情報処理装置、ディスク、および情報処理方法、並びにプログラム
【課題】不正アプリケーションによるIDの不正取得やコンテンツの不正利用を防止する。
【解決手段】ディスクに記録されるアプリケーションを提供するコンテンツオーナーの公開鍵を格納し、認証局の署名を設定したアプリケーション証明書と、ルート証明書を含むデータに対してコンテンツオーナーの署名を設定したルート証明書対応署名データをディスクに記録し、再生装置に、アプリケーション証明書とルート証明書対応署名データの署名検証を行わせ、署名検証に失敗した場合は、アプリケーションの利用禁止または制限を行なう。本構成によりコンテンツオーナーの提供するアプリケーションが認証局の管理下に置かれ、不正アプリケーションの蔓延、不正アプリケーションの使用による識別情報の不正取得や利用、コンテンツの不正利用の防止が実現される。
【解決手段】ディスクに記録されるアプリケーションを提供するコンテンツオーナーの公開鍵を格納し、認証局の署名を設定したアプリケーション証明書と、ルート証明書を含むデータに対してコンテンツオーナーの署名を設定したルート証明書対応署名データをディスクに記録し、再生装置に、アプリケーション証明書とルート証明書対応署名データの署名検証を行わせ、署名検証に失敗した場合は、アプリケーションの利用禁止または制限を行なう。本構成によりコンテンツオーナーの提供するアプリケーションが認証局の管理下に置かれ、不正アプリケーションの蔓延、不正アプリケーションの使用による識別情報の不正取得や利用、コンテンツの不正利用の防止が実現される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、ディスク、および情報処理方法、並びにプログラムに関する。さらに、詳細には情報記録媒体に記録されたコンテンツや識別情報(ID)の読み取り制御や利用制御を行う情報処理装置、ディスク、および情報処理方法、並びにプログラムに関する。
【背景技術】
【0002】
コンテンツの記録媒体としてDVD(Digital Versatile Disc)、Blu−ray Disc(登録商標)などのディスクが利用されている。例えば映画コンテンツなどがディスク(例えばROMディスク)に記録されてユーザに提供されるが、これらのディスク記録コンテンツは、多くの場合、その作成者あるいは販売者に著作権、頒布権等が保有されたコンテンツである。このようなコンテンツについては例えば許可のないコピー(複製)等を防止するための利用制御がなされる。
【0003】
利用制御の形態としては様々な形態があるが、例えば、著作権保護技術を規定しているAACS(Advanced Access Content System)の規定では、ディスク記録コンテンツの利用に際して、メディアIDなどのID情報をディスクから読み取らせて、読み取りIDの確認やID情報を利用した鍵生成など実行させてコンテンツ利用制御を行なう構成としている。
【0004】
例えば、ディスクには、以下のような識別情報(ID)が記録されている。
(a)ディスク固有の識別情報であるメディアID(PMSN(Pre−recorded Media Serial Numberと呼ばれる場合もある)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
例えばこれらの識別情報(ID)がディスクに記録されている。
【0005】
再生装置は、ディスクから例えば上記(a)〜(c)の少なくともいずれかの識別情報(ID)を読み取り、所定のシーケンスに従った処理、例えばIDを利用した鍵生成やコンテンツ復号などによりコンテンツ利用を行なう。さらに、上記の各種識別情報(ID)をサーバに送信し、サーバにおけるID確認に基づいて、サーバから様々な付加コンテンツやサービスデータなどを受領することが行なわれる場合もある。
【0006】
なお、ディスクに記録された上記(a)〜(c)ではなく、
(d)再生装置対応の識別情報であるデバイスバインディングID、
が利用される場合もある。デバイスバインディングIDは、再生装置固有の識別情報として再生装置内のメモリに記録され、ディスク格納コンテンツの利用、後発データのサーバからの取得、再生装置のハードディスクなどの記憶部に格納された後発データの利用などに際して、例えば再生装置の確認処理としてのID確認や、鍵生成、コンテンツ復号などの処理に利用される。
【0007】
上記(a)〜(d)の識別情報(ID)を読み取ってコンテンツの再生やコピー処理、あるいはサーバからのデータ取得処理などを行なうためには、所定のプログラムを再生装置において実行することが必要である。プログラムはディスク格納コンテンツに対応して作成されるプログラムである場合が多く、コンテンツとともにディスクに記録され、再生装置は、プログラムをディスクから読み取って実行する。
【0008】
このようなプログラムは、例えばJava(登録商標)を利用した簡易プログラムとして作成され、例えばコンテンツ所有者や提供者(コンテンツオーナー)において、あるいはその委託によって作成されることが多い、従って、不正なプログラムが混在する可能性もある。
【0009】
不正なプログラムは、ディスクに記録された識別情報(ID)を不正に取得してコンテンツを不正に利用し、またサーバからのサービスデータの不正取得を行うといった不正な処理に利用される可能性がある。
【0010】
図1を参照して現状のAACS規定におけるコンテンツ利用制御構成の概要について説明する。図1には、コンテンツ121を格納したディスク(メディア)120、ディスク記録コンテンツを提供するコンテンツオーナー110、コンテンツ管理処理を行なうライセンス管理部130を示している。ライセンス管理部130は例えばAACS規定に従ったコンテンツ利用管理を行なうAACS LA(Licensing Administrator)によって運営される。
【0011】
ディスク120には、コンテンツ121の他、前述した識別情報(ID)122が記録されている。識別情報(ID)122としては、
(a)ディスク固有の識別情報であるメディアID(PMSN)126、
(b)ディスクのタイトル単位で設定されるボリュームID127、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID128、
これらのID情報が含まれる。
【0012】
ディスク120には、コンテンツ121が正当なコンテンツ、すなわちライセンス管理部(AACS LA)130によって認定された正当コンテンツであることを証明するためのコンテンツ証明書123が記録される。コンテンツ証明書123はディスク120に記録されるコンテンツ121に対応してその正当性を証明するデータとしてライセンス管理部130の管理下で発行されディスク120に記録される。
【0013】
コンテンツ証明書123は、ライセンス管理部130内にその詳細を示すように、ルート証明書ハッシュ値を記録し、これらの記録ハッシュ値に対して、ライセンス管理部(AACS LA)130の秘密鍵による電子署名が付与された構成を持つ。ルート証明書124はディスク120に記録され、その構成は、図のコンテンツオーナー110内に示すように、コンテンツオーナーの公開鍵に対して、コンテンツオーナーの秘密鍵で署名を設定した構成を持つ。
【0014】
このディスクに記録されたコンテンツ121を再生する再生装置は、コンテンツ証明書に設定された署名検証を実行して、コンテンツ証明書の正当性が確認されたことを条件としてコンテンツ121の利用が許容される。このように、コンテンツに関しては、厳格に正当性の確認が実行されることになる。
【0015】
しかし、さらに、ディスク120にはディスク記録アプリケーション125が記録される場合がある。このディスク記録アプリケーション125は、例えばコンテンツ121の再生処理、その他の処理に利用されるプログラムである。具体的には、コンテンツ利用ユーザに対して、サービスデータをサーバから提供するためのアプリケーションなどである。ディスク120に記録された識別情報(ID)122をサーバに送信することで、サーバからサービスデータを取得するために実行するプログラムなどである。
【0016】
このディスク記録アプリケーション125は、図のコンテンツオーナー110内に示すように、コンテンツオーナーが提供するアプリケーションに対して、コンテンツオーナーの秘密鍵で署名を設定した構成を持つ。
【0017】
ディスク120に記録されたディスク記録アプリケーション125を利用する再生装置は、コンテンツオーナーの公開鍵を適用して、ディスク記録アプリケーション125に設定された署名検証を行なうことで、アプリケーションの正当性を確認してアプリケーションを実行することになる。
【0018】
しかし、このディスク記録アプリケーション125は、コンテンツオーナー110が独自に作成可能であり、第三者による監視がなされていない。前述したように、コンテンツについてはコンテンツに対応してライセンス管理部130が発行するコンテンツ証明書123によって、その正当性を確認できるが、ディスク記録アプリケーション125はこのように第三者による正当性の確認ができないデータであり、コンテンツオーナー110が不正なアプリケーションを作成してしまう可能性が否定できない。
【0019】
前述したように不正なアプリケーションを利用することで、ディスク120に記録された識別情報(ID)122を不正に取得してコンテンツ121を不正に利用し、またサーバからのサービスデータの不正取得を行うといった不正な処理に利用される可能性がある。
【発明の開示】
【発明が解決しようとする課題】
【0020】
本発明は、例えば上記の問題点に鑑みてなされたものであり、ディスクに記録されたコンテンツや識別情報の不正な読み取りや、利用を防止する情報処理装置、ディスク、および情報処理方法、並びにプログラムを提供することを目的とする。
【課題を解決するための手段】
【0021】
本発明の第1の側面は、
ディスクに記録されたアプリケーションプログラムの利用制御を行なう情報処理装置であり、
前記アプリケーションプログラムを利用した処理を実行するアプリケーション実行部と、
前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行し、
さらに、前記ディスクに記録されたコンテンツに対応する証明書としてディスクに記録されたコンテンツ証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行するデータ検証部と、
前記データ検証部における第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーション実行部におけるアプリケーションプログラムの利用処理を禁止または制限するアプリケーション制御部と、
を有することを特徴とする情報処理装置にある。
【0022】
さらに、本発明の情報処理装置の一実施態様において、前記アプリケーション制御部は、前記アプリケーション実行部が、ディスクに記録された識別情報を取得する処理を禁止する処理を実行することを特徴とする。
【0023】
さらに、本発明の情報処理装置の一実施態様において、前記識別情報は、
(a)ディスク固有の識別情報であるメディアID(PMSN)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
上記(a)〜(c)いずれかの識別情報であることを特徴とする。
【0024】
さらに、本発明の情報処理装置の一実施態様において、前記アプリケーション制御部は、前記アプリケーション実行部が、ディスクに記録されたコンテンツの再生またはコピーまたは外部出力する処理を禁止または制限する処理を実行することを特徴とする。
【0025】
さらに、本発明の情報処理装置の一実施態様において、前記アプリケーション制御部は、前記アプリケーション実行部が、ネットワークを介して外部サーバに接続する処理を禁止または制限する処理を実行することを特徴とする。
【0026】
さらに、本発明の情報処理装置の一実施態様において、前記アプリケーション制御部は、前記アプリケーション実行部が、ディスク記録データの読み取りまたは利用処理を行なうプログラム実行部に対するAPI呼び出し処理を禁止または制限する処理を実行することを特徴とする。
【0027】
さらに、本発明の情報処理装置の一実施態様において、前記データ検証部は、前記アプリケーション証明書の無効化情報を記録した証明書リボケーションリストを参照して、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれるか否かを検証する処理を実行し、前記アプリケーション制御部は、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれる場合、前記アプリケーション実行部におけるアプリケーションプログラム利用処理を禁止または制限する処理を実行することを特徴とする。
【0028】
さらに、本発明の第2の側面は、
コンテンツと、
前記コンテンツに対応する証明データであるコンテンツ証明書と、
アプリケーションプログラムと、
前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書と、
コンテンツ証明書を含むデータに対する署名を有するルート証明書対応データを記録し、
前記アプリケーションプログラムを実行しようとする再生装置に、前記アプリケーションプログラムおよび前記ルート証明書対応データの署名検証を実行させて、検証結果に応じて前記アプリケーションプログラムの利用制御を行なわせることを可能としたディスクにある。
【0029】
さらに、本発明の第3の側面は、
情報処理装置において、ディスクに記録されたアプリケーションプログラムの利用制御を行なう情報処理方法であり、
データ検証部が、前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行し、
さらに、前記ディスクに記録されたコンテンツに対応する証明書としてディスクに記録されたコンテンツ証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行するデータ検証ステップと、
アプリケーション制御部が、前記データ検証ステップにおける第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーションプログラムの利用処理を禁止または制限するアプリケーション制御ステップと、
を有することを特徴とする情報処理方法にある。
【0030】
さらに、本発明の情報処理方法の一実施態様において、前記アプリケーション制御ステップは、アプリケーション実行部が、ディスクに記録された識別情報を取得する処理を禁止する処理を実行するステップであることを特徴とする。
【0031】
さらに、本発明の情報処理方法の一実施態様において、前記識別情報は、
(a)ディスク固有の識別情報であるメディアID(PMSN)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
上記(a)〜(c)いずれかの識別情報であることを特徴とする。
【0032】
さらに、本発明の情報処理方法の一実施態様において、前記アプリケーション制御ステップは、アプリケーション実行部が、ディスクに記録されたコンテンツの再生またはコピーまたは外部出力する処理を禁止または制限する処理を実行するステップであることを特徴とする。
【0033】
さらに、本発明の情報処理方法の一実施態様において、前記アプリケーション制御ステップは、前記アプリケーション実行部が、ネットワークを介して外部サーバに接続する処理を禁止または制限する処理を実行するステップであることを特徴とする。
【0034】
