WO2007029285A1 - データ配信システム及び発行装置及び端末装置及び中間ノード - Google Patents

Abstract

　ライセンス配信システム１０００は、ライセンス発行者の許可した範囲内で、ライセンス編集を中間ノードに許す。ライセンス配信システム１０００は、中間ノードによるライセンス編集が正当に行われたか否かを、ライセンス配信に関わる各中間ノードが検証可能である。ライセンス配信システム１０００では、ライセンス発行者装置２が、オリジナルライセンスに、オリジナルライセンスの変更可能範囲を記述したオリジナル編集許可情報を付加する。それぞれの中間ノードは、オリジナル編集許可情報の変更可能範囲内で編集した編集ライセンスを、ライセンス発行者装置が発行したライセンス１に順次アペンドしていく。

Description

明 細 書

データ配信システム及び発行装置及び端末装置及び中間ノード 技術分野

[0001] この発明は、デジタルコンテンツの利用権管理システムに係るものである。例えば、 本発明は、ライセンス発行者が許可する範囲内において、中間ノードにライセンスの 編集を許す、多段、多階層のライセンス配信技術に関する。

背景技術

[0002] 映像、音楽、文書、画像などのデジタルコンテンツの利用をライセンスにより制限す るコンテンツ利用権管理システムが提案されている。例えば、コンテンツの利用期間 力 2005年 1月 1日力も 2005年 12月 31日までと指定されているライセンスに関して は、そのライセンスを取得したユーザは、その指定されている期間内でのみコンテン ッを利用することができる。

[0003] 同じぐライセンスにコンテンツの視聴回数が 10回までと指定されていた場合、その ライセンスを取得したユーザは、その指定されて 、る回数の範囲内でコンテンツを利 用することができる。

[0004] ライセンスは、そのライセンスに対応するコンテンツの著作権者であるコンテンツホ ルダが、ユーザに提供するものである。コンテンツホルダは、コンテンツの配信をコン テンップロノイダに委託することが多い。これは、例えば、次の理由による。コンテン ッホルダは、多数のユーザに対して課金等と引き換えにライセンスを提供する場合は 、個々のユーザを全て管理し、課金処理等も行わなければならず煩雑である。このた め、コンテンツホルダが自身で配信を行うよりも、コンテンツプロバイダに委託してしま つた方が、ビジネス上効率的だ力もである。

[0005] ここで、ライセンスの内容自体についても、コンテンツホルダが管理するのではなぐ コンテンツプロバイダが管理する形態がとられる場合が多い。例えば、次の様な形態 力 Sとられる。コンテンツホルダは、個々のユーザに対して課金等に応じたライセンスの 編集'発行を管理しない。その代わりに、コンテンツホルダは、雛形となるライセンスを コンテンツプロバイダに提供する。コンテンツプロバイダは、提供を受けた雛形のライ センスの範囲内で、きめ細かなライセンスの編集'発行管理を行う。

[0006] しかし、このコンテンツホルダとコンテンツプロバイダの関係は、主に契約書等によ つて規定されている。また、特にシステム化されておらず、コンテンツプロバイダの人 為的ミスや意図的な不正により、コンテンツプロバイダ力 コンテンツホルダ力 許可 されたライセンスの範囲を逸脱したライセンスを編集 '発行する問題がある。また、そ のような許可範囲を逸脱したライセンスが発行されたとしても、検出し難いという問題 かあつた。

[0007] このような課題に対し、特開 2004— 355100号公報では、ディストリビュータ（コン テンッホルダ）と利用者 (ユーザ）がライセンスサーバを共有し、リテイラ（コンテンツプ ロバイダ）を経由してディストリビュータから利用者に送られたライセンス力 正当であ ることを検証する技術が開示されて ヽる。

[0008] また、特開 2003— 87235号公報では、システムホルダ（コンテンツホルダ）とユー ザデバイス（ユーザ）が予めグローバル共通鍵を共有しておき、サービスプロバイダ（ コンテンツプロバイダ）がコンテンツ鍵を編集できな 、ようにする技術が開示されて!ヽ る。

[0009] し力しながら、これらは、コンテンツホルダが、全てのユーザを管理することが前提と なっている。よって、コンテンツプロバイダが不正なライセンス編集を行うことを防止す るという点では効果がある力 コンテンツホルダがユーザ管理を行う必要が発生する という別の課題が顕在化する。

特許文献 1 :特開 2004— 355100号公報

特許文献 2：特開 2003— 87235号公報

発明の開示

発明が解決しょうとする課題

[0010] 本発明は、個々のユーザ管理をコンテンツプロノイダに委託するとともに、コンテン ップロバイダによる不正なライセンス編集を防止し、適切なライセンス編集を許可する 、ライセンス配信システムを提供することを目的とする。

課題を解決するための手段

[0011] 本発明のデータ配信システムは、 データを発行する発行装置と、前記発行装置が発行した前記データを中継する複 数の中間ノードと、前記複数の中間ノードを介して前記データを受信する端末装置と を備えたデータ配信システムにお 、て、

前記発行装置は、

前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報とを含む中継デ ータを発行し、

前記複数の中間ノードのうちの少なくとも 、ずれかは、

前記発行装置が発行した前記中継データを中継する場合に、前記中継データに 含まれる前記オリジナル編集許可情報に基づ 、て、前記オリジナルデータに対して 少なくとも一部が変更された編集データを生成し、生成した前記編集データを前記 中継データに追カ卩して前記中継データを中継し、

前記端末装置は、

前記複数の中間ノードのうちの少なくともいずれかにより前記編集データが追加さ れた前記中継データを受信することを特徴とする。

[0012] 前記発行装置が発行する中継データに含まれる前記オリジナルデータは、

前記端末装置に対して所定の権利を認めるオリジナルライセンスを含むことを特徴 とする。

[0013] 本発明の発行装置は、

所定のデータを発行し、発行した前記所定のデータを複数の中間ノードを介して、 端末装置に配信する発行装置において、

前記端末装置に配信するためのオリジナルデータと、前記複数の中間ノードの少 なくともいずれかに対して前記オリジナルデータの変更を認めるとともに変更を認め る内容を示すオリジナル編集許可情報とを含む中継データを発行する発行部と、 前記発行部が発行した前記中継データを送信する発行側送信部と

を備えたことを特徴とする。

[0014] 本発明の中間ノードは、

端末装置にデータを中継する中間ノードにおいて、 前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報とを含む中継デ ータを中継の対象として受信するノード側受信部と、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナル編集許 可情報に基づいて、前記オリジナルデータに対して少なくとも一部が変更された編集 データを生成し、生成した前記編集データを前記ノード側受信部が受信した前記中 継データに追加する追加部と、

前記追加部により前記編集データが追加された前記中継データをあらたな中継デ ータとして中継のために送信するノード側送信部と

を備えたことを特徴とする。

[0015] 前記追加部は、

前記オリジナルデータに対する変更を示す差分を自己差分情報として取得し、取 得した前記自己差分情報と前記ノード側受信部が受信した前記中継データに含ま れる前記オリジナル編集許可情報とに基づ ヽて、前記編集データを生成することを 特徴とする。

[0016] 前記追加部は、

前記自己差分情報が、前記オリジナル編集許可情報の認める内容の範囲内かどう かを検証する差分検証部を備えたことを特徴とする。

[0017] 前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報と、他の中間ノー ドが前記オリジナルデータを変更して追加した他ノード変更データとを含む中継デー タを中継の対象として受信し、

前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナルデータと 前記オリジナル編集許可情報と前記他ノード変更データとに基づいて、前記ノード側 受信部が受信した前記中継データが正当力どうかを検証するノード側中継データ検 証部を備えたことを特徴とする。 [0018] 本発明の端末装置は、

複数の中間ノードを介して中継されるデータの配信を受ける端末装置において、 前記複数の中間ノードを介して中継される中継データであって、

配信の対象であるオリジナルデータと、前記複数の中間ノードの少なくともいずれ かに対して前記オリジナルデータの変更を認めるとともに変更を認める内容を示すォ リジナル編集許可情報と、前記複数の中間ノードのうち少なくともいずれかが前記ォ リジナルデータを変更して追加した他ノード変更データとを含む中継データを受信す る端末側受信部と、

前記端末側受信部が受信した前記中継データに含まれる前記オリジナルデータと 前記オリジナル編集許可情報と前記他ノード変更データとに基づいて、前記端末側 受信部が受信した前記中継データが正当力どうかを検証する端末側中継データ検 証部と

を備えたことを特徴とする。

[0019] 本発明のデータ配信システムは、

データを発行する発行装置と、前記発行装置が発行した前記データを中継する複 数の中間ノードと、前記複数の中間ノードを介して前記データを受信する端末装置と を備えたデータ配信システムにお 、て、

前記発行装置は、

前記端末装置に配信するためのオリジナルデータを含む中継データを発行し、 前記複数の中間ノードのうちの少なくとも 、ずれかは、

前記発行装置が発行した前記中継データを中継する場合に、前記オリジナルデー タに対する変更を示す差分を自己差分情報として取得し、取得した前記自己差分情 報を前記中継データに追加して前記中継データを中継し、

前記端末装置は、

前記複数の中間ノードのうちの少なくともいずれかにより前記自己差分情報が追カロ された前記中継データを受信することを特徴とする。

[0020] 本発明の中間ノードは、

端末装置にデータを中継する中間ノードにおいて、 前記端末装置に配信するためのオリジナルデータを含む中継データを中継の対象 として受信するノード側受信部と、

前記オリジナルデータに対する差分を自己差分情報として取得し、取得した前記自 己差分情報を前記ノード側受信部が受信した前記中継データに追加する追加部と、 前記追加部により前記自己差分情報が追加された前記中継データをあらたな中継 データとして中継のために送信するノード側送信部と

を備えたことを特徴とする。

[0021] 前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報とを含む中継デ ータを中継の対象として受信し、

前記追加部は、

前記自己差分情報が、前記ノード側受信部の受信した前記中継データに含まれる 前記オリジナル編集許可情報の認める内容の範囲内かどうかを検証する差分検証 部を備えたことを特徴とする。

[0022] 前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報と、他の中間ノー ドが前記オリジナルデータに対する変更を差分として追加した他ノード差分情報とを 含む中継データを中継の対象として受信し、

前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナル編集許 可情報と前記他ノード差分情報とに基づ!、て、前記ノード側受信部が受信した前記 中継データが正当かどうかを検証するノード側中継データ検証部を備えたことを特徴 とする。

[0023] 前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、他の中間ノードが前記オリジ ナルデータに対する変更を差分として追加した他ノード差分情報とを含む中継デー タを中継の対象として受信し、

前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナルデータと 前記他ノード差分情報とに基づ!、て、前記他ノード差分情報が示す前記オリジナル データに対する差分を前記オリジナルデータに反映した反映データを生成するノー ド側反映データ生成部を備えたことを特徴とする。

[0024] 本発明の端末装置は、

複数の中間ノードを介して中継されるデータの配信を受ける端末装置において、 前記複数の中間ノードを介して中継される中継データであって、配信の対象である オリジナルデータと、前記複数の中間ノードの少なくともいずれかに対して前記オリジ ナルデータの変更を認めるとともに変更を認める内容を示すオリジナル編集許可情 報と、前記複数の中間ノードのうちの少なくともいずれかが前記オリジナルデータに 対する変更を差分として追加した他ノード差分情報と含む中継データを受信する端 末側受信部と、

前記端末側受信部が受信した前記中継データに含まれる前記オリジナル編集許 可情報と前記他ノード差分情報とに基づいて、前記端末側受信部が受信した前記中 継データが正当かどうかを検証する端末側中継データ検証部とを備えたことを特徴と する。

[0025] 前記端末装置は、さらに、

前記端末側受信部が受信した前記中継データに含まれる前記オリジナルデータと 前記他ノード差分情報とに基づ!、て、前記他ノード差分情報が示す前記オリジナル データに対する差分を前記オリジナルデータに反映した反映データを生成する端末 側反映データ生成部を備えたことを特徴とする。

[0026] 本発明の中間ノードは、

端末装置にデータを中継する中間ノードにおいて、

前記端末装置に配信するためのオリジナルデータを含む中継データを中継の対象 として受信するノード側受信部と、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナルデータ の変更を認めるとともに変更を認める内容を示す情報を自己編集許可情報として取 得し、取得した前記自己編集許可情報を前記ノード側受信部が受信した前記中継 データに追加する追加部と、

前記追加部により前記自己編集許可情報が追加された前記中継データをあらたな 中継データとして中継のために送信するノード側送信部と

を備えたことを特徴とする。

[0027] 前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、他の中間ノードが追加した情 報であって前記オリジナルデータの変更を認めるとともに変更を認める内容を示す他 ノード編集許可情報とを含む中継データを受信し、

前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記他ノード編集許可 情報に基づ 、て、前記自己編集許可情報が正当かどうかを検証する自己許可情報 検証部を備えたことを特徴とする。

[0028] 前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報とを発行する発行 装置が発行した前記オリジナルデータと前記オリジナル許可情報とを含むとともに、 他の中間ノードが追加した情報であって前記オリジナルデータの変更を認めるととも に変更を認める内容を示す他ノード編集許可情報とを含む中継データを受信し、 前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナル編集許 可情報と前記他ノード編集許可情報とに基づ!、て、前記ノード側受信部が受信した 前記中継データが正当かどうかを検証するノード側中継データ検証部を備えたことを 特徴とする。

発明の効果

[0029] 本発明により、個々のユーザ管理をコンテンツプロバイダに委託することができ、か つ、コンテンツプロバイダによる不正なライセンス編集を防止し、適切なライセンス編 集を許可する、ライセンス配信システムを提供することができる。

発明を実施するための最良の形態

[0030] 実施の形態 1.

