MXPA02001533A - Sistema de procesamiento de informacion y metodo que utiliza bloque de claves de criptografiado. - Google Patents

Abstract

Un sistema de procesamiento de informacion y un metodo que utiliza un bloque de claves de criptografiado establece sub-arboles clasificados con base en capacidad de procesamiento de datos de los dispositivos (habilidad) en un arbol de claves en donde claves respectivas corresponden a una raiz, nodos, y hojas de un arbol en donde varios dispositivos son conformados como las hojas, genera un sub-bloque de claves de habilitacion que es efectivo para una entidad para manejar cada sub-arbol (entidad) y genera un bloque de claves de habilitacion decodificable solamente por las entidades que tienen una capacidad comun. Asi mismo, un sistema y metodo de procesamiento de informacion que utilizan un bloque de claves de criptografiado manejan un arbol parcial de un arbol de claves (sub-arbol), generan un sub-bloque de claves de habilitacion con base solamente en un grupo de claves que corresponden a nodos u hojas incluidos en e1 sub- arbol y generan un bloque de claves de habilitacion decodificable solamente por entidades seleccionadas mediante la utilizacion de sub-bloque de habilitacion. Asi, es posible generar y distribuir un bloque de claves de habilitacion que corresponde a la capacidad de procesamiento de datos de un dispositivo y manejar dispositivos mediante la division de una estructura jerarquica de arbol de claves.

Description

SISTEMA DE PROCESAMIENTO DE INFORMACIÓN Y MÉTODO QUE UTILIZA BLOQUE DE CLAVES DE CRIPTOGRAFIADO CAMPO TÉCNICO La presente invención se refiere a un sistema de procesamiento de información y a un método de procesamiento de información que utilizan un bloque de claves de criptografiado y un medio de distribución de programas, y particularmente, la presente invención se refiere a un método para distribuir una clave de procesamiento de cpptografiado en un sistema que incluye un procesamiento de criptografíado. Particularmente, la invención se refiere a un sistema de procesamiento de información y a un método de procesamiento de información que utilizan un bloque de claves de criptografiado, y un medio de distribución de programas que utiliza un sistema de distribución de claves "jerárquico estructurado en forma de árbol para reducir la cantidad de datos contenidos en un bloque de claves de distribución para reducir de esta forma una cantidad de mensaje de distribución, aliviar cargas de una distribución de claves de contenido o distribución de datos cuando varias claves son renovadas, y poder conservar con seguridad datos, y que efectúa distribución de claves y constitución de manejo con base en capacidad mediante el manejo de un árbol de distribución de claves jerárquico mediante la utilización de entidades tales como sub-árboles clasificados con base en la capacidad como la habilidad de procesamiento de datos de dispositivos manejados, y se relaciona con un sistema de procesamiento de información y un método de procesamiento de información que utilizan un método de clave de criptografiado y un medio de distribución de programas, que efectúa una distribución efectiva de claves y una constitución de manejo mediante el manejo de un árbol de distribución de claves jerárquico mediante la utilización de entidades como subconjuntos que tienen un elemento común. ANTECEDENTES DE LA TÉCNICA Recientemente varios datos de programática (que se conocen a continuación como contenidos) tales como programas de juego, datos de voz, datos de imagen, etc, han circulado activamente a través de una red, como por ejemplo Internet, o bien a través de un medio de almacenamiento capaz de circular como por ejemplo DVD, CD, etc. Estos contenidos en circulación son-reproducidos por la recepción de datos por una PC (computadora personal) propiedad de un usuario o a través de un aparato de juego, o bien mediante el montaje de un medio de memoria o bien son almacenados en un dispositivo de registro dentro de un aparato de registro y reproducción fijado dentro de una computadora personal y similares, por ejemplo, una tarjeta de memoria, un disco duro y similares, los contenidos utilizándose para una nueva reproducción a partir del medio almacenado.

Aparatos de información tales como aparato de juegos de video, PC y similares, tienen una interfaz para recibir los contenidos en circulación a partir de una red o bien para tener acceso a DVD, CD y similares, y además tienen dispositivos de control necesarios para reproducir los contenidos, y RAM, ROM y similares utilizados como una región de memoria para programas y datos. Varios contenidos tales como datos de música, datos de imagen o programas son obtenidos a través de un medio de memoria a través de instrucciones del usuario a partir del aparato de información, como por ejemplo aparato de juegos, PC y similares utilizados como aparato reproductor o bien a través de instrucciones de usuario mediante un dispositivo de entrada conectado y son reproducidos a través del aparato de información o bien a través de un dispositivo de visualización, bocina y similares conectados. Muchos contenidos de programática, como por ejemplo programas de juegos, datos de música, datos de imagen y similares son generalmente protegidos en cuanto a sus derechos de distribución por propietarios y agentes de ventas. Por consiguiente, al distribuir estos contenidos, existe una limitación de uso predeterminada, es decir, el uso de la programática se otorga solamente a usuarios válidos para evitar la reproducción sin autorización, es decir, en general, se emplea una constitución que toma en cuenta la seguridad. Un procedimiento para lograr el limite de uso para los usuarios es el procesamiento de criptografiado de los contenidos distribuidos. Específicamente, por ejemplo, varios contenidos tales como datos de voz, datos de imagen, programas de juegos, y similares criptografiados a través de Internet y similares son distribuidos y dispositivos para descifrar los contenidos criptografiados son distribuidos, es decir, se proporciona una clave de descifrado solamente a las personas confirmadas como usuarios válidos. Los datos criptografiados pueden ser transformados en datos descifrados que pueden ser utilizados por procesamiento de descifrado de conformidad con el procedimiento predeterminado. El criptografiado de datos utilizando una clave de descifrado para procesamiento de descifrado, y un método de descifrado, utilizando una clave criptografiada para procesamiento de criptografiado de información de conformidad con lo descrito, ya se conocen bien. Existen varios tipos de formas de métodos de criptografiado y descifrado de datos que utilizan una clave de criptografiado y una clave de descifrado, y existe, como ejemplo de lo anterior, un sistema conocido como sistema de criptografiado de clave común. En el sistema de criptografiado de clave común, con una clave de criptografiado empleada para procesamiento de criptografiado para datos y una clave de descifrada utilizada para descifrar datos comunes, una clave común utilizada para estos procesamientos de criptografiado y descifrado se proporciona a un usuario válido con el objeto de eliminar el acceso a los datos por parte de un usuario inválido. Como sistema tipico del sistema descrito, podemos mencionar DES (Estándar de Criptografiado de Datos) . La clave de criptografiado y la clave de descifrado que se emplea para el procesamiento de criptografiado y descifrado de conformidad con lo descrito arriba puede obtenerse mediante la solicitud de una función unidireccional, por ejemplo una función de verificación con base en una palabra clave o similar, por ejemplo. La función unidireccional mencionada aqui es una función que hace muy dificil obtener una entrada invirtiendo una salida. Por ejemplo la función unidireccional es aplicada con una palabra clave determinada por un usuario como una entrada, y la clave de criptografiado y la clave de descifrado son producidas con base en la salida. Es sustancialmente imposible a partir de la clave de criptograflado y clave de descifrado obtenidas asi obtener por conversión una palabra clave que es un dato original de la misma. Un sistema que efectúa un procesamiento por una clave de criptografiado utilizada para criptografiar y un procesamiento por una clave de descifrado empleada para descifrar algoritmos diferentes es lo que se conoce como un £,__, ____>«_______.- ' i** __J_t_-._iJ_J_t.JfcJ sistema de criptografiado de clave pública. El sistema de criptografiado de clave pública es un método que utiliza una clave pública que puede ser utilizada por un usuario no especifico, en donde con relación a un documento criptografiado para un individuo especifico, el procesamiento de criptografiado es efectuado utilizando una clave pública distribuida por el individuo especifico. El documento criptografiado por la clave pública puede ser sometido a un procesamiento de descifrado solamente por una clave privada que corresponde a la clave pública utilizada para el procesamiento de criptografiado. La clave privada es propiedad solamente del individuo que distribuyó la clave pública, y el documento criptografiado por la clave pública puede ser descifrado solamente por el individuo que tienen la clave privada. Un sistema de criptografiado de clave pública tipico es un criptografiado RSA (Rivest-Shamir-Adleman) . Mediante el uso de un sistema de criptografiado de este tipo, se puede proporcionar un sistema para permitir el descifrado de contenidos criptografiados solamente por un usuario válido. En el sistema de distribución de contenido de conformidad con lo descrito arriba, se emplean muchas constituciones en las cuales contenidos son criptografiados y almacenados en el medio de registro, como por ejemplo, una red, o bien DVD, CD y similares con el objeto de proporcionarlos a usuarios, y para proporcionar una clave de contenido para descifrar contenidos criptografiados solamente a un usuario válido. Se propone una constitución en la cual una clave de contenido para impedir copias inválidas de la clave de contenidos misma es criptografiada para proporcionarla a un usuario válido, y una clave de contenido criptografiada es descifrada utilizando una clave de descifrado poseída solamente por el usuario válido con el objeto de permitir el uso de la clave de contenido. La determinación de si o no un usuario es válido se efectúa generalmente mediante la ejecución de un procesamiento de autenticación antes de la distribución de los contenidos o claves de contenidos, por ejemplo entre un proveedor de contenidos que es un transmisor de contenidos y un dispositivo de usuario. En un procesamiento de autenticación general, se efectúa la confirmación de una parte correspondiente, y se produce una clave de sesión efectiva solamente para comunicación. Cuando se establece la autenticación, datos, por ejemplo, contenidos, o una clave de contenidos son criptografiados empleando la clave de sesión producida para comunicación. El sistema de autenticación incluye la autenticación mutua empleando un sistema de criptografiado de clave común, y un sistema de autenticación que utiliza un sistema de clave pública. En la autenticación que utiliza una clave común es necesaria una clave común en el sistema, lo que es inconveniente al momento de un procesamiento de renovación. Además, en el sistema de clave pública, la carga de computación es importante y requiere de incrementar la cantidad de memoria, y el suministro de un procesamiento en cada dispositivo no es una constitución deseable. DIVULGACIÓN DE LA INVENCIÓN Es un objeto de la presente invención ofrecer un sistema de procesamiento de información y un método de procesamiento de información que utilizan un bloque de claves de criptografiado y un medio de distribución de programa, que permite la transmisión de datos de manera segura a un usuario válido sin depender de un procesamiento de autenticación- mutua entre un transmisor y un receptor de datos de conformidad con lo descrito arriba, y que proporciona una distribución de claves y constitución de manejo con base en la capacidad por manejo de un árbol de distribución de claves jerárquico mediante el uso de entidades como sub-árboles clasificadas con base en la capacidad como la habilidad de procesamiento de datos de dispositivos manejados. Es otro objeto de la presente invención ofrecer un sistema de procesamiento de información y un método de procesamiento de información que utilizan un bloque de claves de criptografiado, y un medio de distribución de programas que permite la transmisión de datos con seguridad a un usuario válido sin depender de procesamiento de autenticación mutua entre un transmisor y un receptor de datos de conformidad con lo descrito arriba y que efectúa una distribución efectiva de claves y una constitución de manejo mediante el manejo de un árbol de distribución de claves jerárquico mediante el uso de entidades como subconjuntos que tienen un elemento en común. Un sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención es un sistema que constituye un árbol de claves en donde claves respectivas corresponden a una raiz, nodos y hojas en una trayectoria desde la raiz hasta las hojas de un árbol en donde varios dispositivos son constituidos como las hojas, ejecuta renovación de claves en una trayectoria seleccionada mediante la selección de una trayectoria que constituye el árbol de claves y procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo, y comprende una pluralidad de entidades que constituyen una parte del árbol de claves, manejan sub-árboles clasificados con base en capacidad como habilidad de procesamiento de datos de los dispositivos, y generan un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un grupo de claves que corresponden a nodos y hojas incluidas en el sub-árbol, y un centro de distribución de claves (KDC) que maneja ..ja.i___ _..._ c_c,___t__ --- f¿fj -información de capacidad de la pluralidad de entidades y genera el bloque de claves de habilitación (EKB) decodificable solamente por las entidades que tienen una capacidad en común mediante la utilización del sub-bloque de claves de habilitación (sub-EKB) generado por las entidades que tienen la capacidad común. En el sistema de procesamiento de información que utiliza el bloque de claves de criptografiado de conformidad con la presente invención el centro de distribución de claves (KDC) incluye una tabla de manejo de capacidades en donde identificadores respectivos para pluralidad de entidades, la información de capacidad para las entidades, y el sub-bloque de claves de habilitación (sub-EKB) corresponden entre ellos, y selecciona una entidad capaz de procesar datos distribuidos a un dispositivo con base en la tabla de manejo de capacidades para generar el bloque de la subhabilitación (EKB) decodificable solamente por los dispositivos bajo la entidad seleccionada. En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad recién agregada al árbol de claves genera un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un conjunto de claves que corresponden a nodos y hojas del sub-árbol en la nueva entidad, ejecuta procesamiento de registro, del sub-EKB en el ^^^j centro de distribución de claves (KDC) y ejecuta procesamiento de notificación de capacidad de la entidad propia. En el sistema de procesamiento de información que utiliza un bloque de criptografiado de conformidad con la presente invención, las varias entidades tienen una estructura jerárquica de unidades superordinadas y entidades subordinadas en donde un nodo terminal en la etapa más baja de una entidad se vuelve un nodo superior (sub-raiz) de otra entidad. En el sistema de procesamiento de información que utiliza un bloque de claves de cpptografiado de conformidad con la presente invención, cada una de las varias entidades tiene la autoridad para establecer y renovar la clave que corresponde a los nodos u hojas que constituyen el sub-árbcl que pertenece a la propia entidad. En el sistema de procesamiento de información que utiliza un bloque de claves de criptogra iado de conformidad con la presente invención, cada dispositivo que pertenece a una entidad de la clase más baja con hojas en la etapa más baja en la entidad siendo hojas que corresponden a los dispositivo respectivos entre las varias entidades tienen almacenado ahí una clave de nodo y un conjunto de claves de hojas en nodos y hojas en una trayectoria desde un nodo superior (sub-raíz) de la entidad a la cual pertenece el dispositivo mismo hasta la _ ___ hoja que corresponde al dispositivo mismo. En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, cada una de las varias entidades agrega una entidad de automanejo en la etapa inferior de la entidad propia, de tal manera que uno o varios nodos u hojas en los nodos u hojas en la etapa más baja de la propia entidad son reservados como nodos de reserva. En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, la entidad superordinada que agrega la nueva entidad a su nodo terminal establece una clave que corresponde al nodo terminal de la entidad superordinada como un nodo que establece el sub-árbol de la nueva entidad como una clave de nodo superior (sub-raiz) de la nueva entidad.

En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad que ejecuta un procesamiento de revocación de un dispositivo renueva un conjunto de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raiz) en la entidad hasta una hoja que corresponde al dispositivo revocado y genera un sub-EKB de renovación en el cual la clave de nodo renovada es constituida como una clave de criptografiado decodificable solamente por dispositivos de hojas otros que el dispositivo revocado para enviarlo a una _SJ_i._ »*<i-u,ak_-_.tj_^afcj_M_s_i«_^>. ._.,,... ..... -.^Bfc.*-..»* j^.M»rt^.j_^a^ entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual el sub-EKB de renovación ha sido enviado hasta su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación del dispositivo es ejecutado por medio, secuencialmente de la ejecución de la generación de sub-EKB de renovación y del envió de procesamiento en la base de la entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria desde el dispositivo revocado hasta una raíz y ejecutar el procesamiento de registro del sub-EKB renovado generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una cantidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un conjunto de claves de nodo en nodos en la trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en donde la clave de nodo ha sido renovada y lo envía a una entidad superordinada, y la entidad superordinada renueva la clave de nodo en una trayectoria desde un nodo terminal al cual el sub-EKB de renovación ha sido enviado u-*- ?_a____?_j»Mi_ ¿.**¿t »m *ty.. „<.* .*..*. _ t._m. «-CC*.ea^« Í-fc.ei,>_-.*_aÉ«»_ .____c-tt?_j hasta su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordmada adicional de tal manera que el procesamiento de revocación en la base de la entidad es ejecutado mediante la ejecución secuencial de generación de sub-EKB de renovación y envió de procesamiento en la base de la entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria desde la entidad revocada hasta una raíz y ejecutar un procesamiento de registro de sub-EKB renovado generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . En el sistema de procesamiento de información que utiliza un bloque de claves de cpptografiado de conformidad con la presente invención, una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un conjunto de claves de nodo en nodos excepto un nodo terminal en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta el nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en donde la clave de nodo ha sido renovada para enviarla a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual el sub-EKB de renovación ha sido enviado a través de su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación en la base de la entidad es ejecutado secuencialmente mediante la ejecución de generación de sub-EKB de renovación y envió de procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo excepto el nodo terminal que corresponde a la entidad revocada en la trayectoria es de la entidad revocada hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . Así mismo, un método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención es un método en un sistema de procesamiento de información que constituye un árbol de claves en donde claves respectivas corresponden a una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos están constituidos como las hojas, ejecuta renovación de claves en una trayectoria seleccionada mediante la selección de la trayectoria que constituye el árbol de claves y procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo, y comprende los pasos de generar un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un conjunto de claves que „_ t* . h-_?___hl_ <__«>______ Ar^Kk^ t &A.I???. corresponden a nodos y hojas incluidas en un sub-árbol de cada entidad en entidades que constituyen una parte del árbol de claves y maneja sub-árboles clasificados con base en su capacidad como habilidad de procesamiento de datos de los dispositivos, y extrae un bloque de claves de subhabilitacíón (EKB) generado por entidades que tienen capacidad común con base en información de capacidad de las varias entidades y generar un bloque de claves de habilitación (EKB) decodificable solamente por las entidades que tienen la capacidad común en un centro de distribución de claves (KDC) que tiene la información de capacidad de las varias entidades . En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, el paso de generar el bloque de claves de habilitación (EKB) en el centro de distribución de claves (KDC) incluye los pasos de seleccionar las entidades que tienen la capacidad común, generar un árbol de entidad constituido por las entidades seleccionadas en el paso de selección de entidad, renovar una cale de nodo que constituye el árbol de identidad, y generar un bloque de claves de habilitación (EKB) decodificable solamente por las entidades seleccionadas con base en la clave de nodo renovada en el paso de renovación de clave de nodo y un sub-EKB de las entidades seleccionadas.