さらに、本発明の情報処理方法の一実施態様において、前記アプリケーション制御ステップは、アプリケーション実行部が、ディスク記録データの読み取りまたは利用処理を行なうプログラム実行部に対するAPI呼び出し処理を禁止または制限する処理を実行するステップであることを特徴とする。
【0035】
さらに、本発明の情報処理方法の一実施態様において、前記データ検証ステップは、前記アプリケーション証明書の無効化情報を記録した証明書リボケーションリストを参照して、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれるか否かを検証する処理を実行するステップを含み、前記アプリケーション制御ステップは、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれる場合、アプリケーション実行部におけるアプリケーションプログラム利用処理を禁止または制限する処理を実行することを特徴とする。
【0036】
さらに、本発明の第4の側面は、
情報処理装置において、ディスクに記録されたアプリケーションプログラムの利用制御を行なわせるプログラムであり、
データ検証部に、前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行させ、
さらに、前記ディスクに記録されたコンテンツに対応する証明書としてディスクに記録されたコンテンツ証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行させるデータ検証ステップと、
アプリケーション制御部に、前記データ検証ステップにおける第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーションプログラムの利用処理を禁止または制限させるアプリケーション制御ステップと、
を有することを特徴とするプログラムにある。
【0037】
なお、本発明のプログラムは、例えば、様々なプログラム・コードを実行可能な汎用システムに対して、コンピュータ可読な形式で提供する記憶媒体、通信媒体によって提供可能なプログラムである。このようなプログラムをコンピュータ可読な形式で提供することにより、コンピュータ・システム上でプログラムに応じた処理が実現される。
【0038】
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
【発明の効果】
【0039】
本発明の一実施例によれば、ディスクに記録されるアプリケーションを提供するコンテンツオーナーの公開鍵を格納し、認証局の署名を設定したアプリケーション証明書と、ルート証明書を含むデータに対してコンテンツオーナーの署名を設定したルート証明書対応署名データをディスクに記録する構成とし、アプリケーションを実行しようとする再生装置に、アプリケーション証明書と、ルート証明書対応署名データの署名検証を行わせる構成として、これらの署名検証に失敗した場合は、アプリケーションの利用の禁止または制限を行なう構成とした。本構成により、コンテンツオーナーの提供するアプリケーションが、第三者機関としての認証局の管理下に置かれることになり、不正なアプリケーションの蔓延、不正アプリケーションの使用による識別情報の不正取得や利用、あるいはコンテンツの不正利用の防止が実現される。
【発明を実施するための最良の形態】
【0040】
以下、図面を参照しながら本発明の情報処理装置、ディスク、および情報処理方法、並びにプログラムの詳細について説明する。
【0041】
図2を参照して、本発明の構成の概要について説明する。図2には、先に図1を参照して説明したと同様、コンテンツ221を格納したディスク(メディア)220、ディスク記録コンテンツを提供するコンテンツオーナー210、コンテンツ管理処理を行なうライセンス管理部230を示し、さらに、新たに、認証局(BDA−CA)240を示している。ライセンス管理部230は例えばAACS規定に従ったコンテンツ利用管理を行なうAACS LA(Licensing Administrator)によって運営される。
【0042】
なお、本実施例ではディスク220として、BD(Blu−ray Disc(登録商標))、具体的にはROM型のBDであるBD−ROMディスクについて説明する。なお、実施例ではBD−ROMを適用した例を説明するが、BD−ROMの適用例は一例であり、その他の種類のメディアであっても本発明の適用は可能である。
【0043】
ディスク220には、コンテンツ221の他、先に図1を参照して説明したと同様、識別情報(ID)222が記録されている。識別情報(ID)222としては、
(a)ディスク固有の識別情報であるメディアID(PMSN)226、
(b)ディスクのタイトル単位で設定されるボリュームID227、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID228、
これらのID情報が含まれる。
【0044】
再生装置は、ディスクから例えば上記(a)〜(c)の少なくともいずれかの識別情報(ID)を読み取り、所定のシーケンスに従った処理、例えばIDを利用した鍵生成やコンテンツ復号などによりコンテンツ利用を行なう。さらに、上記の各種識別情報(ID)をサーバに送信し、サーバにおけるID確認に基づいて、サーバから様々な付加コンテンツやサービスデータなどを受領することが行なわれる場合もある。
【0045】
なお、ディスクに記録された上記(a)〜(c)ではなく、
(d)再生装置対応の識別情報であるデバイスバインディングID、
が利用される場合もある。デバイスバインディングIDは、再生装置固有の識別情報として再生装置内のメモリに記録され、ディスク格納コンテンツの利用、後発データのサーバからの取得、再生装置のハードディスクなどの記憶部に格納された後発データの利用などに際して、例えば再生装置の確認処理としてのID確認や、鍵生成、コンテンツ復号などの処理に利用される。
【0046】
ディスク220には、コンテンツ221が正当なコンテンツ、すなわちライセンス管理部(AACS LA)230によって管理された正当コンテンツであることを証明するためのコンテンツ証明書(Content Cert)223が記録される。コンテンツ証明書223はディスク220に記録されるコンテンツ221に対応してその正当性を証明するデータとしてライセンス管理部230の管理下で発行されディスク220に記録される。
【0047】
コンテンツ証明書223は、図2に示すライセンス管理部230内にその詳細を示すように、ルート証明書の構成データによって生成されたハッシュ値であるルート証明書ハッシュを記録し、これらの記録ハッシュ値に対して、ライセンス管理部(AACS LA)230の秘密鍵による電子署名が付与された構成を持つ。
【0048】
また、ディスク220に記録されるルート証明書(BD−J Root Cert)224は、図2に示すコンテンツオーナー210内にその詳細を示すように、コンテンツオーナーの公開鍵と、コンテンツオーナーの公開鍵に対してコンテンツオーナーの秘密鍵で生成した署名を含むデータ構成を持ち、ディスク220に記録されるディスク記録アプリケーション225に対応する証明書としてディスク220に記録される。
【0049】
ディスク220に記録されたコンテンツ221を再生する再生装置は、コンテンツ証明書223に設定された署名の検証を実行して、コンテンツ証明書223の正当性を確認し、この正当性確認を条件としたコンテンツ221の利用を行う。このように、コンテンツに関しては、厳格に正当性の確認が実行されることになる。
【0050】
さらに、ディスク220にはディスク記録アプリケーション(BD−J application)225が記録される。このディスク記録アプリケーション225は、例えばコンテンツ221の再生処理やコピー処理、その他の処理、例えば、サービスデータを外部のサーバから受領するためのアプリケーションなどである。ディスク記録アプリケーション225は、図2に示すコンテンツオーナー210内に詳細を示すように、コンテンツオーナーが提供するアプリケーションに対して、コンテンツオーナーの秘密鍵で署名を設定した構成を持つ。
【0051】
このディスク記録アプリケーション225は、ディスク220に記録された識別情報222の読み取りを直接実行することができないので、別のプログラムに識別情報(ID)222の読み取りを依頼して、別のプログラムによってディスクから読み取られたた識別情報(ID)222を受領する。
【0052】
図3を参照して、ディスク220に記録された識別情報(ID)222の読み取り処理例について説明する。ディスク記録アプリケーション225は、再生装置300のアプリケーション実行部301において実行される。ディスク記録アプリケーション225は例えばJava(登録商標)プログラムであり、この場合、アプリケーション実行部301は、例えば、Java(登録商標)プログラムを実行するバーチャルマシン(BD−J Virtual Machineと呼ばれる)によって構成される。
【0053】
アプリケーション実行部301において実行するアプリケーションは、ディスク220に記録された識別情報222の読み取りを直接実行することはできないので、識別情報222の読み取りを実行するプログラムにID読み取りを依頼する。図3に示すAACSレイヤ(ID情報取得プログラム実行部)302がディスク220に記録された識別情報222の読み取りを直接実行する。AACSレイヤ302は、AACS規定に従ったシーケンスに従ってデータ処理を実行するデータ処理部である。
【0054】
アプリケーション実行部301の実行するアプリケーションは、AACSレイヤ(ID情報取得プログラム実行部)302に対してAPI(Application Programming Interface)呼び出しを実行する。このAPIは、ディスク220に記録された識別情報222の読み取りを行なわせる関数からなるAPIである。
【0055】
AACSレイヤ(ID情報取得プログラム実行部)302は、アプリケーション実行部301からのAPI呼び出しに応じて、ディスク220に記録された識別情報222の読み取りを実行し、読み取った識別情報222をアプリケーション実行部301に提供することになる。その後、アプリケーション実行部301において実行されているアプリケーションは、取得した識別情報を利用してコンテンツの利用やサービスデータの取得、例えば取得識別情報(ID)をサーバに送信し、コンテンツのコピー許可情報や、その他のサービス情報などを受領するといった処理を行なう。
【0056】
なお、本実施例では、ディスクに記録された識別情報222を利用する例について説明するが、前述したように、
再生装置対応の識別情報であるデバイスバインディングID、
が利用される場合もある。デバイスバインディングIDは、再生装置固有の識別情報として再生装置内のメモリに記録され、ディスク格納コンテンツの利用、後発データのサーバからの取得、再生装置のハードディスクなどの記憶部に格納された後発データの利用などに際して、例えば再生装置の確認処理としてのID確認や、鍵生成、コンテンツ復号などの処理に利用される。以下では、ディスクに記録された識別情報222を利用する例について説明するが、再生装置対応の識別情報であるデバイスバインディングIDを再生装置のメモリから読み取って利用する場合も、以下に説明する識別情報222の読み取り処理と同様の処理として実行される。
【0057】
識別情報の読み取りや利用処理において問題となるのは、前述したように、アプリケーション実行部301において実行するアプリケーション、すなわちディスク記録アプリケーション225が不正なプログラムである可能性があることである。例えば識別情報222を不正に取得しようとして生成された不正プログラムである可能性もあることである。
【0058】
そこで、本発明の構成では、このような不正処理を防止するため、ディスク220に、さらにアプリケーション証明書(AACS On−line Cert)251と、ルート証明書対応署名データ(AACS On−line Sig)252を記録している。
【0059】
アプリケーション証明書(AACS On−line Cert)251は、認証局(BDA−CA)240が発行する証明書であり、コンテンツオーナーの公開鍵に対して、認証局(BDA−CA)240の秘密鍵による署名データが設定された構成である。
【0060】
ルート証明書対応署名データ(AACS On−line Sig)252は、コンテンツオーナー210が生成す署名データであり、ルート証明書224を含むデータに対して、コンテンツオーナーの秘密鍵を適用して生成される署名データである。
【0061】
図4を参照して、アプリケーション証明書(AACS On−line Cert)251と、ルート証明書対応署名データ(AACS On−line Sig)252の各々のデータ構成例について説明する。
【0062】
アプリケーション証明書(AACS On−line Cert)251は、例えば以下のデータ構成を持つ。
データ長:アプリケーション証明書の全体データのデータ長(4バイト)、
証明書バージョン:アプリケーション証明書のバージョン情報(4バイト)、
コンテンツオーナーID:ディスク記録アプリケーションを提供したコンテンツオーナーの識別子(4B)、
コンテンツオーナー公開鍵:ディスク記録アプリケーションを提供したコンテンツオーナーの公開鍵、
署名:認証局(BDA−CA)の秘密鍵を適用して生成されたアプリケーション証明書に対する署名、
これらのデータからなる。
【0063】
なお、署名は、アプリケーション証明書251の構成データ(データ長〜コンテンツオーナー公開鍵)に対して生成される署名であり、認証局(BDA−CA)の公開鍵を適用した署名検証により、アプリケーション証明書251が改竄されているか否かを確認することができる。
【0064】
一方、ルート証明書対応署名データ(AACS On−line Sig)252は、図に示すように
データ長:ルート証明書対応署名データの全体データのデータ長(4バイト)、
署名バージョン:ルート証明書対応署名データのバージョン情報(4バイト)、
署名:ディスク記録アプリケーションを提供したコンテンツオーナーの秘密鍵を適用して生成されたルート証明書224と、ルート証明書対応署名データ252の構成データ(データ長,署名バージョン)に対する署名、
【0065】
なお、署名は、ルート証明書224と、ルート証明書対応署名データ252の構成データ(データ長,署名バージョン)に対して生成される署名であり、コンテンツオーナーの公開鍵を適用した署名検証により、ルート証明書224と、ルート証明書対応署名データ252が改竄されているか否かを確認することができる。
【0066】
アプリケーション証明書251と、ルート証明書対応署名データ252の発行構成について図5を参照して説明する。
【0067】
図5には、
(a)本発明に従った追加構成、
(b)既存構成、
これら(a),(b)の構成を示している。
(b)既存構成は、従来の構成として説明した図1と、本発明の構成として説明した図2に示す構成のいずれにも共通に存在する構成である。すなわち、ディスクに記録されたディスク記録アプリケーション225と、ルート証明書224の構成である。
【0068】
ディスク記録アプリケーション225は、ディスク記録アプリケーション225を提供しているコンテンツオーナーの秘密鍵を適用した署名が設定されている。
【0069】
ルート証明書224は、図2を参照して説明したように、ディスク記録アプリケーション225を提供しているコンテンツオーナーの公開鍵に対して、コンテンツコンテンツオーナーの秘密鍵で署名を設定した構成を持つ。
この構成は、従来の構成として説明した図1と、本発明の構成として説明した図2に示す構成のいずれにも共通に存在する構成である。
