メディア ID,レコーダ ID等からなる IDリストをアプリケーションに送信 する（S1119)。なお，上記ユーザ機器 10— 2自身に対応する IDリストは，例えば， ユーザ機器 10— 1の入力部 208により直接入力されるが，力かる例に限定されない

[0327] また，図 11に図示された [ ]内のデータは， AES— CBC等の鍵で暗号ィ匕 Z復号 することによって，ユーザ機器 10に備わる著作権管理部及び管理サーバ 21のみが 読み取れるものとする。例えば，ステップ S1119に示す [IDリスト]は，ユーザ機器 10 —1又はユーザ機器 10— 2に備わる著作権管理部及び管理サーバ 21のみが当該 I Dリストを読み取れるものとする。

[0328] 次に，ユーザ機器 10— 1のアプリケーションのメッセージ生成部 261は，上記入力 されたターミナル ID及び IDリストと，上記 S1111で受信した TIDと，上記サービスデ 一タとを基にして登録要求メッセージを生成し，管理サーバ 21に送信する（S1121) 。なお，登録要求メッセージにはオフライン (非同期）情報が含まれている。

[0329] 次いで，管理サーバ 21は，受け取った登録要求メッセージに含まれる IDリスト等を 基にユーザ機器 10— 2の登録可否を判断する（SI 123)。この登録可否判断 (SI 12 3)は，上記説明した図 8に示す登録可否判断 (S823)と実質的に同一であるため詳 細な説明を省略する。

[0330] 登録可否判断の結果，登録を許可する場合には，管理サーバ 21は，上記ユーザ 機器 10— 2の登録処理を行うためサービスサーバ 20に IDリストと TIDを送信する（S 1125)。

[0331] サービスサーバ 20は，上記ユーザ機器 10— 1から受信したユーザ機器 10— 2のタ 一ミナル IDや，デバイス ID,メディア ID,またはレコーダ ID等の IDを，グループ登録 データベース（図示せず。 )の上記認証されたユーザのレコードに書き込んで登録す る（S1127)。さらに，サービスサーバ 20は，管理サーバ 21に登録完了通知と GIDリ ストとを送信する（S 1129)。

[0332] なお，デバイス IDやメディア IDなど登録する対象のグループ IDが存在しない場合 ,サービスサーノ 20は，例えば，新規にグループ IDを生成し，そのグループ IDにつ V、て登録するデバイス IDやメディア ID等の IDをひも付けてグループに登録する（S1 127)が，かかる例に限定されない。

[0333] 管理サーバ 21は，登録要求メッセージ内にオフライン情報が含まれるのを確認す ると，サービスサーバ 20から受け取った GIDリストと， 自ら生成したタイムスタンプと， ターミナル ID等を送信するとともに，サービスサーバ 20に対しパスフレーズ作成指示 する（S1131)。

[0334] サービスサーノ 20は，上記 GIDリストと，ターミナル IDと，タイムスタンプとを含む登 録回答メッセージを生成する。さらにサービスサーバ 20は，上記登録回答メッセージ をエンコードしパスフレーズを作成する。

[0335] 上記タイムスタンプは，管理サーバ 21又はユーザ機器 10により生成されるが，上記 管理サーバ 21及びユーザ機器 10により生成するタイムスタンプはともに同期してい るちのとする。 [0336] 次に，上記作成されたノ スフレーズは，リムーバブル記録媒体 40に記録され，また は，印刷媒体に文字又は記号などで印刷される。図 11に示すように，ユーザ機器 10 2の著作権管理部には，例えば，上記リムーバブル記録媒体 40を介して，または， 印刷媒体に印字された文字又は記号をユーザ機器 10— 2の入力部 208を操作する ことで，パスフレーズが入力する（S 1133)。

[0337] ユーザ機器 10— 2のグループ登録部 231は，上記パスフレーズの入力があると（S 1133) ,そのパスフレーズをデコードし登録回答メッセージに変換する（S 1135)。

[0338] グループ登録部 231は，デコードした登録回答メッセージに含むターミナル IDと自 己のターミナル IDとが一致することを検証する（S 1137)。

[0339] 次に，グループ登録部 231は，ユーザ機器 10がー回送信した登録要求メッセージ に対する登録回答メッセージ (リプライ）の受信が一回であることを検証する（S 1139) 。例えば，グループ登録部 231は，登録回答メッセージ内のタイムスタンプと，登録回 答メッセージ受信時にカウンタ部 263から受け取るタイムスタンプとを比較し，当該力 ゥンタ部 263のタイムスタンプの方が最近 (又は，新しい）であることを検証する。なお ループ登録部 231は，登録回答メッセージのカウンタ情報よりも自己のカウンタ情報 の方が小さ ヽことを検証するが，かかる例に限定されな ヽ。

[0340] 上記メッセージの一回性検証 (S1139)では，カウンタ情報の検証に限定されず， 例えば，グループ登録部 231は，上記カウンタ情報の検証後，さらにメッセージ送受 信の有無を確認できるように送信フラグと受信フラグを参照することで一回性を検証 する場合等でも，実施可能である。

[0341] 次いで，ユーザ機器 10— 2のリスト管理部 241は，力かるグループ登録部 231によ る検証が終了すると，上記デコード後の登録回答メッセージに含む GIDリストを有効 化する。ユーザ機器 10— 2はデコード後の登録回答メッセージに含む GIDリスト内の グループ IDを自身のソース IDリスト L内に追カ卩して格納することで有効化する（S 114 1)。これにより，ユーザ機器 10— 2は，当該グループ IDが付加された配信コンテンツ を再生可能となる。

[0342] なお，ユーザ機器 10— 2のリスト管理部 241は，パスフレーズをデコードすることで 得られる登録回答メッセージに含むリーフ IDを基にしてグループ IDを生成しても良 い。

[0343] また，上記 GIDリスト内の操作許可情報や有効期限情報等の情報もリスト管理部 2 41によりソース IDリスト L又はその他の記憶領域内に格納される。

[0344] 次に，グループ登録部 231は，カウンタ部 263から受け取ったタイムスタンプを破棄 する。さらに，カウンタ部 263は，登録回答メッセージ受信時に生成したタイムスタン プを記憶領域に格納することで，既に記憶されたタイムスタンプを更新する（S1141)

のカウンタ情報である場合，グループ登録部 231によるカウンタ情報の破棄の後，力 ゥンタ部 263は，既に記憶領域に記憶されたカウンタ情報を次のカウンタ情報 (例え ば，登録回答メッセージに設定されたカウンタ情報）に更新する。

[0346] 具体的には，例えば，インクリメンタルカウンタであってユーザ機器 10— 1のカウン タ部 263— 2,及び管理サーバ 21のカウンタ情報の初期値が 0である場合，管理サ ーバ 21が登録要求メッセージを受信すると，管理サーバ 21は， 自己のカウンタ情報 を" 0"→"1"に更新し，カウンタ情報力 1"である登録回答メッセージを送信する。

[0347] 次に，グループ登録部 231— 2は，登録回答メッセージに設定されたカウンタ情報 の値力 ' 1"であって，カウンタ部 263— 2から受けたカウンタ情報が" 0"であるため， 適切な登録回答メッセージであると判断すると，既に記憶領域に記憶された自己の カウンタ情報" 0"を破棄し，登録回答メッセージのカウンタ情報" 1"に更新する。以上 で，本実施の形態に力かる非同期'カウンタ情報方式におけるグループ登録方法の 一連の処理が終了する。

[0348] なお，図 11に示すグループ登録方法では，図 6,図 7に示す PDlObによって図 3 に示すオフラインのカーオーディオ機器 10g又はカーナビゲーシヨン（図示せず。 )を グループ登録する場合を例に挙げて説明したが，力かる例に限定されず， PDlOb, カーオーディオ機器 10g以外のユーザ機器 10の場合であっても同様に実施可能で ある。

[0349] また，図 11に示すように，パスフレーズはサービスサーバ 20により生成される場合 を例に挙げて説明したが，力かる例に限定されない。例えば，パスフレーズは管理サ ーバ 21により生成される場合でも実施可能である。

[0350] 以上，本実施の形態に力かる非同期 ·セッション IDZカウンタ情報方式の登録セッ シヨン内では，登録要求メッセージとパスフレーズの送受信で済む。また，登録回答メ ッセージをパスフレーズにエンコードすれば，ユーザ機器 10がオフラインの場合でも , 当該ユーザ機器 10をグループ登録できる。さらにオフラインのユーザ機器 10は著 作権管理部を備えていればアプリケーションを備えていなくても，セキュアにグルー プ登録することができる。

[0351] また，本実施の形態に力かるグループ登録方法では，ユーザ機器 10が PDlObの 場合を例に挙げて説明したが，力かる例に限定されない。例えば，ユーザ機器 10が 携帯電話機 10h, PClOa等の場合，またユーザ機器 10以外にグループ登録するの 力 Sリムーバブル記録媒体 40等の場合でも実施可能である。

[0352] (グループ登録解除方法：同期 ·セッション ID方式）

次に，図 12に基づいて，本実施形態に力かるユーザ機器 10を，既に登録されてい る機器グループから登録解除する処理 (グループ登録解除処理）につ ヽて説明する 。図 12は，本実施形態にカゝかるユーザ機器 10のグループ登録解除処理を示すシー ケンス図である。

[0353] なお，図 12に示す著作権管理部は，上記説明したグループ登録部 231,リスト管 理部 241, ID生成部 265等を含んだものに相当し，図 12に示すアプリケーションは， 上記説明したメッセージ生成部 261,登録要求検知部 267等を含んだものに相当す る。

[0354] 図 12に示すように，まず，ステップ S1201〜S1211では，登録解除要求元のユー ザ機器 10のアプリケーションとサービスサーバ 20との間でネットワーク 30を介した通 信接続を安全に確立し，ユーザ認証を行う。

[0355] 具体的には，まず，ユーザ機器 10の登録要求検知部 267が，ユーザ入力に応じて ,登録解除要求を検知すると，データ通信部 220は，ユーザ IDおよびパスワードをサ 一ビスサーバ 20に送信する（S1201)。すると，サービスサーバ 20は，受信したユー ザ IDおよびパスワードと，予めデータベースに登録されているユーザ IDおよびパスヮ 一ドとを照合して，ユーザ認証処理を行う（S1203)。

[0356] 上記照合した結果，ユーザ認証が成立すると，サービスサーバ 20は，ログインを許 可し，ユーザ認証が成立した旨の通知をユーザ機器 10のアプリケーションに送信す る（S1205)。次いで，アプリケーションは，登録解除要求通知をサービスサーバ 20 に送信する（S 1207)。この登録解除要求通知により，サービスサーバ 20は，ユーザ 機器 10が登録解除要求のためにアクセスしてきたことを認知する。なお，登録解除 に必須なのは登録解除セッションであり，上記登録解除要求通知については省略す ることち可會である。

[0357] 次に，サービスサーバ 20は，トランザクション ID (TID)を生成し（S 1209) ,上記生 成したトランザクション IDと，管理サーバ 21のアドレス情報の一例である URLとを，ュ 一ザ機器 10のアプリケーションに送信する（S1211)。これにより，ユーザ機器 10は ,受信した URLに基づいて管理サーバ 21にアクセスできるようになる。

[0358] 次のステップ S1217〜S1241では，ユーザ機器 10を実際に登録解除するための 処理がなされる。

[0359] 具体的には，まず，ユーザ機器 10は，保有しているグループ IDに対応付くサービ スデータのうち無効化するデバイス ID又はメディア ID等のグループ IDに対応付くサ 一ビスデータを上記 TIDとともに管理サーバ 21に送信する（S1217)。なお，無効化 (登録解除)するデバイス ID等の IDは，例えばユーザにより選択されるものとするが， 力かる例に限定されない。

[0360] また，サービスデータの無効化は，ユーザ機器 10自身のソース IDリスト L内に含ま れるグループ ID及び Z又はレコーダ ID (メディア ID,デバイス ID等も含む）をユーザ 機器 10が削除することである。無効化することにより，ユーザ機器 10において，これ らのソース IDが付加されたコンテンツの再生が不能となる。

[0361] 次いで，管理サーバ 21は，上記サービスデータと TIDとを受信すると，登録解除セ ッシヨンを識別する SIDを生成する。そして，管理サーバ 21は，上記 SIDから MAC 値を求めシグネチヤとして，その SIDとシグネチヤとを含んだ登録解除開始メッセージ を生成し，ユーザ機器 10に送信する（S1219)。

[0362] なお，図 12等に図示された [ ]内のデータは， AES— CBC等の鍵で暗号化 Z復 号すること〖こよって，ユーザ機器 10に備わる著作権管理部及び管理サーバ 21のみ が読み取れるものとする。例えば，ステップ S1219に示す [SID]は，ユーザ機器 10 に備わる著作権管理部及び管理サーバ 21のみが当該 SIDを読み取れるものとする

[0363] 次に，ユーザ機器 10のアプリケーションは，受信した登録解除開始メッセージととも に，上記登録解除の対象となるサービスデータを，著作権管理部のグループ登録部 231に送信する（S1221)。

[0364] グループ登録部 231は，受け取った登録解除開始メッセージに含む SIDの MAC 値を求め，一緒に付随したシグネチヤの値と一致することを検証する。

[0365] 次に，グループ登録部 231は，上記サービスデータ (又は，サービス ID)と関連付く グループ IDにデバイス ID,レコーダ ID,又はメディア ID等が存在することを確認する と，リスト管理部 241は，上記グループ IDに係るデバイス ID,レコーダ ID,又はメディ ァ IDを削除することで，力かるデバイス ID,レコーダ ID,又はメディア IDを無効化す る（S1223)。

[0366] さらに，リスト管理部 241は，サービスデータと，削除した IDリストと，登録解除開始 メッセージに含まれていた SIDと，ユーザ機器 10のターミナル IDと，サービスデータ と力もシグネチヤを求めて，それらのデータとシグネチヤとをメッセージ生成部 261に 転送する（S1225)。

[0367] 次に，メッセージ生成部 261は，受け取ったデータを基にして管理サーバ 21に対し 登録解除要求メッセージを，ネットワーク 30を介して送信する（S1227)。なお，登録 解除要求メッセージにはオンライン情報が含まれている。

[0368] 次に，管理サーバ 21は，管理サーバ 21自らが一回送信した登録解除開始メッセ ージに対するユーザ機器 10からの登録解除要求メッセージ (リプライ)の受信が一回 であることを検証する（S 1231)。例えば，管理サーバ 21は，ユーザ機器 10から受け 取った登録解除要求メッセージの SIDと，登録要求メッセージ送信時に設定された S IDとが一致することを検証する。

[0369] なお，メッセージの一回性検証 (S1231)は，上記 SIDの一致に限定されず，例え ば，管理サーバ 21は， SIDの一致の検証後，さらにメッセージ送受信の有無を確認 できるように送信フラグと受信フラグを参照することで一回性を検証する場合等でも実 施可能である。

[0370] また，管理サーバ 21は，上記メッセージ一回性検証 (S1231)とともに，登録解除 要求メッセージに含むシグネチヤを基に登録解除要求メッセージが改ざんされてい な 、か完全性にっ 、ても検証する（S 1231)。

[0371] 次に，管理サーバ 21は， SIDを破棄し（S1233) , IDリストやサービスデータを送信 し，サービスサーバ 20に対し該当するグループ登録の解除を指示する（S1235)。

[0372] サービスサーバ 20は，管理サーバ 21から受け取った上記 IDリストに記載されたグ ループ IDのデバイス ID,レコーダ ID,又はメディア ID等が存在することを確認すると ,サービスサーバ 20は，上記デバイス ID,レコーダ ID,又はメディア IDを削除するこ とで，力かるデバイス ID, レコーダ ID,又はメディア IDを無効化する（SI 237)。

[0373] この際，上記登録解除要求元のユーザ機器 10のレコーダ IDは，サービスサーバ 2 0のグループ登録データベース（図示せず。）から削除せずに残存させる。これにより ,リツビングコンテンツ共有サービスを提供する際に，過度に多くのリツビング機能を 有するユーザ機器 10が登録され，当該多数のユーザ機器 10からのリツビングコンテ ンッが共有可能となってしまう不都合を防止できる。

[0374] サービスサーバ 20は，上記無効化処理（S1237)を終了すると，管理サーバ 21に 対し ACKを送信し（S1239) ,さらに管理サーバ 21は，ユーザ機器 10に対し ACK を送信する（S1241)。以上で，本実施の形態に力かる同期'セッション ID方式にお けるグループ登録解除方法の一連の処理が終了する。

[0375] (グループ登録解除方法：同期'カウンタ情報方式）

次に，図 13に基づいて，本実施形態に力かるユーザ機器 10を，既に登録されてい る機器グループから登録解除する処理 (グループ登録解除処理）につ ヽて説明する 。図 13は，本実施形態にカゝかるユーザ機器 10のグループ登録解除処理を示すシー ケンス図である。

[0376] なお，図 13に示す著作権管理部は，上記説明したグループ登録部 231,リスト管 理部 241,カウンタ部 263,時刻部 264等を含んだものに相当し，図 13に示すアプリ ケーシヨンは，上記説明したメッセージ生成部 261,登録要求検知部 267等を含んだ ものに相当する。

[0377] 図 13〖こ示すよう〖こ，まず，ステップ S1301〜S1311では，登録解除要求元のユー ザ機器 10のアプリケーションとサービスサーバ 20との間でネットワーク 30を介した通 信接続を安全に確立し，ユーザ認証を行う。

[0378] なお，上記ステップ S1301〜S1311は，上記説明した図 12に示すステップ S120

1〜S1211の処理と実質的に同一であるため，詳細な説明は省略する。

[0379] 次のステップ S1317〜S1341では，ユーザ機器 10を実際に登録解除するための 処理がなされる。

[0380] 具体的には，まず，ユーザ機器 10は，保有しているグループ IDに対応付くサービ スデータのうち無効化するデバイス ID又はメディア ID等のグループ IDに対応付くサ 一ビスデータを上記 TIDとともに管理サーバ 21に送信する（S1317)。なお，無効化 するデバイス ID等の IDは，例えばユーザにより選択されるものとするが，かかる例に 限定されない。

[0381] また，サービスデータの無効化は，ユーザ機器 10自身のソース IDリスト L内に含ま れるグループ ID及び Z又はレコーダ ID (メディア ID,デバイス ID等も含む）をユーザ 機器 10が削除することである。無効化することにより，ユーザ機器 10において，これ らのソース IDが付加されたコンテンツの再生が不能となる。

[0382] 次いで，管理サーバ 21は，上記サービスデータと TIDとを受信すると，タイムスタン プを生成する。そして，管理サーバ 21は，上記タイムスタンプ力もシグネチヤを求め て，そのタイムスタンプとシグネチヤとを含んだ登録解除開始メッセージを生成し，ュ 一ザ機器 10に送信する（S 1319)。

[0383] なお，上記タイムスタンプは，管理サーバ 21又はユーザ機器 10により生成されるが ,上記管理サーバ 21及びユーザ機器 10により生成するタイムスタンプはともに同期 しているちのとする。

[0384] また，図 13に図示された [ ]内のデータは， AES— CBC等の鍵で暗号ィ匕 Z復号 することによって，ユーザ機器 10に備わる著作権管理部及び管理サーバ 21のみが 読み取れるものとする。例えば，ステップ S1319に示す [SID]は，ユーザ機器 10に 備わる著作権管理部及び管理サーバ 21のみが当該 SIDを読み取れるものとする。 [0385] 次に，ユーザ機器 10のアプリケーションは，受信した登録解除開始メッセージととも に，上記グループ IDに対応付くサービスデータを，著作権管理部のグループ登録部 231に送信する（S1321)。

[0386] グループ登録部 231は，受け取った登録解除開始メッセージに含むタイムスタンプ の MAC値を求め，一緒に付随したシグネチヤの値と一致することを検証する。この 検証で完全性を確認することができる。

[0387] グループ登録部 231は，上記サービスデータ（又は，サービス ID)と関連付くダル ープ IDにデバイス ID,レコーダ ID,又はメディア ID等が存在することを確認すると， リスト管理部 241は，上記グループ IDに係るデバイス ID,レコーダ ID,又はメディア I Dを削除することで，力かるデバイス ID,レコーダ ID,又はメディア IDを無効化する（ S1323)。

[0388] なお，グループ登録部 231が無効化する（S1323)前に，グループ登録部 231は， 登録解除開始メッセージ内のタイムスタンプと，登録解除開始メッセージ受信時に力 ゥンタ部 263から受け取るタイムスタンプとを比較し，当該カウンタ部 263のタイムスタ ンプの方が最近 (又は，新 、）であることを検証してもよ!/、。

[0389] 次に，カウンタ部 263は，時刻部 264の時刻を参照することで，タイムスタンプを生 成し，登録解除開始メッセージに設定されたタイムスタンプを，新規に生成したタイム スタンプに更新する（S1324)。なお，カウンタ部 263は，さらに，既に記憶領域に記 憶されたタイムスタンプを当該新規に生成したタイムスタンプに更新してもよい。

[0390] 次に，リスト管理部 241は，サービスデータと，削除した IDリストと，上記更新したタ ィムスタンプと，ユーザ機器 10のターミナル IDと，サービスデータとからシグネチヤを 求めて，それらのデータとシグネチヤとをメッセージ生成部 261に転送する（S 1325)

[0391] 次に，メッセージ生成部 261は，受け取ったデータを基にして管理サーバ 21に対し 登録解除要求メッセージを，ネットワーク 30を介して送信する（S1327)。なお，登録 解除要求メッセージにはオンライン情報が含まれている。

[0392] 次に，管理サーバ 21は，管理サーバ 21自らが一回送信した登録解除開始メッセ ージに対するユーザ機器 10からの登録解除要求メッセージ (リプライ)の受信が一回 であることを検証する（S1331)。例えば，管理サーバ 21は，ユーザ機器 10から受け 取った登録解除要求メッセージのタイムスタンプと，管理サーバ 21が登録解除要求メ ッセージ受信時に生成するタイムスタンプとを比較し，管理サーバ 21が生成するタイ ムスタンプの方が最近 (又は，新しい)であることを検証する。なお，インクリメンタル力 ゥンタなどタイムスタンプ以外のカウンタ情報の場合，例えば，グループ登録部 231 は，登録回答メッセージのカウンタ情報よりも自己のカウンタ情報の方が小さいことを 検証するが，カゝかる例に限定されない。

[0393] なお，メッセージの一回性検証 (S1331)は，上記タイムスタンプの比較に限定され ず，例えば，管理サーバ 21は，タイムスタンプの比較後，さらにメッセージ送受信の 有無を確認できるような送信フラグと受信フラグを参照することで一回性を検証する 場合等でも実施可能である。なお，送信フラグと受信フラグは管理サーバ 21内に予 め備える必要がある。

[0394] また，管理サーバ 21は，上記メッセージ一回性検証 (S1331)とともに，登録解除 要求メッセージに含むシグネチヤを基に登録解除要求メッセージが改ざんされてい な 、か完全性にっ 、ても検証する（S 1331)。

[0395] 次に，管理サーバ 21は，ユーザ機器 10から受け取ったタイムスタンプを破棄する。

さらに，管理サーバ 21は，既に記憶しているタイムスタンプを，例えばユーザ機器 10 力も受け取ったタイムスタンプに更新する（S 1332)。

[0396] 次に，管理サーバ 21は，登録解除する IDリストやサービスデータをサービスサーバ 20に送信し，サービスサーバ 20に対しグループ登録の解除を指示する（S1335)。

[0397] サービスサーバ 20は，管理サーバ 21から受け取った上記 IDリストに記載されたグ ループ IDのデバイス ID,レコーダ ID,又はメディア ID等が存在することを確認すると ,サービスサーバ 20は，上記デバイス ID,レコーダ ID,又はメディア IDを削除するこ とで，力かるデバイス ID, レコーダ ID,又はメディア IDを無効化する（SI 337)。

[0398] この際，上記登録解除要求元のユーザ機器 10のレコーダ IDは，サービスサーバ 2 0のグループ登録データベース（図示せず。）から削除せずに残存させる。これにより ,リツビングコンテンツ共有サービスを提供する際に，過度に多くのリツビング機能を 有するユーザ機器 10が登録され，当該多数のユーザ機器 10からのリツビングコンテ ンッが共有可能となってしまう不都合を防止できる。

[0399] サービスサーバ 20は，上記無効化処理（S1337)を終了すると，管理サーバ 21に 対し ACKを送信し（S1339) ,さらに管理サーバ 21は，ユーザ機器 10に対し ACK を送信する（S1341)。以上で，本実施の形態に力かる同期'カウンタ情報方式にお けるグループ登録解除方法の一連の処理が終了する。

[0400] なお，本実施の形態に力かるグループ登録解除方法では，ユーザ機器 10が PD1 Obの場合を例に挙げて説明したが，力かる例に限定されない。例えば，ユーザ機器 10が携帯電話機 10h, PClOa等の場合，またユーザ機器 10以外にグループ登録 解除するのがリムーバブル記録媒体 40等の場合でも実施可能である。

