JP4610872B2 - グループ形成管理システム、グループ管理機器及びメンバー機器 - Google Patents

グループ形成管理システム、グループ管理機器及びメンバー機器 Download PDF

Info

Publication number
JP4610872B2
JP4610872B2 JP2003305403A JP2003305403A JP4610872B2 JP 4610872 B2 JP4610872 B2 JP 4610872B2 JP 2003305403 A JP2003305403 A JP 2003305403A JP 2003305403 A JP2003305403 A JP 2003305403A JP 4610872 B2 JP4610872 B2 JP 4610872B2
Authority
JP
Japan
Prior art keywords
group
registered
management device
secret information
group management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003305403A
Other languages
English (en)
Other versions
JP2004120736A (ja
JP2004120736A5 (ja
Inventor
なつめ 松崎
敏久 阿部
稔久 中野
裕一 布田
雅也 宮▲ざき▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2003305403A priority Critical patent/JP4610872B2/ja
Publication of JP2004120736A publication Critical patent/JP2004120736A/ja
Publication of JP2004120736A5 publication Critical patent/JP2004120736A5/ja
Application granted granted Critical
Publication of JP4610872B2 publication Critical patent/JP4610872B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、ディジタルコンテンツの利用が相互に可能なグループを形成し、管理するグループ形成管理システムに関する。
近年、音楽や映像、ゲームなどのディジタル著作物(以下、コンテンツ)は、インターネットやデジタル放送、パッケージメディアによる流通により容易に取得が可能となってきている。
特許文献1によると、正当な権利を有さない第三者の利用を防止しつつ、所望の情報処置装置でコンテンツを利用できるようにすることを目的として、音楽データ管理システムが開示されている。
前記音楽データ管理システムにおいて、複数のパーソナルコンピュータ(以下、PC)は、PCのコンテンツ管理プログラムのIDと共に、クレジットカードの番号などを承認サーバに送信する。
承認サーバは、ID、クレジットカードの番号などを受信する。クレジットカードの番号が同じであれば、PCを同じグループに分類する。各グループについて、ID、クレジットカードの番号などを記録することにより、PC及び使用者を登録する。登録が終了したとき、承認サーバは、グループのIDおよびパスワードと共に、グループ鍵をPCに送信する。
PCは受信したグループ鍵、グループのIDおよびパスワードを記憶する。
こうして、同一のグループ鍵を有するPCは、グループ鍵を用いてコンテンツの送受信を行うことが出来る。
この技術では、如何なる機器でもグループ内の機器として登録可能であり、1個のグループに登録される機器を自由に増やすことが出来る。
また、非特許文献1によると、DTCP(Digital Transmission Content Protection)と呼ばれる規格が開示されている。
DTCPは、高速シリアルバス規格の一つであるIEEE1394により規定されるバスを介して配信されるディジタルコンテンツの保護規格である。コンテンツを利用する機器はそれぞれ、DTLA(Digital Transmission Licensing Administrator)と呼ばれる管理者との契約に基づいて配布された秘密鍵を備えている。コンテンツを視聴する際、送信機器と受信機器とは秘密鍵を用いて相互認証を行い、認証に成功した受信機器がコンテンツを視聴できる。
この技術では、DTLAから秘密鍵を配布された機器であれば、コンテンツ利用の都度、異なる機器がグループを形成してコンテンツを利用する。
特開2002−169726号公報 「5C Digital Transmission Content Protection White Paper」Revision1.0 July 14,1998
このように、特許文献1及び非特許文献1により開示された技術によると、グループを形成し、グループ内に含まれる機器間でのコンテンツの利用を許可されるものの、著作権保護の観点からは、グループを形成する機器をより固定的にしたいという要望があり、一方ユーザ側からは、IEEE1394バスといった物理的に伝送範囲が制限された範囲だけでなく、例えばIP(Internet Protocol)を用いて、より広い範囲で自由にコンテンツを利用したいという要望がある。
そこで本発明は、グループの範囲をより固定的にし、グループ内の機器間ではコンテンツを自由に利用可能なグループ形成管理システム、グループ管理機器及びメンバー機器を提供することを目的とする。
上記目的を達成するために本発明は、グループに固有の共通秘密情報を保持している1個以上の登録済のメンバー機器と、 グループへの登録の要求を送信し、共通秘密情報を取得して保持する新規のメンバー機器と、新規のメンバー機器から登録の要求を受け付け、グループに登録されている前記登録済のメンバー機器の台数が、グループに登録可能な最大の台数である制限台数未満の場合、前記新規のメンバー機器を登録し、当該メンバー機器へ前記共通秘密情報を出力するグループ管理機器とから構成されることを特徴とするグループ形成管理システムである。
また、グループへのメンバー機器の登録を管理するグループ管理機器であって、前記メンバー機器からグループに登録する旨の登録要求を受け付ける受付手段と、登録要求が受け付けられると、前記メンバー機器が正当な機器であれば、グループに登録済みのメンバー機器の登録台数が、グループに登録可能な最大の台数である制限台数より少ないか否かを判断し、少ないと判断する場合、前記メンバー機器を登録する判断手段と、前記制限台数より少ないと判断する場合に、前記メンバー機器へグループに固有の共通秘密情報を出力する通信手段とから構成されることを特徴とするグループ管理機器である。
また、グループ管理機器に登録してコンテンツを利用するメンバー機器であって、前記グループ管理機器にグループへの登録を要求する要求手段と、前記グループ管理機器から認証を受け、グループに固有の共通秘密情報を取得する取得手段と、取得した共通秘密情報を保持する保持手段とから構成されることを特徴とするメンバー機器である。
これによって、登録済みのメンバー機器が制限台数未満であれば、新規のメンバー機器に共通秘密情報を出力するので、グループに登録するメンバー機器の台数を制限し、グループの範囲をより固定的にすることが出来る。
また、本発明はメンバー機器をグループ管理機器に登録する登録機器であって、前記グループ管理機器からグループに固有の共通秘密情報を取得し、保持する保持手段と、前記メンバー機器に接続されると、当該メンバー機器に前記共通秘密情報を通知する通知手段とから構成されることを特徴とする登録機器である。
これにより、グループ管理機器と直接通信する機能を備えていないメンバー機器もグループに登録することが出来る。
本発明は、グループに固有の共通秘密情報を保持している1個以上の登録済のメンバー機器と、グループへの登録の要求を送信し、共通秘密情報を取得して保持する新規のメンバー機器と、新規のメンバー機器から登録の要求を受け付け、グループに登録されている前記登録済のメンバー機器の台数が、グループに登録可能な最大の台数である制限台数未満の場合、前記新規のメンバー機器を登録し、当該メンバー機器へ前記共通秘密情報を出力するグループ管理機器とから構成されることを特徴とするグループ形成管理システムである。
また、グループ形成管理システムであって、グループへの登録の要求を送信し、グループに固有の共通秘密情報を取得して保持するメンバー機器と、前記メンバー機器から登録の要求を受け付け、グループに登録されているメンバー機器の台数が、グループに登録可能な最大の台数である制限台数未満の場合、前記メンバー機器を登録し、当該メンバー機器へ前記共通秘密情報を出力するグループ管理機器とから構成され、初期の状態では、前記グループ管理機器にメンバー機器は登録されていないことを特徴とするグループ形成管理システムである。
また、グループへのメンバー機器の登録を管理するグループ管理機器であって、前記メンバー機器からグループに登録する旨の登録要求を受け付ける受付手段と、登録要求が受け付けられると、前記メンバー機器が正当な機器であれば、グループに登録済みのメンバー機器の登録台数が、グループに登録可能な最大の台数である制限台数より少ないか否かを判断し、少ないと判断する場合、前記メンバー機器を登録する判断手段と、前記制限台数より少ないと判断する場合に、前記メンバー機器へグループに固有の共通秘密情報を出力する通信手段とから構成されることを特徴とするグループ管理機器である。
また、グループ管理機器に登録してコンテンツを利用するメンバー機器であって、前記グループ管理機器にグループへの登録を要求する要求手段と、前記グループ管理機器から認証を受け、グループに固有の共通秘密情報を取得する取得手段と、取得した共通秘密情報を保持する保持手段とから構成されることを特徴とするメンバー機器である。
この構成によると、登録済みのメンバー機器が制限台数未満であれば、新規のメンバー機器に共通秘密情報を出力するので、グループに登録するメンバー機器の台数を制限し、グループの範囲をより固定的にすることが出来る。
できる。
ここで、前記メンバー機器は、第1初期値を保持し、前記判断手段は、第2初期値を保持し、前記第2初期値と前記第1初期値とを用いて前記メンバー機器の正当性を認証する認証手段と、前記認証結果が成功の場合、前記登録台数が前記制限台数より少ないか否かを判断する台数判断手段とを含み、前記通信手段は、前記共通秘密情報として、当該グループ管理機器により管理されるグループに登録されたことを示す共通秘密情報を出力し、前記メンバー機器は、前記共通秘密情報を取得して保持し、前記第1初期値の使用を抑制するとしても良い。
また、前記メンバー機器は、前記グループ管理機器に登録されていないことを示す前記第1初期値を保持し、前記認証手段は、当該グループ管理機器に登録されていないことを示す前記第2初期値と、前記第1初期値とを用いて認証するとしても良い。
また、前記メンバー機器は、当該メンバー機器が何れのグループ管理機器にも登録されていないことを示す前記第1初期値を保持し、前記認証手段は、前記メンバー機器が何れのグループ管理機器にも登録されていないことを示す前記第2初期値と、前記第1初期値とを用いて認証するとしても良い。
また、前記保持手段は、更に、第1初期値を保持し、前記取得手段は、前記第1初期値を用いて前記グループ管理機器から認証を受け、認証結果が成功の場合に前記共通秘密情報を取得し、前記保持手段は、取得した前記共通秘密情報を保持し、前記第1初期値の使用を抑制するとしても良い。
また、前記保持手段は、前記グループ管理機器に登録されていないことを示す前記第1初期値を保持するとしても良い。
また、前記保持手段は、当該メンバー機器が何れのグループ管理機器にも登録されていないことを示す前記第1初期値を保持するとしても良い。
また、前記保持手段は、保持している前記第1初期値に、取得した前記共通秘密情報を上書きするとしても良い。
この構成によると、メンバー機器が保持する第1初期値と、グループ管理機器が保持する第2初期値とを用いて認証するため、メンバー機器が初期値を保持している場合、グループに未登録であると判断することが出来る。
ここで、前記共通秘密情報を取得し、前記保持手段により保持した後に、更に、前記共通秘密情報を前記別のメンバー機器に出力する通信手段と、前記通信手段が前記共通秘密情報を出力すると、前記保持手段により保持されている共通秘密情報を削除する削除手段とを備え、前記保持手段は、前記共通秘密情報が削除されると、前記第1初期値を再度活性化するとしても良い。
また、前記要求手段は、更に、前記グループ管理機器に対してグループからの脱退を要求し、前記取得手段は、更に、前記グループ管理機器から前記共通秘密情報を削除する旨の通知を取得し、前記保持手段は、保持している前記共通秘密情報を削除し、前記第1初期値を再度活性化するとしても良い。
この構成によると、共通秘密情報を削除したメンバー機器は、第1初期値を再度活性化するため、初期値を保持しているメンバー機器として、グループに登録できる。
ここで、前記グループ管理機器は、更に、前記共通秘密情報を生成する生成手段を備え、前記通信手段は、生成された前記共通秘密情報を出力するとしても良い。
この構成によると、グループ管理機器が共通秘密情報を生成するので、グループ内の機器のみでグループを管理することが出来る。
ここで、グループ外の管理装置により前記共通秘密情報を生成され、前記判断手段は、グループ外の前記管理装置から前記共通秘密情報を取得し、前記通信手段は、取得した前記共通秘密情報を前記メンバー機器へ出力するとしても良い。
この構成によると、グループ外の管理装置により、共通秘密情報が生成されるので、他のグループの共通秘密情報と重複しない共通秘密情報を生成することが出来る。
ここで、前記受付手段は、前記登録要求を受け付けると、グループ外の管理装置に前記登録要求を受け付けた旨を通知し、前記グループ外の管理装置は、前記登録台数が、前記グループに登録可能な最大の台数である制限台数より少ないか否かを判断し、前記判断手段は、前記登録台数が前記制限台数より少ないか否かを判断する代わりに、前記管理装置から判断結果を受け取り、前記通信手段は、前記判断結果が、前記台数より前記制限台数の方が少ないことを示す場合、前記共通秘密情報を出力するとしても良い。
この構成によると、登録台数が制限台数より少ないか否かをグループ外の管理装置が判断するので、グループ管理機器での処理を減らすことが出来る。
ここで、前記制限台数は、第1制限台数と第2制限台数とから成り、前記判断手段は、登録済みのメンバー機器の台数が、前記第1制限台数又は前記第2制限台数より少ないか否かを判断するとしても良い。
ここで、前記第1制限台数は、前記制限台数のうち、当該グループ管理機器に接続可能なメンバー機器の最大の台数であり、前記第2制限台数は、前記制限台数のうち、当該グループ管理機器に接続できないメンバー機器の最大の台数であり、前記判断手段は、前記要求元のメンバー機器が当該グループ管理機器に接続可能なメンバー機器である場合、登録済みの接続可能なメンバー機器の台数が、前記第1制限台数より少ないか否かを判断し、前記要求元のメンバー機器が当該グループ管理機器に接続できないメンバー機器である場合、登録済みの接続できないメンバー機器の台数が、前記第2制限台数より少ないか否かを判断するとしても良い。
この構成によると、第1制限台数と第2制限台数とを基に、メンバー機器をグループに登録する台数を制限しているので、ユーザの要望に沿った台数管理ができる。
ここで、前記通信手段は、更に、他のグループ管理機器に、前記メンバー機器を登録可能であるか否かを問い合わせる問合要求を出力し、前記他のグループ管理機器は、前記問合要求を受け付け、前記他のグループ管理機器に登録済みのメンバー機器の登録台数が、当該他のグループ管理機器の制限台数より少ないか否かを判断し、少ないと判断する場合、前記メンバー機器を登録し、前記グループ管理機器へ前記共通秘密情報を出力し、前記通信手段は、前記他のグループ管理機器から前記共通秘密情報を受信すると、前記メンバー機器へ前記共通秘密情報を出力するとしても良い。
この構成によると、一つのグループ内に複数のグループ管理機器が有る場合に、メンバー機器は、登録を要求したグループ管理機器に登録できなくても、そのグループ管理機器が登録可能な他の機器を探すため、グループに登録することが出来る。
ここで、前記判断手段は、外部からの不正なアクセスに対抗する機能を備え、前記制限台数及び前記共通秘密情報は、外部から読み出し及び書き込みが出来ない領域内に記憶されているとしても良い。
また、前記保持手段は、外部から読み出し及び書き込みを禁止された記憶部を備え、前記記憶部は、前記グループ管理機器より取得する共通秘密情報を記憶し保持するとしても良い。
また、前記記憶部は、前記メンバー機器に着脱可能な記録媒体であるとしても良い。
この構成によると、グループ管理機器において、制限台数及び共通秘密情報は、読み出し書き込み不可能な記憶部に記憶され、メンバー機器においても共通秘密情報は、同様の記憶部に記憶されるので、外部に知られたり、書き換えられたりすることなく保持される。
また、前記判断手段は、前記グループ管理機器に着脱可能な可搬型モジュールから構成されているとしても良い。
この構成によると、グループ管理機器では、メンバー機器を登録可能か否かの判断をICカードが行うため、任意の機器にICカードを装着し、AD内サーバとすることが出来る。
ここで、前記判断手段は、前記制限台数から前記登録台数を差し引いた残数を記憶し、前記受付手段が登録要求を受け付けると、前記残数が「0」であるか否かを判断し、「0」でないと判断する場合、前記通信手段は、前記メンバー機器へ前記共通秘密情報を出力し、「0」でないと判断する場合、前記判断手段は、前記残数から「1」を減算するとしても良い。
この構成によると、残数が「0」でない場合に、メンバー機器を登録するので、グループに登録されている機器の台数を制限することが出来る。
ここで、前記メンバー機器に対して前記共通秘密情報が出力された後に、前記受付手段は、更に前記メンバー機器から、グループへの登録を解消することを示す脱退要求を受け付け、前記通信手段は、更に、前記脱退要求が受け付けられると、前記共通秘密情報を削除することを指示する削除通知を前記メンバー機器へ出力し、前記受付手段は、更に、前記共通秘密情報の削除が完了したことを示す完了通知を前記メンバー機器から受け付け、前記判断手段は、更に、完了通知が受け付けられると、前記登録台数を減らすとしても良い。
また、前記要求手段は、更に、前記グループ管理機器に対してグループからの脱退を要求し、前記取得手段は、更に、前記グループ管理機器から前記共通秘密情報を削除する旨の通知を取得し、前記保持手段は、保持している前記共通秘密情報を削除するとしても良い。
この構成によると、グループ管理機器は、登録済みのメンバー機器がグループから脱退する際、登録台数を減らすので、グループに登録できる機器を一定の台数に保つことが出来る。また、メンバー機器は、共通秘密情報を削除するので、グループから脱退したメンバー機器によるコンテンツの利用を防止することが出来る。
ここで、前記判断手段は、前記登録台数が、前記制限台数より少ないと判断する場合、更に、前記メンバー機器において、前記共通秘密情報の使用を許可する期間を示す有効期限情報を発行し、前記通信手段は、前記有効期限情報を前記メンバー機器へ出力し、前記判断手段は、前記登録台数が、前記制限台数より少ないと判断する場合に、前記登録台数を増やし、更に、前記有効期限情報により示される期間の経過を監視しており、前記有効期限情報が示す期間が終了すると、前記登録台数を減らすとしても良い。
また、前記取得手段は、前記共通秘密情報の使用を許可される期間を示す有効期限情報を含む共通秘密情報を取得し、前記保持手段は、前記有効期限情報が示す期間の経過を監視しており、前記期間が終了すると、前記共通秘密情報を削除するとしても良い。
この構成によると、有効期限情報が示す期間だけ、メンバー機器にコンテンツの利用を許可するので、メンバー機器が、グループ管理機器とオンラインで接続されていなくても、一旦登録の処理を行うとそれぞれの機器で共通秘密情報を管理することが出来る。また、メンバー機器では共通秘密情報を削除し、グループ管理機器では登録台数を減らすので、グループに登録可能な台数は一定に保つことが出来る。
ここで、前記判断手段は、グループ外の管理装置から、グループに登録可能なクライアント機器の台数を取得し、取得した台数に応じて代金を支払い、取得した台数を前記制限台数とするとしても良い。
この構成によると、グループ管理機器は、制限台数を設定する際に代金を支払うので、管理装置は、台数に応じて課金することが出来る。また、制限台数
