Traitement en cours

Veuillez attendre...

Paramétrages

Paramétrages

Aller à Demande

1. WO2004064317 - PROCEDE D'AUTHENTIFICATION MUTUELLE, PROGRAMME, SUPPORT D'ENREGISTREMENT, SYSTEME DE TRAITEMENT DU SIGNAL, DISPOSITIF DE REPRODUCTION ET DISPOSITIF DE TRAITEMENT D'INFORMATION

Note: Texte fondé sur des processus automatiques de reconnaissance optique de caractères. Seule la version PDF a une valeur juridique

[ JA ]
相互認証方法、再生装置及び情報処理装置

相互認証方法、プログラム、記録媒体、信号処理システム、再生装 置および情報処理装置

技術分野

この発明は、例えばパーソナルコンピュータと接続されたドライブ によってディスクメディアに暗号化コンテンツを記録し、また、ディ スクメディアから暗号化コンテンッを再生する場合に適用される相互 認証方法、プログラム、記録媒体、信号処理システム、再生装置およ び情報処理装置に関する。

背景技術

近年開発された DVD (Digital Versatile Disc)等の記録媒体では 、 1枚の媒体に例えば映画 1本分の大量のデータをディジタル情報と して記録することが可能である。このように映像情報等をディジタル 情報として記録することが可能となってくると不正コピーを防止して 著作権の保護を図ることがますます重要となっている。

D VD -Video では、コピ一プロテクション技術として C S S (Con tent Scrambling System) が採用されている。 C S Sは、 DVD— R 〇Mメディアに対する適用のみが認可されており、 DVD— R、 D V D— RW、 DVD + R、 D VD + RW等の記録型 DVDでの C S Sの 利用が C S S契約によって禁止されている。したがって、 C S S方式 で著作権保護された D V D— Video の内容を記録型 D V Dへのまるご とコピー (ビットバイビットコピー)することは、 C S S契約上では 、認められた行為ではない。

しかしながら、 C S Sの暗号方式が破られる事態が発生した。 C S Sの暗号化を解除して DVD—Video の内容を簡単にハードディスク にコピーすることを可能とする「D e C S S」と呼ばれるソフトゥェ ァがィン夕一ネット上で配布された。「D e C S S」が出現した背景 には、本来耐タンパ一化が義務付けられているはずの C S S復号用の 鍵データを耐タンパー化しないまま設計された再生ソフトゥヱァがリ バースエンジニアされて鍵デ一夕が解読されたことによって、連鎖的 に C S Sアルゴリズム全体が解読された経緯がある。

C S Sの後に、 DVD— Audio 等の D V D— R 0 Mの著作権保護技 術である C P P M(Content Protection for Pre-Recorded Media) 、 並びに記録型 D VD、メモリカードに関する著作権保護技術 C P RM (Content Protection for Recordable Media) が提案されている。こ れらの方式は、コンテンツの暗号化や管理情報の格納等に問題が生じ たときに、システムを更新でき、データをまるごとコピーしても再生 を制限できる特徴を有している。 DVDに関する著作権保護の方法に 関しては、下記の非特許文献 1に説明され、 C P RMは、ライセンス 管理者である米 4C Entity, LLC が配布する下記の資料に説明されてい る。

山田, 「DVDを起点に著作権保護空間を広げる」,日経エレクト口 ニクス 2001.8.13, p.143-153

し ontent Protection for Recordable Media Specification DVD Boo k"、インタ一ネットく URL : http://www.4Centity. com/>

パーソナルコンピュータ(以下、適宜 P Cと略す)環境下では、 P Cと ドライブとが標準的ィンタ一フヱースで接続されるために、標準 的インターフヱースの部分で秘密保持が必要なデ一夕が知られたり、 デー夕が改ざんされるおそれがある。アプリケ一シヨンソフトウェア

がリバースエンジニアリングされ、秘密情報が盗まれたり、改ざんさ れる危険がある。このような危険性は、記録再生装置が一体に構成さ れた電子機器の場合では、生じることが少ない。

著作権保護技術を P C上で実行されるアプリケーションプログラム へ実装する際には、その著作権保護技術の解析を防ぐため耐タンパ一 性を持たせるのが一般的である。しかしながら、耐タンパ一性の強度 を示す指標がない。その結果、どの程度のリバースエンジニアリング への対応を行うかは、ィンプレメン夕一の個々の判断や能力に委ねら れているのが現状である。 C S Sの場合は、結果としてその著作権保 護技術が破られてしまった。 C S Sの後に提案された C P P Mおよび 記録型 D V Dに関する著作権保護技術 C P R Mにおいても、既に破ら れている C S Sに新たな機能を加えたものであり、また、著作権保護 技術に関わるアルゴリズムは、大部分が P Cでの実装に依存するもの であり、コンテンツプロテクションの機能が充分に強いものと言えな い問題があった。すなわち、アプリケーションソフトゥヱァなどのリ バースエンジニアリングによって、著作権保護技術に関わる秘密情報 の解析により暗号方式が破られ、ディスクからのデータとして P Cが そのまま読み出した暗号化コンテンッが「D e C S S」のような解読 ソフトゥヱァにより復号され、平文のままのクリア ' コンテンツとし てコピー制限の働かない状態で複製が繰り返されるような事態を招く ことで、著作権保護が機能しなくなるという危険性があった。

この発明の目的は、 P C環境下でも著作権保護技術の安全性を確保 することができる相互認証方法、プログラム、記録媒体、信号処理シ ステム、再生装置およぴ情報処理装置を提供することにある。

発明の開示

上述した課題を解決するために、この発明の第 1の態様は、不正な 電子機器を判別するためのリボケーション情報と記録媒体固有の情報 とを予め備えた記録媒体から、コンテンツ情報を読み出す再生部を有 する再生装置と、再生装置がコンテンッ情報を伝達手段を介して送受 信し、処理する情報処理装置と相互に認証する相互認証方法において

再生装置は、当該再生装置を表す情報とリボケ一ション情報とを用 いて当該再生装置を無効化すべきか否かを判定する第 1 の判定ステツ プを有し、

情報処理装置は、当該情報処理装置を表す情報とリボケーション情 報を用いて当該情報処理装置を無効化すべきか否かを判定する第 2の 判定ステップを有し、

第 1の判定ステップによって無効化すべきという判定をされなかつ た場合に生成される第 1の鍵情報と、第 2の判定ステツプによって無 効化すべきという判定をされなかった場合に生成される第 2の鍵情報 とを用いて、再生装置と情報処理装置とが相互に認証する相互認証ス テツプとを有することを特徴とする相互認証方法である。

この発明の第 2の態様は、不正な電子機器を判別するためのリボケ ーション情報と記録媒体固有の情報とを予め備えた記録媒体から、コ ンテンッ情報を読み出す再生部を有する再生装置と、再生装置がコン テンッ情報を伝達手段を介して送受信し、処理する情報処理装置と相 互に認証する相互認証方法のプログラムであって、

再生装置は、当該再生装置を表す情報とリボケーション情報とを用 いて当該再生装置を無効化すべきか否かを判定する第 1 の判定ステツ プを有し、

情報処理装置は、当該情報処理装置を表す情報とリボケーション情 報を用いて当該情報処理装置を無効化すべきか否かを判定する第 2の 判定ステップを有し、

第 1の判定ステップによって無効化すべきという判定をされなかつ た場合に生成される第 1の鍵情報と、第 2の判定ステップによって無 効化すべきという判定をされなかった場合に生成される第 2の鍵情報 とを用いて、再生装置と情報処理装置とが相互に認証する相互認証ス テツプとを有することを特徴とする相互認証方法のプログラムである

この発明の第 3の態様は、不正な電子機器を判別するためのリボケ —シヨン情報と記録媒体固有の情報とを予め備えた記録媒体から、コ ンテンッ情報を読み出す再生部を有する再生装置と、再生装置がコン テンッ情報を伝達手段を介して送受信し、処理する情報処理装置と相 互に認証する相互認証方法のプログラムを格納した記録媒体であつて

再生装置は、当該再生装置を表す情報どリボケ一シヨン情報とを用 いて当該再生装置を無効化すべきか否かを判定する第 1 の判定ステツ プを有し、

情報処理装置は、当該情報処理装置を表す情報とリボケーション情 報を用いて当該情報処理装置を無効化すべきか否かを判定する第 2の 判定ステップを有し、

第 1の判定ステツプによって無効化すべきという判定をされなかつ た場合に生成される第 1の鍵情報と、第 2の判定ステップによって無 効化すべきという判定をされなかった場合に生成される第 2の鍵情報 とを用いて、再生装置と情報処理装置とが相互に認証する相互認証ス テツプとを有することを特徴とする相互認証方法のプログラムを格納 した記録媒体である。

この発明の第 4の態様は、不正な電子機器を判別するためのリボケ ーション情報と記録媒体固有の情報とを予め備えた記録媒体から、コ ンテンッ情報を読み出す再生部を有する再生装置と、再生装置がコン テンッ情報を伝達手段を介して送受信し、処理する情報処理装置とを 備える信号処理システムであって、

