WO2012120818A1

WO2012120818A1 - コンテンツ配信システム、コンテンツ配信サブシステム及び再生装置

Info

Publication number: WO2012120818A1
Application number: PCT/JP2012/001306
Authority: WO
Inventors: 布田　裕一; 山本　雅哉; 村瀬　薫
Original assignee: パナソニック株式会社
Priority date: 2011-03-10
Filing date: 2012-02-24
Publication date: 2012-09-13
Also published as: TW201303814A

Abstract

　第一サーバ装置１０１の第一暗号化部２２１は、一部の平文ブロックを第一暗号化して第一暗号化ブロックを生成し、平文ブロックと第一暗号化ブロックから構成される中間暗号化コンテンツを生成し、第一要約部２２２は、中間暗号化コンテンツ内の各ブロックから第一要約値を生成する。第二サーバ装置１０２の第二暗号化手段は、中間暗号化コンテンツ内の平文ブロックを第二暗号化して第二暗号化ブロックを生成し、第一暗号化ブロックと第二暗号化ブロックから構成される暗号化コンテンツを生成する。再生装置１０４の選択部５２１は、第二暗号化ブロックを選択し、復号部５２２は、第二暗号化ブロックに、第二暗号化に対応する復号を施して、平文ブロックを生成し、第二要約部５２３は、平文ブロックから第二要約値を生成し、検証部５２４は、複数の第一要約値及び第二要約値を用いて、暗号化コンテンツを検証する。

Description

コンテンツ配信システム、コンテンツ配信サブシステム及び再生装置

　本発明は、コンテンツの不正な差し替えを検出する技術に関する。

　近年、家庭用電化製品、携帯電話機などの間でネットワークを介した通信を行う機会が増している。このような装置間では、著作物の保護や、通信内容の漏洩を防ぐため、機器認証及び鍵共有を行った後に、共有した鍵を用いて暗号通信を行う。認証鍵共有方式の一つとして、DTCP（Digital Transmission Content Protection）と呼ばれる規格が規定されている（特許文献２、非特許文献２）。

　このような家庭用電化製品、携帯電話機などの間での通信の結果、映画や音楽などのデジタルコンテンツが、フラッシュメモリを搭載したメモリカードに記録され、再生装置により、メモリカードに記録されたデジタルコンテンツが再生される。

　デジタルコンテンツは、通常、不正な複製を防止するために、暗号化アルゴリズムを用いて、暗号化された状態でメモリカードに記録されている。ここで、暗号化アルゴリズムの一例は、１２８ビットの鍵が利用できるＡＥＳ（Advanced Encryption Standard）である。

　デジタルコンテンツを復号するための鍵は、デジタルコンテンツを再生するための情報処理装置に対して付与される。一般的には、これをデバイス鍵と呼ぶ。最もシンプルな構成では、デジタルコンテンツをデバイス鍵を用いて暗号化しておけばよいが、これでは暗号化されたデジタルコンテンツを復号できるのは、当該デバイス鍵を保持する特定の情報処理装置だけに限られてしまう。そこで、デジタルコンテンツをタイトル鍵（コンテンツ鍵とも呼ばれる）を用いて、暗号化しておき、このタイトル鍵を更にデバイス鍵を用いて、暗号化した上で、暗号化コンテンツとともに暗号化タイトル鍵をメモリカードに記録する。

　しかしながら、この構成では、例えば１００万台の情報処理装置で再生させようとすると、合計１００万個の暗号化されたタイトル鍵が必要となってしまい、現実的ではない。そこで、例えば、ＳＤメモリカードの場合には、ＣＰＲＭ（Content Protection for Recordable Media）という方式が採用され、Ｂｌｕ－ｒａｙ　Ｄｉｓｃの場合には、ＡＡＣＳ（Advanced Access Content System）という方式が採用されている。これらの方式では、デバイス鍵群をマトリックス状又はツリー状に配置することで、記録しておくべき暗号化タイトル鍵の個数を大幅に削減している。このような仕組みをＭＫＢ（Ｍｅｄｉａ　Ｋｅｙ　Ｂｌｏｃｋ）と呼ぶ。

　もしも、情報処理装置が攻撃されて、タイトル鍵が不正に暴露された場合には、暴露されたタイトル鍵を用いると、暗号化されたコンテンツ（正規の暗号化コンテンツ）が不正に復号できてしまう。この結果、不正に平文化されたコンテンツが漏洩することとなる。

日本国特開平６－１０３６９４号公報日本国特表２００７－５２９１６２号公報

DONALD E.KNUTH、「THEART OF COMPUTER PROGRAMMING Vol.2 SEMINUMERICAL ALGORITHMS」、Addison Wesley Longman 「Digital Transmission Content ProtectionSpecification Volume 1 (Informational Version)」、Revision1.6 、2010年 3月19日

　しかし、タイトル鍵が不正に暴露された場合に、暴露されたタイトル鍵を用いると、正規の暗号化コンテンツが不正に復号できてしまうだけではなく、暴露されたタイトル鍵を用いて、不正な平文のコンテンツを暗号化して、不正な暗号化コンテンツを生成し、正規の暗号化コンテンツを、不正な暗号化コンテンツに差し替えるという差し替え攻撃を受ける可能性がある。

　このような攻撃を受けた場合には、正規の再生装置において、不正な暗号化コンテンツの復号及び再生が可能となり、正規の再生装置が不正なコンテンツの流通の温床となるという問題がある。

　本発明は、このような問題点を解決するために、コンテンツの不正な差し替えを検出することができるコンテンツ配信システム、コンテンツ配信サブシステム、再生装置、制御方法、制御プログラム、記録媒体及び集積回路を提供することを目的とする。

　上記目的を達成するために、本発明は、第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムであって、前記第一サーバ装置は、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化手段と、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約手段とを備え、前記第二サーバ装置は、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化手段を備え、前記再生装置は、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択手段と、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号手段と、生成した前記平文ブロックを要約して第二要約値を生成する第二要約手段と、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証手段と、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生手段とを備えることを特徴とする。

　この構成によると、前記暗号化コンテンツのうち、選択された前記第二暗号化ブロックが、不正な平文ブロックを暗号化して生成した不正な暗号化ブロックに差し替えられるという攻撃を受けた場合に、生成された前記第二要約値と、不正な暗号化ブロックに差し替えられる前の第二暗号化ブロックに対応して生成された第一要約値とを比較することにより、コンテンツの差し替えを検出することができるという優れた効果を奏する。

本発明に係る実施の形態１としてのコンテンツ配信システム１０の全体構成図である。本発明に係る実施の形態２としてのコンテンツ配信システム１０ａの全体構成図である。コンテンツ署名生成サーバ装置１０１ａの構成を示すブロック図である。コンテンツ保持手段２０１が保持する原コンテンツ７０１のデータ構造の一例を示す。ユニット生成手段２０４による分割コンテンツ７２１の生成の概要を示す概念図である。ユニット生成手段２０４により生成されるユニット選出情報７８０のデータ構造の一例を示す。暗号化手段２０６による暗号化の処理の一部を示す。暗号化分割ファイル８００の生成の概要を示す概念図である。暗号化手段２０６により生成される暗号化コンテンツ８２０のデータ構造の一例を示す。ヘッダ情報生成手段２０７によるヘッダ情報８６０の生成の概要を示す概念図である。ヘッダ情報生成手段２０７による第一ハッシュテーブル８６１の生成の概要を示す概念図である。ヘッダ情報生成手段２０７により生成される第二ハッシュテーブル８６５のデータ構造の一例を示す。署名生成手段２０９による署名情報８９０の生成の概要を示す概念図である。配信サーバ装置１０２ａの構成を示すブロック図である。暗号化手段３０６によるタイトル鍵フラグ情報を用いた暗号化ユニットの選択の概要を示す概念図である。暗号化手段３０６による配信用暗号化ファイル９０１の生成の概要を示す概念図である。暗号化手段３０６により生成される配信用暗号化コンテンツ９００のデータ構造の一例を示す。配信サーバ装置１０２ａの公開鍵証明書９２１の概略のデータ構造の一例を示す。記録用情報処理装置１０３ａの構成を示すブロック図である。再生用情報処理装置１０４ａの構成を示すブロック図である。入替結合体生成手段５０６による入替第二ハッシュテーブル９３１の生成の概要を示す概念図である。入替結合体生成手段５０６によるユニット選出情報７８０からのファイル情報の選択の概要を示す概念図である。入替結合体生成手段５０６による入替第一ハッシュテーブル９４１の生成の概要を示す概念図である。入替結合体生成手段５０６による入替第二ハッシュテーブル９３１の生成の概要を示す概念図である。署名検証手段５０７による署名情報８９０の検証の概要を示す概念図である。情報記録媒体装置１０５ａの構成を示すブロック図である。情報記録媒体装置１０５ａの公開鍵証明書９５１の概略のデータ構造の一例を示す。コンテンツ配信システム１０ａにおけるコンテンツ署名生成の動作を示すシーケンス図である。コンテンツ配信システム１０ａにおけるコンテンツ配信の動作を示すシーケンス図である。コンテンツ配信システム１０ａにおけるコンテンツの再生の動作を示すシーケンス図である。本発明に係る実施の形態３としてのコンテンツ配信システム１０ｂの全体構成図である。配信サーバ装置１０２ｂの構成を示すブロック図である。タイトル鍵配信証明書１０００の概略のデータ構造の一例を示す。再生用情報処理装置１０４ｂの構成を示すブロック図である。情報記録媒体装置１０５ｂの構成を示すブロック図である。コンテンツ配信システム１０ｂにおけるコンテンツ配信の動作を示すシーケンス図である。コンテンツ配信システム１０ｂにおけるコンテンツ再生の動作を示すシーケンス図である。本発明に係る実施の形態３としてのコンテンツ配信システム１０ｃの全体構成図である。コンテンツ署名生成サーバ装置１０１ｃの構成を示すブロック図である。ＷＭ付分割コンテンツ１１００のデータ構造の一例を示す。電子透かし埋込手段２１０によるＷＭ付分割ファイル１１３１の生成の概要を示す。暗号化手段２０６ｃによる暗号化ＷＭ付分割ファイル１１６１の生成の概要を示す。暗号化手段２０６ｃにより生成される暗号化ＷＭ付コンテンツ１２０１のデータ構造の一例を示す。ヘッダ情報生成手段２０７ｃによるＷＭ付ヘッダ情報１２５１の生成の概要を示す。ヘッダ情報生成手段２０７ｃによるＷＭ付第一ハッシュテーブル１２７１の生成手順を示す。ヘッダ情報生成手段２０７ｃにより生成されるＷＭ付第二ハッシュテーブル１２６１のデータ構造の一例を示す。署名生成手段２０９ｃによる署名情報１３００の生成処理を示す。配信サーバ装置１０２ｃの構成を示すブロック図である。暗号化手段３０６ｃによるタイトル鍵フラグ情報の選択の処理を示す。暗号化手段３０６ｃによる配信用暗号化ＷＭ付ファイル１３７１の生成処理を示す。暗号化手段３０６ｃにより生成される配信用暗号化ＷＭ付コンテンツ１３６１のデータ構造の一例を示す。再生用情報処理装置１０４ｃの構成を示すブロック図である。入替結合体生成手段５０６ｃによる入替ＷＭ付第二ハッシュテーブル１３９１の生成処理の概要を示す。タイトル鍵フラグ情報が「０」の場合における、入替結合体生成手段５０６ｃによる入替ＷＭ付第一ハッシュテーブル１３８１の生成手順を示す。タイトル鍵フラグ情報が「１」の場合における、入替結合体生成手段５０６ｃによる入替ＷＭ付第一ハッシュテーブル１３８１の生成手順を示す。入替結合体生成手段５０６ｃによる入替ＷＭ付第二ハッシュテーブル１３９１の生成手順を示す。署名検証手段５０７ｃによる署名情報１３００の検証処理を示す。コンテンツ配信システム１０ｃのコンテンツ署名生成の動作を示すシーケンス図である。コンテンツ配信システム１０ｃのコンテンツ配信の動作を示すシーケンス図である。コンテンツ配信システム１０ｃのコンテンツ再生の動作を示すシーケンス図である。変形例（９）において、電子透かし埋込手段２１０によるＷＭ付分割ファイル１４０１の生成の概要を示す。変形例（９）において、暗号化手段２０６ｃによる暗号化ＷＭ付分割ファイル１４３１の生成の概要を示す。変形例（９）において、ヘッダ情報生成手段２０７ｃによるＷＭ付第一ハッシュテーブル１４５１の生成の概要を示す。変形例（９）において、暗号化手段３０６ｃによる配信用暗号化ＷＭ付ファイル１５０１の生成の概要を示す。変形例（９）において、入替結合体生成手段５０６ｃによる入替ＷＭ付第一ハッシュテーブル１５２１の生成の概要を示す。この図では、タイトル鍵フラグ情報が「０」である。

　本発明の一態様は、第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムであって、前記第一サーバ装置は、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化手段と、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約手段とを備え、前記第二サーバ装置は、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化手段を備え、前記再生装置は、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択手段と、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号手段と、生成した前記平文ブロックを要約して第二要約値を生成する第二要約手段と、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証手段と、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生手段とを備えることを特徴とする。

　ここで、前記第一サーバ装置は、さらに、少なくとも生成された複数の前記第一要約値を結合して得られる結合体に対して署名を施して署名データを生成する署名手段を含み、前記再生装置は、さらに、前記結合体のうち、前記第二要約値に対応する前記第一要約値を、当該第二要約値に入れ替えて、入替結合体を生成する入替結合体生成手段を含み、前記検証手段は、前記入替結合体を用いて、前記署名データを検証するとしてもよい。

　ここで、前記第二サーバ装置は、一の記録媒体装置を介して、前記暗号化コンテンツを前記再生装置へ出力し、前記第一サーバ装置の前記第一暗号化手段は、複数の記録媒体装置に共通の共通タイトル鍵を用いて、前記平文ブロックに対して、前記第一暗号化を施し、前記第二サーバ装置の前記第二暗号化手段は、前記一の記録媒体装置に固有の個別タイトル鍵を用いて、前記第一暗号化されていない前記平文ブロックに対して、前記第二暗号化を施し、前記再生装置の前記復号手段は、前記個別タイトル鍵を用いて、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施すとしてもよい。

　本発明の別の態様は、第一サーバ装置及び第二サーバ装置から構成されるコンテンツ配信サブシステムであって、前記第一サーバ装置は、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化手段と、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約手段とを備え、前記第二サーバ装置は、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化手段を備えることを特徴とする。

　ここで、前記第一サーバ装置は、さらに、少なくとも生成された複数の前記第一要約値を結合して得られる結合体に対して署名を施して署名データを生成する署名手段を含むとしてもよい。

　ここで、前記第二サーバ装置は、一の記録媒体装置を介して、前記暗号化コンテンツを再生装置へ出力し、前記第一サーバ装置の前記第一暗号化手段は、複数の記録媒体装置に共通の共通タイトル鍵を用いて、前記平文ブロックに対して、前記第一暗号化を施し、前記第二サーバ装置の前記第二暗号化手段は、前記一の記録媒体装置に固有の個別タイトル鍵を用いて、前記第一暗号化されていない前記平文ブロックに対して、前記第二暗号化を施すとしてもよい。

　ここで、前記第一サーバ装置は、さらに、複数の記録媒体装置に共通の前記共通タイトル鍵を生成する共通タイトル鍵生成手段を含み、前記第一暗号化手段は、生成された前記共通タイトル鍵を用いるとしてもよい。

　ここで、前記第二サーバ装置は、さらに、前記一の記録媒体装置に固有の前記個別タイトル鍵を生成する個別タイトル鍵生成手段を含み、前記第二暗号化手段は、生成された前記個別タイトル鍵を用いるとしてもよい。

　ここで、前記第二サーバ装置は、さらに、前記一の記録媒体装置を識別する媒体識別子を取得する媒体識別子取得手段を含み、前記個別タイトル鍵生成手段は、取得した前記媒体識別子を含む前記個別タイトル鍵を生成するとしてもよい。

　ここで、前記個別タイトル鍵生成手段は、乱数を生成し、前記媒体識別子と前記乱数とを結合して結合体を生成し、生成した結合体を暗号化して、前記個別タイトル鍵を生成するとしてもよい。

　ここで、前記第二サーバ装置は、さらに、前記共通タイトル鍵、前記個別タイトル鍵及び前記媒体識別子を結合して得られる結合体に対して署名を施してタイトル鍵配信証明書を生成する証明書生成手段を含むとしてもよい。

　ここで、前記第一サーバ装置は、さらに、前記第一暗号化手段において前記第一暗号化の対象となる各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組を新たに生成する電子透かし埋込手段を含み、前記第一暗号化手段は、さらに、生成された１個又は複数個の埋込ブロックの組に対して、前記第一暗号化を施して、１個又は複数個の第一暗号化埋込ブロックの組を生成し、生成された１個又は複数個の前記第一暗号化埋込ブロックの組をさらに含む前記中間暗号化コンテンツを生成し、前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられており、前記第二暗号化手段は、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組を選択し、前記部分情報の内容を用いて、第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組から、いずれか一つのブロックを選択し、選択したブロックを前記第一暗号化ブロックとして含む前記暗号化コンテンツを生成するとしてもよい。

　ここで、前記電子透かし埋込手段は、各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックを新たに生成し、前記第一暗号化手段は、生成された１個の前記埋込ブロックに対して、前記第一暗号化を施して、１個の第一暗号化埋込ブロックを生成し、生成された１個の前記第一暗号化埋込ブロックをさらに含む前記中間暗号化コンテンツを生成し、前記部分情報は、前記媒体識別子を構成する１ビットのビット情報であり、前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられており、前記第二暗号化手段は、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックを選択し、前記ビット情報の値を用いて、第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックから、いずれか一つのブロックを選択するとしてもよい。

　ここで、前記第一サーバ装置の前記電子透かし埋込手段は、前記第一暗号化手段において前記第一暗号化の対象とならない各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組を新たに生成し、前記第一暗号化手段は、生成された１個又は複数個の前記埋込ブロックの組をさらに含む前記中間暗号化コンテンツを生成し、前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個又は複数個の前記埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられており、前記第二暗号化手段は、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個又は複数個の前記埋込ブロックの組を選択し、前記部分情報の内容を用いて、前記平文ブロック及び１個又は複数個の前記埋込ブロックの組から、いずれか一つのブロックを選択し、選択したブロックに前記第二暗号化を施して、前記第二暗号化ブロックを生成し、生成した前記第二暗号化ブロックを含む前記暗号化コンテンツを生成するとしてもよい。

　ここで、前記電子透かし埋込手段は、前記第一暗号化の対象とならない各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックを新たに生成し、前記第一暗号化手段は、生成された１個の前記埋込ブロックをさらに含む前記中間暗号化コンテンツを生成し、前記部分情報は、前記媒体識別子を構成する１ビットのビット情報であり、前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個の前記埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられており、前記第二暗号化手段は、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個の前記埋込ブロックを選択し、前記ビット情報の値を用いて、前記平文ブロック及び１個の前記埋込ブロックから、いずれか一つのブロックを選択するとしてもよい。

　本発明の別の態様は、再生装置であって、第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、前記再生装置は、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択手段と、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号手段と、生成した前記平文ブロックを要約して第二要約値を生成する第二要約手段と、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証手段と、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生手段とを備えることを特徴とする。

　ここで、前記第一サーバ装置により、さらに、少なくとも生成された複数の前記第一要約値を結合して得られる結合体に対して署名を施して署名データが生成され、前記再生装置は、さらに、前記結合体のうち、前記第二要約値に対応する前記第一要約値を、当該第二要約値に入れ替えて、入替結合体を生成する入替結合体生成手段を含み、前記検証手段は、前記入替結合体を用いて、前記署名データを検証するとしてもよい。

　ここで、前記再生装置は、前記第二サーバ装置から、一の記録媒体装置を介して、前記暗号化コンテンツを受け取り、前記第一サーバ装置により、複数の記録媒体装置に共通の共通タイトル鍵を用いて、前記平文ブロックに対して、前記第一暗号化が施され、前記第二サーバ装置により、前記一の記録媒体装置に固有の個別タイトル鍵を用いて、前記第一暗号化されていない前記平文ブロックに対して、前記第二暗号化が施され、前記復号手段は、前記個別タイトル鍵を用いて、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施すとしてもよい。

　ここで、前記第二サーバ装置により、前記共通タイトル鍵、前記個別タイトル鍵及び前記一の記録媒体装置を識別する媒体識別子を結合して得られる結合体に対して署名を施してタイトル鍵配信証明書が生成され、前記共通タイトル鍵、前記個別タイトル鍵及び前記タイトル鍵配信証明書が、前記記録媒体装置に書き込まれ、前記再生装置は、さらに、前記記録媒体装置から、前記媒体識別子、前記共通タイトル鍵、前記個別タイトル鍵及び前記タイトル鍵配信証明書を取得する取得手段と、前記共通タイトル鍵、前記個別タイトル鍵及び前記媒体識別子を結合して結合体を生成し、生成した結合体を用いて、取得した前記タイトル鍵配信証明書を検証するタイトル鍵配信証明書検証手段を含むとしてもよい。

　ここで、前記第一サーバ装置により、さらに、前記第一暗号化の対象となる各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組が新たに生成され、さらに、生成された１個又は複数個の埋込ブロックの組に対して、前記第一暗号化を施して、１個又は複数個の第一暗号化埋込ブロックの組が生成され、生成された１個又は複数個の前記第一暗号化埋込ブロックの組をさらに含む前記中間暗号化コンテンツが生成され、前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられており、前記第一サーバ装置により、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組が選択され、前記部分情報の内容を用いて、第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組から、いずれか一つのブロックが選択され、選択したブロックを前記第一暗号化ブロックとして含む前記暗号化コンテンツが生成され、前記再生装置は、さらに、前記暗号化コンテンツ内において、特定位置の前記第一暗号化ブロックを選択する選択手段を含み、前記復号手段は、さらに、選択された前記第一暗号化ブロックを復号して、平文ブロックを生成し、前記再生装置は、さらに、生成された前記平文ブロックに１種類又は複数種類の前記電子透かしのいずれかが埋め込まれているか否かを判断し、判断結果を出力する電子透かし判断手段と、前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記部分情報として、生成する媒体識別子生成手段とを含むとしてもよい。

　ここで、前記第一サーバ装置により、さらに、前記第一暗号化の対象となる各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックが新たに生成され、さらに、生成された１個の埋込ブロックに対して、前記第一暗号化を施して、１個の第一暗号化埋込ブロックが生成され、生成された１個の前記第一暗号化埋込ブロックをさらに含む前記中間暗号化コンテンツが生成され、前記部分情報は、前記媒体識別子を構成する１ビットのビット情報であり、前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられており、前記第一サーバ装置により、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックが選択され、前記ビット情報の値を用いて、第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックから、いずれか一つのブロックが選択され、選択したブロックを前記第一暗号化ブロックとして含む前記暗号化コンテンツが生成され、前記電子透かし判断手段は、生成された前記平文ブロックに１種類の前記電子透かしが埋め込まれているか否かを判断し、前記媒体識別子生成手段は、前記特定位置に対応する前記媒体識別子内のビット位置において、前記判断結果に基づく値を、当該媒体識別子を構成する前記ビット情報として、生成するとしてもよい。

　ここで、前記第一サーバ装置により、前記第一暗号化の対象とならない各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組が新たに生成され、生成された１個又は複数個の前記埋込ブロックの組をさらに含む前記中間暗号化コンテンツが生成され、前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個又は複数個の前記埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられており、前記第二サーバ装置により、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個又は複数個の前記埋込ブロックの組が選択され、前記部分情報の内容を用いて、前記平文ブロック及び１個又は複数個の前記埋込ブロックの組から、いずれか一つのブロックが選択され、選択したブロックに前記第二暗号化を施して、前記第二暗号化ブロックが生成され、生成した前記第二暗号化ブロックを含む前記暗号化コンテンツが生成され、前記選択手段は、さらに、前記暗号化コンテンツ内において、特定位置の前記第二暗号化ブロックを選択し、前記復号手段は、さらに、選択された前記第二暗号化ブロックを復号して、平文ブロックを生成し、前記電子透かし判断手段は、さらに、前記第二暗号化ブロックを復号して生成された前記平文ブロックに１種類又は複数種類の前記電子透かしのいずれかが埋め込まれているか否かを判断し、判断結果を出力し、前記媒体識別子生成手段は、さらに、前記第二暗号化ブロックの前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記部分情報として、生成するとしてもよい。

　ここで、前記第一サーバ装置により、前記第一暗号化の対象とならない各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックが新たに生成され、生成された１個の前記埋込ブロックをさらに含む前記中間暗号化コンテンツが生成され、前記部分情報は、前記媒体識別子を構成する１ビットのビット情報であり、前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個の前記埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられており、前記第二サーバ装置により、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個前記埋込ブロックが選択され、前記ビット情報の値を用いて、前記平文ブロック及び１個の前記埋込ブロックから、いずれか一つのブロックが選択され、選択したブロックに前記第二暗号化を施して、前記第二暗号化ブロックが生成され、生成した前記第二暗号化ブロックを含む前記暗号化コンテンツが生成され、前記選択手段は、前記暗号化コンテンツ内において、特定位置の前記第二暗号化ブロックを選択し、前記復号手段は、選択された前記第二暗号化ブロックを復号して、平文ブロックを生成し、前記電子透かし判断手段は、前記第二暗号化ブロックを復号して生成された前記平文ブロックに１種類の前記電子透かしが埋め込まれているか否かを判断し、判断結果を出力し、前記媒体識別子生成手段は、前記第二暗号化ブロックの前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記ビット情報として、生成するとしてもよい。

　また、本発明の別の態様は、第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムにおいて用いられる制御方法であって、前記第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化ステップと、前記第一サーバ装置により、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約ステップと、前記第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化ステップと、前記再生装置により、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、前記再生装置により、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、前記再生装置により、生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、前記再生装置により、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、前記再生装置により、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとを含むことを特徴とする。

　また、本発明の別の態様は、第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムにおいて用いられる制御プログラムであって、コンピュータである前記第一サーバ装置に、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化ステップと、前記第一サーバ装置により、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約ステップとを実行させ、コンピュータである前記第二サーバ装置に、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化ステップを実行させ、コンピュータである前記再生装置に、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとを実行させるための制御プログラムである。

　また、本発明の別の態様は、第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムにおいて用いられる制御プログラムを記録しているコンピュータ読取可能な記録媒体であって、コンピュータである前記第一サーバ装置に、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化ステップと、前記第一サーバ装置により、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約ステップとを実行させ、コンピュータである前記第二サーバ装置に、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化ステップを実行させ、コンピュータである前記再生装置に、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとを実行させるための制御プログラムを記録している記録媒体である。

　また、本発明の別の態様は、第一サーバ装置を構成する集積回路であって、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化手段と、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約手段とを備えることを特徴とする。

　また、本発明の別の態様は、第二サーバ装置を構成する集積回路であって、第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれが要約されて複数の第一要約値が生成され、前記集積回路は、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化手段を備えることを特徴とする。

　また、本発明の別の態様は、再生装置で用いられる再生方法であって、第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、前記再生方法は、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとをを含むことを特徴とする。

　また、本発明の別の態様は、再生装置で用いられる再生プログラムであって、第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、前記再生プログラムは、コンピュータである前記再生装置に、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとを実行させるための再生プログラムである。

　また、本発明の別の態様は、再生装置で用いられる再生プログラムを記録しているコンピュータ読取可能な記録媒体であって、第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、前記再生プログラムは、コンピュータである前記再生装置に、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとを実行させるための再生プログラムを記録している記録媒体である。

　また、本発明の別の態様は、再生装置を構成する集積回路であって、第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、前記集積回路は、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択手段と、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号手段と、生成した前記平文ブロックを要約して第二要約値を生成する第二要約手段と、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証手段と、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生手段とを備えることを特徴とする。

　１．実施の形態１
　ここでは、本発明に係る実施の形態１としてのコンテンツ配信システム１０について、図面を参照しながら説明する。

　（１）コンテンツ配信システム１０は、図１に示すように、第一サーバ装置１０１、第二サーバ装置１０２及び再生装置１０４から構成されている。

　第一サーバ装置１０１は、第一暗号化部２２１と第一要約部２２２とを備えている。

　第一暗号化部２２１は、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する。

　第一要約部２２２は、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する。

　第二サーバ装置１０２は、第二暗号化部３２１を備える。

　第二暗号化部３２１は、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する。

　再生装置１０４は、選択部５２１と復号部５２２と第二要約部５２３と検証部５２４と再生部５２５とを備える。

　選択部５２１は、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する。

　復号部５２２は、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する。

　第二要約部５２３は、生成した前記平文ブロックを要約して第二要約値を生成する。

　検証部５２４は、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う。

　再生部５２５は、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する。

　上記の構成によると、前記暗号化コンテンツのうち、選択された前記第二暗号化ブロックが、不正な平文ブロックを暗号化して生成した不正な暗号化ブロックに差し替えられるという攻撃を受けていた場合に、生成された前記第二要約値と、不正な暗号化ブロックに差し替えられる前の第二暗号化ブロックに対応して生成された前記第一要約値と比較すると、前記第二要約値と前記第一要約値とは、一致しないので、差し替えを検出することができる。

　なお、再生部５２５は、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止する代わりに、前記暗号化コンテンツが不正であると判断してもよい。

　また、前記暗号化コンテンツのうち、一の前記第一暗号化ブロックが、不正な平文ブロックを暗号化して生成した不正な暗号化ブロックに差し替えられるという攻撃を受けていた場合に、不正な暗号化ブロックを復号して平文ブロックを得、得られた平文ブロックから要約値を生成し、生成した要約値と、前記第一暗号化ブロックから生成した前記第一要約値とを比較すると、一致しないので、差し替えを検出することができる。

　また、前記暗号化コンテンツのうち、選択されなかった前記第二暗号化ブロックが、不正な平文ブロックを暗号化して生成した不正な暗号化ブロックに差し替えられるという攻撃を受けていた場合に、不正な暗号化ブロックを復号して平文ブロックを得、得られた平文ブロックからから要約値を生成し、生成した要約値と、不正な暗号化ブロックに差し替えられる前の第二暗号化ブロックに対応して生成された第一要約値とを比較すると、一致しないので、差し替えを検出することができる。

　（２）第一サーバ装置１０１は、さらに、少なくとも生成された複数の前記第一要約値を結合して得られる結合体に対して署名を施して署名データを生成する署名部２２３を含むとしてもよい。

　このとき、再生装置１０４は、さらに、前記結合体のうち、前記第二要約値に対応する前記第一要約値を、当該第二要約値に入れ替えて、入替結合体を生成する入替結合体生成部５２６を含む。検証部５２４は、前記入替結合体を用いて、前記署名データを検証する。

　上記の構成によると、署名データを検証することにより、コンテンツの差し替えを検出することができる。

　（３）第二サーバ装置１０２は、一の記録媒体装置１０５を介して、前記暗号化コンテンツを再生装置１０４へ出力するとしてもよい。

　第一サーバ装置１０１の第一暗号化部２２１は、複数の記録媒体装置に共通の共通タイトル鍵を用いて、前記平文ブロックに対して、前記第一暗号化を施す。

　第二サーバ装置１０２の第二暗号化部３２１は、前記一の記録媒体装置１０５に固有の個別タイトル鍵を用いて、前記第一暗号化されていない前記平文ブロックに対して、前記第二暗号化を施す。

　再生装置１０４の復号部５２２は、前記個別タイトル鍵を用いて、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施す。

　上記の構成によると、一つの暗号化コンテンツ内において、個別タイトル鍵を使用して暗号化されたブロックと、共通タイトル鍵を使用して暗号化されたブロックとが混在しているので、攻撃者は、個別タイトル鍵及び共通タイトル鍵の両方を取得しなければ、暗号化コンテンツを復号することができず、コンテンツの不正な復号をより困難にすることができる。

　（４）本発明の一態様は、第一サーバ装置１０１及び第二サーバ装置１０２から構成されるコンテンツ配信サブシステムであるとしてもよい。

　第一サーバ装置１０１は、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化部２２１と、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約部２２２とを備えるとしてもよい。

　第二サーバ装置１０２は、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化部３２１を備えるとしてもよい。

　この構成によると、差し替え攻撃の検出が可能な暗号化コンテンツを生成することができる。

　（５）第一サーバ装置１０１は、さらに、少なくとも生成された複数の前記第一要約値を結合して得られる結合体に対して署名を施して署名データを生成する署名部２２３を含むとしてもよい。

　（６）第二サーバ装置１０２は、一の記録媒体装置１０５を介して、前記暗号化コンテンツを再生装置１０４へ出力するとしてもよい。

　第二サーバ装置１０２の前記第二暗号化部３２１は、前記一の記録媒体装置１０５に固有の個別タイトル鍵を用いて、前記第一暗号化されていない前記平文ブロックに対して、前記第二暗号化を施す。

　（７）第一サーバ装置１０１は、さらに、複数の記録媒体装置に共通の前記共通タイトル鍵を生成する共通タイトル鍵生成部２２４を含むとしてもよい。

　第一暗号化部２２１は、生成された前記共通タイトル鍵を用いる。

　（８）第二サーバ装置１０２は、さらに、記録媒体装置１０５に固有の前記個別タイトル鍵を生成する個別タイトル鍵生成部３２２を含むとしてもよい。

　第二暗号化部３２１は、生成された前記個別タイトル鍵を用いる
　（９）第二サーバ装置１０２は、さらに、前記一の記録媒体装置１０５を識別する媒体識別子を取得する媒体識別子取得部３２３を含むとしてもよい。

　個別タイトル鍵生成部３２２は、取得した前記媒体識別子を含む前記個別タイトル鍵を生成する。

　この構成によると、記録媒体装置１０５を識別する媒体識別子を用いるので、記録媒体装置１０５に固有の個別タイトル鍵を生成することができる。

　（１０）個別タイトル鍵生成部３２２は、乱数を生成し、前記媒体識別子と前記乱数とを結合して結合体を生成し、生成した結合体を暗号化して、前記個別タイトル鍵を生成するとしてもよい。

　この構成によると、個別タイトル鍵の生成において、乱数を用いるので、攻撃者による個別タイトル鍵の不正な解析を困難にすることができる。

　（１１）第二サーバ装置１０２は、さらに、前記共通タイトル鍵、前記個別タイトル鍵及び前記媒体識別子を結合して得られる結合体に対して署名を施してタイトル鍵配信証明書を生成する証明書生成部３２４を含むとしてもよい。

　この構成によると、共通タイトル鍵、個別タイトル鍵及び媒体識別子の組に対する正当性の検証を可能とする証明書を生成することができる。

　（１２）第一サーバ装置１０１は、さらに、第一暗号化部２２１において前記第一暗号化の対象となる各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組を新たに生成する電子透かし埋込部２２５を含むとしてもよい。

　第一暗号化部２２１は、さらに、生成された１個又は複数個の埋込ブロックの組に対して、前記第一暗号化を施して、１個又は複数個の第一暗号化埋込ブロックの組を生成し、生成された１個又は複数個の前記第一暗号化埋込ブロックの組をさらに含む前記中間暗号化コンテンツを生成する。

　前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられている。

　第二暗号化部３２１は、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組を選択し、前記部分情報の内容を用いて、第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組から、いずれか一つのブロックを選択し、選択したブロックを前記第一暗号化ブロックとして含む前記暗号化コンテンツを生成する。

　この構成によると、媒体識別子を構成する部分情報の特定が可能な暗号化コンテンツを生成することができる。

　（１３）前記電子透かし埋込部２２５は、各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックを新たに生成するとしてもよい。

　第一暗号化部２２１は、生成された１個の前記埋込ブロックに対して、前記第一暗号化を施して、１個の第一暗号化埋込ブロックを生成し、生成された１個の前記第一暗号化埋込ブロックをさらに含む前記中間暗号化コンテンツを生成する。

　前記部分情報は、前記媒体識別子を構成する１ビットのビット情報である。

　前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられている。

　第二暗号化部３２１は、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックを選択し、前記ビット情報の値を用いて、第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックから、いずれか一つのブロックを選択する。

　この構成によると、媒体識別子を構成するビット情報の特定が可能な暗号化コンテンツを生成することができる。

　（１４）第一サーバ装置１０１の前記電子透かし埋込部２２５は、第一暗号化部２２１において前記第一暗号化の対象とならない各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組を新たに生成するとしてもよい。

　第一暗号化部２２１は、生成された１個又は複数個の前記埋込ブロックの組をさらに含む前記中間暗号化コンテンツを生成するとしてもよい。

　前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個又は複数個の前記埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられている。

　第二暗号化部３２１は、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個又は複数個の前記埋込ブロックの組を選択し、前記部分情報の内容を用いて、前記平文ブロック及び１個又は複数個の前記埋込ブロックの組から、いずれか一つのブロックを選択し、選択したブロックに前記第二暗号化を施して、前記第二暗号化ブロックを生成し、生成した前記第二暗号化ブロックを含む前記暗号化コンテンツを生成する。

　（１５）電子透かし埋込部２２５は、前記第一暗号化の対象とならない各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックを新たに生成するとしてもよい。

　第一暗号化部２２１は、生成された１個の前記埋込ブロックをさらに含む前記中間暗号化コンテンツを生成する。

　前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個の前記埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられている。

　第二暗号化部３２１は、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個の前記埋込ブロックを選択し、前記ビット情報の値を用いて、前記平文ブロック及び１個の前記埋込ブロックから、いずれか一つのブロックを選択する。

　（１６）本発明の別の一態様は、再生装置１０４であるとしてもよい。

　第一サーバ装置１０１により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成される。

　第二サーバ装置１０２により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成される。

　再生装置１０４は、選択部５２１、復号部５２２、第二要約部５２３、検証部５２４及び再生部５２５を備える。

　この構成によると、暗号化コンテンツの不正な差し替え攻撃を検出することができる。

　（１７）第一サーバ装置１０１により、さらに、少なくとも生成された複数の前記第一要約値を結合して得られる結合体に対して署名を施して署名データが生成されるとしてもよい。

　再生装置１０４は、さらに、入替結合体生成部５２６を含む。

　入替結合体生成部５２６は、前記結合体のうち、前記第二要約値に対応する前記第一要約値を、当該第二要約値に入れ替えて、入替結合体を生成する。

　検証部５２４は、前記入替結合体を用いて、前記署名データを検証する。

　この構成によると、署名データの検証により、暗号化コンテンツの不正な差し替え攻撃を検出することができる。

　（１８）再生装置１０４は、第二サーバ装置１０２から、一の記録媒体装置１０５を介して、前記暗号化コンテンツを受け取るとしてもよい。

　第一サーバ装置１０１により、複数の記録媒体装置に共通の共通タイトル鍵を用いて、前記平文ブロックに対して、前記第一暗号化が施される。

　第二サーバ装置１０２により、前記一の記録媒体装置１０５に固有の個別タイトル鍵を用いて、前記第一暗号化されていない前記平文ブロックに対して、前記第二暗号化が施される。

　復号部５２２は、前記個別タイトル鍵を用いて、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施す。

　（１９）第二サーバ装置１０２により、前記共通タイトル鍵、前記個別タイトル鍵及び前記一の記録媒体装置１０５を識別する媒体識別子を結合して得られる結合体に対して署名を施してタイトル鍵配信証明書が生成され、前記共通タイトル鍵、前記個別タイトル鍵及び前記タイトル鍵配信証明書が、記録媒体装置１０５に書き込まれるとしてもよい。

