プライバシーを保護する情報配布システムにおけるライセンス管理
情報配布システムにおいて、ユーザーのプライバシーを提供しながら、第一のユーザーから一人または複数の他のユーザーにライセンスを移転するためのシステムおよび方法。プライバシーのレベルは、ライセンス書式とマスターライセンスおよび匿名ライセンスの使用とによって、およびライセンスに対応する証明書に失効リストを含めることによって高められる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザーがデジタル情報を要求できる情報配布システムに、より詳細にはユーザー情報を保護する情報配布システムに関する。
【背景技術】
【0002】
現在、個人は、幅広い活動に携わる際に身元(identity)を明かすことを求められる。典型的には、クレジットカードを使うとき、電話をかけるとき、税金を払うとき、雑誌を購読するとき、あるいはクレジットカードもしくはデビットカードを使ってインターネット上で何かを買うとき、各トランザクションの同定可能な記録が生成され、どこかのコンピュータデータベースに記録される。現金以外の何かを使ってサービスを受けたり購入をしたりするためには、組織はユーザーが身元を証明することを要求する。
【0003】
消費者調査はたびたび、個人がプライバシーを重んじ、あまりに多くの個人情報が自分たちの管理の及ばないコンピュータデータベースに日常的に保存されているという事実に懸念を抱いていることを示してきた。身元を保護することは匿名のままでいる選択肢と相携わる。プライバシーのキーとなる要素である。情報・通信技術の進歩により組織は大量の個人データを保存できるようになったものの、このことは情報が収集される個人のプライバシーをますます危機にさらしている。ますますプライバシー意識が高まる世界にあって、個人情報の開示とユーザー追跡の可能性はユーザー側でいくつかのプライバシー上の懸念を生じうるものであり、ゆくゆくはそうしたユーザーがプライバシー侵襲的な新技術に対する敵意を増すことにもつながりかねない。
【0004】
このことは、できるだけ指向的なマーケティングキャンペーンを実行したり欺瞞から自衛したりできるためにユーザーについてできるだけ多くを知ろうとするサービス提供者または情報配布者の利益に真っ向から反するものである。用心策として、システムを不正使用したユーザーは将来そのシステムから排除されなければならない。
【0005】
多くの情報配布システムにおいて、種々のユーザーの習癖を知ることは比較的容易である。たとえばシステム内の通信を傍受することによりできる。この情報がのちにたとえばスパムのために不正使用されうる。今日、こうした問題は、たとえばシステムで使われる秘密コードなどの保存法に細心の注意を払うようユーザーに求めることによって、あるいは高度なセキュリティによって重要情報を保護することによって部分的に解決される。US2003/0200468A1はオンライン・トランザクションにおいて、ユーザーの身元を信頼されるウェブサイトに保存することによって顧客の身元を保護する方法を記載している。
【0006】
しかし、安全なウェブサイトを使った上述のシステムには脆弱性がある。信頼されたウェブサイトの攻撃に成功した者は、どの鍵がどのユーザー素性に対応するかの知識を有する。よって攻撃者はこの情報を使ってあるユーザーの習癖をより保護の弱い情報配布システム内に対応させることができる。
【0007】
プライバシーを保護する情報配布システムのユーザーは、自分が所有する、ある種の要求される情報に関する権利を記述したライセンスを配布したいことがありうる。本文書において、「配布(distribute)」の語は2種類の行動に関係する。一つはライセンスを別のユーザーに譲渡または販売すること。これは元の所有者はそのライセンスを保有しなくなり、ライセンスが別のユーザーに移転されることを意味している。もう一つは、権利を、あるグループまたはドメインに属する一人または複数の他のユーザーと共有することである。ユーザーが別のユーザーと権利を共有したときには、両方のユーザーがそれぞれ自由に使える1ライセンスを保有する。個別のライセンスに関連付けられた権利は必ずしも等しくなくてもよい。たとえば、移転された権利に関連付けられた権利は元の権利より制限されていてもよい。
【0008】
システム内で権利を配布することに関係した問題は、ユーザーのプライバシーが保護されながら、一人のユーザーから一人または複数の他のユーザーにライセンスを配布できるシステムを提供することである。
【発明の開示】
【発明が解決しようとする課題】
【0009】
情報配布システムにおいて、少なくとも一人のユーザーから少なくとも一人の他のユーザーに権利またはライセンスを配布することに関係した上述の問題を、前記ユーザーについてのプライバシーを提供しながら解消または少なくとも軽減することが本発明の目的である。
【課題を解決するための手段】
【0010】
この目的は、付属の請求項1および15に従った方法およびシステムによって達成される。好ましい実施形態は従属請求項において定義される。
【0011】
ここでの用法では、「ユーザーの実際の身元」の表現は、ユーザーの物理的な素性または電話番号、住所、社会保障もしくは保険番号、銀行口座番号、クレジットカード番号、組織番号などのような物理的なユーザーに結び付けられるデータのことをいう。さらに、ここでの用法では「仮名」または追加的身元は、ある人の実際の身元に結び付けられるのを防ぐのに十分な匿名性をもついかなるデータでもよい。ユーザーの実際の身元と前記ユーザーによって要求される情報との間に何らの結び付きもないとは、どの実際のユーザーがどの情報を要求したのかを再構成する明らかな方法はないということを意味している。それはたとえば、そのような再構成を可能にする情報を保存したデータベースがないことによる。
【0012】
その第一の側面によれば、本発明は、情報配布システムにおいて、少なくとも一人のユーザーに属するライセンスおよび証明書を、前記ユーザーの身元を秘密に保ちつつ管理する方法に関する。前記システムにおいて、各ユーザーは少なくとも一つのユーザー同定装置によって代表される。ユーザー同定装置は少なくとも第一の持続的仮名を有している。当該方法は以下のステップを有する:
・ライセンス管理装置において、要求された情報と対応する権利とを表すデータを受け取り、
・前記ライセンス管理装置において、前記要求された情報についての第一のライセンスを生成し、
・第一のユーザー同定装置において、前記第一のライセンスを受け取り、
・前記ライセンス管理装置において、少なくとも一つの持続的仮名を含む持続的仮名の集合と、前記第一のライセンスに基づく第二のライセンスと、前記第二のライセンスを、それぞれが前記持続的仮名の集合に含まれる個別の持続的仮名に関連付けられたユーザー同定装置を少なくとも一つ有するユーザー同定装置の集合に割り当てる要求とを受け取り、
・前記ライセンス管理装置において、前記要求された情報についてのライセンスの集合を生成し、該集合はユーザー同定装置の前記集合の各ユーザー同定装置について第三のライセンスを含んでおり、各ライセンスは前記個別の第三のライセンスを同定するために使用できる身元データ含んでおり、
・身元管理装置において、証明書の要求と前記持続的仮名の集合に含まれる第二の持続的仮名とを、前記第二の持続的仮名に対応し、前記ユーザー同定装置の集合に含まれる第二のユーザー同定装置から受け取り、
・前記身元管理装置において、証明書を生成し、
・前記第二のユーザー同定装置において、前記証明書を前記身元管理装置から受け取り、
・前記ライセンスの集合中の前記生成されたライセンスのそれぞれを前記ユーザー同定装置の集合に含まれる対応するユーザー同定装置に配布し、
・前記要求された情報へのアクセスの時に前記ライセンスの集合に含まれるライセンスおよび前記証明書を検証する。
【0013】
その第二の側面によれば、本発明は、ユーザーの身元を秘密に保ちながらの情報配布のための情報システムに関する。当該システムは以下を有している:
・持続的仮名を含む第一のユーザー同定装置と、
・ユーザー同定装置を少なくとも一つ有するユーザー同定装置の集合と、
・ライセンス管理装置であって、要求される情報および対応する権利を表すデータを前記第一のユーザー同定装置から受け取り、第一のライセンスを生成し、前記第一のライセンスを前記第一のユーザー同定装置に送り、前記第一のライセンスに基づく第二のライセンスと少なくとも一つの持続的仮名を含む持続的仮名の集合とを受け取り、ライセンスの集合を生成し、該集合は前記第二の持続的仮名の集合に含まれる個別の持続的仮名に関連付けられた各ユーザー同定装置についての第三のライセンスを有しており、前記ライセンスの集合に含まれる前記ライセンスのそれぞれを対応するユーザー同定装置に配布するよう構成されたライセンス管理装置と、
・持続的仮名を受け取り、証明書を生成し、証明書を前記ユーザー装置の集合に含まれる前記ユーザー同定装置に送るよう構成された身元管理装置。
【発明の効果】
【0014】
上述の両側面の一つの利点は、どのユーザーの実際の身元もシステムに対して明かすことなく、一人のユーザーから一人または複数の別の他のユーザーにライセンスが配布できるということである。よって、前記ユーザーの実際の身元がシステム中の識別子に関連付けられないので、ユーザーのプライバシーが維持される。その結果、情報配布システムにおけるユーザーの振る舞いを監視することが防止される。
【0015】
下記に、本発明の種々の実施形態に関係するいくつかの利点を挙げる。これらのすべてに共通するのは、記載される諸方法はユーザーの身元をシステムに対して秘密に保つということである。
【0016】
ライセンスをあるドメインに配布するときにマスターライセンスが使われる請求項2に記載の方法は、どの当事者も(おそらくはドメインの生成を受け持つ者などを例外として)ドメイン構成員(またはその識別子)をドメイン識別子と結び付けることができないという意味で、ドメイン構造についてのプライバシーを有利に提供する。さらに、第二のライセンス管理装置またはドメインマネージャの導入は、コンテンツ提供者が可算権利の消費がいつ発生するか、どの識別子が関わっているか、どのコンテンツおよびどの装置が使われたかを知ることが防止されるという意味で可算権利のプライバシーが向上した管理を提供する。ドメインごとに一つなど複数のドメインマネージャを導入することによって、どの装置も、どの情報がどの装置によって使われるかの完全な知識は持たない。さらに、この方法は、ユーザーのプライバシーを保護しながら可算権利を管理する際に有利である。この方法を通じて、第一のライセンス管理装置に向けての行動プライバシーが達成される。すなわち、第一のライセンス管理装置は可算権利の変更に関わる各ユーザー行動について、時刻、要求された情報、ユーザー同定装置および持続的仮名を知ることがない。
【0017】
請求項3に記載の方法は、安全なライセンス構造を有利に提供する。
【0018】
請求項4に記載の方法は、要求されたコンテンツへのアクセスが提供される前にユーザー同定装置ライセンスとマスターライセンスの両方が検証されることを要求しているので、より高レベルのセキュリティを有利に提供する。この検証プロセスにおいては、マスターライセンスに含まれる権利が前記ユーザー同定装置ライセンスに含まれる権利よりも制限されたものでないことを判別するため、前記ユーザー同定装置ライセンスに含まれる権利を前記マスターライセンスに含まれる権利と比較することができる。
【0019】
請求項5に記載の方法は、対応する証明書においてどのライセンスが有効であるかの指標を提供することによってライセンスの有効性の検証を有利に容易にする。「どのライセンスが有効であるかを示す」作用はプラス式およびマイナス式の両方で実行されうる。マイナス式の一例は、もはや有効でないすべてのライセンスを含んだ失効リストすなわちブラックリストを使用することである。プラス式の例はあらゆる有効なライセンスを含むホワイトリストを使う。
【0020】
請求項6に記載の方法は、ライセンスがたとえば別のユーザーに送信されたとき、あるいは悪意ある行動など他の理由により無効になったときに古いライセンスの取り消しを有利に容易にする。
【0021】
請求項5および6に記載の方法は、有効でなくなったライセンスを取り消す安全な方法を提供するという利点がある。該方法は、古いライセンスと新しいライセンスが同時には使用できないことを保証する。さらに、該方法は情報を提供する装置がライセンスの古いユーザーと新しいユーザーとの間のつながりを知ることを防止する。
【0022】
請求項7に記載の方法は、ライセンスを同定する有利な方法を提供する。通常、情報の各セットは異なる鍵を用いてエンコードされる。この鍵は前記ライセンスに含まれ、前記コンテンツを復号するために使うことができる。各ライセンスが異なる鍵を有しているので、ライセンスを同定するのに鍵を使うことができるのである。さらに、このライセンス同定データは使用、共有または移転された権利の管理を容易にする。
【0023】
請求項8に記載の方法は、完全性(integrity)を提供する有利な方法である。この方法によれば、証明書に含まれる有効なライセンスを示すライセンスのリストにおける各ライセンス同定データはハッシュ関数により定数を用いてエンコードされる。これは、証明書およびライセンスの検証者がライセンスが有効であるかどうかを判別するのを、前記ライセンス同定データをエンコードされたライセンス同定データのリストと比較することによって行うことを許容するが、他のエンティティはそのライセンス同定データについて何も知ることができない。
【0024】
請求項9に記載の方法は、ユーザーの身元をシステムに明かすことなく情報提供者に安全性を提供する有利なライセンス書式を提供する。
【0025】
請求項10に記載の方法は、呈示されるライセンスが有効である(失効していない)と判定する方法を容易にするので有利である。
【0026】
請求項11に記載の方法は、どのユーザーも他のいかなるユーザー鍵も管理する必要がないので有利である。
【0027】
請求項12に記載の方法は、システムが前記第一および第二の持続的仮名の間の関連付けを知ることを防止するので有利である。これが知られるとスパムなどのために悪用されうるので、ユーザーは知られたくないことがありうる。
【0028】
請求項14に記載の方法は、前記移転されたライセンスについては元のライセンスに比べてより制限された権利を提供する方法を容易にするので有利である。よって、この方法はドメイン内の構成員どうしの間で権利を差別化するために使うことができる。
【0029】
前記方法の実施形態によって得られるいくつかの利点を上述した。同様の利点は、システムに関係する従属請求項で定義される前記情報配布システムの対応する実施形態によって達成することもできる。
【0030】
これらのことを含む本発明のさまざまな側面は、以下に述べる実施形態を参照することから明らかとなり、明快にされるであろう。
【発明を実施するための最良の形態】
【0031】
図1は、本発明の実施形態を概略的に示している。インターネットなどに接続されたデータベースのようなコンテンツ提供者またはライセンス管理装置(license managing device)LMD120に属する情報を、自分の実際の身元を情報システム100に明かすことなく利用したいユーザーは、ユーザー同定装置またはスマートカード(smart card)SC110を使うことによってそうできる。ユーザーが何らかのコンテンツにアクセスするための権利を購入したいとき、ユーザーは、匿名通信路によってコンテンツ提供者またはライセンス管理装置120に連絡して、権利113およびあるコンテンツ112を要求する。匿名支払い方式が実施されたのち、ユーザーは自分の公開鍵(public key)PK1 111をライセンス管理装置110に送り(1)、するとそのライセンス管理装置はそのコンテンツについての権利および/またはライセンス121を生成する(2)。異なる実施形態によって、コンテンツ提供者とライセンス管理装置は一つの共通のユニットであることも、二つの別個のユニットであることもできる。二つの別個のユニットである場合、コンテンツ提供者が要求されたコンテンツをユーザーに送り、ライセンス管理装置がそのコンテンツについてのライセンスを生成する。それらが一つの共通ユニットである場合、ライセンス管理装置はユーザーに要求されたコンテンツとライセンスの両方を提供する。
【0032】
