内容发送方机器、内容接收方机器、认证方法及认证系统

摘要

在从信息源装置向接收装置发送内容时,从接收装置向信息源装置发送接收装置证明信息和与接收装置识别信息结合起来并附加上签名的信息,然后由信息源装置对此证明信息加以认证,并使用签名对识别信息加以认证,最后将接收装置的识别信息储存于储存装置内。接着,从接收装置再次将识别信息发送给信息源装置。接收到此信息的信息源装置将此信息与储存于储存装置上的接收装置的识别信息相对比。

说明书

本发明涉及的是：为了从内容发送方机器将由数字影像信息或数字声音信息组成的内容发送给内容接收方机器，在内容发送方机器中所采用的对内容接收方机器加以验证的认证方法，和认证系统，以及内容发送方机器和内容接收方机器。特别是涉及一种在通过数字接口在装置间传送时，避免向可能会变更数据或者复制数据的机器发送(内容)的适用的技术。

现在IEEE 1394等数字接口已经被实用化了。过去在这个使用数字接口来传送内容的情形下，为了防止内容被不正当地盗取而侵犯著作权的行为，多采用包括加密等方法在内的对内容加以保护的方式。此方式是：内容接收方机器的ID被传送给内容发送方机器，发送方要在确认此ID时进行发送。然而，单靠这些办法不免存在着下列问题，即：内容接收方机器一旦收到内容以后，内容接收完毕后的内容管理工作就只有交给内容接收方机器承担了，但内容接收方机器若属于可以自由地进行内容更改或内容复制的机器时，就会很容易地实施侵犯著作权的行为。

对此，本发明者们曾在特愿平2000-79112和特愿平2000-057785号专利申请中提出下列系统的方案：在内容发送以前，要由内容接收方机器向内容发送方机器传送内容接收方机器的可信度，而内容发送方机器要根据对此“可信度”的评价来决定是否将内容送出。

为了从内容发送方机器向内容接收方机器传送内容，内容发送方机器在对内容接收方机器进行认证时，例如，在只有一套认证方法的情况下，或者有几套认证方法但皆为独立存在的情况下，在认证进行过程中或者发送内容的过程中，有时，例如在正当的内容接收方机器(接收装置)被不正当的内容接收方机器(接收装置)所替代，或者从连接用的传送媒体(连接电缆)上盗取信息等场合，都易于给不宜向其发送的不正当的接收方机器传送内容。另外，有时，例如，内容发送方机器已将正当的内容接收方机器α认证完毕，在正要进行内容发送之际，被用不正当的内容接收方机器β装成正当的内容接收方机器α而接收内容。

本发明的目的即在于提供：当内容发送方机器向内容接收方机器传送内容之际，可从内容发送方机器对于对方的内容接收方机器进行验证以保证内容不被盗取而可靠传送的认证方法、内容发送方机器、内容接收方机器以及认证系统。

本发明是以下列方式由内容发送方机器来认证内容接收方机器，从而实现上述目的的，即：首先在第一过程，内容接收方机器要先将证明已被第一管理单元许可的证明信息，和由第二管理单元管理的识别信息结合起来，并附加上签名，然后将如此形成的信息传送给内容发送方机器，内容发送方机器要先将证明信息加以认证，并进一步使用签名对该证明信息认证，同时将识别信息保存起来；继而在第二过程，内容接收方机器再次将由第二管理单元所管理的识别信息传送给内容发送方机器，内容发送方机器在收到该识别信息以后，与在第一过程中保存的识别信息做对比鉴别。

亦即，本发明提供的认证方法是这样的：通过传送媒体连接内容发送方机器与内容接收方机器，为了从上述内容发送方机器给上述内容接收方机器传送内容，上述内容发送方机器具有对上述内容接收方机器进行验证的第一过程和第二过程，其中，

上述第一过程具有下列步骤，即：

在存在管理上述内容接收方机器的第一和第二管理单元时，将从上述第一管理单元取出的表示在上述内容接收方机器的储存装置里分别保存有表示存在许可的证明信息、和上述第二管理单元中所赋予的能识别上述内容接收方机器自身的识别信息结合起来，并在此结合信息上附加上述第一管理单元中所赋予的签名，然后将此信息从上述内容接收方机器传送给上述内容发送方机器；和

上述内容发送方机器将上述带有签名的信息加以接收；和

上述内容发送方机器将上述带签名的信息内包括的上述内容接收方机器的上述证明信息加以认证；和

上述内容发送方机器使用上述签名，对上述内容接收方机器的上述识别信息加以认证；和

上述内容发送方机器将上述内容接收方机器的上述识别信息保存于存储装置中；

接在上述第一过程之后的第二过程具有下列步骤，即：

将上述内容接收方机器的上述识别信息从上述内容接收方机器发送给上述内容发送方机器；和

上述内容发送方机器将从上述第二过程发来的内容接收方机器的上述识别信息加以接收；和

上述内容发送方机器将记录于上述记录装置中的上述内容接收方机器的上述识别信息和上述发送方机器在上述第二过程中接收到的上述接收方机器的上述识别信息进行对比鉴别。

另外，本发明还提供一种内容发送方机器，它是一种通过传送媒体可与内容接收方机器相连、并为了给上述内容接收方机器传送内容而对上述内容接收方机器加以认证的内容发送方机器，其包括下列部分：

