分配装置、终端装置以及其中所用的程序和方法

专利名称：分配装置、终端装置以及其中所用的程序和方法
技术领域：
本发明涉及分配装置、终端装置和这些装置使用的程序和方法。具体讲，本发明涉及这样的改进在通过对内容使用施加限制以实现版权保护的同时，允许用户适当地使用内容。
背景技术：
近年来，工业界正密切注意通过分配装置提供的内容分配业务的发展。在内容分配业务领域，多个进入者之间的竞争有望进一步加强，成功的关键是掌握用户需求趋势并提供满足这些需求的内容分配业务。可以对近来的用户需求趋势可归结如下。在一个流行事物变化迅速的时代，多数用户想要查看或收听各种各样的内容。在查看或收听一次或两次各种内容之后，这些用户倾向于终止查看或收听他们不喜欢的那些内容，并继续多次查看或收听那些他们真正喜欢的内容。这些用户对他们喜欢的内容似乎很讲究。
然而，传统的分配装置设计成通过网络分配内容，以出售内容。这种分配既没有满足上述查看或收听各种各样内容的用户需求，也没有考虑这一事实每种内容被查看或收听的次数是不同的。此外，这种设计来出售内容的传统分配装置已经建立起这样的价格体系为所有内容设定统一的价格，而不管它们的查看或收听频率。想要查看或收听各种内容的用户有可能对这种系统不满该系统要求他们为仅查看或收听了几次的内容支付的费用与为查看或收听了多次的内容所支付的费用相同。如上所述，通过传统分配装置提供的内容分配业务难以满足用户查看或收听各种各样内容的需求。
发明公开因此，本发明的目的是提供这样的分配装置，它可以增加那些想要查看或收听各种各样内容的用户的用户满意度。
上述目的可以通过一种分配装置实现，这种分配装置包括存储单元，用于存储许可信息；发送单元，可用于读取部分许可信息，将读取部分连同数字内容发送给用户并更新许可信息，使之成为剩余部分，所述剩余部分是不包括读取部分的许可信息；增加单元，可用于(a)当从用户返回减少了的部分时，接收该减少了的部分，所述减少了的部分是根据数字内容的使用情况减少了的发送部分，以及(b)通过更新许可信息基于所接收的部分增加剩余部分。
根据本发明，分配装置管理与内容使用正好相关的许可信息，即使在已经分配内容之后。而且，当已根据内容使用情况减少了的许可信息减少部分从用户返回时，增加单元根据返回的减少了的部分增加许可信息。这时，涉及较少使用的、用户在查看该内容一次或两次之后停止查看的已发送内容的许可信息增加得更多。
因为许可信息的增加程度随内容的利用率而变化，就可以消除常用内容和不常用内容之间的不公平性，从而增加用户满意度。
这样，当用户请求另一数字内容时，发送单元可以读增加单元更新了的许可信息的另一部分，并将读取的另一部分连同其它数字内容发送给用户。
借助这种结构，根据返回部分增加的许可信息可以重新分配给不同的数字内容。这就允许建立新的价格体系，其中，在支付为某个组分配的许可信息的固定价格之后，部分许可信息可以免费地分配给隶属于该组的内容。这种新价格体系可以满足用户查看或收听各种内容的需求。
这时，存储单元存储的许可信息可为总的可用次数“s”，“s”是满足“s≥2”的整数，读取部分可以是数字内容的可用次数“t”，“t”是满足“t≤s”的整数，并且在已经发送数字内容和读取部分之后，由存储单元存储的许可信息可以更新成剩余可用次数“s-t”。
而且，减少了的部分可以是可用次数“u”，“u”是满足“u＜t”的整数，并且增加单元可以将剩余可用次数“s-t”增加为剩余可用次数“s-t+u”。
而且，发送单元可以读可用次数“ν”，并将读取的可用次数“ν”连同其它数字内容一起发送，“ν”是来自剩余可用次数“s-t+u”的已更新许可信息的其它部分，而且它是满足“ν≤s-t+u”的整数。
借助这种结构，分配给内容的可用次数的剩余可用次数“u”可以加到分配服务器的可用次数“s-t”中，并且可以根据已增加的可用次数“s-t+u”确定将要分配给不同内容的可用次数“ν”。因此，当希望查看或收听各种内容的用户在查看或收听某种内容一次或两次之后不再想查看或收听它时，他或她可以将剩余计数重新分配给不同的内容。其结果是，可分配给不同内容的可用次数进一步增加了。
这里，分配装置还可包括第一接收单元，可从用户接收媒体独有信息，这种媒体独有信息是将要写入数字内容的记录媒体所独有的；第二接收单元，可从用户接收媒体独有信息，这种媒体独有信息是记录减少了的部分的记录媒体所独有的；以及判断单元，可用于判断第一接收单元接收的媒体独有信息和第二接收单元接收的媒体独有信息是否匹配，其中，仅当判断单元的判断结果是肯定的，增加单元才增加剩余部分以更新许可信息。
借助这种结构，仅当媒体独有信息的真实性经过验证，增加单元才增加许可信息。因此，向分配装置发送许可信息未经许可部分的恶意用户(如果有的话)就无法更新许可信息并赚取不合理利润。而且，因为不要求输入信息，例如用于验证真实性的口令，用户可以很容易地增加许可信息。
附图简要描述下面结合说明本发明具体实施例的附图，对本发明进行描述，由此，本发明的这些和其它目的、优点和特性将变得显而易见。在附图中，

图1显示涉及本发明的第一实施例的系统结构；图2显示一种在涉及本发明实施例的系统中分配的数字作品的内部结构；图3显示内容分配系统的结构；图4显示本发明第一实施例中LT的数据格式；图5显示便携式媒体3的内部结构；图6显示NetDRM终端装置2的内部结构；图7显示NetDRM客户程序8和安全I/O插件程序10的详细结构；图8显示分配装置1的内部结构；图9显示在用户签约接受业务之前权限管理信息数据库19的存储内容；图10A显示“NDRM_CONTENT”的示例；图10B显示“NDRM_CONTENTS_FOR_URC”的示例；图11显示已增加“NDRM_USER”和“NDRM_CLIENT”的权限管理信息数据库19的存储内容；图12A显示当用户“David Moor”、“Alice Liddell”和“JohnBrown”签约接受业务时所要生成的他们的ID信息；图12B显示分别具有用户id“AA00001”至“AA00003”的三个用户的“NDRM_CLIENT”组；图13显示在已购买数字作品之后权限管理数据库19的存储内容；图14显示分别具有用户id“AA00001”至“AA00004”的多个用户的“NDRM_URUS”组；
图15显示在已执行移出(Move-Out)操作之后权限管理数据库19的存储内容；图16显示分别具有用户标识符“AA00001”至“AA00003”的多个用户的“NDRM_MOVEOUT_BACKUP_LT”组；图17显示执行内容A的移出操作时系统的处理序列；图18A和18B显示如何使用已写入内容A的便携式媒体3；图19显示在执行内容A的移入操作时系统的处理序列；图20显示在执行内容B的移出操作时系统的处理序列；图21显示从UR-Us中可使用时间60分钟(状态sjl)减去并下载使用时间50分钟以及将使用时间50分钟连同内容A发送给便携式媒体3的操作；图22A和22B显示在再现内容A10分钟之后写入便携式媒体3中的使用时间如何减少到40分钟；图23显示减少了的使用时间40分钟如何上载到分配装置1并添加到分配装置1的UR-Us中；图24显示包括多个例如查看和打印的使用操作的使用条件的权限管理信息(UR-Us)的示例；图25显示包括多个LT标签块的LT的数据格式；图26A显示在删除使用条件之前的UR-Us；图26B显示在已删除使用条件之后的UR-Us和LT；图27显示包括音频的数字作品的P条件组的示例；图28显示多个例如查看和打印的使用操作可用时的示范情形；图29显示各使用操作的发送P条件的LT数据格式；图30A显示在删除使用条件之前的UR-Us；图30B显示在已删除使用条件之后的UR-Us和LT；图31显示其中已设置S条件的UR-Us的示例；图32显示在以同图17所示一样的方式执行内容的下载或移出操作时如何更新当前的使用次数；
图33显示在以同图19所示一样的方式执行内容的移入操作时如何更新当前的使用次数；图34A显示在删除使用条件之前的UR-Us；图34B显示在删除使用条件之后的UR-Us和LT；图35是显示涉及本发明第五实施例的LT发送单元24的操作过程的流程图；图36是显示移出控制单元14的操作过程的流程图；图37是显示安全I/O插件程序10中媒体写单元15的操作过程的流程图；图38是显示安全I/O插件程序10中媒体读单元17的操作过程的流程图；图39是显示在执行移入操作时NetDRM客户机程序8中移入控制单元16的操作过程的流程图；图40是显示在执行移入操作时移入更新单元26和验证单元27的操作过程的流程图；图41是显示在步骤S65执行的组合过程的流程图；图42是显示在步骤S66执行的UR-Us反映过程的流程图；图43显示本发明第六实施例中LT的数据格式；图44显示本发明第七实施例中用户拥有的多个NetDRM终端装置；图45显示涉及本发明第七实施例的移入控制单元16的操作过程的流程图；图46显示涉及本发明第八实施例的通过家庭网彼此连接的多个NetDRM终端装置；图47是显示定义成允许设置各种级别的移动接受的LT数据格式；图48是显示本发明第九实施例中移入控制单元16的操作过程的流程图；
图49显示分别经由不同路线提供的加密内容和LT；图50显示涉及本发明第11实施例的NetDRM终端装置2如何执行移出操作；以及图51显示SD存储卡100的物理层结构；实施本发明的最佳模式(第一实施例)作为与本发明有关的分配装置1和终端装置2的第一实施例，下文参照附图描述包括分配装置1和终端装置2的系统。
图1显示本发明第一实施例涉及的系统结构。该系统大致由分配装置1、NetDRM(网络数字权限管理)终端装置2、便携式媒体3和PD(便携式装置)4a、4b和4c构成。分配装置1存储数字作品并按照用户要求分配数字作品。NetDRM终端装置2是笔记本大小的个人计算机，它通过宽带因特网或移动电话网接收所分配的数字作品。NetDRM终端装置2将接收数字作品写入便携式媒体3中。PD 4a、4b和4c是可佩带装置，分别为腕套式、带式和头戴受话器式，它们可以再现写入便携式媒体3中的数字作品。该系统不仅允许如箭头uy1所示那样获得数字作品，而且允许将数字作品记录在便携式媒体3上，并如箭头uy2、uy3和uy4所示那样由这些用户所携带的可佩带PD 4a、4b和4c再现。这就使用户不受时间地点的约束享受再现的加密内容。
图1所示的系统具有如下三个权限管理特征。第一特征是针对多个内容的组而非各内容设置权限管理信息(等效于本发明公开中的“许可信息”)。第二特征是权限管理信息所表示的部分权限范围可以分配给组中的每个内容。第三特征是存在各种可用于这种权限范围分配的机会。具体讲，分配不仅在数字作品下载之前而且在下载之后都是可能的。
为了实现这三个特征，如图2所示那样构造数字作品。根据用户已签约接受的业务，为本实施例中分配的数字作品施加使用限制。图2显示在本实施例的系统中分配的数字作品的内部结构。如图2所示，数字作品由如下这些成分构成作为加密数字数据的加密内容、用于对加密内容解密的内容密匙、唯一识别数字作品的内容ID以及使用条件，即所分配的权限管理信息的权限范围部分。本实施例假定数字作品是音乐且其使用操作是再现(“播放”)。由于加密内容是音乐，图1显示的每个装置具有符合SDMI(安全原创数字音乐)的版权保护功能。
