JP4593764B2 - Data terminal equipment - Google Patents
Data terminal equipment Download PDFInfo
- Publication number
- JP4593764B2 JP4593764B2 JP2000361631A JP2000361631A JP4593764B2 JP 4593764 B2 JP4593764 B2 JP 4593764B2 JP 2000361631 A JP2000361631 A JP 2000361631A JP 2000361631 A JP2000361631 A JP 2000361631A JP 4593764 B2 JP4593764 B2 JP 4593764B2
- Authority
- JP
- Japan
- Prior art keywords
- license
- content data
- data
- encrypted content
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Reverberation, Karaoke And Other Acoustics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、コピーされた情報に対する著作権保護を可能とするデータ配信システムにおいて用いられるデータ端末装置に関するものである。
【0002】
【従来の技術】
近年、インターネット等の情報通信網等の進歩により、携帯電話機等を用いた個人向け端末により、各ユーザが容易にネットワーク情報にアクセスすることが可能となっている。
【0003】
このような情報通信網においては、デジタル信号により情報が伝送される。したがって、たとえば上述のような情報通信網において伝送された音楽や映像データを各個人ユーザがコピーした場合でも、そのようなコピーによる音質や画質の劣化をほとんど生じさせることなく、データのコピーを行なうことが可能である。
【0004】
したがって、このような情報通信網上において音楽データや画像データ等の著作者の権利が存在する創作物が伝達される場合、適切な著作権保護のための方策が取られていないと、著しく著作権者の権利が侵害されてしまうおそれがある。
【0005】
一方で、著作権保護の目的を最優先して、急拡大するデジタル情報通信網を介して著作物データの配信を行なうことができないとすると、基本的には、著作物データの複製に際し一定の著作権料を徴収することが可能な著作権者にとっても、かえって不利益となる。
【0006】
ここで、上述のようなデジタル情報通信網を介した配信ではなく、デジタルデータを記録した記録媒体を例にとって考えて見ると、通常販売されている音楽データを記録したCD(コンパクトディスク)については、CDから光磁気ディスク(MD等)への音楽データのコピーは、当該コピーした音楽を個人的な使用に止める限り原則的には自由に行なうことができる。ただし、デジタル録音等を行なう個人ユーザは、デジタル録音機器自体やMD等の媒体の代金のうちの一定額を間接的に著作権者に対して保証金として支払うことになっている。
【0007】
しかも、CDからMDへデジタル信号である音楽データをコピーした場合、これらの情報がコピー劣化の殆どないデジタルデータであることに鑑み、記録可能なMDからさらに他のMDに音楽情報をデジタルデータとしてコピーすることは、著作権保護のために機器の構成上できないようになっている。
【0008】
このような事情からも、音楽データや画像データをデジタル情報通信網を通じて公衆に配信することは、それ自体が著作権者の公衆送信権による制限を受ける行為であるから、著作権保護のための十分な方策が講じられる必要がある。
【0009】
この場合、情報通信網を通じて公衆に送信される著作物である音楽データや画像データ等のコンテンツデータについて、一度受信されたコンテンツデータが、さらに勝手に複製されることを防止することが必要となる。
【0010】
そこで、コンテンツデータを暗号化した暗号化コンテンツデータを保持する配信サーバが、携帯電話機等の端末装置に装着されたメモリカードに対して端末装置を介して暗号化コンテンツデータを配信するデータ配信システムが提案されている。このデータ配信システムにおいては、予め認証局で認証されたメモリカードの公開暗号鍵とその証明書を暗号化コンテンツデータの配信要求の際に配信サーバへ送信し、配信サーバが認証された証明書を受信したことを確認した上でメモリカードに対して暗号化コンテンツデータと、暗号化コンテンツデータを復号するためのライセンス鍵を送信する。そして、暗号化コンテンツデータやライセンス鍵を配信する際、配信サーバおよびメモリカードは、配信毎に異なるセッションキーを発生させ、その発生させたセッションキーによって公開暗号鍵の暗号化を行ない、配信サーバ、メモリカード相互間で鍵の交換を行なう。
【0011】
最終的に、配信サーバは、メモリカード個々の公開暗号鍵によって暗号化され、さらにセッションキーによって暗号化したライセンスと、暗号化コンテンツデータをメモリカードに送信する。そして、メモリカードは、受信したライセンス鍵と暗号化コンテンツデータをメモリカードに記録する。
【0012】
そして、メモリカードに記録した暗号化コンテンツデータを再生するときは、メモリカードを携帯電話に装着する。携帯電話は、通常の電話機能の他にメモリカードからの暗号化コンテンツデータを復号し、かつ、再生して外部へ出力するための専用回路も有する。
【0013】
このように、携帯電話機のユーザは、携帯電話機を用いて暗号化コンテンツデータを配信サーバから受信し、その暗号化コンテンツデータを再生することができる。
【0014】
一方、インターネットを用いて暗号化コンテンツデータをパーソナルコンピュータに配信することも行なわれている。そして、パーソナルコンピュータへの暗号化コンテンツデータの配信においては、パーソナルコンピュータにインストールされたソフトウエアによって暗号化コンテンツデータの配信が行なわれており、暗号化コンテンツデータに対するセキュリティは、暗号化コンテンツデータをメモリカードに書込む場合より低い。また、上記のメモリカードと同じセキュリティを持つデバイスをパーソナルコンピュータに装着すれば、上記の携帯電話機に対する暗号化コンテンツデータの配信と同じ配信をパーソナルコンピュータに対して行なうことが可能である。
【0015】
そうすると、パーソナルコンピュータは、インストールされたソフトウエアと、上記デバイスとによって暗号化コンテンツデータを受信する。つまり、パーソナルコンピュータは、セキュリティレベルの異なる暗号化コンテンツデータを受信する。
【0016】
さらに、音楽データが記録された音楽CDが広く普及しており、この音楽CDから音楽データをリッピングによって取得することも行なわれている。そして、このリッピングによって音楽データから暗号化音楽データ(暗号化コンテンツデータ)と、その暗号化音楽データを復号して再生するためのライセンスとが生成される。そして、このリッピングにおいては、コンテンツデータの利用規則を規定するウォーターマークをコンテンツデータから検出し、その検出したウォーターマークの内容に応じて暗号化コンテンツデータおよびライセンスが生成される。
【0017】
【発明が解決しようとする課題】
しかし、現行のウォーターマークは、暗号化コンテンツデータおよびライセンスの生成を全く禁止するか、暗号化コンテンツデータを復号して再生するライセンスの移動および複製を禁止したライセンスを生成することを規定しているに過ぎない。したがって、リッピングによって暗号化コンテンツデータおよびライセンスを取得できたとしても、その暗号化コンテンツデータおよびライセンスを移動したり、複製したりすることはできない。また、今後、コンテンツデータの利用規則性をさらに広く認めたウォーターマークの出現も想定され、現在のリッピングでは、そのようなウォーターマークに適合したリッピングを行なうことができない。
【0018】
そこで、本発明は、かかる問題を解決するためになされたものであり、その目的は、コンテンツデータの利用規則性に応じてコンテンツデータをリッピングできるデータ端末装置を提供することである。
【0019】
【課題を解決するための手段および発明の効果】
この発明によるデータ端末装置は、平文のコンテンツデータを取得し、コンテンツデータを暗号化した暗号化コンテンツデータと、暗号化コンテンツデータを復号して再生するためのローカルライセンスとを生成するデータ端末装置であって、コンテンツデータに含まれる複製可否情報に基づいてローカルライセンスを生成し、その生成したローカルライセンスに含まれるライセンス鍵によってコンテンツデータを暗号化して暗号化コンテンツデータを生成する暗号化コンテンツ生成手段と、生成したローカルライセンスに独自の暗号化を施した暗号化ローカルライセンスを生成する暗号処理手段と、暗号化ローカルライセンスおよび暗号化コンテンツデータを記憶する記憶手段と、制御部とを備え、制御部は、取得したコンテンツデータを暗号化コンテンツ生成手段へ与え、ローカルライセンスを暗号処理手段へ与える。
【0020】
この発明によるデータ端末装置においては、平文のコンテンツデータに含まれる複製可否情報を検出し、その検出した複製可否情報の内容に応じてローカルライセンスが生成される。ローカルライセンスは、コンテンツデータを暗号化するためのライセンス鍵を含む。ローカルライセンスが生成されると、ローカルライセンスに含まれるライセンス鍵によってコンテンツデータを暗号化して暗号化コンテンツデータを生成する。そして、生成されたローカルライセンスは、独自の暗号化が施され、暗号化ローカルライセンスとして暗号化コンテンツデータとともに記憶手段に記憶される。
【0021】
したがって、この発明によれば、平文のコンテンツデータから複製可否情報に応じて暗号化コンテンツデータと、その暗号化コンテンツデータを復号して再生するローカルライセンスとを生成できる。
【0022】
また、この発明によるデータ端末装置は、コンテンツデータを暗号化した暗号化コンテンツデータと、暗号化コンテンツデータを復号して再生するためのライセンスとを配信サーバから受信し、および/またはコンテンツデータを取得して暗号化コンテンツデータと暗号化コンテンツデータを復号して再生するためのローカルライセンスとを生成するデータ端末装置であって、配信サーバとの間で相互認証を行って暗号化コンテンツデータおよびライセンスを配信サーバから受信し、かつ、ライセンスを保持するライセンス管理デバイスと、コンテンツデータに含まれる複製可否情報に基づいてローカルライセンスを生成し、その生成したローカルライセンスに含まれるライセンス鍵によってコンテンツデータを暗号化して暗号化コンテンツデータを生成する暗号化コンテンツ生成手段と、生成したローカルライセンスに独自の暗号化を施した暗号化ローカルライセンスを生成する暗号処理手段と、ライセンス、暗号化ローカルライセンスおよび暗号化コンテンツデータを記憶する記憶手段と、制御部とを備え、制御部は、取得したコンテンツデータを暗号化コンテンツ生成手段へ与え、ローカルライセンスを暗号処理手段へ与える。
【0023】
この発明によるデータ端末装置においては、配信サーバから暗号化コンテンツデータとライセンスとが受信され、ライセンスがハードウエアによって保持されるとともに、平文のコンテンツデータから暗号化コンテンツデータおよびローカルライセンスとが生成され、ローカルライセンスは独自の暗号化が施されソフトウエアによって保持される。
【0024】
したがって、この発明によれば、暗号化コンテンツデータとライセンスとを配信サーバから受信可能なデータ端末装置において、平文のコンテンツデータから複製可否情報に応じて暗号化コンテンツデータおよびローカルライセンスを生成できる。
【0025】
また、この発明によるデータ端末装置は、コンテンツデータを暗号化した暗号化コンテンツデータと、暗号化コンテンツデータを復号して再生するためのライセンスとを配信サーバから受信し、および/またはコンテンツデータを取得して暗号化コンテンツデータと暗号化コンテンツデータを復号して再生するためのローカルライセンスとを生成するデータ端末装置であって、ソフトウエアによって、配信サーバとの間で相互認証を行い、かつ、暗号化コンテンツデータおよびライセンスを配信サーバから受信するライセンス管理モジュールと、コンテンツデータに含まれる複製可否情報に基づいてローカルライセンスを生成し、その生成したローカルライセンスに含まれるライセンス鍵によってコンテンツデータを暗号化して前記暗号化コンテンツデータを生成する暗号化コンテンツ生成手段と、生成したローカルライセンスに独自の暗号化を施した暗号化ローカルライセンス、または受信したライセンスに独自の暗号化を施した暗号化ライセンスを生成する暗号処理手段と、暗号化ライセンス、暗号化ローカルライセンスおよび暗号化コンテンツデータを記憶する記憶手段と、制御部とを備え、制御部は、取得したコンテンツデータを暗号化コンテンツ生成手段へ与え、ローカルライセンスおよびライセンスを暗号処理手段へ与える。
【0026】
この発明によるデータ端末装置においては、ソフトウエアによって、配信サーバから暗号化コンテンツデータとライセンスとが受信され、かつ、ライセンスが保持されるとともに、平文のコンテンツデータから暗号化コンテンツデータおよびローカルライセンスとが生成され、ローカルライセンスは独自の暗号化が施されソフトウエアによって保持される。
【0027】
したがって、この発明によれば、ソフトウエアによって暗号化コンテンツデータとライセンスとを配信サーバから受信可能なデータ端末装置において、平文のコンテンツデータから複製可否情報に応じて暗号化コンテンツデータおよびローカルライセンスを生成できる。
【0028】
また、この発明によるデータ端末装置は、コンテンツデータを暗号化した暗号化コンテンツデータと、暗号化コンテンツデータを復号して再生するためのライセンスとを配信サーバから受信し、および/またはコンテンツデータを取得して暗号化コンテンツデータと暗号化コンテンツデータを復号して再生するためのローカルライセンスとを生成するデータ端末装置であって、配信サーバとの間で相互認証を行って暗号化コンテンツデータおよびライセンスを配信サーバから受信し、かつ、ライセンスを保持するライセンス管理デバイスと、ソフトウエアによって、配信サーバとの間で相互認証を行い、かつ、暗号化コンテンツデータおよびライセンスを配信サーバから受信するライセンス管理モジュールと、コンテンツデータに含まれる複製可否情報に基づいてローカルライセンスを生成し、その生成したローカルライセンスに含まれるライセンス鍵によってコンテンツデータを暗号化して暗号化コンテンツデータを生成する暗号化コンテンツ生成手段と、生成したローカルライセンスに独自の暗号化を施した暗号化ローカルライセンス、またはライセンス管理モジュールによって受信されたライセンスに独自の暗号化を施した暗号化ライセンスを生成する暗号処理手段と、暗号化ライセンス、暗号化ローカルライセンスおよび暗号化コンテンツデータを記憶する記憶手段と、制御部とを備え、制御部は、取得したコンテンツデータを暗号化コンテンツ生成手段へ与え、ライセンスおよびローカルライセンスを暗号処理手段へ与える。
【0029】
この発明によるデータ端末装置は、3つの方法によって暗号化コンテンツデータおよびライセンスを取得する。1つ目の方法は、配信サーバから暗号化コンテンツデータとライセンスとを受信し、ライセンスをハードウエアによって保持する方法である。2つ目の方法は、ソフトウエアによって暗号化コンテンツデータとライセンスとを受信し、かつ、ライセンスを保持する方法である。そして、3つ目の方法は、平文のコンテンツデータから暗号化コンテンツデータおよびローカルライセンスとを生成し、ローカルライセンスに独自の暗号化を施してソフトウエアによって保持する方法である。
【0030】
したがって、この発明によれば、配信サーバからハードウエアおよびソフトウエアによって暗号化コンテンツデータとライセンスとを受信可能なデータ端末装置において、平文のコンテンツデータから複製可否情報に応じて暗号化コンテンツデータおよびローカルライセンスを生成できる。
【0031】
好ましくは、データ端末装置の暗号化コンテンツ生成手段は、生成した暗号化コンテンツデータおよびローカルライセンスを他の装置へ貸出すための貸出可能数をさらに生成し、暗号処理手段は、ローカルライセンスと貸出可能数とに独自の暗号化を施し、暗号化ローカルライセンスを生成する。
【0032】
データ端末装置においては、平文のコンテンツデータから暗号化コンテンツデータとローカルライセンスとを生成するとき、暗号化コンテンツデータおよびローカルライセンスを他の装置へ貸出すための貸出可能数を生成し、その生成した貸出可能数をローカルライセンスとともに暗号化して管理する。
【0033】
したがって、この発明によれば、平文のコンテンツデータから暗号化コンテンツデータおよびローカルライセンスを生成する、いわゆる、リッピングによって取得した暗号化コンテンツデータおよびローカルライセンスを、暗号化コンテンツデータおよびローカルライセンスが保持されたデータ端末装置から取出すことができる。
【0034】
好ましくは、暗号化ローカルライセンスを少なくとも含むライセンス管理ファイルを生成するファイル生成手段をさらに備え、制御部は、暗号化コンテンツデータおよびライセンス管理ファイルを記憶手段に与える。
【0035】
データ端末装置において生成され、かつ、暗号化された暗号化ローカルライセンスは、ライセンス管理ファイルに記録され、記憶手段に保持される。
【0036】
したがって、この発明においては、生成されたローカルライセンスをファイルに入れソフト的に管理できる。
【0037】
好ましくは、データ端末装置の暗号化コンテンツ生成手段は、複製可否情報が複製を許可する複製許可情報であるとき、複製許可情報を反映したローカルライセンスを生成する。
【0038】
平文のコンテンツデータに含まれる複製可否情報が、たとえば、10回までの複製を許可するという複製許可情報であるとき、10回までの複製を許可した複製許可回数を含めてローカルライセンスが生成される。
【0039】
したがって、この発明によれば、コンテンツデータが複製可能なものであれば、複製許可情報に基づいて複製可能な暗号化コンテンツデータおよびローカルライセンスを生成できる。
【0040】
好ましくは、データ端末装置の暗号化コンテンツ生成手段は、複製可否情報が複製を許可する複製許可情報であるとき、複製許可情報を反映したローカルライセンスを生成し、コンテンツデータが複製可否情報を含まないとき、暗号化コンテンツデータを復号して再生するためのライセンスの複製および移動を禁止したローカルライセンスを生成する。
【0041】
平文のコンテンツデータに含まれる複製可否情報がコンテンツデータの複製を許可するものであるとき、その許可内容に応じて暗号化コンテンツデータおよびローカルライセンスの複製を許可するローカルライセンスを生成し、コンテンツデータが複製可否情報を含まないとき、暗号化コンテンツデータおよびライセンスの複製および移動を禁止するローカルライセンスを生成する。つまり、コンテンツデータが複製可否情報を含まない種類のコンテンツデータであるとき、データ端末装置は、複製可否情報に応じてローカルライセンスを生成できないが、リッピングによって生成された暗号化コンテンツデータおよびローカルライセンスの複製および移動を禁止することを内容とするローカルライセンスを生成して、リッピングによって暗号化コンテンツデータおよびローカルライセンスを取得する。
【0042】
したがって、データ端末装置に入力されるコンテンツデータの種類に応じて暗号化コンテンツデータおよびローカルライセンスの複製内容を決定したローカルライセンスを生成できる。
【0043】
好ましくは、データ端末装置は、コンテンツデータを記録した記録媒体を駆動する媒体駆動手段をさらに備え、制御部は、媒体駆動手段が記録媒体から読出したコンテンツデータを暗号化コンテンツ生成手段へ与える。
【0044】
コンテンツデータが記録された記録媒体がデータ端末装置に装着されると、媒体駆動手段は、記録媒体からコンテンツデータを読出す。そして、制御部は、媒体駆動手段が読出したコンテンツデータを暗号化コンテンツ生成手段に与え、暗号化コンテンツ生成手段は、コンテンツデータに含まれる複製可否情報に応じてローカルライセンスを生成し、そのローカルライセンスに含まれるライセンス鍵によってコンテンツデータを暗号化して暗号化コンテンツデータを生成する。
【0045】
したがって、この発明によれば、媒体に記録されて頒布されたコンテンツデータから暗号化コンテンツデータおよびローカルライセンスを取得できる。
【0046】
好ましくは、データ端末装置の制御部は、インターネットによって受信したコンテンツデータを暗号化コンテンツ生成手段に与える。
【0047】
データ端末装置の制御部は、インターネットによって配信された平文のコンテンツデータを暗号化コンテンツ生成手段に与える。そして、暗号化コンテンツ生成手段は、コンテンツデータに含まれる複製可否情報に応じてローカルライセンスを生成し、そのローカルライセンスに含まれるライセンス鍵によってコンテンツデータを暗号化して暗号化コンテンツデータを生成する。なお、「インターネットによって受信したコンテンツデータ」とは、公開鍵等による暗号化を施して配信サーバとの間でデータのやり取り行なって受信したコンテンツデータを意味するものではなく、通常のインターネットによって配信されたコンテンツデータを意味する。
【0048】
したがって、この発明によれば、広く普及しているインターネットによって配信されるコンテンツデータから暗号化コンテンツデータおよびローカルライセンスを生成できる。
【0049】
好ましくは、データ端末装置の暗号化コンテンツ生成手段は、複製可否情報をコンテンツデータから検出する複製可否情報検出手段と、検出した複製可否情報を判定する複製可否情報判定手段と、複製可否情報判定手段の判定結果に基づいてローカルライセンスを生成するライセンス生成手段と、ライセンス鍵によってコンテンツデータを暗号化する暗号手段とを含む。
【0050】
データ端末装置に入力されたコンテンツデータは、暗号化コンテンツ生成手段に入力される。そして、暗号化コンテンツ生成手段においては、複製可否情報検出手段によってコンテンツデータから複製可否情報が検出され、複製可否情報判定手段によって複製可否情報の内容が判定される。そして、ライセンス生成手段は、複製可否情報判定手段による判定結果に応じてローカルライセンスを生成する。つまり、複製可否情報の内容がコンテンツデータの複製を許可するものであれば、ローカルライセンスの複製回数を設定したローカルライセンスを生成し、複製可否情報の内容がコンテンツデータの複製を禁止するものであるときは、ローカルライセンスを生成せず、複製可否情報が含まれていなければ、暗号化コンテンツデータおよびローカルライセンスの複製および移動を禁止したローカルライセンスを生成する。暗号手段は、生成されたローカルライセンスに含まれるライセンス鍵によってコンテンツデータを暗号化して暗号化コンテンツデータを生成する。
【0051】
したがって、この発明によれば、コンテンツデータに含まれる複製可否情報の内容に応じてローカルライセンスを生成し、暗号化コンテンツデータとローカルライセンスとをリッピングによって取得できる。
【0052】
好ましくは、データ端末装置の暗号化コンテンツ生成手段は、複製可否情報をコンテンツデータから検出する複製可否情報検出手段と、検出した複製可否情報を判定する複製可否情報判定手段と、複製可否情報判定手段の判定結果に基づいて複製条件を変更してコンテンツデータに書込む複製条件変更手段と、複製条件変更手段からのコンテンツデータを所定の方式に符号化する符号化手段と、複製可否情報判定手段の判定結果に基づいてローカルライセンスを生成するライセンス生成手段と、所定の方式に符号化されたコンテンツデータをライセンス鍵によって暗号化する暗号手段とを含む。
【0053】
データ端末装置に入力されたコンテンツデータは、暗号化コンテンツ生成手段に入力される。そして、暗号化コンテンツ生成手段においては、複製可否情報検出手段によってコンテンツデータから複製可否情報が検出され、複製可否情報判定手段によって複製可否情報の内容が判定される。そして、ライセンス生成手段は、複製可否情報判定手段による判定結果に応じてローカルライセンスを生成する。つまり、複製可否情報の内容がコンテンツデータの複製を許可するものであれば、ローカルライセンスの複製回数を設定したローカルライセンスを生成し、複製可否情報の内容がコンテンツデータの複製を禁止するものであるときは、ローカルライセンスを生成せず、複製可否情報が含まれていなければ、暗号化コンテンツデータおよびローカルライセンスの複製および移動を禁止したローカルライセンスを生成する。また、複製条件変更手段は、複製可否情報判定手段の判定結果に応じて複製条件を変更し、その変更した複製条件によってコンテンツデータに含まれる複製可否情報を書替える。そして、符号化手段は、複製可否情報が書替えられたコンテンツデータを所定の方式に符号化し、暗号手段は、生成されたローカルライセンスに含まれるライセンス鍵によってコンテンツデータを暗号化して暗号化コンテンツデータを生成する。
【0054】
したがって、この発明によれば、複製可否情報に中にコンテンツデータの利用規則を書込むことによって適法にコンテンツデータを複製することができる。
【0055】
好ましくは、データ端末装置のライセンス生成手段は、暗号化コンテンツデータを特定するコンテンツ識別子と、暗号化コンテンツデータおよびライセンスを他の装置へ貸出すときの通信を特定する通信識別子と、ライセンス鍵と、暗号化コンテンツデータおよびローカルライセンスを記録するデータ記録装置に対する記録装置アクセス条件と、ライセンスによって暗号化コンテンツデータを復号して再生するデータ再生装置に対する再生装置アクセス条件とから成るローカルライセンスを生成する。
【0056】
ライセンス生成手段は、ローカルライセンスを構成するコンテンツ識別子、通信識別子、ライセンス鍵、記録装置アクセス条件、および再生装置アクセス条件を生成する。
【0057】
したがって、この発明によれば、リッピングによって取得された暗号化コンテンツデータの他の装置への通信、および再生を保護するためのローカルライセンスを生成できる。
【0058】
好ましくは、コンテンツ識別子および通信識別子は、固定領域と、固定領域に続く管理領域とから成り、ライセンス生成手段は、コンテンツ識別子または通信識別子がデータ端末装置において生成されたことを示すローカル信号を固定領域に書込み、暗号化コンテンツデータに対応する識別番号を管理領域に書込んでコンテンツ識別子および通信識別子を生成する。
【0059】
ライセンス生成手段は、コンテンツ識別子および通信識別子の固定領域に、コンテンツ識別子および通信識別子がデータ端末装置において生成されたことを示すローカル信号を書込み、コンテンツ識別子および通信識別子の管理領域に、コンテンツやコンテンツデータの通信を特定するための個々の識別番号を書込む。
【0060】
したがって、この発明によれば、ローカルライセンスを構成するコンテンツ識別子および通信識別子の固定領域をみれば、そのライセンスがデータ端末装置で生成されたことが容易にわかる。
【0061】
好ましくは、データ端末装置のライセンス生成手段は、通信識別子とライセンス鍵とを乱数の発生によって生成する。
【0062】
ライセンス生成手段は、複製可否情報に基づいて乱数を発生させて通信識別しとライセンス鍵とを生成する。
【0063】
したがって、この発明によれば、外部から検出されにくい通信識別子およびライセンス鍵を生成できる。
【0064】
好ましくは、ローカルライセンスを構成する記録装置アクセス条件は、暗号化コンテンツデータの再生の可否および可能回数を表す再生可能回数と、暗号化コンテンツデータおよびローカルライセンスの移動および複製を制御する移動複製制御情報と、ローカルライセンスの保護レベルを表す保護レベル情報とから成る。
【0065】
暗号化コンテンツデータおよびローカルライセンスが記録されるデータ記録装置に対するアクセス条件として、暗号化コンテンツデータの再生可能回数、暗号化コンテンツデータおよびローカルライセンスの移動複製制御情報、およびローカルライセンスの保護レベルが生成される。
【0066】
したがって、この発明によれば、暗号化コンテンツデータの再生、移動および複製を再生可能回数や移動複製制御情報によって制御できる。また、保護レベルに応じてローカルライセンスを管理できる。
【0067】
好ましくは、記録装置アクセス条件を構成する再生可能回数は、暗号化コンテンツデータの再生不可を表す固定値から成る第1の再生可能回数と、暗号化コンテンツデータの再生を許諾する毎に単調減少する変動値から成る第2の再生可能回数と、暗号化コンテンツデータの再生を無制限に許諾する第3の再生可能回数とから成り、記録装置アクセス条件を構成する移動複製制御情報は、暗号化コンテンツデータおよびローカルライセンスの移動および複製を禁止する第1の制御情報と、暗号化コンテンツデータおよびローカルライセンスの移動を禁止し、暗号化コンテンツデータおよびローカルライセンスの複製を条件付きで許諾する第2の制御情報と、暗号化コンテンツデータおよびローカルライセンスの移動および複製を条件付きで許諾する第3の制御情報と、暗号化コンテンツデータおよびローカルライセンスの移動を許可し、暗号化コンテンツデータおよびローカルライセンスの複製を禁止する第4の制御情報と、暗号化コンテンツデータおよびローカルライセンスの移動および複製を無制限に許諾する第5の制御情報とから成る。
【0068】
したがって、この発明によれば、暗号化コンテンツデータの再生と、暗号化コンテンツデータおよびローカルライセンスの移動および複製とを詳細に制御できる。
【0069】
好ましくは、移動複製制御情報の第2の制御情報は、暗号化コンテンツデータおよびローカルライセンスの複製毎に単調減少し、かつ、複製可能回数を表す変動値を含み、移動複製制御情報の第3の制御情報は、暗号化コンテンツデータおよびローカルライセンスの移動および複製毎に単調増加する変動値を含む。
【0070】
したがって、この発明によれば、暗号化コンテンツデータおよびライセンスの移動および複製の各内容に応じた方法によって暗号化コンテンツデータおよびライセンスの移動および複製を制御できる。
【0071】
好ましくは、再生装置アクセス条件は、暗号化コンテンツデータの再生速度の変換可否を示す第1の信号と、暗号化コンテンツデータの編集の可否を示す第2の信号と、再生可能な暗号化コンテンツデータのサイズを示す第3の信号と、暗号化コンテンツデータの利用最終日時を示す第4の信号と、暗号化コンテンツデータの利用開始日時を示す第5の信号と、地域コードとから成る。
【0072】
したがって、この発明によれば、暗号化コンテンツデータの再生を詳細に制御できる。
【0073】
好ましくは、貸出情報は、暗号化コンテンツデータおよびローカルライセンスの貸出しを禁止する禁止情報と、暗号化コンテンツデータおよびローカルライセンスの貸出し毎に単調減少し、暗号化コンテンツデータおよびローカルライセンスの返却毎に単調増加する貸出許可情報とから成る。
【0074】
したがって、この発明によれば、リッピングによって取得した暗号化コンテンツデータおよびローカルライセンスの他の装置への貸出しを正確に制御できる。
【0075】
【発明の実施の形態】
本発明の実施の形態について図面を参照しながら詳細に説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰返さない。
【0076】
図1は、本発明によるデータ端末装置(パーソナルコンピュータ)が暗号化コンテンツデータを取得するデータ配信システムの全体構成を概念的に説明するための概略図である。
【0077】
なお、以下では携帯電話網を介してデジタル音楽データをユーザの携帯電話に装着されたメモリカード110に、またはインターネットを介してデジタル音楽データを各パーソナルコンピュータに配信するデータ配信システムの構成を例にとって説明するが、以下の説明で明らかとなるように、本発明はこのような場合に限定されることなく、他の著作物としてのコンテンツデータ、たとえば画像データ、動画像データ等を配信する場合においても適用することが可能なものである。
【0078】
図1を参照して、配信キャリア20は、自己の携帯電話網を通じて得た、ユーザからの配信要求(配信リクエスト)を配信サーバ10に中継する。著作権の存在する音楽データを管理する配信サーバ10は、データ配信を求めてアクセスして来た携帯電話ユーザの携帯電話機100に装着されたメモリカード110が正当な認証データを持つか否か、すなわち、正規のメモリカードであるか否かの認証処理を行ない、正当なメモリカードに対して所定の暗号方式により音楽データ(以下コンテンツデータとも呼ぶ)を暗号化した上で、データを配信するための配信キャリア20である携帯電話会社に、このような暗号化コンテンツデータおよび暗号化コンテンツデータを再生するために必要な情報として暗号化コンテンツデータを復号するためのライセンス鍵を含むライセンスを与える。
【0079】
配信キャリア20は、自己の携帯電話網を通じて配信要求を送信した携帯電話機100に装着されたメモリカード110に対して、携帯電話網および携帯電話機100を介して暗号化コンテンツデータとライセンスとを配信する。
【0080】
図1においては、たとえば携帯電話ユーザの携帯電話機100には、着脱可能なメモリカード110が装着される構成となっている。メモリカード110は、携帯電話機100により受信された暗号化コンテンツデータを受取り、上記配信にあたって行なわれた暗号化を復号した上で、携帯電話機100中の音楽再生部(図示せず)に与える。
【0081】
さらに、たとえば携帯電話ユーザは、携帯電話機100に接続したヘッドホーン130等を介してこのようなコンテンツデータを「再生」して、聴取することが可能である。
【0082】
このような構成とすることで、まず、メモリカード110を利用しないと、配信サーバ10からコンテンツデータの配信を受けて、音楽を再生することが困難な構成となる。
【0083】
しかも、配信キャリア20において、たとえば1曲分のコンテンツデータを配信するたびにその度数を計数しておくことで、携帯電話ユーザがコンテンツデータを受信(ダウンロード)するたびに発生する著作権料を、配信キャリア20が携帯電話機の通話料とともに徴収することとすれば、著作権者が著作権料を確保することが容易となる。
【0084】
また、図1においては、配信サーバ10は、モデム40およびインターネット網30を通じて得た、パーソナルコンピュータのユーザからの配信要求を受信する。そうすると、配信サーバ10は、データ配信を求めてアクセスして来たパーソナルコンピュータ50が正当な認証データを持つライセンス管理モジュールを備えたソフトウェアを利用してアクセスしているか否か、すなわち、正規のライセンス管理モジュールであるか否かの認証処理を行ない、正当なライセンス管理モジュールを備えたパーソナルコンピュータに対して所定の暗号方式により音楽データを暗号化した上で、このような暗号化コンテンツデータおよびライセンスをインターネット網30およびモデム40を介して送信する。パーソナルコンピュータ50のライセンス管理モジュールは受信した暗号化コンテンツデータをハードディスク(HDD)等にそのまま記録し、受信したライセンスは、暗号化して保護した上で、HDDに記録する。
【0085】
パーソナルコンピュータ50は、メモリカード110のライセンス管理モジュールのライセンス管理に関わる機能と同一機能を備えたライセンス管理デバイス(ハードウェア)を備えることで、HDDに記録したセキュリティレベルより高いセキュリティレベルで、すなわち、携帯電話機100およびメモリカード110を用いて受信したのと同じセキュリティレベルの配信を受けることができる。モデム40およびインターネット網30を介して、配信サーバ10から、暗号化コンテンツデータとライセンスとを配信サーバ10から受信する。このとき、ライセンスは、配信サーバ10とライセンス管理モジュールとの間で所定の手順に従った暗号通信路を用いて、直接、ライセンス管理デバイスにおいて受信され、記録される。暗号化コンテンツデータはそのままHDDに記録される。このライセンス管理デバイスは、メモリカード110と同じようにライセンスの送受信や管理の機密性をハード的に保持するものであり、機密性をソフトウェアで保持するライセンス管理モジュールに比べてセキュリティレベルが高いものである。セキュリティレベルおよびライセンスを区別するためにメモリカード110あるいはライセンス管理デバイスなどのハードウェアによって機密性を保つセキュリティレベルをレベル2と呼び、レベル2のセキュリティを要求して配信されたライセンスをレベル2ライセンスと呼ぶこととする。同様に、ライセンス管理モジュールのようなソフトウェアによって機密性を保つセキュリティレベルをレベル1と呼び、レベル1のセキュリティレベルを要求して配信されたライセンスをレベル1ライセンスと呼ぶこととする。ライセンス管理デバイスおよびライセンス管理モジュールについては、後に詳細に説明する。
【0086】
さらに、図1においては、パーソナルコンピュータ50は、ライセンス管理モジュールを使って音楽データを記録した音楽CD(Compact Disk)60から取得した音楽データからローカル使用に限定された暗号化コンテンツデータと、暗号化コンテンツデータを再生するためのライセンスとを生成する。この処理をリッピングと呼び、音楽CDから暗号化コンテンツデータとライセンスとを取得する行為に相当する。リッピングによるローカル使用のライセンスは、その性格上、セキュリティレベルは決して高くないので、リッピングが如何なる手段でなされようともレベル1ライセンスとして扱われるものとする。リッピングの詳細については後述する。
【0087】
またさらに、パーソナルコンピュータ50は、USB(Universal Serial Bus)ケーブル70によって携帯電話機100と接続し、暗号化コンテンツデータおよびライセンスを携帯電話機100に装着されたメモリカード110と送受信することが可能である。しかしながら、ライセンスのセキュリティレベルによってその扱いは異なる。詳細については後述する。
【0088】
更に、図1においては、パーソナルコンピュータ50は、ライセンス管理モジュールを使って、ライセンス管理モジュールが直接管理するレベル1ライセンスを持つ暗号化コンテンツデータに限り、再生する機能を備えることができる。レベル2ライセンスを持つ暗号化コンテンツデータの再生は、ハードウェアによって機密性を持つコンテンツ再生回路をパーソナルコンピュータに備えれば可能となる。パーソナルコンピュータにおける再生についての詳細な説明は、本出願における説明を簡略化するために省略する。
【0089】
したがって、図1に示すデータ配信システムにおいては、パーソナルコンピュータ50は、モデム40およびインターネット網30を介して配信サーバ10から暗号化コンテンツデータとライセンスとを受信するとともに、音楽CDから暗号化コンテンツデータとライセンスとを取得する。また、携帯電話機100に装着されたメモリカード110は、携帯電話網を介して配信サーバ10から暗号化コンテンツデータおよびライセンスを受信するとともに、パーソナルコンピュータ50が配信サーバ10または音楽CD60から取得した暗号化コンテンツデータおよびライセンスを受信する。携帯電話機100のユーザは、パーソナルコンピュータ50を介することによって音楽CDから暗号化コンテンツデータおよびライセンスを取得することが可能となる。
【0090】
さらに、携帯電話機100に装着されたメモリカード110は、携帯電話網を介して配信サーバ10から受信した暗号化コンテンツデータおよびライセンスをパーソナルコンピュータ50に待避することが可能となる。
【0091】
図2は、携帯電話網を介して配信サーバ10から暗号化コンテンツデータおよびライセンスを受信する機能を有しない再生端末102を用いた場合のデータ配信システムを示したものである。図2に示すデータ配信システムにおいては、再生端末102に装着されたメモリカード110は、パーソナルコンピュータ50が配信サーバ10または音楽CD60から取得した暗号化コンテンツデータおよびライセンスを受信する。このように、パーソナルコンピュータ50が暗号化コンテンツデータおよびライセンスを取得することによって通信機能のない再生端末102のユーザも暗号化コンテンツデータを受信することができるようになる。
【0092】
図1および図2に示したような構成においては、暗号化して配信されるコンテンツデータを携帯電話またはパーソナルコンピュータのユーザ側で再生可能とするためにシステム上必要とされるのは、第1には、通信における暗号鍵を配信するための方式であり、さらに第2には、配信したいコンテンツデータを暗号化する方式そのものであり、さらに、第3には、このように配信されたコンテンツデータの無断コピーを防止するためのコンテンツデータ保護を実現する構成である。
【0093】
本発明の実施の形態においては、特に、配信、および再生の各セッションの発生時において、これらのコンテンツデータの移動先に対する認証およびチェック機能を充実させ、非認証もしくは復号鍵の破られた記録装置およびデータ再生端末(コンテンツを再生できるデータ再生端末を携帯電話機またはパーソナルコンピュータとも言う。以下同じ)に対するコンテンツデータの出力を防止することによってコンテンツデータの著作権保護を強化する構成を説明する。
【0094】
なお、以下の説明においては、配信サーバ10から、各携帯電話機、各パーソナルコンピュータ等にコンテンツデータを伝送する処理を「配信」と称することとする。
【0095】
図3は、図1および図2に示したデータ配信システムにおいて、使用される通信のためのデータ、情報等の特性を説明する図である。
【0096】
まず、配信サーバ10より配信されるデータについて説明する。Dcは、音楽データ等のコンテンツデータである。コンテンツデータDcは、ライセンス鍵Kcで復号可能な暗号化が施される。ライセンス鍵Kcによって復号可能な暗号化が施された暗号化コンテンツデータ{Dc}Kcがこの形式で配信サーバ10より携帯電話またはパーソナルコンピュータのユーザに配布される。
【0097】
なお、以下においては、{Y}Xという表記は、データYを、復号鍵Xにより復号可能な暗号化を施したことを示すものとする。
【0098】
さらに、配信サーバ10からは、暗号化コンテンツデータとともに、コンテンツデータに関する著作権あるいはサーバアクセス関連等の平文情報としての付加情報Dc−infが配布される。また、ライセンスとして、ライセンス鍵Kc、配信サーバ10からのライセンス鍵等の配信を特定するための管理コードであるトランザクションIDが配信サーバ10と携帯電話機100との間、または配信サーバ10とパーソナルコンピュータ50との間でやり取りされる。また、配信によらないライセンス、すなわち、ローカルでの使用を目的とするライセンスを特定するためにもトランザクションIDは使用される。配信によるものと、ローカル使用のものとを区別するために、トランザクションIDの先頭は“0”で始まるものがローカル使用のトランザクションIDであり、“0”以外から始まるのものを配信によるトランザクションIDであるとする。さらに、ライセンスとしては、コンテンツデータDcを識別するためのコードであるコンテンツIDや、利用者側からの指定によって決定されるライセンス数や機能限定等の情報を含んだライセンス購入条件ACに基づいて生成される、記録装置(メモリカード、またはライセンス管理デバイス)におけるライセンスのアクセスに対する制限に関する情報であるアクセス制御情報ACmおよびデータ再生端末における再生に関する制御情報である再生制御情報ACp等が存在する。具体的には、アクセス制御情報ACmはメモリカード、ライセンス管理モジュールおよびライセンス管理デバイスからのライセンスまたはライセンス鍵を外部に出力するに当っての制御情報であり、再生可能回数(再生のためにライセンス鍵を出力する数)、ライセンスの移動・複製に関する制限情報およびライセンスのセキュリティレベルなどがある。再生制御情報ACpは、再生するためにコンテンツ再生回路がライセンス鍵を受取った後に、再生を制限する情報であり、再生期限、再生速度変更制限、再生範囲指定(部分ライセンス)などがある。
【0099】
以後、トランザクションIDとコンテンツIDとを併せてライセンスIDと総称し、ライセンス鍵KcとライセンスIDとアクセス制御情報ACmと再生制御情報ACpとを併せて、ライセンスと総称することとする。
【0100】
また、以降では、簡単化のためアクセス制御情報ACmは再生回数の制限を行なう制御情報である再生回数(0:再生不可、1〜254:再生可能回数、255:制限無し)、ライセンスの移動および複製を制限する移動・複製フラグ(0:移動複製禁止、1:移動のみ可、2:移動複製可)の2項目とし、再生制御情報ACpは再生可能な期限を規定する制御情報である再生期限(UTCtimeコード)のみを制限するものとする。
【0101】
本発明の実施の形態においては、記録装置(メモリカード、またはライセンス管理デバイス)やコンテンツデータを再生する携帯電話機のクラスごとに、コンテンツデータの配信、および再生を禁止することができるように禁止クラスリストCRL(Class Revocation List)の運用を行なう。以下では、必要に応じて記号CRLによって禁止クラスリスト内のデータを表わすこともある。
【0102】
禁止クラスリスト関連情報には、ライセンスの配信、および再生が禁止される携帯電話機、メモリカード、パーソナルコンピュータ上のライセンス管理モジュール、およびライセンス管理デバイスのクラスをリストアップした禁止クラスリストデータCRLが含まれる。コンテンツデータ保護にかかわるライセンスの管理・蓄積および再生を行なう全ての機器およびプログラムがリストアップの対象となる。
【0103】
禁止クラスリストデータCRLは、配信サーバ10内で管理されるとともに、メモリカードまたはライセンス管理デバイス内にも記録保持される。このような禁止クラスリストは、随時バージョンアップしデータを更新していく必要があるが、データの変更については、基本的には暗号化コンテンツデータおよび/またはライセンス鍵等のライセンスを配信する際に、携帯電話機またはパーソナルコンピュータ(ライセンス管理デバイスまたはライセンス管理モジュール)から受取った禁止クラスリストの更新日時を判断し、所有する禁止クラスリストCRLの更新日時と比較して更新されていないと判断されたとき、更新された禁止クラスリストを携帯電話機またはパーソナルコンピュータに配信する。また、禁止クラスリストの変更については、変更点のみを反映した差分データである差分CRLを配信サーバ10側より発生して、これに応じてメモリカードまたはライセンス管理デバイス内の禁止クラスリストCRLに追加する構成とすることも可能である。また、メモカードまたはライセンス管理デバイス内で管理される禁止クラスリストCRLには更新日時CRLdateも更新時に記録されているものとする。