再生装置は、当該再生装置を表す情報とリボケ一ション情報とを用 いて当該再生装置を無効化すべきか否かを判定する第 1の判定手段を 有し、

情報処理装置は、当該情報処理装置を表す情報とリボケ一ション情 報とを用いて当該情報処理装置を無効化すべきか否かを判定する第 2 の判定手段を有し、

第 1の判定手段によって無効化すべきという判定をされなかった場 合に生成される第 1 の鍵情報と、第 2の判定手段によって無効化すべ きという判定をされなかった場合に生成される第 2の鍵情報とを用い て、再生装置と情報処理装置とが相互に認証する相互認証手段と、 相互認証手段による相互認証後に、再生装置および情報処理装置に 共通の共通鍵を生成する共通鍵生成手段とを備えることを特徴とする 信号処理システムである。

この発明の第 5の態様は、不正な電子機器を判別するためのリボケ ーシヨン情報と記録媒体固有の情報とを予め備えた記録媒体から、コ ンテンッ情報を読み出す再生部を有し、コンテンツ情報が伝達手段を 介して情報処理装置に送信され、処理される信号処理システムにおけ る再生装置であって、

当該再生装置を表す情報とリボケ一ション情報とを用いて当該再生 装置を無効化すべきか否かを判定する第 1 の判定手段を有し、 第 1の判定手段によって無効化すべきという判定をされなかった場 合に生成される第 1 の鍵情報と、

情報処理装置に設けられている当該情報処理装置を表す情報とリボ ケーシヨン情報とを用いて当該情報処理装置を無効化すべきか否かを 判定する第 2の判定手段によつて無効化すべきという判定をされなか つた場合に生成される第 2の鍵情報とを用いて、情報処理装置と相互 に認証する相互認証手段と、

相互認証手段による相互認証後に、情報処理装置と共通の共通鍵を 生成する共通鍵生成手段とを備えることを特徴とする再生装置である

この発明の第 6の態様は、不正な電子機器を判別するためのリボケ ーション情報と記録媒体固有の情報とを予め備えた記録媒体から、再 生装置がコンテンッ情報を読み出し、コンテンッ情報が伝達手段を介 して受信され、処理される情報処理装置であって、

再生装置に設けられている第 1の判定手段によって、当該再生装置 を表す情報とリボケーシヨン情報とを用いて当該再生装置を無効化す べきか否かを判定し、第 1の判定手段によって無効化すべきという判 定をされなかった場合に生成される第 1の鍵情報と、

当該情報処理装置を表す情報とリボケーション情報とを用いて当該 情報処理装置を無効化すべきか否かを判定する第 2の判定手段を有し 、

第 1の鍵情報と、第 2の判定手段によつて無効化すべきという判定 をされなかった場合に生成される第 2の鍵情報とを用いて、再生装置 と相互に認証する相互認証手段と、

相互認証手段による相互認証後に、再生装置と共通の共通鍵を生成 する共通鍵生成手段とを備えることを特徴とする情報処理装置である この発明では、メディア上に記録された鍵情報(M K B ) と各デバ イスまたは各アプリケーションに記憶されている鍵情報(デバイスキ 一)から同一の値として導かれる鍵情報(メディアキー)を利用して 相互認証がなされる。したがって、この発明においては、認証のため だけに用意される特定の認証鍵を必要とせず、秘密情報を少なくでき 、また、デバイスまたはアプリケーションによってデバイスキーを異 ならせることが可能であるので、秘密情報が不正に読み取られる危険 性を少なくできる。

この発明では、著作権保護技術に関する秘密情報である電子機器ま たはアプリケーシヨンソフトゥヱァ固有の情報例えばデバイスキーが ドライブ内に実装されているので、情報処理装置にィンストールされ るアプリケ一ションソフトウエアは、著作権保護技術に関する秘密情 報の全てを持つ必要がなくなる。それによつて、ソフトウェアのリバ ースエンジニアリングによる解析に対する耐性を持つことができ、著 —作権保護技術の安全性を確保する—こどができる。—一 一一 電子機器固有の情報としてのデバイスキ一を記録再生装置が持つこ とによって、記録再生装置自身をリボークすることが可能となる。さ らに、この発明では、情報処理装置におけるコンテンツキ一を計算す るのに必要とされる乱数情報が記録再生装置内の例えば L S Iによつ て生成できるので、 P C内でソフトゥヱァによって乱数を生成するの と比較して、真正または真正乱数に近い乱数を生成することができる 。したがって、乱数が固定値に置き換えられる、等のおそれを少なく できる。

図面の簡単な説明

第 1図は、先に提案されているレコーダ、プレーヤおよび D V Dメ ディアからなるシステムを説明するためのプロック図である。

第 2図は、 P Cベースの D V Dメディア記録再生システムを説明す るためのブロック図である。

第 3図は、第 1図のシステムにおける D V D ドライブ 4およびホス ト 5の処理の手順を説明するための略線図である。

第 4図は、第 2図のシステムにおける認証動作を説明するためのフ ローチヤ—卜である。

第 5図は、この発明の一実施形態による相互認証のための構成を示 すブロック図である。

第 6図は、この発明の一実施形態におけるドライブの認証動作の処 理の手順を説明するためのフローチヤ一トである。

第 7図は、この発明の一実施形態におけるホストの認証動作の処理 の手順を説明するためのフロ一チヤ一トである。

第 8図は、この発明の一実施形態によるドライブとホス卜を組み合 —わせたレコーダの構成の一例をブロック図である。― - ·

第 9図は、レコーダの一例の通信の手順を説明するための略線図で ある。

第 1 0図は、この発明の一実施形態によるドライブとホストを組み 合わせたプレーヤの構成の一例をプロック図である。

第 1 1図は、プレーヤの一例の通信の手順を説明するための略線図 である。

第 1 2図は、この発明の一実施形態によるドライブとホストを組み 合わせたレコーダの構成の他の例をプロック図である。

第 1 3図は、レコーダの他の例の通信の手順を説明するための略線 図である。

発明を実施するための最良の形態

この発明の一実施形態の説明に先立って、本明細書の特許請求の範 囲において使用される用語と実施の形態中で使用される用語との対応 関係について以下に説明する。

記録媒体:メディア例えばディスク、再生装置:ドライブ、情報処 理装置:ホスト、伝達手段:ドライブ一ホストインタ一フヱース、信 号処理システム:メディアを再生するドライブとホストとがドライブ 一ホストインタ一フェースを介して接続されるシステムである。第 1 の送信手段:ドライブ側からセッションキ一を共通鍵とした共通鍵暗 号方式で情報をホスト側に送る手段、第 2の送信手段:逆にホスト側 からセッションキーを共通鍵として情報をドライブ側に送る手段のこ とである。

コンテンッ情報:メディアに記録されている情報または記録すべき 情報をコンテンッ情報としている。リボケーション情報:メディアに 予め記録されているメディアキープ口ック M K B (Media Key Blocks) 、記録媒体固有の情報:メディア I D、デバイスキー:再生装置また は情報処理装置を表す情報、装置を無効化すべきか否かを判定する判 定手段:プロセス M K Bである。プロセス M K Bでは、ドライブ側の 第 1の判定手段によりドライブが無効化されなければ、ドライブ側の メディアキーとして第 1の鍵情報が生成され、ホスト側の第 2の判定 手段により'ホス卜が無効化されなければ、ホスト側のメディアキーと して第 2の鍵情報が生成される。ドライブとホストは、独立して無効 化が可能であり、無効化された場合は、期待されるメディアキーを得 ることができないので「第 1の」、「第 2の」と分けている。

相互認証手段: A K E (Authent icat ion and Key Exchange) (プロ セス M K B以降の乱数交換、 M A C計算、比較からなるドライブ側の

第 1の確認手段とホスト側の第 2の確認手段により相互に相手の動作 を確認することである。ドライブ側とホスト側の何れが先に確認する かの順番は、任意であるので、用語の統一を図るために、ドライブ側 の確認手段を「第 1の」としている。)

共通鍵:セッションキー(確実に暗号化 ·復号に使われるセッショ ンキ一とコンテンツキーとは、「鍵」でそれ以外は「鍵情報」として いる。認証完了後なので共通鍵として同じ暗号化鍵が生成されるが、 生成している装置と、基にしている鍵情報の呼び方を変えていること から、ドライブ側の生成手段を第 1の共通鍵生成手段、ホスト側の生 成手段を第 2の共通鍵生成手段としている。)

乱数を生成する乱数生成手段:乱数発生器(R N G : Random Numbe r Generator) (ドライブ側の乱数生成手段を第 1の乱数生成手段、ホ スト側の乱数生成手段を第 2の乱数生成手段とし、特許請求の範囲に おいては、生成される乱数に対して請求の範囲に出てくる順番で番号 をつけている。 )

所定の計算を行う計算手段: M A C (Message Authent i cat i on Code ) 演算ブロック(乱数交換手段により交換された乱数を用いて、ドラ イブ側で計算する手段を第 1の計算手段、ホスト側の計算手段を第 2 の計算手段としている。)

比較手段:比較(ドライブ側の比較を第 1の比較手段、ホスト側の 比較を第 2の比較手段としている。)

記録媒体固有の鍵情報:メディアユニークキー(本実施形態におい ては、メディアユニークキーの生成は耐タンパ一性を持たせるために 全てドライブ側で行われているので、記録媒体固有の鍵情報(メディ ァユニークキー)を生成する中間鍵生成手段は、ドライブ側のみとし ている。)

