数字内容发行系统和数字内容发行方法

摘要

本发明的目的是防止对数字内容的恶意复制和创建。本发明的数字内容发行系统发行将被存储在IC卡(1)内的数字内容。该数字内容发行系统包括：第一服务器(11)和第二服务器(3)；第二服务器(3)用于认证第一服务器(11)是否具有执行CREATE命令的资格。当第一服务器(11)被认证并查明具有资格时，该第一服务器(11)执行CREATE命令，从而在IC卡(1)中创建并存储数字内容。

说明书

技术领域

本发明涉及一种数字内容发行系统，以及涉及一种用于发行如电子货币的数字内容的数字内容发行方法。

背景技术

传统上，把如电子货币等数字内容发行给如IC卡的媒质上以及在IC卡之间发送并交换数字内容，这些技术已经公知。

然而，当在发送时，存在的危险是，包括数据的数字内容可通过恶意方式被复制或创建。因此就需要防止对数字内容的恶意复制和创建，其中数字内容具有适销的安全性。

发明内容

本申请是基于在2002年6月10日申请的第P2002-169227号日本在先专利申请，并声明享有其优先权的利益；在这里参照地引用该申请的全部内容。

鉴于上述问题，本发明的目的是提供可防止对数字内容进行恶意复制和创建的数字内容发行系统和数字内容发行方法。

本发明的第一方面概括为一种用于发行将被存储在IC卡内的数字内容的数字内容发行系统，该数字内容发行系统包括：第一服务器和第二服务器。第二服务器用于认证第一服务器是否具有执行命令的资格。当第一服务器被认证并查明具有资格时，该第一服务器执行命令，从而在IC卡中创建并存储数字内容。

本发明的第二方面概括为一种用于发行将被存储在IC卡内的数字内容的数字内容发行方法。该数字内容发行方法包括的步骤为：在第二服务器，认证第一服务器是否具有执行命令的资格；以及在第一服务器，当第一服务器被认证并查明具有资格时，执行该命令，从而在IC卡中创建并存储数字内容。

在本发明的第一和第二方面中，第二服务器发送表明认证结果的确认信号，其中认证是基于第一服务器ID和从第一服务器发送来的命令ID进行的。第一服务器基于接收到的确认信号来执行命令，从而在IC卡中创建并存储数字内容。

在本发明的第一和第二方面中，当第一服务器存储从第二服务器得到的资格时，第一服务器执行该命令，从而在IC卡中创建并存储该数字内容。

在本发明的第一和第二方面中，当根据基于第一服务器ID和从第一服务器发送来的命令ID的认证结果，第一服务器被认证并查明具有资格时，第二服务器把命令和资格发送给第一服务器。

本发明的第三方面概括为一种用于发行将被存储在IC卡内的数字内容的数字内容发行系统，该数字内容发行系统包括：第一服务器和第二服务器。第二服务器利用第一服务器ID对命令加密，并把加密后的命令发送给第一服务器。第一服务器利用第一服务器ID对从第二服务器发送来的加密后的命令进行解密，并执行解密后的命令，从而在IC卡中创建并存储数字内容。

本发明的第四方面概括为一种用于发行将被存储在IC卡内的数字内容的数字内容发行方法，该方法包括的步骤为：在第二服务器中，利用第一服务器ID进行加密，并把加密后的命令发送给第一服务器；以及在第一服务器中，利用第一服务器ID对从第二服务器发送来的加密命令进行解密，并执行该解密后的命令，从而在IC卡中创建并存储数字内容。

在本发明的第三和第四方面中，当根据基于第一服务器ID和从第一服务器发送来的命令ID的认证结果，第一服务器被认证并查明具有执行该命令的资格时，第二服务器把加密后的命令发送给第一服务器。