　再生装置１０４は、さらに、取得部５２７及びタイトル鍵配信証明書検証部５２８を含むとしてもよい。

　取得部５２７は、記録媒体装置１０５から、前記媒体識別子、前記共通タイトル鍵、前記個別タイトル鍵及び前記タイトル鍵配信証明書を取得する。

　タイトル鍵配信証明書検証部５２８は、前記共通タイトル鍵、前記個別タイトル鍵及び前記媒体識別子を結合して結合体を生成し、生成した結合体を用いて、取得した前記タイトル鍵配信証明書を検証する。

　この構成によると、タイトル鍵配信証明書を用いて、共通タイトル鍵、個別タイトル鍵及び媒体識別子の組に対する正当性の検証を行うことができる。

　（２０）第一サーバ装置１０１により、さらに、前記第一暗号化の対象となる各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組が新たに生成され、さらに、生成された１個又は複数個の埋込ブロックの組に対して、前記第一暗号化を施して、１個又は複数個の第一暗号化埋込ブロックの組が生成され、生成された１個又は複数個の前記第一暗号化埋込ブロックの組をさらに含む前記中間暗号化コンテンツが生成されるとしてもよい。

　第一サーバ装置１０１により、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組が選択され、前記部分情報の内容を用いて、第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組から、いずれか一つのブロックが選択され、選択したブロックを前記第一暗号化ブロックとして含む前記暗号化コンテンツが生成される。

　再生装置１０４は、さらに、選択部５２１、電子透かし判断部５２９及び媒体識別子生成部５３０を含むとしてもよい。

　選択部５２１は、前記暗号化コンテンツ内において、特定位置の前記第一暗号化ブロックを選択する。

　復号部５２２は、さらに、選択された前記第一暗号化ブロックを復号して、平文ブロックを生成する。

　電子透かし判断部５２９は、生成された前記平文ブロックに１種類又は複数種類の前記電子透かしのいずれかが埋め込まれているか否かを判断し、判断結果を出力する。

　生成する媒体識別子生成部５３０は、前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記部分情報として、生成する。

　この構成によると、媒体識別子を構成する部分情報の特定が可能となる。

　（２１）第一サーバ装置１０１により、さらに、前記第一暗号化の対象となる各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックが新たに生成され、さらに、生成された１個の埋込ブロックに対して、前記第一暗号化を施して、１個の第一暗号化埋込ブロックが生成され、生成された１個前記第一暗号化埋込ブロックをさらに含む前記中間暗号化コンテンツが生成されるとてもよい。

　第一サーバ装置１０１により、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックが選択され、前記ビット情報の値を用いて、第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックから、いずれか一つのブロックが選択され、選択したブロックを前記第一暗号化ブロックとして含む前記暗号化コンテンツが生成される。

　電子透かし判断部５２９は、生成された前記平文ブロックに１種類の前記電子透かしが埋め込まれているか否かを判断する。

　媒体識別子生成部５３０は、前記特定位置に対応する前記媒体識別子内のビット位置において、前記判断結果に基づく値を、当該媒体識別子を構成する前記ビット情報として、生成する。

　この構成によると、媒体識別子を構成するビット情報の特定が可能となる。

　（２２）第一サーバ装置１０１により、前記第一暗号化の対象とならない各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組が新たに生成され、生成された１個又は複数個の前記埋込ブロックの組をさらに含む前記中間暗号化コンテンツが生成されるとしてもよい。

　第二サーバ装置１０２により、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個又は複数個の前記埋込ブロックの組が選択され、前記部分情報の内容を用いて、前記平文ブロック及び１個又は複数個の前記埋込ブロックの組から、いずれか一つのブロックが選択され、選択したブロックに前記第二暗号化を施して、前記第二暗号化ブロックが生成され、生成した前記第二暗号化ブロックを含む前記暗号化コンテンツが生成されるとしてもよい。

　選択部５２１は、さらに、前記暗号化コンテンツ内において、特定位置の前記第二暗号化ブロックを選択する。

　復号部５２２は、さらに、選択された前記第二暗号化ブロックを復号して、平文ブロックを生成する。

　電子透かし判断部５２９は、さらに、前記第二暗号化ブロックを復号して生成された前記平文ブロックに１種類又は複数種類の前記電子透かしのいずれかが埋め込まれているか否かを判断し、判断結果を出力する。

　媒体識別子生成部５３０は、さらに、前記第二暗号化ブロックの前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記部分情報として、生成する。

　（２３）第一サーバ装置１０１により、前記第一暗号化の対象とならない各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックが新たに生成され、生成された１個の前記埋込ブロックをさらに含む前記中間暗号化コンテンツが生成されるとしてもよい。

　第二サーバ装置１０２により、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個前記埋込ブロックが選択され、前記ビット情報の値を用いて、前記平文ブロック及び１個の前記埋込ブロックから、いずれか一つのブロックが選択され、選択したブロックに前記第二暗号化を施して、前記第二暗号化ブロックが生成され、生成した前記第二暗号化ブロックを含む前記暗号化コンテンツが生成されるとしてもよい。

　選択部５２１は、前記暗号化コンテンツ内において、特定位置の前記第二暗号化ブロックを選択する。

　復号部５２２は、選択された前記第二暗号化ブロックを復号して、平文ブロックを生成する。

　電子透かし判断部５２９は、前記第二暗号化ブロックを復号して生成された前記平文ブロックに１種類の前記電子透かしが埋め込まれているか否かを判断し、判断結果を出力する。

　媒体識別子生成部５３０は、前記第二暗号化ブロックの前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記ビット情報として、生成する。

　２．実施の形態２
　ここでは、本発明に係る実施の形態２としてのコンテンツ配信システム１０ａについて、図面を参照しながら説明する。

　２．１　コンテンツ配信システム１０ａの構成
　コンテンツ配信システム１０ａは、図２に示すように、コンテンツ署名生成サーバ装置１０１ａ、配信サーバ装置１０２ａ、記録用情報処理装置１０３ａ、再生用情報処理装置１０４ａ及び情報記録媒体装置１０５ａから構成されている。ここで、コンテンツ署名生成サーバ装置１０１ａ及び配信サーバ装置１０２ａは、コンテンツ配信サブシステム３０ａ（図示していない）を構成する。

　コンテンツ署名生成サーバ装置１０１ａと配信サーバ装置１０２ａとは、通信用ケーブル２１により、直接接続されている。配信サーバ装置１０２ａと記録用情報処理装置１０３ａとは、インターネットに代表されるネットワーク２０を介して、接続されている。

　記録用情報処理装置１０３ａには、利用者により情報記録媒体装置１０５ａが装着され、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間には、後述するように、記録用情報処理装置１０３ａを経由して、暗号通信路２２が確立され、配信サーバ装置１０２ａは、暗号通信路２２を介して、情報記録媒体装置１０５ａに、共通タイトル鍵２４１、個別タイトル鍵３８１及び配信用コンテンツデータセット３５１を書き込む。なお、共通タイトル鍵２４１、個別タイトル鍵３８１及び配信用コンテンツデータセット３５１については、後述する。

　共通タイトル鍵２４１、個別タイトル鍵３８１及び配信用コンテンツデータセット３５１が書き込まれた情報記録媒体装置１０５ａが、利用者により、再生用情報処理装置１０４ａに装着され、再生用情報処理装置１０４ａは、情報記録媒体装置１０５ａに記録されている配信用コンテンツデータセット３５１を検証し、検証に成功した場合に、配信用コンテンツデータセット３５１を再生し、検証に失敗した場合、配信用コンテンツデータセット３５１の再生を停止する。

　なお、検証に失敗した場合、配信用コンテンツデータセット３５１を不正と判断していもよい。

　また、コンテンツ署名生成サーバ装置１０１ａ、配信サーバ装置１０２ａ及び再生用情報処理装置１０４ａは、それぞれ、コンテンツ配信システム１０の第一サーバ装置１０１、第二サーバ装置１０２及び再生装置１０４に対応する。

　２．２　コンテンツ署名生成サーバ装置１０１ａの構成
　コンテンツ署名生成サーバ装置１０１ａは、図３に示すように、コンテンツ保持手段２０１、蓄積手段２０２、機器間送信手段２０３、ユニット生成手段２０４、共通タイトル鍵生成手段２０５、暗号化手段２０６、ヘッダ情報生成手段２０７、署名鍵保持手段２０８、署名生成手段２０９及び制御手段２１１から構成される。

　ここで、コンテンツ署名生成サーバ装置１０１ａは、具体的には、ＣＰＵ（Central Processing　Unit）、メモリ、二次記憶装置、ネットワークインタフェース回路などを含むＰＣ（Personal　Computer）であるとしてよい。この場合に、コンテンツ保持手段２０１、蓄積手段２０２及び署名鍵保持手段２０８は、それぞれ、二次記憶装置により構成され、ユニット生成手段２０４、共通タイトル鍵生成手段２０５、暗号化手段２０６、ヘッダ情報生成手段２０７、署名生成手段２０９及び制御手段２１１は、ＣＰＵ及びその上で動作するプログラムから構成され、機器間送信手段２０３は、ネットワークインタフェース回路によって構成されている。言うまでもなく、これらに限定されるものではない。コンテンツ署名生成サーバ装置１０１ａの構成要素の一部は、専用回路により構成されているとしてもよい。例えば、暗号化手段２０６及び署名生成手段２０９は、それぞれ、専用のハードウェア回路により構成されているとしてもよい。

　２．２．１　コンテンツ保持手段２０１
　コンテンツ保持手段２０１は、原コンテンツ７０１を保持する。原コンテンツ７０１は、映像データ及び音声データが、暗号化されていない状態で、ＭＰＥＧ２（Moving Picture Expert Group 2）のＴＳ（Transport
Stream）方式でエンコードされたものである。従って、原コンテンツ７０１は、平文データからなる平文コンテンツである。なお、コンテンツのフォーマットは、ＭＰＥＧ２方式に限定されるものではなく、任意のフォーマットでもよい。

　また、コンテンツ保持手段２０１は、外部の機器又は記録メディアから原コンテンツ７０１を受け取り、受け取った原コンテンツ７０１を保持しているとしてもよい。

　コンテンツ保持手段２０１が保持する原コンテンツ７０１は、一例として図４に示すように、ｃ個（ｃは１以上の整数）の原ファイル７１１「ＣＮＴ１」、７１２「ＣＮＴ２」、７１３「ＣＮＴ３」、・・・、７１４「ＣＮＴｃ」から構成されている。

　原コンテンツ７０１に含まれている映像データ及び音声データは、ｃ個に分割されており、原ファイル７１１、７１２、７１３、・・・、７１４は、それぞれ、分割された映像データ及び音声データが、暗号化されていない状態で、ＭＰＥＧ２のＴＳ方式でエンコードされたものである。

　２．２．２　蓄積手段２０２
　蓄積手段２０２は、後述する共通タイトル鍵２４１と中間コンテンツデータセット２４２とを記憶するための記憶領域を備えている。中間コンテンツデータセット２４２は、後述するように、ユニット選出情報７８０、暗号化コンテンツ８２０、ヘッダ情報８６０及び署名情報８９０からなる。

　２．２．３　署名鍵保持手段２０８
　署名鍵保持手段２０８は、私有鍵２５１「ＫＳＧ」を保持している。私有鍵２５１は、コンテンツ署名生成サーバ装置１０１ａに割り当てられた私有鍵であり、公開鍵暗号方式をベースとするデジタル署名の署名生成アルゴリズムＳにおいて用いられる。私有鍵２５１は、署名生成手段２０９により使用される。

　ここで、署名生成アルゴリズムＳは、例えば、ＲＳＡ署名、ＤＳＡ（Digital
Signature Algorithm）や楕円曲線ＤＳＡなどの公開鍵暗号をベースとした署名方式のアルゴリズムである。なお、署名生成アルゴリズムＳは、これらには限定されない。他にも、ＭＡＣ（Message Authentication Code）などの共通鍵暗号やハッシュ関数をベースとした署名方式のアルゴリズムであるとしてもよい。

　２．２．４　ユニット生成手段２０４
　ユニット生成手段２０４は、コンテンツ保持手段２０１が保持する原コンテンツ７０１から、以下に説明する手順で、分割コンテンツ７２１とユニット選出情報７８０とを生成する。

　（ａ）分割コンテンツ７２１の生成
　ユニット生成手段２０４は、図５に示すように、原コンテンツ７０１から分割コンテンツ７２１を生成する。以下に図５を用いて、分割コンテンツ７２１の生成手順について説明する。

　ユニット生成手段２０４は、コンテンツ保持手段２０１から原コンテンツ７０１を構成する原ファイル７１１、７１２、７１３、・・・、７１４を順に読み出す。

　次に、ユニット生成手段２０４は、読み出した各原ファイルについて、以下の処理
（１）～（７）を行う。以下においては、代表として、原ファイル７１１についての処理のみを記載している。ユニット生成手段２０４は、他の原ファイル７１２、７１３、・・・、７１４についても同じ処理を行う。

　（１）ユニット生成手段２０４は、読み出した原ファイル７１１「ＣＮＴ１」に対応するファイル識別子「ＦＩＤ１」を生成する。ここで、ファイル識別子「ＦＩＤ１」は、ファイル識別子であることを示す固定情報「ＦＩＤ」と、原ファイル７１１を読み出した順序を示す番号「１」とをこの順序で連結することにより、生成される。他の原ファイル７１２、７１３、・・・、７１４については、読み出した順序を示す番号は、それぞれ、「２」、「３」、・・・、「ｃ」であるので、ファイル識別子「ＦＩＤ２」、「ＦＩＤ３」、・・・、「ＦＩＤｃ」が生成される。

　（２）次に、ユニット生成手段２０４は、原ファイル７１１「ＣＮＴ１」をＶＯＢＵ（Video Object
Unit）毎に分割して、ｍ個（ｍは自然数）のユニット７７３「Ｕ１＿１」、ユニット７７４「Ｕ１＿２」、ユニット７７５「Ｕ１＿３」、ユニット７７６「Ｕ１＿４」、・・・、ユニット７７７「Ｕ１＿ｍ」を生成する。次に、生成したユニットの個数を示すユニット数Ｎ１を生成する。ここでは、Ｎ１＝ｍである。

　（３）次に、ユニット生成手段２０４は、ファイル識別子「ＦＩＤ１」とユニット数Ｎ１からなるファイル情報「ＦＩ１」を生成し、生成したファイル情報「ＦＩ１」を記憶する。

　（４）次に、ユニット生成手段２０４は、ユニット７７３、７７４、・・・、７７７のそれぞれについて、ユニット「Ｕ１＿ｉ」（ｉは１からｍの整数）に対応するユニット識別子「ＵＩＤ１＿ｉ」を生成する。ユニット識別子は、各ユニットを一意に識別する識別情報である。ユニット識別子は、ユニット識別子であることを示す固定情報「ＵＩＤ」と、原ファイル７１１を読み出した順序を示す番号「１」と、記号「＿」と、各ユニットの順序を示す番号「ｉ」とをこの順序で結合することにより、生成される。

　各ユニットの順序を示す番号「ｉ」とは、例えば、「１」、「２」、「３」、・・・、「ｍ」のような、先頭ユニットからの順番である。ここで、先頭のユニットからの累積ビット数などであるとしてもよい。

　（５）次に、ユニット生成手段２０４は、ユニット７７３、７７４、・・・、７７７のそれぞれについて、つまり、各ユニット「Ｕ１＿ｉ」（ｉは１からｍの整数）に対し、共通タイトル鍵２４１を用いて暗号化するか、個別タイトル鍵３８１を用いて暗号化するかのどちらを選択するかを決定する。

　この決定は、例えば、個別タイトル鍵３８１による暗号化の対象とするユニットの数と、共通タイトル鍵２４１による暗号化の対象とするユニットの数の比率を予め定めておき、この比率となるように、ｍ個のユニットの中から、個別タイトル鍵３８１による暗号化の対象となるユニットをランダムに選択することにより、行う。また、この比率に近くなるように、個別タイトル鍵３８１による暗号化の対象となるユニットを選択してもよい。

　ここで、一例として、個別タイトル鍵３８１による暗号化の対象とするユニットの数と、共通タイトル鍵２４１による暗号化の対象とするユニットの数の比率は、１：９である。

　言い換えると、ユニット生成手段２０４は、ｍ個のユニットから、１０パーセントのユニットをランダムに選択し、選択したユニットについては、個別タイトル鍵３８１による暗号化の対象とし、選択されなかった残りの９０パーセントのユニットについては、共通タイトル鍵２４１による暗号化の対象とする。

　ここでは、ユニット生成手段２０４は、例えば、ユニット７７４「Ｕ１＿２」とユニット７７６「Ｕ１＿４」とを個別タイトル鍵３８１で暗号化し、その他のユニット７７３「Ｕ１＿１」、ユニット７７５「Ｕ１＿３」、ユニット「Ｕ１＿５」、ユニット「Ｕ１＿６」、・・・、ユニット７７７「Ｕ１＿ｍ」を共通タイトル鍵２４１で暗号化すると決定する。

　さらに、ユニット生成手段２０４は、各ユニット「Ｕ１＿ｉ」（ｉは１からｍの整数）が個別タイトル鍵３８１で暗号化するか、共通タイトル鍵２４１で暗号化するかを示すタイトル鍵フラグ情報「ＴＫＦＩ１＿ｉ」を生成する。タイトル鍵フラグ情報は、個別タイトル鍵３８１と共通タイトル鍵２４１のどちらであるかを区別できる情報であれば何でもよいが、ここでは、個別タイトル鍵３８１を用いる場合、タイトル鍵フラグ情報を「０」と定め、共通タイトル鍵２４１を用いる場合、タイトル鍵フラグ情報を「１」と定める。

　なお、タイトル鍵フラグ情報は、外部からの入力により与えられるとしてもよい。

　次に、ユニット生成手段２０４は、ユニット識別子、対応するタイトル鍵フラグ情報及び対応するユニットを組とし、この組から構成されるユニット情報を生成する。例えば、図５に示すように、ユニット生成手段２０４は、ユニット識別子７７１、タイトル鍵フラグ情報７７２及びユニット７７３を組とし、この組から構成されるユニット情報７６１を生成する。他のユニットについても同様である。言い換えると、ユニット生成手段２０４は、ユニット毎に、ユニット情報を生成する。

　さらに、ユニット生成手段２０４は、図５に示すように、ユニット７７３、７７４、・・・、７７７について、生成したｍ個のユニット情報を組とし、この組から構成される分割ファイル７５１「ｓｐｌＣＮＴ１」を生成する。他の原ファイルについても同様である。言い換えると、ユニット生成手段２０４は、原ファイル毎に、分割ファイルを生成する。

　原ファイル７１１「ＣＮＴ１」から生成された分割ファイル７５１「ｓｐｌＣＮＴ１」は、図５に示すように、ｍ個のユニット情報７６１「ＵＩ１＿１」、ユニット情報７６２「ＵＩ１＿２」、ユニット情報７６３「ＵＩ１＿３」、・・・、ユニット情報７６４「ＵＩ１＿ｍ」から構成される。ユニット情報７６１、７６２、７６３、・・・、７６４は、言い換えると、ユニット情報「ＵＩ１＿ｉ」（ｉは１からｍの整数）は、対応するユニット識別子「ＵＩＤ１＿ｉ」、タイトル鍵フラグ情報「ＴＫＦＩ１＿ｉ」及びユニット「Ｕ１＿ｉ」から構成される。

　（７）次に、ユニット生成手段２０４は、原ファイル７１１について、ファイル識別子７４１「ＦＩＤ１」と分割ファイル７５１「ｓｐｌＣＮＴ１」を含む分割ファイル情報７３１「ｓｐｌＦＩ１」を生成する。［（７）終了］
　ユニット生成手段２０４は、全ての原ファイル７１１「ＣＮＴ１」、７１２「ＣＮＴ２」、７１３「ＣＮＴ３」、・・・、７１４「ＣＮＴｃ」について、同様の処理を繰り返して、ｃ個のファイル情報７８１「ＦＩ１」、ファイル情報７８２「ＦＩ２」、ファイル情報７８３「ＦＩ３」、・・・、ファイル情報７８５「ＦＩｃ」を生成し、ｃ個の分割ファイル情報７３１「ｓｐｌＦＩ１」、分割ファイル情報７３２「ｓｐｌＦＩ２」、分割ファイル情報７３３「ｓｐｌＦＩ３」、・・・、分割ファイル情報７３４「ｓｐｌＦＩｃ」を生成する。

　次に、ユニット生成手段２０４は、生成したｃ個の分割ファイル情報を含む分割コンテンツ７２１を生成する。

　なお、原ファイルごとに生成されるユニットの数ｍは異なっているとしてもよい。

　次に、ユニット生成手段２０４は、生成した分割コンテンツ７２１を暗号化手段２０６へ出力する。

　上記においては、ユニット生成手段２０４がファイル識別子を生成するとしているが、ファイル識別子は、コンテンツと共に外部から入力されるとしてもよい。

　また、原ファイルの分割単位をＶＯＢＵとしているが、これに限るものではない。原ファイルを、例えば、ＧＯＰ（Group
of Picture）毎に、６４キロバイト量毎に、再生時間１秒相当量毎に、分割してもよい。また、操作者によって、分割単位を示す情報が入力され、入力された情報に基づいて、原ファイルを分割するとしてもよい。

　（ｂ）ユニット選出情報７８０の生成
　分割コンテンツ７２１の出力が終了すると、ユニット生成手段２０４は、ｃ個のファイル情報７８１、７８２、７８３、・・・、７８５からなるユニット選出情報７８０を生成する。

　ユニット選出情報７８０のデータ構造の一例を図６に示す。ユニット選出情報７８０は、ｃ個のファイル情報７８１「ＦＩ１」、ファイル情報７８２「ＦＩ２」、ファイル情報７８３「ＦＩ３」、・・・、ファイル情報７８５「ＦＩｃ」から構成される。

　ユニット生成手段２０４は、生成したユニット選出情報７８０を、中間コンテンツデータセット２４２の一部として、蓄積手段２０２へ書き込み、生成したユニット選出情報７８０を署名生成手段２０９へ出力する。

　２．２．５　共通タイトル鍵生成手段２０５
　共通タイトル鍵生成手段２０５は、共通タイトル鍵２４１「ＣＴＫ」を生成する。具体的には、共通タイトル鍵生成手段２０５は、一例として、１２８ビット長の疑似乱数を生成し、生成した疑似乱数を共通タイトル鍵２４１「ＣＴＫ」とする。次に、生成した共通タイトル鍵２４１「ＣＴＫ」を暗号化手段２０６へ出力し、生成した共通タイトル鍵２４１「ＣＴＫ」を蓄積手段２０２へ書き込む。

　共通タイトル鍵２４１「ＣＴＫ」は、複数の情報記録媒体装置に共通である。言い換えると、複数の情報記録媒体装置において、同一の共通タイトル鍵が用いられる。これらの複数の情報記録媒体装置には、同一のコンテンツが記録されることとなる。

　ここで、共通タイトル鍵２４１「ＣＴＫ」は、原コンテンツ７０１を暗号化するために用いられる鍵である。暗号化で使用する暗号化アルゴリズムＥｎｃは、例えば、ＡＥＳ（Advanced Encryption Standard）暗号である。しかし、これには限定されない。他の共通鍵暗号、例えば、ＤＥＳ（Data Encryption Standard）暗号、Ｔｒｉｐｌｅ－ＤＥＳ、Ｃ２（Cryptomeria
Cipher）暗号、Ｃａｍｅｌｌｉａ暗号、ＲＣ４暗号などであるとしてもよい。

　また、ＲＳＡ暗号や楕円曲線暗号などの公開鍵暗号であってもよい。なお、公開鍵暗号を使用する場合は、共通タイトル鍵２４１「ＣＴＫ」に代えて、共通タイトル鍵生成手段２０５は、共通タイトル公開鍵「ＣＴＰＫ」とそれに対応する共通タイトル私有鍵「ＣＴＳＫ」とを生成する。

　以下では、例として、暗号化アルゴリズムＥｎｃとして、ＡＥＳ暗号を使用し、共通タイトル鍵２４１「ＣＴＫ」として１２８ビット長のビット列を使用する。

　なお、共通タイトル鍵生成手段２０５は、擬似乱数に代えて、信号のノイズなどを利用して真性乱数を生成するとしてもよい。乱数を生成する方法については、非特許文献１に詳しく述べられている。

　また、共通タイトル鍵２４１の生成には、乱数生成ではない他の方法を用いてもよいし、共通タイトル鍵２４１のビット長を、用いる暗号化アルゴリズムに合わせて設定してもよい。例えば、Ｔｒｉｐｌｅ－ＤＥＳ暗号を使用する場合は、１６８ビット（パリティを含む場合は１９２ビット）の鍵を生成する。

　２．２．６　暗号化手段２０６
　暗号化手段２０６は、共通タイトル鍵生成手段２０５から共通タイトル鍵２４１「ＣＴＫ」を受け取る。また、暗号化手段２０６は、ユニット生成手段２０４から、分割コンテンツ７２１を受け取る。

　暗号化手段２０６により実行される暗号化の処理の一部を図７に示し、以下に、暗号化手段２０６の実行する処理について説明する。

　暗号化手段２０６は、分割コンテンツ７２１を受け取ると、受け取った分割コンテンツ７２１を構成する分割ファイル情報７３１「ｓｐｌＦＩ１」に含まれる分割ファイル７５１「ｓｐｌＣＮＴ１」を選択する。次に、選択した分割ファイル７５１「ｓｐｌＣＮＴ１」の先頭のユニット情報７６１「ＵＩ１＿１」からタイトル鍵フラグ情報７７２「ＴＫＦＩ１＿１」を抽出し、抽出したタイトル鍵フラグ情報７７２「ＴＫＦＩ１＿１」が
「０」と「１」のどちらであるかを判定する。

　「０」と判定された場合は、個別タイトル鍵３８１を用いて暗号化することを意味するため、ここでは暗号化せず、暗号化手段２０６は、ユニット情報７６１を、そのまま、暗号化ユニット情報として生成する。従って、生成した暗号化ユニット情報は、元のユニット情報７６１と同じものである。次に、次のユニットの処理に移る。

　「１」と判定された場合は、共通タイトル鍵２４１で暗号化することを意味するため、暗号化手段２０６は、ユニット情報７６１「ＵＩ１＿１」から、ユニット７７３「Ｕ１＿１」を抽出し、抽出したユニット７７３「Ｕ１＿１」に、受け取った共通タイトル鍵２４１「ＣＴＫ」を用いて暗号化アルゴリズムＥｎｃを施して、暗号化ユニット８１３「ＥＵ１＿１」を生成する。

　ここで、ＥＵ１＿１＝Ｅｎｃ（ＣＴＫ，Ｕ１＿１）である。また、Ｅｎｃ（Ｋ，Ｄ）は、鍵Ｋを用いてデータＤに暗号化アルゴリズムＥｎｃを施して生成した暗号化データを示す。なお、暗号化アルゴリズムとして公開鍵暗号を使用する場合は、暗号化に用いる鍵は、共通タイトル鍵２４１「ＣＴＫ」ではなく、共通タイトル公開鍵「ＣＴＰＫ」である。

　なお、暗号化手段２０６により用いられる暗号化アルゴリズムＥｎｃによる暗号化を第一暗号化と呼ぶ。また、暗号化手段２０６により生成された暗号化ユニットを第一暗号化ユニットと呼ぶこともある。

　暗号化手段２０６は、ユニット情報７６１「ＵＩ１＿１」に含まれるユニット識別子７７１「ＵＩＤ１＿１」、タイトル鍵フラグ情報７７２「ＴＫＦＩ１＿１」、及びここで生成した暗号化ユニット８１３「ＥＵ１＿１」から構成される暗号化ユニット情報８０１「ＥＵＩ１＿１」を生成する。

　暗号化手段２０６は、ユニット情報７６２「ＵＩ１＿２」、ユニット情報７６３「ＵＩ１＿３」、・・・、ユニット情報７６４「ＵＩ１＿ｍ」についても同様の処理を繰り返して、暗号化ユニット情報８０２「ＥＵＩ１＿２」、暗号化ユニット情報８０３「ＥＵＩ１＿３」、・・・、暗号化ユニット情報８０４「ＥＵＩ１＿ｍ」を生成する。

　次に、暗号化手段２０６は、１個の分割ファイル７５１から生成されるｍ個の暗号化ユニット情報の組から構成される暗号化分割ファイル８００「ＥｓｐｌＣＮＴ１」を生成する。このように、暗号化手段２０６は、１個の分割ファイルから１個の暗号化分割ファイルを生成する。なお、暗号化分割ファイルは、共通タイトル鍵２４１により暗号化されていないユニットを含むので、中間暗号化分割ファイルと呼ぶこともある。

　図７に示すように、分割ファイル７５１「ｓｐｌＣＮＴ１」から上記の手順により生成された暗号化分割ファイル８００「ＥｓｐｌＣＮＴ１」は、ｍ個の暗号化ユニット情報８０１「ＥＵＩ１＿１」、暗号化ユニット情報８０２「ＥＵＩ１＿２」、暗号化ユニット情報８０３「ＥＵＩ１＿３」、・・・、暗号化ユニット情報８０４「ＥＵＩ１＿ｍ」から構成される。暗号化ユニット情報８０１、８０２、８０３、・・・、８０４のそれぞれは、つまり、各暗号化ユニット情報「ＥＵＩ１＿ｉ」（ｉは１からｍの整数）は、分割ファイル７５１「ｓｐｌＣＮＴ１」を構成するユニット情報７６１、７６２、７６３、・・・、７６４、つまり、各ユニット情報「ＵＩ１＿ｉ」を基に生成されたものであり、ユニット識別子「ＵＩＤ１＿ｉ」、タイトル鍵フラグ情報「ＴＫＦＩ１＿ｉ」及び暗号化ユニット「ＥＵ１＿ｉ」を含む。

　次に、暗号化手段２０６は、生成した暗号化分割ファイル８００「ＥｓｐｌＣＮＴ１」を構成する各暗号化ユニット情報「ＥＵＩ１＿ｉ」（ｉは１からｍの整数）から暗号化ユニット「ＥＵ１＿ｉ」を抽出する。つまり、暗号化手段２０６は、図７に示す暗号化ユニット８１３、８１４、８１５、８１６、・・・、８１７を抽出する。次に、抽出したｍ個の暗号化ユニットの組から構成される暗号化ファイル８２１「ＥＣＮＴ１」を生成する。

　言い換えると、暗号化手段２０６は、ｍ個の暗号化ユニット８１３、８１４、８１５、８１６、・・・、８１７から構成される暗号化ファイル８２１「ＥＣＮＴ１」を生成する。

　次に、暗号化手段２０６は、分割ファイル情報７３１「ｓｐｌＦＩ１」に含まれる分割ファイル７５１「ｓｐｌＣＮＴ１」を、生成した暗号化分割ファイル８００「ＥｓｐｌＣＮＴ１」に置き換えて、暗号化分割ファイル情報８４１「ＥｓｐｌＦＩ１」を生成する。すなわち、暗号化分割ファイル情報８４１「ＥｓｐｌＦＩ１」は、ファイル識別子「ＦＩＤ１」８５１と暗号化分割ファイル８５２「ＥｓｐｌＣＮＴ１」とを含む。ファイル識別子「ＦＩＤ１」８５１は、ファイル識別子「ＦＩＤ１」７４１と同一であり、暗号化分割ファイル８５２「ＥｓｐｌＣＮＴ１」は、暗号化分割ファイル８００「ＥｓｐｌＣＮＴ１」と同一である。

　暗号化手段２０６は、分割ファイル情報７３２「ｓｐｌＦＩ２」、分割ファイル情報７３３「ｓｐｌＦＩ３」、・・・、分割ファイル情報７３４「ｓｐｌＦＩｃ」についても、それぞれ、同様にして、暗号化分割ファイル情報８４２「ＥｓｐｌＦＩ２」、暗号化分割ファイル情報８４３「ＥｓｐｌＦＩ３」、・・・、暗号化分割ファイル情報８４４「ＥｓｐｌＦＩｃ」を生成する。

　また、暗号化手段２０６は、分割ファイル情報７３２「ｓｐｌＦＩ２」、分割ファイル情報７３３「ｓｐｌＦＩ３」、・・・、分割ファイル情報７３４「ｓｐｌＦＩｃ」についても、それぞれ、同様にして、暗号化ファイル８２２「ＥＣＮＴ２」、暗号化ファイル８２３「ＥＣＮＴ３」、・・・、暗号化ファイル８２４「ＥＣＮＴｃ」を生成する。

　次に、暗号化手段２０６は、図９に示すように、生成したｃ個の暗号化分割ファイル情報８４１、８４２、８４３、・・・、８４４の組から構成される暗号化分割コンテンツ８４０を生成する。

　次に、暗号化手段２０６は、生成した暗号化分割コンテンツ８４０をヘッダ情報生成手段２０７へ出力する。

　次に、暗号化手段２０６は、図８に示すように、ｃ個の暗号化ファイル８２１、８２２、８２３、・・・、８２４からなる組を暗号化コンテンツ８２０として生成し、生成した暗号化コンテンツ８２０を、中間コンテンツデータセット２４２の一部として、蓄積手段２０２へ書き込む。なお、暗号化コンテンツ８２０は、共通タイトル鍵２４１により暗号化されていないユニットをも含むので、中間暗号化コンテンツと呼ぶ場合もある。また、同様の理由により、各暗号化ファイル８２１、８２２、８２３、・・・、８２４をそれぞれ、中間暗号化ファイルと呼ぶ場合もある。

　図８に示すように、暗号化コンテンツ８２０は、ｃ個の暗号化ファイル８２１「ＥＣＮＴ１」、暗号化ファイル８２２「ＥＣＮＴ２」、暗号化ファイル８２３「ＥＣＮＴ
３」、・・・、暗号化ファイル８２４「ＥＣＮＴｃ」から構成されている。

　暗号化ファイル８２１、８２２、８２３、・・・、８２４のそれぞれは、つまり、各暗号化ファイル「ＥＣＮＴｊ」（ｊは１からｃの整数）は、暗号化分割コンテンツ８４０に含まれる暗号化分割ファイル情報８４１、８４２、８４３、・・・、８４４、つまり、各暗号化分割ファイル情報「ＥｓｐｌＦＩｊ」を基に生成され、複数の暗号化ユニットを含む。

　一例として、図８に示すように、暗号化ファイル８２１「ＥＣＮＴ１」は、暗号化ユニット８１３「ＥＵ１＿１」、暗号化ユニット８１４「ＥＵ１＿２」、暗号化ユニット８１５「ＥＵ１＿３」、暗号化ユニット８１６「ＥＵ１＿４」、・・・、暗号化ユニット８１７「ＥＵ１＿ｍ」を含んでいる。

　以上説明したように、暗号化手段２０６は、平文コンテンツである原コンテンツ７０１を構成する複数の平文ユニット（平文ブロックとも呼ぶ）のうち、一部の前記平文ユニットに対してのみ、共通タイトル鍵２４１を用いた第一暗号化を施して暗号化ユニット（暗号化ブロックとも呼ぶ）を生成し、前記第一暗号化されていない前記平文ユニット及び生成された前記暗号化ユニットから構成される暗号化コンテンツ８２０（中間暗号化コンテンツとも呼ぶ）を生成する。

　２．２．７　ヘッダ情報生成手段２０７
　ヘッダ情報生成手段２０７は、暗号化手段２０６から、暗号化分割コンテンツ８４０を受け取る。暗号化分割コンテンツ８４０を受け取ると、図９に示すように、受け取った暗号化分割コンテンツ８４０を用いて、ヘッダ情報８６０を生成する。

　図９は、ヘッダ情報生成手段２０７によるヘッダ情報８６０の生成手順の概要を示している。受け取った暗号化分割コンテンツ８４０は、ｃ個の暗号化分割ファイル情報８４１「ＥｓｐｌＦＩ１」、暗号化分割ファイル情報８４２「ＥｓｐｌＦＩ２」、暗号化分割ファイル情報８４３「ＥｓｐｌＦＩ３」、・・・、暗号化分割ファイル情報８４４「ＥｓｐｌＦＩｃ」から構成される。暗号化分割ファイル情報８４１、８４２、８４３、・・・、８４４は、つまり、各暗号化分割ファイル情報「ＥｓｐｌＦＩｊ」（ｊは１からｃの整数）は、ファイル識別子「ＦＩＤｊ」と暗号化分割ファイル「ＥｓｐｌＣＮＴｊ」とを含む。

　ヘッダ情報生成手段２０７は、暗号化分割ファイル情報８４１、８４２、８４３、・・・、８４４にそれぞれ含まれる暗号化分割ファイルに基づいて、第一ハッシュテーブル８６１、８６２、８６３、・・・、８６４を生成する。例えば、暗号化分割ファイル情報８４１に含まれる暗号化分割ファイル８５２「ＥｓｐｌＣＮＴ１」に基づいて、第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」を生成する。次に、ヘッダ情報生成手段２０７は、生成したｃ個の第一ハッシュテーブル８６１、８６２、８６３、・・・、８６４から、第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」を生成する。

　上述した、第一ハッシュテーブル８６１、８６２、８６３、・・・、８６４の生成及び第二ハッシュテーブル８６５の生成手順について、以下に詳細に説明する。

　（１）第一ハッシュテーブル８６１の生成
　ここでは、第一ハッシュテーブル８６１の生成の手順について説明する。なお、第一ハッシュテーブル８６２、・・・、８６４の生成の手順については、第一ハッシュテーブル８６１の生成の手順と同一であるので、説明を省略する。

　ヘッダ情報生成手段２０７による第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」の生成手順の概要を図１０に示す。

　まず、ヘッダ情報生成手段２０７は、暗号化分割ファイル８００「ＥｓｐｌＣＮＴ１」を構成する先頭の暗号化ユニット情報８０１「ＥＵＩ１＿１」から暗号化ユニット８１３「ＥＵ１＿１」を抽出して、抽出した暗号化ユニット８１３「ＥＵ１＿１」をハッシュ関数ＳＨＡ－１（Secure Hash Algorithm-1）に代入して、ユニットハッシュ値「ＵＨＡ１＿１」を生成する。

　ここで、暗号化手段２０６にて、個別タイトル鍵３８１を使用して暗号化するユニットに対しては、暗号化ユニット情報はユニット情報と同じものであるため、暗号化ユニットに当たるものが存在しない。そこで、個別タイトル鍵３８１を使用して暗号化するユニットに対しては、ユニットを暗号化ユニットと捉えて、ハッシュ関数に代入する。個別タイトル鍵３８１を使用して暗号化するユニットに対しては、暗号化ユニットもユニットと同じものであると捉える。したがって、個別タイトル鍵３８１を使用して暗号化するユニットに対しては、平文のユニットをハッシュ関数に代入し、共通タイトル鍵２４１を使用して暗号化されたユニットに対しては、暗号化ユニットをハッシュ関数に代入することになる。

　ここで、ハッシュ関数として、ＳＨＡ－１を用いるとしているが、これには限定されない。ＳＨＡ－２、ＳＨＡ－３やブロック暗号を用いたＣＢＣ－ＭＡＣ（Cipher Block Chaining - Message Authentication Code）などを用いるとしてもよい。

　ここで、暗号化ユニット情報８０１の暗号化ユニット８１３「ＥＵ１＿１」を生成したユニットハッシュ値「ＵＨＡ１＿１」に置き換えて、ユニットハッシュ情報８７１「ＵＨＩ１＿１」を生成する。すなわち、ユニットハッシュ情報８７１「ＵＨＩ１＿１」は、ユニット識別子８８１「ＵＩＤ１＿１」、タイトル鍵フラグ情報８８２「ＴＫＦＩ１＿１」及びユニットハッシュ値８８３「ＵＨＡ１＿１」から構成される。