M AA_fe4f,g_M^^&<fe#_t_.M__^_i_^c_-....-..^ _»-.4, ........,-*AIBM_A....^a^.i ??^MSs?^á En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, el centro de distribución de claves (KDC) incluye una tabla de manejo de capacidades en donde identificadores respectivos para las varias entidades, la información de capacidad para las entidades, y el sub-bloque de claves de habilitación (sub-EKB) corresponden entre ellos, y selecciona una entidad capaz de procesar datos distribuidos a un dispositivo con base en la tabla de manejo de capacidades para generar el bloque de claves de habilitación (EKB) decodificable solamente por los dispositivos bajo la entidad seleccionada. En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad recién agregada al árbol de claves genera un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un conjunto de claves que corresponde a nodos u hojas en el sub-árbol de la nueva entidad, ejecuta procesamiento de registro del sub-EKB en el centro de distribución de claves (KDC) y ejecuta un procesamiento de notificación de información de capacidad de la propia entidad. En el método de procesamiento de información que utiliza el bloque de claves de criptografiado de conformidad con la presente invención, cada una de las unidades ejecuta el _»__a_____a. ^gy|^|^^^^ establecimiento y la renovación de la clave que corresponde a los nodos u hojas que constituye el sub-árbol que pertenece a la propia entidad. En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, la entidad superordinada que agrega la nueva entidad a su nodo terminal establece una clave que corresponde a la entidad superordinada como un nodo que establece el sub-árbol de la nueva entidad como una clave de nodo superior (sub-raíz) de la nueva entidad. En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad que ejecuta un procesamiento de revocación de un dispositivo renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta una hoja que corresponde al dispositivo revocado y genera un sub-EKB de renovación en el cual la clave de nodo renovada es constituida como una clave de criptografiado decodificado solamente por dispositivos de hoja otros que el dispositivo revocado para enviarlo a una entidad superordinada renueva la clave de nodo en una trayectoria desde un nodo terminal al cual el sub-EKB renovado ha sido enviado a través de su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento :'#•* 19 de revocación del dispositivo se ejecute mediante la ejecución secuencial de generación de sub-EKB de renovación y enviar el procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de 5 nodo en la trayectoria desde el dispositivo revocado hasta una raíz y ejecutar el procesamiento de registro del sub-EKB renovado generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . En el método de procesamiento de información que utiliza un 10 bloque de claves de criptografiado de conformidad con la presente invención, una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que 15 corresponde a la entidad revocada y genera un sub-EKB de renovación en el cual la clave de nodo ha sido renovada para enviarla a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual el sub-EKB de renovación ha 20 sido enviado a través de su propia sub-raíz y genera un sub- EKB de renovación para enviarlo a una entidad superordmada adicional, de tal manera que el procesamiento de revocación en la base de entidad es ejecutado mediante secuencialmente ejecutar la generación de sub-EKB de renovación y enviar el 25 procesamiento en la base de entidad a una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria desde la entidad revocada hasta una raíz y ejecutar el procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad que ejecuta un procesamiento de renovación de una entidad subordinada renueva un grupo de claves de nodo en nodos excepto en el caso de un nodo terminal en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta el nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en donde la clave de nodo ha sido renovada para enviarlo a una entidad superordinada, y la entidad superordmada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual el sub-EKB de renovación ha sido enviado hasta su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación en la base de entidad es ejecutado mediante secuencialmente ejecutar generación de sub-EKB de renovación y enviar el procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo excepto el nodo terminal que corresponde a la entidad revocada en la trayectoria desde la __.j A_L_to_ ___JiÉ__¡____ *- &? . 2. I »#* r entidad revocada hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . 5 Además, un medio de distribución de programas de conformidad con la presente invención distribuye un programa de cómputo que mejora un bloque de claves de habilitación (EKB) que genera el procesamiento ejecutado en los sistemas de cómputo en un sistema de procesamiento de información que constituye 10 un árbol de claves en donde claves respectivas correspondidas con una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos están constituidos como hojas, ejecuta la renovación de claves en una trayectoria seleccionada mediante la selección 15 de la trayectoria que constituye un árbol de claves y procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo. El programa de cómputo comprende los pasos de generar un sub- 20 bloque de claves de habilitación (sub-EKB) con base solamente en un grupo de claves que corresponden a nodos u hojas incluidos en un sub-árbol de cada entidad en entidades que constituyen una parte del árbol de claves y maneja sub- árboles clasificados con base en la capacidad como habilidad 25 de procesamiento de datos de los dispositivos, y extrae un eje..-. _,.#..- C- ^ g i^.C--Jc_ca _^_____ _^^g¡ sub-bloque de claves de habilitación (sub-EKB) generado por entidades que tienen una capacidad común con base en información de capacidad de las varias entidades y genera el bloque de claves de habilitación (EKB) decodificado y solamente por las entidades que tienen la capacidad en común de un centro de distribución de claves (KDC) que tiene la información de la capacidad de las varias entidades. Un sistema de procesamiento de información que utiliza un bloque de criptografiado de conformidad con la presente invención es un sistema que constituye un árbol de claves en donde claves respectivas son correspondidas con una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos son constituidos como las hojas, ejecuta la renovación de claves en una trayectoria seleccionada mediante la selección de la trayectoria que constituye el árbol de claves y procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo, y comprende varias entidades que manejan un sub-árbol como un árbol parcial que constituye el árbol de claves y genera un subbloque de claves de habilitación (sub-EKB) con base solamente en un conjunto de claves que corresponde a nodos u hojas incluidas en el sub-árbol, y un centro de distribución de claves (KDC) que genera el bloque de claves de habilitación (EKB) decodificable solamente por entidades seleccionadas mediante la utilización del sub-bloque de claves de habilitación (EKB) generado por las varias entidades. En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, las varias entidades tienen una estructura jerárquica de entidades subordinadas y entidades subordinadas en las cuales un nodo terminal en la etapa más baja de una entidad se vuelve un nodo superior (sub-raíz) de otra entidad. En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, cada una de las varias entidades tiene autoridad para establecer y renovar la clave que corresponde a los nodos u hojas que constituyen el sub-árbol que pertenece a la propia entidad. En el sistema procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, cada dispositivo que pertenece a una entidad en la clase más baja con hojas en la etapa más baja en la entidad siendo hojas que corresponden a dispositivos respectivos entre las varias entidades tienen almacenado ahí una clave de nodo y un conjunto de claves de hojas en nodos y hojas en una trayectoria desde un nodo superior (sub-raíz) de la entidad a la cual pertenece el dispositivo hasta la hoja ii_t_L_fc<____fe_te _____J-U-c h- que corresponde al dispositivo mismo. En el sistema de procesamiento de información que utiliza el bloque de claves de criptografiado de conformidad con la presente invención, cada una de las varias entidades agrega una entidad de automanejo en la etapa más baja de la propia entidad, de tal manera que uno o varios nodos u hojas en los nodos u hojas en la etapa más baja de la propia entidad sean reservados como nodos de reserva. En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, la entidad superordinaria que agrega la nueva entidad a su nuevo nodo terminal, establece una clave que corresponde al nodo terminal de la entidad superordinada como nodo que establece el sub-árbol de la nueva entidad como una clave de nodo superior (sub-raíz) de la nueva entidad. En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad recién agregada genera un sub-bloque de claves de habilitación (sub-EKB) con base solamente en con junto de claves que corresponden a nodos u hojas en el sub-árbol de la nueva entidad y ejecuta procesamiento de registro del sub-EKB al centro de distribución de claves (KDC) . En el sistema de procesamiento de información que utiliza un bloque de claves de pictografiado de conformidad con la presente invención, una entidad que ejecuta un proceso de revocación de un dispositivo renueva un conjunto de claves de nodo en nodos en una trayectoria, desde un nodo superior (sub-raíz) hasta una hoja que corresponde al dispositivo y genera un sub-EKB de renovación en donde la clave de nodo renovada consiste de una clave de criptografiado decodificable solamente por el dispositivo de hoja, otros que el dispositivo revocado para enviarlo a una entidad superordinada, y la entidad superordinada remueva una clave de nodo en una trayectoria desde un nodo terminal al cual sub-EKB de renovación ha sido enviado hasta su propia sub- raíz y genera un sub-EKB De renovación para enviarlo a una entidad superordinaria adicional, de tal manera que el procesamiento de revocación del dispositivo es ejecutado mediante secuencialmente la ejecución de generación de sub- EKB de renovación y envió de procesamiento en la base de entidad hasta una entidad más elevada para efectuar la renovación de cada clave de nodo en ía trayectoria desde el dispositivo revocado hasta una raíz y ejecutar procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de renovación de claves (KDC) . En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un conjunto de claves de nodo en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que corresponde a la entidad renovada y genera un sub-EKB De renovación en el cual la clave de nodo ha sido renovada para enviarlo a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria a partir de un nodo terminal al cual el sub-EKB de renovación ha sido enviado a través de su propia raíz y genera un sub- EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación en la base de entidad ejecutada mediante secuencialmente la ejecución de generación de sub-EKB de renovación y envió de procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria desde la entidad revocada hasta una raíz y ejecutar el procesamiento de registro del sub-EKB renovado generado en la renovación de la letra de nodo al centro de distribución de claves (KDC) . En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un conjunto de claves de nodo en nodos excepto en el caso de un nodo terminal en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta el nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en el cual la clave de nodo ha sido renovada para enviarlo a una entidad superordinada y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual el sub-EKB ha sido enviado hasta su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación en la base de la entidad es ejecutado mediante secuencialmente ejecutar una generación de sub-EKB de renovación y enviar el procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo excepto el nodo terminal que corresponde a la entidad revocada en la trayectoria desde la entidad revocada hasta una raíz y ejecutar procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, las entidades son constituidas como sujetos que manejan dispositivos o entidades que pertenecen a una categoría común como por ejemplo el tipo de dispositivo, tipo de servicio, tipo de dispositivo de manejo, etc. Además, un método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención es un método en un sistema de procesamiento de información que constituye un árbol de claves en donde claves respectivas son correspondidas, con la raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos están constituidos como las hojas, ejecuta la renovación de las claves en una trayectoria seleccionada mediante la selección de la trayectoria que constituye el árbol de claves y el procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo. El método comprende los pasos de generar un sub-blcque de claves de habilitación (sub-EKB) con base solamente en un conjunto de claves que corresponden a nodos u hojas incluidos en un sub-árbol de cada entidad en varias subentidades que manejan sub-árboles como árbol parcial que constituye el árbol de claves y genera el bloque de claves de habilitación (EKB) decodificado solamente por entidades seleccionadas mediante la utilización del sub-bloque de claves de habilitación (sub-EKB) generado por las varias entidades en un centro de distribución de claves (KDC) . En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, cada una de las varias entidades ejecuta el establecimiento y renovación de la clave que corresponde a los nodos u hojas que constituyen el sub-árbol que pertenece a la propia entidad. En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, la entidad superordinada que agrega la nueva entidad a su nodo terminal establece una clave que corresponde al nodo terminal de la entidad superordinada como un nodo que establece el sub-árbol de la nueva entidad como una clave de nodo superior (sub-raíz) de la nueva entidad. En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad recién agregada genera un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un conjunto de claves que corresponde a nodos u hojas en el sub-árbol de la nueva entidad y ejecuta procesamiento de registro del sub-EKB al centre de distribución de claves (EKB) . En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una entidad que ejecuta un procesamiento de revocación de un dispositivo renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub- raíz) en la entidad hasta una hoja que corresponde al dispositivo revocado y genera un sub-EKB de renovación en el cual la clave de nodo renovada es constituida como una clave de criptografiado decodificable solamente por dispositivo de hoja otros que el dispositivo revocado para enviarlo a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual el sub-EKB de renovación ha sido enviado a través de su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación del dispositivo es ejecutado mediante secuencialmente la ejecución de generación de sub-EKB De renovación y envío de procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria a partir del dispositivo revocado hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . En el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con ia presente invención, una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un punto de claves de nodo en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que corresponde a una entidad revocada y genera un sub-EKB de renovación en el cual la clave de nodo ha sido renovaaa para enviarlo a una entidad superordinada, y la entidad _¿_-_i___t_«e_ -_.___ti__- __ - ... _ j* yá^^??Í?M¡tÍtí?aá¡ßtfb^>ta*r£ ~ .? ?iá*lSlt?í _______ superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual el sub-EKB de renovación ha sido enviado hasta su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que ei procesamiento de revocación en la base de la entidad es ejecutado mediante secuencialmente la ejecución de generación de sub-EKB De renovación y enviando el procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria desde la entidad revocada hasta una raíz y ejecutando un procesamiento de renovación del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . En el método de procesamiento de información que utiliza un bloque de claves de criptograflado de conformidad con la presente invención, una entidad que ejecuta un procesamiento de información de una entidad subordinada renueva un conjunto de claves de nodo en nodos excepto un nodo terminal en una trayectoria desde un nodo superior (sub-raíz) en la entidad, hasta el nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en el cual la clave de nodo ha sido renovada para enviarlo una entidad superordinada, y la entidad superordinada renueva una clave de nodo desde una trayectoria desde un nodo terminal al cual el sub-EKB de ___á__ ¿ J__^-_É^.._... -g^,.. * •;_._>__;_. Je_-.aeJi-J__jhi.ea-•e*«-a h__-i____-e_ri-*«"[ •<*»**- ?*&ÍA? í,-renovación ha sido enviado hasta su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de renovación en la base de entidad es ejecutado mediante secuencialmente la ejecución de generación sub-EKB de renovación y el envío de procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo excepto el nodo terminal que corresponde a la entidad revocada en la trayectoria, desde la entidad revocada hasta una raíz de ejecución de un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . Además, un medio de distribución de programas de conformidad con la presente invención distribuye un programa de cómputo que elabora un bloque de claves de habilitación (EKB) que genera el procesamiento ejecutado en un sistema de cómputo en un sistema de procesamiento de información que constituye un árbol de claves en donde claves respectivas son correspondidas con una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en el cual varios dispositivos son constituidos como las hojas, ejecuta la renovación de claves en una trayectoria seleccionada mediante la selección de la trayectoria que constituye el árbol de claves y procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo, el programa de cómputo comprende los pasos de generar un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un conjunto de claves que corresponden a nodos y hojas incluidas en un sub-árbol de cada entidad en varias entidades que manejan sub-árboles como un árbol parcial que constituye el árbol de claves y generando el bloque de claves de habilitación (EKB) decodificable solamente por entidades seleccionadas mediante la utilización del sub-bloque de claves de habilitación (sub-EKB) generado por las varias entidades en un centro de distribución de claves (KDC) . En el sistema de procesamiento de información y método de procesamiento de información que utilizan un bloque de claves de criptografiado de conformidad con la presente invención el sistema de distribución de claves de criptografiado jerárquico estructurado en forma de árbol es utilizado para reducir la cantidad de mensaje de distribución que se requiere para renovar una clave. Es decir, el método de distribución de claves en el cual cada dispositivo es arreglado para cada hoja de n árboles, y una clave de contenido que es por ejemplo una clave de criptografiado de datos de contenido, una clave de autenticación utilizada para procesamiento de autenticación, o un código de programa es distribuido por un bloque clave de habilitación. Así, es posible distribuir con seguridad datos decodificables solamente por un dispositivo válido. Así mismo, en el sistema de procesamiento de información y en el método de procesamiento de información que utilizan un bloque de claves de criptografiado de conformidad con la presente invención, un árbol de distribución de claves jerárquico es manejado por entidades como sub-árboles clasificados con base en capacidad como habilidad de procesamiento de datos de dispositivos bajo manejo para realizar una distribución de claves y una estructura de manejo basada en capacidad. Además, en un sistema de procesamiento de información y en el método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la presente invención, una distribución efectiva de claves y una estructura efectiva de manejo se logran en donde un árbol de_ distribución de árbol jerárquico es manejado por entidades como un conjunto parcial que tiene un elemento común. Se observa que el ' medio de distribución de programas de conformidad con la presente invención es un medio para distribuir un programa de cómputo en el formato que puede ser leído por una computadora en un sistema de computadora general, capaz de ejecutar, por ejemplo, varios códigos de programa. El medio incluye medios de registro, por ejemplo CD, FD, MO, etc., o bien un medio de transferencia como por ejemplo una red, cuya forma no es particularmente limitada. Dicho medio de distribución de programa define una relación de cooperación en términos de constitución o función entre un programa de cómputo y un medio de distribución con el objeto de lograr una función de un programa de cómputo predeterminado en un sistema de cómputo. En otras palabras, un programa de cómputo es instalado en un sistema de cómputo a través del medio de distribución para mostrar la operación cooperativa en el sistema de cómputo para obtener la operación y efectos similares a otros aspectos., Los demás objetos, características y ventajas de la presente invención serán aparentes a partir de la descripción detallada con referencia a las modalidades y los dibujos adjuntos de la presente invención. BREVE DESCRIPCIÓN DE LOS DIBUJOS La figura 1 es una vista para explicar un ejemplo de constitución de un sistema de procesamiento de información de conformidad con la presente invención. La figura 2 es un diagrama de bloques que muestra un ejemplo de constitución de un aparato de registro y reproducción que puede ser aplicado en el sistema de procesamiento de información de conformidad con la presente invención. La figura 3 es una vista de constitución de árbol para explicar el procesamiento de criptografiado de varias claves y datos en el sistema de procesamiento de información de conformidad con la presente invención. Las figuras 4A y 4B son vistas que muestran cada una un ejemplo un bloque de claves de habilitación (EKB) utilizado en la distribución de varias claves y datos en el sistema de procesamiento de información de conformidad con la presente invención. La figura 5 es una vista que muestra un ejemplo de distribución y un ejemplo de procesamiento de descifrado que utiliza un bloque de claves de habilitación (EKB) de claves de contenido en el sistema de procesamiento de información de conformidad con la presente invención. La figura 6 es una vista que muestra un ejemplo de un formato de un bloque de claves de habilitación (EKB) en el sistema de procesamiento de información de conformidad con la presente invención. Las figura 7A a 7C son vistas cada una de las cuales explicando una constitución de un marcador de un bloque de claves de habilitación (EKB) en el sistema de procesamiento de información de conformidad con la presente invención. Las figura 8A y 8B son vistas que muestran cada una un bloque de claves de habilitación (EKB) y un ejemplo de constitución de datos para distribuir claves de contenido y contenidos en el sistema de procesamiento de información de conformidad con la presente invención. _._, _t iL?- é..? k¡A.H,¡¿ÉJl^^¡ La figura 9 es una vista que muestra un ejemplo de procesamiento en un dispositivo en el caso de distribuir un bloque de claves de habilitación (EKB) , claves de contenido, y contenidos en el sistema de procesamiento de información de conformidad con la presente invención. La figura 10 es una vista para explicar la situación para manejar el caso en el cual un bloque de claves de habilitación (EKB) y contenidos están almacenados en el sistema de procesamiento de información de conformidad con la presente invención. Las figura HA y 11B son vista que muestran cada una la comparación entre el procesamiento para enviar un bloque de claves de habilitación (EKB) y contenidos en el sistema de procesamiento de información de conformidad con la presente invención y un procesamiento de envió convencional. La figura 12 es una vista que muestra una secuencia de procesamiento de autenticación de conformidad con un sistema de criptografiado de clave común aplicable en el sistema de procesamiento de información de conformidad con la presente invención. La figura 13 es una vista (1) que muestra un bloque de claves de habilitación (EKB) , una constitución de datos para distribuir una clave de autenticación, y un ejemplo de procesamiento por un dispositivo en el sistema de procesamiento de información de conformidad con la presente -.iM____4¿_ti__a ls_*_ invención. La figura 14 es una vista (2) que muestra un bloque de claves de habilitación (EKB), una constitución de datos para distribuir una clave de autenticación, y un ejemplo de procesamiento por un dispositivo en el sistema de procesamiento de información de conformidad con la presente invención. La figura 15 es una vista que muestra una secuencia de procesamiento de autenticación por un sistema de cpptografiado de clave pública aplica en el sistema de procesamiento de información de conformidad con la presente invención. La figura 16 es una vista que muestra un procesamiento para distribuir un bloque de claves de habilitación (EKB) y claves de contenido utilizando el principio de autenticación por un sistema de criptografiado de clave pública en la presente invención. La figura 17 es una vista que muestra un procesamiento para distribuir un bloque de claves de habilitación (EKB) y datos de programa criptograflados en un sistema de procesamiento de información de conformidad con la presente invención. La figura 18 es una vista que muestra un ejemplo de productos en el valor MAC utilizado en la producción de un valor de revisión de integridad de contenido (ICV) aplicable en la presente invención. ?laÍj¿i t*£?&tAMUtibt? La figura 19 es una vista (1) que muestra una constitución de datos para distribuir un bloque de claves de habilitación (EKB) y una clave de producción de ICV, y un ejemplo de un procesamiento en un dispositivo en el sistema de procesamiento de información de conformidad con la presente invención. La figura 20 es una vista (2) que muestra una constitución de datos para distribuir un bloque de claves de habilitación (EKB) y una clave de producción de ICV, y un ejemplo de un procesamiento de un dispositivo en el sistema de procesamiento de información de conformidad con la presente invención. Las figuras 21A y 21B son vistas cada una para explicar una función de prevención de copiado en donde un valor de revisión de integridad de contenido (ICV) aplicable es almacenado en un medio en la presente invención. La figura 22 es una vista para explicar una constitución para controlar un valor de revisión de integridad de contenido (ICV) aplicable separadamente de un medio de almacenamiento de contenido en la presente invención. La figura 23 es una vista para explicar un ejemplo de clasificación de categoría de una estructura de árbol jerárquica en un sistema de procesamiento de información de conformidad con la presente invención. Las figuras 24A y 24B son vistas cada una para explicar un proceso de producción de un bloque de claves de habilitación (EKB) simplificado en el sistema de procesamiento de información de conformidad con la presente invención. Las figuras 25A y 25B son vistas cada una para explicar un proceso de producción de un bloque de claves de habilitación (EKB) en el sistema de procesamiento de información de conformidad con la presente invención. Las figuras 26A y 26B son vistas cada una para explicar un bloque de habilitación (EKB) simplificado (ejemplo 1) en el sistema de procesamiento de información de conformidad con la presente invención. Las figuras 27A a 27C son vistas cada una para explicar una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de conformidad con la presente invención. Las figuras 28A a 28C son vistas cada una para explicar, con detalles, una constitución de control de entrada de una estructura de árbol jerárquica en el sistema de procesamiento de información de conformidad con la presente invención. Las figuras 29A y 29B son vistas cada una para explicar una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de la presente invención. La figura 30 es una vista para explicar un nodo de reserva en una constitución de control de entidad de una estructura de a ¡ árbol jerárquica en el sistema de procesamiento de información de la presente invención. La figura 31 es una vista para explicar una secuencia de registro de nueva entidad en una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de conformidad con la presente invención. La figura 32 es una vista para explicar una relación entre una nueva entidad y un entidad huésped en una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de la presente invención. Las figuras 33A y 33B son vistas cada una para explicar un sub-EKB que se utiliza en una constitución de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de conformidad con la presente invención. Las figuras 34A a 34D son vistas cada una para explicar un procesamiento de revocación de dispositivo en una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de la presente invención. La figura 35 es una vista para explicar una secuencia de procesamiento de revocación de dispositivo en una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de la presente invención. Las figuras 36A y 36B son vistas cada una para explicar un sub-EKB de renovación al momento de la revocación del dispositivo en una constitución de control de entidad en una estructura de árbol jerárquica en el sistema de procesamiento de información de la presente invención. Las figura 37A a 37D son vistas cada una para explicar un procesamiento de revocación de entidad en una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de la presente invención. La figura 38 es una vista para explicar una secuencia de procesamiento de revocación de entidad en una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de la presente invención. La figura 39 es una vista para explicar una relación entre un entidad de revocación y una entidad huésped en una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de la presente invención. La figura 40 es una vista para explicar un establecimiento de capacidad en una constitución de control de entidad de una estructura de árbol jerárquica en el sistema de procesamiento de información de la presente invención.

La figura 41 ds una vista para explicar un establecimiento de capacidad en una constitución de control de entidad de una estructura de árbol jerárquica en un sistema de procesamiento de información de la presente invención. Las figuras 42A y 42B son vistas cada una para explicar una tabla de control de capacidades para controlar un centro de distribución de claves (KDC) en el sistema de procesamiento de información de la presente invención. La figura 43 es un diagrama de flujo de procesamiento de producción de EKB con base en una tabla de control de capacidades para controlar un centro de distribución de claves (KDC) en el sistema de procesamiento de información de la presente invención. La figura 44 es una vista para explicar un procesamiento de aviso de capacidad al momento de registro de identidad en el sistema de procesamiento de información de la presente invención. MODALIDAD PREFERIDA DE LA INVENCIÓN Presentación del sistema La figura 1 muestra un ejemplo de un sistema de distribución de contenido al cual el sistema de procesamiento de datos de la presente invención puede aplicarse. El lado de distribución de contenido 10 transmite un contenido o una clave de contenido criptografiada a varios aparatos de reproducción de contenido en el lado de recepción de Í??^É.?JtrlM ^A?Jt^? ^.yy^is^Áiíy _._,___ —jt«»^ fa«_^_j_jM^_,. _._-_^Mt Mtat .iikJ=afc__ contenido 20. El aparato en el lado de recepción de contenido 20 descifra un contenido criptografiado o una clave de contenido que se ha recibido para obtener un contenido o una clave de contenido, y efectuar la reproducción de datos de imagen y dato de voz o ejecuta varios programas. El intercambio de datos entre el lado de distribución de contenido 10 y el lado de recepción de contenido 20 es ejecutado a través de una red como por ejemplo Internet o a través de un lado de registro que puede circular como por ejemplo DVD, CD. El dispositivo de distribución de datos en el lado de distribución de contenido 10 incluye Internet 11, una difusión por satélite 12, un circuito de teléfono 13, medios 14, por ejemplo DVD, CD, etc., y por otra parte, los dispositivos en el lado de recepción de contenido 20 incluyen una computadora personal (PC), aparatos portátiles 23, por ejemplo un dispositivo portátil (PD) , un teléfono portátil, PDA (asistentes digitales personales), etc., una unidad de registro y reproducción 24 como por ejemplo reproductores de DVD, CD y una unidad de uso exclusivo para reproducción 25, como por ejemplo una terminal de juegos. En estos dispositivos en el lado de recepción de contenido 20, los contenidos a partir del lado de distribución de contenido 10 son obtenidos a partir de un dispositivo de comunicación como por ejemplo una red, o bien a partir de medios 30.