在本发明的第三和第四方面中，第一服务器装有芯片，该芯片包括执行该命令的电路。

附图说明

图1为解释本发明第一实施例的数字内容发行系统的一般结构的示意图。

图2为本发明第一实施例的数字内容发行系统的示意略图。

图3为第一实施例的数字内容发行系统的功能方框图，其中插入了IC卡。

图4为示出了第一实施例的数字内容发行系统的操作的顺序图。

图5为解释第一实施例的数字内容发行系统操作的示意图。

图6为解释本发明第二实施例的数字内容发行系统的一般结构的示意图。

图7为本发明第二实施例的数字内容发行系统的示意略图。

图8为示出了第二实施例的数字内容发行系统操作的顺序图。

图9为解释本发明第三实施例的数字内容发行系统的一般结构的示意图。

图10为第三实施例的数字内容发行系统的示意略图。

图11为解释本发明第四实施例的数字内容发行系统的一般结构的示意图。

图12为第四实施例的数字内容发行系统的示意略图。

图13为示出了第四实施例的数字内容发行系统操作的顺序图。

具体实施方式

(本发明的第一实施例)

下面详细描述本发明的第一实施例的数字内容发行系统。图1到图4示出了第一实施例的数字内容发行系统的结构。

如图1所示，数字内容发行系统具有内容发行服务器(第一服务器)11和命令创建服务器(第二服务器)3。命令创建服务器3与含有登录服务器名单31a的登录服务器数据库31连接。

如图2和3所示，在第一IC卡1上的第一IC芯片1a可具有本发明的内容发行服务器11的功能。

内容发行服务器11设计成把如电子货币的数字内容发行到第二IC卡2上。换句话说，内容发行服务器11设计成创建数字内容并把创建的数字内容传送到第二IC卡2上。该被传送的数字内容存储到第二IC卡2上。

内容发行服务器11执行从命令创建服务器3上获得的CREATE(创建)命令，把数字内容传送到第二IC卡2上。如图2所示，内容发行服务器11把登录请求发送到命令创建服务器3，同时命令创建服务器3把CREATE命令发行给认证登录的内容发行服务器11。CREATE命令是可执行程序。

如图3所示，当内容发行服务器11执行CREATE命令时，认证请求发送给命令创建服务器3。该命令创建服务器3根据接收到的认证请求来认证内容发行服务器11是否具有执行命令的资格。换句话说，命令创建服务器3进行这样的认证，即有关接收到的认证请求的CREATE资格是否存在于登录服务器数据库31中。当CREATE资格被发行时，则执行CREATE命令。另一方面，当没有发行CREATE资格时，拒绝执行CREATE命令。

如图3所示，基于来自命令创建服务器3的确认信号(OK/拒绝)，内容发行服务器11确认在第一实施例的命令创建服务器3中的认证结果。

换句话说，创建数字内容的内容发行服务器11执行CREATE命令，从而把认证请求(内容创建请求)传送到命令创建服务器3上。内容发行服务器11得到来自命令创建服务器3的确认信号(OK)，于是创建数字内容。

在创建数字内容前，内容发行服务器11把登录请求传送到命令创建服务器3，并从命令创建服务器3上得到CREATE命令。命令创建服务器3根据登录发行与CREATE命令有关的CREATE资格。发行的CREATE资格在登录服务器数据库31内被管理。

在创建数字内容前，内容发行服务器11把认证请求(内容创建请求)发送到命令创建服务器3，并从命令创建服务器3上得到CREATE资格。内容发行服务器11把私人信息(服务器信息)、内容发行服务器11的签名信息和命令ID与内容创建请求一起发送到命令创建服务器3。服务器信息含有内容发行服务器ID，命令ID识别CREATE命令。

命令创建服务器3设计成创建和管理用于发行数字内容的CREATE命令和CREATE资格。

如图2所示，更具体地说，命令创建服务器3设计成创建CREATE命令，并把创建的CREATE命令发送到内容发行服务器11。命令创建服务器3设计成发行并管理与发行的CREATE命令有关的CREATE资格。命令创建服务器3利用存储在登录服务器数据库31内的登录服务器名单31a来管理CREATE资格。

如图1和3所示，命令创建服务器3从内容发行服务器11接收到内容创建请求以及各种信息后，来认证内容发行服务器11是否具有创建数字内容的资格。当内容发行服务器11被认证并查明具有创建数字内容的资格时，命令创建服务器3对在登录服务器名单31a内的服务器信息(内容发行服务器ID)进行登录，并把CREATE命令发送给内容发行服务器11。