【0104】
このように、禁止クラスリストCRLを、配信サーバのみならずライセンスを記録して管理するライセンス管理装置(メモリカードまたはライセンス管理デバイス)またはライセンス管理モジュールにおいても保持運用することによって、再生やライセンスの移動・複製・チェックアウトなどに際して、クラス固有すなわち、コンテンツ再生回路(携帯電話機および再生端末)、ライセンス管理装置またはライセンス管理モジュールの種類に固有の復号鍵が破られた、コンテンツ再生回路(携帯電話機および再生端末)、ライセンス管理装置またはパーソナルコンピュータ上で動作しているライセンス管理モジュールへのライセンス鍵あるいはライセンスの供給を禁止する。このため、携帯電話機またはパーソナルコンピュータではコンテンツデータの再生が、メモリカードまたはパーソナルコンピュータではライセンス管理デバイスに対して、あるいはライセンス管理モジュールを介してライセンスの取得が行なえなくなり、新たなコンテンツデータを受信することができなくなる。
【0105】
このように、メモリカードまたはライセンス管理デバイス内の、あるいはライセンス管理モジュールが管理する禁止クラスリストCRLは配信時に逐次データを更新する構成とする。また、メモリカードまたはライセンス管理デバイス内における禁止クラスリストCRLの管理は、上位レベルとは独立にメモリカードまたはライセンス管理デバイス内では、ハード的に機密性を保証する高いレベルの耐タンパモジュール(Tamper Resistant Module)に記録する。ライセンス管理モジュールにおける禁止クラスリストCRLの管理は、暗号処理によって少なくとも改ざん防止処置が行われてパーソナルコンピュータのHDD等に記録される。言いかえれば、ソフトウェアによってその機密性が保証された低いレベルの耐タンパモジュールによって記録される。したがって、ファイルシステムやアプリケーションプログラム等の上位レベルから禁止クラスリストデータCRLを改ざんすることが不可能な構成とする。この結果、データに関する著作権保護をより強固なものとすることができる。
【0106】
図4は、図1および図2に示すデータ配信システムにおいて使用される認証のためのデータ、情報等の特性を説明する図である。
【0107】
コンテンツ再生回路、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールには固有の公開暗号鍵KPpyおよびKPmwがそれぞれ設けられ、公開暗号鍵KPpyおよびKPmwはコンテンツ再生回路に固有の秘密復号鍵Kpyおよびメモリカード、ライセンス管理デバイス、およびライセンス管理モジュールに固有の秘密復号鍵Kmwによってそれぞれ復号可能である。これら公開暗号鍵および秘密復号鍵は、コンテンツ再生デバイス、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールの種類ごとに異なる値を持つ。これらの公開暗号鍵および秘密復号鍵を総称してクラス鍵と称し、これらの公開暗号鍵をクラス公開暗号鍵、秘密復号鍵をクラス秘密復号鍵、クラス鍵を共有する単位をクラスと称する。クラスは、製造会社や製品の種類、製造時のロット等によって異なる。
【0108】
また、コンテンツ再生回路(携帯電話機、再生端末)のクラス証明書としてCpyが設けられ、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールのクラス証明書としてCmwが設けられる。これらのクラス証明書は、コンテンツ再生回路、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールのクラスごとに異なる情報を有する。耐タンパモジュールが破られたり、クラス鍵による暗号が破られた、すなわち、秘密復号鍵が漏洩したクラスに対しては、禁止クラスリストにリストアップされてライセンス取得の禁止対象となる。
【0109】
これらのコンテンツ再生回路のクラス公開暗号鍵およびクラス証明書は、認証データ{KPpy//Cpy}KPaの形式で、メモリカード、およびライセンス管理デバイスのクラス公開暗号鍵およびクラス証明書は認証データ{KPmw//Cmw}KPaの形式で、ライセンス管理モジュールのクラス公開暗号鍵およびクラス証明書は、認証データ{KPmw//Cmw}KPbの形式で、出荷時にデータ再生回路、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールにそれぞれ記録される。後ほど詳細に説明するが、KPa、KPbは配信システム全体で共通の公開認証鍵であり、KPaはセキュリティレベルがレベル2である場合に、KPbはセキュリティレベルがレベル1である場合に用いられる。
【0110】
また、メモリカード110、ライセンス管理デバイス、およびライセンス管理モジュール内のデータ処理を管理するための鍵として、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールという媒体または管理ソフトウェアごとに設定される公開暗号鍵KPmcxと、公開暗号鍵KPmcxで暗号化されたデータを復号することが可能なそれぞれに固有の秘密復号鍵Kmcxが存在する。このメモリカードごとに個別な公開暗号鍵および秘密復号鍵を総称して個別鍵と称し、公開暗号鍵KPmcxを個別公開暗号鍵、秘密復号鍵Kmcxを個別秘密復号鍵と称する。
【0111】
メモリカード外とメモリカード間でのデータ授受、またはライセンス管理デバイス外とライセンス管理デバイス間でのデータ授受、またはライセンス管理モジュール外とライセンス管理モジュール間でのデータ授受における秘密保持のための暗号鍵として、コンテンツデータの配信、および再生が行なわれるごとに配信サーバ10、携帯電話機100、メモリカード110、ライセンス管理デバイス、ライセンス管理モジュールにおいて生成される共通鍵Ks1〜Ks3が用いられる。
【0112】
ここで、共通鍵Ks1〜Ks3は、配信サーバ、コンテンツ再生回路もしくはメモリカードもしくはライセンス管理デバイスもしくはライセンス管理モジュール間の通信の単位あるいはアクセスの単位である「セッション」ごとに発生する固有の共通鍵であり、以下においてはこれらの共通鍵Ks1〜Ks3を「セッションキー」とも呼ぶこととする。
【0113】
これらのセッションキーKs1〜Ks3は、各セッションごとに固有の値を有することにより、配信サーバ、コンテンツ再生回路、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールによって管理される。具体的には、セッションキーKs1は、配信サーバによって配信セッションごとに発生される。セッションキーKs2は、メモリカード、ライセンス管理デバイス、ライセンス管理モジュールによって配信セッションおよび再生セッションごとに発生し、セッションキーKs3は、コンテンツ再生回路において再生セッションごとに発生される。各セッションにおいて、これらのセッションキーを授受し、他の機器で生成されたセッションキーを受けて、このセッションキーによる暗号化を実行した上でライセンス鍵等の送信を行なうことによって、セッションにおけるセキュリティ強度を向上させることができる。
【0114】
図5は、図1および図2に示した配信サーバ10の構成を示す概略ブロック図である。
【0115】
配信サーバ10は、コンテンツデータを所定の方式に従って暗号化したデータやコンテンツID等の配信情報を保持するための情報データベース304と、携帯電話やパーソナルコンピュータの各ユーザごとにコンテンツデータへのアクセス開始に従った課金情報を保持するための課金データベース302と、禁止クラスリストCRLを管理するCRLデータベース306と、情報データベース304に保持されたコンテンツデータのメニューを保持するメニューデータベース307と、ライセンスの配信ごとにコンテンツデータおよびライセンス鍵等の配信を特定するトランザクションID等の配信に関するログを保持する配信記録データベース308と、情報データベース304、課金データベース302、CRLデータベース306、メニューデータベース307、および配信記録データベース308からのデータをバスBS1を介して受取り、所定の処理を行なうためのデータ処理部310と、通信網を介して、配信キャリア20とデータ処理部310との間でデータ授受を行なうための通信装置350とを備える。
【0116】
データ処理部310は、バスBS1上のデータに応じて、データ処理部310の動作を制御するための配信制御部315と、配信制御部315に制御されて、配信セッション時にセッションキーKs1を発生するためのセッションキー発生部316と、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールから送られてきた認証のための認証データ{KPmw//Cmw}KPaまたは{KPmw//Cmw}KPbを復号するための2種類の公開認証鍵KPaとKPbを保持する認証鍵保持部313と、メモリカード、ライセンス管理デバイス、およびライセンス管理モジュールから送られてきた認証のための認証データ{KPmw//Cmw}KPaまたは{KPmw//Cmw}KPbを通信装置350およびバスBS1を介して受けて、認証鍵保持部313からの公開認証鍵KPaまたはKPbによって復号処理を行なう復号処理部312と、配信セッションごとに、セッション鍵Ks1を発生するセッションキー発生部316、セッションキー発生部316より生成されたセッションキーKs1を復号処理部312によって得られたクラス公開暗号鍵KPmwを用いて暗号化して、バスBS1に出力するための暗号化処理部318と、セッションキーKs1によって暗号化された上で送信されたデータをバスBS1より受けて、復号処理を行なう復号処理部320とを含む。
【0117】
データ処理部310は、さらに、配信制御部315から与えられるライセンス鍵Kcおよびアクセス制御情報ACmを、復号処理部320によって得られたメモリカード、ライセンス管理デバイス、およびライセンス管理モジュールごとに個別公開暗号鍵KPmcxによって暗号化するための暗号化処理部326と、暗号化処理部326の出力を、復号処理部320から与えられるセッションキーKs2によってさらに暗号化してバスBS1に出力するための暗号化処理部328とを含む。
【0118】
配信サーバ10の配信セッションにおける動作については、後ほどフローチャートを使用して詳細に説明する。
【0119】
図6は、図1および図2に示したパーソナルコンピュータ50の構成を説明するための概略ブロック図である。パーソナルコンピュータ50は、パーソナルコンピュータ50の各部のデータ授受を行なうためのバスBS2と、パーソナルコンピュータ内を制御すると共に、各種のプログラムを実行するためのコントローラ(CPU)510と、データバスBS2と、データバスBS2に接続され、プログラムやデータを記録し、蓄積しておくための大容量記録装置であるハードディスク(HDD)530およびCD−ROMドライブ540と、ユーザからの指示を入力するためのキーボード560と、各種の情報を視覚的にユーザに与えるためのディスプレイ570とを含む。
【0120】
パーソナルコンピュータ50は、さらに、暗号化コンテンツデータおよびライセンスを携帯電話機100等へ通信する際にコントローラ510と端子580との間でデータの授受を制御するためのUSBインタフェース550と、USBケーブル70を接続するための端子580と、配信サーバ10とインターネット網30およびモデム40を介して通信する際にコントローラ510と端子585との間でデータの授受を制御するためのシリアルインタフェース555と、モデム40とケーブルで接続するための端子585とを含む。
【0121】
コントローラ510は、インターネット網40を介してライセンス管理デバイス520またはライセンス管理モジュール511に暗号化コンテンツデータ等を配信サーバ10から受信するために、配信サーバ10との間でデータの授受を制御するとともに、CD−ROMドライブ540を介して音楽CDからリッピングによって暗号化コンテンツデータおよびライセンスを取得する際の制御を行なう。さらに、パーソナルコンピュータ50は、配信サーバ10からの暗号化コンテンツデータおよびライセンスの受信を行なう際に配信サーバ10との間で各種の鍵のやり取りを行ない、配信された暗号化コンテンツデータを再生するためのライセンスをハード的に管理するライセンス管理デバイス520と、コントローラ510にて実行されるプログラムであって、配信サーバ10からの暗号化コンテンツデータおよびレベル1ライセンスの配信を受信し、その受信したライセンスに独自の暗号化を施した専用ライセンスを生成するコンテンツ管理モジュール511とを含む。
【0122】
ライセンス管理デバイス520は、暗号化コンテンツデータおよびライセンスを配信サーバ10から受信する際のデータの授受をハード的に行ない、受信したライセンスをハード的に管理するものであるため、高いセキュリティレベルを要求するレベル2のライセンスを扱うことができる。一方、ライセンス管理モジュール511は、暗号化コンテンツデータおよびライセンスを配信サーバ10から受信する際のデータの授受をコントローラ510にて実行されるプログラムを用いてソフト的に行ない、また、音楽CDからリッピングによってローカル使用の暗号化コンテンツデータおよびライセンスの生成を行い、取得したライセンスに対して暗号処理などを施して保護し、HDD530に蓄積して管理するものであり、ライセンス管理デバイス520よりもセキュリティレベルが低い、レベル1ライセンスのみを扱う。なお、高いセキュリティレベルがレベル2である場合にはレベル1ライセンスも扱えることは言うまでもない。
【0123】
このように、パーソナルコンピュータ50は、配信サーバ10からインターネット網30を介して暗号化コンテンツデータおよびライセンスを受信するためのライセンス管理モジュール511およびライセンス管理デバイス520と、音楽CDからリッピングによって暗号化コンテンツデータおよびライセンスを取得するためのCD−ROMドライブ540とを内蔵するものである。
【0124】
図7は、図2に示した再生端末102の構成を説明するための概略ブロック図である。
【0125】
再生端末102は、再生端末102の各部のデータ授受を行なうためのバスBS3と、バスBS3を介して再生端末102の動作を制御するためのコントローラ1106と、外部からの指示を再生端末102に与えるための操作パネル1108と、コントローラ1106等から出力される情報をユーザに視覚情報として与えるための表示パネル1110とを含む。
【0126】
再生端末102は、さらに、配信サーバ10からのコンテンツデータ(音楽データ)を記憶し、かつ、復号処理を行なうための着脱可能なメモリカード110と、メモリカード110とバスBS3との間のデータの授受を制御するためのメモリインタフェース1200と、パーソナルコンピュータ50から暗号化コンテンツデータおよびライセンスを受信する際にバスBS3と端子1114との間のデータ授受を制御するためのUSBインタフェース1112と、USBケーブル70を接続するための端子1114とを含む。
【0127】
再生端末102は、さらに、クラス公開暗号鍵KPp1およびクラス証明書Cp1を公開認証鍵KPaで復号することでその正当性を認証できる状態に暗号化した認証データ{KPp1//Cp1}KPaを保持する認証データ保持部1500を含む。ここで、再生端末102のクラスyは、y=1であるとする。
【0128】
再生端末102は、さらに、クラス固有の復号鍵であるKp1を保持するKp1保持部1502と、バスBS3から受けたデータをKp1によって復号し、メモリカード110によって発生されたセッションキーKs2を得る復号処理部1504とを含む。
【0129】
再生端末102は、さらに、メモリカード110に記憶されたコンテンツデータの再生を行なう再生セッションにおいてメモリカード110との間でバスBS3上においてやり取りされるデータを暗号化するためのセッションキーKs3を乱数等により発生するセッションキー発生部1508と、暗号化コンテンツデータの再生セッションにおいてメモリカード110からライセンス鍵Kcおよび再生制御情報ACpを受取る際に、セッションキー発生部1508により発生されたセッションキーKs3を復号処理部1504によって得られたセッションキーKs2によって暗号化し、バスBS3に出力する暗号化処理部1506とを含む。
【0130】
再生端末102は、さらに、バスBS3上のデータをセッションキーKs3によって復号して、ライセンス鍵Kcおよび再生制御情報ACpを出力する復号処理部1510と、バスBS3より暗号化コンテンツデータ{Dc}Kcを受けて、復号処理部1510より取得したライセンス鍵Kcによって復号し、コンテンツデータを出力する復号処理部1516と、復号処理部1516の出力を受けてコンテンツデータを再生するための音楽再生部1518と、音楽再生部1518の出力をディジタル信号からアナログ信号に変換するDA変換器1519と、DA変換器1519の出力をヘッドホーンなどの外部出力装置(図示省略)へ出力するための端子1530とを含む。
【0131】
なお、図7においては、点線で囲んだ領域は暗号化コンテンツデータを復号して音楽データを再生するコンテンツ再生デバイス1550を構成する。
【0132】
一方、図1に示す携帯電話機100は、携帯電話網を介して配信サーバ10から暗号化コンテンツデータあるいはライセンスの配信を受信する機能を有するものである。したがって、図1に示す携帯電話機100の構成は、図7に示す構成において、携帯電話網により無線伝送される信号を受信するためのアンテナと、アンテナからの信号を受けてベースバンド信号に変換し、あるいは携帯電話機からのデータを変調してアンテナに与えるための送受信部とマイクとスピーカと音声コーデック等の携帯電話機が本来備える機能を設けたものである。
【0133】
携帯電話機100、再生端末102の各構成部分の各セッションにおける動作については、後ほどフローチャートを使用して詳細に説明する。
【0134】
図8は、図1および図2に示すメモリカード110の構成を説明するための概略ブロック図である。
【0135】
既に説明したように、メモリカードのクラス公開暗号鍵およびクラス秘密復号鍵として、KPmwおよびKmwが設けられ、メモリカードのクラス証明書Cmwが設けられるが、メモリカード110においては、自然数w=3で表わされるものとする。また、メモリカードを識別する自然数xはx=4で表されるものとする。
【0136】
したがって、メモリカード110は、認証データ{KPm3//Cm3}KPaを保持する認証データ保持部1400と、メモリカードごとに設定される固有の復号鍵である個別秘密復号鍵Kmc4を保持するKmc保持部1402と、クラス秘密復号鍵Km3を保持するKm保持部1421と、個別秘密復号鍵Kmc4によって復号可能な公開暗号鍵KPmc4を保持するKPmc保持部1416とを含む。
【0137】
このように、メモリカードという記録装置の暗号鍵を設けることによって、以下の説明で明らかになるように、配信されたコンテンツデータや暗号化されたライセンス鍵の管理をメモリカード単位で実行することが可能になる。
【0138】
メモリカード110は、さらに、メモリインタフェース1200との間で信号を端子1426を介して授受するインタフェース1424と、インタフェース1424との間で信号をやり取りするバスBS4と、バスBS4にインタフェース1424から与えられるデータから、クラス秘密復号鍵Km3をKm保持部1421から受けて、配信サーバ10が配信セッションにおいて生成したセッションキーKs1を接点Paに出力する復号処理部1422と、KPa保持部1414から公開認証鍵KPaを受けて、バスBS4に与えられるデータから公開認証鍵KPaによる復号処理を実行して復号結果と得られたクラス証明書をコントローラ1420に、得られたクラス公開鍵を暗号化処理部1410に出力する復号処理部1408と、切換スイッチ1442によって選択的に与えられる鍵によって、切換スイッチ1446によって選択的に与えられるデータを暗号化してバスBS4に出力する暗号化処理部1406とを含む。
【0139】
メモリカード110は、さらに、配信、および再生の各セッションにおいてセッションキーKs2を発生するセッションキー発生部1418と、セッションキー発生部1418の出力したセッションキーKs2を復号処理部1408によって得られるクラス公開暗号鍵KPpyもしくはKPmwによって暗号化してバスBS4に送出する暗号化処理部1410と、バスBS4よりセッションキーKs2によって暗号化されたデータを受けてセッションキー発生部1418より得たセッションキーKs2によって復号する復号処理部1412と、暗号化コンテンツデータの再生セッションにおいてメモリ1415から読出されたライセンス鍵Kcおよび再生制御情報ACpを、復号処理部1412で復号された他のメモリカード110の個別公開暗号鍵KPmcx(≠4)で暗号化する暗号処理部1417とを含む。
【0140】
メモリカード110は、さらに、バスBS4上のデータを個別公開暗号鍵KPmc4と対をなすメモリカード110の個別秘密復号鍵Kmc4によって復号するための復号処理部1404と、禁止クラスリストのバージョン更新のためのデータCRL_datによって逐次更新される禁止クラスリストデータCRLと、暗号化コンテンツデータ{Dc}Kcと、暗号化コンテンツデータ{Dc}Kcを再生するためのライセンス(Kc,ACp,ACm,ライセンスID)と、付加情報Data−infと、暗号化コンテンツデータの再生リストと、ライセンスを管理するためのライセンス管理ファイルとをバスBS4より受けて格納するためのメモリ1415とを含む。メモリ1415は、例えば半導体メモリによって構成される。また、メモリ1515は、CRL領域1415Aと、ライセンス領域1415Bと、データ領域1415Cとから成る。CRL領域1415Aは、禁止クラスリストCRLを記録するための領域である。ライセンス領域1415Bは、ライセンスを記録するための領域である。データ領域1415Cは、暗号化コンテンツデータ{Dc}Kc、暗号化コンテンツデータの関連情報Dc−inf、ライセンスを管理するために必要な情報を暗号化コンテンツごとに記録するライセンス管理ファイル、およびメモリカードに記録された暗号化コンテンツデータやライセンスにアクセスするための基本的な情報を記録する再生リストファイルを記録するための領域である。そして、データ領域1415Cは、外部から直接アクセスが可能である。ライセンス管理ファイルおよび再生リストファイルの詳細については後述する。
【0141】
ライセンス領域1415Bは、ライセンス(ライセンス鍵Kc、再生制御情報ACp、アクセス制限情報ACm、ライセンスID)を記録するためにエントリと呼ばれるライセンス専用の記録単位でライセンスを格納する。ライセンスに対してアクセスする場合には、ライセンスか格納されている、あるいは、ライセンスを記録したいエントリをエントリ番号によって指定する構成になっている。
【0142】
メモリカード110は、さらに、バスBS4を介して外部との間でデータ授受を行ない、バスBS4との間で再生情報等を受けて、メモリカード110の動作を制御するためのコントローラ1420を含む。
【0143】
なお、データ領域1415Cを除く全ての構成は、耐タンパモジュール領域に構成される。
【0144】
図9は、パーソナルコンピュータ50に内蔵されたライセンス管理デバイス520の構成を示す概略ブロック図である。ライセンス管理デバイス520は、メモカード110におけるデータ領域1415Cに相当する領域を必要としない点、インタフェース1424の機能および端子1426の形状が異なるインタフェース5224と端子5226とを備える点が異なるのみで、基本的にメモリカード110と同じ構成から成る。ライセンス管理デバイス520の認証データ保持部5200、Kmc保持部5202、復号処理部5204、暗号処理部5206、復号処理部5208、暗号処理部5210、復号処理部5212、KPa保持部5214、KPmc保持部5216、暗号処理部5217、セッションキー発生部5218、コントローラ5220、Km保持部5221、復号処理部5222、インタフェース5224、端子5226、切換スイッチ5242,5246は、それぞれ、メモリカード110の認証データ保持部1400、Kmc保持部1402、復号処理部1404、暗号処理部1406、復号処理部1408、暗号処理部1410、復号処理部1412、KPa保持部1414、KPmc保持部1416、暗号処理部1417、セッションキー発生部1418、コントローラ1420、Km保持部1421、復号処理部1422、切換スイッチ1442,1446と同じである。ただし、認証データ保持部5200は、認証データ{KPm7//Cm7}KPaを保持し、KPmc保持部5216は、個別公開暗号鍵KPm8を保持し、Km保持部5202は、クラス秘密復号鍵Km7を保持し、Kmc保持部5221は、個別秘密復号鍵Kmc8を保持する。ライセンス管理デバイス520のクラスを表す自然数wはw=7であり、ライセンス管理デバイス520を識別するための自然数xはx=8であるとする。
【0145】
ライセンス管理デバイス520は、禁止クラスリストCRLとライセンス(Kc,ACp,ACm,ライセンスID)とを記録するメモリ5215を、メモリカード110のメモリ1415に代えて含む。メモリ5215は、禁止クラスリストCRLを記録したCRL領域5215Aと、ライセンスを記録したライセンス領域5215Bとから成る。
【0146】
以下、図1および図2に示すデータ配信システムにおける各セッションの動作について説明する。
【0147】
[配信1]
まず、図1および図2に示すデータ配信システムにおいて、配信サーバ10からパーソナルコンピュータ50のライセンス管理デバイス520へ暗号化コンテンツデータおよびライセンスを配信する動作について説明する。なお、この動作を「配信1」という。
【0148】
図10〜図13は、図1および図2に示すデータ配信システムにおける暗号化コンテンツデータの購入時に発生するパーソナルコンピュータ50に内蔵されたライセンス管理デバイス520への配信動作(以下、配信セッションともいう)を説明するための第1〜第4のフローチャートである。
【0149】
図10における処理以前に、パーソナルコンピュータ50のユーザは、配信サーバ10に対してモデム40を介して接続し、購入を希望するコンテンツに対するコンテンツIDを取得していることを前提としている。
【0150】
図10を参照して、パーソナルコンピュータ50のユーザからキーボード560を介してコンテンツIDの指定による配信リクエストがなされる(ステップS100)。そして、キーボード560を介して暗号化コンテンツデータのライセンスを購入するための購入条件ACが入力される(ステップS102)。つまり、選択した暗号化コンテンツデータを復号するライセンス鍵Kcを購入するために、暗号化コンテンツデータのアクセス制御情報ACm、および再生制御情報ACpを設定して購入条件ACが入力される。
【0151】
暗号化コンテンツデータの購入条件ACが入力されると、コントローラ510は、バスBS2を介してライセンス管理デバイス520へ認証データの出力指示を与える(ステップS104)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224およびバスBS5を介して認証データの出力指示を受取る。そして、コントローラ5220は、バスBS5を介して認証データ保持部5200から認証データ{KPm7//Cm7}KPaを読出し、{KPm7//Cm7}KPaをバスBS5、インタフェース5224および端子5226を介して出力する(ステップS106)。
【0152】
パーソナルコンピュータ50のコントローラ510は、ライセンス管理デバイス520からの認証データ{KPm7//Cm7}KPaに加えて、コンテンツID、ライセンス購入条件のデータAC、および配信リクエストを配信サーバ10に対して送信する(ステップS108)。
【0153】
配信サーバ10では、パーソナルコンピュータ50から配信リクエスト、コンテンツID、認証データ{KPm7//Cm7}KPa、およびライセンス購入条件のデータACを受信し(ステップS110)、復号処理部312においてライセンス管理デバイス520から出力された認証データを公開認証鍵KPaで復号処理を実行する(ステップS112)。
【0154】
配信制御部315は、復号処理部312における復号処理結果から、正規の機関でその正当性を証明するための暗号化を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS114)。正当な認証データであると判断された場合、配信制御部315は、クラス公開暗号鍵KPm7およびクラス証明書Cm7を承認し、受理する。そして、次の処理(ステップS116)へ移行する。正当な認証データでない場合には、非承認とし、クラス公開暗号鍵KPm7およびクラス証明書Cm7を受理しないで配信セッションを終了する(ステップS198)。
【0155】
認証の結果、クラス公開暗号鍵KPm7およびクラス証明書Cm7を受理すると、配信制御部315は、次に、ライセンス管理デバイスのクラス証明書Cm7が禁止クラスリストCRLにリストアップされているかどうかをCRLデータベース306に照会し、これらのクラス証明書が禁止クラスリストの対象になっている場合には、ここで配信セッションを終了する(ステップS198)。
【0156】
一方、ライセンス管理デバイス520のクラス証明書が禁止クラスリストの対象外である場合には次の処理に移行する(ステップS116)。
【0157】
認証の結果、正当な認証データを持つライセンス管理デバイスを備えるパーソナルコンピュータからのアクセスであり、クラスが禁止クラスリストの対象外であることが確認されると、配信サーバ10において、配信制御部315は、配信を特定するための管理コードであるトランザクションIDを生成する(ステップS118)。また、セッションキー発生部316は、配信のためのセッションキーKs1を生成する(ステップS120)。セッションキーKs1は、復号処理部312によって得られたライセンス管理デバイス520に対応するクラス公開暗号鍵KPm7によって、暗号化処理部318によって暗号化される(ステップS122)。
【0158】
トランザクションIDおよび暗号化されたセッションキーKs1は、トランザクションID//{Ks1}Km7として、バスBS1および通信装置350を介して外部に出力される(ステップS124)。
【0159】
図11を参照して、パーソナルコンピュータ50が、トランザクションID//{Ks1}Km7を受信すると(ステップS126)、コントローラ510は、トランザクションID//{Ks1}Km7をライセンス管理デバイス520に入力する(ステップS128)。そうすると、ライセンス管理デバイス520においては、端子5226およびインタフェース5224を介して、バスBS5に与えられた受信データを、復号処理部5222が、保持部5221に保持されるライセンス管理デバイス520に固有なクラス秘密復号鍵Km7によって復号処理することにより、セッションキーKs1を復号し、セッションキーKs1を受理する(ステップS130)。
【0160】
コントローラ5220は、配信サーバ10で生成されたセッションキーKs1の受理を確認すると、セッションキー発生部5218に対してライセンス管理デバイス520において配信動作時に生成されるセッションキーKs2の生成を指示する。そして、セッションキー発生部5218は、セッションキーKs2を生成する(ステップS132)。
【0161】
また、配信セッションにおいては、コントローラ5220は、ライセンス管理デバイス520内のメモリ5215に記録されている禁止クラスリストCRLから更新日時CRLdateを抽出して切換スイッチ5246に出力する(ステップS134)。
【0162】
暗号化処理部5206は、切換スイッチ5242の接点Paを介して復号処理部5222より与えられるセッションキーKs1によって、切換スイッチ5246の接点を順次切換えることによって与えられるセッションキーKs2、個別公開暗号鍵KPmc8および禁止クラスリストの更新日時CRLdateを1つのデータ列として暗号化して、{Ks2//KPmc8//CRLdate}Ks1をバスBS3に出力する(ステップS136)。
【0163】
バスBS3に出力された暗号化データ{Ks2//KPmc8//CRLdate}Ks1は、バスBS3からインタフェース5224および端子5226を介してパーソナルコンピュータ50に出力され、パーソナルコンピュータ50から配信サーバ10に送信される(ステップS138)。
【0164】
配信サーバ10は、トランザクションID//{Ks2//KPmc8//CRLdate}Ks1を受信して、復号処理部320においてセッションキーKs1による復号処理を実行し、ライセンス管理デバイス520で生成されたセッションキーKs2、ライセンス管理デバイス520に固有の公開暗号鍵KPmc8およびライセンス管理デバイス520における禁止クラスリストCRLの更新日時CRLdateを受理する(ステップS142)。
【0165】
配信制御部315は、ステップS110で取得したコンテンツIDおよびライセンス購入条件のデータACに従って、アクセス制御情報ACmおよび再生制御情報ACpを生成する(ステップS144)。さらに、暗号化コンテンツデータを復号するためのライセンス鍵Kcを情報データベース304より取得する(ステップS146)。
【0166】
配信制御部315は、生成したライセンス、すなわち、トランザクションID、コンテンツID、ライセンス鍵Kc、再生制御情報ACp、およびアクセス制御情報ACmを暗号化処理部326に与える。暗号化処理部326は、復号処理部320によって得られたライセンス管理デバイス520に固有の公開暗号鍵KPmc8によってライセンスを暗号化して暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8を生成する(ステップS148)。
【0167】
図12を参照して、配信サーバ10において、ライセンス管理デバイス520から送信された禁止クラスリストの更新日時CRLdateが、CRLデータベース306に保持される配信サーバ10の禁止クラスリストCRLの更新日時と比較されることによってライセンス管理デバイス520が保持する禁止クラスリストCRLが最新か否かが判断され、ライセンス管理デバイス520が保持する禁止クラスリストCRLが最新と判断されたとき、ステップS152へ移行する。また、ライセンス管理デバイス520が保持する禁止クラスリストCRLが最新でないときはステップS160へ移行する(ステップS150)。
【0168】
最新と判断されたとき、暗号化処理部328は、暗号化処理部326から出力された暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8をライセンス管理デバイス520において発生されたセッションキーKs2によって暗号化を行い、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2をバスBS1に出力する。そして、配信制御部315は、バスBS1上の暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2を通信装置350を介してパーソナルコンピュータ50へ送信する(ステップS152)。
【0169】
そして、パーソナルコンピュータ50のコントローラ510は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2を受信し(ステップS154)、バスBS5を介してライセンス管理デバイス520に入力する。ライセンス管理デバイス520の復号処理部5212は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2を端子5226およびインタフェース5224を介して受取り、セッションキー発生部5218によって発生されたセッションキーKs2によって復号し、{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8を受理する(ステップS158)。その後、ステップS172へ移行する。
【0170】
一方、配信サーバ10において、ライセンス管理デバイス520が保持する禁止クラスリストCRLが最新でないと判断されると、配信制御部315は、バスBS1を介してCRLデータベース306から最新の禁止クラスリストCRLを取得し、差分データである差分CRLを生成する(ステップS160)。
【0171】
暗号化処理部328は、暗号化処理部326の出力と、配信制御部315がバスBS1を介して供給する禁止クラスリストの差分CRLとを受けて、ライセンス管理デバイス520において生成されたセッションキーKs2によって暗号化する。暗号化処理部328より出力された暗号化データ{差分CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2は、バスBS1および通信装置350を介してパーソナルコンピュータ50に送信される(ステップS162)。
【0172】
パーソナルコンピュータ50は、送信された暗号化データ{差分CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}Ks2を受信し(ステップS164)、バスBS5を介してライセンス管理デバイス520に入力する(ステップS166)。ライセンス管理デバイス520においては、端子5226およびインタフェース5224を介して、バスBS5に与えられた受信データを復号処理部5212によって復号する。復号処理部5212は、セッションキー発生部5218から与えられたセッションキーKs2を用いてバスBS5の受信データを復号しバスBS5に出力する(ステップS168)。
【0173】
この段階で、バスBS5には、Kmc保持部5221に保持される秘密復号鍵Kmc8で復号可能な暗号化ライセンス{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8}と、差分CRLとが出力される(ステップS168)。コントローラ5220の指示によって受理した差分CRLによってメモリ5215内のCRL領域5215Aを差分CRLに基づいて更新する(ステップS170)。
【0174】
ステップS152,S154,S156,S158は、ライセンス管理デバイス520の禁止クラスリストCRLが最新の場合のライセンスのライセンス管理デバイス520への配信動作であり、ステップS160,S162,S164,S166,S168,S170は、ライセンス管理デバイス520の禁止クラスリストCRLが最新でない場合のライセンスのライセンス管理デバイス520への配信動作である。このように、ライセンス管理デバイス520から送られてきた禁止クラスリストの更新日時CRLdateによって、配信を求めてきたライセンス管理デバイス520の禁止クラスリストCRLが最新か否かを、逐一、確認し、最新でないとき、最新の禁止クラスリストCRLをCRLデータベース306から取得し、差分CRLをライセンス管理デバイス520に配信することによって、ライセンスの破られたライセンス管理デバイスへのライセンスの配信を防止できる。
【0175】
ステップS158またはステップS170の後、コントローラ5220の指示によって、暗号化ライセンス{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc8は、復号処理部5204において、個別秘密復号鍵Kmc8によって復号され、ライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制御情報ACmおよび再生制御情報ACp)が受理される(ステップS172)。
【0176】
図13を参照して、コントローラ510は、ライセンス管理デバイス520が受理したライセンスを格納するエントリを指示するためのエントリ番号を、ライセンス管理デバイス520に入力する(ステップS174)。そうすると、ライセンス管理デバイス520のコントローラ5220は、端子5226およびインタフェース5224を介してエントリ番号を受取り、その受取ったエントリ番号によって指定されるメモリ5215のライセンス領域5215Bに、ステップS172において取得したライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制御情報ACmおよび再生制御情報ACp)を格納する(ステップS176)。
【0177】
パーソナルコンピュータ50のコントローラ510は、配信サーバ10から送られたトランザクションIDと、暗号化コンテンツデータの配信要求を配信サーバ10へ送信する(ステップS178)。
【0178】
配信サーバ10は、トランザクションIDおよび暗号化コンテンツデータの配信要求を受信し(ステップS180)、情報データベース304より、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを取得して、これらのデータをバスBS1および通信装置350を介して出力する(ステップS182)。
【0179】
パーソナルコンピュータ50は、{Dc}Kc//Dc−infを受信して、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを受理する(ステップS184)。そうすると、コントローラ510は、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを1つのコンテンツファイルとしてバスBS2を介してハードディスク(HDD)530に記録する(ステップS186)。また、コントローラ510は、ライセンス管理デバイス520に格納されたライセンスのエントリ番号と、平文のトランザクションIDおよびコンテンツIDを含む暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infに対するライセンス管理ファイルを生成し、バスBS2を介してHDD530に記録する(ステップS188)。さらに、コントローラ510は、HDD530に記録されているコンテンツリストファイルに受理したコンテンツの情報として、記録したコンテンツファイル及びライセンス管理ファイルの名称や、付加情報Dc−infから抽出した暗号化コンテンツデータに関する情報(曲名、アーティスト名)等を追記し(ステップS190)、トランザクションIDと配信受理を配信サーバ10へ送信する(ステップS192)。
【0180】
配信サーバ10は、トランザクションID//配信受理を受信すると(ステップS194)、課金データベース302への課金データの格納、およびトランザクションIDの配信記録データベース308への記録が行われて配信終了の処理が実行され(ステップS196)、全体の処理が終了する(ステップS198)。
【0181】
このようにして、パーソナルコンピュータ50に内蔵されたライセンス管理デバイス50が正規の認証データを保持する機器であること、同時に、クラス証明書Cm7とともに暗号化して送信できた公開暗号鍵KPm7が有効であることを確認した上で、クラス証明書Cm7が禁止クラスリスト、すなわち、公開暗号鍵KPm7による暗号化が破られたクラス証明書リストに記載されていないライセンス管理デバイスからの配信要求に対してのみコンテンツデータを配信することができ、不正なライセンス管理デバイスへの配信および解読されたクラス鍵を用いた配信を禁止することができる。
【0182】
さらに、配信サーバおよびライセンス管理モジュールでそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行なうことができ、データ配信システムのセキュリティを向上させることができる。
【0183】
また、ライセンス管理デバイス520は、配信サーバ10から暗号化コンテンツデータおよびライセンスを受信する際に、配信サーバ10との間でハード的にデータのやり取りを行ない、暗号化コンテンツデータを再生するためのライセンスをハード的に格納するため、そのセキュリティレベルは高い。したがって、ライセンス管理デバイス520を用いれば、パーソナルコンピュータ50は、セキュリティレベルの高い配信によって暗号化コンテンツデータおよびライセンスを受信できるとともに、セキュリティレベルの高いレベル2ライセンスの管理が可能である。
【0184】
図10〜13に示すフローチャートに従って、図1に示す携帯電話機100に装着されたメモリカード110に暗号化コンテンツデータおよびライセンスを携帯電話網を介して配信することも可能である。すなわち、上記の説明において、パーソナルコンピュータ50を携帯電話機100に代え、ライセンス管理デバイス520をメモリカード110に代えれば良い。この場合、図13に示すステップS186,S188,S190においては、コンテンツファイル(暗号化コンテンツデータ{Dc}Kc、および付加情報Dc−inf)、ライセンス管理ファイル、およびコンテンツリストファイルに代わる再生リストファイルがメモリカード110のメモリ1415のデータ領域1415Cに記録される。その他は、上述したのと同じである。
【0185】
メモリカード110への暗号化コンテンツデータおよびライセンスの配信においても暗号化コンテンツデータおよびライセンスをハード的に受信し、かつ、格納するので、メモリカード110への暗号化コンテンツデータおよびライセンスの配信は、ライセンス管理デバイス520への暗号化コンテンツデータおよびライセンスの配信と同じようにセキュリティレベルの高いレベル2ライセンスの管理が可能である。
【0186】
[配信2]
次に、図1および図2に示すデータ配信システムにおいて、配信サーバ10からパーソナルコンピュータ50のライセンス管理モジュール511へ暗号化コンテンツデータおよびライセンスを配信する動作について説明する。なお、この動作を「配信2」という。
【0187】
図14における処理以前に、パーソナルコンピュータ50のユーザは、配信サーバ10に対してモデム40を介して接続し、購入を希望するコンテンツに対するコンテンツIDを取得していることを前提としている。
【0188】