　ここで、ユニット識別子８８１「ＵＩＤ１＿１」は、暗号化ユニット情報８０１に含まれているユニット識別子８１１「ＵＩＤ１＿１」と同一であり、タイトル鍵フラグ情報８８２「ＴＫＦＩ１＿１」は、暗号化ユニット情報８０１に含まれているタイトル鍵フラグ情報８１２「ＴＫＦＩ１＿１」と同一である。

　ヘッダ情報生成手段２０７は、暗号化ユニット情報８０２「ＥＵＩ１＿２」、暗号化ユニット情報８０３「ＥＵＩ１＿３」、・・・、暗号化ユニット情報８０４「ＥＵＩ１＿ｍ」についても、同様の処理を繰り返し、ユニットハッシュ情報８７２「ＵＨＩ１＿２」、ユニットハッシュ情報８７３「ＵＨＩ１＿３」、・・・、ユニットハッシュ情報８７４「ＵＨＩ１＿ｍ」を生成する。次に、ヘッダ情報生成手段２０７は、図１０に示すように、生成したｍ個のユニットハッシュ情報８７１、８７２、８７３、・・・、８７１から構成される第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」を生成する。

　同様にして、ヘッダ情報生成手段２０７は、第一ハッシュテーブル８６１、８６２、８６３、・・・、８６４を生成する。

　（２）第二ハッシュテーブル８６５の生成
　ヘッダ情報生成手段２０７は、上記の手順を繰り返し、暗号化分割コンテンツから、ｃ個の第一ハッシュテーブル８６１、８６２、８６３、・・・、８６４を生成し終えると、次に、生成したｃ個の第一ハッシュテーブル８６１、８６２、８６３、・・・、８６４を用いて、第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」を生成する。第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」は、図１１に示すように、ｃ個のファイルハッシュ情報８８５「ＦＨＩ１」、ファイルハッシュ情報８８６「ＦＨＩ２」、ファイルハッシュ情報８８７「ＦＨＩ３」、・・・、ファイルハッシュ情報８８８「ＦＨＩｃ」から構成されている。ファイルハッシュ情報８８５、８８６、８８７、・・・、８８８のそれぞれは、つまり、各ファイルハッシュ情報「ＦＨＩｊ」（ｊは１からｃの整数）は、ファイル識別子「ＦＩＤｊ」とファイルハッシュ値「ＦＨＡｊ」とを含む。

　以下に、第二ハッシュテーブル８６５の生成手順について説明する。

　ヘッダ情報生成手段２０７は、生成した第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」を構成する全てのユニットハッシュ情報８７１、８７２、８７３、・・・、８７４を結合して得られた結合体をハッシュ関数ＳＨＡ－１に代入し、ファイルハッシュ値８９２「ＦＨＡ１」を生成する。

　ここで、ハッシュ関数として、ＳＨＡ－１を用いるとしているが、これには限定されない。上述したように、ＳＨＡ－２、ＳＨＡ－３やブロック暗号を用いたＣＢＣ－ＭＡＣ（Cipher Block Chaining - Message Authentication Code）などを用いるとしてもよい。

　次に、ヘッダ情報生成手段２０７は、第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」と対応する暗号化分割ファイル情報８４１「ＥｓｐｌＦＩ１」からファイル識別子８５１「ＦＩＤ１」を抽出し、抽出したファイル識別子８５１「ＦＩＤ１」と生成したファイルハッシュ値「ＦＨＡ１」から構成されるファイルハッシュ情報８８５「ＦＨＩ１」を生成する。

　ファイルハッシュ情報８８５「ＦＨＩ１」は、図１１に示すように、ファイル識別子８９１「ＦＩＤ１」及びファイルハッシュ値８９２「ＦＨＡ１」を含んでいる。

　ここで、ファイル識別子８９１「ＦＩＤ１」は、暗号化分割ファイル情報８４１「ＥｓｐｌＦＩ１」から抽出されたファイル識別子８５１「ＦＩＤ１」と同一であり、ファイルハッシュ値８９２「ＦＨＡ１」は、関数ＳＨＡ－１に代入して生成されたファイルハッシュ値「ＦＨＡ１」と同一である。

　ヘッダ情報生成手段２０７は、第一ハッシュテーブル８６２「ＨＡ１ＴＢＬ２」、第一ハッシュテーブル８６３「ＨＡ１ＴＢＬ３」、・・・、第一ハッシュテーブル８６４「ＨＡ１ＴＢＬｃ」についても、上記と同様の処理を繰り返し、ファイルハッシュ情報８８６「ＦＨＩ２」、ファイルハッシュ情報８８７「ＦＨＩ３」、・・・、ファイルハッシュ情報８８８「ＦＨＩｃ」を生成する。

　各ファイルハッシュ情報は、ファイル識別子及びファイルハッシュ値を含む。

　次に、ヘッダ情報生成手段２０７は、生成したｃ個のファイルハッシュ情報８８５、８８６、８８７、・・・、８８８から構成される第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」を生成する。

　以上、（１）第一ハッシュテーブル８６１、８６２、８６３、・・・、８６４の生成及び（２）第二ハッシュテーブル８６５の生成手順について説明した。

　ヘッダ情報生成手段２０７は、生成したｃ個の第一ハッシュテーブル８６１、８６２、８６３、・・・、８６４と１個の第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」とを含むヘッダ情報８６０を生成し、生成したヘッダ情報８６０を、中間コンテンツデータセット２４２の一部として、蓄積手段２０２へ書き込む。

　また、ヘッダ情報生成手段２０７は、生成した第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」を署名生成手段２０９へ出力する。

　２．２．８　署名生成手段２０９
　署名生成手段２０９は、以下に示すように、署名鍵保持手段２０８が保持する私有鍵２５１を用いて、第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」等に対する署名情報８９０を生成する。

　具体的には、署名生成手段２０９は、ユニット生成手段２０４から、ユニット選出情報７８０を受け取り、ヘッダ情報生成手段２０７から第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」を受け取る。次に、署名生成手段２０９は、署名鍵保持手段２０８から私有鍵２５１「ＫＳＧ」を読み出す。

　さらに、署名生成手段２０９は、図１２に示すように、受け取った第二ハッシュテーブル８６５と、受け取ったユニット選出情報７８０を結合して、結合体２６１を生成し、生成した結合体２６１に対して、読み出した私有鍵２５１「ＫＳＧ」を用いて、署名生成アルゴリズムＳを施して、署名情報８９０を生成する。なお、署名生成アルゴリズムＳについては、上述した通りである。次に、署名生成手段２０９は、生成した署名情報８９０を、中間コンテンツデータセット２４２の一部として、蓄積手段２０２へ書き込む。

　２．２．９　機器間送信手段２０３
　機器間送信手段２０３は、制御手段２１１の制御により、蓄積手段２０２から共通タイトル鍵２４１を読み出し、読み出した共通タイトル鍵２４１を、通信用ケーブル２１を介して、配信サーバ装置１０２ａへ送信する。

　また、機器間送信手段２０３は、制御手段２１１の制御により、蓄積手段２０２から、ユニット選出情報７８０、暗号化コンテンツ８２０、ヘッダ情報８６０及び署名情報８９０から構成される中間コンテンツデータセット２４２を読み出し、読み出した中間コンテンツデータセット２４２を、通信用ケーブル２１を介して、配信サーバ装置１０２ａへ送信する。

　２．２．１０　制御手段２１１
　制御手段２１１は、コンテンツ署名生成サーバ装置１０１ａの構成要素である機器間送信手段２０３、ユニット生成手段２０４、共通タイトル鍵生成手段２０５、暗号化手段２０６、ヘッダ情報生成手段２０７及び署名生成手段２０９を制御する。

　２．３　配信サーバ装置１０２ａの構成
　配信サーバ装置１０２ａは、図１３に示すように、蓄積手段３０１、機器間送信手段３０２、機器間受信手段３０３、媒体識別子取得手段３０４、個別タイトル鍵生成手段３０５、暗号化手段３０６、タイトル鍵データベース蓄積手段３０７、運用主体公開鍵保持手段３０８、私有鍵保持手段３０９、公開鍵証明書保持手段３１０、暗号通信路確立手段３１１及び制御手段３１３から構成される。

　ここで、配信サーバ装置１０２ａは、具体的には、ＣＰＵ、メモリ、二次記憶装置、ネットワークインタフェース回路などを含むＰＣであるとしてもよい。この場合には、蓄積手段３０１、タイトル鍵データベース蓄積手段３０７、運用主体公開鍵保持手段３０８、私有鍵保持手段３０９及び公開鍵証明書保持手段３１０は、それぞれ、二次記憶装置により構成され、媒体識別子取得手段３０４、個別タイトル鍵生成手段３０５、暗号化手段３０６及び暗号通信路確立手段３１１は、それぞれ、ＣＰＵおよびその上で動作するプログラムから構成され、機器間送信手段３０２及び機器間受信手段３０３は、それぞれ、ネットワークインタフェース回路によって構成されている。言うまでもなく、これらに限定されるものではない。配信サーバ装置１０２ａの構成要素の一部は、専用回路により構成されているとしてもよい。例えば、暗号化手段３０６は、専用のハードウェア回路により構成されているとしてもよい。

　２．３．１　蓄積手段３０１
　蓄積手段３０１は、中間コンテンツデータセット２４２、共通タイトル鍵２４１、個別タイトル鍵３８１及び配信用コンテンツデータセット３５１を記憶するための領域を備えている。

　中間コンテンツデータセット２４２及び共通タイトル鍵２４１は、コンテンツ署名生成サーバ装置１０１ａから受信したものである。中間コンテンツデータセット２４２は、上述したように、ユニット選出情報７８０、暗号化コンテンツ８２０、ヘッダ情報８６０及び署名情報８９０から構成されている。

　個別タイトル鍵３８１及び配信用コンテンツデータセット３５１は、後述するように、記録用情報処理装置１０３ａを介して、情報記録媒体装置１０５ａへ配信される。配信用コンテンツデータセット３５１は、図１６に示すように、ユニット選出情報７８０、ヘッダ情報８６０、署名情報８９０及び後述する配信用暗号化コンテンツ９００から構成されている。

　２．３．２　運用主体公開鍵保持手段３０８
　運用主体公開鍵保持手段３０８は、コンテンツ配信システム１０ａの運用主体が有する認証局装置（図示していない）の公開鍵３６１を保持している。

　公開鍵３６１は、暗号通信路確立手段３１１が、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間で、暗号通信路２２を確立する際に使用される。

　ここでは、公開鍵３６１は、予め、配信サーバ装置１０２ａに埋め込まれているものとしているが、これには限定されない。例えば、公開鍵３６１は、コンテンツ配信システム１０ａの運用主体の認証局から送信され、配信サーバ装置１０２ａが公開鍵３６１を受信し、受信した公開鍵３６１を運用主体公開鍵保持手段３０８が記憶するとしてもよい。

　２．３．３　私有鍵保持手段３０９
　私有鍵保持手段３０９は、配信サーバ装置１０２ａの私有鍵３６２を保持している。私有鍵３６２は、暗号通信路確立手段３１１が配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間で、暗号通信路２２を確立する際に、使用される公開鍵暗号又は公開鍵署名で用いられる。私有鍵３６２は、コンテンツ配信システム１０ａの運用主体の認証局装置が公開鍵証明書と共に発行した配信サーバ装置１０２ａの私有鍵である。

　２．３．４　公開鍵証明書保持手段３１０
　公開鍵証明書保持手段３１０は、配信サーバ装置１０２ａの公開鍵証明書９２１を保持している。公開鍵証明書９２１は、図１７に示すように、配信サーバ装置１０２ａの公開鍵９２２、その他の情報及び署名９２３を含んでいる。なお、その他の情報は、証明書の有効期限などを含むが、ここでは、簡略化のために記載を省略する。配信サーバ装置１０２ａの公開鍵９２２は、コンテンツ配信システム１０ａの運用主体の認証局装置が配信サーバ装置１０２ａ向けに発行した公開鍵である。署名９２３は、配信サーバ装置１０２ａの公開鍵９２２及びその他の情報に対して、コンテンツ配信システム１０ａの運用主体の認証局装置が、当該認証局装置が保持する自身の私有鍵を用いて、署名生成アルゴリズムＳを施して生成したデジタル署名データである。

　ここで、署名生成アルゴリズムＳは、一例として、１６０ビットの鍵長を持つＥＣ－ＤＳＡ（Elliptic
Curve Digital Signature Algorithm）である。しかし、これには限定されず、他のデジタル署名方式や異なるビット長の鍵でも構わない。また、ＭＡＣ
（Message Authentication Code）など他の暗号関数を用いて改竄を防止する方法でもよい。この署名を付与することによって、配信サーバ装置１０２ａの公開鍵９２２が、確かに、コンテンツ配信システム１０ａの運用主体の認証局装置により発行されたことを検証することが可能になる。

　２．３．５　タイトル鍵データベース蓄積手段３０７
　タイトル鍵データベース蓄積手段３０７は、後述する媒体識別子３７１と、後述する個別タイトル鍵３８１とを対にして、記憶するための領域を備えている。

　媒体識別子３７１は、媒体識別子取得手段３０４から受け取ったものであり、情報記録媒体装置１０５ａを一意に識別するための識別情報である。個別タイトル鍵３８１は、個別タイトル鍵生成手段３０５から受け取ったものである。

　タイトル鍵データベース蓄積手段３０７が媒体識別子３７１と個別タイトル鍵３８１とを対にして記憶することで、万が一、情報記録媒体装置１０５ａから個別タイトル鍵３８１が漏洩し、ＷＥＢサーバやインターネット掲示板で個別タイトル鍵３８１が暴露されたとしても、漏洩元の情報記録媒体装置を追跡可能になる。

　このような場合に、具体的には、ＷＥＢサーバやインターネット掲示板で暴露された個別タイトル鍵３８１に対応する媒体識別子３７１を、タイトル鍵データベース蓄積手段３０７から読み出す。こうして、読み出した媒体識別子３７１から漏洩元の情報記録媒体装置が判明する。漏洩元の情報記録媒体装置が判明すれば、配信サーバ装置１０２ａによるその後の漏洩元の情報記録媒体装置へのコンテンツ配信を、情報記録媒体装置から送信された媒体識別子をチェックすることで停止することが可能になる。

　２．３．６　機器間受信手段３０３
　機器間受信手段３０３は、コンテンツ署名生成サーバ装置１０１ａから、共通タイトル鍵２４１及び中間コンテンツデータセット２４２を受信する。共通タイトル鍵２４１及び中間コンテンツデータセット２４２を受信すると、受信した共通タイトル鍵２４１及び中間コンテンツデータセット２４２を蓄積手段３０１へ書き込む。

　また、機器間受信手段３０３は、情報記録媒体装置１０５ａから、記録用情報処理装置１０３ａを介して、配信用コンテンツデータセット３５１等の配信の依頼を示す配信依頼情報３２１を受信する。配信依頼情報３２１を受信すると、受信した配信依頼情報３２１を暗号通信路確立手段３１１へ出力する。

　さらに、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間で、暗号通信路２２が確立した後に、機器間受信手段３０３は、情報記録媒体装置１０５ａから、暗号通信路２２を介して、媒体識別子３７１を受信する。媒体識別子３７１を受信すると、受信した媒体識別子３７１を媒体識別子取得手段３０４へ出力する。

　２．３．７　媒体識別子取得手段３０４
　媒体識別子取得手段３０４は、機器間受信手段３０３から、媒体識別子３７１を受け取り、受け取った媒体識別子３７１をタイトル鍵データベース蓄積手段３０７へ書き込む。

　ここでは、媒体識別子３７１は１２８ビット長とするが、これには、限定されず、６４ビット長、２５６ビット長などであるとしてもよい。

　２．３．８　暗号通信路確立手段３１１
　暗号通信路確立手段３１１は、運用主体公開鍵保持手段３０８が保持する公開鍵３６１、私有鍵保持手段３０９が保持する私有鍵３６２、公開鍵証明書保持手段３１０が保持する配信サーバ装置１０２ａの公開鍵証明書９２１を使用して、記録用情報処理装置１０３ａを経由して、情報記録媒体装置１０５ａとの間の暗号通信路２２を確立する。

　具体的には、暗号通信路確立手段３１１は、通信相手の記録用情報処理装置１０３ａが正当な装置であるか否かを検証する。正当でないと判断する場合には、暗号通信路２２の確立を中止する。暗号通信路確立手段３１１は、通信相手の記録用情報処理装置１０３ａが正当な装置であると判断する場合には、記録用情報処理装置１０３ａとの間で、秘密のセッション鍵を共有する。共有したセッション鍵を用いて、記録用情報処理装置１０３ａとの間で、秘密の暗号通信を行う。

　暗号通信路２２の確立方法は、どのような方式でもよいが、例えば、ＳＳＬ（Secure Socket Layer）、ＴＬＳ（Transport Layer Security）や特許文献２及び非特許文献２に記載されているようなＤＴＣＰ（Digital Transmission Content Protection）で規定されている方式を使用する。実施の形態２では、ＤＴＣＰで規定されている方式を使用する。

　２．３．９　個別タイトル鍵生成手段３０５
　個別タイトル鍵生成手段３０５は、個別タイトル鍵３８１「ＩＴＫ」を生成する。具体的には、個別タイトル鍵生成手段３０５は、共通タイトル鍵生成手段２０５による共通タイトル鍵２４１の生成と同様に、一例として、１２８ビット長の疑似乱数を生成し、生成した疑似乱数を個別タイトル鍵３８１「ＩＴＫ」とする。

　このように、個別タイトル鍵３８１「ＩＴＫ」は、一の情報記録媒体装置に固有である。

　次に、個別タイトル鍵生成手段３０５は、生成した個別タイトル鍵３８１を暗号化手段３０６へ出力する。また、生成した個別タイトル鍵３８１を、蓄積手段３０１及びタイトル鍵データベース蓄積手段３０７へそれぞれ書き込む。

　なお、個別タイトル鍵生成手段３０５は、個別タイトル鍵３８１をタイトル鍵データベース蓄積手段３０７へ書き込む際に、タイトル鍵データベース蓄積手段３０７に既に記憶されている媒体識別子３７１と個別タイトル鍵３８１とが対となるようにする。

　個別タイトル鍵３８１「ＩＴＫ」は、後述するように、暗号化コンテンツ８２０内において、共通タイトル鍵２４１を用いて暗号化されていないユニットを暗号化するために用いられる。このときに使用される暗号化アルゴリズムＥｎｃは、共通タイトル鍵２４１を用いた暗号化において使用される暗号化アルゴリズムＥｎｃと同じものである。

　なお、個別タイトル鍵３８１を用いる場合の暗号化アルゴリズムを、共通タイトル鍵２４１を用いる場合の暗号化アルゴリズムと異なるものとしてもよい。また、個別タイトル鍵３８１の生成方法は、共通タイトル鍵２４１の生成方法と異なっていてもよい。また、個別タイトル鍵３８１と共通タイトル鍵２４１のビット長が異なっていてもよい。

　２．３．１０　暗号化手段３０６
　暗号化手段３０６は、個別タイトル鍵生成手段３０５から個別タイトル鍵３８１「ＩＴＫ」を受け取る。また、暗号化手段３０６は、蓄積手段３０１に記憶されている中間コンテンツデータセット２４２に含まれている暗号化コンテンツ８２０及びヘッダ情報８６０を読み出す。

　暗号化手段３０６により実行される暗号化処理について、図１４及び図１５を用いて説明する。

　暗号化手段３０６は、読み出したヘッダ情報８６０から第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」、第一ハッシュテーブル８６２「ＨＡ１ＴＢＬ２」、第一ハッシュテーブル８６３「ＨＡ１ＴＢＬ３」、・・・、第一ハッシュテーブル８６４「ＨＡ１ＴＢＬｃ」を抽出する。また、暗号化手段３０６は、読み出した暗号化コンテンツ８２０から、暗号化ファイル８２１「ＥＣＮＴ１」、暗号化ファイル８２２「ＥＣＮＴ２」、暗号化ファイル８２３「ＥＣＮＴ３」、・・・、暗号化ファイル８２４「ＥＣＮＴｃ」を抽出する。以下に詳細に説明するように、抽出した各第一ハッシュテーブルを用いて、当該第一ハッシュテーブルに対応する暗号化ファイルに含まれる暗号化ユニットを個別タイトル鍵３８１「ＩＴＫ」を用いて暗号化する。各暗号化ファイルにおける処理は同様のため、ここでは代表して、第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」とそれに対応する暗号化ファイル８２１「ＥＣＮＴ１」に対する暗号化処理について説明する。

　なお、暗号化手段３０６により用いられる暗号化アルゴリズムによる暗号化を第二暗号化と呼ぶ。また、暗号化手段３０６により生成された暗号化ユニットを第二暗号化ユニット（又は、第二暗号化ブロック）と呼ぶこともある。

　暗号化手段３０６は、図１４に示すように、第一ハッシュテーブル８６１に含まれるユニットハッシュ情報８７１、８７２、８７３、・・・、８７４にそれぞれ含まれているタイトル鍵フラグ情報８７５、８７６、８７７、８７８、・・・、８７９の値をチェックする。次に、これらのタイトル鍵フラグ情報の中で、タイトル鍵フラグ情報が「０」であるものを抽出する。

　一例として、図１４に示すように、タイトル鍵フラグ情報８７６とタイトル鍵フラグ情報８７８とが、それぞれ、「０」であり、他のタイトル鍵フラグ情報８７５、８７７、・・・、８７９は、「１」である。

　このとき、暗号化手段３０６は、「０」であるタイトル鍵フラグ情報に対応する暗号化ユニットを暗号化ファイル８２１から抽出し、抽出した暗号化ユニットを個別タイトル鍵３８１を用いて、暗号化して、配信用暗号化ユニットを生成する。一方、「１」であるタイトル鍵フラグ情報に対応する暗号化ユニットについては、個別タイトル鍵３８１を用いた暗号化をすることなく、それぞれの暗号化ユニットをそのまま、配信用暗号化ユニットとする。つまり、この場合には、暗号化ユニットと配信用暗号化ユニットとは、同じものである。

　図１４及び図１５に示す例の場合には、タイトル鍵フラグ情報８７６とタイトル鍵フラグ情報８７８とが、それぞれ、「０」であるので、暗号化手段３０６は、暗号化ファイル８２１から暗号化ユニット８１４及び暗号化ユニット８１６を抽出し、抽出した暗号化ユニット８１４及び暗号化ユニット８１６を個別タイトル鍵３８１を用いて、暗号化して、配信用暗号化ユニット９１４及び９１６を生成する。他のタイトル鍵フラグ情報８７５、８７７、・・・、８７９は、「１」であるので、これらのタイトル鍵フラグ情報に対応する暗号化ユニット８１３、８１５、・・・、８１７については、個別タイトル鍵３８１を用いた暗号化をすることなく、それぞれの暗号化ユニット８１３、８１５、・・・、８１７をそのまま、配信用暗号化ユニット９１３、９１５、・・・、９１７とする。

　こうして、暗号化手段３０６は、配信用暗号化ユニット９１３「ＤＵ１＿１」、配信用暗号化ユニット９１４「ＤＵ１＿２」、配信用暗号化ユニット９１５「ＤＵ１＿３」、配信用暗号化ユニット９１６「ＤＵ１＿４」、・・・、配信用暗号化ユニット９１７「ＤＵ１＿ｍ」を生成する。

　次に、暗号化手段３０６は、配信用暗号化ユニット９１３「ＤＵ１＿１」、配信用暗号化ユニット９１４「ＤＵ１＿２」、配信用暗号化ユニット９１５「ＤＵ１＿３」、配信用暗号化ユニット９１６「ＤＵ１＿４」、・・・、配信用暗号化ユニット９１７「ＤＵ１＿ｍ」から構成される配信用暗号化ファイル９０１「ＤＣＮＴ１」を生成する。

　暗号化手段３０６は、第一ハッシュテーブル８６２、８６３、・・・、８６４及び暗号化ファイル８２２、８２３、・・・、８２４に対しても、つまり、第一ハッシュテーブル「ＨＡ１ＴＢＬｊ」及び暗号化ファイル「ＥＣＮＴｊ」（ｊは２からｃの整数）に対しても、上記と同様の処理を実行し、配信用暗号化ファイル「ＤＣＮＴｊ」を生成する。

　次に、暗号化手段３０６は、図１６に示すように、生成した配信用暗号化ファイル９０１「ＤＣＮＴ１」、配信用暗号化ファイル９０２「ＤＣＮＴ２」、配信用暗号化ファイル９０３「ＤＣＮＴ３」、・・・、配信用暗号化ファイル９０４「ＤＣＮＴｃ」から構成される配信用暗号化コンテンツ９００を生成し、生成した配信用暗号化コンテンツ９００を蓄積手段３０１に書き込む。

　このとき、暗号化手段３０６は、中間コンテンツデータセット２４２に含まれるユニット選出情報７８０、ヘッダ情報８６０及び署名情報８９０並びに生成した配信用暗号化コンテンツ９００を含む配信用コンテンツデータセット３５１を生成し、配信用コンテンツデータセット３５１を蓄積手段３０１において記憶させる。

　以上説明したように、暗号化手段３０６は、暗号化コンテンツ８２０（中間暗号化コンテンツとも呼ぶ）に含まれるユニット（ブロックとも呼ぶ）のうち、前記第一暗号化されていない前記平文ユニットに対して、個別タイトル鍵３８１を用いた第二暗号化を施して暗号化ユニット（暗号化ブロックとも呼ぶ）を生成し、前記第一暗号化により生成された前記暗号化ユニット及び前記第二暗号化により生成された前記暗号化ユニットから構成される配信用暗号化コンテンツ９００を生成する。

　２．３．１１　機器間送信手段３０２
　機器間送信手段３０２は、制御手段３１３の制御により、蓄積手段３０１から個別タイトル鍵３８１、共通タイトル鍵２４１及び配信用コンテンツデータセット３５１を読み出す。次に、暗号通信路２２を介して、個別タイトル鍵３８１及び共通タイトル鍵２４１を、情報記録媒体装置１０５ａへ送信する。さらに、配信用コンテンツデータセット３５１を、記録用情報処理装置１０３ａを介して、つまり、暗号通信路２２を介することなく、情報記録媒体装置１０５ａへ送信する。

　２．３．１２　制御手段３１３
　制御手段３１３は、配信サーバ装置１０２ａの構成要素である機器間送信手段３０２、機器間受信手段３０３、媒体識別子取得手段３０４、個別タイトル鍵生成手段３０５、暗号化手段３０６及び暗号通信路確立手段３１１を制御する。

　２．４　記録用情報処理装置１０３ａの構成
　記録用情報処理装置１０３ａは、図１８に示すように、機器間送信手段４０１、機器間受信手段４０２、媒体間送信手段４０３及び媒体間受信手段４０４から構成される。

　なお、記録用情報処理装置１０３ａは、一例として、ＣＰＵ、メモリ、内蔵フラッシュメモリ、媒体読み書き装置（ＳＤカードスロットや光ディスクドライブ）、ネットワークインタフェース回路などから構成される家電機器であるとしてもよい。この場合に、機器間送信手段４０１及び機器間受信手段４０２は、ネットワークインタフェース回路により構成され、媒体間送信手段４０３及び媒体間受信手段４０４は、媒体読み書き装置によって構成される。言うまでもなく、これらに限定されるものではない。

　２．４．１　機器間送信手段４０１
　機器間送信手段４０１は、利用者の操作により生成された配信依頼情報３２１を配信サーバ装置１０２ａへ送信する。ここで、配信依頼情報３２１は、配信サーバ装置１０２ａから情報記録媒体装置１０５ａへの配信用コンテンツデータセット３５１等の配信の依頼を示す。

　また、機器間送信手段４０１は、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間の暗号通信路２２を確立する際に、情報記録媒体装置１０５ａから、媒体間受信手段４０４を介して、暗号通信路２２の確立に必要なデータを受け取り、受け取ったデータを配信サーバ装置１０２ａへ送信する。

　さらに、機器間送信手段４０１は、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間で、暗号通信路２２が確立された後に、暗号通信路２２における配信サーバ装置１０２ａ側への保護されたデータの送信を担う。ここでは、情報記録媒体装置１０５ａから、暗号通信路２２を介して、受け取った媒体識別子３７１が保護された状態で配信サーバ装置１０２ａへ送信される。

　２．４．２　機器間受信手段４０２
　機器間受信手段４０２は、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間の暗号通信路２２を確立する際に、配信サーバ装置１０２ａから送信された暗号通信路２２の確立のために必要なデータを受信し、受信したデータを媒体間送信手段４０３を介して、情報記録媒体装置１０５ａへ送信する。

　また、機器間受信手段４０２は、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間で、暗号通信路２２が確立された後に、暗号通信路２２における配信サーバ装置１０２ａ側からの保護されたデータの受信を担う。ここでは、配信サーバ装置１０２ａから、暗号通信路２２を介して、保護された状態で個別タイトル鍵３８１及び共通タイトル鍵２４１が受信され、情報記録媒体装置１０５ａへ送信される。

　また、機器間受信手段４０２は、配信用コンテンツデータセット３５１を配信サーバ装置１０２ａから受信し、媒体間送信手段４０３を介して、つまり、暗号通信路２２を介することなく、情報記録媒体装置１０５ａへ送信する。

　２．４．３　媒体間送信手段４０３
　媒体間送信手段４０３は、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間の暗号通信路２２を確立する際に、配信サーバ装置１０２ａから、暗号通信路２２の確立のために必要なデータを、機器間受信手段４０２を介して、受け取り、受け取ったデータを情報記録媒体装置１０５ａへ送信する。

　また、媒体間送信手段４０３は、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間で、暗号通信路２２が確立された後に、暗号通信路２２における情報記録媒体装置１０５ａ側への保護されたデータの送信を担う。ここでは、配信サーバ装置１０２ａから、暗号通信路２２を介して、受け取った個別タイトル鍵３８１及び共通タイトル鍵２４１が保護された状態で情報記録媒体装置１０５ａへ送信される。

　また、媒体間送信手段４０３は、配信サーバ装置１０２ａから、機器間受信手段４０２を介して、つまり、暗号通信路２２を介することなく、配信用コンテンツデータセット３５１を受け取り、受け取った配信用コンテンツデータセット３５１を情報記録媒体装置１０５ａへ送信する。

　２．４．４　媒体間受信手段４０４
　媒体間受信手段４０４は、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間の暗号通信路２２を確立する際に、情報記録媒体装置１０５ａから、暗号通信路２２の確立のために必要なデータを受信し、受信したデータを、機器間送信手段４０１を介して、配信サーバ装置１０２ａへ送信する。

　また、媒体間受信手段４０４は、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間で、暗号通信路２２が確立された後に、暗号通信路２２における情報記録媒体装置１０５ａ側からの保護されたデータの受信を担う。ここでは、情報記録媒体装置１０５ａから、暗号通信路２２を介して、保護された状態で、媒体識別子３７１を受け取り、配信サーバ装置１０２ａ側へ送信する。

　２．５　再生用情報処理装置１０４ａの構成
　再生用情報処理装置１０４ａは、図１９に示すように、媒体間送信手段５０１、媒体間受信手段５０２、タイトル鍵取得手段５０３、復号化手段５０４、署名検証鍵保持手段５０５、入替結合体生成手段５０６、署名検証手段５０７、再生可否判定手段５０８、再生手段５０９及び制御手段５１３から構成される。

　なお、再生用情報処理装置１０４ａは、一例として、ＣＰＵ、メモリ、内蔵フラッシュメモリ、媒体読み書き装置（ＳＤカードスロットや光ディスクドライブ）などから構成される家電機器であるとしてもよい。この場合に、媒体間送信手段５０１及び媒体間受信手段５０２は、それぞれ、媒体読み書き装置によって構成され、タイトル鍵取得手段５０３、復号化手段５０４、入替結合体生成手段５０６、署名検証手段５０７及び再生可否判定手段５０８は、それぞれ、ＣＰＵ及びメモリ上で動作するプログラムによって構成され、署名検証鍵保持手段５０５は、内蔵フラッシュメモリによって実装される。しかし、言うまでもなく、これらに限定されるものではない。

　２．５．１　署名検証鍵保持手段５０５
　署名検証鍵保持手段５０５は、公開鍵５３１「ＫＰＶ」を保持している。公開鍵５３１は、コンテンツ署名生成サーバ装置１０１ａの公開鍵であり、コンテンツ署名生成サーバ装置１０１ａの署名鍵保持手段２０８が保持している私有鍵２５１「ＫＳＧ」に対応している。公開鍵５３１は、署名検証手段５０７において用いられる。

　２．５．２　媒体間送信手段５０１
　媒体間送信手段５０１は、制御手段５１３の制御により、情報記録媒体装置１０５ａへ個別タイトル鍵３８１、共通タイトル鍵２４１及び配信用コンテンツデータセット３５１の送信指示５５１を送信する。

　２．５．３　媒体間受信手段５０２
　媒体間受信手段５０２は、情報記録媒体装置１０５ａから、個別タイトル鍵３８１、共通タイトル鍵２４１及び配信用コンテンツデータセット３５１を受信する。配信用コンテンツデータセット３５１は、上述したように、ユニット選出情報７８０、配信用暗号化コンテンツ９００、ヘッダ情報８６０及び署名情報８９０から構成されている。

　個別タイトル鍵３８１、共通タイトル鍵２４１及び配信用コンテンツデータセット３５１を受信すると、媒体間受信手段５０２は、個別タイトル鍵３８１、ユニット選出情報７８０、配信用暗号化コンテンツ９００、ヘッダ情報８６０及び署名情報８９０を、再生可否判定手段５０８へ出力する。また、媒体間受信手段５０２は、個別タイトル鍵３８１、共通タイトル鍵２４１、配信用暗号化コンテンツ９００及びヘッダ情報８６０を再生手段５０９へ出力する。

　２．５．４　タイトル鍵取得手段５０３
　タイトル鍵取得手段５０３は、復号化手段５０４から、ユニット識別子と、当該ユニット識別子に対応するユニットハッシュ情報に含まれるタイトル鍵フラグ情報とを受け取る。次に、タイトル鍵取得手段５０３は、受け取ったタイトル鍵フラグ情報の値が、「０」であるか、又は「１」であるかを判断する。受け取ったタイトル鍵フラグ情報が「０」であると判断する場合は、媒体間受信手段５０２から個別タイトル鍵３８１を受け取り、
「１」であると判断する場合は、媒体間受信手段５０２から共通タイトル鍵２４１を受け取る。次に、タイトル鍵取得手段５０３は、受け取ったタイトル鍵フラグ情報が「０」であると判断する場合は、受け取った個別タイトル鍵３８１を復号化手段５０４へ出力する。また、受け取ったタイトル鍵フラグ情報が「１」であると判断する場合は、受け取った共通タイトル鍵２４１を復号化手段５０４へ出力する。

　２．５．５　再生可否判定手段５０８
　再生可否判定手段５０８は、媒体間受信手段５０２から、個別タイトル鍵３８１、ユニット選出情報７８０、配信用暗号化コンテンツ９００、ヘッダ情報８６０及び署名情報８９０を受け取り、受け取った個別タイトル鍵３８１、ユニット選出情報７８０、配信用暗号化コンテンツ９００、ヘッダ情報８６０及び署名情報８９０を入替結合体生成手段５０６へ出力する。

　また、再生可否判定手段５０８は、署名情報８９０を用いた検証結果５４１を署名検証手段５０７から受け取る。検証結果５４１が、検証の成功を示す場合は、再生手段５０９へコンテンツの再生を開始するよう指示する。検証結果５４１が、検証の失敗を示す場合は、再生手段５０９に対して、コンテンツの再生処理の停止を指示する。

　なお、コンテンツの再生処理を停止することを利用者に認識させるために、再生用情報処理装置１０４ａに接続するモニタに、当該エラーを通知する画面を表示したり、再生用情報処理装置１０４ａが備えるインジケータランプを点灯させたりして、コンテンツの再生ができないことを利用者に通知してもよい。

　２．５．６　復号化手段５０４
　復号化手段５０４は、再生可否判定手段５０８からの指示により、受け取った配信用暗号化コンテンツ９００の再生を開始し、又は、再生処理を停止する。

　復号化手段５０４は、再生可否判定手段５０８からの指示により、受け取った配信用暗号化コンテンツ９００の再生を開始する場合には、次のように復号処理を行う。

　復号化手段５０４は、再生手段５０９から個別タイトル鍵３８１、共通タイトル鍵２４１、ヘッダ情報８６０及び配信用暗号化コンテンツ９００を受け取る。

　次に、復号化手段５０４は、タイトル鍵取得手段５０３から個別タイトル鍵３８１及び共通タイトル鍵２４１を媒体間受信手段５０２から受け取り、受け取った個別タイトル鍵３８１及び共通タイトル鍵２４１を用いて、受け取った配信用暗号化コンテンツ９００を復号する。

　以下において、具体的に、復号の処理について説明する。

　まず、復号化手段５０４は、受け取った配信用暗号化コンテンツ９００から、配信用暗号化ファイル９０１「ＤＣＮＴ１」、配信用暗号化ファイル９０２「ＤＣＮＴ２」、配信用暗号化ファイル９０３「ＤＣＮＴ３」、・・・、配信用暗号化ファイル９０４「ＤＣＮＴｃ」を順次、抽出する。次に、タイトル鍵取得手段５０３から受け取った個別タイトル鍵３８１及び共通タイトル鍵２４１を用いて、受け取った配信用暗号化ファイル９０１、９０２、９０３、・・・、９０４を復号化する。

　配信用暗号化ファイル９０１、９０２、９０３、・・・、９０４のそれぞれの復号化の処理は、同一であるので、以下では、配信用暗号化ファイル９０１「ＤＣＮＴ１」の復号化の処理について説明する。

　復号化手段５０４は、配信用暗号化ファイル９０１から、配信用暗号化ユニット９１３「ＤＵ１＿１」、配信用暗号化ユニット９１４「ＤＵ１＿２」、配信用暗号化ユニット９１５「ＤＵ１＿３」、・・・、配信用暗号化ユニット９１７「ＤＵ１＿ｍ」を抽出する。

　次に、復号化手段５０４は、配信用暗号化ユニット９１３、９１４、９１５、・・・、９１７のそれぞれについて、以下の処理を行う。以下においては、代表として、配信用暗号化ユニット９１３について、説明する。

　復号化手段５０４は、受け取ったヘッダ情報８６０から、配信用暗号化ユニット９１３に対応する第一ハッシュテーブル８６１を抽出し、第一ハッシュテーブル８６１内のユニットハッシュ情報毎に、当該ユニットハッシュ情報から、ユニット識別子及び当該ユニット識別子に対応するタイトル鍵フラグ情報を抽出する。次に、第一ハッシュテーブル８６１内のユニットハッシュ情報毎に、抽出したユニット識別子とタイトル鍵フラグ情報とをタイトル鍵取得手段５０３へ出力する。

　次に、復号化手段５０４は、タイトル鍵フラグ情報の値に従って、タイトル鍵フラグ情報が「０」の場合は、タイトル鍵取得手段５０３から、個別タイトル鍵３８１を受け取る。タイトル鍵フラグ情報が「１」の場合は、タイトル鍵取得手段５０３から、共通タイトル鍵２４１を受け取る。復号化手段５０４は、受け取ったタイトル鍵を用いて、配信用暗号化ユニット９１３を復号化し、得られた復号ユニットを再生手段５０９へ出力する。配信用暗号化ユニット９１４、９１５、９１６、・・・、９１７に対しても、同様の処理を実行して復号化し、復号ユニットを再生手段５０９へ出力する。

