WO2009119029A1 - コンテンツ再生装置、コンテンツ再生装置の制御方法、コンテンツ再生プログラム、記録媒体及び集積回路 - Google Patents

コンテンツ再生装置、コンテンツ再生装置の制御方法、コンテンツ再生プログラム、記録媒体及び集積回路 Download PDF

Info

Publication number
WO2009119029A1
WO2009119029A1 PCT/JP2009/001120 JP2009001120W WO2009119029A1 WO 2009119029 A1 WO2009119029 A1 WO 2009119029A1 JP 2009001120 W JP2009001120 W JP 2009001120W WO 2009119029 A1 WO2009119029 A1 WO 2009119029A1
Authority
WO
WIPO (PCT)
Prior art keywords
content
history
playback
reproduction
time
Prior art date
Application number
PCT/JP2009/001120
Other languages
English (en)
French (fr)
Inventor
芳賀智之
井藤好克
布田裕一
松島秀樹
伊藤孝幸
Original Assignee
パナソニック株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by パナソニック株式会社 filed Critical パナソニック株式会社
Priority to EP09725014A priority Critical patent/EP2259206A1/en
Priority to JP2010505305A priority patent/JP5491384B2/ja
Priority to US12/919,967 priority patent/US8448259B2/en
Publication of WO2009119029A1 publication Critical patent/WO2009119029A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]

