デジタル著作権管理のための情報処理装置
【課題】デジタルコンテンツのライセンス配信に用いる公開鍵証明書の管理・運用を簡単にし、デジタル著作権管理を改善する。
【解決手段】ライセンス配信サーバ204は、公開鍵証明書と秘密鍵の情報を活性化情報207として、クライアントモジュール206とは別に、クライアント端末201に配信する。そして、公開鍵証明書が危殆化した場合、活性化情報207のみを再度配信する。また、ライセンス配信サーバ204は、要求されたコンテンツおよび要求者に対応する許諾条件を記述したアクセス制御リストが複数存在する場合、1つのアクセス制御リストを選択して個別ライセンスを生成し、クライアント端末201に配信する。
【解決手段】ライセンス配信サーバ204は、公開鍵証明書と秘密鍵の情報を活性化情報207として、クライアントモジュール206とは別に、クライアント端末201に配信する。そして、公開鍵証明書が危殆化した場合、活性化情報207のみを再度配信する。また、ライセンス配信サーバ204は、要求されたコンテンツおよび要求者に対応する許諾条件を記述したアクセス制御リストが複数存在する場合、1つのアクセス制御リストを選択して個別ライセンスを生成し、クライアント端末201に配信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子機密文書等のデジタルコンテンツの登録から配信までを管理し、配信されたコンテンツの閲覧、保存、編集、コピー等の操作を制御する技術に係り、デジタル著作権管理(Digital Rights Management ,DRM)技術を用いてデジタルコンテンツを安全に管理するための情報処理装置に関する。
【背景技術】
【0002】
インターネット上におけるデジタルコンテンツの著作権保護の問題に対処する技術として、DRM技術が知られている。DRM技術とは、一般的には、デジタルコンテンツを保護し、コンテンツの配布および管理を行う技術である。ただし、本明細書で用いるDRM技術は、以下のようなものを指している。
・コンテンツを暗号化し、コンテンツに対する許諾条件とコンテンツの復号鍵をライセンスに格納しておく。
・利用者は、コンテンツを利用するときに、暗号化コンテンツをコンテンツサーバからダウンロードし、ライセンス配信サーバからライセンスをダウンロードした後、そのライセンスの許諾条件に従ってコンテンツを使用する。
【0003】
DRM技術を用いて電子文書を管理する上で、ライセンスの配信制御と、利用者ごとの個別ライセンスを生成する仕組みについては、先願の「機密コンテンツ管理方法」(特願2003−095723)に記載されている。
【0004】
また、本願の発明者が考案に関与したDRM技術の方式であるUDAC(Universal Distribution with Access Control)を開示した技術論文(非特許文献1参照)には、UDACの音楽コンテンツの適用事例等が記載されている。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】穴澤建明、武村浩司、常広隆司、長谷部高行、畠山卓久、“コンテンツ保護の柔靭化を実現した開放型超流通基盤”、[online]、情報処理学会研究会報告 EIP14−5、2001年11月、[平成16年2月4日検索]、インターネット<URL:http://www.keitaide-music.org/pdf/EIP14-5.pdf >
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上述した従来のコンテンツ管理方法には以下のような問題がある。
(1)DRMによるコンテンツ管理システムでは、ライセンスを配信するときに、クライアント−サーバ間の通信に公開鍵基盤(Public Key Infrastructure ,PKI)に基づく公開鍵証明書を利用している。その公開鍵証明書の管理・運用にあたっては、認証局(Certificate Authority ,CA)を導入する必要がある。高いセキュリティ強度の維持を要求するシステムは、厳格な認証局を利用し、顧客のセキュリティドメインごとにクライアントモジュールを耐攻撃モジュール(Tamper Resistant Module ,TRM)化する必要がある。しかし、現在では、セキュリティ強度が多少落ちても、簡易認証局を利用して手軽かつ安価にDRMを運用したいという要望の方が多い。
【0007】
また、開発元は、クライアントモジュール内にあらかじめクラス公開鍵証明書とそれに対応する秘密鍵を埋め込んだ状態で、クライアントモジュールをTRM化し出荷している。この形態では、クラス公開鍵証明書が危殆化した場合、もう一度開発元がクライアントモジュールを作り直さなければならず、利用者は、クライアントモジュールをインストールし直さなければならない。
(2)各利用者に配信されるライセンスは、ライセンス配信サーバがアクセス制御リスト(Access Control List ,ACL)を参照して個別に生成する。ライセンスはグループや利用者単位で設定されており、具体的には、グループAにはコンテンツの印刷を許諾し、グループBには印刷を禁止する等の許諾条件が設定される。このような状況の中で、利用者が1つ以上のグループに所属している場合があり、その利用者に対してどの許諾条件のライセンスを配信すべきかを決めなければならない。
(3)クライアント端末にダウンロードされたライセンスを、ある限られた別のクライアント端末に渡す制御は実現されていない。
(4)図46に示すように、保護対象となるコンテンツに対してクライアント端末11でどのような操作が行われたかを示す操作ログ13は、クライアント端末11により管理され、適切なタイミングでログ管理サーバ12に送信されて、ログデータ14として管理される。しかし、クライアント側でログを管理すると、改ざん等を容易に行うことが可能である。また、改ざん防止等の処置をとろうとするとコストがかかってしまい、実施するのは難しい。
(5)ライセンス配信サーバは、1回のライセンス要求に対して1つのコンテンツに対する許諾条件しか配信することができない。そのため、複数のコンテンツを利用するとき、クライアント端末は、ライセンス配信サーバに複数回のライセンス要求を行わなければならない。
(6)クライアント端末によるライセンスの取得時に、DRMによるコンテンツ保護システムで認証された端末かどうかをライセンス配信サーバに知らせる仕組みがないので、認証されていないクライアント端末にまでライセンスが配信されてしまう。
(7)クライアント端末が、同一コンテンツに対して複数の許諾条件を格納しているライセンスを受信した場合、その中から1つの許諾条件を選択する方法がないため、受信したライセンスを利用することができない。
(8)DRMで保護されたコンテンツを編集する際に、コンテンツ内のデータの切り取りやコピー等の操作により、共有メモリ(クリップボード)からデータが盗まれてしまう。
【0008】
本発明の第1の課題は、公開鍵証明書が危殆化した場合でもクライアントモジュールの再作成・再インストールを行う必要がなく、公開鍵証明書の管理・運用を簡便に行えるような情報処理装置を提供することである。
【0009】
本発明の第2の課題は、改善されたDRMによるコンテンツ管理を実現する情報処理装置を提供することである。
【課題を解決するための手段】
【0010】
図1は、本発明の第1および第2の情報処理装置の原理図である。図1の情報処理装置は、格納手段101、生成手段102、および送信手段103を備える。第1および第2の情報処理装置は、例えば、後述する図2のライセンス配信サーバ204に対応し、格納手段101、生成手段102、および送信手段103は、例えば、後述する図44のメモリ4402、CPU(中央処理装置)4401、およびネットワーク接続装置4407にそれぞれ対応する。
【0011】
第1の情報処理装置は、暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュール111を、利用者端末に配信する。格納手段101は、暗号鍵を格納し、生成手段102は、公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書およびその公開鍵に対する秘密鍵の情報を、暗号鍵を用いて暗号化して、暗号化情報112を生成する。送信手段103は、暗号化情報112を復号する復号鍵を含み、利用者端末上で起動された後に暗号化情報を復号して、公開鍵証明書および秘密鍵の情報を取得する端末モジュール111と、暗号化情報112とを利用者端末に送信する。
【0012】
生成手段102は、暗号鍵を格納手段101から取り出し、その暗号鍵を用いて公開鍵証明書および秘密鍵の情報を暗号化して暗号化情報112を生成する。送信手段103は、端末モジュール111と生成された暗号化情報112を利用者端末に送信する。利用者端末上で端末モジュール111が起動されると、端末モジュール111は復号鍵を用いて暗号化情報112を復号して、公開鍵証明書および秘密鍵の情報を取得し、その情報を用いてライセンス配信サーバと暗号化通信を行って、ライセンスデータ113を取得する。
【0013】
このように、公開鍵証明書および秘密鍵の情報を端末モジュール111とは別に配信しておけば、利用者端末上で公開鍵証明書が危殆化した場合でも、新たな公開鍵証明書および秘密鍵の情報を含む暗号化情報を再度配信するだけで済む。したがって、端末モジュール111の再作成・再インストールを行う必要がなく、証明書更新のためのコストを低く抑えることができる。
【0014】
端末モジュール111および暗号化情報112は、例えば、図2のクライアントモジュール206および活性化情報207にそれぞれ対応する。また、利用者端末は、例えば、図2のクライアント端末201に対応し、暗号鍵および復号鍵は、例えば、図4のKsおよびKm3に対応し、公開鍵証明書および秘密鍵は、例えば、図4のCciおよびKci(i=1,2,...,n)に対応する。
【0015】
第2の情報処理装置は、利用者端末からデジタルコンテンツに対するアクセス要求を受信し、デジタルコンテンツにアクセスするためのライセンスデータを応答として利用者端末に配信する。格納手段101は、デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した複数のアクセス制御リストを格納する。生成手段102は、それらのアクセス制御リストの中から、アクセス要求に含まれるコンテンツ識別子に対応し、かつ、アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、選択したアクセス制御リストに基づく個別ライセンスデータを生成する。送信手段103は、その個別ライセンスデータを利用者端末に送信する。
【0016】
生成手段102は、格納手段101に格納された複数のアクセス制御リストのうち、アクセス要求のコンテンツ識別子に対応するものを参照し、要求者の利用者識別子に対応するアクセス制御リストを抽出する。そして、得られたアクセス制御リストが複数存在する場合、その中から1つのアクセス制御リストを選択し、選択したアクセス制御リストに基づく個別ライセンスデータを生成する。送信手段103は、生成された個別ライセンスデータを、アクセス要求に対する応答として利用者端末に送信する。
【0017】
このような情報処理装置によれば、要求者が複数のグループに所属しており、要求されたコンテンツに対して適用される許諾条件が複数存在する場合でも、その要求者に対して適用すべき許諾条件を自動的に決定し、ライセンスを配信することができる。
【0018】
本発明の第3の情報処理装置は、格納手段および選択手段を備え、デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、デジタルコンテンツにアクセスするためのライセンスデータを応答としてライセンス配信装置から受信する。格納手段は、デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、ライセンス配信装置から受信したライセンスデータを格納する。選択手段は、ライセンスデータにより指定された選択処理を実行して、それらのアクセス制御リストの中から1つのアクセス制御リストを選択する。
【0019】
選択手段は、ライセンス配信装置から受信して格納手段に格納されたライセンスデータを参照して、指定された選択処理を実行し、ライセンスデータに含まれる複数のアクセス制御リストの中から1つのアクセス制御リストを選択する。
【0020】
このような情報処理装置によれば、同一コンテンツに対して複数の許諾条件を格納しているライセンスを受信した場合でも、所定の選択処理により自動的に1つの許諾条件を選択して、受信したライセンスを利用することができる。
【0021】
第3の情報処理装置は、例えば、図2のクライアント端末201に対応し、格納手段および選択手段は、例えば、図44のメモリ4402およびCPU4401にそれぞれ対応する。また、ライセンス配信装置は、例えば、図2のライセンス配信サーバ204に対応し、選択処理を指定する情報は、例えば、後述する図39のscript_idに対応する。
【発明の効果】
【0022】
本発明によれば、PKIを利用したDRMによるコンテンツ管理システムにおいて、厳格な認証局を利用する場合に比べて、簡便な方法で公開鍵証明書の管理・運用を行うことができる。これにより、PKIの構築およびDRMによるコンテンツ管理システムの開発が容易になる。
【0023】
また、DRMによるコンテンツ管理が以下の点で改善される。
(1)1つ以上のグループに所属している利用者に対して配信すべきライセンスを自動的に決定することができる。
(2)利用者端末が同一コンテンツに対して複数の許諾条件を格納しているライセンスを受信した場合でも、自動的に1つの許諾条件を選択してライセンスを利用することができる。
【図面の簡単な説明】
【0024】
【図1】本発明の情報処理装置の原理図である。
【図2】コンテンツ保護システムの構成図である。
【図3】ライセンスの不正利用を示す図である。
【図4】クライアント活性化機能を示す図である。
【図5】活性化情報生成手順のフローチャートである。
【図6】活性化情報生成処理のフローチャートである。
【図7】活性化情報設定処理のフローチャートである。
【図8】ライセンスのデータ構造を示す図(その1)である。
【図9】ライセンスのデータ構造を示す図(その2)である。
【図10】Acl構造を示す図である。
【図11】ACLEntry構造を示す図(その1)である。
【図12】ACLEntry構造を示す図(その2)である。
【図13】ACLEntry構造を示す図(その3)である。
【図14】Acp構造を示す図(その1)である。
【図15】Acp構造を示す図(その2)である。
【図16】Acp構造を示す図(その3)である。
【図17】Acm構造を示す図(その1)である。
【図18】Acm構造を示す図(その2)である。
【図19】Acm構造を示す図(その3)である。
【図20】ルート公開鍵のハッシュ値を用いた検証処理を示す図である。
【図21】認証方式の第1の比較結果を示す図である。
【図22】第1の優先順位表を示す図である。
【図23】個別ライセンス選択処理のフローチャートである。
【図24】ACLエントリ選択処理のフローチャートである。
【図25】許諾サブジェクトドメインリストによる制御を示す図である。
【図26】オフライン制御を示す図である。
【図27】ICカード認証連携モジュールを示す図である。
【図28】ICカード認証シーケンスを示す図である。
【図29】ICカード認証処理のフローチャートである。
【図30】DecodeInformation構造を示す図である。
【図31】EntrykeyMap型を示す図である。
【図32】暗号化コンテンツの形式を示す図である。
【図33】Content Headerの形式を示す図である。
【図34】Content Informationを示す図である。
【図35】Element Informationを示す図である。
【図36】認識方式条件リストを示す図である。
【図37】論理演算を示す図である。
【図38】認証方式の第2の比較結果を示す図である。
【図39】RightsScriptSpec構造を示す図である。
【図40】第2の優先順位表を示す図である。
【図41】第3の優先順位表を示す図である。
【図42】クライアントモジュールによるACLエントリ選択処理のフローチャートである。
【図43】ライセンスを配信しない期間を示す図である。
【図44】情報処理装置の構成図である。
【図45】記録媒体を示す図である。
【図46】従来のログ管理を示す図である。
【発明を実施するための形態】
【0025】
以下、図面を参照しながら、本発明を実施するための最良の形態を詳細に説明する。
本実施形態のコンテンツ保護システムでは、DRMクライアントモジュールと活性化情報とを別々に生成し、別々に配布する。DRMクライアントモジュールは、ライセンス取得機能と暗号化コンテンツ復号機能を備えたプログラムである。活性化情報は、利用されるクラス公開鍵証明書と、その証明書の公開鍵に対する秘密鍵の情報を含んでおり、DRMクライアントモジュールを活性化してその機能を有効にするために用いられる。
【0026】
利用者は、DRMクライアントモジュールが配布された後、活性化情報を取得し、そのDRMクライアントモジュールが、活性化情報内にあるクラス公開鍵証明書と秘密鍵をDRMクライアントモジュールに自動的にセットする。その後、DRMクライアントモジュールは、ライセンス配信サーバからライセンスを取得するようになる。
【0027】
図2は、このようなコンテンツ保護システムの構成図である。図2のコンテンツ保護システムは、クライアント端末201およびコンテンツ管理システム202からなり、コンテンツ管理システム202は、利用者管理サーバ203、ライセンス配信サーバ204、およびコンテンツサーバ205を含む。クライアント端末201、利用者管理サーバ203、ライセンス配信サーバ204、およびコンテンツサーバ205は、例えば、情報処理装置(コンピュータ)に対応し、通信ネットワークを介して相互に通信することができる。
【0028】
クライアント端末201は、コンテンツを利用する利用者の端末であり、コンテンツサーバ205から暗号化コンテンツをダウンロードし、ライセンス配信サーバ204からライセンスをダウンロードし、そのライセンスの許諾条件に従って暗号化コンテンツを復号する。
【0029】
コンテンツサーバ205は、暗号化コンテンツを格納するデータベースを備え、利用者管理サーバ203は、利用者ごとの認証方式等の管理情報を格納するデータベースを備える。ライセンス配信サーバ204は、ライセンスを格納するデータベースを備え、DRMクライアントモジュールであるクライアントモジュール206と活性化情報207とを別々に生成し、クライアント端末201に配信する。クライアントモジュール206は、復号モジュール208とライセンサエージェント209からなる。
【0030】
クライアント端末201に配信されたライセンサエージェント209は、別に配信された活性化情報207を取得する。その後、ライセンサエージェント209は、ライセンス配信サーバ204からライセンスを取得し、復号モジュール208は、ライセンスを用いて暗号化コンテンツを復号する。
【0031】
ここで、ライセンサエージェント209がどのような活性化情報でも受け付けてしまう場合、悪意のある利用者が偽のライセンス配信サーバを立ち上げて、適当な活性化情報を配信することにより、その利用者が作成した復号モジュールにライセンスが渡り、利用される可能性がある。
【0032】
例えば、図3に示すように、正当なライセンス配信サーバ301がライセンサエージェント303および復号モジュール304をクライアント端末に配信した場合を想定してみる。悪意のない利用者がコンテンツを利用する場合、ライセンサエージェント303は、ライセンス配信サーバ301から活性化情報311を取得した後に、ライセンス313を取得する。
【0033】
