WO2013038592A1 - コンテンツ再生システム、情報処理端末、メディアサーバ、セキュアデバイスおよびサーバ・セキュアデバイス - Google Patents

Abstract

コンテンツ再生システムは、情報処理端末（１０２）で実行可能な第一の実行形式の第一のプログラムと、セキュアデバイス（１０３）で実行可能な第一の実行形式とは異なる第二の実行形式であって、且つ、セキュアデバイス（１０３）が保持するプログラム鍵（５１５）で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラム（３１５）を、アプリ配信サーバ（１１３）から受信し、第一のプログラムを抽出して実行することにより、第二のプログラムを抽出してセキュアデバイス（１０３）に送信する情報処理端末（１０２）と、情報処理端末（１０２）から第二のプログラムを受信し、鍵格納部（５２０）に格納されたプログラム鍵を用いて第二のプログラムを復号し、実行するセキュアデバイス（１０３）とを備える。

Description

コンテンツ再生システム、情報処理端末、メディアサーバ、セキュアデバイスおよびサーバ・セキュアデバイス

　本発明は、デジタルコンテンツに対する解析行為を防止する技術に関するものである。

　ビデオや音楽等のデジタルコンテンツ（以下、「コンテンツ」と称する場合は、デジタルコンテンツを指す）を不正なコピーから保護するため、著作権保護規格が様々な団体から提案されている。このような規格には、ロバストネスルールと呼ばれる実装基準を示した仕様が含まれることが一般的である。ロバストネスルールでは、悪意のあるユーザによる不正な改竄や解析を防止しうる著作権保護技術を実装することが求められている。

　ロバストネスルールに準拠した著作権保護技術は、ハードウェアで実装されるか、非特許文献１や非特許文献２で解説されるソフトウェアで構築される耐タンパー技術を用いて実装されることが一般的である。耐タンパー技術では、例えば、無駄なプログラムコードを挿入した状態でコンパイルする等の難読化を行っている。また、近年は、他の著作権保護技術として、非特許文献３で示されるようなＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）の実行モードを切り替える技術も用いられている。このような著作権保護規格の実装は、ＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）の分野では一般的である。

「逆解析や改変からソフトを守る」　日経エレクトロニクス１９９８．１．５（Ｐ２０９－２２０） 「ソフトウェアの耐タンパー化技術」富士ゼロックス　テクニカル　レポート　Ｎｏ．１３（Ｐ２０－２８） 「ＡＲＭ　Ｓｅｃｕｒｉｔｙ　Ｔｅｃｈｎｏｌｏｇｙ　Ｂｕｉｌｄｉｎｇ　ａ　Ｓｅｃｕｒｅ　Ｓｙｓｔｅｍ　ｕｓｉｎｇ　ＴｒｕｓｔＺｏｎｅ　Ｔｅｃｈｎｏｌｏｇｙ」

　しかしながら、ＰＣの分野だけでなく、Ｎｏｎ－ＰＣの分野においても、不正な改竄や解析に対する安全性の向上が求められている。

　そこで、本発明の目的は、かかる問題に鑑みてなされたものであって、不正な改竄や解析に対する安全性を向上させることができるコンテンツ再生システム等を提供する。

　上記目的を達成するために、本発明に係るセキュアデバイスの一態様は、所定のコンテンツの再生を行う情報処理端末と連携動作するセキュアデバイスであって、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信する第二の受信部と、前記プログラム鍵を格納する鍵格納部と、前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行する第二アプリ実行部とを備え、前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記コンテンツの配信を行うメディアサーバに対する認証処理を実行する。

　本発明のコンテンツ再生システム等によれば、不正な改竄や解析に対する安全性を向上させることができる。

図１は、実施の形態１におけるコンテンツ配信システムの全体構成図である。 図２は、実施の形態１におけるメディアサーバの構成図である。 図３は、実施の形態１における情報処理装置の構成図である。 図４は、実施の形態１におけるＤＬ著作権保護アプリの構成図である。 図５は、実施の形態１におけるセキュアデバイスの構成図である。 図６は、実施の形態１におけるコンテンツ再生の処理手順を示すフローチャート（１）である。 図７は、実施の形態１におけるコンテンツ再生の処理手順を示すフローチャート（２）である。 図８は、実施の形態１におけるコンテンツ再生の処理手順を示すフローチャート（３）である。 図９は、実施の形態１におけるコンテンツ再生の処理手順を示すフローチャート（４）である。 図１０は、実施の形態２におけるコンテンツ配信システムの全体構成図である。 図１１は、実施の形態２におけるサーバ・セキュアデバイスの全体構成図である。 図１２は、実施の形態２の変形例１におけるサーバ・セキュアデバイスの全体構成図である。 図１３は、実施の形態２の変形例２におけるサーバ・セキュアデバイスの全体構成図である。 図１４は、実施の形態２の変形例３におけるサーバ・セキュアデバイスの全体構成図である。 図１５は、実施の形態３におけるメディアサーバの構成図である。

（課題の詳細）
　近年、Ｎｏｎ－ＰＣの分野において、携帯電話機では、例えば、アップル社（Ａｐｐｌｅ　Ｉｎｃ．）が提供するｉＰｈｏｎｅ（アイフォーン：登録商標）のＡｐｐＳｔｏｒｅや、グーグル社（Ｇｏｏｇｌｅ　Ｉｎｃ．）が提供するＡｎｄｒｏｉｄ（アンドロイド：登録商標）のＡｎｄｒｏｉｄ　Ｍａｒｋｅｔ等を用いて、アプリケーション（以下、「アプリ」とする）をダウンロードし、利用するアプリ配信の仕組みが利用可能となって来ている。アプリ配信を利用してダウンロードできるアプリとしては、例えば、各種コンテンツ（例えば、音楽コンテンツや動画コンテンツ等）を再生するコンテンツ再生用アプリがある。

　しかしながら、近年普及するアプリ配信に対応した組込機器では、著作権保護規格に対応したアプリケーションを実行するレベルのセキュリティ機能が適用されていない。また、従来のソフトウェアによる耐タンパー技術も、適用範囲がアプリに限定されるため、ＩＣＥ（Ｉｎ　Ｃｉｒｃｕｉｔ　Ｅｍｕｌａｔｏｒ：登録商標）やデバッガ等からの解析行為に十分な耐性を確保することは困難である。

　このような問題を解決するために、本発明の一態様に係るコンテンツ再生システムは、所定のコンテンツを再生するための著作権保護アプリケーションプログラムを配信するアプリ配信サーバと、前記著作権保護アプリケーションプログラムを実行することにより前記コンテンツの再生を行う情報処理端末と、前記情報処理端末と連携動作するセキュアデバイスとを備えるコンテンツ再生システムであって、前記アプリ配信サーバは、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む前記著作権保護アプリケーションプログラムを記憶する記憶部を有し、前記情報処理端末は、前記アプリ配信サーバから前記著作権保護アプリケーションプログラムを受信する第一の受信部と、前記著作権保護アプリケーションプログラムから前記第一のプログラムを抽出して実行することにより、前記著作権保護アプリケーションプログラムから前記第二のプログラムを抽出して前記セキュアデバイスに送信する第一アプリ実行部とを有し、前記セキュアデバイスは、前記プログラム鍵を格納する鍵格納部と、前記情報処理端末から前記第二のプログラムを受信する第二の受信部と、前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行する第二アプリ実行部とを有し、前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記コンテンツの配信を行うメディアサーバに対する認証処理を実行し、前記第一アプリ実行部は、前記第二アプリ実行部における前記認証処理で認証された場合に、前記第一のプログラムを実行することにより、前記コンテンツを再生する。

　本構成のコンテンツ再生システムによれば、著作権保護アプリケーションプログラムのうち、著作権保護にかかる第二のプログラムは、セキュアデバイスで実行可能な第二の実行形式であり、情報処理端末上では動作しない。従って、本構成のコンテンツ再生システムは、情報処理端末にデバッガ等の解析ツールが接続され、情報処理端末の動作が解析されたとしても、第二のプログラムが解析されるのを防止可能になる。また、不正な改ざん等を行う者が、第二のプログラムの抽出を行えたとしても、第二のプログラムは、情報処理端末とは異なる実行形式であるため、解析は困難である。

　さらに、本構成のコンテンツ再生システムによれば、第一のプログラムに第二のプログラムの抽出および送信処理を含めることにより、情報処理端末の装置構成を変更する必要がなくなる。これにより、本構成のコンテンツ再生システムによれば、著作権保護アプリケーションプログラムを実行するためのセキュリティ機能を十分にもたない情報処理端末においても、サーバおよびセキュアデバイスと連携することで、著作権保護アプリケーションプログラムの不正なコピー等をより効果的に防止することが可能となる。

　また、例えば、前記コンテンツ再生システムは、前記メディアサーバをさらに備え、前記メディアサーバは、前記情報処理端末で実行される前記第一のプログラムとの間で、前記コンテンツをセキュアに交換できる通信路を確立する著作権保護処理部と、前記コンテンツを保存する保存領域と、前記コンテンツを、前記情報処理端末へ送信するデータ送受信部とを有していてもよい。

　また、例えば、前記メディアサーバの前記著作権保護処理部は、耐タンパー化されていてもよい。

　また、例えば、前記メディアサーバは、さらに、前記コンテンツに、前記メディアサーバに固有の情報を付与する固有情報コンテンツ付与部を有してもよい。

　また、例えば、前記セキュアデバイスは、前記鍵格納部および前記第二アプリ実行部の動作を解析する解析ツールと物理的に接続する接続部を備えない構成としてもよい。

　また、例えば、前記第二のプログラムは、耐タンパー化されていてもよい。

　本発明の一態様に係るセキュアデバイスは、所定のコンテンツの再生を行う情報処理端末と連携動作するセキュアデバイスであって、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信する第二の受信部と、前記プログラム鍵を格納する鍵格納部と、前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行する第二アプリ実行部とを備え、前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記コンテンツの配信を行うメディアサーバに対する認証処理を実行する。

　本発明の一態様に係るサーバ・セキュアデバイスは、所定のコンテンツの再生を行う情報処理端末と通信するサーバ・セキュアデバイスであって、前記情報処理端末に前記コンテンツを配信するメディアサーバと、前記情報処理端末と連携動作するセキュアデバイスとを備え、前記セキュアデバイスは、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信する第二の受信部と、前記プログラム鍵を格納する鍵格納部と、前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行する第二アプリ実行部とを有し、前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記メディアサーバに対する認証処理を実行し、前記メディアサーバは、前記情報処理端末で実行される前記第一のプログラムとの間で、前記コンテンツをセキュアに交換できる通信路を確立する著作権保護処理部と、前記コンテンツを保存する保存領域と、前記コンテンツを、前記情報処理端末へ送信するデータ送受信部とを有する。

　本発明の一態様に係る情報処理端末は、セキュアデバイスと連携動作し、所定のコンテンツの再生を行う情報処理端末であって、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムを格納するアプリ格納部と、前記著作権保護アプリケーションプログラムから、前記第一のプログラムを抽出して実行することにより、前記著作権保護アプリケーションプログラムから前記第二のプログラムを抽出して前記セキュアデバイスへ送信する第一アプリ実行部とを備え、前記第一アプリ実行部は、さらに、前記セキュアデバイスにおいて前記コンテンツの配信を行うメディアサーバが認証された場合に、前記第一のプログラムを実行することにより、前記コンテンツを再生する再生処理を実行する。

　本発明の一態様に係るメディアサーバは、所定のコンテンツを再生する情報処理端末に対してコンテンツの配信を行うメディアサーバであって、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記情報処理端末と連携動作するセキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記セキュアデバイスで実行される前記第二のプログラムとの間で、認証処理を行い、前記情報処理端末で実行される前記第一のプログラムとの間で、コンテンツをセキュアに交換できる通信路を確立する著作権保護処理部と、前記コンテンツを保存する保存領域と、前記コンテンツに、前記メディアサーバに固有の情報を付与する固有情報コンテンツ付与部と、前記固有の情報が付与された前記コンテンツを暗号化し、前記情報処理端末へ送信するデータ送受信部とを備える。