図14〜図17は、図1および図2に示すデータ配信システムにおける暗号化コンテンツデータの購入時に発生するパーソナルコンピュータ50に内蔵されたライセンス管理モジュール511への配信動作を説明するための第1〜第4のフローチャートである。なお、ライセンス管理モジュール511は、暗号化コンテンツデータおよびライセンスの配信サーバ10からの受信をプログラムによって実行する。また、「配信2」における通信路(配信サーバ10とパーソナルコンピュータ50間)で交換されるデータの形式およびセキュリティの構成については「配信1」と同様であるが、配信サーバは、2つの公開認証鍵KPaとKPbを用いる。KPaはセキュリティレベルがレベル2であるメモカード110およびライセンス管理デバイス520の認証データを確認する公開認証鍵であり、KPbはセキュリティレベルがレベル1であるライセンス管理モジュール511の認証データを確認する公開認証鍵である。また、ライセンス管理モジュール511はライセンス管理デバイス520とほぼ同一の構成を持つソフトウェアモジュールである。ライセンス管理モジュール511のクラスを表す自然数wはw=5であり、ライセンス管理モジュール511を識別するための自然数xはx=6であるとする。したがって、ライセンス管理モジュール511は、認証データ{KPm5//Cm5}KPb、個別公開暗号鍵KPm6、クラス秘密復号鍵Km5、個別秘密復号鍵Kmc6を保持する。
【0189】
図14を参照して、パーソナルコンピュータ50のユーザからキーボード560を介してコンテンツIDの指定による配信リクエストがなされる(ステップS200)。そして、キーボード560を介して暗号化コンテンツデータのライセンスを購入するための購入条件ACが入力される(ステップS202)。つまり、選択した暗号化コンテンツデータを復号するライセンス鍵Kcを購入するために、暗号化コンテンツデータのアクセス制御情報ACm、および再生制御情報ACpを設定して購入条件ACが入力される。
【0190】
暗号化コンテンツデータの購入条件ACが入力されると、コントローラ510は、ライセンス管理モジュール511から認証データ{KPm5//Cm5}KPbを読出し、その読出した認証データ{KPm5//Cm5}KPbに加えて、コンテンツID、ライセンス購入条件のデータAC、および配信リクエストを配信サーバ10に対して送信する(ステップS204)。
【0191】
配信サーバ10では、パーソナルコンピュータ50から配信リクエスト、コンテンツID、認証データ{KPm5//Cm5}KPb、およびライセンス購入条件のデータACを受信する(ステップS206)。そして、配信制御部315は、認証データ{KPm5//Cm5}KPbのクラス証明書Cm5に基づいてレベル1の配信を要求しているのか、レベル2の配信を要求しているのかを判別する。認証データ{KPm5//Cm5}KPbは、レベル1の配信を要求するライセンス管理モジュール511からの認証データであるので、配信制御部315はレベル1の配信要求であることを認識する。受信された認証データ{KPm5//Cm5}KPbは、復号処理部312においてレベル1向けの公開認証鍵KPbで復号される(ステップS208)。
【0192】
配信制御部315は、配信制御部315は、復号処理部312における復号処理結果から、認証データ{KPm5//Cm5}KPbがレベル1対応として正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS210)。正当なレベル1認証データであると判断された場合、配信制御部315は、公開暗号鍵KPm5および証明書Cm5を承認し、受理する。そして、ステップS212へ移行する。また、配信制御部315は、正当なレベル1向け認証データでないと判断した場合には、非承認とし、公開暗号鍵KPm5および証明書Cm5を受理しないで処理を終了する(ステップS288)。
【0193】
ここでは、これ以上詳細に説明は行わないが、配信サーバ10はレベル1ライセンスをセキュリティレベルがレベル2であるライセンス管理デバイス520やメモリカード110へ、パーソナルコンピュータ50を介して、直接、送信することも可能である。
【0194】
認証の結果、公開暗号鍵KPm5および証明書Cm5が受理されると、配信制御部315は、次に、ライセンス管理モジュール511のクラス証明書Cm5が禁止クラスリストCRLにリストアップされているかどうかをCRLデータベース306に照会し、これらのクラス証明書が禁止クラスリストの対象になっている場合には、ここで配信セッションを終了する(ステップS288)。
【0195】
一方、ライセンス管理モジュール511のクラス証明書が禁止クラスリストの対象外である場合には次の処理に移行する(ステップS214)。
【0196】
認証の結果、公開暗号鍵KPm5および証明書Cm5が受理され、クラス証明書が禁止クラスリストの対象外であることが確認されると、配信サーバ10において、配信制御部315は、配信を特定するための管理コードであるトランザクションIDを生成する(ステップS214)。また、セッションキー発生部316は、配信のためのセッションキーKs1を生成する(ステップS216)。セッションキーKs1は、復号処理部312によって得られたライセンス管理モジュール511に対応するクラス公開暗号鍵KPm5によって、暗号化処理部318によって暗号化される(ステップS218)。
【0197】
トランザクションIDおよび暗号化されたセッションキーKs1は、トランザクションID//{Ks1}Km5として、バスBS1および通信装置350を介して外部に出力される(ステップS220)。
【0198】
図15を参照して、パーソナルコンピュータ50のコントローラ510が、トランザクションID//{Ks1}Km5を受信すると(ステップS222)、ライセンス管理モジュール511は、{Ks1}Km5を受けて、ライセンス管理モジュール511に固有なクラス秘密復号鍵Km5によって復号処理を行ない、セッションキーKs1を受理する(ステップS224)。
【0199】
ライセンス管理モジュール511は、配信サーバ10で生成されたセッションキーKs1の受理を確認すると、セッションキーKs2を生成する(ステップS226)。そして、コントローラ510は、バスBS2を介してHDD530に記憶された暗号化CRLを読出し、ライセンス管理モジュール511は、暗号化CRLを復号して禁止クラスリストCRLを取得し、復号した禁止クラスリストCRLから禁止クラスリストの更新日時CRLdateを取得する(ステップS228)。ライセンス管理モジュール511は、さらに、配信サーバ10において発生されたセッションキーKs1によって、ライセンス管理モジュール511で発生させたセッションキーKs2、個別公開暗号鍵KPmc6および禁止クラスリストの更新日時CRLdateを1つのデータ列として暗号化して、{Ks2//KPmc6//CRLdate}Ks1を出力する(ステップS230)。
【0200】
コントローラ510は、暗号化データ{Ks2//KPmc6//CRLdate}Ks1にトランザクションIDを加えたトランザクションID//{Ks2//KPmc6//CRLdate}Ks1を配信サーバ10へ送信する(ステップS232)。
【0201】
配信サーバ10は、トランザクションID//{Ks2//KPmc6//CRLdate}Ks1を受信して(ステップS234)、復号処理部320においてセッションキーKs1による復号処理を実行し、ライセンス管理モジュール511で生成されたセッションキーKs2、ライセンス管理モジュール511に固有な個別公開暗号鍵KPmc6およびライセンス管理モジュール511における禁止クラスリストの更新日時CRLdateを受理する(ステップS236)。
【0202】
配信制御部315は、ステップS206で取得したコンテンツIDおよびライセンス購入条件のデータACに従って、アクセス制御情報ACmおよび再生制御情報ACpを生成する(ステップS238)。さらに、暗号化コンテンツデータ{Dc}Kcを復号するためのライセンス鍵Kcを情報データベース304より取得する(ステップS240)。
【0203】
配信制御部315は、生成したライセンス、すなわち、トランザクションID、コンテンツID、ライセンス鍵Kc、再生制御情報ACp、およびアクセス制御情報ACmを暗号化処理部326に与える。暗号化処理部326は、復号処理部320によって得られたライセンス管理モジュール511に固有な公開暗号鍵KPmc6によってライセンスを暗号化して暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6を生成する(ステップS242)。
【0204】
図16を参照して、配信サーバ10において、ライセンス管理モジュール511から送信された禁止クラスリストの更新日時CRLdateが、CRLデータベース306に保持される配信サーバ10の禁止クラスリストCRLの更新日時と比較することによってライセンス管理モジュール511が保持する禁止クラスリストCRLが最新か否かが判断され、ライセンス管理モジュール511が保持する禁止クラスリストCRLが最新と判断されたとき、ステップS246へ移行する。また、ライセンス管理モジュール511が保持する禁止クラスリストCRLが最新でないときはステップS252へ移行する(ステップS244)。
【0205】
最新と判断されたとき、暗号化処理部328は、暗号化処理部326から出力された暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6をライセンス管理モジュール511において発生されたセッションキーKs2によって暗号化を行い、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2をバスBS1に出力する。そして、配信制御部315は、バスBS1上の暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2を通信装置350を介してパーソナルコンピュータ50へ送信する(ステップS246)。
【0206】
そして、パーソナルコンピュータ50のコントローラ510は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2を受信し(ステップS248)、ライセンス管理モジュール511は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2をセッションキーKs2によって復号し、{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6を受理する(ステップS250)。その後、ステップS162へ移行する。
【0207】
一方、配信サーバ10において、ライセンス管理モジュール511が保持する禁止クラスリストCRLが最新でないと判断されると、配信制御部315は、バスBS1を介してCRLデータベース306から最新の禁止クラスリストCRLを取得し、差分データである差分CRLを生成する(ステップS252)。
【0208】
暗号化処理部328は、暗号化処理部326の出力と、配信制御部315がバスBS1を介して供給する禁止クラスリストの差分CRLとを受けて、ライセンス管理モジュール511において生成されたセッションキーKs2によって暗号化する。暗号化処理部328より出力された暗号化データ{差分CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2は、バスBS1および通信装置350を介してパーソナルコンピュータ50に送信される(ステップS254)。
【0209】
パーソナルコンピュータ50は、送信された暗号化データ{差分CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6}Ks2を受信し(ステップS256)、ライセンス管理モジュール511は、セッションキーKs2を用いて受信データを復号して差分CRLと暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6とを受理する(ステップS258)。
【0210】
コントローラ510は、HDD530に記録された禁止クラスリストCRLに受理した差分CRLを加え、独自の暗号処理を施し、HDD530内の禁止クラスリストCRLを書換える(ステップS260)。
【0211】
ステップS246,S248,S250は、ライセンス管理モジュール511の禁止クラスリストCRLが最新の場合のライセンス鍵Kc等のライセンス管理モジュール511への配信動作であり、ステップS252,S254,S256,S258,S260は、ライセンス管理モジュール511の禁止クラスリストCRLが最新でない場合のライセンス鍵Kc等のライセンス管理モジュール511への配信動作である。このように、ライセンス管理モジュール511から送られてきた禁止クラスリストCRLdateが更新されているか否かを、逐一、確認し、更新されていないとき、最新の禁止クラスリストCRLdateをCRLデータベース306から取得し、差分CRLをライセンス管理モジュール511に配信することによって、ライセンスの破られたライセンス管理モジュールへの暗号化コンテンツデータ{Dc}Kcの配信を防止できる。
【0212】
ステップS250またはステップS260の後、暗号化ライセンス{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc6は、秘密復号鍵Kmc6によって復号され、ライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制御情報ACmおよび再生制御情報ACp)が受理される(ステップS262)。
【0213】
図17を参照して、ライセンス管理モジュール511は、配信サーバ10から受信した暗号化コンテンツデータおよびライセンスを他の装置へ貸出すためのチェックアウト可能数を含むチェックアウト情報を生成する(ステップS264)。この場合、チェックアウトの初期値は「3」に設定される。そうすると、ライセンス管理モジュール511は、受理したライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制御情報ACm、および再生制御情報ACp)と、生成したチェックアウト情報とに独自の暗号処理を施した暗号化レベル1拡張ライセンスを生成する(ステップS266)。この場合、ライセンス管理モジュール511は、パーソナルコンピュータ50のコントローラ(CPU)510の識別番号等に基づいて暗号化を行なう。したがって、生成された暗号化レベル拡張1ライセンスは、パーソナルコンピュータ50に独自なライセンスになり、後述するチェックアウトを用いなければ、暗号化コンテンツデータおよびライセンスを他の装置へ通信することはできない。セキュリティレベルがレベル1の管理においてのライセンスの移動は、セキュリティホールが明らかに存在するために、ライセンスの移動が許されていないためである。
【0214】
パーソナルコンピュータ50のコントローラ510は、配信サーバ10から送られたトランザクションIDと、暗号化コンテンツデータの配信要求を配信サーバ10へ送信する(ステップS268)。
【0215】
配信サーバ10は、トランザクションIDおよび暗号化コンテンツデータの配信要求を受信し(ステップS270)、情報データベース304より、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを取得して、これらのデータをバスBS1および通信装置350を介して出力する(ステップS272)。
【0216】
パーソナルコンピュータ50は、{Dc}Kc//Dc−infを受信して、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを受理する(ステップS274)。そうすると、コントローラ510は、暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを1つのコンテンツファイルとしてバスBS2を介してハードディスク(HDD)530に記録する(ステップS276)。また、コントローラ510は、ライセンス管理モジュール511によって生成された暗号化レベル1拡張ライセンスと、平文のトランザクションIDおよびコンテンツIDを含む暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infに対するライセンス管理ファイルを生成し、バスBS2を介してHDD530に記録する(ステップS278)。さらに、コントローラ510は、HDD530に記録されているコンテンツリストファイルに受理したコンテンツの情報として、記録したコンテンツファイルおよびライセンス管理ファイルの名称や、付加情報Dc−infから抽出した暗号化コンテンツデータに関する情報(曲名、アーティスト名)を追記し(ステップS280)、トランザクションIDと配信受理を配信サーバ10へ送信する(ステップS282)。
【0217】
配信サーバ10は、トランザクションID//配信受理を受信すると(ステップS284)、課金データベース302への課金データの格納、およびトランザクションIDの配信記録データベース308への記録が行なわれて配信終了の処理が実行され(ステップS286)、全体の処理が終了する(ステップS288)。
【0218】
このように、配信サーバおよびライセンス管理モジュールでそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行なうことができ、データ配信システムのセキュリティを向上させることができること、および禁止クラスリストCRLの運用を行なっている点においてライセンス管理デバイス520およびメモリカード110にライセンスを直接配信する場合と同様である。
【0219】
しかしながら、パーソナルコンピュータ50内において、ライセンス管理モジュール511は、ソフトウェアにてデータのやり取りを行ない、ライセンスを配信サーバ10から受信し、管理する点においてライセンス管理モジュール511によるライセンスの配信は、ライセンス管理デバイス520およびメモリカード110に、ライセンスを、直接、配信するよりもセキュリティレベルは低い。
【0220】
[移動]
図1および図2に示すデータ配信システムにおいて、配信サーバ10からパーソナルコンピュータ50のライセンス管理デバイス520へ配信された暗号化コンテンツデータおよびライセンスを携帯電話機100または再生端末102に装着されたメモリカード110へ送信する動作について説明する。なお、この動作を「移動」といい、セキュリティレベルがレベル2間でのみ行われる処理である。
【0221】
図18〜図21は、図1および図2に示すデータ配信システムにおいて、ライセンス管理デバイス520が配信サーバ10から受信した暗号化コンテンツデータおよびライセンスを携帯電話機100または再生端末102に装着されたメモリカード110へ移動する移動動作を説明するための第1〜第4のフローチャートである。携帯電話機100または再生端末102は、移動においては、データの中継を行なうのみの機器であるため、フローチャートから省略してある。移動を説明するに当たり、図2の再生端末102に装着されたメモリカード110へ移動する場合について説明を行なうが、図1の携帯電話機100に装着されたメモリカード110へ移動する場合についても同様であり、再生端末102を携帯電話機100に読替えれば良い。
【0222】
なお、図18における処理以前に、パーソナルコンピュータ50のユーザは、コンテンツリストファイルに従って、移動するコンテンツを決定し、コンテンツファイルおよびライセンス管理ファイルが特定できていることを前提として説明する。
【0223】
図18を参照して、パーソナルコンピュータ50のキーボード560から移動リクエストが入力されると(ステップS300)、コントローラ510は、認証データの送信要求をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する(ステップS302)。そうすると、再生端末102のコントローラ1106は、端子1114、USBインタフェース1112およびバスBS3を介して認証データの送信要求を受信し、バスBS3およびメモリカードインタフェース1200を介して認証データの送信要求をメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介して認証データの送信要求を受信する(ステップS304)。
【0224】
コントローラ1420は、認証データの送信要求を受信すると、認証データ保持部1400から認証データ{KPm3//Cm3}KPaをバスBS4を介して読出し、その読出した認証データ{KPm3//Cm3}KPaをバスBS4、インタフェース1424および端子1426を介して再生端末102へ出力する。そして、再生端末102のコントローラ1106は、メモリカードインタフェース1200およびバスBS3を介して認証データ{KPm3//Cm3}KPaを受取り、バスBS3、USBインタフェース1112、端子1114およびUSBケーブル70を介してパーソナルコンピュータ50へ認証データ{KPm3//Cm3}KPaを送信する(ステップS306)。
【0225】
そうすると、パーソナルコンピュータ50のコントローラ510は、端子580およびUSBインタフェース550を介して認証データ{KPm3//Cm3}KPaを受信し(ステップS308)、その受信した認証データ{KPm3//Cm3}KPaをバスBS2を介してライセンス管理デバイス520へ送信する。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介して認証データ{KPm3//Cm3}KPaを受信し、その受信した認証データ{KPm3//Cm3}KPaを復号処理部5208へ与える。認証処理部5208は、KPa保持部5214からの認証鍵KPaによって認証データ{KPm3//Cm3}KPaの復号処理を実行する(ステップS310)。コントローラ5220は、復号処理部5208における復号処理結果から、処理が正常に行なわれたか否か、すなわち、メモリカード110が正規のメモリカードからのクラス公開暗号鍵KPm3とクラス証明書Cm3とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS312)。正当な認証データであると判断された場合、コントローラ5220は、クラス公開暗号鍵KPm3およびクラス証明書Cm3を承認し、受理する。そして、次の処理(ステップS314)へ移行する。正当な認証データでない場合には、非承認とし、クラス公開暗号鍵KPm3およびクラス証明書Cm3を受理しないで処理を終了する(ステップS404)。
【0226】
ここで、ライセンス管理デバイス520はレベル2対応の公開認証鍵KPaしか保持しないため、仮に、セキュリティレベルがレベル1であるライセンス管理モジュール511からの要求である場合には、認証に失敗し、処理は終了するため、レベル2からレベル1への移動は行なえない。
【0227】
認証の結果、正規のメモリカードであることが認識されると、コントローラ5220は、次に、メモリカード110のクラス証明書Cm3が禁止クラスリストCRLにリストアップされているかどうかをメモリ5215のCRL領域5215Aに照会し、これらのクラス証明書が禁止クラスリストの対象になっている場合には、ここで移動動作を終了する(ステップS404)。
【0228】
一方、メモリカード110のクラス証明書が禁止クラスリストの対象外である場合には次の処理に移行する(ステップS314)。
【0229】
認証の結果、正当な認証データを持つメモリカードを備える再生端末からのアクセスであり、クラスが禁止クラスリストの対象外であることが確認されると、ライセンス管理デバイス520において、コントローラ5220は、管理コードであるトランザクションIDをメモリ5215のライセンス領域5215Bから取得する(ステップS316)。そして、セッションキー発生部5218は、移動のためのセッションキーKs22を生成する(ステップS318)。セッションキーKs22は、復号処理部5208によって得られたメモリカード110に対応するクラス公開暗号鍵KPm3によって、暗号化処理部5210によって暗号化される(ステップS320)。コントローラ5220は、バスBS5を介して暗号化データ{Ks22}Km3を取得し、メモリ5215から取得したトランザクションIDを暗号化データ{Ks22}Km3に追加したトランザクションID//{Ks22}Km3をバスBS5、インタフェース5224および端子5226を介して出力する(ステップS322)。
【0230】
図19を参照して、パーソナルコンピュータ50のコントローラ510は、バスBS2を介してトランザクションID//{Ks22}Km3を受信し(ステップS324)、USBインタフェース550、端子580、およびUSBケーブル70を介してトランザクションID//{Ks22}Km3を再生端末102へ送信する(ステップS324)。そうすると、再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介してトランザクションID//{Ks22}Km3を受信し、その受信したトランザクションID//{Ks22}Km3をメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介してトランザクションID//{Ks22}Km3を受信する(ステップS326)。復号処理部1422は、コントローラ1420からバスBS4を介して{Ks22}Km3を受取り、Km保持部1421からのクラス秘密復号鍵Km3によって{Ks22}Km3を復号してセッションキーKs22を受理する(ステップS328)。そして、セッションキー発生部1418は、セッションキーKs2を生成し(ステップS330)、コントローラ1420は、バスBS4を介してメモリ1415のCRL領域1415Aから禁止クラスリストの更新日時CRLdateを取得し、その取得した更新日時CRLdateを切換スイッチ1446へ与える(ステップS332)。
【0231】
そうすると、暗号化処理部1406は、切換スイッチ1446の端子を順次切換えることによって取得したセッションキーKs2、個別公開暗号鍵KPmc4および禁止クラスリストの更新日時CRLdateを、復号処理部1404によって復号されたセッションキーKs22によって暗号化し、暗号化データ{Ks2//KPmc4//CRLdate}Ks22を生成する。コントローラ1420は、暗号化データ{Ks2//KPmc4//CRLdate}Ks22をバスBS4、インタフェース1424および端子1426を介して再生端末102へ出力し、再生端末102のコントローラ1106は、メモリカードインタフェース1200を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受取る。そして、コントローラ1106は、USBインタフェース1112、端子1114、およびUSBケーブル70を介してパーソナルコンピュータ50へ送信する(ステップS334)。
【0232】
パーソナルコンピュータ50のコントローラ510は、端子580およびUSBインタフェース550を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受信し(ステップS336)、バスBS2を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22をライセンス管理デバイス520へ入力する(ステップS338)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224およびバスBS5を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受信し、その受信した暗号化データ{Ks2//KPmc4//CRLdate}Ks22を復号処理部5212に与える。復号処理部5212は、セッションキー発生部5218からのセッションキーKs22によって暗号化データ{Ks2//KPmc4//CRLdate}Ks22を復号し、セッションキーKs2、公開暗号鍵KPmc4および禁止クラスリストの更新日時CRLdateを受理する(ステップS340)。
【0233】
そうすると、パーソナルコンピュータ50のコントローラ510は、ステップS324においてHDD530に記録されたライセンス管理ファイルに含まれるライセンスのエントリ番号をHDD530から読出す。そして、コントローラ510は、その読出したエントリ番号をバスBS2を介してライセンス管理デバイス520に入力する(ステップS342)。ライセンス管理デバイス520のコントローラ5220は、端子5226、インタフェース5224、およびバスBS5を介してエントリ番号を受信し、エントリ番号によって指定されるメモリ5215のライセンス領域5215Bのエントリからライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制御情報ACm、再生制御情報ACp)を読出す(ステップS344)。
【0234】
コントローラ5220は、次いで、アクセス制御情報ACmを確認する(ステップS346)。つまり、コントローラ5220は、取得したアクセス制御情報ACmに基づいて、最初に、再生端末102に装着されたメモリカード110へ移動しようとするライセンスが再生回数によって暗号化コンテンツデータの再生ができないライセンスになっていないか否かを確認する。再生回数が残っていない場合(再生回数=0)、暗号化コンテンツデータをライセンスによって再生することができず、その暗号化コンテンツデータとライセンスとを再生端末102に装着されたメモリカード110へ移動する意味がないからである。再生することができない場合、再生することができる場合、移動・複製フラグによって、ライセンスの複製、移動の可否を判断する。
【0235】
ステップS346において、暗号化コンテンツデータの再生回数ができない(再生回数=0)、または、移動・複製フラグが移動複製禁止(=0)の場合、アクセス制御情報ACmによって、複製移動不可と判断し、ステップS404へ移行し、移動動作は終了する。ステップS346において、暗号化コンテンツデータの再生ができ(再生回数≠0)、かつ、移動・複製フラグが移動のみ可「=1」の場合、ライセンスの移動であると判断され、コントローラ510は、メモリ5215のライセンス領域5215Bにおいて指定されたエントリ番号内のライセンスを削除し(ステップS348)、ステップS350へ移行する。また、暗号化コンテンツデータの再生ができ「再生回数≠0」、かつ、移動・複製フラグが移動複製可「=3」の場合、ライセンスの複製であると判断され、ステップS348を行なわずにステップS350へ移行する。
【0236】
図20を参照して、暗号化処理部5217は、復号処理部5212によって得られたライセンス管理デバイス520に固有の公開暗号鍵KPmc4によってライセンスを暗号化して暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4を生成する(ステップS350)。そして、メモリカード110から送信された禁止クラスリストの更新日時CRLdateが、ライセンス管理デバイス520がCRL領域5215Aに保持している禁止クラスリストの更新日時と比較され、いずれの禁止クラスリストが新しいかが判断され、メモカード100の方が新しいと判断されたとき、ステップS350へ移行する。また、ライセンス管理デバイス520の方が新しいと判断されたときはステップS362へ移行する(ステップS352)。
【0237】
メモリカード110の方が新しいと判断されたとき、暗号化処理部5206は、暗号化処理部5217から出力された暗号化データ{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4をセッションキー発生部5218において発生されたセッションキーKs2によって暗号化を行い、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をバスBS5に出力する。そして、コントローラ5220は、バスBS5上の暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をインタフェース5224および端子5226を介してパーソナルコンピュータ50へ送信する(ステップS354)。
【0238】
パーソナルコンピュータ50のコントローラ510は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受取り、USBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する(ステップS356)。
【0239】
再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受信し、その受信した暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424、およびバスBS4を介して暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受信する(ステップS358)。
【0240】
メモリカード110の復号処理部1412は、暗号化データ{{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をバスBS4を介して受取り、セッションキー発生部1418によって発生されたセッションキーKs2によって復号し、{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4を受理する(ステップS360)。その後、図21に示すステップS374へ移行する。
【0241】
一方、ステップS350において、ライセンス管理デバイス520の方が新しいと判断されると、ライセンス管理デバイス520のコントローラ5220は、バスBS5を介してメモリ5215のCRL領域5215Aから最新の禁止クラスリストのデータCRLを取得する(ステップS362)。
【0242】
暗号化処理部5206は、暗号化処理部5217の出力と、コントローラ5220がバスBS5を介してメモリ5215から取得した禁止クラスリストのデータCRLとを、それぞれ、切換スイッチ5242および5246を介して受取り、セッションキー発生部5218において生成されたセッションキーKs2によって暗号化する。暗号化処理部5206より出力された暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2は、バスBS5、インタフェース5224、および端子5226を介してパーソナルコンピュータ50に出力される(ステップS364)。
【0243】
パーソナルコンピュータ50のコントローラ510は、出力された暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受信し、USBインタフェース550、端子580、およびUSBケーブル70を介して暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を再生端末102へ送信する(ステップS366)。再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受取り、バスBS3およびメモリカードインタフェース1200を介して暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2をメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424、およびバスBS4を介して暗号化データ{CRL//{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4}Ks2を受信する(ステップS368)。
【0244】
メモリカード110において、復号処理部1412は、セッションキー発生部1418から与えられたセッションキーKs2を用いてバスBS4上の受信データを復号し、CRLと{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4とを受理する(ステップ370)。コントローラ1420は、復号処理部1412によって受理されたデータCRLをバスBS4を介して受取り、その受取ったデータCRLによってメモリ1415のCRL領域1415Aを書換える(ステップS372)。
【0245】
ステップS354,S356,S358,S360は、送信側のライセンス管理デバイス520の禁止クラスリストCRLより、受信側のメモリカード110の禁止クラスリストCRLが新しい場合のライセンス鍵Kc等のメモリカード110への移動動作であり、ステップS362,S364,S366,S368,S370,S372は、受信側のメモリカード110の禁止クラスリストCRLより、送信側のライセンス管理デバイス520の禁止クラスリストCRLが新しい場合のライセンス鍵Kc等のメモリカード110への移動動作である。このように、メモリカード110から送られてきた更新日時CRLdateによって、逐一、確認し、できる限り最新の禁止クラスリストCRLをメモリカード110の禁止クラスリストCRLとしてCRL領域1514Aに格納させることによって、ライセンスの破られた機器へのライセンスの流出を防止できる。
【0246】
図21を参照して、ステップS360またはステップS372の後、コントローラ1420の指示によって、暗号化ライセンス{トランザクションID//コンテンツID//Kc//ACm//ACp}Kmc4は、復号処理部1404において、秘密復号鍵Kmc4によって復号され、ライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制御情報ACmおよび再生制御情報ACp)が受理される(ステップS374)。
【0247】
パーソナルコンピュータ50のコントローラ510は、メモリカード110へ移動したライセンスを格納するためのエントリ番号を、USBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する。そうすると、再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介してエントリ番号を受取り、バスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信し、メモリカード110のコントローラ1420は、端子1426およびインタフェース1424を介してエントリ番号を受取り、その受取ったエントリ番号によって指定されるメモリ1415のライセンス領域1415Bに、ステップS374において取得したライセンス(ライセンス鍵Kc、トランザクションID、コンテンツID、アクセス制御情報ACmおよび再生制御情報ACp)を格納する(ステップS378)。
【0248】
パーソナルコンピュータ50のコントローラ510は、メモリカード110のメモリ1415に格納されたライセンスのエントリ番号と、平文のトランザクションIDおよびコンテンツIDを含むメモリカード110へ移動しようとする暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infに対するライセンス管理ファイルを生成し、メモリカード110へ送信する(ステップS380)。
【0249】
メモリカード110のコントローラ1420は、再生端末102を介してライセンス管理ファイルを受信し、メモリ1415のデータ領域1415Cに受信したライセンス管理ファイルを記録する(ステップS382)。
【0250】
そして、パーソナルコンピュータ50のコントローラ510は、ステップS346の判断に従って(ステップS348)、移動であればHDD530に記録されたライセンスのうち、メモリカード110へ移動したライセンスに対するライセンス管理ファイルのライセンスエントリ番号を消去し、ライセンス無に更新する(ステップS386)。その後、コントローラ510は、メモリカード110へ移動しようとする暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとをHDD530から取得し、{Dc}Kc//Dc−infをメモリカード110へ送信する(ステップS390)。メモリカード110のコントローラ1420は、再生端末102を介して{Dc}Kc//Dc−infを受信し(ステップS392)、バスBS4を介して受信した{Dc}Kc//Dc−infをコンテンツファイルとしてメモリ1415のデータ領域1415Cに記録する(ステップS394)。
【0251】
そうすると、パーソナルコンピュータ50のコントローラ510は、メモリカード110へ移動した楽曲を追記した再生リストを作成し(ステップS396)、再生リストと、再生リストの書換指示とをメモリカード110へ送信する(ステップS398)。メモリカード110のコントローラ1420は、再生端末102を介して再生リストファイルと書換指示とを受信し(ステップS400)、バスBS4を介してメモリ1415のデータ領域1415Cに記録された再生リストファイルを受信した再生リストファイルに書換え(ステップS402)、移動動作が終了する(ステップS404)。
【0252】
このようにして、再生端末102に装着されたメモリカード110が正規の機器であること、同時に、クラス証明書Cm3とともに暗号化して送信できた公開暗号鍵KPm3が有効であることを確認した上で、クラス証明書Cm3が禁止クラスリスト、すなわち、公開暗号鍵KPm3による暗号化が破られたクラス証明書リストに記載されていないメモリカードへの移動要求に対してのみコンテンツデータを移動することができ、不正なメモリカードへの移動および解読されたクラス鍵を用いた移動を禁止することができる。
【0253】
また、ライセンス管理デバイスおよびメモリカードでそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行なうことができ、暗号化コンテンツデータおよびライセンスの移動動作におけるセキュリティを向上させることができる。
【0254】
また、説明から明らかなように移動処理として説明したが、コンテンツ供給者によって、ライセンスの複製が許可されている場合には、複製処理として実行され、送信側のライセンス管理デバイス520にライセンスはそのまま保持される。この場合の複製は、配信時にコンテンツ供給者、すなわち、著作権所有者が複製を許可し、アクセス制御情報ACmの移動・複製フラグを移動複製可に設定した場合にのみ許可される行為であり、著作権所有者の権利を阻害した行為ではない。アクセス制御情報はライセンスの一部であり、その機密性は保証されているので、著作権は保護されている。
【0255】
また、この移動動作を用いることによって、配信サーバ10との通信機能を有さない再生端末102のユーザも、パーソナルコンピュータ50を介して暗号化コンテンツデータおよびライセンスをメモリカードに受信することができ、ユーザの利便性は向上する。
【0256】
なお、上記においては、パーソナルコンピュータ50のライセンス管理デバイス520からメモリカード110へのライセンスの移動について説明したが、メモリカード110からライセンス管理デバイス520へのライセンスの移動も、図18〜図21に示すフローチャートに従って行なわれる。つまり、図1において、携帯電話機100によって配信を受け、メモリカード110に格納した暗号化コンテンツデータとライセンスとをパーソナルコンピュータ50へ退避できることになる。
【0257】
また、パーソナルコンピュータ50が配信サーバ10から受信したライセンスをメモリカード110へ移動できるのは、ライセンス管理デバイス520が配信サーバ10からハード的に受信したライセンスだけであり、ライセンス管理モジュール511が配信サーバ10からソフト的に受信した暗号化コンテンツデータおよびライセンスを「移動」という概念によってメモリカードへ送信することはできない。ライセンス管理モジュール511は、ライセンス管理デバイス520よりも低いセキュリティレベルによってソフト的に配信サーバ10との間で認証データおよび暗号鍵等のやり取りを行ない、暗号化コンテンツデータおよびライセンスを受信するので、その受信動作において暗号化が破られる可能性は、ライセンス管理デバイス520によって暗号化コンテンツデータおよびライセンスを受信する場合よりも高い。したがって、低いセキュリティレベルによって受信し、かつ、管理された暗号化コンテンツデータおよびライセンスを、ライセンス管理デバイス520と同じセキュリティレベルによって暗号化コンテンツデータおよびライセンスを受信して管理するメモリカード110へ「移動」という概念によって自由に移すことができるとすると、メモリカード110におけるセキュリティレベルが低下するので、これを防止するためにライセンス管理モジュール511によって受信した暗号化コンテンツデータおよびライセンスを「移動」という概念によってメモリカード110へ送信できなくしたものである。
【0258】
しかしながら、ライセンス管理モジュール511によって受信されたセキュリティレベルの低い暗号化コンテンツデータおよびライセンスを、一切、メモリカード110へ移すことができないとすると、著作権を保護しながらコンテンツデータの自由なコピーを許容するデータ配信システムの趣旨に反し、ユーザの利便性も向上しない。そこで、次に説明するチェックアウトおよびチェックインの概念によってライセンス管理モジュール511によって受信した暗号化コンテンツデータおよびライセンスをメモリカード110へ送信できるようにした。
【0259】
[チェックアウト]
図1および図2に示すデータ配信システムにおいて、配信サーバ10からパーソナルコンピュータ50のライセンス管理モジュール511へ配信された暗号化コンテンツデータおよびライセンスを再生端末102に装着されたメモリカード110に送信する動作について説明する。なお、この動作を「チェックアウト」という。
【0260】
図22〜図25は、図1および図2に示すデータ配信システムにおいて、ライセンス管理モジュール511が配信サーバ10から受信した暗号化コンテンツデータおよびライセンスを、返却を条件として再生端末102に装着されたメモリカード110へ暗号化コンテンツデータおよびライセンスを貸出すチェックアウト動作を説明するための第1〜第4のフローチャートである。携帯電話機100または再生端末102は、チェックアウトにおいてもデータの中継を行なうのみの機器であるため、フローチャートから省略してある。説明するに当たり、図2の再生端末102に装着されたメモリカード110へ移動する場合について説明を行なうが、図1の携帯電話機100に装着されたメモリカード110へ移動する場合についても同様であり、再生端末102を携帯電話機100に読替えれば良い。