在第一实施例中，权限管理信息的权限范围用组中内容可用的总次数表示(随后称之为“可用使用次数”)。因此，第一实施例中的权限范围分配意味着免费分配权限管理信息所示的可用的使用次数。作为一个示例，当可用使用次数为10时，使用次数1至10可以免费分配给组中的各内容。
构成图1所示系统的各个装置如图3所示那样构造。图3显示内容分配系统的结构。
分配装置1包括与多个可由签约接受业务的用户接收的数字作品的加密内容(图中的内容A至F)以及用户的权限管理信息。分配装置1执行(i)向用户拥有的NetDRM终端装置2发送许可证(随后简称为“LT”)的处理，以及(ii)接收用户上载的LT的处理。这里，权限管理信息包括多个数字作品的可用使用次数(即图中的n)以及用于对这些加密内容解密的内容密匙A至F。由分配装置1发送的LT包括部分可用使用次数(即图中的k)和内容密匙(内容密匙A)。正如上述的第三特征所示，用户可以免费地选择从组中要下载的数字作品并免费地从可用使用次数中为选定的数字作品分配使用次数。
NetDRM终端装置2执行(i)将从分配装置1下载的加密内容，连同包括内容密匙和所分配的使用次数的LT写入便携式媒体3中的处理。NetDRM终端装置2还执行(ii)将包括内容密匙和使用次数的LT上载到分配装置1的处理。
便携式媒体3是诸如半导体存储器的记录媒体，其中要写入内容密匙、所分配的使用次数和加密内容。
PD 4a、4b和4c是小型便携式装置，用于再现写入到便携式媒体3中的数字作品。每再现数字作品一次，PD 4a、4b和4c就将记录在便携式媒体3上的所分配的使用次数减一。
该系统的重要性在于提供从NetDRM终端装置2向分配装置1上载LT的传输路径。从NetDRM终端装置2向分配装置1上载的LT表示剩余使用次数。因此，分配装置1可以将曾经分配给数字作品的剩余使用次数重新分配给不同的数字作品。具体讲，该系统不仅允许在下载数字作品时免费地将可用使用次数分配给数字作品，而且允许通过将剩余使用次数上载到分配装置1，从而将剩余使用次数重新分配给不同的数字作品。这就使得在数字作品下载前后都能将可用使用次数自由地分配给各数字作品。
下面描述LT的数据格式。具体讲，下面描述用作使用条件、内容ID和内容密匙的发送配置的LT。图4显示本发明第一实施例中LT的数据格式。
如图中所示，LT由LT标头、LT标签块、内容密匙和LT脚注构成。LT标头包括LT的标识符(LT标识符)、接受LT的系统版本号、LT的大小(LT大小)、内容ID、唯一识别分配装置1所管理的权限管理信息的权限管理信息ID以及内容密匙加密方法(即使用内容密匙的加密方法)。LT标签块包括使用条件(使用次数)和使用门限。包括在LT标签块中的使用次数是由分配装置1管理的可用使用次数的一部分，而使用门限表示可视为一次使用的最小使用时段。
LT脚注包括哈希值，哈希值是将LT标头、LT标签块和内容密匙级联起来，并将该级联数据输入哈希函数所获得的操作结果的一部分。哈希函数是单向函数，其特征在于只有输入值中的部分变化才会造成其所得值的较大差异。哈希函数的特征还在于哈希值利用输入值极难预测。在NetDRM终端装置2(或者分配装置1)接收LT时，写在LT脚注中的哈希值用于检测包括在LT标签块中的使用次数中的未授权改动(如果有的话)。
执行使用次数中未授权改动的检测如下所述。在接收LT时，NetDRM终端装置2或分配装置1将接收LT中的LT标头、LT标签块和内容密匙级联起来，并将级联数据输入哈希函数，以便获得哈希参考值(C_HASH-Ref值)。那么NetDRM终端装置2或分配装置1将(a)以这种方式获得的C_HASH-Ref值与(b)包括在LT脚注中的哈希值作比较。与分配装置1发送时的那些相同的LT标头、LT标签块和内容密匙意味着C_HASH_REF值与包括在LT脚注中的哈希值相同。当使用次数中存在未授权改动时，计算得到的C_HASH_REF值就与包括在LT脚注中的哈希值很不同。保存在LT脚注中的哈希值的目的是使接收LT的装置能够检测这种未授权的改动。
<便携式媒体3>
下面描述便携式媒体3的内部结构。图5显示便携式媒体3的内部结构。如该图所示，便携式媒体3包括仅可由授权装置访问的保护区域5和可由任何包括未授权装置的装置访问的用户区域6。便携式媒体3存储媒体ID和媒体类型，媒体ID是对便携式媒体3唯一的标识符，媒体类型表示便携式媒体3的类型(例如SD存储卡、存储条等等)。加密内容写到用户区域6中，而媒体内容ID、加密内容密匙和UR-M写入保护区域5中。加密内容密匙是已用媒体ID加密的内容密匙，它与媒体内容ID成对处理(加密内容密匙和媒体内容ID对显示为图中的TKE(标题密匙条目))。UR-M(媒体使用规则)表示使用条件。
<NetDRM终端装置2>
图6显示NetDRM终端装置2的内部结构。如该图所示，NetDRM终端装置2包括HD7、NetDRM客户程序8、浏览器9和安全I/O插件程序10。
HD(硬盘)7包括可由普通用户访问的用户区域7a和仅可由NetDRM客户程序8和安全I/O插件程序10访问的保护区域7b。
NetDRM客户程序8是这种程序，它配合分配装置1通过网络(NetDRM)管理数字作品。NetDRM客户程序8控制从分配装置1下载数字作品到NetDRM终端装置2以及将数字作品从NetDRM终端装置2上载到分配装置1。NetDRM客户程序8将下载LT写入保护区域7b，而下载数字作品中的加密内容写入用户区域7a中。NetDRM客户程序8由称之为客户程序ID的标识符唯一地识别。
浏览器9是使用户能够查看分配装置1操作的分配站点的应用程序。通过这种浏览器9，用户可以在签约接受分配业务时将他的或她的ID信息登记到分配装置1中，以便随后允许用户选择要下载或上载的数字作品。当选定要下载的数字作品时，向NetDRM客户程序8传递将要从其下载选定数字作品的站点的URL(统一资源定位)、选定数字作品的标识符以及其它信息，以便进行数字作品的下载。
安全I/O插件程序是插入计算机中允许访问便携式媒体3的程序。安全I/O插件程序10实现对存储在HD 7中的数字作品的再现，而且还实现在NetDRM终端装置2和便携式媒体3之间数字作品的“move(移动)”。本说明书所提到的“移动”指这种处理将已写入源记录媒体中的数据写到目标记录媒体中，并删除原本存在于源记录媒体中的数据。“移动”与“copy(拷贝)”的不同之处在于原来存在的数据被删除。这里，将数字作品写入便携式媒体3是通过本实施例中为防止不必要的数字作品复制目的“移动”操作实现的。由安全I/O插件程序10执行的“移动”操作可以分成两种类型。一种类型是将存储在HD 7中的数字作品写入到便携式媒体3中，并从HD 7中删除数字作品(这种处理随后称之为“Move-Out(移出)”)。另一种类型是在将记录在便携式媒体3中记录的UR-M转换成LT之后将其上载到分配装置1中，并且使便携式媒体3中的数字作品不可再现(这种处理随后称之为“Move-In(移入)”)。
下面更详细地描述以上所述部件中的NetDRM客户程序8和安全I/O插件程序10的内部结构。图7显示NetDRM客户程序8和安全I/O插件程序10的详细结构。如图所示，NetDRM客户程序8和安全I/O插件程序10包括Get-LT(获取LT)处理单元11、再现模块12、Put-LT(存放LT)处理单元13、移出控制单元14、媒体写单元15、移入控制单元16和媒体读单元17。
Get-LT处理单元11按用户请求执行“Get-LT”操作。“Get-LT”是从分配装置1获得数字作品和LT的处理。当请求Get-LT操作时，Get-LT处理单元11通过网络从分配装置1接收数字作品和LT，并利用接收LT的LT脚注中保存的哈希值验证LT的真实性。当LT的真实性得到验证，Get-LT处理单元11就将加密内容写入用户区域7a，而将LT写入保护区域7b。
再现模块12利用HD 7中保护区域7b存储的LT所包括的内容密匙对存储在用户区域7a中的加密内容解密，以便再现数字作品。这里，再现模块12还记住再现数字作品的时间段，并在该时间段超过使用门限时将使用次数减一。
Put-LT处理单元13在用户不再想使用NetDRM终端装置2上的数字作品时执行“Put-LT”操作。“Put-LT”是将包含于保护区域7b中的LT上载到分配装置1中，然后删除存储在保护区域7b中的LT的处理。Put-LT操作的完成导致数字作品对用户不可用。之后，Put-LT处理单元13将LT上载到分配装置1，并等待将该LT表示的剩余使用次数反映到权限管理信息数据库19中。当从分配装置1收到正常处理结束的通知，Put-LT处理单元13就结束Put-LT操作。
目前为止描述的部件涉及NetDRM终端装置2内数字作品的使用。现在，下面将描述涉及数字作品移动的部件。
在便携式媒体3连接到NetDRM终端装置2以及用户指示将数字作品记录到便携式媒体3以便使用数字作品时，移出控制单元14执行移出操作。这里，移出控制单元14创建存储在所述装置中的LT的备份拷贝，然后将LT和数字作品传递给安全I/O插件程序10。移出控制单元14等候将传送的LT和数字作品写入便携式媒体3中。在该写操作完成时，移出控制单元14请求传递已写入LT和数字作品的便携式媒体3的媒体独有信息(媒体ID、媒体内容ID以及媒体类型)。在收到媒体独有信息时，移出控制单元14将LT(LT-Out)和媒体独有信息连同它的客户程序ID发送给分配装置1。移出控制单元14接着从保护区域7b中删除LT，并使用户区域7a中的加密内容为不可再现的。
媒体写单元15从NetDRM客户程序8接收LT并从接收LT中提取内容密匙和内容ID。当执行移出操作时，媒体写单元15就将包含于LT中的使用条件转换为UR-M。在该转换之后，媒体写单元15用媒体ID对内容密匙加密，以便携式媒体3独有的格式分配标识符(媒体内容ID)并将UR-M、加密内容密匙以及媒体内容ID写入便携式媒体3的保护区域5中。媒体写单元15还将加密内容转换成便携式媒体3独有的格式，并将其写入便携式媒体3的用户区域6中。更具体地讲，当便携式媒体3中的区域由例如作为一个示例的文件系统管理时，媒体写单元15将加密内容转换成文件并将该文件写到便携式媒体3中。由于被写到保护区域5中，未授权的访问，例如篡改不能访问使用条件，因此数字作品的使用方式是安全的。通过移出，下载到NetDRM终端装置2的数字作品不仅可以在NetDRM终端装置2上使用而且可以在诸如PD 4a、4b和4c的其它装置上使用。
移入控制单元16使安全I/O插件程序10执行(a)将UR-M转换成移入操作时的LT的处理和(b)使数字作品不可再现的处理。然后，移入控制单元16等候从安全I/O插件程序10传来LT。在收到LT时，移入控制单元16就如同在Put-LT情形中那样，将该LT上载到分配装置1，并等待分配装置1反映该LT所表示的剩余使用次数。在从分配装置1收到正常处理结束的通知时，移入控制单元16结束移入操作。
在执行移入时，媒体读单元17从保护区域5读取UR-M、加密内容密匙和媒体内容ID，并将UR-M转换成使用条件，利用媒体ID对加密内容密匙解密，以及根据媒体内容ID获得内容ID，这样创建包括使用条件但不包括内容密匙和内容ID的LT(LT-In)。然后，媒体读单元17将保护区域5中的加密内容密匙删除，以使数字作品不可再现，然后将媒体独有信息传送给移入控制单元16。
<PD 4a、4b和4c>