接收装置，在存在管理上述内容接收方机器的第一和第二管理单元的情况下，从上述内容接收方机器接收信息或者由第二管理单元管理着的上述内容接收方机器的上述识别信息，上述接收的信息是将从上述第一管理单元取出的表示在上述内容接收方机器的储存装置里保存有存在许可的证明信息、和上述第二管理单元中所赋予的能识别上述内容接收方机器自身的识别信息结合起来，并在此结合信息上附加上述第一管理单元保存的签名形成的，和

将上述内容接收方机器的上述证明信息，用上述签名予以认证的装置，和

用于记录上述内容接收方机器的上述识别信息的记录装置，和

将记录于上述记录装置中的上述内容接收方机器的上述识别信息，与收到的上述内容接收方机器的识别信息加以对比检验的对照装置。

本发明还提供一种内容接收方机器，通过传送媒体与将内容发送出去的内容发送方机器相连接，并为了从上述内容发送方机器接收上述内容，接受上述内容发送方机器的认证，其具有下列部分：

存在着管理上述内容接收方机器的第一和第二管理单元。并具有储存装置，其预先储存由上述第一管理单元取出的表示在上述内容接收方机器的储存装置里存在许可的证明信息，和第二管理单元中所赋予的识别上述内容接收方机器自身的识别信息，和

发送装置，将上述储存装置里储存的上述内容接收方机器的证明信息和上述内容接收方机器的识别信息结合起来，并附加上述第一管理单元中赋予的签名而形成的信息、或者上述内容接收方机器的识别信息传送给上述内容发送方机器。

另外本发明还提供一种认证系统。该系统备有从内容发送方机器接收内容用的内容接收方机器，和为了向上述内容接收方机器传送内容，利用第一和第二过程对上述内容接收方机器进行认证的内容发送方机器，以及将上述内容接收方机器与上述内容发送方机器连接起来的传送媒体等，其中

上述第一过程的功能是在存在管理上述内容接收方机器的第一及第二管理单元时，将从上述第一管理单元取出的表示上述内容接收方机器的储存装置内存在许可的证明信息、和第二管理单元中赋予的识别内容接收方机器自身的识别信息结合起来，在此结合信息上附加保存在上述第一管理单元中的签名，并将如此形成的信息从上述内容接收方机器传送给上述内容发送方机器；上述内容发送方机器对收到的上述接收方机器发来的上述证明信息加以认证；用上述签名对上述内容接收方机器的上述证明信息进行认证；上述内容接收方机器的上述识别信息即被上述内容发送方机器的记录装置记录下来。

在继上述第一过程之后的第二过程的功能是，当上述内容接收方机器的上述识别信息从上述内容接收方机器发往上述内容发送方机器之后，上述内容发送方机器使用上述内容发送方机器的上述记录装置所记录下来的上述内容接收方机器的上述识别信息，与在上述第二过程中由上述内容发送方机器收到的上述内容接收方机器的上述识别信息加以对比检验。

另外，在上述认证方法、内容发送方机器、内容接收方机器以及认证系统的每一项当中，内容接收方机器的证明信息内皆含有内容接收方机器的可信度信息。这一点构成本发明的优势。