【0261】
なお、図20における処理以前に、パーソナルコンピュータ50のユーザは、コンテンツリストファイルに従って、チェックアウトするコンテンツを決定し、コンテンツファイルおよびライセンス管理ファイルが特定できていることを前提として説明する。
【0262】
図22を参照して、パーソナルコンピュータ50のキーボード560からチェックアウトリクエストが入力されると(ステップS500)、コントローラ510は、HDD530に記録されたライセンス管理ファイルから暗号化ライセンスデータを取得する。この場合、ライセンス管理ファイルは、ライセンス管理モジュール511によって暗号化コンテンツデータおよびライセンスを受信し、独自の暗号化を施した暗号化レベル1拡張ライセンスを格納したものである(図17のステップS266参照)。ライセンス管理モジュール511は、チェックアウトしたい暗号化ライセンスデータの暗号化レベル1拡張ライセンスをライセンス管理ファイルから取得し、復号してライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制御情報ACm、再生制御情報ACp)、およびチェックアウト情報を取得する(ステップS502)。
【0263】
ライセンス管理モジュール511は、アクセス制御情報ACmを確認する(ステップS504)。つまり、ライセンス管理モジュール511は、取得したアクセス制御情報ACmに基づいて、再生端末102に装着されたメモリカード110へチェックアウトしようとするライセンスがアクセス制御情報ACmによって暗号化コンテンツデータの再生回数の指定がないか、再生ができないライセンスになっていないか否かを確認する。再生に制限がある場合、暗号化コンテンツデータをチェックアウトしたライセンスによって再生することができず、その暗号化コンテンツデータとライセンスとを再生端末102に装着されたメモリカード110へチェックアウトする意味がないからである。
【0264】
ステップS504において、再生に制限がある場合、ステップS588へ移行し、チェックアウト動作は終了する。ステップS504において、再生に対する制限がない場合、ステップS506へ移行する。そして、ライセンス管理モジュール511は、取得したチェックアウト情報に含まれるチェックアウト可能数が「0」よりも大きいか否かを確認する(ステップS506)。ステップS506において、チェックアウト可能数が「0」以下であれば、すでにチェックアウトできるライセンスがないので、ステップS588へ移行し、チェックアウト動作は終了する。ステップS506において、チェックアウト可能数が「0」よりも大きいとき、ライセンス管理モジュール511は、USBインタフェース550、端子580、およびUSBケーブル70を介して認証データの送信要求を送信する(ステップS508)。再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して認証データの送信要求を受信し、その受信した認証データの送信要求をバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介して認証データの送信要求を受信する(ステップS510)。
【0265】
コントローラ1420は、認証データの送信要求を受信すると、認証データ保持部1400から認証データ{KPm3//Cm3}KPaをバスBS4を介して読出し、その読出した認証データ{KPm3//Cm3}KPaをバスBS4、インタフェース1424および端子1426を介して再生端末102へ出力する。そして、再生端末102のコントローラ1106は、メモリカードインタフェース1200およびバスBS3を介して認証データ{KPm3//Cm3}KPaを受取り、バスBS3、USBインタフェース1112、端子1114およびUSBケーブル70を介してパーソナルコンピュータ50へ認証データ{KPm3//Cm3}KPaを送信する(ステップS512)。
【0266】
そうすると、パーソナルコンピュータ50のライセンス管理モジュール511は、端子580およびUSBインタフェース550を介して認証データ{KPm3//Cm3}KPaを受信し(ステップS514)、その受信した認証データ{KPm3//Cm3}KPaを認証鍵KPaによって復号する(ステップS516)。ライセンス管理モジュール511は、復号処理結果から、処理が正常に行なわれたか否か、すなわち、メモリカード110が正規のメモリカードからのクラス公開暗号鍵KPm3とクラス証明書Cm3とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS518)。正当な認証データであると判断された場合、ライセンス管理モジュール511は、クラス公開暗号鍵KPm3およびクラス証明書Cm3を承認し、受理する。そして、次の処理(ステップS520)へ移行する。正当な認証データでない場合には、非承認とし、クラス公開暗号鍵KPm3およびクラス証明書Cm3を受理しないで処理を終了する(ステップS588)。
【0267】
ここで、ライセンス管理モジュール511はレベル1対応の公開認証鍵KPbしか保持しないため、セキュリティレベルがレベル1へのチェックアウトしか行なえない。
【0268】
認証の結果、正規のメモリカードであることが認識されると、ライセンス管理モジュール511は、次に、メモリカード110のクラス証明書Cm3が禁止クラスリストCRLにリストアップされているかどうかをHDD530に照会し、これらのクラス証明書が禁止クラスリストの対象になっている場合には、ここでチェックアウト動作を終了する(ステップS588)。一方、メモリカード110のクラス証明書が禁止クラスリストの対象外である場合には次の処理に移行する(ステップS520)。
【0269】
図23を参照して、認証の結果、正当な認証データを持つメモリカードを備える再生端末からのアクセスであり、クラスが禁止クラスリストの対象外であることが確認されると、ライセンス管理モジュール511は、チェックアウトを特定するための管理コードであるチェックアウト用トランザクションIDを生成する(ステップS522)。チェックアウト用トランザクションIDは、必ず、メモリカード110に格納されている全てのトランザクションIDと異なる値をとり、かつ、ローカル使用のトランザクションIDとして生成する。そして、ライセンス管理モジュール511は、チェックアウトのためのセッションキーKs22を生成し(ステップS524)、メモリカード110から送信されたクラス公開暗号鍵KPm3によって、生成したセッションキーKs22を暗号化する(ステップS526)。そして、ライセンス管理モジュール511は、暗号化データ{Ks22}Km3にチェックアウト用トランザクションIDを追加したチェックアウト用トランザクションID//{Ks22}Km3をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する(ステップS528)。そうすると、再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介してチェックアウト用トランザクションID//{Ks22}Km3を受信し、その受信したチェックアウト用トランザクションID//{Ks22}Km3をメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介してチェックアウト用トランザクションID//{Ks22}Km3を受信する(ステップS530)。復号処理部1422は、コントローラ1420からバスBS4を介して{Ks22}Km3を受取り、Km保持部1421からのクラス秘密復号鍵Km3によって{Ks22}Km3を復号してセッションキーKs22を受理する(ステップS532)。そして、セッションキー発生部1418は、セッションキーKs2を生成し(ステップS534)、コントローラ1420は、バスBS4を介してメモリ1415のCRL領域1415Aから禁止クラスリストの更新日時CRLdateを取得し、その取得した更新日時CRLdateを切換スイッチ1446へ与える(ステップS536)。
【0270】
そうすると、暗号化処理部1406は、切換スイッチ1446の端子を順次切換えることによって取得したセッションキーKs2、個別公開暗号鍵KPmc4および更新日時CRLdateを、復号処理部1404によって復号されたセッションキーKs22によって暗号化し、暗号化データ{Ks2//KPmc4//CRLdate}Ks22を生成する。コントローラ1420は、暗号化データ{Ks2//KPmc4//CRLdate}Ks22をバスBS4、インタフェース1424および端子1426を介して再生端末102へ出力し、再生端末102のコントローラ1106は、メモリカードインタフェース1200を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受取る。そして、コントローラ1106は、USBインタフェース1112、端子1114、およびUSBケーブル70を介してパーソナルコンピュータ50へ送信する(ステップS538)。
【0271】
パーソナルコンピュータ50のライセンス管理モジュール511は、端子580およびUSBインタフェース550を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受信し(ステップS540)、その受信した暗号化データ{Ks2//KPmc4//CRLdate}Ks22をセッションキーKs22によって復号し、セッションキーKs2、個別公開暗号鍵KPmc4および更新日時CRLdateを受理する(ステップS542)。そして、ライセンス管理モジュール511は、再生端末102に装着されたメモリカードから他のメモリカード等へライセンスが移動/複製されないチェックアウト用アクセス制御情報ACmを生成する。すなわち、再生回数を無制限(=255)、移動・複製フラグを移動複製不可(=3)にしたアクセス制御情報ACmを生成する(ステップS544)。
【0272】
図24を参照して、ライセンス管理モジュール511は、ステップS542において受信したライセンス管理モジュール511に固有の公開暗号鍵KPmc4によってライセンスを暗号化して暗号化データ{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4を生成する(ステップS546)。そして、メモリカード110から送信された禁止クラスリストの更新日時CRLdateが、ライセンス管理モジュール511が管理するHDD530に保持される禁止クラスリストの更新日時と比較され、いずれの禁止クラスリストが新しいかが判断され、メモリカード110の方が新しいと判断されたとき、ステップS550へ移行する。また、逆に、ライセンス管理モジュール511の方が新しいときはステップS556へ移行する(ステップS548)。
【0273】
メモリカード110の方が新しいと判断されたとき、ライセンス管理モジュール511は、暗号化データ{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4をセッションキーKs2によって暗号化を行い、暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する(ステップS550)。
【0274】
再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2を受信し、その受信した暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2をバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、端子1424、およびバスBS4を介して暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2を受信する(ステップS552)。
【0275】
メモリカード110の復号処理部1412は、暗号化データ{{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2をバスBS4を介して受取り、セッションキー発生部1418によって発生されたセッションキーKs2によって復号し、{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4を受理する(ステップS554)。その後、図25に示すステップS566へ移行する。
【0276】
一方、ステップS548において、ライセンス管理モジュール511の禁止クラスリストの方が新しい判断されると、ライセンス管理モジュール511は、HDD530からライセンス管理モジュールの管理する禁止クラスリストCRLを取得する(ステップS556)。
【0277】
そして、ライセンス管理モジュール511は、{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4と、HDD530から取得した禁止クラスリストのデータCRLとをセッションキーKs2によって暗号化し、その暗号化データ{CRL//{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2をUSBインタフェース550、端子580およびUSBケーブル70を介して再生端末102へ送信する(ステップS558)。再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{CRL//{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2を受信し、その受信した暗号化データ{CRL//{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2をバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ出力する。そうすると、メモリカード110のコントローラ1420は、端子1426、インタフェース1424、およびバスBS4を介して暗号化データ{CRL//{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4}Ks2を受信する(ステップS560)。
【0278】
メモリカード110において、復号処理部1412は、セッションキー発生部1418から与えられたセッションキーKs2を用いてバスBS4上の受信データを復号し、CRLと{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4とを受理する(ステップ560)。コントローラ1420は、復号処理部1412によって受理されたデータCRLをバスBS4を介して受取り、その受取ったデータCRLによってメモリ1415のCRL領域1415Aを書換える(ステップS564)。
【0279】
ステップS550,S552,S554は、送信側のライセンス管理モジュール511の禁止クラスリストCRLより、受信側のメモリカード110の禁止クラスリストCRLが新しい場合のライセンス鍵Kc等のメモリカード110へのチェックアウト動作であり、ステップS556,S558,S560,S562,S564は、受信側のメモリカード110の禁止クラスリストCRLより、送信側のライセンス管理モジュール511の禁止クラスリストCRLが新しい場合のライセンス鍵Kc等のメモリカード110へのチェックアウト動作である。このように、メモリカード110から送られてきた禁止クラスリストの更新日時CRLdateによって、逐一、確認し、できる限り最新の禁止クラスリストCRLをHDD530から取得し、メモリカード110の禁止クラスリストCRLとしてCRL領域1514Aに格納させることによって、機器へのライセンスの流出を防止できる。
【0280】
図25を参照して、ステップS554またはステップS564の後、コントローラ1420の指示によって、暗号化ライセンス{チェックアウト用トランザクションID//コンテンツID//Kc//チェックアウト用ACm//ACp}Kmc4は、復号処理部1404において、秘密復号鍵Kmc4によって復号され、ライセンス(ライセンス鍵Kc、チェックアウト用トランザクションID、コンテンツID、チェックアウト用ACmおよび再生制御情報ACp)が受理される(ステップS556)。
【0281】
パーソナルコンピュータ50のコントローラ510は、メモリカード110へ移動したライセンスを格納するためのエントリ番号を、USBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信しする(ステップS567)。そうすると、再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介してエントリ番号を受取り、その受取ったエントリ番号によって指定されるメモリ1415のライセンス領域1415Bに、ステップS566において取得したライセンス(ライセンス鍵Kc、チェックアウト用トランザクションID、コンテンツID、チェックアウト用ACmおよび再生制御情報ACp)を格納する(ステップS568)。
【0282】
パーソナルコンピュータ50のコントローラ510は、メモリカード110のメモリ1415に格納されたライセンスのエントリ番号と、平文のチェックアウト用トランザクションIDおよびコンテンツIDを含むメモリカード110へ移動しようとする暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infに対するライセンス管理ファイルを生成し、メモリカード110へ送信する(ステップS569)。
【0283】
メモリカード110のコントローラ1420は、再生端末102を介してライセンス管理ファイルを受信し、その受信したライセンス管理ファイルをメモリ1415のデータ領域1415Cに記録する(ステップS570)。
【0284】
パーソナルコンピュータ50のライセンス管理モジュール511は、チェックアウト可能数を1減算し(ステップS571)、トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制御情報ACm、再生制御情報ACp、および更新したチェックアウト情報(チェックアウト可能数と、チェックアウト用トランザクションIDと、チェックアウト先のメモリカード110の個別公開暗号鍵KPmc4を追加したもの)に独自の暗号を施した新たな暗号化レベル1拡張ライセンスを生成し、その生成した暗号化ライセンスデータによってHDD530に記録されたライセンス管理ファイルのライセンスデータを更新記録する(ステップS572)。チェックアウト先の個別公開鍵KPmc4は、メモリカードの耐タンパモジュール内に格納され、かつ、認証による暗号を用いたセキュリティの高い通信手段によって入手でき、メモリカードごとに固有値を持つため、メモリカードを特定する識別情報として適している。
【0285】
ライセンス管理モジュール511は、メモリカード110へチェックアウトしようとする暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとをHDD530から取得し、{Dc}Kc//Dc−infをメモリカード110へ送信する(ステップS574)。メモリカード110のコントローラ1420は、再生端末102を介して{Dc}Kc//Dc−infを受信し(ステップS576)、バスBS4を介して受信した{Dc}Kc//Dc−infをコンテンツファイルとしてメモリ1415のデータ領域1415Cに記録する(ステップS578)。
【0286】
そうすると、パーソナルコンピュータ50のライセンス管理モジュール511は、メモリカード110へチェックアウトした楽曲を追記した再生リストを作成し(ステップS580)、再生リストと、再生リストの書換指示とをメモリカード110へ送信する(ステップS582)。メモリカード110のコントローラ1420は、再生端末102を介して再生リストと書換指示とを受信し(ステップS584)、バスBS4を介してメモリ1415のデータ領域1415Cに記録されている再生リストファイルを受信した再生リストファイルに書換え(ステップS586)、チェックアウト動作が終了する(ステップS588)。
【0287】
このようにして、再生端末102に装着されたメモリカード110が正規の機器であること、同時に、クラス証明書Cm3とともに暗号化して送信できた公開暗号鍵KPm3が有効であることを確認した上で、クラス証明書Cm3が禁止クラスリスト、すなわち、公開暗号鍵KPm3による暗号化が破られたクラス証明書リストに記載されていないメモリカードへのチェックアウト要求に対してのみコンテンツデータをチェックアウトすることができ、不正なメモリカードへのチェックアウトおよび解読されたクラス鍵を用いたチェックアウトを禁止することができる。
【0288】
また、ライセンス管理モジュールおよびメモリカードでそれぞれ生成される暗号鍵をやり取りし、お互いが受領した暗号鍵を用いた暗号化を実行して、その暗号化データを相手方に送信することによって、それぞれの暗号化データの送受信においても事実上の相互認証を行なうことができ、暗号化コンテンツデータおよびライセンスのチェックアウト動作におけるセキュリティを向上させることができる。
【0289】
また、このチェックアウト動作を用いることによって、配信サーバ10との通信機能を有さない再生端末102のユーザも、パーソナルコンピュータ50がソフト的に受信した暗号化コンテンツデータおよびライセンスをメモリカードに受信することができ、ユーザの利便性は向上する。
【0290】
[チェックイン]
次に、図1および図2に示すデータ配信システムにおいて、パーソナルコンピュータ50のライセンス管理モジュール511からメモリカード110へチェックアウトされた暗号化コンテンツデータおよびライセンスをライセンス管理モジュール511へ戻す動作について説明する。なお、この動作を「チェックイン」という。
【0291】
図26〜28は、図22〜25を参照して説明したチェックアウト動作によってメモリカード110へ貸出された暗号化コンテンツデータおよびライセンスを返却して貰うチェックイン動作を説明するための第1〜第3のフローチャートである。携帯電話機100または再生端末102は、チェックインにおいてもデータの中継を行うのみの機器であるため、フローチャートから省略してある。説明するに当たり、図2の再生端末102に装着されたメモリカード110から移動する場合について説明を行うが、図1の携帯電話機100に装着されたメモリカード110から移動する場合についても同様であり、再生端末102を携帯電話機100に読み替えれば良い。
【0292】
なお、図26における処理以前に、パーソナルコンピュータ50のユーザは、コンテンツリストファイルに従って、チェックインするコンテンツを決定し、コンテンツファイルおよびライセンス管理ファイルが特定できていることを前提として説明する。
【0293】
図26を参照して、パーソナルコンピュータ50のキーボード560からチェックインリクエストが入力されると(ステップS600)、ライセンス管理モジュール511は、HDD530に記録されたライセンス管理ファイルから暗号化レベル1拡張ライセンスデータを取得し、復号してライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制御情報ACm、再生制御情報ACp)、およびチェックアウト情報(チェックアウト可能数、チェックアウト用トランザクションID、チェックアウト先のメモリカードの個別公開暗号鍵KPmcx)を取得する(ステップS602)。そして、ライセンス管理モジュール511は、認証データの送信要求をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する(ステップS604)。そうすると、再生端末102のコントローラ1106は、端子1114、USBインタフェース1112およびバスBS3を介して認証データの送信要求を受信し、バスBS3およびメモリカードインタフェース1200を介して認証データの送信要求をメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介して認証データの送信要求を受信する(ステップS606)。
【0294】
コントローラ1420は、認証データの送信要求を受信すると、認証データ保持部1400から認証データ{KPm3//Cm3}KPaをバスBS4を介して読出し、その読出した認証データ{KPm3//Cm3}KPaをバスBS4、インタフェース1424および端子1426を介して再生端末102へ出力する。そして、再生端末102のコントローラ1106は、メモリカードインタフェース1200およびバスBS3を介して認証データ{KPm3//Cm3}KPaを受取り、バスBS3、USBインタフェース1112、端子1114およびUSBケーブル70を介してパーソナルコンピュータ50へ認証データ{KPm3//Cm3}KPaを送信する(ステップS608)。
【0295】
そうすると、パーソナルコンピュータ50のライセンス管理モジュール511は、端子580およびUSBインタフェース550を介して認証データ{KPm3//Cm3}KPaを受信し(ステップS610)、その受信した認証データ{KPm3//Cm3}KPaを認証鍵KPaによって復号する(ステップS612)。そして、ライセンス管理モジュール511は、復号処理結果から、処理が正常に行なわれたか否か、すなわち、メモリカード110が正規のメモリカードからのクラス公開暗号鍵KPm3とクラス証明書Cm3とを保持することを認証するために、正規の機関でその正当性を証明するための暗号を施した認証データを受信したか否かを判断する認証処理を行なう(ステップS614)。正当な認証データであると判断された場合、ライセンス管理モジュール511は、クラス公開暗号鍵KPm3およびクラス証明書Cm3を承認し、受理する。そして、次の処理(ステップS616)へ移行する。正当な認証データでない場合には、非承認とし、クラス公開暗号鍵KPm3およびクラス証明書Cm3を受理しないで処理を終了する(ステップS670)。
【0296】
認証の結果、正規のメモリカードであることが認識されると、ライセンス管理モジュール511は、ダミートランザクションIDを生成する(ステップS616)。ダミー用トランザクションIDは、必ず、メモリカード110に格納されている全てのトランザクションIDと異なる値をとり、かつ、ローカル使用のトランザクションIDとして生成される。そして、ライセンス管理モジュール511は、チェックイン用のセッションキーKs22を生成し(ステップS618)、生成したセッションキーKs22をメモリカード110から受信したクラス公開暗号鍵KPm3によって暗号化して暗号化データ{Ks22}Km3を生成し(ステップS620)、暗号化データ{Ks22}Km3にダミートランザクションIDを追加したダミートランザクションID//{Ks22}Km3をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する(ステップS622)。
【0297】
図27を参照して、再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介してダミートランザクションID//{Ks22}Km3を受信し、その受信したダミートランザクションID//{Ks22}Km3をメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424およびバスBS4を介してダミートランザクションID//{Ks22}Km3を受信する(ステップS624)。復号処理部1422は、コントローラ1420からバスBS4を介して{Ks22}Km3を受取り、Km保持部1421からのクラス秘密復号鍵Km3によって{Ks22}Km3を復号してセッションキーKs22を受理する(ステップS626)。そして、セッションキー発生部1418は、セッションキーKs2を生成し(ステップS628)、コントローラ1420は、バスBS4を介してメモリ1415のCRL領域1415Aから禁止クラスリストCRLの更新日時dateを取得し、その取得した更新日時CRLdateを切換スイッチ1446へ与える(ステップS630)。
【0298】
そうすると、暗号化処理部1406は、切換スイッチ1446の端子を順次切換えることによって取得したセッションキーKs2、個別公開暗号鍵KPmc4および更新日時CRLdateを、復号処理部1422によって復号され、かつ、切換スイッチ1442の端子Paを介して取得されたセッションキーKs22によって暗号化し、暗号化データ{Ks2//KPmc4//CRLdate}Ks22を生成する。コントローラ1420は、暗号化データ{Ks2//KPmc4//CRLdate}Ks22をバスBS4、インタフェース1424および端子1426を介して再生端末102へ出力し、再生端末102のコントローラ1106は、メモリカードインタフェース1200を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受取る。そして、コントローラ1106は、USBインタフェース1112、端子1114、およびUSBケーブル70を介してパーソナルコンピュータ50へ送信する(ステップS632)。
【0299】
パーソナルコンピュータ50のライセンス管理モジュール511は、端子580およびUSBインタフェース550を介して暗号化データ{Ks2//KPmc4//CRLdate}Ks22を受信し(ステップS634)、その受信した暗号化データ{Ks2//KPmc4//CRLdate}Ks22をセッションキーKs22によって復号し、セッションキーKs2、個別公開暗号鍵KPmc4および更新日時CRLdateを受理する(ステップS636)。
【0300】
そうすると、ライセンス管理モジュール511は、受理した個別公開暗号鍵KPmc4がHDD530に記録されたライセンス管理ファイルから取得したチェックアウト情報に含まれる否かを、すなわち、チェックアウトしようとするライセンスのチェックアウト用トランザクションIDに対応して格納されている個別公開暗号鍵KPmcxと一致するか否かを確認する(ステップS638)。この個別公開暗号鍵KPmc4は、暗号化コンテンツデータおよびライセンスのチェックアウトの際に、更新されたチェックアウト情報に含まれるものである(図25のステップS572を参照)。したがって、暗号化コンテンツデータ等のチェックアウト先に対応する個別公開暗号鍵KPmc4をチェックアウト情報に含ませることによってチェックインの際にチェックアウトしたチェックアウト先を容易に特定することができる。
【0301】
ステップS638において、個別公開暗号鍵KPmc4がチェックアウト情報に含まれていないときチェックイン動作は終了する(ステップS670)。ステップS638において、個別公開暗号鍵KPmc4がチェックアウト情報に含まれていると、ライセンス管理モジュール511は、ダミートランザクションIDを含むダミーライセンス(ダミートランザクションID、ダミーコンテンツID、ダミーKc、ダミーACm、およびダミーACp)を個別公開暗号鍵KPmc4によって暗号化し、暗号化データ{ダミートランザクションID//ダミーコンテンツID//ダミーKc//ダミーACm//ダミーACp}Kmc4を生成する(ステップS640)。
【0302】
ライセンス管理モジュール511は、暗号化データ{ダミートランザクションID//ダミーコンテンツID//ダミーKc//ダミーACm//ダミーACp}Kmc4をセッションキーKs2によって暗号化を行い、暗号化データ{{ダミートランザクションID//ダミーコンテンツID//ダミー鍵Kc//ダミーACm//ダミーACp}Kmc4}Ks2を生成し、その生成した暗号化データ{{ダミートランザクションID//ダミーコンテンツID//ダミーKc//ダミーACm//ダミーACp}Kmc4}Ks2をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する(ステップS642)。
【0303】
再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介して暗号化データ{{ダミートランザクションID//ダミーコンテンツID//ダミーライセンス鍵Kc//ダミーACm//ダミーACp}Kmc4}Ks2を受信する。コントローラ1106は、受信した暗号化データ{{ダミートランザクションID//ダミーコンテンツID//ダミーKc//ダミーACm//ダミーACp}Kmc4}Ks2をバスBS3およびメモリカードインタフェース1200を介してメモリカード110へ送信する。そして、メモリカード110のコントローラ1420は、端子1426、インタフェース1424、およびバスBS4を介して{{ダミートランザクションID//ダミーコンテンツID//ダミーKc//ダミーACm//ダミーACp}Kmc4}Ks2を受信する(ステップS644)。
【0304】
図28を参照して、メモリカード110の復号処理部1412は、{{ダミートランザクションID//ダミーコンテンツID//ダミーKc//ダミーACm//ダミーACp}Kmc4}Ks2をバスBS4を介して受取り、セッションキー発生部1418によって発生されたセッションキーKs2によって復号し、{ダミートランザクションID//ダミーコンテンツID//Kc//ダミーACm//ダミーACp}Kmc4を受理する(ステップS646)。そして、復号処理部1404は、暗号化データ{ダミートランザクションID//ダミーコンテンツID//ダミーKc//ダミーACm//ダミーACp}Kmc4を復号処理部1412から受取り、その受取った暗号化データ{ダミートランザクションID//ダミーコンテンツID//ダミーKc//ダミーACm//ダミーACp}Kmc4をKmc保持部1402からの個別秘密復号鍵Kmc4によって復号し、ダミーライセンス(ダミートランザクションID、ダミーコンテンツID、ダミーKc、ダミーACm、およびダミーACp)を受理する(ステップS648)。
【0305】
パーソナルコンピュータ50のコントローラ510は、メモリカード110のデータ領域1415Cに記録されているチェックアウトしたライセンスに対応するライセンス管理ファイルからエントリ番号を取得して、ダミーライセンスを格納するためのエントリ番号として、USBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する(ステップS649)。そうすると、再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介してエントリ番号を受取り、その受取ったエントリ番号によって指定されるメモリ1415のライセンス領域1415Bに、ステップS648において取得したダミーライセンス(ダミートランザクションID、ダミーコンテンツID、ダミーKc、ダミーACm、およびダミーACp)をメモリ1415のライセンス領域1415Bの指定されたエントリに格納する(ステップS650)。このようにダミーライセンスをチェックインしたいライセンスに対して上書きすることによってメモリカード110へチェックアウトしたライセンスを消去することができる。
【0306】
その後、パーソナルコンピュータ50のライセンス管理モジュール511は、チェックアウト情報内のチェックアウト可能数を1だけ増やし、チェックアウト用トランザクションID、およびチェックアウト先のメモリカードの個別公開鍵KPmc4を削除してチェックアウト情報を更新する(ステップS652)。そして、ライセンス管理モジュール511は、トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制御情報ACm、および再生制御情報ACpと更新したチェックアウト情報とに独自の暗号化を施して暗号化ライセンスデータを作成し、HDD530に記録されたライセンス管理ファイルのライセンスデータを更新記録する(ステップS654)。
【0307】
そうすると、ライセンス管理モジュール511は、メモリカード100のメモリ1415のデータ領域1415Cに記録されているチェックアウトしたライセンスに対するコンテンツファイル(暗号化コンテンツデータ{Dc}Kcと付加情報Dc−inf)およびライセンス管理ファイルとを削除する削除指示をUSBインタフェース550、端子580、およびUSBケーブル70を介して再生端末102へ送信する(ステップS656)。再生端末102のコントローラ1106は、端子1114、USBインタフェース1112、およびバスBS3を介してコンテンツファイル(暗号化コンテンツデータ{Dc}Kcと付加情報Dc−inf)およびライセンス管理ファイルの削除指示を受信し、バスBS3およびメモリカードインタフェース1200を介して受信したコンテンツファイル(暗号化コンテンツデータ{Dc}Kcと付加情報Dc−inf)およびライセンス管理ファイルの削除指示をメモリカード110へ出力する。そうすると、メモリカード110のコントローラ1420は、端子1426、インタフェース1424、およびバスBS4を介してコンテンツファイル(暗号化コンテンツデータ{Dc}Kcと付加情報Dc−inf)およびライセンス管理ファイルの削除指示を受信する(ステップS658)。そして、コントローラ1420は、バスBS4を介してメモリ1415のデータ領域1415Cに記録されたコンテンツファイル(暗号化コンテンツデータ{Dc}Kcと付加情報Dc−inf)およびライセンス管理ファイルを削除する(ステップS660)。
【0308】
パーソナルコンピュータ50のライセンス管理モジュール511は、チェックインした楽曲を削除した再生リストを作成し(ステップS662)、再生リストと、再生リストの書換指示とをメモリカード110へ送信する(ステップS664)。メモリカード110のコントローラ1420は、再生端末102を介して再生リストファイルと書換指示とを受信し(ステップS666)、バスBS4を介してメモリ1415のデータ領域1415Cの再生リストファイルを受信した再生リストファイルに書換え(ステップS668)、チェックイン動作が終了する(ステップS670)。
【0309】
このように、暗号化コンテンツデータおよびライセンスをチェックアウトした相手先から暗号化コンテンツデータおよびライセンスを返却して貰うことによって、移動が禁止されているセキュリティレベルの低いライセンス管理モジュールからライセンスが、セキュリティレベルの高いメモリカードへ貸出され、メモリカードにおいてセキュリティレベルの低いライセンス管理モジュールで取得したライセンスを受信できるため、再生端末においてセキュリティレベルの低いライセンス管理モジュールで取得したライセンスによって暗号化コンテンツデータを再生して楽しむことができる。
【0310】
また、メモリカードへ貸出されたライセンスは、アクセス制御情報ACmによってメモリカードから他の記録機器(メモリカード、ライセンス管理デバイスおよびライセンス管理モジュール)に対して、チェックアウトしたライセンスが出力できないよう指定されているため、貸出したライセンスが流出することはない。貸出したライセンス管理モジュールに対してチェックイン(返却)することで、貸出したライセンスの権利が、貸出したライセンス管理モジュールに戻るようになっている。したがって、著作者の意に反して複製ができることを許すものではなく、セキュリティレベルが低下する処理ではなく、著作権も保護されている。
【0311】
[再生]
次に、図29および図30を参照してメモリカード110にチェックアウトされたコンテンツデータの再生端末100(コンテンツ再生デバイスとも言う、以下同じ)における再生動作について説明する。なお、図29における処理以前に、再生端末102のユーザは、メモリカード100のデータ領域1415Cに記録されている再生リストに従って、再生するコンテンツ(楽曲)を決定し、コンテンツファイルを特定し、ライセンス管理ファイルを取得していることを前提として説明する。
【0312】
図29を参照して、再生動作の開始とともに、再生端末100のユーザから操作パネル1108を介して再生指示が再生端末100にインプットされる(ステップS700)。そうすると、コントローラ1106は、バスBS3を介して認証データ保持部1500から認証データ{KPp1//Cp1}KPaを読出し、メモリカードインタフェース1200を介してメモリカード110へ認証データ{KPp1//Cp1}KPaを出力する(ステップS702)。
【0313】
そうすると、メモリカード110は、認証データ{KPp1//Cp1}KPaを受理する(ステップS704)。そして、メモリカード110の復号処理部1408は、受理した認証データ{KPp1//Cp1}KPaを、KPa保持部1414に保持された公開認証鍵KPaによって復号し(ステップS706)、コントローラ1420は復号処理部1408における復号処理結果から、認証処理を行なう。すなわち、認証データ{KPp1//Cp1}KPaが正規の認証データであるか否かを判断する認証処理を行なう(ステップS708)。復号できなかった場合、ステップS748へ移行し、再生動作は終了する。認証データが復号できた場合、コントローラ1420は、取得した証明書Cm1がメモリ1415のCRL領域1415Aから読出した禁止クラスリストCRLに含まれるか否かを判断する(ステップS710)。この場合、クラス証明書Cp1には識別番号が付与されており、コントローラ1420は、受理したクラス証明書Cp1の識別番号が禁止クラスリストデータの中に存在するか否かを判別する。クラス証明書Cp1が禁止クラスリストデータに含まれると判断されると、ステップS748へ移行し、再生動作は終了する。
【0314】
ステップS710において、クラス証明書Cp1が禁止クラスリストデータCRLに含まれていないと判断されると、メモリカード110のセッションキー発生部1418は、再生セッション用のセッションキーKs2を発生させる(ステップS712)。そして、暗号処理部1410は、セッションキー発生部1418からのセッションキーKs2を、復号処理部1408で復号された公開暗号鍵KPp1によって暗号化した{Ks2}Kp1をバスBS3へ出力する(ステップS714)。そうすると、コントローラ1420は、インタフェース1424および端子1426を介してメモリカードインタフェース1200へ{Ks2}Kp1を出力する(ステップS716)。再生端末100のコントローラ1106は、メモリカードインタフェース1200を介して{Ks2}Kp1を取得する。そして、Kp1保持部1502は、秘密復号鍵Kp1を復号処理部1504へ出力する。
【0315】
復号処理部1504は、Kp1保持部1502から出力された、公開暗号鍵KPp1と対になっている秘密復号鍵Kp1によって{Ks2}Kp1を復号し、セッションキーKs2を暗号処理部1506へ出力する(ステップS718)。そうすると、セッションキー発生部1508は、再生セッション用のセッションキーKs3を発生させ、セッションキーKs3を暗号処理部1506へ出力する(ステップS720)。暗号処理部1506は、セッションキー発生部1508からのセッションキーKs3を復号処理部1504からのセッションキーKs2によって暗号化して{Ks3}Ks2を出力し、コントローラ1106は、バスBS3およびメモリカードインタフェース1200を介して{Ks3}Ks2をメモリカード110へ出力する(ステップS722)。
【0316】
そうすると、メモリカード110の復号処理部1412は、端子1426、インタフェース1424、およびバスBS4を介して{Ks3}Ks2を入力する(ステップS724)。
【0317】
図30を参照して、復号処理部1412は、セッションキー発生部1418によって発生されたセッションキーKs2によって{Ks3}Ks2を復号して、再生端末100で発生されたセッションキーKs3を受理する(ステップS726)。
【0318】
再生端末のコントローラ1106は、メモリカード110から事前に取得した再生リクエスト曲のライセンス管理ファイルからライセンスの格納されているエントリ番号を取得し、メモリカードインタフェース1200を介してメモリカード110へ取得したエントリ番号を出力する(ステップS727)。
【0319】
エントリ番号が入力に応じて、コントローラ1420は、アクセス制限情報ACmを確認する(ステップS728)。
【0320】
ステップS728においては、メモリのアクセスに対する制限に関する情報であるアクセス制限情報ACmを確認することにより、具体的には、再生回数を確認することにより、既に再生不可の状態である場合には再生動作を終了し、アクセス制限情報の再生回数に制限がある場合にはアクセス制限情報ACmの再生回数を更新〈1減ずる)した後に次のステップに進む(ステップS730)。一方、アクセス制限情報ACmの再生回数によって再生が制限されていない場合においては、ステップS730はスキップされ、アクセス制限情報ACmの再生回数は更新されることなく処理が次のステップ(ステップS732)に進行される。
【0321】
ステップS728において、当該再生動作において再生が可能であると判断された場合には、メモリ1415のライセンス領域1415Bに記録された再生リクエスト曲のライセンス鍵Kcおよび再生制御情報ACpがバスBS4上に出力される(ステップS732)。
【0322】
得られたライセンス鍵Kcと再生制御情報ACpは、切換スイッチ1446の接点Pfを介して暗号化処理部1406に送られる。暗号化処理部1406は、切換スイッチ1442の接点Pbを介して復号処理部1412より受けたセッションキーKs3によって切換スイッチ1446を介して受けたライセンス鍵Kcと再生制御情報ACpとを暗号化し、{Kc//ACp}Ks3をバスBS4に出力する(ステップS734)。
【0323】
バスBS4に出力された暗号化データは、インタフェース1424、端子1426、およびメモリカードインタフェース1200を介して再生端末100に送出される。
【0324】
再生端末100においては、メモリカードインタフェース1200を介してバスBS3に伝達される暗号化データ{Kc//ACp}Ks3を復号処理部1510によって復号処理を行ない、ライセンス鍵Kcおよび再生制御情報ACpを受理する(ステップS736)。復号処理部1510は、ライセンス鍵Kcを復号処理部1516に伝達し、再生制御情報ACpをバスBS3に出力する。
【0325】