【0070】
一方、図5の上段に示す(a)本発明に従った追加構成は、従来の構成として説明した図1には存在せず、本発明の構成として説明した図2に示す構成にのみ存在する追加構成である。
【0071】
まず、ルート証明書対応署名データ(AACS On−line Sig)252は、コンテンツオーナー210が生成する署名データであり、ルート証明書224を含むデータに対して、コンテンツオーナーの秘密鍵を適用して生成される署名データである。このルート証明書対応署名データ(AACS On−line Sig)252に設定された署名検証を実行することで、ルート証明書224とルート証明書対応署名データ252との改竄検証が可能となる。
【0072】
アプリケーション証明書(AACS On−line Cert)251は、認証局(BDA−CA)240が発行する証明書であり、コンテンツオーナーの公開鍵に対して、認証局(BDA−CA)240の秘密鍵による署名データが設定された構成である。この署名検証により、アプリケーション証明書251の改竄検証が可能であり、アプリケーション証明書251に格納されたコンテンツオーナー公開鍵は正当な鍵データであることが確認可能となる。
【0073】
改竄検証によってアプリケーション証明書251が改竄のない正当なデータであることが確認された場合に、アプリケーション証明書251に格納されたコンテンツオーナー公開鍵を取得して、取得したコンテンツオーナー公開鍵を適用して、ルート証明書対応署名データ(AACS On−line Sig)252に設定された署名の検証を行なう。この署名検証により、ルート証明書224とルート証明書対応署名データ252とが改竄のない正当なテータであることを確認する。
【0074】
さらに、コンテンツオーナー公開鍵により、ディスク記録アプリケーション225に設定された署名検証も行ない、ディスク記録アプリケーション225の改竄検証を行う。
【0075】
このようなシーケンスとすることで、図5に示すように、
[認証局240]、
[アプリケーション証明書(AACS On−line Cert)251]、
[ルート証明書対応署名データ(AACS On−line Sig)252]
[ディスク記録アプリケーション(BD−J application225]
これらの構成およびデータが、一連の関係を有することになる。
【0076】
コンテンツオーナーの提供するディスク記録アプリケーション225を実行しようとする再生装置は、上述のデータ、すなわち、
[アプリケーション証明書(AACS On−line Cert)251]、
[ルート証明書対応署名データ(AACS On−line Sig)252]
これらのデータに設定された署名検証を実行する。
【0077】
この署名検証によって、アプリケーション証明書251、ルート証明書対応署名データ252、ルート証明書224に改竄のないことが確認された場合には、ディスク記録アプリケーション225の実行を許容し、例えば、図3を参照して説明したシーケンスに従ったディスクに記録された識別情報222の取得を許容する。しかし、署名検証によって、アプリケーション証明書251、ルート証明書対応署名データ252、ルート証明書224に改竄のないことが確認されなかった場合には、ディスク記録アプリケーション225の実行を許可しない設定とする。
【0078】
あるいは、ディスク記録アプリケーション225の実行機能の一部を停止させるといった処理を行なう。具体的には、識別情報222の取得および識別情報222を利用した処理を不可とする制御や、ネット接続を不可とする制御や、コンテンツのコピーを不可とする制御などを行なう。なお、識別情報222の取得を許容しない設定とする場合には、先に図3を参照して説明したAPIの使用を禁止する処理によって実現される。
【0079】
図6に示すフローチャートを参照して再生装置のデータ処理部において実行する処理シーケンスについて説明する。
【0080】
まず、ステップS101においてアプリケーション証明書(AACS On−line Cert)をディスクから読み取り、アプリケーション証明書(AACS On−line Cert)に設定された署名の検証を行なう。ステップS102において、アプリケーション証明書の署名検証が成功したか否か、すなわち、署名検証によりアプリケーション証明書が改竄のない正当な証明書であることが確認されたか否かを判定する。
【0081】
先に図4等を参照して説明したようにアプリケーション証明書(AACS On−line Cert)は、認証局(BDA−CA)が発行する証明書であり、コンテンツオーナーの公開鍵に対して、認証局(BDA−CA)の秘密鍵による署名データが設定された構成である。この署名検証により、アプリケーション証明書の改竄の有無についての検証が可能であり、例えば、アプリケーション証明書に格納されたコンテンツオーナー公開鍵が正当な鍵データであるか否かを確認することが可能となる。
【0082】
ステップS102において、アプリケーション証明書の署名検証が失敗、すなわち、アプリケーション証明書が改竄のない正当な証明書であることが確認されなかったと判定した場合は、ステップS112に進む。ステップS112では、ディスクに記録されたディスク記録アプリケーションの使用の禁止または制限を行なう。具体的には、例えば、
(1)ディスク記録アプリケーションの利用可能なAPIを限定する。
(2)ネットワーク接続の禁止、
(3)ディスク記録コンテンツの再生禁止、
(4)ディスク記録コンテンツのコピー禁止、
(5)ディスク記録アプリケーションの利用禁止、
例えば上記(1)〜(5)のいずれかまたは組み合わせによるアプリケーションの利用制限処理を行なう。その後、ステップS113において、許容された範囲でのアプリケーションの利用処理を行なう。
【0083】
一方、ステップS102において、アプリケーション証明書の署名検証が成功、すなわち、アプリケーション証明書が改竄のない正当な証明書であることが確認された場合は、ステップS103に進む。
【0084】
ステップS103では、ルート証明書対応署名データ(AACS On−line Sig)をディスクから読み取り、ステップS104において、アプリケーション証明書に格納されたコンテンツオーナー公開鍵を適用して、ルート証明書対応署名データの署名検証を行う。この署名検証に適用する鍵は、ステップS102において正当性の確認されたアプリケーション証明書に格納されたコンテンツオーナー公開鍵である。
【0085】
先に図4等を参照して説明したようにルート証明書対応署名データは、コンテンツオーナーが生成する署名データであり、ディスクに記録されたルート証明書を含むデータに対して、コンテンツオーナーの秘密鍵を適用して生成される署名データである。このルート証明書対応署名データ(AACS On−line Sig)に設定された署名検証を実行することで、ルート証明書とルート証明書対応署名データとの改竄検証が可能となる。
【0086】
ステップS105において、ルート証明書対応署名データの署名検証が成功したか否か、すなわち、署名検証によりルート証明書とルート証明書対応署名データが改竄のない正当なデータであることが確認されたか否かを判定する。ステップS105において、ルート証明書とルート証明書対応署名データが改竄のない正当なデータであることが確認されなかった場合は、ステップS112に進む。ステップS112では、ディスクに記録されたディスク記録アプリケーションの使用の禁止または制限を行なう。具体的には、前述したように、例えば、
(1)ディスク記録アプリケーションの利用可能なAPIを限定する。
(2)ネットワーク接続の禁止、
(3)ディスク記録コンテンツの再生禁止、
(4)ディスク記録コンテンツのコピー禁止、
(5)ディスク記録アプリケーションの利用禁止、
例えば上記(1)〜(5)のいずれかまたは組み合わせによるアプリケーションの利用制限処理を行なう。その後、ステップS113において、許容された範囲でのアプリケーションの利用処理を行なう。
【0087】
一方、ステップS105において、ルート証明書とルート証明書対応署名データが改竄のない正当なデータであることが確認された場合は、ステップS106に進む。ステップS106では、サーバまたはディスクから証明書リボケーションリスト(CRL:Certificate Revocation List)を取得して取得した証明書リボケーションリスト(CRL)の署名検証処理を行なう。
【0088】
証明書リボケーションリスト(CRL)は、発行済みの証明書中、既に無効化された証明書についての情報を格納したリストである。例えばアプリケーション証明書などの公開鍵を格納した公開鍵証明書に格納された公開鍵が無効なものであることを示すリストであり、無効化された証明書の証明書識別子や証明書の発行先の識別情報などを登録したリストである。この証明書リボケーションリスト(CRL)は、逐次、更新され、最新のリストが証明書発行主体の管理サーバから取得可能であり、またディスクに記録されてユーザに提供される。なお、証明書リボケーションリスト(CRL)にはバージョン情報が設定され、新旧の判別が可能な構成となっている。
【0089】
証明書リボケーションリスト(CRL)には、証明書発行主体の秘密鍵による署名が設定されており、証明書発行主体の公開鍵による署名検証により改竄検証が可能なデータ構成となっている。ステップS106では、証明書リボケーションリスト(CRL)の署名検証を行なう。ステップS107において、証明書リボケーションリスト(CRL)の署名に失敗した場合は、不正なCRLである可能性があり、ステップS106に戻り、新たな証明書リボケーションリスト(CRL)をサーバから取得して、取得した証明書リボケーションリスト(CRL)について署名検証を行なう。
【0090】
ステップS107において、証明書リボケーションリスト(CRL)の署名に成功し、証明書リボケーションリスト(CRL)の正当性が確認された場合、ステップS108に進む。
【0091】
ステップS108では、再生装置のメモリに格納されている証明書リボケーションリスト(CRL)のバージョンと、サーバまたはディスクから取得した署名検証を実行した証明書リボケーションリスト(CRL)のバージョンを比較し、サーバまたはディスクから取得した署名検証を実行した証明書リボケーションリスト(CRL)が、再生装置に格納されている証明書リボケーションリスト(CRL)より新しいと判断された場合は、ステップS109において、サーバまたはディスクから取得し署名検証を実行した証明書リボケーションリスト(CRL)を再生装置のメモリに格納する。
【0092】
ステップS110では、アプリケーション証明書からコンテンツオーナーID読み取り、署名検証を実行した証明書リボケーションリスト(CRL)の記録データと照合する。
【0093】
ステップS111において、アプリケーション証明書に記録されたコンテンツオーナーIDがCRLリストに記録されていないと判断された場合は、ステップS113に進み、許容された範囲でのアプリケーションの利用処理を行なう。この場合、基本的に制限のないアプリケーション利用処理が可能となる。すなわち、先に図3を参照して説明した識別情報の取得および利用処理などが制限無く実行することが可能となる。
【0094】
一方、ステップS111において、アプリケーション証明書に記録されたコンテンツオーナーIDがCRLリストに記録されていると判断された場合は、ステップS112に進み、ディスクに記録されたディスク記録アプリケーションの使用の禁止または制限を行なう。具体的には、前述したように、例えば、
(1)ディスク記録アプリケーションの利用可能なAPIを限定する。
(2)ネットワーク接続の禁止、
(3)ディスク記録コンテンツの再生禁止、
(4)ディスク記録コンテンツのコピー禁止、
(5)ディスク記録アプリケーションの利用禁止、
例えば上記(1)〜(5)のいずれかまたは組み合わせによるアプリケーションの利用制限処理を行なう。その後、ステップS113において、許容された範囲でのアプリケーションの利用処理を行なう。
【0095】
なお、先に図2を参照して説明したように、ディスク記録アプリケーション225には、コンテンツオーナーの署名が設定されており、コンテンツオーナーの公開鍵を適用した署名検証を行なって署名検証に成功、すなわち、ディスク記録アプリケーション225が改竄のない正当なアプリケーションデータであることを確認し、この確認がなされたことを条件としてアプリケーション利用を行なう。
【0096】
このように、本発明の構成では、先に図5を参照して説明したように、
[認証局240]、
[アプリケーション証明書(AACS On−line Cert)251]、
[ルート証明書対応署名データ(AACS On−line Sig)252]
[ディスク記録アプリケーション(BD−J application225]
これらの構成およびデータを関連付け、コンテンツオーナーの提供するディスク記録アプリケーションを、第三者、すなわち認証局の管理下に設定することを可能とし、ディスク記録アプリケーションを利用しようとする再生装置に、図6に示すフローに従った処理を実行させて、ディスク記録アプリケーション225の厳格な正当性確認を可能とし、アプリケーション証明書(AACS On−line Cert)や、ルート証明書対応署名データ(AACS On−line Sig)の署名検証に失敗した場合は、ディスク記録アプリケーション225の実行機能の少なくとも一部を停止させるアプリケーション実行機能の制限処理を行なう構成とした。
【0097】
具体的には、メディアID(PMSN)などのディスクに記録された識別情報の取得や利用処理を不可とする制御や、ネット接続を不可とする制御、コンテンツのコピーを不可とする制御などを行なう。
【0098】
先に、図3を参照して説明したように、ディスク220に記録された識別情報222の読み取りなどの処理を行なうのは、ディスク記録アプリケーション自体ではなく、図3に示すAACSレイヤ(ID情報取得プログラム実行部)302である。先に説明したようにAACSレイヤはAACS規定に従ったシーケンスに従ってデータ処理を実行する。
【0099】
アプリケーションは、このAACSレイヤに対して様々な処理の依頼が可能であり、様々な処理に対応して設定されたAPIの呼び出しを実行する。AACSレイヤはAPI呼び出しに応じたデータ処理、例えば前述した識別情報の読み取り処理などを実行し、処理結果をアプリケーション実行部に提供する。
【0100】
図6を参照して説明したように、本発明の再生装置では、ディスクに記録されたデータであるアプリケーション証明書(AACS On−line Cert)や、ルート証明書対応署名データ(AACS On−line Sig)などの署名検証に失敗した場合、アプリケーションの処理を制限する構成としている。アプリケーションの処理を制御する構成例について図7を参照して説明する。図7には、ディスク220と、再生装置300を示している。
【0101】
再生装置300は、アプリケーション実行部301、AACSレイヤ302、さらに、データ検証部351、アプリケーション制御部352を有する。アプリケーション実行部301と、AACSレイヤ302は図3を参照して説明したアプリケーション実行部301と、AACSレイヤ302に対応する。
【0102】
データ検証部351は、図6に示すフローにおけるステップS101〜S110の処理を実行する。すなわち、ディスクに記録されたデータであるアプリケーション証明書(AACS On−line Cert)251や、ルート証明書対応署名データ(AACS On−line Sig)252などの署名検証、CRLの記録データの検証処理などを実行し、その検証結果をアプリケーション制御部352に通知する。
【0103】