コンテンツは対称鍵(symmetric key)SYMを用いてコンテンツ提供者によって暗号化されており、ライセンス121とともにユーザーに送られる。好ましくは、ライセンスの書式は{PK1[SYM‖Rights‖contentID]}signCPである。ここで、PK1が連結された値[SYM‖Rights‖contentID]を暗号化している。本文書では、Rightsはユーザーが得る権利をいう。たとえば、ある楽曲全体を聞く権利を有しているかイントロだけか、あるいはその楽曲を聴く権利がある回数などである。さらに、contentIDは前記権利に関連付けられたコンテンツを同定し、signCPはライセンス121に対するコンテンツ提供者(content provider)の署名である。さらなる安全性を提供する代替的な書式は{PK1[SYM‖Rights‖contentID],H(SYM‖Rights‖contentID)}signCPである。ここでは、暗号化の中にある完全な値がアクセス装置によって個々に検査されることができる。アクセス装置はPK1を知ることはできないので、PK1を用いた暗号化のもとでは完全な値を検査することはできないことを注意しておく。ライセンス121は、検査されるときも、公開鍵PK1 111を明かすこともなければ、コンテンツ識別子または権利を明かすこともないので、コンテンツおよび権利所有に関してユーザーのプライバシーを保護する。したがって、ライセンス121がユーザーの記憶装置内にみつかったとしても、ユーザーのプライバシーを危殆化することはない。上で簡単に述べたこの購入手続きの間、ライセンス管理装置120は公開鍵PK1 111とcontentID112、権利113および対称鍵との間の関連付けを知るが、匿名通信路のため本当のユーザーの身元を知ることはない。
【0033】
第一のユーザー同定装置110のユーザーが自分のライセンスの一つを第二のユーザー装置130の保有者に配布したいときは、前記第二のユーザー装置のための対応するライセンスを生成する必要がある。これはたとえば以下の手続きを通じて実行できる。ライセンスの保有者である第一のユーザーは、自分のユーザー同定装置110を使って配布したいライセンス121を、そのライセンスを受け取ることになるユーザー同定装置130の少なくとも持続的仮名PK2 131とともにライセンス管理装置120に送る(4)。ライセンス121は上記のように{PK1[SYM‖Rights‖contentID]}signCPの書式をもつことができる。受け取ったライセンスが有効であれば、書式{PK2[SYM′‖Rights′‖contentID]}signCPをもつ新しい第二のライセンス114が生成される(5)。ここで、PK2 131は連結された値[SYM′‖Rights′‖contentID]を暗号化している。Rights′は第二のユーザーが得る権利をいうが、これはRightsと同じであってもよいし、より制限されていてもよい。contentIDは前記権利に関連付けられたコンテンツを同定し、signCPはライセンス122に対するコンテンツ提供者の署名である。生成されたライセンス114は前記第二のユーザー装置130に、該第二のユーザー装置のための有効な準拠証明書と一緒に送られ(9)、これで前記コンテンツにアクセスするために使われる準備ができる。
【0034】
典型的には、前記第二のユーザーがアクセス装置上で前記要求されたコンテンツに安全にアクセスするためには、該アクセス装置に対して第二のユーザーのスマートカード130のための準拠証明書141が示されねばならない。この準拠性は、好ましくは、前記第二のライセンスが前記第二のユーザー同定装置に送られる前に発行される。さらに、証明書141は好ましくは、公開鍵PK1 111を有していないが、可変のSC仮名すなわち一時的仮名の発行を受ける。SC130のための準拠証明書141を得るためには、ユーザー/SCは身元管理装置140またはスマートカードのための準拠証明書発行者(CA-SC)に匿名で連絡して証明書を要求する。CA-SC140は秘密鍵PK2 131が有効であるかどうかを検証する。有効であれば、CA-SC140はスマートカード131のための一時的仮名、たとえば乱数RANを生成して(7)次の準拠証明書141を発行し、この準拠証明書がスマートカード131に送られる(8):{H(RAN),PK1[RAN]}signCA-SC。この実施例ではH( )は一方向性ハッシュ関数で、PK2131はRANを暗号化し、signCA-SCは証明書に対するCA-SCの署名である。
【0035】
証明書141は、検査される際、公開鍵PK2 131もスマートカード130の一時的仮名RANも明かさない。さらに、証明書131からRANを入手できる唯一のエンティティはスマートカード130である。これは、SC130に関連付けられた秘密鍵SK2 133を用いた復号を通じてなされる。すると値RANは、証明書中のハッシュ値を通じて検証者によって検査されうる。仮名RANの使用により、検証者はスマートカード130の準拠をその公開鍵PK2131を知ることなく検査できる。さらに、仮名RANは必要なだけ何度でも(スマートカードSC130が新しい準拠証明書131を入手するたび)変更できるので、検証者が準拠証明書を所与のスマートカード110に結び付ける可能性は最小限にできる。上述した手続きの間、スマートカードのための準拠証明書発行者(CA-SC)140は公開鍵131とRANとの間の関連付けを知るが、匿名通信路のため真のユーザーの身元を知ることはない。
【0036】
今やユーザーは自分がライセンスをもっているコンテンツにアクセスできる。アクセスは好ましくはアクセス装置(accessing device)ADで実行される。典型的には、アクセス装置はDRM規則に従って振る舞う。コンテンツにアクセスするためには、ユーザーはコンテンツおよびライセンスを(たとえば光ディスクに入れて)携行するか、あるいはそれらをネットワーク上の何らかの位置に保存しておく必要がある。いずれの場合にも、まずコンテンツ+ライセンスがアクセス装置ADに転送されなければならない。さらに、ユーザーは今や物理的にアクセス装置ADの前にいるので、ユーザーの実際の身元はADに対して「開示」されるかもしれない。したがって、ユーザーの実際の身元と公開鍵PK2との間の関連付けが当該ユーザー以外に開示されるのを防ぐためには、コンテンツアクセスの時点で公開鍵PK2がアクセス装置ADに明かされるべきではない。これが、SC130のための準拠証明書141が可変の仮名RANを用いて発行される理由である。この証明書の検査の際、アクセス装置はRANを知るが、公開鍵PK1 131を知ることはない。コンテンツアクセス手続きの一つの例を以下に述べる。
【0037】
〈コンテンツアクセス手続き〉
スマートカード130とアクセス装置が互いに対話する前に、両者は相互準拠検査を行う。アクセス装置ADの準拠は、アクセス装置準拠証明書によって証明される。これはアクセス装置のための準拠証明書発行者(CA-AD)によって発行され、スマートカード130に呈示される。アクセス装置準拠証明書を検証できるために、スマートカード130はCA-ADの公開鍵を与えられる。この鍵が定期的に変更される場合、ADも定期的にその準拠証明書を更新する必要がある。これはまた、スマートカードSC130が前記の鍵を定期的に更新しなければならないということをも意味しているが、これはSC130が自分の準拠証明書をCA-SCから入手する時点にできる。
【0038】
スマートカード130の準拠性は、準拠証明書によって提供される。これはアクセス装置に呈示される。上述したように、スマートカード130は秘密鍵PK2を用いて証明書141を復号することによって、証明書141から値RANを入手し、その値をアクセス装置に送る。アクセス装置はこの値を、証明書中のH(RAN)の項を通じて検査する。アクセス装置には時計を設けることができるので、スマートカード準拠証明書141は発行日時を加えられていてもよい。それによりスマートカード130は証明書があまりに古いときには証明書を更新する。スマートカードの準拠証明書を十分頻繁に更新することも、上述した結び付け可能性を最小化するために有益である。
【0039】
上述したこの相互準拠検査ののち、アクセス装置はライセンスからの項PP[SYM‖Rights‖contentID]をスマートカード130に送り、スマートカード130はそれを復号して値SYM、Rights、contentIDをアクセス装置に送り返す。するとアクセス装置はSYMを使ってコンテンツを復号し、ユーザーにコンテンツへのアクセスをRightsに従って与えることができる。
【実施例1】
【0040】
〈ライセンスの取り消し〉
図2は、本発明の異なる実施形態を概略的に記述している。この実施形態は、図1との関係で記述された実施形態と同一であるが、本実施形態は、関係するライセンスのどれが有効であるかを示す証明書の使用を含む。図1の参照符号1〜3との関連で上述したように、第一のライセンス121が発行され、第一のユーザー同定装置110に送られる。その後、ユーザーは自分のライセンスを第二のユーザー同定装置130を保有する第二のユーザーに配布し(11)、第一のライセンスは下記に述べるプロセスに従って失効する。
【0041】
第一のユーザー同定装置110はライセンス管理装置120に匿名通信路を介して連絡し(4)、持続的仮名PK1 111によって自分の認証をし、転送されるべきライセンス121を、第二のユーザー同定装置131の持続的仮名PK2 131とともに呈示する(4)。ライセンス管理装置はそのライセンスが有効であることを第一のデータのセット224と比較することによって検証する。この実施形態では、この第一のデータのセットはブラックリスト、すなわち換言すれば失効リストであり、もはや有効でないあらゆるライセンスの同定を含んでいる。
【0042】
前記第一のライセンスが有効であれば、ライセンス管理装置120は、前記第一のライセンス121が第二のユーザーに移転されたという情報をもって情報システムを更新する(10)ことによって進む。これは前記第一のデータのセット224を、前記第一のライセンスがもはや有効でないことを示すように更新する(10)ことによってできる。
【0043】
第一のユーザーは次いで持続的仮名111および証明書の更新要求を前記身元管理装置140に与える(11)よう促される。身元管理装置140が持続的仮名111を受け取ったのち、仮名は前記ライセンス管理装置120に、前記仮名PK1に対応するあらゆる失効ライセンスを示す第二のデータのセットの要求とともに転送される。コンテンツを暗号化する対称鍵SYMはライセンスごとに一意的であるから、ライセンス管理装置はこの値を使ってPK1 111に関連付けられた各失効ライセンスを同定できる。ライセンス管理装置は次いで次の第二のデータのセット225を生成する(13)。それは以下の値を有する:
H(Sym_1‖Time),
H(Sym_2‖Time),
…,
H(Sym_n‖Time)
ここで、各値は、前記PK1 111に対応する失効ライセンスの鍵Sym_iに現在時刻を連結したもののハッシュである。一方向性ハッシュ関数H( )を使うのは、前記第二のデータのセット225内の失効リスト中の各項の大きさを減らすため、およびSym_iの値をそれを知る必要のないいかなる当事者からも隠すためである。さらに、現在時刻が各Sym_iに連結されるのは、異なる機会にPK1 111のために発行された準拠証明書どうしが失効リストを介して結び付けられることを防ぐためである。
【0044】
ひとたびPK1のあらゆる失効ライセンスについての値が第二のデータのセット225に含められたら、これらのデータはライセンス管理装置120によって身元管理装置140に値Time、すなわちライセンス同定情報が連結される定数とともに送られる(14)。身元管理装置140は今や、この第二のデータのセットを前記の値Timeとともに前記第一のユーザー同定装置の準拠証明書242に含む(15)。証明書242の書式は次のようになっている:{H(RAN),PK1[RAN],Time,H(Sym_1‖Time),H(Sym_2‖Time),...,H(Sym_n‖Time)}signCA-SC。
【0045】
証明書242は次いで第一のSC110に送られる。第一のSC110はそれを当該SC自身に保存しておいてもよい。典型的なSCが保存しているかもしれない準拠証明書の失効リストは500程度までの失効ライセンスを有する。失効リストが大きくなりすぎてSC内の保存がもはや可能でなくなるとき、あるいはそうなったとすると、証明書はたとえばネットワーク中のサーバーに、あるいは光学式記憶媒体に保存できる。
【0046】
上記のように、ユーザーがアクセス装置または準拠装置(compliant device)CD上でコンテンツへのアクセスを要求すると、コンテンツ+ライセンスがアクセス装置に転送されなければならない。ユーザー同定装置はユーザーがコンテンツを要求する際にはその準拠をアクセス装置に対して証明しなければならないので、上記の準拠証明書を呈示しなければならない。よって、相互準拠検査ののち、アクセス装置はライセンスからの項PK2[SYM′‖Rights′‖contentID]をユーザー同定装置に送り、そのユーザー同定装置はそれを復号して値SYM′、Rights′、contentIDをアクセス装置に送り返す。アクセス装置がSYM′を使ってコンテンツを復号し、ユーザーにコンテンツへのアクセスを(Rights′に従って)与える前に、アクセス装置はH(Sym′‖Time)を計算し、この値が失効リストにあるかどうかを検査する。もしなければ、CDはアクセス要求の処理に進む。
【0047】
準拠証明書がユーザー同定装置110によって頻繁に更新されれば有益である。このことは、少なくとも以下の理由によって、ユーザーとDRMシステムの両方の利益にかなう。
・ユーザーのコンテンツアクセス要求の、仮名RANを通じた別のコンテンツへの結び付け可能性を最小にするため
・値Timeを通じて証明書(よって失効リストも)が古すぎるかどうかを検証するアクセス装置の要求として。
【0048】
ユーザーが自分の証明書の頻繁な更新に関心がない場合、更新はアクセス装置の要求として強制されることができる。準拠証明書のこの頻繁な更新の結果として、PK1の失効ライセンスの更新された値もアクセス装置に頻繁に利用可能である。
【0049】
証明書242が前記第一のユーザー装置110によって受け取られ(16)、ライセンス管理装置に呈示されたのち、前記第二のライセンス122が前記第二のユーザー同定装置131に送られる(9)。
【0050】
好ましいアプローチは、第二のライセンスが第二のユーザー同定装置に送られる前に、第一のユーザー装置がライセンス管理装置に対して自分の古い証明書(証明書242が入手される前に使われ、したがって失効ライセンスを含んでいない)が失効したことを証明することであろう。
【0051】
このプロセスの一つの利点は、第一のユーザーが新しい証明書を受け取るまで新しいライセンスが第二のユーザーに配布されないということである。このようにして、第一および第二のユーザーがそれぞれのライセンスを同時に使用することが防止される。第一のユーザーと第二のユーザーの間の関連付けを秘密に保つ。
【実施例2】
【0052】
ライセンスが第一のユーザーから第二のユーザーに、たとえば本発明の前記第二の実施形態に従って移転されるとき、ライセンス管理装置はその二人のユーザーの間の関連付けを知る。すなわち、公開鍵PK1とPK2の間の関連付けである。この関連付けはユーザーとしては知られたくないことがありうる。したがって、ユーザーの身元が特定されない、本文書で「匿名ライセンス」と称する汎用ライセンスを使うことが有利でありうる。
【0053】
匿名ライセンスとは、本文書では、特定のコンテンツに対する特定の権利についてのライセンス(先述したライセンス122のようなもの)であるが、このライセンスはユーザー同定装置と(すなわち持続的仮名と)関連付けられてはいない。そのようなライセンスは、ライセンス管理装置によって、支払いをするなどして所与のコンテンツを所与の権利とともに入手する匿名ユーザーのために発行されることができる。また、第二のユーザーに移転するために自分のライセンスの失効を要求する第一のユーザーのために発行されることもできる。このライセンスは所与の人物と関連付けられていないため、他のいかなる人物に移転(譲渡、販売など)されることもできる。この人物はのちにそのライセンスを同じライセンス管理装置に呈示してパーソナル化されたライセンス(たとえばライセンス121)と交換してもらうことができる。そのライセンスはその後コンテンツアクセスのために使用できる。
【0054】
しかし、セキュリティ上の理由のため、ライセンス管理装置が匿名ライセンスを発行する前に、匿名ライセンスには一意的な識別子を割り当てる必要があることが好ましい。これは、いったん匿名ライセンスが償還済みになったあとでその何らかのコピー(ユーザーによって作成されうる)も償還できることを防止するためになされる。しかし、この識別子がライセンス管理装置によって選ばれるのでは、ライセンス管理装置はその識別子を認識できるので、両方のユーザーの持続的仮名を結び付けることができてしまう。それを防止するため、下記のようにブラインド署名を使うことができる。