を柔軟に設定することが出来る。
ここで、前記判断手段は、更に、グループ外の管理装置から新たに前記メンバー機器の登録可能な台数を取得し、取得した台数に応じて代金を支払い、前記制限台数に前記取得した台数を加算した台数を新たな制限台数とするとしても良い。
この構成によると、制限台数を増やすことが出来、台数に応じて課金することが出来るため、グループに登録可能な機器の台数を柔軟に管理することが出来る。
ここで、前記メンバー機器に対して前記共通秘密情報が出力された後に、前記受付手段は、更に前記メンバー機器から、通信の要求を受け付け、前記判断手段は、更に、前記共通秘密情報と要求元のメンバー機器が保持する共通秘密情報とを用いて認証し、認証結果が成功の場合、前記通信手段は、更に、前記メンバー機器と通信を行うとしても良い。
また、前記メンバー機器は、前記共通秘密情報を取得し、前記保持手段により保持した後に、更に、前記別のメンバー機器と通信する際、前記共通秘密情報及び前記別のメンバー機器が保持する共通秘密情報を用いて前記別のメンバー機器を認証する認証手段を備えるとしても良い。
この構成によると、認証相手の機器が保持する共通秘密情報の値と自身が保持する共通秘密情報とを用いて認証するため、相手機器が同一のグループに登録されているか否かを確認することが出来る。
ここで、前記グループ管理機器は、更に、コンテンツ鍵を用いて暗号化した暗号化コンテンツと前記コンテンツ鍵とを蓄積しているコンテンツ格納手段と、前記共通秘密情報を基に生成された鍵を用い、前記コンテンツ鍵を暗号化して暗号化コンテンツ鍵を生成する暗号化手段とを備え、前記通信手段は、更に、前記暗号化コンテンツ及び前記暗号化コンテンツ鍵を前記メンバー機器へ出力するとしても良い。
また、前記要求手段は、更に、前記グループ管理機器へコンテンツの配送を要求し、前記取得手段は、更に、前記グループ管理機器から、コンテンツ鍵を用いてコンテンツを暗号化して生成した暗号化コンテンツと、前記共通秘密情報を基に生成した暗号化鍵を用いて暗号化して生成した暗号化コンテンツ鍵とを取得し、前記メンバー機器は、更に、前記共通秘密情報を基に前記暗号化鍵と同一の復号鍵を生成し、生成した復号鍵を用いて前記暗号化コンテンツ鍵を復号してコンテンツ鍵を生成し、生成したコンテンツ鍵を用いて前記暗号化コンテンツを復号してコンテンツを生成する復号手段を備えるとしても良い。
この構成によると、共通秘密情報を基にした鍵を用いてコンテンツ鍵を暗号化するため、コンテンツを利用可能な機器を、共通秘密情報を保持する機器に限定することが出来る。
また、前記判断手段は、更に、前記共通秘密情報と前記メンバー機器が保持する共通秘密情報とを用いて前記メンバー機器を認証し、前記共通秘密情報を用いて前記メンバー機器とセッション鍵を共有し、前記暗号化手段は、前記認証が成功の場合に、前記共通秘密情報を基に生成された前記セッション鍵を用いて前記コンテンツ鍵を暗号化するとしても良い。
この構成によると、共通秘密情報を用いてメンバー機器を認証するため、同一のグループに登録されていることを確認できた機器のみに、コンテンツの利用を許可することが出来る。また、共通秘密情報に依存したセッション鍵を用いてコンテンツ鍵を暗号化しているので、共通秘密情報を保持しない機器ではコンテンツを利用できない。
ここで、前記通信手段は、前記共通秘密情報を記憶しており、更に、別の共通秘密情報を取得し、前記共通秘密情報に、前記別の共通秘密情報を上書きして記憶し、定期的又は不定期に取得した前記別の共通秘密情報を前記メンバー機器へ出力するとしても良い。
また、前記共通秘密情報を取得し、前記保持手段により保持した後に、前記取得手段は、更に、前記グループ管理機器から前記共通秘密情報と異なる別の共通秘密情報を取得し、前記保持手段は、前記共通秘密情報に、前記別の共通秘密情報を上書きするとしても良い。
この構成によると、グループの共通秘密情報を定期的又は不定期に更新するため、仮に共通秘密情報が外部の機器に知られたとしても、共通秘密情報を更新するので、更新されていない機器でのコンテンツの利用を防止することが出来る。
ここで、前記グループ管理機器は、更に、コンテンツ鍵を用いて暗号化した暗号化コンテンツと前記コンテンツ鍵とを蓄積しているコンテンツ格納手段と、前記共通秘密情報に基づいて生成される鍵を用いて、前記コンテンツ鍵を暗号化して暗号化コンテンツ鍵を生成する暗号化手段と、生成した暗号化コンテンツ鍵及び暗号化コンテンツを可搬型の記録媒体に書き込む書込手段とを備えるとしても良い。
また、前記受付手段は、前記メンバー機器を識別する識別子を含む前記登録要求を受け付け、前記暗号化手段は、前記登録要求に含まれる識別子と、前記共通秘密情報とから生成される鍵を用いて、前記コンテンツ鍵を暗号化して暗号化コンテンツ鍵を生成するとしても良い。
また、前記暗号化手段は、前記共通秘密情報及び前記記録媒体に固有の識別子に基づいて生成される鍵を用いて、前記コンテンツ鍵を暗号化するとしても良い。
この構成によると、共通秘密情報に基づいて生成される鍵を用いてコンテンツ鍵を暗号化して記録するため、共通秘密情報を保持しない機器でのコンテンツの利用を防止することが出来る。また、共通秘密情報と、グループに登録している機器の識別子とを用いて生成される鍵を用いてコンテンツ鍵を暗号化するため、登録している識別子の機器でのみ使用可能になり、他の不正な機器によるコンテンツの利用を防止することが出来る。
ここで、前記グループ管理機器は、更に、複数のグループを識別する識別子に、前記グループのそれぞれに固有の共通秘密情報及び前記グループのそれぞれに登録可能な最大の台数である制限台数を対応付けて保持する保持手段を備え、前記受付手段が、前記識別子の何れか一つを含む登録要求を受け付けると、前記判断手段は、前記受け付けた識別子が識別するグループに登録済みのメンバー機器の登録台数が、前記識別子に対応する前記制限台数より少ないか否かを判断し、少ないと判断される場合に、当該識別子が識別するグループにメンバー機器を登録し、前記識別子に対応する共通秘密情報を選択し、前記通信手段は、選択された前記共通秘密情報を出力するとしても良い。
この構成によると、1台のグループ管理機器で複数のグループを管理することが出来る。
ここで、前記受付手段は、更に、前記新規のメンバー機器から、他の所定数のメンバー機器を登録する旨の登録要求を受け付け、前記判断手段は、前記登録台数に前記所定数を加えた数が、前記制限台数を超えるか否かを判断し、超えないと判断する場合、前記所定数のメンバー機器への前記共通秘密情報の付与を許可する許可権利を生成し、前記通信手段は、前記生成した許可権利を付加した前記共通秘密情報を前記新規のメンバー機器へ出力するとしても良い。
また、前記要求手段は、更に、所定数の他のメンバー機器の登録を要求し、前記取得手段は、前記グループ管理機器から、更に、前記共通秘密情報を前記所定数のメンバー機器への付与を許可する許可権利を付加した前記共通秘密情報を取得し、前記保持手段は、前記許可権利を付加した共通秘密情報を取得して保持し、前記メンバー機器は、更に、他のメンバー機器へ前記共通秘密情報を出力する通信手段を備え、前記保持手段は、前記共通秘密情報が出力されると、前記許可権利から、前記共通秘密情報を前記他のメンバー機器へ付与する権利を1回分減らすとしても良い。
また、前記保持手段は、更に、当該メンバー機器に固有の識別子を保持し、前記通信手段は、更に、前記他のメンバー機器から、当該他のメンバー機器に固有の識別子を取得し、前記要求手段は、更に、前記グループ管理機器へ、当該メンバー機器と他のメンバー機器との識別子を送信するとしても良い。
この構成によると、新規のメンバー機器は、複数のメンバー機器の代表として、グループ管理機器から共通秘密情報を取得し、他の所定数のメンバー機器に共通秘密情報を付与するため、複数のメンバー機器を一度に登録することが出来る。また、所定数のメンバー機器がグループ管理機器と直接通信する機能を備えなくても、代表のメンバー機器が通信機能を備えていれば、他の所定数のメンバー機器を登録することが出来る。また、メンバー機器それぞれのIDを登録するため、コンテンツ配送の際などに、IDを登録している機器に限定することが出来る。
ここで、前記受付手段は、前記メンバー機器に固有の第1識別子を含む前記登録要求を受け付け、前記判断手段は、更に、受け付けた前記第1識別子を記憶し、前記通信手段が前記共通秘密情報を出力した後に、前記受付手段は、更に、メンバー機器に固有の第2識別子を受け付け、前記判断手段は、更に、受け付けた第2識別子が、記憶している第1識別子と一致するか否かを判断し、前記通信手段は、前記判断手段が一致すると判断する場合に、前記共通秘密情報を前記メンバー機器へ再度出力するとしても良い。
また、前記メンバー機器は、更に、前記保持手段は、更に、当該メンバー機器に固有の識別子を保持し、前記要求手段は、更に、前記グループ管理機器へ前記識別子を送信し、前記保持手段は、前記共通秘密情報を保持した後に、電源OFFの指示を受けると、保持した前記共通秘密情報を削除し、電源をOFFにし、電源がONになると、前記要求手段は、前記識別子を前記グループ管理機器へ再度送信し、前記グループ管理機器が、再度取得した識別子が前記記憶した識別子と一致する場合に、前記取得手段は、前記共通秘密情報を再取得するとしても良い。
また、前記メンバー機器は、更に、前記保持手段は、更に、当該メンバー機器に固有の識別子を保持し、前記要求手段は、更に、前記グループ管理機器へ前記識別子を送信し、前記保持手段は、前記共通秘密情報を保持した後に、前記グループ管理機器との通信が遮断されると、保持した前記共通秘密情報を削除し、前記グループ管理機器との通信が再度確立されると、前記要求手段は、前記識別子を前記グループ管理機器へ再度送信し、前記グループ管理機器が再度取得した識別子が、前記記憶した識別子と一致する場合に、前記取得手段は、前記共通秘密情報を再取得するとしても良い。
この構成によると、メンバー機器は、通信が遮断された場合、又は電源をOFFにした場合に共通秘密情報を削除し、必要に応じて共通秘密情報を取得するため、不正に共通秘密情報を利用されることを防ぐ。
ここで、当該グループ管理機器が、複数のグループ管理機器が管理するグループを合わせて新たに形成する新グループを管理する新グループ管理機器になると決定された場合、前記通信手段は、新グループに固有の新共通秘密情報を、それぞれのメンバー機器へ出力し、他のグループ管理機器が前記新グループ管理機器になると決定された場合、当該グループ管理機器は、更に、前記他のグループ管理機器から、新グループに固有の新共通秘密情報を取得する取得手段と、取得した前記新共通秘密情報を保持する保持手段とを備えるとしても良い。
また、前記通信手段は、更に、他のグループを管理する他のグループ管理機器との間で、何れのグループ管理機器が、前記新グループ管理機器になるかを決定するとしても良い。
また、前記保持手段は、更に、当該グループ管理機器に付された優先順位を記憶しており、前記通信手段は、前記優先順位及び前記他のグループ管理機器に付された優先順位のうち、高い優先順位を付されたグループ管理機器を、前記新グループ管理機器になると決定するとしても良い。
また、前記共通秘密情報を保持した後、前記取得手段は、前記グループ管理機器と同一又は別のグループ管理機器から、前記共通秘密情報とは別の共通秘密情報を取得し、前記保持手段は、前記別の共通秘密情報を保持し、前記共通秘密情報の使用を抑制するとしても良い。
この構成によると、複数のグループを合わせて一つのグループを形成することが出来る。
ここで、前記グループ管理機器及び他のグループ管理機器が管理するグループのメンバー機器は、それぞれ優先順位を付されており、前記新グループ管理機器に決定された後、前記受付手段は、更に、各メンバー機器の優先順位を取得し、 前記グループ管理機器は、更に、前記受付手段が取得した優先順位の高い機器から順に、前記制限台数以内で新グループに登録する新メンバー機器を選択する選択手段を備え、前記通信手段は、選択した新メンバー機器へ前記新共通秘密情報を出力するとしても良い。
この構成によると、複数のグループを組み合わせた際に、メンバー機器が制限台数を超えても、優先順位によって登録するメンバー機器を選択し、制限台数以内に制限することが出来る。
ここで、前記グループ管理機器は、更に、前記通信手段が前記共通秘密情報を出力した後、当該グループ管理機器に登録されているメンバー機器から、別のグループを管理するグループ管理機器になるメンバー機器を選択する選択手段と、当該グループに登録されている前記メンバー機器を、当該グループ管理機器が管理するグループのメンバー機器と、前記別のグループ管理機器が管理する別のグループのメンバー機器とに分ける分配手段とを備え、前記通信手段は、当該グループ管理機器が管理するグループに分けられたメンバー機器に、前記共通秘密情報とは別の共通秘密情報を出力するとしても良い。
また、前記共通秘密情報を保持した後、前記グループ管理機器により、当該メンバー機器が前記グループ管理機器とは別の新グループ管理機器に選択されると、 更に、前記新グループ管理機器と前記グループ管理機器との間で、前記グループ管理機器に登録されていた元のメンバー機器を、前記グループ管理機器に登録するメンバー機器と、前記新グループ管理機器に登録するメンバー機器とに分ける選択手段と、前記新グループ管理機器が管理する新グループに固有の新共通秘密情報を、当該新グループ管理機器に選択された前記メンバー機器へ出力する通信手段とを備えるとしても良い。
また、前記グループ管理機器に登録されているメンバー機器はそれぞれ優先順位を付されており、前記取得手段は、他のメンバー機器の前記優先順位を取得し、前記選択手段は、取得した優先順位を基に、メンバー機器を分けるとしても良い。
この構成によると、一つのグループを複数のグループに分割することが出来る。
また、前記メンバー機器は、前記共通秘密情報を取得し、前記保持手段により保持した後に、更に、前記共通秘密情報を前記別のメンバー機器に出力する通信手段と、前記通信手段が前記共通秘密情報を出力すると、前記保持手段により保持されている共通秘密情報を削除する削除手段とを備えるとしても良い。
この構成によると、グループに登録したメンバー機器を交換することが出来る。また、他のメンバー機器に共通秘密情報を出力したメンバー機器は、前記共通秘密情報を削除するので、共通秘密情報を保持するメンバー機器、つまりグループに登録されているメンバー機器の台数を一定に保つことが出来る。
ここで、前記要求手段、取得手段及び保持手段は、前記メンバー機器に着脱可能な可搬型モジュールであり、前記可搬型モジュールは前記グループ管理機器に接続されると前記共通秘密情報を取得するとしても良い。
また、前記可搬型モジュールは、更に、前記保持手段が保持している前記共通秘密情報を前記メンバー機器へ通知する通知手段と、前記共通秘密情報を前記メンバー機器へ通知した後に、前記通知手段に対して前記共通秘密情報をメンバー機器へ更に通知することを禁止する管理手段とを備え、前記メンバー機器は、更に、前記可搬型モジュールから前記共通秘密情報を取得して格納する格納手段を備えるとしても良い。
この構成によると、ICカードが共通秘密情報を取得するので、グループ管理機器との通信機能を備えないメンバー機器でも、前記ICカードにより共通秘密情報を取得し、グループに登録することが出来る。
ここで、前記取得手段は、更に、コンテンツ鍵を用いて暗号化された暗号化コンテンツと、前記コンテンツ鍵を前記共通秘密情報を用いて生成された暗号化鍵を用いて暗号化して生成された暗号化コンテンツ鍵とを取得し、前記メンバー機器は、更に、接続された前記可搬型モジュールから前記共通秘密情報を読み出し、読み出した共通秘密情報から前記暗号化鍵と同一の復号鍵を生成し、生成した復号鍵を用いて前記暗号化コンテンツ鍵を復号してコンテンツ鍵を生成し、前記コンテンツ鍵を用いて前記暗号化コンテンツを復号する復号手段を備えるとしても良い。
この構成によると、メンバー機器は、ICカードが接続されている場合のみコンテンツを利用できる。また、ICカードが共通秘密情報を取得し、復号鍵を生成するため、任意の機器にICカードを接続し、グループ内の機器としてコンテンツを利用することが出来る。
ここで、前記保持手段は、更に、前記共通秘密情報を保持できる最大数を保持し、前記要求手段は、前記保持手段が保持する共通秘密情報の数が、前記最大数に満たない場合、前記グループ管理機器に、グループへの登録を要求するとしても良い。
また、前記保持手段は、更に、複数のグループを識別する識別子を保持し、前記要求手段は、前記識別子の何れか一つを付加して登録を要求し、前記保持手段は、前記共通秘密情報を、前記登録要求に含めて送信した識別子と対応付けて記憶するとしても良い。
この構成によると、メンバー機器は、複数の共通秘密情報を保持できるため、複数のグループに登録することが出来る。また、グループの識別子を付加して登録を要求すると、登録するグループを指定できる。
また、本発明は、メンバー機器をグループ管理機器に登録する登録機器であって、前記グループ管理機器からグループに固有の共通秘密情報を取得し、保持する保持手段と、前記メンバー機器に接続されると、当該メンバー機器に前記共通秘密情報を通知する通知手段とから構成されることを特徴とする登録機器である。
この構成によると、登録機器を用いることによって、グループ管理機器に接続できないメンバー機器でも、グループに登録することが出来る。
ここで、前記登録機器は、更に、前記共通秘密情報を前記メンバー機器へ通知した後に、前記通知手段に対して前記共通秘密情報をメンバー機器へ更に通知することを禁止する管理手段を備えるとしても良い。
この構成によると、メンバー機器へ共通秘密情報を通知すると、更に通知することを禁止するため、グループに登録する機器を制限台数以内に制限することが出来る。
ここで、前記登録機器は、更に、前記メンバー機器から、前記共通秘密情報の取得の要求を受け付ける受付手段を備え、前記通知手段は、前記要求を受け付けた場合に、前記共通秘密情報を通知するとしても良い。
この構成によると、共通秘密情報は登録機器が保持し、要求を受け付けた場合に、共通秘密情報を通知するため、任意の機器に登録機器を接続し、グループ内の機器としてコンテンツを利用することが出来る。また、メンバー機器は共通秘密情報を保持せず、登録装置が保持するので、グループ内の機器の台数を制限することが出来る。
また、本発明は、グループ管理機器に登録してコンテンツを利用するメンバー機器であって、前記グループ管理機器との距離、前記グループ管理機器との通信時間、前記グループ管理機器の処理能力又は前記グループ管理機器の処理状態のうち、予め設定された条件を基にして、複数のグループ管理機器から、1個のグループ管理機器を選択する選択手段と、選択したグループ管理機器に登録を要求する要求手段と、前記グループ管理機器から、グループ内で共通の共通秘密情報を取得する取得手段と、取得した共通秘密情報を保持する保持手段とから構成されることを特徴とするメンバー機器である。
この構成によると、メンバー機器は、グループ内に複数のグループ管理機器が存在する場合、複数のグループ管理機器のうち、比較的条件の良いグループ管理機器を選択し、当該グループ管理機器に登録することが出来る。
発明を実施するための最良の形態
以下、本発明の実施の形態について図面を用いて詳細に説明する。
1.グループ形成管理システム1の構成
グループ形成管理システム1は図1に示すように、AD内サーバ100、再生装置200、車載機器300、ICカード400及びDVD500から構成される。
AD内サーバ100及びモニタ251とスピーカ252とが接続されている再生装置200は、ユーザ宅内に設置されており、オンラインで接続されている。車載機器300は、ユーザが所有する車両に搭載されている。ICカード400及びDVD500は、AD内サーバ100及び車載機器300に接続可能である。ICカード400はAD内サーバ100に付属しており、AD内サーバ100は、ICカード400が接続されている場合のみ、動作する。
グループ形成管理システム1は、AD内サーバ100が、コンテンツの利用が許可される範囲であるAD(Authorized Domain)を管理するシステムである。
AD内サーバ100は、クライアント機器の登録を受け付けて管理し、AD内サーバ100及び登録されたクライアント機器は、AD内サーバ100により生成された共通秘密情報(以下CSI:Common Secret Information)を共有する。同一AD内の機器間では、共有したCSIを用いてお互いを認証し、認証に成功した場合にコンテンツの送受信やコピーを行う。前記CSIを持たない機器は、コンテンツの送受信やコピーを行うことは出来ない。
