能够抑制密钥被破译时的受害范围的加密通信系统

摘要

在由1台发送装置10和分为7个组A～G的共28台接收装置Al～G4构成的加密通信系统中,各组中预先配置了从14种不同的密钥中不重复地选择的2个密钥。发送装置10使用对各组配置的2个密钥的某1个把同一信息M加密,然后发送给对应组的接收装置。接收装置的每一个使用配置在自身所属组中的2个密钥的每一个,对所接收的密码电文进行解密,并通过对所得到的2个解密电文的每1个判断是否存在一定的规则性来特定正确的解密电文。

说明书

本发明涉及借助传送媒体和记录媒体对数字化了的文本、声音、图像、程序等数据进行加密传送的系统，特别涉及一台发送装置使用密钥向多台接收装置进行加密传送的技术。

以前，在用密钥把数字化了的文本、声音、图像、程序等数据加密后通过传送媒体通信或借助记录媒体记录·再生的密钥加密通信系统中，发送装置和接收装置分别使用预先在装置间确定的1个公共密钥进行加密和解密。

也就是说，即使是在发送装置及接收装置分别具有多个密钥的情况下，也要在即将进行通信时特定1个密钥，并使用该密钥。这是为了保证在接收装置中可靠地解密从发送装置发送来的密码电文。

然而，在这样以前的加密通信系统中，在通信系统的形态为1对多、即1台发送装置对多台接收装置提供信息这种形态的情况下，如果在密钥被破译时必须对于所有的接收装置重新设定新的密钥，则将不得已而进行改变系统结构这样的极大的工作量。

例如，如果在1台发送台和接收从该发送台提供的节目的100台接收机所具有的密钥被破译的情况下，则必须改变存储在100台接收机及该发送台中的所有密钥。也就是说，即使在由于窃听1台发送装置和1台接收装置间的通信而使密钥被破译的情况下，也将不仅对这2台装置、而且要对所有共有相同密钥的接收装置带来影响。

本发明就是鉴于上述问题而提案的，目的在于提供一种加密通信系统，该系统能够使第三者为窃听而进行的密钥的推断更为困难，同时，还能够在密钥被破译时将对系统的影响抑制为很小。

为达到上述目的，本发明的加密通信系统是由1台发送装置和多台被分组了的接收装置构成的加密通信系统，在各组中，预先配置从互不相同的多个密钥中不重复地选择出的2个以上的密钥，该发送装置分别对各个组各使用1个所选择的密钥把1个明码电文加密，并把所得到的密码电文发送到属于对应组的接收装置。对于接收到的密码电文，各个接收装置使用配置在自身所属组中的多个密钥的每一个进行解密，并通过对于所得到的各个解密电文判断是否存在一定的规则性而特定正确的解密电文。

由此，即使在1个密钥被破译的情况下，也能够不受影响而继续进行对与配置了该密钥的组不同的组的加密通信。另外，对于配置了被破译的密钥的组，也可以使用其它余下的密钥继续进行加密通信。进而，由于发送装置能够对于各组任意改变所使用的密钥，所以，避免反复使用相同的密钥，使第三者进行的密钥的破译很困难。

即，实现了能够在使第三者为窃听而进行的密钥的推断更为困难的同时、还能够在密钥被破译时把对系统的影响抑制为很小的加密通信系统。

在此，发送装置也可以把表示上述规则性的密码电文添加到上述密码电文后发送给各个接收装置。

由此，由于接收装置从多个解密电文中判定正确的解密电文时的判断基准被加密并从发送装置传送到接收装置，因此，发送装置所选择的1个密钥是哪个这样的信息也被隐蔽起来，从而实现了高安全性的加密通信。