如图1和3所示，命令创建服务器3查阅登录服务器名单31a，从而对从内容发行服务器发送来的内容创建请求进行认证，并把确认信号(OK)返回到只被认证并查明具有创建数字内容的资格的内容发行服务器上。(内容发行服务器和第一IC卡的结构)

如图4所示，第一IC卡1配有第一IC芯片1a，并将其插入到内容发行服务器11。第一IC卡1基于来自内容发行服务器11的指令而把数据发送给内容发行服务器11，或者从内容发行服务器11接收数据。

图4示出了第一IC卡1和内容发行服务器11的内部结构。如图4所示，第一IC卡1带有第一IC芯片1a和数据收发器单元12，数据收发器单元12把第一IC芯片1a中的数据发送到内容发行服务器11或从内容发行服务器11接收第一IC芯片1a中的数据。

在第一实施例中，第一IC卡1不是利用读写器操作的计算机外围设备，而是在分布环境下的节点。内容发行服务器11可在对等网络中与服务提供模块上的芯片进行通讯。

第一IC芯片1a为具有防破坏性的LSI(大规模集成)电路。第一IC芯片1a带有处理单元、存储器等。第一IC芯片1a用在如IC卡、智能卡或移动终端的硬件上。

第一IC卡1可插入的内容发行服务器11具有从第一IC卡1读取数据或把数据写入到第一IC卡1上的读写器功能。内容发行服务器11起到通路(桥梁)的作用，作为在如LAN的通信网络中无接触通信(contact-less communication)物理层之间的桥梁。更具体地说，内容发行服务器11可以是PDA(个人数字助理)终端、移动终端等。

第一IC芯片1a带有认证单元13、加密单元14、执行单元15、命令存储单元16、证明数据存储单元17和持有者单元18。

认证单元13为一种处理装置，当第一IC卡1开始与目的地通信时，认证单元13在第一IC卡1和另外IC卡(目的地)之间进行相互认证。

更具体地说，在发行数字内容前，第一IC卡1的认证单元13从目的地得到目的地的证明数据。认证单元13基于在得到证明数据中的目的地持有者ID和签名数据，认证单元13认证目的地证明数据，并把第一IC卡1的证明数据发送到目的地。认证单元13得到认证确认通知(确认信号)，该通知表明第一IC卡1的证明数据已经从目的地中得到认证。

在第一实施例中，当进行相互认证时，认证单元13得到对话ID和特定对话模式，并根据得到的对话ID和对话模式，设定存取储存在持有者单元18内数字内容的存取级别。对话ID识别当相互认证时建立的通信(对话)。

在第一实施例中，对话模式包括信息发行者模式和所有者模式，当进行相互认证时被确定。每个对话模式具有不同的认证算法。

下面是第一实施例的对话模式。

(1)信息分发行者模式

在信息分发行者模式中，请求存取数字内容的存取实体(IC卡)被认证为该数字内容的发行者。在以信息发行者模式被授权后，该存取实体可存取由具有发行者资格的发行者创建的数字内容，并对另外的具有其他资格的数字内容进行存取。

(2)所有者模式

在所有者模式中，存取实体被认证为数字内容的所有者。在第一实施例中，如密码等容易管理的认证方式在所有者模式中采用。被认证的存取实体具有所有者的资格。

加密单元14对存储在第一IC卡1的持有者单元18中的数字内容进行加密。该数字内容在加密单元14中被加密后，通过数据收发器单元12发送到内容发行服务器11中。

执行单元15为这样一种处理装置，根据从外界来的预定触发信号，该装置对来自命令存储单元16内的命令(例如，CREATE命令)进行调用，并进行加密处理和数字内容的发送处理。在第一实施例中，控制单元26根据来自操作单元24的操作信号而输出触发信号。

执行单元15与认证单元13一起工作。当目的地的IC卡认证并且在认证单元13中接收到来自目的地IC卡的认证确认通知时，执行单元15执行命令，从而成功进行了相互认证。