[0401] 以上のように，ユーザ機器 10のグループ登録解除処理では，ユーザ機器 10側で， 先に登録解除処理した後に，サービスサーバ 20側で，登録解除処理を行う。このた め，サービスサーバ 20上では登録解除されているにもかかわらず，ユーザ機器 10上 では実際にはグループ登録が無効化されて 、な 、と 、う事態を防止できる。

[0402] なお，図 12,図 13に示すグループ登録解除方法では，ユーザ機器 10が PDlOb の場合を例に挙げて説明したが，本実施の形態は，力かる例に限定されず，オンライ ンであれば，例えば，ユーザ機器 10は，携帯電話機 10h, PClOaなど如何なる装置 の場合でも実施可能である。

[0403] 以上で，本実施の形態に力かるグループ登録システムについての説明を終了する 力 力かるシステムによって，以下に示すような優れた効果が存在する。

(1)グループ登録 Zグループ登録解除に必須の登録セッション Z登録解除セッショ ン内では処理が簡略ィ匕されているため，処理能力が高くないユーザ機器 10であって もネットワークを介してグループ登録 Zグループ登録解除することができる。

(2)グループ登録 Zグループ登録解除に必須の登録セッション Z登録解除セッショ ン内で行われる認証は，ユーザ機器 10側又は管理サーバ 21側の 、ずれか一方の 認証 (片方向認証)等で済むため，少なくともグループ登録 Zグループ登録解除に おけるユーザ機器 10及び管理サーバ 21の総合的な処理負荷が低減する。

(3)ユーザ機器 10がオフラインの場合であっても，他のユーザ機器 10によりサービス サーバ 20又は管理サーバ 21に対しアクセスしパスフレーズ等の情報が作成されると ,オフラインのユーザ機器 10はそのパスフレーズを入力しグループ登録することがで きる。

[0404] なお，上述した一連の処理は，専用のハードウェアにより行うこともできるし，ソフトゥ エアにより行うこともできる。一連の処理をソフトウェアによって行う場合には，そのソフ トウエアを構成するプログラムが，汎用のコンピュータやマイクロコンピュータ等の情報 処理装置にインストールされ，上記情報処理装置をユーザ機器 10,サービスサーバ 20,管理サーバ 21として機能させる。

[0405] プログラムは，コンピュータに内蔵されている記録媒体としてのハードディスクドライ ブ（HDD)や ROMに予め記録しておくことができる。

[0406] あるいはまた，プログラムは，ハードディスクドライブに限らず，フレキシブルディスク , CD— ROM (Compact Disc Read Only Memory) , MO (Magneto Opti cal)ディスク， DVD (Digital Versatile Disc) ,磁気ディスク，半導体メモリなどの リムーバブル記録媒体に，一時的ある 、は永続的に格納 (記録)しておくことができる

[0407] なお，プログラムは，上述したようなリムーバブル記録媒体力 コンピュータにインス トールする他，ダウンロードサイトから，ディジタル衛星放送用の人工衛星を介して， コンピュータに無線で転送したり， LAN (Local Area Network) ,インターネットと いったネットワークを介して，コンピュータに有線で転送し，コンピュータでは，そのよ うにして転送されてくるプログラムを，内蔵する HDDにインストールすることができる。

[0408] ここで，本明細書において，コンピュータに各種の処理を行わせるためのプログラム を記述する処理ステップは，必ずしもフローチャートとして記載された順序に沿って時 系列に処理する必要はなく，並列的あるいは個別に実行される処理 (例えば，並列 処理あるいはオブジェクトによる処理)も含むものである。

[0409] 以上，添付図面を参照しながら本発明の好適な実施形態について説明したが，本 発明は力かる例に限定されない。当業者であれば，特許請求の範囲に記載された技 術的思想の範疇内において各種の変更例または修正例を想定し得ることは明らかで あり，それらについても当然に本発明の技術的範囲に属するものと了解される。

[0410] 上記実施形態においては，ユーザ機器 10に備わるアプリケーションはグループ登 録 Zグループ登録解除専用のソフトウェアである場合を例にあげて説明したが，本発 明は力かる例に限定されない。例えば，アプリケーションは汎用的な Webブラウザ等 のソフトウェアである場合でも実施可能である。

[0411] また上記実施形態においては，グループ登録又はグループ登録解除する対象が ユーザ機器 10の場合を例にあげて説明したが，本発明は力かる例に限定されない。 例えば，グループ登録又はグループ登録解除する対象がリムーバブル記録媒体 40 等の場合であっても実施可能である。

[0412] 上記実施形態においては，一つのユーザ機器 10又はリムーバブル記録媒体 40等 をグループ登録する場合を例に挙げて説明したが，本発明は力かる例に限定されな い。例えば，複数のユーザ機器 10及び Z又はリムーバブル記録媒体 40を一括して 一度にグループ登録する等の場合でも実施可能である。

[0413] また，上記実施形態においては，グループ登録方法においてユーザ機器 10がォ フラインの場合，ユーザ機器 10はパスフレーズを入力する場合を例に挙げて説明し たが，本発明は力かる例に限定されない。例えば，ユーザ機器 10は，一次元バーコ ード又は二次元バーコードなど，文字，記号，又は図形のうち少なくとも一つを組み 合わせたものを入力する場合等でも実施可能である。

[0414] また，上記実施形態においては，グループ登録解除方法においてユーザ機器 10 側が先に無効化を実行しグループ登録解除した後，サービスサーバ 20にお ヽてグ ループ登録解除する場合を例に挙げて説明したが，本発明は力かる例に限定されな い。例えば，サービスサーバ 20においてグループ登録解除を先に実行した後，ユー ザ機器 10にお 、てグループ登録解除を実行してもよ!/、。

[0415] また，上記実施形態においては，オフラインのグループ登録方法において，サービ スサーバ 20又は管理サーバ 21からのパスフレーズを入力するのはオフラインのユー ザ機器 10— 2である場合を例に挙げて説明したが，本発明はかかる例に限定されず ,例えば，上記パスフレーズを入力するのはオンラインのユーザ機器 10—1である場 合でも実施可能である。なお，かかる場合，ユーザ機器 10— 2は管理サーバ 21等の サーバにアクセス可能なネットワーク 30には接続して ヽな 、が，ユーザ機器 10— 2は ユーザ機器 10— 1とローカルにネットワーク接続していて，ユーザ機器 10— 1からパ スフレーズがデコードされた登録回答メッセージがユーザ機器 10— 2に転送される， または，ユーザ機器 10— 1にてメッセージ一回性検証等の検証が行われた後， GID リスト等のデータがユーザ機器 10— 2に転送されて，ユーザ機器 10— 2側で GIDリス トを基にグループ登録させてもょ 、。

[0416] <第 2の実施形態 >

次に，本発明の第 2の実施形態にカゝかるライセンス取得装置，ライセンス取得方法 について説明する。

[0417] (グループ管理方式の著作権管理方式の概要）

本実施形態に力かる著作権管理システムにおける著作権管理方式の概要につい て説明する。まず，最初にバインディング形式の著作権管理方式の概要について説 明する。

[0418] 本実施形態に力かる著作権管理システムは，映像，音声等のディジタルコンテンツ を暗号処理した著作権管理コンテンツ（以下， 「コンテンツ」 t 、う）の利用条件および 利用状態を管理するシステムである。この著作権管理システムは，著作権管理者に よって利用条件が規定されているディジタルコンテンツを暗号処理し，この際のコン テンッ暗号処理鍵と，コンテンツの利用条件及び利用状態記述とを用いて，コンテン ッの利用を制御して，著作権管理を行う。このような著作権管理を行うために必要な 基本データは以下の 3つである。

(1)コンテンツ

(2)コンテンツ暗号処理鍵 (以下， 「コンテンツ鍵」という。 )

(3)コンテンツの利用や基本データの伝送に関する利用条件及び利用状態記述（以 下， 「ライセンス」という。 )

[0419] コンテンツは，上述のように，暗号処理されたディジタルコンテンツの集合（著作権 管理コンテンツ)である。このコンテンツは，ライセンスに記述された利用条件の範囲 内においてコンテンツ鍵によって復号処理され利用可能となる。コンテンツ鍵は，コン テンッの利用時に必要となる値であり，各著作権管理システムにおいて値の秘密を 守りつつ，ライセンスに関連付けて管理される。ライセンスは，コンテンツの利用や上 記 3つの基本データの伝送などを制限するための利用条件と，コンテンツの現在まで の利用状態 (ステータス）とが記述されており，著作権管理システム内で偽造'改ざん されないよう管理される。

[0420] また，このような 3つの基本データを利用する著作権管理システムでは，著作権管 理を好適に実行するため，以下の 3つの要件を満たさなければならな 、。

(要件 1)コンテンツ鍵の秘匿性保証 (コンテンツ鍵が暴露されないこと）

(要件 2)ライセンスの完全性保証 (ライセンスが改ざんされな ヽこと）

(要件 3) 3つの基本データの関連性の保証 (コンテンツとコンテンツ鍵とライセンスと を関連付けて，これらの関連付けが入れ替えられな 、こと）

[0421] このような要件を満たしつつ，ユーザ機器の種類やコンテンツの種類，利用制限の タイプなどに応じた様々な実装に対応可能な著作権管理システムを構築するために ,本実施形態にかかる著作権管理システムでは，著作権管理機能を複数の基本機 能の集まりとみなし，各ユーザ機器において著作権管理を実行する著作権管理部（ 又は，著作権管理用ソフトウェア)を，上記基本機能ごとに複数のモジュールに分割 する。そして，著作権管理システムでは，この複数の基本機能モジュール間で上記 3 つの基本データを授受して処理することで，コンテンツの著作管理を実行する。

[0422] このモジュール分割についてより詳細に説明すると，まず，著作権管理部の利用制 限機能を全てリストアップして，これらの利用制限機能を以下の 2つの機能に分類す る。

(a)ライセンスの永続保存に関する機能

(b)ライセンスの一時利用に関する機能

[0423] さらに，これら 2つの大きな分類の中で，コンテンツを利用するユーザの視点でのコ ンテンッの利用形態 (ユースケース)ごとに利用制限機能を分割して，著作権管理部 をこの各利用制限機能に対応するモジュール (ライセンス処理コンポーネント）に部 品化する。

[0424] これにより，上記（a) , (b)に属するライセンス処理コンポーネントを，それぞれ 1つ 以上組み合わせることで，各ユースケースのコンテンツ利用制限を実現できる。また, ライセンスには，各利用制限機能に関するパラメータを各ライセンス処理コンポーネ ントごとに区分して記述する。このように記述されたライセンスを，ネットワーク内の各 ユーザ機器に設けられた上記ライセンス処理コンポーネント間でポータブルにやりと りする。この結果，コンテンツの利用制限を行う場所をネットワークで接続された複数 のユーザ機器に分散することができる。

[0425] このように，本実施形態に力かる著作権管理システムは，著作権管理部 (又は，著 作権管理用ソフトウェア）を，コンテンツの利用形態に応じたライセンスの処理単位ご とに，複数のライセンス処理コンポーネント (基本機能モジュール）に部品化して分散 配置し，これらのライセンス処理コンポーネントを例えばネットワーク上で組み合わせ て利用することで，コンテンツのネットワーク内ポータビリティを実現しょうとするもので ある。

[0426] ここで，図 14に基づいて，上記ライセンス処理コンポーネントと，その糸且合せの具体 例について説明する。図 14は，本実施形態に力かる著作権管理システムにおける各 ライセンス処理コンポーネントと，その組合せの具体例を示す説明図である。

[0427] 図 14に示すように，著作権管理を実行する各ライセンス処理コンポーネント 11, 12 , 22, 23は，上記 (a)の機能を実行する保存コンポーネント 1と，上記 (b)の機能を実 行する利用コンポーネント 2に分類される。

[0428] 保存コンポーネント 1は，ライセンスの永続保存機能を有するライセンス処理コンポ 一ネントであり，記憶手段にライセンス 305及びコンテンツ鍵 302を安全に保存する。 この保存コンポーネント 1は，例えば，ハードディスクドライブ（又は， HDD)用の保存 コンポーネント 11と，半導体メモリ等のリムーバブル記憶媒体用の保存コンポーネン ト 12とを含む。 HDD用の保存コンポーネント 11は，ユーザ機器に内蔵されている H DD111に，ライセンス 305およびコンテンツ鍵 302を安全に保存する。また，リムー バブル記憶媒体用の保存コンポーネント 12は，ユーザ機器に装着されたリムーパブ ル記憶媒体 40にライセンス 305およびコンテンツ鍵 302を安全に保存する。このよう に，保存コンポーネント 1は，異なる記憶方式を有する複数の記憶手段ごとにそれぞ れ設けられる。

[0429] このような保存コンポーネント 1は， 自身に対応する記憶手段に保存されているライ センス 305およびコンテンツ鍵 302を読み出して，利用コンポーネント 2に伝送する。 また，保存コンポーネント 1は，利用コンポーネント 2から伝送されたライセンス 305お よびコンテンツ鍵 302を， 自身に対応する記憶手段に書き込んで保存する。

[0430] 一方，利用コンポーネント 2は，ライセンスの一時利用機能を有するライセンス処理 コンポーネントであり，上記保存コンポーネント 1から伝送されたライセンス 305を評価 して，コンテンツの利用や，或いはライセンス 305およびコンテンツ鍵 302の伝送を制 御する。この利用コンポーネント 1は，例えば，保存コンポーネント 1から伝送されたラ ィセンス 305を評価してコンテンツの再生を制御する再生コンポーネント 22や，保存 コンポーネント 1から伝送されたライセンス 305を評価して当該ライセンス 305の移動 を制御する移動コンポーネント 23などを含む。

[0431] このように利用コンポーネント 2は，コンテンツの利用時に，保存コンポーネント 1か ら受け取ったライセンス 305等を一時的に利用するのみであり，ライセンス 305等を 永続的に保有する（例えば，記憶手段に保存する）ことはできな 、。

[0432] 以上のように，著作権管理部の基本機能を複数の保存コンポーネント 1と複数の利 用コンポーネント 2とに分割することで，これらのコンポーネント間でライセンス 305等 を授受して，コンテンツの利用を制御できる。

[0433] 例えば，コンテンツを再生制御する場合には，図 14に示すように，保存コンポーネ ント 11は，再生対象コンテンツに対応するライセンス 305およびコンテンツ鍵 302を， HDD111から読み出して，再生コンポーネント 22に伝送する。再生コンポーネント 2 2は，伝送されたライセンス 305に記述されている再生条件を評価して，再生対象コ ンテンッの再生の可否を判断する。この結果，再生可能と判断した場合には，再生コ ンポーネント 22は，コンテンツ鍵 Lにより再生対象コンテンツを復号処理して，後述す る再生用アプリケーションに再生を実行させる。

[0434] また，ユーザ機器間でコンテンツを移動するため， 当該コンテンツに対応するライセ ンスを移動制御する場合には，図 14に示すように，保存コンポーネント 11は，移動対 象コンテンツに対応するライセンス 305およびコンテンツ鍵 302を， HDD111から読 み出して，移動コンポーネント 23に伝送する。移動コンポーネント 23は，伝送された ライセンス 305に記述されている移動条件を評価して，当該ライセンスおよびコンテン ッ鍵 302の移動の可否を判断する。この結果，移動可能と判断した場合には，移動 コンポーネント 23は，当該ライセンスおよびコンテンツ鍵 302を，保存コンポーネント 12に伝送する。保存コンポーネント 12は，伝送された当該ライセンスおよびコンテン ッ鍵 302を，リムーバブル記憶媒体 40に保存する。なお，特段の記載がない場合， 力かる保存処理をバインド (bind)と称する。このようにライセンス 305等が移動された 場合，例えば，後述する移動用アプリケーションによって，上記移動対象コンテンツ をも HDD11からリムーバブル記憶媒体 40に移動させる。この結果，リムーバブル記 憶媒体 40を装着した別のユーザ機器で，上記移動されたライセンス 305に基づいて 上記移動対象コンテンツを再生できるようになる。このように，ライセンス 305およびコ ンテンッ鍵 302の移動を制御することによって，結果的に，コンテンツの移動を制御 することができる。

[0435] 以上，本実施形態に力かる著作権管理システムにおける著作権管理方式の概要 について説明した。力かる著作権管理方式に準拠して，個々のユーザ機器やコンテ ンッの種類などに応じて著作権管理部を実装することで，ネットワーク接続されたュ 一ザ機器間等で，多様な種類のコンテンツをやりとりして，コンテンツのポータビリティ を向上できる。

[0436] (コンポーネント間でのライセンス伝送プロトコル）

上述したように，本実施形態に力かる著作権管理システムでは，著作権管理部 3の 機能を部品化した複数のライセンス処理コンポーネント間で，ライセンスおよびコンテ ンッ鍵等を授受することによって，コンテンツの利用を制御する。

[0437] このとき，ライセンスおよびコンテンツ鍵等が，適切なライセンス処理コンポーネント 間において，適切な手順で伝送されるように制御する必要がある。さもなければ，ライ センス処理コンポーネント間でライセンス等が不正に伝送されてしまい，コンテンツが 不正利用される危険性がある。例えば，ある保存コンポーネント 11から他の保存コン ポーネント 12に対し，複製コンポーネント 24を経ることなく，ライセンスおよびコンテン ッ鍵が直接伝送されてしまうと， 当該ライセンスの複製条件として複製回数の制限が あるにもかかわらず，複製済み回数がカウントされずにライセンス等が不正に複製さ れてしまうことになる。

[0438] そこで，本実施形態にカゝかる著作権管理部 3では，ライセンスおよびコンテンツ鍵の 不正な伝送を防止して，著作権管理機能を確実かつ正当に実行させるベく，ライセ ンス処理コンポーネント間におけるライセンス等の伝送プロトコルが規定されている。

[0439] この伝送プロトコルでは，上述したように，ライセンス処理コンポーネント間において ,ライセンスおよびコンテンツ鍵等のデータを含むメッセージがやり取りされる。この伝 送プロトコルは，コンポーネント間でやり取りされるメッセージ全体の物理フォーマット につ 、て規定するものではなく，メッセージの構成要素であるデータのフォーマットを 規定するものである。データフォーマットを定義することにより，相異なる実装のライセ ンス処理コンポーネント間においての相互運用性を確保する事が容易になる。例え ば，相異なる実装の著作権管理部 3を備えた複数のユーザ機器 10間においてライセ ンス等を授受したい場合に，各々の著作権管理部 3が取り扱うメッセージのデータフ ォーマットが共通であれば，ライセンス等のデータを変換せずに容易に授受すること ができる。

[0440] なお，メッセージの物理フォーマットについては実装依存としてもよい。これにより， 適用環境に適したライセンス伝送プロトコルの実装が可能になる。例えば，通信プロ トコル上に実装する場合の一例として，メッセージの構成データを行指向に送信する プロトコルを実装する方法が考えられる。また，クラス間のメソッド呼び出しとして実装 する際には，メッセージを構成するデータを引数に入力して実装する方法が考えられ る。

[0441] 以下に，このようなライセンス処理コンポーネント間のライセンスの伝送プロトコルに ついて詳細に説明する。

[0442] まず，図 15に基づいて，本実施形態に力かるライセンス処理コンポーネント間にお けるメッセージ伝送の概要について説明する。なお，図 15は，本実施形態にかかる ライセンス処理コンポーネント間におけるメッセージ伝送の概要を示す説明図である

[0443] 図 15に示すように，ライセンス等の伝送元 (送信側）のライセンス処理コンポーネン ト 31 (以下， 「伝送元コンポーネント 31」という。）から，ライセンス等の伝送先 (受信側 )のライセンス処理コンポーネント 32 (以下， 「伝送先コンポーネント 32」 t 、う。 )に， ライセンス 305と，当該ライセンスに対応するコンテンツ鍵 302とを伝送する場合につ いて説明する。なお，伝送元コンポーネント 31と伝送先コンポーネント 32は，保存コ ンポーネント（又は，格納部） 1または利用コンポーネント 2のいずれであってもよいが ,伝送元コンポーネント 31が保存コンポーネント 1である場合には，伝送先コンポ一 ネント 32は利用コンポーネント 2であり，一方，伝送元コンポーネント 31が利用コンポ 一ネント 2である場合には，伝送先コンポーネント 32は保存コンポーネント 1である。

[0444] 本実施形態に力かるライセンス伝送プロトコルでは，伝送元コンポーネント 31から 伝送先コンポーネント 32には，所定のデータフォーマットのメッセージ 400が伝送さ れる。このメッセージ 400は，伝送タイプ識別情報 310と，コンポーネント属性情報 32 0と，伝送対象のライセンス 305と， 当該伝送対象のライセンス 305に対応するコンテ ンッ鍵 302とを含む。力かるメッセージ 400を伝送することにより，上記伝送対象のラ ィセンス 305とコンテンツ鍵 302に対し，伝送タイプ識別情報 310と，コンポーネント 属性情報 320とを付加し，これら 4つのデータを関連付けて伝送できる。

[0445] 伝送タイプ識別情報 310は，伝送元コンポーネント 31と伝送先コンポーネント 32と の間におけるライセンス 305の伝送タイプ (転送 Z提示 Z更新 1Z更新 2Z更新 3)を 表す情報である。また，コンポーネント属性情報 320は，伝送元コンポーネント 31の 属性 (利用 Z保存)を表す情報である。以下に，これらの情報についてそれぞれ詳述 する。

[0446] (伝送タイプ識別情報）

図 16A乃至図 16Cは，本実施形態に力かるコンポーネント間におけるライセンスの 伝送タイプを示す説明図である。図 16A乃至図 16Cに示すように，ライセンス 305の 伝送タイプは，ライセンス 305の伝送目的と，伝送元コンポーネント 31と伝送先コンポ 一ネント 32との相互作用とに応じて，大まかには， 「転送 (Transfer)」， 「提示（Sho w) j , 「更新 (Update)」という 3タイプに分類できる。さらに， 「更新」は， 「更新 1 (更新 要求； Request Update) J , 「更新 2 (更新ライセンス転送； Transfer Updated Li cence)」「更新 3 (更新完了通知； Notify Updated Completion)」，という 3タイプ に分類される。この結果，ライセンス 305の伝送タイプは， 5タイプあることになる。以 下に，各伝送タイプについて説明する。

[0447] 図 16Aに示すように， 「転送」は，ライセンス 305の原本 305aの伝送である。伝送元 コンポーネント 31から伝送先コンポーネント 32にライセンス 305を「転送」する場合に は，伝送元コンポーネント 31は，保持しているライセンス 305を削除して，当該ライセ ンス 305の原本 305aを伝送先コンポーネント 32に伝送する。これによつて，伝送元 コンポーネント 31から伝送先コンポーネント 32にライセンス 305を移動できる。

[0448] また，図 16Bに示すように， 「提示」は，ライセンス 305の写本 (複製，コピー） 305b の伝送である。伝送元コンポーネント 31から伝送先コンポーネント 32にライセンス 30 5を「提示」する場合には，伝送元コンポーネント 31は，保持しているライセンス 305 を保持したままで削除することなく，当該ライセンス 305の写本 305bを伝送先コンポ 一ネント 32に伝送する。これによつて，伝送元コンポーネント 31が保持しているライセ ンス 305を伝送先コンポーネント 32に提示できる。

[0449] また，図 16Cに示すように， 「更新」は，伝送元コンポーネント 31が保持しているライ センス 305を更新するための伝送である。ライセンス 305を「更新」する場合には，ま ず，伝送元コンポーネント 31は，保持しているライセンス 305の写本 305bを伝送先 コンポーネント 32に提示して更新要求を行う（「更新 1」）。次いで。伝送先コンポーネ ント 32は，伝送されたライセンス 305を更新して，更新されたライセンス 305の原本 3 05aを伝送先コンポーネント 32に転送する（「更新 2」）。さらに，伝送先コンポーネント 32は，更新されたライセンス 305の写本 305bを伝送先コンポーネント 32に提示して ,更新完了通知を行う（「更新 3」）。これによつて，伝送元コンポーネント 31の保持し ていたライセンス 305が更新される。

[0450] このように，伝送元コンポーネント 31と伝送先コンポーネント 32との間のライセンス 3 05の伝送タイプは， 5タイプある。従って，本実施形態に力かるライセンスの伝送プロ トコルでは，これら 5つの伝送タイプに応じて， 5種類の伝送タイプ識別情報 320が設 定されている。

[0451] 図 17に，本実施形態に力かる伝送タイプ識別情報 320の一例である伝送タイプ ID と，メッセージとの関係を示す。図 17に示すように，上述した 5種類の伝送タイプ (転 送，提示，更新 1, 2, 3)に応じて， 5種類の伝送タイプ ID (0x01, 0x02, 0x03, Ox 04, 0x05, )がそれぞれ割り当てられている。この伝送タイプ IDは，上記伝送タイプ を識別するための IDであり，上記伝送タイプ識別情報の一例である。

[0452] 伝送元コンポーネント 31によって，このような伝送タイプ IDをメッセージ 400に含ま せることにより，当該メッセージ 400に含まれるライセンス 305の伝送タイプを指定して ,ライセンス 305を伝送できる。