通过以下参照附图进行的说明，本发明的这些及其它目的、优点和特征将显而易见。这些附图说明了本发明的具体实施形态，其中：

图1是用于说明本发明实施形态1的加密通信系统总体结构和加密通信的原理的说明图。

图2是示出了关于该加密通信系统中的发送装置10和1台接收装置20a的详细连接及构成的框图。

图3是示出了发送装置100的动作顺序的流程图。

图4是示出了接收装置A1的动作顺序的流程图。

图5示出在本发明的加密通信系统的通信媒体是记录媒体时写入到该记录媒体中的内容。

图6是用于说明本发明实施形态2的加密通信系统总体结构和加密通信的原理的说明图。

图7是示出本发明实施形态3的加密装置的构成的框图。

图8示出了由该加密装置加密前的块数据Data及加密后的块数据Edata的结构。

实施形态1

以下，使用附图详细地说明本发明的加密通信系统的实施形态1。本加密通信系统的特征在于，即使是密钥被破译的情况下，也能够抑制由此而形成的受害范围。

图1是用于说明实施形态1的加密通信系统总体的系统结构和加密通信的原理的说明图。

本系统由1台发送装置10和接收从该发送装置10单方向传送来的传送信息的28台接收装置A1～G4构成。

28台接收装置A1～G4属于7个组A～G的某一组，而每个组由4台接收装置形成。具体地说，28台接收装置A1～G4组成如下：属于连接到总线14a的组A的4台接收装置A1～A4(仅图示出其中的2台)、属于连接到总线14b的组B的4台接收装置B1～B4(仅图示出其中的2台)、……、属于连接到总线14g的4台接收装置G1～G4(仅图示出其中的2台)。

发送装置10包括应向全部接收装置A1～G4传送的信息13、十四个不同的密钥11、一个加密器12，通过使用独立连接的7条总线14a～14g，能够一起向每个组单位即每4台接收装置发送信息。

接收装置A1～G4分别具有2个密钥21a～21g、26a～26g、对应于上述加密器12(进行反变换)的1个解密器22a～22g、27a～27g。

本系统的目的在于，1台发送装置10通过使用了密钥的加密通信对28台接收装置A1～G4传递1个(同一个)信息M。

首先，说明发送装置10具有的14个密钥11和各接收装置具有的2个密钥的关系(密钥的配置形态)。

7个组A～G的每个组中预先配置了从不同种类的14种密钥中不重复地选择的2个密钥。即，组A中配置了密钥Ka1和Ka2，组B中配置了密钥Kb1和Kb2，……，组G中配置了密钥Kg1和Kg2。而且，各接收装置A1～G4的每一个都预先存储了自身所属组中配置的2个密钥。

另一方面，发送装置10与各组对应，预先存储与配置到7个组A～G中的密钥相同的14个密钥。

这样，使14个密钥在属于同一组的接收装置间相同，在属于不同组的接收装置间不同。

其次，说明发送装置10传送给28台接收装置A1～G4的具体密码电文的内容。

发送装置10传送给28台接收装置A1～G4的密码电文如图中的总线14a～14g所示。这里，符号E(M，K)意指根据加密算法E对于明码电文M使用密钥K加密后得到的密码电文。同样，符号D(C，K)意指根据解密算法D对于明码电文C使用密钥K解密后得到的解密电文。

即，发送装置10通过总线14a对属于组A的4台接收装置A1～A4传送密码电文E(M，Ka1)或E(M，Ka2)(本图中记为E(M，Ka1)/E(M，Ka2))，经由总线14b对属于组B的4台接收装置B1～B4传送密码电文E(M，Kb1)或E(M，Kb2)，……，经由总线14g对属于组G的4台接收装置G1～G4传送密码电文E(M，Kg1)或E(M，Kg2)。

具体地讲，发送装置10对于组A随机选择配置在组A中的2个密钥(Ka1及Ka2)中的某一个，并用该密钥在加密器12中把信息M加密，然后把得到的密码电文E(M，Ka1)或E(M，Ka2)同时发送给属于组A的4台接收装置A1～A4。同样，对于组B，选择配置在组B中的2个密钥(Kb1及Kb2)中的某一个，并用该密钥在加密器12中把信息M加密，然后把得到的密码电文E(M，Kb1)或E(M，Kb2)同时发送给属于组B的4台接收装置B1～B4。这样，顺序地对各个组同时发送去不同的密码电文。