　復号化手段５０４は、上記の復号処理の他に、以下に示すように、入替結合体生成手段５０６からの指示により、復号を行う。

　復号化手段５０４は、入替結合体生成手段５０６からヘッダ情報８６０と配信用暗号化ユニットを受け取り、受け取った配信用暗号化ユニットの復号化を実行する。

　配信用暗号化ユニットの復号化の処理は、上記の処理と同様である。具体的には、復号化手段５０４は、配信用暗号化ユニットに対応するユニット識別子をタイトル鍵取得手段５０３に出力し、タイトル鍵取得手段５０３からタイトル鍵を受け取り、受け取ったタイトル鍵を用いて配信用暗号化ユニットを復号化する。復号化手段５０４は、配信用暗号化ユニットを復号化して得られた復号ユニットを入替結合体生成手段５０６へ出力する。

　２．５．７　入替結合体生成手段５０６
　入替結合体生成手段５０６は、個別タイトル鍵３８１、ユニット選出情報７８０、配信用暗号化コンテンツ９００、ヘッダ情報８６０及び署名情報８９０を再生可否判定手段５０８から受け取る。

　次に、入替結合体生成手段５０６は、以下に説明するようにして、入替第一ハッシュテーブルと入替第二ハッシュテーブルを生成する。

　図２０に、入替結合体生成手段５０６による入替第一ハッシュテーブル９４１及び入替第一ハッシュテーブル９４３並びに入替第二ハッシュテーブル９３１の生成動作の概要を示す。

　入替結合体生成手段５０６は、図２１に示すように、ユニット選出情報７８０からｋ個（ｋは、ｃ以下の自然数）のファイル情報を選択し、選択したファイル情報のそれぞれからファイル識別子を抽出する。ここでは、一例として、ファイル情報７８１、７８３、・・・が選択され、選択されたファイル情報７８１、７８３、・・・からファイル識別子７８６「ＦＩＤ１」、ファイル識別子７８７「ＦＩＤ３」、・・・が抽出されたものとする。

　次に、入替結合体生成手段５０６は、抽出したファイル識別子７８６「ＦＩＤ１」と対応する第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」及び配信用暗号化ファイル９０１「ＤＣＮＴ１」を基にして、以下に説明するようにして、入替第一ハッシュテーブル９４１「ＲＨＡ１ＴＢＬ１」を生成する。抽出した他のファイル識別子７８７「ＦＩＤ３」、・・・についても同様に、入替第一ハッシュテーブル９４３「ＲＨＡ１ＴＢＬ３」、・・・を生成する。次に、入替結合体生成手段５０６は、生成した入替第一ハッシュテーブル９４１「ＲＨＡ１ＴＢＬ１」、入替第一ハッシュテーブル９４１「ＲＨＡ１ＴＢＬ
３」、・・・及び、第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」を基に、以下に説明するようにして、入替第二ハッシュテーブル９３１「ＲＨＡ２ＴＢＬ」を生成する。

　次に、入替第一ハッシュテーブル９４１、９４３、・・・の生成の手順、及び、入替第二ハッシュテーブル９３１の生成の手順について、図面を用いて詳細に説明する。

　（１）入替第一ハッシュテーブルの生成
　入替第一ハッシュテーブル９４１の生成手順について、図２１及び図２２を用いて説明する。

　入替結合体生成手段５０６は、図２１に示すように、受け取ったユニット選出情報７８０に含まれるｃ個のファイル情報７８１、７８２、７８３、・・・、７８５からｋ個（ｋはｃ以下の自然数）のファイル情報を選択する。

　ファイル情報を選択する方法として、例えば、１以上、ｃ以下の擬似乱数をｋ個（ｒ１、ｒ２、・・・、ｒｋ）生成し、ｒ１番目、ｒ２番目、・・・、ｒｋ番目のファイル情報を選択し、選択したファイル情報からファイル識別子を抽出する。

　ファイル情報を選択してファイル識別子を抽出する方法は、これに限るものではなく、何れのファイル識別子が選択されるかを予測することが困難であれば、どのような方法でもよい。

　例えば、前記疑似乱数として、気温、湿度、電気信号のノイズなどを用いてもよい。

　本実施の形態では、ｋ＝７と想定し、７個のファイル情報「ＦＩ１」、「ＦＩ３」、・・・が選択された場合について説明する。

　次に、入替結合体生成手段５０６は、図２１に示すように、一例として、選択したファイル情報７８１「ＦＩ１」から抽出したファイル識別子７８６「ＦＩＤ１」に対応する配信用暗号化ファイル９０１「ＤＣＮＴ１」から、いずれか一つの配信用暗号化ユニットを選択する。

　具体的には、入替結合体生成手段５０６は、選択したファイル情報に含まれるユニット数Ｎ１を読み出し、読み出したユニット数Ｎ１以下の擬似乱数ｔを生成する。ここでは、擬似乱数ｔ＝３が生成されたものとする。次に、図２２に一例として示すように、生成した擬似乱数ｔ（＝３）に対応して、配信用暗号化ファイル９０１「ＤＣＮＴ１」の３番目の配信用暗号化ユニット９１５「ＤＵ１＿３」を、媒体間受信手段５０２から受け取る。

　次に、入替結合体生成手段５０６は、受け取った配信用暗号化ユニット９１５「ＤＵ１＿３」に対応するタイトル鍵フラグ情報「ＴＫＦＩ１＿３」を、媒体間受信手段５０２から受け取る。次に、入替結合体生成手段５０６は、タイトル鍵フラグ情報「ＴＫＦＩ１＿３」が「０」及び「１」のいずれであるかを判定する。

　タイトル鍵フラグ情報「ＴＫＦＩ１＿３」が「０」の場合、復号化手段５０４に配信用暗号化ユニット９１５を出力し、復号化手段５０４から配信用暗号化ユニットを復号化して得られた復号ユニットを受け取る。入替結合体生成手段５０６は、受け取った復号ユニットを、ハッシュ対象ユニット「ＨＵ１＿３」とする。

　タイトル鍵フラグ情報「ＴＫＦＩ１＿３」が「１」の場合、入替結合体生成手段５０６は、配信用暗号化ユニットそのものを、ハッシュ対象ユニット「ＨＵ１＿３」とする。

　さらに、入替結合体生成手段５０６は、ハッシュ対象ユニット「ＨＵ１＿３」をハッシュ関数に代入し、入替ユニットハッシュ値「ＲＵＨ３」を生成する。ここで、入替結合体生成手段５０６は、コンテンツ署名生成サーバ装置１０１ａのヘッダ情報生成手段２０７の用いるハッシュ関数と同一のハッシュ関数を使用する。

　次に、入替結合体生成手段５０６は、ヘッダ情報８６０に含まれる第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」を、媒体間受信手段５０２から受け取る。

　受け取った第一ハッシュテーブル８６１「ＨＡ１ＴＢＬ１」が構成するｍ個のユニットハッシュ情報８７１、８７２、８７３、・・・、８７４から、疑似乱数ｔ＝３と一致するユニット識別子「ＵＩＤ１＿３」に対応するユニットハッシュ値「ＵＨＡ１＿３」を、算出した入替ユニットハッシュ値９４２「ＲＵＨ３」と入れ替え、入替ユニットハッシュ値９４２「ＲＵＨ３」が入れ替えられた後のハッシュテーブルを入替第一ハッシュテーブル９４１「ＲＨＡ１ＴＢＬ１」とする。

　入替結合体生成手段５０６は、その他の選択したファイル情報「ＦＩ３」、・・・についても、同様の処理を繰り返し、入替第一ハッシュテーブル９４３「ＲＨＡ１ＴＢＬ３」、・・・を生成する。

　（２）入替第二ハッシュテーブル９３１の生成
　以下において、入替第二ハッシュテーブル９３１の生成手順について、図２３を用いて説明する。

　選択した７個のファイル情報に基づいて、７個の入替第一ハッシュテーブル９４１、９４３、・・・の生成を終了すると、入替結合体生成手段５０６は、生成した入替第一ハッシュテーブル９４１「ＲＨＡ１ＴＢＬ１」をハッシュ関数に代入し、入替ファイルハッシュ値８９２ａ「ＲＦＨ１」を生成する。同様にして、入替第一ハッシュテーブル９４３「ＲＨＡ１ＴＢＬ３」、・・・を基に、入替ファイルハッシュ値８９４ａ「ＲＦＨ３」、・・・を生成する。

　次に、入替結合体生成手段５０６は、ヘッダ情報８６０に含まれる第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」を、媒体間受信手段５０２から受け取る。受け取った第二ハッシュテーブル８６５「ＨＡ２ＴＢＬ」に含まれるｃ個のファイルハッシュ情報８８５、８８６、８８７、・・・、８８８のうち、選択した７個のファイル情報に含まれるファイル識別子「ＦＩＤ１」、「ＦＩＤ３」、・・・を含むファイルハッシュ情報のファイルハッシュ値を、生成した入替ファイルハッシュ値８９２ａ「ＲＦＨ１」、入替ファイルハッシュ値８８３ａ「ＲＦＨ３」、・・・と、それぞれ入れ替える。入れ替え後の第二ハッシュテーブルを入替第二ハッシュテーブル９３１「ＲＨＡ２ＴＢＬ」とする。

　次に、入替結合体生成手段５０６は、ユニット選出情報７８０、入替第二ハッシュテーブル９３１「ＲＨＡ２ＴＢＬ」及び署名情報８９０を署名検証手段５０７へ出力する。

　２．５．８　署名検証手段５０７
　署名検証手段５０７は、入替結合体生成手段５０６から、ユニット選出情報７８０、入替第二ハッシュテーブル９３１「ＲＨＡ２ＴＢＬ」及び署名情報８９０を受け取る。

　ユニット選出情報７８０、入替第二ハッシュテーブル９３１「ＲＨＡ２ＴＢＬ」及び署名情報８９０を受け取ると、署名検証手段５０７は、署名検証鍵保持手段５０５から公開鍵５３１「ＫＰＶ」を読み出す。次に、図２４に示すように、受け取った入替第二ハッシュテーブル９３１「ＲＨＡ２ＴＢＬ」とユニット選出情報７８０とを結合して結合体５５２を生成する。次に、読み出した公開鍵５３１を用いて、生成した結合体５５２に対して、署名検証アルゴリズムＶにより、受け取った署名情報８９０を検証する。

　ここで、署名検証アルゴリズムＶは、１．２．８で述べたような署名方式のアルゴリズムであり、署名生成手段２０９で使用する署名生成アルゴリズムＳに対応するものである。

　次に、署名検証手段５０７は、検証結果５４１を再生可否判定手段５０８へ出力する。

　２．５．９　再生手段５０９
　再生手段５０９は、個別タイトル鍵３８１、共通タイトル鍵２４１、配信用暗号化コンテンツ９００及びヘッダ情報８６０を媒体間受信手段５０２から受け取り、受け取った個別タイトル鍵３８１、共通タイトル鍵２４１、配信用暗号化コンテンツ９００及びヘッダ情報８６０を復号化手段５０４へ出力する。

　また、再生手段５０９は、復号化手段５０４から配信用暗号化コンテンツを復号して得られた復号コンテンツを受け取り、受け取った復号コンテンツを再生する。

　２．６　情報記録媒体装置１０５ａの構成
　情報記録媒体装置１０５ａは、図２５に示すように、機器間送信手段６０１、機器間受信手段６０２、媒体識別子保持手段６０３、運用主体公開鍵保持手段６０４、私有鍵保持手段６０５、公開鍵証明書保持手段６０６、暗号通信路確立手段６０７、タイトル鍵蓄積手段６０８、コンテンツ蓄積手段６０９及び制御手段６１０から構成されている。

　なお、情報記録媒体装置１０５ａは、具体的には、ＣＰＵ、ＲＡＭやＲＯＭなどのメモリ、フラッシュメモリ、記録用情報処理装置１０３ａや再生用情報処理装置１０４ａとデータのやり取りを行うためのインタフェースユニットなどから構成されるメモリカードであるとしてもよい。

　この場合には、機器間送信手段６０１及び機器間受信手段６０２は、インタフェースユニットによって構成され、媒体識別子保持手段６０３、運用主体公開鍵保持手段６０４、私有鍵保持手段６０５及び公開鍵証明書保持手段６０６は、それぞれ、ＲＯＭによって構成され、タイトル鍵蓄積手段６０８及びコンテンツ蓄積手段６０９は、それぞれ、フラッシュメモリによって構成され、暗号通信路確立手段６０７及び制御手段６１０は、それぞれ、ＣＰＵ及びメモリ上で動作するプログラムによって構成される。なお、ＣＰＵ、メモリやインタフェースユニットは、コントローラと呼ばれるハードウェアにより構成される場合もある。言うまでもなく、これらに限定されるものではない。

　なお、媒体識別子保持手段６０３、運用主体公開鍵保持手段６０４、私有鍵保持手段６０５及び公開鍵証明書保持手段６０６は、それぞれ、ＲＯＭによって構成されるとしているが、これをＥＥＰＲＯＭもしくは混載フラッシュメモリのような、製造時に一度のみ書き込み可能なメモリにより構成されるとしてもよい。

　２．６．１　運用主体公開鍵保持手段６０４
　運用主体公開鍵保持手段６０４は、コンテンツ配信システム１０ａの運用主体が有する認証局装置の公開鍵３６１を保持している。

　公開鍵３６１は、配信サーバ装置１０２ａの運用主体公開鍵保持手段３０８が保持する公開鍵３６１と同一である。

　この公開鍵３６１は、暗号通信路確立手段６０７が、暗号通信路２２を確立する際に使用される。

　公開鍵３６１は、予め、情報記録媒体装置１０５ａに埋め込まれているものとするが、これには限定されない。例えば、コンテンツ配信システム１０ａの運用主体の認証局装置から公開鍵３６１が送信され、情報記録媒体装置１０５ａが公開鍵３６１を受信し、受信した公開鍵３６１を運用主体公開鍵保持手段６０４が蓄積するとしてもよい。

　２．６．２　私有鍵保持手段６０５
　私有鍵保持手段６０５は、情報記録媒体装置１０５ａの私有鍵６３１（媒体私有鍵とも呼ぶ）を保持している。私有鍵６３１は、暗号通信路確立手段６０７が暗号通信路２２を確立する際に使用する公開鍵暗号又は公開鍵署名で用いられるものであり、コンテンツ配信システムの運用主体の認証局装置により、公開鍵証明書９５１と共に発行された私有鍵である。

　２．６．３　公開鍵証明書保持手段６０６
　公開鍵証明書保持手段６０６は、情報記録媒体装置１０５ａの公開鍵証明書９５１を保持している。公開鍵証明書９５１は、図２６に示すように、媒体公開鍵９５２及びその他の情報並びに署名９５３から構成される。媒体公開鍵９５２は、コンテンツ配信システム１０ａの運用主体の認証局装置が情報記録媒体装置１０５ａ向けに発行した公開鍵である。署名９５３は、媒体公開鍵９５２及びその他の情報に対して、コンテンツ配信システム１０ａの運用主体の認証局装置が、署名生成アルゴリズムＳを用いて、当該認証局装置自身が保持する自身の私有鍵を使用して生成したデジタル署名データである。

　署名生成アルゴリズムＳは、本実施の形態では、一例として、１６０ビットの鍵長を持つＥＣ－ＤＳＡ（Elliptic
Curve Digital Signature Algorithm）である。しかし、これに限定されない。他のデジタル署名方式であってもよいし、異なるビット長の鍵を用いるとしてもよい。また、ＭＡＣ（Message Authentication Code）など他の暗号関数を用いて改竄を防止する方法でもよい。この署名を付与することによって、媒体公開鍵９５２が確かに、コンテンツ配信システム１０ａの運用主体の認証局装置により発行されたことを検証することが可能になる。

　２．６．４　媒体識別子保持手段６０３
　媒体識別子保持手段６０３は、情報記録媒体装置１０５ａを一意に識別する媒体識別子３７１を保持している。

　２．６．５　タイトル鍵蓄積手段６０８
　タイトル鍵蓄積手段６０８は、個別タイトル鍵３８１及び共通タイトル鍵２４１を記録するための領域を備えている。タイトル鍵蓄積手段６０８は、正当と判断された配信サーバ装置１０２ａのみによって、情報の書き込み可能な記憶領域である。

　ここで、個別タイトル鍵３８１及び共通タイトル鍵２４１は、暗号通信路確立手段６０７により確立された暗号通信路２２を用いて、受信したものである。

　２．６．６　コンテンツ蓄積手段６０９
　コンテンツ蓄積手段６０９は、配信用コンテンツデータセット３５１を記録するための領域を備えている。

　配信用コンテンツデータセット３５１は、機器間受信手段６０２により受信したものである。

　２．６．７　機器間送信手段６０１
　機器間送信手段６０１は、制御手段６１０の制御により、再生用情報処理装置１０４ａに対して、タイトル鍵蓄積手段６０８に記録している個別タイトル鍵３８１と共通タイトル鍵２４１、並びに、コンテンツ蓄積手段６０９に蓄積している配信用コンテンツデータセット３５１を送信する。

　また、機器間送信手段６０１は、記録用情報処理装置１０３ａに対して、暗号通信路確立手段６０７により確立された暗号通信路２２を介して、媒体識別子保持手段６０３が保持する媒体識別子３７１を送信する。

　２．６．８　機器間受信手段６０２
　機器間受信手段６０２は、記録用情報処理装置１０３ａから、個別タイトル鍵３８１、共通タイトル鍵２４１及び配信用コンテンツデータセット３５１を受信する。ここで、個別タイトル鍵３８１及び共通タイトル鍵２４１は、暗号通信路確立手段６０７により確立された暗号通信路２２を介して受信する。

　２．６．９　暗号通信路確立手段６０７
　暗号通信路確立手段６０７は、運用主体公開鍵保持手段６０４が保持する公開鍵３６１、私有鍵保持手段６０５が保持する情報記録媒体装置１０５ａの私有鍵６３１、及び、公開鍵証明書保持手段６０６が保持する情報記録媒体装置１０５ａの公開鍵証明書９５１を用いて、記録用情報処理装置１０３ａを経由して、配信サーバ装置１０２ａとの暗号通信路２２を確立する。

　具体的には、暗号通信路確立手段６０７は、通信相手の配信サーバ装置１０２ａが正当な装置であるか否かを検証する。正当でないと判断する場合には、暗号通信路２２の確立を中止する。暗号通信路確立手段６０７は、配信サーバ装置１０２ａが正当な装置であると判断する場合には、配信サーバ装置１０２ａとの間で、秘密のセッション鍵を共有する。共有したセッション鍵を用いて、配信サーバ装置１０２ａとの間で、秘密の暗号通信を行う。

　暗号通信路２２を確立すると、暗号通信路確立手段６０７は、正当と判断した配信サーバ装置１０２ａに対して、タイトル鍵（個別タイトル鍵３８１及び共通タイトル鍵２４１）のタイトル鍵蓄積手段６０８への書き込みを許可する。正当と判断されなかった装置に対しては、タイトル鍵蓄積手段６０８へのデータの書き込みを許可しない。

　暗号通信路２２の確立方法は、配信サーバ装置１０２ａの暗号通信路確立手段３１１と同じ方法を使用する。したがって、本実施の形態では、ＤＴＣＰで規定されている方式を用いる。

　２．７　コンテンツ配信システム１０ａの動作
　コンテンツ配信システム１０ａの動作のうち、コンテンツ署名生成サーバ装置１０１ａが中間コンテンツデータセット２４２等を生成し、中間コンテンツデータセット２４２等を配信サーバ装置１０２ａに送信する「コンテンツ署名生成」の動作と、配信サーバ装置１０２ａが配信用コンテンツデータセット３５１等を生成し、配信用コンテンツデータセット３５１等を記録用情報処理装置１０３ａを経由して情報記録媒体装置１０５ａに蓄積する「コンテンツ配信」の動作と、再生用情報処理装置１０４ａが情報記録媒体装置１０５ａから配信用コンテンツデータセット３５１等を読み出して再生する「コンテンツ再生」の動作のそれぞれについて、以下に説明する。

　（１）コンテンツ署名生成の動作
　コンテンツ署名生成の動作について、図２７に示すシーケンス図を用いて説明する。

　コンテンツ署名生成サーバ装置１０１ａのユニット生成手段２０４は、分割コンテンツ７２１とユニット選出情報７８０を生成し、分割コンテンツ７２１を暗号化手段２０６へ出力し、ユニット選出情報７８０を署名生成手段２０９へ出力し、ユニット選出情報７８０を蓄積手段２０２へ書き込む（ステップＳ１００１）。共通タイトル鍵生成手段２０５は、共通タイトル鍵２４１を生成し、共通タイトル鍵２４１を暗号化手段２０６へ出力し、共通タイトル鍵２４１を蓄積手段２０２へ書き込む（ステップＳ１００２）。暗号化手段２０６は、暗号化分割コンテンツ８４０及び暗号化コンテンツ８２０を生成し、暗号化分割コンテンツ８４０をヘッダ情報生成手段２０７へ出力し、暗号化コンテンツ８２０を蓄積手段２０２へ書き込む（ステップＳ１００３）。ヘッダ情報生成手段２０７は、ヘッダ情報８６０を生成し、ヘッダ情報８６０を蓄積手段２０２へ書き込み、ヘッダ情報８６０に含まれる第二ハッシュテーブル８６５を署名生成手段２０９へ出力する（ステップＳ１００４）。次に、署名生成手段２０９は、署名情報８９０を生成し、署名情報８９０を蓄積手段２０２へ書き込む（ステップＳ１００５）。機器間送信手段２０３は、蓄積手段２０２から共通タイトル鍵２４１及び中間コンテンツデータセット２４２を読み出し、共通タイトル鍵２４１及び中間コンテンツデータセット２４２を配信サーバ装置１０２ａへ送信する。配信サーバ装置１０２ａの機器間受信手段３０３は、共通タイトル鍵２４１及び中間コンテンツデータセット２４２を受信し（ステップＳ１００６）、共通タイトル鍵２４１及び中間コンテンツデータセット２４２を蓄積手段３０１へ書き込む（ステップＳ１００７）。

　（２）コンテンツ配信の動作
　コンテンツ配信の動作について、図２８に示すシーケンス図を用いて説明する。

　記録用情報処理装置１０３ａは、配信サーバ装置１０２ａへ配信依頼情報３２１を送信し、配信サーバ装置１０２ａの機器間受信手段３０３は、配信依頼情報３２１を受信する（ステップＳ１１０１）。次に、配信サーバ装置１０２ａの暗号通信路確立手段３１１と情報記録媒体装置１０５ａの暗号通信路確立手段６０７とは、配信サーバ装置１０２ａと情報記録媒体装置１０５ａとの間で、暗号通信路２２を確立する（ステップＳ１１０２）。　暗号通信路２２が確立されると、情報記録媒体装置１０５ａの機器間送信手段６０１は、媒体識別子３７１を、暗号通信路２２を介して、記録用情報処理装置１０３ａ経由で配信サーバ装置１０２ａへ送信する（ステップＳ１１０３）。

　配信サーバ装置１０２ａの機器間受信手段３０３は、暗号通信路２２を介して、媒体識別子３７１を受信する（ステップＳ１１０３）。個別タイトル鍵生成手段３０５は、個別タイトル鍵３８１を生成する（ステップＳ１１０４）。暗号化手段３０６は、配信用暗号化コンテンツ９００を生成する（ステップＳ１１０５）。機器間送信手段３０２は、配信用コンテンツデータセット３５１を記録用情報処理装置１０３ａを経由して情報記録媒体装置１０５ａへ送信する（ステップＳ１１０６）。

　情報記録媒体装置１０５ａの機器間受信手段６０２は、配信用コンテンツデータセット３５１を受信し（ステップＳ１１０６）、配信用コンテンツデータセット３５１をコンテンツ蓄積手段６０９へ書き込む（ステップＳ１１０７）。

　配信サーバ装置１０２ａの機器間送信手段３０２は、個別タイトル鍵３８１及び共通タイトル鍵２４１を暗号通信路２２を使用して、記録用情報処理装置１０３ａ経由で情報記録媒体装置１０５ａへ送信する（ステップＳ１１０８）。

　情報記録媒体装置１０５ａの機器間受信手段６０２は、暗号通信路２２を使用して、個別タイトル鍵３８１及び共通タイトル鍵２４１を受信し（ステップＳ１１０８）、個別タイトル鍵３８１及び共通タイトル鍵２４１をタイトル鍵蓄積手段６０８へ書き込む（ステップＳ１１０９）。

　（３）コンテンツ再生の動作
　コンテンツ再生の動作について、図２９に示すシーケンス図を用いて説明する。

　再生用情報処理装置１０４ａの媒体間送信手段５０１は、情報記録媒体装置１０５ａへ送信指示５５１を送信し、情報記録媒体装置１０５ａの機器間受信手段６０２は、送信指示５５１を受信する（ステップＳ１２０１）。

　次に、情報記録媒体装置１０５ａの機器間送信手段６０１は、再生用情報処理装置１０４ａへ個別タイトル鍵３８１、共通タイトル鍵２４１及び配信用コンテンツデータセット３５１を送信する（ステップＳ１２０２）。

　次に、再生用情報処理装置１０４ａの媒体間受信手段５０２は、個別タイトル鍵３８１、共通タイトル鍵２４１及び配信用コンテンツデータセット３５１を受信する（ステップＳ１２０２）。入替結合体生成手段５０６は、入替第二ハッシュテーブル９３１を生成し、入替第二ハッシュテーブル９３１とユニット選出情報７８０とを結合して入替結合体５５２を生成する（ステップＳ１２０３）。署名検証手段５０７は、生成した入替結合体５５２及び署名情報８９０を用いて署名検証し、検証結果５４１に応じて再生可否判定手段５０８は、再生可否を判定する（ステップＳ１２０４）。検証結果５４１が検証の失敗を示す場合（ステップＳ１２０４で「検証失敗」）、コンテンツの再生処理を停止する。検証結果５４１が検証の成功を示す場合（ステップＳ１２０４で「検証成功」）、タイトル鍵取得手段５０３はタイトル鍵（個別タイトル鍵３８１及び共通タイトル鍵２４１）を取得し、復号化手段５０４は、取得したタイトル鍵を用いて、配信用暗号化コンテンツ９００を復号化する（ステップＳ１２０５）。再生手段５０９は、復号により得られた復号コンテンツを再生する（ステップＳ１２０６）。

　２．８　コンテンツ配信システム１０ａの効果
　（１）コンテンツ配信システム１０ａでは、タイトル鍵（個別タイトル鍵３８１及び共通タイトル鍵２４１）を情報記録媒体装置１０５ａのタイトル鍵蓄積手段６０８に格納する。情報記録媒体装置１０５ａのタイトル鍵蓄積手段６０８は、正当と判断された配信サーバ装置１０２ａのみによって、情報の書き込み可能な記憶領域である。

　具体的には、コンテンツ配信システム１０ａでは、公開鍵証明書を検証して確立した暗号通信路２２を使用して、検証で正しいと判定された配信サーバ装置１０２ａのみが送信したタイトル鍵を情報記録媒体装置１０５ａのタイトル鍵蓄積手段６０８に書き込んでいる。その結果、検証で不正と判定された不正なサーバ装置からの、タイトル鍵の書き込みを防止できる。

　（２）コンテンツ配信システム１０ａでは、コンテンツに対する署名情報８９０を、情報記録媒体装置１０５ａに格納し、署名情報８９０を用いた検証により、暗号化コンテンツの不正な差し替えが検出でき、暗号化コンテンツの不正な差し替えを防止できる。

　（３）また、コンテンツ配信システム１０ａでは、配信サーバ装置１０２ａの個別タイトル鍵生成手段３０５が、情報記録媒体装置毎に、個別タイトル鍵３８１を生成し、タイトル鍵データベース蓄積手段３０７が、個別タイトル鍵３８１と、情報記録媒体装置を一意に識別する媒体識別子とを対として保持及び管理している。これにより、個別タイトル鍵３８１がＷＥＢサーバやインターネット掲示板で不正に暴露されたときに、配信サーバ装置１０２ａから個別タイトル鍵３８１に対する情報記録媒体装置の媒体識別子を取得して、漏洩元の情報記録媒体装置を特定し、特定した情報記録媒体装置へのそれ以降のコンテンツ配信を食い止めることが可能となる。

　（３）コンテンツ配信システム１０ａでは、共通タイトル鍵２４１の使用対象とするユニットに対しては、当該ユニットを暗号化して得られた暗号化ユニットを含む暗号化分割ファイルを元にして生成した第二ハッシュテーブル等に対する署名情報を付加している。これにより、万が一、不正なサーバ装置が、情報記録媒体装置に不正な共通タイトル鍵を書き込み、その不正な共通タイトル鍵に合わせて生成された暗号化コンテンツを情報記録媒体装置に書き込んだとしても、再生用情報処理装置で実行される署名検証により、不正を検出して、その不正な暗号化コンテンツの再生を停止することが可能である。

　（４）さらに、コンテンツ配信システム１０ａでは、個別タイトル鍵３８１の使用対象とするユニットに対しては、暗号化ユニットではなく、平文のユニットを含む暗号化分割ファイルを元にして生成した第二ハッシュテーブル等に対する署名情報を付加している。こうして、配信サーバ装置１０２ａではコンテンツに対する署名情報を生成することなく、予め、コンテンツ署名生成サーバ装置１０１ａが署名情報を生成している。

　従って、配信サーバ装置１０２ａのみがネットワークに接続されるようにし、コンテンツ署名生成サーバ装置１０１ａをネットワークに接続しないようにしておけば、コンテンツ署名生成サーバ装置１０１ａが、ネットワークを介して、攻撃を受けることを防止でき、署名情報を改ざんされていない確かなものにすることができる。

　（５）また、個別タイトル鍵３８１の使用対象とするユニットについては、上記のように、不正な共通タイトル鍵とそれに合わせて生成された暗号化ユニットとか情報記録媒体装置に不正に書き込まれたとしても、再生用情報処理装置１０４ａで実行する署名検証によっても、そのような不正を検出することができず、再生を停止することができない。

　しかし、一つのコンテンツ内において、個別タイトル鍵３８１を使用して暗号化するユニットと、共通タイトル鍵２４１を使用して暗号化するユニットする箇所を混在させることで、個別タイトル鍵３８１を使用する部分のみを差し替えても、上記のように、再生は停止しないが、コンテンツの再生を困難にすることができる。

　具体的には、ＭＰＥＧ２などの圧縮動画の符号化方法には、映像のベースとなるＩピクチャとＩピクチャからの差分で構成されるＢピクチャやＰピクチャがある。例えば、Ｉピクチャを共通タイトル鍵２４１で暗号化し、ＢピクチャやＰピクチャを個別タイトル鍵３８１で暗号化すれば、ＢピクチャやＰピクチャのみの差し替えでは、ベースとなる映像が表現できないため、攻撃者の思い通りの視聴ができなくなる。

　このように、コンテンツの各ユニットに対して、個別タイトル鍵３８１を用いる暗号化と共通タイトル鍵２４１を用いる暗号化を混在させることにより、すなわち、個別タイトル鍵３８１と共通タイトル鍵２４１の両方を使用して、コンテンツを暗号化するようにすれば、攻撃者がタイトル鍵と一部のユニットを不正に差し替えた場合であっても、攻撃者の思い通りにコンテンツを再生させないようにできる。

　（６）また、共通タイトル鍵２４１を用いて暗号化されたユニットのユニットハッシュ値と、個別タイトル鍵３８１の使用対象であるユニットのユニットハッシュ値とに基づいて生成した第二ハッシュテーブルに対して署名情報を生成しているため、各ユニットハッシュ値の改ざんを防止できている。

　以上、説明したように、コンテンツ配信システム１０ａでは、個別タイトル鍵３８１と共通タイトル鍵２４１の両方を使用し、共通タイトル鍵２４１に対しては暗号化されたユニットに、個別タイトル鍵３８１に対しては平文のユニットに対して、ユニットハッシュ値を生成することにより、攻撃者による攻撃を防止しつつ、予め、コンテンツの署名情報を生成できるという効果がある。

　なお、上記においても説明したように、個別タイトル鍵３８１と共通タイトル鍵２４１の両方を使用し、共通タイトル鍵２４１に対しては、暗号化されたユニットに、個別タイトル鍵３８１に対しては、平文のユニットに対して、ユニットハッシュ値を生成するので、タイトル鍵を改ざんされたとしても、再生用情報処理装置において、改ざんされたタイトル鍵を用いて不正なコンテンツを再生させようとする攻撃を防止できる。コンテンツ配信システム１０ａでは、タイトル鍵を配信サーバ装置のみが書き込み可能となるような構成としているが、上記の効果を発揮するために、タイトル鍵を配信サーバ装置のみが書き込み可能とする構成は発明として必須の構成ではない。

　３．実施の形態３
　ここでは、コンテンツ配信システム１０ａの変形例として、本発明に係る実施の形態３としてのコンテンツ配信システム１０ｂについて、図面を参照しながら説明する。

　３．１　コンテンツ配信システム１０ｂの全体構成
　コンテンツ配信システム１０ｂは、図３０に示すように、コンテンツ署名生成サーバ装置１０１ａ、配信サーバ装置１０２ｂ、記録用情報処理装置１０３ａ、再生用情報処理装置１０４ｂ及び情報記録媒体装置１０５ｂから構成されている。ここで、コンテンツ署名生成サーバ装置１０１ａ及び配信サーバ装置１０２ｂは、コンテンツ配信サブシステム３０ｂ（図示していない）を構成する。

　コンテンツ署名生成サーバ装置１０１ａ及び記録用情報処理装置１０３ａは、それぞれ、コンテンツ配信システム１００ａのコンテンツ署名生成サーバ装置１０１ａ及び記録用情報処理装置１０３ａと同様の構成を有している。

　また、配信サーバ装置１０２ｂ、再生用情報処理装置１０４ｂ及び情報記録媒体装置１０５ｂは、それぞれ、コンテンツ配信システム１００ａの配信サーバ装置１０２ａ、再生用情報処理装置１０４ａ及び情報記録媒体装置１０５ａと類似の構成を有している。

　ここでは、コンテンツ配信システム１０ａとの相違点を中心として、説明する。

　３．２　配信サーバ装置１０２ｂの構成
　配信サーバ装置１０２ｂは、図３１に示すように、蓄積手段３０１、機器間送信手段３０２、機器間受信手段３０３、媒体識別子取得手段３０４、個別タイトル鍵生成手段３０５、暗号化手段３０６、タイトル鍵データベース蓄積手段３０７、運用主体公開鍵保持手段３０８、私有鍵保持手段３０９、公開鍵証明書保持手段３１０、暗号通信路確立手段３１１、タイトル鍵配信証明書生成手段３１２及び制御手段３１３から構成されている。

　ここで、蓄積手段３０１、機器間送信手段３０２、機器間受信手段３０３、媒体識別子取得手段３０４、個別タイトル鍵生成手段３０５、暗号化手段３０６、タイトル鍵データベース蓄積手段３０７、運用主体公開鍵保持手段３０８、私有鍵保持手段３０９、公開鍵証明書保持手段３１０、暗号通信路確立手段３１１、及び制御手段３１３は、コンテンツ配信システム１０ａの配信サーバ装置１０２ａが有する対応する構成要素と同様の構成を有している。一方、タイトル鍵配信証明書生成手段３１２は、コンテンツ配信システム１０ａの配信サーバ装置１０２ａには存在しない。

　なお、配信サーバ装置１０２ｂは、配信サーバ装置１０２ｂと同様、ＣＰＵ、メモリ、二次記憶装置、ネットワークインタフェース回路などを含むＰＣであるとしてもよい、この場合に、タイトル鍵配信証明書生成手段３１２は、ＣＰＵ及びその上で動作するプログラムにより構成される。しかし、言うまでもなく、これに限定されるものではない。

　以下において、コンテンツ配信システム１０ａの配信サーバ装置１０２ａとの相違点を中心として説明する。

　３．２．１　タイトル鍵配信証明書生成手段３１２
　タイトル鍵配信証明書生成手段３１２は、以下に示すようにして、タイトル鍵配信証明書１０００を生成する。

　タイトル鍵配信証明書生成手段３１２は、蓄積手段３０１から個別タイトル鍵３８１及び共通タイトル鍵２４１を読み出し、媒体識別子取得手段３０４から媒体識別子３７１を受け取る。また、私有鍵保持手段３０９から私有鍵３６２を読み出す。

　次に、タイトル鍵配信証明書生成手段３１２は、個別タイトル鍵３８１、共通タイトル鍵２４１及び媒体識別子３７１をこの順序で結合して、結合体２７１を生成し、読み出した私有鍵３６２を用いて、生成した結合体２７１に対して、署名生成アルゴリズムＳを施して、署名情報１００１を生成する。ここで、署名生成アルゴリズムＳについては、上記において説明した通りである。

　次に、タイトル鍵配信証明書生成手段３１２は、公開鍵証明書保持手段３１０から公開鍵証明書９２１を読み出し、図３２に示すように、署名情報１００１と公開鍵証明書９２１とから構成されるタイトル鍵配信証明書１０００を生成し、生成したタイトル鍵配信証明書１０００を蓄積手段３０１へ書き込む。

　３．２．２　その他の構成要素
　媒体識別子取得手段３０４は、受け取った媒体識別子３７１をタイトル鍵配信証明書生成手段３１２へ出力する。

　機器間送信手段３０２は、制御手段３１３の制御により、蓄積手段３０１からタイトル鍵配信証明書１０００を読み出し、読み出したタイトル鍵配信証明書１０００を、記録用情報処理装置１０３ａを介して、情報記録媒体装置１０５ｂへ送信する。

　３．３　再生用情報処理装置１０４ｂの構成
　再生用情報処理装置１０４ｂは、図３３に示すように、媒体間送信手段５０１、媒体間受信手段５０２、タイトル鍵取得手段５０３、復号化手段５０４、署名検証鍵保持手段５０５、入替結合体生成手段５０６、署名検証手段５０７、再生可否判定手段５０８、再生手段５０９、媒体識別子取得手段５１０、運用主体公開鍵保持手段５１１、タイトル鍵配信証明書検証手段５１２及び制御手段５１３から構成されている。

　媒体間送信手段５０１、媒体間受信手段５０２、タイトル鍵取得手段５０３、復号化手段５０４、署名検証鍵保持手段５０５、入替結合体生成手段５０６、署名検証手段５０７、再生可否判定手段５０８、再生手段５０９及び制御手段５１３は、コンテンツ配信システム１０ａの再生用情報処理装置１０４ａの対応する構成要素と同様の構成を有している。一方、媒体識別子取得手段５１０、運用主体公開鍵保持手段５１１及びタイトル鍵配信証明書検証手段５１２は、再生用情報処理装置１０４ａには存在しない。

　なお、再生用情報処理装置１０４ｂは、再生用情報処理装置１０４ａと同様に、ＣＰＵ、内蔵フラッシュメモリ、メモリ、媒体読み書き装置及びネットワークインタフェース回路などから構成される家電機器であるとしもよい。この場合において、運用主体公開鍵保持手段５１１は、内蔵フラッシュメモリによって構成され、媒体識別子取得手段５１０とタイトル鍵配信証明書検証手段５１２は、ＣＰＵ及びメモリ上で動作するプログラムによって構成される。しかし、言うまでもなく、これらに限定されるものではない。

