ライセンスのオフライン環境下における送信流通システム及び送信流通方法
【課題】電子データのライセンスをオフライン化し、ライセンスの安全を守りながら、利用者の利用に便利なライセンスの送信・流通システムを提供する。
【解決手段】電子データのライセンスを利用するPC11、12や、コンテンツ配信サーバ10、PD14にセットされる媒体13は、LA(あるいは、同機能のLicense Chip)を内蔵する。そして、コンテンツや電子データは、ライセンスに基づいて暗号化して、相互にやりとりされるが、ライセンスは、LA間のみで安全な通信方法でやりとりするようにする。これにより、ライセンスの管理を正しく行うと共に、ライセンスの移動を可能にする。
【解決手段】電子データのライセンスを利用するPC11、12や、コンテンツ配信サーバ10、PD14にセットされる媒体13は、LA(あるいは、同機能のLicense Chip)を内蔵する。そして、コンテンツや電子データは、ライセンスに基づいて暗号化して、相互にやりとりされるが、ライセンスは、LA間のみで安全な通信方法でやりとりするようにする。これにより、ライセンスの管理を正しく行うと共に、ライセンスの移動を可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、プログラムなどの使用ライセンスをオフライン環境下において安全に送信流通するシステムに関する。
【背景技術】
【0002】
今日、インターネットやコンピュータが普及・発達し、プログラムファイル以外にも音楽データファイルなどをネットワークを介して、販売することが行われつつある。しかし、これらのファイルは、電子データであるため、一旦ダウンロードしてしまうと、複製が容易であり、著作権などの諸権利が容易に侵害されてしまうという問題がある。このような問題に対処するために、これら電子ファイルに対するライセンスの配布と管理のためのシステムを確立することが要求されている。
【0003】
従来の技術とその問題点を以下に説明する。
【0004】
従来の一般利用者間での電子データの保護流通においては、以下に示すように電子データの作成者は、一旦送付してしまった電子データのアクセスを制御することができない。・NDA文書の企業間での流通
電子文書などをNDA(Non Disclosure Agreement)を結んだ企業のある特定の範囲の人に配布した場合、その範囲外の人にも複写/印刷されて容易に文書がわたってしまう可能性が高い。
・企業内での検討中資料の配布
検討中資料を関連グループにのみ配布した場合でも、結局、複写/印刷されて、それ以外のメンバーにも広がってしまい、社外にその情報が流出してしまう可能性が高くなる。
【0005】
従って、電子データ送付後も作成者の意思がアクセス制御に反映されるための機能が必要である。
従来技術では、上記問題に対する対処として図17のような専用のデータ転送システムを使用している。
【0006】
図17は、従来のライセンスを管理するための専用データ転送システムを示す図である。
同図において、PC(ユーザ端末)の内、コンテンツの送信元では、データ転送専用クライアント装置を使用して、転送すべきコンテンツに転送処理して、専用サーバに専用の機密保護転送方式によって転送する。当該コンテンツを受信する他のユーザのPC(利用者1)では、やはり専用のクライアント装置を有しており、専用サーバから専用の機密保護転送方式によって当該コンテンツを受信する。そして、転送処理することによって、ローカルなハードディスクなどに当該コンテンツを格納すると共に、後に参照などが可能となるようにする。
【0007】
このコンテンツを利用者1が、当該コンテンツを利用者2に転送しようとする場合には、やはり、専用クライアント装置の転送処理機能によって当該コンテンツを専用サーバに専用の機密保護転送方式を用いて転送し、利用者2は、専用サーバから専用の機密保護転送方式を用いて、当該コンテンツを専用のクライアント装置にダウンロードするという形態をとっている。
【0008】
図17のシステムの問題点を以下に示す。
1)電子データ転送には必ず専用のクライアントを使用しなくてはならず、従って、そのクライアントの仕様に縛られた形でしか送信できない(例えば、利用者間のアプリで送受信する、といったことはできない)。
また、電子データの送信は必ず専用サーバを介さなくてはならない。従って、例えば、既存のe−mailの送信可能範囲と同じ範囲の利用者と送受信可能とするためには、理論的には、上記専用サーバがメールサーバと同じだけ普及する必要があるが、そのようなことは現実的ではない。
2)アクセス制御の対象はPCであり、従って、受信した電子データを可搬記録媒体で持ち回り、別のPCで参照する、ということができない。
3)電子データの参照機能自体はなんら保護されていない。従って、メモリの内容やSWAP域の内容から生の電子データを比較的容易に取り出せてしまい、重要な機密データの送信に適しているとはいえない。
【0009】
また、一般利用者間での有料コンテンツのライセンス移動としては、以下の点が指摘される。
インターネット、携帯電話網(PHS網を含む)を介して有料コンテンツを配信するサービスが徐々に開始されているが、これら現状のサービスでは、利用者は、有料コンテンツのライセンスを上記サービスを介して購入するしかなく、一旦購入したライセンスを(コンテンツ並びにライセンスの不正な複写をされることなく)他の利用者に譲渡する、といったことができない。この結果、ネットワーク上でのライセンスの販売経路が非常に限定されたものになり、有料コンテンツの販売元の立場からすると以下に代表される機会損失がさけられなかった。
−利用者が他の利用者に自分のライセンスを譲渡することができない。
【0010】
一人の利用者がとりあえずライセンスを購入し、知り合いの中でまわして利用するような場合(各利用者はコンテンツを利用してみて買いたければ買う)。
上記の問題点についての解決策は現時点では何も考えられていない。すなわち、従来は不正にコンテンツが複写されてしまうようなサービスしかなかった。従って、有料コンテンツがネットワーク上で配信されにくい状況となっていた。
【0011】
・有料コンテンツのマルチキャスト
有料コンテンツのマルチキャストの従来の方式では、コンテンツ受信側固有の秘密鍵をコンテンツ送信側とコンテンツ受信側との間で持ち合い、コンテンツ送信側はライセンスをその秘密鍵で暗号化したものとライセンスで暗号化されたコンテンツとを送信している。コンテンツ受信側固有の秘密鍵はICカードなどのTRM領域に格納して送信側から利用者に渡される。従って、利用者は、この秘密鍵を取り出すことはできない。
【0012】
コンテンツ送信側は、暗号化したコンテンツに全ての受信先用の暗号化ライセンスをつけて送信する。
図18は、従来の有料コンテンツのマルチキャストの仕組みを示す図である。
【0013】
送信側では、コンテンツをスクランブル鍵でスクランブルし、これを暗号化コンテンツとしていた。また、スクランブル鍵は、ライセンスによって暗号化される。ライセンスは、秘密鍵1、・・・nでそれぞれ暗号化され、暗号化ライセンス1〜nとされていた。そして、送信側から受信機に送信する送信データとしては、暗号化コンテンツ、暗号化スクランブル鍵、暗号化ライセンス1〜nである。これをインターネットや、BS/CSなどの衛星放送などでマルチキャストする。
【0014】
受信機では、ICカードが組み込まれており、受信した暗号化ライセンスiを秘密鍵iで復号し、ライセンスを取り出す。そして、受信した暗号化スクランブル鍵を取り出され
たライセンスで復号化して、スクランブル鍵を得る。これらをICカード内で行う。そして、受信した暗号化コンテンツを復号化したスクランブル鍵でデスクランブルし、コンテンツを取り出している。
【0015】
しかし、上記ICカードを使ったシステムにおいても以下のような問題点がある。
1)利用者にとってICカードの所持は不便
利用者はICカードの発行を受け、それを保持していないと放送を受信できない。しかも、契約している配信業者(放送局など)の数だけICカードを保持していなくてはならない(ICカードに送信側と共用している秘密鍵が入っているため)。利用者にとってはこれは不便である。
2)相互運用性の問題(ICカードを利用しないケース)
上記のようにICカードに秘密鍵を閉じこめている場合は、配信業者のICカードの仕様が統一されていれば、1つの受信機で複数の配信業者の送信データを受信することができる(上記のように配信業者の数だけICカードが必要になるが)。
【0016】
ICカードを利用しないケースでは、受信機と送信側との間で秘密鍵を共用することになり、1つの受信機で複数の配信業者からのコンテンツを受信可能とするのは現実的でなくなる。
【発明の開示】
【発明が解決しようとする課題】
【0017】
本発明の課題は、電子データのライセンスをオフライン化し、ライセンスの安全を守りながら、利用者の利用に便利なライセンスの送信・流通システムを提供することである。
【課題を解決するための手段】
【0018】
本発明のシステムは、電子文書などのコンテンツのライセンスをユーザ間で送信流通するシステムであって、該ライセンスを格納する情報端末は、TRM領域内にあり、オフラインライセンスを生成・保持し、暗号化コンテンツを第1の格納手段に格納し、オフラインライセンス毎に生成ログを保持・更新するライセンスエージェント手段と、暗号化コンテンツを格納する第1の格納手段と、生成ログを格納する第2の格納手段とを備え、該オフラインライセンスを複数の情報端末の該ライセンスエージェント手段間でのみ、やりとりすることによって、コンテンツのライセンスを送信流通することを特徴とする。
【0019】
本発明の方法は、電子文書などのコンテンツのライセンスをユーザ間で送信流通する方法であって、該ライセンスを格納する情報端末における処理は、TRM領域内にあり、オフラインライセンスを生成・保持し、暗号化コンテンツを第1の格納ステップで格納し、オフラインライセンス毎に生成ログを保持・更新するライセンスエージェントを用いてオフラインライセンスを管理するステップと、暗号化コンテンツを格納する第1の格納ステップと、生成ログを格納する第2の格納ステップとを備え、該オフラインライセンスを複数の情報端末の該ライセンスエージェント間でのみ、やりとりすることによって、コンテンツのライセンスを送信流通することを特徴とする。
【0020】
本発明によれば、ライセンスエージェントにおいて、オフラインで流通するライセンスを管理し、ライセンスエージェント間においてのみライセンスを移動可能とすることにより、流通性があり、しかも安全な、オフラインでのライセンスの流通送信を可能とすることができる。
【発明の効果】
【0021】
本発明によれば、電子データのライセンスをオフライン化したことにより、電子データの使用ライセンスを安全に受信者に渡し、不法なコピーを抑制し、かつ、電子データの頒
布性を良くすることができる。
【発明を実施するための最良の形態】
【0022】
以下において、TRM領域内にあるライセンスを送付先の公開鍵とセッション鍵を使って第三者がライセンスを取り出せないように暗号化して一般電子ファイルの形で取り出す機能を暗号化ファイルのオフラインライセンスという。
【0023】
なお、TRM領域とは、Tamper Resistant Module領域のことを言い、領域内のデータを外部から取り出しにくくした領域を言う。詳しくは後述する。
以下において、ライセンス毎に全てのオフラインライセンス生成ログを生成し、オフラインライセンス格納時にそれを使って既に移動済みのライセンスが再度格納されることを防ぐために使用されるオフラインライセンス生成ログをLRL(License Revocation List)と呼ぶ。
【0024】
以下、本発明の実施形態について説明する。
・オフラインライセンスの導入
ライセンスのやりとりを行うための公知の技術としてUDAC−MBがある。
【0025】
UDAC−MBでは、ライセンスはTRM領域の中で保持し、TRM間でのライセンスの転送はUDAC−MBプロトコルで規定しているセキュアなコネクション上で行う、というのが基本である。
【0026】
そこで規定しているライセンスの転送プロトコルは転送元と転送先との間で複数回のメッセージの送受信を必要としており、オンラインでのリアルタイム双方向通信環境でしか実現できない。従って、以下のケースには不向きであった。
−個人間での一般電子データ(ワード文書など)の送付
−個人間での有料コンテンツのライセンスの譲渡
個人間でのデータのやりとりはオフラインが基本であり、オンラインでのリアルタイム通信を強要するのは非現実的(利用者にとって不便であり、かつ広まりにくい)である。−有料コンテンツとライセンスをセットで媒体(CDなど)に格納して販売
オンラインライセンスを販売する場合は、UDAC−MB準拠の配信システム、あるいはUDAC−MB準拠の可搬記録媒体が不可欠であった。
−コンテンツのマルチキャスト(放送など)
送信側は一方的にコンテンツを送信し、受信側は一方的に受信するケース。
【0027】
ライセンスをTRM間でオフラインでやりとり可能とすれば、オフライン環境で電子データや有料コンテンツにそのライセンスを同梱して送ることが可能となり、また、放送などの1方向通信で通信データ内にライセンスを同梱して送ることが可能となる。以降、このライセンスを”オフラインライセンス”と呼ぶ。(それに対して、UDAC−MBで規定しているライセンスを”オンラインライセンス”と呼ぶ。)
オンライン:1つの通信コネクション(socketなど)の中でライセンスの移動、配信を完了させる方式。
【0028】
オフライン:送信側と受信側とがコネクションを持たない状態でライセンスの移動、配信を行う方式。つまり、ライセンスを一般電子データの形でネットワーク上であるいは一般可搬記録媒体で流通可能とする方式。
【0029】
ここで、オンラインライセンスはUDAC−MB準拠の可搬記録媒体により移動可能であるが、一般電子データの形では扱えない。
図1は、本発明の実施形態の全体構成を示す図である。
【0030】
同図においては、オフラインライセンスの生成後のライセンスとコンテンツの流通の形態を示している。
各PCやコンテンツ配信サーバ、PD(Private DeviceあるいはPortable Device)にセットされる媒体には、LA(Licensor Agentあるいは、LAをチップ化したLicense
Chip)が組み込まれているものとする。LAについては、後述する。
【0031】
コンテンツ配信サーバ10のLA内を用いて、コンテンツのライセンスが送信される。また、コンテンツ配信サーバ10のハードディスクなどの媒体には暗号化コンテンツが格納される。コンテンツ配信サーバ10は、PC11に対し、コンテンツライセンスを、そのLAに対して送信し、暗号化コンテンツをその媒体に送信する。PC11のコンテンツ再生アプリでは、LAに受信されたコンテンツライセンスを用いて、媒体に格納された暗号化コンテンツをTRM領域内に有るデコーダによってデコードし再生する。また、PC12から電子データをPC11が電子文書などの電子データを受け取る場合には、PC12のLAから送信された電子データライセンスをPC11のLAにおいて受け取り、暗号化電子データを媒体に受け取る。そして、PC11では、電子データ処理アプリのTRM領域内実装処理を用いて、電子データライセンスを処理し、これを用いて電子データの復号を行う。電子データライセンスの処理とは、アクセス制御チェックなどである。なお、PC11内のLAとコンテンツ再生アプリのデコーダあるいは電子データ処理アプリのTRM領域内実装処理との通信はUDAC−MBプロトコルを用いる。UDAC−MBプロトコルは公知であるので、ここでは特に説明しないが、実施形態の説明の最後に列挙されている各特許出願を参照されたい。