另一方面，各接收装置A1～G4分别对接收到的密码电文使用自有的2个密钥进行解密，如果得到的2种解密电文中的至少一个是能够信赖的内容，则认定该解密电文是发送装置10传来的信息M，而且认定为得到解密电文而使用的密钥和发送装置10使用的相同。

具体地讲，如果是接收装置20a，则对于接收到的密码电文(E(M，Ka1)或E(M，Ka2))，分别使用密钥Ka1及Ka2解密，并按其内容中是否存在一定的规则性而对得到的2个解密电文判断是否至少有1个是可信的。另外，下文说明“一定的规则性”的具体标准。

如上所述，根据本加密通信系统，把1个信息M加密地从1台发送装置10传送给28台接收装置20a，该系统中具有下述两个特征：

第1，在属于不同组的接收装置间，密钥不相同。

这样，即使在配置于1个组中的密钥被非法者破译的情况下，属于其它组的接收装置也不受影响，即，具有不必被迫改变密钥的优点。

第2，虽然在1个组中配置着2个密钥，但实际使用的密钥仅是从其中选择的1个。

从而，即使当其1个密钥被非法者破译时，在以后的传送中，通过采用余下的1个密钥，则即便是属于同一组的接收装置，也能够不用替换密钥而继续进行加密通信。

图2是仅着眼于图1所示的加密通信系统中的发送装置10和1台接收装置20a示出其详细构成的框图。

发送装置100相当于图1中的发送装置10，它由数字著作物101、加密键存储部103、加密键选择部104、3个加密器102、105、107、信息生成部106以及3个发送部110～112构成。

该发送装置100以把自有的数字著作物加密后传送给接收装置A1为最终目的，为此，除去被加密了的数字著作物Cd以外，还同时向接收装置A1发送另外2类密码电文，即用于秘密地传送该数字著作物加密所用的1个密钥的密码电文Ca和用于传送成为用于特定该密钥的判断基准的一定规则性的密码电文Cm。

数字著作物101是预先保存着被数字化了的文本、声音、图像、程序等数据的硬盘。

密钥存储部103相当于图1中的密钥11，是对应于所配置的组而把和配置在全部组A～G中的密钥相同的14个密钥预先存储起来的半导体存储器等。

密钥选择部104在上述3个密码电文生成、发送之前，随机选择对应于作为发送目的地的接收装置所属组的2个密钥中的某一个，并从密钥存储部103读出，将其分别传送给2个加密器102及105。具体地讲，在发送目的地是接收装置A1的情况下，选择密钥Ka1或Ka2并从密钥存储部103读出，传送给加密器102和105。

加密器102是根据保密的密码算法E1进行加密的IC等，对数字著作物101的全部反复进行如下的处理：以块单位从数字著作物101读出数字数据Data，用从密钥选择部104传送来的密钥Ka1或Ka2对该数据进行加密，把得到的密码电文Cd(＝E1(Data，Ka1)/E1(Data，Ka2))传送到发送部110。

信息生成部106相当于图1中的信息13，是对每个发送目的地的不同的组产生1个新的随机数并作为信息M保存的随机数发生器。另外，本实施形态中，信息M是作为为了把上述数字著作物101加密所用的密钥传递给接收装置A1的载体而使用的假数据，其内容并不重要。

加密器105是根据保密的密码算法E2进行加密的IC等，读出保持在信息生成部106中的信息M，用从密钥选择部104传送来的密钥Ka1或Ka2对该信息进行加密，把得到的密码电文Ca(＝E2(M，Ka1)/E2(M，Ka2))传送到发送部111。

加密器107是根据保密的密码算法E3进行加密的IC等，读出保持在信息生成部106中的信息M，以该信息M作为密钥对该信息M进行加密，把得到的密码电文Cm(＝E3(M，M))传送到发送部112。

