可复原只容许唯一存在的专用数据的数据记录装置的制作方法

专利名称：可复原只容许唯一存在的专用数据的数据记录装置的制作方法
技术领域：
本发明涉及用于将由可对所复制的信息执行著作权保护的数据传送系统取得的对加密数据等进行解密和再生用的许可证之类的只容许唯一存在的专用数据转移/复制到其他数据记录装置的数据记录装置。
背景技术：
近年来，随着因特网之类的数字信息通信网等的不断进步，使各用户能够很容易地借助于采用了便携式电话机的面向个人的终端对网络信息进行访问。
在这种数字信息通信网中，利用数字信号传输信息。因此，即使是在各个人用户对例如在如上所述的信息通信网上传输的音乐或图象数据进行了复制的情况下，也能以音质和画质几乎不会因这种复制而恶化的方式进行数据的复制。
因此，当在这种数字信息通信网上传输音乐数据或图象数据等著作者持有著作权的内容时，如不采取适当的著作权保护对策，则著作权持有者的权利显然有受到侵害的危险。
另一方面，如不能以著作权保护为最优先的目的而通过急速扩大的数字信息通信网进行内容数据的传送，则即使是对在复制著作物数据时可以征收一定的著作权费的著作者，从根本上说也反而是不利的。
这里，当不是通过如上所述的数字信息通信网进行的传送而是以记录了数字数据的记录媒体为例进行考察时，对于通常销售的记录了音乐数据的CD(压缩光盘)，从CD到磁性光盘(MD等)的音乐数据复制，只要该复制的音乐仅限于个人使用，则原则上可以自由进行。但是，进行数字录音等的个人用户，已预先以数字录音设备本身和MD等媒体的货款中的一定金额间接地向著作权持有者支付了著作权费。
而且，当从CD向MD复制了作为数字信号的音乐数据时，鉴于这些信息是几乎不会因复制而恶化的数字数据，因此，当从可记录的MD进一步将音乐数据作为数字数据复制到其他的MD时，要想进行著作权保护从设备的结构上说是不可能的。
从上述情况来看，通过数字信息通信网向公众传送音乐数据或图象数据等内容数据，由于其本身是受著作权持有者的公众发送权限制的行为，所以也必需采取充分的用于著作权保护的对策。
在这种情况下，对通过数字信息通信网向公众发送的作为著作物的音乐数据或图象数据等内容数据，必须防止能很轻易地对已接收过一次的内容数据进行再次的复制。
因此，提出了一种由保持着将内容数据加密后的加密内容数据的传送服务器通过终端装置向安装在便携式电话机等终端装置内的存储卡传送加密内容数据的数据传送系统。在这种数据传送系统中，将预先由认证机构进行了认证的存储卡的公开加密密钥及其证书发送到传送服务器，在传送服务器确认已接收到经过了认证的证书后，向存储卡发送加密内容数据和用于将加密内容数据解密的许可证密钥。另外，在传送许可证密钥时，传送服务器及存储卡，在每次传送中分别生成不同的对话密钥，并用所生成的该对话密钥对公开加密密钥进行加密，从而在传送服务器和存储卡相互之间进行密钥的交换。
最后，传送服务器，将用各存储卡的公开加密密钥加密并进一步用对话密钥加密后的许可证及加密内容数据发送到存储卡。接着，存储卡，将接收到的许可证密钥及加密内容数据记录在存储卡内。
另外，当对记录在存储卡内的加密内容数据进行再生时，将存储卡安装在便携式电话机内。便携式电话机，除通常的电话功能外还具有用于从存储卡将加密内容数据解密和再生后向外部输出的专用电路。
如上所述，便携式电话机的用户，可以用便携式电话机从传送服务器接收加密内容数据并对该加密内容数据进行再生。
另一方面，也可以通过因特网将加密内容数据传送到个人计算机。并且，当对个人计算机传送加密内容数据时，利用安装在个人计算机内的软件传送加密内容数据，与将加密内容数据写入存储卡的情况相比，这种传送方式对加密内容数据的保密性较低。此外，如将保密性与上述存储卡相同的设备安装在个人计算机内，则能以与对上述便携式电话机进行的加密内容数据的传送相同的方式对个人计算机进行传送。
按照这种方式，个人计算机，可以利用所安装的软件和上述设备接收加密内容数据。就是说，个人计算机，可接收密级不同的加密内容数据。
进一步，记录音乐数据的音乐CD得到广泛普及，并可以通过扯开动作从音乐CD取得音乐数据。接着，通过该扯开动作从音乐数据生成加密音乐数据(加密内容数据)并生成用于对该加密音乐数据进行解密和再生的许可证。另外，在该扯开动作中，从内容数据中检出规定着内容数据使用规则的水印标记，并根据所检出的该水印标记的内容生成加密内容数据和许可证。
如上所述，便携式电话机及个人计算机，从传送服务器接收加密后的加密内容数据和许可证。然后，便携式电话机及个人计算机的用户，也可以将接收到的加密内容数据和许可证转移或复制到其他用户的便携式电话机及个人计算机。在这种情况下，用户可以自由地将加密内容数据转移/复制到其他用户的便携式电话机及个人计算机，但不能自由地将用于对加密音乐数据进行解密的许可证转移到其他用户的便携式电话机及个人计算机。就是说，在将许可证转移/复制到其他用户的便携式电话机及个人计算机时，从加密内容数据的著作保护权的观点考虑，不能在发送侧和接收侧的双方都留有许可证。因此，当进行了许可证的转移/复制时，将发送侧的许可证删除。
但是，在现有的许可证的转移/复制方法中，在向其他用户转移/复制许可证的过程中通信被切断时，存在着许可证不能传送到其他用户而发送侧也变成已将许可证删除的状态因而不能利用作为转移/复制对象的许可证将加密数据解密的问题。
因此，本发明的目的在于，提供一种在向其他数据记录装置转移许可证之类的只容许唯一存在的专用数据的过程中即使通信被切断时也仍能将作为转移对象的专用数据复原的数据记录装置。

发明内容
按照本发明，数据记录装置，可向其他数据记录装置转移只容许唯一存在的专用数据，该数据记录装置的特征在于备有保持用于特定向其他数据记录装置转移专用数据的处理的第1历史信息的历史信息保持部、保持专用数据的专用数据保持部及控制部，控制部，在专用数据向其他数据记录装置的转移中变更为使专用数据不能向外部输出的状态，并响应专用数据的复原请求而从其他记录装置接收指示与其他数据记录装置的通信状态并保持在其他数据记录装置内的通信信息及保持在其他数据记录装置内的用于特定转移处理的第2历史信息，根据通信信息对与其他数据记录装置的通信状态进行确认，当通信信息指示正在转移的过程中时，判定第2历史信息是否与第1历史信息一致，当第2历史信息与第1历史信息一致时，恢复为可将专用数据向外部输出的状态。
最好是，专用数据保持部，还保持指示可将专用数据的一部分或全部向外部输出或不可输出的可否输出标志，控制部，在专用数据向其他数据记录装置的转移中将可否输出标志设定为不可输出，当复原专用数据时，将可否输出标志设定为可以输出。
最好是，历史信息保持部，还将作为转移对象的专用数据保持在不可向外部输出的状态，控制部，在专用数据向其他数据记录装置的转移中将作为转移对象的专用数据供给历史信息保持部并将作为转移对象的专用数据从专用数据保持部删除，当复原专用数据时，将保持在历史信息保持部的专用数据写入专用数据保持部。
最好是，第1历史信息，在建立用于转移的通信时由其他数据记录装置生成，而且是从其他数据记录装置接收的第1对话密钥，第2历史信息，在建立用于转移的通信时由其他数据记录装置生成，而且是与保持在其他数据记录装置内的第1对话密钥相同的第2对话密钥。
最好是，还备有根据电子签名确认通信信息和第2历史信息的合法性的签名确认装置，控制部，在从其他数据记录装置接收通信信息及第2历史信息的同时还接收与通信信息和第2历史信息对应的电子签名，当由签名确认装置确认了通信信息及第2历史信息的合法性时，对通信状态进行确认，并确认第1历史信息与第2历史信息的一致性。
最好是，还备有生成用于特定与其他数据记录装置的通信的对话密钥的对话密钥生成部、利用由对话密钥生成部生成的对话密钥将加密内容数据解密的解密部，当复原专用数据时，对话密钥生成部，生成特定用于专用数据的复原的通信的第3对话密钥，控制部，将第3对话密钥发送到其他数据记录装置，并从其他数据记录装置接收由第3对话密钥加密后的第2历史信息。
最好是，还备有生成用于特定与其他数据记录装置的通信的对话密钥的对话密钥生成部、利用由对话密钥生成部生成的对话密钥将加密内容数据解密的解密部，当复原专用数据时，对话密钥生成部，生成特定用于专用数据的复原的通信的第3对话密钥，控制部，将第3对话密钥发送到其他数据记录装置，并从其他数据记录装置接收由第3对话密钥加密后的第2历史信息及由第3对话密钥加密后的电子签名的数据。
最好是，历史信息保持部，将作为转移对象的专用数据中所包含的第1数据特定信息与第1历史信息一起保持，控制部，进一步判定从其他数据记录装置接收的作为转移对象的第2数据特定信息是否与第1数据特定信息一致，当第2数据特定信息与第1数据特定信息一致时，对通信状态进行确认，并确认第1历史信息与第2历史信息的一致性。
最好是，还备有根据电子签名确认通信信息、第2历史信息和第2数据特定信息的合法性的签名确认装置，控制部，在接收通信信息、第2历史信息及第2数据特定信息的同时还接收与通信信息、第2历史信息及第2数据特定信息对应的电子签名，当由签名确认装置确认了通信信息、第2历史信息及第2数据特定信息的合法性时，确认第2数据特定信息与第1数据特定信息的一致性、且对通信信息进行确认，并确认第1历史信息与第2历史信息的一致性。
最好是，还备有保持指示与其他数据记录装置或与该其他数据记录装置不同的另一个其他数据记录装置的通信状态的另一通信信息的通信信息保持部、保持用于特定从其他数据记录装置或另一个其他数据记录装置转移专用数据的处理的第3历史信息的另一历史信息保持部，控制部，当在专用数据的转移处理中从其他数据记录装置或另一个其他数据记录装置接收作为转移对象的专用数据时，将第3历史信息记录在另一历史信息保持部内，并响应来自外部的历史信息输出请求而输出通信信息和第3历史信息。
最好是，还备有用于生成特定与其他数据记录装置或另一个其他数据记录装置的通信的对话密钥的对话密钥生成部，对话密钥生成部，在专用数据的转移处理中生成特定用于从其他数据记录装置或另一个其他数据记录装置接收作为转移对象的专用数据的通信的第4对话密钥，控制部，当建立从其他数据记录装置或另一个其他数据记录装置接收作为转移对象的专用数据的通信时，在将第4对话密钥发送到其他数据记录装置或另一个其他数据记录装置的同时将第4对话密钥作为第3历史信息存储在另一历史信息保持部内，并响应来自外部的历史信息输出请求而输出另一通信信息和第3历史信息。
最好是，还备有生成与另一通信信息及第3历史信息对应的电子签名的电子签名生成部，控制部，响应来自外部的历史信息输出请求，输出另一通信信息、第3历史信息及电子签名。
最好是，还备有利用从其他数据记录装置或另一个其他数据记录装置输入的第5对话密钥进行加密的加密处理部，控制部，当建立从其他数据记录装置或另一个其他数据记录装置接收作为转移对象的专用数据的通信时，在将第4对话密钥输出到其他数据记录装置或另一个其他数据记录装置的同时将第4对话密钥作为第3历史信息存储在另一历史信息保持部内，并响应来自外部的历史信息输出请求而输出另一通信信息和在加密处理部中由第5对话密钥加密后的第3历史信息。
最好是，还备有利用从其他数据记录装置或另一个其他数据记录装置输入的第5对话密钥对数据进行加密的加密处理部、生成与通信信息及在加密处理部中由从外部输入的第3对话密钥加密后的第3历史信息对应的电子签名的电子签名生成部，加密处理部，用第5对话密钥将第3历史信息和电子签名加密，控制部，当建立从其他数据记录装置或另一个其他数据记录装置接收作为转移对象的专用数据的通信时，在将第4对话密钥输出到其他数据记录装置或另一个其他数据记录装置的同时将第4对话密钥作为第3历史信息存储在另一历史信息保持部内，并响应来自外部的历史信息输出请求而输出通信信息、由第5对话密钥加密后的第3历史信息及由第5对话密钥加密后的电子签名。
最好是，控制部，将特定来自其他数据记录装置或另一个其他数据记录装置的作为转移对象的专用数据的第3数据特定信息记录在通信信息保持部内，并响应第3数据特定信息的输出请求而从通信信息保持部读出第3数据特定信息，然后将其与通信信息及第3历史信息一起输出。
专用数据，最好是用于将加密内容数据解密的许可证。
因此，按照本发明，在向其他数据记录装置转移只容许唯一存在的专用数据的过程中即使通信被切断也仍能将作为转移对象的专用数据复原。


图1是从概念上说明数据传送系统的简图。
图2是从概念上说明另一种数据传送系统的简图。
图3是表示图1和图2所示数据传送系统中的用于通信的数据、信息等的特性的图。
图4是表示图1和图2所示数据传送系统中的用于通信的数据、信息等的特性的图。
图5是表示图1和图2所示数据传送系统中的传送服务器的结构的简略框图。
图6是表示图1和图2所示数据传送系统中的个人计算机的结构的简略框图。
图7是表示图2所示数据传送系统中的再生终端的结构的简略框图。
图8是表示图1和图2所示数据传送系统中的存储卡的结构的简略框图。
图9是用于说明图1和图2所示数据传送系统中的传送动作的第1流程图。
图10是用于说明图1和图2所示数据传送系统中的传送动作的第2流程图。
图11是表示个人计算机的硬盘中的内容表文件的结构的图。
图12是表示存储卡中的再生表文件的结构的13是存储卡之间的转移动作的概念的简略框14是用于说明图1和图2所示数据传送系统中的加密内容数据的许可证的转移/复制动作的第1流程图。
图15是用于说明图1和图2所示数据传送系统中的加密内容数据的许可证的转移/复制动作的第2流程图。
图16是用于说明图1和图2所示数据传送系统中的加密内容数据的许可证的转移/复制动作的第3流程图。