下面描述PD 4a、4b和4c。PD 4a、4b和4c是符合SDMI的装置，它们可以读写便携式媒体3保护区域5中的数据，并可再现数字作品。PD 4a、4b和4c内部配备了安全I/O插件程序。这种安全I/O插件程序包括访问便携式媒体3中的保护区域5的媒体读单元和媒体写单元以及再现模块。这些单元分别具有与安全I/O插件程序10中配备的媒体读单元17、媒体写单元15和再现模块12相同的功能。例如，PD 4a、4b和4c中的再现模块，如同再现模块12那样，可以利用保护区域5保存的LT中包括的内容密匙对用户区域6中存储的加密内容解密，以便再现数字作品。这里，PD 4a、4b和4c还记录数字作品再现期间的时间段，并在该时间段超过使用门限时将使用次数减一。
<分配装置1>
下面描述分配装置1的内部结构。图8显示分配装置1的内部结构。分配装置1包括内容库18、权限管理信息数据库19、签约更新单元20、付费服务器21、购买更新单元22、内容分配服务器23、LT发送单元24、移出更新单元25、移入更新单元26以及验证单元27。在这些单元中，签约更新单元20、购买更新单元22和LT发送单元24、移出更新单元25、移入更新单元26以及验证单元27构成NetDRM服务器28。
内容库18保存多个可以分配的加密内容。这些加密内容分别用不同的内容ID唯一识别。
权限管理信息数据库19保存内容密匙、内容ID以及要下载的各数字作品的使用条件。在用户签约接受业务之前，权限管理信息数据库19的存储内容如图9所示。如图9所示，权限管理信息数据库19由以下这三个表构成“NDRM_COTENT”、“NDRM_URC”和“NDRM_CONTENTS_FOR_URC”。“NDRM_COTENT”是使内容ID和内容密匙相关联的表。图10A显示“NDRM_COTENT”的一个示例。如图所示，内容ID“CC0000A”、“CC0000B”、“CC0000C”和“CC0000D”分别与内容密匙“jgskgjiege05e”、“4sd5e8g4s5g”、“4kpnk0dh8ke”和“ppz09ckd88d”相关联。
“NDRM_URC”是使urc_id和UR_C相关联的表。UR_C(内容使用规则)是内容提供商定义的权限管理信息的原始版本，而urc_id是UR_C的标识符。“NDRM_CONTENTS_FOR_URC”是包括多个urc_id和content_id对的表，它使“NDRM_COTENT”和“NDRM_URC”相关。图10B显示“NDRM_CONTENTS_FOR_URC”的一个示例。如图所示，六个内容ID“CC0000A”、“CC0000B”、“CC0000C”、...和“CC0000F”(这些是对应图3所示内容A至F的内容ID)分别与urc_id“00000001”相关联。
签约更新单元20根据用户的签约操作将用户的ID信息登记到权限管理信息数据库19中。用户签约时权限管理信息的存储内容如图11所示。图11显示图9所示的权限管理信息数据库19中已增加“NDRM_USER”和“NDRM_CLIENT”的权限管理信息数据库19。“NDRM_USER”是用户ID信息，它由用户ID“user_id”、用户名称“user_name”、用户邮政编码“user_zip_code”、用户地址“user_address”、用户电话号码“user_phone_number”以及用户电子邮件地址“user_email_address”构成。当多个用户已经签约接受业务时，将“NDRM_USER”用作模板，在权限管理信息数据库19中管理所述多个用户中各用户的ID信息。作为一个示例，图12A显示已经签约接受业务的各用户“David Moor”、“Alice Liddell”和“JohnBrown”的ID信息。“NDRM_CLIENT”由用户标识符“user_id”和用户拥有的NetDRM终端装置2中的NetDRM客户程序8的标识符“client_id”构成。图12B显示分别具有user_id“AA00001”至“AA00003”的三个用户的“NDRM_CLIENT”组。在该“NDRM_CLIENT”中，client_id“00000001”至“00000003”分别分配给user_id“AA00001”至“AA00003”。
当用户购买数字作品时，付费服务器21通过网络处理付费。
当用户购买数字作品时，购买更新单元22相应更新权限管理信息数据库19。图13显示用户购买数字作品之后权限管理信息数据库19的存储内容。如图所示，在购买数字作品之后，将表“NDRM_URUS”增加到权限管理信息数据库19中。“NDRM_URUS”由UR-Us的标识符“urus_id”、分配给用户的权限管理信息实体“UR-Us”(服务器上用户使用规则)以及已经购买数字作品的用户的标识符“user_id”构成。
图14显示具有user_id“AA00001”至“AA00004”的多个用户的“NDRM_URUS”组。如图所示，为每个用户设置表示可用使用次数和使用门限的UR-Us。
内容分配服务器23按照用户请求发送存储在内容库18中的多个加密内容中的加密内容。
LT发送单元24向用户发送LT，LT包括所请求的用户指定数字作品组中数字作品的使用条件和内容密匙。LT发送单元24删除在权限管理信息数据库19中管理的UR-Us中的部分可用使用条件。“删除使用条件”在这里意指生成表示部分使用条件信息以及减少权限管理信息数据库19中UR-Us的处理。以下是UR-Us表示可用使用次数10以及LT发送单元24从可用使用次数10中减去使用次数8的情况。从可用使用次数10减去使用次数8得到可用使用次数2移出更新单元25是在购买数字作品时用于更新权限管理信息数据库19的模块。图15显示在执行移出操作之后权限管理信息数据库19的存储内容。在图15中，“NDRM_MOVEOUT_BACKUP_LT”添加到图13所示的存储内容中。“NDRM_MOVEOUT_BACKUP_LT”由已执行移出的用户的标识符“user_id”、移出操作时从NetDRM终端装置2发送的“media_id”、“media_content_id”、“LT_Out”和“media_type”构成。
图16显示具有user_id“AA00001”至“AA00003”的多个用户的“NDRM_MOVEOUT_BACKUP_LT”组。如图所示，为每个用户设置“media_id”、“media_content_id”、“LT_Out”和“media_type”。
移入更新单元26接收从NetDRM终端装置2发送的LT，并利用存储在LT的LT脚注中的哈希值验证该LT的真实性，然后，基于该LT所包括的使用条件更新UR-Us。作为一个示例，当UR-Us中的可用使用次数为2，并且从NetDRM终端装置2返回的使用次数为6时，移入更新单元26将使用次数6加到UR-Us中的可用使用次数2中，得到更新的可用使用次数8。
验证单元27接收在移入操作时由NetDRM终端装置2上载的便携式媒体3的媒体独有信息和LT，并将接收的媒体独有信息与存储在“NDRM_MOVEOUT_BACKUP_LT”中的媒体独有信息作比较。仅当比较结果表示完全匹配时，验证单元27才让移入更新单元26更新UR-Us。当比较结果未表示完全匹配时，验证单元27就不让移入更新单元26更新UR-Us。以这种方式，UR-Us仅当接收媒体独有信息和存储媒体独有信息完全匹配时才会更新。因此，向分配装置1发送未授权LT的恶意用户(如果有的话)就无法更新UR-Us中的可用使用次数，从而无法赚取不合理的利润。
<工作机制>
下面参照图17至20描述涉及上述第一实施例的系统的工作机制。图17显示在执行内容A的移出时该系统的处理序列。
在图17中，初始状态sj1表示这样一种状态其中六个数字作品，即内容A至F，在权限管理信息数据库19中组成一组，并且为用户可用。
状态sj2表示在NetDRM客户程序8根据浏览器发出的下载请求yk1发出下载请求yk0之后UR-Us的存储内容。状态sj2中UR-Us中的可用使用次数2是在从可用使用次数10中减去使用次数8之后剩下的可用使用次数。减去的使用次数8存储在LT中，并如箭头dd0所示连同加密内容A一起下载。
状态sj4表示在LT和加密内容A已经下载到NetDRM客户程序8后HD 7的存储内容。更具体地讲，该状态sj4表示已将包括使用次数8的LT和加密内容A写入HD 7的状态。
在状态sj4中，假定内容A的移出已经初始化。将存储在HD 7中的LT和加密内容A传送给安全I/O插件程序10。状态sj5表示在已传送LT和内容A之后HD 7的存储内容，且表示加密内容A已经转换为不可再现状态以及LT已经删除。
状态sj6表示NetDRM终端装置2中执行移出之后权限管理信息数据库19中“NDRM_MOVEOUT_BACKUP_LT”的存储内容。如箭头sy3和sy4所示，在“NDRM_MOVEOUT_BACKUP_LT”中保存安全I/O插件程序10和NetDRM客户程序8上载的媒体独有信息和LT。在状态sj6中，如箭头sy5所示正常处理结束的通知由分配装置1发送。NetDRM客户程序8接收该通知并结束移出。
图18A和18B显示如何使用其中已写入内容A的便携式媒体3。假定用户将已通过移出操作写入内容A的便携式媒体3安装到PD4a、4b和4c上，并如图18A所示再现内容A。图18B显示已通过移出操作写入内容A的便携式媒体3。在这种状态下，因为内容A已由PD 4a、4b或4c再现一次，故从使用次数8中减去使用次数1，得到剩余使用次数7。
假定用户在重复再现内容A之后再次将便携式媒体3连接到NetDRM终端装置2。图19显示执行内容A的移入操作时系统的处理序列。状态jt1表示在已执行再现操作两次之后便携式媒体3的存储内容。如图所示，保护区域5中的使用次数为6(＝8-2)，假定接着从便携式媒体3执行移入。状态jt2表示在执行移入之后便携式媒体3的存储内容。便携式媒体3的保护区域5中的UR-M已删除且加密内容处于不可再现的状态。在状态jt1和状态jt2之间执行媒体独有信息和LT的传输csl。
状态jt3表示在向NetDRM终端装置2执行移入之前的“NDRM_URUS”。在该状态中使用次数为2。状态jt4表示在已经上载LT和媒体独有信息之后“NDRM_MOVEOUT_BACKUP_LT”的存储内容。该存储内容用于判断ih0，判断ih0是为了验证通过传输cs1向分配装置1传递的媒体独有信息的真实性。
状态jt5表示在已经验证媒体独有信息之后更新了的“NDRM_URUS”的存储内容。在该状态中，使用次数为8，这是通过将剩余使用次数6加到状态jt3所示的可用使用次数2中而得到的。
图20显示执行内容B的移出时系统的处理序列。图20中的状态hjl表示在下载内容B之前“NDRM_URUS”的存储内容。图19所示的移入导致可用的使用次数增加到8。因此，可以将使用次数1至8分配给内容B。状态hj2表示在已下载内容B之后“NDRM_URUS”的存储内容。使用次数5已经分配给内容B，因此可用使用次数更新为3(＝8-5)。
状态hj3表示在执行内容B的移出之后，便携式媒体3的存储内容。因为加密内容已通过传输发送给安全I/O插件程序10并且使用次数5已写入便携式媒体3，故数字作品最多可以使用五次。