コントローラ1106は、バスBS3を介して、再生制御情報ACpを受理して再生の可否の確認を行なう(ステップS740)。
【0326】
ステップS740においては、再生制御情報ACpによって再生不可と判断される場合には、再生動作は終了される。
【0327】
ステップS740において再生可能と判断された場合、コントローラ1106は、メモリカードインタフェース1200を介してメモリカード110に暗号化コンテンツデータ{Dc}Kcを要求する。そうすると、メモリカード110のコントローラ1420は、メモリ1415から暗号化コンテンツデータ{Dc}Kcを取得し、バスBS4、インタフェース1424、および端子1426を介してメモリカードインタフェース1200へ出力する(ステップS742)。
【0328】
再生端末100のコントローラ1106は、メモリカードインタフェース1200を介して暗号化コンテンツデータ{Dc}Kcを取得し、バスBS3を介して暗号化コンテンツデータ{Dc}Kcを復号処理部1516へ与える。
【0329】
そして、復号処理部1516は、暗号化コンテンツデータ{Dc}Kcを復号処理部1510から出力されたライセンス鍵Kcによって復号してコンテンツデータDcを取得する(ステップS744)。
【0330】
そして、復号されたコンテンツデータDcは音楽再生部1518へ出力され、音楽再生部1518は、コンテンツデータを再生し、DA変換器1519はディジタル信号をアナログ信号に変換して端子1530へ出力する。そして、音楽データは端子1530から外部出力装置を介してヘッドホーン130へ出力されて再生される(ステップS746)。これによって再生動作が終了する。
【0331】
上記においては、メモリカード110に記録された暗号化コンテンツデータを再生端末100によって再生する場合について説明したが、パーソナルコンピュータ50に、図7に示すコンテンツ再生デバイス1550を内蔵することによってライセンス管理モジュール511およびライセンス管理デバイス520によって受信された暗号化コンテンツデータを再生することが可能である。
【0332】
図31を参照して、パーソナルコンピュータ50のライセンス管理モジュール511またはライセンス管理デバイス520によって受信された暗号化コンテンツデータおよびライセンスの管理について説明する。パーソナルコンピュータ50のHDD530は、コンテンツリストファイル150と、コンテンツファイル1531〜1535と、ライセンス管理ファイル1521〜1525とを含む。
【0333】
コンテンツリストファイル150は、所有するコンテンツの一覧形式のデータファイルであり、個々のコンテンツに対する情報(楽曲名、アーティスト名など)と、コンテンツファイルとライセンス管理ファイルとを示す情報(ファイル名)などが含まれている。個々のコンテンツに対する情報は受信時に付加情報Dc−infから必要な情報を取得して自動的に、あるいは、ユーザの指示によって記載される。また、コンテンツファイルのみ、ライセンス管理ファイルのみの再生できないコンテンツについても一覧の中で管理することが可能である。
【0334】
コンテンツファイル1531〜1535は、ライセンス管理モジュール511またはライセンス管理デバイス520によって受信された暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとを記録するファイルであり、コンテンツごとに設けられる。
【0335】
また、ライセンス管理ファイル1521〜1525は、それぞれ、コンテンツファイル1531〜1535に対応して記録されており、ライセンス管理モジュール511またはライセンス管理デバイス520によって受信されたライセンスを管理するためのファイルである。これまでの説明でも明らかなように、ライセンスは通常参照することができないが、ライセンス鍵Kcを除く他の情報は、ユーザが書き換えることさえできなければ著作権保護の点では問題ない。しかし、運用においてライセンス鍵Kcと分離して管理することはセキュリティの低下につながるため好ましくない。そこで、ライセンス配信を受ける場合に平文にて参照できるトランザクションID、コンテンツIDや、ライセンス購入条件ACから容易に判断できるアクセス制御情報ACmおよび再生制御情報ACpにて制限されている事項の写しを平文にて記録する。さらに、ライセンス管理デバイス520にライセンスが記録された場合にはエントリ番号を、ライセンス管理モジュール511の管理下にあるライセンスについては暗号化レベル1拡張ライセンス(ライセンスとチックアウト情報)を記録する。暗号化レベル1拡張ライセンスは、ライセンス管理モジュール511による独自な暗号化が施されている。独自な暗号化とは、パーソナルコンピュータ50のコントローラ(CPU)が個別に持つ番号やパーソナルコンピュータの起動プログラムであるBIOSのバージョン番号等のパーソナルコンピュータ50から得られるパーソナルコンピュータ50を特定できる情報に関連付けて暗号化を行なうものである。したがって、生成された暗号化レベル1ライセンスは、パーソナルコンピュータ50に独自なライセンスになり、複製されても他の装置では意味を持たない。ライセンス管理デバイス520のメモリ5215のライセンス領域525Bは、高いセキュリティレベル(レベル2)でライセンスを記録する耐タンパモジュールで構成された記録領域である。ライセンス(ライセンス鍵Kc、再生制御情報ACp、アクセス制限情報ACm、ライセンスID)を記録するためにN個のエントリを備えている。
【0336】
図31を参照して、ライセンス管理ファイル1521,1524は、それぞれ、エントリ番号0,1を含む。これは、ライセンス管理デバイス520によって受信され、ライセンス管理デバイス520のメモリ5215のライセンス領域5215Bにおいて管理されるライセンス(ライセンスID、ライセンス鍵Kc、アクセス制御情報ACmおよび再生制御情報ACm)の管理領域を指定する番号であり、レベル2ライセンスに係るファイルである。
【0337】
また、コンテンツファイル1531に記録されたファイル名の暗号化コンテンツデータを携帯電話機100または再生端末102に装着されたメモリカード110へ移動させるとき、コンテンツファイル1531〜1535を検索してコンテンツファイル1531を抽出すれば、暗号化コンテンツデータを再生するライセンスがどこで管理されているかが解かる。コンテンツファイル1531に対応するライセンス管理ファイル1521に含まれるエントリ番号は「0」であるので、コンテンツファイル1531に記録されたファイル名の暗号化コンテンツデータを再生するライセンスは、ライセンス管理デバイス520のメモリ5215のライセンス領域5215Bのエントリ番号0によって指定された領域に記録されている。そうすると、HDD530に記録されたコンテンツリストファイル150のライセンス管理ファイル1521からエントリ番号0を読出し、その読出したエントリ番号0をライセンス管理デバイス520に入力することによって、メモリ5215のライセンス領域5215Bからライセンスを容易に取出し、メモリカード110へ移動できる。そして、ライセンスを移動した後は、メモリ5215のライセンス領域5215Bにおいて指定されたエントリ番号内のライセンスは削除されるので(図20のステップS354,S366参照)、それに対応してライセンス管理ファイル1523のように「ライセンス無」が記録される(図21のステップS386参照)。
【0338】
ライセンス管理ファイル1523は、「ライセンス無」を含む。これは、ライセンス管理デバイス520によって受信されたライセンスが、移動された結果である。対応するコンテンツファイル1533はHDD530に記録されたままになっている。メモリカードからライセンスを再びライセンス管理モジュール520へ移動、あるいは、配信サーバ10から再び配信を受ける場合には、ライセンスについてのみ配信を受けることが可能である。
【0339】
また、ライセンス管理モジュール511によって受信された暗号化コンテンツデータのライセンスは、ライセンス管理ファイル1522,1525によって管理される。ライセンス管理ファイル1522,1525は、ライセンス管理モジュール511によって受信した暗号化コンテンツデータを再生するためのライセンスを含む(図17のステップS278参照)。これは、上述したように、ライセンス管理モジュール511は、ソフト的に暗号化コンテンツデータおよびライセンスを受信するので、ライセンスをライセンス管理デバイス520に書込むことによって管理するのではなく、ファイルとしてHDD530に記録することにしたものである。
【0340】
そうすると、たとえば、コンテンツファイル1533に記録されたファイル名の暗号化コンテンツデータを再生端末102に装着されたメモリカード110へチェックアウトさせるとき、コンテンツファイル1531〜1535を検索してコンテンツファイル1533を抽出し、コンテンツファイル1533に対応するライセンス管理ファイル1523からチェックアウト情報、およびライセンス等を読出すことができる。
【0341】
このように、本発明においては、ライセンス管理モジュール511によって受信した暗号化コンテンツデータおよびライセンスと、ライセンス管理デバイス520によって受信した暗号化コンテンツデータおよびライセンスとを同じフォーマットで管理する。つまり、異なるセキュリティレベル(レベル1、レベル2)で受信した暗号化コンテンツデータおよびライセンスを統一したフォーマットによって管理する。このようにすることによって、異なるセキュリティレベルで暗号化コンテンツデータおよびライセンスを受信した場合でも、各セキュリティレベルを低下させることなく、著作権を保護しながら暗号化コンテンツデータの再生を自由に行なうことができる。
【0342】
図32は、メモリカード110のメモリ1415におけるデータ領域1415Cとライセンス領域1415Cを示したものである。データ領域1415Cには、再生リストファイル160とコンテンツファイル1611〜161nと、ライセンス管理ファイル1621〜162nとが記録されている。コンテンツファイル1611〜161nは、受信した暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infとを1つのファイルとして記録する。また、ライセンス管理ファイル1621〜162nは、それぞれ、コンテンツファイル1611〜161nに対応して記録されている。
【0343】
メモリカード110は、配信サーバ10から暗号化コンテンツデータおよびライセンスを受信したとき、パーソナルコンピュータ50から暗号化コンテンツデータおよびライセンスを「移動セッション」または「チェックアウトセッション」によって受信したとき、暗号化コンテンツデータおよびライセンスをメモリ1415に記録する。つまり、メモリカード110は、セキュリティレベルに無関係に暗号化コンテンツデータおよびライセンスをハード的(高いセキュリティレベルを意味する)に管理する。
【0344】
したがって、パーソナルコンピュータ50のライセンス管理デバイス520によって受信され、かつ、移動セッションによってメモリカード110に送信されたセキュリティレベルの高い暗号化コンテンツデータのライセンスと、ライセンス管理モジュール510によって受信され、かつ、チェックアウトセッションによってメモリカード110に送信されたセキュリティレベルの低い暗号化コンテンツデータのライセンスとは、メモリ1415のライセンス領域1415Bのエントリ番号によって指定された領域に記録され、メモリ1415のデータ領域1415Cに記録された再生リストファイル160のライセンス管理ファイルを読出せば、エントリ番号を取得でき、その取得したエントリ番号によって対応するライセンスをライセンス領域1415Bから読出すことができる。
【0345】
また、ライセンス管理ファイル1622は、点線で示されているが、実際には記録されていないことを示す。コンテンツファイル1612は存在しているがライセンスが無く再生できないことを表しているが、これは、たとえば、再生端末が他の携帯電話機から暗号化コンテンツデータだけを受信した場合に相当する。
【0346】
また、コンテンツファイル1613は、点線で示されているが、これは、たとえば、再生端末が配信サーバ10から暗号化コンテンツデータおよびライセンスを受信し、その受信した暗号化コンテンツデータだけを他の携帯電話機へ送信した場合に相当し、ライセンスはメモリ1415に存在するが暗号化コンテンツデータが存在しないことを意味する。
【0347】
[リッピング]
パーソナルコンピュータ50のユーザは配信によって暗号化コンテンツデータとライセンスを取得する他に、所有する音楽CDから、音楽データを取得して利用することが可能である。著作権者の権利保護の立場から音楽CDのデジタル複製は自由に行なっても良いものではないが、個人が自己の使用目的のために、著作権保護機能を備えるツールを用いて複製し、音楽を楽しむことは許されている。そこで、ライセンス管理モジュール511は、音楽CDから音楽データを取得して、ライセンス管理モジュール511にて管理可能な暗号化コンテンツデータとライセンスを生成するリッピング機能を実現するプログラムも含んでいる。
【0348】
また、近年の音楽CDには、音楽データ内に、ウォーターマークと呼ばれる電子透かしを挿入したものがある。このウォーターマークには、著作権者によって利用者における利用の範囲が利用規則として書込まれている。利用規則が書込まれている音楽データからのリッピングでは、著作権保護の点から必ずこの利用規則に従う必要がある。以後、利用規則として、複製条件〈複製禁止・複製可能世代・複製可〉、複製の有効期間、最大チェックアウト数、編集、再生速度、再生可能な地域のコード、複製に対する再生回数制限、利用可能時間が記載されているとする。また、ウォーターマークが検出されない場合、すなわち、利用規則が書込まれていない従来の音楽CDもある。
【0349】
また、リッピングは、音楽CDから、直接、音楽データを取得する他に、アナログ信号として入力された音楽信号を、デジタル化して音楽データとして取得する場合もある。さらには、データ量を減らすために圧縮符号化された音楽データを入力とすることも可能である。また、さらに、本実施の形態による配信システム以外の、配信システムにて配信されたコンテンツデータを入力として取り込むことも可能である。
【0350】
図33および図34を参照して、音楽データが記録された音楽CDからのリッピングによる暗号化コンテンツデータおよびライセンスの取得について説明する。
【0351】
図33は、図6に示すパーソナルコンピュータ50に含まれるCD−ROMドライブ540がCDから読出した音楽データをリッピングするソフトウエアの機能を示す機能ブロック図である。音楽データをリッピングするソフトウエアは、ウォーターマーク検出手段5400と、ウォーターマーク判定手段5401と、リマーク手段5402と、ライセンス発生手段5403と、音楽エンコーダ5404と、暗号手段5405とを備える。
【0352】
ウォーターマーク検出手段5400は、音楽CDから取得した音楽データからウォーターマークを検出し、記載されている利用規則を抽出する。ウォーターマーク判定手段5401は、ウォーターマーク検出手段5400の検出結果、すなわち、ウォーターマークが検出できたか否か、さらに検出できた場合には、ウォーターマークで記載されていた利用規則に基づいて、リッピングの可否を判定する。この場合、リッピング可の場合、ウォーターマークの利用規則が無い、または音楽CDに記録された音楽データの複製および移動が許可された利用規則がウォーターマークによって記録されていたことを意味し、リッピング不可の場合、音楽CDに記録された音楽データを複製および移動してはいけない利用規則がウォーターマークによって記録されていたことを意味する。
【0353】
リマーク手段5402は、ウォーターマーク判定手段5401における判定結果がリッピング可能で、複製世代の指示がある場合、つまり、音楽データを複製・移動して良い場合、音楽データに含まれるウォーターマークを音楽データの複製条件を変更したウォーターマークに付け替える。ただし、アナログ信号を入力してリッピングする場合や符号化された音楽データを入力とする場合、および他の配信システムにて配信された音楽データを入力とする場合には、リッピング可能であれば利用規則の内容に関わらず、必ず、ウォーターマークを付け替える。この場合、複製世代の指示がある場合は、利用規則の内容を変更して、それ以外の場合には取得した利用規則をそのまま利用する。
【0354】
ライセンス発生手段5403は、ウォーターマーク判定手段5401の判定結果に基づいてライセンスを発生させる。音楽エンコーダ5404は、リマーク手段5402によってウォーターマークがリマークされた音楽データを所定の方式に符号化する。暗号手段5405は、音楽エンコーダ5404からの音楽データをライセンス発生手段5403により発生されたライセンスに含まれるライセンス鍵Kcによって暗号化する。
【0355】
図34を参照して、パーソナルコンピュータ50のコントローラ510におけるリッピング動作について説明する。リッピング動作が開始されると、ウォーターマーク検出手段5400は、音楽CDから検出したデータに基づいてウォーターマークの利用規則を検出する(ステップS800)。そして、ウォーターマーク判定手段5401は、ウォーターマーク検出手段5400の検出結果とウォーターマークとして記録されていた利用規則に基づいて複製が可能か否かを判定する(ステップS802)。ウォーターマークが検出され、利用規則によって複製が許可され、かつ、利用規則の内容がライセンス内のアクセス制御情報や再生制御情報にて対応可能な場合、リッピング可と判断され、ステップS804へ移行する。また、ウォーターマークが検出され、利用規則によって複製の禁止、または、ライセンス内のアクセス制御情報や再生制御情報にて対応不可の利用規則が記載されている場合、リッピング禁止と判断され、ステップS828へ移行してリッピング動作は終了する。装着されたCDにウォーターマークが含まれていない場合、ステップS810へ移行する。
【0356】
ステップS802において、リッピング可と判断した場合、音楽CDから音楽データが取込まれ、リマーク手段5402によって音楽データに含まれるウォーターマークが複製条件を変更したウォーターマークに付け替えられる(ステップS806)。すなわち、ウォーターマークの利用規則が3世代までの複製を許可している場合、複製世代を2回にしたウォーターマークに付け替える。そして、ライセンス発生手段5403は、利用規則を反映したライセンスを生成する。すなわち、ライセンス発生手段5403は、複製回数が2世代であるライセンスを生成する(ステップS806)。その後、ライセンス発生手段5403は、利用規則を反映したチェックアウト可能数を含むチェックアウト情報を生成する(ステップS808)。チェックアウト可能数については、記載がない場合、「3」とする。
【0357】
一方、ステップS802において、ウォーターマークが検出されない場合、ライセンス発生手段5403は、ライセンスの複製および移動を禁止したライセンスを生成する(ステップS810)。その後、ライセンス発生手段5403は、初期値が3であるチェックアウト可能数を含むチェックアウト情報を生成する(ステップS812)。
【0358】
ステップS808またはS812の後、音楽エンコーダ5404は、ウォーターマークがリマークされた音楽データを所定の方式に符合化してコンテンツデータ{Dc}を生成する(ステップS814)。そして、暗号手段5405は、音楽エンコーダ5404からの音楽データをライセンス発生手段5403により発生されたライセンスに含まれるライセンス鍵Kcによって暗号化を行ない、暗号化コンテンツデータ{Dc}Kcを生成する(ステップS816)。その後、音楽CDに含まれる情報またはパーソナルコンピュータ50のキーボード560から入力されたユーザ入力等によってコンテンツデータ{Dc}の付加情報Dc−infが生成される(ステップS818)。
【0359】
そうすると、パーソナルコンピュータ50のコントローラ510は、バスBS2を介して暗号化コンテンツデータ{Dc}Kcおよび付加情報Dc−infを取得し、HDD530に記録する(ステップS822)。そして、コントローラ510は、生成されたライセンス(トランザクションID、コンテンツID、ライセンス鍵Kc、アクセス制限情報ACm、再生制御情報ACp)とチェックアウト情報とに独自の暗号化を施した暗号化拡張ライセンスを生成する(ステップS822)。その後、コントローラ510は、暗号化拡張ライセンスと、平文のトランザクションIDおよびコンテンツIDを含み、かつ、HDDに記録した暗号化コンテンツデータ{Dc}Kcと付加情報Dc−infに対するライセンス管理ファイルを生成し、HDD530に記録する(ステップS824)。最後に、コントローラ510は、HDD530に記録されているコンテンツリストファイルに受理したコンテンツのファイル名を追記して(ステップS826)、リッピング動作が終了する(ステップS828)。
【0360】
このように音楽CDからリッピングによっても暗号化コンテンツデータとライセンスとを取得でき、取得されたライセンスは、配信サーバ10から配信されたコンテンツとともに保護されて管理される。
【0361】
図35〜37を参照して、図34に示すフローチャートのステップS806におけるライセンスの生成について詳細に説明する。ライセンス発生手段5403は、ライセンスとしてコンテンツID、トランザクションID、ライセンス鍵、アクセス制限情報(メモリカード110でのライセンス鍵の出力に対する制限)、再生制御情報(コンテンツ再生デバイス1550での再生条件)およびチェックアウト可能数を発生する。
【0362】
図35を参照して、コンテンツID1は、固定領域2と管理領域3とから成る。コンテンツIDは、16bytesから成り、そのうち、1byteが固定領域2に割り当てられ、15bytesが管理領域3に割り当てられる。そして、固定領域2は、コンテンツID1がどこで生成されたかを示すものであり、コンテンツIDが配信サーバ10で生成された場合とパーソナルコンピュータ50で生成された場合とでは、異なる値が書込まれる。パーソナルコンピュータ50においてコンテンツIDが生成された場合、つまり、ローカルにコンテンツIDが生成された場合、固定領域2には16進で「00」が書込まれ、パーソナルコンピュータ50以外でコンテンツIDが生成された場合、それ以外の値が固定領域2に書込まれる。
【0363】
管理領域3は、各コンテンツデータを識別するための識別番号が書込まれ、複数のコンテンツデータに対して1つの識別番号が重複して付されることがないように管理される。
【0364】
図36を参照して、トランザクションID4は、固定領域5と管理領域6とから成る。トランザクションIDは、12bytesから成り、そのうち、1byteが固定領域5に割り当てられ、11bytesが管理領域6に割り当てられる。そして、固定領域5は、固定フラグ7とリザーブ領域8とから成る。固定フラグ7には1bitが割り当てられ、リザーブ領域8には7bitsが割り当てられる。固定フラグ7は、トランザクションID4がどんな目的で生成されたかを示すものであり、トランザクションIDが、配信の管理のために配信サーバ10で生成された場合とローカル使用のためにパーソナルコンピュータ50で生成された場合とでは、異なる値が書込まれる。ローカル使用のためにトランザクションIDが生成された場合、つまり、パーソナルコンピュータ50で、リッピング、またはチェックインのためにローカルにトランザクションIDが生成された場合、固定領域6の固定フラグ7に「0」が書込まれ、配信目的でトランザクションIDが生成された場合、固定領域6の固定フラグ7に「1」が書込まれる。トランザクションIDは、乱数の発生によって生成される。
【0365】
ライセンス鍵は、ライセンス発生時に2keyによるTriple−DES方式における共通鍵であり、コンテンツデータの暗号化および復号に用い、乱数の発生によって発生される。
【0366】
図37を参照して、アクセス制御情報ACmは、再生可能回数Play_countと、移動・複製制御情報Move_countとから成る。再生可能回数Play_count、移動・複製制御情報Move_count、および保護レベルSafe_Levelには、それぞれ、1byteが割り当てられる。
【0367】
再生可能回数Play_countには、暗号化コンテンツデータの再生不可を示す「0」、暗号化コンテンツデータの再生可能回数を示す「1〜254」、および暗号化コンテンツデータを無制限に再生できることを示す「255」のいずれかが書き込まれる。再生可能回数「1〜254」が書き込まれたとき、暗号化コンテンツデータが再生される毎に再生可能回数は1づつ減じられる。
【0368】
移動・複製制御情報Move_countには、暗号化コンテンツデータおよびライセンスの移動および複製が禁止されることを示す「0」、暗号化コンテンツデータおよびライセンスの移動が不可であり、かつ、暗号化コンテンツデータおよびライセンスの複製が制限付きで許可されることを示す「1〜15」、暗号化コンテンツデータおよびライセンスの移動が制限付きで許可され、かつ、暗号化コンテンツデータおよびライセンスの複製が不可であることを示す「240〜253」、暗号化コンテンツデータおよびライセンスの移動が許可され、かつ、暗号化コンテンツデータおよびライセンスの複製が禁止されることを示す「254」および暗号化コンテンツデータとライセンスとの移動および複製が無制限に許可されることを示す「255」のいずれかが書き込まれる。移動・複製制御情報Move_countに「1〜15」が書き込まれたとき、暗号化コンテンツデータおよびライセンスが複製される毎に数値が1づつ減じられる。そして、数値が「0」になったとき、暗号化コンテンツデータおよびライセンスの移動および複製が禁止される。また、移動・複製制御情報Move_countに「240〜253」が書き込まれたとき、暗号化コンテンツデータおよびライセンスが移動される毎に数値が1づつ増加される。そして、数値が254に達したとき、暗号化コンテンツデータおよびライセンスの移動が許可され、暗号化コンテンツデータおよびライセンスの複製が禁止される。なお、「17〜239」は未使用である。
【0369】
保護レベルSafe_Levelは、ライセンスに必要とするセキュリティレベルを数値化したものである。将来的に、暗号処理に使う鍵の長さ、ライセンスを記録するセキュリティ強度などを変更した場合などに対応できるように配置した。例えば、上述したライセンス管理モジュールのようにプログラムを用いてソフトウエアによってセキュリティを確保し、コンテンツを保護するより、メモカード110やコンテンツ再生デバイス1550のように、ハードウエアによってセキュリティを確保し、コンテンツを保護するほうがセキュリティレベルが高いこととなる。
【0370】
再生制御情報ACpは、1byteのflagと、flagによって手有効となる複数の情報とからなる。flag(i)とは、1byteのflagのiビット目を示す。そして、再生制御情報ACpは、flag(0)、flag(1)、flag(2)+Play_length、flag(3)+not_after、flag(4)not_before、flag(5)+Region_codeから成る。
【0371】
flag(0)は、暗号化コンテンツデータの再生速度の変換の可否を示する。flag(1)は、暗号化コンテンツデータの編集の可否を示す。flag(2)+Play_lengthは、暗号化コンテンツデータの再生可能なサイズを示し、部分再生するときは、その部分再生のサイズを示す。flag(3)+not_afterは、暗号化コンテンツデータの利用が終了する日時を示す。flag(4)not_beforeは、暗号化コンテンツデータの利用を開始できる日時を示す。flag(5)+Region_codeは、暗号化コンテンツデータの地域コードを示す。なお、flag(3)+not_afterおよびflag(4)not_beforeにおける暗号化コンテンツデータの利用とは、暗号化コンテンツデータの再生、移動、複製、チェックアウト、およびチェックインを意味する。
【0372】
チェックアウト可能数checkout_countには、チェックアウトを禁止する「0」と、チェックアウト可能な回数を示す「1以上の数」とのいずれかが書き込まれる。そして、チェックアウト可能数checkout_countに「1以上の数」が書き込まれたとき、チェックアウトされる毎に数値が1づつ減じられ、チェックインされる毎に数値が1づつ増加される。
【0373】
ライセンス発生手段5403は、上述した内容のコンテンツID、トランザクションID、ライセンス鍵、アクセス制限情報ACmおよび再生制御情報ACpからライセンスと、チェックアウト可能数checkout_countとをリッピング時に発生する。
【0374】
なお、音楽CDからリッピングによって取得された暗号化コンテンツデータおよびライセンスは、ライセンス管理モジュール511によって受信された暗号化コンテンツデータおよびライセンスと同じようにソフトウエアによって管理される。
【0375】
上記においては、パーソナルコンピュータ50は、音楽CDからリッピングによって暗号化コンテンツデータおよびライセンスを取得したが、本発明においては、これに限らず、インターネット配信によって受信したコンテンツデータからリッピングによって暗号化コンテンツデータおよびライセンスを生成しても良い。パーソナルコンピュータ50は、図1および図2に示すインターネット網30を用いて配信サーバ10との間で公開鍵および共通鍵等をやり取りし、相互認証を行ないながら暗号化コンテンツデータおよびライセンスを受信するが、リッピングにより暗号化コンテンツデータおよびライセンスを取得するときは、このような公開鍵および共通鍵のやり取りを行なわずに、コンテンツデータを通常のインターネット配信によって受信する。
【0376】
したがって、パーソナルコンピュータ50は、通常のインターネットに接続されていないときは、音楽CDからリッピングによって暗号化コンテンツデータおよびライセンスを取得でき、通常のインターネットに接続されているときは、そのインターネットによって配信されるコンテンツデータからリッピングによって暗号化コンテンツデータおよびライセンスを取得できる。そのため、本発明において、パーソナルコンピュータ50が暗号化コンテンツデータおよびライセンスを取得するためには、必ずしもインターネットに接続されている必要はなく、CD−ROMドライブを内蔵していれば良い。そして、リッピングによって暗号化コンテンツデータおよびライセンスを取得する場合、パーソナルコンピュータは、ライセンス管理デバイス520やライセンス管理モジュール511を内蔵している必要はなく、図33に示した機能ブロック図の各手段によって実行されるソフトウエアを内蔵していれば良い。
【0377】
もちろん、本発明によるパーソナルコンピュータは、リッピングによって暗号化コンテンツデータおよびライセンスを取得する機能の他に、ライセンス管理デバイス520やライセンス管理モジュール511によって暗号化コンテンツデータおよびライセンスを受信する機能をもっていても良い。
【0378】
なお、リッピングによるライセンスは、パーソナルコンピュータ50によって生成されるため、そのライセンスを「ローカルライセンス」と言う。
【0379】
本発明の実施の形態によれば、パーソナルコンピュータは、音楽CDからまたはインターネット配信によってコンテンツデータを取得し、そのコンテンツデータに含まれるウォーターマーク(複製可否情報とも言う。)の内容に応じて暗号化コンテンツデータおよびライセンスを生成するので、リッピングによってウォーターマークの内容に応じた暗号化コンテンツデータおよびローカルライセンスの生成が可能である。
【0380】
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した実施の形態の説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【図面の簡単な説明】
【図1】 データ配信システムを概念的に説明する概略図である。
【図2】 他のデータ配信システムを概念的に説明する概略図である。
【図3】 図1および図2に示すデータ配信システムにおける通信のためのデータ、情報等の特性を示す図である。
【図4】 図1および図2に示すデータ配信システムにおける通信のためのデータ、情報等の特性を示す図である。
【図5】 図1および図2に示すデータ配信システムにおける配信サーバの構成を示す概略ブロック図である。
【図6】 図1および図2に示すデータ配信システムにおけるパーソナルコンピュータの構成を示す概略ブロック図である。
【図7】 図2に示すデータ配信システムにおける携帯電話機の構成を示す概略ブロック図である。
【図8】 図1および図2に示すデータ配信システムにおけるメモリカードの構成を示す概略ブロック図である。
【図9】 図6に示すパーソナルコンピュータに内蔵されたライセンス管理デバイスの構成を示す概略ブロック図である。
【図10】 図1および図2に示すデータ配信システムにおけるセキュリティレベルの高い配信動作を説明するための第1のフローチャートである。
【図11】 図1および図2に示すデータ配信システムにおけるセキュリティレベルの高い配信動作を説明するための第2のフローチャートである。
【図12】 図1および図2に示すデータ配信システムにおけるセキュリティレベルの高い配信動作を説明するための第3のフローチャートである。
【図13】 図1および図2に示すデータ配信システムにおけるセキュリティレベルの高い配信動作を説明するための第4のフローチャートである。
【図14】 図1および図2に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第1のフローチャートである。
【図15】 図1および図2に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第2のフローチャートである。
【図16】 図1および図2に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第3のフローチャートである。
【図17】 図1および図2に示すデータ配信システムにおけるセキュリティレベルの低い配信動作を説明するための第4のフローチャートである。
【図18】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスの移動動作を説明するための第1のフローチャートである。
【図19】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスの移動動作を説明するための第2のフローチャートである。
【図20】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスの移動動作を説明するための第3のフローチャートである。
【図21】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスの移動動作を説明するための第4のフローチャートである。
【図22】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックアウト動作を説明するための第1のフローチャートである。
【図23】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックアウト動作を説明するための第2のフローチャートである。
【図24】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックアウト動作を説明するための第3のフローチャートである。
【図25】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックアウト動作を説明するための第4のフローチャートである。
【図26】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックイン動作を説明するための第1のフローチャートである。
【図27】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックイン動作を説明するための第2のフローチャートである。
【図28】 図1および図2に示すデータ配信システムにおける暗号化コンテンツデータのライセンスのチェックイン動作を説明するための第3のフローチャートである。
【図29】 携帯電話機における再生動作を説明するための第1のフローチャートである。
【図30】 携帯電話機における再生動作を説明するための第2のフローチャートである。
【図31】 パーソナルコンピュータのハードディスクにおけるコンテンツリストファイルの構成を示す図である。
【図32】 メモリカードにおける再生リストファイルの構成を示す図である。
【図33】 リッピングを実行するソフトウエアの機能を説明するための機能ブロック図である。
【図34】 図1および図2に示すデータ配信システムにおけるリッピングの動作を説明するためのフローチャートである。
【図35】 コンテンツIDのフォーマット図である。
【図36】 トランザクションIDのフォーマット図である。
【図37】 メディアアクセス条件、デコーダアクセス条件およびチェックアウト可能数の構成を説明すための図表である。
【符号の説明】
1 コンテンツID、2,5 固定領域、3,6 管理領域、4 トランザクションID、7 MSB 8 リザーブ、10 配信サーバ、20 配信キャリア、30 インターネット網、40 モデム、50 パーソナルコンピュータ、60 CD、70 USBケーブル、100,102 携帯電話機、110 メモリカード、130 ヘッドホーン、150 コンテンツリストファイル、160 再生リストファイル、302 課金データベース、304 情報データベース、306 CRLデータベース、307 メニューデータベース、308 配信記録データベース、310 データ処理部、312,320,1404,1408,1412,1422,1504,1510,1516,5204,5208,5212,5222 復号処理部、313 認証鍵保持部、315 配信制御部、316, セッションキー発生部、318,326,328,1406,1410,1417,1506,5206,5210,5217,5405 暗号処理部、350 通信装置、510,1106,1420,5220 コントローラ、511 ライセンス管理モジュール、520 ライセンス管理デバイス、530 ハードディスク、540 CD−ROMドライブ、550,1112USBインタフェース、560 キーボード、570 ディスプレイ、580,1114,1426,1530,5226 端子、1108 操作パネル、1110 表示パネル、1200 メモリカードインタフェース、1400,1500,5200 認証データ保持部、1402,5202 Kmc保持部、1414,5214 KPa保持部、1415,5215 メモリ、1415A,5215A CRL領域、1415B 再生リスト、1415C,5215B ライセンス領域、1415D データ領域、1416,5216 KPmc保持部、1418,5218 セッションキー発生部、1421,5221 Km保持部、1424,5224 インタフェース、1442,1446 切換スイッチ、1502 Kp1保持部、1518 音楽再生部、1519 DA変換器、1521〜1525,1621〜162n ライセンス管理ファイル、1531〜1535,1611〜161n コンテンツファイル、1550 コンテンツ再生デバイス、5400 ウォーターマーク検出手段、5401 ウォーターマーク判定手段、5402 リマーク手段、5403 ライセンス発生手段、5404 音楽エンコーダ。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a data terminal device used in a data distribution system that enables copyright protection for copied information.
[0002]
[Prior art]
In recent years, with the advancement of information communication networks such as the Internet, it has become possible for each user to easily access network information with a personal terminal using a mobile phone or the like.
[0003]
In such an information communication network, information is transmitted by digital signals. Therefore, for example, even when each individual user copies music or video data transmitted in the information communication network as described above, the data is copied with almost no deterioration in sound quality and image quality due to such copying. It is possible.
[0004]
Therefore, when a creative work such as music data or image data is transmitted on such an information and communication network, the copyright will be significantly reduced unless appropriate copyright protection measures are taken. The right of the right holder may be infringed.
[0005]
On the other hand, if it is impossible to distribute copyrighted material data over the rapidly expanding digital information communication network with the highest priority on copyright protection, basically, when copying copyrighted material data, a certain amount of Even for copyright holders who can collect copyright fees, it is disadvantageous.
[0006]
Here, instead of distribution through the digital information communication network as described above, taking a recording medium on which digital data is recorded as an example, a CD (compact disc) on which music data that is usually sold is recorded. In principle, music data can be copied from a CD to a magneto-optical disk (MD or the like) as long as the copied music is stopped for personal use. However, an individual user who performs digital recording or the like indirectly pays a certain amount of money for a digital recording device itself or a medium such as an MD as a deposit to the copyright holder.
[0007]
In addition, when music data, which is a digital signal, is copied from a CD to an MD, the music information is converted into digital data from a recordable MD to another MD in view of the fact that these pieces of information are digital data with almost no copy deterioration. Copying is not possible due to the configuration of the device for copyright protection.
[0008]
For these reasons, the distribution of music data and image data to the public through a digital information communication network is an act that is restricted by the copyright holder's public transmission rights. Sufficient measures need to be taken.
[0009]
In this case, with respect to content data such as music data and image data that are copyrighted works transmitted to the public through the information communication network, it is necessary to prevent the content data once received from being further duplicated without permission. .
[0010]