Constitución del dispositivo La figura 2 muestra un diagrama de bloques de un dispositivo de registro de reproducción 100 como ejemplo de dispositivo en el lado de recepción de contenido 20 mostrado en la figura 1. El dispositivo de registro y reproducción 100 tienen una I/F (interfaz) de entrada/salida 120, un codee 130 de conformidad con MPEG (Moving Picture Experts Group) , una I/F (interfaz) 140 proporcionada con convertidor de datos analógicos a digitales, datos digitales a analógicos 141, un dispositivo de procesamiento de criptografiado 150, una ROM (memoria de solo lectura) 160, una CPU (unidad central de procesamiento) 170, una memoria 180 y una unidad 190 para un medio de registro 195, conectados entre ellos por un bus 110.

La interfaz I/F de entrada/salida 120 recibe una señal digital que consiste de varios contenidos, como por ejemplo imagen, voz, programa, etc., dicha señal digital es suministrada desde el exterior para ser ingresada al bus 102, y recibe una señal digital del bus 110 para enviarla hacia el exterior. El codee de conformidad con MPEG 130 descifra datos codificados de conformidad con MPEG suministrados a partir del bus 110 para enviarlos a la interfaz I/F de entrada/salida 140, y descifra de conformidad con MPEG una señal digital suministrada a partir de la interfaz I/F de entrada/salida 140 para enviarla al bus 110. La interfaz I/F de entrada/salida 140 contiene un convertidor de datos analógicos a digitales, datos digitales a analógicos 141 ahí. La interfaz I/F de entrada/salida 140 recibe una señal analógica como un contenido suministrado desde el exterior, que es sometida a una conversión A/D (Analógica Digital) por 5 el convertidor 141 de datos analógicos a digitales, datos digitales a analógicos, por lo que la señal es enviada como una señal digital al codee de conformidad con MPEG 130, y una señal digital del codee, de conformidad con MPEG es sometida a una conversión D/A (digital analógica) por el convertidor 0 141 de datos analógicos a digitales, datos digitales a analógicos, la cual es enviada como una señal analógica hacia el exterior. El dispositivo de procesamiento de criptografiado 150 consiste por ejemplo de un LSI (circuito integrado a gran 5 escala) en chip, para ejecutar el procesamiento de criptografiado, descifrado, o procesamiento de autenticación de una señal digital como un contenido suministrado a través del bus 110, y para enviar datos criptografiados y datos descifrados al bus 110. El dispositivo de procesamiento de 0 criptografiado 150 puede también ser efectuado no solamente por el LSI de chip sino también por una combinación de varias programáticas o equipos. La constitución del dispositivo de procesamiento formado a partir de la configuración de programática se describirá más adelante. 5 La memoria de solo lectura 160 almacena datos de programa ?.?J¡k?*»tit&i «_.-__,____*_*_. procesados por el dispositivo de registro y reproducción. La unidad central de procesamiento 170 ejecuta programas almacenados en la memoria de solo lectura 160 y la memoria 180 para controlar de esta forma el codee de conformidad con MPEG 130, y el dispositivo de procesamiento de criptografiado 150. La memoria 180, es por ejemplo, una memoria no volátil que almacena un programa que es ejecutado por la unidad central de procesamiento 170, datos necesarios para la operación de la unidad central de procesamiento 170, y un conjunto de claves que se utilizan en el procesamiento de criptografiado ejecutado por el dispositivo. El conjunto de claves se explicará más adelante. La unidad 190 impulsa el medio de registro 195 capaz de registrar y reproducir datos digitales para leer de esta forma (reproducir) datos digitales a partir del medio de registro 195 para enviarlos al bus 110, y suministra datos digitales suministrados a partir del bus 110 al medio de registro 195 para registro. El medio de registro 195 es un medio capaz de almacenar datos digitales, por ejemplo, un disco óptico como por ejemplo DVD, CD, un disco magnético óptico, un disco magnético, una cita magnética, o una memoria de semiconductor como por ejemplo RAM, y en la presente modalidad, el medio puede ser montado de manera desprendible en la unidad 190. Sin embargo, el medio de registro 195 puede estar alojado en el dispositivo de registro y reproducción 100. ÍM.J .?.-._»___-._«_i...

El dispositivo de procesamiento de criptografiado 150 mostrado en la figura 2 puede estar constituido como un LSI de un chip único, y puede emplear una constitución realizada por una combinación de programática y equipo. Estructura de árbol como constitución de distribución de claves A continuación se describirá, con relación a la figura 3, la constitución para guardar una clave de procesamiento de criptografiado en cada dispositivo y una constitución de distribución de datos en donde datos criptografiados sor-distribuidos a partir del lado de distribución de contenido 10 mostrado en la figura 1 a cada dispositivo en el lado de recepción de contenido 20. Los números 0 a 15 mostrados en la etapa más baja en la figura 3 son dispositivos individuales en el lado de recepción de contenido 20. Es decir, cada hoja de la estructura jerárquica de árbol mostrada en la figura 3 corresponde a un dispositivo. Cada uno de los dispositivos 0 a 15 almacena un conjunto de claves que comprende una clave asignada a un nodo desde la propia hoja hasta una raíz (una clave de nodo) y una clave de hoja de cada hoja, en el árbol jerárquico, mostrado en la figura 3, al momento de la fabricación o al momento del embarque o después. K0000 a Kllll mostrados en la etapa más baja de la figura 3 son claves de hoja respectivas asignadas a los dispositivos 0 a 15, y las claves de KR a Klll descritas en el segundo nodo desde la etapa más baja son claves de nodo. En la constitución mostrada en la figura 3, por ejemplo, un dispositivo 0 tiene una clave de hoja K0000 y claves de nodo K000,K00,K0, KR, un dispositivo 5 tiene K0101, K010, KOI, KO, KR, un dispositivo 15 tiene Lllll, Klll, Kll, Kl, KR, en el árbol de la figura 3, solamente 16 dispositivos 0 a 15 son descritos, y la estructura de árbol se muestra como una constitución sistemática hacia la izquierda y la derecha bien equilibrada de una constitución de 4 etapas, sin embargo, se puede constituir mucho más dispositivos en el árbol, y las partes del árbol pueden tener un número diferente de etapas. Además, cada dispositivo incluido en la estructura de árbol mostrada en la figura 3 incluye varios medios de registro, por ejemplo DVD, CD, MD, del tipo integrado o del tipo montado de manera desprendible en el dispositivo, o dispositivos de varios tipos utilizando una memoria instantánea o similar. Además, varios servicios de aplicación pueden coexistir. Además, de la constitución coexistente de varios dispositivos y varias aplicaciones, la estructuras de árbol jerárquica que es una constitución de distribución de contenido o de clave mostrada en la figura 3 es aplicada. En el sistema en el cual coexistente varios dispositivos y varias aplicaciones, por ejemplo, una porción rodeada por la i fc-a. _ -Í__.;______.__.'I línea de puntos en la figura 3, es decir, los dispositivos 0, 1, 2 y 3 se establecen como un solo grupo utilizando el mismo medio de registro. Por ejemplo, con relación al dispositivo incluido en el grupo rodeado por la línea de puntos, el procesamiento es ejecutado de tal manera que un contenido común sea criptografiado y enviado a partir de un proveedor, una clave de contenido utilizada en común para dispositivos es enviada o bien datos de pago para cobros por contenido es también criptografiado y enviado para cada dispositivo a un proveedor o a una organización de liquidación. La organización para efectuar la transmisión-recepción de datos a los dispositivos y a partir de los dispositivos tales como un proveedor de contenido o una organización de liquidación ejecuta el procesamiento para enviar la porción rodeada por la línea de puntos de la figura 3, es decir, funciona colectivamente con los dispositivos 0, 1, 2, 3 como un grupo. Varios grupos de este tipo están presentes en el árbol de la figura 3. La organización para llevar a cabo la transmisión-recepción de datos a los dispositivos y a partir de los dispositivos tales como proveedor de contenido u organización de liquidación funciona como dispositivo de distribución de datos de mensaje. Claves de nodo y claves de hoja pueden ser controladas colectivamente por un centro de control de claves único o bien cada grupo puede ser controlado por un dispositivo de .á<?.? Aa a.±jj.jA. - .__..__*__ distribución de datos de mensaje como por ejemplo un proveedor o una organización de liquidación para llevar a cabo la transmisión-recepción de varios datos con relación a grupos. Estas claves de nodo y claves de hoja son sometidas a procesamiento de renovación cuando se fuga una clave. Este procesamiento de renovación es ejecutado por un centro de control de claves, un proveedor o una organización de liquidación. En esta estructura de árbol como es aparente en la figura 3, tres dispositivos 0,1,2,3, incluidos en un grupo tienen claves comunes KOO, KO, KR como una clave de nodo. Mediante la utilización de esta constitución común de clave de nodo, por ejemplo, una clave de contenido común puede ser distribuida solamente a los dispositivos 0, 1, 2, 3. Por ejemplo si la clave de nodo KOO en sí guardada en común es establecida como una clave de contenido, solamente los dispositivos 0, 1, 2, 3, pueden ser establecidos como clave de contenido común sin ejecutar nuevo envío de clave. Además, un valor Ene (KOO, Kcon) obtenido por el criptografiado de una nueva clave de contenido Kcon por una clave de nodo KOO es distribuido a los dispositivos 0,1,2,3 a través de una red o bien mediante el almacenamiento en el medio de registro, solamente los dispositivos 0,1,2,3 pueden descifrar el valor Ene (KOO, Kcon) criptografiado empleando una clave de nodo común KOO guardada en los dispositivos respectivos para obtener una clave de contenido: Kcon. El valor Ene (Ka, Kb) indica datos en los cuales Kb es criptografiado por Ka. Además cuando en la hora T, las claves K0011, K001, KOO, KO, KR propiedad del dispositivo 3 son analizadas por un pirata cibernético y después expuestas, es necesario para proteger datos transmitidos-recibidos en un sistema (un grupo de dispositivo 0,1,2,3) separar el dispositivo 3 del sistema. Para este propósito, las claves de nodo K001, KOO, KO, KR son renovadas separadamente en las nuevas claves K(t)001, K(t)oo, K(t)0, K(t)R, dichas claves renovadas deben ser notificadas a los dispositivos 0, 1, 2. Aquí, K(t)aaa indica una clave de renovación de Kaaa de generación: t. El procesamiento de distribución de clave de renovación se describiré a continuación. La renovación de claves se efectúa por almacenamiento de una tabla constituida por datos de bloques que se conoce como bloque de claves de habilitación (EKB) : bloque de claves de habilitación que se muestra en la figura 4A en una red, o bien en un medio de registro para suministrarlos a los dispositivos 0, 1, 2. El bloque de claves de habilitación (EKB) consiste de una clave de descifrado para distribuir una clave recién renovada a un dispositivo que corresponde a cada hoja que conforma una estructura de árbol como se muestra en la figura 3. El bloque de claves de habilitación (EKB) se conoce a veces como bloque de renovación de clave (KRB: bloque de renovación de clave) .

En el bloque de claves ?*t@ habilitación (EKB) mostrado en la figura 4A solamente el dispositivo en el cual una clave de nodo debe ser renovada es constituido como datos de bloque que tienen una constitución de datos que puede ser renovada. Un ejemplo de las figuras 4A y 4B muestra en los dispositivos 0, 1 y 2 en la estructura de árbol mostrada en la figura 3, datos de bloques formados para el propósito de distribuir una clave de nodo de renovación de la generación t. Como es aparente, a partir de la figura 3, el dispositivo 0 y el dispositivo 1 requieren de K(t)00, K(t)0, K(t)T como claves de nodo de renovación, y el dispositivo 2 requiere de K(t)001, K(t)00, K(t)0, K(t)R como claves de nodo de renovación. Como se muestra en EKB de la figura 4A varias claves criptografiadas están incluidas en EKB. La clave criptografiada en la etapa más baja es Enc(K0010, K(t)001). Es una clave de nodo de renovación en K(t)001 criptografiada por una clave de hoja K0010 del dispositivo 2 y el dispositivo 2 puede descifrar esta clave criptografiada por su clave de hoja para obtener K(t) 001. Mediante la utilización de K(t)001 obtenido por descifrado, una clave criptografiada Enc(K(t)001, K(t)00) en la segunda etapa a partir del fondo puede ser descifrada para obtener una clave de nodo de renovación (K(t)00). Secuencialmente, una clave criptografiada Enc(K(t)00; K(t)0 en la segunda etapa a partir . _.__._t.. _ _______ _:._.,_*.. de arriba de la figura 4A es descifrada para obtener una clave de nodo renovación K(t)0, y una clave criptografiada Enc(K(t)0, K(t)R) en la primera etapa a partir de la parte superior de la figura 4A es descifrada para obtener K(t)R. Por otra parte, en el dispositivo K0000, K0001, una clave de nodo KOO no está incluida para ser renovada, y una clave necesaria para una clave de nodo renovación es K(t)00, K(t)0, K(t)R. El dispositivo K000, K0001 descifra una clave criptografiada _Enc(K00, K(t)00) en la tercera etapa desde la parte superior de la figura 4A para obtener K(t)00, y después una clave criptografiada Enc(K(t)00, K(t)O) en la segunda etapa de la parte superior a partir de la figura 4A es descifrada, y criptografiada Ene (K (t) 0, K (t) R) en la primera etapa a partir de la figura 4A es descifrada para obtener K(t)R. De esta forma, los dispositivos 0,1,2 pueden obtener una clave renovada K(t)001, K(t)00, K(t)0 y K(t)R. El índice en la figura 4A muestra la dirección absoluta de una clave de nodo y una clave de hoja que se utiliza como clave de descripción. Cuando la renovación de una clave de nodo:; K(t)0, K(t)R en la etapa superior de la estructura de árbol mostrada en la figura 3, no es necesaria, y un procesamiento de renovación de solamente la clave de nodo KOO es necesario, un bloque de claves de habilitación EKB en la figura 4B puede utilizarse para distribuir una clave de nodo de renovación K(t)00 a los dispositivos 0,1,2,. EKB mostrado en la figura 4B puede utilizarse, por ejemplo, para destruir una nueva clave de contenido en común en un grupo específico. Concretamente se supone que los dispositivos 0, 1, 2, 3 mostrados por línea de puntos en la figura 3 utilizan un medio de registro, y una nueva clave de contenido común K(t)con es necesario. En este momento Enc(K(t)00, K(t)con) en la cual la nueva clave de contenido común K(t)con es criptografiada con K(t)00 en la cual una clave de nodo común KOO de los dispositivos 0, 1,2 es renovada es distribuida con EKB mostrado en la figura 4B. A través de esta distribución, se habilita la distribución de datos no descifrados en el aparato de otros grupos tales como un dispositivo 4. Es decir, si los dispositivos 0, 1, 2 descifran la sentencia criptografiada empleando K(t) 00 obtenida con procesamiento de EKB, se puede obtener una clave de contenido en el momento t, K(t)con. Distribución de una clave de contenido empleando EKB La figura 5 muestra como ejemplo de procesamiento para obtener una clave de contenido en el momento t K(t)con un procesamiento de un dispositivo 0 que recibe a través de un medio de registro datos Enc(K(t)00, K(t)con en los cuales una nueva clave de contenido común K(t)con es criptografiada empleando K(t)00 y EKB como se muestra en la figura 4B, es A &'jmiiái íißiieikisi decir, en el cual datos de mensaje criptografiados por EKB son una clave de contenido K(t)con. Como se muestra en la figura 5, un dispositivo 0 emplea la generación: EKB en generación: t almacenada en el medio de registro y una clave de nodo K000 almacenada de antemano para producir una clave de nodo K(t)00 por un procesamiento de EKB similar a lo descrito arriba. Además, una clave de contenido de renovación K(t)con es descifrada utilizando una clave de nodo de renovación K(t)00 descifrada, y es criptografiada por una clave de hoja K0000 propia y almacenada con el objeto de ser utilizada posteriormente. Formato de EKB La figura 6 muestra un ejemplo de formato del bloque de claves de habilitación (EKB) . Una versión 601 es un discriminador que muestra la versión del bloque de claves de habilitación (EKB) . La versión tiene una función para mostrar una relación correspondiente entre una función para discriminar el último EKB y un contenido. La profundidad muestra el número de jerarquías de un árbol jerárquico con relación a un dispositivo del destino de distribución del bloque de claves de habilitación (EKB) . Un puntero de datos 603 es un puntero para indicar la posición de la parte de datos en el bloque da clave de habilitación (EKB) , y un puntero de marcador 604 es un puntero para indicar la posición de una parte de marcador, y un puntero de firma 605 es un puntero para indicar la posición de una firma. Una parte de datos 606 almacena por ejemplo, datos que tienen una clave de nodo criptografiada a renovar. Por ejemplo, almacena varias claves criptografiada con relación a una clave de nodo de renovación como se muestra en la figura 5. Una parte de marcador 607 es un marcador para indicar una relación de posición de claves de nodo criptografiadas y claves de hoja almacenadas en la parte de datos. Una regla de adjunción de este marcador se describirá con referencia a las figuras 7A a 7C. Las figuras 7A a 7C muestran un ejemplo para enviar el bloque de claves de habilitación (EKB) descrito previamente en la figura 4A como datos. Los datos en este momento son como se muestra en la figura 7B. Una dirección de un nodo superior incluido en una clave de criptografiado en este momento se utiliza como una dirección de nodo superior. En este caso puesto se incluye una clave de renovación de una clave de raíz K(t)R, una dirección de nodo superior es KR. En este momento, por ejemplo, los datos Enc(K(t)0, K(t)R) en la etapa más arriba es una posición mostrada en un árbol jerárquico ilustrado en la figura 7A. El dato siguiente es Enc(K(t)00, K(t)0), que se encuentra en una posición debajo del lado izquierdo del dato previo en el árbol. Cuando existen datos, se establece un marcador en 0, y cuando no existen datos, se coloca el marcador en 1. El marcador es ajustado como (marcador izquierdo (L) , marcador derecho (R) ) .