再生装置200は、AD内サーバ100と接続されているので、認証を行い、クライアント機器として登録することが出来る。また、車載機器300は、AD内サーバ100と接続されていないが、ICカード400にCSIを記憶させ、ICカード400から車載機器300にCSIを通知することによってクライアント機器として登録することが出来る。
1.1 AD内サーバ100の構成
AD内サーバ100は図2に示すように、制御部101、秘密鍵格納部102、公開鍵証明書格納部103、CRL格納部104、公開鍵暗号処理部105、登録情報記憶部106、CSI生成部107、CSI格納部108、コンテンツ格納部109、暗号化部110、ID格納部111、ドライブ部112、入力部113、表示部114、入出力部115、入出力部116、復号部117及び暗号化部119から構成される。
AD内サーバ100は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニットなどから構成されるコンピュータシステムである。前記RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、AD内サーバ100は、その機能を達成する。
AD内サーバ100は、機器の登録、CSIの移動及び脱退の管理、コンテンツの配送及びコンテンツのコピーの処理を行う。
以下、各構成について説明する。
(1)入出力部115,116、ドライブ部112
入出力部115は、再生装置200とデータの送受信を行う。入出力部116は、ICカード400が接続されたことを検出すると、制御部101に検出を出力する。また、ICカード400とデータの送受信を行う。ドライブ部112は、DVD500へデータの書き込み、読み出しを行う。
(2)秘密鍵格納部102、公開鍵証明書格納部103、CRL格納部104、コンテンツ格納部109、ID格納部111、コンテンツ鍵格納部118
ID格納部111は、AD内サーバ100に固有のIDであるID#1を記憶している。
公開鍵証明書格納部103は、公開鍵証明書Cert#1を格納する。
公開鍵証明書Cert#1は、公開鍵PK#1がAD内サーバ100の正しい公開鍵であることを証明するものである。公開鍵証明書Cert#1は、署名データSig#CA1、公開鍵PK#1及びID#1を含む。署名データSig#CA1は、CA(Certification Authority)により、AD内サーバ100の公開鍵PK#1及びID#1に対して署名アルゴリズムSを施して生成した署名データである。ここでCAとは、信頼できる第三者機関であり、グループ形成管理システム1に属する機器の公開鍵の正当性を証明する公開鍵証明書を発行する機関である。なお、署名アルゴリズムSは、一例として、有限体上のElGamal署名である。ElGamal署名については、公知であるので説明を省略する。
秘密鍵格納部102は、外部から内部を見ることが出来ない耐タンパ領域であり、公開鍵PK#1に対応する秘密鍵SK#1を格納する。
CRL格納部104は、CRL(Certification Revocation List)を格納する。このCRLは、不正を行った機器や、秘密鍵が暴露された機器など、無効化された機器のIDが登録されたリストであり、CAから発行される。なお、CRLに登録されるのは、機器のIDでなくてもよく、無効化された機器が有する公開鍵証明書のシリアル番号が登録されるとしても良い。CRLは、放送、インターネット又はDVD等の記録媒体に記録されて各機器へ配布され、各機器は、最新のCRLを入手する。なお、CRLについては、「American National Standards Institute, American National Standard for financial Services,ANSX9.57:Public Key Cryptography For the Financial Industry: Certificate Management,1997.」に詳しく開示されている。
コンテンツ格納部109は、コンテンツ鍵を用いて暗号化された暗号化コンテンツを格納する。なお、コンテンツの取得方法は、本発明の主題ではないので、説明を省略するが、例として、インターネット、放送などを利用して取得する方法や、DVD等の記録媒体から取得する方法が有る。
コンテンツ鍵格納部118は、暗号化部110から暗号化コンテンツ鍵aを受け取り、格納する。
(3)公開鍵暗号処理部105
公開鍵暗号処理部105は、他の機器と通信する際に、認証を行い、SAC(Secure Authentication Channel)を確立する。SACとは、暗号通信が可能となる安全な通信路を意味する。SACを確立する処理によって、認証相手の機器がCAに認められた正しい機器であることを確認できる。詳しい確立方法については後述する。また、公開鍵暗号処理部105は、認証によって、セッション鍵SKを共有する。
(4)登録情報記憶部106
登録情報記憶部106は、耐タンパ領域であり、図3(a)に示す登録情報を記憶している。登録情報は、AD内サーバ100に登録可能な機器の台数及び登録されている機器のIDを管理する情報であり、機器ID、最大、登録台数、残数及びICカードIDから構成される。
機器IDは、AD内サーバ100に登録された機器のIDを記憶する領域である。AD内サーバ100に再生装置200及び車載機器300が登録されると、図3(b)のように、それぞれのIDであるID#2及びID#3が格納される。
最大は、AD内サーバ100に登録可能な機器の最大数を示し、本実施の形態では、2台である。登録台数は、既にAD内サーバ100に登録されている機器の台数を示す。残数は、AD内サーバ100に登録可能な台数を示す。
AD内サーバ100にクライアント機器が登録されていない初期の状態では、登録台数は「0」であり、残数は最大と同数である。AD内サーバ100に何れかのクライアント機器が登録されると、登録台数に「1」が加算され、残数から「1」が減算される。
ICカードIDは、AD内サーバ100に付属のICカード400のIDを予め記憶しており、書き換え出来ない。
(5)CSI生成部107、CSI格納部108
CSI格納部108は、外部からCSIを読むことが出来ない耐タンパ領域であり、AD内サーバ100に機器が登録されていない場合、未登録であることを示す値として「0」を記憶している。
CSI生成部107は、制御部101の制御の基、AD内サーバ100に最初に機器を登録する際に、CSIを生成する。また、登録した機器が全て脱退すると、CSI格納部108は、格納している値を「0」に書き換える。
ここでCSIは、CSI生成部107によって生成される任意のデータであり、本実施の形態では200ビットとする。なお、CSIのビット長は、これに限定されず、容易に推測されない、簡単に試すことが不可能な程度の長さであれば良い。
CSI生成部107は生成したCSIをCSI格納部108に格納する。また、生成したCSIを、接続されているICカード400に出力する。
なお、CSIは、定期的又は不定期に更新するとしても良い。
(6)暗号化部110,119
暗号化部119は、再生装置200の登録の際、制御部101の制御の基、公開鍵暗号処理部105から受け取るセッション鍵SKを用いて、CSIに暗号化アルゴリズムEを施して暗号化CSIを生成し、生成した暗号化CSIを入出力部115を介して再生装置200へ送信する。ここで、暗号化アルゴリズムSは、一例としてDESである。DESについては公知であるので、説明を省略する。
暗号化部110は、コンテンツ鍵をコンテンツ鍵格納部118に格納する際、ID格納部111からID#1を読み出し、CSI格納部104からCSIを読み出す。読み出したID#1及びCSIをこの順で連結して暗号鍵aとし、暗号鍵aを用いてコンテンツ鍵に暗号化アルゴリズムEを施して暗号化して暗号化コンテンツ鍵aを生成し、生成した暗号化コンテンツ鍵aをコンテンツ鍵格納部118へ格納する。
暗号化部110は、DVD500に暗号化コンテンツを書き込む際、制御部101の制御の基、登録情報記憶部106から登録情報の機器IDから登録されている機器のIDであるID#2及びID#3を読み出す。ID#2とCSIとをこの順で連結し、暗号鍵bとし、ID#3とCSIとをこの順で連結して、暗号鍵cとする。暗号鍵b及び暗号鍵cをそれぞれ用いて暗号化コンテンツ鍵b及び暗号化コンテンツ鍵cを生成し、DVD500に書き込む。
(7)復号部117
復号部117は、制御部101の制御の基、ID格納部111に記憶しているID#1を読み出し、CSI格納部108に格納しているCSIを読み出す。ID#1及びCSIをこの順で連結して復号鍵として用い、コンテンツ鍵格納部118から読み出した暗号化コンテンツ鍵aに復号アルゴリズムDを施し、コンテンツ鍵を生成する。生成したコンテンツ鍵は、暗号化部110へ出力する。ここで、復号アルゴリズムDとは、暗号化アルゴリズムEの逆の処理をするアルゴリズムである。
(8)制御部101、入力部113、表示部114
入力部113は、ユーザからの入力を受け付け、受け付けた入力を制御部101へ出力する。
制御部101は、処理を開始する際、接続されているICカード400からICカードのIDを受信すると、受信したIDが登録情報のICカードIDと一致するか否かを確認する。一致しない場合は、接続されたICカードが付属のICカードでないことを表示部114に表示し、処理を終了する。一致する場合のみ、以降の処理を継続する。
<再生装置200の登録>
再生装置200から入出力部115を介して登録要求を受け取ると、制御部101は、公開鍵暗号処理部105を制御し、CSIの初期値「0」を用いて後述の方法でSACを確立する。ここで、登録の際の認証に使用する「0」は、再生装置200が、何れのADにも登録されていないことを示す。SACを確立する際の機器認証の結果から、相手機器が未登録であるか否かを判断する。認証相手の機器が保持するCSIの値が「0」である場合、認証に成功し、未登録であると判断する。認証相手の機器が保持するCSIの値が、「0」でない場合、制御部101は、相手の機器が既に何れかのADに登録されていると判断する。
未登録であると判断した場合、登録情報記憶部106から登録情報を読み出し、残数が「0」であるか否かを判断する。残数が「0」でない場合、登録台数が「0」か否かを判断する。登録台数が「0」の場合、CSI生成部107を制御してCSIを生成し、CSI格納部108へ格納する。登録台数が「0」でなかった場合は、CSI格納部108からCSIを読み出し、生成又は読み出したCSIを暗号化部110で暗号化して生成した暗号化CSIを入出力部115を介して、再生装置200へ出力する。再生装置200から、CSIを受け取った事を示す受領通知を受信すると、登録情報の登録台数に「1」を加算し、残数から「1」を減算し、処理を終了する。
機器認証の結果が失敗の場合、相手機器が登録済みである場合及び残数が「0」である場合は、登録できないことを示す登録不可通知を再生装置200へ送信し、処理を終了する。
また、CSI生成部107でCSIを生成する際、ICカード400との間でSACを確立してセッション鍵SKを共有し、セッション鍵SKを用いて生成したCSIに暗号化アルゴリズムEを施して暗号化CSIを生成し、生成した暗号化CSIをICカード400へ送信する。
なお、上記登録処理の認証において、認証相手のクライアント機器のCSIが、CSI格納部108に格納しているCSIと一致するか否かを確認することによって、AD内サーバ100が管理するADに登録済みか否かを判断しても良い。クライアント機器の保持するCSIが、CSI格納部108に格納しているCSIと一致する場合、クライアント機器に対して、既にAD内サーバ100に登録している旨を通知した後、登録の処理を終了するとしても良い。
また、クライアント機器が保持するCSIが、「0」でなく、CSI格納部108に格納しているCSIと異なる場合、他のADに登録されていると判断する。クライアント機器が他のADに登録されていると判断する場合、上記登録不可通知を送信後、登録の処理を終了するとしても良い。また、他のADに登録済みであることを通知し、更にAD内サーバ100への登録を続行するかを尋ね、続行する場合は、上記登録の処理を続行して、CSI格納部108に格納しているCSIを送信するとしても良い。この場合、クライアント機器は、AD内サーバ100からCSIを受信すると、他のADのCSIに、受信したCSIを上書きする。
また、上記登録処理の認証において、クライアント機器を不正な機器でないと判断した場合、クライアント機器が保持するCSIが如何なる値であっても登録処理を行い、CSIを送信するとしても良い。
<車載機器300の登録>
(a)既にIDを確認済みのICカード400が接続された状態で、入力部113から、CSIをコピーする旨の入力を受け付けると、制御部101は、残数が「0」か否かを判断し、「0」でなければ、ICカード400に、CSIのコピーを1回許可することを示す許可権利を送信する。制御部101は、ICカード400から受領通知を受け取ると、処理を終了する。
残数が「0」の場合は、表示部114にコピーできない旨を表示し、処理を終了する。
(b)ICカード400が接続され、IDを確認し、CSIをコピーしたことを示すコピー通知を受け取ると、コピー通知に含まれる、CSIのコピー先のIDを抽出し、登録情報に機器IDとして記憶する。また、ICカード400へ、コピー先のIDを受け取ったことを示す受領通知を送信する。
なお、ここでは、既にCSIが生成されているものとして説明したが、CSIが生成されていない場合は、前述の再生装置200を登録する際と同様に生成してICカード400へ送信する。
<コンテンツ配布>
入出力部115を介して再生装置200からコンテンツの配送要求を受信すると、制御部101は公開鍵暗号処理部105を制御して後述の方法でSACを確立し、セッション鍵SKを共有する。このSAC確立の際の認証では、CSI格納部108が格納しているCSIを用いるため、認証に成功した場合、相手機器はAD内サーバ100が生成したCSIを保持しているので、登録済みであると判断し、認証に失敗した場合、AD内サーバ100に登録されていないと判断する。
認証に失敗した場合、コンテンツを配送できないことを示す配送不可通知を再生装置200へ送信する。
認証に成功した場合、復号部117を制御して、コンテンツ鍵格納部118に格納している暗号化コンテンツ鍵aを復号する。次に暗号化部119を制御して、セッション鍵SKを用いてコンテンツ鍵を暗号化して暗号化コンテンツ鍵sを生成させ、再生装置200へ送信する。また、コンテンツ格納部109から暗号化コンテンツを読み出し、再生装置200へ送信する。
<コンテンツをDVDに記録>
入力部113からコンテンツをDVD500に記録する旨の入力を受け付けると、復号部117を制御してコンテンツ鍵格納部118に格納している暗号化コンテンツ鍵aを復号させてコンテンツ鍵を生成させる。次に、暗号化部119を制御して登録情報に登録しているID#2及びID#3をそれぞれ用いて生成した暗号鍵b及び暗号鍵cを用いてコンテンツ鍵を暗号化して暗号化コンテンツ鍵b及び暗号化コンテンツ鍵cを生成し、生成した暗号化コンテンツ鍵b及びcをDVD500へ書き込む。また、コンテンツ格納部109から暗号化コンテンツを読み出し、DVD500へ書き込む。
なお、DVD500に固有のIDを基にして生成した暗号化鍵又はDVD500に固有のID及びCSIを基にして生成した暗号化鍵を用いて、コンテンツ鍵を暗号化するとしても良い。
<脱退>
再生装置200からID#2を含む脱退要求を受け取ると、公開鍵暗号処理部105を制御して後述の方法でSACを確立する。この際、CSI格納部108に格納しているCSIを用いて認証を行う。SAC確立の際の認証結果から、要求元の機器が登録済みであるか否かを判断し、未登録の場合脱退できないので、再生装置200へ未登録であることを示す未登録通知を送信する。
登録済みの場合、再生装置200へCSIを削除することを示す削除通知を送信する。再生装置200からCSIの削除が完了したことを示す完了通知を受信すると、登録情報の機器IDからID#2を削除し、登録台数から「1」減算し、残数に「1」を加算する。
1.2 再生装置200の構成
再生装置200は、図4に示すように、制御部201、秘密鍵格納部202、公開鍵証明書格納部203、CRL格納部204、公開鍵暗号処理部205、CSI格納部208、コンテンツ格納部209、ID格納部211、入力部213、入出力部215、復号部217、暗号化部218、コンテンツ鍵格納部219、復号部220及び再生部221から構成される。再生部221には、モニタ251及びスピーカ252が接続されている。
再生装置200は、AD内サーバ100と同様のコンピュータシステムであり、RAM又はハードディスクユニットには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、再生装置200は、その機能を達成する。
(1)入出力部215
入出力部215は、AD内サーバ100とデータの送受信を行う。
(2)秘密鍵格納部202、公開鍵証明書格納部203、CRL格納部204、CSI格納部208、ID格納部211
CRL格納部204は、最新のCRLを格納している。
ID格納部211は、再生装置200に固有のIDであるID#2を記憶している。
CSI格納部208は、耐タンパ領域であり、未登録であることを示す「0」を格納している。AD内サーバ100に登録されると、AD内サーバ100より取得したCSIを格納する。
公開鍵証明書格納部203は、CAより発行された公開鍵証明書Cert#2を格納する。この公開鍵証明書Cert#2は、再生装置200の公開鍵PK#2及び再生装置200のID#2と、それらに対するCAの署名データSig#CA2とを含む。
秘密鍵格納部202は、耐タンパ領域であり、再生装置200の公開鍵PK#2と対応する秘密鍵SK#2を格納する。
(3)公開鍵暗号処理部205
公開鍵暗号処理部205は、AD内サーバ100と通信する際に、後述の方法でSACを確立し、セッション鍵SKを共有する。共有したセッション鍵SKを、復号部217へ出力する。
(4)復号部217、復号部220
復号部217は、AD内サーバ100からコンテンツを配送される際、公開鍵暗号処理部205で共有したセッション鍵SKを用いて、AD内サーバ100より配信された暗号化コンテンツ鍵sに、復号アルゴリズムDを施してコンテンツ鍵を生成する。ここで、復号アルゴリズムDとは、暗号化アルゴリズムEと逆の処理を行う。
また、一旦格納したコンテンツを再生する際、ID格納部211からID#2を読み出し、CSI格納部208からCSIを読み出し、ID#2及びCSIをこの順で連結して復号鍵bを生成する。生成した復号鍵bを用いて、コンテンツ鍵格納部219から読み出した暗号化コンテンツ鍵bに、復号アルゴリズムDを施してコンテンツ鍵を生成し、生成したコンテンツ鍵を復号部220へ出力する。
復号部220は、コンテンツ格納部209に格納されている暗号化コンテンツを読み出し、復号部217から受け取るコンテンツ鍵を用いて、読み出した暗号化コンテンツに復号アルゴリズムDを施してコンテンツを生成し、生成したコンテンツを再生部221へ出力する。
(5)暗号化部218
暗号化部218は、AD内サーバ100から取得したコンテンツを格納する際、ID格納部211からID#2を読み出し、CSI格納部208からCSIを読み出す。ID#2及びCSIをこの順で連結して暗号鍵bを生成し、生成した暗号鍵bを用いて復号部217から受け取るコンテンツ鍵に暗号化アルゴリズムEを施して暗号化コンテンツ鍵bを生成し、生成した暗号化コンテンツ鍵bをコンテンツ鍵格納部219に出力する。
(6)コンテンツ格納部209、コンテンツ鍵格納部219
コンテンツ格納部209は、AD内サーバ100から送信される暗号化コンテンツを格納する。
コンテンツ鍵格納部219は、暗号化部218で暗号化された暗号化コンテンツ鍵bを格納する。
(7)制御部201、入力部213
<登録>
入力部213が登録処理を開始する旨の入力を受け付けると、制御部201は、ID格納部211からID#2を読み出し、ID#2を含めた登録要求を、入出力部215を介して、AD内サーバ100へ送信し、後述の方法でSACを確立する。
制御部201は、AD内サーバ100から、登録不可通知を受信すると、モニタ251に登録できない旨を表示し、登録の処理を終了する。
制御部201は、AD内サーバ100から暗号化CSIを受信すると、復号部217を制御して復号させてCSIを生成し、生成したCSIをCSI格納部208に格納する。また、CSIを受領したことを示す受領通知をAD内サーバ100へ送信する。
<コンテンツの配送>
入力部213がコンテンツを取得して再生する旨の入力を受け付けると、制御部201は、配送要求をAD内サーバ100へ送信する。
制御部201は、AD内サーバ100から配送不可通知を受信すると、モニタ251に配送できない旨を表示し、処理を終了する。