Definitions

  • the present invention relates to a technique for updating rights information of digital contents whose playback rights are restricted, and preventing unauthorized alteration and analysis of the rights information.
  • DRM Digital Rights Management
  • DRM digital rights management
  • OMA DRM R2 for mobile phones
  • Marlin for digital home appliances
  • rights information that imposes certain restrictions on playback rights, such as the playable time of content, the number of playable times, and the playback time limit, is associated with the content.
  • a device compliant with the DRM standard needs to perform content reproduction processing and right information consumption processing according to the right information.
  • the implementation of the DRM standard must be implemented to prevent unauthorized playback beyond the predetermined playback rights by falsifying the rights information and bypassing the consumption processing of the rights information. For example, it is necessary to prevent an illegal act in which a malicious user deliberately turns off the power supply of the playback device and the playback right is not consumed before the rights information consumption process is executed.
  • Patent Document 1 discloses a method for monitoring whether unauthorized processing is being performed during content reproduction by periodically monitoring whether a predetermined command processing is operating correctly.
  • the Marlin standard features a callback process that executes a specific process when a specific condition is met.
  • the callback processing is, for example, processing such as playback stop, advertisement display, or billing when the total playback time exceeds a predetermined playback possible time.
  • Non-Patent Document 1 describes several types of callback processing.
  • content playback processing can be performed more flexibly than conventional DRM by defining a rights type using this callback processing.
  • JP 2007-18177 A Octopus Controls version 1.0.1 Final September 6, 2006 (http://www.marlin-community.com)
  • the memory for recording the reproduction history needs to be non-volatile. Furthermore, in order to prevent unauthorized tampering while the power is off, it is necessary to record the playback history in a secure memory protected by a tamper resistant technique or the like.
  • a large-capacity nonvolatile secure memory is required in order to record the playback history while responding to the demand for frequent rewriting and prevention of unauthorized tampering.
  • a tamper-resistant secure memory is more expensive than a normal flash memory, and if it has a large capacity, it will still cost much.
  • the present invention has been made in view of the above problems, and a content playback apparatus that records a playback history at a high frequency and prevents alteration of the playback history without using a large-capacity nonvolatile secure memory, It is an object of the present invention to provide a method for controlling a content reproduction apparatus, a content reproduction program, a recording medium, and an integrated circuit.
  • a content playback apparatus includes a content playback unit, a normal storage unit that is not tamper-proof mounted, a secure storage unit that is tamper-proof mounted, and a predetermined time interval.
  • a first control unit that stores a playback history indicating the playback time of the content in the normal storage unit every time, and a monitoring history related to the playback time of the content at irregular time intervals in the secure storage unit; When the predetermined reproduction time represented based on the monitoring history corresponds to the predetermined reproduction time represented based on the monitoring history and the content reproduction time indicated by the reproduction history corresponds to the normal storage unit.
  • a second control unit that determines that the stored reproduction history has not been tampered with.
  • the playback history indicating the playback time of the content is stored in the normal storage unit at every predetermined time interval, while the monitoring history related to the playback time of the content is stored in the secure storage unit at irregular time intervals. save. That is, the playback history indicating the playback time of the content at every predetermined time interval is not stored in the secure storage unit but is stored in the normal storage unit. Therefore, the frequency of updating the information stored in the secure storage unit can be reduced as compared with the case where the reproduction time of the content is monitored using only the information stored in the secure storage unit.
  • the predetermined reproduction time represented based on the monitoring history corresponds to the predetermined reproduction time represented based on the monitoring history and the content reproduction time indicated by the reproduction history
  • the validity of the reproduction time of the content indicated by the reproduction history is determined using the reproduction time of the content at irregular time intervals represented based on the monitoring history stored in the secure storage unit. Therefore, even when the playback history is stored in a non-secure normal storage unit, the playback history is validated for an irregular period of time using a monitoring history stored in a secure storage unit that cannot be rewritten from the outside. Judgment can be made at intervals.
  • the secure storage unit cannot be accessed from the outside of the content reproduction apparatus, it is difficult for an unauthorized analyst to check the monitoring history.
  • FIG. 1 is a configuration diagram of a content reproduction device 100 according to Embodiment 1 of the present invention.
  • FIG. 5 is a diagram showing reproduction history information in Embodiment 1 of the present invention.
  • FIG. 3 is a diagram showing a content management table in Embodiment 1 of the present invention.
  • FIG. 5 is a diagram showing a rights management table in Embodiment 1 of the present invention.
  • 6 is an internal configuration diagram of a second control unit 330 and a secure storage unit 350 of the content reproduction device 100 according to Embodiment 1 of the present invention.
  • FIG. 6 is a diagram showing a monitoring cycle determined by a monitoring cycle determination unit 334 of the content reproduction device 100 according to Embodiment 1 of the present invention.
  • 3 is a diagram showing a method of monitoring a playback history at a constant cycle by the content playback device 100 according to Embodiment 1 of the present invention.
  • 3 is a flowchart showing an operation of a reproduction processing unit 200 of the content reproduction apparatus 100 in Embodiment 1 of the present invention.
  • 6 is a flowchart showing an operation of the secure processing unit 300 of the content reproduction device 100 in Embodiment 1 of the present invention.
  • 6 is a flowchart showing a playback history verification operation of the secure processing unit 300 of the content playback apparatus 100 in Embodiment 1 of the present invention.
  • 6 is a flowchart showing a rights information update operation of the secure processing unit 300 of the content reproduction device 100 according to Embodiment 1 of the present invention.
  • FIG. 10 is a diagram illustrating a method for the content reproduction device 100 according to Embodiment 2 of the present invention to monitor a reproduction history with a random period.
  • 6 is a flowchart showing a monitoring cycle update operation of the secure processing unit 300 of the content reproduction device 100 according to Embodiment 2 of the present invention.
  • FIG. 10 is an internal configuration diagram of a second control unit 330 and a secure storage unit 350 of the content reproduction device 100 according to Embodiment 3 of the present invention.
  • FIG. 10 is a diagram showing a playback history associated with a playback processing command in Embodiment 3 of the present invention.
  • FIG. 10 is a diagram showing a command holding table in Embodiment 3 of the present invention.
  • the content playback apparatus wherein the content playback unit, a normal storage unit that is not tamper-resistant mounted, a secure storage unit that is tamper-proof mounted, and the content at predetermined time intervals
  • a first control unit that stores a playback history indicating the playback time of the content in the normal storage unit, and a monitoring history related to the playback time of the content at irregular time intervals in the secure storage unit, and based on the monitoring history Is stored in the normal storage unit when the predetermined reproduction time represented by the reproduction history corresponds to the predetermined reproduction time represented based on the monitoring history and the reproduction time of the content indicated by the reproduction history.
  • a second control unit that determines that the reproduction history has not been tampered with.
  • the content playback time indicates the elapsed time of content playback from a certain point in time, for example, the start point of the content.
  • the playback history indicating the playback time of the content is stored in the normal storage unit at every predetermined time interval, while the monitoring history related to the playback time of the content is stored in the secure storage unit at irregular time intervals. save. That is, the reproduction history indicating the reproduction time of the content at every predetermined time interval is not stored in the secure storage unit but is stored in the normal storage unit. Therefore, the frequency of updating the information stored in the secure storage unit can be reduced as compared with the case where the reproduction time of the content is monitored using only the information stored in the secure storage unit.
  • the predetermined reproduction time represented based on the monitoring history corresponds to the predetermined reproduction time represented based on the monitoring history and the content reproduction time indicated by the reproduction history
  • the validity of the reproduction time of the content indicated by the reproduction history is determined using the reproduction time of the content at irregular time intervals represented based on the monitoring history stored in the secure storage unit. Therefore, even when the playback history is stored in a non-secure normal storage unit, the playback history is validated for an irregular period of time using a monitoring history stored in a secure storage unit that cannot be rewritten from the outside. Judgment can be made at intervals.
  • the secure storage unit cannot be accessed from the outside of the content reproduction apparatus, it is difficult for an unauthorized analyst to check the monitoring history.
  • the content playback apparatus corresponds to a predetermined playback time represented based on the monitoring history and a predetermined playback time represented based on the monitoring history.
  • the case where the reproduction time of the content corresponds corresponds to the predetermined reproduction time represented based on the monitoring history and the predetermined reproduction time represented based on the monitoring history and the content indicated by the reproduction history. The reproduction time is the same.
  • the playback history corresponds to a predetermined playback time represented based on the monitoring history and a predetermined playback time represented based on the monitoring history.
  • the case where the playback time of the content corresponds corresponds to the content indicated by the playback history corresponding to the predetermined playback time represented based on the monitoring history. The time is within the playback time interval.
  • the irregular time interval by setting the irregular time interval to a time interval larger than the predetermined time interval, even if the predetermined time interval indicated by the reproduction history stored in the normal storage unit is specified, only that time interval is specified. Then, since the unspecified time interval indicated by the history information stored in the secure storage unit cannot be specified, it is possible to increase resistance to alteration of the playback history aimed at the monitoring timing.
  • the frequency of updating the monitoring history stored in the secure storage unit can be reduced as compared with the case where the playback history is stored in the secure storage unit.
  • the irregular time interval a random time interval, it becomes difficult to specify the irregular time interval, so that the resistance to alteration of the reproduction history aimed at the monitoring timing is improved. Can do.
  • the irregular time interval is a time interval that changes according to a predetermined rule, and the irregular time is determined by the second control unit within a certain time range.
  • the number of monitoring histories stored in the secure storage unit at an interval is smaller than the number of reproduction histories stored in the normal storage unit at the predetermined time interval by the first control unit.
  • the time interval that changes according to the predetermined rule refers to a time interval that changes such as increasing or decreasing in a certain cycle.
  • the unspecified time interval indicated by the history information stored in the secure storage unit cannot be specified, it is possible to increase the resistance to alteration of the playback history aimed at the monitoring timing.
  • the number of monitoring histories stored in the secure storage unit at the irregular time interval by the second control unit in the predetermined time range is determined by the first control unit at the predetermined time interval.
  • the second control unit is tamper-proof mounted, and the secure storage unit stores the monitoring history itself as the monitoring history in the secure storage unit. Counter information indicating the order of recording is stored, and the second control unit generates a predetermined reproduction time represented based on the monitoring history based on the irregular time interval and the counter information.
  • the second control unit can determine whether or not the reproduction history is falsified.
  • the content playback apparatus wherein the secure storage unit stores a plurality of types of the irregular time intervals, and the second control unit is stored a plurality of types in the secure storage unit. One of the irregular time intervals is selected, and the monitoring history related to the playback time of the content is stored in the secure storage unit at the time interval indicated by the selected irregular time interval. .
  • the content playback apparatus corresponds to a predetermined playback time represented based on the monitoring history and a predetermined playback time represented based on the monitoring history.
  • the correspondence with the playback time of the content indicated by the playback history is intermittently determined, and the irregular time interval is updated each time the determination is intermittently made.
  • the fraud analyst can identify the irregular time interval at a certain timing while playing a certain content, the irregular time interval after the update cannot be identified. Resistance to alteration of the playback history can be increased.
  • the content playback apparatus further comprising: a right consumption processing unit that executes a predetermined process when a playback time of the content has passed a predetermined time, wherein the right consumption processing unit is the normal storage unit When it is determined that the playback history stored in the file has not been tampered with, it is determined based on the playback history whether the playback time of the content has passed the predetermined time.
  • the alteration detection of the reproduction history can be applied.
  • the right consumption processing unit verifies whether or not the playback history stored in the normal storage unit has been tampered with before determining whether or not the playback time of the content has passed the predetermined time. To do.
  • the right consumption processing unit determines that the reproduction history stored in the normal storage unit has not been tampered with, has the content reproduction time elapsed based on the reproduction history? Judge whether or not.
  • the update of the monitoring history is less frequent than the update of the playback history. Therefore, when there is no alteration in the playback history, it is determined whether the playback time of the content has passed the predetermined time based on the playback time indicated by the playback history.
  • the playback time of the content is determined based on the monitoring history recorded in the secure storage unit with higher reliability. It can be determined whether the time has passed.
  • the predetermined process executed by the right consumption unit is, for example, a callback process. Even if an unintended power interruption occurs and the callback process cannot be performed properly, the callback process can be performed based on the playback time before the power interruption occurs before the content is reproduced.
  • the callback processing can be executed based on the record as close as possible to the actual reproduction time using the monitoring history.
  • the content playback apparatus wherein the monitoring history stored in the secure storage unit and the playback history stored in the normal storage unit are deleted when the predetermined processing is completed. It is characterized by.
  • the free capacity of the memory can be increased by deleting the reproduction history and the monitoring history that are no longer necessary after the predetermined processing.
  • the second control unit corresponds to a predetermined reproduction time represented based on the monitoring history and a predetermined reproduction time represented based on the monitoring history.
  • the correspondence with the reproduction time of the content indicated by the reproduction history is intermittently determined, and each time the determination is intermittently performed, the display is based on the monitoring history used for the determination before the determination immediately before each determination.
  • the playback time is deleted from the secure storage unit, and the playback time of the content indicated by the playback history used for the determination prior to the determination immediately before each determination is deleted from the normal storage unit.
  • the content playback apparatus wherein the first control unit normally stores a playback history indicating the playback time of the content and the type of playback processing performed at each playback time for each predetermined time interval.
  • the second control unit selects a playback time corresponding to a specific type of playback process from the playback time of the content indicated by the playback history, and stores the predetermined time represented based on the monitoring history. It is characterized in that it is determined whether or not the reproduction time corresponds to a predetermined reproduction time represented based on the monitoring history and the content reproduction time indicated by the selected reproduction history.
  • the content playback device is provided with a normal clock for measuring an elapsed time
  • the second control unit is configured to have a predetermined time represented based on the monitoring history with reference to the normal clock. It is determined whether or not the reproduction time corresponds to a predetermined reproduction time represented based on the monitoring history and the content reproduction time indicated by the reproduction history.
  • the content playback device is provided with a normal clock for measuring an elapsed time, and the second control unit determines a time interval measured by the normal clock, and the determined time interval is set as the time interval.
  • the first control unit notifies the first control unit, and the first control unit stores the reproduction history indicating the reproduction time of the content at the predetermined time interval in the normal storage unit with the notified time interval as the predetermined time interval. It is characterized by doing.
  • the interval for timing the reproduction history can be determined and held in the second control unit. Since the progress of the reproduction cannot be confirmed from the time when the previous reproduction time is measured until the next time is measured, the interval for measuring the reproduction history can be said to be a time allowable range in the verification of the reproduction history of the reproduction. Therefore, by determining and holding this in the second control unit, it is possible to increase resistance to alteration of the reproduction history.
  • a content playback apparatus wherein the content playback unit, the normal storage unit not tamper-resistant mounted, the secure storage unit tamper-proof mounted, and the first time interval
  • a first control unit that stores a reproduction history indicating a reproduction time of the content in the normal storage unit, and a monitoring history related to the reproduction time of the content at a second time interval that is larger than the first time interval.
  • a predetermined reproduction time represented based on the monitoring history corresponds to a predetermined reproduction time represented based on the monitoring history and the content reproduction time indicated by the reproduction history corresponds to And a second control unit that determines that the reproduction history stored in the normal storage unit has not been tampered with.
  • the playback history indicating the playback time of the content at each first time interval smaller than the second time interval is not stored in the secure storage unit, but is stored in the normal storage unit. The Therefore, the frequency of updating the information stored in the secure storage unit can be reduced as compared with the case where the reproduction time of the content is monitored using only the information stored in the secure storage unit.
  • the validity of the reproduction time of the content indicated by the reproduction history is determined using the reproduction time of the content at irregular time intervals represented based on the monitoring history stored in the secure storage unit. Therefore, even when the playback history is stored in a non-secure normal storage unit, the playback history is validated for an irregular period of time using a monitoring history stored in a secure storage unit that cannot be rewritten from the outside. Judgment can be made at intervals.
  • the secure storage unit cannot be accessed from the outside of the content reproduction apparatus, it is difficult for an unauthorized analyst to check the monitoring history.
  • Embodiment 1 the content reproduction apparatus according to Embodiment 1 of the present invention will be described.
  • a limit is imposed on the reproducible time for the content, and the content reproduction apparatus reproduces the content under the imposed limitation.
  • FIG. 1 is a configuration diagram of the content reproduction apparatus 100 according to the present embodiment.
  • the content playback apparatus 100 acquires encrypted content and right information including a content key and content usage conditions through a content distribution service using a network such as the Internet. Then, the content playback apparatus 100 decrypts the encrypted content using the content key according to the acquired usage conditions, and plays back the content.
  • the content playback apparatus 100 is specifically an electronic device such as a TV, a HDD recorder, a BD / DVD recorder, a set top box, a mobile phone, and a PDA having a network function.
  • the usage condition of the content imposes a certain restriction on the reproduction right such as the reproducible time, the reproducible number of times, and the reproduction time limit.
  • a certain restriction on the reproduction right such as the reproducible time, the reproducible number of times, and the reproduction time limit.
  • An example will be described in which the reproduction right for the accumulated reproduction time permitting reproduction until the number exceeds is given.
  • the content reproduction apparatus 100 includes a reproduction processing unit 200 and a secure processing unit 300. Further, the content reproduction apparatus 100 includes a normal storage unit 250, a normal clock 260, a right storage control unit 420, and a content storage control unit 450.
  • the playback processing unit 200 is a content playback application.
  • the playback processing unit 200 receives a playback processing command from the user, requests the secure processing unit 300 to process the playback processing command, and receives the processing result of the playback processing command from the secure processing unit 300.
  • the secure processing unit 300 processes the playback processing command from the playback processing unit 200, and performs illegal processing such as content decryption processing using the content key, playback right consumption processing according to usage conditions, playback right tampering and analysis, etc. Processing is performed for information that requires integrity and confidentiality related to content playback processing, such as monitoring processing for monitoring whether playback is performed.
  • the secure processing unit 300 may be implemented by software or hardware, but is assumed to be protected by using a tamper resistant mounting technology.
  • the reproduction processing unit 200 includes a reproduction processing reception unit 210, a reproduction processing control unit 220, a first control unit 230, and a normal clock acquisition unit 240.
  • the reproduction processing reception unit 210 receives a reproduction processing command from the user.
  • the playback process command is an instruction for a playback request, stop process, pause, seek process such as fast forward / rewind, skip process to the next content, and the like.
  • the playback processing control unit 220 receives the playback processing command received from the user received by the playback processing receiving unit 210, and requests the secure processing control unit 320 of the secure processing unit 300 to perform processing according to the received playback processing command. Furthermore, the playback processing control unit 220 receives the processing result from the secure processing control unit 320.
  • the first control unit 230 periodically records the playback history in the normal storage unit 250 during content playback.
  • the reproduction history is a record of elapsed time during content reproduction at regular time intervals.
  • the table shown in FIG. 2 is the playback history.
  • the elapsed time is recorded every second from the start of reproduction, and the content has been reproduced up to 6 seconds.
  • the accuracy of recording the content playback time is determined by the accuracy of the playback history recorded by the first control unit 230. Therefore, in order to perform the playback right consumption process with the second accuracy and perform the callback process without delay with the second accuracy, the first control unit 230 needs to periodically record the playback history with the second accuracy.