发送部110、111、112由并串—转换器和放大器等构成，分别通过总线120、121、122把上述3种密码电文Cd、Ca、Cm发送给接收装置A1。另外，把3条总线120～122汇总起来的总线相当于图1中的一条总线14a。

另一方面，接收装置A1相当于图1中的接收装置20a，由五个解密器201、221、222、231、232、二个密钥存储部220、230、二个判定部223、233、总合判定部203、密钥选择部202、三个接收部210～212构成。

该接收装置A1以把从发送装置100传送来的加密数字著作物Cd进行解密并加以利用为最终目的，为其解密而应使用的密钥(即发送装置100所用的密钥)从与加密数字著作物Cd一起接收的2种密码电文Ca和Cm中确定。

接收部210、211、212由串-并转换器等构成，分别经由总线120、121、122接收上述3种密码电文Cd、Ca、Cm。

解密器201是根据作为发送装置100具有的加密器102的密码算法E1的反变换的保密的解密算法D1进行解密的IC等，在从密钥选择部202给出密钥Ka1或Ka2的情况下，通过使用该密钥对从接收部210传送来的密码电文Cd进行解密，复原原来的数字著作物的块数据Data。

另外，只要从发送装置100反复送来加密数字著作物，该解密器201就反复进行其解密。还有，在没有从密钥选择部202给出密钥的情况下，判断为密钥的特定失败，不进行加密数字著作物Cd的解密。

由密钥存储部220、解密器221、解密器222以及判定部223构成的1组电路群以判定发送装置100中使用的密钥是否为Ka1为目的，另一方面，由密钥存储部230、解密器231、解密器232以及判定部233构成的另1组电路群以判定发送装置100中使用的密钥是否为Ka2为目的。这2组电路群除去在密钥存储部220及230中存储的一个密钥不同这一点之外，基本结构和功能相同。从而，仅详述其中的一组。

密钥存储部220相当于图1中的密钥21a，是预先存储密钥Ka1的半导体存储器等。

解密器221是根据作为发送装置100具有的加密器105的密码算法E2的反变换的、保密的解密算法D2进行解密的IC等，相当于图1中的解密器22a，使用从密钥存储部220读出的密钥Ka1对从接收部211传送来的密码电文Ca进行解密，把得到的解密电文M1(＝D2(Ca，Ka1))传送给判定部223及解密器222。

解密器222是根据作为发送装置100具有的加密器107的加密算法E3的反变换的、保密的解密算法D3进行解密的IC等，把从解密器221传送来的解密电文M1作为密钥对从接收部212传送来的密码电文Cm进行解密，把得到的解密电文M11(＝D3(Cm，M1))传送给判定部223。

判定部223由比较器及选择器等构成，判定从解密器221传送来的解密电文M1和从解密器222传送来的解密电文M11是否一致，一致时，把该解密电文输出给总合判定部203，不一致时，向总合判定部203输出“0”。

这里，所谓一致(M1＝M11)，在发送装置100中相当于被选用的密钥为Ka1的情况。其理由如下。

现假设在发送装置100中，密钥选择部104选择了密钥Ka1。于是，以下各式成立。

Ca＝E2(M，Ka1)                    式1

Cm＝E3(M，M)                      式2

由此，通过使用式1，接收装置A1的解密器221输出的解密电文M1成为下式

M1＝D2(Ca，Ka1)

＝D2(E2(M，Ka1)，Ka1)

＝M                               式3

另一方面，通过使用式2和式3，接收装置A1的解密器222输出的解密电文M11成为下式

M11＝D3(Cm，M1)

   ＝D3(E3(M，M)，M1)

   ＝M                               式4

由此，从式3和式4，下式成立

M1＝M11                           式5

另外，同样地，另一组电路群的判定部233判定从解密器231传送来的解密电文M2和从解密器232传送来的解密电文M22是否一致，一致时，把其解密电文M2输出给总合判定部203，不一致时，向总合判定部203输出“0”。