　本発明の一態様に係るセキュアデバイスの集積回路は、所定のコンテンツの再生を行う情報処理端末と連携動作するセキュアデバイスの集積回路であって、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信する第二の受信部と、鍵格納部に格納された前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行する第二アプリ実行部とを備え、前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記コンテンツの配信を行うメディアサーバに対する認証処理を実行する。

　本発明の一態様に係るセキュアデバイスの制御プログラムは、情報処理端末と連携動作するセキュアデバイスの制御プログラムであって、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信するステップと、前記セキュアデバイスの鍵格納部に格納された前記プログラム鍵を用いて前記第二のプログラムを復号するステップと、前記情報処理端末で実行される前記第一のプログラムと連携しながら、前記第二のプログラムを実行するステップとを含み、前記第二のプログラムを実行するステップでは、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記コンテンツの配信を行うメディアサーバに対する認証処理を実行する。

　本発明の一態様に係るセキュアデバイスの制御プログラムが記録された記録媒体は、上記セキュアデバイスの制御プログラムが記録されている。

　本発明の一態様に係るサーバ・セキュアデバイスの集積回路は、所定のコンテンツの再生を行う情報処理端末と通信するサーバ・セキュアデバイスの集積回路であって、前記情報処理端末に前記コンテンツを提供するメディアサーバと、前記情報処理端末と連携動作するセキュアデバイスとを備え、前記セキュアデバイスは、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信する第二の受信部と、鍵格納部に格納された前記プログラム鍵を用いて前記第二のプログラムを復号し、復号された前記第二のプログラムを実行する第二アプリ実行部とを有し、前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記メディアサーバに対する認証処理を実行し、前記メディアサーバは、前記情報処理端末で実行される前記第一のプログラムとの間で、前記コンテンツをセキュアに交換できる通信路を確立する著作権保護処理部と、保存領域に格納された前記コンテンツを、前記情報処理端末へ送信するデータ送受信部とを有する。

　本発明の一態様に係るサーバ・セキュアデバイスの制御プログラムは、所定のコンテンツの再生を行う情報処理端末に前記コンテンツを提供するメディアサーバと、前記情報処理端末と連携動作するセキュアデバイスとを備えるサーバ・セキュアデバイスの制御プログラムであって、前記メディアサーバにおいて、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記情報処理端末で実行される前記第一のプログラムとの間で、コンテンツをセキュアに交換できる通信路を確立するステップと、前記セキュアデバイスにおいて、前記第二のプログラムを前記情報処理端末から受信するステップと、前記セキュアデバイスにおいて、鍵格納部に格納された前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行するステップとを含み、前記第二のプログラムを実行するステップでは、前記情報処理端末の認証情報を用いて、前記メディアサーバに対する認証処理を実行する。

　本発明の一態様に係るサーバ・セキュアデバイスの制御プログラムが記録された記録媒体は、上記サーバ・セキュアデバイスの制御プログラムが記録されている。

　本発明の一態様に係る著作権保護アプリケーションプログラムが記録された記録媒体は、所定のコンテンツの再生を行う情報処理端末、および、前記情報処理端末と連携動作するセキュアデバイスで実行される著作権保護アプリケーションプログラムが記録された記録媒体であって、前記著作権保護アプリケーションプログラムは、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含み、前記第二のプログラムは、前記セキュアデバイスに、前記情報処理端末の認証情報を用いて、前記コンテンツを配信するメディアサーバに対する認証処理を実行させるステップを有し、前記第一のプログラムは、前記情報処理端末に、前記著作権保護アプリケーションプログラムから前記第二のプログラムを抽出して前記セキュアデバイスに送信させるステップと、前記認証処理で認証された場合に、前記情報処理端末に、前記コンテンツを再生させるステップとを有する。

　なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭ等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。

　以下、本発明の一態様に係るコンテンツ配信システムについて、図面を参照しながら具体的に説明する。

　なお、以下で説明する実施の形態は、いずれも本発明の一具体例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態、ステップ、ステップの順序等は、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態に記載されている全ての構成要素が、上述した課題を達成するのに必ずしも必要ではないが、任意の構成要素として説明される。

　（実施の形態１）
　実施の形態１に係るコンテンツ配信システムの構成および動作について、図１～図５を基に説明する。

　［１．コンテンツ配信システムの構成］
　先ず、コンテンツ配信システムの構成について、図１を基に説明する。図１は、本実施の形態におけるコンテンツ配信システム１００の構成図である。

　コンテンツ配信システム１００は、Ｎｏｎ－ＰＣの分野における機器（情報処理装置１０２、情報処理端末に相当）に対するアプリ配信の仕組みを備えるシステムである。

　本実施の形態のコンテンツ配信システム１００は、図１に示すように、メディアサーバ１０１ａ、１０１ｂと、情報処理装置１０２と、セキュアデバイス１０３と、アプリ配信サーバ１１３とを備えている（アプリ配信サーバ１１３、情報処理装置１０２およびセキュアデバイス１０３が、コンテンツ再生システムに相当する）。また、本実施の形態のコンテンツ配信システム１００は、放送局サーバ１１１と、Ｗｅｂサーバ１１２とに接続されている。なお、コンテンツ配信システム１００は、放送局サーバ１１１やＷｅｂサーバ１１２に接続されない構成であってもよいし、他の任意のサーバに接続される構成であってもよい。

　本実施の形態のコンテンツ配信システム１００では、情報処理装置１０２は、セキュアデバイス１０３と連携動作し、アプリ配信サーバ１１３から配信されたアプリを用いて、メディアサーバ１０１ａに記憶されたコンテンツの再生を行うように構成されている。

　なお、コンテンツには、音楽コンテンツや動画コンテンツ、静止画コンテンツ、書籍コンテンツ、地図コンテンツ等が含まれる。

　放送局サーバ１１１は、本実施の形態では、地上デジタル放送（無線放送）を行う放送局に設置されたサーバである。放送局サーバ１１１は、メディアサーバ１０１ａに対して、放送波１１４ａ経由で、コンテンツを送信する。なお、放送局サーバ１１１は、有線放送を行う放送局に設置されたサーバであっても構わないし、放送局以外の場所に設置されたサーバであっても構わない。

　Ｗｅｂサーバ１１２は、本実施の形態では、インターネット等のネットワーク経由で、コンテンツを送信するサーバである。Ｗｅｂサーバ１１２は、メディアサーバ１０１ａに対して、インターネット１１４ｂ経由で、コンテンツを送信する。

　メディアサーバ１０１ａは、例えば、ポケットサーバ等であり、後で詳述するが、放送局サーバ１１１や、Ｗｅｂサーバ１１２、あるいは同種の機能をもつ他のメディアサーバ１０１ｂより、コンテンツを受信し、記録する。なお、メディアサーバ１０１ｂの構成は、本実施の形態では、メディアサーバ１０１ａと同じである。本実施の形態では、メディアサーバ１０１ａとメディアサーバ１０１ｂとの間で、インターネット１１４ｂを介して、コンテンツのやり取りが可能に構成されている。

　アプリ配信サーバ１１３は、例えば、ｉＰｈｏｎｅやＡｎｄｒｏｉｄ等、アプリ配信を行うアプリ配信サイトに設置されたサーバであり、情報処理装置１０２に対して、インターネット経由で、情報処理装置１０２で実行可能なアプリを送信する。このアプリには、ＤＬ著作権保護アプリ（著作権保護アプリケーションプログラムに相当）が含まれる。ＤＬ著作権保護アプリは、放送局サーバ１１１から配信されたコンテンツやＷｅｂサーバ１１２から配信されたコンテンツを再生するためのアプリである。

　情報処理装置１０２は、後で詳述するが、メディアサーバ１０１ａよりコンテンツを受信し、ＤＬ著作権保護アプリを実行することによりコンテンツの再生を行う。このとき、情報処理装置１０２は、セキュアデバイス１０３とデータやコマンド等のメッセージ交換をしながら、連携して処理を行う。

　セキュアデバイス１０３は、後で詳述するが、上記アプリの実行において、情報処理装置１０２が著作権保護に関連した秘匿なデータ・アルゴリズムに関わる処理を行う場合に、情報処理装置１０２と連携して動作する。

　［１－１．メディアサーバ１０１ａの構成］
　次に、メディアサーバ１０１ａの構成について、図２を基に説明する。図２は、本実施の形態におけるメディアサーバ１０１ａの全体構成を示す図である。

　メディアサーバ１０１ａは、インターネット１１４ｂや、放送波１１４ａ、ローカルネットワーク（図示せず）等を介して、コンテンツを取得し、コンテンツの権利管理を行う電子機器である。メディアサーバ１０１ａは、例えば、通信部と記憶部とを有するＨＤＤレコーダ、ＤＶＤ／ＢＤレコーダ、セットトップボックス、ポータブル端末、タブレット端末、携帯電話、ＴＶ、あるいは、ゲーム機器等の機器である。

　メディアサーバ１０１ａは、図２に示すように、ネットアクセス部２０１と、放送波受信部２０２と、データ送受信部２０４と、保存領域アクセス部２０６と、著作権保護処理部２０７と、暗復号部２０８と、コンテンツ再生部２０９と、保存領域２２０とを備えている。なお、ネットアクセス部２０１と、放送波受信部２０２と、データ送受信部２０４と、保存領域アクセス部２０６と、著作権保護処理部２０７と、暗復号部２０８と、コンテンツ再生部２０９とについては、個別に、あるいはこれらの一部が、あるいは全部が専用のＬＳＩ等で構成されていてもよいし、ソフトウェアで構成されていてもよい。

　ネットアクセス部２０１は、インターネット１１４ｂ上のサーバや、他のＬＡＮ（図示せず）上の機器との接続処理を行う。接続処理では、一般に、ＩＰプロトコルを用いることを前提とするが、他の機器と通信する方法であれば、これに限定されない。

　放送波受信部２０２は、図１に示すアンテナ１１５を介して放送波を受信する。

　データ送受信部２０４は、ネットアクセス部２０１や放送波受信部２０２を介して、データの送受信を行う。データには、著作権保護規格により端末間で交換することが規定されている情報や、放送局サーバ１１１やＷｅｂサーバ１１２から受信するデータや、コンテンツ、端末間で送受信するコンテンツ等が含まれる。

　コンテンツには、上述したように、音楽コンテンツや動画コンテンツ、静止画コンテンツ、書籍コンテンツ、地図コンテンツ等が含まれる。コンテンツは、一般的に定められた符号化方式でエンコードされている。例えば、動画コンテンツの場合は、ＭＰＥＧ２（Ｍｏｔｉｏｎ　Ｐｉｃｔｕｒｅ　Ｅｘｐｅｒｔ　Ｇｒｏｕｐ２）等が考えられる。また、静止画コンテンツの場合は、例えば、ＪＰＥＧ（Ｊｏｉｎｔ　Ｐｈｏｔｏｇｒａｐｈｉｃ　Ｅｘｐｅｒｔ　Ｇｒｏｐｕｐ）等が考えられる。さらに、音楽コンテンツの場合は、例えば、ＡＡＣ（Ａｄｖａｎｃｅｄ　Ａｕｄｉｏ　Ｃｏｄｅｃ）等が考えられる。ただし、コンテンツの符号化方式は、これらに限定されるものではない。なお、コンテンツの再生時には、エンコードされたコンテンツには、デコード処理を行う。

　保存領域アクセス部２０６は、保存領域２２０からのデータの読み出し処理、および、保存領域２２０へのデータの書き込み処理の制御を行う。

　著作権保護処理部２０７は、ＤＴＣＰ（Ｄｉｇｉｔａｌ　Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｅｎｔ　Ｐｒｏｔｅｃｔｉｏｎ）等で規定されている端末間での端末鍵を用いた認証処理や、コンテンツの暗復号処理の制御、コンテンツの送受信処理等、著作権保護規格で規定されているアルゴリズムを実行する。なお、一部、暗号やハッシュ関数を用いる処理については、著作権保護処理部２０７ではなく、暗復号部２０８で行う。