假定用户下载数字作品，意在使用该数字作品10次但在收听它两次之后不再想要该数字作品。在这种情况下，将剩余使用次数8写到便携式媒体3的保护区域5中，并由NetDRM终端装置2将此剩余使用次数上载到分配装置1。然后，可以将此使用次数8分配给相同组中的不同数字作品。
如上所述，本实施例实现了这种业务允许用户免费下载组中的数字作品并在预定的可用使用次数内使用该数字作品，从而增加用户满意度。而且，因为发送装置管理数字作品的权限管理信息和使用记录，可以期待新颖的业务，例如根据下载次数的打折业务，或者为使用特殊装置的用户提供免费业务。
注意，尽管已在假定数字作品为音乐作品的情况下对本实施例作了描述，但数字作品可以是视频作品，例如电子书、电影和TV戏剧、静止图像或者例如游戏软件的应用程序。
<第二实施例>
尽管第一实施例中将使用次数用作数字作品的使用条件，但在第二实施例中将使用时间用作使用条件。
就如在使用次数的情形中，可以对作为使用条件的使用时间由分配装置1、NetDRM终端装置2和PD 4a、4b和4c执行的各种操作。
首先，在第一实施例中，可用使用次数写到UR-Us中，并且它的部分可以在下载数字作品时删除。以同样的方式，本实施例中用作使用条件的可用使用时间亦写到UR-Us中，且其部分可以删除。作为一个示例，当可用使用时间60分钟写到UR-Us中时，可以删除的使用时间在0到60分钟之间。
其次，在第一实施例中，将连同加密内容一起下载的使用次数写到NetDRM终端装置2中的HD 7或便携式媒体3中，并且可以使用加密内容直到使用次数到达零。这同样适用于本实施例中的使用时间。更具体地讲，将连同加密内容一起下载的使用时间写到NetDRM终端装置2中的HD 7或便携式媒体3中，并且可以使用加密内容直到使用时间到达零。
第三，在第一实施例中，每当使用加密内容一次，使用次数就减一。这同样适用于本实施例中的使用时间。更具体地讲，每当使用加密内容一次，就从连同加密内容一起下载的使用时间中减去使用加密内容的时间。
第四，在第一实施例中，通过将剩余使用次数从NetDRM终端装置2上载到分配装置1，剩余使用次数就可以增加到分配装置1中的UR-Us。这同样适用于本实施例中的使用时间。更具体地讲，通过将剩余使用时间从NetDRM终端装置2上载到分配装置1，剩余使用时间就可以增加到写入UR-Us中的可用使用时间中。
以这种方式增加的使用时间可以重新分配给不同的内容。
图21至23显示将使用时间用作使用条件的系统的操作示例。这些图中显示的操作示例包括与图17至19所示相同的状态。唯一的差别在于，图17至19中所示状态中的使用次数10、8、7等用图21至23中的使用时间60分钟、50分钟、10分钟等替代。
下面描述图21至23中的操作示例。图21显示从UR-Us(状态sj1)中的可用使用时间60分钟中减去50分钟使用时间，以及50分钟使用时间连同内容A一起下载并写到便携式媒体3中的操作。
图22A和22B表示在再现内容A 10分钟之后便携式媒体3中的使用时间如何减少到40分钟。图23表示如何将剩余的40分钟使用时间上载到分配装置1并将其加到分配装置1中的UR-Us中。上述的操作导致分配装置1管理的可用使用时间10分钟增加到50分钟。因此，可以将50分钟的使用时间分配给内容B的不同数字作品。
如上所述，当内容使用由使用时间控制时，本实施例能够将使用时间自由地分配给各内容。
注意，尽管本实施例中使用时间按分钟来更新，但它还可以按小时或秒来更新。
<第三实施例>
尽管第一和第二实施例将数字作品的使用操作限制为再现，但本实施例假定诸如再现和打印的多种使用操作可用。
图24显示具有针对例如再现和打印的使用操作的使用条件的权限管理信息(UR-Us)的一个示例。当数字作品是电子书时，图中的“view(查看)”操作表示要查看电子书。“print(打印)”操作表示要将该电子书打印出来。图24中的UR-Us为“查看”和“打印”操作分别设置了可用使用次数和使用门限。也就是说，为针对同一数字作品的各个操作定义了独立的使用条件。而且，当数字音乐作品附带诸如得分、背景图像和明星图片的图像时，可以为这种图像专门设置使用条件。也就是说，可以为查看或打印这种图像的操作分配可用使用次数或使用时间。
多种使用操作的使用条件包括在具有如图25所示的数据格式的LT中发送。图25显示包括多个LT标签块的LT数据格式。图25所示的LT标签块#1保存指示“查看”操作的操作ID、使用次数和“查看”操作的使用门限。LT标签块#2保存指示“打印”操作的操作ID、使用次数和“打印”操作的使用门限。
下面参照图26A和26B描述第三实施例中如何删除使用条件。图26A显示在删除使用条件之前的UR-Us，而图26B显示删除使用条件之后的UR-Us。图26A中的UR-Us包括两对可用使用次数10和使用门限。一对表示使用次数10和“查看”操作的门限，另一对针对“打印”操作。当“打印”操作的使用次数如箭头yyl所示从该UR-Us中减去，并包括在LT中发送时，就将“打印”操作的使用条件从UR-Us中全部删除。使用次数10连同指示“打印”操作的操作ID和使用门限一起保存在LT标签块中。这里，“查看”操作的使用条件完好地保存在UR-Us中，并在下一次下载时将该使用条件连同另一内容一起下载。如图所示，当下载数字作品时，一个或两个操作的使用条件都可以删除。
另一方面，收到其中为各操作设置了使用条件的LT时，NetDRM终端装置2仅仅删除为PD 4a、4b和4c所接受的使用条件并将其转换成UR-M。这是因为PD 4a、4b和4c使用数字作品的能力彼此不同。例如，一种可以是PDA(个人数字助理)，可用于查看数字作品但不能用于打印数字作品，或者另一种可用于查看和打印数字作品。因此，针对数字作品的所有使用条件有可能不为每个装置所接受。因为这个原因，仅仅删除为PD 4a、4b或4c接受的使用条件。
如上所述，当在例如电子书的装置上可获得诸如打印或查看的多种使用操作时，本实施例允许为将要下载的数字作品的各种使用操作设置使用条件。
<第四实施例>
第四实施例中额外提供了称之为“P(插入)条件”的使用条件。第一到第三实施例中所用的使用条件可以应用到任何使用操作。这种使用条件称之为C(客户)条件。另一方面，P条件依赖于使用操作。也就是说，P条件对用户在他的或她的装置上执行的使用操作本身施加限制。更具体地讲，当数字作品包括音频时，C条件限制再现使用操作的使用次数。另一方面，P条件限制一次使用操作本身。例如，P条件规定再现质量。
图27显示为包括音频的数字作品设置P条件的示例。图中，P条件使用诸如采样频率信息和量化比特数信息的参数规定数字作品的再现质量。
采样频率信息通过指定图中值001至110中的一个，指示安全I/O插件程序10使用以下采样频率之一执行再现操作48KHz、96KHz、192KHz、44.1KHz、88.2KHz和176.4KHz。量化比特数信息通过指定图中值01至11中的一个，指示安全I/O插件程序10使用以下量化比特数之一执行再现操作16比特、20比特和24比特。
分别由采样频率信息和量化比特数信息表示的采样频率或量化比特数对数字作品的再现质量影响很大。因此，数字作品的再现质量可由PD 4a、4b和4c控制，并且NetDRM终端装置2根据P条件施加的限制执行再现操作。因为P条件是限制使用操作本身的使用条件，所以可以针对数字作品对它作适当的设置。例如，当数字作品为电影时，可以适当地设置图像质量(分辨率)，或者当数字作品是电子书时，可以适当地设置打印类型(彩色或单色)。
而且，P条件可以根据其中将要写入数字作品的便携式媒体3的类型加以设置。例如，当便携式媒体3是SD存储卡时，可以设置P条件，以便限制SD存储卡所独有的功能(编辑操作，例如部分删除、划分和集成、或诸如快速再现和随机再现的特殊再现)。当便携式媒体3是存储条时，可以设置P条件，以便限制存储卡独有的功能。
第四实施例所利用的权限管理信息的示例如图28所示。图28显示这种示例其中可以使用多个诸如查看和打印的使用操作，而且为各使用操作分别设置C条件和P条件。更具体地讲，图中的UR-Us包括分别为各使用操作，即“play(播放)”和“打印”设置的C条件和P条件。对于“播放”操作，P条件表示再现质量。对于“打印”操作，P条件表示打印等级。
为了发送多个使用操作的使用条件，将各使用操作的P条件包含在具有如图29所示数据格式的LT中分发。LT标签块#1保存定义表示使用操作“播放”的操作ID的P条件、可用使用次数和使用操作“播放”的使用门限以及再现质量。另一方面，LT标签块#2保存定义表示使用操作“打印”的操作ID的P条件、可用使用次数和使用操作“打印”的使用门限以及打印等级。
因为P条件与C条件一起发送，故可以实现这样的使用条件，它将C条件表示的使用次数和使用时间与P条件表示的再现质量相结合。也就是说，可以对PD 4a、4b和4c以及NetDRM2施加如下限制。当一次使用操作的再现质量有利时，可以减少使用次数，或者当一次使用操作的再现质量不利时，则对使用次数不加限制。
下面参照图30A和30B描述第四实施例中如何删除使用条件。图30A显示在删除使用条件之前的UR-Us，而图30B显示在删除使用条件之后的UR-Us。“NDRM_URUS”包括C条件和P条件，其中C条件由可用使用次数10和使用门限构成，P条件表示再现质量。当使用次数8和再现质量已从该UR-Us中删除并下载到NetDRM终端装置2中时，使用操作“打印”的使用条件表示剩余使用次数2，这是从UR-Us中的可用使用次数10中减去使用次数8而得到的，再现质量亦从UR-Us中删除。另一方面，使用次数8连同表示使用操作“打印”的操作ID和使用门限一起保存在LT标签块中。
将保存在LT中的P条件下载到用户的NetDRM终端装置2中。正如C条件的情形，P条件可以通过移出操作写到便携式媒体3中。而且，P条件可以通过移入操作连同C条件一起上载到分配装置1中。
如上所述，本实施例允许针对数字作品类型或便携式媒体3的类型以及其中将要写入数字作品的PD 4a、4b和4c设置使用条件，从而提高用户友好度。
<第五实施例>
在第五实施例中，数字作品可由多个装置同时使用的次数(随后称之为“可用并发使用次数”)由分配装置1管理。分配装置1管理的可用并发使用次数称为S(服务器)条件，以区别于P条件和C条件。与S条件对应的可用并发使用次数在下载数字作品时减少。也就是说，每当下载组中的数字作品时，就减少作为S条件的可用并发使用次数。
图31显示设置了S条件的UR-Us的示例。图中，存在使用操作“播放”的C条件和P条件以及使用操作“打印”的C条件和P条件。此时图中的UR-Us与图28中的UR-Us相同。然而，在图31中，还设置了可用并发使用次数，即S条件。由图可知，针对各使用操作设置C条件和P条件，而针对各用户设置S条件，不管何种可用使用操作。
当下载LT时减少S条件。也就是说，每当下载数字作品时，就减少可用并发使用次数。
假定针对某个用户在UR-Us中设置的S条件表示可用并发使用次数为3。在这种情况下，如果下载内容A，就将可用并发使用次数3减去1，变成2。如果接着下载两个数字作品，即内容B和C，那么将可用并发使用次数减去2，就变成0。与下载三个数字作品相反，例如，具有三个NerDRM终端装置2的用户可以使用这三个NerDRM终端装置2下载内容A。在这种情况下，可用并发使用次数3，即UR-Us中的S条件减去3就变成0。图32显示在执行内容的下载或移出操作时如何更新可用并发使用次数，描述方式与图17中一样。图32中，下载内容A一次，可用并发使用次数3因此要减去1，变成2。