图1为表示根据本发明的第一过程的一个实施例中，信息源装置运行的流程图；

图2为表示根据本发明的第一过程的一个实施例中，接收装置运行的流程图；

图3为表示根据本发明的第二过程的一个实施例中，信息源装置运行的流程图；

图4为表示根据本发明的第二过程的一个实施例中，接收装置运行的流程图；

图5显示了在关键字码(key)交换过程中，信息源装置运行的流程图的第一页；

图6显示了在关键字码交换过程中，信息源装置运行的流程图的第二页；

图7显示了在关键字码交换过程中，接收装置运行的流程图的第一页：

图8显示了在关键字码交换过程中，接收装置运行的流程图的第二页；

图9为在内容传送之际，表示排除考虑到的不正当接收装置的过程的模式图；

图10为表示收容于信息源装置以及接收装置所有的储存装置内信息的模式图；

图11为表示组成本发明涉及的信息源装置以及接收装置的各种(分部)装置的模式图；

图12为表示信息源装置与接受装置之间所采用的各种连接形式的图；

图13为表示在本发明涉及的信息源装置(内容发送方机器)向接受装置(内容接收方机器)传送内容时，所遵循的顺序的一个实施例的流程图；

图14(a)表示信息B的组成的模式图；

图14(b)表示Borg证明信息的模式图；

图15表示将第一过程、第二过程、关键字码交换过程中，信息源装置以及接受装置的运行，综合起来图示的时序图的第一图；

图16表示将第一过程、第二过程、关键字码交换过程中，信息源装置以及接受装置的运行，综合起来图示的时序图的第二图；

图17(a)为表示数据CAa组成的模式图；

图17(b)为表示数据CAb组成的模式图；

图17(c)为表示数据CBa组成的模式图；

图17(d)为表示数据CBb组成的模式图。

下面对比附图将本发明所涉及的实施例加以说明。图1、3为表示本发明涉及的从信息源装置(内容发送方机器)向接受装置(内容接收方机器)传送内容的顺序的一个实施例的流程图。在后述的本发明第一过程(步骤S1)、第二过程(步骤S2)、关键字码交换过程(步骤S3)等认证程序实施，可保证从信息源装置(内容发送方机器)向接受装置(内容接收方机器)的内容传送能可靠地进行。

图11表示本发明涉及的信息源装置以及接收装置组成方式的模式图。信息源装置1与接受装置2之间，用IEEE 1394等规定的数字接口方式互相连接。信息源装置1具有，发送装置3，接收装置4，计算装置5，储存装置6，存储器7，对照装置8等装置。另外，收取装置2具有发送装置3，接收装置4，计算装置5，储存装置6，存储器7等装置。发送装置3为从连接着的机器发送信息的装置。接收装置4为从连接着的机器接收信息的装置。计算装置5为使用别种数据对眼前数据进行计算的装置，用于签名的制作和认证工作。储存装置6为储存数据的装置。存储器7为在进行发送、接收或计算时，暂时地将数据储存用的记录装置。对照装置8为将两种信息加以比较，确定信息是否一致的对比用装置。另外，虽然未经图示，该信息源装置1和接受装置2上都具有中央处理装置(CPU)，依靠这些CPU来控制各个装置的运行。

图10为表示信息源装置和接收装置都具有的储存在储存装置内的信息的模式图。信息源装置1的储存装置6内保存着明钥Xpub，明钥Zpub，明钥W2pub和密钥W2prv，等。另外，在接受装置2的储存装置6内储存着含有明钥Ypub(示于图14)的Aorg证明信息、密钥Yprv、第二过程用ID，含有明钥W1pub(示于图14)的Borg证明信息、密钥W1prv、明钥Xpub、以及明钥Zpub等。

在第一过程中，使用着信息源装置1的储存装置6里储存的明钥Xpub。另外，在接受装置2的储存装置6里储存着第二过程用的ID、密钥Yprv、Aorg证明信息等。明钥Xpub为凡经第一过程的管理单元Aorg给予许可的所有装置都具有的明钥。此明钥Xpub与密钥Xprv成对。由管理单元Borg授予各个装置的第二过程用ID，为各装置的固有识别符，根据此第二过程用ID，才有可能识别各个装置。密钥Yprv为不能从其装置内向外输出的密钥，被用于制作签名Sign A2。此密钥与明钥成对。

明钥Ypub为各个装置的固有关键字码，用来检验由各个装置固有的关键字码(密钥Yprv)制作的签名，该关键字码由管理单元Aorg授予。Aorg证明信息为预先由管理单元给出的、加到含有此明钥Ypub的信息数据中并附加签名Sign A1所形成的信息。签名Sign A1是对将上述信息数据用散列函数一类的单向函数进行适当压缩计算而得到的数据、再应用密钥Xprv加密而形成的。此Aorg证明信息也可以利用例如管理单元Aorg仅授予被许可人的公开信息来表示。另外，密钥Xprv仅由管理单元Aorg管理，管理单元Aorg以外的第三者不可能制作出带有签名Sign A1的Aorg证明信息。

暂时将由此Aorg证明信息和第二过程所用ID结合而成的信息称为信息A。此处所说的结合可以是仅将各个信息排列起来，也可以例如使用可复原的方法将其各个信息分割成细块，然后交叉排列起来，也可以是进行规定的计算。将信息A作用上散列函数等单向函数所得结果，再用接受装置2预先所具有的密钥Yprv进行加密运算，即可得到签名Sign A2。此时也可不直接使用密钥Yprv来进行加密，譬如使用以Yprv为基础再进行规定的运算所得的关键字码等方式，即通过更复杂的程序也可以。在这种情形下，当破译签名时(如后述)，要使用对应的明钥Ypub，进行与此过程相应的处理，而获得破译用的关键字码。另外，也可省掉使用单向函数的压缩运算。另外，上述方式对其他的签名也同样适用。优选将此信息A预先整个赋给接受装置2。此外，将被附加上签名Sign A2的信息称为信息B。此信息B在后述的第一过程中，被从接受装置2发送给信号源装置1。参照签名Sign A1的信息，可以对使用密钥Xprv制作的、并附加上签名SignA1的明钥Ypub是否已被窜改加以判断。再者，参照签名Sign A2的信息，可以对使用保密关键字码Yprv制作的、并附加上签名Sign A2的信息A是否已被窜改加以判断。