[0453] メッセージ 400は，如何なる伝送タイプ IDを含むかに応じて， 5種類に分類される。

具体的には，伝送タイプ ID「0x01」を含むメッセージ 400は，ライセンスの原本を転 送するためのメッセージである。また，伝送タイプ ID「0x02」を含むメッセージ 400は ,ライセンスの写本を提示するためのメッセージである。また，伝送タイプ ID「0x03」 を含むメッセージ 400は，ライセンスの更新要求を行うためのメッセージである。また， 伝送タイプ ID「0x04」を含むメッセージ 400は，更新されたライセンスを転送するた めのメッセージである。また，伝送タイプ ID「0x05」を含むメッセージ 400は，ライセン スの更新完了を通知するためのメッセージである。

[0454] 以上，ライセンスの伝送タイプの相違に応じた伝送タイプ識別情報 310 (伝送タイプ ID)について説明した。伝送元コンポーネント 31によって，上記伝送タイプ識別情報 310をライセンス 305とともに伝送することにより，伝送先コンポーネント 32において， 当該ライセンス 305の伝送タイプを識別し，識別した伝送タイプに応じたライセンス 3 05等の処理を実行できる。

[0455] (コンポーネント属性情報）

詳細は後述するが，ライセンス処理コンポーネントは，その属性に応じて大きく 2種 類に分類される。 1つは，ライセンス 305を記憶手段に保存する保存コンポーネント 1 (保存コンポーネント 11等）であり，もう 1つは，ライセンス 305を利用する利用コンポ 一ネント 2 (再生コンポーネント 22等)である。この属性分けは， 同一属性を有するライ センス処理コンポーネント同士の接続を禁止するために用いられる。

[0456] コンポーネント属性情報 320は，伝送元コンポーネント 31の属性を表す情報であり ,具体的には，伝送元コンポーネント 31が，保存コンポーネント 1または利用コンポ一 ネント 2の 、ずれに属するかを表す情報である。各ライセンス処理コンポーネントは， 自身が属するコンポーネント属性情報 320を保有しており，メッセージの作成時に， 自身が保有するコンポーネント属性情報 320をメッセージに含ませる。

[0457] 図 18に，このコンポーネント属性情報 320の具体例であるコンポーネント属性 IDと ,メッセージとの関係を示す。図 18に示すように，保存コンポーネント 1には， 「0x01」 なるコンポーネント属性 IDが割り当てられ，利用コンポーネント 2には， 「0x02」なるコ ンポーネント属性 IDが割り当てられている。即ち，保存コンポーネント 1に属する保存 コンポーネント 11, 12,…は，同一のコンポーネント属性 ID「0x01」を保有し，利用 コンポーネント 2に属する再生，移動，複製，貸出，返却コンポーネント 22, 23, 24, 25, 26は， 同一のコンポーネント属性 ID「0x02」を保有する。

[0458] 従って，伝送元コンポーネント 31が保存コンポーネント 1に属する場合，この伝送元 コンポーネント 31から伝送されるメッセージ 400には，コンポーネント属性 ID「0x01」 が含まれる。一方，伝送元コンポーネント 31が利用コンポーネント 2に属する場合，こ の伝送元コンポーネント 31から伝送されるメッセージ 400には，コンポーネント属性 I D「0x02」が含まれることとなる。

[0459] このようなコンポーネント属性 ID等で構成されるコンポーネント属性情報 320を，メ ッセージ 400に含ませることにより，伝送先コンポーネント 32において，伝送元コンポ 一ネント 31の属性を識別し，伝送元コンポーネント 31と伝送先コンポーネント 32とが 異なる属'性であることをチェックすることができる。

[0460] (システム構成）

次に，図 19に基づいて，本実施形態に力かるバインディング (binding)管理方式 の著作権管理システムに適用したライセンス取得システム 200の全体構成について 説明する。なお，図 19は，本実施形態に力かるライセンス取得システム 200の全体 構成を概略的に示すブロック図である。

[0461] 図 19に示すように，本実施形態に力かるライセンス取得システム 200は，例えば， 複数のユーザ機器 10a, 10b,…（以下では「ユーザ機器 10」と総称する場合もある。 )と，サービスサーバ 20と，管理サーバ 21と，これら装置を相互に接続するネットヮー ク 30 (ホームネットワーク 30aおよびローカルライン 30bを含む。）と，これら装置間で コンテンツやライセンス等のデータを授受するためのリムーバブル記憶媒体 40と，か ら構成される。

[0462] ユーザ機器 10は，コンテンツを利用可能な各種の情報処理装置であり，本発明の ライセンス処理装置の一構成例である。図 19には，このユーザ機器 10の例として，ノ ート型若しくはデスクトップ型のパーソナルコンピュータ（Personal Computer;以 下「PC」という。） 10a,携帯型のコンテンツ再生装置であるポータブルデバイス（Port able Device ;以下「PD」という。） 10b,ホームサーバ 10c,テレビジョン装置 10d, CD, HD若しくは DVDレコーダ Zプレーヤ等の記録再生装置 10e,据え置き型の 音声プレーヤ 10f,カーオーディオ機器 10g,携帯電話 10hなどが例示されている。 しかし，力かる例に限定されず，ユーザ機器 10は，例えば，任意のコンピュータ装置 , PDA (Personal Digital Assistant)等の携帯端末，ディジタルビデオカメラ，家 庭用ゲーム機，情報家電など，各種の情報処理装置で構成することができる。

[0463] かかるユーザ機器 10は，例えば，コンテンツを利用するためのライセンスを管理サ ーバ 21,サービスサーバ 20から取得するライセンス取得機能を有する。なお，上記 ライセンスを取得する方法にっ ヽては後程詳述する。

[0464] また，上記ユーザ機器 10は，上記ライセンス取得機能に限定されず，例えば，ユー ザ機器 10は，コンテンツの利用機能 (例えばコンテンツの再生，保存，移動，結合， 分割，変換，複製，貸出，返却機能等)，ライセンスに基づくコンテンツの利用制御機 能，コンテンツの管理機能（例えば，コンテンツ IDに基づくコンテンツ，ライセンス，コ ンテンッ鍵等の検索または削除機能など），リツビング，セルフレコーディング等による コンテンツ作成機能などを有する。

[0465] このユーザ機器 10のうち，ネットワーク 30を介した通信機能を有する装置 (例えば， PClOa, PDlOb,ホームサーバ 10cなど）は，サービスサーバ 20等のサーバとの間 で通信接続可能である。このようなユーザ機器 10は，例えば，サービスサーバ 20か ら，コンテンツ配信サービス用のソフトウェアや，著作権管理用ソフトウェアをダウン口 ードして，インストール可能である。

[0466] また，ユーザ機器 10は，例えば，セルフレコーディング（自己録音，録画等)やリツ ビングなどによって，新規にコンテンツを作成して，ストレージ装置やリムーバブル記 憶媒体 40に記録することができる。なお，セルフレコーディングとは，ユーザ機器 10 自身が有する撮像装置 Z集音装置によって撮像 Z集音した音声等を，映像 Z音声 のディジタルデータとして記録することをいう。また，リツビングとは，音楽 CD,ビデオ DVD,ソフトウェア用 CD— ROM等の記憶媒体に記録されているディジタルコンテン ッ (音声データや映像データ等）を抽出し，コンピュータで処理可能なファイル形式に 変換して，ストレージ装置やリムーバブル記憶媒体 40に記録することを 、う。

[0467] 本実施の形態に力かるライセンス取得システム 200では，特にユーザ機器 10のな かでも比較的，処理能力が小さいユーザ機器 10,例えば PDlObや携帯電話 10h等 の場合であっても，ユーザ機器 10が管理サーバ 21やサービスサーバ 20とネットヮー ク接続 (オンライン)されて ヽれば，ユーザ機器 10又はリムーバブル記録媒体 40等は ,処理負荷の軽い通信プロトコルでセキュアにライセンスを取得できることを第 1の特 徴としている。

[0468] また，ライセンス取得システム 200では，仮にユーザ機器 10がネットワーク接続され て 、な 、 (オフライン)場合でも，他のユーザ機器 10が管理サーバ 21等に代わりにラ ィセンスを要求することによって，オフラインのユーザ機器 10及び/又はリムーパブ ル記録媒体 40にライセンスを取得させることができることを第 2の特徴としている。

[0469] 図 19に示すように，オンラインである PDlObがライセンス取得する場合，例えば， P DlOb自らが管理サーバ 21へアクセスすることによって，ライセンスを取得してもよく， 一方でオフラインであるカーオーディオ機器 10gは，例えば PClOaが代わりに管理 サーバ 21等へライセンスを要求し，印刷媒体 41もしくはリムーバブル記憶媒体 40等 を介して，当該カーオーディオ機器 10gにパスフレーズを入力することで，カーォー ディォ機器 10gはライセンスを取得することができる。なお，ライセンス取得の詳細は 後述する。

[0470] なお，上記アクセスは，例えば，システムの利用，サーバへの接続，ファイルの参照 ,ファイルの保存，ファイルの削除，またはファイルの変更など，情報処理を総称して いう。

[0471] 管理サーバ 21は，サービスサーバ 20によって管理された暗号化されたコンテンツ とともに，当該コンテンツの禾 IJ用条件が記述されたライセンスと，当該コンテンツを復 号するための暗号ィ匕されたコンテンツ鍵等のセキュア情報をユーザ機器 10に転送す る機能を有する。またサービスサーバ 20は，コンテンツ配信においてユーザの管理， またはライセンスの管理などを行う。

[0472] サービスサーバ 20,管理サーバ 21は，サーノ機能を備えたコンピュータ装置など で構成される。なお，上記サービスサーバ 20又は管理サーバ 21の少なくとも一方に は，例えば， WWWサーバ，グループ管理サーバ，コンテンツ配信サーノ，証明書 管理サーバ，課金サーバなどが含まれる。

[0473] 上記配信サーバは，例えば，コンテンツ配信サービスを提供するサーバであり，ュ 一ザ機器 10からの配信要求に応じて，当該ユーザ機器 10にネットワーク 30を介して コンテンツを酉 S信する。

[0474] 例えば，音楽コンテンツを配信する場合には，この配信サーバは，電子音楽配信（ EMD ; Electronic Music Distribution)サービスを提供する EMDサーバとして 構成される。この場合，配信サーバは，配信対象の音楽コンテンツを，例えば， ATR AC3 (Advanced Transform Acoustic Coding) (登録商標）方式，または MP 3 (MPEG Audio Layer— 3)方式などの圧縮符号化方式で圧縮符号化し， DES (Data Encryption Standard)などの暗号化方式で暗号化した上で，ユーザ機 器 10に配信する。

[0475] また，配信サーバは，ユーザ機器 10が例えばリツビング，セルフレコーディング等に より自ら作成したコンテンツの利用を管理する作成コンテンツ利用サービスを提供す るサーバとしても構成できる。

[0476] 上記の場合，配信サーバは，ユーザ機器 10に対し，上記作成されたコンテンツの 利用条件を記述したライセンスと，当該コンテンッの B音号化を解除するコンテンツ鍵と を配信する。これによつて，ユーザ機器 10は，配信サーバから取得したライセンスお よびコンテンツ鍵に基づき，上記リツビング等により自ら作成したコンテンツを禾 IJ用（再 生，複製等)できるようになる。

[0477] なお，図 19の例では，サービスサーバ 20又は管理サーバ 21によるネットワーク 30 を介した配信によって，ユーザ機器 10にコンテンツ，ライセンス，コンテンツ鍵等が提 供されるが，力かる例に限定されない。例えば， DVD, CD, MD,半導体メモリ等の リムーバブル記憶媒体 40を介して，ユーザ機器 10にコンテンツ，ライセンス，コンテ ンッ鍵等が提供されてもよ!、。

[0478] ネットワーク 30は，上記ユーザ機器 10とサービスサーバ 20Z管理サーバ 21とを通 信可能に接続する通信回線網である。このネットワーク 30は，例えば，インターネット ,インターネット VPN,電話回線網，衛星通信網等の公衆回線網や， WAN, LAN, IP— VPN等の専用回線網などで構成されており，有線'無線を問わない。

[0479] さらに，力かるネットワーク 30は，ホームネットワーク 30b等の私的ネットワークや，口 一カルライン 30bを含む。このうち，私的ネットワークは，著作権管理の観点力もみて ,私的使用の範囲内でコンテンツを共有する複数のユーザ機器 10を相互に接続す る ッ卜ワークである。

[0480] 例えば，図 19に示すユーザ自宅にあるホームネットワーク 30aには， PClOa,ホー ムサーバ 10c,テレビジョン装置 10d,記録再生装置 10e,据え置き型の音声プレー ャ 10fが相互に接続されている。このうち，ホームサーバ 10cは，例えば，ハブ機能， ルーター機能，ゲートウェイ機能などを有しており，ユーザ自宅内のユーザ機器 10と 外部との通信を管理して!/、る。

[0481] リムーバブル記憶媒体 40は，コンテンツ，ライセンス，コンテンツ鍵等の各種データ を格納することが可能な記憶手段であり，例えば， DVD-R, DVD-RW, DVD— RAM, CD-R, CD-RW,光磁気ディスク等の各種の光ディスクや，フレキシブル ディスク，ハードディスク等の磁気ディスク，各種の半導体メモリなどである。なお，こ のリムーバブル記憶媒体 40は，例えば，暗号鍵等を用いてコンテンツの利用を制限 する著作権管理機能付きの記憶媒体であってもよ ヽ。

[0482] まず，図 20に基づいて，本実施形態に力かる PClOaのハードウェア構成について 説明する。なお，図 20は，本実施形態に力かる PClOaのハードウェア構成例を概略 的に示すブロック図である。

[0483] 図 20に示すように， PClOaは，例えば，制御部（CPU (Central Processing U nit) ) 101と， ROM (Read Only Memory) 102と， RAM (Random Access M emory) 103と，ホストバス 104と，ブリッジ 105と，外部バス 106と，インタフェース 10 7と，入力部 108と，出力部 110と，ストレージ装置 (HDD) 111と，ドライブ 112と，接 続ポート 114と，通信部 115とを備える。なお，この図 20に示す PClOaは，上述した 図 4に示す PClOaと略同一の機能構成を有するので，その詳細説明は省略する。

[0484] 次に，図 21に基づいて，本実施形態に力かる PDlObのハードウェア構成について 説明する。なお，図 21は，本実施形態に力かる PDlObのハードウ ア構成例を概略 的に示すブロック図である。 [0485] 図 21に示すように， PDlObは，例えば，制御部（又は， CPU) 201と，フラッシュメ モリ 202と， RAM203と，ノ ス 206と，人力咅 208と，表示装置 210と， HDD211と， ドライブ 212と，デコーダ 213と，通信装置 215と，オーディオ出力回路 216と，リモー トコントローラ 218と，ヘッドフォン 219とを備える。なお，この図 21に示す PDlObは， 上述した図 6に示す PDlObと比べて，ドライブ 212を備えている点，及び，データ処 理部 204が設けられていない点を除いては，略同一の機能構成を有するので，その 詳細説明は省略する。

[0486] なお，図 21の HDD211は，本実施形態に力かる PDlObの記憶手段の一例として 構成されたデータ格納用の装置である。この HDD211は，例えば数十 GBの記憶容 量を有するハードディスクドライブ (HDD)で構成され，コンテンツ，ライセンス，コンテ ンッ鍵や，制御部 201が実行するプログラム，各種のデータを記憶する。かかる HD D211を備えた PD 10bは，コンテンッを記録および再生可能なコンテンッ記録再生 装置として構成される。これによつて， PClOaからリムーバブル記憶媒体 40を介して 提供されたコンテンツのみならず， PCa等カゝらローカルライン 30bを介して受信したコ ンテンッを， HDD211に格納して，再生することができるようになる。しかし，かかる例 に限定されず，例えば， PDlObは， HDD211を具備せず，コンテンツの再生専用装 置として構成されてもよい。この場合には， PDlObは，例えば，リムーバブル記憶媒 体 40に保存されているコンテンツを読み出して再生のみ実行可能 (記録は不可能） となる。

[0487] ドライブ 212は，記憶媒体用リーダ Zライタであり， PClObに内蔵される。このドライ ブ 212は， PDlObにローデイングされた上記各種のリムーバブル記憶媒体 40に対し て，コンテンツ，ライセンス，コンテンツ鍵などの各種データを，記録 Z再生する。

[0488] 以上のように，図 20および図 21では，ユーザ機器 10の一例である PClOaおよび P D10bのハードウェア構成例を説明した。しかし，コンテンツを利用するユーザ機器 1 0は，上記 PClOaおよび PDlObの例に限定されず，図 19に示したようにホームサー ノ 10c,テレビジョン装置 10d,記録再生装置 10e,据え置き型の音声プレーヤ 10f, カーオーディオ機器 10g,携帯電話 10h,その他の様々な電子機器，情報処理装置 によって構成することが可能である。従って，ユーザ機器 10は，それぞれの機器固 有のハードウェア構成を有することが可能であり，そのハードウェア構成に応じた処 理を実行する。

[0489] ただし，コンテンツを利用制御するためにライセンスを処理するライセンス処理装置 であるユーザ機器 ₁₀は，上述した著作権管理部 (著作権管理モジュール，又は，著 作権管理プログラム）を有する。具体的には，かかるユーザ機器 10は，例えば，著作 権管理用プログラムを保存する記憶手段と，この著作権管理用プログラムを実行する プロセッサとを有し，ライセンスを要求するメッセージを管理サーバ 21に対して送信し ,管理サーバ 21からの回答メッセージの適正等を検証し，ライセンスを取得する。

[0490] また，ユーザ機器 10は，ライセンスを取得する他に，例えば，ライセンスの利用条件 を評価して， 自デバイスにおけるコンテンツ利用可否を判定し，利用可能との判定を 得たことを条件としてコンテンツ利用を実行することも可能である。

[0491] なお，図 21に示すユーザ機器 10は， PDlObの場合を例に挙げて説明したが，処 理能力が小さくて，通信機能を備えたユーザ機器 10であれば，かかる例に限定され ず，例えば，携帯電話機 10hなど，如何なるユーザ機器 10の場合であっても実施可 能である。

[0492] 次に，図 22に基づいて，本実施形態に力かるユーザ機器 10等が備える著作権管 理部 (又は，著作権管理プログラム） 3の機能構成について説明する。なお，図 22は ,本実施形態にかかるユーザ機器 10等が備える著作権管理部 3の機能構成を示す ブロック図である。

[0493] 図 22に示すように，著作権管理部 3は，コンテンツを利用するためのアプリケーショ ン 4と接続されている。このアプリケーション 4は，ユーザインターフェース機能と，コン テンッを実際に利用する機能を有する。

[0494] 具体的には，アプリケーション 4は，ユーザインターフェース機能として，ユーザから のコンテンツ利用要求を受け付けたり，各種操作画面を表示装置に表示したりする。 また，アプリケーション 4は，コンテンツ利用機能としては，例えば，コンテンツの再生 を実行する，或いは，複数のユーザ機器 10間（例えば， PClOaと PDlOb間）または 同一のユーザ機器 10内の記憶手段間（例えば， HDD111とリムーバブル記憶媒体 40間）で，コンテンツを移動等する。力かるアプリケーション 4によるコンテンツの利用 は，著作権管理部 3によって制御される。

[0495] また，アプリケーション 4には，要求検知部 81と，要求メッセージ生成部 82とが備わ る。要求検知部 81は，入力部 108又は入力部 208からの入力信号によって，ライセ ンス取得の要求を検知する。かかる要求を検知すると，ライセンス取得要求メッセ一 ジの生成を指示するためコンポーネント管理部 5に依頼する。

[0496] 要求メッセージ生成部 82は，カウンタコンポーネント 84により生成されたカウンタ情 報（又は，タイムスタンプ)及び/又は ID生成コンポーネント 83により生成されたセッ シヨン IDを取得し，サーバに対してライセンスを要求するライセンス取得要求メッセ一 ジを生成する。

[0497] また，要求メッセージ生成部 82は，ユーザ機器 10に備わる通信部 115又は通信部 215からの応答を基にしてユーザ機器 10がネットワーク 30に接続したオンライン（同 期）の状態であるか，または，ユーザ機器 10がネットワーク 30に接続していないオフ ライン (非同期）の状態であるかを判断し，状態情報としてライセンス取得要求メッセ ージに付与することもできる。

[0498] なお，本実施の形態に力かるアプリケーション 4は，著作権管理システムを利用する ための専用プログラムの場合を例に挙げて説明するが，力かる例に限定されず，例 えば，アプリケーション 4は，汎用的な Webブラウザ等のアプリケーションの場合であ つても実施可能である。

[0499] 著作権管理部 3は，保存コンポーネント 1と，利用コンポーネント 2と， ID生成コンポ 一ネント 83と，カウンタコンポーネント 84と，検証コンポーネント 85と，時刻コンポーネ ント 86とを備える。なお，保存コンポーネント 1と利用コンポーネント 2はライセンス処 理コンポーネントに相当し詳細については後述する。

[0500] 各ライセンス処理コンポーネント間で，ライセンスに関する情報 (ライセンス自体，コ ンテンッ鍵など）を安全に授受するために，ライセンス処理コンポーネントでライセン スの利用条件を評価 Z確認する前処理として，または，独立した処理として，例えば ,管理サーバ 21からネットワークを介して，著作権管理部 5に備わる上記各コンポ一 ネントが完全性等の検証を行うことでユーザ機器 10はライセンスを適正に取得するこ とがでさる。 [0501] ID生成コンポーネント 83は，ライセンスを取得するために，対管理サーバ 21との間 で，ライセンスを要求するメッセージを送信し，その要求メッセージに対する回答メッ セージを受信する一連のやりとりである取得セッションを識別するセッション IDを生成 する。

[0502] カウンタコンポーネント 84は，カウンタ情報を生成する。例えば，カウンタコンポーネ ント 84は， "1, 2, 3,…"等のように 1ずつ増加する (インクリメンタル)カウンタ情報を 生成したり， "90, 89, 88,…"等のように 1ずつ減少する（デタリメンタル)カウンタ情 報を生成したりする。なお，生成されたカウンタ情報はユーザ機器 10に備わるキヤッ シュなどの記憶手段に，次のカウンタ情報に更新されるまで記憶される。

[0503] また，カウンタコンポーネント 84は，上記インクリメンタルカウンタ情報またはデクリメ ンタルカウンタ情報を生成する場合に限定されず，例えば，カウンタコンポーネント 8 4は，時刻コンポーネント 86が生成する時刻を参照し， "2005年 8月 22日 13時 50分 15秒"等のように， "YYYYMMDDhhmmss"形式でタイムスタンプをカウンタ情報 として生成することもできる。なお，生成されたタイムスタンプも，次のタイムスタンプに 更新されるまで記憶される。

[0504] 検証コンポーネント 85は，例えば，管理サーバ 21にライセンス要求した後の回答メ ッセージを検証する。また，検証コンポーネント 85は，ユーザ機器 10自体がオフライ ン（非同期）であって，外部力 パスフレーズを入力した場合にそのパスフレーズをデ コードする。詳細については後述する。

[0505] 時刻コンポーネント 86は，正確な時 (標準時）を刻むことができ，外部からの要求に 応じて，例えば， "YYYYMMDDhhmmss"形式で，時刻を出力することができる。 なお，時刻コンポーネント 86は， 自ら標準時を刻まなくても，ネットワーク 30を介して タイムサーバ等に NTPでアクセスし，標準時刻を取得する場合でもよ 、。

[0506] なお，上記保存コンポーネント 1と，利用コンポーネント 2と， ID生成コンポーネント 8 3と，カウンタコンポーネント 84と，検証コンポーネント 85などは，例えば，上記各機 能を有するハードウェアとして構成されてもよいし，或いは，上記各機能をコンビユー タに実現させるプログラムをユーザ機器 10にインストールすることによって構成されて ちょい。 [0507] 次に，コンポーネント管理部 5について説明する。コンポーネント管理部 5は，アプリ ケーシヨン 4からのコンテンツ利用要求に応じて，必要なライセンス処理コンポーネン ト，その他のコンポーネント（ID生成コンポーネント 83〜検証コンポーネント 85)を使 用して，コンテンツの利用制御を実行する機能を有する。

[0508] まず，コンポーネント管理部 5は，コンテンツ利用制御処理に使用するライセンス処 理コンポーネントを決定する。具体的には，コンポーネント管理部 5は，アプリケーショ ン 4からコンテンッ利用要求を受けると，要求を受けたコンテンッの利用制御を行う利 用コンポーネント 2と，コンテンツの利用制御に必要なライセンス及びコンテンツ鍵を 保存する保存コンポーネント 1と，その他のコンポーネント（ID生成コンポーネント 83 〜検証コンポーネント 85)を決定する。そして，これら決定されたコンポーネントに口 ード指示を送り，ロード (起動）させる。