命令存储单元16为例如存储器的存储装置，该存储装置存储命令。当执行单元15执行命令时，加密单元14对存储在持有者单元18内的数字内容进行加密，同时数据收发器单元12把数字内容发送出去。

证明数据存储单元17为例如存储器的存储装置，该存储装置存储与存储在持有者单元18内的数字内容有关的证明数据。当认证单元13进行相互认证，同时加密单元14进行加密时，从证明数据存储单元17中读取出需要的持有者ID、钥匙信息(公共钥匙)和签名数据。证明数据的内容将在后面描述。

持有者单元18为可与其他ID卡交换信息的计算机实体。持有者单元18为具有防破坏性能并存储数字内容的存储器。

数据收发器单元12为把证明数据和加密数字内容发送到外界的通信装置。该数据收发器单元12利用接触通信或无接触通信发送并接收数据。在第一实施例中，当第一IC卡1插入到内容发行服务器11中的状态下，数据收发器单元12与内容发行服务器11的通信单元21接触，以发送和接收数据。

如图4所示，内容发行服务器11带有通信单元21、通信监视单元22、数据收发器单元23、操作单元24、显示单元25和控制单元26。

通信单元21为发送和接收数据的通信装置。

通信监视单元22为监测通信单元21通信状态的装置。通信监视单元22测量从最近数据发送后经过的时间，并在预定时间间隔过后，在从目的地没有回应时判断通信被中断，同时通过数据收发器单元23和数据收发器单元12，把判断结果发送到第一IC卡1的执行单元15。

数据收发器单元23与插入到内容发行服务器11中的第一IC卡1的数据收发器单元12接触，并把数据发送到数据收发器单元12或从数据收发器单元12接收数据。

例如，操作单元24为位于内容发行服务器11表面上的按钮或操纵杆。操作单元24为根据操作者的操作把各种信号输入到控制单元26的操作装置。

例如，显示单元25为在内容发行服务器11表面上的如液晶显示器的显示装置。显示单元25显示通信单元21的通信状态和操作单元24的操作结果。特别是，在第一实施例中，根据对话ID和特定对话模式，显示单元25读取并显示来自持有者单元18的有关数字内容的信息。对话ID识别在第一IC卡1和目的地(其他IC卡)之间建立的通信(对话)。

控制单元26为控制内容发行服务器11的单元21到显示单元25的CPU(中央处理单元)。特别地，控制单元26把预定触发信号输出到执行单元15。在执行单元15中，根据操作单元24的操作信号，预定触发信号启动命令的执行过程。

(数字内容)

在IC卡内可完成存储数字内容的各种应用。例如，数字内容可包括下面内容。

-第一IC芯片1a的所有者不能改变的信息，但是信息发行者能改变(例如，电子票上的座位号)

-所有者不能看见的信息(例如，改变电子票的钥匙信息)

-只有所有者可完全控制的信息(例如，所有者的私人信息)

-每个人都能读取的信息

存储在第一IC卡1数据内容与证明数据一起通过第三团体组织发行。

(证明数据)

证明数据包括持有者ID、信号数据和公共钥匙。持有者ID与存储在持有者单元18内的数字内容一致。利用签名数据，证明数据发行者可确保证明数据的有效性。公共钥匙与数字内容联系起来。

持有者ID是在整个分布系统中被分配的唯一识别码。持有者ID不仅在物理上识别IC卡，而且也用在分布系统中的路径选择控制中，并在相互认证中识别对应码。也就是说，持有者ID用在网络中的IC卡或服务客户认证，以及消息的路径选择控制等类似处理中。在第一实施例中，持有者ID由16字节(128比特)组成。

(命令)

执行单元15在从内容发行服务器11中接收到预定触发信号后，开始执行存储在命令存储单元16内的命令。该命令具有的基本(atomic)特征是，被执行的命令可实现独立于内容发行服务器11中操作的一系列处理。

该系列处理包括下面内容：

(1)认证处理

(2)加密处理

(3)发送处理(交换处理)

