WO2004064317A1

WO2004064317A1 - 相互認証方法、再生装置及び情報処理装置

Info

Publication number: WO2004064317A1
Application number: PCT/JP2003/016226
Authority: WO
Inventors: Satoshi Kitani; Katsumi Muramatsu
Original assignee: Sony Corporation
Priority date: 2003-01-15
Filing date: 2003-12-18
Publication date: 2004-07-29
Also published as: EP1585248A1; JP2004220317A; TW200425071A; CN1706148A; EP1585248A4; US20050160284A1; US7395429B2; KR101017002B1; KR20050099934A; TWI289829B

Abstract

プロセスＭＫＢ１２２にＭＫＢとドライブの持つデバイスキー１２１とが入力され、ドライブがリボーク処理され、プロセスＭＫＢ１３２によってホスト１０３がリボーク処理される。ＭＡＣ演算ブロック１２３および１３３が演算したＭＡＣ値がホスト１０３内において比較され、二つの値が同一と判定されると、ホスト１０３によるドライブ１０２の認証が成功したことになる。ホスト１０３のＭＡＣ演算ブロック１３４および１２４が演算したＭＡＣ値がドライブ１０２内において比較され、二つの値が同一と判定されると、ドライブ１０２によるホスト１０３の認証が成功したことになる。相互認証が成功すると、ＭＡＣ演算ブロック１２５および１３５によって、共通のセッションキーが生成される。

Description

相互認証方法、再生装置及び情報処理装置相互認証方法、プログラム、記録媒体、信号処理システム、再生装置および情報処理装置技術分野

この発明は、例えばパーソナルコンピュータと接続されたドライブによってディスクメディアに暗号化コンテンツを記録し、また、ディスクメディアから暗号化コンテンッを再生する場合に適用される相互認証方法、プログラム、記録媒体、信号処理システム、再生装置および情報処理装置に関する。背景技術

近年開発された DVD (Digital Versatile Disc)等の記録媒体では、 1枚の媒体に例えば映画 1本分の大量のデータをディジタル情報として記録することが可能である。このように映像情報等をディジタル情報として記録することが可能となってくると不正コピーを防止して著作権の保護を図ることがますます重要となっている。

D VD -Video では、コピ一プロテクション技術として C S S (Con tent Scrambling System) が採用されている。 C S Sは、 DVD— R 〇Mメディアに対する適用のみが認可されており、 DVD— R、 D V D— RW、 DVD + R、 D VD + RW等の記録型 DVDでの C S Sの利用が C S S契約によって禁止されている。したがって、 C S S方式で著作権保護された D V D— Video の内容を記録型 D V Dへのまるごとコピー（ビットバイビットコピー）することは、 C S S契約上では、認められた行為ではない。しかしながら、 C S Sの暗号方式が破られる事態が発生した。 C S Sの暗号化を解除して DVD—Video の内容を簡単にハードディスクにコピーすることを可能とする「D e C S S」と呼ばれるソフトゥェァがィン夕一ネット上で配布された。「D e C S S」が出現した背景には、本来耐タンパ一化が義務付けられているはずの C S S復号用の鍵データを耐タンパー化しないまま設計された再生ソフトゥヱァがリバースエンジニアされて鍵デ一夕が解読されたことによって、連鎖的に C S Sアルゴリズム全体が解読された経緯がある。

C S Sの後に、 DVD— Audio 等の D V D— R 0 Mの著作権保護技術である C P P M(Content Protection for Pre-Recorded Media) 、並びに記録型 D VD、メモリカードに関する著作権保護技術 C P RM (Content Protection for Recordable Media) が提案されている。これらの方式は、コンテンツの暗号化や管理情報の格納等に問題が生じたときに、システムを更新でき、データをまるごとコピーしても再生を制限できる特徴を有している。 DVDに関する著作権保護の方法に関しては、下記の非特許文献 1に説明され、 C P RMは、ライセンス管理者である米 4C Entity, LLC が配布する下記の資料に説明されている。

山田，「DVDを起点に著作権保護空間を広げる」，日経エレクト口ニクス 2001.8.13, p.143-153

し ontent Protection for Recordable Media Specification DVD Boo k"、インタ一ネットく URL ： http://www.4Centity. com/>

パーソナルコンピュータ（以下、適宜 P Cと略す）環境下では、 P Cとドライブとが標準的ィンタ一フヱースで接続されるために、標準的インターフヱースの部分で秘密保持が必要なデ一夕が知られたり、デー夕が改ざんされるおそれがある。アプリケ一シヨンソフトウェアがリバースエンジニアリングされ、秘密情報が盗まれたり、改ざんされる危険がある。このような危険性は、記録再生装置が一体に構成された電子機器の場合では、生じることが少ない。

著作権保護技術を P C上で実行されるアプリケーションプログラムへ実装する際には、その著作権保護技術の解析を防ぐため耐タンパ一性を持たせるのが一般的である。しかしながら、耐タンパ一性の強度を示す指標がない。その結果、どの程度のリバースエンジニアリングへの対応を行うかは、ィンプレメン夕一の個々の判断や能力に委ねられているのが現状である。 C S Sの場合は、結果としてその著作権保護技術が破られてしまった。 C S Sの後に提案された C P P Mおよび記録型 D V Dに関する著作権保護技術 C P R Mにおいても、既に破られている C S Sに新たな機能を加えたものであり、また、著作権保護技術に関わるアルゴリズムは、大部分が P Cでの実装に依存するものであり、コンテンツプロテクションの機能が充分に強いものと言えない問題があった。すなわち、アプリケーションソフトゥヱァなどのリバースエンジニアリングによって、著作権保護技術に関わる秘密情報の解析により暗号方式が破られ、ディスクからのデータとして P Cがそのまま読み出した暗号化コンテンッが「D e C S S」のような解読ソフトゥヱァにより復号され、平文のままのクリア ' コンテンツとしてコピー制限の働かない状態で複製が繰り返されるような事態を招くことで、著作権保護が機能しなくなるという危険性があった。

この発明の目的は、 P C環境下でも著作権保護技術の安全性を確保することができる相互認証方法、プログラム、記録媒体、信号処理システム、再生装置およぴ情報処理装置を提供することにある。発明の開示上述した課題を解決するために、この発明の第 1の態様は、不正な電子機器を判別するためのリボケーション情報と記録媒体固有の情報とを予め備えた記録媒体から、コンテンツ情報を読み出す再生部を有する再生装置と、再生装置がコンテンッ情報を伝達手段を介して送受信し、処理する情報処理装置と相互に認証する相互認証方法において再生装置は、当該再生装置を表す情報とリボケ一ション情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1 の判定ステツプを有し、

情報処理装置は、当該情報処理装置を表す情報とリボケーション情報を用いて当該情報処理装置を無効化すべきか否かを判定する第 2の判定ステップを有し、

第 1の判定ステップによって無効化すべきという判定をされなかつた場合に生成される第 1の鍵情報と、第 2の判定ステツプによって無効化すべきという判定をされなかった場合に生成される第 2の鍵情報とを用いて、再生装置と情報処理装置とが相互に認証する相互認証ステツプとを有することを特徴とする相互認証方法である。

この発明の第 2の態様は、不正な電子機器を判別するためのリボケーション情報と記録媒体固有の情報とを予め備えた記録媒体から、コンテンッ情報を読み出す再生部を有する再生装置と、再生装置がコンテンッ情報を伝達手段を介して送受信し、処理する情報処理装置と相互に認証する相互認証方法のプログラムであって、

再生装置は、当該再生装置を表す情報とリボケーション情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1 の判定ステツプを有し、

第 1の判定ステップによって無効化すべきという判定をされなかつた場合に生成される第 1の鍵情報と、第 2の判定ステップによって無効化すべきという判定をされなかった場合に生成される第 2の鍵情報とを用いて、再生装置と情報処理装置とが相互に認証する相互認証ステツプとを有することを特徴とする相互認証方法のプログラムであるこの発明の第 3の態様は、不正な電子機器を判別するためのリボケ —シヨン情報と記録媒体固有の情報とを予め備えた記録媒体から、コンテンッ情報を読み出す再生部を有する再生装置と、再生装置がコンテンッ情報を伝達手段を介して送受信し、処理する情報処理装置と相互に認証する相互認証方法のプログラムを格納した記録媒体であつて再生装置は、当該再生装置を表す情報どリボケ一シヨン情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1 の判定ステツプを有し、

第 1の判定ステツプによって無効化すべきという判定をされなかつた場合に生成される第 1の鍵情報と、第 2の判定ステップによって無効化すべきという判定をされなかった場合に生成される第 2の鍵情報とを用いて、再生装置と情報処理装置とが相互に認証する相互認証ステツプとを有することを特徴とする相互認証方法のプログラムを格納した記録媒体である。この発明の第 4の態様は、不正な電子機器を判別するためのリボケーション情報と記録媒体固有の情報とを予め備えた記録媒体から、コンテンッ情報を読み出す再生部を有する再生装置と、再生装置がコンテンッ情報を伝達手段を介して送受信し、処理する情報処理装置とを備える信号処理システムであって、

再生装置は、当該再生装置を表す情報とリボケ一ション情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1の判定手段を有し、

情報処理装置は、当該情報処理装置を表す情報とリボケ一ション情報とを用いて当該情報処理装置を無効化すべきか否かを判定する第 2 の判定手段を有し、

第 1の判定手段によって無効化すべきという判定をされなかった場合に生成される第 1 の鍵情報と、第 2の判定手段によって無効化すべきという判定をされなかった場合に生成される第 2の鍵情報とを用いて、再生装置と情報処理装置とが相互に認証する相互認証手段と、相互認証手段による相互認証後に、再生装置および情報処理装置に共通の共通鍵を生成する共通鍵生成手段とを備えることを特徴とする信号処理システムである。

この発明の第 5の態様は、不正な電子機器を判別するためのリボケーシヨン情報と記録媒体固有の情報とを予め備えた記録媒体から、コンテンッ情報を読み出す再生部を有し、コンテンツ情報が伝達手段を介して情報処理装置に送信され、処理される信号処理システムにおける再生装置であって、

当該再生装置を表す情報とリボケ一ション情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1 の判定手段を有し、第 1の判定手段によって無効化すべきという判定をされなかった場合に生成される第 1 の鍵情報と、

情報処理装置に設けられている当該情報処理装置を表す情報とリボケーシヨン情報とを用いて当該情報処理装置を無効化すべきか否かを判定する第 2の判定手段によつて無効化すべきという判定をされなかつた場合に生成される第 2の鍵情報とを用いて、情報処理装置と相互に認証する相互認証手段と、

相互認証手段による相互認証後に、情報処理装置と共通の共通鍵を生成する共通鍵生成手段とを備えることを特徴とする再生装置であるこの発明の第 6の態様は、不正な電子機器を判別するためのリボケーション情報と記録媒体固有の情報とを予め備えた記録媒体から、再生装置がコンテンッ情報を読み出し、コンテンッ情報が伝達手段を介して受信され、処理される情報処理装置であって、