受信したコンテンツを再生する場合、制御部201は、AD内サーバ100から暗号化コンテンツ鍵sを受信すると、復号部217を制御して復号させてコンテンツ鍵を生成させる。また、AD内サーバ100から暗号化コンテンツを受信すると、復号部220を制御し、暗号化コンテンツを復号してコンテンツを生成させ、再生部221にコンテンツを再生させる。
<コンテンツを蓄積してから再生>
入力部213がコンテンツを取得して蓄積する旨の入力を受け付けると、制御部201は、上記と同様に処理してコンテンツを取得する。コンテンツを取得すると、制御部201は、AD内サーバ100から受信した暗号化コンテンツ鍵sを復号部217に復号させ、復号したコンテンツ鍵を暗号化部218を制御して暗号化させ、暗号化コンテンツ鍵bとしてコンテンツ鍵格納部219に格納する。また、AD内サーバ100から暗号化コンテンツを受信すると、コンテンツ格納部209に格納する。
入力部213がコンテンツ格納部209に格納したコンテンツを再生する旨の入力を受け付けると、制御部201は、復号部217を制御して暗号化コンテンツ鍵bを復号させ、復号部220に暗号化コンテンツを復号させてコンテンツを生成し、再生部221にコンテンツを再生させる。
<脱退>
入力部213が脱退処理を開始する旨の入力を受け付けると、制御部101は、後述の方法でSACを確立する。
制御部201は、AD内サーバ100から未登録通知を受信すると、AD内サーバ100に登録されていないことをモニタ251に表示して処理を終了する。
制御部201は、AD内サーバ100から削除通知を受信すると、CSI格納部208に格納しているCSIを削除し、未登録を示す「0」を格納する。また、削除が完了したことをAD内サーバ100に通知する削除完了通知を送信する。
(8)再生部221
再生部221は、復号部220から受け取るコンテンツから映像信号を生成し、生成した映像信号をモニタ251へ出力する。また、受け取ったコンテンツから音声信号を生成し、生成した音声信号をスピーカ252へ出力する。
1.3 車載機器300の構成
車載機器300は図5に示すように、制御部301、秘密鍵格納部302、公開鍵証明書格納部303、CRL格納部304、公開鍵暗号処理部305、CSI格納部308、ID格納部311、ドライブ部312、入力部313、入出力部316、復号部317,318,320、再生部321、モニタ322及びスピーカ323から構成される。
車載機器300は、AD内サーバ100と同様のコンピュータシステムであり、RAM又はハードディスクユニットには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、車載機器300は、その機能を達成する。
(1)ドライブ部312、入出力部316
ドライブ部312は、DVD500から暗号化コンテンツ鍵cを読み出し、復号部318へ出力する。また、暗号化コンテンツを読み出し、復号部320へ出力する。
入出力部316は、制御部301の制御の基、ICカード400とデータの送受信を行う。
(2)秘密鍵格納部302、公開鍵証明書格納部303、CRL格納部304、CSI格納部308、ID格納部311
CRL格納部304は、最新のCRLを格納する。
ID格納部311は、車載機器300に固有のIDであるID#3を記憶している。
CSI格納部308は、耐タンパ領域であり、未登録を示す「0」を格納している。ICカード400から、AD内サーバ100により生成されたCSIを受け取ると、受け取ったCSIを格納する。
公開鍵証明書格納部303は、CAより発行された公開鍵証明書Cert#3を格納する。この公開鍵証明書Cert#3は、車載機器300の公開鍵PK#3及びID#3と、それらに対するCAの署名データSig#CA3とを含む。
秘密鍵格納部302は、耐タンパ領域であり、公開鍵PK#3と対応する秘密鍵SK#3を格納している。
(3)公開鍵暗号処理部305
公開鍵暗号処理部305は、制御部301の制御の基、ICカード400と認証を行い、後述の方法でSACを確立する。また、この際に共有したセッション鍵SKを復号部317へ出力する。
(4)復号部317,318,320
復号部317は、制御部301の制御の基、ICカード400から暗号化CSIを受け取ると、公開鍵暗号処理部305から受け取るセッション鍵SKを用いて、暗号化CSIに復号アルゴリズムDを施してCSIを生成し、生成したCSIをCSI格納部308へ出力する。
復号部318は、コンテンツを再生する際、ドライブ部から暗号化コンテンツ鍵cを受け取ると、ID格納部311からID#3を読み出し、CSI格納部308からCSIを読み出す。読み出したID#3及びCSIをこの順で連結して復号鍵cを生成する。復号鍵cを用いて暗号化コンテンツ鍵cに復号アルゴリズムDを施してコンテンツ鍵を生成し、生成したコンテンツ鍵を復号部320へ出力する。
復号部320は、ドライブ部312から暗号化コンテンツを受け取り、復号部318からコンテンツ鍵を受け取る。受け取ったコンテンツ鍵を用いて暗号化コンテンツに復号アルゴリズムDを施してコンテンツを生成し、生成したコンテンツを再生部321へ出力する。
(5)制御部301、入力部313
制御部301は、ICカード400が接続されると、SACを確立する。この際、CSI格納部308に格納されている「0」をCSIとして用いる。機器認証に失敗した場合、処理を終了する。また、ICカード400から登録済通知を受け取った場合、登録済みであることをモニタ322に表示して処理を終了する。制御部301は、入出力部316を介してICカード400から暗号化CSIを受け取ると、復号部317を制御して復号させてCSIを生成し、生成したCSIをCSI格納部308に格納する。また、CSIを受領したことを示す受領通知をICカード400へ送信する。
なお、車載機器300から他の機器へのCSIのコピーは行わない。
制御部301は、入力部313からDVD500に記録されているコンテンツを視聴する旨の入力を受け付けると、ドライブ部312を制御してDVD500から暗号化コンテンツ鍵c及び暗号化コンテンツを読み出す。復号部318で暗号化コンテンツ鍵cを復号させてコンテンツ鍵を生成させ、復号部320で暗号化コンテンツを復号させてコンテンツを生成させる。また、再生部321を制御してコンテンツを再生させる。
(6)再生部321、モニタ322、スピーカ323
再生部321は、受け取ったコンテンツから映像信号を生成してモニタ322へ出力し、音声信号を生成してスピーカ323へ出力し、コンテンツを再生する。
1.4 ICカード400の構成
ICカード400は図6に示すように、制御部401、秘密鍵格納部402、公開鍵証明書格納部403、CRL格納部404、公開鍵暗号処理部405、CSI格納部408、ID格納部411、入出力部416、復号部417、暗号化部418及びID記憶部420から構成される。
ICカード400は、AD内サーバ100及び車載機器300に接続可能である。車載機器300のような、AD内サーバ100と接続できない機器をAD内の機器として登録する際に用いる。
(1)秘密鍵格納部402、公開鍵証明書格納部403、CRL格納部404、CSI格納部408、ID格納部411、ID記憶部420
CRL格納部404は、最新のCRLを格納する。
ID格納部411は、ICカード400に固有のIDであるID#4を記憶している。
CSI格納部408は、耐タンパ領域であり、AD内サーバ100にクライアント機器が登録されていない場合、未登録を示す「0」を格納している。AD内サーバ100によりCSIが生成されると、AD内サーバ100より取得したCSIと、コピー回数である「0」とを対応付けて記憶する。ここで、コピー回数とは、他のクライアント機器へCSIを通知することを許可された回数である。
公開鍵証明書格納部403は、CAより発行された公開鍵証明書Cert#4を格納する。この公開鍵証明書Cert#4は、ICカード400の公開鍵PK#4及びID#4と、それらに対するCAの署名データSig#CA4とを含む。
秘密鍵格納部402は、耐タンパ領域であり、公開鍵PK#4と対応する秘密鍵SK#4を格納している。
ID記憶部420は、CSIのコピー先のIDを記憶する領域である。
(2)公開鍵暗号処理部405
公開鍵暗号処理部405は、制御部401の制御の基、AD内サーバ100とSACを確立し、セッション鍵SKを共有し、共有したセッション鍵SKを復号部417へ出力する。
また、車載機器300との間にSACを確立してセッション鍵SKを共有し、共有したセッション鍵SKを暗号化部418へ出力する。
(3)復号部417
復号部417は、入出力部416を介して暗号化CSIを受け取ると、制御部401の制御の基、公開鍵暗号処理部405から受け取るセッション鍵SKを用いて暗号化CSIに復号アルゴリズムDを施してCSIを生成する。生成したCSIをCSI格納部408へ格納する。
(4)暗号化部418
暗号化部418は、制御部401の制御の基、CSI格納部408からCSIを読み出し、公開鍵暗号処理部405からセッション鍵SKを受け取り、セッション鍵SKを用いてCSIに暗号化アルゴリズムEを施して暗号化CSIを生成し、生成した暗号化CSIを車載機器300へ送信する。
(5)制御部401、入出力部416
AD内サーバ100に接続されると、制御部401は、ID格納部411からID#4を読み出し、読み出したID#4をAD内サーバ100へ送信する。
AD内サーバ100からCSIを受け取る際、制御部401は、公開鍵暗号処理部405を制御してAD内サーバ100との間にSACを確立してセッション鍵SKを共有し、暗号化CSIを受信すると、復号部417で復号させてCSIを生成し、CSI格納部408にCSIを格納する。
車載機器300を登録する際、制御部401は、AD内サーバ100から許可権利を受信すると、CSIと対応付けて格納しているコピー回数に「1」を加算し、AD内サーバ100に、受領通知を送信する。
車載機器300に接続されると、公開鍵暗号処理部405を制御してSACを確立し、セッション鍵SKを共有する。この際、CSIとして初期値「0」を用いて認証を行い、認証結果から、車載機器300が未登録であるか否かを判断する。認証が失敗の場合、登録済みであると判断し、登録済通知を送信し、処理を終了する。認証か成功の場合、未登録であると判断し、認証の際に受け取る、車載機器300のID#3をID記憶部420に記憶する。制御部401は、CSI格納部408に格納しているCSIを読み出し、暗号化部418で暗号化して暗号化CSIを生成し、車載機器300へ送信する。制御部401は、車載機器300から受領通知を受け取ると、コピー回数から「1」減算し、処理を終了する。
制御部401は、AD内サーバ100に接続されると、ID格納部411からID#4を読み出してAD内サーバ100へ送信する。また、ID記憶部420からCSIのコピー先のIDを読み出し、読み出したIDを含むコピー通知をAD内サーバ100へ送信する。AD内サーバ100から受領通知を受け取ると、処理を終了する。
2.グループ形成管理システム1の動作
2.1 SACの動作
SACを確立する際の動作について、図7,8を用いて説明する。
なお、このSACの確立方法は、AD内サーバ100、再生装置200、車載機器300及びICカード400の何れの機器同士の認証にも利用するため、ここでは認証を行う機器を、機器A及び機器Bと称する。また、認証で使用するCSIは、未登録を示す「0」の場合と、AD内サーバ100が生成した値の場合とが有るが、ここでは全てCSIとして説明する。
ここで、Gen()を鍵生成関数とし、Yを、システム固有のパラメータとする。また、鍵生成関数Gen()は、Gen(x、Gen(y,z))=Gen(y,Gen(x,z))の関係を満たすものとする。なお、鍵生成関数は、任意の公知技術で実現可能なため、その詳細についてここでは言及しない。その一例として、文献(1)池野信一、小山謙二、「現代暗号理論」、電気通信学会にディフィーへルマン(DH)型公開鍵配送法が開示されている。
機器Aは、公開鍵証明書Cert#Aを読み出し(ステップS11)、機器Bへ送信する(ステップS12)。
公開鍵証明書Cert#Aを受け取った機器Bは、CAの公開鍵PK#CAを用いて、公開鍵証明書Cert#Aに含まれる署名データSig#CAに対して、署名検証アルゴリズムVを施して署名検証する(ステップS13)。検証結果が失敗の場合(ステップS14でNO)、処理を終了する。検証結果が成功の場合(ステップS14でYES)、CRLを読み出し(ステップS15)、公開鍵証明書Cert#Aに含まれて受け取ったID#AがCRLに登録されているか否かを判断する(ステップS16)。登録されていると判断する場合(ステップS16でYES)、処理を終了する。登録されていないと判断する場合(ステップS16でNO)、機器Bの公開鍵証明書Cert#Bを読み出し(ステップS17)、機器Aへ送信する(ステップS18)。
機器Aは、公開鍵証明書Cert#Bを受け取ると、公開鍵PK#CAを用いて公開鍵証明書Cert#Bに含まれる署名データSig#CAに対して、署名検証アルゴリズムVを施して署名検証する(ステップS19)。検証結果が失敗の場合(ステップS20でNO)、処理を終了する。検証結果が成功の場合(ステップS20YES)、CRLを読み出し(ステップS21)、公開鍵証明書Cert#Bに含まれて受け取ったID#BがCRLに登録されているか否かを判断する(ステップS22)。登録されていると判断する場合(ステップS22でYES)、処理を終了する。登録されていないと判断する場合(ステップS22でNO)、処理を継続する。
機器Bは、乱数Cha#Bを生成し(ステップS23)、機器Aへ送信する(ステップS24)。
機器Aは、乱数Cha#Bを受け取ると、Cha#BとCSIとをこの順で連結してCha_B||CSIを生成し(ステップS25)、生成したCha_B||CSIに、機器Aの秘密鍵SK#Aを用いて署名生成アルゴリズムSを施して署名データSig#Aを生成し(ステップS26)、生成した署名データSig#Aを機器Bへ送信する(ステップS27)。
機器Bは、署名データSig#Aを受け取ると、ステップS12でCert#Aに含んで受け取ったPK#Aを用いて受け取った署名データSig#Aに署名検証アルゴリズムVを施して署名検証し(ステップS28)、検証結果が失敗の場合は(ステップS29でNO)、処理を終了し、成功の場合(ステップS29でYES)は処理を継続する。
機器Aは、乱数Cha#Aを生成し(ステップS30)、機器Bへ送信する(ステップS31)。
機器Bは、受け取ったCha#AとCSIとをこの順で連結してCha#A||CSIを生成し(ステップS32)、生成したCha#A||CSIに、機器Bの秘密鍵SK#Bを用いて署名生成アルゴリズムSを施して署名データSig#Bを生成し(ステップS33)、生成した署名データSig#Bを機器Aへ送信する(ステップS34)。
機器Aは、署名データSig#Bを受け取ると、ステップS18でCert#Bに含んで受け取ったPK#Bを用いて署名データSig#Bに署名検証アルゴリズムVを施して署名検証し(ステップS35)、検証結果が失敗の場合(ステップS36でNO)、処理を終了する。成功の場合(ステップS36でYES)、乱数「a」を生成し(ステップS37)、生成した「a」を用いてKey#A=Gen(a,Y)を生成し(ステップS38)、生成したKey#Aを機器Bへ送信する(ステップS39)。
機器Bは、Key#Aを受け取ると、乱数「b」を生成し(ステップS40)、生成した乱数「b」を用いてKey#B=Gen(b,Y)を生成する(ステップS41)。生成したKey#Bを機器Aへ送信する(ステップS42)。また、生成した乱数「b」と、受け取ったKey#Aとを用いて、Key#AB=Gen(b,Key#A)=Gen(b,Gen(a,Y))を生成し(ステップS43)、Key#ABと、CSIとを用いてセッション鍵SK=Gen(CSI,Key#AB)を生成する(ステップS44)。
機器Aは、Key#Bを受け取ると、生成した乱数「a」と受け取ったKey#BとからKey#AB=Gen(a,Key#B)=Gen(a,Gen(b,y))を生成し(ステップS45)、生成したKey#ABとCSIとを用いて、セッション鍵SK=Gen(CSI,Key#AB)を生成する(ステップS46)。
2.2 再生装置200登録の動作
AD内サーバ100に、再生装置200を登録する際の動作を図9を用いて説明する。
なお、AD内サーバ100は、ICカード400が接続され、ICカード400が付属のICカードであるかを既に確認している。
再生装置200は、入力部213から登録処理を開始する旨の入力を受け付けると(ステップS51)、ID格納部211からID#2を読み出し(ステップS52)、ID#2を含めて登録要求をAD内サーバ100へ送信する(ステップS53)。
AD内サーバ100を機器Aとし、再生装置200を機器Bとして、前述の方法でSACを確立する(ステップS54)。この際、AD内サーバ100は、CSIとして「0」を使用し、再生装置200は、CSI格納部208に格納しているCSIを使用する。
AD内サーバ100は、ステップS35の署名検証で、CSIとして「0」を用いて署名検証するので、検証結果が成功の場合は未登録であると判断し、失敗の場合は、登録済みであると判断する。再生装置200が未登録であると判断する場合、登録情報を読み出し(ステップS55)、残数が「0」か否かを判断する(ステップS56)。「0」である場合(ステップS56でYES)、登録不可通知を再生装置200へ送信する(ステップS57)。残数が「0」でない場合(ステップS56でNO)、登録台数が「0」であるか否かを判断する(ステップS58)。「0」である場合(ステップS58でYES)、CSI生成部107でCSIを生成する(ステップS59)。登録台数が「0」でない場合(ステップS58でNO)、CSI格納部108からCSIを読み出す(ステップS60)。生成又は読み出したCSIに、暗号化部119でセッション鍵SKを用いて暗号化アルゴリズムEを施して暗号化して暗号化CSIを生成し(ステップS61)、暗号化CSIを再生装置200へ送信する(ステップS62)。
再生装置200は、登録不可通知を受信した場合、登録できないことをモニタ251に表示し(ステップS63)、処理を終了する。暗号化CSIを受信した場合、復号部217で暗号化CSIを復号してCSIを生成し(ステップS64)、CSI格納部208に格納する(ステップS65)。また、AD内サーバ100に受領通知を送信する(ステップS66)。
再生装置200から受領通知を受信すると、登録情報の機器IDに、ID#2を書き込み、登録台数に「1」を加算し、残数から「1」を減算する(ステップS67)。
2.3 車載機器300登録の動作
(1)AD内サーバ100からICカード400にCSIのコピーを許可する際の動作について、図10を用いて説明する。
ICカード400がAD内サーバ100に接続されると、ICカード400は、ID格納部411からID#4を読み出し(ステップS71)、AD内サーバ100にID#4を送信する(ステップS72)。
AD内サーバ100は、ID#4を受信すると、登録情報からICカードIDを読み出し(ステップS73)、受信したIDと読み出したIDとが一致するか否かを判断する(ステップS74)。一致しない場合(ステップS74でNO)、接続されたICカードが付属のICカードでないことを表示部114に表示し(ステップS75)、処理を終了する。一致する場合(ステップS74でYES)、処理を継続する。このように、接続されたICカードが付属のICカードであるか確認し、確認が済むと入力を受け付けるまで待機する。
入力部113が、ICカード400にCSIを記録する旨の入力を受け付けると(ステップS76)、制御部101は、登録情報記憶部106から残数を読み出して(ステップS77)、残数が「0」か否かを判断し(ステップS78)、「0」である場合は(ステップS78でYES)、登録出来ないことを表示部114に表示する(ステップS79)。残数が「0」でない場合(ステップS78でNO)、ICカード400にCSIのコピーを1回許可する許可権利を送信する(ステップS80)。
ICカード400は、AD内サーバ100から許可権利を受信すると、コピー回数に「1」を加算し(ステップS81)、AD内サーバ100に受領通知を送信する(ステップS82)。
AD内サーバ100は、受領通知を受信すると、登録情報の登録台数に「1」を加算し、残数から「1」を減算し(ステップS83)、処理を終了する。
(2)ICカード400から車載機器300にCSIをコピーする際の動作について、図11を用いて説明する。