コンテンッ情報暗号化鍵またはコンテンッ情報復号鍵の基になる鍵 情報: (記録時に使われるタイトルキーを第 3の鍵情報、再生時に使 われるタイトルキーを第 4の鍵情報としている。メディアユニークキ —によってタイトルキーを暗号化する手段を鍵情報暗号化手段、復号 する手段を鍵情報復号手段としている。メディアユニークキーによつ て暗号化されたタイトルキーを記録媒体に記録する手段を暗号化鍵情 報記録手段としている。)

コンテンッ情報を暗号化または復号するための鍵:コンテンツキ一 (記録時に使われるコンテンツキ一をコンテンツ情報暗号化鍵とし、 再生時に使われるコンテンツキーをコンテンッ情報復号鍵としている 。コンテンツ情報暗号化鍵を生成する手段を最終暗号化鍵生成手段、 コンテンッ情報復号鍵を生成する手段を最終復号鍵生成手段としてい る。暗号化されたコンテンツ情報を記録媒体に記録する手段をコンテ ンッ情報記録手段とし、暗号化されたコンテンツ情報を復号する手段 をコンテンツ情報復号手段としている。)

次に、この発明の理解の容易のために、最初に第 1 図を参照して著 作権保護技術例えば DVD用 C P RMのアーキテクチャについて説明 する。第 1図において、参照符号 1が例えば CPRM規格に準拠した D VD-R/RW. DVD-R A M等の記録型 D V Dメディアを示す 。参照符号 2が例えば CPRM規格に準拠したレコーダを示す。参照 符号 3が例えば C P RM規格に準拠したプレーヤを示す。レコーダ 1 およびプレーヤ 3は、機器またはアプリケ一シヨンソフトゥヱァであ る。

未記録ディスクの状態において、 DVDメディア 1の最内周側のリ —ドインエリアの B C A (Burst Cutting Area)または NB C A (Narro w Burst Cutting Area) と称されるエリアには、メディア I D 1 1が 記録されている。リ一ドィンェリァのエンボスまたはプリ記録データ ゾーンには、メディアキ一ブロック(以下、 MKBと適宜略す) 1 1 が予め記録されている。メディア I D 1 1は、個々のメディア単位例 えばディスク 1枚毎に異なる番号であり、メディアの製造者コ一ドと シリアル番号から構成される。メディア I D 1 1は、メディアキ一を 個々のメディアで異なるメディァユニークキ一へ変換する際に必要と なる。メディアキ一ブロック MK Bは、メディアキ一の導出、並びに 機器のリボケ一シヨン(無効化)を実現するための鍵束である。これ らのメディア I Dおよびメディアキーブロックは、記録媒体固有の第 1の情報である。

ディスク 1の書き換えまたは追記可能なデ一夕領域には、コンテン ツキ一で暗号化された暗号化コンテンツ 1 3が記録される。暗号化方 式としては、 C 2 (Cryptomeria Ciphering) が使用される。

D VDメディア 1には、暗号化タイトルキ一 1 4および C C I (Cop y Control Information) 1 5が記録される。暗号化タイトルキー 1 4 は、暗号化されたタイトルキ一情報であり、タイトルキー情報は、タ ィトル毎に付加される鍵情報である。 C C Iは、コピーノーモア、コ ピーワンス、コビーフリ一等のコピー制御情報である。

レコーダ 2は、デバイスキー 1 1、プロセス MK B 2 、 C 2— G 2 3、乱数発生器 2 4、 C 2— E 2 5、 C 2— G 2 6および C 2— E C B C 2 7の構成要素を有する。プレーヤ 3は、デバイスキー 3 1、 プロセス MKB 3 2、 C 2_G 3 3. C 2_D 3 5. C 2_G 3 6お よび C 2— D C B C 3 7の構成要素を有する。

デバイスキ一 2 1、 3 1は、個々の装置メ一力、またはアプリケ一 シヨンソフトゥヱァベンダー毎に発行された識別番号である。デバイ スキーは、ライセンス管理者によって正当な電子機器またはアプリケ

—ションソフトゥヱァにのみ与えられる当該電子機器またはアプリケ ーシヨンソフトゥヱァ固有の情報である。 D VDメディア 1から再生 された MKB 1 2とデバイスキー 1 1 とがプロセス MKB 2 2におい て演算されることによって、リボケーシヨンされたかどうかの判別が できる。レコーダ 2におけるのと同様に、プレーヤ 3においても、 M K B 1 2 とデバイスキー 3 1 とがプロセス MK B 3 2において演算さ れ、リボケーションされたかどうかの判別がなされる。

さらに、プロセス MKB 2 2、 3 2のそれぞれにおいて、 MK B 1 2 とデバイスキー 2 1、 3 1からメディアキーが算出される。 MK B 1 2の中にレコーダ 2またはプレーヤ 3のデバイスキーが入っておら ず、演算された結果が予め決められたある値例えばゼロの値と一致し た場合、そのデバイスキーを持つレコーダ 2またはプレーヤ 3が正当 なものでないと判断される。すなわち、そのようなレコーダ 2または プレーヤ 3がリボケーションされる。

C 2— G 2 3、 3 3は、それぞれ、メディアキーとメディア I Dと を演算し、メディアユニークキ一を導出する処理である。

乱数発生器(RNG : Random Number Generator) 2 4は、タイトル キーの生成に利用される。乱数発生器 2 4からのタイトルキーが C 2 _E 2 5に入力され、タイトルキーがメディアユニークキーで暗号化 される。暗号化タイトルキー 1 4が DVDメディア 1に記録される。

プレーヤ 3では、 DVDメディア 1から再生された暗号化タイトル キ一 1 4とメディァユニークキ一とが C 2_D 3 5に供給され、暗号 化タイトルキーがメディアユニークキーで復号され、タイトルキーが 得られる。

レコーダ 2においては、 C C I とタイトルキーとが C 2 G 2 6に

供給され、コンテンツキーが導出される。コンテンツキーが C 2_E C B C 2 7に供給され、コンテンツキ一を鍵としてコンテンツが暗号 化される。暗号化コンテンツ 1 3が D V Dメディア 1に記録される。

プレーヤ 3においては、 C C I とタイトルキ一とが C 2— G 3 6に 供給され、コンテンツキーが導出される。コンテンツキーが C 2— E C B C 3 7に供給され、 DVDメディア 1から再生された暗号化コン テンッ 1 3がコンテンツキーを鍵として復号される。

第 1図の構成において、レコーダ 2による記録の手順について説明 する。レコーダ 2は、 D V Dメディア 1から M K B 1 を読み出し、 プロセス MKB 2 2によってデバイスキ一 2 1 と MKB 1 2 とを演算 し、メディアキーを計算する。演算結果が予め定められた値を示すな らば、デバイスキ一 2 1 (レコーダ 2の機器またはアプリケーション ) が MK Bによってリボ一クされたと判定される。レコーダ 2は、以 後の処理を中断し、 DVDメディア 1への記録を禁止する。若し、メ ディアキ一の値が予め定められた値以外であれば、処理を継続する。

レコーダ 2は、 DVDメディア 1からメディア I D 1 1を読み、メ ディアキーと共にメディア I Dを C 2_G 2 3に入力しメディア毎に 異なるメディアユニークキーが演算される。乱数発生器 2 4で発生さ せたタイトルキーが C 2— E 2 5で暗号化され、暗号化タイトルキー 1 4として DVDメディア 1に記録される。タイトルキーとコンテン ッの C C I情報が C 2_G 2 6で演算され、コンテンツキ一が導出さ れる。コンテンツキーでコンテンツを C 2—E C B C 2 7で暗号化し 、 D V Dメディア 1上に暗号化コンテンッ 1 3 として C C I 1 5 と共 に記録する。

プレーヤ 3による再生の手順について説明する。最初に MKB 1 2 を DVDメディア 1から読み出す。デバイスキー 3 1と MKB 1 2を 演算し、リボケ一シヨンの確認がなされる。デバイスキ一3 1、すな わち、プレーヤ 3の機器またはアプリケーションがリボークされない 場合には、メディア I Dを使用してメディアユニークキーが演算され 、読み出された暗号化タイトルキー 1 4とメディアユニークキーから タイトルキーが演算される。タイトルキーと CC I 1 5とが C 2— G 3 6に入力され、コンテンツキーが導出される。コンテンツキ一が C 2_D C B C 3 7に入力され、コンテンツキーを鍵として、 D VDメ ディア 1から再生された暗号化コンテンッ 1 3に対して C 2_D C B C 3 7の演算が施される。その結果、暗号化コンテンツ 1 3が復号さ れる。

このように、コンテンツの復号に必要なコンテンツキーを得るため には、 D V Dメディアの 1枚每に異なるメディア I Dが必要となるの で、たとえメディア上の暗号化コンテンツが忠実に他のメディアにコ ピ一されても、他のメディァのメディァ I Dがォリジナルのメディァ I Dと異なるために、コピ一されたコンテンツを復号することができ ず、コンテンツの著作権を保護することができる。