アプリケーション制御部352は、データ検証部351におけるデータ検証の結果に応じて、アプリケーションの制御を行なう。すなわち、具体的には、前述したように、例えば、
(1)ディスク記録アプリケーションの利用可能なAPIを限定する。
(2)ネットワーク接続の禁止、
(3)ディスク記録コンテンツの再生禁止、
(4)ディスク記録コンテンツのコピー禁止、
(5)ディスク記録アプリケーションの利用禁止、
例えば上記(1)〜(5)のいずれかまたは組み合わせによるアプリケーションの利用制限処理を行なう。
【0104】
アプリケーション実行部301は、ディスク220に記録されたディスク記録アプリケーション(BD−J application)225を読み出して実行する。アプリケーションは、AACSレイヤ302に対して様々な処理を実行させる関数からなるAPIの呼び出しを行なう。しかし、このAPI処理に対して、アプリケーション制御部352は、データ検証部351におけるデータ検証の結果に応じて、制御を行い、API呼び出しをAACSレイヤ302に入力する処理を禁止する。
【0105】
このアプリケーション制御部352によるAPI制御により、アプリケーションの様々な処理の実行が禁止される。具体的には前述の(1)〜(5)のいずれかの処理または複数の処理が禁止される。なお、アプリケーションにおける禁止処理や許容処理は様々な設定が可能である。
【0106】
アプリケーション実行部301は、処理に応じたAPI呼び出しをAACSレイヤ302に対して実行する。具体的には、
メディアID(PMSN)226の読み出し処理をAACSレイヤに対して実行させるAPI、
ボリュームID227の読み出し処理をAACSレイヤに対して実行させるAPI、
コンテンツ証明書ID228の読み出し処理をAACSレイヤに対して実行させるAPI、
さらに、
ディスク記録コンテンツの再生、コピー、外部出力処理のための許容情報の提供をAACSレイヤに対して実行させるAPI、
ネット接続や、ディスク記録コンテンツと再生装置の記憶部(ハードデイスクやフラッシュメモリなど)に格納されたコンテンツとのバインド処理による再生などの様々な処理、あるいは処理許可情報の出力をAACSレイヤに対して実行させるAPI、
このような各種の処理に応じて設定されるAPIを利用した処理以来をAACSレイヤ302に対して実行するが、アプリケーション制御部352によるAPI制御により、アプリケーションの様々な処理の実行を選択的に禁止することが可能となる。
【0107】
なお、前述したように、ディスクに記録された識別子ではなく、再生装置のメモリに記録された再生装置対応の識別情報であるデバイスバインディングIDが利用される場合もあり、この場合もディスクに記録された識別子の利用と同様の処理態様として実行可能である。デバイスバインディングIDは、再生装置固有の識別情報として再生装置内のメモリに記録され、ディスク格納コンテンツの利用、後発データのサーバからの取得、再生装置のハードディスクなどの記憶部に格納された後発データの利用などに際して、例えば再生装置の確認処理としてのID確認や、鍵生成、コンテンツ復号などの処理に利用される。
【0108】
このように、本発明の構成によれば、
ディスクに記録されるアプリケーションを提供するコンテンツオーナーの公開鍵を格納し、認証局の署名を設定したアプリケーション証明書(AACS On−line Cert)と、
ルート証明書を含むデータに対してコンテンツオーナーの署名を設定したルート証明書対応署名データ(AACS On−line Sig)、
これらのデータをディスクに記録する構成とし、
アプリケーションを実行しようとする再生装置に、図6に示すフローに従ってアプリケーション証明書(AACS On−line Cert)の署名検証を行い、アプリケーション証明書(AACS On−line Cert)の正当性を確認させ、正当性の確認されたアプリケーション証明書からコンテンツオーナー公開鍵を取得して、取得したコンテンツオーナー公開鍵を適用して、ルート証明書対応署名データ(AACS On−line Sig)の署名検証を行い、ルート証明書の正当性確認を行なわせる構成とし、これらの署名検証に失敗した場合は、アプリケーションの利用の禁止または制限を行なう構成とした。
【0109】
この構成によりコンテンツオーナーの提供するアプリケーションが、第三者機関としての認証局の管理下に置かれることになり、不正なアプリケーションの蔓延、不正アプリケーションの使用による識別情報の不正取得や利用、あるいはコンテンツの不正利用を防止することが可能となる。
【0110】
以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。
【0111】
また、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。例えば、プログラムは記録媒体に予め記録しておくことができる。記録媒体からコンピュータにインストールする他、LAN(Local Area Network)、インターネットといったネットワークを介してプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。
【0112】
なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
【産業上の利用可能性】
【0113】
以上、説明したように、本発明の一実施例の構成によれば、ディスクに記録されるアプリケーションを提供するコンテンツオーナーの公開鍵を格納し、認証局の署名を設定したアプリケーション証明書と、ルート証明書を含むデータに対してコンテンツオーナーの署名を設定したルート証明書対応署名データをディスクに記録する構成とし、アプリケーションを実行しようとする再生装置に、アプリケーション証明書と、ルート証明書対応署名データの署名検証を行わせる構成として、これらの署名検証に失敗した場合は、アプリケーションの利用の禁止または制限を行なう構成とした。本構成により、コンテンツオーナーの提供するアプリケーションが、第三者機関としての認証局の管理下に置かれることになり、不正なアプリケーションの蔓延、不正アプリケーションの使用による識別情報の不正取得や利用、あるいはコンテンツの不正利用の防止が実現される。
【図面の簡単な説明】
【0114】
【図1】現状のAACS規定におけるコンテンツ利用制御構成の概要について説明する図である。
【図2】本発明の一実施例に係るアプリケーション利用制御を実現するための構成について説明する図である。
【図3】ディスクに記録された識別情報(ID)の読み取り処理例について説明する図である。
【図4】アプリケーション証明書(AACS On−line Cert)と、ルート証明書対応署名データ(AACS On−line Sig)各々のデータ構成例について説明する図である。
【図5】アプリケーション証明書と、ルート証明書対応署名データの発行構成について説明する図である。
【図6】再生装置のデータ処理部において実行する処理シーケンスについて説明するフローチャートを示す図である。
【図7】アプリケーションの処理を制御する構成例について説明する図である。
【符号の説明】
【0115】
110 コンテンツオーナー
120 ディスク
121 コンテンツ
122 識別情報(ID)
123 コンテンツ証明書
124 ルート証明書
125 ディスク記録アプリケーション
126 メディアID(PMSN)
127 ボリュームID
128 コンテンツ証明書ID
130 ライセンス管理部
210 コンテンツオーナー
220 ディスク
221 コンテンツ
222 識別情報(ID)
223 コンテンツ証明書(Content Cert)
224 ルート証明書(BD−J Root Cert)
225 ディスク記録アプリケーション(BD−J application)
226 メディアID(PMSN)
227 ボリュームID
228 コンテンツ証明書ID
230 ライセンス管理部
240 認証局(BDA−CA)
251 アプリケーション証明書(AACS On−line Cert)
252 ルート証明書対応署名データ(AACS On−line Sig)
300 再生装置
301 アプリケーション実行部(BD−J VM)
302 AACSレイヤ
351 データ検証部
352 アプリケーション制御部
【技術分野】
【0001】
本発明は、情報処理装置、ディスク、および情報処理方法、並びにプログラムに関する。さらに、詳細には情報記録媒体に記録されたコンテンツや識別情報(ID)の読み取り制御や利用制御を行う情報処理装置、ディスク、および情報処理方法、並びにプログラムに関する。
【背景技術】
【0002】
コンテンツの記録媒体としてDVD(Digital Versatile Disc)、Blu−ray Disc(登録商標)などのディスクが利用されている。例えば映画コンテンツなどがディスク(例えばROMディスク)に記録されてユーザに提供されるが、これらのディスク記録コンテンツは、多くの場合、その作成者あるいは販売者に著作権、頒布権等が保有されたコンテンツである。このようなコンテンツについては例えば許可のないコピー(複製)等を防止するための利用制御がなされる。
【0003】
利用制御の形態としては様々な形態があるが、例えば、著作権保護技術を規定しているAACS(Advanced Access Content System)の規定では、ディスク記録コンテンツの利用に際して、メディアIDなどのID情報をディスクから読み取らせて、読み取りIDの確認やID情報を利用した鍵生成など実行させてコンテンツ利用制御を行なう構成としている。
【0004】
例えば、ディスクには、以下のような識別情報(ID)が記録されている。
(a)ディスク固有の識別情報であるメディアID(PMSN(Pre−recorded Media Serial Numberと呼ばれる場合もある)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
例えばこれらの識別情報(ID)がディスクに記録されている。
【0005】
再生装置は、ディスクから例えば上記(a)〜(c)の少なくともいずれかの識別情報(ID)を読み取り、所定のシーケンスに従った処理、例えばIDを利用した鍵生成やコンテンツ復号などによりコンテンツ利用を行なう。さらに、上記の各種識別情報(ID)をサーバに送信し、サーバにおけるID確認に基づいて、サーバから様々な付加コンテンツやサービスデータなどを受領することが行なわれる場合もある。
【0006】
なお、ディスクに記録された上記(a)〜(c)ではなく、
(d)再生装置対応の識別情報であるデバイスバインディングID、
が利用される場合もある。デバイスバインディングIDは、再生装置固有の識別情報として再生装置内のメモリに記録され、ディスク格納コンテンツの利用、後発データのサーバからの取得、再生装置のハードディスクなどの記憶部に格納された後発データの利用などに際して、例えば再生装置の確認処理としてのID確認や、鍵生成、コンテンツ復号などの処理に利用される。
【0007】
上記(a)〜(d)の識別情報(ID)を読み取ってコンテンツの再生やコピー処理、あるいはサーバからのデータ取得処理などを行なうためには、所定のプログラムを再生装置において実行することが必要である。プログラムはディスク格納コンテンツに対応して作成されるプログラムである場合が多く、コンテンツとともにディスクに記録され、再生装置は、プログラムをディスクから読み取って実行する。
【0008】
このようなプログラムは、例えばJava(登録商標)を利用した簡易プログラムとして作成され、例えばコンテンツ所有者や提供者(コンテンツオーナー)において、あるいはその委託によって作成されることが多い、従って、不正なプログラムが混在する可能性もある。
【0009】
不正なプログラムは、ディスクに記録された識別情報(ID)を不正に取得してコンテンツを不正に利用し、またサーバからのサービスデータの不正取得を行うといった不正な処理に利用される可能性がある。
【0010】
図1を参照して現状のAACS規定におけるコンテンツ利用制御構成の概要について説明する。図1には、コンテンツ121を格納したディスク(メディア)120、ディスク記録コンテンツを提供するコンテンツオーナー110、コンテンツ管理処理を行なうライセンス管理部130を示している。ライセンス管理部130は例えばAACS規定に従ったコンテンツ利用管理を行なうAACS LA(Licensing Administrator)によって運営される。
【0011】
ディスク120には、コンテンツ121の他、前述した識別情報(ID)122が記録されている。識別情報(ID)122としては、
(a)ディスク固有の識別情報であるメディアID(PMSN)126、
(b)ディスクのタイトル単位で設定されるボリュームID127、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID128、
これらのID情報が含まれる。
【0012】
ディスク120には、コンテンツ121が正当なコンテンツ、すなわちライセンス管理部(AACS LA)130によって認定された正当コンテンツであることを証明するためのコンテンツ証明書123が記録される。コンテンツ証明書123はディスク120に記録されるコンテンツ121に対応してその正当性を証明するデータとしてライセンス管理部130の管理下で発行されディスク120に記録される。
【0013】
コンテンツ証明書123は、ライセンス管理部130内にその詳細を示すように、ルート証明書ハッシュ値を記録し、これらの記録ハッシュ値に対して、ライセンス管理部(AACS LA)130の秘密鍵による電子署名が付与された構成を持つ。ルート証明書124はディスク120に記録され、その構成は、図のコンテンツオーナー110内に示すように、コンテンツオーナーの公開鍵に対して、コンテンツオーナーの秘密鍵で署名を設定した構成を持つ。
【0014】
このディスクに記録されたコンテンツ121を再生する再生装置は、コンテンツ証明書に設定された署名検証を実行して、コンテンツ証明書の正当性が確認されたことを条件としてコンテンツ121の利用が許容される。このように、コンテンツに関しては、厳格に正当性の確認が実行されることになる。
【0015】
しかし、さらに、ディスク120にはディスク記録アプリケーション125が記録される場合がある。このディスク記録アプリケーション125は、例えばコンテンツ121の再生処理、その他の処理に利用されるプログラムである。具体的には、コンテンツ利用ユーザに対して、サービスデータをサーバから提供するためのアプリケーションなどである。ディスク120に記録された識別情報(ID)122をサーバに送信することで、サーバからサービスデータを取得するために実行するプログラムなどである。
【0016】
このディスク記録アプリケーション125は、図のコンテンツオーナー110内に示すように、コンテンツオーナーが提供するアプリケーションに対して、コンテンツオーナーの秘密鍵で署名を設定した構成を持つ。
【0017】
ディスク120に記録されたディスク記録アプリケーション125を利用する再生装置は、コンテンツオーナーの公開鍵を適用して、ディスク記録アプリケーション125に設定された署名検証を行なうことで、アプリケーションの正当性を確認してアプリケーションを実行することになる。
【0018】
しかし、このディスク記録アプリケーション125は、コンテンツオーナー110が独自に作成可能であり、第三者による監視がなされていない。前述したように、コンテンツについてはコンテンツに対応してライセンス管理部130が発行するコンテンツ証明書123によって、その正当性を確認できるが、ディスク記録アプリケーション125はこのように第三者による正当性の確認ができないデータであり、コンテンツオーナー110が不正なアプリケーションを作成してしまう可能性が否定できない。