图17是用于说明存储卡的运行记录区域的简略框图。
图18是用于说明许可证的复原动作的第1流程图。
图19是用于说明许可证的复原动作的第2流程图。
图20是用于说明便携式电话机或再生终端的再生动作的流程图。
具体实施例方式
以下，边参照附图边详细地说明本发明的实施形态。此外，对各图中的相同或相当的部分标以同一符号而其说明不再重复。
图1是用于从概念上说明本发明的由数据记录装置取得加密内容数据及用于将加密内容数据解密的许可证的数据传送系统的总体结构的简图。
另外，在下文中，虽然以通过便携式电话网将音乐数据传送到用户的便携式电话机所装有的存储卡110或通过因特网将音乐数据传送到各个人计算机的数据传送系统的结构为例进行说明，但从以下的说明中可以看出，本发明并不限定于这种情况，在传送作为其他著作物的内容数据、例如图象数据、动图象数据等情况下也可以应用。
参照图1，传送通信公司20，将通过自身的便携式电话网得到的来自用户的传送请求转发到传送服务器10。管理音乐数据的传送服务器10，对因请求传送数据而进行了访问的便携式电话用户的便携式电话机100所装有的存储卡110是否具有合法的认证数据、即是否是正规的存储卡进行认证处理。然后，传送服务器10，为保护与合法的存储卡有关的著作权而按规定的加密方式将音乐数据(以下也称内容数据)加密后，将上述加密内容数据及作为对加密内容数据进行再生所需的信息并包含着用于将加密内容数据解密的许可证密钥的许可证供给传送通信公司20即便携式电话公司。
传送通信公司20，通过便携式电话网及便携式电话机100向通过自身的便携式电话网发送了传送请求的便携式电话机100所装有的存储卡110传送加密内容数据和许可证。
在图1中，例如在便携式电话用户的便携式电话机100中，安装着可装卸的存储卡110。存储卡110，接收由便携式电话机100接收到的加密内容数据，并在将为保护著作权而进行的加密解密后供给便携式电话机100中的音乐再生电路(图中未示出)。
进一步，例如，便携式电话用户，可以通过与便携式电话机100连接的头戴式耳机130等将上述内容数据「再生」而进行收听。
总之，在如上所述的结构中，如不使用存储卡110，则在结构上很难从传送服务器10接收内容数据的传送并对音乐进行再生。
而且，在传送通信公司20中，每当例如传送一首乐曲的加密内容数据时，如由传送通信公司20通过对其次数进行计数而与便携式电话机的通话费用一起征收便携式电话机的用户每次接收(下载)加密内容数据时所产生的著作权费，则使著作权持有者很容易确保著作权费。
另外，在图1中，传送服务器10，接收通过因特网30取得的来自个人计算机50的用户的传送请求。于是，传送服务器10，对因请求传送数据而进行了访问的个人计算机50是否使用着具有合法认证数据的许可证专用存储卡(图中未示出)进行访问、即是否是正规的许可证专用存储卡进行认证处理。接着，传送服务器10，将为保护著作权而按规定的加密方式对音乐数据进行加密后的加密内容数据及包含着该加密内容数据的解密密钥即许可证密钥的许可证通过因特网30发送到备有合法的许可证专用存储卡的个人计算机。个人计算机50的许可证专用存储卡存储接收到的许可证。
个人计算机50，由于所装有的许可证专用存储卡(硬件)具有与存储卡110的有关许可证管理的功能相同的功能，所以能够接收与用便携式电话机及存储卡110接收的相同的传送。
进一步，个人计算机50，通过专用电缆65与便携式电话机100连接，从而可以将加密内容数据和许可证发送到安装在便携式电话机100内的存储卡110。
因此，在图1所示的数据传送系统中，安装在便携式电话机100内的存储卡110，可以通过便携式电话网从传送服务器10接收和存储加密内容数据和许可证，同时还可以从个人计算机50接收和存储由个人计算机50通过因特网30从传送服务器10取得的加密内容数据和许可证。
进一步，安装在便携式电话机100内的存储卡110，可以将通过便携式电话网从传送服务器10接收到的加密内容数据和许可证保存在个人计算机50内。
图2示出采用了不具备通过便携式电话网从传送服务器10接收加密内容数据和许可证的功能的再生终端102时的数据传送系统。在图2所示的数据传送系统中，安装在再生终端102内的存储卡110，接收和存储由个人计算机50从传送服务器10取得的加密内容数据和许可证。因此，通过由个人计算机50取得加密内容数据和许可证，即使不具备通信功能的再生终端102的用户也可以接收加密内容数据和许可证。
在如图1和图2所示的结构中，为了可以在便携式电话机或个人计算机的用户侧对加密后传送的内容数据进行再生，在系统上所需要的，第1是通信中的用于传送许可证的方式、第2是对内容数据进行加密的方式本身、进一步，第3是实现用于防止未经准许而擅自对上述内容数据进行复制的著作权保护的结构。
在本发明的实施形态中，主要说明当进行传送及再生的各项处理时通过充实对这些处理中的许可证密钥的转移目的地的认证及检验功能并防止对未通过认证的记录装置(存储卡及许可证专用存储卡等)及再生终端(备有内容再生电路的便携式电话机或个人计算机)输出内容数据以防许可证密钥泄露从而强化内容数据的著作保护权的结构。
另外，在以下的说明中，假定将从传送服务器10向各便携式电话机、各个人计算机等传输加密内容数据或其许可证的处理称为「传送」。
图3是说明图1和图2所示数据传送系统中使用的用于通信的数据、信息等的特性的图。
首先，说明由传送服务器10传送的数据。Dc是音乐数据等内容数据。对内容数据Dc进行可用许可证密钥Kc解密的加密。进行了可用许可证密钥Kc解密的加密后的加密内容数据{Dc}Kc，由传送服务器10以该形式传送到便携式电话机100或个人计算机的用户。
另外，在下文中，{Y}X这样的标记，表示对数据Y进行了可用解密密钥X解密的加密。
进一步，从传送服务器10将与涉及内容数据的著作权或服务器访问等有关的明文信息形式的附加信息Dc-inf与加密内容数据一起进行传送。此外，作为许可证，存在着许可证密钥Kc、许可证ID、内容ID、访问控制信息ACm及再生控制信息ACp等。许可证ID，是用于管理从传送服务器10的许可证传送并识别许可证的代码，内容ID，是用于识别内容数据Dc及许可证密钥Kc的代码。访问控制信息ACm，是与记录装置(存储卡或许可证专用存储卡)中的对许可证的访问的限制有关的信息。再生控制信息ACp，是与内容再生电路中的再生有关的控制信息。具体地说，访问控制信息ACm，是当从存储卡及许可证专用存储卡向外部输出许可证或许可证密钥时的控制信息，包括可再生次数(为再生而输出许可证密钥的次数)及与许可证的转移、复制有关的控制信息等。再生控制信息Acp，是当为进行再生而由内容再生电路接收到许可证密钥后用于限制再生的控制信息，包括再生期限、再生速度变更限制及再生范围指定(部分许可证)等。
以下，将许可证ID、内容ID、许可证密钥Kc、访问控制信息ACm及再生控制信息ACp合在一起而统称为许可证。
另外，在下文中，为简化起见，假定访问控制信息ACm仅为2项、即作为限制再生次数的控制信息的再生次数(0不可再生、1～254可再生次数、255；无限制)及限制许可证的转移和复制的转移/复制限制标志(0禁止转移复制、1只可转移、2可转移复制)，并假定再生控制信息Acp只限制作为限定可再生期限的控制信息的再生期限(UTCtime码)。
在本发明的实施形态中，当从发送源的记录装置(存储卡或许可证专用存储卡)向接收目的地的记录装置转移/复制许可证时，使用指示保持在发送源的记录装置中的许可证有效、无效的有效标志。当该有效标志为有效时，意味着可以从存储卡向外部输出许可证，当有效标志为无效时，意味着不能从存储卡向外部输出许可证。
图4是说明图1和图2所示数据传送系统中使用的用于认证的数据、信息等的特性的图。
对数据再生终端内的内容再生电路、存储卡及许可证专用存储卡，分别设定固有的公开加密密钥KPpy及KPmw。公开加密密钥KPpy，可以用内容再生电路所固有的秘密解密密钥Kpy解密。而公开加密密钥KPmw，可以用存储卡及许可证专用存储卡所固有的秘密解密密钥Kmw解密。这些公开加密密钥及秘密解密密钥，按存储卡及许可证专用存储卡的各种类别而具有不同的值。将这些公开加密密钥及秘密解密密钥统称为类别密钥，将公开加密密钥称为类别公开加密密钥，将秘密解密密钥称为类别秘密解密密钥，并将共用类别密钥的单位称为类别。
另外，设定Cpy为内容再生电路的类别证书，设定Cmw为存储卡及许可证专用存储卡的类别证书。这些类别证书，按内容再生电路、存储卡及许可证专用存储卡的每种类别具有不同的信息。
内容再生电路的类别公开加密密钥及类别证书，在出厂时以认证数据{KPpy∥Cpy}KPa的形式记录在内容再生电路内。而存储卡及许可证专用存储卡的类别公开加密密钥及类别证书，在出厂时以认证数据{KPmw∥Cmw}KPa的形式分别记录在存储卡及许可证专用存储卡内。KPa是由整个传送系统共用的公开认证密钥，在后文中将对其进行详细说明。
另外，作为用于管理存储卡110及许可证专用存储卡内的数据处理的密钥，还存在着按每个存储卡及许可证专用存储卡之类的媒体设定的公开加密密钥KPmcx及可将由公开加密密钥KPmcx加密后的数据解密的各自固有的秘密解密密钥Kmcx。将这些按每个存储卡及许可证专用存储卡设定的公开加密密钥及秘密解密密钥统称为专用密钥，并将公开加密密钥KPmcx称作专用公开加密密钥，将秘密解密密钥Kmcx称作专用秘密解密密钥。
每当进行许可证的传送、转移、复制及再生时使用由传送服务器10、便携式电话机100、存储卡110及许可证专用存储卡生成的共用密钥Ks1～Ks3。
这里，共用密钥Ks1～Ks3，是作为传送服务器、内容再生电路、存储卡或许可证专用存储卡之间的通信单位或访问单位的每次「对话」中生成的固有的共用密钥，在下文中，也将这些共用密钥Ks1～Ks3称作「对话密钥」。
通过使这些对话密钥Ks1～Ks3在各对话中具有固有的值，由传送服务器、内容再生电路、存储卡及许可证专用存储卡进行管理。具体地说，对话密钥Ks1，由传送服务器在每次传送对话中生成。对话密钥Ks2，由存储卡及许可证专用存储卡在每次传送对话及再生对话中生成，对话密钥Ks3，由内容再生电路在每次再生对话中生成。在各对话中，通过发送和接收这些对话密钥并在接收由其他设备生成的对话密钥而用该对话密钥执行了加密后进行许可证密钥等的发送，可以提高对话中的保密强度。
图5是表示图1和图2所示传送服务器10的结构的简略框图。
传送服务器10，备有用于保持按规定方式将内容数据加密后的数据或内容ID等的传送信息的信息数据库304、用于保持从便携式电话机或个人计算机的各个用户开始访问内容数据起的计费信息的计费数据库302、用于保持信息数据库304中所保持的内容数据的菜单的菜单数据库307、保持在许可证的每次传送中生成且与特定许可证的许可证ID等的传送有关的运行记录的传送记录数据库308、通过总线BS1从信息数据库304、计费数据库302、菜单数据库307及传送记录数据库308接收数据并进行规定的处理用的数据处理部310、用于在传送通信公司20与数据处理部310之间通过通信网进行数据发送接收的通信装置350。
数据处理部310，包含根据总线BS1上的数据控制数据处理部310的动作用的传送控制部315、由传送控制部315控制并用于在传送对话时生成对话密钥Ks1的对话密钥生成部316、保持用于将从许可证专用存储卡传送到的用于认证的认证数据{KPmw∥Cmw}KPa解密的公开认证密钥KPa的认证密钥保持部313、通过通信装置350及总线BS1接收从存储卡及许可证专用存储卡传送到的用于认证的认证数据{KPmw∥Cmw}KPa并利用来自认证密钥保持部313的公开认证密钥KPa进行解密处理的解密处理部312、利用由解密处理部312得到的类别公开加密密钥KPmw将由在每次传送中生成对话密钥Ks1的对话密钥生成部316生成的对话密钥Ks1加密并将其输出到总线BS1上的加密处理部318、从总线BS1接收由对话密钥Ks1加密后发送的数据并用对话密钥Ks1进行解密处理的解密处理部320。
数据处理部310，还包含利用由解密处理部320得到的由每个存储卡及许可证专用存储卡专用的公开加密密钥KPmcx将从传送控制部315供给的许可证密钥Kc及访问控制信息ACm加密用的加密处理部326、利用从解密处理部320供给的对话密钥Ks2将加密处理部326的输出进一步加密并将其输出到总线BS1上的加密处理部328。
关于传送服务器10在传送对话中的动作，将在后文中用流程图进行详细的说明。
图6是用于说明图1和图2所示个人计算机50的结构的简略框图。个人计算机50，包含用于进行个人计算机50的各部的数据发送接收的总线BS2、用于在个人计算机50的内部进行控制并执行各种程序的控制器(CPU)510、与总线BS2连接并用于记录和存储程序和数据的大容量记录装置即硬盘(HDD)530及CD-ROM驱动器540、用于从视觉上向用户提供各种信息的显示器570。
个人计算机50，还包含当与便携式电话机100等之间对加密内容数据和许可证进行通信时用于在控制器510与端子580之间控制数据的发送接收的USB(Universal Serial Bus通用串行总线)接口550、用于连接专用电缆65或USB电缆75的端子580、当通过因特网30与传送服务器10进行通信时在控制器510与端子585之间控制数据的发送接收的调制解调器555、用于连接因特网30的端子585。