储存在信息源装置1的储存装置6中的密钥W2prv、明钥Zpub、明钥W2pub等，可被使用在第二过程及关键字码交换程序中。另外，在接受装置2的储存装置6中保存的密钥W1prv、用于第二过程的ID、含有明钥W1pub(示于图14)的Borg证明信息、明钥Zpub等也可被用于该处。该明钥Zpub为由管理单元Borg赋予许可的所用装置都具有的明钥。此明钥Zpub与密钥Zprv成对。又，密钥Zprv为仅由管理单元Borg保持着的关键字码，凡是管理单元Borg以外的第三者，不可能生成含有签名Sign B1的Borg证明信息。

暂将第二过程所用ID与明钥结合起来的信息称为信息C，而将对此信息C应用密钥Zprv加工运算，并附加上签名Sign B1的信息称为Borg证明信息。此Borg证明信息可在后述的第二过程中，从接受装置2发送给信息源装置1。参照签名Sign B1的信息，可以判断出用密钥制成并附以签名Sign B1的Borg证明信息是否被窜改过。

明钥W1pub，明钥W2pub，密钥W1prv，密钥W2prv等皆可在关键字码交换程序中使用，正如后述，在第二过程中，明钥W1pub和明钥W2pub，可在信息源装置1和接受装置2之间交换。明钥W1pub和明钥W2pub，为经管理单元Borg授与许可的所有单元都持有的关键字码，密钥W1prv和保密关键字码W2prv，为经管理单元Borg授与各单元的固有关键字码。<第一过程>

图1为在本发明所涉及的第一过程的实施例中，信息源装置运行的流程图。在步骤S101中，接收装置4，接收从接受装置2发来的信息B。在收到以前保持等待状态。图14(a)为表示信息B组成的模式图。信息B由保存在接受装置2的储存装置6内的信息所组成，它是将Aorg证明信息和用于第二过程的ID结合而成的信息A，使用预先存于接受装置2内的密钥prv进行运算，然后附加签名Sign A2形成的信息。

在步骤S103中，要对于步骤S101上接收到的信息B内含有的明钥Ypub加以确认，看是否已被窜改了。举例来说，附加给明钥Ypub上的签名Sign A1的一部分，原本是由公开关键字码Ypub的数据派生出来的，故用下列办法可以证明明钥Ypub未被窜改。该办法是，在信息源装置1上，对步骤S101接收到的信息B内明钥Ypub所含的信息，用规定的运算例如使用散列函数等单向函数进行压缩运算所得结果，与使用信息源装置1事先持有的公开关键字码Xpub经运算装置5进行运算而将上述签名Sign A1破译出来所得结果加以对比，得知它们是一致的。如不能确认其未经改窜，则在图13所示步骤S199中，作为认证失败而结束。另外，在流程图上标示的符号①与图13中的①是相接合的。

下一步，在步骤S105中，对用步骤S101接收到的含于信息B中的第二过程用ID是否被窜改，要加以确认。举例来说，附加于含有第二过程用ID的信息A上的签名Sign A2的一部分原本是由信息A的数据派生出来的，在信息源装置1中，对含于由步骤S101收到的信息B内的信息A，使用规定的运算公式例如散到函数等单向函数进行压缩运算所得结果，和使用已在步骤S103中证明了其未经窜改的信息源装置1持有的明钥Ypub经运算装置5进行运算而破译出签名Sign A的所得结果加以对比，如可确认二者相同，则可证明用于信息A和信息B中的第二过程用ID未被窜改。若不能确认其未被窜改，则于图13中步骤S199中，作为认证失败而结束处理。

在步骤S107中，将步骤S101收到的信息B中的第二过程用ID由存储器予以储存。储存的第二过程用ID将被用于后述的认证程序(第二过程)。其次，在步骤S109，将在步骤S101所收到的信息B的认证通过的结果由发送装置3通知给接受装置2。以上即为信息源装置1在第一过程中的流程图。

下面将对接受装置2的有关运行加以说明。图2为在本发明涉及的第一过程的一个实施例中，表示接收装置运行的流程图。在步骤S201，发送装置3给信息源装置1发送信息B。信息B是这样形成的信息：对由Aorg证明信息和第二过程用ID相结合而形成的信息A，施以使用规定(函数)(例如散列函数等单向函数)进行压缩运算，并附加上将其结果用预先在接受装置2保持着的密钥Yprv进行加密而获得的签名Sign A2形成的信息。附加此签名Sign A2的工作可在接受装置2内进行，也可以预先将附加有签名Sign A2的信息保存在储存装置6中。发送出信息B以后，在步骤S203接收到由信息源装置1发来的认证通过的通知以前，保持等待状态。以上即为接受装置2在第一过程中的流程图。

