JP2003248629A - 識別情報を有するリムーバブルディスク装置 - Google Patents

識別情報を有するリムーバブルディスク装置

Info

Publication number
JP2003248629A
JP2003248629A JP2002049249A JP2002049249A JP2003248629A JP 2003248629 A JP2003248629 A JP 2003248629A JP 2002049249 A JP2002049249 A JP 2002049249A JP 2002049249 A JP2002049249 A JP 2002049249A JP 2003248629 A JP2003248629 A JP 2003248629A
Authority
JP
Japan
Prior art keywords
information processing
removable disk
disk device
identification information
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002049249A
Other languages
English (en)
Inventor
Eiichi Ebihara
栄一 海老原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2002049249A priority Critical patent/JP2003248629A/ja
Priority to US10/314,533 priority patent/US20030163719A1/en
Publication of JP2003248629A publication Critical patent/JP2003248629A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Abstract

(57)【要約】 【課題】 権利が設定されたコンテンツの不正使用を防
止する。 【解決手段】 コンテンツを再生するアプリケーション
33は、ハードディスク(HDD)31からドライブI
D(DID)を取得し、通信ネットワーク34を介して
配信サーバ35にDIDを送信する。配信サーバ35
は、受け取ったDIDによりHDD31を認証し、コン
テンツを配信する。そして、アプリケーション33は、
HDD31からコンテンツを読み出して再生する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、データを格納する
ディスクとディスクのデータを読み書きする機構を有す
る脱着可能な(リムーバブル)ディスク装置と、そのよ
うなディスク装置が接続される情報処理装置に関する。
【0002】
【従来の技術および発明が解決しようとする課題】HD
D(Hard Disk Drive )は情報処理装置から分離すると
複製が容易なため、映像や音楽のように権利が設定され
たソフトウェア・コンテンツの権利者は、リムーバブル
HDDをインストール先として禁止している。このた
め、このようなソフトウェア・コンテンツは、通常、情
報処理装置に組み込まれた脱着不可能なHDDにのみイ
ンストールされる。
【0003】このように、従来のHDDでは、HDDと
情報処理装置を分離すると、コンテンツ管理を行う仕組
みが働かなくなる。したがって、著作権が設定された大
量のデジタル情報を流通させる媒体として、リムーバブ
ルHDDを利用することが難しいという問題がある。
【0004】本発明の課題は、権利が設定されたコンテ
ンツの不正使用を防止するリムーバブルディスク装置お
よび情報処理装置を提供することである。
【0005】
【課題を解決するための手段】図1は、本発明のリムー
バブルディスク装置の原理図である。本発明の第1の局
面において、リムーバブルディスク装置は、配信サーバ
からデータを受信する情報処理装置に接続して用いら
れ、ディスク媒体手段11、リード手段12、インタフ
ェース手段13、およびライト手段14を備える。
【0006】ディスク媒体手段11には、書き換え不可
能な識別情報が記録され、リード手段12は、情報処理
装置からの要求に応じて、ディスク媒体手段11から識
別情報を読み出す。インタフェース手段13は、識別情
報を情報処理装置に送出し、情報処理装置が識別情報を
用いて配信サーバから受信したデータを、情報処理装置
から受け取る。そして、ライト手段14は、そのデータ
をディスク媒体手段11に書き込む。
【0007】ディスク媒体手段11に記録された識別情
報は、ユーザが書き換えることができず、配信サーバか
らデータを受信するためには、その識別情報を用いて配
信サーバにデータを要求しなければならない。したがっ
て、正しい識別情報を持っていない他のリムーバブルデ
ィスク装置にはデータが配信されず、不正なダウンロー
ドが防止される。
【0008】この場合、ディスク媒体手段11は、例え
ば、後述する図4の媒体37に対応し、リード手段12
およびライト手段14は、例えば、後述する図13のH
EAD173に対応し、インタフェース手段13は、例
えば、図13のI/F165に対応する。また、書き換
え不可能な識別情報は、例えば、後述する図5のドライ
ブID46に対応する。
【0009】本発明の第2の局面において、リムーバブ
ルディスク装置は、データを再生する情報処理装置に接
続して用いられ、ディスク媒体手段11、インタフェー
ス手段13、およびライト手段14を備える。
【0010】ディスク媒体手段11には、書き換え不可
能な識別情報が記録され、ライト手段14は、その識別
情報を用いて復号できるような方法で暗号化されたデー
タを、ディスク媒体手段11に書き込む。そして、イン
タフェース手段13は、識別情報と暗号化されたデータ
を情報処理装置に送出する。
【0011】ディスク媒体手段11に記録された識別情
報は、ユーザが書き換えることができず、暗号化された
データを再生するためには、その識別情報を用いて復号
しなければならない。したがって、暗号化されたデータ
を、正しい識別情報を持っていない他のリムーバブルデ
ィスク装置にコピーしたとしても、そのディスク装置で
はデータを再生することができず、データの不正使用が
防止される。
【0012】この場合、識別情報を用いて復号できるよ
うな方法は、例えば、後述する図7に示すようなコンテ
ンツの暗号化方法に対応する。本発明の第3の局面にお
いて、リムーバブルディスク装置は、情報処理装置に接
続して用いられ、ディスク媒体手段11、登録手段1
5、認証手段16、およびアクセス手段17を備える。
【0013】登録手段15は、ユーザ識別情報と暗号鍵
とを対応付けて登録する。認証手段16は、情報処理装
置から受け取ったユーザ識別情報に対応する暗号鍵を用
いて情報処理装置と認証情報をやり取りすることで、情
報処理装置がその暗号鍵を持っているか否かをチェック
し、情報処理装置が暗号鍵を持っていれば情報処理装置
を認証する。そして、アクセス手段17は、情報処理装
置が認証された後に、情報処理装置からの要求に応じて
ディスク媒体手段11にアクセスする。
【0014】登録手段15は、ユーザ毎に異なる暗号鍵
を登録しておき、あるユーザがディスク媒体手段11に
アクセスしようとしたとき、認証手段16は、情報処理
装置からそのユーザのユーザ識別情報を受け取る。認証
手段16は、ユーザ識別情報に対応する暗号鍵を用いて
情報処理装置の認証を行い、同じ暗号鍵を持つ情報処理
装置を信頼できる装置として認証する。そして、アクセ
ス手段17は、認証された情報処理装置からのアクセス
要求を受け付ける。
【0015】このような構成によれば、リムーバブルデ
ィスク装置と情報処理装置の双方で登録されているユー
ザの暗号鍵が一致しなければ、ユーザは、リムーバブル
ディスク装置にアクセスすることができない。このた
め、そのような暗号鍵を持っていない他の情報処理装置
を用いてアクセスしようとしても、アクセスは禁止され
る。したがって、リムーバブルディスク装置と情報処理
装置の組み合わせを限定することができ、他の情報処理
装置を用いたデータの不正使用が防止される。
【0016】この場合、登録手段15は、例えば、後述
する図14のUSR187に対応し、認証手段16は、
例えば、図14のAUT188または後述する図26の
モジュール263、264に対応し、アクセス手段17
は、例えば、図13のHEAD173に対応する。
【0017】また、ユーザ識別情報に対応する暗号鍵
は、例えば、後述する図9のHWK101、103に対
応し、やり取りされる認証情報は、例えば、図9のE
HWK(R1)、EHWK(R2)、EHWK(R1 xor
HFP)、およびEHWK(R2xor HFP)に対応
する。
【0018】本発明の第4の局面において、リムーバブ
ルディスク装置は、データを再生する情報処理装置に接
続して用いられ、ディスク媒体手段11、インタフェー
ス手段13、ライト手段14、時計手段18、および比
較手段19を備える。
【0019】ライト手段14は、暗号化されたデータと
そのデータの有効期限を表す情報をディスク媒体手段1
1に書き込む。時計手段18は、現在時刻を出力し、比
較手段19は、現在時刻と有効期限とを比較する。そし
て、インタフェース手段13は、現在時刻が有効期限内
であるとき、暗号化されたデータを復号するために必要
な情報を情報処理装置に送出する。
【0020】このような構成によれば、ディスク媒体手
段11に書き込まれたデータの有効期限がリムーバブル
ディスク装置により管理され、現在時刻が有効期限内で
なければ、情報処理装置は暗号化されたデータを復号す
ることができない。したがって、有効期限を過ぎたデー
タの不正使用が防止される。例えば、ソフトウェアのラ
イセンスデータをディスク媒体手段11に書き込んでお
けば、リムーバブルディスク装置自身がライセンスの有
効期限を管理することができる。
【0021】この場合、時計手段18は、例えば、後述
する図11の内臓時計134に対応し、比較手段19の
機能は、例えば、図11の135に対応する。本発明の
第5の局面において、リムーバブルディスク装置は、情
報処理装置に接続して用いられ、ディスク媒体手段1
1、アクセス手段17、および設定手段20を備える。
【0022】設定手段20は、ディスク媒体手段11の
各セクタの所有者の識別情報と、所有者以外のユーザに
対する各セクタへのアクセス制限を表す情報とを設定す
る。そして、アクセス手段17は、あるセクタの所有者
以外のユーザが情報処理装置を用いてそのセクタにアク
セスしようとしたとき、アクセス制限の範囲内でそのセ
クタにアクセスする。
【0023】このような構成によれば、ディスク媒体手
段11のセクタ毎に所有者が設定され、あるセクタの所
有者以外のユーザに対しては、そのセクタへのアクセス
制限を課すことができる。これにより、1つのリムーバ
ブルディスク装置を複数のユーザが利用することが可能
となり、適切なアクセス制限の範囲内で他のユーザとデ
ータを共有することもできる。したがって、その範囲を
逸脱した不正アクセスが防止される。
【0024】この場合、設定手段20は、例えば、後述
する図31のユーザ認証部311に対応する。また、所
有者以外のユーザに対するアクセス制限は、例えば、後
述する図32の所有者以外の権限およびグループの権限
に対応する。
【0025】本発明の第6の局面において、リムーバブ
ルディスク装置のデータを再生する情報処理装置は、チ
ェック手段およびアクセス手段を備える。チェック手段
は、情報処理装置が有するソフトウェア識別情報を用い
て生成された認証情報をリムーバブルディスク装置とや
り取りすることで、リムーバブルディスク装置がソフト
ウェア識別情報に対応する書き換え不可能な識別情報を
持っているか否かをチェックする。そして、アクセス手
段は、リムーバブルディスク装置が書き換え不可能な識
別情報を持っているとき、リムーバブルディスク装置の
データにアクセスする。
【0026】情報処理装置がリムーバブルディスク装置
のデータにアクセスしようとしたとき、チェック手段
は、ソフトウェア識別情報を用いてリムーバブルディス
ク装置の認証を行い、そのソフトウェア識別情報に対応
する書き換え不可能な識別情報を持っているリムーバブ
ルディスク装置をアクセス対象として認証する。そし
て、アクセス手段は、認証されたリムーバブルディスク
装置のデータにアクセスする。
【0027】このような構成によれば、情報処理装置が
有するソフトウェア識別情報とリムーバブルディスク装
置の識別情報とが対応していなければ、情報処理装置
は、リムーバブルディスク装置にアクセスすることがで
きない。このため、そのような識別情報を持っていない
リムーバブルディスク装置にアクセスしようとしても、
アクセスは禁止される。したがって、情報処理装置がア
クセス可能なリムーバブルディスク装置を限定すること
が可能となり、それ以外のリムーバブルディスク装置の
データの不正使用が防止される。
【0028】この場合、チェック手段は、例えば、後述
する図6のセキュアドライバ43に対応し、アクセス手
段の機能は、例えば、後述する図7の88および89に
対応する。また、ソフトウェア識別情報は、例えば、図
6のソフトID48に対応し、やり取りされる認証情報
は、例えば、図6のRANDOM//Soft ID およびSoft Key//
RANDOM xor Drive ID//DES-MAC に対応する。
【0029】本発明の第7の局面において、リムーバブ