再生装置に設けられている第 1の判定手段によって、当該再生装置を表す情報とリボケーシヨン情報とを用いて当該再生装置を無効化すべきか否かを判定し、第 1の判定手段によって無効化すべきという判定をされなかった場合に生成される第 1の鍵情報と、

当該情報処理装置を表す情報とリボケーション情報とを用いて当該情報処理装置を無効化すべきか否かを判定する第 2の判定手段を有し、

第 1の鍵情報と、第 2の判定手段によつて無効化すべきという判定をされなかった場合に生成される第 2の鍵情報とを用いて、再生装置と相互に認証する相互認証手段と、

相互認証手段による相互認証後に、再生装置と共通の共通鍵を生成する共通鍵生成手段とを備えることを特徴とする情報処理装置であるこの発明では、メディア上に記録された鍵情報（M K B ) と各デバイスまたは各アプリケーションに記憶されている鍵情報（デバイスキ一）から同一の値として導かれる鍵情報（メディアキー）を利用して相互認証がなされる。したがって、この発明においては、認証のためだけに用意される特定の認証鍵を必要とせず、秘密情報を少なくでき、また、デバイスまたはアプリケーションによってデバイスキーを異ならせることが可能であるので、秘密情報が不正に読み取られる危険性を少なくできる。

この発明では、著作権保護技術に関する秘密情報である電子機器またはアプリケーシヨンソフトゥヱァ固有の情報例えばデバイスキーがドライブ内に実装されているので、情報処理装置にィンストールされるアプリケ一ションソフトウエアは、著作権保護技術に関する秘密情報の全てを持つ必要がなくなる。それによつて、ソフトウェアのリバースエンジニアリングによる解析に対する耐性を持つことができ、著 —作権保護技術の安全性を確保する—こどができる。— 一一一電子機器固有の情報としてのデバイスキ一を記録再生装置が持つことによって、記録再生装置自身をリボークすることが可能となる。さらに、この発明では、情報処理装置におけるコンテンツキ一を計算するのに必要とされる乱数情報が記録再生装置内の例えば L S Iによつて生成できるので、 P C内でソフトゥヱァによって乱数を生成するのと比較して、真正または真正乱数に近い乱数を生成することができる。したがって、乱数が固定値に置き換えられる、等のおそれを少なくできる。図面の簡単な説明

第 1図は、先に提案されているレコーダ、プレーヤおよび D V Dメディアからなるシステムを説明するためのプロック図である。

第 2図は、 P Cベースの D V Dメディア記録再生システムを説明するためのブロック図である。

第 3図は、第 1図のシステムにおける D V D ドライブ 4およびホスト 5の処理の手順を説明するための略線図である。

第 4図は、第 2図のシステムにおける認証動作を説明するためのフローチヤ—卜である。

第 5図は、この発明の一実施形態による相互認証のための構成を示すブロック図である。

第 6図は、この発明の一実施形態におけるドライブの認証動作の処理の手順を説明するためのフローチヤ一トである。

第 7図は、この発明の一実施形態におけるホストの認証動作の処理の手順を説明するためのフロ一チヤ一トである。

第 8図は、この発明の一実施形態によるドライブとホス卜を組み合— わせたレコーダの構成の一例をブロック図である。 ― - ·

第 9図は、レコーダの一例の通信の手順を説明するための略線図である。

第 1 0図は、この発明の一実施形態によるドライブとホストを組み合わせたプレーヤの構成の一例をプロック図である。

第 1 1図は、プレーヤの一例の通信の手順を説明するための略線図である。

第 1 2図は、この発明の一実施形態によるドライブとホストを組み合わせたレコーダの構成の他の例をプロック図である。

第 1 3図は、レコーダの他の例の通信の手順を説明するための略線図である。発明を実施するための最良の形態

この発明の一実施形態の説明に先立って、本明細書の特許請求の範囲において使用される用語と実施の形態中で使用される用語との対応関係について以下に説明する。

記録媒体：メディア例えばディスク、再生装置：ドライブ、情報処理装置：ホスト、伝達手段：ドライブ一ホストインタ一フヱース、信号処理システム：メディアを再生するドライブとホストとがドライブ一ホストインタ一フェースを介して接続されるシステムである。第 1 の送信手段：ドライブ側からセッションキ一を共通鍵とした共通鍵暗号方式で情報をホスト側に送る手段、第 2の送信手段：逆にホスト側からセッションキーを共通鍵として情報をドライブ側に送る手段のことである。

コンテンッ情報：メディアに記録されている情報または記録すべき情報をコンテンッ情報としている。リボケーション情報：メディアに予め記録されているメディアキープ口ック M K B (Media Key Blocks) 、記録媒体固有の情報：メディア I D、デバイスキー：再生装置または情報処理装置を表す情報、装置を無効化すべきか否かを判定する判定手段：プロセス M K Bである。プロセス M K Bでは、ドライブ側の第 1の判定手段によりドライブが無効化されなければ、ドライブ側のメディアキーとして第 1の鍵情報が生成され、ホスト側の第 2の判定手段により'ホス卜が無効化されなければ、ホスト側のメディアキーとして第 2の鍵情報が生成される。ドライブとホストは、独立して無効化が可能であり、無効化された場合は、期待されるメディアキーを得ることができないので「第 1の」、「第 2の」と分けている。

相互認証手段： A K E (Authent icat ion and Key Exchange) (プロセス M K B以降の乱数交換、 M A C計算、比較からなるドライブ側の第 1の確認手段とホスト側の第 2の確認手段により相互に相手の動作を確認することである。ドライブ側とホスト側の何れが先に確認するかの順番は、任意であるので、用語の統一を図るために、ドライブ側の確認手段を「第 1の」としている。）

共通鍵：セッションキー（確実に暗号化 ·復号に使われるセッションキ一とコンテンツキーとは、「鍵」でそれ以外は「鍵情報」としている。認証完了後なので共通鍵として同じ暗号化鍵が生成されるが、生成している装置と、基にしている鍵情報の呼び方を変えていることから、ドライブ側の生成手段を第 1の共通鍵生成手段、ホスト側の生成手段を第 2の共通鍵生成手段としている。）

乱数を生成する乱数生成手段：乱数発生器（R N G ： Random Numbe r Generator) (ドライブ側の乱数生成手段を第 1の乱数生成手段、ホスト側の乱数生成手段を第 2の乱数生成手段とし、特許請求の範囲においては、生成される乱数に対して請求の範囲に出てくる順番で番号をつけている。 )

所定の計算を行う計算手段： M A C (Message Authent i cat i on Code ) 演算ブロック（乱数交換手段により交換された乱数を用いて、ドライブ側で計算する手段を第 1の計算手段、ホスト側の計算手段を第 2 の計算手段としている。）

比較手段：比較（ドライブ側の比較を第 1の比較手段、ホスト側の比較を第 2の比較手段としている。）

記録媒体固有の鍵情報：メディアユニークキー（本実施形態においては、メディアユニークキーの生成は耐タンパ一性を持たせるために全てドライブ側で行われているので、記録媒体固有の鍵情報（メディァユニークキー）を生成する中間鍵生成手段は、ドライブ側のみとしている。）コンテンッ情報暗号化鍵またはコンテンッ情報復号鍵の基になる鍵情報：（記録時に使われるタイトルキーを第 3の鍵情報、再生時に使われるタイトルキーを第 4の鍵情報としている。メディアユニークキ —によってタイトルキーを暗号化する手段を鍵情報暗号化手段、復号する手段を鍵情報復号手段としている。メディアユニークキーによつて暗号化されたタイトルキーを記録媒体に記録する手段を暗号化鍵情報記録手段としている。）

コンテンッ情報を暗号化または復号するための鍵：コンテンツキ一 (記録時に使われるコンテンツキ一をコンテンツ情報暗号化鍵とし、再生時に使われるコンテンツキーをコンテンッ情報復号鍵としている。コンテンツ情報暗号化鍵を生成する手段を最終暗号化鍵生成手段、コンテンッ情報復号鍵を生成する手段を最終復号鍵生成手段としている。暗号化されたコンテンツ情報を記録媒体に記録する手段をコンテンッ情報記録手段とし、暗号化されたコンテンツ情報を復号する手段をコンテンツ情報復号手段としている。）

次に、この発明の理解の容易のために、最初に第 1 図を参照して著作権保護技術例えば DVD用 C P RMのアーキテクチャについて説明する。第 1図において、参照符号 1が例えば CPRM規格に準拠した D VD-R/RW. DVD-R A M等の記録型 D V Dメディアを示す。参照符号 2が例えば CPRM規格に準拠したレコーダを示す。参照符号 3が例えば C P RM規格に準拠したプレーヤを示す。レコーダ 1 およびプレーヤ 3は、機器またはアプリケ一シヨンソフトゥヱァである。

未記録ディスクの状態において、 DVDメディア 1の最内周側のリ —ドインエリアの B C A (Burst Cutting Area)または NB C A (Narro w Burst Cutting Area) と称されるエリアには、メディア I D 1 1が記録されている。リ一ドィンェリァのエンボスまたはプリ記録データゾーンには、メディアキ一ブロック（以下、 MKBと適宜略す） 1 1 が予め記録されている。メディア I D 1 1は、個々のメディア単位例えばディスク 1枚毎に異なる番号であり、メディアの製造者コ一ドとシリアル番号から構成される。メディア I D 1 1は、メディアキ一を個々のメディアで異なるメディァユニークキ一へ変換する際に必要となる。メディアキ一ブロック MK Bは、メディアキ一の導出、並びに機器のリボケ一シヨン（無効化）を実現するための鍵束である。これらのメディア I Dおよびメディアキーブロックは、記録媒体固有の第 1の情報である。

ディスク 1の書き換えまたは追記可能なデ一夕領域には、コンテンツキ一で暗号化された暗号化コンテンツ 1 3が記録される。暗号化方式としては、 C 2 (Cryptomeria Ciphering) が使用される。

D VDメディア 1には、暗号化タイトルキ一 1 4および C C I (Cop y Control Information) 1 5が記録される。暗号化タイトルキー 1 4 は、暗号化されたタイトルキ一情報であり、タイトルキー情報は、タィトル毎に付加される鍵情報である。 C C Iは、コピーノーモア、コピーワンス、コビーフリ一等のコピー制御情報である。

レコーダ 2は、デバイスキー 1 1、プロセス MK B 2 、 C 2— G 2 3、乱数発生器 2 4、 C 2— E 2 5、 C 2— G 2 6および C 2— E C B C 2 7の構成要素を有する。プレーヤ 3は、デバイスキー 3 1、プロセス MKB 3 2、 C 2_G 3 3. C 2_D 3 5. C 2_G 3 6および C 2— D C B C 3 7の構成要素を有する。