另外，在利用上述特愿2000-79112号和特愿2000-057785号专利申请记载的认证系统，来给信息源装置1发送有关接受装置2的可信度信息时，也可以在给信息源装置1发送可信度信息的同时，发送在步骤S201上的明钥Ypub，和第二过程用的ID。可信度信息为由规定的管理单元给予的信息，当保持此可信度信息的管理单元与第一过程的管理单元Aorg为同一个单元时，也可以将明钥Ypub与可信度信息结合起来，用一个签名来证实的信息作为Aorg证明信息。

在此情况下，在信息源装置中，最好在步骤S105和步骤S107之间插入一个判断接受装置2可信度是否达到可以对其发送内容的可信程度的步骤。此时，信息源装置1保存有判断“可发送内容”的标准可信度，若接受装置2的可信度比此标准可信度还低，则可判断从信息源装置1不能发送内容，从而结束处理工作。

另外，在上述第一过程中，替代以步骤S109，从信息源装置1向接受装置2发送认证通过的通知，也可附加一个步骤，在此步骤将信息源装置1所持有的Aorg证明信息发送给接受装置2，使在接受装置2也可以进行对信息源装置1的认证工作。此时，接受装置2成为认证方而信息源装置1成为被认证方，在接受装置2上可以执行从步骤S101到步骤S107的工作，而在信息源装置1上可执行从步骤S210到步骤S203的工作。另外，在此情形，信息源装置1也有必要可以从管理单元Aorg领收Aorg证明信息，并具备密钥Yprv，可以制成签名Sign A2。依靠这些步骤，可以令不正当的信息源装置1向正当的接受装置2没完没了地要求提供信息以破译密码的行为中止，从而加强了防止由信息源装置1和接受装置2构成的整个系统遭破坏的防御能力。<第二过程>

图3为本发明涉及的于第二过程中信息源装置的运行流程图。在步骤S111，由接收装置4从接受装置2接收Borg证明信息。图14(b)为表示Borg证明信息组成的模式图。Borg证明信息是在由第二过程用ID与明钥W1pub相结合而成的信息C上附加签名Sign B1而形成的。与上述信息A情形一样，第二过程用ID与明钥W1pub的结合，单将各自的信息联系在一起固然可以，此外，用可复原的方法先将各个(信息)分割成细块，然后将之相互交叉地排列起来亦可，同时执行规定(方式)的运算也可以。当在规定的时间内不能从接受装置2收到Borg证明信息，而使等待状态持续不断时，即成为“暂停”，而在图13所示的步骤S199结束处理工作。在步骤S113中，确认经步骤S111接收到的Borg证明信息内的信息C(第二过程用ID以及明钥W1pub)未被窜改。举例来说：附加在信息C上的签名Sign B1的一部分原来是由信息C派生出来的。现在使用规定的函数(例如散列函数等单向函数)，对由步骤S111收到的Borg证明信息中含有的信息C进行压缩运算，将其结果与对信息源装置1预先保持的明钥Zpub经运算装置5进行运算而得到的将上述签名Sign B1破译所得结果加以比较，若二者一致，则可证明信息C未被窜改过。若不能确认其未经窜改，则如图13所示步骤S199，作为“认证未通过”而结束处理工作。

在步骤S115中，在对照装置8，将在步骤S107中保存在存储器7内的第二过程用ID、与步骤S111收到的Borg证明信息内所含的第二号程序用ID进行对比，看其是否一致。若二者一致，则表示信息源装置1对接受装置2的认证工作已经正常地完成了。从而可以按顺序进行内容传送。另一方面，若二者不同，则按图13所示步骤S199，作为认证失败而结束处理工作。若由步骤S115获得认证成功时，则在步骤S116，使用发送装置3给接受装置2发送明钥W2pub。当由步骤S116发送明钥W2pub时，如同在步骤S111中从接受装置2收到的信息一样，将明钥W2pub与信息源装置1的第二过程用ID结合起来，并附上签名而形成的信息发送出去亦可。以上即为信息源装置1在第二过程的流程图。

另一方面，在第二过程中，接受装置2的运行(方式)如下。图4显示根据本发明的在第二过程的一个实施例中接收装置运行的流程图。在步骤S205，使用发送装置3将Borg证明信息发送给信息源装置1。在Borg证明信息内含有第二程序用ID和明钥W1pub。其次，在步骤S206，使用步骤S116从信息源装置1发送来的明钥W2pub，由接收装置4来接收。当在信息源装置1将Borg证明信息已“认证成功”场合，直至进行关键字码交换以前，将处于等待状态。

在由步骤S206中收到的明钥W2pub上结合信息源装置1的第二过程用ID，并附上签名而形成信息的场合，在接受装置2上亦可进行信息源装置1上所实施的从步骤S111到步骤S115的认证程序。这样，就在信息源装置1及接受装置2上，各方皆可由第二过程认证对方机器。以上即为在第二过程中的接受装置2的流程图。如此，在第二过程中，可将明钥W1pub和明钥W2pub在信息源装置1和接受装置2之间进行交换。<关键字码交换过程>