与此相反，S条件在上载LT时增加。也就是说，每当通过Put-LT或移入操作上载数字作品时，就增加可用并发使用次数。这里，可以考虑下面两种情况。在一种情况中，下载三个内容A、B和C，因此可用并发使用次数变成0。然后从NetDRM终端装置2上载内容A、B和C的三个LT。将S条件加3，返回3。在另一种情况中，下载内容A三次，可用并发使用次数因此变成0。然后由三个NetDRM终端装置2执行Put-LT或移入操作，并上载其LT三次。将S条件加3，于是返回3。
图33显示在执行内容的移入操作时如何更新可用并发使用次数，描述方式与图19中的相同。
用户可以在他的或她的NetDRM终端装置2和PD 4a、4b和4c上使用下载的三个数字作品。当UR-Us中设置了C条件和P条件时，这三个数字作品在NetDRM终端装置2上的使用当然会受C条件和P条件的限制。如果C条件和S条件表示不限制使用，则用户可以免费地在NetDRM终端装置2和PD 4a、4b和4c上使用这些数字作品。
下面参照图34A和34B描述第五实施例中如何删除使用条件。图34A显示在删除使用条件之前的UR-Us，而图34B显示在删除使用条件之后的UR-Us。“NDRM_URUS”包括C条件、P条件和S条件，其中C条件由可用使用次数10和使用门限构成，P条件表示再现质量，而S条件表示可用并发使用次数3。如果使用次数8(C条件)和再现质量从该UR-Us中删除掉，其结果是使用操作“打印”的使用条件表示使用次数为2，这是从UR-Us中的可用使用次数10中减去使用次数8得到的，并且还从该UR-Us中删除再现质量。接着将可用并发使用次数3减为2。
下面参照流程图描述涉及第五实施例的系统中分配装置1、NetDRM客户程序8以及安全I/O插件程序10的工作过程。因为第五实施例基于第一至第四实施例的技术特征，故以下流程图可视为以上实施例中公开的分配装置1、NetDRM客户程序8以及安全I/O插件程序10的综合过程。
下面参照图35中的流程图描述分配装置1执行的数字作品下载程序。图35是显示涉及第五实施例的LT发送单元24的操作程序的流程图。
在步骤S1，LT发送单元24判断可用并发使用次数(S条件)是否为0。当已执行下载若干次，且可用并发使用次数为0，LT发送单元24就在步骤24向用户显示不可能下载的消息。当可用并发使用次数不为0，LT发送单元24就执行双循环过程。该过程具有双循环结构，其中针对UR-Us中的各使用条件(步骤S19和S20)重复执行从步骤S3到S17的处理，然后再针对UR-Us中的各使用操作(步骤S21和S22)重复执行从步骤S3到S17的处理。下面描述这种处理，其中假定该处理针对某种使用操作的某种使用条件。
在步骤S3，LT发送单元24判断使用条件是否为使用次数(C条件)。如果判断是肯定的，LT发送单元24就在步骤S4判断可用使用次数是否为0。如果可用使用次数为0，就不能执行使用操作。因此，LT发送单元24就在步骤S5将usage-impossible(不能使用)标志设置为“ON(开启)”，表示使用操作是不可能的。当可用使用次数不为0，LT发送单元24就在步骤S6向用户显示可用使用次数“s”，并在步骤S7等待用户指定使用次数“t”(s＞t)。
当指定使用次数“t”时，LT发送单元24就在步骤S8从可用使用次数“s”中减去使用次数“t”，且将剩余使用次数“s-t”作为可用使用次数写入UR-Us中。然后LT发送单元24在步骤S9将使用次数“t”转换成LT标签块#x中的使用条件。
在步骤S10，LT发送单元24判断使用条件是否是使用时间(C条件)。如果判断结果是肯定的，LT发送单元24就在步骤S11判断可用使用时间“s”是否为0。如果可用使用时间为0，则使用操作就是不可执行的。因此，LT发送单元24在步骤S5将usage-impossible标志设为“ON”，表示使用操作是不可能的。当可用使用时间为0，则LT发送单元24就在步骤S12向用户显示可用使用时间“s”，并在步骤S13等待用户指定使用时间“t”(s＞t)。紧接着，LT发送单元24在步骤S14从可用使用时间“s”中减去使用时间“t”，并将剩余使用时间“s-t”作为可用使用时间写入UR-Us中。然后，LT发送单元24在步骤S15将使用时间“t”转换成LT标签块#x中的使用条件。
在步骤S16，LT发送单元24判断使用条件是否是P条件。如果判断结果是肯定的，LT发送单元24就在步骤S17接收有关是否要删除P条件的用户指定。如果用户指定要删除，LT发送单元24就在步骤S18将P条件转换成LT标签块#x中的使用条件。当针对所有使用操作的所有使用条件执行了上述处理，则处理进行到步骤S23。在步骤S23，LT发送单元24判断所有使用操作的usage-impossible标志是否是“ON”。如果所有使用操作的usage-impossible标志是“ON”，LT发送单元24就在步骤S2向用户显示download-impossibe(不可能下载)消息。如果至少一个使用操作的usage-impossible标志是“OFF(关闭)”，LT发送单元24就在步骤S25将LT标识符、版本号、LT大小、内容ID和权限管理信息ID存储到LT的LT标头中，并在步骤S26将哈希值存储到LT的LT脚注中，且在步骤S27发送LT。而且，LT发送单元24命令内容分配服务器23下载加密内容。
按照上述过程发送LT和加密内容，然后，由NetDRM客户程序8将发送的LT和加密内容存储到HD7中。之后，在执行LT和加密内容的移出操作时，NetDRM客户程序8根据图36中的流程图执行操作程序。
图36是显示移出控制单元14操作程序的流程图。
在步骤S31，移出控制单元14从HD 7中读取LT和加密内容，并将该LT和加密内容传送给安全I/O插件程序10。在步骤S32，移出控制单元14等待便携式媒体3的媒体独有信息。在收到媒体独有信息时，移出控制单元14在步骤S33将媒体独有信息连同客户程序ID和LT发送到分配装置1。在步骤S34，移出控制单元14等待正常处理结束的通知。在收到该通知时，移出控制单元14结束处理。
下面参照图37中的流程图描述执行移出操作时安全I/O插件程序10的操作程序。图37是显示安全I/O插件程序10中媒体写单元15的操作程序的流程图。图37中的流程图显示这样一个循环过程(步骤S47和S48)，其中针对包括于LT中的每个LT标签块重复从步骤S41到S46的处理。在步骤S41，媒体写单元15判断LT标签块中的操作ID是否可为用户拥有的PD 4a、4b和4c所接受。如果PD 4a、4b和4c不具备打印和显示功能而只有音频再现功能，那么仅针对其中操作ID表示音频的这样的LT标签块执行从步骤S42到S46的处理，而对其它LT标签块则跳过从步骤S42到S46的处理。
步骤S45和S46表示一个循环过程，其中针对LT标签块中的每个使用条件(P条件和C条件)重复执行从步骤S42到S44的处理。在步骤S42，媒体写单元15判断使用条件是否是P条件或C条件。如果使用条件是C条件，媒体写单元15就将该使用条件转换成UR-M的成分。如果使用条件是P条件，媒体写单元15就判断该P条件是否可为PD 4a、4b和4c和便携式媒体3所接受。如果P条件是音频再现使用操作的使用条件，且表示再现质量，则该条件可为PD4a、4b和4c所接受，因此步骤S43中的判断结果是肯定的。
另一方面，如果P条件是音频再现使用操作的使用条件，但表示可为不是用户拥有的便携式媒体3的另一便携式媒体3所接受的使用条件，则该条件不能为PD 4a、4b和4c所接受，因此步骤S43中的判断结果是否定的。注意，步骤S43中的判断应该包括用户的个人观点。因此，该判断最好包括与用户交互的操作。
步骤S44中的处理仅针对这样的使用条件其在步骤S42中的判断结果是否定的以及其在步骤S43中的判断结果是肯定的。在步骤S44，将使用条件转换成构成UR-M的使用条件。媒体写单元15针对LT标签块中的每个使用条件重复步骤S44中的处理，然后结束处理。
下面参照图38描述执行移入操作时媒体读单元17和安全I/O插件程序10的操作程序。
在步骤S50，媒体读单元17使浏览器显示保存在便携式媒体3中的内容列表。在步骤S51，媒体读单元17等待通过浏览器选择的内容。媒体读单元17在步骤S52从便携式媒体3中读取所选内容的媒体内容ID和UR-M以及媒体ID。媒体读单元17在步骤S53将UR-M转换成LT-In。然后，媒体读单元17在步骤S54从便携式媒体3中删除媒体内容ID和UR-M，并将LT-In、媒体类型、媒体ID和媒体内容ID传送给NetDRM客户程序8。
图39是显示执行移入操作时，NetDRM客户程序8中移入控制单元16的操作程序的流程图。在步骤S56，移入控制单元16等待LT-In、媒体类型、媒体ID以及媒体内容ID。在收到这些时，移入控制单元16在步骤S57将LT-In、媒体类型、媒体ID和媒体内容ID连同其客户程序ID发送给分配装置1。
当NetDRM客户程序8和安全I/O插件程序10执行移入时，将便携式媒体3的媒体独有信息和LT-In从NetDRM终端装置2返回到分配装置1。在收到媒体独有信息和LT-In时，分配装置1就根据图40所示的流程图更新UR-Us。
下面参照图40中的流程图描述执行移入操作时分配装置1的操作程序。图40是显示执行移入操作时更新单元26和验证单元27的操作程序的流程图。在步骤S61，验证单元27等待LT-In和媒体独有信息。在收到LT-In和媒体独有信息时，在步骤S62，验证单元将保存在“NDRM_MOVEOUT_BACKUP_LT”中的媒体独有信息和客户程序ID分别与返回的媒体独有信息和客户程序ID作比较。如果上述比较结果不是显示匹配，则步骤S63中的判断结果是否定的，则处理结束。如果上述比较结果表示匹配，则步骤S63中的判断结果是肯定的，移入更新单元26就执行步骤S64和S65，然后结束处理。更具体地讲，移入更新单元26在步骤S64增加可用并发使用次数，即S条件，并在步骤S65组合LT-In和LT-Out。更详细地讲，移入更新单元26将LT-In中LT标签块内的使用条件反映到存储在NDRM_MOVEOUT_BACKUP_LT中的LT-Out中。当使用条件反映到LT-Out中，移入更新单元26就在步骤S66利用该LT-Out更新UR-Us。更详细地说，移入更新单元26将LT-Out中LT标签块中包括的使用条件反映到UR-Us中。如上所述，这导致LT-In反映到UR-Us中。
步骤S65中的组合过程专门表示成图41中的流程图。下面参照该流程图更详细地描述该组合过程。该流程图包括一个双循环结构，其中针对构成LT-In的每个LT标签块重复执行从步骤S71到S74的处理(步骤S75和S76)，以及针对包含于每个LT标签块的每个使用条件重复执行从步骤S71到S76的处理(步骤S77和S78)。
在步骤S71，移入更新单元26判断C条件是否是第一实施例中所用的使用次数。如果步骤S71中的判断结果是肯定的，移入更新单元26就在步骤S72用LT-In中的使用次数的C条件改写LT-Out中的使用次数的C条件。