(1.編集ライセンスのアペンドと、各ノードが保有する処理系）

図 1〜図 30を用いて実施の形態 1を説明する。

[0031] まず、図 1を用いて、実施の形態 1のライセンス配信システム 1000を説明する。図 1 は、実施の形態 1におけるライセンス配信システム 1000のシステム構成を示す図で ある。ライセンス配信システム 1000は、ライセンス 1 (中継データの一例）を発行する ライセンス発行者装置 2 (発行装置の一例）と、ライセンス 1を中継し、また、後述する 編集ライセンス (編集データの一例）をライセンス 1に追加する中間ノード 3 (1〜Nの N個）と、最終的にライセンス 1を受信する複数の端末装置 4とを備えている。また、ラ ィセンス発行者装置 2や中間ノード 3や端末装置 4は、ネットワーク 5に接続している。 ネットワーク 5は、有線 ·無線の別を問わない。なお、中間ノード 3については、 1〜N の区別が必要な場合は、中間ノード（1)、中間ノード (N)のように表す。また、端末装 置 4は、以下では、単に端末と呼ぶ場合がある。

[0032] (1)ライセンス 1は、ライセンス発行者によって生成されるコンテンツ利用権である。ラ ィセンス 1は、映像コンテンツ等の視聴可能期間や、視聴可能回数などの利用権に 関する利用権情報を含む。なお、以下ではライセンス 1に関して、中間ノード 3が送信 する場合に、ライセンス 1のことを最新ライセンスと呼ぶ場合がある。また、中間ノード 3または端末 4がライセンス 1を受信する場合に、ライセンス 1のことを受信ライセンスと 呼ぶ場合がある。

(2)ライセンス発行者装置 2は、上記ライセンス 1を生成する装置である。通常、ライセ ンス発行者装置 2は、ライセンス発行者が所有する。

(3)端末 4は、予めコンテンツを入手し、受信したライセンス 1に基づきコンテンツを視 聴する装置である。通常、端末 4は、ユーザが所有する。

(4)中間ノード 3は、ライセンス発行者装置 2、あるいは上位の中間ノード 3からライセ ンス 1を受信し、受信したライセンス 1に対して適切な編集を加え、あるいは何も編集 することなぐ下位の中間ノード 3あるいは端末 4にライセンス 1を配信（中継)する。通 常、中間ノード 3は、コンテンツプロノイダなどの中間業者が所有する。

(5)ライセンス 1は、コンテンツを利用する端末 4に到達するまでに、複数の中間ノー ド 3を経由される。この場合、各中間ノード 3は、ライセンス 1の内容を編集する場合が ある。

[0033] 図 2は、ライセンス配信システム 1000の動作の概要を示す図である。図 2は、ライセ ンスが、中間ノード（1)、中間ノード (2)を経由され、端末 4に配信される場合を示して いる。中間ノード（1)と中間ノード（2)とは、ライセンス 1の内容を編集する。まず、ライ センス発行者装置 2は、オリジナルライセンス (オリジナルデータの一例）とオリジナル 編集許可情報とを含むライセンス laを発行し、中間ノード（1)に送信する。中間ノー ド（1)は、受信したライセンス laに編集ライセンス 1を追加してライセンス lbを生成し、 中間ノード（2)にライセンス lbを送信する。中間ノード（2)は、受信したライセンス lb に編集ライセンス 2を追加してライセンス lcを生成し、端末 4にライセンス lcを送信す る。端末 4は、中間ノード (2)の送信したライセンス lcを受信する。さらに詳しい動作 は後述する。

[0034] 図 3は、実施の形態 1におけるライセンス発行者装置 2の外観を示す図である。図 3 のライセンス発行者装置 2は、コンピュータシステムである。また、図示はしていない 力 中間ノード 3、及び端末 4もコンピュータシステムであり、図 3のライセンス発行者 装置 2の外観と同様の外観である。

[0035] 図 3において、ライセンス発行者装置 2は、システムユニット 830、液晶表示装置 81 3、キーボード 814、マウス 815、コンパクトディスク装置（CDD) 818、プリンタ 819、 を備え、これらはケーブルで接続されて ヽる。 また、ライセンス発行者装置 2は、ネッ トワーク 5に接続されている。そして、ライセンス発行者装置 2は、ネットワーク 5を介し て中間ノード 3、端末 4等と通信可能である。

[0036] 図 4は、ライセンス発行者装置 2のハードウェア構成図である。なお、中間ノード 3、 及び端末 4のハードウェア構成も、図 4のライセンス発行者装置 2のハードウェア構成 と同様である。図 4において、ライセンス発行者装置 2は、プログラムを実行する CPU (Central Processing Unit) 810を備えている。 CPU810はバス 825を介して、 R OM811、 RAM812、液晶表示装置 813、キーボード 814、マウス 815、通信ボード 816、 FDD (Flexible Disk Drive) 817、 CDD818、プリンタ 819、磁気ディスク 装置 820等と接続されている。通信ボード 816は、ネットワーク 5に接続されている。

[0037] 磁気ディスク装置 820には、オペレーティングシステム（OS) 821、ウィンドウシステ ム 822、プログラム群 823、ファイル群 824が記憶されている。プログラム群 823は、 C

PU810、 OS821、ウィンドウシステム 822により実行される。

[0038] 上記プログラム群 823には、以下に述べる実施の形態 1〜実施の形態 4の説明に お 、て「〜部」として説明する機能を実行するプログラムが記憶されて 、る。プロダラ ムは、 CPU810により読み出され実行される。

[0039] また、以下に述べる実施の形態 1〜実施の形態 4の説明において「〜部」として説 明するものは、 ROM811に記憶されたファームウェアで実現されて 、ても構わな!/、。 或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウ エアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わな い。

[0040] また、以下に述べる実施の形態を実施するプログラムは、磁気ディスク装置 820、 F D (Flexible Disk)、光ディスク、 CD (コンパクトディスク）、 MD (ミニディスク）、 DV D (Digital Versatile Disk)等の記録媒体による記録装置を用いて記憶されても 構わない。

[0041] 図 5は、端末装置 4のハードウ ア構成の別の例を示す図である。端末装置 4は、図 3、図 4に示したコンピュータシステムの他、 STB (Set Top Box)など、家庭用の A V (Audio and Visual)機器なども想定している。図 5は、端末装置 4として AV機 器を想定した場合のハードウェア構成図である。図 5に示す端末装置 4は、プロダラ ムを実行する CPU (Central Processing Unit) 810を備えている。 CPU810は ノ ス 825を介して、 ROM811、 RAM812,液晶表示装置 813、リモコン受信部 851 、通信ボード 816、磁気ディスク装置 820等と接続されている。リモコン受信部 851は リモコン装置 852からの操作を受け付ける。また、通信ボード 816は、ネットワーク 5に 接続されている。その他は、図 4の場合と同様である。

[0042] 図 6は、ライセンス発行者装置 2の構成図である。図に示す様に、ライセンス発行者 装置 2は、発行側ライセンス生成部 31 (発行部の一例）と、発行側送付先公開鍵格 納部 34と、発行側暗号化処理部 35と、発行側秘密鍵格納部 36と、発行側署名生成 部 37と、発行側送信部 38とを備える。また、発行側ライセンス生成部 31は、オリジナ ルライセンス生成部 32と、オリジナル編集許可情報生成部 33とを備える。

[0043] 発行側ライセンス生成部 31は、ライセンス 1を生成する。発行側ライセンス生成部 3 1のオリジナルライセンス生成部 32は、オリジナルライセンスを生成する。また、オリジ ナル編集許可情報生成部 33は、オリジナル編集許可情報を生成する。なお、オリジ ナルライセンス、オリジナル編集許可情報等は、さらに後述する。

[0044] 発行側送付先公開鍵格納部 34は、生成したライセンス（図 6の最新ライセンス 403 )を送信する送信先の中間ノードの公開鍵である送付先公開鍵 39を格納して ヽる。

[0045] 発行側暗号ィ匕処理部 35は、発行側ライセンス生成部 31の生成したライセンスを、 発行側送付先公開鍵格納部 34が格納する送付先公開鍵 39により、暗号化する。

[0046] 発行側秘密鍵格納部 36は、秘密鍵 30を格納する。

[0047] 発行側署名生成部 37は、発行側秘密鍵格納部 36が格納する秘密鍵 30により、電 子署名を生成する。

[0048] 発行側送信部 38は、発行側署名生成部 37により署名の付加されたライセンスを、 最新ライセンス 403として、送信先である所定の中間ノード 3に送信する。

[0049] (2.ライセンス発行者装置 2によるライセンスの生成）

図 7は、ライセンスの詳細な構造を示すブロック図である。図 7は、ライセンス発行者 装置 2の発行側ライセンス生成部 31によって生成された初期状態のライセンス 1を示 す。初期状態のライセンス 1は、オリジナルライセンス 101と、オリジナル編集許可情 報 102と、発行者署名 301とを含んでいる。「オリジナル」とは、ライセンス発行者装置 2が生成した情報であることを示す。

[0050] ここで、オリジナルライセンス 101とは、ライセンス発行者が特定のコンテンツに対し て指定した初期ライセンスである。また、オリジナル編集許可情報 102とは、ライセン ス発行者が中間ノード 3に対して、ライセンスの編集を許す許可範囲を規定した情報 である。オリジナル編集許可情報 102は、後述のように、誰が（どのノードが）、何を（ 何を対象として）、どのように編集してよいか、といった変更を認めるとともに変更を認 める内容を示す情報を保持している。オリジナルライセンス 101は、発行者署名 201 が付加されている。また、オリジナル編集許可情報 102は、発行者署名 202が付加さ れている。

[0051] 図 8は、オリジナルライセンス生成部 32が生成したオリジナルライセンス 101の一例 を示している。図 8を参照してオリジナルライセンス 101について説明する。図 8のオリ ジナルライセンス 101には、利用権として次の項目が指定されている。

(1) < Start >の示す視聴可能期間開始日時と、

(2)く End >の示す視聴可能期間終了日時と、

(3) < Count >の示す視聴可能回数と、

(4)く Gender >の示す視聴可能者性別と、

(5)く Age flag = "upper" >の示す視聴可能年齢と

である。

[0052] 図 8の才リジナノレライセンス 101 ίま、具体的に ίま、 2005年 4月 1曰 0時 00分力、ら 20 05年 9月 30日 23時 59分まで、 18歳以上の男性が、 10回、所定のコンテンツを視聴 できることを表している。

[0053] なお、図 8の例では、オリジナルライセンス 101を XML (extensible Markup La nguage)形式で示した。しかし、記載形式は XMLに限らない。どのような形式の言 語で記載しても構わない。

[0054] 次に、図 9を参照してオリジナル編集許可情報 102を説明する。図 9は、オリジナル 編集許可情報生成部 33が生成したオリジナル編集許可情報 102の一例を示してい る。図 7の説明で述べたように、オリジナル編集許可情報 102は、ライセンス発行者が 中間ノード 3に対してライセンスの編集を許す許可範囲を規定した情報であり、誰が（ どのノードが）、何を、どのように編集してよいか、といった情報を保持する。

[0055] 図 9は、 Security Centerlで示された中間ノード 3が、視聴可能期間開始日時（ Startタグ)を未来の方向に編集課可能であり、さらに、視聴可能期間終了日時 (En dタグ）を過去の方向に編集可能であることを示している。また、 Security Center2 で示された中間ノード 3が、視聴可能回数 (Countタグ)を、オリジナルライセンス 101 で指定された回数以下の範囲で編集可能であることを示している。