总合判定部203由逻辑或电路及选择器等构成，根据从判定部223及判定部233输出的解密电文，向密钥选择部202发送特定所接收的加密数字著作物Cd的解密时应该使用的解密密钥(Ka1及Ka2的某一个)的指令，或发送表示未找到解密密钥的指令。

具体地说，分别向密钥选择部202发送如下的指令：在判定部223输出了不是“0”的解密电文M1时，无论判定部233的输出如何，均发送选择密钥Ka1的指令“1”；在判定部223输出“0”而且判定部233输出不是“0”的解密电文M2时，发送选择密钥Ka2的指令“2”，在其它情况下，发送表示未找到解密密钥意义的指令“0”。

密钥选择部202由选择器等构成，根据来自总合判定部203的3种指令“0/1/2”，分别向解密器201不输出密钥、输出密钥Ka1、输出密钥Ka2。密钥选择部202在从发送装置100反复发送来加密数字著作物Cd期间，持续其输出。

还有，判定部223(233)在解密电文M1(M2)和解密电文M11(M22)不一致时输出“0”，结果，总合判定部203把与该不一致相关的密钥Ka1(Ka2)作为不是在发送装置100中被选择的密钥进行上述处理，而这是利用了本系统所采用的加密(解密)算法通常具有的下述性质。

即，具有“对于密码电文而言，将和原本应使用的密钥不同的密钥作为解密密钥解密时所得到的解密电文与原来的明码电文不同”这样的性质。

下面说明如以上那样构成的本加密通信系统的动作。

图3是表示发送装置100的动作顺序的流程图。

发送装置100对7个组A～G的每一组反复进行以下的处理(步骤S51～S53)(步骤S50～S54)。另外，在步骤S51～S53中记入的符号、公式是对组A处理时使用的，下面，仅就该情况进行说明。

首先，密钥选择部104从对应于组A的2个密钥Ka1及Ka2中随机地选择1个，传送给加密器102及加密器105(步骤S51)。

接着，加密器102通过使用在上述步骤S51中选择的1个密钥Ka1/Ka2把数字著作物101的块数据Data进行加密，生成密码电文Cd，加密器105通过使用同一个密钥Ka1/Ka2，把在信息生成部106中生成的信息M进行加密，生成密码电文Ca，加密器107通过把相同的信息M作为加密密钥，把该信息M进行加密，生成密码电文Cm(步骤S52)。这3个加密动作同时并行进行。

最后，3个发送部110、111、112的每一个分别经由总线120、121、122的每一条把在上述步骤S52中得到的3个密码电文Cd、Ca、Cm一起发送给属于组A的4台接收装置A1～A4(步骤S54)。

这样，如果对组A的发送结束，则发送装置100接着对组B也进行同样的发送处理，这样，对于7个组A～G依次反复进行同样的处理(步骤S50～S54)。

图4是表示接收装置A1的动作顺序的流程图。另外，其它接收装置A2～G4的动作顺序基本上与本图相同。

首先，接收部210、211、212分别接收从发送装置100经由总线120、121、122发送来的3个密码电文Cd、Ca、Cm，然后传送到解密器201、解密器221和解密器231、解密器222和解密器232(步骤S60)。

接着，作为第1阶段的解密，对于从接收部211传送来的密码电文Ca，在解密器221通过使用从密钥存储部220读出的密钥Ka1进行解密生成解密电文M1的同时，解密器231通过使用从密钥存储部230读出的密钥Ka2进行解密生成解密电文M2(步骤S61)。

接着，作为第2阶段的解密，对于从接收部212传送来的密码电文Cm，解密器222通过把解密器221生成的解密电文M1用作解密密钥而进行解密，生成解密电文M11，与此同时，解密器232通过把解密器231生成的解密电文M2用作解密密钥进行解密，生成解密电文M22(步骤S62)。