控制器510，控制与传送服务器10之间的数据的发送接收，以便由许可证专用存储卡520通过因特网30从传送服务器10接收加密内容数据等。进一步，个人计算机50，还包含当从传送服务器10接收加密内容数据和许可证时与传送服务器10之间进行各种密钥的交换并以硬件方式管理用于对传送到的加密内容数据进行再生的许可证的许可证专用存储卡520、及在总线BS2与许可证专用存储卡520之间进行数据发送接收的存储卡接口525。
许可证专用存储卡520，以硬件方式进行从传送服务器10接收加密内容数据和许可证时的数据发送接收，并以硬件方式管理接收到的许可证。
如上所述，个人计算机50，内部装有通过因特网30从传送服务器10接收加密内容数据和许可证或用于存储从存储卡110保存在这里的许可证的许可证专用存储卡520。
图7是用于说明图2所示再生终端102的结构的简略框图。
再生终端102，包含用于进行再生终端102的各部的数据发送接收的总线BS3、通过总线BS3控制再生终端102的动作用的控制器1106、用于将来自外部的指示施加于再生终端102的操作面板1108、用于将从控制器1106等输出的信息以视觉信息的形式供给用户的显示板1110。
再生终端102，还包含用于存储来自传送服务器10的内容数据(音乐数据)且进行解密处理的可装卸的存储卡110、用于控制存储卡110与总线BS3之间的数据发送接收的存储卡接口1200、当从个人计算机50接收加密内容数据和许可证时用于控制总线BS3与端子1114之间的数据发送接收的USB接口1112、用于连接USB电缆75的端子1114、再生终端102，还包含认证数据保持部1500，以可用公开认证密钥KPa将类别公开加密密钥KPp1及类别证书Cp1解密从而认证其合法性的状态保持加密后的认证数据{KPpy∥Cp1}KPa。这里，对再生终端102的类别y，假定t＝1。
再生终端102，还包含用于保持作为类别固有的解密密钥的Kp1的Kp1保持部1502、用解密密钥Kp1将从总线BS3接收到的数据解密并取得由存储卡110生成的对话密钥Ks2的解密处理部1504。
再生终端102，还包含在对存储卡110所存储的内容数据进行再生的再生对话中用随机数等生成用于将在总线BS3上与存储卡110之间交换的数据加密的对话密钥Ks3的对话密钥生成部1508、当在加密内容数据的再生对话中从存储卡110接收许可证密钥Kc及再生控制信息Acp时利用从解密处理部1504得到的对话密钥Ks2将由对话密钥生成部1508生成的对话密钥Ks3加密并输出到总线BS3上的加密处理部1506。
再生终端102，还包含用对话密钥Ks3将总线BS3上的数据解密并输出许可证密钥Kc及再生控制信息ACp的解密处理部1510、从总线BS3接收加密内容数据{Dc}Kc并用来自解密处理部1510的许可证密钥Kc将加密内容数据{Dc}Kc解密后将内容数据Dc输出到音乐再生部1518的解密处理部1516。
再生终端102，还包含用于接收解密处理部1516的输出并将内容数据再生的音乐再生部1518、将音乐再生部1518的输出从数字信号转换为模拟信号的DA转换器1519、用于将DA转换器1519的输出向头戴式耳机等外部输出装置(图中省略)输出的端子1530。
另外，图7中用虚线围出的区域，构成通过将加密内容数据解密而对音乐数据进行再生的内容再生电路1550。
另一方面，图1所示的便携式电话机100，具有通过便携式电话网从传送服务器10接收加密内容数据或许可证的传送的功能。因此，图1所示的便携式电话机100的结构，是在图7所示的结构中设有便携式电话机本身原有的功能部件，即用于从便携式电话网接收以无线方式传输的信号的天线、用于接收来自天线的信号并将其变换为基带信号或对来自便携式电话机的数据进行调制后将其供给天线的发送接收部、话筒、扬声器及音频编码译码器等。
关于便携式电话机100及再生终端102的各构成部分在各对话中的动作，将在后文中用流程图进行详细的说明。
图8是用于说明图1和图2所示的存储卡110的结构的简略框图。
如上所述，作为存储卡的类别公开加密密钥及类别秘密解密密钥设有KPmw及Kmw，并设有存储卡的类别证书Cmw、但在存储卡110内假定以自然数w＝3表示。此外，用于识别存储卡的自然数x，以x＝4表示。
因此，存储卡110，包含保持认证数据{KPm3∥Cm3}KPa的认证数据保持部1400、保持按每个存储卡设定的专用秘密解密密钥即Kmc4的Kmc保持部1402、保持类别秘密解密密钥Km3的Km保持部1421、保持可由专用秘密解密密钥Kmc4解密的公开加密密钥KPmc4的KPmc保持部1416。
这样，从以下的说明中可以看出，通过设定存储卡之类的记录装置的加密密钥，能以存储卡为单位执行对所传送的内容数据或加密后的许可证密钥的管理。
存储卡110，还包含与存储卡接口1200之间通过端子1426发送接收信号的接口1424、与接口1424之间交换信号的总线BS4、利用来自Km保持部1421的类别秘密解密密钥Km3将从接口1424供给到总线BS4上的数据解密并将由传送服务器10在传送对话中生成的对话密钥Ks1输出到接点Pa的解密处理部1422、从KPa保持部1414接收公开认证密钥KPa并用公开认证密钥KPa从供给到总线BS4上的数据执行解密处理后将解密结果和所得到的类别证书输出到控制器1420并将所得到的类别公开密钥输出到加密处理部1410的解密处理部1408、利用通过切换开关1442有选择地提供的密钥对由切换开关1446有选择地供给的数据进行加密并输出到总线BS4上的加密处理部1406。
存储卡110，还包含在传送及再生的各对话中生成对话密钥Ks2的对话密钥生成部1418、利用由解密处理部1408得到的类别公开加密密钥KPpy或KPmw将对话密钥生成部1418输出的对话密钥Ks2加密并输出到总线BS4上的加密处理部1410、从总线BS4接收由对话密钥Ks2加密后的数据并用由对话密钥生成部1418得到的对话密钥Ks2进行解密的解密处理部1412、利用由解密处理部1412解密后的其他存储卡的专用公开加密密钥KPmcx(x≠4)对在加密内容数据的再生对话中从存储器1415读出的许可证密钥Kc及再生控制信息ACp进行加密的加密处理部1417。
存储卡110，还包含利用与公开加密密钥KPmc4构成一对的存储卡110的专用秘密解密密钥Kmc4对总线BS4上的数据进行解密用的解密处理部1404、用于从总线BS4接收存储着传送服务器10与存储卡之间的通信历史的运行记录、加密内容数据{Dc}Kc、再生加密内容数据{Dc}Kc用的许可证(Kc、ACp、ACm、许可证ID、内容ID)、附加信息Dc-inf加密内容数据再生表、管理许可证用的许可证管理文件并进行存储的存储器1415。存储器1415，例如由半导体存储器构成。此外，存储器1415，由运行记录区域1415A、许可证区域1415B及数据区域1415C构成。运行记录区域1415A，是用于存储运行记录的区域。运行记录区域1415A，由向存储卡110输入和存储许可证时存储的接收运行记录及存储卡110向其他存储卡输出许可证时存储的发送运行记录构成。进一步，接收运行记录，包含具有2个状态(ON、OFF)(接通、断开)的接收state(状态)，接收运行记录及发送运行记录，将在后文中详细说明。
许可证区域1415B，是用于记录许可证的区域。许可证区域1415B，以被称为项目的许可证专用的记录单位存储许可证和有效标志，以便记录许可证(许可证密钥Kc、再生控制信息ACp、访问控制信息ACm、许可证ID、内容ID)和有效标志。当对许可证进行访问时，构成为按项目序号指定存储着许可证的项目或想要记录许可证的项目。
数据区域1415C，是用于记录按每个加密内容数据记录着为管理加密内容数据{Dc}Kc、加密内容数据{Dc}Kc的相关信息Dc-inf及许可证所需的信息的许可证管理文件、记录着用于访问记录在存储卡内的加密内容数据或许可证的基本信息的再生表及用于管理许可证区域1415B的项目的项目信息的区域。另外，数据区域1415C，可以从外部直接进行访问。许可证管理文件及再生表，将在后文中详细说明。
存储卡110，还包含通过总线BS4与外部之间进行数据发送接收并通过与总线BS4之间接收访问控制信息ACm等从而控制存储卡110的动作的控制器1420。
除数据区域1415C以外，全部结构都在抗窜改模块区域内构成。
另外，图6所示的许可证专用存储卡520，由与存储卡110相同的结构构成。但是，许可证专用存储卡520，仅在存储器1415中的数据区域1415C内记录项目管理信息。另外，许可证专用存储卡520的自然数w具有3以外的值，用于识别许可证专用存储卡520的自然数x具有4以外的值。
以下，说明图1和图2所示数据传送系统中的各对话的动作。
首先，说明图1所示数据传送系统中从传送服务器10向便携式电话机100的存储卡110传送加密内容数据和许可证的动作。
图9和图10是用于说明图1所示数据传送系统中当购入加密内容数据时进行的对便携式电话机100所装有的存储卡110传送许可证的动作(以下，也称传送对话)的第1和第2流程图。
在图9的处理之前，作为前提条件，便携式电话机100的用户，通过电话网与传送服务器10连接并取得与希望购入的内容对应的内容ID，进一步，通过取得对存储卡110的项目管理信息而确认许可证区域1415B内的空的项目。
参照图9，由便携式电话机100的用户通过操作面板1108发出基于指定内容ID的传送请求(步骤S100)。然后，便携式电话机100的用户，通过操作面板1108指示输入用于购入加密内容数据的许可证的购入条件AC(步骤S102)。就是说，为了购入用于对所选定的加密内容数据进行解密的许可证密钥Kc，设定加密内容数据的访问控制信息ACm及再生控制信息ACp并输入购入条件AC。
当输入了加密内容数据的购入条件AC时，控制器1106，将认证数据的输出指示通过总线BS3及存储卡接口1200供给存储卡(步骤S104)。存储卡110的控制器1420，通过端子1426、接口1424及总线BS4接收认证数据发送请求(步骤S106)。然后，控制器1420，通过总线BS4从认证数据保持部1400读出认证数据{KPm3∥Cm3}KPa，并将所读出的该认证数据{KPm3∥Cm3}KPa通过总线BS4、接口1424及端子1426输出(步骤S108)。
便携式电话机100的控制器1106，除了从存储卡110接收的认证数据{KPm3∥Cm3}KPa外还将内容ID、许可证购条件AC及传送请求发送到传送服务器10(S110)。
传送服务器10，从便携式电话机100接收传送请求、内容ID、认证数据{KPm3∥Cm3}KPa及许可证购入条件的数据AC(步骤S112)，并由解密处理部312用公开认证密钥KPa对从存储卡110输出的认证数据{KPm3∥Cm3}KPa进行解密(步骤S114)。
传送控制部315，根据解密处理部312的解密处理结果，判断是否接收到由正规机构进行了用于证明其合法性的加密的认证数据(步骤S116)。当判定为是合法的认证数据时，传送控制部315，认可并受理类别公开加密密钥KPm3及证书Cm3。然后，进入下一步的处理(步骤S118)。当判定为不是合法的认证数据时，不认可且不受理公开加密密钥KPm3及证书Cm3并结束传送对话(步骤S164)。
当根据认证结果确认了是由安装了具有合法认证数据的存储卡110的便携式电话机进行的访问时，在传送服务器10中，由对话密钥生成部316生成用于传送的对话密钥Ks1(步骤S118)。对话密钥Ks1，由加密处理部318利用由解密处理部312得到的与存储卡110对应的类别公开加密密钥KPm3进行加密(步骤S120)。
传送控制部315，生成许可证ID(步骤S122)，并将许可证ID及加密后的对话密钥Ks1以许可证ID∥{Ks1}Km3的数据形式通过总线BS1及通信装置350发送到便携式电话机100(步骤S124)。
当便携式电话机100接收到许可证ID∥{Ks1}Km3时，控制器1106，将许可证ID∥{Ks1}Km3输入存储卡110(步骤S126)。在这之后，在存储卡110内，控制器1420，通过端子1426及接口1424受理许可证ID∥{Ks1}Km3(步骤S128)。接着，控制器1420，对通过总线BS4记录在存储器1415的运行记录区域1415A内的接收运行记录进行初始化，并将所受理的许可证ID存储在运行记录区域1415A内(步骤S130)。这时，将接收运行记录内的接收state设定为OFF。然后，控制器1420，将加密数据{Ks1}Km3供给解密处理部1422，解密处理部1422，通过用保持在Km保持部1421内的存储卡110所固有的类别秘密解密密钥Km3进行解密处理，将对话密钥Ks1解密，并受理对话密钥Ks1(步骤S132)。
控制期1420，在确认受理了由传送服务器10生成的对话密钥Ks1后，指示对话密钥生成部1418生成由存储卡110在进行传送动作时生成的对话密钥Ks2。接着，对话密钥生成部1418，生成对话密钥Ks2(步骤S134)。控制器1420，通过总线BS4接收所生成的对话密钥Ks2，将该接收到的对话密钥Ks2存储在运行记录区域1415A内，并将接收state设定为ON(步骤S136)。
加密处理部1406，利用由解密处理部1422通过切换开关1442的接点Pa供给的对话密钥Ks1，将通过对切换开关1446的接点依次进行切换而取得的对话密钥Ks2及专用公开加密密钥KPmc4作为一个数据串进行加密，并将加密数据{Ks2∥KPmc4}Ks1输出到通过总线BS4上。输出到总线BS4上的加密数据{Ks2∥KPmc4}Ks1，从总线BS4通过接口1424及端子1426输出到便携式电话机100(步骤S138)，并从便携式电话机100发送到传送服务器10(步骤S140)。
