内容管理方法及内容管理装置的制作方法

专利名称：内容管理方法及内容管理装置的制作方法
技术领域：
本发明的背景本发明涉及用来对可存储于存储媒体中的音乐及电影等的拷贝内容数进行规定的内容管理方法及利用该方法的内容管理装置。
迄今，内容(著作物等)可进行拷贝管理。通过拷贝世代管理及拷贝数管理取得了著作权保护和利用方便的平衡。
此外，代替拷贝管理，“移动”的概念已经登场。拷贝时不消去原件中的数据，与此相对，移动则是在向不同的场所(媒体)传送数据的同时，消去原始数据。内容数字化和网络的普及就是移动引起的拷贝保护登场的背景。
近年来，由于可以获得通过网络等的原件的忠实拷贝，仅借助拷贝管理很难保护著作权。另外，对于从媒体到媒体的无限制移动，比如以营利为目的的数据(利用移动)分发，就不能进行著作权管理。
这样，对原件的数据(特别是，作为著作权保护对象的内容)的复制进行可靠的管理就很困难。
本发明简介据此，本发明的目的是提供一种通过规定可在存储媒体上复制的内容数来限制内容的复制而可以保护内容的著作权的内容管理方法及利用该方法的内容管理装置。
根据本发明的一个观点，可提供一种用来规定可在存储媒体上存储的复制内容数的内容管理方法，其构成包括对上述每个内容赋予一个预定的可以复制内容数；如接到向上述存储媒体的复制记录指示，在上述可以复制内容数还有余数时，就向该存储媒体记录上述复制内容；在上述记录之际，每向上述存储媒体记录一个复制内容，就从上述可以复制内容数的余数中减去1；并且如接到消去上述存储媒体的上述复制内容的指示，就每当从该存储媒体上消去一个该复制内容，就将上述可以复制内容数加1。
还有，上述方法也可以包括在设置在上述存储媒体的存储区的可以以隐藏的特定手续访问的隐藏区中记录用于再生上述复制内容的必需信息。
还有，上述方法也可以包括将每个上述内容的至少上述可以复制内容数记录在可以以隐藏的特定手续访问的隐藏存储区中。
还有，上述方法也可以包括将每个上述内容的至少上述可以复制内容数和存储复制内容的存储媒体的识别信息存储在可以以隐藏的特定手续访问的隐藏存储区中，并且只有在上述隐藏存储区中存储上述存储媒体的识别信息时才从该存储媒体消去上述复制内容。
还有，上述方法也可以包括在将上述复制内容记录于上述存储媒体之际，在设置在该存储媒体的存储区的可以以隐藏的特定手续访问的隐藏区中记录为再生上述复制内容而必需的信息及表示是否可以移动该复制内容的标志信息，以及参考上述标志信息判断是否可以移动上述复制内容。
还有，上述方法也可以包括在对上述存储媒体进行数据读出或数据写入处理所需的时间不在预定时间以内时中断后序的处理。
在上述方法中，作为上述存储媒体，在其存储区内，在设置只有以隐藏的特定手续可以访问的隐藏区的同时，也可以包含存储上述存储媒体的识别信息的第一类存储媒体，和没有上述隐藏区但具有该存储媒体的识别信息的第二类存储媒体，以及不具有上述隐藏区及该存储媒体的识别信息的第三类存储媒体。在此场合，在上述存储媒体上记录复制内容之际及从该存储媒体上消去复制内容之际以及再生存储于该存储媒体上的复制内容之际，在判别该存储媒体的类别之后进行与其相应的处理。
根据本发明的另一个观点，可提供一种用来规定可存储于存储媒体上的复制内容数的内容管理装置，其构成包括对上述每个内容赋予一个预定的可以复制内容数，如接到向上述存储媒体的复制记录指示，在上述可以复制内容数还有余数时，就向该存储媒体记录上述复制内容，此际，每向上述存储媒体记录一个复制内容，就从上述可以复制内容数中减去1的复制内容记录装置；并且如接到消去上述存储媒体的上述复制内容的指示，就每当从该存储媒体上消去一个该复制内容，就将上述可以复制内容数加1的复制内容移动装置。
还有，上述装置也可以包括在设置在上述存储媒体的存储区的可以以隐藏的特定手续访问的隐藏区中记录用于再生上述复制内容的必需信息的装置。
还有，上述装置也可以包括将每个上述内容的至少上述可以复制内容数记录在可以以隐藏的特定手续访问的隐藏存储区中的装置。
还有，上述装置也可以包括将每个上述内容的至少上述可以复制内容数和存储复制内容的存储媒体的识别信息存储在可以以隐藏的特定手续访问的隐藏存储区中，并且只有在上述隐藏存储区中存储上述存储媒体的识别信息时才从该存储媒体消去上述复制内容的装置。
还有，上述装置也可以包括在将上述复制内容记录于上述存储媒体之际，在设置在该存储媒体的存储区的可以以隐藏的特定手续访问的隐藏区中记录为再生上述复制内容而必需的信息及表示是否可以移动该复制内容的标志信息的装置，以及参考上述标志信息判断是否可以移动上述复制内容的装置。
还有，上述装置也可以包括在对上述存储媒体进行数据读出或数据写入处理所需的时间不在预定时间以内时中断后序处理的装置。
还有，上述装置，也可以包括在上述存储媒体上记录复制内容之际及从该存储媒体上消去复制内容之际以及再生存储于该存储媒体上的复制内容之际，上述存储媒体具有判别存储媒体是在其存储区内在设置只有以隐藏的特定手续可以访问的隐藏区的同时也包含存储上述存储媒体的识别信息的第一类存储媒体，和没有上述隐藏区但具有该存储媒体的识别信息的第二类存储媒体，以及不具有上述隐藏区及该存储媒体的识别信息的第三类存储媒体之中的哪一种的判别装置。还有，在此场合，上述装置也可具有在上述判别装置判别该存储媒体的类别之后可进行与上述存储媒体类别相应的处理的装置。
附图简介

图1示出的是使用用于规定可在本发明实施形态中的存储媒体上存储的复制内容数的内容管理方法的音乐内容利用管理系统(LCM)的构成例框图。
图2为示出存储区的构成例框图。
图3为示出记录再生装置(PD)的内部构成例的框图。
图4A～图4C为说明三种存储媒体的特征的框图。
图5为示出媒体界面(I/F)单元的内部构成例的框图。
图6为说明检入后存储媒体的记录内容用的框图。
图7A～图7C为示出在LCM的隐藏区中存放的登记帐的存储例的框图。
图8A～图8B为示出在LCM的隐藏区中存放的登记帐的另一存储例的框图。
图9示出用于说明检入/检出处理步骤的流程图，包括判别媒体的类别并一直到选择与其类别相应的处理的步骤。
图10为说明在存储媒体的类别为二级的场合的检出步骤的框图。
图11为说明在存储媒体的类别为二级的场合的检入步骤的框图。
图12为说明在存储媒体的类别为二级的场合的再生步骤的框图。
图13为说明在存储媒体的类别为一级的场合的检出步骤的框图。
图14为说明在存储媒体的类别为一级的场合的再生步骤的框图。
图15为说明在存储媒体的类别为零级的场合的检出步骤的框图。
图16为说明在存储媒体的类别为零级的场合的检入步骤的框图。
图17为说明在存储媒体的类别为零级的场合的再生步骤的框图。
图18A～图18C为示出在LCM的隐藏区中存放的登记帐的又一存储例框图，其中示出包含标志的登记帐。
图19为说明利用标志进行检入处理的概略流程图。
图20为说明利用公钥加密方式的认证步骤的框图。
图21示出通过网络向存储媒体记录复制内容的场合的机器构成例的框图。
图22为示出超时判断单元的内部构成例的框图。
图23为用于说明超时判断处理一例的流程图。
图24为用于说明构成隐藏区用的文件系统的示意图。
图25为用于说明隐藏区驱动电路的动作用的流程图。
图26为用于说明扇区配置更新时的隐藏区驱动电路的动作用的流程图。
本发明详述下面参考附图对本发明的实施形态予以说明。
图1示出的是使用用于规定可在本发明实施形态中的存储媒体上存储的复制内容数的内容管理方法的音乐内容利用管理系统(以下简称为LCM)1的构成例。另外，此处是以音乐作为内容的一个示例，但并不限于此，也可以是电影、游戏软件等。另外，作为媒体使用的是媒体卡(MC)，但并不限于此，也可使用软盘，DVD等各种存储媒体。
EMD(电子音乐分发人)是音乐发送服务器或音乐发送广播台。
内容利用管理系统1，比如，可以是个人计算机(PC)，具有多个与EMD(此处为EMD#1～#3)相对应的接收单元#1#～#3，EMD接收所发送的加密内容或其许可(使用条件及加密内容脱密密钥)。接收单元#1～#3最好是具有再生功能和计费功能。再生功能是用来对发送的音乐内容进行试听。另外，利用计费功能可将中意的内容买下。
LCM1具有两个安全音乐服务器(以下简称为SMS)，用户购买的内容经过EMD界面(I/F)单元3存储于SMS2中。需要时音乐内容在EMD界面(I/F)单元3中实施译码，形式变换及再加密。如SMS2接收到加密内容，就存储于音乐数据存放单元10中，并将音乐数据脱密密钥存放于许可存放单元9之中。SMS2最好是具有再生功能。利用合适的再生功能，可将SMS2管理的音乐内容在PC上再生。
SMS2具有对媒体(以下简称为MC)13输出内容数据的功能。MC13设置于记录再生装置12(以下简称为PD(便携器件))内并可再生记录于MC13上的内容。
从SMS2向MC13的记录通过媒体(MC)界面(I/F)单元6直接进行，另外可经过PD12进行。
MC13具有该媒体固有的且不能改写的识别信息(MID)，MC13中存放的内容利用依赖MC13的内容脱密密钥加密。
内容脱密密钥利用存放于媒体(MC)界面(I/F)单元6及PD12中的加密密钥Kp加密而记录于MC13。
MC13内的内容及内容脱密密钥可以拷贝到另外的任意存储媒体(以下称之为Mcb)上，但是1.因为只有正统的PD12具有加密密钥Kp，如表示正统的PD12就不能正确地再生存放在Mcb上的内容。但是，2.因为不能拷贝MC13的识别信息MID，而Mcb上的识别信息MID与拷贝原件的MC13的识别信息MID不同，结果拷贝到Mcb的内容不能正确地再生。即可以防止将SMS2记录于MC13中的复制内容接连不断地拷贝到另外的MC上使用。
以上是原来考虑的LCM1的构成，下面对涉及本发明的方法及构成单元予以说明。
首先，根据图1的LCM1对检入/检出进行说明。
所谓检出指的是LMS1存放作为“父代”的内容而将其复制件作为“子代”内容拷贝到MC13上。“子代”内容可在PD12上自由地再生，但是从“子代”到“孙代”内容不允许生成。从“父代”内容可生成几个“子代”，由“父代”属性定义。另外，所谓检入指的是，比如，将MC13与LCM1连接，LCM1通过将“子代”内容消去(或使其不能使用)而恢复利用LCM1内的“父代”内容制作一个“子代”内容的权利。这也称为“父代”内容检入。
如果此检入/检出是单纯地利用原有的LCM1实现的，则实际上存在下面这种的“攻击(attack)”。即将存放在MC13中的“子代”保存到另外的存储媒体(识别信息MID除外)中，将MC13的“子代”检入到“父代”。接着，将先保存的“子代”写回到合适的MC13中。因为检入已经完成，所以也可以将LCM1上的“父代”拷贝到另外的MC13上。利用这个方法就可以制作任意个可以使用的“子代”。
在上述的“攻击”中，通过在MC13和LCM1传送数据之际进行的认证，可能发生对抗。即假定MC13不接受从合法的LCM1以外发出的数据传送，LCM1不接受从合法的MC13以外发出的数据传送。在此场合，不能将MC13内的“子代”保存到另外的记录媒体中。另外，对于LCM1，通过欺骗也不能检入。所以，上述的“攻击”破产。
然而，实际上，即使以LCM1和MC13的认证为前提，也不能实现检入/检出。因为存在下面这样的“攻击”之故。即，首先，在LCM1上的“父代”不能制作“子代”的状态中，将LCM1的数据(特别是许可保存单元9的信息)备份到另外的存储媒体。在将“子代”拷贝到MC13之后，将备份的LCM1的数据返回。因为LCM1的“父代”返回到制作“子代”之前的状态，所以可在另外的MC13上制作“子代”。这样一来，就可以制作任意数目的“子代”。
其次，对实现检入/检出方面产生的问题以外的问题进行说明。即经由因特网等规定通信通道向MC13上进行记录。利用EMD的正规的因特网发送，因为是得到著作权所有者的许诺进行合法的发送，所以没有问题。但是，在图21这样的形态中，经过因特网向MC13上记录内容是可以的。图21中的PC上的通信单元201只是向MC13转发写入协议。LCM1，由于不能区别与该LCM1运行的PC#2连接的PD12和通过通信单元201与远方连接的LCM1运行的PC#2连接的PD12，就可以通过因特网等网络进行内容的(违法)发送。
下面介绍本发明的要旨。下面按照所示的项目顺序对检入/检出及用来限制通过网络向MC13进行记录的装置予以说明。
1.检入/检出(1-1)检入/检出(1-2)利用二级的MC的复制内容的检入/检出(1-3)利用登记帐的复制内容的另外的管理方法(1-4)利用二级的MC的复制内容的再生(1-5)利用一级的MC的复制内容的检入/检出，复制内容的再生(1-6)利用零级的MC的复制内容的检入/检出，复制内容的再生2.用来限制通过网络向MC进行记录的复制内容的装置3.隐藏区(检入/检出)为了实现检入/检出，在MC13中的存储区中设置以公开的步骤不能读写的区(隐藏区)，在该区中记录对内容进行解码所必需的信息(参考图2)。另外，在LCM1的存储区(比如在LCM1是由PC构成的场合下的硬盘)上以不公开的步骤设置不能访问的区域(隐藏区)，将下述的登记帐存放于该隐藏区(参考图2)。此外，在PD12的存储区中也可设置只能以不公开步骤访问的区(隐藏区)并在该区中记录内容解码所必需的信息(参考图2)。另外，此处将存储区中的隐藏区以外的利用通常的步骤可以访问的区域称为公开区。
如图1所示，在LCM1中，在隐藏区中设置登记帐存放单元8，在由SMS2执行用来对此登记帐存放单元8进行访问的隐藏的特定的手续之后，具有从隐藏区读取数据用的隐藏区驱动单元7。
如图4C所示，MC13的构成包括不能从存放其识别信息MID用的外部改写也不能拷贝的结构形成的识别信息存放单元13b，隐藏区13c，公开区13a，以及每次访问隐藏区13c时由认证单元13d进行认证对方是合法时才打开入口使得可以对隐藏区13c进行访问的的开关(SW)13e。另外，在本实施形态中可以利用的MC13有3种，如图4C所示，将兼备识别信息MID和隐藏区两者的MC13称为“二级”。不具有隐藏区但具有识别信息MID的如图4B所示的MC13称为“一级”。既不具有隐藏区也不具有识别信息MID的如图4A所示的MC13称为“零级”。这些类别，比如，通过有无识别信息MID可判别零级和非零级，并且由识别信息MID的构成可判别一级和二级。比如，识别信息是连续数值，超过一定值时是二级。
下面，只要不特意间断，都是以二级MC13的场合为例进行说明。
此MC13，有设置于连接到LCM1的PD12中场合及直接设置于LCM1中的场合。
图3为示出记录再生装置(PD)12的构成例的框图，MC13与媒体界面(I/F单元)12f连接。在LCM1通过PD12读写MC13的场合，通过PD12内的隐藏区访问单元访问MC13的隐藏区。在媒体界面(I/F单元)12f中具有用于访问MC13的隐藏区的隐藏区访问单元。PD12内的隐藏区，也可设置于闪存12d中。ROM12c中写入用于与MC13之间进行相互认证的程序以及用于判别MC13的类别的程序，依照此程序，在CPU12a的控制下，执行与MC13之间的相互认证，类别判别等处理。
图5为示出LCM1的媒体(MC)界面(I/F)单元6的构成例的框图，其构成包括用于与MC13进行相互认证的认证单元6c，判别MC13的类别的媒体判别单元6b以及控制全体这些用的控制单元6a。认证单元6c是用于访问MC13的隐藏区的隐藏区访问单元。
其次，对存放在LCM1的隐藏区中的登记帐予以说明。
保存在SMS2中的所有的音乐内容保持有作为用于识别其每一个的识别信息的内容ID(TID)，预先确定的可以复制内容数，即子代余数，及检出列表的属性信息。此属性信息称为登记帐。登记帐以图7所示的形态存储于设置于隐藏区内的登记帐存放单元8中。
在图7A中，比如，作为内容ID“TID1”的子代余数为“2”时，其检出列表为L1。
检出列表是记录复制内容(子代)的MC13的识别信息的列表，比如，在图7A中，可以看到对检出列表L1中具有“m1”和“m2”这样的识别信息的2个MC13作为内容ID“TID1”的内容的子代检出。
(利用二级MC的复制内容的检入/检出)下面，参考图9～图11对利用如图4C所示构成的二级MC13的检入/检出予以说明。
如MC13是设置成与LCM1的媒体(MC)界面(I/F)单元6或PD12连接，则在媒体(MC)界面(I/F)单元6和MC13之间，或是在PD12和MC13之间进行相互认证(图9步骤S1)，在双方判断对方合法时(步骤上述2)，媒体(MC)界面(I/F)单元6或PD12根据从MC13读取的识别信息MID判别MC13的类别(步骤3)。此处，因为MC13的类别是二级，媒体(MC)界面(I/F)单元6或PD12就执行与其类别相应的检入/检出处理。
下面参考图10对检出的指示通过用户界面(I/F)单元15，或是通过PD12，成为SMS2的场合予以说明。SMS2检查有登记帐检出要求的内容(比如设内容ID为“TID1”)的子代的余数n(步骤S101)，在n＞0时，有必要时，进行与MC13之间的相互认证(步骤S102)，如相互确认合法，接着就请求从MC13转送其识别信息MID(比如设MID＝m0)(步骤S103)。
在SMS2中生成随机数r，利用生成此随机数r，MC13的识别信息m0，及合法的MC13和LCM1之间的共有的密钥的算法W生成加密密钥w。另外，密钥生成算法W取两个变量(此处为r和m0)，实现使加密密钥w每次发生变化的作用。此外，在SMS2中，将用于使密码化的内容解码的脱密密钥K(C)利用在MC13同LCM1之间共有的加密密钥Kp以及先前生成的加密密钥w进行加密，并将其表示为w[Kp[k(C)]]。另外，将内容C以密钥K(C)加密，并将其表示为K(C)[C](步骤S104)。
SMS2，如在MC13的存储区中生成，比如，名称为“TIDI”的文件夹(步骤S105)，则将加密内容K(C)[C]和加密内容脱密密钥w[Kp[k(C)]]写入该文件夹的公开区内(步骤S106，步骤S107)。
其次，SMS2，如应该访问MC13的隐藏区13c，要与MC13之间相互认证，确认双方合法而利用开关(SW)13e打开通到隐藏区13c的入口，将随机数r写入与隐藏区13c内的文件夹“TID1”对应的区域中(步骤S108～S109)。如到此结束，则利用开关(SW)13e将可能访问隐藏区13c的入口关闭。另外，在步骤S108中，对转送随机数r到隐藏区13c的路径最好也像对对随机数r进行加密一样进行转送保护。
最后，SMS2，如图7B所示，从具有登记帐的检出要求的内容ID“TID1”的内容子代的余数n减“1”，并在检出列表L1中添加该MC13的识别信息“m0”(步骤S110)。
以上处理结束时的MC13的存储内容如图6所示。
下面对检入的指示通过LCM1的用户界面(I/F)单元15，或通过PD12成为SMS2的场合参考图11予以说明。
SMS2，有必要时，进行与MC13之间的相互认证(步骤S201)，如相互确认合法，接着就请求从MC13转送其识别信息MID(比如设MID＝m0)(步骤S202)。
SMS2从有检入要求的内容(比如设内容ID为“TID1”)的登记帐，在该检出列表中该MC13的识别信息，即，此处登录的“m0”的时候，产生随机数r1和随机数r2(步骤S203)。于是，将与MC13的公开区13a的该内容的文件夹(此处为文件夹“TID1”)对应的区域中存储的信息利用随机数r2重写而消去(步骤S204)，另外，SMS2，如应该访问MC13的隐藏区13c，要与MC13之间相互认证，确认双方合法而利用开关(SW)13e打开通到隐藏区13c的入口，则通过将随机数r1重写于与隐藏区13c内的文件夹“TID1”对应的区域中而消去(步骤S205)。如到此结束，则利用开关(SW)13e将可能访问隐藏区13c的入口关闭。另外，在步骤S205中，对转送随机数r1到隐藏区13c的路径最好也像对对随机数r1进行加密一样进行转送保护。
之后，在SMS2中，应确认重写消去，要求从MC13转送重写后的各区的数值(步骤S206)，检查该数与r1、r2是否一致(步骤S207)。如确认重写消去，则从MC13中消去文件夹“TID1”(步骤S208)。
最后，如图7C所示，将具有登记帐的检入要求的内容ID“TID1”的内容子代的余数n加“1”，并从检出列表L1中删除该MC13的识别信息“m0”(步骤S209)。
记录于MC13内的隐藏区13c中的随机数r(因为不能确认认证的合法性)不能保存到另外的存储媒体中。因此，在所谓“TID1”的内容检入之后，不能利用返回MC13的内容。另外，存储于LCM1内的隐藏区中的登记帐(因为不能确认认证的合法性)也不能保存到另外的存储媒体中。因此，在所谓“TID1”的内容检出之后，不能使登记帐返回到检出前的状态。这样，本发明可以提供对前述的攻击的对策。
另外，在检入之际，在MC13的隐藏区的内容上以随机数重写这一点在安全上是重要的。可以在MC13的隐藏区上重写的是只有正统的SMS2，反之，正统的SMS2必定可以利用隐藏的手续写入隐藏区。通过以隐藏的手续成功的写入可保证MC13的正统性。即可以防止不合法的检入。为增加安全性，SMS2在隐藏区上以任意的随机数重写之后，应(利用隐藏手续)读出其内容，确认重写的随机数。
(登记帐的复制内容的其他管理方法)另外，SMS2也可对在登记帐上没有的标题(内容ID)的内容进行检入。还有，也可容许从在检出列表上没有的MC13检入。在此场合，登记帐不保持对各内容的检出列表。因为检出列表是为防止从“问心无愧”的MC13检入的参考之故。在此场合的登记帐的存储内容如图8A所示。
如图8A所示，在各内容的登记帐中仅仅登录有该内容ID和子代的余数。
下面考虑将具有称为TID7的内容ID的内容从具有识别信息MID＝m0的MC13检入的场合。即在该MC13中，现在，以图6所示的形态存储有从另外的SMS2检出的内容ID“TID7”的内容。
LCM1，在图11所示的手续中，在不参考步骤S203的检出列表的情况下将MC13内的隐藏区，公开区的存储内容消去的同时，将文件夹“TID7”删除。于是，在登记帐中登录新的内容的登记帐(TID7、1)。
LCM1通过检入在登记帐中没有的内容可以进行，比如，如下的事情。由自家的PC构成的LCM1存放的“父代”内容可保持两个“子代”。如从自家的PC向MC13检出一个“子代”，可向朋友家的PC检入。自己购买的“父代”生成“子代”的数目减1，而将内容赠送给朋友。
这样，假如LCM1可以检入在登记帐中没有的内容，“子代”的内容就可以通过LCM1“移动”。这对于用户是很方便的功能，也可成为半新不旧的市场成立的原因。实际上，下面这种半新不旧的内容的买卖是成立的。即用户此EMD购入新生产的内容，在保持短时期之后，将该内容检入到半新不旧的数据商店的LCM1中。此时，该用户接受报酬。半新不旧数据商店可以以比EMD的正规价格便宜的价格将数据出售给另外的希望购买的人。
这样，不能控制内容的著作权的“半新不旧市场”的成立对著作权所有人来讲是不希望的。所以，著作权所有人也最好是通过在各内容中保持检出属性标志f以便可以控制向不同的LCM1的检入。
在此场合的LCM1具有的登记帐的形式如图18A所示。
如图18A所示，在各内容的登记帐中，登录有该内容的ID，子代的余数，检出列表及检出属性标志f。
在标志f为“1”时，该内容可向其他的LCM1检出、检入，而在检出属性标志f为“0”时，该内容至少不能向其他的LCM1中检入。
比如，考虑内容ID“TID6”这样一种内容的检出的场合。首先，SMS2调查登记帐，确认该内容的检出属性标志为“1”。此处，在此值为“0”时，对该LCM1该内容不能检出。在标志f为“1”时，利用如图10所示的步骤，从内容ID“TID6”的登记帐的子代余数减去“1”而成为“1”(参考图18B)。顺便指出，检出列表L6为空(以φ表示)，并且标志f为“1”，因为该内容可向设置于其他PC上的LCM1检入，不需要保持检出列表。另外，标志f是在MC13的隐藏区中与随机数r一起记录。
其次，参考图19所示的流程图对于将内容ID“TID6”这样一种内容向与检出的LCM1相同的LCM1或另外的LCM1检入的场合予以说明。
在图11所示的步骤中，MC13和LCM1之间进行相互认证(步骤S11)，取得MC13的识别信息MID(步骤S12)。
SMS2，不管有检入要求的内容是否登录在登记帐上，对MC13的隐藏区执行前述的隐藏手续(进行与MC13之间的相互认证，确认双方的合法性而利用开关(SW)13e打开通到隐藏区13c的入口)，从隐藏区13c读出标志f(步骤S13)。在标志f为“1”时(步骤S14)，执行图11的步骤S204～步骤S208(步骤S15～16)，在标志f为“0”时处理结束。于是，最后，当在登记帐上未登录该内容时，将该内容的子代余数定为“1”的“TID6”登录到新的登记帐上(TID6、1、φ、1)，当将该内容登录到登记帐上时，该内容的子代余数增加“1”(步骤S17)。
(利用二级MC的复制内容的再生)下面，参考图12对利用如图4C所示的存储于构成的二级MC13中的复制内容的再生予以说明。
如MC13是设置成与PD12连接，则PD12将请求从MC13转送其识别信息MID(比如设MID＝m0)(步骤S301)。此时根据识别信息MID判别MC13的类别，可判别出类别是二级。此时，PD12，在从MC13的公开区读出w[Kp[k(C)]]的同时(步骤S302)，如应该访问MC13的隐藏区13c，要与MC13之间相互认证，确认双方合法而利用开关(SW)13e打开通到隐藏区13c的入口，从与隐藏区13c内的文件夹“TID1”对应的区域中将随机数r读出(步骤S303)。如到此结束，则利用开关(SW)13e将可能访问隐藏区13c的入口关闭。
PD12，利用生成随机数r，MC13的识别信息m0，及合法的MC13和PD12之间的共有的密钥的算法W生成加密密钥w。由加密密钥w，在MC13同LCM1之间共有的加密密钥Kp以及从MC13读出的w[Kp[k(C)]]对用于内容脱密的脱密密钥K(C)脱密(步骤S304)。
于是，PD12就可将从MC13的公开区的加密内容K(C)[C]读出(步骤S305)，利用脱密单元12g对内容C脱密，利用解码器12h解码，利用D/A变换单元将数字信号变换为模拟信号而使音乐再生(步骤S306)。
(利用一级MC的复制内容的检入/检出、复制内容的再生)
下面，参考图9、图13对利用如图4B所示的构成的一级MC13的检入/检出予以说明。另外，因为一级MC13没有隐藏区，所以不能进行检入。
从MC13设置成与LCM1的媒体(MC)界面(I/F)单元6或PD12连接直到判别MC13的类别与图9相同。
此处，因为MC13的类别是一级，媒体(MC)界面(I/F)单元6或PD12就执行与其类别相应的检入/检出处理(步骤S5)。
在检入的指示通过LCM1的用户界面(I/F)单元15或通过PD12成为SMS2的场合，因为判别MC13的类别是一级，对该指示拒绝。
在检出的指示通过LCM1的用户界面(I/F)单元15或通过PD12成为SMS2的场合，参考图13予以说明。
SMS2检查有登记帐检出要求的内容(比如设内容ID为“TID1”)的子代的余数n(步骤S401)，在n＞0时，有必要时，进行与MC13之间的相互认证(步骤S402)，如相互确认合法，接着就请求从MC13转送其识别信息MID(比如设MID＝m0)(步骤S103)。
SMS2，与二级的场合相同，生成随机数r，生成加密密钥w，利用w及Kp对内容密钥进行加密而对内容C加密(步骤S404)，在MC13的存储区(此处仅为公开区)生成，比如名字为“TID1”的文件夹(步骤S405)。于是，将加密内容K(C)[C]和加密内容脱密密钥w[Kp[k(C)]]及随机数r写入(步骤S406～步骤S408)。
最后，SMS2，如图7B所示，从具有登记帐的检出要求的内容ID“TID1”的内容子代的余数n减“1”，并在检出列表L1中添加该MC13的识别信息“m0”(步骤S409)。
下面，参考图14对利用一级MC13中的复制内容的再生予以说明。
如MC13是设置成与PD12连接，则PD12将请求从MC13转送其识别信息MID(比如设MID＝m0)(步骤S501)。此时根据识别信息MID判别MC13的类别，可判别出类别是一级。此时，PD12，从该MC13的存储区(只是公开区)读出w[Kp[k(C)]]和随机数r(步骤S502～步骤S503)，利用随机数r，MC13的识别信息m0，及合法的MC13和PD12之间的共有的密钥的算法W生成加密密钥w。由加密密钥w，在MC13同LCM1之间共有的加密密钥Kp以及从MC13读出的w[Kp[k(C)]]对用于内容脱密的脱密密钥K(C)脱密(步骤S504)。
于是，PD12就可将从MC13的存储区(只是公开区)的加密内容K(C)[C]读出(步骤S505)，利用脱密单元12g对内容C脱密，利用解码器12h解码，利用D/A变换单元将数字信号变换为模拟信号而使音乐再生(步骤S506)。
(利用零级MC的复制内容的检入/检出、复制内容的再生)下面，参考图9、图15～图16对利用如图4A所示的构成的零级MC13的检入/检出予以说明。
零级的MC13只能利用PD12进行检入/检出及再生。另外，由于没有识别信息MID，所以在检入/检出中使用PD12的识别信息PID代替。
从MC13设置成与PD12连接直到判别MC13的类别与图9相同。此处，因为MC13的类别是零级，PD12就执行与其类别相应的检入/检出处理(步骤S4)。
在检出的指示通过PD12成为SMS2的场合，参考图15予以说明。
SMS2检查有登记帐检出要求的内容(比如设内容ID为“TID1”)的子代的余数n(步骤S601)，在n＞0时，有必要时，进行与PD12之间的相互认证(步骤S602)，如相互确认合法，接着就请求从PD12转送其识别信息PID(步骤S603)。
SMS2，与二级的场合相同，生成随机数r，生成加密密钥w，利用w及Kp对内容密钥进行加密而对内容C加密(步骤S604)。不过，此处密钥生成算法W所取的2个变量是r和PID。
其次，在MC13的存储区(此处仅为公开区)生成，比如名字为“TID1”的文件夹(步骤S605)。于是，将加密内容K(C)[C]和加密内容脱密密钥w[Kp[k(C)]]及随机数r写入(步骤S606～步骤S607)。随机数r写入PD12的隐藏区(步骤S608)。在步骤S608中，对转送随机数r到PD12的隐藏区的路径最好也像对对随机数r进行加密一样进行转送保护。
最后，SMS2，如图7B所示，从具有登记帐的检出要求的内容ID“TID1”的内容子代的余数n减“1”，并在检出列表L1中添加该PD12的识别信息“PID”(步骤S609)。
下面对检入的指示通过PD12成为SMS2的场合参考图16予以说明。
SMS2，进行与PD12之间的相互认证(步骤S701)，如相互确认合法，接着就请求从PD12转送其识别信息PID(步骤S702)。
SMS2从有检入要求的内容(比如设内容ID为“TID1”)的登记帐，在该检出列表中该PD12的识别信息“PID”登录的时候，产生随机数r1和随机数r2(步骤S703)。于是，将与MC13的公开区13a的该内容的文件夹(此处为文件夹“TID1”)对应的区域中存储的信息利用随机数r2重写而消去(步骤S704)，另外，SMS2，如应该访问PD12的隐藏区，要与PD12之间相互认证，确认双方合法而打开通到隐藏区的入口，则通过将随机数r1重写于与隐藏区13c内的文件夹“TID1”对应的区域中而消去(步骤S705)。如到此结束，则将可能访问隐藏区的入口关闭。另外，在步骤S705中，对转送随机数r1到隐藏区的路径最好也像对对随机数r1进行加密一样进行转送保护。
之后，在SMS2中，应确认重写消去，要求从MC13转送重写后的各区的数值，另外，此PD12的隐藏区也执行上述的预定手续，读出该区域重写后的值(步骤S706)，检查该数与r1、r2是否一致(步骤S707)。如确认重写消去，则从MC13中消去文件夹“TID1”(步骤S708)。
最后，如图7C所示，将具有登记帐的检入要求的内容ID“TID1”的内容子代的余数n加“1”，并从检出列表L1中删除该PD12的识别信息“PID”(步骤S709)。
下面，参考图17对利用零级MC13中存储的复制内容的再生予以说明。如MC13是设置成与PD12连接，则PD12将请求从MC13转送其识别信息MID，因为MC13没有识别信息，上移PD12可判别出该MC13的类别是零级。此时，PD12，从该MC13的存储区(只是公开区)读出w[Kp[k(C)]](步骤S801)，利用PD12本身的识别信息“PID”，存放于其隐藏区中的随机数r及密钥的算法W生成加密密钥w。于是，由加密密钥w，加密密钥Kp以及从MC13读出的w[Kp[k(C)]]对内容脱密密钥K(C)脱密(步骤S802)。
PD12就可将从MC13的存储区(只是公开区)的加密内容K(C)[C]读出(步骤S803)，利用脱密单元12g对内容C脱密，利用解码器12h解码，利用D/A变换单元将数字信号变换为模拟信号而使音乐再生(步骤S804)。
(用来限制通过网络向MC进行记录的复制内容的装置)为了解决本发明的第二个目的的问题，即为了限制经过网络将内容记录到MC13，在本发明中，如图1所示，设置超时判定单元4。
在超时判定单元4中，对MC13的读写(任何一方或两方)步骤设定一定的限制时间，如处理在限制时间以内未结束处理就中断。由于通过网络的通信通常比直接连接的机器的通信需要长得多的时间，利用超时功能，可对抗通过网络的非法拷贝。另外，也可以利用频带限制。假定与机器的通信频带在一定以上，可计算出机器在转送某一种大小的数据所需时间的上限。时期的转送时间超过上述时间时则处理中断。
参考图22所示的超时判定单元4的构成和图23所示的流程图再进行稍微具体的叙述。预先设定超时的时间为t，比如LCM1和PD12之间的通信频带宽为b。比如，以与设置成与PD12连接的MC13之间的检入的场合为例对超时判定单元4的处理动作进行说明。
首先，在用于与设置成与PD12连接的MC13之间的检入的步骤中的某一读写处理动作开始的同时，由SMS2通过判定开始信号输入单元102输入判定开始信号(步骤S20)，与此同时由SMS2将与PD12之间交换的数据包的大小s输入到数据大小输入单元101(步骤S21)，控制单元105通过时刻取得单元106从计时器107取得现在的时刻T(步骤S22)。与此同时，从带宽存放单元108取得带宽b(步骤S23)，计算出结束预定时刻T’(步骤S24)，存放于最终预定时刻存放单元111(步骤S25)。
结束预定时刻T’可由带宽b和数据大小s从T’＝T+s/b计算而得出。
在与设置成与PD12连接的MC13之间的读写处理动作结束的同时，由SMS2通过判定结束信号输入单元103输入判定结束信号(步骤S26)，再一次取得现在的时刻T(步骤S27)，将前面计算出的结束预定时刻T’与现在时刻T进行比较(步骤S28)。在该差值超过超时时间之时，判定“NG”并将其通知SMS2(步骤S30)。另外，如图21所示，假如与PD12进行检出的位于PC#1中的LCM1与通过网络连接的另外一个PC#2相连接，则因为得到“NG”的判定结果，所以PC#1中的LCM1中其以后的检出处理中断。
或是，也可以在即使经过结束预定时刻T’该读写动作也未结束时使判定结果为“NG”。
或是，超时判定单元4以两种模式动作。一种是在向数据大小输入单元101输入数据大小s时，超时判定单元4计算出结束预定时刻T’＝T+s/b并存放到最终预定时刻存放单元111中。如超时判定单元4接收到判定结束信号，就将现在时刻T与最终预定时刻存放单元111存放的结束预定时刻T’进行比较。前者比后者小的场合，超时判定单元4将判定结果OK通知SMS2。其他情况下则通知SMS2判定结果为“NG”。
另一种模式的动作是在判定开始信号输入到判定开始信号输入单元102的场合，超时判定单元4将现在时刻T+超时时间t存放于最终预定时刻存放单元111中。超时判定的动作与另一模式的场合相同。
(隐藏区)在本发明的LCM1中，为了存放检入/检出用的登记帐，利用隐藏区。在以PC构成LCM1的场合，此隐藏区在硬盘(HDD)上生成。
下面对于在HDD上生成隐藏区予以说明。
在HDD上，通常存在分区。OS把分区看成为一个驱动器。各分区内存在多个扇区，数据记录在扇区上。扇区内的数据配置称为逻辑格式。文件系统通常具有文件分配表。文件分配表中记录各文件及目录在扇区上的位置。OS参考文件分配表取得访问对象文件的位置，到达对象文件。扇区的物理配置称为物理格式。各分区可具有不同的物理格式。扇区的位置由磁头的位置识别。各扇区的开始位置利用磁性标记识别。
对OS支持的文件系统，OS保持有驱动器。驱动器认识该文件系统的物理格式计逻辑格式，沿着分区内的扇区可到达文件分配表及各文件对其内容进行读写。
构成本发明的隐藏区的文件系统如图24所示。在通常的文件系统中扇区是等距配置，本文件系统则不是。在第一扇区SC1的前头有扇区分配表。扇区分配表以下面的形式记录扇区的位置。
磁头位置#2、磁头位置#3、...、磁头位置#n顺序地示出第二扇区SC2、第三扇区SC3、...、第n扇区SCn的位置。
扇区分配表加密。此加密的脱密密钥依赖系统的固有ID。作为系统的固有ID，比如，可使用OS的ID，BIOS的ID或CPU的ID。
联网，在第二扇区SC2的前头存在有文件分配表FT。其形式如下。
(文件1、(扇区号、扇区内的位置))、(文件2、(扇区号、扇区内的位置))、
扇区内的位置是从扇区前头算起的字节数。文件分配表FT也加密。其密钥也依赖系统固有的ID。
本发明的文件系统的访问是利用特别的驱动单元(图1的隐藏区驱动单元7)进行。隐藏区驱动单元7的动作如图25所示。该驱动单元7还具有变更扇区配置的功能。在扇区更新时的隐藏区驱动单元7的动作如图26所示。
(认证)在以上的说明中，比如，在设置LCM1与MC13之际的相互认证及访问隐藏区之际的进行的认证处理举一例进行说明。此例是现在的一直使用的利用公开密钥加密方式的认证，但本发明不限于此。
在图20中，说明两台机器(比如LCM1和MC13)之间从A向访问A的机器的B进行认证的场合。
在此场合，机器A保有公开密钥kp，如可访问机器A，机器B保有与公开密钥对应的保密密钥ks。如机器B接收到机器A生成的随机数R，就将其利用保密密钥ks加密(以ks[R]表示)并将ks[R]返回机器A。机器A利用公开密钥对ks[R]解码，如解码的结果与先前生成的随机数R相等就可判定机器B合法。
其后，以与上述相同的方式机器B可对机器A进行认证而进行相互认证。在此场合，机器B保有公开密钥，机器A保有保密密钥，机器A将机器B生成的随机数以保密密钥加密并由机器B利用公开密钥解码，确定是否与先前生成的随机数相等而认证。
如以上所详述，根据本发明，可有效地限制复制内容数而保护内容的著作权。
权利要求