[0056] なお、図 9の例では、オリジナル編集許可情報 102を XML形式で示した力 それ に限るものではなぐどのような形式でもよい。

[0057] 次に、図 10を参照して、図 7の発行者署名 201を説明する。発行者署名 201は、ォ リジナルライセンス 101に対する発行者の署名である。発行者署名 201は、発行側ラ ィセンス生成部 31が生成する。発行側ライセンス生成部 31は、 SHA— 1や MD5な どのハッシュアルゴリズムを使用することによりハッシュ値を生成するハッシュ生成部（ 図示していない）によって、オリジナルライセンス 101のハッシュ値を生成する。そして 、発行側ライセンス生成部 31は、前記ハッシュ生成部によって生成されたハッシュ値 を発行側秘密鍵格納部 36が格納する秘密鍵 30により暗号ィ匕して、発行者署名 201 を生成する。

[0058] ライセンス発行者装置 2は、この発行者署名 201により、中間ノードによるオリジナ ルライセンスの改竄を防ぐことができる。

[0059] 次に、図 11を参照して、図 7の発行者署名 202を説明する。発行者署名 202の生 成は、発行者署名 201の場合と同様である。発行者署名 202は、オリジナル編集許 可情報 102に対する発行者の署名である。発行者署名 202は、発行側ライセンス生 成部 31が生成する。発行側ライセンス生成部 31は、 SHA—1や MD5などのハツシ ユアルゴリズムを使用することによりハッシュ値を生成するハッシュ生成部（図示して いない）によって、オリジナル編集許可情報 102のハッシュ値を生成する。そして、発 行側ライセンス生成部 31は、前記ハッシュ生成部によって生成されたオリジナル編 集許可情報 102のハッシュ値を発行側秘密鍵格納部 36が格納する秘密鍵 30により 暗号ィ匕して、発行者署名 202を生成する。

[0060] ライセンス発行者装置 2は、この発行者署名 202により、中間ノードによるオリジナ ル編集許可情報の改竄を防ぐことができる。

[0061] 次に、図 12を参照して、中間ノード 3に送信するライセンスの生成と図 7の発行者署 名 301とについて説明する。ライセンス発行者装置 2の発行側ライセンス生成部 31は 、発行者署名 201を付与したオリジナルライセンス 101と、発行者署名 202を付与し たオリジナル編集許可情報 102とを連結して、発行側暗号化処理部 35に出力する。 この連結された全体を連結ライセンスと呼ぶこととする。そして、発行側暗号化処理部 35は、連結ライセンスを次の中間ノード 3の公開鍵である送付先公開鍵 39により暗 号化する。あるいは、具体的な実装では、ライセンスデータ (連結ライセンス)を直接 公開鍵で暗号化せず、まず、ライセンスデータを共通鍵 (通常、「セッション鍵」と呼ば れる。）で暗号ィ匕する。そしてその共通鍵 (セッション鍵)を公開鍵で暗号ィ匕し、暗号 化済みのライセンスデータにアペンドしてもよい。このように、公開鍵によるライセンス データの暗号ィ匕の際にセッション鍵を介在させ、セッション鍵を公開鍵で暗号ィ匕した ものをライセンスにアペンドするという公知の技術を用いることができる。発行側暗号 化処理部 35は、暗号ィ匕された連結ライセンスを発行側署名生成部 37に出力する。 発行側署名生成部 37は、発行者署名 201の生成方法と同様に、暗号化された連結 ライセンスのハッシュ値を生成する。そして、発行側署名生成部 37は、このハッシュ 値を秘密鍵 30で暗号ィ匕して発行者署名 301を生成し、連結ライセンスに付与してラ ィセンス 1を構成する。

[0062] このように構成することで、ネットワーク上でのライセンスの盗聴と、ライセンスの改竄 を防止することができる。また、このライセンスは、次の中間ノードでのみ復号すること ができる。

[0063] 以上では、ライセンス発行者装置 2に関して説明した。次に、中間ノード 3を説明す る。

[0064] 次に、図 13を参照して、実施の形態 1の中間ノード 3を説明する。図 13は、実施の 形態 1の中間ノード 3の構成図である。

[0065] 実施の形態 1の中間ノード 3は、ノード側ライセンス検証部 11 (ノード側中継データ 検証部）と編集情報検証部 12 (差分検証部）とノード側ライセンス生成部 13を備えた 追加部 10と、ノード側暗号化処理部 14と、ノード側署名生成部 15と、ノード側秘密 鍵格納部 16と、ノード側送信部 17と、ノード側受信部 18と、ノード側送付先公開鍵 格納部 19と、編集情報記憶部 23 (自己差分情報記憶部）とを備える。

[0066] ノード側秘密鍵格納部 16は、秘密鍵 22を格納する。

[0067] ノード側送付先公開鍵格納部 19は、ライセンスの送付先となる中間ノード 3、あるい は端末 4の公開鍵である送付先公開鍵 112を格納する。

[0068] ノード側受信部 18は、ライセンスを受信する。図 13の中間ノードが中間ノード (N)と すれば、受信するライセンスは、中間ノード (N—1)が送信した最新ライセンス 403で ある。

[0069] 追加部 10は、ノード側受信部 18が受信したライセンス（以下、受信ライセンスという 場合がある。 )に、後述の編集ライセンスを追加して、新たなライセンスを生成する。

[0070] ノード側ライセンス検証部 11は、ノード側受信部 18が受信した受信ライセンスを検 証する。この検証については後述する。

[0071] 編集情報検証部 12は、編集情報記憶部 23が記憶している編集情報を取得して、 取得した編集情報が正当かどうかを検証する。この検証については後述する。

[0072] ノード側ライセンス生成部 13は、ノード側ライセンス検証部 11によって正当性が検 証された受信ライセンスに、編集情報検証部 12によって正当性が検証された編集情 報に基づき生成された編集ライセンスを追加し、あらたなライセンスを生成する。

[0073] ノード側暗号ィ匕処理部 14は、ノード側ライセンス生成部 13が作成したライセンスを ノード側送付先公開鍵格納部 19が格納する送付先公開鍵 112によって暗号ィ匕する

[0074] ノード側署名生成部 15は、ノード側秘密鍵格納部 16が格納する秘密鍵 22により、 ノード側暗号ィ匕処理部 14が暗号ィ匕した暗号ライセンスに署名を付加する。

[0075] ノード側送信部 17は、ノード側署名生成部 15により署名が付加された最新ライセン ス 403を他の中間ノード、あるいは端末 4に送信する。

[0076] 編集情報記憶部 23は、編集情報を記憶する。

[0077] (3.中間ノードにおけるライセンスの編集と編集ライセンスのアペンド）

図 14は、ライセンスを受信した中間ノードにおいて、追加部 10のノード側ライセンス 検証部 11が、ノード側秘密鍵格納部 16の格納する秘密鍵 22によって、図 12に示し た暗号ィ匕された連結ライセンスを復号する様子を示す図である。中間ノード 3の追カロ 部 10は、ノード側ライセンス検証部 11による連結ライセンスを復号後、オリジナル編 集許可情報 102の範囲内でライセンスの編集を行う。すなわち、追加部 10は、オリジ ナル編集許可情報 102の範囲内で、オリジナルライセンスを変更したライセンスであ る編集ライセンスを生成する。

[0078] 図 15は、追加部 10により生成される編集ライセンス 103の例を示す図である。追カロ 部 10のノード側ライセンス生成部 13は、ノード側ライセンス検証部 11により検証され た受信ライセンスと、編集情報検証部 12により検証された後述の編集情報とを入力 する。図 23の説明で後述するが、編集情報とは、オリジナルライセンスに対する一部 または全部の変更を示す差分情報である。そして、ノード側ライセンス生成部 13は、 編集情報の示す内容 (差分情報)を受信ライセンスに含まれるオリジナルライセンス に反映し、オリジナルライセンスを編集情報の示す内容に変更して編集ライセンスを 生成する。

[0079] 図 15の編集ライセンス 103の示す利用権の項目は、オリジナルライセンスの項目と 同じである。図 8のオリジナルライセンス 101は、く Start >〜< Age >までの 5項目 を有し、編集ライセンス 103も同様である。図 15の例では、く Start>の示す視聴可 能期間開始日時力 オリジナルライセンスの 2004年 4月 1日 0時 00分から、未来の 2 005年 5月 1日 0 : 00分に変更されている。また、く End >の示す視聴可能期間終了 曰時力 才リジナノレライセンスの 2004年 9月 30曰 23時 59分力ら、過去の 2005年 5 月 31日 23時 59分に変更されている。

[0080] 図 16は、中間ノード 3の追加部 10によって編集された後のライセンスの詳細な構造 を示すブロック図である。編集者署名 302は、ノード側署名生成部 15が生成し付カロ しており、詳細は後述する。図に示す様に、編集された後のライセンス 1は、オリジナ ルライセンス 101、オリジナル編集許可情報 102、編集ライセンス 103、編集者署名 3 02等を含む。

[0081] 図 17を参照して、編集者署名 203を説明する。中間ノード 3のノード側ライセンス生 成部 13が、編集ライセンス 103を生成する。編集者署名 203の生成は、図 10、図 11 で述べた発行者署名 201、発行者署名 202と同様である。ノード側ライセンス生成部 13は、 SHA- 1や MD5などのハッシュアルゴリズムを使用することによりハッシュ値 を生成するハッシュ生成部（図示していない）によって、編集ライセンス 103のハツシ ュ値を生成する。そして、ノード側ライセンス生成部 13は、前記ハッシュ生成部によつ て生成された編集ライセンス 103のハッシュ値をノード側秘密鍵格納部 16が格納す る秘密鍵 22により暗号ィ匕して、編集者署名 203を生成する。ノード側ライセンス生成 部 13は、編集者署名 203を編集ライセンス 103に付与する。ノード側ライセンス生成 部 13は、図 18に示すように、編集者署名 203が付与された編集ライセンス 103をオリ ジナル編集許可情報 102の後にアペンドする。

[0082] 図 18は、編集ライセンス 103のアペンド、及び編集者署名 302の生成を説明する 図である。

(1)ノード側ライセンス生成部 13は、編集者署名 203が付与された編集ライセンス 10 3をオリジナル編集許可情報 102の後にアペンドすることにより、オリジナルライセンス 101とオリジナル編集許可情報 102との連結に、さらに、編集ライセンス 103が連結 した連結ライセンスをつくる。そして、ノード側ライセンス生成部 13は、この編集ライセ ンス 103がアペンドされた連結ライセンスをノード側暗号ィ匕処理部 14に出力する。

(2)ノード側暗号ィ匕処理部 14は、前記連結ライセンスを入力し、図 18に示す様に、 連結ライセンスの全体を、送付先公開鍵 39で暗号化する。送付先公開鍵 39とは、ノ ード側送付先公開鍵格納部 19が格納する公開鍵であって、送付先となる中間ノード 3の公開鍵ある 、は送付先となる端末 4の公開鍵である。ノード側暗号化処理部 14 は、送付先公開鍵 112で暗号ィ匕された連結ライセンスをノード側署名生成部 15に出 力する。

(3)ノード側署名生成部 15は、暗号ィ匕された連結ライセンスのハッシュ値を生成し、 このノ、ッシュ値を秘密鍵 22で暗号ィ匕して編集者署名 302を生成する。ノード側署名 生成部 15は、生成した編集者署名 302を暗号ィ匕された前記連結ライセンスに付与 する。

(4)ノード側送信部 17は、ノード側署名生成部 15によって編集者署名 302が付与さ れた連結ライセンスを最新ライセンス 403として次の中間ノード、あるいは端末に送信 する。

[0083] このように、ライセンス編集時に、編集後の編集ライセンス 103のみならず、編集ライ センスにオリジナルライセンス 101とオリジナル編集許可情報 102とを連結した構成と することにより、これらが連結したライセンスを受け取った下位の中間ノード 3、或いは 端末 4は、上位の中間ノードおけるライセンスの編集が、正当なもの力否力判断する ことができる。

[0084] 図 19は、図 1に示すような N個の中間ノード 3により、編集ライセンス 103のアペンド 力 回繰り返えされた後のライセンス 1の詳細な構造を示すブロック図である。中間ノ ード (N+ l)が図 19のライセンス 1 (中継データの一例）を受信したとすれば、編集ラ ィセンス（1) 103〜編集ライセンス（N) 106のそれぞれは、中間ノード (N+ 1)以外 の他の中間ノードが生成した編集ライセンス (他ノード変更データの一例）である。各 中間ノード 3は、編集ライセンス（1) 103〜編集ライセンス (N) 106を順次生成し、編 集者 1署名 203〜編集者 N署名 206を付与する。そして、各中間ノードは、自身の生 成した編集ライセンス 103〜106を受信ライセンスにアペンドする。各中間ノードが、 このアペンドを繰り返えす。例えば、中間ノード (N) 3は、次の受信者の公開鍵で暗 号ィ匕したライセンス全体に対する編集者 N署名 303を付与し、図 19のライセンス 1を 構成する。