上述した第 1図の構成は、記録再生機器として構成されたものであ る。この発明は、 DVDメディア 1に対するコンテンツ保護処理を P C環境下で扱う場合に適用される。第 2図を参照して現行の方式によ る P Cとドライブの役割分担を示す。第 2図において、参照符号 4が 上述した CPRM規格に準拠した DVDメディア 1を記録および再生 する記録再生装置としての D VDドライブを示す。

参照符号 5がデータ処理装置としてのホスト例えば P Cを示す。ホ スト 5は、 D VDメディア 1に記録可能で、 DVDメディア 1から再 生可能なコンテンツを扱うことができ、且つ DVDドライブ 4と接続 されてデータ交換が可能な装置またはアプリケ一シヨンソフトウェア である。例えば P Cに対してアプリケーションソフトウェアがインス トールされることによってホスト 5が構成される。

DVDドライブ 4とホスト 5との間がィンタ一フヱース 4 aで接続 されている。イン夕一フェース 4 aは、 ATAP I (AT Attachment w ith Packet Interface) , ύし; I (Small Computer System Interfa ce) , USB (Universal Serial Bus) , I EEE (Institute of Elec tr ical and Electronics Engineers) 1 3 94等である。

D V Dメディア 1には、メディア I D 1 1、メディアキ一ブロック 1 2および AC C (Authentication Control Code) が予め記録されて いる。 A C Cは、 D V Dドライブ 4とホスト 5との間の認証が D V D メディア 1によって異なるようにするために予め DVDメディア 1に 記録されたデータである。

D VDドライブ 4は、 AC C 1 6を D VDメディア 1から読み出す 。 DVDメディア 1から読み出された AC C 1 6が DVDドライブ 4 の AK E (Authentication and Key Exchange) 4 1に入力されると共 に、ホスト 5へ転送される。ホスト 5は、受け取った AC Cを AK E 5 1に入力する。 AKE 4 1および 5 1は、乱数データを交換し、こ の交換した乱数と A C Cの値とから認証動作の度に異なる値となる共 通のセッションキー(バスキーと称する)を生成する。

バスキーが MAC (Message Authentication Code) 演算ブロック 4 2および 5 2にそれぞれ供給される。 MAC演算ブロック 4 2および 5 2は、 AK E 4 1および 5 1でそれぞれ得られたバスキーをパラメ ータとして、メディア I Dおよびメディアキーブロック 1 2の MAC を計算するプロセスである。 MKBとメディア I Dの完全性(integri

ty) をホスト 5が確認するために利用される。

MAC 4 2および 5 2によってそれぞれ計算された MACがホスト 5の比較 5 3において比較され、両者の値が一致するかどうかが判定 される。これらの MACの値が一致すれば、 MKBとメディア I Dの 完全性が確認されたことになる。比較出力でスィッチ SW 1が制御さ れる。

スィッチ SW 1は、 DVD ドライブ 4の DVDメディア 1の記録ま たは再生経路と、ホスト 5の暗号化/ (または)復号モジュール 5 4 との間の信号路を ON/ OF Fするものとして示されている。スイツ チ SW 1は、信号路の ON/ OF Fを行うものとして示されているが 、より実際には、 ONの場合にホスト 5の処理が継続し、 O F Fの場 合にホスト 5の処理が停止することを表している。暗号化/復号モジ ユール 5 4は、メディアユニークキーと暗号化タイトルキーと C C I とからコンテンツキ一を算出し、コンテンツキ一を鍵としてコンテン ッを暗号化コンテンツ 1 3へ暗号化し、またはコンテンツキ一を鍵と して暗号化コンテンッ 1 3を復号する演算プロックである。

メディアユニークキ一演算ブロック 5 5は、 MKB 1 2とメディア I Dとデバイスキ一 5 6 とからメディアユニークキ一を演算する演算 ブロックである。第 1図に示すレコーダまたはプレーヤと同様に、デ バイスキーと M K B 1 2 とからメディアキーが演算される。メディア キーとメディア I D 1 1 とからメディアユニークキーが演算される。 メディアキ一が所定の値となった場合には、その電子機器またはアブ リケーシヨンソフトゥヱァが正当なものではないと判断され、リボー クされる。したがって、メディアユニークキ一演算ブロック 5 5は、 リボケ一ションを行うリボーク処理部としての機能も有する。

記録時に、比較 5 3によって完全性が確認された場合には、スイツ チ SW 1が〇Nされる。号化/復号モジュール 5 4からスィッチ SW 1 を通じてドライブ 4に対して、暗号化コンテンッ 1 3、暗号化タイ トルキ一 1 4および C C I 1 5が供給され、 DVDメディア 1 に対し てそれぞれ記録される。再生時に、比較 5 3によって完全性が確認さ れた場合には、スィッチ SW 1が ONされる。 DVDメディア 1から それぞれ再生された暗号化コンテンッ 1 3、暗号化タイトルキー 1 4 および C C I 1 5がスィッチ SW 1 を通じてホスト 5の暗号化/復号 モジュール 5 4に対して供給され、暗号化コンテンッが復号される。

第 3図は、第 2図に示す現行の P C環境下の DVDメディアを利用 するシステムにおいて、 DVDメディア 1 と、 DVD ドライブ 4と、 ホスト 5との間の信号の授受の手順を示す。ホスト 5が D VD ドライ ブ 4に対してコマンドを送り、 D VD ドライブ 4がコマンドに応答し た動作を行う。

ホスト 5からの要求に応じて DVDメディア 1上の AC Cがシーク され、読み出される (ステップ S 1 ) 。次のステップ S 2において、 読み出された AC Cが AKE 4 1に入力されると共に、ホスト 5へ転 送され、ホスト 5では、受け取った AC Cが AKE 5 1へ入力される 。 AKE 4 1および 5 1は、乱数データを交換し、この交換した乱数 と AC C 1 6の値から認証動作の度に異なる値となるセッシヨンキー としてのバスキ一を生成し、バスキーを DVD ドライブ 4とホスト 5 が共有する。相互認証が成立しなかった場合では、処理が中断する。

認証動作は、電源の ON後のディスク検出時並びにディスクの交換 時には、必ず行われる。記録ボタンを押して記録動作を行う場合、並 びに再生ボタンを押して再生動作を行う場合に、認証動作を行うよう にしても良い。一例として、記録ボタンまたは再生ボタンを押した時 に、認証がなされる。

認証が成功すると、ステップ S 3において、ホスト 5が D VDドラ イブ 4に対して、 DVDメディア 1からの MKB (メディアキーブロ ック)パック # 0の読み出しを要求する。 MKBは、パック 0〜パッ ク 1 5の 1 6セクタが 1 2回繰り返してリードインエリアに記録され ている。パック単位で、エラー訂正符号化がなされている。

D VDドライブ 4がステップ S 4において M KBのパック # 0を読 みに行き、ステップ S 5において、パック # 0が読み出される。 DV Dドライブ 4は、モディファイド M K Bをホスト 5へ戻す(ステップ S 6 ) 。 MKBを読み出す際に、バスキ一をパラメ一夕として MAC 値を計算し、 MKBに対して MAC値を付加してホスト 5へデ一夕を 転送する。ノヽ。ック # 0以外の残りの M KBパックの要求と、 DVDド ライブ 4の読み出し動作と、モディファイド MK Bパックの転送動作 とが M K Bのパックがなくなるまで、例えばパック # 1 5が読み出さ れ、ホスト 5へ転送されるまで、ステップ S 7および S 8によつて繰 り返しなされる。

ホスト 5が DVDドライブ 4に対してメディア I Dを要求する。 D VDドライブ 4が DVDメディア 1に記録されているメディア I Dを 読みに行き、ステップ S 1 1において、メディア I Dが読み出される 。 DVDドライブ 4は、メディア I Dを読み出す際に、バスキーをパ ラメ一夕としてその MAC値を計算する。 DVDドライブ 4はステツ プ S 1 2において、読み出されたメディア I Dに対して MAC値 m 1 を付加してホスト 5へデータを転送する。

ホスト 5では、 DVDドライブ 4から受け取った MKB 1 2および メディア I D 1 1からバスキ一をパラメータとして再度 MAC値を計 算し、計算した MAC値と DVD ドライブ 4から受け取った MAC値 とを比較 5 3で比較する。両者が一致したならば、正しい MKBおよ びメディア I Dを受け取つたと判定して、スィッチ SW 1を ONに設 定して処理を先に進める。逆に両者が一致しなかったならば、 MKB およびメディア I Dが改ざんされたものと判定して、スィッチ S W 1 を 0 F Fに設定して処理を中断する。

ステップ S 1 3において、ホスト 5が D VD ドライブ 4に対して暗 号化コンテンッを要求し、ステップ S 1 4において、 D VD ドライブ 4が暗号化コンテンツを読み出し、ステップ S 1 3において、読み出 した暗号化コンテンッがホスト 5に転送される。ホスト 5のメディア ユニークキー演算プロック 5 5では、デバイスキ一 5 6 と MK B 1 2 とメディア I D 1 1 とによってメディアユニークキーが計算される。 メディアユニークキーが暗号化/復号モジュール 5 4に供給され、暗 号化タイトルキ一 1 4、 C C I 1 5からコンテンツキーが求められる 。コンテンツキーを鍵として DVDメディア 1から読み出された暗号 化コンテンッが復号される。 DVDメディア 1に対して記録されるコ ンテンッが暗号化される。