【0032】
PC11から、暗号化コンテンツや暗号化電子データを媒体13に移動し、この媒体をPD14に設定することによって、PD14でコンテンツや電子データを使用することも可能である。この場合、媒体13には、License Chipが搭載され、暗号化コンテンツ、暗号化電子データは、通常通り移動あるいはコピーされるが、コンテンツライセンス、電子データライセンスは、UDAC−MBプロトコルをつかってTRM領域内にあるLicense Chipに格納される。媒体13がセットされたPD14では、暗号化コンテンツや暗号化電子データを、UDAC−MBプロトコルでLicense Chipから取得したコンテンツライセンスや電子データライセンスでデコードし使用する。PD14のデコーダもTRM領域に含まれている。このように、媒体13に格納可能とすることによって、ライセンスに守られたコンテンツをオフラインで配布することが可能となる。
【0033】
なお、ここで、同図では、音楽データなどのコンテンツと電子文書などの電子データとを別個に記載したが、実質的には双方とも電子ファイルであることには変わりなく、以下では、特に区別することなく電子データとコンテンツをほぼ同義で使用する。
【0034】
図2及び図3は、LAの機能を説明する図である。
LAのライセンス・暗号化データ生成機能部では、電子データ(コンテンツ)、コンテンツID、アクセス条件を入力とし、電子データ暗号化処理部に電子データの暗号化処理を、ライセンス生成処理部にライセンスの生成処理を依頼する。ライセンス生成処理部では、トランID制御部(トランザクションID制御部)のトランID採番処理部(トランザクションID採番処理部)に依頼して、ライセンスに一意の番号であるトランIDを取得するように依頼する。このようにして処理された結果、暗号化データがライセンス・暗号化データ生成機能部から出力される。
【0035】
オフラインライセンス生成機能部では、送信先LA、個別公開鍵証明書、コンテンツID、トランザクションIDを入力として、ライセンス制御部、LRL制御部にライセンスの確認検索を依頼する。そして、オフラインライセンスを付与することが認められると、
オフライントランID制御部のオフライントランID採番処理においてオフラインライセンスに一意のトランザクションIDが取得され、ライセンス制御部のレコードを削除し、LRL制御部のレコードを追加することによって、オフラインライセンスが登録され、暗号化処理を受けた後、オフラインライセンスが発行される。
【0036】
オフラインライセンス格納機能部では、オフラインライセンスを入力として、これを復号処理し、ライセンス制御部とLRL制御部に対し、レコードの検索を依頼する。レコード検索の結果、ライセンスが承認されると、LRL制御部において、レコード削除を行い、ライセンス制御部において、レコード追加を行う。このとき、ライセンス制御部及びLRL制御部において、ライセンス管理用データベースやLRL制御用データベースにアクセスする場合には、DBMS(Database Management system)を介して、暗号化してデータの授受を行う。
【0037】
また、図3に示される、ライセンス検索機能部においては、コンテンツIDを入力として、ライセンス制御部にレコード検索を依頼する。同時に、LRL制御部にもレコード検索を依頼する。そして、検索の結果として、トランザクションIDとアクセス条件が得られる。
【0038】
図4は、オフラインライセンスの構成の概要を示す図である。
同図において、各Partは、以下のように定義される。
Part 1:セッション鍵を送信先LAの個別公開鍵で暗号化したもの
Part 2:以下のデータをセッション鍵で暗号化したもの
−オフラインライセンス生成元(送信元)LAの個別公開鍵証明書サブジェクト名
−オフライントランザクションID
オフラインライセンス生成元(送信元)LAで採番したもの
−ライセンス(オンラインライセンス)
−配信先TRM内アクセス条件
オフラインライセンスによる移動可能回数/期間
その他
−コンテンツ再生・電子データ処理システムのTRM内アクセ
ス条件
Part 3:オフラインライセンス生成元(送信元)LAのクラス秘密鍵に
よる電子署名
Part 4:オフラインライセンス生成元(送信元)LAの個別公開鍵証明
書
Part 5:オフラインライセンス生成元(送信元)LAのクラス公開鍵証
明書
【0039】
ここで、以下に、UDAC−MB/LBを変更して本実施形態のオフラインライセンスを取り扱うため使用するUDAC−PI(Protocol Independent)の説明を行う。
前提
a)ライセンス配信側は個別公開鍵KPrと秘密鍵Krのペアを持つ。
b)またクラス秘密鍵Kcrで署名されたKPrの証明書C(Kcr、KPr||Ir)を持つ。
c)またルート秘密鍵Karで署名されたKPcrの証明書C(Kar、KPcr||Iar)を持つ。
d)ライセンス配信先はメディア、ライセンスチップまたはLA内のTRMとする。
e)TRMは個別公開鍵KPtと秘密鍵Ktのペアを持つ。
f)個別公開鍵KPtはクラス秘密鍵Kctで署名された証明書の形で公開されている。
g)クラス公開鍵KPctはルート秘密鍵Katで署名された証明書の形で公開されている。
h)リスク上問題がなければ、KarとKatの認証局は同じでも良く、KarとKatも同じでも良い。
【0040】
全証明書をLDAP(Lightweight Directory Access Protocol)で検索可能であれば、なおいっそう利用者が扱いやすい。
・基本手順
(1)配信側はLDAPなどの手段を用いて配信先TRMのKPtの証明書を取得する。(2)KPtの証明書をKPctで、また、その証明書をKPatでチェックする。
(3)配信側は次の形式のオフラインライセンスを生成する。
E(KPt、Ks)||E(Ks、SNr||TransactionID||Kc||ACt||ACp||Is)||E(Kcr、H(all plain text)||C(Kcr、KPr||Ir)||C(Kar、KPcr||Iar)
ここで、
Ks:セッション鍵
SNr:配信側個別公開鍵KPrの証明書のサブジェクト名(subject name)
TransactionID:ライセンスシリアル番号。配信側がライセンス毎にユニークな番号を生成
Kc:コンテンツ鍵
ACt:配信先TRM内アクセス条件。ACmと同形式、または、その拡張
ACp:再生システムTRM内アクセス条件
Is:その他の情報
H(x):xのハッシュ値
C(Kx、KPy):公開鍵KPyを秘密鍵Kxで署名した証明書
||は、これの前後を単純につなぎ合わせることを示す。
(4)配信側は配信先TRMにライセンスと暗号化コンテンツを送信する。
(5)配信先TRM内でライセンスを復号し、ハッシュと証明書により内容の正当性をチェックする。
(6)配信先TRM内でSNrとTransactionIDがライセンス失効リスト(LRL:License Revocation List)にないかを確認する。あれば、処理を終了する。
(7)配信先TRM内でライセンスの内容をライセンスエントリに格納する。
(8)以降の移動、再生のプロトコル及び手順はUDAC−MB/LB(実施形態の説明の最後の特許出願を参照)と同じ。
【0041】
オンラインライセンスからのオフラインライセンスの生成(オフライン化)、オフラインライセンスの格納(オンライン化)は、LA(Licensor Agent)の機能で実現する。つまり、オフラインライセンスはLA間でやりとりする。
【0042】
LAのオフラインライセンス関連機能を以下に示す。
−ライセンス情報(コンテンツID、トランザクションID、アクセス条件、・・・)取得機能
全ライセンス情報取得
該当コンテンツIDの全ライセンス情報取得
−オフラインライセンス生成
送信先LAの個別公開鍵証明書とオンラインライセンス(コンテンツID、トランザクションID)を指定してオフラインライセンスを生成。
−オフラインライセンス格納
指定されたオフラインライセンスをLA内のライセンス管理用データベースに格納してオンライン化する。
・コンテンツ再生アプリ、電子データ処理アプリでのTRM領域内実装処理
コンテンツ再生アプリ、電子データ処理アプリでは、以下の一連の処理(UDAC−MBプロトコル実装処理部)をTRM領域内で実装する。
−LA(あるいはLicense Chip)からのオンラインライセンスの取得(UDAC−MBプロトコル)
−暗号化コンテンツ・データをオンラインライセンスを使って復号化
−コンテンツの再生、データの処理
・各種公開鍵証明書
LAの個別公開鍵証明書と対応する秘密鍵、クラス公開鍵証明書、認証局のルートの公開鍵証明書は、製造元が個々のLA毎に製品(パッケージ)に組み込み、TRM領域内で展開されるようにする。また、LAは自身の個別公開鍵証明書を出力する機能を有する。
【0043】
利用者は、オフラインライセンスの送信元に自分のLAの個別公開鍵証明書を渡すときは、本機能により取得すればよい。
以下は、本発明の実施形態で使用する既存技術の説明である。
【0044】
TRM(Tamper Resistant Module)
処理内容並びに処理の中で扱っているデータの内容が外から取り出したり推測できないようにする仕組み、並びにその仕組み取り入れた半導体チップやプログラムのこと。
【0045】
半導体チップのTRM化したものをハードウェアTRM、プログラムをTRM化したものをソフトウェアTRMと呼ぶ。本実施形態ではどちらを使用しても良い。
1)ハードウェアTRMの方式
以下の技術によりTRMを実現している。
−外部端子から秘密情報の読み出し・書き換えができない。制御ファーム、ログ情報、アクセス制御情報などの書き換えができない構造を持たせる。
−メタル層、特殊コーティング、メッシュセンサによるシールド。
−極微細化。
2)ソフトウェアTRMの方式
以下の技術によりTRMを実現している。
−プログラムの処理とそこで扱うデータの領域を分割し、メモリの中の解析しにくい形で散らばらせる。
−ロードモジュールを暗号化しておく。実行の瞬間のみ復号。
−実行のたびにメモリ空間への展開構造が異なるようにする。
【0046】
以下、本実施形態の説明に戻る。
図5は、新規ライセンス、暗号化データ生成を説明する図である。
送信元PCあるいは配信サーバにおいては、コンテンツIDとアクセス条件その他をLAのライセンス制御部で受け取ると、トランID制御部において、トランザクションIDが与えられ、ライセンス管理用データベースにライセンスが格納される。このライセンスは、電子データ暗号/復号機能部において、電子データを暗号化するのに使用される。
−ライセンス管理用データベース
ライセンスを格納するデータベース。実装上はDBMS(Database Management system)を使ってもファイルを使っても良い。
【0047】
図6は、ライセンス管理用データベースのレコード構成を示す図である。
各フィールドの説明
・タイムスタンプ1、タイムスタンプ2
レコード作成時のタイムスタンプ。LAは、タイムスタンプ1とタイムスタンプ2とが一致しているか否かによってレコードのファイルへの格納が完了したか否かを判断する。
実装において、ライセンス管理用データベースをDBMSを使って実現する場合は、データベースのアトミシディをDBMSが保証するため、このタイムスタンプは無くてもよい。
・コンテンツID
ライセンスに対応するコンテンツのコンテンツID。
・トランザクションID
ライセンスの中に含まれているトランザクションID
コンテンツIDとトランザクションIDとでライセンスを一意に識別可能となる。
・暗号化ライセンス
ライセンスを暗号化したもの。LAの秘密鍵で暗号化する。(例えばT−DESを使う。)LAの秘密鍵はTRM化された領域内に保持し、他者が参照できないようにする。
・送信元公開鍵証明書サブジェクト名
オフラインライセンスの送付元LAの公開鍵証明書のサブジェクト名。UDAC−MBプロトコル(オンライン)で送られてきた場合は、このフィールドはゼロクリアする。
・オフライントランザクションID1
ライセンスがオフラインライセンスの形で当該LAに送付された場合、オフラインライセンス生成元のLAで採番されたオフライントランザクションIDをここに格納する。オフライントランザクションIDは、オフラインライセンス生成元のLAで一意な番号を割り振る。送信元公開鍵証明書サブジェクト名とオフライントランザクションIDとでオフラインライセンスが一意に識別可能となる。UDAC−MBプロトコル(オンライン)で送られてきた場合は、このフィールドはゼロクリアする。
【0048】
図7は、オフラインライセンスの生成(オフライン化)手順を示す図である。
送信元PC/配信サーバにおいては、LAのLRL制御部とライセンス制御部にコンテンツIDとトランザクションIDが入力されると、LRL制御部は、LRL制御用データベースを参照し、ライセンス制御部は、ライセンス管理用データベースのライセンスを参照する。LRL制御部は、ライセンス制御部と連絡を取りながら処理を進める。ライセンス制御部の処理結果は、LRL制御部に伝えられると共に、オフライントランID制御部からトランザクションIDがLRL制御部に通知される。そして、LRL制御部からオフラインライセンス暗号/復号制御部にライセンスの暗号化依頼が通知され、暗号化されたオフラインライセンスが出力される。
−オフライントランID制御部
あるPCのLA(以降、LA1とする)でライセンスの移動を目的としてオフラインライセンスを生成し、そのオフラインライセンスが廻り廻って再びLA1に移動されるケースを想定する。LA1から移動されたライセンスと同じものが間違えて(あるいは不正行為により)再びLA1に格納されようとした場合は、それを防ぐ必要がある。しかしながら、そのライセンスは上記の廻り廻って来たものかもしれず、無条件にはじくことはできない。
【0049】
それらのライセンスを識別可能とするために、オフラインライセンス生成時は、オフライントランザクションID制御部においてLA内で一意なIDを新しく割り振る。
−LRL(License Revocation List)制御部
オフラインライセンスを生成した場合、その後、LA内のライセンスを回収(削除)する。その場合、再び当該LAに同一のライセンスが格納されるのを防ぐために、オフラインライセンス生成済みのライセンスの情報(送信元個別公開鍵証明書のサブジェクト名、オフラインライセンスIDなど)を保持・管理する。
【0050】
なお、ライセンスを配信する配信サーバにおいては、ライセンスの配信を目的としてオフラインライセンスを生成し、ライセンスの移動は行わない。従って、一般に配信サーバではLRL制御部は必要ない。
【0051】
図8は、LRL(License Revocation List)制御用データベースのレコード内容を示す図である。
以下のフィールド以外はライセンス管理用データベースと全く同じ。
【0052】
送信先公開鍵証明書サブジェクト名:
当該LAでオフラインライセンスを生成したときの送付先LAの公開鍵証明書のサブジェクト名
オフライントランザクションID2:
当該LAでオフラインライセンスを生成したときに採番したオフライントランザクションID。
【0053】
最新フラグ:
各ライセンス(オンラインライセンス)毎の最新の生成済みオフラインライセンスであることを示すフラグ。
【0054】
オン:最新 オフ:最新でない。