ルディスク装置のデータを再生する情報処理装置は、認
証手段およびアクセス手段を備える。認証手段は、ユー
ザの識別情報に対応する暗号鍵を用いてリムーバブルデ
ィスク装置と認証情報をやり取りすることで、リムーバ
ブルディスク装置が暗号鍵を持っているか否かをチェッ
クし、リムーバブルディスク装置が暗号鍵を持っていれ
ばリムーバブルディスク装置を認証する。そして、アク
セス手段は、リムーバブルディスク装置が認証された後
に、ユーザからの要求に応じてリムーバブルディスク装
置のデータにアクセスする。
【0030】あるユーザが情報処理装置に識別情報を入
力して、リムーバブルディスク装置のデータにアクセス
しようとしたとき、認証手段は、その識別情報に対応す
る暗号鍵を用いてリムーバブルディスク装置の認証を行
い、同じ暗号鍵を持つリムーバブルディスク装置をアク
セス対象として認証する。そして、アクセス手段は、認
証されたリムーバブルディスク装置の要求されたデータ
にアクセスする。
【0031】このような構成によれば、リムーバブルデ
ィスク装置と情報処理装置の双方で登録されているユー
ザの暗号鍵が一致しなければ、ユーザは、リムーバブル
ディスク装置にアクセスすることができない。このた
め、そのような暗号鍵を持っていないリムーバブルディ
スク装置にアクセスしようとしても、アクセスは禁止さ
れる。したがって、リムーバブルディスク装置のデータ
の不正使用が防止される。
【0032】この場合、認証手段の機能は、例えば、図
9の102、109、111、112、113、11
4、および115に対応する。さらに、認証手段は、後
述する図26のモジュール273、274にも対応す
る。アクセス手段の機能は、例えば、図7の87、8
8、および89に対応する。
【0033】また、ユーザの識別情報に対応する暗号鍵
は、例えば、図9のHWK101、103に対応し、や
り取りされる認証情報は、例えば、図9のEHWK(R
1)、EHWK(R2)、EHWK(R1 xor HF
P)、およびEHWK(R2 xorHFP)に対応す
る。
【0034】
【発明の実施の形態】以下、図面を参照しながら、本発
明の実施の形態を詳細に説明する。図2は、リムーバブ
ルHDDの外観を示している。図2のリムーバブルHD
D22は、インタフェースケーブル23を介して情報処
理装置(ホスト)21に接続されて使用される。
【0035】情報処理装置21は、例えば、PC(パー
ソナルコンピュータ)やコンテンツ再生装置(ビデオ再
生装置)に対応し、HDD22に記録されたデータを出
力する機能を有する。インタフェースケーブル23は、
例えば、USB(UniversalSerial Bus )やIEEE
(Institute of Electrical and Electronic Engineer
s)1394に対応する。
【0036】また、図3は、別のリムーバブルHDDの
外観を示している。図3のリムーバブルHDD24は、
情報処理装置21のスロット25に挿入されて使用され
る。リムーバブルHDDに格納されるコンテンツには、
映像や音楽のような再生用データおよび著作権データ
(ライセンスデータ)が含まれる。本実施形態では、こ
れらのコンテンツを管理するために、身分証明機能、秘
密鍵格納機能、通信秘匿機能、ユーザ管理機能、相互認
証機能、時計機能、およびセクタ管理機能を、HDDと
情報処理装置に設ける。これらの機能は、基本的に、ソ
フトウェアおよびハードウェアのいずれでも実現可能で
ある。以下では、各機能について順を追って説明する。 (1)身分証明機能 HDDのシリアル番号に1対1に対応した秘密の識別情
報(認証番号)をHDDに持たせ、個体識別をする。こ
の識別情報をドライブID(DID)と呼ぶことにす
る。DIDとしては、シリアル番号とは異なり、簡単に
類推できない記号列が用いられる。
【0037】図4は、このDIDを用いた身分証明機能
を示している。リムーバブルHDD31は、OS(オペ
レーティングシステム)32とアプリケーション33を
搭載した情報処理装置に接続され、配信サーバ35によ
り配信されるコンテンツを格納する。アプリケーション
33は、コンテンツを再生するアプリケーション・プロ
グラムであり、DIDを持たないリムーバブルHDDに
は配信データを格納しない。
【0038】まず、アプリケーション33は、OS32
に対してHDD31のDIDを要求し、OS32は、そ
れに応じて、HDD31に対してDID要求を発行す
る。身分証明機能を持つHDD31のセキュアモジュー
ル36は、OS32からの要求に応じて、DIDを平文
のまま送出する。OS32は、受け取ったDIDを応答
としてアプリケーション33へ返し、アプリケーション
33は、インターネット等の通信ネットワーク34を介
して、配信サーバ35にDIDを送信し、コンテンツの
配信を要求する。
【0039】配信サーバ35は、受け取ったDIDによ
りHDD31を認証し、コンテンツを配信する。アプリ
ケーション33は、配信されたコンテンツをOS32に
渡し、OS32のファイルシステムドライバ38は、コ
ンテンツをHDD31の媒体37に格納する。その後、
アプリケーション33は、ファイルシステムドライバ3
8を介して、媒体37からコンテンツを読み出し、それ
をデコーダ39でデコードして再生する。
【0040】このように、リムーバブルHDDに秘密の
識別情報を持たせることにより、HDDを情報処理装置
から分離してもコンテンツ管理が行われるようになる。
したがって、リムーバブルHDDを映像や音楽用の媒体
として利用することが可能となる。 (2)秘密鍵格納機能 リムーバブルHDDに秘密鍵を登録する機能を設ける。
この機能は、専用のデバイスドライバ(セキュアドライ
バ)と共に出荷されるHDDに適用され、メーカは、安
全な場所でマスタ鍵を暗号化してHDDとセキュアドラ
イバに登録する。
【0041】図5は、このような秘密鍵格納機能を示し
ている。配信サーバ35が管理するマスタ鍵41は、厳
重管理の下でメーカ42に配信され、メーカ42は、H
DD31のDID46を用いてマスタ鍵41を暗号化し
(44)、ドライブ鍵47としてHDD31に格納す
る。
【0042】また、メーカ42は、セキュアドライバ4
3の識別情報であるソフトID48を用いて、マスタ鍵
41を暗号化し(45)、ソフト鍵49としてセキュア
ドライバ43に付加する。ソフトID48としては、D
ID46と同様に、簡単に類推できない記号列が用いら
れる。こうして、共通のマスタ鍵41の情報を保持する
HDD31とセキュアドライバ43が、メーカ42から
出荷される。
【0043】このように、マスタ鍵を暗号化してHDD
31とセキュアドライバ43の双方に持たせることで、
HDD31とセキュアドライバ43の間でマスタ鍵を用
いた認証処理等を行うことが可能となる。 (3)通信秘匿機能(DID読出機能) HDDと情報処理装置の間の通信を秘匿して、盗聴を困
難にする機能を設ける。図4において、セキュアドライ
バ43はOS32に搭載され、HDD31からDIDを
読み出す際に、あらかじめ設定されたソフト鍵48を用
いて安全にDIDを受領する。また、盗聴される恐れの
ある場所でDIDを読み出す場合は、再送防止のプロト
コルを使用する。
【0044】図6は、このような危険な場所における通
信秘匿機能を示している。情報処理装置51内のアプリ
ケーションからDID要求52が発行されると、セキュ
アドライバ43は、ソフトID48と乱数53を連結し
て(54)、HDD31に送出する。
【0045】HDD31は、受け取ったソフトID48
と乱数53を切断する(55)。また、DID46を用
いてドライブ鍵47を復号し(56)、マスタ鍵41を
生成する。そして、ソフトID48を用いてマスタ鍵4
1を暗号化し(57)、ソフト鍵を生成する。
【0046】次に、DID46と乱数53の排他論理和
(XOR)を生成し(58)、ソフト鍵と連結する(5
9)。さらに、連結された情報のメッセージ認証コード
として、DES−MAC(Data Encryption Standard-M
essage Authentication Code)を生成し(60)、排他
論理和およびソフト鍵と連結して(61)、セキュアド
ライバ43に送出する。
【0047】このDES−MACは、DESの暗号方式
をハッシュ関数として用いた署名情報であり、チェック
サムと類似の目的で送信情報に付加される。メッセージ
ダイジェストと呼ばれることもある。
【0048】セキュアドライバ43は、受け取った連結
情報を切断して、排他論理和とDES−MACとソフト
鍵とを生成し、排他論理和からDES−MACを生成す
る(62)。そして、生成したDES−MACをHDD
31から受け取ったDES−MACと比較し(63)、
両者が一致すれば、次に、HDD31から受け取ったソ
フト鍵を保持しているソフト鍵49と比較する(6
4)。
【0049】2つのソフト鍵が一致すれば、HDD31
から受け取った情報は有効であると判断し、HDD31
から受け取った排他論理和と乱数53の排他論理和を演
算して(65)、DID46を取り出す。DES−MA
Cまたはソフト鍵が一致しなければ、HDD31から受
け取った情報は無効であると判断し、エラー処理を行う
(66)。
【0050】このようなDID読み出し処理によれば、
セキュアドライバ43は、HDD31がソフトID48
に対応するDID46を持っているか否かをチェック
し、HDD31がそのようなDID46を持っているこ
とが確認された後に、アプリケーションに対してHDD
31へのアクセスを許可することができる。したがっ
て、異なるDIDを有する他のHDDが情報処理装置5
1に接続された場合、情報処理装置51は、そのHDD
のコンテンツにアクセスすることはできない。
【0051】また、HDD31と情報処理装置51の間
で転送されるソフトID48およびDID46は、乱数
により隠蔽されているので、これらの秘密情報が盗聴さ
れる危険性が低下する。したがって、HDD31および
情報処理装置51のプライバシーが保護される。
【0052】図7は、図5の秘密鍵格納機能と図6の通
信秘匿機能を用いたコンテンツ配信システムを示してい
る。このシステムでは、配信サーバ35と情報処理装置
72は、図6の情報処理装置51と同様の処理を行っ
て、リムーバブルHDD31からDID46を読み出
す。HDD31は、DID46を署名付きで送出し、配
信サーバ35と情報処理装置72は、受け取ったDID
46を用いてHDD31の識別を行う。
【0053】最初に、HDD31は情報処理装置71に
接続され、図6に示した方法でDID46を送出する
(81)。情報処理装置71は、DID46を配信サー
バ35に送信し、配信サーバ35は、図6に示した方法
でDID46を受け取る(72)。
【0054】次に、配信サーバ35は、DID46を用
いてコンテンツワーク鍵(CWK)83を暗号化してE
DID(CWK)を生成し(84)、CWK83を用いて
コンテンツ(C)85を暗号化してECWK(C)を生成
する(86)。CWK83は、コンテンツ保持者の秘密
鍵である。
【0055】配信サーバ35は、EDID(CWK)およ
びECWK(C)を情報処理装置71に送信し、情報処理
装置71は、それらの情報をHDD31に渡す。そし
て、HDD31は、EDID(CWK)およびECWK(C)
を媒体37上に格納する。
【0056】次に、HDD31は別の情報処理装置72
に接続され、図6に示した方法でDID46を送出する
(81)。情報処理装置72は、図6に示した方法でD
ID46を受け取り(87)、DID46を用いてE
DID(CWK)を復号し、CWK73を生成する(8
8)。そして、CWK73を用いてECWK(C)を復号
し(89)、コンテンツ85を取り出して画面90上に
表示する。
【0057】このようなコンテンツ配信システムによれ
ば、情報処理装置71は、DID46、CWK73、お
よびコンテンツ85のいずれの情報にも直接アクセスす
ることができない。したがって、情報処理装置71が信
頼できない場合でも、これらの情報の不正使用が防止さ
れる。一方、情報処理装置72は、コンテンツ85の再
生に用いられる信頼できる装置に対応する。 (4)ユーザ管理機能 HDDを使用するユーザの名前と暗証番号を記録してお
き、ユーザ毎の読み書きの権利を設定する。また、ユー
ザ毎に属性を設定することもできる。
【0058】図8は、このようなユーザ管理機能を示し
ている。HDD31は、乱数格納部91に保存されてい
る前回送出した乱数RN-1を初期値として、再送防止用
の乱数RNを発生し(92)、情報処理装置51に送出
する。送出されたRNは、乱数格納部91に格納され
る。
【0059】情報処理装置51は、受け取ったRNを鍵
としてユーザの識別情報(ユーザ名)93(USE
n)を暗号化し、ERN(USERn)を生成する(9
4)。そして、ERN(USERn)をHDD31に渡
す。
【0060】HDD31は、受け取ったERN(USER
n)をRNを用いて復号し、USER nを生成する(9
5)。そして、媒体37上のユーザテーブル96から、
USERnに対応するホストワーク鍵HWKn、ホスト固
定パターンHFPn、およびユーザ属性Anを取り出し、
以降の処理に使用する。
【0061】HWKnは、情報処理装置51が保持して
いる秘密鍵であり、HFPnは、DESで用いられる霍
乱用の固定値である。また、Anは、ユーザが属するグ
ループ等の情報に対応する。
【0062】このようなユーザテーブル96を設けるこ
とで、ホストワーク鍵、ホスト固定パターン、およびユ