【0019】
前述したように不正なアプリケーションを利用することで、ディスク120に記録された識別情報(ID)122を不正に取得してコンテンツ121を不正に利用し、またサーバからのサービスデータの不正取得を行うといった不正な処理に利用される可能性がある。
【発明の開示】
【発明が解決しようとする課題】
【0020】
本発明は、例えば上記の問題点に鑑みてなされたものであり、ディスクに記録されたコンテンツや識別情報の不正な読み取りや、利用を防止する情報処理装置、ディスク、および情報処理方法、並びにプログラムを提供することを目的とする。
【課題を解決するための手段】
【0021】
本発明の第1の側面は、
ディスクに記録されたアプリケーションプログラムの利用制御を行なう情報処理装置であり、
前記アプリケーションプログラムを利用した処理を実行するアプリケーション実行部と、
前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行し、
さらに、前記ディスクに記録されたコンテンツに対応する証明書としてディスクに記録されたコンテンツ証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行するデータ検証部と、
前記データ検証部における第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーション実行部におけるアプリケーションプログラムの利用処理を禁止または制限するアプリケーション制御部と、
を有することを特徴とする情報処理装置にある。
【0022】
さらに、本発明の情報処理装置の一実施態様において、前記アプリケーション制御部は、前記アプリケーション実行部が、ディスクに記録された識別情報を取得する処理を禁止する処理を実行することを特徴とする。
【0023】
さらに、本発明の情報処理装置の一実施態様において、前記識別情報は、
(a)ディスク固有の識別情報であるメディアID(PMSN)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
上記(a)〜(c)いずれかの識別情報であることを特徴とする。
【0024】
さらに、本発明の情報処理装置の一実施態様において、前記アプリケーション制御部は、前記アプリケーション実行部が、ディスクに記録されたコンテンツの再生またはコピーまたは外部出力する処理を禁止または制限する処理を実行することを特徴とする。
【0025】
さらに、本発明の情報処理装置の一実施態様において、前記アプリケーション制御部は、前記アプリケーション実行部が、ネットワークを介して外部サーバに接続する処理を禁止または制限する処理を実行することを特徴とする。
【0026】
さらに、本発明の情報処理装置の一実施態様において、前記アプリケーション制御部は、前記アプリケーション実行部が、ディスク記録データの読み取りまたは利用処理を行なうプログラム実行部に対するAPI呼び出し処理を禁止または制限する処理を実行することを特徴とする。
【0027】
さらに、本発明の情報処理装置の一実施態様において、前記データ検証部は、前記アプリケーション証明書の無効化情報を記録した証明書リボケーションリストを参照して、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれるか否かを検証する処理を実行し、前記アプリケーション制御部は、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれる場合、前記アプリケーション実行部におけるアプリケーションプログラム利用処理を禁止または制限する処理を実行することを特徴とする。
【0028】
さらに、本発明の第2の側面は、
コンテンツと、
前記コンテンツに対応する証明データであるコンテンツ証明書と、
アプリケーションプログラムと、
前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書と、
コンテンツ証明書を含むデータに対する署名を有するルート証明書対応データを記録し、
前記アプリケーションプログラムを実行しようとする再生装置に、前記アプリケーションプログラムおよび前記ルート証明書対応データの署名検証を実行させて、検証結果に応じて前記アプリケーションプログラムの利用制御を行なわせることを可能としたディスクにある。
【0029】
さらに、本発明の第3の側面は、
情報処理装置において、ディスクに記録されたアプリケーションプログラムの利用制御を行なう情報処理方法であり、
データ検証部が、前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行し、
さらに、前記ディスクに記録されたコンテンツに対応する証明書としてディスクに記録されたコンテンツ証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行するデータ検証ステップと、
アプリケーション制御部が、前記データ検証ステップにおける第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーションプログラムの利用処理を禁止または制限するアプリケーション制御ステップと、
を有することを特徴とする情報処理方法にある。
【0030】
さらに、本発明の情報処理方法の一実施態様において、前記アプリケーション制御ステップは、アプリケーション実行部が、ディスクに記録された識別情報を取得する処理を禁止する処理を実行するステップであることを特徴とする。
【0031】
さらに、本発明の情報処理方法の一実施態様において、前記識別情報は、
(a)ディスク固有の識別情報であるメディアID(PMSN)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
上記(a)〜(c)いずれかの識別情報であることを特徴とする。
【0032】
さらに、本発明の情報処理方法の一実施態様において、前記アプリケーション制御ステップは、アプリケーション実行部が、ディスクに記録されたコンテンツの再生またはコピーまたは外部出力する処理を禁止または制限する処理を実行するステップであることを特徴とする。
【0033】
さらに、本発明の情報処理方法の一実施態様において、前記アプリケーション制御ステップは、前記アプリケーション実行部が、ネットワークを介して外部サーバに接続する処理を禁止または制限する処理を実行するステップであることを特徴とする。
【0034】
さらに、本発明の情報処理方法の一実施態様において、前記アプリケーション制御ステップは、アプリケーション実行部が、ディスク記録データの読み取りまたは利用処理を行なうプログラム実行部に対するAPI呼び出し処理を禁止または制限する処理を実行するステップであることを特徴とする。
【0035】
さらに、本発明の情報処理方法の一実施態様において、前記データ検証ステップは、前記アプリケーション証明書の無効化情報を記録した証明書リボケーションリストを参照して、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれるか否かを検証する処理を実行するステップを含み、前記アプリケーション制御ステップは、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれる場合、アプリケーション実行部におけるアプリケーションプログラム利用処理を禁止または制限する処理を実行することを特徴とする。
【0036】
さらに、本発明の第4の側面は、
情報処理装置において、ディスクに記録されたアプリケーションプログラムの利用制御を行なわせるプログラムであり、
データ検証部に、前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行させ、
さらに、前記ディスクに記録されたコンテンツに対応する証明書としてディスクに記録されたコンテンツ証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行させるデータ検証ステップと、
アプリケーション制御部に、前記データ検証ステップにおける第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーションプログラムの利用処理を禁止または制限させるアプリケーション制御ステップと、
を有することを特徴とするプログラムにある。
【0037】
なお、本発明のプログラムは、例えば、様々なプログラム・コードを実行可能な汎用システムに対して、コンピュータ可読な形式で提供する記憶媒体、通信媒体によって提供可能なプログラムである。このようなプログラムをコンピュータ可読な形式で提供することにより、コンピュータ・システム上でプログラムに応じた処理が実現される。
【0038】
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
【発明の効果】
【0039】
本発明の一実施例によれば、ディスクに記録されるアプリケーションを提供するコンテンツオーナーの公開鍵を格納し、認証局の署名を設定したアプリケーション証明書と、ルート証明書を含むデータに対してコンテンツオーナーの署名を設定したルート証明書対応署名データをディスクに記録する構成とし、アプリケーションを実行しようとする再生装置に、アプリケーション証明書と、ルート証明書対応署名データの署名検証を行わせる構成として、これらの署名検証に失敗した場合は、アプリケーションの利用の禁止または制限を行なう構成とした。本構成により、コンテンツオーナーの提供するアプリケーションが、第三者機関としての認証局の管理下に置かれることになり、不正なアプリケーションの蔓延、不正アプリケーションの使用による識別情報の不正取得や利用、あるいはコンテンツの不正利用の防止が実現される。
【発明を実施するための最良の形態】
【0040】
以下、図面を参照しながら本発明の情報処理装置、ディスク、および情報処理方法、並びにプログラムの詳細について説明する。
【0041】
図2を参照して、本発明の構成の概要について説明する。図2には、先に図1を参照して説明したと同様、コンテンツ221を格納したディスク(メディア)220、ディスク記録コンテンツを提供するコンテンツオーナー210、コンテンツ管理処理を行なうライセンス管理部230を示し、さらに、新たに、認証局(BDA−CA)240を示している。ライセンス管理部230は例えばAACS規定に従ったコンテンツ利用管理を行なうAACS LA(Licensing Administrator)によって運営される。
【0042】
なお、本実施例ではディスク220として、BD(Blu−ray Disc(登録商標))、具体的にはROM型のBDであるBD−ROMディスクについて説明する。なお、実施例ではBD−ROMを適用した例を説明するが、BD−ROMの適用例は一例であり、その他の種類のメディアであっても本発明の適用は可能である。
【0043】
ディスク220には、コンテンツ221の他、先に図1を参照して説明したと同様、識別情報(ID)222が記録されている。識別情報(ID)222としては、
(a)ディスク固有の識別情報であるメディアID(PMSN)226、
(b)ディスクのタイトル単位で設定されるボリュームID227、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID228、
これらのID情報が含まれる。
【0044】
再生装置は、ディスクから例えば上記(a)〜(c)の少なくともいずれかの識別情報(ID)を読み取り、所定のシーケンスに従った処理、例えばIDを利用した鍵生成やコンテンツ復号などによりコンテンツ利用を行なう。さらに、上記の各種識別情報(ID)をサーバに送信し、サーバにおけるID確認に基づいて、サーバから様々な付加コンテンツやサービスデータなどを受領することが行なわれる場合もある。
【0045】
なお、ディスクに記録された上記(a)〜(c)ではなく、
(d)再生装置対応の識別情報であるデバイスバインディングID、
が利用される場合もある。デバイスバインディングIDは、再生装置固有の識別情報として再生装置内のメモリに記録され、ディスク格納コンテンツの利用、後発データのサーバからの取得、再生装置のハードディスクなどの記憶部に格納された後発データの利用などに際して、例えば再生装置の確認処理としてのID確認や、鍵生成、コンテンツ復号などの処理に利用される。
【0046】
ディスク220には、コンテンツ221が正当なコンテンツ、すなわちライセンス管理部(AACS LA)230によって管理された正当コンテンツであることを証明するためのコンテンツ証明書(Content Cert)223が記録される。コンテンツ証明書223はディスク220に記録されるコンテンツ221に対応してその正当性を証明するデータとしてライセンス管理部230の管理下で発行されディスク220に記録される。
【0047】
コンテンツ証明書223は、図2に示すライセンス管理部230内にその詳細を示すように、ルート証明書の構成データによって生成されたハッシュ値であるルート証明書ハッシュを記録し、これらの記録ハッシュ値に対して、ライセンス管理部(AACS LA)230の秘密鍵による電子署名が付与された構成を持つ。
【0048】
また、ディスク220に記録されるルート証明書(BD−J Root Cert)224は、図2に示すコンテンツオーナー210内にその詳細を示すように、コンテンツオーナーの公開鍵と、コンテンツオーナーの公開鍵に対してコンテンツオーナーの秘密鍵で生成した署名を含むデータ構成を持ち、ディスク220に記録されるディスク記録アプリケーション225に対応する証明書としてディスク220に記録される。
【0049】
ディスク220に記録されたコンテンツ221を再生する再生装置は、コンテンツ証明書223に設定された署名の検証を実行して、コンテンツ証明書223の正当性を確認し、この正当性確認を条件としたコンテンツ221の利用を行う。このように、コンテンツに関しては、厳格に正当性の確認が実行されることになる。
【0050】
さらに、ディスク220にはディスク記録アプリケーション(BD−J application)225が記録される。このディスク記録アプリケーション225は、例えばコンテンツ221の再生処理やコピー処理、その他の処理、例えば、サービスデータを外部のサーバから受領するためのアプリケーションなどである。ディスク記録アプリケーション225は、図2に示すコンテンツオーナー210内に詳細を示すように、コンテンツオーナーが提供するアプリケーションに対して、コンテンツオーナーの秘密鍵で署名を設定した構成を持つ。
【0051】
このディスク記録アプリケーション225は、ディスク220に記録された識別情報222の読み取りを直接実行することができないので、別のプログラムに識別情報(ID)222の読み取りを依頼して、別のプログラムによってディスクから読み取られたた識別情報(ID)222を受領する。
【0052】
図3を参照して、ディスク220に記録された識別情報(ID)222の読み取り処理例について説明する。ディスク記録アプリケーション225は、再生装置300のアプリケーション実行部301において実行される。ディスク記録アプリケーション225は例えばJava(登録商標)プログラムであり、この場合、アプリケーション実行部301は、例えば、Java(登録商標)プログラムを実行するバーチャルマシン(BD−J Virtual Machineと呼ばれる)によって構成される。
【0053】