Puesto que el dato existe a la izquierda del dato en la etapa superior Enc(K(t)0, K(t)R), el marcador tiene = 0 y puesto que no hay datos a la derecha, marcador R = 1. Los marcadores son establecidos para todos los datos con el objeto de constituir una fila de datos y una fila de marcadores como se muestra en la figura 7C. El marcador es establecido para mostrar en qué posición de la estructura de árbol se encuentra el dato Ene (Kxxx, Kyyy) . Puesto que los datos de clave Ene (Kxxx, Kyyy) son simplemente datos enumerados de claves simplemente criptografiadas, una posición en el árbol de la clave criptografiada almacenada como dato puede ser discriminada por el marcador mencionado arriba. Por ejemplo, una constitución de datos como lo presentado a continuación puede ofrecerse utilizando el índice de nodo colocado en correspondencia con los datos criptografiados como la constitución descrita en las figuras 4A y 4B previamente sin utilizar el marcador mencionado arriba: 0: Ene (K(t)0, K(t)raíz) 00: Ene (K(t)00, K(t)0) 000: Enc(K(t)000, K(t)00) Sin embargo, la constitución que utiliza un índice de este tipo de conformidad con lo descrito resulta en datos largos lo que incrementa la cantidad de datos, lo que no es posible ,«¿fca>¿iJl.-_4_-Éa-»i^..J.s.,t. .....«jafa ,. en la distribución en una red. Por otra parte, el marcador mencionado arriba es utilizado como datos de índice que muestran una posición de clave por lo que una posición de clave puede ser discriminada con una menor cantidad de datos. Regresando a la figura 6, se describirá con mayores detalles el formato de EKB. La firma es una firma electrónica realizada, por ejemplo por un centro de control de claves, un proveedor de contenido, una organización de liquidación o similar que distribuyó el bloque de claves de habilitación (EKB) . El dispositivo que recibió EKB confirma por autenticación de firma que es un bloque de claves de habilitación (EKB) distribuido por un distribuidor de bloque de claves de habilitación válido (EKB) . Clave de contenido utilizando EKB y distribución de contenido Mientras en el ejemplo anterior se efectuó una descripción de un ejemplo en el cual solamente la clave de contenido es envida junto con EKB, a continuación se hace una descripción de la constitución en la cual un contenido pictografiado por una clave de contenido, y una clave de contenido criptografiada por una clave criptografiada por contenido junto con una clave de criptografiado de clave de contenido criptografiado por EKB son enviadas. Las figuras 8A y 8B muestran esta constitución de datos. En la constitución mostrada en la figura 8A, Ene (Kcon, contenido) 801 es un dato en el cual un contenido es criptografiado por una clave de contenido (Kcon) Ene (KEK, Kcon) 802 es un dato en el cual una clave de contenido (Kcon) es criptografiado por una clave de criptografiado de clave de contenido (KEK: clave de criptografiado de clave) y Ene (EKB, KEK) 803 es un dato en el cual una clave de criptografiado de clave de contenido (KEK es criptografiada por un bloque de claves de habilitación (EKB) ) . Aquí, la clave de criptografiado de clave de contenido KEK puede ser una clave de nodo (K000, K00O,....) o una clave de raíz (KR) misma y puede ser una clave criptografiada por una clave de nodo (K000, KOO ) o un clave de raíz (KR) . La figura 8B muestra un ejemplo de una constitución en la cual varios contenidos son registrados en medios, que se hace uso del mismo Ene (EKB, KEX) 805. En una constitución de este tipo de conformidad con lo descrito, el mismo Enc(EKG, KEK) no es agregado a cada dato, sino un dato que muestra un destino de enlace enlazado a Ene (EKB, KEK) es agregado a cada dato. La figura 9 muestra un ejemplo de un caso en el cual una clave de criptografiado de contenido KEK es constituida como una clave de nodo de renovación K(t)00 obtenida por renovación de la clave de nodo KOO mostrada en la figura 3. En este caso, si en un grupo rodeado por el marco punteado en la figura 3, el dispositivo 3 es revocado, por ejemplo, debido a la fuga de una clave, datos que tienen un bloque de claves de habilitación EKB mostrado en la figura 9 y datos en los cuales una clave de contenido (Kcon) es criptografiado por una clave de criptografiado de clave de contenido (KEK = K(t)00) y datos en los cuales un contenido es criptografiado por una clave de contenido (Kcon) son distribuidos a miembros de los demás grupos, es decir, dispositivo 0, 1, 2 por lo que los dispositivos 0, 1, 2 pueden obtener el contenido. El lado derecho de la figura 9 muestra el procedimiento de descifrado en el dispositivo 0. El dispositivo 0, primero obtiene una clave de criptografiado de clave de contenido (KEK = K(t)00) a través del proceso de descifrado utilizando una clave de hoja K000 guardada por el mismo a partir del bloque de claves de habilitación recibido. Después, el dispositivo 0 obtiene una clave de contenido Kcon descifrada por K(t)00, y lleva a cabo adicionalmente el descifrado por la clave de contenido Kcon. El dispositivo 0 puede utilizar el contenido como el resultado del proceso anterior. Los dispositivos 1, 2 pueden también obtener una clave de criptografía o de clave de contenido (KEK = K(t)00) mediante el procesamiento de EKB por los diferentes procedimientos y todos pueden utilizar el contenido de manera similar. Los dispositivos 4, 5, 6 de los demás grupos mostrados en la figura 3 no pueden obtener una clave de criptografiado de clave de contenido (KEK = K(t)00) utilizando una clave de hoja y una clave de nodo guardada por ellos mismos aún si reciben los mismos datos (EKB) de conformidad con lo mencionado arriba. El dispositivo 3 revocado tampoco puede obtener la clave de criptografiado de clave de contenido (KEK= K(t)00) por una clave de hoja y una clave de nodo, y solamente el dispositivo que tienen el derecho apropiado puede descifrar y utilizar el contenido. Si la distribución de una clave de contenido que hace uso de EKB es utilizada, de la manera descrita, el contenido criptografiado que solamente un titular válido puede descifrar puede ser distribuido con seguridad. Un bloque de claves de habilitación (EKB, una clave de contenido, un contenido o similar tiene una constitución capaz de proporcionar una distribución segura a través de una red, pero el bloque de claves de habilitación (EKB) , la clave de contenido y el contenido criptografiado pueden también ser almacenados en un medio de registro como por ejemplo DVD, CD y proporcionados a un usuario. En este caso, si la constitución es tal que una clave de contenido obtenida por descifrado por un bloque de claves de habilitación (EKB) almacenado en un mismo medio de registro se utiliza para descifrar el contenido criptografiado almacenada en el medio de registro, un proceso de distribución de un contenido criptografiado puede ser utilizado solamente con una clave de hoja y una clave de nodo guardadas de antemano por el titular válido solamente, es decir, la distribución de contenido para la cual un dispositivo de usuario utilizable es limitado puede efectuarse por una constitución simple. La figura 10 muestra un ejemplo de constitución en la cual un bloque de claves de habilitación (EKB) es almacenado junto con un contenido criptografiado se almacenan en un medio de registro. En el ejemplo mostrado en la figura 10, los contenidos Cl a C4, datos con el bloque de claves de habilitación correspondiente a cada contenido almacenado colocado en correspondencia, y un bloque de claves de habilitación M (EKB - M) están almacenados en el medio de registro. Por ejemplo, EKB-1 se utiliza para producir una clave de contenido Kcon 1 que tiene un contenido Cl criptografiado y, por ejemplo, EKB-2 es utilizado para producir una clave de contenido Kcon2 que tiene un contenido C2 criptografiado. En este ejemplo, un bloque de claves de habilitación de versión M (EKB - M) es almacenado en un medio de registro. Puesto que los contenidos C3, C4 están en correspondencia con el bloque de claves de habilitación (EKB - M) contenidos de los contenidos C3, C4 pueden ser obtenidos mediante el descifrado del bloque de claves de habilitación (EKB - M) . Puesto que EKB-1, EKB-2 no están almacenados en un disco, es necesario obtener EKB-1, EKB-2 necesarios para descifrar las claves de contenido respectivas por nuevos medios de distribución, por ejemplo distribución de red o distribución por un medio de registro. :.¿._Á-¿U t i Las figuras HA y 11B muestran un ejemplo comparativo entre una distribución de clave de contenido mediante el uso de EKB y una distribución de clave de contenido convencional en donde una clave de contenido circula entre varios dispositivos. La figura HA muestra la constitución convencional y la figura 11B muestra un ejemplo que hace uso de un bloque de claves de habilitación EKB de conformidad con la presente invención. En las figuras HA y 11B, Ka (Kb) indica datos en los cuales K(b) es criptografiado por Ka. Como se muestra en la figura HA se ha efectuado un procesamiento hasta la fecha en donde la validez de un transmisor - recepción de datos es confirmada, procesamiento de autenticación intercambio de autenticación y claves (AKE) se ejecutan entre dispositivos para conocer una clave de sesión Kses en proceso de criptografiado de transmisión de datos, y una clave de contenido de datos Kcon es criptografiada por la clave de sesión Kses en la condición que se establezca la autenticación para efectuar la transmisión. Por ejemplo, en PC mostrado en la figura HA es posible descifrar una clave de contenido Kses criptografiada por una clave de sesión recibida por la clave de sesión para obtener Kcon, y es posible además criptografiar Kcon obtenido por una clave almacenada Kstr guardada por una computadora personal misma para almacenarla en su propia memoria.

En la figura HA es necesario un procesamiento en el cual aún cuando se desea distribuir datos en la forma que puede ser utilizada por solamente un dispositivo de registro 1101 mostrado en la figura HA, cuando la computadora personal o un dispositivo de reproducción está presente, se ejecuta un proceso de autenticación como se muestra en la figura HA de tal manera que claves de contenido sean criptografiados por las claves de sesión respectivas para efectuar la distribución. La computadora personal o el dispositivo de reproducción pueden también utilizar una clave de sesión producida en el proceso de autenticación y co-poseída para descifrar una clave de contenido criptografiada y obtener una clave de contenido. Por otra parte, en un ejemplo que hace uso de un bloque de claves de habilitación (EKB) mostrado en la etapa inferior de la figura 11B, un bloque de claves de habilitación (EKB) y datos (Kroot (Kcon) ) que tienen una clave de contenido Kcon criptografiada por una clave de nodo o una clave de raíz obtenida por procesamiento del bloque de claves de habilitación (EKB) son distribuidos a partir de un proveedor de contenido, por lo que la clave de contenido Kcon puede ser descifrada y obtenida solamente por un aparato capaz de procesar EKB distribuido. Por consiguiente, por ejemplo, el bloque de claves de habilitación utilizable (EKB) es producido solamente en el -..ti . extremo derecho en la figura 11B y el bloque de claves de habilitación (EKB) y los datos que tienen una clave de contenido Kcon criptografiada por una clave de nodo o una clave de raíz obtenida por procesamiento de EKB son enviados juntos por lo que la computadora personal, el aparato de reproducción o similar presentes no pueden ejecutar un procesamiento de EKB por una clave de hoja o una clave de nodo poseída por dicho aparato. Por consiguiente, la clave de contenido utilizable puede ser distribuida solamente al dispositivo válido de manera segura sin ejecutar procesos tales como proceso de autenticación entre los dispositivos de transmisión - recepción de datos, la producción de una clave de sesión, y el proceso para criptografiar una clave de contenido Kcon por la clave de sesión. No se desea distribuir a una PC la clave de contenido utilizable, o bien a una unidad de registro y reproducción, un bloque de claves de habilitación (EKB) capaz de ser procesado es producido y distribuido para obtener de esta forma una clave de contenido común. Distribución de clave de autenticación utilizando un bloque de claves de habilitación (EKB) (sistema de clave común) en la distribución de datos utilizados en el bloque de claves de habilitación (EKB) o una clave descrita arriba, puesto que un bloque de claves de habilitación (EKB) y un contenido o una clave de contenido que son transferidos entre dispositivos mantienen siempre la misma forma de criptografiado, existe la posibilidad de producir una copia inválida debido a lo que se conoce como ataque de reproducción, que roba y almacena un canal de transmisión de datos y lo transfiere otra vez. Para evitar un ataque de este tipo, existe un medio efectivo para ejecutar un proceso de autenticación y un proceso de intercambio de claves similar a los procesos de la técnica anterior entre dispositivos de transferencia de datos. A continuación se presenta una descripción de la constitución en la cual una clave de autenticación Kake utilizada cuando se efectúa el proceso de autenticación y un proceso de intercambio de claves se ejecutan es distribuida a un dispositivo utilizando el bloque de claves de habilitación antes mencionado (EKB) por lo que se ejecuta el proceso de autenticación de conformidad con un sistema de clave común que tiene una clave de autenticación común como clave privada segura. Es decir se trata de un ejemplo en el cual datos de mensaje criptografiados por EKB son utilizados como una clave de autenticación. La figura 12 muestra un método de autenticación mutua (ISO/IEC 9798-2) que utiliza un sistema común de criptografiado de claves. Mientras en la figura 12, se utiliza DES como el sistema común de criptografiado de claves, otros sistemas pueden ser utilizados en la medida en que son el sistema común de criptografiado de claves. En la í.,í.*í?t.i á:. i.- ¿,yt?lrÍ.. &*y. figura 12, primero, B produce el número aleatorio Rb de 64 bitios y Rb e ID (b) , que es su propia ID, se transmiten A. A que los recibe produce el número aleatorio Ra de 64 bitios, y datos son criptografiados empleando una clave Kab en el modo 5 CBC de DES de tal manera que Ra, Rb y Rc los transmitan a B. La clave Kab es una clave a almacenar en un elemento de registro como una clave privada común a A y B. De conformidad con el procesamiento de criptografiado por la clave Kab que utiliza el modo CBS de DES, por ejemplo, en el procesamiento 10 que utiliza DES, un valor inicial y Ra son sometidos a O exclusivo; en la parte de criptografiado según DES, la clave Kab es utilizada para criptografiar para generar un texto criptografiado El y continuamente, el texto criptografiado El y Eb son sometidos a 0 exclusivo; en la parte de 15 criptografiado según DES, una clave Kab es utilizada para criptografiado, y el texto criptografiado E2 e ID (b) son sometidos a O exclusivos; y en la parte de criptografiado según DES una clave Kab es utilizada para criptografiar para generar datos de transmisión (Token-AB) por un texto 20 criptografiado E3 producido. B que recibió los datos antes mencionados, descifra los datos recibidos por una clave Kab (clave de autenticación) almacenada también un elemento de registro como una clave privada común. Un método de descifrado de los datos recibidos 25 descifra primero un texto criptografiado El por una clave de autenticación Kab para obtener el número aleatorio Ra. Después el texto criptografiado E2 es descifrado por una clave de autenticación Kab, y el resultado de ahí y El son sometidos a 0 exclusivo para obtener Mb. Finalmente, un texto criptografiado E3 es descifrado por una clave de autenticación Kab y el resultado de ahí y E2 son sometidos a 0 exclusivo para obtener ID (b) . Se efectúa una autenticación si Ra e ID(b) entre Ra, Rb e ID(b) obtenidos de esta forma coinciden con 1 transmitido por B. Cuando ha pasado esta autenticación B autentica que A es válido. Después, B produce una clave de sesión (Kses) a utilizar después de la autenticación (método de producción: utilizar el número aleatorio) . Después, Rb, Ra, Kses son criptografiados en este orden utilizando una clave de autenticación Kab en el modo CBC de DES y son devuelto a A. A que recibió los datos anteriores, descifra los datos recibidos a través de una clave de autenticación Kab. Un método de descifrado de los datos recibidos es similar al proceso de descifrado de B, que por consiguiente es omitido en cuanto a sus detalles. La autenticación se efectúa si Rb y Ra entre Rb, Ra y Kses obtenidos de esta forma coinciden con lo transmitido por A. Cuando pasó la autenticación, A autentica que B es válido. Después de la autenticación de las partes correspondientes entre ellas, la clave de sesión Kses es utilizada como una clave común para comunicación secreta ___-A&&__._ ____. -_J_ __M___ después de la autenticación. Cuando se encuentra invalidez o falta de coincidencia cuando los datos recibidos son autenticados, se suspende el procesamiento como una falla de autenticación mutua. En el proceso de autenticación descrito arriba, A y B poseen de manera conjunta una clave de autenticación común Kab. La clave de autenticación común Kab es distribuida a un dispositivo utilizando la clave de bloque de habilitación (EKB) . Por ejemplo, en el ejemplo mostrado en la figura 12, se puede emplear la constitución en la cual entre A y B, el otro criptografía una clave de autenticación Kab y un bloque de claves de habilitación (EKB) producido por la producción de un bloque de claves de habilitación decodificable (EKB) para transmitirlo al otro, o bien la constitución en la cual un tercero produce un bloque de claves de habilitación (EKB) que puede ser utilizado por ambos dispositivos A y B para los dispositivos A y B para criptcgrafiar una clave de autenticación Kab por el bloque de claves de habilitación EKB producido para que los dispositivos A, B lo distribuyan. Las figuras 13 y 14 muestran ejemplos de la constitución en la cual una clave de autenticación Kae común a varios dispositivos es distribuida por un bloque de claves de habilitación (EKB) . La figura 13 muestra un ejemplo en el cual una clave de autenticación decodificable KaKe es distribuida a los dispositivos 0, 1, 2, 3 y la figura 14 muestra un ejemplo en el cual el dispositivo 3 entre los dispositivos 0, 1, 2, 3 es revocado para distribuir una clave de autenticación decodificable solamente a los dispositivos 5 0, 1, 2. En el ejemplo de la figura 13, una clave de nodo K(t)00 renovada utilizando la clave de nodo y una clave de hoja en los dispositivos 0, 1, 2, 3 es producida y distribuida mediante la producción de un bloque de claves de habilitación 10 decodificable (EKB), junto con datos (b) que tienen una clave de autenticación kaka descifrada por una clave de nodo de renovación K(t)00. Primero los dispositivos respectivos como se muestra en el lado derecho de la figura 13, procesan (descifran) EKB para obtener de esta forma una clave de nodo 15 renovada K(t)00, y después descifran una clave de autenticación: Enc(K(t)00, Kake) criptografiada empleando la clave de nodo obtenida K(t)00 con el objeto de obtener una clave de autenticación Kake. En otros dispositivos 4, 5, 6, 7, , aún si el mismo 20 bloque de claves de habilitación (EKB) es recibido, la clave de nodo K(t)00 renovada mediante el procesamiento de EKB no puede ser obtenida, y por consiguiente, una clave de autenticación puede ser enviada solamente al dispositivo válido con seguridad. 25 Por otra parte, el ejemplo de la figura 14, es un ejemplo en a .- ..» ... „,, «„ j. ^3»4. i. j_ aac-A?c tea »ic a •A........ .j el cual cuando el dispositivo es revocado por ejemplo por la fuga de una clave, el dispositivo 3 en un grupo rodeado por el cuadro marcado con puntos de la figura 3 produce un bloque de claves de habilitación decodificable (EKB) con relación únicamente a los miembros del otro grupo, es decir, los dispositivos 0, 1, 2 para distribución. Datos que tienen (a) un bloque de claves de habilitación (EKB) y (b) una clave de autenticación (Kake) como se muestra en la figura 14 criptografiados por la clave de nodo (K(t)00) son distribuidos. Del lado derecho de la figura 14, el procedimiento de descifrado se muestra. Primero los dispositivos 0, 1, 2 obtienen una clave de nodo de habilitación (K(t)00) mediante el proceso de descifrado utilizando una clave de hoja o una clave de nodo poseída por si misma a partir del bloque de claves de habilitación recibida. Después, los dispositivos obtienen una clave de autenticación Kake mediante descifrado efectuado por (K(t)00). Los dispositivos 4, 5, 6.... en el otro grupo mostrado en la figura 3 no pueden obtener una clave de nodo de renovación (K(t)00) utilizando una clave de hoja y una clave de nodo poseída por ella misma. Aún si datos similares (EKB) son recibidos. De manera similar, también en el dispositivo 3 revocado, la clave de nodo de renovación (K(t)00) no puede ser obtenida por una clave de hoja y una clave de nodo l_á-á_l,__ -*-^¡¡i~&'¿**-i»&?-r -.4&ikA¿ .Jíí* poseída por si misma, y solamente el dispositivo que tiene un derecho válido puede descifrar una clave de autenticación para su uso. Si se utiliza distribución de una clave de autenticación que hace uso de EKB, solamente el titular correcto válido puede distribuir una clave de autenticación decodificable de manera segura con menos cantidad de datos. Distribución de clave de contenido utilizando una autenticación de clave pública y un bloque de claves de habilitación (EKB) A continuación, se describirá el proceso de distribución de la clave de contenido utilizando una autenticación de clave pública y bloque de claves de habilitación (EKB) . Primero, un método de autenticación mutuo utilizando un criptografiado de curva elíptica de 160 bitios de largo que es un sistema cúbico de criptografiado de clave, se describirá con referencia a la figura 15. En la figura 15, se utiliza ECC como el sistema de criptografiado de clave pública, pero cualquier sistema puede ser empleado en la medida que es un sistema de criptografiado de clave pública similar. Además, el tamaño de la clave no tiene que ser de 160 bitios. En la figura 1, primero B produce el número aleatorio Rb de 64 bitios para transmitirlo a A. A que lo recibe produce un número aleatorio Ra de 64 bitios y el número aleatorio Ak menor que el número primo p. Y un punto Av, Ak x G obtenido tMr.m?** .._»_ «... -t.y. *«._ ,. _..._l_a ak_l«._-->-.»->.«. ¿^yj -.»«¡e....-elaborando un punto de base G, Ak veces es obtenido para producir una firma electrónica A, Sig con relación a Ra, Rb, Av (coordenada X y coordenada Y) que es devuelto junto con un certificado pública de A a B. En Ra y Rb, coordenada X y coordenada Y de 64 bitios, A, B son respectivamente de 160 bitios y por consiguiente, se produce una firma electrónica con relación a 448 bitios en total. B que recibió el certificado de clave pública Ra, Rb, Av, la firma electrónica A. Sig autentica si Rb transmitido por A coincide con lo producido por B. Como resultado, cuando existe coincidencia, una firma electrónica dentro del certificado de clave pública de A es autenticada por una clave pública de una oficina de autenticación para producir una clave pública de _A. La firma electrónica A. Sig es autenticada utilizando una clave pública de A extraída. Después B produce el número aleatorio Bk que es menor que el número primo p. Un punto Bv = Bk x G obtenido elaborando un punto de base G Bk veces es obtenido para producir una firma electrónica B. Sig con relación Rb, Ra, Bv (coordenada X y coordenada Y) que es devuelto a A junto con un certificado de pública B. A que recibió el certificado de clave pública, Rb, Ra, Av, la firma electrónica B. Sig de B autentica si Ra transmitido por B coincide con lo producido por A. Como resultado, cuando existe coincidencia, la firma electrónica dentro del certificado de clave púMica de B es autenticada por una clave pública de una oficina de autenticación para producir una clave pública de B. La firma electrónica B. Sig es autenticada empleando una clave pública de B extraída. Después de la autenticación de una firma electrónica A autentica B como válido. Cuando ambos han logrado la autenticación, B calcula Bk x Av (puesto que Bk es el número aleatorio, pero Ab es el punto en la curva eléctrica, se requiere de cálculo de tiempo a escala en el punto en la curva ovalada) y A calcula Ak x Bv, y utiliza los 64 bitios más bajos de la coordenada X de estos puntos como una clave de sesión para su uso para comunicación expuesta (cuando un cpptografiado de clave común es un criptografiado de clave común de una longitud de clave de 64 bitios) . Evidentemente, una clave de sesión puede ser producida a partir de la coordenada Y y la coordenada no tienen que ser los 64 bitios más bajos. En la comunicación secreta después de autenticación mutua, a veces, los datos de transmisión no son solamente criptografiados por una clave de sesión sino también aplicados con una firma electrónica. Cuando en la autenticación de una firma electrónica o autenticación de los datos recibidos, se encuentra invalidez o falta de coincidencia, el procesamiento es interrumpido debido a una falla de autenticación mutua. La figura 16 muestra un ejemplo de proceso de distribución de claves de contenido utilizando la autenticación de clave pública y un bloque clave de habilitación (EKB) . Primero, el proceso de autenticación de conformidad con el sistema de clave pública explicado con referencia a la figura 15 es ejecutado entre un proveedor de contenido y PB. El proveedor de contenido produce un EKB decodificable por un aparato de reproducción que es un destino de distribución de clave de contenido, una clave de nodo y una clave de hoja poseída por un medio de registro para criptografiar una clave de contenido E (Kcon) que ejecutó el criptografiado por una clave de nodo de renovación y un bloque de claves de habilitación (EKB) por una clave de sesión Kses producida por el proceso de autenticación entre PCs, que es transmitidos a PC. PC descifra (una clave de contenido E(Kcon) que ejecutó el criptografiado por una clave de nodo de renovación y un bloque de claves de habilitación (EKB) ) criptografíada por una clave de sesión y después la transmite a un aparato de reproducción y un medio de registro. El aparato de reproducción y el medio de registro descifra (una clave de contenido E(Kcon) que ejecutó el criptograflado por una clave de nodo de renovación y un bloque de claves de habilitación (EKB) ) para obtener de esta forma una clave de contenido Kcon. De conformidad con la constitución anterior, puesto que (una clave de contenido E(Kcon) que ejecutó un cpptografiado por «>.-».- .-. y .. «.-... j,.«i__w.«wan? _ ^ <&»s?m á<??¡3 &i%m,??e^skik ,-, una clave de nodo de renovación y un bloque de claves de habilitación (EKB) ) son transmitidos a condición de que existe autenticación entre un proveedor de contenido y PC, por ejemplo aún en el caso en el cual se fuga una clave de nodo, se habilita la transmisión de datos positivos a una parte correspondiente. Distribución de un código de programa mediante la utilización de un bloque de habilitación (EKB) Mientras en el ejemplo descrito arriba se ha hecho una descripción de un método para criptografiar una clave de contenido, una clave de autenticación o similar que utiliza un bloque de claves de habilitación (EKB para distribuirla, la constitución en la cual varios códigos de programa son distribuidos empleando el bloque de claves de habilitación (EKB) puede emplearse. Es decir, es un ejemplo en el cual datos de mensaje criptografiado por EKB se utilizan como código de programa. Esta constitución se describirá a continuación. La figura 17 muestra un ejemplo en el cual se criptografía un código de programa, como por ejemplo, a través de una clave de nodo de renovación de un bloque de claves de habilitación (EKB) para transmitirlo entre dispositivos. Un dispositivo 1701 transmite un bloque de claves de habilitación (EKB) que puede ser descifrado por una clave de odo y una clave de hoja de un dispositivo 1702 y un código ae programa sometido ü c--a.Ai»a » *w?>?é- iMít!iatm a descifrado por una c? ||e de nodo de renovación contenida en el bloque de claves de habilitación (EKB) a un dispositivo 1702. El dispositivo 1702 procesa el EKB recibido para obtener una clave de nodo de renovación, y ejecuta adicionalmente el descifrado de un código de programa por una clave de nodo de renovación obtenida con el objeto de obtener un código de programa. En el ejemplo mostrado en la figura 17, además, el procesamiento por el código de programa obtenido en el dispositivo 1702 es ejecutado para devolver el resultado al objetivo 1701, y el dispositivo 1701 sigue procesando con base en el resultado. Como se describió arriba, el bloque de claves de habilitación (EKB) y el código de programa sometido a procesamiento de descifrado por la clave de nodo de renovación contenida en el bloque de claves de habilitación (EKB) son distribuidos por lo que un código de programa capaz de ser descifrado en un dispositivo específico puede ser distribuido al dispositivo específico o al grupo mostrado en la figura 3. [Constitución para hacer que ICV: valor de revisión de integridad corresponda a un contenido de transmisión] A continuación se describirá la constitución de procesamiento a través del cual para evitar la falsificación de un contenido, el valor de revisión de integridad (ICV) es producido para corresponder al contenido, y la presencia o l j_____t _i__¿__a__; yj .*_» -aaüi-Sfai ÚAási ausencia de falsificación del contenido es determinada por cálculo de ICV. El valor de revisión de integridad (ICV) es por ejemplo calculado empleando un función de verificación con relación al contenido y se calcula mediante ICV = verificación (Kicv, Cl, C2.... ) . Kiev es una clave de producción de ICV. Cl, C2 son información de un contenido, y un código de autenticación de mensaje (MAC) de información de contenido importante se utiliza. La figura 18 muestra un ejemplo de producción de MAC utilizando la constitución de procesamiento de criptografiado DES, como se muestra en la constitución de la figura 18, un mensaje que es un objeto es dividido en unidades de 8 bitios (a continuación, los mensajes divididos son Ml, M2,....Mn). Primero, el valor inicial (a continuación IV) y Ml son sometidos a O exclusivo (resultado de lo cual es II) .