1.一种用于限制可存储于存储媒体(13)上的复制内容数的内容管理方法，其构成包括对所述每个内容赋予一个预定的可以复制的内容数(n)；如接到向所述存储媒体(13)的复制记录指示，在所述可以复制内容数(n)还有余数时，就向该存储媒体(13)记录所述复制内容(S106)；在所述记录之际，每向所述存储媒体(13)记录一个复制内容，就从所述可以复制内容数(n)的余数中减去1(S110)；并且如接到消去所述存储媒体(13)的所述复制内容的指示，就每当从该存储媒体(13)上消去一个该复制内容，就将所述可以复制内容数(n)加1(S209)。
2.如权利要求1的方法，其构成还包括在设置在所述存储媒体(13)的存储区的可以以隐藏的特定手续访问的隐藏区中记录用于再生所述复制内容的必需信息。
3.如权利要求1的方法，其构成还包括将每个所述内容的至少所述可以复制内容数(n)记录在可以以隐藏的特定手续访问的隐藏存储区(8)中。
4.如权利要求1的方法，其构成还包括将每个所述内容的至少所述可以复制内容数(n)和存储复制内容的存储媒体(13)的识别信息(MID)存储在可以以隐藏的特定手续访问的隐藏存储区(8)中；以及只有在所述隐藏存储区(8)中存储所述存储媒体(13)的识别信息(MID)时才从该存储媒体(13)消去所述复制内容。
5.如权利要求1的方法，其构成还包括在将所述复制内容记录于所述存储媒体(13)之际，在设置在该存储媒体(13)的存储区的可以以隐藏的特定手续访问的隐藏区中记录为再生所述复制内容而必需的信息及表示是否可以移动该复制内容的标志信息(f)；以及参考所述标志信息(f)判断是否可以移动所述复制内容。
6.如权利要求1的方法，其构成还包括在对所述存储媒体(13)进行数据读出或数据写入处理所需的时间不在预定时间以内时中断以后的处理。
7.如权利要求1的方法，其中作为所述存储媒体(13)，在其存储区内，在设置只有以隐藏的特定手续可以访问的隐藏区的同时，也可以包含存储所述存储媒体(13)的识别信息(MID)的第一类存储媒体，和没有所述隐藏区但具有该存储媒体的识别信息(MID)的第二类存储媒体，以及不具有所述隐藏区及该存储媒体的识别信息(MID)的第三类存储媒体。
8.如权利要求7的方法，其中在所述存储媒体(13)上记录复制内容之际及从该存储媒体(13)上消去复制内容之际以及再生存储于该存储媒体(13)上的复制内容之际，在判别该存储媒体(13)的类别之后进行与其相应的处理。
9.一种用来规定可存储于存储媒体(13)上的复制内容数的内容管理装置，其构成包括对所述每个内容赋予一个预定的可以复制的内容数(n)，如接到向所述存储媒体(13)的复制记录指示，在所述可以复制内容数(n)还有余数时，就向该存储媒体(13)记录所述复制内容，此际，每向所述存储媒体(13)记录一个复制内容，就从所述可以复制内容数(n)中减去1的复制内容记录装置(2)；以及如接到消去所述存储媒体(13)的所述复制内容的指示，就每当从该存储媒体(13)上消去一个该复制内容，就将所述可以复制内容数(n)加1的复制内容移动装置(2)。
10.如权利要求9的装置，其构成还包括在设置在所述存储媒体(13)的存储区的可以以隐藏的特定手续访问的隐藏区中记录用于再生所述复制内容的必需信息的装置。
11.如权利要求9的装置，其构成还包括将每个所述内容的至少所述可以复制内容数(n)记录在可以以隐藏的特定手续访问的隐藏存储区(8)中的装置。
12.如权利要求9的装置，其构成还包括将每个所述内容的至少所述可以复制内容数(n)和存储复制内容的存储媒体(13)的识别信息(MID)存储在可以以隐藏的特定手续访问的隐藏存储区(8)中；以及只有在所述隐藏存储区中存储所述存储媒体(13)的识别信息(MID)时才从该存储媒体(13)消去所述复制内容的装置。
13.如权利要求9的装置，其构成还包括在设置在该存储媒体(13)的存储区的可以以隐藏的特定手续访问的隐藏区中记录为再生所述复制内容而必需的信息及表示是否可以移动该复制内容的标志信息(f)的装置；以及参考所述标志信息(f)判断是否可以移动所述复制内容的装置。
14.如权利要求9的装置，其构成还包括在对所述存储媒体(13)进行数据读出或数据写入处理所需的时间不在预定时间以内时中断后序处理的装置。
15.如权利要求9的装置，其构成还包括在所述存储媒体(13)上记录复制内容之际及从该存储媒体(13)上消去复制内容之际以及再生存储于该存储媒体(13)上的复制内容之际，所述存储媒体(13)具有判别存储媒体(13)是在其存储区内在设置只有以隐藏的特定手续可以访问的隐藏区的同时也包含存储所述存储媒体(13)的识别信息(MID)的第一类存储媒体，和没有所述隐藏区但具有该存储媒体(13)的识别信息(MID)的第二类存储媒体，以及不具有所述隐藏区及该存储媒体(13)的识别信息(MID)的第三类存储媒体之中的哪一种的判别装置。
16.如权利要求15的装置，其构成还包括根据所述判别装置判别的该存储媒体(13)的类别进行与其类别相应的处理的装置。
全文摘要
规定可在存储媒体上存储的复制内容数的内容管理方法,SMS(2)对上述每个内容赋予预定的可以复制内容数,如接到向存储媒体的复制记录指示,在可以复制内容数还有余数时,就向该存储媒体记录复制内容,每向上述存储媒体记录一个复制内容,就从上述可以复制内容数中减去1,如接到消去存储媒体的复制内容的指示,就每当从该存储媒体上消去一个复制内容,就将可以复制内容数加1。
文档编号H04L9/00GK1272648SQ00105338
公开日2000年11月8日 申请日期2000年3月31日 优先权日1999年4月30日
发明者上林达, 田村正文, 加藤拓, 石桥泰博, 山田尚志, 东间秀之 申请人:株式会社东芝