参照图10，传送服务器10，接收到加密数据{Ks2∥KPmc4}Ks1后，由解密处理部312用对话密钥Ks1执行解密处理，并受理由存储卡110生成的对话密钥Ks2及存储卡110的专用公开加密密钥KPmc4(步骤S142)。
传送控制部315，根据在步骤S112中取得的内容ID从信息数据库304取得许可证密钥Kc(步骤S144)，并根据在步骤S112中取得的许可证购入条件AC决定访问控制信息ACm及再生控制信息ACp(步骤S146)。
传送控制部315，将所生成的许可证即许可证ID、内容ID、许可证密钥Kc、访问控制信息ACm及再生控制信息ACp供给加密处理部326。加密处理部326，利用由解密处理部320得到的存储卡110的专用公开加密密钥KPmc4将许可证加密而生成加密数据{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4(步骤S148)。然后，加密处理部328，利用来自解密处理部320的对话密钥Ks2对从加密处理部326输出的加密数据{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4进行加密，并输出加密数据{{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4}Ks2。传送控制部315，将加密数据{{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4}Ks2通过总线BS1及通信装置350发送到便携式电话机100(步骤S150)。
便携式电话机100，接收加密数据{{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4}Ks2，并通过总线BS3及存储卡接口1200将其输入存储卡110(步骤S152)。在存储卡110中，由解密处理部1412对通过端子1426及接口1424供给到总线BS4上的接收数据进行解密。解密处理部1412，利用由对话密钥生成部1418供给的对话密钥Ks2将总线BS4上的接收数据解密并将其输出到总线BS4上(步骤S154)。
在这个阶段，将可由保持在Kmc保持部1402内的专用秘密解密密钥Kmc4解密的加密许可证{许可证ID∥内容ID∥Kc∥ACm∥ACp}KPmc4输出到总线BS4上(步骤S154)。
根据控制器1420的指示，由解密处理部1404利用专用秘密解密密钥Kmc4对加密许可证{检出用许可证ID∥内容ID∥Kc∥检出用ACm∥ACp}Kmc4进行解密而受理许可证(许可证密钥Kc、许可证ID、内容ID、访问控制信息ACm及再生控制信息ACp)(步骤S156)。
便携式电话机100的控制器1106，根据从存储卡110的存储器1415读出的项目管理信息，决定用于存储从传送服务器10接收到的许可证的项目序号，并将所决定的该项目序号通过总线BS3及存储器接口1200输入存储卡110(步骤S158)。
在这之后，存储卡110的控制器1420，通过端子1426及接口1424接收项目序号，将在步骤S156中取得的许可证(许可证密钥Kc、许可证ID、内容ID、访问控制信息ACm及再生控制信息ACp)存储在由该接收到的项目序号指定的存储器1415的许可证区域1415B内，并使同一项目中的有效标志为有效状态(步骤S160)。接着，控制器1420，将通过总线BS4记录在存储器1415的运行记录区域1415A的接收运行记录内的接收state设定为OFF(步骤S161)。当许可证的写入结束时，控制器1106，将项目管理信息更新为在步骤S158中输入存储卡110的项目正在使用中，并将该更新后的项目管理信息输入存储卡110(步骤S162)。存储卡110的控制器1420，用该更新后的项目管理信息在存储器1415的数据区域1415C内重写项目管理信息(步骤S163)。然后，结束许可证的传送动作(步骤S164)。
当许可证的传送动作结束后，便携式电话机100的控制器1106，向传送服务器10发送加密内容数据的传送请求，而传送服务器10接收加密内容数据的传送请求。然后，传送服务器10的传送控制器315，从信息数据库304取得加密内容数据{Dc}Kc及附加信息Dc-inf，并将这些数据通过总线BS1及通信装置350发送到便携式电话机100。
便携式电话机100，接收数据{Dc}Kc∥Dc-inf，并受理加密内容数据{Dc}Kc及附加信息Dc-inf。在这之后，控制器1106，将加密内容数据{Dc}Kc及附加信息Dc-inf通过总线BS3及存储卡接口1200输入存储卡110。此外，控制器1106，生成包含着存储在存储卡110内的许可证的项目序号、明文形式的许可证ID及内容ID、且与加密内容数据{Dc}Kc及附加信息Dc-inf对应的许可证管理文件，并将所生成的该许可证管理文件通过总线BS3及存储卡接口1200输入存储卡110。进一步，控制器1106，将所记录的内容文件及许可证管理文件的名称及从附加信息Dc-inf抽出的与加密内容数据有关的信息(乐曲名、艺术家姓名)等作为所受理的内容信息追记在存储卡110的存储器1415所记录的再生表内，并结束全部处理。
按照如上方式，在确认了安装在便携式电话机100内的存储卡110是保持着正规认证数据的设备并确认了与类别证书Cm3一起加密后发送的公开加密密钥KPm3有效后，即可传送内容数据，并能禁止向非法的存储卡传送内容数据。
进一步，通过交换分别由传送服务器和存储卡生成的加密密钥并用相互接收的加密密钥执行加密后将该加密数据发送到对方，在各自发送接收加密数据的过程中就可以进行实际上的相互认证，因而可以提高数据传送系统的保密性。
另外，存储卡110，当从传送服务器0接收加密内容数据和许可证时，以硬件方式与传送服务器10之间进行数据交换，并以硬件方式存储用于再生加密内容数据的许可证，所以能使其密级提高。
对图6所示的许可证专用存储卡520的许可证传送动作，也按照图9和图10所示的流程图进行。此外，对许可证专用存储卡520的加密内容数据传送动作，也按与上述相同的动作进行。即，只需在以上的说明中以个人计算机50代替便携式电话机100并以许可证专用存储卡520代替存储卡110即可，其他与上述相同。
在对许可证专用存储卡520的加密内容数据和许可证的传送中，也是以硬件方式接收和存储加密内容数据和许可证，所以，对许可证专用存储卡520的加密内容数据和许可证的传送，能以与对存储卡110的加密内容数据和许可证传送相同的方式使密级提高。
参照图11，说明个人计算机50的许可证专用存储卡520对加密内容数据和许可证的管理。个人计算机50的硬盘530，包含再生表150、内容文件1531～1535、许可证管理文件1521～1525。
再生表150，是所有内容的一览形式的数据表，包含着与各内容对应的信息(乐曲名、艺术家姓名等)、指示内容文件及许可证管理文件的信息(文件名)等。与各内容对应的信息，在接收时从附加信息Dc-inf取得必要的信息并自动地或根据用户的指示记入。此外，对于仅有内容文件或仅有许可证管理文件因而不能再生的内容，也能以一览形式管理。
内容文件1531～1535，是记录由许可证专用存储卡520接收的加密内容数据{Dc}Kc及附加信息Dc-inf的文件，按每个内容进行设置。
另外，许可证管理文件1521～1525，是与内容文件1531～1535分别对应地记录并用于管理由许可证专用存储卡520接收和记录着的许可证的文件。从到此为止的说明也可以看出，许可证不能以通常的方式参照，但除许可证密钥Kc外只要其他信息不能由用户改写，在著作权保护方面不存在任何问题。但是，如在运行中将其他信息与许可证密钥Kc分开管理则将使保密性降低，因而是不利的。因此，当接收许可证的传送时，能以明文形式参照的许可证ID、内容ID、以及由可以很容易地从许可证购入条件AC判断的访问控制信息ACm及再生控制信息ACp加以限制的事项的副本，均以明文形式记录。进一步，在将许可证记录在许可证专用存储卡520内时，记录项目序号。许可证专用存储卡520的存储器5215的许可证区域5215B，是以高的密级记录许可证的由抗窜改模块构成的记录区域。备有M个项目，用以记录许可证(许可证密钥Kc、再生控制信息ACp、访问控制信息ACm、许可证ID)。
许可证管理文件1521、1524、1522、1525，分别包含着项目序号0、1、2、3。这些序号，是用于指定由许可证专用存储卡520接收并由许可证专用存储卡520的存储器5215的许可证区域5215B管理的许可证(许可证ID、许可证密钥Kc、访问控制信息ACm及再生控制信息ACp)的管理区域的序号。
另外，当将记录在内容文件1531内的文件名的加密内容数据转移到安装在便携式电话机100或再生终端102内的存储卡110时，如通过检索内容文件1531～1535而抽出内容文件1531，则可以得知在什么地方管理着用于对加密内容数据进行再生的许可证。由于与内容文件1531对应的许可证管理文件1521中所包含的项目序号为「0」，所以用于对记录在内容文件1531内的文件名的加密内容数据进行再生的许可证记录在许可证专用存储卡520的存储器5215的许可证区域5215B的由项目序号0指定的区域内。因此，通过从记录在硬盘530内的再生表文件150的许可证管理文件1521读出项目序号0并将所读出的该项目序号0输入许可证专用存储卡520，就可以很容易地从存储器5215的许可证区域5215B取出许可证，并将其转移到存储卡110。接着，在转移了许可证之后，在存储器5215的许可证区域5215B中使所指定的项目序号内的有效标志变为无效，并与之对应地象许可证管理文件1523那样记录「无许可证」。
许可证管理文件1523，包含「无许可证」。这是由于已将由许可证专用存储卡520接收的许可证转移到存储卡或其他的许可证专用存储卡。对应的内容文件1533仍记录在硬盘530内。当从存储卡或其他的许可证专用存储卡将许可证再次转移到许可证专用存储卡520、或再次从传送服务器10接收传送时，可以仅接收对许可证的传送。此外，在许可证专用存储卡520的数据区域5215C内还记录着项目管理信息155。项目管理信息155，是指示许可证专用存储卡520的存储器5215的许可证区域5215B的项目的使用状态的信息。因此，如参照项目管理信息155，即可得知项目的使用状态。
图12示出存储卡110的存储器1415中的许可证区域1415B和数据区域1415C。在数据区域1415C中，记录着再生表文件160、项目管理信息165、内容文件1611～161n、许可证管理文件1621～162n。许可证管理文件1621～162n，将接收到的加密内容数据{Dc}Kc及附加信息Dc-inf作为1个文件进行记录。此外，许可证管理文件1621～162n，与内容文件1611～161n分别对应地记录。
存储卡110，当从传送服务器10接收到加密内容数据和许可证时，或当通过「转移对话」从个人计算机50接收到加密内容数据和许可证时，将加密内容数据和许可证记录在存储器1415内。
因此，由个人计算机50的许可证专用存储卡520接收且通过转移对话发送到存储卡110的高密级加密内容数据的许可证，记录在由存储器1415的许可证区域1415B的项目序号指定的区域内，如将记录在存储器1415的数据区域1415C内的再生表文件160的许可证管理文件读出，则可以取得项目序号，并可以按所取得的该项目序号从许可证区域1415B读出对应的许可证。
另外，许可证管理文件1622，用虚线示出，表示实际上没有进行记录。这意味着虽然存在着内容文件1612但无许可证因而不能再生，这例如相当于再生终端只从其他便携式电话机接收到加密内容数据的情况。
另外，内容文件1613，用虚线示出，这例如相当于再生终端从传送服务器10接收加密内容数据和许可证但只将该接收到的加密内容数据发送到其他的便携式电话机的情况，并意味着虽然在存储器1415内存在着许可证但不存在加密内容数据。
如上所述，在图1所示的数据传送系统中，安装在便携式电话机100内的存储卡110，可以通过便携式电话网从传送服务器10接收和记录许可证。此外，在图1和图2所示的数据传送系统中，安装在个人计算机50内的许可证专用存储卡520，可以通过因特网30从传送服务器10接收和记录许可证。
另外，图1和图2所示数据传送系统中的存储卡110或许可证专用存储卡520，备有用于将所记录着的许可证安全地转移/复制到其他存储卡(包括许可证专用存储卡)的功能，因而可以将所记录着的许可证安全地转移/复制到其他存储卡。当然，在存储卡110和许可证专用存储卡520之间也可以进行许可证的转移/复制。
因此，在图1和图2所示的数据传送系统中，可以将记录在个人计算机50所装有的许可证专用存储卡520内的许可证转移/复制到便携式电话机100或再生终端102所装有的存储卡110。相反，也可以将记录在便携式电话机100或再生终端102所装有的存储卡110内的许可证转移/复制到个人计算机50所装有的许可证专用存储卡520。其结果是，可以提高用户的方便性。
另外，加密内容数据，记录在可自由访问的个人计算机50的硬盘530或存储卡110的数据区域1415C内因而可以自由复制，但如不同时转移/复制许可证则不能进行再生。
因此，说明将记录在存储卡110或许可证专用存储卡520内的许可证转移/复制到其他存储卡时的动作。
在这种情况下，在具有图8所示结构的2个存储卡之间进行许可证的转移/复制，个人计算机50、便携式电话机100及再生终端102，分别对所装有的存储卡(包括许可证专用存储卡)提供数据的输入输出处理和通信路径，并只进行数据的转发处理，因此，为简化说明，考虑如图13所示的系统。