アプリケーション実行部301において実行するアプリケーションは、ディスク220に記録された識別情報222の読み取りを直接実行することはできないので、識別情報222の読み取りを実行するプログラムにID読み取りを依頼する。図3に示すAACSレイヤ(ID情報取得プログラム実行部)302がディスク220に記録された識別情報222の読み取りを直接実行する。AACSレイヤ302は、AACS規定に従ったシーケンスに従ってデータ処理を実行するデータ処理部である。
【0054】
アプリケーション実行部301の実行するアプリケーションは、AACSレイヤ(ID情報取得プログラム実行部)302に対してAPI(Application Programming Interface)呼び出しを実行する。このAPIは、ディスク220に記録された識別情報222の読み取りを行なわせる関数からなるAPIである。
【0055】
AACSレイヤ(ID情報取得プログラム実行部)302は、アプリケーション実行部301からのAPI呼び出しに応じて、ディスク220に記録された識別情報222の読み取りを実行し、読み取った識別情報222をアプリケーション実行部301に提供することになる。その後、アプリケーション実行部301において実行されているアプリケーションは、取得した識別情報を利用してコンテンツの利用やサービスデータの取得、例えば取得識別情報(ID)をサーバに送信し、コンテンツのコピー許可情報や、その他のサービス情報などを受領するといった処理を行なう。
【0056】
なお、本実施例では、ディスクに記録された識別情報222を利用する例について説明するが、前述したように、
再生装置対応の識別情報であるデバイスバインディングID、
が利用される場合もある。デバイスバインディングIDは、再生装置固有の識別情報として再生装置内のメモリに記録され、ディスク格納コンテンツの利用、後発データのサーバからの取得、再生装置のハードディスクなどの記憶部に格納された後発データの利用などに際して、例えば再生装置の確認処理としてのID確認や、鍵生成、コンテンツ復号などの処理に利用される。以下では、ディスクに記録された識別情報222を利用する例について説明するが、再生装置対応の識別情報であるデバイスバインディングIDを再生装置のメモリから読み取って利用する場合も、以下に説明する識別情報222の読み取り処理と同様の処理として実行される。
【0057】
識別情報の読み取りや利用処理において問題となるのは、前述したように、アプリケーション実行部301において実行するアプリケーション、すなわちディスク記録アプリケーション225が不正なプログラムである可能性があることである。例えば識別情報222を不正に取得しようとして生成された不正プログラムである可能性もあることである。
【0058】
そこで、本発明の構成では、このような不正処理を防止するため、ディスク220に、さらにアプリケーション証明書(AACS On−line Cert)251と、ルート証明書対応署名データ(AACS On−line Sig)252を記録している。
【0059】
アプリケーション証明書(AACS On−line Cert)251は、認証局(BDA−CA)240が発行する証明書であり、コンテンツオーナーの公開鍵に対して、認証局(BDA−CA)240の秘密鍵による署名データが設定された構成である。
【0060】
ルート証明書対応署名データ(AACS On−line Sig)252は、コンテンツオーナー210が生成す署名データであり、ルート証明書224を含むデータに対して、コンテンツオーナーの秘密鍵を適用して生成される署名データである。
【0061】
図4を参照して、アプリケーション証明書(AACS On−line Cert)251と、ルート証明書対応署名データ(AACS On−line Sig)252の各々のデータ構成例について説明する。
【0062】
アプリケーション証明書(AACS On−line Cert)251は、例えば以下のデータ構成を持つ。
データ長:アプリケーション証明書の全体データのデータ長(4バイト)、
証明書バージョン:アプリケーション証明書のバージョン情報(4バイト)、
コンテンツオーナーID:ディスク記録アプリケーションを提供したコンテンツオーナーの識別子(4B)、
コンテンツオーナー公開鍵:ディスク記録アプリケーションを提供したコンテンツオーナーの公開鍵、
署名:認証局(BDA−CA)の秘密鍵を適用して生成されたアプリケーション証明書に対する署名、
これらのデータからなる。
【0063】
なお、署名は、アプリケーション証明書251の構成データ(データ長〜コンテンツオーナー公開鍵)に対して生成される署名であり、認証局(BDA−CA)の公開鍵を適用した署名検証により、アプリケーション証明書251が改竄されているか否かを確認することができる。
【0064】
一方、ルート証明書対応署名データ(AACS On−line Sig)252は、図に示すように
データ長:ルート証明書対応署名データの全体データのデータ長(4バイト)、
署名バージョン:ルート証明書対応署名データのバージョン情報(4バイト)、
署名:ディスク記録アプリケーションを提供したコンテンツオーナーの秘密鍵を適用して生成されたルート証明書224と、ルート証明書対応署名データ252の構成データ(データ長,署名バージョン)に対する署名、
【0065】
なお、署名は、ルート証明書224と、ルート証明書対応署名データ252の構成データ(データ長,署名バージョン)に対して生成される署名であり、コンテンツオーナーの公開鍵を適用した署名検証により、ルート証明書224と、ルート証明書対応署名データ252が改竄されているか否かを確認することができる。
【0066】
アプリケーション証明書251と、ルート証明書対応署名データ252の発行構成について図5を参照して説明する。
【0067】
図5には、
(a)本発明に従った追加構成、
(b)既存構成、
これら(a),(b)の構成を示している。
(b)既存構成は、従来の構成として説明した図1と、本発明の構成として説明した図2に示す構成のいずれにも共通に存在する構成である。すなわち、ディスクに記録されたディスク記録アプリケーション225と、ルート証明書224の構成である。
【0068】
ディスク記録アプリケーション225は、ディスク記録アプリケーション225を提供しているコンテンツオーナーの秘密鍵を適用した署名が設定されている。
【0069】
ルート証明書224は、図2を参照して説明したように、ディスク記録アプリケーション225を提供しているコンテンツオーナーの公開鍵に対して、コンテンツコンテンツオーナーの秘密鍵で署名を設定した構成を持つ。
この構成は、従来の構成として説明した図1と、本発明の構成として説明した図2に示す構成のいずれにも共通に存在する構成である。
【0070】
一方、図5の上段に示す(a)本発明に従った追加構成は、従来の構成として説明した図1には存在せず、本発明の構成として説明した図2に示す構成にのみ存在する追加構成である。
【0071】
まず、ルート証明書対応署名データ(AACS On−line Sig)252は、コンテンツオーナー210が生成する署名データであり、ルート証明書224を含むデータに対して、コンテンツオーナーの秘密鍵を適用して生成される署名データである。このルート証明書対応署名データ(AACS On−line Sig)252に設定された署名検証を実行することで、ルート証明書224とルート証明書対応署名データ252との改竄検証が可能となる。
【0072】
アプリケーション証明書(AACS On−line Cert)251は、認証局(BDA−CA)240が発行する証明書であり、コンテンツオーナーの公開鍵に対して、認証局(BDA−CA)240の秘密鍵による署名データが設定された構成である。この署名検証により、アプリケーション証明書251の改竄検証が可能であり、アプリケーション証明書251に格納されたコンテンツオーナー公開鍵は正当な鍵データであることが確認可能となる。
【0073】
改竄検証によってアプリケーション証明書251が改竄のない正当なデータであることが確認された場合に、アプリケーション証明書251に格納されたコンテンツオーナー公開鍵を取得して、取得したコンテンツオーナー公開鍵を適用して、ルート証明書対応署名データ(AACS On−line Sig)252に設定された署名の検証を行なう。この署名検証により、ルート証明書224とルート証明書対応署名データ252とが改竄のない正当なテータであることを確認する。
【0074】
さらに、コンテンツオーナー公開鍵により、ディスク記録アプリケーション225に設定された署名検証も行ない、ディスク記録アプリケーション225の改竄検証を行う。
【0075】
このようなシーケンスとすることで、図5に示すように、
[認証局240]、
[アプリケーション証明書(AACS On−line Cert)251]、
[ルート証明書対応署名データ(AACS On−line Sig)252]
[ディスク記録アプリケーション(BD−J application225]
これらの構成およびデータが、一連の関係を有することになる。
【0076】
コンテンツオーナーの提供するディスク記録アプリケーション225を実行しようとする再生装置は、上述のデータ、すなわち、
[アプリケーション証明書(AACS On−line Cert)251]、
[ルート証明書対応署名データ(AACS On−line Sig)252]
これらのデータに設定された署名検証を実行する。
【0077】
この署名検証によって、アプリケーション証明書251、ルート証明書対応署名データ252、ルート証明書224に改竄のないことが確認された場合には、ディスク記録アプリケーション225の実行を許容し、例えば、図3を参照して説明したシーケンスに従ったディスクに記録された識別情報222の取得を許容する。しかし、署名検証によって、アプリケーション証明書251、ルート証明書対応署名データ252、ルート証明書224に改竄のないことが確認されなかった場合には、ディスク記録アプリケーション225の実行を許可しない設定とする。
【0078】
あるいは、ディスク記録アプリケーション225の実行機能の一部を停止させるといった処理を行なう。具体的には、識別情報222の取得および識別情報222を利用した処理を不可とする制御や、ネット接続を不可とする制御や、コンテンツのコピーを不可とする制御などを行なう。なお、識別情報222の取得を許容しない設定とする場合には、先に図3を参照して説明したAPIの使用を禁止する処理によって実現される。
【0079】
図6に示すフローチャートを参照して再生装置のデータ処理部において実行する処理シーケンスについて説明する。
【0080】
まず、ステップS101においてアプリケーション証明書(AACS On−line Cert)をディスクから読み取り、アプリケーション証明書(AACS On−line Cert)に設定された署名の検証を行なう。ステップS102において、アプリケーション証明書の署名検証が成功したか否か、すなわち、署名検証によりアプリケーション証明書が改竄のない正当な証明書であることが確認されたか否かを判定する。
【0081】
先に図4等を参照して説明したようにアプリケーション証明書(AACS On−line Cert)は、認証局(BDA−CA)が発行する証明書であり、コンテンツオーナーの公開鍵に対して、認証局(BDA−CA)の秘密鍵による署名データが設定された構成である。この署名検証により、アプリケーション証明書の改竄の有無についての検証が可能であり、例えば、アプリケーション証明書に格納されたコンテンツオーナー公開鍵が正当な鍵データであるか否かを確認することが可能となる。
【0082】
ステップS102において、アプリケーション証明書の署名検証が失敗、すなわち、アプリケーション証明書が改竄のない正当な証明書であることが確認されなかったと判定した場合は、ステップS112に進む。ステップS112では、ディスクに記録されたディスク記録アプリケーションの使用の禁止または制限を行なう。具体的には、例えば、
(1)ディスク記録アプリケーションの利用可能なAPIを限定する。
(2)ネットワーク接続の禁止、
(3)ディスク記録コンテンツの再生禁止、
(4)ディスク記録コンテンツのコピー禁止、
(5)ディスク記録アプリケーションの利用禁止、
例えば上記(1)〜(5)のいずれかまたは組み合わせによるアプリケーションの利用制限処理を行なう。その後、ステップS113において、許容された範囲でのアプリケーションの利用処理を行なう。
【0083】
一方、ステップS102において、アプリケーション証明書の署名検証が成功、すなわち、アプリケーション証明書が改竄のない正当な証明書であることが確認された場合は、ステップS103に進む。
【0084】
ステップS103では、ルート証明書対応署名データ(AACS On−line Sig)をディスクから読み取り、ステップS104において、アプリケーション証明書に格納されたコンテンツオーナー公開鍵を適用して、ルート証明書対応署名データの署名検証を行う。この署名検証に適用する鍵は、ステップS102において正当性の確認されたアプリケーション証明書に格納されたコンテンツオーナー公開鍵である。
【0085】
先に図4等を参照して説明したようにルート証明書対応署名データは、コンテンツオーナーが生成する署名データであり、ディスクに記録されたルート証明書を含むデータに対して、コンテンツオーナーの秘密鍵を適用して生成される署名データである。このルート証明書対応署名データ(AACS On−line Sig)に設定された署名検証を実行することで、ルート証明書とルート証明書対応署名データとの改竄検証が可能となる。
【0086】
ステップS105において、ルート証明書対応署名データの署名検証が成功したか否か、すなわち、署名検証によりルート証明書とルート証明書対応署名データが改竄のない正当なデータであることが確認されたか否かを判定する。ステップS105において、ルート証明書とルート証明書対応署名データが改竄のない正当なデータであることが確認されなかった場合は、ステップS112に進む。ステップS112では、ディスクに記録されたディスク記録アプリケーションの使用の禁止または制限を行なう。具体的には、前述したように、例えば、
(1)ディスク記録アプリケーションの利用可能なAPIを限定する。
(2)ネットワーク接続の禁止、
(3)ディスク記録コンテンツの再生禁止、
(4)ディスク記録コンテンツのコピー禁止、
(5)ディスク記録アプリケーションの利用禁止、
例えば上記(1)〜(5)のいずれかまたは組み合わせによるアプリケーションの利用制限処理を行なう。その後、ステップS113において、許容された範囲でのアプリケーションの利用処理を行なう。
【0087】
一方、ステップS105において、ルート証明書とルート証明書対応署名データが改竄のない正当なデータであることが確認された場合は、ステップS106に進む。ステップS106では、サーバまたはディスクから証明書リボケーションリスト(CRL:Certificate Revocation List)を取得して取得した証明書リボケーションリスト(CRL)の署名検証処理を行なう。
【0088】
証明書リボケーションリスト(CRL)は、発行済みの証明書中、既に無効化された証明書についての情報を格納したリストである。例えばアプリケーション証明書などの公開鍵を格納した公開鍵証明書に格納された公開鍵が無効なものであることを示すリストであり、無効化された証明書の証明書識別子や証明書の発行先の識別情報などを登録したリストである。この証明書リボケーションリスト(CRL)は、逐次、更新され、最新のリストが証明書発行主体の管理サーバから取得可能であり、またディスクに記録されてユーザに提供される。なお、証明書リボケーションリスト(CRL)にはバージョン情報が設定され、新旧の判別が可能な構成となっている。
【0089】