オフラインライセンスを再生成する場合は、このフィールドの値がオンであるレコードの情報を使用する。
−入力パラメータ
・送信先LA個別公開鍵証明書
・コンテンツID
・トランザクションID
利用者は、予めライセンス表示機能部により、オフラインライセンスを生成するライセンスのコンテンツIDとトランザクションIDを取得しておく。
【0055】
ただし、ライセンスに対応する商品の情報は、専用ツールで管理しても良いし、利用者が自分で管理しても良い。
図9、及び図10は、LAの動作を説明するフローチャートである。
【0056】
まず、ステップS1において、コマンド制御部が、オフラインライセンスの生成機能を起動する。ステップS2において、LA機能のシリアライズ処理(ロードモジュールの二重起動抑止、セマフォなど)を行う。ステップS3において、送信先LAの個別公開鍵証明書の正当性をチェックする。
【0057】
次に、ステップS4において、LRL制御部において、LRL制御用データベースを以下のキーで検索する。
−コンテンツID=入力パラメータ
−トランザクションID=入力パラメータ
−最新フラグ=オン
ここで、最新フラグがオンになっている当該ライセンスが存在しない場合には、ライセンス制御部において(ステップS5)、ライセンス管理用データベースを以下のキーで検索する。
−コンテンツID
−トランザクションID
そして、この検索で対応するライセンスがないと判断された場合には、該当ライセンス無しとしてエラー処理をして、ステップS21に進む。対応するライセンスが存在する場合には、オフライントランID制御部において、オフライントランザクションIDの採番が行われる(ステップS6)。そして、ステップS7において、LRL制御部は、ステップS5で検索したレコードの値と入力パラメータの値、並びにオフライントランザクショ
ンIDからLRL制御用データベースのレコードを作成して、最新フラグをオンとして格納する。ステップS8では、ライセンス制御部が、ステップS5で検索したライセンス管理用データベースのレコードを削除する。そして、ステップS9において、オフラインライセンス暗号/復号制御部は、ステップS7で作成したレコードの値と入力パラメータからオフラインライセンスを作成し、元へ返して、ステップS21に進む。
【0058】
ステップS4において、対応するライセンスがあると判断された場合には、ステップS10において、ライセンス制御部は、ステップS4の検索で使用したコンテンツID、トランザクションIDを使ってライセンス管理用データベースを検索する。対応するライセンスが無い場合には、ステップS11において、ステップS4で検索したレコードの送信先LA個別公開鍵証明書サブジェクト名と入力パラメータの送信先個別公開鍵証明書のサブジェクト名とが等しいか否かを判断する。判断の結果、異なる場合には、該当ライセンスがないというエラーとなり、ステップS21に進む。ステップS11の判断が、等しいとなると、ステップS12において、オフラインライセンス暗号/復号制御部は、ステップS4で検索したレコードの値と入力パラメータからオフラインライセンスを作成し、呼び出しもとへ返して、ステップS21に進む。
【0059】
ステップS10において、対応するライセンスが存在すると判断された場合には、図10のステップS13において、ステップS10で検索したレコードの送信元個別公開鍵証明書サブジェクト名、オフライントランザクションID1がステップS4で検索したレコードのそれぞれのフィールドの値と等しいか否かを判断する。等しい場合には、ステップS14において、ステップS4で検索したレコードの送信先LA個別公開鍵証明書サブジェクト名と入力パラメータの送信先個別公開鍵証明書のサブジェクト名とが等しいか否かを判断する。ステップS14の判断で、異なると判断された場合には、該当ライセンス無しというエラーとなり、ステップS21に進む。ステップS14で等しいとなると、ステップS15において、ライセンス制御部が、ステップS10で検索したライセンス管理用データベースのレコードの送信元個別公開鍵証明書サブジェクト名が全てゼロでなければ、そのレコードを削除し、オフラインライセンス暗号/復号制御部が、その後に、ステップS4で検索したレコードの値と入力パラメータからオフラインライセンスを作成し、呼び出しもとへ返し、ステップS21に進む。
【0060】
ステップS13の判断において、異なると判断された場合には、ステップS16において、LRL制御部が、ステップS4で検索したLRL制御用データベースのレコードの最新フラグの値をオフにし、ステップS17において、オフライントランザクションID採番をオフライントランID制御部が行う。そして、ステップS18において、LRL制御部は、ステップS10で検索したレコードの値と入力パラメータの値、並びにオフライントランザクションIDの値からLRL制御用データベースのレコードを作成する。そして、作成したレコードをLRL制御用データベースに格納(最新フラグをオン)する。ステップS19では、ステップS10で検索したライセンス管理用データベースのレコードを、ライセンス制御部が削除し、ステップS20において、オフラインライセンス暗号/復号制御部は、ステップS18で作成したレコードの値と入力パラメータからオフラインライセンスを作成し、呼び出しもとへ返し、ステップS21に進む。
【0061】
ステップS21においては、LA機能のシリアライズ解除を行い、処理を終了する。
ステップS5、S10のライセンス管理用データベースの検索処理部で該当レコードが存在する場合は、レコード内の暗号化ライセンスを復号し、コンテンツIDとトランザクションIDの値がレコード検索のキーで指定したそれぞれの値と等しくなければ、ライセンス管理用データベースが改竄されたとみなし、エラーで終了する。
【0062】
ステップS4のLRL制御部用データベースの検索処理部で該当レコードが存在する場
合は、レコード内の暗号化ライセンスを復号し、コンテンツIDとトランザクションIDの値がレコード検索のキーで指定したそれぞれの値と等しくなければ、LRL制御部用データベースが改竄されたとみなし、エラーで終了する。
【0063】
ステップS9のオフラインライセンス生成処理部では、ステップS5で検索したレコードの中の暗号化ライセンスを当該LAの内部にある秘密鍵で復号し、その復号した結果を使ってオフラインライセンスを生成する。
【0064】
ステップS12、S15のオフラインライセンス生成処理部では、ステップS4で検索したレコードの中の暗号化ライセンスを当該LAの内部にある秘密鍵で復号し、その復号した結果を使ってオフラインライセンスを生成する。
【0065】
ステップS20のオフラインライセンス生成処理部では、ステップS10で検索したレコードの中の暗号化ライセンスを当該LAの内部にある秘密鍵で復号し、その復号した結果を使ってオフラインライセンスを生成する。
【0066】
図11は、オフラインライセンスの格納(オンライン化)処理を説明する図である。
−入力パラメータ
オフラインライセンス
−LRL制御部
オフラインライセンスを格納する場合、オフラインライセンス生成済みのライセンスの情報(送信元個別公開鍵証明書のサブジェクト名、オフラインライセンスIDなど)をLRL制御部を使って取得し、過去に格納済みのオフラインライセンスか否かをチェックする。LRL管理用データベースに登録済みのオフラインライセンスで有ればエラーとする。
−ライセンス制御部
LRL管理用データベースに登録済みでなければ、ライセンス制御部を使って対応するライセンス(オンラインライセンス)が登録済みでないかどうかをチェックする。ライセンス制御部では、ライセンス管理用データベースを検索し、格納しようとしているオフラインライセンスに対応するライセンスのレコードが存在すればエラーとする。
【0067】
図12は、オンラインライセンスの格納処理の流れを示すフローチャートである。
ステップS30において、コマンド制御部は、オフラインライセンス格納機能を起動する。ステップS31において、LA機能のシリアライズ処理(ロードモジュールの二重起動抑止、セマフォ等)をする。
【0068】
ステップS32において、オフラインライセンス暗号/復号制御部は、オフラインライセンスの復号処理を行い、ステップS33において、オフラインライセンスの正当性をチェックし、ステップS34において、LRL制御部が、LRL制御用データベースをステップS32で復号したオフラインライセンスの以下のフィールドをキーとして検索する。−コンテンツID
−トランザクションID
−送信元LA個別公開鍵証明書サブジェクト名
−オフライントランザクションID1
そして、対応するオフラインライセンスが存在する場合には、同一オフラインライセンス格納済みエラーであるとしてステップS37に進む。
【0069】
ステップS34において、対応するライセンスが存在しないと判断された場合には、ステップS35において、ライセンス制御部は、ライセンス管理用データベースをステップS32で復号したオフラインライセンスの以下のフィールドをキーとして検索する。
−コンテンツID
−トランザクションID
ステップS35において、対応するライセンスが存在すると判断された場合には、同一ライセンス既存エラーであるとしてステップS37に進む。
【0070】
ステップS35において、対応するライセンスが存在しないと判断された場合には、ステップS36において、ライセンス制御部は、ステップS32で復号したオフラインライセンスからライセンス管理用データベースのレコードを作成し、格納する。そして、ステップS37で、LA機能のシリアライズを解除して、処理を終了する。
【0071】
ステップS35のライセンス管理用データベースの検索処理部で該当レコードが存在する場合は、レコード内の暗号化ライセンスを復号し、コンテンツIDとトランザクションIDの値がレコード検索のキーで指定したそれぞれの値と等しくなれば、ライセンス管理用データベースが改竄されたとみなし、エラーで終了する。
【0072】
ステップS34のLRL制御用データベースの検索処理部で該当レコードが存在する場合は、レコード内の暗号化ライセンスを復号し、コンテンツIDとトランザクションIDの値がレコード検索のキーで指定したそれぞれの値と等しくなければ、LRL制御用データベースが改竄されたと見なし、エラーで終了する。
【0073】
ステップS36のライセンス管理用データベースのレコード作成では、オフラインライセンスを復号して取得したライセンスを当該LAの秘密鍵によって暗号化して暗号化ライセンスを作成し、それをレコードに埋め込む。
【0074】
以下に、ライセンス検索機能について説明する。
−機能概要
・全ライセンス情報取得
全ライセンスについて以下の情報を取得する。
【0075】
コンテンツID、トランザクションID、送信元個別公開鍵証明書サブジェクト名(オフラインライセンスで格納された場合のみ)、アクセス条件、オフラインライセンス生成済みか否か
オフラインライセンス生成済みの場合は更に以下の情報が加えられる。
【0076】
送信先個別公開鍵証明書サブジェクト名
・コンテンツIDによるライセンスの検索
指定されたコンテンツIDに対応するライセンスの情報を取得する。情報の内容は上と同じ。
−方式概要
ライセンス管理用データベース並びにLRL制御用データベースのレコードを参照して、上記情報を出力する。
1)ライセンス管理での該当レコードを読み込む
2)LRL制御用データベースの最新フラグがオンのレコードの内、1)で参照したレコードと以下のフィールドが同じものがあるか検索する。
【0077】
コンテンツID、トランザクションID
なければ、ライセンス管理用データベースのレコードの内容を出力する。あれば、オフラインライセンス生成済みとして更に追加の情報を出力する。
3)LRL制御用データベースを検索し、最新フラグがオンのレコードのうち、2)で検索した以外のレコードがあれば、オフラインライセンス生成済みとして情報を出力する。
【0078】
オンラインライセンスの操作との整合性
オンラインライセンスをUDAC−MBプロトコルで移動させる場合、移動先のLAでは、以下の処理を行う。
【0079】
1)LRL制御用データベースのレコードを以下のキーで検索する。
コンテンツID=オフラインライセンスのコンテンツID
トランザクションID=オンラインライセンスのトランザクションID
最新フラグ=オン
検索対象レコードが存在する場合、そのレコードの最新フラグの値をオフにする。
【0080】
2)ライセンス制御用データベースにオンラインライセンスを格納する。その際、インターネットkなおフィールドの値をゼロクリアする。
・送信元LA個別公開鍵証明書サブジェクト名
・オフライントランザクションID1
この制御と上記オフラインライセンス格納機能部並びにオフラインライセンス生成機能部の処理手順により、オフラインライセンスとオンラインライセンスとが同時に流通されたり、1つのライセンスについてオフラインライセンスのオンライン化並びにオンラインライセンスのオフライン化が行われても、ライセンスが不当に消滅したり、利用可能なライセンスの複製ができてしまうことを防いでいる。
LA(ソフト)のディスク領域破壊に対する対処
LAのディスク領域が破壊された場合、利用者はLAを再インストールするしかない。しかし、単純に再インストールすればLAを使用可能としたのでは利用者はオフラインライセンスの生成−>LAの再インストール−>オフラインライセンスの格納−>オフラインライセンスの生成−>・・・を繰り返すことにより1つのライセンスから複数のライセンスを生成できてしまう。
【0081】
上記事態を防ぐために、LAはインストール毎に個別公開鍵証明書とそれに対応する秘密鍵のペアを変更する、といった対処方法がある。
−LAの製造元は予め1利用者について数個の鍵ペアを作っておき、各々の公開鍵証明書を認証局から発行してもらっておく。
−製造元はLAを出荷時に各利用者毎に上記鍵ペアと公開鍵証明書を製品に埋め込んで出荷する。LAは1回しかインストールできない仕様にしておく。
−利用者がLAを再インストールする場合は、インターネットなどで販売元(製造元)に申請し、新たな鍵ペアが組み込まれた新たなパッケージを受け取る。
【0082】
上記以外に、LAのインストールプログラムの中で製造元のサーバと通信して新たな鍵ペアを受け取る、という方式もあるが、セキュリティ上の危険度が大きくなる。
以下に、電子文書流通へのオフラインライセンスの適用事例を示す。
【0083】
UDAC−MBの従来のライセンスは、オンライン型であり、ネットワーク上でライセンスを流通させるためには、転送機能自体がUDAC−MBの転送プロトコルを実装している必要があった。そのため、ライセンスを一般の市販ソフトにより転送することができない。
【0084】
オフライン型ライセンスは、ライセンスそのものは一般のソフトで転送可能である。
図13は、オフライン型ライセンスを導入した電子文書流通の概要を示す図である。
電子文書作成者が他者に電子文書を送信し、参照許諾を与える際の手順を以下に示す。
【0085】
(1)送信元(電子文書作成者):
作成した電子文書からLCM(License Compliant Module)を介して以下を生成する。このとき電子文書作成者は、アクセス制御情報を指定する。
−許諾を与えるためのライセンス
電子文書を復号するための秘密鍵である。
参照回数、印刷回数などのアクセス制御情報も付加されている。
ライセンスはLAの中に保存され、TRMを破らない限り外には出せない。
−暗号化データ
電子文書を上記ライセンスで暗号化したもの。