然后，判定部223判定解密器221生成的解密电文M1和解密器222生成的解密电文M11是否一致，一致时，向总合判定部203输出解密电文M1，不一致时，向总合判定部203输出“0”；与此同时，判定部233判定解密器231生成的解密电文M2和解密器232生成的解密电文M22是否一致，一致时，向总合判定部输出解密电文M2，不一致时，向总合判定部203输出“0”(步骤S63、S64)。

结果，在从判定部223接收了表示一致意义的通知(解密电文M1)时，总合判定部203使该通知优先于来自判定部233的通知，对密钥选择部202送出表示选择密钥Ka1意义的指令“1”。从而，解密器201对于从接收部210传送来的密码电文Cd，使用从密钥选择部202传送来的密钥Ka1解密为原来的数字著作物Data(步骤S65)。

另一方面，在从判定部223接收了表示不一致意义的“0”时，总合判定部203进而判断从判定部233接收的通知内容，结果，在是表示一致意义的通知(解密电文M2)时，对密钥选择部202送出表示选择密钥Ka2意义的指令“2”。这样，对于从接收部210传送来的密码电文Cd，解密器201使用从密钥选择部202传送来的密钥Ka2将其解密为原来的数字著作物Data(步骤S66)。

在从判定部223及判定部233的每一个都接收到表示不一致意义的通知“0”时，总合判定部203对密钥选择部202送出表示该意义的通知“0”。从而，解密器201对于从接收部210传送来的密码电文Cd不进行解密(步骤S66)。

如上所述，根据本实施形态，在7个组的每一组中预先配置了从14个不同的密钥中不重复地选出的2个密钥，发送装置100通过对各组使用任意选择的1个密钥，就能够秘密地把数字著作物101及信息M传递给28台接收装置A1～E4。

根据该方式，例如即使在通过反复窃听总线14a而使1个密钥Ka1被非法者破译的情况下，属于其它组B～G的接收装置由于使用和该密钥Ka1不同的密钥，故能够不受其影响继续进行通信。进而，发送装置100通过不使用被破译的密钥Ka1而使用余下的密钥Ka2，也能够继续进行和属于组A的接收装置之间的通信。

也就是说，即使在1个密钥泄漏或被破译的情况下，发送装置和所有接收装置也能够继续进行保密通信而不用接收、存储新密钥的配置或更新应存储的密钥。

以上根据实施形态对本发明的加密通信系统进行了说明，当然，本发明不限于这些实施形态。即：

(1)在本实施形态中，加密通信系统的网络形态是星形，1台发送装置对各接收装置发送不同的密码电文，但本发明并不限于这样的网络。也可以是在1条同轴电缆上连接发送装置及所有接收装置的总线型网络，1台发送装置可以汇总面向所有接收装置的密码电文，对多台接收装置同时传送。

(2)另外，本加密通信系统中的通信媒体是有线的总线14a～14g，但也可以是CD-ROM等记录媒体。

图5示出在本发明的加密通信系统的通信媒体为CD-ROM250时由发送装置写入的CD-ROM250的内容。

本发明也适用于下述这样的加密通信系统：发送装置(CD-ROM记录器)在对应于各组预定的7个记录位置251-257的每一个上，记录下发送给各组的3个密码电文Cd258、Ca259、Cm260，另一方面，接收装置(CD-ROM驱动器)读出记录在对应于自身所属组的记录位置上的3个密码电文Cd258、Ca259、Cm260，解密为数字著作物Data。

(3)还有，在本实施形态中，使用了3种不同的密码算法，而这些算法也可以相同。进而，还可以用形成在1个半导体IC上的电路实现多个密钥存储部和多个加密器、解密器。

(4)还有，在本实施形态中，密钥选择部14随机地选择密钥，但不限于这种选择方式，例如也可以按预先确定的优先顺序选择密钥，如果该密钥被破译，则选择其它的密钥。

(5)还有，在本实施形态中，在各组中各配置了2个密钥，并只把从中选出的1个用于加密，但不限定于这样的数值。例如，可以进行如下动作：发送装置100把从配置在各组的4个密钥中选出的3个密钥结合起来(例如，取逐位的异或)作为密钥生成密码电文，各接收装置对从4个密钥中可能选择出的所有3个密钥的组合取这些3个密钥的逐位异或并把由此得到的结果作为解密密钥分别对该密码电文进行解密，实行和本实施例相同的判定，在上述的2个解密电文Mn和Mnn至少对于1组解密密钥一致时，判断为与其一致有关的密钥的组合是发送装置100中选择的密钥。