　さらに、著作権保護処理部２０７は、著作権保護規格で規定されている処理に必要な一連のデータを保持している。当該一連のデータには、端末鍵Ａ１や証明書Ａｃｅｒｔ、端末ＩＤ、Ｒｏｏｔ公開鍵等が含まれる。なお、証明書Ａｃｅｒｔに含まれる公開鍵Ａ１は、秘密鍵である端末鍵Ａ１に対応している。

　さらに、著作権保護処理部２０７は、本実施の形態では、端末鍵Ａ１等の著作権保護規格で規定されている処理に必要な一連のデータを保持しているため、悪意のあるユーザからの解析に対する耐性をもつように、ロバストネスルールによる著作権保護技術が実装されている。当該著作権保護技術は、ハードウェアで実装されていても構わないし、例えば、国際公開ＷＯ２００４０１３７４４Ａ２（特許文献）のような耐タンパー技術で実装されていても構わないし、端末自体がデバッガにつながらない等、耐性をもって実装されていても構わない。

　暗復号部２０８は、ＡＥＳ（Ａｄｖａｎｃｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ）や、ＥＣＣ（Ｅｌｌｉｐｔｉｃ　Ｃｕｒｖｅ　Ｃｒｙｐｔｏｇｒａｐｈｙ）、ＲＳＡ（Ｒｉｖｅｓｔ　Ｓｈａｍｉｒ　Ａｄｌｅｍａｎ）等の暗号に関する暗復号処理や、ＳＨＡ１（Ｓｅｃｕｒｅ　Ｈａｓｈ　Ａｌｇｏｒｉｔｈｍ１）等のハッシュ関数の処理、乱数の生成処理を行う。なお、暗復号部２０８で行う処理は、暗号やハッシュ関数に関する処理であればよく、これら上述した暗復号処理やハッシュ関数の処理、乱数の生成処理に限定されない。

　なお、ＤＴＣＰ等の著作権保護規格でＥＣＣの秘匿パラメータを規定している場合、端末鍵Ａ１を保有する著作権保護処理部２０７のみならず、暗復号部２０８についても、悪意のあるユーザからの解析に対する耐性をもつように、ロバストネスルールによる著作権保護技術が実装されている。当該著作権保護技術は、著作権保護処理部２０７と同様に、ハードウェアで実装されていても構わないし、例えば、国際公開ＷＯ２００４０１３７４４Ａ２（特許文献）のような耐タンパー技術で実装されていても構わないし、端末自体がデバッガにつながらない等、耐性をもって実装されていても構わない。

　コンテンツ再生部２０９は、保存領域２２０に保存された暗号化コンテンツ２１６の再生処理を行う。具体的には、コンテンツ再生部２０９は、保存領域アクセス部２０６を介して、保存領域２２０に保存された暗号化コンテンツ２１６とローカルコンテンツ鍵２１５とを取得する。さらに、取得した暗号化コンテンツ２１６とローカルコンテンツ鍵２１５とを暗復号部２０８に送り、暗復号部２０８から復号された暗号化コンテンツ２１６を取得し、再生する。

　保存領域２２０は、メディアサーバ１０１ａの各種機能部の処理で用いられるデータを記憶する記憶領域であり、ＨＤＤ（Ｈａｒｄ　ｄｉｓｋ　ｄｒｉｖｅ）やＦｌａｓｈＲＯＭ（Ｆｌａｓｈ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等、電源を切っても記憶内容を保持することができる不揮発メモリによって実現される。なお、保存領域２２０は、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等の揮発メモリで実現し、電源として電池を用いるバッテリーバックアップによってデータが維持されるようにしても構わない。

　保存領域２２０は、メディアサーバ１０１ａのＶｅｒｓｉｏｎ番号を示す端末Ｖｅｒ．２１４や、暗号化コンテンツ２１６、暗号化コンテンツ２１６を復号するためのローカルコンテンツ鍵２１５を保持する。ローカルコンテンツ鍵２１５は、メディアサーバ１０１ａの内部処理のみにローカルに用いられる鍵である。ローカルコンテンツ鍵で暗号化された暗号化コンテンツ２１６は、他の端末で再生することはできない。

　メディアサーバ１０１ａは、さらに、図２に図示されていない入出力部等を備えているが、これらは本発明の本質ではないので説明を省略する。また、メディアサーバ１０１ａは、ＣＰＵ、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）等、コンピュータに必要となる一般的な構成要素を備えているが、これらは本発明の本質ではないので説明を省略する。

　［１－２．情報処理装置１０２の構成］
　次に、情報処理装置１０２の構成について、図３を基に説明する。図３は、本実施の形態における情報処理装置１０２の全体構成を示す図である。

　情報処理装置１０２は、本実施の形態では、アプリ配信に対応した携帯電話機であり、アプリ配信サーバ１１３からダウンロードしたアプリを実行することにより、セキュアデバイス１０３と連携しながら動作し、メディアサーバ１０１ａに保存されているコンテンツの再生を行う。なお、情報処理装置１０２は、携帯電話機に限られるものではなく、ポータブル端末、タブレット端末、ＨＤＤレコーダ、ＤＶＤ／ＢＤレコーダ、セットトップボックス、ＴＶ、ゲーム機器等、通信部および記憶領域を有する機器であればよい。

　情報処理装置１０２は、図３に示すように、ネットアクセス部３０１と、アプリＤＬ部３０２と、データ送受信部３０４と、保存領域アクセス部３０６と、第一アプリ実行部３０７と、暗復号部３０８と、保存領域３２０とを備えている。

　ネットアクセス部３０１は、インターネット１１４ｂ上のサーバや、他のＬＡＮ（図示せず）上の機器との接続処理を行う。一般に、ＩＰプロトコルを用いることを前提とするが、他の機器と通信する方法であれば、これに限定されない。

　アプリＤＬ部３０２（データ送受信部３０４と合わせて第一の受信部に相当）は、コンテンツの再生に先立って、ネットアクセス部３０１を介して、アプリ配信サーバ１１３より、ＤＬ著作権保護アプリ３１５をダウンロードする。ＤＬ著作権保護アプリ３１５の一部は、セキュアデバイス１０３が保持しているＤＬアプリ鍵５１５で暗号化されているが、詳細は後述する。

　データ送受信部３０４は、ネットアクセス部３０１を介して、データの送受信を行う。データ送受信部３０４が送受信するデータとしては、著作権保護規格により端末間で交換することが規定されている乱数や証明書等のデータや、メディアサーバ１０１ａとの間で送受信するデータ、セキュアデバイス１０３との間で送受信するデータ、コンテンツ等が含まれる。

　保存領域アクセス部３０６は、保存領域３２０からのデータの読み出し処理、および、保存領域３２０へのデータの書き込み処理の制御を行う。

　第一アプリ実行部３０７は、保存領域３２０に保存されたＤＬ著作権保護アプリ３１５を実行する。第一アプリ実行部３０７は、ＤＬ著作権保護アプリ３１５に含まれるＤＴＣＰで規定されている端末間での端末鍵を用いた認証処理や、コンテンツの暗復号処理の制御等、著作権保護規格で規定されているアルゴリズムを、セキュアデバイス１０３と連携しながら実行する。なお、一部、暗号やハッシュ関数を用いる処理については、第一アプリ実行部３０７ではなく、暗復号部３０８で行う。

　暗復号部３０８は、ＡＥＳやＥＣＣ、ＲＳＡ等の暗号に関する暗復号処理や、ＳＨＡ１等のハッシュ関数の処理、乱数の生成処理を行う。なお、暗復号部３０８で行う処理は、暗号やハッシュ関数に関する処理であればよく、これら上述した暗復号処理やハッシュ関数の処理、乱数の生成処理に限定されない。

　保存領域３２０（アプリ格納部に相当）は、情報処理装置１０２の各種機能部の処理で用いられるデータを記憶する記憶領域である。保存領域３２０は、例えば、ＨＤＤやＦｌａｓｈＲＯＭ、ＳＳＤ等、電源を切っても記憶内容を保持することができる不揮発メモリによって実現される。なお、保存領域３２０は、ＳＲＡＭ等の揮発メモリで実現し、電源として電池を用いるバッテリーバックアップによってデータが維持されるようにしても構わない。また、保存領域３２０は、不揮発性メモリと揮発性メモリとの組み合わせで実現されていてもよい。保存領域３２０は、情報処理装置１０２のＯＳの種類やバージョン番号等のプラットフォーム番号を示すＰＦ　Ｖｅｒ．３１４や、アプリＤＬ部３０２がダウンロードしたＤＬ著作権保護アプリ３１５を保存する。

　情報処理装置１０２は、さらに、図３に図示されていない入出力部等を備えているが、これらは本発明の本質ではないので説明を省略する。また、情報処理装置１０２は、ＣＰＵ、ＲＡＭ、ＯＳ等のコンピュータに必要となる一般的な構成要素を備えているが、これらは本発明の本質ではないので説明を省略する。

　［１－３．ＤＬ著作権保護アプリ３１５の構成］
　ＤＬ著作権保護アプリ３１５の構成について、図４を基に説明する。図４は、本実施の形態におけるＤＬ著作権保護アプリ３１５の構成を示す図である。

　ＤＬ著作権保護アプリ３１５は、情報処理装置１０２で実行可能な第一の実行形式にコンパイルされている第一のプログラムと、セキュアデバイス１０３で実行可能な第二の実行形式にコンパイルされている第二のプログラムで構成されている。第二の実行形式は、第一の実行形式とは異なる。さらに、本実施の形態において、第二の実行形式は、情報処理装置１０２で実行できない実行形式である。

　第一のプログラムは、情報処理装置１０２における通常の実行プログラムであり、スタートプログラム１と、送信プログラムと、認証プログラム１と、著作権保護プログラムＳｕｂと、コンテンツ再生プログラムと、アプリバージョンと、暗号化プログラムヘッダとを含んでいる。なお、第一のプログラムは、特に記載しない限り、第一アプリ実行部３０７によって実行される。

　スタートプログラム１は、第一アプリ実行部３０７により、ＤＬ著作権保護アプリ３１５が実行されたときに最初に実行されるプログラムである。

　送信プログラムは、ＤＬ著作権保護アプリ３１５のうち、第二のプログラムを抽出し、抽出した第二のプログラムをセキュアデバイス１０３に対して送信するプログラムである。

　認証プログラム１は、セキュアデバイス１０３の認証部５０４との間で有効な認証鍵を持ち、認証鍵を用いてセキュアデバイス１０３の認証部５０４と認証処理を行い、接続されたセッションでのみ有効なセキュア通信鍵を生成する。本実施の形態では、認証処理において、チャレンジ＆レスポンス型を双方に実行する相互認証を行う場合を例に説明するが、端末間で認証を行うことができれば、本方式に限定されない。なお、認証プログラム１は、第一アプリ実行部３０７によって実行されるが、一部、暗号やハッシュ関数を用いる処理については、暗復号部３０８によって実行される。

　セキュア通信鍵は、本実施の形態では、情報処理装置１０２とセキュアデバイス１０３との接続されたセッションでのみ有効な鍵としたが、これに限るものではない。セキュア通信鍵は、例えば、情報処理装置１０２の固有情報に基づいて、セキュアデバイス１０３ごとに個別に生成された個別鍵であってもよい。情報処理装置１０２（携帯電話機）の固有情報としては、例えば、電話番号や、ＧＵＩＤ (Ｇｌｏｂａｌｌｙ　Ｕｎｉｑｕｅ　Ｉｄｅｎｔｉｆｉｅｒ)、ＵＵＩＤ(Ｕｎｉｖｅｒｓａｌｌｙ　Ｕｎｉｑｕｅ　Ｉｄｅｎｔｉｆｉｅｒ)、メールアドレス、ＭＡＣアドレス、ＩＭＥＩ (Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｍｏｂｉｌｅ　Ｅｑｕｉｐｍｅｎｔ　Ｉｄｅｎｔｉｔｙ)、あるいは、これらを複合した情報が考えられる。