Therefore, there is a data distribution system in which a distribution server holding encrypted content data obtained by encrypting content data distributes encrypted content data to a memory card attached to a terminal device such as a mobile phone via the terminal device. Proposed. In this data distribution system, a public encryption key of a memory card that has been authenticated in advance by a certificate authority and its certificate are transmitted to the distribution server when a distribution request for encrypted content data is made, and the certificate that the distribution server is authenticated is transmitted. After confirming reception, the encrypted content data and a license key for decrypting the encrypted content data are transmitted to the memory card. When distributing encrypted content data and a license key, the distribution server and the memory card generate a different session key for each distribution, encrypt the public encryption key with the generated session key, Exchange keys between memory cards.
[0011]
Finally, the distribution server transmits the license encrypted with the public encryption key of each memory card and further encrypted with the session key and the encrypted content data to the memory card. Then, the memory card records the received license key and encrypted content data on the memory card.
[0012]
Then, when reproducing the encrypted content data recorded on the memory card, the memory card is attached to the mobile phone. In addition to the normal telephone function, the cellular phone also has a dedicated circuit for decrypting the encrypted content data from the memory card, reproducing it, and outputting it to the outside.
[0013]
As described above, the user of the mobile phone can receive the encrypted content data from the distribution server using the mobile phone and reproduce the encrypted content data.
[0014]
On the other hand, encrypted content data is also distributed to personal computers using the Internet. In the distribution of the encrypted content data to the personal computer, the encrypted content data is distributed by software installed in the personal computer. The security for the encrypted content data is stored in the memory. Lower than when writing on a card. If a device having the same security as that of the memory card is attached to a personal computer, the same distribution as the distribution of encrypted content data to the mobile phone can be performed to the personal computer.
[0015]
Then, the personal computer receives the encrypted content data by the installed software and the device. That is, the personal computer receives encrypted content data having different security levels.
[0016]
Furthermore, music CDs on which music data is recorded are widely used, and music data is obtained from the music CDs by ripping. The ripping generates encrypted music data (encrypted content data) from the music data and a license for decrypting and reproducing the encrypted music data. In this ripping, a watermark that defines the rules for using the content data is detected from the content data, and encrypted content data and a license are generated according to the content of the detected watermark.
[0017]
[Problems to be solved by the invention]
However, the current watermark stipulates that the generation of encrypted content data and a license is completely prohibited, or that a license that prohibits transfer and copying of a license for decrypting and reproducing encrypted content data is generated. Only. Therefore, even if the encrypted content data and license can be acquired by ripping, the encrypted content data and license cannot be moved or copied. Further, in the future, it is assumed that a watermark that further recognizes the regularity of usage of content data will appear, and in the current ripping, it is not possible to perform ripping suitable for such a watermark.
[0018]
Accordingly, the present invention has been made to solve such a problem, and an object of the present invention is to provide a data terminal device capable of ripping content data according to the regularity of usage of content data.
[0019]
[Means for Solving the Problems and Effects of the Invention]
A data terminal device according to the present invention is a data terminal device that obtains plaintext content data and generates encrypted content data obtained by encrypting the content data and a local license for decrypting and reproducing the encrypted content data. And an encrypted content generation unit that generates a local license based on duplication permission information included in the content data, encrypts the content data with a license key included in the generated local license, and generates encrypted content data. An encryption processing unit that generates an encrypted local license obtained by performing original encryption on the generated local license, a storage unit that stores the encrypted local license and the encrypted content data, and a control unit. , The acquired content data Given to the issue of content generation means, give local license to the encryption processing unit.
[0020]
In the data terminal device according to the present invention, the copy permission information included in the plaintext content data is detected, and a local license is generated according to the content of the detected copy permission information. The local license includes a license key for encrypting content data. When the local license is generated, the content data is encrypted with the license key included in the local license to generate encrypted content data. Then, the generated local license is uniquely encrypted, and is stored in the storage unit together with the encrypted content data as an encrypted local license.
[0021]
Therefore, according to the present invention, encrypted content data and a local license for decrypting and reproducing the encrypted content data can be generated from the plaintext content data according to the duplication permission / inhibition information.
[0022]
The data terminal device according to the present invention receives encrypted content data obtained by encrypting content data and a license for decrypting and reproducing the encrypted content data from the distribution server, and / or acquires the content data. A data terminal device for generating encrypted content data and a local license for decrypting and reproducing the encrypted content data, and performing mutual authentication with the distribution server to obtain the encrypted content data and license A local license is generated based on the license management device that receives the license from the distribution server and holds the license, and the copy permission information included in the content data, and the content data is encrypted with the license key included in the generated local license. Encrypted content Encrypted content generating means for generating data, encryption processing means for generating an encrypted local license obtained by applying original encryption to the generated local license, and storing the license, the encrypted local license, and the encrypted content data A storage unit and a control unit are provided, and the control unit gives the acquired content data to the encrypted content generation unit and gives a local license to the encryption processing unit.
[0023]
In the data terminal device according to the present invention, the encrypted content data and the license are received from the distribution server, the license is held by the hardware, and the encrypted content data and the local license are generated from the plaintext content data, Local licenses are uniquely encrypted and held by software.
[0024]
Therefore, according to the present invention, in the data terminal device that can receive the encrypted content data and the license from the distribution server, the encrypted content data and the local license can be generated from the plaintext content data according to the copy permission / inhibition information.
[0025]
The data terminal device according to the present invention receives encrypted content data obtained by encrypting content data and a license for decrypting and reproducing the encrypted content data from the distribution server, and / or acquires the content data. Data terminal device for generating encrypted content data and a local license for decrypting and reproducing the encrypted content data, performing mutual authentication with the distribution server by software, and encrypting The license management module that receives the encrypted content data and license from the distribution server, and generates a local license based on the duplication permission / inhibition information included in the content data, and encrypts the content data with the license key included in the generated local license The encryption code Encrypted content generating means for generating content data, and an encrypted local license obtained by applying original encryption to the generated local license, or an encryption processing means for generating an encrypted license obtained by applying original encryption to the received license And a storage means for storing the encrypted license, the encrypted local license and the encrypted content data, and a control section. The control section provides the acquired content data to the encrypted content generation means, and the local license and the license are provided. Give to cryptographic processing means.
[0026]
In the data terminal device according to the present invention, the encrypted content data and the license are received from the distribution server by the software and the license is held, and the encrypted content data and the local license are obtained from the plaintext content data. Once generated, the local license is uniquely encrypted and held by software.
[0027]
Therefore, according to the present invention, in the data terminal device that can receive the encrypted content data and the license from the distribution server by the software, the encrypted content data and the local license are generated from the plaintext content data according to the copy permission / inhibition information. it can.
[0028]
The data terminal device according to the present invention receives encrypted content data obtained by encrypting content data and a license for decrypting and reproducing the encrypted content data from the distribution server, and / or acquires the content data. A data terminal device for generating encrypted content data and a local license for decrypting and reproducing the encrypted content data, and performing mutual authentication with the distribution server to obtain the encrypted content data and license A license management module which receives from the distribution server and holds the license; and a license management module which performs mutual authentication with the distribution server by software and receives encrypted content data and a license from the distribution server; , Content data Generates a local license based on the availability information, encrypts the content data with the license key included in the generated local license, and generates encrypted content data, and an encryption unique to the generated local license Encryption processing means for generating an encrypted local license or an encrypted license obtained by applying an original encryption to the license received by the license management module, the encrypted license, the encrypted local license, and the encrypted content data And a control unit, the control unit gives the acquired content data to the encrypted content generation unit, and gives the license and the local license to the encryption processing unit.
[0029]
The data terminal device according to the present invention obtains encrypted content data and a license by three methods. The first method is a method of receiving encrypted content data and a license from a distribution server and holding the license by hardware. The second method is a method of receiving encrypted content data and a license by software and holding the license. The third method is a method of generating encrypted content data and a local license from plaintext content data, applying a unique encryption to the local license, and storing the license by software.
[0030]
Therefore, according to the present invention, in a data terminal device that can receive encrypted content data and a license from a distribution server by hardware and software, the encrypted content data and local A license can be generated.
[0031]
Preferably, the encrypted content generating unit of the data terminal device further generates a lent number for renting the generated encrypted content data and the local license to another device, and the cryptographic processing unit can be lent with the local license. Encrypt the number with its own encryption and generate an encrypted local license.
[0032]
In the data terminal device, when the encrypted content data and the local license are generated from the plaintext content data, the rentable number for renting the encrypted content data and the local license to another device is generated, and the generated Manage the number of available loans with local licenses.
[0033]
Therefore, according to the present invention, the encrypted content data and the local license are generated from the plaintext content data, so that the encrypted content data and the local license acquired by ripping are stored in the encrypted content data and the local license. It can be taken out from the data terminal device.
[0034]
Preferably, a file generation unit that generates a license management file including at least the encrypted local license is further provided, and the control unit provides the encrypted content data and the license management file to the storage unit.
[0035]
The encrypted local license generated and encrypted in the data terminal device is recorded in the license management file and held in the storage means.
[0036]
Therefore, in the present invention, the generated local license can be stored in a file and managed in software.
[0037]
Preferably, the encrypted content generation unit of the data terminal device generates a local license reflecting the copy permission information when the copy permission / prohibition information is copy permission information permitting copying.
[0038]
When the copy permission information included in the plaintext content data is, for example, copy permission information that permits copying up to 10 times, a local license is generated including the number of times that copying is permitted up to 10 times. .
[0039]
Therefore, according to the present invention, if the content data can be copied, the encrypted content data and the local license that can be copied can be generated based on the copy permission information.
[0040]
Preferably, the encrypted content generation unit of the data terminal device generates a local license reflecting the copy permission information when the copy permission information is copy permission information permitting copying, and the content data does not include the copy permission information. At this time, a local license is generated that prohibits copying and moving of the license for decrypting and reproducing the encrypted content data.
[0041]
When the copy permission information included in the plaintext content data permits the copy of the content data, a local license that permits the copy of the encrypted content data and the local license is generated according to the permitted content, and the content data is When the copy permission / inhibition information is not included, a local license that prohibits the copy and transfer of the encrypted content data and license is generated. That is, when the content data is a type of content data that does not include copy permission / inhibition information, the data terminal device cannot generate a local license according to the copy permission / inhibition information, but the encrypted content data generated by ripping and the local license A local license having the content of prohibiting copying and moving is generated, and the encrypted content data and the local license are obtained by ripping.
[0042]
Therefore, it is possible to generate a local license in which the encrypted content data and the copy contents of the local license are determined according to the type of content data input to the data terminal device.
[0043]
Preferably, the data terminal device further includes medium driving means for driving a recording medium on which the content data is recorded, and the control unit provides the content data read from the recording medium by the medium driving means to the encrypted content generating means.
[0044]
When the recording medium on which the content data is recorded is loaded into the data terminal device, the medium driving unit reads the content data from the recording medium. Then, the control unit gives the content data read by the medium driving unit to the encrypted content generation unit, and the encrypted content generation unit generates a local license according to the duplication permission information included in the content data, and the local license The encrypted content data is generated by encrypting the content data with the license key included in the.
[0045]
Therefore, according to the present invention, the encrypted content data and the local license can be acquired from the content data recorded and distributed on the medium.
[0046]
Preferably, the control unit of the data terminal device provides the content data received via the Internet to the encrypted content generation means.
[0047]
The control unit of the data terminal device provides plaintext content data distributed over the Internet to the encrypted content generation means. The encrypted content generation unit generates a local license according to the duplication permission / inhibition information included in the content data, and encrypts the content data with the license key included in the local license to generate encrypted content data. Note that “content data received via the Internet” does not mean content data that is received by exchanging data with a distribution server by performing encryption using a public key or the like, but is distributed via the normal Internet. Means content data.
[0048]
Therefore, according to the present invention, encrypted content data and a local license can be generated from content data distributed over the widely spread Internet.
[0049]
Preferably, the encrypted content generation unit of the data terminal device includes: a duplication availability information detection unit that detects duplication availability information from the content data; a duplication availability information determination unit that determines the detected duplication availability information; and a duplication availability information determination unit. License generating means for generating a local license based on the determination result, and encryption means for encrypting the content data with the license key.
[0050]
The content data input to the data terminal device is input to the encrypted content generation means. Then, in the encrypted content generation means, the duplication availability information is detected from the content data by the duplication availability information detection means, and the content of the duplication availability information is determined by the duplication availability information determination means. The license generation unit generates a local license according to the determination result by the duplication permission / inhibition information determination unit. In other words, if the content of the copy permission / prohibition information permits copying of the content data, a local license in which the number of copies of the local license is set is generated, and the content of the copy permission / prohibition information prohibits copying of the content data. When the local license is not generated and the copy permission / prohibition information is not included, the local license for which the copy and transfer of the encrypted content data and the local license is prohibited is generated. The encryption unit encrypts the content data with a license key included in the generated local license to generate encrypted content data.