  • the first control unit 230 acquires the value of the normal clock 260 through the normal clock acquisition unit 240 in order to periodically record the playback history in the normal storage unit 250. Further, the first control unit 230 holds a reproduction history writing period for periodically writing the reproduction history, and writes the reproduction history using the value of the normal clock 260 and the reproduction history writing period. Determine if it is timing. Note that the implementation method of the periodic processing is not limited to the above method, and implementation by interrupt processing using a watchdog timer or implementation by polling processing may be used.
  • the normal clock acquisition unit 240 acquires the time from a normal clock 260 described later in accordance with an instruction from the first control unit 230.
  • ⁇ Secure processing unit 300 ⁇ In this section, the internal configuration of the secure processing unit 300 will be described.
  • the secure processing unit 300 includes a secure processing control unit 320, a second control unit 330, a secure storage unit 350, a secure clock acquisition unit 340, a secure clock 360, a right consumption processing unit 410, and a content reproduction processing unit 440.
  • the secure processing control unit 320 receives a playback processing command from the playback processing control unit 220, and requests processing to an appropriate processing unit according to the received processing content. In addition, the secure processing control unit 320 returns the processing result in each processing unit to the reproduction processing control unit 220.
  • the second control unit 330 periodically monitors whether the playback history recorded by the first control unit 230 has been tampered with. This is done by periodically reading the reproduction history recorded in the normal storage unit 250 by the first control unit 230 and determining whether or not the reproduction history is recorded at a predetermined interval.
  • the reproduction processing unit 200 cannot know it.
  • the secure processing unit 300 is tamper resistant, it is difficult to specify the monitoring timing even if an unauthorized analyst analyzes the inside of the content reproduction apparatus 100. Accordingly, it may be considered impossible to falsify the playback history with the aim of monitoring timing.
  • the second control unit 330 performs processing such as stopping playback when an illegality is found in the playback history. Details of the second control unit 330 will be described later.
  • the content reproduction processing unit 440 reads the content requested to be reproduced through the content storage control unit 450. Subsequently, the content reproduction processing unit 440 decrypts the encrypted content using the content key acquired by the right consumption processing unit 410. Then, the content reproduction processing unit 440 passes the decrypted content data to the decoder and reproduces the content.
  • the right consumption processing unit 410 performs processing for consuming the playback rights assigned to the content requested to be played for the amount of playback.
  • the right consumption processing unit 410 reads the right information corresponding to the content requested to be played from the right storage unit 430 through the right storage control unit 420 and confirms the usage conditions.
  • the usage condition is a time limit such as time
  • the right consumption processing unit 410 acquires the value of the secure clock 360 through the secure clock acquisition unit 340 and confirms whether or not there is a reproduction right using the value. .
  • the right consumption processing unit 410 also performs processing such as consumption of rights and addition of right information newly purchased by the user to the right management table shown in FIG.
  • the right consumption processing unit 410 describes a case where right consumption processing is performed in which the reproducible time given to the content is consumed only for the actual reproduction time.
  • General callback processing processing such as playback stop, advertisement display, and billing may be performed.
  • the secure storage unit 350 is a secure nonvolatile memory. That is, the secure storage unit 350 can be accessed only by the components in the secure processing unit 300 through the secure storage control unit 333.
  • the secure storage unit 350 is realized by a nonvolatile memory such as a flash memory.
  • the type of nonvolatile memory is not limited to this, and FeRAM may be used.
  • the secure storage unit 350 records information to be protected, such as a period for monitoring whether or not the playback history is falsified by the second control unit 330. Details of the information recorded by the secure storage unit 350 will be described later.
  • the secure clock 360 is a clock for measuring the timing at which the second control unit 330 monitors whether the reproduction history has been tampered with. Note that the secure clock 360 is mounted using a tamper-resistant technology so that the secure clock 360 can be prevented from being falsified.
  • the secure clock acquisition unit 340 acquires the time from the secure clock 360 according to an instruction from the second control unit 330.
  • the right storage control unit 420 controls access to the right storage unit 430 according to an instruction from the right consumption processing unit 410.
  • the content storage control unit 450 controls access to the content storage unit 460 in accordance with an instruction from the content reproduction processing unit 440.
  • the content playback apparatus 100 includes a normal storage unit 250, a normal clock 260, a content storage unit 460, and a right storage unit 430 in order to hold a playback history, content, and content right information.
  • the normal storage unit 250 is a memory for storing a playback history.
  • the normal storage unit 250 regularly writes a reproduction history from the first control unit 230 during the reproduction of the content.
  • the normal storage unit 250 needs to be a non-volatile memory in order to be able to execute the rights consumption that was not executed last time. Therefore, the normal storage unit 250 is realized by a non-volatile memory such as a flash memory or FeRAM, for example.
  • the normal clock 260 is a clock for measuring the timing of writing the reproduction history in the normal storage unit 250.
  • the content storage unit 460 holds a plurality of contents and a content management table for managing them.
  • the content management table is a table in which an identifier indicating content is associated with a file name storing the content.
  • FIG. 3 shows an example of a content management table.
  • the content indicated by the content ID “001” is video content and is stored in the file “ ⁇ MOVIE ⁇ movie001.mpg”.
  • the content indicated by the content ID “003” is audio content and is stored in the file “ ⁇ AUDIO ⁇ music001.aac”. Reading and writing of the content management table held in the content storage unit 460 is performed through the content storage control unit 450.
  • the right storage unit 430 holds a right management table.
  • the rights management table is a table in which playback rights determined for each content, callback processing executed when the playback rights are consumed, and the like are associated with each other. Details of the contents of the right management table will be described later. Access to the rights management table held in the rights storage unit 430, and reading and writing of the rights information of the content requested to be played are performed through the rights storage control unit 420. ⁇ Right Management Table >> This section explains the details of the rights management table.
  • FIG. 4 is a diagram showing an example of a rights management table held by the rights storage unit 430.
  • the rights management table includes a content ID, a content key for decrypting the encrypted content, a rights type for identifying usage conditions, a playback right time indicating a usage period related to time, and a cumulative value indicating the cumulative value of the playback time so far. It consists of a callback process to be executed when the playback time, playback time limit, and usage condition time limit are reached.
  • the content key included in the right management table may be the content key for decrypting the encrypted content itself, or may be information for specifying the content key. That is, in the right management table, a content key value may be recorded as a content key. When the content key is managed in another database, a reference destination in the database is recorded. Also good. Further, in order to protect the content key, the content key may be recorded in an encrypted state.
  • the cumulative playback time limit and the period limit are used as specific examples of the right type.
  • Type 1 there are two types of cumulative playback time limits: Type 1 and Type 2.
  • the cumulative playback time limit type 1 the time during seek processing such as fast forward, rewind, and skipping a predetermined time is also added to the cumulative playback time.
  • the cumulative playback time limit type 2 the time during the seek process is not added to the cumulative playback time.
  • the period restriction is a rights type in which the playback right is valid only for a specific period.
  • the content indicated by the content ID “003” in FIG. 4 has a playback time limit set to “08/12/31” and is given playback rights until December 31, 2008. Is shown.
  • the right type is not limited to these, and the number of times may be limited, or the right type associated with a specific command may be used. Specifically, it may be a right type that performs a predetermined callback process when a playback start command is executed, or a right type that performs a predetermined callback process when a stop command is executed.
  • the secure processing executed by the secure processing unit 300 is the processing for updating the rights information given to the content, the processing for decrypting the encrypted content and playing it based on the playback request, and the playback history being falsified This is a process for monitoring whether there is any.
  • right consumption processing and advertisement display processing are listed as examples of callback processing.
  • the content key is “key 001”
  • the right type is “cumulative playback time limit type 1”
  • playback is “2 hours 0 minutes 0 seconds”.
  • the cumulative playback time is "30 seconds”
  • the right consumption processing is executed when the cumulative playback time reaches "2 hours 0 minutes 0 seconds" is supported. ing.
  • the content with content ID “004” has a content key “key 004”, a right type of “cumulative playback time limit type 1”, and a playback right time of “0 hours 30 minutes 0 seconds”. If the cumulative playback time is “20 minutes 10 seconds” and the cumulative playback time reaches “0 hours 30 minutes 0 seconds”, the right information that the advertisement display processing is executed is supported. ing. ⁇ Second control unit 330 and secure storage unit 350 ⁇ In this section, details of the second control unit 330 and the secure storage unit 350 will be described.
  • FIG. 5 is a diagram showing an internal configuration of the second control unit 330 and the secure storage unit 350.
  • the second control unit 330 reads the content of the playback history recorded in the normal storage unit 250 by the first control unit 230 and monitors whether the playback history remains at a predetermined interval, so that the playback processing unit 200 stores the content. Check if it is playing correctly.
  • the second control unit 330 includes a reproduction history acquisition unit 331, a monitoring determination unit 332, a secure storage control unit 333, and a monitoring cycle determination unit 334.
  • the playback history acquisition unit 331 reads the playback history recorded in the secure storage unit 350 at time intervals specified by the monitoring cycle.
  • This monitoring cycle is determined by the monitoring cycle determination unit 334 using a random number generator for each content reproduction, and is written to the monitoring cycle holding unit 352 of the secure storage unit 350 through the secure storage control unit 333. That is, since the secure processing unit 300 performs from the determination to the holding of the monitoring cycle, the monitoring cycle cannot be known from the reproduction processing unit 200.
  • the secure processing unit 300 protects against the above attack by re-determining the monitoring period for each content reproduction.
  • the trigger from the monitoring process based on the monitoring period uses information from the secure clock 360 acquired by the playback history acquisition unit 331 through the secure clock acquisition unit 340.
  • the secure clock 360 is different from the normal clock 260, and is a secure clock that can be accessed only by the components in the secure processing unit 300 through the secure clock acquisition unit 340.
  • the implementation method of the monitoring process is not limited to this, and implementation by interrupt processing using a watchdog timer, or implementation by polling processing may be used. However, it is a condition that the monitoring process is not falsified and is executed secretly from the reproduction processing unit 200.
  • the monitoring cycle determining unit 334 determines the monitoring cycle based on the random number.
  • a monitoring cycle determined in advance for each content may be used.
  • one monitoring cycle may be selected from a plurality of predetermined monitoring cycles, or a result obtained by selecting and calculating a plurality of monitoring cycles may be used as the monitoring cycle.
  • the monitoring cycle determination unit 334 can be easily implemented, and it is not necessary to newly install a random number generator, so that the terminal cost can be suppressed.
  • the secure storage control unit 333 performs a process of reading information recorded in the secure storage unit 350 and a process of writing information to the secure storage unit 350.
  • the information recorded in the secure storage unit 350 is used for surely consuming the right before the next playback process even if the power is cut off without completing the right consumption process for the time-limited content. Therefore, the secure storage unit 350 must be a nonvolatile memory such as a flash memory.
  • the type of the nonvolatile memory is not limited to the flash memory, but may be FeRAM.
  • the secure storage unit 350 needs to be a secure non-volatile memory accessible only through the secure storage control unit 333 in order to prevent tampering after the power is cut off.
  • the monitoring determination unit 332 includes a reproduction history writing cycle held by the reproduction history writing cycle holding unit 351 in the secure storage unit 350, a monitoring cycle held by the monitoring cycle holding unit 352, and a monitoring history holding. It is verified whether the expected reproduction history is recorded in the normal storage unit 250 using the monitoring history held by the unit 353.
  • the reproduction history verification process will be described later. ⁇ Playback history verification process ⁇ In this section, playback history verification processing will be described with reference to FIG.
  • FIG. 7 is a diagram showing the processing performed by the first control unit 230 and the second control unit 330 during the content reproduction, and the data stored in the normal storage unit 250 and the secure storage unit 350 in time series.
  • the time axis is set so that time advances from the left to the right of the page.
  • the first level shows the processing of the first control unit 230.
  • the arrows in the first row indicate that the first control unit 230 records the elapsed time since the start of reproduction every second which is the reproduction history writing cycle in the normal storage unit 250. .
  • the reproduction history writing cycle is recorded in the reproduction history writing cycle holding unit 351 of the secure storage unit 350.
  • the second row shows the playback history recorded in the normal storage unit 250.
  • the first control unit 230 writes the initial time “00: 00.00” in the normal storage unit 250.
  • the value stored in the normal storage unit 250 is only “00: 00.00”.
  • “00: 01.00” is added to the reproduction history held in the normal storage unit 250.
  • time is added to the normal storage unit 250 every second.
  • the third row shows the value of secure clock 360.
  • the monitoring period R is 2.23 seconds.
  • the monitoring period R is recorded in the monitoring period holding unit 352 of the secure storage unit 350.
  • the secure clock 360 increases the count value by 1 every 2.23 seconds that is the monitoring cycle.
  • the fourth level shows the processing of the second control unit 330.
  • the second control unit 330 monitors the reproduction history held in the normal storage unit 250 using the count of the secure clock 360 as a trigger. Then, the second control unit 330 records the time when the reproduction history is monitored in the monitoring history holding unit 353 of the secure storage unit 350.
  • the second control unit 330 Since the monitoring is not performed immediately after the start of reproduction, the second control unit 330 records the initial time “00: 00.00” in the secure storage unit 350. When the first monitoring is performed 2.23 seconds after the start of reproduction, the second control unit 330 records the monitoring time “00: 02.23” in the secure storage unit 350. Next, when the second monitoring is performed 4.46 seconds after the start of reproduction, the second control unit 330 records the monitoring time “00: 04.46” in the secure storage unit 350. The same applies hereinafter.
  • the second control unit 330 monitors whether the playback history has been tampered with as follows.
  • the monitoring history T1 held in the monitoring history holding unit 353, the monitoring cycle T2 held in the monitoring cycle holding unit 352, and the reproduction history writing cycle T3 held in the reproduction history writing cycle holding unit 351 If the relationship of S ⁇ T3 ⁇ T1 + T2 ⁇ S + T3 is established with the maximum value S of the times included in the playback history held in the normal storage unit 250, the second control unit 330 It is assumed that the playback history has not been tampered with. If the above relationship does not hold, the second control unit 330 assumes that the playback history has been tampered with. In this case, processing such as content playback stop is performed.
  • the above relational expression determines whether or not the expected time is recorded in the reproduction history at the monitoring time.
  • T1 is the time when it was confirmed that there was no tampering at the end
  • T1 + T2 after the monitoring cycle T2 is the next monitoring time.
  • the time that should be recorded in the reproduction history is a value obtained by multiplying the number of T3 included in T1 + T2 by T3.
  • S may be T1 + T2-T3 ⁇ S ⁇ T1 + T2 + T3.
  • the second control unit 330 confirms whether or not T1 + T2-T3 ⁇ S ⁇ T1 + T2 is satisfied, and strictly confirms the tampering that increases the value of S. Also good.
  • the reproduction history writing cycle is 1 second, but this may be determined as appropriate depending on how much delay in the callback timing is allowed.
  • a different reproduction history writing cycle may be used for each content. For example, content with strict rights information with second precision is checked strictly, while content with rights information with relatively loose minute precision is checked. You may perform flexible control of recording a reproduction history with accuracy.
  • the number of rewrites of the normal storage unit 250 which is a nonvolatile memory, can be reduced, the size of the nonvolatile memory can be suppressed, and the terminal cost can be reduced.
  • the monitoring history holding unit 353 does not record the monitoring times “00: 02.23”, “00: 04.46”, “00: 06.69”,.
  • the second control unit 330 calculates the T1 using the counter value stored in the monitoring history holding unit 353 and the monitoring cycle stored in the monitoring cycle holding unit 352, and then the relationship described above. What is necessary is just to determine whether a type
  • the reproduction history writing period T3 is 1 second and the monitoring period T2 is 2.23 seconds, the maximum time S that should be recorded in the reproduction history varies.
  • the second control unit 330 is recorded in the reproduction history. It may be determined whether the maximum power time S matches T1 + T2.
  • the second control unit 330 stores the monitoring history stored in the secure storage unit 350 and the normal storage unit 250 according to the value of the reproduction history writing cycle T3 and the value of the monitoring cycle T2. It may be determined that the reproduction history corresponds. ⁇ Operation> In this section, the operation of the content reproduction apparatus 100 according to the first embodiment of the present invention will be described using a flowchart.
  • the playback processing by the content playback device 100 is performed by a playback processing unit 200 that receives a playback start request and a playback stop request from a user, and a secure processing unit 300 that performs secure processing related to integrity and confidentiality in playback processing. This is done by transmitting and receiving the request and the result.
  • a playback processing unit 200 that receives a playback start request and a playback stop request from a user
  • a secure processing unit 300 that performs secure processing related to integrity and confidentiality in playback processing. This is done by transmitting and receiving the request and the result.
  • the reproduction processing reception unit 210 receives a reproduction start request from the user. (Step S701). Specifically, this is an event in which the user presses the playback start button.
  • the reproduction process accepting unit 210 notifies the reproduction process control unit 220 of the accepted reproduction start request.
  • the playback processing control unit 220 Upon receipt of the playback start request, the playback processing control unit 220 requests the secure processing control unit 320 for right determination processing (step S702).
  • the right determination process is a process of determining whether or not the reproduction right of the content requested to be reproduced still remains.
  • the playback processing control unit 220 acquires the right determination result from the secure processing control unit 320 (step S703). If there is no playback right (step S720 N), the playback processing control unit 220 proceeds to step S713 to end the playback processing.
  • step S720 Y If there is a reproduction right (step S720 Y), the reproduction process is continued, and the reproduction process control unit 220 requests the secure process control unit 320 to perform the content reproduction process (step S705). Alternatively, before the reproduction process is continued, the user may be notified that the reproduction right is consumed, and a user input for confirming whether or not the reproduction process may be continued may be waited for.
  • the playback process result receiving unit 222 acquires the playback process request result from the secure process control unit 320 (step S706), the first control unit 230 continues the process of recording the playback history during content playback.
  • the reproduction processing request result is information indicating that reproduction is started, for example.
  • the secure processing control unit 320 refers to the rights management table, and combines the contents of the callback processing that the playback processing unit 200 should execute in the future and the timing information at which the callback processing should be executed as a playback processing request result. You may return it.
  • the secure process control unit 320 can perform the callback process at an appropriate timing by notifying the reproduction process control unit 220 of the callback timing.
  • the first control unit 230 obtains the value of the normal clock 260 (step S707), and if it is the timing to write the playback history (step S708 Y), the normal storage unit 250 The reproduction history is written in (Step S709).
  • the timing for writing the playback history is when the value of the normal clock 260 is a multiple of the playback history writing cycle. If the value of the normal clock 260 is not the timing to write the playback history (step S708 N), the first control unit 230 determines whether it is the callback timing (step S710), and if it is the callback timing ( In step S710 Y), the playback processing control unit 220 requests the secure processing control unit 320 to perform callback processing (step S711).
  • step S710 N it is determined whether or not a stop request from the user or notification is received that the content has been played to the end and EOF (End Of File) has been reached (step S712) .
  • step S712 N If no stop request or EOF has been notified (step S712 N), the process returns to step S707, and the first control unit 230 continues the process of writing the playback history.
  • step S712 Y If a stop request or EOF is notified (step S712 Y), the playback processing control unit 220 requests the secure processing control unit 320 to end the playback processing (step S713).
  • the reproduction processing control unit 220 acquires the reproduction processing end result from the secure processing control unit 320 (step S714), and the reproduction processing ends.
  • ⁇ Operation of Secure Processing Unit 300 >> In this section, an operation of secure processing by the secure processing unit 300 will be described using the flowchart of FIG. This process corresponds to the details of the operation performed by the secure processing unit 300 when a request for the right determination process in step S702 in FIG. 8 is received.
  • the secure processing control unit 320 receives the right determination processing request from the reproduction processing control unit 220, and the processing is started (step S801 N).
  • the right consumption processing unit 410 updates the right information (step S802).
  • the right information update process is a process of consuming right information based on the reproduction history and the monitoring history stored in the normal storage unit 250 and the secure storage unit 350.
  • the playback history and the monitoring history are cleared by the right information update operation described later when the operation ends normally. Therefore, if the playback history and the monitoring history are recorded in the normal storage unit 250 and the secure storage unit 350 before playback, it is considered that rights were not consumed due to an unintended power cut during the previous playback. At this point, the rights information is surely updated. Details of the rights information update process will be described later.
  • the right consumption processing unit 410 After updating the right information, the right consumption processing unit 410 reads the right information for the content requested to be played from the right management table held in the right storage unit 430 through the right storage control unit 420 (step S803).