另一方面，在传送内容之际实施的关键字码交换过程如下所述。图5及图6为表示在关键字码交换过程中的信息源装置运行的流程图。图5中的流程图内的符号A与图6所示的A是联系在一起的。在步骤S117上，对信息源装置1内生出的随机数据xx附加上将预先保持于信息源装置1内的密钥W2prv经运算装置5加以运算而得的签名，由此形成数据CAa。在步骤S119，依发送装置3，将形成的数据CAa发送给接受装置2。

在步骤S121中，接收装置4从接受装置2接收数据CAa。此数据为在接受装置2内生成的随机数据yy上附加上签名而形成的，从接受装置2用后述的步骤，S215(示于图7)发送出。在步骤S123，将从接受装置2发来的数据，使用在以前的过程中从接受装置2收到的明钥W1pub，通过运算装置5进行运算，而检验签名的正确性。若签名被确认为正确，则进入步骤S124，将收到的数据yy保存在储存装置内。另一方面，若不能确认签名正确时，则在图13所示步骤S199结束处理工作。

在步骤S125，由接收装置4，从接受装置2接收数据。此数据是接受装置2在后述的步骤S221(图8示出)收到的数据CBb。在步骤S127中，用明钥W1pub将附加在此数据上的签名加以检验，若确认签名是正确的，则进入步骤S129。另一方面，若不能确认签名的正确性，则于图13所示步骤S199结束处理工作。在步骤S129，信息源装置1在生成随机数值x的同时，使用CBb中包含的数据fpv1(此为如后所述在接受装置2中生成的初相值(first phase value)经下列运算而获得U值：

U=fpv1·x mod p

在步骤S131，将此U值储存于信息源装置1储存装置中。

在步骤S133中，在步骤S129生成的数据x如为基数时，则作为制作关键字码的基数的值，即初相值(在信息源装置1内生成的此值称为fpv2)，可由下式求得：

fpv2=g·x mod p此处：g为原始基数。p为正整数，为各个机器所共有的数值，预先赋予各个机器。其次，在步骤S135，在由fpv2和数据yy组成的数据中附加上由密钥W2prv形成的签名，称为数据CBa。在步骤S137，此数据CBa被发送给接受装置2。在以上的过程中，若不能检验出签名的正确性，则从这一阶段不再向前执行，从而使程序结束。在步骤S139，用规定的方法，使用U值制成密码化关键字码KU，并将其保存于存储器中。

图7和图8为表示在关键字码交换过程中接收装置运行的流程图。在图7的流程图上标出的符号B，与图8中的B相联系。在步骤S207，(接受装置2)使用接收装置4，从信号源装置1接收数据。此数据即为在步骤S119中由信息源装置1接收到的数据CAa。在步骤S209，将从信息源装置1接收来的数据CAa，用在步骤S206中从信息源装置1接收来的明钥W2pub，经运算装置5加以运算，而检验其签名的正确性。按照对签名的检验，可以确认数据CAa未经窜改。若确认了签名正确，则进到步骤S211将接收到的数据xx储存于存储器中。另一方面，若不能确认签名正确，则在图13所示步骤S199结束处理工作。

在步骤S213上，在接受装置2内生出的随机数据上附加上用预先在接受装置2内保持着的密钥W1prv经运算装置5加以演算而得到的签名，即可形成数据CAb。在步骤S215，用发送装置3将形成的数据CAb发给信息源装置1。在步骤S217，先是接受装置2生成随机数y，以此为基数，制成关键字码所用基数-初相值(在接受装置2生成的数值称为fpv1)，可用下式求出：

fpv1=g·y mod p。此处：g为原始基数，p为正整数，作为各个机器共用的数值而预先赋予各个机器。

在步骤S219，给由fpv1和数据xx组合而成的数据附加上由保密关键字码W1prv制成的签名，由此形成的数据称为数据CBb。在步骤S221，将此数据CBb发送给信息源装置1。在步骤S223，通过接收装置4从信息源装置1接收数据。此数据即为在信息源装置1中，在上述步骤S137(示于图6)接收到的数据CBa。在步骤S225中，要使用明钥W2pub进行运算而检验附加在此，数据CBa上的签名。通过对签名的检验，可以确认数据CBa未经窜改。若签名正确性已被确认，则进入步骤S227。另一方面，若不能确认签名的正确性，则在图13所示步骤S199结束处理工作。在步骤S227，用此数据CBa所包含的数据fpv2，经过下式运算而获得V值：

V=fpv2·y mod p

在步骤S231，将此V值储存于接受装置2的存储器7内。在步骤S231，用此V值，经规定的方法制成加密的关键字码KV并储存于存储器内。另外，在上述关键字码交换过程中，收到的数据CAa、数据CAb、数据CBa、数据CBb等的组成，可一并综合起来如图17所示。