[0051]
Therefore, according to the present invention, it is possible to generate a local license according to the content of the duplication permission / inhibition information included in the content data, and obtain the encrypted content data and the local license by ripping.
[0052]
Preferably, the encrypted content generation unit of the data terminal device includes: a duplication availability information detection unit that detects duplication availability information from the content data; a duplication availability information determination unit that determines the detected duplication availability information; and a duplication availability information determination unit. A copy condition changing unit that changes the copy condition based on the determination result and writes the content data to the content data; an encoding unit that encodes the content data from the copy condition changing unit in a predetermined format; License generating means for generating a local license based on the determination result, and encryption means for encrypting content data encoded in a predetermined method with a license key.
[0053]
The content data input to the data terminal device is input to the encrypted content generation means. Then, in the encrypted content generation means, the duplication availability information is detected from the content data by the duplication availability information detection means, and the content of the duplication availability information is determined by the duplication availability information determination means. The license generation unit generates a local license according to the determination result by the duplication permission / inhibition information determination unit. In other words, if the content of the copy permission / prohibition information permits copying of the content data, a local license in which the number of copies of the local license is set is generated, and the content of the copy permission / prohibition information prohibits copying of the content data. When the local license is not generated and the copy permission / prohibition information is not included, the local license for which the copy and transfer of the encrypted content data and the local license is prohibited is generated. Further, the copy condition changing unit changes the copy condition according to the determination result of the copy permission / inhibition information determining unit, and rewrites the copy permission / inhibition information included in the content data according to the changed copy condition. Then, the encoding means encodes the content data in which the copy permission / rejection information is rewritten into a predetermined method, and the encryption means encrypts the content data with the license key included in the generated local license and converts the encrypted content data into Generate.
[0054]
Therefore, according to the present invention, content data can be legally duplicated by writing usage rules for content data in the duplication permission / inhibition information.
[0055]
Preferably, the license generation unit of the data terminal device includes a content identifier that specifies the encrypted content data, a communication identifier that specifies communication when the encrypted content data and the license are lent to another device, a license key, A local license is generated that includes a recording device access condition for a data recording device that records encrypted content data and a local license, and a playback device access condition for a data playback device that decrypts and plays back the encrypted content data using the license.
[0056]
The license generation means generates a content identifier, a communication identifier, a license key, a recording device access condition, and a playback device access condition that constitute a local license.
[0057]
Therefore, according to the present invention, it is possible to generate a local license for protecting communication and reproduction of encrypted content data acquired by ripping to another device.
[0058]
Preferably, the content identifier and the communication identifier are composed of a fixed area and a management area following the fixed area, and the license generation means generates a local signal indicating that the content identifier or the communication identifier is generated in the data terminal apparatus. And an identification number corresponding to the encrypted content data is written in the management area to generate a content identifier and a communication identifier.
[0059]
The license generation means writes a local signal indicating that the content identifier and the communication identifier are generated in the data terminal device in the fixed area of the content identifier and the communication identifier, and the content and content data are stored in the management area of the content identifier and the communication identifier. Write individual identification numbers to identify the communications.
[0060]
Therefore, according to the present invention, it can be easily understood that the license is generated by the data terminal device by looking at the fixed area of the content identifier and communication identifier constituting the local license.
[0061]
Preferably, the license generation unit of the data terminal device generates a communication identifier and a license key by generating a random number.
[0062]
The license generation means generates a random number based on the duplication permission / inhibition information, identifies the communication, and generates a license key.
[0063]
Therefore, according to the present invention, it is possible to generate a communication identifier and a license key that are difficult to detect from the outside.
[0064]
Preferably, the recording device access condition that constitutes the local license includes the number of reproducible times indicating whether or not the encrypted content data can be reproduced and the number of times that the encrypted content data can be reproduced, and movement copy control information for controlling movement and duplication of the encrypted content data and the local license. And protection level information indicating the protection level of the local license.
[0065]
As the access conditions for the data recording device on which the encrypted content data and the local license are recorded, the number of times that the encrypted content data can be reproduced, the moving copy control information of the encrypted content data and the local license, and the protection level of the local license are generated. The
[0066]
Therefore, according to the present invention, it is possible to control the reproduction, movement, and copying of the encrypted content data based on the number of reproducible times and the moving copy control information. In addition, local licenses can be managed according to the protection level.
[0067]
Preferably, the reproducible number of times constituting the recording device access condition monotonously decreases every time when the reproduction of the encrypted content data is permitted, and the first reproducible number of times consisting of a fixed value indicating that the encrypted content data cannot be reproduced. The mobile duplication control information, which is composed of the second reproducible number of fluctuation values and the third reproducible number of times to permit unlimited reproduction of the encrypted content data, and which constitutes the recording device access condition, is encrypted content data. And first control information for prohibiting transfer and copying of the local license, and second control information for prohibiting transfer of the encrypted content data and the local license, and permitting the copy of the encrypted content data and the local license under conditions And conditional transfer and copying of encrypted content data and local licenses. The third control information, the fourth control information that permits the transfer of the encrypted content data and the local license, and prohibits the copy of the encrypted content data and the local license, the transfer of the encrypted content data and the local license, and And fifth control information for permitting unlimited copying.
[0068]
Therefore, according to the present invention, it is possible to control in detail the reproduction of the encrypted content data and the transfer and copying of the encrypted content data and the local license.
[0069]
Preferably, the second control information of the mobile copy control information monotonously decreases for each copy of the encrypted content data and the local license, and includes a variation value indicating the number of times that the copy can be made. The control information includes a fluctuating value that monotonously increases every time the encrypted content data and the local license are moved and copied.
[0070]
Therefore, according to the present invention, the movement and copying of the encrypted content data and license can be controlled by a method corresponding to the contents of the movement and copying of the encrypted content data and license.
[0071]
Preferably, the playback device access condition includes a first signal indicating whether or not the playback speed of the encrypted content data can be converted, a second signal indicating whether or not the encrypted content data can be edited, and playable encrypted content data. A third signal indicating the size of the encrypted content data, a fourth signal indicating the last use date and time of the encrypted content data, a fifth signal indicating the start date and time of use of the encrypted content data, and a region code.
[0072]
Therefore, according to the present invention, reproduction of encrypted content data can be controlled in detail.
[0073]
Preferably, the lending information is monotonously decreased every time the encrypted content data and the local license are rented, prohibited information prohibiting the lending of the encrypted content data and the local license, and monotonous every time the encrypted content data and the local license are returned. It consists of increasing lending permission information.
[0074]
Therefore, according to the present invention, it is possible to accurately control the rental of encrypted content data and local license acquired by ripping to another device.
[0075]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described in detail with reference to the drawings. In the drawings, the same or corresponding parts are denoted by the same reference numerals and description thereof will not be repeated.
[0076]
FIG. 1 is a schematic diagram for conceptually explaining the overall configuration of a data distribution system in which a data terminal device (personal computer) according to the present invention acquires encrypted content data.
[0077]
In the following, an example of the configuration of a data distribution system that distributes digital music data to a
[0078]
Referring to FIG. 1,
[0079]
The
[0080]
In FIG. 1, for example, a
[0081]
Further, for example, a mobile phone user can “play” such content data through the
[0082]
By adopting such a configuration, first, if the
[0083]
Moreover, the
[0084]
In FIG. 1, the
[0085]
The
[0086]
Further, in FIG. 1, the
[0087]
Still further, the
[0088]
Further, in FIG. 1, the
[0089]
Therefore, in the data distribution system shown in FIG. 1, the
[0090]
Furthermore, the
[0091]
FIG. 2 shows a data distribution system when a
[0092]
In the configuration as shown in FIGS. 1 and 2, first, what is required on the system in order to make it possible to reproduce the content data encrypted and distributed on the user side of the mobile phone or personal computer is Is a method for distributing an encryption key in communication, and secondly, is a method itself for encrypting content data to be distributed, and thirdly, the content data distributed in this way. This configuration realizes content data protection for preventing unauthorized copying.
[0093]
In the embodiment of the present invention, particularly at the time of each of the distribution and playback sessions, the recording and recording device in which the authentication and check functions for the destination of the content data are enhanced and the authentication or decryption key is broken. A configuration for strengthening copyright protection of content data by preventing output of content data to a data playback terminal (a data playback terminal that can play back content is also referred to as a mobile phone or a personal computer; the same applies hereinafter) will be described.
[0094]
In the following description, processing for transmitting content data from the
[0095]
FIG. 3 is a diagram for explaining characteristics of data, information, and the like for communication used in the data distribution system shown in FIGS. 1 and 2.
[0096]
First, data distributed from the
[0097]
In the following, the notation {Y} X indicates that the data Y has been encrypted with the decryption key X.
[0098]
Further, the
[0099]
Hereinafter, the transaction ID and the content ID are collectively referred to as a license ID, and the license key Kc, the license ID, access control information ACm, and reproduction control information ACp are collectively referred to as a license.
[0100]
In the following, for simplification, the access control information ACm is control information for limiting the number of reproductions. The number of reproductions (0: reproduction impossible, 1-254: reproduction possible number, 255: no restriction), license transfer and The reproduction / control flag AC0 is a reproduction deadline that is a control information that defines a deadline for reproduction. The movement / duplication flag (0: movement duplication prohibited, 1: movement only allowed, 2: movement duplication allowed) is limited. Only (UTCtime code) shall be restricted.
[0101]
In the embodiment of the present invention, for each class of a recording device (memory card or license management device) or mobile phone that reproduces content data, a prohibited class is provided so that the distribution and reproduction of the content data can be prohibited. A list CRL (Class Revocation List) is operated. Hereinafter, the data in the prohibited class list may be represented by the symbol CRL as necessary.
[0102]
The prohibited class list-related information includes prohibited class list data CRL that lists classes of license management devices on mobile phones, memory cards, personal computers, and license management devices that are prohibited from distributing and playing licenses. . All devices and programs that manage, store, and replay licenses related to content data protection are listed.
[0103]
The prohibited class list data CRL is managed in the
[0104]
In this way, the prohibited class list CRL is held and operated not only in the distribution server but also in the license management device (memory card or license management device) or the license management module that records and manages the license, thereby reproducing or transferring the license. Content reproduction circuit (mobile phone and playback) in which the decryption key specific to the class, that is, the content playback circuit (mobile phone and playback terminal), license management device or license management module has been broken during duplication / checkout, etc. Terminal), a license key or a license to the license management module operating on the license management apparatus or personal computer is prohibited. For this reason, content data cannot be played back on mobile phones or personal computers, and licenses cannot be acquired from license management devices or via license management modules on memory cards or personal computers, and new content data can be received. Can not be.
[0105]
As described above, the prohibited class list CRL in the memory card or the license management device or managed by the license management module is configured to sequentially update data at the time of distribution. In addition, the management of the prohibited class list CRL in the memory card or the license management device is performed independently of the upper level in the memory card or the license management device by a high level tamper resistant module (Tamper Resistant) that guarantees confidentiality in hardware. (Module). The management of the prohibited class list CRL in the license management module is recorded in the HDD or the like of the personal computer after performing at least tampering prevention processing by encryption processing. In other words, it is recorded by a low level tamper resistant module whose confidentiality is guaranteed by software. Therefore, the prohibited class list data CRL cannot be altered from a higher level such as a file system or an application program. As a result, the copyright protection regarding the data can be further strengthened.
[0106]
FIG. 4 is a diagram for explaining the characteristics of data, information, etc. for authentication used in the data distribution system shown in FIG. 1 and FIG.
[0107]
The content reproduction circuit, the memory card, the license management device, and the license management module are provided with unique public encryption keys KPpy and KPmw, respectively. The public encryption keys KPpy and KPmw are a secret decryption key Kpy and a memory card unique to the content reproduction circuit. , The license management device, and the secret management key Kmw unique to the license management module. These public encryption key and secret decryption key have different values for each type of content reproduction device, memory card, license management device, and license management module. These public encryption keys and secret decryption keys are collectively referred to as class keys, these public encryption keys are referred to as class public encryption keys, secret decryption keys are referred to as class secret decryption keys, and units sharing the class keys are referred to as classes. Classes differ depending on the manufacturer, product type, production lot, and the like.
[0108]
Also, Cpy is provided as a class certificate for the content reproduction circuit (mobile phone, reproduction terminal), and Cmw is provided as a class certificate for the memory card, license management device, and license management module. These class certificates have different information for each class of the content reproduction circuit, the memory card, the license management device, and the license management module. A class whose tamper-resistant module is broken or whose class key is broken, that is, a class whose secret decryption key is leaked, is listed in the prohibited class list and is subject to license acquisition prohibition.
[0109]
The class public encryption key and class certificate of these content reproduction circuits are in the format of authentication data {KPpy // Cpy} KPa, and the class public encryption key and class certificate of the memory card and license management device are authentication data {KPmw. In the format of // Cmw} KPa, the class public encryption key and class certificate of the license management module are in the format of authentication data {KPmw // Cmw} KPb, and the data reproduction circuit, memory card, license management device, and Each is recorded in the license management module. As will be described in detail later, KPa and KPb are public authentication keys common to the entire distribution system, KPa is used when the security level is
[0110]
Further, as a key for managing data processing in the
[0111]
As an encryption key for maintaining confidentiality in data transfer between memory cards and between memory cards, data transfer between license management devices and license management devices, or data transfer between license management modules and license management modules The common keys Ks1 to Ks3 generated in the
[0112]
Here, the common keys Ks1 to Ks3 are unique common keys generated for each "session" that is a unit of communication or a unit of access between a distribution server, a content reproduction circuit, a memory card, a license management device, or a license management module. In the following, these common keys Ks1 to Ks3 are also referred to as “session keys”.
[0113]
These session keys Ks1 to Ks3 are managed by a distribution server, a content reproduction circuit, a memory card, a license management device, and a license management module by having a unique value for each session. Specifically, the session key Ks1 is generated for each distribution session by the distribution server. The session key Ks2 is generated for each distribution session and reproduction session by the memory card, the license management device, and the license management module, and the session key Ks3 is generated for each reproduction session in the content reproduction circuit. In each session, these session keys are exchanged, the session keys generated by other devices are received, the encryption with this session key is performed, and then the license key etc. is transmitted to ensure the security strength in the session. Can be improved.
[0114]
FIG. 5 is a schematic block diagram illustrating a configuration of the
[0115]
The
[0116]
The
[0117]
The
[0118]
The operation in the distribution session of the
[0119]
FIG. 6 is a schematic block diagram for explaining the configuration of the
[0120]
The
[0121]
The
[0122]
The
[0123]
As described above, the
[0124]
FIG. 7 is a schematic block diagram for explaining the configuration of the
[0125]
The
[0126]
The
[0127]
The
[0128]
The
[0129]
Further, the
[0130]
The
[0131]
In FIG. 7, a region surrounded by a dotted line constitutes a
[0132]
On the other hand, the
[0133]
The operation of each component of the
[0134]
FIG. 8 is a schematic block diagram for explaining the configuration of
[0135]
As already described, KPmw and Kmw are provided as the class public encryption key and class secret decryption key of the memory card, and the memory card class certificate Cmw is provided. In the
[0136]
Therefore, the
[0137]
As described above, by providing an encryption key for a recording device called a memory card, management of distributed content data and encrypted license keys can be executed in units of memory cards, as will be apparent from the following description. It becomes possible.
[0138]
The
[0139]
The
[0140]
The
[0141]
The
[0142]
The
[0143]
All configurations except the data region 1415C are configured in a tamper resistant module region.
[0144]
FIG. 9 is a schematic block diagram showing the configuration of the
[0145]
The
[0146]
The operation of each session in the data distribution system shown in FIGS. 1 and 2 will be described below.
[0147]
[Distribution 1]
First, an operation of distributing encrypted content data and a license from the
[0148]
10 to 13 show a distribution operation (hereinafter also referred to as a distribution session) to the
[0149]
Prior to the processing in FIG. 10, it is assumed that the user of the
[0150]
Referring to FIG. 10, a distribution request is made by the user of
[0151]
When the purchase condition AC for the encrypted content data is input, the
[0152]
In addition to the authentication data {KPm7 // Cm7} KPa from the
[0153]
The
[0154]
The
[0155]
Upon receiving the class public encryption key KPm7 and the class certificate Cm7 as a result of the authentication, the
[0156]
On the other hand, if the class certificate of the
[0157]
As a result of authentication, when it is confirmed that the access is from a personal computer including a license management device having valid authentication data and the class is not included in the prohibited class list, the
[0158]
The transaction ID and the encrypted session key Ks1 are output to the outside as the transaction ID // {Ks1} Km7 via the bus BS1 and the communication device 350 (step S124).
[0159]
Referring to FIG. 11, when
[0160]
When the
[0161]
In the distribution session, the
[0162]
The
[0163]
The encrypted data {Ks2 // KPmc8 // CRLdate} Ks1 output to the bus BS3 is output from the bus BS3 to the
[0164]
The
[0165]
The
[0166]
The
[0167]
Referring to FIG. 12, in
[0168]
When it is determined that the data is latest, the
[0169]
Then, the
[0170]
On the other hand, when the
[0171]
The
[0172]
The
[0173]
At this stage, the bus BS5 has an encryption license {transaction ID // content ID // Kc // ACm // ACp} Kmc8} that can be decrypted with the secret decryption key Kmc8 held in the
[0174]
Steps S152, S154, S156, and S158 are operations for distributing licenses to the
[0175]
After step S158 or step S170, the encryption license {transaction ID // content ID // Kc // ACm // ACp} Kmc8 is decrypted by the individual secret decryption key Kmc8 in the
[0176]
Referring to FIG. 13,
[0177]
The
[0178]
The
[0179]
The
[0180]
Upon receiving the transaction ID // delivery acceptance (step S194), the
[0181]
In this way, the
[0182]
Furthermore, the encryption keys generated by the distribution server and the license management module are exchanged, encryption is performed using the encryption keys received by each other, and the encrypted data is transmitted to the other party. In fact, mutual authentication can be performed in sending and receiving encrypted data, and the security of the data distribution system can be improved.
[0183]
Further, when receiving the encrypted content data and the license from the
[0184]
According to the flowcharts shown in FIGS. 10 to 13, the encrypted content data and the license can be distributed to the
[0185]
In the distribution of the encrypted content data and license to the
[0186]
[Distribution 2]
Next, in the data distribution system shown in FIGS. 1 and 2, an operation for distributing encrypted content data and a license from the
[0187]
Prior to the processing in FIG. 14, it is assumed that the user of the
[0188]
FIGS. 14 to 17 illustrate first to first distribution operations to the
[0189]
Referring to FIG. 14, the user of
[0190]
When the encrypted content data purchase condition AC is input, the
[0191]
The
[0192]
From the decryption processing result in the
[0193]
Here, the
[0194]
When the public encryption key KPm5 and the certificate Cm5 are accepted as a result of the authentication, the
[0195]
On the other hand, if the class certificate of the
[0196]
As a result of the authentication, when the public encryption key KPm5 and the certificate Cm5 are accepted and it is confirmed that the class certificate is not included in the prohibited class list, the
[0197]
The transaction ID and the encrypted session key Ks1 are output to the outside as the transaction ID // {Ks1} Km5 via the bus BS1 and the communication device 350 (step S220).
[0198]
Referring to FIG. 15, when
[0199]
Upon confirming acceptance of the session key Ks1 generated by the
[0200]
The
[0201]
The
[0202]
The
[0203]
The
[0204]
Referring to FIG. 16, in
[0205]
When it is determined that the data is latest, the
[0206]
The
[0207]
On the other hand, when the
[0208]
The
[0209]
The
[0210]
The
[0211]
Steps S246, S248, and S250 are operations for distributing the license key Kc and the like to the
[0212]
After step S250 or step S260, the encrypted license {transaction ID // content ID // Kc // ACm // ACp} Kmc6 is decrypted by the secret decryption key Kmc6 and the license (license key Kc, transaction ID, content ID). The access control information ACm and the reproduction control information ACp) are accepted (step S262).
[0213]
Referring to FIG. 17,
[0214]
The
[0215]
The
[0216]
The
[0217]
Upon receiving the transaction ID // delivery acceptance (step S284), the
[0218]
In this way, by exchanging the encryption keys generated respectively by the distribution server and the license management module, performing encryption using the encryption keys received by each other, and transmitting the encrypted data to the other party, The
[0219]
However, in the
[0220]
[Move]
In the data distribution system shown in FIGS. 1 and 2, the encrypted content data and license distributed from the
[0221]
18 to 21 show a memory card in which the encrypted content data and the license received by the
[0222]
It is assumed that the user of the
[0223]
Referring to FIG. 18, when a movement request is input from
[0224]
Upon receiving the authentication data transmission request,
[0225]
Then, the
[0226]
Here, since the
[0227]
If it is recognized that the memory card is a legitimate memory card as a result of the authentication, the
[0228]
On the other hand, if the class certificate of the
[0229]
As a result of authentication, when it is confirmed that the access is from a playback terminal including a memory card having valid authentication data and the class is not included in the prohibited class list, the
[0230]
Referring to FIG. 19,
[0231]
Then, the encryption processing unit 1406 uses the session key Ks2, the individual public encryption key KPmc4, and the update date / time CRLdate of the prohibited class list acquired by sequentially switching the terminals of the
[0232]
The
[0233]
Then,
[0234]
Next, the
[0235]
If it is determined in step S346 that the encrypted content data cannot be played back (playback count = 0) or the moving / duplicate flag is mobile copying prohibited (= 0), the access control information ACm determines that copying cannot be performed, The process proceeds to step S404, and the moving operation ends. In step S346, if the encrypted content data can be reproduced (the number of times of reproduction ≠ 0) and the transfer / copy flag is only transferable, “= 1”, it is determined that the license has been transferred, and the
[0236]
Referring to FIG. 20, the
[0237]
When it is determined that the
[0238]
The
[0239]
The
[0240]
[0241]
On the other hand, when it is determined in step S350 that the
[0242]
The
[0243]
The
[0244]
In the
[0245]
Steps S354, S356, S358, and S360 move the license key Kc and the like to the
[0246]
Referring to FIG. 21, after step S360 or step S372, the encryption license {transaction ID // content ID // Kc // ACm // ACp} Kmc4 is received by the decryption processing unit 1404 according to an instruction from the
[0247]
The
[0248]
The
[0249]
The
[0250]
Then, the
[0251]
Then, the
[0252]
In this way, after confirming that the
[0253]
In addition, the encryption keys generated by the license management device and the memory card are exchanged, encryption is performed using the encryption keys received by each other, and the encrypted data is transmitted to the other party. Even in the transmission / reception of encrypted data, mutual mutual authentication can be performed, and the security in the transfer operation of the encrypted content data and the license can be improved.
[0254]
Further, as is apparent from the description, the transfer process has been described. However, when the license copy is permitted by the content supplier, the process is executed as a copy process, and the license is held as it is in the
[0255]
Further, by using this moving operation, the user of the
[0256]
In the above description, the transfer of the license from the
[0257]
Further, the license received by the
[0258]
However, if the encrypted content data and the license with a low security level received by the
[0259]
[check out]
In the data distribution system shown in FIGS. 1 and 2, the operation of transmitting the encrypted content data and license distributed from the
[0260]
FIGS. 22 to 25 show the memory installed in the
[0261]
Prior to the processing in FIG. 20, the description will be made on the assumption that the user of the
[0262]
Referring to FIG. 22, when a checkout request is input from
[0263]
The
[0264]
If reproduction is restricted in step S504, the process proceeds to step S588, and the checkout operation ends. If there is no restriction on reproduction in step S504, the process proceeds to step S506. Then, the
[0265]
Upon receiving the authentication data transmission request,
[0266]
Then, the
[0267]
Here, since the
[0268]
When it is recognized that the memory card is a legitimate memory card as a result of the authentication, the
[0269]
Referring to FIG. 23, when it is confirmed that the access is from a playback terminal including a memory card having valid authentication data as a result of authentication and the class is not included in the prohibited class list, the
[0270]
Then, the encryption processing unit 1406 encrypts the session key Ks2, the individual public encryption key KPmc4, and the update date / time CRLdate acquired by sequentially switching the terminals of the
[0271]
The
[0272]
Referring to FIG. 24,
[0273]
When it is determined that the
[0274]
The
[0275]
The
[0276]
On the other hand, if it is determined in step S548 that the prohibited class list of the
[0277]
Then, the
[0278]
In the
[0279]
Steps S550, S552, and S554 are operations for checking out the license key Kc and the like to the
[0280]
Referring to FIG. 25, after step S554 or step S564, according to an instruction from
[0281]
The
[0282]
The
[0283]
The
[0284]
The
[0285]
The
[0286]
Then, the
[0287]
In this way, after confirming that the
[0288]
In addition, the encryption keys generated by the license management module and the memory card are exchanged, encryption is performed using the encryption keys received by each other, and the encrypted data is transmitted to the other party. Even when encrypted data is transmitted / received, virtual mutual authentication can be performed, and security in the checkout operation of the encrypted content data and the license can be improved.
[0289]
Further, by using this checkout operation, the user of the
[0290]
[check-in]
Next, in the data distribution system shown in FIGS. 1 and 2, an operation of returning the encrypted content data and license checked out from the
[0291]
26 to 28 illustrate first to first check-in operations for returning encrypted content data and licenses lent to the
[0292]
It is assumed that the user of the
[0293]
Referring to FIG. 26, when a check-in request is input from
[0294]
Upon receiving the authentication data transmission request,
[0295]
Then, the
[0296]
As a result of the authentication, if the memory card is recognized as a regular memory card, the
[0297]
Referring to FIG. 27,
[0298]
Then, the encryption processing unit 1406 decrypts the session key Ks2, the individual public encryption key KPmc4, and the update date / time CRLdate obtained by sequentially switching the terminals of the
[0299]
The
[0300]
Then, the
[0301]
In step S638, when the individual public encryption key KPmc4 is not included in the check-out information, the check-in operation ends (step S670). In step S638, if the individual public encryption key KPmc4 is included in the checkout information, the
[0302]
The
[0303]
The
[0304]
Referring to FIG. 28,
[0305]
The
[0306]
Thereafter, the
[0307]
Then, the
[0308]
The
[0309]
In this way, by returning the encrypted content data and license from the other party that has checked out the encrypted content data and license, the license is transferred from the license management module with a low security level that is prohibited to move. The license can be rented to a memory card with a higher security level and the license acquired by the license management module with a lower security level can be received on the memory card. I can enjoy it.
[0310]
The license lent to the memory card is specified by the access control information ACm so that the checked out license cannot be output from the memory card to other recording devices (memory card, license management device, and license management module). As a result, the licenses that have been lent will not be leaked. By checking in (returning) to the lent license management module, the rented license right returns to the lent license management module. Therefore, it is not allowed to copy against the intention of the author, and is not a process that lowers the security level, and the copyright is also protected.
[0311]
[Regeneration]
Next, with reference to FIG. 29 and FIG. 30, the reproduction operation of the content data checked out to the
[0312]
Referring to FIG. 29, along with the start of the playback operation, a playback instruction is input to playback terminal 100 from operation terminal 1108 by the user of playback terminal 100 (step S700). Then, the
[0313]
Then, the
[0314]
If it is determined in step S710 that the class certificate Cp1 is not included in the prohibited class list data CRL, the session
[0315]
[0316]
Then, the
[0317]
Referring to FIG. 30,
[0318]
The
[0319]
In response to the entry number input, the
[0320]
In step S728, by confirming the access restriction information ACm, which is information relating to restrictions on memory access, specifically, by confirming the number of times of reproduction, if the reproduction is already impossible, the reproduction operation is performed. When the number of reproductions of the access restriction information is limited, the number of reproductions of the access restriction information ACm is updated (reduced by 1), and the process proceeds to the next step (step S730). On the other hand, when the reproduction is not restricted by the number of reproductions of access restriction information ACm, step S730 is skipped, and the process proceeds to the next step (step S732) without updating the number of reproductions of access restriction information ACm. Is done.
[0321]
If it is determined in step S728 that playback is possible in the playback operation, the license key Kc and playback control information ACp of the playback request song recorded in the
[0322]
The obtained license key Kc and reproduction control information ACp are sent to the encryption processing unit 1406 via the contact Pf of the
[0323]
The encrypted data output to the bus BS4 is transmitted to the
[0324]
In the
[0325]
The
[0326]
In step S740, when it is determined that reproduction is not possible based on the reproduction control information ACp, the reproduction operation is terminated.
[0327]
If it is determined in step S740 that playback is possible, the
[0328]
The
[0329]
Then, the
[0330]
The decrypted content data Dc is output to the
[0331]
In the above description, the encrypted content data recorded in the
[0332]
With reference to FIG. 31, the management of encrypted content data and licenses received by the
[0333]
The
[0334]
The content files 1531 to 1535 are files for recording the encrypted content data {Dc} Kc and the additional information Dc-inf received by the
[0335]
The
[0336]
Referring to FIG. 31,
[0337]
When moving the encrypted content data with the file name recorded in the
[0338]
The
[0339]
The license of the encrypted content data received by the
[0340]
Then, for example, when the encrypted content data having the file name recorded in the
[0341]
Thus, in the present invention, the encrypted content data and license received by the
[0342]
FIG. 32 shows a data area 1415C and a license area 1415C in the
[0343]
When the
[0344]
Therefore, a license of encrypted content data with a high security level received by the
[0345]
The
[0346]
The
[0347]
[Ripping]
In addition to acquiring encrypted content data and a license by distribution, the user of the
[0348]
Some recent music CDs have a digital watermark called a watermark inserted into the music data. In the watermark, the range of use by the user is written as a use rule by the copyright holder. When ripping from music data in which usage rules are written, it is necessary to follow these usage rules from the viewpoint of copyright protection. After that, as usage rules, replication conditions (replication prohibition / replicatable generation / replicatable), valid period of replication, maximum number of checkouts, editing, playback speed, reproducible area code, playback limit on replication, available Suppose the time is listed. There are also conventional music CDs in which no watermark is detected, that is, usage rules are not written.
[0349]
In addition to ripping music data directly from a music CD, the ripping may digitize a music signal input as an analog signal and obtain it as music data. Furthermore, music data that has been compression-encoded to reduce the amount of data can be input. Furthermore, content data distributed by a distribution system other than the distribution system according to the present embodiment can be input as input.
[0350]
With reference to FIGS. 33 and 34, acquisition of encrypted content data and a license by ripping from a music CD on which music data is recorded will be described.
[0351]
FIG. 33 is a functional block diagram showing functions of software for ripping music data read from the CD by the CD-
[0352]
The watermark detection means 5400 detects the watermark from the music data acquired from the music CD, and extracts the usage rules described. The
[0353]
The
[0354]
The
[0355]
With reference to FIG. 34, the ripping operation in the
[0356]
If it is determined in step S802 that ripping is possible, the music data is taken from the music CD, and the watermark included in the music data is replaced by the
[0357]
On the other hand, if no watermark is detected in step S802, the
[0358]
After step S808 or S812, the
[0359]
Then, the
[0360]
As described above, the encrypted content data and the license can also be acquired from the music CD by ripping, and the acquired license is protected and managed together with the content distributed from the
[0361]
With reference to FIGS. 35 to 37, the generation of a license in step S806 of the flowchart shown in FIG. 34 will be described in detail. The
[0362]
Referring to FIG. 35,
[0363]
In the
[0364]
Referring to FIG. 36,
[0365]
The license key is a common key in the Triple-DES triple-DES system when a license is generated, and is used for encrypting and decrypting content data and generated by generating a random number.
[0366]
Referring to FIG. 37, access control information ACm is made up of a reproducible number of times Play_count and movement / duplication control information Move_count. 1 byte is assigned to each of the playable count Play_count, the movement / copy control information Move_count, and the protection level Safe_Level.
[0367]
The playable count Play_count includes “0” indicating that the encrypted content data cannot be played back, “1 to 254” indicating the number of times that the encrypted content data can be played back, and “255” indicating that the encrypted content data can be played back indefinitely. "Is written. When the reproducible number “1 to 254” is written, the reproducible number is decremented by one every time the encrypted content data is reproduced.
[0368]
The transfer / copy control information Move_count includes “0” indicating that transfer and copy of the encrypted content data and the license is prohibited, transfer of the encrypted content data and the license is not allowed, and the encrypted content data and “1 to 15” indicating that copying of the license is permitted with limitation, that the transfer of the encrypted content data and the license is permitted with limitation, and that the encrypted content data and the license cannot be copied. “240” to “253”, “254” indicating that the transfer of the encrypted content data and the license is permitted and the copy of the encrypted content data and the license is prohibited, and the transfer of the encrypted content data and the license Indicates unlimited copying allowed 255 "one of the is written. When “1-15” is written in the movement / copying control information Move_count, the numerical value is decremented by 1 each time the encrypted content data and the license are copied. When the numerical value becomes “0”, the transfer and copying of the encrypted content data and the license are prohibited. Further, when “240-253” is written in the movement / copy control information Move_count, the numerical value is incremented by one each time the encrypted content data and the license are moved. When the numerical value reaches 254, transfer of the encrypted content data and license is permitted, and copying of the encrypted content data and license is prohibited. “17 to 239” is unused.
[0369]
The protection level Safe_Level is a numerical value of the security level required for the license. In the future, it is arranged so that it can cope with changes in key length used for cryptographic processing, security strength for recording licenses, etc. For example, security is ensured by hardware, such as the
[0370]
The reproduction control information ACp includes a 1-byte flag and a plurality of pieces of information that are enabled by the flag. flag (i) indicates the i-th bit of the 1-byte flag. The reproduction control information ACp includes flag (0), flag (1), flag (2) + Play_length, flag (3) + not_after, flag (4) not_before, flag (5) + Region_code.
[0371]
flag (0) indicates whether or not the playback speed of the encrypted content data can be converted. flag (1) indicates whether or not the encrypted content data can be edited. flag (2) + Play_length indicates the reproducible size of the encrypted content data, and indicates the size of the partial playback when performing partial playback. flag (3) + not_after indicates the date and time when the use of the encrypted content data ends. flag (4) not_before indicates the date and time when the use of the encrypted content data can be started. flag (5) + Region_code indicates the region code of the encrypted content data. Note that the use of encrypted content data in flag (3) + not_after and flag (4) not_before means playing, moving, copying, checking out, and checking in encrypted content data.