第 4図のフローチャートにおいて、ステップ S T 1は、 MAC演算 プロック 4 2でバスキーをパラメ一夕として求められた MAC計算値 と、 MAC演算プロック 5 3でバスキ一をパラメータとして求められ た MAC計算値とを比較するステップである。両者が一致すれば、ス イッチ SW 1がステップ S T 2において ONとされる。両者が一致し ない場合では、スィッチ S W 1がステップ S T 3において 0 F Fとさ れ、処理が停止する。

上述した C P RMでは、 DVD— Video の著作権保護技術である C S Sと同じバスキー生成方法を採用している。 C S S認証方式の内容 は、本来秘密であるべき情報であるが、既に解析され一般ユーザーが 入手可能な C S Sライセンス管理団体である DVD- CCA の許諾を得てい ないフリーソフトゥヱァによつて動作させることが可能となっている 。コンテンツプロテクション処理は、ホスト側でなされる、すなわち 、リボケ一シヨン判定、メディアキ一取得、メディアユニークキ一導 出、タイトルキ一生成 ·導出からコンテンツキ一導出およびコンテン ッ暗号化 ·復号の全てがホスト側の処理であることから、著作権保護 技術としての信頼性が低下している。

以下に述べるこの発明は、かかる問題点を解決するものである。一 実施形態では、 P C環境下でのコンテンツプロテクション処理におけ る P Cとドライブの役割分担におけるリボケーション動作とメディア キ一導出に関わる情報(ここでは、デバイスキ一)をドライブ内部に 持ち、 P Cとの相互認証を経てセッションキ一を導出するものである

第 5図は、一実施形態における相互認証の構成を示すブロック図で あり、第 6図は、ドライブ側の処理の流れを示すフローチャートであ り、第 7図は、ホスト側の処理の流れを示すフローチャートである。 以下の説明において、参照符号 1 0 1がメディア例えば光ディスクを 示し、参照符号 1 0 2がメディアのドライブを示し、参照符号 1 0 3 がドライブ 1 0 2とドライブ一ホストインタ一フェース 1 0 4を介し て接続されたホストを示す。メディア 1 0 1は、上述した D V Dメデ ィァと同様の情報が予め記録されているものである。メディア 1 0 1 は、記録可能なものに限らず、読み出し専用のものでも良い。ホスト 1 0 3がドライブ 1 0 2に対して所定のコマンドを送り、その動作を 制御する。使用するコマンドは、上述した非特許文献 2に記載されて いるコマンド並びにコマンドを拡張したもの、および、メディア 1 0 1からコンテンツをセクタ · デ一夕として読み出すための R E ADコ マンド、メディア 1 0 1へコンテンツをセクタ ' データとして書き込 むための W R I T Eコマンドである。

ドライブ 1 0 2は、ドライブのデバイスキ一 1 2 1 を有し、ホスト 1 0 3がホストのデバイスキー 1 3 1 を有している。デバイスキ一 1 2 1は、多くの場合に L S I (Large Scale Integrated Circuit :大 規模集積回路)内部に配置され、外部から読み出すことができないよ ぅセキュアに記憶される。デバイスキー 1 3 1は、ソフトウェアプロ グラム内にセキュアに記憶される場合と、ハードウェアとしてセキュ ァに記憶される場合とがある。ドライブ 1 0 2がメディア 1 0 1 を扱 う正当なドライブとなるためには、一実施形態のように、デバイスキ 一のような著作権保護技術に関する秘密情報を必要とするので、正規 のライセンスを受けずに正規品になりすますようなクローン ' ドライ ブの作成を防止できる効果がある。

第 5図に示すように、ドライブ 1 0 2には、 MKBとデバイスキー 1 2 1 とが入力され、ドライブのデバイスキーがリボケーシヨンされ たかどうかを判定するプロセス MKB 1 2 2が備えられている。ホス ト 1 0 3にも同様に、プロセス MK B 1 3 2が備えられている。リボ ケ一ションされない場合に、プロセス MK B 1 2 2および 1 3 2から それぞれメディアキー Kmが出力される。リボーク判定処理がなされ 、メディアキ一 Kmが得られてから認証処理がなされる。

参照符号 1 2 3、 1 2 4および 1 2 5は、メディアキ一 Kmをパラ メータとして MAC値を計算する MAC演算プロックをそれぞれ示す 。また、参照符号 1 2 6、 1 2 7および 1 2 8は、乱数発生器(RN G : Random Number Generator ) をそれぞれ示す。乱数発生器 1 2 6 が乱数 Ralを生成し、乱数発生器 1 2 7が乱数 Ra2を生成し、乱数発 生器 1 2 8が乱数 Ra3を生成する。乱数発生器 1 2 6、 1 2 7、 1 2 8は、例えば L S Iの構成の乱数発生器であり、ソフトゥヱァにより 乱数を発生する方法と比較してより真正乱数に近い乱数を発生するこ とができる。乱数発生器を共通のハードゥヱァとしても良いが、乱数 Ral、 Ra2、 Ra3は、互いに独立したものである。'

ホスト 1 0 3に、メディアキー Kmをパラメ一夕として MAC値を 計算する MAC演算プロック 1 3 3、 1 3 4および 1 3 5と、乱数発 生器 1 3 6、 1 3 7および 1 3 8が備えられている。乱数発生器 1 3 6が乱数 Rblを生成し、乱数発生器 1 3 7が乱数 Rb2を生成し、乱数 発生器 1 3 8が乱数 Rb3を生成する。乱数発生器 1 3 6、 1 3 7、 1 3 8は、通常はソフトウエアによって乱数を発生するものであるが、 ハ一ドウヱァによる乱数が利用できる場合にはこれを用いても良い。

ドライブ 1 0 2において生成された乱数とホスト 1 0 3において生 成された乱数とが交換される。すなわち、乱数 Ralおよび乱数 Rblが MAC演算プロック 1 2 3および 1 3 3に入力され、乱数 Ra2および 乱数 Rb2が MAC演算プロック 1 2 4および 1 3 4に入力され、乱数 Ra3および乱数 Rb3が MAC演算ブロック 1 1 5および 1 3 5に入力 される。

ドライブ 1 0 2の M A C演算ブロック 1 2 3が演算した M A C値と 、ホスト 1 0 3の MAC演算プロック 1 3 3が演算した MAC値とが ホスト 1 0 3内の比較 1 3 9において比較され、二つの値が同一か否 かが判定される。ここでの MAC値は、 eKm (Ral II Rbl)と表記される 。 e Km () は、メディアキー Kmを鍵として括弧内のデ一夕を暗号 化することを表している。 Ral II Rblの記号は、左側に乱数 Ralを配 し、右側に乱数 Rblを配するように、二つの乱数を結合することを表 している。比較の結果、二つの値が同一と判定されると、ホスト 1 0 3による ドライブ 1 0 2の認証が成功したことになり、そうでない場 合には、この認証が失敗したことになる。

ホスト 1 0 3の MAC演算プロック 1 3 4が演算した MAC値と、 ドライブ 1 0 2の MAC演算プロック 1 2 4が演算した MAC値とが ドライブ 1 0 2内の比較 1 1 9において比較され、二つの値が同一か 否かが判定される。ここでの MAC値は、 eKm(Rb2 II Ra2)と表記され る。比較の結果、二つの値が同一と判定されると、ドライブ 1 0 2に よるホスト 1 0 3の認証が成功したことになり、そうでない場合には 、この認証が失敗したことになる。

かかる相互認証において、比較 1 3 9および 1 2 9の両者において 、 MAC値が同一と判定され、 ドライブ 1 0 2およびホスト 1 0 3の 両者の正当性が確認されると、すなわち、相互認証が成功すると、 M

AC演算プロック 1 2 5および 1 3 5によって、共通のセッションキ -eKm (Ra3 II Rb3)がそれぞれ生成される。

さらに、上述した相互認証の処理の流れを第 6図および第 7図のフ 口一チャートを参照して説明する。最初に、第 7図のステップ S T 2 0において、ホスト 1 0 3がドライブ 1 0 2に対して、コマンド REP0 RT KEYを発行し、 MKBの転送を要求する。第 6図のステップ S T 1 0において、 ドライブ 1 0 2がメディア 1 0 1から MK B 1 1 2を読 み出して、ホスト 1 0 3へ転送する。

次に、ドライブ 1 0 2がステップ S T 1 1において、プロセス MK B 1 2 2によってメディアキー K mを計算し、ホスト 1 0 3がステツ プ S T 2 1において、プロセス MKB 1 3 2によってメディアキー K mを計算する。この計算の過程でそれぞれが内蔵するデバイスキー 1 2 1および 1 3 1がリボケ一ションの対象とされているか否かが自分 自身によって確認される(第 6図中のステップ S T 1 2、第 7図中の ステップ S T 2 2 ) 。