[0509] 次いで，コンポーネント管理部 5は，ロードした保存コンポーネント又は要求メッセ一 ジ生成コンポーネントに，メッセージの作成を指示し，メッセージを取得する。この際， コンポーネント管理部 5は，コンテンツ利用内容に応じて，保存コンポーネント 1に格 納されて ヽるライセンス及びコンテンツ鍵を無効ィ匕（削除)するよう指示する場合があ る。例えば，コンテンツの移動の場合には，コンポーネント管理部 5は，保存コンポ一 ネント 1に対し，保存されているライセンスおよびコンテンツ鍵を削除してから，転送の ためのメッセージを送信するよう指示する。

[0510] さらに，コンポーネント管理部 5は，保存コンポーネント 1から取得したメッセージを， 利用コンポーネント 2に転送する，または，管理サーバ 21から取得したライセンス取 得回答メッセージを検証コンポーネント 85に転送する。

[0511] 検証コンポーネント 85は，ライセンス取得回答メッセージを検証した後，そのライセ ンス取得回答メッセージを利用コンポーネント 2に転送する。なお，かかる検証の詳細 については後程説明する。

[0512] 利用コンポーネント 2は，メッセージ（ライセンス取得回答メッセージ，含む）の正当 性を確認した後，ライセンスに記述された利用条件を評価して，コンテンツの利用の 可否を判断し，利用可能であれば，コンテンツの利用をアプリケーションに指示する。 なお，利用コンポーネント 2が移動コンポーネント 23等である場合には，コンテンツの 移動に応じて，対応するライセンスおよびコンテンツ鍵も移動させるため，他の保存コ ンポーネント 1にメッセージを送信する。

[0513] このように，コンポーネント管理部 5は，コンテンツの利用要求に応じて，必要な複 数のライセンス処理コンポーネントを機能させて，これらのライセンス処理コンポーネ ントの間で，ライセンス及びコンテンツ鍵をやり取りさせることで，要求されたコンテン ッ利用を制御する。

[0514] 次に，図 23に示すように，著作権管理部 3は，上述した複数のライセンス処理コン ポーネントと，これらライセンス処理コンポーネントを制御するコンポーネント管理部 5 とを備える。ライセンス処理コンポーネントは，ライセンスを動的に処理する処理単位 ( 各利用制限機能)などに応じて部品化されたモジュールである。このライセンス処理 コンポーネントは，コンテンツの利用（再生，移動等）を制御するためにライセンスおよ びコンテンツ鍵を処理 (評価，伝送等)する機能や，ライセンスおよびコンテンツ鍵を 記憶手段に安全に保存して管理する機能を有する。

[0515] この著作権管理部 3では，コンポーネント管理部 5による制御に基づき，各ライセン ス処理コンポーネント間で，ライセンスに関する情報 (ライセンス自体，コンテンツ鍵な ど）を安全に授受することにより，適切なライセンス処理コンポーネントに適切なデー タを伝送，処理して，コンテンツの利用を制御する。

[0516] 力かる各ライセンス処理コンポーネントは，上述したように，保存コンポーネント 1と， 利用コンポーネント 2に分類される。

[0517] まず，保存コンポーネント 1について詳述する。保存コンポーネント 1は，ライセンス およびコンテンツ鍵を記憶手段に安全に保管する機能を有する。具体的には，保存 コンポーネント 1は，コンテンツ鍵の秘匿性 (上記要件 1)およびライセンスの完全性（ 上記要件 2)を保証しつつ，これらコンテンツ鍵，ライセンスおよびコンテンツの関連 性 (上記要件 3)を保証するように， HDD 111やリムーバブル記憶媒体 40等の記憶 手段に，ライセンスおよびコンテンツ鍵を保存する処理を行う（この処理をバインド (bi nd)と称する。；)。また，保存コンポーネント 1は，このライセンスおよびコンテンツ鍵の バインド処理の他，記憶手段力 ライセンスおよびコンテンツ鍵を読み出す，或いは， 記憶手段に保存されているライセンスおよびコンテンツ鍵を書き換え，削除するなど の処理を行う。

[0518] この保存コンポーネント 1は，記憶手段に対する読み書きを実行する部分が実装環 境に依存するため，相異なる記憶方式を有する記憶手段ごとにそれぞれ設けられる 。このため，基本的には， 1種類の記憶手段に， 1種類の保存コンポーネント 1が対応 する。より具体的には，保存コンポーネント 1は，例えば，リムーバブル記憶媒体 40の 種類や仕様 (例えば，通常の半導体メモリ，著作権管理機能付き半導体メモリ， CD, DVDなど）に対応してそれぞれ設けられ，また，異なるタイプのユーザ機器 10が具 備する HDD (PC10aの HDD111, PDlObの HDD211など）に対応してそれぞれ 設けられる。

[0519] 図 23の例では， HDDで構成されたライセンス 'コンテンツ鍵記憶部 6aに，ライセン スおよびコンテンツ鍵を保存する HDD用の保存コンポーネント（Bindl) 11と，リムー バブル記憶媒体 40で構成されたライセンス 'コンテンツ鍵記憶部 6bに，ライセンスお よびコンテンツ鍵を保存するリムーバブル記憶媒体用の保存コンポーネント（Bind2) 12が示されている。

[0520] 力かる保存コンポーネント 1は，ライセンスまたはコンテンツ鍵が改ざんされたり，ライ センスまたはコンテンツ鍵が漏え!/ヽされたりしな!/ヽように，ライセンスおよびコンテンツ 鍵を記憶手段に安全に関連付けて保存 (即ち，バインド)する。

[0521] 次に，利用コンポーネント 2について詳述する。利用コンポーネント 2は，ライセンス 及びコンテンツ鍵，必要に応じてコンテンツを入力として，ライセンスに記述された各 種の利用条件 (後述する再生条件，移動条件等)を評価してコンテンツの利用を制 御する機能を有する。また，利用コンポーネント 2の種類によっては，コンテンツの利 用制御内容に応じて，ライセンスを更新して，更新されライセンスを出力するものもあ る。

[0522] また，この利用コンポーネント 2は，例えば， HDD,リムーバブル記憶媒体 40等で 構成されたコンテンツ記憶部 7と接続されており，必要に応じて，コンテンツ記憶部 7 力もコンテンツを読み出して処理できる。これに対し，利用コンポーネント 2は，ライセ ンス.コンテンツ鍵記憶部 6から，直接，ライセンス及びコンテンツ鍵を取得することは できず，必ず，保存コンポーネント 1を介さなければならない。換言すると，利用コンポ 一ネント 2は， 自ら，ライセンス及びコンテンツ鍵を記憶手段に読み書きおよび保存す る機能は有しておらず，保存コンポーネント 1によってライセンス 'コンテンツ鍵記憶部 6から読み出されて伝送されたライセンス及びコンテンツ鍵を処理し，さらに，必要に 応じて，ライセンスおよびコンテンツ鍵を保存コンポーネント 1に伝送して，記憶手段 に書き込ませる。

[0523] 力かる利用コンポーネント 2は，少なくともコンテンツの利用形態 (操作)の種類だけ 設けられる。ここで，コンテンツの利用形態の種類について説明する。コンテンツの利 用形態としては，例えば，コンテンツを音や映像として出力する「再生」，ユーザ機器 10間または記憶手段間でコンテンツを移動 (原本転送)する「移動」，ある記憶手段 に保存されて 、るコンテンツを複製 (写本転送)して他の記憶手段に保存する「複製」 ,ユーザ機器 10間または記憶手段間でコンテンツを貸し出す「貸出」，ユーザ機器 1 0間または記憶手段間で貸し出されたコンテンツを貸出元に返却する「返却」などが ある。

[0524] なお，上記「再生」の種類としては，例えば，等速度再生，等速度逆再生，早送り再 生，巻き戻し再生，早送り，巻き戻し，一時停止，シーク操作などが可能である。また ,上記「貸出」は， SDMI準拠の「チェックアウト（Check Out)」に相当し，上記「返 却」は， SDMI準拠の「チェックイン（Check In)」に相当する。

[0525] このようなコンテンツの各利用（各操作)を制御するために，本実施形態では，利用 コンポーネント 2の具体例として，例えば，再生コンポーネント（Play) 22と，移動コン ポーネント (Move) 23,複製コンポーネント（Copy) 24と，貸出コンポーネント（Rent ) 25と，返却コンポーネント（Return) 26とが設けられて!/、る。

[0526] 再生コンポーネント 22は，ライセンスに記述された再生条件を評価して，コンテンツ の再生を制御する。この再生コンポーネント 22は，ライセンスの更新を伴う再生制御 と，ライセンスの更新を伴わない再生制御とに応じて， 2種類設けられるが，詳細は後 述する。

[0527] また，移動コンポーネント 23は，コンテンツの移動を制御するために，このコンテン ッに対応するライセンスに記述された移動条件を評価して，ユーザ機器 10間または 記憶手段間での当該ライセンスおよびコンテンツ鍵の移動 (原本転送)を制御する。 例えば，この移動コンポーネント 23によって，移動元と移動先の記憶手段間におい てライセンス及びコンテンツ鍵の移動が許可されれば，この移動元と移動先の記憶手 段間において，当該ライセンスに対応するコンテンツの移動も許可される。

[0528] また，複製コンポーネント 24は，コンテンツの複製を制御するために，このコンテン ッに対応するライセンスに記述された複製条件を評価して，ユーザ機器 10間または 記憶手段間での当該ライセンスおよびコンテンツ鍵の複製 (写本転送)を制御する。 例えば，この複製コンポーネント 24によって，複製元と複製先の記憶手段間におい てライセンス及びコンテンツ鍵の複製が許可されれば，この複製元と複製先の記憶手 段間において，当該ライセンスに対応するコンテンツの複製も許可される。

[0529] また，貸出コンポーネント 25は，コンテンツの貸出を制御するために，このコンテン ッに対応するライセンスに記述された貸出条件を評価して，ユーザ機器 10間または 記憶手段間での当該ライセンスおよびコンテンツ鍵の貸出を制御する。例えば，この 貸出コンポーネント 25によって，貸出元と貸出先の記憶手段間においてライセンス及 びコンテンツ鍵の貸出が許可されれば，この貸出元と貸出先の記憶手段間において

,当該ライセンスに対応するコンテンツの貸出も許可される。

[0530] また，返却コンポーネント 26は，コンテンツの返却を制御するために，このコンテン ッに対応するライセンスに記述された返却条件を評価して，貸出元と貸出先のユー ザ機器 10間または貸出元と貸出先の記憶手段間での当該ライセンスおよびコンテン ッ鍵の返却を制御する。例えば，この返却コンポーネント 26によって，貸出元と貸出 先の記憶手段間においてライセンス及びコンテンツ鍵の返却が許可されれば，この 貸出元と貸出先の記憶手段間において，当該ライセンスに対応するコンテンツの返 却も許可される。

[0531] ユーザ機器 10は，力かる著作権管理部によってライセンスに記述されたコンテンツ の利用条件および利用状態を評価して，利用条件を満たす力否かを判断し，この結 果，利用条件を満たすと判断された場合にのみ，コンテンツの利用（再生，複製等） や，ライセンスの処理 (保存，複製，移動等)を許可して，実行することが可能である。 例えば，コンテンツの再生が許可された場合には，ユーザ機器 10は，暗号化された コンテンツ鍵を復号ィ匕する鍵を取得でき，この取得した鍵を用いて，暗号化されたコ ンテンッ鍵を復号し，さらに，この復号されたコンテンツ鍵を用いて，暗号化されたコ ンテンッを復号して，当該コンテンツを再生することができる。

[0532] また，ユーザ機器 10は，他のユーザ機器 10との間で，ネットワーク 30,ホームネット ワーク 30a,ローカルライン 30b,或いはリムーバブル記憶媒体 40を介して，コンテン ッゃライセンスをやり取り（移動，複製，貸出，返却等)することができる。ただし，ユー ザ機器 10間でコンテンツやライセンスをやり取りするためには，著作権管理部 3によ つて，ライセンスに記述された移動条件等を評価して，当該コンテンツおよびライセン スの移動等が許可される必要がある。

[0533] 以上，図 23を参照しながら， 5種類の利用コンポーネント 2について説明した。なお , 同一種類のコンテンツ利用制御を行う利用コンポーネント 2に関し，実装による環境 依存の部分に応じて，複数の利用コンポーネント 2を設けてもよい。例えば，デコーダ の種類毎に，複数の再生コンポーネント 22を設けてもょ 、。

[0534] 以上のような保存コンポーネント 1と利用コンポーネント 2からなるライセンス処理コ ンポーネントは，図 14でも説明したように，相互にライセンス及びコンテンツ鍵を授受 することにより，コンテンツの禾 IJ用を制御する。このようにライセンス及びコンテンツ鍵 を授受するために，ライセンス処理コンポーネント間では，特定のプロトコルに従った メッセージをやり取りする。このメッセージには，上記説明したように，

(1)ライセンス，

(2)コンテンツ鍵，

(3)ライセンスの伝送タイプ (即ち，メッセージの種類)を表す伝送タイプ識別情報，

(4)メッセージの伝送元のライセンス処理コンポーネントの属性を表すコンポーネント 属性情報，

が含まれる。このメッセージのうち， （3)伝送タイプ識別情報および (4)コンポーネント 属性情報は，適正なライセンス処理コンポーネントにライセンス及びコンテンツ鍵を適 正に伝送することを保証するためのデータである。

[0535] (データについて）

ここで，本実施の形態に力かるライセンス取得システム 200において用いられる主 なデータについて簡単に説明する。 '「セッション ID」は，例えば，対管理サーバ 21との間で，メッセージ送受信の一回性 保証する取得セッション等のセッションを識別する IDである。セッションが継続して!/ヽ る間は，そのセッション IDを第三者によって改ざんされないようにセキュアに保持し， セッション終了時に破棄する。

'「カウンタ情報」は，例えば，メッセージ送受信の一回性保証するインクリメントされる カウンタ，または，タイムスタンプ等の情報である。なお，上記カウンタ情報も第三者 によって改ざんされな 、ようにセキュアに保持する必要がある。

'「ターミナル ID」は，例えば，サービスサーバ 20又は管理サーバ 21に対してライセ ンスを要求する要求元のユーザ機器 10を識別する IDである。

·「メディア ID (又は，情報記録媒体 ID)」は，例えば，ハードディスクドライブ (HDD) や，リムーバブル記録媒体 40等を識別する IDであり，実際にライセンスを付与する 対象となる IDである。

'「レコーダ ID (又は，情報処理装置 ID)」は，例えば，録音装置を識別する IDであり ,実際にライセンスを付与する対象となる IDである。

'「デバイス ID (又は，情報処理装置 ID)」は，例えば，再生装置を識別する IDであり ,実際にライセンスを付与する対象となる IDである。

'「ライセンス情報」は，例えば，有効期限やコンテンツを利用可能な有効利用回数な どの情報を有するライセンス，伝送タイプ識別情報，コンポーネント属性情報，コンテ ンッ鍵などが含まれて 、る。

'「ライセンス MAC (又は，ライセンス情報の MAC)」は，例えば，上記（7)のライセン ス情報の MAC値を求めたものである。

小ングネチヤ」は，例えば，署名データである。

'「サービス ID」は，例えば，サービスを識別する IDである。また，サービス IDはダル ープ IDと関連付けられる。

'「オンライン（同期）情報」は，例えば，ユーザ機器 10がネットワークに接続した状態 を示す情報。

'「オフライン (非同期）情報」は，例えば，ユーザ機器 10がネットワークに接続してい ない状態を示す情報。 以上のようなデータが主に用いられるが，本実施の形態に力かるライセンス取得シス テム 200では，かかるデータのみに限定されず，他のデータが用いられても実施可 能である。

[0536] (ライセンス取得方法：同期 ·セッション ID方式）

次に，図 24に基づいて，以上のようなライセンス取得システム 200を利用したライセ ンス取得方法の一連の処理について説明する。図 24は，本実施形態に力かる同期 · セッション ID方式のライセンス取得方法の概略を示すシーケンス図である。

[0537] まず，図 24に示すように，ステップ S2401〜S2411では，取得要求元のユーザ機 器 10に備わるアプリケーション 4とサービスサーバ 20との間でネットワーク 30を介した 通信接続を安全に確立し，ユーザ認証を行う。

[0538] 具体的には，まず，登録要求元のユーザ機器 10に備わるアプリケーション 4の要求 検知部 81が，ユーザ入力に応じて，ライセンスの取得要求を検知すると，アプリケー シヨン 4は，ユーザ IDおよびパスワードをサービスサーバ 20に送信する（S2401)。 すると，サービスサーバ 20は，受信したユーザ IDおよびパスワードと，予めデータべ ースに登録されて ヽるユーザ IDおよびパスワードとを照合して，ユーザ認証処理を 行う（S 2403)。

[0539] 上記照合した結果，ユーザ認証が成立すると，サービスサーバ 20は，ログインを許 可し，ユーザ認証が成立した旨の通知をユーザ機器 10のアプリケーション 4に送信 する（S2405)。次いで，アプリケーション 4は，ライセンス取得要求通知をサービスサ ーバ 20に送信する（S2407)。このライセンス取得要求通知により，サービスサーバ 2 0は，ユーザ機器 10がライセンス取得のためにアクセスしてきたことを認知する。なお ,ライセンス取得処理において必須なのは取得セッションであり，上記ライセンス取得 要求通知については省略することも可能である。

[0540] 次に，サービスサーバ 20は，トランザクション ID (TID)を生成し（S2409) ,上記生 成したトランザクション IDと，管理サーバ 21のアドレス情報の一例である URL (Unifo rm Resource Locator)とを，ユーザ機器 10のアプリケーション 4に送信する（S2 411)。これにより，ユーザ機器 10は，受信した URLに基づいて管理サーバ 21にァ クセスできるようになる。 [0541] 次のステップ S2413〜S2441では，管理サーバ 21からユーザ機器 10及び/又は リムーバブル記録媒体 40に実際にライセンスを格納するための処理がなされる。

[0542] 具体的には，まず，ユーザ機器 10のアプリケーション 4は，サービスサーバ 20にサ 一ビスデータ（又は，サービス ID)を要求する（S2413)。すると，サービスサーバ 20 は，ユーザ機器 10にサービスデータ（又は，サービス ID)を返信する（S 2415)。

[0543] 次に，ユーザ機器 10のアプリケーション 4は，著作権管理部 3に対してライセンスを 要求するためのライセンス取得要求メッセージを生成するよう指示する（S2417)。

[0544] ID生成コンポーネント 83は，ライセンス取得要求メッセージの生成指示を受けると， 取得セッションを識別するセッション ID (又は， SID)を生成する。生成された SIDは， アプリケーション 4に送信される（S2419)。

[0545] なお，図 24に図示された [ ]内のデータは， AES— CBC等の鍵で暗号化 Z復号 すること〖こよって，ユーザ機器 10に備わる著作権管理部 3及び管理サーバ 21のみが 読み取れるものとする。例えば，ステップ S2419に示す [SID]は，ユーザ機器 10に 備わる著作権管理部 3及び管理サーバ 21のみが当該 SIDを読み取れるものとする。

[0546] 次に，アプリケーション 4の要求メッセージ生成部 82は，上記セッション IDと，上記 ステップ S2411で受信した TIDと，サービスデータと， 自己のターミナル IDと，ライセ ンス要求受付時 (S2401)に受け付けたライセンスを保存する保存先情報 (メディア I D,デバイス IDなど）とを基にしてライセンス取得要求メッセージを生成し，管理サー バ 21に送信する（S2421)。なお，ライセンス取得要求メッセージには状態情報であ るオンライン情報が含まれている。上記ターミナル ID等は，ユーザ機器 10によって生 成される。

[0547] 次いで，管理サーバ 21は，受け取ったライセンス取得要求メッセージに含まれる保 存先情報 (例えば，メディア ID)等を基にライセンス取得の可否を判断する（S2423) 。この取得可否判断 (S2423)は，例えば，保存先情報がリボークされている力否か を確認する。なお，力かる取得可否判断 (S2423)は，省略することも可能である。

[0548] 取得可否判断の結果，ライセンス取得を許可する場合には，管理サーバ 21は，上 記指定された保存先にライセンスを格納する処理を行わせるためサービスサーバ 20 に TIDを送信する（S2425)。 [0549] サービスサーバ 20は，ユーザ機器 10等の保存先に格納するライセンス情報 (ライ センス，コンテンツ鍵)を生成し，管理サーバ 21に対して，そのライセンス情報を送信 する（S2429)。

[0550] 管理サーバ 21は，ライセンス取得要求メッセージ内にオンライン情報が含まれるの を確認すると，サービスサーバ 20から受け取ったライセンス情報と，ユーザ機器 10か ら受け取ったセッション ID等を基にして，ライセンス取得回答メッセージを生成しユー ザ機器 10に送信する（S2431)。なお，詳細は後述するが，管理サーバ 21は，ライ センス取得要求メッセージ内にオフライン情報が含まれるのを確認した場合，ライセ ンス取得回答メッセージを作成せず，サービスサーバ ₂₀にパスフレーズ等の情報を 作成させる。

[0551] また，図 24に示すように，上記ライセンス取得回答メッセージに含まれるシグネチヤ は，例えば，ターミナル ID,ライセンス情報，メディア ID (又は，デバイス ID,レコーダ IDなど），およびセッション IDなどの MAC値であるが，力かる例に限定されない。上 記シグネチヤによりライセンス取得回答メッセージの完全性を検証することができる。

[0552] ユーザ機器 10のアプリケーション 4は，上記ライセンス取得回答メッセージを受け取 ると，そのまま著作権管理部 3に転送する（S2433)。なお，アプリケーション 4はライ センス取得回答メッセージに含まれる，例えば" SID"などの情報を読み取ることがで きない。

[0553] 検証コンポーネント 85は，アプリケーション 4力も受け取ったライセンス取得回答メッ セージのターミナル IDとライセンス取得要求メッセージ送信時（又は， 自己）のターミ ナル IDとが一致することを検証する（S2435)。

[0554] 次に，検証コンポーネント 85は，ユーザ機器 10がー回送信したライセンス取得要 求メッセージに対するライセンス取得回答メッセージ（リプライ)の受信が一回であるこ とを検証する（S2437)。例えば，検証コンポーネント 85は，ライセンス取得回答メッ セージ内の SIDと，ライセンス取得要求メッセージ送信時に ID生成コンポーネント 83 が生成した SIDとが一致することを検証する。かかる検証は，ライセンス取得に必須 のライセンス取得セッション内で行われる認証として，ユーザ機器 10側又は管理サー バ 21側のいずれか一方の認証 (片方向認証)等で済むため，少なくともライセンス取 得におけるユーザ機器 10及び管理サーバ 21の総合的な処理負荷が低減する。

[0555] なお，メッセージの一回性検証 (S2437)は， SIDの一致に限定されず，例えば，検 証コンポーネント 85は， SIDの一致の検証後，さらにメッセージ送受信の有無を確認 できるように送信フラグと受信フラグを参照することで一回性を検証する場合等でも実 施可能である。なお，かかる場合，上記送信フラグと受信フラグとは所定の記憶領域 に割当てられる。

[0556] また，検証コンポーネント 85は，上記メッセージ一回性検証 (S2437)とともに，ライ センス取得回答メッセージに含むシグネチヤを基にライセンス取得回答メッセージが 改ざんされて ヽな 、か完全性にっ 、ても検証する（S2437)。

[0557] 次いで，ユーザ機器 10の検証コンポーネント 85は，検証が終了すると，コンポーネ ント管理部 5は，利用コンポーネント 2に当該ライセンス取得回答メッセージを転送す る。利用コンポーネント 2 (移動コンポーネント 23など）は，上記ライセンス取得回答メ ッセージに含まれるコンポーネント属性情報及び伝送タイプ識別情報を基にしてライ センス禾 IJ用条件等を評価すると，保存コンポーネント 1によりライセンス，コンテンツ鍵 等を含んだライセンス情報が保存先 (メディア ID,デバイス ID等)の記憶領域に格納 される（S2439)。これにより，ユーザ機器 10は， 当該ライセンス情報に対応する配信 コンテンツを再生可會 となる。

[0558] なお，ライセンスに対応付けられたコンテンツは，ライセンス取得回答メッセージと一 緒に，または，別途にサービスサーバ 20から保存先のユーザ機器 10又はリムーパブ ル記録媒体 40に転送される。

[0559] 次に，著作権管理部 3に備わる ID生成コンポーネント 83は，上記ステップ S2419 で生成したセッション ID (SID)を破棄する（S2441)。以上で，本実施の形態にかか る同期'セッション ID方式におけるライセンス取得方法の一連の処理が終了する。

[0560] なお，図 24に示す本実施の形態に係るライセンス取得方法では，ユーザ機器 10が PDlObの場合を例に挙げて説明したが，力かる例に限定されず， PDlOb以外のュ 一ザ機器 10の場合であっても同様に実施可能である。

[0561] また，図 24に示す本実施の形態に係るライセンス取得方法では，ライセンスゃコン テンッ鍵が含まれたライセンス情報をライセンス取得回答メッセージに含めて送信す る場合を例に挙げて説明したが，力かる例に限定されず，例えば，上記ライセンス情 報の MAC値（ライセンス MAC)を求め，そのライセンス MACをライセンス取得回答 メッセージに含めて送信する場合等でもよい。かかる場合，ライセンスやコンテンツ鍵 は別途又はライセンス取得回答メッセージと一緒に送信される。