ーザ属性をユーザ毎に設定することが可能となり、それ
らの情報を用いてユーザ毎にコンテンツ管理を行うこと
ができる。 (5)相互認証機能 リムーバブルHDDと情報処理装置は、あらかじめ登録
されたホストワーク鍵を用いて、相手が同じホストワー
ク鍵を持っているか否かをチェックし、互いに相手を認
証し合う。
【0063】図9は、このような相互認証機能を示して
いる。HDD31と情報処理装置51は、最初に再送防
止用の乱数を交換し、次に、ホスト固定パターンを交換
する。そして、双方で乱数とホスト固定パターンが一致
したら、認証が完了し、読み書きの動作が行われる。H
DD31は、認証が完了するまで、読み書きの動作を行
わない。
【0064】まず、情報処理装置51は、あらかじめ保
持しているHWK101を用いて乱数R1を暗号化し、
HWK(R1)を生成する(102)。そして、E
HWK(R1)をHDD31に渡す。
【0065】HDD31は、ユーザテーブルから取り出
したHWK103を用いてEHWK(R1)を復号する
(104)。次に、HWK103を用いて乱数R2を暗
号化し、EHWK(R2)を生成する(105)。そし
て、EHWK(R2)を情報処理装置51に送出する。
【0066】また、ユーザテーブルから取り出したHF
P106と104の復号結果(R1)の排他論理和を生
成し(107)、HWK103を用いて暗号化して、E
HWK(R1 xor HFP)を生成する(108)。
そして、EHWK(R1 xor HFP)を情報処理装
置51に送出する。
【0067】情報処理装置51は、HWK101を用い
てEHWK(R2)を復号し(109)、復号結果(R
2)とあらかじめ保持しているHFP110の排他論理
和を生成する(111)。そして、排他論理和をHWK
101を用いて暗号化して、E HWK(R2 xor H
FP)を生成する(112)。そして、EHWK(R2
xor HFP)をHDD31に渡す。
【0068】また、HDD31から受け取ったE
HWK(R1 xor HFP)をHWK101を用いて
復号し(113)、復号結果(R1 xor HFP)
とHFP110の排他論理和を生成する(114)。そ
して、114の排他論理和をR1と比較して(11
5)、認証判定を行う(116)。排他論理和がR1と
一致すれば、HDD31が同じHWKとHFPを保持し
ていることが分かるので、HDD31を正しい相手とし
て認証する。それらが一致しなければ、HDD31を認
証しない。
【0069】一方、HDD31は、情報処理装置51か
ら受け取ったEHWK(R2 xorHFP)をHWK1
03を用いて復号し(117)、復号結果(R2 xo
rHFP)とHFP106の排他論理和を生成する(1
18)。そして、118の排他論理和をR2と比較して
(119)、認証判定を行う(120)。排他論理和が
R2と一致すれば、情報処理装置51が同じHWKとH
FPを保持していることが分かるので、情報処理装置5
1を正しい相手として認証する。それらが一致しなけれ
ば、情報処理装置51を認証しない。
【0070】このような認証方法によれば、情報処理装
置51がHDD31を認証するだけでなく、HDD31
も情報処理装置51を認証することができる。HDD3
1は、情報処理装置51が認証されない限り、情報処理
装置51にコンテンツへのアクセスを行わせない。した
がって、情報処理装置51によるコンテンツへの不正ア
クセスを防止することができる。
【0071】情報処理装置51とHDD31が互いに相
手を認証した後に、情報処理装置51は、HDD31の
コンテンツにアクセスし、データを読み書きすることが
可能となる。
【0072】図4のOS32は、HDD31により認証
済みの情報処理装置のOSに対応し、図6の情報処理装
置51および図7の情報処理装置72は、HDD31に
より認証済みの情報処理装置に対応する。また、図7の
情報処理装置71および図8の情報処理装置51は、未
認証の情報処理装置に対応する。 (6)時計機能 リムーバブルHDDは、内蔵時計を備え、権利の期限を
管理する。管理対象は、セクタやファイル等である。
【0073】図10は、このような時計機能で用いられ
る時限付きライセンスの登録を示している。この処理で
は、HDD31のDID46が暗号化され、情報処理装
置51経由で配信サーバ35に送られる。配信サーバ3
5は、コンテンツワーク鍵83、コンテンツの有効期限
127、およびコンテンツ本体85を暗号化して、HD
D31に書き込む。この有効期限127が時限付きライ
センスに対応する。
【0074】まず、HDD31は、乱数格納部91から
乱数RN-1を取り出し、認証済みの情報処理装置51に
送出する。情報処理装置51は、受け取ったRN-1を初
期値として、再送防止用の乱数RNを発生し(12
1)、HDD31に返す。
【0075】HDD31は、DID46とRNの排他論
理和を生成し(122)、HWK103を用いて暗号化
して、EHWK(DID xor RN)を生成する(12
3)。そして、EHWK(DID xor RN)を情報処
理装置51に送出する。
【0076】情報処理装置51は、受け取ったE
HWK(DID xor RN)をHWK101を用いて復
号し(124)、復号結果(DID xor RN)と
Nの排他論理和を演算して、DID46を生成する
(125)。そして、得られたDID46を配信サーバ
35に送信する。
【0077】配信サーバ35は、受け取ったDID46
を用いてCWK83を暗号化し、E DID(CWK)を生
成する(126)。また、有効期限127(TEXP)お
よびコンテンツ85(C)をCWK83を用いて暗号化
して、ECWK(TEXP)およびE CWK(C)を生成する
(128および129)。そして、これらの情報を情報
処理装置51に送信する。情報処理装置51は、受け取
った情報をHDD31に渡し、HDD31は、E
DID(CWK)、ECWK(TEXP)、およびECWK(C)を
媒体37上に格納する。
【0078】こうして、コンテンツワーク鍵およびコン
テンツと共に、コンテンツの有効期限がHDD31に登
録される。図10において、乱数格納部91は、HDD
31内に設けられているが、これを情報処理装置51内
に設けてもよい。
【0079】このHDD31を未認証の情報処理装置に
接続した場合、その情報処理装置は、図7に示したよう
にDID46を読み出すことはできないが、コンテンツ
ワーク鍵を読み出してコンテンツを再生することはでき
る。この場合、有効期限127の情報がHDD31内で
復号されて、期限が過ぎていないかどうかがチェックさ
れる。
【0080】図11は、このような時限付きライセンス
の復号を示している。この処理では、HDD31内で復
号された有効期限TEXPが内臓時計134の日時TNOW
比較され、期限切れの場合はコンテンツワーク鍵が送出
されない。
【0081】HDD31は、未認証の情報処理装置13
1に接続されると、まず、EDID(CWK)とECWK(T
EXP)を情報処理装置131に送出し、情報処理装置1
31は、これらの情報をそのままHDD31に返す。
【0082】次に、HDD31は、DID46を用いて
DID(CWK)を復号し、CWKを生成する(13
2)。次に、得られたCWKを用いてECWK(TEXP)を
復号し、TEXPを生成する(133)。そして、得られ
たTEXPを内臓時計134の日時TNOWと比較する(13
5)。
【0083】TNOWがTEXPより小さければ、有効期限内
であるので、CWKを情報処理装置131に送出し(1
36)、TNOWがTEXP以上であれば、有効期限が切れて
いるので、CWKを情報処理装置131に送出しない。
【0084】CWKを受け取った情報処理装置131
は、ECWK(C)をHDD31から読み出す。そして、
CWKを用いてECWK(C)を復号し、コンテンツCを
取り出して画面90上に表示する。
【0085】このような時計機能を備えることで、媒体
37上にライセンスを格納して管理することが可能とな
る。これにより、HDD31は、接続する情報処理装置
が替わる場合でも、ライセンスを持って移動することが
できる。 (7)セクタ管理機能 リムーバブルHDDのセクタ毎に、読み書きの権利およ
び使用期間を設定し、媒体上に記録されるデータをセク
タ毎に管理する。
【0086】図12は、媒体37上における記録の最小
単位である1セクタ(論理セクタ)の論理構造を示して
いる。各セクタには、セキュリティタグ141が設けら
れ、これを用いてデータ142へのアクセス制限を設定
することで、セキュリティが実現される。セキュリティ
タグ141には、以下のような情報が記録される。 1.セクタの所有者(ユーザ)の識別情報 2.有効期限 3.所有者以外からの読み書き制限 4.所有者が属するグループからの読み書き制限 HDDは、セクタの所有者を区別するために、図8のユ
ーザ管理機能と図9の相互認証機能を併用する。情報処
理装置は、HDDの使用を希望するユーザが、図8のユ
ーザテーブル96に登録されているかどうかを調べ、未
登録であれば、ユーザテーブル96に登録する。このと
き、そのユーザの識別情報と共に、相互認証に用いられ
るホストワーク鍵、ホスト固定パターン、およびユーザ
属性も同時に登録しておく。登録および相互認証の処理
手順は、以下の通りである。 1.情報処理装置は、ユーザの識別情報に基いて、対応
するホストワーク鍵、ホスト固定パターン、およびユー
ザ属性がHDDに登録されているかどうかをチェックす
る。 2.未登録の場合は、それらの情報をHDDに登録す
る。 3.登録されたホストワーク鍵およびホスト固定パター
ンを用いて、HDDによる認証を受け、HDDにアクセ
スする(暗号化通信)。 4.ユーザは、自分が所有するセクタと所有者がいない
セクタに対してアクセスすることができ、同時にアクセ
ス制限を設定できる。他人が所有するセクタについて
は、設定されたアクセス制限を受ける。このとき、ユー
ザが属するグループからの読み書き制限が設定されたセ
クタについては、その範囲内で読み書きができる。 5.ユーザは、自分のホストワーク鍵およびホスト固定
パターンを登録した状態で、HDDを情報処理装置から
切り離すことができる。HDDが情報処理装置から切り
離されると、認証済みの状態は解除され、互いに未認証
の状態となる。 6.HDDからホストワーク鍵およびホスト固定パター
ンが削除されると、対応するユーザが所有するセクタの
データを削除した後に、そのセクタの所有権が消える。
また、セクタの有効期限が過ぎると、そのセクタのデー
タとアクセス制限は消去される。
【0087】なお、ホストワーク鍵およびホスト固定パ
ターンの管理は、管理者である各ユーザが行い、HDD
は、これらの情報をユーザから受け取る。このようなセ
クタ管理機能によれば、データをセクタ毎に管理できる
ため、1つのHDDに複数のコンテンツを格納すること
ができる。また、セクタ毎に異なる所有者を設定できる
ため、1つのHDDを複数のユーザが使用することも可
能となる。
【0088】次に、図13から図32までを参照しなが
ら、リムーバブルHDDの構成と動作をより詳細に説明
する。図13は、リムーバブルHDD31の構成図であ
る。図13のHDDは、PCA(プリント基板)151
およびDE(ディスクエンクロージャ)152からな
る。
【0089】PCA151は、CPU(中央処理装置)
161、CLOCK(内臓時計)162、RAM(ラン
ダムアクセスメモリ)163、MASKROM(リード
オンリーメモリ)164、I/F(インタフェース)1
65、HDC(ハードディスク制御回路)166、SV
C(サーボ回路)167、およびRDC(リードチャネ
ル)168を備える。
【0090】また、DE152は、MEDIA(媒体)
37、SPM(スピンドルモータ)171、VCM(ボ
イスコイルモータ)172、HEAD(ヘッド)17
3、およびPREAMP(プリアンプ)174を備え
る。
【0091】PCA151上のMASKROM164
は、書き換え不可能なメモリであり、HDDの動作を制
御するためのファームウェア(プログラム)を格納す
る。CPU161はプロセッサであり、RAM163を
用いて、MASKROM164に格納されたプログラム
を実行することで、HDDの動作を制御する。CLOC
K162は、図11の内臓時計134に対応し、電池で
動作する。I/F165は、接続先の情報処理装置と通
信するためのATA(AT Attachment )インターフェー
スである。
【0092】また、HDC166は、セキュリティ機能
と各種制御回路の集まりである。SVC167は、SP
M171の回転を一定に保ち、ヘッド173の位置を制
御する。RDC168は、DE152からのアナログ信
号をデジタル信号に変換する。
【0093】DE152内の媒体37は、磁気ディスク
(磁性体を塗布した円盤)であり、SPM171は、媒
体37を回転させるモータであり、VCM172は、ヘ
ッド173を動かすコイルと磁石である。ヘッド173
は、媒体37の磁気パターンをアナログ信号として読み
書きし、PREAMP174は、ヘッド173のアナロ
グ信号を増幅する。PCA151とDE152の間で
は、RDC168およびPREAMP174を介してデ
ータがやり取りされる。
【0094】HDDを図3のような形態で使用する場合
は、PCA151を情報処理装置側に組み込むことがで
きるので、HDDの構成をDE152のみとしてもよ
い。また、図4のセキュアモジュール36は、PCA1
51に対応する。
【0095】MASKROM164には、図14に示す