しかし、悪意のある利用者が偽の復号モジュール305をクライアント端末に用意し、偽のライセンス配信サーバ302を立ち上げて、偽の活性化情報312を配信すると、ライセンサエージェント303は、ライセンス配信サーバ301から取得したライセンス313を復号モジュール305に渡してしまう可能性がある。
【0034】
そこで、本実施形態では、証明書発行・埋込みを安全かつ自動的に実現する「クライアント活性化機能」を次のように想定する。
(1)ライセンス配信サーバインストール時に次の処理を自動的に実施する。
・認証局秘密鍵と公開鍵証明書のセットを生成し、認証局モジュール内に維持する。
・ライセンス配信サーバに認証局公開鍵証明書を登録する。
(2)「クライアント活性化コマンド(関数)」で次の処理を自動的に実施する。
・クライアントモジュールの秘密鍵と公開鍵のセットを生成する。
・その公開鍵を認証局モジュールに入力し、公開鍵証明書を発行させる。
・指定されたクライアントモジュールに秘密鍵および公開鍵証明書と、認証局公開鍵証明書を埋め込む。
・クライアント名と証明書リストの対応表を管理のために保存する。
(3)「証明書失効コマンド(関数)」で次の処理を自動的に実施する。
・失効する証明書を指定する。
・認証局で従来のCRL(Certificate Revocation List )(失効した証明書のリスト)に指定証明書を追加したCRLを生成する。
・生成したCRLをライセンス配信サーバに設定する。
(4)ユニバーサル公開鍵証明書(Universal Certificate )をクライアント活性化機能に維持し、全世界のDRM間での相互運用も可能にしておく。
【0035】
より具体的には、認証局運用とクライアントを活性化する機能をライセンス配信サーバ管理・運用システムに実装する。クライアントモジュールのTRM化は、証明書発行ごとではなく、クライアントモジュールの提供時とバージョンアップ時にのみ実施する。クライアントモジュール活性化キーの発行は、管理・運用システム上の活性化キー自動発行機能で自動的に実施する。
【0036】
図4は、このようなクライアント活性化機能を実現する構成を示している。ここでは、ライセンス配信サーバ管理・運用システムがライセンス配信サーバ204内に設けられた場合を想定している。ライセンス配信サーバ204は、クライアント活性化モジュール402、認証局モジュール403、および記憶装置404を含み、クライアント端末201は、記憶装置405を含む。
【0037】
図4で用いられる鍵および証明書の表記法は以下の通りである。
{X}K:情報Xが鍵Kで復号できるように暗号化されていることを示す。
Km2:契約鍵。各顧客(コンテンツ登録者、コンテンツ利用者等)に秘密情報を安全に提供するために必要な鍵。公開鍵暗号方式でも対称鍵暗号方式でも可。顧客がライセンス配信サーバ204に設定する。
Cr1:認証局の公開鍵証明書。自己署名付き。
Kci(i=1,2,...,n):DRMクラス秘密鍵。
Cci(i=1,2,...,n):Kciに対応するクラス公開鍵証明書。
Ks:クライアントモジュール活性化キー送信ごとに変更されるセッション鍵。対称鍵暗号方式の鍵。
Km3:クライアントマスター鍵。製造者によりクライアントモジュールに埋め込まれる対称鍵暗号方式の秘密鍵。1つのクライアントモジュールは複数種類のKm3を持つことができる。
【0038】
契約鍵Km2は、顧客とライセンス配信サーバ管理・運用システムとで共有される。Km2は活性化キー生成ツール401により生成され、配布された後、一定期間ごとに更新される。クライアントマスター鍵Km3は、顧客とクライアントモジュールとで共有される。クライアントモジュール活性化キー{Ks}Km3||{Ks}Km2は、活性化キー生成ツール401により生成され、クライアントモジュール206の提供時とバージョンアップ時に発行される。クライアント活性化モジュール402は、契約鍵とクライアントモジュール活性化キーを用いて活性化情報207を生成する。
【0039】
図5は、ライセンス配信サーバ204の運用者による活性化情報生成手順のフローチャートである。管理・運用システムは、まず、初期化処理を行って(ステップ501)、その結果を判定する(ステップ502)。初期化処理では、認証局のルート(ルート認証局)公開鍵証明書の取得等が行われる。
【0040】
結果がOKであれば、図4の(a)に示すように、契約鍵取得処理を行って(ステップ503)、その結果を判定する(ステップ504)。これにより、契約鍵Km2がクライアント活性化モジュール402に安全に設定される。
【0041】
結果がOKであれば、次に、クライアントモジュール活性化キー取得処理を行って(ステップ505)、その結果を判定する(ステップ506)。この処理では、図4の(c)に示すように、活性化キー生成ツール401に対してクライアントモジュール活性化キーの発行を依頼し、(d)に示すように、活性化キー生成ツール401から発行されたクライアントモジュール活性化キー{Ks}Km3||{Ks}Km2を受け取る。クライアントモジュール活性化キーは、電子メールの交換により取得してもよい。
【0042】
結果がOKであれば、次に、活性化情報生成処理を行って(ステップ507)、その結果を判定する(ステップ508)。ステップ502、504、506、および508において結果がNGであれば、エラー処理を行う(ステップ509)。
【0043】
図6は、図5のステップ507でクライアント活性化モジュール402により行われる活性化情報生成処理のフローチャートである。クライアント活性化モジュール402は、まず、クライアントモジュール活性化キー取得処理を行って(ステップ601)、その結果を判定する(ステップ602)。
【0044】
結果がOKであれば、次に、契約鍵Km2でクライアントモジュール活性化キーを復号してセッション鍵Ksを取得し(ステップ603)、その結果を判定する(ステップ604)。
【0045】
結果がOKであれば、次に、DRMクラス秘密鍵Kciとクラス公開鍵証明書Cciを取得し(ステップ605)、その結果を判定する(ステップ606)。このとき、認証局モジュール403は、図4の(e)に示すように、クラス公開鍵証明書Cciを発行する。
【0046】
結果がOKであれば、次に図4の(f)に示すように、DRMクラス秘密鍵Kciとクラス公開鍵証明書Cciをセッション鍵Ksで暗号化し(ステップ607)、その結果を判定する(ステップ608)。このとき、図4の(b)に示すように認証局が生成した公開鍵証明書Cr1も、KciおよびCciとともに暗号化される。
【0047】
結果がOKであれば、次に図4の(g)に示すように、暗号化された情報とクライアントモジュール活性化キーの一部である{Ks}Km3とを結合して、活性化情報207を生成し(ステップ609)、その結果を判定する(ステップ610)。ステップ602、604、606、608、および610において結果がNGであれば、エラー処理を行う(ステップ611)。
【0048】
生成された活性化情報207は、図4の(h)に示すように、TRM化されたクライアントモジュール206とともに、記憶装置404内の活性化クライアントモジュール411に埋め込まれ、(i)に示すように、ドメイン内に配布される。こうして、活性化クライアントモジュール411は、一旦、配布先のクライアント端末201の記憶装置405内に格納される。
【0049】
図7は、クライアント端末201内のクライアントモジュール206による活性化情報設定処理のフローチャートである。クライアントモジュール206は、図4の(j)に示すように、クライアント端末201上で起動されると、まず、活性化情報207を取得し(ステップ701)、その結果を判定する(ステップ702)。
【0050】
結果がOKであれば、次に図4の(k)に示すように、クライアントマスター鍵Km3で活性化情報を復号してKciおよびCciを取得し(ステップ703)、その結果を判定する(ステップ704)。この処理では、まず、{Ks}Km3をKm3で復号してKsが取り出され、次に、残りの活性化情報をKsで復号してKci、Cci、およびCr1が取り出される。
【0051】
ステップ702および704において結果がNGであれば、エラー処理を行う(ステップ705)。
その後、クライアントモジュール206は、取得したDRMクラス秘密鍵と証明書を用いてライセンス配信サーバ204と通信し、ライセンスを取得する。
【0052】
このような仕組みによれば、クライアント端末201のクラス公開鍵証明書が危殆化した場合でも、クライアントモジュール206の再作成・再インストールを行う必要がなく、活性化情報207を入れ替えるだけで済む。したがって、証明書更新のためのコストを低く抑えることができる。
【0053】
なお、図4の構成では、ライセンス配信サーバ204内の認証局モジュール403を利用してPKIを構築しているが、代わりに外部認証局406を利用することも可能である。また、DRMクラス秘密鍵Kciとクラス公開鍵証明書Cciに加えて、秘密鍵Kcuとユニバーサル公開鍵証明書Ccuのセットを活性化情報207に追加してもよい。
【0054】
次に、本実施形態で用いられるライセンスの例を示しながら、コンテンツ保護システムの仕組みをより詳細に説明する。
図8および図9は、ライセンスのデータ構造(LicenseInfo構造)を示しており、図10は、図9のacl(アクセス制御リスト)フィールドのデータであるAcl構造を示している。図11、12、および13は、図10のacl_entryフィールドのデータであるACLEntry構造を示しており、図14、15、および16は、図11のacp(デコーダアクセス条件)フィールドのデータであるAcp構造を示しており、図17、18、および19は、図11のacm(メディアアクセス条件)フィールドのデータであるAcm構造を示している。
【0055】
前述した、悪意のある利用者が作成した復号モジュールにライセンスが渡り、利用できてしまう問題に対しては、以下のような対策が講じられる。図9に示すように、ライセンス内にrpk_hash_listというフィールドを設け、ライセンス発行時に証明書チェックに利用するルート公開鍵のハッシュ値のリストを格納する。また、復号モジュール208、ライセンサエージェント209、およびライセンス配信サーバ204にそれぞれルート公開鍵証明書を保持させておく。
【0056】
図20に示すように、クライアント端末201のライセンサエージェント209は、ライセンス配信サーバ204にライセンス取得要求を送信する。このとき、ライセンサエージェント209は、証明書のルート公開鍵のハッシュ値rpk_hash_valueをライセンス配信サーバ204に送信し、ライセンス配信サーバ204は、受信したハッシュ値を検証する。
【0057】
ライセンス配信サーバ204は、受信したハッシュ値をライセンスのrpk_hash_listに格納されたハッシュ値と比較し、そのリスト内に該当する値が存在すれば、ライセンスを配信する。しかし、リスト内に該当する値が存在しない場合は、ライセンスを配信しない。
【0058】
同様に、クライアント端末201内においても、復号モジュール208とライセンサエージェント209の間でrpk_hash_listを用いた処理を行う。復号モジュール208は、公開鍵のハッシュ値rpk_hash_valueをライセンサエージェント209に転送し、ライセンサエージェント209は、そのハッシュ値を検証する。そして、ライセンスのリスト内に該当する値が存在すれば、ライセンスを復号モジュール208に転送し、リスト内に該当する値が存在しない場合は、ライセンスを転送しない。
【0059】
このような検証処理を行うことで、悪意のある利用者が作成した復号モジュールにライセンスを渡さないようにすることができる。
次に、1つ以上のグループに所属している利用者に対して配信すべきライセンスを自動的に決定する処理について説明する。
【0060】
ライセンス配信サーバ204は、コンテンツまたはコンテンツ集合に対応して、コンテンツへのアクセスが許可されるユーザまたはユーザグループと、それぞれについて許可するアクセス形態および許諾条件を記述したアクセス制御リスト(ACL)を、データベースに登録しておく。クライアント端末201上でアクセス要求が発生するたびに、要求情報がクライアント端末201からライセンス配信サーバ204に送られ、ライセンス配信サーバ204が応答としてライセンスを配信する。
【0061】
このとき、ライセンス配信サーバ204は、ユーザまたはユーザグループによるアクセスの可否を判定した上で、コンテンツに対応するACLから個別ライセンスを生成する。具体的には、要求者が属するグループのACLエントリと要求者に対するACLエントリから、要求者用の許諾条件を生成し、個別ライセンスを生成する。個別ライセンスの生成手順は、以下の通りである。
1.ACLエントリの取得
データベースに登録された各ACLエントリのACLEntry構造(図11)には、ユーザIDおよびグループIDが含まれている。そこで、要求されたコンテンツ識別子(content_id)に対応する複数のACLエントリのうち、所定のAPI(Application Program Interface )を実装したクラスのcheckPrincipalメソッドにより得られたユーザIDおよびグループIDを有するACLエントリを取得する。checkPrincipalメソッドは、利用者のユーザ認証情報を元に、利用者管理サーバ203から利用者のユーザ情報およびグループ情報を取得するメソッドである。
2.ACLエントリの有効性の判断
取得したACLエントリに対して、以下の(1)〜(7)のいずれかの条件を満たした場合に、そのACLエントリを無効とする。取得したすべてのACLエントリ無効であった場合は、要求を拒否して終了する。ただし、条件(2)を満たした場合は、直ちに要求を拒否して終了する。
(1)Acm構造に含まれる許諾保持期限(kept_limit)、許諾開始日時(start_time)(図19)が無効。
(2)Acm構造に含まれる優先的拒否フラグ(denyフラグ)(図18のbit7)がオン。
(3)Acm構造に含まれる権利数(図19)が0(rights_count==0)
(4)Acm構造に含まれるコンテンツ操作許諾可能数(図17)が0(operation_count==0)
(5)Open時の証明書のサブジェクトがAcm構造に含まれる許諾サブジェクトドメインリスト(subject_list)(図19)に該当しない。
(6)Get_Licenseで要求された操作(operation)がACLEntry構造のoperation(図11)に合っていない。Get_Licenseは、クライアント端末201からライセンス配信サーバ204に送信されるライセンス取得要求に対応する。
(7)checkPrincipalメソッドにより得られた認証方式条件リスト(authentication_list)のビットが0で、かつ、そのビットに対応するACLエントリのauthentication_list(図12)のビットが1になっているような認証方式が、bit0からbit7の中に存在する。
【0062】
例えば、図21の例では、bit1において、checkPrincipalで得られた条件がACLエントリで設定されているauthentication_listを満たしていないため、このACLエントリは個別条件設定に使用できない。
3.ライセンス利用形態(オンライン/オフライン)の判別
(1)Get_Licenseのacmの逐次ライセンス指定フラグ(dynamic_licenseフラグ)がオンの場合
上記2の処理までに残ったACLエントリの中からdynamic_licenseフラグ(図18のbit4)がオンのもののみを残す。2の処理までに残ったすべてのACLエントリのdynamic_licenseフラグがオフの場合、要求を拒否する。この場合のreject codeは8111hであり、有効なACLエントリが存在しないことを表す。
【0063】
逐次ライセンス(オンラインライセンス)は、発行後すぐに使用するタイプのライセンスであり、使用後はクライアント端末201により破棄される。これに対して、オフラインライセンスは、一旦、クライアント端末201内に保存され、その後ライセンス配信サーバ204に接続しなくても使用できるタイプのライセンスである。
(2)Get_Licenseのacmのdynamic_licenseフラグがオフ、またはacmの指定がない場合
2の処理までに残ったACLエントリの中からdynamic_licenseフラグがオフのもののみを残す。2の処理2までに残ったすべてのACLエントリのdynamic_licenseフラグがオンの場合、要求を拒否する。この場合のreject codeも8111hである。
4.ACLエントリの選択と個別ライセンスの配信
(1)Get_Licenseでacm、acpの指定がない場合
図22の優先順位表に従ってACLエントリを選択する。ある優先順位の選択ルールにより複数のACLエントリが選択された場合は、次の優先順位の選択ルールに従ってACLエントリを選択する。
【0064】
実際には、コンテンツの部分コピーを許可する部分コピーライセンスにおいて部分コピー禁止フラグがオンになることはないので、部分コピーライセンスの選択時に優先順位4の選択ルールを用いることはない。また、コンテンツの保存を許可する保存ライセンスにおいて保存禁止フラグがオンになることはないので、保存ライセンスの選択時に優先順位5の選択ルールを用いることはない。さらに、コンテンツの印刷を許可する印刷ライセンスにおいて印刷禁止フラグがオンになることはないので、印刷ライセンスの選択時に優先順位6の選択ルールを用いることはない。
【0065】
以上の選択処理により複数のACLエントリが残る場合は、データベースに登録された順番でACLエントリを選択する。
(2)Get_Licenseでacm、acpの指定がある場合
残ったACLエントリの中から、Get_Licenseで指定されたacm、acpを満たすACLエントリを選択し、それを個別ライセンスに格納し、配信する。
(2−1)acm、acpを満足するACLエントリが複数存在する場合
図22の優先順位表に従ってACLエントリを選択する。それでも複数のACLエントリが残る場合は、データベースに登録された順番でACLエントリを選択する。
(2−2)acm、acpを満足するACLエントリが存在しない場合
要求を拒否して終了する。reject codeは8111hである。
【0066】
上述の手順に従って最終的に1つのACLエントリを選択した後、そのACLエントリを有するライセンスを配信する。このとき、ライセンスのmove_countは00hに設定し、rights_countは01hに設定して配信する。ただし、dynamic_licenseフラグがオンのACLエントリが選択された場合、逐次ライセンス(operation_count 01h、move_count 00h、rights_count 01h)を配信する。
5.サーバ側のデータベースの減算処理
ライセンス配信サーバ204は、上記4の処理で選択したACLエントリのrights_countを1だけ減算する。
【0067】
図23は、このような個別ライセンス選択処理のフローチャートである。ライセンス配信サーバ204は、まず上記1の処理により、利用者管理サーバ203から要求者が所属するグループのグループIDリストを取得し(ステップ2301)、その結果を判定する(ステップ2302)。所属グループが2つ以上であれば、次に上記2および3の処理により、ACLエントリを選択し(ステップ2303)、その結果を判定する(ステップ2304)。
【0068】
ここで、複数のACLエントリが残った場合は、上記4の処理により、ACLエントリを1つだけ選択し、ライセンスを配信する(ステップ2305)。そして、上記5の処理により、データベースの権利数を1だけ減算する(ステップ2306)。
【0069】