  • the right consumption processing unit 410 determines whether or not there is a reproduction right using the read right information (step S804), and returns the determination result to the reproduction processing control unit 220 through the secure processing control unit 320 (step S804). Step S805).
  • the secure processing control unit 320 waits until a reproduction processing request is received from the reproduction processing control unit 220 (step S806 N).
  • the monitoring cycle determining unit 334 determines the monitoring cycle (step S807), and the monitoring cycle holding unit 352 of the secure storage unit 350 uses the monitoring cycle determined in step S807. Hold (step S808).
  • the monitoring cycle determination unit 334 generates a monitoring cycle using a random number generator.
  • the right consumption processing unit 410 acquires the content key corresponding to the content requested to be played from the right management table through the right storage control unit 420 (step S809).
  • the content reproduction processing unit 440 reads the encrypted content corresponding to the content requested to be reproduced from the content storage unit 460 through the content storage control unit 450 (step S810).
  • the content reproduction processing unit 440 decrypts the encrypted content using the content key acquired by the right consumption processing unit 410, and then performs decoding processing and reproduces it (step S811).
  • the secure process control unit 320 returns a reproduction process request result indicating that reproduction has started to the reproduction process control unit 220 (step S812).
  • the secure processing unit 300 starts processing for monitoring the content being played back.
  • the second control unit 330 periodically reads the value of the secure clock 360 through the secure clock acquisition unit 340 (step S813).
  • it is determined whether or not the read value of the secure clock 360 is the timing for monitoring the reproduction history is a time that is a multiple of the monitoring period.
  • step S814 the second control unit 330 verifies whether the playback history has been tampered with (step S816). Details of the reproduction history verification will be described later. If the verification result is correct and the reproduction history has not been falsified (step S817 Y), the second control unit 330 updates the monitoring history (step S818). That is, the last monitoring time is written in the secure storage unit 350. If the verification result is invalid and the playback history has been altered (step S817 ⁇ ⁇ ⁇ ⁇ Y), the secure processing unit 300 stops playback (step S821).
  • the second control unit 330 clears the normal storage unit 250 (step S819). This is done by deleting the reproduction history other than the latest one.
  • step S820 Y If the reproduction end request has not been received (step S820 Y), the secure processing unit 300 returns to step S813 and continues the reproduction history monitoring process. If the reproduction end request has been received (step S820 N), the secure processing unit 300 stops the reproduction (step S821).
  • step S814 N If it is not the timing to monitor the playback history as a result of the determination (step S814 N), it is determined whether it is the right consumption timing (step S815).
  • the right consumption timing is the timing when the reproduction right is consumed.
  • step S815 N the secure processing unit 300 returns to step S813 and continues the reproduction history monitoring process.
  • step S815 Y the secure processing unit 300 stops the reproduction (step S821).
  • step S821 When playback is stopped due to a playback end request or right consumption (step S821), the right consumption processing unit 410 updates the right information (step S822). Then, the secure processing control unit 320 returns a reproduction processing end result to the reproduction processing control unit 220 (step S823), and the secure processing unit 300 ends the secure processing.
  • step S823 ⁇ Operation of playback history verification> In this section, the operation of verifying the playback history will be described using the flowchart of FIG. The operation described here corresponds to step S816 in FIG.
  • the second control unit 330 acquires the playback history held in the normal storage unit 250 via the playback history acquisition unit 331, and notifies the monitoring determination unit 332 (step S901).
  • the monitoring determination unit 332 sets S as the maximum time among the times written as the reproduction history (step S902).
  • the monitoring determination unit 332 acquires the monitoring history, the monitoring cycle, and the reproduction history writing cycle from the monitoring history holding unit 353, the monitoring cycle holding unit 352, and the reproduction history writing cycle holding unit 351 of the secure storage unit 350, respectively.
  • T1, T2, and T3 are set (step S903).
  • the monitoring determination unit 332 determines whether or not a relationship of S ⁇ T3 ⁇ T1 + T2 ⁇ S + T3 holds among the acquired four parameters S, T1, T2, and T3 (step S904).
  • the monitoring / determination unit 332 considers that the playback history has been tampered with and sets the check to NG.
  • step S904 Y the monitoring determination unit 332 determines whether or not the time after the reproduction history writing period T3 from the previous reproduction history check is written in the reproduction history (step S905). ).
  • step S905 ⁇ N the monitoring determination unit 332 determines that an illegal process has been performed on the playback history, and sets the check to NG. If it has been written (step S905 ⁇ Y), the monitoring determination unit 332 indicates that the reproduction history has been written at the correct reproduction history writing period T3, and therefore that unauthorized processing has not been performed on the reproduction history. Judge and check OK.
  • the illegal processing for the reproduction history is, for example, replacement of the reproduction history or bypassing the reproduction history writing processing.
  • the content reproduction processing unit 440 immediately stops the content being reproduced.
  • Operation of rights information update >> In this section, the operation for updating the rights information will be described using the flowchart of FIG. The operation described here corresponds to step S802 and step S822 in FIG.
  • the second control unit 330 determines whether or not a monitoring history is held in the monitoring history holding unit 353 of the secure storage unit 350 (step S1101). If the monitoring history is not held (step S1101 N), the processing is terminated because there is no right information to be updated.
  • step S1101 Y If the monitoring history is held (step S1101 Y), the second control unit 330 determines whether or not the playback history is held in the normal storage unit 250 (step S1102).
  • the second control unit 330 checks whether or not unauthorized reproduction is performed based on the reproduction history and the monitoring history (step S1103). Here, whether or not unauthorized reproduction is performed is confirmed by determining whether or not the relationship of S ⁇ T3 ⁇ T1 + T2 ⁇ S + T3 holds, as in the case of reproduction history verification.
  • step S1104 the latest time in the playback history is acquired as the playback time (step S1104). Thereafter, the second control unit 330 clears the reproduction history and the monitoring history (steps S1106 and S1107).
  • step S1102 N When the playback history is not held in the normal storage unit 250 (step S1102 N), or when it is determined that the playback history is held but illegally played (step S1103 N), the playback time As a result, the latest time in the monitoring history is acquired (step S1105). This is because the reproduction time described in the reproduction history is unreliable, and the latest time in the reliable monitoring history is used as the reproduction time. Thereafter, the second control unit 330 clears the reproduction history and the monitoring history (steps S1106 and S1107).
  • the right consumption processing unit 410 reduces the remaining playable time in the right table stored in the right storage unit 430 by the playback time acquired from the playback history or the monitoring history (step S1108) Increase playback time. This completes the update of the rights information.
  • Embodiment 2 Here, a content reproduction apparatus according to Embodiment 2 of the present invention will be described.
  • the monitoring period in the first embodiment is a constant value determined by the monitoring period determining unit 334.
  • the monitoring cycle is determined again.
  • Other points are the same as in the first embodiment.
  • FIG. 12 shows, in time series, processing performed by the first control unit 230 and the second control unit 330 and data stored in the normal storage unit 250 and the secure storage unit 350 during content playback in the second embodiment.
  • FIG. 12 is different from FIG. 7 of the first embodiment in that the monitoring cycle is different every time monitoring is performed, such as r1 (2.23 seconds), r2 (1.56 seconds),.
  • the monitoring cycle determination unit 334 every time the monitoring determination unit 332 checks the reproduction history, the monitoring cycle determination unit 334 newly determines the monitoring cycle. Then, the monitoring cycle holding unit 352 is updated with a new monitoring cycle. Note that processing such as checking whether the reproduction history has not been tampered with is the same as in the first embodiment.
  • the present embodiment it is more difficult to predict the monitoring timing for a malicious user who tries to falsify the reproduction history aiming at the monitoring timing. Even if the reproduction history is accidentally altered at a specific timing, the next monitoring timing is newly set, so that an attempt to tamper with the reproduction history at the same timing as the previous time does not succeed.
  • the monitoring cycle may be determined using a random number.
  • a plurality of predetermined monitoring periods may be described and a table may be stored in the secure storage unit 350, and one monitoring period may be selected from the table.
  • a predetermined rule may be stored in the secure storage unit 350 so that the monitoring period is changed according to the predetermined rule, and one monitoring period may be determined according to the rule.
  • the predetermined rule is, for example, increasing or decreasing at a constant cycle.
  • the reproduction processing unit 200 cannot know the monitoring timing of the reproduction history, if the monitoring cycle is updated at a certain frequency, the safety can be kept high without using a random number.
  • Operation of monitoring history update >> The operation of the secure processing unit 300 in the present embodiment is different from that in the first embodiment only in that the monitoring history is reset every time monitoring is completed.
  • the monitoring cycle update process shown in FIG. 13 is inserted between the monitoring history update (step S818) and the playback history storage section clear (step S819) in the flowchart of FIG.
  • each step of the monitoring cycle update process is as follows.
  • the monitoring cycle determining unit 334 determines a new monitoring cycle r (step S1001).
  • the value T2 held in the monitoring cycle holding unit 352 is updated to the monitoring cycle r determined in step S1001 (step S1002).
  • the value T1 held in the monitoring history holding unit 353 is updated to T1 + r (step S1003).
  • Embodiment 3 a content reproduction apparatus according to Embodiment 3 of the present invention will be described.
  • Embodiment 3 is different from Embodiment 1 in that a playback processing command is recorded in association with a playback history.
  • the other points are the same as in the first embodiment.
  • the time during fast forward or rewind is included in the time for rights consumption according to the right type. Can be removed.
  • the configuration of the content playback device in the present embodiment is a configuration in which a command history holding unit 354 is added to the secure storage unit 350 of the content playback device 100 in the first embodiment.
  • FIG. 15 shows a playback history recorded in the normal storage unit 250 by the first control unit 230. Also in the present embodiment, it is assumed that the first control unit 230 records a playback history at a cycle of 1 second during content playback.
  • FIG. 15 (a) shows the playback history of the content indicated by the content ID “001”. This indicates that the content with the content ID “001” has been played because the playback processing type is “Play” for up to 3 seconds after the start of playback. In 4 seconds and 5 seconds, since the reproduction processing type is “Seek”, the seek processing is performed, and in 6 seconds after the reproduction is started, the reproduction processing is performed again.
  • the content indicated by the content ID “001” has the right playback type of cumulative playback time limit type 1.
  • the cumulative playback time restriction type 1 the time during the seek process is also added to the cumulative playback time. Therefore, for the content indicated by the content ID “001”, the cumulative reproduction time is calculated regardless of whether or not the reproduction processing type is “Seek”. That is, from the reproduction history shown in FIG. 15 (a), the cumulative reproduction time is calculated to be 6 seconds.
  • FIG. 15 (b) shows the playback history of the content indicated by the content ID “002”. This is because the content with content ID “002” is played back for 2 seconds after the start of playback, seek processing is performed for 3 to 5 seconds after the start of playback, and again 6 seconds after the start of playback. This indicates that the reproduction process has been performed.
  • the content indicated by the content ID “002” has a right playback type of cumulative playback time restriction type 2.
  • the cumulative playback time limit type 2 the time during the seek process is not added to the cumulative playback time. Therefore, for the content indicated by the content ID “002”, the cumulative playback time is calculated without adding the seek time. Therefore, from the reproduction history shown in FIG. 15 (b), the accumulated reproduction time is calculated to be 4 seconds.
  • the second control unit 330 in the present embodiment records the history of the executed playback process command in the command history holding unit 354 based on the playback history of FIG. As a result, the command history holding unit 354 records the command holding table shown in FIG.
  • the command holding table in FIG. 16 (a) corresponds to the reproduction history in FIG. 15 (a)
  • the command holding table in FIG. 16 (b) corresponds to the reproduction history in FIG. 15 (b).
  • the playback history is recorded in the normal storage unit 250 in association with the playback elapsed time and the playback processing command in a cycle of one second, but the command holding table is recorded when a playback processing command is requested from the user.
  • the playback processing unit 200 makes three playback processing command requests to the secure processing unit 300. Therefore, “Play” is recorded at the time of 0 seconds, “Seek” at the time of 3 seconds, and “Play” at the time of 6 seconds.
  • a specific range corresponding to a specific scene of a movie is reproduced by confirming where the reproduction processing type “Play” is associated using the command holding table. It can also be applied to check whether or not it has been done.
  • the playback processing unit 200 notifies the playback processing command such as skip to the secure processing unit 300. Therefore, if the monitoring side records the monitoring timing including the specific range as a history, the specific processing It is possible to check whether or not the playback side has correctly left the playback history as a playback history.
  • the content playback apparatus of the third embodiment has the same configuration as the content playback apparatus 100 of the first embodiment, but the present invention is not limited to this.
  • it may have the configuration of the content reproduction apparatus of the second embodiment.
  • a command history holding unit 354 is added to the secure storage unit 350. Then, the method for determining the monitoring history is different from that in the first embodiment, and as described in the second embodiment, the monitoring period is re-determined every time the second control unit 330 monitors the reproduction history. Other operations are the same as those in the third embodiment. [Other Embodiments] In addition, this invention is not limited to said embodiment. The following cases are also included in the present invention.
  • the playback history is added to the normal storage unit 250 every second. That is, the normal storage unit 250 records a large amount of playback history as playback progresses.
  • the present invention is not limited to this.
  • the normal storage unit 250 may always record only the latest playback history.
  • the first control unit 230 updates the latest reproduction history recorded in the normal storage unit 250 every time the reproduction history should be recorded. In this way, even if the content is long, the capacity of the normal storage unit 250 required for recording the playback history can be reduced.
  • the normal storage unit 250 when the normal storage unit 250 is realized by a flash memory, it is necessary to record the reproduction history at positions distributed to some extent in order not to shorten the memory life. In this case, it is desirable to record the reproduction history in a distributed manner as in Embodiments 1 to 3 described above.
  • the period for recording the playback history in the normal storage unit 250 is constant, but is not limited thereto.
  • the timing for recording the reproduction history in the normal storage unit 250 may be determined at random.
  • the reproduction history writing period and the monitoring period so that the determination by the secure processing unit 300 is not erroneous determination.
  • a random number is generated in a range in which the writing cycle is always shorter than the monitoring cycle, and the reproduction history writing cycle is determined by the random number.
  • the playback history of the high importance level may be recorded with priority. For example, it is conceivable to shorten the writing cycle for a highly important part of the content and lengthen the writing period for a less important part. In this case as well, it is desirable to change the timing of monitoring in accordance with the timing of recording the playback history so that the monitoring by the secure processing unit 300 does not make an erroneous determination. Specifically, it is conceivable to expand or contract the monitoring cycle according to the importance of the content.
  • the timing for rewriting and monitoring the playback history has been described specifically.
  • the timing for rewriting and monitoring the playback history is not limited to this. .
  • the monitoring period of the reproduction history is longer than the writing period of the reproduction history, and the mounting method is not limited.
  • cycle used in the present invention and the above-described first to third embodiments does not necessarily have to be a constant length, as is apparent from the determination method of the “monitoring cycle” in the second embodiment. Also refers to things that change. That is, in order to suppress the number of times the secure memory is rewritten, it is sufficient that the frequency of monitoring the playback history is less than the frequency of writing the playback history.
  • the secure processing unit 300 naturally knows the value of the write cycle T3 in order to check whether or not the relationship of S ⁇ T3 ⁇ T1 + T2 ⁇ S + T3 holds. Therefore, if the secure processing unit 300 finds that the randomly determined monitoring period is shorter than T3, it is conceivable to change the determination criteria as follows. That is, the secure processing unit 300 determines how many times the reproduction history is written from the time of the latest monitoring history T1 until the next monitoring is performed after the monitoring period T2 elapses. Then, if the number of times is 0, it may be determined that the check is always successful.
  • T1 + T2 immediately after writing is performed after every several monitoring cycles. Therefore, it is necessary to determine that the check is successful even when S ⁇ T3 ⁇ T1 + T2 ⁇ S + T3 is satisfied.
  • the update frequency of the secure storage unit 350 may temporarily be higher than the update frequency of the normal storage unit 250. However, even if the update frequency of the secure storage unit 350 temporarily becomes higher than that of the normal storage unit 250, the secure storage unit 350 is updated more than the normal storage unit 250 in the long term and statistically. If the frequency is low, the object of the present invention can be achieved.
  • the random number range is set so that the secure storage unit 350 has a lower update frequency within a certain time range.
  • the setting is also included in the present invention.
  • the monitoring cycle is randomly determined based on the random number, and the monitoring cycle is stored in the monitoring cycle holding unit 352.
  • the present invention is not limited to this. .
  • the present invention may store the seed value necessary for determining the monitoring period instead of storing the monitoring period itself.
  • the monitoring cycle determination unit 334 may have a function of generating a monitoring cycle by a predetermined algorithm using a seed value as an input.
  • a hash algorithm such as a one-way function, an algorithm for generating a random number based on a seed value, or the like can be considered.
  • the reproduction processing type and the monitoring history may be stored in association with each other. Then, when calculating the cumulative playback time based on the monitoring history, it is associated with specific playback type information such as “Seek” indicating that seek processing has been performed by referring to the playback type information. Control such as not reflecting the monitoring history in the calculation of the cumulative playback time becomes possible.
  • the period of the normal clock 260 may be determined by the second control unit 330. As a method of determination, it may be determined at random within a range in which the frequency of recording the reproduction history is lower than the frequency of leaving the monitoring history.
  • Embodiments 1 to 3 above it has been described that the callback process occurs according to the playback time of the content. However, the callback process occurs according to the time when some processing is performed on the content. It is also good.
  • the callback process may occur according to the content rewinding time or fast-forwarding time, or the time when the content is duplicated or moved.
  • the time measurement target can be realized only by changing the processing from content reproduction to rewinding, fast-forwarding, copying, moving, and the like. Is omitted.
  • Each of the above devices is specifically a computer system including a microprocessor, ROM, RAM, a hard disk unit, a display unit, a keyboard, a mouse, and the like.
  • a computer program is stored in the RAM or hard disk unit.
  • Each device achieves its functions by the microprocessor operating according to the computer program.
  • the computer program is configured by combining a plurality of instruction codes indicating instructions for the computer in order to achieve a predetermined function.
  • a part or all of the components constituting each of the above devices may be configured by one system LSI (Large Scale Integration).
  • the system LSI is an ultra-multifunctional LSI manufactured by integrating a plurality of components on a single chip, and specifically, a computer system including a microprocessor, ROM, RAM, and the like. .
  • a computer program is stored in the RAM.
  • the system LSI achieves its functions by the microprocessor operating according to the computer program.
  • each part of the constituent elements constituting each of the above devices may be individually made into one chip, or may be made into one chip so as to include a part or all of them.
  • the system LSI is used here, it may be called IC, LSI, super LSI, or ultra LSI depending on the degree of integration.
  • the method of circuit integration is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor.
  • An FPGA Field Programmable Gate Array
  • a reconfigurable processor that can reconfigure the connection and setting of circuit cells inside the LSI may be used.
  • integrated circuit technology comes out to replace LSI's as a result of the advancement of semiconductor technology or a derivative other technology, it is naturally also possible to carry out function block integration using this technology. Biotechnology can be applied.
  • a part or all of the constituent elements constituting each of the above devices may be constituted by an IC card or a single module that can be attached to and detached from each device.
  • the IC card or the module is a computer system that includes a microprocessor, ROM, RAM, and the like.
  • the IC card or the module may include the super multifunctional LSI described above.
  • the IC card or the module achieves its function by the microprocessor operating according to the computer program. This IC card or this module may have tamper resistance.
  • the present invention may be the method described above. Further, the present invention may be a computer program that realizes these methods by a computer, or may be a digital signal composed of the computer program.
  • the present invention also provides a computer-readable recording medium for the computer program or the digital signal, such as a flexible disk, a hard disk, a CD-ROM, an MO, a DVD, a DVD-ROM, a DVD-RAM, a BD (Blu-ray Disc). ), Or recorded in a semiconductor memory or the like.
  • the digital signal may be recorded on these recording media.
  • the computer program or the digital signal may be transmitted via an electric communication line, a wireless or wired communication line, a network represented by the Internet, a data broadcast, or the like.
  • the present invention may be a computer system including a microprocessor and a memory, the memory storing the computer program, and the microprocessor operating according to the computer program.
  • the program or the digital signal is recorded on the recording medium and transferred, or the program or the digital signal is transferred via the network or the like, and executed by another independent computer system. It is good.
  • the present invention is used as a technology capable of recording a playback history at a high frequency without using a large-capacity secure memory in an industry that manufactures and sells electronic devices equipped with content copyright protection technology such as DRM technology. can do.
  • the present invention can quickly stop playback when the playback right is consumed, and the playback history is regularly monitored, so that tampering can be prevented. . Even if the power is cut off unexpectedly, it can be used as a technology that allows accurate rights consumption based on the history.