デバイスキ一 2 1、 3 1は、個々の装置メ一力、またはアプリケ一シヨンソフトゥヱァベンダー毎に発行された識別番号である。デバイスキーは、ライセンス管理者によって正当な電子機器またはアプリケ —ションソフトゥヱァにのみ与えられる当該電子機器またはアプリケーシヨンソフトゥヱァ固有の情報である。 D VDメディア 1から再生された MKB 1 2とデバイスキー 1 1 とがプロセス MKB 2 2において演算されることによって、リボケーシヨンされたかどうかの判別ができる。レコーダ 2におけるのと同様に、プレーヤ 3においても、 M K B 1 2 とデバイスキー 3 1 とがプロセス MK B 3 2において演算され、リボケーションされたかどうかの判別がなされる。

さらに、プロセス MKB 2 2、 3 2のそれぞれにおいて、 MK B 1 2 とデバイスキー 2 1、 3 1からメディアキーが算出される。 MK B 1 2の中にレコーダ 2またはプレーヤ 3のデバイスキーが入っておらず、演算された結果が予め決められたある値例えばゼロの値と一致した場合、そのデバイスキーを持つレコーダ 2またはプレーヤ 3が正当なものでないと判断される。すなわち、そのようなレコーダ 2またはプレーヤ 3がリボケーションされる。

C 2— G 2 3、 3 3は、それぞれ、メディアキーとメディア I Dとを演算し、メディアユニークキ一を導出する処理である。

乱数発生器（RNG ： Random Number Generator) 2 4は、タイトルキーの生成に利用される。乱数発生器 2 4からのタイトルキーが C 2 _E 2 5に入力され、タイトルキーがメディアユニークキーで暗号化される。暗号化タイトルキー 1 4が DVDメディア 1に記録される。プレーヤ 3では、 DVDメディア 1から再生された暗号化タイトルキ一 1 4とメディァユニークキ一とが C 2_D 3 5に供給され、暗号化タイトルキーがメディアユニークキーで復号され、タイトルキーが得られる。

レコーダ 2においては、 C C I とタイトルキーとが C 2 G 2 6に供給され、コンテンツキーが導出される。コンテンツキーが C 2_E C B C 2 7に供給され、コンテンツキ一を鍵としてコンテンツが暗号化される。暗号化コンテンツ 1 3が D V Dメディア 1に記録される。プレーヤ 3においては、 C C I とタイトルキ一とが C 2— G 3 6に供給され、コンテンツキーが導出される。コンテンツキーが C 2— E C B C 3 7に供給され、 DVDメディア 1から再生された暗号化コンテンッ 1 3がコンテンツキーを鍵として復号される。

第 1図の構成において、レコーダ 2による記録の手順について説明する。レコーダ 2は、 D V Dメディア 1から M K B 1 を読み出し、プロセス MKB 2 2によってデバイスキ一 2 1 と MKB 1 2 とを演算し、メディアキーを計算する。演算結果が予め定められた値を示すならば、デバイスキ一 2 1 (レコーダ 2の機器またはアプリケーション ) が MK Bによってリボ一クされたと判定される。レコーダ 2は、以後の処理を中断し、 DVDメディア 1への記録を禁止する。若し、メディアキ一の値が予め定められた値以外であれば、処理を継続する。レコーダ 2は、 DVDメディア 1からメディア I D 1 1を読み、メディアキーと共にメディア I Dを C 2_G 2 3に入力しメディア毎に異なるメディアユニークキーが演算される。乱数発生器 2 4で発生させたタイトルキーが C 2— E 2 5で暗号化され、暗号化タイトルキー 1 4として DVDメディア 1に記録される。タイトルキーとコンテンッの C C I情報が C 2_G 2 6で演算され、コンテンツキ一が導出される。コンテンツキーでコンテンツを C 2—E C B C 2 7で暗号化し、 D V Dメディア 1上に暗号化コンテンッ 1 3 として C C I 1 5 と共に記録する。プレーヤ 3による再生の手順について説明する。最初に MKB 1 2 を DVDメディア 1から読み出す。デバイスキー 3 1と MKB 1 2を演算し、リボケ一シヨンの確認がなされる。デバイスキ一3 1、すなわち、プレーヤ 3の機器またはアプリケーションがリボークされない場合には、メディア I Dを使用してメディアユニークキーが演算され、読み出された暗号化タイトルキー 1 4とメディアユニークキーからタイトルキーが演算される。タイトルキーと CC I 1 5とが C 2— G 3 6に入力され、コンテンツキーが導出される。コンテンツキ一が C 2_D C B C 3 7に入力され、コンテンツキーを鍵として、 D VDメディア 1から再生された暗号化コンテンッ 1 3に対して C 2_D C B C 3 7の演算が施される。その結果、暗号化コンテンツ 1 3が復号される。

このように、コンテンツの復号に必要なコンテンツキーを得るためには、 D V Dメディアの 1枚每に異なるメディア I Dが必要となるので、たとえメディア上の暗号化コンテンツが忠実に他のメディアにコピ一されても、他のメディァのメディァ I Dがォリジナルのメディァ I Dと異なるために、コピ一されたコンテンツを復号することができず、コンテンツの著作権を保護することができる。

上述した第 1図の構成は、記録再生機器として構成されたものである。この発明は、 DVDメディア 1に対するコンテンツ保護処理を P C環境下で扱う場合に適用される。第 2図を参照して現行の方式による P Cとドライブの役割分担を示す。第 2図において、参照符号 4が上述した CPRM規格に準拠した DVDメディア 1を記録および再生する記録再生装置としての D VDドライブを示す。

参照符号 5がデータ処理装置としてのホスト例えば P Cを示す。ホスト 5は、 D VDメディア 1に記録可能で、 DVDメディア 1から再生可能なコンテンツを扱うことができ、且つ DVDドライブ 4と接続されてデータ交換が可能な装置またはアプリケ一シヨンソフトウェアである。例えば P Cに対してアプリケーションソフトウェアがインストールされることによってホスト 5が構成される。

DVDドライブ 4とホスト 5との間がィンタ一フヱース 4 aで接続されている。イン夕一フェース 4 aは、 ATAP I (AT Attachment w ith Packet Interface) ， ύし； I (Small Computer System Interfa ce) , USB (Universal Serial Bus) , I EEE (Institute of Elec tr ical and Electronics Engineers) 1 3 94等である。

D V Dメディア 1には、メディア I D 1 1、メディアキ一ブロック 1 2および AC C (Authentication Control Code) が予め記録されている。 A C Cは、 D V Dドライブ 4とホスト 5との間の認証が D V D メディア 1によって異なるようにするために予め DVDメディア 1に記録されたデータである。

D VDドライブ 4は、 AC C 1 6を D VDメディア 1から読み出す。 DVDメディア 1から読み出された AC C 1 6が DVDドライブ 4 の AK E (Authentication and Key Exchange) 4 1に入力されると共に、ホスト 5へ転送される。ホスト 5は、受け取った AC Cを AK E 5 1に入力する。 AKE 4 1および 5 1は、乱数データを交換し、この交換した乱数と A C Cの値とから認証動作の度に異なる値となる共通のセッションキー（バスキーと称する）を生成する。

バスキーが MAC (Message Authentication Code) 演算ブロック 4 2および 5 2にそれぞれ供給される。 MAC演算ブロック 4 2および 5 2は、 AK E 4 1および 5 1でそれぞれ得られたバスキーをパラメータとして、メディア I Dおよびメディアキーブロック 1 2の MAC を計算するプロセスである。 MKBとメディア I Dの完全性（integri ty) をホスト 5が確認するために利用される。

MAC 4 2および 5 2によってそれぞれ計算された MACがホスト 5の比較 5 3において比較され、両者の値が一致するかどうかが判定される。これらの MACの値が一致すれば、 MKBとメディア I Dの完全性が確認されたことになる。比較出力でスィッチ SW 1が制御される。

スィッチ SW 1は、 DVD ドライブ 4の DVDメディア 1の記録または再生経路と、ホスト 5の暗号化/ (または）復号モジュール 5 4 との間の信号路を ON/ OF Fするものとして示されている。スイツチ SW 1は、信号路の ON/ OF Fを行うものとして示されているが、より実際には、 ONの場合にホスト 5の処理が継続し、 O F Fの場合にホスト 5の処理が停止することを表している。暗号化/復号モジユール 5 4は、メディアユニークキーと暗号化タイトルキーと C C I とからコンテンツキ一を算出し、コンテンツキ一を鍵としてコンテンッを暗号化コンテンツ 1 3へ暗号化し、またはコンテンツキ一を鍵として暗号化コンテンッ 1 3を復号する演算プロックである。

メディアユニークキ一演算ブロック 5 5は、 MKB 1 2とメディア I Dとデバイスキ一 5 6 とからメディアユニークキ一を演算する演算ブロックである。第 1図に示すレコーダまたはプレーヤと同様に、デバイスキーと M K B 1 2 とからメディアキーが演算される。メディアキーとメディア I D 1 1 とからメディアユニークキーが演算される。メディアキ一が所定の値となった場合には、その電子機器またはアブリケーシヨンソフトゥヱァが正当なものではないと判断され、リボークされる。したがって、メディアユニークキ一演算ブロック 5 5は、リボケ一ションを行うリボーク処理部としての機能も有する。

記録時に、比較 5 3によって完全性が確認された場合には、スイツチ SW 1が〇Nされる。号化/復号モジュール 5 4からスィッチ SW 1 を通じてドライブ 4に対して、暗号化コンテンッ 1 3、暗号化タイトルキ一 1 4および C C I 1 5が供給され、 DVDメディア 1 に対してそれぞれ記録される。再生時に、比較 5 3によって完全性が確認された場合には、スィッチ SW 1が ONされる。 DVDメディア 1からそれぞれ再生された暗号化コンテンッ 1 3、暗号化タイトルキー 1 4 および C C I 1 5がスィッチ SW 1 を通じてホスト 5の暗号化/復号モジュール 5 4に対して供給され、暗号化コンテンッが復号される。第 3図は、第 2図に示す現行の P C環境下の DVDメディアを利用するシステムにおいて、 DVDメディア 1 と、 DVD ドライブ 4と、ホスト 5との間の信号の授受の手順を示す。ホスト 5が D VD ドライブ 4に対してコマンドを送り、 D VD ドライブ 4がコマンドに応答した動作を行う。

ホスト 5からの要求に応じて DVDメディア 1上の AC Cがシークされ、読み出される (ステップ S 1 ) 。次のステップ S 2において、読み出された AC Cが AKE 4 1に入力されると共に、ホスト 5へ転送され、ホスト 5では、受け取った AC Cが AKE 5 1へ入力される。 AKE 4 1および 5 1は、乱数データを交換し、この交換した乱数と AC C 1 6の値から認証動作の度に異なる値となるセッシヨンキーとしてのバスキ一を生成し、バスキーを DVD ドライブ 4とホスト 5 が共有する。相互認証が成立しなかった場合では、処理が中断する。認証動作は、電源の ON後のディスク検出時並びにディスクの交換時には、必ず行われる。記録ボタンを押して記録動作を行う場合、並びに再生ボタンを押して再生動作を行う場合に、認証動作を行うようにしても良い。一例として、記録ボタンまたは再生ボタンを押した時に、認証がなされる。