在步骤S73，移入更新单元26判断C条件是否是第二实施例中所用的使用时间。如果步骤S73中的判断结果是肯定的，移入更新单元26就在步骤S74用LT-In中的使用时间的C条件改写LT-Out中的使用时间的C条件。移入更新单元26先针对包含于LT标签块中的每个使用条件重复上述处理，然后再针对每个LT标签块重复上述处理，最后结束LT-In和LT-Out组合过程。
下面参照图42中的流程图描述UR-Us反映过程。该流程图包括一个双循环结构，其中针对构成LT-Out的每个LT标签块重复执行从步骤S81到S86的处理(步骤S87和S88)，以及针对包含于每个LT标签块的每个使用条件重复执行从步骤S81到S88的处理(步骤S89和S90)。
在步骤S81，移入更新单元26判断C条件是否是第一实施例中所用的使用次数。如果步骤S81中的判断结果是肯定的，移入更新单元26就在步骤S82将LT-Out中的使用次数(即C条件)加到LT-Out中的C条件中。
在步骤S83，移入更新单元26判断C条件是否是第二实施例中所用的使用时间。如果步骤S83中的判断结果是肯定的，移入更新单元26就在步骤S84将LT-Out中的使用时间(即C条件)加到UR-Us中的使用时间(即C条件)中。在步骤S85，移入更新单元26判断使用条件是否是P条件。如果步骤S85中的判断结果是肯定的，移入更新单元26就在步骤S86将LT-Out中的P条件返回到UR-Us中。移入更新单元26先针对包含于LT标签块中的每个使用条件重复上述处理，然后再针对每个LT标签块重复上述处理，最后结束UR-Us反映过程。
如上所述，本实施例允许用户在多个装置上并发使用同一内容，因为分配装置1管理可用并发使用次数。而且，由于以同第一至第四实施例中一样的方式执行每个内容的移出和移入操作，就允许这种结合了S条件、C条件和P条件的控制。
<第六实施例>
在第一到第五实施例中，只要可用使用次数或者可用使用时间不为0，用户就可以在任何时间在PD 4a、4b、4c和NetDRM终端装置2上使用数字作品。然而，不管可用使用次数或可用使用时间如何，业务提供商可能希望限制用户可以使用数字作品的期限。这是因为如果象在第一到第五实施例中那样，让分配装置1无限期地管理用户信息，这可能对业务提供商不利。
为了将使用期限限制为一个月、一星期等等，第六实施例中的LT具有图43所示的格式。该图中的LT与第一到第五实施例中的LT的不同之处在于它的LT标头将LT有效开始时间和LT有效结束时间作为C条件保存。
LT有效开始时间表示LT有效期限开始的年/月/日，小时/分钟/秒等等。LT有效结束时间表示LT有效期限结束的年/月/日，小时/分钟/秒等等。
NetDRM终端装置2和PD 4a、4b和4c将添加到LT中的LT有效开始时间和LT有效结束时间与当前的年/月/日或小时/分钟/秒作比较。如果当前的年/月/日或小时/分钟/秒在LT有效开始时间和LT有效结束时间所表示的有效期限内，就允许用户以同第一到第五实施例中一样的方式使用数字作品。
如果当前的年/月/日等超过有效期限，就不允许用户使用数字作品，即使使用次数或使用时间不为0。当数字作品使用期间有效期限到期，就在该特定时间立刻禁止使用该数字作品。这同样适用于NetDRM客户程序8和安全I/O插件程序10。如果当前的年/月/日等超过有效期限，就不能启动移出和移入。
如上所述，本实施例允许将用户可以使用数字作品的使用期限限制为一个月、一星期等。因此，在经过预定的一段时间之后，可以删除用户的各种信息。其结果是，可以实现第一到第五实施例中提供的业务，同时减少了分配装置1处的管理成本。
<第七实施例>
第七实施例涉及一种改进情况，其中一个用户拥有多个NetDRM终端装置。图44显示一个用户所拥有的多个NetDRM终端装置。桌面个人计算机201、机顶盒202、移动电话203、音频服务器204以及PDA 205，每个的结构都与图中NetDRM终端装置2的相同。而且，它们在功能上等效于图6和图7中所示的NetDRM终端装置2。
由于为同一用户拥有，故为这些NetDRM终端装置分配同一用户ID“AA000001”。因此，这些NetDRM终端装置201至205使用各种公用信息，包括权限管理信息数据库19中的“NDRM_URUS”、“NDRM_CLIENT”和“NDRM_MOVEOUT_BACKUP_LT”。
图44中这些NetDRM终端装置201至205中的每一个，都能够对同一用户拥有的不同NetDRM终端装置通过数字作品的移出操作记录的数字作品执行移入操作。在图44中，假定数字作品已由执行数字作品移出操作的NetDRM终端装置2写入便携式媒体3中。当其中已写入数字作品的便携式媒体3如箭头rt1所示已安装到机顶盒202上，则允许机顶盒202从便携式媒体3执行该数字作品的移入操作。当同一便携式媒体3如箭头rt2所示安装到移动电话203上，就允许移动电话203从便携式媒体3执行该数字作品的移入操作。这同样适用于箭头rt3和rt4所示的音频服务器204和PDA 205。
这里，当执行数字作品的移出操作的笔记本大小的个人计算机(NetDRM终端装置)将数字作品写到便携式媒体3中时，用户可以使用移动电话203对记录在便携式媒体3上的数字作品执行移入操作。因此，可以实现更加自由的数字作品的下载和上载，以致用户可以在他或她往来于学校或办公地点的路上自由地下载和上载数字作品。而且，作为一个示例，当用户想要购买新型NetDRM终端装置时，不要求用户将数据传送到新的NetDRM终端装置。因此，用户可以容易地用新的NetDRM终端装置替代旧的。
这里，当数字作品在同一用户拥有的多个NetDRM终端装置之间传递时需要保证的操作如下。该操作是为了防止第三方利用第三方的NetDRM终端装置执行数字作品的移入操作。为此目的，NetDRM终端装置202到205判断请求移入的便携式媒体3的媒体独有信息是否已由用户拥有的NetDRM终端装置之一写入。这种判断以如下方式实现下载保存在分配装置1的权限管理信息数据库19内“NDRM_MOVEOUT_BACKUP_LT”中的用户拥有的媒体独有信息，并从便携式媒体3中读取媒体唯一信息。然后将下载的媒体独有信息和读取的媒体独有信息作比较。更具体地讲，第七实施例中的NetDRM客户程序8根据图45所示流程图执行处理。图45是显示涉及第七实施例的移入控制单元16的操作程序的流程图。
在步骤S99，移入控制单元16等待来自便携式媒体3的用户的移入请求。在收到移入请求时，移入控制单元16就在步骤S100向分配装置1发出下载存储在“NDRM_MOVEOUT_BACKUP_LT”中的媒体类型、媒体ID和媒体内容ID的下载请求。然后，移入控制单元16在步骤S101等待下载存储在“NDRM_MOVEOUT_BACKUP_LT”中的媒体类型、媒体ID和媒体内容ID。在收到这些时，移入控制单元16就在步骤S102从便携式媒体3中读取媒体类型、媒体ID和媒体内容ID。紧接着，移入控制单元16就在步骤S103将读取的媒体类型、媒体ID和媒体内容ID分别与下载的媒体类型、媒体ID和媒体内容ID作比较。如果将要从其执行移入操作的便携式媒体3是已由同一用户拥有的不同NetDRM终端装置对其执行了移出操作的便携式媒体3，那么比较结果必定显示完全匹配。如果便携式媒体3是已由第三方拥有的不同终端装置对其执行了移出操作的便携式媒体3，则比较结果就会显示不匹配。
当比较结果显示不匹配时，非常可能的是，记录在将要从其执行移入操作的便携式媒体3上的数字作品已由第三方写入。因此，步骤S104中的判断结果是否定的。在步骤S105就会显示错误并向用户显示移入不可能的消息，然后处理结束。如果比较结果表示匹配，步骤S104中的判断结果就是肯定的。然后，移入控制单元16就在步骤S106命令安全I/O插件程序10从便携式媒体3执行移入操作，如图39所示的流程图执行步骤S56和S57。
注意，NetDRM终端装置2可以向分配装置1发送媒体独有信息，分配装置1可以执行上述比较。当比较结果显示匹配时，NetDRM终端装置2可执行移入操作。
如上所述，本实施例允许由一个NetDRM终端装置记录在便携式媒体3上的数字作品由同一用户拥有的不同NetDRM终端装置获得，也就是说，通过便携式媒体3可将数字作品传送给不同的装置，从而提高用户友好度。
<第八实施例>
第八实施例旨在通过有线或无线连接多个同一用户拥有的NetDRM终端装置，这样创建家庭网络。图46显示通过涉及第八实施例的家庭网络相连的多个NetDRM终端装置。该家庭网络连接桌面个人计算机201、机顶盒202、移动电话203、音频服务器204以及PDA 205，实现这样的处理，其中，由这些NetDRM终端装置之一下载的数字作品由这些NetDRM终端装置中的另一终端装置获得。
作为使用示例，作为NetDRM终端装置的音频服务器204向亦由同一用户拥有的不同NetDRM终端装置发出下载请求。已对其发出下载请求的NetDRM终端装置如箭头rt5所示向音频服务器204发送加密内容和LT。音频服务器204接收发送的内容和LT并将它们存储到它的HD7中。以这种方式，不同的装置可以通过家庭网络获得该数字作品。
如上所述，本实施例允许通过网络传输简单快速地传送数字作品。
<第九实施例>
在第一到第八实施例中，对可接受性不加任何限制地实现了移动。不过，在第九实施例中，移动可接受性可以设置为各种级别。涉及第九实施例的LT数据格式如图47所示。图47显示如此定义的LT数据格式，以致移动可接受性可以设置为各种级别。图中的LT与第一到第八实施例中LT的不同之处在于，其LT标头中要设置移动标志。
LT移动标志视为C条件，且(1)值“00”表示数字作品不允许移动，(2)值“01”表示数字作品仅允许在家庭网络内移动，以及(3)值“10”表示数字作品不仅允许在用户的家庭网络内移动，而且可以移动到不同用户的家庭网络。
下面描述在LT具备这种LT移动标志时NetDRM终端装置2的处理。当LT移动标志显示“01”或“10”时，NetDRM终端装置2就对该LT及其加密内容执行移出操作，其方式与第一到第八实施例的相同。当LT移动标志显示“10”时，NetDRM终端装置2不执行移出操作。在移出时，NetDRM终端装置2将LT移动标志转换成UR-M的成分，并将其写入便携式媒体3中。
当LT移动标志显示“01”或“10”时，允许用户以与第一至第八实施例相同的方式在PD 4a、4b和4c上使用数字作品。当LT移动标志显示“10”时，仅允许用户在NetDRM终端装置2上使用该内容。
在请求记录在便携式媒体3上的数字作品的移入时，NetDRM终端装置2根据UR-M中LT移动标志的设置执行处理。更具体地讲，当LT移动标志设为“01”时，NetDRM终端装置2就执行第八实施例中描述的判断过程。也就是说，当LT移动标志显示“01”时，仅当数字作品已明显地由同一用户拥有的NetDRM终端装置写入到便携式媒体3中，这才执行移入操作。另一方面，当LT移动标志显示“10”时，NetDRM终端装置2不执行如第八实施例所示的判断过程，而直接执行移入操作。以这种方式，当LT移动标志显示“10”时，还可以对已由不同用户拥有的NetDRM终端装置写入的数字作品执行移入操作。实现上述处理的操作在图48所示的流程图中描述。图48是显示第九实施例中移入控制单元16的操作程序的流程图。