[0562] (ライセンス取得方法：同期'カウンタ情報方式）

次に，図 25に基づいて，以上のようなライセンス取得システム 200を利用したライセ ンス取得方法の一連の処理について説明する。図 25は，本実施形態に力かる同期 · カウンタ情報方式のライセンス取得方法の概略を示すシーケンス図である。

[0563] まず，図 25に示すように，ステップ S2501〜S2511では，取得要求元のユーザ機 器 10に備わるアプリケーション 4とサービスサーバ 20との間でネットワーク 30を介した 通信接続を安全に確立し，ユーザ認証を行う。なお，詳細については，図 24に示す ステップ S2501〜S2511の処理と実質的に同一であるため説明は省略する。

[0564] 次のステップ S2513〜S2543では，管理サーバ 21からユーザ機器 10及び/又は リムーバブル記録媒体 40に実際にライセンスを格納するための処理がなされる。

[0565] 具体的には，まず，ユーザ機器 10のアプリケーション 4は，サービスサーバ 20にサ 一ビスデータ（又は，サービス ID)を要求する（S2513)。すると，サービスサーバ 20 は，ユーザ機器 10にサービスデータ（又は，サービス ID)を返信する（S 2515)。

[0566] 次に，アプリケーション 4の要求メッセージ生成部 82は，上記ステップ S2511で取 得した TIDと，サービスデータと， 自己のターミナル IDと，ライセンス要求受付時（S2 501)に受け付けたライセンスを格納 (保存)する保存先情報 (メディア ID,デバイス I Dなど）とを基にしてライセンス取得要求メッセージを生成し，管理サーバ 21に送信 する（S2521)。

[0567] 次いで，管理サーバ 21は，受け取ったライセンス取得要求メッセージに含まれる保 存先情報 (メディア ID)等を基にライセンス取得の可否を判断する（S2523)。この取 得可否判断 (S2523)は，例えば，保存先情報がリボークされているか否かを確認す る。なお，力かる取得可否判断 (S2523)は，省略することも可能である。

[0568] 取得可否判断の結果，ライセンス取得を許可する場合には，管理サーバ 21は，上 記指定された保存先にライセンスを格納する処理を行わせるためサービスサーバ 20 に TIDとタイムスタンプとを送信する（S2525)。

[0569] サービスサーバ 20は，ユーザ機器 10等の保存先に格納するライセンス情報 (ライ センス，コンテンツ鍵)を生成し，管理サーバ 21に対して，そのライセンス情報を送信 する（S2529)。

[0570] 管理サーバ 21は，サービスサーバ 20から受け取った TID等を基にして，ライセンス 取得回答メッセージを生成し，そのライセンス取得回答メッセージにタイムスタンプを 付加してユーザ機器 10に送信する（S2531)。上記タイムスタンプは，管理サーバ 2 1及びユーザ機器 10により生成されるが，上記管理サーバ 21及びユーザ機器 10に より生成するタイムスタンプはともに同期して 、るものとする。

[0571] なお，図 25に示すように，上記ライセンス取得回答メッセージに含まれるシグネチヤ は，例えば，ターミナル ID,ライセンス情報，メディア ID (又は，デバイス ID,レコーダ IDなど），およびタイムスタンプなどの MAC値であるが，力かる例に限定されない。 上記シグネチヤによりライセンス取得回答メッセージの完全性を検証することができる

[0572] ユーザ機器 10のアプリケーション 4は，上記ライセンス取得回答メッセージを受け取 ると，著作権管理部 3に転送する（S2533)。なお，アプリケーション 4はライセンス取 得回答メッセージに含まれる，例えば"タイムスタンプ"などの情報を読み取ることがで きない。

[0573] 検証コンポーネント 85は，アプリケーション 4力も受け取ったライセンス取得回答メッ セージのターミナル IDとライセンス取得要求メッセージ送信時（又は， 自己）のターミ ナル IDとが一致することを検証する（S2535)。

[0574] 次に，検証コンポーネント 85は，ユーザ機器 10がー回送信したライセンス取得要 求メッセージに対するライセンス取得回答メッセージ（リプライ)の受信が一回であるこ とを検証する（S2537)。例えば，検証コンポーネント 85は，ライセンス取得回答メッ セージ内のタイムスタンプと，ライセンス取得回答メッセージ受信時にカウンタコンポ 一ネント 84が生成したタイムスタンプとを比較し，当該カウンタコンポーネント 84のタ ィムスタンプの方が最近 (又は，新しい)であることを検証する。なお，インクリメンタル カウンタなどタイムスタンプ以外のカウンタ情報の場合，例えば，検証コンポーネント 8 5は，登録回答メッセージのカウンタ情報よりも自己のカウンタ情報の方が小さいこと を検証するが，カゝかる例に限定されない。かかる検証は，ライセンス取得に必須のラ ィセンス取得セッション内で行われる認証として，ユーザ機器 10側又は管理サーバ 2 1側のいずれか一方の認証 (片方向認証)等で済むため，少なくともライセンス取得 におけるユーザ機器 10及び管理サーバ 21の総合的な処理負荷が低減する。

[0575] なお，メッセージの一回性検証 (S2537)は，タイムスタンプの検証だけに限定され ず，例えば，検証コンポーネント 85は，上記タイムスタンプの検証後，さらにメッセ一 ジ送受信の有無を確認できるように送信フラグと受信フラグを参照することで一回性 を検証する場合等でも実施可能である。なお，かかる場合，上記送信フラグと受信フ ラグとは所定の記憶領域に予め割当てられる。

[0576] また，検証コンポーネント 85は，上記メッセージ一回性検証 (S2537)とともに，ライ センス取得回答メッセージに含むシグネチヤを基にライセンス取得回答メッセージが 改ざんされて ヽな 、か完全性にっ 、ても検証する（S2537)。

[0577] 次いで，ユーザ機器 10の検証コンポーネント 85による検証が終了すると，コンポ一 ネント管理部 5は，利用コンポーネント 2に当該ライセンス取得回答メッセージを転送 する。利用コンポーネント 2 (移動コンポーネント 23など）は，上記ライセンス取得回答 メッセージに含まれるコンポーネント属性情報及び伝送タイプ識別情報を基にしてラ ィセンス禾 IJ用条件等を評価すると，保存コンポーネント 1によりライセンス，コンテンツ 鍵等を含んだライセンス情報カ ディア ID,デバイス ID等で特定された保存先の記 憶領域に格納される（S2539)。これにより，ユーザ機器 10又はリムーバブル記録媒 体 40は，当該ライセンス情報に対応する配信コンテンツを再生可能となる。

[0578] なお，ライセンスに対応付けられたコンテンツは，ライセンス取得回答メッセージと一 緒に，または，別途にサービスサーバ 20から保存先のユーザ機器 10又はリムーパブ ル記録媒体 40に転送される。

[0579] 次に，著作権管理部 3に備わるカウンタコンポーネント 84により，既に記憶領域に 記憶されたタイムカウンタは破棄され，上記新規に生成したタイムカウンタ (ライセンス 取得回答メッセージ受信時に生成したタイムカウンタなど）に更新する（S2543)。以 上で，本実施の形態に力かる同期'カウンタ情報方式におけるライセンス取得方法の 一連の処理が終了する。

[0580] なお，図 25に示す同期'カウンタ情報方式のライセンス取得方法では，カウンタ情 報がタイムスタンプである場合を例に挙げて説明したが，力かる例に限定されず，例 えば，カウンタ情報が増加 (又は減少)保証のカウンタ等の場合でも実施可能である

[0581] 具体的には，例えば，インクリメンタルカウンタであってユーザ機器 10及び管理サ ーバ 21のカウンタ情報の初期値力^である場合，管理サーバ 21がライセンス取得要 求メッセージを受信すると，管理サーバ 21は， 自己のカウンタ情報を" 0"→"1"に更 新し，カウンタ情報力 ' 1"であるライセンス取得回答メッセージを送信する。

[0582] 次に，検証コンポーネント 85は，ライセンス取得回答メッセージに設定されたカウン タ情報の値が" 1"であって，カウンタコンポーネント 84から受けたカウンタ情報が" 0" であるため，適切な登録回答メッセージであると判断すると，既に記憶領域に記憶さ れた自己のカウンタ情報" 0"を破棄し，ライセンス取得回答メッセージのカウンタ情報 "1"に更新する。

[0583] 以上，本実施の形態に力かる同期 'セッション IDZカウンタ情報方式の取得セッシ ヨン内では，ライセンス取得要求メッセージとライセンス取得回答メッセージのメッセ一 ジの送受信に限られるため，ネットワークを介した送受信の処理負荷が軽減される。 さらに，セッション ID方式の場合，取得セッションを識別する SIDはサーバ側ではなく ユーザ機器 10側で生成される。カウンタ情報方式の場合，ライセンス取得要求メッセ ージ送信時にユーザ機器 10側でカウンタ情報を付加する必要がない。つまり，上記 ライセンス取得方法を適用すれば，ユーザ機器 10の処理能力がさほど高くないユー ザ機器 10 (携帯電話機 10hなど)でもライセンスを取得できる。

[0584] なお，図 25に示す本実施の形態に係るライセンス取得方法では，ユーザ機器 10が PDlObの場合を例に挙げて説明したが，力かる例に限定されず， PDlOb以外のュ 一ザ機器 10の場合であっても同様に実施可能である。

[0585] また，図 25に示す本実施の形態に係るライセンス取得方法では，ライセンスゃコン テンッ鍵が含まれたライセンス情報をライセンス取得回答メッセージに含めて送信す る場合を例に挙げて説明したが，力かる例に限定されず，例えば，上記ライセンス情 報の MAC値（ライセンス MAC)を求め，そのライセンス MACをライセンス取得回答 メッセージに含めて送信する場合等でもよい。かかる場合，ライセンスやコンテンツ鍵 は別途又はライセンス取得回答メッセージと一緒に送信される。

[0586] (ライセンス取得方法：非同期'セッション ID方式）

次に，図 26に基づいて，以上のようなライセンス取得システム 200を利用したライセ ンス取得方法の一連の処理について説明する。図 26は，本実施形態に力かる非同 期 ·セッション ID方式のライセンス取得方法の概略を示すシーケンス図である。

[0587] まず，図 26に示すように，ユーザ機器 10—1はサービスサーバ 20又は管理サーバ 21とオンライン（同期）に接続しているが，ユーザ機器 10— 2はオフライン (非同期） である。このように図 26に示すライセンス取得方法では，非同期のユーザ機器 10— 2がライセンスを取得することを目的とする。

[0588] 図 26に示すステップ S2601〜S2611では，ユーザ機器 10— 2の代理として機器 1 0—1のアプリケーション 4とサービスサーバ 20との間でネットワーク 30を介した通信 接続を安全に確立し，ユーザ認証を行う。なお，上記ステップ S2601〜S2611は， 上記説明した図 24に示すステップ S2401〜S2411と実質的に同一であるため詳細 な説明は省略する。

[0589] 次のステップ S2613〜S2643では，ユーザ機器 10— 2及び/又はライセンス記録 媒体 40にライセンスを格納するための処理がなされる。なお，一度に複数のライセン スを格納することができる。

[0590] 具体的には，まず，ユーザ機器 10—1のアプリケーション 4は，サービスサーバ 20 にサービスデータ（又は，サービス ID)を要求する（S2613)。すると，サービスサー ノ 20は，ユーザ機器 10にサービスデータ（又は，サービス ID)を返信する（S2615)

[0591] 次に，ユーザ機器 10のアプリケーション 4は，著作権管理部 3に対してライセンスを 要求するためのライセンス取得要求メッセージを生成するよう指示する（S2617)。

[0592] ID生成コンポーネント 83は，ライセンス取得要求メッセージの生成指示を受けると， 取得セッションを識別するセッション ID (又は， SID)を生成する。生成された SIDは， アプリケーション 4に送信される（S2619)。 [0593] 次に，ユーザ機器 10— 1のアプリケーションの要求メッセージ生成部 82は，上記セ ッシヨン IDと，上記ステップ S2611で受信した TIDと，サービスデータと，ユーザ機器 10— 2に対応するターミナル IDと，ライセンス要求受付時 (S2601)に受け付けたラ ィセンスを保存する保存先情報 (メディア ID,デバイス IDなど）とを基にしてライセンス 取得要求メッセージを生成し，管理サーバ 21に送信する（S2621)。なお，ライセン ス取得要求メッセージにはオフライン (非同期）情報が含まれている。また，図示しな いが，ライセンス取得要求メッセージに少なくとも SIDから求められた MAC値が含ま れても良い。

[0594] なお，上記ステップ S2601で受け付けたユーザ機器 10— 2のターミナル IDや，デ バイス ID,さらにユーザ機器 10— 2でロードされたリムーバブル記録媒体 40のメディ ァ ID等は，例えば，ユーザ機器 10— 1の入力部 208等により直接入力されるが，力 力る例に限定されない。

[0595] 次いで，管理サーバ 21は，受け取ったライセンス取得要求メッセージに含まれる保 存先情報 (例えば，メディア ID)等を基にライセンス取得の可否を判断する（S2623) 。この取得可否判断 (S2623)は，例えば，保存先情報がリボークされている力否か を確認する。なお，力かる取得可否判断 (S2623)は，省略することも可能である。

[0596] 取得可否判断の結果，ライセンス取得を許可する場合，ライセンス取得要求メッセ ージ内にオフライン情報が含まれるのを確認すると，サービスサーバ 20に対し TIDを 送信するとともにパスフレーズ作成指示する（S2625)。

[0597] サービスサーバ 20は，ユーザ機器 10— 1から受け取ったセッション ID及びその M AC値と，さらに上記ライセンス情報とターミナル IDとセッション ID等とを含み，さらに それらのシグネチヤを含むライセンス取得回答メッセージを生成する。サービスサー ノ 20は，上記ライセンス取得回答メッセージをエンコードしパスフレーズに変換する。

[0598] つまり，上記パスフレーズには，ライセンス取得要求メッセージに含まれていた SID と，その MAC値と，さらにライセンス取得回答メッセージ生成時に設定する SIDと，シ グネチヤとが存在する。ユーザ機器 10— 2側では，ライセンス取得要求メッセージに 含まれて 、た SIDの完全性を検証し，ライセンス取得回答メッセージ (SID含む）の完 全性を検証し，双方の SIDがー致することを検証することでメッセージの一回性の検 証が行われるが，力かる例に限定されない。

[0599] なお，ライセンス取得要求メッセージに含まれていた SIDの MAC値は，サービスサ ーバ 20側で求められる場合を例に挙げて説明したが，力かる例に限定されず，例え ば，ユーザ機器 10— 1側で求めても良い。ユーザ機器 10— 1側で求めた方が，サー ビスサーバ 20のなりすましにより SIDが不正に生成される危険を防ぐことができる。

[0600] 次に，上記作成されたノ スフレーズは，例えば，リムーバブル記録媒体 40に記録さ れ，または，印刷媒体に文字又は記号などで印刷される。図 26に示すように，ユーザ 機器 10— 2の著作権管理部 3— 2には，例えば，上記リムーバブル記録媒体 40を介 して，または，印刷媒体に印字された文字又は記号をユーザ機器 10— 2の入力部 2 08を操作することで，パスフレーズが入力する（S2633)。

[0601] ユーザ機器 10— 2の検証コンポーネント 85は，上記パスフレーズの入力があると（ S2633) ,そのパスフレーズをデコードしライセンス取得回答メッセージに変換する（ S2635)。

[0602] 次に，検証コンポーネント 85は，デコードしたライセンス取得回答メッセージに設定 されたターミナル IDと自己のターミナル IDとが一致することを検証する（S2637)。

[0603] 次に，著作権管理部 3— 2の検証コンポーネント 85は，ユーザ機器 10がー回送信 したライセンス取得要求メッセージに対するライセンス取得回答メッセージ（リプライ） の受信が一回であることを検証する（S2639)。例えば，検証コンポーネント 85は，上 記説明したようにライセンス取得回答メッセージに含む 2つの SIDがー致することを検 証する。カゝかる検証は，ライセンス取得に必須のライセンス取得セッション内で行われ る認証として，ユーザ機器 10側又は管理サーバ 21側のいずれか一方の認証 (片方 向認証)等で済むため，少なくともライセンス取得におけるユーザ機器 10及び管理サ ーバ 21の総合的な処理負荷が低減する。

[0604] なお，検証コンポーネント 85は，上記メッセージ一回性検証の際に，ライセンス取 得回答メッセージが改ざんされて ヽな 、かシグネチヤを基に完全性にっ 、ても検証 する（S2639)。

[0605] 上記メッセージの一回性検証 (S2639)では， SIDの同一性の検証のみに限定さ れず，例えば，検証コンポーネント 85は，上記 SIDの同一性の検証後，さらにメッセ ージ送受信の有無を確認できるように送信フラグと受信フラグを参照することで一回 性を検証する場合等でも，実施可能である。

[0606] 次いで，ユーザ機器 10— 2の検証コンポーネント 85による検証が終了すると，コン ポーネント管理部 5は，利用コンポーネント 2に当該ライセンス取得回答メッセージを 転送する。利用コンポーネント 2 (移動コンポーネント 23など）は，上記ライセンス取得 回答メッセージに含まれるコンポーネント属性情報及び伝送タイプ識別情報を基にし てライセンスの利用条件を評価し，保存コンポーネント 1によりライセンス，コンテンツ 鍵などを含んだライセンス情報カ ディア IDやデバイス ID等で特定された保存先の 記憶領域に格納される（S2641)。これにより，ユーザ機器 10— 2又はリムーバブル 記録媒体 40は，当該ライセンス情報に対応する配信コンテンツを利用可能となる。

[0607] なお，ライセンスに対応付けられたコンテンツは，別途にリムーバブル記録媒体 40 等を介してサービスサーバ 20からライセンス保存先のユーザ機器 10— 2又はリムー バブル記録媒体 40に転送される。

[0608] 次に，著作権管理部 3に備わる ID生成コンポーネント 83は，上記ステップ S2619 で生成したセッション ID (SID)を破棄する（S2643)。以上で，本実施の形態にかか る同期'セッション ID方式におけるライセンス取得方法の一連の処理が終了する。

[0609] なお，図 26に示すグループ登録方法では，図 16A乃至図 16Cに示す PDlObによ つてオフラインのカーオーディオ機器 10g又はカーナビゲーシヨン（図示せず。 )にラ ィセンスを取得させる場合を例に挙げて説明したが，力かる例に限定されず， PD10 b,カーオーディオ機器 10g以外のユーザ機器 10又はリムーバブル記録媒体 40の 場合であっても同様に実施可能である。

[0610] また，図 26に示すように，パスフレーズはサービスサーバ 20により生成される場合 を例に挙げて説明したが，力かる例に限定されない。例えば，パスフレーズは管理サ ーバ 21により生成される場合でも実施可能である。

[0611] (ライセンス取得方法:非同期'カウンタ情報方式）

次に，図 27に基づいて，以上のようなライセンス取得システム 200を利用したライセ ンス取得方法の一連の処理について説明する。図 27は，本実施形態に力かる非同 期'カウンタ情報方式のライセンス取得方法の概略を示すシーケンス図である。 [0612] まず，図 27に示すように，ユーザ機器 10—1はサービスサーバ 20又は管理サーバ 21とオンライン（同期）に接続しているが，ユーザ機器 10— 2はオフライン (非同期） である。このように図 26に示すライセンス取得方法では，非同期のユーザ機器 10— 2がライセンスを取得することを目的とする。

[0613] 図 27に示すステップ S2701〜S2711では，ユーザ機器 10— 2の代理として機器 1 0—1のアプリケーション 4とサービスサーバ 20との間でネットワーク 30を介した通信 接続を安全に確立し，ユーザ認証を行う。なお，上記ステップ S2701〜S2711は， 上記説明した図 24に示すステップ S2401〜S2411と実質的に同一であるため詳細 な説明は省略する。

[0614] 次のステップ S2713〜S2743では，ユーザ機器 10— 2及び/又はライセンス記録 媒体 40にライセンスを格納するための処理がなされる。なお，一度に複数のライセン スを格納することができる。

[0615] 具体的には，まず，ユーザ機器 10—1のアプリケーション 4は，サービスサーバ 20 にサービスデータ（又は，サービス ID)を要求する（S2713)。すると，サービスサー ノ 20は，ユーザ機器 10— 1にサービスデータ（又は，サービス ID)を返信する（S 27 15)。

[0616] 次に，ユーザ機器 10— 1のアプリケーションの要求メッセージ生成部 82は，上記ス テツプ S2711で受信した TIDと，サービスデータと，ユーザ機器 10— 2に対応するタ 一ミナル IDと，ライセンス要求受付時 (S2701)に受け付けたライセンスを保存する保 存先情報 (メディア ID,デバイス IDなど）とを基にしてライセンス取得要求メッセージ を生成し，管理サーバ 21に送信する（S2721)。なお，ライセンス取得要求メッセ一 ジにはオフライン (非同期）情報が含まれている。

[0617] なお，上記ステップ S2701で受け付けたユーザ機器 10— 2のターミナル IDや，デ バイス ID,さらにユーザ機器 10— 2で装填されたリムーバブル記録媒体 40のメディ ァ ID等は，例えば，ユーザ機器 10— 1の入力部 208等を用いてユーザにより直接入 力されるが，力かる例に限定されない。

[0618] 次いで，管理サーバ 21は，受け取ったライセンス取得要求メッセージに含まれる保 存先情報 (例えば，メディア ID)等を基にライセンス取得の可否を判断する（S2723) 。この取得可否判断 (S2723)は，例えば，保存先情報がリボークされている力否か を確認する。なお，力かる取得可否判断 (S2723)は，省略することも可能である。

[0619] 取得可否判断の結果，ライセンス取得を許可する場合，ライセンス取得要求メッセ ージ内にオフライン情報が含まれるのを確認すると，サービスサーバ 20に対し丁 と タイムスタンプとを送信するとともにパスフレーズ作成指示する（S2725)。

[0620] サービスサーバ 20は，ユーザ機器 10等の保存先に格納するライセンス情報 (ライ センス，コンテンツ鍵)を生成し，当該ライセンス情報とターミナル IDとメディア ID等の 保存先情報とを含み，さらにそれらのシグネチヤを含んだライセンス取得回答メッセ ージを生成する。サービスサーバ 20は，さらに上記ライセンス取得回答メッセージを エンコードしパスフレーズに変換する。

[0621] 次に，上記作成されたノ スフレーズは，例えば，リムーバブル記録媒体 40に記録さ れ，または，印刷媒体に文字又は記号などで印刷される。図 27に示すように，ユーザ 機器 10— 2の著作権管理部 3— 2には，例えば，上記リムーバブル記録媒体 40を介 して，または，印刷媒体に印字された文字又は記号をユーザ機器 10— 2の入力部 2 08を操作することで，パスフレーズが入力する（S2733)。

[0622] ユーザ機器 10— 2の検証コンポーネント 85は，上記パスフレーズの入力があると（ S2733) ,そのパスフレーズをデコードしライセンス取得回答メッセージに変換する（ S2735)。

[0623] 次に，検証コンポーネント 85は，デコードしたライセンス取得回答メッセージに設定 されたターミナル IDと自己のターミナル IDとが一致することを検証する（S2737)。

[0624] 次に，著作権管理部 3— 2の検証コンポーネント 85は，ユーザ機器 10がー回送信 したライセンス取得要求メッセージに対するライセンス取得回答メッセージ（リプライ） の受信が一回であることを検証する（S2739)。例えば，検証コンポーネント 85は，ラ ィセンス取得回答メッセージ内のタイムスタンプと，ライセンス取得回答メッセージ受 信時にカウンタコンポーネント 84が生成したタイムスタンプとを比較し，当該カウンタ コンポーネント 84のタイムスタンプの方が最近 (又は，新しい）であることを検証する。

[0625] なお，検証コンポーネント 85は，上記メッセージ一回性検証の際に，ライセンス取 得回答メッセージが改ざんされて ヽな 、かシグネチヤを基に完全性にっ 、ても検証 する（S2639)。

[0626] 上記メッセージの一回性検証 (S2639)では，タイムスタンプの検証のみに限定さ れず，例えば，検証コンポーネント 85は，上記タイムスタンプの検証後，さらにメッセ ージ送受信の有無を確認できるように送信フラグと受信フラグを参照することで一回 性を検証する場合等でも，実施可能である。

[0627] 次いで，ユーザ機器 10— 2の検証コンポーネント 85による検証が終了すると，コン ポーネント管理部 5は，利用コンポーネント 2に当該ライセンス取得回答メッセージを 転送する。利用コンポーネント 2 (移動コンポーネント 23など）は，上記ライセンス取得 回答メッセージに含まれるコンポーネント属性情報及び伝送タイプ識別情報を基にし てライセンスの利用条件を評価し，保存コンポーネント 1によりライセンス，コンテンツ 鍵などを含んだライセンス情報は，メディア IDやデバイス ID等で特定された保存先の 記憶領域に格納される（S2741)。これにより，ユーザ機器 10— 2又はリムーバブル 記録媒体 40は，当該ライセンス情報に対応する配信コンテンツを利用可能となる。