SCDF形式(Super Content Distribution Format)
【0086】
(2)送信元、送信先:
送信元は、電子文書送り先の利用者からLAの公開鍵証明書をもらう。
【0087】
(3)送信元:
(2)で取得した送信先の公開鍵証明書と(1)で生成されたライセンスを指定して、LCMの機能を使ってオフラインライセンスを生成する。
オフラインライセンスは送信元のLAで生成された秘密鍵で暗号化されたライセンスと、その秘密鍵を送信先の公開鍵で暗号化したものから構成されており、そのままネットワーク上で持ち回ることが可能である。
ただし、オフラインライセンスの対攻撃強度は鍵の多重化により調整可能である。具体的にいくつの鍵で保護するかについては当業者が実装検討で決定する。
【0088】
(4)送信元、送信先:
送信元オフラインライセンスと暗号化データを送信先に送る。
送る手段はなんでもよい。(ネットワーク、可搬記録媒体)
【0089】
(5)送信先:
LCMの機能を使ってオフラインライセンスをTRM領域に格納する。
【0090】
(6)送信先:
暗号化データと対応するライセンスを指定してUDAC準拠の電子文書処理アプリを実行する。
【0091】
LAの秘密鍵はTRM領域内にある。また、オフラインライセンスのTRM領域への格納処理もTRM領域内で行われる。従って、送信先において送られてきた電子文書を複写することができない(TRMを破るか、もしくは、LAの秘密鍵を破らない限り)。
【0092】
図14及び図15は、マルチキャスト(放送)へのオフラインライセンスの適用事例を示す図である。
なお、同図の映像音声の送信はMEPG2のフォーマットに乗っ取っているとする。
1)契約時に各利用者は放送業者に受信チューナのLAの個別公開鍵証明書を登録する(渡す)。チューナに本実施形態のLAが内蔵されている。
2)契約直後のチューナ電源投入時
Liは利用者iのLA個別公開鍵で生成されたオフラインライセンスである。
【0093】
全契約者数分のLi(オフラインライセンス)をEMM(Entitlement Management Message:資格情報(放送の場合は契約情報となる))で15〜30分毎に流す。なお、同図のECMは、Entitlement Check Messageの略で、スクランブル鍵やライセンスである。
【0094】
本適用例では、オフラインライセンスに個別契約者情報を付加し、ライセンス管理用データベースでも個別契約者情報のフィールドを追加しているものとする。
LAの中のライセンス管理用データベース内のライセンスと個別契約者情報はペアでUDAC−MBプロトコルによりデコーダに送られる。
【0095】
デコーダはチューナから送られてきた暗号化データをライセンスによって復号し再生する。
契約上再生可能かどうかは、デコーダ内部で受信中の番組の番組情報と個別契約情報の内容から判定する。
【0096】
本方式の場合、放送局と利用者側(LA)が秘密鍵を共有するわけではないので、1つのチューナで複数の(オフラインライセンス方式を導入している)放送局の放送を受信可能である。当然ながらICカードも必要ない。
【0097】
図16は、本発明の実施形態をプログラムで実現する場合に必要とされるコンピュータのハードウェア環境図である。
CPU21は、バス20で接続された、ハードディスクなどの記憶装置27あるいは、読み取り装置28によって読み込まれる、フロッピーディスク、CD−ROM、DVDなどの可搬記録媒体29に格納されたプログラムをRAM23にコピーし、実行する。また、ROM22にプログラムを格納し、コンピュータを専用のマシーンとして使っても良い。なお、ROM22には、BIOSなどの基本プログラムが格納されている。
【0098】
入出力装置30は、ディスプレイ、キーボード、マウス、テンプレートなどであり、ユーザの指示をCPU21に伝えると共に、処理結果をユーザに提示する。
通信インターフェース24は、ネットワーク25を介して情報提供者26と通信することにより、情報提供者26が有している記録媒体に格納された当該プログラムをダウンロードすることができる。このようにして、ダウンロードされた当該プログラムは、記憶装置27あるいは、可搬記録媒体29に格納される。あるいは、通信インターフェース24を使って、通信を行ったまま、ネットワーク環境下で当該プログラムを実行することが可能である。
【0099】
なお、本実施形態のPCをコンピュータで実現する場合には、TRM領域を構成する必要があるが、これは、CPU21によって実行されるプログラムによって構成されても良いし、あるいは、バス20にハードウェアで構成されたTRMチップを接続して、オフラインライセンスの処理などを専門に処理させるようにしても良い。
【0100】
なお、本発明の実施形態で使用するUDAC−MB/LBについては、多くの特許出願がなされており、KdM規格として知られている。以下に、幾つかの特許出願を示す。
・特願平05−257816号
・特願平08−101867号
・特願平08−106382号
・特願平08−190529号
・特願平11−099482号
・特願平04−058048号
・特願平06−238060号
・特願平06−225228号
・特願平07−001798号
・特願平11−099482号
【0101】
(付記1)暗号化コンテンツのライセンスをユーザ間で流通する際に用いる情報端末
であって、
暗号化コンテンツのライセンスを格納する第1の格納手段と、
オフラインライセンスの生成ログを格納する第2の格納手段と、
暗号化コンテンツのライセンスからオフラインライセンスを生成し、オフラインライセンスから暗号化コンテンツのライセンスを生成して前記第1の格納手段に格納し、オフラインライセンス毎に生成ログを作成または更新して前記第2の格納手段に格納するライセンスエージェント手段と、
を備え、
該オフラインライセンスを他の情報端末のライセンスエージェント手段との間でやりとりすることによって、コンテンツのライセンスを送信または受信することを特徴とする情報端末。
【0102】
(付記2)前記ライセンスエージェント手段はTRM領域内にあることを特徴とする付記1に記載の情報端末。
【0103】
(付記3)前記ライセンスエージェント手段は、第1の格納手段内のライセンスを送付先の公開鍵とセッション鍵を使って暗号化して一般電子ファイルの形で取り出す機能を有することを特徴とする付記1又は2に記載の情報端末。
【0104】
(付記4)前記ライセンスエージェント手段は、ユーザが使用可能なライセンスの複製が生成されずに同一のオフラインライセンスを生成可能であることを特徴とする付記1〜3のいずれか1つに記載の情報端末。
【0105】
(付記5)前記ライセンスエージェント手段は、オフラインライセンス受信時に、前記生成ログを用いて、移動済みのライセンスが再度格納されることを防止することを特徴とする付記1〜4のいずれか1つに記載の情報端末。
【0106】
(付記6)暗号化された放送信号を用いて複数の視聴者に対して同報されるコンテンツのライセンスを受信する際に用いる情報端末であって、
コンテンツのライセンスを格納する格納手段と、
受信したオフラインライセンスからコンテンツのライセンスを生成し、前記格納手段に格納するライセンスエージェント手段と、
を備え、
前記放送信号には全視聴契約者のオフラインライセンスが適当な間隔で挿入され、前記情報端末に対応するオフラインライセンスから、暗号化された放送信号を参照可能にするためのライセンスを生成することを特徴とする情報端末。
【0107】
(付記7)前記格納手段と前記ライセンスエージェント手段はTRM領域内にあることを特徴とする付記6に記載の情報端末。
【0108】
(付記8)情報端末を用いて暗号化コンテンツのライセンスをユーザ間で流通する方法であって、
暗号化コンテンツのライセンスを第1の格納手段に格納するステップと、
前記格納された暗号化コンテンツのライセンスからオフラインライセンスを生成するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
前記オフラインライセンスを他の情報端末に送るステップとを有するライセンスの流通方法。
【0109】
(付記9)情報端末を用いて暗号化コンテンツのライセンスをユーザ間で流通する方法であって、
オフラインライセンスを他の情報端末から受け取るステップと、
受け取ったオフラインライセンスから暗号化コンテンツのライセンスを生成するステップと、
前記生成したライセンスを第1の格納手段に格納するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
を有することを特徴とするライセンスの流通方法。
【0110】
(付記10)前記オフラインライセンスの生成及び情報端末間のオフラインライセンスのやりとりは、オフラインライセンス生成ステップを行う各情報端末中のライセンスエージェント手段を用いて行うことを特徴とする付記8に記載のライセンスの流通方法。
【0111】
(付記11)前記オフラインライセンスの生成及び情報端末間のオフラインライセンスのやりとりは、ライセンス生成ステップを行う各情報端末中のライセンスエージェント手段を用いて行うことを特徴とする付記9に記載のライセンスの流通方法。
【0112】
(付記12)前記ライセンスエージェント手段は、オフラインライセンスから暗号化コンテンツのライセンスを生成するときに、前記生成ログを用いて、移動済みのライセンスが再度保持されることを防止することを特徴とする付記11に記載のライセンスの流通方法。
【0113】
(付記13)暗号化された放送信号を用いて複数の視聴者に対して同報されるコンテンツのライセンスを流通する方法であって、
全視聴契約者のオフラインライセンスが適当な間隔で挿入された前記放送信号を受信するステップと、
前記放送信号から視聴契約者の情報端末に対応するオフラインライセンスを抽出するステップと、
前記抽出したオフラインライセンスから放送信号を参照可能とするためのライセンスを生成するステップと、
を有することを特徴とするライセンスの流通方法。
【0114】
(付記14)暗号化された放送信号を用いて複数の視聴契約者に対して同報されるコンテンツのライセンスを流通する方法であって、
放送信号を暗号化するステップと、
全視聴契約者にそれぞれ対応し、前記暗号化された放送信号を参照可能とするためのライセンスを生成するのに用いるオフラインライセンスを適当な間隔で挿入した前記放送信号を送信するステップと、
を有することを特徴とするライセンスの流通方法。
【0115】
(付記15)暗号化コンテンツのライセンスをユーザ間で流通する方法を情報端末に実現させるプログラムであって、
暗号化コンテンツのライセンスを第1の格納手段に格納するステップと、
前記格納された暗号化コンテンツのライセンスからオフラインライセンスを生成するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
前記オフラインライセンスを他の情報端末に送るステップとを有することを特徴とするライセンスの流通方法を情報端末に実現させるプログラム。
【0116】
(付記16)暗号化コンテンツのライセンスをユーザ間で流通する方法を情報端末に実現させるプログラムであって、
オフラインライセンスを他の情報端末から受け取るステップと、
受け取ったオフラインライセンスから暗号化コンテンツのライセンスを生成するステップと、
前記生成したライセンスを第1の格納手段に格納するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
を有することを特徴とするライセンスの流通方法を情報端末に実現させるプログラム。
【0117】
(付記17)暗号化コンテンツのライセンスをユーザ間で流通する方法を情報端末に実現させるプログラムを格納した記録媒体であって、
暗号化コンテンツのライセンスを第1の格納手段に格納するステップと、
前記格納された暗号化コンテンツのライセンスからオフラインライセンスを生成するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
前記オフラインライセンスを他の情報端末に送るステップとを有することを特徴とするライセンスの流通方法を情報端末に実現させるプログラムを格納した記録媒体。
【0118】
(付記18)暗号化コンテンツのライセンスをユーザ間で流通する方法を情報端末に実現させるプログラムを格納した記録媒体であって、
オフラインライセンスを他の情報端末から受け取るステップと、
受け取ったオフラインライセンスから暗号化コンテンツのライセンスを生成するステップと、
前記生成したライセンスを第1の格納手段に格納するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
を有することを特徴とするラインセンスの流通方法を情報端末に実現させるプログラムを格納した記録媒体。
【図面の簡単な説明】
【0119】
【図1】本発明の実施形態の全体構成を示す図である。
【図2】LAの機能を説明する図(その1)である。
【図3】LAの機能を説明する図(その2)である。
【図4】オフラインライセンスの構成の概要を示す図である。
【図5】新規ライセンス、暗号化データ生成を説明する図である。
【図6】ライセンス管理用データベースのレコード構成を示す図である。
【図7】オフラインライセンスの生成(オフライン化)手順を示す図である。
【図8】LRL(License Revocation List)制御用データベースのレコード内容を示す図である。
【図9】LAの動作を説明するフローチャート(その1)である。
【図10】LAの動作を説明するフローチャート(その2)である。
【図11】オフラインライセンスの格納(オンライン化)処理を説明する図である。
【図12】オンラインライセンスの格納処理の流れを示すフローチャートである。
【図13】オフライン型ライセンスを導入した電子文書流通の概要を示す図である。
【図14】マルチキャスト(放送)へのオフラインライセンスの適用事例を示す図(その1)である。
【図15】マルチキャスト(放送)へのオフラインライセンスの適用事例を示す図(その2)である。
【図16】本発明の実施形態をプログラムで実現する場合に必要とされるコンピュータのハードウェア環境図である。
【図17】従来のライセンスを管理するための専用データ転送システムを示す図である。
【図18】従来の有料コンテンツのマルチキャストの仕組みを示す図である。
【符号の説明】
【0120】
10 コンテンツ配信サーバ
11、12 PC
13 媒体
14 PD
【技術分野】
【0001】
本発明は、プログラムなどの使用ライセンスをオフライン環境下において安全に送信流通するシステムに関する。
【背景技術】
【0002】
今日、インターネットやコンピュータが普及・発達し、プログラムファイル以外にも音楽データファイルなどをネットワークを介して、販売することが行われつつある。しかし、これらのファイルは、電子データであるため、一旦ダウンロードしてしまうと、複製が容易であり、著作権などの諸権利が容易に侵害されてしまうという問題がある。このような問題に対処するために、これら電子ファイルに対するライセンスの配布と管理のためのシステムを確立することが要求されている。
【0003】
従来の技術とその問題点を以下に説明する。
【0004】
従来の一般利用者間での電子データの保護流通においては、以下に示すように電子データの作成者は、一旦送付してしまった電子データのアクセスを制御することができない。・NDA文書の企業間での流通