　著作権保護プログラムＳｕｂは、認証プログラム１が実行され、セキュアデバイス１０３との間でセキュアな通信が確立された後に実行されるプログラムである。具体的には、著作権保護プログラムＳｕｂは、ＤＴＣＰ等で規定されている端末間（ここでは、メディアサーバ１０１ａと情報処理装置１０２との間）での端末鍵を用いた認証処理や、コンテンツの暗復号処理の制御等、著作権保護規格で規定されているアルゴリズムをセキュアデバイス１０３と連携して実行するように実装されている。なお、上述した認証処理やコンテンツの暗復号処理の制御は、セキュアデバイス１０３で実行される著作権保護プログラムＭａｉｎが実行し、著作権保護プログラムＳｕｂは、メディアサーバ１０１ａとセキュアデバイス１０３との間で、データ（各種鍵や証明書、乱数等）の受け渡しを行う。なお、一部、暗号アルゴリズムを用いる処理には、暗復号部３０８を用いる場合もある。

　コンテンツ再生プログラムは、著作権保護プログラムＭａｉｎの実行後に生成したコンテンツ鍵を用いて、ＤＴＣＰ等で規定された方式に基づいて、メディアサーバ１０１ａから受信したコンテンツの再生を行う。

　アプリバージョンは、ＤＬ著作権保護アプリ３１５のバージョン情報を示す。

　第二のプログラムは、セキュアデバイス１０３上で実行されるプログラムであり、暗号化プログラムヘッダと、スタートプログラム２と、著作権保護プログラムＭａｉｎとを含んでいる。なお、第二のプログラムは、セキュアデバイス１０３が保持しているＤＬアプリ鍵５１５で一部が暗号化されている。セキュアデバイス１０３は、後で詳述するが、第二のプログラムを受信すると、ＤＬアプリ鍵５１５を用いて復号する。

　暗号化プログラムヘッダは、第二のプログラムのヘッダ情報が記載される領域である。なお、第二のプログラムでは、暗号化プログラムヘッダのみが暗号化されていない。

　スタートプログラム２は、ＤＬアプリ鍵５１５で復号された後、最初に実行され、初期化等を行うプログラムである。

　著作権保護プログラムＭａｉｎは、従来の情報処理装置が実行していた著作権保護規格で規定されているアルゴリズムに係る処理を、情報処理装置１０２に代わってセキュアデバイス１０３に実行させるためのプログラムである。著作権保護プログラムＭａｉｎは、ＤＬアプリ鍵５１５で復号され、スタートプログラム２で初期化が行われた後、実行される。著作権保護プログラムＭａｉｎは、上述したように、ＤＴＣＰ等で規定されている端末間での端末鍵を用いた認証処理や、コンテンツ鍵の生成処理等を情報処理装置１０２に代わりセキュアデバイス１０３に実行させる。一部、暗号やハッシュ関数を用いる処理には、後述するセキュアデバイス１０３の暗復号部５０８を用いる。本プログラムには処理に必要な一連のデータ、端末鍵Ｂ１や証明書Ｂｃｅｒｔ、端末ＩＤ、Ｒｏｏｔ公開鍵等が含まれる。なお、証明書Ｂｃｅｒｔに含まれる公開鍵Ｂ１は、秘密鍵である端末鍵Ｂ１に対応している。

　なお、第二のプログラムは、セキュアデバイス１０３で実行可能な実行形式にコンパイルされているのみならず、セキュアデバイス１０３がサポートするセキュア実行機能上で動作するよう、耐タンパー化されていてもよい。

　また、第一のプログラムと第二のプログラムとは、１つのアプリケーションとして構成されていれば良く、同一のファイルとして提供されるものとしているが、これに限るものではない。ＤＬ著作権保護アプリ３１５は、例えば、ＤＬＬファイル（Ｄｙｎａｍｉｃ　Ｌｉｎｋ　Ｌｉｂｒａｒｙ）を利用する場合等、複数のファイルで構成されてもよい。

　また、セキュアデバイス１０３におけるスタートプログラム２および著作権保護プログラムＭａｉｎのＤＬデバイス鍵による復号処理は、まとめて実行してもよいし、プログラムごとに実行してもよい。さらに、各プログラムをより細分化して、細分化されたプログラム毎に復号処理を実行するように構成してもよい。

　［１－４．セキュアデバイス１０３の構成］
　次に、セキュアデバイス１０３の構成について、図５を基に説明する。図５は、本実施の形態におけるセキュアデバイス１０３の全体構成を示す図である。

　セキュアデバイス１０３は、情報処理装置１０２が、メディアサーバ１０１ａに保存されているコンテンツを取得・再生するときに、情報処理装置１０２と連携しながら動作する。セキュアデバイス１０３は、通信部および記憶部を有し、情報処理装置１０２と接続可能な機器である。セキュアデバイス１０３は、専用の装置であっても構わないし、例えば、ポータブル端末、タブレット端末、携帯電話、ＨＤＤレコーダ、ＤＶＤ／ＢＤレコーダ、セットトップボックス、ＴＶ、ゲーム機器のような機器であっても構わない。

　なお、本実施の形態のセキュアデバイス１０３は、端末自体がデバッガにつながらない等、外部からの解析行為に対して耐性をもって実装されている。セキュアデバイス１０３は、例えば、通常の製品であれば実装されるＪＴＡＧ等のテスト回路用のテスト用端子等、デバッガ（ＪＴＡＧ用デバッガ）との接続回路を備えない構成となっている。このように、物理的な解析ツールとの接続構成を有しないため、セキュアデバイス１０３は、物理的な解析ツールによる不正な解析に対する耐性がより高くなっている。

　セキュアデバイス１０３は、ネットアクセス部５０１と、データ送受信部５０２と、第二アプリ実行部５０３と、認証部５０４と、保存領域アクセス部５０６と、暗復号部５０８と、保存領域５２０とを備えている。

　ネットアクセス部５０１は、インターネット１１４ｂ上のサーバや、他のＬＡＮ（図示せず）上の機器との接続処理を行う。一般に、ＩＰプロトコルを用いることを前提とするが、他の機器と通信する方法であれば、これに限定されない。

　データ送受信部５０２（第二の受信部に相当）は、ネットアクセス部５０１を介して、データの送受信を行う。送受信するデータには、著作権保護規格により端末間で交換することが規定されている情報や、情報処理装置１０２との間で送受信するデータ等が含まれる。データ送受信部５０２は、情報処理装置１０２から第二のプログラムを受信する。

　保存領域アクセス部５０６は、保存領域５２０からのデータの読み出し処理、および、保存領域５２０へのデータの書き込み処理の制御を行う。

　第二アプリ実行部５０３は、ネットアクセス部５０１およびデータ送受信部５０２を介して受信したＤＬ著作権保護アプリ３１５の第二のプログラムを、保存領域５２０のＤＬアプリ鍵５１５を用いて復号し、実行する。

　第二アプリ実行部５０３は、第二のプログラムを実行することにより、メディアサーバ１０１ａとの間におけるＤＴＣＰ等著作権保護規格で規定されている端末間での端末鍵を用いた認証処理や、コンテンツの暗復号処理の制御等、著作権保護規格で規定されているアルゴリズムを実行する。一部、暗号やハッシュ関数を用いる処理には、暗復号部５０８を用いる。

　認証部５０４は、認証鍵を持ち、情報処理装置１０２で実行される認証プログラム１との間で認証処理を行い、接続されたセッションでのみ有効なセキュア通信鍵を生成する。本実施の形態では、上述したように、認証処理において、チャレンジ＆レスポンス型を双方に実行する相互認証を行う場合を例に説明するが、端末間で認証を行うことができれば、本方式に限定されない。なお、一部、暗号やハッシュ関数を用いる処理の実行には、暗復号部５０８を用いる。セキュア通信鍵は、情報処理装置１０２とセキュアデバイス１０３とのの接続されたセッションでのみ有効な鍵としたが、これに限るものではなく、個別鍵等であってもよい。

　暗復号部５０８は、ＡＥＳやＥＣＣ、ＲＳＡ等の暗号に関する暗復号処理や、ＳＨＡ１等のハッシュ関数の処理、乱数の生成処理を行う。なお、暗復号部５０８で行う処理は、暗号やハッシュ関数に関する処理であればよく、これら上述した暗復号処理やハッシュ関数の処理、乱数の生成処理に限定されない。

　保存領域５２０（鍵格納部に相当）は、ＤＬアプリ鍵（プログラム鍵に相当）５１５を保存する記憶領域である。保存領域５２０はＨＤＤやＦｌａｓｈＲＯＭ、ＳＳＤ等、電源を切っても記憶内容を保持することができる不揮発メモリによって実現される。なお、保存領域５２０は、ＳＲＡＭ等の揮発メモリで実現し、電源として電池を用いるバッテリーバックアップによってデータが維持されるように構成しても構わない。

　セキュアデバイス１０３は、端末自体がデバッガにつながらない等、外部からの解析行為に対して耐性をもって実装されており、第二アプリ実行部５０３や暗復号部５０８の実行中、解析行為を行うことは防止されている。また、ＤＬアプリ鍵５１５は、保存領域５２０自体がアクセス制限によって実現されるセキュアな保存領域で保護されているか、暗号化によって保護される。

　なお、セキュアデバイス１０３は、端末自体が耐性をもった実装をされているとしたが、ＤＬ著作権保護アプリ３１５の第二のプログラムに耐タンパー化がほどこされており、そのセキュアな実行を支援する機能が、第二アプリ実行部５０３やセキュアデバイス１０３が持つセキュアハードウェアに搭載されていてもよい。

　［２．コンテンツ配信システムの動作］
　次に、コンテンツ配信システムの動作について、図６～図９を基に説明する。図６～図９は、メディアサーバ１０１ａのコンテンツを、情報処理装置１０２がセキュアデバイス１０３と連携しながら再生するときの処理手順を表した図である。

　図６に示すように、情報処理装置１０２において、ユーザの指示により、ＤＬ著作権保護アプリ３１５の実行が指定されると（ステップＳ６０１）、第一アプリ実行部３０７により、ＤＬ著作権保護アプリ３１５が保存領域アクセス部３０６を介して呼び出される。さらに、第一アプリ実行部３０７により、呼び出されたＤＬ著作権保護アプリ３１５の第一のプログラムのスタートプログラム１が実行される。

　情報処理装置１０２は、セキュアデバイス１０３との間で、相互に認証処理を行い、認証されると、セキュアな通信路を確立する（ステップＳ６０２）。

　具体的には、情報処理装置１０２の第一アプリ実行部３０７は、ＤＬ著作権保護アプリ３１５の認証プログラム１が実行されると、セキュアデバイス１０３の認証部５０４との間で認証処理を行う。認証処理では、第一アプリ実行部３０７は、ＰＦ　Ｖｅｒ．３１４をセキュアデバイス１０３に送信する。

　セキュアデバイス１０３は、認証処理において、情報処理装置１０２から送られたＰＦ　Ｖｅｒ．３１４に含まれるＯＳの種類やバージョン番号の情報を検証し、対応していないＯＳの種類である場合、あるいは、バージョン番号である場合は、今後の通信を行わず、終了する。さらに、セキュアデバイス１０３は、情報処理装置１０２から送られたＤＬ著作権保護アプリ３１５のアプリバージョンを検証し、対応していないアプリバージョンの場合は、今後の通信を行わず、終了する。

　情報処理装置１０２とセキュアデバイス１０３との双方で認証されると、接続されたセッションでのみ有効なセキュア通信鍵を、情報処理装置１０２とセキュアデバイス１０３との双方で生成する。

　次に、情報処理装置１０２は、ＤＬ著作権保護アプリ３１５の第二のプログラムを、認証処理で生成したセキュア通信鍵を用いて、暗復号部３０８に暗号化させる（ステップＳ６０３）。