ようなファームウェアが格納される。INIT(初期設
定部)181は、各種初期設定を行って、ハードウェア
に必要な設定値を設定し、CKSM(チェックサム部)
182は、起動前にファームウェア自身の妥当性をチェ
ックする。CMD(コマンド解析部)183は、コマン
ドを受信して解釈し、必要なルーチンを実行する。
【0096】FRW(ファームウェア書き換え部)18
4は、ファームウェアの書き換え可否の管理と書き換え
作業を行い、DES(DES部)185は、暗号化処理
および復号処理を行う。MAC(暗号チェックサム部)
186は、DES−MAC値を生成し、USR(ユーザ
部)187は、ユーザ登録およびユーザ管理を行う。
【0097】AUT(認証部)188は、情報処理装置
の認証処理を行い、DID(ドライブID部)189
は、DIDの送出を行う。SEEK(シーク部)190
は、ヘッド173の位置を制御し、READ(読み出し
部)191は、セクタの読み出しを行う。WRITE
(書き込み部)192は、セクタへの書き込みを行い、
OTHERS193は、HDDの動作に必要なインフラ
機能を有する。
【0098】ファームウェアは媒体37上のシステムエ
リア(SA)に格納されており、電源投入(パワーオ
ン)時に、ファームウェアローダによりMASKROM
164にロードされる。
【0099】次に、図4の身分証明機能、図5の秘密鍵
格納機能、および図9の相互認証機能を実現するために
HDDに備えられる不揮発機能について説明する。不揮
発機能は、DIDを格納するために、媒体37上に書き
換えが不可能な記憶領域(セキュア領域)を作成する機
能である。不揮発機能の実装方法としては、HDDの出
荷前後でファームウェアまたはヘッドを入れ替える方法
が考えられる。
【0100】ファームウェアを入れ替える方法では、製
造工程でファームウェアとそのローダの仕様を組み合わ
せて順番に入れ替えることで、出荷後にフィールドで書
き込めない疑似的な不揮発領域を媒体上に実現する。
【0101】図15は、HDDに順番に搭載される4つ
のファームウェアの仕様を示している。ステップS1、
S2、S3、およびS4では、それぞれ、SRTファー
ムウェア、出荷ファームウェア、機器認証改作ファーム
ウェア、および機器認証出荷ファームウェアが用いられ
る。このうち、SRTファームウェアおよび機器認証改
作ファームウェアは、セキュリティが確保された工場内
でのみ用いられる。
【0102】また、SRTファームウェア、出荷ファー
ムウェア、および機器認証改作ファームウェアは、不揮
発領域への書き込みを行うことができるが、機器認証出
荷ファームウェアは、不揮発領域への書き込みを行うこ
とができない。
【0103】図16は、これらのファームウェアの書き
換え手順のフローチャートである。図15のステップS
1およびS2は、それぞれ、図16のステップS11お
よびS12に対応し、図15のステップS3およびS4
は、図16のステップS13に対応する。
【0104】製造時には、まず、SRTファームウェア
を利用してそれが出荷ファームウェアに書き換えられ
(ステップS11)、出荷ファームウェアを利用してそ
れが機器認証改作ファームウェアに書き換えられる(ス
テップS12)。次に、機器認証改作ファームウェアを
利用して機器認証出荷ファームウェアがロードされ(ス
テップS13)、それに付属するDES−MACが正し
いか否かがチェックされる(ステップS14)。
【0105】DES−MACが正しければ、機器認証改
作ファームウェアが機器認証出荷ファームウェアに書き
換えられ(ステップS15)、不揮発機能を有するHD
Dがフィールドに出荷される。一方、DES−MACが
正しくなければ、ファームウェアは書き換えられない
(ステップS16)。DES−MACのチェック方法に
ついては後述する。
【0106】HDDに機器認証出荷ファームウェアが搭
載されて出荷された後、不揮発領域に書き込みを行う必
要が生じた場合、機器認証出荷ファームウェアが機器認
証改作ファームウェアに入れ替えられる。
【0107】この場合、機器認証出荷ファームウェアを
利用して機器認証改作ファームウェアがロードされ(ス
テップS13)、DES−MACのチェックが行われる
(ステップS14)。DES−MACが正しければ、機
器認証出荷ファームウェアが機器認証改作ファームウェ
アに書き換えられ(ステップS15)、DES−MAC
が正しくなければ、ファームウェアは書き換えられない
(ステップS16)。
【0108】また、ヘッドを入れ替える方法では、ヘッ
ドのリードコアとライトコアの位置ズレを利用して、ズ
レ方向の異なる2つのヘッドを用いることで、媒体上に
物理的に書き換え不可能な領域を作成する。
【0109】製造時には、まず、図17に示すように、
ライトコア(W)が外周側にあるヘッド201を用い
て、媒体37の最外周部にDIDを書き込む。そして、
図18に示すように、リードコア(R)が外周側にあ
り、ライトコアが内周側にあるヘッド202に交換し
て、HDDを出荷する。これにより、媒体37の最外周
部は読めるが書けない不揮発領域となり、フィールドで
DIDを書き換えることはできなくなる。
【0110】次に、図5の秘密鍵格納機能で用いられる
ワーク鍵生成機能について説明する。ワーク鍵生成機能
は、DID46を用いてマスタ鍵41を暗号化し、ドラ
イブ鍵47を生成する機能である。
【0111】図19は、図14のDES185によるワ
ーク鍵生成処理を示している。マスタ鍵(KM)211
およびワーク鍵(WK)213は、それぞれ、図5のマ
スタ鍵41およびドライブ鍵47に対応し、IV212
は、あらかじめ決められた固定値である。
【0112】DES185は、まず、KM211を3等
分して、KM1、KM2、およびKM3を生成し、媒体
37から読み出したDID46を3等分して、DID
1、DID2、およびDID3を生成する。次に、IV
212とDID1の排他論理和を初期値として、トリプ
ルDES方式によりWM1、WM2、およびWM3を生
成する。そして、WM1、WM2、およびWM3を連結
してWK213を生成する。
【0113】図20は、DES185と同様の機能を有
するワーク鍵生成回路の構成図である。DES185の
代わりに、このような回路をPCA151上に設けても
よい。IVレジスタ221、DID1レジスタ222、
DID2レジスタ223、およびDID3レジスタ22
4は、それぞれ、IV212、DID1、DID2、お
よびDID3の値を格納する。
【0114】セレクタ226は、TEMPレジスタ22
5またはIVレジスタ221の値を選択し、セレクタ2
27は、DID1レジスタ222、DID2レジスタ2
23、およびDID3レジスタ224のうちいずれかの
値を選択する。XOR228は、セレクタ226および
227の出力の排他論理和を演算する。
【0115】MK1レジスタ230、MK2レジスタ2
31、およびMK3レジスタ232は、それぞれ、MK
1、MK2、およびMK3の値を格納する。セレクタ2
33は、MK1レジスタ230、MK2レジスタ23
1、およびMK3レジスタ232のうちいずれかの値を
選択する。
【0116】DES234は、XOR228およびセレ
クタ233の出力を用いてDES方式の暗号化演算を行
い、演算結果をTEMPレジスタ225、WK1レジス
タ235、WK2レジスタ236、およびWK3レジス
タ237に格納する。シーケンサ229は、セレクタお
よびレジスタの動作シーケンスを制御する。
【0117】図19および図20では、図5のドライブ
鍵47の生成方法について説明したが、図5のソフト鍵
49も同様のファームウェアまたは回路により生成され
る。次に、図6の通信秘匿機能で用いられる暗号チェッ
クサム機能について説明する。暗号チェックサム機能
は、プログラムの改竄を防ぐために用いられるDES−
MACを生成する機能である。HDDは、媒体にプログ
ラムコードを記録するとき、あらかじめ正しいMAC値
を付加しておき、実行前に改めて生成したMAC値と記
録されているMAC値を比較する。2つのMAC値が異
なる場合は、プログラムコードの改竄があったものとみ
なし、そのプログラムコードを実行しない。
【0118】図21は、図14のMAC186による暗
号チェックサム処理を示している。MAC186は、ま
ず、媒体37に記録されているプログラムコード241
をRAM163上にロードし(ステップS21)、プロ
グラムコード241とワーク鍵243からMAC244
を生成する(ステップS22)。
【0119】このとき、プログラムコード241をMビ
ット単位でn個に区切ってDES方式の暗号化演算を行
い、その結果をMAC値とする。次のMビットについて
は、前のMビットから生成されたMAC値と排他論理和
演算を行ってから暗号化演算を行い、MAC値を生成す
る。こうして、暗号化演算をn回繰り返した後に、MA
C244が生成される。
【0120】次に、得られたMAC244を媒体37に
記録されているMAC242と比較する(ステップS2
3)。そして、MAC244とMAC242が一致すれ
ば、プログラムコード241が実行可能という判定結果
を出力し、MAC244とMAC242が一致しなけれ
ば、プログラムコード241が実行不可能という判定結
果を出力する。
【0121】図6の場合は、プログラムコード241の
代わりにSoft Key//RANDOM xor Drive ID の値を用いて
DES−MACが生成され(60)、HDD31から送
出される。
【0122】図22は、MAC186と同様の機能を有
する暗号チェックサム回路の構成図である。MAC18
6の代わりに、このような回路をPCA151上に設け
てもよい。MACレジスタ251、入力レジスタ25
2、およびワーク鍵レジスタ253は、それぞれ、生成
されたMAC値、プログラムコード241、およびワー
ク鍵243を格納する。
【0123】XOR254は、MACレジスタ251お
よび入力レジスタ252の値の排他論理和を演算する。
DES255は、XOR254の演算結果とワーク鍵レ
ジスタ253の値を用いてDES方式の暗号化演算を行
い、その結果をMACレジスタ251に格納する。そし
て、暗号化演算をn回繰り返した後に、MAC244を
出力する。
【0124】MACレジスタ256は、MAC242を
格納する。比較器257は、MACレジスタ256の値
とDES255から出力されたMAC244とを比較
し、その結果を判定結果として出力する。
【0125】次に、図8のユーザ管理機能で用いられる
ユーザ登録機能について説明する。ユーザ登録機能は、
図8のユーザテーブル96にユーザを登録する機能であ
る。図21は、図14のUSR187と情報処理装置に
よるユーザ登録処理を示している。この処理は、ユーザ
がHDDを使用するために、情報処理装置にユーザ名を
入力したときに行われる。
【0126】まず、情報処理装置は、HDDにユーザリ
ストを要求し(ステップS31)、HDDのUSR18
7は、ユーザテーブルに登録されているユーザ名のリス
トを返す(ステップS32)。次に、情報処理装置は、
受け取ったリストを参照して、入力されたユーザ名がH
DDに登録されているか否かをチェックする(ステップ
S33)。そして、ユーザ名が既に登録されていれば、
図9の相互認証処理を行う(ステップS40)。
【0127】ユーザ名が登録されていなければ、情報処
理装置は、ユーザ名、ホストワーク鍵、ホスト固定パタ
ーン、およびグループ名をユーザ登録情報としてHDD
に渡し、ユーザテーブルへの登録を依頼する(ステップ
S34)。そして、USR187は、受け取った情報を
ユーザテーブルに登録する(ステップS35)。こうし
て、図24に示すようなユーザテーブルが生成される。
【0128】次に、情報処理装置は、再びユーザリスト
を要求し(ステップS36)、USR187は、更新さ
れたユーザリストを返す(ステップS37)。そして、
情報処理装置は、入力されたユーザ名が登録されている
か否かをチェックする(ステップS38)。ユーザ名が
登録されていれば、ステップS40の処理を行い、ユー
ザ名が登録されていなければ、エラー処理を行う(ステ
ップS39)。
【0129】次に、図9の相互認証機能についてより詳
細に説明する。この機能によれば、ユーザが設定するホ
ストワーク鍵とホスト固定パターンを用いて、情報処理
装置とHDDの間で相互認証が行われる。
【0130】図25は、このような相互認証機能のシー
ケンスを示している。ユーザ名、ホストワーク鍵、およ
びホスト固定パターンは、あらかじめ情報処理装置とH
DDの双方に登録しておく。また、ATA#80は暗号
送信コマンド(インタフェース)であり、ATA#81
は暗号受信コマンドである。
【0131】まず、情報処理装置は、乱数R1を発生し
(ステップS41)、それをホストワーク鍵で暗号化し
てE(R1)を生成する(ステップS42)。そして、
E(R1)をユーザ名USERと共に、HDDに送信す
る(ステップS43)。
【0132】HDDは、ユーザ名に対応するホストワー
ク鍵でE(R1)を復号する(ステップS44)。次
に、乱数R2を発生し(ステップS45)、それをホス
トワーク鍵で暗号化してE(R2)を生成する(ステッ
プS46)。そして、E(R2)を情報処理装置に送信
する。
【0133】情報処理装置は、ホストワーク鍵でE(R
2)を復号し(ステップS47)、ホスト固定パターン
でビット反転した後(ステップS48)、ホストワーク
鍵で暗号化して、E(R2’)を生成する(ステップS
49)。そして、E(R2’)をHDDに送信する。