電子文書などをNDA(Non Disclosure Agreement)を結んだ企業のある特定の範囲の人に配布した場合、その範囲外の人にも複写/印刷されて容易に文書がわたってしまう可能性が高い。
・企業内での検討中資料の配布
検討中資料を関連グループにのみ配布した場合でも、結局、複写/印刷されて、それ以外のメンバーにも広がってしまい、社外にその情報が流出してしまう可能性が高くなる。
【0005】
従って、電子データ送付後も作成者の意思がアクセス制御に反映されるための機能が必要である。
従来技術では、上記問題に対する対処として図17のような専用のデータ転送システムを使用している。
【0006】
図17は、従来のライセンスを管理するための専用データ転送システムを示す図である。
同図において、PC(ユーザ端末)の内、コンテンツの送信元では、データ転送専用クライアント装置を使用して、転送すべきコンテンツに転送処理して、専用サーバに専用の機密保護転送方式によって転送する。当該コンテンツを受信する他のユーザのPC(利用者1)では、やはり専用のクライアント装置を有しており、専用サーバから専用の機密保護転送方式によって当該コンテンツを受信する。そして、転送処理することによって、ローカルなハードディスクなどに当該コンテンツを格納すると共に、後に参照などが可能となるようにする。
【0007】
このコンテンツを利用者1が、当該コンテンツを利用者2に転送しようとする場合には、やはり、専用クライアント装置の転送処理機能によって当該コンテンツを専用サーバに専用の機密保護転送方式を用いて転送し、利用者2は、専用サーバから専用の機密保護転送方式を用いて、当該コンテンツを専用のクライアント装置にダウンロードするという形態をとっている。
【0008】
図17のシステムの問題点を以下に示す。
1)電子データ転送には必ず専用のクライアントを使用しなくてはならず、従って、そのクライアントの仕様に縛られた形でしか送信できない(例えば、利用者間のアプリで送受信する、といったことはできない)。
また、電子データの送信は必ず専用サーバを介さなくてはならない。従って、例えば、既存のe−mailの送信可能範囲と同じ範囲の利用者と送受信可能とするためには、理論的には、上記専用サーバがメールサーバと同じだけ普及する必要があるが、そのようなことは現実的ではない。
2)アクセス制御の対象はPCであり、従って、受信した電子データを可搬記録媒体で持ち回り、別のPCで参照する、ということができない。
3)電子データの参照機能自体はなんら保護されていない。従って、メモリの内容やSWAP域の内容から生の電子データを比較的容易に取り出せてしまい、重要な機密データの送信に適しているとはいえない。
【0009】
また、一般利用者間での有料コンテンツのライセンス移動としては、以下の点が指摘される。
インターネット、携帯電話網(PHS網を含む)を介して有料コンテンツを配信するサービスが徐々に開始されているが、これら現状のサービスでは、利用者は、有料コンテンツのライセンスを上記サービスを介して購入するしかなく、一旦購入したライセンスを(コンテンツ並びにライセンスの不正な複写をされることなく)他の利用者に譲渡する、といったことができない。この結果、ネットワーク上でのライセンスの販売経路が非常に限定されたものになり、有料コンテンツの販売元の立場からすると以下に代表される機会損失がさけられなかった。
−利用者が他の利用者に自分のライセンスを譲渡することができない。
【0010】
一人の利用者がとりあえずライセンスを購入し、知り合いの中でまわして利用するような場合(各利用者はコンテンツを利用してみて買いたければ買う)。
上記の問題点についての解決策は現時点では何も考えられていない。すなわち、従来は不正にコンテンツが複写されてしまうようなサービスしかなかった。従って、有料コンテンツがネットワーク上で配信されにくい状況となっていた。
【0011】
・有料コンテンツのマルチキャスト
有料コンテンツのマルチキャストの従来の方式では、コンテンツ受信側固有の秘密鍵をコンテンツ送信側とコンテンツ受信側との間で持ち合い、コンテンツ送信側はライセンスをその秘密鍵で暗号化したものとライセンスで暗号化されたコンテンツとを送信している。コンテンツ受信側固有の秘密鍵はICカードなどのTRM領域に格納して送信側から利用者に渡される。従って、利用者は、この秘密鍵を取り出すことはできない。
【0012】
コンテンツ送信側は、暗号化したコンテンツに全ての受信先用の暗号化ライセンスをつけて送信する。
図18は、従来の有料コンテンツのマルチキャストの仕組みを示す図である。
【0013】
送信側では、コンテンツをスクランブル鍵でスクランブルし、これを暗号化コンテンツとしていた。また、スクランブル鍵は、ライセンスによって暗号化される。ライセンスは、秘密鍵1、・・・nでそれぞれ暗号化され、暗号化ライセンス1〜nとされていた。そして、送信側から受信機に送信する送信データとしては、暗号化コンテンツ、暗号化スクランブル鍵、暗号化ライセンス1〜nである。これをインターネットや、BS/CSなどの衛星放送などでマルチキャストする。
【0014】
受信機では、ICカードが組み込まれており、受信した暗号化ライセンスiを秘密鍵iで復号し、ライセンスを取り出す。そして、受信した暗号化スクランブル鍵を取り出され
たライセンスで復号化して、スクランブル鍵を得る。これらをICカード内で行う。そして、受信した暗号化コンテンツを復号化したスクランブル鍵でデスクランブルし、コンテンツを取り出している。
【0015】
しかし、上記ICカードを使ったシステムにおいても以下のような問題点がある。
1)利用者にとってICカードの所持は不便
利用者はICカードの発行を受け、それを保持していないと放送を受信できない。しかも、契約している配信業者(放送局など)の数だけICカードを保持していなくてはならない(ICカードに送信側と共用している秘密鍵が入っているため)。利用者にとってはこれは不便である。
2)相互運用性の問題(ICカードを利用しないケース)
上記のようにICカードに秘密鍵を閉じこめている場合は、配信業者のICカードの仕様が統一されていれば、1つの受信機で複数の配信業者の送信データを受信することができる(上記のように配信業者の数だけICカードが必要になるが)。
【0016】
ICカードを利用しないケースでは、受信機と送信側との間で秘密鍵を共用することになり、1つの受信機で複数の配信業者からのコンテンツを受信可能とするのは現実的でなくなる。
【発明の開示】
【発明が解決しようとする課題】
【0017】
本発明の課題は、電子データのライセンスをオフライン化し、ライセンスの安全を守りながら、利用者の利用に便利なライセンスの送信・流通システムを提供することである。
【課題を解決するための手段】
【0018】
本発明のシステムは、電子文書などのコンテンツのライセンスをユーザ間で送信流通するシステムであって、該ライセンスを格納する情報端末は、TRM領域内にあり、オフラインライセンスを生成・保持し、暗号化コンテンツを第1の格納手段に格納し、オフラインライセンス毎に生成ログを保持・更新するライセンスエージェント手段と、暗号化コンテンツを格納する第1の格納手段と、生成ログを格納する第2の格納手段とを備え、該オフラインライセンスを複数の情報端末の該ライセンスエージェント手段間でのみ、やりとりすることによって、コンテンツのライセンスを送信流通することを特徴とする。
【0019】
本発明の方法は、電子文書などのコンテンツのライセンスをユーザ間で送信流通する方法であって、該ライセンスを格納する情報端末における処理は、TRM領域内にあり、オフラインライセンスを生成・保持し、暗号化コンテンツを第1の格納ステップで格納し、オフラインライセンス毎に生成ログを保持・更新するライセンスエージェントを用いてオフラインライセンスを管理するステップと、暗号化コンテンツを格納する第1の格納ステップと、生成ログを格納する第2の格納ステップとを備え、該オフラインライセンスを複数の情報端末の該ライセンスエージェント間でのみ、やりとりすることによって、コンテンツのライセンスを送信流通することを特徴とする。
【0020】
本発明によれば、ライセンスエージェントにおいて、オフラインで流通するライセンスを管理し、ライセンスエージェント間においてのみライセンスを移動可能とすることにより、流通性があり、しかも安全な、オフラインでのライセンスの流通送信を可能とすることができる。
【発明の効果】
【0021】
本発明によれば、電子データのライセンスをオフライン化したことにより、電子データの使用ライセンスを安全に受信者に渡し、不法なコピーを抑制し、かつ、電子データの頒
布性を良くすることができる。
【発明を実施するための最良の形態】
【0022】
以下において、TRM領域内にあるライセンスを送付先の公開鍵とセッション鍵を使って第三者がライセンスを取り出せないように暗号化して一般電子ファイルの形で取り出す機能を暗号化ファイルのオフラインライセンスという。
【0023】
なお、TRM領域とは、Tamper Resistant Module領域のことを言い、領域内のデータを外部から取り出しにくくした領域を言う。詳しくは後述する。
以下において、ライセンス毎に全てのオフラインライセンス生成ログを生成し、オフラインライセンス格納時にそれを使って既に移動済みのライセンスが再度格納されることを防ぐために使用されるオフラインライセンス生成ログをLRL(License Revocation List)と呼ぶ。
【0024】
以下、本発明の実施形態について説明する。
・オフラインライセンスの導入
ライセンスのやりとりを行うための公知の技術としてUDAC−MBがある。
【0025】
UDAC−MBでは、ライセンスはTRM領域の中で保持し、TRM間でのライセンスの転送はUDAC−MBプロトコルで規定しているセキュアなコネクション上で行う、というのが基本である。
【0026】
そこで規定しているライセンスの転送プロトコルは転送元と転送先との間で複数回のメッセージの送受信を必要としており、オンラインでのリアルタイム双方向通信環境でしか実現できない。従って、以下のケースには不向きであった。
−個人間での一般電子データ(ワード文書など)の送付
−個人間での有料コンテンツのライセンスの譲渡
個人間でのデータのやりとりはオフラインが基本であり、オンラインでのリアルタイム通信を強要するのは非現実的(利用者にとって不便であり、かつ広まりにくい)である。−有料コンテンツとライセンスをセットで媒体(CDなど)に格納して販売
オンラインライセンスを販売する場合は、UDAC−MB準拠の配信システム、あるいはUDAC−MB準拠の可搬記録媒体が不可欠であった。
−コンテンツのマルチキャスト(放送など)
送信側は一方的にコンテンツを送信し、受信側は一方的に受信するケース。
【0027】
ライセンスをTRM間でオフラインでやりとり可能とすれば、オフライン環境で電子データや有料コンテンツにそのライセンスを同梱して送ることが可能となり、また、放送などの1方向通信で通信データ内にライセンスを同梱して送ることが可能となる。以降、このライセンスを”オフラインライセンス”と呼ぶ。(それに対して、UDAC−MBで規定しているライセンスを”オンラインライセンス”と呼ぶ。)
オンライン:1つの通信コネクション(socketなど)の中でライセンスの移動、配信を完了させる方式。
【0028】
オフライン:送信側と受信側とがコネクションを持たない状態でライセンスの移動、配信を行う方式。つまり、ライセンスを一般電子データの形でネットワーク上であるいは一般可搬記録媒体で流通可能とする方式。
【0029】
ここで、オンラインライセンスはUDAC−MB準拠の可搬記録媒体により移動可能であるが、一般電子データの形では扱えない。
図1は、本発明の実施形態の全体構成を示す図である。
【0030】
同図においては、オフラインライセンスの生成後のライセンスとコンテンツの流通の形態を示している。
各PCやコンテンツ配信サーバ、PD(Private DeviceあるいはPortable Device)にセットされる媒体には、LA(Licensor Agentあるいは、LAをチップ化したLicense
Chip)が組み込まれているものとする。LAについては、後述する。
【0031】
コンテンツ配信サーバ10のLA内を用いて、コンテンツのライセンスが送信される。また、コンテンツ配信サーバ10のハードディスクなどの媒体には暗号化コンテンツが格納される。コンテンツ配信サーバ10は、PC11に対し、コンテンツライセンスを、そのLAに対して送信し、暗号化コンテンツをその媒体に送信する。PC11のコンテンツ再生アプリでは、LAに受信されたコンテンツライセンスを用いて、媒体に格納された暗号化コンテンツをTRM領域内に有るデコーダによってデコードし再生する。また、PC12から電子データをPC11が電子文書などの電子データを受け取る場合には、PC12のLAから送信された電子データライセンスをPC11のLAにおいて受け取り、暗号化電子データを媒体に受け取る。そして、PC11では、電子データ処理アプリのTRM領域内実装処理を用いて、電子データライセンスを処理し、これを用いて電子データの復号を行う。電子データライセンスの処理とは、アクセス制御チェックなどである。なお、PC11内のLAとコンテンツ再生アプリのデコーダあるいは電子データ処理アプリのTRM領域内実装処理との通信はUDAC−MBプロトコルを用いる。UDAC−MBプロトコルは公知であるので、ここでは特に説明しないが、実施形態の説明の最後に列挙されている各特許出願を参照されたい。
【0032】
PC11から、暗号化コンテンツや暗号化電子データを媒体13に移動し、この媒体をPD14に設定することによって、PD14でコンテンツや電子データを使用することも可能である。この場合、媒体13には、License Chipが搭載され、暗号化コンテンツ、暗号化電子データは、通常通り移動あるいはコピーされるが、コンテンツライセンス、電子データライセンスは、UDAC−MBプロトコルをつかってTRM領域内にあるLicense Chipに格納される。媒体13がセットされたPD14では、暗号化コンテンツや暗号化電子データを、UDAC−MBプロトコルでLicense Chipから取得したコンテンツライセンスや電子データライセンスでデコードし使用する。PD14のデコーダもTRM領域に含まれている。このように、媒体13に格納可能とすることによって、ライセンスに守られたコンテンツをオフラインで配布することが可能となる。
【0033】
なお、ここで、同図では、音楽データなどのコンテンツと電子文書などの電子データとを別個に記載したが、実質的には双方とも電子ファイルであることには変わりなく、以下では、特に区別することなく電子データとコンテンツをほぼ同義で使用する。
【0034】
図2及び図3は、LAの機能を説明する図である。
LAのライセンス・暗号化データ生成機能部では、電子データ(コンテンツ)、コンテンツID、アクセス条件を入力とし、電子データ暗号化処理部に電子データの暗号化処理を、ライセンス生成処理部にライセンスの生成処理を依頼する。ライセンス生成処理部では、トランID制御部(トランザクションID制御部)のトランID採番処理部(トランザクションID採番処理部)に依頼して、ライセンスに一意の番号であるトランIDを取得するように依頼する。このようにして処理された結果、暗号化データがライセンス・暗号化データ生成機能部から出力される。
【0035】
オフラインライセンス生成機能部では、送信先LA、個別公開鍵証明書、コンテンツID、トランザクションIDを入力として、ライセンス制御部、LRL制御部にライセンスの確認検索を依頼する。そして、オフラインライセンスを付与することが認められると、