Después, II se coloca en una parte de criptografiado de Des para efectuar el criptografiado empleando una clave a (continuación Kl) (una salida es El) . A continuación El y M2 son sometidos a O exclusivo, cuya salida 12 es colocada en la parte de criptografíado de DES y es criptografiada empleando la clave 1 (una salida E2) . Después, se repite este procedimiento, y el procesamiento de criptografiado es aplicado a todos los mensajes. El último En es un código de autenticación de mensaje (MAC) .

La función de verificación es aplicada al valor de MAC del contenido y la clave de producción de ICV para producir el valor de revisión de integridad (ICV) del contenido. El ICV producido cuando un contenido es producido para el cual se asegura el hecho que no hay falsificación se compara con el ICV producido con base en un nuevo contenido; Si se obtiene el mismo ICV, se asegura el hecho que el contenido no presenta falsificación, y si el ICV es diferente, se determina que una falsificación está presente. Constitución para distribuir una clave de producción Kiev del valor de revisión (ICV) por EKB Después, la constitución en la cual Kiece que es una clave de producción de valor de revisión de integridad (ICV) de un contenido es enviada por el bloque de claves de habilitación se describirá. Es decir, es un ejemplo en el cual datos de mensajes criptografiados en EKB son una clave de producción de valor de revisión de integridad (ICV) de un contenido. La figura 19 y la figura 20 muestran un ejemplo en el cual contenidos comunes a varios dispositivos son enviados, una clave de producción de valor de revisión de integridad Kiev para autenticar la presencia o falsificación de estos contenidos es distribuida por el bloque de claves de habilitación (EKB) . La figura 19 muestra un ejemplo en el cual una clave de producción de valor de revisión de integridad decodificable Kiev es distribuida a los . -fe Ate»c ^j_ifet_Mi¡<iJAJjtaat__a______''1iír' ' ---ytíytriáii!. _j___fti»j_ dispositivos 0, 1, 2, 3 y la figura 20 muestra un ejemplo en el cual el dispositivo 3 entre los dispositivos 0, 1, 2, 3 es revocado, y una clave de producción de valor de revisión de integridad decodificado Kiev es distribuida solamente a los dispositivos 0, 1, 2. En el ejemplo de la figura 19, una clave de nodo K(t)00 renovada empleando una clave de nodo y una clave de hoja poseída por los dispositivos 0, 1, 2, 3, junto con datos (b) que tienen una clave de producción de valor de revisión Kicv criptografiada por una clave de nodo de renovación K(t)00 son- distribuidas por medio de la producción de un bloque de claves de habilitación (EKB) decodificable. Como se muestra en el lado derecho de la figura 19, los dispositivos respectivos procesan primero (descifran) EKB con el objeto de obtener de esta forma una clave de nodo K(t)00 renovada, y descifran subsecuente una clave de producción de valor de revisión: Enc(K(t)00, Kiev) Criptografiada empleando la clave de nodo obtenida K(t)00 para obtener una clave de producción de valor de producción de valor de revisión Kiev. Puesto que los dispositivos 4, 5, 6, 7, ... no pueden obtener una clave de nodo K(t)00 renovada por procesamiento de EKB por una clave de nodo y una clave de hoja poseída por el mismo, aún si se recibe el mismo bloque de claves de habilitación EKB, la clave de producción de valor de revisión puede ser enviada con seguridad solamente a un dispositivo Por otra parte, el ejemplo de la figura 20 es un ejemplo en el cual puesto que el dispositivo es por ejemplo revocado por una fuga de una clave, en un grupo rodeado por el marco de puntos de la figura 3 produce un bloque de claves de habilitación decodificable (EKB) con relación a los miembros del otro grupo, es decir, los dispositivos 0, 1, 2, para distribución. Datos que tienen (a) un bloque de claves de habilitación (EKB) y (b) una clave de producción de valor de revisión (Kiev) mostrada en la figura 20 criptografiados por la clave de nodo (K(t)00) son distribuidos. En el lado derecho de la figura 20, se muestra el procedimiento de descifrado. Primero, los dispositivos 0, 1, 2, obtienen una clave de nodo de renovación (K(t)00) por proceso de descifrado utilizando una hoja de clave de hoja o una clave de nodo propiedad del mismo a partir del bloque de claves de habilitación recibido, después, los dispositivos obtienen una clave de producción de valor de revisión Kiev mediante el descifrado efectuado por K(t)00. Los dispositivos 4, 5, 6.... en el otro grupo mostrados en la figura 3 no pueden obtener una clave de nodo de renovación (K(t)00) utilizando una clave de hoja y una clave de nodo poseída por el mismo aún si se reciben datos similares (EKB) .