　情報処理装置１０２の第一アプリ実行部３０７は、暗号化した第二のプログラムを、データ送受信部３０４を介して、セキュアデバイス１０３へ送信する（ステップＳ６０４）。

　セキュアデバイス１０３は、暗号化されたＤＬ著作権保護アプリ３１５の第二のプログラムを、データ送受信部５０２を介して受信する。さらに、セキュアデバイス１０３の第二アプリ実行部５０３は、データ送受信部５０２を介して受信した第二のプログラムを復号し、実行する（ステップＳ６０５）。詳細には、セキュアデバイス１０３は、第二のプログラムを、セキュア通信鍵を用いて、暗復号部５０８に復号させる。さらに、第二アプリ実行部５０３は、第二のプログラムのうち、スタートプログラム２および著作権保護プログラムＭａｉｎを、ＤＬアプリ鍵５１５を用いて復号し、実行する。

　情報処理装置１０２は、セキュアデバイス１０３に乱数Ｂｎ生成要求を送信する（ステップＳ６０６）。

　セキュアデバイス１０３は、乱数Ｂｎ生成要求を受け取ると、暗復号部５０８に乱数Ｂｎを生成させる（ステップＳ６０７）。さらに、セキュアデバイス１０３は、生成した乱数Ｂｎと証明書Ｂｃｅｒｔとを共にセキュア通信鍵を用いて暗号化する。

　セキュアデバイス１０３は、暗号化した乱数Ｂｎと証明書Ｂｃｅｒｔとを情報処理装置１０２に対して送信する（ステップＳ６０８）。

　情報処理装置１０２は、セキュアデバイス１０３から、暗号化された乱数Ｂｎ、証明書Ｂｃｅｒｔを、データ送受信部３０４を介して受信する。そして、情報処理装置１０２は、暗復号部３０８にセキュア通信鍵を用いて乱数Ｂｎを復号させる（ステップＳ６０９）。

　情報処理装置１０２は、復号された乱数Ｂｎと、セキュアデバイス１０３においてセキュア通信鍵で暗号化された状態の証明書Ｂｃｅｒｔとを、メディアサーバ１０１ａへデータ送受信部３０４を介して送信する（ステップＳ６１０）。

　メディアサーバ１０１ａは、乱数Ｂｎと証明書Ｂｃｅｒｔとをデータ送受信部２０４を介して受信する。そして、メディアサーバ１０１ａは、Ｒｏｏｔ公開鍵を用いて、暗復号部２０８に証明書Ｂｃｅｒｔを検証させる（ステップＳ６１１の一部、署名検証）。メディアサーバ１０１ａは、検証結果がＮＧの場合は、エラーを返して終了する。メディアサーバ１０１ａは、検証結果がＯＫの場合は、乱数Ａｎを生成する（ステップＳ６１１の一部、乱数Ａｎ生成）。

　メディアサーバ１０１ａは、乱数Ａｎと証明書Ａｃｅｒｔとを、データ送受信部２０４を介して情報処理装置１０２へ送信する（ステップＳ６１２）。

　情報処理装置１０２は、データ送受信部３０４を介し、乱数Ａｎと証明書Ａｃｅｒｔとを受信する。そして、情報処理装置１０２は、暗復号部３０８にセキュア通信鍵を用いて乱数Ａｎと証明書Ａｃｅｒｔとを暗号化させる（ステップＳ６１３）。

　情報処理装置１０２は、データ送受信部３０４を介し、暗号化した乱数Ａｎと証明書Ａｃｅｒｔとをセキュアデバイス１０３へ送信する（ステップＳ６１４）。

　セキュアデバイス１０３は、データ送受信部５０２を介し、乱数Ａｎと証明書Ａｃｅｒｔとを受信する。そして、セキュアデバイス１０３は、暗復号部５０８に、乱数Ａｎと証明書Ａｃｅｒｔとをセキュア通信鍵を用いて復号させる（ステップＳ６１５の一部、乱数Ａｎ復号）。さらに、セキュアデバイス１０３は、暗復号部５０８に、Ｒｏｏｔ公開鍵を用いて、証明書Ａｃｅｒｔを検証させる（ステップＳ６１５の一部、署名検証）。セキュアデバイス１０３は、ステップＳ６１５の検証結果がＮＧの場合は、エラーを返して終了する。

　図７に示すように、情報処理装置１０２は、セキュアデバイス１０３に対し、乱数Ａｎと証明書Ａｃｅｒｔを送信した後、ステップＳ６１５のセキュアデバイス１０３による検証結果がＯＫの場合は（エラーが返されない場合は）、ＥＣＤＨ（Ｅｌｌｉｐｔｉｃ　Ｃｕｒｖｅ　Ｄｉｒｒｉｅ－Ｈｅｌｌｍａｎ）鍵共有方法における、最初の乱数Ｂｋ生成要求を、セキュアデバイス１０３へ送信する（ステップＳ７０１）。

　セキュアデバイス１０３は、ＥＣＤＨ乱数Ｂｋ生成要求を、データ送受信部５０２を介して受け取ると、暗復号部５０８に乱数Ｂｋを生成させる（ステップＳ７０２）。

　情報処理装置１０２は、ＥＣＤＨ Ｂｖ生成要求を、セキュアデバイス１０３へ送信する（ステップＳ７０３）。

　セキュアデバイス１０３は、ＥＣＤＨ Ｂｖ生成要求を、データ送受信部５０２を介して受け取る。そして、セキュアデバイス１０３は、ＳＲＭ（Ｓｙｓｔｅｍ　Ｒｅｎｅｗａｂｉｌｉｔｙ　Ｍｅｓｓａｇｅ）に証明書Ａｃｅｒｔがあるかどうかの検証を行う（ステップＳ７０４）。セキュアデバイス１０３は、ステップＳ７０４の検証結果がＮＧの場合は、エラーを返して終了する。

　セキュアデバイス１０３は、ステップＳ７０４の検証結果がＯＫの場合は、乱数Ｂｋを用いて、ＥＣＤＨ鍵共有方法におけるｆｉｒｓｔ　ｐｈａｓｅ　ｖａｌｕｅとなるＢｖを生成する。Ｂｖは楕円曲線のベース点のＢｋ倍値を計算することにより求める。

　メディアサーバ１０１ａは、ステップＳ６１２における乱数Ａｎと証明書Ａｃｅｒｔとの送信後、暗復号部２０８で乱数Ａｋを生成する（ステップＳ７０６）。

　メディアサーバ１０１ａは、ＳＲＭに証明書Ｂｅｒｔがあるかどうかの検証を行う（ステップＳ７０７）。メディアサーバ１０１ａは、ステップＳ７０７の検証結果がＮＧの場合は、エラーを返して終了する。

　メディアサーバ１０１ａは、ステップＳ７０７の検証結果がＯＫの場合は、ｆｉｒｓｔ　ｐｈａｓｅ　ｖａｌｕｅとして、Ａｖを生成する（ステップＳ７０８）。

　次に、図８に示すように、メディアサーバ１０１ａは、乱数Ｂｎ、ｆｉｒｓｔ　ｐｈａｓｅ　ｖａｌｕｅのＡｖ、ＳＲＭ、メディアサーバ１０１ａの端末鍵Ａ１等を利用して、ＥＣＤＳＡ（Ｅｌｌｉｐｔｉｃ　ｃｕｒｖｅ　ｄｉｇｉｔａｌ　ｓｉｇｎａｔｕｒｅ　ａｌｇｏｒｉｔｈｍ）方式を用いて、ＥＣＤＳＡ（１）を生成する（ステップＳ８０１）。

　メディアサーバ１０１ａは、データ送受信部２０４を介し、ＥＣＤＳＡ（１）を情報処理装置１０２へ送信する（ステップＳ８０２）。

　情報処理装置１０２は、データ送受信部３０４を介し、ＥＣＤＳＡ（１）を受信する。そして、暗復号部３０８でセキュア通信鍵を用いて暗号化する（ステップＳ８０３）。

　情報処理装置１０２は、データ送受信部３０４を介し、暗号化されたＥＣＤＳＡ（１）とＥＣＤＳＡ（１）の検証要求とをセキュアデバイス１０３へ送信する（ステップＳ８０４）。

　セキュアデバイス１０３は、データ送受信部５０２を介し、ＥＣＤＳＡ（１）と検証要求とを受信する。セキュアデバイス１０３は、暗復号部５０８でセキュア通信鍵を用いてＥＣＤＳＡ（１）を復号する。さらに、セキュアデバイス１０３は、証明書Ａｃｅｒｔの公開鍵Ａ１を用いて、ＥＣＤＳＡ（１）の検証を行う（ステップＳ８０５）。セキュアデバイス１０３は、ステップＳ８０５の検証結果がＮＧの場合は、エラーを返して終了する。

　セキュアデバイス１０３は、ステップＳ８０５の検証結果がＯＫの場合は、乱数Ａｎ、ｆｉｒｓｔ　ｐｈａｓｅ　ｖａｌｕｅのＢｖ、ＳＲＭ、著作権保護プログラムＭａｉｎに含まれる端末鍵Ｂ１等を利用して、ＥＣＤＳＡ方式を用いて、ＥＣＤＳＡ（２）を生成し、暗復号部５０８でセキュア通信鍵を用いてＥＣＤＳＡ（２）を暗号化する（ステップＳ８０６）。

　セキュアデバイス１０３は、データ送受信部５０２を介し、ＥＣＤＳＡ（２）を情報処理装置１０２へ送信する（ステップＳ８０７）。

　情報処理装置１０２は、データ送受信部３０４を介し、暗号化されたＥＣＤＳＡ（２）を受信する。情報処理装置１０２は、暗復号部３０８でセキュア通信鍵を用いて、暗号化されたＥＣＤＳＡ（２）を復号する（ステップＳ８０８）。

　情報処理装置１０２は、データ送受信部３０４を介し、ＥＣＤＳＡ（２）をメディアサーバ１０１ａへ送信する（ステップＳ８０９）。

　メディアサーバ１０１ａは、データ送受信部２０４を介し、ＥＣＤＳＡ（２）を受信する。メディアサーバ１０１ａは、暗復号部５０８で、証明書Ａｃｅｒｔの公開鍵Ａ１を用いて、ＥＣＤＳＡ（２）の検証を行う（ステップＳ８１０）。メディアサーバ１０１ａは、ステップＳ８１０の検証結果がＮＧの場合は、エラーを返して終了する。

　情報処理装置１０２は、ステップＳ８１０の検証結果がＯＫの場合は、データ送受信部３０４を介し、セキュアデバイス１０３へＡｕｔｈ鍵生成要求を送信する（ステップＳ８１１）。

　セキュアデバイス１０３は、データ送受信部５０２を介し、Ａｕｔｈ鍵生成要求を受信する。そして、乱数Ｂｋ、ｆｉｒｓｔ　ｐｈａｓｅ　ｖａｌｕｅのＡｖを計算することで、Ａｕｔｈ鍵を生成する（ステップＳ８１２）。

　メディアサーバ１０１ａは、ステップＳ８１０の検証結果がＯＫの場合は、著作権保護処理部２０７で、乱数Ａｋ、ｆｉｒｓｔ　ｐｈａｓｅ　ｖａｌｕｅのＢｖを計算することで、Ａｕｔｈ鍵を生成する（ステップＳ８１３）。

　メディアサーバ１０１ａは、著作権保護処理部２０７で、Ｅｘｃｈａｎｇｅ鍵を生成する（ステップＳ９０１）。

　メディアサーバ１０１ａは、暗復号部２０８でＡｕｔｈ鍵を用いてＥｘｃｈａｎｇｅ鍵をスクランブルする（ステップＳ９０２）。

　メディアサーバ１０１ａは、データ送受信部２０４を介して、Ｅｘｃｈａｎｇｅ鍵を情報処理装置１０２へ送信する（ステップＳ９０３）。

　情報処理装置１０２は、データ送受信部３０４を介し、Ｅｘｃｈａｎｇｅ鍵を受信する。情報処理装置１０２は、暗復号部３０８でセキュア通信鍵を用いて、Ｅｘｃｈａｎｇｅ鍵を暗号化する（ステップＳ９０４）。