ドライブ 1 0 2およびホスト 1 0 3のそれぞれは、リボケーション の対象とされている場合にはリボークされ、処理が終了する。若し、 ホスト 1 0 3がリボケ一ションの対象とされていなければ、ステップ S T 2 3において、コマンド SEND KEYにより、ドライブ 1 0 2に対し て乱数発生器 1 3 6および 1 3 7でそれぞれ生成された乱数 Rblと乱 数 Rb2を転送する。若し、ドライブ 1 0 2がリボケ一ションの対象と されていなければ、ステップ S T 1 3において、ドライブ 1 0 2がホ ス卜 1 0 3から転送されたこれらの乱数を受け取る。

その後、ホスト 1 0 3は、コマンド REPORT KEYによりドライブ 1 0 2に対してドライブ 1 0 2が持つメディアキ一 Kmを鍵とした MA C によるレスポンス値と乱数生成器 1 2 6が発生した乱数 Ral とをホス ト 1 0 3へ転送することを要求する(ステップ S T 2 4 ) 。このレス ポンス値は、 eKm(Ral il RM)と表記される。 e Km () は、メディア キー Kmを暗号鍵として括弧内のデータを暗号化することを表してい る。 Ral II Rblの記号は、左側に乱数 Ralを配し、右側に乱数 Rblを 配するように、二つの乱数を結合することを表している。

ホスト 1 0 3からコマンド REPORT KEYを受け取つたドライブ 1 0 は、ステップ S T 1 4において、 MAC演算プロック 1 2 3が生成し た MA C値 eKm(Ral II Rbl)と乱数 Ralをホスト 1 0 3へ転送する。ス テツプ S T 2 5において、ホスト 1 0 3は、自身の MA C演算プロッ ク 1 3 3で MAC値を計算し、比較 1 3 9においてドライブ 1 0 2か ら受け取った値と一致するかの確認を行う。若し、受け取った MAC 値と計算された MA C値とがー致したのなら、ホスト 1 0 3によるド ライブ 1 0 2の認証が成功したことになる。ステップ S T 2 5におけ る比較の結果が同一でない場合には、ホスト 1 0 3によるドライブ 1 0 2の認証が失敗したことになり、リジヱクト処理がなされる。

ホスト 1 0 3によるドライブ 1 0 2の認証が成功した場合には、ス テツプ S T 2 6において、ホスト 1 0 3がドライブ 1 0 2へコマンド REPORT KEYを送付し、ドライブ 1 0 2の乱数生成器 1 2 4および 1 2 5がそれぞれ生成する乱数 Ra2と乱数 Ra3の転送を要求する。このコ マンドに応答して、ステップ S T 1 5において、ドライブ 1 0 は、 これらの乱数をホスト 1 0 3へ転送する。

ステップ S T 2 7において、ホスト 1 0 3の MAC演算プロック 1 3 4は、ドライブ 1 0 2から受け取った乱数からホスト 1 0 3が持つ メディアキー Kmを鍵とした MACによるレスポンス値 eKm(Rb2 II Ra2 )を計算し、乱数 Rb3とともに、コマンド SEND KEYを用いてドライブ 1 0 2へ転送する。

ステップ S T 1 6において、ドライブ 1 0 2は、ホスト 1 0 3から レスポンス値 eKm(Rb2 II Ra2)および乱数 Rb3を受け取ると、自身で MA C値を計算し、ステップ S T 1 7において、比較 1 9によってホス ト 1 0 3から受け取った MAC値と一致するかの確認を行う。若し、 受け取った MAC値と計算された MAC値とが一致したのなら、 ドラ イブ 1 0 2によるホスト 1 0 3の認証が成功したことになる。この場 合には、ステップ S T 1 8において、 MAC演算プロック 1 2 5がセ ッシ aンキー eKm(Ra3 II Rb3)を生成し、また、ホスト 1 0 3に対して 認証が成功したことを示す情報を送信し、認証処理が完了する。セッ シヨンキーは、認証動作の度に異なる値となる。

ステップ S T 1 7における比較の結果が同一でない場合には、ドラ イブ 1 0 2によるホスト 1 0 3の認証が失敗したことになり、ステツ プ S T 1 9において、認証が失敗したことを示すエラー情報がホスト

1 0 3に送信される。

ホスト 1 0 3は、送付したコマンド SEND KEYに対する応答としてド ライブ 1 0 2から認証が成功したか否かを示す情報を受け取り、受け 取った情報に基づいてステップ S T 2 8において、認証完了か否かを 判断する。認証が成功したことを示す情報を受け取ることで認証完了 と判断し、認証が失敗したことを示す情報を受け取ることで認証が完 了しなかったと判断する。認証が完了した場合は、ステップ S T 2 9 において、 M A C演算プロック 1 3 5がドライブ側と共通のセッショ ンキー eKm (Ra3 II Rb3) (例えば 6 4 ビット長)を生成する。認証が完 7しなかった場合には、リジヱクト処理がなされる。セッションキー eKm (Ra3 II Rb3)を以下の説明では、適宜 sと表記する。

上述した一実施形態による相互認証は、ドライブ 1 0 2がリボケ一 シヨン機能を持つことができ、また、認証専用の特定の認証鍵を必要 としない特徴を有している。

また、電子機器固有の情報としてのデバイスキーを記録再生装置が 持つことによって、記録再生装置自身をリボークすることが可能とな る。

さらに、ドライブ 1 0 2が比較 1 9によってホスト 1 0 3の認証 結果を確認することで、ドライブ 1 0 2がホスト 1 0 3から正規のラ ィセンスを受けた上で実装されたものであるか否かを判定することが 可能となる。

次に、上述した相互認証を行うドライブ 1 0 2 とホスト 1 0 3 とを 組み合わせて実現したレコーダの一実施形態の構成を第 8図に示す。 一実施形態のレコーダは、ドライブ 1 0 2がメディアユニークキーを 計算し、計算したメディアユニークキ一を相互認証によって生成した セッションキー K sを用いてセキュアにホスト 1 0 3に転送する。ま

た、ドライブ 1 0 2がコンテンツキー導出のための乱数デ一夕を生成 し、生成した乱数データを相互認証によって生成したセッションキー K sを用いてホスト 1 0 3へセキュアに転送し、ホスト 1 0 3が導出 したコンテンツキ一を用いてコンテンッを暗号化し、暗号化コンテン ッをドライブ 1 0 2へ転送し、ドライブ 1 0 2が暗号化コンテンツを メディア 1 0 1へ記録する構成とされている。

レコーダを構成するドライブ 1 0 2は、デバイスキ一 1 2 1、プロ セス MKB 1 2 2、 C 2_G 2 1 4 D E S (Data Encryption Sta ndard)ェンクリプタ 1 4 2、乱数発生器 1 4 3、 D E Sェンクリプタ 1 4 4の構成要素を有する。

メディア 1 0 1から再生された MK B 1 1 2 とデバイスキー 1 2 1 とがプロセス MK B 1 2 2において演算されることによって、リボケ ーションされたかどうかの判別ができる。プロセス MKB 1 2 にお いて、 MKB 1 1 2とデバイスキー 1 2 1からメディアキーが算出さ れる。 MK B 1 1 2の中にドライブ 1 0 2のデバイスキー 1 2 1が入 つておらず、演算された結果が予め決められたある値例えばゼロの値 と一致した場合、そのデバイスキー 1 2 1 を持つドライブ 1 0 1が正 当なものでないと判断され、ドライブ 1 0 2がリボケーシヨンされる

C 2_G 1 4 1は、メディアキ一とメディア I D 1 1 1 とを演算し 、メディアユニークキーを導出する処理である。メディアユニークキ —が D E Sェンクリプ夕 1 4 2にてセッションキー K sによって暗号 化される。暗号化の方式として、例えば D E S C B Cモードが使用 される。 D E Sェンクリプ夕 1 4 2の出力がホスト 1 0 3の D E Sテ、 クリプタ 1 5 1に送信される。

乱数発生器 1 4 3によってタイトルキーが生成される。乱数発生器 1 4 3からのタイトルキーが D E Sェンクリブ夕 1 4 4に入力され、 タイトルキーがセッションキーで暗号化される。暗号化タイトルキ一 がホスト 1 0 3の D E Sデクリプタ 1 5 2に送信される。

ホスト 1 0 3において、 D E Sデクリプタ 1 5 1 において、セッシ ヨンキー K sによってメディアユニークキーが復号される。 D E Sデ クリプタ 1 5 2において、セッションキー K sによってタイトルキー が復号される。メディアユニークキーおよびタイトルキーが C 2 _ E

1 5 3に供給され、タイトルキーがメディアユニークキ一を使用して C 2によって暗号化される。暗号化タイトルキー 1 1 4がメディア 1 0 1 に記録される。

ホスト 1 0 3においては、 C C I と復号されたタイトルキーとが C 2— G 1 5 4に供給され、コンテンツキーが導出される。コンテンツ キーが C 2 __ E C B C 1 5 5に供給され、コンテンツキ一を鍵として コンテンッが暗号化される。暗号化コンテンツ 1 1 3がメディア 1 0 1 に記録される。

第 9図は、コンテンツ記録時の手順を示すものである。最初に、ホ スト 1 0 3からの要求に応じてメディア 1 0 1上の M K Bがシークさ れ、読み出される (ステップ S 2 1 ) 。次のステツプ S 2 2の A K E (Authent i cat i on and Key Exchange) ίこおレヽて、上述したよつなリホ ーク処理とドライブ 1 0 2 とホスト 1 0 3の相互認証動作がなされる