認証が成功すると、ステップ S 3において、ホスト 5が D VDドライブ 4に対して、 DVDメディア 1からの MKB (メディアキーブロック）パック # 0の読み出しを要求する。 MKBは、パック 0〜パック 1 5の 1 6セクタが 1 2回繰り返してリードインエリアに記録されている。パック単位で、エラー訂正符号化がなされている。

D VDドライブ 4がステップ S 4において M KBのパック # 0を読みに行き、ステップ S 5において、パック # 0が読み出される。 DV Dドライブ 4は、モディファイド M K Bをホスト 5へ戻す（ステップ S 6 ) 。 MKBを読み出す際に、バスキ一をパラメ一夕として MAC 値を計算し、 MKBに対して MAC値を付加してホスト 5へデ一夕を転送する。ノヽ。ック # 0以外の残りの M KBパックの要求と、 DVDドライブ 4の読み出し動作と、モディファイド MK Bパックの転送動作とが M K Bのパックがなくなるまで、例えばパック # 1 5が読み出され、ホスト 5へ転送されるまで、ステップ S 7および S 8によつて繰り返しなされる。

ホスト 5が DVDドライブ 4に対してメディア I Dを要求する。 D VDドライブ 4が DVDメディア 1に記録されているメディア I Dを読みに行き、ステップ S 1 1において、メディア I Dが読み出される。 DVDドライブ 4は、メディア I Dを読み出す際に、バスキーをパラメ一夕としてその MAC値を計算する。 DVDドライブ 4はステツプ S 1 2において、読み出されたメディア I Dに対して MAC値 m 1 を付加してホスト 5へデータを転送する。

ホスト 5では、 DVDドライブ 4から受け取った MKB 1 2およびメディア I D 1 1からバスキ一をパラメータとして再度 MAC値を計算し、計算した MAC値と DVD ドライブ 4から受け取った MAC値とを比較 5 3で比較する。両者が一致したならば、正しい MKBおよびメディア I Dを受け取つたと判定して、スィッチ SW 1を ONに設定して処理を先に進める。逆に両者が一致しなかったならば、 MKB およびメディア I Dが改ざんされたものと判定して、スィッチ S W 1 を 0 F Fに設定して処理を中断する。

ステップ S 1 3において、ホスト 5が D VD ドライブ 4に対して暗号化コンテンッを要求し、ステップ S 1 4において、 D VD ドライブ 4が暗号化コンテンツを読み出し、ステップ S 1 3において、読み出した暗号化コンテンッがホスト 5に転送される。ホスト 5のメディアユニークキー演算プロック 5 5では、デバイスキ一 5 6 と MK B 1 2 とメディア I D 1 1 とによってメディアユニークキーが計算される。メディアユニークキーが暗号化/復号モジュール 5 4に供給され、暗号化タイトルキ一 1 4、 C C I 1 5からコンテンツキーが求められる。コンテンツキーを鍵として DVDメディア 1から読み出された暗号化コンテンッが復号される。 DVDメディア 1に対して記録されるコンテンッが暗号化される。

第 4図のフローチャートにおいて、ステップ S T 1は、 MAC演算プロック 4 2でバスキーをパラメ一夕として求められた MAC計算値と、 MAC演算プロック 5 3でバスキ一をパラメータとして求められた MAC計算値とを比較するステップである。両者が一致すれば、スイッチ SW 1がステップ S T 2において ONとされる。両者が一致しない場合では、スィッチ S W 1がステップ S T 3において 0 F Fとされ、処理が停止する。

上述した C P RMでは、 DVD— Video の著作権保護技術である C S Sと同じバスキー生成方法を採用している。 C S S認証方式の内容は、本来秘密であるべき情報であるが、既に解析され一般ユーザーが入手可能な C S Sライセンス管理団体である DVD- CCA の許諾を得ていないフリーソフトゥヱァによつて動作させることが可能となっている。コンテンツプロテクション処理は、ホスト側でなされる、すなわち、リボケ一シヨン判定、メディアキ一取得、メディアユニークキ一導出、タイトルキ一生成 ·導出からコンテンツキ一導出およびコンテンッ暗号化 ·復号の全てがホスト側の処理であることから、著作権保護技術としての信頼性が低下している。

以下に述べるこの発明は、かかる問題点を解決するものである。一実施形態では、 P C環境下でのコンテンツプロテクション処理における P Cとドライブの役割分担におけるリボケーション動作とメディアキ一導出に関わる情報（ここでは、デバイスキ一）をドライブ内部に持ち、 P Cとの相互認証を経てセッションキ一を導出するものである第 5図は、一実施形態における相互認証の構成を示すブロック図であり、第 6図は、ドライブ側の処理の流れを示すフローチャートであり、第 7図は、ホスト側の処理の流れを示すフローチャートである。以下の説明において、参照符号 1 0 1がメディア例えば光ディスクを示し、参照符号 1 0 2がメディアのドライブを示し、参照符号 1 0 3 がドライブ 1 0 2とドライブ一ホストインタ一フェース 1 0 4を介して接続されたホストを示す。メディア 1 0 1は、上述した D V Dメディァと同様の情報が予め記録されているものである。メディア 1 0 1 は、記録可能なものに限らず、読み出し専用のものでも良い。ホスト 1 0 3がドライブ 1 0 2に対して所定のコマンドを送り、その動作を制御する。使用するコマンドは、上述した非特許文献 2に記載されているコマンド並びにコマンドを拡張したもの、および、メディア 1 0 1からコンテンツをセクタ · デ一夕として読み出すための R E ADコマンド、メディア 1 0 1へコンテンツをセクタ ' データとして書き込むための W R I T Eコマンドである。

ドライブ 1 0 2は、ドライブのデバイスキ一 1 2 1 を有し、ホスト 1 0 3がホストのデバイスキー 1 3 1 を有している。デバイスキ一 1 2 1は、多くの場合に L S I (Large Scale Integrated Circuit ：大規模集積回路）内部に配置され、外部から読み出すことができないよぅセキュアに記憶される。デバイスキー 1 3 1は、ソフトウェアプログラム内にセキュアに記憶される場合と、ハードウェアとしてセキュァに記憶される場合とがある。ドライブ 1 0 2がメディア 1 0 1 を扱う正当なドライブとなるためには、一実施形態のように、デバイスキ一のような著作権保護技術に関する秘密情報を必要とするので、正規のライセンスを受けずに正規品になりすますようなクローン ' ドライブの作成を防止できる効果がある。

第 5図に示すように、ドライブ 1 0 2には、 MKBとデバイスキー 1 2 1 とが入力され、ドライブのデバイスキーがリボケーシヨンされたかどうかを判定するプロセス MKB 1 2 2が備えられている。ホスト 1 0 3にも同様に、プロセス MK B 1 3 2が備えられている。リボケ一ションされない場合に、プロセス MK B 1 2 2および 1 3 2からそれぞれメディアキー Kmが出力される。リボーク判定処理がなされ、メディアキ一 Kmが得られてから認証処理がなされる。

参照符号 1 2 3、 1 2 4および 1 2 5は、メディアキ一 Kmをパラメータとして MAC値を計算する MAC演算プロックをそれぞれ示す。また、参照符号 1 2 6、 1 2 7および 1 2 8は、乱数発生器（RN G ： Random Number Generator ) をそれぞれ示す。乱数発生器 1 2 6 が乱数 Ralを生成し、乱数発生器 1 2 7が乱数 Ra2を生成し、乱数発生器 1 2 8が乱数 Ra3を生成する。乱数発生器 1 2 6、 1 2 7、 1 2 8は、例えば L S Iの構成の乱数発生器であり、ソフトゥヱァにより乱数を発生する方法と比較してより真正乱数に近い乱数を発生することができる。乱数発生器を共通のハードゥヱァとしても良いが、乱数 Ral、 Ra2、 Ra3は、互いに独立したものである。'

ホスト 1 0 3に、メディアキー Kmをパラメ一夕として MAC値を計算する MAC演算プロック 1 3 3、 1 3 4および 1 3 5と、乱数発生器 1 3 6、 1 3 7および 1 3 8が備えられている。乱数発生器 1 3 6が乱数 Rblを生成し、乱数発生器 1 3 7が乱数 Rb2を生成し、乱数発生器 1 3 8が乱数 Rb3を生成する。乱数発生器 1 3 6、 1 3 7、 1 3 8は、通常はソフトウエアによって乱数を発生するものであるが、ハ一ドウヱァによる乱数が利用できる場合にはこれを用いても良い。ドライブ 1 0 2において生成された乱数とホスト 1 0 3において生成された乱数とが交換される。すなわち、乱数 Ralおよび乱数 Rblが MAC演算プロック 1 2 3および 1 3 3に入力され、乱数 Ra2および乱数 Rb2が MAC演算プロック 1 2 4および 1 3 4に入力され、乱数 Ra3および乱数 Rb3が MAC演算ブロック 1 1 5および 1 3 5に入力される。

ドライブ 1 0 2の M A C演算ブロック 1 2 3が演算した M A C値と、ホスト 1 0 3の MAC演算プロック 1 3 3が演算した MAC値とがホスト 1 0 3内の比較 1 3 9において比較され、二つの値が同一か否かが判定される。ここでの MAC値は、 eKm (Ral II Rbl)と表記される。 e Km () は、メディアキー Kmを鍵として括弧内のデ一夕を暗号化することを表している。 Ral II Rblの記号は、左側に乱数 Ralを配し、右側に乱数 Rblを配するように、二つの乱数を結合することを表している。比較の結果、二つの値が同一と判定されると、ホスト 1 0 3によるドライブ 1 0 2の認証が成功したことになり、そうでない場合には、この認証が失敗したことになる。

ホスト 1 0 3の MAC演算プロック 1 3 4が演算した MAC値と、ドライブ 1 0 2の MAC演算プロック 1 2 4が演算した MAC値とがドライブ 1 0 2内の比較 1 1 9において比較され、二つの値が同一か否かが判定される。ここでの MAC値は、 eKm(Rb2 II Ra2)と表記される。比較の結果、二つの値が同一と判定されると、ドライブ 1 0 2によるホスト 1 0 3の認証が成功したことになり、そうでない場合には、この認証が失敗したことになる。

かかる相互認証において、比較 1 3 9および 1 2 9の両者において、 MAC値が同一と判定され、ドライブ 1 0 2およびホスト 1 0 3の両者の正当性が確認されると、すなわち、相互認証が成功すると、 M

AC演算プロック 1 2 5および 1 3 5によって、共通のセッションキ -eKm (Ra3 II Rb3)がそれぞれ生成される。

さらに、上述した相互認証の処理の流れを第 6図および第 7図のフ口一チャートを参照して説明する。最初に、第 7図のステップ S T 2 0において、ホスト 1 0 3がドライブ 1 0 2に対して、コマンド REP0 RT KEYを発行し、 MKBの転送を要求する。第 6図のステップ S T 1 0において、ドライブ 1 0 2がメディア 1 0 1から MK B 1 1 2を読み出して、ホスト 1 0 3へ転送する。