De manera similar, también en el dispositivo 3 revocado, la clave de nodo de renovación (K(t)00) no puede ser obtenida i.L, í.-, .? m_„S?fe.__«3_teaat _.a,g|l__fe. por una clave de hoja y una clave de nodo poseída por el y solamente el dispositivo que tiene un derecho válido puede descifrar una clave de autenticación para su uso. Si se hace uso de una distribución de una clave de reproducción de valor de revisión que hace uso de EKB, solamente el titular válido puede distribuir una clave de producción de valor de revisión decodificable de manera segura con menos cantidad de datos. Mediante la utilización del valor de revisión de integridad (ICV) de los contenidos de conformidad con lo descrito arriba, es posible eliminar copias no válidas de EKB y contenidos criptografiados. Se supone que por ejemplo, como se muestra en la figura 21A y en la figura 21B existe un medio 1 en el cual están almacenados un contenido Cl y un contenido C2 junto con un bloque de claves de habilitación (EKB) capaz de obtener claves de contenido, que es copiado en un medio 2 sin modificación. Es posible copiar EKB y contenidos criptografiados que pueden ser utilizados en un dispositivo capaz de descifrar EKB. Se proporciona una constitución en la cual como se muestra en la figura 21B valores de revisión de integridad (ICV) (Cl, C2) están almacenados que corresponden a contenidos apropiadamente almacenados en los medios respectivos. El (ICV) (Cl, C2) muestra ICV igual verificación (Kiev, Cl, C2) que es un valor de revisión de integridad de contenidos que ción de verificación en el contenido Cl y en el contenido C2. En la constitución de la figura 2IB, un contenido 1 y un contenido 2 están almacenados apropiadamente en el ia^dio 1, y valores de revisión de integridad (ICV) (Cl, C2) producidos con base en el contenido Cl y en el contenido C2 están almacenados. Además, un contenido 1 está almacenado apropiadamente en el medio 2 y el valor de revisión de integridad (ICV) (Cl) producido con base en el contenido Cl está almacenado ahí. En esta constitución, vamos a considerar que (EKB, contiene 2) almacenado en el medio 1 es copiado en el medio 2, cuando en el medio 2, un valor de revisión de contenido es producido recientemente, ICV (Cl, C2) deben ser producidos de tal manera que es evidente que difiere de Kiev (Cl) almacenado en el medio, la falsificación de los contenidos y el almacenamiento de nuevos contenidos debido al copiado inválido se ejecutan. En el dispositivo para reproducir medios, la revisión ICV es ejecutada en un paso previo al paso de reproducción, y se hace una determinación de la coincidencia entre el ICV producido y el ICV almacenado, si no coinciden, la constitución en la cual la reproducción no es ejecutada se proporciona con el objeto de permitir evitar la reproducción de contenidos copiados de manera inválida. Además, se puede proporcionar la constitución en la cual para mejorar la seguridad, el valor de revisión de integridad (ICV) de contenidos es reescrito para producirlos en la base de datos incluyendo un contador. Es decir, esta constitución debe efectuar el cálculo por ICV = verificación (Kiev contador + 1, Cl, C2.... ) . aquí, un contador (contador +1) es ajustado en un valor en el cual se efectúa un incremento cada vez que se lleva a cabo una reescritura. Es necesario tener una constitución en la cual un valor de contador se encuentra almacenado en una memoria segura. Además, en la constitución en la cual el valor de revisión de integridad (ICV) de los contenidos no puede almacenarse en el mismo medio que los contenidos, el valor de revisión de integridad (ICV) de los contenidos es almacenado en un medio separado. Por ejemplo, cuando los contenidos están almacenados en un medio que no toma medidas para prevenir copias como por ejemplo una memoria de solo lectura o MO normal, existe la posibilidad que cuando el valor de revisión de integridad (ICV) se encuentra almacenado en el mismo medio, la reescritura del ICV es efectuada por un usuario inválido, no se mantiene la seguridad de ICV. En un caso de este tipo, se puede proporcionar la constitución en la cual el ICV se encuentra almacenado en un medio seguro en una máquina huésped, y se utiliza ICV para controlar las copias (por ejemplo, entrada/salida, movimiento) , con el objeto de permitir de esta forma el manejo seguro de ICV y la revisión _j_ yü> .«. ?. «frh-W- A^¿JL***Alml,_¿_-__-,.,__!*»__- ««afr de falsificación de contenidos. La constitución anterior es mostrada en la figura 22. En la figura 22, contenidos se almacenan en un medio 2201 que no toma medidas para evitar el copiado como por ejemplo medios de solo lectura o bien MO normal, y los valores de revisión de integridad (ICV) con relación a esos contenidos están almacenados en un medio seguro 2202 en una máquina huésped a la cual el usuario no tiene derecho a tener acceso con el objeto de evitar la reescritura inválida del valor de revisión de integridad (ICV) por un usuario. En el caso de una posición de este tipo descrito arriba, si por ejemplo se emplea una constitución en la cual cuando un dispositivo en el cual un medio 2201 está montado ejecuta una reproducción del medio 2201, una PC o un servidor que es una máquina huésped ejecuta la revisión de ICV para determinar el carácter apropiado de la reproducción, se puede evitar la reproducción de inválidos o contenidos falsificados. Clasificación de categorías de una estructura de árbol jerárquica Se ha descrito la constitución en la cual una clave criptografiada es constituida como una estructura de árbol jerárquica mostrada en la figura 3, como por ejemplo una clave de raíz, una clave de nodo, una clave de hoja, etc., y una clave de contenido, una clave de autenticación, una clave de producción de ICV, o un código de programa, datos o similares están criptografiados junto con un bloque de claves de habilitación y distribuidos, pero a continuación se hará una descripción de la constitución en la cual una estructura de árbol jerárquica que define una clave de nodo o similar es clasificada cada categoría de dispositivos para ejecutar un proceso de renovación de clave eficiente, distribución de clave criptografiada y distribución de datos. La figura 23 muestra un ejemplo de clasificación de categoría de una estructura de árbol jerárquica. En la figura 23, una clave de raíz Kroot 2301 es establecida en la etapa superior de la estructura de árbol jerárquica, una clave de nodo 2302 es establecida en la etapa intermedia, y una clave de hoja 2303 es establecida en la etapa inferior, cada dispositivo tiene claves de hoja individuales, y una serie de claves de nodo a partir de una clave de hoja hasta una clave de raíz, y una clave de raíz. Aquí, como ejemplo, nodos a partir de la etapa superior hasta la etapa M se establecen como nodo de categoría 2304. Es decir, cada uno de los nodos en la etapa M se establece como un nodo de ajuste de dispositivo de una categoría específica. Nodos y hojas menores que la etapa M+l se toman como nodos y hojas en combinación con dispositivos contenidos en la categoría del mismo con un nodo en la etapa M como superior. Por ejemplo, una categoría (Memory Stick (marca registrada) ) se establece en un nodo 2305 en la etapa M de la figura 23, y nodos y hojas proporcionadas inferiores al nodo 2305 se establecen como nodos u hojas de uso exclusivo por categoría que contienen varios dispositivos utilizando el Memory Stick. Es decir, los inferiores al nodo 2305 son definidos como el conjunto de nodos y hojas asociados con dispositivo definido en la categoría del Memory Stick. Además, una etapa a un nivel varias etapas debajo de la etapa M no puede ser establecida como un nodo de subcategoría 2306. Por ejemplo, un nodo de (unidad de uso exclusivo para reproducción) es establecido como nodo de subcategoría contenido en la categoría del dispositivo utilizando el Memory Stick en un nodo dos etapas debajo de un nodo de categoría (Memory Stick) 2305 como se muestra en la figura. Además, un nodo 2307 de un teléfono con una función de reproducción de música contenida en la categoría de la unidad de uso exclusivo de reproducción debajo del nodo 2306 de la unidad de uso exclusivo de reproducción como un nodo de subcategoría y un nodo (PHS) 2308, y un nodo (teléfono portátil) 2309 contenidos en la categoría del teléfono con una función de reproducción de música pueden establecerse abajo. Además, la categoría y subcategorías pueden ser establecidas no solamente en el tipo de dispositivos sino también en nodos manejados independientemente, por ejemplo, fabricantes, proveedor de contenido, organización de liquidación o similar, es decir, en unidades adecuadas tales como unidad de procesamiento, unidad de jurisdicción, o unidad de suministro de servicio (se conocerán generalmente como entidad) . Por ejemplo, si un nodo de categoría es establecido como un nodo superior de uso exclusivo de XYZ de 5 máquina de juego vendido por fabricantes de máquina de juegos, una clave de nodo y una clave de hoja en la etapa más baja debajo del nodo superior pueden almacenarse en la máquina de juego XYZ vendida por los fabricantes para ventas, después de lo cual la distribución de contenidos 10 criptografiados o distribución de varias claves, y procesamiento de renovación son distribuidos produciendo un bloque de claves de habilitación (EKB) constituido por claves de nodo y claves de hoja debajo de la clave de nodo superior, y datos que pueden ser utilizados solamente por los 15 dispositivos debajo del nodo superior pueden ser distribuidos . La constitución puede ser proporcionada en la cual el nodo de bajo de un nodo como superior es establecido como un nodo asociado de la categoría o subcategorías definidas, por lo 20 que fabricantes, proveedor de contenido o nodo superior de control en la etapa de categoría o etapa de subcategoría produce independiente un bloque de claves de habilitación con el nodo como superior para distribuirlo a los dispositivos que pertenecen a los debajo del nodo superior y la renovación 25 de clave puede ser ejecutada sin afectar los dispositivos que pertenecen a los nod©§ de las demás categorías que no pertenecen al nodo superior (constitución de distribución de claves por EKB simplificadas) . Por ejemplo en la estructura de árbol de la figura 3, descrita previamente cuando por ejemplo una clave de contenido es enviada a un dispositivo predeterminado (hojas) , un bloque de claves de habilitación decodificable (EKB) es producido y proporcionado utilizando una clave de hoja y una clave de nodo poseída por un dispositivo de distribución de claves. Por ejemplo, en una estructura de árbol mostrado en la figura 24A en donde una clave por ejemplo una clave de contenido es transmitida a los dispositivos A, G, J que constituyen una hoja, un bloque de claves de habilitación decodificable (EKB) es producido en los nodos A, G, J y distribuido. Se contempla por ejemplo, que una clave de contenido K(t)con sea sometida a procesamiento de criptografíado por una clave de raíz de renovación K(t) root para distribuirla junto con EKB. En este caso, los dispositivos A, G, J ejecutan el procesamiento de EKB utilizando una clave de hoja y una clave de nodo mostradas en la figura 24B para obtener K(root) y ejecutan un proceso de descifrado de una clave de contenido K(t)con por la clave de raí de renovación obtenida K(t)root para obtener una clave de contenido. La constitución del bloque de claves de habilitación (ERK) tt¿_j_a_.ttJÉfefc,te_,.f¿ .. .» -Uri.st?bX. - *-*^--^-?ft?___a>___jhH(_?jíí¿_ wri>>fc.««, proporcionado en este caso es como se muestra en las figuras 25A y 25B. El bloque de claves de habilitación (ERK) mostrado en la figura 25 y en la figura 25B es formado de conformidad con el formato del bloque de claves de habilitación (EKB) que se explica previamente con referencia a la figura 6, y tiene un marcador que corresponde a datos (clave criptografíado) . El marcador es 0 si el dato está presente en las direcciones de izquierda (L) y derecha (R) y es uno sino es el caso, de conformidad con lo explicado previamente a las figuras 7A a 7C. El dispositivo que recibió el bloque de claves de habilitación (EKB) ejecuta de manera secuencial un proceso de descifrado de claves criptografiadas con base en una clave de criptografiado del bloque de claves de habilitación (EKB) y el marcador para obtener una clave de renovación de un nodo más alto. Como se muestra en la figuras 25A y 25B en el bloque de claves de habilitación (EKB) entre mayor el número de etapas (profundidad) desde una raíz hasta una hoja, mayor es la cantidad de profundidades, el número de tapas (profundidad) se eleva según el número de dispositivos (hoja) , y cuando existen números muy altos de dispositivos para ser destino de distribución de claves, la cantidad de datos de EKB se eleva adicionalmente. La constitución en la cual la reducción de cantidad de datos del bloque de claves de habilitación (EKB) como se describe •¿_4 ,dkfiií-* _,.._. ->--*^Hffc_______.__. es habilitada se describirá abajo. Las figuras 26A y 26B muestran un ejemplo en el cual el bloque de claves de habilitación (EKB) es simplificado de conformidad con el dispositivo de distribución de claves. 5 Se considera que de manera similar a las figuras 25A y 25B, una clave, por ejemplo, una clave de contenido es transmitida a dispositivos A, G, J que constituyen una hoja. Como se muestra en la figura 26A un árbol formado simplemente por un dispositivo de distribución de claves es construido. En este 0 caso, una constitución de árbol de la figura 26B es construida como una nueva constitución de árbol con base en la constitución mostrada en la figura 24B. Ninguna rama está presente desde Kroot hasta Kj , pero solamente una rama será suficiente, pero desde la raíz K a Ka y Kg, un árbol de la 5 figura 26A que tiene una constitución de dos ramas es construido simplemente por la constitución de un punto de ramificación en KO . Como se muestra en la figura 26A, un árbol simplificado que tiene solamente KO como nodo es producido. El bloque de 0 claves de habilitación (EKB) para la distribución de clave de renovación es producido con base en estos árboles simplificados. El árbol mostrado en la figura 26A es un árbol jerárquico reconstruido por medio de la selección de un camino que consiste de un árbol de tipo de dos ramas con un 5 nodo terminal codificable u hoja como la etapa más baja para ' Éft.HlI i:d«j4ÍllÍ__ l__ ___*«_ omitir nodos innecesarios. El bloque de claves de habilitación (EKB) para distribuir una clave de renovación es constituido con base solamente en la clave que corresponde a un nodo o a una hoja del árbol jerárquico reconstruido. El bloque de claves de habilitación (EKR) descrito previamente con referencia a las figuras 25A y 25B almacena datos que tienen todas las claves desde la hoja a, g, j a Kroot pero el EKB simplificado almacena datos criptografiados con relación solamente a los nodos que constituyen el árbol simplificado. Como se muestra en la figura 26B, el marcador tiene una constitución de tres bitios. Un primer bitio y un segundo bitio tienen un significado similar al significado del ejemplo de las figuras 25A y 25B, en donde si datos están presentes en la dirección de la izquierda (L) y derecha (R) , indica 0, y si no 1. Un tercer bitio es un bitio para indicar si o no una clave criptografiada está contenida en EKB, y si datos están almacenados, uno aparece, y si no es el caso, 0 aparece . Un bloque de claves de habilitación (EKB) proporcionado para un dispositivo (hoja) almacenado en una red de comunicación de datos o un medio de memoria es considerablemente reducido en cuanto a cantidad de datos como se muestra en la figura 26B en comparación con la constitución mostrada en las figuras 25A y 25B. Cada dispositivo que recibió el bloque de claves de habilitación (EKB) mostrado en las figuras 26A y 26B descifra secuencialmente solamente datos en una porción en donde uno está almacenado en el tercer bitio del marcador para permitir la realización de descifrado de una clave criptografiada predeterminada. Por ejemplo, el dispositivo, a descifra Ene (Ka, K(t)O) por una clave de hoja Ka para obtener una clave de nodo K(t)0, y descifra datos criptografiados Enc(K(t)0, K(t)root) por una clave de nodo K(t)0 para obtener K(t)root. El dispositivo j descifra datos criptografiados Enc(Kj, K(t)root) por una clave de hoja Kj para obtener K(t)root. El bloque de claves de habilitación (EKB) es producido empleando solamente las claves de hoja y nodo que construyen una nueva constitución de árbol simplificada que consiste simplemente del dispositivo del destino de distribución para constituir un árbol construido con el objeto de permitir la producción de un bloque de claves de habilitación (EKR) con una cantidad menor de datos y la distribución de datos del bloque de claves de habilitación (EKB) puede ser ejecutada de manera eficiente. La constitución de árbol jerárquica simplificada puede ser utilizada efectivamente particularmente en la constitución de EKB en unidad de entidad como se describe más adelante. La entidad es un grupo de varios nodos u hojas seleccionados entre un nodo o una hoja que constituye una constitución de árbol como una constitución de distribución de claves. La -y *«,*, -y j?? *&*&.. -y-fc. -~»- Vr?. ?it ??S^^MtSlksi^éi^^l?y iiSjrJSJ?Í iÉÉtl tí -¿ entidad es establecida como un grupo de conformidad con el tipo de dispositivos, o conjunto según la unión de varias formas como una unidad de procesamiento, una unidad de control, o una unidad suministradora de servicios que tiene un punto común, como por ejemplo unidades de control de un fabricante que proporciona dispositivos, un proveedor de contenidos, una organización de liquidación o similares. Dispositivos especificados en categoría se juntan en una sola entidad. Por ejemplo, un árbol simplificado similar a lo descrito arriba es reconstruido por nodo superior (subraíces) de varias entidades para producir EKB con el objeto de hacer posible la producción y distribución del bloque de claves de habilitación simplificable decodificable (EKB) en el dispositivo que pertenece a la unidad seleccionada. La constitución de control de la unidad de entidad se describirá con detalles más adelante. Dicho bloque de claves de habilitación (EKB) de conformidad con lo descrito arriba puede ser constituido para estar almacenado en un medio de registro de información como por ejemplo un disco óptico, DVD o similar. Por ejemplo, se puede proporcionar la constitución en la cual un medio de registro de información, en donde datos de mensaje tales como contenidos de criptografiado como una clave de nodo de renovación están almacenados en el bloque de claves de habilitación EKB que contiene partes de datos constituida por los datos de clave criptografiados antes mencionados y una parte de marcador como datos de discriminación de posición en la estructura jerárquica de árbol de datos de clave criptografiada, se proporciona para cada dispositivo. El dispositivo extrae secuencialmente y descifra datos de clave criptografiados contenidos en el bloque de claves de habilitación (EKB) de conformidad con los datos de discriminación de la parte de marcador. Evidentemente, se puede emplear la constitución en la cual el bloque de claves de habilitación (EKB) es distribuido a través de una red como por ejemplo Internet. Constitución de control de EKB de unidad de entidad A continuación se describirá una constitución en la cual un nodo u hoja que constituye una constitución de árbol como constitución de distribución de claves es controlado por un bloque como la unión de varios nodos u hojas. El bloque como la unión de varios nodos u hojas se conoce a continuación como entidad. La entidad es establecida como la unión de conformidad con el tipo de dispositivos o de conformidad con la unión de varias formas tales como una unidad de procesamiento, una unidad de jurisdicción o una unidad de suministro servicio que tiene un punto común como por ejemplo fabricantes de dispositivo proveedor de contenido, u organización de liquidación. Es decir, las entidades son definidas como sujetos administradores de dispositivos o .es-*.. .» i. __t M-_ __^_?t_4i«té*&i¿at*M?ifr'»-.-"' -*¡f£*"^ y -"-entidades que pertenecen a una categoría común como por ejemplo el tipo de dispositivo, tipo de servicio, tipo de medio de manejo, etc. la entidad será descrita con referencia a las figuras 27A a 27C. La figura 27A es una vista para explicar la constitución de control en unidad de entidad de un árbol. Una entidad se muestra como un triángulo en la figura, como por ejemplo, varios nodos están contenidos en una entidad 2701. La figura 27B muestra la constitución de nodo dentro de una entidad. La entidad consiste de varios árboles de tipo de dos ramas como un nodo como superior. El nodo superior 2702 de la entidad se conocerá a continuación como sub-raíz. La terminal de árbol consiste de una hoja como se muestra en la figura 27, es decir, un dispositivo. El dispositivo pertenece a cualquier entidad constituida por un árbol con varios dispositivos como hoja y que tiene un nodo superior 2708 que es una sub-raíz. Como se entenderá a partir de la figura 27A la entidad tiene una estructura jerárquica. Esta estructura jerárquica será descrita con referencia a las figuras 28A a 28C. La figura 28A es una vista para explicar la estructura jerárquica en una forma simplificada. Las entidades A01 a Ann consiste en varias etapas debajo de Kroot, entidades B01 a Bnk se establecen debajo de las entidades Al a An, y entidades Cl a Cnq se establecen debajo. Cada entidad tiene una forma de m^^^ ¡¡^^^^^ árbol que consiste de varias etapas de nodos y hojas como se muestra en las figuras 28B y 28C. Por ejemplo, la constitución de la entidad Bnk tiene varios nodos hasta un nodo terminal 2812 con una sub-raíz 2811 como nodo superior. Esta entidad tiene un discriminador Bnk, y el Bnk de entidad ejecuta de manera independiente el control de clave de nodo que corresponde al nodo dentro del Bnk de entidad con el objeto de ejecutar de esta forma el control de una entidad más baja (niño) establecida con el nodo terminal 2812 como superior. Por otra parte, la entidad Bnk se encuentra bajo la entidad huésped Ann que tiene el sub-nodo como nodo terminal 2811. La constitución de una entidad Cn3 tiene un nodo terminal 2852 que es cada dispositivo con una sub-raíz 2851 como nodo superior y una pluralidad de nodos y hojas en una hoja en este caso, como se muestra en la figura 28C. Esta entidad tiene un discriminador Cn3, la entidad Cn3 ejecuta independientemente el control de una clave de nodo y una clave de hoja que corresponden al nodo y hoja dentro de la entidad Cn3 con el objeto de ejecutar de esta forma el control de una hoja (dispositivo) que corresponde al nodo terminal 2852. por otra parte, la entidad Cn3 se encuentra bajo la entidad huésped Bn2 que tiene la sub-raíz 2851 como nodo terminal. El control de clave en cada entidad es por ejemplo el proceso de renovación de claves, proceso de s? ^ revocación y similares, que se describirán con detalles más adelante . En un dispositivo que es una hoja de la entidad más baja están almacenados una clave de nodo de cada nodo y una clave de hoja colocada en un camino de una clave de hoja de entidad a la cual pertenece el dispositivo hasta un nodo de sub-raíz que es un nodo superior de entidad a la cual pertenece. Por ejemplo, el dispositivo del nodo terminal 2852 almacena claves a partir del nodo terminal (hoja) 2852 hasta el nodo de sub-raíz 2851. La constitución de la entidad se describirá a continuación con referencia a las figuras 29A y 29B. La entidad puede tener una estructura de árbol que consiste de varios números de etapas el número de etapa, es decir, la profundidad puede establecerse de conformidad con el número de entidades hijas que corresponde al nodo terminal controlado por la entidad, o bien el número de dispositivos como hoja. El detalle de la constitución de entidades huésped e hija como se muestra en la figura 29A se muestra en la figura 29B. La entidad de raíz es una entidad en la etapa superior que tienen una clave de raíz. Las entidades a, b, c se establecen como varias entidades hijas en el nodo terminal de la entidad de raíz, y una entidad D se establece como una entidad hija de la entidad C. La entidad C 2901 no tiene menos que un nodo del nodo terminal como sub-nodo 2950, y en donde entidades ?ü --. -______________-_..._____-C--^<«^^J.--*^¡M¿Íb_jÍ¿íi-_J, - .*MJÍ rjlm.? Mtkl¿ Uta controladas por si mismas son entidades incrementadas, una entidad C2902 que tienen varias etapas de árboles es instalada con un nodo de reserva 2950 como el nodo superior con el objeto de incrementar de esta forma los nodos de terminal de control 2970 y una entidad hija incrementada puede ser agregada al nodo terminal de control. El nodo de reserva será descrito a continuación con referencia a la figura 30. La entidad A, 3011 tiene entidades hijas B, C, D a controlar, y tiene un nodo de reserva 3021. Cuando las entidades hijas a controlar son incrementadas adicionalmente, una entidad hija A' 3012 bajo su propio control es establecida al nodo de reserva 3121, y entidades hijas F, G a controlar pueden ser establecidas adicionalmente al nodo terminal de la entidad hija A' 3Ú12. Así mismo, en la entidad hija A' 3012 bajo el propio control, por lo menos uno de los nodos de terminal es ajustado como nodo de reserva 3022, por lo que una entidad hija A" 3113 es establecida adicionalmente con el objeto de incrementar adicionalmente las entidades de control. Uno o varios nodos de reserva se colocan también en el número de terminal de la entidad hija A" 3013. Dicha constitución que contiene nodos de reserva de conformidad con lo descrito se emplea por ío que las entidades hijas bajo una cierta entidad pueden ser incrementadas de manera infinita. Con relación a la entidad de reserva, no solamente un nodo terminal sino también varios ...t?Ai t átüi. itiuc ,_-•.- 101 nodos pueden establecerse. En las entidades respectivas, el bloque de claves de habilitación EKB es constituido en una unidad de entidad, y el procesamiento de renovación y revocación de claves debe 5 ser ejecutados en unidad de entidad. Como se muestra en la figura 30, el bloque de claves de habilitación (EKB) de entidad individual es establecido en varias entidades A, A' , A", pero estas entidades pueden ser controladas colectivamente, por ejemplo por fabricantes de dispositivo 10 que controlan las entidades A, A' . A" en común. Proceso de registro de nuevas entidades A continuación se describirá en la figura 31 el proceso de registro de nuevas entidades, que muestra una secuencia de procesamiento de registro. Se efectuará una descripción de 15 conformidad con la secuencia en la figura 31. Una entidad nueva (hijas) (N-En) recién agregada durante la constitución de un árbol ejecuta una petición de nuevo registro a la entidad huésped (P-EN) . Cada entidad tiene una clave pública de conformidad con un sistema de criptografiado de claves 20 públicas, y una nueva entidad envía su propia clave pública a la entidad huésped (P-En) cuando se efectúa la petición de registro. La entidad huésped (P-En) que recibió la petición de registro transfiere una clave pública de una nueva entidad (hi a) 25 recibida a una autoridad de certificado (CA) y recibe una clave pública de la nueva entidad (hija) (N-en) a la cual se agrega una firma de CA. Estos procedimientos son efectuados como un procedimiento para autenticación mutua entre la entidad huésped (P-En) y la entidad nueva (hija) (N-En) . Cuando la autenticación de la nueva entidad que solicita registro, la entidad huésped (P-En) otorga el registro de la nueva entidad (hija) (N-En) para transmitir una clave de nodo de la nueva entidad (hija) (N-En) a la nueva entidad (hija) (N-En) . Esta clave de nodo es una clave nodo del nodo terminal de la entidad huésped (P-En) que corresponde a un nodo superior de la entidad nueva (hija) (N-En) , es decir, una clave de sub-raíz. Cuando termina la transmisión de la clave de nodo, la nueva entidad (hija) (N-En) construye la constitución de árbol de la nueva entidad (hija) (N-En), establece una clave de sub-raíz de un nodo superior recibido en una parte superior del árbol construido, y establece claves de nodo y hoja para producir un bloque de claves de habilitación (EKB) dentro de la entidad. El bloque de claves de habilitación (EKB) dentro de una entidad se conoce como sub-EKB. Por otra parte, la entidad huésped (P-En) produce el sub-EKB dentro de la entidad huésped (P-En) al cual se agrega un nodo terminal a habilitar por la adición de la nueva entidad (hija) (N-En) . Cuando el Sub-EKB constituido por una clave de nodo y una Is?? t__<._l_ . __ -...«<*-:_ . clave de hoja dentro de la nueva entidad (hija) (N-En) es producido, la nueva entidad (hija) (N-En) lo transmite a la entidad huésped (P-En) . La entidad huésped (P-En) que recibe el sub-EKB de la nueva entidad (hija) (N-En) transmite el sub-EKB recibido y un sub-EKB de renovación de la entidad huésped (P-En) a un centro de distribución de claves (KDC) . El centro de distribución de claves (KDC) puede producir varios EKBs es decir, EKB que pueden ser descifrados por un entidad específica o un dispositivo específico con base en sub-EKBs de todas las entidades. Se distribuye un EKB en el cual una entidad decodificacle o dispositivo de este tipo está establecido, por ejemplc, a un proveedor de contenido, que criptografía una clave de contenido en base a EKB para distribuirla a través de la red o para almacenarla en un medio de registro, permitiena así la distribución de un contenido que puede ser utilizado solamente por un dispositivo. El procesamiento de registro con relación al centro de distribución de claves (KDC) del Sub-EKB de la nueva entidad no se limita a un método para transferir secuencialme te el sub-EKB a través de la entidad huésped, sino que puede emplearse también para la constitución que ejecuta el procesamiento para registrar el sub-EKB para el centro de distribución de claves (KDC) directamente a partir de la _ ....é.au_U . * .j ¡.. A?UUU,. . nueva entidad de registro sin intervención de la entidad huésped. La correspondencia de la entidad huésped con la entidad hija a agregar a la entidad huésped se describirá con referencia a la figura 32. Un nodo terminal 3201 de la entidad huésped es distribuido como un nodo superior de una entidad recién agregada a la entidad hija por lo que la entidad hija es agregada como una entidad bajo el control de la entidad huésped. La entidad bajo el control de la entidad huésped mencionada aquí, que se describirá a continuación, incluye también la constitución en la cual el procesamiento de revocación de la entidad hija puede ser ejecutado por la entidad huésped. Como se muestra en la figura 32, cuando se establece una nueva entidad en la entidad huésped, un nodo 3201 de un nodo terminal que es una hoja de la entidad huésped y un nodo superior 3202 de la entidad recién agregada se establecen como nodos iguales. Es decir, un nodo terminal que es una hoja del nodo huésped se establece como una sub-raíz de la entidad recién agregada. Mediante el establecimiento de esta forma, la entidad recién agregada es habilitada en la constitución de árbol entera. Las figuras 33A y 33B muestran un ejemplo de un EKB de renovación por la entidad huésped cuando se establece la entidad recién agregada. La figura 33A muestra un ejemplo de un sub-EKB producido por la entidad huésped cuando se aplica un nodo terminal agregado de entidad nueva (nodo 100) 3303 a la entidad recién agregada en la constitución mostrada 33A que tiene un nodo terminal (nodo 00) 3301 que ha estado presente efectivamente y un nodo terminal (nodo 001) 3302. El sub-EKB tiene la constitución mostrada en la figura 36B. Existe una clave de nodo huésped criptografíada por un nodo terminal que ha estado efectivamente presente, una clave de nodo huésped adicional criptografiado por la clave de nodo huésped .... y una clave de sub-raíz. De manera similar a la figura 33B cada entidad tiene y controla un EKB constituido para tener un nodo huésped criptograflado por un nodo o una clave de hoja o de nodo terminal efectiva, criptografía una clave de nodo huésped adicional por la clave de nodo huésped, y un dato criptografiado en una sub-raíz incrementándose secuencialmente en profundidad. Procesamiento de revocación bajo el control de entidad A continuación se describirá el procesamiento de revocación de un dispositivo o una entidad en la constitución en ia cual una constitución de árbol de distribución de claves es controlada como unidad de entidad. En las figuras 3 y 4 previas, se describió el procesamiento para distribuir un bloque de claves de habilitación (EKB) en donde solamente el dispositivo específico la constitución de árbol entera es decodificable, y el dispositivo revocado no es decodificable.

El procesamiento de revocación descrito en las figuras 3, 4A y 4B es el procesamiento para revocar un dispositivo que es una hoja específica del árbol entero, pero la constitución de control de entidad del árbol es posible para ejecutar el procesamiento de revocación de cada entidad. A continuación se efectuará una descripción del procesamiento de revocación en la constitución bajo el control de entidad con referencia a las figuras 34A a 34D y dibujos. Las figuras 34A a 34D representan una lista para explicar el procesamiento de revocación de un dispositivo por una entidad que controla una entidad en la etapa más baja, entre las entidades que constituyen un árbol, es decir, una entidad que controla principios individuales. La figura 34A muestra la estructura de árbol y distribución de claves bajo el control de entidad. Un nodo de raíz es establecido en la parte superior del árbol, y entidades AOí a Ann, entidades B01 a Bnk debajo de las entidades previas, y entidades Cl a Cn en la etapa más baja se forman, en la entidad más baja el nodo terminal (hoja representa dispositivos individuales), por ejemplo una unidad de registro y reproducción, una unidad de uso exclusive para reproducción o similar. El procesamiento de revocación es independiente en cada entidad. Por ejemplo, en las entidades Cl a Cn en la etapa más baja, el procesamiento de revocación de un dispositivo de ?_-,il_. _J.A_to___t_á_ .«J^Ü -C-una hoja es ejecutado. La figura 34B muestra la configuración de árbol de una entidad Cn, 3430 que es una de las entidades en la etapa más baja. La entidad Cn, 3430 tiene un nodo superior 3431, y una hoja que es un nodo terminal tiene varios dispositivos. Vamos a considerar que un dispositivo a revocar, por ejemplo, un dispositivo 3432 está presente en una hoja, la entidad Cn 3430 produce un bloque de claves de habilitación sub-EKB que consiste de una clave de nodo y una clave de hoja en la entidad independientemente renovada Cn. Este bloque de claves de habilitación es un bloque de clave que consiste de una clave criptografiada que no puede ser descifrada en la clave de revocación en el dispositivo de revocación 3432 pero que puede ser descifrada solamente por el dispositivo que conforma otra hoja. Un controlador de la entidad Cn lo produce como un sub-EKB renovado. Concretamente, el bloque que comprende una clave criptografíada que renueva las claves de nodo de los nodos 3431, 3434 y 3435 que constituyen un camino asociado con una sub-raíz hasta un dispositivo de renovación 3432 y puede descifrar la clave de renovación solamente en un dispositivo de hoja otro que el dispositivo de revocación 3432. Este procesamiento corresponde al procesamiento en el cual una clave raíz es reemplazada por una sub-raíz que es una clave superior de entidad, en la constitución de procesamiento de revocación descrita en las figuras 3, 4A y 4B. El bloque de claves de habilitación (sub-EKB) renovado por la entidad Cn, 3430 a través del procesamiento de revocación es transmitido a la entidad huésped. En este caso, la entidad huésped es una entidad Bnk 3420, y una entidad que tiene un nodo superior 3431 de la entidad Cn, 3430 como un nodo terminal . La entidad Bnk 3420, recibe después el bloque de claves de habilitación (sub-EKB) a partir de la entidad hija Cn, 3430, establece el nodo terminal 3431 de la entidad Bkn, 3420 que corresponde al nodo superior 3431, de la entidad Cn, 3430 contenido en el bloque de clave a una clave renovada en la entidad hija Cn, 3430, y ejecuta el procesamiento de renovación de sub-EKB de la entidad propia Bnk 3420. La figura 34C muestra el árbol de la entidad Bnk 3420. En la entidad Bnk 3420, una clave de nodo a renovar es una clave de nodo en un camino desde la sub-raíz 3421 en la figura 34C hasta el nodo terminal 3431 que constituye una entidad que contiene un dispositivo de revocación. Es decir, las claves de nodo de los nodos 3421, 3424, 3425 que constituyen un camino asociado con el nodo 3431 de la entidad transmitida a partir de sub-EKB de renovación deben ser renovadas. Estas claves de nodo de los nodos son renovadas para producir un sub-EKB de renovación nuevo de la entidad Bnk 3420. Además, el bloque de claves de habilitación (sub-EKB) j iÁ.ÁÁ j?á renovado por el Bnk de entidad 3420 es transmitido a la entidad huésped. En este caso, la entidad huésped es la entidad Ann 3410 y una entidad que tiene un nodo superior 3421 de la entidad Bnk 3420, como nodo terminal. La entidad Ann 3410, recibe después el bloque de claves de habilitación (sub-EKB) de la entidad hija Bnk, 3420, establece el nodo terminal 3421 de la entidad Ann 3410 que corresponde al nodo superior 3421 de ia entidad Bnk 3420 contenida en el bloque de clave en una clave renovada en la entidad hija Bnk 3420 y ejecuta el procesamiento de renovación de sub-EKB de ia propia entidad Ann 3410. La figura 34B muestra el árbol de la entidad Ann 3410. En la entidad Ann 3410, claves de nodo a renovar son claves de nodo 3411, 3414, 3415 en un camino desde la sub-raíz 3411 en la figura 34D hasta el nodo terminal 3421 que constituyen una entidad que contiene un dispositivo de revocación. Estas claves de nodo son renovadas con el objeto de producir un nuevo sub-EKB de renovación de la entidad Ann 3410. Estos procesos se ejecutan secuencialmente en la entidad huésped con relación a ía entidad raíz descrita en la figura 29D. El procesamiento de revocación de dispositivos termina con una serie de procesos de conformidad con lo descrito. El sub-EKB renovado en la entidad es finalmente transmitido al centro de distribución de claves (KDC) y almacenado ahí. El centro de distribución de claves (KDC) produce varios EKBs con base en el sub-EKB de renovación de todas las entidades. El EKB de renovación es un bloque de clave criptografiado que no puede ser descifrado por el dispositivo revocado. La figura 35 muestra una secuencia de proceso de renovación del dispositivo. El procesamiento de procesamiento se describirá con referencia a la figura de secuencias de Fig. 35. Primero, la entidad de control de dispositivo (D-En) en la etapa más baja de la constitución de árbol efectúa ia renovación de clave que es necesaria para revocar una hoja a revocar en la entidad de control de dispositivo (D-En) para producir un nuevo sub-EBK de la entidad de control de dispositivo (D-En) . El sub-EKB es enviado a la entidad huésped. La entidad (Pl-En) que recibió el sub-EKB de renovación (D) produce un sub-EKB de renovación (Pl) en donde una clave de nodo terminal que corresponde a un nodo superior de renovación del sub-EKB (D) de renovación es renovada y claves de nodo en un camino desde un nodo terminal hasta la sub-raíz. Estos procesos son ejecutados secuencialmente en la entidad huésped. Y todos los sub-EKBs finalmente renovados son almacenados y controlados por el centro de distribución de claves (KDC) . Las figuras 36A y 36B muestran un ejemplo de un bloque de claves de habilitación (EKB) a producir como resultado que la entidad huésped efectúa un procesamiento de renovación a través del procesamiento de renovación de un dispositivo.