オフライントランID制御部のオフライントランID採番処理においてオフラインライセンスに一意のトランザクションIDが取得され、ライセンス制御部のレコードを削除し、LRL制御部のレコードを追加することによって、オフラインライセンスが登録され、暗号化処理を受けた後、オフラインライセンスが発行される。
【0036】
オフラインライセンス格納機能部では、オフラインライセンスを入力として、これを復号処理し、ライセンス制御部とLRL制御部に対し、レコードの検索を依頼する。レコード検索の結果、ライセンスが承認されると、LRL制御部において、レコード削除を行い、ライセンス制御部において、レコード追加を行う。このとき、ライセンス制御部及びLRL制御部において、ライセンス管理用データベースやLRL制御用データベースにアクセスする場合には、DBMS(Database Management system)を介して、暗号化してデータの授受を行う。
【0037】
また、図3に示される、ライセンス検索機能部においては、コンテンツIDを入力として、ライセンス制御部にレコード検索を依頼する。同時に、LRL制御部にもレコード検索を依頼する。そして、検索の結果として、トランザクションIDとアクセス条件が得られる。
【0038】
図4は、オフラインライセンスの構成の概要を示す図である。
同図において、各Partは、以下のように定義される。
Part 1:セッション鍵を送信先LAの個別公開鍵で暗号化したもの
Part 2:以下のデータをセッション鍵で暗号化したもの
−オフラインライセンス生成元(送信元)LAの個別公開鍵証明書サブジェクト名
−オフライントランザクションID
オフラインライセンス生成元(送信元)LAで採番したもの
−ライセンス(オンラインライセンス)
−配信先TRM内アクセス条件
オフラインライセンスによる移動可能回数/期間
その他
−コンテンツ再生・電子データ処理システムのTRM内アクセ
ス条件
Part 3:オフラインライセンス生成元(送信元)LAのクラス秘密鍵に
よる電子署名
Part 4:オフラインライセンス生成元(送信元)LAの個別公開鍵証明
書
Part 5:オフラインライセンス生成元(送信元)LAのクラス公開鍵証
明書
【0039】
ここで、以下に、UDAC−MB/LBを変更して本実施形態のオフラインライセンスを取り扱うため使用するUDAC−PI(Protocol Independent)の説明を行う。
前提
a)ライセンス配信側は個別公開鍵KPrと秘密鍵Krのペアを持つ。
b)またクラス秘密鍵Kcrで署名されたKPrの証明書C(Kcr、KPr||Ir)を持つ。
c)またルート秘密鍵Karで署名されたKPcrの証明書C(Kar、KPcr||Iar)を持つ。
d)ライセンス配信先はメディア、ライセンスチップまたはLA内のTRMとする。
e)TRMは個別公開鍵KPtと秘密鍵Ktのペアを持つ。
f)個別公開鍵KPtはクラス秘密鍵Kctで署名された証明書の形で公開されている。
g)クラス公開鍵KPctはルート秘密鍵Katで署名された証明書の形で公開されている。
h)リスク上問題がなければ、KarとKatの認証局は同じでも良く、KarとKatも同じでも良い。
【0040】
全証明書をLDAP(Lightweight Directory Access Protocol)で検索可能であれば、なおいっそう利用者が扱いやすい。
・基本手順
(1)配信側はLDAPなどの手段を用いて配信先TRMのKPtの証明書を取得する。(2)KPtの証明書をKPctで、また、その証明書をKPatでチェックする。
(3)配信側は次の形式のオフラインライセンスを生成する。
E(KPt、Ks)||E(Ks、SNr||TransactionID||Kc||ACt||ACp||Is)||E(Kcr、H(all plain text)||C(Kcr、KPr||Ir)||C(Kar、KPcr||Iar)
ここで、
Ks:セッション鍵
SNr:配信側個別公開鍵KPrの証明書のサブジェクト名(subject name)
TransactionID:ライセンスシリアル番号。配信側がライセンス毎にユニークな番号を生成
Kc:コンテンツ鍵
ACt:配信先TRM内アクセス条件。ACmと同形式、または、その拡張
ACp:再生システムTRM内アクセス条件
Is:その他の情報
H(x):xのハッシュ値
C(Kx、KPy):公開鍵KPyを秘密鍵Kxで署名した証明書
||は、これの前後を単純につなぎ合わせることを示す。
(4)配信側は配信先TRMにライセンスと暗号化コンテンツを送信する。
(5)配信先TRM内でライセンスを復号し、ハッシュと証明書により内容の正当性をチェックする。
(6)配信先TRM内でSNrとTransactionIDがライセンス失効リスト(LRL:License Revocation List)にないかを確認する。あれば、処理を終了する。
(7)配信先TRM内でライセンスの内容をライセンスエントリに格納する。
(8)以降の移動、再生のプロトコル及び手順はUDAC−MB/LB(実施形態の説明の最後の特許出願を参照)と同じ。
【0041】
オンラインライセンスからのオフラインライセンスの生成(オフライン化)、オフラインライセンスの格納(オンライン化)は、LA(Licensor Agent)の機能で実現する。つまり、オフラインライセンスはLA間でやりとりする。
【0042】
LAのオフラインライセンス関連機能を以下に示す。
−ライセンス情報(コンテンツID、トランザクションID、アクセス条件、・・・)取得機能
全ライセンス情報取得
該当コンテンツIDの全ライセンス情報取得
−オフラインライセンス生成
送信先LAの個別公開鍵証明書とオンラインライセンス(コンテンツID、トランザクションID)を指定してオフラインライセンスを生成。
−オフラインライセンス格納
指定されたオフラインライセンスをLA内のライセンス管理用データベースに格納してオンライン化する。
・コンテンツ再生アプリ、電子データ処理アプリでのTRM領域内実装処理
コンテンツ再生アプリ、電子データ処理アプリでは、以下の一連の処理(UDAC−MBプロトコル実装処理部)をTRM領域内で実装する。
−LA(あるいはLicense Chip)からのオンラインライセンスの取得(UDAC−MBプロトコル)
−暗号化コンテンツ・データをオンラインライセンスを使って復号化
−コンテンツの再生、データの処理
・各種公開鍵証明書
LAの個別公開鍵証明書と対応する秘密鍵、クラス公開鍵証明書、認証局のルートの公開鍵証明書は、製造元が個々のLA毎に製品(パッケージ)に組み込み、TRM領域内で展開されるようにする。また、LAは自身の個別公開鍵証明書を出力する機能を有する。
【0043】
利用者は、オフラインライセンスの送信元に自分のLAの個別公開鍵証明書を渡すときは、本機能により取得すればよい。
以下は、本発明の実施形態で使用する既存技術の説明である。
【0044】
TRM(Tamper Resistant Module)
処理内容並びに処理の中で扱っているデータの内容が外から取り出したり推測できないようにする仕組み、並びにその仕組み取り入れた半導体チップやプログラムのこと。
【0045】
半導体チップのTRM化したものをハードウェアTRM、プログラムをTRM化したものをソフトウェアTRMと呼ぶ。本実施形態ではどちらを使用しても良い。
1)ハードウェアTRMの方式
以下の技術によりTRMを実現している。
−外部端子から秘密情報の読み出し・書き換えができない。制御ファーム、ログ情報、アクセス制御情報などの書き換えができない構造を持たせる。
−メタル層、特殊コーティング、メッシュセンサによるシールド。
−極微細化。
2)ソフトウェアTRMの方式
以下の技術によりTRMを実現している。
−プログラムの処理とそこで扱うデータの領域を分割し、メモリの中の解析しにくい形で散らばらせる。
−ロードモジュールを暗号化しておく。実行の瞬間のみ復号。
−実行のたびにメモリ空間への展開構造が異なるようにする。
【0046】
以下、本実施形態の説明に戻る。
図5は、新規ライセンス、暗号化データ生成を説明する図である。
送信元PCあるいは配信サーバにおいては、コンテンツIDとアクセス条件その他をLAのライセンス制御部で受け取ると、トランID制御部において、トランザクションIDが与えられ、ライセンス管理用データベースにライセンスが格納される。このライセンスは、電子データ暗号/復号機能部において、電子データを暗号化するのに使用される。
−ライセンス管理用データベース
ライセンスを格納するデータベース。実装上はDBMS(Database Management system)を使ってもファイルを使っても良い。
【0047】
図6は、ライセンス管理用データベースのレコード構成を示す図である。
各フィールドの説明
・タイムスタンプ1、タイムスタンプ2
レコード作成時のタイムスタンプ。LAは、タイムスタンプ1とタイムスタンプ2とが一致しているか否かによってレコードのファイルへの格納が完了したか否かを判断する。
実装において、ライセンス管理用データベースをDBMSを使って実現する場合は、データベースのアトミシディをDBMSが保証するため、このタイムスタンプは無くてもよい。
・コンテンツID
ライセンスに対応するコンテンツのコンテンツID。
・トランザクションID
ライセンスの中に含まれているトランザクションID
コンテンツIDとトランザクションIDとでライセンスを一意に識別可能となる。
・暗号化ライセンス
ライセンスを暗号化したもの。LAの秘密鍵で暗号化する。(例えばT−DESを使う。)LAの秘密鍵はTRM化された領域内に保持し、他者が参照できないようにする。
・送信元公開鍵証明書サブジェクト名
オフラインライセンスの送付元LAの公開鍵証明書のサブジェクト名。UDAC−MBプロトコル(オンライン)で送られてきた場合は、このフィールドはゼロクリアする。
・オフライントランザクションID1
ライセンスがオフラインライセンスの形で当該LAに送付された場合、オフラインライセンス生成元のLAで採番されたオフライントランザクションIDをここに格納する。オフライントランザクションIDは、オフラインライセンス生成元のLAで一意な番号を割り振る。送信元公開鍵証明書サブジェクト名とオフライントランザクションIDとでオフラインライセンスが一意に識別可能となる。UDAC−MBプロトコル(オンライン)で送られてきた場合は、このフィールドはゼロクリアする。
【0048】
図7は、オフラインライセンスの生成(オフライン化)手順を示す図である。
送信元PC/配信サーバにおいては、LAのLRL制御部とライセンス制御部にコンテンツIDとトランザクションIDが入力されると、LRL制御部は、LRL制御用データベースを参照し、ライセンス制御部は、ライセンス管理用データベースのライセンスを参照する。LRL制御部は、ライセンス制御部と連絡を取りながら処理を進める。ライセンス制御部の処理結果は、LRL制御部に伝えられると共に、オフライントランID制御部からトランザクションIDがLRL制御部に通知される。そして、LRL制御部からオフラインライセンス暗号/復号制御部にライセンスの暗号化依頼が通知され、暗号化されたオフラインライセンスが出力される。
−オフライントランID制御部
あるPCのLA(以降、LA1とする)でライセンスの移動を目的としてオフラインライセンスを生成し、そのオフラインライセンスが廻り廻って再びLA1に移動されるケースを想定する。LA1から移動されたライセンスと同じものが間違えて(あるいは不正行為により)再びLA1に格納されようとした場合は、それを防ぐ必要がある。しかしながら、そのライセンスは上記の廻り廻って来たものかもしれず、無条件にはじくことはできない。
【0049】
それらのライセンスを識別可能とするために、オフラインライセンス生成時は、オフライントランザクションID制御部においてLA内で一意なIDを新しく割り振る。
−LRL(License Revocation List)制御部
オフラインライセンスを生成した場合、その後、LA内のライセンスを回収(削除)する。その場合、再び当該LAに同一のライセンスが格納されるのを防ぐために、オフラインライセンス生成済みのライセンスの情報(送信元個別公開鍵証明書のサブジェクト名、オフラインライセンスIDなど)を保持・管理する。
【0050】
なお、ライセンスを配信する配信サーバにおいては、ライセンスの配信を目的としてオフラインライセンスを生成し、ライセンスの移動は行わない。従って、一般に配信サーバではLRL制御部は必要ない。
【0051】
図8は、LRL(License Revocation List)制御用データベースのレコード内容を示す図である。
以下のフィールド以外はライセンス管理用データベースと全く同じ。
【0052】
送信先公開鍵証明書サブジェクト名:
当該LAでオフラインライセンスを生成したときの送付先LAの公開鍵証明書のサブジェクト名
オフライントランザクションID2:
当該LAでオフラインライセンスを生成したときに採番したオフライントランザクションID。
【0053】
最新フラグ:
各ライセンス(オンラインライセンス)毎の最新の生成済みオフラインライセンスであることを示すフラグ。
【0054】
オン:最新 オフ:最新でない。
オフラインライセンスを再生成する場合は、このフィールドの値がオンであるレコードの情報を使用する。
−入力パラメータ
・送信先LA個別公開鍵証明書
・コンテンツID
・トランザクションID
利用者は、予めライセンス表示機能部により、オフラインライセンスを生成するライセンスのコンテンツIDとトランザクションIDを取得しておく。
【0055】
ただし、ライセンスに対応する商品の情報は、専用ツールで管理しても良いし、利用者が自分で管理しても良い。
図9、及び図10は、LAの動作を説明するフローチャートである。
【0056】
まず、ステップS1において、コマンド制御部が、オフラインライセンスの生成機能を起動する。ステップS2において、LA機能のシリアライズ処理(ロードモジュールの二重起動抑止、セマフォなど)を行う。ステップS3において、送信先LAの個別公開鍵証明書の正当性をチェックする。
【0057】
次に、ステップS4において、LRL制御部において、LRL制御用データベースを以下のキーで検索する。
−コンテンツID=入力パラメータ
−トランザクションID=入力パラメータ
−最新フラグ=オン
ここで、最新フラグがオンになっている当該ライセンスが存在しない場合には、ライセンス制御部において(ステップS5)、ライセンス管理用データベースを以下のキーで検索する。
−コンテンツID
−トランザクションID
そして、この検索で対応するライセンスがないと判断された場合には、該当ライセンス無しとしてエラー処理をして、ステップS21に進む。対応するライセンスが存在する場合には、オフライントランID制御部において、オフライントランザクションIDの採番が行われる(ステップS6)。そして、ステップS7において、LRL制御部は、ステップS5で検索したレコードの値と入力パラメータの値、並びにオフライントランザクショ
ンIDからLRL制御用データベースのレコードを作成して、最新フラグをオンとして格納する。ステップS8では、ライセンス制御部が、ステップS5で検索したライセンス管理用データベースのレコードを削除する。そして、ステップS9において、オフラインライセンス暗号/復号制御部は、ステップS7で作成したレコードの値と入力パラメータからオフラインライセンスを作成し、元へ返して、ステップS21に進む。
【0058】