【0134】HDDは、ホストワーク鍵でE(R2’)
を復号し(ステップS50)、ホスト固定パターンでビ
ット反転して(ステップS51)、反転結果をR2と比
較する(ステップS52)。反転結果がR2と一致しな
ければ、情報処理装置を認証しない(ステップS5
3)。
【0135】反転結果がR2と一致すれば、情報処理装
置を認証し、次に、ステップS44で復号されたR1を
ホスト固定パターンでビット反転する(ステップS5
4)。そして、反転結果をホストワーク鍵で暗号化して
E(R1’)を生成し(ステップS55)、情報処理装
置に送信する。
【0136】情報処理装置は、ホストワーク鍵でE(R
1’)を復号し(ステップS56)、ホスト固定パター
ンでビット反転して(ステップS57)、反転結果をR
1と比較する(ステップS58)。反転結果がR1と一
致しなければ、HDDを認証しない(ステップS5
9)。反転結果がR1と一致すれば、HDDを認証し、
相互認証済みの状態となる(ステップS60)。
【0137】このようなシーケンスの処理を情報処理装
置のプログラムと図14のAUT188が連携して行う
場合、例えば、図9に示したような相互認証処理が行わ
れる。これに対して、このシーケンスをハードウェアに
より実現する場合は、図26に示すような相互認証機構
が用いられる。
【0138】図26の相互認証機構において、HDD
は、ホスト固定パターンレジスタ261、ホストワーク
鍵レジスタ262、乱数R2モジュール263、および
固定パターンモジュール264を、AUT188の代わ
りにPCA151上に備える。また、情報処理装置は、
ホスト固定パターンレジスタ271、ホストワーク鍵レ
ジスタ272、乱数R1モジュール273、および固定
パターンモジュール274を備える。
【0139】ホスト固定パターンレジスタ261および
271は、ホスト固定パターンHFPを格納し、ホスト
ワーク鍵レジスタ262および272は、ホストワーク
鍵HWKを格納する。乱数R1モジュール273は、起
動信号275を受け取ると、乱数R1を生成して、E
HWK(R1)を乱数R2モジュール263に送信する。
【0140】乱数R2モジュール263は、EHWK(R
1)を復号してR1を固定パターンモジュール264に
渡し、乱数R2を生成して、EHWK(R2)を乱数R1
モジュール273に送信する。そして、乱数R1モジュ
ール273は、EHWK(R2)を復号してR2を固定パ
ターンモジュール274に渡す。固定パターンモジュー
ル274は、R2、HFP、およびHWKからE
HWK(R2 xor HFP)を生成して、固定パター
ンモジュール264に送信する。
【0141】固定パターンモジュール264は、EHWK
(R2 xor HFP)からR2を取り出して、乱数
R2モジュール263が生成したR2と比較し、判定結
果を出力する。また、R1、HFP、およびHWKから
HWK(R1 xor HFP)を生成して、固定パタ
ーンモジュール274に送信する。
【0142】固定パターンモジュール274は、EHWK
(R1 xor HFP)からR1を取り出して、乱数
R1モジュール273が生成したR1と比較し、判定結
果を出力する。
【0143】次に、図4の身分証明機能において用いら
れるDID送出機能について説明する。図6の通信秘匿
機能では、情報処理装置がソフトIDを用いてHDDか
らDIDを読み出しているが、ユーザが設定するホスト
ワーク鍵とホスト固定パターンを用いて、HDDが情報
処理装置にDIDを提供することも可能である。
【0144】図27は、このようなDID送出機能のシ
ーケンスを示している。ユーザ名、ホストワーク鍵、お
よびホスト固定パターンは、あらかじめ情報処理装置と
HDDの双方に登録しておき、情報処理装置とHDDの
相互認証は完了しているものとする。また、ATA#x
xは暗号送信コマンド(インタフェース)であり、AT
A#yyは暗号受信コマンドである。
【0145】図27のステップS61〜S64のシーケ
ンスは、図25のステップS41〜S44のシーケンス
と同様である。HDDは、E(R1)から乱数R1を取
得すると、次に、DIDをR1でビット反転し(ステッ
プS65)、さらにホスト固定パターンでビット反転し
て(ステップS66)、MIDを生成する。そして、R
1とMIDを連結してホストワーク鍵で暗号化し、E
(R1+MID)を生成し(ステップS67)、情報処
理装置に送信する。
【0146】情報処理装置は、ホストワーク鍵でE(R
1+MID)を復号する(ステップS68)。そして、
MIDをホスト固定パターンでビット反転し(ステップ
S69)、さらにR1でビット反転して(ステップS7
0)、DIDを取得する(ステップS71)。
【0147】このようなシーケンスの処理を情報処理装
置のプログラムとHDDのファームウェアが連携して行
う場合、例えば、図28に示すようなDID送出処理が
行われる。
【0148】ただし、図28の処理では、乱数R1の代
わりにRNを用いており、ホスト固定パターンの全ビッ
トが0である場合を想定している。この場合、与えられ
たパターンPとホスト固定パターンの排他論理和はPに
一致するので、この演算は省略されている。
【0149】まず、情報処理装置は、乱数格納部281
から乱数RN-1を取り出し、RN-1を初期値として、再送
防止用の乱数RNを発生する(282)。そして、RN
HDDに渡す。
【0150】HDDは、DIDとRNの排他論理和を生
成し(283)、HWKを用いて暗号化して、E
HWK(DID xor RN)を生成する(284)。そ
して、EHW K(DID xor RN)を情報処理装置に
送出する。
【0151】情報処理装置は、受け取ったEHWK(DI
D xor RN)をHWKを用いて復号し(28
5)、復号結果とRNの排他論理和を演算して、DID
を生成する(286)。この時点でDID送出処理は完
了し、以後DIDを用いてコンテンツのダウンロードお
よび再生が行われる。
【0152】まず、情報処理装置は、得られたDIDを
配信サーバに送信する。配信サーバは、受け取ったDI
Dを用いてCWKを暗号化して、EDID(CWK)を生
成し(287)、CWKを用いてコンテンツCを暗号化
して、ECWK(C)を生成する(288)。そして、こ
れらの情報を情報処理装置に送信する。
【0153】情報処理装置は、受け取った情報をHDD
に渡し、HDDは、EDID(CWK)およびECWK(C)
を媒体上に格納する。次に、HDDからEDID(CW
K)を読み出し、DIDを用いてEDID(CWK)を復
号して、CWKを取り出す(289)。そして、HDD
からECWK(C)を読み出し、CWKを用いてE
CWK(C)を復号し(290)、コンテンツCを取り出
して画面90上に表示する。
【0154】EDID(CWK)およびECWK(C)は自由
に複製できるが、正しいDIDがなければEDID(CW
K)を復号することができないので、コンテンツCを再
生することも不可能である。したがって、これらの情報
を最初に格納したHDDから他のHDDにコピーしても
使用することはできず、コンテンツCの不正使用が防止
される。図28において、乱数格納部281は、情報処
理装置内に設けられているが、これをHDD内に設けて
もよい。
【0155】図29は、DID送出機能をハードウェア
により実現する機構の例を示している。このDID送出
機構では、図27のシーケンスとは異なり、DIDが乱
数R1により暗号化されて送出される。HDDは、DE
S暗号化モジュール291を備え、情報処理装置は、乱
数R1モジュール292およびDES復号モジュール2
93を備える。
【0156】乱数R1モジュール292は、起動信号2
94により起動され、乱数R1を生成してDES暗号化
モジュール291に送る。DES暗号化モジュール29
1は、受け取ったR1でDID46を暗号化し、E
R1(DID)を生成する。そして、ER1(DID)をD
ES復号モジュール293に送る。DES復号モジュー
ル293は、ER1(DID)をR1で復号し、DIDを
出力する。
【0157】次に、図11の時計機能で用いられる図1
3のCLOCK162について説明する。図30は、C
LOCK162の構成図である。CLOCK162は、
標準時刻電波受信装置301、電池302、時計IC
(Integrated Circuit )303、およびダイオード3
04、305を含む。
【0158】標準時刻電波受信装置301は、標準時刻
電波を受信し、標準時刻の情報を時計IC303に転送
する。時計IC303は、標準時刻電波受信装置301
から標準時刻を受け取ると共に、HDDが接続された情
報処理装置から修正時刻を受け取る。そして、標準時刻
が入力されたときは現在時刻を標準時刻に合わせ、標準
時刻が入力されないときは現在時刻を修正時刻に合わせ
る。
【0159】次に、図12のセキュリティタグを用いた
セクタ管理機能についてより詳細に説明する。図31
は、このようなセクタ管理機能を示している。ユーザ認
証部311およびセクタアドレス読み替え部312は、
例えば、ファームウェアにより実装され、図13のMA
SKROM164に格納される。
【0160】媒体37の非セキュリティセクタ群314
は、アクセス制限が設定されていないセクタ群に対応
し、セキュリティセクタ群315は、セキュリティタグ
を用いたアクセス制限が設定されているセクタ群に対応
する。セクタ認証テーブル313は、セキュリティセク
タ群315のセキュリティタグを登録した、図32のよ
うなテーブルであり、媒体37のシステムエリア316
に格納される。
【0161】情報処理装置51は、一般読み書きコマン
ド、認証属性付き読み書きコマンド、およびユーザ認証
コマンドをHDDに対して発行する。一般読み書きコマ
ンドが発行された場合、セクタアドレス読み替え部31
2は、受け取ったコマンドを解釈して、非セキュリティ
セクタ群314に対する読み書きを行う。この場合、セ
キュリティセクタ群315に対しては、読み書きが禁止
される。
【0162】また、認証属性付き読み書きコマンドおよ
びユーザ認証コマンドが発行された場合、ユーザ認証部
311は、図8のユーザ管理機能と図9の相互認証機能
を併用してユーザ認証を行い、認証が完了すれば、セク
タアドレス読み替え部312に読み書きコマンドを渡
す。また、ユーザ認証部311は、情報処理装置51か
らの依頼があれば、セクタ認証テーブル313のアクセ
ス制限を変更する。
【0163】セクタアドレス読み替え部312は、受け
取ったコマンドを解釈して、非セキュリティセクタ群3
14およびセキュリティセクタ群315に対する読み書
きを行う。この場合、セキュリティセクタ群315につ
いては、セクタ認証テーブル313に登録されたアクセ
ス制限の範囲内で読み書きが行われる。
【0164】ところで、リムーバブルHDDが接続され
る情報処理装置は、ソフトウェアまたはハードウェアに
より各機能を実装する。ソフトウェアを用いる場合、図
4のアプリケーション33、図6のセキュアドライバ4
3等のプログラムを実行することで、必要な処理を行
う。したがって、それらのプログラムと処理に用いられ
るデータを格納するメモリと、プログラムを実行するプ
ロセッサとを備える。さらに、HDDと通信するインタ
フェース、配信サーバと通信するネットワークインタフ
ェース、ユーザからの指示や情報を入力する入力装置、
およびコンテンツを再生する出力装置も備える。
【0165】図33は、このような情報処理装置にプロ
グラムとデータを供給することのできるコンピュータ読
み取り可能な記録媒体を示している。可搬記録媒体32
1やサーバ322のデータベース323に保存されたプ
ログラムとデータは、情報処理装置のメモリ324にロ
ードされる。このとき、サーバ322は、プログラムと
データを搬送する搬送信号を生成し、通信ネットワーク
上の任意の伝送媒体を介して情報処理装置に送信する。
そして、情報処理装置は、そのデータを用いてそのプロ
グラムを実行し、必要な処理を行う。
【0166】可搬記録媒体321としては、メモリカー
ド、フレキシブルディスク、CD−ROM(compact di
sk read only memory )、光ディスク、光磁気ディスク
等が用いられる。
【0167】また、情報処理装置にコンテンツを配信す
る配信サーバは、暗号化を含む配信処理に用いられるプ
ログラムとデータを格納するメモリと、プログラムを実
行するプロセッサと、情報処理装置と通信するネットワ
ークインタフェースとを備える。
【0168】以上説明した実施形態では、リムーバブル
HDDの媒体として磁気ディスクを用いているが、光デ
ィスク、光磁気ディスク等の他のディスク媒体を用いて
もよい。リムーバブルHDDの利用形態としては、以下
のようなものが挙げられる。 (1)HDDにコンテンツを入れないで、空のままでユ
ーザに販売し、コンテンツを後で配信する。ユーザは、
複数の著作物をHDDに収納することができる。 (2)デジタルのレンタルビデオを収めたレンタルHD
D。 (3)デジタル放送受信機のバッファHDD。 (4)セットトップボックスのオンデマンド配信用バッ
ファHDD。 (5)デジタルビデオの記録バッファHDD。 (6)ホームビデオの配布媒体。 (7)PC環境の著作権付きアプリケーションプログラ
ムやOSのバックアップ用媒体。 (8)携帯電子図書館。 (9)携帯映像ライブラリ (10)携帯音楽ライブラリ (11)電子データを輸送するトランク(輸送中にコピ
ーされない)。 (12)電子データ金庫(鍵が掛かる)。 (付記1) 配信サーバからデータを受信する情報処理