[0085] 以上では、ライセンス発行者装置 2により生成されたライセンス、中間ノードによるラ ィセンス編集とその構造について説明した。以下では、中間ノード 3、あるいは端末 4 による受信ライセンスの正当性検証、ライセンス編集の正当性検証、及びライセンス の生成について説明する。

[0086] まず、図 20を参照して端末装置 4の構成を説明する。

[0087] 端末装置 4は、端末側受信部 41、端末側ライセンス復元部 42 (端末側反映データ 生成部）、端末側ライセンス検証部 43 (端末側中継データ検証部）、端末側コンテン ッ利用部 44、端末側秘密鍵格納部 45とを備える。

[0088] 端末側受信部 41は、中間ノード 3の送信したライセンスを受信する。端末側秘密鍵 格納部 45は、秘密鍵 46を格納する。端末側ライセンス検証部 43は、秘密鍵 46で復 号されたライセンスを検証する。端末側ライセンス復元部 42は、秘密鍵 46で復号さ れた受信ライセンスを復元する。端末側ライセンス復元部 42については、実施の形 態 2で述べる。端末側コンテンツ利用部 44は、受信ライセンスに基づいてコンテンツ の再生等を行なう。

[0089] (4.中間ノードまたは端末による受信ライセンスの検証）

図 21を参照して、中間ノード 3、及び端末 4による受信ライセンスの検証を説明する 。図 21は、中間ノード 3のノード側ライセンス検証部 11を説明する図である。また、端 末 4の端末側ライセンス検証部 43の動作は、ノード側ライセンス検証部 11の動作と 同様であるので、説明は省略する。 [0090] 図 21は、中間ノード 3が備えるノード側ライセンス検証部 11のブロック図である。図 において、ノード側ライセンス検証部 11は、受信ライセンスカゝら抽出したオリジナルラ ィセンス 101、オリジナル編集許可情報 102、編集ライセンス（1) 103〜編集ライセン ス (N) 106を入力とする。そして、ノード側ライセンス検証部 11は、上位の中間ノード 3におけるライセンス編集力 オリジナル編集許可情報 102の範囲内にある力否かを 判定し、判定結果を上位の中間ノードでの編集の正当性検証結果 401として出力す る。

[0091] 図 22を参照して、ノード側ライセンス検証部 11の動作を説明する。図 22は、ノード 側ライセンス検証部 11による受信ライセンスの検証処理のフローチャートある。

(1)ステップ ST1001において、ノード側ライセンス検証部 11は、オリジナルライセン ス 101を含み、古いライセンス力 順に連続する 2つのライセンスを読み込む。例えば 、図 19のように、受信ライセンス 1が、オリジナルライセンス 1、編集ライセンス（1)〜編 集ライセンス (N)を含む場合、ノード側ライセンス検証部 11は、「オリジナルライセン ス 1と編集ライセンス（1)」、「編集ライセンス（1)と編集ライセンス（2)」、「編集ライセン ス（2)と編集ライセンス（3)」、 · · ·のように読み込む。

(2)読み込めた場合、ステップ ST1003において、ノード側ライセンス検証部 11は、 2 つのライセンスの差分を抽出し、変更されたタグの一覧を取得する。例えば、図 23の ように、く Start >タグが変更されていたとする。図 23は、図 8と図 15とのく Start> タグの関係を示している。図 23の編集ライセンス 1は、図 15の編集ライセンス 103〖こ 相当する。図 23の場合、ノード側ライセンス検証部 11は、く Start >タグを抽出する

(3)ステップ ST1004にて、ノード側ライセンス検証部 11は、変更タグの一覧からタグ を一つ取得する。

(4)ステップ ST1006にて、ノード側ライセンス検証部 11は、オリジナル編集許可情 報 102の中から、ライセンスの編集ノードが編集可能なタグから、直前に取得した変 更タグを探す。

(5)ステップ ST1007にて、ノード側ライセンス検証部 11は、タグの有無を判定し、タ グがある場合は、ステップ ST1008に進む。例えば、図 9のオリジナル編集許可情報 102とする。図 24は、説明のため、図 9のオリジナル編集許可情報 102からく Start >タグに関係する部分を抜き出した図である。ノード側ライセンス検証部 11は、 <W hat > Start < What > t 、う記述が存在するため、 S 1007の Yes (ST1008)の処理 に進む。さらに、図 24の例では、変更が「Forward」であるため範囲内である。よって 、ノード側ライセンス検証部 11は、 ST1008においても Yesの処理に進む。

(6)タグが無い場合は、該当中間ノード 3が変更してはいけないタグを変更したと判 断し、ステップ ST1010にてライセンスの編集が不正と判断し、ライセンスの検証処理 を終了する。

[0092] (7)ステップ ST1008では、ノード側ライセンス検証部 11は、該当タグの編集内容が オリジナル編集許可情報の範囲内である力否かを判定し、範囲内である場合には、 ステップ ST1004〖こ戻り、次の変更タグについて、同様の判定を繰り返す。

(8)ステップ ST1008で範囲内でな力つた場合は、ノード側ライセンス検証部 11は、 ステップ ST1010にてライセンスの編集が不正と判断し、ライセンスの検証処理を終 了する。

[0093] (9)ステップ ST1004にて次のタグが無い場合は、ノード側ライセンス検証部 11は、 ステップ ST1005力らステップ ST1001に戻り、次の連続する 2つのライセンスを読み 込み、同様の判定を行う。

(10)ノード側ライセンス検証部 11は、全てのライセンス編集の正当性を判定し、ステ ップ ST1002にてもう判定するライセンスが無いと判断した場合は、ステップ ST1009 に進み、これまでのライセンスの編集が正しいと判断し、ライセンスの検証処理を終了 する。

[0094] 以上が、中間ノード 3或いは端末 4によるライセンスの検証フローである。このように 、ライセンス編集の正当性を装置あるいはプログラムが検証することで、人為的ミスを 無くし、正当なライセンス配信を実現することができる。

[0095] (5.編集履歴と、中間ノードによる編集履歴の正当性検証）

図 25は、中間ノード 3が備える編集情報検証部 12のブロック図である。編集情報検 証部 12は、受信ライセンスに含まれるオリジナル編集許可情報 102と、編集情報 11 1とを入力とし、編集情報がオリジナル編集許可情報 102の範囲内にあるか否かを判 定し、その結果を、編集情報の正当性検証結果 402として出力する。

[0096] ここで、編集情報（自己差分情報の一例）とは、オリジナルライセンス 101に対する 一部または全部の差分 (変更)を示す情報であるとともに、編集ライセンスを生成する 元になる情報である。すなわち、オリジナルライセンス 101に対して編集情報の示す 差分を反映したものが、編集ライセンスである。

[0097] この編集情報は、編集情報記憶部 23が記憶している。編集情報検証部 12は、編 集情報記憶部 23が記憶して 、る編集情報を編集情報記憶部 23から取得する。例え ば、編集情報は、ライセンスの発行者と中間ノードの運営者 (プロバイダ)との契約内 容に基づき、中間ノードの運営者が予め作成しておき、編集情報記憶部 23に記憶さ せてもよい。

[0098] あるいは、中間ノードの運営者は、契約に基づきオリジナルライセンスとオリジナル 編集許可情報との内容を予め確認しておく。そして、中間ノードが受信ライセンスを 受信した場合、受信ライセンスに含まれるオリジナルライセンス 101とオリジナル編集 許可情報 102とに基づき、所定の編集情報を生成するように予め設定しても構わな い。生成された編集情報は、編集情報記憶部 23が記憶する。

[0099] また、中間ノード力 受信ライセンスに含まれるオリジナルライセンス 101とオリジナ ル編集許可情報 102とを表示装置やプリンタなどに出力するように構成し、中間ノー ドの運営者がその出力をみて編集情報を生成しても構わない。生成された編集情報 は、編集情報記憶部 23が記憶する。

[0100] 図 26は、編集情報の記述例を示す図である。図 26では、視聴可能期間開始日時（ Startタグ）の値を、 2005年 4月 1曰 0時 00分力、ら、 2005年 5月 1曰 0時 00分に変更 することを示し、また、視聴可能期間終了日時 (Endタグ)の値を、 2005年 9月 30日 2 3時 59分力 、 2005年 5月 31日 23時 59分に、変更することを示している。すなわち 、編集ライセンス 103の記述例を示す図 15に対して、図 26の編集情報 111は、オリ ジナルライセンスに対する差分のみを示して 、る。

[0101] 次に図 27を参照して、編集情報検証部 12による、編集情報の検証処理を説明す る。図 27は、編集情報検証部 12による、編集情報の検証処理のフローチャートであ る。 (1)ステップ ST1101において、編集情報検証部 12は、受信ライセンスに含まれるォ リジナル編集許可情報 102を読み込む。

(2)ステップ ST1102にて、編集情報検証部 12は、編集情報より次の編集タグを取 得する。タグがある場合、編集情報検証部 12は、オリジナル編集許可情報 102の中 で、自身が編集可能なタグの中から、該タグに相当するタグを探す。

(3)ステップ ST1105にて、編集情報検証部 12は、相当するタグが無いと判断した 場合は、自身が編集してはいけないタグの編集を行おうとしていることから、ステップ ST1107にて、編集情報が不正と判断し、編集情報の検証処理を終了する。

[0102] (4)相当するタグがあった場合、編集情報検証部 12は、今度はステップ ST1106に て編集内容が編集許可の範囲内であるか否かを判定し、範囲内でない場合は、同じ くステップ ST1107にて、編集情報が不正と判断し、編集情報の検証処理を終了す る。

[0103] (5)範囲内であった場合は、編集情報検証部 12は、再びステップ ST1102に戻り、 次のタグに同様の処理を行う。これらの処理を編集情報に含まれるタグ分だけ繰り返 す。

(6)ステップ ST1103にて全てのタグの処理を終えた場合は、編集情報検証部 12は 、ステップ ST1108にて編集情報が正しいと判断し、編集情報の検証処理を終了す る。

[0104] 以上が、中間ノードによる編集情報の検証フローで、編集情報の正当性を装置、プ ログラムが検証することで、人為的ミスを無くし、正当なライセンス編集を実現すること ができる。

[0105] なお、図 26では、独自形式の編集履歴の説明を行ったが、図 28に示す XSL (eXt ensible Stylesheet Language)形式とすることもできる。表記形式は異なるが、 内容は図 26と同等である。また、 XML形式に拘らず、編集履歴もどのような形式で 表記してちょい。

[0106] (6.中間ノードによるライセンスの生成）

図 29、図 30を参照して、中間ノードがライセンスを生成する場合を説明する。

[0107] 図 29は、中間ノードが備えるノード側ライセンス生成部 13のブロック図である。図に おいて、ノード側ライセンス生成部 13は、編集ライセンス (N)と編集情報 111とを入 力とし、編集ライセンス (N+ 1)を生成し、編集ライセンス (N+ 1)を受信ライセンスに アペンドし、最新ライセンス 403を出力する。

[0108] 図 30は、ノード側ライセンス生成部 13によるライセンスの生成処理を示すフローチ ヤートである。

(1)ステップ ST1201において、ノード側ライセンス生成部 13は、受信ライセンスから 編集ライセンス (N)を読み込み、それを編集ライセンス (N+ 1)としてコピーを生成す る。

(2)ステップ ST1202にて、ノード側ライセンス生成部 13は、編集情報より、次のタグ を取得する。タグがある場合、ノード側ライセンス生成部 13は、ステップ ST1204にて 編集ライセンス (N+ 1)の該当タグの値を、編集情報のタグの値で置き換える。この 操作を、ステップ ST1203にて次のタグが無くなるまで繰り返す。これにより、編集情 報を反映した編集ライセンス (N+ 1)が完成する。

[0109] (3)次に、ステップ ST1205にて、 SHA— 1、 MD5などのハッシュアルゴリズムにより 、編集ライセンス (N+ 1)のノヽッシュ値を取得し、それを自身の秘密鍵で暗号化した ものを、署名として編集ライセンス (N+ 1)に付与する。

(4)ステップ ST1206にて、署名を付与した編集ライセンス (N+ 1)を、受信ライセン スにアペンドする。

(5)ステップ ST1207にて、ライセンス全体を次のライセンス受信者の公開鍵で暗号 化する。

(6)最後にステップ 1208にて、暗号ィ匕したライセンス全体の署名を上と同じ方法で 算出し、ライセンス全体の最後に付与することで、ライセンスの生成処理が完了する。