[0372]
In the possible checkout number checkout_count, either “0” for prohibiting checkout or “number of 1 or more” indicating the number of possible checkouts is written. Then, when “1 or more” is written in the checkout count “checkout_count”, the numerical value is decremented by 1 every time it is checked out, and the numerical value is incremented by 1 every time it is checked in.
[0373]
The
[0374]
Note that the encrypted content data and license acquired by ripping from the music CD are managed by software in the same manner as the encrypted content data and license received by the
[0375]
In the above description, the
[0376]
Therefore, the
[0377]
Of course, the personal computer according to the present invention may have a function of receiving the encrypted content data and the license by the
[0378]
Since the license by ripping is generated by the
[0379]
According to the embodiment of the present invention, a personal computer acquires content data from a music CD or by Internet distribution, and encrypts it according to the content of a watermark (also referred to as duplication permission information) included in the content data. Since content data and a license are generated, it is possible to generate encrypted content data and a local license according to the contents of the watermark by ripping.
[0380]
The embodiment disclosed this time should be considered as illustrative in all points and not restrictive. The scope of the present invention is shown not by the above description of the embodiments but by the scope of claims for patent, and is intended to include meanings equivalent to the scope of claims for patent and all modifications within the scope.
[Brief description of the drawings]
FIG. 1 is a schematic diagram conceptually illustrating a data distribution system.
FIG. 2 is a schematic diagram conceptually illustrating another data distribution system.
3 is a diagram showing characteristics of data, information, etc. for communication in the data distribution system shown in FIGS. 1 and 2. FIG.
4 is a diagram showing characteristics of data, information, etc. for communication in the data distribution system shown in FIGS. 1 and 2. FIG.
5 is a schematic block diagram showing a configuration of a distribution server in the data distribution system shown in FIGS. 1 and 2. FIG.
6 is a schematic block diagram showing a configuration of a personal computer in the data distribution system shown in FIGS. 1 and 2. FIG.
7 is a schematic block diagram showing a configuration of a mobile phone in the data distribution system shown in FIG.
8 is a schematic block diagram showing a configuration of a memory card in the data distribution system shown in FIGS. 1 and 2. FIG.
9 is a schematic block diagram showing the configuration of a license management device built in the personal computer shown in FIG.
FIG. 10 is a first flowchart for explaining a distribution operation with a high security level in the data distribution system shown in FIGS. 1 and 2;
11 is a second flowchart for explaining a distribution operation with a high security level in the data distribution system shown in FIGS. 1 and 2. FIG.
12 is a third flowchart for explaining a distribution operation with a high security level in the data distribution system shown in FIGS. 1 and 2. FIG.
FIG. 13 is a fourth flowchart for explaining a distribution operation with a high security level in the data distribution system shown in FIGS. 1 and 2;
FIG. 14 is a first flowchart for explaining a distribution operation with a low security level in the data distribution system shown in FIGS. 1 and 2;
FIG. 15 is a second flowchart for explaining a distribution operation with a low security level in the data distribution system shown in FIGS. 1 and 2;
16 is a third flowchart for explaining a distribution operation with a low security level in the data distribution system shown in FIGS. 1 and 2. FIG.
FIG. 17 is a fourth flowchart for explaining a distribution operation with a low security level in the data distribution system shown in FIGS. 1 and 2;
18 is a first flowchart for explaining a license transfer operation of encrypted content data in the data distribution system shown in FIGS. 1 and 2. FIG.
FIG. 19 is a second flowchart for explaining the license transfer operation of the encrypted content data in the data distribution system shown in FIGS. 1 and 2;
20 is a third flowchart for explaining a license transfer operation for encrypted content data in the data distribution system shown in FIGS. 1 and 2. FIG.
FIG. 21 is a fourth flowchart for explaining the license transfer operation of the encrypted content data in the data distribution system shown in FIGS. 1 and 2;
FIG. 22 is a first flowchart for explaining a license checkout operation of encrypted content data in the data distribution system shown in FIGS. 1 and 2;
23 is a second flowchart for explaining the license checkout operation of the encrypted content data in the data distribution system shown in FIGS. 1 and 2. FIG.
FIG. 24 is a third flowchart for explaining the license checkout operation of the encrypted content data in the data distribution system shown in FIGS. 1 and 2;
FIG. 25 is a fourth flowchart for explaining the license checkout operation of the encrypted content data in the data distribution system shown in FIGS. 1 and 2;
FIG. 26 is a first flowchart for explaining a license check-in operation for encrypted content data in the data distribution system shown in FIGS. 1 and 2;
FIG. 27 is a second flowchart for explaining the license check-in operation of the encrypted content data in the data distribution system shown in FIGS. 1 and 2;
FIG. 28 is a third flowchart for explaining the license check-in operation of the encrypted content data in the data distribution system shown in FIGS. 1 and 2;
FIG. 29 is a first flowchart for explaining a reproduction operation in the mobile phone.
FIG. 30 is a second flowchart for explaining the reproduction operation in the mobile phone.
FIG. 31 is a diagram showing a configuration of a content list file in a hard disk of a personal computer.
FIG. 32 is a diagram showing the structure of a playlist file in a memory card.
FIG. 33 is a functional block diagram for explaining functions of software for executing ripping.
34 is a flowchart for explaining a ripping operation in the data distribution system shown in FIGS. 1 and 2; FIG.
FIG. 35 is a format diagram of a content ID.
FIG. 36 is a format diagram of a transaction ID.
FIG. 37 is a chart for explaining a configuration of media access conditions, decoder access conditions, and the number of checkouts possible.
[Explanation of symbols]
1 Content ID, 2, 5 Fixed area, 3, 6 Management area, 4 Transaction ID, 7 MSB 8 Reserve, 10 Distribution server, 20 Distribution carrier, 30 Internet network, 40 Modem, 50 Personal computer, 60 CD, 70 USB cable , 100, 102 Mobile phone, 110 Memory card, 130 Headphone, 150 Content list file, 160 Playback list file, 302 Charging database, 304 Information database, 306 CRL database, 307 Menu database, 308 Distribution record database, 310 Data processing unit , 312, 320, 1404, 1408, 1412, 1422, 1504, 1510, 1516, 5204, 5208, 5212, 5222 Decryption processing unit, 313 Authentication key holding unit 315 Distribution control unit, 316, session key generation unit, 318, 326, 328, 1406, 1410, 1417, 1506, 5206, 5210, 5217, 5405 encryption processing unit, 350 communication device, 510, 1106, 1420, 5220 controller, 511 license management module, 520 license management device, 530 hard disk, 540 CD-ROM drive, 550, 1112 USB interface, 560 keyboard, 570 display, 580, 1114, 1426, 1530, 5226 terminal, 1108 operation panel, 1110 display panel, 1200 Memory card interface, 1400, 1500, 5200 Authentication data holding unit, 1402, 5202 Kmc holding unit, 1414, 5214 KPa holding unit 1415, 5215 Memory, 1415A, 5215A CRL area, 1415B Playlist, 1415C, 5215B License area, 1415D Data area, 1416, 5216 KPmc holding part, 1418, 5218 Session key generating part, 1421, 5221 Km holding part, 1424, 5224 Interface, 1442, 1446 changeover switch, 1502 Kp1 holding unit, 1518 music playback unit, 1519 DA converter, 1521-1525, 1621-162n license management file, 1531-1535, 1611-161n content file, 1550 content playback device, 5400 Watermark detection means 5401 Watermark determination means 5402 Remark means 5403 License generation means 5404 Music encoder.
Claims (17)
前記コンテンツデータに含まれる複製可否情報に基づいて前記ローカルライセンスを生成し、その生成したローカルライセンスに含まれるライセンス鍵によって前記コンテンツデータを暗号化して前記暗号化コンテンツデータを生成する暗号化コンテンツ生成手段と、
前記生成したローカルライセンスに独自の暗号化を施した暗号化ローカルライセンスを生成する暗号処理手段と、
前記暗号化ローカルライセンスおよび暗号化コンテンツデータを記憶する記憶手段と、
制御部とを備え、
前記制御部は、前記取得したコンテンツデータを前記暗号化コンテンツ生成手段へ与え、前記ローカルライセンスを前記暗号処理手段へ与え、
前記暗号化コンテンツ生成手段は、
前記複製可否情報を前記コンテンツデータから検出する複製可否情報検出手段と、
前記検出した複製可否情報を判定する複製可否情報判定手段と、
前記複製可否情報判定手段の判定結果に基づいて複製条件を変更して前記コンテンツデータに書込む複製条件変更手段と、
前記複製条件変更手段からのコンテンツデータを所定の方式に符号化する符号化手段と、
前記複製可否情報判定手段の判定結果に基づいて前記ローカルライセンスを生成するライセンス生成手段と、
前記所定の方式に符号化されたコンテンツデータを前記ライセンス鍵によって暗号化する暗号手段とを含み、
前記ライセンス生成手段は、前記暗号化コンテンツデータを特定するコンテンツ識別子と、前記暗号化コンテンツデータおよび前記ライセンスを他の装置へ貸出すときの通信を特定する通信識別子と、前記ライセンス鍵と、前記暗号化コンテンツデータおよび前記ローカルライセンスを記録するデータ記録装置に対する記録装置アクセス条件と、前記ライセンスによって前記暗号化コンテンツデータを復号して再生するデータ再生装置に対する再生装置アクセス条件とから成る前記ローカルライセンスを生成する、データ端末装置。A data terminal device that obtains plaintext content data and generates encrypted content data obtained by encrypting the content data, and a local license for decrypting and reproducing the encrypted content data,
Encrypted content generation means for generating the local license based on duplication permission information included in the content data, and generating the encrypted content data by encrypting the content data with a license key included in the generated local license When,
An encryption processing means for generating an encrypted local license obtained by applying an original encryption to the generated local license;
Storage means for storing the encrypted local license and encrypted content data;
A control unit,
The control unit gives the acquired content data to the encrypted content generation unit, gives the local license to the encryption processing unit,
The encrypted content generation means includes:
Copy permission / inhibition information detection means for detecting the copy permission / inhibition information from the content data;
Duplication availability information determination means for determining the detected duplication availability information;
A copy condition changing means for changing the copy condition based on the determination result of the copy permission / inhibition information determining means and writing it in the content data;
Encoding means for encoding the content data from the duplication condition changing means into a predetermined method;
License generation means for generating the local license based on the determination result of the duplication permission information determination means;
And encryption means for encrypting the content data encoded in the predetermined scheme with the license key,
The license generating means includes a content identifier for specifying the encrypted content data, a communication identifier for specifying communication when the encrypted content data and the license are lent to another device, the license key, and the encryption key. Generating a local license comprising recording device access conditions for a data recording device that records encrypted content data and the local license, and playback device access conditions for a data playback device that decrypts and plays back the encrypted content data using the license A data terminal device.
前記配信サーバとの間で相互認証を行って前記暗号化コンテンツデータおよび前記ライセンスを前記配信サーバから受信し、かつ、前記ライセンスを保持するライセンス管理デバイスと、
前記コンテンツデータに含まれる複製可否情報に基づいて前記ローカルライセンスを生成し、その生成したローカルライセンスに含まれるライセンス鍵によって前記コンテンツデータを暗号化して前記暗号化コンテンツデータを生成する暗号化コンテンツ生成手段と、
前記生成したローカルライセンスに独自の暗号化を施した暗号化ローカルライセンスを生成する暗号処理手段と、
前記ライセンス、前記暗号化ローカルライセンスおよび前記暗号化コンテンツデータを記憶する記憶手段と、
制御部とを備え、
前記制御部は、前記取得したコンテンツデータを前記暗号化コンテンツ生成手段へ与え、前記ローカルライセンスを前記暗号処理手段へ与え、
前記暗号化コンテンツ生成手段は、
前記複製可否情報を前記コンテンツデータから検出する複製可否情報検出手段と、
前記検出した複製可否情報を判定する複製可否情報判定手段と、
前記複製可否情報判定手段の判定結果に基づいて複製条件を変更して前記コンテンツデータに書込む複製条件変更手段と、
前記複製条件変更手段からのコンテンツデータを所定の方式に符号化する符号化手段と、
前記複製可否情報判定手段の判定結果に基づいて前記ローカルライセンスを生成するライセンス生成手段と、
前記所定の方式に符号化されたコンテンツデータを前記ライセンス鍵によって暗号化する暗号手段とを含み、
前記ライセンス生成手段は、前記暗号化コンテンツデータを特定するコンテンツ識別子と、前記暗号化コンテンツデータおよび前記ライセンスを他の装置へ貸出すときの通信を特定する通信識別子と、前記ライセンス鍵と、前記暗号化コンテンツデータおよび前記ローカルライセンスを記録するデータ記録装置に対する記録装置アクセス条件と、前記ライセンスによって前記暗号化コンテンツデータを復号して再生するデータ再生装置に対する再生装置アクセス条件とから成る前記ローカルライセンスを生成する、データ端末装置。Receiving encrypted content data obtained by encrypting content data and a license for decrypting and reproducing the encrypted content data from a distribution server, and / or obtaining the content data to obtain the encrypted content data; A data terminal device for generating a local license for decrypting and reproducing the encrypted content data,
A license management device that performs mutual authentication with the distribution server, receives the encrypted content data and the license from the distribution server, and holds the license;
Encrypted content generation means for generating the local license based on duplication permission information included in the content data, and generating the encrypted content data by encrypting the content data with a license key included in the generated local license When,
An encryption processing means for generating an encrypted local license obtained by applying an original encryption to the generated local license;
Storage means for storing the license, the encrypted local license and the encrypted content data;
A control unit,
The control unit gives the acquired content data to the encrypted content generation unit, gives the local license to the encryption processing unit,
The encrypted content generation means includes:
Copy permission / inhibition information detection means for detecting the copy permission / inhibition information from the content data;
Duplication availability information determination means for determining the detected duplication availability information;
A copy condition changing means for changing the copy condition based on the determination result of the copy permission / inhibition information determining means and writing it in the content data;
Encoding means for encoding the content data from the duplication condition changing means into a predetermined method;
License generation means for generating the local license based on the determination result of the duplication permission information determination means;
And encryption means for encrypting the content data encoded in the predetermined scheme with the license key,
The license generating means includes a content identifier for specifying the encrypted content data, a communication identifier for specifying communication when the encrypted content data and the license are lent to another device, the license key, and the encryption key. Generating a local license comprising recording device access conditions for a data recording device that records encrypted content data and the local license, and playback device access conditions for a data playback device that decrypts and plays back the encrypted content data using the license A data terminal device.
ソフトウエアによって、前記配信サーバとの間で相互認証を行い、かつ、前記暗号化コンテンツデータおよび前記ライセンスを前記配信サーバから受信するライセンス管理モジュールと、
前記コンテンツデータに含まれる複製可否情報に基づいて前記ローカルライセンスを生成し、その生成したローカルライセンスに含まれるライセンス鍵によって前記コンテンツデータを暗号化して前記暗号化コンテンツデータを生成する暗号化コンテンツ生成手段と、
前記生成したローカルライセンスに独自の暗号化を施した暗号化ローカルライセンス、または前記受信したライセンスに独自の暗号化を施した暗号化ライセンスを生成する暗号処理手段と、
前記暗号化ライセンス、前記暗号化ローカルライセンスおよび前記暗号化コンテンツデータを記憶する記憶手段と、
制御部とを備え、
前記制御部は、前記取得したコンテンツデータを前記暗号化コンテンツ生成手段へ与え、前記ローカルライセンスおよび前記ライセンスを前記暗号処理手段へ与え、
前記暗号化コンテンツ生成手段は、
前記複製可否情報を前記コンテンツデータから検出する複製可否情報検出手段と、
前記検出した複製可否情報を判定する複製可否情報判定手段と、
前記複製可否情報判定手段の判定結果に基づいて複製条件を変更して前記コンテンツデータに書込む複製条件変更手段と、
前記複製条件変更手段からのコンテンツデータを所定の方式に符号化する符号化手段と、
前記複製可否情報判定手段の判定結果に基づいて前記ローカルライセンスを生成するライセンス生成手段と、
前記所定の方式に符号化されたコンテンツデータを前記ライセンス鍵によって暗号化する暗号手段とを含み、
前記ライセンス生成手段は、前記暗号化コンテンツデータを特定するコンテンツ識別子と、前記暗号化コンテンツデータおよび前記ライセンスを他の装置へ貸出すときの通信を特定する通信識別子と、前記ライセンス鍵と、前記暗号化コンテンツデータおよび前記ローカルライセンスを記録するデータ記録装置に対する記録装置アクセス条件と、前記ライセンスによって前記暗号化コンテンツデータを復号して再生するデータ再生装置に対する再生装置アクセス条件とから成る前記ローカルライセンスを生成する、データ端末装置。Receiving encrypted content data obtained by encrypting content data and a license for decrypting and reproducing the encrypted content data from a distribution server, and / or obtaining the content data to obtain the encrypted content data; A data terminal device for generating a local license for decrypting and reproducing the encrypted content data,
A license management module for performing mutual authentication with the distribution server by software and receiving the encrypted content data and the license from the distribution server;
Encrypted content generation means for generating the local license based on duplication permission information included in the content data, and generating the encrypted content data by encrypting the content data with a license key included in the generated local license When,
An encryption local license obtained by applying an original encryption to the generated local license, or an encryption processing means for generating an encrypted license obtained by applying an original encryption to the received license;
Storage means for storing the encrypted license, the encrypted local license and the encrypted content data;
A control unit,
The control unit gives the acquired content data to the encrypted content generation unit, gives the local license and the license to the encryption processing unit,
The encrypted content generation means includes:
Copy permission / inhibition information detection means for detecting the copy permission / inhibition information from the content data;
Duplication availability information determination means for determining the detected duplication availability information;
A copy condition changing means for changing the copy condition based on the determination result of the copy permission / inhibition information determining means and writing it in the content data;
Encoding means for encoding the content data from the duplication condition changing means into a predetermined method;
License generation means for generating the local license based on the determination result of the duplication permission information determination means;
And encryption means for encrypting the content data encoded in the predetermined scheme with the license key,
The license generating means includes a content identifier for specifying the encrypted content data, a communication identifier for specifying communication when the encrypted content data and the license are lent to another device, the license key, and the encryption key. Generating a local license comprising recording device access conditions for a data recording device that records encrypted content data and the local license, and playback device access conditions for a data playback device that decrypts and plays back the encrypted content data using the license A data terminal device.
前記配信サーバとの間で相互認証を行って前記暗号化コンテンツデータおよび前記ライセンスを前記配信サーバから受信し、かつ、前記ライセンスを保持するライセンス管理デバイスと、
ソフトウエアによって、前記配信サーバとの間で相互認証を行い、かつ、前記暗号化コンテンツデータおよび前記ライセンスを前記配信サーバから受信するライセンス管理モジュールと、
前記コンテンツデータに含まれる複製可否情報に基づいて前記ローカルライセンスを生成し、その生成したローカルライセンスに含まれるライセンス鍵によって前記コンテンツデータを暗号化して前記暗号化コンテンツデータを生成する暗号化コンテンツ生成手段と、
前記生成したローカルライセンスに独自の暗号化を施した暗号化ローカルライセンス、または前記ライセンス管理モジュールによって受信されたライセンスに独自の暗号化を施した暗号化ライセンスを生成する暗号処理手段と、
前記暗号化ライセンス、前記暗号化ローカルライセンスおよび前記暗号化コンテンツデータを記憶する記憶手段と、
制御部とを備え、
前記制御部は、前記取得したコンテンツデータを前記暗号化コンテンツ生成手段へ与え、前記ライセンスおよび前記ローカルライセンスを前記暗号処理手段へ与え、
前記暗号化コンテンツ生成手段は、
前記複製可否情報を前記コンテンツデータから検出する複製可否情報検出手段と、
前記検出した複製可否情報を判定する複製可否情報判定手段と、
前記複製可否情報判定手段の判定結果に基づいて複製条件を変更して前記コンテンツデータに書込む複製条件変更手段と、
前記複製条件変更手段からのコンテンツデータを所定の方式に符号化する符号化手段と、
前記複製可否情報判定手段の判定結果に基づいて前記ローカルライセンスを生成するライセンス生成手段と、
前記所定の方式に符号化されたコンテンツデータを前記ライセンス鍵によって暗号化する暗号手段とを含み、
前記ライセンス生成手段は、前記暗号化コンテンツデータを特定するコンテンツ識別子と、前記暗号化コンテンツデータおよび前記ライセンスを他の装置へ貸出すときの通信を特定する通信識別子と、前記ライセンス鍵と、前記暗号化コンテンツデータおよび前記ローカルライセンスを記録するデータ記録装置に対する記録装置アクセス条件と、前記ライセンスによって前記暗号化コンテンツデータを復号して再生するデータ再生装置に対する再生装置アクセス条件とから成る前記ローカルライセンスを生成する、データ端末装置。Receiving encrypted content data obtained by encrypting content data and a license for decrypting and reproducing the encrypted content data from a distribution server, and / or obtaining the content data to obtain the encrypted content data; A data terminal device for generating a local license for decrypting and reproducing the encrypted content data,
A license management device that performs mutual authentication with the distribution server, receives the encrypted content data and the license from the distribution server, and holds the license;
A license management module for performing mutual authentication with the distribution server by software and receiving the encrypted content data and the license from the distribution server;
Encrypted content generation means for generating the local license based on duplication permission information included in the content data, and generating the encrypted content data by encrypting the content data with a license key included in the generated local license When,
An encryption processing unit that generates an encrypted local license obtained by applying an original encryption to the generated local license, or an encrypted license obtained by applying an original encryption to the license received by the license management module;
Storage means for storing the encrypted license, the encrypted local license and the encrypted content data;
A control unit,
The control unit gives the acquired content data to the encrypted content generation unit, gives the license and the local license to the encryption processing unit,
The encrypted content generation means includes:
Copy permission / inhibition information detection means for detecting the copy permission / inhibition information from the content data;
Duplication availability information determination means for determining the detected duplication availability information;
A copy condition changing means for changing the copy condition based on the determination result of the copy permission / inhibition information determining means and writing it in the content data;
Encoding means for encoding the content data from the duplication condition changing means into a predetermined method;
License generation means for generating the local license based on the determination result of the duplication permission information determination means;
And encryption means for encrypting the content data encoded in the predetermined scheme with the license key,
The license generating means includes a content identifier for specifying the encrypted content data, a communication identifier for specifying communication when the encrypted content data and the license are lent to another device, the license key, and the encryption key. Generating a local license comprising recording device access conditions for a data recording device that records encrypted content data and the local license, and playback device access conditions for a data playback device that decrypts and plays back the encrypted content data using the license A data terminal device.
前記暗号処理手段は、前記ローカルライセンスと前記貸出可能数とに独自の暗号化を施し、前記暗号化ローカルライセンスを生成する、請求項1から請求項4のいずれか1項に記載のデータ端末装置。The encrypted content generating means further generates a lent number for renting the generated encrypted content data and a local license to another device,
5. The data terminal device according to claim 1, wherein the encryption processing unit performs unique encryption on the local license and the lenttable number to generate the encrypted local license. 6. .
前記制御部は、前記暗号化コンテンツデータおよび前記ライセンス管理ファイルを前記記憶手段に与える、請求項1から請求項5のいずれか1項に記載のデータ端末装置。File generating means for generating a license management file including at least the encrypted local license;
6. The data terminal device according to claim 1, wherein the control unit provides the encrypted content data and the license management file to the storage unit. 7.
前記複製可否情報が複製を許可する複製許可情報であるとき、前記複製許可情報を反映したローカルライセンスを生成し、
前記コンテンツデータが前記複製可否情報を含まないとき、前記暗号化コンテンツデータを復号して再生するためのライセンスの複製および移動を禁止したローカルライセンスを生成する、請求項1から請求項6のいずれか1項に記載のデータ端末装置。The encrypted content generation means includes:
When the duplication permission information is duplication permission information permitting duplication, a local license reflecting the duplication permission information is generated,
7. The local license for prohibiting copying and transfer of a license for decrypting and reproducing the encrypted content data when the content data does not include the duplication permission / inhibition information. The data terminal device according to item 1.
前記制御部は、前記媒体駆動手段が前記記録媒体から読出したコンテンツデータを前記暗号化コンテンツ生成手段へ与える、請求項1から請求項8のいずれか1項に記載のデータ端末装置。A medium driving means for driving a recording medium on which the content data is recorded;
9. The data terminal device according to claim 1, wherein the control unit gives the content data read from the recording medium by the medium driving unit to the encrypted content generation unit. 10.
前記ライセンス生成手段は、前記コンテンツ識別子または前記通信識別子がデータ端末装置において生成されたことを示すローカル信号を前記固定領域に書込み、前記暗号化コンテンツデータに対応する識別番号を前記管理領域に書込んでコンテンツ識別子および通信識別子を生成する、請求項1から10のいずれか1項に記載のデータ端末装置。The content identifier and the communication identifier are composed of a fixed area and a management area following the fixed area,
The license generation means writes a local signal indicating that the content identifier or the communication identifier is generated in the data terminal device into the fixed area, and writes an identification number corresponding to the encrypted content data into the management area. The data terminal device according to any one of claims 1 to 10, wherein a content identifier and a communication identifier are generated by using the data terminal device.
前記暗号化コンテンツデータの再生の可否および可能回数を表す再生可能回数と、
前記暗号化コンテンツデータおよびローカルライセンスの移動および複製を制御する移動複製制御情報と、
前記ローカルライセンスの保護レベルを表す保護レベル情報とから成る、請求項1から10のいずれか1項に記載のデータ端末装置。The recording device access condition is:
Reproducible number of times representing the possibility and the reproducible number of times of reproduction of the encrypted content data;
Mobile copy control information for controlling the transfer and copy of the encrypted content data and the local license;
The data terminal device according to claim 1, comprising protection level information indicating a protection level of the local license.
前記移動複製制御情報は、
前記暗号化コンテンツデータおよび前記ローカルライセンスの移動および複製を禁止する第1の制御情報と、
前記暗号化コンテンツデータおよび前記ローカルライセンスの移動を禁止し、前記暗号化コンテンツデータおよび前記ローカルライセンスの複製を条件付きで許諾する第2の制御情報と、
前記暗号化コンテンツデータおよび前記ローカルライセンスの移動および複製を条件付きで許諾する第3の制御情報と、
前記暗号化コンテンツデータおよび前記ローカルライセンスの移動を許可し、前記暗号化コンテンツデータおよび前記ローカルライセンスの複製を禁止する第4の制御情報と、
前記暗号化コンテンツデータおよび前記ローカルライセンスの移動および複製を無制限に許諾する第5の制御情報とから成る、請求項13に記載のデータ端末装置。The reproducible number of times includes a first reproducible number of times consisting of a fixed value indicating that the encrypted content data cannot be replayed, and a second variable value which monotonously decreases each time permission of reproduction of the encrypted content data is permitted. The number of reproducible times and a third number of reproducible times that allows unlimited reproduction of the encrypted content data,
The mobile replication control information is
First control information for prohibiting transfer and copying of the encrypted content data and the local license;
Second control information that prohibits transfer of the encrypted content data and the local license, and conditionally permits copying of the encrypted content data and the local license;
Third control information for permitting conditional transfer and copying of the encrypted content data and the local license;
Fourth control information that permits transfer of the encrypted content data and the local license, and prohibits copying of the encrypted content data and the local license;
14. The data terminal device according to claim 13, comprising: fifth control information that permits unlimited transfer and copying of the encrypted content data and the local license.
前記第3の制御情報は、前記暗号化コンテンツデータおよび前記ローカルライセンスの移動および複製毎に単調増加する変動値を含む、請求項14に記載のデータ端末装置。The second control information includes a variation value that monotonously decreases for each copy of the encrypted content data and the local license and represents the number of times that the copy can be made
The data terminal device according to claim 14, wherein the third control information includes a fluctuation value that monotonously increases for each transfer and copy of the encrypted content data and the local license.
前記暗号化コンテンツデータの再生速度の変換可否を示す第1の信号と、
前記暗号化コンテンツデータの編集の可否を示す第2の信号と、
再生可能な暗号化コンテンツデータのサイズを示す第3の信号と、
前記暗号化コンテンツデータの利用最終日時を示す第4の信号と、
前記暗号化コンテンツデータの利用開始日時を示す第5の信号と、
地域コードとから成る、請求項1から10のいずれか1項に記載のデータ端末装置。The playback device access condition is:
A first signal indicating whether or not conversion of the playback speed of the encrypted content data is possible;
A second signal indicating whether or not the encrypted content data can be edited;
A third signal indicating the size of reproducible encrypted content data;
A fourth signal indicating the last use date and time of the encrypted content data;
A fifth signal indicating a use start date and time of the encrypted content data;
The data terminal device according to claim 1, comprising a region code.
前記暗号化コンテンツデータおよび前記ローカルライセンスの貸出しを禁止する禁止情報と、
前記暗号化コンテンツデータおよび前記ローカルライセンスの貸出し毎に単調減少し、前記暗号化コンテンツデータおよび前記ローカルライセンスの返却毎に単調増加する貸出許可情報とから成る、請求項1から10のいずれか1項に記載のデータ端末装置。The lending information is
Prohibition information prohibiting the lending of the encrypted content data and the local license;
11. The lending permission information that decreases monotonously for each rental of the encrypted content data and the local license and monotonously increases for each return of the encrypted content data and the local license. The data terminal device described in 1.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000361631A JP4593764B2 (en) | 2000-11-28 | 2000-11-28 | Data terminal equipment |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000361631A JP4593764B2 (en) | 2000-11-28 | 2000-11-28 | Data terminal equipment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002164879A JP2002164879A (en) | 2002-06-07 |
| JP4593764B2 true JP4593764B2 (en) | 2010-12-08 |
Family
ID=18833033
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000361631A Expired - Fee Related JP4593764B2 (en) | 2000-11-28 | 2000-11-28 | Data terminal equipment |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4593764B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004118327A (en) | 2002-09-24 | 2004-04-15 | Sony Corp | Content use control device, content use control method, and computer program |
| JP4764080B2 (en) * | 2005-07-06 | 2011-08-31 | アルパイン株式会社 | Content transfer method and content transfer system |
| JP2007129413A (en) * | 2005-11-02 | 2007-05-24 | Ntt Data Corp | Information processing system and computer program |
| JP5068949B2 (en) * | 2006-01-13 | 2012-11-07 | フェリカネットワークス株式会社 | Content distribution system, content usage management server, device including content reproduction permission data management key storage means, information processing apparatus and computer program connected with content reproduction permission data management key storage means |
| JP4694532B2 (en) * | 2007-05-24 | 2011-06-08 | 日本電信電話株式会社 | Information processing system |
| JP6126839B2 (en) * | 2012-12-26 | 2017-05-10 | クラリオン株式会社 | Service management apparatus, program, and service management method |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0522349B1 (en) * | 1991-07-01 | 1998-09-02 | Eastman Kodak Company | Method and apparatus for scanning a receiving medium |
| JP3627384B2 (en) * | 1996-01-17 | 2005-03-09 | 富士ゼロックス株式会社 | Information processing apparatus with software protection function and information processing method with software protection function |
| JP3765145B2 (en) * | 1996-02-02 | 2006-04-12 | 株式会社日立製作所 | Electronic information distribution method |
| JPH10108148A (en) * | 1996-09-27 | 1998-04-24 | Sony Corp | Digital data copyright protection method and protection system |
| JP3792896B2 (en) * | 1997-05-13 | 2006-07-05 | 株式会社東芝 | Information reproducing apparatus and information reproducing method |
| JP2915904B2 (en) * | 1997-07-07 | 1999-07-05 | 松下電器産業株式会社 | Data control method, data control information embedding method, data control information detection method, data control information embedding device, data control information detection device, and recording device |
| JPH1144785A (en) * | 1997-07-26 | 1999-02-16 | Victor Co Of Japan Ltd | Time setting apparatus and decoding device using the same |
| JP3278612B2 (en) * | 1998-05-22 | 2002-04-30 | 日本電気株式会社 | User mutual authentication device, client device and server device |
| JP4356178B2 (en) * | 1999-03-09 | 2009-11-04 | ソニー株式会社 | Playback device |
| JP2000308129A (en) * | 1999-04-16 | 2000-11-02 | Sanyo Electric Co Ltd | Music distribution system |
-
2000
- 2000-11-28 JP JP2000361631A patent/JP4593764B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002164879A (en) | 2002-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4409081B2 (en) | Data terminal equipment | |
| JP4743984B2 (en) | Data recording device | |
| JP4524480B2 (en) | Data terminal equipment | |
| JP2002271316A (en) | Reproducing equipment | |
| JP3696206B2 (en) | Data recording device that can restore original data that can only exist for a single purpose | |
| JP4010481B2 (en) | Data distribution system and data supply device, terminal device, and recording device used therefor | |
| CN1332523C (en) | data distribution system | |
| JP3677001B2 (en) | Data distribution system and recording device used therefor | |
| CN100471108C (en) | Data transmission system and recording device used in the system | |
| JP2002288375A (en) | Contents providing device and contents providing method and license server | |
| JP4323745B2 (en) | Storage device | |
| JP2000357213A (en) | Mutual authentication method, recording device, reproducing device, and recording medium | |
| JP2001022647A (en) | Content management method, content management device, and recording medium | |
| KR20010081105A (en) | Contents management system, device, method, and program storage medium | |
| JP3776352B2 (en) | Recording device | |
| JP4601153B2 (en) | Data terminal device and control method of data terminal device | |
| JP4593764B2 (en) | Data terminal equipment | |
| JP4553472B2 (en) | Data terminal equipment | |
| JP4737857B2 (en) | Data terminal equipment | |
| JP3631186B2 (en) | Data reproducing apparatus and data recording apparatus | |
| JP3851155B2 (en) | License transfer system, license management server, and data terminal device | |
| JP2002094500A (en) | Data terminal device | |
| JP4554801B2 (en) | Data terminal equipment | |
| JP2002288448A (en) | License recorder | |
| JP3967491B2 (en) | Recording device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061013 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100406 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20100519 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100528 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100615 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100806 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100831 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100916 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130924 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130924 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130924 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130924 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |