JP3999527B2 - Computer network authentication method and data distribution method - Google Patents
Computer network authentication method and data distribution method Download PDFInfo
- Publication number
- JP3999527B2 JP3999527B2 JP2002038928A JP2002038928A JP3999527B2 JP 3999527 B2 JP3999527 B2 JP 3999527B2 JP 2002038928 A JP2002038928 A JP 2002038928A JP 2002038928 A JP2002038928 A JP 2002038928A JP 3999527 B2 JP3999527 B2 JP 3999527B2
- Authority
- JP
- Japan
- Prior art keywords
- node
- key data
- authentication
- data
- downstream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、一般的にはコンピュータネットワークでの認証方法に関し、特に、複数のノード間で認証機能を分散する方法に関する。
【0002】
【従来の技術】
近年、インターネットを代表とする情報通信ネットワーク又はコンピュータネットワークの環境下において、ブロードバンド化の推進により、主として動画(映像)や音声のコンテンツ情報の伝送を容易に行なうことが可能になりつつある。ブロードバンド化のネットワーク環境としては、例えばADSL(asymmetric digital subscriber line)伝送方式やCATV(cable television)ネットワークを利用した有線通信方式以外に、携帯電話などの無線通信方式(移動体通信方式)によるネットワーク環境も含まれる。
【0003】
ところで、インターネットに接続されるユーザ端末としては、パーソナルコンピュータ、ディジタル情報機器、携帯電話(PHSも含む)、あるいは無線通信機能を有する携帯型情報端末(PDA:personal digital assistant)等が含まれる。ブロードバンド化のネットワーク環境下では、これらのユーザ端末により、例えばストリームデータを受信して、ユーザの違和感を伴なうことなく、動画や音声のコンテンツ情報を再生することが可能となる。
【0004】
従来では、インターネットによる情報サービスや、個人間の情報交換では、文字情報や静止画像が主体であり、動画や音声などのストリームデータの通信は限定されたものであった。従って、今後、ブロードバンド化のネットワーク環境の普及に伴なって、ストリーム配信サービス事業などのビジネス分野だけでなく、ユーザ間で個人的情報を交換するプライベートの分野でも、ストリームデータの配信が容易になる。
【0005】
【発明が解決しようとする課題】
一般的に、コンピュータネットワーク環境下においては、例えば動画や音声等のストリームデータの配信を行なうストリーム配信サービス事業などのビジネス分野や、個人的情報を交換するプライベートの分野でも、正当なデータの送受信先を特定するための認証機能が必要不可欠である。
【0006】
従来から、コンピュータネットワークでの認証機能を実現するための各種の方式が開発または提案されている。従来の認証方式は、例えばプロバイダやサービス事業者等が運営するサーバの管理下で機能することが一般的である。例えば、インターネット上において、仲介サーバにより、ユーザ端末間でのファイル交換を仲介するための情報サービスが実現されている。この場合、各ユーザ端末の認証処理は、仲介サーバにより実行されている。
【0007】
一方、近年では、例えば動画や音声等のストリームデータの配信を行なうストリーム配信サービス事業では、サーバに対する過大負荷が問題になっている。この問題の解決策として、サーバの機能を分散させる技術が注目されている。具体的には、例えばメインサーバと中継サーバとからなるストリームデータの分散配信方式などが提案されている。しかしながら、認証機能は特定のサーバなどによる集中方式が一般的である。即ち、コンピュータネットワーク環境下では、有効な認証機能を含むデータ分散配信方式は、現時点では実現されていない。
【0008】
そこで、本発明の目的は、インターネットなどのコンピュータネットワーク環境において、有効な認証機能を含むデータ分散配信方式を実現できる認証方法を提供することにある。
【0009】
【課題を解決するための手段】
本発明の観点は、例えばインターネットのコンピュータネットワーク環境下において、特定のサーバを使用することなく、複数のユーザ端末間で例えばストリームデータなどを分散配信できるデータ分散配信方式に適用できる有効な認証方法に関する。
【0010】
本発明の観点による認証方法は、コンピュータネットワーク上に接続された複数のノード間の認証機能を実現し、暗号化鍵データと復号化鍵データとを組として使用する公開鍵暗号方式を利用する認証方法であって、
各ノードは、データを送信する上流ノード、データを受信する下流ノード、または下流ノードであって、更に上流ノードとしても機能する中継ノードのいずれかとして動作するように構成されて、
復号化鍵データを上流ノードに対して提供し、暗号化鍵データを使用して正当な下流ノードを識別するノード識別情報を含む認証用情報を暗号化した接続認証用鍵データを下流ノードまたは中継ノードに対して提供するための鍵データ提供手段を有し、
下流ノードは、鍵データ提供手段から所定の手順で取得した接続認証用鍵データを接続要求対象の上流ノードに送信するステップと、上流ノードは、鍵データ提供手段から取得した復号化鍵データを使用して下流ノードから受信した接続認証用鍵データを復号化し、当該復号化された接続認証用鍵データに含まれる認証用情報を使用して当該下流ノードに対する認証処理を実行するステップと、中継ノードは、下流ノードとして他の上流ノードから取得した復号化鍵データを使用して他の下流ノードからの接続認証用鍵データを復号化し、当該復号化された接続認証用鍵データに含まれる認証用情報を使用して当該他の下流ノードに対する認証処理を実行するステップとから構成される。
【0011】
このような構成の認証方法であれば、公開鍵暗号方式を利用した複数のノード間の接続に関する認証機能を、各ノードに分散させることができる。従って、各ノード間で、例えばストリームデータの分散配信を実現するときに、当該データ分散配信に適用する認証機能も分散できる。具体的には、ユーザ端末である上流ノードを配信源として、中継ノード及び下流ノードに対してストリームデータが分散配信される場合に、当該上流ノードから中継ノードを介して、復号化鍵データを分散配信することができる。また、中継ノードは、相対的な上流ノード(最上流ノード又は中継ノード)から取得した復号化鍵データを使用して、接続要求している下流ノードに対する認証処理を実行できる。従って、特定のサーバが集中的に認証処理を実行する方式ではなく、認証機能も分散できるデータ分散配信方式を実現することができる。
【0012】
なお、鍵データ提供手段は、通常では、例えばサービス業者が運営する鍵配付サーバに相当する。当該サービス業者は、配信源となる上流ノードを操作するユーザとの契約に基づいて、復号化鍵データ及び接続認証用鍵データを配付する。ここで、鍵データ提供手段は、サーバではなく、特定のサービス業者が取り扱う記憶媒体(例えばCD−ROM)でもよい。具体的には、復号化鍵データまたは接続認証用鍵データが格納された記憶媒体を、各ノードを操作するユーザが特定のサービス業者から提供される仕組みでもよい。
【0013】
【発明の実施の形態】
以下図面を参照して、本発明の実施の形態を説明する。
【0014】
(システムの基本的構成)
図2は、本実施形態に関するストリーム分散配信システムの概念を示す図である。
【0015】
本システムは、特にブロードバンドのインターネット等のコンピュータネットワーク環境を想定し、当該ネットワークに接続された複数のノード10により、例えばストリームデータを分散配信する構成である。ここで、ストリームデータとは、動画(映像)や音声等のコンテンツ情報を含む連続的ディジタルデータを意味する。
【0016】
また、ノード10とは、ネットワークに接続した装置(デバイス)の総称であり、いわゆるユーザ端末(クライアント)、サーバ、ルータ等の中継装置、データ(パケット)交換装置等を意味する。ユーザ端末としては、具体的には、パーソナルコンピュータ、ディジタル情報機器、携帯電話(PHSも含む)、あるいは無線通信機能を有する携帯型情報端末(PDA)等のデバイスを意味する。また、ユーザ端末としては、前記のデバイス単体だけでなく、ルータや無線LAN(local area network)により構成されるシステムを意味する場合もある。
【0017】
本システムでは、例えば配信源となる上流ノード10(A)は、相対的に下流ノードとなるノード10(B)にストリームデータを送出する。ノード10(B)は、他の下流ノード10に対して相対的に上流ノードとして動作し、受信したストリームデータを再生(視聴)すると共に、他の下流ノード10に中継する。この場合、ノード10(B)は、許容負荷が許せば、複数の下流ノード10に対してストリームデータを中継する。
【0018】
要するに、本システムは、インターネット上に接続された各ノード10が上流ノードまたは下流ノードとして動作し、上流ノードから下流ノードへと例えばストリームデータの中継を実行する。このようなシステムにより、高性能のデータ配信用サーバを要することなく、例えば低コストのパーソナルコンピュータなどにより、データ分散配信機能を実現することができる。ここで、上流ノードとは、自ノードに対して上流であり、ストリームデータの送出元ノード(配信源ノード)または中継ノードである。また、下流ノードとは、自ノードから見てストリームデータの送出先ノードである。下流ノードは、ストリームデータを受信する受信ノード、または更に下流ノードに対して送出する中継ノードとして機能することができる。
【0019】
図3は、本システムの具体的構成の一例を示すブロック図である。
【0020】
本システムの具体的想定としては、多数のユーザ端末であるノード10や、後述するサーバ20(ノードの一種)がインターネット100に接続されて、インターネット100を介して、ストリーム分散配信系に参加したユーザ端末に対してストリームが配信される構成である。
【0021】
各ノード10は、例えばADSL伝送方式やCATVネットワーク、または携帯電話などの移動体通信方式(無線通信方式)を使用して、常時接続型の高速回線によりインターネットに接続される環境を想定している。
【0022】
あるノード10は、例えばパーソナルコンピュータ(PC)11とルータ12とを有するユーザ端末である。これらのノード10は、インターネット100を介して受信したストリームを、例えばPC11のディスプレイ上に再生し、かつ他の下流ノード10へ中継する。また、あるノード10は、例えばPC11とディジタルビデオカメラ(DVC)13とを有する。このノード10は上流ノードとして、DVC13により撮影した映像(音声を含む)からなるストリームを、PC11にセットされたソフトウェア(同実施形態のメイン構成要素)により送出するユーザ端末である。
【0023】
(ノードの構成)
サーバ20を除く各ノード10に関して、図3を参照して、同実施形態のユーザ端末として動作するノード10の構成を説明する。
【0024】
同実施形態のノード10は、コンピュータ(マイクロプロセッサ)と、当該コンピュータにセットされるソフトウェアとから構成される。ここで、各ノード10は、全て同一のソフトウェア構成を有し、ストリームの送出、受信、中継、再生、及び認証の各機能を実現する。なお、同実施形態のソフトウェア構成は、特定のOS(operating system)には依存しない仕様である。
【0025】
本ソフトウェア構成は、主として、メッセージ(制御情報)を交換することにより、各ノード10間の論理的な接続関係であるネットワーク接続形態(トポロジ:topology)を構成する機能を実現する機能部、ストリームデータの送出(中継を含む)、受信、再生の各機能を実現する機能部、ユーザとの入出力インターフェースであるGUI(graphical user interface)機能を実現する機能部、及び認証機能部を有する。
【0026】
同実施形態では、サーバ20は、各ノード10の認証処理に必要な鍵データをを配布するために、例えばサービス提供業者が運営する鍵配付サーバを想定する。サーバ20は、後述するように、公開鍵暗号方式による鍵データを提供する。各ノード10は、サーバ20から提供された鍵データを使用して、接続要求を行なう下流ノードの認証処理を実行する。
【0027】
(認証方法)
以下図1、及び図4から図8のフローチャートを参照して、同実施形態の認証方法を説明する。
【0028】
同実施形態では、図1に示すように、インターネット上に接続された各ノード10の中で、データ配信源ノードとして最上流に位置する上流ノード10Aを想定する。当該上流ノード10Aは、例えば動画又は音声等のコンテンツ情報を含むデータ(ストリームデータ)300を配信する。
【0029】
ノード10Bは、当該上流(配信源)ノード10Aに接続して、データ300を受信する下流ノードとして機能し、かつ上流ノードとしても機能する中継ノードである。当該中継ノード10Bは、上流ノード10Aから受信したデータ(ストリームデータ)300を、配信を要求している下流ノード10Cに送信する中継処理を実行する。ここでは、下流ノード10Cは、配信されたデータを受信して再生する処理を実行するだけで、中継ノードとしては機能しないものと想定する。
【0030】
鍵配付サーバ20は、前述したように、例えばサービス提供業者が運営するサーバを想定する。ここでは、当該サービス提供業者は、上流(配信源)ノード10Aを操作するユーザとの契約に基づいて、当該コンテンツ情報(ID情報により識別される)の分散配信に伴なう各ノードの認証処理に必要な各種の鍵データを提供する。なお、当該サーバ20の鍵配付機能は、ユーザが操作するノードに設定されるサーバ機能により実現される構成でもよい。
【0031】
(公開鍵の発行手順)
同実施形態の認証方法は、公開鍵暗号方式の鍵データを使用する認証機能を実現している。以下図1と共に、図4及び図5のフローチャートを参照して、サーバ20の鍵データの発行手順を説明する。
【0032】
まず、上流(配信源)ノード10Aは、データ300の配信を行なう前に、配信先として正当な下流ノードを認証するための鍵データの発行をサーバ20に要求する。具体的には、図4(A)に示すように、上流ノード10Aは、鍵発行要求メッセージ(PR)をサーバ20に送信する(ステップS1)。ここで、当該メッセージ(PR)には、例えば配信するコンテンツ情報を識別するためのID情報(コンテンツID)と、配信源ノード10Aを識別するためのパスワードとを含む。
【0033】
一方、サーバ20は、同図(B)に示すように、配信源ノード10Aから鍵発行要求メッセージ(PR)を受信すると、当該メッセージ(PR)に含まれるパスワードに基づいて、予めなされた契約による正当な上流ノードであるか否かを認証する。サーバ20は、正当な上流ノードであると認定すると、公開鍵暗号方式における公開鍵データ(Kp)と秘密鍵データ(Ks)とをペアとする鍵データを生成する(ステップS11,S12)。即ち、サーバ20は、メッセージ(PR)に含まれるコンテンツIDに対応する公開鍵データ(Kp)と秘密鍵データ(Ks)とを生成する。
【0034】
サーバ20は、生成した秘密鍵データ(Ks)をコンテンツIDに関連付けして、秘密鍵データベース200に登録する(ステップS14)。また、サーバ20は、生成した公開鍵データ(Kp)を含む応答メッセージを、配信源ノード10Aに返信する(ステップS13)。
【0035】
配信源ノード10Aは、サーバ20から応答メッセージを受信すると、当該メッセージに含まれる公開鍵データ(Kp)を、コンテンツIDに関連付けして内部の記憶装置(例えばディスクドライブ)に保存する(ステップS2,S3)。
【0036】
以上のようにして、配信源ノード10Aは、ストリームデータなどのデータ300の配信を行なう前に、認証処理に必要な公開鍵データ(Kp)をサーバ20から取得することができる。配信源ノード10Aは、当該公開鍵データ(Kp)を使用して、後述するように、自ノードに対して接続要求をしてきたノードが正当なノードであるか否かを判定する認証処理を実行する。ここで、正当であると認証されるノードとは、例えばデータ配信を受けるための料金決済に伴なって、サーバ20から接続認証用鍵データ(T)を取得したノードである。