图13所示的系统，由控制器40、控制存储卡的接口60、2个存储卡110、120构成。当假定为图1所示的数据传送系统时，如考虑将许可证从个人计算机50所装有的许可证专用存储卡520转移/复制到便携式电话机100所装有的存储卡110、或从便携式电话机100所装有的存储卡110转移/复制到个人计算机50所装有的许可证专用存储卡520的情况，则存储卡120相当于许可证专用存储卡520，接口60相当于个人计算机50的存储卡接口525及便携式电话机100的存储卡接口1200。进一步，控制器40，具有个人计算机50的控制器510及便携式电话机100的控制器1106的功能，并将与个人计算机50和便携式电话机100之间的通信有关的部分省略。此外，当假定为图2所示的数据传送系统时，只需将以上说明中的便携式电话机100更换为再生终端102 可。
另外，在图1所示的数据传送系统中，便携式电话机100也可以通过公众网向其他的便携式电话机进行许可证的转移/复制。进一步，图1和图2所示的数据传送系统中的便携式电话机100或再生终端102，还可以备有专用的终端间通信装置，从而可以从便携式电话机100或再生终端102向其他的便携式电话机或再生终端进行许可证的转移/复制。在这种情况下，存储卡120，相当于其他的便携式电话机或再生终端所装有的存储卡。接口60相当于便携式电话机100或再生终端102的存储卡接口1200及作为通信对方的其他的便携式电话机或再生终端的存储卡接口。控制器40相当于便携式电话机100或再生终端102的控制器1106及作为通信对方的其他的便携式电话机或再生终端的控制器。另外，在图13中，将与采用了通信装置的通信有关的部分省略。
进一步，图7所示的再生终端102，构成为只安装1个存储卡，但也可以构成为安装2个以上的存储卡。在这种情况下，控制器40相当于再生终端102的控制器1106，接口60相当于变更为可安装2个以上存储卡后的存储卡接口1200。在这种情况下，只需将以上说明中的再生终端102更换为便携式电话机100即可。
进一步，还可以构成采用对存储卡110进行数据的写入和读出的存储卡记录器或安装在个人计算机内的存储卡驱动装置进行许可证的转移/复制的系统。
图14～图16是用于将记录在图13中的存储卡120内的许可证转移/复制到存储卡110的流程图。而在图14的处理之前，作为前提条件，将控制器40与用户用于指定需进行许可证转移/复制的内容和发出许可证的转移/复制请求的输入装置(图中未示出)连接，以使控制器40可以接收由用户进行的对需进行许可证转移/复制的内容的指定及许可证的转移/复制请求。此外，控制器40，通过参照作为发送侧的存储卡120内的再生表而取得进行许可证转移/复制的许可证管理表。另外，还以取得在发送侧的存储卡120及接收侧的存储卡110内分别存储着的项目管理信息为前提。另一个前提是，根据存储在接收侧的存储卡110内的项目管理信息，在接收侧的存储卡110的许可证区域1415B内确认了空的项目。
参照图14，当由用户指示了许可证的转移/复制请求时(步骤S300)，控制器40，通过接口60向存储卡110发送对存储卡110的认证数据的发送请求(步骤S302)。然后，存储卡110的控制器1420，通过端子1426、接口1424及总线BS4接收认证数据发送请求(步骤S304)。
存储卡110的控制器1420，在接收到认证数据的发送请求后，通过总线BS4从认证数据保持部1400读出认证数据{KPm3∥Cm3}KPa，并将所读出的该认证数据{KPm3∥Cm3}KPa通过总线BS4、接口1424及端子1426输出到接口60(步骤S306)。接着，控制器40，通过接口60接收认证数据{KPm3∥Cm3}KPa，并将存储卡110的认证数据{KPm3∥Cm3}KPa通过接口60发送到存储卡120(步骤S308)。
在这之后，存储卡120的控制器1420，通过端子1426及接口1424接收认证数据{KPm3∥Cm3}KPa，并将所接收的该认证数据{KPm3∥Cm3}KPa通过总线BS4供给解密处理部1408。接着，解密处理部1408，用来自KPa保持部1414的公开认证密钥KPa对认证数据{KPm3∥Cm3}KPa执行解密处理(步骤S310)。控制器1420，根据解密处理部1408的解密处理结果进行认证处理，判断处理是否正常进行、即存储卡110是否是正规的存储卡、且是否从存储卡110接收到由正规机构进行了用于证明其合法性的加密的认证数据(步骤S312)。当判定为是合法的认证数据时，控制器1420，认可并受理从认证数据取得的类别公开加密密钥KPm3及类别证书Cm3。然后，进入下一步的处理(步骤S314)。当判定为不是合法的认证数据时，不认可且不受理类别公开加密密钥KPm3及类别证书Cm3并结束处理(步骤S370)。
当根据认证结果确认了是向具有合法认证数据的存储卡进行许可证的转移/复制时，在存储卡120内，控制器1420，控制对话密钥生成部1418，并由对话密钥生成部1418生成对话密钥Ks2a(步骤S314)。对话密钥Ks2a，由加密处理部1410利用由解密处理部1408得到的与存储卡110对应的类别公开加密密钥KPm3加密。然后，存储卡120的控制器1420，通过总线BS4取得加密数据{Ks2a}Km3，并通过总线BS4、接口1424及端子1426将其输出到接口60(步骤S316)。
控制器40，通过接口60从发送侧受理加密数据{Ks2a}Km3(步骤S318)，并从发送侧的存储卡120的许可证管理信息取得许可证ID(步骤S320)。然后，控制器40，将所取得的许可证ID和在步骤S318中受理的加密数据{Ks2a}Km3作为1个数据而将许可证ID∥{Ks2a}Km3通过接口60输入存储卡110(步骤S322)。在这之后，存储卡110的控制器1420，通过端子1426、接口1424及总线BS4受理许可证ID∥{Ks2a}Km3。接着，存储卡110的控制器1420，对存储器1415的运行记录区域1415A进行初始化，并将所受理的许可证ID存储在运行记录区域1415A内(步骤S326)。通过该运行记录区域1415A的初始化将传送加密内容数据和许可证时存储的许可证ID及对话密钥Ks2(图9的步骤S130、S136)删除，并将接收state设定为OFF。然后，控制器1420，将加密数据{Ks2a}Km3供给解密处理部1422，解密处理部1422，用来自Km保持部1421的类别秘密解密密钥Km3将加密数据{Ks2a}Km3解密而受理对话密钥Ks2a(步骤S328)。接着，对话密钥生成部1418，生成对话密钥Ks2b(步骤S330)。控制器1420，通过总线BS4接收所生成的对话密钥Ks2b，将该接收到的对话密钥Ks2b存储在运行记录区域1415A的接收运行记录内，并将接收state设定为ON(步骤S332)。通过存储对话密钥Ks2b而将用于特定从存储卡120到存储卡110的许可证转移/复制处理的历史信息存储在接收运行记录内。
在这之后，存储卡110的加密处理部1406，通过对切换开关1446的端子依次进行切换而利用由解密处理部1404解密后的对话密钥Ks2a将由对话密钥生成部1418生成的对话密钥Ks2b及专用公开加密密钥KPmc4加密，并生成加密数据{Ks2b∥KPmc4}Ks2a。存储卡110的控制器1420，通过总线BS4、接口1424及端子1426将加密数据{Ks2b∥KPmc4}Ks2a输出到接口60(步骤S334)。
控制器40，通过接口60从存储卡110受理加密数据{Ks2b∥KPmc4}Ks2a。接着，控制器40，将加密数据{Ks2b∥KPmc4}Ks2a通过接口60发送到存储卡120(步骤S336)。在步骤334中，在从存储卡110输出加密数据{Ks2b∥KPmc4}Ks2a的时刻，建立用于在存储卡110和存储卡120之间转移/复制许可证的通信。
参照图15，存储卡120的控制器1420，通过端子1426、接口1424及总线BS4接收加密数据{Ks2b∥KPmc4}Ks2a，并将该接收到的加密数据{Ks2b∥KPmc4}Ks2a供给解密处理部1412。解密处理部1412，利用来自对话密钥生成部1418的对话密钥Ks2a将加密数据{Ks2b∥KPmc4}Ks2a解密，并受理对话密钥Ks2b及专用公开加密密钥KPmc4(步骤S338)。
在这之后，存储卡120的控制器1420，对存储器1415的运行记录区域1415A所包含的发送运行记录进行初始化，并将所受理的对话密钥Ks2b存储在发送运行记录内(步骤S340)。按照这种方式，即可将用于特定从存储卡120到存储卡110的许可证转移/复制处理的历史信息即对话密钥Ks2b存储在发送运行记录内。
接着，控制器40，从作为发送侧的存储卡120的许可证管理信息取得存储着作为转移/复制对象的许可证的项目序号(步骤S342)，并将所取得的该项目序号通过接口60发送到存储卡120(步骤S344)。存储卡120的控制器1420，通过端子1426、接口1424及总线BS4接收项目序号，并从由该接收到的项目序号指定的存储器1415的许可证区域1415B的项目取得许可证(许可证ID、内容ID、许可证密钥Kc、再生控制信息ACp、访问控制信息ACm)和有效标志(步骤S346)。
控制器1420，对有效标志进行确认(步骤S347)。当有效标志为有效时，进入下一个步骤S348。当有效标志为无效时，意味着所指定的许可证已全部转移完毕，因而转入用于指示许可证不能使用的步骤S370，并结束转移/复制动作。当在步骤S347中确认有效标志为有效时，控制器1420，对访问控制信息ACm进行确认(步骤S348)。就是说，控制器1420，首先根据所取得的访问控制信息ACm确认想要转移/复制到存储卡110的许可证是否不是因再生次数限制而不能再生加密内容数据的许可证。当再生次数已一次不剩时(再生次数＝0)，意味着不能用许可证对加密内容数据进行再生，因而不能将该加密内容数据和许可证转移到存储卡110。当可以进行再生时，根据转移·复制标志判断可否进行许可证的复制、转移。
当在步骤S348中确认不能进行加密内容数据的再生(再生次数＝0)、或转移·复制标志为禁止转移复制(＝0)时，根据访问控制信息ACm判定为不可转移复制，并转入步骤S370，结束转移/复制动作。当在步骤S348中确认可以进行加密内容数据的再生(再生次数≠0)、且转移·复制标志为只可转移(＝1)时，判定为可进行许可证的转移，控制器1420，在存储器1415的许可证区域1415B中使所指定的项目序号内的有效标志变为无效，并将该项目序号存储在发送运行记录内(步骤S350)。而当可以进行加密内容数据的再生(再生次数≠0)、且转移·复制标志为可转移复制(＝2)时，判定为可进行许可证的复制，并进入步骤S352，而不进行步骤S350。
在步骤S348或步骤S350之后，存储卡120的加密处理部1417，利用由解密处理部1412得到的存储卡110所固有的公开加密密钥KPmc4将许可证加密而生成加密数据{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4(步骤S352)，加密处理部1406，通过切换开关1442的接点Pc接收由加密处理部1417加密后的加密数据{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4、通过切换开关1442的接点Pb接收由解密处理部1412解密后的对话密钥Ks2b，并用对话密钥Ks2b对加密数据{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4进行加密。然后，存储卡120的控制器1420，通过总线BS4、接口1424及端子1426输出加密数据{{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4}Ks2b(步骤S354)。
如上所述，当转移许可证时，在使许可证区域1415B的有效标志无效后(参照步骤S350)，进行步骤S352的处理，但当复制许可证时，应在有效标志保持有效的状态下进入步骤S352，而不通过使有效标志变为无效的步骤S350，以便使复制源和复制目的地双方都可以使用许可证。因此，当转移了许可证时，与将许可证删除时的处理相同，不能再从发送侧的存储卡120读出许可证。
参照图16，控制器40，通过接口60从存储卡120受理加密数据{{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4}Ks2b，并将所受理的该加密数据{{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4}Ks2b输入存储卡110(步骤S356)。
存储卡110的控制器1420，通过端子1426、接口1424及总线BS4接收所输入的加密数据{{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4}Ks2b，并将加密数据{{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4}Ks2b供给解密处理部1412。接着，解密处理部1412，通过总线BS4接收加密数据{{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4}Ks2b，并用由对话密钥生成部1418生成的对话密钥Ks2b进行解密而受理加密数据{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4(步骤S358)。