[0628] なお，ライセンスに対応付けられたコンテンツは，別途にリムーバブル記録媒体 40 等を介してサービスサーバ 20からライセンス保存先のユーザ機器 10— 2又はリムー バブル記録媒体 40に転送される。

[0629] 次に，著作権管理部 3に備わるカウンタコンポーネント 84により生成されたタイム力 ゥンタは，破棄される。なお，カウンタ情報がタイムスタンプではなく（インクリメンタル Zデクリメンタル)カウンタ等の場合，カウンタ情報の破棄の後，カウンタコンポーネン ト 84は，次のカウンタ情報に更新する（S2743)。同様に，例えば，所定時間経過後 ,管理サーバ 21もカウンタ情報を更新する（S2747)。以上で，本実施の形態にかか る非同期'カウンタ情報方式におけるライセンス取得方法の一連の処理が終了する。

[0630] なお，図 26,図 27に示すライセンス取得方法では，ユーザ機器 10が PDlObの場 合であって，オフラインのカーオーディオ機器 10g又はカーナビゲーシヨン（図示せ ず。）にライセンスを取得させる場合を例に挙げて説明したが，かかる例に限定され ず， PDlOb,カーオーディオ機器 10g以外のユーザ機器 10又はリムーバブル記録 媒体 40の場合であっても同様に実施可能である。

[0631] 以上，本実施の形態に力かる非同期.セッション IDZカウンタ情報方式の取得セッ シヨン内では，ライセンス取得要求メッセージとパスフレーズの送受信で済む。また， 登録回答メッセージをパスフレーズにエンコードすることで，ユーザ機器 10又はリム 一バブル記録媒体 40がオフラインの場合でも，当該ユーザ機器 10又はリムーパブ ル記録媒体 40にライセンスを取得させることができる。さらにオフラインのユーザ機器 10は著作権管理部 3を備えていればアプリケーション 4を備えていなくても，セキュア にライセンス取得することができる。

[0632] (ユーザ機器 10間におけるライセンス転送について）

図 28に示すように，送信側のユーザ機器 10から受信側のユーザ機器 10にライセ ンスを転送することができる。なお，図 28に示すライセンス転送の詳細は上記説明の サーバからライセンスを取得する処理と，ほぼ同様であるため詳細な説明は省略する

[0633] 管理サーバ 21から取得したライセンスを他のユーザ機器 10に転送することができ るため，ライセンスのノインデイングをより柔軟に効率的に行うことができる。

[0634] つまり，ユーザ機器 10は，ネットワーク 30を介さずとも，力かるリムーバブル記憶媒 体 40等を介して，コンテンツ，ライセンス，コンテンツ鍵等を相互にやりとりできる。ま た，このリムーバブル記憶媒体 40を，例えば，販売店の店頭等に設けられたコンテン ッ販売端末（図示せず。）に挿入して，ユーザ操作に応じて購入されたコンテンツや ライセンス等をリムーバブル記憶媒体 40に記憶させてもよい。これにより，購入された コンテンツ等を，力かるリムーバブル記憶媒体 40を介してユーザ機器 10に提供する ことができる。

[0635] なお，本実施の形態に力かるライセンス取得システム 200は，バインディング方式の 著作権管理を適用した場合を例に挙げて説明したが，力かる例に限定されず，例え ば，図 29に示すように，ライセンス取得システム 200は，グループ管理方式の著作権 管理を適用した場合でも実施可能である。グループ管理方式の著作権管理は，各ュ 一ザが所有する複数の機器をサービスサーバ 20又は管理サーバ 21にユーザ単位 でグループ登録し，グループ登録された各機器において，コンテンツの提供元を表 すソース IDと，ソース IDリストとに基づいて，コンテンツの再生を制御するシステムで ある。 [0636] なお，上述した一連の処理は，専用のハードウェアにより行うこともできるし，ソフトゥ エアにより行うこともできる。一連の処理をソフトウェアによって行う場合には，そのソフ トウエアを構成するプログラムが，汎用のコンピュータやマイクロコンピュータ等の情報 処理装置にインストールされ，上記情報処理装置をユーザ機器 10,サービスサーバ 20,又は管理サーバ 21として機能させる。

[0637] プログラムは，コンピュータに内蔵されている記録媒体としてのハードディスクドライ ブ（HDD)や ROMに予め記録しておくことができる。

[0638] あるいはまた，プログラムは，ハードディスクドライブに限らず，フレキシブルディスク , CD— ROM (Compact Disc Read Only Memory) , MO (Magneto Opti cal)ディスク， DVD (Digital Versatile Disc) ,磁気ディスク，半導体メモリなどの リムーバブル記録媒体に，一時的ある 、は永続的に格納 (記録)しておくことができる

[0639] なお，プログラムは，上述したようなリムーバブル記録媒体力 コンピュータにインス トールする他，ダウンロードサイトから，ディジタル衛星放送用の人工衛星を介して， コンピュータに無線で転送したり， LAN (Local Area Network) ,インターネットと いったネットワークを介して，コンピュータに有線で転送し，コンピュータでは，そのよ うにして転送されてくるプログラムを受信し， 内蔵する HDDにインストールすることが できる。

[0640] ここで，本明細書において，コンピュータに各種の処理を行わせるためのプログラム を記述する処理ステップは，必ずしもフローチャートとして記載された順序に沿って時 系列に処理する必要はなく，並列的あるいは個別に実行される処理 (例えば，並列 処理あるいはオブジェクトによる処理)も含むものである。

[0641] また，プログラムは， 1のコンピュータにより処理されるものであっても良いし，複数の コンピュータによって分散処理されるものであっても良い。

[0642] 以上，添付図面を参照しながら本発明の好適な実施形態について説明したが，本 発明は力かる例に限定されない。当業者であれば，特許請求の範囲に記載された技 術的思想の範疇内において各種の変更例または修正例を想定し得ることは明らかで あり，それらについても当然に本発明の技術的範囲に属するものと了解される。 [0643] 上記実施形態においては，ユーザ機器 10に備わるアプリケーションはライセンス取 得専用のソフトウェアである場合を例にあげて説明したが，本発明はかかる例に限定 されない。例えば，アプリケーションは汎用的な Webブラウザ等のソフトウェアである 場合でも実施可能である。

[0644] 上記実施形態においては，一つのライセンスを取得する場合を例に挙げて説明し たが，本発明は力かる例に限定されない。例えば，ユーザ機器 10及び/又はリムー バブル記録媒体 40各々に当該ライセンスを格納する場合，または，ユーザ機器 10 又はリムーバブル記録媒体 40等に複数のライセンスを一度に一括して格納する場合 等でも実施可能である。

[0645] また，上記実施形態においては，ライセンス取得方法においてユーザ機器 10がォ フラインの場合，ユーザ機器 10はパスフレーズを入力する場合を例に挙げて説明し たが，本発明は力かる例に限定されない。例えば，ユーザ機器 10は，一次元バーコ ード又は二次元バーコードなど，文字，記号，又は図形のうち少なくとも一つを組み 合わせたものを入力する場合等でも実施可能である。

[0646] また，上記実施形態においては，オフラインのライセンス取得方法において，サー ビスサーバ 20又は管理サーバ 21からのパスフレーズを入力するのはオフラインのュ 一ザ機器 10— 2である場合を例に挙げて説明したが，本発明はかかる例に限定され ず，例えば，上記パスフレーズを入力するのはオンラインのユーザ機器 10— 1である 場合でも実施可能である。なお，かかる場合，ユーザ機器 10— 2は管理サーバ 21等 のサーバにアクセス可能なネットワーク 30には接続していないが，ユーザ機器 10— 2 はユーザ機器 10— 1とローカルにネットワーク接続していて，ユーザ機器 10— 1から パスフレーズがデコードされたライセンス取得回答メッセージがユーザ機器 10— 2に 転送される，または，ユーザ機器 10— 1にてメッセージ一回性検証等の検証が行わ れ，ライセンス情報等のデータがユーザ機器 10— 2に転送されて，ユーザ機器 10— 2にライセンス情報を保存させてもょ 、。

[0647] <第 3の実施形態 >

次に，本発明の第 3の実施形態に力かる時刻設定装置及び時刻設定方法につい て説明する。 [0648] (時刻設定システム 300について）

まず，図 30に基づいて，本実施の形態に力かる時刻設定システムの全体構成につ いて説明する。なお，図 30は，本実施の形態に力かる時刻設定システム 300の全体 構成を概略的に示すブロック図である。

[0649] 図 30に示すように，本実施の形態に力かる時刻設定システム 300は，例えば，複 数の情報処理装置 1101a, 1101b, · ··, 1101η (以下， 「情報処理装置 1101」と総 称する場合もある。）と，時刻サーバ 1131a, 1131b…と，これら装置を相互に接続 するネットワーク 1103と力も少なくとも構成される。

[0650] 情報処理装置 1101は，ネットワーク 1103に接続してデータを送受信可能な通信 機能を有しており，詳細は後述するが，情報処理装置 1101内部に時を刻む時刻機 能が備わる装置である。

[0651] より具体的には，情報処理装置 1101は，例えば，パーソナルコンピュータ等のコン ピュータ装置（ノート型，デスクトップ型を問わない。）， PDA (Personal Digital As sistant) ,携帯型映像プレーヤ Zレコーダ， ICレコーダ等の携帯型音声プレーヤ Z レコーダ，デジタルカメラ若しくはビデオレコーダ等の撮像装置，家庭用ゲーム機， V TR, CD若しくは DVDレコーダ Zプレーヤ，ラジオ装置，携帯電話， PHS,情報家 電などで構成できる。

[0652] また，情報処理装置 1101は，上記機能に限定されず，例えば，内蔵されたハード ディスクドライブなどに相当するストレージ装置に格納された映像又は音声等のコン テンッデータを記録 Z再生できてもょ 、。

[0653] なお，情報処理装置 1101は，ネットワーク 1103に接続した配信サーノ （図示せず

。）から上記コンテンツデータの配信を受けることも可能であり，配信されたコンテンツ データを再生してもよい。

[0654] 上記時刻サーバ（例えば，時刻装置。） 1131は，情報処理装置 1101等のクライァ ントからの要求に応じて，時刻設定するための時刻情報を出力する。上記時刻情報 は，正確な信頼のおける時刻が設定された情報であって，例えば， 日本の標準時刻 である。

[0655] 上記時刻サーバ 1131は，例えば，原子時計と同様に正確な時を刻むことが可能 な装置である。なお，複数の時刻サーバ 1131 (1131a, 1131b, · · ·)が存在する場 合，時刻サーバ 1131同士でネットワーク 1103を介して時刻が同期するように時刻情 報を共有しても良い。

[0656] 情報処理装置 1101は，上記時刻サーバ 1131にネットワーク 1103を介してァクセ スし，時刻サーバ 1131が出力する時刻情報を受信すると，情報処理装置 1101は， その時刻情報を基にして自装置内の時刻を設定する。

[0657] 上記アクセスは，例えば，システムの利用，サーバへの接続，ファイルの参照，ファ ィルの保存，ファイルの削除，またはファイルの変更など，ネットワークを介して又は 自装置内で情報を処理する情報処理を総称して!/、う。

[0658] 上記時刻（又は，時刻情報）は，例えば， "YYYYMMDD"のように年月日形式で あってもよいし， "YYYYMMDDhh"のように年月日時开式や， "YYYYMMDDhh mmss"のように年月日時分秒形式などの場合であってもよい。

[0659] また，情報処理装置 1101が管理する時刻は，例えば，コンテンツデータの再生可 否などの判断材料としてライセンスが存在するが，そのライセンスに記述された有効 期限が経過した力否か等を確認するために用いられる重要な情報である。

[0660] ネットワーク 1103は，典型的には ADSL (Asymmetric Digital Subscriber L ine)または FTTH (Fiber To The Home)などそれに類する方法で接続するイン ターネットなどの公衆回線網である力 S, WAN, LAN, IP— VPNなどの閉鎖回線網 も含む。また接続媒体は， FDDI (Fiber Distributed Data Interface)などによ る光ファイバケーブル， Ethernet (登録商標）による同軸ケーブル又はツイストペア ケーブル，もしくは IEEE802. l ibなどによる無線など，有線無線を問わず，衛星通 信網なども含む。

[0661] 以上のような構成の時刻設定システム 300では，例えば，所定時間ごとに，または， コンテンツデータをダウンロードするなどのタイミングで，情報処理装置 1101は自己 の時刻精度情報に応じて設定される有効期限を参照し，有効期限が経過していれ ば，時刻サーバ 1131から時刻情報を受信することによって，信頼できる時刻を情報 処理装置 1101が計時する時刻に設定する。なお，時刻精度情報及び有効期限に ついては，後程説明する。 [0662] (情報処理装置 1101について）

次に，図 31に基づいて，本実施の形態に力かる情報処理装置 1101の構成につい て詳細に説明する。なお，図 31は，本実施の形態に力かる情報処理装置 1101の構 成を概略的に示すブロック図である。

[0663] 図 31に示すように，情報処理装置 1101は，例えば，制御部 1102と，メモリ 1104と

,セキュア情報記憶部 1105と，入力部 1106と，出力部 1108と，通信部 1110と，ス トレージ装置 1114と，時刻管理部 501とを備える。

[0664] 制御部（又は， CPUなど） 1102は，演算処理装置および制御装置として機能し， 情報処理装置 1101内の各部の処理を制御することができる。また，制御部 1102は 時刻サーバ 1131からの時刻を時刻部 1181に設定させる。

[0665] メモリ 1104は，例えば， RAM, ROM,キャッシュメモリなどで構成されており，制御 部 1102の処理に関する各種データ，制御部 1102の動作プログラム等を一時的に 記憶する機能を有する。

[0666] セキュア情報記憶部 1105は，機密性や完全性などを保証する必要がある情報 (セ キュア情報）を記憶する記憶手段である。具体的には，セキュア情報記憶部 1105は

,例えば，耐タンパ構造の不揮発性メモリであるが，力かる例に限定されない。

[0667] また，耐タンパ構造は，例えば，ユーザによる LSIの解析や，その動作の解析等を 困難にし，内部のデータを改ざん，偽造することを防止することができる回路 Z仕組 みを有する装置であることを示す。

[0668] なお，上記セキュア情報記憶部 1105に記憶されるセキュア情報は，例えば，時刻 精度情報，設定条件情報であるが，係る例に限定されず，例えば，設定条件情報は ,メモリ 1104に記憶される場合でも実施可能である。かかる場合，設定条件情報は， その設定条件情報の MACとともに記憶される。

[0669] 入力部 1106は，例えば，マウス，キーボード，タツチパネル，ボタン，スィッチ，レバ 一等の操作手段と，入力信号を生成して制御部 1102に出力する入力制御回路など 力も構成されている。情報処理装置 1101のユーザは，この入力部 1106を操作する ことにより，情報処理装置 1101に対して各種のデータを入力したり処理動作を指示 したりすることがでさる。 [0670] 出力部 1108は，例えば， CRTディスプレイ装置，液晶ディスプレイ (LCD)装置， ランプ等の表示装置や，スピーカ等の音声出力装置などで構成される。この出力部 1 108は，例えば，再生するコンテンツデータを出力することができる。

[0671] 通信部 1110は，例えば，通信回線，通信回路，通信デバイス等で構成された通信 インタフ ースである。この通信部 1110は，他の情報処理装置 1101や時刻サーバ 1131等の外部機器との間で，ネットワーク 1103を介して，時刻情報，制御信号など の各種データを送受信することができる。

[0672] ストレージ装置 1114は，例えば，ハードディスクドライブ，フラッシュメモリ等で構成 されたデータ格納用の装置であり，プログラム，コンテンツデータなどの各種データを 格糸内することができる。

[0673] また，このストレージ装置 1114には，例えば，情報処理装置 1101自身に対応する 機器 ID (例えばターミナル ID)などが，格納されている。機器 IDは，上記のように情 報処理装置 1101等のデバイス単位で固有に付与される識別子であり，この機器 ID によって，情報処理装置 1101を一意に識別することができる。

[0674] また，上記ストレージ装置 1114には，アプリケーション 503がインストールされてい る。このアプリケーション 503は，ユーザインターフェース機能を有する。

[0675] 具体的には，アプリケーション 503は，ユーザインターフェース機能として，ユーザ からの時刻設定の要求を受け付けたり，各種操作画面を表示装置に表示したりする

[0676] また，アプリケーション 503は，時刻設定をするための時刻情報の要求を検知する 機能として，要求検知部 1189を備えている。

[0677] 要求検知部 1189は，例えば，ユーザインターフェース機能との連携でユーザから 直接に時刻情報の要求を検知したり，時刻情報の要求を所定時間ごとに自ら要求す ることでその要求を検知したり，設定条件情報に記述される有効期限を参照し期限 超過している場合に時刻情報の要求を検知したりするが，力かる例に限定されない。

[0678] なお，本実施の形態に力かるアプリケーション 503は，時刻設定するための専用の プログラムである場合を例に挙げて説明するが，力かる例に限定されず，例えば，ァ プリケーシヨン 503は，汎用的な Webブラウザなどのプログラム等の場合であっても 実施可能である。

[0679] 上記時刻管理部 501には，図 31に示すように， ID生成部 1178と，時刻部 1181と

,検証部 1185と，設定部 1187と，カウンタ情報生成部 1191とが備わる。

[0680] 上記 ID生成部 1178は，時刻設定するために，時刻サーバ 1131に時刻情報を要 求するメッセージを送信しその回答メッセージを受信する一連のやりとりである時刻 設定セッションを識別するセッション IDを生成する。

[0681] なお， ID生成部 1178は，繰り返し同じセッション IDが生成されないよう，例えば， 乱数を発生させることで，その乱数をセッション IDとしてもよいが，かかる例に限定さ れない。

[0682] 時刻部 1181は，時刻を生成し出力する。なお，時刻を計時するためのバッテリ等 の電源が遮断される等の場合，時刻部 1181は，例えば，信頼できない不正確な時 刻であることを示すフラグを時刻部 1181に内設されたレジスタ（図示せず。），メモリ 1 104等の記憶領域に設定する，または，時刻精度情報を信頼できない不正確な時刻 である旨の内容に変更するが，力かる例に限定されない。

[0683] 検証部 1185は，時刻部 1181により出力される時刻に基づいて，メッセージ送信時 刻とメッセージ受信時刻の差分時間を求めたり，その差分時間と許容時間 (又は， R TTなど）との大小比較したりする。検証部 1185は，当該比較の結果，時刻サーバ 1 131から送信された時刻情報を基にして時刻設定が可能であるカゝ否かを検証する。

[0684] 設定部 1187は，検証部 1185による検証の結果，時刻設定が可能であると判断さ れた場合，時刻情報に記述された時刻を時刻部 1181に設定するとともに，設定条 件情報をセキュア情報記憶部 1105に格納し，設定条件情報を更新する。

[0685] カウンタ情報生成部 1191は，カウンタ情報を生成し，生成されたカウンタ情報を取 得し外部に出力する。例えば，カウンタ情報生成部 1191は， "1, 2, 3,…，，等のよう に 1ずつ増加する (インクリメンタル)カウンタ情報を生成したり， "90, 89, 88,…"等 のように 1ずつ減少する（デタリメンタル)カウンタ情報を生成したりする。なお，生成さ れたカウンタ情報は情報処理装置 1101に備わるキャッシュなどの記憶手段に，次の カウンタ情報に更新されるまで記憶される。

[0686] また，カウンタ情報生成部 1191は，上記インクリメンタルカウンタ情報またはデクリメ ンタルカウンタ情報を生成する場合に限定されず，例えば，カウンタ情報生成部 119 1は，時刻部 1181が生成する時刻を参照し， "2005年 8月 22日 13時 50分 15秒"等 のように， "YYYYMMDDhhmmss"形式でタイムスタンプをカウンタ情報として生成 することもできる。なお，生成されたタイムスタンプも，次のタイムスタンプに更新される まで記憶される。

[0687] (時刻サーバ 1131について）

次に，図 32を参照しながら，本実施の形態に力かる時刻サーバ 1131について説 明する。なお，図 32は，本実施の形態に力かる時刻サーバの概略的な構成を示す ブロック図である。

[0688] 図 32に示すように，時刻サーバ 1131は，例えば，制御部（又は， CPUなど） 1301 と，メモリ 1303と，入力部 1306と，ストレージ装置 1307と，出力部 1308と，通信部 1 305と，時刻部 1309と，設定条件情報生成部 1311と，署名生成部 1314と，カウン タ情報生成部 1316とを備える。

[0689] 制御部 1301は，演算処理装置および制御装置として機能し，時刻サーバ 1131内 の各部の処理を制御することができる。また，メモリ 1303は，例えば， RAM, ROM, キャッシュメモリなどで構成されており，制御部 1301の処理に関する各種データ，制 御部 1301の動作プログラム等を一時的に記憶する機能を有する。

[0690] 通信部 1305は，例えば，通信回線，通信回路，通信デバイス等で構成された通信 インタフェースである。この通信部 1305は，情報処理装置 1101等の外部機器との 間で，ネットワーク 1103を介して，時刻情報や各種制御信号などを送受信することが できる。

[0691] ストレージ装置 1307は，例えば，ハードディスクドライブ等で構成されたデータ格 納用の装置であり，プログラムなどの各種データを格納することができる。また，このス トレージ装置 1307は，例えば，設定条件情報を生成するために，許容時間または有 効期限などからなる設定条件情報テーブル等を記憶している。なお，上記設定条件 情報テーブルについては，後述する。

[0692] 時刻部 1309は，正確な時刻情報を生成して出力する。正確な時刻とは，例えば原 子時計等により出力される標準時刻と一致する時刻である。つまり，時刻部 1309か ら常に標準時刻と一致する時刻情報を出力している。

[0693] 設定条件情報生成部 1311は，時刻情報の要求があると，設定条件情報を生成す る。設定条件情報は，例えば，時刻情報を基にした時刻設定を許容する範囲を示す 許容時間 (又は，制限時間）と，情報処理装置 1101に設定された時刻の有効性を示 すための期限 (有効期限)とから構成されているが，力かる例に限定されない。

[0694] また，設定条件情報生成部 1311は，ストレージ装置 1307に記憶された設定条件 情報テーブルを参照することによって，設定条件情報を生成するが，詳細は後程述 ベる。

[0695] 署名生成部 1314は，例えば，ターミナル ID,設定条件情報，時刻情報，およびセ ッシヨン ID (又は，カウンタ情報）の MAC値を求めることで署名（シグネチヤ）を生成 するが，力かる例に限定されない。

[0696] カウンタ情報生成部 1316は，カウンタ情報を生成するが，詳細については，上記 説明したカウンタ情報生成部 1191と実質的に同一であるため，説明は省略する。

[0697] (データについて）

ここで，本実施の形態に力かる時刻設定システム 300において用いられる主なデー タについて簡単に説明すると，図 33に示すように，

'「ターミナル ID」は，例えば，時刻サーバ 1131に対して時刻情報を要求する要求元 の情報処理装置 1101を識別する IDである。

'「時刻精度情報」は，例えば，情報処理装置 1101に備わる時刻部 1181が出力す る時刻の精度を示す情報である。時刻の精度は，時刻部 1181の構成上とセキユリテ ィ上等の点で考慮される。例えば，時刻部 1181が時刻の改ざんが困難な耐タンパ 性を有している場合は，時刻精度情報は高い。

•「設定条件情報」は，例えば，許容時間と有効期限とから構成されている。時刻情報 を要求して力 時刻情報を受信するまでの時間が上記許容時間内であることが必要 である。また，有効期限が過ぎると情報処理装置 1101の時刻は無効となり，新規に 時刻サーバ 1131からの時刻情報を基にして情報処理装置 1101が自己の時刻を設 定する必要がある。

'「セッション ID」は，例えば，メッセージ送受信の一回性保証する時刻設定セッション 等のセッションを識別する IDである。セッションが継続している間は，そのセッション I Dを第三者によって改ざんされないようにセキュアに保持し，セッション終了時に破棄 する。

'カウンタ情報は，例えば，メッセージ送受信の一回性保証するインクリメントされる力 ゥンタ，または，タイムスタンプ等の情報である。なお，上記カウンタ情報も第三者によ つて改ざんされな!/、ようにセキュアに保持する必要がある。

'「署名（シグネチヤ)」は，例えば，ターミナル ID,設定条件情報，時刻情報，および セッション ID等を基にして求められる署名データである。

以上のようなデータが主に用いられるが，本実施の形態に力かる時刻設定システム 3 00では，図 33に図示されたデータのみに限定されず，他のデータが用いられても実 施可能である。

[0698] 次に，図 34を参照しながら，本実施の形態に力かる設定条件情報テーブルについ て説明する。なお，図 34は，本実施の形態にかかる設定条件情報テーブルの概略 的な構成の一例を示した説明図である。

[0699] 図 34に示すように，設定条件情報テーブルは， 「時刻精度情報」と， 「許容時間」と , 「有効期限」とから少なくとも構成されている。なお，上記設定条件情報は上記許容 時間と有効期限との組から構成されている。

