数字信息的分布控制方法和分布控制系统的制作方法

专利名称：数字信息的分布控制方法和分布控制系统的制作方法
技术领域：
本发明涉及一种数字信息管理技术，用于防止对数字信息的非法访问，更具体地，涉及一种数字信息分布控制系统和方法，考虑到防止对将要提供的服务的非法访问和服务用户的便利性而设计。
背景技术：
近年来，随着数字内容传递服务的普及，已经开始通过网络传递应用软件、音乐、视频、杂质、票据等。由于这些内容是具有版权的作品或商品，保护这些内容变得越来越重要。
例如，在传递移动电话的振铃音的服务中，主要采用SMAF(合成音乐移动应用格式)作为用于保护振铃音的版权的技术。SMAF是由YAMAHA CORPORATION设计的数据格式规范，并主要用于定义由移动信息终端或移动电话再现的多媒体内容的数据格式。根据SMAF，可以在SMAF数据中设置三种复制状态，即(A)可存储/可传送，(B)可存储/不可传送，和(C)不可存储/不可传送。因此，根据复制状态，将数据存储或传送到另一移动电话是可能的/不可能的，从而能够防止非法数据传送等。
在更换新移动电话或由于操作错误而删除内容的情况下，希望将如上下载到移动电话上的内容备份到用户的个人计算机上。但是，无限制的备份可以允许除了合法用户以外的另一用户非法复制这些内容。因此，服务提供商也必须考虑版权保护。
在日本未审专利公开No.2002-185579(专利文献1)中，公开了一种考虑到上述版权保护而设计的备份方法。在传统方法中，在将JAVA(商标)应用程序从移动电话备份到个人计算机时，添加移动电话的产品号和电话号，并在恢复该应用程序时，比较移动电话的产品号和/或电话号，从而防止非法使用JAVA(商标)应用程序。
使用检测是否发生数据改变的数字签名技术、防止非法浏览或截取数据的加密技术等，能够实现备份或恢复中的数据保护。
专利文献1日本未审专利公开No.2002-185579(段落号0018～0023，0026～00258，图4)发明内容但是，即使将数字签名或加密技术与传统的备份方法进行组合，仍然不能防止以下对数据的非法使用。例如，服务用户从服务提供商接收剩余服务计数为10的电子票据，并将该电子票据存储在移动电话中。所述电子票据是一种其剩余服务计数在每次享用对应的服务时减少的电子票据。服务用户通过传统的备份方法，将剩余服务计数为10的电子票据备份到个人计算机中。服务用户按照普通的程序以移动电话享用服务10次。之后，恢复备份数据。在这种情况下，因为并未改变移动电话，正常地恢复了数据。因此，在移动电话中，正常地恢复了剩余服务计数为10的电子票据。再次将移动电话设置为服务可用状态。
在上述传统技术中，向如移动信息终端和移动电话等移动通信设备传递数字内容或电子票据的服务提供商的版权保护与享用服务的服务用户的便利性不能得到足够的协调。
因此，本发明的一个目的是提供一种数字信息分布控制系统和方法，能够确保服务提供商的版权保护和服务用户的便利性。
本发明的另一目的是提供一种数字信息分布控制系统和方法，能够可靠地确定已传递数据的备份和恢复的合法性。
此外，本发明的另一目的是提供一种数字信息分布控制系统和方法，能够灵活地设置备份和恢复已传递数据的条件。
根据本发明的分布控制方法是一种数字信息分布控制方法，用在具有服务器和信息处理终端的系统中，所述服务器用于执行数字信息的传递服务，以及所述信息处理终端用于接收数字信息的传递服务，其中从所述服务器向所述信息处理终端传递包括数字信息和表示数据传送控制条件的分布控制信息在内的传递数据，将传递数据存储在所述信息处理终端中，并根据分布控制信息，在所述信息处理终端和另一信息处理终端之间，控制包括传递数据在内的信息的传送。
在传送控制中，将通过利用所述信息处理终端的特有信息产生的包括传递数据在内的信息传送并存储在另一信息处理终端中，并在将存储在所述另一信息处理终端中的、包括传递数据在内的信息重新存储在所述信息处理终端中之前，根据分布控制信息，确定重新存储在所述信息处理终端中是可能的还是不可能的。或者，在传送控制中，将通过利用所述信息处理终端的特有信息产生的、包括传递数据在内的信息传送并存储在另一信息处理终端中，并在将存储在所述另一信息处理终端中的、包括传递数据在内的信息重新存储在所述信息处理终端中之前，根据分布控制信息，确定在所述服务器处的查询是可能的还是不可能的。
分布控制信息最好包括包括传递数据在内的信息的传送可能/不可能确定条件和在所述服务器处的查询可能/不可能确定条件中的至少一个。
根据本发明的一个方案，一种数字信息分布控制方法，用在具有服务器和信息处理终端的系统中，所述服务器用于执行数字信息的传递服务，以及所述信息处理终端用于接收数字信息的传递服务，从所述服务器向所述信息处理终端传递包括数字信息和表示数据传送控制条件的分布控制信息在内的传递数据，将传递数据存储在所述信息处理终端中，利用分配给所述信息处理终端的终端特有信息，产生包括传递数据在内的第一安全数据，并将其传送给另一信息处理终端，在将存储在另一信息处理终端中的安全数据中所包括的传递数据重新存储在所述信息处理终端中之前，向所述另一信息处理终端传输安全数据传输请求，根据所述信息处理终端的终端特有信息、以及包括在与所述安全数据传输请求相对应的第二安全数据中的终端特有信息和分布控制信息，确定能否将包括在第二安全数据中的传递数据重新存储在所述信息处理终端中，并在能够重新存储传递数据时，将包括在第二安全数据中的传递数据存储在所述信息处理终端中。
根据本发明，提供了一种移动信息终端，接收来自用于执行数字信息的传递服务的数字信息的传递，所述移动信息终端能够执行与用于备份的另一信息处理终端之间的数据传送，包括传递数据存储单元，用于接收和存储来自所述服务器的、包括表示调整数据传送的条件的分布控制信息和数字信息在内的传递数据；终端特有信息存储单元，用于存储分配给所述移动信息终端的终端特有信息；安全数据产生单元，用于利用终端特有信息，产生包括传递数据的第一安全数据，以便将传递数据从所述传递数据存储单元传送到另一信息处理终端，以及用于将第一安全数据传输给所述另一信息处理终端；数据传输请求产生单元，用于在从所述另一信息处理终端接收第二安全数据之前，执行对所述另一信息处理终端的数据传输请求，以便将包括在第二安全数据中的传递数据重新存储在所述传递数据存储单元中；和安全数据验证单元，用于在作为数据传输请求的响应，从所述另一信息处理终端接收到第二安全数据时，利用所述移动信息终端的终端特有信息和包括在第二安全数据中的终端特有信息和分布控制信息，验证能否重新存储第二安全数据，并用于在能够重新存储第二安全数据时，将包括在第二安全数据中的传递数据存储在所述传递数据存储单元中。
根据本发明，提供了一种服务器，执行对信息处理终端的数字信息的传递服务，包括服务器特有信息存储单元，用于存储分配给所述服务器的服务器特有信息；传递数据管理单元，用于产生包括数字信息和表示数据传送控制条件的分布控制信息在内的传递数据，以便向所述信息处理终端传递所述传递数据；和安全数据更新单元，用于在接收到包括所述信息处理终端的终端特有信息和所请求的安全数据在内的安全数据查询时，确定更新包括在安全数据查询中的安全数据是可能的还是不可能的，以及用于在更新是可能的时，更新安全数据，以返回更新后的安全数据，作为安全数据查询的响应。
根据本发明，提供了一种信息处理设备，能够与移动信息终端相连，用于接收来自服务器的、包括表示调整数据传送的条件的分布控制信息和数字信息在内的传递数据，以及备份由所述移动信息终端接收的传递数据，所述信息处理设备包括安全数据存储单元，用于存储利用分配给所述移动信息终端的终端特有信息产生的、包括传递数据在内的第一安全数据；和确定单元，用于接收来自所述移动信息终端的、用于重新存储包括在所述安全数据存储单元中所存储的第一安全数据中的传递数据的安全数据传输请求，并根据接收到的数据传输请求和存储在所述安全数据存储单元中的第一安全数据的终端特有信息和分布控制信息，确定是否将所存储的第一安全数据返回给所述移动信息终端，作为第二安全数据。
根据本发明，提供了一种分布控制系统，至少具有服务器，用于执行数据信息的传递服务；第一信息处理终端，用于接收数字信息的传递；和第二信息处理终端，能够执行与所述第一信息处理终端之间的数据传送，其中所述服务器至少具有传递数据管理单元，用于产生通过将表示调整数据传送的条件的分布控制信息与数字信息相加而获得的传递数据，以便向所述第一信息处理终端传输所述传递数据；所述第一信息处理终端至少具有传递数据存储单元，用于存储传递数据；终端特有信息存储单元，用于存储分配给所述第一信息处理终端的终端特有信息；安全数据产生单元，用于利用终端特有信息，产生包括传递数据在内的第一安全数据，以便将传递数据从所述传递数据存储单元传送到所述第二信息处理终端，以及用于向所述第二信息处理终端传输第一安全数据；数据传输请求产生单元，用于接收来自所述第二信息处理终端的第二安全数据，并执行对所述第二信息处理终端的数据传输请求，以便将包括在第二安全数据中的传递数据重新存储在所述传递数据存储单元中；和安全数据验证单元，用于在作为数据传输请求的响应，从所述第二信息处理终端接收到第二安全数据时，利用终端特有信息，验证能否重新存储第二安全数据，以及用于在能够重新存储第二安全数据时，将包括在第二安全数据中的传递数据存储在所述传递数据存储单元中；以及所述第二信息处理终端至少具有安全数据存储单元，用于存储从所述第一信息处理终端传输过来的第一安全数据；和确定单元，用于根据数据传输请求和存储在所述安全数据存储单元中的安全数据的终端特有信息和分布控制信息，确定是否将所存储的安全数据返回给所述第一信息处理终端，作为第二安全数据。
根据本发明，提供了一种服务器程序，使计算机实现用于执行对信息处理终端的数据信息的传递服务的服务器功能，包括以下步骤产生具有数字信息和表示数据传送控制条件的分布控制信息的传递数据，以便向所述信息处理终端传递所述传递数据；在接收到包括所述信息处理终端的终端特有信息和所请求的安全数据在内的安全数据查询时，确定更新包括在安全数据查询中的安全数据是可能的还是不可能的；以及在更新是可能的时，更新安全数据，以返回更新后的安全数据，作为安全数据查询的响应。