然后，根据控制器1420的指示，由解密处理捕1404用秘密解密密钥即Kmc4将加密数据{许可证ID∥内容ID∥Kc∥ACm∥ACp}Kmc4解密，并受理许可证(许可证密钥Kc、许可证ID、内容ID、访问控制信息ACm及再生控制信息ACp)(步骤S360)。
在这之后，控制器40，参照作为接收侧的存储卡110的项目管理信息而取得空的项目序号，并将所取得的该项目序号作为用于存储所转移/复制的许可证的项目序号输入存储卡110(步骤S362)。
存储卡110的控制器1420，通过端子1426、接口1424及总线BS4接收项目序号，将在步骤S360中受理的许可证(许可证密钥Kc、许可证ID、内容ID、访问控制信息ACm及再生控制信息ACp)存储在由该接收到的项目序号指定的存储器1415的许可证区域1415B内，并使同一项目中的有效标志为有效状态(步骤S364)。接着，控制器1420，将记录在运行记录区域1415A所包含的接收运行记录内的接收state设定为OFF(步骤S366)。然后，控制器40，将与接收侧的存储卡110对应的项目管理信息更新(将记录了许可证的项目变更为正在使用中)，并输入到接收侧的存储卡110内(步骤S367a)。接收侧的存储卡110的控制器1420，用所输入的项目管理信息重写存储器1415的数据区域1415C内的项目管理信息(步骤S367b)。接着，控制器40，判断是许可证的转移还是许可证的复制(步骤S368)。如为复制处理时，至此结束许可证的复制处理(步骤S370)。如为转移处理时，控制器40，将与发送侧的存储卡120对应的项目管理信息更新(将存储了所转移的许可证的项目变更为未使用)，并输入到发送侧的存储卡120内(步骤S369a)。发送侧的存储卡120的控制器1420，用所输入的项目管理信息重写存储器1415的数据区域1415C内的项目管理信息(步骤S369b)。然后，控制器40，将许可证的转移处理结束(步骤S370)。
另外，加密内容数据从存储卡120到存储卡110的转移/复制，只需在许可证的转移/复制结束后从存储卡120的数据区域1415C读出加密内容数据并发送到存储卡110即可。
另外，对于接收侧的存储卡110，当已记录着与所转移/复制的许可证对应的许可证管理文件时，通过对许可证管理文件写入项目序号等将作为对象的许可证管理文件更新。而当在存储卡110内没有记录作为对象的许可证管理文件时，生成新的许可证管理文件，并将所生成的该许可证管理文件记录在接收侧的存储卡110内。这时，接收侧的存储卡如果是图1和图2所示数据传送系统中的许可证专用存储卡520，则将许可证管理信息记录在硬盘530内。
按照如上方式，在确认了安装在再生终端102内的存储卡110是正规的存储卡并确认了可与类别证书Cm3一起加密后发送的公开加密密钥KPm3有效后，可以只响应对正规存储卡的转移请求而转移许可证，从而可以将向非法存储卡的转移禁止。
另外，通过交换由存储卡生成的加密密钥并用相互接收的加密密钥执行加密后将该加密数据发送到对方，在各自发送接收加密数据的过程中就可以进行实际上的相互认证，因而可以提高许可证转移/复制动作的保密性。
在上文中，说明了存储卡之间的加密内容数据的许可证转移/复制动作，但从个人计算机50的许可证专用存储卡520到存储卡110的许可证转移/复制也可以按照图14和图15所示的流程图进行。通过进行这种转移/复制，即使不具备与传送服务器10的通信功能的再生终端102的用户，也可以通过个人计算机50将加密内容数据的许可证接收到其存储卡内，因而提高了用户的方便性。
另外，从存储卡110到许可证专用存储卡520的许可证转移，也可以按照图14～图16所示的流程图进行。就是说，在图1中，可以将由便携式电话机100接收传送并存储在存储卡110内的加密内容数据和许可证保存在个人计算机50内。
参照图17，说明存储在运行记录区域1415A内的接收运行记录及发送运行记录。在许可证区域1415B内，与项目序号0～N-1对应地存储着许可证ID、内容ID、许可证密钥Kc、访问限制信息ACm、再生控制信息ACp及有效标志。有效标志，是用于指示许可证(许可证ID、内容ID、许可证密钥Kc、访问限制信息ACm及再生控制信息ACp)的有效性的标志，当有效标志为「有效」时，意味着可以用该许可证进行再生、或可以将该许可证转移/复制到其他存储卡110或许可证专用存储卡520，当有效标志为「无效」时，意味着不能使用该许可证，且不能将许可证转移/复制到其他的存储卡110或许可证专用存储卡520。即，具有与许可证不存在的情况同等的意义。在从存储卡120取得作为转移对象的许可证后，之所以使许可证区域1415B的有效标志变为无效(图15的步骤S350)，是因为在将许可证从存储卡120转移到存储卡110后在存储卡120中不能再使用作为转移对象的许可证。
另外，在运行记录区域1415A中，存储着接收运行记录70及发送运行记录80。接收运行记录70，由许可证ID71、对话密钥72及接收state73构成。而发送运行记录80由对话密钥81及项目序号82构成。接收运行记录70，当存储卡110或许可证专用存储卡520从传送服务器10、或其他存储卡及其他许可证专用存储卡接收许可证时，记录其通信历史。发送运行记录80，当将许可证转移/复制到其他存储卡或许可证专用存储卡时，记录其通信历史。
另外，许可证区域1415B及运行记录区域1415A，最好设在TRM区域内。许可证区域1415B、运行记录区域1415A及数据区域1415C，也可以分别独立地构成，而无需包含在作为存储器1415的一个区域内。进一步，记录在运行记录区域1415A内的接收运行记录70及发送运行记录80，必须具有不能从外部改写的结构。
当由存储卡110或许可证专用存储卡520从传送服务器10接收许可证时，将许可证ID及由自身的对话密钥生成部1418生成的对话密钥存储在接收运行记录70内(参照图9的步骤S130及步骤S136)，并将存储在接收运行记录70内的接收state73设定为ON(参照图9的步骤S136)。而当存储卡110或许可证专用存储卡520从其他的存储卡或许可证专用存储卡接收许可证时，也同样将许可证ID及由自身的对话密钥生成部1418生成的对话密钥存储在接收运行记录70内(参照图14的步骤S326及步骤S332)，并将接收state设定为ON(参照图14的步骤S332)。
另一方面，在图13的从存储卡120到存储卡110的许可证转移中，将从接收侧的存储卡110发送的对话密钥及作为转移/复制对象的许可证的项目序号存储在发送运行记录80内(参照图15的步骤S340及步骤S350)。在从存储卡120到存储卡110的转移/复制处理中，将同一个对话密钥Ks2b记录于接收运行记录70的对话密钥72及发送运行记录80的对话密钥81(参照图14的步骤S332及图15的步骤S340)。因此，在将许可证从存储卡120向存储卡110转移/复制的过程中通信被切断时，如确认记录在存储卡120的发送运行记录80的对话密钥81与记录在存储卡110的接收运行记录70内的对话密钥72一致，则可以特定从存储卡120到存储卡110的许可证的转移/复制处理。
另外，在向存储卡110传送许可证的动作中，当存储卡110向传送服务器10发送由存储卡110生成的对话密钥Ks2时，将接收state73设定为ON(参照图9的步骤S138)。在将从传送服务器10接收到的许可证存储在存储器1415的许可证区域1415B内之后，将接收state73设定为OFF(参照图10的步骤S162)。因此，从步骤S138到步骤S162的期间，接收state73保持ON的状态，所以，当因任何原因使通信被切断时，如从存储卡110的接收运行记录70读出接收state73并检查接收state73是ON还是OFF，即可得知通信是在哪种状态被切断的。就是说，如所读出的接收state73为ON，则通信是在许可证尚未存储在存储卡110的许可证区域1415B内时被切断的，如所读出的接收state73为OFF，则通信是在许可证已存储在存储卡110的许可证区域1415B内之后被切断的。
另外，在从存储卡120到存储卡110的许可证转移/复制处理中，从图14的步骤S332到图16的步骤S364的期间，由于接收state73也保持ON的状态，因此这种情况下可以说与传送许可证时相同。
参照图18和图19说明在按图14～图16所示的流程图将许可证从存储卡120向存储卡110转移的过程中通信被切断时由存储卡120将作为转移对象的许可证复原的动作。即，在图15的步骤S348中判定为「转移」后，在从步骤S350到图16的步骤S364的期间如因通信中断等原因使转移处理中断时，将有可能变成许可证在发送侧的存储卡120和存储卡110的任何一方都不存在的状态，因而存在着许可证消失的情况。在这种情况下，可以由发送侧的存储卡120将作为转移对象的许可证复原。假定这种情况也发生在图13所示的系统中。
参照图18，当从便携式电话机100的操作面板1108输入了复原请求时(步骤S400)，控制器40，通过接口60向存储卡110发送认证数据的发送请求(步骤S402)。然后，存储卡110的控制器1420，通过端子1426、接口1424及总线BS4接收认证数据发送请求(步骤S404)。
控制器1420，通过总线BS4从认证数据保持部1400读出认证数据{KPm3∥Cm3}KPa，并将所读出的该认证数据{KPm3∥Cm3}KPa通过总线BS4、接口1424及端子1426输出(步骤S406)。接着，控制器40，通过接口60接收认证数据{KPm3∥Cm3}KPa，并将认证数据{KPm3∥Cm3}KPa通过接口60发送到存储卡120(步骤S408)。
在这之后，存储卡120的控制器1420，通过端子1426及接口1424接收认证数据{KPm3∥Cm3}KPa，并将该接收到的认证数据{KPm3∥Cm3}KPa通过总线BS4供给解密处理部1408。接着，解密处理部1408，用来自KPa保持部1414的公开认证密钥KPa对认证数据{KPm3∥Cm3}KPa执行解密处理(步骤S410)。控制器1420，根据解密处理部1408的解密处理结果进行认证处理，判断处理是否正常进行、即存储卡110是否是正规的存储卡、且是否从存储卡110接收到由正规机构进行了用于证明其合法性的加密的认证数据(步骤S412)。当判定为是合法的认证数据时，控制器1420，认可并受理类别公开加密密钥KPm3及类别证书Cm3。然后，进入下一步的处理(步骤S414)。当判定为不是合法的认证数据时，不认可且不受理类别公开加密密钥KPm3及类别证书Cm3而结束处理(步骤S462)。
当根据认证结果确认了是来自具有合法认证数据的存储卡的认证数据时，在存储卡120内，控制器1420，控制对话密钥生成部1418，并由对话密钥生成部1418生成用于转移的对话密钥Ks2c(步骤S414)。对话密钥Ks2c，由加密处理部1410利用由解密处理部1408得到的与存储卡110对应的类别公开加密密钥KPm3加密。然后，控制器1420，通过总线BS4取得加密数据{Ks2c}Km3，并通过总线BS4、接口1424及端子1426将加密数据{Ks2c}Km3输出(步骤S416)。
控制器40，通过接口60从发送侧受理加密数据{Ks2c}Km3(步骤S418)，并将所受理的该加密数据{Ks2c}Km3通过接口60输入存储卡110(步骤S420)。由该输入指令存储卡110输出接收运行记录。
存储卡110的控制器1420，通过端子1426、接口1424及总线BS4受理加密数据{Ks2c}Km3，并将加密数据{Ks2c}Km3供给解密处理部1422。解密处理部1422，用来自Km保持部1421的秘密解密密钥Km3将加密数据{Ks2c}Km3解密而受理对话密钥Ks2c(步骤S422)。控制器1420，从存储器1415的运行记录区域1415A的接收运行记录70取得对话密钥Ks2b，并将所取得的该对话密钥Ks2b通过切换开关1446的接点Pf供给加密处理部1406，加密处理部1406，通过切换开关1442的接点Pa接收由1422解密后的对话密钥Ks2c，并由对话密钥Ks2c将对话密钥Ks2b加密而生成加密数据{Ks2b}Ks2c(步骤S424)。然后，控制器1420，从接收运行记录70取得许可证ID及接收state，生成许可证ID∥{Ks2b}Ks2c∥接收state，并求取许可证ID∥{Ks2b}Ks2c∥接收state的散列值hash(步骤S426)。就是说，控制器1420，对许可证ID∥{Ks2b}Ks2c∥接收state附加签名。
在这之后，控制器1420，将散列值hash通过切换开关1446的接点Pf供给加密处理部1406，加密处理部1406，用对话密钥Ks2c对散列值hash进行加密，生成加密数据{hash}Ks2c(步骤S428)。接着，控制器1420，生成并输出许可证ID∥{Ks2b}Ks2c∥接收state∥{hash}Ks2c(步骤S430)。就是说，通过用对话密钥Ks2c进一步将对许可证ID∥{Ks2b}Ks2c∥接收state的签名加密，可以防止窜改对许可证ID∥{Ks2b}Ks2c∥接收state的签名。