ステップ2302において所属グループが1つの場合、および、ステップ2304においてACLエントリが1つだけ残った場合は、直ちにライセンスを配信し(ステップ2305)、ステップ2306の処理を行う。また、ステップ2302において所属グループが0の場合は、要求者に要求破棄を通知する(ステップ2308)。
【0070】
図24は、図23のステップ2303におけるACLエントリ選択処理のフローチャートである。ライセンス配信サーバ204は、まず上記2の処理により、ACLエントリの有効性を判断し(ステップ2401)、その結果を判定する(ステップ2402)。
【0071】
ACLエントリが有効であれば、次に上記3の処理により、そのACLエントリが要求条件を満たしているか否かを判別する(ステップ2403および2404)。要求条件を満たしているACLエントリが存在すれば、それを選択結果として図23の処理に復帰する。要求条件を満たしているACLエントリが存在しなければ、要求者に要求破棄を通知する(ステップ2405)。
【0072】
このような個別ライセンス選択処理によれば、1つ以上のグループに所属している利用者に対して配信すべきライセンスを自動的に決定することができる。
次に、ライセンスをクライアント端末にダウンロードする際のアクセス可否を判定する制御と、ダウンロードされたライセンスを別のクライアント端末に安全に渡す制御について説明する。この制御では、公開鍵証明書(X.509証明書)のサブジェクトのリストを用いて許諾・拒否ドメインを限定する。
【0073】
公開鍵証明書のサブジェクトとは、証明書主体者を識別するための名前であり、通常は、X.500名前システムで表記される。例えば、TRUST株式会社のネットワーク事業部に所属するhanaという人は、以下のように表記される。
【0074】
{Country=JP,Organization=TRUST Corp.,OrganizationUnit=Network,CommonName=hana}
このように1つのエントリを表記する形式は、X.500ディレクトリシステムで定義されており、DN(Distinguished Name:識別名)と呼ばれている。また、DNの一部分はRDN(Relative Distinguished Name :相対識別名)と呼ばれている。RDNは、X.501で規定された相対識別名であり、DNは、X.501で規定された絶対識別名である。hanaのRDNは、例えば、以下のようになる。
【0075】
{Country=JP,Organization=TRUST Corp.},
{Organization=TRUST Corp.},
{CommonName=hana}
ここでは、ライセンスを配信、移動する範囲を、クライアント端末が保有する公開鍵証明書(メディアクラス公開鍵証明書)のDNで制御する。そのために、ライセンスの許諾条件の1つとして、許諾したいDNおよびRDNのリストをACLエントリの許諾サブジェクトドメインリスト(subject_list)(図19)に設定しておく。
【0076】
そして、公開鍵証明書のDNに含まれるRDNを上位から順番に取り出して、許諾サブジェクトドメインリストの各エントリ(RDN)と比較する。公開鍵証明書のサブジェクトの上位RDNとリストのある1つのエントリとが一致すれば、アクセスを許諾する。これにより、許諾サブジェクトドメインリスト内のRDNに一致するクライアント端末にしか、ライセンスを配信しないような制御が可能になる。
【0077】
例えば、図25に示すように、TRUST株式会社2501とIT株式会社2502があり、TRUST株式会社2501には、ネットワーク事業部2511とソフトウェア事業部2512があるとする。このとき、ある保護情報をTRUST株式会社2501のネットワーク事業部2511とIT株式会社2502で共有したい場合、許諾サブジェクトドメインリストに以下のような情報を設定することで、それ以外の組織へライセンスを配信しないようにできる。ただし、RDNは、最上位RDNから順番に指定される。
【0078】
{Country=JP,Organization=TRUST Corp.,OrganizationUnit=Network},
{Country=JP,Organization=IT Inc.}
この許諾サブジェクトドメインリストに従って、ライセンス配信サーバ204は、TRUST株式会社2501のネットワーク事業部2511とIT株式会社2502にライセンスを配信し、TRUST株式会社2501のソフトウェア事業部2512にはライセンスを配信しない。
【0079】
許諾サブジェクトドメインリストは、許諾条件の1つとしてライセンスに格納されて配信されるので、ライセンスを受信したクライアント端末のライセンサエージェントは、そのリストを解釈し、リストに示された範囲内でライセンスをコピー、移動することができる。
【0080】
したがって、図26に示すように、ライセンスがIT株式会社2502に配信された後、IT株式会社2502のライセンサエージェントは、上記許諾サブジェクトドメインリストに従って、TRUST株式会社2501のネットワーク事業部2511にライセンスをコピー、移動する。しかし、TRUST株式会社2501のソフトウェア事業部2512にライセンスをコピー、移動することはない。
【0081】
次に、IC(Integrated Circuit)カードを使って、配信されたライセンスを別のクライアント端末に安全にコピー、移動する方法について説明する。この方法では、ライセンスにDNを入れてクライアント端末に配信し、クライアントモジュールがそのDNとICカードのDNが一致するか否かを確認する。
【0082】
この場合、図27に示すように、クライアントモジュール206内に、ICカード認証連携モジュール2701を設ける。ICカード認証連携モジュール2701は、クライアントモジュール206に対して、ICカード2702により利用者の認証を行うモジュールである。ICカード2702にはICカード利用者の証明書が格納されており、ICカード2702はクライアント端末201のスロットに挿入されるものとする。クライアントモジュール206は、認証されたICカード2702に対してのみ、ライセンスをコピー、移動する。
【0083】
図28は、ICカード認証連携モジュール2701によるICカード認証シーケンスを示している。このシーケンスでは、毎回乱数を生成し、それを署名し、署名検証を行うことで認証が行われる。
【0084】
ICカード認証連携モジュール2701は、ライセンス利用時にICカード2702に対して状態を問い合わせて、クライアント端末201にICカード2702が接続されているか否かを確認する。ICカードが抜かれている場合、利用者に対してICカードの挿入とPIN(Personal Identification Number)コードの入力を要求する。これを受けて、利用者は、クライアント端末201にICカード2702を挿入し、PINコードを入力する(手順2801)。
【0085】
次に、ICカード認証連携モジュール2701は、乱数を生成し、ICカード2702の機能であるセキュアセッションを使用して乱数をICカード2702に送信する(手順2802)。
【0086】
ICカード2702は、保有する証明書に対する暗号鍵を使って、受信した乱数にデジタル署名を施す(手順2803)。そして、そのデジタル署名と証明書をセキュアセッションでICカード認証連携モジュール2701に送信する。
【0087】
ICカード認証連携モジュール2701は、ICカード2702の証明書の有効性を検証し(手順2804)、証明書のDNが現在クライアント端末201にログインしているアカウントと同一であるか否か(証明書のDNと配信されたライセンスのDNが一致するか否か)をチェックし(手順2805)、ICカード2702から受け取ったデジタル署名を、証明書を用いて検証する(手順2806)。
【0088】
DNチェックのためには、ICカード2702の証明書のDNとクライアント端末201のアカウントをマップするデータが必要となるが、ICカード認証連携モジュール2701はこのようなデータを保持しているものとする。
【0089】
クライアント端末201にICカード2702が接続されたままの状態の場合は、利用者にPINコードを入力させる必要はなく、手順2802以降のシーケンスに従ってICカード2702の認証が行われる。
【0090】
図29は、このようなICカード認証処理のフローチャートである。ICカード認証連携モジュール2701は、まず、乱数を生成し(ステップ2901)、それをICカード2702に送信する(ステップ2902)。次に、ICカード2702からデジタル署名と証明書を受信し(ステップ2903)、証明書の有効性検証を行って(ステップ2904)、その結果を判定する(ステップ2905)。
【0091】
結果がOKであれば、次に、証明書のDNチェックを行って(ステップ2906)、その結果を判定する(ステップ2907)。結果がOKであれば、次に、デジタル署名の検証を行って(ステップ2908)、その結果を判定する(ステップ2909)。ステップ2905、2907、および2909において結果がNGであれば、エラー処理を行う(ステップ2910、2011、および2912)。
【0092】
なお、この例ではICカードを用いてライセンスをコピー、移動しているが、そのほかにもコンピュータ読み取り可能な任意の可搬記録媒体を利用することができる。
次に、クライアント端末上でログの改ざん等が行われるという問題に対処するために、ライセンス配信サーバがクライアント端末におけるコンテンツの表示、印刷、保存、部分コピー、転送、メール添付等の操作ごとにログをとる方法について説明する。
【0093】
この方法では、ライセンス内にoperationというコンテンツの操作種別を表すフィールド(図11)を設けておく。利用者は、現在どの操作がしたいかによって、ライセンス配信サーバに希望する操作種別のライセンスを要求する。そして、ライセンス配信サーバは、どの操作種別のライセンスをクライアント端末に配信したかを示すログデータを保存することにより、クライアント端末のコンテンツに対する操作を特定する。
【0094】
このようなログ管理によれば、ログデータがサーバ側で作成・管理されるので、利用者による改ざん等が行われる可能性が非常に低くなる。
次に、クライアント端末が複数の暗号化コンテンツを利用するとき、それらのコンテンツに対するライセンスを一度に取得する方法について説明する。この方法では、ライセンス内に複数のコンテンツに対応する許諾条件・復号鍵を格納して、それらのコンテンツを制御する。また、1つのコンテンツに対する許諾条件を表すACLエントリのフィールドを複数個格納できるフィールド(図10)をライセンス内に設けることにより、複数個の許諾条件を1回で配信できるようにする。
【0095】
図30は、ライセンス内のコンテンツ復号情報(decode_information)のデータであるDecodeInformation構造(図9)を示しており、図31は、DecodeInformation構造内の暗号化コンテンツエレメント−復号鍵対応リスト(element−key−map)のデータであるElementKeyMap型を示している。
【0096】
暗号化コンテンツは、一般に、図32のような形式で配信され、N個の異なるエレメント(コンテンツ)を格納することができる。図33は、図32のヘッダ(Content Header)の形式を示しており、図34は、図33のコンテンツ情報(Content Information)を示しており、図35は、図33の各エレメント情報(Element Information)を示している。図30のDecodeInformation構造を用いることで、図32の複数のエレメント(コンテンツ)に対応する復号鍵をライセンス内に格納することができる。
【0097】
また、ACLエントリのデータであるACLEntry構造には、許諾コンテンツエレメント番号リスト(element_list)(図13)のフィールドがあり、そのACLエントリの許諾条件で利用できるエレメントのエレメント番号が格納されている。したがって、図10のAcl構造を用いることで、複数のエレメントに対応する許諾条件をライセンス内に格納することができる。
【0098】
次に、ライセンスのACLエントリの中に認証方式を記述するためのフィールドを設けて、過去において利用者を認証済みの認証方式と、そのフィールドに記述された認証方式とを比較することにより、アクセスを制御する方法について説明する。この方法では、比較すべき2つの認証方式の論理演算を行って、演算結果をアクセス条件として用いる。
【0099】
ライセンス配信サーバ204は、利用者がどのような認証方式で認証されたかを利用者管理サーバ203に問い合わせて、認証方式条件を取得する。そして、取得した条件と、クライアント端末が要求したライセンスに格納されている認証方式条件リスト(authentication_list)(図12)を比較し、ライセンスの配信可否を決定する。authentication_listには、ライセンスの登録時に必要な認証方式が設定されている。
【0100】
具体的には、ライセンス内のauthentication_listは、各ビットが各認証方式にマップされているビット列のデータであり、図36に示すような8つのビットから構成されている。必要な認証方式に対応するビットはオン(論理1)に設定される。
【0101】
ライセンス配信サーバ204は、利用者管理サーバ203から取得した認証方式の情報を図36の形式のデータにマップするとき、利用者が各認証方式による認証を正常に終了していれば、対応するビットをオンにする。例えば、利用者が既にID/パスワード方式とサイン方式で認証されている場合、00001001という値が生成される。
【0102】
生成されたデータのビットが0で、かつ、そのビットに対応するauthentication_listのビットが1になっているような認証方式が存在する場合に限り、ライセンス配信サーバ204はライセンスを配信しない。
【0103】
この制御を命題論理で説明すると、authentication_listのビットをAとし、マップされたデータのビットをBとして、各ビットに対して図37に示すような論理演算A⇒Bを行った結果、1つでも0のビットが存在すれば、ライセンス配信を拒否する処理を行う。
【0104】
図38の例では、bit1において、利用者管理サーバ203から取得した条件がライセンス内のauthentication_listを満たしていないため、そのライセンスはクライアント端末201に配信されない。このような制御によれば、DRMによるコンテンツ保護システムで認証されていないクライアント端末へのライセンス配信を防止することができる。
【0105】
次に、クライアント端末が、同一コンテンツに対して複数の許諾条件を格納しているライセンスを受信した場合、登録者の意図に従った方法でその中から1つの許諾条件を選択してライセンスを利用する方法について説明する。
【0106】
ライセンス内にはlicense_script_specというフィールド(図8)があり、ACLEntry構造にはrights_scriptというフィールド(図11)がある。これらのフィールドのデータには、図39に示すRightsScriptSpec構造が含まれている。このRightsScriptSpec構造に記述された識別子(script_id)には、許諾条件選択処理が対応付けられている。
【0107】
許諾条件選択処理の例としては、前述した図22の優先順位表に基づくACLエントリ選択処理が挙げられる。そのほかにも、図40に示すように、許諾条件の優先順位を入れ替えた優先順位表に対して、script_idを付与することができる。さらに、図41に示すように、選択ルールを変更した優先順位表に対しても、script_idを付与することができる。このように、RightsScriptSpec構造は、複数のACLエントリのうちの1つを選択する処理を指定している。
【0108】
また、この優先順位表に記述された選択ルールは、ライセンス配信システムを利用する人がだれでも見ることができるように、Web等で公開してもよい。これにより、登録者はどのように許諾条件が選択されるかを把握することができる。
【0109】
図42は、クライアントモジュール206が、受信したライセンスのRightsScriptSpec構造を利用してACLエントリを選択する処理のフローチャートである。クライアントモジュール206は、まず、ライセンス内にACLエントリが複数存在するか否かをチェックする(ステップ4201)。ACLエントリが1つしか存在しなければ、そのACLエントリが選択される。
【0110】
ACLエントリが複数存在すれば、各ACLエントリのrights_scriptのRightsScriptSpec構造をチェックし(ステップ4202)、それらが同じか否かを判定する(ステップ4203)。
【0111】
それらのRightsScriptSpec構造が同じであれば、そのscript_idに対応する許諾条件選択処理により1つのACLエントリを選択する(ステップ4204)。それらのRightsScriptSpec構造の中に異なるものが存在すれば、license_script_specのRightsScriptSpec構造のscript_idに対応する許諾条件選択処理により1つのACLエントリを選択する(ステップ4205)。
【0112】
次に、コンテンツ編集時にデータが盗まれる問題に対する対策について説明する。利用者がコンテンツを編集するときに、コンテンツの一部をコピーしてクリップボードに入れるとき、クライアントモジュール206がコピー部分のデータを暗号化してクリップボードに入れる。そして、許諾された者がペースト操作を行った場合にのみ、その部分を復号して貼り付ける処理を行う。これにより、保護文書に対する編集操作(コピー・ペースト)を許諾された者だけに限定する制御を強制的に実現する。
【0113】
本実施形態のライセンスでは、さらに以下のような制御を実現するための情報も含まれている。
(1)ユーザやグループへの優先的拒否制御を拒否期間や拒否ドメイン限定で実施する。
【0114】
ライセンス発行期間を許諾開始日時から許諾保持期限までとして発行期間を制御し、ライセンス発行期間内で、発行先のユーザおよびユーザが所属するグループにどのような許諾が与えられていても、ライセンスの発行を優先的に拒否する。
【0115】
図19に示したように、ライセンス内に、kept_period、kept_limit、およびstart_timeのフィールドを設ける。kept_periodには許諾保持期間が格納され、kept_limitには許諾保持期限が格納され、start_timeにはライセンスの配信を開始する日時(許諾開始日時)が格納される。ライセンス配信サーバ204は、これらの情報と図18のdenyフラグとを連動させることにより、所定期間、アクセス制御対象の利用者によるコンテンツ利用可否を制御する。
【0116】
ある利用者に対するACLエントリにおいて、start_timeおよびkept_limitが設定され、denyフラグがオンに設定されている場合、図43に示すように、start_timeからkept_limitまでの期間は利用者に対してライセンスが配信されない。
(2)オフラインライセンスを最初に利用するときに、利用者がパスワードを設定し、そのパスワードの入力可能期間をコンテンツ登録者が指定できるようにする。
【0117】
オフラインライセンスをパスワード認証を使って利用する場合、ライセンス内に、オフライン利用時に使用するパスワードの最低の長さを格納するpassword_min_lenというフィールド(図12)と、ライセンスがクライアント端末に到着してからパスワードをクライアント端末に入力するまでの時間を格納するpw_input_periodというフィールド(図13)を設ける。
【0118】
利用者は、pw_input_periodに設定された時間内に、password_min_lenに設定された長さ以上のパスワードを入力し、クライアントモジュール206は、そのパスワードを保存・設定する。以後、オフラインでライセンスを利用するときに、利用者は設定されたパスワードを使用する。