根据本发明，提供了一种移动信息终端程序，使计算机接收来自用于执行数字信息的传递服务的服务器的数字信息的传递，以及使计算机执行与用于备份的另一信息处理终端之间的数据传送，包括以下步骤接收来自所述服务器的、包括表示调整数据传送的条件的分布控制信息和数字信息在内的传递数据，并存储传递数据；利用终端特有信息，产生包括传递数据的第一安全数据，以便将传递数据传送到另一信息处理终端，以及将第一安全数据传输给所述另一信息处理终端；在从所述另一信息处理终端接收第二安全数据之前，执行对所述另一信息处理终端的数据传输请求，以便将包括在第二安全数据中的传递数据重新存储在所述传递数据存储单元中；在作为数据传输请求的响应，从所述另一信息处理终端接收到第二安全数据时，利用所述移动信息终端的终端特有信息和包括在第二安全数据中的终端特有信息和分布控制信息，验证能否重新存储第二安全数据；以及在能够重新存储第二安全数据时，重新存储包括在第二安全数据中的传递数据。
如上所述，根据本发明，通过将表示调整数据传送的条件的分布控制信息与数字信息(如数字内容和电子票据等内容数据)相加，获得存储在信息处理终端中的传递数据。例如，作为分布控制信息，数据传送的可能/不可能确定条件和服务器查询的可能/不可能确定条件。这些条件可以通过描述、标记或如程序等程序性描述来设置。将包括在传递数据中的数字信息存储在信息处理终端中，并由服务用户自由地使用。但是，通过附加的分布控制信息来调整数字信息的传递，从而保护服务提供商的权利。按照这种方式，可以确保传递数据服务提供商的权利保护和服务用户的便利性。
当恢复包括在由另一信息处理终端备份的安全数据中的传递数据时，可以通过上述分布控制信息设置禁止恢复、无条件恢复允许和服务器查询中的任何一个。在服务器查询中，服务器确定信息处理终端中的恢复的合法性并确定更新安全数据是可能的还是不可能的。当能够更新安全数据时，返回更新后的安全数据。按照这种方式，能够可靠地确定备份和恢复的合法性。由于可以通过设置分布控制信息减少在服务器处进行查询的次数，能够降低网络和服务器的负荷。
如上详细所述，根据本发明，服务提供商将分布控制信息与内容数据相加，以传递内容数据，从而能够控制内容数据的分布。例如，通过设置分布控制信息，可以选择在服务器处更新确定查询或非更新安全信息恢复，从而能够抑制网络和服务器的负荷增加。此外，通过利用分布控制信息，能够可靠地确定传递数据的备份和恢复的合法性，用户的优点和服务提供商的优点可以得到兼容。具体地，可以通过数字签名和加密技术，进行数据传送和验证，从而能够执行更为可靠的合法性确定和数据保护。由于可以通过设置分布控制信息来控制数据传送，能够灵活地设置备份和恢复条件。
设置了确保移动信息终端中所恢复的内容数据(如电子票据等)与由服务提供商服务器管理的内容数据相一致的分布控制信息，从而能够确保存储在移动信息终端中的内容数据是合法的。因此，当检查内容数据，以进行数字信息或商品的提供/租借管理或汽车/轮船的登机允许管理时，能够利用可靠的内容数据，进行提供/租借和允许管理，而无需查询服务提供商服务器。丢失后的恢复操作等的次数可能比正常内容数据使用操作的次数小很多，可以显著地降低由服务提供商操作的电子票据服务器的负荷。
此外，系统管理器可以在服务提供商开始服务器时和服务用户开始使用新移动信息终端时，执行向服务器提供商发布服务提供商ID和服务器提供商证书的处理和向移动信息终端发布并存储终端标识信息、用户ID、终端证书等的处理。因此，服务用户在每次执行数字内容和电子票据的备份和恢复时没有任何处理。因此，在出现大量服务提供商和大量移动信息终端并分布大量数字内容和电子票据的环境下，由系统管理员执行的处理与服务提供商的数量和移动信息终端的数量成正比，并能够实现可扩缩性优异的数字信息分布控制。
根据需要，加密备份在用户信息终端中的数字内容和电子票据，并能够防止踊跃户信息终端中的浏览或非法复制。由于不能将在用户信息终端中进行了改变的数据恢复到移动信息终端中，服务提供商可以允许服务用户自由地备份和恢复数字内容和电子票据。因此，服务用户进行备份和恢复，以防移动信息终端的丢失，从而改善了便利性。


通过以下实施例和附图，上述目的和其他目的、其他特征和其他优点将更加明显。
图1是示出了根据本发明第一实施例的数字信息分布控制系统的示意功能结构的方框图。
图2是示出了图1所示的数字信息分布控制系统的整个顺序操作以及每个终端和服务器的示意操作流程的流程图。
图3是示出了图1所示的数字信息分布控制系统的详细功能结构的方框图。
图4是示出了存储在移动信息终端2的终端特有信息存储单元202中的终端特有信息的样式图。
图5是示出了存储在服务提供商服务器1的服务器特有信息存储单元103中的服务器特有信息的样式图。
图6(A)是示出了由传递数据产生单元2103产生的传递数据的结构示例的样式图。
图6(B)是示出了传递数据的分布控制信息的描述示例的样式图。
图7(A)是示出了由安全数据产生单元2203产生并指明内容体在传输中未被加密的备份安全数据的结构示例的样式图。
图7(B)是示出了由安全数据产生单元2203产生并指明内容体在传输中被加密的备份安全数据的结构示例的样式图。
图8是示出了由安全数据请求产生单元2204产生的安全数据请求的结构示例的样式图。
图9是示出了更新需要/不需要确定单元2303的安全数据更新确定操作的示例的流程图。
图10是示出了更新请求的结构示例的样式图。
图11(A)是示出了由安全数据更新单元2109产生并指明内容体在传输中未被加密的更新后安全数据的结构示例的样式图。
图11(B)是示出了由安全数据更新单元2109产生并指明内容体在传输中被加密的更新后安全数据的结构示例的样式图。
图12是示出了数据安全检查单元2206的数据安全检查操作示例的流程图。
图13是示出了根据本发明第一实施例的数字信息分布控制系统的第一应用示例的示意系统功能图。
图14是示出了根据第一实施例的服务提供商服务器1的另一示例的示意方框图。
图15是示出了根据第一实施例的移动信息终端2和用户信息终端3的其他示例的示意方框图。
图16是示出了根据本发明第二实施例的数字信息分布控制系统的示意功能结构的方框图。
图17是示出了根据第二实施例的数字信息分布控制系统的应用的示意系统功能图。
图18是示出了根据本发明第三实施例的数字信息分布控制系统的示意系统功能图。
图19是示出了图18所示的数字信息分布控制系统的整个顺序操作以及每个终端和服务器的示意操作流程的流程图。
图20是示出了在接收到包括过期日期信息的更新后安全数据时、数据安全检查单元2206的数据安全检查操作示例的流程图。
图21是示出了本发明第五实施例中的安全数据请求的结构示例的样式图。
图22是示出了在接收到包括随机数r的更新后安全数据时、数据安全检查单元2206的数据安全检查操作示例的流程图。
图23是示出了本发明第六实施例中的分布控制信息示例的样式图。
具体实施例方式
1、第一实施例图1是示出了根据本发明第一实施例的数字信息分布控制系统的示意功能结构的方框图。根据本实施例的系统包括服务提供商服务器1、具有通信功能的移动信息终端2、和具有通信功能的用户信息终端3。服务提供商服务器1和移动信息终端2可以与网络4相连，以及服务提供商服务器1和用户信息终端3可以与网络5相连。
(1)系统结构概况服务提供商服务器1将分布控制信息添加到如数字内容或电子票据等内容数据上，并通过网络4将内容数据作为传递数据传输给移动信息终端2。此外，如稍后所述，服务提供商服务器1还具有响应来自用户信息终端3的查询、传输更新后的数据的功能。
移动信息终端2存储从服务提供商服务器1接收到的传递数据。移动信息终端2是由服务用户持有的移动通信终端或移动电话。服务用户可以按照如预定的服务点数等使用电子票据(允许票据等)。此外，如稍后所述，移动信息终端2还具有备份和恢复传递数据的功能。
用户信息终端3可以通过电缆或无线系统与移动信息终端2相连，从而能够执行存储在移动信息终端2中的传递数据的备份和恢复。如稍后所述，在将备份传递数据恢复到移动信息终端2中时，用户信息终端3可以根据预定的条件查询服务提供商服务器1。作为用户信息终端3，典型地使用能够通过网络5与服务提供商服务器1相连的、具有通信功能的个人计算机。但是，也可以使用与网络5相连的另一备份计算机。
将参考图1，详细描述以上结构。服务提供商服务器1包括内容/分布控制信息存储单元101、传递数据管理单元102、服务器特有信息存储单元103和安全数据更新单元104。内容/分布控制信息存储单元101存储如数字内容或电子票据等内容数据和分布控制信息。
分布控制信息是用于控制传递数据的分布的信息。如稍后详细描述的那样，该信息指明移动信息终端2和用户信息终端3之间的数据传送的可能/不可能条件、数据传输中需要/不需要加密、和服务提供商服务器1处的更新查询的可能/不可能中的至少一个或多个。分布控制信息可以表示为控制标记或程序性描述。
传递数据管理单元102管理存储在内容/分布控制信息存储单元101中的内容数据和分布控制信息，向移动信息终端2传递由内容数据和分布控制信息产生的传递数据，或向安全数据更新单元104输出传递数据。传递数据管理单元102可以与外部内容处理系统合作管理内容数据。例如，当内容数据是电子票据时，每次服务用户使用该服务时，更新电子票据。因此，必须在存储在内容/分布控制信息存储单元101中的内容数据上反映更新内容。在这种情况下，传递数据管理单元102通过网络等与外部内容处理系统相连。
服务器特有信息存储单元103存储包括分配给服务提供商服务器1的标识信息、用于创建和验证数字签名的信息等在内的服务器特有信息。
安全数据更新单元104根据从用户信息终端3接收到的安全数据更新请求，确定安全数据更新的可能/不可能。在能够更新安全数据时，安全数据更新单元104可以与外部确定系统合作执行根据安全数据更新请求、对安全数据更新的可能/不可能的确定。
当因为如丢失或老化而以新移动信息终端代替移动信息终端2时，外部确定系统与终端的改变一起登记终端标识信息的改变，并确定在改变移动信息终端2之后，能否重新发布更新请求的内容数据。当更新请求的终端标识信息归因于终端的改变时，确定能够重新发布和更新内容数据。当更新请求的终端标识信息与终端的改变无关时，确定更新是不可能的。外部确定系统的确定方法并不局限于上述方法。可以使用利用包括在更新请求中的信息的另一确定方法。