Las figuras 36A y 36B son vistas cada una para explicar un ejemplo de EKB producido en la entidad huésped que recibió sub-EKB de renovación a partir de la entidad hija que contiene un dispositivo de renovación en la constitución mostrada en la figura 36A. Un nodo superior de la entidad hija que contiene el dispositivo de revocación corresponde a un nodo terminal (nodo 100) 3601 de la entidad huésped. La entidad huésped renueva las claves de nodo que están presentes en un camino desde la sub-raíz de la entidad huésped hasta el nodo terminal, (nodo 100) 3601 para producir un nuevo sub-EKB renovado. El sub-EKB de renovación es de conformidad con lo mostrado con la figura 36B. La clave renovada se muestra con el subrayado y ['] adjuntado. Las claves de nodo en un camino desde el nodo terminal renovado hasta la sub-raíz son renovadas con el objeto de obtener un sub-EKB de renovación en su entidad. Después se describirá el procesamiento en el cual un objeto sometido a revocación es una entidad, es decir, un procesamiento de revocación de entidad. La figura 37A muestra la estructura de árbol de distribución de claves por control de entidad. Un nodo de raíz es establecido en la parte superior extrema del árbol y las entidades A01 a Ann conforman varias etapas debajo, las entidades B01 a Bnk se encuentran en la etapa más baja que la anterior, y las entidades Cl a Cn se encuentran en la etapa más baja que la etapa anterior. En la entidad más baja, el nodo terminal (hoja) representa dispositivos individuales, como por ejemplo una unidad de registro y reproducción, una unidad exclusivamente de reproducción o similares. A continuación se describirá ei caso en el cual el procesamiento de revocación es efectuado con relación a la entidad Cn, 3730. La entidad Cn, 3730 en la etapa más baja tiene la constitución en la cual se proporciona un nodo superior 3431 y varios dispositivos se proporcionan en una hoja que es un nodo terminal como se muestra en la figura 37B. La revocación de la entidad Cn, 3730 permite la revocación colectiva de todos los dispositivos que pertenecen a la entidad Cn, 3730 a partir de la estructura de árbol. El procesamiento de la entidad Cn, 3730 se ejecuta en la entidad Bnk 3720 que es la entidad huésped de la entidad Cn, 3730. La entidad Bnk 3720, es una entidad que tiene el nodo superior 3731 de la entidad Cn, 3730, como nodo terminal. Cuando se ejecuta la revocación de la entidad hija Cn, 3730, la entidad bnk 3720 renueva un nodo terminal 3731 de la entidad Bnk, 3720 que corresponde al nodo superior 3731 de la entidad Cnk, 3730 y efectúa adicionalmente la renovación de claves de nodo en un camino desde la entidad de revocación 3730 hasta la sub-raíz de la entidad Bnk 3720 con el objeto de producir un bloque de claves de habilitación para producir un sub-EKB de renovación. La clave de nodo a renovar es una clave de nodo en un camino desde la sub-raíz 3721 mostrada en la figura 37C hasta un nodo superior de una entidad de revocación. Es decir, los nodos 3721, 3724, 3725, y 3731 son objetos a renovadas. Estas claves de nodo son renovadas con el objeto de producir un nuevo sub-EKB de renovación de la entidad Bnk, 3720. Alternativamente, cuando se ejecuta la revocación de la entidad hija Cn, 3730, la entidad Bnk 3720, no renueve el nodo terminal 3731 de la entidad Bnk, 3720 que corresponde al nodo superior 3731 de la entidad Cnk, 3730 sino que renueva una clave de nodo excepto el nodo terminal 3731 en el camino desde la entidad de renovación 3730 hasta la sub-raíz de la entidad Bnk, 3720 para producir un bloque de claves de habilitación con el objeto de producir un sub-EKB de renovación. Además el bloque de claves de habilitación (EKB) renovado por la entidad BNK, 3720 es transmitido a la entidad huésped. En este caso, la entidad huésped es una entidad Ann 3710, que es una entidad que tiene un nodo superior 3721 de la entidad Bnk 3720 como nodo terminal. Cuando un bloque de claves de habilitación (sub-EKB) es recibido a partir de la entidad hija Bnk, 3720, la entidad Ann 3710 establece el nodo terminal 3721 de la entidad Ann 3710 que corresponde al nodo superior 3721 de la entidad Bnk 3720 contenido en el bloque de planes hasta una clave renovada en la entidad hija Bnk, 3720 para ejecutar un procesamiento de renovación del sub-EKB de la propia entidad Ann 3710. La figura 37D muestra la constitución de árbol de la entidad Ann 3710, en la entidad Ann, 3710, la clave de nodo a renovar es una clave de nodo de cada nodo 3711, 3714, 3715 que constituye un camino desde la sub-raíz 3711 de la figura 37D hasta el nodo 3721 de la entidad que ha transmitido el sub-EKB de renovación. Estas claves de nodo de los nodos son renovadas para producir un nuevo sub-EKB de renovación de la entidad Ann 3710. Estos procesos son ejecutados secuencialmente en la entidad huésped con el objeto de ejecutarlos en la entidad de raíz descrita con referencia a la figura 29D. El procesamiento de revocación es completado por una serie de procesos. El sub-EKB renovado en la entidad respectiva es finalmente transmitido al centro de distribución de claves (KDC) y almacenado. El centro de distribución de claves (KDC) produce varios EKBs en base al sub-EKB de renovación de todas las entidades. El EKB de renovación es un bloque de clave criptografiada que no puede ser descifrado por el dispositivo que pertenece a la entidad revocada. La figura 38 muestra una secuencia de proceso de revocación de la entidad. El procedimiento de procesamiento se describirá con referencia la secuencia de la figura 38. __A,_k¿.J.A.____ ____ - t i». cc.s_-¿afc¿ latei-t ííi Primero, la entidad de control de entidad (E-En) para revocar la entidad efectúa la renovación de clave que es necesaria para revocar un nodo terminal a revocar en la entidad de control de entidad (E-En) para producir un nuevo Sub-EKB de la entidad de control de entidad (E-En) . El Sub-EKB es enviado a la entidad huésped. La entidad huésped (Pl-En) que recibió el sub-EKB de renovación (E) produce un Sub-EKB de renovación (Pl) en donde una clave de nodo terminal que corresponde a un nodo superior de renovación del sub-EKB de renovación (Pl) es renovada y claves de nodo en un camino desde el nodo terminal hasta la sub-raíz son renovadas. Estos procesos son ejecutados secuencialmente en la entidad huésped y todos los sub-EKB finalmente renovados son almacenados y controlados por el centro de distribución de claves (KDC) . El centro de distribución de claves (KDC) produce varios EKB con base en el EKB de renovación de todas las entidades. ?l EKB de renovación es un bloque de clave criptografiada que no puede ser descifrado por un dispositivo que pertenece a la entidad revocada. La figura 39 es una vista para explicar la correspondencia entre la entidad hija revocada y la entidad huésped que efectúo la revocación. Un nodo terminal 3101 de la entidad huésped es renovado mediante la revocación de la entidad, y un sub-EKB nuevo es producido mediante la renovación de claves de nodo que están presente en un camino desde ei nodo terminal 3901 hasta la sub-raíz en el árbol de la entidad huésped. Como resultado, la clave de nodo del nodo superior 3902 de la entidad hija revocada no coincide con la clave de nodo del nodo terminal 3901 de la entidad huésped. Un EKB producido por el centro de distribución de claves (KDC) después de la revocación de la entidad debe ser producido con base en la clave del nodo terminal renovado, y por consiguiente, el dispositivo que corresponde a la hoja de la entidad hija que no tiene la clave de renovación inhabilita el descifrado de EKB producido por el centro de distribución de claves (KDC) mientras se describió arriba el proceso de revocación de la entidad en la etapa más baja para controlar el dispositivo, el procesamiento para revocar la entidad de control de entidad en la etapa media del árbol por la entidad huésped es también habilitado por el proceso similar al proceso descrito arriba. Mediante la revocación de la entidad de control de entidad en la etapa media, varias entidades y dispositivos que pertenecen a la etapa más baja de la entidad de control de entidad revocada pueden ser revocados de manera colectiva. De conformidad con lo descrito, mediante la ejecución de la revocación en una unidad de entidad, se habilita un proceso de revocación que es sencillo en comparación con el proceso de revocación para ejecutarlo en una unidad de dispositivo, uno por uno. i ¿_?iá____i^*^^^^fe».i**• Control de capacidad de la entidad A continuación se describirá constitución de procesamiento en la cual en la constitución de árbol de distribución de claves en una unidad de entidad, la capacidad otorgada por cada entidad es controlada para efectuar una distribución de contenido de conformidad con la capacidad. La capacidad mencionada aquí, es por ejemplo, una información definida de la capacidad de procesamiento de datos de un dispositivo, ya sea la habilitación del descifrado de datos de voz comprimidos específicos, el otorgamiento de sistema de reproducción de voz específico o bien el procesamiento de un programa de procesamiento de imágenes específico, ya sea un dispositivo, es un dispositivo capaz de procesar el contenido o programa. La figura 40 muestra un ejemplo de la constitución de entidad que define la capacidad. Es la constitución en la cual un nodo de raíz se coloca en la parte superior extrema del árbol de distribución de claves, varias entidades están conectadas a la capa más baja y cada nodo tiene dos ramificaciones. Aquí, por ejemplo una entidad 4001 es definida como una entidad que tiene la capacidad de proporcionar sistemas de reproducción de voz, A, B, o C. Concretamente, por ejemplo, cuando se distribuyen datos de música comprimidos por un sistema A, B o C de programa comprimido de voz, se habilita el procesamiento para extender el dispositivo que pertenece a ?M¡?»AÍité*.,*?? ..*m*?A. a. «S. £»fc*j la entidad constituida debajo de la entidad 4001. De manera similar, la entidad 4002, 4003, entidad 4004 y entidad 4005 son definidas, respectivamente como entidades que tienen capacidad de procesar sistema de reproducción de voz, B, o C, sistema de reproducción de voz A o B, sistema de reproducción de voz B, y sistema de reproducción de voz C, respectivamente . Por otra parte una entidad 4021 es definida como una entidad para proporcionar sistemas de reproducción de imágenes P, Q, R y una entidad 4022 y una entidad 4023 son definidas, respectivamente como entidades que tienen capacidad para permitir la reproducción de imagen de un sistema P. La información de capacidad de las entidades de conformidad con lo descrito es controlada en el centro de distribución de claves (KDC) . Por ejemplo, cuando un proveedor de contenido desea distribuir datos de música comprimidos por un programa de compresión específico a varios dispositivos, un bloque de claves de habilitación (EKB) decodificable con relación solamente al dispositivo que puede reproducir el programa específico de compresión puede ser producido con base en la información de capacidad de cada entidad. El proveedor de contenido para distribuir contenidos distribuye una clave de contenido criptografiada por el bloque de claves de habilitación (EKB) producido con base en la información de capacidad y distribuye datos de voz comprimidos criptografiados por la clase de contenido a los dispositivos. Mediante el suministro de esta constitución es posible proporcionar un programa de procesamiento específico preciso solamente al dispositivo capaz de procesar datos. Mientras en la figura 40 se muestra la constitución en la cual la información de capacidad es definida con relación a todas las entidades, se debe observar que no es siempre necesario definir la información de capacidad con relación a todas las entidades como en la constitución de la figura 40, pero se puede emplear una constitución en la cual, por ejemplo, como se muestra en la figura 41, la capacidad es definida con relación solamente a la entidad en la etapa más baja a la cual pertenece el dispositivo, la capacidad del dispositivo que pertenece a la etapa más baja es controlada en el centro de distribución de clave (KDC) y el bloque de claves de habilitación (EKB) que puede ser descifrado solamente por el dispositivo capaz de proporcionar un proceso deseado por un proveedor de contenido es producido con base en la información de capacidad definida en la entidad en la etapa más baja. La figura 41 muestra la constitución en la cual la capacidad de la entidad 4101 = 4105 para la cual el dispositivo es definido, es definida en el nodo terminal, y la capacidad con relación a estas entidades es controlada en el centro de distribución de claves (KDC) . Por ejemplo, a la entidad 4101 pertenecen dispositivos capaces de procesar un sistema B con relación a reproducción de voz y un sistema r con relación a la reproducción de imágenes, respectivamente. A la entidad 4102 pertenecen dispositivos capaces de procesar un sistema A con relación a reproducción de voz y un sistema Q con relación a reproducción de imágenes. Las figuras 42A y 42B muestran un ejemplo de la constitución de una tabla de control de capacidades controlada en el centro de distribución de claves (KDC) . La tabla de control de capacidades tiene la constitución de datos como se muestra en la figura 42A es decir, la propiedad con relación a varios procesos de datos se establece en [1] o [0] de tal manera que existe una ID de entidad como discriminador para discriminar entidades y una vista de capacidades que indica la capacidad definida en las entidades, y en la lista de capacidades como se muestra en la figura 42B por ejemplo, si un sistema de procesamiento de reproducción de datos de voz (A) puede ser procesado, (1) aparece sino es el caso, aparece (0), y si un sistema de procesamiento de reproducción de datos de voz (B) puede ser procesado aparece [1] y sino es ei caso aparece [0] . El método para establecer una capacidad no se limita a una forma de este tipo de conformidad con lo descrito, sino que otras constituciones pueden ser empleadas si se puede discriminar capacidad con relación al dispositivo de control de entidades. En la tabla de control de capacidades, en donde sub-EKB si cada entidad de sub-EKB es almacenada en una base de datos separada, se almacena información de discriminación de sub- EKB, y se almacena unos datos de discriminación de nodo de sub-raíz de cada entidad. En el centro de distribución de claves (KDC) como por ejemplo, solamente el dispositivo capaz de reproducción un contenido específico produce un bloque de claves de habilitación decodificable (EKB) con base en la tabla de control de capacidades. El procesamiento para reproducir el bloque de claves de habilitación con base en la información de capacidad se describirá con referencia a la figura 43. Primero, en el paso S4301, el centro de distribución de claves KDC selecciona una entidad que tiene la capacidad designada a partir de la tabla de control de capacidades. Concretamente, por ejemplo, cuando un proveedor de contenido desea distribuir datos reproducibles con base en el sistema A de procesamiento de reproducción de datos de voz se establece en [1] es seleccionado a partir de la lista de capacidades de la figura 42A, una entidad, por ejemplo, en donde el elemento de reproducción de datos de voz (sistema A) es establecido en [1] es seleccionado a partir de la lista de capacidades de la figura 42A. Después en el paso S4302, se produce una lista de ID de entidad seleccionada constituida por las entidades seleccionadas. Después en el paso S4303 se selecciona un camino (un camino de constitución de constitución de distribución de claves) necesario para un árbol constituido por una ID de identidad seleccionada. En el paso 4304, se determina sí o no todas las selecciones de camino contenidas en la lista de ID de entidad seleccionada son completados para producir un camino en el paso S4303 hasta su culminación. Eso significa el proceso para seleccionar secuencialmente los caminos selectivos en donde varias entidades están seleccionadas. Cuando todas las selecciones de camino contenidas de la ID seleccionada son completadas, el procedimiento prosigue hasta el paso S4305 para constituir una estructura de árbci de distribución de claves que consta solamente de las entidades seleccionadas . Después en el paso S4306, se efectúa la renovación de las claves de nodo de la estructura de árbol producida en el paso S4305 con el objeto de producir claves de nodo de renovación. Además, sub-EKB de las entidades seleccionadas que conforman el árbol se extrae de la tabla de control de capacidad, y el bloque de claves de habilitación EKB que puede ser descifrado solamente en el dispositivo de las entidades seleccionadas es producido en el sub-EKB y la clave de nodo de renovación producida en el paso S4306. El bloque de claves de habilitación (EKB) producido de esta forma es utilizado solamente en el dispositivo que tiene capacidad específica, es decir, que es un bloque de habilitación decodificable (EKB) . Por ejemplo, una clave de contenido es criptografiada por el bloque de claves de habilitación (EKB) , y un contenido comprimido en la base de un programa específico en la clave de contenido es distribuido al dispositivo por lo que el contenido es utilizado solamente en el dispositivo específico decodificable seleccionado por el centro de distribución de claves (KDC) . Como se describió arriba, en el centro de distribución de claves (KDC) , por ejemplo, solamente el dispositivo capaz de reproducir el contenido específico produce el bloque de claves de habilitación decodificable (EKB) con base en ia tabla de control de capacidades. Por consiguiente, cuando se registra una nueva entidad es necesario obtener previamente la capacidad de una entidad recién registrada. El procesamiento de notificar la capacidad con el nuevo de registro de entidad se describirá con referencia a la figura 44. La figura 44 es una vista que muestra una secuencia de procesamiento de notificación de capacidad en donde la nueva entidad participa en la constitución de árbol de distribución de claves. La nueva entidad (hija) (N - En) agregada recientemente a la constitución de árbol ejecuta una nueva petición de registro con relación a la entidad huésped (P- En) . Cada entidad conserva una clave pública de conformidad con el sistema de criptografiado de clave pública, y la nueva entidad envía su propia clave pública a la entidad huésped (P-En) cuando se efectúa el registro. La entidad huésped (P-En) que recibió la petición de registro transfiere la clave pública de la nueva entidad (hija) (N-En) recibida a la autoridad de certificado (CA) y recibe una clave pública de la nueva entidad (hija) (N-En) a la cual se agrega una firma de CA. Estos procedimientos son efectuados como el procedimiento de autenticación mutua entre la entidad huésped (P-En) y la nueva entidad (hija) (N-En) . Cuando la autenticación de la entidad que solicita el nuevo registro termina a través de estos procesos, la entidad huésped (P-Ne) otorga el registro de nueva entidad (hija) (N- En) para transmitir una clave de nodo de la nueva entidad (hija) (N-En) a la nueva entidad (hija) (N-En) . Esta clave de nodo es una clave de nodo del nodo terminal de la entidad huésped (P-En) y corresponde a un nodo inferior de la nueva entidad (hi a) (N-En), es decir una clave de sub-raíz. Cuando termina la transmisión de esta clave de nodo, la nueva entidad (hija) (N-En) construye la constitución de árbol de la nueva entidad (hija) (N-En), establece la clave de sub- raíz del nodo superior recibido en la parte superior del árbol construido, establece claves para cada nodo y hoja y produce el bloque de claves de habilitación (EK3? en la entidad. Por otra parte, la entidad huésped (P-En) produce también el sub-EKB en la entidad huésped (P-En) a la cual se agrega un nodo terminal para que sea efectivo mediante ía adición de la nueva entidad (hija) (N-En) . Cuando una nueva entidad (hija) (N-En) produce un sub-EKB constituido por una clave de nodo y una clave de hoja en la nueva entidad (hija) (N-En), la nueva entidad (hija) (N-En) lo transmite a la entidad huésped (P-En) , y notifica adicionalmente la información de capacidad con relación al dispositivo controlado por la propia entidad a la entidad huésped. La entidad huésped (P-En) que recibió sub-EKB y la información de capacidad a partir de la nueva entidad (hija) (N-En) transmite sub-EKB y la información de capacidad recibida, y sub-EKB renovado de la entidad huésped (P-En) al centro de distribución de claves (KDC) el centro de distribución de claves (KDC) registra el sub-EKB y la información de capacidad de la entidad recibida en la tabla de control de capacidad descrita con referencia a las figuras 42A y 42B y renueve la tabla de control de capacidades. El centro de distribución de claves (KDC) puede producir varias formas de EKB, es decir, EKB que pueden ser descifrados solamente por la entidad que tiene capacidades específicas o dispositivos específicos. La presente invención ha sido descrita con detalles con referencia a las modalidades específicas. Sin embargo, es evidente que los expertos en la materia pueden enmendar o reemplazar las modalidades dentro del alcance de la presente invención sin salirse de la materia de la presente invención. Es decir, la presente invención ha sido divulgada en forma de ilustración y no debe interpretarse de manera limitativa. Para determinar la materia de la presente invención, se debe hacer referencia a las reivindicaciones adjuntas. Explotación industrial De conformidad con lo descrito arriba, el sistema de procesamiento de información y método que utiliza un bloque de claves de criptografiado establece sub-árboles clasificados con base en capacidad como capacidad de procesamiento de datos de los dispositivos en un árbol de claves en donde claves respectivas corresponden a una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos están conformados como las hojas, genera un bloque de claves de habilitación (EKB) que es efectivo para una entidad en la entidad como un sujeto de manejo de cada sub-árbol, y maneja la información de capacidad de las varias entidades y genera el bloque de claves de habilitación cEKB) decodificable solamente por las entidades que tienen una capacidad en común mediante el uso del sub-bloque de claves de habilitación (sub-EKB) generado por las entidades que tienen la capacidad común en un centro de distribución de claves (KDC) . Así, es posible proporcionar datos que pueden ser procesados solamente en dispositivos específicos como datos decodificables solamente por los dispositivos. Con el sistema de procesamiento de información y método que hacen uso de un bloque de claves de criptografiado de conformidad con la presente invención, el centro de distribución de claves (KDC) incluye una tabla de manejo de capacidades en donde identificadores respectivos para la pluralidad de entidades, la información de capacidad para las entidades, y el sub-bioque de claves de habilitación (sub- EKB) corresponden entre ellos, y selecciona una entidad capaz de procesar datos distribuidos a un dispositivo con base en la tabla de manejo de capacidades para generar el bloque de claves de habilitación (EKB) decodificable solamente por los dispositivos bajo la entidad seleccionada. Así, es posible generar una variedad de EKBs que corresponden a varias capacidades . Así mismo, el sistema de procesamiento de información y método que utilizan un bloque de claves de criptografiado de conformidad con la presente invención manejan un sub-árbol como un árbol parcial que constituye un árbol de claves en donde claves respectivas corresponden a una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos están conformando las hojas, establece varias entidades que generan un sub-bloque Íti_¿_fa-__a*-*fe^.-^.-a-H^caai^sA . .JÉsí &„&. 'u___________.__aa__b____ de claves de habilitación sub-EKB con base solamente en un grupo de claves que corresponden a nodos y hojas incluidas en un sub-árbol y genera el bloque de claves de habilitación (EKB) decodificable solamente las entidades seleccionadas mediante la utilización del sub-bloque de claves de habilitación (sub-EKB) generado por la pluralidad de entidades para distribución. Así, es posible manejar ios dispositivos mediante la división de la estructura jerárquica de árbol de claves y efectuar un procesamiento preciso que corresponde a los dispositivos. Con el sistema de procesamiento de información y método que utilizan un bloque de claves de criptograflado de conformidad con la presente invención, se puede ejecutar un procesamiento de revocación de un dispositivo en una entidad. Así es posible evitar el incremento de la cantidad de procesamiento provocado por el incremento de los dispositivos en el caso de un manejo integrado de dispositivos. Además, con el sistema y método de procesamiento de información que utilizan un bloque de claves de. criptografiado de conformidad con la presente invención, un nodo terminal de cada entidad es establecido como un nodo de reserva. Así es posible manejar el incremento de dispositivos de manejo o entidades de manejo.