(3)DRM技術と重畳表示/印刷の連携方式
現状のDRMによる保護方法では、例えば、悪意のある利用者が保護文書を表示している間に、その表示画面をデジタルカメラで撮影し、撮影データを第三者に渡すことが考えられる。また、印刷権限があるライセンスを正当に取得し、印刷した保護文書をコピー機でコピーして、第三者に渡すことも考えられる。
【0119】
そこで、ライセンス内に、ライセンス発行日時、ライセンス発行主体や発行主体が所属するグループ等の属性情報等といった重畳情報を格納しておく。重畳情報が格納されたライセンスを取得したクライアントモジュール206は、コンテンツの表示または印刷時に、強制的に重畳情報を表示または印刷する。これにより、誰がいつコンテンツを表示または印刷したかという情報がコンテンツ自身に付加されるため、コンテンツの配布経路を特定しやくなる。
【0120】
ところで、図2のクライアント端末201、利用者管理サーバ203、ライセンス配信サーバ204、およびコンテンツサーバ205は、例えば、図44に示すような情報処理装置(コンピュータ)を用いて構成される。図44の情報処理装置は、CPU(中央処理装置)4401、メモリ4402、入力装置4403、出力装置4404、外部記憶装置4405、媒体駆動装置4406、ネットワーク接続装置4407を備え、それらはバス4408により互いに接続されている。
【0121】
メモリ4402は、例えば、ROM(read only memory)、RAM(random access memory)等を含み、処理に用いられるプログラムおよびデータを格納する。CPU4401は、メモリ4402を利用してプログラムを実行することにより、必要な処理を行う。
【0122】
図4の記憶装置404および405は、メモリ4402または外部記憶装置4405に対応する。図2のクライアントモジュール206、復号モジュール208、ライセンサエージェント209、図4の活性化キー生成ツール401、クライアント活性化モジュール402、認証局モジュール403、および図27のICカード認証連携モジュール2701は、メモリ4402に格納されたプログラムまたはその機能に対応する。
【0123】
入力装置4403は、例えば、キーボード、ポインティングデバイス、タッチパネル等であり、コンテンツ登録者、管理者、利用者等のオペレータからの指示や情報の入力に用いられる。出力装置4404は、例えば、ディスプレイ、プリンタ、スピーカ等であり、オペレータへの問い合わせや処理結果等の出力に用いられる。
【0124】
外部記憶装置4405は、例えば、磁気ディスク装置、光ディスク装置、光磁気ディスク装置、テープ装置等である。情報処理装置は、この外部記憶装置4405に、上記プログラムおよびデータを格納しておき、必要に応じて、それらをメモリ4402にロードして使用する。また、外部記憶装置4405は、利用者管理サーバ203、ライセンス配信サーバ204、およびコンテンツサーバ205のデータベースとしても使用される。
【0125】
媒体駆動装置4406は、可搬記録媒体4409を駆動し、その記録内容にアクセスする。可搬記録媒体4409は、メモリカード、フレキシブルディスク、CD−ROM(compact disk read only memory )、光ディスク、光磁気ディスク等の任意のコンピュータ読み取り可能な記録媒体である。オペレータは、この可搬記録媒体4409に上記プログラムおよびデータを格納しておき、必要に応じて、それらをメモリ4402にロードして使用する。
【0126】
ネットワーク接続装置4407は、LAN(local area network)やインターネット等の任意の通信ネットワークに接続され、通信に伴うデータ変換を行う。情報処理装置は、必要に応じて、上記プログラムおよびデータを外部の装置からネットワーク接続装置4407を介して受け取り、それらをメモリ4402にロードして使用する。
【0127】
図45は、図44の情報処理装置にプログラムおよびデータを供給することのできるコンピュータ読み取り可能な記録媒体を示している。可搬記録媒体4409やサーバ4501のデータベース4511に格納されたプログラムおよびデータは、情報処理装置4502のメモリ4402にロードされる。サーバ4501は、そのプログラムおよびデータを搬送する搬送信号を生成し、ネットワーク上の任意の伝送媒体を介して情報処理装置4502に送信する。CPU4401は、そのデータを用いてそのプログラムを実行し、必要な処理を行う。
(付記1)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュールを、利用者端末に配信する情報処理装置であって、
暗号鍵を格納する格納手段と、
前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を、前記暗号鍵を用いて暗号化して、暗号化情報を生成する生成手段と、
前記暗号化情報を復号する復号鍵を含み、前記利用者端末上で起動された後に該暗号化情報を復号して、前記公開鍵証明書および秘密鍵の情報を取得する端末モジュールと、該暗号化情報とを前記利用者端末に送信する送信手段と
を備えることを特徴とする情報処理装置。
(付記2)
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信する情報処理装置であって、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した複数のアクセス制御リストを格納する格納手段と、
前記複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、選択したアクセス制御リストに基づく個別ライセンスデータを生成する生成手段と、
前記個別ライセンスデータを前記利用者端末に送信する送信手段と
を備えることを特徴とする情報処理装置。
(付記3)
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信する情報処理装置であって、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信した前記ライセンスデータを格納する格納手段と、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する選択手段と
を備えることを特徴とする情報処理装置。
(付記4)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュールを、利用者端末に配信するコンピュータのためのプログラムであって、
前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を、格納手段に格納された暗号鍵を用いて暗号化して、暗号化情報を生成し、
前記暗号化情報を復号する復号鍵を含み、前記利用者端末上で起動された後に該暗号化情報を復号して、前記公開鍵証明書および秘密鍵の情報を取得する端末モジュールと、該暗号化情報とを前記利用者端末に送信する
処理を前記コンピュータに実行させることを特徴とするプログラム。
(付記5)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを、ライセンス配信装置から公開鍵基盤を利用して取得するコンピュータのためのプログラムであって、
格納手段に格納された暗号化情報を前記プログラムに含まれる復号鍵を用いて復号して、前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を取得し、
前記公開鍵証明書および秘密鍵の情報を用いて暗号化通信を行うことで、前記ライセンス配信装置から前記ライセンスデータを取得する
処理を前記コンピュータに実行させることを特徴とするプログラム。
(付記6)
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信するコンピュータのためのプログラムであって、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
選択したアクセス制御リストに基づく個別ライセンスデータを生成する
処理を前記コンピュータに実行させることを特徴とするプログラム。
(付記7)
公開鍵証明書の識別名の一部分を表す相対識別名であって、前記選択したアクセス制御リストの許諾ドメインサブジェクトリストに記述された該相対識別名と、前記利用者端末が保有する公開鍵証明書の識別名を比較し、該利用者端末が保有する公開鍵証明書の識別名の一部分と該相対識別名が一致したとき、前記個別ライセンスデータを該利用者端末に配信する処理を、前記コンピュータにさらに実行させることを特徴とする付記6記載のプログラム。
(付記8)
前記プログラムは、前記個別ライセンスデータに公開鍵証明書の識別名を記述して前記利用者端末に配信する処理を前記コンピュータにさらに実行させ、該利用者端末は、該個別ライセンスデータに記述された識別名と可搬記録媒体に格納された公開鍵証明書の識別名が一致したとき、該可搬記録媒体に該個別ライセンスデータを格納することを特徴とする付記6記載のプログラム。
(付記9)
前記個別ライセンスデータを前記利用者端末に配信したとき、該個別ライセンスデータにより該利用者端末に対して許可されるコンテンツ操作種別を示すログデータを保存する処理を、前記コンピュータにさらに実行させることを特徴とする付記6記載のプログラム。
(付記10)
前記個別ライセンスデータは、複数のデジタルコンテンツのそれぞれにアクセスするための複数の許諾条件および複数の復号鍵を含むことを特徴とする付記6記載のプログラム。
(付記11)
前記個別ライセンスデータに記述された利用者の認証方式と、前記要求者を既に認証済みの認証方式とを比較し、該個別ライセンスデータに記述された認証方式が該認証済みの認証方式に該当しない場合に該個別ライセンスデータを前記利用者端末に配信しない処理を、前記コンピュータにさらに実行させることを特徴とする付記6記載のプログラム。
(付記12)
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信するコンピュータのためのプログラムであって、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信して格納手段に格納されたライセンスデータを参照し、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する
処理を前記コンピュータに実行させることを特徴とするプログラム。
(付記13)
利用者が前記ライセンスデータを用いて前記デジタルコンテンツにアクセスし、該デジタルコンテンツの一部をコピーしてクリップボードに入れるとき、コピー部分のデータを暗号化してクリップボードに入れ、許諾された者がペースト操作を行った場合に該コピー部分のデータを復号して貼り付ける処理を、前記コンピュータにさらに実行させることを特徴とする付記12記載のプログラム。
(付記14)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュールを、利用者端末に配信するコンピュータのためのプログラムを記録した記録媒体であって、
前記プログラムは、
前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を、格納手段に格納された暗号鍵を用いて暗号化して、暗号化情報を生成し、
前記暗号化情報を復号する復号鍵を含み、前記利用者端末上で起動された後に該暗号化情報を復号して、前記公開鍵証明書および秘密鍵の情報を取得する端末モジュールと、該暗号化情報とを前記利用者端末に送信する
処理を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記録媒体。
(付記15)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを、ライセンス配信装置から公開鍵基盤を利用して取得するコンピュータのためのプログラムを記録した記録媒体であって、
前記プログラムは、
格納手段に格納された暗号化情報を前記プログラムに含まれる復号鍵を用いて復号して、前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を取得し、
前記公開鍵証明書および秘密鍵の情報を用いて暗号化通信を行うことで、前記ライセンス配信装置から前記ライセンスデータを取得する
処理を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記録媒体。
(付記16)
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信するコンピュータのためのプログラムを記録した記録媒体であって、
前記プログラムは、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
選択したアクセス制御リストに基づく個別ライセンスデータを生成する
処理を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記録媒体。
(付記17)
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信するコンピュータのためのプログラムを記録した記録媒体であって、
前記プログラムは、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信して格納手段に格納されたライセンスデータを参照し、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する
処理を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記録媒体。
(付記18)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュールを、利用者端末に配信する情報処理方法であって、
生成手段が、前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を、格納手段に格納された暗号鍵を用いて暗号化して、暗号化情報を生成し、
送信手段が、前記暗号化情報を復号する復号鍵を含み、前記利用者端末上で起動された後に該暗号化情報を復号して、前記公開鍵証明書および秘密鍵の情報を取得する端末モジュールと、該暗号化情報とを前記利用者端末に送信する
ことを特徴とする情報処理方法。
(付記19)
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信する情報処理方法であって、
生成手段が、デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
前記生成手段が、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
前記生成手段が、選択したアクセス制御リストに基づく個別ライセンスデータを生成する
ことを特徴とする情報処理方法。
【符号の説明】
【0128】
11、201 クライアント端末
12 ログ管理サーバ
13 操作ログ
14 ログデータ
101 格納手段
102 生成手段
103 送信手段
111 端末モジュール
112 暗号化情報
113 ライセンスデータ
202 コンテンツ管理システム
203 利用者管理サーバ
204、301、302 ライセンス配信サーバ
205 コンテンツサーバ
206 クライアントモジュール
207、311、312 活性化情報
208、304、305 復号モジュール
209、303 ライセンサエージェント
313 ライセンス
401 活性化キー生成ツール
402 クライアント活性化モジュール
403 認証局モジュール
404、405 記憶装置
406 外部認証局
411 活性化クライアントモジュール
2501 TRUST株式会社
2502 IT株式会社
2511 ネットワーク事業部
2512 ソフトウェア事業部
2701 ICカード認証連携モジュール
2702 ICカード
4401 CPU
4402 メモリ
4403 入力装置
4404 出力装置
4405 外部記憶装置
4406 媒体駆動装置
4407 ネットワーク接続装置
4408 バス
4409 可搬記録媒体
4501 サーバ
4502 情報処理装置
4511 データベース
【技術分野】
【0001】
本発明は、電子機密文書等のデジタルコンテンツの登録から配信までを管理し、配信されたコンテンツの閲覧、保存、編集、コピー等の操作を制御する技術に係り、デジタル著作権管理(Digital Rights Management ,DRM)技術を用いてデジタルコンテンツを安全に管理するための情報処理装置に関する。
【背景技術】
【0002】
インターネット上におけるデジタルコンテンツの著作権保護の問題に対処する技術として、DRM技術が知られている。DRM技術とは、一般的には、デジタルコンテンツを保護し、コンテンツの配布および管理を行う技術である。ただし、本明細書で用いるDRM技術は、以下のようなものを指している。
・コンテンツを暗号化し、コンテンツに対する許諾条件とコンテンツの復号鍵をライセンスに格納しておく。
・利用者は、コンテンツを利用するときに、暗号化コンテンツをコンテンツサーバからダウンロードし、ライセンス配信サーバからライセンスをダウンロードした後、そのライセンスの許諾条件に従ってコンテンツを使用する。
【0003】
DRM技術を用いて電子文書を管理する上で、ライセンスの配信制御と、利用者ごとの個別ライセンスを生成する仕組みについては、先願の「機密コンテンツ管理方法」(特願2003−095723)に記載されている。
【0004】
また、本願の発明者が考案に関与したDRM技術の方式であるUDAC(Universal Distribution with Access Control)を開示した技術論文(非特許文献1参照)には、UDACの音楽コンテンツの適用事例等が記載されている。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】穴澤建明、武村浩司、常広隆司、長谷部高行、畠山卓久、“コンテンツ保護の柔靭化を実現した開放型超流通基盤”、[online]、情報処理学会研究会報告 EIP14−5、2001年11月、[平成16年2月4日検索]、インターネット<URL:http://www.keitaide-music.org/pdf/EIP14-5.pdf >
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上述した従来のコンテンツ管理方法には以下のような問題がある。
(1)DRMによるコンテンツ管理システムでは、ライセンスを配信するときに、クライアント−サーバ間の通信に公開鍵基盤(Public Key Infrastructure ,PKI)に基づく公開鍵証明書を利用している。その公開鍵証明書の管理・運用にあたっては、認証局(Certificate Authority ,CA)を導入する必要がある。高いセキュリティ強度の維持を要求するシステムは、厳格な認証局を利用し、顧客のセキュリティドメインごとにクライアントモジュールを耐攻撃モジュール(Tamper Resistant Module ,TRM)化する必要がある。しかし、現在では、セキュリティ強度が多少落ちても、簡易認証局を利用して手軽かつ安価にDRMを運用したいという要望の方が多い。
【0007】
また、開発元は、クライアントモジュール内にあらかじめクラス公開鍵証明書とそれに対応する秘密鍵を埋め込んだ状態で、クライアントモジュールをTRM化し出荷している。この形態では、クラス公開鍵証明書が危殆化した場合、もう一度開発元がクライアントモジュールを作り直さなければならず、利用者は、クライアントモジュールをインストールし直さなければならない。