　以下において、コンテンツ配信システム１０ａの再生用情報処理装置１０４ａとの相違点を中心として説明する。

　３．３．１　媒体識別子取得手段５１０
　媒体識別子取得手段５１０は、媒体間受信手段５０２から、情報記録媒体装置１０５ｂを一意に識別する媒体識別子３７１を取得し、取得した取得した媒体識別子３７１をタイトル鍵配信証明書検証手段５１２に出力する。

　３．３．２　運用主体公開鍵保持手段５１１
　運用主体公開鍵保持手段５１１は、コンテンツ配信システム１０ｂの運用主体が有する認証局装置（図示していない）の公開鍵５６１を保持する。公開鍵５６１は、コンテンツ配信システム１０ａの運用主体公開鍵保持手段３０８が保持する公開鍵３６１と同一である。

　公開鍵５６１は、タイトル鍵配信証明書検証手段５１２が、タイトル鍵配信証明書を検証する際に使用される。

　運用主体の公開鍵５６１は、予め、再生用情報処理装置１０４ｂに埋め込まれているものとするが、これには限定されない。例えば、コンテンツ配信システム１０ｂの運用主体の認証局装置から公開鍵５６１が送信され、再生用情報処理装置１０４ｂが公開鍵５６１を受信し、受信した公開鍵５６１を運用主体公開鍵保持手段５１１が記憶するとしてもよい。

　３．３．３　タイトル鍵配信証明書検証手段５１２
　タイトル鍵配信証明書検証手段５１２は、媒体間受信手段５０２から、タイトル鍵配信証明書１０００を取得する。

　次に、以下に示すようにして、タイトル鍵配信証明書検証手段５１２は、取得したタイトル鍵配信証明書１０００を検証する。

　タイトル鍵配信証明書検証手段５１２は、運用主体公開鍵保持手段５１１から運用主体の公開鍵５６１を読み出す。

　次に、タイトル鍵配信証明書検証手段５１２は、タイトル鍵配信証明書１０００から配信サーバ装置１０２ｂの公開鍵証明書９２１を抽出し、読み出した運用主体の公開鍵５６１を用いて、抽出した公開鍵証明書９２１を検証する。

　公開鍵証明書９２１の検証に失敗した場合、タイトル鍵配信証明書検証手段５１２は、タイトル鍵配信証明書１０００が不正であると判定する。この場合には、タイトル鍵配信証明書１０００が不正である旨の判定結果５８１を再生可否判定手段５０８へ出力し、終了する。

　公開鍵証明書９２１の検証に成功した場合、タイトル鍵配信証明書検証手段５１２は、タイトル鍵配信証明書１０００から署名情報１００１を抽出し、公開鍵証明書９２１から配信サーバ装置１０２ｂの公開鍵を抽出し、媒体間受信手段５０２から個別タイトル鍵３８１及び共通タイトル鍵２４１を取得し、媒体識別子取得手段５１０から媒体識別子３７１を取得し、個別タイトル鍵３８１、共通タイトル鍵２４１及び媒体識別子３７１をこの順序で結合して、結合体５７１を生成し、抽出した配信サーバ装置１０２ｂの公開鍵を用いて、生成した結合体５７１及び抽出した署名情報１００１に対して、署名検証を施す。

　検証に失敗した場合、タイトル鍵配信証明書検証手段５１２は、タイトル鍵配信証明書１０００が不正であると判定する。検証に成功した場合、タイトル鍵配信証明書１０００が正しいと判定する。タイトル鍵配信証明書検証手段５１２は、タイトル鍵配信証明書１０００が不正又は正しい旨の判定結果５８１を再生可否判定手段５０８へ出力する。

　３．３．４　その他の構成要素
　媒体間受信手段５０２は、情報記録媒体装置１０５ｂから、情報記録媒体装置１０５ｂを一意に識別する媒体識別子３７１を受け取る。また、情報記録媒体装置１０５ｂから、タイトル鍵配信証明書１０００を受け取る。

　再生可否判定手段５０８は、タイトル鍵配信証明書検証手段５１２から判定結果５８１を受け取り、判定結果５８１がタイトル鍵配信証明書１０００が不正であることを示す場合に、さらに、再生手段５０９に対して、コンテンツの再生処理の停止を指示する。

　３．４　情報記録媒体装置１０５ｂの構成
　情報記録媒体装置１０５ｂは、図３４に示すように、機器間送信手段６０１、機器間受信手段６０２、媒体識別子保持手段６０３、運用主体公開鍵保持手段６０４、私有鍵保持手段６０５、公開鍵証明書保持手段６０６、暗号通信路確立手段６０７、タイトル鍵蓄積手段６０８、コンテンツ蓄積手段６０９、制御手段６１０及びタイトル鍵配信証明書蓄積手段６１１から構成されている。

　機器間送信手段６０１、機器間受信手段６０２、媒体識別子保持手段６０３、運用主体公開鍵保持手段６０４、私有鍵保持手段６０５、公開鍵証明書保持手段６０６、暗号通信路確立手段６０７、タイトル鍵蓄積手段６０８、コンテンツ蓄積手段６０９及び制御手段６１０は、コンテンツ配信システム１０ａの情報記録媒体装置１０５ａの対応する構成要素と同様の構成を有している。一方、タイトル鍵配信証明書蓄積手段６１１は、情報記録媒体装置１０５ａには存在しない。

　なお、情報記録媒体装置１０５ｂは、情報記録媒体装置１０５ａと同様、ＣＰＵ、ＲＡＭやＲＯＭなどのメモリ、フラッシュメモリ、記録用情報処理装置１０３ａや再生用情報処理装置１０４ｂとデータのやり取りを行うためのインタフェース回路などから構成されるメモリカードであるとしてもよい。この場合に、タイトル鍵配信証明書蓄積手段６１１は、フラッシュメモリによって構成される。言うまでもなく、これらに限定されるものではない。

　ここでは、情報記録媒体装置１０５ａとの相違点を中心として説明する。

　３．４．１　タイトル鍵配信証明書蓄積手段６１１
　タイトル鍵配信証明書蓄積手段６１１は、タイトル鍵配信証明書１０００を保持するための領域を備えている。タイトル鍵配信証明書１０００は、配信サーバ装置１０２ｂから受信したものである。

　３．４．２　機器間受信手段６０２
　機器間受信手段６０２は、コンテンツの配信の際に、配信サーバ装置１０２ｂからタイトル鍵配信証明書１０００を受信し、受信したタイトル鍵配信証明書１０００をタイトル鍵配信証明書蓄積手段６１１へ書き込む。

　３．４．３　機器間送信手段６０１
　機器間送信手段６０１は、制御手段６１０の制御により、コンテンツの再生の際に、タイトル鍵配信証明書蓄積手段６１１からタイトル鍵配信証明書１０００を読み出し、読み出したタイトル鍵配信証明書１０００を、再生用情報処理装置１０４ｂへ送信する。

　３．５　コンテンツ配信システム１０ｂの動作
　ここでは、コンテンツ署名生成サーバ装置１０１ａが中間コンテンツデータセット２４２を生成し、配信サーバ装置１０２ｂに送信する「コンテンツ署名生成」の動作と、配信サーバ装置１０２ｂが配信用コンテンツデータセット３５１を生成し、記録用情報処理装置１０３ａを経由して情報記録媒体装置１０５ｂに蓄積する「コンテンツ配信」の動作と、再生用情報処理装置１０４ｂが情報記録媒体装置１０５ｂから配信用コンテンツデータセット３５１を受信して再生する「コンテンツ再生」の動作のうち、「コンテンツ署名生成」の動作については、コンテンツ配信システム１０ａの動作と同様であるため、説明を割愛し、以下において、「コンテンツ配信」及び「コンテンツ再生」のそれぞれの動作について説明する。

　（１）コンテンツ配信の動作
　ここでは、コンテンツ配信の動作について、図３５に示すシーケンス図を用いて説明する。

　記録用情報処理装置１０３ａは、配信サーバ装置１０２ｂへ配信依頼情報３２１を送信し、配信サーバ装置１０２ｂの機器間受信手段３０３が配信依頼情報３２１を受信する（ステップＳ２００１）。配信サーバ装置１０２ｂの暗号通信路確立手段３１１と情報記録媒体装置１０５ｂの暗号通信路確立手段６０７は、暗号通信路２２を確立する（ステップＳ２００２）。

　暗号通信路２２が確立すると、情報記録媒体装置１０５ｂの機器間送信手段６０１は、暗号通信路を使用して、媒体識別子３７１を記録用情報処理装置１０３ａ経由で配信サーバ装置１０２ｂへ送信し、配信サーバ装置１０２ｂの機器間受信手段３０３は、媒体識別子３７１を受信する（ステップＳ２００３）。

　次に、配信サーバ装置１０２ｂの個別タイトル鍵生成手段３０５は、個別タイトル鍵３８１を生成する（ステップＳ２００４）。暗号化手段３０６は、配信用暗号化コンテンツ９００を生成する（ステップＳ２００５）。タイトル鍵配信証明書生成手段３１２は、タイトル鍵配信証明書１０００を生成する（ステップＳ２００６）。

　次に、配信サーバ装置１０２ｂの機器間送信手段３０２は、配信用コンテンツデータセット３５１及びタイトル鍵配信証明書１０００を記録用情報処理装置１０３ａを経由して情報記録媒体装置１０５ｂへ送信し（ステップＳ２００７）、情報記録媒体装置１０５ｂの機器間受信手段６０２は、配信用コンテンツデータセット３５１及びタイトル鍵配信証明書１０００を受信し（ステップＳ２００７）、情報記録媒体装置１０５ｂのコンテンツ蓄積手段６０９へ配信用コンテンツデータセット３５１及びタイトル鍵配信証明書１０００を書き込む（ステップＳ２００８）。

　配信サーバ装置１０２ｂの機器間送信手段３０２は、個別タイトル鍵３８１及び共通タイトル鍵２４１を、暗号通信路２２を使用して、記録用情報処理装置１０３ａ経由で情報記録媒体装置１０５ｂへ送信し（ステップＳ２００９）、情報記録媒体装置１０５ｂの機器間受信手段６０２は、個別タイトル鍵３８１及び共通タイトル鍵２４１を、暗号通信路２２を使用して、受信し（ステップＳ２００９）、情報記録媒体装置１０５ｂのタイトル鍵蓄積手段６０８へ個別タイトル鍵３８１及び共通タイトル鍵２４１を書き込む（ステップＳ２０１０）。

　（２）コンテンツ再生の動作
　ここでは、コンテンツ再生の動作について、図３６に示すシーケンス図を用いて説明する。

　再生用情報処理装置１０４ｂの媒体間送信手段５０１は、情報記録媒体装置１０５ｂへ送信指示５５１を送信し、情報記録媒体装置１０５ｂの機器間受信手段６０２は、送信指示５５１を受信する（ステップＳ２１０１）。

　次に、情報記録媒体装置１０５ｂの機器間送信手段６０１は、再生用情報処理装置１０４ｂへ、個別タイトル鍵３８１、共通タイトル鍵２４１、配信用コンテンツデータセット３５１、タイトル鍵配信証明書１０００及び媒体識別子３７１を送信し、再生用情報処理装置１０４ｂの媒体間受信手段５０２は、個別タイトル鍵３８１、共通タイトル鍵２４１、配信用コンテンツデータセット３５１、タイトル鍵配信証明書１０００及び媒体識別子３７１を受信する（ステップＳ２１０２）。

　次に、再生用情報処理装置１０４ｂの媒体識別子取得手段５１０は、媒体識別子３７１を取得する（ステップＳ２１０３）。再生用情報処理装置１０４ｂのタイトル鍵配信証明書検証手段５１２は、タイトル鍵配信証明書１０００を検証する（ステップＳ２１０４）。検証の結果、タイトル鍵配信証明書が不正であると判定した場合（ステップＳ２１０４で「証明書が不正」）、再生手段５０９は、コンテンツの再生処理を停止する。タイトル鍵配信証明書が正しいと判定した場合（ステップＳ２１０４で「証明書が正しい」）、再生用情報処理装置１０４ｂの入替結合体生成手段５０６は、入替結合体を生成する（ステップＳ２１０５）。再生用情報処理装置１０４ｂの署名検証手段５０７は、生成した入替結合体と署名情報を用いて署名検証し、署名検証結果に応じて再生可否判定手段５０８は、再生可否を判定する（ステップＳ２１０６）。署名検証の結果、検証に失敗した場合（ステップＳ２１０６で「検証失敗」）、再生手段５０９は、コンテンツの再生処理を停止する。検証に成功した場合（ステップＳ２１０６で「検証成功」）、再生用情報処理装置１０４ｂのタイトル鍵取得手段５０３はタイトル鍵を取得し、復号化手段５０４は、取得したタイトル鍵を使用して配信用暗号化コンテンツを復号化する（ステップＳ２１０７）。再生用情報処理装置１０４ｂの再生手段５０９は、生成された復号コンテンツを再生する（ステップＳ２１０８）。

　３．６　コンテンツ配信システム１０ｂの効果
　コンテンツ配信システム１０ｂでは、コンテンツ配信システム１０ａと同様に、個別タイトル鍵３８１と共通タイトル鍵２４１の両方を使用し、共通タイトル鍵２４１を用いる場合には、共通タイトル鍵２４１を用いて暗号化されたユニットに対して、個別タイトル鍵３８１を用いる場合には、平文ユニットに対して、ユニットハッシュ値を生成することにより、攻撃者による攻撃を防止しつつ、予め、コンテンツの署名情報を生成できるという効果がある。

　また、コンテンツ配信システム１０ｂでは、タイトル鍵配信証明書を情報記録媒体装置に格納している。再生用情報処理装置がタイトル鍵配信証明書を検証することで、タイトル鍵を格納している情報記録媒体装置の媒体識別子が正しいことが検証可能になる。これにより、コンテンツが正しい情報記録媒体装置に格納されている場合にのみ、再生可能とすることができる。従って、万が一、タイトル鍵や配信用コンテンツデータセットを、そのまま他の情報記録媒体装置に、攻撃者が書き込むことが可能になる場合であっても、再生用情報処理装置がタイトル鍵配信証明書を検証することにより、不正な情報記録媒体装置に記録されたコンテンツの再生を停止することが可能になる。

　４．実施の形態４
　ここでは、コンテンツ配信システム１０ａ及びコンテンツ配信システム１０ｂの変形例として、本発明に係る実施の形態４としてのコンテンツ配信システム１０ｃについて、図面を参照しながら説明する。

　４．１　コンテンツ配信システム１０ｃの全体構成
　コンテンツ配信システム１０ｃは、図３７に示すように、コンテンツ署名生成サーバ装置１０１ｃ、配信サーバ装置１０２ｃ、記録用情報処理装置１０３ａ、情報記録媒体装置１０５ｂ及び再生用情報処理装置１０４ｃから構成されている。ここで、コンテンツ署名生成サーバ装置１０１ｃ及び配信サーバ装置１０２ｃは、コンテンツ配信サブシステム３０ｃ（図示していない）を構成する。

　記録用情報処理装置１０３ａは、コンテンツ配信システム１０ａの記録用情報処理装置１０３ａと同様の構成を有し、情報記録媒体装置１０５ｂは、コンテンツ配信システム１０ｂの情報記録媒体装置１０５ｂと同様の構成を有している。

　また、コンテンツ署名生成サーバ装置１０１ｃは、コンテンツ配信システム１０ａのコンテンツ署名生成サーバ装置１０１ａと類似する構成を有し、配信サーバ装置１０２ｃは、コンテンツ配信システム１０ｂの配信サーバ装置１０２ｂと類似する構成を有し、再生用情報処理装置１０４ｃは、コンテンツ配信システム１０ｂの再生用情報処理装置１０４ｂと類似する構成を有している。

　ここでは、それぞれの装置について、相違点を中心として説明する。

　４．２　コンテンツ署名生成サーバ装置１０１ｃの構成
　コンテンツ署名生成サーバ装置１０１ｃは、図３８に示すように、コンテンツ保持手段２０１、蓄積手段２０２、機器間送信手段２０３、ユニット生成手段２０４ｃ、共通タイトル鍵生成手段２０５、暗号化手段２０６ｃ、ヘッダ情報生成手段２０７ｃ、署名鍵保持手段２０８、署名生成手段２０９ｃ、電子透かし（watermark）埋込手段２１０及び制御手段２１１から構成されている。

　ここで、コンテンツ保持手段２０１、蓄積手段２０２、機器間送信手段２０３、共通タイトル鍵生成手段２０５、署名鍵保持手段２０８及び制御手段２１１は、それぞれ、コンテンツ署名生成サーバ装置１０１ａのコンテンツ保持手段２０１、蓄積手段２０２、機器間送信手段２０３、共通タイトル鍵生成手段２０５、署名鍵保持手段２０８及び制御手段２１１と、同様の構成を有している。

　また、ユニット生成手段２０４ｃ、暗号化手段２０６ｃ、ヘッダ情報生成手段２０７ｃ及び署名生成手段２０９ｃは、それぞれ、コンテンツ署名生成サーバ装置１０１ａのユニット生成手段２０４ａ、暗号化手段２０６ａ、ヘッダ情報生成手段２０７ａ及び署名生成手段２０９ａと類似する構成を有している。

　また、電子透かし埋込手段２１０は、コンテンツ署名生成サーバ装置１０１ａには構成要素として存在しない。

　以下においては、それぞれの構成要素について、相違点を中心として説明する。

　ここで、コンテンツ署名生成サーバ装置１０１ｃは、コンテンツ署名生成サーバ装置１０１ａと同様に、ＣＰＵ、メモリ、二次記憶装置、ネットワークインタフェース回路などから構成されるＰＣであるとしてもよい。この場合に、電子透かし埋込手段２１０は、ＣＰＵ及びその上で動作するプログラムによって構成される。言うまでもなく、本実施の形態は、これらに限定されるものではない。

　コンテンツ署名生成サーバ装置１０１ｃは、以下に説明するように、配信サーバ装置１０２ｃへ中間コンテンツデータセット２４２ｃを送信する。中間コンテンツデータセット２４２ｃは、コンテンツ配信システム１０ａの中間コンテンツデータセット２４２とは異なり、後述するように、ユニット選出情報７８０、暗号化ＷＭ付コンテンツ１２０１、ＷＭ付ヘッダ情報１２５１及び署名情報１３００を含んでいる。

　４．２．１　ユニット生成手段２０４ｃ
　ユニット生成手段２０４ｃは、コンテンツ署名生成サーバ装置１０１ａのユニット生成手段２０４と同様に、分割コンテンツ７２１及びユニット選出情報７８０を生成する。

　ユニット生成手段２０４ｃは、生成した分割コンテンツ７２１を電子透かし埋込手段２１０へ出力する。また、ユニット生成手段２０４ｃは、生成したユニット選出情報７８０を署名生成手段２０９ｃへ出力し、生成したユニット選出情報７８０を、中間コンテンツデータセット２４２ｃの一部として、蓄積手段２０２へ書き込む。

　４．２．２　電子透かし埋込手段２１０
　電子透かし埋込手段２１０は、ユニット生成手段２０４ｃから分割コンテンツ７２１を受け取り、受け取った分割コンテンツ７２１を用いて、図３９に一例として示すＷＭ付分割コンテンツ１１００を生成する。以下に、ＷＭ付分割コンテンツ１１００の生成手順について説明する。

　電子透かし埋込手段２１０は、一例として図５に示す分割コンテンツ７２１から、分割ファイル７５１「ｓｐｌＣＮＴ１」、分割ファイル「ｓｐｌＣＮＴ２」、・・・、分割ファイル「ｓｐｌＣＮＴｃ」を抽出し、抽出した分割ファイル７５１「ｓｐｌＣＮＴ１」、分割ファイル「ｓｐｌＣＮＴ２」、・・・、分割ファイル「ｓｐｌＣＮＴｃ」から、それぞれ、ＷＭ付分割ファイル１１３１「ＷｓｐｌＣＮＴ１」、ＷＭ付分割ファイル「ＷｓｐｌＣＮＴ２」、・・・、ＷＭ付分割ファイル「ＷｓｐｌＣＮＴｃ」を生成する。各ＷＭ付分割ファイルの生成手順については、後で述べる。

　電子透かし埋込手段２１０は、さらに、分割コンテンツ７２１内のそれぞれの分割ファイル情報から、ファイル識別子７４１「ＦＩＤ１」、ファイル識別子「ＦＩＤ２」、・・・、ファイル識別子「ＦＩＤｃ」を抽出する。次に、抽出したファイル識別子７４１「ＦＩＤ１」（図３９にファイル識別子１１２１として示す）と生成したＷＭ付分割ファイル１１３１「ＷｓｐｌＣＮＴ１」とを含むＷＭ付分割ファイル情報１１１１「ＷｓｐｌＦＩ１」を生成する。同様にして、ファイル識別子「ＦＩＤ２」、・・・、ファイル識別子「ＦＩＤｃ」のそれぞれについて、ファイル識別子とＷＭ付分割ファイルとを含むＷＭ付分割ファイル情報を生成する。

　このようにして、電子透かし埋込手段２１０は、図３９に示すように、ｃ個のＷＭ付分割ファイル情報１１１１、１１１２、１１１３、１１１４、・・・、１１１５を生成し、生成したｃ個のＷＭ付分割ファイル情報１１１１、１１１２、１１１３、１１１４、・・・、１１１５を含むＷＭ付分割コンテンツ１１００を生成する。次に、電子透かし埋込手段２１０は、生成したＷＭ付分割コンテンツ１１００を暗号化手段２０６ｃへ出力する。

　図３９に一例として示すように、ＷＭ付分割ファイル情報１１１１「ＷｓｐｌＦＩ１」は、ファイル識別子１１２１「ＦＩＤ１」及びＷＭ付分割ファイル１１３１「ＷｓｐｌＣＮＴ１」を含み、ＷＭ付分割ファイル情報１１１２「ＷｓｐｌＦＩ２」は、ファイル識別子「ＦＩＤ２」及びＷＭ付分割ファイル「ＷｓｐｌＣＮＴ２」を含み、ＷＭ付分割ファイル情報１１１３「ＷｓｐｌＦＩ３」は、ファイル識別子「ＦＩＤ３」及びＷＭ付分割ファイル「ＷｓｐｌＣＮＴ３」を含み、ＷＭ付分割ファイル情報１１１４「ＷｓｐｌＦＩ４」は、ファイル識別子「ＦＩＤ４」及びＷＭ付分割ファイル「ＷｓｐｌＣＮＴ４」を含み、ＷＭ付分割ファイル情報１１１５「ＷｓｐｌＦＩｃ」は、ファイル識別子「ＦＩＤｃ」及びＷＭ付分割ファイル「ＷｓｐｌＣＮＴｃ」を含む。

　（ＷＭ付分割ファイルの生成）
　次に、電子透かし埋込手段２１０によるＷＭ付分割ファイルの生成手順を以下に示す。なお、それぞれのＷＭ付分割ファイル１１３１「ＷｓｐｌＣＮＴ１」、ＷＭ付分割ファイル「ＷｓｐｌＣＮＴ２」、・・・、ＷＭ付分割ファイル「ＷｓｐｌＣＮＴｃ」の生成手順は同様であるため、以下では、代表して、ＷＭ付分割ファイル１１３１「ＷｓｐｌＣＮＴ１」の生成手順について説明する。

　図４０に、電子透かし埋込手段２１０によるＷＭ付分割ファイル１１３１「ＷｓｐｌＣＮＴ１」の生成手順の概要を示す。

　電子透かし埋込手段２１０は、分割ファイル７５１からユニット情報７６１、７６２、７６３、７６４、・・・、７６５を抽出し、抽出したユニット情報７６１、７６２、７６３、７６４、・・・、７６５のそれぞれについて、ＷＭ付ユニット情報１１４１、１１４２、１１４３、１１４４、・・・、１１４５を生成する。次に、ＷＭ付ユニット情報１１４１、１１４２、１１４３、１１４４、・・・、１１４５を含むＷＭ付分割ファイル１１３１を生成する。

　（ＷＭ付ユニット情報の生成）
　次に、各ユニット情報からＷＭ付ユニット情報を生成する手順について説明する。

　電子透かし埋込手段２１０は、分割ファイル７５１から一つのユニット情報を抽出し、抽出したユニット情報からタイトル鍵フラグ情報を抽出する。次に、抽出したタイトル鍵フラグ情報が「０」及び「１」のいずれであるかを判定する。

　タイトル鍵フラグ情報が「１」であると判定する場合に、電子透かし埋込手段２１０は、ユニット情報からユニットを抽出し、抽出したユニットに１種類の電子透かしＷＭを埋め込み、電子透かしＷＭが埋め込まれたＷＭ付ユニットを生成する。なお、電子透かしＷＭを埋め込む方法に関しては、広く知られているため、説明を省略する。上記で埋め込む電子透かしＷＭは、検出できるものであれば、どのようなものであってもよい。次に、ユニット情報からユニット識別子を抽出し、抽出したユニット識別子、抽出したタイトル鍵フラグ情報、抽出したユニット及び生成したＷＭ付ユニットを含むＷＭ付ユニット情報を生成する。

　タイトル鍵フラグ情報が「０」であると判定する場合に、電子透かし埋込手段２１０は、ユニット情報からユニット及びユニット識別子を抽出し、抽出したユニット識別子、抽出したタイトル鍵フラグ情報及び抽出したユニットを含むＷＭ付ユニット情報を生成する。

　図４０に示す例を用いて、電子透かし埋込手段２１０によるＷＭ付ユニット情報の生成について、具体的に説明する。

　図４０に示すように、ユニット情報７６１に含まれるタイトル鍵フラグ情報７７２は、「１」であるので、電子透かし埋込手段２１０は、ユニット情報７６１に含まれているユニット７７３に電子透かしＷＭを埋め込んで、ＷＭ付ユニット１１５１を生成し、ユニット情報７６１に含まれるユニット識別子７７１、タイトル鍵フラグ情報７７２、ユニット７７３及び生成したＷＭ付ユニット１１５１を含むＷＭ付ユニット情報１１４１を生成する。

　また、ユニット情報７６２に含まれるタイトル鍵フラグ情報７８２は、「０」であるので、電子透かし埋込手段２１０は、ユニット情報７６２に含まれるユニット識別子７８１、タイトル鍵フラグ情報７８２及びユニット７７４を含むＷＭ付ユニット情報１１４２を生成する。

　４．２．３　暗号化手段２０６ｃ
　暗号化手段２０６は、共通タイトル鍵生成手段２０５から共通タイトル鍵２４１「ＣＴＫ」を受け取る。また、暗号化手段２０６ｃは、電子透かし埋込手段２１０から、ＷＭ付分割コンテンツ１１００を受け取る。

　暗号化手段２０６ｃは、電子透かし埋込手段２１０からＷＭ付分割コンテンツ１１００を受け取ると、ＷＭ付分割コンテンツ１１００からＷＭ付分割ファイル１１３１、１１３２、１１３３、・・・、１１３５を抽出し、抽出したＷＭ付分割ファイル１１３１、１１３２、１１３３、・・・、１１３５のそれぞれを用いて、以下に示すようにして、暗号化ＷＭ付分割ファイル１１６１、１１６２、１１６３、・・・、１１６４を生成する。

　（暗号化ＷＭ付分割ファイルの生成）
　暗号化手段２０６ｃによる暗号化ＷＭ付分割ファイルの生成の概要について、図４１を用いて、説明する。なお、ここでは、代表として、ＷＭ付分割ファイル１１３１を用いて、暗号化ＷＭ付分割ファイル１１６１を生成する手順について説明する。暗号化ＷＭ付分割ファイル１１６２、１１６３、・・・、１１６４の生成の手順については、同様であるので、説明を省略する。

　暗号化手段２０６ｃは、ＷＭ付分割ファイル１１３１からＷＭ付ユニット情報１１４１、１１４２、１１４３、１１４４、・・・、１１４５を抽出し、抽出したＷＭ付ユニット情報１１４１、１１４２、１１４３、１１４４、・・・、１１４５のそれぞれを用いて、以下に示すようにして、暗号化ＷＭ付ユニット情報１１７１、１１７２、１１７３、１１７４、・・・、１１７５を生成する。次に、生成した暗号化ＷＭ付ユニット情報１１７１、１１７２、１１７３、１１７４、・・・、１１７５を含む暗号化ＷＭ付分割ファイル１１６１を生成する。

　（暗号化ＷＭ付ユニット情報の生成）
　暗号化手段２０６ｃは、ＷＭ付ユニット情報からタイトル鍵フラグ情報を抽出し、抽出したタイトル鍵フラグ情報が「０」であるか又は「１」であるかを判定する。

　抽出したタイトル鍵フラグ情報が「０」であると判定する場合、この場合は、個別タイトル鍵３８１を用いた暗号化を意味するため、ここでは暗号化せず、暗号化手段２０６ｃは、ＷＭ付ユニット情報からユニット識別子及びユニットを抽出し、抽出したユニットを、そのまま、暗号化ユニットとし、ユニット識別子、タイトル鍵フラグ情報及び暗号化ユニットを含む暗号化ＷＭ付ユニット情報を生成する。従って、この場合、ＷＭ付ユニット情報と、当該ＷＭ付ユニット情報から生成された暗号化ＷＭ付ユニット情報とは、同じ内容を有する。

　抽出したタイトル鍵フラグ情報が「１」であると判定する場合、この場合は、共通タイトル鍵２４１を用いた暗号化を意味するため、暗号化手段２０６ｃは、ＷＭ付ユニット情報からユニット識別子、ユニット及びＷＭ付ユニットを抽出する。次に、共通タイトル鍵２４１「ＣＴＫ」を用いて、抽出したユニットに暗号化アルゴリズムＥｎｃを施して、暗号化ユニットを生成し、共通タイトル鍵２４１「ＣＴＫ」を用いて、抽出したＷＭ付ユニットに暗号化アルゴリズムＥｎｃを施して、暗号化ＷＭ付ユニットを生成する。

　ここで、ＥＵ１＿１＝Ｅｎｃ（ＣＴＫ，Ｕ１＿１）、ＥＷＵ＿１＝Ｅｎｃ（ＣＴＫ，ＷＵ１＿１）である。

　なお、暗号化アルゴリズムＥｎｃとして公開鍵暗号を使用する場合は、暗号化の際に、共通タイトル鍵２４１「ＣＴＫ」ではなく、共通タイトル公開鍵「ＣＴＰＫ」を用いる。

　次に、暗号化手段２０６ｃは、ユニット識別子、タイトル鍵フラグ情報、暗号化ユニット及び暗号化ＷＭ付ユニットを含む暗号化ＷＭ付ユニット情報を生成する。

　図４１に示すように、ＷＭ付分割ファイル１１３１「ＷｓｐｌＣＮＴ１」から、上記の手順により生成された暗号化ＷＭ付分割ファイル１１６１「ＥＷｓｐｌＣＮＴ１」は、ｍ個の暗号化ＷＭ付ユニット情報１１７１「ＥＷＵＩ１＿１」、暗号化ＷＭ付ユニット情報１１７２「ＥＷＵＩ１＿２」、暗号化ＷＭ付ユニット情報１１７３「ＥＷＵＩ１＿３」、・・・、暗号化ＷＭ付ユニット情報１１７５「ＥＷＵＩ１＿ｍ」を含んでいる。

　各暗号化ＷＭ付ユニット情報「ＥＷＵＩ１＿ｉ」（ｉは、１からｍの整数）は、ＷＭ付分割ファイル１１３１「ｓｐｌＣＮＴ１」を構成する各ＷＭ付ユニット情報「ＷＵＩ１＿ｉ」を基に生成されたものである。タイトル鍵フラグ情報「ＴＫＦＩ１＿ｉ」が「０」の場合、各暗号化ＷＭ付ユニット情報「ＥＷＵＩ１＿ｉ」は、ユニット識別子「ＵＩＤ１＿ｉ」、タイトル鍵フラグ情報「ＴＫＦＩ１＿ｉ」及び暗号化ユニット「ＥＵ１＿ｉ」を含む。タイトル鍵フラグ情報「ＴＫＦＩ１＿ｉ」が「１」の場合、各暗号化ＷＭ付ユニット情報「ＥＷＵＩ１＿ｉ」は、ユニット識別子「ＵＩＤ１＿ｉ」、タイトル鍵フラグ情報「ＴＫＦＩ１＿ｉ」、暗号化ユニット「ＥＵ１＿ｉ」及び暗号化ＷＭ付ユニット「ＥＷＵ１＿ｉ」を含む。

　（暗号化ＷＭ付コンテンツ１２０１の生成）
　暗号化手段２０６ｃは、生成した暗号化ＷＭ付分割ファイル１１６１、１１６２、１１６３、・・・、１１６４のそれぞれから、以下に示すようにして、暗号化ＷＭ付ファイル１２１１、１２１２、１２１３、・・・、１２１４を生成し、図４２に示すように、生成した暗号化ＷＭ付ファイル１２１１、１２１２、１２１３、・・・、１２１４を含む暗号化ＷＭ付コンテンツ１２０１を生成する。次に、暗号化手段２０６ｃは、生成した暗号化ＷＭ付コンテンツ１２０１を、中間コンテンツデータセット２４２ｃの一部として、蓄積手段２０２へ書き込む。

　暗号化ＷＭ付コンテンツ１２０１は、図４２に示すように、ｃ個の暗号化ＷＭ付ファイル１２１１「ＥＷＣＮＴ１」、暗号化ＷＭ付ファイル１２１２「ＥＷＣＮＴ２」、暗号化ＷＭ付ファイル１２１３「ＥＷＣＮＴ３」、・・・、暗号化ＷＭ付ファイル１２１４「ＥＷＣＮＴｃ」を含んでいる。

　（暗号化ＷＭ付ファイルの生成）
　暗号化手段２０６ｃは、生成した暗号化ＷＭ付分割ファイル１１６１「ＥＷｓｐｌＣＮＴ１」を構成する各暗号化ＷＭ付ユニット情報「ＥＷＵＩ１＿ｉ」（ｉは、１からｍの整数）から、タイトル鍵フラグ情報「ＴＫＦＩ１＿ｉ」が「０」の場合、暗号化ユニット「ＥＵ１＿ｉ」を抽出し、タイトル鍵フラグ情報「ＴＫＦＩ１＿ｉ」が「１」の場合、暗号化ユニット「ＥＵ１＿ｉ」及び暗号化ＷＭ付ユニット「ＥＷＵ１＿ｉ」を抽出する。こうして、抽出した暗号化ユニット及び暗号化ＷＭ付ユニットを含む暗号化ＷＭ付ファイル１２１１「ＥＷＣＮＴ１」を生成する。

　ここで、暗号化ＷＭ付ファイル１２１１「ＥＷＣＮＴ１」は、図４１に示すように、暗号化ユニット１１８１、暗号化ＷＭ付ユニット１１８２、暗号化ユニット１１８３、暗号化ユニット１１８４、暗号化ＷＭ付ユニット１１８５、暗号化ユニット１１８６、・・・、暗号化ユニット１１８７及び暗号化ＷＭ付ユニット１１８８を含む。

　同様にして、暗号化手段２０６ｃは、暗号化ＷＭ付ファイル１２１２、１２１３、・・・、１２１４を生成する。

　ここで、各暗号化ＷＭ付ファイル「ＥＷＣＮＴｊ」（ｊは、１からｃの整数）は、複数の暗号化ユニットを含み、さらに、複数の暗号化ＷＭ付ユニットを含む。

　（暗号化ＷＭ付分割コンテンツ１２３１の生成）
　暗号化手段２０６ｃは、ＷＭ付分割コンテンツ１１００からファイル識別子１１２１「ＦＩＤ１」、ファイル識別子１１２２「ＦＩＤ２」、ファイル識別子１１２３「ＦＩＤ３」、・・・、ファイル識別子１１２５「ＦＩＤｃ」を抽出し、抽出したファイル識別子１１２１、１１２２、１１２３、・・・、１１２５のそれぞれと、生成した暗号化ＷＭ付分割ファイル１１６１、１１６２、１１６３、・・・、１１６４のそれぞれを用い、図４３に示すように、ファイル識別子１１２１と暗号化ＷＭ付分割ファイル１１６１とを組として暗号化ＷＭ付分割ファイル情報１１５６を生成する。同様にして、ファイル識別子１１２２、１１２３、・・・、１１２５のそれぞれについて、ファイル識別子と暗号化ＷＭ付分割ファイルとを組として、暗号化ＷＭ付分割ファイル情報を生成する。

　こうして、暗号化手段２０６ｃは、暗号化ＷＭ付分割ファイル情報１２５６、１２５７、１２５８、・・・、１２５９を生成し、図４３に示すように、生成した暗号化ＷＭ付分割ファイル情報１２５６、１２５７、１２５８、・・・、１２５９を含む暗号化ＷＭ付分割コンテンツ１２３１を生成し、生成した暗号化ＷＭ付分割コンテンツ１２３１をヘッダ情報生成手段２０７ｃへ出力する。

　図４３に示すように、暗号化ＷＭ付分割コンテンツ１２３１は、ｃ個の暗号化ＷＭ付分割ファイル情報１２５６、１２５７、１２５８、・・・、１２５９を含む。また、暗号化ＷＭ付分割ファイル情報１２５６は、ファイル識別子１１２１「ＦＩＤ１」及び暗号化ＷＭ付分割ファイル１１６１「ＥＷｓｐｌＣＮＴ１」を含み、暗号化ＷＭ付分割ファイル情報１２５７は、ファイル識別子１１２２「ＦＩＤ２」及び暗号化ＷＭ付分割ファイル１１６２「ＥＷｓｐｌＣＮＴ２」を含み、暗号化ＷＭ付分割ファイル情報１２５８は、ファイル識別子１１２３「ＦＩＤ３」及び暗号化ＷＭ付分割ファイル１１６３「ＥＷｓｐｌＣＮＴ３」を含み、暗号化ＷＭ付分割ファイル情報１２５９は、ファイル識別子１１２５「ＦＩＤｃ」及び暗号化ＷＭ付分割ファイル１１６４「ＥＷｓｐｌＣＮＴｃ」を含む。

　４．２．４　ヘッダ情報生成手段２０７ｃ
　ヘッダ情報生成手段２０７ｃは、暗号化手段２０６ｃから、暗号化ＷＭ付分割コンテンツ１２３１を受け取る。暗号化ＷＭ付分割コンテンツ１２３１を受け取ると、以下に説明するようにして、受け取った暗号化ＷＭ付分割コンテンツ１２３１を用いて、ＷＭ付ヘッダ情報１２５１を生成する。

　暗号化ＷＭ付分割コンテンツ１２３１は、図４３に示すように、ｃ個の暗号化ＷＭ付分割ファイル情報１２５６「ＥＷｓｐｌＦＩ１」、暗号化ＷＭ付分割ファイル情報１２５７「ＥＷｓｐｌＦＩ２」、暗号化ＷＭ付分割ファイル情報１２５８「ＥＷｓｐｌＦＩ３」、・・・、暗号化ＷＭ付分割ファイル情報１２５９「ＥＷｓｐｌＦＩｃ」から構成されている。各暗号化ＷＭ付分割ファイル情報「ＥＷｓｐｌＦＩｊ」（ｊは、１からｃの整数）は、ファイル識別子「ＦＩＤｊ」と暗号化ＷＭ付分割ファイル「ＥＷｓｐｌＣＮＴｊ」とを含む。