ICカード400が車載機器300に接続されると、ステップS71〜75の処理を行い、ICカードIDを確信する。また、ICカード400を機器Aとして、車載機器300を機器BとしてSACの確立処理を行い、セッション鍵SKを共有する(ステップS91)。この際、ICカード400はCSIの初期値である「0」を用いて認証を行い、車載機器300は、CSI格納部308に格納している値を用いて認証を行う。
ICカード400の制御部401は、ステップS35の署名検証で、CSIとして「0」を用いて署名検証するので、検証結果が成功の場合は未登録であると判断し、失敗の場合は、登録済みであると判断する。登録済みと判断する場合(ステップS92でNO)、車載機器300へ登録不可通知を送信し(ステップS93)、処理を終了する。未登録であると判断する場合(ステップS92でYES)、ステップS18で受け取る、車載機器300のID#3をID記憶部420に記憶する(ステップS94)。暗号化部418は、公開鍵暗号処理部405からセッション鍵SKを受け取ると、CSI格納部408からCSIを読み出す(ステップS95)。セッション鍵SKを用いてCSIを暗号化して暗号化CSIを生成し(ステップS96)、生成した暗号化CSIを入出力部416を介して車載機器300へ送信する(ステップS97)。
車載機器300の制御部301は、ICカード400から登録不可通知を受け取った場合、登録済みであることをモニタ322に表示し(ステップS98)、登録処理を終了する。ICカード400から暗号化CSIを受信した場合、復号部317は公開鍵暗号処理部305からセッション鍵SKを受け取り、セッション鍵SKを用いて暗号化CSIを復号してCSIを生成し(ステップS99)、生成したCSIをCSI格納部308へ格納する(ステップS100)。また、受領通知をICカード400へ送信する(ステップS101)。
ICカード400は、車載機器300から受領通知を受信すると、コピー回数から「1」を減算し(ステップS102)、処理を終了する。
(3)CSIをコピーしたことをAD内サーバ100に通知する際の動作
ICカード400がAD内サーバ100に接続されると、AD内サーバ100は、ICカード400のIDを確認して付属のICカードであるか確認し、確認が済むと入力を受け付けるまで待機する。
ICカード400は、ID記憶部420からコピー先のIDであるID#3を読み出し、ID#3を含むコピー通知をAD内サーバ100へ送信する。
AD内サーバ100は、コピー通知を受信すると、コピー通知に含まれるID#3を、登録情報に機器IDとして記憶する。また、ICカード400へ、受領通知を送信し、処理を終了する。
ICカード400は、AD内サーバ100から受領通知を受信すると、処理を終了する。
2.4 コンテンツ配送の動作1
AD内サーバ100から再生装置200へコンテンツを配信し、再生する際の動作を、図12を用いて説明する。
再生装置200は、入力部213からコンテンツを取得する旨の入力を受け付けると(ステップS121)、AD内サーバ100へコンテンツの配送要求を送信する(ステップS122)。
AD内サーバ100及び再生装置200は、SACを確立する(ステップS123)。この際、それぞれCSI格納部に格納しているCSIを用いて認証を行う。
AD内サーバ100は、ステップS35の処理で、再生装置200が同一AD内の機器であることを確認する。
認証が失敗の場合(ステップS124でNO)、AD内サーバ100は、再生装置200へ配送不可通知を送信し(ステップS125)、処理を終了する。認証が成功の場合(ステップS124でYES)、AD内サーバ100は、コンテンツ鍵格納部118から暗号化コンテンツ鍵aを読み出し(ステップS126)、復号部117で復号し(ステップS127)、更に、暗号化部110にて、認証の際に共有したセッション鍵SKを用いて暗号化して暗号化コンテンツ鍵sを生成し(ステップS128)、生成した暗号化コンテンツ鍵sを再生装置200へ送信する(ステップS129)。また、コンテンツ格納部109から暗号化コンテンツを読み出し(ステップS130)、再生装置200へ送信する(ステップS131)。
再生装置200は、配送不可通知を受信した場合、モニタ251に配送できない旨を表示し(ステップS132)、処理を終了する。暗号化コンテンツ鍵sを受信した場合、セッション鍵SKを用いて復号部217にて復号してコンテンツ鍵を生成し(ステップS133)、生成したコンテンツ鍵を復号部220へ出力する。復号部220は、復号部217から受け取ったコンテンツ鍵を用いて、AD内サーバ100から受け取る暗号化コンテンツに復号アルゴリズムDを施してコンテンツを生成し(ステップS134)、再生部221へ出力する。再生部221は、受け取ったコンテンツから映像信号及び音声信号を生成してモニタ251及びスピーカ252へ出力し、コンテンツを再生する(ステップS135)。
2.5 コンテンツ配送の動作2
AD内サーバ100から受信したコンテンツを、再生装置200内に一旦蓄積してから再生する際の動作を、図13を用いて説明する。
ステップS121からステップS130までは同様の処理を行う。
復号部217は、暗号化コンテンツ鍵sを復号してコンテンツ鍵を生成し(ステップS141)、生成したコンテンツ鍵を暗号化部218へ出力する。暗号化部218は、CSI格納部208からCSIを読み出し、ID格納部211からID#2を読み出す(ステップS142)。ID#2及びCSIをこの順で連結してID#2||CSIを生成し(ステップS143)暗号化鍵bとする。生成した暗号化鍵bを用いてコンテンツ鍵を暗号化して暗号化コンテンツ鍵bを生成し(ステップS144)、暗号化コンテンツ鍵bをコンテンツ鍵格納部219へ格納する(ステップS145)。また、AD内サーバ100から暗号化コンテンツを受信すると、コンテンツ格納部209へ格納する(ステップS146)。
入力部213から格納したコンテンツを再生する旨の入力を受け付けると(ステップS147)、復号部217は、コンテンツ鍵格納部219から暗号化コンテンツ鍵bを読み出す(ステップS148)。また、CSI格納部208からCSIを読み出し、ID格納部211からID#2を読み出し(ステップS149)、ID#2及びCSIを連結してID#2||CSIを生成し(ステップS150)、復号鍵とする。生成した復号鍵を用いて暗号化コンテンツ鍵bに復号アルゴリズムDを施してコンテンツ鍵を生成し(ステップS151)、生成したコンテンツ鍵を復号部220へ出力する。復号部220及び再生部221は、ステップS132〜ステップS133の処理を行い、コンテンツを再生する。
2.6 DVDに記録する際の動作
AD内サーバ100でDVD500にコンテンツを書き込む際の動作を、図14を用いて説明する。
AD内サーバ100は、入力部113からコンテンツをDVDに記録する旨の入力を受け付けると(ステップS161)、コンテンツ鍵格納部118から暗号化コンテンツ鍵aを読み出し(ステップS162)、ID格納部111からID#1を読み出し、CSI格納部108からCSIを読み出す(ステップS163)。復号部117は、ID#1とCSIとを連結して復号鍵を生成し(ステップS164)、生成した復号鍵を用いて暗号化コンテンツ鍵aを復号してコンテンツ鍵を生成し(ステップS165)、生成したコンテンツ鍵を暗号化部110へ出力する。暗号化部110は、コンテンツ鍵を受け取ると、登録情報記憶部106から機器IDを読み出し、CSI格納部108からCSIを読み出す(ステップS166)。読み出したID#2とCSIとを連結して暗号鍵bを生成し、ID#3とCSIとを連結して暗号鍵cを生成する(ステップS167)。生成した暗号鍵b及び暗号鍵cをそれぞれ用いてコンテンツ鍵を暗号化して暗号化コンテンツ鍵b及び暗号化コンテンツ鍵cを生成する(ステップS168)。生成した暗号化コンテンツ鍵b及び暗号化コンテンツ鍵cをDVD500に書き込む(ステップS169)。また、コンテンツ格納部109から暗号化コンテンツを読み出し(ステップS170)、DVD500に書き込む(ステップS171)。
2.7 再生装置200脱退の動作
AD内サーバ100から再生装置200が脱退する際の動作を図15を用いて説明する。
なお、AD内サーバ100は、ICカード400が接続され、既にICカードIDを確認している。
再生装置200は、入力部213から脱退する旨の入力を受け付けると(ステップS181)、ID格納部211からID#2を読み出し(ステップS182)、ID#2を含めて脱退要求をAD内サーバ100に送信する(ステップS183)。
AD内サーバ100及び再生装置200は、認証を行い、SACを確立する(ステップS184)。この際、それぞれCSI格納部に格納しているCSIを用いて認証を行う。
AD内サーバ100は、ステップS35の処理で、再生装置200がAD内の機器として登録しているか否かを判断し、未登録の場合(ステップS185でNO)、未登録通知を再生装置200へ送信する(ステップS186)。登録済みの場合は(ステップS185でYES)、CSI削除通知を送信する(ステップS187)。
再生装置200は、未登録通知を受信すると、モニタ322に未登録であることを表示し(ステップS188)、処理を終了する。削除通知を受信すると、CSI格納部208からCSIを削除する(ステップS189)。また、削除完了通知をAD内サーバ100へ送信する(ステップS190)。
AD内サーバ100は、削除完了通知を受信すると、機器IDからID#2を削除し、登録台数から「1」を減算し、残数に「1」を加算する(ステップS191)。
3. その他の変形例
なお、本発明を上記の実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)本実施の形態で、AD内サーバ100と接続されていない機器を登録する際に、ICカード400を用いてCSIをコピーするとしたが、クライアント機器間でCSIを移動するとしても良い。
再生装置200から再生装置200nにCSIを移動し、再生装置200nをAD内機器として登録する際を例として説明する。
再生装置200と再生装置200nとを接続し、再生装置200nを操作して移動通知を再生装置200に送信する。再生装置200及び再生装置200nは、SACを確立してセッション鍵SKを生成する。再生装置200は、セッション鍵SKでCSIを暗号化して再生装置200nへ送信する。再生装置200nは、セッション鍵を用いて暗号化CSIを復号して格納し、SAC確立の際に受け取った移動元である再生装置200のIDを記憶する。また、再生装置200へ受領通知を送信する。再生装置200は、受領通知を受信すると、CSI格納部208のCSIを削除して、「0」を格納する。
再生装置200nは、AD内サーバ100に接続され、SACを確立すると、AD内サーバ100にCSIを移動されたことを通知し、移動元のID及び再生装置200nのIDを送信し、AD内サーバ100は、登録情報の機器IDを書き換える。
(2)ICカード400はAD内サーバ100に付属の機器であるとしたが、付属でなくても良い。
ICカード400も他のクライアント機器と同様に、AD内サーバ100に接続されるとSACを確立し、ID#4を機器IDとして登録し、CSIを取得する。
AD内サーバ100は、DVD500にコンテンツ鍵を記録する際、コンテンツ鍵をICカード400のID#4とCSIとを連結して生成した暗号鍵を用いて暗号化する。
車載機器300は、DVD500が装着され、ICカード400が接続されると、ICカード400との間でSACを確立してセッション鍵を共有する。
ICカード400は、ICカード400内に記憶しているID#4とCSIとを連結して復号鍵を生成し、セッション鍵SKを用いて復号鍵を暗号化して暗号化復号鍵を生成して車載機器300へ送信する。
車載機器300は、暗号化復号鍵をセッション鍵SKを用いて復号して復号鍵を生成し、DVDから読み出す暗号化コンテンツ鍵を復号してコンテンツ鍵を生成し、コンテンツ鍵を用いて暗号化コンテンツを復号してコンテンツを再生する。
また、上記(1)のように、クライアント間でCSIを移動する場合と同様の処理を行い、ICカードから車載機器300にCSIを移動しても良い。この場合、実施の形態1のICカード400と同様に、付属でないICカードに、AD内サーバ100へ移動を通知する機能を持たせても良い。車載機器300にCSIを移動したICカードは、その場でCSIを削除せずに、CSIの移動を禁止し、AD内サーバ100に移動を通知した後にCSIを削除する。
(3)ICカード400を用いてAD内サーバ100に接続されていない機器を登録する場合、ネットワークを介してAD内サーバ100からICカード400に許可権利又はCSIを送信するとしても良い。
一例として、PCなどネットワークに接続して通信する機能を有するクライアント機器に、ICカード400が接続されると、ICカード400は、PCの通信機能を利用して、SAC確立の処理を行い、許可権利又はCSIを受信する。
通信機能を有するクライアント機器は、PCに限らず、PDAや携帯電話などであっても良い。
(4)本実施の形態では、AD内サーバ100からクライアント機器へコンテンツを配送、又はDVDに記録して配布するとしたが、クライアント機器間でSACを確立してセッション鍵SKを生成し、コンテンツを配送するとしても良い。
(5)本実施の形態で、ICカード400を用いて車載機器300を登録するとしたが、同様にICカード400を用いて、脱退の処理を行っても良い。
この場合、ICカード400を接続された車載機器300を操作して、ICカード400へ脱退要求を送信し、ICカード400は、SACを確立して車載機器300が登録済みであることを確認し、車載機器300へ削除通知を送信する。車載機器300は、CSIを削除し、ICカード400へ削除完了通知を送信する。ICカード400は、削除完了通知を受信すると、脱退した車載機器300のIDを記憶する。ICカード400は、AD内サーバ100に接続されると、AD内サーバ100に、車載機器300が脱退した旨と、車載機器300のIDとを通知する。AD内サーバ100は、機器IDから車載機器300のIDを削除し、登録台数から「1」減算し、残数に「1」を加算する。
(6)本実施の形態でAD内サーバ100は、SACを確立する際の署名検証で相手機器が格納しているCSIの値によって、相手機器が未登録であるか登録済みであるかを確認するとしたが、認証する機器からIDを受信し、登録情報の機器IDに、受信したIDが記憶されているか否かによって、未登録か、登録済みかを確認するとしても良い。また、AD内の機器として登録されているクライアント機器全てが、登録されているIDを記憶しておき、クライアント機器間でも同様に、IDによって、登録、未登録を確認するとしても良い。
(7)AD内サーバ100と接続されていない機器を登録する際、ICカード400を用いるとしたが、AD内サーバ100がCSIを表示部114に表示し、それをユーザがクライアント機器に手入力するとしても良い。この場合、入力するコードは、機器やセッションに依存してCSIを暗号化した値であっても良い。
(8)本実施の形態で、SACを確立し、CSIを暗号化して送信する際、暗号文に暗号化CSIを送信する機器の署名データを付加して送信するとしても良い。
(9)本実施の形態で、登録情報及びCSIは、それぞれの機器の内部に格納されるとしたが、着脱可能で、許可なく読み出し、書き込み及びコピーが出来ない領域に格納するとしても良い。
(10)本実施の形態で、コンテンツを暗号化する際の暗号化鍵、又は復号する際の復号鍵として、機器のID及びCSI又は乱数及びCSIを連結して利用するとしたが、この限りではなく、機器のID及びCSI又は乱数及びCSIを用いて演算を行い、その結果得られる値を用いるとしても良い。
(11)本実施の形態では、登録情報として、最大数、登録台数及び残数を管理するとしたが、これに限らない。
最大数を残数の初期値とし、登録する度に残数から「1」ずつ減らし、残数が「0」でなければクライアント機器を登録するとしてもよい。また、最大数と、登録台数とを管理し、登録台数が最大数以下であれば、クライアント機器を登録するとしても良い。
(12)登録情報の機器の台数は、AD内サーバ100とオンラインで接続している機器と、ICカード400を用いて登録する機器とを分けて、最大数、登録台数などを管理しても良い。
(13)本実施の形態では、AD内サーバ100が記憶している登録情報を基に管理しているが、別途管理機関を設け、以下(a)〜(c)のようにしても良い。
(a)管理機関が最大数を設定し、最大数に管理機関の署名データを付して、DVDなどの可搬型の記録媒体に記録して配布、又は通信を介して配布する。AD内サーバ100は、署名データを検証し、検証結果が成功の場合に、最大数として記憶する。
(b)AD内サーバ100は、登録したい台数を管理機関に要求する。管理機関は、台数に応じた課金を行い、課金に成功した場合に、要求した台数の登録を許可する情報をAD内サーバ100へ送信し、AD内サーバ100は情報を受け取ると、許可された台数の範囲内でクライアント機器の登録を受け付ける。
(c)AD内サーバ100は、クライアント機器からの登録を受け付ける度に、管理機関に要求を出し、管理機関は、要求に対して課金を行い、課金に成功すると、登録を許可する。AD内サーバ100は、許可されると、クライアント機器を登録し、CSIを送信する。
(14)再生装置200は、AD内サーバ100から配送されたコンテンツを再生するとしたが、DVD再生機能を有し、AD内サーバ100によってDVD500に記録されたコンテンツを再生するとしても良い。
また、AD内サーバ100は、登録情報に記憶している機器ID全てを、それぞれCSIと連結してコンテンツ鍵の暗号化に用いるとしたが、DVDを再生する機能を有する機器のIDを予め記憶しておき、DVDを再生できる機器のIDを抽出し、それぞれCSIと連結してコンテンツ鍵の暗号化に用いるとしても良い。
(15)本実施の形態では、AD内サーバ100はDVDにコンテンツを記録するとしたが、メモリーカード、MD、MO、CD、BD(Blu-ray Disk)などに記録するとしても良いし、ICカードにコンテンツを記録するとしても良い。
また、クライアント機器は、再生装置の他、記録装置でもよく、それらを組み合わせたものであってもよい。また、クライアント機器は、ユーザ宅内に設置されている又は車両に搭載されている他、ユーザが持ち運ぶことができる携帯型の機器であっても良い。
(16)ICカード400は、AD内サーバ100又は車載機器300に直接接続されるため、SACの確立処理を行わなくても良い。
(17)SAC確立の際、乱数Cha#B又はCha#Aに、CSIを連結したデータに対して署名データ生成するとしたが、署名対象と成るデータのハッシュ値を計算し、このハッシュ値に対して署名データを生成するとしても良い。
(18)SAC確立の際、認証相手の機器が未登録か登録済みかを判断するとき及び鍵共有のときにCSI利用するとしたが、どちらか一方に利用するとしても良い。
また、本実施の形態では双方向に認証を行っているが、片方向認証であっても良い。
(19)クライアント機器の登録を、時間で制限するとしても良い。
AD内サーバ100とクライアント機器との間で時間を合わせる。AD内サーバ100は、CSIの使用を許可する期間を設定して有効期限情報とし、有効期限情報とCSIとをクライアント機器に送信し、登録台数から「1」減算する。
クライアント機器は、有効期限情報及びCSIを受信し、格納する。有効期限情報が示す期間が終了すると、CSIを削除する。
AD内サーバ100は、有効期限情報が示す期間が終了すると、登録台数に「1」を加算する。機器IDを記憶している場合は、期限が切れた機器のIDを削除する。
なお、有効期限情報は、有効期限の開始と終了の日時を示す情報でも良いし、終了の日時のみ示すものであっても良い。また、CSIの使用開始からの期間を制限するものであっても良いし、CSIを使用してクライアント機器が動作している期間を制限するとしても良い。
(20)本実施の形態では、AD内サーバは1つであるとして説明したが、一つのADに複数のAD内サーバがあっても良い。
この場合、クライアント機器は、何れのAD内サーバと通信するかを選択することが出来る。選択方法として、ユーザが設定するとしても良いし、クライアント機器がAD内で、当該クライアントと距離が最短のAD内サーバを選択しても良い。また、AD内サーバのうち、処理能力が高いものや、他のタスクが少ないAD内サーバを選択するとしても良い。
また、以下のように、クライアント機器から登録を要求されたAD内サーバが、それ以上クライアント機器を登録出来ない場合、登録可能な他のAD内サーバを探すとしても良い。
クライアント機器は、1つのAD内サーバに登録要求を送信する。登録要求を受信したAD内サーバは、登録台数が最大数と一致する場合、他のAD内サーバに、クライアント機器を登録できるか問い合わせる。他のAD内サーバは、登録可能である場合、要求元のクライアント機器を登録し、AD内サーバに登録可能である旨を応答し、AD内サーバは、クライアント機器へCSIを送信する。