控制器40，通过接口60接收许可证ID∥{Ks2b}Ks2c∥接收state∥{hash}Ks2c，并对接收state进行确认(步骤S432)。如接收state为OFF，则意味着已将许可证从存储卡120转移/复制到存储卡110之后通信才被切断，所以，结束许可证的复原动作(步骤S462)。当在步骤S432中接收state为ON，就是说，当确认了在将许可证从存储卡120向存储卡110转移/复制的过程中通信被切断时，控制器40，对许可证ID进行确认。即，确认从存储卡110读出的许可证ID是否与存储卡120保持的许可证ID一致(步骤S434)。当2个许可证ID不一致时，不能特别指定作为转移/复制对象的许可证，所以结束许可证的复原动作(步骤S462)。当在步骤S434中确认2个许可证ID一致时，控制器40，将许可证ID∥{Ks2b}Ks2c∥接收state∥{hash}Ks2c输入存储卡120(步骤S436)。
参照图19，存储卡120的控制器1420，通过端子1426、接口1424及总线BS4受理许可证ID∥{Ks2b}Ks2c∥接收state∥{hash}Ks2c(步骤S438)，并求得许可证ID∥{Ks2b}Ks2c∥接收state的散列值hash(步骤S440)。接着，控制器1420，将所受理的加密数据{hash}Ks2c供给解密处理部1412，解密处理部1412，利用来自对话密钥生成部1418的对话密钥Ks2c将加密数据{hash}Ks2c解密，并受理由存储卡110生成的散列值hash(步骤S442)。
在这之后，存储卡120的控制器1420，确认自身生成的散列值hash(步骤S440)是否与由存储卡110生成的散列值hash一致(步骤S444)。当2个散列值hash不一致时，意味着对许可证ID∥{Ks2b}Ks2c∥接收state的签名已被窜改，所以结束许可证的复原动作(步骤S462)。当在步骤S444中确认2个散列值hash一致时，控制器1420，对接收state进行确认(步骤S446)。如接收state为OFF，则意味着已将许可证从存储卡120转移/复制到存储卡110之后通信才被切断，所以，结束许可证的复原动作(步骤S462)。当在步骤S446中确认了接收state为ON、就是说，当确认了在将许可证从存储卡120向存储卡110转移/复制的过程中通信被切断时，控制器1420，将加密数据{Ks2b}Ks2c供给解密处理部1412。接着，解密处理部1412，利用来自对话密钥生成部1418的对话密钥Ks2c将加密数据{Ks2b}Ks2c解密，并受理对话密钥Ks2b(步骤S448)。
然后，控制器1420，读出记录在存储器1415的运行记录区域1415A的发送运行记录80内的对话密钥Ks2b，并将所读出的该对话密钥Ks2b与从存储卡110接收到的对话密钥Ks2b进行比较，以确认两者是否一致(步骤S450)。当2个对话密钥不一致时，由于从存储卡110接收到的对话密钥Ks2b是用于特定其他的转移/复制处理的对话密钥，所以结束许可证的复原动作(步骤S462)。当在步骤S450确认2个对话密钥一致时，控制器1420，确认在存储器1415的运行记录区域1415A的发送运行记录内是否记录着项目序号(步骤S452)。如没有记录项目序号，则意味着不进行许可证的转移/复制处理，所以结束许可证的复原动作(步骤S462)。当在步骤S452中确认在发送运行记录内记录着项目序号时，控制器1420，读出发送运行记录内的项目序号，并从许可证区域1415B取得存储在由该读出的项目序号指定的区域内的许可证ID(步骤S454)。
接着，控制器1420，将从存储卡110接收到的许可证ID与从存储卡120的许可证区域1415B取得的许可证ID进行比较(步骤S456)，当2个许可证ID不一致时，结束许可证的复原动作(步骤S462)。当在步骤S456中2个许可证ID一致时，控制器1420，将由记录在运行记录区域1415A的发送运行记录内的项目序号指定的许可证的有效标志从无效变为有效(步骤S458)。按照这种方式，即可在许可证的发送侧将许可证复原。在这之后，存储卡120的控制器1420，对运行记录区域1415A的发送运行记录进行初始化(步骤S460)，并结束许可证的复原动作(步骤S462)。
如上所述，在确认了已进行着许可证转移/复制的对方并特定该已进行着的转移/复制的条件下，可以由发送侧进行许可证的复原。此外，由存储卡110(接收侧)和存储卡120(发送侧)对许可证ID∥{Ks2b}Ks2c∥接收state附加签名并当确认两者的签名一致时继续进行许可证的复原处理，从而可以提供安全的许可证复原。
另外，在上文中，说明了从存储卡120到存储卡110的许可证转移及从存储卡120到存储卡110的许可证转移动作中的许可证的复原，但从存储卡110到存储卡120的许可证转移及复原也可以按照图14～图16、图18和图19所示的流程图进行。此外，从除存储卡110、120以外的多个存储卡的任何一个进行许可证的转移及复原也都可以按照图14～图16、图18和图19所示的流程图进行。
如上所述，安装在便携式电话机100或再生终端102中的存储卡110，可以直接从传送服务器10接收加密内容数据和许可证。存储卡110，还可以按「转移」的概念从个人计算机50接收由个人计算机50以硬件形式从传送服务器10取得的加密内容数据和许可证。
这样，存储卡110，以各种方法接收加密内容数据和许可证。因此，在下文中，说明存储卡按上述各种方法接收到的加密内容数据的再生。
图20是用于说明再生终端102对存储卡110接收到的内容数据进行的再生动作的流程图。在图20的处理之前，作为前提条件，再生终端102的用户，根据记录在存储卡110的数据区域1415C内的再生表，决定想要再生的内容(乐曲)，特定出内容文件，并取得许可证管理文件。
参照图20，当开始再生动作时，从再生终端102的用户通过操作面板1108向再生终端102输入再生请求(步骤S700)。于是，控制器1106，通过总线BS3向内容再生电路1550发送认证数据的输出请求(步骤S702)，然后，内容再生电路1550，接收认证数据的输出请求(步骤S704)。接着，认证数据保持部1500，输出认证数据{KPp1∥Cp1}KPa(步骤S706)，控制器材106，将认证数据{KPp1∥Cp1}KPa通过存储卡接口1200输入存储卡110(步骤S708)。
在这之后，存储卡110，受理认证数据{KPp1∥Cp1}KPa，解密处理部1408，利用KPa保持部1414所保持的公开认证密钥KPa将所受理的认证数据{Kp1∥Cp1}KPa解密(步骤S710)，控制器1420，根据解密处理部1408的解密处理结果进行认证处理。即，进行判断认证数据{KPp1∥Cp1}KPa是否是正规认证数据的认证处理。当不能解密时，转入步骤S746，结束再生动作。当可以将认证数据解密时，控制器1420，控制对话密钥生成部1418，并由对话密钥生成部1418生成对话密钥Ks2(步骤S712)。然后，加密处理部1410，将利用由解密处理部1408解密后的公开加密密钥KPp1对来自对话密钥生成部1418的对话密钥Ks2进行了加密的加密数据{Ks2}Kp1输出到总线BS3上。在这之后，控制器1420，通过接口1424及端子1426将加密数据{Ks2}Kp1输出到存储卡接口1200(步骤S714)。再生终端102的控制器1106，通过存储卡接口1200取得加密数据{Ks2}Kp1。接着，控制器1106，将加密数据{Ks2}Kp1通过总线BS3供给内容再生电路1550的解密处理部1504(步骤S716)，解密处理部1504，利用从Kp1保持部1502输出的与公开加密密钥KPp1构成一对的秘密解密密钥Kp1将加密数据{Ks2}Kp1解密，并将对话密钥Ks2输出到加密处理部1506(步骤S718)。在这之后，对话密钥生成部1508，生成用于再生对话的对话密钥Ks3，并将对话密钥Ks3输出到加密处理部1506(步骤S720)。加密处理部1506，利用来自解密处理部1504的对话密钥Ks2将由对话密钥生成部1508生成的对话密钥Ks3加密而输出加密数据{Ks3}Ks2(步骤S722)，控制器1106，将加密数据{Ks3}Ks2通过总线BS3及存储卡接口1200输出到存储卡110(步骤S724)。
在这之后，存储卡110的解密处理部1412，通过端子1426、接口1424及总线BS4输入加密数据{Ks3}Ks2。解密处理部1412，用由对话密钥生成部1418生成的对话密钥Ks2将加密数据{Ks3}Ks2解密而受理由再生终端102生成的对话密钥Ks3(步骤S726)。
再生终端102的控制器1106，从事先自存储卡110取出的再生请求乐曲的许可证管理表取得存储着许可证的项目序号(步骤S728)，并通过存储卡接口1200将所取得的项目序号及允许再生请求输出到存储卡110(步骤S730)。
存储卡110的控制器1420，受理项目序号及允许再生请求，并取得存储在由项目序号指定的区域内的许可证及有效标志(步骤S732)。接着，控制器1420，对有效标志进行确认(步骤S733)。当在步骤S733中确认有效标志为「无效」时，意味着在所指定的项目内不存在许可证，因而结束再生动作(步骤S746)。当在步骤S733中确认有效标志为「有效」时，意味着在所指定的项目内存在着许可证，因而进入下一个步骤S734。
然后，控制器1420，对访问限制信息ACm进行确认(步骤S734)。
在步骤S734中，确认与对存储器的访问的限制有关的信息即访问限制信息ACm，具体地说，确认再生次数，因此，当为已不可再生的状态时结束再生动作，当访问限制信息的再生次数存在着限制时，将访问限制信息ACm的再生次数变更(步骤S736)后进入下一个步骤(步骤S738)。另一方面，当再生动作不受访问限制信息ACm的再生次数的限制时，跳过步骤S736，在下一个步骤(步骤S738)中进行处理而无需变更访问限制信息ACm的再生次数。
当在步骤S734中判定为在该再生动作中可以进行再生时，将记录在存储器1415的许可证区域1415B内的再生请求乐曲的许可证密钥Kc及再生控制信息ACp输出到总线BS4上(步骤S738)。
所取得的许可证密钥Kc及再生控制信息ACp，通过切换开关1446的接点Pf传送到加密处理部1406。加密处理部1406，利用通过切换开关1442的接点Pb从解密处理部1412接收到的对话密钥Ks3将通过切换开关1446接收到的许可证密钥Kc及再生控制信息ACp加密，并将加密数据{Kc∥ACp}Ks3输出到总线BS4上(步骤S738)。
输出到总线BS4上的加密数据{Kc∥ACp}Ks3，通过接口1424、端子1426及存储卡接口1200发送到再生终端102。
在再生终端102中，由解密处理部1510对通过存储卡接口1200传送到总线BS3上的加密数据{Kc∥ACp}Ks3进行解密处理而受理许可证密钥Kc及再生控制信息ACp(步骤S740、S742)。解密处理部1510，将许可证密钥Kc传送到解密处理部1516，并将再生控制信息ACp输出到总线BS3上。
控制器1106，通过总线BS3受理再生控制信息ACp并进行可否再生的确认(步骤S744)。
当在步骤S744中根据再生控制信息ACp判断为不可再生时，结束再生动作。
当在步骤S744中判定为可以再生时，控制器1106，通过存储卡接口1200向存储卡110请求传送加密内容数据{Dc}Kc。于是，存储卡110的控制器1420，从存储器1415取得加密内容数据{Dc}Kc，并通过总线BS4、接口1424及端子1426将其输出到存储卡接口1200。
再生终端102的控制器1106，通过存储卡接口1200取得加密内容数据{Dc}Kc，并将加密内容数据{Dc}Kc通过总线BS3供给内容再生电路1550。
接着，内容再生电路1550的解密处理部1516，利用从解密处理部1510输出的许可证密钥Kc将加密内容数据{Dc}Kc解密而取得内容数据Dc。
然后，将解密后的内容数据Dc输出到音乐再生部1518，音乐再生部1518将内容再生，DA转换器1519，将数字信号转换为模拟信号后输出到端子1530。接着，将音乐数据从端子1530通过外部输出装置输出到头戴式耳机130进行再生。至此，再生动作结束(步骤S746)。
个人计算机50的许可证专用存储卡520的加密内容数据的再生动作，也按图20所示的流程图进行。
另外，以上说明了个人计算机50安装许可证专用存储卡520并将许可证记录在所安装的许可证专用存储卡520内的情况，但也可以代替许可证专用存储卡520而安装存储卡110，并在所装有的该存储卡110内只对许可证进行管理。
进一步，与将存储卡110安装在便携式电话机100或再生终端102内的情况一样，也可以将加密内容数据和许可证管理信息记录在许可证专用存储卡520的数据区域1415C内以供使用。
另外，还可以使用不具备数据区域1415C的许可证专用存储卡或许可证专用的记录器件(半导体芯片)等代替许可证专用存储卡520。在这种场合，项目管理信息被记录在硬盘530中。
另外，在个人计算机50中，还可以利用备有加密算法并由软件实现了抗窜改模块的许可证管理程序实现许可证专用存储卡520的功能。在这种情况下，运行记录区域1415A及许可证区域1415B，设在硬盘530内且由许可证管理程序独自进行加密，从而构成为除许可证管理程序以外即使进行访问也不能对内容进行确认和改写。此外，构成为以与个人计算机50的硬盘530或控制器510相关的方式进行记录，并只能由个人计算机50进行访问。进一步，构成为如不按图14～图16所示的流程图转移/复制许可证则使许可证无效。
按照本发明的实施形态，发送源的存储卡，根据有效标志管理许可证的转移，当在许可证的转移过程中通信被切断时，在确认了已进行着许可证转移的对方后使有效标志为有效状态，所以可以很容易地在发送源侧进行许可证的复原。