(6)还有，在本实施形态中，由2台以上的接收装置形成1个组，然而，属于各组的接收装置也可以是1台。即，可以在各接收装置中配置2个以上的密钥，发送装置把使用了不同密钥的密码电文发送给各接收装置。

实施形态2

下面，使用附图详细地说明本发明的加密通信系统的实施形态2。本加密通信系统的特征在于进行3级加密。

图6是用于说明实施形态2的加密通信系统总体的系统构成和加密通信的原理的说明图。

本系统是根据3级加密把数字著作物等的著作权作为保护著作的加密通信系统，由数字视盘/通用盘DVD(Digital Video/Versatile Disc)310用的记录装置300和再生装置320构成。

记录装置300是把数字数据记录到DVD310上的装置，具有：主密钥(Km)存储部301、媒体密钥(Kd)生成部302、标题密钥(Kt)生成部303、3种加密器305～307、存储文本、图像、声音等数字数据的数字著作物304。

主密钥存储部301预先保存有主密钥Km、即和正常(允许再生的)再生装置320共有的密钥，媒体密钥生成部302生成媒体密钥Kd，即，生成用于区别各个DVD310的密钥，标题密钥生成部303生成标题密钥Kt，即添加在DVD310上记录的每个数字著作物304的标题(例如1部电影)上的密钥。

3个加密器305～307分别根据互不相同的保密的密码算法E1、E2、E3把媒体密钥Kd、标题密钥Kt、数字著作物Data加密，分别生成加密的媒体密钥311、加密的标题密钥312和加密的数字著作物313。

再生装置320是读出由记录装置300记录的DVD310的加密著作物313并进行解密的正常装置，具有存储了和记录装置300具有的主密钥存储部301相同的主密钥Km的主密钥存储部321以及3个解密器322～324。

3个解密器322～324分别根据作为记录装置300具有的加密器305、306、307的加密算法E1、E2、E3的反变换的保密的解密算法D1、D2、D3，把从DVD310读出的加密媒体密钥311、加密标题密钥312、加密数字著作物313进行解密。

根据图6说明以上那样构成的本加密通信系统的动作。

在记录装置300中，进行以下3级加密。

即，加密器305通过以从主密钥存储部301读出的主密钥Km为加密密钥、把在媒体密钥生成部302中生成的媒体密钥Kd进行加密，生成加密媒体密钥E1(Kd、Km)311，加密器306通过以该媒体密钥Kd为加密密钥，把在标题密钥生成部303中生成的标题密钥Kt进行加密，生成加密标题密钥E2(Kt、Kd)312，加密器307通过以该标题密钥Kt为加密密钥，把数字著作物Data 304进行加密，生成加密数字著作物E3(Data、Kt)313。

生成的加密媒体密钥E1(Kd、Km)311、加密标题密钥E2(Kt、Kd)312、加密数字著作物E3(Data、Kt)313由记录装置300记录在DVD310的固定位置。

另一方面，在再生装置320中，进行以下的3级解密。

即，在由再生装置320读出记录在DVD310上的加密媒体密钥E1(Kd、Km)311、加密标题密钥E2(Kt、Kd)312、加密数字著作物E3(Data、Kt)313之后，首先，解密器322通过将从主密钥存储部321读出的主密钥Km作为解密密钥，把加密媒体密钥E1(Kd、Km)311进行解密，生成媒体密钥Kd。通过下式6可以明白这一点。