[0110] 以上が中間ノード 3によるライセンス生成の処理フローである。装置、プログラムがラ ィセンスの生成を行うことにより、人為的ミスを無くし、正当なライセンス生成を実現す ることがでさる。

[0111] なお、上記は、編集情報として、図 26に示す独自形式の編集履歴を用いた場合に ついて述べた。図 28に示す XSL形式の編集情報を用いた場合は、ノード側ライセン ス生成部 13は、汎用的な XSLT (extensible Stylesheet Language Transfor mation)プロセッサよって代替することができる。

[0112] 以上のように構成することで、ライセンス発行者が許可した範囲内での、中間ノード によるライセンスの編集を許しつつ、正当なライセンス配信を実現することができる。

[0113] 実施の形態 1のライセンス配信システムは、

中間ノードが、オリジナルライセンスとオリジナル編集許可情報とを含む受信ライセン スに自身の生成した編集ライセンスを追カ卩して中継する。このため、下位の中間ノー ドあるいは端末は、上位の中間ノードによるライセンス編集の正当性を検証すること が可能となる。

[0114] 実施の形態 1のライセンス発行者装置は、オリジナルライセンスに加えて、オリジナ ル編集許可情報を含むライセンスを送信する。このため、中間ノードは、オリジナル 編集許可情報に基づきオリジナルライセンスを編集できるので、端末に向けて多様な ライセンスを配信することができるようになる。

[0115] 実施の形態 1の中間ノードは、追加部が、オリジナルライセンスとオリジナル編集許 可情報とを含む受信ライセンスに編集ライセンスを追加し、ノード側送信部が、編集ラ ィセンスが追加された受信ライセンスを中継する。このため、下位の中間ノードあるい は端末は、上位の中間ノードによるライセンス編集の正当性を検証することが可能と なる。

[0116] 実施の形態 1の中間ノードは、編集情報検証部が編集情報を検証するので、ライセ ンス編集における人為的なミスを防止することができる。

[0117] 実施の形態 1の中間ノードは、ノード側ライセンス検証部が受信ライセンスの正当性 を検証するので、人為的なミスを防止することができる。

[0118] 実施の形態 1の端末装置は、端末側ライセンス検証部が受信ライセンスの正当性を 検証するので、中間ノードの不正な編集を容易に発見することができる。

[0119] 実施の形態 2.

(7.編集履歴のアペンドと、各ノードが保有する処理系）

次に、図 31〜図 38を用いて実施の形態 2を説明する。実施の形態 1では、中間ノ ード 3が受信ライセンスに編集ライセンス 103をアペンドした。しかし、ライセンス自体 は比較的サイズが大きぐ中間ノード 3でのライセンス編集を重ねていくにつれ、全体 のライセンスサイズが増大していく問題がある。この問題を解決するために、本実施 の形態 2では、中間ノードが、編集ライセンスの代わりに編集情報（自己差分情報)を 編集履歴としてアペンドする構成を説明する。

[0120] 図 31は、実施の形態 2の中間ノード 3の構成図である。また、実施の形態 2のシステ ム構成は図 1と同様である。また、ライセンス発行者装置 2、及び端末 4も、実施の形 態 1と同様である。

[0121] 図 31の中間ノード 3は、図 13の中間ノード 3に対して、さらに、ノード側ライセンス復 元部 20 (ノード側反映データ生成部）を備えた構成である。ノード側ライセンス復元部 20は、受信ライセンスを復元する。この復元は、後述する。

[0122] 図 32は、 N個の中間ノード 3によりライセンス編集を N回繰り返えされた後のライセ ンスの詳細な構造を示すブロック図である。図 32は、実施の形態 1の図 19に対応す る。図 32では、図 19の編集ライセンス（1) 103〜編集ライセンス 106 (N)が、編集履 歴（1) 501〜編集履歴 (N) 504となっている。編集履歴とは、実施の形態 1で説明し た編集情報である。各中間ノードが、受信ライセンスに編集情報をアペンドした場合 、編集履歴という。図 32のライセンス 1は、図 19のライセンス 1と同様の処理を受ける 。すなわち、各中間ノード 3は、編集履歴（1) 501〜編集履歴 (N) 504を順次生成し 、編集者 1署名 203〜編集者 N署名 206を付与した上で、受信ライセンスにアペンド していく。次に、各中間ノード 3は、ライセンス全体を次の受信者の公開鍵で暗号ィ匕 する。最後に、暗号ィ匕したライセンス全体に対する編集者 N署名 303を付与し、ライ センスを構成する。

[0123] 次に、図 33、図 34を参照して、ライセンスの復元について説明する。ライセンスを 図 32のような構成にすると、各中間ノード 3、または端末 4は、ライセンスに含まれるォ リジナルライセンス及び複数の編集履歴から、最新ライセンスを復元する必要が生じ る。中間ノード 3または端末 4は、受信ライセンスに編集を加えるため、編集を加える 元となるライセンスを得る必要がある。実施の形態 2では、中間ノードは、「オリジナル ライセンス +複数の編集履歴」という形式で表現された受信ライセンスを受信する。こ のため、中間ノードは、そのままでは受信ライセンスを参照することができない。そこ で、復元という操作が必要になる。 [0124] 図 33は、中間ノード 3が備えるノード側ライセンス復元部 20のブロック図である。図 33を参照して、中間ノード 3による受信ライセンスの復元を説明する。なお、図 33は 中間ノード 3を説明する図であるが、図 20の示す端末 4の端末側ライセンス復元部 4 2の動作は、ノード側ライセンス復元部 20の動作と同様であるので、説明を省略する

[0125] 図 33において、ノード側ライセンス復元部 20は、オリジナルライセンス 101 (オリジ ナルデータ)及び編集履歴 (1) (他ノード差分情報)〜編集履歴 (N) (他ノード差分 情報）を入力として、順次、編集履歴をオリジナルライセンスに反映し、最終的に最新 ライセンス 403を得る。

[0126] 図 34は、ノード側ライセンス復元部 20によるライセンスの復元を示すフローチャート である。

(1)ステップ ST1301において、オリジナルライセンス 101を読み込み、ステップ ST1

302にて、次の編集履歴を取得する。編集履歴がある場合、ステップ ST1304にて、 編集履歴の内容をオリジナルライセンス 101に反映する。具体的には、図 30のステツ プ ST1202力もステップ ST1204の処理を繰り返す。

[0127] (2)この処理をステップ ST1303にて、次の編集履歴が無くなるまで繰り返す。編集 履歴が無くなると、ステップ ST1305にて最終的に生成されたライセンスを最新ライセ ンス 403とみなす。以上の処理にて、中間ノード 3、または端末 4は、最新ライセンス 4

03を復元することができる。

[0128] (8. 中間ノードまたは端末によるライセンスの検証）

図 35、図 36を参照して、中間ノード 3のノード側ライセンス検証部 11による受信ライ センスの検証を説明する。図 20の端末側ライセンス検証部 43の動作も同様であるの で、端末側ライセンス検証部 43の説明は、省略する。

[0129] ライセンスに編集履歴をアペンドする構成の場合、中間ノード 3のノード側ライセン ス検証部 11は、編集ライセンス 103をアペンドする場合に比べ、ライセンスの検証方 法が若干異なる。

[0130] 図 35は、中間ノードが備えるノード側ライセンス検証部 11のブロック図である。ノー ド側ライセンス検証部 11は、受信ライセンスカゝら抽出したオリジナル編集許可情報 10 2、編集履歴 (1) (他ノード差分情報)〜編集履歴 (N) (他ノード差分情報)を入力とし 、上位の中間ノードにおけるライセンス編集力 オリジナル編集許可情報の範囲内に あるカゝ否かを判定し、その結果を上位の中間ノード 3での編集の正当性検証結果 40 1として出力する。

[0131] 図 36は、ノード側ライセンス検証部 11による、ライセンス検証処理のフローチャート を示す。

(1)ステップ ST1401にお!/、て、編集履歴を古!、順に一つずつ読み込む。

(2)編集履歴がある場合、ステップ ST1403にて、編集履歴から順次タグを取得する

(3)タグがある場合、ステップ ST1405にて、ライセンス編集ノードが編集可能な、ォ リジナル編集許可情報に含まれるタグから、該当するタグを抽出する。

[0132] (4)ステップ ST1406〖こて、タグが無い場合は、編集してはいけないタグの編集を行 つたと判定し、ステップ ST1409にてライセンスの編集が不正と判断し、ライセンス検 証処理を終了する。

[0133] (5)ステップ ST1406にて、タグがある場合は、ステップ ST1407にて、編集が許可さ れた範囲内であるか否かを判定し、範囲を逸脱している場合は、ステップ ST1409に てライセンスの編集が不正と判断し、ライセンス検証処理を終了する。

[0134] (6)ステップ ST1407にて編集が範囲内と判定した場合は、再びステップ ST1403 に戻り、編集履歴に含まれる次のタグに対して、同様の処理を行う。

(7)編集履歴に含まれる全てのタグにっ 、て処理を終えたら、ステップ ST1404から 再びステップ ST1401〖こ戻り、次の編集履歴につ!、て同様の処理を行う。

(8)この処理をステップ ST1402にて全ての編集履歴の処理を終えるまで繰り返した ら、ステップ ST1408にて、ライセンスの編集が正しいと判断し、ライセンス検証処理 を終了する。

[0135] (9.中間ノードによる編集履歴の正当性検証）

次に、中間ノードが、自身が編集履歴としてアペンドする編集情報が正当力どうか を検証する場合を説明する。これは、実施の形態 1の場合と同様である。すなわち、 ライセンスに編集履歴をアペンドする場合でも、中間ノードの保有する編集情報検証 部 12については、ライセンスに編集ライセンスをアペンドする場合と同じである。ライ センスに編集履歴をアペンドする場合でも、図 25のブロック図、及び図 27の編集情 報の検証処理フローをそのまま用いることができる。

[0136] (10. 中間ノードによるライセンスの生成）

次に図 37、図 38を参照して、ライセンスに編集履歴をアペンドする場合の、ライセ ンスの生成について説明する。ライセンスに編集履歴をアペンドする場合、中間ノー ドのライセンス生成部では、編集ライセンスをアペンドする場合に比べ、ライセンスの 生成方法が若干異なる。

[0137] 図 37は、実施の形態 2の中間ノード 3が備えるノード側ライセンス生成部 13のブロッ ク図である。図において、ノード側ライセンス生成部 13は、受信ライセンス 1、編集情 報 111を入力とし、最新ライセンス 403を出力する。

[0138] 図 38は、ノード側ライセンス生成部 13による、ライセンス生成処理のフローチャート である。

(1)ステップ ST1501において、受信ライセンス 1を自身の秘密鍵で復号し読み込む

(2)ステップ ST1502にて、 SHA— 1、 MD5などのハッシュアルゴリズムにより、予め 準備してお!、た編集履歴のノヽッシュ値を生成し、それを自身の秘密鍵で暗号化した ものを署名として編集履歴に付与する。

[0139] (3)ステップ ST1503にて、受信ライセンス 1に、署名を付与した編集履歴をアペンド する。

(4)ステップ ST1504にて、ライセンス全体を次の受信者の公開鍵で暗号ィ匕する。

(5)最後にステップ ST1505にて、ステップ ST1502と同じ操作にて、暗号化ライセ ンス全体に署名を付与し、ライセンスの生成処理を終了する。

[0140] 以上のように構成することで、ライセンス発行者が許可した範囲内での、中間ノード によるライセンスの編集を許しつつ、正当なライセンス酉 S信を、中間ノードを経るごと に増えるライセンスのサイズを抑制しながら、実現することができるよう〖こなる。

[0141] 実施の形態 2のライセンス配信システムは、中間ノードが、編集ライセンスの代わり に編集情報を編集履歴として受信ライセンスに追加して中継する。このため、配信す るライセンスのサイズを抑制することができる。

[0142] 実施の形態 2の中間ノードは、追加部が、編集ライセンスの代わりに編集情報を編 集履歴として受信ライセンスに追加する。このため、配信するライセンスのサイズを抑 ff¾することができる。

[0143] 実施の形態 2の中間ノードは、編集情報検証部が、受信ライセンスに追加される編 集情報の正当性を検証する。このため、ライセンス編集における人為的なミスを防止 することができる。

[0144] 実施の形態 2の中間ノードは、ノード側ライセンス復元部が、編集履歴の追加され たライセンスを復元するので、編集の反映されたライセンスを容易に得ることができる

[0145] 実施の形態 2の端末装置は、端末側ライセンス検証部が、受信ライセンスに含まれ るオリジナル編集許可情報と編集履歴とに基づき受信ライセンスの正当性を検証す るので、中間ノードの不正を容易に発見することができる。

[0146] 実施の形態 2の端末装置は、端末側ライセンス復元部が、編集履歴の追加されたラ ィセンスを復元するので、編集の反映されたライセンスを容易に得ることができる。

[0147] 実施の形態 3.