(4)发送完成确认处理(交换完成确认处理)

(5)数字内容删除处理

也就是说，在数字内容发送前，该命令把第一IC卡1中单元12到18的状态存储第一IC卡1的执行单元15中。

当数字内容发送后，在接收承诺指令时，该命令把存储在持有者单元18中的数字内容删除，其中承诺指令通知在目的地完成了数字内容的接收处理。

当在发送数字内容过程中通信中断时，该命令读取存储在执行单元15中的状态，并进行返回处理，使单元12到18返回到其发送数字内容前的原始状态。

另一方面，该命令把目的地的单元12到18的状态存储到目的地的执行单元15中。当数字内容的发送中断时，命令使目的地的单元12到18返回到其发送数字内容前的原始状态。

(操作)

下面来描述利用第一实施例的数字内容发行系统的数字内容发行方法。图5示出了第一实施例的数字内容发行方法的顺序。

如图5所示，内容发行服务器11把包括服务器信息的登录请求发送到命令创建服务器3(S101)。

在步骤S102，命令创建服务器3接收到登录请求后，根据服务器信息来核实内容发行服务器11。当认证了内容发行服务器11并查明具有创建数字内容的资格后，命令创建服务器3把与内容发行服务器11有关的服务器信息(例如，服务器名)登录到登录服务器名单31a中。在步骤S103，命令创建服务器3把CREATE命令发送给内容发行服务器11。

在步骤S104，内容发行服务器11启动执行CREATE命令。在步骤S105，内容发行服务器11把包括服务器信息(私人信息)和内容发行服务器11的签名数据的内容创建请求(认证请求)发送到命令创建服务器3。

在步骤S106，命令创建服务器3认证与CREATE命令有关的CREATE资格是否存在于登录服务器名单31a中。在步骤S107，命令创建服务器3把认证结果发送到内容发行服务器11，作为确认信号。

在步骤S108，当内容发行服务器11得到确认信号(OK)后，发行(创建和发送)数字内容。

另一方面，在步骤S109，当内容发行服务器11得到确认信号(拒绝)后，不发行数字内容，而只进行CREATE命令的错误处理。

(本发明的第二实施例)

参见图6到图8，下面描述本发明的第二实施例。图6和7示出了第二实施例的数字内容发行系统的结构。在第二实施例中，命令创建服务器3把CREATE资格和CREATE命令一道发送给内容发行服务器11。

如图6和7所示，第二实施例的数字内容发行系统包括内容发行服务器(第一服务器)11和命令创建服务器(第二服务器)3。内容发行服务器11用于把数字内容发行给第一IC卡1或第二IC卡2。命令创建服务器3用于创建和管理在发行数字内容中采用的CREATE命令和CREATE资格。命令创建服务器3包括用于发送涉及CREATE资格的CREATE命令的创建资格管理装置32。

内容发行服务器11把CREATE命令与从命令创建服务器3中得到的第一IC卡1中的CREATE资格联系起来。当执行CREATE命令时，内容发行服务器11确认与CREATE命令对应的CREATE资格是否存储在第一IC卡1中，也就是说，要认证内容发行服务器是否具有执行CREATE命令的资格。当存储有CREATE命令时，内容发行服务器11发行数字内容。当没有存储CREATE命令时，内容发行服务器11进行错误处理。

(操作)

下面描述采用第二实施例的数字内容发行系统的数字内容发行方法。图8示出了第二实施例的数字内容发行方法的顺序。

如图8所示，内容发行服务器11把包括服务器信息的登录请求(CREATE资格发送请求)发送到命令创建服务器3(S201)。

在步骤S202，命令创建服务器3根据服务器信息来认证内容发行服务器11是否具有发行数字内容的资格(执行CREATE命令)。

在步骤S203，当内容发行服务器11被认证并查明具有执行该CREATE命令的资格时，命令创建服务器3把CREATE命令和CREATE资格发送给内容发行服务器11。在步骤S204，内容发行服务器11把接收到的CREATE命令和CREATE资格直接存储到第一IC卡1中。