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

 本発明のコンテンツ再生装置は、コンテンツを再生する再生処理部200と、耐タンパー実装されていない通常格納部250と、耐タンパー実装されているセキュア格納部350と、所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を通常格納部250に保存する第1制御部230と、不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴をセキュア格納部350に保存し、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、通常格納部250に格納されている再生履歴は改ざんされていないと判断する第2制御部330とを具備することを特徴とする。

Description

コンテンツ再生装置、コンテンツ再生装置の制御方法、コンテンツ再生プログラム、記録媒体及び集積回路
 本発明は、再生権利が制限されたデジタルコンテンツの権利情報の更新、及び、権利情報の不正な改ざんや解析を防止する技術に関する。
 映像や音楽などのデジタルコンテンツの著作権を保護するために、コンテンツの複製や再生に一定の制限を設けて管理するDRM(Digital Rights Management)システムが普及してきている。
 DRMシステムには、携帯電話機向けのOMA DRM R2や、デジタル家電向けのMarlinなど、いくつかのDRM規格が策定されている。これらのDRM規格においては、コンテンツの再生可能時間、再生可能回数、再生期限などの再生権利に一定の制限を課した権利情報が、当該コンテンツに関連付けられている。DRM規格に準拠した機器は、この権利情報に従ってコンテンツの再生処理及び権利情報の消費処理を行う必要がある。
 DRM規格の実装においては、権利情報の改ざんや、権利情報の消費処理のバイパスによって、予め定められた再生権利を越えて不正な再生が行われることを防止するように実装しなければならない。例えば、権利情報の消費処理が実行される前に、悪意あるユーザが故意に再生装置の電源を切り、それにより、再生権利が消費されないという不正行為を防止する必要があるからである。
 特許文献1には、所定のコマンド処理が正しく動作しているかを定期的に監視することにより、コンテンツ再生中に不正な処理が行われていないかを監視する方法が開示されている。
 DRM規格の1つであるMarlin規格は、特定の条件になった場合に、特定の処理を実行するコールバック処理を特徴としている。具体的にコールバック処理とは、例えば、全再生時間が予め定められた再生可能時間を越えた場合に、再生中止、広告表示、課金等の処理を行うことである。非特許文献1には、いくつかのコールバック処理のタイプが記載されている。Marlin規格では、このコールバック処理を用いた権利タイプを定義することにより、コンテンツの再生処理を、従来のDRMよりも柔軟に行うことができる。
特開2007-18177号公報 Octopus Controls version 1.0.1 Final 2006年9月6日(http://www.marlin-community.com)
 しかし、このコールバック処理を、コールバックタイミングから遅れることなく実行するためには、例えば、1秒ごとというように、高頻度で再生履歴を記録する必要がある。そのため、再生履歴を記録するメモリには高頻度での書き換えが生じる。これは、メモリの寿命を著しく短くしてしまう原因となる。
 これに対して、フラッシュメモリのように書き換え回数に上限があるメモリでは、頻繁に生じる書き込みをメモリ内に分散して行うという対策が一般的にとられているが、そのためには大容量メモリが必要となる。
 一方、不正な電源断に対応するために、その時点までの再生履歴を記録しておくために、再生履歴を記録するメモリは不揮発である必要がある。更に、電源断中の不正な改ざんを防止するためには、再生履歴は耐タンパー技術などによって保護されたセキュアメモリに記録する必要がある。
 したがって、高頻度での書き換え及び不正な改ざんの防止という要請に対応しながら再生履歴を記録するには、大容量不揮発セキュアメモリが必要となる。
 しかし、耐タンパー実装されたセキュアメモリは、通常のフラッシュメモリよりも高価であり、大容量であればなお大きなコストが掛かることとなる。
 そこで、本発明は上記の問題点に鑑みなされたものであって、大容量不揮発セキュアメモリを用いることなく、再生履歴を高頻度で記録し、かつ、再生履歴の改ざんを防止するコンテンツ再生装置、コンテンツ再生装置の制御方法、コンテンツ再生プログラム、記録媒体及び集積回路を提供することを目的とする。
 上記の目的を達成するために、本発明に係るコンテンツ再生装置は、コンテンツの再生部と、耐タンパー実装されていない通常格納部と、耐タンパー実装されているセキュア格納部と、所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を前記通常格納部に保存する第1制御部と、不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存し、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する第2制御部とを具備することを特徴とする。
 上記構成によると、所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を通常格納部に保存し、一方、不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴をセキュア格納部に保存する。すなわち、所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴は、前記セキュア格納部に保存されるのではなく、前記通常格納部に保存される。そのため、前記セキュア格納部に保存する情報のみを用いて前記コンテンツの再生時間を監視する場合と比較して、前記セキュア格納部に保存する情報の更新の頻度を少なくできる。
 また、前記監視履歴に基づいて表される所定の再生時刻と、この監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する。すなわち、前記再生履歴が示す前記コンテンツの再生時刻の正当性を、前記セキュア格納部に保存されている監視履歴に基づいて表される不定期な時間間隔のコンテンツの再生時刻を用いて判断する。そのため、セキュアではない通常格納部に前記再生履歴を保存する場合であっても、外部から書き換えできないセキュア格納部に保存されている監視履歴を用いて、前記再生履歴の正当性を不定期な時間間隔にて抜き打ち的に判断できる。ここで、セキュア格納部はコンテンツ再生装置の外部からアクセスできないので、不正解析者が監視履歴を確認することは困難である。
 以上により、セキュア格納部の更新頻度を抑えて長寿命化を図りつつ、再生履歴の改ざんを困難にできる。
本発明の実施形態1におけるコンテンツ再生装置100の構成図である。 本発明の実施形態1における再生履歴情報を示す図である。 本発明の実施形態1におけるコンテンツ管理テーブルを示す図である。 本発明の実施形態1における権利管理テーブルを示す図である。 本発明の実施形態1におけるコンテンツ再生装置100の第2制御部330とセキュア格納部350の内部構成図である。 本発明の実施形態1におけるコンテンツ再生装置100の監視周期決定部334が決定する監視周期を示す図である。 本発明の実施形態1におけるコンテンツ再生装置100が一定周期で再生履歴を監視する方法を示す図である。 本発明の実施形態1におけるコンテンツ再生装置100の再生処理部200の動作を示すフローチャートである。 本発明の実施形態1におけるコンテンツ再生装置100のセキュア処理部300の動作を示すフローチャートである。 本発明の実施形態1におけるコンテンツ再生装置100のセキュア処理部300の再生履歴検証動作を示すフローチャートである。 本発明の実施形態1におけるコンテンツ再生装置100のセキュア処理部300の権利情報更新動作を示すフローチャートである。 本発明の実施形態2におけるコンテンツ再生装置100がランダム周期で再生履歴を監視する方法を示す図である。 本発明の実施形態2におけるコンテンツ再生装置100のセキュア処理部300の監視周期更新動作を示すフローチャートである。 本発明の実施形態3におけるコンテンツ再生装置100の第2制御部330とセキュア格納部350の内部構成図である。 本発明の実施形態3における再生処理コマンドと関連付けられた再生履歴を示す図である。 本発明の実施形態3におけるコマンド保持テーブルを示す図である。
符号の説明
  100:コンテンツ再生装置
  200:再生処理部
  210:再生処理受付部
  220:再生処理制御部
  221:再生処理依頼送信部
  222:再生処理結果受付部
  230:第1制御部
  240:通常クロック取得部
  250:通常格納部
  260:通常クロック
  300:セキュア処理部
  320:セキュア処理制御部
  321:再生処理依頼受付部
  322:再生処理結果送信部
  330:第2制御部
  331:再生履歴取得部
  332:監視判定部
  333:監視履歴格納制御部
  334:監視周期決定部
  340:セキュアクロック取得部
  350:セキュア格納部
  351:再生履歴書込周期保持部
  352:監視周期保持部
  353:監視履歴保持部
  354:コマンド履歴保持部
  360:セキュアクロック
  410:権利消費処理部
  420:権利格納制御部
  430:権利格納部
  440:コンテンツ再生処理部
  450:コンテンツ格納制御部
  460:コンテンツ格納部
 請求項1に記載の態様であるコンテンツ再生装置は、コンテンツの再生部と、耐タンパー実装されていない通常格納部と、耐タンパー実装されているセキュア格納部と、所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を前記通常格納部に保存する第1制御部と、不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存し、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する第2制御部とを具備することを特徴とする。
 ここで、コンテンツの再生時刻とは、例えば、コンテンツの始点等、ある時点からのコンテンツ再生の経過時間を示す。
 本態様によると、所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を通常格納部に保存し、一方、不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴をセキュア格納部に保存する。すなわち、所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴は前記セキュア格納部に保存されるのではなく、前記通常格納部に保存される。そのため、前記セキュア格納部に保存する情報のみを用いて前記コンテンツの再生時間を監視する場合に比較して、前記セキュア格納部に保存する情報の更新の頻度を少なくできる。
 また、前記監視履歴に基づいて表される所定の再生時刻と、この監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する。すなわち、前記再生履歴が示す前記コンテンツの再生時刻の正当性を、前記セキュア格納部に保存されている監視履歴に基づいて表される不定期な時間間隔のコンテンツの再生時刻を用いて判断する。そのため、セキュアではない通常格納部に前記再生履歴を保存する場合であっても、外部から書き換えできないセキュア格納部に保存されている監視履歴を用いて、前記再生履歴の正当性を不定期な時間間隔にて抜き打ち的に判断できる。ここで、セキュア格納部はコンテンツ再生装置の外部からアクセスできないので、不正解析者が監視履歴を確認することは困難である。
 以上により、セキュア格納部の更新頻度を抑えて長寿命化を図りつつ、再生履歴の改ざんを困難にできる。
 請求項2に記載の態様であるコンテンツ再生装置において、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合とは、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが一致する場合であることを特徴とする。
 本態様によると、前記通常格納部に格納されている再生履歴が改ざんされているか否かの判断を厳格に行うことができる。
 請求項3に記載の態様であるコンテンツ再生装置において、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合とは、前記監視履歴に基づいて表される所定の再生時刻が、前記監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻の区間内の時刻である場合であることを特徴とする。
 本態様によると、前記通常格納部に格納されている再生履歴が改ざんされているか否かの判断をある程度の誤差を許容して行うことができる。
 請求項4に記載の態様であるコンテンツ再生装置において、前記不定期な時間間隔は、前記所定の時間間隔より大きい時間間隔であることを特徴とする。
 本態様によると、前記不定期な時間間隔を、前記所定の時間間隔より大きい時間間隔とすることで、前記通常格納部に保存された再生履歴が示す所定の時間間隔が特定されても、それだけでは、前記セキュア格納部に保存されている履歴情報が示す不特定な時間間隔を特定できないので、監視タイミングを狙った再生履歴の改ざんに対する耐性を高めることができる。
 また、前記セキュア格納部に再生履歴を保存する場合と比較して、前記セキュア格納部に保存される監視履歴の更新の頻度を少なくできる。
 請求項5に記載の態様であるコンテンツ再生装置において、前記不定期な時間間隔は、ランダムな時間間隔であることを特徴とする。
 本態様によると、不定期な時間間隔をランダムな時間間隔とすることで、前記不定期な時間間隔を特定することが困難となるので、監視タイミングを狙った再生履歴の改ざんに対する耐性を高めることができる。
 請求項6に記載の態様であるコンテンツ再生装置において、前記不定期な時間間隔は所定の規則に従って変化する時間間隔であり、一定の時間的範囲において、前記第2制御部により前記不定期な時間間隔で前記セキュア格納部に保存される監視履歴の数は、前記第1制御部により前記所定の時間間隔で前記通常格納部に保存される再生履歴の数より少ないことを特徴とする。
 ここで、前記所定の規則に従って変化する時間間隔とは、一定の周期で増大し又は減少する等、変化する時間間隔をいう。
 本態様によると、前記セキュア格納部に保存されている履歴情報が示す不特定な時間間隔を特定できないので、監視タイミングを狙った再生履歴の改ざんに対する耐性を高めることができる。
 この場合、一定の時間的範囲において、前記第2制御部により前記不定期な時間間隔で前記セキュア格納部に保存される監視履歴の数は、前記第1制御部により前記所定の時間間隔で前記通常格納部に保存される再生履歴の数より少なくすることにより、前記セキュア格納部に再生履歴を保存する場合と比較して、前記セキュア格納部に保存される監視履歴の更新の頻度を少なくできる。
 請求項7に記載の態様であるコンテンツ再生装置において、前記第2制御部は耐タンパー実装されており、前記セキュア格納部は、前記監視履歴として、前記監視履歴自身が前記セキュア格納部に保存された順番を示すカウンタ情報を保存し、前記第2制御部は、前記不定期な時間間隔及び前記カウンタ情報に基づいて、前記監視履歴に基づいて表される所定の再生時刻を生成することを特徴とする。
 本態様によると、セキュア格納部が監視履歴として監視時刻ではなくカウンタ値を保持する場合であっても、第2制御部は、再生履歴の改ざんの有無を判断することができる。
 請求項8に記載の態様であるコンテンツ再生装置において、前記セキュア格納部は、前記不定期な時間間隔を複数種類格納し、前記第2制御部は、前記セキュア格納部に複数種類格納されている不定期な時間間隔の中から一つを選択し、この選択された不定期な時間間隔が示す時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存することを特徴とする。
 本態様によると、不定期な時間間隔を予め決められた複数の値から選択することで、不正解析者に対して、不定期な時間間隔を予測しにくくすることができる。
 請求項9に記載の態様であるコンテンツ再生装置において、前記第2制御部は、前記コンテンツを再生する前に、前記不定期な時間間隔を更新することを特徴とする。
 本態様によると、不正解析者が、あるコンテンツに対する不定期な時間間隔を特定できたとしても、他のコンテンツに対する不定期な時間間隔は特定できないので、監視タイミングを狙った再生履歴の改ざんに対する耐性を高めることができる。
 請求項10に記載の態様であるコンテンツ再生装置において、前記第2制御部は、前記コンテンツの再生中に、前記不定期な時間間隔を更新することを特徴とする。
 本態様によると、不正解析者が、あるコンテンツを再生中にあるタイミングで前記不定期な時間間隔を特定できたとしても、再生中に前記不定期な時間間隔が変更された以降は、変更後の不定期な時間間隔を特定できないので、監視タイミングを狙った再生履歴の改ざんに対する耐性を高めることができる。
 請求項11に記載の態様であるコンテンツ再生装置において、前記第2制御部は、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻との対応を断続的に判断し、前記断続的に判断する毎に、前記不定期な時間間隔を更新する
ことを特徴とする。
 本態様によると、不正解析者が、あるコンテンツを再生中にあるタイミングで前記不定期な時間間隔を特定できたとしても、更新後の不定期な時間間隔は特定できないので、監視タイミングを狙った再生履歴の改ざんに対する耐性を高めることができる。
 請求項12に記載の態様であるコンテンツ再生装置は、前記コンテンツの再生時間が所定時間経過した場合に所定の処理を実行する権利消費処理部を設け、前記権利消費処理部は、前記通常格納部に格納されている再生履歴は改ざんされていないと判断された場合、前記再生履歴に基づいて、前記コンテンツの再生時間が前記所定時間経過したか否かを判断することを特徴とする。
 本態様によると、前記コンテンツの再生時間が所定時間経過した場合に前記所定の処理を実行する権利消費処理部を設けた場合にも、再生履歴の改ざん検出を適用できる。
 この場合、前記権利消費処理部は、前記コンテンツの再生時間が前記所定時間経過したか否かを判断する前に、前記通常格納部に格納されている再生履歴が改ざんされているか否かを検証する。そして、前記権利消費処理部は、前記通常格納部に格納されている再生履歴は改ざんされていないと判断された場合、前記再生履歴に基づいて、前記コンテンツの再生時間が前記所定時間経過したか否かを判断する。
 ここで、監視履歴の更新は再生履歴の更新よりも頻度が低い。そのため、再生履歴に改ざんがない場合、その再生履歴が示す再生時間に基づいて前記コンテンツの再生時間が前記所定時間経過したか否かを判断する。
 これにより、前記コンテンツの再生時間が前記所定時間経過したか否かの判断を厳密に行うことができる。
 請求項13に記載の態様であるコンテンツ再生装置において、前記権利消費処理部は、前記通常格納部に格納されている再生履歴は改ざんされていると判断された場合、前記監視履歴が示す前記コンテンツの再生時刻に基づいて、前記コンテンツの再生時間が前記所定時間経過したか否かを判断することを特徴とする。
 本態様によると、前記通常格納部に格納されている再生履歴に改ざんがあった場合でも、より信頼性の高いセキュア格納部に記録された監視履歴に基づいて、前記コンテンツの再生時間が前記所定時間経過したか否かを判断することができる。
 ここで、前記権利消費部が実行する前記所定の処理は、例えばコールバック処理をいう。意図せぬ電源断が発生し、適切にコールバック処理を行えなかったとしても、コンテンツ再生前に、電源断が発生する前までの再生時間分に基いてコールバック処理を行うことができる。
 また、コールバック処理の実行前に再生履歴の検証を行うので、電源が切れている間に、再生履歴が改ざんされたか否かを発見できる。そして、再生履歴が改ざんされている場合は、監視履歴を用いて、実際に再生した時間に出来るだけ近い記録に基づいて、コールバック処理を実行することができる。
 以上より、コンテンツの著作権保護をできるだけ厳密に行うことができる。
 請求項14に記載の態様であるコンテンツ再生装置において、前記セキュア格納部に保存された監視履歴及び前記通常格納部に保存された再生履歴は、前記所定の処理が終了したときに消去されることを特徴とする。
 本態様によると、前記所定の処理が終わり不要となった再生履歴及び監視履歴を消去することで、メモリの空き容量を増やすことができる。
 請求項15に記載の態様であるコンテンツ再生装置において、前記第2制御部は、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻との対応を断続的に判断し、前記断続的に判断する毎に、各判断の直前の判断より前の判断に用いた前記監視履歴に基づいて表される再生時刻を前記セキュア格納部から削除し、各判断の直前の判断より前の判断に用いた前記再生履歴が示すコンテンツの再生時刻を前記通常格納部から削除することを特徴とする。
 本態様によると、再生履歴の検証に必要のなくなった古い再生履歴及び監視履歴を削除することで、メモリの空き容量を増やすことができる。
 請求項16に記載の態様であるコンテンツ再生装置において、前記第1制御部は、前記所定の時間間隔毎に前記コンテンツの再生時刻及び各再生時刻になされた再生処理の種類を示す再生履歴を通常格納部に保存し、前記第2制御部は、前記再生履歴が示すコンテンツの再生時刻の中で特定種類の再生処理に対応する再生時刻を選択し、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記選択された再生履歴が示すコンテンツの再生時刻とが対応するか否かを判断することを特徴とする。
 本態様によると、例えば、シーク処理が行われている間(ユーザが見たいシーンを選択するまでの間)は、再生権利が消費されないようにできる。
 請求項17に記載の態様であるコンテンツ再生装置は、経過時刻を計時する通常クロックを設け、前記第2制御部は、前記通常クロックを基準にして、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する否かを判断することを特徴とする。
 本態様によると、通常クロックを用いた簡単な演算だけで、再生履歴の検証をすることができる。
 請求項18に記載の態様であるコンテンツ再生装置は、経過時刻を計時する通常クロックを設け、前記第2制御部は、前記通常クロックが計時する時間間隔を決定し、この決定した時間間隔を前記第1制御部に通知し、前記第1制御部は、前記通知した時間間隔を前記所定の時間間隔として、前記所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を通常格納部に保存することを特徴とする。
 本態様によると、再生履歴を計時する間隔を第2制御部の中で決定し、保持することができる。前回再生時間を計時してから次に計時するまでの間は再生の進行を確認できないので、再生履歴を計時する間隔は、再生の再生履歴の検証における、時間的許容範囲であるといえる。従って、これを第2制御部の中で決定及び保持することで、再生履歴の改ざんに対する耐性を高めることができる。
 請求項23に記載の態様であるコンテンツ再生装置は、コンテンツの再生部と、耐タンパー実装されていない通常格納部と、耐タンパー実装されているセキュア格納部と、第1の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を前記通常格納部に保存する第1制御部と、前記第1の時間間隔より大きい第2の時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存し、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する第2制御部とを具備することを特長とする。
 本態様によると、前記第2の時間間隔より小さい前記第1の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴は前記セキュア格納部に保存されるのではなく、前記通常格納部に保存される。そのため、前記セキュア格納部に保存する情報のみを用いて前記コンテンツの再生時間を監視する場合に比較して、前記セキュア格納部に保存する情報の更新の頻度を少なくできる。
 また、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴が示す所定の再生時刻に対応し且つ前記再生履歴に基づいて表されるコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する。すなわち、前記再生履歴が示す前記コンテンツの再生時刻の正当性を、前記セキュア格納部に保存されている監視履歴に基づいて表される不定期な時間間隔のコンテンツの再生時刻を用いて判断する。そのため、セキュアではない通常格納部に前記再生履歴を保存する場合であっても、外部から書き換えできないセキュア格納部に保存されている監視履歴を用いて、前記再生履歴の正当性を不定期な時間間隔にて抜き打ち的に判断できる。ここで、セキュア格納部はコンテンツ再生装置の外部からアクセスできないので、不正解析者が監視履歴を確認することは困難である。
 以上により、セキュア格納部の更新頻度を抑えて長寿命化を図りつつ、再生履歴の改ざんを困難にできる。
〔実施形態1〕
 以下、本発明の実施形態1におけるコンテンツ再生装置について説明する。本実施形態では、コンテンツには再生可能時間に制限が課せられており、コンテンツ再生装置は、課せられた制限の下でコンテンツの再生を行う。
 図1は、本実施形態におけるコンテンツ再生装置100の構成図である。
 コンテンツ再生装置100は、インターネットなどのネットワークを利用したコンテンツ配信サービスを通して、暗号化されたコンテンツと、コンテンツ鍵及びコンテンツの利用条件を含んだ権利情報とを取得する。そして、コンテンツ再生装置100は、取得した利用条件に従って、コンテンツ鍵を用いて暗号化コンテンツを復号し、コンテンツを再生する。
 コンテンツ再生装置100は、具体的には、ネットワーク機能を具備したTV、HDDレコーダ、BD/DVDレコーダ、セットトップボックス、携帯電話機、PDAのような電子機器である。
 ここで、コンテンツの利用条件とは、再生可能時間、再生可能回数、再生期限など再生権利に一定の制限を課すものであるが、本実施形態では、コンテンツを再生した時間の累計が一定の時間を越えるまで再生を許可する累積再生時間の再生権利が与えられている場合を例に説明する。
 図1に示すように、コンテンツ再生装置100は、再生処理部200とセキュア処理部300とを含む。さらに、コンテンツ再生装置100は、通常格納部250、通常クロック260、権利格納制御部420及びコンテンツ格納制御部450を含んで構成される。