また、他のAD内サーバが登録できない旨を応答した場合、AD内サーバは、更に他のAD内サーバへ問い合わせる。
また、複数のAD内サーバ間で代表となるAD内サーバを決定し、代表サーバが全てのグループ内機器を管理するとしても良い。この場合、代表で無いAD内サーバがクライアント機器から登録要求を受け付けると、代表サーバに登録可能であるか問い合わせ、登録可能で有る場合、クライアント機器は代表サーバに登録され、代表サーバから要求を受け付けたAD内サーバを介してCSIを受け取る。
なお、要求を受け付けたAD内サーバが、他の処理を行っている場合などに、他のAD内サーバへ問い合わせるとしても良い。
また、以下(a)、(b)のように、複数のAD内サーバ間で、登録した機器の台数を管理するために、登録した機器に関するリストを共有するとしても良い。
(a)同一AD内のAD内サーバR及びAD内サーバSはそれぞれ、クライアント機器を登録すると、登録した機器のIDを機器リストとして記憶する。また、IDを書き込むことでリストが更新される度に、バージョン番号を機器リストに対応付けて記憶する。
AD内サーバR及びSは、定期的又は不定期に前記機器リストを交換する。AD内サーバRは、自分が記憶している機器リストのバージョン番号と、AD内サーバSから受け取った機器リストのバージョン番号とを比較し、より新しい方を機器リストとして記憶する。AD内サーバSも同様に処理する。これにより、常に最新の機器リストを共有することが出来る。
なお、一方のAD内サーバの機器リストが更新されるたびに機器リストを交換するとしても良い。また、機器リストだけでなく、登録台数、最大数など、登録情報も、上記と同様に共有するとしても良い。
(b)同一AD内のAD内サーバT及びAD内サーバUはそれぞれ機器リストT及び機器リストUを保持しており、それぞれクライアント機器を登録する際、機器IDと登録した時刻とを対応付けて格納する。AD内サーバT及びAD内サーバUは、定期的又は不定期に機器リストを交換する。
AD内サーバTは、自分が登録情報として記憶している登録台数が最大数より少なければ、AD内サーバUから受け取った機器リストUに、新しく登録されたクライアント機器を、登録された順に、自分が保持している機器リストTに書き込む。また、AD内サーバUも同様に、機器リストTを受け取り、新しく登録された順に機器リストUを更新する。
なお、予めクライアント機器に優先順位を付しておき、優先順位が高い機器を優先的に登録するとしても良い。また、AD内サーバT及びUに新しく登録されたクライアント機器を合わせると最大数を超える場合、優先順位の高い機器を優先的に登録するとしても良いし、ユーザが登録する機器を選択しても良い。
この方法によると、一方のAD内サーバが電源を切っていても、他方のAD内サーバに登録でき、他方のAD内サーバが更新されると、機器リストを交換して整合性を保つので、AD内サーバ間で同一の機器リストを共有することが出来る。
(21)各ADのCSIの重複を回避するために、それぞれのADを管理するAD内サーバ間で情報を交換して、重複しているか否かを確認するとしても良い。
また、安全性を高めるために、AD内サーバは、それぞれのCSIをハッシュ関数に入力してハッシュ値を算出し、ハッシュ値を交換して重複しているか確認するとしても良い。
また、AD内サーバがCSIを生成する代わりに、管理機関を設けて、管理機関が全てのADのCSIを重複しないように生成し、各AD内サーバに安全に送付するとしても良い。
(22)クライアント機器は複数のADに属するようにしてもよい。
また、クライアント機器が、格納できるCSIの数を制限することで、登録出来るADの数を制限するとしても良い。また、各AD内サーバが登録されているクライアント機器のリスト情報を交換して、1つのクライアント機器が登録できるADの個数を制限する構成であっても良い。また、リスト情報の交換により、クライアント機器がいくつのADに属しているかを確認することが出来る。
別途、クライアント機器が登録しているADの数を管理する管理機関を設けても良い。
また、1台のAD内サーバは、複数のADを管理するとしても良い。この場合、AD内サーバは、それぞれ異なるCSIを格納できる数を制限されており、この数以内のADを管理できる。また、AD内サーバは、登録可能なクライアント機器の台数をCSI毎に記憶していても良いし、CSIとグループのIDとを対応付けて記憶するとしても良い。
(23)ADは、それぞれ識別子を割り当てられており、コンテンツを配送する際に、コンテンツの配送元の機器は、当該機器が登録しているADの識別子を電子透かしとしてコンテンツに埋め込むとしても良い。
これにより、クライアント機器が復号したコンテンツを、不正にAD外に配布した場合に、そのコンテンツがどのADから流出したのかを特定することが出来る。更に、コンテンツの配信元のサーバが、各ADに登録しているクライアント機器のIDを管理している場合、コンテンツを流出したクライアント機器のIDをCRLに載せても良い。
(24)本実施の形態では、機器の認証後にコンテンツを配送するとしたが、本発明はこれに限定されない。
コンテンツを配送する際、以下のように、認証を行わないとしても良い。
コンテンツの送信側の機器は、CSIを基にして暗号鍵を生成する。生成した暗号鍵を用いてコンテンツ鍵を暗号化し、暗号化コンテンツと暗号化コンテンツ鍵とを配送する。
受信側の機器は、暗号化コンテンツと暗号化コンテンツ鍵とを取得すると、CSIを基にして、暗号鍵と同一の復号鍵を生成する。生成した復号鍵を用いて暗号化コンテンツ鍵を復号してコンテンツ鍵を生成し、コンテンツ鍵を用いて暗号化コンテンツを復号してコンテンツを生成する。
これによると、CSIを保持する機器のみが復号鍵を生成し、コンテンツを復号することが出来る。
また、認証せずに、暗号化コンテンツのみ配送し、その後、実施の形態と同様に認証を行ってセッション鍵を共有し、認証に成功した場合に、セッション鍵でコンテンツ鍵を暗号化して配送するとしても良い。
なお、暗号化コンテンツの配送は、通信で配送するとしても良いし、可搬型の記録媒体に記録して配布するとしても良い。
また、受信側の機器からの要求に応じてコンテンツを配送する他、要求がなくても送信側の機器が判断して配送するとしても良いし、外部からの入力に従って、配送するとしても良い。
(25)本実施の形態で、CSI格納部は、初期値として「0」を記憶しており、AD内サーバ100が生成したCSIを取得すると、取得したCSIを上書きするとしたが、初期値とCSIとを別の領域に記憶しても良い。また、取得したCSIを初期値とは別の領域に記憶すると、初期値の使用を抑制するとしても良い。
なお、使用を抑制した初期値は、移動、脱退などでCSIを削除した際に、再度活性化される。
なお、未登録を示す値として「0」を格納するとしたが、「0」でなくても良く、CSIとして生成される値と異なる値であればよい。
(26)本実施の形態でAD内サーバ100はICカード400にCSIのコピーを1回許可しているが、複数回の許可を与えても良い。
また、ICカード400は、CSIを用いてクライアント機器を認証する他、CSIをコピーしたクライアント機器のIDを記憶しておき、コピーする際にクライアント機器のIDを確認することで、同じクライアント機器へ複数回CSIをコピーすること防ぐとしても良い。
また、クライアント機器の登録処理を行う機能をICカードに実装し、ICカードを接続された機器がAD内サーバとして動作するとしても良い。
また、クライアント機器が複数のクライアント機器の代表としてAD内サーバに登録し、他の複数のクライアント機器にCSIをコピーする権利を受けるとしても良い。以下に、図16を用いて一例を示す。
ユーザ宅にはAD内サーバ600と、クライアント機器601とが設置されており、クライアント機器601は既にAD内サーバ600に登録されている。AD内サーバ600は、登録情報として最大と残数とを記憶しており、ここでは最大が4、残数が3であるとする。
ユーザが所有する車両には、AD内サーバ600に登録されていない車載機器602,603,604が搭載されている。車載機器603,604は、AD内サーバ600と直接通信する機能を持たない。車載機器602は、可搬型でAD内サーバ600と直接通信する機能を有する。また、車載機器602〜604は、それぞれ接続して通信可能である。
車載機器602は、車載機器の代表として、AD内サーバ600に接続されると、登録したいクライアント機器の台数である希望台数3を含む登録要求をAD内サーバ600へ送信する。
AD内サーバ600は、登録要求を受信すると、実施の形態と同様に車載機器602を認証し、セッション鍵を共有する。認証に成功した場合、登録要求に含む希望台数が、登録情報として記憶している残数以下であるかを判断する。残数以下であると判断する場合、記憶しているCSIを読み出し、読み出したCSIと、3台分の登録を許可する許可権利とを、セッション鍵を用いて暗号化し、暗号化権利情報として車載機器602に送信する。
車載機器602は、暗号化権利情報を受信すると、セッション鍵を用いて復号し、CSI及び許可権利を生成する。また、生成したCSIを記憶することで、許可権利の内、1台分の許可権利を使ったので、残り2台登録できることを示す許可権利を記憶する。また、車載機器603及び604と、それぞれ認証を行い、成功するとCSIを送信し、送信した台数分の許可権利を減らす。
これによって、車載機器602〜604をクライアント機器として登録できる。
なお、残数が希望台数未満である場合、残数が示す台数分だけ登録を許可する許可権利を送信する。例として、2台分の許可権利を送信した場合、車載機器602は、CSIを記憶することで1台分の許可権利を使い、車載機器603,604の何れかにCSIを送信することでもう1台分の許可権利を使う。CSIの送信先の機器は、ユーザが選択するとしても良いし、それぞれの機器が予め優先順位を有し、優先順位の高い機器に送信するとしても良い。
また、車載機器602〜604をAD内サーバ600に登録する際、各車載機器のIDをAD内サーバ600に登録する場合、以下のように処理する。
車載機器602は、登録する前に、車載機器603及び604のIDを取得する。AD内サーバ600に登録する際、取得したIDと、車載機器602自身のIDとをAD内サーバ600に送信する。AD内サーバ600は、受信したIDを機器IDとして記憶する。また、残数が希望台数未満である場合、AD内サーバ600は、受け取ったIDの内、残数が示す台数分のIDを記憶する。この場合、登録するIDをユーザが選択するとしても良いし、予めIDに優先順位を付し、優先順位の高いIDから順に残数が示す台数分のIDを記憶するとしても良い。
また、車載機器602は、許可権利が余ると、AD内サーバ600に返すことが出来る。
なお、車載機器602は、当該車載機器602の権利を含めた許可権利を取得するとしたが、車載機器602は、実施の形態と同様にAD内サーバ600に登録し、車載機器603及び604にCSIをコピーする権利を取得するとしても良い。
(27)複数のADを合わせて1つのADを形成しても良い。
一例として、AD#EとAD#Fとを合わせて、AD#Gを形成する場合を図17、を用いて説明する。
AD#E及びAD#Fは、それぞれ1台のAD内サーバと、図示していない複数のクライアント機器とから構成される。AD#EのAD内サーバEは、最大m台のクライアント機器が登録可能であり、AD#E内の機器は、それぞれCSI#Eを保持している。また、AD#FのAD内サーバFは、最大n台のクライアント機器が登録可能であり、AD#F内の機器は、それぞれCSI#Fを保持している。
この2つのADからAD#Gを形成する。まず、AD内サーバEとAD内サーバFとの間で、AD#Gを管理するAD内サーバGとなる機器を決定する。この際、処理性能、各AD内サーバの優先順位などを基に決定しても良いし、ユーザが決定しても良い。AD内サーバGでない方のAD内サーバは、クライアント機器としてAD#Gに登録される。
AD内サーバGに登録可能な台数kは、m、n又はmとnとの平均とする。また、AD内サーバGは、新たにCSI#Gを生成して、各クライアント機器を認証し、認証に成功した機器へCSI#Gを送信する。
AD#EとAD#Fとを形成する機器の合計が、台数kを超える場合、登録する機器が選択される。この場合、予め設定されている優先順位を下にAD内サーバGが選択しても良いし、ユーザが選択するとしても良い。
なお、上述のように、2つのADから新たに1つのADを形成するほか、一方のADに他方のADを足しても良い。AD#EにAD#Fを足す場合、AD#F内の機器はAD#Eのクライアント機器としてAD内サーバEに登録され、CSI#Eを保持する。この際、登録するクライアント機器の台数が最大m台を超える場合、上述のように、登録する機器が選択される。
なお、m、n及びkは、正の整数である。
(28)1つのADから複数のADに分割するとしても良い。
一例として、AD#HからAD#IとAD#Jを形成する場合を、図18を用いて説明する。
AD#Hは、AD#H内の機器を管理するAD内サーバHと、図示していない複数のクライアント機器とから構成される。
AD内サーバHは、p台(pは正の整数)のクライアント機器が登録可能であり、AD#H内の各機器はCSI#Hを格納している。
AD内サーバHは、AD#I及びAD#Jを形成する際、AD#H内のクライアント機器から新たにAD内サーバI及びAD内サーバJとなる機器を選択する。この際、処理能力が高い機器をAD内サーバとしても良いし、予め各機器に付されている優先順位を基に選択しても良い。また、ユーザが選択しても良いし、クライアント機器間で処理能力、優先順位などを基に選択しても良い。なお、AD内サーバHがAD内サーバI又はAD内サーバJとして、新たなADを形成するとしても良い。
分割後、それぞれに属するクライアント機器が選択される。この際、優先順位を基にそれぞれのAD内サーバが選択しても良いし、ユーザが選択しても良い。AD内サーバI及びJは、それぞれ最大p台のクライアント機器を登録可能である。また、各ADのクライアント機器を選択すると、AD内サーバIは、CSI#Iを生成し、選択されたクライアント機器へ、生成したCSI#Iを送信する。また、AD内サーバJも同様に、CSI#Jを生成してクライアント機器へ送信する。
なお、AD内サーバI及びJは、クライアント機器を選択する度に認証しても良いし、新たに生成したCSIを送信する際に認証するとしても良い。
また、上記のように、1つのADから新たに2つのADを形成する他、AD#Hから新たなADを一つ形成し、基になったAD#Hと新たなADとの2つに分割するとしても良い。
(29)クライアント機器が電源を切ると、クライアント機器はAD内サーバに登録されたまま、CSIは一旦削除されるとしても良い。
この場合、クライアント機器がAD内サーバに登録されると、AD内サーバはクライアント機器のIDを記憶し、CSIを送信する。
クライアント機器は、受け取ったCSIを記憶すると、AD内機器としてコンテンツを利用できる。クライアント機器は、電源OFFの指示を受け付けると、CSIを削除し、電源をOFFにする。この際、AD内サーバが記憶しているクライアント機器のIDは削除されない。
再びクライアント機器の電源がONになると、クライアント機器は、AD内サーバにIDを送信する。AD内サーバは、記憶しているIDに、受信したIDと一致するIDが有るか否かを判断し、一致するIDが有る場合、登録情報を更新せずに、クライアント機器にCSIを再送信する。
なお、有線又は無線通信が遮断された場合も同様にCSIを一旦消去し、通信が再度確立されると、IDを送信し、CSIを再度取得するとしても良い。
(30)本実施の形態では、CSIを用いて認証を行うとしたが、更に、以下の(a)〜(c)の認証を追加しても良い。
(a)MACアドレスやIPアドレス、またシステムで統一的に与えられたコードなどを用いてクライアント機器がAD内サーバと同一の家庭内LANに接続されていることを認証する。これにより、他人のクライアント機器を登録することが困難になる。
また、AD内サーバとクライアント機器とが無線で通信を行う場合、電波の届く範囲であることで認証しても良い。
また、AD内サーバとクライアント機器とが通信可能な場合、AD内サーバからクライアント機器へ、認証用データを送信し、クライアント機器は、認証用データを受信すると、応答データをAD内サーバへ送信する。AD内サーバは、認証用データを送信してから応答データを受信するまでの時間を計時し、計時した時間が、予め設定している閾値以内であれば、同一宅内に設置されているものと認証するとしても良い。
また、TTL(Time To Live)値を宅内のルータの数以内に設定し、宅外の機器とは通信できないようにしても良い。
また、同じ電源に接続されているか否かを判断することで、同一宅内に設置されているか否かを認証するとしても良い。
(b)AD内サーバに予めパスワードを設定しておき、クライアント機器を登録する際、ユーザは前記パスワードをクライアント機器に手入力する。クライアント機器は入力されたパスワードを含む登録要求をAD内サーバへ送信し、AD内サーバは、登録要求に含んで受信したパスワードが、予め設定されたパスワードと一致するか否かを判断する。
また、パスワードは複数設定しても良く、例えば家族それぞれが自分のパスワードを設定するとしても良い。また、ユーザそれぞれを識別するIDとパスワードとを組み合わせるとしても良い。
(c)上記(b)におけるパスワードの代わりに、指紋や虹彩などのバイオメトリックス情報を使用しても良い。これにより、予め設定した本人だけがクライアント機器の登録を行うことが可能となる。
(31)クライアント機器が保持している初期値は、以下(a)〜(c)の場合がある。
(a)クライアント機器は、AD内サーバに登録していないことを示す、1個の初期値を保持している。当該AD内サーバに登録されると、初期値の使用が抑制される。
(b)クライアント機器は、複数のAD内サーバそれぞれに対応する複数の初期値を保持している。複数のAD内サーバの何れかに登録する際、当該AD内サーバに対応する初期値を用いて認証し、登録されると、前記対応する初期値の使用を抑制する。また、他のAD内サーバに登録されると、他のAD内サーバに対応する初期値の使用を抑制する。
なお、それぞれの初期値をグループの識別子に対応付けて識別しても良い。
(c)クライアント機器は、複数のAD内サーバの、何れにも登録していないことを示す初期値を保持している。何れかのAD内サーバに登録すると、初期値の使用を抑制する。
(32)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD―ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている
前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。
また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(33)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
ディジタル著作物の不正利用を防止し、ユーザは自由にディジタルコンテンツを利用可能なグループの形成に利用できる。
グループ形成管理システム1の全体の構成を示すブロック図である。 AD内サーバ100の構成を示すブロック図である。 登録情報の構成を示す図である。 再生装置200の構成を示すブロック図である。 車載機器300の構成を示すブロック図である。 ICカード400の構成を示すブロック図である。 SAC確立の処理を示すフローチャートである。図8に続く。 SAC確立の処理を示すフローチャートである。図7の続き。 再生装置200をAD内サーバ100に登録する際の動作を示すフローチャートである。 車載機器300を登録する際の動作を示すフローチャートである。 車載機器300を登録する際の動作を示すフローチャートである。 コンテンツを配送する際の動作を示すフローチャートである。 コンテンツを配送する際の動作の一部を示すフローチャートである。 コンテンツをDVDに記録する際の動作を示すフローチャートである。 AD内サーバ100から脱退する際の動作を示すフローチャートである。 複数のクライアント機器を、代表の機器がAD内サーバに登録する場合の構成を示すブロック図である。 複数のグループから一つのグループを形成する場合の概念を示す図である。 一つのグループを分割して複数のグループを形成する場合の概念を示す図である。
符号の説明
1 グループ形成管理システム
100 AD内サーバ
200 再生装置
300 車載機器
400 ICカード
500 DVD
600 AD内サーバ
601 クライアント機器
602,603,604 車載機器