移动信息终端2包括传递数据存储单元201、终端特有信息存储单元202、安全数据创建单元203、和安全数据验证单元204。传递数据存储单元201存储从服务提供商服务器1接收到的传递数据或从安全数据验证单元204输入的备份传递数据。
终端特有信息存储单元202存储分配给移动信息终端2的终端标识信息、用于创建和验证数字签名的信息、和包括内容加密密钥、证书信息、内容解密密钥等在内的终端特有信息。
安全数据创建单元203利用存储在传递数据存储单元201中的传递数据和存储在终端特有信息存储单元202中的终端特有信息，创建备份安全数据，并将备份安全数据传输给用户信息终端3。如稍后所述，安全数据可以防止包括在安全数据中的内容数据被非法浏览，并能够检测是否发生改变。
当安全数据验证单元204试图恢复备份数据时，安全数据验证单元204请求用户信息终端3传输备份在用户信息终端3中的安全数据(安全数据请求)。当安全数据验证单元204从响应该请求的用户信息终端3接收到安全数据时，安全数据验证单元204验证能否存储包括在接收到的安全数据中的传递数据。在能够存储传递数据时，将接收到的传递数据存储在传递数据存储单元201中。
用户信息终端3具有安全数据存储单元301和安全数据更新确定单元302。安全数据存储单元301存储从移动信息终端2接收到的备份安全数据。
安全数据更新确定单元302响应于来自移动信息终端2的请求，检查存储在安全数据存储单元301中的备份安全数据中所包括的标识信息或分布控制信息，以确定是否需要对安全数据进行更新。当不需要更新时，向移动信息终端2传输安全数据，作为恢复安全数据。在需要更新时，并且在允许通过服务器查询更新安全数据时，安全数据更新确定单元302向服务提供商服务器1传输安全数据，请求服务提供商服务器1更新安全数据，并接收由服务提供商服务器1更新的安全数据。将从服务提供商服务器1接收到的安全数据传输给移动信息终端2，作为恢复安全数据。
图2是示出了图1所示的数字信息分布控制系统的整个顺序操作以及终端和服务器的示意操作流程的流程图。
如上所述，在根据本实施例的数字信息分布控制系统中，从服务提供商服务器1向移动信息终端2传递通过将分布控制信息添加到内容数据上而获得的传递数据，由分布控制信息指明数据传送的可能/不可能、数据传输中需要/不需要加密、服务提供商服务器1处的更新查询的可能/不可能等。
如图2所示，将接收到的传递数据存储在移动信息终端2的传递数据存储单元201中，并使用该数据。在备份传递数据时，从传递数据存储单元201中读取传递数据，并利用存储在终端特有信息存储单元202中的终端特有信息，创建能够检测变化等的安全数据(步骤S01)。向用户信息终端3传输安全数据，并将其存储在用户信息终端3的安全数据存储单元301中(步骤S02)。
在恢复备份传递数据时，从移动信息终端2向用户信息终端3传输安全数据请求。安全数据更新确定单元302利用安全数据请求的标识信息、备份安全数据的标识信息和分布控制信息，在数据传送之前，确定能否直接返回备份安全数据，或者是否需要查询服务提供商服务器1(步骤S03)。在需要查询时，由备份安全数据和安全数据请求产生更新请求，并传输给服务提供商服务器1(步骤S04)。
当服务提供商服务器1接收到更新请求时，服务提供商服务器1与外部确定系统合作，确定包括在安全数据中的内容数据是否是未被改动的正确信息，并确定更新的可能/不可能(步骤S05)。在确定内容数据是正确信息并能够进行更新时，从传递数据管理单元102中读取出最新的传递数据，产生更新后的安全数据，并将其返回给用户信息终端3(步骤S06)。服务提供商可以事先设置恢复条件，作为分布控制信息。但是，即使在传递了内容数据之后，用户以新移动通信终端代替移动信息终端2，或者即使家庭成员以家庭计划折扣签订移动信息终端合同，也不能给出该信息，作为分布控制信息。因此，即使对于服务提供商服务器1，内容传递之后的移动信息终端2的改变、家庭计划折扣合同信息等也是未知的信息。因此，为了根据移动信息终端的改变、家庭计划折扣合同等来控制数据更新的可能/不可能，服务提供商服务器1必须与外部确定系统合作。
在安全数据更新确定单元302从响应更新请求的服务提供商服务器1接收到更新后的安全数据时，安全数据更新确定单元302向移动信息终端2传输更新后的安全数据，作为恢复安全数据。当从安全数据存储单元301读取出的安全数据是不需要服务器查询的数据时，安全数据更新确定单元302直接将该数据传输给移动信息终端2，作为恢复安全数据(步骤S03)。
在安全数据更新确定单元302从用户信息终端3接收到安全数据，作为安全数据请求的响应时，移动信息终端2的安全数据验证单元204参照终端特有信息，确定接收到的安全数据是否是未被改动的正确信息，以及能否将安全数据存储在传递数据存储单元201中(步骤S07)。只将作为正确信息并允许被存储的安全数据的传递数据存储在传递数据存储单元201中，从而完成传递数据的恢复。
利用上述操作，能够可靠地确定传递数据的备份和恢复的合法性，并且用户的优点和服务提供商的优点可以得到兼容。具体地，如稍后所述，可以利用数字签名和加密技术来执行数据传送和验证，从而能够实现更为可靠的合法性确定和数据保护。由于可以通过设置分布控制信息来控制数据传送，能够灵活地设置备份和恢复条件。此外，设置分布控制信息能够选择服务器1处的更新确定查询和非更新安全数据恢复，从而能够避免不必要地增加网络和服务器的负荷。
下面，将参照数字信息分布控制系统的具体示例，对本实施例的结构和操作进行更为详细的描述。
(2)系统的功能结构图3是示出了图1所示的数字信息分布控制系统的详细功能结构的方框图。图4是示出了存储在移动信息终端2的终端特有信息存储单元202中的终端特有信息的样式图，以及图5是示出了存储在服务提供商服务器1的服务器特有信息存储单元103中的服务器特有信息的样式图。
移动信息终端传递数据存储单元201具有用于接收来自服务提供商服务器1的传递数据的传递数据接收单元2201和用于存储接收到的传递数据的传递数据存储器2202。
如图4所示，终端特有信息存储单元202存储分布签名创建密钥skt，用于创建要赋予在移动信息终端2和用户信息终端3之间分布的信息上的数字签名；分布签名验证密钥vkt，用于验证所赋予的数字签名；终端证书c_vkt，用作分布签名验证密钥vkt的数字证书；内容加密密钥ek，用于加密内容数据；内容解密密钥dk，对应于内容加密密钥ek；内容加密密钥证书c_ek，用作内容加密密钥ek的数字证书；和ID信息，用于标识移动信息终端的持有者或移动信息终端。例如，ID信息是惟一分配给每个移动信息终端的终端标识信息IDt、惟一分配给每个持有者的持有者标识信息IDu。但是，ID信息并不局限于上述信息。例如，ID信息可以包括用于将移动信息终端和持有者分组的组ID、家庭ID等。假设本实施例中的ID信息由终端标识信息IDt和持有者标识信息IDu构成。
安全数据创建单元203具有安全数据产生单元2203。安全数据产生单元2203产生包括终端标识信息IDt、持有者标识信息IDu、传递数据、分布签名S1、分布签名验证密钥vkt和终端证书c_vkt在内的安全数据。在这种情况下，通过对包括传递数据、终端标识信息IDt和持有者标识信息IDu在内的信息执行利用分布签名创建密钥skt的数字签名处理，产生分布签名S1。如稍后所述，通过利用以内容加密密钥ek加密包括在传递数据中的内容数据而获得的数据，可以产生安全数据。通过传输/接收单元2207，向用户信息终端3传输以这种方式产生的安全数据。
安全数据验证单元204具有安全数据请求产生单元2204、分布签名验证密钥验证单元2205和数据安全检查单元2206。
安全数据请求产生单元2204产生包括终端标识信息IDt和持有者标识信息IDu在内的安全数据请求或包括终端标识信息IDt、持有者标识信息IDu、内容加密密钥ek和内容加密密钥证书c_ek在内的安全数据请求，以请求存储在用户信息终端3中的安全数据。通过传输/接收单元2207，向用户信息终端3传输所产生的安全数据请求。
当通过传输/接收单元2207、作为安全数据请求的响应、从用户信息终端3接收到安全数据时，安全数据是与服务提供商服务器1更新的数据和由移动信息终端2产生并备份在用户信息终端3中的数据之一。
分布签名验证密钥验证单元2205使用包括在接收到的安全数据中的终端证书c_vkt或服务提供商证书c_vks(参见图5)，以验证包括在安全数据中的分布签名验证密钥vkt或vks是否正确。
数据安全检查单元2206使用赋予已验证其分布签名验证密钥的安全数据的分布签名，以检查安全数据是否是未被改动的正确数据，并确定安全数据是否是由移动信息终端2产生的数据或由服务提供商服务器1产生的数据。此外，数据安全检查单元2206确定能否将包括在安全数据中的传递数据存储在传递数据存储器2202中。当确定能够存储传递数据时，将传递数据存储在传递数据存储器2202中。如果对包括在安全数据中的内容数据进行了加密，则通过内容解密密钥对内容数据进行解密，然后进行存储。
用户信息终端用户信息终端3具有用于与移动信息终端2交换数据的传输/接收单元2301。安全数据存储单元301具有用于存储接收到的安全数据的安全数据存储器2302。
安全数据更新确定单元302具有更新需要/不需要确定单元2303、更新请求产生单元2304和传输/接收单元2305。
当更新需要/不需要确定单元2303通过传输/接收单元2301从移动信息终端2接收到安全数据请求时，更新需要/不需要确定单元2303将存储在安全数据存储器2302中的备份安全数据中所包括的分布控制信息与包括在接收到的安全数据请求中的终端标识信息IDt或持有者标识信息IDu进行比较，以确定是否需要更新备份安全数据。
当更新需要/不需要确定单元2303确定不需要更新时，通过传输/接收单元2301，直接将备份安全信息传输给移动信息终端2。当更新需要/不需要确定单元2303确定需要更新时，更新请求产生单元2304产生包括备份安全数据和安全数据请求在内的更新请求，并通过传输/接收单元2305，将更新请求传输给服务提供商服务器1。
当作为更新请求的响应，传输/接收单元2305从服务提供商服务器1接收到更新后的安全数据时，通过传输/接收单元2301向移动信息终端2传输更新后的安全数据。在接收到更新后的安全数据的移动信息终端2中，如上所述，在分布签名验证密钥验证单元2205和数据安全检查单元2206确认更新后的安全数据的合法性和安全性之后，将更新后的安全数据存储在传递数据存储器2202中。
服务提供商服务器内容/分布控制信息存储单元101包括用于存储如数字内容或电子票据等要分布给服务用户的内容数据的内容存储器2101和用于存储与每个内容数据相对应的分布控制信息的分布控制信息存储器2102。如上所述，根据内容存储器2101中的内容数据，可以由外部内容处理系统2401更新该内容。
传递数据管理单元102具有用于根据存储在内容存储器2101中的内容数据以及与内容数据相对应的分布控制信息产生传递数据的传递数据产生单元2103、和用于将传递数据传递给移动信息终端2的传递数据传递单元2104。
如图5所示，服务器特有信息存储单元103存储服务提供商的标识信息ID；分布签名创建密钥sks，用于创建要赋予在移动信息终端2、用户信息终端3和服务提供商服务器1之间分布的信息上的数字签名；分布签名验证密钥vks，用于验证所赋予的数字签名；和服务提供商证书c_vks，用作分布签名验证密钥的数字证书。
安全数据更新单元104具有传输/接收单元2105、分布签名验证密钥验证单元2106、更新可能/不可能确定单元2107、内容加密密钥验证单元2108和安全数据更新单元2109。
当传输/接收单元2105从用户信息终端3接收到更新请求时，分布签名验证密钥验证单元2106使用包括在更新请求中的终端证书c_vkt，验证包括在更新请求中的分布签名验证密钥vkt是否正确。之后，更新可能/不可能确定单元2107使用已验证的分布签名验证密钥，验证包括在更新请求中的安全数据是否是未被改动的正确信息。此外，在外部确定系统2402中，参照由服务提供商确定的更新要求，确定包括在更新请求中的安全数据的更新的可能/不可能。当更新是可能的时，内容加密密钥验证单元2108使用包括在更新请求中的内容加密密钥证书c_ek，验证包括在更新请求中的内容加密密钥ek是否正确。
在验证了内容加密密钥ek的合法性时，安全数据更新单元2109参照包括在更新请求中的安全数据，从传递数据产生单元2103获得对应的传递数据，并利用存储在服务器特有信息存储单元103中的服务提供商标识信息IDs、分布签名创建密钥sks、分布签名验证密钥vks和服务提供商证书c_vks，创建更新后的安全数据。在这种情况下，利用被确认为正确的内容加密密钥ek来加密内容数据，从而可以创建更新后的安全数据。通过传输/接收单元2105，将如上获得的更新后的安全数据返回给用户信息终端3，作为更新请求的响应。
(3)操作在根据本发明的数字信息分布控制系统中，系统管理员对服务提供商执行以下操作·为各个服务提供商服务器发布和分配不同的服务提供商标识信息；以及·发布服务提供商证书。
服务提供商管理所发布的服务提供商标识信息、服务提供商证书、用于创建数字签名的分布签名创建密钥(所述数字签名用于证明数据是由服务提供商自己形成的)和与分布签名创建密钥相对应的分布签名验证密钥。具体地，服务提供商安全地管理分布签名创建密钥，从而防止获知分布签名创建密钥。在这种情况下，可以由服务提供商执行分布签名创建密钥和分布签名验证密钥的创建。在这种情况下，系统管理员可以为服务提供商出示的分布签名验证密钥发布服务提供商证书。
系统管理员对由服务用户持有的移动信息终端2执行以下操作·为各个移动信息终端分配不同的终端标识信息，并将终端标识信息传送给移动信息终端；·为各个服务用户分配不同的持有者标识信息，并将持有者标识信息传送给移动信息终端；
·创建分布签名创建密钥和与分布签名创建密钥相对应的分布签名验证密钥，并将这些密钥传送给移动信息终端；·创建终端证书，并将终端证书传送给移动信息终端；·将内容加密密钥传送给移动信息终端；以及·创建与内容加密密钥相对应的内容解密密钥，并将内容解密密钥传送给移动信息终端。
具体地，将分布签名创建密钥和内容解密密钥存储在移动信息终端中的抗干扰存储器中，使恶意用户难以获取分布签名创建密钥和内容解密密钥。在这种情况下，可以由系统管理员创建和发布内容加密密钥，然后将其传送给移动信息终端，或者可以将由服务用户创建并出示给系统管理员的内容加密密钥传送给移动信息终端。
内容加密密钥/内容解密密钥构成了一对公共密钥加密型加密/解密密钥。由内容加密密钥加密的内容只能由对应的内容解密密钥解密。假设除了用于从内容加密密钥创建内容解密密钥的落地门功能(falling-door function)以外，由内容加密密钥创建内容解密密钥足够困难。假设落地门功能由系统管理员足够安全地加以管理。
假设移动信息终端2的终端特有信息存储单元202存储如图4所示的终端特有信息，并且服务提供商服务器1的服务器特有信息存储单元103存储如图5所示的服务器特有信息。下面，将对根据本发明的数据传递操作、备份操作和恢复操作的具体示例进行描述。
数据传递图6(A)是示出了由传递数据产生单元2103产生的传递数据的结构示例的样式图，以及图6(B)是示出了传递数据的分布控制信息的描述示例的样式图。
如图6(A)所示，传递数据由管理报头(H)、内容体(B)和分布控制信息(P)构成。管理报头(H)是用于分别管理传递到移动信息终端2的内容数据的信息，并包括服务提供商名称、内容数据的序列号等。内容体(B)是如数字内容和电子票据等传递给移动信息终端2的内容数据本身。
分布控制信息(P)是用于控制传递给移动信息终端2的传递数据的分布的信息。例如，假设从存储有包括分布控制信息在内的数据的信息终端向备份信息终端传送并存储数据。当从备份信息终端向特定的信息终端恢复备份数据时，根据请求恢复的信息终端与由备份数据所表示的信息终端之间的一致性和由包括在备份数据中的分布控制信息所表示的条件，确定传送允许/服务器查询/传送禁止。
可以执行以下控制例如，·“当包括在备份数据中的终端标识信息与由处于恢复目的地的信息终端所持有的终端标识信息一致时，允许恢复”，·“当包括在备份数据中的持有者标识信息与处于恢复目的地的信息终端所持有的持有者标识信息不一致时，在服务提供商服务器1处执行查询，之后，允许恢复”，·“当包括在备份数据中的终端标识信息与由处于恢复目的地的信息终端所持有的终端标识信息不一致时，禁止恢复”。
如图6(B)所示，作为示例，示出了由四个标记描述的分布控制信息。第一个标记是互等终端移动标记Ft，并具有三个值禁止/允许/服务提供商服务器查询。下一个标记是互等持有者移动标记Fu1，并具有三个值禁止/允许/服务提供商服务器查询。下一个标记是互异持有者移动标记Fu2，并具有三个值禁止/允许/服务提供商服务器查询。下一个标记是加密标记Fen，并具有两个值未执行/执行内容体加密。
图6(B)所示为分布控制信息的示例。每个标记的次序是不同的。终端标识信息和持有者标识信息固定地嵌入在分布控制信息中，可以将嵌入终端标识信息或嵌入持有者标识信息与请求传送安全数据的移动信息终端2的终端标识信息或持有者标识信息之间的一致/不一致描述为条件。此外，在将终端标识信息或持有者标识信息描述为号码时，可以将号码的大小用作条件。或者，如稍后所述，可以通过程序，对分布控制信息(P)进行程序性描述(参见图23)。
将传递数据的管理报头和内容体存储在内容存储器2101中，并将分布控制信息存储在分布控制信息存储器2102中。
从传递数据传递单元2104向移动信息终端2传递由传递数据产生单元2103产生的传递数据。在移动信息终端2中，由传递数据接收单元2201接收传递数据，并存储在传递数据存储器2202中。所存储的传递数据与由传递数据产生单元2103产生的传递数据相同，且包括如图6(A)和6(B)所示的信息。
在这种情况下，当因特网或公共网络用在传递数据传递单元2104和传递数据接收单元2201之间的通信中时，最好执行加密通信，以防止包括在传递数据中的内容数据在通信路径上被截获。加密通信可以通过如SSL(安全套接字层)加密通信等公知的技术来实现。为了保护传递给移动信息终端2的传递数据不受恶意用户的剽窃，重要的是防止传递数据存储器2202被除了根据本发明的系统以外的系统访问，或者重要的是通过加密防止对传递数据存储器2202的访问。
备份图7(A)是示出了由安全数据产生单元2203产生并指明内容体在传输中未被加密的备份安全数据的结构示例的样式图，以及图7(B)是示出了由安全数据产生单元2203产生并指明内容体在传输中被加密的备份安全数据的结构示例的样式图。
图7(A)所示的安全数据701包括存储在移动信息终端2中的终端标识信息(IDt)、持有者标识信息(IDu)、包括在传递数据中的管理报头(H)、内容体(B)、分布控制信息(P)、分布签名(S1)、分布签名验证密钥(vkt)和终端证书(c_vkt)。分布签名(S1)是通过在组合终端标识信息(IDt)、持有者标识信息(IDu)、管理报头(H)、内容体(B)和分布控制信息(P)而获得的数据中、利用存储在移动信息终端2中的分布签名创建密钥(skt)而创建数字签名S1＝Sig[skt(IDt+IDu+H+B+P)]。
图7(B)所示的安全数据702是在指明内容体在传输中被加密时所获得的安全数据。安全数据702包括存储在移动信息终端2中的终端标识信息(IDt)、持有者标识信息(IDu)、包括在传递数据中的管理报头(H)、通过加密内容体(B)而获得的加密内容体(E)、分布控制信息(P)、分布签名(S2)、分布签名验证密钥(vkt)和终端证书(c_vkt)。在这种情况下，通过利用存储在移动信息终端2中的内容加密密钥(ek)来创建加密内容体(E)。分布签名(S2)是通过在组合终端标识信息(IDt)、持有者标识信息(IDu)、管理报头(H)、加密内容体(E)和分布控制信息(P)而获得的数据中、利用存储在移动信息终端2中的分布签名创建密钥(skt)而创建数字签名S2＝Sig[skt(IDt+IDu+H+E+P)]。
通过传输/接收单元2207，向用户信息终端3传输如上产生的安全数据701或702。
在用户信息终端3中，传输/接收单元2301从移动信息终端2接收备份安全数据，并将备份安全数据存储在安全数据存储器2302中。存储在安全数据存储器2302中的数据至少可以包括如图7A和7B所示的安全数据。安全数据存储器2302可以存储除安全数据以外的信息。例如，当存储日期信息也存储在安全数据存储器2302中时，可以将安全数据标识为最近传送的安全数据。
恢复下面，对将存储在用户信息终端3中的安全数据恢复到移动信息终端2中的操作进行描述。
1)安全数据请求图8是示出了由安全数据请求产生单元2204产生的安全数据请求的结构示例的样式图。在图8中，安全数据请求包括终端标识信息(IDt’)、持有者标识信息(IDu’)、内容加密密钥(ek’)和内容加密密钥证书(c_ek’)。在这种情况下，添加了符号“’”(撇号)，以区分用于由事先创建安全数据的移动信息终端的终端特有信息产生安全数据请求的、移动信息终端的终端特有信息。即，当移动信息终端等同时，终端特有信息彼此完全一致。但是，当不同的移动信息终端合法或非法地用于产生安全数据请求时，终端特有信息彼此不一致。
除了图8所示的信息，安全数据请求还可以包括用于标识所请求的安全数据的信息。当安全数据请求不包括用于标识安全数据的信息时，理解为请求存储在用户信息终端3中的所有安全数据。或者，当用户信息终端3具有用户接口时，使用户操作用户接口，从而可以选择要传送给移动信息终端2的安全数据。
将由安全数据请求产生单元2204产生的安全数据请求从移动信息终端2通过传输/接收单元2207传输到用户信息终端3。用户信息终端3通过传输/接收单元2301接收安全数据请求，并将安全数据请求传输给更新需要/不需要确定单元2303。
2)更新需要/不需要确定更新需要/不需要确定单元2303读取存储在安全数据存储器2302中的备份安全数据，并将包括在备份安全数据中的分布控制信息与包括在安全数据请求中的终端标识信息和持有者标识信息进行比较。根据比较结果，确定是将备份安全数据直接传送给移动信息终端2，还是请求服务提供商服务器1执行传送确定和对安全数据的更新。
图9是示出了更新需要/不需要确定单元2303的安全数据更新确定操作的示例的流程图。这里，ID信息由终端标识信息IDt和持有者标识信息IDu构成，并且安全数据包括如图6(B)所示的分布控制信息。在ID信息由组ID、家庭ID等构成时，执行相同的操作。
在图9中，更新需要/不需要确定单元2303将包括在备份安全数据中的终端标识信息(IDt)与包括在安全数据请求中的终端标识信息(IDt’)进行比较(步骤S1)。
当满足IDt＝IDt’时(步骤S1中的“是”)，则随后确定包括在备份安全数据中的分布控制信息的互等终端移动标记(Ft)的值是否为“1允许”(步骤S2)。当满足Ft＝1(互等终端移动允许)时(步骤S2中的“是”)，通过传输/接收单元2301向移动信息终端2传送备份安全数据(传送允许)。
当满足Ft≠1时(步骤S2中的“否”)，更新需要/不需要确定单元2303进一步确定包括在备份安全数据中的分布控制信息的互等终端移动标记(Ft)的值是否为“2服务提供商服务器查询”(步骤S3)。当Ft＝2时(步骤S3中的“是”)，更新需要/不需要确定单元2303向更新请求产生单元2304传送备份安全数据，以启动服务器查询处理(稍后描述)。当Ft≠2时(步骤S3中的“否”)，确定Ft＝0(传送禁止)，禁止移动信息终端2中的恢复。
另一方面，当满足IDt≠IDt’时(步骤S1中的“否”)，更新需要/不需要确定单元2303将包括在备份安全数据中的持有者标识信息(IDu)与包括在安全数据请求中的持有者标识信息(IDu’)进行比较(步骤S4)。
当满足IDu＝IDu’时(步骤S4中的“是”)，则随后确定包括在备份安全数据中的分布控制信息的互等持有者移动标记(Fu1)的值是否为“1允许”(步骤S5)。当满足Fu1＝1(互等持有者移动允许)时(步骤S5中的“是”)，通过传输/接收单元2301直接向移动信息终端2传送备份安全数据(传送允许)。
当满足Fu1≠1时(步骤S5中的“否”)，更新需要/不需要确定单元2303进一步确定包括在备份安全数据中的分布控制信息的互等持有者移动标记(Fu1)的值是否为“2服务提供商服务器查询”(步骤S6)。当Fu1＝2时(步骤S6中的“是”)，更新需要/不需要确定单元2303向更新请求产生单元2304传送备份安全数据，以启动服务器查询处理(稍后描述)。当Fu1≠2时(步骤S6中的“否”)，确定Fu1＝0(传送禁止)，禁止移动信息终端2中的恢复。
当满足IDu≠IDu’时(步骤S4中的“否”)，更新需要/不需要确定单元2303确定包括在备份安全数据中的分布控制信息的互异持有者移动标记(Fu2)的值是否为“1允许”(步骤S7)。当满足Fu2＝1(互异持有者移动允许)时(步骤S7中的“是”)，通过传输/接收单元2301直接向移动信息终端2传送备份安全数据(传送允许)。
当满足Fu2≠1时(步骤S7中的“否”)，更新需要/不需要确定单元2303进一步确定互异持有者移动标记(Fu2)的值是否为“2服务提供商服务器查询”(步骤S8)。当Fu2＝2时(步骤S8中的“是”)，更新需要/不需要确定单元2303向更新请求产生单元2304传送备份安全数据，以启动服务器查询处理(稍后描述)。当Fu2≠2时(步骤S8中的“否”)，确定Fu2＝0(传送禁止)，禁止移动信息终端2中的恢复。
按照这种方式，确定是向移动信息终端2传送备份安全数据(传送允许)、还是请求服务提供商服务器执行传送确定和安全数据更新(服务器查询)、还是不传送安全数据(传送禁止)。但是，确定方法并不局限于上述方法。在可以利用记录在分布控制信息中的信息和包括在安全数据请求中的信息来确定传送允许/服务器查询/传送禁止时，也可以使用其他方法。可以程序性地描述分布控制信息(稍后描述)。
3)服务器查询当更新需要/不需要确定单元2303确定“服务器查询”时，更新请求产生单元2304产生更新请求。
图10是示出了更新请求的结构示例的样式图。更新请求至少包括备份安全数据和安全数据请求。在图10所示的更新请求中，描述了未加密内容体(B)的情况和加密内容体(E)的情况。传输/接收单元2305向服务提供商服务器1传输所产生的更新请求。
当服务提供商服务器1从用户信息终端3接收到更新请求时，分布签名验证密钥验证单元2106根据包括在更新请求中的终端证书(c_vkt)，验证分布签名验证密钥(vkt)是否是由系统管理员分配的合法分布签名验证密钥。但是，假设分布签名验证密钥验证单元2106保存有验证终端证书的合法性所需的信息。
当否认了分布签名验证密钥(vkt)的合法性时，通过服务器查询的安全数据更新失败，并停止向移动信息终端2传送安全数据(恢复)的处理。
当验证了分布签名验证密钥(vkt)的合法性时，更新可能/不可能确定单元2107利用包括在更新请求中的分布签名验证密钥(vkt)，以根据分布签名S1或分布签名S2，验证终端标识信息(IDt)、持有者标识信息(IDu)、管理报头(H)、内容体(B)或加密内容体(E)和分布控制信息(P)是否是未被改动的正确信息。此外，根据终端标识信息(IDt和IDt’)、持有者标识信息(IDu和IDu’)和管理报头(H)，更新可能/不可能确定单元2107与外部确定系统2402合作，确定是否向终端标识信息IDt’的移动信息终端传送包括在备份安全数据中的内容数据。当确认了备份安全数据和传送目的地移动信息终端的合法性时，确定可以更新备份安全数据。
当确定能够更新备份安全数据时，内容加密密钥验证单元2108根据包括在更新请求中的内容加密密钥证书(c_ek’)，验证内容加密密钥(ek’)是否是由系统管理员正确分配的内容加密密钥。假设内容加密密钥验证单元2108保存有验证内容加密密钥证书的合法性所需的信息。当对内容加密密钥(ek’)的验证失败时，通过服务器查询的安全数据更新失败，并停止向移动信息终端2传送安全数据的处理。
当对内容加密密钥(ek’)的验证成功时，安全数据更新单元2109从传递数据产生单元2103获得传递数据，以产生更新后的安全数据。
图11(A)是示出了由安全数据更新单元2109产生并指明内容体在传输中未被加密的更新后安全数据的结构示例的样式图，以及图11(B)是示出了由安全数据更新单元2109产生并指明内容体在传输中被加密的更新后安全数据的结构示例的样式图。
图11(A)所示的安全数据1101包括表示数据是由服务提供商更新过的安全数据的服务提供商更新标记(F)、存储在服务提供商服务器中的服务提供商标识信息(IDs)、由传递数据产生单元2103再次产生的传递数据(H”、B”和P”)、分布签名验证密钥(vks)、服务提供商证书(c_vks)和分布签名(S1”)。
分布签名(S1”)是利用存储在服务器特有信息存储单元103中的分布签名创建密钥(sks)而创建的数字签名。更具体地，通过将分布签名创建密钥(sks)用于通过组合包括在由传递数据产生单元2103再次产生的传递数据中的管理报头(H”)、内容体(B”)和分布控制信息(P”)、包括在更新请求中的终端标识信息(IDt’)、服务提供商更新标记(F)和服务提供商标识信息(IDS)而获得的数据来创建分布签名(S1”)S1″＝Sig[sks(F+IDs+IDt′+H″+B″+P″)]。
图11(B)所示的安全数据1102包括表示数据是由服务提供商更新过的安全数据的服务提供商更新标记(F)、存储在服务提供商服务器中的服务提供商标识信息(IDs)、由传递数据产生单元2103再次产生的传递数据(H”、E”和P”)、分布签名验证密钥(vks)、服务提供商证书(c_vks)和分布签名(S2”)。
分布签名(S2”)是利用存储在服务器特有信息存储单元103中的分布签名创建密钥(sks)而创建的数字签名。更具体地，通过将分布签名创建密钥(sks)用于通过组合包括在由传递数据产生单元2103再次产生的传递数据中的管理报头(H”)、加密内容体(E”)和分布控制信息(P”)、包括在更新请求中的终端标识信息(IDt’)、服务提供商更新标记(F)和服务提供商标识信息(IDS)而获得的数据来创建分布签名(S2”)S2″＝Sig[sks(F+IDs+IDt′+H″+E″+P″)]。加密内容体包括在更新请求中，并利用已验证内容加密密钥(ek’)来创建。
在这种情况下，添加了符号“””(双撇号)，以区分报头、内容体和信息与包括在更新请求中的管理报头(H)、内容体(B)/加密内容体(E)和分布控制信息(P)。如上所述，可以通过外部内容处理系统2401来更新存储在内容存储器2101中的内容数据。这意味着内容数据可以不同于从服务提供商服务器1传递到移动信息终端2的传递数据。当然，外部内容处理系统2401不更新传递数据，并且可以使用相同的传递数据。
通过传输/接收单元2105将如上更新的安全数据传输给用户信息终端3。当用户信息终端3接收到更新后的安全数据时，用户信息终端3将更新后的安全数据传输给移动信息终端2，作为恢复安全数据。
4)安全检查和恢复移动信息终端2中的传输/接收单元2207接收来自用户信息终端3的更新后的安全数据。在安全数据未由服务提供商服务器1更新时，接收到的安全数据是如图7A和7B所示的安全数据701或702。当安全数据由服务提供商服务器1进行了更新时，安全数据是如图11A和11B所示的安全数据1101或1102。
分布签名验证密钥验证单元2205根据包括在接收到的安全数据中的终端证书(c_vkt)，验证分布签名验证密钥(vkt)是否为系统管理员正确分配的分布签名验证密钥。或者，根据包括在接收到的安全数据中的服务提供商证书(c_vks)，分布签名验证密钥验证单元2205验证分布签名验证密钥(vks)是否为系统管理员正确分配的分布签名验证密钥。假设分布签名验证密钥验证单元2205保存有验证终端证书和服务提供商证书的合法性所需的信息。
在数据安全检查单元2206中，利用由分布签名验证密钥验证单元2205验证的分布签名验证密钥(vkt或vks)，根据包括在安全数据中的分布签名(S1/S2或S1”/S2”)，确认接收到的安全数据是否未被改动。当检测到改动时，停止处理。当安全数据未被改动时，执行数据安全检查(下面进行描述)。
图12是示出了数据安全检查单元2206中的数据安全检查操作示例的流程图。图12示出了其中ID信息由终端标识信息IDt和持有者标识信息IDu构成、且安全数据包括如图6B所示的分布控制信息的情况。在ID信息由组ID、家庭ID等构成时，执行相同的操作。
在图12中，数据安全检查单元2206确定已经确认其合法性的安全数据是否包括服务提供商更新标记(F)(步骤S11)。当安全数据包括服务提供商更新标记(F)时(步骤S11中的“是”)，确定服务提供商服务器1执行了更新，并相互比较包括在安全数据中的终端标识信息(IDt’)和存储在移动信息终端2中的终端标识信息(IDt”)(步骤S12)。
当满足IDt’＝IDt”时(步骤S12中的“是”)，识别等同的移动信息终端。因此，恢复包括在已经确认其合法性的安全数据中的传递数据(H”、B”和P”)，并将其存储在传递数据存储器2202中(存储允许)。当已经确认其合法性的安全数据包括加密内容体(E”)时，利用内容解密密钥(dk”)解密加密内容体，以恢复由管理报头(H”)、内容体(B”)和分布控制信息(P”)构成的传递数据，并将传递数据存储在传递数据存储器2202中。在这种情况下，为了正确解密加密内容体，内容解密密钥(dk’)和内容解密密钥(dk”)必须彼此一致。可以通过以下方法来实现内容解密密钥的一致性。即，服务用户管理内容加密密钥，系统管理员间接管理在移动信息终端中产生并存储在其中的内容解密密钥，或者服务提供商设计包括在传递数据中的分布控制信息。
当满足IDt’≠IDt”时(步骤S12中的“否”)，禁止在传递数据存储器2202中的存储(存储禁止)。
当安全数据不包括服务提供商更新标记(F)时(步骤S11中的“否”)，确定并未执行通过服务提供商服务器1的更新，并将包括在安全数据中的终端标识信息(IDt)与存储在移动信息终端中的终端标识信息(IDt”)进行比较(步骤S13)。当满足IDt＝IDt”时(步骤S13中的“是”)，进一步确定包括在安全数据中的分布控制信息的互等终端移动标记(Ft)的值是否为“1允许”(步骤S14)。当满足Ft＝1时(步骤S14中的“是”)，如上所述，允许在传递数据存储器2202中的存储(存储允许)。当已经确认其合法性的安全数据包括加密内容体(E)时，利用内容解密密钥(dk)解密加密内容体，以恢复由管理报头(H)、内容体(B)和分布控制信息(P)构成的传递数据，并将传递数据存储在传递数据存储器2202中。在这种情况下，为了正确解密加密内容体，内容解密密钥(dk)和内容解密密钥(dk”)必须彼此一致。可以通过以下方法来实现内容解密密钥的一致性。即，服务用户管理内容加密密钥，系统管理员间接管理由服务管理员产生并存储在移动信息终端中的内容解密密钥，或者服务提供商设计包括在传递数据中的分布控制信息。
当满足Ft≠1时(步骤S14中的“否”)，禁止在传递数据存储器2202中的存储(存储禁止)。
此外，当IDt≠IDt”时(步骤S13中的“否”)，将包括在安全数据中的持有者标识信息(IDu)与存储在移动信息终端中的持有者标识信息(IDu”)进行比较(步骤S15)。当满足IDu＝IDu”时(步骤S15中的“是”)，确定包括在备份安全数据中的分布控制信息的互等持有者移动标记(Fu1)的值是否为“1允许”(步骤S16)。当满足Fu1＝1时(步骤S16中的“是”)，如上所述，允许在传递数据存储器2202中的存储(存储允许)。当满足Fu1≠1时(步骤S16中的“否”)，禁止在传递数据存储器2202中的存储(存储禁止)。
当满足IDu≠IDu”时(步骤S15中的“否”)，进一步确定包括在安全数据中的分布控制信息的互异持有者移动标记(Fu2)的值是否为“1允许”(步骤S17)。当满足Fu2＝1时(步骤S17中的“是”)，如上所述，允许在传递数据存储器2202中的存储(存储允许)。当满足Fu2≠1时(步骤S17中的“否”)，禁止在传递数据存储器2202中的存储(存储禁止)。
在上述示例中，在安全数据产生单元2203和安全数据更新单元2109中加密内容体以及在数据安全检查单元2206中解密内容体时，直接使用公共密钥加密系统的内容加密密钥和内容解密密钥。为了解决公共密钥加密系统所特有的计算速度的问题，例如，在加密时随机产生对称密钥加密系统的对称密钥，并利用对称密钥加密内容体，从而可以通过内容加密密钥加密对称密钥，并与加密内容体一起包括在安全数据中。在这种情况下，在解密时，首先，通过内容解密密钥解密对称密钥。可以利用所获得的对称密钥解密内容体。
系统的应用将介绍根据本实施例的数字信息分布控制设备的应用场景的示例。
图13是示出了根据本发明第一实施例的数字信息分布控制系统的第一应用示例的示意系统功能图。在图13所示的应用场景中，假设移动电话运营商10用作系统管理员，移动电话服务公司11用作服务提供商，以及移动电话用户12用作服务用户。
服务提供商服务器1将内容数据(在这种情况下，包括电子票据)传递给移动电话2。移动电话用户12在移动电话2上浏览传递过来的内容，或前往安装有电子票据终端13的场所，以便能够使用移动电话2中的电子票据。如上所述，移动电话用户12使用红外通信、短距离无线通信等，将数字内容或电子票据备份在其个人计算机3(用户信息终端)中，并根据需要，在移动电话2中恢复数字内容或电子票据。备份或恢复可以确保用户的便利性和服务提供商的权利保护，因为如上所述地保证了合法性和安全性。
系统的另一示例可以通过硬件实现如图1和3所示的本发明的第一实施例。但是，也可以通过软件、在计算机中实现第一实施例。
图14是示出了根据第一实施例的服务提供商服务器1的另一示例的示意方框图，以及图15是示出了根据第一实施例的移动信息终端2和用户信息终端3的其他示例的示意方框图。与图1和3所示的方框中相同的参考数字表示图14和15中、具有相同功能的部件，并将省略对其的详细描述。
如图14所示，在服务提供商服务器1中，设置有内容/分布控制信息存储单元101、服务器特有信息存储单元103、程序存储器105、程序控制处理器108、通信控制单元109和传输/接收单元110。在程序存储器105中，传递数据管理程序106实现了与传递数据管理单元102相同的功能，以及安全数据更新程序107实现了与安全数据更新单元104相同的功能。
程序控制处理器108执行存储在程序存储器105中的程序，以执行如图2所示的对移动信息终端2的数据分配、通过外部内容处理系统2401更新内容数据、接收更新请求、更新可能/不可能确定(步骤S05)和安全数据的更新(步骤S06)。
具体地，可以通过执行传递数据管理程序106和执行安全数据更新程序107，以软件实现用于实现数据传递和内容数据的更新的传递数据管理单元102和用于执行更新可能/不可能确定(步骤S05)和安全数据的更新(步骤S06)的安全数据更新单元104。
如更新请求的接收、更新后安全数据的传输和传递数据的传输等实际通信由通信控制单元109和传输/接收单元110在程序控制处理器108的控制下执行。
如图15所示，移动信息终端2具有终端特有信息存储单元202、传递数据存储器2202、程序存储器205、程序控制处理器208、信道控制单元209、收发机210、通信控制单元211和有线/无线接口212。
安全数据验证程序206和安全数据产生程序207存储在程序存储器205中，并由程序控制处理器208执行，以执行如图2所示的传递数据的接收、传递数据的存储/读取、安全数据的产生(步骤S01)、安全数据请求的产生和传输、来自用户信息终端3的安全数据的接收、接收到的安全数据的检查和已经确认其安全性的传递数据的恢复。
具体地，可以通过执行安全数据产生程序207和安全数据验证程序206，以软件实现用于执行安全数据的产生(步骤S01)的安全数据创建单元203和用于执行安全检查(步骤S07)的安全数据验证单元204。
与服务提供商服务器1之间的通信由信道控制单元209和收发机210执行，以及与用户信息终端3之间的通信由通信控制单元211和接口212执行。
用户信息终端3具有安全数据存储单元301、有线/无线接口303、通信控制单元304、程序存储器305、程序控制处理器307、通信控制单元308和传输/接收单元309。安全数据更新确定程序306存储在程序存储器305中，并由程序控制处理器307执行，以执行如图1所示的备份安全数据的接收、备份安全数据的存储(步骤S02)、安全数据请求的接收、更新确定(步骤S03)、更新请求的产生(步骤S04)和更新后的安全数据的接收和传送。具体地，可以通过执行安全数据更新确定程序306，以软件实现用于执行更新确定(步骤S03)的安全数据更新确定单元302。与服务提供商服务器1之间的通信由通信控制单元308和传输/接收单元309执行，以及与移动信息终端2之间的通信由通信控制单元304和接口303执行。
2、第二实施例备份存储在移动信息终端2中的传递数据作为安全数据以及根据需要恢复传递数据的系统并不局限于如图1所示、通过直接连接移动信息终端2和用户信息终端3而获得的结构。可以由通过网络使移动信息终端2和用户信息终端3彼此相连而获得的系统结构来执行根据本发明的备份和恢复操作。
图16是示出了根据本发明第二实施例的数字信息分布控制系统的示意功能结构的方框图。在根据本实施例的系统中，由与网络5相连的备份服务器3实现图1所示的用户信息终端。由于备份服务器3的基本结构和操作与根据第一实施例的用户信息终端3相同，将省略对其的详细描述。
图17是示出了根据第二实施例的数字信息分布控制系统的应用的示意系统功能图。在图17所示的应用场景中，用户信息终端不是移动电话用户12的个人计算机，但用户信息终端是由备份服务公司14管理的备份服务器3。通过公共网络执行根据本发明的备份和恢复操作。
3、第三实施例图1和3所示的第一实施例解释了用户信息终端3通过如因特网等网络5与服务提供商服务器1相连、从而使其能够更新安全数据的情况。但是，本发明并不局限于上述结构。例如，也可以将包括在安全数据更新确定单元302中的更新需要/不需要确定功能、更新请求产生功能、更新请求传输功能等赋予移动信息终端2。在这种情况下，用户信息终端3不需要用于连接用户信息终端3和服务提供商服务器1的通信功能。
图18是示出了根据本发明第三实施例的数字信息分布控制系统的示意系统功能图。与图1和3所示的方框中相同的参考数字表示图18中、具有相同功能的部件，并将省略对其的详细描述。图19是示出了图18所示的数字信息分布控制系统的整个顺序操作以及终端和服务器的示意操作流程的流程图。
如图18和19所示，将安全数据更新确定单元220设置在根据本实施例的移动信息终端2中，以及将用于执行安全数据存储单元301的一般数据输入/输出控制的控制单元310设置在用户信息终端3中。将传递数据存储在移动信息终端2的传递数据存储单元201中，在备份操作(步骤S01)中，利用传递数据和终端特有信息，创建备份安全数据，并将其存储在用户信息终端3中的安全数据存储单元301中。
在恢复时，从移动信息终端2向用户信息终端3输出安全数据请求，控制单元310从安全数据存储单元301中读取相应的备份安全数据，并向移动信息终端2的安全数据更新确定单元220传输备份安全数据。安全数据更新确定单元220利用安全数据请求的标识信息、备份安全数据的标识信息和分布控制信息，确定能够直接使用备份安全数据，或是否需要查询服务提供商服务器1(步骤S001)。更具体地，步骤S001执行与图2中的步骤S03相同的操作。当能够直接使用备份安全数据时，通过验证(步骤S07)，在传递数据存储单元201中恢复备份安全数据。
如果需要查询，由备份安全数据和安全数据请求产生更新请求(步骤S002)，并通过传输/接收单元221，向服务提供商服务器1传输更新请求。当从服务提供商服务器1返回更新后的安全数据时，向安全数据验证单元204输出更新后的安全数据，并通过验证(步骤S07)，在传递数据存储单元201中进行恢复。
4、第四实施例如图11A和11B所示，将服务提供商更新标记(F)设置在由服务提供商更新的安全数据中。在第一实施例中，通过更新标记F，确定是否进行了更新。但是，此标记不仅用作表示是否进行了更新的标记，而且用作表示到此之前能够恢复安全数据的过期日期的信息。
在本发明的第四实施例中，在服务提供商服务器1中，将过期日期添加到更新后的安全数据上。数据安全检查单元2206在这种情况下的操作如下。
图20是示出了在接收到包括过期日期信息的更新后安全数据时、数据安全检查单元2206的数据安全检查操作示例的流程图。与图12所示的流程图相同的参考数字表示图20中相同的步骤，并将省略对其的详细描述。
当从用户信息终端3接收到的安全数据包括更新标记F时(步骤S11中的“是”)，数据安全检查单元2206读取附加到更新标记F上的过期日期信息，并将该信息与从移动信息终端2中的时钟读取出的当前时刻信息进行比较(步骤S20)。在当前时刻处于过期日期内时(步骤S20中的“是”)，执行步骤S12，并如上所述地禁止或允许更新后的安全数据的存储。在当前时刻超出过期日期时(步骤S20中的“否”)，禁止存储更新后的安全数据。
按照这种方式，参照服务提供商更新标记F的过期日期信息，确定恢复的允许/不允许，并能够防止恶意用户在用户信息终端3中积累由安全数据更新单元2109产生的安全数据，并在过期日期之后，在移动信息终端2中重复恢复。如上所述，可以通过恶意程序窃取由服务提供商服务器1更新的安全数据，并在相同的移动信息终端中恢复。为了防止上述非法恢复，可以有利地将设置在服务提供商更新标记F中的过期日期设置得较短，例如，更新安全数据后10秒。
5、第五实施例如第一实施例所述，在将要恢复存储在用户信息终端3中的备份安全数据时，移动信息终端2的安全数据请求产生单元2204产生包括终端标识信息(IDt’)、持有者标识信息(IDu’)、以及如果需要，内容解密密钥(ek’)和内容加密密钥证书(c_ek’)的安全数据请求(参见图8)。此外，将特有信息添加到安全数据请求本身上，从而使其能够有效地防止非法恢复。
图21是示出了本发明第五实施例中的安全数据请求的结构示例的样式图。本实施例中的安全数据请求由终端标识信息(IDt’)、持有者标识信息(IDu’)、内容解密密钥(ek’)、内容加密密钥证书(c_ek’)和随机数r构成。
根据本实施例的安全数据请求产生单元2204输入由随机数发生器产生的随机数r，将随机数添加到安全数据请求上，并保存随机数r。向用户信息终端3传输包括随机数r的安全数据请求。当需要服务器查询时，更新请求产生单元2304产生通过组合备份安全数据和安全数据请求而获得的安全数据(参见图10)。因此，在本实施例中，更新请求的安全数据请求部分包括随机数r。向服务提供商服务器1传输更新请求。
如图11A和11B所述，在由服务提供商更新的安全数据中设置服务提供商更新标记(F)。在第一实施例中，通过更新标记F，确定是否进行了更新。但是，更新标记不仅可以用作表示是否进行了更新的标记，而且可以用作表示随机数r的信息。在本实施例中，在服务提供商服务器1中，将随机数r的信息添加到更新后的安全数据的更新标记F上。数据安全检查单元2206在这种情况下的操作如下。
图22是示出了在接收到包括随机数r的更新后安全数据时、数据安全检查单元2206的数据安全检查操作示例的流程图。与图12所示的流程图相同的参考数字表示图22中相同的步骤，并将省略对其的详细描述。
当从用户信息终端3接收到的安全数据包括更新标记F时(步骤S11中的“是”)，数据安全检查单元2206读取附加到更新标记F上的随机数r’，并将随机数r’与在产生安全数据时保存的随机数r”进行比较(步骤S21)。当满足r’＝r”时(步骤S21中的“是”)，执行步骤S12，并如上所述地禁止或允许存储更新后的安全数据。当r’≠r”时(步骤S21中的“否”)，禁止存储更新后的安全数据。
按照这种方式，参考服务提供商更新标记F的随机数信息，确定恢复的允许/不允许，从而能够防止恶意用户在用户信息终端3中积累由安全数据更新单元2109产生的安全数据，并在移动信息终端2中重复恢复。在本实施例中，即使移动信息终端2不具有可靠的时钟，也能够有效地防止非法恢复。
6、第六实施例分布控制信息的另一示例图6A所示的分布控制信息(P)并不局限于图6B所示的标记结构。也可以将分布控制信息(P)程序性地描述为程序的函数。
图23是示出了被描述为程序的函数的分布控制信息示例的样式图。在这种情况下，以C++编程语言描述分布控制信息，可以执行具有如下内容的分布控制。即，“当终端标识信息等同时，允许恢复，当持有者标识信息的日期与由服务提供商指定的特定日期(在此定为2004年2月14日)相一致时，在服务器查询之后，允许恢复，否则，禁止恢复”。
当通过程序描述分布控制信息时，更新需要/不需要确定单元2303和数据安全检查单元2206读取分布控制程序，并执行该程序，从而使其能够执行比图9和12所示的、基于标记的更新需要/不需要确定和基于标记的数据安全检查更为灵活的分布控制。
权利要求
1.一种数字信息分布控制方法，用在具有服务器和信息处理终端的系统中，所述服务器用于执行数字信息的传递服务，以及所述信息处理终端用于接收数字信息的传递服务，其中从所述服务器向所述信息处理终端传递包括数字信息和表示数据传送控制条件的分布控制信息在内的传递数据，将传递数据存储在所述信息处理终端中，并根据分布控制信息，在所述信息处理终端和另一信息处理终端之间，控制包括传递数据在内的信息的传送。
2.根据权利要求1所述的分布控制方法，其特征在于在传送控制中，将通过利用所述信息处理终端的特有信息产生的、包括传递数据在内的信息传送并存储在另一信息处理终端中，并在将存储在所述另一信息处理终端中的、包括传递数据在内的信息重新存储在所述信息处理终端中之前，根据分布控制信息，确定重新存储在所述信息处理终端中是可能的还是不可能的。
3.根据权利要求1所述的分布控制方法，其特征在于在传送控制中，将通过利用所述信息处理终端的特有信息产生的、包括传递数据在内的信息传送并存储在另一信息处理终端中，并在将存储在所述另一信息处理终端中的、包括传递数据在内的信息重新存储在所述信息处理终端中之前，根据分布控制信息，确定在所述服务器处的查询是可能的还是不可能的。
4.根据权利要求1所述的分布控制方法，其特征在于分布控制信息包括包括传递数据在内的信息的传送可能/不可能确定条件和在所述服务器处的查询可能/不可能确定条件中的至少一个。
5.一种数字信息分布控制方法，用在具有服务器和信息处理终端的系统中，所述服务器用于执行数字信息的传递服务，以及所述信息处理终端用于接收数字信息的传递服务，其中从所述服务器向所述信息处理终端传递包括数字信息和表示数据传送控制条件的分布控制信息在内的传递数据，将传递数据存储在所述信息处理终端中，利用分配给所述信息处理终端的终端特有信息，产生包括传递数据在内的第一安全数据，并将其传送给另一信息处理终端，在将存储在另一信息处理终端中的安全数据中所包括的传递数据重新存储在所述信息处理终端中之前，向所述另一信息处理终端传输安全数据传输请求，根据所述信息处理终端的终端特有信息、以及包括在与所述安全数据传输请求相对应的第二安全数据中的终端特有信息和分布控制信息，确定能否将包括在第二安全数据中的传递数据重新存储在所述信息处理终端中，并在能够重新存储传递数据时，将包括在第二安全数据中的传递数据存储在所述信息处理终端中。