【0055】
図3は、本発明の第三の実施形態を示している。ここではあるコンテンツおよび権利に対応するライセンスを処理する第一のユーザーがこのライセンスを第二のユーザーに、第一および第二のユーザー装置の間の結びつきをシステムに明かすことなく移転する。
【0056】
図1の参照符号1〜3との関連で上述したように、第一のライセンス121が発行され、第一のユーザー同定装置110に送られる。その後、第一のユーザーは匿名通信路を介してCPまたはライセンス管理装置120に連絡し(18)、第一のライセンス121および自分のPK1 111を、そのライセンスの失効および匿名ライセンス発行の要求とともに送る。この失効または取り消しは、図2の参照符号11ないし16との関連で先述しているが、次の段落でも議論する。
【0057】
CP120は、ユーザーが自分の認証をするよう要求を送るが、これは標準的なプロトコルを通じて達成できる(CPがユーザーにランダムなチャレンジをPK1 111で暗号化して送る;正規ユーザーであれば、鍵ペアPK/SKからの自分のSKを使ってチャレンジを復号してCPに送り返すことができる)。ユーザーの認証後、CPはPK1 111の第一のライセンス121を取り消す。さらに、匿名ライセンスが前記第一のユーザー同定装置110に送られる前に、新しい準拠証明書241がCA-SCから第一のユーザー同定装置に送られる(16)。前記第一のデータのセットは前記証明書が生成されるより前に修正されたので、この証明書241は前記第一のライセンス121を含んでいる。
【0058】
第一のユーザー同定装置はランダムな秘密の識別子を生成し、この値をブラインド化する(17)。これはブラインド化された識別子Blind[ID]314を生じる。第一のユーザー同定装置が前記新たな証明書241を受け取ったのち、ユーザーとCPとの間のプロトコルは継続できる。好ましくは、新たなプロトコルが開始され、ユーザーがCPに自分のPK1 111、第一のライセンス121を送り(18)、自分を認証し、自分の新しい準拠証明書241も古い失効した証明書ならびに前記ブラインド化されたID Blind[ID]314およびNewRights313とともに送る。NewRights313はユーザーが第二のユーザーに移転したいものである。第一のユーザーからのこれらすべての値を用いて、CPはまず第一のユーザーの新たな準拠証明書が取り消されたライセンス121を含んでいることを検証する(項H(Sym‖time)を介した参照)。第二に、NewRights313が第一のライセンス121内に現れるRights113より少ないかそれと同じであるかどうかを検証する。第三に、呈示された第一のライセンス121からcontentID112を入手する。検証が成功なら、コンテンツ提供者CP120は次いで前記要求されたコンテンツおよび対応する権利のための匿名ライセンスを生成できる(19)。
【0059】
これを行うため、ライセンス管理装置は、異なる権利および異なるコンテンツのそれぞれの可能な組み合わせについて、一意的な公開鍵/秘密鍵のペアを有している。あらゆる権利の集合があらかじめR個の権利を有して指定されていて、あらゆるコンテンツの集合がC個の項目を有しているとすると、これはライセンス管理装置が好ましくはR×Cの異なる公開鍵/秘密鍵のペアをもたねばならないことを意味している。この設定を与えられたとき、ひとたびライセンス管理装置がデータ{Blind[ID],NewRights}を第一のユーザーから受け取れば、{NewRights,contentID]のこの組み合わせについての秘密鍵を用いてブラインド識別子Blind[ID]に署名し(19)、ユーザーに対して値{Blind[ID]}signed-NewRights-contentID325を返すことができる。するとユーザーは署名された識別子のブラインドを外して(21){ID}signed-NewRights-contentID315を入手し、この値をライセンス指定{NewRights,contentID}とともに第二のユーザーに移転できる(11)。匿名ライセンスと関連付けられるべき(ライセンスがユーザー間で移転される場合)新しい権利の指定NewRightsが必要とされるのは、指定される権利が認めるのが元の権利よりも少ない場合のみである。NewRightsを送る可能性により、ユーザーは自分のライセンスの一つを別のユーザーに与える際、望むなら、自分がもっていた元の権利よりも制限のある権利をもってそうすることができる。
【0060】
第二のユーザー同定装置は、パーソナル化されたライセンスを得るためにライセンス管理装置に匿名で連絡し、自分の公開の仮名PK2 131を用いて自分の認証をし、ライセンス管理装置に対して署名され、ブラインド解除された識別子{ID}signed-NewRights-contentID315を{NewRights313,contentID316}とともに送る。
【0061】
CP120はまず、ブラインド解除されたID315が使用済みでないことを(自分で管理しているIDのリストで)検証し、使用済みでなければそのIDを使用済みIDのリストに入力する。CPはさらにID315中の自分の署名を(実際に{NewRights,contentID}についての鍵を用いて作成されたかどうかを)検証し、すべて正しければ、ライセンス管理装置は最終的にパーソナル化されたライセンス122:
{PK2[SYM2‖NewRights‖contentID]}signCP122
を第二のユーザーに発行する(5)(これは第二のユーザーのユーザー同定装置130に、パーソナル化された鍵SYM2で暗号化されたコンテンツとともに送られる(9)):
【実施例3】
【0062】
上記のライセンス122の発行後、値IDがライセンス管理装置によってデータのセットに上記のように入力され、これはライセンス管理装置によって匿名ライセンスからのパーソナル化されたライセンスの(署名された識別子のついた)要求を受け取るたびに検査される。これにより、償還済みの匿名ライセンスのためのパーソナル化したライセンス要求に応答してライセンスが発行されることが防止される。
【0063】
匿名ライセンスは、ユーザーが別のユーザーに情報を販売または譲渡するときに使われるのとは別に、たとえば組織が人々に「一つ買えばもう一つおまけ」モデルでライセンスを購入するよう促したいときに助けとなる。第二のライセンスは匿名ライセンスとして発行されることができ、誰にでも移転できるのである。本発明に基づく第四の実施形態は図4との関係で述べる。この実施形態では、第一のユーザーは、既存のライセンスの移転は望まずに、あるコンテンツについての、および諸権利に対応する匿名ライセンスを要求する。ユーザーはそのような匿名ライセンスを受け取り、このライセンスを第二のユーザーに属する第二のユーザー同定装置に移転する。この実施形態は図3との関係で記述された前記第三の実施形態と同一であるが、以下に述べる相違がある。
【0064】
図4に示すように、第一のユーザーは匿名通信路を介して、Rights113およびcontentID112の所与の組み合わせについての匿名ライセンスの要求をもってCPに連絡する(1)。可能性としては、匿名支払いの証明(所与の金額に対応するしるしのようなもの)も送る。ユーザーによって支払われた額がRights113およびcontentID112のその所与の組み合わせの支払いに足りれば、ライセンス管理装置120またはCPは単に第一のユーザーのために匿名ライセンス421を発行する(2)。この匿名ライセンスはたとえば、その所与の組み合わせについての鍵を用いてCPによって署名されたランダムなIDである。この第四の実施形態では、CP120自身がID325を直接生成できる。ユーザーは、ライセンスが自分に発行されるのではないので、CPに匿名で連絡することになり、自分のPKを明かす必要がないからである。ユーザーはただ、そのコンテンツにそれらの権利を付けたものを要求する資格があることを匿名で証明するだけでよい。その後、匿名ライセンス421が前記第一のユーザー同定装置110に送られる(3)。第一のユーザー同定装置はそれを、可能性としては前記contentID112および前記Rights113と一緒に第二のユーザー同定装置130に転送する(11)。第二のユーザー同定装置は次いで前記匿名ライセンス421とパーソナル化されたライセンスの要求とを、可能性としては前記contentID112および前記Rights113と一緒に前記ライセンス管理装置120に与える(4)。前記第三の実施形態との関連で述べたように、ライセンス管理装置は今や前記第二のユーザー同定装置130のためのパーソナル化されたライセンス122を生成し(5)、これが前記装置130に送られる(9)。
【実施例4】
【0065】
上述した方策では、ライセンス管理装置120は、R×C対の異なる公開鍵/秘密鍵ペアならびに対応する権利(rights)およびcontentID値の巨大なリストを維持しなければならない。この方策はIDベース暗号からの技法を用いて単純化できる。本発明への適用では、人々または種々の当事者のIDを鍵生成に使う代わりに、コンテンツ識別子、権利およびライセンス管理装置の名称の連結を鍵生成に使うことができる。このようにして、公開鍵は単に文字列[ContentID‖Rights‖LMDname]として定義でき、対応する秘密鍵はその文字列とライセンス管理装置によって生成されるマスター鍵に基づいて生成される。
【0066】
署名用鍵ペアを生成するためのIDベース暗号の使用には次の利点がある。
・ライセンス管理装置があらゆるR×C通りの鍵ペアを保存する必要がないので(秘密鍵は必要なたびに生成できる)、ライセンス管理装置による鍵管理が大幅に容易になる。計算より保存のほうが好ましい場合であっても、秘密鍵だけを保存すればよい。
【0067】
この方策は、コンテンツ識別子、権利およびライセンス管理装置の名称さえ知っていれば(これらの値が公開鍵をなすので)、誰でも匿名ライセンスに付されたライセンス管理装置の署名を検査することを許容する。
【0068】
第二のユーザーが第一のユーザーからライセンスを購入する場合、ライセンス管理装置の署名の検証は決定的でありうる。第二のユーザーは、第一のユーザーから受け取る匿名ライセンスが実際に所与の権利のついた所与のコンテンツのものであること、および該ライセンスが所与のCPを用いて償還できることを知ることに関心がある。
【実施例5】
【0069】
〈ドメイン内での権利の配布〉
情報配布システムのユーザーが情報を購入するとき、知己である他のユーザーがその情報を共有したがることがありうる。これは、ドメインを形成することによってできる。ドメインは共有ドメイン鍵PKDと関連付けられる。ドメインはドメイン当局(domain authority)に登録される必要がある。ドメイン当局は当該構成員が実際に家族などのグループの一員であることを検証できる。その同じドメイン当局がPKDをそのユーザーグループに、SKDをスマートカードに割り当てることができる。それがすむと、ユーザーは自分の個人的使用のために(個人鍵PK1を使って)、あるいはドメイン鍵PKDを使ってドメイン全体のためにコンテンツを購入できる。ドメイン全体のためにコンテンツを購入する場合、公開ドメイン鍵PKD516に関連付けられた第一のユーザー同定装置110を有する第一のユーザーは、この公開ドメイン鍵PKDをあるコンテンツcontentID112およびRights113の要求とともにライセンス管理装置120に与える(1)。ライセンス管理装置はマスターライセンス521を生成し(2)、これが第一のユーザー同定装置に送られる(3)。マスターライセンスは好ましくは書式
{{PKD[SYM‖Rights‖contentID],1}signCP,MR}signCP (1)
をもつ。
【0070】
前記マスターライセンスは、書式
{PKD[SYM‖Rights‖contentID],1}signCP (2)
をもつドメインライセンスおよびマスター権利タグ(master rights tag)(MR)からなり、全体がCPによって署名されている。前記ドメインライセンスは対称鍵SYM、マスター権利Rights113およびcontentID112がドメイン鍵PKDによって暗号化されたものならびに委譲タグ(delegation tag)(1に設定)からなり、全体がCP120によって署名されている。このマスターライセンス121をCP120から入手するプロセスの終わりに、ユーザーはマスターライセンスを次の書式に暗号化できる。
【0071】
PK1[{{PKD[SYM‖Rights‖contentID],1}signCP,MR}signCP] (3)
これはPKDを共有するドメイン構成員に対して自分のプライバシーを保護するためである。よって、ドメイン内のどのユーザーもコンテンツを購入したユーザーのライセンスおよび権利を見ることができない。
【0072】
(特定の諸ドメイン構成員についての)個人的なユーザー権利の生成は、ドメインマネージャ装置(Domain Manager device)(DM)150によってなされる。コンテンツを購入したユーザーは、特定の諸ドメイン構成員のために持続的仮名132および対応する権利の集合を用意し、それをマスターライセンス521とともにDMに送る(4)。そのような集合またはデータ構造は次の書式をもてる:[PK1,Rights1;PK2,Rights2;PK3,Rights3;...PKn,Rightsn]。ここで、PKiはドメイン構成員(可能性としては前記第一のユーザーを含む)の公開鍵で、Rightsiは種々のPKに関連付けられるべきRightsを記述する権利の表現である。これはドメイン内での権利の差別化を容易にする。DMとの対話において、ユーザーは上記の暗号化された証明書(3)を、および結果として項PKD[Sym‖Rights‖contentid]を復号する。ユーザーはまたDMに対して、(ユーザーがライセンスを用意したい)集合中で言及されるすべてのPKiが実際に自分のドメインに属していることを証明する証明書を見せなければならないこともありうる。そこで、DMは各PKiについて次の書式をもつメンバーライセンスを生成する(5)。
【0073】
{PKi[Sym‖Rightsi‖contentIDi],PKDM}signDM (4)
最後に、ライセンス管理装置がこれらの権利をドメイン構成員に、好ましくは第一のユーザー同定装置を介して配布する(9)。
【0074】
コンテンツにアクセスするとき、ドメイン構成員は前記装置に対してドメインライセンスとパーソナル化されたライセンスの両方を、DMについての準拠証明書と並んで呈示しなければならないことがありうる。両方のライセンスを呈示する理由は、アクセス装置が、ユーザーがドメインに属しているということ(彼がPKiとPKDの両方を知っているかどうか)と、そしてまたは権利がRightsi≦Rightsであるということの両方を検証できるようにするためである。
【0075】
上述した手続きは、コンテンツを購入してマスターライセンスを有しているユーザーだけがドメイン構成員のためのドメインライセンスを生成できることを保証する。ドメイン内でのユーザー権利の面倒を見る当事者としてのDMの導入は、可算権利の管理のためにも有益である。今や、DMは新たなライセンスを発行し、可算権利の行使が生じたときには古いライセンスを失効させることができる。そのようにして、CPに対するユーザーのプライバシーが保護される。CPは、ユーザーが権利を行使するたびに毎回連絡されはしないからである。したがって、CPはユーザーのPK、コンテンツ識別子、装置識別子および可算権利の行使が生じた日時を結び付けるログ記録を生成することができない。しかし、この方策は、古いライセンスの失効がDMによって管理され、よって即時であるので、CPにとっても有益である。
【0076】
したがって、上記のように、本発明は情報配布システム内での権利の配布を容易にする。この用途の目的のために、特に付属の請求項に関しては、「有する」の語は他の要素またはステップを排除するものではないこと、単数形の表現が複数を排除するものではないこと、単一のプロセッサまたはユニットがいくつかの手段の機能を実行してもよいこと、および手段の少なくともいくつかはハードウェアまたはソフトウェアのどちらで実装することもできること、このこと自体は当業者には明らかであることを注意しておく。
【図面の簡単な説明】
【0077】
【図1】ライセンスが第一のユーザー同定装置から少なくとも第二のユーザー同定装置に配布される、本発明の第一の実施形態を概略的に示す図である。
【図2】移転されるライセンスが取り消される、本発明の第二の実施形態を概略的に示す図である。