按照此关键字码交换过程，信息源装置1和接受装置2分别获得了U值和V值。从加密理论可知，按上述方法获得的U值和V值实为同一数据。所以，在发送内容时，信息源装置1一方，若使用U值按规定的方法制成密钥KU，并用此KU将内容加密，则只有可以将密码化的内容进行破译的接受装置2(换句话说，即只有为了制作与U值一样的V值，而制成与密钥KU一样的密钥KV的接受装置2)才能将接收到的内容密码进行破译。这样，从信息源装置1就可以向特定的接受装置2发送内容了。另外，为获得以上说明的U值和V值所用方法为通常称作Diffie-Hellman法，但如果是在两个装置之间可进行数据交换，从而获得共同的U值和V值时，使用其他方法亦可。

此外，图15以及图16为将信息源装置和接收装置在上述第一过程、第二过程、关键字码交换过程中的运行综合示出的时序图。在图15的时间图上使用的符号T₁、T₂分别与图16中的T₁、T₂联系。此时序图为将上述图1到图8所示的流程总括在一起的图表。图中左侧表示信息源装置1，图的右侧表示接受装置2，连接二者之间的线表示在信息源装置1和接受装置2之间的信息传送。

下面，对比着图15和图16所示认证程序的整个流程，说明一下佯装成正当的接受装置2的一个不正当的接受装置2意欲接收内容的、假想“伪装者”的种种行为。图9为表示在传送内容时，如何排除可以想象得到的不正当接受装置2的过程的模式图。现在，设想从管理单元Aorg领到许可的不正当接受装置2佯装成正当的接受装置2，正想接收内容的情况。不过，此时假定该不正当接受装置2已从管理单元Borg领到了许可时的情形。

在不正当接受装置2，盗取了正当接受装置2以第一过程发送出的信息，并要从信息源装置1获得认证的情形下：

(A1)发送相同的信息时：

含有第二过程用ID的Aorg证明信息是属于正当接受装置2所有的。所以，当不正当接受装置2发出此信息时，信息源装置1将认为是由正当接受装置2发来的，不能识破不正当接受装置2的伪装。

(A2)将第二过程用ID转变成不正当接受装置2的所有物而发送出去时：

保密关键字码Yprv与正当接受装置2持有的不同，故签名Sign A2必然与正当接受装置2持有的也不同，从而其为不正当接受装置2是明显的。

在上述(A1)情况下，按照第一过程，可认证出不正当接受装置2。这样，由第一过程认证出的不正当接受装置2，没必要在第二过程中再进行认证。

(B1)盗取了正当接受装置2的Borg证明信息，并发送相同的信息时：

属于Borg证明信息的第二过程用ID以及明钥W1pub，是正当接受装置2所有的。故于步骤S115上，将由步骤S107存储着的第二过程用ID，与在步骤S111中收到的Borg证明信息内的第二过程用ID加以对比，此时因为二者相一致，故不能识破不正当接受装置2的伪装。

(B2)不正当接受装置2将Borg证明信息加以窜改，以使自己含有第二过程用ID时：

因为不正当接受装置2也领受有管理单元Borg的许可，故单凭进行第二过程用ID的认证的话，将要被认证(骗取)。然而在本发明中，在步骤S115，已事先将在步骤S107储存的第二过程用ID和在步骤S111接收到的Borg证明信息内的第二过程用ID对比，并已确认二者不一致，故不正当接受装置2的伪装已一目了然。

在(B1)上已被认证的不正当接受装置2，也可在下面的关键字码交换过程4被识破其为不正当接受装置2。在第二过程中，信息源装置1所收到的明钥W1pub为盗取到的正当接受装置2所有的，而接受装置2持有的密钥W1prv属于不正当接受装置2，故在关键字码交换过程步骤S215中附加于数据yy上的签名，可由不正当接受装置2的密钥W1prv制作出。但，在接收到此信息的信息源装置1中，因为将盗取后发送来的正当的接受装置2的明钥W1pub进行检验，故可发觉密钥和明钥的不对应，从而得到“不正当”的认证结果。不再进入关键字码交换过程中下一步的步骤。

此外，在从信息源装置1向接受装置2发送内容过程中，在规定的时间间隔上，运用第二过程，将步骤S107内储存于储存装置的第二过程用ID与在步骤S111收到的含于Borg证明信息内的第二过程用ID进行比较而判明二者是否一致也是可以的。用此方法，也可防止在发送内容的中途，从正当接受装置2向不正当接受装置发送内容，从而可以只向所希望的对方机器发送内容。

图12表示信息源装置与接受装置之间的各种连接形态。在上述实施例中，信息源装置1和接受装置2的连接形式除图12(a)所示的按照IEEE 1394实施的一对一的连接方法以外，也可以是如图12(c)所示的一对多的方法，另外，如图12(b)、图12(d)所示，借助于因特网等网络进行连接也是可以的。

另外，在内容发送方，也可以将具有认证接受装置2的认证功能的认证装置与给接受装置2发送内容的内容发送装置独立出来。另外，在内容接收方，也可以将具有可被信息源装置1所认证的功能的被认证装置，与从信息源装置1接收内容的内容接受装置独立开。