6.根据权利要求5所述的分布控制方法，其特征在于分布控制信息指定安全信息的传送可能/不可能确定条件和在服务器处的查询可能/不可能确定条件中的至少一个。
7.根据权利要求6所述的分布控制方法，其特征在于当第二安全数据的分布控制信息指定服务器查询时，向所述服务器传输包括第二安全数据和安全数据传输请求的安全数据查询。
8.根据权利要求7所述的分布控制方法，其特征在于在接收到安全数据查询时，所述服务器确定更新包括在安全数据查询中的第二安全数据是可能的还是不可能的，当更新是可能的时，产生通过利用分配给所述服务器的服务器特有信息更新第二安全数据而获得的更新后安全数据，并返回更新后安全数据，作为对安全数据查询的响应，以及所述信息终端接收更新后安全数据，作为与安全数据传输请求相对应的第二安全数据。
9.根据权利要求8所述的分布控制方法，其特征在于更新后安全数据包括过期日期信息，所述信息处理终端根据所述信息处理终端的终端特有信息、包括在第二安全数据中的终端特有信息、过期日期信息和分布控制信息，确定能否将传递数据重新存储在所述信息处理终端中。
10.根据权利要求8所述的分布控制方法，其特征在于所述信息处理终端还将请求指定信息添加到安全数据传输请求上，以便向所述另一信息处理终端传输安全数据传输请求和请求指定信息；所述服务器返回包括请求指定信息的更新后安全数据，以及所述信息处理终端根据所述信息处理终端的终端特有信息、包括在第二安全数据中的终端特有信息、请求指定信息和分布控制信息，确定能否将传递数据重新存储在所述信息处理终端中。
11.根据权利要求10所述的分布控制方法，其特征在于请求指定信息是数据传输请求中产生的随机数。
12.根据权利要求5所述的分布控制方法，其特征在于分布控制信息指定数据传送的可能/不可能条件、信息传送中加密的需要/不需要条件、和在服务器处的查询可能/不可能条件中的至少一个。
13.根据权利要求12所述的分布控制方法，其特征在于终端特有信息至少包括分布签名创建密钥、分布签名验证密钥、终端证书、加密密钥、加密密钥证书、解密密钥的标识信息和标识信息。
14.根据权利要求13所述的分布控制方法，其特征在于所述信息处理终端在分布控制信息指定数据传送中加密时，利用包括在终端特有信息中的加密密钥，加密包括在传递数据中的数字信息，利用包括加密数字信息的传递数据，产生第一安全数据，以便向所述另一信息处理终端传送第一安全数据，以及利用包括在终端特有信息中的解密密钥，解密包括在第二安全数据中的传递数据的加密数字信息。
15.一种移动信息终端，接收来自用于执行数字信息的传递服务的服务器的数字信息的传递，并能够执行与用于备份的另一信息处理终端之间的数据传送，所述移动信息终端包括传递数据存储单元，用于接收和存储来自所述服务器的、包括表示调整数据传送的条件的分布控制信息和数字信息在内的传递数据；终端特有信息存储单元，用于存储分配给所述移动信息终端的终端特有信息；安全数据产生单元，用于利用终端特有信息，产生包括传递数据的第一安全数据，以便将传递数据从所述传递数据存储单元传送到另一信息处理终端，以及用于将第一安全数据传输给所述另一信息处理终端；数据传输请求产生单元，用于在从所述另一信息处理终端接收第二安全数据之前，执行对所述另一信息处理终端的数据传输请求，以便将包括在第二安全数据中的传递数据重新存储在所述传递数据存储单元中；和安全数据验证单元，用于在作为数据传输请求的响应，从所述另一信息处理终端接收到第二安全数据时，利用所述移动信息终端的终端特有信息和包括在第二安全数据中的终端特有信息和分布控制信息，验证能否重新存储第二安全数据，并用于在能够重新存储第二安全数据时，将包括在第二安全数据中的传递数据存储在所述传递数据存储单元中。
16.根据权利要求15所述的移动信息终端，其特征在于还包括确定单元，用于在作为数据传输请求的响应，从另一信息处理终端接收到第二安全数据时，利用所述移动信息终端的终端特有信息和包括在第二安全数据中的终端特有信息和分布控制信息，确定向所述传递数据存储单元传送第二安全数据是可能的还是不可能的，以及在能够向所述传递数据存储单元传送第二安全数据时，所述安全数据验证单元验证能否重新存储第二安全数据。
17.根据权利要求16所述的移动信息终端，其特征在于分布控制信息指定数据传送的可能/不可能条件和查询服务器的可能/不可能条件中的至少一个。
18.根据权利要求17所述的移动信息终端，其特征在于当第二安全数据的分布控制信息指定服务器查询时，所述确定单元向所述服务器传输包括数据传输请求和第二安全数据的安全数据查询。
19.一种服务器，执行对信息处理终端的数字信息的传递服务，所述服务器包括服务器特有信息存储单元，用于存储分配给所述服务器的服务器特有信息；传递数据管理单元，用于产生包括数字信息和表示数据传送控制条件的分布控制信息在内的传递数据，以便向所述信息处理终端传递所述传递数据；和安全数据更新单元，用于在接收到包括所述信息处理终端的终端特有信息和所请求的安全数据在内的安全数据查询时，确定更新包括在安全数据查询中的安全数据是可能的还是不可能的，以及用于在更新是可能的时，更新安全数据，以返回更新后的安全数据，作为安全数据查询的响应。
20.一种信息处理设备，能够与移动信息终端相连，用于接收来自服务器的、包括表示调整数据传送的条件的分布控制信息和数字信息在内的传递数据，以及备份由所述移动信息终端接收的传递数据，所述信息处理设备包括安全数据存储单元，用于存储利用分配给所述移动信息终端的终端特有信息产生的、包括传递数据在内的第一安全数据；和确定单元，用于接收来自所述移动信息终端的、用于重新存储包括在所述安全数据存储单元中所存储的第一安全数据中的传递数据的安全数据传输请求，并根据接收到的数据传输请求和存储在所述安全数据存储单元中的第一安全数据的终端特有信息和分布控制信息，确定是否将所存储的第一安全数据返回给所述移动信息终端，作为第二安全数据。
21.一种分布控制系统，至少具有服务器，用于执行数据信息的传递服务；第一信息处理终端，用于接收数字信息的传递；和第二信息处理终端，能够执行与所述第一信息处理终端之间的数据传送，其中所述服务器至少具有传递数据管理单元，用于产生通过将表示调整数据传送的条件的分布控制信息与数字信息相加而获得的传递数据，以便向所述第一信息处理终端传输所述传递数据；所述第一信息处理终端至少具有传递数据存储单元，用于存储传递数据；终端特有信息存储单元，用于存储分配给所述第一信息处理终端的终端特有信息；安全数据产生单元，用于利用终端特有信息，产生包括传递数据在内的第一安全数据，以便将传递数据从所述传递数据存储单元传送到所述第二信息处理终端，以及用于向所述第二信息处理终端传输第一安全数据；数据传输请求产生单元，用于接收来自所述第二信息处理终端的第二安全数据，并执行对所述第二信息处理终端的数据传输请求，以便将包括在第二安全数据中的传递数据重新存储在所述传递数据存储单元中；和安全数据验证单元，用于在作为数据传输请求的响应，从所述第二信息处理终端接收到第二安全数据时，利用终端特有信息，验证能否重新存储第二安全数据，以及用于在能够重新存储第二安全数据时，将包括在第二安全数据中的传递数据存储在所述传递数据存储单元中；以及所述第二信息处理终端至少具有安全数据存储单元，用于存储从所述第一信息处理终端传输过来的第一安全数据；和确定单元，用于根据数据传输请求和存储在所述安全数据存储单元中的安全数据的终端特有信息和分布控制信息，确定是否将所存储的安全数据返回给所述第一信息处理终端作为第二安全数据。
22.一种服务器程序，使计算机实现用于执行对信息处理终端的数据信息的传递服务的服务器功能，包括以下步骤产生包括数字信息和表示数据传送控制条件的分布控制信息在内的传递数据，以便向所述信息处理终端传递所述传递数据；在接收到包括所述信息处理终端的终端特有信息和所请求的安全数据在内的安全数据查询时，确定更新包括在安全数据查询中的安全数据是可能的还是不可能的；以及在更新是可能的时，更新安全数据，以返回更新后的安全数据，作为安全数据查询的响应。
23.一种移动信息终端程序，使计算机接收来自用于执行数字信息的传递服务的服务器的数字信息的传递，以及使计算机执行与用于备份的另一信息处理终端之间的数据传送，包括以下步骤接收来自所述服务器的、包括表示调整数据传送的条件的分布控制信息和数字信息在内的传递数据，并存储传递数据；利用终端特有信息，产生包括传递数据的第一安全数据，以便将传递数据传送到另一信息处理终端，以及将第一安全数据传输给所述另一信息处理终端；在从所述另一信息处理终端接收第二安全数据之前，执行对所述另一信息处理终端的数据传输请求，以便将包括在第二安全数据中的传递数据重新存储在所述传递数据存储单元中；在作为数据传输请求的响应，从所述另一信息处理终端接收到第二安全数据时，利用所述移动信息终端的终端特有信息和包括在第二安全数据中的终端特有信息和分布控制信息，验证能否重新存储第二安全数据；以及在能够重新存储第二安全数据时，重新存储包括在第二安全数据中的传递数据。
24.根据权利要求23所述的移动信息终端程序，其特征在于还包括以下步骤在作为数据传输请求的响应，从另一信息处理终端接收到第二安全数据时，利用所述移动信息终端的终端特有信息和包括在第二安全数据中的终端特有信息和分布控制信息，确定向所述传递数据存储单元传送第二安全数据是可能的还是不可能的，以及在能够向所述传递数据存储单元传送第二安全数据时，利用所述安全数据验证单元，验证能否重新存储第二安全数据。
全文摘要
服务器(1)产生通过将指定了数据传送的可能/不可能、加密的需要/不需要、服务器查询的可能/不可能等的分布控制信息添加到如数字内容、电子票据等的内容数据上而获得的传递数据，并将传递数据传递给移动信息终端(2)。将传递数据存储在移动信息终端(2)中，并由服务用户自由地使用。尽管可以将传递数据备份在另一用户信息终端中，但根据所添加的分布控制信息来约束传递数据的恢复和传送。
文档编号G06Q30/00GK1813266SQ20048001849
公开日2006年8月2日 申请日期2004年4月27日 优先权日2003年5月9日
发明者田口大悟, 楫勇一, 野田润 申请人:日本电气株式会社