在步骤S205，内容发行服务器11启动执行CREATE命令。在步骤S206，内容发行服务器11认证与CREATE命令有关的CREATE资格是否存在于第一IC卡1中。

在步骤S207，当CREATE资格存储在第一IC卡1中时(OK)，内容发行服务器11发行(创建和发送)数字内容。

另一方面，在步骤S208，当CREATE资格没有存储在第一IC卡1中时(拒绝)，内容发行服务器11不发行数字内容，而只进行CREATE命令的错误处理。

(本发明的第三实施例)

参见图9到图10，下面描述本发明的第三实施例。图9和10示出了第三实施例的数字内容发行系统的结构。

如图9和10所示，第三实施例的数字内容发行系统带有把数字内容发行到第一IC卡4的内容发行服务器11。固化(bum)有CREATE命令的第一IC卡4插入到内容发行服务器11中。在发行数字内容前，内容发行服务器11访问第一IC卡4来读取并执行CREATE命令。

第一IC卡4装有包括电路的第一IC芯片4a，在该电路上可在物理上实现CREATE命令。因此从外界改变第一IC卡4中的CREATE命令是不可能的。为了改变数字内容发行系统，必须对第一IC芯片4a进行改变。

(本发明的第四实施例)

参见图11到图13，下面描述本发明的第四实施例。图11和12示出了第四实施例的数字内容发行系统的结构。在第四实施例中，命令创建服务器3利用内容发行服务器11的ID对CREATE命令进行加密，并把加密的命令发送到内容发行服务器11，其中内容发行服务器11被认证并查明具有执行CREATE命令的资格。

如图11和12所示，第四实施例的数字内容发行系统包括内容发行服务器(第一服务器)11和命令创建服务器(第二服务器)3。内容发行服务器11用于把数字内容发行给第一IC卡1或第二IC卡2。命令创建服务器3用于创建在发行数字内容中采用的CREATE命令。在第四实施例中，命令创建服务器3具有的功能是，利用内容发行服务器11的ID对CREATE命令进行加密，并把加密的命令发送到内容发行服务器11，其中的内容发行服务器11被认证并查明具有执行CREATE命令的资格。

如图13所示，内容发行服务器11把包括服务器信息的认证请求(命令发送请求)发送到命令创建服务器3(S301)。

在步骤S302，命令创建服务器3认证内容发行服务器11是否具有执行CREATE命令的资格，也就是发行数字内容的资格。

在步骤S303，当内容发行服务器11被认证并查明具有发行数字内容的资格后，命令创建服务器3利用内容发行服务器11的ID对CREATE命令进行加密。在步骤S304，命令创建服务器3把加密后的CREATE命令发送到内容发行服务器11。

在步骤S305，内容发行服务器11把接收到的CREATE命令直接存储到第一IC卡1中。内容发行服务器11利用从第一IC卡1的服务器信息中提取的ID来对加密的CREATE命令进行解密。在步骤S306，内容发行服务器11执行解密的CREATE命令，从而在第一IC卡1或第二IC卡2内创建并存储数字内容。

(本发明的功能和效果)

根据本发明，通过对接受发行利用登录服务器名单31a的CREATE命令的内容发行服务器11进行管理，并在执行CRATE命令前，认证有关内容发行服务器11的CREATE资格，这样就避免了对数字内容的恶意复制和创建。

根据本发明，通过在第一IC卡1中搜寻执行CREATE命令需要的CREATE资格，就能避免数字内容被恶意复制和创建，不再需要如登录的服务器数据库31的第三团体组织。

根据本发明，通过把CREATE命令固化在IC芯片上，从而避免数字内容被恶意复制和创建。

根据本发明，通过把CREATE命令发送到只被认证并查明具有执行CREATE命令的资格的内容发行服务器上，从而避免数字内容被恶意复制和创建。

对于本领域技术人员来说，其他优点和改型是显而易见的。这样，在较宽方面的本发明并不限于具体细节和示出典型实施例以及这里的描述。因此，在不脱离由附加权利要求及其等同物限定的一般发明原理的精神或范围的情况下，可进行各种改型。