(11.中間ノードによる、ノード編集許可情報の追加）

これまでの実施の形態 1、及び実施の形態 2においては、編集許可情報 (オリジナ ル編集許可情報）は、ライセンス発行者装置 2のみがオリジナル編集許可情報 102と して生成した。本実施の形態 3では、編集許可情報を、ライセンス発行者装置 2のみ ならず、中間ノードにおいても生成し、ライセンスに含めることができる構成について 説明する。本実施の形態 3では、中間ノードが生成する編集許可情報を、ノード編集 許可情報という。実施の形態 3では、中間ノードがノード編集許可情報を追加すること のできる権限自体もまた、オリジナル編集許可情報 102、あるいは後述のノード編集 許可情報に含める。

[0148] 図 39は、実施の形態 3の中間ノード 3の構成図である。また、実施の形態 3のシステ ム構成は、図 1と同様である。また、ライセンス発行者装置 2、及び端末 4も、実施の形 態 1と同様である。 [0149] 図 39の中間ノード 3は、図 13の中間ノード 3に対して、ノード編集許可情報記憶部 24と、自己許可情報検証部 21とを備えた点が異なる。

ノード編集許可情報記憶部 24は、ノード編集許可情報（自己編集許可情報)を記憶 する。自己許可情報検証部 21は、ノード編集許可情報記憶部 24が記憶している前 記ノード編集許可情報を検証する機能を有する。

[0150] 図 40は、実施の形態 1で述べた、それぞれの中間ノードが編集ライセンスをァペン ドして ヽく構成における、実施の形態 3のライセンスの詳細なデータ構成を示すブロッ ク図である。図 40は、図 19に対応する。図 40のライセンス 1は、図 19のライセンス 1 に対して、追加部分 240が追加されている。図 40において、ノード編集許可情報 (K ) 601は、中間ノード Kによって生成されたノード編集許可情報 (他ノード編集許可情 報)である。図 40のように、ノード編集許可情報 (K) 601は、編集者 K署名 211が付 与されている。同様に、ノード編集許可情報 (M) 602は、中間ノード Mによって生成 されたノード編集許可情報 (他ノード編集許可情報)である。ノード編集許可情報 (M ) 602は、編集者 M署名 212が付与されている。図 40のように、ノード編集許可情報 は、オリジナル編集許可情報 102の直後にアペンドされる。

[0151] 図 41は、実施の形態 2で述べた、それぞれの中間ノードが編集履歴をアペンドして いく構成における、実施の形態 3のライセンスの詳細なデータ構成を示すブロック図 である。図 41は、図 32に対応する。図 41のライセンス 1は、図 32のライセンス 1に対 して、追加部分 250が追加されている。ノード編集許可情報 (K) 601、編集者 K署名 211、ノード編集許可情報 (M) 602、編集者 M署名 212は、図 40の場合と同様であ るので、説明を省略する。

[0152] 図 39、図 40を参照してノード編集許可情報のアペンドについて説明する。中間ノ ードは、中間ノード（M)であるとする。

(1)中間ノード（M)のノード側受信部 18は、オリジナルライセンス 101、オリジナル編 集許可情報 102を含むライセンス 1 (図示していない）を中継の対象として受信する。

(2)ノード編集許可情報記憶部 24は、ノード編集許可情報 (M)を記憶している。追 加部 10の自己許可情報検証部 21は、ノード編集許可情報記憶部 24からノード編集 許可情報 (M) (自己編集許可情報)を取得する。 (3)自己許可情報検証部 21は、取得したノード編集許可情報 (M)を入力して検証 する。この検証は図 46の説明で後述する。自己許可情報検証部 21は、検証したノ ード編集許可情報 (M)をノード側ライセンス生成部 13に出力する。ノード側ライセン ス生成部 13は、秘密鍵 22により編集者 M署名 212を生成し、編集者 M署名 212をノ ード編集許可情報 (M)に付加する。また、ノード側ライセンス生成部 13は、ノード側 ライセンス検証部 11から検証後の受信ライセンスを入力し、受信ライセンスに編集者 M署名 212を有するノード編集許可情報 (M) (自己編集許可情報)をアペンドする。 ノード側ライセンス生成部 13は、ノード編集許可情報 (M)がアペンドされたライセン スをノード側暗号ィ匕処理部 14に出力する。以下の処理は、実施の形態 1、実施の形 態 2と同様である。最終的に、ノード側送信部 17は、図 40に示すライセンスを最新ラ ィセンス 403として、下位の中間ノード 3または端末 4に送信する。

[0153] このノード編集許可情報 (M)は、上記のようにノード編集許可情報記憶部 24が記 憶している。ノード編集許可情報記憶部 24は、例えば、ライセンスの発行者と中間ノ ードの運営者 (プロバイダ）との契約内容に基づき中間ノードの運営者が予め作成し ておき、ノード編集許可情報記憶部 24に記憶させてもょ ヽ。

[0154] あるいは、中間ノードの運営者は、契約に基づきオリジナルライセンスとオリジナル 編集許可情報との内容を予め確認しておく。そして、中間ノードが受信ライセンスを 受信した場合、受信ライセンスに含まれるオリジナルライセンス 101とオリジナル編集 許可情報 102とに基づき、所定のノード編集許可情報 (M)を生成するように予め設 定しても構わない。生成されたノード編集許可情報 (M)は、ノード編集許可情報記 憶部 24が記憶する。

[0155] また、中間ノード力 受信ライセンスに含まれるオリジナルライセンス 101とオリジナ ル編集許可情報 102とを表示装置やプリンタなどに出力するように構成し、中間ノー ドの運営者がその出力をみてノード編集許可情報を生成しても構わない。生成され たノード編集許可情報 (M)は、ノード編集許可情報記憶部 24が記憶する。

[0156] 図 42は、ノード編集許可情報を追加する権限を備えたオリジナル編集許可情報 10 2の例である。図 42に示すように、実施の形態 3では、中間ノードがノード編集許可情 報を追加する権限自体もまた、オリジナル編集許可情報 102、あるいはノード編集許 可情報に含める。図 42の例では、 Security Center3」は、前のノード編集許可情 報、あるいはオリジナル編集許可情報の範囲内で、新たにノード編集許可情報を追 カロすることがでさることを示して ヽる。

[0157] また、中間ノードがライセンスを編集する場合、各中間のノードは、受信ライセンス に含まれる最新のノード編集許可情報に従 ヽ、ライセンスを編集するものとする。

[0158] 図 43は、全ての中間ノード 3を対象としたオリジナル編集許可情報 102の例である 。この例では、視聴可能年齢は、 18歳以上に限定されている。

[0159] 次に、図 44は、「Security Center4」に対し、視聴可能年齢を 20歳以上にライセ ンスを編集することを許可するノード編集許可情報である。図 44のノード編集許可情 報は、例えば、「Security Center3」が、「Security Center4」に対し、このような 内容のノード編集許可情報を追加することを認める例である。すなわち、「Security Center3」である中間ノード 3の追加部 10は、図 44に示すノード編集許可情報 10 7を生成する。

[0160] (12.中間ノードまたは端末によるライセンスの検証）

実施の形態 1及び実施の形態 2では、中間ノード 3または端末 4が、上位の中間ノ ードによって編集されたライセンスの正当性を検証する手順について述べた。本実 施の形態 3では、カロえて、ライセンスに含まれるノード編集許可情報についても、その 正当性を検証する必要が生ずる。ノード編集許可情報の検証は、中間ノード 3及び 端末 4で行なわれる。中間ノード 3及び端末 4の検証の動作は同様であるため、中間 ノードの場合を説明し、端末の説明は省略する。

[0161] 図 45は、本実施の形態 3における、図 39に示す中間ノード 3のノード側ライセンス 検証部 11の行うライセンス検証処理のフローチャートである。

(1)ステップ ST1601において、まず編集ライセンスまたは編集履歴が正当であるか 否か判定する。具体的には、図 22または、図 36のフローチャートにした力^、、正当性 の判定を行う。

(2)ステップ ST1602にて不正と判定した場合は、ステップ ST1608にてライセンス の編集が不正と判断し、ライセンス検証処理を終える。

[0162] (3)正当と判定した場合は、次にノード編集許可情報の正当性検証に移る。ステップ ST1603にて、古い方力 順に編集許可情報 (オリジナル編集許可、ノード編集許 可情報）を 2つ読み込む。編集許可情報が 2つあった場合、ステップ ST1605にて、 古 、方の編集許可情報が、新し 、方のノード編集許可情報を生成した中間ノードに よるノード編集許可情報の生成を許して 、る力否かを判定する。許して 、な 、と判定 した場合は、ステップ ST1608にてライセンスの編集が不正と判断し、ライセンス検証 処理を終える。

[0163] (4)許していると判定した場合は、ステップ ST1606にて、古い方の編集許可情報が 許す範囲内で、新しい方のノード編集許可情報が生成されている力否かを判定する 。ノード編集許可情報が、許される範囲を逸脱して生成されている場合は、ステップ S T1608にてライセンスの編集が不正と判断し、ライセンス検証処理を終える。

[0164] (5)許していると判定した場合は、再びステップ ST1603に戻り、次の 2つのノード編 集許可情報に対して、同じ処理を繰り返す。この処理をステップ ST1604にて次のノ ード編集許可情報が無いと判断されるまで繰り返したら、ステップ ST1607にて、ノー ド編集許可情報までを含めてライセンスの編集が正 、と判断し、ライセンス検証処 理を終える。

[0165] (13. 中間ノードによる、ノード編集許可情報追加の正当性検証）

本実施の形態においては、中間ノードにおける自身のノード編集許可情報追加の 正当性検証も行う必要が生ずる。 自己許可情報検証部 21は、自身のノード編集許 可情報の正当性を検証する。

[0166] 図 46は、中間ノード 3の自己許可情報検証部 21の動作を示すフローチャートであ る。

自己許可情報検証部 21は、ノード編集許可情報記憶部 24の記憶するノード編集許 可情報の正当性を検証する。すなわち、中間ノード 3は、 自身の生成したノード編集 情報を自身で検証する。

(1)ステップ ST1701において、受信ライセンスに含まれる最新の編集許可情報 (ォ リジナル編集許可情報とノード編集許可情報のうちの 、ずれかである）を読み込む。

(2)次に、ステップ ST1702にて、 自身のノード編集許可情報を読み込む。ステップ ST1703にて、最新の編集許可情報によって、自身がノード編集許可情報をライセ ンスに追加することが許可されて 、るか否かを判定する。許可されて 、な 、場合は、

ST1706にて自身のノード編集許可情報が不正と判断し、ノード編集許可情報の検 証処理を終了する。

[0167] (3)許可されている場合は、次にステップ ST1704にて、自身が追カロしょうとしている ノード編集許可情報の内容が、最新の編集許可情報によって許されている範囲であ る力否かを判定する。範囲を逸脱している場合は、 ST1706にて自身のノード編集 許可情報が不正と判断し、自身のノード編集許可情報の検証処理を終了する。

[0168] (4)許可範囲内である場合は、ステップ ST1705にてノード編集許可情報が正しいと 判断し、ノード編集許可情報の検証処理を終了する。

[0169] 以上の処理を、中間ノードが保有する編集情報検証部が、編集情報の検証に追加 して実施すること〖こより、自身のノード編集許可情報の追加の正当性を検証すること ができる。

[0170] 以上のように構成することにより、編集許可情報をライセンス発行者のみならず、中 間ノードでも生成し、ライセンスに含めることができるようになり、中間ノードでのライセ ンス編集を許したライセンス配信を、より柔軟に実現することができるようになる。

[0171] 実施の形態 3の中間ノードは、追加部が、オリジナルライセンスとオリジナル編集許 可情報とを含む受信ライセンスにノード編集許可情報を追加し、ノード側送信部が、 ノード許編集可情報が追加された受信ライセンスを中継する。このため、柔軟かつ多 様なライセンスの配信を行なうことができる。

[0172] 実施の形態 3の中間ノードは、自己許可情報検証部が、追加部が取得したノード編 集許可情報の正当性を検証する。このため、正当なライセンスの配信を行なうことが できる。

[0173] 実施の形態 3の中間ノードは、ノード側ライセンス検証部が、受信ライセンスの正当 性を検証する。このため、正当なライセンスの配信を行なうことができる。

[0174] 実施の形態 4.