　情報処理装置１０２は、データ送受信部３０４を介し、Ｅｘｃｈａｎｇｅ鍵をセキュアデバイス１０３へ送信する（ステップＳ９０５）。

　セキュアデバイス１０３は、データ送受信部５０２を介し、Ｅｘｃｈａｎｇｅ鍵を受信する。セキュアデバイス１０３は、暗復号部５０８でセキュア通信鍵を用いてＥｘｃｈａｎｇｅ鍵を復号する（ステップＳ９０６）。

　セキュアデバイス１０３は、暗復号部５０８でＡｕｔｈ鍵を用いてＥｘｃｈａｎｇｅ鍵をデスクランブルする（ステップＳ９０７）。

　メディアサーバ１０１ａは、定められたアルゴリズムに基づいて、コンテンツ鍵を生成し、Ｅｘｃｈａｎｇｅ鍵を用いて、コンテンツ鍵を暗号化する（ステップＳ９０８）。

　メディアサーバ１０１ａは、データ送受信部２０４を介して、Ｅｘｃｈａｎｇｅ鍵で暗号化されたコンテンツ鍵（Ｅ）を情報処理装置１０２へ送信する（ステップＳ９０９）。

　情報処理装置１０２は、データ送受信部３０４を介し、コンテンツ鍵（Ｅ）を受信する。情報処理装置１０２は、暗復号部３０８でセキュア通信鍵を用いてコンテンツ鍵（Ｅ）を暗号化する（ステップＳ９１０）。

　情報処理装置１０２は、データ送受信部３０４を介し、Ｅｘｃｈａｎｇｅ鍵およびセキュア通信鍵で暗号化されたコンテンツ鍵（ＥＳ）をセキュアデバイス１０３へ送信する（ステップＳ９１１）。

　セキュアデバイス１０３は、データ送受信部５０２を介し、Ｅｘｃｈａｎｇｅ鍵およびセキュア通信鍵で暗号化されたコンテンツ鍵（ＥＳ）を受信する。セキュアデバイス１０３は、暗復号部５０８で、セキュア通信鍵を用いてコンテンツ鍵（ＥＳ）を復号し、さらに、Ｅｘｃｈａｎｇｅ鍵を用いて復号されたコンテンツ鍵（Ｅ）を復号する。さらに、セキュアデバイス１０３は、暗復号部５０８でセキュア通信鍵を用いてコンテンツ鍵を暗号化する（ステップＳ９１２）。

　セキュアデバイス１０３は、データ送受信部５０２を介し、セキュア通信鍵で暗号化されたコンテンツ鍵（Ｓ）を情報処理装置１０２へ送信する（ステップＳ９１３）。

　情報処理装置１０２は、データ送受信部３０４を介し、コンテンツ鍵（Ｓ）を受信する。情報処理装置１０２は、暗復号部３０８でセキュア通信鍵を用いてコンテンツ鍵（Ｓ）を復号する（ステップＳ９１４）。

　メディアサーバ１０１ａは、保存領域アクセス部２０６を介して、保存領域２２０に保存された、暗号化コンテンツ２１６とローカルコンテンツ鍵２１５とを取得する。さらに、メディアサーバ１０１ａは、暗復号部２０８でローカルコンテンツ鍵２１５を用いて暗号化コンテンツ２１６を復号する。メディアサーバ１０１ａは、暗復号部２０８でコンテンツ鍵を用いてコンテンツを暗号化する（ステップＳ９１５）。

　メディアサーバ１０１ａは、データ送受信部２０４を介して、コンテンツを情報処理装置１０２へ送信する（ステップＳ９１６）。

　情報処理装置１０２は、データ送受信部３０４を介し、コンテンツを受信する。そして、情報処理装置１０２は、コンテンツの再生を行う（ステップＳ９１７）。

　なお、本実施の形態では、情報処理装置１０２とセキュアデバイス１０３との間でやりとりするデータについて暗号化し、コマンド（要求）については暗号化していないが、コマンドについても暗号化を実施してもよい。

　また、コンテンツの再生（ステップＳ９１３）～（ステップＳ９１５）においては、メディアサーバ１０１ａでコンテンツを暗号化し、情報処理装置１０２でコンテンツを復号、デコード、再生するとしたが、これに限るものではない。例えば、メディアサーバ１０１ａでコンテンツをデコードし、暗号化、情報処理装置１０２でデコード後のコンテンツを復号、再生しても構わない。

　また、（ステップＳ６０２）において、あらかじめセキュアデバイス１０３の認証部５０４が保持する認証鍵と、情報処理装置１０２で実行される認証プログラム１に埋め込まれた認証鍵とをもちいて認証を行い、セキュア通信鍵を生成するようにしたが、これに限るものではない。例えば、情報処理装置１０２とセキュアデバイス１０３とが初期登録として互いのＩＤを用いてペアリングを行い、同時に公開鍵暗号方式のキーペアを生成して持ち合う、もしくは、共通鍵暗号方式の鍵を持ち合うといった方法で、暗号通信を実現する方法であってもよい。

　また、セキュア通信鍵を用いて該当部分（鍵や証明書等の認証に係るデータ）だけを暗号化、復号したが、これに限るものではない。例えば、情報処理装置１０２とセキュアデバイス１０３との間のやり取りを、例えば乱数の生成要求も含めて、セキュア通信鍵を用いたセキュアパスを用いてやり取りする方法であってもよい。

　（実施の形態１の変形例１）
　本実施の形態において、アプリ配信サーバ１１３は、コンテンツ再生プログラム（第一のプログラム）および著作権保護プログラム（第二のプログラム）を備える著作権保護アプリを生成するコンバータを備えていてもよい。

　この場合、メディアサーバ１０１ａとセキュアデバイス１０３（情報処理装置１０２）との間の認証処理に係るプログラムについては、第二のプログラムとして、セキュアデバイス１０３で実行可能な第二の実行形式にコンパイルし、それ以外のプログラムについては、情報処理装置１０２で実行可能な第一の実行形式にコンパイルする。そして、第一のプログラムと第二のプログラムとを組み合わせて、著作権保護アプリを生成する。

　（実施の形態２）
　実施の形態２に係るコンテンツ配信システムの構成および動作について、図１０～図１４を基に説明する。図１０は、本実施の形態におけるコンテンツ配信システムの一例を示す構成図である。

　本実施の形態のコンテンツ配信システム１０００は、実施の形態１では、メディアサーバ１０１ａとセキュアデバイス１０３とがそれぞれ独立した装置で構成されていたのに対し、メディアサーバ１０１ａとセキュアデバイス１０３とが一体に構成され、サーバ・セキュアデバイス１００１として実現されている点が異なる。

　本実施の形態のコンテンツ配信システム１０００は、図１０に示すように、メディアサーバ１０１ｂと、情報処理装置１０２と、放送局サーバ１１１と、Ｗｅｂサーバ１１２と、アプリ配信サーバ１１３と、サーバ・セキュアデバイス１００１とを備えている。

　メディアサーバ１０１ｂ、放送局サーバ１１１、Ｗｅｂサーバ１１２、および、アプリ配信サーバ１１３の構成は、実施の形態１と同じである。

　本実施の形態の情報処理装置１０２は、図３に示す実施の形態１の情報処理装置１０２と同じ構成であるが、通信相手が異なる。具体的には、情報処理装置１０２は、実施の形態１においてメディアサーバ１０１ａと行っていた通信を、サーバ・セキュアデバイス１００１のメディアサーバ部１０ａａと行う。また、本実施の形態の情報処理装置１０２は、実施の形態１において、セキュアデバイス１０３と行っていた通信を、サーバ・セキュアデバイス１００１のセキュアデバイス部１０ｂｂと行う。

　サーバ・セキュアデバイス１００１は、図１０に示すように、放送局サーバ１１１や、Ｗｅｂサーバ１１２、あるいは同種の機能をもつ他のメディアサーバ１０１ｂより、コンテンツを受信し、記録するメディアサーバ部１０ａａと、情報処理装置１０２が著作権保護に関連した秘匿なデータ・アルゴリズムに関わる処理を行う場合に、情報処理装置１０２と連携して動作するセキュアデバイス部１０ｂｂとを備えている。メディアサーバ部１０ａａの構成は、実施の形態１のメディアサーバ１０１ａと同じであり、セキュアデバイス機能部１１ｂｂの構成は、実施の形態１のセキュアデバイス１０３と同じである。

　サーバ・セキュアデバイス１００１は、演算処理部（ＣＰＵ：Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）と、通信部と、記憶部とを有するポータブル端末、タブレット端末、携帯電話、ＨＤＤレコーダ、ＤＶＤ／ＢＤレコーダ、セットトップボックス、ＴＶ、ゲーム機器等の機器である。

　ここで、図１１は、実施の形態２におけるサーバ・セキュアデバイス１００１の全体構成の一例を示す図である。

　図１１に示すように、本実施の形態のサーバ・セキュアデバイス１００１は、ＣＰＵ１１０１と、ＣＰＵ１１０２との２つのＣＰＵと、メディアサーバ機能部１１ａａと、セキュアデバイス機能部１１ｂｂとを備えている。

　　メディアサーバ機能部１１ａａと、セキュアデバイス機能部１１ｂｂは、プロセスによって実現されている。

　また、メディアサーバ機能部１１ａａとＣＰＵ１１０１とで、メディアサーバ部１０ａａが実現されている。セキュアデバイス機能部１１ｂｂとＣＰＵ１１０２とで、セキュアデバイス部１０ｂｂが実現されている。

　サーバ・セキュアデバイス１００１は、他に、図１１に図示されていない入出力部等を備えているが、これらは本発明の本質ではないので説明を省略する。また、サーバ・セキュアデバイス１００１は、ＣＰＵの他、ＯＳやＲＡＭ等のコンピュータに必要となる一般的な構成要素を備えているが、これらは本発明の本質ではないので説明を省略する。

　なお、図１１に示すサーバ・セキュアデバイス１００１は、端末自体がデバッガにつながらない等、外部からの解析行為に対して耐性をもって実装されている。例えば、メディアサーバ機能部１１ａａの著作権保護処理部２０７および暗復号部２０８における処理の実行中や、セキュアデバイス機能部１１ｂｂの第二アプリ実行部５０３および暗復号部５０８における処理の実行中は、解析行為を行うことは防止されている。また、ＤＬアプリ鍵５１５は、保存領域５２０自体がアクセス制限によって実現されるセキュアな保存領域で保護されているか、暗号化によって保護される。

　また、端末自体が耐性をもった実装以外の方法としては、ＤＬ著作権保護アプリ３１５の第二のプログラムに耐タンパー化が施されており、そのセキュアな実行を支援する機能が、第二アプリ実行部５０３やセキュアデバイス機能部１１ｂｂが持つセキュアハードウェアに搭載されていてもよい。

　（実施の形態２の変形例１）
　本実施の形態の変形例１について、図１２を基に説明する。図１２は、本実施の形態の変形例１におけるサーバ・セキュアデバイス１００１の全体構成の一例を示す図である。

　図１２に示すように、変形例１におけるサーバ・セキュアデバイス１００１は、１つのＣＰＵ１２０１と、プラットフォームの仮想化を実現するバーチャルマシンモニターであるＶＭＭ１２０２と、ＯＳ１２０３とＯＳ１２０４という２つのＯＳと、メディアサーバ機能部１２ａａと、セキュアデバイス機能部１２ｂｂとを備えている。

　ＶＭＭ１２０２、ＯＳ１２０３、ＯＳ１２０４、メディアサーバ機能部１２ａａおよびセキュアデバイス機能部１２ｂｂは、プロセスによって実現されている。

　また、ＯＳ１２０３上で動作するメディアサーバ機能部１２ａａで、図１０に示すメディアサーバ部１０ａａが実現されている。ＯＳ１２０４上で動作するセキュアデバイス機能部１２ｂｂで、図１０に示すセキュアデバイス部１０ｂｂが実現されている。