在步骤S99，移入控制单元16等待用户的移入请求。在收到移入请求时，移入控制单元16在步骤S110对LT移动标志值执行判断。当LT移动标志显示“00”时，处理进行到步骤S105，在步骤S105，执行错误显示。当LT移动标志显示“01”时，处理进行到步骤S100，在步骤S100执行与第八实施例中相同的处理。当LT移动标志显示“10”时，处理跳过步骤S100至S104进行到步骤S106，直接执行移入操作。这里，在NetDRM终端装置2执行移入操作和上载LT之后，分配装置1生成与LT对应的UR-Us，并将生成的UR-Us登记到权限管理信息数据库19中。
如上所述，本实施例允许为移动可接受性设置各种级别，以致彻底禁止对非常重要的数字作品的移动，并且仅允许在NetDRM终端装置2中使用，而允许将较不重要的数字作品从一个用户传送给另一个用户。这就可以实现普遍使用的超级分配内容。
<第十实施例>
第一到第九实施例假定加密内容连同LT一起发送。然而，在第十实施例中，加密内容沿与LT的路由不同的路由提供给用户。图49显示分别经由不同路由提供的加密内容和LT。在第十实施例中，加密内容记录在诸如CD和DVD-ROM的记录媒体300上，并通过与商用CD或DVD相同的的分配路径分配，以便存储，等等。获得其上记录了加密内容的记录媒体的用户如图49中箭头uy2所示将该记录媒体安装到NetDRM终端装置2上，并且还获得包括内容密匙和加密内容使用条件的LT。用户接着使用加密内容。以这种方式，将LT和加密内容保存到NetDRM终端装置2中，然后可用与第一到第九实施例中所述方式相同的方式使用数字作品。
如上所述，本实施例允许无需通过网络将具有大量数据的加密内容提供给用户，从而可以利用具有较小传输容量的网络实现第一至第九实施例中描述的业务。
<第十一实施例>
在第一到第十实施例中，NetDRM终端装置2将UR-M和加密内容写到便携式媒体3中。然而，在第十一实施例中，将UR-M和加密内容分别写到不同的媒体中。图50显示在第十一实施例中NetDRM终端装置2如何执行移出操作。图中，NetDRM终端装置2将作为使用条件的UR-M写到IC(智能卡)卡400中，而将加密内容写到诸如MD、CD和DVD的普通记录媒体401中。UR-M和加密内容分别写入不同的媒体IC卡400和记录媒体401中，以独立的物理方式承载。IC卡400具有防止如第一实施例中针对便携式媒体3所述的未授权用户篡改数据的功能。因此，可以确保UR-M的机密性。另一方面，诸如MD、CD和DVD的记录媒体可以比第一实施例中便携式媒体3更低的成本获得。通过组合使用这些媒体，可以获得与将内容记录在便携式媒体3上的情形相同的效果。
如上所述，本实施例允许用户将加密内容写到普通记录媒体上并使用该内容。因此，不要求用户购买专门针对这种系统所提供业务的半导体存储卡等。这就减轻了用户的经济负担，有助于该业务的进一步扩展。
<第十二实施例>
第十二实施例涉及在便携式媒体3是SD存储卡时数字作品的存储格式。
假设第一至第十实施例中所示的便携式媒体3为第十二实施例中具有如图51所示物理结构的SD存储卡100。
图51显示SD存储卡100的物理层结构。如图所示，SD存储卡100的物理层由系统区域101、隐藏区域102、保护区域103、AKE处理单元104、AKE处理单元105、Ks解密单元106、Ks加密单元107和用户数据区域108构成。用户数据区域108和保护区域103分别与图5所示便携式媒体3中的用户区域6和保护区域5对应。
系统区域101是只读区域，用于存储媒体密匙块(MKB)和媒体ID。存储在该区域中的MKB和媒体ID不能重写。假定SD存储卡100连接到诸如NetDRM终端装置2和PD 4a、4b和4c的其它装置上，且MKB和媒体ID由相连的装置之一读取。如果该装置利用内部保存的MKB、媒体ID和装置密匙Kd正确地执行了预定计算，它就可以获得正确的内容密匙Kmu。
隐藏区域102存储具有正确值的内容密匙Kmu，即如果装置利用正确的装置密匙Kd执行了正确的计算必定获得的内容密匙。
保护区域103存储TKE和UR-M。
AKE(验证和密匙交换)处理单元104和105在一个装置和SD存储卡100之间执行查询-响应类型的相互验证，以验证装置的真实性，且如果该装置无效则停止处理。然而，如果对应的装置有效，就由该装置和SD存储卡共享内容密匙(会话密匙Ks)。对于这种相互验证，连接到SD存储卡100的装置执行如下包括三个阶段的处理。第一阶段是challenge-1(查询阶段1)，其中，装置生成随机数，利用内容密匙Kmu对随机数加密并将加密值作为查询值A发送到SD存储卡100。第二阶段是response-1(响应阶段1)，其中，SD存储卡利用内部存储的内容密匙Kmu对查询值A解密，并将解密值作为响应值B发送给装置。第三阶段是verify-1(验证阶段1)，其中，装置利用它的内容密匙Kmu对内部保存的查询值A解密，并将解密值与从SD存储卡100发送的解密值B作比较。
对于相互验证，另一方面，SD存储卡100还执行如下也包括三个阶段的处理。第一阶段是challenge-2(查询阶段2)，其中，SD存储卡100生成随机数，利用内容密匙Kmu对随机数加密并将加密值作为查询值C发送到相连的装置。第二阶段是response-2(响应阶段2)，其中，相连的装置利用内部存储的内容密匙Kmu对查询值C解密，并将解密值作为响应值D发送给SD存储卡100。第三阶段是verify-2(验证阶段2)，其中，SD存储卡100利用它的内容密匙Kmu对内部保存的查询值C解密，并将解密值与装置发送的响应值D作比较。
如果装置将不正确的内容密匙Kmu用于这种相互验证，verify-1阶段中的查询值A和响应值B与verify-2阶段中的查询值C和响应值D就不匹配，结果该相互验证就终止。如果装置的真实性得到验证，AKE处理单元104和105就取查询值A和查询值C的异或，并利用内容密匙Kmu对所得结果加密，从而获得会话密匙Ks。
当从与SD存储卡100相连的装置输出将要写入保护区域103的加密TKE和UR-M时，Ks解密单元106假定TKE和UR-M已经利用会话密匙Ks加密，并利用会话密匙Ks对它们解密。然后，Ks解密单元106将得到的TKE和UR-M写到保护区域103中(假定所得到的TKE和UR-M是原始的)。
在收到指示从与SD存储卡100相连的装置读取TKE和UR-M的命令时，Ks加密单元107就利用会话密匙Ks对存储在保护区域103中的TKE和UR-M加密，然后将加密TKE和UR-M输出到发出该命令的装置。
用户数据区域108保存多个加密内容，可由任何相连的装置访问，而不管该装置的真实性是否经过验证。如果从保护区域103读取的内容密匙具有正确的值，就可以对存储在用户数据区域108中的加密内容正确地解密。Ks解密单元106的解密和Ks加密单元107的加密与从保护区域103读取和向其写入数据一起进行。因此，保护区域103通常仅可由已成功执行AKE处理的相连装置访问。
如上所述，本实施例允许在充分注意版权保护的条件下实现对数字作品的使用。
本发明的本实施例中公开的数据结构和各种处理基于如下列举的PCT已公布申请，从而可以在其中找到详细的技术信息。PCT已公布申请为2000年11月2日提交的WO 00/65602；2000年12月7日提交的WO 00/74054；2000年12月7日提交的WO 00/74059；2000年12月7日提交的WO 00/74060；以及2001年3月8日提交的WO 01/16821；注意，利用以上第一至第十一实施例中流程图和功能框图(图35至42、45和48)描述的过程可通过可执行程序实现，并且该可执行程序可以加以分配或商品化。可以将该可执行程序安装到通用计算机上加以使用。通用计算机连续执行已安装的机器语言程序，实现第一至第十一实施例中所述分配装置、NetDRM终端装置和PD的功能。
工业应用性本发明允许用户查看和收听各种数字作品，并免费地确定分配给各数字作品的使用条件，从而实现提高用户满意度的分配业务。因此，本发明非常适用于各种具有分配业务潜力的行业，例如电信业、图书出版业和电影业。
权利要求
1.一种分配装置，包括存储单元，存储许可信息；发送单元，可用于读取一部分所述许可信息，它将所读取部分连同数字内容发送给用户，并更新所述许可信息使之成为剩余部分，所述剩余部分是不包括所述读取部分的许可信息；以及增加单元，可用于(a)当从所述用户返回减少了的部分时，接收该减少了的部分，所述减少了的部分是根据所述数字内容使用情况减少了的所述发送部分，以及(b)通过更新所述许可信息，根据所述接收的减少了的部分增加所述剩余部分。
2.如权利要求1所述的分配装置，其特征在于当所述用户请求另一数字内容时，所述发送单元读取由所述增加单元更新的所述许可信息的另一部分，并将所述读取的另一部分连同所述另一数字内容发送给所述用户。
3.如权利要求2所述的分配装置，其特征在于所述存储单元存储的所述许可信息是总的可用次数“s”，“s”是满足“s≥2”的整数，所述读取部分是所述数字内容的可用次数“t”，“t”是满足“t≤s”的整数，以及在发送所述数字内容和所述读取部分之后，所述存储单元存储的所述许可信息更新为剩余可用次数“s-t”。
4.如权利要求3所述的分配装置，其特征在于所述减少了的部分是可用次数“u”，“u”是满足“u＜t”的整数，以及所述增加单元将所述剩余可用次数“s-t”增加到剩余可用次数“s-t+u”。
5.如权利要求4所述的分配装置，其特征在于所述发送单元读取从所述剩余可用次数“s-t+u”读取可用次数“ν”，所述可用次数“ν”是已更新许可信息的另一部分，并将所述读取的可用次数“ν”连同所述另一数字内容一起发送，其中“ν”是满足“ν≤s-t+u”的整数。
6.如权利要求5所述的分配装置，其特征在于所述发送单元还向所述用户发送门限信息，所述门限信息表示要视为一次计数的数字内容的最小使用时间。
7.如权利要求5所述的分配装置，其特征在于所述发送单元还向所述用户发送操作条件信息，所述操作条件信息限制所述数字内容在所述用户拥有的装置上的使用操作；以及所述可用次数表示可以执行的所述操作条件所限的使用操作次数。
8.如权利要求5所述的分配装置，其特征在于连同所述数字内容一起发送的所述可用次数“ν”针对所述用户拥有的装置上的所述数字内容的使用操作，以及所述发送单元还向所述用户发送针对所述装置上的所述数字内容的不同使用操作的可用次数。
9.如权利要求2所述的分配装置，其特征在于还包括第一接收单元，可用于从所述用户接收媒体独有信息，这种信息对于所述数字内容将要写入的记录媒体而言是独有的；第二接收单元，可用于从所述用户接收媒体独有信息，这种信息对于所述减少了的部分将要写入的记录媒体而言是独有的；以及判断单元，可用于判断所述第一接收单元接收的所述媒体独有信息与所述第二接收单元接收的所述媒体独有信息是否匹配，其中，仅当所述判断单元的判断结果是肯定的，所述增加单元才增加所述剩余部分以更新所述许可信息。
10.如权利要求2所述的分配装置，其特征在于还包括第一接收单元，可用于从所述用户接收客户独有信息，这种信息对于所述数字内容将要发送到的用户而言是独有的；第二接收单元，可用于从所述用户接收客户独有信息，这种信息对于返回所述减少了的部分的用户而言是独有的；以及判断单元，可用于判断所述第一接收单元接收的所述客户独有信息与所述第二接收单元接收的所述客户独有信息是否匹配，其中，仅当所述判断单元的判断结果是肯定的，所述增加单元才增加所述剩余部分以更新所述许可信息。