[0700] 図 34に示すように，時刻精度情報は，時刻精度が高い方力も順に，例えば， "高（1 ) ", "中（2) ", "低 (3) "が存在する。なお，時刻精度情報は，上記 (）内に記載される 数値によって時刻精度の高低を示して 、る。

[0701] 時刻精度が高ければ，正確な時を刻み信頼できる時刻であることを長期間保証す ることから，許容時間と有効期限とが優遇される。例えば，図 34に示すように，時刻精 度情報が"高"の場合，許容時間が 60 (秒)で，有効期限が 3 (年)であり，時間的に 一番長 、時間有効であることが分かる。

[0702] 設定条件情報生成部 1311は，情報処理装置 1101からの時刻精度情報を基に図 34に示す設定条件情報テーブルを参照し，設定条件情報を生成する。なお，設定 条件情報生成部 1311は，時刻精度情報を基に設定条件情報テーブルを参照して 設定条件情報を生成するが，力かる例に限定されず，例えば，設定条件情報生成部 1311は，情報処理装置 1101の時刻精度の高さ及び維持期間に応じて，時刻精度 情報を基に設定条件情報テーブルを参照して得た許容時間及び Z又は有効期限 についてさらに延長 Z短縮することができる。例えば，情報処理装置 1101の時刻精 度情報が"中"で，その"中"である期間 (維持期間）が 60日である場合，設定条件情 報テーブルから得た許容時間（30 (秒) )及び有効期限 (1 (月 ) )にさらに延長して許 容時間 (40 (秒) )及び有効期限 (2 (月））としたのを設定条件情報とすることができる 。つまり，設定条件情報生成部 1311は，時刻精度情報とその期間に応じて，設定条 件情報テーブルを参照し，動的に許容時間及び Z又は有効期限を自動的に変更し ,設定条件情報を生成することができる。

[0703] (時刻設定方法，セッション ID方式）

次に，図 35を参照しながら，本実施の形態に力かるセッション ID方式の時刻設定 方法について説明する。なお図 35は，本実施の形態に力かるセッション ID方式の時 刻設定方法の処理の概略を示すシーケンス図である。

[0704] 本実施の形態に力かる時刻設定方法は，情報処理装置 1101と時刻サーバ 1131 との間で行われる処理である。

[0705] 図 35に示すように，まず，アプリケーション 503の要求検知部 1189が所定時間経 過または有効期限が過ぎた等の理由で時刻情報の要求を検知すると，時刻情報を 取得するためセッション ID (SID)及び時刻精度情報を時刻管理部 501に要求する（ S350 。

次に，時刻管理部 501の ID生成部 1178は，セッション ID (SID)を生成する。生成 された SIDと，セキュア情報 105に記憶された時刻精度情報とはアプリケーション 50 3に送信される（S3503)なお， ID生成部 1178が生成する SIDは，例えば，ランダム に生成する乱数であってもよいが，力かる例に限定されない。

[0706] なお，図 35等に図示された [ ]内のデータは， AES— CBC等の鍵で暗号化 Z復 号することによって，情報処理装置 1101に備わる時刻管理部 501及び時刻サーバ 1131のみが読み取れるものとする。例えば，ステップ S3503に示す [SID] , [時刻 精度情報]は，情報処理装置 1101に備わる時刻管理部 501及び時刻サーバ 1131 のみが当該 SIDと時刻精度情報を読み取れるものとする。 [0707] 次に，情報処理装置 1101のアプリケーション 503は，上記 S3503で取得した上記 セッション IDと，時刻精度情報とを基にして時刻設定要求メッセージを生成し，時刻 サーバ 1131に送信する（S 3505)。上記時刻設定要求メッセージに含まれるターミ ナル ID等は，情報処理装置 1101によって生成される。

[0708] なお，情報処理装置 1101に備わる検証部 1185は，時刻設定要求メッセージを送 信する時に，時刻部 1181から時刻 Tを取得しておく。例えば，情報処理装置 1101 に備わる検証部 1185は，時刻 Tとして" 2005年 8月 22日 18時 15分 10秒 015"を 取得する。

[0709] 時刻サーバ 1131の設定条件情報生成部 1311は，時刻設定要求メッセージに設 定された時刻精度情報を基にして設定条件情報テーブルを参照し設定条件情報を 生成する。次に，署名生成部 1314は，時刻部 1309から出力される時刻情報と上記 設定条件情報と上記 SIDと上記ターミナル IDとから MAC値を求めてシグネチヤを生 成する。

[0710] さらに，制御部 1301は，上記設定条件情報と，情報処理装置 1101から受け取つ たセッション IDと，時刻情報と，シグネチヤとを含んだ時刻設定回答メッセージを作成 し，要求元の情報処理装置 1101に送信する（S3507)。なお，上記シグネチヤは， 例えば，設定条件情報， SID,時刻情報，およびターミナル IDの MACであるが，か 力る例に限定されない。

[0711] なお，情報処理装置 1101に備わる検証部 1185は，時刻設定要求メッセージを送 信する時と同様に，時刻設定回答メッセージを受信した時に，時刻部 1181から時刻 Tを取得しておく。例えば，情報処理装置 1101に備わる検証部 1185は，時刻 Tと

2 2 して" 2005年 8月 22日 18時 17分 11秒 015"を取得する。

[0712] 情報処理装置 1101のアプリケーション 503は，上記時刻設定回答メッセージを受 け取ると，そのまま時刻管理部 501に転送する（S3509)。なお，アプリケーション 50 3は時刻設定回答メッセージに含まれる，例えば「SID」などの情報を読み取ることが できない。

[0713] 次に，時刻管理部 501は，アプリケーション 503からデータを受け取ると（S3509) , 検証部 1185は，受け取った時刻設定回答メッセージのターミナル IDと時刻設定要 求メッセージ送信時 (又は， 自己）のターミナル IDとが一致することを検証する（S351 D o

[0714] 次に，検証部 1185は，受信した時刻設定回答メッセージに設定された設定条件情 報を参照し，時刻設定可能である力検証する（S3513)。検証部 1185は，上記時刻 設定要求メッセージ送信時の時刻 Tと上記時刻設定回答メッセージ受信時の時刻 T

2とから差分時間を求めて，その差分時間と設定条件情報の許容時間とを比較するこ とで，時刻設定可能である力否かを判断する（S3513)。

[0715] ここで，図 36を参照しながら，本実施の形態に力かる差分時間について説明する。

図 36は，本実施の形態に力かる差分時間の概略について示した説明図である。

[0716] 図 36に示すように，情報処理装置 1101から時刻設定要求メッセージを送信した時 の時刻を時刻 Tする。

[0717] 時刻サーバ 1131は，上記時刻設定要求メッセージを受信すると，時刻情報ゃ設 定条件情報等を含んだ時刻設定回答メッセージを生成して，情報処理装置 1101に 送信する。

[0718] 図 36に示すように，時刻サーバ 1131により送信された時刻設定回答メッセージを 情報処理装置 1101が受信した時点の時刻を時刻 Tとする。

2

[0719] したがって，差分時間は，上記時刻 Tから上記時刻 Tを差し引いた時間となる（時

2 1

刻 T一時刻 τ )。

2 1

[0720] 図 35に示すように，検証部 1185は，求めた差分時間が設定条件情報の許容時間 の範囲内であることを検証し (S3513) ,許容時間の範囲内であれば，次に，検証部 1185は，情報処理装置 1101がー回送信した時刻設定要求メッセージに対する時 刻設定回答メッセージ (リプライ)の受信が一回であることを検証する（S3515)。例え ば，検証部 1185は，受け取った SIDと，時刻設定要求メッセージ送信時に ID生成 部 1178が生成した SIDとが一致することを検証する。

[0721] なお，メッセージの一回性検証 (S3515)は， SIDの一致に限定されず，例えば，検 証部 1185は， SIDの一致の検証後，さらにメッセージ送受信の有無を確認できるよ うに送信フラグと受信フラグを参照することで一回性を検証する場合等でも実施可能 である。 [0722] また，検証部 1185は，上記メッセージ一回性検証 (S3515)とともに，時刻設定回 答メッセージに含むシグネチヤを基に時刻設定回答メッセージが改ざんされて 、な ヽ か完全性についても検証する（S3515)。

[0723] 次に，検証部 1185により検証が終了し時刻設定が可能であると判断されると，設 定部 1187は，時刻情報を基に情報処理装置 1101の時刻部 1181の時刻を設定す るとともに，既にセキュア情報記憶部 1105等に記憶された設定条件情報を時刻設定 回答メッセージに設定された設定条件情報に更新する（S 3517)。

[0724] 次に，検証部 1185及び ID生成部 1178は，既に生成されたセッション ID (SID)を 破棄する（S3519)。以上で，本実施の形態に力かるセッション ID方式における時刻 設定方法の一連の処理が終了する。

[0725] (時刻設定方法，カウンタ情報方式）

次に，図 37を参照しながら，本実施の形態に力かるカウンタ情報方式の時刻設定 方法について説明する。なお，図 37は，本実施の形態に力かるカウンタ情報方式の 時刻設定方法の処理の概略を示すシーケンス図である。

[0726] 本実施の形態に力かる時刻設定方法は，情報処理装置 1101と時刻サーバ 1131 との間で行われる処理である。

[0727] 図 37に示すように，まず，アプリケーション 503の要求検知部 1189が所定時間経 過または有効期限が過ぎた等の理由で時刻情報の要求を検知すると，時刻情報を 取得するため時刻精度情報を時刻管理部 501に要求する（S3701)

次に，時刻管理部 501のカウンタ情報生成部 1191は，セキュア情報記憶部 1105 に記憶された時刻精度情報をアプリケーション 503に伝送する（S3703)。

[0728] なお，図 37等に図示された [ ]内のデータは， AES— CBC等の鍵で暗号化 Z復 号することによって，情報処理装置 1101に備わる時刻管理部 501及び時刻サーバ 1131のみが読み取れるものとする。例えば，ステップ S3703に示す [時刻精度情報 ]は，情報処理装置 1101に備わる時刻管理部 501及び時刻サーバ 1131のみが当 該時刻精度情報を復号することによって読み取れるものとする。

[0729] 次に，情報処理装置 1101のアプリケーション 503は，上記 S3703で取得した上記 時刻精度情報とを基にして時刻設定要求メッセージを生成し，時刻サーバ 1131〖こ 送信する（S3705)。上記時刻設定要求メッセージに含まれるターミナル ID等は，情 報処理装置 1101によって生成される。

[0730] 時刻サーバ 1131の設定条件情報生成部 1311は，時刻設定要求メッセージに設 定された時刻精度情報を基にして設定条件情報テーブルを参照し設定条件情報を 生成する。

[0731] 次に，時刻サーバ 1131に備わるカウンタ情報生成部 1316がタイムスタンプを生成 する。次に，署名生成部 1314は，時刻部 1309から出力される時刻情報と上記設定 条件情報と上記タイムスタンプと上記ターミナル IDと力 MAC値を求めてシグネチヤ を生成する。

[0732] 上記タイムスタンプは，時刻サーバ 1131又は情報処理装置 1101により生成される 力 上記時刻サーバ 1131及び情報処理装置 1101により生成するタイムスタンプは ともに時刻同期しているものとする。

[0733] さらに，時刻サーバ 1131に備わる制御部 1301は，上記設定条件情報と，上記タイ ムスタンプと，時刻情報と，情報処理装置 1101から受け取ったターミナル IDと，シグ ネチヤとを含んだ時刻設定回答メッセージを作成し，要求元の情報処理装置 1101 に送信する（S3707)。なお，上記シグネチヤは，例えば，設定条件情報，タイムスタ ンプ，時刻情報，およびターミナル IDの MACであるが，力かる例に限定されない。

[0734] 情報処理装置 1101のアプリケーション 503は，上記時刻設定回答メッセージを受 け取ると，そのまま時刻管理部 501に転送する（S3709)。なお，アプリケーション 50 3は時刻設定回答メッセージに含まれる，例えば「タイムスタンプ」などの情報を読み 取ることができない。

[0735] 次に，時刻管理部 501は，アプリケーション 503からデータを受け取ると（S3709) , 検証部 1185は，受け取った時刻設定回答メッセージのターミナル IDと時刻設定要 求メッセージ送信時 (又は， 自己）のターミナル IDとが一致することを検証する（S371 D o

[0736] 次に，検証部 1185は，受信した時刻設定回答メッセージに設定された設定条件情 報を参照し，時刻設定可能である力検証する（S3713)。なお，検証部 1185による 検証処理 (S 3713)は，上記説明した検証部 1185による検証処理 (S 3513)と実質 的に同一であるため詳細な説明を省略する。

[0737] 図 35に示すように，検証部 1185は，求めた差分時間が設定条件情報の許容時間 の範囲内であることを検証し (S3713) ,許容時間の範囲内であれば，次に，検証部 1185は，情報処理装置 1101がー回送信した時刻設定要求メッセージに対する時 刻設定回答メッセージ (リプライ)の受信が一回であることを検証する（S3715)。例え ば，検証部 1185は，時刻設定回答メッセージ内のタイムスタンプと，時刻設定回答メ ッセージ受信時にカウンタ情報生成部 1191から受け取るタイムスタンプとを比較し， 当該カウンタ情報生成部 1191のタイムスタンプの方が最近 (又は，新しい）であること を検証する。

[0738] なお，インクリメンタルカウンタなどタイムスタンプ以外のカウンタ情報の場合，例え ば，検証部 1185は，時刻設定回答メッセージのカウンタ情報よりもカウンタ情報生成 部 1191のカウンタ情報の方が小さいことを検証するが，力かる例に限定されない。

[0739] なお，メッセージの一回性検証 (S3715)は，タイムスタンプの検証に限定されず， 例えば，検証部 1185は，タイムスタンプの検証後，さらにメッセージ送受信の有無を 確認できるように送信フラグと受信フラグを参照することで一回性を検証する場合等 でも実施可能である。

[0740] また，検証部 1185は，上記メッセージ一回性検証 (S3715)とともに，時刻設定回 答メッセージに含むシグネチヤを基に時刻設定回答メッセージが改ざんされて 、な ヽ か完全性にっ 、ても検証する（S3715)。

[0741] 次に，検証部 1185により検証が終了し時刻設定が可能であると判断されると，設 定部 1187は，時刻情報を基に情報処理装置 1101の時刻部 1181の時刻を設定す るとともに，既にセキュア情報記憶部 1105等に記憶された設定条件情報を時刻設定 回答メッセージに設定された設定条件情報に更新する (S3717)。

[0742] 次に，検証部 1185及びカウンタ情報生成部 1191は，既に生成されたタイムスタン プを破棄する。さらに，カウンタ情報生成部 1191は，時刻設定回答メッセージ受信 時に生成したタイムスタンプを記憶領域に格納することで，既に記憶されたタイムスタ ンプを更新する（S3719)。 ンタ等のカウンタ情報である場合，検証部 1185及びカウンタ情報生成部 1191によ るカウンタ情報の破棄の後，カウンタ情報生成部 1191は，既に記憶領域に記憶され たカウンタ情報を次のカウンタ情報 (例えば，時刻設定回答メッセージに設定された カウンタ情報）に更新する。

[0744] 具体的には，例えば，インクリメンタルカウンタであってカウンタ情報生成部 1191及 び時刻サーバ 1131のカウンタ情報生成部 1316のカウンタ情報の初期値力^である 場合，時刻サーバ 1131が時刻設定要求メッセージを受信すると，時刻サーバ 1131 は， 自己のカウンタ情報を" 0"→"1"に更新し，カウンタ情報力 ' 1"である時刻設定回 答メッセージを送信する。

[0745] 次に，検証部 1185は，時刻設定回答メッセージに設定されたカウンタ情報の値が" 1"であって，カウンタ情報生成部 1191から受け取ったカウンタ情報が" 0"であるため ,一回性保証のある時刻設定回答メッセージであると判断すると，既に記憶領域に記 憶された自己のカウンタ情報" 0"を破棄し，時刻設定回答メッセージのカウンタ情報 を" 1"に更新する。以上で，本実施の形態に力かるカウンタ情報方式における時刻 設定方法の一連の処理が終了する。

[0746] なお，図 37に示すカウンタ情報方式の時刻設定方法では，カウンタ情報がタイムス タンプである場合を例に挙げて説明したが，力かる例に限定されず，例えば，カウン タ情報が増加 (又は減少)保証のカウンタ等の場合でも実施可能である。その場合， 情報処理装置 1101と時刻サーバ 1131は，上記カウンタ情報を記憶するカウンタ記 憶領域を割当て，時刻設定要求メッセージ又は時刻設定回答メッセージを送信又は 受信したことによって自己のカウンタ情報をお互い更新する必要がある。

[0747] 以上，本実施の形態に力かるセッション IDZカウンタ情報方式の時刻設定セッショ ン内では，情報処理装置 1101と時刻サーバ 1131との間では時刻設定要求メッセ一 ジと時刻設定回答メッセージの送受信に限られるため，ネットワークを介した送受信 の処理負荷が軽減される。したがって，通信処理に要する負荷が極めて低いため特 に処理能力が低い情報処理装置 1101でも時刻情報を時刻サーバ 1131から取得 することができる。さらに，セッション ID方式の場合，時刻設定セッションを識別するセ ッシヨン ID (SID)はサーバ側ではなく情報処理装置 1101側で生成される。カウンタ 情報方式の場合，時刻設定要求メッセージ送信時に情報処理装置 1101側でカウン タ情報を付加する必要がないため，より一層，情報処理装置 1101に対して処理負荷 が軽減される。つまり，かかる時刻設定方法を適用すれば，情報処理装置 1101の処 理能力がさほど高くな 、装置 (携帯電話機や携帯型コンテンツ再生装置など)でも時 刻設定を行うことができる。また，時刻設定に必須の時刻設定セッションで行われる 認証は，情報処理装置 1101側又は時刻サーバ 1131側の 、ずれか一方の認証 (片 方向認証)等で済むため，少なくとも時刻設定におけるユーザ機器 10及び管理サー バ 21の総合的な処理負荷が低減する。

[0748] なお，上述した一連の処理は，専用のハードウェアにより行うこともできるし，ソフトゥ エアにより行うこともできる。一連の処理をソフトウェアによって行う場合には，そのソフ トウエアを構成するプログラムが，汎用のコンピュータやマイクロコンピュータ等の情報 処理装置にインストールされ，上記情報処理装置を情報処理装置 1101及び Z又は 時刻サーバ 1131として機能させる。

[0749] プログラムは，コンピュータに内蔵されている記録媒体としてのハードディスクドライ ブ（HDD)や ROM (Read Only Memory)に予め記録しておくことができる。

[0750] あるいはまた，プログラムは，ハードディスクドライブに限らず，フレキシブルディスク , CD— ROM (Compact Disc Read Only Memory) , MO (Magneto Opti cal)ディスク， DVD (Digital Versatile Disc) ,磁気ディスク，半導体メモリなどの リムーバブル記録媒体に，一時的ある 、は永続的に格納 (記録)しておくことができる 。このようなリムーバブル記録媒体は，いわゆるパッケージソフトウェアとして提供する ことができる。

[0751] なお，プログラムは，上述したようなリムーバブル記録媒体力 コンピュータにインス トールする他，ダウンロードサイトから，ディジタル衛星放送用の人工衛星を介して， コンピュータに無線で転送したり， LAN (Local Area Network) ,インターネットと いったネットワークを介して，コンピュータに有線で転送し，コンピュータでは，そのよ うにして転送されてくるプログラムを受信し， 内蔵するハードディスクドライブにインスト 一ノレすることができる。

[0752] ここで，本明細書において，情報処理装置 1101が実行する処理ステップ又はコン ピュータをして情報処理装置 1101に各種の処理を行わせるためのプログラムを記述 する処理ステップは，必ずしもフローチャートとして記載された順序に沿って時系列 に処理する必要はなく，並列的あるいは個別に実行される処理 (例えば，並列処理あ るいはオブジェクトによる処理)も含むものである。

[0753] また，プログラムは， 1のコンピュータにより処理されるものであっても良いし，複数の コンピュータによって分散処理されるものであっても良い。

[0754] 以上，添付図面を参照しながら本発明の好適な実施形態について説明したが，本 発明は力かる例に限定されない。当業者であれば，特許請求の範囲に記載された技 術的思想の範疇内において各種の変更例または修正例を想定し得ることは明らかで あり，それらについても当然に本発明の技術的範囲に属するものと了解される。

[0755] 上記実施形態においては，情報処理装置 1101に備わる時刻部 1181, ID生成部 1178,検証部 1185,設定部 1187,およびカウンタ情報生成部 1191はハードゥエ ァカもなる場合を例にあげて説明したが，本発明は力かる例に限定されない。例えば ,上記各部は， 1又は 2以上のモジュールまたはコンポーネントから構成されるプログ ラムの場合であってもよい。

[0756] また，情報処理装置 1101に備わるアプリケーション 503及び要求検知部 1189は， プログラムである場合を例に挙げて説明したが，力かる例に限定されず，例えば，上 記アプリケーション 503及び要求検知部 1189は， 1又は 2以上の回路素子力も構成 されたハードウェア等の場合でも実施可能である。

[0757] 上記実施形態においては，時刻サーバ 1131に備わる時刻部 1309,設定条件情 報生成部 1311,署名生成部 1314,およびカウンタ情報生成部 1316はハードゥエ ァカもなる場合を例にあげて説明したが，本発明は力かる例に限定されない。例えば ,上記各部は， 1又は 2以上のモジュールまたはコンポーネントから構成されるプログ ラムの場合であってもよい。

Claims

請求の範囲

[1] 少なくとも 1つの情報記録媒体及び Z又は情報処理装置をグループに登録するグ ループ登録装置であって：

前記グループに前記情報記録媒体及び Z又は情報処理装置を登録する要求を検 知する登録要求検知部と；

前記グループ登録を要求するメッセージを送信しそのメッセージに対する回答メッ セージを受信する一連のやりとりを登録セッションとし，その登録セッションを識別す るためのセッション IDを生成するセッション ID生成部と；

前記グループに登録する前記情報記録媒体の情報記録媒体 ID及び Z又は前記 情報処理装置の情報処理装置 IDと，前記セッション IDとを含んだ登録要求メッセ一 ジを登録サーバに対して送信する登録要求メッセージ送信部と；

前記登録サーバによりグループに登録された前記情報記録媒体 ID及び Z又は情 報処理装置 IDの IDリストと，前記セッション IDとを含んだ登録回答メッセージを該登 録サーバから受信する登録回答メッセージ受信部と；

前記登録回答メッセージに含まれるセッション IDと前記セッション ID生成部で生成 したセッション IDとが同一であることを検証し，前記セッション IDを削除する検証部と； 前記登録回答メッセージに含まれる IDリストを，前記グループを特定するグループ I Dとひも付けて記憶領域に格納させる格納部と；

を備え，

前記登録要求メッセージ送信部と前記登録回答メッセージ受信部とは，同じ前記登 録セッション内で前記登録要求メッセージを 1回送信し，前記登録回答メッセージを 1 回受信し；

前記登録セッション内で実行される処理は，前記登録要求メッセージ送信部による 前記登録要求メッセージの送信と，前記登録回答メッセージ受信部による前記登録 回答メッセージの受信に限られることを特徴とする，グループ登録装置。

[2] 少なくとも 1つの情報記録媒体及び Z又は情報処理装置をグループに登録するグ ループ登録装置であって：

前記グループに前記情報記録媒体及び Z又は情報処理装置を登録する要求を検 知する登録要求検知部と；

前記グループ登録を要求するメッセージを送信しそのメッセージに対する回答メッ セージを受信する一連のやりとりを登録セッションとし，その登録セッションを識別す るためのセッション IDを生成するセッション ID生成部と；

前記グループに登録する前記情報記録媒体の情報記録媒体 ID及び Z又は前記 情報処理装置の情報処理装置 IDと，前記セッション IDとを含んだ登録要求メッセ一 ジを登録サーバに対して送信する登録要求メッセージ送信部と；

前記登録サーバによりグループに登録された前記情報記録媒体 ID及び Z又は情 報処理装置 IDの IDリストと，前記セッション IDとを含む登録回答メッセージがェンコ ードされたパスフレーズを該登録サーノくから受信するパスフレーズ受信部と； 前記パスフレーズを前記登録回答メッセージにデコードし，該登録回答メッセージ に含まれるセッション IDと前記セッション ID生成ステップで生成したセッション IDとが 同一であることを検証し，前記セッション IDを削除する検証部と；

前記登録回答メッセージに含まれる IDリストを，前記グループを特定するグループ I Dとひも付けて自装置内の記憶領域に格納させる格納部と；

を備え，

前記登録要求メッセージ送信部と前記パスフレーズ受信部とは，同じ前記登録セッ シヨン内で前記前記登録要求メッセージを 1回送信し，前記パスフレーズを 1回受信 し；

前記登録セッション内で実行される処理は，前記登録要求メッセージ送信部による 前記登録要求メッセージの送信と，前記パスフレーズ受信部による前記パスフレーズ の受信に限られることを特徴とする，グループ登録装置。