除记载于权利要求中的内容以外，本发明还提供下列发明。

(1)如权利要求1或2所述的认证方法，其特征在于：上述证明信息具有用于认证附加于上述结合信息中的上述签名所必需的信息的一部分。

(2)如权利要求1或2所述的认证方法，其特征在于：上述证明信息内含有其著作权存在于上述第一管理单元中的作品。

(3)如权利要求1或2所述的认证方法，其特征在于：在上述认证证明信息的步骤中，利用上述第一管理单元仅授与被许可人的公开信息，来认证上述证明信息。

(4)如权利要求1或2所述的认证方法，其特征在于：上述证明信息或包含上述证明信息内的签名认证的信息，对每个上述内容接收方机器而言各不相同。

(5)如权利要求1或2所述的认证方法，其特征在于：上述证明信息是由上述第一管理单元综合起来，一起赋予内容接收方机器的。

(6)如权利要求1或2所述的认证方法，其特征在于：作为接着上述第二过程的认证过程，具有利用上述第二过程所用信息来进行关键字码交换过程的步骤。

(7)如权利要求3或4所述的内容发送方机器，其特征在于：上述证明信息具有用于认证附加于上述结合信息中的上述签名所必需的信息的一部分。

(8)如权利要求3或4所述的内容发送方机器，其特征在于：上述证明信息具有在上述第一管理单元内存在有著作权的作品。

(9)如权利要求3或4所述的内容发送方机器，其特征在于：在认证上述签名的装置中，上述第一管理单元利用仅授与被许可人的公开信息，来认证上述证明信息。

(10)如权利要求3或4所述的内容发送方机器，其特征在于：上述证明信息或用于认证包含于上述证明信息中签名的信息对于每个上述内容接收方机器是各不相同的。

(11)如权利要求3或4所述的内容发送方机器，其特征在于：上述证明信息是被上述第一管理单元综合起来一起赋予的。

(12)如权利要求3或4所述的内容发送方机器，其特征在于：具有利用从上述内容接收方机器收到的信息来进行关键字码交换过程的装置。

(13)如权利要求5或6所述的内容接收方机器，其特征在于：上述证明信息包含有认证附加在上述结合信息上的上述签名用的必须信息的一部分。

(14)如权利要求5或6所述的内容接收方机器，其特征在于：上述证明信息包含有其著作权存在于上述第一管理单元的作品。

(15)如权利要求5或6所述的内容接收方机器，其特征在于：上述证明信息或包含于上述证明信息内的对签名进行认证所用的信息对各个机器是互不相同的。

(16)如权利要求5或6所述的内容接收方机器，其特征在于：上述证明信息是由上述第一管理单元综合在一起而赋予的。

(17)如权利要求5或6所述的内容接收方机器，其特征在于：具有利用由上述内容发送方机器发来的信息，而进行关键字码交换过程的装置。

(18)如权利要求7或8所述的认证系统，其特征在于：上述证明信息具有用于认证附加于上述结合信息中签名所必需的信息的一部分。

(19)如权利要求7或8所述的认证系统，其特征在于：上述证明信息具有其著作权存在于上述第一管理单元内的作品。

(20)如权利要求7或8所述的认证系统，其特征在于：在认证上述内容发送方机器持有的上述签名的装置中，利用持有上述第一管理单元仅授予被许可人的公开信息，即可认证上述证明信息。

(21)如权利要求7或8所述的认证系统，其特征在于：上述证明信息或上述证明信息内所包含的签名用的信息对于上述内容接收方机器而言，是各不相同的。

(22)如权利要求7或8所述的认证系统，其特征在于：上述证明信息可由上述第一管理单元总括起来一起赋予上述内容接收方机器。

(23)如权利要求7或8所述的认证系统，其特征在于：上述内容发送方机器，以及上述内容接收方机器都具有利用在上述第二过程所用的信息，来运行接着上述第二过程之后的关键字码交换过程的装置。

本发明按照下述认证方式，在从内容发送方机器向内容接收方机器发送内容时，可以从内容发送方机器向预定的内容接收方机器将内容不被盗取地、可靠地发送出去。首先，在第一过程中，内容接收方机器(接收装置)要将从第一管理单元赋予的可作为证明的证明信息和由第二管理单元保存着的识别信息结合起来、并附加上签名而形成的信息向内容发送方机器(信息源装置)发送出去，内容发送方机器要将此证明信息加以认证，并用签名将识别信息加以认证，然后将此识别信息保存起来；接着在第二过程中，内容接收方机器将由第二管理单元保存着的识别信息向内容发送方机器传送，内容发送方机器在收到此识别信息以后，与在第一过程上保存着的识别信息相互对比，以此方式，内容发送方机器来将内容接收方机器加以认证；因此，可防止第二过程所用的ID，和依由管理单元Aorg赋予许可的、可作为证明的证明书所保证(即能够检验出窜改)的可信度、以及必须与明钥(由签名Sign 1所保证)成对的第二过程所用ID(由签名Sign 2所保证)等不会被其他人所窜改。