次に、ドライブ 1 0 2がステップ S T 1 1において、プロセス MK B 1 2 2によってメディアキー K mを計算し、ホスト 1 0 3がステツプ S T 2 1において、プロセス MKB 1 3 2によってメディアキー K mを計算する。この計算の過程でそれぞれが内蔵するデバイスキー 1 2 1および 1 3 1がリボケ一ションの対象とされているか否かが自分自身によって確認される（第 6図中のステップ S T 1 2、第 7図中のステップ S T 2 2 ) 。

ドライブ 1 0 2およびホスト 1 0 3のそれぞれは、リボケーションの対象とされている場合にはリボークされ、処理が終了する。若し、ホスト 1 0 3がリボケ一ションの対象とされていなければ、ステップ S T 2 3において、コマンド SEND KEYにより、ドライブ 1 0 2に対して乱数発生器 1 3 6および 1 3 7でそれぞれ生成された乱数 Rblと乱数 Rb2を転送する。若し、ドライブ 1 0 2がリボケ一ションの対象とされていなければ、ステップ S T 1 3において、ドライブ 1 0 2がホス卜 1 0 3から転送されたこれらの乱数を受け取る。

その後、ホスト 1 0 3は、コマンド REPORT KEYによりドライブ 1 0 2に対してドライブ 1 0 2が持つメディアキ一 Kmを鍵とした MA C によるレスポンス値と乱数生成器 1 2 6が発生した乱数 Ral とをホスト 1 0 3へ転送することを要求する（ステップ S T 2 4 ) 。このレスポンス値は、 eKm(Ral il RM)と表記される。 e Km () は、メディアキー Kmを暗号鍵として括弧内のデータを暗号化することを表している。 Ral II Rblの記号は、左側に乱数 Ralを配し、右側に乱数 Rblを配するように、二つの乱数を結合することを表している。

ホスト 1 0 3からコマンド REPORT KEYを受け取つたドライブ 1 0 は、ステップ S T 1 4において、 MAC演算プロック 1 2 3が生成した MA C値 eKm(Ral II Rbl)と乱数 Ralをホスト 1 0 3へ転送する。ステツプ S T 2 5において、ホスト 1 0 3は、自身の MA C演算プロック 1 3 3で MAC値を計算し、比較 1 3 9においてドライブ 1 0 2から受け取った値と一致するかの確認を行う。若し、受け取った MAC 値と計算された MA C値とがー致したのなら、ホスト 1 0 3によるドライブ 1 0 2の認証が成功したことになる。ステップ S T 2 5における比較の結果が同一でない場合には、ホスト 1 0 3によるドライブ 1 0 2の認証が失敗したことになり、リジヱクト処理がなされる。

ホスト 1 0 3によるドライブ 1 0 2の認証が成功した場合には、ステツプ S T 2 6において、ホスト 1 0 3がドライブ 1 0 2へコマンド REPORT KEYを送付し、ドライブ 1 0 2の乱数生成器 1 2 4および 1 2 5がそれぞれ生成する乱数 Ra2と乱数 Ra3の転送を要求する。このコマンドに応答して、ステップ S T 1 5において、ドライブ 1 0 は、これらの乱数をホスト 1 0 3へ転送する。

ステップ S T 2 7において、ホスト 1 0 3の MAC演算プロック 1 3 4は、ドライブ 1 0 2から受け取った乱数からホスト 1 0 3が持つメディアキー Kmを鍵とした MACによるレスポンス値 eKm(Rb2 II Ra2 )を計算し、乱数 Rb3とともに、コマンド SEND KEYを用いてドライブ 1 0 2へ転送する。

ステップ S T 1 6において、ドライブ 1 0 2は、ホスト 1 0 3からレスポンス値 eKm(Rb2 II Ra2)および乱数 Rb3を受け取ると、自身で MA C値を計算し、ステップ S T 1 7において、比較 1 9によってホスト 1 0 3から受け取った MAC値と一致するかの確認を行う。若し、受け取った MAC値と計算された MAC値とが一致したのなら、ドライブ 1 0 2によるホスト 1 0 3の認証が成功したことになる。この場合には、ステップ S T 1 8において、 MAC演算プロック 1 2 5がセッシ aンキー eKm(Ra3 II Rb3)を生成し、また、ホスト 1 0 3に対して認証が成功したことを示す情報を送信し、認証処理が完了する。セッシヨンキーは、認証動作の度に異なる値となる。

ステップ S T 1 7における比較の結果が同一でない場合には、ドライブ 1 0 2によるホスト 1 0 3の認証が失敗したことになり、ステツプ S T 1 9において、認証が失敗したことを示すエラー情報がホスト 1 0 3に送信される。

ホスト 1 0 3は、送付したコマンド SEND KEYに対する応答としてドライブ 1 0 2から認証が成功したか否かを示す情報を受け取り、受け取った情報に基づいてステップ S T 2 8において、認証完了か否かを判断する。認証が成功したことを示す情報を受け取ることで認証完了と判断し、認証が失敗したことを示す情報を受け取ることで認証が完了しなかったと判断する。認証が完了した場合は、ステップ S T 2 9 において、 M A C演算プロック 1 3 5がドライブ側と共通のセッションキー eKm (Ra3 II Rb3) (例えば 6 4 ビット長）を生成する。認証が完 7しなかった場合には、リジヱクト処理がなされる。セッションキー eKm (Ra3 II Rb3)を以下の説明では、適宜 sと表記する。

上述した一実施形態による相互認証は、ドライブ 1 0 2がリボケ一シヨン機能を持つことができ、また、認証専用の特定の認証鍵を必要としない特徴を有している。

また、電子機器固有の情報としてのデバイスキーを記録再生装置が持つことによって、記録再生装置自身をリボークすることが可能となる。

さらに、ドライブ 1 0 2が比較 1 9によってホスト 1 0 3の認証結果を確認することで、ドライブ 1 0 2がホスト 1 0 3から正規のラィセンスを受けた上で実装されたものであるか否かを判定することが可能となる。

次に、上述した相互認証を行うドライブ 1 0 2 とホスト 1 0 3 とを組み合わせて実現したレコーダの一実施形態の構成を第 8図に示す。一実施形態のレコーダは、ドライブ 1 0 2がメディアユニークキーを計算し、計算したメディアユニークキ一を相互認証によって生成したセッションキー K sを用いてセキュアにホスト 1 0 3に転送する。また、ドライブ 1 0 2がコンテンツキー導出のための乱数デ一夕を生成し、生成した乱数データを相互認証によって生成したセッションキー K sを用いてホスト 1 0 3へセキュアに転送し、ホスト 1 0 3が導出したコンテンツキ一を用いてコンテンッを暗号化し、暗号化コンテンッをドライブ 1 0 2へ転送し、ドライブ 1 0 2が暗号化コンテンツをメディア 1 0 1へ記録する構成とされている。

レコーダを構成するドライブ 1 0 2は、デバイスキ一 1 2 1、プロセス MKB 1 2 2、 C 2_G 2 1 4 D E S (Data Encryption Sta ndard)ェンクリプタ 1 4 2、乱数発生器 1 4 3、 D E Sェンクリプタ 1 4 4の構成要素を有する。

メディア 1 0 1から再生された MK B 1 1 2 とデバイスキー 1 2 1 とがプロセス MK B 1 2 2において演算されることによって、リボケーションされたかどうかの判別ができる。プロセス MKB 1 2 において、 MKB 1 1 2とデバイスキー 1 2 1からメディアキーが算出される。 MK B 1 1 2の中にドライブ 1 0 2のデバイスキー 1 2 1が入つておらず、演算された結果が予め決められたある値例えばゼロの値と一致した場合、そのデバイスキー 1 2 1 を持つドライブ 1 0 1が正当なものでないと判断され、ドライブ 1 0 2がリボケーシヨンされる C 2_G 1 4 1は、メディアキ一とメディア I D 1 1 1 とを演算し、メディアユニークキーを導出する処理である。メディアユニークキ —が D E Sェンクリプ夕 1 4 2にてセッションキー K sによって暗号化される。暗号化の方式として、例えば D E S C B Cモードが使用される。 D E Sェンクリプ夕 1 4 2の出力がホスト 1 0 3の D E Sテ、クリプタ 1 5 1に送信される。

乱数発生器 1 4 3によってタイトルキーが生成される。乱数発生器 1 4 3からのタイトルキーが D E Sェンクリブ夕 1 4 4に入力され、タイトルキーがセッションキーで暗号化される。暗号化タイトルキ一がホスト 1 0 3の D E Sデクリプタ 1 5 2に送信される。

ホスト 1 0 3において、 D E Sデクリプタ 1 5 1 において、セッシヨンキー K sによってメディアユニークキーが復号される。 D E Sデクリプタ 1 5 2において、セッションキー K sによってタイトルキーが復号される。メディアユニークキーおよびタイトルキーが C 2 _ E

1 5 3に供給され、タイトルキーがメディアユニークキ一を使用して C 2によって暗号化される。暗号化タイトルキー 1 1 4がメディア 1 0 1 に記録される。

ホスト 1 0 3においては、 C C I と復号されたタイトルキーとが C 2— G 1 5 4に供給され、コンテンツキーが導出される。コンテンツキーが C 2 __ E C B C 1 5 5に供給され、コンテンツキ一を鍵としてコンテンッが暗号化される。暗号化コンテンツ 1 1 3がメディア 1 0 1 に記録される。

第 9図は、コンテンツ記録時の手順を示すものである。最初に、ホスト 1 0 3からの要求に応じてメディア 1 0 1上の M K Bがシークされ、読み出される (ステップ S 2 1 ) 。次のステツプ S 2 2の A K E (Authent i cat i on and Key Exchange) ίこおレヽて、上述したよつなリホーク処理とドライブ 1 0 2 とホスト 1 0 3の相互認証動作がなされる相互認証動作は、電源の O N後のディスク検出時並びにディスクの交換時には、必ず行われる。また、記録ボタンを押して記録動作を行う場合、並びに再生ボタンを押して再生動作を行う場合に、認証動作を行うようにしても良い。一例として、記録ボタンまたは再生ボタンを押した時に、認証がなされる。相互認証が成功しないと、リジヱクト処理によって例えば処理が中断する。相互認証が成功すると、ドライブ 1 0 2およびホスト 1 0 3 の両者において、セッションキー K sが生成され、セッションキ一 K sが共有される。

次のステップ S 2 3において、ホスト 1 0 3がドライブ 1 0 2に対してメディアユニークキ一を要求する。ドライブ 1 0 2は、メディア 1 0 1のメディア I Dをシークし (ステップ S 2 4 ) 、メディア I D をメディア 1 0 1 から読み出す (ステップ S 2 5 ) 。ドライブ 1 0 2 は、メディアキーとメディア I Dとを演算することによってメディアユニークキーを生成する。ステップ S 2 6において、メディアュニークキーがセッションキー K sによって暗号化され、暗号化されたメディァユニークキーがホスト 1 0 3に転送される。

次に、ステップ S 2 7において、ホスト 1 0 3がドライブ 1 0 2に対してタイトルキ一を要求する。ステップ S 2 8において、ドライブ 1 0 2がタイトルキーをセッションキー K sで暗号化し、暗号化したタイトルキーをホスト 1 0 3に転送する。ホスト 1 0 3において、セッションキ一 K sによって、暗号化されたメディアユニークキ一および暗号化されたタイトルキーがそれぞれ復号される。

そして、タイトルキーがメディアユニークキーによって暗号化され、暗号化タイトルキーが生成される。また、タイトルキーと C C I からコンテンツキーが生成され、コンテンツキーによってコンテンツが暗号化される。ステップ S 2 9において、ホスト 1 0 3からドライブ 1 0 2に対して、暗号化タイトルキー、暗号化コンテンツおよび C C Iが転送される。ステップ S 3 0において、ドライブ 1 0 2によって、これらの暗号化タイトルキ一、暗号化コンテンツおよび C C Iがメディア 1 0 1 に対して記録される。なお、第 8図のレコーダの構成においては、ドライブ 1 0 2において乱数発生器 1 4 3を使用してタイトルキーを生成している。しかしながら、ホスト 1 0 3に乱数発生器を設け、この乱数発生器によってタイトルキーを生成するようにしても良い。

次に、上述した相互認証を行うドライブ 1 0 2とホスト 1 0 3 とを組み合わせて実現したプレーヤの一実施形態の構成を第 1 0図に示す。一実施形態のプレーヤは、ドライブ 1 0 2が計算したメディアュニ —クキ一を相互認証によって生成したセッションキ一 K sを用いてセキュアにホスト 1 0 3に転送し、ホスト 1 0 3が暗号化タイトルキ一をメディアユニークキ一によって復号し、タイトルキーと C C I とから導出したコンテンツキ一を用いてコンテンッを復号する構成とされている。

プレーヤを構成するドライブ 1 0 2は、デバイスキ一 1 2 1、プロセス MKB 1 2 2、 C 2_G 2 1 4 K D E Sェンクリブ夕 1 4 2の構成要素を有する。メディア 1 0 1から再生された M KB 1 1 2 とデバイスキー 1 1 1 とがプロセス M KB 1 2 2において演算されることによって、リボケ一シヨンされたかどうかの判別ができる。プロセス MKB 1 2 2において、 MK B 1 1 2 とデバイスキ一 1 1 1からメディアキ一が算出される。

C 2_G 1 4 1は、メディアキーとメディア I D 1 1 1 とを演算し、メディアユニークキーを導出する処理である。メディアユニークキ一が D E Sェンクリプタ 1 4 2にてセッションキ一 K sによって暗号化される。暗号化の方式として、例えば D E S C B Cモードが使用される。 D E Sェンクリプタ 1 4 2の出力がホスト 1 0 3の D E Sデクリプ夕 1 5 1に送信される。

ホスト 1 0 3において、 D E Sデクリプ夕 1 5 1において、セッシヨンキ一 K sによってメディァユニークキ一が復号される。メディアユニークキ一および暗号化タイトルキー 1 1 4が C 2 _D 1 5 3に供給され、暗号化タイトルキーがメディアユニークキ一を使用して復号される。復号されたタイトルキーとメディア 1 0 1から再生された C C Iが C 2 _ G 1 5 4に供給され、コンテンツキ一が導出される。メディア 1 0 1から再生された暗号化コンテンッ 1 1 3が C 2デクリプタ 1 5 5において、コンテンツキーによつて復号され、コンテンツが得られる。

第 1 1図は、コンテンツ再生時の手順を示すものである。最初に、ホスト 1 0 3からの要求に応じてメディア 1 0 1上の M K Bがシークされ、読み出される（ステップ S 4 1 ) 。 M K Bがパック毎に読み出される。次のステツプ S 4 2の A K Eにおいて、上述したようなリボ —ク処理とドライブ 1 0 2 とホスト 1 0 3の相互認証動作がなされる相互認証が成功しないと、リジヱクト処理によって例えば処理が中断する。相互認証が成功すると、ドライブ 1 0 2およびホスト 1 0 3 の両者において、セッションキ一 K sが生成され、セッションキー K sが共有される。

次のステップ S 4 3において、ホスト 1 0 3がドライブ 1 0 2に対してメディアユニークキーを要求する。ドライブ 1 0 2は、メディア 1 0 1のメディア I Dをシークし（ステップ S 4 4 ) 、メディア I D をメディア 1 0 1から読み出す（ステップ S 4 5 ) 。ドライブ 1 0 2 は、メディアキーとメディア I Dとを演算することによってメディアユニークキーを生成する。ステップ S 4 6において、メディァュ二一クキーがセッシヨンキー K sによって暗号化され、暗号化されたメディァユニークキ一がホスト 1 0 3に転送される。次に、ステップ S 4 7において、ホスト 1 0 3がドライブ 1 0 2に対して、暗号化タイトルキ一、 C C Iおよび暗号化コンテンツを要求する。ステップ S 4 8において、ドライブ 1 0 2が暗号化タイトルキ一 1 1 4、 C C I 1 1 5および暗号化コンテンツ 1 1 3をメディア 1 0 1からリードする。ステップ S 4 9において、ドライブ 1 0 2が暗号化タイトルキー 1 1 4、 C C I 1 1 5および暗号化コンテンッ 1 1 3を読み取る。そして、ステップ S 5 0において、ドライブ 1 0 1が暗号化タイトルキー 1 1 4、 C C I 1 1 5および暗号化コンテンッ 1 1 3をホスト 1 0 3に対して転送する。

ホスト 1 0 3において、タイトルキーが復号され、タイトルキーと C C I とからコンテンツキ一が求められ、コンテンツキ一を鍵として暗号化コンテンッが復号される。

第 1 0図に示すプレーヤの構成においては、ホスト 1 0 3が暗号化タイトルキーを復号するデクリプタ C 2 _ D 1 5 3を備えているが、ドライブ 1 0 2が暗号化タイトルキーを復号するデクリプタを備えるようにしても良い。この場合、復号されたタイトルキ一がホスト 1 0 3のコンテンツキ一生成用の C 2 _ G 1 5 4に対してセキュアに転送される。または、ドライブ 1 0 2にコンテンツキ一生成装置 C 2— G を設け、ドライブ 1 0 2において復号されたタイトルキーと C C I とからコンテンツキ一を生成するようにしても良い。この場合、復号されたコンテンツキ一がホスト 1 0 3の C 2— D C B C 1 5 5へセキュァに転送される。

第 1 2図は、相互認証を行うドライブ 1 0 2とホスト 1 0 3 とを組み合わせて実現したレコーダの他の実施形態の構成を示す。他の実施形態のレコーダは、ドライブ 1 0 2が計算したメディアユニークキ一を相互認証によって生成したセッションキー K sを用いてセキュアにホスト 1 0 3に転送する。また、ドライブ 1 0 2においてコンテンツキーが生成され、生成されたコンテンツキ一がセッションキー K sを用いてホスト 1 0 3へセキュアに転送され、ホスト 1 0 3が復号したコンテンツキーを用いてコンテンツを暗号化し、暗号化コンテンツをドライブ 1 0 2へ転送し、ドライブ 1 0 2が暗号化コンテンツをメディァ 1 0 1へ記録する構成とされている。すなわち、第 8図に示す上述したレコーダでは、ホスト 1 0 3においてコンテンツキ一を生成したが、他の実施形態では、ドライブ 1 0 2において、コンテンツキーを生成している。

第 1 2図に示すように、メディア 1 0 1 から再生された M K B 1 1 とデバイスキー 1 1 1 とがプロセス M K B 1 2 2において演算されることによって、メディアキーが算出され、 C 2— G 1 4 1 において、メディアキーとメディア I D 1 1 1 とが演算し、メディアユニークキーが導出される。メディアユニークキーが D E Sェンクリプタ 1 4 2にてセッションキ一 K sによって暗号化され、 D E Sェンクリブ夕 1 4 2の出力がホスト 1 0 3の D E Sデクリブ夕 1 5 1 に送信され、 D E Sデクリプタ 1 5 1 によってメディアユニークキーが導出されるさらに、ドライブ 1 0 2の乱数発生器 1 4 3によってタイトルキーが生成され、乱数発生器 1 4 3からのタイトルキーがホスト 1 0 3の C 2 __ E 1 5 3に供給され、タイトルキーがメディアユニークキーを使用して C 2によって暗号化される。暗号化タイトルキー 1 1 4がメディア 1 0 1 に記録される。

ホスト 1 0 3において、セッションキー K sを鍵として M A C演算プロック 1 5 8により C C I の M A C値 e K s ( C C I ) が計算され、 C C I とともにドライブ 1 0 2へ転送される。ドライブ 1 0 において、ホスト 1 0 3から受け取った C C I からセッションキ一 K sを鍵として M A C演算プロック 1 5 7により C C Iの M A C値 e K s ( C C I ) が計算され、ホスト 1 0 3から受け取つた M A C値とともに比較 1 5 9へ供給される。

比較 1 5 9では、両方の M A C値が一致したならば、ホスト 1 0 3 から受け取った C C I の改ざんは無いものと判断し、スィッチ S W 2 を〇Nする。一致しなかった場合は、 C C I は改ざんされたものとみなし、スィッチ S W 2 を O F F し、以降の処理を中断する。

ドライブ 1 0 1において、ホスト 1 0 3から受け取った C C I とタィトルキーとが C 2 _ G 1 4 5に供給され、コンテンツキ一が導出される。コンテンツキーが D E Sェンクリプ夕 1 4 6に供給され、セッシヨンキー K sを鍵として、コンテンツキーが暗号化される。暗号化コンテンツキーがホスト 1 0 3の D E Sデクリブ夕 1 5 6に転送される。

D E Sデクリブ夕 1 5 6でセッションキ一 K sを鍵として復号されたコンテンツキーが C 2— E C B C 1 5 5に供給され、コンテンツキ一を鍵としてコンテンツが暗号化される。暗号化コンテンツ 1 1 3がドライブ 1 0 2に転送され、ドライブ 1 0 2によってメディア 1 0 1 に記録される。

なお、第 1 2図に示すレコーダにおいては、タイトルキーがドライブ 1 0 2の乱数発生器 1 4 3によって生成されている。しかしながら、ホスト 1 0 3側に乱数発生器を設け、この乱数発生器によってタイトルキーを生成しても良い。この場合には、生成されたタイトルキーがホスト 1 0 3からドライブ 1 0 2のコンテンツキ一生成のための C 2— G 1 4 5に対して転送される。

第 1 3図は、レコーダの他の実施形態によるコンテンツ記録時の手順を示すものである。最初に、ホスト 1 0 3からの要求に応じてメディァ 1 0 1上の M K Bがシークされ、読み出される（ステップ S 6 1 ) 。次のステップ S 6 2の A K Eにおいて、リボーク処理とドライブ 1 0 2 とホスト 1 0 3の相互認証動作がなされる。

相互認証が成功しないと、リジヱクト処理によって例えば処理が中断する。相互認証が成功すると、ドライブ 1 0 2およびホスト 1 0 3 の両者において、セッションキー K sが生成され、セッションキー K sが共有される。

次のステップ S 6 3において、ホスト 1 0 3がドライブ 1 0 2に対してメディアユニークキーを要求する。ドライブ 1 0 2は、メディア 1 0 1 のメディア I Dをシークし（ステップ S 6 4 ) 、メディア I D をメディア 1 0 1から読み出す (ステップ S 6 5 ) 。ドライブ 1 0 2 は、メディアキーとメディア I Dとを演算することによってメディアユニークキ一を生成する。ステップ S 6 6において、メディァュニークキーがセッションキ一 K sによって暗号化され、暗号化されたメディァユニークキーがホスト 1 0 3に転送される。

次に、ステップ S 6 7において、ホスト 1 0 3がドライブ 1 0 2に対してタイトルキ一を要求する。ステップ S 6 8において、ドライブ 1 0 2がタイトルキーをホスト 1 0 3に転送する。ホスト 1 0 3において、セッションキー K sによって、暗号化されたメディアユニークキーが復号される。そして、タイトルキーがメディアユニークキ一によって暗号化され、暗号化タイトルキーが生成される。

また、ステップ S 6 9において、ホスト 1 0 3がドライブ 1 0 2に対して C C I を送る。このとき、 C C I の改ざんを回避するために C C Iの認証データとして計算された M A C値 e K s ( C C I ) を付加して転送する。ドライブ 1 0 2において、 C C Iの改ざんが無いことを確認後、タイトルキーと C C Iからコンテンツキーが生成され、コンテンツキ一がセッションキ一 K sで暗号化される。ステップ S 7 0 において、ホスト 1 0 3がドライブ 1 0 2に対してコンテンツキーを要求すると、ステップ S 7 1において、ドライブ 1 0 1が暗号化されたコンテンツキーをホスト 1 0 3に送る。

ホスト 1 0 3は、暗号化コンテンツキ一をセッションキ一 K sによつて復号し、コンテンツキ一を得る。コンテンツキーによってコンテンッが暗号化される。ステップ S 7 2において、ホス卜 1 0 3からドライブ 1 0 2に対して、暗号化タイトルキー、暗号化コンテンッおよび C C Iが転送される。ステップ S 7 3において、ドライブ 1 0 2によって、暗号化タイトルキ一、暗号化コンテンツおよび C C Iがメディァ 1 0 1に対して記録される。

上述した第 1 2図に示す構成のレコーダは、ドライブ 1 0 2において、真正乱数またはそれに近い乱数をハ一ドウヱァ例えば L S I によつて発生することができ、生成した乱数を固定値への置き換えを困難とすることができる。また、ドライブ 1 0 2において、ハードゥヱァ構成によってコンテンツキーを生成するので、著作権保護の実装を強力とすることができる。

この発明は、上述したこの発明の一実施形態等に限定されるものではなく、この発明の要旨を逸脱しない範囲内で様々な変形や応用が可能である。例えばタイトルキーは、タイトル每のキ一であるが、この発明では、乱数情報であれば、タイトル毎に異なることは、必要ではない。

また、上述した説明においては、著作権保護技術として C P R Mおよび C P R Mを拡張した例を挙げたが、 C P R M以外の著作権保護技術に対してもこの発明を適用することができる。例えば、特開 2001— 352322号公報において提案されるッリ一構造の鍵配布構成に基づく著作権保護技術に対して適用可能である。また、 P Cベースのシステムに対してこの発明が適用されるが、このことは、 P Cとドライブを組み合わせる構成にのみ限定されることを意味するものではない。例えば携帯型動画または静止画カメラの場合に、メディアとして光デイスクを使用し、メディアを駆動するドライブとドライブを制御するマイクロコンピュータが設けられる動画または静止画カメラシステムに対してもこの発明を適用することが可能である。

この発明では、メディア上に記録された鍵情報（M K B ) と各デバイスまたは各アプリケーションに記憶されている鍵情報（デバイスキ一）から同一の値として導かれる鍵情報（メディアキー）を利用して相互認証がなされる。したがって、この発明においては、認証のためだけに用意される特定の認証鍵を必要とせず、秘密情報を少なくでき、また、デバイスまたはアプリケーションによってデバイスキ一を異ならせることが可能であるので、秘密情報が不正に読み取られる危険性を少なくできる。

この発明では、著作権保護技術に関する秘密情報である電子機器またはアプリケーションソフトウェア固有の情報例えばデバイスキーがドライブ内に実装されているので、情報処理装置にィンストールされ 'るアプリケーションソフトウェアは、著作権保護技術に関する秘密情報の全てを持つ必要がなくなる。それによつて、ソフトゥヱァのリバ —スエンジニアリングによる解析に対する耐性を持たせることが容易に実施でき、また、ディスクからのデータとしてそのまま読み出された暗号化コンテンッが「 D e C S S」のような解読ソフトウヱァにより復号され、平文のままのクリア · コンテンツとしてコピー制限の働かない状態で複製が繰り返されるような事態を防ぐことができることから、著作権保護技術の安全性を確保することができる。

また、電子機器固有の情報としてのデバイスキ一を記録再生装置が持つことによって、記録再生装置自身をリボークすることが可能となる。

さらに、この発明では、情報処理装置におけるコンテンツキーを計算するのに必要とされる乱数情報が記録再生装置内の例えば L S Iによつて生成できるので、 P C内でソフトゥヱァによって乱数を生成するのと比較して、真正または真正乱数に近い乱数を生成することができる。したがって、乱数が固定値に置き換えられる、等のおそれを少なくできる。

Claims

請求の範囲

1 . 不正な電子機器を判別するためのリボケ一ション情報と記録媒体固有の情報とを予め備えた記録媒体から、コンテンッ情報を読み出す再生部を有する再生装置と、上記再生装置が上記コンテンッ情報を伝達手段を介して送受信し、処理する情報処理装置と相互に認証する相互認証方法において、

上記再生装置は、当該再生装置を表す情報と上記リボケーション情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1の判定ステップを有し、

上記情報処理装置は、当該情報処理装置を表す情報と上記リボケ一ション情報を用いて当該情報処理装置を無効化すべきか否かを判定する第 2の判定ステップを有し、

上記第 1の判定ステップによって無効化すべきという判定をされなかった場合に生成される第 1 の鍵情報と、上記第 2の判定ステップによって無効化すべきという判定をされなかった場合に生成される第 2 の鍵情報とを用いて、上記再生装置と上記情報処理装置とが相互に認証する相互認証ステップとを有することを特徴とする相互認証方法。

2 . 請求の範囲第 1項において、

上記相互認証ステップは、

上記情報処理装置が上記伝達手段を介して正常に動作しているかを上記再生装置において確認する第 1の確認ステツプと、

上記再生装置が上記伝達手段を介して正常に動作しているかを上記情報処理装置において確認する第 2の確認ステップとを有することを特徴とする請求の範囲第 1項に記載の相互認証方法。

3 . 請求の範囲第 2項において、上記再生装置は、

乱数を生成する第 1の乱数生成ステップと、

所定の計算をする第 1の計算ステップとを有し、

上記情報処理装置は、

乱数を生成する第 1の乱数生成ステップと、

所定の計算をする第 2の計算ステップとを有し、

上記第 1の確認ステップは、

上記第 1の乱数生成ステップにより生成される第 1の乱数と、上記第 2の乱数生成ステップにより生成される第 2の乱数とを上記伝達手段を介して上記再生装置と上記情報処理装置との間で相互に交換する第 1の乱数交換ステップと、

上記再生装置において、少なくとも上記第 1 の鍵情報と上記相互に交換された第 1の乱数および第 2の乱数とを用いて上記第 1の計算ステツプにより計算した結果と、上記情報処理装置から上記伝達手段を介して送られた、少なくとも上記第 2の鍵情報と上記相互に交換された第 1 の乱数および第 2の乱数とを用いて上記第 2の計算ステップにより計算した結果とが同一であるかを比較する第 1の比較ステップとを有し、

上記第 1の確認ステップは、

上記第 1 の乱数生成ステツプにより生成される第 3の乱数と、上記第 2の乱数生成ステップにより生成される第 4の乱数とを上記伝達手段を介して上記再生装置および上記情報処理装置との間で相互に交換する第 1の乱数交換ステップと、

上記情報処理装置において、上記再生装置から上記伝達手段を介して送られた、少なくとも上記第 1の鍵情報と上記相互に交換された第 3の乱数および第 4の乱数とを用いて上記第 1の計算ステップにより計算した結果と、少なくとも上記第 2の鍵情報と上記相互に交換された第 3の乱数および第 4の乱数とを用いて上記第 2の計算ステップにより計算した結果とが同一であるかを比較する第 2の比較ステツプとを有していることを特徴とする相互認証方法。

4 . 不正な電子機器を判別するためのリボケ一シヨン情報と記録媒体固有の情報とを予め備えた記録媒体から、コンテンツ情報を読み出す再生部を有する再生装置と、上記再生装置が上記コンテンッ情報を伝達手段を介して送受信し、処理する情報処理装置と相互に認証する相互認証方法のプログラムであって、

上記再生装置は、当該再生装置を表す情報と上記リボケーシヨン情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1の判定ステップを有し、

上記情報処理装置は、当該情報処理装置を表す情報と上記リボケ一ション情報を用いて当該情報処理装置を無効化すべきか否かを判定する第 1の判定ステップを有し、

上記第 1の判定ステップによって無効化すべきという判定をされなかった場合に生成される第 1の鍵情報と、上記第 2の判定ステツプによって無効化すべきという判定をされなかった場合に生成される第 2 の鍵情報とを用いて、上記再生装置と上記情報処理装置とが相互に認証する相互認証ステツプとを有することを特徴とする相互認証方法のプログラム。

5 . 不正な電子機器を判別するためのリボケーション情報と記録媒体固有の情報とを予め備えた記録媒体から、コンテンッ情報を読み出す再生部を有する再生装置と、上記再生装置が上記コンテンッ情報を伝達手段を介して送受信し、処理する情報処理装置と相互に認証する相互認証方法のプログラムを格納した記録媒体であって、上記再生装置は、当該再生装置を表す情報と上記リボケーション情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1の判定ステップを有し、

上記情報処理装置は、当該情報処理装置を表す情報と上記リボケ一ション情報を用いて当該情報処理装置を無効化すべきか否かを判定する第の判定ステップを有し、

上記第 1の判定ステップによって無効化すべきという判定をされなかった場合に生成される第 1の鍵情報と、上記第 2の判定ステップによって無効化すべきという判定をされなかった場合に生成される第 2 の鍵情報とを用いて、上記再生装置と上記情報処理装置とが相互に認証する相互認証ステップとを有することを特徴とする相互認証方法のプログラムを格納した記録媒体。