(14.耐タンパ一装置を用いた、正当なライセンス編集処理の強制）

これまで説明した実施の形態 1〜実施の形態 3により、中間ノードが不正にライセン ス編集を行った場合でも、他の中間ノード、または端末は、不正に編集されたライセ ンスを受信した場合、不正を検知することができる。このため、ライセンス配信システ ム全体として不正を防止することができる。しかし、依然として中間ノードが不正を行う 余地が残る。

[0175] 本実施の形態 4では、システムの安全性をさらに高めることを目的に、これまで説明 してきた構造を持つライセンスの正当な編集を、中間ノードに強制させる方法につい て述べる。

[0176] 図 47、中間ノードにおけるライセンス編集機能のブロック図である。図 47は、受信ラ ィセンス 1、編集情報 111、送付先公開鍵 112を入力とし、耐タンパ一装置 50に格納 された各処理部を経て、最新ライセンス 403を出力する構成を示す。耐タンパ一装置 50は、物理的にシールドされた装置であり、それを開けると、内部のデータ及びプロ グラムが揮発し、使えなくなる性質を持つ。

[0177] 図 47のノード側ライセンス検証部 11、編集情報検証部 12、ノード側ライセンス生成 部 13、ノード側暗号化処理部 14、署名処理部 15等は、既に、図 13、図 31、図 39〖こ おいて説明済みである。

[0178] 以上のように構成することで、中間ノードを運用する者は、受信ライセンスに対し不 正な編集操作を行えなくなるので、正当なライセンス編集の強制力が生じる。

[0179] (15.ライセンスとコンテンツ鍵同時処理による、正当なライセンス編集処理の強制） 上記では、図 47を用いて、耐タンパ一装置 50により正当なライセンス編集処理を 強制する方法について説明した。しかし、そもそも図 47に示すような装置自体を使わ ずに、不正なライセンスデータを生成してしまうことは依然可能である。

[0180] 図 48は、さらにこの問題を解決するために、ライセンスのみならず、通常、ライセン スとともに配信されるコンテンツ鍵までをも、同時に耐タンパ一装置 50内で処理する 構成を示したものである。

[0181] ここで取り上げるコンテンツ鍵 113は、受信ライセンス 1に添付されており、受信者の 公開鍵で暗号ィ匕されているものとする。コンテンツ鍵 113は、ノード側ライセンス検証 部 11によりライセンス力も分離される。そして、コンテンツ鍵 113は、復号処理部 115 により秘密鍵 16を用いて復号され、平文コンテンツ鍵 114となる。さらに、平文コンテ ンッ鍵 114は、ノード側暗号ィ匕処理部 14において、送付先公開鍵 112により、再度、 暗号化され、編集ライセンスに添付される。

[0182] このように構成することで、中間ノードは、受信ライセンスを耐タンパ一装置 50に依 存することなく偽造したとしても、平文コンテンツ鍵自体が入手できない。このため、ラ ィセンスの偽造そのものに意味が無くなる。よって、図 48に示す構成は、中間ノード に対し、耐タンパ一装置 50の使用をより強制する。

[0183] 以上のように構成することで、中間ノードが不正にライセンスを生成する余地をなく すことが可能となり、システムの安全性をより高めることができる。

産業上の利用の可能性

[0184] 以上のように、実施の形態 1〜実施の形態 4で説明したライセンス配信システムは、 ライセンス発行者が許可する範囲内において、中間ノードにおけるライセンス編集を 許す、多段、多階層のライセンス配信用途に有用である。

[0185] 以上の実施の形態では、コンテンツの利用権を記述したライセンスに、どの中間ノ ードが、どの利用権を、どのような範囲で編集可能力を記述した編集許可情報を付 加し、中間ノードにおける編集ライセンスを元のライセンスに順次アペンドしていく形 式を特徴とするライセンスを取り扱い、受信したライセンスが上位ノードにて正当な編 集を経てきたかを検証するライセンス検証部を中間ノードと端末に備え、予め自身が 準備してお!、たライセンスの編集履歴が、コンテンツ発行者によって許可された編集 許可情報の範囲内であることを検証する編集履歴検証部を、中間ノードに備え、受 信ライセンスと編集履歴から、新たな編集ライセンスを生成する、ライセンス生成部を 、中間ノードに備えたことを特徴とする、ライセンス形式及びライセンス配信システムを 説明した。

[0186] 以上の実施の形態では、中間ノードにおける編集履歴を、元のライセンスに順次ァ ベンドしていく形式を特徴とするライセンスを取り扱い、受信ライセンスに、予め自身 が準備しておいた編集履歴をアペンドすることにより新たなライセンスを生成するライ センス生成部を、中間ノードに備え、ライセンス発行者のオリジナルライセンスに、ライ センスに含まれる編集履歴を繰り返し反映することで、最新のライセンスを復元するラ ィセンス復元部を、中間ノードに備えたことを特徴とする、ライセンス形式及びライセ ンス酉 S信システムを説明した。 [0187] 以上の実施の形態では、中間ノードにおける編集許可情報の追加を許可し、中間 ノードが作成した編集許可情報を、前の編集許可情報の直後にアペンドしていく形 式を特徴とするライセンスを取り扱い、受信したライセンスが上位ノードにて正当な編 集を経てきたかを検証することに加え、編集許可情報も正当に追加されてきたかを検 証するライセンス検証部を、中間ノードと端末に備え、予め自身が準備しておいたラ ィセンスの編集履歴力 最新の編集許可情報の範囲内であることを検証する編集履 歴検証部を、中間ノードに備えたことを特徴とする、ライセンス形式及びライセンス配 信システムを説明した。

[0188] 以上の実施の形態では、ライセンス検証部、編集履歴検証部、ライセンス生成部、 暗号化処理部、署名生成部を耐タンパ一装置に格納し、受信ライセンス、編集履歴 、送付先公開鍵を入力とし、暗号ィ匕署名済ライセンスを出力する耐タンパ一装置を中 間ノードに有することを特徴とする、ライセンス配信システムを説明した。

[0189] 以上の実施の形態では、請求の範囲第 4項に記載のライセンス配信システムにお いて、耐タンパ一装置内でライセンスの編集のみならず、自身の秘密鍵によるコンテ ンッ鍵の復号及び、送付先公開鍵による再暗号をも実施することを特徴とする、ライ センス酉 S信システムを説明した。

[0190] 以上のように、上記の実施の形態に係わるライセンス配信システムは、コンテンツホ ルダ (ライセンス発行者装置）が、ライセンス (オリジナルライセンス）に編集許可情報（ オリジナル編集許可情報）を付加してコンテンツプロバイダ（中間ノード）に送り、コン テンップロバイダ（中間ノード)は、編集許可情報 (オリジナル編集許可情報)の範囲 内でライセンスを編集し、編集ライセンスまたは編集履歴を、受信したライセンスにァ ベンドして次のコンテンツプロバイダ（中間ノード）に送るライセンス構造を持つことを 特徴とする。また、コンテンツプロバイダ（中間ノード)及び端末は、受信したライセン スが上位ノードにて正当な編集を経てきたかを検証する、ノード側ライセンス検証部、 端末側ライセンス検証部を備えることを特徴とする。また、コンテンツプロバイダ（中間 ノード）は、予め自身が準備しておいたライセンスの編集履歴 (編集情報）が、コンテ ンッホルダ (中間ノード）によって許可された編集許可情報 (オリジナル編集許可情報 )の範囲内であるかどうかを検証する編集履歴検証部 (自己許可情報検証部）を備え ることを特徴とする。また、コンテンツプロバイダ（中間ノード）は、受信ライセンスと編 集履歴から、新たな編集ライセンスを生成するノード側ライセンス生成部を備えること を特徴とする。このように、この実施の形態に係るライセンス配信システムによれば、ラ ィセンスに編集許可情報 (オリジナル編集許可情報)及び、コンテンツプロバイダ (中 間ノード）による編集ライセンスまたは編集履歴を付加することにより、ライセンス配信 において下位に位置するコンテンツプロバイダ（中間ノード)または端末は、ライセン スが正当な編集を経てきたカゝ否かを検証することができる。このため、コンテンツプロ バイダ（中間ノード)または端末は、コンテンツプロバイダ (中間ノード）による不正なラ ィセンス編集を検知し防止することができる。さらには、ライセンスという特別なデータ に限定せず、一般的なデータについて、データ発行者が許可した範囲内でのデータ 編集を許しつつ、安全なデータの送信を実現するという効果も奏するものである。 図面の簡単な説明

[図 1]実施の形態 1におけるライセンス配信システム 1000の構成を示す。

[図 2]実施の形態 1におけるライセンス配信システム 1000の動作の概要を示す。

[図 3]実施の形態 1におけるライセンス発行者装置 2の外観を示す。

[図 4]実施の形態 1におけるライセンス発行者装置 2のハードウェア構成を示す。

[図 5]実施の形態 1における端末装置 4のハードウェア構成を示す。

[図 6]実施の形態 1におけるライセンス発行者装置 2のブロック構成図を示す。

[図 7]実施の形態 1におけるライセンス発行者装置 2で生成された初期状態のライセ ンスの詳細な構成を示すブロックである。

[図 8]実施の形態 1におけるオリジナルライセンスの具体例を示す。

[図 9]実施の形態 1におけるオリジナル編集許可情報の具体例を示す。

[図 10]実施の形態 1における発行者署名 201の生成過程を示す。

[図 11]実施の形態 1における発行者署名 202の生成過程を示す。

[図 12]実施の形態 1におけるライセンス発行者装置 2によるライセンス 1の生成の概要 を示す。

[図 13]実施の形態 1における中間ノード 3の構成を示す。

[図 14]実施の形態 1におけるオリジナルライセンスとオリジナル編集許可情報の復号 を示す。

圆 15]実施の形態 1における中間ノード 3が生成する編集ライセンスの具体例示す。

[図 16]実施の形態 1における中間ノード 3が編集したライセンスの詳細構成を示すブ ロック図である。

[図 17]実施の形態 1における編集者署名 203の生成過程を示す。

[図 18]実施の形態 1における中間ノードによるライセンス 1の生成の概要を示す。

[図 19]実施の形態 1における中間ノードでの編集を N回繰り返した後のライセンスの 詳細な構成を示すブロック図である。

圆 20]実施の形態 1における端末装置 4の構成を示す。

[図 21]実施の形態 1における中間ノード 3のノード側ライセンス検証部のブロック図で ある。

[図 22]実施の形態 1におけるノード側ライセンス検証部が行うライセンス検証処理の フローチャートである。

[図 23]実施の形態 1におけるノード側ライセンス検証部が行うライセンス検証処理を 説明する図である。

[図 24]実施の形態 1におけるノード側ライセンス検証部が行うライセンス検証処理を 説明する図である。

[図 25]実施の形態 1における中間ノードの編集情報検証部のブロック図である。

[図 26]実施の形態 1における編集履歴 (独自形式)の実例を示す図である。

圆 27]実施の形態 1における編集情報検証部が行う編集情報検証処理のフローチヤ ートである。

[図 28]実施の形態 1における XSL形式の編集情報の実例を示す図である。

[図 29]実施の形態 1における中間ノードのノード側ライセンス生成部のブロック図であ る。

[図 30]実施の形態 1におけるノード側ライセンス生成部のライセンス生成処理のフロ 一チャートである。

[図 31]実施の形態 2における中間ノード 3の構成図である。

[図 32]実施の形態 2における各中間ノードで編集を N回繰り返した後のライセンスの 詳細な構成を示すブロック図である。

[図 33]実施の形態 2における中間ノードのノード側ライセンス復元部のブロック図であ る。

[図 34]実施の形態 2におけるノード側ライセンス復元部のライセンス復元処理のフロ 一チャートである。

[図 35]実施の形態 2における中間ノードのノード側ライセンス検証部のブロック図であ る。

[図 36]実施の形態 2におけるノード側ライセンス検証部のライセンス検証処理のフロ 一チャートである。

[図 37]実施の形態 2における中間ノードのノード側ライセンス生成部のブロック図であ る。

[図 38]実施の形態 2におけるノード側ライセンス生成部のライセンス生成処理のフロ 一チャートである。

[図 39]実施の形態 3における中間ノード 3の構成図である。

[図 40]実施の形態 3におけるライセンスに編集ライセンスをアペンドする場合の、ライ センスの詳細な構成を示すブロック図である。

[図 41]実施の形態 3におけるライセンスに編集履歴をアペンドする場合の、ライセンス の詳細な構成を示すブロック図である。

圆 42]実施の形態 3におけるオリジナル編集許可情報の実例を示す図である。 圆 43]実施の形態 3におけるオリジナル編集許可情報の実例を示す図である。 圆 44]実施の形態 3におけるノード編集許可情報の実例を示す図である。