11.如权利要求2所述的分配装置，其特征在于所述存储单元存储的所述许可信息是总的可用时间“s”，“s”是满足“s≥2”的整数，所述读取部分是所述数字内容的可用时间“t”，“t”是满足t≤s的整数，以及在发送所述数字内容和所述读取部分之后，所述许可信息更新为剩余可用时间“s-t”。
12.如权利要求11所述的分配装置，其特征在于所述减少了的部分是可用时间“u”，“u”是满足“u＜t”的整数，以及所述增加单元将所述剩余可用时间“s-t”增加为可用时间“s-t+u”。
13.如权利要求12所述的分配装置，其特征在于所述发送单元读取作为所述许可信息的另一部分的可用时间“ν”，“ν”是满足“ν≤s-t+u”的整数，以及将所述可用时间“ν”连同所述另一数字内容一起发送。
14.如权利要求2所述的分配装置，其特征在于所述许可信息是可用次数“s”，“s”是满足“s≥2”的整数，在发送所述数字内容连同所述读取部分之后，所述发送单元将所述许可信息更新为剩余可用次数“s-t”，“t”是满足“t≤s”的整数，以及在所述减少了的部分从用户返回时，所述增加单元将所述更新的许可信息增加为可用次数“s-t+u”，其中“u”是满足“u≤t”的整数。
15.一种终端装置，它接收由存储数字内容和许可信息的分配装置分配的数字内容，所述终端装置包括接收单元，可用于从用户接收将部分所述许可信息分配给所述数字内容的指定；下载单元，可用于从所述分配装置接收所述数字内容和所述许可信息部分，并将所接收的所述数字内容和所述许可信息部分写入记录媒体；使用单元，可用于在所述许可信息部分指示的范围内使用所述数字内容；以及上载单元，可用于(a)获取记录在所述记录媒体上的所述部分，并将所获得的部分发送给所述分配装置，以及(b)使记录在所述记录媒体上的所述数字内容不可用。
16.如权利要求15所述的终端装置，其特征在于所述下载单元接收的所述部分是可用次数“t”，“t”是满足“t≥1”的整数，所述使用单元在每次使用所述数字内容时就将记录在所述记录媒体上的可用次数“t”减一，以及所述上载单元发送可用次数“u”，“u”是减少的可用次数“t”，“u”是满足“u≤t”的整数。
17.如权利要求16所述的终端装置，其特征在于所述下载单元从所述分配装置接收门限信息，并将接收的门限信息写入所述记录媒体，以及当所述数字内容的使用时间超过由所述门限信息表示的预定时间时，所述使用单元减少记录在所述记录媒体上的可用次数“t”。
18.如权利要求16所述的终端装置，其特征在于所述下载单元从所述分配装置接收操作条件信息，并将所述接收的操作条件信息写入所述记录媒体，所述操作条件信息限制所述用户拥有的装置上的使用操作，以及所述可用次数表示所述操作条件信息所限的可以执行的使用操作次数。
19.如权利要求16所述的终端装置，其特征在于所述可用次数“t”是所述用户拥有的装置上的使用操作的可用次数，以及所述下载单元还从所述分配装置接收不同使用操作的可用次数，并将所接收的可用次数写入所述记录媒体。
20.如权利要求15所述的终端，其特征在于所述下载单元接收的所述部分是可用时间“t”，所述使用单元每使用一次所述数字内容时就减少所述时间“t”，以及所述上载单元发送可用时间“u”，所述可用时间“u”是所述减少了的可用时间“t”，“u”是满足“u＜t”的整数。
21.如权利要求15所述的终端，其特征在于所述记录媒体是可以安装在所述终端装置上的便携式记录媒体，所述终端装置还包括读取单元，可用于从所述记录媒体读取媒体独有信息，这种媒体独有信息是所述记录媒体独有的；接收单元，可用于从所述分配装置接收媒体独有信息，这种媒体独有信息是利用所述用户的标识符在所述分配装置上登记的；以及判断单元，可用于判断所述接收单元接收的所述媒体独有信息与所述读取单元读取的所述媒体独有信息是否匹配，以及仅当所述判断单元的判断结果是肯定的，所述上载单元才将记录在所述记录媒体上的所述部分发送给所述分配装置。
22.一种程序，它使计算机执行分配过程，所述计算机具有存储数字内容和许可信息的存储单元，所述分配过程包括发送步骤，用于读取一部分所述许可信息，将所读取部分连同数字内容一起发送给用户，并更新所述许可信息使之成为剩余部分，所述剩余部分是不包括所述读取部分的所述许可信息；以及增加步骤，用于(a)当从所述用户返回减少了的部分时，接收该减少了的部分，所述减少了的部分是根据所述数字内容使用情况减少了的所述发送部分，以及(b)通过更新所述许可信息，根据所述接收的减少了的部分增加所述剩余部分。
23.如权利要求22所述的程序，其特征在于当所述用户请求另一数字内容时，就读取所述增加步骤中更新的所述许可信息的另一部分，并在所述发送步骤中将所述读取部分连同所述另一数字内容一起发送给所述用户。
24.如权利要求23所述的程序，其特征在于所述存储单元存储的所述许可信息是总的可用次数“s”，“s”是满足“s≥2”的整数，所述读取部分是所述数字内容的可用次数“t”，“t”是满足“t≤s”的整数，以及在发送所述数字内容和所述读取部分之后，所述存储单元存储的所述许可信息更新为剩余可用次数“s-t”。
25.如权利要求24所述的程序，其特征在于所述减少了的部分是可用次数“u”，“u”是满足“u＜t”的整数，以及在所述增加步骤中，将所述剩余可用次数“s-t”增加到剩余可用次数“s-t+u”。
26.如权利要求25所述的程序，其特征在于从所述剩余可用次数“s-t+u”读取作为所述已更新许可信息的另一部分的所述可用次数“ν”，并在所述发送步骤中将所述读取的可用次数“ν”连同所述另一数字内容一起发送，其中“ν”是满足“ν≤s-t+u”的整数。
27.一种计算机可读记录媒体，其上记录了如权利要求26所述的程序。
28.如权利要求23所述的程序，其特征在于所述存储单元存储的所述许可信息是总可用时间“s”，“s”是满足“s≥2”的整数，所述读取部分是所述数字内容的可用时间“t”，“t”是满足“t≤s”的整数，以及在发送所述数字内容和读取部分之后，所述许可信息更新为剩余可用时间“s-t”。
29.如权利要求28所述的程序，其特征在于所述减少了的部分是可用时间“u”，“u”是满足“u＜t”的整数，以及在所述增加步骤中将所述剩余可用时间“s-t”增加为可用时间“s-t+u”。
30.如权利要求29所述的程序，其特征在于读取作为所述许可信息的另一部分的可用时间“ν”，“ν”是满足“ν≤s-t+u”的整数，以及在所述发送步骤中将所述可用时间“ν”连同所述另一数字内容一起发送。
31.一种计算机可读记录媒体，其上记录了如权利要求30所述的程序。
32.如权利要求23所述的程序，其特征在于所述许可信息是可用次数“s”，“s”是满足“s≤2”的整数，在所述发送步骤发送了所述数字内容连同所述读取部分之后，所述许可信息更新为剩余可用次数“s-t”，其中“t”是满足“t≤s”的整数，以及当所述用户返回所述减少了的部分时，在所述增加步骤中将所述更新许可信息增加为可用次数“s-t+u”，其中“u”是满足“u≤t”的整数。
33.一种计算机可读记录媒体，其上记录了如权利要求32所述的程序。
34.一种程序，使计算机执行发送/接收过程，以接收由存储数字内容和许可信息的分配装置分配的数字内容，所述发送/接收过程包括接收步骤，用于从用户接收将部分所述许可信息分配给所述数字内容的指定；下载步骤，用于从所述分配装置接收所述数字内容和所述许可信息部分，并将所接收的所述数字内容和所述许可信息部分写入记录媒体；使用步骤，用于在所述许可信息部分指示的范围内使用所述数字内容；以及上载步骤，用于(a)获取记录在所述记录媒体上的所述部分，并将所获得的部分发送给所述分配装置，以及(b)使记录在所述记录媒体上的所述数字内容不可用。
35.如权利要求34所述的程序，其特征在于所述下载步骤中接收的所述部分是可用次数“t”，“t”是满足“t≥1”的整数，在所述使用步骤中每使用所述数字内容一次，就减少记录在所述记录媒体上的所述可用次数“t”，以及在所述上载步骤中发送作为所述减少了的可用次数“t”的可用次数“u”，“u”是满足“u≤t”的整数。
36.一种计算机可读记录媒体，其上记录了如权利要求35所述的程序。
37.如权利要求34所述的程序，其特征在于所述下载步骤中接收的所述部分是可用时间“t”，在所述使用步骤中每使用所述数字内容一次，就减少所述可用时间“t”，以及在所述上载步骤中发送作为所述减少了的可用时间“t”的可用时间“u”，“u”是满足“u＜t”的整数。
38.一种计算机可读记录媒体，其上记录了如权利要求37所述的程序。
39.如权利要求34所述的程序，其特征在于所述记录媒体是可以安装在所述终端装置上的便携式记录媒体，所述终端装置还包括读取步骤，用于从所述记录媒体读取媒体独有信息，这种媒体独有信息是所述记录媒体独有的；接收步骤，用于从所述分配装置接收媒体独有信息，这种媒体独有信息是利用所述用户的标识符在所述分配装置上登记了的；以及判断步骤，用于判断在所述接收步骤中接收的所述媒体独有信息和在所述读取步骤中读取的所述媒体独有信息是否匹配，以及仅当所述判断步骤中的判断结果是肯定的，所述上载步骤中才将记录在所述记录媒体上的所述部分发送给所述分配装置。
40.一种计算机可读记录媒体，其上记录了如权利要求39所述的程序。
41.一种分配方法，用在具有存储数字内容和许可信息的存储单元的计算机中，所述分配方法包括发送步骤，用于读取一部分所述许可信息，将所读取的部分连同数字内容一起发送给用户，并更新所述许可信息使之成为剩余部分，所述剩余部分是不包括所述读取部分的所述许可信息；以及增加步骤，用于(a)当从所述用户返回减少了的部分时，接收该减少了的部分，所述减少了的部分是根据所述数字内容使用情况减少了的所述发送部分，以及(b)根据所述接收的减少了的部分，通过更新所述许可信息增加所述剩余部分。
42.一种发送/接收方法，用在接收由存储数字内容和许可信息的分配装置分配的数字内容的计算机中，所述发送/接收方法包括接收步骤，用于从用户接收要分配给所述数字内容的一部分所述许可信息；下载步骤，用于从所述分配装置接收所述数字内容和所述许可信息部分，并将所述接收的数字内容和所述许可信息部分写入记录媒体；使用步骤，用于在所述部分许可信息指示的范围内使用所述数字内容；以及上载步骤，用于(a)获取记录在所述记录媒体上的所述部分，并将所述获取部分发送给所述分配装置，以及(b)使记录在所述记录媒体上的所述数字内容不可用。
全文摘要
分配装置(1)以互相关联的方式保存由两个或多个数字内容和权限管理信息(UR.Us)构成的组，所述权限管理信息表示该组的用户权限范围。分配装置按照用户请求，将组中的数字内容连同LT发送给NetDRM终端装置(2)。这时，分配装置更新权限管理信息，以减少权限范围。当更新的LT从用户返回时，分配装置根据已更新的LT所指示的部分权限范围增加已减少的权限范围。在用户请求时，分配装置再将组中表示已增加权限范围的部分权限范围的LT和不同的数字内容发送给NetDRM终端(2)。
文档编号G06Q30/00GK1503953SQ01822495
公开日2004年6月9日 申请日期2001年12月6日 优先权日2000年12月8日
发明者冈本隆一, 小塚雅之, 南贤尚, 井上光启, 之, 启 申请人:松下电器产业株式会社