　本変形例におけるサーバ・セキュアデバイス１００１は、他に、図１２に図示されていない入出力部等を備えているが、これらは本発明の本質ではないので説明を省略する。また、サーバ・セキュアデバイス１００１は、ＣＰＵやＯＳの他、ＲＡＭ等のコンピュータに必要となる一般的な構成要素を備えているが、これらは本発明の本質ではないので説明を省略する。

　なお、図１２に示すサーバ・セキュアデバイス１００１は、端末自体がデバッガにつながらない等、外部からの解析行為に対して耐性をもって実装されている。例えば、メディアサーバ機能部１２ａａの著作権保護処理部２０７および暗復号部２０８における処理の実行中や、セキュアデバイス機能部１２ｂｂの第二アプリ実行部５０３および暗復号部５０８における処理の実行中は、解析行為を行うことは防止されている。また、ＤＬアプリ鍵５１５は、保存領域５２０自体がアクセス制限によって実現されるセキュアな保存領域で保護されているか、暗号化によって保護される。

　また、端末自体が耐性をもった実装以外の方法としては、ＤＬ著作権保護アプリ３１５の第二のプログラムに耐タンパー化が施されており、そのセキュアな実行を支援する機能が、第二アプリ実行部５０３やセキュアデバイス１０３が持つセキュアハードウェアに搭載されていてもよい。

　（実施の形態２の変形例２）
　本実施の形態の変形例２について、図１３を基に説明する。図１３は、本実施の形態の変形例２におけるサーバ・セキュアデバイス１００１の全体構成の一例を示す図である。

　図１３に示すように、変形例２におけるサーバ・セキュアデバイス１００１は、１つのＣＰＵ１３０１と、２つのＯＳ１３０３およびＯＳ１３０４と、メディアサーバ機能部１２ａａと、セキュアデバイス機能部１２ｂｂとを備えている。

　ＣＰＵ１３０１は、ＣＰＵの実行モードをノーマルモードとセキュアモードに切り替え、ノーマル実行環境とセキュア実行環境を切り分ける機能を備えている。セキュア実行環境での実行中においては、デバッガにつながらない等、外部からの解析行為に対して耐性をもつ。

　実行モードを切り替える機能を備えるＣＰＵとしては、例えば、ＡＲＭ社のＴｒｕｓｔＺｏｎｅ技術に対応したＣＰＵがある。当該ＣＰＵは、ホワイトペーパー「ＡＲＭ　Ｓｅｃｕｒｉｔｙ　Ｔｅｃｈｎｏｌｏｇｙ　Ｂｕｉｌｄｉｎｇ　ａ　Ｓｅｃｕｒｅ　Ｓｙｓｔｅｍ　ｕｓｉｎｇ　ＴｒｕｓｔＺｏｎｅ　Ｔｅｃｈｎｏｌｏｇｙ」（非特許文献３）等で開示されているため、説明を省略する。

　メディアサーバ機能部１３ａａは、図１０に示すメディアサーバ部１０ａａを実現するものであり、ＯＳ１３０３上で動作し、セキュリティが要求されない機能で構成されるメディアサーバノーマル部と、ＯＳ１３０４上で動作し、セキュリティが要求される機能で構成されるメディアサーバセキュア部とを有している。

　セキュアデバイス機能部１３ｂｂは、図１０に示すセキュアデバイス部１０ｂｂを実現するものであり、ＯＳ１３０３上で動作し、セキュリティが要求されない機能で構成されるセキュアデバイスノーマル部と、ＯＳ１３０４上で動作し、セキュリティが要求される機能で構成されるセキュアデバイスセキュア部とを有している。

　なお、ＯＳ１３０３、ＯＳ１３０４、メディアサーバ機能部１３ａａおよびセキュアデバイス機能部１３ｂｂは、プロセスによって実現されている。

　本変形例におけるサーバ・セキュアデバイス１００１は、他に、図１３に図示されていない入出力部等を備えているが、これらは本発明の本質ではないので説明を省略する。また、サーバ・セキュアデバイス１００１は、ＣＰＵやＯＳの他、ＲＡＭ等コンピュータに必要となる一般的な構成要素を備えているが、これらは本発明の本質ではないので説明を省略する。

　なお、図１３に示すサーバ・セキュアデバイス１００１は、実行モードを切り替えるＣＰＵによって、外部からの解析行為に対して耐性をもって実装されている。本変形例におけるサーバ・セキュアデバイス１００１は、メディアサーバ機能部１３ａａを構成するメディアサーバセキュア部の著作権保護処理部２０７および暗復号部２０８における処理の実行中や、セキュアデバイス機能部１３ｂｂを構成するセキュアデバイスセキュア部の第二アプリ実行部５０３および暗復号部５０８における処理の実行中、解析行為を行うことは防止されている。また、ＤＬアプリ鍵５１５は、保存領域５２０自体がアクセス制限によって実現されるセキュアな保存領域で保護されているか、暗号化によって保護される。

　（実施の形態２の変形例３）
　本実施の形態の変形例３について、図１４を基に説明する。図１４は、本実施の形態の変形例３におけるサーバ・セキュアデバイス１００１の全体構成の一例を示す図である。

　図１３に示すように、変形例３におけるサーバ・セキュアデバイス１００１は、１つのＣＰＵ１４０１と、１種類のＯＳ１４０２と、メディアサーバ機能部１２ａａと、セキュアデバイス機能部１２ｂｂとを備えている。なお、メディアサーバ機能部１４ａａが、図１０に示すメディアサーバ部１０ａａを実現している。セキュアデバイス機能部１４ｂｂが、図１０に示すセキュアデバイス部１０ｂｂを実現している。なお、ＯＳ１４０２、メディアサーバ機能部１４ａａおよびセキュアデバイス機能部１４ｂｂは、プロセスによって実現されている。このため、メディアサーバ機能部１４ａａおよびセキュアデバイス機能部１４ｂｂは、互いに干渉しあうことはない。

　本変形例におけるサーバ・セキュアデバイス１００１は、他に、図１４に図示されていない入出力部等を備えているが、これらは本発明の本質ではないので説明を省略する。また、本変形例におけるサーバ・セキュアデバイス１００１は、ＣＰＵやＯＳの他、ＲＡＭ等コンピュータに必要となる一般的な構成要素を備えているが、これらは本発明の本質ではないので説明を省略する。

　なお、図１４に示すサーバ・セキュアデバイス１００１は、端末自体がデバッガにつながらない等、外部からの解析行為に対して耐性をもって実装されている。例えば、メディアサーバ機能部１４ａａの著作権保護処理部２０７および暗復号部２０８における処理の実行中や、セキュアデバイス機能部１４ｂｂの第二アプリ実行部５０３および暗復号部５０８における処理の実行中は、解析行為を行うことは防止されている。また、ＤＬアプリ鍵５１５は、保存領域５２０自体がアクセス制限によって実現されるセキュアな保存領域で保護されているか、暗号化によって保護される。

　また、端末自体が耐性をもった実装以外の方法としては、ＤＬ著作権保護アプリ３１５の第二のプログラムに耐タンパー化が施されており、そのセキュアな実行を支援する機能が、第二アプリ実行部５０３やセキュアデバイス１０３が持つセキュアハードウェアに搭載されていてもよい。

　（実施の形態３）
　実施の形態３に係るコンテンツ配信システムの構成および動作について、図１５を基に説明する。図１５は、本実施の形態におけるメディアサーバ１５００の全体構成を示す図である。

　本実施の形態のコンテンツ配信システムは、実施の形態１のコンテンツ配信システムとは、メディアサーバが固有情報コンテンツ付与部１５０１を備える点で異なっている。

　本実施の形態のコンテンツ配信システムは、図１に示す実施の形態１のコンテンツ配信システム１００と同様に、メディアサーバ１０１ａ、１０１ｂと、情報処理装置１０２と、セキュアデバイス１０３と、放送局サーバ１１１と、Ｗｅｂサーバ１１２と、アプリ配信サーバ１１３とを備えている。なお、情報処理装置１０２、セキュアデバイス１０３、放送局サーバ１１１、Ｗｅｂサーバ１１２、および、アプリ配信サーバ１１３の構成は、実施の形態１のコンテンツ配信システム１００と同じである。

　本実施の形態のメディアサーバ１０１ａは、図１５に示すメディアサーバ１５００であり、例えば、通信部と記憶部とを有するＨＤＤレコーダ、ＤＶＤ／ＢＤレコーダ、セットトップボックス、ポータブル端末、タブレット端末、携帯電話、ＴＶ、あるいは、ゲーム機器等の機器である。

　メディアサーバ１５００は、図１５に示すように、ネットアクセス部２０１と、放送波受信部２０２と、データ送受信部２０４と、保存領域アクセス部２０６と、著作権保護処理部２０７と、暗復号部２０８と、コンテンツ再生部２０９と、保存領域２２０とに加え、固有情報コンテンツ付与部１５０１を備えている。なお、ネットアクセス部２０１、放送波受信部２０２、データ送受信部２０４、保存領域アクセス部２０６、著作権保護処理部２０７、暗復号部２０８、コンテンツ再生部２０９、および、保存領域２２０の構成は、実施の形態１と同じである。

　固有情報コンテンツ付与部１５０１は、著作権保護処理部２０７が情報処理装置１０２に対してコンテンツを送信するときに、コンテンツのヘッダ情報等、再生に影響しない位置に、メディアサーバ１０１ａや情報処理装置１０２の固有情報を付与する。

　固有情報は、例えば、電話番号、ＧＵＩＤ (Ｇｌｏｂａｌｌｙ　Ｕｎｉｑｕｅ　Ｉｄｅｎｔｉｆｉｅｒ)、ＵＵＩＤ(Ｕｎｉｖｅｒｓａｌｌｙ　Ｕｎｉｑｕｅ　Ｉｄｅｎｔｉｆｉｅｒ)、メールアドレス、ＭＡＣアドレス、ＩＭＥＩ (Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｍｏｂｉｌｅ　Ｅｑｕｉｐｍｅｎｔ　Ｉｄｅｎｔｉｔｙ)や、これらを複合したものである。

　また、固有情報コンテンツ付与部１５０１は、メディアサーバ１０１ａを製造するメーカが付与し、メーカ側でも管理している固有情報鍵を備え、固有情報は固有情報鍵を使って暗号化してもよい。

　コンテンツに固有情報を付与するように構成すれば、コンテンツが経由した機器を特定できる。この場合、不正な複製等が行われた場合でも、コンテンツの経由履歴から、不正が行われた機器を絞り込むことが可能になる。これにより、不正な複製に対する対策を行うことがより容易になる。

　（その他変形例）
　なお、本発明を上記実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。

　（１）上記の各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウス等から構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２）上記の各装置を構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されていてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等を含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、システムＬＳＩは集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもあるが、システムＬＳＩを上記のいずれの集積度で実現した場合も本発明に含まれることは言うまでもない。また、ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ(Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて構成要素の集積化を行ってもよい。バイオ技術の適応等が可能性としてありえる。

　（３）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパー性を有するとしてもよい。

　（４）本発明は、上記に示す方法であるとしてもよい。また、これらの方法をＣＰＵの処理としてコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記憶媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ　Ｄｉｓｃ）、半導体メモリ等に記憶したものとしてもよい。また、これらの記憶媒体に記憶されている前記デジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記憶媒体に記憶して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（５）上記実施の形態及び上記変形例をそれぞれ組み合わせてもよい。

　上述したコンテンツ配信システムは、アプリ配信の仕組みを利用できる組み込み機器（情報処理装置）を含むコンテンツ配信システムとして利用できる。また、上述したセキュアデバイス、情報処理端末（情報処理装置）、メディアサーバは、それぞれ、上記コンテンツ配信システムの各構成要素として実現できる。