[図 45]実施の形態 3におけるノード側ライセンス検証部のライセンス検証処理のフロ 一チャートである。

[図 46]実施の形態 3における編集情報検証部のノード編集許可情報の検証処理の フローチャートである。

[図 47]実施の形態 4における中間ノード 3のライセンス編集機能の構成を示すブロッ ク図である。

[図 48]実施の形態 4における中間ノードのライセンス編集機能の構成を示すブロック 図である。

符号の説明

1, la, lb, lc ライセンス、 2 ライセンス発行者装置、 3 中間ノード、 4 端末、 5 ネットワーク、 10 追加部、 11 ノード側ライセンス検証部、 12 編集情報検証部、 1 3 ノード側ライセンス生成部、 14 ノード側暗号化処理部、 15 ノード側署名生成部 、 16 ノード側秘密鍵格納部、 17 ノード側送信部、 18 ノード側受信部、 19 ノード 側送付先公開鍵格納部、 20 ノード側ライセンス復元部、 21 自己許可情報検証部 、 22 秘密鍵、 23 編集情報記憶部、 24 ノード編集許可情報記憶部、 30 秘密鍵 、 31 発行側ライセンス生成部、 32 オリジナルライセンス生成部、 33 オリジナル編 集許可情報生成部、 34 発行側送付先公開鍵格納部、 35 発行側暗号化処理部、 36 発行側秘密鍵格納部、 37 発行側署名生成部、 38 発行側送信部、 39 送付 先公開鍵、 41 端末側受信部、 42 端末側ライセンス復元部、 43 端末側ライセン ス検証部、 44 端末側コンテンツ利用部、 45 端末側秘密鍵格納部、 46 秘密鍵、 50 耐タンパ一装置、 101 オリジナルライセンス、 102 オリジナル編集許可情報、 103 編集ライセンス、 104 編集ライセンス（2)、 105 編集ライセンス (N— 1)、 10 6 編集ライセンス (N)、 107 ノード編集許可情報、 111 編集情報、 112 送付先 公開鍵、 113, 114 コンテンツ鍵、 115 復号処理部、 201, 202 発行者署名、 20 3 編集者署名、 204 編集者 2署名、 205 編集者 N— 1署名、 206 編集者 N署名 、 211 編集者 K署名、 212 編集者 M署名、 240 追加部分、 301 発行者署名、 3 02 編集者署名、 303 編集 N署名、 401, 402 正当性検証結果、 403 最新ライ センス、 501 編集履歴（1)、 502 編集履歴（2)、 503 編集履歴 (N)、 504 編集 履歴 (N—l)、 601 ノード編集許可情報 K、 602 ノード編集許可情報 (Μ)、 800 コンピュータシステム、 810 CPU, 811 ROM, 812 RAM, 813 液晶表示装置 、 814 キーボード、 815 マウス、 816 通信ボード、 817 FDD, 818 CDD、 819 プリンタ、 820 磁気ディスク装置、 821 OS, 822 ウィンドウシステム、 823 プロ グラム群、 824 ファイル群、 825 ノ ス、 830 システムユニット、 851 リモコン受信 部、 852 リモコン装置、 900 ネットワーク、 1000 ライセンス配信システム。

Claims

請求の範囲

[1] データを発行する発行装置と、前記発行装置が発行した前記データを中継する複 数の中間ノードと、前記複数の中間ノードを介して前記データを受信する端末装置と を備えたデータ配信システムにお 、て、

前記発行装置は、

前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報とを含む中継デ ータを発行し、

前記複数の中間ノードのうちの少なくとも 、ずれかは、

前記発行装置が発行した前記中継データを中継する場合に、前記中継データに 含まれる前記オリジナル編集許可情報に基づ 、て、前記オリジナルデータに対して 少なくとも一部が変更された編集データを生成し、生成した前記編集データを前記 中継データに追カ卩して前記中継データを中継し、

前記端末装置は、

前記複数の中間ノードのうちの少なくともいずれかにより前記編集データが追加さ れた前記中継データを受信することを特徴とするデータ配信システム。

[2] 前記発行装置が発行する中継データに含まれる前記オリジナルデータは、

前記端末装置に対して所定の権利を認めるオリジナルライセンスを含むことを特徴 とする請求項 1記載のデータ配信システム。

[3] 所定のデータを発行し、発行した前記所定のデータを複数の中間ノードを介して、 端末装置に配信する発行装置において、

前記端末装置に配信するためのオリジナルデータと、前記複数の中間ノードの少 なくともいずれかに対して前記オリジナルデータの変更を認めるとともに変更を認め る内容を示すオリジナル編集許可情報とを含む中継データを発行する発行部と、 前記発行部が発行した前記中継データを送信する発行側送信部と

を備えたことを特徴とする発行装置。

[4] 端末装置にデータを中継する中間ノードにおいて、

前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報とを含む中継デ ータを中継の対象として受信するノード側受信部と、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナル編集許 可情報に基づいて、前記オリジナルデータに対して少なくとも一部が変更された編集 データを生成し、生成した前記編集データを前記ノード側受信部が受信した前記中 継データに追加する追加部と、

前記追加部により前記編集データが追加された前記中継データをあらたな中継デ ータとして中継のために送信するノード側送信部と

を備えたことを特徴とする中間ノード。

[5] 前記追加部は、

前記オリジナルデータに対する変更を示す差分を自己差分情報として取得し、取 得した前記自己差分情報と前記ノード側受信部が受信した前記中継データに含ま れる前記オリジナル編集許可情報とに基づ ヽて、前記編集データを生成することを 特徴とする請求項 4記載の中間ノード。

[6] 前記追加部は、

前記自己差分情報が、前記オリジナル編集許可情報の認める内容の範囲内かどう かを検証する差分検証部を備えたことを特徴とする請求項 5記載の中間ノード。

[7] 前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報と、他の中間ノー ドが前記オリジナルデータを変更して追加した他ノード変更データとを含む中継デー タを中継の対象として受信し、

前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナルデータと 前記オリジナル編集許可情報と前記他ノード変更データとに基づいて、前記ノード側 受信部が受信した前記中継データが正当力どうかを検証するノード側中継データ検 証部を備えたことを特徴とする請求項 4記載の中間ノード。

[8] 複数の中間ノードを介して中継されるデータの配信を受ける端末装置において、 前記複数の中間ノードを介して中継される中継データであって、

配信の対象であるオリジナルデータと、前記複数の中間ノードの少なくともいずれ かに対して前記オリジナルデータの変更を認めるとともに変更を認める内容を示すォ リジナル編集許可情報と、前記複数の中間ノードのうち少なくともいずれかが前記ォ リジナルデータを変更して追加した他ノード変更データとを含む中継データを受信す る端末側受信部と、

前記端末側受信部が受信した前記中継データに含まれる前記オリジナルデータと 前記オリジナル編集許可情報と前記他ノード変更データとに基づいて、前記端末側 受信部が受信した前記中継データが正当力どうかを検証する端末側中継データ検 証部と

を備えたことを特徴とする端末装置。

[9] データを発行する発行装置と、前記発行装置が発行した前記データを中継する複 数の中間ノードと、前記複数の中間ノードを介して前記データを受信する端末装置と を備えたデータ配信システムにお 、て、

前記発行装置は、

前記端末装置に配信するためのオリジナルデータを含む中継データを発行し、 前記複数の中間ノードのうちの少なくとも 、ずれかは、

前記発行装置が発行した前記中継データを中継する場合に、前記オリジナルデー タに対する変更を示す差分を自己差分情報として取得し、取得した前記自己差分情 報を前記中継データに追加して前記中継データを中継し、

前記端末装置は、

前記複数の中間ノードのうちの少なくともいずれかにより前記自己差分情報が追カロ された前記中継データを受信することを特徴とするデータ配信システム。

[10] 端末装置にデータを中継する中間ノードにおいて、

前記端末装置に配信するためのオリジナルデータを含む中継データを中継の対象 として受信するノード側受信部と、

前記オリジナルデータに対する差分を自己差分情報として取得し、取得した前記自 己差分情報を前記ノード側受信部が受信した前記中継データに追加する追加部と、 前記追加部により前記自己差分情報が追加された前記中継データをあらたな中継 データとして中継のために送信するノード側送信部と

を備えたことを特徴とする中間ノード。

前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報とを含む中継デ ータを中継の対象として受信し、

前記追加部は、

前記自己差分情報が、前記ノード側受信部の受信した前記中継データに含まれる 前記オリジナル編集許可情報の認める内容の範囲内かどうかを検証する差分検証 部を備えたことを特徴とする請求項 10記載の中間ノード。

前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、前記オリジナルデータの変更 を認めるとともに変更を認める内容を示すオリジナル編集許可情報と、他の中間ノー ドが前記オリジナルデータに対する変更を差分として追加した他ノード差分情報とを 含む中継データを中継の対象として受信し、

前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナル編集許 可情報と前記他ノード差分情報とに基づ!/、て、前記ノード側受信部が受信した前記 中継データが正当かどうかを検証するノード側中継データ検証部を備えたことを特徴 とする請求項 10記載の中間ノード。

前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、他の中間ノードが前記オリジ ナルデータに対する変更を差分として追加した他ノード差分情報とを含む中継デー タを中継の対象として受信し、

前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナルデータと 前記他ノード差分情報とに基づ!/、て、前記他ノード差分情報が示す前記オリジナル データに対する差分を前記オリジナルデータに反映した反映データを生成するノー ド側反映データ生成部を備えたことを特徴とする請求項 10記載の中間ノード。

[14] 複数の中間ノードを介して中継されるデータの配信を受ける端末装置において、 前記複数の中間ノードを介して中継される中継データであって、配信の対象である オリジナルデータと、前記複数の中間ノードの少なくともいずれかに対して前記オリジ ナルデータの変更を認めるとともに変更を認める内容を示すオリジナル編集許可情 報と、前記複数の中間ノードのうちの少なくともいずれかが前記オリジナルデータに 対する変更を差分として追加した他ノード差分情報と含む中継データを受信する端 末側受信部と、

前記端末側受信部が受信した前記中継データに含まれる前記オリジナル編集許 可情報と前記他ノード差分情報とに基づいて、前記端末側受信部が受信した前記中 継データが正当かどうかを検証する端末側中継データ検証部とを備えたことを特徴と する端末装置。

[15] 前記端末装置は、さらに、

前記端末側受信部が受信した前記中継データに含まれる前記オリジナルデータと 前記他ノード差分情報とに基づ!、て、前記他ノード差分情報が示す前記オリジナル データに対する差分を前記オリジナルデータに反映した反映データを生成する端末 側反映データ生成部を備えたことを特徴とする請求項 14記載の端末装置。

[16] 端末装置にデータを中継する中間ノードにおいて、

前記端末装置に配信するためのオリジナルデータを含む中継データを中継の対象 として受信するノード側受信部と、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナルデータ の変更を認めるとともに変更を認める内容を示す情報を自己編集許可情報として取 得し、取得した前記自己編集許可情報を前記ノード側受信部が受信した前記中継 データに追加する追加部と、

前記追加部により前記自己編集許可情報が追加された前記中継データをあらたな 中継データとして中継のために送信するノード側送信部と

を備えたことを特徴とする中間ノード。 [17] 前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと、他の中間ノードが追加した情 報であって前記オリジナルデータの変更を認めるとともに変更を認める内容を示す他 ノード編集許可情報とを含む中継データを受信し、

前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記他ノード編集許可 情報に基づ 、て、前記自己編集許可情報が正当かどうかを検証する自己許可情報 検証部を備えたことを特徴とする請求項 16記載の中間ノード。

[18] 前記ノード側受信部は、

前記端末装置に配信するためのオリジナルデータと前記オリジナルデータの変更 を認めると

ともに変更を認める内容を示すオリジナル編集許可情報とを発行する発行装置が発 行した前記

オリジナルデータと前記オリジナル許可情報とを含むとともに、他の中間ノードが追加 した情報であって前記オリジナルデータの変更を認めるとともに変更を認める内容を 示す他ノード編集

許可情報とを含む中継データを受信し、

前記追加部は、

前記ノード側受信部が受信した前記中継データに含まれる前記オリジナル編集許 可情報と前記他ノード編集許可情報とに基づ!、て、前記ノード側受信部が受信した 前記中継データが正当かどうかを検証するノード側中継データ検証部を備えたことを 特徴とする請求項 16記載の中間ノード。