【図3】第一のユーザーから第二のユーザーにライセンスを移転する際に匿名ライセンスが使用される、本発明の第三の実施形態を概略的に示す図である。
【図4】先行するライセンスがないときに第一のユーザーから第二のユーザーに権利を移転するために匿名ライセンスが使用される、本発明の第四の実施形態を概略的に示す図である。
【図5】一つのライセンスが一つのユーザー同定装置から一組のユーザー同定装置に配布される、本発明の第三の実施形態を概略的に示す図である。
【技術分野】
【0001】
本発明は、ユーザーがデジタル情報を要求できる情報配布システムに、より詳細にはユーザー情報を保護する情報配布システムに関する。
【背景技術】
【0002】
現在、個人は、幅広い活動に携わる際に身元(identity)を明かすことを求められる。典型的には、クレジットカードを使うとき、電話をかけるとき、税金を払うとき、雑誌を購読するとき、あるいはクレジットカードもしくはデビットカードを使ってインターネット上で何かを買うとき、各トランザクションの同定可能な記録が生成され、どこかのコンピュータデータベースに記録される。現金以外の何かを使ってサービスを受けたり購入をしたりするためには、組織はユーザーが身元を証明することを要求する。
【0003】
消費者調査はたびたび、個人がプライバシーを重んじ、あまりに多くの個人情報が自分たちの管理の及ばないコンピュータデータベースに日常的に保存されているという事実に懸念を抱いていることを示してきた。身元を保護することは匿名のままでいる選択肢と相携わる。プライバシーのキーとなる要素である。情報・通信技術の進歩により組織は大量の個人データを保存できるようになったものの、このことは情報が収集される個人のプライバシーをますます危機にさらしている。ますますプライバシー意識が高まる世界にあって、個人情報の開示とユーザー追跡の可能性はユーザー側でいくつかのプライバシー上の懸念を生じうるものであり、ゆくゆくはそうしたユーザーがプライバシー侵襲的な新技術に対する敵意を増すことにもつながりかねない。
【0004】
このことは、できるだけ指向的なマーケティングキャンペーンを実行したり欺瞞から自衛したりできるためにユーザーについてできるだけ多くを知ろうとするサービス提供者または情報配布者の利益に真っ向から反するものである。用心策として、システムを不正使用したユーザーは将来そのシステムから排除されなければならない。
【0005】
多くの情報配布システムにおいて、種々のユーザーの習癖を知ることは比較的容易である。たとえばシステム内の通信を傍受することによりできる。この情報がのちにたとえばスパムのために不正使用されうる。今日、こうした問題は、たとえばシステムで使われる秘密コードなどの保存法に細心の注意を払うようユーザーに求めることによって、あるいは高度なセキュリティによって重要情報を保護することによって部分的に解決される。US2003/0200468A1はオンライン・トランザクションにおいて、ユーザーの身元を信頼されるウェブサイトに保存することによって顧客の身元を保護する方法を記載している。
【0006】
しかし、安全なウェブサイトを使った上述のシステムには脆弱性がある。信頼されたウェブサイトの攻撃に成功した者は、どの鍵がどのユーザー素性に対応するかの知識を有する。よって攻撃者はこの情報を使ってあるユーザーの習癖をより保護の弱い情報配布システム内に対応させることができる。
【0007】
プライバシーを保護する情報配布システムのユーザーは、自分が所有する、ある種の要求される情報に関する権利を記述したライセンスを配布したいことがありうる。本文書において、「配布(distribute)」の語は2種類の行動に関係する。一つはライセンスを別のユーザーに譲渡または販売すること。これは元の所有者はそのライセンスを保有しなくなり、ライセンスが別のユーザーに移転されることを意味している。もう一つは、権利を、あるグループまたはドメインに属する一人または複数の他のユーザーと共有することである。ユーザーが別のユーザーと権利を共有したときには、両方のユーザーがそれぞれ自由に使える1ライセンスを保有する。個別のライセンスに関連付けられた権利は必ずしも等しくなくてもよい。たとえば、移転された権利に関連付けられた権利は元の権利より制限されていてもよい。
【0008】
システム内で権利を配布することに関係した問題は、ユーザーのプライバシーが保護されながら、一人のユーザーから一人または複数の他のユーザーにライセンスを配布できるシステムを提供することである。
【発明の開示】
【発明が解決しようとする課題】
【0009】
情報配布システムにおいて、少なくとも一人のユーザーから少なくとも一人の他のユーザーに権利またはライセンスを配布することに関係した上述の問題を、前記ユーザーについてのプライバシーを提供しながら解消または少なくとも軽減することが本発明の目的である。
【課題を解決するための手段】
【0010】
この目的は、付属の請求項1および15に従った方法およびシステムによって達成される。好ましい実施形態は従属請求項において定義される。
【0011】
ここでの用法では、「ユーザーの実際の身元」の表現は、ユーザーの物理的な素性または電話番号、住所、社会保障もしくは保険番号、銀行口座番号、クレジットカード番号、組織番号などのような物理的なユーザーに結び付けられるデータのことをいう。さらに、ここでの用法では「仮名」または追加的身元は、ある人の実際の身元に結び付けられるのを防ぐのに十分な匿名性をもついかなるデータでもよい。ユーザーの実際の身元と前記ユーザーによって要求される情報との間に何らの結び付きもないとは、どの実際のユーザーがどの情報を要求したのかを再構成する明らかな方法はないということを意味している。それはたとえば、そのような再構成を可能にする情報を保存したデータベースがないことによる。
【0012】
その第一の側面によれば、本発明は、情報配布システムにおいて、少なくとも一人のユーザーに属するライセンスおよび証明書を、前記ユーザーの身元を秘密に保ちつつ管理する方法に関する。前記システムにおいて、各ユーザーは少なくとも一つのユーザー同定装置によって代表される。ユーザー同定装置は少なくとも第一の持続的仮名を有している。当該方法は以下のステップを有する:
・ライセンス管理装置において、要求された情報と対応する権利とを表すデータを受け取り、
・前記ライセンス管理装置において、前記要求された情報についての第一のライセンスを生成し、
・第一のユーザー同定装置において、前記第一のライセンスを受け取り、
・前記ライセンス管理装置において、少なくとも一つの持続的仮名を含む持続的仮名の集合と、前記第一のライセンスに基づく第二のライセンスと、前記第二のライセンスを、それぞれが前記持続的仮名の集合に含まれる個別の持続的仮名に関連付けられたユーザー同定装置を少なくとも一つ有するユーザー同定装置の集合に割り当てる要求とを受け取り、
・前記ライセンス管理装置において、前記要求された情報についてのライセンスの集合を生成し、該集合はユーザー同定装置の前記集合の各ユーザー同定装置について第三のライセンスを含んでおり、各ライセンスは前記個別の第三のライセンスを同定するために使用できる身元データ含んでおり、
・身元管理装置において、証明書の要求と前記持続的仮名の集合に含まれる第二の持続的仮名とを、前記第二の持続的仮名に対応し、前記ユーザー同定装置の集合に含まれる第二のユーザー同定装置から受け取り、
・前記身元管理装置において、証明書を生成し、
・前記第二のユーザー同定装置において、前記証明書を前記身元管理装置から受け取り、
・前記ライセンスの集合中の前記生成されたライセンスのそれぞれを前記ユーザー同定装置の集合に含まれる対応するユーザー同定装置に配布し、
・前記要求された情報へのアクセスの時に前記ライセンスの集合に含まれるライセンスおよび前記証明書を検証する。
【0013】
その第二の側面によれば、本発明は、ユーザーの身元を秘密に保ちながらの情報配布のための情報システムに関する。当該システムは以下を有している:
・持続的仮名を含む第一のユーザー同定装置と、
・ユーザー同定装置を少なくとも一つ有するユーザー同定装置の集合と、
・ライセンス管理装置であって、要求される情報および対応する権利を表すデータを前記第一のユーザー同定装置から受け取り、第一のライセンスを生成し、前記第一のライセンスを前記第一のユーザー同定装置に送り、前記第一のライセンスに基づく第二のライセンスと少なくとも一つの持続的仮名を含む持続的仮名の集合とを受け取り、ライセンスの集合を生成し、該集合は前記第二の持続的仮名の集合に含まれる個別の持続的仮名に関連付けられた各ユーザー同定装置についての第三のライセンスを有しており、前記ライセンスの集合に含まれる前記ライセンスのそれぞれを対応するユーザー同定装置に配布するよう構成されたライセンス管理装置と、
・持続的仮名を受け取り、証明書を生成し、証明書を前記ユーザー装置の集合に含まれる前記ユーザー同定装置に送るよう構成された身元管理装置。
【発明の効果】
【0014】
上述の両側面の一つの利点は、どのユーザーの実際の身元もシステムに対して明かすことなく、一人のユーザーから一人または複数の別の他のユーザーにライセンスが配布できるということである。よって、前記ユーザーの実際の身元がシステム中の識別子に関連付けられないので、ユーザーのプライバシーが維持される。その結果、情報配布システムにおけるユーザーの振る舞いを監視することが防止される。
【0015】
下記に、本発明の種々の実施形態に関係するいくつかの利点を挙げる。これらのすべてに共通するのは、記載される諸方法はユーザーの身元をシステムに対して秘密に保つということである。
【0016】
ライセンスをあるドメインに配布するときにマスターライセンスが使われる請求項2に記載の方法は、どの当事者も(おそらくはドメインの生成を受け持つ者などを例外として)ドメイン構成員(またはその識別子)をドメイン識別子と結び付けることができないという意味で、ドメイン構造についてのプライバシーを有利に提供する。さらに、第二のライセンス管理装置またはドメインマネージャの導入は、コンテンツ提供者が可算権利の消費がいつ発生するか、どの識別子が関わっているか、どのコンテンツおよびどの装置が使われたかを知ることが防止されるという意味で可算権利のプライバシーが向上した管理を提供する。ドメインごとに一つなど複数のドメインマネージャを導入することによって、どの装置も、どの情報がどの装置によって使われるかの完全な知識は持たない。さらに、この方法は、ユーザーのプライバシーを保護しながら可算権利を管理する際に有利である。この方法を通じて、第一のライセンス管理装置に向けての行動プライバシーが達成される。すなわち、第一のライセンス管理装置は可算権利の変更に関わる各ユーザー行動について、時刻、要求された情報、ユーザー同定装置および持続的仮名を知ることがない。
【0017】
請求項3に記載の方法は、安全なライセンス構造を有利に提供する。
【0018】
請求項4に記載の方法は、要求されたコンテンツへのアクセスが提供される前にユーザー同定装置ライセンスとマスターライセンスの両方が検証されることを要求しているので、より高レベルのセキュリティを有利に提供する。この検証プロセスにおいては、マスターライセンスに含まれる権利が前記ユーザー同定装置ライセンスに含まれる権利よりも制限されたものでないことを判別するため、前記ユーザー同定装置ライセンスに含まれる権利を前記マスターライセンスに含まれる権利と比較することができる。
【0019】
請求項5に記載の方法は、対応する証明書においてどのライセンスが有効であるかの指標を提供することによってライセンスの有効性の検証を有利に容易にする。「どのライセンスが有効であるかを示す」作用はプラス式およびマイナス式の両方で実行されうる。マイナス式の一例は、もはや有効でないすべてのライセンスを含んだ失効リストすなわちブラックリストを使用することである。プラス式の例はあらゆる有効なライセンスを含むホワイトリストを使う。
【0020】
請求項6に記載の方法は、ライセンスがたとえば別のユーザーに送信されたとき、あるいは悪意ある行動など他の理由により無効になったときに古いライセンスの取り消しを有利に容易にする。
【0021】
請求項5および6に記載の方法は、有効でなくなったライセンスを取り消す安全な方法を提供するという利点がある。該方法は、古いライセンスと新しいライセンスが同時には使用できないことを保証する。さらに、該方法は情報を提供する装置がライセンスの古いユーザーと新しいユーザーとの間のつながりを知ることを防止する。
【0022】
請求項7に記載の方法は、ライセンスを同定する有利な方法を提供する。通常、情報の各セットは異なる鍵を用いてエンコードされる。この鍵は前記ライセンスに含まれ、前記コンテンツを復号するために使うことができる。各ライセンスが異なる鍵を有しているので、ライセンスを同定するのに鍵を使うことができるのである。さらに、このライセンス同定データは使用、共有または移転された権利の管理を容易にする。
【0023】
請求項8に記載の方法は、完全性(integrity)を提供する有利な方法である。この方法によれば、証明書に含まれる有効なライセンスを示すライセンスのリストにおける各ライセンス同定データはハッシュ関数により定数を用いてエンコードされる。これは、証明書およびライセンスの検証者がライセンスが有効であるかどうかを判別するのを、前記ライセンス同定データをエンコードされたライセンス同定データのリストと比較することによって行うことを許容するが、他のエンティティはそのライセンス同定データについて何も知ることができない。
【0024】
請求項9に記載の方法は、ユーザーの身元をシステムに明かすことなく情報提供者に安全性を提供する有利なライセンス書式を提供する。
【0025】
請求項10に記載の方法は、呈示されるライセンスが有効である(失効していない)と判定する方法を容易にするので有利である。
【0026】
請求項11に記載の方法は、どのユーザーも他のいかなるユーザー鍵も管理する必要がないので有利である。
【0027】
請求項12に記載の方法は、システムが前記第一および第二の持続的仮名の間の関連付けを知ることを防止するので有利である。これが知られるとスパムなどのために悪用されうるので、ユーザーは知られたくないことがありうる。
【0028】
請求項14に記載の方法は、前記移転されたライセンスについては元のライセンスに比べてより制限された権利を提供する方法を容易にするので有利である。よって、この方法はドメイン内の構成員どうしの間で権利を差別化するために使うことができる。
【0029】
前記方法の実施形態によって得られるいくつかの利点を上述した。同様の利点は、システムに関係する従属請求項で定義される前記情報配布システムの対応する実施形態によって達成することもできる。
【0030】
これらのことを含む本発明のさまざまな側面は、以下に述べる実施形態を参照することから明らかとなり、明快にされるであろう。
【発明を実施するための最良の形態】
【0031】
図1は、本発明の実施形態を概略的に示している。インターネットなどに接続されたデータベースのようなコンテンツ提供者またはライセンス管理装置(license managing device)LMD120に属する情報を、自分の実際の身元を情報システム100に明かすことなく利用したいユーザーは、ユーザー同定装置またはスマートカード(smart card)SC110を使うことによってそうできる。ユーザーが何らかのコンテンツにアクセスするための権利を購入したいとき、ユーザーは、匿名通信路によってコンテンツ提供者またはライセンス管理装置120に連絡して、権利113およびあるコンテンツ112を要求する。匿名支払い方式が実施されたのち、ユーザーは自分の公開鍵(public key)PK1 111をライセンス管理装置110に送り(1)、するとそのライセンス管理装置はそのコンテンツについての権利および/またはライセンス121を生成する(2)。異なる実施形態によって、コンテンツ提供者とライセンス管理装置は一つの共通のユニットであることも、二つの別個のユニットであることもできる。二つの別個のユニットである場合、コンテンツ提供者が要求されたコンテンツをユーザーに送り、ライセンス管理装置がそのコンテンツについてのライセンスを生成する。それらが一つの共通ユニットである場合、ライセンス管理装置はユーザーに要求されたコンテンツとライセンスの両方を提供する。
【0032】