装置に接続して用いられるリムーバブルディスク装置で
あって、書き換え不可能な識別情報が記録されたディス
ク媒体手段と、前記情報処理装置からの要求に応じて、
前記ディスク媒体手段から前記識別情報を読み出すリー
ド手段と、前記識別情報を前記情報処理装置に送出し、
該情報処理装置が該識別情報を用いて前記配信サーバか
ら受信したデータを該情報処理装置から受け取るインタ
フェース手段と、前記データを前記ディスク媒体手段に
書き込むライト手段とを備えることを特徴とするリムー
バブルディスク装置。 (付記2) データを再生する情報処理装置に接続して
用いられるリムーバブルディスク装置であって、書き換
え不可能な識別情報が記録されたディスク媒体手段と、
前記識別情報を用いて復号できるような方法で暗号化さ
れたデータを、前記ディスク媒体手段に書き込むライト
手段と、前記識別情報と前記暗号化されたデータを前記
情報処理装置に送出するインタフェース手段とを備える
ことを特徴とするリムーバブルディスク装置。 (付記3) 情報処理装置に接続して用いられるリムー
バブルディスク装置であって、ディスク媒体手段と、ユ
ーザ識別情報と暗号鍵とを対応付けて登録する登録手段
と、前記情報処理装置から受け取ったユーザ識別情報に
対応する暗号鍵を用いて該情報処理装置と認証情報をや
り取りすることで、該情報処理装置が該暗号鍵を持って
いるか否かをチェックし、該情報処理装置が該暗号鍵を
持っていれば該情報処理装置を認証する認証手段と、前
記情報処理装置が認証された後に、該情報処理装置から
の要求に応じて前記ディスク媒体手段にアクセスするア
クセス手段とを備えることを特徴とするリムーバブルデ
ィスク装置。 (付記4) データを再生する情報処理装置に接続して
用いられるリムーバブルディスク装置であって、ディス
ク媒体手段と、暗号化されたデータと該データの有効期
限を表す情報を前記ディスク媒体手段に書き込むライト
手段と、現在時刻を出力する時計手段と、前記現在時刻
と前記有効期限とを比較する比較手段と、前記現在時刻
が前記有効期限内であるとき、前記暗号化されたデータ
を復号するために必要な情報を前記情報処理装置に送出
するインタフェース手段とを備えることを特徴とするリ
ムーバブルディスク装置。 (付記5) 情報処理装置に接続して用いられるリムー
バブルディスク装置であって、ディスク媒体手段と、前
記ディスク媒体手段の各セクタの所有者の識別情報と、
該所有者以外のユーザに対する各セクタへのアクセス制
限を表す情報とを設定する設定手段と、あるセクタの所
有者以外のユーザが前記情報処理装置を用いて該セクタ
にアクセスしようとしたとき、前記アクセス制限の範囲
内で該セクタにアクセスするアクセス手段とを備えるこ
とを特徴とするリムーバブルディスク装置。 (付記6) リムーバブルディスク装置のデータを再生
する情報処理装置であって、前記情報処理装置が有する
ソフトウェア識別情報を用いて生成された認証情報を前
記リムーバブルディスク装置とやり取りすることで、該
リムーバブルディスク装置が該ソフトウェア識別情報に
対応する書き換え不可能な識別情報を持っているか否か
をチェックするチェック手段と、前記リムーバブルディ
スク装置が前記書き換え不可能な識別情報を持っている
とき、該リムーバブルディスク装置のデータにアクセス
するアクセス手段とを備えることを特徴とする情報処理
装置。 (付記7) リムーバブルディスク装置のデータを再生
する情報処理装置であって、ユーザの識別情報に対応す
る暗号鍵を用いて前記リムーバブルディスク装置と認証
情報をやり取りすることで、該リムーバブルディスク装
置が該暗号鍵を持っているか否かをチェックし、該リム
ーバブルディスク装置が該暗号鍵を持っていれば該リム
ーバブルディスク装置を認証する認証手段と、前記リム
ーバブルディスク装置が認証された後に、前記ユーザか
らの要求に応じて該リムーバブルディスク装置のデータ
にアクセスするアクセス手段とを備えることを特徴とす
る情報処理装置。 (付記8) 書き換え不可能な識別情報が記録されたリ
ムーバブルディスク装置に接続された情報処理装置か
ら、該識別情報と共にデータ要求を受信する受信手段
と、要求されたデータを該識別情報を用いて復号できる
ような方法で暗号化する暗号化手段と、暗号化されたデ
ータを前記情報処理装置に配信する配信手段とを備える
ことを特徴とする配信サーバ。 (付記9) リムーバブルディスク装置のデータを再生
する情報処理装置のためのプログラムであって、前記プ
ログラムのソフトウェア識別情報を用いて生成された認
証情報を前記リムーバブルディスク装置とやり取りする
ことで、該リムーバブルディスク装置が該ソフトウェア
識別情報に対応する書き換え不可能な識別情報を持って
いるか否かをチェックし、前記リムーバブルディスク装
置が前記書き換え不可能な識別情報を持っているとき、
該リムーバブルディスク装置のデータにアクセスする処
理を前記情報処理装置に実行させることを特徴とするプ
ログラム。 (付記10) リムーバブルディスク装置のデータを再
生する情報処理装置のためのプログラムであって、ユー
ザの識別情報に対応する暗号鍵を用いて前記リムーバブ
ルディスク装置と認証情報をやり取りすることで、該リ
ムーバブルディスク装置が該暗号鍵を持っているか否か
をチェックし、該リムーバブルディスク装置が該暗号鍵
を持っていれば該リムーバブルディスク装置を認証し、
前記リムーバブルディスク装置が認証された後に、前記
ユーザからの要求に応じて該リムーバブルディスク装置
のデータにアクセスする処理を前記情報処理装置に実行
させることを特徴とするプログラム。 (付記11) リムーバブルディスク装置のデータを再
生する情報処理装置のためのプログラムを記録した記録
媒体であって、該プログラムは、前記プログラムのソフ
トウェア識別情報を用いて生成された認証情報を前記リ
ムーバブルディスク装置とやり取りすることで、該リム
ーバブルディスク装置が該ソフトウェア識別情報に対応
する書き換え不可能な識別情報を持っているか否かをチ
ェックし、前記リムーバブルディスク装置が前記書き換
え不可能な識別情報を持っているとき、該リムーバブル
ディスク装置のデータにアクセスする処理を前記情報処
理装置に実行させることを特徴とするコンピュータ読み
取り可能な記録媒体。 (付記12) リムーバブルディスク装置のデータを再
生する情報処理装置のためのプログラムを記録した記録
媒体であって、該プログラムは、ユーザの識別情報に対
応する暗号鍵を用いて前記リムーバブルディスク装置と
認証情報をやり取りすることで、該リムーバブルディス
ク装置が該暗号鍵を持っているか否かをチェックし、該
リムーバブルディスク装置が該暗号鍵を持っていれば該
リムーバブルディスク装置を認証し、前記リムーバブル
ディスク装置が認証された後に、前記ユーザからの要求
に応じて該リムーバブルディスク装置のデータにアクセ
スする処理を前記情報処理装置に実行させることを特徴
とするコンピュータ読み取り可能な記録媒体。 (付記13) リムーバブルディスク装置のデータを再
生する情報処理装置にプログラムを搬送する搬送信号で
あって、該プログラムは、前記プログラムのソフトウェ
ア識別情報を用いて生成された認証情報を前記リムーバ
ブルディスク装置とやり取りすることで、該リムーバブ
ルディスク装置が該ソフトウェア識別情報に対応する書
き換え不可能な識別情報を持っているか否かをチェック
し、前記リムーバブルディスク装置が前記書き換え不可
能な識別情報を持っているとき、該リムーバブルディス
ク装置のデータにアクセスする処理を前記情報処理装置
に実行させることを特徴とする搬送信号。 (付記14) リムーバブルディスク装置のデータを再
生する情報処理装置にプログラムを搬送する搬送信号で
あって、該プログラムは、ユーザの識別情報に対応する
暗号鍵を用いて前記リムーバブルディスク装置と認証情
報をやり取りすることで、該リムーバブルディスク装置
が該暗号鍵を持っているか否かをチェックし、該リムー
バブルディスク装置が該暗号鍵を持っていれば該リムー
バブルディスク装置を認証し、前記リムーバブルディス
ク装置が認証された後に、前記ユーザからの要求に応じ
て該リムーバブルディスク装置のデータにアクセスする
処理を前記情報処理装置に実行させることを特徴とする
搬送信号。 (付記15) 書き換え不可能な識別情報が記録された
リムーバブルディスク装置に接続された情報処理装置か
ら、該識別情報と共にデータ要求を受信し、要求された
データを該識別情報を用いて復号できるような方法で暗
号化し、暗号化されたデータを前記情報処理装置に配信
することを特徴とするデータ配信方法。
【0169】
【発明の効果】本発明によれば、リムーバブルディスク
装置を情報処理装置から分離してもコンテンツ管理が行
われるので、コンテンツの不正使用を防止できる。した
がって、リムーバブルディスク装置を映像や音楽用の媒
体として広く利用することが可能となる。
【図面の簡単な説明】
【図1】本発明のリムーバブルディスク装置の原理図で
ある。
【図2】第1のリムーバブルHDDを示す図である。
【図3】第2のリムーバブルHDDを示す図である。
【図4】身分証明機能を示す図である。
【図5】秘密鍵格納機能を示す図である。
【図6】通信秘匿機能を示す図である。
【図7】コンテンツ配信システムを示す図である。
【図8】ユーザ管理機能を示す図である。
【図9】相互認証機能を示す図である。
【図10】時限付きライセンスの登録を示す図である。
【図11】時限付きライセンスの復号を示す図である。
【図12】セクタの論理構造を示す図である。
【図13】リムーバブルHDDの構成図である。
【図14】ファームウェアの構成図である。
【図15】ファームウェアの仕様を示す図である。
【図16】ファームウェア書き換え手順のフローチャー
トである。
【図17】第1のヘッドを示す図である。
【図18】第2のヘッドを示す図である。
【図19】ワーク鍵生成機能を示す図である。
【図20】ワーク鍵生成回路の構成図である。
【図21】暗号チェックサム処理を示す図である。
【図22】暗号チェックサム回路の構成図である。
【図23】ユーザ登録処理を示す図である。
【図24】ユーザテーブルを示す図である。
【図25】相互認証機能のシーケンスを示す図である。
【図26】相互認証機構を示す図である。
【図27】DID送出機能のシーケンスを示す図であ
る。
【図28】DID送出処理を示す図である。
【図29】DID送出機構を示す図である。
【図30】CLOCKの構成図である。
【図31】セクタ管理機能を示す図である。
【図32】セクタ認証テーブルを示す図である。
【図33】記録媒体を示す図である。
【符号の説明】
11 ディスク媒体手段 12 リード手段 13 インタフェース手段 14 ライト手段 15 登録手段 16 認証手段 17 アクセス手段 18 時計手段 19 比較手段 20 設定手段 21、51、71、72、131 情報処理装置 22、24、31 HDD 23 インタフェースケーブル 25 スロット 32 OS 33 アプリケーション 34 通信ネットワーク 35 配信サーバ 36 セキュアモジュール 37 媒体 38 ファイルシステムドライバ 39 デコーダ 41 マスタ鍵 42 メーカ 43 セキュアドライバ 46 ドライブID(DID) 47 ドライブ鍵 48 ソフトID 49 ソフト鍵 52 DID要求 53 RANDOM 83 CWK 85 C 90 画面 91、281 乱数格納部 93 USERn 96 ユーザテーブル 101、103 HWK 106、110 HFP 127 TEXP 134 内臓時計 141 セキュリティタグ 142 データ 151 PCA 152 DE 161 CPU 162 CLOCK 163 RAM 164 MASKROM 165 I/F 166 HDC 167 SVC 168 RDC 171 SPM 172 VCM 173 HEAD 174 PREAMP 181 INIT 182 CKSM 183 CMD 184 FRW 185、234、255 DES 186、242、244 MAC 187 USR 188 AUT 189 DID 190 SEEK 191 READ 192 WRITE 193 OTHERS 201、202 ヘッド 211 KM 212 IV 213 WK 221 IVレジスタ 222 DID1レジスタ 223 DID2レジスタ 224 DID3レジスタ 225 TEMPレジスタ 226、227、233 セレクタ 228、254 XOR 229 シーケンス 230 MK1レジスタ 231 MK2レジスタ 232 MK3レジスタ 235 WK1レジスタ 236 WK2レジスタ 237 WK3レジスタ 241 プログラムコード 243 ワーク鍵 251、256 MACレジスタ 252 入力レジスタ 253 ワーク鍵レジスタ 257 比較器 261、271 ホスト固定パターンレジスタ 262、272 ホストワーク鍵レジスタ 263 乱数R2モジュール 264、274 固定パターンモジュール 273、292 乱数R1モジュール 275、294 起動信号 291 DES暗号化モジュール 293 DES復号モジュール 301 標準時刻電波受信装置 302 電池 303 時計IC 304、305 ダイオード 311 ユーザ認証部 312 セクタアドレス読み替え部 313 セクタ認証テーブル 314 非セキュリティセクタ群 315 セキュリティセクタ群 316 システムエリア 321 可搬記録媒体 322 サーバ 323 データベース 324 メモリ