Claims (31)

  1. グループ形成管理システムであって、
    グループに固有の共通秘密情報を保持している1個以上の登録済のメンバー機器と、
    グループへの登録の要求を送信し、共通秘密情報を取得して保持する新規のメンバー機器と、
    前記メンバー機器からグループに登録する旨の登録要求を受け付ける受付手段と、
    登録要求が受け付けられると、前記メンバー機器が正当な機器であれば、(1)グループに登録済みのメンバー機器の登録台数が、グループに登録可能な最大の台数である制限台数より少ないか否かを判断し、前記登録台数が、前記制限台数より少ないと判断する場合、前記メンバー機器において、グループに固有の共通秘密情報の使用を許可する期間を示し、各メンバー機器に固有である有効期限情報を発行し、前記登録台数を増やし、(2)更に、前記有効期限情報により示される期間の経過を監視しており、前記有効期限情報が示す期間が終了すると、前記登録台数を減らす判断手段と、
    前記制限台数より少ないと判断する場合に、前記メンバー機器へグループに固有の共通秘密情報を出力する通信手段とを備えるグループ管理機器と
    から構成されることを特徴とするグループ形成管理システム。
  2. グループ形成管理システムであって、
    グループへの登録の要求を送信し、グループに固有の共通秘密情報を取得して保持するメンバー機器と、
    前記メンバー機器からグループに登録する旨の登録要求を受け付ける受付手段と、
    登録要求が受け付けられると、前記メンバー機器が正当な機器であれば、(1)グループに登録済みのメンバー機器の登録台数が、グループに登録可能な最大の台数である制限台数より少ないか否かを判断し、前記登録台数が、前記制限台数より少ないと判断する場合、前記メンバー機器において、グループに固有の共通秘密情報の使用を許可する期間を示し、各メンバー機器に固有である有効期限情報を発行し、前記登録台数を増やし、(2)更に、前記有効期限情報により示される期間の経過を監視しており、前記有効期限情報が示す期間が終了すると、前記登録台数を減らす判断手段と、
    前記制限台数より少ないと判断する場合に、前記メンバー機器へグループに固有の共通秘密情報を出力する通信手段とを備えるグループ管理機器とから構成され、
    初期の状態では、前記グループ管理機器にメンバー機器は登録されていない
    ことを特徴とするグループ形成管理システム。
  3. グループへのメンバー機器の登録を管理するグループ管理機器であって、
    前記メンバー機器からグループに登録する旨の登録要求を受け付ける受付手段と、
    登録要求が受け付けられると、前記メンバー機器が正当な機器であれば、(1)グループに登録済みのメンバー機器の登録台数が、グループに登録可能な最大の台数である制限台数より少ないか否かを判断し、記登録台数が、前記制限台数より少ないと判断する場合、前記メンバー機器において、グループに固有の共通秘密情報の使用を許可する期間を示し、各メンバー機器に固有である有効期限情報を発行し、前記登録台数を増やし、(2)更に、前記有効期限情報により示される期間の経過を監視しており、前記有効期限情報が示す期間が終了すると、前記登録台数を減らす判断手段と、
    前記制限台数より少ないと判断する場合に、前記メンバー機器へグループに固有の共通秘密情報を出力する通信手段と
    から構成されることを特徴とするグループ管理機器。
  4. 前記グループ管理機器は、更に、
    前記共通秘密情報を生成する生成手段を備え、
    前記通信手段は、生成された前記共通秘密情報を出力する
    ことを特徴とする請求項3のグループ管理機器。
  5. グループ外の管理装置により前記共通秘密情報を生成され、
    前記判断手段は、グループ外の前記管理装置から前記共通秘密情報を取得し、
    前記通信手段は、取得した前記共通秘密情報を前記メンバー機器へ出力する
    ことを特徴とする請求項3のグループ管理機器。
  6. 前記受付手段は、前記登録要求を受け付けると、グループ外の管理装置に前記登録要求を受け付けた旨を通知し、
    前記グループ外の管理装置は、前記登録台数が、前記グループに登録可能な最大の台数である制限台数より少ないか否かを判断し、
    前記判断手段は、前記登録台数が前記制限台数より少ないか否かを判断する代わりに、前記管理装置から判断結果を受け取り、
    前記通信手段は、前記判断結果が、前記台数より前記制限台数の方が少ないことを示す場合、前記共通秘密情報を出力する
    ことを特徴とする請求項3のグループ管理機器。
  7. 前記制限台数は、第1制限台数と第2制限台数とから成り、
    前記判断手段は、登録済みのメンバー機器の台数が、前記第1制限台数又は前記第2制限台数より少ないか否かを判断する
    ことを特徴とする請求項3のグループ管理機器。
  8. 前記第1制限台数は、前記制限台数のうち、当該グループ管理機器に接続可能なメンバー機器の最大の台数であり、前記第2制限台数は、前記制限台数のうち、当該グループ管理機器に接続できないメンバー機器の最大の台数であり、
    前記判断手段は、前記要求元のメンバー機器が当該グループ管理機器に接続可能なメンバー機器である場合、登録済みの接続可能なメンバー機器の台数が、前記第1制限台数より少ないか否かを判断し、
    前記要求元のメンバー機器が当該グループ管理機器に接続できないメンバー機器である場合、登録済みの接続できないメンバー機器の台数が、前記第2制限台数より少ないか否かを判断する
    ことを特徴とする請求項7のグループ管理機器。
  9. 前記通信手段は、更に、他のグループ管理機器に、前記メンバー機器を登録可能であるか否かを問い合わせる問合要求を出力し、
    前記他のグループ管理機器は、前記問合要求を受け付け、前記他のグループ管理機器に登録済みのメンバー機器の登録台数が、当該他のグループ管理機器の制限台数より少ないか否かを判断し、少ないと判断する場合、前記メンバー機器を登録し、前記グループ管理機器へ前記共通秘密情報を出力し、
    前記通信手段は、前記他のグループ管理機器から前記共通秘密情報を受信すると、前記メンバー機器へ前記共通秘密情報を出力する
    ことを特徴とする請求項3のグループ管理機器。
  10. 前記判断手段は、外部からの不正なアクセスに対抗する機能を備え、前記制限台数及び前記共通秘密情報は、外部から読み出し及び書き込みが出来ない領域内に記憶されている
    ことを特徴とする請求項3のグループ管理機器。
  11. 前記判断手段は、前記グループ管理機器に着脱可能な可搬型モジュールから構成されている
    ことを特徴とする請求項10のグループ管理機器。
  12. 前記判断手段は、前記制限台数から前記登録台数を差し引いた残数を記憶し、前記受付手段が登録要求を受け付けると、前記残数が「0」であるか否かを判断し、
    「0」でないと判断する場合、前記通信手段は、前記メンバー機器へ前記共通秘密情報を出力し、
    「0」でないと判断する場合、前記判断手段は、前記残数から「1」を減算する
    ことを特徴とする請求項3のグループ管理機器。
  13. 前記メンバー機器に対して前記共通秘密情報が出力された後に、
    前記受付手段は、更に前記メンバー機器から、グループへの登録を解消することを示す脱退要求を受け付け、
    前記通信手段は、更に、前記脱退要求が受け付けられると、前記共通秘密情報を削除することを指示する削除通知を前記メンバー機器へ出力し、
    前記受付手段は、更に、前記共通秘密情報の削除が完了したことを示す完了通知を前記メンバー機器から受け付け、
    前記判断手段は、更に、完了通知が受け付けられると、前記登録台数を減らす
    ことを特徴とする請求項3のグループ管理機器。
  14. 前記判断手段は、グループ外の管理装置から、グループに登録可能なクライアント機器の台数を取得し、取得した台数に応じて代金を支払い、取得した台数を前記制限台数とする
    ことを特徴とする請求項3のグループ管理機器。
  15. 前記判断手段は、更に、グループ外の管理装置から新たに前記メンバー機器の登録可能な台数を取得し、取得した台数に応じて代金を支払い、前記制限台数に前記取得した台数を加算した台数を新たな制限台数とする
    ことを特徴とする請求項3のグループ管理機器。
  16. 前記メンバー機器に対して前記共通秘密情報が出力された後に、
    前記受付手段は、更に前記メンバー機器から、通信の要求を受け付け、
    前記判断手段は、更に、前記共通秘密情報と要求元のメンバー機器が保持する共通秘密情報とを用いて認証し、
    認証結果が成功の場合、前記通信手段は、更に、前記メンバー機器と通信を行う
    ことを特徴とする請求項3のグループ管理機器。
  17. 前記グループ管理機器は、更に、
    コンテンツ鍵を用いて暗号化した暗号化コンテンツと前記コンテンツ鍵とを蓄積しているコンテンツ格納手段と、
    前記共通秘密情報を基に生成された鍵を用い、前記コンテンツ鍵を暗号化して暗号化コンテンツ鍵を生成する暗号化手段とを備え、
    前記通信手段は、更に、前記暗号化コンテンツ及び前記暗号化コンテンツ鍵を前記メンバー機器へ出力する
    ことを特徴とする請求項3のグループ管理機器。
  18. 前記判断手段は、更に、前記共通秘密情報と前記メンバー機器が保持する共通秘密情報とを用いて前記メンバー機器を認証し、前記共通秘密情報を用いて前記メンバー機器とセッション鍵を共有し、
    前記暗号化手段は、前記認証が成功の場合に、前記共通秘密情報を基に生成された前記セッション鍵を用いて前記コンテンツ鍵を暗号化する
    ことを特徴とする請求項17のグループ管理機器。
  19. 前記通信手段は、前記共通秘密情報を記憶しており、更に、別の共通秘密情報を取得し、前記共通秘密情報に、前記別の共通秘密情報を上書きして記憶し、定期的又は不定期に取得した前記別の共通秘密情報を前記メンバー機器へ出力する
    ことを特徴とする請求項3のグループ管理機器。
  20. 前記グループ管理機器は、更に、
    コンテンツ鍵を用いて暗号化した暗号化コンテンツと前記コンテンツ鍵とを蓄積しているコンテンツ格納手段と、
    前記共通秘密情報に基づいて生成される鍵を用いて、前記コンテンツ鍵を暗号化して暗号化コンテンツ鍵を生成する暗号化手段と、
    生成した暗号化コンテンツ鍵及び暗号化コンテンツを可搬型の記録媒体に書き込む書込手段とを備える
    ことを特徴とする請求項3のグループ管理機器。
  21. 前記受付手段は、前記メンバー機器を識別する識別子を含む前記登録要求を受け付け、
    前記暗号化手段は、前記登録要求に含まれる識別子と、前記共通秘密情報とから生成される鍵を用いて、前記コンテンツ鍵を暗号化して暗号化コンテンツ鍵を生成する
    ことを特徴とする請求項20のグループ管理機器。
  22. 前記暗号化手段は、前記共通秘密情報及び前記記録媒体に固有の識別子に基づいて生成される鍵を用いて、前記コンテンツ鍵を暗号化する
    ことを特徴とする請求項20のグループ管理機器。
  23. 前記グループ管理機器は、更に、
    複数のグループを識別する識別子に、前記グループのそれぞれに固有の共通秘密情報及び前記グループのそれぞれに登録可能な最大の台数である制限台数を対応付けて保持する保持手段を備え、
    前記受付手段が、前記識別子の何れか一つを含む登録要求を受け付けると、前記判断手段は、前記受け付けた識別子が識別するグループに登録済みのメンバー機器の登録台数が、前記識別子に対応する前記制限台数より少ないか否かを判断し、少ないと判断される場合に、当該識別子が識別するグループにメンバー機器を登録し、前記識別子に対応する共通秘密情報を選択し、
    前記通信手段は、選択された前記共通秘密情報を出力する
    ことを特徴とする請求項3のグループ管理機器。
  24. 前記受付手段は、更に、前記新規のメンバー機器から、他の所定数のメンバー機器を登録する旨の登録要求を受け付け、
    前記判断手段は、前記登録台数に前記所定数を加えた数が、前記制限台数を超えるか否かを判断し、超えないと判断する場合、前記所定数のメンバー機器への前記共通秘密情報の付与を許可する許可権利を生成し、
    前記通信手段は、前記生成した許可権利を付加した前記共通秘密情報を前記新規のメンバー機器へ出力する
    ことを特徴とする請求項3のグループ管理機器。
  25. 前記受付手段は、前記メンバー機器に固有の第1識別子を含む前記登録要求を受け付け、
    前記判断手段は、更に、受け付けた前記第1識別子を記憶し、
    前記通信手段が前記共通秘密情報を出力した後に、前記受付手段は、更に、メンバー機器に固有の第2識別子を受け付け、
    前記判断手段は、更に、受け付けた第2識別子が、記憶している第1識別子と一致するか否かを判断し、
    前記通信手段は、前記判断手段が一致すると判断する場合に、前記共通秘密情報を前記メンバー機器へ再度出力する
    ことを特徴とする請求項3のグループ管理機器。
  26. 当該グループ管理機器が、複数のグループ管理機器が管理するグループを合わせて新たに形成する新グループを管理する新グループ管理機器になると決定された場合、前記通信手段は、新グループに固有の新共通秘密情報を、それぞれのメンバー機器へ出力し、
    他のグループ管理機器が前記新グループ管理機器になると決定された場合、当該グループ管理機器は、更に、
    前記他のグループ管理機器から、新グループに固有の新共通秘密情報を取得する取得手段と、
    取得した前記新共通秘密情報を保持する保持手段とを備える
    ことを特徴とする請求項3のグループ管理機器。
  27. 前記通信手段は、更に、他のグループを管理する他のグループ管理機器との間で、何れのグループ管理機器が、前記新グループ管理機器になるかを決定する
    ことを特徴とする請求項26のグループ管理機器。
  28. 前記保持手段は、更に、当該グループ管理機器に付された優先順位を記憶しており、
    前記通信手段は、前記優先順位及び前記他のグループ管理機器に付された優先順位のうち、高い優先順位を付されたグループ管理機器を、前記新グループ管理機器になると決定する
    ことを特徴とする請求項27のグループ管理機器。
  29. 前記グループ管理機器及び他のグループ管理機器が管理するグループのメンバー機器は、それぞれ優先順位を付されており、
    前記新グループ管理機器に決定された後、前記受付手段は、更に、各メンバー機器の優先順位を取得し、
    前記グループ管理機器は、更に、
    前記受付手段が取得した優先順位の高い機器から順に、前記制限台数以内で新グループに登録する新メンバー機器を選択する選択手段を備え、
    前記通信手段は、選択した新メンバー機器へ前記新共通秘密情報を出力する
    ことを特徴とする請求項26のグループ管理機器。
  30. 前記グループ管理機器は、更に、
    前記通信手段が前記共通秘密情報を出力した後、
    当該グループ管理機器に登録されているメンバー機器から、別のグループを管理するグループ管理機器になるメンバー機器を選択する選択手段と、
    当該グループに登録されている前記メンバー機器を、当該グループ管理機器が管理するグループのメンバー機器と、前記別のグループ管理機器が管理する別のグループのメンバー機器とに分ける分配手段とを備え、
    前記通信手段は、当該グループ管理機器が管理するグループに分けられたメンバー機器に、前記共通秘密情報とは別の共通秘密情報を出力する
    ことを特徴とする請求項3のグループ管理機器。
  31. グループへのメンバー機器の登録を管理するグループ管理機器で用いられるコンピュータプログラムであって、
    前記グループ管理機器に、
    前記メンバー機器からグループに登録する旨の登録要求を受け付ける受付ステップと、
    登録要求が受け付けられると、前記メンバー機器が正当な機器であれば、(1)グループに登録済みのメンバー機器の登録台数が、グループに登録可能な最大の台数である制限台数より少ないか否かを判断し、前記登録台数が、前記制限台数より少ないと判断する場合、前記メンバー機器において、グループに固有の共通秘密情報の使用を許可する期間を示し、各メンバー機器に固有である有効期限情報を発行し、前記登録台数を増やし、(2)更に、前記有効期限情報により示される期間の経過を監視しており、前記有効期限情報が示す期間が終了すると、前記登録台数を減らす判断ステップと、
    前記制限台数より少ないと判断する場合に、前記メンバー機器へグループに固有の共通秘密情報を出力する通信ステップと
    を実行させるためのコンピュータプログラム。
JP2003305403A 2002-09-05 2003-08-28 グループ形成管理システム、グループ管理機器及びメンバー機器 Expired - Fee Related JP4610872B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003305403A JP4610872B2 (ja) 2002-09-05 2003-08-28 グループ形成管理システム、グループ管理機器及びメンバー機器