　ヘッダ情報生成手段２０７ｃは、図４３に示すように、暗号化ＷＭ付分割コンテンツ１２３１内の暗号化ＷＭ付分割ファイル情報１２５６、１２５７、１２５８、・・・、１２５９から暗号化ＷＭ付分割ファイル１１６１、１１６２、１１６３、・・・、１１６４を抽出する。次に、抽出した暗号化ＷＭ付分割ファイル１１６１、１１６２、１１６３、・・・、１１６４のそれぞれについて、ＷＭ付第一ハッシュテーブル１２７１「ＷＨＡ１ＴＢＬ１」、ＷＭ付第一ハッシュテーブル１２７２「ＷＨＡ１ＴＢＬ２」、ＷＭ付第一ハッシュテーブル１２７３「ＷＨＡ１ＴＢＬ３」、・・・、ＷＭ付第一ハッシュテーブル１２７４「ＷＨＡ１ＴＢＬｃ」を生成する。さらに、生成したｃ個のＷＭ付第一ハッシュテーブル１２７１、１２７２、１２７３、・・・、１２７４から、ＷＭ付第二ハッシュテーブル１２６１「ＷＨＡ２ＴＢＬ」を生成する。ＷＭ付第一ハッシュテーブル１２７１、１２７２、１２７３、・・・、１２７４の生成の詳細及びＷＭ付第二ハッシュテーブル１２６１の生成の詳細については、後述する。

　次に、ヘッダ情報生成手段２０７ｃは、ｃ個のＷＭ付第一ハッシュテーブル１２７１、１２７２、１２７３、・・・、１２７４及びＷＭ付第二ハッシュテーブル１２６１を含むＷＭ付ヘッダ情報１２５１を生成する。

　次に、ヘッダ情報生成手段２０７ｃは、生成したＷＭ付ヘッダ情報１２５１を、中間コンテンツデータセット２４２ｃの一部として、蓄積手段２０２へ書き込む。また、生成したＷＭ付第二ハッシュテーブル１２６１「ＷＨＡ２ＴＢＬ」を署名生成手段２０９ｃへ出力する。

　（１）ＷＭ付第一ハッシュテーブル１２７１、１２７２、１２７３、・・・、１２７４の生成
　ここでは、ＷＭ付第一ハッシュテーブル１２７１の生成について、詳細に説明する。なお、ＷＭ付第一ハッシュテーブル１２７２、１２７３、・・・、１２７４の生成については、ＷＭ付第一ハッシュテーブル１２７１の生成と同様であるので、説明を省略する。

　図４４は、ヘッダ情報生成手段２０７ｃによるＷＭ付第一ハッシュテーブル１２７１「ＷＨＡ１ＴＢＬ１」の生成手順の概要を示している。

　ヘッダ情報生成手段２０７ｃは、暗号化ＷＭ付分割ファイル１１６１から暗号化ＷＭ付ユニット情報１１７１、１１７２、１１７３、１１７４、・・・、１１７５を抽出する。次に、図４４に示すように、抽出した暗号化ＷＭ付ユニット情報１１７１、１１７２、１１７３、１１７４、・・・、１１７５のそれぞれについて、ＷＭ付ユニットハッシュ情報１２８１、１２８２、１２８３、１２８４、・・・、１２８５を生成する。さらに、生成したＷＭ付ユニットハッシュ情報１２８１、１２８２、１２８３、１２８４、・・・、１２８５を含むＷＭ付第一ハッシュテーブル１２７１「ＷＨＡＴ１ＴＢＬ１」を生成する。

　（ＷＭ付ユニットハッシュ情報の生成）
　次に、各暗号化ＷＭ付ユニット情報からＷＭ付ユニットハッシュ情報を生成する方法について、説明する。

　ヘッダ情報生成手段２０７ｃは、暗号化ＷＭ付ユニット情報から、ユニット識別子、タタイトル鍵フラグ情報及び暗号化ユニットを抽出する。ここで、タイトル鍵フラグ情報が「１」である場合には、暗号化ＷＭ付ユニット情報から、さらに、暗号化ＷＭ付ユニットを抽出する。

　次に、ヘッダ情報生成手段２０７ｃは、抽出した暗号化ユニットをハッシュ関数に代入して、ユニットハッシュ値を生成する。タイトル鍵フラグ情報が「１」である場合には、さらに、抽出した暗号化ＷＭ付ユニットをハッシュ関数に代入して、ＷＭ付ユニットハッシュ値を生成する。

　なお、ハッシュ関数としては、コンテンツ配信システム１０ａ及び１０ｂと同様に、ＳＨＡ－１、ＳＨＡ－２、ＳＨＡ－３やブロック暗号を用いたＣＢＣ－ＭＡＣなどを用いる。

　ここで、タイトル鍵フラグ情報が「０」である場合には、暗号化ＷＭ付ユニット情報から抽出された暗号化ユニットは、上述したように、暗号化されていない平文の状態である。

　次に、ヘッダ情報生成手段２０７ｃは、抽出したユニット識別子、タイトル鍵フラグ情報及び生成したユニットハッシュ値を含むＷＭ付ユニットハッシュ情報を生成する。タイトル鍵フラグ情報が「１」である場合には、抽出したユニット識別子、タイトル鍵フラグ情報、生成したユニットハッシュ値及び生成したＷＭ付ユニットハッシュ値を含むＷＭ付ユニットハッシュ情報を生成する。［ＷＭ付ユニットハッシュ情報の生成の終了］
　ＷＭ付第一ハッシュテーブル１２７１は、一例として、図４４に示すように、ＷＭ付ユニットハッシュ情報１２８１、１２８２、１２８３、１２８４、・・・、１２８５を含んでいる。

　ＷＭ付ユニットハッシュ情報１２８１は、ユニット識別子７７１、タイトル鍵フラグ情報７７２、ユニットハッシュ値１２９１及びＷＭ付ユニットハッシュ値１２９２を含んでいる。ここで、ユニットハッシュ値１２９１及びＷＭ付ユニットハッシュ値１２９２は、それぞれ、暗号化ＷＭ付ユニット情報１１７１に含まれる暗号化ユニット１１８１及び暗号化ＷＭ付ユニット１１８２にハッシュを施して生成されたものである。また、ＷＭ付ユニットハッシュ情報１２８２は、ユニット識別子７８１、タイトル鍵フラグ情報７８２及びユニットハッシュ値１２９３を含んでいる。ここで、ユニットハッシュ値１２９３は、暗号化ＷＭ付ユニット情報１１７２に含まれる暗号化ユニット１１８３にハッシュを施して生成されたものである。

　（２）ＷＭ付第二ハッシュテーブル１２６１の生成
　ここでは、ＷＭ付第二ハッシュテーブル１２６１の生成について、詳細に説明する。

　ヘッダ情報生成手段２０７ｃは、以下に示すようにして、生成したｃ個のＷＭ付第一ハッシュテーブル１２７１、１２７２、１２７３、・・・、１２７４から、図４５に一例として示すＷＭ付第二ハッシュテーブル１２６１を生成する。

　ヘッダ情報生成手段２０７ｃは、ＷＭ付第一ハッシュテーブル１２７１に含まれる全てのＷＭ付ユニットハッシュ情報を結合して結合体を生成する。この場合に、ＷＭ付ユニットハッシュ情報は、当該ＷＭ付ユニットハッシュ情報に含まれるタイトル鍵フラグ情報が「１」である場合には、上述したように、ＷＭ付ユニットハッシュ値を含む。次に、ヘッダ情報生成手段２０７ｃは、生成した結合体をハッシュ関数に代入して、ＷＭ付ファイルハッシュ値１２９６「ＷＦＨＡ１」を生成する。

　次に、ヘッダ情報生成手段２０７ｃは、暗号化ＷＭ付分割コンテンツ１２３１から、ＷＭ付第一ハッシュテーブル１２７１に対応するファイル識別子１１２１「ＦＩＤ１」を取得する。

　次に、取得したファイル識別子１１２１「ＦＩＤ１」と生成したＷＭ付ファイルハッシュ値１２９６「ＷＦＨＡ１」とを含むＷＭ付ファイルハッシュ情報１２６６「ＷＦＨＩ１」を生成する。

　ヘッダ情報生成手段２０７ｃは、ＷＭ付第一ハッシュテーブル１２７２、１２７３、・・・、１２７４のそれぞれについて、上記と同様にして、ＷＭ付ファイルハッシュ値１２９７「ＷＦＨＡ２」、ＷＭ付ファイルハッシュ値１２９８「ＷＦＨＡ３」、・・・、ＷＭ付ファイルハッシュ値１２９９「ＷＦＨＡｃ」を生成し、ファイル識別子１１２２、１１２３、・・・、１１２５を取得する。次に、ＷＭ付第一ハッシュテーブル１２７２、１２７３、・・・、１２７４のそれぞれについて、ファイル識別子とＷＭ付ファイルハッシュ値とを含むＷＭ付ファイルハッシュ情報１２６７、１２６８、・・・、１２６９を生成する。

　次に、ヘッダ情報生成手段２０７ｃは、ＷＭ付ファイルハッシュ情報１２６６、１２６７、１２６８、・・・、１２６９を含むＷＭ付第二ハッシュテーブル１２６１を生成する。

　ここで、ＷＭ付第二ハッシュテーブル１２６１「ＷＨＡ２ＴＢＬ」は、図４５に一例として示すように、ｃ個のＷＭ付ファイルハッシュ情報１２６６「ＷＦＨＩ１」、ＷＭ付ファイルハッシュ情報１２６７「ＷＦＨＩ２」、ＷＭ付ファイルハッシュ情報１２６８「ＷＦＨＩ３」、・・・、ＷＭ付ファイルハッシュ情報１２６９「ＷＦＨＩｃ」を含み、各ＷＭ付ファイルハッシュ情報「ＷＦＨＩｊ」（ｊは、１からｃの整数）は、ファイル識別子「ＦＩＤｊ」とＷＭ付ファイルハッシュ値「ＷＦＨＡｊ」とを含む。

　４．２．５　署名生成手段２０９ｃ
　署名生成手段２０９ｃは、ヘッダ情報生成手段２０７ｃから、ＷＭ付第二ハッシュテーブル１２６１「ＷＨＡ２ＴＢＬ」を受け取り、ユニット生成手段２０４ｃからユニット選出情報７８０を受け取る。

　ＷＭ付第二ハッシュテーブル１２６１及びユニット選出情報７８０を受け取ると、署名生成手段２０９ｃは、署名鍵保持手段２０８から私有鍵２５１「ＫＳＧ」を読み出す。

　次に、署名生成手段２０９ｃは、ＷＭ付第二ハッシュテーブル１２６１及びユニット選出情報７８０をこの順序で結合して結合体２６１ｃを生成し、読み出した私有鍵２５１を用いて、生成した結合体２６１ｃに対して、署名生成アルゴリズムＳを施して、署名情報１３００を生成する。

　ここで、署名生成アルゴリズムＳは、コンテンツ配信システム１０ａと同様の署名方式のアルゴリズムである。

　次に、署名生成手段２０９ｃは、生成した署名情報１３００を、中間コンテンツデータセット２４２ｃの一部として、蓄積手段２０２へ書き込む。

　４．３　配信サーバ装置１０２ｃの構成
　配信サーバ装置１０２ｃは、図４７に示すように、蓄積手段３０１、機器間送信手段３０２、機器間受信手段３０３、媒体識別子取得手段３０４ｃ、個別タイトル鍵生成手段３０５、暗号化手段３０６ｃ、タイトル鍵データベース蓄積手段３０７、運用主体公開鍵保持手段３０８、私有鍵保持手段３０９、公開鍵証明書保持手段３１０、暗号通信路確立手段３１１及び制御手段３１３から構成されている。

　蓄積手段３０１、機器間送信手段３０２、機器間受信手段３０３、個別タイトル鍵生成手段３０５、タイトル鍵データベース蓄積手段３０７、運用主体公開鍵保持手段３０８、私有鍵保持手段３０９、公開鍵証明書保持手段３１０、暗号通信路確立手段３１１及び制御手段３１３は、それぞれ、配信サーバ装置１０２ａの対応する構成要素と同様の構成を有している。

　また、媒体識別子取得手段３０４ｃ及び暗号化手段３０６ｃは、それぞれ、配信サーバ装置１０２ａの対応する構成要素と類似の構成を有している。

　ここでは、相違点を中心して説明する。

　なお、配信サーバ装置１０２ｃは、配信サーバ装置１０２ａと同様に、ＣＰＵ、メモリ、二次記憶装置、ネットワークインタフェース回路などから構成されるＰＣであるとしてもよい。この場合に、暗号化手段３０６ｃは、ＣＰＵ及びその上で動作するプログラムによって構成される。言うまでもなく、本実施の形態は、これらに限定するものではない。

　また、配信サーバ装置１０２ｃは、記録用情報処理装置１０３ａを経由して、情報記録媒体装置１０５ｂへ配信用コンテンツデータセット３５１ｃを送信する。配信用コンテンツデータセット３５１ｃは、コンテンツ配信システム１０ａ及び１０ｂの配信用コンテンツデータセット３５１とは異なり、後述するように、ユニット選出情報７８０、ＷＭ付ヘッダ情報１２５１、署名情報１３００及び配信用暗号化ＷＭ付コンテンツ１３６１を含んでいる。

　４．３．１　媒体識別子取得手段３０４ｃ
　媒体識別子取得手段３０４ｃは、機器間受信手段３０３から情報記録媒体装置１０５ｂを一意に識別する媒体識別子３７１を取得し、取得した媒体識別子３７１を暗号化手段３０６ｃへ出力し、取得した媒体識別子３７１をタイトル鍵データベース蓄積手段３０７へ書き込む。

　４．３．２　暗号化手段３０６ｃ
　暗号化手段３０６ｃは、個別タイトル鍵生成手段３０５から個別タイトル鍵３８１「ＩＴＫ」を受け取る。また、暗号化手段３０６ｃは、蓄積手段３０１に蓄積されている中間コンテンツデータセット２４２ｃから、暗号化ＷＭ付コンテンツ１２０１とＷＭ付ヘッダ情報１２５１とを読み出す。

　ＷＭ付ヘッダ情報１２５１を読み出すと、暗号化手段３０６ｃは、読み出したＷＭ付ヘッダ情報１２５１から、ＷＭ付第一ハッシュテーブル１２７１「ＷＨＡ１ＴＢＬ１」、１２７２「ＷＨＡ１ＴＢＬ２」、１２７３「ＷＨＡ１ＴＢＬ３」、・・・、１２７４「ＷＨＡ１ＴＢＬｃ」を抽出する。

　また、暗号化ＷＭ付コンテンツ１２０１を読み出すと、暗号化手段３０６ｃは、読み出した暗号化ＷＭ付コンテンツから、暗号化ＷＭ付ファイル１２１１「ＥＷＣＮＴ１」、１２１２「ＥＷＣＮＴ２」、１２１３「ＥＷＣＮＴ３」、・・・、１２１４「ＥＷＣＮＴｃ」を抽出する。

　次に、暗号化手段３０６ｃは、抽出した各ＷＭ付第一ハッシュテーブルに対応する暗号化ＷＭ付ファイルに含まれる暗号化ユニットを、個別タイトル鍵３８１「ＩＴＫ」を用いて暗号化する。ここでは、代表して、ＷＭ付第一ハッシュテーブル１２７１「ＷＨＡ１ＴＢＬ１」に対応する暗号化ＷＭ付ファイル１２１１「ＥＷＣＮＴ１」に対する処理について、以下に説明する。なお、その他の暗号化ＷＭ付ファイルについても、同様であるので、説明を省略する。

　暗号化手段３０６ｃは、ＷＭ付第一ハッシュテーブル１２７１に含まれるＷＭ付ユニットハッシュ情報１２８１「ＷＵＨＩ１＿１」、１２８２「ＷＵＨＩ１＿２」、１２８３「ＷＵＨＩ１＿３」、・・・、１２８５「ＷＵＨＩ１＿ｍ」から、それぞれ、タイトル鍵フラグ情報「ＴＫＦＩ１＿１」、「ＴＫＦＩ１＿２」、「ＴＫＦＩ１＿３」、・・・、「ＴＫＦＩ１＿ｍ」を抽出し、抽出したタイトル鍵フラグ情報「ＴＫＦＩ１＿１」、「ＴＫＦＩ１＿２」、「ＴＫＦＩ１＿３」、・・・、「ＴＫＦＩ１＿ｍ」の値が「０」であるか又は「１」であるかを判定する。次に、これらのタイトル鍵フラグ情報の中で、タイトル鍵フラグ情報が「０」のものを抽出する。

　一例として図４８に示すように、タイトル鍵フラグ情報１３１１「ＴＫＦＩ１＿２」と１３１２「ＴＫＦＩ１＿４」が「０」であり、他のタイトル鍵フラグ情報「ＴＫＦＩ１＿１」、「ＴＫＦＩ１＿３」、「ＴＫＦＩ１＿５」、・・・、「ＴＫＦＩ１＿ｍ」が「１」であるとする。

　このとき、抽出されるタイトル鍵フラグ情報は、「ＴＫＦＩ１＿２」及び「ＴＫＦＩ１＿４」である。暗号化手段３０６ｃは、これらのタイトル鍵フラグ情報に対応する暗号化ユニット１１８３「ＥＵ１＿２」及び１１８６「ＥＵ１＿４」を、それぞれ、個別タイトル鍵３８１「ＩＴＫ」を用いて、暗号化し、配信用暗号化ＷＭ付ユニット１３４２「ＤＷＵ１＿２」及び１３４４「ＤＷＵ１＿４」を生成する。

　タイトル鍵フラグ情報「１」を含むＷＭ付ユニットハッシュ情報「ＷＵＨＩ１＿１」、「ＷＵＨＩ１＿３」、「ＷＵＨＩ１＿５」、・・・、「ＷＵＨＩ１＿ｍ」のそれぞれについては、暗号化手段３０６ｃは、暗号化ユニット及び暗号化ＷＭ付ユニットのいずれか一方を媒体識別子３７１に応じて選択し、選択した方を、そのまま、配信用暗号化ＷＭ付ユニットとする。

　ここで、選択の方法は、選択後の配信用暗号化ＷＭ付ユニットから媒体識別子３７１を特定可能になる方法であれば、どのようなものでもよい。

　例えば、暗号化手段３０６ｃは、ＷＭ付ユニットハッシュ情報「ＷＵＨＩ１＿１」に対し、媒体識別子３７１の下位１ビット目が「０」であれば、暗号化ユニット「ＥＵ１＿１」を選択し、下位１ビット目が「１」であれば、暗号化ＷＭ付ユニット「ＥＷＵ１＿１」を選択する。こうして、選択した方を配信用暗号化ＷＭ付ユニット「ＤＷＵ１＿１」とする。

　同様にして、暗号化手段３０６ｃは、媒体識別子３７１の下位２ビット目の値に応じて、暗号化ユニット「ＥＵ１＿３」及び暗号化ＷＭ付ユニット「ＥＷＵ１＿３」からいずれか一方を選択する。媒体識別子３７１の下位３ビット目以降についても、同様である。

　このように、暗号化手段３０６ｃは、タイトル鍵フラグ情報「１」を含むＷＭ付ユニットハッシュ情報に対し、媒体識別子の下位ビットから順番に対応づけて、暗号化ユニット及び暗号化ＷＭ付ユニットのいずれか一方を選択する。

　このようにして選択することにより、配信用暗号化ＷＭ付ユニットを復号して得られた平文のユニットが、インターネットなどで暴露されたとしても、暴露されたユニット内に埋め込まれた電子透かしを解析し抽出することで、当該ユニットが、暗号化ユニット及び暗号化ＷＭ付ユニットのいずれを元にしているかが判明し、この結果、媒体識別子３７１の特定の１ビットが判明する。その他のユニットについても、同様の解析をすることにより、媒体識別子３７１のすべてのビットが判明する。こうして、不正に暴露されたコンテンツの出所である情報記録媒体装置を特定することができる。

　暗号化手段３０６ｃは、図４９に示すように、生成した配信用暗号化ＷＭ付ユニット１３４１「ＤＷＵ１＿１」、１３４２「ＤＷＵ１＿２」、１３４３「ＤＷＵ１＿３」、１３４４「ＤＷＵ１＿４」、・・・、１３４５「ＤＷＵ１＿ｍ」を含む配信用暗号化ＷＭ付ファイル１３７１「ＤＷＣＮＴ１」を生成する。

　図４９に示すように、配信用暗号化ＷＭ付ファイル１３７１は、配信用暗号化ＷＭ付ユニット１３４１、１３４２、１３４３、１３４４、・・・、１３４５を含んでいる。

　ここで、配信用暗号化ＷＭ付ユニット１３４１は、媒体識別子３７１の１ビット目の値に応じて、暗号化ユニット１１８１及び暗号化ＷＭ付ユニット１１８２から選択されたものである。また、配信用暗号化ＷＭ付ユニット１３４３は、媒体識別子３７１の２ビット目の値に応じて、暗号化ユニット１１８４及び暗号化ＷＭ付ユニット１１８５から選択されたものである。さらに、配信用暗号化ＷＭ付ユニット１３４５は、媒体識別子３７１のｎビット目の値に応じて、暗号化ユニット１１８７及び暗号化ＷＭ付ユニット１１８８から選択されたものである。ここで、ｎは、暗号化ＷＭ付ファイルの中で、共通タイトル鍵を用いて生成された暗号化ユニットの数を示す。

　また、配信用暗号化ＷＭ付ユニット１３４２は、個別タイトル鍵３８１を用いて、暗号化ユニット１１８３を暗号化して生成されたものである。また、配信用暗号化ＷＭ付ユニット１３４４は、個別タイトル鍵３８１を用いて、暗号化ユニット１１８６を暗号化して生成されたものである。

　暗号化手段３０６ｃは、ＷＭ付第一ハッシュテーブル「ＷＨＡ１ＴＢＬｊ」と暗号化ＷＭ付ファイル「ＥＷＣＮＴｊ」（ｊは２からｃの整数）に対しても、上記と同様の処理を実行し、配信用暗号化ＷＭ付ファイル「ＤＷＣＮＴｊ」を生成する。

　次に、暗号化手段３０６ｃは、生成した配信用暗号化ＷＭ付ファイル１３７１「ＤＷＣＮＴ１」、１３７２「ＤＷＣＮＴ２」、１３７３「ＤＷＣＮＴ３」、・・・、１３７４「ＤＷＣＮＴｃ」から構成される配信用暗号化ＷＭ付コンテンツ１３６１を生成し、生成した配信用暗号化ＷＭ付コンテンツ１３６１を、配信用コンテンツデータセット３５１ｃの一部として、蓄積手段３０１に書き込む。

　このとき、暗号化手段３０６ｃは、中間コンテンツデータセット２４２ｃから、ユニット選出情報７８０、ＷＭ付ヘッダ情報１２５１及び署名情報１３００を読み出し、読み出したユニット選出情報７８０、ＷＭ付ヘッダ情報１２５１及び署名情報１３００を、配信用コンテンツデータセット３５１ｃの一部として、蓄積手段３０１に書き込む。

　４．４　再生用情報処理装置１０４ｃの構成
　再生用情報処理装置１０４ｃは、図５１に示すように、媒体間送信手段５０１、媒体間受信手段５０２、タイトル鍵取得手段５０３、復号化手段５０４、署名検証鍵保持手段５０５、入替結合体生成手段５０６ｃ、署名検証手段５０７ｃ、再生可否判定手段５０８、再生手段５０９、媒体識別子取得手段５１０ｃ、運用主体公開鍵保持手段５１１、タイトル鍵配信証明書検証手段５１２及び制御手段５１３から構成されている。

　媒体間送信手段５０１、媒体間受信手段５０２、タイトル鍵取得手段５０３、復号化手段５０４、署名検証鍵保持手段５０５、再生可否判定手段５０８、再生手段５０９及び制御手段５１３は、それぞれ、再生用情報処理装置１０４ａの対応する構成要素と同様の構成を有し、運用主体公開鍵保持手段５１１及びタイトル鍵配信証明書検証手段５１２は、それぞれ、再生用情報処理装置１０４ｂの対応する構成要素と同様の構成を有している。

　また、入替結合体生成手段５０６ｃ、署名検証手段５０７ｃ及び媒体識別子取得手段５１０ｃは、それぞれ、再生用情報処理装置１０４ｂの対応する構成要素と類似の構成を有している。

　ここでは、相違点を中心として説明する。

　再生用情報処理装置１０４ｃは、再生用情報処理装置１０４ｂと同様に、ＣＰＵ、内蔵フラッシュメモリ、メモリ、媒体読み書き装置、ネットワークインタフェース回路などから構成される家電機器であるとしてもよい。この場合に、入替結合体生成手段５０６ｃ及び媒体識別子取得手段５１０ｃは、ＣＰＵ及びメモリ上で動作するプログラムによって構成されているとしてもよい。言うまでもなく、本実施の形態は、これに限定されるものではない。

　４．４．１　媒体識別子取得手段５１０ｃ
　媒体識別子取得手段５１０ｃは、媒体間受信手段５０２から、情報記録媒体装置１０５ｂを一意に識別する媒体識別子３７１を取得する。媒体識別子取得手段５１０ｃは、取得した媒体識別子３７１をタイトル鍵配信証明書検証手段５１２及び入替結合体生成手段５０６ｃに出力する。

　４．４．２　入替結合体生成手段５０６ｃ
　入替結合体生成手段５０６ｃは、再生可否判定手段５０８から、個別タイトル鍵３８１、ユニット選出情報７８０、配信用暗号化ＷＭ付コンテンツ１３６１、ＷＭ付ヘッダ情報１２５１及び署名情報１３００を受け取る。

　次に、入替結合体生成手段５０６ｃは、以下に説明するようにして、一例として、入替ＷＭ付第一ハッシュテーブル１３８１及び１３８２を生成し、また、入替ＷＭ付第二ハッシュテーブル１３９１を生成する。次に、入替結合体生成手段５０６ｃは、ユニット選出情報７８０、入替ＷＭ付第二ハッシュテーブル１３９１及び署名情報１３００を署名検証手段５０７ｃへ出力する。

　図５２は、入替結合体生成手段５０６ｃによる入替ＷＭ付第一ハッシュテーブル１３８１及び１３８２並びに入替ＷＭ付第二ハッシュテーブル１３９１の生成動作の概要を示している。

　入替結合体生成手段５０６ｃは、ユニット選出情報７８０からｋ個（ｋは以下の自然数）のファイル情報を選択し、選択したファイル情報からファイル識別子を抽出する。ここでは、図５２に示すファイル識別子９５１「ＦＩＤ１」及びファイル識別子９５３「ＦＩＤ３」を抽出したものとする。

　入替結合体生成手段５０６ｃは、ＷＭ付ヘッダ情報１２５１に含まれているＷＭ付第一ハッシュテーブル１２７１、１２７２、・・・、１２７４の中から、抽出したファイル識別子９５１及び９５３にそれぞれ対応するＷＭ付第一ハッシュテーブル１２７１及び１２７３を抽出する。

　また、入替結合体生成手段５０６ｃは、配信用暗号化ＷＭ付コンテンツ１３６１に含まれている配信用暗号化ＷＭ付ファイル１３７１、１３７２、１３７３、・・・、１３７４の中から、抽出したファイル識別子９５１及び９５３にそれぞれ対応する配信用暗号化ＷＭ付ファイル１３７１及び１３７３を抽出する。

　次に、入替結合体生成手段５０６ｃは、抽出したファイル識別子９５１について、ＷＭ付第一ハッシュテーブル１２７１及び配信用暗号化ＷＭ付ファイル１３７１を用いて、入替ＷＭ付第一ハッシュテーブル１３８１「ＲＷＨＡ１ＴＢＬ１」を生成する。また、抽出したファイル識別子９５２について、ＷＭ付第一ハッシュテーブル１２７３及び配信用暗号化ＷＭ付ファイル１３７３を用いて、入替ＷＭ付第一ハッシュテーブル１３８２「ＲＷＨＡ１ＴＢＬ３」を生成する。

　（１）入替ＷＭ付第一ハッシュテーブル１３８１及び１３８３の生成
　次に、入替ＷＭ付第一ハッシュテーブル１３８１「ＲＷＨＡ１ＴＢＬ１」の生成の詳細について、以下に説明する。なお、入替ＷＭ付第一ハッシュテーブル１３８３「ＲＷＨＡ１ＴＢＬ３」の生成の詳細については、同様であるので、説明を省略する。

　入替結合体生成手段５０６ｃは、図５２、図５３に示すように、抽出したファイル識別子９５１「ＦＩＤ１」に対応する配信用暗号化ＷＭ付ファイル１３７１「ＤＷＣＮＴ１」に含まれている配信用暗号化ＷＭ付ユニット１３４１、１３４２、１３４３、・・・、１３４５の中から、いずれか一つの配信用暗号化ユニットを選択する。

　具体的には、入替結合体生成手段５０６ｃは、選択したファイル情報に含まれるユニット数「Ｎ１」を読み出し、「Ｎ１」以下の擬似乱数ｔを生成する（ここでは、ｔ＝３とする）。次に、生成した擬似乱数ｔ（＝３）に対応して、配信用暗号化ＷＭ付ファイル「ＤＷＣＮＴ１」の３番目の配信用暗号化ＷＭ付ユニット１３４３「ＤＷＵ１＿３」を選択する。

　次に、入替結合体生成手段５０６ｃは、抽出したファイル識別子９５１に対応するＷＭ付第一ハッシュテーブル１２７１から、選択した配信用暗号化ＷＭ付ユニット１３４３「ＤＷＵ１＿３」に対応するタイトル鍵フラグ情報「ＴＫＦＩ１＿３」を抽出する。次に、入替結合体生成手段５０６ｃは、抽出したタイトル鍵フラグ情報「ＴＫＦＩ１＿３」が「０」及び「１」のいずれであるかを判定する。

　タイトル鍵フラグ情報「ＴＫＦＩ１＿３」が「０」である場合、図５３に示すように、配信用暗号化ＷＭ付ユニット１３４３を復号化手段５０４に出力し、復号化手段５０４から配信用暗号化ＷＭ付ユニット１３４３を復号して得られた復号結果を受け取る。次に、入替結合体生成手段５０６ｃは、受け取った復号結果を、ハッシュ対象ユニット「ＨＵ１＿３」とする。

　タイトル鍵フラグ情報「ＴＫＦＩ１＿３」が「１」である場合、図５４に示すように、入替結合体生成手段５０６ｃは、配信用暗号化ＷＭ付ユニット１３４３そのものを、ハッシュ対象ユニット「ＨＵ１＿３」とする。

　次に、入替結合体生成手段５０６ｃは、ハッシュ対象ユニット「ＨＵ１＿３」をハッシュ関数に代入し、入替ユニットハッシュ値「ＲＵＨ３」を生成する。ここで、入替結合体生成手段５０６ｃは、コンテンツ署名生成サーバ装置１０１ｃのヘッダ情報生成手段２０７が用いるハッシュ関数と同一のハッシュ関数を使用する。

　タイトル鍵フラグ情報「ＴＫＦＩ１＿３」が「０」である場合、入替結合体生成手段５０６ｃは、ＷＭ付第一ハッシュテーブル１２７１「ＷＨＡ１ＴＢＬ１」に含まれているｍ個のＷＭ付ユニットハッシュ情報１２８１、１２８２、１２８３、・・・、１２８５から、ｔ＝３に一致するユニット識別子「ＵＩＤ１＿３」に対応するユニットハッシュ値「ＵＨＡ１＿３」を、算出した入替ユニットハッシュ値「ＲＵＨ３」と入れ替え、これを入替ＷＭ付第一ハッシュテーブル１３８１「ＲＷＨＡ１ＴＢＬ１」とする。

　タイトル鍵フラグ情報「ＴＫＦＩ１＿３」が「１」である場合、入替結合体生成手段５０６ｃは、媒体識別子取得手段５１０ｃから受け取った媒体識別子３７１にしたがって、ユニットハッシュ値「ＵＨＡ１＿３」とＷＭ付ユニットハッシュ値「ＷＵＨＡ１＿３」のどちらか一方を選択する。この選択方法は、配信サーバ装置１０２ｃの暗号化手段３０６ｃにおける媒体識別子３７１を使用した選択方法と同様である。

　本実施の形態では、ＷＭ付ユニットハッシュ情報「ＷＵＨＩ１＿３」に対応する媒体識別子内の位置のビットの値に応じて、ユニットハッシュ値及びＷＭ付ユニットハッシュ値のいずれか一方を選択する。

　図５４では、このビットの値が「１」であるため、ＷＭ付ユニットハッシュ値「ＷＵＨＡ１＿３」を選択し、これを算出した入替ユニットハッシュ値「ＲＵＨ３」と入れ替える。こうして、入れ替えたものを入替ＷＭ付第一ハッシュテーブル１３８１「ＲＷＨＡ１ＴＢＬ１」とする。

　入替結合体生成手段５０６ｃは、その他の選択したファイル情報「ＦＩ３」についても、上記と同様の処理を繰り返し、入替ＷＭ付第一ハッシュテーブル１３８２「ＲＷＨＡ１ＴＢＬ３」を生成する。

　（２）入替ＷＭ付第二ハッシュテーブル１３９１の生成
　以下において、入替ＷＭ付第二ハッシュテーブル１３９１の生成手順について、図５５を用いて説明する。

　入替結合体生成手段５０６ｃは、生成した入替ＷＭ付第一ハッシュテーブル１３８１「ＲＷＨＡ１ＴＢＬ１」をハッシュ関数に代入し、入替ファイルハッシュ値１２９６ａ「ＲＦＨ１」を生成する。また、入替ＷＭ付第一ハッシュテーブル１３８２「ＲＨＡ１ＴＢＬ３」をハッシュ関数に代入し、入替ファイルハッシュ値１２９７ａ「ＲＦＨ３」を生成する。

　次に、入替結合体生成手段５０６ｃは、ＷＭ付ヘッダ情報１２５１から、ＷＭ付第二ハッシュテーブル１２６１「ＷＨＡ２ＴＢＬ」を抽出する。

　次に、抽出したＷＭ付第二ハッシュテーブル１２６１「ＷＨＡ２ＴＢＬ」に含まれるｃ個のＷＭ付ファイルハッシュ情報１２６６、１２６７、１２６８、・・・、１２６９のうち、選択したファイル情報に含まれるファイル識別子「ＦＩＤ１」、「ＦＩＤ３」を含むＷＭ付ファイルハッシュ情報を抽出し、抽出したＷＭ付ファイルハッシュ情報から、ＷＭ付ファイルハッシュ値を取り出し、取り出したＷＭ付ファイルハッシュ値を、生成した入替ファイルハッシュ値「ＲＦＨ１」、「ＲＦＨ３」と、それぞれ入れ替える。入替結合体生成手段５０６ｃは、入れ替え後のＷＭ付第二ハッシュテーブル１２６１を入替ＷＭ付第二ハッシュテーブル１３９１「ＲＷＨＡ２ＴＢＬ」とする。

　４．４．３　署名検証手段５０７ｃ
　署名検証手段５０７ｃは、入替結合体生成手段５０６ｃから、ユニット選出情報７８０、入替ＷＭ付第二ハッシュテーブル１３９１及び署名情報１３００を受け取る。

　ユニット選出情報７８０、入替ＷＭ付第二ハッシュテーブル１３９１及び署名情報１３００を受け取ると、署名検証手段５０７ｃは、署名検証鍵保持手段５０５から公開鍵５３１「ＫＰＶ」を読み出し、受け取った入替ＷＭ付第二ハッシュテーブル１３９１及びユニット選出情報７８０をこの順序で結合して、結合体５５２ｃを生成し、署名検証アルゴリズムＶにより、読み出した公開鍵５３１を用いて、生成した結合体５５２ｃと署名情報１３００とを用いて、署名情報１３００の検証を行う。

　ここで、署名検証アルゴリズムＶについては、上述した通りであり、署名生成手段２０９ｃで使用した署名生成アルゴリズムＳに対応している。

　次に、署名検証手段５０７ｃは、検証結果５４１を再生可否判定手段５０８へ出力する。

　４．５　コンテンツ配信システム１０ｃの動作
　コンテンツ配信システム１０ｃの動作のうち、コンテンツ署名生成サーバ装置１０１ｃが中間コンテンツデータセット２４２ｃ等を生成し、中間コンテンツデータセット２４２ｃ等を配信サーバ装置１０２ｃに送信する「コンテンツ署名生成」の動作と、配信サーバ装置１０２ｃが配信用コンテンツデータセット３５１ｃ等を生成し、配信用コンテンツデータセット３５１ｃ等を記録用情報処理装置１０３ａを経由して情報記録媒体装置１０５ｃに蓄積する「コンテンツ配信」の動作と、再生用情報処理装置１０４ｃが情報記録媒体装置１０５ｃから配信用コンテンツデータセット３５１ｃ等を受信して再生する「コンテンツ再生」の動作のそれぞれについて、以下に説明する。

　（１）コンテンツ署名生成の動作
　コンテンツ署名生成の動作について、図５７に示すシーケンス図を用いて説明する。

　コンテンツ署名生成サーバ装置１０１ｃのユニット生成手段２０４ｃは、分割コンテンツ７２１及びユニット選出情報７８０を生成し、分割コンテンツ７２１を電子透かし埋込手段２１０へ出力し、ユニット選出情報７８０を署名生成手段２０９ｃへ出力し、ユニット選出情報７８０を蓄積手段２０２へ書き込む（ステップＳ３００１）。

　電子透かし埋込手段２１０は、ＷＭ付分割コンテンツ１１００を生成し、ＷＭ付分割コンテンツ１１００を暗号化手段２０６ｃへ出力する（ステップＳ３００２）。

　共通タイトル鍵生成手段２０５は、共通タイトル鍵２４１を生成し、共通タイトル鍵２４１を暗号化手段２０６ｃへ出力し、共通タイトル鍵２４１を蓄積手段２０２へ書き込む（ステップＳ３００３）。

　暗号化手段２０６ｃは、暗号化ＷＭ付分割コンテンツ１２３１及び暗号化ＷＭ付コンテンツ１２０１を生成し、暗号化ＷＭ付分割コンテンツ１２３１をヘッダ情報生成手段２０７ｃへ出力し、暗号化ＷＭ付コンテンツ１２０１を蓄積手段２０２へ書き込む（ステップＳ３００４）。

　ヘッダ情報生成手段２０７ｃは、ＷＭ付ヘッダ情報１２５１を生成し、ＷＭ付ヘッダ情報１２５１を蓄積手段２０２へ書き込み、ＷＭ付ヘッダ情報１２５１に含まれるＷＭ付第二ハッシュテーブル１２６１を署名生成手段２０９ｃへ出力する（ステップＳ３００５）。

　署名生成手段２０９ｃは、署名情報１３００を生成し、署名情報１３００を蓄積手段２０２へ書き込む（ステップＳ３００６）。

　機器間送信手段２０３は、蓄積手段２０２から共通タイトル鍵２４１及び中間コンテンツデータセット２４２ｃを読み出し、読み出した共通タイトル鍵２４１及び中間コンテンツデータセット２４２ｃを、配信サーバ装置１０２ｃへ送信する（ステップＳ３００７）。

　配信サーバ装置１０２ｃの機器間受信手段３０３は、コンテンツ署名生成サーバ装置１０１ｃから、共通タイトル鍵２４１及び中間コンテンツデータセット２４２ｃを受信し（ステップＳ３００７）、蓄積手段３０１は、共通タイトル鍵２４１及び中間コンテンツデータセット２４２ｃを記憶する（ステップＳ３００８）。

　（２）コンテンツ配信の動作
　コンテンツ配信の動作について、図５８に示すシーケンス図を用いて説明する。

　記録用情報処理装置１０３ａは、配信サーバ装置１０２ｃへ配信依頼情報３２１を送信し、配信サーバ装置１０２ｃの機器間受信手段３０３は、配信依頼情報３２１を受信する（ステップＳ３１０１）。