(2)各利用者に配信されるライセンスは、ライセンス配信サーバがアクセス制御リスト(Access Control List ,ACL)を参照して個別に生成する。ライセンスはグループや利用者単位で設定されており、具体的には、グループAにはコンテンツの印刷を許諾し、グループBには印刷を禁止する等の許諾条件が設定される。このような状況の中で、利用者が1つ以上のグループに所属している場合があり、その利用者に対してどの許諾条件のライセンスを配信すべきかを決めなければならない。
(3)クライアント端末にダウンロードされたライセンスを、ある限られた別のクライアント端末に渡す制御は実現されていない。
(4)図46に示すように、保護対象となるコンテンツに対してクライアント端末11でどのような操作が行われたかを示す操作ログ13は、クライアント端末11により管理され、適切なタイミングでログ管理サーバ12に送信されて、ログデータ14として管理される。しかし、クライアント側でログを管理すると、改ざん等を容易に行うことが可能である。また、改ざん防止等の処置をとろうとするとコストがかかってしまい、実施するのは難しい。
(5)ライセンス配信サーバは、1回のライセンス要求に対して1つのコンテンツに対する許諾条件しか配信することができない。そのため、複数のコンテンツを利用するとき、クライアント端末は、ライセンス配信サーバに複数回のライセンス要求を行わなければならない。
(6)クライアント端末によるライセンスの取得時に、DRMによるコンテンツ保護システムで認証された端末かどうかをライセンス配信サーバに知らせる仕組みがないので、認証されていないクライアント端末にまでライセンスが配信されてしまう。
(7)クライアント端末が、同一コンテンツに対して複数の許諾条件を格納しているライセンスを受信した場合、その中から1つの許諾条件を選択する方法がないため、受信したライセンスを利用することができない。
(8)DRMで保護されたコンテンツを編集する際に、コンテンツ内のデータの切り取りやコピー等の操作により、共有メモリ(クリップボード)からデータが盗まれてしまう。
【0008】
本発明の第1の課題は、公開鍵証明書が危殆化した場合でもクライアントモジュールの再作成・再インストールを行う必要がなく、公開鍵証明書の管理・運用を簡便に行えるような情報処理装置を提供することである。
【0009】
本発明の第2の課題は、改善されたDRMによるコンテンツ管理を実現する情報処理装置を提供することである。
【課題を解決するための手段】
【0010】
図1は、本発明の第1および第2の情報処理装置の原理図である。図1の情報処理装置は、格納手段101、生成手段102、および送信手段103を備える。第1および第2の情報処理装置は、例えば、後述する図2のライセンス配信サーバ204に対応し、格納手段101、生成手段102、および送信手段103は、例えば、後述する図44のメモリ4402、CPU(中央処理装置)4401、およびネットワーク接続装置4407にそれぞれ対応する。
【0011】
第1の情報処理装置は、暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュール111を、利用者端末に配信する。格納手段101は、暗号鍵を格納し、生成手段102は、公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書およびその公開鍵に対する秘密鍵の情報を、暗号鍵を用いて暗号化して、暗号化情報112を生成する。送信手段103は、暗号化情報112を復号する復号鍵を含み、利用者端末上で起動された後に暗号化情報を復号して、公開鍵証明書および秘密鍵の情報を取得する端末モジュール111と、暗号化情報112とを利用者端末に送信する。
【0012】
生成手段102は、暗号鍵を格納手段101から取り出し、その暗号鍵を用いて公開鍵証明書および秘密鍵の情報を暗号化して暗号化情報112を生成する。送信手段103は、端末モジュール111と生成された暗号化情報112を利用者端末に送信する。利用者端末上で端末モジュール111が起動されると、端末モジュール111は復号鍵を用いて暗号化情報112を復号して、公開鍵証明書および秘密鍵の情報を取得し、その情報を用いてライセンス配信サーバと暗号化通信を行って、ライセンスデータ113を取得する。
【0013】
このように、公開鍵証明書および秘密鍵の情報を端末モジュール111とは別に配信しておけば、利用者端末上で公開鍵証明書が危殆化した場合でも、新たな公開鍵証明書および秘密鍵の情報を含む暗号化情報を再度配信するだけで済む。したがって、端末モジュール111の再作成・再インストールを行う必要がなく、証明書更新のためのコストを低く抑えることができる。
【0014】
端末モジュール111および暗号化情報112は、例えば、図2のクライアントモジュール206および活性化情報207にそれぞれ対応する。また、利用者端末は、例えば、図2のクライアント端末201に対応し、暗号鍵および復号鍵は、例えば、図4のKsおよびKm3に対応し、公開鍵証明書および秘密鍵は、例えば、図4のCciおよびKci(i=1,2,...,n)に対応する。
【0015】
第2の情報処理装置は、利用者端末からデジタルコンテンツに対するアクセス要求を受信し、デジタルコンテンツにアクセスするためのライセンスデータを応答として利用者端末に配信する。格納手段101は、デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した複数のアクセス制御リストを格納する。生成手段102は、それらのアクセス制御リストの中から、アクセス要求に含まれるコンテンツ識別子に対応し、かつ、アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、選択したアクセス制御リストに基づく個別ライセンスデータを生成する。送信手段103は、その個別ライセンスデータを利用者端末に送信する。
【0016】
生成手段102は、格納手段101に格納された複数のアクセス制御リストのうち、アクセス要求のコンテンツ識別子に対応するものを参照し、要求者の利用者識別子に対応するアクセス制御リストを抽出する。そして、得られたアクセス制御リストが複数存在する場合、その中から1つのアクセス制御リストを選択し、選択したアクセス制御リストに基づく個別ライセンスデータを生成する。送信手段103は、生成された個別ライセンスデータを、アクセス要求に対する応答として利用者端末に送信する。
【0017】
このような情報処理装置によれば、要求者が複数のグループに所属しており、要求されたコンテンツに対して適用される許諾条件が複数存在する場合でも、その要求者に対して適用すべき許諾条件を自動的に決定し、ライセンスを配信することができる。
【0018】
本発明の第3の情報処理装置は、格納手段および選択手段を備え、デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、デジタルコンテンツにアクセスするためのライセンスデータを応答としてライセンス配信装置から受信する。格納手段は、デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、ライセンス配信装置から受信したライセンスデータを格納する。選択手段は、ライセンスデータにより指定された選択処理を実行して、それらのアクセス制御リストの中から1つのアクセス制御リストを選択する。
【0019】
選択手段は、ライセンス配信装置から受信して格納手段に格納されたライセンスデータを参照して、指定された選択処理を実行し、ライセンスデータに含まれる複数のアクセス制御リストの中から1つのアクセス制御リストを選択する。
【0020】
このような情報処理装置によれば、同一コンテンツに対して複数の許諾条件を格納しているライセンスを受信した場合でも、所定の選択処理により自動的に1つの許諾条件を選択して、受信したライセンスを利用することができる。
【0021】
第3の情報処理装置は、例えば、図2のクライアント端末201に対応し、格納手段および選択手段は、例えば、図44のメモリ4402およびCPU4401にそれぞれ対応する。また、ライセンス配信装置は、例えば、図2のライセンス配信サーバ204に対応し、選択処理を指定する情報は、例えば、後述する図39のscript_idに対応する。
【発明の効果】
【0022】
本発明によれば、PKIを利用したDRMによるコンテンツ管理システムにおいて、厳格な認証局を利用する場合に比べて、簡便な方法で公開鍵証明書の管理・運用を行うことができる。これにより、PKIの構築およびDRMによるコンテンツ管理システムの開発が容易になる。
【0023】
また、DRMによるコンテンツ管理が以下の点で改善される。
(1)1つ以上のグループに所属している利用者に対して配信すべきライセンスを自動的に決定することができる。
(2)利用者端末が同一コンテンツに対して複数の許諾条件を格納しているライセンスを受信した場合でも、自動的に1つの許諾条件を選択してライセンスを利用することができる。
【図面の簡単な説明】
【0024】
【図1】本発明の情報処理装置の原理図である。
【図2】コンテンツ保護システムの構成図である。
【図3】ライセンスの不正利用を示す図である。
【図4】クライアント活性化機能を示す図である。
【図5】活性化情報生成手順のフローチャートである。
【図6】活性化情報生成処理のフローチャートである。
【図7】活性化情報設定処理のフローチャートである。
【図8】ライセンスのデータ構造を示す図(その1)である。
【図9】ライセンスのデータ構造を示す図(その2)である。
【図10】Acl構造を示す図である。
【図11】ACLEntry構造を示す図(その1)である。
【図12】ACLEntry構造を示す図(その2)である。
【図13】ACLEntry構造を示す図(その3)である。
【図14】Acp構造を示す図(その1)である。
【図15】Acp構造を示す図(その2)である。
【図16】Acp構造を示す図(その3)である。
【図17】Acm構造を示す図(その1)である。
【図18】Acm構造を示す図(その2)である。
【図19】Acm構造を示す図(その3)である。
【図20】ルート公開鍵のハッシュ値を用いた検証処理を示す図である。
【図21】認証方式の第1の比較結果を示す図である。
【図22】第1の優先順位表を示す図である。
【図23】個別ライセンス選択処理のフローチャートである。
【図24】ACLエントリ選択処理のフローチャートである。
【図25】許諾サブジェクトドメインリストによる制御を示す図である。
【図26】オフライン制御を示す図である。
【図27】ICカード認証連携モジュールを示す図である。
【図28】ICカード認証シーケンスを示す図である。
【図29】ICカード認証処理のフローチャートである。
【図30】DecodeInformation構造を示す図である。
【図31】EntrykeyMap型を示す図である。
【図32】暗号化コンテンツの形式を示す図である。
【図33】Content Headerの形式を示す図である。
【図34】Content Informationを示す図である。
【図35】Element Informationを示す図である。
【図36】認識方式条件リストを示す図である。
【図37】論理演算を示す図である。
【図38】認証方式の第2の比較結果を示す図である。
【図39】RightsScriptSpec構造を示す図である。
【図40】第2の優先順位表を示す図である。
【図41】第3の優先順位表を示す図である。
【図42】クライアントモジュールによるACLエントリ選択処理のフローチャートである。
【図43】ライセンスを配信しない期間を示す図である。
【図44】情報処理装置の構成図である。
【図45】記録媒体を示す図である。
【図46】従来のログ管理を示す図である。
【発明を実施するための形態】
【0025】
以下、図面を参照しながら、本発明を実施するための最良の形態を詳細に説明する。
本実施形態のコンテンツ保護システムでは、DRMクライアントモジュールと活性化情報とを別々に生成し、別々に配布する。DRMクライアントモジュールは、ライセンス取得機能と暗号化コンテンツ復号機能を備えたプログラムである。活性化情報は、利用されるクラス公開鍵証明書と、その証明書の公開鍵に対する秘密鍵の情報を含んでおり、DRMクライアントモジュールを活性化してその機能を有効にするために用いられる。
【0026】
利用者は、DRMクライアントモジュールが配布された後、活性化情報を取得し、そのDRMクライアントモジュールが、活性化情報内にあるクラス公開鍵証明書と秘密鍵をDRMクライアントモジュールに自動的にセットする。その後、DRMクライアントモジュールは、ライセンス配信サーバからライセンスを取得するようになる。
【0027】
図2は、このようなコンテンツ保護システムの構成図である。図2のコンテンツ保護システムは、クライアント端末201およびコンテンツ管理システム202からなり、コンテンツ管理システム202は、利用者管理サーバ203、ライセンス配信サーバ204、およびコンテンツサーバ205を含む。クライアント端末201、利用者管理サーバ203、ライセンス配信サーバ204、およびコンテンツサーバ205は、例えば、情報処理装置(コンピュータ)に対応し、通信ネットワークを介して相互に通信することができる。
【0028】
クライアント端末201は、コンテンツを利用する利用者の端末であり、コンテンツサーバ205から暗号化コンテンツをダウンロードし、ライセンス配信サーバ204からライセンスをダウンロードし、そのライセンスの許諾条件に従って暗号化コンテンツを復号する。
【0029】
コンテンツサーバ205は、暗号化コンテンツを格納するデータベースを備え、利用者管理サーバ203は、利用者ごとの認証方式等の管理情報を格納するデータベースを備える。ライセンス配信サーバ204は、ライセンスを格納するデータベースを備え、DRMクライアントモジュールであるクライアントモジュール206と活性化情報207とを別々に生成し、クライアント端末201に配信する。クライアントモジュール206は、復号モジュール208とライセンサエージェント209からなる。
【0030】
クライアント端末201に配信されたライセンサエージェント209は、別に配信された活性化情報207を取得する。その後、ライセンサエージェント209は、ライセンス配信サーバ204からライセンスを取得し、復号モジュール208は、ライセンスを用いて暗号化コンテンツを復号する。
【0031】
ここで、ライセンサエージェント209がどのような活性化情報でも受け付けてしまう場合、悪意のある利用者が偽のライセンス配信サーバを立ち上げて、適当な活性化情報を配信することにより、その利用者が作成した復号モジュールにライセンスが渡り、利用される可能性がある。
【0032】
例えば、図3に示すように、正当なライセンス配信サーバ301がライセンサエージェント303および復号モジュール304をクライアント端末に配信した場合を想定してみる。悪意のない利用者がコンテンツを利用する場合、ライセンサエージェント303は、ライセンス配信サーバ301から活性化情報311を取得した後に、ライセンス313を取得する。
【0033】
しかし、悪意のある利用者が偽の復号モジュール305をクライアント端末に用意し、偽のライセンス配信サーバ302を立ち上げて、偽の活性化情報312を配信すると、ライセンサエージェント303は、ライセンス配信サーバ301から取得したライセンス313を復号モジュール305に渡してしまう可能性がある。
【0034】
そこで、本実施形態では、証明書発行・埋込みを安全かつ自動的に実現する「クライアント活性化機能」を次のように想定する。
(1)ライセンス配信サーバインストール時に次の処理を自動的に実施する。
・認証局秘密鍵と公開鍵証明書のセットを生成し、認証局モジュール内に維持する。
・ライセンス配信サーバに認証局公開鍵証明書を登録する。
(2)「クライアント活性化コマンド(関数)」で次の処理を自動的に実施する。
・クライアントモジュールの秘密鍵と公開鍵のセットを生成する。
・その公開鍵を認証局モジュールに入力し、公開鍵証明書を発行させる。
・指定されたクライアントモジュールに秘密鍵および公開鍵証明書と、認証局公開鍵証明書を埋め込む。
・クライアント名と証明書リストの対応表を管理のために保存する。
(3)「証明書失効コマンド(関数)」で次の処理を自動的に実施する。
・失効する証明書を指定する。
・認証局で従来のCRL(Certificate Revocation List )(失効した証明書のリスト)に指定証明書を追加したCRLを生成する。
・生成したCRLをライセンス配信サーバに設定する。
(4)ユニバーサル公開鍵証明書(Universal Certificate )をクライアント活性化機能に維持し、全世界のDRM間での相互運用も可能にしておく。
【0035】
より具体的には、認証局運用とクライアントを活性化する機能をライセンス配信サーバ管理・運用システムに実装する。クライアントモジュールのTRM化は、証明書発行ごとではなく、クライアントモジュールの提供時とバージョンアップ時にのみ実施する。クライアントモジュール活性化キーの発行は、管理・運用システム上の活性化キー自動発行機能で自動的に実施する。
【0036】
図4は、このようなクライアント活性化機能を実現する構成を示している。ここでは、ライセンス配信サーバ管理・運用システムがライセンス配信サーバ204内に設けられた場合を想定している。ライセンス配信サーバ204は、クライアント活性化モジュール402、認証局モジュール403、および記憶装置404を含み、クライアント端末201は、記憶装置405を含む。
【0037】
図4で用いられる鍵および証明書の表記法は以下の通りである。
{X}K:情報Xが鍵Kで復号できるように暗号化されていることを示す。
Km2:契約鍵。各顧客(コンテンツ登録者、コンテンツ利用者等)に秘密情報を安全に提供するために必要な鍵。公開鍵暗号方式でも対称鍵暗号方式でも可。顧客がライセンス配信サーバ204に設定する。
Cr1:認証局の公開鍵証明書。自己署名付き。
Kci(i=1,2,...,n):DRMクラス秘密鍵。
Cci(i=1,2,...,n):Kciに対応するクラス公開鍵証明書。
Ks:クライアントモジュール活性化キー送信ごとに変更されるセッション鍵。対称鍵暗号方式の鍵。
Km3:クライアントマスター鍵。製造者によりクライアントモジュールに埋め込まれる対称鍵暗号方式の秘密鍵。1つのクライアントモジュールは複数種類のKm3を持つことができる。
【0038】
契約鍵Km2は、顧客とライセンス配信サーバ管理・運用システムとで共有される。Km2は活性化キー生成ツール401により生成され、配布された後、一定期間ごとに更新される。クライアントマスター鍵Km3は、顧客とクライアントモジュールとで共有される。クライアントモジュール活性化キー{Ks}Km3||{Ks}Km2は、活性化キー生成ツール401により生成され、クライアントモジュール206の提供時とバージョンアップ時に発行される。クライアント活性化モジュール402は、契約鍵とクライアントモジュール活性化キーを用いて活性化情報207を生成する。
【0039】
図5は、ライセンス配信サーバ204の運用者による活性化情報生成手順のフローチャートである。管理・運用システムは、まず、初期化処理を行って(ステップ501)、その結果を判定する(ステップ502)。初期化処理では、認証局のルート(ルート認証局)公開鍵証明書の取得等が行われる。
【0040】
結果がOKであれば、図4の(a)に示すように、契約鍵取得処理を行って(ステップ503)、その結果を判定する(ステップ504)。これにより、契約鍵Km2がクライアント活性化モジュール402に安全に設定される。
【0041】
結果がOKであれば、次に、クライアントモジュール活性化キー取得処理を行って(ステップ505)、その結果を判定する(ステップ506)。この処理では、図4の(c)に示すように、活性化キー生成ツール401に対してクライアントモジュール活性化キーの発行を依頼し、(d)に示すように、活性化キー生成ツール401から発行されたクライアントモジュール活性化キー{Ks}Km3||{Ks}Km2を受け取る。クライアントモジュール活性化キーは、電子メールの交換により取得してもよい。