Kd＝D1(E1(Kd，Km)，Km)                式6

接着，解密器323通过以由解密器322生成的媒体密钥Kd为解密密钥，把加密标题密钥E2(kt、Kd)312进行解密，生成标题密钥Kt。这可以通过下式7明白。

Kt＝D2(E2(Kt，Kd)，Kd)                式7

最后，解密器324通过以由解密器323生成的标题密钥Kt为解密密钥，对加密数字著作物E3(Data，Kt)313进行解密，生成数字著作物Data。这可以通过下式8明白。

Data＝D3(E3(Data，Kt)，Kt)                式8

在此，如果再生装置320具有的主密钥Km和记录装置300具有的主密钥Km不一致，则从解密器322生成的密钥也和记录装置300具有的标题密钥Kt不一致。从而，即使进行余下的2级解密，从解密器324输出的数据也和原来的数字著作物Data304不一致。

即，只有具有与记录装置300所具有的主密钥Km相同的主密钥Km的再生装置，才能够得到原来的数字著作物304。

如以上所述，根据本加密通信系统，在DVD310上把数字著作物304加密后进行记录，而能够读出并解密该加密数字著作物313的装置限定为具有主密钥Km的再生装置320。而且，在DVD310上，进一步在每个DVD310上加密并记录了固有的媒体密钥Kd，以及还在每个数字著作物304的标题上加密并记录了固有的标题密钥Kt，只有依次把它们解密成功才能成功地进行与特定的标题有关的数字著作物Data的解密。

即，防止在记录媒体上保存全部密钥而引起的密钥的泄漏和无效复制等不利情况、非法状况的同时，还使得设置允许再生存储信息的再生装置和不允许再生的再生装置之间的区别等的管理变得容易。

实施形态3

下面，使得附图详细地说明本发明的加密装置的实施形态3。本密码装置的特征在于不是直接使用密钥，而是使用将密钥加以修正得到的校正密钥进行加密。

图7是示出实施形态3的加密装置400的构成的框图。

加密装置400是把数字著作物402加密后发送的装置，具有标题密钥Kt生成部401、数字著作物402、校正部403、分离部404、加密器405及结合部406。

标题密钥Kt生成部401、数字著作物402及加密器405和实施形态2中的标题密钥生成部303、数字著作物304及加密器307相同。

分离部404由闩锁电路等构成，把从数字著作物402中取出的块数据Data分离为不加密部分(分离数据Data1)和加密部分(分离数据Data2)，并把前者传送到校正部403及结合部406，把后者传送到加密器405。

修正部403由异或电路等构成，算出在标题密钥Kt生成部401生成的标题密钥Kt和从分离部404传送来的分离数据Data1的逐位的异或值，结果，将所得到的值作为下式9所示的校正标题密钥Kp传送给加密器405。

Kp＝Kt(+)Data1                         式9

加密器405 以从校正部403传送来的校正标题密钥Kp为加密密钥，根据保密的加密算法E把从分离部404传送来的分离数据Data2进行加密，将所得到的密码电文E(Data2，Kp)传送到结合部406。根据上述式9，该密码电文E(Data2，Kp)表示为式10。

E(Data2，Kp)＝E(Data2，Kt(+)Data1)      式10

结合部406由闩锁电路等构成，通过把从分离部404传送来的分离数据Data1和从加密器405传送来的密码电文E(Data2，Kp)进行结合，输出对应于原来的块数据Data的加密块数据Edata。

图8示出加密前的块数据Data及加密后的块数据Edata的结构。

虽然分离数据Data1保持原样没有变化，但分离数据Data2用根据分离数据Data1校正的标题密钥Kp进行了加密。

如以上所述，若根据本加密装置400，则密钥不是直接作为加密密钥使用，而是在进行了校正后使用。而且，其校正内容使用作为加密对象的数字著作物的一部分。

由此，最终的加密密钥依赖并决定于存储信息，使由非法的第三者进行的密钥的推断更为困难，同时还避免仅仅密钥泄漏、其它全部存储信息就被读出这种最恶性事态的发生。