相互認証動作は、電源の O N後のディスク検出時並びにディスクの 交換時には、必ず行われる。また、記録ボタンを押して記録動作を行 う場合、並びに再生ボタンを押して再生動作を行う場合に、認証動作 を行うようにしても良い。一例として、記録ボタンまたは再生ボタン を押した時に、認証がなされる。

相互認証が成功しないと、リジヱクト処理によって例えば処理が中 断する。相互認証が成功すると、ドライブ 1 0 2およびホスト 1 0 3 の両者において、セッションキー K sが生成され、セッションキ一 K sが共有される。

次のステップ S 2 3において、ホスト 1 0 3がドライブ 1 0 2に対 してメディアユニークキ一を要求する。ドライブ 1 0 2は、メディア 1 0 1のメディア I Dをシークし (ステップ S 2 4 ) 、メディア I D をメディア 1 0 1 から読み出す (ステップ S 2 5 ) 。ドライブ 1 0 2 は、メディアキーとメディア I Dとを演算することによってメディア ユニークキーを生成する。ステップ S 2 6において、メディアュニー クキーがセッションキー K sによって暗号化され、暗号化されたメデ ィァユニークキーがホスト 1 0 3に転送される。

次に、ステップ S 2 7において、ホスト 1 0 3がドライブ 1 0 2に 対してタイトルキ一を要求する。ステップ S 2 8において、ドライブ 1 0 2がタイトルキーをセッションキー K sで暗号化し、暗号化した タイトルキーをホスト 1 0 3に転送する。ホスト 1 0 3において、セ ッションキ一 K sによって、暗号化されたメディアユニークキ一およ び暗号化されたタイトルキーがそれぞれ復号される。

そして、タイトルキーがメディアユニークキーによって暗号化され 、暗号化タイトルキーが生成される。また、タイトルキーと C C I か らコンテンツキーが生成され、コンテンツキーによってコンテンツが 暗号化される。ステップ S 2 9において、ホスト 1 0 3からドライブ 1 0 2に対して、暗号化タイトルキー、暗号化コンテンツおよび C C Iが転送される。ステップ S 3 0において、ドライブ 1 0 2によって 、これらの暗号化タイトルキ一、暗号化コンテンツおよび C C Iがメ ディア 1 0 1 に対して記録される。

なお、第 8図のレコーダの構成においては、ドライブ 1 0 2におい て乱数発生器 1 4 3を使用してタイトルキーを生成している。しかし ながら、ホスト 1 0 3に乱数発生器を設け、この乱数発生器によって タイトルキーを生成するようにしても良い。

次に、上述した相互認証を行うドライブ 1 0 2とホスト 1 0 3 とを 組み合わせて実現したプレーヤの一実施形態の構成を第 1 0図に示す 。一実施形態のプレーヤは、ドライブ 1 0 2が計算したメディアュニ —クキ一を相互認証によって生成したセッションキ一 K sを用いてセ キュアにホスト 1 0 3に転送し、ホスト 1 0 3が暗号化タイトルキ一 をメディアユニークキ一によって復号し、タイトルキーと C C I とか ら導出したコンテンツキ一を用いてコンテンッを復号する構成とされ ている。

プレーヤを構成するドライブ 1 0 2は、デバイスキ一 1 2 1、プロ セス MKB 1 2 2、 C 2_G 2 1 4 K D E Sェンクリブ夕 1 4 2の 構成要素を有する。メディア 1 0 1から再生された M KB 1 1 2 とデ バイスキー 1 1 1 とがプロセス M KB 1 2 2において演算されること によって、リボケ一シヨンされたかどうかの判別ができる。プロセス MKB 1 2 2において、 MK B 1 1 2 とデバイスキ一 1 1 1からメデ ィアキ一が算出される。

C 2_G 1 4 1は、メディアキーとメディア I D 1 1 1 とを演算し 、メディアユニークキーを導出する処理である。メディアユニークキ 一が D E Sェンクリプタ 1 4 2にてセッションキ一 K sによって暗号 化される。暗号化の方式として、例えば D E S C B Cモードが使用 される。 D E Sェンクリプタ 1 4 2の出力がホスト 1 0 3の D E Sデ クリプ夕 1 5 1に送信される。

ホスト 1 0 3において、 D E Sデクリプ夕 1 5 1において、セッシ ヨンキ一 K sによってメディァユニークキ一が復号される。メディア ユニークキ一および暗号化タイトルキー 1 1 4が C 2 _D 1 5 3に供 給され、暗号化タイトルキーがメディアユニークキ一を使用して復号 される。復号されたタイトルキーとメディア 1 0 1から再生された C C Iが C 2 _ G 1 5 4に供給され、コンテンツキ一が導出される。メ ディア 1 0 1から再生された暗号化コンテンッ 1 1 3が C 2デクリプ タ 1 5 5において、コンテンツキーによつて復号され、コンテンツが 得られる。

第 1 1図は、コンテンツ再生時の手順を示すものである。最初に、 ホスト 1 0 3からの要求に応じてメディア 1 0 1上の M K Bがシーク され、読み出される(ステップ S 4 1 ) 。 M K Bがパック毎に読み出 される。次のステツプ S 4 2の A K Eにおいて、上述したようなリボ —ク処理とドライブ 1 0 2 とホスト 1 0 3の相互認証動作がなされる

相互認証が成功しないと、リジヱクト処理によって例えば処理が中 断する。相互認証が成功すると、ドライブ 1 0 2およびホスト 1 0 3 の両者において、セッションキ一 K sが生成され、セッションキー K sが共有される。

次のステップ S 4 3において、ホスト 1 0 3がドライブ 1 0 2に対 してメディアユニークキーを要求する。ドライブ 1 0 2は、メディア 1 0 1のメディア I Dをシークし(ステップ S 4 4 ) 、メディア I D をメディア 1 0 1から読み出す(ステップ S 4 5 ) 。ドライブ 1 0 2 は、メディアキーとメディア I Dとを演算することによってメディア ユニークキーを生成する。ステップ S 4 6において、メディァュ二一 クキーがセッシヨンキー K sによって暗号化され、暗号化されたメデ ィァユニークキ一がホスト 1 0 3に転送される。

次に、ステップ S 4 7において、ホスト 1 0 3がドライブ 1 0 2に 対して、暗号化タイトルキ一、 C C Iおよび暗号化コンテンツを要求 する。ステップ S 4 8において、ドライブ 1 0 2が暗号化タイトルキ 一 1 1 4、 C C I 1 1 5および暗号化コンテンツ 1 1 3をメディア 1 0 1からリードする。ステップ S 4 9において、ドライブ 1 0 2が暗 号化タイトルキー 1 1 4、 C C I 1 1 5および暗号化コンテンッ 1 1 3を読み取る。そして、ステップ S 5 0において、ドライブ 1 0 1が 暗号化タイトルキー 1 1 4、 C C I 1 1 5および暗号化コンテンッ 1 1 3をホスト 1 0 3に対して転送する。

ホスト 1 0 3において、タイトルキーが復号され、タイトルキーと C C I とからコンテンツキ一が求められ、コンテンツキ一を鍵として 暗号化コンテンッが復号される。

第 1 0図に示すプレーヤの構成においては、ホスト 1 0 3が暗号化 タイトルキーを復号するデクリプタ C 2 _ D 1 5 3を備えているが、 ドライブ 1 0 2が暗号化タイトルキーを復号するデクリプタを備える ようにしても良い。この場合、復号されたタイトルキ一がホスト 1 0 3のコンテンツキ一生成用の C 2 _ G 1 5 4に対してセキュアに転送 される。または、ドライブ 1 0 2にコンテンツキ一生成装置 C 2— G を設け、ドライブ 1 0 2において復号されたタイトルキーと C C I と からコンテンツキ一を生成するようにしても良い。この場合、復号さ れたコンテンツキ一がホスト 1 0 3の C 2— D C B C 1 5 5へセキュ ァに転送される。

第 1 2図は、相互認証を行うドライブ 1 0 2とホスト 1 0 3 とを組 み合わせて実現したレコーダの他の実施形態の構成を示す。他の実施 形態のレコーダは、ドライブ 1 0 2が計算したメディアユニークキ一 を相互認証によって生成したセッションキー K sを用いてセキュアに ホスト 1 0 3に転送する。また、ドライブ 1 0 2においてコンテンツ キーが生成され、生成されたコンテンツキ一がセッションキー K sを 用いてホスト 1 0 3へセキュアに転送され、ホスト 1 0 3が復号した コンテンツキーを用いてコンテンツを暗号化し、暗号化コンテンツを ドライブ 1 0 2へ転送し、ドライブ 1 0 2が暗号化コンテンツをメデ ィァ 1 0 1へ記録する構成とされている。すなわち、第 8図に示す上 述したレコーダでは、ホスト 1 0 3においてコンテンツキ一を生成し たが、他の実施形態では、ドライブ 1 0 2において、コンテンツキー を生成している。