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】 配信サーバからデータを受信する情報処
    理装置に接続して用いられるリムーバブルディスク装置
    であって、 書き換え不可能な識別情報が記録されたディスク媒体手
    段と、 前記情報処理装置からの要求に応じて、前記ディスク媒
    体手段から前記識別情報を読み出すリード手段と、 前記識別情報を前記情報処理装置に送出し、該情報処理
    装置が該識別情報を用いて前記配信サーバから受信した
    データを該情報処理装置から受け取るインタフェース手
    段と、 前記データを前記ディスク媒体手段に書き込むライト手
    段とを備えることを特徴とするリムーバブルディスク装
    置。
  2. 【請求項2】 データを再生する情報処理装置に接続し
    て用いられるリムーバブルディスク装置であって、 書き換え不可能な識別情報が記録されたディスク媒体手
    段と、 前記識別情報を用いて復号できるような方法で暗号化さ
    れたデータを、前記ディスク媒体手段に書き込むライト
    手段と、 前記識別情報と前記暗号化されたデータを前記情報処理
    装置に送出するインタフェース手段とを備えることを特
    徴とするリムーバブルディスク装置。
  3. 【請求項3】 情報処理装置に接続して用いられるリム
    ーバブルディスク装置であって、 ディスク媒体手段と、 ユーザ識別情報と暗号鍵とを対応付けて登録する登録手
    段と、 前記情報処理装置から受け取ったユーザ識別情報に対応
    する暗号鍵を用いて該情報処理装置と認証情報をやり取
    りすることで、該情報処理装置が該暗号鍵を持っている
    か否かをチェックし、該情報処理装置が該暗号鍵を持っ
    ていれば該情報処理装置を認証する認証手段と、 前記情報処理装置が認証された後に、該情報処理装置か
    らの要求に応じて前記ディスク媒体手段にアクセスする
    アクセス手段とを備えることを特徴とするリムーバブル
    ディスク装置。
  4. 【請求項4】 データを再生する情報処理装置に接続し
    て用いられるリムーバブルディスク装置であって、 ディスク媒体手段と、 暗号化されたデータと該データの有効期限を表す情報を
    前記ディスク媒体手段に書き込むライト手段と、 現在時刻を出力する時計手段と、 前記現在時刻と前記有効期限とを比較する比較手段と、 前記現在時刻が前記有効期限内であるとき、前記暗号化
    されたデータを復号するために必要な情報を前記情報処
    理装置に送出するインタフェース手段とを備えることを
    特徴とするリムーバブルディスク装置。
  5. 【請求項5】 情報処理装置に接続して用いられるリム
    ーバブルディスク装置であって、 ディスク媒体手段と、 前記ディスク媒体手段の各セクタの所有者の識別情報
    と、該所有者以外のユーザに対する各セクタへのアクセ
    ス制限を表す情報とを設定する設定手段と、 あるセクタの所有者以外のユーザが前記情報処理装置を
    用いて該セクタにアクセスしようとしたとき、前記アク
    セス制限の範囲内で該セクタにアクセスするアクセス手
    段とを備えることを特徴とするリムーバブルディスク装
    置。
  6. 【請求項6】 リムーバブルディスク装置のデータを再
    生する情報処理装置であって、 前記情報処理装置が有するソフトウェア識別情報を用い
    て生成された認証情報を前記リムーバブルディスク装置
    とやり取りすることで、該リムーバブルディスク装置が
    該ソフトウェア識別情報に対応する書き換え不可能な識
    別情報を持っているか否かをチェックするチェック手段
    と、 前記リムーバブルディスク装置が前記書き換え不可能な
    識別情報を持っているとき、該リムーバブルディスク装
    置のデータにアクセスするアクセス手段とを備えること
    を特徴とする情報処理装置。
  7. 【請求項7】 リムーバブルディスク装置のデータを再
    生する情報処理装置であって、 ユーザの識別情報に対応する暗号鍵を用いて前記リムー
    バブルディスク装置と認証情報をやり取りすることで、
    該リムーバブルディスク装置が該暗号鍵を持っているか
    否かをチェックし、該リムーバブルディスク装置が該暗
    号鍵を持っていれば該リムーバブルディスク装置を認証
    する認証手段と、 前記リムーバブルディスク装置が認証された後に、前記
    ユーザからの要求に応じて該リムーバブルディスク装置
    のデータにアクセスするアクセス手段とを備えることを
    特徴とする情報処理装置。
  8. 【請求項8】 リムーバブルディスク装置のデータを再
    生する情報処理装置のためのプログラムであって、 前記プログラムのソフトウェア識別情報を用いて生成さ
    れた認証情報を前記リムーバブルディスク装置とやり取
    りすることで、該リムーバブルディスク装置が該ソフト
    ウェア識別情報に対応する書き換え不可能な識別情報を
    持っているか否かをチェックし、 前記リムーバブルディスク装置が前記書き換え不可能な
    識別情報を持っているとき、該リムーバブルディスク装
    置のデータにアクセスする処理を前記情報処理装置に実
    行させることを特徴とするプログラム。
  9. 【請求項9】 リムーバブルディスク装置のデータを再
    生する情報処理装置のためのプログラムであって、 ユーザの識別情報に対応する暗号鍵を用いて前記リムー
    バブルディスク装置と認証情報をやり取りすることで、
    該リムーバブルディスク装置が該暗号鍵を持っているか
    否かをチェックし、該リムーバブルディスク装置が該暗
    号鍵を持っていれば該リムーバブルディスク装置を認証
    し、 前記リムーバブルディスク装置が認証された後に、前記
    ユーザからの要求に応じて該リムーバブルディスク装置
    のデータにアクセスする処理を前記情報処理装置に実行
    させることを特徴とするプログラム。
  10. 【請求項10】 書き換え不可能な識別情報が記録され
    たリムーバブルディスク装置に接続された情報処理装置
    から、該識別情報と共にデータ要求を受信し、 要求されたデータを該識別情報を用いて復号できるよう
    な方法で暗号化し、 暗号化されたデータを前記情報処理装置に配信すること
    を特徴とするデータ配信方法。
JP2002049249A 2002-02-26 2002-02-26 識別情報を有するリムーバブルディスク装置 Pending JP2003248629A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002049249A JP2003248629A (ja) 2002-02-26 2002-02-26 識別情報を有するリムーバブルディスク装置
US10/314,533 US20030163719A1 (en) 2002-02-26 2002-12-09 Removable disk device with identification information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002049249A JP2003248629A (ja) 2002-02-26 2002-02-26 識別情報を有するリムーバブルディスク装置