 再生処理部200は、コンテンツの再生アプリケーションである。再生処理部200は、ユーザからの再生処理コマンドを受け付けて、再生処理コマンドの処理をセキュア処理部300に依頼し、セキュア処理部300から再生処理コマンドの処理結果を受け取る。
 セキュア処理部300は、再生処理部200からの再生処理コマンドを処理し、コンテンツ鍵を用いたコンテンツの復号処理、利用条件に従った再生権利の消費処理、再生権利の改ざんや解析などの不正な再生が行われていないかどうかを監視する監視処理など、コンテンツ再生処理にかかわる完全性や秘匿性が求められる情報に対する処理を行う。
 セキュア処理部300は、ソフトウェアで実装されていても、ハードウェアで実装されていてもよいが、耐タンパー実装技術を用いて保護されているものとする。
 以下、コンテンツ再生装置100のそれぞれの内部構成について説明する。
《再生処理部200》
 本節では、再生処理部200の内部構成について説明する。
 再生処理部200は、再生処理受付部210、再生処理制御部220、第1制御部230及び通常クロック取得部240から構成される。
 再生処理受付部210は、ユーザから再生処理コマンドを受け付ける。ここで再生処理コマンドとは、再生要求、停止処理、一時停止、早送り・巻き戻しなどのシーク処理、次コンテンツへのスキップ処理などに対する指示である。
 再生処理制御部220は、再生処理受付部210で受け付けたユーザからの再生処理コマンドを受け取り、受け取った再生処理コマンドに応じた処理をセキュア処理部300のセキュア処理制御部320へ依頼する。さらに、再生処理制御部220は、セキュア処理制御部320からの処理結果を受け取る。
 第1制御部230は、コンテンツ再生中に、定期的に再生履歴を通常格納部250へ記録する。再生履歴とは、コンテンツ再生中の経過時刻を一定の時間間隔で記録したものである。
 具体的には、図2に示される表が再生履歴である。この例では、コンテンツID「001」で示されるコンテンツについて、再生開始から1秒ごとに経過時刻が記録され、6秒まで再生したことを示している。
 第1制御部230が記録する再生履歴の精度によって、コンテンツの再生時間を記録する精度が決まる。従って、秒精度で再生権利の消費処理を行い、秒精度で遅れることなくコールバック処理を行うためには、第1制御部230は、秒精度で定期的に再生履歴を記録する必要がある。
 第1制御部230は、通常格納部250への再生履歴の記録を定期的に行うために、通常クロック取得部240を通して、通常クロック260の値を取得する。また、第1制御部230は、定期的に再生履歴を書き込むための再生履歴書込周期を保持しており、通常クロック260の値と再生履歴書込周期とを利用して、再生履歴を書き込むタイミングであるかどうかを判断する。なお、定期的な処理の実装方法としては、上記の方法に限定されることなく、ウォッチドックタイマーを利用した割り込み処理による実装や、ポーリング処理による実装でもよい。
 通常クロック取得部240は、第1制御部230からの指示により、後述する通常クロック260から時刻を取得する。
《セキュア処理部300》
 本節では、セキュア処理部300の内部構成について説明する。
 セキュア処理部300は、セキュア処理制御部320、第2制御部330、セキュア格納部350、セキュアクロック取得部340、セキュアクロック360、権利消費処理部410及びコンテンツ再生処理部440から構成される。
 セキュア処理制御部320は、再生処理制御部220から再生処理コマンドを受け付け、受け取った処理内容に応じて、適切な処理部へ処理を依頼する。また、セキュア処理制御部320は、各処理部での処理結果を再生処理制御部220へ返す。
 第2制御部330は、第1制御部230によって記録される再生履歴が改ざんされているか否かを定期的に監視する。これは、第1制御部230が通常格納部250に記録した再生履歴を定期的に読み取り、所定の間隔で再生履歴が記録されているかどうかを判定することでなされる。
 監視のタイミングは、セキュア処理部300の中で決定および保持されるため、再生処理部200からは知ることができない。また、セキュア処理部300は、耐タンパー実装されているため、不正解析者がコンテンツ再生装置100の内部を解析したとしても、監視のタイミングを特定することは困難である。従って、監視のタイミングを狙って再生履歴を改ざんすることは不可能と考えてよい。
 第2制御部330は、再生履歴に不正が見つかった場合は、再生を停止させるなどの処理を行う。第2制御部330の詳細については後述する。
 コンテンツ再生処理部440は、コンテンツ格納制御部450を通して、再生要求のあったコンテンツを読み出す。続いて、コンテンツ再生処理部440は、権利消費処理部410が取得したコンテンツ鍵を用いて暗号化コンテンツを復号する。そして、コンテンツ再生処理部440は、復号して生成したコンテンツデータをデコーダーへ渡し、コンテンツの再生を行う。
 権利消費処理部410は、再生要求のあったコンテンツに付与されている再生権利を、再生した分だけ消費する処理を行う。
 具体的には、権利消費処理部410は、再生要求のあったコンテンツに対応する権利情報を、権利格納制御部420を通して権利格納部430から読み出し、利用条件を確認する。利用条件が時間などの期限制限である場合、権利消費処理部410は、セキュアクロック取得部340を通じて、セキュアクロック360の値を取得し、その値を用いて再生権利があるか否かを確認する。権利消費処理部410による確認の結果、再生権利があれば、権利情報からコンテンツ鍵を取得する。また、権利消費処理部410は、図4に示す権利管理テーブルに対して、権利の消費や、新たにユーザが購入した権利情報を追加するといった処理も行う。
 なお、本実施形態では、権利消費処理部410は、コンテンツに付与されている再生可能時間を、実際に再生した時間だけ消費するという権利消費処理を行う場合について説明するが、これに限らず、一般的なコールバック処理(再生中止、広告表示、課金等の処理)を行うようにしてもよい。
 セキュア格納部350は、セキュアな不揮発メモリである。すなわち、セキュア格納部350は、セキュア処理部300の中のコンポーネントだけが、セキュア格納制御部333を通してアクセスすることが可能である。セキュア格納部350は、具体的には、フラッシュメモリなどの不揮発性メモリで実現される。不揮発メモリの種類は、これに限定されずFeRAMなどでもよい。
 セキュア格納部350は、第2制御部330が再生履歴が改ざんされていないかどうかを監視する周期など保護すべき情報を記録する。セキュア格納部350が記録する情報の詳細については後述する。
 セキュアクロック360は、第2制御部330が再生履歴が改ざんされていないかどうかを監視するタイミングを計るためのクロックである。なお、セキュアクロック360に対する改ざんを防止できるよう、セキュアクロック360は、耐タンパー技術を用いて実装されている。
 セキュアクロック取得部340は、第2制御部330からの指示により、セキュアクロック360から時刻を取得する。
 権利格納制御部420は、権利消費処理部410からの指示により、権利格納部430へのアクセスの制御を行う。
 コンテンツ格納制御部450は、コンテンツ再生処理部440からの指示により、コンテンツ格納部460へのアクセスの制御を行う。
《その他の構成要素》
 コンテンツ再生装置100は、再生履歴、コンテンツ及びコンテンツの権利情報を保持するために、通常格納部250、通常クロック260、コンテンツ格納部460及び権利格納部430を有している。
 通常格納部250は、再生履歴を格納するメモリである。通常格納部250は、コンテンツの再生中に、第1制御部230から定期的に再生履歴の書き込みが行われる。ここで、通常格納部250に記録された再生履歴に基づいた再生権利の消費処理が実行される前に電源が切られるなどによって、権利消費処理が実行されなかった場合でも、再び同じコンテンツが再生される前に、前回実行されなかった権利消費を実行できるようにするためには、通常格納部250は、不揮発メモリである必要がある。そこで、通常格納部250は、例えば、フラッシュメモリやFeRAM等の不揮発メモリで実現される。
 通常クロック260は、再生履歴を通常格納部250に書き込むタイミングを計るためのクロックである。
 コンテンツ格納部460は、複数のコンテンツ及びそれらを管理するためのコンテンツ管理テーブルを保持している。コンテンツ管理テーブルは、コンテンツを示す識別子と、そのコンテンツを格納しているファイル名とを対応付けた表である。
 図3は、コンテンツ管理テーブルの一例を示している。例えば、図3において、コンテンツID「001」で示されるコンテンツは、ビデオコンテンツであり、ファイル「¥MOVIE¥movie001.mpg」に格納されている。また、コンテンツID「003」で示されるコンテンツは、オーディオコンテンツであり、ファイル「¥AUDIO¥music001.aac」に格納されている。コンテンツ格納部460に保持されているコンテンツ管理テーブルの読み込み及び書き込みは、コンテンツ格納制御部450を通して行われる。
 権利格納部430は、権利管理テーブルを保持している。権利管理テーブルは、コンテンツごとに定められた再生権利や、再生権利が消費されたときに実行するコールバック処理等を対応付けた表である。権利管理テーブルの内容の詳細については後述する。権利格納部430に保持された権利管理テーブルへのアクセス、並びに、再生要求のあったコンテンツの権利情報に対する読み込み及び書き込みは、権利格納制御部420を通して行われる。
《権利管理テーブル》
 本節では、権利管理テーブルの詳細を説明する。
 図4は、権利格納部430が保持する権利管理テーブルの一例を示す図である。権利管理テーブルは、コンテンツID、暗号化コンテンツを復号するためのコンテンツ鍵、利用条件を識別するための権利タイプ、時間に関する利用期限を示す再生権利時間、これまでの再生時間の累積値を示す累積再生時間、再生期限及び利用条件の期限に達した場合に実行すべきコールバック処理から構成される。
 なお、権利管理テーブルに含まれるコンテンツ鍵は、暗号化コンテンツを復号するためのコンテンツ鍵そのものであってもよいし、コンテンツ鍵を特定するための情報であってもよい。すなわち、権利管理テーブルには、コンテンツ鍵として、コンテンツ鍵値が記録されていてもよいし、コンテンツ鍵を別のデータベースで管理している場合は、そのデータベース内での参照先が記録されていてもよい。また、コンテンツ鍵を保護するために、コンテンツ鍵が暗号化された状態で記録されていても良い。
 図4では、権利タイプの具体例として、累積再生時間制限と期間制限とを用いている。
 ここで、累積再生時間制限には、タイプ1及びタイプ2の2種類あることを想定している。累積再生時間制限タイプ1は、早送り、巻き戻し、所定時間のスキップ等のシーク処理中の時間も、累積再生時間に加算される。一方、累積再生時間制限タイプ2は、シーク処理中の時間は、累積再生時間に加算されない。
 また、期間制限は、特定の期間だけ再生権利が有効な権利タイプである。例えば、図4のコンテンツID「003」で示されるコンテンツは、再生期限が「08/12/31」の期間制限が設定されており、2008年12月31日まで再生権利が与えられていることを示している。
 なお、権利タイプはこれらに限定されるわけではなく、回数制限でもよいし、特定のコマンドに関連づけた権利タイプでもよい。具体的には、再生開始コマンドを実行したら、所定のコールバック処理をする権利タイプや、停止コマンドを実行したら所定のコールバック処理をする権利タイプであってもよい。
 本実施形態では、累積再生時間制限タイプ1のコンテンツのみを扱う。累積再生時間制限タイプ2のコンテンツについては、後述する実施形態3で説明する。コールバック処理は、セキュア処理部300が実行できる処理であれば特に限定はない。
 ここで、セキュア処理部300が実行するセキュア処理とは、コンテンツに与えられた権利情報の更新処理、暗号化されたコンテンツを復号し、再生要求に基づいて再生する処理、再生履歴が改ざんされていないか監視する処理である。
 図4では、権利消費処理及び広告表示処理をコールバック処理の例として挙げている。
 例えば、コンテンツID「001」で示されるコンテンツには、コンテンツ鍵が「鍵001」であって、「累積再生時間制限タイプ1」の権利タイプであって、「2時間0分0秒」の再生権利時間があって、累積再生時間が「30秒」であり、累積再生時間が「2時間0分0秒」に達したら権利消費処理を実行する、という権利情報が対応していることを示している。
 また、コンテンツID「004」であるコンテンツには、コンテンツ鍵が「鍵004」であって、「累積再生時間制限タイプ1」の権利タイプであり、「0時間30分0秒」の再生権利時間があって、累積再生時間が「20分10秒」であり、累積再生時間が「0時間30分0秒」に達したら広告表示処理を実行する、という権利情報が対応していることを示している。
《第2制御部330及びセキュア格納部350》
 本節では、第2制御部330及びセキュア格納部350の詳細を説明する。
 図5は、第2制御部330及びセキュア格納部350の内部構成を示す図である。
 第2制御部330は、第1制御部230が通常格納部250に記録した再生履歴の内容を読み、所定の間隔で再生履歴を残しているかを監視することにより、再生処理部200がコンテンツを正しく再生しているかどうかを確認する。
 図5に示すように、第2制御部330は、再生履歴取得部331、監視判定部332、セキュア格納制御部333及び監視周期決定部334から構成される。
 再生履歴取得部331は、監視周期により指定された時間間隔で、セキュア格納部350に記録されている再生履歴を読み込む。
 この監視周期は、コンテンツ再生ごとに監視周期決定部334が乱数生成器を利用して決定し、セキュア格納制御部333を通して、セキュア格納部350の監視周期保持部352に書き込まれる。すなわち、監視周期の決定から保持までセキュア処理部300で行われるため、監視周期を再生処理部200から知ることはできない。
 監視周期が知られてしまうと、その監視周期が来る時のみ再生履歴を書き換えるという攻撃が可能となってしまう。そのため、本実施形態では、セキュア処理部300の内部で、コンテンツ再生ごとに監視周期を決定しなおすことで、上記の攻撃から保護している。
 これにより、あるコンテンツの再生時に、偶然、監視周期が知られて、その周期に合わせたタイミングでの再生履歴の改ざんがなされてしまっても、別のコンテンツ再生時には同じタイミングでの攻撃は成功しない。
 なお、監視周期に基づく監視処理のトリガーは、再生履歴取得部331がセキュアクロック取得部340を通して取得したセキュアクロック360からの情報を利用する。セキュアクロック360は、通常クロック260とは異なるものであって、セキュア処理部300の中のコンポーネントだけが、セキュアクロック取得部340を通してアクセス可能なセキュアなクロックである。
 なお、監視処理の実装方法としては、これに限定されることなく、ウォッチドックタイマーを利用した割り込み処理による実装や、ポーリング処理による実装でもよい。ただし、監視処理が改ざんされず、且つ、再生処理部200から秘匿に実行されることが条件となる。
 また、ここでは、監視周期決定部334が乱数を元に監視周期を決定するとしたが、図6に示すように、コンテンツごとに予め決められた監視周期を用いるようにしてもよい。あるいは、予め決められた複数の監視周期の中から1つの監視周期を選んでもよいし、複数の監視周期を選んで演算した結果を監視周期としてもよい。
 このようにすることで、端末開発時のテストケースを抑えることが可能となる。さらには、監視周期決定部334の実装が容易となり、新たに乱数生成器を搭載する必要もなくなるため端末コストを抑えることができる。
 セキュア格納制御部333は、セキュア格納部350に記録されている情報の読み取り処理及びセキュア格納部350への情報の書き込み処理を行う。
 セキュア格納部350に記録される情報は、期限付きコンテンツの権利消費処理が完了されずに電源断したとしても、次回の再生処理の前に、確実に権利消費させるために利用する。そのため、セキュア格納部350は、フラッシュメモリなどの不揮発メモリでなければならない。不揮発メモリの種類は、フラッシュメモリに限定されずFeRAMなどでもよい。さらに、セキュア格納部350は、電源断後の改ざんを防ぐため、セキュア処理部300の中のコンポーネントだけが、セキュア格納制御部333を通してアクセス可能なセキュアな不揮発メモリである必要がある。
 監視判定部332は、セキュア格納部350の中の再生履歴書込周期保持部351が保持している再生履歴書込周期と、監視周期保持部352が保持している監視周期と、監視履歴保持部353が保持している監視履歴とを用いて、通常格納部250に期待される再生履歴が記録されているかどうかを検証する。この再生履歴の検証処理については後述する。
《再生履歴の検証処理》
 本節では、図7を用いて、再生履歴の検証処理について説明する。
 図7は、コンテンツ再生中に、第1制御部230及び第2制御部330によってなされる処理、通常格納部250及びセキュア格納部350に格納されるデータを時系列で示す図である。なお、図7では、紙面の左から右へ時間が進むように時間軸をとっている。
 先ず、第1段目は、第1制御部230の処理を示している。第1段目の記載の矢印は、第1制御部230が、再生履歴書込周期である1秒おきに再生開始してからの経過時刻を、通常格納部250に記録することを示している。再生履歴書込周期は、セキュア格納部350の再生履歴書込周期保持部351に記録されている。
 第2段目は、通常格納部250に記録される再生履歴を示している。再生開始直後は、第1制御部230が初期時刻「00:00.00」を通常格納部250に書き込む。第1制御部230が次に書き込みを行う1秒後までは、通常格納部250に保持される値は「00:00.00」だけである。再生開始から1秒後に、第1制御部230が時刻「00:01.00」を書き込むと、通常格納部250に保持される再生履歴に「00:01.00」が追加される。以下同様にして、通常格納部250には1秒ごとに時刻が追加されていく。
 第3段目は、セキュアクロック360の値を示している。この例では、監視周期Rは2.23秒であるとする。監視周期Rは、セキュア格納部350の監視周期保持部352に記録されている。セキュアクロック360は監視周期である2.23秒ごとに、1ずつカウント値を増加する。
 第4段目は、第2制御部330の処理を示している。第2制御部330は、セキュアクロック360のカウントをトリガーとして、通常格納部250に保持された再生履歴の監視を行う。そして、第2制御部330は、再生履歴を監視した時刻を、セキュア格納部350の監視履歴保持部353に記録する。
 再生開始直後は、監視を行っていないので、第2制御部330は、初期時刻「00:00.00」を、セキュア格納部350に記録する。再生開始から2.23秒後に、1回目の監視が行われると、第2制御部330は、セキュア格納部350に監視時刻「00:02.23」を記録する。次に、再生開始から4.46秒後に、2回目の監視が行われると、第2制御部330は、セキュア格納部350に監視時刻「00:04.46」を記録する。以下同様である。
 第2制御部330は、再生履歴が改ざんされていないかどうかの監視を以下のよう行う。
 監視履歴保持部353に保持されている監視履歴T1と、監視周期保持部352に保持されている監視周期T2と、再生履歴書込周期保持部351に保持されている再生履歴書込周期T3と、通常格納部250に保持されている再生履歴に含まれる時刻のうちの最大値Sとの間にS-T3≦T1+T2≦S+T3の関係が成り立てば、第2制御部330は、再生履歴は改ざんされていないとみなす。上記の関係が成り立たたなければ、第2制御部330は、再生履歴は改ざんされているとみなす。そして、その場合にはコンテンツの再生中止等の処理を行う。
 上記の関係式は、監視を行う時刻において、再生履歴に期待される時刻が記録されているかどうかを判定している。
 すなわち、T1は最後に改ざんがないことを確認した時刻であり、そこから監視周期T2後の時刻T1+T2は、次の監視時刻である。この監視時刻T1+T2において、再生履歴には記録されているべき時刻は、T1+T2の中に含まれるT3の数にT3を乗じた値である。
 図7の場合、T3=1なので、1回目のチェックでは、監視時刻2.23秒の中に1秒は2個含まれるので、再生履歴に記録されているべき時刻はS=2.00である。
 再生履歴はT3ずつ増加するので、Sは、T1+T2-T3≦S≦T1+T2+T3であればよい。
 以上より、上記の関係式が成り立つとき、再生履歴は改ざんされていないみなすことができる。
 ここで、Sの値を大きくする改ざんに対しては条件を緩くしている。Sは再生履歴に含まれる時刻の最大値であるので、Sの値が大きいということは、改ざん者自らが、コンテンツが利用された時間を多くなるよう改ざんしていることを示す。そのため、Sの値を大きくする改ざんについては、多少条件を緩く判断するとしても、コンテンツ提供者の不利益となる可能性は低い。
 無論、第2制御部330は、T1+T2-T3≦S≦T1+T2が満たされるか否かを確認するようにして、Sの値を大きくする改ざんに対しても、厳密に確認するとしてもよい。
 なお、ここでは、再生履歴書込周期を1秒としたが、これは、コールバックタイミングの遅れがどの程度許容されるかによって適宜決めればよい。
 また、コンテンツごとに異なる再生履歴書込周期を用いるようにしてもよい。例えば、秒精度の厳密な権利情報が付与されているコンテンツに対しては、秒精度の厳しいチェックをする一方で、分精度の比較的緩い権利情報が付与されているコンテンツに対しては、分精度で再生履歴を記録するといった柔軟な制御を行っても良い。
 これにより、コンテンツ再生中の処理負荷を抑制することができる。また、不揮発メモリである通常格納部250の書き換え回数を減少することができ、不揮発メモリのサイズを抑え、端末コストを下げることができる。
 また、監視履歴保持部353には、上述したように、監視時刻「00:02.23」、「00:04.46」、「00:06.69」、…を記録するのではなく、監視履歴が格納された順番を示すカウンタ値1、2、3、…を記憶してもよい。この場合、第2制御部330は、監視履歴保持部353に格納されているカウンタ値と、監視周期保持部352に格納されている監視周期とを用いて、T1を算出したのち、上記の関係式が成り立つか否かを判定すればよい。
 また、図7の例では、再生履歴書込周期T3が1秒であり、監視周期T2が2.23秒であったため、再生履歴に記録されているべき最大の時刻Sには幅があった。
 ここで、監視周期T2として、2秒、3秒、4秒等、再生履歴書込周期T3(=1秒)の倍数を用いる場合には、第2制御部330は、再生履歴に記録されるべき最大の時刻SがT1+T2と一致するか否かを判断すればよい。
 すなわち、再生履歴書込周期T3の値と監視周期T2との値に応じて、第2制御部330は、セキュア格納部350に格納されている監視履歴と、通常格納部250に格納されている再生履歴とが対応していることを判定すればよい。
《動作》
 本節では、本発明の実施形態1のコンテンツ再生装置100の動作を、フローチャートを用いて説明する。
 コンテンツ再生装置100による再生処理は、ユーザからの再生開始要求および再生停止要求を受け付ける再生処理部200と、再生処理における完全性や秘匿性に関するセキュア処理を行うセキュア処理部300とが、互いに再生処理の依頼及びその結果を送受信し合うことで行われる。
《再生処理部200の動作》
 本節では、再生処理部200による再生処理の動作を、図8のフローチャートを用いて説明する。
 まず、再生処理受付部210は、ユーザからの再生開始要求を受け付ける。(ステップS701)。これは、具体的には、ユーザが再生開始ボタンを押下するといったイベントである。再生処理受付部210は、受け付けた再生開始要求を再生処理制御部220に通知する。
 再生開始要求を受けた再生処理制御部220は、セキュア処理制御部320に権利判定処理を依頼する(ステップS702)。権利判定処理は、再生開始要求のあったコンテンツの再生権利が、まだ残っているかどうかを判定する処理である。
 再生処理制御部220は、セキュア処理制御部320から権利判定結果を取得し(ステップS703)、再生権利がない場合は(ステップS720 N)、再生処理を終了するため、ステップS713に進む。
 再生権利がある場合は(ステップS720 Y)、再生処理を継続し、再生処理制御部220は、セキュア処理制御部320にコンテンツ再生処理を依頼する(ステップS705)。あるいは、再生処理を継続する前に、再生権利が消費されることをユーザに通知して、再生処理を継続してもよいかどうかを確認するユーザ入力を待つようにしてもよい。
 再生処理結果受付部222がセキュア処理制御部320から、再生処理依頼結果を取得すると(ステップS706)、第1制御部230は、コンテンツ再生中、再生履歴を記録する処理を継続する。ここで、再生処理依頼結果は、例えば、再生を開始したことを示す情報である。また、セキュア処理制御部320は、権利管理テーブルを参照し、再生処理部200が将来実行すべきコールバック処理の内容とそのコールバック処理を実行すべきタイミングの情報を合わせて再生処理依頼結果として返してもよい。このように、セキュア処理制御部320は、再生処理制御部220にコールバックのタイミングを通知することで、適切なタイミングで、コールバック処理を行うことができる。
 再生履歴を記録する処理は、まず、第1制御部230が、通常クロック260の値を取得し(ステップS707)、それが再生履歴を書き込むタイミングであれば(ステップS708 Y)、通常格納部250へ再生履歴を書き込む(ステップS709)。
 ここで、再生履歴を書き込むタイミングは、通常クロック260の値が再生履歴書込周期の倍数であるときである。通常クロック260の値が、再生履歴を書き込むタイミングでなければ(ステップS708 N)、第1制御部230は、コールバックタイミングであるかどうかを判定し(ステップS710)、コールバックタイミングであれば(ステップS710 Y)、再生処理制御部220は、セキュア処理制御部320に対し、コールバック処理を依頼する(ステップS711)。
 コールバックタイミングでなければ(ステップS710 N)、ユーザからの停止要求、あるいは、コンテンツが最後まで再生されてEOF (End Of File)に達したことが通知されているかどうかを判定する(ステップS712)。
 停止要求又はEOFが通知されていなければ(ステップS712 N)、ステップS707に戻り、第1制御部230は、再生履歴を書き込む処理を継続する。
 停止要求又はEOFが通知されていれば(ステップS712 Y)、再生処理制御部220は、セキュア処理制御部320に再生処理終了を依頼する(ステップS713)。
 続いて、再生処理制御部220がセキュア処理制御部320から再生処理終了結果を取得することで(ステップS714)、再生処理は終了する。
《セキュア処理部300の動作》