ステップS4において、対応するライセンスがあると判断された場合には、ステップS10において、ライセンス制御部は、ステップS4の検索で使用したコンテンツID、トランザクションIDを使ってライセンス管理用データベースを検索する。対応するライセンスが無い場合には、ステップS11において、ステップS4で検索したレコードの送信先LA個別公開鍵証明書サブジェクト名と入力パラメータの送信先個別公開鍵証明書のサブジェクト名とが等しいか否かを判断する。判断の結果、異なる場合には、該当ライセンスがないというエラーとなり、ステップS21に進む。ステップS11の判断が、等しいとなると、ステップS12において、オフラインライセンス暗号/復号制御部は、ステップS4で検索したレコードの値と入力パラメータからオフラインライセンスを作成し、呼び出しもとへ返して、ステップS21に進む。
【0059】
ステップS10において、対応するライセンスが存在すると判断された場合には、図10のステップS13において、ステップS10で検索したレコードの送信元個別公開鍵証明書サブジェクト名、オフライントランザクションID1がステップS4で検索したレコードのそれぞれのフィールドの値と等しいか否かを判断する。等しい場合には、ステップS14において、ステップS4で検索したレコードの送信先LA個別公開鍵証明書サブジェクト名と入力パラメータの送信先個別公開鍵証明書のサブジェクト名とが等しいか否かを判断する。ステップS14の判断で、異なると判断された場合には、該当ライセンス無しというエラーとなり、ステップS21に進む。ステップS14で等しいとなると、ステップS15において、ライセンス制御部が、ステップS10で検索したライセンス管理用データベースのレコードの送信元個別公開鍵証明書サブジェクト名が全てゼロでなければ、そのレコードを削除し、オフラインライセンス暗号/復号制御部が、その後に、ステップS4で検索したレコードの値と入力パラメータからオフラインライセンスを作成し、呼び出しもとへ返し、ステップS21に進む。
【0060】
ステップS13の判断において、異なると判断された場合には、ステップS16において、LRL制御部が、ステップS4で検索したLRL制御用データベースのレコードの最新フラグの値をオフにし、ステップS17において、オフライントランザクションID採番をオフライントランID制御部が行う。そして、ステップS18において、LRL制御部は、ステップS10で検索したレコードの値と入力パラメータの値、並びにオフライントランザクションIDの値からLRL制御用データベースのレコードを作成する。そして、作成したレコードをLRL制御用データベースに格納(最新フラグをオン)する。ステップS19では、ステップS10で検索したライセンス管理用データベースのレコードを、ライセンス制御部が削除し、ステップS20において、オフラインライセンス暗号/復号制御部は、ステップS18で作成したレコードの値と入力パラメータからオフラインライセンスを作成し、呼び出しもとへ返し、ステップS21に進む。
【0061】
ステップS21においては、LA機能のシリアライズ解除を行い、処理を終了する。
ステップS5、S10のライセンス管理用データベースの検索処理部で該当レコードが存在する場合は、レコード内の暗号化ライセンスを復号し、コンテンツIDとトランザクションIDの値がレコード検索のキーで指定したそれぞれの値と等しくなければ、ライセンス管理用データベースが改竄されたとみなし、エラーで終了する。
【0062】
ステップS4のLRL制御部用データベースの検索処理部で該当レコードが存在する場
合は、レコード内の暗号化ライセンスを復号し、コンテンツIDとトランザクションIDの値がレコード検索のキーで指定したそれぞれの値と等しくなければ、LRL制御部用データベースが改竄されたとみなし、エラーで終了する。
【0063】
ステップS9のオフラインライセンス生成処理部では、ステップS5で検索したレコードの中の暗号化ライセンスを当該LAの内部にある秘密鍵で復号し、その復号した結果を使ってオフラインライセンスを生成する。
【0064】
ステップS12、S15のオフラインライセンス生成処理部では、ステップS4で検索したレコードの中の暗号化ライセンスを当該LAの内部にある秘密鍵で復号し、その復号した結果を使ってオフラインライセンスを生成する。
【0065】
ステップS20のオフラインライセンス生成処理部では、ステップS10で検索したレコードの中の暗号化ライセンスを当該LAの内部にある秘密鍵で復号し、その復号した結果を使ってオフラインライセンスを生成する。
【0066】
図11は、オフラインライセンスの格納(オンライン化)処理を説明する図である。
−入力パラメータ
オフラインライセンス
−LRL制御部
オフラインライセンスを格納する場合、オフラインライセンス生成済みのライセンスの情報(送信元個別公開鍵証明書のサブジェクト名、オフラインライセンスIDなど)をLRL制御部を使って取得し、過去に格納済みのオフラインライセンスか否かをチェックする。LRL管理用データベースに登録済みのオフラインライセンスで有ればエラーとする。
−ライセンス制御部
LRL管理用データベースに登録済みでなければ、ライセンス制御部を使って対応するライセンス(オンラインライセンス)が登録済みでないかどうかをチェックする。ライセンス制御部では、ライセンス管理用データベースを検索し、格納しようとしているオフラインライセンスに対応するライセンスのレコードが存在すればエラーとする。
【0067】
図12は、オンラインライセンスの格納処理の流れを示すフローチャートである。
ステップS30において、コマンド制御部は、オフラインライセンス格納機能を起動する。ステップS31において、LA機能のシリアライズ処理(ロードモジュールの二重起動抑止、セマフォ等)をする。
【0068】
ステップS32において、オフラインライセンス暗号/復号制御部は、オフラインライセンスの復号処理を行い、ステップS33において、オフラインライセンスの正当性をチェックし、ステップS34において、LRL制御部が、LRL制御用データベースをステップS32で復号したオフラインライセンスの以下のフィールドをキーとして検索する。−コンテンツID
−トランザクションID
−送信元LA個別公開鍵証明書サブジェクト名
−オフライントランザクションID1
そして、対応するオフラインライセンスが存在する場合には、同一オフラインライセンス格納済みエラーであるとしてステップS37に進む。
【0069】
ステップS34において、対応するライセンスが存在しないと判断された場合には、ステップS35において、ライセンス制御部は、ライセンス管理用データベースをステップS32で復号したオフラインライセンスの以下のフィールドをキーとして検索する。
−コンテンツID
−トランザクションID
ステップS35において、対応するライセンスが存在すると判断された場合には、同一ライセンス既存エラーであるとしてステップS37に進む。
【0070】
ステップS35において、対応するライセンスが存在しないと判断された場合には、ステップS36において、ライセンス制御部は、ステップS32で復号したオフラインライセンスからライセンス管理用データベースのレコードを作成し、格納する。そして、ステップS37で、LA機能のシリアライズを解除して、処理を終了する。
【0071】
ステップS35のライセンス管理用データベースの検索処理部で該当レコードが存在する場合は、レコード内の暗号化ライセンスを復号し、コンテンツIDとトランザクションIDの値がレコード検索のキーで指定したそれぞれの値と等しくなれば、ライセンス管理用データベースが改竄されたとみなし、エラーで終了する。
【0072】
ステップS34のLRL制御用データベースの検索処理部で該当レコードが存在する場合は、レコード内の暗号化ライセンスを復号し、コンテンツIDとトランザクションIDの値がレコード検索のキーで指定したそれぞれの値と等しくなければ、LRL制御用データベースが改竄されたと見なし、エラーで終了する。
【0073】
ステップS36のライセンス管理用データベースのレコード作成では、オフラインライセンスを復号して取得したライセンスを当該LAの秘密鍵によって暗号化して暗号化ライセンスを作成し、それをレコードに埋め込む。
【0074】
以下に、ライセンス検索機能について説明する。
−機能概要
・全ライセンス情報取得
全ライセンスについて以下の情報を取得する。
【0075】
コンテンツID、トランザクションID、送信元個別公開鍵証明書サブジェクト名(オフラインライセンスで格納された場合のみ)、アクセス条件、オフラインライセンス生成済みか否か
オフラインライセンス生成済みの場合は更に以下の情報が加えられる。
【0076】
送信先個別公開鍵証明書サブジェクト名
・コンテンツIDによるライセンスの検索
指定されたコンテンツIDに対応するライセンスの情報を取得する。情報の内容は上と同じ。
−方式概要
ライセンス管理用データベース並びにLRL制御用データベースのレコードを参照して、上記情報を出力する。
1)ライセンス管理での該当レコードを読み込む
2)LRL制御用データベースの最新フラグがオンのレコードの内、1)で参照したレコードと以下のフィールドが同じものがあるか検索する。
【0077】
コンテンツID、トランザクションID
なければ、ライセンス管理用データベースのレコードの内容を出力する。あれば、オフラインライセンス生成済みとして更に追加の情報を出力する。
3)LRL制御用データベースを検索し、最新フラグがオンのレコードのうち、2)で検索した以外のレコードがあれば、オフラインライセンス生成済みとして情報を出力する。
【0078】
オンラインライセンスの操作との整合性
オンラインライセンスをUDAC−MBプロトコルで移動させる場合、移動先のLAでは、以下の処理を行う。
【0079】
1)LRL制御用データベースのレコードを以下のキーで検索する。
コンテンツID=オフラインライセンスのコンテンツID
トランザクションID=オンラインライセンスのトランザクションID
最新フラグ=オン
検索対象レコードが存在する場合、そのレコードの最新フラグの値をオフにする。
【0080】
2)ライセンス制御用データベースにオンラインライセンスを格納する。その際、インターネットkなおフィールドの値をゼロクリアする。
・送信元LA個別公開鍵証明書サブジェクト名
・オフライントランザクションID1
この制御と上記オフラインライセンス格納機能部並びにオフラインライセンス生成機能部の処理手順により、オフラインライセンスとオンラインライセンスとが同時に流通されたり、1つのライセンスについてオフラインライセンスのオンライン化並びにオンラインライセンスのオフライン化が行われても、ライセンスが不当に消滅したり、利用可能なライセンスの複製ができてしまうことを防いでいる。
LA(ソフト)のディスク領域破壊に対する対処
LAのディスク領域が破壊された場合、利用者はLAを再インストールするしかない。しかし、単純に再インストールすればLAを使用可能としたのでは利用者はオフラインライセンスの生成−>LAの再インストール−>オフラインライセンスの格納−>オフラインライセンスの生成−>・・・を繰り返すことにより1つのライセンスから複数のライセンスを生成できてしまう。
【0081】
上記事態を防ぐために、LAはインストール毎に個別公開鍵証明書とそれに対応する秘密鍵のペアを変更する、といった対処方法がある。
−LAの製造元は予め1利用者について数個の鍵ペアを作っておき、各々の公開鍵証明書を認証局から発行してもらっておく。
−製造元はLAを出荷時に各利用者毎に上記鍵ペアと公開鍵証明書を製品に埋め込んで出荷する。LAは1回しかインストールできない仕様にしておく。
−利用者がLAを再インストールする場合は、インターネットなどで販売元(製造元)に申請し、新たな鍵ペアが組み込まれた新たなパッケージを受け取る。
【0082】
上記以外に、LAのインストールプログラムの中で製造元のサーバと通信して新たな鍵ペアを受け取る、という方式もあるが、セキュリティ上の危険度が大きくなる。
以下に、電子文書流通へのオフラインライセンスの適用事例を示す。
【0083】
UDAC−MBの従来のライセンスは、オンライン型であり、ネットワーク上でライセンスを流通させるためには、転送機能自体がUDAC−MBの転送プロトコルを実装している必要があった。そのため、ライセンスを一般の市販ソフトにより転送することができない。
【0084】
オフライン型ライセンスは、ライセンスそのものは一般のソフトで転送可能である。
図13は、オフライン型ライセンスを導入した電子文書流通の概要を示す図である。
電子文書作成者が他者に電子文書を送信し、参照許諾を与える際の手順を以下に示す。
【0085】
(1)送信元(電子文書作成者):
作成した電子文書からLCM(License Compliant Module)を介して以下を生成する。このとき電子文書作成者は、アクセス制御情報を指定する。
−許諾を与えるためのライセンス
電子文書を復号するための秘密鍵である。
参照回数、印刷回数などのアクセス制御情報も付加されている。
ライセンスはLAの中に保存され、TRMを破らない限り外には出せない。
−暗号化データ
電子文書を上記ライセンスで暗号化したもの。
SCDF形式(Super Content Distribution Format)
【0086】
(2)送信元、送信先:
送信元は、電子文書送り先の利用者からLAの公開鍵証明書をもらう。
【0087】
(3)送信元:
(2)で取得した送信先の公開鍵証明書と(1)で生成されたライセンスを指定して、LCMの機能を使ってオフラインライセンスを生成する。
オフラインライセンスは送信元のLAで生成された秘密鍵で暗号化されたライセンスと、その秘密鍵を送信先の公開鍵で暗号化したものから構成されており、そのままネットワーク上で持ち回ることが可能である。
ただし、オフラインライセンスの対攻撃強度は鍵の多重化により調整可能である。具体的にいくつの鍵で保護するかについては当業者が実装検討で決定する。
【0088】
(4)送信元、送信先:
送信元オフラインライセンスと暗号化データを送信先に送る。
送る手段はなんでもよい。(ネットワーク、可搬記録媒体)
【0089】
(5)送信先:
LCMの機能を使ってオフラインライセンスをTRM領域に格納する。
【0090】
(6)送信先:
暗号化データと対応するライセンスを指定してUDAC準拠の電子文書処理アプリを実行する。
【0091】
LAの秘密鍵はTRM領域内にある。また、オフラインライセンスのTRM領域への格納処理もTRM領域内で行われる。従って、送信先において送られてきた電子文書を複写することができない(TRMを破るか、もしくは、LAの秘密鍵を破らない限り)。
【0092】
図14及び図15は、マルチキャスト(放送)へのオフラインライセンスの適用事例を示す図である。
なお、同図の映像音声の送信はMEPG2のフォーマットに乗っ取っているとする。
1)契約時に各利用者は放送業者に受信チューナのLAの個別公開鍵証明書を登録する(渡す)。チューナに本実施形態のLAが内蔵されている。
2)契約直後のチューナ電源投入時
Liは利用者iのLA個別公開鍵で生成されたオフラインライセンスである。
【0093】
全契約者数分のLi(オフラインライセンス)をEMM(Entitlement Management Message:資格情報(放送の場合は契約情報となる))で15〜30分毎に流す。なお、同図のECMは、Entitlement Check Messageの略で、スクランブル鍵やライセンスである。
【0094】