　また、上記コンテンツ配信システムは、アプリ配信の仕組みを持つ組込端末においても、著作権保護規格の実装を可能とすることができる。また、固有情報を付与するように構成すれば、仮に、不正者が、不正に著作権保護実装を解除し、コンテンツを流出させたとしても、不正者の特定を可能に、あるいは容易にすることができる。

　１００　コンテンツ配信システム
　１０１ａ、１０１ｂ　メディアサーバ
　１０２　情報処理装置
　１０３　セキュアデバイス
　１１１　放送局サーバ
　１１２　Ｗｅｂサーバ
　１１３　アプリ配信サーバ
　２０１　ネットアクセス部
　２０２　放送波受信部
　２０４　データ送受信部
　２０６　保存領域アクセス部
　２０７　著作権保護処理部
　２０８　暗復号部
　２０９　コンテンツ再生部
　２１４　端末Ｖｅｒ．
　２１５　ローカルコンテンツ鍵
　２１６　暗号化コンテンツ
　２２０　保存領域
　３０１　ネットアクセス部
　３０２　アプリＤＬ部
　３０４　データ送受信部
　３０６　保存領域アクセス部
　３０７　第一アプリ実行部
　３０８　暗復号部
　３１４　ＰＦ Ｖｅｒ．
　３１５　ＤＬ著作権保護アプリ
　３２０　保存領域
　５０１　ネットアクセス部
　５０２　データ送受信部
　５０３　第二アプリ実行部
　５０４　認証部
　５０６　保存領域アクセス部
　５０８　暗復号部
　５１５　ＤＬアプリ鍵
　５２０　保存領域
　１０００　コンテンツ配信システム
　１００１　サーバ・セキュアデバイス
　１０ａａ　メディアサーバ部
　１０ｂｂ　セキュアデバイス部
　１１０１　ＣＰＵ
　１１０２　ＣＰＵ
　１１ａａ　メディアサーバ機能部
　１１ｂｂ　セキュアデバイス機能部
　１２０１　ＣＰＵ
　１２０２　ＶＭＭ
　１２０３　ＯＳ
　１２０４　ＯＳ
　１２ａａ　メディアサーバ機能部
　１２ｂｂ　セキュアデバイス機能部
　１３０１　ＣＰＵ
　１３０３　ＯＳ
　１３０４　ＯＳ
　１３ａａ　メディアサーバ機能部
　１３ｂｂ　セキュアデバイス機能部
　１４０１　ＣＰＵ
　１４０２　ＯＳ
　１４ａａ　メディアサーバ機能部
　１４ｂｂ　セキュアデバイス機能部
　１５００　メディアサーバ
　１５０１　固有情報コンテンツ付与部

Claims (17)

1. 　所定のコンテンツを再生するための著作権保護アプリケーションプログラムを配信するアプリ配信サーバと、
   　前記著作権保護アプリケーションプログラムを実行することにより前記コンテンツの再生を行う情報処理端末と、
   　前記情報処理端末と連携動作するセキュアデバイスとを備えるコンテンツ再生システムであって、
   　前記アプリ配信サーバは、
   　　前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む前記著作権保護アプリケーションプログラムを記憶する記憶部を有し、
   　前記情報処理端末は、
   　　前記アプリ配信サーバから前記著作権保護アプリケーションプログラムを受信する第一の受信部と、
   　　前記著作権保護アプリケーションプログラムから前記第一のプログラムを抽出して実行することにより、前記著作権保護アプリケーションプログラムから前記第二のプログラムを抽出して前記セキュアデバイスに送信する第一アプリ実行部とを有し、
   　前記セキュアデバイスは、
   　　前記プログラム鍵を格納する鍵格納部と、
   　　前記情報処理端末から前記第二のプログラムを受信する第二の受信部と、
   　　前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行する第二アプリ実行部とを有し、
   　前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記コンテンツの配信を行うメディアサーバに対する認証処理を実行し、
   　前記第一アプリ実行部は、前記第二アプリ実行部における前記認証処理で認証された場合に、前記第一のプログラムを実行することにより、前記コンテンツを再生する
   　コンテンツ再生システム。
2. 　前記コンテンツ再生システムは、前記メディアサーバをさらに備え、
   　前記メディアサーバは、
   　　前記情報処理端末で実行される前記第一のプログラムとの間で、前記コンテンツをセキュアに交換できる通信路を確立する著作権保護処理部と、
   　　前記コンテンツを保存する保存領域と、
   　　前記コンテンツを、前記情報処理端末へ送信するデータ送受信部とを有する
   　請求項１に記載のコンテンツ再生システム。
3. 　前記メディアサーバの前記著作権保護処理部は、耐タンパー化されている
   　請求項２に記載のコンテンツ再生システム。
4. 　前記メディアサーバは、さらに、前記コンテンツに、前記メディアサーバに固有の情報を付与する固有情報コンテンツ付与部を有する
   　請求項１～３の何れか１項に記載のコンテンツ再生システム。
5. 　前記セキュアデバイスは、前記鍵格納部および前記第二アプリ実行部の動作を解析する解析ツールと物理的に接続する接続部を備えない
   　請求項１～４の何れか１項に記載のコンテンツ再生システム。
6. 　前記第二のプログラムは、耐タンパー化されている
   　請求項１～５の何れか１項に記載のコンテンツ再生システム。
7. 　所定のコンテンツの再生を行う情報処理端末と連携動作するセキュアデバイスであって、
   　前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信する第二の受信部と、
   　前記プログラム鍵を格納する鍵格納部と、
   　前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行する第二アプリ実行部とを備え、
   　前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記コンテンツの配信を行うメディアサーバに対する認証処理を実行する
   　セキュアデバイス。
8. 　所定のコンテンツの再生を行う情報処理端末と通信するサーバ・セキュアデバイスであって、
   　前記情報処理端末に前記コンテンツを配信するメディアサーバと、
   　前記情報処理端末と連携動作するセキュアデバイスとを備え、
   　前記セキュアデバイスは、
   　前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信する第二の受信部と、
   　前記プログラム鍵を格納する鍵格納部と、
   　前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行する第二アプリ実行部とを有し、
   　前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記メディアサーバに対する認証処理を実行し、
   　前記メディアサーバは、
   　前記情報処理端末で実行される前記第一のプログラムとの間で、前記コンテンツをセキュアに交換できる通信路を確立する著作権保護処理部と、
   　前記コンテンツを保存する保存領域と、
   　前記コンテンツを、前記情報処理端末へ送信するデータ送受信部とを有する
   　サーバ・セキュアデバイス。
9. 　セキュアデバイスと連携動作し、所定のコンテンツの再生を行う情報処理端末であって、
   　前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムを格納するアプリ格納部と、
   　前記著作権保護アプリケーションプログラムから、前記第一のプログラムを抽出して実行することにより、前記著作権保護アプリケーションプログラムから前記第二のプログラムを抽出して前記セキュアデバイスへ送信する第一アプリ実行部とを備え、
   　前記第一アプリ実行部は、さらに、前記セキュアデバイスにおいて前記コンテンツの配信を行うメディアサーバが認証された場合に、前記第一のプログラムを実行することにより、前記コンテンツを再生する再生処理を実行する
   　情報処理端末。
10. 　所定のコンテンツを再生する情報処理端末に対してコンテンツの配信を行うメディアサーバであって、
    　前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記情報処理端末と連携動作するセキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記セキュアデバイスで実行される前記第二のプログラムとの間で、認証処理を行い、前記情報処理端末で実行される前記第一のプログラムとの間で、コンテンツをセキュアに交換できる通信路を確立する著作権保護処理部と、
    　前記コンテンツを保存する保存領域と、
    　前記コンテンツに、前記メディアサーバに固有の情報を付与する固有情報コンテンツ付与部と、
    　前記固有の情報が付与された前記コンテンツを暗号化し、前記情報処理端末へ送信するデータ送受信部とを備える
    　メディアサーバ。
11. 　所定のコンテンツの再生を行う情報処理端末と連携動作するセキュアデバイスの集積回路であって、
    　前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信する第二の受信部と、
    　鍵格納部に格納された前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行する第二アプリ実行部とを備え、
    　前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記コンテンツの配信を行うメディアサーバに対する認証処理を実行する
    　セキュアデバイスの集積回路。
12. 　情報処理端末と連携動作するセキュアデバイスの制御プログラムであって、
    　前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信するステップと、
    　前記セキュアデバイスの鍵格納部に格納された前記プログラム鍵を用いて前記第二のプログラムを復号するステップと、
    　前記情報処理端末で実行される前記第一のプログラムと連携しながら、前記第二のプログラムを実行するステップとを含み、
    　前記第二のプログラムを実行するステップでは、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記コンテンツの配信を行うメディアサーバに対する認証処理を実行する
    　セキュアデバイスの制御プログラム。
13. 　請求項１２に記載のセキュアデバイスの制御プログラムが記録された記録媒体。
14. 　所定のコンテンツの再生を行う情報処理端末と通信するサーバ・セキュアデバイスの集積回路であって、
    　前記情報処理端末に前記コンテンツを提供するメディアサーバと、
    　前記情報処理端末と連携動作するセキュアデバイスとを備え、
    　前記セキュアデバイスは、
    　前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記第二のプログラムを前記情報処理端末から受信する第二の受信部と、
    　鍵格納部に格納された前記プログラム鍵を用いて前記第二のプログラムを復号し、復号された前記第二のプログラムを実行する第二アプリ実行部とを有し、
    　前記第二アプリ実行部は、前記第二のプログラムを実行することにより、前記情報処理端末の認証情報を用いて、前記メディアサーバに対する認証処理を実行し、
    　前記メディアサーバは、
    　前記情報処理端末で実行される前記第一のプログラムとの間で、前記コンテンツをセキュアに交換できる通信路を確立する著作権保護処理部と、
    　保存領域に格納された前記コンテンツを、前記情報処理端末へ送信するデータ送受信部とを有する
    　サーバ・セキュアデバイスの集積回路。
15. 　所定のコンテンツの再生を行う情報処理端末に前記コンテンツを提供するメディアサーバと、前記情報処理端末と連携動作するセキュアデバイスとを備えるサーバ・セキュアデバイスの制御プログラムであって、
    　前記メディアサーバにおいて、前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含む著作権保護アプリケーションプログラムのうち、前記情報処理端末で実行される前記第一のプログラムとの間で、コンテンツをセキュアに交換できる通信路を確立するステップと、
    　前記セキュアデバイスにおいて、前記第二のプログラムを前記情報処理端末から受信するステップと、
    　前記セキュアデバイスにおいて、鍵格納部に格納された前記プログラム鍵を用いて前記第二のプログラムを復号し、復号した前記第二のプログラムを実行するステップとを含み、
    　前記第二のプログラムを実行するステップでは、前記情報処理端末の認証情報を用いて、前記メディアサーバに対する認証処理を実行する
    　サーバ・セキュアデバイスの制御プログラム。
16. 　請求項１５に記載のサーバ・セキュアデバイスの制御プログラムが記録された記録媒体。
17. 　所定のコンテンツの再生を行う情報処理端末、および、前記情報処理端末と連携動作するセキュアデバイスで実行される著作権保護アプリケーションプログラムが記録された記録媒体であって、
    　前記著作権保護アプリケーションプログラムは、
    　前記情報処理端末で実行可能な第一の実行形式の第一のプログラムと、
    　前記セキュアデバイスで実行可能な、前記第一の実行形式とは異なる第二の実行形式であって、且つ、前記セキュアデバイスが保持するプログラム鍵で暗号化された第二のプログラムとを含み、
    　前記第二のプログラムは、
    　前記セキュアデバイスに、前記情報処理端末の認証情報を用いて、前記コンテンツを配信するメディアサーバに対する認証処理を実行させるステップを有し、
    　前記第一のプログラムは、
    　前記情報処理端末に、前記著作権保護アプリケーションプログラムから前記第二のプログラムを抽出して前記セキュアデバイスに送信させるステップと、
    　前記認証処理で認証された場合に、前記情報処理端末に、前記コンテンツを再生させるステップとを有する
    　記録媒体。

Images