在以上的说明中，通过在转移许可证时使用有效标志，实现了可以由发送侧的存储卡将作为转移对象的许可证复原且禁止使用的状态。除此以外，例如还可以按如下的方式实现，即，将运行记录区域1415A扩展为能使作为转移对象的许可证在存储卡的存储器1415的运行记录区域1415A的发送运行记录内存储与1个许可证对应的备份许可证，并通过在发送运行记录中保存作为转移对象的许可证而可以在记录着所转移的许可证的项目内进行删除。在这种情况下，不需要按每个项目设置的有效标志。
在这种结构的情况下，在转移处理中，由发送侧的存储卡110在图15的步骤S350中将所指定的项目序号及所指定的项目序号内的许可证存储在运行记录区域1415A的发送运行记录内，并将所指定的项目序号内的许可证删除。在接收侧的存储卡120内，只需将步骤S364变更为「将许可证(许可证ID、内容ID、许可证密钥Kc、访问控制信息ACm及再生控制信息ACp)存储在由项目序号指定的项目内」即可。进一步，在复原处理中，只需将图19的步骤S458变更为「将备份许可证复制到由发送运行记录内的项目序号指定的项目内」即可。
同样，在传送处理的各项处理中，不需要进行有效标志的设定和确认。在这种情况下，将图10的步骤S160变更为「将许可证(许可证ID、内容ID、许可证密钥Kc、访问控制信息ACm及再生控制信息ACp)存储在由项目序号指定的项目内」。在再生处理中，由于不使用有效标志，因此不需要进行图20的步骤S733的处理。
在上文中，以用于对加密内容数据进行解密的许可证为例说明了许可证的复原处理，但在本发明中，复原对象并不限于对加密内容数据进行解密用的许可证，也可以将个人信息及信用卡信息等不能同时存在2个以上的数据作为复原对象。对于这种数据，可以进行上述的各项处理。
这里公开的实施形态，在所有方面都不能理解为有任何限制，本发明的范围，不是由上述的实施形态而是由专利权利要求的范围给出，并包含着与专利权利要求范围均等的意义及范围内的所有变更。
按照本发明，发送源的存储卡，根据有效标志管理许可证的转移，当在许可证的转移过程中通信被切断时，在确认了已进行着许可证转移的对方后使有效标志为有效状态，所以可以很容易地在发送源侧进行许可证的复原。因此，本发明，适用于即使在许可证的转移过程中通信被切断也能将该作为转移对象的许可证复原的数据记录装置。
权利要求
1.一种数据记录装置(120)，可向其他数据记录装置(110、520)转移只容许唯一存在的专用数据，该数据记录装置的特征在于备有保持用于特定向上述其他数据记录装置(110、520)转移上述专用数据的处理的第1历史信息(81)的历史信息保持部(1415A、80)、保持上述专用数据的专用数据保持部(1415B)及控制部(1420)，上述控制部(1420)，在上述专用数据向上述其他数据记录装置(110、520)的转移中变更为使上述专用数据不能向外部输出的状态，并响应上述专用数据的复原请求而从上述其他记录装置(110、520)接收指示与上述其他数据记录装置(110、520)的通信状态并保持在上述其他数据记录装置(110、520)内的通信信息(73)及保持在上述其他数据记录装置(110、520)内的用于特定上述转移处理的第2历史信息(72)，并根据上述通信信息(73)对与上述其他数据记录装置(110、520)的通信状态进行确认，当上述通信信息(73)指示正在上述转移过程中时，判定上述第2历史信息(72)是否与上述第1历史信息(81)一致，当上述第2历史信息(72)与上述第1历史信息(81)一致时，恢复为可将上述专用数据向外部输出的状态。
2.如权利要求1所述的数据记录装置，其特征在于上述专用数据保持部(1415B)，还保持指示可将上述专用数据的一部分或全部向外部输出或不可输出的可否输出标志，上述控制部(1420)，在上述专用数据向其他数据记录装置(110、520)的转移中将上述可否输出标志设定为不可输出，当复原上述专用数据时，将上述可否输出标志设定为可以输出。
3.如权利要求1所述的数据记录装置，其特征在于上述历史信息保持部(1415A、80)，还将作为上述转移对象的专用数据保持在不可向外部输出的状态，上述控制部(1420)，在上述专用数据向上述其他数据记录装置(110、520)的转移中将上述作为转移对象的专用数据供给上述历史信息保持部(1415A、80)，并将上述作为转移对象的专用数据从上述专用数据保持部删除，当复原上述专用数据时，将保持在上述历史信息保持部(1415A、80)的专用数据写入上述专用数据保持部。
4.如权利要求1～3的任一项所述的数据记录装置，其特征在于上述第1历史信息(81)，在建立用于上述转移的通信时由上述其他数据记录装置(110、520)生成，而且是从上述其他数据记录装置(110、520)接收到的第1对话密钥，上述第2历史信息(72)，在建立用于上述转移的通信时由上述其他数据记录装置(110、520)生成，而且是与保持在上述其他数据记录装置(110、520)内的上述第1对话密钥相同的第2对话密钥。
5.如权利要求1～3的任一项所述的数据记录装置，其特征在于还备有根据电子签名确认上述通信信息(73)和上述第2历史信息(72)的合法性的签名确认装置(1420)，上述控制部(1420)，在从上述其他数据记录装置(110、520)接收上述通信信息(73)及上述第2历史信息(72)的同时还接收与上述通信信息(73)及上述第2历史信息(72)对应的电子签名，当由上述签名确认装置(1420)确认了上述通信信息(73)及上述第2历史信息(72)的合法性时，对上述通信状态进行确认，并确认上述第1历史信息(81)与上述第2历史信息(72)的一致性。
6.如权利要求1～3的任一项所述的数据记录装置，其特征在于还备有生成用于特定与上述其他数据记录装置(110、520)的通信的对话密钥的对话密钥生成部(1418)、利用由上述对话密钥生成部(1418)生成的对话密钥将加密内容数据解密的解密部(1412)，当复原上述专用数据时，上述对话密钥生成部(1418)生成特定用于复原上述专用数据的通信的第3对话密钥，上述控制部(1420)，将上述第3对话密钥发送到上述其他数据记录装置(110、520)，并从上述其他数据记录装置(110、520)接收由上述第3对话密钥加密后的上述第2历史信息(72)。
7.如权利要求5所述的数据记录装置，其特征在于还备有生成用于特定与上述其他数据记录装置(110、520)的通信的对话密钥的对话密钥生成部(1418)、利用由上述对话密钥生成部(1418)生成的对话密钥将加密内容数据解密的解密部(1412)，当复原上述专用数据时，上述对话密钥生成部(1418)生成特定用于复原上述专用数据的上述通信的第3对话密钥，上述控制部(1420)，将上述第3对话密钥发送到上述其他数据记录装置(110、520)，并从上述其他数据记录装置(110、520)接收由上述第3对话密钥加密后的上述第2历史信息(72)及由上述第3对话密钥加密后的上述电子签名的数据。
8.如权利要求1～3的任一项所述的数据记录装置，其特征在于上述历史信息保持部(1415A、80)，将上述作为转移对象的专用数据中所包含的第1数据特定信息与上述第1历史信息(81)一起保持，上述控制部(1420)，进一步判定从上述其他数据记录装置(110、520)接收的上述作为转移对象的上述第2数据特定信息是否与上述第1数据特定信息一致，当上述第2数据特定信息与上述第1数据特定信息一致时，对上述通信信息(73)进行确认，并确认上述第1历史信息(81)与上述第2历史信息(72)的一致性。
9.如权利要求8所述的数据记录装置，其特征在于还备有根据电子签名确认上述通信信息(73)、上述第2历史信息(72)及上述第2数据特定信息的合法性的签名确认装置(1420)，上述控制部(1420)，在接收上述通信信息、上述第2历史信息(72)及上述第2数据特定信息的同时还接收与上述通信信息(73)、上述第2历史信息(72)及上述第2数据特定信息对应的电子签名，当由上述签名确认装置(1420)确认了上述通信信息(73)、上述第2历史信息(72)及上述第2数据特定信息的合法性时，确认上述第2数据特定信息与上述第1数据特定信息的一致性、且对上述通信信息(73)进行确认，并确认上述第1历史信息(81)与上述第2历史信息(72)的一致性。
10.如权利要求1～3的任一项所述的数据记录装置，其特征在于还备有保持指示与上述其他数据记录装置(110、520)或与上述其他数据记录装置(110、520)不同的另一个其他数据记录装置的通信状态的另一通信信息的通信信息保持部(1415A、70)、保持用于特定从上述其他数据记录装置(110、520)或上述另一个其他数据记录装置转移上述专用数据的处理的第3历史信息的另一历史信息保持部(1415A、70)，当在上述专用数据的转移处理中从上述其他数据记录装置(110、520)或另一个其他数据记录装置接收作为转移对象的专用数据时，上述控制部(1420)，将上述第3历史信息记录在上述另一历史信息保持部(1415A、70)内，并响应来自外部的历史信息输出请求而输出上述通信信息(73)和上述第3历史信息。
11.如权利要求10所述的数据记录装置，其特征在于还备有生成用于特定与上述其他数据记录装置(110、520)或上述另一个其他数据记录装置的通信的对话密钥的对话密钥生成部(1418)，上述对话密钥生成部(1418)，在上述专用数据的转移处理中生成特定用于从上述其他数据记录装置(110、520)或上述另一个其他数据记录装置接收作为转移对象的专用数据的通信的第4对话密钥，当建立从上述其他数据记录装置(110、520)或上述另一个其他数据记录装置接收上述作为转移对象的专用数据的通信时，上述控制部(1420)，在将上述第4对话密钥发送到上述其他数据记录装置(110、520)或上述另一个其他数据记录装置的同时将上述第4对话密钥作为上述第3历史信息存储在上述另一历史信息保持部(1415A、70)内，并响应来自外部的历史信息输出请求而输出上述另一通信信息及上述第3历史信息。
12.如权利要求11所述的数据记录装置，其特征在于还备有生成与上述另一通信信息及上述第3历史信息对应的电子签名的电子签名生成部(1420)，上述控制部(1420)，响应来自外部的历史信息输出请求，输出上述另一通信信息、上述第3历史信息及上述电子签名。
13.如权利要求11所述的数据记录装置，其特征在于还备有利用从上述其他数据记录装置(110、520)或上述另一个其他数据记录装置输入的第5对话密钥进行加密的加密处理部(1406)，当建立从上述其他数据记录装置(110、520)或上述另一个其他数据记录装置接收上述作为转移对象的专用数据的通信时，上述控制部(1420)，在将上述第4对话密钥输出到上述其他数据记录装置(110、520)或上述另一个其他数据记录装置的同时将上述第4对话密钥作为上述第3历史信息存储在上述另一历史信息保持部(1415A、70)内，并响应来自外部的历史信息输出请求而输出上述另一通信信息和在上述加密处理部(1406)中由上述第5对话密钥加密后的上述第3历史信息。
14.如权利要求11所述的数据记录装置，其特征在于还备有利用从上述其他数据记录装置(110、520)或上述另一个其他数据记录装置(110、520)输入的第5对话密钥对数据进行加密的加密处理部(1406)、生成与上述通信信息(73)及在上述加密处理部(1406)中由从外部输入的第3对话密钥加密后的第3历史信息对应的电子签名的电子签名生成部(1420)，上述加密处理部(1406)，用上述第5对话密钥将上述第3历史信息和上述电子签名加密，当建立从上述其他数据记录装置(110、520)或上述另一个其他数据记录装置接收上述作为转移对象的专用数据的通信时，上述控制部(1420)，在将上述第4对话密钥输出到上述其他数据记录装置(110、520)或上述另一个其他数据记录装置的同时将上述第4对话密钥作为上述第3历史信息存储在上述另一历史信息保持部(1415A、70)内，并响应来自外部的历史信息输出请求而输出上述通信信息(73)、由上述第5对话密钥加密后的上述第3历史信息及由上述第5对话密钥加密后的上述电子签名。
15.如权利要求10所述的数据记录装置，其特征在于上述控制部(1420)，将特定来自上述其他数据记录装置(110、520)或上述另一个其他数据记录装置的作为转移对象的专用数据的第3数据特定信息记录在上述通信信息保持部(1415A、70)内，并响应上述第3数据特定信息的输出请求而从上述通信信息保持部(1415A、70)读出上述第3数据特定信息，然后将其与上述通信信息(73)及第3历史信息一起输出。
16.如权利要求1～3的任一项所述的数据记录装置，其特征在于上述专用数据，是用于将加密内容数据解密的许可证。
全文摘要
在存储卡的存储器内配置着运行记录区域(1415A)及许可证区域(1415B)。许可证区域(1415B)，与项目序号0～N－1对应地存储许可证ID及许可证密钥Kc等许可证和有效标志。运行记录区域(1415A)，包含接收运行记录70及发送运行记录80。作为许可证发送源的存储卡，从接收目的地的存储卡受理接收state，如接收state为ON，则使由发送运行记录(80)的项目序号指定的区域的有效标志为有效。其结果是，即使在许可证的转移/复制过程中通信被切断也能将作为转移/复制对象的许可证复原。
文档编号G07F7/10GK1493030SQ0182304
公开日2004年4月28日 申请日期2001年9月10日 优先权日2001年3月15日
发明者堀吉宏 申请人:三洋电机株式会社