【0042】
結果がOKであれば、次に、活性化情報生成処理を行って(ステップ507)、その結果を判定する(ステップ508)。ステップ502、504、506、および508において結果がNGであれば、エラー処理を行う(ステップ509)。
【0043】
図6は、図5のステップ507でクライアント活性化モジュール402により行われる活性化情報生成処理のフローチャートである。クライアント活性化モジュール402は、まず、クライアントモジュール活性化キー取得処理を行って(ステップ601)、その結果を判定する(ステップ602)。
【0044】
結果がOKであれば、次に、契約鍵Km2でクライアントモジュール活性化キーを復号してセッション鍵Ksを取得し(ステップ603)、その結果を判定する(ステップ604)。
【0045】
結果がOKであれば、次に、DRMクラス秘密鍵Kciとクラス公開鍵証明書Cciを取得し(ステップ605)、その結果を判定する(ステップ606)。このとき、認証局モジュール403は、図4の(e)に示すように、クラス公開鍵証明書Cciを発行する。
【0046】
結果がOKであれば、次に図4の(f)に示すように、DRMクラス秘密鍵Kciとクラス公開鍵証明書Cciをセッション鍵Ksで暗号化し(ステップ607)、その結果を判定する(ステップ608)。このとき、図4の(b)に示すように認証局が生成した公開鍵証明書Cr1も、KciおよびCciとともに暗号化される。
【0047】
結果がOKであれば、次に図4の(g)に示すように、暗号化された情報とクライアントモジュール活性化キーの一部である{Ks}Km3とを結合して、活性化情報207を生成し(ステップ609)、その結果を判定する(ステップ610)。ステップ602、604、606、608、および610において結果がNGであれば、エラー処理を行う(ステップ611)。
【0048】
生成された活性化情報207は、図4の(h)に示すように、TRM化されたクライアントモジュール206とともに、記憶装置404内の活性化クライアントモジュール411に埋め込まれ、(i)に示すように、ドメイン内に配布される。こうして、活性化クライアントモジュール411は、一旦、配布先のクライアント端末201の記憶装置405内に格納される。
【0049】
図7は、クライアント端末201内のクライアントモジュール206による活性化情報設定処理のフローチャートである。クライアントモジュール206は、図4の(j)に示すように、クライアント端末201上で起動されると、まず、活性化情報207を取得し(ステップ701)、その結果を判定する(ステップ702)。
【0050】
結果がOKであれば、次に図4の(k)に示すように、クライアントマスター鍵Km3で活性化情報を復号してKciおよびCciを取得し(ステップ703)、その結果を判定する(ステップ704)。この処理では、まず、{Ks}Km3をKm3で復号してKsが取り出され、次に、残りの活性化情報をKsで復号してKci、Cci、およびCr1が取り出される。
【0051】
ステップ702および704において結果がNGであれば、エラー処理を行う(ステップ705)。
その後、クライアントモジュール206は、取得したDRMクラス秘密鍵と証明書を用いてライセンス配信サーバ204と通信し、ライセンスを取得する。
【0052】
このような仕組みによれば、クライアント端末201のクラス公開鍵証明書が危殆化した場合でも、クライアントモジュール206の再作成・再インストールを行う必要がなく、活性化情報207を入れ替えるだけで済む。したがって、証明書更新のためのコストを低く抑えることができる。
【0053】
なお、図4の構成では、ライセンス配信サーバ204内の認証局モジュール403を利用してPKIを構築しているが、代わりに外部認証局406を利用することも可能である。また、DRMクラス秘密鍵Kciとクラス公開鍵証明書Cciに加えて、秘密鍵Kcuとユニバーサル公開鍵証明書Ccuのセットを活性化情報207に追加してもよい。
【0054】
次に、本実施形態で用いられるライセンスの例を示しながら、コンテンツ保護システムの仕組みをより詳細に説明する。
図8および図9は、ライセンスのデータ構造(LicenseInfo構造)を示しており、図10は、図9のacl(アクセス制御リスト)フィールドのデータであるAcl構造を示している。図11、12、および13は、図10のacl_entryフィールドのデータであるACLEntry構造を示しており、図14、15、および16は、図11のacp(デコーダアクセス条件)フィールドのデータであるAcp構造を示しており、図17、18、および19は、図11のacm(メディアアクセス条件)フィールドのデータであるAcm構造を示している。
【0055】
前述した、悪意のある利用者が作成した復号モジュールにライセンスが渡り、利用できてしまう問題に対しては、以下のような対策が講じられる。図9に示すように、ライセンス内にrpk_hash_listというフィールドを設け、ライセンス発行時に証明書チェックに利用するルート公開鍵のハッシュ値のリストを格納する。また、復号モジュール208、ライセンサエージェント209、およびライセンス配信サーバ204にそれぞれルート公開鍵証明書を保持させておく。
【0056】
図20に示すように、クライアント端末201のライセンサエージェント209は、ライセンス配信サーバ204にライセンス取得要求を送信する。このとき、ライセンサエージェント209は、証明書のルート公開鍵のハッシュ値rpk_hash_valueをライセンス配信サーバ204に送信し、ライセンス配信サーバ204は、受信したハッシュ値を検証する。
【0057】
ライセンス配信サーバ204は、受信したハッシュ値をライセンスのrpk_hash_listに格納されたハッシュ値と比較し、そのリスト内に該当する値が存在すれば、ライセンスを配信する。しかし、リスト内に該当する値が存在しない場合は、ライセンスを配信しない。
【0058】
同様に、クライアント端末201内においても、復号モジュール208とライセンサエージェント209の間でrpk_hash_listを用いた処理を行う。復号モジュール208は、公開鍵のハッシュ値rpk_hash_valueをライセンサエージェント209に転送し、ライセンサエージェント209は、そのハッシュ値を検証する。そして、ライセンスのリスト内に該当する値が存在すれば、ライセンスを復号モジュール208に転送し、リスト内に該当する値が存在しない場合は、ライセンスを転送しない。
【0059】
このような検証処理を行うことで、悪意のある利用者が作成した復号モジュールにライセンスを渡さないようにすることができる。
次に、1つ以上のグループに所属している利用者に対して配信すべきライセンスを自動的に決定する処理について説明する。
【0060】
ライセンス配信サーバ204は、コンテンツまたはコンテンツ集合に対応して、コンテンツへのアクセスが許可されるユーザまたはユーザグループと、それぞれについて許可するアクセス形態および許諾条件を記述したアクセス制御リスト(ACL)を、データベースに登録しておく。クライアント端末201上でアクセス要求が発生するたびに、要求情報がクライアント端末201からライセンス配信サーバ204に送られ、ライセンス配信サーバ204が応答としてライセンスを配信する。
【0061】
このとき、ライセンス配信サーバ204は、ユーザまたはユーザグループによるアクセスの可否を判定した上で、コンテンツに対応するACLから個別ライセンスを生成する。具体的には、要求者が属するグループのACLエントリと要求者に対するACLエントリから、要求者用の許諾条件を生成し、個別ライセンスを生成する。個別ライセンスの生成手順は、以下の通りである。
1.ACLエントリの取得
データベースに登録された各ACLエントリのACLEntry構造(図11)には、ユーザIDおよびグループIDが含まれている。そこで、要求されたコンテンツ識別子(content_id)に対応する複数のACLエントリのうち、所定のAPI(Application Program Interface )を実装したクラスのcheckPrincipalメソッドにより得られたユーザIDおよびグループIDを有するACLエントリを取得する。checkPrincipalメソッドは、利用者のユーザ認証情報を元に、利用者管理サーバ203から利用者のユーザ情報およびグループ情報を取得するメソッドである。
2.ACLエントリの有効性の判断
取得したACLエントリに対して、以下の(1)〜(7)のいずれかの条件を満たした場合に、そのACLエントリを無効とする。取得したすべてのACLエントリ無効であった場合は、要求を拒否して終了する。ただし、条件(2)を満たした場合は、直ちに要求を拒否して終了する。
(1)Acm構造に含まれる許諾保持期限(kept_limit)、許諾開始日時(start_time)(図19)が無効。
(2)Acm構造に含まれる優先的拒否フラグ(denyフラグ)(図18のbit7)がオン。
(3)Acm構造に含まれる権利数(図19)が0(rights_count==0)
(4)Acm構造に含まれるコンテンツ操作許諾可能数(図17)が0(operation_count==0)
(5)Open時の証明書のサブジェクトがAcm構造に含まれる許諾サブジェクトドメインリスト(subject_list)(図19)に該当しない。
(6)Get_Licenseで要求された操作(operation)がACLEntry構造のoperation(図11)に合っていない。Get_Licenseは、クライアント端末201からライセンス配信サーバ204に送信されるライセンス取得要求に対応する。
(7)checkPrincipalメソッドにより得られた認証方式条件リスト(authentication_list)のビットが0で、かつ、そのビットに対応するACLエントリのauthentication_list(図12)のビットが1になっているような認証方式が、bit0からbit7の中に存在する。
【0062】
例えば、図21の例では、bit1において、checkPrincipalで得られた条件がACLエントリで設定されているauthentication_listを満たしていないため、このACLエントリは個別条件設定に使用できない。
3.ライセンス利用形態(オンライン/オフライン)の判別
(1)Get_Licenseのacmの逐次ライセンス指定フラグ(dynamic_licenseフラグ)がオンの場合
上記2の処理までに残ったACLエントリの中からdynamic_licenseフラグ(図18のbit4)がオンのもののみを残す。2の処理までに残ったすべてのACLエントリのdynamic_licenseフラグがオフの場合、要求を拒否する。この場合のreject codeは8111hであり、有効なACLエントリが存在しないことを表す。
【0063】
逐次ライセンス(オンラインライセンス)は、発行後すぐに使用するタイプのライセンスであり、使用後はクライアント端末201により破棄される。これに対して、オフラインライセンスは、一旦、クライアント端末201内に保存され、その後ライセンス配信サーバ204に接続しなくても使用できるタイプのライセンスである。
(2)Get_Licenseのacmのdynamic_licenseフラグがオフ、またはacmの指定がない場合
2の処理までに残ったACLエントリの中からdynamic_licenseフラグがオフのもののみを残す。2の処理2までに残ったすべてのACLエントリのdynamic_licenseフラグがオンの場合、要求を拒否する。この場合のreject codeも8111hである。
4.ACLエントリの選択と個別ライセンスの配信
(1)Get_Licenseでacm、acpの指定がない場合
図22の優先順位表に従ってACLエントリを選択する。ある優先順位の選択ルールにより複数のACLエントリが選択された場合は、次の優先順位の選択ルールに従ってACLエントリを選択する。
【0064】
実際には、コンテンツの部分コピーを許可する部分コピーライセンスにおいて部分コピー禁止フラグがオンになることはないので、部分コピーライセンスの選択時に優先順位4の選択ルールを用いることはない。また、コンテンツの保存を許可する保存ライセンスにおいて保存禁止フラグがオンになることはないので、保存ライセンスの選択時に優先順位5の選択ルールを用いることはない。さらに、コンテンツの印刷を許可する印刷ライセンスにおいて印刷禁止フラグがオンになることはないので、印刷ライセンスの選択時に優先順位6の選択ルールを用いることはない。
【0065】
以上の選択処理により複数のACLエントリが残る場合は、データベースに登録された順番でACLエントリを選択する。
(2)Get_Licenseでacm、acpの指定がある場合
残ったACLエントリの中から、Get_Licenseで指定されたacm、acpを満たすACLエントリを選択し、それを個別ライセンスに格納し、配信する。
(2−1)acm、acpを満足するACLエントリが複数存在する場合
図22の優先順位表に従ってACLエントリを選択する。それでも複数のACLエントリが残る場合は、データベースに登録された順番でACLエントリを選択する。
(2−2)acm、acpを満足するACLエントリが存在しない場合
要求を拒否して終了する。reject codeは8111hである。
【0066】
上述の手順に従って最終的に1つのACLエントリを選択した後、そのACLエントリを有するライセンスを配信する。このとき、ライセンスのmove_countは00hに設定し、rights_countは01hに設定して配信する。ただし、dynamic_licenseフラグがオンのACLエントリが選択された場合、逐次ライセンス(operation_count 01h、move_count 00h、rights_count 01h)を配信する。
5.サーバ側のデータベースの減算処理
ライセンス配信サーバ204は、上記4の処理で選択したACLエントリのrights_countを1だけ減算する。
【0067】
図23は、このような個別ライセンス選択処理のフローチャートである。ライセンス配信サーバ204は、まず上記1の処理により、利用者管理サーバ203から要求者が所属するグループのグループIDリストを取得し(ステップ2301)、その結果を判定する(ステップ2302)。所属グループが2つ以上であれば、次に上記2および3の処理により、ACLエントリを選択し(ステップ2303)、その結果を判定する(ステップ2304)。
【0068】
ここで、複数のACLエントリが残った場合は、上記4の処理により、ACLエントリを1つだけ選択し、ライセンスを配信する(ステップ2305)。そして、上記5の処理により、データベースの権利数を1だけ減算する(ステップ2306)。
【0069】
ステップ2302において所属グループが1つの場合、および、ステップ2304においてACLエントリが1つだけ残った場合は、直ちにライセンスを配信し(ステップ2305)、ステップ2306の処理を行う。また、ステップ2302において所属グループが0の場合は、要求者に要求破棄を通知する(ステップ2308)。
【0070】
図24は、図23のステップ2303におけるACLエントリ選択処理のフローチャートである。ライセンス配信サーバ204は、まず上記2の処理により、ACLエントリの有効性を判断し(ステップ2401)、その結果を判定する(ステップ2402)。
【0071】
ACLエントリが有効であれば、次に上記3の処理により、そのACLエントリが要求条件を満たしているか否かを判別する(ステップ2403および2404)。要求条件を満たしているACLエントリが存在すれば、それを選択結果として図23の処理に復帰する。要求条件を満たしているACLエントリが存在しなければ、要求者に要求破棄を通知する(ステップ2405)。
【0072】
このような個別ライセンス選択処理によれば、1つ以上のグループに所属している利用者に対して配信すべきライセンスを自動的に決定することができる。
次に、ライセンスをクライアント端末にダウンロードする際のアクセス可否を判定する制御と、ダウンロードされたライセンスを別のクライアント端末に安全に渡す制御について説明する。この制御では、公開鍵証明書(X.509証明書)のサブジェクトのリストを用いて許諾・拒否ドメインを限定する。
【0073】
公開鍵証明書のサブジェクトとは、証明書主体者を識別するための名前であり、通常は、X.500名前システムで表記される。例えば、TRUST株式会社のネットワーク事業部に所属するhanaという人は、以下のように表記される。
【0074】
{Country=JP,Organization=TRUST Corp.,OrganizationUnit=Network,CommonName=hana}
このように1つのエントリを表記する形式は、X.500ディレクトリシステムで定義されており、DN(Distinguished Name:識別名)と呼ばれている。また、DNの一部分はRDN(Relative Distinguished Name :相対識別名)と呼ばれている。RDNは、X.501で規定された相対識別名であり、DNは、X.501で規定された絶対識別名である。hanaのRDNは、例えば、以下のようになる。
【0075】
{Country=JP,Organization=TRUST Corp.},
{Organization=TRUST Corp.},
{CommonName=hana}
ここでは、ライセンスを配信、移動する範囲を、クライアント端末が保有する公開鍵証明書(メディアクラス公開鍵証明書)のDNで制御する。そのために、ライセンスの許諾条件の1つとして、許諾したいDNおよびRDNのリストをACLエントリの許諾サブジェクトドメインリスト(subject_list)(図19)に設定しておく。
【0076】
そして、公開鍵証明書のDNに含まれるRDNを上位から順番に取り出して、許諾サブジェクトドメインリストの各エントリ(RDN)と比較する。公開鍵証明書のサブジェクトの上位RDNとリストのある1つのエントリとが一致すれば、アクセスを許諾する。これにより、許諾サブジェクトドメインリスト内のRDNに一致するクライアント端末にしか、ライセンスを配信しないような制御が可能になる。
【0077】
例えば、図25に示すように、TRUST株式会社2501とIT株式会社2502があり、TRUST株式会社2501には、ネットワーク事業部2511とソフトウェア事業部2512があるとする。このとき、ある保護情報をTRUST株式会社2501のネットワーク事業部2511とIT株式会社2502で共有したい場合、許諾サブジェクトドメインリストに以下のような情報を設定することで、それ以外の組織へライセンスを配信しないようにできる。ただし、RDNは、最上位RDNから順番に指定される。
【0078】
{Country=JP,Organization=TRUST Corp.,OrganizationUnit=Network},
{Country=JP,Organization=IT Inc.}
この許諾サブジェクトドメインリストに従って、ライセンス配信サーバ204は、TRUST株式会社2501のネットワーク事業部2511とIT株式会社2502にライセンスを配信し、TRUST株式会社2501のソフトウェア事業部2512にはライセンスを配信しない。
【0079】
許諾サブジェクトドメインリストは、許諾条件の1つとしてライセンスに格納されて配信されるので、ライセンスを受信したクライアント端末のライセンサエージェントは、そのリストを解釈し、リストに示された範囲内でライセンスをコピー、移動することができる。
【0080】