コンテンツは対称鍵(symmetric key)SYMを用いてコンテンツ提供者によって暗号化されており、ライセンス121とともにユーザーに送られる。好ましくは、ライセンスの書式は{PK1[SYM‖Rights‖contentID]}signCPである。ここで、PK1が連結された値[SYM‖Rights‖contentID]を暗号化している。本文書では、Rightsはユーザーが得る権利をいう。たとえば、ある楽曲全体を聞く権利を有しているかイントロだけか、あるいはその楽曲を聴く権利がある回数などである。さらに、contentIDは前記権利に関連付けられたコンテンツを同定し、signCPはライセンス121に対するコンテンツ提供者(content provider)の署名である。さらなる安全性を提供する代替的な書式は{PK1[SYM‖Rights‖contentID],H(SYM‖Rights‖contentID)}signCPである。ここでは、暗号化の中にある完全な値がアクセス装置によって個々に検査されることができる。アクセス装置はPK1を知ることはできないので、PK1を用いた暗号化のもとでは完全な値を検査することはできないことを注意しておく。ライセンス121は、検査されるときも、公開鍵PK1 111を明かすこともなければ、コンテンツ識別子または権利を明かすこともないので、コンテンツおよび権利所有に関してユーザーのプライバシーを保護する。したがって、ライセンス121がユーザーの記憶装置内にみつかったとしても、ユーザーのプライバシーを危殆化することはない。上で簡単に述べたこの購入手続きの間、ライセンス管理装置120は公開鍵PK1 111とcontentID112、権利113および対称鍵との間の関連付けを知るが、匿名通信路のため本当のユーザーの身元を知ることはない。
【0033】
第一のユーザー同定装置110のユーザーが自分のライセンスの一つを第二のユーザー装置130の保有者に配布したいときは、前記第二のユーザー装置のための対応するライセンスを生成する必要がある。これはたとえば以下の手続きを通じて実行できる。ライセンスの保有者である第一のユーザーは、自分のユーザー同定装置110を使って配布したいライセンス121を、そのライセンスを受け取ることになるユーザー同定装置130の少なくとも持続的仮名PK2 131とともにライセンス管理装置120に送る(4)。ライセンス121は上記のように{PK1[SYM‖Rights‖contentID]}signCPの書式をもつことができる。受け取ったライセンスが有効であれば、書式{PK2[SYM′‖Rights′‖contentID]}signCPをもつ新しい第二のライセンス114が生成される(5)。ここで、PK2 131は連結された値[SYM′‖Rights′‖contentID]を暗号化している。Rights′は第二のユーザーが得る権利をいうが、これはRightsと同じであってもよいし、より制限されていてもよい。contentIDは前記権利に関連付けられたコンテンツを同定し、signCPはライセンス122に対するコンテンツ提供者の署名である。生成されたライセンス114は前記第二のユーザー装置130に、該第二のユーザー装置のための有効な準拠証明書と一緒に送られ(9)、これで前記コンテンツにアクセスするために使われる準備ができる。
【0034】
典型的には、前記第二のユーザーがアクセス装置上で前記要求されたコンテンツに安全にアクセスするためには、該アクセス装置に対して第二のユーザーのスマートカード130のための準拠証明書141が示されねばならない。この準拠性は、好ましくは、前記第二のライセンスが前記第二のユーザー同定装置に送られる前に発行される。さらに、証明書141は好ましくは、公開鍵PK1 111を有していないが、可変のSC仮名すなわち一時的仮名の発行を受ける。SC130のための準拠証明書141を得るためには、ユーザー/SCは身元管理装置140またはスマートカードのための準拠証明書発行者(CA-SC)に匿名で連絡して証明書を要求する。CA-SC140は秘密鍵PK2 131が有効であるかどうかを検証する。有効であれば、CA-SC140はスマートカード131のための一時的仮名、たとえば乱数RANを生成して(7)次の準拠証明書141を発行し、この準拠証明書がスマートカード131に送られる(8):{H(RAN),PK1[RAN]}signCA-SC。この実施例ではH( )は一方向性ハッシュ関数で、PK2131はRANを暗号化し、signCA-SCは証明書に対するCA-SCの署名である。
【0035】
証明書141は、検査される際、公開鍵PK2 131もスマートカード130の一時的仮名RANも明かさない。さらに、証明書131からRANを入手できる唯一のエンティティはスマートカード130である。これは、SC130に関連付けられた秘密鍵SK2 133を用いた復号を通じてなされる。すると値RANは、証明書中のハッシュ値を通じて検証者によって検査されうる。仮名RANの使用により、検証者はスマートカード130の準拠をその公開鍵PK2131を知ることなく検査できる。さらに、仮名RANは必要なだけ何度でも(スマートカードSC130が新しい準拠証明書131を入手するたび)変更できるので、検証者が準拠証明書を所与のスマートカード110に結び付ける可能性は最小限にできる。上述した手続きの間、スマートカードのための準拠証明書発行者(CA-SC)140は公開鍵131とRANとの間の関連付けを知るが、匿名通信路のため真のユーザーの身元を知ることはない。
【0036】
今やユーザーは自分がライセンスをもっているコンテンツにアクセスできる。アクセスは好ましくはアクセス装置(accessing device)ADで実行される。典型的には、アクセス装置はDRM規則に従って振る舞う。コンテンツにアクセスするためには、ユーザーはコンテンツおよびライセンスを(たとえば光ディスクに入れて)携行するか、あるいはそれらをネットワーク上の何らかの位置に保存しておく必要がある。いずれの場合にも、まずコンテンツ+ライセンスがアクセス装置ADに転送されなければならない。さらに、ユーザーは今や物理的にアクセス装置ADの前にいるので、ユーザーの実際の身元はADに対して「開示」されるかもしれない。したがって、ユーザーの実際の身元と公開鍵PK2との間の関連付けが当該ユーザー以外に開示されるのを防ぐためには、コンテンツアクセスの時点で公開鍵PK2がアクセス装置ADに明かされるべきではない。これが、SC130のための準拠証明書141が可変の仮名RANを用いて発行される理由である。この証明書の検査の際、アクセス装置はRANを知るが、公開鍵PK1 131を知ることはない。コンテンツアクセス手続きの一つの例を以下に述べる。
【0037】
〈コンテンツアクセス手続き〉
スマートカード130とアクセス装置が互いに対話する前に、両者は相互準拠検査を行う。アクセス装置ADの準拠は、アクセス装置準拠証明書によって証明される。これはアクセス装置のための準拠証明書発行者(CA-AD)によって発行され、スマートカード130に呈示される。アクセス装置準拠証明書を検証できるために、スマートカード130はCA-ADの公開鍵を与えられる。この鍵が定期的に変更される場合、ADも定期的にその準拠証明書を更新する必要がある。これはまた、スマートカードSC130が前記の鍵を定期的に更新しなければならないということをも意味しているが、これはSC130が自分の準拠証明書をCA-SCから入手する時点にできる。
【0038】
スマートカード130の準拠性は、準拠証明書によって提供される。これはアクセス装置に呈示される。上述したように、スマートカード130は秘密鍵PK2を用いて証明書141を復号することによって、証明書141から値RANを入手し、その値をアクセス装置に送る。アクセス装置はこの値を、証明書中のH(RAN)の項を通じて検査する。アクセス装置には時計を設けることができるので、スマートカード準拠証明書141は発行日時を加えられていてもよい。それによりスマートカード130は証明書があまりに古いときには証明書を更新する。スマートカードの準拠証明書を十分頻繁に更新することも、上述した結び付け可能性を最小化するために有益である。
【0039】
上述したこの相互準拠検査ののち、アクセス装置はライセンスからの項PP[SYM‖Rights‖contentID]をスマートカード130に送り、スマートカード130はそれを復号して値SYM、Rights、contentIDをアクセス装置に送り返す。するとアクセス装置はSYMを使ってコンテンツを復号し、ユーザーにコンテンツへのアクセスをRightsに従って与えることができる。
【実施例1】
【0040】
〈ライセンスの取り消し〉
図2は、本発明の異なる実施形態を概略的に記述している。この実施形態は、図1との関係で記述された実施形態と同一であるが、本実施形態は、関係するライセンスのどれが有効であるかを示す証明書の使用を含む。図1の参照符号1〜3との関連で上述したように、第一のライセンス121が発行され、第一のユーザー同定装置110に送られる。その後、ユーザーは自分のライセンスを第二のユーザー同定装置130を保有する第二のユーザーに配布し(11)、第一のライセンスは下記に述べるプロセスに従って失効する。
【0041】
第一のユーザー同定装置110はライセンス管理装置120に匿名通信路を介して連絡し(4)、持続的仮名PK1 111によって自分の認証をし、転送されるべきライセンス121を、第二のユーザー同定装置131の持続的仮名PK2 131とともに呈示する(4)。ライセンス管理装置はそのライセンスが有効であることを第一のデータのセット224と比較することによって検証する。この実施形態では、この第一のデータのセットはブラックリスト、すなわち換言すれば失効リストであり、もはや有効でないあらゆるライセンスの同定を含んでいる。
【0042】
前記第一のライセンスが有効であれば、ライセンス管理装置120は、前記第一のライセンス121が第二のユーザーに移転されたという情報をもって情報システムを更新する(10)ことによって進む。これは前記第一のデータのセット224を、前記第一のライセンスがもはや有効でないことを示すように更新する(10)ことによってできる。
【0043】
第一のユーザーは次いで持続的仮名111および証明書の更新要求を前記身元管理装置140に与える(11)よう促される。身元管理装置140が持続的仮名111を受け取ったのち、仮名は前記ライセンス管理装置120に、前記仮名PK1に対応するあらゆる失効ライセンスを示す第二のデータのセットの要求とともに転送される。コンテンツを暗号化する対称鍵SYMはライセンスごとに一意的であるから、ライセンス管理装置はこの値を使ってPK1 111に関連付けられた各失効ライセンスを同定できる。ライセンス管理装置は次いで次の第二のデータのセット225を生成する(13)。それは以下の値を有する:
H(Sym_1‖Time),
H(Sym_2‖Time),
…,
H(Sym_n‖Time)
ここで、各値は、前記PK1 111に対応する失効ライセンスの鍵Sym_iに現在時刻を連結したもののハッシュである。一方向性ハッシュ関数H( )を使うのは、前記第二のデータのセット225内の失効リスト中の各項の大きさを減らすため、およびSym_iの値をそれを知る必要のないいかなる当事者からも隠すためである。さらに、現在時刻が各Sym_iに連結されるのは、異なる機会にPK1 111のために発行された準拠証明書どうしが失効リストを介して結び付けられることを防ぐためである。
【0044】
ひとたびPK1のあらゆる失効ライセンスについての値が第二のデータのセット225に含められたら、これらのデータはライセンス管理装置120によって身元管理装置140に値Time、すなわちライセンス同定情報が連結される定数とともに送られる(14)。身元管理装置140は今や、この第二のデータのセットを前記の値Timeとともに前記第一のユーザー同定装置の準拠証明書242に含む(15)。証明書242の書式は次のようになっている:{H(RAN),PK1[RAN],Time,H(Sym_1‖Time),H(Sym_2‖Time),...,H(Sym_n‖Time)}signCA-SC。
【0045】
証明書242は次いで第一のSC110に送られる。第一のSC110はそれを当該SC自身に保存しておいてもよい。典型的なSCが保存しているかもしれない準拠証明書の失効リストは500程度までの失効ライセンスを有する。失効リストが大きくなりすぎてSC内の保存がもはや可能でなくなるとき、あるいはそうなったとすると、証明書はたとえばネットワーク中のサーバーに、あるいは光学式記憶媒体に保存できる。
【0046】
上記のように、ユーザーがアクセス装置または準拠装置(compliant device)CD上でコンテンツへのアクセスを要求すると、コンテンツ+ライセンスがアクセス装置に転送されなければならない。ユーザー同定装置はユーザーがコンテンツを要求する際にはその準拠をアクセス装置に対して証明しなければならないので、上記の準拠証明書を呈示しなければならない。よって、相互準拠検査ののち、アクセス装置はライセンスからの項PK2[SYM′‖Rights′‖contentID]をユーザー同定装置に送り、そのユーザー同定装置はそれを復号して値SYM′、Rights′、contentIDをアクセス装置に送り返す。アクセス装置がSYM′を使ってコンテンツを復号し、ユーザーにコンテンツへのアクセスを(Rights′に従って)与える前に、アクセス装置はH(Sym′‖Time)を計算し、この値が失効リストにあるかどうかを検査する。もしなければ、CDはアクセス要求の処理に進む。
【0047】
準拠証明書がユーザー同定装置110によって頻繁に更新されれば有益である。このことは、少なくとも以下の理由によって、ユーザーとDRMシステムの両方の利益にかなう。
・ユーザーのコンテンツアクセス要求の、仮名RANを通じた別のコンテンツへの結び付け可能性を最小にするため
・値Timeを通じて証明書(よって失効リストも)が古すぎるかどうかを検証するアクセス装置の要求として。
【0048】
ユーザーが自分の証明書の頻繁な更新に関心がない場合、更新はアクセス装置の要求として強制されることができる。準拠証明書のこの頻繁な更新の結果として、PK1の失効ライセンスの更新された値もアクセス装置に頻繁に利用可能である。
【0049】
証明書242が前記第一のユーザー装置110によって受け取られ(16)、ライセンス管理装置に呈示されたのち、前記第二のライセンス122が前記第二のユーザー同定装置131に送られる(9)。
【0050】
好ましいアプローチは、第二のライセンスが第二のユーザー同定装置に送られる前に、第一のユーザー装置がライセンス管理装置に対して自分の古い証明書(証明書242が入手される前に使われ、したがって失効ライセンスを含んでいない)が失効したことを証明することであろう。
【0051】
このプロセスの一つの利点は、第一のユーザーが新しい証明書を受け取るまで新しいライセンスが第二のユーザーに配布されないということである。このようにして、第一および第二のユーザーがそれぞれのライセンスを同時に使用することが防止される。第一のユーザーと第二のユーザーの間の関連付けを秘密に保つ。
【実施例2】
【0052】
ライセンスが第一のユーザーから第二のユーザーに、たとえば本発明の前記第二の実施形態に従って移転されるとき、ライセンス管理装置はその二人のユーザーの間の関連付けを知る。すなわち、公開鍵PK1とPK2の間の関連付けである。この関連付けはユーザーとしては知られたくないことがありうる。したがって、ユーザーの身元が特定されない、本文書で「匿名ライセンス」と称する汎用ライセンスを使うことが有利でありうる。
【0053】
匿名ライセンスとは、本文書では、特定のコンテンツに対する特定の権利についてのライセンス(先述したライセンス122のようなもの)であるが、このライセンスはユーザー同定装置と(すなわち持続的仮名と)関連付けられてはいない。そのようなライセンスは、ライセンス管理装置によって、支払いをするなどして所与のコンテンツを所与の権利とともに入手する匿名ユーザーのために発行されることができる。また、第二のユーザーに移転するために自分のライセンスの失効を要求する第一のユーザーのために発行されることもできる。このライセンスは所与の人物と関連付けられていないため、他のいかなる人物に移転(譲渡、販売など)されることもできる。この人物はのちにそのライセンスを同じライセンス管理装置に呈示してパーソナル化されたライセンス(たとえばライセンス121)と交換してもらうことができる。そのライセンスはその後コンテンツアクセスのために使用できる。
【0054】
しかし、セキュリティ上の理由のため、ライセンス管理装置が匿名ライセンスを発行する前に、匿名ライセンスには一意的な識別子を割り当てる必要があることが好ましい。これは、いったん匿名ライセンスが償還済みになったあとでその何らかのコピー(ユーザーによって作成されうる)も償還できることを防止するためになされる。しかし、この識別子がライセンス管理装置によって選ばれるのでは、ライセンス管理装置はその識別子を認識できるので、両方のユーザーの持続的仮名を結び付けることができてしまう。それを防止するため、下記のようにブラインド署名を使うことができる。