本適用例では、オフラインライセンスに個別契約者情報を付加し、ライセンス管理用データベースでも個別契約者情報のフィールドを追加しているものとする。
LAの中のライセンス管理用データベース内のライセンスと個別契約者情報はペアでUDAC−MBプロトコルによりデコーダに送られる。
【0095】
デコーダはチューナから送られてきた暗号化データをライセンスによって復号し再生する。
契約上再生可能かどうかは、デコーダ内部で受信中の番組の番組情報と個別契約情報の内容から判定する。
【0096】
本方式の場合、放送局と利用者側(LA)が秘密鍵を共有するわけではないので、1つのチューナで複数の(オフラインライセンス方式を導入している)放送局の放送を受信可能である。当然ながらICカードも必要ない。
【0097】
図16は、本発明の実施形態をプログラムで実現する場合に必要とされるコンピュータのハードウェア環境図である。
CPU21は、バス20で接続された、ハードディスクなどの記憶装置27あるいは、読み取り装置28によって読み込まれる、フロッピーディスク、CD−ROM、DVDなどの可搬記録媒体29に格納されたプログラムをRAM23にコピーし、実行する。また、ROM22にプログラムを格納し、コンピュータを専用のマシーンとして使っても良い。なお、ROM22には、BIOSなどの基本プログラムが格納されている。
【0098】
入出力装置30は、ディスプレイ、キーボード、マウス、テンプレートなどであり、ユーザの指示をCPU21に伝えると共に、処理結果をユーザに提示する。
通信インターフェース24は、ネットワーク25を介して情報提供者26と通信することにより、情報提供者26が有している記録媒体に格納された当該プログラムをダウンロードすることができる。このようにして、ダウンロードされた当該プログラムは、記憶装置27あるいは、可搬記録媒体29に格納される。あるいは、通信インターフェース24を使って、通信を行ったまま、ネットワーク環境下で当該プログラムを実行することが可能である。
【0099】
なお、本実施形態のPCをコンピュータで実現する場合には、TRM領域を構成する必要があるが、これは、CPU21によって実行されるプログラムによって構成されても良いし、あるいは、バス20にハードウェアで構成されたTRMチップを接続して、オフラインライセンスの処理などを専門に処理させるようにしても良い。
【0100】
なお、本発明の実施形態で使用するUDAC−MB/LBについては、多くの特許出願がなされており、KdM規格として知られている。以下に、幾つかの特許出願を示す。
・特願平05−257816号
・特願平08−101867号
・特願平08−106382号
・特願平08−190529号
・特願平11−099482号
・特願平04−058048号
・特願平06−238060号
・特願平06−225228号
・特願平07−001798号
・特願平11−099482号
【0101】
(付記1)暗号化コンテンツのライセンスをユーザ間で流通する際に用いる情報端末
であって、
暗号化コンテンツのライセンスを格納する第1の格納手段と、
オフラインライセンスの生成ログを格納する第2の格納手段と、
暗号化コンテンツのライセンスからオフラインライセンスを生成し、オフラインライセンスから暗号化コンテンツのライセンスを生成して前記第1の格納手段に格納し、オフラインライセンス毎に生成ログを作成または更新して前記第2の格納手段に格納するライセンスエージェント手段と、
を備え、
該オフラインライセンスを他の情報端末のライセンスエージェント手段との間でやりとりすることによって、コンテンツのライセンスを送信または受信することを特徴とする情報端末。
【0102】
(付記2)前記ライセンスエージェント手段はTRM領域内にあることを特徴とする付記1に記載の情報端末。
【0103】
(付記3)前記ライセンスエージェント手段は、第1の格納手段内のライセンスを送付先の公開鍵とセッション鍵を使って暗号化して一般電子ファイルの形で取り出す機能を有することを特徴とする付記1又は2に記載の情報端末。
【0104】
(付記4)前記ライセンスエージェント手段は、ユーザが使用可能なライセンスの複製が生成されずに同一のオフラインライセンスを生成可能であることを特徴とする付記1〜3のいずれか1つに記載の情報端末。
【0105】
(付記5)前記ライセンスエージェント手段は、オフラインライセンス受信時に、前記生成ログを用いて、移動済みのライセンスが再度格納されることを防止することを特徴とする付記1〜4のいずれか1つに記載の情報端末。
【0106】
(付記6)暗号化された放送信号を用いて複数の視聴者に対して同報されるコンテンツのライセンスを受信する際に用いる情報端末であって、
コンテンツのライセンスを格納する格納手段と、
受信したオフラインライセンスからコンテンツのライセンスを生成し、前記格納手段に格納するライセンスエージェント手段と、
を備え、
前記放送信号には全視聴契約者のオフラインライセンスが適当な間隔で挿入され、前記情報端末に対応するオフラインライセンスから、暗号化された放送信号を参照可能にするためのライセンスを生成することを特徴とする情報端末。
【0107】
(付記7)前記格納手段と前記ライセンスエージェント手段はTRM領域内にあることを特徴とする付記6に記載の情報端末。
【0108】
(付記8)情報端末を用いて暗号化コンテンツのライセンスをユーザ間で流通する方法であって、
暗号化コンテンツのライセンスを第1の格納手段に格納するステップと、
前記格納された暗号化コンテンツのライセンスからオフラインライセンスを生成するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
前記オフラインライセンスを他の情報端末に送るステップとを有するライセンスの流通方法。
【0109】
(付記9)情報端末を用いて暗号化コンテンツのライセンスをユーザ間で流通する方法であって、
オフラインライセンスを他の情報端末から受け取るステップと、
受け取ったオフラインライセンスから暗号化コンテンツのライセンスを生成するステップと、
前記生成したライセンスを第1の格納手段に格納するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
を有することを特徴とするライセンスの流通方法。
【0110】
(付記10)前記オフラインライセンスの生成及び情報端末間のオフラインライセンスのやりとりは、オフラインライセンス生成ステップを行う各情報端末中のライセンスエージェント手段を用いて行うことを特徴とする付記8に記載のライセンスの流通方法。
【0111】
(付記11)前記オフラインライセンスの生成及び情報端末間のオフラインライセンスのやりとりは、ライセンス生成ステップを行う各情報端末中のライセンスエージェント手段を用いて行うことを特徴とする付記9に記載のライセンスの流通方法。
【0112】
(付記12)前記ライセンスエージェント手段は、オフラインライセンスから暗号化コンテンツのライセンスを生成するときに、前記生成ログを用いて、移動済みのライセンスが再度保持されることを防止することを特徴とする付記11に記載のライセンスの流通方法。
【0113】
(付記13)暗号化された放送信号を用いて複数の視聴者に対して同報されるコンテンツのライセンスを流通する方法であって、
全視聴契約者のオフラインライセンスが適当な間隔で挿入された前記放送信号を受信するステップと、
前記放送信号から視聴契約者の情報端末に対応するオフラインライセンスを抽出するステップと、
前記抽出したオフラインライセンスから放送信号を参照可能とするためのライセンスを生成するステップと、
を有することを特徴とするライセンスの流通方法。
【0114】
(付記14)暗号化された放送信号を用いて複数の視聴契約者に対して同報されるコンテンツのライセンスを流通する方法であって、
放送信号を暗号化するステップと、
全視聴契約者にそれぞれ対応し、前記暗号化された放送信号を参照可能とするためのライセンスを生成するのに用いるオフラインライセンスを適当な間隔で挿入した前記放送信号を送信するステップと、
を有することを特徴とするライセンスの流通方法。
【0115】
(付記15)暗号化コンテンツのライセンスをユーザ間で流通する方法を情報端末に実現させるプログラムであって、
暗号化コンテンツのライセンスを第1の格納手段に格納するステップと、
前記格納された暗号化コンテンツのライセンスからオフラインライセンスを生成するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
前記オフラインライセンスを他の情報端末に送るステップとを有することを特徴とするライセンスの流通方法を情報端末に実現させるプログラム。
【0116】
(付記16)暗号化コンテンツのライセンスをユーザ間で流通する方法を情報端末に実現させるプログラムであって、
オフラインライセンスを他の情報端末から受け取るステップと、
受け取ったオフラインライセンスから暗号化コンテンツのライセンスを生成するステップと、
前記生成したライセンスを第1の格納手段に格納するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
を有することを特徴とするライセンスの流通方法を情報端末に実現させるプログラム。
【0117】
(付記17)暗号化コンテンツのライセンスをユーザ間で流通する方法を情報端末に実現させるプログラムを格納した記録媒体であって、
暗号化コンテンツのライセンスを第1の格納手段に格納するステップと、
前記格納された暗号化コンテンツのライセンスからオフラインライセンスを生成するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
前記オフラインライセンスを他の情報端末に送るステップとを有することを特徴とするライセンスの流通方法を情報端末に実現させるプログラムを格納した記録媒体。
【0118】
(付記18)暗号化コンテンツのライセンスをユーザ間で流通する方法を情報端末に実現させるプログラムを格納した記録媒体であって、
オフラインライセンスを他の情報端末から受け取るステップと、
受け取ったオフラインライセンスから暗号化コンテンツのライセンスを生成するステップと、
前記生成したライセンスを第1の格納手段に格納するステップと、
前記オフラインライセンスの生成ログを作成または更新して第2の格納手段に格納するステップと、
を有することを特徴とするラインセンスの流通方法を情報端末に実現させるプログラムを格納した記録媒体。
【図面の簡単な説明】
【0119】
【図1】本発明の実施形態の全体構成を示す図である。
【図2】LAの機能を説明する図(その1)である。
【図3】LAの機能を説明する図(その2)である。
【図4】オフラインライセンスの構成の概要を示す図である。
【図5】新規ライセンス、暗号化データ生成を説明する図である。
【図6】ライセンス管理用データベースのレコード構成を示す図である。
【図7】オフラインライセンスの生成(オフライン化)手順を示す図である。
【図8】LRL(License Revocation List)制御用データベースのレコード内容を示す図である。
【図9】LAの動作を説明するフローチャート(その1)である。
【図10】LAの動作を説明するフローチャート(その2)である。
【図11】オフラインライセンスの格納(オンライン化)処理を説明する図である。
【図12】オンラインライセンスの格納処理の流れを示すフローチャートである。
【図13】オフライン型ライセンスを導入した電子文書流通の概要を示す図である。
【図14】マルチキャスト(放送)へのオフラインライセンスの適用事例を示す図(その1)である。
【図15】マルチキャスト(放送)へのオフラインライセンスの適用事例を示す図(その2)である。
【図16】本発明の実施形態をプログラムで実現する場合に必要とされるコンピュータのハードウェア環境図である。
【図17】従来のライセンスを管理するための専用データ転送システムを示す図である。
【図18】従来の有料コンテンツのマルチキャストの仕組みを示す図である。
【符号の説明】
【0120】
10 コンテンツ配信サーバ
11、12 PC
13 媒体
14 PD
【特許請求の範囲】
【請求項1】
暗号化された放送信号を用いて複数の視聴者に対して同報されるコンテンツのライセンスを受信する際に用いる情報端末であって、
コンテンツのライセンスを格納する格納手段と、
受信したオフラインライセンスからコンテンツのライセンスを生成し、前記格納手段に格納するライセンスエージェント手段と、
を備え、
前記放送信号には全視聴契約者のオフラインライセンスが適当な間隔で挿入され、前記情報端末に対応するオフラインライセンスから、暗号化された放送信号を参照可能にするためのライセンスを生成することを特徴とする情報端末。
【請求項2】
暗号化された放送信号を用いて複数の視聴契約者に対して同報されるコンテンツのライセンスを流通する方法であって、
放送信号を暗号化するステップと、
全視聴契約者にそれぞれ対応し、前記暗号化された放送信号を参照可能とするためのライセンスを生成するのに用いるオフラインライセンスを適当な間隔で挿入した前記放送信号を送信するステップと、
を有することを特徴とするライセンスの流通方法。
【請求項1】
暗号化された放送信号を用いて複数の視聴者に対して同報されるコンテンツのライセンスを受信する際に用いる情報端末であって、
コンテンツのライセンスを格納する格納手段と、
受信したオフラインライセンスからコンテンツのライセンスを生成し、前記格納手段に格納するライセンスエージェント手段と、
を備え、
前記放送信号には全視聴契約者のオフラインライセンスが適当な間隔で挿入され、前記情報端末に対応するオフラインライセンスから、暗号化された放送信号を参照可能にするためのライセンスを生成することを特徴とする情報端末。
【請求項2】
暗号化された放送信号を用いて複数の視聴契約者に対して同報されるコンテンツのライセンスを流通する方法であって、
放送信号を暗号化するステップと、
全視聴契約者にそれぞれ対応し、前記暗号化された放送信号を参照可能とするためのライセンスを生成するのに用いるオフラインライセンスを適当な間隔で挿入した前記放送信号を送信するステップと、
を有することを特徴とするライセンスの流通方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2008−271564(P2008−271564A)
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願番号】特願2008−115244(P2008−115244)
【出願日】平成20年4月25日(2008.4.25)
【分割の表示】特願2001−246398(P2001−246398)の分割
【原出願日】平成13年8月15日(2001.8.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.フロッピー
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願日】平成20年4月25日(2008.4.25)
【分割の表示】特願2001−246398(P2001−246398)の分割
【原出願日】平成13年8月15日(2001.8.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.フロッピー
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]