 本節では、図9のフローチャートを用いて、セキュア処理部300によるセキュア処理の動作を説明する。この処理は、図8のステップS702における権利判定処理の依頼を受けた場合にセキュア処理部300が行う動作の詳細に当たる。
 セキュア処理部300では、まず、セキュア処理制御部320が再生処理制御部220から権利判定処理依頼を受け付けることにより処理が開始される(ステップS801 N)。
 権利判定処理依頼を受け付けたら(ステップS801 Y)、権利消費処理部410が権利情報を更新する(ステップS802)。権利情報の更新処理は、通常格納部250及びセキュア格納部350に格納されている再生履歴及び監視履歴に基づいて、権利情報を消費する処理である。
 再生履歴及び監視履歴は、正常に動作が終了すれば、後述する権利情報更新の動作によってクリアされる。そのため、再生前に、通常格納部250及びセキュア格納部350に再生履歴及び監視履歴が記録されていれば、前回の再生時に意図せぬ電源断などにより、権利消費が行われなかったと考えられるので、この時点で確実に権利情報を更新しておく。なお、権利情報の更新処理の詳細は後述する。
 権利情報更新後、権利消費処理部410は、権利格納制御部420を通して、再生要求があったコンテンツに対する権利情報を、権利格納部430に保持されている権利管理テーブルから読み込む(ステップS803)。
 次に、権利消費処理部410は、読み込んだ権利情報を用いて、再生権利があるかどうかを判定し(ステップS804)、セキュア処理制御部320を通して、判定結果を再生処理制御部220へ返す(ステップS805)。
 続いて、セキュア処理制御部320は、再生処理制御部220から再生処理依頼を受け付けるまで待機する(ステップS806 N)。
 再生処理依頼を受け付けると(ステップS806 Y)、監視周期決定部334は、監視周期を決定し(ステップS807)、セキュア格納部350の監視周期保持部352は、ステップS807で決定された監視周期を保持する(ステップS808)。ここでは、監視周期決定部334は、乱数生成器を利用して監視周期を生成するものとする。
 次に、権利消費処理部410は、再生要求のあったコンテンツに対応するコンテンツ鍵を、権利格納制御部420を通して、権利管理テーブルから取得する(ステップS809)。
 そして、コンテンツ再生処理部440は、再生要求のあったコンテンツに対応する暗号化コンテンツを、コンテンツ格納制御部450を通して、コンテンツ格納部460から読み込む(ステップS810)。
 コンテンツ再生処理部440は、権利消費処理部410が取得したコンテンツ鍵を用いて暗号化コンテンツを復号し、その後、デコード処理を行い、再生する(ステップS811)。セキュア処理制御部320は、再生を開始したことを示す再生処理依頼結果を再生処理制御部220へ返す(ステップS812)。
 続いて、セキュア処理部300は、再生中のコンテンツを監視する処理を開始する。
 まず、第2制御部330は、セキュアクロック取得部340を通して、定期的にセキュアクロック360の値を読み取る(ステップS813)。次に、読み取ったセキュアクロック360の値が、再生履歴を監視するタイミングであるかどうかを判定する(ステップS814)。再生履歴を監視するタイミングは、監視周期の倍数となる時刻である。
 判定の結果、再生履歴を監視するタイミングであれば(ステップS814 Y)、第2制御部330は、再生履歴が改ざんされてないかを検証する(ステップS816)。再生履歴検証の詳細については後述する。検証結果が正しく、再生履歴が改ざんされていなければ(ステップS817 Y)、第2制御部330は、監視履歴を更新する(ステップS818)。すなわち、最後に監視を行った時刻をセキュア格納部350に書き込む。検証結果が不当であって、再生履歴が改ざんされていれば(ステップS817 Y)、セキュア処理部300は、再生を停止する(ステップS821)。
 続いて、第2制御部330は、通常格納部250をクリアする(ステップS819)。これは、再生履歴のうち最新のもの以外を削除することによりなされる。
 再生終了依頼を受け付けていなければ(ステップS820 Y)、セキュア処理部300は、ステップS813に戻り、再生履歴の監視処理を続ける。再生終了依頼を受け付けていれば(ステップS820 N)、セキュア処理部300は、再生を停止する(ステップS821)。
 判定の結果、再生履歴を監視するタイミングでなければ(ステップS814 N)、権利消費タイミングであるかどうかを判定する(ステップS815)。権利消費タイミングとは、再生権利が消費し尽くされたタイミングである。判定の結果、権利消費を行うタイミングでなければ(ステップS815 N)、セキュア処理部300は、ステップS813に戻り、再生履歴の監視処理を続ける。判定の結果、権利消費を行うタイミングであれば(ステップS815 Y)、セキュア処理部300は、再生を停止する(ステップS821)。
 再生終了依頼もしくは権利消費により再生が停止されると(ステップS821)、権利消費処理部410は、権利情報を更新する(ステップS822)。そして、セキュア処理制御部320が再生処理制御部220に再生処理終了結果を返し(ステップS823)、セキュア処理部300は、セキュア処理を終了する。
《再生履歴検証の動作》
 本節では、図10のフローチャートを用いて、再生履歴を検証する動作について説明する。なお、ここで説明する動作は、図9のステップS816に当たる。
 まず、第2制御部330は、再生履歴取得部331を介して、通常格納部250に保持されている再生履歴を取得し、監視判定部332に通知する(ステップS901)。
 監視判定部332は、再生履歴として書き込まれている時刻の中から、最大の時刻をSとする(ステップS902)。
 続いて、監視判定部332は、セキュア格納部350の監視履歴保持部353、監視周期保持部352及び再生履歴書込周期保持部351から、それぞれ監視履歴、監視周期及び再生履歴書込周期を取得し、T1、T2、T3とする(ステップS903)。
 監視判定部332は、取得した4つのパラメータS、T1、T2、T3の間に、S-T3≦T1+T2≦S+T3の関係が成り立つかどうかを判定する(ステップS904)。
 上記の関係が成り立たない場合(ステップS904 N)、監視判定部332は、再生履歴が改ざんされているとみなし、チェックNGとする。
 上述の関係が成り立つ場合(ステップS904 Y)、監視判定部332は、前回の再生履歴のチェックから再生履歴書込周期T3後の時刻が再生履歴に書き込まれているか否かを判定する(ステップS905)。
 書き込まれていなければ(ステップS905 N)、監視判定部332は、再生履歴に対して不正な処理が実行されたと判断し、チェックNGとする。書き込まれていれば(ステップS905 Y)、監視判定部332は、正しい再生履歴書込周期T3の周期で再生履歴が書き込まれているので、再生履歴に対して不正な処理が実行されていないと判断し、チェックOKとする。
 ここで、再生履歴に対する不正な処理とは、例えば、再生履歴のすり替えや、再生履歴の書き込み処理のバイパスである。チェックNGの判断後の処理としては、コンテンツ再生処理部440により、再生中のコンテンツを即座に停止するようにする。
《権利情報更新の動作》
 本節では、図11のフローチャートを用いて、権利情報を更新する動作を説明する。なお、ここで説明する動作は、図9のステップS802及びステップS822に当たる。
 まず、第2制御部330は、セキュア格納部350の監視履歴保持部353に監視履歴が保持されているかどうかを判定する(ステップS1101)。監視履歴が保持されていなければ(ステップS1101 N)、更新すべき権利情報がないので、処理を終了する。
 監視履歴が保持されていれば(ステップS1101 Y)、第2制御部330は、通常格納部250に再生履歴が保持されているかどうかを判定する(ステップS1102)。
 再生履歴が保持されていれば(ステップS1102 Y)、第2制御部330は、再生履歴及び監視履歴に基づいて、不正な再生が行われていないいかどうかをチェックする(ステップS1103)。ここで、不正な再生が行われていないかどうかの確認は、再生履歴検証のときと同様、S-T3≦T1+T2≦S+T3の関係が成り立つかどうかを判定することで行う。
 不正な再生がされていなければ(ステップS1103 Y)、再生時間として、再生履歴中の最新の時間を取得する(ステップS1104)。その後、第2制御部330は、再生履歴及び監視履歴をクリアする(ステップS1106、ステップS1107)。
 通常格納部250に再生履歴が保持されていない場合(ステップS1102 N)、もしくは、再生履歴が保持されていても、それが不正再生されていると判断された場合(ステップS1103 N)、再生時間として、監視履歴中の最新の時間を取得する(ステップS1105)。これは、再生履歴に記載されている再生時間が信頼できないので、信頼できる監視履歴中の最新の時間を再生時間として用いるためである。その後、第2制御部330は、再生履歴及び監視履歴をクリアする(ステップS1106、ステップS1107)。
 最後に、権利消費処理部410は、再生履歴もしくは監視履歴から取得した再生時間分だけ、権利格納部430に格納されている権利テーブルの、残りの再生可能時間を減らしたり(ステップS1108)、累積再生時間を増やしたりする。以上で、権利情報の更新が終了する。
 なお、ここでは、再生履歴の検証の結果、不正があったと判断された場合、監視履歴に記録されている分だけ権利情報を消費するようにしているが、不正があった場合にはすぐに再生を停止するようにしてもよい。あるいは、コンテンツの配信元である配信サーバに不正があった旨を通知したり、権利情報を多く消費したり、不正解析者に対して不利益になるような処理を行うようにしてもよい。このようにすることで、再生履歴の改ざんを抑制することができる。
〔実施形態2〕
 ここでは、本発明の実施形態2におけるコンテンツ再生装置について説明する。
 本実施形態は、実施形態1と次の点が異なる。実施形態1における監視周期は、監視周期決定部334が決めた一定の値であった。これに対し、本実施形態では、第2制御部330が監視を行うごとに、監視周期を決定し直す。その他の点は、実施形態1と同じである。
 図12は、実施形態2において、コンテンツ再生中に、第1制御部230及び第2制御部330でなされる処理、通常格納部250及びセキュア格納部350に格納されるデータを時系列で示した図である。
 図12は、実施形態1の図7と比較すると、監視周期が、r1(2.23秒)、r2(1.56秒)、…と監視が行われるごとに異なる値になっている。
 すなわち、実施形態2では、監視判定部332が再生履歴をチェックするごとに、監視周期決定部334が新しく監視周期を決定し直す。そして、新しい監視周期で監視周期保持部352を更新する。なお、再生履歴が改ざんされていないかどうかのチェック等の処理は、実施形態1と同様である。
 本実施形態によれば、監視のタイミングを狙って再生履歴を改ざんしようとする悪意あるユーザに対して、より監視のタイミングが予測しにくくなる。偶然ある特定のタイミングで、再生履歴を改ざんできたとしても、次回の監視タイミングは、新たに設定し直されるので、前回と同じタイミングで不正に再生履歴を改ざんしようとしても成功しない。
 なお、実施形態2は、実施形態1と同様に、乱数を用いて監視周期を決定してもよい。
 また、予め決められた複数種類の監視周期が記載されて表をセキュア格納部350に格納しておき、その表から1つの監視周期を選択するようにしてもよい。
 また、監視周期を所定の規則に従って変化させるように、所定の規則をセキュア格納部350に格納しておき、その規則に従って、1つの監視周期を決定するようにしてもよい。ここで、所定の規則とは、例えば、一定の周期で増大し又は減少する等である。
 なお、本実施形態においても、再生処理部200は再生履歴の監視タイミングを知り得ないので、ある程度の頻度で監視周期を更新すれば、乱数を用いなくても安全性は高く保たれる。
《監視履歴更新の動作》
 本実施形態におけるセキュア処理部300の動作は、実施形態1と比較すると、監視が終わるごとに監視履歴が設定し直される点のみ異なる。
 すなわち、本実施形態では、図9のフローチャートにおける監視履歴の更新(ステップS818)と再生履歴格納部クリア(ステップS819)との間に、図13に示す監視周期更新処理が挿入される。
 図13に示すように、監視周期更新処理の各ステップは以下の通りである。
 監視履歴を更新後、まず、監視周期決定部334は、新しい監視周期rを決定する(ステップS1001)。監視周期保持部352に保持されている値T2を、ステップS1001で決定した監視周期rに更新する(ステップS1002)。続いて、監視履歴保持部353に保持されている値T1を、T1+rに更新する(ステップS1003)。
 以上で、監視履歴の更新を終了する。
〔実施形態3〕
 ここでは、本発明の実施形態3におけるコンテンツ再生装置について説明する。
 実施形態3は、再生履歴に再生処理コマンドを対応付けて記録する点が実施形態1と異なる。その他の点は、実施形態1と同じである。
 実施形態1では、図2に示したように、コンテンツIDごとに、再生開始からの経過時間だけを再生履歴として記録するようにしていたが、本実施形態では、経過時間と再生処理コマンドとを関連付けて記録する。
 このように、再生履歴と再生処理コマンドとを対応付けて記録することにより、本実施形態では、権利タイプに応じて、早送りや巻戻しを行っている間の時間を、権利消費する時間に含めることできるし、除くこともできる。
 本実施形態におけるコンテンツ再生装置の構成は、図14に示すように、実施形態1におけるコンテンツ再生装置100のセキュア格納部350に、コマンド履歴保持部354を追加した構成となっている。
 図15は、第1制御部230によって通常格納部250に記録される再生履歴を示している。本実施形態においても、第1制御部230は、コンテンツ再生中に1秒周期で再生履歴を記録するものとする。
 図15(a)は、コンテンツID「001」で示されるコンテンツの再生履歴である。これは、コンテンツID「001」のコンテンツは、再生開始後3秒までは、再生処理種別が「Play」となっているので、再生処理が行われたことを示しており、また、再生開始後4秒及び5秒では、再生処理種別が「Seek」となっているので、シーク処理が行われ、再生開始後6秒では、再度、再生処理が行われたことを示している。
 ここで、コンテンツID「001」で示されるコンテンツは、権利タイプが累積再生時間制限タイプ1である。実施形態1で説明したように、累積再生時間制限タイプ1では、シーク処理中の時間も累積再生時間に加算される。したがって、コンテンツID「001」で示されるコンテンツについては、再生処理種別が「Seek」となっているか否かに関わらず、累積再生時間を計算する。つまり、図15(a)に示した再生履歴から、累積再生時間は6秒であると計算される。
 図15(b)は、コンテンツID「002」で示されるコンテンツの再生履歴である。これは、コンテンツID「002」のコンテンツは、再生開始後2秒までは、再生処理が行われ、再生開始後3秒から5秒まではシーク処理が行われ、再生開始後6秒では、再度、再生処理が行われたことを示している。
 ここで、コンテンツID「002」で示されるコンテンツは、権利タイプが累積再生時間制限タイプ2である。実施形態1で説明したように、累積再生時間制限タイプ2では、シーク処理中の時間は累積再生時間に加算されない。したがって、コンテンツID「002」で示されるコンテンツについては、シーク時間を加算せずに累積再生時間を計算する。そのため、図15(b)に示した再生履歴から、累積再生時間は4秒であると計算される。
 本実施形態における第2制御部330は、図15の再生履歴を基に、実行された再生処理コマンドの履歴を、コマンド履歴保持部354に記録する。その結果、コマンド履歴保持部354には、図16に示すコマンド保持テーブルが記録される。
 図16(a)のコマンド保持テーブルは、図15(a)の再生履歴に対応し、図16(b)のコマンド保持テーブルは、図15(b)の再生履歴に対応する。
 再生履歴は、1秒周期で再生経過時刻と再生処理コマンドとを関連付けて通常格納部250に記録されるが、コマンド保持テーブルは、ユーザから再生処理コマンド要求があった際に記録される。
 図15(b)の例では、再生開始のために、ユーザが再生要求を行い、再生開始から3秒後にシーク処理要求を行い、再生開始から6秒後に再度再生要求を行っている。従って、再生処理コマンドを依頼するために、再生処理部200からセキュア処理部300に3回の再生処理コマンド要求がされることになる。そのため、0秒の時点で「Play」、3秒の時点で「Seek」、6秒の時点で「Play」というように、コマンド保持テーブルに記録される。
 このようにコマンド保持テーブルを記録することで、累積再生時間制限タイプ2のようなシーク処理中の時間は累積再生時間に加算されない場合であっても、再生期限付きコンテンツの権利消費を行うことができ、より柔軟な権利消費タイプに対応することが可能となる。
 また、本実施形態は、コマンド保持テーブルを用いて、再生処理種別「Play」が対応付けられた箇所がどこであるかを確認することで、例えば映画の特定のシーンに該当する特定の範囲を再生したか否かのチェックにも応用することができる。
 そして、本実施形態では、スキップなどの再生処理コマンドを再生処理部200がセキュア処理部300に通知するので、上記特定の範囲を含む監視タイミングを監視側が履歴として記録していれば、上記特定の範囲を再生したことを再生側が正しく再生履歴として残しているか否かの確認が可能となる。
 なお、上記の実施形態3のコンテンツ再生装置は、実施形態1のコンテンツ再生装置100と同様の構成を有するとしたが、これに限るものではない。例えば、実施形態2のコンテンツ再生装置の構成を有するとしてもよい。
 この場合、セキュア格納部350にコマンド履歴保持部354が追加される。そうすると、監視履歴の決定方法が実施形態1とは異なり、が実施形態2で説明したように、第2制御部330が再生履歴の監視を行うごとに、監視周期を決定し直す。それ以外の動作は上記の実施形態3と同様である。
〔その他の実施形態〕
 なお、本発明は上記の実施形態に限定されるものではない。以下のような場合も本発明に含まれる。
 (1)上記の実施形態1~3では、再生履歴を1秒ごとに通常格納部250に追加していた。つまり、通常格納部250は再生が進むにつれて多くの再生履歴を記録するとしていた。しかし、本発明はこれに限るものではない。
 例えば、通常格納部250が常に最新の再生履歴のみを記録するとしても良い。この場合、第1制御部230は、再生履歴を記録すべきタイミングが訪れるたびに、通常格納部250に記録されている最新の再生履歴を更新する。このようにすれば、コンテンツが長いものであったとしても、再生履歴の記録に要する通常格納部250の容量を抑えることが出来る。
 また、通常格納部250をフラッシュメモリで実現する場合には、メモリの寿命を縮めないために、ある程度分散させた位置に再生履歴を記録する必要がある。この場合は、上述した実施形態1~3のように、再生履歴を分散させて記録していくことが望ましい。
 (2)上記の実施形態1~3では、再生履歴を通常格納部250に記録する周期は一定であったが、それに限られるものではない。例えば、再生履歴を通常格納部250に記録するタイミングもランダムに定められるとしてもよい。
 この場合、セキュア処理部300による判定が誤判定とならないように再生履歴の書込周期と監視周期とを調整する必要がある。例えば、書込周期が常に監視周期よりも短くなるような範囲で乱数を発生させて、その乱数によって再生履歴の書込周期を定めることなどが考えられる。
 また、コンテンツの中で重要度の異なる部分が含まれる場合には、重要度の高い部分の再生履歴を重点的に記録するとしてもよい。例えば、コンテンツの中で重要度の高い部分については書込周期を短くし、重要度の低い部分については書込周期を長くすることなどが考えられる。なお、この場合も、セキュア処理部300による監視が誤判定とならないよう、監視を行うタイミングも再生履歴を記録するタイミングに合わせて変化させることが望ましい。具体的には、コンテンツの重要度に応じて、監視を行う周期を伸縮することなどが考えられる。
 (3)上記の実施形態1~3では、再生履歴の書き換え及び監視のタイミングについて具体的な説明を行ったが、本発明において、再生履歴の書き換え及び監視のタイミングはこれに限られるものではない。
 本発明では、再生履歴の監視周期が再生履歴の書込周期よりも長ければよく、実装の仕方は問わない。
 また、本発明及び上記の実施形態1~3で用いる「周期」という用語は、実施形態2における「監視周期」の決定手法からも明らかなように、常に一定の長さである必要は無く、変化するものも指す。すなわち、セキュアメモリの書き換え回数を抑えるには、再生履歴の監視を行う頻度が再生履歴の書き込みを行う頻度よりも少なければよい。
 (4)上記の実施形態1~2のように、監視周期を乱数を用いてランダムに決定する場合、乱数の値によっては1回の書込周期中に複数回の監視周期が含まれる場合がある。この場合、上記のようなS-T3≦T1+T2≦S+T3という関係は成り立たなくなることがあるので、誤判定が起こってしまう。この問題は、乱数の取りうる値の範囲を、監視周期が書込周期よりも長くなるように調整すれば対処できる。
 また、セキュア処理部300は、S-T3≦T1+T2≦S+T3という関係が成り立つか否かを確認するために、書込周期T3の値を当然に知っている。従って、セキュア処理部300が、ランダムに決定した監視周期がT3よりも短いと分かれば、判定の基準を以下のように変更することが考えられる。すなわち、最新の監視履歴T1の時点から、監視周期T2が経過して次の監視が行われるまでに、何回の再生履歴の書き込みが発生するかをセキュア処理部300が判断する。そして、その回数が0回であれば、常にチェックに成功したと判断するようにすればよい。
 なお、1回の書込周期中に複数回の監視周期が含まれる場合、何度かの監視周期の経過のごとに、書込みが行われた直後にT1+T2となる。従って、S-T3≦T1+T2≦S+T3が満たされた場合にもチェックに成功したと判断する必要がある。
 これにより、監視周期が偶然に書込周期よりも長くなったとしても、誤判定が発生しないように制御することが出来る。
 なお、セキュア格納部350の更新頻度の方が通常格納部250の更新頻度よりも一時的に高くなってしまうことがある。しかし、一時的に通常格納部250よりもセキュア格納部350の更新頻度が高くなるとしても、長期的に、また、統計的に見て、通常格納部250よりもセキュア格納部350の方が更新頻度が低くなるのであれば、本発明の目的は達せられる。
 従って、稀にセキュア格納部350の更新頻度が通常格納部250の更新頻度を上回るものの、一定の時間的範囲内においては、セキュア格納部350の方が更新頻度が低くなるように乱数の範囲を設定する場合も本発明に含まれる。
 (5)上記の実施形態1~3では、監視周期を乱数に基づいてランダムに決定し、その監視周期を監視周期保持部352に記憶していたが、本発明は、これに限るものではない。
 本発明は、監視周期そのものを記憶するのではなく、監視周期を決定するために必要となるシード値を記憶するようにしてもよい。この場合、実施形態1~3それぞれと同様の動作を実現するためには、監視周期決定部334に、シード値を入力とする所定のアルゴリズムによって監視周期を生成する機能を持たせればよい。シード値から監視周期を生成するアルゴリズムとしては、例えば、一方向性関数などのハッシュアルゴリズムや、シード値を元に乱数を生成するアルゴリズム等が考えられる。
 (6)上記の実施形態3では、再生処理種別と再生履歴とを関連付けて記憶していたが、本発明は、これに限られるものではない。
 例えば、再生処理種別と監視履歴とを関連付けて記憶しても良い。そしして、監視履歴に基づいて累積再生時間を計算する場合には、再生種別情報を参照することにより、シーク処理を行ったことを示す「Seek」など、特定の再生種別情報と関連付けられた監視履歴を累積再生時間の計算に反映しないなどの制御が可能となる。
 (7)上記の実施形態1~3において、通常クロック260の周期は、第2制御部330が決定するとしてもよい。決定の仕方としては、監視履歴を残す頻度よりも再生履歴が記録される頻度が低くなる範囲でランダムに決定することなどが考えられる。
 (8)上記の実施形態1~3において、コールバック処理はコンテンツの再生時間に応じて起こると説明したが、コンテンツに対して、何らかの処理が行われた時間に応じて、コールバック処理が起こるとしても良い。
 例えば、コンテンツの巻き戻し時間や早送り時間、また、コンテンツを複製またはムーブした時間などに応じてコールバック処理が起こるとしても良い。
 これらの場合、コールバック処理を正確なタイミングで行うためには、正確かつ安全に処理時間を計測することが必要不可欠である。そのため、実施形態1~3を用いて説明した手法と同様にして、セキュアメモリの寿命を延ばしつつ、処理時間を計測することが有用である。
 なお、これらの場合、時間を計測する対象を、コンテンツの再生から、巻き戻し、早送り、複製、ムーブ等、それぞれの処理に変えるのみで実現することができるので、この変形例についての詳細な説明は省略する。
 (9)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置はその機能を達成する。コンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
 (10)上記の各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部または全てを含むように1チップ化されてもよい。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
 (11)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパー性を有するとしてもよい。
 (12)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
 また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
 また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
 また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
 また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
 (13)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
 本発明は、DRM技術のようなコンテンツの著作権保護技術を実装した電子機器を製造及び販売する産業において、大容量セキュアメモリを使うことなく、高頻度での再生履歴の記録ができる技術として利用することができる。また、本発明は、コンテンツの再生中であっても、再生権利が消費尽くされた時点で速やかに再生を終了させることができ、再生履歴は、定期的に監視されるので、改ざんを防止できる。不意に電源断が起こっても、履歴をもとに正確な権利消費ができる技術として利用することができる。