証明書リボケーションリスト(CRL)には、証明書発行主体の秘密鍵による署名が設定されており、証明書発行主体の公開鍵による署名検証により改竄検証が可能なデータ構成となっている。ステップS106では、証明書リボケーションリスト(CRL)の署名検証を行なう。ステップS107において、証明書リボケーションリスト(CRL)の署名に失敗した場合は、不正なCRLである可能性があり、ステップS106に戻り、新たな証明書リボケーションリスト(CRL)をサーバから取得して、取得した証明書リボケーションリスト(CRL)について署名検証を行なう。
【0090】
ステップS107において、証明書リボケーションリスト(CRL)の署名に成功し、証明書リボケーションリスト(CRL)の正当性が確認された場合、ステップS108に進む。
【0091】
ステップS108では、再生装置のメモリに格納されている証明書リボケーションリスト(CRL)のバージョンと、サーバまたはディスクから取得した署名検証を実行した証明書リボケーションリスト(CRL)のバージョンを比較し、サーバまたはディスクから取得した署名検証を実行した証明書リボケーションリスト(CRL)が、再生装置に格納されている証明書リボケーションリスト(CRL)より新しいと判断された場合は、ステップS109において、サーバまたはディスクから取得し署名検証を実行した証明書リボケーションリスト(CRL)を再生装置のメモリに格納する。
【0092】
ステップS110では、アプリケーション証明書からコンテンツオーナーID読み取り、署名検証を実行した証明書リボケーションリスト(CRL)の記録データと照合する。
【0093】
ステップS111において、アプリケーション証明書に記録されたコンテンツオーナーIDがCRLリストに記録されていないと判断された場合は、ステップS113に進み、許容された範囲でのアプリケーションの利用処理を行なう。この場合、基本的に制限のないアプリケーション利用処理が可能となる。すなわち、先に図3を参照して説明した識別情報の取得および利用処理などが制限無く実行することが可能となる。
【0094】
一方、ステップS111において、アプリケーション証明書に記録されたコンテンツオーナーIDがCRLリストに記録されていると判断された場合は、ステップS112に進み、ディスクに記録されたディスク記録アプリケーションの使用の禁止または制限を行なう。具体的には、前述したように、例えば、
(1)ディスク記録アプリケーションの利用可能なAPIを限定する。
(2)ネットワーク接続の禁止、
(3)ディスク記録コンテンツの再生禁止、
(4)ディスク記録コンテンツのコピー禁止、
(5)ディスク記録アプリケーションの利用禁止、
例えば上記(1)〜(5)のいずれかまたは組み合わせによるアプリケーションの利用制限処理を行なう。その後、ステップS113において、許容された範囲でのアプリケーションの利用処理を行なう。
【0095】
なお、先に図2を参照して説明したように、ディスク記録アプリケーション225には、コンテンツオーナーの署名が設定されており、コンテンツオーナーの公開鍵を適用した署名検証を行なって署名検証に成功、すなわち、ディスク記録アプリケーション225が改竄のない正当なアプリケーションデータであることを確認し、この確認がなされたことを条件としてアプリケーション利用を行なう。
【0096】
このように、本発明の構成では、先に図5を参照して説明したように、
[認証局240]、
[アプリケーション証明書(AACS On−line Cert)251]、
[ルート証明書対応署名データ(AACS On−line Sig)252]
[ディスク記録アプリケーション(BD−J application225]
これらの構成およびデータを関連付け、コンテンツオーナーの提供するディスク記録アプリケーションを、第三者、すなわち認証局の管理下に設定することを可能とし、ディスク記録アプリケーションを利用しようとする再生装置に、図6に示すフローに従った処理を実行させて、ディスク記録アプリケーション225の厳格な正当性確認を可能とし、アプリケーション証明書(AACS On−line Cert)や、ルート証明書対応署名データ(AACS On−line Sig)の署名検証に失敗した場合は、ディスク記録アプリケーション225の実行機能の少なくとも一部を停止させるアプリケーション実行機能の制限処理を行なう構成とした。
【0097】
具体的には、メディアID(PMSN)などのディスクに記録された識別情報の取得や利用処理を不可とする制御や、ネット接続を不可とする制御、コンテンツのコピーを不可とする制御などを行なう。
【0098】
先に、図3を参照して説明したように、ディスク220に記録された識別情報222の読み取りなどの処理を行なうのは、ディスク記録アプリケーション自体ではなく、図3に示すAACSレイヤ(ID情報取得プログラム実行部)302である。先に説明したようにAACSレイヤはAACS規定に従ったシーケンスに従ってデータ処理を実行する。
【0099】
アプリケーションは、このAACSレイヤに対して様々な処理の依頼が可能であり、様々な処理に対応して設定されたAPIの呼び出しを実行する。AACSレイヤはAPI呼び出しに応じたデータ処理、例えば前述した識別情報の読み取り処理などを実行し、処理結果をアプリケーション実行部に提供する。
【0100】
図6を参照して説明したように、本発明の再生装置では、ディスクに記録されたデータであるアプリケーション証明書(AACS On−line Cert)や、ルート証明書対応署名データ(AACS On−line Sig)などの署名検証に失敗した場合、アプリケーションの処理を制限する構成としている。アプリケーションの処理を制御する構成例について図7を参照して説明する。図7には、ディスク220と、再生装置300を示している。
【0101】
再生装置300は、アプリケーション実行部301、AACSレイヤ302、さらに、データ検証部351、アプリケーション制御部352を有する。アプリケーション実行部301と、AACSレイヤ302は図3を参照して説明したアプリケーション実行部301と、AACSレイヤ302に対応する。
【0102】
データ検証部351は、図6に示すフローにおけるステップS101〜S110の処理を実行する。すなわち、ディスクに記録されたデータであるアプリケーション証明書(AACS On−line Cert)251や、ルート証明書対応署名データ(AACS On−line Sig)252などの署名検証、CRLの記録データの検証処理などを実行し、その検証結果をアプリケーション制御部352に通知する。
【0103】
アプリケーション制御部352は、データ検証部351におけるデータ検証の結果に応じて、アプリケーションの制御を行なう。すなわち、具体的には、前述したように、例えば、
(1)ディスク記録アプリケーションの利用可能なAPIを限定する。
(2)ネットワーク接続の禁止、
(3)ディスク記録コンテンツの再生禁止、
(4)ディスク記録コンテンツのコピー禁止、
(5)ディスク記録アプリケーションの利用禁止、
例えば上記(1)〜(5)のいずれかまたは組み合わせによるアプリケーションの利用制限処理を行なう。
【0104】
アプリケーション実行部301は、ディスク220に記録されたディスク記録アプリケーション(BD−J application)225を読み出して実行する。アプリケーションは、AACSレイヤ302に対して様々な処理を実行させる関数からなるAPIの呼び出しを行なう。しかし、このAPI処理に対して、アプリケーション制御部352は、データ検証部351におけるデータ検証の結果に応じて、制御を行い、API呼び出しをAACSレイヤ302に入力する処理を禁止する。
【0105】
このアプリケーション制御部352によるAPI制御により、アプリケーションの様々な処理の実行が禁止される。具体的には前述の(1)〜(5)のいずれかの処理または複数の処理が禁止される。なお、アプリケーションにおける禁止処理や許容処理は様々な設定が可能である。
【0106】
アプリケーション実行部301は、処理に応じたAPI呼び出しをAACSレイヤ302に対して実行する。具体的には、
メディアID(PMSN)226の読み出し処理をAACSレイヤに対して実行させるAPI、
ボリュームID227の読み出し処理をAACSレイヤに対して実行させるAPI、
コンテンツ証明書ID228の読み出し処理をAACSレイヤに対して実行させるAPI、
さらに、
ディスク記録コンテンツの再生、コピー、外部出力処理のための許容情報の提供をAACSレイヤに対して実行させるAPI、
ネット接続や、ディスク記録コンテンツと再生装置の記憶部(ハードデイスクやフラッシュメモリなど)に格納されたコンテンツとのバインド処理による再生などの様々な処理、あるいは処理許可情報の出力をAACSレイヤに対して実行させるAPI、
このような各種の処理に応じて設定されるAPIを利用した処理以来をAACSレイヤ302に対して実行するが、アプリケーション制御部352によるAPI制御により、アプリケーションの様々な処理の実行を選択的に禁止することが可能となる。
【0107】
なお、前述したように、ディスクに記録された識別子ではなく、再生装置のメモリに記録された再生装置対応の識別情報であるデバイスバインディングIDが利用される場合もあり、この場合もディスクに記録された識別子の利用と同様の処理態様として実行可能である。デバイスバインディングIDは、再生装置固有の識別情報として再生装置内のメモリに記録され、ディスク格納コンテンツの利用、後発データのサーバからの取得、再生装置のハードディスクなどの記憶部に格納された後発データの利用などに際して、例えば再生装置の確認処理としてのID確認や、鍵生成、コンテンツ復号などの処理に利用される。
【0108】
このように、本発明の構成によれば、
ディスクに記録されるアプリケーションを提供するコンテンツオーナーの公開鍵を格納し、認証局の署名を設定したアプリケーション証明書(AACS On−line Cert)と、
ルート証明書を含むデータに対してコンテンツオーナーの署名を設定したルート証明書対応署名データ(AACS On−line Sig)、
これらのデータをディスクに記録する構成とし、
アプリケーションを実行しようとする再生装置に、図6に示すフローに従ってアプリケーション証明書(AACS On−line Cert)の署名検証を行い、アプリケーション証明書(AACS On−line Cert)の正当性を確認させ、正当性の確認されたアプリケーション証明書からコンテンツオーナー公開鍵を取得して、取得したコンテンツオーナー公開鍵を適用して、ルート証明書対応署名データ(AACS On−line Sig)の署名検証を行い、ルート証明書の正当性確認を行なわせる構成とし、これらの署名検証に失敗した場合は、アプリケーションの利用の禁止または制限を行なう構成とした。
【0109】
この構成によりコンテンツオーナーの提供するアプリケーションが、第三者機関としての認証局の管理下に置かれることになり、不正なアプリケーションの蔓延、不正アプリケーションの使用による識別情報の不正取得や利用、あるいはコンテンツの不正利用を防止することが可能となる。
【0110】
以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。
【0111】
また、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。例えば、プログラムは記録媒体に予め記録しておくことができる。記録媒体からコンピュータにインストールする他、LAN(Local Area Network)、インターネットといったネットワークを介してプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。
【0112】
なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
【産業上の利用可能性】
【0113】
以上、説明したように、本発明の一実施例の構成によれば、ディスクに記録されるアプリケーションを提供するコンテンツオーナーの公開鍵を格納し、認証局の署名を設定したアプリケーション証明書と、ルート証明書を含むデータに対してコンテンツオーナーの署名を設定したルート証明書対応署名データをディスクに記録する構成とし、アプリケーションを実行しようとする再生装置に、アプリケーション証明書と、ルート証明書対応署名データの署名検証を行わせる構成として、これらの署名検証に失敗した場合は、アプリケーションの利用の禁止または制限を行なう構成とした。本構成により、コンテンツオーナーの提供するアプリケーションが、第三者機関としての認証局の管理下に置かれることになり、不正なアプリケーションの蔓延、不正アプリケーションの使用による識別情報の不正取得や利用、あるいはコンテンツの不正利用の防止が実現される。
【図面の簡単な説明】
【0114】
【図1】現状のAACS規定におけるコンテンツ利用制御構成の概要について説明する図である。
【図2】本発明の一実施例に係るアプリケーション利用制御を実現するための構成について説明する図である。
【図3】ディスクに記録された識別情報(ID)の読み取り処理例について説明する図である。
【図4】アプリケーション証明書(AACS On−line Cert)と、ルート証明書対応署名データ(AACS On−line Sig)各々のデータ構成例について説明する図である。
【図5】アプリケーション証明書と、ルート証明書対応署名データの発行構成について説明する図である。
【図6】再生装置のデータ処理部において実行する処理シーケンスについて説明するフローチャートを示す図である。
【図7】アプリケーションの処理を制御する構成例について説明する図である。
【符号の説明】
【0115】
110 コンテンツオーナー
120 ディスク
121 コンテンツ
122 識別情報(ID)
123 コンテンツ証明書
124 ルート証明書
125 ディスク記録アプリケーション
126 メディアID(PMSN)
127 ボリュームID
128 コンテンツ証明書ID
130 ライセンス管理部
210 コンテンツオーナー
220 ディスク
221 コンテンツ
222 識別情報(ID)
223 コンテンツ証明書(Content Cert)
224 ルート証明書(BD−J Root Cert)
225 ディスク記録アプリケーション(BD−J application)
226 メディアID(PMSN)
227 ボリュームID
228 コンテンツ証明書ID
230 ライセンス管理部
240 認証局(BDA−CA)
251 アプリケーション証明書(AACS On−line Cert)
252 ルート証明書対応署名データ(AACS On−line Sig)
300 再生装置
301 アプリケーション実行部(BD−J VM)
302 AACSレイヤ
351 データ検証部
352 アプリケーション制御部
【特許請求の範囲】
【請求項1】
ディスクに記録されたアプリケーションプログラムの利用制御を行なう情報処理装置であり、
前記アプリケーションプログラムを利用した処理を実行するアプリケーション実行部と、
前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行し、
さらに、前記アプリケーションプログラムに対応する証明書としてディスクに記録されたルート証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行するデータ検証部と、
前記データ検証部における第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーション実行部におけるアプリケーションプログラムの利用処理を禁止または制限するアプリケーション制御部と、