したがって、図26に示すように、ライセンスがIT株式会社2502に配信された後、IT株式会社2502のライセンサエージェントは、上記許諾サブジェクトドメインリストに従って、TRUST株式会社2501のネットワーク事業部2511にライセンスをコピー、移動する。しかし、TRUST株式会社2501のソフトウェア事業部2512にライセンスをコピー、移動することはない。
【0081】
次に、IC(Integrated Circuit)カードを使って、配信されたライセンスを別のクライアント端末に安全にコピー、移動する方法について説明する。この方法では、ライセンスにDNを入れてクライアント端末に配信し、クライアントモジュールがそのDNとICカードのDNが一致するか否かを確認する。
【0082】
この場合、図27に示すように、クライアントモジュール206内に、ICカード認証連携モジュール2701を設ける。ICカード認証連携モジュール2701は、クライアントモジュール206に対して、ICカード2702により利用者の認証を行うモジュールである。ICカード2702にはICカード利用者の証明書が格納されており、ICカード2702はクライアント端末201のスロットに挿入されるものとする。クライアントモジュール206は、認証されたICカード2702に対してのみ、ライセンスをコピー、移動する。
【0083】
図28は、ICカード認証連携モジュール2701によるICカード認証シーケンスを示している。このシーケンスでは、毎回乱数を生成し、それを署名し、署名検証を行うことで認証が行われる。
【0084】
ICカード認証連携モジュール2701は、ライセンス利用時にICカード2702に対して状態を問い合わせて、クライアント端末201にICカード2702が接続されているか否かを確認する。ICカードが抜かれている場合、利用者に対してICカードの挿入とPIN(Personal Identification Number)コードの入力を要求する。これを受けて、利用者は、クライアント端末201にICカード2702を挿入し、PINコードを入力する(手順2801)。
【0085】
次に、ICカード認証連携モジュール2701は、乱数を生成し、ICカード2702の機能であるセキュアセッションを使用して乱数をICカード2702に送信する(手順2802)。
【0086】
ICカード2702は、保有する証明書に対する暗号鍵を使って、受信した乱数にデジタル署名を施す(手順2803)。そして、そのデジタル署名と証明書をセキュアセッションでICカード認証連携モジュール2701に送信する。
【0087】
ICカード認証連携モジュール2701は、ICカード2702の証明書の有効性を検証し(手順2804)、証明書のDNが現在クライアント端末201にログインしているアカウントと同一であるか否か(証明書のDNと配信されたライセンスのDNが一致するか否か)をチェックし(手順2805)、ICカード2702から受け取ったデジタル署名を、証明書を用いて検証する(手順2806)。
【0088】
DNチェックのためには、ICカード2702の証明書のDNとクライアント端末201のアカウントをマップするデータが必要となるが、ICカード認証連携モジュール2701はこのようなデータを保持しているものとする。
【0089】
クライアント端末201にICカード2702が接続されたままの状態の場合は、利用者にPINコードを入力させる必要はなく、手順2802以降のシーケンスに従ってICカード2702の認証が行われる。
【0090】
図29は、このようなICカード認証処理のフローチャートである。ICカード認証連携モジュール2701は、まず、乱数を生成し(ステップ2901)、それをICカード2702に送信する(ステップ2902)。次に、ICカード2702からデジタル署名と証明書を受信し(ステップ2903)、証明書の有効性検証を行って(ステップ2904)、その結果を判定する(ステップ2905)。
【0091】
結果がOKであれば、次に、証明書のDNチェックを行って(ステップ2906)、その結果を判定する(ステップ2907)。結果がOKであれば、次に、デジタル署名の検証を行って(ステップ2908)、その結果を判定する(ステップ2909)。ステップ2905、2907、および2909において結果がNGであれば、エラー処理を行う(ステップ2910、2011、および2912)。
【0092】
なお、この例ではICカードを用いてライセンスをコピー、移動しているが、そのほかにもコンピュータ読み取り可能な任意の可搬記録媒体を利用することができる。
次に、クライアント端末上でログの改ざん等が行われるという問題に対処するために、ライセンス配信サーバがクライアント端末におけるコンテンツの表示、印刷、保存、部分コピー、転送、メール添付等の操作ごとにログをとる方法について説明する。
【0093】
この方法では、ライセンス内にoperationというコンテンツの操作種別を表すフィールド(図11)を設けておく。利用者は、現在どの操作がしたいかによって、ライセンス配信サーバに希望する操作種別のライセンスを要求する。そして、ライセンス配信サーバは、どの操作種別のライセンスをクライアント端末に配信したかを示すログデータを保存することにより、クライアント端末のコンテンツに対する操作を特定する。
【0094】
このようなログ管理によれば、ログデータがサーバ側で作成・管理されるので、利用者による改ざん等が行われる可能性が非常に低くなる。
次に、クライアント端末が複数の暗号化コンテンツを利用するとき、それらのコンテンツに対するライセンスを一度に取得する方法について説明する。この方法では、ライセンス内に複数のコンテンツに対応する許諾条件・復号鍵を格納して、それらのコンテンツを制御する。また、1つのコンテンツに対する許諾条件を表すACLエントリのフィールドを複数個格納できるフィールド(図10)をライセンス内に設けることにより、複数個の許諾条件を1回で配信できるようにする。
【0095】
図30は、ライセンス内のコンテンツ復号情報(decode_information)のデータであるDecodeInformation構造(図9)を示しており、図31は、DecodeInformation構造内の暗号化コンテンツエレメント−復号鍵対応リスト(element−key−map)のデータであるElementKeyMap型を示している。
【0096】
暗号化コンテンツは、一般に、図32のような形式で配信され、N個の異なるエレメント(コンテンツ)を格納することができる。図33は、図32のヘッダ(Content Header)の形式を示しており、図34は、図33のコンテンツ情報(Content Information)を示しており、図35は、図33の各エレメント情報(Element Information)を示している。図30のDecodeInformation構造を用いることで、図32の複数のエレメント(コンテンツ)に対応する復号鍵をライセンス内に格納することができる。
【0097】
また、ACLエントリのデータであるACLEntry構造には、許諾コンテンツエレメント番号リスト(element_list)(図13)のフィールドがあり、そのACLエントリの許諾条件で利用できるエレメントのエレメント番号が格納されている。したがって、図10のAcl構造を用いることで、複数のエレメントに対応する許諾条件をライセンス内に格納することができる。
【0098】
次に、ライセンスのACLエントリの中に認証方式を記述するためのフィールドを設けて、過去において利用者を認証済みの認証方式と、そのフィールドに記述された認証方式とを比較することにより、アクセスを制御する方法について説明する。この方法では、比較すべき2つの認証方式の論理演算を行って、演算結果をアクセス条件として用いる。
【0099】
ライセンス配信サーバ204は、利用者がどのような認証方式で認証されたかを利用者管理サーバ203に問い合わせて、認証方式条件を取得する。そして、取得した条件と、クライアント端末が要求したライセンスに格納されている認証方式条件リスト(authentication_list)(図12)を比較し、ライセンスの配信可否を決定する。authentication_listには、ライセンスの登録時に必要な認証方式が設定されている。
【0100】
具体的には、ライセンス内のauthentication_listは、各ビットが各認証方式にマップされているビット列のデータであり、図36に示すような8つのビットから構成されている。必要な認証方式に対応するビットはオン(論理1)に設定される。
【0101】
ライセンス配信サーバ204は、利用者管理サーバ203から取得した認証方式の情報を図36の形式のデータにマップするとき、利用者が各認証方式による認証を正常に終了していれば、対応するビットをオンにする。例えば、利用者が既にID/パスワード方式とサイン方式で認証されている場合、00001001という値が生成される。
【0102】
生成されたデータのビットが0で、かつ、そのビットに対応するauthentication_listのビットが1になっているような認証方式が存在する場合に限り、ライセンス配信サーバ204はライセンスを配信しない。
【0103】
この制御を命題論理で説明すると、authentication_listのビットをAとし、マップされたデータのビットをBとして、各ビットに対して図37に示すような論理演算A⇒Bを行った結果、1つでも0のビットが存在すれば、ライセンス配信を拒否する処理を行う。
【0104】
図38の例では、bit1において、利用者管理サーバ203から取得した条件がライセンス内のauthentication_listを満たしていないため、そのライセンスはクライアント端末201に配信されない。このような制御によれば、DRMによるコンテンツ保護システムで認証されていないクライアント端末へのライセンス配信を防止することができる。
【0105】
次に、クライアント端末が、同一コンテンツに対して複数の許諾条件を格納しているライセンスを受信した場合、登録者の意図に従った方法でその中から1つの許諾条件を選択してライセンスを利用する方法について説明する。
【0106】
ライセンス内にはlicense_script_specというフィールド(図8)があり、ACLEntry構造にはrights_scriptというフィールド(図11)がある。これらのフィールドのデータには、図39に示すRightsScriptSpec構造が含まれている。このRightsScriptSpec構造に記述された識別子(script_id)には、許諾条件選択処理が対応付けられている。
【0107】
許諾条件選択処理の例としては、前述した図22の優先順位表に基づくACLエントリ選択処理が挙げられる。そのほかにも、図40に示すように、許諾条件の優先順位を入れ替えた優先順位表に対して、script_idを付与することができる。さらに、図41に示すように、選択ルールを変更した優先順位表に対しても、script_idを付与することができる。このように、RightsScriptSpec構造は、複数のACLエントリのうちの1つを選択する処理を指定している。
【0108】
また、この優先順位表に記述された選択ルールは、ライセンス配信システムを利用する人がだれでも見ることができるように、Web等で公開してもよい。これにより、登録者はどのように許諾条件が選択されるかを把握することができる。
【0109】
図42は、クライアントモジュール206が、受信したライセンスのRightsScriptSpec構造を利用してACLエントリを選択する処理のフローチャートである。クライアントモジュール206は、まず、ライセンス内にACLエントリが複数存在するか否かをチェックする(ステップ4201)。ACLエントリが1つしか存在しなければ、そのACLエントリが選択される。
【0110】
ACLエントリが複数存在すれば、各ACLエントリのrights_scriptのRightsScriptSpec構造をチェックし(ステップ4202)、それらが同じか否かを判定する(ステップ4203)。
【0111】
それらのRightsScriptSpec構造が同じであれば、そのscript_idに対応する許諾条件選択処理により1つのACLエントリを選択する(ステップ4204)。それらのRightsScriptSpec構造の中に異なるものが存在すれば、license_script_specのRightsScriptSpec構造のscript_idに対応する許諾条件選択処理により1つのACLエントリを選択する(ステップ4205)。
【0112】
次に、コンテンツ編集時にデータが盗まれる問題に対する対策について説明する。利用者がコンテンツを編集するときに、コンテンツの一部をコピーしてクリップボードに入れるとき、クライアントモジュール206がコピー部分のデータを暗号化してクリップボードに入れる。そして、許諾された者がペースト操作を行った場合にのみ、その部分を復号して貼り付ける処理を行う。これにより、保護文書に対する編集操作(コピー・ペースト)を許諾された者だけに限定する制御を強制的に実現する。
【0113】
本実施形態のライセンスでは、さらに以下のような制御を実現するための情報も含まれている。
(1)ユーザやグループへの優先的拒否制御を拒否期間や拒否ドメイン限定で実施する。
【0114】
ライセンス発行期間を許諾開始日時から許諾保持期限までとして発行期間を制御し、ライセンス発行期間内で、発行先のユーザおよびユーザが所属するグループにどのような許諾が与えられていても、ライセンスの発行を優先的に拒否する。
【0115】
図19に示したように、ライセンス内に、kept_period、kept_limit、およびstart_timeのフィールドを設ける。kept_periodには許諾保持期間が格納され、kept_limitには許諾保持期限が格納され、start_timeにはライセンスの配信を開始する日時(許諾開始日時)が格納される。ライセンス配信サーバ204は、これらの情報と図18のdenyフラグとを連動させることにより、所定期間、アクセス制御対象の利用者によるコンテンツ利用可否を制御する。
【0116】
ある利用者に対するACLエントリにおいて、start_timeおよびkept_limitが設定され、denyフラグがオンに設定されている場合、図43に示すように、start_timeからkept_limitまでの期間は利用者に対してライセンスが配信されない。
(2)オフラインライセンスを最初に利用するときに、利用者がパスワードを設定し、そのパスワードの入力可能期間をコンテンツ登録者が指定できるようにする。
【0117】
オフラインライセンスをパスワード認証を使って利用する場合、ライセンス内に、オフライン利用時に使用するパスワードの最低の長さを格納するpassword_min_lenというフィールド(図12)と、ライセンスがクライアント端末に到着してからパスワードをクライアント端末に入力するまでの時間を格納するpw_input_periodというフィールド(図13)を設ける。
【0118】
利用者は、pw_input_periodに設定された時間内に、password_min_lenに設定された長さ以上のパスワードを入力し、クライアントモジュール206は、そのパスワードを保存・設定する。以後、オフラインでライセンスを利用するときに、利用者は設定されたパスワードを使用する。
(3)DRM技術と重畳表示/印刷の連携方式
現状のDRMによる保護方法では、例えば、悪意のある利用者が保護文書を表示している間に、その表示画面をデジタルカメラで撮影し、撮影データを第三者に渡すことが考えられる。また、印刷権限があるライセンスを正当に取得し、印刷した保護文書をコピー機でコピーして、第三者に渡すことも考えられる。
【0119】
そこで、ライセンス内に、ライセンス発行日時、ライセンス発行主体や発行主体が所属するグループ等の属性情報等といった重畳情報を格納しておく。重畳情報が格納されたライセンスを取得したクライアントモジュール206は、コンテンツの表示または印刷時に、強制的に重畳情報を表示または印刷する。これにより、誰がいつコンテンツを表示または印刷したかという情報がコンテンツ自身に付加されるため、コンテンツの配布経路を特定しやくなる。
【0120】
ところで、図2のクライアント端末201、利用者管理サーバ203、ライセンス配信サーバ204、およびコンテンツサーバ205は、例えば、図44に示すような情報処理装置(コンピュータ)を用いて構成される。図44の情報処理装置は、CPU(中央処理装置)4401、メモリ4402、入力装置4403、出力装置4404、外部記憶装置4405、媒体駆動装置4406、ネットワーク接続装置4407を備え、それらはバス4408により互いに接続されている。
【0121】
メモリ4402は、例えば、ROM(read only memory)、RAM(random access memory)等を含み、処理に用いられるプログラムおよびデータを格納する。CPU4401は、メモリ4402を利用してプログラムを実行することにより、必要な処理を行う。
【0122】
図4の記憶装置404および405は、メモリ4402または外部記憶装置4405に対応する。図2のクライアントモジュール206、復号モジュール208、ライセンサエージェント209、図4の活性化キー生成ツール401、クライアント活性化モジュール402、認証局モジュール403、および図27のICカード認証連携モジュール2701は、メモリ4402に格納されたプログラムまたはその機能に対応する。
【0123】
入力装置4403は、例えば、キーボード、ポインティングデバイス、タッチパネル等であり、コンテンツ登録者、管理者、利用者等のオペレータからの指示や情報の入力に用いられる。出力装置4404は、例えば、ディスプレイ、プリンタ、スピーカ等であり、オペレータへの問い合わせや処理結果等の出力に用いられる。
【0124】
外部記憶装置4405は、例えば、磁気ディスク装置、光ディスク装置、光磁気ディスク装置、テープ装置等である。情報処理装置は、この外部記憶装置4405に、上記プログラムおよびデータを格納しておき、必要に応じて、それらをメモリ4402にロードして使用する。また、外部記憶装置4405は、利用者管理サーバ203、ライセンス配信サーバ204、およびコンテンツサーバ205のデータベースとしても使用される。
【0125】
媒体駆動装置4406は、可搬記録媒体4409を駆動し、その記録内容にアクセスする。可搬記録媒体4409は、メモリカード、フレキシブルディスク、CD−ROM(compact disk read only memory )、光ディスク、光磁気ディスク等の任意のコンピュータ読み取り可能な記録媒体である。オペレータは、この可搬記録媒体4409に上記プログラムおよびデータを格納しておき、必要に応じて、それらをメモリ4402にロードして使用する。
【0126】
ネットワーク接続装置4407は、LAN(local area network)やインターネット等の任意の通信ネットワークに接続され、通信に伴うデータ変換を行う。情報処理装置は、必要に応じて、上記プログラムおよびデータを外部の装置からネットワーク接続装置4407を介して受け取り、それらをメモリ4402にロードして使用する。
【0127】
図45は、図44の情報処理装置にプログラムおよびデータを供給することのできるコンピュータ読み取り可能な記録媒体を示している。可搬記録媒体4409やサーバ4501のデータベース4511に格納されたプログラムおよびデータは、情報処理装置4502のメモリ4402にロードされる。サーバ4501は、そのプログラムおよびデータを搬送する搬送信号を生成し、ネットワーク上の任意の伝送媒体を介して情報処理装置4502に送信する。CPU4401は、そのデータを用いてそのプログラムを実行し、必要な処理を行う。
(付記1)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュールを、利用者端末に配信する情報処理装置であって、
暗号鍵を格納する格納手段と、
前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を、前記暗号鍵を用いて暗号化して、暗号化情報を生成する生成手段と、