6 . 不正な電子機器を判別するためのリボケーション情報と記録媒体固有の情報とを予め備えた記録媒体から、コンテンッ情報を読み出す再生部を有する再生装置と、上記再生装置が上記コンテンツ情報を伝達手段を介して送受信し、処理する情報処理装置とを備える信号処理システムであって、

上記再生装置は、当該再生装置を表す情報と上記リボケーション情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1 の判定手段を有し、

上記情報処理装置は、当該情報処理装置を表す情報と上記リボケ一ション情報とを用いて当該情報処理装置を無効化すべきか否かを判定する第 2の判定手段を有し、

上記第 1の判定手段によって無効化すべきという判定をされなかつた場合に生成される第 1の鍵情報と、上記第 2の判定手段によって無効化すべきという判定をされなかった場合に生成される第 2の鍵情報とを用いて、上記再生装置と上記情報処理装置とが相互に認証する相互認証手段と、

上記相互認証手段による相互認証後に、上記再生装置および上記情報処理装置に共通の共通鍵を生成する共通鍵生成手段とを備えることを特徴とする信号処理システム。

7 . 請求の範囲第 6項において、

上記相互認証手段は、

上記情報処理装置が上記伝達手段を介して正常に動作しているかを上記再生装置において確認する第 1の確認手段と、

上記再生装置が上記伝達手段を介して正常に動作しているかを上記情報処理装置において確認する第 2の確認手段とを有することを特徴とする信号処理システム。

8 . 請求の範囲第 7項において、

上記再生装置は、

乱数を生成する第 1の乱数生成手段と、

所定の計算をする第 1の計算手段とを有し、

上記情報処理装置は、

乱数を生成する第 2の乱数生成手段と、

所定の計算をする第 2の計算手段とを有し、

上記第 1 の確認手段は、

上記第 1の乱数生成手段により生成される第 1の乱数と、上記第 2 の乱数生成手段により生成される第 2の乱数とを上記伝達手段を介して上記再生装置と上記情報処理装置との間で相互に交換する第 1の乱数交換手段と、

上記再生装置において、少なくとも上記第 1 の鍵情報と上記相互に交換された第 1の乱数および第 2の乱数とを用いて上記第 1 の計算手段により計算した結果と、上記情報処理装置から上記伝達手段を介して送られた、少なくとも上記第 2の鍵情報と上記相互に交換された第 1 の乱数および第 2の乱数とを用いて上記第 2の計算手段により計算した結果とが同一であるかを比較する第 1の比較手段とを有し、上記第 2の確認手段は、

上記第 1の乱数生成手段により生成される第 3の乱数と、上記第 2 の乱数生成手段により生成される第 4の乱数とを上記伝達手段を介して上記再生装置および上記情報処理装置との間で相互に交換する第 2 の乱数交換手段と、

上記情報処理装置において、上記再生装置から上記伝達手段を介して送られた、少なくとも上記第 1の鍵情報と上記相互に交換された第 3の乱数および第 4の乱数とを用いて上記第 1 の計算手段により計算した結果と、少なくとも上記第 2の鍵情報と上記相互に交換された第 3の乱数および第 4の乱数とを用いて上記第 2の計算手段により計算した結果とが同一であるかを比較する第 2の比較手段とを有していることを特徴とする信号処理システム。

9 . 請求の範囲第 8項において、

上記共通鍵生成手段は、

上記第 1の乱数生成手段により生成される第 5の乱数と、上記第 2 の乱数生成手段により生成される第 6の乱数とを上記伝達手段を介して上記再生装置と上記情報処理装置との間で相互に交換する第 3の乱数交換手段と、

上記再生装置において、少なくとも上記第 1の鍵情報と上記第 5の乱数と上記第 6の乱数とを用いて上記共通鍵を生成する第 1の共通鍵生成手段と、

上記情報処理装置において、少なくとも上記第 2の鍵情報と上記第 5の乱数と上記第 6の乱数とを用いて上記共通鍵を生成する第の共通鍵生成手段とを有することを特徴とする信号処理システム。

1 0 . 請求の範囲第 9項において、

上記伝達手段を介して、上記共通鍵を用いた共通鍵暗号方式で上記再生装置から上記情報処理装置へ情報を送る第 1の送信手段と、上記再生装置において、上記第 1の鍵情報と上記記録媒体固有の情報を用いて記録媒体固有の鍵情報を生成する中間鍵情報生成手段とを備えることを特徴とする請求の範囲第 7項に記載の信号処理 ·

1 1 . 請求の範囲第 1 0項において、

第 3の鍵情報を、少なくとも上記記録媒体固有の鍵情報を用いて暗号化する鍵情報暗号化手段と、

上記鍵情報暗号化手段により暗号化された上記第 3の鍵情報を上記記録媒体に記録する暗号化鍵情報記録手段と、

上記第 3の鍵情報に基づいてコンテンツ情報暗号化鍵を生成する最終暗号化鍵生成手段と、

上記コンテンッ情報暗号化鍵を用いて暗号化されたコンテンツ情報を上記記録媒体に記録するコンテンッ情報記録手段とを備えることを特徴とする信号処理システム。

1 2 . 請求の範囲第 1 1項において、

上記鍵情報暗号化手段、上記暗号化鍵情報記録手段、上記最終暗号化鍵生成手段、上記コンテンッ情報記録手段は、

上記情報処理装置が有しているとともに、

上記記録媒体固有の鍵情報は、

上記第 1の送信手段により上記情報処理装置へ送られることを特徴とする信号処理

1 3 . 請求の範囲第 1 2項において、

上記第 3の鍵情報は、

上記再生装置において前期第 1の乱数生成手段により生成された第 7の乱数に基づいた鍵情報であるとともに、

当該第 3の鍵情報は、

上記第 1の送信手段により上記情報処理装置に送られることを特徴とする信号処理システム。

1 4 . 請求の範囲第 1 2項において、

上記第 3の鍵情報は、

上記情報処理装置において上記第 2の乱数生成手段により生成された第 8の乱数に基づいた鍵情報であることを特徴とする信号処理システム。

1 5 . 請求の範囲第 1 1項において、

上記鍵情報暗号化手段、上記暗号化鍵情報記録手段、上記コンテンッ情報記録手段は、

上記情報処理装置が有しており、

上記記録媒体固有の鍵情報は、

上記第 1の送信手段により上記情報処理装置へ送られるとともに、上記最終暗号化鍵生成手段は、

上記再生装置が有しており、

上記最終暗号化鍵生成手段により生成された上記コンテンッ情報暗号化鍵は、

上記第 1の送信手段により上記情報処理装置へ送られることを特徴とする信号処理システム。

1 6 . 請求の範囲第 1 5項において、上記第 3の鍵情報は、

上記再生装置において上記第 1の乱数生成手段により生成された第 9の乱数を基にした鍵情報であることを特徴とする請求の範囲第 1 3 項に記載の信号処理 ·

1 7 . 請求の範囲第 1 5項において、

上記第 3の鍵情報は、

上記情報処理装置において上記第 2の乱数生成手段により生成された第 1 0の乱数を基にした鍵情報であるとともに、

上記伝達手段を介して、上記共通鍵を用いた共通鍵暗号方式で上記情報処理装置から上記再生装置へ情報を送る第 2の送信手段により上記再生装置の上記最終暗号化鍵生成手段に送られることを特徴とする信号処理システム。

1 8 . 請求の範囲第 1 0項において、.

上記記録媒体から読み出される暗号化された第 4の鍵情報を、少なくとも上記記録媒体固有の鍵情報を用いて復号する鍵情報復号手段と上記第 4の鍵情報に基づいてコンテンツ情報復号鍵を生成する最終復号鍵生成手段と、

上記コンテンッ情報復号鍵を用いて上記コンテンツ情報を復号するコンテンッ情報復号手段とを備えていることを特徴とする信号処理システム。

1 9 . 請求の範囲第 1 8項において、

上記最終復号鍵生成手段、上記コンテンッ情報復号手段は、上記情報処理装置が有していることを特徴とする信号処理

2 0 . 請求の範囲第 1 9項において、上記鍵情報復号手段は、

上記情報処理装置が有しており、

上記記録媒体固有の鍵情報は、

上記第 1の送信手段によって上記情報処理装置へ送られることを特徴とする信号処理システム。

2 1 . 請求の範囲第 1 9項において、

上記鍵情報復号手段は、

上記再生装置が有しており、

復号された上記第 4の鍵情報は、

上記第 1 の送信手段によって上記情報処理装置へ送られることを特徴とする信号処理システム。

2 2 . 請求の範囲第 1 8項において、

上記最終復号鍵生成手段は、

上記再生装置が有していることを特徴とする信号処理システム。

2 3 . 請求の範囲第 2 2項において、

上記鍵情報復号手段は、

上記再生装置が有しており、

上記再生装置において生成された上記コンテンッ情報復号鍵は、上記第 1の送信手段によつて上記情報処理装置へ送られることを特徴とする信号処理システム。

2 4 . 不正な電子機器を判別するためのリボケーション情報記録媒体固有の情報とを予め備えた記録媒体から、コンテンツ情報を読み出す再生部を有し、上記コンテンツ情報が伝達手段を介して情報処理装置に送信され、処理される信号処理システムにおける再生装置であって

, _δ亥再生装置を表す情報と上記リボケ一ション情報とを用いて当該再生装置を無効化すべきか否かを判定する第 1 の判定手段を有し、上記第 1の判定手段によって無効化すべきという判定をされなかつた場合に生成される第 1の鍵情報と、

上記情報処理装置に設けられている当該情報処理装置を表す情報と上記リボケ一ション情報とを用いて当該情報処理装置を無効化すべきか否かを判定する第 2の判定手段によって無効化すべきという判定をされなかった場合に生成される第 2の鍵情報とを用いて、上記情報処理装置と相互に認証する相互認証手段と、

上記相互認証手段による相互認証後に、上記情報処理装置と共通の共通鍵を生成する共通鍵生成手段とを備えることを特徴とする再生装置。

2 5 . 不正な電子機器を判別するためのリボケ一シヨン情報と記録媒体固有の情報とを予め備えた記録媒体から、再生装置がコンテンッ情報を読み出し、上記コンテンツ情報が伝達手段を介して受信され、処理される情報処理装置であって、

上記再生装置に設けられている第 1の判定手段によって、当該再生装置を表す情報と上記リボケ一ション情報とを用いて当該再生装置を無効化すべきか否かを判定し、上記第 1 の判定手段によって無効化すべきという判定をされなかった場合に生成される第 1の鍵情報と、当該情報処理装置を表す情報と上記リボケーション情報とを用いて当該情報処理装置を無効化すべきか否かを判定する第 2の判定手段を有し、

上記第 1 の鍵情報と、上記第 2の判定手段によって無効化すべきという判定をされなかった場合に生成される第 2の鍵情報とを用いて、上記再生装置と相互に認証する相互認証手段と、

上記相互認証手段による相互認証後に、上記再生装置と共通の共通鍵を生成する共通鍵生成手段とを備えることを特徴とする情報処理装