少なくとも 1つの情報記録媒体及び Z又は情報処理装置をグループに登録するグ ループ登録装置であって：

前記グループに前記情報記録媒体及び Z又は情報処理装置を登録する要求を検 知する登録要求検知部と；

前記グループに登録する前記情報記録媒体の情報記録媒体 ID及び Z又は前記 情報処理装置の情報処理装置 IDを含んだ登録要求メッセージを登録サーバに対し て送信する登録要求メッセージ送信部と；

前記登録サーバによりグループに登録された前記情報記録媒体 ID及び Z又は情 報処理装置 IDの IDリストと，該登録サーバ側で取得したカウンタ情報とを含んだ登 録回答メッセージを該登録サーノ から受信する登録回答メッセージ受信部と； 前記登録回答メッセージに設定されたカウンタ情報と前記グループ登録する対象 の自装置内で取得したカウンタ情報との前後関係が適切であることを検証し，前記自 装置内のカウンタ情報を更新する検証部と；

前記登録回答メッセージに含まれる IDリストを，前記グループを特定するグループ I Dとひも付けて記憶領域に格納させる格納部と；

を備え，

前記登録要求メッセージ送信部と前記登録回答メッセージ受信部とは，前記ダル ープ登録を要求するメッセージを送信しそのメッセージに対する回答メッセージを受 信する一連のやりとりを登録セッションとしその同じ登録セッション内で前記登録要求 メッセージを 1回送信し，前記登録回答メッセージを 1回受信し；

前記登録セッション内で実行される処理は，前記登録要求メッセージ送信部による 前記登録要求メッセージの送信と，前記登録回答メッセージ受信部による前記登録 回答メッセージの受信に限られることを特徴とする，グループ登録装置。

[4] 前記カウンタ情報は，タイムスタンプであって，

前記登録回答メッセージ受信部は，前記登録サーバにより前記タイムスタンプが設 定された前記登録回答メッセージを受信し；

前記検証部は，前記登録回答メッセージに設定された前記タイムスタンプよりも，該 登録回答メッセージ受信時に前記自装置内で生成したタイムスタンプの方が新 、 ことを検証することを特徴とする，請求項 3に記載のグループ登録装置。

[5] 少なくとも 1つの情報記録媒体及び Z又は情報処理装置をグループに登録するグ ループ登録装置であって：

前記グループに前記情報記録媒体及び Z又は情報処理装置を登録する要求を検 知する登録要求検知部と；

前記グループに登録する前記情報記録媒体の情報記録媒体 ID及び Z又は前記 情報処理装置の情報処理装置 IDを含んだ登録要求メッセージを登録サーバに対し て送信する登録要求メッセージ送信部と；

前記登録サーバによりグループに登録された前記情報記録媒体 ID及び Z又は情 報処理装置 IDの IDリストと，該登録サーバ側で取得したカウンタ情報とを含む登録 回答メッセージがエンコードされたパスフレーズを該登録サーノくから受信するパスフ レーズ受信部と；

前記パスフレーズを前記登録回答メッセージにデコードし，前記登録回答メッセ一 ジに設定されたカウンタ情報と前記グループ登録する対象の自装置内で取得した力 ゥンタ情報との前後関係が適切であることを検証し，前記自装置内のカウンタ情報を 更新する検証部と；

前記登録回答メッセージに含まれる IDリストを，前記グループを特定するグループ I Dとひも付けて記憶領域に格納させる格納部と；

を備え，

前記登録要求メッセージ送信部と前記パスフレーズ受信部とは，前記グループ登 録を要求するメッセージを送信しそのメッセージに対する回答メッセージを受信する 一連のやりとりである同じ登録セッション内で前記登録要求メッセージを 1回送信し， 前記パスフレーズを 1回受信し；

前記登録セッション内で実行される処理は，前記登録要求メッセージ送信部による 前記登録要求メッセージの送信と，前記パスフレーズ受信部による前記パスフレーズ の受信に限られることを特徴とする，グループ登録装置。

少なくとも 1つの情報記録媒体及び Z又は情報処理装置がグループに登録されて おり，そのグループから少なくとも 1つの情報記録媒体及び Z又は情報処理装置の 登録を解除するグループ登録解除装置であって：

前記グループに登録された情報記録媒体及び Z又は情報処理装置の登録を解除 する要求を検知する登録解除要求検知部と；

前記グループ登録解除を開始するメッセージを受信しそのメッセージに対する回答 メッセージを送信する一連のやりとりを登録解除セッションとし，その登録解除セッショ ンを識別するためのセッション IDを含んだ前記グループ登録解除を開始する合図と なる登録解除開始メッセージを登録解除サーノから受信する登録解除開始メッセ一 ジ受信部と；

前記グループ登録解除する対象となる前記情報記憶媒体の情報記憶媒体 ID及び Z又は前記情報処理装置の情報処理装置 IDの IDリストと，前記セッション IDとを基 にして前記グループ登録解除を要求するための登録解除要求メッセージを作成し送 信する登録解除要求メッセージ送信部と；

前記グループを特定するグループ IDとひも付いた前記登録解除要求メッセージに 含まれる IDリストを削除し，グループ登録解除する解除部と；

を備え，

前記登録解除開始メッセージ受信部と前記登録解除要求メッセージ送信部とは， 同じ前記登録解除セッション内で前記登録解除開始メッセージを 1回受信し，前記登 録解除要求メッセージを 1回送信し；

前記登録解除セッション内で実行される処理は，前記登録解除開始メッセージ受 信部による前記登録解除開始メッセージの受信と，前記登録解除要求メッセージ送 信部による前記登録解除要求メッセージの送信に限られることを特徴とする，グルー プ登録解除装置。

少なくとも 1つの情報記録媒体及び Z又は情報処理装置がグループに登録されて おり，そのグループから少なくとも 1つの情報記録媒体及び Z又は情報処理装置の 登録を解除するグループ登録解除装置であって：

前記グループに登録された情報記録媒体及び Z又は情報処理装置の登録を解除 する要求を検知する登録解除要求検知部と；

前記登録解除サーバにより取得されたカウンタ情報を含んだ前記グループ登録解 除を開始する合図となる登録解除開始メッセージを前記登録解除サーバから受信す る登録解除開始メッセージ受信部と；

前記グループから登録解除する対象となる前記情報記録媒体の情報記録媒体 ID 及び Z又は前記情報処理装置の情報処理装置 IDの IDリストと，前記カウンタ情報と を基にして前記グループ登録解除を要求するための登録解除要求メッセージを作成 し送信する登録解除要求メッセージ送信部と； 前記登録解除開始メッセージに含まれるカウンタ情報と前記グループ登録解除す る対象の自装置内で取得したカウンタ情報との前後関係が適切であることを検証す る検証部と；

前記グループを特定するグループ IDとひも付いた前記登録解除要求メッセージに 含まれる IDリストを削除し，グループ登録解除する解除部と；

を備え，

前記登録解除開始メッセージ受信部と前記登録解除要求メッセージ送信部とは， 前記グループ登録解除を開始するメッセージを受信しそのメッセージに対する回答メ ッセージを送信する一連のやりとりを登録解除セッションとしその同じ前記登録解除 セッション内で前記登録解除開始メッセージを 1回受信し，前記登録解除要求メッセ ージを 1回送信し；

前記登録解除セッション内で実行される処理は，前記登録解除開始メッセージ受 信部による前記登録解除開始メッセージの受信と，前記登録解除要求メッセージ送 信部による前記登録解除要求メッセージの送信に限られることを特徴とする，グルー プ登録解除装置。

少なくとも 1つの情報記録媒体及び Z又は情報処理装置をグループに登録するグ ループ登録方法であって：

前記グループに前記情報記録媒体及び Z又は情報処理装置を登録する要求を検 知する登録要求検知ステップと；

前記グループ登録を要求するメッセージを送信しそのメッセージに対する回答メッ セージを受信する一連のやりとりを登録セッションとし，その登録セッションを識別す るためのセッション IDを生成するセッション ID生成ステップと；

前記グループに登録する前記情報記録媒体の情報記録媒体 ID及び Z又は前記 情報処理装置の情報処理装置 IDと，前記セッション IDとを含んだ登録要求メッセ一 ジを登録サーバに対して送信する登録要求メッセージ送信ステップと；

前記登録サーバによりグループに登録された前記情報記録媒体 ID及び Z又は情 報処理装置 IDの IDリストと，前記セッション IDとを含んだ登録回答メッセージを該登 録サーノ から受信する登録回答メッセージ受信ステップと； 前記登録回答メッセージに含まれるセッション IDと前記セッション ID生成ステップで 生成したセッション IDとが同一であることを検証すると，前記登録回答メッセージに含 まれる IDリストを，前記グループを特定するグループ IDとひも付けて記憶領域に格 納させる格納ステップと；

前記セッション IDを削除する削除ステップと；

を含み，

前記登録要求メッセージ送信ステップと前記登録回答メッセージ受信ステップとは ,同じ前記登録セッション内で 1回ずつ順に実行され；

前記登録セッション内で実行される処理は，前記登録要求メッセージ送信ステップ 及び登録回答メッセージ受信ステップに限られることを特徴とする，グループ登録方 法。

ライセンス保有装置力 コンテンツの処理を許可する 1又は 2以上のライセンスを取 得するライセンス取得装置であって：

前記ライセンスを取得する要求を検知するライセンス取得要求検知部と； 前記ライセンス取得を要求するメッセージを送信しそのメッセージに対する回答メッ セージを受信する一連のやりとりを取得セッションとし，その取得セッションを識別す るためのセッション IDを生成するセッション ID生成部と；

前記要求した 1又は 2以上のライセンスを保存する保存先を特定する保存先 IDと， 前記セッション IDとを含んだライセンス取得要求メッセージを前記ライセンス保有装 置に対して送信するライセンス取得要求メッセージ送信部と；

前記要求したライセンスと，該ライセンスの利用条件に関する付属情報と，前記保 存先 IDと，前記セッション IDとを含んだライセンス取得回答メッセージを前記ライセン ス保有装置力 受信するライセンス取得回答メッセージ受信部と；

前記ライセンス取得回答メッセージに含まれるセッション IDと前記セッション ID生成 部で生成したセッション IDとが同一であることを検証し，そのセッション IDを削除する 検証部と；

前記ライセンスを前記保存先 IDに従って記憶領域に保存させる保存部と； を備え， 前記ライセンス取得要求メッセージ送信部と前記ライセンス取得回答メッセージ受 信部とは，同じ前記取得セッション内で前記ライセンス取得要求メッセージを 1回送信 し，前記ライセンス取得回答メッセージを 1回受信し；

前記取得セッション内で実行される処理は，前記ライセンス取得要求メッセージ送 信部による前記ライセンス取得要求メッセージの送信と，前記ライセンス取得回答メッ セージ受信部による前記ライセンス取得回答メッセージの受信に限られることを特徴 とする，ライセンス取得装置。

ライセンス保有装置力 コンテンツの処理を許可する 1又は 2以上のライセンスを取 得するライセンス取得装置であって：

前記ライセンスを取得する要求を検知するライセンス取得要求検知部と； 前記要求した 1又は 2以上のライセンスを保存する保存先を特定する保存先 IDを 含んだライセンス取得要求メッセージを前記ライセンス保有装置に対して送信するラ ィセンス取得要求メッセージ送信部と；

前記要求したライセンスと，該ライセンスの利用条件に関する付属情報と，前記保 存先 IDと，前記ライセンス保有装置が取得したカウンタ情報とを含んだライセンス取 得回答メッセージを前記ライセンス保有装置力も受信するライセンス取得回答メッセ ージ受信部と；

前記ライセンス取得回答メッセージに含まれるカウンタ情報と，前記ライセンス保存 先の自装置内が取得したカウンタ情報との前後関係が適切であることを検証し，該自 装置内のカウンタ情報を更新する検証部と；

前記ライセンスを前記保存先 IDに従って記憶領域に保存させる保存部と； を備え，

前記ライセンス取得要求メッセージ送信部と前記ライセンス取得回答メッセージ受 信部とは，前記ライセンス取得を要求するメッセージを送信しそのメッセージに対する 回答メッセージを受信する一連のやりとりを取得セッションとしその同じ取得セッション 内で前記ライセンス取得要求メッセージを 1回送信し，前記ライセンス取得回答メッセ ージを 1回受信し；

前記取得セッション内で実行される処理は，前記ライセンス取得要求メッセージ送 信部による前記ライセンス取得要求メッセージの送信と，前記ライセンス取得回答メッ セージ受信部による前記ライセンス取得回答メッセージの受信に限られることを特徴 とする，ライセンス取得装置。

[11] ライセンス保有装置力 コンテンツの処理を許可する 1又は 2以上のライセンスを取 得するライセンス取得装置であって：

前記ライセンスを取得する要求を検知するライセンス取得要求検知部と； 前記ライセンス取得を要求するメッセージを送信しそのメッセージに対する回答メッ セージを受信する一連のやりとりを取得セッションとし，その取得セッションを識別す るためのセッション IDを生成するセッション ID生成部と；

前記要求した 1又は 2以上のライセンスを保存する保存先を特定する保存先 IDと， 前記セッション IDとを含んだライセンス取得要求メッセージをライセンス保有装置に 対して送信するライセンス取得要求メッセージ送信部と；

前記要求したライセンスと，該ライセンスの利用条件に関する付属情報と，前記保 存先 IDと，前記セッション IDとを含んだライセンス取得回答メッセージがエンコードさ れたパスフレーズを前記ライセンス保有装置力 受信するノ スフレーズ受信部と； 前記ノ スフレーズを前記ライセンス取得回答メッセージにデコードし，該ライセンス 取得回答メッセージに含まれるセッション IDと前記セッション ID生成ステップで生成 したセッション IDとが同一であることを検証し，前記セッション IDを削除する検証部と； 前記ライセンス取得回答メッセージに含む前記ライセンスを前記保存先 IDに従って 記憶領域に保存させる保存部と；

を備え，

前記ライセンス取得要求メッセージ送信部と前記パスフレーズ受信部とは，同じ前 記取得セッション内で前記ライセンス取得要求メッセージを 1回送信し，前記ライセン ス取得回答メッセージを 1回受信し；

前記取得セッション内で実行される処理は，前記ライセンス取得要求メッセージ送 信部による前記ライセンス取得要求メッセージの送信と，前記パスフレーズ受信部に よる前記パスフレーズの受信に限られることを特徴とする，ライセンス取得装置。

[12] ライセンス保有装置力 コンテンツの処理を許可する 1又は 2以上のライセンスを取 得するライセンス取得装置であって：

前記ライセンスを取得する要求を検知するライセンス取得要求検知部と； 前記要求した 1又は 2以上のライセンスを保存する保存先を特定する保存先 IDを 含んだライセンス取得要求メッセージを前記ライセンス保有装置に対して送信するラ ィセンス取得要求メッセージ送信部と；

前記要求したライセンスと，該ライセンスの利用条件に関する付属情報と，前記保 存先 IDと，前記ライセンス保有装置が取得したカウンタ情報とを含んだライセンス取 得回答メッセージがエンコードされたパスフレーズを前記ライセンス保有装置カも受 信するパスフレーズ受信部と；

前記ノ スフレーズを前記ライセンス取得回答メッセージにデコードし，該ライセンス 取得回答メッセージに含まれるカウンタ情報と前記ライセンス保存先の自装置内が取 得したカウンタ情報との前後関係が適切であることを検証し，該ライセンス保存先の 自装置内のカウンタ情報を更新する検証部と；

前記ライセンス取得回答メッセージに含まれるライセンスを前記保存先 IDに従って 記憶領域に保存させる保存部と；

を備え，

前記ライセンス取得要求メッセージ送信部と前記パスフレーズ受信部とは，前記ラ ィセンス取得を要求するメッセージを送信しそのメッセージに対する回答メッセージを 受信する一連のやりとりを取得セッションとし，その同じ取得セッション内で前記ライセ ンス取得要求メッセージを 1回送信し，前記ライセンス取得回答メッセージを 1回受信 し；

前記取得セッション内で実行される処理は，前記ライセンス取得要求メッセージ送 信部による前記ライセンス取得要求メッセージの送信と，前記パスフレーズ受信部に よる前記パスフレーズの受信に限られることを特徴とする，ライセンス取得装置。 前記カウンタ情報は，タイムスタンプであって，

前記パスフレーズ受信部は，前記ライセンス保有装置から前記パスフレーズを受信 し；

前記検証部は，前記パスフレーズのデコードにより得られた前記ライセンス取得回 答メッセージに含む前記タイムスタンプよりも，該パスフレーズ受信時に前記情報処 理装置が取得したタイムスタンプの方が新し 、ことを検証することを特徴とする，請求 項 12に記載のライセンス取得装置。

[14] ライセンス保有装置力 コンテンツの処理を許可する 1又は 2以上のライセンスを取 得するライセンス取得方法であって：

前記ライセンスを取得する要求を検知するライセンス取得要求検知ステップと； 前記ライセンス取得を要求するメッセージを送信しそのメッセージに対する回答メッ セージを受信する一連のやりとりを取得セッションとし，その取得セッションを識別す るためのセッション IDを生成するセッション ID生成ステップと；

前記要求した 1又は 2以上のライセンスを保存する保存先を特定する保存先 IDと， 前記セッション IDとを含んだライセンス取得要求メッセージを前記ライセンス保有装 置に対して送信するライセンス取得要求メッセージ送信ステップと；

前記要求したライセンスと，該ライセンスの利用条件に関する付属情報と，前記保 存先 IDと，前記セッション IDとを含んだライセンス取得回答メッセージを前記ライセン ス保有装置力も受信するライセンス取得回答メッセージ受信ステップと；

前記ライセンス取得回答メッセージに含まれるセッション IDと前記セッション ID生成 ステップで生成したセッション IDとが同一であることを検証すると，前記ライセンスを 前記保存先 IDに従って記憶領域に保存させる保存ステップと；

前記セッション IDを削除する削除ステップと；

を含み，

前記ライセンス取得要求メッセージ送信ステップと前記ライセンス取得回答メッセ一 ジ受信ステップとは，同じ前記取得セッション内で 1回ずつ順に実行され；

前記取得セッション内で実行される処理は，前記ライセンス取得要求メッセージ送 信ステップ及びライセンス取得回答メッセージ受信ステップに限られることを特徴とす る，ライセンス取得方法。

[15] 正確な時を刻む時刻装置により生成される時刻情報を基にして情報処理装置が刻 む時刻を設定する時刻設定装置であって：

前記時刻装置が生成する時刻情報の要求を検知する要求検知部と； 前記時刻情報を要求するメッセージを送信しそのメッセージに対する回答メッセ一 ジを受信する一連のやりとりを時刻設定セッションとし，その時刻設定セッションを識 別するためのセッション IDを生成するセッション ID生成部と；

前記情報処理装置の記憶領域に予めセキュアに格納された情報であって該情報 処理装置の時刻精度を示す時刻精度情報と，前記セッション IDとを含んだ時刻設定 要求メッセージを前記時刻装置に対して送信する時刻設定要求メッセージ送信部と; 前記時刻情報と，該時刻情報を基にして時刻設定可能な条件が記述された時刻 設定条件情報と，前記セッション IDとを含んだ時刻設定回答メッセージを前記時刻 装置力 受信する時刻設定回答メッセージ受信部と；

前記時刻設定回答メッセージに設定された前記セッション IDと前記セッション ID生 成ステップで生成したセッション IDとが同一であることを検証するとともに，前記時刻 設定要求メッセージの送信時刻と前記時刻設定回答メッセージの受信時刻との差分 時間が前記時刻設定条件情報に記述された許容時間の範囲内であることを検証す る検証部と；

前記検証部による検証の結果，時刻設定可能であると判断された場合，前記セッ シヨン IDを削除するとともに，前記時刻情報を基に前記情報処理装置の時刻を設定 する設定部と；

を備え，

前記時刻設定要求メッセージ送信部と前記時刻設定回答メッセージ受信部とは， 同じ前記時刻設定セッション内で前記時刻設定要求メッセージを 1回送信し，前記時 刻設定回答メッセージを 1回受信し；

前記時刻設定セッション内で実行される処理は，前記時刻設定要求メッセージ送 信部による前記時刻設定要求メッセージの送信と，前記時刻設定回答メッセージ受 信部による前記時刻設定回答メッセージの受信に限られることを特徴とする，時刻設 定装置。

正確な時を刻む時刻装置により生成される時刻情報を基にして情報処理装置が刻 む時刻を設定する時刻設定装置であって：

前記時刻装置が生成する時刻情報の要求を検知する要求検知部と； 前記情報処理装置の記憶領域に予めセキュアに格納された情報であって該情報 処理装置の時刻精度を示す時刻精度情報を含んだ時刻設定要求メッセージを前記 時刻装置に対して送信する時刻設定要求メッセージ送信部と；

前記時刻情報と，該時刻情報を基にした時刻設定可能な条件が記述された時刻 設定条件情報と，該時刻装置により取得されたカウンタ情報とを含んだ時刻設定回 答メッセージを該時刻装置から受信する時刻設定回答メッセージ受信部と； 前記時刻設定回答メッセージに設定されたカウンタ情報と前記時刻設定する対象 の情報処理装置が取得したカウンタ情報とを比較し前後関係が適切であることを検 証し，前記時刻設定要求メッセージの送信時刻と前記時刻設定回答メッセージの受 信時刻との差分時間が前記設定条件情報に含む許容時間の範囲内であることを検 証すると，前記情報処理装置のカウンタ情報を更新する検証部と；

前記検証の結果，時刻設定可能であると判断された場合，前記時刻情報を基に該 情報処理装置の時刻を設定する設定部と；

を備え，

前記時刻設定要求メッセージ送信部と前記時刻設定回答メッセージ受信部とは， 前記時刻情報を要求するメッセージを送信しそのメッセージに対する回答メッセージ を受信する一連のやりとりを時刻設定セッションとしその時刻設定セッション内で前記 時刻設定要求メッセージを 1回送信し，前記時刻設定回答メッセージを 1回受信し； 前記時刻設定セッション内で実行される処理は，前記時刻設定要求メッセージ送 信部による前記時刻設定要求メッセージの送信と，前記時刻設定回答メッセージ受 信部による前記時刻設定回答メッセージの受信に限られることを特徴とする，時刻設 定装置。

[17] 前記時刻設定条件情報は，前記時刻精度情報が示す時刻精度に応じて前記時刻 装置が生成する情報であることを特徴とする，請求項 16に記載の時刻設定装置。

[18] 前記要求検知部は，前記時刻設定条件情報に含む前記設定された時刻の有効期 限が経過した場合，所定時間経過した場合，または前記情報処理装置がコンテンツ を取得する場合，前記時刻情報の要求を少なくとも検知することを特徴とする，請求 項 16に記載の時刻設定装置。 [19] 前記カウンタ情報は，タイムスタンプであって，

前記時刻設定回答メッセージ受信部は，前記時刻装置により前記タイムスタンプが 設定された前記時刻設定回答メッセージを受信し；

前記検証部は，前記時刻設定回答メッセージに設定された前記タイムスタンプより も，該時刻設定回答メッセージ受信時に前記情報処理装置が生成したタイムスタン プの方が新 U、ことを検証することを特徴とする，請求項 16に記載の時刻設定装置。

[20] 正確な時を刻む時刻装置により生成される時刻情報を基にして情報処理装置が刻 む時刻を設定する時刻設定方法であって：

前記時刻装置が生成する時刻情報の要求を検知する要求検知ステップと； 前記情報処理装置の記憶領域に予めセキュアに格納された情報であって該情報 処理装置の時刻精度を示す時刻精度情報を含んだ時刻設定要求メッセージを前記 時刻装置に対して送信する時刻設定要求メッセージ送信ステップと；

前記時刻情報と，該時刻情報を基にした時刻設定可能な条件が記述された時刻 設定条件情報と，該時刻装置により取得されたカウンタ情報とを含んだ時刻設定回 答メッセージを該時刻装置カゝら受信する時刻設定回答メッセージ受信ステップと； 前記時刻設定回答メッセージに設定されたカウンタ情報と前記時刻設定する対象 の情報処理装置が生成したカウンタ情報とを比較し前後関係が適切であることを検 証するとともに，前記時刻設定要求メッセージの送信時刻と前記時刻設定回答メッセ ージの受信時刻との差分時間が前記設定条件情報に含む許容時間の範囲内であ ることを検証する検証ステップと；

前記検証の結果，時刻設定可能であると判断された場合，前記時刻情報を基に該 情報処理装置の時刻を設定する時刻設定ステップと；

前記情報処理装置のカウンタ情報を更新する更新ステップと；

を含み，

前記時刻設定要求メッセージ送信ステップと前記時刻設定回答メッセージ受信ス テツプとは，前記時刻情報を要求するメッセージを送信しそのメッセージに対する回 答メッセージを受信する一連のやりとりを時刻設定セッションとしその時刻設定セッシ ヨン内で 1回ずつ順に実行され； 前記時刻設定セッション内で実行される処理は，前記時刻設定要求メッセージ送 信ステップ及び時刻設定回答メッセージ受信ステップに限られることを特徴とする， 時刻設定方法。