を有することを特徴とする情報処理装置。
【請求項2】
前記アプリケーション制御部は、
前記アプリケーション実行部が、ディスクもしくは情報処理装置に記録された識別情報を取得する処理を禁止する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記識別情報は、
(a)ディスク固有の識別情報であるメディアID(PMSN)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
(d)情報処理装置の識別情報であるデバイスバインディングID、
上記(a)〜(d)いずれかの識別情報であることを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記アプリケーション制御部は、
前記アプリケーション実行部が、ディスクに記録されたコンテンツの再生またはコピーまたは外部出力する処理を禁止または制限する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項5】
前記アプリケーション制御部は、
前記アプリケーション実行部が、ネットワークを介して外部サーバに接続する処理を禁止または制限する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項6】
前記アプリケーション制御部は、
前記アプリケーション実行部が、ディスク記録データの読み取りまたは利用処理を行なうプログラム実行部に対するAPI呼び出し処理を禁止または制限する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項7】
前記データ検証部は、
前記アプリケーション証明書の無効化情報を記録した証明書リボケーションリストを参照して、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれるか否かを検証する処理を実行し、
前記アプリケーション制御部は、
前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれる場合、前記アプリケーション実行部におけるアプリケーションプログラム利用処理を禁止または制限する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項8】
コンテンツと、
前記コンテンツに対応する証明データであるコンテンツ証明書と、
アプリケーションプログラムと、
前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書と、
前記アプリケーションプログラムに対応する証明書であるルート証明書を含むデータに対する署名を有するルート証明書対応データを記録し、
前記アプリケーションプログラムを実行しようとする再生装置に、前記アプリケーションプログラムおよび前記ルート証明書対応データの署名検証を実行させて、検証結果に応じて前記アプリケーションプログラムの利用制御を行なわせることを可能としたディスク。
【請求項9】
情報処理装置において、ディスクに記録されたアプリケーションプログラムの利用制御を行なう情報処理方法であり、
データ検証部が、前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行し、
さらに、前記アプリケーションプログラムに対応する証明書としてディスクに記録されたルート証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行するデータ検証ステップと、
アプリケーション制御部が、前記データ検証ステップにおける第1および第2の署名検証処理において、検証が失敗した場合に前記アプリケーションプログラムの利用処理を禁止または制限するアプリケーション制御ステップと、
を有することを特徴とする情報処理方法。
【請求項10】
前記アプリケーション制御ステップは、
アプリケーション実行部が、ディスクもしくは情報処理装置に記録された識別情報を取得する処理を禁止する処理を実行するステップであることを特徴とする請求項9に記載の情報処理方法。
【請求項11】
前記識別情報は、
(a)ディスク固有の識別情報であるメディアID(PMSN)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
(d)情報処理装置の識別情報であるデバイスバインディングID、
上記(a)〜(d)いずれかの識別情報であることを特徴とする請求項10に記載の情報処理方法。
【請求項12】
前記アプリケーション制御ステップは、
アプリケーション実行部が、ディスクに記録されたコンテンツの再生またはコピーまたは外部出力する処理を禁止または制限する処理を実行するステップであることを特徴とする請求項9に記載の情報処理方法。
【請求項13】
前記アプリケーション制御ステップは、
アプリケーション実行部が、ネットワークを介して外部サーバに接続する処理を禁止または制限する処理を実行するステップであることを特徴とする請求項9に記載の情報処理方法。
【請求項14】
前記アプリケーション制御ステップは、
アプリケーション実行部が、ディスク記録データの読み取りまたは利用処理を行なうプログラム実行部に対するAPI呼び出し処理を禁止または制限する処理を実行するステップであることを特徴とする請求項9に記載の情報処理方法。
【請求項15】
前記データ検証ステップは、
前記アプリケーション証明書の無効化情報を記録した証明書リボケーションリストを参照して、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれるか否かを検証する処理を実行するステップを含み、
前記アプリケーション制御ステップは、
前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれる場合、アプリケーション実行部におけるアプリケーションプログラム利用処理を禁止または制限する処理を実行することを特徴とする請求項9に記載の情報処理方法。
【請求項16】
情報処理装置において、ディスクに記録されたアプリケーションプログラムの利用制御を行なわせるプログラムであり、
データ検証部に、前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行させ、
さらに、前記アプリケーションプログラムに対応する証明書としてディスクに記録されたルート証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行させるデータ検証ステップと、
アプリケーション制御部に、前記データ検証ステップにおける第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーションプログラムの利用処理を禁止または制限させるアプリケーション制御ステップと、
を有することを特徴とするプログラム。
【請求項1】
ディスクに記録されたアプリケーションプログラムの利用制御を行なう情報処理装置であり、
前記アプリケーションプログラムを利用した処理を実行するアプリケーション実行部と、
前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行し、
さらに、前記アプリケーションプログラムに対応する証明書としてディスクに記録されたルート証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行するデータ検証部と、
前記データ検証部における第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーション実行部におけるアプリケーションプログラムの利用処理を禁止または制限するアプリケーション制御部と、
を有することを特徴とする情報処理装置。
【請求項2】
前記アプリケーション制御部は、
前記アプリケーション実行部が、ディスクもしくは情報処理装置に記録された識別情報を取得する処理を禁止する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記識別情報は、
(a)ディスク固有の識別情報であるメディアID(PMSN)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
(d)情報処理装置の識別情報であるデバイスバインディングID、
上記(a)〜(d)いずれかの識別情報であることを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記アプリケーション制御部は、
前記アプリケーション実行部が、ディスクに記録されたコンテンツの再生またはコピーまたは外部出力する処理を禁止または制限する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項5】
前記アプリケーション制御部は、
前記アプリケーション実行部が、ネットワークを介して外部サーバに接続する処理を禁止または制限する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項6】
前記アプリケーション制御部は、
前記アプリケーション実行部が、ディスク記録データの読み取りまたは利用処理を行なうプログラム実行部に対するAPI呼び出し処理を禁止または制限する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項7】
前記データ検証部は、
前記アプリケーション証明書の無効化情報を記録した証明書リボケーションリストを参照して、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれるか否かを検証する処理を実行し、
前記アプリケーション制御部は、
前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれる場合、前記アプリケーション実行部におけるアプリケーションプログラム利用処理を禁止または制限する処理を実行することを特徴とする請求項1に記載の情報処理装置。
【請求項8】
コンテンツと、
前記コンテンツに対応する証明データであるコンテンツ証明書と、
アプリケーションプログラムと、
前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書と、
前記アプリケーションプログラムに対応する証明書であるルート証明書を含むデータに対する署名を有するルート証明書対応データを記録し、
前記アプリケーションプログラムを実行しようとする再生装置に、前記アプリケーションプログラムおよび前記ルート証明書対応データの署名検証を実行させて、検証結果に応じて前記アプリケーションプログラムの利用制御を行なわせることを可能としたディスク。
【請求項9】
情報処理装置において、ディスクに記録されたアプリケーションプログラムの利用制御を行なう情報処理方法であり、
データ検証部が、前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行し、
さらに、前記アプリケーションプログラムに対応する証明書としてディスクに記録されたルート証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行するデータ検証ステップと、
アプリケーション制御部が、前記データ検証ステップにおける第1および第2の署名検証処理において、検証が失敗した場合に前記アプリケーションプログラムの利用処理を禁止または制限するアプリケーション制御ステップと、
を有することを特徴とする情報処理方法。
【請求項10】
前記アプリケーション制御ステップは、
アプリケーション実行部が、ディスクもしくは情報処理装置に記録された識別情報を取得する処理を禁止する処理を実行するステップであることを特徴とする請求項9に記載の情報処理方法。
【請求項11】
前記識別情報は、
(a)ディスク固有の識別情報であるメディアID(PMSN)、
(b)ディスクのタイトル単位で設定されるボリュームID、
(c)ディスク記録コンテンツに対応して設定されたコンテンツ証明書の識別情報としてのコンテンツ証明書ID、
(d)情報処理装置の識別情報であるデバイスバインディングID、
上記(a)〜(d)いずれかの識別情報であることを特徴とする請求項10に記載の情報処理方法。
【請求項12】
前記アプリケーション制御ステップは、
アプリケーション実行部が、ディスクに記録されたコンテンツの再生またはコピーまたは外部出力する処理を禁止または制限する処理を実行するステップであることを特徴とする請求項9に記載の情報処理方法。
【請求項13】
前記アプリケーション制御ステップは、
アプリケーション実行部が、ネットワークを介して外部サーバに接続する処理を禁止または制限する処理を実行するステップであることを特徴とする請求項9に記載の情報処理方法。
【請求項14】
前記アプリケーション制御ステップは、
アプリケーション実行部が、ディスク記録データの読み取りまたは利用処理を行なうプログラム実行部に対するAPI呼び出し処理を禁止または制限する処理を実行するステップであることを特徴とする請求項9に記載の情報処理方法。
【請求項15】
前記データ検証ステップは、
前記アプリケーション証明書の無効化情報を記録した証明書リボケーションリストを参照して、前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれるか否かを検証する処理を実行するステップを含み、
前記アプリケーション制御ステップは、
前記アプリケーション証明書に記録されたコンテンツオーナー識別子が前記証明書リボケーションリストに含まれる場合、アプリケーション実行部におけるアプリケーションプログラム利用処理を禁止または制限する処理を実行することを特徴とする請求項9に記載の情報処理方法。
【請求項16】
情報処理装置において、ディスクに記録されたアプリケーションプログラムの利用制御を行なわせるプログラムであり、
データ検証部に、前記アプリケーションプログラムの提供者としてのコンテンツオーナーの公開鍵を格納し第三者機関である認証局の署名が設定されたアプリケーション証明書を、ディスクから読み出して第1の署名検証を実行させ、
さらに、前記アプリケーションプログラムに対応する証明書としてディスクに記録されたルート証明書を含むデータに対する署名を有するルート証明書対応データをディスクから読み出して、コンテンツオーナー公開鍵を適用して第2の署名検証を実行させるデータ検証ステップと、
アプリケーション制御部に、前記データ検証ステップにおける第1および第2の署名検証処理において、検証が失敗した場合に、前記アプリケーションプログラムの利用処理を禁止または制限させるアプリケーション制御ステップと、
を有することを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図6】
【図7】
【図5】
【図2】
【図3】
【図4】
【図6】
【図7】
【図5】
【公開番号】特開2009−169892(P2009−169892A)
【公開日】平成21年7月30日(2009.7.30)
【国際特許分類】
【出願番号】特願2008−10187(P2008−10187)
【出願日】平成20年1月21日(2008.1.21)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
【公開日】平成21年7月30日(2009.7.30)
【国際特許分類】
【出願日】平成20年1月21日(2008.1.21)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
[ Back to top ]