【0055】
図3は、本発明の第三の実施形態を示している。ここではあるコンテンツおよび権利に対応するライセンスを処理する第一のユーザーがこのライセンスを第二のユーザーに、第一および第二のユーザー装置の間の結びつきをシステムに明かすことなく移転する。
【0056】
図1の参照符号1〜3との関連で上述したように、第一のライセンス121が発行され、第一のユーザー同定装置110に送られる。その後、第一のユーザーは匿名通信路を介してCPまたはライセンス管理装置120に連絡し(18)、第一のライセンス121および自分のPK1 111を、そのライセンスの失効および匿名ライセンス発行の要求とともに送る。この失効または取り消しは、図2の参照符号11ないし16との関連で先述しているが、次の段落でも議論する。
【0057】
CP120は、ユーザーが自分の認証をするよう要求を送るが、これは標準的なプロトコルを通じて達成できる(CPがユーザーにランダムなチャレンジをPK1 111で暗号化して送る;正規ユーザーであれば、鍵ペアPK/SKからの自分のSKを使ってチャレンジを復号してCPに送り返すことができる)。ユーザーの認証後、CPはPK1 111の第一のライセンス121を取り消す。さらに、匿名ライセンスが前記第一のユーザー同定装置110に送られる前に、新しい準拠証明書241がCA-SCから第一のユーザー同定装置に送られる(16)。前記第一のデータのセットは前記証明書が生成されるより前に修正されたので、この証明書241は前記第一のライセンス121を含んでいる。
【0058】
第一のユーザー同定装置はランダムな秘密の識別子を生成し、この値をブラインド化する(17)。これはブラインド化された識別子Blind[ID]314を生じる。第一のユーザー同定装置が前記新たな証明書241を受け取ったのち、ユーザーとCPとの間のプロトコルは継続できる。好ましくは、新たなプロトコルが開始され、ユーザーがCPに自分のPK1 111、第一のライセンス121を送り(18)、自分を認証し、自分の新しい準拠証明書241も古い失効した証明書ならびに前記ブラインド化されたID Blind[ID]314およびNewRights313とともに送る。NewRights313はユーザーが第二のユーザーに移転したいものである。第一のユーザーからのこれらすべての値を用いて、CPはまず第一のユーザーの新たな準拠証明書が取り消されたライセンス121を含んでいることを検証する(項H(Sym‖time)を介した参照)。第二に、NewRights313が第一のライセンス121内に現れるRights113より少ないかそれと同じであるかどうかを検証する。第三に、呈示された第一のライセンス121からcontentID112を入手する。検証が成功なら、コンテンツ提供者CP120は次いで前記要求されたコンテンツおよび対応する権利のための匿名ライセンスを生成できる(19)。
【0059】
これを行うため、ライセンス管理装置は、異なる権利および異なるコンテンツのそれぞれの可能な組み合わせについて、一意的な公開鍵/秘密鍵のペアを有している。あらゆる権利の集合があらかじめR個の権利を有して指定されていて、あらゆるコンテンツの集合がC個の項目を有しているとすると、これはライセンス管理装置が好ましくはR×Cの異なる公開鍵/秘密鍵のペアをもたねばならないことを意味している。この設定を与えられたとき、ひとたびライセンス管理装置がデータ{Blind[ID],NewRights}を第一のユーザーから受け取れば、{NewRights,contentID]のこの組み合わせについての秘密鍵を用いてブラインド識別子Blind[ID]に署名し(19)、ユーザーに対して値{Blind[ID]}signed-NewRights-contentID325を返すことができる。するとユーザーは署名された識別子のブラインドを外して(21){ID}signed-NewRights-contentID315を入手し、この値をライセンス指定{NewRights,contentID}とともに第二のユーザーに移転できる(11)。匿名ライセンスと関連付けられるべき(ライセンスがユーザー間で移転される場合)新しい権利の指定NewRightsが必要とされるのは、指定される権利が認めるのが元の権利よりも少ない場合のみである。NewRightsを送る可能性により、ユーザーは自分のライセンスの一つを別のユーザーに与える際、望むなら、自分がもっていた元の権利よりも制限のある権利をもってそうすることができる。
【0060】
第二のユーザー同定装置は、パーソナル化されたライセンスを得るためにライセンス管理装置に匿名で連絡し、自分の公開の仮名PK2 131を用いて自分の認証をし、ライセンス管理装置に対して署名され、ブラインド解除された識別子{ID}signed-NewRights-contentID315を{NewRights313,contentID316}とともに送る。
【0061】
CP120はまず、ブラインド解除されたID315が使用済みでないことを(自分で管理しているIDのリストで)検証し、使用済みでなければそのIDを使用済みIDのリストに入力する。CPはさらにID315中の自分の署名を(実際に{NewRights,contentID}についての鍵を用いて作成されたかどうかを)検証し、すべて正しければ、ライセンス管理装置は最終的にパーソナル化されたライセンス122:
{PK2[SYM2‖NewRights‖contentID]}signCP122
を第二のユーザーに発行する(5)(これは第二のユーザーのユーザー同定装置130に、パーソナル化された鍵SYM2で暗号化されたコンテンツとともに送られる(9)):
【実施例3】
【0062】
上記のライセンス122の発行後、値IDがライセンス管理装置によってデータのセットに上記のように入力され、これはライセンス管理装置によって匿名ライセンスからのパーソナル化されたライセンスの(署名された識別子のついた)要求を受け取るたびに検査される。これにより、償還済みの匿名ライセンスのためのパーソナル化したライセンス要求に応答してライセンスが発行されることが防止される。
【0063】
匿名ライセンスは、ユーザーが別のユーザーに情報を販売または譲渡するときに使われるのとは別に、たとえば組織が人々に「一つ買えばもう一つおまけ」モデルでライセンスを購入するよう促したいときに助けとなる。第二のライセンスは匿名ライセンスとして発行されることができ、誰にでも移転できるのである。本発明に基づく第四の実施形態は図4との関係で述べる。この実施形態では、第一のユーザーは、既存のライセンスの移転は望まずに、あるコンテンツについての、および諸権利に対応する匿名ライセンスを要求する。ユーザーはそのような匿名ライセンスを受け取り、このライセンスを第二のユーザーに属する第二のユーザー同定装置に移転する。この実施形態は図3との関係で記述された前記第三の実施形態と同一であるが、以下に述べる相違がある。
【0064】
図4に示すように、第一のユーザーは匿名通信路を介して、Rights113およびcontentID112の所与の組み合わせについての匿名ライセンスの要求をもってCPに連絡する(1)。可能性としては、匿名支払いの証明(所与の金額に対応するしるしのようなもの)も送る。ユーザーによって支払われた額がRights113およびcontentID112のその所与の組み合わせの支払いに足りれば、ライセンス管理装置120またはCPは単に第一のユーザーのために匿名ライセンス421を発行する(2)。この匿名ライセンスはたとえば、その所与の組み合わせについての鍵を用いてCPによって署名されたランダムなIDである。この第四の実施形態では、CP120自身がID325を直接生成できる。ユーザーは、ライセンスが自分に発行されるのではないので、CPに匿名で連絡することになり、自分のPKを明かす必要がないからである。ユーザーはただ、そのコンテンツにそれらの権利を付けたものを要求する資格があることを匿名で証明するだけでよい。その後、匿名ライセンス421が前記第一のユーザー同定装置110に送られる(3)。第一のユーザー同定装置はそれを、可能性としては前記contentID112および前記Rights113と一緒に第二のユーザー同定装置130に転送する(11)。第二のユーザー同定装置は次いで前記匿名ライセンス421とパーソナル化されたライセンスの要求とを、可能性としては前記contentID112および前記Rights113と一緒に前記ライセンス管理装置120に与える(4)。前記第三の実施形態との関連で述べたように、ライセンス管理装置は今や前記第二のユーザー同定装置130のためのパーソナル化されたライセンス122を生成し(5)、これが前記装置130に送られる(9)。
【実施例4】
【0065】
上述した方策では、ライセンス管理装置120は、R×C対の異なる公開鍵/秘密鍵ペアならびに対応する権利(rights)およびcontentID値の巨大なリストを維持しなければならない。この方策はIDベース暗号からの技法を用いて単純化できる。本発明への適用では、人々または種々の当事者のIDを鍵生成に使う代わりに、コンテンツ識別子、権利およびライセンス管理装置の名称の連結を鍵生成に使うことができる。このようにして、公開鍵は単に文字列[ContentID‖Rights‖LMDname]として定義でき、対応する秘密鍵はその文字列とライセンス管理装置によって生成されるマスター鍵に基づいて生成される。
【0066】
署名用鍵ペアを生成するためのIDベース暗号の使用には次の利点がある。
・ライセンス管理装置があらゆるR×C通りの鍵ペアを保存する必要がないので(秘密鍵は必要なたびに生成できる)、ライセンス管理装置による鍵管理が大幅に容易になる。計算より保存のほうが好ましい場合であっても、秘密鍵だけを保存すればよい。
【0067】
この方策は、コンテンツ識別子、権利およびライセンス管理装置の名称さえ知っていれば(これらの値が公開鍵をなすので)、誰でも匿名ライセンスに付されたライセンス管理装置の署名を検査することを許容する。
【0068】
第二のユーザーが第一のユーザーからライセンスを購入する場合、ライセンス管理装置の署名の検証は決定的でありうる。第二のユーザーは、第一のユーザーから受け取る匿名ライセンスが実際に所与の権利のついた所与のコンテンツのものであること、および該ライセンスが所与のCPを用いて償還できることを知ることに関心がある。
【実施例5】
【0069】
〈ドメイン内での権利の配布〉
情報配布システムのユーザーが情報を購入するとき、知己である他のユーザーがその情報を共有したがることがありうる。これは、ドメインを形成することによってできる。ドメインは共有ドメイン鍵PKDと関連付けられる。ドメインはドメイン当局(domain authority)に登録される必要がある。ドメイン当局は当該構成員が実際に家族などのグループの一員であることを検証できる。その同じドメイン当局がPKDをそのユーザーグループに、SKDをスマートカードに割り当てることができる。それがすむと、ユーザーは自分の個人的使用のために(個人鍵PK1を使って)、あるいはドメイン鍵PKDを使ってドメイン全体のためにコンテンツを購入できる。ドメイン全体のためにコンテンツを購入する場合、公開ドメイン鍵PKD516に関連付けられた第一のユーザー同定装置110を有する第一のユーザーは、この公開ドメイン鍵PKDをあるコンテンツcontentID112およびRights113の要求とともにライセンス管理装置120に与える(1)。ライセンス管理装置はマスターライセンス521を生成し(2)、これが第一のユーザー同定装置に送られる(3)。マスターライセンスは好ましくは書式
{{PKD[SYM‖Rights‖contentID],1}signCP,MR}signCP (1)
をもつ。
【0070】
前記マスターライセンスは、書式
{PKD[SYM‖Rights‖contentID],1}signCP (2)
をもつドメインライセンスおよびマスター権利タグ(master rights tag)(MR)からなり、全体がCPによって署名されている。前記ドメインライセンスは対称鍵SYM、マスター権利Rights113およびcontentID112がドメイン鍵PKDによって暗号化されたものならびに委譲タグ(delegation tag)(1に設定)からなり、全体がCP120によって署名されている。このマスターライセンス121をCP120から入手するプロセスの終わりに、ユーザーはマスターライセンスを次の書式に暗号化できる。
【0071】
PK1[{{PKD[SYM‖Rights‖contentID],1}signCP,MR}signCP] (3)
これはPKDを共有するドメイン構成員に対して自分のプライバシーを保護するためである。よって、ドメイン内のどのユーザーもコンテンツを購入したユーザーのライセンスおよび権利を見ることができない。
【0072】
(特定の諸ドメイン構成員についての)個人的なユーザー権利の生成は、ドメインマネージャ装置(Domain Manager device)(DM)150によってなされる。コンテンツを購入したユーザーは、特定の諸ドメイン構成員のために持続的仮名132および対応する権利の集合を用意し、それをマスターライセンス521とともにDMに送る(4)。そのような集合またはデータ構造は次の書式をもてる:[PK1,Rights1;PK2,Rights2;PK3,Rights3;...PKn,Rightsn]。ここで、PKiはドメイン構成員(可能性としては前記第一のユーザーを含む)の公開鍵で、Rightsiは種々のPKに関連付けられるべきRightsを記述する権利の表現である。これはドメイン内での権利の差別化を容易にする。DMとの対話において、ユーザーは上記の暗号化された証明書(3)を、および結果として項PKD[Sym‖Rights‖contentid]を復号する。ユーザーはまたDMに対して、(ユーザーがライセンスを用意したい)集合中で言及されるすべてのPKiが実際に自分のドメインに属していることを証明する証明書を見せなければならないこともありうる。そこで、DMは各PKiについて次の書式をもつメンバーライセンスを生成する(5)。
【0073】
{PKi[Sym‖Rightsi‖contentIDi],PKDM}signDM (4)
最後に、ライセンス管理装置がこれらの権利をドメイン構成員に、好ましくは第一のユーザー同定装置を介して配布する(9)。
【0074】
コンテンツにアクセスするとき、ドメイン構成員は前記装置に対してドメインライセンスとパーソナル化されたライセンスの両方を、DMについての準拠証明書と並んで呈示しなければならないことがありうる。両方のライセンスを呈示する理由は、アクセス装置が、ユーザーがドメインに属しているということ(彼がPKiとPKDの両方を知っているかどうか)と、そしてまたは権利がRightsi≦Rightsであるということの両方を検証できるようにするためである。
【0075】
上述した手続きは、コンテンツを購入してマスターライセンスを有しているユーザーだけがドメイン構成員のためのドメインライセンスを生成できることを保証する。ドメイン内でのユーザー権利の面倒を見る当事者としてのDMの導入は、可算権利の管理のためにも有益である。今や、DMは新たなライセンスを発行し、可算権利の行使が生じたときには古いライセンスを失効させることができる。そのようにして、CPに対するユーザーのプライバシーが保護される。CPは、ユーザーが権利を行使するたびに毎回連絡されはしないからである。したがって、CPはユーザーのPK、コンテンツ識別子、装置識別子および可算権利の行使が生じた日時を結び付けるログ記録を生成することができない。しかし、この方策は、古いライセンスの失効がDMによって管理され、よって即時であるので、CPにとっても有益である。
【0076】
したがって、上記のように、本発明は情報配布システム内での権利の配布を容易にする。この用途の目的のために、特に付属の請求項に関しては、「有する」の語は他の要素またはステップを排除するものではないこと、単数形の表現が複数を排除するものではないこと、単一のプロセッサまたはユニットがいくつかの手段の機能を実行してもよいこと、および手段の少なくともいくつかはハードウェアまたはソフトウェアのどちらで実装することもできること、このこと自体は当業者には明らかであることを注意しておく。
【図面の簡単な説明】
【0077】
【図1】ライセンスが第一のユーザー同定装置から少なくとも第二のユーザー同定装置に配布される、本発明の第一の実施形態を概略的に示す図である。
【図2】移転されるライセンスが取り消される、本発明の第二の実施形態を概略的に示す図である。
【図3】第一のユーザーから第二のユーザーにライセンスを移転する際に匿名ライセンスが使用される、本発明の第三の実施形態を概略的に示す図である。