第 1 2図に示すように、メディア 1 0 1 から再生された M K B 1 1 とデバイスキー 1 1 1 とがプロセス M K B 1 2 2において演算され ることによって、メディアキーが算出され、 C 2— G 1 4 1 において 、メディアキーとメディア I D 1 1 1 とが演算し、メディアユニーク キーが導出される。メディアユニークキーが D E Sェンクリプタ 1 4 2にてセッショ ンキ一 K sによって暗号化され、 D E Sェンクリブ夕 1 4 2の出力がホスト 1 0 3の D E Sデクリブ夕 1 5 1 に送信され、 D E Sデクリプタ 1 5 1 によってメディアユニークキーが導出される

さらに、ドライブ 1 0 2の乱数発生器 1 4 3によってタイトルキー が生成され、乱数発生器 1 4 3からのタイトルキーがホスト 1 0 3の C 2 __ E 1 5 3に供給され、タイトルキーがメディアユニークキーを 使用して C 2によって暗号化される。暗号化タイトルキー 1 1 4がメ ディア 1 0 1 に記録される。

ホスト 1 0 3において、セッションキー K sを鍵として M A C演算 プロック 1 5 8により C C I の M A C値 e K s ( C C I ) が計算され 、 C C I とともにドライブ 1 0 2へ転送される。

ドライブ 1 0 において、ホスト 1 0 3から受け取った C C I から セッションキ一 K sを鍵として M A C演算プロック 1 5 7により C C Iの M A C値 e K s ( C C I ) が計算され、ホスト 1 0 3から受け取 つた M A C値とともに比較 1 5 9へ供給される。

比較 1 5 9では、両方の M A C値が一致したならば、ホスト 1 0 3 から受け取った C C I の改ざんは無いものと判断し、スィッチ S W 2 を〇Nする。一致しなかった場合は、 C C I は改ざんされたものとみ なし、スィッチ S W 2 を O F F し、以降の処理を中断する。

ドライブ 1 0 1において、ホスト 1 0 3から受け取った C C I とタ ィトルキーとが C 2 _ G 1 4 5に供給され、コンテンツキ一が導出さ れる。コンテンツキーが D E Sェンクリプ夕 1 4 6に供給され、セッ シヨンキー K sを鍵として、コンテンツキーが暗号化される。暗号化 コンテンツキーがホスト 1 0 3の D E Sデクリブ夕 1 5 6に転送され る。

D E Sデクリブ夕 1 5 6でセッションキ一 K sを鍵として復号され たコンテンツキーが C 2— E C B C 1 5 5に供給され、コンテンツキ 一を鍵としてコンテンツが暗号化される。暗号化コンテンツ 1 1 3が ドライブ 1 0 2に転送され、ドライブ 1 0 2によってメディア 1 0 1 に記録される。

なお、第 1 2図に示すレコーダにおいては、タイトルキーがドライ ブ 1 0 2の乱数発生器 1 4 3によって生成されている。しかしながら 、ホスト 1 0 3側に乱数発生器を設け、この乱数発生器によってタイ トルキーを生成しても良い。この場合には、生成されたタイトルキー がホスト 1 0 3からドライブ 1 0 2のコンテンツキ一生成のための C 2— G 1 4 5に対して転送される。

第 1 3図は、レコーダの他の実施形態によるコンテンツ記録時の手

順を示すものである。最初に、ホスト 1 0 3からの要求に応じてメデ ィァ 1 0 1上の M K Bがシークされ、読み出される(ステップ S 6 1 ) 。次のステップ S 6 2の A K Eにおいて、リボーク処理とドライブ 1 0 2 とホスト 1 0 3の相互認証動作がなされる。

相互認証が成功しないと、リジヱクト処理によって例えば処理が中 断する。相互認証が成功すると、ドライブ 1 0 2およびホスト 1 0 3 の両者において、セッションキー K sが生成され、セッションキー K sが共有される。

次のステップ S 6 3において、ホスト 1 0 3がドライブ 1 0 2に対 してメディアユニークキーを要求する。ドライブ 1 0 2は、メディア 1 0 1 のメディア I Dをシークし(ステップ S 6 4 ) 、メディア I D をメディア 1 0 1から読み出す (ステップ S 6 5 ) 。ドライブ 1 0 2 は、メディアキーとメディア I Dとを演算することによってメディア ユニークキ一を生成する。ステップ S 6 6において、メディァュニー クキーがセッションキ一 K sによって暗号化され、暗号化されたメデ ィァユニークキーがホスト 1 0 3に転送される。

次に、ステップ S 6 7において、ホスト 1 0 3がドライブ 1 0 2に 対してタイトルキ一を要求する。ステップ S 6 8において、ドライブ 1 0 2がタイトルキーをホスト 1 0 3に転送する。ホスト 1 0 3にお いて、セッションキー K sによって、暗号化されたメディアユニーク キーが復号される。そして、タイトルキーがメディアユニークキ一に よって暗号化され、暗号化タイトルキーが生成される。

また、ステップ S 6 9において、ホスト 1 0 3がドライブ 1 0 2に 対して C C I を送る。このとき、 C C I の改ざんを回避するために C C Iの認証データとして計算された M A C値 e K s ( C C I ) を付加 して転送する。ドライブ 1 0 2において、 C C Iの改ざんが無いこと を確認後、タイトルキーと C C Iからコンテンツキーが生成され、コ ンテンツキ一がセッションキ一 K sで暗号化される。ステップ S 7 0 において、ホスト 1 0 3がドライブ 1 0 2に対してコンテンツキーを 要求すると、ステップ S 7 1において、ドライブ 1 0 1が暗号化され たコンテンツキーをホスト 1 0 3に送る。

ホスト 1 0 3は、暗号化コンテンツキ一をセッションキ一 K sによ つて復号し、コンテンツキ一を得る。コンテンツキーによってコンテ ンッが暗号化される。ステップ S 7 2において、ホス卜 1 0 3からド ライブ 1 0 2に対して、暗号化タイトルキー、暗号化コンテンッおよ び C C Iが転送される。ステップ S 7 3において、ドライブ 1 0 2に よって、暗号化タイトルキ一、暗号化コンテンツおよび C C Iがメデ ィァ 1 0 1に対して記録される。

上述した第 1 2図に示す構成のレコーダは、ドライブ 1 0 2におい て、真正乱数またはそれに近い乱数をハ一ドウヱァ例えば L S I によ つて発生することができ、生成した乱数を固定値への置き換えを困難 とすることができる。また、ドライブ 1 0 2において、ハードゥヱァ 構成によってコンテンツキーを生成するので、著作権保護の実装を強 力とすることができる。

この発明は、上述したこの発明の一実施形態等に限定されるもので はなく、この発明の要旨を逸脱しない範囲内で様々な変形や応用が可 能である。例えばタイトルキーは、タイトル每のキ一であるが、この 発明では、乱数情報であれば、タイトル毎に異なることは、必要では ない。

また、上述した説明においては、著作権保護技術として C P R Mお よび C P R Mを拡張した例を挙げたが、 C P R M以外の著作権保護技 術に対してもこの発明を適用することができる。例えば、特開 2001— 352322号公報において提案されるッリ一構造の鍵配布構成に基づく著 作権保護技術に対して適用可能である。また、 P Cベースのシステム に対してこの発明が適用されるが、このことは、 P Cとドライブを組 み合わせる構成にのみ限定されることを意味するものではない。例え ば携帯型動画または静止画カメラの場合に、メディアとして光デイス クを使用し、メディアを駆動するドライブとドライブを制御するマイ クロコンピュータが設けられる動画または静止画カメラシステムに対 してもこの発明を適用することが可能である。

この発明では、メディア上に記録された鍵情報(M K B ) と各デバ イスまたは各アプリケーションに記憶されている鍵情報(デバイスキ 一)から同一の値として導かれる鍵情報(メディアキー)を利用して 相互認証がなされる。したがって、この発明においては、認証のため だけに用意される特定の認証鍵を必要とせず、秘密情報を少なくでき 、また、デバイスまたはアプリケーションによってデバイスキ一を異 ならせることが可能であるので、秘密情報が不正に読み取られる危険 性を少なくできる。

この発明では、著作権保護技術に関する秘密情報である電子機器ま たはアプリケーションソフトウェア固有の情報例えばデバイスキーが ドライブ内に実装されているので、情報処理装置にィンストールされ 'るアプリケーションソフトウェアは、著作権保護技術に関する秘密情 報の全てを持つ必要がなくなる。それによつて、ソフトゥヱァのリバ —スエンジニアリングによる解析に対する耐性を持たせることが容易 に実施でき、また、ディスクからのデータとしてそのまま読み出され た暗号化コンテンッが「 D e C S S」のような解読ソフトウヱァによ り復号され、平文のままのクリア · コンテンツとしてコピー制限の働 かない状態で複製が繰り返されるような事態を防ぐことができること から、著作権保護技術の安全性を確保することができる。

また、電子機器固有の情報としてのデバイスキ一を記録再生装置が 持つことによって、記録再生装置自身をリボークすることが可能とな る。

さらに、この発明では、情報処理装置におけるコンテンツキーを計算 するのに必要とされる乱数情報が記録再生装置内の例えば L S Iによ つて生成できるので、 P C内でソフトゥヱァによって乱数を生成する のと比較して、真正または真正乱数に近い乱数を生成することができ る。したがって、乱数が固定値に置き換えられる、等のおそれを少な くできる。