Claims (1)

1. REIVINDICACIONES Un sistema de procesamiento de información que utiliza un bloque de claves de criptografíado que constituye un árbol de claves en donde claves respectivas corresponden a una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos conforman las hojas, ejecuta renovación de claves en una trayectoria seleccionada mediante la selección de la trayectoria que constituye el árbol de claves y mediante el procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo, el sistema comprende: varias entidades que constituyen una parte del árbol de claves, manejan sub-árboles clasificados con base en capacidad como la habilidad para procesar datos de los dispositivos, y generan un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un grupo de claves que corresponden a nodos u hojas incluidas en el sub-árbol; y un centro de distribución de claves (KDC) que maneja la información de capacidad de las varias entidades y genera el bloque de claves de habilitación (EKB) decodificable solamente por las entidades que tienen una capacidad común mediante la utilización del sub-bloque de claves de habilitación (sub-EKB) generado por las entidades que tienen la capacidad común. El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 1, en donde el centro de distribución de claves (KDC) incluye una tabla de manejo de capacidades en donde identificadores respectivos para las varias entidades, la información de capacidad para las entidades y el sub-bloque de claves de habilitación (sub-EKB) corresponden entre ellos, y selecciona una entidad que puede procesar datos distribuidos a un dispositivo con base en la tabla de manejo de capacidades con el objeto de generar el bloque de claves de habilitación (EKB) decodificable solamente por los dispositivos bajo la entidad seleccionada. El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 1, en donde una entidad recién agregada al árbol de claves genera un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un grupo de claves que corresponden a nodos u hojas en el sub-árbol de la nueva entidad, ejecuta procesamiento de registro del sub-EKB en el centro de distribución de claves (KDC) y ejecuta procesamiento de notificación de información de capacidad de la propia entidad. 4. El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 1, en donde las varias entidades tienen una estructura jerárquica de entidades 5 superordinadas y entidades subordinadas en donde un nodo terminal en la etapa más baja de una entidad se vuelve un nodo superior (sub-raíz) de otra entidad. 5. El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con 10 la reivindicación 1, en donde cada una de las varias entidades tiene autoridad para establecer y renovar la clave que corresponde a los nodos u hojas que constituyen el sub-árbol que pertenece a la propia entidad. 15 6. El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 1, en donde cada dispositivo que pertenece a una entidad en la clase más baja con hojas en la etapa más baja en la entidad siendo hojas que 20 corresponden a dispositivos respectivos entre varias entidades tiene almacenado ahí un grupo de claves de nodo y claves de hoja en nodos y hojas en una trayectoria desde un nodo superior (sub-raíz) de la entidad a la cual pertenece el dispositivo mismo hasta 25 la hoja que corresponde al dispositivo mismo. El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 1, en donde cada una de las nuevas entidades agrega una entidad de automanejo en la etapa más baja de la propia entidad, de tal manera que uno o varios nodos u hojas en los nodos u hojas en la etapa más baja de la propia entidad sean reservados como nodos de reserva. El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 1, en donde la entidad superordinada que agrega la nueva entidad a su nodo terminal establece una clave que corresponde al nodo terminal de la entidad superordinada como un nodo que establece el nodo de la nueva entidad como una clave de nodo superior (sub-raíz) de la nueva entidad. En el sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 1, en donde una entidad que ejecuta un procesamiento de revocación de un dispositivo renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta una hoja que corresponde al dispositivo revocado y genera un sub-EKB de renovación en donde una clave de nodo renovada es constituida como una clave de criptografiado decodificable solamente por dispositivos de hoja otros que el dispositivo revocado para enviarlo a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el sub-EKB de renovación hasta su propia sub-raíz y genera un sub-EKB de renpvación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación del dispositivo es ejecutado mediante secuencialmente la ejecución de generación de EKB de renovación y envió de procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria desde el dispositivo revocado hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . . El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 1, en donde una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raíz) en una entidad hasta un nodo terminal que corresponde a la terminal revocada y genera un sub-EKB de renovación en '•Y^"eV donde la clave de nodo ha sido renovada para enviarla a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el sub-EKB de renovación hasta su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional de tal manera que el procesamiento de revocación en la entidad es ejecutado mediante secuencialmente la ejecución de generación de sub-EKB de renovación y envío de procesamiento en la base de la entidad hasta una entidad más alta para efectuar la renovación de cada una de las claves de nodo en la trayectoria desde la entidad revocada hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . . El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 1, en donde una entidad que ejecuta un procesamiento de revocación de una entidad subordina renueva un grupo de claves de nodo en nodos excepto en el caso de un nodo terminal en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta el nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en donde la clave de nodo ha sido renovada para enviarlo a una entidad superordinada y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el sub-EKB de renovación hasta su propia sub- raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de renovación en la base de entidad es ejecutado mediante secuencialmente ejecutar la generación de sub-EKB de renovación y enviar el procesamiento en la base de entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo excepto el nodo terminal que corresponde a la entidad revocada en la trayectoria desde la entidad revocada hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . 12. Un método de procesamiento de información que utiliza un bloque de claves de criptografiado en un sistema de procesamiento de información que constituye un árbol de claves en donde claves respectivas corresponden a una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos conforman las hojas, ejecuta la renovación de claves en una trayectoria seleccionada mediante la selección de la ___uj__a_-._,__ trayectoria que constituye el árbol de claves y el procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo, el método comprende los pasos de: generar un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un grupo de claves que corresponde a nodos u hojas incluidos en un sub-árbol de cada entidad en entidades que constituyen una parte del árbol de claves y manejan sub-árboles clasificados con base en capacidad como habilidad de procesamiento de datos de los dispositivos; y extraer un sub-bloque de claves de habilitación (Sub-EKB) generado por claves que tienen una capacidad común con base en información de capacidad de las varias entidades y que generan el bloque de claves de habilitación (EKB) decodificable solamente por las entidades que tienen la capacidad común en un centro de distribución de claves (KDC) que tiene la información de capacidad de las varias entidades. . El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 12, en donde el paso de generar el bloque de claves de habilitación (EKB) en el centro de distribución de claves (KDC) incluye los pasos de: seleccionar las entidades que tienen la capacidad común; generar un árbol de entidades constituido por las entidades seleccionadas en el paso de selección de entidades; renovar una clave de nodo que constituye el árbol de entidades; y generar un bloque de claves de habilitación (EKB) decodificable solamente por las entidades seleccionadas con base en la clase de nodo renovada en el paso de renovación de clave de nodo y un sub-EKB de las entidades seleccionadas. 14. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 12, en donde el centro de distribución de claves (KDC) incluye una tabla de manejo de capacidades en donde identificadores respectivos para las varias entidades, la información de capacidad de las entidades, y el sub-bloque de claves de habilitación (sub-EKB) corresponden entre ellos, y selecciona una entidad capaz de procesar datos distribuidos a un dispositivo con base en la tabla de manejo de capacidad para generar el bloque de claves de habilitación (EKB) decodificable solamente por los dispositivos por la entidad seleccionada. A?&?.Í.Í., . El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 12, en donde una entidad recién agregada al árbol de claves genera un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un grupo de claves que corresponden a nodos y hojas en el sub-árbol de la nueva entidad, ejecuta un procesamiento de registro del sub-EKB en el centro de distribución de claves (KDC) , y ejecuta un procesamiento de notificación de información de capacidad de la propia entidad. . El método de procesamiento de información que utiliza un bloque de claves de cpptografiado de conformidad con la reivindicación 12, en donde cada una de las varias entidades ejecuta el establecimiento y la renovación de las claves que corresponden a los nodos u hojas que constituyen el sub-árbol que pertenece a la propia entidad. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 12, en donde la entidad superordinada que agrega la nueva entidad a su nodo terminal establece una clave que corresponde al nodo terminal de la entidad superordinada como un nodo que establece el sub-árbol de la nueva entidad como una clave de nodo superior (sub- raíz) de la nueva entidad. 18. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 12, en donde una entidad que ejecuta un procesamiento de revocación de un dispositivo renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta una hoja que corresponde al dispositivo revocado y genera un sub-EKB de renovación en donde la clave de nodo renovada es constituida por una clave de criptografiado decodificable solamente por dispositivos de hoja otros que el dispositivo revocado para enviarlo a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el sub-EKB de renovación a través de su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de renovación del dispositivo es ejecutado por secuencialmente ejecutar generación de sub-EKB de renovación y enviar el procesamiento en la base de la entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria desde el dispositivo revocado hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . 19. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 12, en donde una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en donde la clave de nodo ha sido renovada para enviarlo a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el sub-EKB de renovación a través de su propia sub-raíz y genera un EKB de renovación para enviarlo a una entidad superordinaria adicional, de tal manera que el procesamiento de revocación en la base de la entidad es ejecutado mediante secuencialmente ejecutar generación de sub-EKB de renovación y envió de procesamiento en la base de la entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria desde la entidad revocada hasta una raíz y ejecutar procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo -J__¿__,,_...;_i__fc , y fo-?yl itíJt.t .i en el centro de distribución de claves (KDC) . 20. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 12, en donde una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un grupo de claves de nodo en nodos excepto un nodo terminal en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en donde la clave de nodo ha sido renovada para enviarla a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el sub-EKB de renovación a través de su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación en la base de la entidad es ejecutado secuencialmente mediante la ejecución de generación de sub-EKB de renovación y envío de procesamiento en la base de la entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo excepto el nodo terminal que corresponde a la entidad revocada en la trayectoria desde la entidad revocada hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . 21. Un medio de distribución de programa para distribuir un programa de cómputo que permite el procesamiento de generación de bloque de claves de habilitación (EKB) ejecutado en un sistema de cómputo en un sistema de procesamiento de información que constituye un árbol de claves en donde claves respectivas corresponden a una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos están constituidos como las hojas, ejecuta renovación de claves en una trayectoria seleccionada mediante la selección de la trayectoria que constituye el árbol de claves y procesamiento de criptograflado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación EKB para proporcionarlo a un dispositivo, el programa de cómputo comprende los pasos de: generar un sub-bloque de claves de habilitación (EKB) con base solamente un conjunto de claves que corresponden a nodos y hojas incluidos en sub-árbol de cada entidad en entidades que constituyen una parte del árbol de claves y maneja sub-árboles clasificados con base en capacidad como habilidad de procesamiento de datos de los dispositivos; y extraer el sub-bloque de claves de habilitación (sub-EKB) generado por claves que tienen una capacidad común con base en información de capacidad de las varias entidades y generar el bloque de habilitación (EKB) decodificable solamente por las entidades que tienen la capacidad común en un centro de distribución de claves (KDC) que tiene la información de capacidad de las varias entidades. Un sistema de procesamiento de información que utiliza un bloque de claves de criptografiado que constituye un árbol de claves en donde claves respectivas corresponden a una raíz, nodos y hojas en una trayectoria desde la raíz las hojas de un árbol en donde varios dispositivos están constituidos como las hojas, ejecuta la renovación de claves en una trayectoria seleccionada mediante la selección de la trayectoria que constituye el árbol de claves y procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivos, el sistema comprende: varias entidades que manejan un sub-árbol como un sub-árbol como un árbol parcial que constituye el árbol de claves y generan un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un grupo de claves que corresponden a nodos u hojas incluidos en el sub-árbol; y un centro de distribución de claves (KDC) que genera el bloque de claves de habilitación (EKB) decodificable solamente por entidades seleccionadas mediante el uso del sub-bloque de claves de habilitación (sub-EKB) generado por las varias entidades. . El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 22, en donde las varias entidades tienen una estructura jerárquica de entidades superordinadas y entidades subordinadas en donde un nodo terminal en la etapa más baja de una entidad se vuelve el nodo superior (sub-raíz) de otra entidad. . El sistema de procesamiento de información que utiliza un bloque de claves de cpptografiado de conformidad con la reivindicación 22, en donde cada una de las varias entidades tiene autoridad para establecer y renovar la clave que corresponde a los nodos u hojas que constituyen el sub-árbol que pertenece a la propia entidad. . El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 22, en donde cada dispositivo que corresponde a una entidad en la clase más baja con hoja en la etapa más baja en la entidad siendo hojas que corresponden a dispositivos respectivos entre las varias entidades tiene almacenado ahí un grupo de claves de nodo y claves de hoja en nodos y hojas en una trayectoria desde un nodo superior (sub-raíz) de la entidad a la cual pertenece el dispositivo mismo hasta la hoja que corresponde al dispositivo mismo. . El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 22, en donde cada una de las varias entidades agrega una entidad de automanejo en la etapa más baja de la propia entidad, de tal manera que uno o varios nodos u hojas en la etapa más baja de la propia entidad estén reservados como nodos de reserva. . El sistema de procesamiento de información que utiliza un sistema de clave de criptografiado de conformidad con la reivindicación 22, en donde la entidad superordinada que agrega la nueva entidad a su nodo terminal establece una clave de corresponde al nodo terminal de la entidad superordinada como un nodo que establece el sub-árbol de la nueva entidad como una clave de nodo superior (sub-raíz) de la nueva entidad. El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 22, en donde una entidad recién agregada genera un sub-bloque de claves de habilitación (sub-EKB) con base solamente en un grupo de claves que corresponden a nodos y hojas en el sub-árbol en la nueva entidad y ejecuta un procesamiento de registro del sub- EKB en el centro de distribución de claves (KDC) . 29. El sistema de procesamiento de información que utiliza un sistema de claves de criptografiado de conformidad con la reivindicación 22, en donde una entidad que ejecuta un procesamiento de revocación de un dispositivo renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta una hoja que corresponde al dispositivo revocado y genera un sub-EKB de renovación en el cual la clave de nodo renovada es constituida como una clave de criptografiado decodificable solamente por dispositivos de hoja otros que los dispositivos revocados y lo envía a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el EKB de renovación hasta su propia sub-raíz y general un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación del dispositivo es ejecutado mediante secuencialmente ejecutar una generación de sub-EKB de renovación y enviar procesamiento en la base de la entidad hasta una entidad más elevada para efectuar la ..B¿^-<¿,_, jk&?-i.iíJ renovación de cada clave de nodo en la trayectoria en el dispositivo revocado hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . . El sistema procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 22, en donde una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un grupo de claves de nodo en nodos en la trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en donde la clave de nodo ha sido renovada a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el EKB de renovación a través de su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad adicional superordinada, de tal manera que el procesamiento de renovación en la base de la entidad es ejecutado mediante secuencialnente, ejecutar una generación de sub-EKB de renovación y enviar procesamiento en la base de la entidad hasta una entidad más elevada para efectuar la renovación de cada clave de nodo en la trayectoria desde la entidad revocada hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo al centro de distribución de claves (KDC) . 31. El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 22, en donde una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un grupo de claves de nodo en nodos, excepto en el caso de un nodo terminal en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en donde la clave de nodo ha sido renovada para enviarlo a una entidad superordmada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el sub-EKB de renovación a través de su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación en la base de la entidad es ejecutado mediante, secuencialmente, ejecutar generación de sub-EKB de renovación y enviar procesamiento en la base de la entidad hasta una entidad más elevada para efectuar la renovación de cada clave de nodo excepto el nodo terminal que corresponde a la entidad revocada en la trayectoria desde la entidad revocada hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . . El sistema de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 22, en donde las entidades son conformadas como sujetos de manejo de dispositivos o entidades que pertenecen a una categoría común como por ejemplo, el tipo de dispositivo, tipo de servicio, tipo de medio de manejo, etc. . Un método de procesamiento de información que utiliza un bloque de claves de criptografiado en un sistema de procesamiento de información que constituye un árbol de claves en donde claves respectivas corresponden a una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos son conformados como las hojas, ejecuta renovación de claves en una trayectoria seleccionada mediante la selección de la trayectoria que constituye el árbol de claves y procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo, el método comprende los pasos de: generar un sub-bloque de claves de habilitación (sub- EKB) con base solamente en un grupo de claves que corresponden a nodos u hojas incluidos en un sub-árbol de cada entidad en una pluralidad de entidades que manejan sub-árboles como un árbol parcial que constituye el árbol de claves; y generar el bloque de claves de habilitación (EKB) decodificable solamente por entidades seleccionadas mediante el uso del sub-bloque de claves de habilitación (sub-EKB) generado por las varias entidades en un centro de distribución de claves (KDC) . 34. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 33, en donde cada una de las varias entidades ejecuta el establecimiento y la renovación de la clave que corresponde a los nodos u hojas que constituye el sub-árbol que corresponde a la propia entidad. 35. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 33, en donde la entidad superordinada que agrega la nueva entidad a su nodo terminal establece una clave que corresponde al nodo de la entidad superordinada como un nodo que establece el sub-árbol de . Xfc...,j,; la nueva entidad como una clave de nodo superior (sub-raíz) de la nueva entidad. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 33, en donde una entidad recién agregada genera un sub-bloque de claves de habilitación sub-EKB con base solamente en un grupo de claves que corresponden a nodos y hojas en el sub-árbol de la nueva entidad y ejecuta un procesamiento de registro del sub-EKB en el centro de distribución de claves. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 33, en donde una entidad que ejecuta un procesamiento de revocación de un dispositivo renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raíz en la entidad) hasta una hoja que corresponden al dispositivo revocado y genera un sub-EKB de renovación en donde la clave de nodo renovada es constituida como una clave de criptograflado decodificable solamente por dispositivos de hoja otros que el dispositivo revocado para enviarlo a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el sub-EKB de renovación a través de su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada adicional, de tal manera que el procesamiento de revocación del dispositivo es ejecutado mediante, secuencialmente, ejecutar una generación de 5 sub-EKB de renovación y enviar procesamiento en la base de la entidad hasta una entidad más alta para efectuar la renovación de cada clave de nodo en la trayectoria desde el dispositivo revocado hasta una hoja y ejecutar un procesamiento de registro del sub-EKB de renovación 10 generado en la renovación de la clave de nodo en el centro de distribución de claves. 38. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 33, en donde una entidad que ejecuta 15 un procesamiento de revocación de una entidad subordinada renueva un grupo de claves de nodo en nodos en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en 20 donde la clave de nodo ha sido renovada para enviarla para enviarla a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal al cual se ha enviado el sub-EKB de renovación hasta su propia sub-raíz y 25 genera un sub-EKB de renovación para enviarlo a una ___£___á_S__ _a___ c _. ?.I _üa_.. .jtfcjjMfe......,-fc--»vi;?._... entidad superordinada adicional, de tal manera que el procesamiento de revocación en la base de la entidad es ejecutado por secuencialmente, ejecutar una generación EKB de renovación y enviar el procesamiento en la base de la entidad hasta una entidad más elevada para efectuar la renovación de cada clave de nodo en la trayectoria desde la entidad revocada hasta la raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . 39. El método de procesamiento de información que utiliza un bloque de claves de criptografiado de conformidad con la reivindicación 33, en donde una entidad que ejecuta un procesamiento de revocación de una entidad subordinada renueva un grupo de claves de nodo en nodos excepto en el caso de un nodo terminal en una trayectoria desde un nodo superior (sub-raíz) en la entidad hasta un nodo terminal que corresponde a la entidad revocada y genera un sub-EKB de renovación en donde la clave de nodo ha sido renovada para enviarlo a una entidad superordinada, y la entidad superordinada renueva una clave de nodo en una trayectoria desde un nodo terminal, al cual sub-EKB de renovación ha sido enviado hasta su propia sub-raíz y genera un sub-EKB de renovación para enviarlo a una entidad superordinada i Aii?Aí i*^1***-****'--' adicional, de tal manera que el procesamiento de revocación en la base de la entidad es ejecutado, por secuencialmente, ejecutar generación de sub-EKB de renovación y enviar el procesamiento en la base de la entidad hasta una entidad más elevada con el objeto de efectuar la renovación de cada clave de nodo excepto el nodo terminal que corresponde a la entidad revocada en la trayectoria desde la entidad revocada hasta una raíz y ejecutar un procesamiento de registro del sub-EKB de renovación generado en la renovación de la clave de nodo en el centro de distribución de claves (KDC) . 40. Un medio de distribución de programas para distribuir un programa de cómputo que permite ejecutar el procesamiento de generación de bloque de claves de habilitación (EKB) en un sistema de cómputo en un sistema de procesamiento de información que constituye un árbol de claves en donde claves respectivas corresponden a una raíz, nodos y hojas en una trayectoria desde la raíz hasta las hojas de un árbol en donde varios dispositivos conforman las hojas, ejecuta renovación de claves en una trayectoria seleccionada mediante la selección de la trayectoria que constituye el árbol de claves y procesamiento de criptografiado de una clave superordinada por una clave subordinada y genera un bloque de claves de habilitación (EKB) para proporcionarlo a un dispositivo, el programa de cómputo comprende los pasos de: generar un sub-bloque de claves de habilitación {sub- EKB) con base solamente en un grupo de claves que corresponden a nodos u hojas incluidos en un sub-árbol de cada entidad en varias entidades que manejan sub- árboles como un árbol parcial que constituye el árbol de claves; y generar el bloque de claves de habilitación (EKB) decodificable solamente por entidades seleccionadas mediante la utilización del sub-bloque de claves de habilitación (sub-EKB) generado por las varias entidades en un centro de distribución de claves (KDC) . _..¿ _.&.._ fe__________A__ai____.