【図4】先行するライセンスがないときに第一のユーザーから第二のユーザーに権利を移転するために匿名ライセンスが使用される、本発明の第四の実施形態を概略的に示す図である。
【図5】一つのライセンスが一つのユーザー同定装置から一組のユーザー同定装置に配布される、本発明の第三の実施形態を概略的に示す図である。
【特許請求の範囲】
【請求項1】
要求された情報を配布するシステムにおいて、少なくとも一人のユーザーに属するライセンスおよび証明書を、前記ユーザーの身元を秘密に保ちつつ管理する方法であって、各ユーザーは少なくとも一つのユーザー同定装置によって代表され、該ユーザー同定装置は少なくとも第一の持続的仮名を有し、当該方法が:
ライセンス管理装置において、要求された情報と対応する権利とを表すデータを受け取り、
前記ライセンス管理装置において、前記要求された情報についての第一のライセンスを生成し、
第一のユーザー同定装置において、前記第一のライセンスを受け取り、
前記ライセンス管理装置において、少なくとも一つの持続的仮名を含む持続的仮名の集合と、前記第一のライセンスに基づく第二のライセンスと、前記第二のライセンスを、それぞれが前記持続的仮名の集合に含まれる個別の持続的仮名に関連付けられたユーザー同定装置を少なくとも一つ有するユーザー同定装置の集合に割り当てる要求とを受け取り、
前記ライセンス管理装置において、前記要求された情報についてのライセンスの集合を生成し、該集合はユーザー同定装置の前記集合の各ユーザー同定装置について第三のライセンスを含んでおり、各ライセンスは前記個別の第三のライセンスを同定するために使用できる身元データ含んでおり、
身元管理装置において、証明書の要求と前記持続的仮名の集合に含まれる第二の持続的仮名とを、前記第二の持続的仮名に対応し、前記ユーザー同定装置の集合に含まれる第二のユーザー同定装置から受け取り、
前記身元管理装置において、証明書を生成し、
前記第二のユーザー同定装置において、前記証明書を前記身元管理装置から受け取り、
前記ライセンスの集合中の前記生成されたライセンスのそれぞれを前記ユーザー同定装置の集合に含まれる対応するユーザー同定装置に配布し、
前記要求された情報へのアクセスの時に前記ライセンスの集合に含まれるライセンスおよび前記証明書を検証する、
ステップを有することを特徴とする方法。
【請求項2】
請求項1記載の方法であって、前記第一のユーザー同定装置がユーザー同定装置の第一のドメインに属しており、前記ユーザー同定装置の第一の集合に含まれる各ユーザー同定装置は該第一のドメインに属しており、前記第一のライセンスはマスターライセンスであり、前記第二のライセンスは前記第一のライセンスに等しく、前記ライセンス管理装置は第一のライセンス管理装置および第二のライセンス管理装置とを含み、前記持続的仮名の集合は、みな前記第一のドメインに属する持続的仮名を含んでおり:
第一のライセンスを生成する前記ステップが、前記第一のライセンス管理装置において前記要求された情報および前記権利に対応するマスターライセンスを生成することを含み、該ライセンスは前記第一のドメイン内で配布可能であり、
持続的仮名の集合と、ライセンスと、前記ライセンスを前記ユーザー同定装置の集合に割り当てる要求とを受け取る前記ステップがさらに、これらを前記第一の同定装置から受け取ることであり、
ライセンスの集合を生成する前記ステップが、前記第二のライセンス管理装置において前記ライセンスの集合を生成することを含み、各ライセンスは、対応するユーザー同定装置によって、前記要求された情報にアクセスする際に利用可能である、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
要求された情報と対応する権利とを表すデータを受け取る前記ステップがさらに、前記第一のドメインに関連付けられた第一の持続的ドメイン仮名を受け取ることを含み、
マスターライセンスを生成する前記ステップがさらに、第一の対称鍵、前記権利および前記情報を表す前記データを、前記第一の持続的ドメイン仮名によって暗号化し、この暗号化したものを前記マスターライセンスに含めることを含む、
ことを特徴とする方法。
【請求項4】
請求項2または3記載の方法であって、準拠証明書と前記ライセンスの集合に含まれる前記諸ライセンスのうちの一つとを検証する前記ステップがさらに、前記ライセンスを前記マスターライセンスと比較することによって前記ライセンスを検証することを含むことを特徴とする方法。
【請求項5】
請求項1ないし4のうちいずれか一項記載の方法であって、
どのライセンスが有効であるかを示す第一のデータのセットを生成することを、もはや有効でなく、少なくとも一つの持続的仮名に関係していたすべてのライセンスを代表するデータがその仮名によって追跡可能であるような方法で行うステップをさらに有しており、
持続的仮名に関連付けられた証明書を生成するステップが、
前記ライセンス管理装置において、前記身元管理装置から、前記持続的仮名と、前記持続的仮名に関係するどのライセンスが有効であるかを示すデータの要求とを受け取り、
前記ライセンス管理装置において、前記持続的仮名に関係するどのライセンスが有効であるかを示す第二のデータのセットを生成し、
前記身元管理装置において、前記ライセンス管理装置から前記第二のデータのセットを受け取り、
前記身元管理装置において前記第二のデータのセットを前記要求された証明書に含める、
ステップをさらに有することを特徴とする方法。
【請求項6】
請求項5記載の方法であって:
持続的仮名の集合と、ライセンスと、前記ライセンスを前記ユーザー同定装置の集合に割り当てる要求とを受け取る前記ステップが、これらを前記第一の同定装置から前記第一の持続的仮名とともに受け取ることをさらに含み、
第二のライセンスを生成することが、前記第一のデータのセットを、前記第二のライセンスがもはや有効でないことを示すように修正し、前記第一の持続的仮名についての証明書を前記身元管理装置において生成し、前記生成された証明書を前記第一のユーザー同定装置に配布することをさらに含む、
ことを特徴とする方法。
【請求項7】
請求項6記載の方法であって、各ライセンスが異なる鍵を有しており、前記第二のデータのセットを生成する前記ステップが前記第一の持続的仮名に関係するライセンスに含まれるあらゆる鍵のリストを生成することを含むことを特徴とする方法。
【請求項8】
請求項7記載の方法であって、前記第二のデータのセットを生成する前記ステップが、ハッシュ関数によって前記鍵のそれぞれを定数を用いてエンコードすることを含み、該定数がやはり前記第二のデータのセットに含まれることを特徴とする方法。
【請求項9】
請求項1ないし8のうちいずれか一項記載の方法であって、持続的仮名および要求された情報についてのライセンスの要求が受け取られ、当該方法がさらに:
あるユーザー同定装置と関連付けられた前記受け取られた持続的仮名を、対称鍵と、前記要求された情報の識別子と、前記ユーザー同定装置および前記要求された情報と関連付けられた権利とを表す値を暗号化する際に使用し、
ライセンスを生成して、前記暗号化したものが前記生成されたライセンスに含まれるようにする、
ステップをさらに有することを特徴とする方法。
【請求項10】
請求項1ないし9のうちいずれか一項記載の方法であって、要求されたコンテンツへのアクセスの時にライセンスを検証する前記ステップが、前記ライセンスに含まれる前記ライセンス同定データが有効であることを、前記証明書に含まれる前記第二のデータのセットと比較することによって判定することを含むことを特徴とする方法。
【請求項11】
請求項1または請求項5ないし10のうちいずれか一項記載の方法であって、前記第二のライセンスが前記第一のライセンスに等しく、
第一のユーザー同定装置において前記第一のライセンスを受け取ることが、前記第一のライセンスを前記第二のユーザー同定装置に配布することを含み、
持続的仮名の集合および第二のライセンスを受け取ることがさらに、該集合および該ライセンスを前記第二の同定装置から受け取ることである、
ことを特徴とする方法。
【請求項12】
請求項1記載の方法であって、前記第一のライセンスが匿名ライセンスであり、前記第二のライセンスが前記第一のライセンスに等しく、ライセンス管理装置がどの匿名ライセンスが有効であるかを示す第三のデータのセットと関連付けられており:
ライセンス管理装置において要求された情報と対応する権利とを表すデータを受け取ることがさらに、これを匿名通信路によって受け取ることであり、
前記第一のライセンスを生成することがさらに、匿名の識別情報を生成し、前記識別情報を前記受け取った情報および前記権利に対応する鍵によって暗号化することを含み、
前記第一のライセンスを受け取ることが前記第一のライセンス管理装置においてさらに、前記第一のライセンスを前記第二のユーザー同定装置に配布することを含んでおり、
前記ライセンス管理装置において少なくとも一つの持続的仮名と第二のライセンスを受け取ることがさらに、これらを前記第二のユーザー同定装置から受け取り、前記第三のデータのセットを、前記第二のライセンスがもはや有効でないことを示すように修正することを含む、
ことを特徴とする方法。
【請求項13】
請求項5記載の方法であって、前記第二のライセンスがブラインド解除されたときの前記第一のライセンスに対応し:
前記第一のユーザー同定装置において前記第一のライセンスを受け取ることがさらに、前記第一の同定装置において秘密の識別子を生成してブラインド化し、前記ライセンス管理装置において前記第一のライセンス、前記持続的仮名、前記第一のライセンスを取り消す要求、要求された情報のための匿名ライセンスの要求および前記ブラインド化された秘密の識別子を受け取り、前記第一の持続的仮名に関連付けられた証明書を生成し、該証明書を前記ライセンス管理装置に送り、前記ライセンス管理装置において前記要求された情報のための前記匿名ライセンスを前記ブラインド化された識別子に基づいて生成し、前記第一のユーザー同定装置において前記匿名ライセンスを受け取り、前記第一のユーザー同定装置において前記匿名ライセンスのブラインドを解除し、前記第二のユーザー装置において前記ブラインドを解除された匿名ライセンスを受け取る、ことを含み、
前記ライセンス管理装置において持続的仮名の集合および前記ブラインド解除された匿名ライセンスを受け取ることがさらに、これらを前記第二のユーザー同定装置から受け取ることである、
ことを特徴とする方法。
【請求項14】
請求項1ないし13のうちいずれか一項記載の方法であって、前記第一のライセンスが前記要求された情報について配布可能である権利を示し、
持続的仮名の集合を受け取る前記ステップがさらに、前記ライセンスの集合内の各ライセンスがどの権利に関連付けられるかを示すデータを受け取ることを含み、
ライセンスの集合を生成する前記ステップがさらに、前記ライセンスの少なくとも一つを前記配布可能な権利に比べてより制限のある権利と関連付けることを含む、
ことを特徴とする方法。
【請求項15】
ユーザーの身元を秘密に保ちながらの情報配布のための情報システムであって:
持続的仮名を含む第一のユーザー同定装置と、
ユーザー同定装置を少なくとも一つ有するユーザー同定装置の集合と、
ライセンス管理装置であって、要求される情報および対応する権利を表すデータを前記第一のユーザー同定装置から受け取り、第一のライセンスを生成し、前記第一のライセンスを前記第一のユーザー同定装置に送り、前記第一のライセンスに基づく第二のライセンスと少なくとも一つの持続的仮名を含む持続的仮名の集合とを受け取り、ライセンスの集合を生成し、該集合は前記第二の持続的仮名の集合に含まれる個別の持続的仮名に関連付けられた各ユーザー同定装置についての第三のライセンスを有しており、前記ライセンスの集合に含まれる前記ライセンスのそれぞれを対応するユーザー同定装置に配布するよう構成されたライセンス管理装置と、
持続的仮名を受け取り、証明書を生成し、証明書を前記ユーザー装置の集合に含まれる前記ユーザー同定装置に送るよう構成された身元管理装置、
とを有することを特徴とするシステム。
【請求項16】
請求項15記載の情報システムであって、
前記第一のユーザー同定装置がユーザー同定装置の第一のドメインに属しており、前記ユーザー同定装置の第一の集合に含まれる各ユーザー同定装置は該第一のドメインに属しており、
前記第二のライセンスは前記第一のライセンスに等しく、
前記ライセンス管理装置は第一のライセンス管理装置および第二の管理装置とを含み、
前記持続的仮名の集合は、みな前記第一のドメインに属する持続的仮名を含んでおり、
前記第一のライセンス管理装置が、要求された情報および対応する権利を表す前記データを前記第一のユーザー同定装置から受け取り、前記第一のライセンスを生成し、該第一のライセンスを前記第一のユーザー同定装置に送るよう構成されており、
前記第二のライセンス管理装置が、前記持続的仮名の集合および前記第一のライセンスに等しい前記第二のライセンスを受け取り、前記ライセンスの集合を、該ライセンスの集合に含まれる各ライセンスを対応するユーザー同定装置に配布するために生成するよう構成されている、
ことを特徴とするシステム。
【請求項17】
請求項17記載のシステムであって、前記第一のライセンス管理装置がさらに前記第一の持続的仮名を受け取るよう構成されており、
前記マスターライセンスが前記第一の持続的仮名による暗号化情報であり、該暗号化情報が第一の対称鍵、前記権利および前記要求された情報を表す前記データを含んでいる、
ことを特徴とするシステム。
【請求項18】
請求項15ないし17のうちいずれか一項記載のシステムであって:
どのライセンスが有効であるかを示す第一のデータのセットをさらに有しており:
前記ライセンス管理装置がさらに、ライセンス識別情報および対応するライセンスを取り消す要求を受け取り、前記第一のデータのセットを、前記ライセンス識別情報に対応する前記ライセンスが取り消されていることを示すよう修正し、前記身元管理装置から持続的仮名を受け取り、前記第一の持続的仮名に関係するどのライセンスが有効であるかを示す第二のデータのセットを生成し、前記第二のデータのセットを前記身元管理装置に送るよう構成されており、
前記身元管理装置が、前記第一のユーザー同定装置から第一の持続的仮名を受け取り、該第一の持続的仮名を前記ライセンス管理装置に送り、前記ライセンス管理装置から前記第二のデータのセットを受け取り、前記第二のデータのセットを含む証明書を生成し、該生成された証明書を前記第一のユーザー同定装置に送る、よう構成されている、
ことを特徴とするシステム。
【請求項19】
請求項15記載のシステムであって、
前記第一のライセンスが匿名ライセンスであり、
前記第二のライセンスが前記第一のライセンスに等しく、
前記ライセンス管理装置が、どの匿名ライセンスが有効であるかを示す第三のデータのセットと関連付けられており、
前記ライセンス管理装置がさらに、要求された情報と対応する権利とを表すデータを匿名通信路を通じて受け取り、匿名の識別情報を生成し、前記匿名の識別情報を前記受け取った情報および権利に対応する鍵によって暗号化することにより匿名ライセンスを生成し、該匿名ライセンスを前記第一のユーザー装置に送り、前記匿名ライセンスを前記第二のユーザー同定装置から受け取り、第三のデータのセットを、前記匿名ライセンスが取り消されていることを示すように修正するよう構成されている、
ことを特徴とするシステム。
【請求項20】
請求項15記載のシステムであって、前記第二のライセンスは生成された匿名ライセンスがブラインド解除された後のものに対応し、
前記第一のユーザー同定装置が、秘密の識別子を生成してブラインド化し、該ブラインド化された秘密の識別子を前記ライセンス管理装置に送り、前記ライセンス管理装置から匿名ライセンスを受け取り、前記匿名ライセンスをブラインド解除し、該ブラインド解除されたライセンスを前記第二のユーザー装置に送るよう構成されており、
前記ライセンス管理装置はさらに、前記ブラインド化された秘密の識別子および前記第一のライセンスを受け取り、前記第一のライセンスを取り消し、前記ブラインド化された秘密の識別子に対応する匿名ライセンスを生成し、該匿名ライセンスを前記第一の同定装置に送り、前記ブラインド解除されたライセンスを前記第二のユーザー同定装置から受け取り、前記ブラインド解除されたライセンスを取り消し、前記第三のライセンスを生成し、前記第三のライセンスを前記第二のユーザー同定装置に配布するよう構成されている、
ことを特徴とするシステム。
【請求項1】
要求された情報を配布するシステムにおいて、少なくとも一人のユーザーに属するライセンスおよび証明書を、前記ユーザーの身元を秘密に保ちつつ管理する方法であって、各ユーザーは少なくとも一つのユーザー同定装置によって代表され、該ユーザー同定装置は少なくとも第一の持続的仮名を有し、当該方法が:
ライセンス管理装置において、要求された情報と対応する権利とを表すデータを受け取り、
前記ライセンス管理装置において、前記要求された情報についての第一のライセンスを生成し、
第一のユーザー同定装置において、前記第一のライセンスを受け取り、
前記ライセンス管理装置において、少なくとも一つの持続的仮名を含む持続的仮名の集合と、前記第一のライセンスに基づく第二のライセンスと、前記第二のライセンスを、それぞれが前記持続的仮名の集合に含まれる個別の持続的仮名に関連付けられたユーザー同定装置を少なくとも一つ有するユーザー同定装置の集合に割り当てる要求とを受け取り、
前記ライセンス管理装置において、前記要求された情報についてのライセンスの集合を生成し、該集合はユーザー同定装置の前記集合の各ユーザー同定装置について第三のライセンスを含んでおり、各ライセンスは前記個別の第三のライセンスを同定するために使用できる身元データ含んでおり、
身元管理装置において、証明書の要求と前記持続的仮名の集合に含まれる第二の持続的仮名とを、前記第二の持続的仮名に対応し、前記ユーザー同定装置の集合に含まれる第二のユーザー同定装置から受け取り、
前記身元管理装置において、証明書を生成し、
前記第二のユーザー同定装置において、前記証明書を前記身元管理装置から受け取り、
前記ライセンスの集合中の前記生成されたライセンスのそれぞれを前記ユーザー同定装置の集合に含まれる対応するユーザー同定装置に配布し、
前記要求された情報へのアクセスの時に前記ライセンスの集合に含まれるライセンスおよび前記証明書を検証する、
ステップを有することを特徴とする方法。
【請求項2】
請求項1記載の方法であって、前記第一のユーザー同定装置がユーザー同定装置の第一のドメインに属しており、前記ユーザー同定装置の第一の集合に含まれる各ユーザー同定装置は該第一のドメインに属しており、前記第一のライセンスはマスターライセンスであり、前記第二のライセンスは前記第一のライセンスに等しく、前記ライセンス管理装置は第一のライセンス管理装置および第二のライセンス管理装置とを含み、前記持続的仮名の集合は、みな前記第一のドメインに属する持続的仮名を含んでおり:
第一のライセンスを生成する前記ステップが、前記第一のライセンス管理装置において前記要求された情報および前記権利に対応するマスターライセンスを生成することを含み、該ライセンスは前記第一のドメイン内で配布可能であり、
持続的仮名の集合と、ライセンスと、前記ライセンスを前記ユーザー同定装置の集合に割り当てる要求とを受け取る前記ステップがさらに、これらを前記第一の同定装置から受け取ることであり、
ライセンスの集合を生成する前記ステップが、前記第二のライセンス管理装置において前記ライセンスの集合を生成することを含み、各ライセンスは、対応するユーザー同定装置によって、前記要求された情報にアクセスする際に利用可能である、
ことを特徴とする方法。
【請求項3】
請求項2記載の方法であって、
要求された情報と対応する権利とを表すデータを受け取る前記ステップがさらに、前記第一のドメインに関連付けられた第一の持続的ドメイン仮名を受け取ることを含み、
マスターライセンスを生成する前記ステップがさらに、第一の対称鍵、前記権利および前記情報を表す前記データを、前記第一の持続的ドメイン仮名によって暗号化し、この暗号化したものを前記マスターライセンスに含めることを含む、
ことを特徴とする方法。
【請求項4】
請求項2または3記載の方法であって、準拠証明書と前記ライセンスの集合に含まれる前記諸ライセンスのうちの一つとを検証する前記ステップがさらに、前記ライセンスを前記マスターライセンスと比較することによって前記ライセンスを検証することを含むことを特徴とする方法。
【請求項5】
請求項1ないし4のうちいずれか一項記載の方法であって、
どのライセンスが有効であるかを示す第一のデータのセットを生成することを、もはや有効でなく、少なくとも一つの持続的仮名に関係していたすべてのライセンスを代表するデータがその仮名によって追跡可能であるような方法で行うステップをさらに有しており、
持続的仮名に関連付けられた証明書を生成するステップが、
前記ライセンス管理装置において、前記身元管理装置から、前記持続的仮名と、前記持続的仮名に関係するどのライセンスが有効であるかを示すデータの要求とを受け取り、
前記ライセンス管理装置において、前記持続的仮名に関係するどのライセンスが有効であるかを示す第二のデータのセットを生成し、
前記身元管理装置において、前記ライセンス管理装置から前記第二のデータのセットを受け取り、
前記身元管理装置において前記第二のデータのセットを前記要求された証明書に含める、
ステップをさらに有することを特徴とする方法。
【請求項6】
請求項5記載の方法であって:
持続的仮名の集合と、ライセンスと、前記ライセンスを前記ユーザー同定装置の集合に割り当てる要求とを受け取る前記ステップが、これらを前記第一の同定装置から前記第一の持続的仮名とともに受け取ることをさらに含み、
第二のライセンスを生成することが、前記第一のデータのセットを、前記第二のライセンスがもはや有効でないことを示すように修正し、前記第一の持続的仮名についての証明書を前記身元管理装置において生成し、前記生成された証明書を前記第一のユーザー同定装置に配布することをさらに含む、
ことを特徴とする方法。
【請求項7】
請求項6記載の方法であって、各ライセンスが異なる鍵を有しており、前記第二のデータのセットを生成する前記ステップが前記第一の持続的仮名に関係するライセンスに含まれるあらゆる鍵のリストを生成することを含むことを特徴とする方法。
【請求項8】
請求項7記載の方法であって、前記第二のデータのセットを生成する前記ステップが、ハッシュ関数によって前記鍵のそれぞれを定数を用いてエンコードすることを含み、該定数がやはり前記第二のデータのセットに含まれることを特徴とする方法。
【請求項9】
請求項1ないし8のうちいずれか一項記載の方法であって、持続的仮名および要求された情報についてのライセンスの要求が受け取られ、当該方法がさらに:
あるユーザー同定装置と関連付けられた前記受け取られた持続的仮名を、対称鍵と、前記要求された情報の識別子と、前記ユーザー同定装置および前記要求された情報と関連付けられた権利とを表す値を暗号化する際に使用し、
ライセンスを生成して、前記暗号化したものが前記生成されたライセンスに含まれるようにする、
ステップをさらに有することを特徴とする方法。
【請求項10】
請求項1ないし9のうちいずれか一項記載の方法であって、要求されたコンテンツへのアクセスの時にライセンスを検証する前記ステップが、前記ライセンスに含まれる前記ライセンス同定データが有効であることを、前記証明書に含まれる前記第二のデータのセットと比較することによって判定することを含むことを特徴とする方法。
【請求項11】
請求項1または請求項5ないし10のうちいずれか一項記載の方法であって、前記第二のライセンスが前記第一のライセンスに等しく、
第一のユーザー同定装置において前記第一のライセンスを受け取ることが、前記第一のライセンスを前記第二のユーザー同定装置に配布することを含み、
持続的仮名の集合および第二のライセンスを受け取ることがさらに、該集合および該ライセンスを前記第二の同定装置から受け取ることである、
ことを特徴とする方法。
【請求項12】
請求項1記載の方法であって、前記第一のライセンスが匿名ライセンスであり、前記第二のライセンスが前記第一のライセンスに等しく、ライセンス管理装置がどの匿名ライセンスが有効であるかを示す第三のデータのセットと関連付けられており:
ライセンス管理装置において要求された情報と対応する権利とを表すデータを受け取ることがさらに、これを匿名通信路によって受け取ることであり、
前記第一のライセンスを生成することがさらに、匿名の識別情報を生成し、前記識別情報を前記受け取った情報および前記権利に対応する鍵によって暗号化することを含み、
前記第一のライセンスを受け取ることが前記第一のライセンス管理装置においてさらに、前記第一のライセンスを前記第二のユーザー同定装置に配布することを含んでおり、
前記ライセンス管理装置において少なくとも一つの持続的仮名と第二のライセンスを受け取ることがさらに、これらを前記第二のユーザー同定装置から受け取り、前記第三のデータのセットを、前記第二のライセンスがもはや有効でないことを示すように修正することを含む、
ことを特徴とする方法。
【請求項13】
請求項5記載の方法であって、前記第二のライセンスがブラインド解除されたときの前記第一のライセンスに対応し:
前記第一のユーザー同定装置において前記第一のライセンスを受け取ることがさらに、前記第一の同定装置において秘密の識別子を生成してブラインド化し、前記ライセンス管理装置において前記第一のライセンス、前記持続的仮名、前記第一のライセンスを取り消す要求、要求された情報のための匿名ライセンスの要求および前記ブラインド化された秘密の識別子を受け取り、前記第一の持続的仮名に関連付けられた証明書を生成し、該証明書を前記ライセンス管理装置に送り、前記ライセンス管理装置において前記要求された情報のための前記匿名ライセンスを前記ブラインド化された識別子に基づいて生成し、前記第一のユーザー同定装置において前記匿名ライセンスを受け取り、前記第一のユーザー同定装置において前記匿名ライセンスのブラインドを解除し、前記第二のユーザー装置において前記ブラインドを解除された匿名ライセンスを受け取る、ことを含み、
前記ライセンス管理装置において持続的仮名の集合および前記ブラインド解除された匿名ライセンスを受け取ることがさらに、これらを前記第二のユーザー同定装置から受け取ることである、
ことを特徴とする方法。
【請求項14】
請求項1ないし13のうちいずれか一項記載の方法であって、前記第一のライセンスが前記要求された情報について配布可能である権利を示し、
持続的仮名の集合を受け取る前記ステップがさらに、前記ライセンスの集合内の各ライセンスがどの権利に関連付けられるかを示すデータを受け取ることを含み、
ライセンスの集合を生成する前記ステップがさらに、前記ライセンスの少なくとも一つを前記配布可能な権利に比べてより制限のある権利と関連付けることを含む、
ことを特徴とする方法。
【請求項15】
ユーザーの身元を秘密に保ちながらの情報配布のための情報システムであって:
持続的仮名を含む第一のユーザー同定装置と、
ユーザー同定装置を少なくとも一つ有するユーザー同定装置の集合と、
ライセンス管理装置であって、要求される情報および対応する権利を表すデータを前記第一のユーザー同定装置から受け取り、第一のライセンスを生成し、前記第一のライセンスを前記第一のユーザー同定装置に送り、前記第一のライセンスに基づく第二のライセンスと少なくとも一つの持続的仮名を含む持続的仮名の集合とを受け取り、ライセンスの集合を生成し、該集合は前記第二の持続的仮名の集合に含まれる個別の持続的仮名に関連付けられた各ユーザー同定装置についての第三のライセンスを有しており、前記ライセンスの集合に含まれる前記ライセンスのそれぞれを対応するユーザー同定装置に配布するよう構成されたライセンス管理装置と、
持続的仮名を受け取り、証明書を生成し、証明書を前記ユーザー装置の集合に含まれる前記ユーザー同定装置に送るよう構成された身元管理装置、
とを有することを特徴とするシステム。
【請求項16】
請求項15記載の情報システムであって、
前記第一のユーザー同定装置がユーザー同定装置の第一のドメインに属しており、前記ユーザー同定装置の第一の集合に含まれる各ユーザー同定装置は該第一のドメインに属しており、
前記第二のライセンスは前記第一のライセンスに等しく、
前記ライセンス管理装置は第一のライセンス管理装置および第二の管理装置とを含み、
前記持続的仮名の集合は、みな前記第一のドメインに属する持続的仮名を含んでおり、
前記第一のライセンス管理装置が、要求された情報および対応する権利を表す前記データを前記第一のユーザー同定装置から受け取り、前記第一のライセンスを生成し、該第一のライセンスを前記第一のユーザー同定装置に送るよう構成されており、
前記第二のライセンス管理装置が、前記持続的仮名の集合および前記第一のライセンスに等しい前記第二のライセンスを受け取り、前記ライセンスの集合を、該ライセンスの集合に含まれる各ライセンスを対応するユーザー同定装置に配布するために生成するよう構成されている、
ことを特徴とするシステム。
【請求項17】
請求項17記載のシステムであって、前記第一のライセンス管理装置がさらに前記第一の持続的仮名を受け取るよう構成されており、
前記マスターライセンスが前記第一の持続的仮名による暗号化情報であり、該暗号化情報が第一の対称鍵、前記権利および前記要求された情報を表す前記データを含んでいる、
ことを特徴とするシステム。
【請求項18】
請求項15ないし17のうちいずれか一項記載のシステムであって:
どのライセンスが有効であるかを示す第一のデータのセットをさらに有しており:
前記ライセンス管理装置がさらに、ライセンス識別情報および対応するライセンスを取り消す要求を受け取り、前記第一のデータのセットを、前記ライセンス識別情報に対応する前記ライセンスが取り消されていることを示すよう修正し、前記身元管理装置から持続的仮名を受け取り、前記第一の持続的仮名に関係するどのライセンスが有効であるかを示す第二のデータのセットを生成し、前記第二のデータのセットを前記身元管理装置に送るよう構成されており、
前記身元管理装置が、前記第一のユーザー同定装置から第一の持続的仮名を受け取り、該第一の持続的仮名を前記ライセンス管理装置に送り、前記ライセンス管理装置から前記第二のデータのセットを受け取り、前記第二のデータのセットを含む証明書を生成し、該生成された証明書を前記第一のユーザー同定装置に送る、よう構成されている、
ことを特徴とするシステム。
【請求項19】
請求項15記載のシステムであって、
前記第一のライセンスが匿名ライセンスであり、
前記第二のライセンスが前記第一のライセンスに等しく、
前記ライセンス管理装置が、どの匿名ライセンスが有効であるかを示す第三のデータのセットと関連付けられており、
前記ライセンス管理装置がさらに、要求された情報と対応する権利とを表すデータを匿名通信路を通じて受け取り、匿名の識別情報を生成し、前記匿名の識別情報を前記受け取った情報および権利に対応する鍵によって暗号化することにより匿名ライセンスを生成し、該匿名ライセンスを前記第一のユーザー装置に送り、前記匿名ライセンスを前記第二のユーザー同定装置から受け取り、第三のデータのセットを、前記匿名ライセンスが取り消されていることを示すように修正するよう構成されている、
ことを特徴とするシステム。
【請求項20】
請求項15記載のシステムであって、前記第二のライセンスは生成された匿名ライセンスがブラインド解除された後のものに対応し、
前記第一のユーザー同定装置が、秘密の識別子を生成してブラインド化し、該ブラインド化された秘密の識別子を前記ライセンス管理装置に送り、前記ライセンス管理装置から匿名ライセンスを受け取り、前記匿名ライセンスをブラインド解除し、該ブラインド解除されたライセンスを前記第二のユーザー装置に送るよう構成されており、
前記ライセンス管理装置はさらに、前記ブラインド化された秘密の識別子および前記第一のライセンスを受け取り、前記第一のライセンスを取り消し、前記ブラインド化された秘密の識別子に対応する匿名ライセンスを生成し、該匿名ライセンスを前記第一の同定装置に送り、前記ブラインド解除されたライセンスを前記第二のユーザー同定装置から受け取り、前記ブラインド解除されたライセンスを取り消し、前記第三のライセンスを生成し、前記第三のライセンスを前記第二のユーザー同定装置に配布するよう構成されている、
ことを特徴とするシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2008−501177(P2008−501177A)
【公表日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願番号】特願2007−514267(P2007−514267)
【出願日】平成17年5月24日(2005.5.24)
【国際出願番号】PCT/IB2005/051680
【国際公開番号】WO2005/116794
【国際公開日】平成17年12月8日(2005.12.8)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願日】平成17年5月24日(2005.5.24)
【国際出願番号】PCT/IB2005/051680
【国際公開番号】WO2005/116794
【国際公開日】平成17年12月8日(2005.12.8)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]