前記暗号化情報を復号する復号鍵を含み、前記利用者端末上で起動された後に該暗号化情報を復号して、前記公開鍵証明書および秘密鍵の情報を取得する端末モジュールと、該暗号化情報とを前記利用者端末に送信する送信手段と
を備えることを特徴とする情報処理装置。
(付記2)
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信する情報処理装置であって、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した複数のアクセス制御リストを格納する格納手段と、
前記複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、選択したアクセス制御リストに基づく個別ライセンスデータを生成する生成手段と、
前記個別ライセンスデータを前記利用者端末に送信する送信手段と
を備えることを特徴とする情報処理装置。
(付記3)
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信する情報処理装置であって、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信した前記ライセンスデータを格納する格納手段と、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する選択手段と
を備えることを特徴とする情報処理装置。
(付記4)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュールを、利用者端末に配信するコンピュータのためのプログラムであって、
前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を、格納手段に格納された暗号鍵を用いて暗号化して、暗号化情報を生成し、
前記暗号化情報を復号する復号鍵を含み、前記利用者端末上で起動された後に該暗号化情報を復号して、前記公開鍵証明書および秘密鍵の情報を取得する端末モジュールと、該暗号化情報とを前記利用者端末に送信する
処理を前記コンピュータに実行させることを特徴とするプログラム。
(付記5)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを、ライセンス配信装置から公開鍵基盤を利用して取得するコンピュータのためのプログラムであって、
格納手段に格納された暗号化情報を前記プログラムに含まれる復号鍵を用いて復号して、前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を取得し、
前記公開鍵証明書および秘密鍵の情報を用いて暗号化通信を行うことで、前記ライセンス配信装置から前記ライセンスデータを取得する
処理を前記コンピュータに実行させることを特徴とするプログラム。
(付記6)
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信するコンピュータのためのプログラムであって、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
選択したアクセス制御リストに基づく個別ライセンスデータを生成する
処理を前記コンピュータに実行させることを特徴とするプログラム。
(付記7)
公開鍵証明書の識別名の一部分を表す相対識別名であって、前記選択したアクセス制御リストの許諾ドメインサブジェクトリストに記述された該相対識別名と、前記利用者端末が保有する公開鍵証明書の識別名を比較し、該利用者端末が保有する公開鍵証明書の識別名の一部分と該相対識別名が一致したとき、前記個別ライセンスデータを該利用者端末に配信する処理を、前記コンピュータにさらに実行させることを特徴とする付記6記載のプログラム。
(付記8)
前記プログラムは、前記個別ライセンスデータに公開鍵証明書の識別名を記述して前記利用者端末に配信する処理を前記コンピュータにさらに実行させ、該利用者端末は、該個別ライセンスデータに記述された識別名と可搬記録媒体に格納された公開鍵証明書の識別名が一致したとき、該可搬記録媒体に該個別ライセンスデータを格納することを特徴とする付記6記載のプログラム。
(付記9)
前記個別ライセンスデータを前記利用者端末に配信したとき、該個別ライセンスデータにより該利用者端末に対して許可されるコンテンツ操作種別を示すログデータを保存する処理を、前記コンピュータにさらに実行させることを特徴とする付記6記載のプログラム。
(付記10)
前記個別ライセンスデータは、複数のデジタルコンテンツのそれぞれにアクセスするための複数の許諾条件および複数の復号鍵を含むことを特徴とする付記6記載のプログラム。
(付記11)
前記個別ライセンスデータに記述された利用者の認証方式と、前記要求者を既に認証済みの認証方式とを比較し、該個別ライセンスデータに記述された認証方式が該認証済みの認証方式に該当しない場合に該個別ライセンスデータを前記利用者端末に配信しない処理を、前記コンピュータにさらに実行させることを特徴とする付記6記載のプログラム。
(付記12)
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信するコンピュータのためのプログラムであって、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信して格納手段に格納されたライセンスデータを参照し、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する
処理を前記コンピュータに実行させることを特徴とするプログラム。
(付記13)
利用者が前記ライセンスデータを用いて前記デジタルコンテンツにアクセスし、該デジタルコンテンツの一部をコピーしてクリップボードに入れるとき、コピー部分のデータを暗号化してクリップボードに入れ、許諾された者がペースト操作を行った場合に該コピー部分のデータを復号して貼り付ける処理を、前記コンピュータにさらに実行させることを特徴とする付記12記載のプログラム。
(付記14)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュールを、利用者端末に配信するコンピュータのためのプログラムを記録した記録媒体であって、
前記プログラムは、
前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を、格納手段に格納された暗号鍵を用いて暗号化して、暗号化情報を生成し、
前記暗号化情報を復号する復号鍵を含み、前記利用者端末上で起動された後に該暗号化情報を復号して、前記公開鍵証明書および秘密鍵の情報を取得する端末モジュールと、該暗号化情報とを前記利用者端末に送信する
処理を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記録媒体。
(付記15)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを、ライセンス配信装置から公開鍵基盤を利用して取得するコンピュータのためのプログラムを記録した記録媒体であって、
前記プログラムは、
格納手段に格納された暗号化情報を前記プログラムに含まれる復号鍵を用いて復号して、前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を取得し、
前記公開鍵証明書および秘密鍵の情報を用いて暗号化通信を行うことで、前記ライセンス配信装置から前記ライセンスデータを取得する
処理を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記録媒体。
(付記16)
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信するコンピュータのためのプログラムを記録した記録媒体であって、
前記プログラムは、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
選択したアクセス制御リストに基づく個別ライセンスデータを生成する
処理を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記録媒体。
(付記17)
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信するコンピュータのためのプログラムを記録した記録媒体であって、
前記プログラムは、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信して格納手段に格納されたライセンスデータを参照し、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する
処理を前記コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記録媒体。
(付記18)
暗号化されたデジタルコンテンツを復号するためのライセンスデータを公開鍵基盤を利用して取得するプログラムである端末モジュールを、利用者端末に配信する情報処理方法であって、
生成手段が、前記公開鍵基盤に基づく暗号化通信に必要な公開鍵証明書および該公開鍵証明書の公開鍵に対する秘密鍵の情報を、格納手段に格納された暗号鍵を用いて暗号化して、暗号化情報を生成し、
送信手段が、前記暗号化情報を復号する復号鍵を含み、前記利用者端末上で起動された後に該暗号化情報を復号して、前記公開鍵証明書および秘密鍵の情報を取得する端末モジュールと、該暗号化情報とを前記利用者端末に送信する
ことを特徴とする情報処理方法。
(付記19)
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信する情報処理方法であって、
生成手段が、デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
前記生成手段が、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
前記生成手段が、選択したアクセス制御リストに基づく個別ライセンスデータを生成する
ことを特徴とする情報処理方法。
【符号の説明】
【0128】
11、201 クライアント端末
12 ログ管理サーバ
13 操作ログ
14 ログデータ
101 格納手段
102 生成手段
103 送信手段
111 端末モジュール
112 暗号化情報
113 ライセンスデータ
202 コンテンツ管理システム
203 利用者管理サーバ
204、301、302 ライセンス配信サーバ
205 コンテンツサーバ
206 クライアントモジュール
207、311、312 活性化情報
208、304、305 復号モジュール
209、303 ライセンサエージェント
313 ライセンス
401 活性化キー生成ツール
402 クライアント活性化モジュール
403 認証局モジュール
404、405 記憶装置
406 外部認証局
411 活性化クライアントモジュール
2501 TRUST株式会社
2502 IT株式会社
2511 ネットワーク事業部
2512 ソフトウェア事業部
2701 ICカード認証連携モジュール
2702 ICカード
4401 CPU
4402 メモリ
4403 入力装置
4404 出力装置
4405 外部記憶装置
4406 媒体駆動装置
4407 ネットワーク接続装置
4408 バス
4409 可搬記録媒体
4501 サーバ
4502 情報処理装置
4511 データベース
【特許請求の範囲】
【請求項1】
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信する情報処理装置であって、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した複数のアクセス制御リストを格納する格納手段と、
前記複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、選択したアクセス制御リストに基づく個別ライセンスデータを生成する生成手段と、
前記個別ライセンスデータを前記利用者端末に送信する送信手段と
を備えることを特徴とする情報処理装置。
【請求項2】
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信する情報処理装置であって、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信した前記ライセンスデータを格納する格納手段と、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する選択手段と
を備えることを特徴とする情報処理装置。
【請求項3】
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信するコンピュータのためのプログラムであって、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
選択したアクセス制御リストに基づく個別ライセンスデータを生成する
処理を前記コンピュータに実行させることを特徴とするプログラム。
【請求項4】
公開鍵証明書の識別名の一部分を表す相対識別名であって、前記選択したアクセス制御リストの許諾ドメインサブジェクトリストに記述された該相対識別名と、前記利用者端末が保有する公開鍵証明書の識別名を比較し、該利用者端末が保有する公開鍵証明書の識別名の一部分と該相対識別名が一致したとき、前記個別ライセンスデータを該利用者端末に配信する処理を、前記コンピュータにさらに実行させることを特徴とする請求項3記載のプログラム。
【請求項5】
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信するコンピュータのためのプログラムであって、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信して格納手段に格納されたライセンスデータを参照し、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する
処理を前記コンピュータに実行させることを特徴とするプログラム。
【請求項6】
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信する情報処理方法であって、
生成手段が、デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
前記生成手段が、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
前記生成手段が、選択したアクセス制御リストに基づく個別ライセンスデータを生成する
ことを特徴とする情報処理方法。
【請求項1】
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信する情報処理装置であって、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した複数のアクセス制御リストを格納する格納手段と、
前記複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、選択したアクセス制御リストに基づく個別ライセンスデータを生成する生成手段と、
前記個別ライセンスデータを前記利用者端末に送信する送信手段と
を備えることを特徴とする情報処理装置。
【請求項2】
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信する情報処理装置であって、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信した前記ライセンスデータを格納する格納手段と、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する選択手段と
を備えることを特徴とする情報処理装置。
【請求項3】
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信するコンピュータのためのプログラムであって、
デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
選択したアクセス制御リストに基づく個別ライセンスデータを生成する
処理を前記コンピュータに実行させることを特徴とするプログラム。
【請求項4】
公開鍵証明書の識別名の一部分を表す相対識別名であって、前記選択したアクセス制御リストの許諾ドメインサブジェクトリストに記述された該相対識別名と、前記利用者端末が保有する公開鍵証明書の識別名を比較し、該利用者端末が保有する公開鍵証明書の識別名の一部分と該相対識別名が一致したとき、前記個別ライセンスデータを該利用者端末に配信する処理を、前記コンピュータにさらに実行させることを特徴とする請求項3記載のプログラム。
【請求項5】
デジタルコンテンツに対するアクセス要求をライセンス配信装置に送信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該ライセンス配信装置から受信するコンピュータのためのプログラムであって、
前記デジタルコンテンツに対して許可されるアクセス形態および許諾条件を記述した複数のアクセス制御リストと選択処理を指定する情報とを含み、前記ライセンス配信装置から受信して格納手段に格納されたライセンスデータを参照し、
前記ライセンスデータにより指定された選択処理を実行して、前記複数のアクセス制御リストの中から1つのアクセス制御リストを選択する
処理を前記コンピュータに実行させることを特徴とするプログラム。
【請求項6】
利用者端末からデジタルコンテンツに対するアクセス要求を受信し、該デジタルコンテンツにアクセスするためのライセンスデータを応答として該利用者端末に配信する情報処理方法であって、
生成手段が、デジタルコンテンツに対応付けて、アクセスが許可される利用者、許可されるアクセス形態、および許諾条件を記述した、格納手段に格納された複数のアクセス制御リストの中から、前記アクセス要求に含まれるコンテンツ識別子に対応し、かつ、該アクセス要求を送信した要求者の利用者識別子に対応するアクセス制御リストを取得し、
前記生成手段が、得られたアクセス制御リストが複数存在する場合、得られた複数のアクセス制御リストの中から1つのアクセス制御リストを選択し、
前記生成手段が、選択したアクセス制御リストに基づく個別ライセンスデータを生成する
ことを特徴とする情報処理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【図44】
【図45】
【図46】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【図44】
【図45】
【図46】
【公開番号】特開2009−181598(P2009−181598A)
【公開日】平成21年8月13日(2009.8.13)
【国際特許分類】
【出願番号】特願2009−122860(P2009−122860)
【出願日】平成21年5月21日(2009.5.21)
【分割の表示】特願2004−49164(P2004−49164)の分割
【原出願日】平成16年2月25日(2004.2.25)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成21年8月13日(2009.8.13)
【国際特許分類】
【出願日】平成21年5月21日(2009.5.21)
【分割の表示】特願2004−49164(P2004−49164)の分割
【原出願日】平成16年2月25日(2004.2.25)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]