Publications (1)

Publication Number Publication Date
JP2003248629A true JP2003248629A (ja) 2003-09-05

Family

ID=27750780

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002049249A Pending JP2003248629A (ja) 2002-02-26 2002-02-26 識別情報を有するリムーバブルディスク装置

Country Status (2)

Country Link
US (1) US20030163719A1 (ja)
JP (1) JP2003248629A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005229604A (ja) * 2004-02-10 2005-08-25 Samsung Electronics Co Ltd データ処理装置の認証方法及び認証装置及びアクセス制御方法
JP2007035136A (ja) * 2005-07-26 2007-02-08 Buffalo Inc 外付けハードディスク記憶装置、外付けハードディスク記憶装置の制御方法および外付けハードディスク記憶装置の制御プログラム
JP2007110570A (ja) * 2005-10-14 2007-04-26 Megachips System Solutions Inc 画像記録装置の管理方法および画像記録装置
JP2007148497A (ja) * 2005-11-24 2007-06-14 Quality Kk 情報処理システム
JP2007233563A (ja) * 2006-02-28 2007-09-13 Quality Kk 情報処理システム
JP2008252593A (ja) * 2007-03-30 2008-10-16 Toshiba Corp 記録再生装置、記録再生方法、およびデジタル放送受信記録再生装置
US7562201B2 (en) 2004-03-17 2009-07-14 Hitachi, Ltd. Recording device and recording and reproducing device
JP2016520265A (ja) * 2013-04-23 2016-07-11 クアルコム,インコーポレイテッド セキュリティパラメータに基づくワーキングセキュリティキーの生成

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050254370A1 (en) * 2004-05-12 2005-11-17 Hedensten Charles R Mass storage using modern compact disk
US20060009319A1 (en) * 2004-06-28 2006-01-12 Nelson Webb T Sports ball device with internal noise maker
US7480931B2 (en) 2004-07-24 2009-01-20 Bbs Technologies, Inc. Volume mount authentication
JP2006053703A (ja) * 2004-08-11 2006-02-23 Hitachi Ltd 記憶制御システム及び方法
US7702922B2 (en) * 2004-08-17 2010-04-20 Microsoft Corporation Physical encryption key system
US8015416B2 (en) * 2004-11-19 2011-09-06 Megachips Corporation Memory information protection system and methods
US8984218B2 (en) * 2005-06-24 2015-03-17 Hewlett-Packard Development Company, L.P. Drive indicating mechanism for removable media
US7849330B2 (en) * 2006-03-20 2010-12-07 Hitachi, Ltd. Apparatus and method for secure data disposal
US20080083037A1 (en) * 2006-10-03 2008-04-03 Rmcl, Inc. Data loss and theft protection method
US8250639B2 (en) 2007-11-20 2012-08-21 Intel Corporation Micro and macro trust in a decentralized environment
EP2237247A4 (en) * 2007-12-03 2012-09-26 Internat Frontier Tech Lab Inc REAL AND FORGET CERTIFICATION MEMBER
US20100023783A1 (en) * 2007-12-27 2010-01-28 Cable Television Laboratories, Inc. System and method of decrypting encrypted content
US8984296B1 (en) * 2009-03-29 2015-03-17 Cypress Semiconductor Corporation Device driver self authentication method and system
KR101233254B1 (ko) * 2011-04-26 2013-02-14 숭실대학교산학협력단 가변길이 인증코드를 사용하는 무선 통신 단말간 세션키 공유 방법
JP5779434B2 (ja) * 2011-07-15 2015-09-16 株式会社ソシオネクスト セキュリティ装置及びセキュリティシステム
KR101871407B1 (ko) * 2016-06-16 2018-06-26 한국전자통신연구원 이동 저장 매체의 사용 이력 식별 장치 및 방법
US11148059B2 (en) * 2017-09-28 2021-10-19 Ags Llc Methods for generating and validating gaming machine subscription keys and securing subscription parameter data and jurisdiction files
US11469890B2 (en) * 2020-02-06 2022-10-11 Google Llc Derived keys for connectionless network protocols

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6850252B1 (en) * 1999-10-05 2005-02-01 Steven M. Hoffberg Intelligent electronic appliance system and method
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
CN100452071C (zh) * 1995-02-13 2009-01-14 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的***和方法
JP2002522248A (ja) * 1998-08-11 2002-07-23 インフィネオン テクノロジース アクチエンゲゼルシャフト マイクロメカニックセンサ及びそれを製作する方法
WO2000017766A2 (en) * 1998-09-22 2000-03-30 Cybex Computer Products Corporation System for accessing personal computers remotely
US6898709B1 (en) * 1999-07-02 2005-05-24 Time Certain Llc Personal computer system and methods for proving dates in digital data files
US6792536B1 (en) * 1999-10-20 2004-09-14 Timecertain Llc Smart card system and methods for proving dates in digital files
US6934749B1 (en) * 2000-05-20 2005-08-23 Ciena Corporation Tracking distributed data retrieval in a network device
US7263597B2 (en) * 2001-04-19 2007-08-28 Ciena Corporation Network device including dedicated resources control plane

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005229604A (ja) * 2004-02-10 2005-08-25 Samsung Electronics Co Ltd データ処理装置の認証方法及び認証装置及びアクセス制御方法
US7562201B2 (en) 2004-03-17 2009-07-14 Hitachi, Ltd. Recording device and recording and reproducing device
JP2007035136A (ja) * 2005-07-26 2007-02-08 Buffalo Inc 外付けハードディスク記憶装置、外付けハードディスク記憶装置の制御方法および外付けハードディスク記憶装置の制御プログラム
JP4502898B2 (ja) * 2005-07-26 2010-07-14 株式会社バッファロー 外付けハードディスク記憶装置、外付けハードディスク記憶装置の制御方法および外付けハードディスク記憶装置の制御プログラム
JP2007110570A (ja) * 2005-10-14 2007-04-26 Megachips System Solutions Inc 画像記録装置の管理方法および画像記録装置
JP4735828B2 (ja) * 2005-10-14 2011-07-27 株式会社メガチップス 画像記録装置の管理方法および画像記録装置
JP2007148497A (ja) * 2005-11-24 2007-06-14 Quality Kk 情報処理システム
JP2007233563A (ja) * 2006-02-28 2007-09-13 Quality Kk 情報処理システム
JP2008252593A (ja) * 2007-03-30 2008-10-16 Toshiba Corp 記録再生装置、記録再生方法、およびデジタル放送受信記録再生装置
JP2016520265A (ja) * 2013-04-23 2016-07-11 クアルコム,インコーポレイテッド セキュリティパラメータに基づくワーキングセキュリティキーの生成

Also Published As

Publication number Publication date
US20030163719A1 (en) 2003-08-28

Similar Documents

Publication Publication Date Title
JP2003248629A (ja) 識別情報を有するリムーバブルディスク装置
JP4687703B2 (ja) 記録システム、情報処理装置、記憶装置、記録方法及びプログラム
JP4690600B2 (ja) データ保護方法
JP4621314B2 (ja) 記憶媒体
JP4680564B2 (ja) 携帯用メディア上のコンテンツの暗号化およびデータ保護
US8280818B2 (en) License source component, license destination component, and method thereof
US6834333B2 (en) Data processing device, data storage device, data processing method, and program providing medium for storing content protected under high security management
JP3312024B2 (ja) 記憶媒体、リボケーション情報更新方法及び装置
JP4177514B2 (ja) コンピュータシステムおよびコンテンツ保護方法
US20020184259A1 (en) Data reproducing/recording apparatus/ method and list updating method
US20060059105A1 (en) Move component, program, and move method
JP2000138664A (ja) 公開キ―暗号方式を利用したコンテンツの保護方法
US20060069652A1 (en) Copy component, program and method thereof
JP2004185152A (ja) ライセンス移動装置及びプログラム
JP2001066986A (ja) 送信装置および方法、受信装置および方法、通信システム、並びにプログラム格納媒体
US20060059103A1 (en) Return component, program, and return component method
US20060059101A1 (en) Reproduction component, program and method thereof
US20060059104A1 (en) Rent component, program, and rent component method
JP2000330870A (ja) コンテンツ処理システムおよびコンテンツ保護方法
JP2006020154A (ja) コンテンツ管理方法及びコンテンツ管理用プログラム、並びに電子機器
JP5009832B2 (ja) コンテンツ利用管理システム、情報処理装置、および方法、並びにプログラム
JP3983937B2 (ja) 記憶媒体及び同媒体を使用したコンテンツ管理方法
JP2005505853A (ja) ユーザデータを読出し又は書込みするための装置及び方法
JP4110511B2 (ja) コンテンツ利用管理システム、情報処理装置、および方法、並びにコンピュータ・プログラム
KR20040090951A (ko) 엔티티 잠금 보안 레지스트리를 사용하여 자료에액세스하는 장치 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040903

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070507

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070710

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071106