　次に、配信サーバ装置１０２ｃの暗号通信路確立手段３１１と情報記録媒体装置１０５ｃの暗号通信路確立手段６０７は、暗号通信路２２を確立する（ステップＳ３１０２）。　　　

　情報記録媒体装置１０５ｂの機器間送信手段６０１は、媒体識別子３７１を暗号通信路２２を使用して、記録用情報処理装置１０３ａ経由で配信サーバ装置１０２ｃへ送信し、配信サーバ装置１０２ｃの機器間受信手段３０３は、媒体識別子３７１を受信する（ステップＳ３１０３）。

　配信サーバ装置１０２ｃの個別タイトル鍵生成手段３０５は、個別タイトル鍵３８１を生成する（ステップＳ３１０４）。

　暗号化手段３０６ｃは、個別タイトル鍵３８１、暗号化ＷＭ付コンテンツ１２０１、ＷＭ付ヘッダ情報１２５１及び媒体識別子３７１を用いて、配信用暗号化ＷＭ付コンテンツ１３６１を生成する（ステップＳ３１０５）。

　タイトル鍵配信証明書生成手段３１２は、タイトル鍵配信証明書１０００を生成する（ステップＳ３１０６）。

　機器間送信手段３０２は、配信用コンテンツデータセット３５１ｃとタイトル鍵配信証明書１０００を記録用情報処理装置１０３ａを経由して情報記録媒体装置１０５ｂへ送信し、情報記録媒体装置１０５ｂの機器間受信手段６０２が受信し（ステップＳ３１０７）、情報記録媒体装置１０５ｂのコンテンツ蓄積手段６０９が配信用コンテンツデータセット３５１ｃとタイトル鍵配信証明書１０００を記憶する（ステップＳ３１０８）。

　配信サーバ装置１０２ｃの機器間送信手段３０２は、個別タイトル鍵３８１及び共通タイトル鍵２４１を暗号通信路２２を使用して、記録用情報処理装置１０３ａ経由で情報記録媒体装置１０５ｂへ送信し、情報記録媒体装置１０５ｂの機器間受信手段６０２が受信し（ステップＳ３１０９）、情報記録媒体装置１０５ｂのタイトル鍵蓄積手段６０８が個別タイトル鍵３８１及び共通タイトル鍵２４１を記憶する（ステップＳ３１１０）。

　（３）コンテンツ再生の動作
　コンテンツ再生の動作について、図５９に示すシーケンス図を用いて説明する。

　再生用情報処理装置１０４ｃの媒体間送信手段５０１は、情報記録媒体装置１０５ｂへ送信指示５５１を送信し、情報記録媒体装置１０５ｂの機器間受信手段６０２は、送信指示５５１を受信する（ステップＳ３２０１）。

　情報記録媒体装置１０５ｂの機器間送信手段６０１は、再生用情報処理装置１０４ｃへ個別タイトル鍵３８１、共通タイトル鍵２４１、配信用コンテンツデータセット３５１ｃ、タイトル鍵配信証明書１０００及び媒体識別子３７１を送信し、再生用情報処理装置１０４ｃの媒体間受信手段５０２は、個別タイトル鍵３８１、共通タイトル鍵２４１、配信用コンテンツデータセット３５１ｃ、タイトル鍵配信証明書１０００及び媒体識別子３７１を受信する（ステップＳ３２０２）。

　再生用情報処理装置１０４ｃの媒体識別子取得手段５１０ｃは、媒体識別子３７１を取得する（ステップＳ３２０３）。

　タイトル鍵配信証明書検証手段５１２は、タイトル鍵配信証明書１０００を検証する（ステップＳ３２０４）。検証の結果、タイトル鍵配信証明書が不正であると判定した場合（ステップＳ３２０４で「証明書が不正」）、再生処理を停止する。

　タイトル鍵配信証明書が正しいと判定した場合（ステップＳ３２０４で「証明書が正しい」）、入替結合体生成手段５０６ｃは、入替ＷＭ付第二ハッシュテーブル１３９１を生成し（ステップＳ３２０５）、署名検証手段５０７ｃは、生成した入替ＷＭ付第二ハッシュテーブル１３９１、ユニット選出情報９８０及び署名情報１３００を用いて署名検証し、検証結果に応じて再生可否判定手段５０８は、再生可否を判定する（ステップＳ３２０６）。署名検証の結果、検証に失敗したと判定した場合（ステップＳ３２０６で「検証失敗」）、再生処理を停止する。検証に成功したと判定した場合（ステップＳ３２０６で「検証成功」）、タイトル鍵取得手段５０３はタイトル鍵を取得し、復号化手段５０４は、取得したタイトル鍵を使用して、配信用暗号化ＷＭ付コンテンツを復号する（ステップＳ３２０７）。再生用情報処理装置１０４ｃの再生手段５０９は、復号により得られた復号コンテンツを再生する（ステップＳ３２０８）。

　４．６　その他の変形例
　再生用情報処理装置１０４ｃは、選択手段、電子透かし判断手段及び媒体識別子生成手段を含むとしてもよい。

　選択手段は、暗号化コンテンツ内において、特定位置の第一暗号化ユニットを選択する。

　復号化手段５０４は、選択された前記第一暗号化ユニットを復号して、平文ユニットを生成する。

　電子透かし判断手段は、生成された前記平文ユニットに１種類の電子透かしが埋め込まれているか否かを判断し、判断結果を出力する。判断結果は、電子透かしが埋め込まれているか否かであるので、「０」又は「１」であるとしてもよい。

　媒体識別子生成手段は、前記特定位置に対応する前記媒体識別子内のビット位置において、前記判断結果に基づく内容を、つまり、「０」又は「１」を、当該媒体識別子を構成する前記ビット情報として、生成する。

　このようにして、媒体識別子内のビット情報を生成することができ、媒体識別子を絞り込むことができる。こうして、コンテンツが暴露された場合に、ビット情報を漏洩元の情報記録媒体装置を特定する手がかりとすることができる。

　媒体識別子を構成する全てのビット情報について、上記のように構成すれば、媒体識別子の全体を復元することができる。

　４．７　コンテンツ配信システム１０ｃの効果
　（１）コンテンツ配信システム１０ｃでは、コンテンツ配信システム１０ａ及び１０ｂと同様に、個別タイトル鍵３８１及び共通タイトル鍵２４１の両方を使用している。共通タイトル鍵２４１を用いた暗号化の対象となるユニットについては、暗号化ユニットに対して、ユニットハッシュ値を生成する。一方、個別タイトル鍵３８１を用いた暗号化となるユニットについては、平文ユニットに対して、ユニットハッシュ値を生成する。このように、一つのコンテンツ内において、個別タイトル鍵３８１を使用して暗号化するユニットと、共通タイトル鍵２４１を使用して暗号化するユニットする箇所を混在させることで、個別タイトル鍵３８１を使用する部分のみを差し替えても、上記のように、再生は停止しないが、コンテンツの再生を困難にすることができる。

　（２）また、コンテンツ配信システム１０ｃでは、コンテンツ配信システム１０ｂと同様に、万が一、攻撃者によって、タイトル鍵や配信用コンテンツデータセットを、そのまま他の情報記録媒体に書き込むことが可能になった場合であっても、再生用情報処理装置がタイトル鍵配信証明書を検証することにより、不正な情報記録媒体に記録されたコンテンツの再生を停止することが可能になるという効果がある。

　（３）さらに、コンテンツ配信システム１０ｃでは、共通タイトル鍵２４１を使用して暗号化されるユニットに対し、媒体識別子に依存して、電子透かしを埋め込む。これにより、平文のコンテンツが攻撃者により暴露された場合に、暴露されたコンテンツから漏洩元の情報記録媒体装置を識別する媒体識別子を取得することができる。こうして、取得した媒体識別子を用いて、配信サーバ装置が情報記録媒体装置の媒体識別子をチェックすることにより、これ以降の漏洩元の情報記録媒体へコンテンツ配信を停止することができ、これ以降の被害の拡大を防止することができる。

　５．その他の変形例
　なお、本発明を上記各実施の形態に基づいて説明してきたが、本発明は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。

　（１）コンテンツ配信システム１０ａ、１０ｂ及び１０ｃにおいて、各配信サーバ装置は、暗号通信路２２を使用することなく、配信用コンテンツデータセットを記録用情報処理装置を介して、情報記録媒体装置へ送信している（ステップＳ１１０６、ステップＳ２００７、ステップＳ３１０７）。しかし、これには限定されない。

　各コンテンツ配信システムの各配信サーバ装置は、暗号通信路２２を使用して、配信用コンテンツデータセットを各情報記録媒体装置へ送信するとしてもよい。

　この場合、各記録用情報処理装置は、配信用コンテンツデータセットを復号化せずに暗号化されたままの状態で各情報記録媒体装置に送信し、各情報記録媒体装置は、暗号通信路２２を用いて受信する。

　また、ステップＳ２００７及びステップＳ３１０７において、タイトル鍵配信証明書も同様に、暗号通信路２２を用いて送信されるとしてもよい。

　（２）コンテンツ配信システム１０ａ、１０ｂ及び１０ｃにおいて、コンテンツを再生する際に、各情報記録媒体装置から各再生用情報処理装置へ、暗号通信路を用いることなく、配信用コンテンツデータセット、個別タイトル鍵３８１及び共通タイトル鍵２４１等のデータを送信している。しかし、これには限定されない。

　各情報記録媒体装置と各再生用情報処理装置との間で、暗号通信路を確立し、暗号通信路を確立した後、確立した暗号通信路を使用して配信用コンテンツデータセット、個別タイトル鍵３８１及び共通タイトル鍵２４１等のデータを送信するとしてもよい。

　この場合に、例えば、個別タイトル鍵３８１及び共通タイトル鍵２４１を暗号通信路を使用して送信するとしてもよい。また、全てのデータ（個別タイトル鍵３８１、共通タイトル鍵２４１、配信用コンテンツデータセット）を暗号通信路を使用して送信するとしてもよい。

　この場合、再生用情報処理装置も運用主体公開鍵保持手段、公開鍵証明書保持手段及び暗号通信路確立手段を備える。また、再生用情報処理装置の公開鍵証明書保持手段は、システムの運用主体が有する認証局装置から発行された再生用情報処理装置向けの公開鍵証明書を保持する。

　（３）コンテンツ配信システム１０ａ、１０ｂ及び１０ｃでは、各コンテンツ署名生成サーバ装置が、コンテンツの署名情報を生成しているが、これには、限定されない。

　各配信サーバ装置が署名情報を生成するとしてもよい。この場合、各配信サーバ装置が、コンテンツの配信前に予め、署名情報を生成しておくとしてもよい。

　コンテンツ配信システム１０ｂ及び１０ｃにおいて、各配信サーバ装置が署名情報を生成する場合、第二ハッシュテーブル（コンテンツ配信システム１０ｃではＷＭ付第二ハッシュテーブル）とユニット選出情報だけでなく、第二ハッシュテーブル（コンテンツ配信システム１０ｃではＷＭ付第二ハッシュテーブル）、ユニット選出情報、個別タイトル鍵３８１、共通タイトル鍵２４１及び媒体識別子を結合して結合体を生成し、生成した結合体に対して、署名生成アルゴリズムＳを施して、署名情報を生成してもよい。この場合、タイトル鍵配信証明書は不要になり、署名情報を検証すれば、個別タイトル鍵３８１及び共通タイトル鍵２４１が確かに結合体に含まれる媒体識別子に対応する情報記録媒体装置向けに配信されたことを検証することができる。

　（４）コンテンツ配信システム１０ａ、１０ｂ及び１０ｃにおいて、個別タイトル鍵３８１をランダムに生成して、媒体識別子３７１及び個別タイトル鍵３８１を対として、各配信サーバ装置のタイトル鍵データベース蓄積手段に蓄積している。これにより、万が一の個別タイトル鍵３８１が漏洩した場合に、タイトル鍵データベース蓄積手段から、漏洩した個別タイトル鍵３８１に対応する媒体識別子３７１を読み出すことにより、読み出した媒体識別子３７１により識別される情報記録媒体装置を特定することができる。こうして、特定された情報記録媒体装置が漏洩した個別タイトル鍵の出所となっている。しかし、これには限定されない。

　タイトル鍵データベース蓄積手段への媒体識別子３７１及び個別タイトル鍵３８１の記憶に代えて、後に復元できるように、個別タイトル鍵に媒体識別子３７１を埋め込むとしてもよい。これにより、各配信サーバ装置において、タイトル鍵データベース蓄積手段を不要とすることができる。

　以下において、個別タイトル鍵への媒体識別子の埋込みについて説明する。

　コンテンツ配信システム１０ａ、１０ｂ及び１０ｃの各配信サーバ装置は、個別タイトル鍵を生成するための鍵ＴＧＫ（タイトル鍵生成鍵と呼ぶ）を生成し、タイトル鍵生成鍵ＴＧＫを保持する。

　以下では、媒体識別子（３７１）ＣＩＤを６４ビット長とし、乱数Ｒを６４ビット長とする。

　各配信サーバ装置の個別タイトル鍵生成手段は、乱数Ｒを生成し、媒体識別子（３７１）ＣＩＤと乱数Ｒとをこの順序で結合して結合体を生成する。

　結合体＝ＣＩＤ｜｜Ｒ
　ここで、Ａ｜｜Ｂは、データＡとデータＢとをこの順序でビット連結して得られた結合体を示す。

　次に、各配信サーバ装置の個別タイトル鍵生成手段は、タイトル鍵生成鍵ＴＫＧを用いて、結合体に暗号化アルゴリズムＥｎｃを施し、生成した暗号化結合体を個別タイトル鍵とする。

　個別タイトル鍵＝Ｅｎｃ（ＴＫＧ，ＣＩＤ｜｜Ｒ）
　ここで、暗号化アルゴリズムＥｎｃは、秘密鍵暗号方式の暗号化アルゴリズムである。一例として、暗号化アルゴリズムＥｎｃは、ＡＥＳである。

　万が一、こうして生成した個別タイトル鍵が暴露された場合、タイトル鍵生成鍵ＴＫＧを用いて、個別タイトル鍵を復号することにより、ＣＩＤ｜｜Ｒを生成し、漏洩元の情報記録媒体装置を一意に識別する媒体識別子ＣＩＤを得ることができる。

　なお、媒体識別子３７１が６４ビット長より長い場合には、媒体識別子３７１の一部と乱数Ｒの結合体を、タイトル鍵生成鍵ＴＫＧを用いて、暗号化することにより、個別タイトル鍵を生成するとしてもよい。

　この場合は、媒体識別子の一部のみが判明するが、判明した媒体識別子の一部の情報に基づいて、漏洩元の情報記録媒体装置を絞り込むことが可能になる。

　また、上記では、媒体識別子３７１を６４ビット長、乱数を６４ビット長として、結合体が１２８ビット長となるようにしている。しかし、これには限定されない。媒体識別子３７１のビット長と乱数のビット長の合計が１２８となるように、媒体識別子３７１のビット長と乱数のビット長とを設定してもよい。

　また、使用する暗号化アルゴリズムＥｎｃの鍵長が１２８ビット以外の場合は、媒体識別子のビット長と乱数のビット長の合計がその鍵長以下になるように設定すればよい。

　また、個別タイトル鍵＝ＣＩＤ｜｜Ｒとしてもよい。

　また、個別タイトル鍵＝Ｈａｓｈ（ＣＩＤ｜｜Ｒ）としてもよい。ここで、Ｈａｓｈ（Ａ）は、データＡに対してハッシュを施して得られたハッシュ値である。

　（５）コンテンツ配信システム１０ａ、１０ｂ及び１０ｃでは、入替結合体（入替第二ハッシュテーブル及び入替ＷＭ付第二ハッシュテーブル）を生成し、生成した入替結合体を用いて署名情報を検証するとしている。しかし、これには限定されない。

　各再生用情報処理装置の署名検証手段は、入れ替えられていない第二ハッシュテーブル「ＨＡ２ＴＢＬ」（コンテンツ配信システム１０ｃでは、ＷＭ付第二ハッシュテーブル「ＷＨＡ２ＴＢＬ」）とユニット選出情報を結合した結合体を生成し、生成した結合体を対象データとして、署名情報を検証するとしてもよい。

　署名検証の結果、署名情報の検証に失敗すれば、再生可否判定手段は、再生処理を停止するように、再生手段に指示し、再生手段は、再生処理を停止する。

　署名情報の検証に成功すれば、選択したｋ個の配信用暗号化ユニット（コンテンツ配信システム１０ｃでは、配信用暗号化ＷＭ付ユニット）に対し、入替ユニットハッシュ値をユニットハッシュ値（コンテンツ配信システム１０ｃでは、ユニットハッシュ値又はＷＭ付ユニットハッシュ値）と比較する。比較した結果、ｋ個の配信用暗号化ユニットに対する入替ユニットハッシュ値とユニットハッシュ値のいずれかが一致しない場合は、再生可否判定手段は、再生処理を停止するように、再生手段に指示し、再生手段は、再生処理を停止する。ｋ個の配信用暗号化ユニットに対する入替ユニットハッシュ値とユニットハッシュ値の全てが一致する場合は、再生可否判定手段は、再生処理をするように、再生手段に指示し、再生手段は、再生処理を行う。

　（６）コンテンツ配信システム１０ａ、１０ｂ及び１０ｃでは、暗号通信路２２を確立する際に、一台の配信サーバ装置のみが情報記録媒体装置にタイトル鍵を書き込み可能となるよう、情報記録媒体装置が配信サーバ装置を認証するとしている。しかし、これには限定されない。

　複数の配信サーバ装置が情報記録媒体装置にタイトル鍵を書き込み可能になるよう、システムの運用主体が有する認証局装置が、書き込み可能とする複数の配信サーバ装置に公開鍵証明書を予め配布しておくとしてもよい。その公開鍵証明書を用いて、配信サーバ装置を認証するとしてもよい。

　また、情報記録媒体装置において、複数の配信サーバ装置毎に、各配信サーバ装置専用のメモリ領域を設けておき、それぞれのメモリ領域に対して、対応する配信サーバ装置が書き込み可能なように、公開鍵証明書をシステムの運用主体が有する認証局装置が配布するとしてもよい。この場合、公開鍵証明書には書き込み可能なメモリ領域を一意に識別するメモリ領域識別子が付加されており、公開鍵証明書内の署名の対象データには、このメモリ領域識別子をも含めておく。情報記録媒体装置は、メモリ領域を一意に識別するメモリ領域識別子をも含めて、公開鍵証明書を検証することで、書き込み先のメモリ領域への書き込みを許可してよいか否かを判定する。

　（７）コンテンツ配信システム１０ａ、１０ｂ及び１０ｃにおいては、各ユニット情報のタイトル鍵フラグ情報を、配信先の各情報記録媒体装置に依存することなく、各コンテンツ署名生成サーバ装置が決定している。しかし、これには限定されない。

　各情報記録媒体装置に対して、コンテンツを配信する際に、各配信サーバ装置が、各情報記録媒体装置を一意に識別する媒体識別子に対応して、タイトル鍵フラグ情報を決定するとしてもよい。

　この場合は、各コンテンツ署名生成サーバ装置は、予め、すべてのユニットについて、当該ユニットに電子透かしを埋め込んだユニットを生成し、電子透かしが埋め込まれたユニットからユニットハッシュ値を生成する。また、コンテンツ署名生成サーバ装置は、タイトル鍵フラグ情報を生成しない。このため、タイトル鍵フラグ情報を、コンテンツ署名生成サーバ装置により署名の対象データに含めない。配信サーバ装置が署名を生成する。

　（８）コンテンツ配信システム１０ｃでは、共通タイトル鍵２４１を用いる暗号化の対象となるユニットに対し、暗号化されたユニット（このユニットには、電子透かしが埋め込まれていない）と、暗号化されたＷＭ付ユニットのいずれかを媒体識別子を用いて選択している。これにより、平文のコンテンツが暴露されたときに、各ユニットに埋め込まれた電子透かしを用いて、媒体識別子を抽出し、漏洩元の情報記録媒体装置を特定できる。しかし、これには限定されない。

　各ユニットに電子透かしとして埋め込むデータ（ＷＭ）を、予め複数種類、用意しておくとしてもよい。例えば、１５種類のＷＭを用意しておく。別々のユニットに、１５種類のＷＭを埋め込みとするなら、ＷＭを埋め込まないユニットも合わせて、１６種類のユニットを生成することができる。こうして、１６種類のユニットに対して、媒体識別子のうちの４ビットの部分情報を対応させることができる。

　コンテンツ署名生成サーバ装置１０１ｃの電子透かし埋込手段２１０は、上記のように、１個のユニットについて、１６個のユニットを生成する。１６個のユニットのうち、１個のユニットは、ＷＭが埋め込まれていないユニットである。残りの１５個のユニットは、それぞれ、１５種類のＷＭが埋め込まれたＷＭ付ユニットである。

　こうして、電子透かし埋込手段２１０は、１個のユニット及び１５個のＷＭ付ユニットを含むＷＭ付ユニット情報を生成する。また、複数のＷＭ付ユニット情報を含むＷＭ付分割ファイルを生成し、複数のＷＭ付分割ファイルを含むＷＭ付分割コンテンツを生成する。

　暗号化手段２０６ｃは、ＷＭ付ユニット情報に含まれる１６個のユニットを暗号化して、１６個の暗号化ユニットを生成する。この１６個の暗号化ユニットを組ユニットと呼ぶ。また、暗号化手段２０６ｃは、複数の組ユニットを含む暗号化ＷＭ付ファイルを生成し、複数の暗号化ＷＭ付ファイルを含む暗号化ＷＭ付コンテンツを生成する。

　言い換えると、暗号化手段２０６ｃは、次に説明する暗号化ＷＭ付コンテンツを生成する。暗号化ＷＭ付コンテンツは、複数の暗号化ＷＭ付ファイルを含む。各暗号化ＷＭ付ファイルは、複数の組ユニットを含む。各組ユニットは、１６個の暗号化ユニットを含む。ここで、１６個の暗号化ユニットのうち、１個の暗号化ユニットは、ＷＭが埋め込まれていないユニットが暗号化されたものである。残りの１５個の暗号化ユニットは、それぞれ、１５種類のＷＭが埋め込まれたＷＭ付ユニットが暗号化されたものである。

　配信サーバ装置１０２ｃの暗号化手段３０６ｃは、取得した媒体識別子のうちの、４ビットの部分情報により示される値に応じて、組ユニットに含まれる１６個の暗号化ユニットから１個の暗号化ユニットを選択する。具体的には、４ビットの部分情報により示される値が「１」であれば、１６個の暗号化ユニットのうち、１番目に配置された暗号化ユニットを選択する。この値が「２」であれば、２番目に配置された暗号化ユニットを選択する。この値が「３」であれば、３番目に配置された暗号化ユニットを選択する。

　暗号化手段３０６ｃは、こうして選択した暗号化ユニットを配信用暗号化ＷＭ付ファイルに含める。

　このように、１６種類のＷＭ（１５種類のＷＭと、ＷＭを埋め込まないものとを含む）を埋め込んだユニットを、媒体識別子の４ビットの部分情報に対応して選択することにより、コンテンツの平文データが暴露されたときに、平文ユニットから、ＷＭを抽出し、抽出したＷＭが１６種類のいずれであるかを判定し、判定結果により、４ビットの情報を得る。こうして、得られた４ビットの情報により、漏洩元の情報記録媒体装置を絞り込んで、特定することができる。

　上記では、１６種類のＷＭを、媒体識別子の４ビットの部分情報に対応させているが、６４種類のＷＭを媒体識別子の６ビットの部分情報に対応させるとしてもよい。

　また、電子透かしの種類に対応させて媒体識別子を割り当てる方法であれば、どのような方法を使用してもよい。

　また、上記においては、電子透かしを埋め込まないユニットを合わせて１６種類のＷＭを用意するとしているが、１６種類のＷＭを用意して、全てのユニットにＷＭを埋め込むとしてもよい。

　また、上記の例では、１６や６４のように、２のべき乗の種類のＷＭを用意するとしているが、ＷＭの種類の数は２のべき乗以外であってもよい。

　上記のような場合において、コンテンツ署名生成サーバ装置により、前記第一暗号化の対象となる各平文ユニットに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ユニットの組が新たに生成され、さらに、生成された１個又は複数個の埋込ユニットの組に対して、前記第一暗号化を施して、１個又は複数個の第一暗号化埋込ユニットの組が生成され、生成された１個又は複数個の前記第一暗号化埋込ユニットの組をさらに含む中間暗号化コンテンツが生成されるとしてもよい。

　媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ユニット及び１個又は複数個の前記第一暗号化埋込ユニットの組の前記中間暗号化コンテンツ内における位置とは、対応付けられている。

　コンテンツ署名生成サーバ装置により、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ユニット及び１個又は複数個の前記第一暗号化埋込ユニットの組が選択され、前記部分情報の内容を用いて、第一暗号化ユニット及び１個又は複数個の前記第一暗号化埋込ユニットの組から、いずれか一つのユニットが選択され、選択したユニットを前記第一暗号化ユニットとして含む暗号化コンテンツが生成される。

　再生用情報処理装置は、前記暗号化コンテンツ内において、特定位置の前記第一暗号化ユニットを選択する選択手段を含む。

　再生用情報処理装置の復号化手段は、さらに、選択された前記第一暗号化ユニットを復号して、平文ユニットを生成する。

　再生用情報処理装置は、さらに、生成された前記平文ユニットに１種類又は複数種類の前記電子透かしのいずれかが埋め込まれているか否かを判断し、判断結果を出力する電子透かし判断手段と、前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記部分情報として、生成する媒体識別子生成手段とを含む。

　ここで、電子透かしを埋め込まない場合も含めて、合計で１６種類の電子透かしを埋め込むとするなら、上記の判断結果は、１６通りとなる。２進数により、表現すると、判断結果は、「００００」、「０００１」、「００１０」、「００１１」、・・・、「１１１１」のいずれかとなる。

　従って、媒体識別子生成手段は、媒体識別子を構成する４ビットの部分情報を生成することとなる。

　こうして、媒体識別子を構成する部分情報を生成することができ、媒体識別子を絞り込むことができる。これにより、コンテンツが暴露された場合に、部分情報を漏洩元の情報記録媒体装置を特定する手がかりとすることができる。

　（９）コンテンツ配信システム１０ｃにおいては、電子透かしの埋込みの対象とするユニットは、当該ユニットに対応するタイトル鍵フラグ情報が「１」である場合、すなわち、共通タイトル鍵２４１を用いた暗号化の対象である場合としているが、これには限定されない。

　タイトル鍵フラグ情報「０」に対応するユニットに対しても、電子透かしを埋め込んだＷＭ付ユニットを追加し、個別タイトル鍵３８１を用いて、当該ユニット及びＷＭ付ユニットを暗号化してもよい。

　個別タイトル鍵３８１を用いた暗号化の対象とするユニットに対しても、電子透かしを埋め込んだＷＭ付ユニットを追加する場合の処理の概要につき、コンテンツ配信システム１０ｃと異なる部分を中心として、図６０～図６４を用いて、説明する。

　（ａ）コンテンツ署名生成サーバ装置１０１ｃの電子透かし埋込手段２１０は、図６０に示すように、タイトル鍵フラグ情報に依存することなく、すべてのユニットに対し、電子透かしを埋め込んだＷＭ付ユニットを追加してもよい。

　図６０に示すように、分割ファイル７５１は、ユニット情報７６１、７６２、７６３、・・・、７６４を含んでいる。また、ユニット情報７６１、７６２、７６３、・・・、７６４は、それぞれ、ユニット７７３、７７４、７７５、・・・、７７７を含んでいる。

　電子透かし埋込手段２１０は、ユニット情報に含まれるタイトル鍵フラグ情報が「１」の場合であっても、「０」の場合であっても、全てのユニット情報に含まれるユニットに対して、電子透かしを埋め込んで、ＷＭ付ユニットを生成する。

　具体的には、電子透かし埋込手段２１０は、ユニット情報７６１に対して、ＷＭ付ユニット１４２１を含むＷＭ付ユニット情報１４１１を生成する。また、ユニット情報７６２に対しても、ＷＭ付ユニット１４２２を含むＷＭ付ユニット情報１４１２を生成する。以下、同様にして、ＷＭ付ユニット情報１４１３、１４１４、・・・、１４１５を生成し、ＷＭ付ユニット情報１４１１、１４１２、１４１３、１４１４、・・・、１４１５を含むＷＭ付分割ファイル１４０１を生成する。

　（ｂ）次に、コンテンツ署名生成サーバ装置１０１ｃの暗号化手段２０６ｃは、図６１に示すように、タイトル鍵フラグ情報「１」に対応するユニット及びＷＭ付ユニットについて、共通タイトル鍵２４１を用いて、当該ユニット及び当該ＷＭ付ユニットに暗号化アルゴリズムＥｎｃを施して、暗号化ユニット及び暗号化ＷＭ付ユニットを生成する。

　一方、タイトル鍵フラグ情報「０」に対応するユニット及びＷＭ付ユニットについては、暗号化することなく、当該ユニット及び当該ＷＭ付ユニットをそのまま使用する。このとき、当該ユニット及び当該ＷＭ付ユニットをそのまま暗号化ユニット及び暗号化ＷＭ付ユニットとする。

　こうして、暗号化手段２０６ｃは、図６１に示すように、暗号化ＷＭ付分割ファイル１４３１を生成する。暗号化ＷＭ付分割ファイル１４３１は、暗号化ＷＭ付ユニット情報１４４１、１４４２、１４４３、１４４４、・・・、１４４５を含む。また、各暗号化ＷＭ付ユニット情報は、ユニット識別子、タイトル鍵フラグ情報、暗号化ユニット及び暗号化ＷＭ付ユニットを含む。

　次に、暗号化手段２０６ｃは、図６１に示すように、暗号化ＷＭ付分割ファイル１４３１に含まれている全ての暗号化ユニット及び暗号化ＷＭ付ユニットから構成される暗号化ＷＭ付ファイル１４７１「ＥＷＣＮＴ１」を生成する。

　（ｃ）次に、コンテンツ署名生成サーバ装置１０１ｃのヘッダ情報生成手段２０７ｃは、図６２に示すように、暗号化ＷＭ付分割ファイル１４３１内の全ての暗号化ＷＭ付ユニット情報について、当該暗号化ＷＭ付ユニット情報に含まれる暗号化ユニット及び暗号化ＷＭ付ユニットのそれぞれに対して、ハッシュ値を算出して、ユニットハッシュ値とＷＭ付ユニットハッシュ値を生成する。

　図６２に示すように、ヘッダ情報生成手段２０７ｃは、ＷＭ付第一ハッシュテーブル１４５１を生成する。ここで、ＷＭ付第一ハッシュテーブル１４５１は、ＷＭ付ユニットハッシュ情報１４６１、１４６２、１４６３、１４６４、・・・、１４６５を含んでいる。各ＷＭ付ユニットハッシュ情報は、ユニット識別子、タイトル鍵フラグ情報、ユニットハッシュ値及びＷＭ付ユニットハッシュ値を含む。

　（ｄ）次に、配信サーバ装置１０２ｃの暗号化手段３０６ｃは、図６３に示すように、タイトル鍵フラグ情報「１」に対応するユニットに対しては、暗号化ユニットと暗号化ＷＭ付ユニットのいずれか一方を、媒体識別子に応じて選択し、選択した方を、配信用暗号化ＷＭ付ユニットとして、生成する。タイトル鍵フラグ情報「０」に対応するユニットに対しては、暗号化ユニットと暗号化ＷＭ付ユニットのいずれか一方を、媒体識別子に応じて選択し、個別タイトル鍵３８１を用いて、選択した方を暗号化して、配信用暗号化ＷＭ付ユニットを生成する。

　ここで、媒体識別子に応じた選択の方法は、コンテンツ配信システム１０ｃにおいて説明した通りである。

　こうして、暗号化手段３０６ｃは、暗号化ＷＭ付ファイル１４７１を基にして、配信用暗号化ＷＭ付ファイル１５０１を生成する。

　暗号化ＷＭ付ファイル１４７１は、一例として図６３に示すように、ユニット組１４８１、１４８２、１４８３、１４８４、・・・、１４８５を含んでいる。各ユニット組は、暗号化ユニット及び暗号化ＷＭ付ユニットを含む。ユニット組１４８１に含まれている暗号化ユニット及び暗号化ＷＭ付ユニットは、それぞれ、共通タイトル鍵２４１を用いて、ユニット及びＷＭ付ユニットが暗号化されて生成されたものである。一方、ユニット組１４８２に含まれている暗号化ユニット及び暗号化ＷＭ付ユニットは、それぞれ、暗号化されておらず、ユニット及びＷＭ付ユニットそのものである。

　配信用暗号化ＷＭ付ファイル１５０１は、一例として、図６３に示すように、配信用暗号化ＷＭ付ユニット１５１１、１５１２、１５１３、１５１４、・・・、１５１５を含む。

　配信用暗号化ＷＭ付ユニット１５１１は、ユニット組１４８１に含まれる暗号化ユニット及び暗号化ＷＭ付ユニットのうち、媒体識別子に応じて、いずれか一方が選択されたものである。配信用暗号化ＷＭ付ユニット１５１３、１５１５についても、同様である。

　また、配信用暗号化ＷＭ付ユニット１５１２は、ユニット組１４８２に含まれる暗号化ユニット及び暗号化ＷＭ付ユニットのうち、媒体識別子に応じて、いずれか一方を選択し、個別タイトル鍵３８１を用いて、選択した方を暗号化して生成したものである。配信用暗号化ＷＭ付ユニット１５１４についても、同様である。

　（ｅ）再生用情報処理装置１０４ｃの入替結合体生成手段５０６ｃは、タイトル鍵フラグ情報「１」に対応するユニットに対しては、コンテンツ配信システム１０ｃと同様、図５４に示すように、配信用暗号化ＷＭ付ユニットを、そのまま、ハッシュ対象ユニットとして使用し、当該配信用暗号化ＷＭ付ユニットに対するハッシュ値を算出し、媒体識別子に応じて置き換えるハッシュ値を決定して置き換える。

　タイトル鍵フラグ情報「０」に対応するユニットに対しては、図６４に示すように、配信用暗号化ＷＭ付ユニットを復号化してハッシュ対象ユニットを生成し、生成したハッシュ対象ユニットに対するハッシュ値を算出し、媒体識別子に応じて置き換えるハッシュ値を決定して置き換える。

　また、上記では、個別タイトル鍵３８１を用いて暗号化するユニットと、共通タイトル鍵２４１を用いて暗号化するユニットの両方に対し、電子透かしを埋め込んでいる。しかし、これには限定されない。個別タイトル鍵３８１を用いて暗号化するユニットに対してのみ、電子透かしを埋め込むとしてもよい。

　（ｆ）次に示すように構成してもよい。

　コンテンツ署名生成サーバ装置により、第一暗号化の対象とならない各平文ユニットに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ユニットの組が新たに生成され、生成された１個又は複数個の前記埋込ユニットの組をさらに含む中間暗号化コンテンツが生成されるとしてもよい。

　媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記平文ユニット及び１個又は複数個の前記埋込ユニットの組の前記中間暗号化コンテンツ内における位置とは、対応付けられている。

　配信サーバ装置により、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ユニット及び１個又は複数個の前記埋込ユニットの組が選択され、前記部分情報の内容を用いて、前記平文ユニット及び１個又は複数個の前記埋込ユニットの組から、いずれか一つのユニットが選択され、選択したユニットに前記第二暗号化を施して、前記第二暗号化ユニットが生成され、生成した前記第二暗号化ユニットを含む暗号化コンテンツが生成される。

　再生用情報処理装置は、選択手段、電子透かし判断手段及び媒体識別子生成手段とを含むとしてもよい。

　選択手段は、前記暗号化コンテンツ内において、特定位置の前記第二暗号化ユニットを選択する。

　再生用情報処理装置の復号化手段は、選択された前記第二暗号化ユニットを復号して、平文ユニットを生成する。

　電子透かし判断手段は、さらに、前記第二暗号化ユニットを復号して生成された前記平文ユニットに１種類又は複数種類の前記電子透かしのいずれかが埋め込まれているか否かを判断し、判断結果を出力する。

　媒体識別子生成手段は、さらに、前記第二暗号化ユニットの前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記部分情報として、生成する。

　また、次に示すように構成してもよい。

　コンテンツ署名生成サーバ装置により、第一暗号化の対象とならない各平文ユニットに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ユニットが新たに生成され、生成された１個の前記埋込ユニットをさらに含む中間暗号化コンテンツが生成されるとしてもよい。

　媒体識別子を構成する部分情報は、前記媒体識別子を構成する１ビットのビット情報である。

　前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記平文ユニット及び１個の前記埋込ユニットの前記中間暗号化コンテンツ内における位置とは、対応付けられている。

　配信サーバ装置により、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ユニット及び１個前記埋込ユニットが選択され、前記ビット情報の値を用いて、前記平文ユニット及び１個の前記埋込ユニットから、いずれか一つのユニットが選択され、選択したユニットに前記第二暗号化を施して、前記第二暗号化ユニットが生成され、生成した前記第二暗号化ユニットを含む前記暗号化コンテンツが生成される。

　電子透かし判断手段は、前記第二暗号化ユニットを復号して生成された前記平文ユニットに１種類の前記電子透かしが埋め込まれているか否かを判断し、判断結果を出力する。

　媒体識別子生成手段は、前記第二暗号化ユニットの前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記ビット情報として、生成する。

　上記の判断結果は、２通りとなる。２進数により、表現すると、判断結果は、「０」及び「１」のいずれかとなる。

　従って、媒体識別子生成手段は、媒体識別子を構成する１ビットのビット情報を生成することとなる。

　以上のように、媒体識別子を構成する部分情報又はビット情報を生成することができ、媒体識別子を絞り込むことができる。これにより、コンテンツが暴露された場合に、部分情報又はビット情報を漏洩元の情報記録媒体装置を特定する手がかりとすることができる。

　（１０）コンテンツ配信システム１０ａ、１０ｂ及び１０ｃにおいて、ヘッダ情報生成手段２０７及び２０７ｃは、それぞれ、複数の第一ハッシュテーブルを生成し、１個の第二ハッシュテーブルを生成し、署名生成手段２０９及び２０９ｃは、第二ハッシュテーブル及びユニット選出情報の結合体に、署名生成アルゴリズムＳを施して、署名情報を生成するとしている。しかし、これには限定されない。

　コンテンツ配信システム１０ａ、１０ｂ及び１０ｃにおいて、ヘッダ情報生成手段２０７及び２０７ｃは、それぞれ、複数の第一ハッシュテーブルを生成し、署名生成手段２０９及び２０９ｃは、複数の第一ハッシュテーブル及びユニット選出情報の結合体に、署名生成アルゴリズムＳを施して、署名情報を生成するとしてもよい。

　（１１）コンテンツ配信システム１０ａ、１０ｂ及び１０ｃにおいて、原コンテンツは、複数の原ファイルを含み、各原ファイルは、複数の平文のユニットを含むとしている。しかし、これには限定されない。

　原コンテンツは、複数の平文のユニットを含むとしてもよい。ここで、上述したように、ユニットは、一例として、ＶＯＢＵの単位である。また、ユニットをブロックと呼び換えることもできる。

　（１２）以下に示すように構成してもよい。

　本発明の一態様は、第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムである。

　前記第一サーバ装置は、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化回路と、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約回路とを備える。