Claims (23)

  1.  コンテンツの再生部と、
     耐タンパー実装されていない通常格納部と、
     耐タンパー実装されているセキュア格納部と、
     所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を前記通常格納部に保存する第1制御部と、
     不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存し、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する第2制御部と、
     を具備するコンテンツ再生装置。
  2.  前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合とは、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが一致する場合であることを特徴とする請求項1記載のコンテンツ再生装置。
  3.  前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合とは、前記監視履歴に基づいて表される所定の再生時刻が、前記監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻の区間内の時刻である場合であることを特徴とする請求項1記載のコンテンツ再生装置。
  4.  前記不定期な時間間隔は、前記所定の時間間隔より大きい時間間隔であることを特徴とする請求項1記載のコンテンツ再生装置。
  5.  前記不定期な時間間隔は、ランダムな時間間隔であることを特徴とする請求項4記載のコンテンツ再生装置。
  6.  前記不定期な時間間隔は所定の規則に従って変化する時間間隔であり、
     一定の時間的範囲において、前記第2制御部により前記不定期な時間間隔で前記セキュア格納部に保存される監視履歴の数は、前記第1制御部により前記所定の時間間隔で前記通常格納部に保存される再生履歴の数より少ないことを特徴とする請求項1記載のコンテンツ再生装置。
  7.  前記第2制御部は耐タンパー実装されており、
     前記セキュア格納部は、前記監視履歴として、前記監視履歴自身が前記セキュア格納部に保存された順番を示すカウンタ情報を保存し、
     前記第2制御部は、前記不定期な時間間隔及び前記カウンタ情報に基づいて、前記監視履歴に基づいて表される所定の再生時刻を生成する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  8.  前記セキュア格納部は、前記不定期な時間間隔を複数種類格納し、
     前記第2制御部は、前記セキュア格納部に複数種類格納されている不定期な時間間隔の中から一つを選択し、この選択された不定期な時間間隔が示す時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  9.  前記第2制御部は、
     前記コンテンツを再生する前に、前記不定期な時間間隔を更新する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  10.  前記第2制御部は、
     前記コンテンツの再生中に、前記不定期な時間間隔を更新する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  11.  前記第2制御部は、
     前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻との対応を断続的に判断し、
     前記断続的に判断する毎に、前記不定期な時間間隔を更新する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  12.  前記コンテンツの再生時間が所定時間経過した場合に所定の処理を実行する権利消費処理部を設け、
     前記権利消費処理部は、前記通常格納部に格納されている再生履歴は改ざんされていないと判断された場合、前記再生履歴に基づいて、前記コンテンツの再生時間が前記所定時間経過したか否かを判断する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  13.  前記権利消費処理部は、
     前記通常格納部に格納されている再生履歴は改ざんされていると判断された場合、前記監視履歴が示す前記コンテンツの再生時刻に基づいて、前記コンテンツの再生時間が前記所定時間経過したか否かを判断する
     ことを特徴とする請求項12記載のコンテンツ再生装置。
  14.  前記セキュア格納部に保存された監視履歴及び前記通常格納部に保存された再生履歴は、前記所定の処理が終了したときに消去されることを特徴とする請求項12記載のコンテンツ再生装置。
  15.  前記第2制御部は、
     前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻との対応を断続的に判断し、
     前記断続的に判断する毎に、各判断の直前の判断より前の判断に用いた前記監視履歴に基づいて表される再生時刻を前記セキュア格納部から削除し、各判断の直前の判断より前の判断に用いた前記再生履歴が示すコンテンツの再生時刻を前記通常格納部から削除する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  16.  前記第1制御部は、
     前記所定の時間間隔毎に前記コンテンツの再生時刻及び各再生時刻になされた再生処理の種類を示す再生履歴を通常格納部に保存し、
     前記第2制御部は、
     前記再生履歴が示すコンテンツの再生時刻の中で特定種類の再生処理に対応する再生時刻を選択し、
     前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記選択された再生履歴が示すコンテンツの再生時刻とが対応するか否かを判断する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  17.  経過時刻を計時する通常クロックを設け、
     前記第2制御部は、
     前記通常クロックを基準にして、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する否かを判断する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  18.  経過時刻を計時する通常クロックを設け、
     前記第2制御部は、
     前記通常クロックが計時する時間間隔を決定し、この決定した時間間隔を前記第1制御部に通知し、
     前記第1制御部は、
     前記通知した時間間隔を前記所定の時間間隔として、前記所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を通常格納部に保存する
     ことを特徴とする請求項1記載のコンテンツ再生装置。
  19.  コンテンツの再生部と、
     耐タンパー実装されていない通常格納部と、
     耐タンパー実装されているセキュア格納部と、
     所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を前記通常格納部に保存する第1制御部と、
     不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存する第2制御部と、を具備するコンテンツ再生装置の制御方法であって、
     前記第2制御部は、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する
     ことを特徴とするコンテンツ再生装置の制御方法。
  20.  コンテンツの再生部と、
     耐タンパー実装されていない通常格納部と、
     耐タンパー実装されているセキュア格納部と、
     所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を前記通常格納部に保存する第1制御部と、
     不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存する第2制御部と、を具備するコンテンツ再生装置に用いられるコンテンツ再生プログラムであって、
     前記第2制御部に、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断させる処理
     を実行させることを特徴とするコンテンツ再生プログラム。
  21.  コンテンツの再生部と、
     耐タンパー実装されていない通常格納部と、
     耐タンパー実装されているセキュア格納部と、
     所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を前記通常格納部に保存する第1制御部と、
     不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存する第2制御部と、を具備するコンテンツ再生装置に用いられるコンテンツ再生プログラムを記憶したコンピュータ読み取り可能な記録媒体であって、
     前記第2制御部に、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断させる処理を実行させることを特徴とするコンテンツ再生プログラムを記憶したコンピュータ読み取り可能な記録媒体。
  22.  コンテンツを再生するコンテンツ再生装置に用いられる集積回路であって、
     耐タンパー実装されていない通常格納部と、
     耐タンパー実装されているセキュア格納部と、
     所定の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を通常格納部に保存する第1制御部と、
     不定期な時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存するし、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する第2制御部と、
     を具備する集積回路。
  23.  コンテンツの再生部と、
     耐タンパー実装されていない通常格納部と、
     耐タンパー実装されているセキュア格納部と、
     第1の時間間隔毎に前記コンテンツの再生時刻を示す再生履歴を前記通常格納部に保存する第1制御部と、
     前記第1の時間間隔より大きい第2の時間間隔で前記コンテンツの再生時刻に関わる監視履歴を前記セキュア格納部に保存し、前記監視履歴に基づいて表される所定の再生時刻とこの監視履歴に基づいて表される所定の再生時刻に対応し且つ前記再生履歴が示すコンテンツの再生時刻とが対応する場合、前記通常格納部に格納されている再生履歴は改ざんされていないと判断する第2制御部と、
     を具備するコンテンツ再生装置。
PCT/JP2009/001120 2008-03-28 2009-03-12 コンテンツ再生装置、コンテンツ再生装置の制御方法、コンテンツ再生プログラム、記録媒体及び集積回路 WO2009119029A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP09725014A EP2259206A1 (en) 2008-03-28 2009-03-12 Content reproduction device, content reproduction device control method, content reproduction program, recording medium, and integrated circuit
JP2010505305A JP5491384B2 (ja) 2008-03-28 2009-03-12 コンテンツ再生装置、コンテンツ再生装置の制御方法、コンテンツ再生プログラム、記録媒体及び集積回路
US12/919,967 US8448259B2 (en) 2008-03-28 2009-03-12 Content reproduction device, content reproduction device control method, content reproduction program, recording medium, and integrated circuit

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2008087299 2008-03-28
JP2008-087299 2008-03-28

Publications (1)

Publication Number Publication Date
WO2009119029A1 true WO2009119029A1 (ja) 2009-10-01

Family

ID=41113243

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2009/001120 WO2009119029A1 (ja) 2008-03-28 2009-03-12 コンテンツ再生装置、コンテンツ再生装置の制御方法、コンテンツ再生プログラム、記録媒体及び集積回路

Country Status (4)

Country Link
US (1) US8448259B2 (ja)
EP (1) EP2259206A1 (ja)
JP (1) JP5491384B2 (ja)
WO (1) WO2009119029A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8681866B1 (en) 2011-04-28 2014-03-25 Google Inc. Method and apparatus for encoding video by downsampling frame resolution
US9106787B1 (en) 2011-05-09 2015-08-11 Google Inc. Apparatus and method for media transmission bandwidth control using bandwidth estimation
US9185429B1 (en) 2012-04-30 2015-11-10 Google Inc. Video encoding and decoding using un-equal error protection
US9311692B1 (en) 2013-01-25 2016-04-12 Google Inc. Scalable buffer remote access
US9225979B1 (en) 2013-01-30 2015-12-29 Google Inc. Remote access encoding

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005160032A (ja) * 2003-11-07 2005-06-16 Matsushita Electric Ind Co Ltd コンテンツ再生制御システム、サーバ装置、端末装置およびコンテンツ再生制御方法
WO2006019158A1 (ja) * 2004-08-20 2006-02-23 Matsushita Electric Industrial Co., Ltd. コンテンツ再生装置及びコンテンツ再生方法
WO2007007764A1 (ja) * 2005-07-14 2007-01-18 Matsushita Electric Industrial Co., Ltd. ライセンス管理装置及び方法
WO2007136006A1 (ja) * 2006-05-18 2007-11-29 Panasonic Corporation 電子機器、コンテンツ再生制御方法、プログラム、記憶媒体、集積回路

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6705516B1 (en) * 1998-04-30 2004-03-16 Michitaka Kubota Product management apparatus and product with historical information recording device
JP2003022339A (ja) * 2001-07-09 2003-01-24 Matsushita Electric Ind Co Ltd コンテンツ管理方法、コンテンツ管理装置、コンテンツ再生装置及びコンテンツ記録装置
WO2003056560A1 (en) * 2001-12-25 2003-07-10 Matsushita Electric Industrial Co., Ltd. Apparatus, method, and computer-readable program for playing back content
US20060287956A1 (en) * 2003-11-07 2006-12-21 Akio Higashi System and method for time based digital content access
JP2005141683A (ja) * 2003-11-10 2005-06-02 Sony Corp コンテンツ利用管理システム,コンテンツ再生装置,コンテンツ利用管理方法,コンテンツ再生方法およびコンピュータプログラム
JPWO2006129614A1 (ja) * 2005-05-31 2009-01-08 松下電器産業株式会社 データ処理装置
JP2007018177A (ja) 2005-07-06 2007-01-25 Seiko Epson Corp 処理状態監視方法、処理状態監視プログラム、記録媒体および画像表示装置
TWI317936B (en) * 2006-03-13 2009-12-01 Sunplus Technology Co Ltd Method of multimedia source playback for optical storage medium

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005160032A (ja) * 2003-11-07 2005-06-16 Matsushita Electric Ind Co Ltd コンテンツ再生制御システム、サーバ装置、端末装置およびコンテンツ再生制御方法
WO2006019158A1 (ja) * 2004-08-20 2006-02-23 Matsushita Electric Industrial Co., Ltd. コンテンツ再生装置及びコンテンツ再生方法
WO2007007764A1 (ja) * 2005-07-14 2007-01-18 Matsushita Electric Industrial Co., Ltd. ライセンス管理装置及び方法
WO2007136006A1 (ja) * 2006-05-18 2007-11-29 Panasonic Corporation 電子機器、コンテンツ再生制御方法、プログラム、記憶媒体、集積回路

Also Published As

Publication number Publication date
JP5491384B2 (ja) 2014-05-14
EP2259206A1 (en) 2010-12-08
JPWO2009119029A1 (ja) 2011-07-21
US8448259B2 (en) 2013-05-21
US20110126284A1 (en) 2011-05-26

Similar Documents

Publication Publication Date Title
US8077865B2 (en) Electronic device, content reproduction control method, program, storage medium, and integrated circuit
US8166555B2 (en) Content reproducing device and content preproducing method
KR101082267B1 (ko) 디지털 매체의 복사 관리를 위해 rfid를 사용하는 시스템
JP4889638B2 (ja) 検証方法、検証プログラム、記録媒体、情報処理装置、集積回路
US20170277870A1 (en) Modular software protection
US20130007471A1 (en) Systems and methods for securing cryptographic data using timestamps
JP5491384B2 (ja) コンテンツ再生装置、コンテンツ再生装置の制御方法、コンテンツ再生プログラム、記録媒体及び集積回路
JP2009230741A (ja) 統合型ストレージシステムのアーカイブデータの完全性を検証するための方法と装置
US20130004142A1 (en) Systems and methods for device authentication including timestamp validation
US20080304364A1 (en) Memory device with circuitry for improving accuracy of a time estimate
JP5452988B2 (ja) メモリ制御装置、コンテンツ再生装置、制御方法及び記録媒体
JP2010113607A (ja) 記録媒体装置、コンテンツ利用システム及び記録媒体装置の制御方法
US20100071072A1 (en) System and method for controlling access to license protected assets using using rfid technology
US9117480B1 (en) Device for estimating playback time and handling a cumulative playback time permission
EP2400493B1 (en) Information processing device, information processing method, and program
JP2010165206A (ja) メモリコントローラおよび不揮発性記憶装置
KR100923456B1 (ko) 휴대용 단말기에서 디지털 저작권 관리 컨텐츠 관리 방법 및 장치
CA2662203C (en) Methods, system and mediums for use in protecting content
JP4731399B2 (ja) 光ディスク装置及びデータ処理方法
KR20090122726A (ko) 콘텐츠 기록 방법 및 장치
JP2009301666A (ja) 光ディスク再生装置、車載光ディスク再生装置、および、車載光ディスク再生システム、ならびに、光ディスク再生方法
JP2011141733A (ja) 利用権管理装置、利用装置、利用権管理システム、利用権管理方法、利用権管理プログラム、記録媒体及び集積回路
WO2008154307A2 (en) Memory device with circuitry for improving accuracy of a time estimate and method for use therewith
US20120180139A1 (en) Information processor
JP2009037532A (ja) コンテンツ管理装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09725014

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2010505305

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 2009725014

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 12919967

Country of ref document: US