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2002260520 2002-09-05
JP2003305403A JP4610872B2 (ja) 2002-09-05 2003-08-28 グループ形成管理システム、グループ管理機器及びメンバー機器

Publications (3)

Publication Number Publication Date
JP2004120736A JP2004120736A (ja) 2004-04-15
JP2004120736A5 JP2004120736A5 (ja) 2006-09-07
JP4610872B2 true JP4610872B2 (ja) 2011-01-12

Family

ID=32301477

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003305403A Expired - Fee Related JP4610872B2 (ja) 2002-09-05 2003-08-28 グループ形成管理システム、グループ管理機器及びメンバー機器

Country Status (1)

Country Link
JP (1) JP4610872B2 (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7908479B2 (en) * 2003-07-28 2011-03-15 Sony Corporation Information processing device and method, recording medium and program
JP4576853B2 (ja) * 2004-03-05 2010-11-10 ソニー株式会社 情報処理装置、および認証処理方法、並びにコンピュータ・プログラム
JP4752198B2 (ja) * 2004-05-10 2011-08-17 ソニー株式会社 ドライブ装置、再生処理装置、情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラム
JP4556492B2 (ja) * 2004-05-27 2010-10-06 ソニー株式会社 通信装置およびそのプログラム、データ処理装置およびそのプログラム、並びにそれらの方法
US7984489B2 (en) 2004-07-15 2011-07-19 Panasonic Corporation Device registration system and device registration apparatus
US8312267B2 (en) 2004-07-20 2012-11-13 Time Warner Cable Inc. Technique for securely communicating programming content
US8266429B2 (en) * 2004-07-20 2012-09-11 Time Warner Cable, Inc. Technique for securely communicating and storing programming material in a trusted domain
JP4580195B2 (ja) * 2004-08-12 2010-11-10 株式会社日立製作所 ファイバーチャネルスイッチを含むコンピュータシステムの管理方法、管理プログラム及びそのコンピュータシステム
KR101496424B1 (ko) * 2004-10-08 2015-02-27 코닌클리케 필립스 엔.브이. Drm 시스템을 위한 사용자 기반 콘텐트 키 암호화
KR100677152B1 (ko) * 2004-11-17 2007-02-02 삼성전자주식회사 사용자 바인딩을 이용한 홈 네트워크에서의 콘텐츠 전송방법
CN101164071A (zh) * 2005-04-08 2008-04-16 韩国电子通信研究院 域管理方法及基于用户和设备的域***的域上下文
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8732854B2 (en) 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US8621540B2 (en) 2007-01-24 2013-12-31 Time Warner Cable Enterprises Llc Apparatus and methods for provisioning in a download-enabled system
KR101321288B1 (ko) * 2007-01-25 2013-10-25 삼성전자주식회사 디스에이블된 단말기의 기능을 다시 인에이블하기 위한 방법 및 이를 위한 디바이스 관리 시스템
US8234714B2 (en) 2007-07-18 2012-07-31 Victor Company Of Japan, Ltd. Method and system for registering domain
US9866609B2 (en) 2009-06-08 2018-01-09 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US9602864B2 (en) 2009-06-08 2017-03-21 Time Warner Cable Enterprises Llc Media bridge apparatus and methods
WO2011070629A1 (ja) * 2009-12-11 2011-06-16 三菱電機株式会社 車載情報装置、記憶デバイス及び車載情報装置用システム
US9906838B2 (en) 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US9565472B2 (en) 2012-12-10 2017-02-07 Time Warner Cable Enterprises Llc Apparatus and methods for content transfer protection
US20140282786A1 (en) 2013-03-12 2014-09-18 Time Warner Cable Enterprises Llc Methods and apparatus for providing and uploading content to personalized network storage
US10368255B2 (en) 2017-07-25 2019-07-30 Time Warner Cable Enterprises Llc Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks
JP5971160B2 (ja) * 2013-03-15 2016-08-17 ブラザー工業株式会社 サーバ、及びネットワークシステム
US9066153B2 (en) 2013-03-15 2015-06-23 Time Warner Cable Enterprises Llc Apparatus and methods for multicast delivery of content in a content delivery network
US9313568B2 (en) 2013-07-23 2016-04-12 Chicago Custom Acoustics, Inc. Custom earphone with dome in the canal
US9621940B2 (en) 2014-05-29 2017-04-11 Time Warner Cable Enterprises Llc Apparatus and methods for recording, accessing, and delivering packetized content
US11540148B2 (en) 2014-06-11 2022-12-27 Time Warner Cable Enterprises Llc Methods and apparatus for access point location
US9935833B2 (en) 2014-11-05 2018-04-03 Time Warner Cable Enterprises Llc Methods and apparatus for determining an optimized wireless interface installation configuration
US9986578B2 (en) 2015-12-04 2018-05-29 Time Warner Cable Enterprises Llc Apparatus and methods for selective data network access
US9918345B2 (en) 2016-01-20 2018-03-13 Time Warner Cable Enterprises Llc Apparatus and method for wireless network services in moving vehicles
US10492034B2 (en) 2016-03-07 2019-11-26 Time Warner Cable Enterprises Llc Apparatus and methods for dynamic open-access networks
US10164858B2 (en) 2016-06-15 2018-12-25 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and diagnosing a wireless network
US10645547B2 (en) 2017-06-02 2020-05-05 Charter Communications Operating, Llc Apparatus and methods for providing wireless service in a venue
US10638361B2 (en) 2017-06-06 2020-04-28 Charter Communications Operating, Llc Methods and apparatus for dynamic control of connections to co-existing radio access networks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0766803A (ja) * 1993-08-23 1995-03-10 Hitachi Ltd 同報暗号通信方法およびシステム
JP2000227887A (ja) * 1999-02-05 2000-08-15 Kokuyo Co Ltd データ配信設備
JP2001209586A (ja) * 2000-01-26 2001-08-03 Toshiba Corp コンピュータにおけるコンテンツ管理装置及びコンテンツ管理方法
JP2002082731A (ja) * 2000-09-07 2002-03-22 Fuji Xerox Co Ltd ユーザ管理システム
JP2004234648A (ja) * 2003-01-10 2004-08-19 Matsushita Electric Ind Co Ltd グループ加入認可システム、サーバ機器及びクライアント機器

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0766803A (ja) * 1993-08-23 1995-03-10 Hitachi Ltd 同報暗号通信方法およびシステム
JP2000227887A (ja) * 1999-02-05 2000-08-15 Kokuyo Co Ltd データ配信設備
JP2001209586A (ja) * 2000-01-26 2001-08-03 Toshiba Corp コンピュータにおけるコンテンツ管理装置及びコンテンツ管理方法
JP2002082731A (ja) * 2000-09-07 2002-03-22 Fuji Xerox Co Ltd ユーザ管理システム
JP2004234648A (ja) * 2003-01-10 2004-08-19 Matsushita Electric Ind Co Ltd グループ加入認可システム、サーバ機器及びクライアント機器

Also Published As

Publication number Publication date
JP2004120736A (ja) 2004-04-15

Similar Documents

Publication Publication Date Title
JP4610872B2 (ja) グループ形成管理システム、グループ管理機器及びメンバー機器
KR101015319B1 (ko) 그룹형성 관리시스템, 그룹관리 디바이스 및 기록매체
KR100959458B1 (ko) 콘텐츠 복제 관리 시스템 및 네트워크에 접속된 장치
US7539306B2 (en) Key delivery apparatus, terminal apparatus, recording medium, and key delivery system
EP1372317B1 (en) Authentication system
US7949703B2 (en) Group admission system and server and client therefor
JP4477835B2 (ja) 認証システム、鍵登録装置及び方法
US7752433B2 (en) Content-duplication management system, apparatus and method, playback apparatus and method, and computer program
JP3677001B2 (ja) データ配信システムおよびそれに用いられる記録装置
JP4414172B2 (ja) コンテンツ複製管理システム及びネットワーク機器
JP2007528658A (ja) 改良されたドメインマネージャ及びドメイン装置
EP1709510A1 (en) Method of authorizing access to content
JP4248208B2 (ja) 暗号化装置、復号化装置、秘密鍵生成装置、著作権保護システムおよび暗号通信装置
JP2003529253A (ja) マルチレベル・コンテンツ配信システムにおいて信任を承認及び失効にする方法及び装置
JP4614664B2 (ja) グループ加入認可システム、サーバ機器及びクライアント機器
JP4490649B2 (ja) 認証通信システム、認証通信装置及び認証通信方法
JP5198218B2 (ja) 記憶媒体処理サーバ、記憶媒体処理方法及びシステム、及びユーザ端末
KR20070022019A (ko) 개선된 도메인 매니저 및 도메인 디바이스
JP2002091883A (ja) データ配信システムおよびデータ端末装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060725

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060725

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100921

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101013

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131022

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4610872

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees