コンテンツ再生装置、コンテンツ再生方法及びプログラム
【課題】改竄されたコンテンツデータを記録した記録媒体の実行・再生を回避し、記録媒体に記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定することができるコンテンツ再生装置及び方法を提供する。
【解決手段】プログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体からコンテンツデータを再生、実行し、記録媒体からアクセス許可するサーバを示す識別子を読み出して記憶手段で記憶し、再生、実行中にプログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、プログラムに含まれるサーバの識別子と記憶手段で記憶された識別子とが一致し、且つ記憶手段で記憶された識別子に対応するサーバの正当性及び記録媒体の正当性が検証されたとき、接続要求を受けて、記憶手段で記憶された識別子に対応するサーバへ接続する。
【解決手段】プログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体からコンテンツデータを再生、実行し、記録媒体からアクセス許可するサーバを示す識別子を読み出して記憶手段で記憶し、再生、実行中にプログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、プログラムに含まれるサーバの識別子と記憶手段で記憶された識別子とが一致し、且つ記憶手段で記憶された識別子に対応するサーバの正当性及び記録媒体の正当性が検証されたとき、接続要求を受けて、記憶手段で記憶された識別子に対応するサーバへ接続する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は光ディスクなどの記録媒体に記録された映像・音声情報及びプログラムを含むコンテンツデータを再生・実行するコンテンツ再生装置に関し、特にネットワークを介してサーバに接続するコンテンツ再生装置に関する。
【背景技術】
【0002】
近年では、DVDやビデオCDなど、映像や音声等のデータを記録した光ディスクを再生する光ディスク再生装置が開発されている。これら装置は映画ソフトの鑑賞等に利用され一般に普及している。
【0003】
DVDは、情報記録媒体に記録された映像・音声情報を再生するディスクに関する規格であり、DVDフォーラムにより「DVD Specifications for Read−Only Disc Part 3: VIDEO SPECIFICATIONS」として1996年に発行された。この規格では、動画圧縮方式としてMPEG2方式をサポートし、音声圧縮方式としてMPEGオーディオ圧縮方式およびAC−3オーディオ圧縮方式をサポートしている。さらに、映画の字幕用などに用いるビットマップデータである副映像データや、早送り再生、早戻し再生等の制御データ(ナビパック)を規定している。
【0004】
一方、近年のインターネットの普及により、ネットワーク接続機能を有する映像情報装置が開発されている。たとえば、テレビ放送の受信、録画機能をもつ映像情報装置では、ネットワークを介して接続されたサーバから電子番組表のデータを受信し、その内容に基づいて録画する機能などが開発されている。
【0005】
上記ネットワーク接続機能を有する映像情報装置に関する従来技術として、特許文献1においては、DVD ビデオタイトルとインターネットで提供されるHTMLファイルとを融合させたサービスを行う画像表示装置が開示されている。この画像表示装置では、ナビパックから取り出したURLに基づいてインターネットに接続し、再生中のシーンに連動してHTMLコンテンツを表示することが可能となる。
【0006】
また、特許文献2では、単にHTMLコンテンツを表示するだけではなく、通信回線を介して接続されたサーバから取得した拡張情報により、表現能力の高い映像を再生するとともに、不特定多数の人がサーバに接続できないようにするため、光ディスク上のデータをサーバへ送ることで認証処理を行うことを特徴とする光ディスク装置が開示されている。
【0007】
しかしながら、特許文献1においてはネットワークを介してコンテンツを取得することによるセキュリティの問題については検討されておらず、特許文献2においては、サーバに接続できる光ディスク装置を制限するために認証処理を行っているだけであり、接続先のサーバから悪意を持って作成された危険なコンテンツを取得する危険性に関する問題や、悪意を持って作成された危険なコンテンツを再生することで、光ディスク装置がDDoS(Distributed Denial of Service)攻撃の踏み台となる危険性に関する問題などについては考慮されておらず、セキュリティに関する検討が不十分であった。
【特許文献1】特開平11−161663号公報
【特許文献2】特開2004−79055号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
以上説明したように、従来のネットワーク接続機能有する映像情報装置では、サーバへ接続可能な映像情報装置を制限するために、ディスクの認証を行うことでディスクの正当性を保証しているだけである。従って、接続先のサーバから、悪意を持って作成された危険なコンテンツを取得する危険性に関する問題や、悪意を持って作成された危険なコンテンツを再生することで、映像情報装置がDDoS攻撃などの踏み台となる危険性に関する問題などについては考慮されておらず、安心してネットワークへ接続できないという問題があった。
【0009】
そこで、本発明は、上記問題点に鑑み、改竄されたコンテンツデータを記録したディスクの実行・再生を回避し、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定することができるコンテンツ再生装置及び方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行するコンテンツ再生装置は、(a)前記記録媒体から前記アクセス許可するサーバを示す識別子を読み出し、(b)読み出された前記識別子を記憶手段で記憶し、(c)前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と前記記憶手段で記憶された識別子とが一致するか否かを検証し、(d)前記記憶手段で記憶された識別子に対応するサーバの正当性を検証し、(e)前記記憶手段で記憶された識別子に対応するサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行い、(f)前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続することにより、改竄されたコンテンツデータを記憶した記録媒体の実行・再生を回避し、記録媒体に記憶されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定することができる。
【発明の効果】
【0011】
改竄されたコンテンツデータを記憶した記録媒体の実行・再生を回避し、記録媒体に記憶されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定することができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施形態について図面を参照して説明する。
【0013】
図1は本発明の一実施形態に係る、記録媒体に記録されたコンテンツデータを再生するコンテンツ再生装置の構成例を示したものである。ここでは、記録媒体が、光ディスクなどのディスクの場合を例にとり、ディスクに記録されたコンテンツデータを再生するコンテンツ再生装置について説明する。
【0014】
ディスクには、映像・音声データや、例えば、XML(Extensible Markup Language)などの言語を用いて一連の処理手順を記述した実行可能なプログラム(スクリプト)などを含むコンテンツデータが記録されている。コンテンツ再生装置は、上記コンテンツデータの記録されたディスクが挿入されて、当該ディスクに記録された映像・音声データの再生機能、プログラムの実行機能、及びインターネットなどの所定のネットワークへの接続機能を有する。ディスクに記録されているプログラムには、接続先のサーバの識別子(例えば、ドメイン名)と、当該サーバへ当該コンテンツ再生装置を接続する処理を含むプログラムも含まれている。ディスクに記憶されているプログラムにより、映像・音声データの再生する際に用いるデータやプログラムなどを当該サーバ(当該プログラムに含まれている識別子に対応するサーバで、当該ディスクが正当なものであるならば、このサーバは、ディスクの特定領域に記憶されている識別子に対応するサーバである)からダウンロードするようになっている。
【0015】
本実施形態において、コンテンツデータを記録媒体(例えばディスク)に記録して販売・供給する事業者(distributor)から提供される正当なディスクに記録されているコンテンツデータには、その種類毎(コンテンツのタイトル毎)に、ネットワーク上に1つのサーバが設けられている。すなわち、正当なディスクに記録されているコンテンツデータの種類とサーバとは1対1に対応付けられている。ディスクに記録されているコンテンツデータに対応するサーバの識別子(例えば、ここではドメイン名)は、当該ディスクの予め定められた特定領域に記録されている。
【0016】
また、コンテンツデータの種別に対応するサーバは1つの場合もあれば、複数の場合もある。後者の場合には、ディスクの特定領域には複数のサーバの識別子が記録されている。
【0017】
ディスク上のコンテンツデータ(プログラムを含む)が改竄されてなく、しかも、当該ディスクの特定領域に記憶されているサーバが正当なものである場合には、正当な(改竄されていない)ディスク上の特定領域に記憶されているサーバの識別子は、当該ディスク上のコンテンツデータに対応する予め定められたサーバであり、当該ディスク上のプログラムに含まれる接続先のサーバの識別子は、当該ディスクの特定領域に記憶されている識別子(複数の識別子が記憶されている場合には、そのいずれか1つ)に等しい。
【0018】
<構成>
図1に示すように、コンテンツ再生装置は、ディスク制御部1、ネットワークアクセス制御部2、再生・実行制御部3通信部4ストレージ制御部5を含む。
【0019】
ディスク制御部1は、ディスクが挿入されたことを検出し、ディスクに記録された情報を読み出す。再生・実行制御部3は、ディスク制御部1で読み出された映像・音声データやプログラムを再生・実行する。通信部4は、ネットワークを介してサーバと通信を行うためのものである。
【0020】
ネットワークアクセス制御部2は、再生・実行制御部3で現在再生されているディスク(当該ディスクに記録されているコンテンツデータ)に対応するサーバ101へアクセスするための制御を行うとともに、サーバ認証(後述)やディスク認証(後述)を行う。ネットワークアクセス制御部2は、接続先管理部21、接続先検証部22、サーバ認証部23、ディスク認証部24を含む。
【0021】
ストレージ制御部5は、コンテンツ再生装置に挿入されているディスクやネットワーク(サーバ101)から取得したデータ(映像・音声データやプログラムなどを含む)を、所定の記憶装置6に記憶するための制御を行う。
【0022】
以下、図1のコンテンツ再生装置の処理動作について説明する。
【0023】
<サーバ認証及びディスク認証>
本実施形態では、正当なディスクに記録されているコンテンツデータの種類とサーバとは1対1に対応付けられている。ディスクに記録されているコンテンツデータに対応するサーバのドメイン名は、当該ディスクの予め定められた特定領域に記録されている。
【0024】
コンテンツ再生装置がディスクを再生しているときにアクセスできるサーバを、当該ディスクの特定領域に記憶されているドメイン名に対応するサーバのみに限定するために、コンテンツ再生装置はサーバへアクセスする前に、当該サーバが、ディスク上の特定領域に記憶されているドメイン名に対応する正当なサーバであるか否かを検証するために、サーバ認証を行う。
【0025】
また、ディスクに記録されているコンテンツデータ(特にコンテンツデータに含まれるプログラム)が改竄されている場合に、コンテンツ再生装置が改竄されているプログラムを実行して、不正なサーバへアクセスすることを防止するために、コンテンツ再生装置は、上記サーバ認証を行った後、ディスクの正当性を検証するためのディスク認証を行う。
【0026】
上記サーバ認証及びディスク認証は、コンテンツ再生装置にディスクが挿入されたとき、あるいは、コンテンツ再生装置にディスクが挿入された後、(例えば、当該ディスクに記録されているプログラムを実行することにより)サーバ(ネットワーク)へのアクセス要求が(最初)に発生したときに行う。
【0027】
(1)コンテンツ再生装置にディスクが挿入されたときに、サーバ認証及びディスク認証を行う場合について、図2〜図4に示すフローチャートを参照して説明する。
【0028】
(1−1)サーバ認証
図2に示すように、コンテンツ再生装置100にディスクが挿入されると(ステップS1)、ディスク検出部11が、ディスクの挿入を検出する(ステップS2)。これを受けて、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。読み出されたドメイン名はネットワークアクセス制御部2の接続先管理部21に通知される。接続先管理部21は、通知されたドメイン名を接続先管理部21内のメモリに記憶されている図18に示すような接続先管理テーブルに記録する(ステップS4)。なお、当該ディスク上に特定領域内に、ドメイン名が空であることを示すデータ(例えば「0」)が記憶されている場合には、サーバ認証を行わない、従って、以後、当該ディスクを再生しているときに、ネットワークへの接続要求が発生しても、ネットワークへのアクセスは行わない。
【0029】
接続先管理部21は、当該ディスクがコンテンツ再生装置100に挿入されている間だけ、ドメイン名を接続先管理テーブルに記憶しておく。このため、ディスク検出部11が当該ディスクの取り出しを検出したら、接続先管理部21は、図18に示した接続先管理テーブルから、ステップS4で記憶したドメイン名を削除する。
【0030】
さて、ステップS4で、当該ディスクの特定領域から読み出されたドメイン名が、接続先管理テーブルに記憶されると、サーバ認証部23が、当該ドメイン名に対応するサーバの認証処理を開始する。この場合、まず、通信部4は、当該ドメイン名に対応するIPアドレスを所定のDNS(Domain name system)サーバから取得する(ステップS5)。サーバ認証部23は、この取得されたIPアドレスを用いて、ネットワークへアクセスし、当該ドメイン名に対応するサーバの証明書を取得するための認証処理を行う(ステップS6)。
【0031】
ネットワークを介してサーバを認証する方式は、例えば、インターネット上のWWW(World Wide web)などで広く用いられているSSL(Secure Socket Layer)/TLS(Transport layer security)により行う。SSL/TLSは、公開鍵暗号方式に基づく認証方式であり、クライアントは、ルート認証局と呼ばれる認証機関により認証されたサーバ証明書を受け取り、その内容を確認することでサーバの正当性を保証する方式である。さらに、SSL/TLSは、クライアントとサーバの双方でデータの暗号化を行い通信する処理手順が規定されており、ネットワーク上での傍受によるデータ改竄などを防ぐことができる。
【0032】
SSL/TLSでは、図3に示すような手順で証明書をやり取りする方式が規定されている。すなわち、まず、クライアント(コンテンツ再生装置100)から、使用可能な暗号アルゴリズムのリストなどを含む、ClientHelloメッセージをサーバ(サーバ101)へ送信する(ステップS501)。次に、サーバは、当該リスト中の暗号アルゴリズムのうち使用したい暗号アルゴリズムを示した情報を含む、ServerHelloメッセージをクライアントへ送信する(ステップS502)。その後、サーバの証明書を含むCertificateメッセージをクライアントへ送信し(ステップS503)、ServerHelloDoneメッセージを送信することにより、証明書の送信を終了する(ステップS504)。
【0033】
クライアントは、サーバから送信された証明書から取得したサーバの公開鍵を使って共通鍵を暗号化し、暗号化された共通鍵を含むClientKeyExchangeメッセージをサーバへ送信する(ステップS505)。次に、メッセージの改竄を防ぐためにこれまでのメッセージのダイジェストを計算して、当該ダイジェストを含むFinishedメッセージをサーバへ送信する(ステップS506)。一方、サーバは共通鍵を取得し、クライアントと同様にメッセージのダイジェストを計算してクライアントへ送信する(ステップS507)。
【0034】
図3において、クライアントをコンテンツ再生装置100とすることで、コンテンツ再生装置100は、ステップS503で、ディスクの特定領域から読み出されたドメイン名に対応するサーバの証明書(サーバ証明書)を取得する(ステップS7)。
【0035】
接続したサーバ名と、サーバ101から取得したサーバ証明書に含まれるサーバ名を照合する(ステップS8)。両者が一致し、サーバの認証が成功した場合には、当該サーバ101は、コンテンツ再生装置100に挿入されているディスクの特定領域に記憶されているドメイン名に対応する正当なサーバであると判定される。接続したサーバ名と、サーバ101から取得したサーバ証明書に含まれるサーバ名とが一致しない場合には、サーバの認証が失敗したと判定される。
【0036】
サーバ認証部23は、接続管理部21に記憶されている図18に示した接続先管理テーブルに、サーバの認証が成功したか否かを示すサーバ認証フラグの値を記録する。サーバの認証が成功した場合には(ステップS9)、サーバ認証フラグの値を「1」とする(ステップS10)。サーバ認証が失敗した場合には(ステップS10)、サーバ認証フラグの値を「0」とする(ステップS11)。
【0037】
サーバ認証フラグが「1」の間は、サーバ101が正当であることを示すので、サーバの正当性を確認できなくなった場合は、サーバ認証フラグの値を「0」に戻す。例えば、サーバ認証の成功したサーバとの間の通信セッションが切断された場合や、予め定められた一定時間が経過した場合に、サーバ認証部23は、サーバ認証フラグの値を「1」から「0」に書き換える。
【0038】
図2のステップS6の認証処理は、SSL/TLSの代わりに、公開鍵暗号方式に基づく独自の認証処理であってもよい。この場合の処理手順について説明する。
【0039】
まず、ディスク制御部1のディスク読み出し部12が、ディスクに予め記憶されている公開鍵を読み出し、所定のメモリへ記憶する。次に、サーバ認証部23は、証明書の送信をサーバに要求する。要求を受け取ったサーバは、当該サーバがもつ秘密鍵で証明書を暗号化し、コンテンツ再生装置に送信する。サーバ認証処理部23は、証明書を受け取ると、上記公開鍵で証明書を復号し、この復号された証明書に含まれるサーバ名と、接続したサーバ名を照合する。両者が一致し、サーバの認証が成功した場合には、当該サーバ101は、コンテンツ再生装置100に挿入されているディスクの特定領域に記憶されているドメイン名に対応する正当なサーバであると判定され、サーバ認証フラグ「1」が記憶される。接続したサーバ名と、復号された証明書に含まれるサーバ名が一致しない場合には、サーバの認証が失敗したと判定され、サーバ認証フラグ「0」が記憶される。
【0040】
サーバの証明書の内容に、例えば当該サーバのドメイン名が含まれていると、正当なサーバに接続していることを確認できる。
【0041】
上記のようなサーバ認証が失敗した場合には、以後、コンテンツ再生装置でディスク上のコンテンツを再生している間にネットワークへの接続要求が発生しても、ネットワークへの接続は行われない。
【0042】
上記のようなサーバ認証が成功することにより、当該サーバが、ディスクの特定領域に記録されていたドメイン名に対応する正当なサーバであることが保証され、コンテンツ再生装置から接続できるサーバを、接続先管理テーブルに記憶されているドメイン名に対応するサーバに限定することができるようになる。
【0043】
サーバ認証が成功すると、次に、ディスク認証を行う。
【0044】
(1−2)ディスク認証
ディスク認証では、コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータが正当なものであるか否かがチェックされる。ディスク認証を行うことにより、改竄されたコンテンツデータ(特に、改竄された不正なプログラム)がディスクに記録されている場合には、当該不正なプログラムを実行することにより上記正当なサーバへアクセスすることを回避することができる。
【0045】
以下、図4に示すフローチャートを参照してディスク認証処理について説明する。
【0046】
図2に示したようなサーバ認証が成功すると、ディスク認証部24は、接続先管理テーブルにドメイン名が記憶されているか否か、サーバ認証が成功したか否かを確認する(ステップS21)。接続先管理テーブルにドメイン名が記憶されていない場合、サーバ認証フラグが「0」である場合には(ステップS21)、以後のディスク認証処理を行わない。従って、ネットワークへのアクセスも行うことはできなくなる(ステップS22)。
【0047】
接続先管理テーブルにドメイン名が記憶されており、且つ、サーバ認証フラグが「1」であるときには(ステップS21)、通信部4を介して、接続先管理テーブルに記憶されているドメイン名に対応するサーバに対してディスクの認証要求を送信する(ステップS23)。
【0048】
ディスク認証要求を受信したサーバは、ディスク上のディスクが識別できるデータが記録されている記録領域をランダムに選択する(ステップS24)。ここでは、1つのみならず複数の記録領域が選択されてもよい。そして、コンテンツ再生装置に対し、当該選択された記録領域に記録されているデータのハッシュ値を送信するよう要求する(ステップS25)。このとき、予め定められたアルゴリズムを用いて、暗号化してから送信するよう要求してもよい。
【0049】
コンテンツ再生装置100が、この送信要求を受信すると、ディスク認証処理部24は、サーバにより指定された記録領域のデータをディスク制御部1を介してディスクから読み出し(ステップS26)、読み出されたデータのハッシュ値を計算する(ステップS27)。
【0050】
サーバから暗号化してから送信するよう、要求されている場合には、このハッシュ値を予め定められたアルゴリズムを用いて暗号化する。求めたハッシュ値はサーバへ送信される(ステップS28)。
【0051】
サーバは、当該サーバに対応するコンテンツデータの記録されている正当なディスクを備えている。ハッシュ値を受信したサーバは、このディスク上の上記ステップS24で選択された記録領域から、データを読み出し、ハッシュ値を計算する。そして、この計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とを比較し(ステップS29)、両者が不一致である場合(ディスク認証が失敗した場合)には、現在コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータは改竄されている可能性があると判定される。この場合、サーバは、コンテンツ再生装置100に対し、アクセス不許可通知を送信する(ステップS31)。
【0052】
サーバで計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とが一致する場合(ディスク認証が成功した場合)には、現在コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータは改竄されていないと判定される。この場合、サーバは、コンテンツ再生装置100に対し、アクセス許可通知を送信する(ステップS33)。
【0053】
コンテンツ再生装置100は、サーバからアクセス許可通知/アクセス不許可通知を受信すると、ディスク認証部24は、受信した通知の内容を基に、接続管理部21に記憶されている図18に示した接続先管理テーブルに、ディスク認証が成功したか否かを示すディスク認証フラグの値を記録する。アクセス許可通知を受信し、ディスク認証が成功した場合には、ディスク認証フラグの値を「1」とする(ステップS34)。アクセス不許可通知を受信し、ディスク認証が失敗した場合には、ディスク認証フラグの値を「0」とする(ステップS32)。
【0054】
上記ディスク認証処理では、サーバが、当該サーバに対応するコンテンツデータの記録されているディスクについて、ディスクが識別できるデータが記録されている記録領域をランダムに選択し、コンテンツ再生装置から送信された、当該選択された記録領域内のデータのハッシュ値を用いて、当該記録領域内のデータが改竄されているか否かを判定している。
【0055】
このようなディスク上の任意の記録領域内のデータを用いてディスク認証を行う代わりに、改竄されると他に危害を及ぼす可能性のあるプログラムの記録されているディスク上の記録領域内のデータ(プログラム)を用いた、他のディスク認証処理について、図5に示すフローチャートを参照して説明する。なお、図5において、図4と同一部分には同一符号を付し、異なる部分についてのみ説明する。
【0056】
すなわち、図4のステップS24が、図5ではステップS24a及びステップS24bに置き換えられ、図4のステップS25が図5ではステップS25aに置き換えられ、図4のステップS27が、図5ではステップS27aに置き換えられ、図4のステップS29が、図5ではステップS29aに置き換えられている。
【0057】
図5のステップS24aでは、サーバがディスク認証要求を受信すると、改竄されると他に危害を及ぼす可能性のあるプログラムの記録されているディスク上の記録領域を選択する。この場合、サーバは、当該サーバに対応するコンテンツデータの記録されているディスクについて、プログラム(改竄されると他に危害を及ぼす可能性のあるプログラム)の記録されている記録領域がどこであるかを予め記憶している。そして、プログラムの記録されている記録領域のうちの少なくとも1つを選択する。複数の記録領域を選択してもよい。
【0058】
次に、ステップS24bでは、サーバは、ランダムなデータ系列を生成する。そして、ステップS25aでは、コンテンツ再生装置100に対し、この生成されたデータ系列と、ステップS24aで選択した記録領域に記録されているデータ(プログラムデータ)とから計算されるハッシュ値を送信するよう要求する。このとき、予め定められたアルゴリズムを用いて、暗号化してから送信するよう要求してもよい。
【0059】
コンテンツ再生装置100が、この送信要求を受信すると、ディスク認証処理部24は、サーバにより指定された記録領域のデータをディスク制御部1を介してディスクから読み出す(ステップS26)。ステップS27aでは、この読み出されたデータとサーバから送られてきたデータ系列とを連結して、読み出されたデータとサーバから送られてきたデータ系列を含むデータ全体のハッシュ値を計算する。サーバから暗号化してから送信するよう、要求されている場合には、このハッシュ値を予め定められたアルゴリズムを用いて暗号化する。求めたハッシュ値はサーバへ送信される(ステップS28)。
【0060】
サーバは、当該サーバに対応するコンテンツデータの記録されている正当なディスクを備えている。ハッシュ値を受信したサーバは、ステップS29aにおいて、このディスク上の上記ステップS24aで選択された記録領域からデータを読み出し、読み出したデータと、ステップS24bで生成したデータ系列を連結して、読み出したデータとステップS24bで生成したデータ系列を含むデータ全体のハッシュ値を計算する。そして、この計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とを比較する(ステップ29a)。その後、図4と同様で、両者が不一致である場合(ディスク認証が失敗した場合)には、サーバは、コンテンツ再生装置100に対し、アクセス不許可通知を送信し(ステップS31)、コンテンツ再生装置は、ディスク認証フラグを「0」にする(ステップS32)。サーバで計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とが一致する場合(ディスク認証が成功した場合)には、サーバは、コンテンツ再生装置100に対し、アクセス許可通知を送信し(ステップS33)、コンテンツ再生装置は、ディスク認証フラグを「1」にする(ステップS34)。
【0061】
上記ディスク認証は、当該ディスクがコンテンツ再生装置から取り出されるまで有効となる。すなわち、当該ディスクがコンテンツ再生装置から取り出されたら、ディスク認証フラグを「0」に書き変える。
【0062】
上記説明では、ディスク認証フラグの値によってディスク認証が有効かどうかを判定したが、別の方式として、サーバから指定された有効期間(ディスクの正当性を保証する期間)とセッション識別子を用いる方式を以下に説明する。これは、通信プロトコルとして、例えばHTTP(Hyper Text Transfer Protocol)を用いた場合、Cookieを使うことにより実現可能である。
【0063】
図4および図5のステップS33で、サーバはアクセス許可通知とともに、有効期間(例えば「300秒」と指定する)とセッション識別子(例えばサーバが生成したコンテンツ再生装置を識別するためのランダム文字列)をディスク認証処理部24へ送信する。ディスク認証処理部24は、接続管理部24に記憶されている接続先管理テーブルに、サーバから送られた有効期間とセッション識別子を保存する。以降、図8に示すようにして、ステップS54においてサーバと通信する場合、このセッション識別子をサーバへの通信データに付加することで、サーバは、ディスク認証が行われていることが確認できる。サーバは、セッション識別子が付加されていない通信データがコンテンツ再生装置から送られてきても、それを拒否する。
【0064】
ディスク認証処理部24は、保存された有効期間を経過した場合やコンテンツ再生装置の操作(例えば、利用者によりディスクが取り出されたり、再生中のコンテンツが停止された場合)に応じて、保存されている有効期間の値を「0」とし、セッション識別子を削除する。このとき、ディスク認証フラグを「1」から「0」に更新するようにしてもよい。
【0065】
保存されている有効期間が経過した後や、上記予め定められたユーザ操作により有効期間が「0」になった後は、有効期間が「0」になったことを契機に、あるいは、コンテンツデータの再生・実行中にネットワークへの接続要求が発生したことを契機に、再び、上記ディスク認証を行う。
【0066】
また、保存したセッション識別子が削除された場合には、図8のステップS54においてサーバと通信することはできないため、再び、ディスク認証を行う。
【0067】
このように、上記有効期間を用いる場合には、コンテンツデータの再生・実行中に発生した接続要求を受けて、サーバに接続するためには、図8のステップS53において、有効期間が「0」でないことが条件として加わる。また、セッション識別子を用いる場合には、図8のステップS53において、セッション識別子が保存されていることが条件として加わる。
【0068】
なお、本実施形態では、1つのサーバはある1つのコンテンツに対応するディスク認証処理を行うとして説明したが、1つのサーバで複数のディスク認証処理を行うことも可能である。その場合、例えば、ディスクまたはコンテンツを一意に特定する識別子をディスク上に格納しておき、ディスク認証時にその識別子をディスクから読み込んでサーバへ送信することで、サーバはどのディスクかを特定することができる。
【0069】
(2)コンテンツ再生装置にディスクを挿入した後、サーバ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証及びディスク認証を行う場合について、図6に示すフローチャートを参照して説明する。なお、図6において、図2と同一部分には同一符号を付し、異なる部分についてのみ説明する。すなわち、図2のステップS2が図6ではステップS12に置き換えられている。
【0070】
図2に示すサーバ認証では、ステップS2で、ディスクがコンテンツ再生装置に挿入されたことを契機に、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。
【0071】
一方、図6に示すサーバ認証では、ステップS12で、ディスクがコンテンツ再生装置に挿入された後、例えば、当該ディスクに記録されているプログラムを実行することにより、サーバ(ネットワーク)へのアクセス要求が(最初)に発生したことを契機に、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。その後の処理動作は、図2のステップS4からステップS11までの処理動作と同様である。
【0072】
図6のサーバ認証処理を行った後に、図4あるいは図5に示したようなディスク認証を行う。
【0073】
(3)コンテンツ再生装置にディスクを挿入した後、サーバ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証及びディスク認証を行う場合の他の例について、図7に示すフローチャートを参照して説明する。なお、図7において、図2及び図6と同一部分には同一符号を付し、異なる部分についてのみ説明する。すなわち、図7では、図2と同様に、ディスクのコンテンツ再生装置への挿入を検出したことを契機に(ステップS2)、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。そして、読み出されたドメイン名は、接続先管理部21内のメモリに記憶されている図18に示すような接続先管理テーブルに記録される(ステップS4)。ここまでは、図2と同様である。
【0074】
図7において、図2と異なるのは、サーバ認証部23のステップS5〜ステップS11までの処理は、図7ではステップS12〜ステップS14までの処理を行った後であるという点である。すなわち、ディスク検出部11で、ディスクがコンテンツ再生装置へのディスクの挿入が検出され、当該ディスクの特定領域から読み出されたドメイン名が接続先管理テーブルに記録される(図7のステップS1〜ステップS4)。その後、コンテンツ再生装置に挿入されたディスクに記録されているプログラムを実行することにより、サーバ(ネットワーク)への接続要求が(最初)に発生すると、すなわち、接続要求が再生・実行制御部3から出力されると(図7のステップS12)、当該接続要求が、ネットワークアクセス制御部2の接続先検証部22により検出される。接続先検証部22は、当該プログラムにより指定されている接続先のドメイン名を取得する(ステップS13)。
【0075】
ディスクに記録されているプログラムを実行することにより再生・実行制御部3で発生する接続要求には、当該プログラムに含まれる接続先のドメイン名が含まれている。接続先検証部22は、この接続要求に含まれる接続先のドメイン名を取得する。
【0076】
次に、接続先検証部22は、取得したドメイン名と接続先管理テーブルに記録されているドメイン名とを比較し(ステップS14)、両者が一致した場合に、接続管理テーブルに記録されているドメイン名に対応するサーバの認証処理(ステップS5〜ステップS11)を開始する。
【0077】
取得したドメイン名と接続先管理テーブルに記録されているドメイン名とが異なる場合には、ここで処理を中止し、サーバ認証部23でのサーバ認証処理(ステップS5〜ステップS11)を行わない。その結果、コンテンツ再生装置100は、ネットワークへの接続は行わない。
【0078】
取得したドメイン名と接続先管理テーブルに記録されているドメイン名とが一致した場合には、図2と同様に、サーバ認証部23が、接続管理テーブルに記録されているドメイン名に対応するサーバの認証処理(ステップS5〜ステップS11)を開始する。すなわち、サーバ認証部23は、接続管理テーブルに記録されているドメイン名に対応するサーバから証明書を取得し(ステップS5〜ステップS7)、この取得した証明書と、サーバ認証部23に予め記憶されている証明書が一致し、サーバの認証が成功した場合には、サーバ認証フラグ「1」を接続管理テーブルに記憶する(ステップS8〜ステップS10)。また、取得した証明書と、サーバ認証部23に予め記憶されている証明書が異なる場合には、サーバ認証フラグ「0」を接続管理テーブルに記憶する(ステップS8、ステップS9,ステップS11)。
【0079】
図7のサーバ認証処理を行った後に、図4あるいは図5に示したようなディスク認証を行う。
【0080】
本実施形態では、(1)コンテンツ再生装置にディスクが挿入されたとき、または、(2)サーバへ(ネットワーク)へのアクセス要求が発生したときに、ディスク認証処理を行う方式を説明した。このとき、コンテンツ再生装置の不具合等で、ディスクの差し替えが検出できない場合、ディスク認証処理後に他のディスクへ差し替えられる危険性がある。
【0081】
この場合、接続先管理テーブルのドメイン名、サーバ認識フラグおよびディスク認識フラグは消去されないため、差し替えられたディスクに記憶されているプログラムが、接続先管理テーブルに保存されているドメイン名のサーバへアクセスすることが可能となる。
【0082】
上記危険性を回避するため、前記ディスク認証処理完了後、ネットワークアクセス制御部のディスク認証部24は、あらかじめ定められた方式に基づくあるタイミング(例えば、一定周期や乱数に基づいた不定期)で、前記ディスク認証処理をくりかえし実行してもよい。
【0083】
<接続するサーバを制限するためのアクセス制御>
図2、図7に示したように、コンテンツ再生装置100は、ディスクが挿入されると、当該ディスの特定領域に記録されているドメイン名を読み出して、接続先管理テーブルに記録される。図2の場合には、さらに、サーバ認証及びディスク認証を行い、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録されている。
【0084】
次に、コンテンツ再生装置100が、挿入されたディスク上のコンテンツデータを再生しているときに、ネットワーク接続要求が発生した場合について、図8に示すフローチャートを参照して説明する。
【0085】
ネットワーク接続要求は、コンテンツ再生装置にディスクが挿入された後、(a)当該ディスクに記録されているプログラムを実行することにより、また、後述するように、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、発生する。
【0086】
ネットワーク接続要求は、前述同様、ネットワークアクセス制御部2の接続先検証部22により検出される(ステップS51)。接続先検証部22は、ネットワーク接続要求を発したプログラム(ディスクに記録されているプログラムあるいは記憶装置6に記憶されプログラム)により指定されている接続先のドメイン名を取得する(ステップS52)。
【0087】
なお、図7に示したようなサーバ認証を行う場合には、上記ステップS51及びステップS52で、ディスク挿入後、最初にネットワーク接続要求が検出され(図7のステップS12)、接続先のドメイン名が取得されたときに(図7のステップS13)、サーバ認証を開始し、さらに、ディスク認証を行って、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録される。
【0088】
また、図6に示したようなサーバ認証処理を行う場合には、上記ステップS51及びステップS52で、ディスク挿入後、最初にネットワーク接続要求が検出されたときに(図6のステップS12)、当該ディスの特定領域に記録されているドメイン名を読み出して、接続先管理テーブルに記録する(図6のステップS3〜ステップS4)。その後、サーバ認証及びディスク認証を行って、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録される。
【0089】
従って、図8のステップS51及び52で、ネットワーク接続要求が検知され、接続先のドメイン名を取得した場合、図2、図6,図8のいずれの場合においても、接続先管理テーブルにはドメイン名が記録され、サーバ認証及びディスク認証の結果を示すサーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録されている。
【0090】
接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、(第3の条件)ステップS52で、ネットワーク接続要求元から取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、の3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS53)。上記第1乃至第3の条件のうちのいずれか1つでも満足しない場合には、ネットワークへの接続を許可しない(ステップS53、ステップS55)。
【0091】
接続先検証部22で、ネットワークへの接続が許可された場合には、通信部4は、接続管理テーブルに記録されているドメイン名に対応するサーバへ接続し、ディスク上のコンテンツデータの再生・実行の際に用いるデータやプログラムなどを当該サーバから受信する(ステップS54)。その結果、コンテンツ再生装置100の再生・実行制御部3は、当該サーバと通信を行いながら(当該サーバからダウンロードされるデータやプログラムを用いて)、当該ディスク上のコンテンツデータの再生・実行を行う。
【0092】
以上説明したように、コンテンツ再生装置では、サーバ認証やディスク認証、また、図7に示したようなアクセス制御を行って、ネットワーク接続要求発生時に接続先のサーバを、コンテンツ再生装置に挿入されたディスクの特定領域に記録されたドメイン名に対応するサーバのみに制限することで、コンテンツ再生装置がDDoS攻撃などの踏み台となることを防いでいる。
【0093】
なお、本実施形態では、ディスクとサーバは1対1に対応し、ディスク上の特定領域に記憶されているサーバのドメイン名は1つであるとしたが、ディスク上の特定領域に複数のサーバのドメイン名からなるドメイン名リストが記憶されている場合には、上述の特定領域にドメイン名が1つ記憶されている場合と同様に、ディスク読み出し部12が特定領域から当該ドメイン名リストを読み込んで接続先管理部21の接続先管理テーブルに保持する。この場合、ドメイン名リストに記述されている各サーバの識別子に関して、上述のサーバ認証処理とディスク認証処理および前記アクセス制御処理を行う。
【0094】
例えば、ディスク挿入時や、ネットワークへの接続要求が発生したときなどに、ディスク読み出し部12がディスクの特定領域から当該ドメイン名リストを読み込んで、接続先管理テーブルに記憶しておく(ステップS4)。
【0095】
上記サーバ認証(ステップS5〜ステップS11)は、読み出した直後に、ドメイン名リスト上の各ドメイン名について行うようにしてもよい。また、コンテンツ再生中にプログラムを実行することにより、ネットワークへの接続要求が発生したときに、当該プログラムに含まれる接続先のドメイン名が、上記ドメイン名リスト上に含まれている場合に、当該ドメイン名に対応するサーバについて、上記サーバ認証を行うようにしてもよい。
【0096】
コンテンツ再生中にプログラムを実行することにより、ネットワークへの接続要求が発生したときに、当該プログラムに含まれる接続先のドメイン名が、上記ドメイン名リスト上に含まれている場合、当該ドメイン名に対応するサーバのサーバ認証フラグが「1」のとき、当該ドメイン名に対応するサーバへディスク認証を要求し、ディスク認証を行う(ステップS23〜ステップS34)。
【0097】
<ストレージ制御部とサーバによるストレージ制御>
本実施形態にかかるコンテンツ再生装置では、ディスクから読み出されたデータや、サーバからダウンロードされた映像・音声データやプログラムなどを、記憶装置6に記憶しておき、次回必要なときに利用する。記憶装置6に記憶されたデータは、誰からでもアクセスできるので、保存した個人情報などの漏えいや、改竄されたプログラムの実行により、コンテンツ再生装置100などが動作不良となるなどの問題が発生する可能性がある。これら問題を防ぐため、ストレージ制御部5は、記憶装置6にデータを記憶する際には、記憶するデータを秘匿したり、記憶装置6に記憶されているデータを利用する際には、改竄されているか否かを検知して、改竄されたデータをコンテンツ再生装置100で利用しないよう制御する。ストレージ制御部5でのこのような制御を、ここでは、ストレージ制御と呼ぶ。
【0098】
コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、データ書き込み要求が発生した場合について、図9に示すフローチャートを参照して説明する。データ書き込み要求は、(a)当該ディスクに記録されているプログラムを実行することにより、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、(c)ユーザからの指示により発生する。
【0099】
また、データ書き込み要求により記憶装置6に記憶されるデータは、現在再生中のディスク上のデータ(プログラムを含む)や、図8に示したようにして接続されたサーバからダウンロードされたデータ(プログラムを含む)などである。
【0100】
図9において、データ書き込み要求が発生し(ステップS61)、ストレージ制御部5がデータ書き込み要求を検知すると、ストレージ制御部5は、書き込むデータのハッシュ値を計算する(ステップS62)。ハッシュ値は、例えば、MD5やSHA−1などを用いて計算する。
【0101】
次に、得られたハッシュ値をサーバ(接続先管理テーブルに登録されているドメイン名に対応するサーバ)へ送信するために、接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、の2つの条件を統べた満足しているかをチェックする。特に、データ書き込み要求が、プログラムを実行することにより発生している場合に、当該プログラムにより接続先が指定されているときには、上記第1及び第2の条件の他にさらに、(第3の条件)データ書き込み要求元のプログラムにより指定されている接続先(例えば、ドメイン名)を取得して、その取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、という第3の条件を含む3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS63)。上記いずれか1つの条件を満足しない場合には、ネットワークへの接続は行わない。従って、記憶装置6には、データが書き込まれない(ステップS64)。
【0102】
接続先検証部22でネットワークへの接続が許可された場合には、ステップS65へ進み、通信部4により、コンテンツ再生装置100は、接続先テーブルに登録されているドメイン名に対応するサーバに接続し、ストレージ制御部5は、書き込むデータのハッシュ値を通信部4を介して当該サーバへ送信する。
【0103】
サーバは、上記ハッシュ値を受信すると(ステップS66)、サーバに予め記憶されている秘密鍵を用いて、受信したハッシュ値を暗号化し(ステップS67)、暗号化されたハッシュ値を証明書として、コンテンツ再生装置100へ返信する(ステップS68)。
【0104】
コンテンツ再生装置100は、サーバから送信された上記証明書を受信すると(ステップS69)、ストレージ制御部5は、書き込むべきデータのファイル名(データファイル名)、受信した証明書データのファイル名(証明書ファイル名)と、暗号化を行ったサーバ(この場合、接続先管理テーブルに登録されているドメイン名に対応するサーバ)の識別子(例えば、ここでは、当該サーバのドメイン名)とを1組とするレコードを記憶装置6に設けられた管理テーブルに記録する(ステップS70)。さらに、記憶装置6に書き込むべきデータ(データファイル)、受信した証明書(証明書ファイル)を記憶装置6に記憶する(ステップS71)。
【0105】
次に、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、図9に示したようにして、記憶装置6に記憶されたデータに対し、データ読み出し要求が発生した場合について、図10に示すフローチャートを参照して説明する。データ読み出し要求は、(a)当該ディスクに記録されているプログラムを実行することにより、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、(c)ユーザからの指示により発生する。
【0106】
図10において、データ読み出し要求が発生し(ステップS75)、ストレージ制御部5がデータ読み出し要求を検知すると、ストレージ制御部5は、管理テーブルを参照して、読み出すべきデータファイル名に対応する証明書ファイル名及びサーバのドメイン名を取得する(ステップS76)。さらに、記憶装置6から、当該データファイル名のデータファイルと、当該証明書ファイル名に対応する証明書ファイルを読み出す(ステップS77)。そして、ストレージ制御部5は、読み出したデータファイル内のデータのハッシュ値を計算する(ステップS78)。
【0107】
次に、得られたハッシュ値及び証明書ファイル内の証明書データをサーバ(接続先管理テーブルに登録されているドメイン名に対応するサーバ)へ送信するために、接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、(第3の条件)ステップS76で取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、という3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS79)。上記いずれか1つの条件を満足しない場合には、ネットワークへの接続は行わない。従って、記憶装置6からは、データが読み出されない(ステップS80)。
【0108】
接続先検証部22でネットワークへの接続が許可された場合には、ステップS81へ進み、通信部4により、コンテンツ再生装置100は、接続先テーブルに登録されているドメイン名に対応するサーバに接続し、ストレージ制御部5は、読み出したデータのハッシュ値及び証明書を通信部4を介して当該サーバへ送信する(ステップS81)。
【0109】
サーバは、上記ハッシュ値及び証明書を受信すると(ステップS82)、サーバに予め記憶されている秘密鍵を用いて、受信したハッシュ値を図9のステップS67で暗号化を行ったときと同じ暗号方式を用いて暗号化し(ステップS83)、暗号化されたハッシュ値とコンテンツ再生装置から送信されてきた証明書を照合する(ステップS84)。暗号化されたハッシュ値と受信した上記証明書が一致する場合には、照合結果として「OK」をコンテンツ再生装置へ送信し、両者が異なる場合には、照合結果として「NG」コンテンツ再生装置へ送信する(ステップS85)。
【0110】
コンテンツ再生装置100で照合結果を受信すると(ステップS86)、ストレージ制御部5は、照合結果が「OK」の場合は(ステップS87)、記憶装置6から読み出されたデータファイル内のデータを再生・実行制御部3へ出力する(ステップS88)。ストレージ制御部5は、照合結果が「NG」の場合は(ステップS87)、記憶装置6から読み出されたデータファイル内のデータを再生・実行制御部3へ出力する代わりに廃棄して、「読み出し不可」を示すメッセージを再生・実行制御部3へ出力する(ステップS89)。
【0111】
ステップS84で、暗号化されたハッシュ値と受信した上記証明書が異なる場合、すなわち、上記ストレージ制御による認証が失敗した場合には、ステップS77で記憶装置6から読み出されたデータファイル内のデータは、改竄されている可能性があるということである。ストレージ制御部5は、このような改竄されている可能性のある記憶装置6に記憶されているデータには、アクセスしないようにすることで(ステップS89)、コンテンツ再生装置100のセキュリティを高めることができる。
【0112】
図9及び図10に示したストレージ制御は、記憶装置6に記憶されたデータを読み出す際には、当該データの証明書を用いて認証を行う場合を示している。
【0113】
次に、記憶装置6に記憶するデータを(改竄されないように)秘匿化する場合のストレージ制御について、図11及び図12に示すフローチャートを参照して説明する。
【0114】
まず、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、データ書き込み要求が発生した場合について、図11に示すフローチャートを参照して説明する。
【0115】
図11において、データ書き込み要求が発生すると(ステップS101)、接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、の2つの条件を統べた満足しているかをチェックする。特に、データ書き込み要求が、プログラムを実行することにより発生している場合に、当該プログラムにより接続先が指定されているときには、上記第1及び第2の条件の他にさらに、(第3の条件)データ書き込み要求元のプログラムにより指定されている接続先(例えば、ドメイン名)を取得して、その取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、という第3の条件を含む3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS102)。上記いずれか1つの条件を満足しない場合には、ネットワークへの接続は行わない。従って、記憶装置6には、データが書き込まれない(ステップS103)。
【0116】
接続先検証部22でネットワークへの接続が許可された場合には、ステップS104へ進み、通信部4により、コンテンツ再生装置100は、接続先テーブルに登録されているドメイン名に対応するサーバに接続し、ストレージ制御部5は、書き込むべきデータを通信部4を介して当該サーバへ送信する(ステップS104)。
【0117】
データを受信したサーバでは(ステップS105)、サーバに予め記憶されている秘密鍵を用いて、受信したデータを暗号化し(ステップS106)、暗号化されたデータを、コンテンツ再生装置100へ返信する(ステップS107)。
【0118】
コンテンツ再生装置100は、サーバから送信された暗号化されたデータを受信すると(ステップS108)、ストレージ制御部5は、暗号化されたデータのファイル名(データファイル名)と、暗号化を行ったサーバ(この場合、接続先管理テーブルに登録されているドメイン名に対応するサーバ)の識別子(例えば、ここでは、当該サーバのドメイン名)とを1組とするレコードをストレージ制御部5内のメモリに設けられた管理テーブルに記録する(ステップS109)。さらに、記憶装置6に暗号化されたデータ(データファイル)、を記憶装置6に記憶する(ステップS110)。以上により秘匿化されたデータが記憶装置6に記憶された。
【0119】
次に、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、図11に示したようにして、記憶装置6に記憶された秘匿化されたデータに対し、データ読み出し要求が発生した場合について、図12に示すフローチャートを参照して説明する。データ読み出し要求は、(a)当該ディスクに記録されているプログラムを実行することにより、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、(c)ユーザからの指示により発生する。
【0120】
図12において、データ読み出し要求が発生すると(ステップS121)、ストレージ制御部5は、管理テーブルを参照して、読み出すべきデータファイル名に対応するサーバのドメイン名を取得する(ステップS122)。さらに、記憶装置6から、当該データファイル名のデータファイルを読み出す(ステップS123)。
【0121】
読み出されたデータファイル内のデータを復号するために、接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、(第3の条件)ステップS122で取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、という3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS124)。上記いずれか1つの条件を満足しない場合には、ネットワークへの接続は行わない。従って、記憶装置6からは、データが読み出されない(ステップS125)。
【0122】
接続先検証部22でネットワークへの接続が許可された場合には、ステップS126へ進み、通信部4により、コンテンツ再生装置100は、接続先テーブルに登録されているドメイン名に対応するサーバに接続する。ストレージ制御部5は、読み出したデータファイル内の暗号化されたデータを通信部4を介して当該サーバへ送信する(ステップS126)。
【0123】
サーバは、暗号化されたデータを受信すると(ステップS127)、サーバに予め記憶されている秘密鍵と、図11のステップS106で暗号化を行ったときと同じ暗号方式を用いて復号する(ステップS128)。復号に成功した場合には(ステップS129)、復号結果「OK」とともに、復号されたデータをコンテンツ再生装置へ送信し(ステップS130)、復号に失敗した場合には(ステップS129)、照合結果「NG」をコンテンツ再生装置へ送信する(ステップS131)。
【0124】
コンテンツ再生装置100で復号結果を受信すると(ステップS132)、ストレージ制御部5は、復号結果が「OK」の場合は(ステップS133)、復号されたデータを再生・実行制御部3へ出力する(ステップS134)。ストレージ制御部5は、復号結果が「NG」の場合は(ステップS133)、記憶装置6から読み出されたデータファイル内のデータを廃棄して、「読み出し不可」を示すメッセージを再生・実行制御部3へ出力する(ステップS135)。
【0125】
上記ストレージ制御は、サーバ(ネットワーク)への接続が行われない場合、データの書き込みおよび読み込みはできない。以下、サーバ(ネットワーク)への接続が行われない場合に、データの書き込みおよび読み込みを行う処理方式について説明する。
【0126】
まず、書き込み処理について説明する。図9のステップS64および図11のステップS103において、ネットワークへの接続不可となった場合、ストレージ制御部5にあらかじめ保存されている認証確認フラグを読み込む。認証確認フラグには、ネットワークへの接続不可となった場合に、読み書きをするかどうかを示す値(例えば、読み書きを許可する場合は「1」、許可しない場合は「0」)が格納されている。ストレージ制御部5は、認証確認フラグの値が「1」の場合、証明書生成や暗号化なしで(すなわち、管理テーブルの証明書ファイル名やサーバのドメイン名を空にして)データを記憶装置6へ書き込む。「0」の場合は書き込みを行わない。
【0127】
次に読み出し処理についても書き込み処理と同様に、図10のステップS80および図12のステップS125において、ネットワークへの接続不可となった場合、ストレージ制御部5にあらかじめ保存されている認証確認フラグを読み込む。ストレージ制御部5は、認証確認フラグの値が「1」の場合、証明書確認や復号化なしでデータを記憶装置6から読み出し、再生・実行制御手段3へ出力する。「0」の場合は読み出しを行わない。
【0128】
上記説明では、認証確認フラグは、書き込みおよび読み出し処理の両方に共通して用いる方式としたが、書き込み用と読み出し用にそれぞれ別の認証確認フラグを用意してもよい。
【0129】
また、書き込み処理において、書き込み要求を検出したとき、ストレージ制御部5にあらかじめ保存されている認証確認フラグを読み込み、当該認証確認フラグが証明書の作成や暗号化を行うことなく読み書きを許可する旨の「1」の場合には、ストレージ制御部5は、(ネットワークへの接続可・不可に関わらず)、証明書生成や暗号化なしで(すなわち、管理テーブルの証明書ファイル名やサーバのドメイン名を空にして)データを記憶装置6へ書き込む。認証確認フラグが「0」の場合は、前述のように、証明書の作成や暗号化を行ってから書き込みを行う。ここで、サーバへの接続ができなかったときには(図9のステップS64,図11のステップS103)、そのようなデータの書き込みは行われない。
【0130】
さらに読み出し処理において、読み出し要求を検知したとき、ストレージ制御部5にあらかじめ保存されている認証確認フラグを読み込み、当該認証確認フラグが証明書の検証や復号化を行うことなく読み出しを許可する旨の「1」の場合には、ストレージ制御部5は、(ネットワークへの接続可・不可に関わらず)、証明書の検証や復号なしで記憶装置6から読み出したデータを、再生・実行制御手段3へ出力する。認証確認フラグが「0」の場合は、前述のように、記憶装置6から読み出したデータに対し、証明書の検証や復号を行ってから、再生・実行制御手段3へ出力する。
【0131】
上記説明では、認証確認フラグは、書き込みおよび読み出し処理の両方に共通して用いる方式としたが、書き込み用と読み出し用にそれぞれ別の認証確認フラグを用意してもよい。
【0132】
<ストレージ制御部とコンテンツ保護部によるストレージ制御>
上記ストレージ制御は、ストレージ制御部5とサーバとの間で行うものである。このようなストレージ制御は、コンテンツ再生装置100内部で行うことも可能である。
【0133】
例えば、AACS(Advanced Access Content System)などのコンテンツ保護技術により、ディスク上のコンテンツが暗号化されており、暗号化に用いた鍵がディスク上に隠蔽されていて、コンテンツ再生装置100が、その鍵を用いてコンテンツの再生を行う場合には、コンテンツ再生装置100は、図13に示すように、ディスク上に隠蔽されている鍵を用いて暗号化・復号を行うコンテンツ保護部7を有する。
【0134】
図13に示すコンテンツ再生装置では、上記コンテンツ保護部7を用いて、このコンテンツ保護部7とストレージ制御部6により、上記ストレージ制御を行う。
【0135】
まず、記憶装置6に記憶されたデータを読み出す際に認証を行う(図9及び図10に対応する)ストレージ制御について、図14及び図15に示すフローチャートを参照して説明する。
【0136】
コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、データ書き込み要求が発生した場合について、図14に示すフローチャートを参照して説明する。なお、図14において、図9と同一部分には同一符号を付し、異なる部分について説明する。
【0137】
図14では、ネットワークへアクセスする必要がないため、図9のステップS63、ステップS64は省略されている。すなわち、図14において、データ書き込み要求が発生し(ステップS61)、ストレージ制御部5が、書き込むデータのハッシュ値を計算すると(ステップS62)、当該ハッシュ値をコンテンツ保護部7へ出力する(ステップS65)。
【0138】
コンテンツ保護部7に、当該ハッシュ値が入力されると(ステップS66)、現在再生中のディスクから取得した鍵と、任意の暗号化方式を用いて、当該ハッシュ値を暗号化し(ステップS67)、暗号化されたハッシュ値を証明書として、ストレージ制御部5へ出力する(ステップS68)。
【0139】
ストレージ制御部5に、上記証明書が入力されると(ステップS69)、ストレージ制御部5は、書き込むべきデータのファイル名(データファイル名)、受信した証明書データのファイル名(証明書ファイル名)と、暗号化を行ったコンテンツ保護部7の識別子とを1組とするレコードをストレージ制御部5内のメモリに設けられた管理テーブルに記録する(ステップS70)。さらに、記憶装置6に書き込むべきデータ(データファイル)、受信した証明書(証明書ファイル)を記憶装置6に記憶する(ステップS71)。
【0140】
ここで、管理テーブルに記録されるレコードは、図9の場合と同様の形式とし、証明書作成のための暗号化を行った主体がサーバか、コンテンツ保護部7かを示す識別子を書き込むことで、コンテンツ再生装置は、図9及び図10に示すようなストレージ制御と図14及び図15のストレージ制御との両方を行える。コンテンツ再生装置が図9と図14のうち図14に示すようなストレージ制御のみを行う場合には、コンテンツ保護部7の識別子を管理テーブルに記録する必要はなくなる。
【0141】
次に、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、図14に示したようにして、記憶装置6に記憶されたデータに対し、データ読み出し要求が発生した場合について、図15に示すフローチャートを参照して説明する。なお、図15において、図10と同一部分には同一符号を付し、異なる部分について説明する。
【0142】
図15では、ネットワークへアクセスする必要がないため、図10のステップS79、ステップS80は省略されている。すなわち、図15において、データ読み出し要求が発生し(ステップS75)、ストレージ制御部5が、管理テーブルから、読み出すべきデータファイル名に対応する証明書ファイル名及びコンテンツ保護部7の識別子を取得する(ステップS76)。さらに、ストレージ制御部5は、記憶装置6から、当該データファイル名のデータファイルと、当該証明書ファイル名に対応する証明書ファイルを読み出して(ステップS77)、読み出したデータファイル内のデータのハッシュ値を計算する(ステップS78)。この場合、管理テーブルから取得されたのが、コンテンツ保護部7の識別子であることから、当該ハッシュ値及び読み出した証明書をコンテンツ保護部7へ出力する(ステップS81)。
【0143】
なお、管理テーブルから取得されたのが、サーバの識別子(ドメイン名)である場合には、図10と同様である。
【0144】
コンテンツ保護部7に、上記ハッシュ値及び証明書が入力されると(ステップS82)、現在再生中のディスクから取得した鍵を用いて、入力されたハッシュ値を図14のステップS67で暗号化を行ったときと同じ暗号方式を用いて暗号化し(ステップS83)、暗号化されたハッシュ値と入力された証明書を照合する(ステップS84)。暗号化されたハッシュ値と入力された上記証明書が一致する場合には、照合結果「OK」をストレージ制御部5へ出力し、両者が異なる場合には、照合結果「NG」をストレージ制御部5へ出力する(ステップS85)。
【0145】
ストレージ制御部5に照合結果が入力されると(ステップS86)、ストレージ制御部5は、照合結果が「OK」の場合は(ステップS87)、記憶装置6から読み出されたデータファイル内のデータを再生・実行制御部3へ出力する(ステップS88)。ストレージ制御部5は、照合結果が「NG」の場合は(ステップS87)、記憶装置6から読み出されたデータファイル内のデータを再生・実行制御部3へ出力する代わりに廃棄して、「読み出し不可」を示すメッセージを再生・実行制御部3へ出力する(ステップS89)。
【0146】
次に、記憶装置6にデータを記憶する際に、当該データを暗号化して記憶する(図11及び図12に対応する)ストレージ制御について、図16及び図17に示すフローチャートを参照して説明する。
【0147】
コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、データ書き込み要求が発生した場合について、図16に示すフローチャートを参照して説明する。なお、図16において、図11と同一部分には同一符号を付し、異なる部分について説明する。
【0148】
図16では、ネットワークへアクセスする必要がないため、図11のステップS102、ステップS103は省略されている。すなわち、図16において、データ書き込み要求が発生すると(ステップS101)、ストレージ制御部5は、書き込むべきデータをコンテンツ保護部7へ出力する(ステップS104)。
【0149】
コンテンツ保護部7にデータが入力されると(ステップS105)、現在再生中のディスクから取得された鍵を用いて、入力されたデータを暗号化し(ステップS106)、暗号化されたデータを、ストレージ制御部5へ出力する(ステップS107)。
【0150】
ストレージ制御部5に暗号化されたデータが入力されると(ステップS108)、ストレージ制御部5は、暗号化されたデータのファイル名(データファイル名)と、暗号化を行ったコンテンツ保護部7の識別子とを1組とするレコードを記憶装置6に設けられた管理テーブルに記録する(ステップS109)。さらに、記憶装置6に暗号化されたデータ(データファイル)を記憶装置6に記憶する(ステップS110)。
【0151】
ここで、管理テーブルに記録されるレコードは、図11の場合と同様の形式とし、暗号化を行った主体がサーバか、コンテンツ保護部7かを示す識別子を書き込むことで、コンテンツ再生装置は、図11及び図12に示すようなストレージ制御と図16及び図17のストレージ制御との両方を行える。コンテンツ再生装置が図11と図16のうち図16に示すようなストレージ制御のみを行う場合には、コンテンツ保護部7の識別子を管理テーブルに記録する必要はなくなる。
【0152】
次に、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、図16に示したようにして、記憶装置6に記憶されたデータに対し、データ読み出し要求が発生した場合について、図17に示すフローチャートを参照して説明する。なお、図17において、図12と同一部分には同一符号を付し、異なる部分について説明する。
【0153】
図17では、ネットワークへアクセスする必要がないため、図12のステップS124、ステップS125は省略されている。すなわち、図17において、データ読み出し要求が発生すると(ステップS121)、ストレージ制御部5が、管理テーブルから、読み出すべきデータファイル名に対応するコンテンツ保護装置の識別子を取得し(ステップS122)、記憶装置6から、当該データファイル名のデータファイルを読み出す(ステップS123)。この場合、管理テーブルから取得されたのが、コンテンツ保護部7の識別子であることから、ストレージ制御部5は、読み出したデータファイル内の暗号化データを、コンテンツ保護部7へ出力する(ステップS126)。
【0154】
コンテンツ保護部7に、暗号化データが入力されると(ステップS127)、コンテンツ保護部7は、現在再生中のディスクから取得した鍵と、図16のステップS106で暗号化を行ったときと同じ暗号方式を用いて復号する(ステップS128)。復号に成功した場合には(ステップS129)、復号結果「OK」とともに、復号されたデータをストレージ制御部5へ出力し(ステップS130)、復号に失敗した場合には(ステップS129)、照合結果「NG」をストレージ制御部5へ出力する(ステップS131)。
【0155】
ストレージ制御部5に復号結果が入力されると(ステップS132)、ストレージ制御部5は、復号結果が「OK」の場合は(ステップS133)、復号されたデータを再生・実行制御部3へ出力する(ステップS134)。ストレージ制御部5は、復号結果が「NG」の場合は(ステップS133)、記憶装置6から読み出されたデータファイル内のデータを廃棄して、「読み出し不可」を示すメッセージを再生・実行制御部3へ出力する(ステップS135)。
【0156】
以上説明した、ストレージ制御部5とサーバによるストレージ制御、ストレージ制御部5とコンテンツ保護部7によるストレージ制御では、記憶装置6に記憶されたデータを読み出す際に当該データの証明書を用いて認証を行う場合と、記憶装置6に記憶するデータを暗号化する場合について説明したが、これらを組み合わせて、ストレージ制御を行うこともできる。
【0157】
例えば、記憶装置6に任意のデータを書き込む場合には、ストレージ制御部5は、当該データと、当該データのハッシュ値とをサーバあるいはコンテンツ保護部7に渡す。サーバあるいはコンテンツ保護部7では、受け取ったハッシュ値を暗号化して証明書を生成するとともに、受け取ったデータを暗号化し、生成された証明書と暗号化データをストレージ制御部5へ返す。ストレージ制御部5は、受け取った証明書と暗号化データを記憶装置6へ記憶する。
【0158】
記憶装置6からデータを読み出す場合には、ストレージ制御部5は、記憶装置6に記憶されている暗号化データと証明書を読み出し、サーバあるいはコンテンツ保護部7へ渡す。コンテンツ保護部7は、暗号化データを復号した後、ハッシュ値を計算し、さらに、そのハッシュ値を暗号化する。サーバあるいはコンテンツ保護部7は、この暗号化されたハッシュ値と証明書を照合し、両者が一致した場合には、復号されたデータをストレージ制御部5へ返す。ストレージ制御部5は、受け取ったデータを再生・実行制御部3へ出力する。
【0159】
なお、以上の説明において、随所にハッシュ値を用いているが、ハッシュ値は、与えられたデータから生成される識別情報であり、生成された識別情報からは原文を推定することができないようになっている。
【0160】
また、記憶装置6は、ハードディスク、メモリーカードなどの着脱可能な記録媒体、ネットワーク上の設けられた任意の記憶装置など、特に限定するものではない。
【0161】
接続先管理部21は、ディスク検出部11でディスクの挿入が検出されたときに、当該ディスクの特定領域からドメイン名を読み出し、接続先管理テーブルに当該ドメイン名を記憶するが、その後、ディスク検出部11が当該ディスクの取り出しを検出したら、接続先管理部21は、接続先管理テーブルから、当該ドメイン名を削除する。また、当該ディスクがコンテンツ再生装置100に挿入されている間に、ネットワーク接続要求が検知されて、接続先管理テーブルに記憶されているドメイン名に対応するサーバへ接続した後、何らかの理由で、当該サーバとの間の通信が切断した場合には、接続先管理テーブルから、ドメイン名を削除する。さらに、接続先管理テーブルに記憶されているサーバ認証フラグ及びディスク認証フラグが「1」であるときには、それらを「0」に書き換えてもよい。
【0162】
上記実施形態によれば、コンテンツ再生装置にディスクが挿入されたとき、当該ディスクの予め定められた特定の記憶領域からネットワーク上のサーバを示す識別子(ドメイン名)を読み出して、接続先管理テーブルに記憶し、当該ディスクに記憶されている、映像・音声データ及びプログラムを含むコンテンツデータの再生・実行中にネットワーク上の任意のサーバへの接続要求が検知された場合には、当該任意のサーバの識別子(ドメイン名)と接続先管理テーブルに記憶されたドメイン名とが一致し、且つ接続先管理テーブルに記憶されたドメイン名に対応するサーバの正当性が確認され、且つ上記ディスクの正当性が確認されたとき、接続先管理テーブルに記憶されたドメイン名に対応するサーバへ接続する。このような構成のコンテンツ再生装置によれば、改竄されたコンテンツデータを記録したディスクの実行・再生を回避し、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを、ディスク上の特定領域に記憶されたドメイン名に対応するサーバに限定することができる。
【0163】
ネットワーク上のサーバおよびディスクの正当性を検証するため、ディスク上のコンテンツに関連した映像情報を、インターネットを介して安心して取得、再生することが可能となる。また、接続できるサーバを限定することで、悪意を持って作成された危険なコンテンツが不特定多数のサーバへ接続することができなくなるため、DDoS攻撃の踏み台となることを避けることができる。このため、危険なコンテンツを再生することによる被害を回避するだけでなく、他のサーバへの攻撃の加害者となることも回避できる。
【0164】
本発明の実施の形態に記載した本発明の手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フレキシブルディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【0165】
例えば、映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、予め定められた特定の記憶領域に、ネットワーク上のサーバを示す識別子を記憶する記録媒体に記憶されたコンテンツデータを再生・実行する再生・実行手段(ディスク制御部1、再生・実行制御部3)、記憶手段、通信部4を備えたコンピュータに、ネットワークアクセス制御部2、ストレージ制御部6、コンテンツ保護部7の機能を実現させるためのプログラムを、当該コンピュータが実行することにより、図1のコンテンツ再生装置が実現可能である。
【0166】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0167】
【図1】本発明の実施形態に係るコンテンツ再生装置の構成例を示した図。
【図2】サーバ認証処理動作(ディスク挿入時に行うサーバ認証)を説明するためのフローチャート。
【図3】サーバ認証に用いられる認証手順の一例を示した図。
【図4】ディスク認証処理動作を説明するためのフローチャート。
【図5】他のディスク認証処理動作を説明するためのフローチャート。
【図6】他のサーバ認証処理動作(ネットワーク接続要求が発生したときに行うサーバ認証)を説明するためのフローチャート。
【図7】さらに他のサーバ認証処理動作(ネットワーク接続要求が発生したときに行うサーバ認証)を説明するためのフローチャート。
【図8】ディスク再生時にネットワーク接続要求が発生したときのコンテンツ再生装置の処理動作を説明するためのフローチャート。
【図9】ストレージ制御部とサーバによるストレージ制御処理(データ書き込み要求が発生したときのコンテンツ再生装置とサーバの処理動作)を説明するためのフローチャート。
【図10】ストレージ制御部とサーバによるストレージ制御処理(データ読み出し要求が発生したときのコンテンツ再生装置とサーバの処理動作)を説明するためのフローチャート。
【図11】ストレージ制御部とサーバによる他のストレージ制御処理(データ書き込み要求が発生したときのコンテンツ再生装置とサーバの処理動作)を説明するためのフローチャート。
【図12】ストレージ制御部とサーバによる他のストレージ制御処理(データ読み出し要求が発生したときのコンテンツ再生装置とサーバの処理動作)を説明するためのフローチャート。
【図13】コンテンツ再生装置の他の構成例を示した図。
【図14】ストレージ制御部とコンテンツ保護部によるストレージ制御(データ書き込み要求が発生したときのストレージ制御部とコンテンツ保護部の処理動作)を説明するためのフローチャート。
【図15】ストレージ制御部とコンテンツ保護部によるストレージ制御(データ読み出し要求が発生したときのストレージ制御部とコンテンツ保護部の処理動作)を説明するためのフローチャート。
【図16】ストレージ制御部とコンテンツ保護部による他のストレージ制御(データ書き込み要求が発生したときのストレージ制御部とコンテンツ保護部の処理動作)を説明するためのフローチャート。
【図17】ストレージ制御部とコンテンツ保護部による他のストレージ制御(データ読み出し要求が発生したときのストレージ制御部とコンテンツ保護部の処理動作)を説明するためのフローチャート。
【図18】接続先管理部に記憶されている接続先管理テーブルの一例を示した図。
【符号の説明】
【0168】
1…ディスク制御部、2ネットワークアクセス制御部、3…再生・実行制御部、4…通信部、5…ストレージ制御部、6…記憶装置、7…コンテンツ保護部、11…ディスク検出部、12…ディスク読み出し部、21…接続先管理部、22…接続先検証部、23…サーバ認証部、24…ディスク認証部、100…コンテンツ再生装置、101…サーバ。
【技術分野】
【0001】
本発明は光ディスクなどの記録媒体に記録された映像・音声情報及びプログラムを含むコンテンツデータを再生・実行するコンテンツ再生装置に関し、特にネットワークを介してサーバに接続するコンテンツ再生装置に関する。
【背景技術】
【0002】
近年では、DVDやビデオCDなど、映像や音声等のデータを記録した光ディスクを再生する光ディスク再生装置が開発されている。これら装置は映画ソフトの鑑賞等に利用され一般に普及している。
【0003】
DVDは、情報記録媒体に記録された映像・音声情報を再生するディスクに関する規格であり、DVDフォーラムにより「DVD Specifications for Read−Only Disc Part 3: VIDEO SPECIFICATIONS」として1996年に発行された。この規格では、動画圧縮方式としてMPEG2方式をサポートし、音声圧縮方式としてMPEGオーディオ圧縮方式およびAC−3オーディオ圧縮方式をサポートしている。さらに、映画の字幕用などに用いるビットマップデータである副映像データや、早送り再生、早戻し再生等の制御データ(ナビパック)を規定している。
【0004】
一方、近年のインターネットの普及により、ネットワーク接続機能を有する映像情報装置が開発されている。たとえば、テレビ放送の受信、録画機能をもつ映像情報装置では、ネットワークを介して接続されたサーバから電子番組表のデータを受信し、その内容に基づいて録画する機能などが開発されている。
【0005】
上記ネットワーク接続機能を有する映像情報装置に関する従来技術として、特許文献1においては、DVD ビデオタイトルとインターネットで提供されるHTMLファイルとを融合させたサービスを行う画像表示装置が開示されている。この画像表示装置では、ナビパックから取り出したURLに基づいてインターネットに接続し、再生中のシーンに連動してHTMLコンテンツを表示することが可能となる。
【0006】
また、特許文献2では、単にHTMLコンテンツを表示するだけではなく、通信回線を介して接続されたサーバから取得した拡張情報により、表現能力の高い映像を再生するとともに、不特定多数の人がサーバに接続できないようにするため、光ディスク上のデータをサーバへ送ることで認証処理を行うことを特徴とする光ディスク装置が開示されている。
【0007】
しかしながら、特許文献1においてはネットワークを介してコンテンツを取得することによるセキュリティの問題については検討されておらず、特許文献2においては、サーバに接続できる光ディスク装置を制限するために認証処理を行っているだけであり、接続先のサーバから悪意を持って作成された危険なコンテンツを取得する危険性に関する問題や、悪意を持って作成された危険なコンテンツを再生することで、光ディスク装置がDDoS(Distributed Denial of Service)攻撃の踏み台となる危険性に関する問題などについては考慮されておらず、セキュリティに関する検討が不十分であった。
【特許文献1】特開平11−161663号公報
【特許文献2】特開2004−79055号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
以上説明したように、従来のネットワーク接続機能有する映像情報装置では、サーバへ接続可能な映像情報装置を制限するために、ディスクの認証を行うことでディスクの正当性を保証しているだけである。従って、接続先のサーバから、悪意を持って作成された危険なコンテンツを取得する危険性に関する問題や、悪意を持って作成された危険なコンテンツを再生することで、映像情報装置がDDoS攻撃などの踏み台となる危険性に関する問題などについては考慮されておらず、安心してネットワークへ接続できないという問題があった。
【0009】
そこで、本発明は、上記問題点に鑑み、改竄されたコンテンツデータを記録したディスクの実行・再生を回避し、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定することができるコンテンツ再生装置及び方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行するコンテンツ再生装置は、(a)前記記録媒体から前記アクセス許可するサーバを示す識別子を読み出し、(b)読み出された前記識別子を記憶手段で記憶し、(c)前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と前記記憶手段で記憶された識別子とが一致するか否かを検証し、(d)前記記憶手段で記憶された識別子に対応するサーバの正当性を検証し、(e)前記記憶手段で記憶された識別子に対応するサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行い、(f)前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続することにより、改竄されたコンテンツデータを記憶した記録媒体の実行・再生を回避し、記録媒体に記憶されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定することができる。
【発明の効果】
【0011】
改竄されたコンテンツデータを記憶した記録媒体の実行・再生を回避し、記録媒体に記憶されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定することができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施形態について図面を参照して説明する。
【0013】
図1は本発明の一実施形態に係る、記録媒体に記録されたコンテンツデータを再生するコンテンツ再生装置の構成例を示したものである。ここでは、記録媒体が、光ディスクなどのディスクの場合を例にとり、ディスクに記録されたコンテンツデータを再生するコンテンツ再生装置について説明する。
【0014】
ディスクには、映像・音声データや、例えば、XML(Extensible Markup Language)などの言語を用いて一連の処理手順を記述した実行可能なプログラム(スクリプト)などを含むコンテンツデータが記録されている。コンテンツ再生装置は、上記コンテンツデータの記録されたディスクが挿入されて、当該ディスクに記録された映像・音声データの再生機能、プログラムの実行機能、及びインターネットなどの所定のネットワークへの接続機能を有する。ディスクに記録されているプログラムには、接続先のサーバの識別子(例えば、ドメイン名)と、当該サーバへ当該コンテンツ再生装置を接続する処理を含むプログラムも含まれている。ディスクに記憶されているプログラムにより、映像・音声データの再生する際に用いるデータやプログラムなどを当該サーバ(当該プログラムに含まれている識別子に対応するサーバで、当該ディスクが正当なものであるならば、このサーバは、ディスクの特定領域に記憶されている識別子に対応するサーバである)からダウンロードするようになっている。
【0015】
本実施形態において、コンテンツデータを記録媒体(例えばディスク)に記録して販売・供給する事業者(distributor)から提供される正当なディスクに記録されているコンテンツデータには、その種類毎(コンテンツのタイトル毎)に、ネットワーク上に1つのサーバが設けられている。すなわち、正当なディスクに記録されているコンテンツデータの種類とサーバとは1対1に対応付けられている。ディスクに記録されているコンテンツデータに対応するサーバの識別子(例えば、ここではドメイン名)は、当該ディスクの予め定められた特定領域に記録されている。
【0016】
また、コンテンツデータの種別に対応するサーバは1つの場合もあれば、複数の場合もある。後者の場合には、ディスクの特定領域には複数のサーバの識別子が記録されている。
【0017】
ディスク上のコンテンツデータ(プログラムを含む)が改竄されてなく、しかも、当該ディスクの特定領域に記憶されているサーバが正当なものである場合には、正当な(改竄されていない)ディスク上の特定領域に記憶されているサーバの識別子は、当該ディスク上のコンテンツデータに対応する予め定められたサーバであり、当該ディスク上のプログラムに含まれる接続先のサーバの識別子は、当該ディスクの特定領域に記憶されている識別子(複数の識別子が記憶されている場合には、そのいずれか1つ)に等しい。
【0018】
<構成>
図1に示すように、コンテンツ再生装置は、ディスク制御部1、ネットワークアクセス制御部2、再生・実行制御部3通信部4ストレージ制御部5を含む。
【0019】
ディスク制御部1は、ディスクが挿入されたことを検出し、ディスクに記録された情報を読み出す。再生・実行制御部3は、ディスク制御部1で読み出された映像・音声データやプログラムを再生・実行する。通信部4は、ネットワークを介してサーバと通信を行うためのものである。
【0020】
ネットワークアクセス制御部2は、再生・実行制御部3で現在再生されているディスク(当該ディスクに記録されているコンテンツデータ)に対応するサーバ101へアクセスするための制御を行うとともに、サーバ認証(後述)やディスク認証(後述)を行う。ネットワークアクセス制御部2は、接続先管理部21、接続先検証部22、サーバ認証部23、ディスク認証部24を含む。
【0021】
ストレージ制御部5は、コンテンツ再生装置に挿入されているディスクやネットワーク(サーバ101)から取得したデータ(映像・音声データやプログラムなどを含む)を、所定の記憶装置6に記憶するための制御を行う。
【0022】
以下、図1のコンテンツ再生装置の処理動作について説明する。
【0023】
<サーバ認証及びディスク認証>
本実施形態では、正当なディスクに記録されているコンテンツデータの種類とサーバとは1対1に対応付けられている。ディスクに記録されているコンテンツデータに対応するサーバのドメイン名は、当該ディスクの予め定められた特定領域に記録されている。
【0024】
コンテンツ再生装置がディスクを再生しているときにアクセスできるサーバを、当該ディスクの特定領域に記憶されているドメイン名に対応するサーバのみに限定するために、コンテンツ再生装置はサーバへアクセスする前に、当該サーバが、ディスク上の特定領域に記憶されているドメイン名に対応する正当なサーバであるか否かを検証するために、サーバ認証を行う。
【0025】
また、ディスクに記録されているコンテンツデータ(特にコンテンツデータに含まれるプログラム)が改竄されている場合に、コンテンツ再生装置が改竄されているプログラムを実行して、不正なサーバへアクセスすることを防止するために、コンテンツ再生装置は、上記サーバ認証を行った後、ディスクの正当性を検証するためのディスク認証を行う。
【0026】
上記サーバ認証及びディスク認証は、コンテンツ再生装置にディスクが挿入されたとき、あるいは、コンテンツ再生装置にディスクが挿入された後、(例えば、当該ディスクに記録されているプログラムを実行することにより)サーバ(ネットワーク)へのアクセス要求が(最初)に発生したときに行う。
【0027】
(1)コンテンツ再生装置にディスクが挿入されたときに、サーバ認証及びディスク認証を行う場合について、図2〜図4に示すフローチャートを参照して説明する。
【0028】
(1−1)サーバ認証
図2に示すように、コンテンツ再生装置100にディスクが挿入されると(ステップS1)、ディスク検出部11が、ディスクの挿入を検出する(ステップS2)。これを受けて、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。読み出されたドメイン名はネットワークアクセス制御部2の接続先管理部21に通知される。接続先管理部21は、通知されたドメイン名を接続先管理部21内のメモリに記憶されている図18に示すような接続先管理テーブルに記録する(ステップS4)。なお、当該ディスク上に特定領域内に、ドメイン名が空であることを示すデータ(例えば「0」)が記憶されている場合には、サーバ認証を行わない、従って、以後、当該ディスクを再生しているときに、ネットワークへの接続要求が発生しても、ネットワークへのアクセスは行わない。
【0029】
接続先管理部21は、当該ディスクがコンテンツ再生装置100に挿入されている間だけ、ドメイン名を接続先管理テーブルに記憶しておく。このため、ディスク検出部11が当該ディスクの取り出しを検出したら、接続先管理部21は、図18に示した接続先管理テーブルから、ステップS4で記憶したドメイン名を削除する。
【0030】
さて、ステップS4で、当該ディスクの特定領域から読み出されたドメイン名が、接続先管理テーブルに記憶されると、サーバ認証部23が、当該ドメイン名に対応するサーバの認証処理を開始する。この場合、まず、通信部4は、当該ドメイン名に対応するIPアドレスを所定のDNS(Domain name system)サーバから取得する(ステップS5)。サーバ認証部23は、この取得されたIPアドレスを用いて、ネットワークへアクセスし、当該ドメイン名に対応するサーバの証明書を取得するための認証処理を行う(ステップS6)。
【0031】
ネットワークを介してサーバを認証する方式は、例えば、インターネット上のWWW(World Wide web)などで広く用いられているSSL(Secure Socket Layer)/TLS(Transport layer security)により行う。SSL/TLSは、公開鍵暗号方式に基づく認証方式であり、クライアントは、ルート認証局と呼ばれる認証機関により認証されたサーバ証明書を受け取り、その内容を確認することでサーバの正当性を保証する方式である。さらに、SSL/TLSは、クライアントとサーバの双方でデータの暗号化を行い通信する処理手順が規定されており、ネットワーク上での傍受によるデータ改竄などを防ぐことができる。
【0032】
SSL/TLSでは、図3に示すような手順で証明書をやり取りする方式が規定されている。すなわち、まず、クライアント(コンテンツ再生装置100)から、使用可能な暗号アルゴリズムのリストなどを含む、ClientHelloメッセージをサーバ(サーバ101)へ送信する(ステップS501)。次に、サーバは、当該リスト中の暗号アルゴリズムのうち使用したい暗号アルゴリズムを示した情報を含む、ServerHelloメッセージをクライアントへ送信する(ステップS502)。その後、サーバの証明書を含むCertificateメッセージをクライアントへ送信し(ステップS503)、ServerHelloDoneメッセージを送信することにより、証明書の送信を終了する(ステップS504)。
【0033】
クライアントは、サーバから送信された証明書から取得したサーバの公開鍵を使って共通鍵を暗号化し、暗号化された共通鍵を含むClientKeyExchangeメッセージをサーバへ送信する(ステップS505)。次に、メッセージの改竄を防ぐためにこれまでのメッセージのダイジェストを計算して、当該ダイジェストを含むFinishedメッセージをサーバへ送信する(ステップS506)。一方、サーバは共通鍵を取得し、クライアントと同様にメッセージのダイジェストを計算してクライアントへ送信する(ステップS507)。
【0034】
図3において、クライアントをコンテンツ再生装置100とすることで、コンテンツ再生装置100は、ステップS503で、ディスクの特定領域から読み出されたドメイン名に対応するサーバの証明書(サーバ証明書)を取得する(ステップS7)。
【0035】
接続したサーバ名と、サーバ101から取得したサーバ証明書に含まれるサーバ名を照合する(ステップS8)。両者が一致し、サーバの認証が成功した場合には、当該サーバ101は、コンテンツ再生装置100に挿入されているディスクの特定領域に記憶されているドメイン名に対応する正当なサーバであると判定される。接続したサーバ名と、サーバ101から取得したサーバ証明書に含まれるサーバ名とが一致しない場合には、サーバの認証が失敗したと判定される。
【0036】
サーバ認証部23は、接続管理部21に記憶されている図18に示した接続先管理テーブルに、サーバの認証が成功したか否かを示すサーバ認証フラグの値を記録する。サーバの認証が成功した場合には(ステップS9)、サーバ認証フラグの値を「1」とする(ステップS10)。サーバ認証が失敗した場合には(ステップS10)、サーバ認証フラグの値を「0」とする(ステップS11)。
【0037】
サーバ認証フラグが「1」の間は、サーバ101が正当であることを示すので、サーバの正当性を確認できなくなった場合は、サーバ認証フラグの値を「0」に戻す。例えば、サーバ認証の成功したサーバとの間の通信セッションが切断された場合や、予め定められた一定時間が経過した場合に、サーバ認証部23は、サーバ認証フラグの値を「1」から「0」に書き換える。
【0038】
図2のステップS6の認証処理は、SSL/TLSの代わりに、公開鍵暗号方式に基づく独自の認証処理であってもよい。この場合の処理手順について説明する。
【0039】
まず、ディスク制御部1のディスク読み出し部12が、ディスクに予め記憶されている公開鍵を読み出し、所定のメモリへ記憶する。次に、サーバ認証部23は、証明書の送信をサーバに要求する。要求を受け取ったサーバは、当該サーバがもつ秘密鍵で証明書を暗号化し、コンテンツ再生装置に送信する。サーバ認証処理部23は、証明書を受け取ると、上記公開鍵で証明書を復号し、この復号された証明書に含まれるサーバ名と、接続したサーバ名を照合する。両者が一致し、サーバの認証が成功した場合には、当該サーバ101は、コンテンツ再生装置100に挿入されているディスクの特定領域に記憶されているドメイン名に対応する正当なサーバであると判定され、サーバ認証フラグ「1」が記憶される。接続したサーバ名と、復号された証明書に含まれるサーバ名が一致しない場合には、サーバの認証が失敗したと判定され、サーバ認証フラグ「0」が記憶される。
【0040】
サーバの証明書の内容に、例えば当該サーバのドメイン名が含まれていると、正当なサーバに接続していることを確認できる。
【0041】
上記のようなサーバ認証が失敗した場合には、以後、コンテンツ再生装置でディスク上のコンテンツを再生している間にネットワークへの接続要求が発生しても、ネットワークへの接続は行われない。
【0042】
上記のようなサーバ認証が成功することにより、当該サーバが、ディスクの特定領域に記録されていたドメイン名に対応する正当なサーバであることが保証され、コンテンツ再生装置から接続できるサーバを、接続先管理テーブルに記憶されているドメイン名に対応するサーバに限定することができるようになる。
【0043】
サーバ認証が成功すると、次に、ディスク認証を行う。
【0044】
(1−2)ディスク認証
ディスク認証では、コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータが正当なものであるか否かがチェックされる。ディスク認証を行うことにより、改竄されたコンテンツデータ(特に、改竄された不正なプログラム)がディスクに記録されている場合には、当該不正なプログラムを実行することにより上記正当なサーバへアクセスすることを回避することができる。
【0045】
以下、図4に示すフローチャートを参照してディスク認証処理について説明する。
【0046】
図2に示したようなサーバ認証が成功すると、ディスク認証部24は、接続先管理テーブルにドメイン名が記憶されているか否か、サーバ認証が成功したか否かを確認する(ステップS21)。接続先管理テーブルにドメイン名が記憶されていない場合、サーバ認証フラグが「0」である場合には(ステップS21)、以後のディスク認証処理を行わない。従って、ネットワークへのアクセスも行うことはできなくなる(ステップS22)。
【0047】
接続先管理テーブルにドメイン名が記憶されており、且つ、サーバ認証フラグが「1」であるときには(ステップS21)、通信部4を介して、接続先管理テーブルに記憶されているドメイン名に対応するサーバに対してディスクの認証要求を送信する(ステップS23)。
【0048】
ディスク認証要求を受信したサーバは、ディスク上のディスクが識別できるデータが記録されている記録領域をランダムに選択する(ステップS24)。ここでは、1つのみならず複数の記録領域が選択されてもよい。そして、コンテンツ再生装置に対し、当該選択された記録領域に記録されているデータのハッシュ値を送信するよう要求する(ステップS25)。このとき、予め定められたアルゴリズムを用いて、暗号化してから送信するよう要求してもよい。
【0049】
コンテンツ再生装置100が、この送信要求を受信すると、ディスク認証処理部24は、サーバにより指定された記録領域のデータをディスク制御部1を介してディスクから読み出し(ステップS26)、読み出されたデータのハッシュ値を計算する(ステップS27)。
【0050】
サーバから暗号化してから送信するよう、要求されている場合には、このハッシュ値を予め定められたアルゴリズムを用いて暗号化する。求めたハッシュ値はサーバへ送信される(ステップS28)。
【0051】
サーバは、当該サーバに対応するコンテンツデータの記録されている正当なディスクを備えている。ハッシュ値を受信したサーバは、このディスク上の上記ステップS24で選択された記録領域から、データを読み出し、ハッシュ値を計算する。そして、この計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とを比較し(ステップS29)、両者が不一致である場合(ディスク認証が失敗した場合)には、現在コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータは改竄されている可能性があると判定される。この場合、サーバは、コンテンツ再生装置100に対し、アクセス不許可通知を送信する(ステップS31)。
【0052】
サーバで計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とが一致する場合(ディスク認証が成功した場合)には、現在コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータは改竄されていないと判定される。この場合、サーバは、コンテンツ再生装置100に対し、アクセス許可通知を送信する(ステップS33)。
【0053】
コンテンツ再生装置100は、サーバからアクセス許可通知/アクセス不許可通知を受信すると、ディスク認証部24は、受信した通知の内容を基に、接続管理部21に記憶されている図18に示した接続先管理テーブルに、ディスク認証が成功したか否かを示すディスク認証フラグの値を記録する。アクセス許可通知を受信し、ディスク認証が成功した場合には、ディスク認証フラグの値を「1」とする(ステップS34)。アクセス不許可通知を受信し、ディスク認証が失敗した場合には、ディスク認証フラグの値を「0」とする(ステップS32)。
【0054】
上記ディスク認証処理では、サーバが、当該サーバに対応するコンテンツデータの記録されているディスクについて、ディスクが識別できるデータが記録されている記録領域をランダムに選択し、コンテンツ再生装置から送信された、当該選択された記録領域内のデータのハッシュ値を用いて、当該記録領域内のデータが改竄されているか否かを判定している。
【0055】
このようなディスク上の任意の記録領域内のデータを用いてディスク認証を行う代わりに、改竄されると他に危害を及ぼす可能性のあるプログラムの記録されているディスク上の記録領域内のデータ(プログラム)を用いた、他のディスク認証処理について、図5に示すフローチャートを参照して説明する。なお、図5において、図4と同一部分には同一符号を付し、異なる部分についてのみ説明する。
【0056】
すなわち、図4のステップS24が、図5ではステップS24a及びステップS24bに置き換えられ、図4のステップS25が図5ではステップS25aに置き換えられ、図4のステップS27が、図5ではステップS27aに置き換えられ、図4のステップS29が、図5ではステップS29aに置き換えられている。
【0057】
図5のステップS24aでは、サーバがディスク認証要求を受信すると、改竄されると他に危害を及ぼす可能性のあるプログラムの記録されているディスク上の記録領域を選択する。この場合、サーバは、当該サーバに対応するコンテンツデータの記録されているディスクについて、プログラム(改竄されると他に危害を及ぼす可能性のあるプログラム)の記録されている記録領域がどこであるかを予め記憶している。そして、プログラムの記録されている記録領域のうちの少なくとも1つを選択する。複数の記録領域を選択してもよい。
【0058】
次に、ステップS24bでは、サーバは、ランダムなデータ系列を生成する。そして、ステップS25aでは、コンテンツ再生装置100に対し、この生成されたデータ系列と、ステップS24aで選択した記録領域に記録されているデータ(プログラムデータ)とから計算されるハッシュ値を送信するよう要求する。このとき、予め定められたアルゴリズムを用いて、暗号化してから送信するよう要求してもよい。
【0059】
コンテンツ再生装置100が、この送信要求を受信すると、ディスク認証処理部24は、サーバにより指定された記録領域のデータをディスク制御部1を介してディスクから読み出す(ステップS26)。ステップS27aでは、この読み出されたデータとサーバから送られてきたデータ系列とを連結して、読み出されたデータとサーバから送られてきたデータ系列を含むデータ全体のハッシュ値を計算する。サーバから暗号化してから送信するよう、要求されている場合には、このハッシュ値を予め定められたアルゴリズムを用いて暗号化する。求めたハッシュ値はサーバへ送信される(ステップS28)。
【0060】
サーバは、当該サーバに対応するコンテンツデータの記録されている正当なディスクを備えている。ハッシュ値を受信したサーバは、ステップS29aにおいて、このディスク上の上記ステップS24aで選択された記録領域からデータを読み出し、読み出したデータと、ステップS24bで生成したデータ系列を連結して、読み出したデータとステップS24bで生成したデータ系列を含むデータ全体のハッシュ値を計算する。そして、この計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とを比較する(ステップ29a)。その後、図4と同様で、両者が不一致である場合(ディスク認証が失敗した場合)には、サーバは、コンテンツ再生装置100に対し、アクセス不許可通知を送信し(ステップS31)、コンテンツ再生装置は、ディスク認証フラグを「0」にする(ステップS32)。サーバで計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とが一致する場合(ディスク認証が成功した場合)には、サーバは、コンテンツ再生装置100に対し、アクセス許可通知を送信し(ステップS33)、コンテンツ再生装置は、ディスク認証フラグを「1」にする(ステップS34)。
【0061】
上記ディスク認証は、当該ディスクがコンテンツ再生装置から取り出されるまで有効となる。すなわち、当該ディスクがコンテンツ再生装置から取り出されたら、ディスク認証フラグを「0」に書き変える。
【0062】
上記説明では、ディスク認証フラグの値によってディスク認証が有効かどうかを判定したが、別の方式として、サーバから指定された有効期間(ディスクの正当性を保証する期間)とセッション識別子を用いる方式を以下に説明する。これは、通信プロトコルとして、例えばHTTP(Hyper Text Transfer Protocol)を用いた場合、Cookieを使うことにより実現可能である。
【0063】
図4および図5のステップS33で、サーバはアクセス許可通知とともに、有効期間(例えば「300秒」と指定する)とセッション識別子(例えばサーバが生成したコンテンツ再生装置を識別するためのランダム文字列)をディスク認証処理部24へ送信する。ディスク認証処理部24は、接続管理部24に記憶されている接続先管理テーブルに、サーバから送られた有効期間とセッション識別子を保存する。以降、図8に示すようにして、ステップS54においてサーバと通信する場合、このセッション識別子をサーバへの通信データに付加することで、サーバは、ディスク認証が行われていることが確認できる。サーバは、セッション識別子が付加されていない通信データがコンテンツ再生装置から送られてきても、それを拒否する。
【0064】
ディスク認証処理部24は、保存された有効期間を経過した場合やコンテンツ再生装置の操作(例えば、利用者によりディスクが取り出されたり、再生中のコンテンツが停止された場合)に応じて、保存されている有効期間の値を「0」とし、セッション識別子を削除する。このとき、ディスク認証フラグを「1」から「0」に更新するようにしてもよい。
【0065】
保存されている有効期間が経過した後や、上記予め定められたユーザ操作により有効期間が「0」になった後は、有効期間が「0」になったことを契機に、あるいは、コンテンツデータの再生・実行中にネットワークへの接続要求が発生したことを契機に、再び、上記ディスク認証を行う。
【0066】
また、保存したセッション識別子が削除された場合には、図8のステップS54においてサーバと通信することはできないため、再び、ディスク認証を行う。
【0067】
このように、上記有効期間を用いる場合には、コンテンツデータの再生・実行中に発生した接続要求を受けて、サーバに接続するためには、図8のステップS53において、有効期間が「0」でないことが条件として加わる。また、セッション識別子を用いる場合には、図8のステップS53において、セッション識別子が保存されていることが条件として加わる。
【0068】
なお、本実施形態では、1つのサーバはある1つのコンテンツに対応するディスク認証処理を行うとして説明したが、1つのサーバで複数のディスク認証処理を行うことも可能である。その場合、例えば、ディスクまたはコンテンツを一意に特定する識別子をディスク上に格納しておき、ディスク認証時にその識別子をディスクから読み込んでサーバへ送信することで、サーバはどのディスクかを特定することができる。
【0069】
(2)コンテンツ再生装置にディスクを挿入した後、サーバ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証及びディスク認証を行う場合について、図6に示すフローチャートを参照して説明する。なお、図6において、図2と同一部分には同一符号を付し、異なる部分についてのみ説明する。すなわち、図2のステップS2が図6ではステップS12に置き換えられている。
【0070】
図2に示すサーバ認証では、ステップS2で、ディスクがコンテンツ再生装置に挿入されたことを契機に、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。
【0071】
一方、図6に示すサーバ認証では、ステップS12で、ディスクがコンテンツ再生装置に挿入された後、例えば、当該ディスクに記録されているプログラムを実行することにより、サーバ(ネットワーク)へのアクセス要求が(最初)に発生したことを契機に、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。その後の処理動作は、図2のステップS4からステップS11までの処理動作と同様である。
【0072】
図6のサーバ認証処理を行った後に、図4あるいは図5に示したようなディスク認証を行う。
【0073】
(3)コンテンツ再生装置にディスクを挿入した後、サーバ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証及びディスク認証を行う場合の他の例について、図7に示すフローチャートを参照して説明する。なお、図7において、図2及び図6と同一部分には同一符号を付し、異なる部分についてのみ説明する。すなわち、図7では、図2と同様に、ディスクのコンテンツ再生装置への挿入を検出したことを契機に(ステップS2)、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。そして、読み出されたドメイン名は、接続先管理部21内のメモリに記憶されている図18に示すような接続先管理テーブルに記録される(ステップS4)。ここまでは、図2と同様である。
【0074】
図7において、図2と異なるのは、サーバ認証部23のステップS5〜ステップS11までの処理は、図7ではステップS12〜ステップS14までの処理を行った後であるという点である。すなわち、ディスク検出部11で、ディスクがコンテンツ再生装置へのディスクの挿入が検出され、当該ディスクの特定領域から読み出されたドメイン名が接続先管理テーブルに記録される(図7のステップS1〜ステップS4)。その後、コンテンツ再生装置に挿入されたディスクに記録されているプログラムを実行することにより、サーバ(ネットワーク)への接続要求が(最初)に発生すると、すなわち、接続要求が再生・実行制御部3から出力されると(図7のステップS12)、当該接続要求が、ネットワークアクセス制御部2の接続先検証部22により検出される。接続先検証部22は、当該プログラムにより指定されている接続先のドメイン名を取得する(ステップS13)。
【0075】
ディスクに記録されているプログラムを実行することにより再生・実行制御部3で発生する接続要求には、当該プログラムに含まれる接続先のドメイン名が含まれている。接続先検証部22は、この接続要求に含まれる接続先のドメイン名を取得する。
【0076】
次に、接続先検証部22は、取得したドメイン名と接続先管理テーブルに記録されているドメイン名とを比較し(ステップS14)、両者が一致した場合に、接続管理テーブルに記録されているドメイン名に対応するサーバの認証処理(ステップS5〜ステップS11)を開始する。
【0077】
取得したドメイン名と接続先管理テーブルに記録されているドメイン名とが異なる場合には、ここで処理を中止し、サーバ認証部23でのサーバ認証処理(ステップS5〜ステップS11)を行わない。その結果、コンテンツ再生装置100は、ネットワークへの接続は行わない。
【0078】
取得したドメイン名と接続先管理テーブルに記録されているドメイン名とが一致した場合には、図2と同様に、サーバ認証部23が、接続管理テーブルに記録されているドメイン名に対応するサーバの認証処理(ステップS5〜ステップS11)を開始する。すなわち、サーバ認証部23は、接続管理テーブルに記録されているドメイン名に対応するサーバから証明書を取得し(ステップS5〜ステップS7)、この取得した証明書と、サーバ認証部23に予め記憶されている証明書が一致し、サーバの認証が成功した場合には、サーバ認証フラグ「1」を接続管理テーブルに記憶する(ステップS8〜ステップS10)。また、取得した証明書と、サーバ認証部23に予め記憶されている証明書が異なる場合には、サーバ認証フラグ「0」を接続管理テーブルに記憶する(ステップS8、ステップS9,ステップS11)。
【0079】
図7のサーバ認証処理を行った後に、図4あるいは図5に示したようなディスク認証を行う。
【0080】
本実施形態では、(1)コンテンツ再生装置にディスクが挿入されたとき、または、(2)サーバへ(ネットワーク)へのアクセス要求が発生したときに、ディスク認証処理を行う方式を説明した。このとき、コンテンツ再生装置の不具合等で、ディスクの差し替えが検出できない場合、ディスク認証処理後に他のディスクへ差し替えられる危険性がある。
【0081】
この場合、接続先管理テーブルのドメイン名、サーバ認識フラグおよびディスク認識フラグは消去されないため、差し替えられたディスクに記憶されているプログラムが、接続先管理テーブルに保存されているドメイン名のサーバへアクセスすることが可能となる。
【0082】
上記危険性を回避するため、前記ディスク認証処理完了後、ネットワークアクセス制御部のディスク認証部24は、あらかじめ定められた方式に基づくあるタイミング(例えば、一定周期や乱数に基づいた不定期)で、前記ディスク認証処理をくりかえし実行してもよい。
【0083】
<接続するサーバを制限するためのアクセス制御>
図2、図7に示したように、コンテンツ再生装置100は、ディスクが挿入されると、当該ディスの特定領域に記録されているドメイン名を読み出して、接続先管理テーブルに記録される。図2の場合には、さらに、サーバ認証及びディスク認証を行い、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録されている。
【0084】
次に、コンテンツ再生装置100が、挿入されたディスク上のコンテンツデータを再生しているときに、ネットワーク接続要求が発生した場合について、図8に示すフローチャートを参照して説明する。
【0085】
ネットワーク接続要求は、コンテンツ再生装置にディスクが挿入された後、(a)当該ディスクに記録されているプログラムを実行することにより、また、後述するように、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、発生する。
【0086】
ネットワーク接続要求は、前述同様、ネットワークアクセス制御部2の接続先検証部22により検出される(ステップS51)。接続先検証部22は、ネットワーク接続要求を発したプログラム(ディスクに記録されているプログラムあるいは記憶装置6に記憶されプログラム)により指定されている接続先のドメイン名を取得する(ステップS52)。
【0087】
なお、図7に示したようなサーバ認証を行う場合には、上記ステップS51及びステップS52で、ディスク挿入後、最初にネットワーク接続要求が検出され(図7のステップS12)、接続先のドメイン名が取得されたときに(図7のステップS13)、サーバ認証を開始し、さらに、ディスク認証を行って、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録される。
【0088】
また、図6に示したようなサーバ認証処理を行う場合には、上記ステップS51及びステップS52で、ディスク挿入後、最初にネットワーク接続要求が検出されたときに(図6のステップS12)、当該ディスの特定領域に記録されているドメイン名を読み出して、接続先管理テーブルに記録する(図6のステップS3〜ステップS4)。その後、サーバ認証及びディスク認証を行って、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録される。
【0089】
従って、図8のステップS51及び52で、ネットワーク接続要求が検知され、接続先のドメイン名を取得した場合、図2、図6,図8のいずれの場合においても、接続先管理テーブルにはドメイン名が記録され、サーバ認証及びディスク認証の結果を示すサーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録されている。
【0090】
接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、(第3の条件)ステップS52で、ネットワーク接続要求元から取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、の3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS53)。上記第1乃至第3の条件のうちのいずれか1つでも満足しない場合には、ネットワークへの接続を許可しない(ステップS53、ステップS55)。
【0091】
接続先検証部22で、ネットワークへの接続が許可された場合には、通信部4は、接続管理テーブルに記録されているドメイン名に対応するサーバへ接続し、ディスク上のコンテンツデータの再生・実行の際に用いるデータやプログラムなどを当該サーバから受信する(ステップS54)。その結果、コンテンツ再生装置100の再生・実行制御部3は、当該サーバと通信を行いながら(当該サーバからダウンロードされるデータやプログラムを用いて)、当該ディスク上のコンテンツデータの再生・実行を行う。
【0092】
以上説明したように、コンテンツ再生装置では、サーバ認証やディスク認証、また、図7に示したようなアクセス制御を行って、ネットワーク接続要求発生時に接続先のサーバを、コンテンツ再生装置に挿入されたディスクの特定領域に記録されたドメイン名に対応するサーバのみに制限することで、コンテンツ再生装置がDDoS攻撃などの踏み台となることを防いでいる。
【0093】
なお、本実施形態では、ディスクとサーバは1対1に対応し、ディスク上の特定領域に記憶されているサーバのドメイン名は1つであるとしたが、ディスク上の特定領域に複数のサーバのドメイン名からなるドメイン名リストが記憶されている場合には、上述の特定領域にドメイン名が1つ記憶されている場合と同様に、ディスク読み出し部12が特定領域から当該ドメイン名リストを読み込んで接続先管理部21の接続先管理テーブルに保持する。この場合、ドメイン名リストに記述されている各サーバの識別子に関して、上述のサーバ認証処理とディスク認証処理および前記アクセス制御処理を行う。
【0094】
例えば、ディスク挿入時や、ネットワークへの接続要求が発生したときなどに、ディスク読み出し部12がディスクの特定領域から当該ドメイン名リストを読み込んで、接続先管理テーブルに記憶しておく(ステップS4)。
【0095】
上記サーバ認証(ステップS5〜ステップS11)は、読み出した直後に、ドメイン名リスト上の各ドメイン名について行うようにしてもよい。また、コンテンツ再生中にプログラムを実行することにより、ネットワークへの接続要求が発生したときに、当該プログラムに含まれる接続先のドメイン名が、上記ドメイン名リスト上に含まれている場合に、当該ドメイン名に対応するサーバについて、上記サーバ認証を行うようにしてもよい。
【0096】
コンテンツ再生中にプログラムを実行することにより、ネットワークへの接続要求が発生したときに、当該プログラムに含まれる接続先のドメイン名が、上記ドメイン名リスト上に含まれている場合、当該ドメイン名に対応するサーバのサーバ認証フラグが「1」のとき、当該ドメイン名に対応するサーバへディスク認証を要求し、ディスク認証を行う(ステップS23〜ステップS34)。
【0097】
<ストレージ制御部とサーバによるストレージ制御>
本実施形態にかかるコンテンツ再生装置では、ディスクから読み出されたデータや、サーバからダウンロードされた映像・音声データやプログラムなどを、記憶装置6に記憶しておき、次回必要なときに利用する。記憶装置6に記憶されたデータは、誰からでもアクセスできるので、保存した個人情報などの漏えいや、改竄されたプログラムの実行により、コンテンツ再生装置100などが動作不良となるなどの問題が発生する可能性がある。これら問題を防ぐため、ストレージ制御部5は、記憶装置6にデータを記憶する際には、記憶するデータを秘匿したり、記憶装置6に記憶されているデータを利用する際には、改竄されているか否かを検知して、改竄されたデータをコンテンツ再生装置100で利用しないよう制御する。ストレージ制御部5でのこのような制御を、ここでは、ストレージ制御と呼ぶ。
【0098】
コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、データ書き込み要求が発生した場合について、図9に示すフローチャートを参照して説明する。データ書き込み要求は、(a)当該ディスクに記録されているプログラムを実行することにより、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、(c)ユーザからの指示により発生する。
【0099】
また、データ書き込み要求により記憶装置6に記憶されるデータは、現在再生中のディスク上のデータ(プログラムを含む)や、図8に示したようにして接続されたサーバからダウンロードされたデータ(プログラムを含む)などである。
【0100】
図9において、データ書き込み要求が発生し(ステップS61)、ストレージ制御部5がデータ書き込み要求を検知すると、ストレージ制御部5は、書き込むデータのハッシュ値を計算する(ステップS62)。ハッシュ値は、例えば、MD5やSHA−1などを用いて計算する。
【0101】
次に、得られたハッシュ値をサーバ(接続先管理テーブルに登録されているドメイン名に対応するサーバ)へ送信するために、接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、の2つの条件を統べた満足しているかをチェックする。特に、データ書き込み要求が、プログラムを実行することにより発生している場合に、当該プログラムにより接続先が指定されているときには、上記第1及び第2の条件の他にさらに、(第3の条件)データ書き込み要求元のプログラムにより指定されている接続先(例えば、ドメイン名)を取得して、その取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、という第3の条件を含む3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS63)。上記いずれか1つの条件を満足しない場合には、ネットワークへの接続は行わない。従って、記憶装置6には、データが書き込まれない(ステップS64)。
【0102】
接続先検証部22でネットワークへの接続が許可された場合には、ステップS65へ進み、通信部4により、コンテンツ再生装置100は、接続先テーブルに登録されているドメイン名に対応するサーバに接続し、ストレージ制御部5は、書き込むデータのハッシュ値を通信部4を介して当該サーバへ送信する。
【0103】
サーバは、上記ハッシュ値を受信すると(ステップS66)、サーバに予め記憶されている秘密鍵を用いて、受信したハッシュ値を暗号化し(ステップS67)、暗号化されたハッシュ値を証明書として、コンテンツ再生装置100へ返信する(ステップS68)。
【0104】
コンテンツ再生装置100は、サーバから送信された上記証明書を受信すると(ステップS69)、ストレージ制御部5は、書き込むべきデータのファイル名(データファイル名)、受信した証明書データのファイル名(証明書ファイル名)と、暗号化を行ったサーバ(この場合、接続先管理テーブルに登録されているドメイン名に対応するサーバ)の識別子(例えば、ここでは、当該サーバのドメイン名)とを1組とするレコードを記憶装置6に設けられた管理テーブルに記録する(ステップS70)。さらに、記憶装置6に書き込むべきデータ(データファイル)、受信した証明書(証明書ファイル)を記憶装置6に記憶する(ステップS71)。
【0105】
次に、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、図9に示したようにして、記憶装置6に記憶されたデータに対し、データ読み出し要求が発生した場合について、図10に示すフローチャートを参照して説明する。データ読み出し要求は、(a)当該ディスクに記録されているプログラムを実行することにより、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、(c)ユーザからの指示により発生する。
【0106】
図10において、データ読み出し要求が発生し(ステップS75)、ストレージ制御部5がデータ読み出し要求を検知すると、ストレージ制御部5は、管理テーブルを参照して、読み出すべきデータファイル名に対応する証明書ファイル名及びサーバのドメイン名を取得する(ステップS76)。さらに、記憶装置6から、当該データファイル名のデータファイルと、当該証明書ファイル名に対応する証明書ファイルを読み出す(ステップS77)。そして、ストレージ制御部5は、読み出したデータファイル内のデータのハッシュ値を計算する(ステップS78)。
【0107】
次に、得られたハッシュ値及び証明書ファイル内の証明書データをサーバ(接続先管理テーブルに登録されているドメイン名に対応するサーバ)へ送信するために、接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、(第3の条件)ステップS76で取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、という3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS79)。上記いずれか1つの条件を満足しない場合には、ネットワークへの接続は行わない。従って、記憶装置6からは、データが読み出されない(ステップS80)。
【0108】
接続先検証部22でネットワークへの接続が許可された場合には、ステップS81へ進み、通信部4により、コンテンツ再生装置100は、接続先テーブルに登録されているドメイン名に対応するサーバに接続し、ストレージ制御部5は、読み出したデータのハッシュ値及び証明書を通信部4を介して当該サーバへ送信する(ステップS81)。
【0109】
サーバは、上記ハッシュ値及び証明書を受信すると(ステップS82)、サーバに予め記憶されている秘密鍵を用いて、受信したハッシュ値を図9のステップS67で暗号化を行ったときと同じ暗号方式を用いて暗号化し(ステップS83)、暗号化されたハッシュ値とコンテンツ再生装置から送信されてきた証明書を照合する(ステップS84)。暗号化されたハッシュ値と受信した上記証明書が一致する場合には、照合結果として「OK」をコンテンツ再生装置へ送信し、両者が異なる場合には、照合結果として「NG」コンテンツ再生装置へ送信する(ステップS85)。
【0110】
コンテンツ再生装置100で照合結果を受信すると(ステップS86)、ストレージ制御部5は、照合結果が「OK」の場合は(ステップS87)、記憶装置6から読み出されたデータファイル内のデータを再生・実行制御部3へ出力する(ステップS88)。ストレージ制御部5は、照合結果が「NG」の場合は(ステップS87)、記憶装置6から読み出されたデータファイル内のデータを再生・実行制御部3へ出力する代わりに廃棄して、「読み出し不可」を示すメッセージを再生・実行制御部3へ出力する(ステップS89)。
【0111】
ステップS84で、暗号化されたハッシュ値と受信した上記証明書が異なる場合、すなわち、上記ストレージ制御による認証が失敗した場合には、ステップS77で記憶装置6から読み出されたデータファイル内のデータは、改竄されている可能性があるということである。ストレージ制御部5は、このような改竄されている可能性のある記憶装置6に記憶されているデータには、アクセスしないようにすることで(ステップS89)、コンテンツ再生装置100のセキュリティを高めることができる。
【0112】
図9及び図10に示したストレージ制御は、記憶装置6に記憶されたデータを読み出す際には、当該データの証明書を用いて認証を行う場合を示している。
【0113】
次に、記憶装置6に記憶するデータを(改竄されないように)秘匿化する場合のストレージ制御について、図11及び図12に示すフローチャートを参照して説明する。
【0114】
まず、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、データ書き込み要求が発生した場合について、図11に示すフローチャートを参照して説明する。
【0115】
図11において、データ書き込み要求が発生すると(ステップS101)、接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、の2つの条件を統べた満足しているかをチェックする。特に、データ書き込み要求が、プログラムを実行することにより発生している場合に、当該プログラムにより接続先が指定されているときには、上記第1及び第2の条件の他にさらに、(第3の条件)データ書き込み要求元のプログラムにより指定されている接続先(例えば、ドメイン名)を取得して、その取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、という第3の条件を含む3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS102)。上記いずれか1つの条件を満足しない場合には、ネットワークへの接続は行わない。従って、記憶装置6には、データが書き込まれない(ステップS103)。
【0116】
接続先検証部22でネットワークへの接続が許可された場合には、ステップS104へ進み、通信部4により、コンテンツ再生装置100は、接続先テーブルに登録されているドメイン名に対応するサーバに接続し、ストレージ制御部5は、書き込むべきデータを通信部4を介して当該サーバへ送信する(ステップS104)。
【0117】
データを受信したサーバでは(ステップS105)、サーバに予め記憶されている秘密鍵を用いて、受信したデータを暗号化し(ステップS106)、暗号化されたデータを、コンテンツ再生装置100へ返信する(ステップS107)。
【0118】
コンテンツ再生装置100は、サーバから送信された暗号化されたデータを受信すると(ステップS108)、ストレージ制御部5は、暗号化されたデータのファイル名(データファイル名)と、暗号化を行ったサーバ(この場合、接続先管理テーブルに登録されているドメイン名に対応するサーバ)の識別子(例えば、ここでは、当該サーバのドメイン名)とを1組とするレコードをストレージ制御部5内のメモリに設けられた管理テーブルに記録する(ステップS109)。さらに、記憶装置6に暗号化されたデータ(データファイル)、を記憶装置6に記憶する(ステップS110)。以上により秘匿化されたデータが記憶装置6に記憶された。
【0119】
次に、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、図11に示したようにして、記憶装置6に記憶された秘匿化されたデータに対し、データ読み出し要求が発生した場合について、図12に示すフローチャートを参照して説明する。データ読み出し要求は、(a)当該ディスクに記録されているプログラムを実行することにより、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、(c)ユーザからの指示により発生する。
【0120】
図12において、データ読み出し要求が発生すると(ステップS121)、ストレージ制御部5は、管理テーブルを参照して、読み出すべきデータファイル名に対応するサーバのドメイン名を取得する(ステップS122)。さらに、記憶装置6から、当該データファイル名のデータファイルを読み出す(ステップS123)。
【0121】
読み出されたデータファイル内のデータを復号するために、接続先検証部22は、(第1の条件)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、(第3の条件)ステップS122で取得したドメイン名と、接続管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、という3つの条件を全て満足する場合に限り、接続管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS124)。上記いずれか1つの条件を満足しない場合には、ネットワークへの接続は行わない。従って、記憶装置6からは、データが読み出されない(ステップS125)。
【0122】
接続先検証部22でネットワークへの接続が許可された場合には、ステップS126へ進み、通信部4により、コンテンツ再生装置100は、接続先テーブルに登録されているドメイン名に対応するサーバに接続する。ストレージ制御部5は、読み出したデータファイル内の暗号化されたデータを通信部4を介して当該サーバへ送信する(ステップS126)。
【0123】
サーバは、暗号化されたデータを受信すると(ステップS127)、サーバに予め記憶されている秘密鍵と、図11のステップS106で暗号化を行ったときと同じ暗号方式を用いて復号する(ステップS128)。復号に成功した場合には(ステップS129)、復号結果「OK」とともに、復号されたデータをコンテンツ再生装置へ送信し(ステップS130)、復号に失敗した場合には(ステップS129)、照合結果「NG」をコンテンツ再生装置へ送信する(ステップS131)。
【0124】
コンテンツ再生装置100で復号結果を受信すると(ステップS132)、ストレージ制御部5は、復号結果が「OK」の場合は(ステップS133)、復号されたデータを再生・実行制御部3へ出力する(ステップS134)。ストレージ制御部5は、復号結果が「NG」の場合は(ステップS133)、記憶装置6から読み出されたデータファイル内のデータを廃棄して、「読み出し不可」を示すメッセージを再生・実行制御部3へ出力する(ステップS135)。
【0125】
上記ストレージ制御は、サーバ(ネットワーク)への接続が行われない場合、データの書き込みおよび読み込みはできない。以下、サーバ(ネットワーク)への接続が行われない場合に、データの書き込みおよび読み込みを行う処理方式について説明する。
【0126】
まず、書き込み処理について説明する。図9のステップS64および図11のステップS103において、ネットワークへの接続不可となった場合、ストレージ制御部5にあらかじめ保存されている認証確認フラグを読み込む。認証確認フラグには、ネットワークへの接続不可となった場合に、読み書きをするかどうかを示す値(例えば、読み書きを許可する場合は「1」、許可しない場合は「0」)が格納されている。ストレージ制御部5は、認証確認フラグの値が「1」の場合、証明書生成や暗号化なしで(すなわち、管理テーブルの証明書ファイル名やサーバのドメイン名を空にして)データを記憶装置6へ書き込む。「0」の場合は書き込みを行わない。
【0127】
次に読み出し処理についても書き込み処理と同様に、図10のステップS80および図12のステップS125において、ネットワークへの接続不可となった場合、ストレージ制御部5にあらかじめ保存されている認証確認フラグを読み込む。ストレージ制御部5は、認証確認フラグの値が「1」の場合、証明書確認や復号化なしでデータを記憶装置6から読み出し、再生・実行制御手段3へ出力する。「0」の場合は読み出しを行わない。
【0128】
上記説明では、認証確認フラグは、書き込みおよび読み出し処理の両方に共通して用いる方式としたが、書き込み用と読み出し用にそれぞれ別の認証確認フラグを用意してもよい。
【0129】
また、書き込み処理において、書き込み要求を検出したとき、ストレージ制御部5にあらかじめ保存されている認証確認フラグを読み込み、当該認証確認フラグが証明書の作成や暗号化を行うことなく読み書きを許可する旨の「1」の場合には、ストレージ制御部5は、(ネットワークへの接続可・不可に関わらず)、証明書生成や暗号化なしで(すなわち、管理テーブルの証明書ファイル名やサーバのドメイン名を空にして)データを記憶装置6へ書き込む。認証確認フラグが「0」の場合は、前述のように、証明書の作成や暗号化を行ってから書き込みを行う。ここで、サーバへの接続ができなかったときには(図9のステップS64,図11のステップS103)、そのようなデータの書き込みは行われない。
【0130】
さらに読み出し処理において、読み出し要求を検知したとき、ストレージ制御部5にあらかじめ保存されている認証確認フラグを読み込み、当該認証確認フラグが証明書の検証や復号化を行うことなく読み出しを許可する旨の「1」の場合には、ストレージ制御部5は、(ネットワークへの接続可・不可に関わらず)、証明書の検証や復号なしで記憶装置6から読み出したデータを、再生・実行制御手段3へ出力する。認証確認フラグが「0」の場合は、前述のように、記憶装置6から読み出したデータに対し、証明書の検証や復号を行ってから、再生・実行制御手段3へ出力する。
【0131】
上記説明では、認証確認フラグは、書き込みおよび読み出し処理の両方に共通して用いる方式としたが、書き込み用と読み出し用にそれぞれ別の認証確認フラグを用意してもよい。
【0132】
<ストレージ制御部とコンテンツ保護部によるストレージ制御>
上記ストレージ制御は、ストレージ制御部5とサーバとの間で行うものである。このようなストレージ制御は、コンテンツ再生装置100内部で行うことも可能である。
【0133】
例えば、AACS(Advanced Access Content System)などのコンテンツ保護技術により、ディスク上のコンテンツが暗号化されており、暗号化に用いた鍵がディスク上に隠蔽されていて、コンテンツ再生装置100が、その鍵を用いてコンテンツの再生を行う場合には、コンテンツ再生装置100は、図13に示すように、ディスク上に隠蔽されている鍵を用いて暗号化・復号を行うコンテンツ保護部7を有する。
【0134】
図13に示すコンテンツ再生装置では、上記コンテンツ保護部7を用いて、このコンテンツ保護部7とストレージ制御部6により、上記ストレージ制御を行う。
【0135】
まず、記憶装置6に記憶されたデータを読み出す際に認証を行う(図9及び図10に対応する)ストレージ制御について、図14及び図15に示すフローチャートを参照して説明する。
【0136】
コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、データ書き込み要求が発生した場合について、図14に示すフローチャートを参照して説明する。なお、図14において、図9と同一部分には同一符号を付し、異なる部分について説明する。
【0137】
図14では、ネットワークへアクセスする必要がないため、図9のステップS63、ステップS64は省略されている。すなわち、図14において、データ書き込み要求が発生し(ステップS61)、ストレージ制御部5が、書き込むデータのハッシュ値を計算すると(ステップS62)、当該ハッシュ値をコンテンツ保護部7へ出力する(ステップS65)。
【0138】
コンテンツ保護部7に、当該ハッシュ値が入力されると(ステップS66)、現在再生中のディスクから取得した鍵と、任意の暗号化方式を用いて、当該ハッシュ値を暗号化し(ステップS67)、暗号化されたハッシュ値を証明書として、ストレージ制御部5へ出力する(ステップS68)。
【0139】
ストレージ制御部5に、上記証明書が入力されると(ステップS69)、ストレージ制御部5は、書き込むべきデータのファイル名(データファイル名)、受信した証明書データのファイル名(証明書ファイル名)と、暗号化を行ったコンテンツ保護部7の識別子とを1組とするレコードをストレージ制御部5内のメモリに設けられた管理テーブルに記録する(ステップS70)。さらに、記憶装置6に書き込むべきデータ(データファイル)、受信した証明書(証明書ファイル)を記憶装置6に記憶する(ステップS71)。
【0140】
ここで、管理テーブルに記録されるレコードは、図9の場合と同様の形式とし、証明書作成のための暗号化を行った主体がサーバか、コンテンツ保護部7かを示す識別子を書き込むことで、コンテンツ再生装置は、図9及び図10に示すようなストレージ制御と図14及び図15のストレージ制御との両方を行える。コンテンツ再生装置が図9と図14のうち図14に示すようなストレージ制御のみを行う場合には、コンテンツ保護部7の識別子を管理テーブルに記録する必要はなくなる。
【0141】
次に、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、図14に示したようにして、記憶装置6に記憶されたデータに対し、データ読み出し要求が発生した場合について、図15に示すフローチャートを参照して説明する。なお、図15において、図10と同一部分には同一符号を付し、異なる部分について説明する。
【0142】
図15では、ネットワークへアクセスする必要がないため、図10のステップS79、ステップS80は省略されている。すなわち、図15において、データ読み出し要求が発生し(ステップS75)、ストレージ制御部5が、管理テーブルから、読み出すべきデータファイル名に対応する証明書ファイル名及びコンテンツ保護部7の識別子を取得する(ステップS76)。さらに、ストレージ制御部5は、記憶装置6から、当該データファイル名のデータファイルと、当該証明書ファイル名に対応する証明書ファイルを読み出して(ステップS77)、読み出したデータファイル内のデータのハッシュ値を計算する(ステップS78)。この場合、管理テーブルから取得されたのが、コンテンツ保護部7の識別子であることから、当該ハッシュ値及び読み出した証明書をコンテンツ保護部7へ出力する(ステップS81)。
【0143】
なお、管理テーブルから取得されたのが、サーバの識別子(ドメイン名)である場合には、図10と同様である。
【0144】
コンテンツ保護部7に、上記ハッシュ値及び証明書が入力されると(ステップS82)、現在再生中のディスクから取得した鍵を用いて、入力されたハッシュ値を図14のステップS67で暗号化を行ったときと同じ暗号方式を用いて暗号化し(ステップS83)、暗号化されたハッシュ値と入力された証明書を照合する(ステップS84)。暗号化されたハッシュ値と入力された上記証明書が一致する場合には、照合結果「OK」をストレージ制御部5へ出力し、両者が異なる場合には、照合結果「NG」をストレージ制御部5へ出力する(ステップS85)。
【0145】
ストレージ制御部5に照合結果が入力されると(ステップS86)、ストレージ制御部5は、照合結果が「OK」の場合は(ステップS87)、記憶装置6から読み出されたデータファイル内のデータを再生・実行制御部3へ出力する(ステップS88)。ストレージ制御部5は、照合結果が「NG」の場合は(ステップS87)、記憶装置6から読み出されたデータファイル内のデータを再生・実行制御部3へ出力する代わりに廃棄して、「読み出し不可」を示すメッセージを再生・実行制御部3へ出力する(ステップS89)。
【0146】
次に、記憶装置6にデータを記憶する際に、当該データを暗号化して記憶する(図11及び図12に対応する)ストレージ制御について、図16及び図17に示すフローチャートを参照して説明する。
【0147】
コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、データ書き込み要求が発生した場合について、図16に示すフローチャートを参照して説明する。なお、図16において、図11と同一部分には同一符号を付し、異なる部分について説明する。
【0148】
図16では、ネットワークへアクセスする必要がないため、図11のステップS102、ステップS103は省略されている。すなわち、図16において、データ書き込み要求が発生すると(ステップS101)、ストレージ制御部5は、書き込むべきデータをコンテンツ保護部7へ出力する(ステップS104)。
【0149】
コンテンツ保護部7にデータが入力されると(ステップS105)、現在再生中のディスクから取得された鍵を用いて、入力されたデータを暗号化し(ステップS106)、暗号化されたデータを、ストレージ制御部5へ出力する(ステップS107)。
【0150】
ストレージ制御部5に暗号化されたデータが入力されると(ステップS108)、ストレージ制御部5は、暗号化されたデータのファイル名(データファイル名)と、暗号化を行ったコンテンツ保護部7の識別子とを1組とするレコードを記憶装置6に設けられた管理テーブルに記録する(ステップS109)。さらに、記憶装置6に暗号化されたデータ(データファイル)を記憶装置6に記憶する(ステップS110)。
【0151】
ここで、管理テーブルに記録されるレコードは、図11の場合と同様の形式とし、暗号化を行った主体がサーバか、コンテンツ保護部7かを示す識別子を書き込むことで、コンテンツ再生装置は、図11及び図12に示すようなストレージ制御と図16及び図17のストレージ制御との両方を行える。コンテンツ再生装置が図11と図16のうち図16に示すようなストレージ制御のみを行う場合には、コンテンツ保護部7の識別子を管理テーブルに記録する必要はなくなる。
【0152】
次に、コンテンツ再生装置100で、ディスク上のコンテンツを再生しているときに、図16に示したようにして、記憶装置6に記憶されたデータに対し、データ読み出し要求が発生した場合について、図17に示すフローチャートを参照して説明する。なお、図17において、図12と同一部分には同一符号を付し、異なる部分について説明する。
【0153】
図17では、ネットワークへアクセスする必要がないため、図12のステップS124、ステップS125は省略されている。すなわち、図17において、データ読み出し要求が発生すると(ステップS121)、ストレージ制御部5が、管理テーブルから、読み出すべきデータファイル名に対応するコンテンツ保護装置の識別子を取得し(ステップS122)、記憶装置6から、当該データファイル名のデータファイルを読み出す(ステップS123)。この場合、管理テーブルから取得されたのが、コンテンツ保護部7の識別子であることから、ストレージ制御部5は、読み出したデータファイル内の暗号化データを、コンテンツ保護部7へ出力する(ステップS126)。
【0154】
コンテンツ保護部7に、暗号化データが入力されると(ステップS127)、コンテンツ保護部7は、現在再生中のディスクから取得した鍵と、図16のステップS106で暗号化を行ったときと同じ暗号方式を用いて復号する(ステップS128)。復号に成功した場合には(ステップS129)、復号結果「OK」とともに、復号されたデータをストレージ制御部5へ出力し(ステップS130)、復号に失敗した場合には(ステップS129)、照合結果「NG」をストレージ制御部5へ出力する(ステップS131)。
【0155】
ストレージ制御部5に復号結果が入力されると(ステップS132)、ストレージ制御部5は、復号結果が「OK」の場合は(ステップS133)、復号されたデータを再生・実行制御部3へ出力する(ステップS134)。ストレージ制御部5は、復号結果が「NG」の場合は(ステップS133)、記憶装置6から読み出されたデータファイル内のデータを廃棄して、「読み出し不可」を示すメッセージを再生・実行制御部3へ出力する(ステップS135)。
【0156】
以上説明した、ストレージ制御部5とサーバによるストレージ制御、ストレージ制御部5とコンテンツ保護部7によるストレージ制御では、記憶装置6に記憶されたデータを読み出す際に当該データの証明書を用いて認証を行う場合と、記憶装置6に記憶するデータを暗号化する場合について説明したが、これらを組み合わせて、ストレージ制御を行うこともできる。
【0157】
例えば、記憶装置6に任意のデータを書き込む場合には、ストレージ制御部5は、当該データと、当該データのハッシュ値とをサーバあるいはコンテンツ保護部7に渡す。サーバあるいはコンテンツ保護部7では、受け取ったハッシュ値を暗号化して証明書を生成するとともに、受け取ったデータを暗号化し、生成された証明書と暗号化データをストレージ制御部5へ返す。ストレージ制御部5は、受け取った証明書と暗号化データを記憶装置6へ記憶する。
【0158】
記憶装置6からデータを読み出す場合には、ストレージ制御部5は、記憶装置6に記憶されている暗号化データと証明書を読み出し、サーバあるいはコンテンツ保護部7へ渡す。コンテンツ保護部7は、暗号化データを復号した後、ハッシュ値を計算し、さらに、そのハッシュ値を暗号化する。サーバあるいはコンテンツ保護部7は、この暗号化されたハッシュ値と証明書を照合し、両者が一致した場合には、復号されたデータをストレージ制御部5へ返す。ストレージ制御部5は、受け取ったデータを再生・実行制御部3へ出力する。
【0159】
なお、以上の説明において、随所にハッシュ値を用いているが、ハッシュ値は、与えられたデータから生成される識別情報であり、生成された識別情報からは原文を推定することができないようになっている。
【0160】
また、記憶装置6は、ハードディスク、メモリーカードなどの着脱可能な記録媒体、ネットワーク上の設けられた任意の記憶装置など、特に限定するものではない。
【0161】
接続先管理部21は、ディスク検出部11でディスクの挿入が検出されたときに、当該ディスクの特定領域からドメイン名を読み出し、接続先管理テーブルに当該ドメイン名を記憶するが、その後、ディスク検出部11が当該ディスクの取り出しを検出したら、接続先管理部21は、接続先管理テーブルから、当該ドメイン名を削除する。また、当該ディスクがコンテンツ再生装置100に挿入されている間に、ネットワーク接続要求が検知されて、接続先管理テーブルに記憶されているドメイン名に対応するサーバへ接続した後、何らかの理由で、当該サーバとの間の通信が切断した場合には、接続先管理テーブルから、ドメイン名を削除する。さらに、接続先管理テーブルに記憶されているサーバ認証フラグ及びディスク認証フラグが「1」であるときには、それらを「0」に書き換えてもよい。
【0162】
上記実施形態によれば、コンテンツ再生装置にディスクが挿入されたとき、当該ディスクの予め定められた特定の記憶領域からネットワーク上のサーバを示す識別子(ドメイン名)を読み出して、接続先管理テーブルに記憶し、当該ディスクに記憶されている、映像・音声データ及びプログラムを含むコンテンツデータの再生・実行中にネットワーク上の任意のサーバへの接続要求が検知された場合には、当該任意のサーバの識別子(ドメイン名)と接続先管理テーブルに記憶されたドメイン名とが一致し、且つ接続先管理テーブルに記憶されたドメイン名に対応するサーバの正当性が確認され、且つ上記ディスクの正当性が確認されたとき、接続先管理テーブルに記憶されたドメイン名に対応するサーバへ接続する。このような構成のコンテンツ再生装置によれば、改竄されたコンテンツデータを記録したディスクの実行・再生を回避し、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを、ディスク上の特定領域に記憶されたドメイン名に対応するサーバに限定することができる。
【0163】
ネットワーク上のサーバおよびディスクの正当性を検証するため、ディスク上のコンテンツに関連した映像情報を、インターネットを介して安心して取得、再生することが可能となる。また、接続できるサーバを限定することで、悪意を持って作成された危険なコンテンツが不特定多数のサーバへ接続することができなくなるため、DDoS攻撃の踏み台となることを避けることができる。このため、危険なコンテンツを再生することによる被害を回避するだけでなく、他のサーバへの攻撃の加害者となることも回避できる。
【0164】
本発明の実施の形態に記載した本発明の手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フレキシブルディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【0165】
例えば、映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、予め定められた特定の記憶領域に、ネットワーク上のサーバを示す識別子を記憶する記録媒体に記憶されたコンテンツデータを再生・実行する再生・実行手段(ディスク制御部1、再生・実行制御部3)、記憶手段、通信部4を備えたコンピュータに、ネットワークアクセス制御部2、ストレージ制御部6、コンテンツ保護部7の機能を実現させるためのプログラムを、当該コンピュータが実行することにより、図1のコンテンツ再生装置が実現可能である。
【0166】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0167】
【図1】本発明の実施形態に係るコンテンツ再生装置の構成例を示した図。
【図2】サーバ認証処理動作(ディスク挿入時に行うサーバ認証)を説明するためのフローチャート。
【図3】サーバ認証に用いられる認証手順の一例を示した図。
【図4】ディスク認証処理動作を説明するためのフローチャート。
【図5】他のディスク認証処理動作を説明するためのフローチャート。
【図6】他のサーバ認証処理動作(ネットワーク接続要求が発生したときに行うサーバ認証)を説明するためのフローチャート。
【図7】さらに他のサーバ認証処理動作(ネットワーク接続要求が発生したときに行うサーバ認証)を説明するためのフローチャート。
【図8】ディスク再生時にネットワーク接続要求が発生したときのコンテンツ再生装置の処理動作を説明するためのフローチャート。
【図9】ストレージ制御部とサーバによるストレージ制御処理(データ書き込み要求が発生したときのコンテンツ再生装置とサーバの処理動作)を説明するためのフローチャート。
【図10】ストレージ制御部とサーバによるストレージ制御処理(データ読み出し要求が発生したときのコンテンツ再生装置とサーバの処理動作)を説明するためのフローチャート。
【図11】ストレージ制御部とサーバによる他のストレージ制御処理(データ書き込み要求が発生したときのコンテンツ再生装置とサーバの処理動作)を説明するためのフローチャート。
【図12】ストレージ制御部とサーバによる他のストレージ制御処理(データ読み出し要求が発生したときのコンテンツ再生装置とサーバの処理動作)を説明するためのフローチャート。
【図13】コンテンツ再生装置の他の構成例を示した図。
【図14】ストレージ制御部とコンテンツ保護部によるストレージ制御(データ書き込み要求が発生したときのストレージ制御部とコンテンツ保護部の処理動作)を説明するためのフローチャート。
【図15】ストレージ制御部とコンテンツ保護部によるストレージ制御(データ読み出し要求が発生したときのストレージ制御部とコンテンツ保護部の処理動作)を説明するためのフローチャート。
【図16】ストレージ制御部とコンテンツ保護部による他のストレージ制御(データ書き込み要求が発生したときのストレージ制御部とコンテンツ保護部の処理動作)を説明するためのフローチャート。
【図17】ストレージ制御部とコンテンツ保護部による他のストレージ制御(データ読み出し要求が発生したときのストレージ制御部とコンテンツ保護部の処理動作)を説明するためのフローチャート。
【図18】接続先管理部に記憶されている接続先管理テーブルの一例を示した図。
【符号の説明】
【0168】
1…ディスク制御部、2ネットワークアクセス制御部、3…再生・実行制御部、4…通信部、5…ストレージ制御部、6…記憶装置、7…コンテンツ保護部、11…ディスク検出部、12…ディスク読み出し部、21…接続先管理部、22…接続先検証部、23…サーバ認証部、24…ディスク認証部、100…コンテンツ再生装置、101…サーバ。
【特許請求の範囲】
【請求項1】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセス許可するサーバを示す識別子を読み出す読出手段と、
読み出された前記識別子を記憶する記憶手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と前記記憶手段で記憶された識別子とが一致するか否かを検証する識別子検証手段と、
前記記憶手段で記憶された識別子に対応するサーバの正当性を検証するサーバ検証手段と、
前記記憶手段で記憶された識別子に対応するサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う通信手段と、
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項2】
前記通信手段は、
前記記憶手段で記憶された識別子に対応するサーバで前記記録媒体の正当性を検証するために、当該サーバにより指定された前記記録媒体上の記憶領域から読み出されたデータから、当該データの識別情報を生成する生成手段と、
前記識別情報を前記記憶手段で記憶された識別子に対応するサーバへ送信する送信手段と、
前記記憶手段で記憶された識別子に対応するサーバから、前記記録媒体の検証結果を受信する受信手段と、
を含むことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項3】
前記読出手段は、前記コンテンツ再生装置に前記記録媒体が挿入されたときに、当該記録媒体から前記識別子を読み出すことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項4】
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致したとき、前記サーバ検証手段で前記記憶手段で記憶された識別子に対応するサーバの正当性を検証し、前記記憶手段で記憶された識別子に対応するサーバの正当性が検証されたとき、前記記録媒体の正当性が検証されることを特徴とする請求項1記載のコンテンツ再生装置。
【請求項5】
前記サーバ検証手段で前記記憶手段で記憶された識別子に対応するサーバの正当性が検証されたとき、前記記録媒体の正当性が検証されることを特徴とする請求項1記載のコンテンツ再生装置。
【請求項6】
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記記憶手段で記憶された識別子に対応するサーバは、前記記録媒体に記憶されているコンテンツデータに対し、予め定められた特定のサーバであることを特徴とする請求項1記載のコンテンツ再生装置。
【請求項7】
前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証された後、前記接続要求が検知された場合には、前記接続手段は、前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致したときに、前記記憶手段で記憶された識別子に対応するサーバへ接続することを特徴とする請求項1記載のコンテンツ再生装置。
【請求項8】
前記記憶手段で記憶された識別子に対応するサーバにより指定された前記記録媒体上の記憶領域は、前記プログラムが記憶されている記憶領域であることを特徴とする請求項2記載のコンテンツ再生装置。
【請求項9】
前記生成手段は、前記記憶手段で記憶された識別子に対応するサーバから送信されたデータ系列及び当該サーバにより指定された前記記録媒体上の記憶領域から読み出されたデータを基に、前記識別情報を生成することを特徴とする請求項2記載のコンテンツ再生装置。
【請求項10】
前記再生・実行手段で前記コンテンツデータの再生・実行中に任意のデータに対する書き込み要求を検知する第1の検知手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記任意のデータの識別情報を生成する手段と、
前記識別情報を暗号化することにより、前記任意のデータの証明書を生成する手段と、
前記任意のデータ及び前記証明書を記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項11】
前記再生・実行手段で前記コンテンツデータの再生・実行中に前記記憶装置に記憶されたデータに対する読み出し要求を検知する第2の検知手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記記憶装置から前記データ及び前記証明書を読み出す手段と、
読み出されたデータの識別情報を生成する手段と、
前記識別情報を暗号化する手段と、
暗号化された識別情報と前記証明書が一致するとき、前記読み出されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項10記載のコンテンツ再生装置。
【請求項12】
前記再生・実行手段で前記コンテンツデータの再生・実行中に任意のデータに対する書き込み要求を検知する第1の検知手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記任意のデータを暗号化することにより暗号化データを生成する手段と、
前記暗号化データを記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項13】
前記再生・実行手段で前記コンテンツデータの再生・実行中に前記記憶装置に記憶された暗号化データに対する読み出し要求を検知する第2の検知手段と、
前記第3の検知手段で前記読み出し要求が検知されたとき、前記記憶装置から前記暗号化データを読み出す手段と、
読み出された暗号化データを復号する手段と、
復号されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項12記載のコンテンツ再生装置。
【請求項14】
前記再生・実行手段で前記コンテンツデータの再生・実行中に任意のデータに対する書き込み要求を検知する第1の検知手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記任意のデータの識別情報を生成する手段と、
前記記憶手段で記憶された識別子に対応するサーバへ、前記識別情報を送信する手段と、
前記記憶手段で記憶された識別子に対応するサーバから、前記識別情報を基に生成された前記任意のデータの証明書を受信する手段と、
前記任意のデータ及び前記証明書を記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項15】
前記再生・実行手段で前記コンテンツデータの再生・実行中に前記記憶装置に記憶されたデータに対する読み出し要求を検知する第2の検知手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記記憶装置から前記データ及び前記証明書を読み出す手段と、
読み出されたデータの識別情報を生成する手段と、
前記記憶手段で記憶された識別子に対応するサーバへ、前記識別情報及び前記証明書を送信する手段と、
前記記憶手段で記憶された識別子に対応するサーバから、前記識別情報の検証結果を受信する手段と、
前記識別情報が正当である旨の検証結果を受信したとき、前記読み出されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項14記載のコンテンツ再生装置。
【請求項16】
前記再生・実行手段で前記コンテンツデータの再生・実行中に任意のデータに対する書き込み要求を検知する第1の検知手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記記憶手段で記憶された識別子に対応するサーバへ前記任意のデータを送信する手段と、
前記記憶手段で記憶された識別子に対応するサーバから、暗号化データを受信する手段と、
前記暗号化データを記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項17】
前記再生・実行手段で前記コンテンツデータの再生・実行中に前記記憶装置に記憶された暗号化データに対する読み出し要求を検知する第2の検知手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記記憶装置から前記暗号化データを読み出す手段と、
前記記憶手段で記憶された識別子に対応するサーバへ、読み出された暗号化データを送信する手段と、
前記記憶手段で記憶された識別子に対応するサーバから、復号されたデータを受信する手段と、
受信したデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項16記載のコンテンツ再生装置。
【請求項18】
前記受信手段は、前記記録媒体の正当性が検証されたことを示す通知とともに、前記記録媒体の正当性の有効期間を、前記記憶手段で記憶された識別子に対応するサーバから受信し、
前記有効期間が経過した場合と、予め定められたユーザ操作が行われた場合に、前記通信手段は、前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行うことを特徴とする請求項2記載のコンテンツ再生装置。
【請求項19】
前記受信手段は、前記記録媒体の正当性が検証されたことを示す通知とともに、前記コンテンツ再生装置の識別情報を、前記記憶手段で記憶された識別子に対応するサーバから受信して、当該識別情報を前記記憶手段に記憶し、
前記接続手段は、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続する際には、前記コンテンツ再生装置の識別情報を当該サーバへ送信することを特徴とする請求項2記載のコンテンツ再生装置。
【請求項20】
前記受信手段は、前記記録媒体の正当性が検証されたことを示す通知とともに、前記コンテンツ再生装置の識別情報及び前記記録媒体の正当性の有効期間を、前記記憶手段で記憶された識別子に対応するサーバから受信し、
前記有効期間が経過した場合と、予め定められたユーザ操作が行われた場合に、前記記憶手段から前記コンテンツ再生装置の識別情報を削除することを特徴とする請求項19記載のコンテンツ再生装置。
【請求項21】
前記通信手段は、前記記録媒体の正当性が検証された後、一定の周期で、あるいは不定期に、前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行うことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項22】
前記接続手段は、前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記書き込み要求を受けて前記記憶手段で記憶された識別子に対応するサーバへ接続することを特徴とする請求項14または16記載のコンテンツ再生装置。
【請求項23】
前記接続手段は、前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記読み出し要求を受けて前記記憶手段で記憶された識別子に対応するサーバへ接続することを特徴とする請求項15または17記載のコンテンツ再生装置。
【請求項24】
前記証明書の生成されないデータの前記記憶装置への書き込みを許可する旨のフラグを記憶する手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記許可する旨のフラグが記憶されている場合には、前記任意のデータを前記記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項14記載のコンテンツ再生装置。
【請求項25】
前記証明書を用いた検証を行わないで読み出しを許可する旨のフラグを記憶する手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記許可する旨のフラグが記憶されている場合には、前記記憶装置から読み出されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項15記載のコンテンツ再生装置。
【請求項26】
暗号化されていないデータの前記記憶装置への書き込みを許可する旨のフラグを記憶する手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記許可する旨のフラグが記憶されている場合には、前記任意のデータを前記記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項16記載のコンテンツ再生装置。
【請求項27】
復号を行わないで読み出しを許可する旨のフラグを記憶する手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記許可する旨のフラグが記憶されている場合には、前記記憶装置から読み出されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項17記載のコンテンツ再生装置。
【請求項28】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する第1のステップと、
前記記録媒体から前記アクセス許可するサーバを示す識別子を読み出す第2のステップと、
読み出された前記識別子を記憶手段で記憶する第3のステップと、
前記第1のステップで再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と前記記憶手段で記憶された識別子とが一致するか否かを検証する第4のステップと、
前記記憶手段で記憶された識別子に対応するサーバの正当性を検証する第5のステップと、
前記記憶手段で記憶された識別子に対応するサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う第6のステップと、
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続する第7のステップと、
を有すること特徴とするコンテンツ再生方法。
【請求項29】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段を備えたコンピュータに、
前記記録媒体から前記識別子を読み出す第1のステップと、
前記第1のステップで読み出された前記識別子を前記記憶手段で記憶する第2のステップと、
前記再生・実行手段で前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と前記記憶手段で記憶された識別子とが一致するか否かを検証する第3のステップと、
前記記憶手段で記憶された識別子に対応するサーバの正当性を検証する第4のステップと、
前記記憶手段で記憶された識別子に対応するサーバにおいて、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う第5のステップと、
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続する第6のステップと、
実行させるためのプログラム。
【請求項1】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセス許可するサーバを示す識別子を読み出す読出手段と、
読み出された前記識別子を記憶する記憶手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と前記記憶手段で記憶された識別子とが一致するか否かを検証する識別子検証手段と、
前記記憶手段で記憶された識別子に対応するサーバの正当性を検証するサーバ検証手段と、
前記記憶手段で記憶された識別子に対応するサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う通信手段と、
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項2】
前記通信手段は、
前記記憶手段で記憶された識別子に対応するサーバで前記記録媒体の正当性を検証するために、当該サーバにより指定された前記記録媒体上の記憶領域から読み出されたデータから、当該データの識別情報を生成する生成手段と、
前記識別情報を前記記憶手段で記憶された識別子に対応するサーバへ送信する送信手段と、
前記記憶手段で記憶された識別子に対応するサーバから、前記記録媒体の検証結果を受信する受信手段と、
を含むことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項3】
前記読出手段は、前記コンテンツ再生装置に前記記録媒体が挿入されたときに、当該記録媒体から前記識別子を読み出すことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項4】
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致したとき、前記サーバ検証手段で前記記憶手段で記憶された識別子に対応するサーバの正当性を検証し、前記記憶手段で記憶された識別子に対応するサーバの正当性が検証されたとき、前記記録媒体の正当性が検証されることを特徴とする請求項1記載のコンテンツ再生装置。
【請求項5】
前記サーバ検証手段で前記記憶手段で記憶された識別子に対応するサーバの正当性が検証されたとき、前記記録媒体の正当性が検証されることを特徴とする請求項1記載のコンテンツ再生装置。
【請求項6】
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記記憶手段で記憶された識別子に対応するサーバは、前記記録媒体に記憶されているコンテンツデータに対し、予め定められた特定のサーバであることを特徴とする請求項1記載のコンテンツ再生装置。
【請求項7】
前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証された後、前記接続要求が検知された場合には、前記接続手段は、前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致したときに、前記記憶手段で記憶された識別子に対応するサーバへ接続することを特徴とする請求項1記載のコンテンツ再生装置。
【請求項8】
前記記憶手段で記憶された識別子に対応するサーバにより指定された前記記録媒体上の記憶領域は、前記プログラムが記憶されている記憶領域であることを特徴とする請求項2記載のコンテンツ再生装置。
【請求項9】
前記生成手段は、前記記憶手段で記憶された識別子に対応するサーバから送信されたデータ系列及び当該サーバにより指定された前記記録媒体上の記憶領域から読み出されたデータを基に、前記識別情報を生成することを特徴とする請求項2記載のコンテンツ再生装置。
【請求項10】
前記再生・実行手段で前記コンテンツデータの再生・実行中に任意のデータに対する書き込み要求を検知する第1の検知手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記任意のデータの識別情報を生成する手段と、
前記識別情報を暗号化することにより、前記任意のデータの証明書を生成する手段と、
前記任意のデータ及び前記証明書を記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項11】
前記再生・実行手段で前記コンテンツデータの再生・実行中に前記記憶装置に記憶されたデータに対する読み出し要求を検知する第2の検知手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記記憶装置から前記データ及び前記証明書を読み出す手段と、
読み出されたデータの識別情報を生成する手段と、
前記識別情報を暗号化する手段と、
暗号化された識別情報と前記証明書が一致するとき、前記読み出されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項10記載のコンテンツ再生装置。
【請求項12】
前記再生・実行手段で前記コンテンツデータの再生・実行中に任意のデータに対する書き込み要求を検知する第1の検知手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記任意のデータを暗号化することにより暗号化データを生成する手段と、
前記暗号化データを記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項13】
前記再生・実行手段で前記コンテンツデータの再生・実行中に前記記憶装置に記憶された暗号化データに対する読み出し要求を検知する第2の検知手段と、
前記第3の検知手段で前記読み出し要求が検知されたとき、前記記憶装置から前記暗号化データを読み出す手段と、
読み出された暗号化データを復号する手段と、
復号されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項12記載のコンテンツ再生装置。
【請求項14】
前記再生・実行手段で前記コンテンツデータの再生・実行中に任意のデータに対する書き込み要求を検知する第1の検知手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記任意のデータの識別情報を生成する手段と、
前記記憶手段で記憶された識別子に対応するサーバへ、前記識別情報を送信する手段と、
前記記憶手段で記憶された識別子に対応するサーバから、前記識別情報を基に生成された前記任意のデータの証明書を受信する手段と、
前記任意のデータ及び前記証明書を記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項15】
前記再生・実行手段で前記コンテンツデータの再生・実行中に前記記憶装置に記憶されたデータに対する読み出し要求を検知する第2の検知手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記記憶装置から前記データ及び前記証明書を読み出す手段と、
読み出されたデータの識別情報を生成する手段と、
前記記憶手段で記憶された識別子に対応するサーバへ、前記識別情報及び前記証明書を送信する手段と、
前記記憶手段で記憶された識別子に対応するサーバから、前記識別情報の検証結果を受信する手段と、
前記識別情報が正当である旨の検証結果を受信したとき、前記読み出されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項14記載のコンテンツ再生装置。
【請求項16】
前記再生・実行手段で前記コンテンツデータの再生・実行中に任意のデータに対する書き込み要求を検知する第1の検知手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記記憶手段で記憶された識別子に対応するサーバへ前記任意のデータを送信する手段と、
前記記憶手段で記憶された識別子に対応するサーバから、暗号化データを受信する手段と、
前記暗号化データを記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項17】
前記再生・実行手段で前記コンテンツデータの再生・実行中に前記記憶装置に記憶された暗号化データに対する読み出し要求を検知する第2の検知手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記記憶装置から前記暗号化データを読み出す手段と、
前記記憶手段で記憶された識別子に対応するサーバへ、読み出された暗号化データを送信する手段と、
前記記憶手段で記憶された識別子に対応するサーバから、復号されたデータを受信する手段と、
受信したデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項16記載のコンテンツ再生装置。
【請求項18】
前記受信手段は、前記記録媒体の正当性が検証されたことを示す通知とともに、前記記録媒体の正当性の有効期間を、前記記憶手段で記憶された識別子に対応するサーバから受信し、
前記有効期間が経過した場合と、予め定められたユーザ操作が行われた場合に、前記通信手段は、前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行うことを特徴とする請求項2記載のコンテンツ再生装置。
【請求項19】
前記受信手段は、前記記録媒体の正当性が検証されたことを示す通知とともに、前記コンテンツ再生装置の識別情報を、前記記憶手段で記憶された識別子に対応するサーバから受信して、当該識別情報を前記記憶手段に記憶し、
前記接続手段は、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続する際には、前記コンテンツ再生装置の識別情報を当該サーバへ送信することを特徴とする請求項2記載のコンテンツ再生装置。
【請求項20】
前記受信手段は、前記記録媒体の正当性が検証されたことを示す通知とともに、前記コンテンツ再生装置の識別情報及び前記記録媒体の正当性の有効期間を、前記記憶手段で記憶された識別子に対応するサーバから受信し、
前記有効期間が経過した場合と、予め定められたユーザ操作が行われた場合に、前記記憶手段から前記コンテンツ再生装置の識別情報を削除することを特徴とする請求項19記載のコンテンツ再生装置。
【請求項21】
前記通信手段は、前記記録媒体の正当性が検証された後、一定の周期で、あるいは不定期に、前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行うことを特徴とする請求項1記載のコンテンツ再生装置。
【請求項22】
前記接続手段は、前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記書き込み要求を受けて前記記憶手段で記憶された識別子に対応するサーバへ接続することを特徴とする請求項14または16記載のコンテンツ再生装置。
【請求項23】
前記接続手段は、前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記読み出し要求を受けて前記記憶手段で記憶された識別子に対応するサーバへ接続することを特徴とする請求項15または17記載のコンテンツ再生装置。
【請求項24】
前記証明書の生成されないデータの前記記憶装置への書き込みを許可する旨のフラグを記憶する手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記許可する旨のフラグが記憶されている場合には、前記任意のデータを前記記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項14記載のコンテンツ再生装置。
【請求項25】
前記証明書を用いた検証を行わないで読み出しを許可する旨のフラグを記憶する手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記許可する旨のフラグが記憶されている場合には、前記記憶装置から読み出されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項15記載のコンテンツ再生装置。
【請求項26】
暗号化されていないデータの前記記憶装置への書き込みを許可する旨のフラグを記憶する手段と、
前記第1の検知手段で前記書き込み要求が検知されたとき、前記許可する旨のフラグが記憶されている場合には、前記任意のデータを前記記憶装置に記憶する手段と、
をさらに具備したことを特徴とする請求項16記載のコンテンツ再生装置。
【請求項27】
復号を行わないで読み出しを許可する旨のフラグを記憶する手段と、
前記第2の検知手段で前記読み出し要求が検知されたとき、前記許可する旨のフラグが記憶されている場合には、前記記憶装置から読み出されたデータを前記再生・実行手段へ出力する手段と、
をさらに具備したことを特徴とする請求項17記載のコンテンツ再生装置。
【請求項28】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する第1のステップと、
前記記録媒体から前記アクセス許可するサーバを示す識別子を読み出す第2のステップと、
読み出された前記識別子を記憶手段で記憶する第3のステップと、
前記第1のステップで再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と前記記憶手段で記憶された識別子とが一致するか否かを検証する第4のステップと、
前記記憶手段で記憶された識別子に対応するサーバの正当性を検証する第5のステップと、
前記記憶手段で記憶された識別子に対応するサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う第6のステップと、
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続する第7のステップと、
を有すること特徴とするコンテンツ再生方法。
【請求項29】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段を備えたコンピュータに、
前記記録媒体から前記識別子を読み出す第1のステップと、
前記第1のステップで読み出された前記識別子を前記記憶手段で記憶する第2のステップと、
前記再生・実行手段で前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と前記記憶手段で記憶された識別子とが一致するか否かを検証する第3のステップと、
前記記憶手段で記憶された識別子に対応するサーバの正当性を検証する第4のステップと、
前記記憶手段で記憶された識別子に対応するサーバにおいて、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う第5のステップと、
前記プログラムに含まれるサーバの識別子と前記記憶手段で記憶された識別子とが一致し、且つ前記記憶手段で記憶された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記記憶手段で記憶された識別子に対応するサーバへ接続する第6のステップと、
実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2006−209705(P2006−209705A)
【公開日】平成18年8月10日(2006.8.10)
【国際特許分類】
【出願番号】特願2005−24584(P2005−24584)
【出願日】平成17年1月31日(2005.1.31)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成18年8月10日(2006.8.10)
【国際特許分類】
【出願日】平成17年1月31日(2005.1.31)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]