　前記第二サーバ装置は、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化回路を備える。

　前記再生装置は、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択回路と、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号回路と、生成した前記平文ブロックを要約して第二要約値を生成する第二要約回路と、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証回路と、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生回路とを備える。

　また、本発明の別の一態様は、第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムである。

　前記第一サーバ装置は、複数のコンピュータ命令が組み合わされて構成されるコンピュータプログラムを記憶しているメモリ部と、前記メモリ部に記憶されている前記コンピュータプログラムから１個ずつコンピュータ命令を読み出し、解読し、その解読結果に応じて動作するプロセッサとを備える。前記コンピュータプログラムは、コンピュータである第一サーバ装置に、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化ステップと、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約ステップとを実行させる。

　前記第二サーバ装置は、複数のコンピュータ命令が組み合わされて構成されるコンピュータプログラムを記憶しているメモリ部と、前記メモリ部に記憶されている前記コンピュータプログラムから１個ずつコンピュータ命令を読み出し、解読し、その解読結果に応じて動作するプロセッサとを備える。前記コンピュータプログラムは、コンピュータである前記第二サーバ装置に、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化ステップを実行させる。

　前記再生装置は、複数のコンピュータ命令が組み合わされて構成されるコンピュータプログラムを記憶しているメモリ部と、前記メモリ部に記憶されている前記コンピュータプログラムから１個ずつコンピュータ命令を読み出し、解読し、その解読結果に応じて動作するプロセッサとを備える。前記コンピュータプログラムは、コンピュータである前記再生装置に、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとを実行させる。

　（１３）以下に示すように構成してもよい。

　本発明の一態様である情報処理装置は、デジタル著作物の暗号化データと、前記デジタル著作物を構成する複数のデータブロックから生成された複数の記録要約値と、複数の記録要約値からなる第１結合体に対して第１署名鍵を用いた署名生成アルゴリズムを施すことで生成された第１記録署名データとを記録している情報記録媒体から、前記デジタル著作物の暗号化データを読み出し復号化して再生する情報処理装置であって、前記第１署名鍵に対応する第１検証鍵を保持する第１検証鍵保持手段と、前記情報記録媒体に記録されている前記デジタル著作物の暗号化データを復号化して再生する利用手段と、前記データブロックからランダムに所定数個の選択データブロックを選択するデータブロック選択手段と、前記選択データブロックの暗号化データを復号化するための復号化鍵が、前記情報記録媒体に対応した鍵とすべての情報記録媒体に共通の鍵のどちらであるかを判定する鍵判定手段と、前記鍵判定手段が前記復号化鍵が前記情報記録媒体に対応した鍵であると判定した場合に、前記暗号化データを復号化し復号化結果を変換データブロックとし、前記鍵判定手段が前記復号化鍵がすべての情報記録媒体に共通の鍵であると判定した場合に、前記暗号化データそのものを変換データブロックとして生成するデータ変換手段と、各選択データブロックに対応した前記変換データブロックから、演算要約値を算出する演算手段と、前記情報記録媒体に記録されている記録要約値群から、少なくとも、前記選択データブロックを除く他のデータブロックに対応する残存要約値を読み出す読出手段と、前記演算要約値及び前記残存要約値から、前記第１結合体のうち、前記選択データブロックに対応する記録要約値を前記演算要約値に置き換えたデータである第２結合体を生成する生成手段と、生成された前記第２結合体と前記第１記録署名データとに、前記第１検証鍵を用いた署名検証アルゴリズムを施すことによって署名検証を行う第１署名検証手段と、前記第１署名検証手段による署名検証が失敗した場合に、前記デジタル著作物の再生を停止する利用制御手段と、を含むことを特徴とする。

　これにより、情報記録媒体に記録された復号化鍵を改ざんされたとしても、情報処理装置でその改ざんされた復号化鍵を用いて、コンテンツ（デジタル著作物）再生可能とする攻撃を防止することができる。

　ここで、前記情報処理装置において、前記情報記録媒体はさらに、復号化鍵と前記情報記録媒体の識別子の結合体に対して第２署名鍵を用いた署名生成アルゴリズムを施すことで生成された第２記録署名データを記録し、前記情報処理装置はさらに、前記情報記録媒体の識別子を取得する媒体識別子取得手段と、前記第２署名鍵に対応する第２検証鍵を保持する第２検証鍵保持手段と、前記復号化鍵、前記媒体識別子取得手段が取得した前記識別子を結合した結合体と前記第２記録署名データとに、前記第２検証鍵を用いた署名検証アルゴリズムを施すことによって署名検証を行う第２署名検証手段と、を含み、前記利用制御手段は、前記第１署名検証手段による署名検証または前記第２署名検証手段による署名検証が失敗した場合に、前記デジタル著作物の再生を停止するとしてもよい。

　これにより、復号化鍵を記録している情報記録媒体の媒体識別子が正しいことを検証可能になり、コンテンツが正しい情報記録媒体に記録されている場合にのみ、再生可能となる。

　本発明の別の態様であるコンテンツ署名生成サーバ装置は、デジタル著作物に対し、前記デジタル著作物の暗号化データと、前記デジタル著作物を構成する複数のデータブロックから生成された複数の記録要約値と、すべての情報記録媒体に共通の鍵である共通鍵と、前記データブロックに対して使用する鍵を示す情報である鍵フラグ情報と、複数の記録要約値からなる第１結合体に対して第１署名鍵を用いた署名生成アルゴリズムを施すことで生成された第１記録署名データとを生成するコンテンツ署名生成サーバ装置であって、前記第１署名鍵を保持する第１署名鍵保持手段と、前記デジタル著作物を複数のデータブロックに分割して生成するデータブロック生成手段と、前記共通鍵を生成する共通鍵生成手段と、前記データブロック生成手段が生成した前記データブロックの各々を暗号化する鍵として、前記情報記録媒体に対応した鍵である個別鍵と前記共通鍵のどちらを使用するかを選択し、選択結果を示す前記鍵フラグ情報を生成する鍵フラグ情報生成手段と、前記データブロックの各々に対応する、前記鍵フラグ情報が前記共通鍵を暗号化する鍵として使用することを示す場合に、前記データブロックを前記共通鍵で暗号化して暗号化データブロックを生成し、前記鍵フラグ情報が前記個別鍵を暗号化する鍵として使用することを示す場合に、前記データブロックそのものを暗号化データブロックとして生成する暗号化手段と、複数の前記暗号化データブロックを結合して前記暗号化データを生成する暗号化データ生成手段と、前記データブロックの各々に対し、前記暗号化データブロックから、前記記録要約値を算出する記録要約値算出手段と、複数の前記記録要約値を結合して前記第１結合体を生成する第１結合体生成手段と、前記第１結合体に、前記第１署名鍵を用いた署名生成アルゴリズムを施すことによって第１記録署名データを生成する第１署名生成手段と、を含むことを特徴とする。

　これにより、情報記録媒体に記録された復号化鍵を改ざんされたとしても、情報記録媒体を読み込んでコンテンツを再生する情報処理装置でその改ざんされた復号化鍵を用いて、コンテンツ再生可能とする攻撃を防止することができる。また、請求項３記載の態様のコンテンツ署名生成サーバ装置を使用することにより、コンテンツ署名生成サーバ装置で予め、コンテンツの署名情報を生成し、生成したデータを後でコンテンツの署名情報を生成することなく配信することが可能になる。

　ここで、前記コンテンツ署名生成サーバ装置は、さらに、前記データブロックの各々に対し、前記データブロックに対応する前記鍵フラグ情報が前記共通鍵を暗号化する鍵として使用することを示す場合に、前記データブロックに対して電子透かしを埋め込んだＷＭ付データブロックを生成する電子透かし埋込手段を含み、前記暗号化手段はさらに、前記ＷＭ付データブロックを前記共通鍵で暗号化して暗号化ＷＭ付データブロックを生成し、前記暗号化データ生成手段は、複数の前記暗号化データブロックと前記暗号化ＷＭ付データブロックを結合して前記暗号化データを生成し、前記記録要約値算出手段はさらに、前記暗号化ＷＭ付データブロックから、前記記録要約値を算出するとしてもよい。

　これにより、配信サーバ装置が埋め込んだ電子透かしを使用して、情報記録媒体に応じてコンテンツを配信することで、平文のコンテンツが攻撃者により暴露された場合に、暴露されたコンテンツから漏洩元の情報記録媒体の識別子を抽出可能になる。抽出した識別子を用いて、配信サーバ装置が情報記録媒体の識別子をチェックすることで、漏洩元の情報記録媒体への以降のコンテンツ配信を停止することができ、それ以降の被害の拡大を防止可能になる。

　ここで、前記コンテンツ署名生成サーバ装置は、前記コンテンツ署名生成サーバ装置はさらに、前記データブロックの各々に対し、前記データブロックに対応する前記鍵フラグ情報が前個別鍵を暗号化する鍵として使用することを示す場合に、前記データブロックに対して電子透かしを埋め込んだＷＭ付データブロックを生成する電子透かし埋込手段を含み、前記暗号化手段はさらに、前記ＷＭ付データブロックそのものを暗号化ＷＭ付データブロックとして生成し、前記暗号化データ生成手段は、複数の前記暗号化データブロックと前記暗号化ＷＭ付データブロックを結合して前記暗号化データを生成し、前記記録要約値算出手段はさらに、前記暗号化ＷＭ付データブロックから、前記記録要約値を算出するとしてもよい。

　ここで、前記コンテンツ署名生成サーバ装置は、さらに、前記データブロックの各々に対し、前記データブロックに対応する前記鍵フラグ情報が前記共通鍵を暗号化する鍵として使用することを示す場合に、前記データブロックに対して電子透かしを埋め込んだＷＭ付データブロックを生成し、前記データブロックに対応する前記鍵フラグ情報が前個別鍵を暗号化する鍵として使用することを示す場合に、前記データブロックに対して電子透かしを埋め込んだＷＭ付データブロックを生成する電子透かし埋込手段を含み、前記暗号化手段はさらに、前記データブロックの各々に対し、前記データブロックに対応する前記鍵フラグ情報が前記共通鍵を暗号化する鍵として使用することを示す場合に、前記ＷＭ付データブロックを前記共通鍵で暗号化して暗号化ＷＭ付データブロックを生成し、前記データブロックに対応する前記鍵フラグ情報が前個別鍵を暗号化する鍵として使用することを示す場合に、前記ＷＭ付データブロックそのものを暗号化ＷＭ付データブロックとして生成し、前記暗号化データ生成手段は、複数の前記暗号化データブロックと前記暗号化ＷＭ付データブロックを結合して前記暗号化データを生成し、前記記録要約値算出手段はさらに、前記暗号化ＷＭ付データブロックから、前記記録要約値を算出するとしてもよい。

　本発明の別の態様であるサーバは、デジタル著作物の暗号化データと、前記デジタル著作物を構成する複数のデータブロックから生成された複数の記録要約値と、すべての情報記録媒体に共通の鍵である共通鍵と、前記データブロックに対して使用する鍵を示す情報である鍵フラグ情報と、複数の記録要約値からなる第１結合体に対して第１署名鍵を用いた署名生成アルゴリズムを施すことで生成された第１記録署名データとを受信し、前記デジタル著作物の配信用暗号化データと、情報記録媒体に対応した鍵である個別鍵とを生成する配信サーバ装置であって、前記個別鍵を生成する個別鍵生成手段と、前記暗号化データを構成する複数の暗号化データブロックの各々に対応する、前記鍵フラグ情報が前記共通鍵を暗号化する鍵として使用することを示す場合に、前記暗号化データブロックそのものを配信用暗号化データブロックとして生成し、前記鍵フラグ情報が前記個別鍵を暗号化する鍵として使用することを示す場合に、前記暗号化データブロックを前記個別鍵で暗号化して配信用暗号化データブロックを生成する暗号化手段と、複数の前記配信用暗号化データブロックを結合して前記配信用暗号化データを生成する配信用暗号化データ生成手段と、を含む。

　これにより、個別鍵を攻撃者が暴露しても、暴露された個別鍵から配信先の情報記録媒体を追跡することが可能になる。

　ここで、前記配信サーバ装置は、さらに、前記情報記録媒体の識別子を取得する媒体識別子取得手段と、第２署名鍵を保持する第２署名鍵保持手段と、前記個別鍵、前記共通鍵と前記識別子からなる結合体に対して、前記第２署名鍵を用いた署名生成アルゴリズムを施すことで第２記録署名データを生成する第２署名生成手段と、を含むとしてもよい。

　ここで、前記配信サーバ装置は、さらに、前記情報記録媒体の識別子を取得する媒体識別子取得手段を含み、前記暗号化データは、複数の前記暗号化データブロックと、前記データブロックに対し電子透かしを埋め込んだ暗号化ＷＭ付データブロックとを結合したものであり、前記暗号化データ生成手段は、前記識別子に対応して、前記暗号化データブロックと前記暗号化ＷＭ付データブロックのどちらを前記暗号化データに含めるかを選択して、前記暗号化データを生成するとしてもよい。

　これにより、平文のコンテンツが攻撃者により暴露された場合に、暴露されたコンテンツから漏洩元の情報記録媒体の識別子を抽出可能になる。抽出した識別子を用いて、配信サーバ装置が情報記録媒体の識別子をチェックすることで、漏洩元の情報記録媒体への以降のコンテンツ配信を停止することができ、それ以降の被害の拡大を防止可能になる。

　ここで、配信サーバ装置は、前記暗号化ＷＭ付データブロックに対応する前記鍵フラグ情報は、前記共通鍵を暗号化する鍵として使用することを示すとしてもよい。

　ここで、前記配信サーバ装置は、前記暗号化ＷＭ付データブロックに対応する前記鍵フラグ情報は、前記個別鍵を暗号化する鍵として使用することを示す。

　本発明の別の態様である情報処理方法は、デジタル著作物の暗号化データと、前記デジタル著作物を構成する複数のデータブロックから生成された複数の記録要約値と、複数の記録要約値からなる第１結合体に対して第１署名鍵を用いた署名生成アルゴリズムを施すことで生成された第１記録署名データとを記録している情報記録媒体から、前記デジタル著作物の暗号化データを読み出し復号化して再生する情報処理装置の情報処理方法であって、前記第１署名鍵に対応する第１検証鍵を取得する第１検証鍵取得ステップと、前記情報記録媒体に記録されている前記デジタル著作物の暗号化データを復号化して再生する利用ステップと、前記データブロックからランダムに所定数個の選択データブロックを選択するデータブロック選択ステップと、前記選択データブロックの暗号化データを復号化するための復号化鍵が、前記情報記録媒体に対応した鍵とすべての情報記録媒体に共通の鍵のどちらであるかを判定する鍵判定ステップと、前記鍵判定ステップで前記復号化鍵が前記情報記録媒体に対応した鍵であると判定した場合に、前記暗号化データを復号化し復号化結果を変換データブロックとし、前記鍵判定ステップで前記復号化鍵がすべての情報記録媒体に共通の鍵であると判定した場合に、前記暗号化データそのものを変換データブロックとして生成するデータ変換ステップと、各選択データブロックに対応した前記変換データブロックから、演算要約値を算出する演算ステップと、前記情報記録媒体に記録されている記録要約値群から、少なくとも、前記選択データブロックを除く他のデータブロックに対応する残存要約値を読み出す読出ステップと、前記演算要約値及び前記残存要約値から、前記第１結合体のうち、前記選択データブロックに対応する記録要約値を前記演算要約値に置き換えたデータである第２結合体を生成する生成ステップと、生成された前記第２結合体と前記第１記録署名データとに、前記第１検証鍵を用いた署名検証アルゴリズムを施すことによって署名検証を行う第１署名検証ステップと、前記第１署名検証手段による署名検証が失敗した場合に、前記デジタル著作物の再生を停止する利用制御ステップとを含むことを特徴とする。

　従来の漏洩元端末の追跡技術では、複数の攻撃者が結託して各々が平文化したコンテンツの部分と部分とをつなぎ合わせて漏洩させた場合に、漏洩元の特定が困難である。このようにして漏洩したコンテンツが再度正規の記録媒体に格納され、正規の再生機器で再生できる状況になると、一般ユーザまでが不正なコンテンツの利用を行う状況となり、被害が甚大なものとなる。

　本発明の情報記録媒体は、配信サーバ装置のみ書き込み可能な領域を備え、その領域にコンテンツを暗号化する鍵を格納することで、鍵の漏洩・改ざんを防止する。コンテンツを差し替える攻撃に対し、コンテンツのブロックごとのハッシュ値を生成し、それに対する署名をつけることで対策する。万が一の鍵漏洩に備えて、コンテンツの配信先のカードごとに個別の鍵と共通の鍵を導入する。さらに、配信サーバ装置の負荷軽減のために、予めコンテンツへの署名を付加するため、カード個別の鍵を使用するコンテンツブロックに対しては、平文データに対してハッシュ値を生成し、カード共通の鍵を使用するコンテンツブロックに対しては、暗号文データに対してハッシュ値を生成する。

　（１４）上記の各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（１５）上記の各装置を構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。

　（１６）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（１７）本発明は、上述した各装置において用いられる制御方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（１８）各実施の形態及び各変形例をそれぞれ組み合わせるとしてもよい。

　本発明に係るコンテンツ配信システムは、正規の暗号化コンテンツを不正な暗号化コンテンツに差し替えるという攻撃を受けた場合であっても、コンテンツの差し替えを検出することができ、コンテンツの不正な差し替えを検出する技術として有用である。

　１０、１０ａ、１０ｂ、１０ｃ　コンテンツ配信システム
　１０１　第一サーバ装置
　１０１ａ、１０１ｃ　コンテンツ署名生成サーバ装置
　１０２　第二サーバ装置
　１０２ａ、１０２ｂ、１０２ｃ　配信サーバ装置
　１０３ａ　記録用情報処理装置
　１０４　再生装置
　１０４ａ、１０４ｂ、１０４ｃ　再生用情報処理装置
　１０５ａ、１０５ｂ　情報記録媒体装置
　２０１　コンテンツ保持手段
　２０２　蓄積手段
　２０３　機器間送信手段
　２０４、２０４ｃ　ユニット生成手段
　２０５　共通タイトル鍵生成手段
　２０６、２０６ｃ　暗号化手段
　２０７、２０７ｃ　ヘッダ情報生成手段
　２０８　署名鍵保持手段
　２０９、２０９ｃ　署名生成手段
　２１０　電子透かし埋込手段
　２１１　制御手段
　２２１　第一暗号化部
　２２２　第一要約部
　３０１　蓄積手段
　３０２　機器間送信手段
　３０３　機器間受信手段
　３０４、３０４ｃ　媒体識別子取得手段
　３０５　個別タイトル鍵生成手段
　３０６、３０６ｃ　暗号化手段
　３０７　タイトル鍵データベース蓄積手段
　３０８　運用主体公開鍵保持手段
　３０９　私有鍵保持手段
　３１０　公開鍵証明書保持手段
　３１１　暗号通信路確立手段
　３１２　タイトル鍵配信証明書生成手段
　３１３　制御手段
　３２１　第二暗号化部
　４０１　機器間送信手段
　４０２　機器間受信手段
　４０３　媒体間送信手段
　４０４　媒体間受信手段
　５０１　媒体間送信手段
　５０２　媒体間受信手段
　５０３　タイトル鍵取得手段
　５０４　復号化手段
　５０５　署名検証鍵保持手段
　５０６、５０６ｃ　入替結合体生成手段
　５０７、５０７ｃ　署名検証手段
　５０８　再生可否判定手段
　５０９　再生手段
　５１０、５１０ｃ　媒体識別子取得手段
　５１１　運用主体公開鍵保持手段
　５１２　タイトル鍵配信証明書検証手段
　５１３　制御手段
　５２１　選択部
　５２２　復号部
　５２３　第二要約部
　５２４　検証部
　５２５　再生部
　６０１　機器間送信手段
　６０２　機器間受信手段
　６０３　媒体識別子保持手段
　６０４　運用主体公開鍵保持手段
　６０５　私有鍵保持手段
　６０６　公開鍵証明書保持手段
　６０７　暗号通信路確立手段
　６０８　タイトル鍵蓄積手段
　６０９　コンテンツ蓄積手段
　６１０　制御手段
　６１１　タイトル鍵配信証明書蓄積手段

Claims

　第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムであって、
　前記第一サーバ装置は、
　平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化手段と、
　前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約手段とを備え、
　前記第二サーバ装置は、
　前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化手段を備え、
　前記再生装置は、
　前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択手段と、
　選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号手段と、
　生成した前記平文ブロックを要約して第二要約値を生成する第二要約手段と、
　複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証手段と、
　前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生手段とを備える
　ことを特徴とするコンテンツ配信システム。
　前記第一サーバ装置は、さらに、
　少なくとも生成された複数の前記第一要約値を結合して得られる結合体に対して署名を施して署名データを生成する署名手段を含み、
　前記再生装置は、さらに、
　前記結合体のうち、前記第二要約値に対応する前記第一要約値を、当該第二要約値に入れ替えて、入替結合体を生成する入替結合体生成手段を含み、
　前記検証手段は、前記入替結合体を用いて、前記署名データを検証する
　ことを特徴とする請求項１に記載のコンテンツ配信システム。
　前記第二サーバ装置は、一の記録媒体装置を介して、前記暗号化コンテンツを前記再生装置へ出力し、
　前記第一サーバ装置の前記第一暗号化手段は、複数の記録媒体装置に共通の共通タイトル鍵を用いて、前記平文ブロックに対して、前記第一暗号化を施し、
　前記第二サーバ装置の前記第二暗号化手段は、前記一の記録媒体装置に固有の個別タイトル鍵を用いて、前記第一暗号化されていない前記平文ブロックに対して、前記第二暗号化を施し、
　前記再生装置の前記復号手段は、前記個別タイトル鍵を用いて、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施す
　ことを特徴とする請求項１に記載のコンテンツ配信システム。
　第一サーバ装置及び第二サーバ装置から構成されるコンテンツ配信サブシステムであって、
　前記第一サーバ装置は、
　平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化手段と、
　前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約手段とを備え、
　前記第二サーバ装置は、
　前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化手段を備える
　ことを特徴とするコンテンツ配信サブシステム。
　前記第一サーバ装置は、さらに、
　少なくとも生成された複数の前記第一要約値を結合して得られる結合体に対して署名を施して署名データを生成する署名手段を含む
　ことを特徴とする請求項４に記載のコンテンツ配信サブシステム。
　前記第二サーバ装置は、一の記録媒体装置を介して、前記暗号化コンテンツを再生装置へ出力し、
　前記第一サーバ装置の前記第一暗号化手段は、複数の記録媒体装置に共通の共通タイトル鍵を用いて、前記平文ブロックに対して、前記第一暗号化を施し、
　前記第二サーバ装置の前記第二暗号化手段は、前記一の記録媒体装置に固有の個別タイトル鍵を用いて、前記第一暗号化されていない前記平文ブロックに対して、前記第二暗号化を施す
　ことを特徴とする請求項４に記載のコンテンツ配信サブシステム。
　前記第一サーバ装置は、さらに、
　複数の記録媒体装置に共通の前記共通タイトル鍵を生成する共通タイトル鍵生成手段を含み、
　前記第一暗号化手段は、生成された前記共通タイトル鍵を用いる
　ことを特徴とする請求項６に記載のコンテンツ配信サブシステム。
　前記第二サーバ装置は、さらに、
　前記一の記録媒体装置に固有の前記個別タイトル鍵を生成する個別タイトル鍵生成手段を含み、
　前記第二暗号化手段は、生成された前記個別タイトル鍵を用いる
　ことを特徴とする請求項６に記載のコンテンツ配信サブシステム。
　前記第二サーバ装置は、さらに、
　前記一の記録媒体装置を識別する媒体識別子を取得する媒体識別子取得手段を含み、
　前記個別タイトル鍵生成手段は、取得した前記媒体識別子を含む前記個別タイトル鍵を生成する
　ことを特徴とする請求項８に記載のコンテンツ配信サブシステム。
　前記個別タイトル鍵生成手段は、乱数を生成し、前記媒体識別子と前記乱数とを結合して結合体を生成し、生成した結合体を暗号化して、前記個別タイトル鍵を生成する
　ことを特徴とする請求項９に記載のコンテンツ配信サブシステム。
　前記第二サーバ装置は、さらに、
　前記共通タイトル鍵、前記個別タイトル鍵及び前記媒体識別子を結合して得られる結合体に対して署名を施してタイトル鍵配信証明書を生成する証明書生成手段を含む
　ことを特徴とする請求項９に記載のコンテンツ配信サブシステム。
　前記第一サーバ装置は、さらに、
　前記第一暗号化手段において前記第一暗号化の対象となる各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組を新たに生成する電子透かし埋込手段を含み、
　前記第一暗号化手段は、さらに、生成された１個又は複数個の埋込ブロックの組に対して、前記第一暗号化を施して、１個又は複数個の第一暗号化埋込ブロックの組を生成し、生成された１個又は複数個の前記第一暗号化埋込ブロックの組をさらに含む前記中間暗号化コンテンツを生成し、
　前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられており、
　前記第二暗号化手段は、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組を選択し、前記部分情報の内容を用いて、第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組から、いずれか一つのブロックを選択し、選択したブロックを前記第一暗号化ブロックとして含む前記暗号化コンテンツを生成する
　ことを特徴とする請求項９に記載のコンテンツ配信サブシステム。
　前記電子透かし埋込手段は、各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックを新たに生成し、
　前記第一暗号化手段は、生成された１個の前記埋込ブロックに対して、前記第一暗号化を施して、１個の第一暗号化埋込ブロックを生成し、生成された１個の前記第一暗号化埋込ブロックをさらに含む前記中間暗号化コンテンツを生成し、
　前記部分情報は、前記媒体識別子を構成する１ビットのビット情報であり、
　前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられており、
　前記第二暗号化手段は、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックを選択し、前記ビット情報の値を用いて、第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックから、いずれか一つのブロックを選択する
　ことを特徴とする請求項１２に記載のコンテンツ配信サブシステム。
　前記第一サーバ装置の前記電子透かし埋込手段は、前記第一暗号化手段において前記第一暗号化の対象とならない各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組を新たに生成し、
　前記第一暗号化手段は、生成された１個又は複数個の前記埋込ブロックの組をさらに含む前記中間暗号化コンテンツを生成し、
　前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個又は複数個の前記埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられており、
　前記第二暗号化手段は、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個又は複数個の前記埋込ブロックの組を選択し、前記部分情報の内容を用いて、前記平文ブロック及び１個又は複数個の前記埋込ブロックの組から、いずれか一つのブロックを選択し、選択したブロックに前記第二暗号化を施して、前記第二暗号化ブロックを生成し、生成した前記第二暗号化ブロックを含む前記暗号化コンテンツを生成する
　ことを特徴とする請求項１２に記載のコンテンツ配信サブシステム。
　前記電子透かし埋込手段は、前記第一暗号化の対象とならない各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックを新たに生成し、
　前記第一暗号化手段は、生成された１個の前記埋込ブロックをさらに含む前記中間暗号化コンテンツを生成し、
　前記部分情報は、前記媒体識別子を構成する１ビットのビット情報であり、
　前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個の前記埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられており、
　前記第二暗号化手段は、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個の前記埋込ブロックを選択し、前記ビット情報の値を用いて、前記平文ブロック及び１個の前記埋込ブロックから、いずれか一つのブロックを選択する
　ことを特徴とする請求項１４に記載のコンテンツ配信サブシステム。
　再生装置であって、
　第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、
　第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、
　前記再生装置は、
　前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択手段と、
　選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号手段と、
　生成した前記平文ブロックを要約して第二要約値を生成する第二要約手段と、
　複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証手段と、
　前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生手段とを備える
　ことを特徴とする再生装置。
　前記第一サーバ装置により、さらに、少なくとも生成された複数の前記第一要約値を結合して得られる結合体に対して署名を施して署名データが生成され、
　前記再生装置は、さらに、
　前記結合体のうち、前記第二要約値に対応する前記第一要約値を、当該第二要約値に入れ替えて、入替結合体を生成する入替結合体生成手段を含み、
　前記検証手段は、前記入替結合体を用いて、前記署名データを検証する
　ことを特徴とする請求項１６に記載の再生装置。
　前記再生装置は、前記第二サーバ装置から、一の記録媒体装置を介して、前記暗号化コンテンツを受け取り、
　前記第一サーバ装置により、複数の記録媒体装置に共通の共通タイトル鍵を用いて、前記平文ブロックに対して、前記第一暗号化が施され、
　前記第二サーバ装置により、前記一の記録媒体装置に固有の個別タイトル鍵を用いて、前記第一暗号化されていない前記平文ブロックに対して、前記第二暗号化が施され、
　前記復号手段は、前記個別タイトル鍵を用いて、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施す
　ことを特徴とする請求項１６に記載の再生装置。
　前記第二サーバ装置により、前記共通タイトル鍵、前記個別タイトル鍵及び前記一の記録媒体装置を識別する媒体識別子を結合して得られる結合体に対して署名を施してタイトル鍵配信証明書が生成され、前記共通タイトル鍵、前記個別タイトル鍵及び前記タイトル鍵配信証明書が、前記記録媒体装置に書き込まれ、
　前記再生装置は、さらに、
　前記記録媒体装置から、前記媒体識別子、前記共通タイトル鍵、前記個別タイトル鍵及び前記タイトル鍵配信証明書を取得する取得手段と、
　前記共通タイトル鍵、前記個別タイトル鍵及び前記媒体識別子を結合して結合体を生成し、生成した結合体を用いて、取得した前記タイトル鍵配信証明書を検証するタイトル鍵配信証明書検証手段を含む
　ことを特徴とする請求項１８に記載の再生装置。
　前記第一サーバ装置により、さらに、前記第一暗号化の対象となる各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組が新たに生成され、さらに、生成された１個又は複数個の埋込ブロックの組に対して、前記第一暗号化を施して、１個又は複数個の第一暗号化埋込ブロックの組が生成され、生成された１個又は複数個の前記第一暗号化埋込ブロックの組をさらに含む前記中間暗号化コンテンツが生成され、
　前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられており、
　前記第一サーバ装置により、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組が選択され、前記部分情報の内容を用いて、第一暗号化ブロック及び１個又は複数個の前記第一暗号化埋込ブロックの組から、いずれか一つのブロックが選択され、選択したブロックを前記第一暗号化ブロックとして含む前記暗号化コンテンツが生成され、
　前記再生装置は、さらに、
　前記暗号化コンテンツ内において、特定位置の前記第一暗号化ブロックを選択する選択手段を含み、
　前記復号手段は、さらに、選択された前記第一暗号化ブロックを復号して、平文ブロックを生成し、
　前記再生装置は、さらに、
　生成された前記平文ブロックに１種類又は複数種類の前記電子透かしのいずれかが埋め込まれているか否かを判断し、判断結果を出力する電子透かし判断手段と、
　前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記部分情報として、生成する媒体識別子生成手段とを含む
　ことを特徴とする請求項１８に記載の再生装置。
　前記第一サーバ装置により、さらに、前記第一暗号化の対象となる各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックが新たに生成され、さらに、生成された１個の埋込ブロックに対して、前記第一暗号化を施して、１個の第一暗号化埋込ブロックが生成され、生成された１個の前記第一暗号化埋込ブロックをさらに含む前記中間暗号化コンテンツが生成され、
　前記部分情報は、前記媒体識別子を構成する１ビットのビット情報であり、
　前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられており、
　前記第一サーバ装置により、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックが選択され、前記ビット情報の値を用いて、第一暗号化ブロック及び１個の前記第一暗号化埋込ブロックから、いずれか一つのブロックが選択され、選択したブロックを前記第一暗号化ブロックとして含む前記暗号化コンテンツが生成され、
　前記電子透かし判断手段は、生成された前記平文ブロックに１種類の前記電子透かしが埋め込まれているか否かを判断し、
　前記媒体識別子生成手段は、前記特定位置に対応する前記媒体識別子内のビット位置において、前記判断結果に基づく値を、当該媒体識別子を構成する前記ビット情報として、生成する
　ことを特徴とする請求項２０に記載の再生装置。
　前記第一サーバ装置により、前記第一暗号化の対象とならない各平文ブロックに対して、１種類又は複数種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個又は複数個の埋込ブロックの組が新たに生成され、生成された１個又は複数個の前記埋込ブロックの組をさらに含む前記中間暗号化コンテンツが生成され、
　前記媒体識別子を構成する部分情報の当該媒体識別子内における位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個又は複数個の前記埋込ブロックの組の前記中間暗号化コンテンツ内における位置とは、対応付けられており、
　前記第二サーバ装置により、前記部分情報の当該媒体識別子内における位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個又は複数個の前記埋込ブロックの組が選択され、前記部分情報の内容を用いて、前記平文ブロック及び１個又は複数個の前記埋込ブロックの組から、いずれか一つのブロックが選択され、選択したブロックに前記第二暗号化を施して、前記第二暗号化ブロックが生成され、生成した前記第二暗号化ブロックを含む前記暗号化コンテンツが生成され、
　前記選択手段は、さらに、前記暗号化コンテンツ内において、特定位置の前記第二暗号化ブロックを選択し、
　前記復号手段は、さらに、選択された前記第二暗号化ブロックを復号して、平文ブロックを生成し、
　前記電子透かし判断手段は、さらに、前記第二暗号化ブロックを復号して生成された前記平文ブロックに１種類又は複数種類の前記電子透かしのいずれかが埋め込まれているか否かを判断し、判断結果を出力し、
　前記媒体識別子生成手段は、さらに、前記第二暗号化ブロックの前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記部分情報として、生成する
　ことを特徴とする請求項２０に記載の再生装置。
　前記第一サーバ装置により、前記第一暗号化の対象とならない各平文ブロックに対して、１種類の電子透かしを埋め込むことにより、前記電子透かしが埋め込まれた１個の埋込ブロックが新たに生成され、生成された１個の前記埋込ブロックをさらに含む前記中間暗号化コンテンツが生成され、
　前記部分情報は、前記媒体識別子を構成する１ビットのビット情報であり、
　前記ビット情報の当該媒体識別子内におけるビット位置と、前記中間暗号化コンテンツに含まれる前記平文ブロック及び１個の前記埋込ブロックの前記中間暗号化コンテンツ内における位置とは、対応付けられており、
　前記第二サーバ装置により、前記ビット情報の当該媒体識別子内におけるビット位置に対応する前記中間暗号化コンテンツ内の位置の前記平文ブロック及び１個前記埋込ブロックが選択され、前記ビット情報の値を用いて、前記平文ブロック及び１個の前記埋込ブロックから、いずれか一つのブロックが選択され、選択したブロックに前記第二暗号化を施して、前記第二暗号化ブロックが生成され、生成した前記第二暗号化ブロックを含む前記暗号化コンテンツが生成され、
　前記選択手段は、前記暗号化コンテンツ内において、特定位置の前記第二暗号化ブロックを選択し、
　前記復号手段は、選択された前記第二暗号化ブロックを復号して、平文ブロックを生成し、
　前記電子透かし判断手段は、前記第二暗号化ブロックを復号して生成された前記平文ブロックに１種類の前記電子透かしが埋め込まれているか否かを判断し、判断結果を出力し、
　前記媒体識別子生成手段は、前記第二暗号化ブロックの前記特定位置に対応する前記媒体識別子内の位置において、前記判断結果に基づく内容を、当該媒体識別子を構成する前記ビット情報として、生成する
　ことを特徴とする請求項２２に記載の再生装置。
　第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムにおいて用いられる制御方法であって、
　前記第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化ステップと、
　前記第一サーバ装置により、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約ステップと、
　前記第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化ステップと、
　前記再生装置により、前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、
　前記再生装置により、選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、
　前記再生装置により、生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、
　前記再生装置により、複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、
　前記再生装置により、前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップと
　を含むことを特徴とする制御方法。
　第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムにおいて用いられる制御プログラムであって、
　コンピュータである前記第一サーバ装置に、
　平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化ステップと、
　前記第一サーバ装置により、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約ステップとを実行させ、
　コンピュータである前記第二サーバ装置に、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化ステップを実行させ、
　コンピュータである前記再生装置に、
　前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、
　選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、
　生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、
　複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、
　前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップと
　を実行させるための制御プログラム。
　第一サーバ装置、第二サーバ装置及び再生装置から構成されるコンテンツ配信システムにおいて用いられる制御プログラムを記録しているコンピュータ読取可能な記録媒体であって、
　コンピュータである前記第一サーバ装置に、
　平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化ステップと、
　前記第一サーバ装置により、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約ステップとを実行させ、
　コンピュータである前記第二サーバ装置に、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化ステップを実行させ、
　コンピュータである前記再生装置に、
　前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、
　選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、
　生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、
　複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、
　前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップと
　を実行させるための制御プログラムを記録している記録媒体。
　第一サーバ装置を構成する集積回路であって、
　平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックを生成し、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツを生成する第一暗号化手段と、
　前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値を生成する第一要約手段と
　を備えることを特徴とする集積回路。
　第二サーバ装置を構成する集積回路であって、
第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれが要約されて複数の第一要約値が生成され、
　前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックを生成し、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツを生成する第二暗号化手段
　を備えることを特徴とする集積回路。
　再生装置で用いられる再生方法であって、
　第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、
　第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、
　前記再生方法は、
　前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、
　選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、
　生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、
　複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、
　前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとを
　を含むことを特徴とする再生方法。
　再生装置で用いられる再生プログラムであって、
　第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、
　第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、
　前記再生プログラムは、
　コンピュータである前記再生装置に、
　前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、
　選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、
　生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、
　複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、
　前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとを
　実行させるための再生プログラム。
　再生装置で用いられる再生プログラムを記録しているコンピュータ読取可能な記録媒体であって、
　第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、
　第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、
　前記再生プログラムは、
　コンピュータである前記再生装置に、
　前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択ステップと、
　選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号ステップと、
　生成した前記平文ブロックを要約して第二要約値を生成する第二要約ステップと、
　複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証ステップと、
　前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生ステップとを
　実行させるための再生プログラムを記録している記録媒体。
　再生装置を構成する集積回路であって、
　第一サーバ装置により、平文コンテンツを構成する複数の平文ブロックのうち、一部の前記平文ブロックに対してのみ、第一暗号化を施して第一暗号化ブロックが生成され、前記第一暗号化されていない前記平文ブロック及び生成された前記第一暗号化ブロックから構成される中間暗号化コンテンツが生成され、前記中間暗号化コンテンツを構成する複数のブロックのそれぞれを要約して複数の第一要約値が生成され、
　第二サーバ装置により、前記中間暗号化コンテンツに含まれる前記ブロックのうち、前記第一暗号化されていない前記平文ブロックに対して第二暗号化を施して第二暗号化ブロックが生成され、前記第一暗号化ブロック及び前記第二暗号化ブロックから構成される暗号化コンテンツが生成され、
　前記集積回路は、
　前記暗号化コンテンツを構成する複数の前記暗号化ブロックのうち、一の前記第二暗号化ブロックを選択する選択手段と、
　選択された前記第二暗号化ブロックに、前記第二暗号化に対応する復号を施して、平文ブロックを生成する復号手段と、
　生成した前記平文ブロックを要約して第二要約値を生成する第二要約手段と、
　複数の前記第一要約値及び生成した前記第二要約値を用いて、前記暗号化コンテンツの検証を行う検証手段と、
　前記検証に失敗した場合に、前記暗号化コンテンツの復号を停止し、検証に成功した場合に、前記暗号化コンテンツを復号して再生する再生手段とを備える
　ことを特徴とする集積回路。