【0037】
ここで、後述するように、接続認証用鍵データ(T)は、秘密鍵データ(Ks)により暗号化された鍵データである。一方、公開鍵データ(Kp)は、当該接続認証用鍵データ(T)を復号化するための鍵データである。従って、秘密鍵データ(Ks)は、暗号化鍵データに相当する。また、公開鍵データ(Kp)は、復号化鍵データに相当する。
【0038】
(接続鍵の発行手順)
下流ノード10Bは、配信源ノード10Aに接続要求して、例えばストリームデータなどのデータ配信サービスを受ける。下流ノード10Bは、配信源ノード10Aに接続するための接続鍵の発行をサーバ20に要求する。具体的には、図5(A)に示すように、下流ノード10Bは、接続鍵の発行要求メッセージ(IR)をサーバ20に送信する(ステップ21)。ここで、当該メッセージ(IR)には、例えば配信するコンテンツ情報を識別するためのコンテンツID(G)と、当該ノード10Bを識別するためのノード識別情報(H)を含む。ノード識別情報(H)は、例えばノード10Bに使用されているネットワークのMACアドレスや、マイクロプロセッサのシリアル番号等のハードウェアの識別番号である。
【0039】
一方、サーバ20は、同図(B)に示すように、ノード10Bから発行要求メッセージ(IR)を受信すると、ストリームデータの配信サービスを受けるための料金の決済処理を実行する(ステップS31,S32)。この決済処理では、サーバ20は、例えば料金をノード10B側の表示画面上に表示し、またクレジットカード番号の入力を促す。ノード10Bからクレジットカード番号が入力されると、サーバ20は、当該クレジットカードから料金を引き落とすための所定の決済処理を実行する。
【0040】
ここで、サーバ20を運営する当該サービス提供業者は、上流(配信源)ノード10Aを操作するユーザとの契約に基づいて、当該コンテンツ情報(ID情報により識別される)の分散配信に伴なう認証処理に必要な鍵データを提供するための料金の決済処理を実行する。要するに、サーバ20は、認証処理に必要な鍵データの保管や、取り扱いに関して、上流(配信源)ノード10Aを操作するユーザとの契約に基づいて一種の代行業務を行なうことになる。
【0041】
次に、サーバ20は、秘密鍵データベース200から、コンテンツID(G)に対応する秘密鍵データ(Ks)を取り出す(ステップS33)。サーバ20は、取り出した秘密鍵データ(Ks)を使用して、コンテンツID(G)とノード識別情報(H)とを暗号化した接続認証用鍵データ(T)を生成する(ステップS34)。サーバ20は、生成した接続認証用鍵データ(T)を含む応答メッセージを、下流ノード10Bに返信する(ステップS35)。即ち、サーバ20は、秘密鍵データ(Ks)を暗号化鍵データとして保管している。
【0042】
下流ノード10Bは、サーバ20から応答メッセージを受信すると、当該メッセージに含まれる接続認証用鍵データ(T)を内部の記憶装置(例えばディスクドライブ)に保存する(ステップS22,S23)。
【0043】
以上のようにして、下流ノード10Bは、ストリームデータの配信サービスを受けるために、料金の決済処理に伴なって、接続認証用鍵データ(T)をサーバ20から取得することができる。サーバ20は、配信源ノード10Aのユーザに対して、契約に基づいた料金を決済する。具体的には、例えばサーバ20を運営する業者は、ノード10Bのエンドユーザが支払う料金から所定の手数料を差し引いて、配信源ノード10Aのユーザの口座に振り込むような処理を実行する。ここで、配信源ノード10Aのユーザとは、例えばコンテンツ情報の所有者や、コンテンツ配信サービス事業者などに相当する。
【0044】
(接続鍵による認証手順)
下流ノード10Bは、図6(A)に示すように、配信源ノード10Aに対して、ストリームデータの配信を受けるための接続要求メッセージ(CR)を送信して、当該データ配信を要求する(ステップS41)。下流ノード10Bは、接続要求メッセージ(CR)には、接続認証用鍵データ(T)、ストリームコンテンツを識別するためのコンテンツID(G)、及び当該ノード10Bを識別するためのノード識別情報(H)を含ませる(ステップS42)。ここで、接続認証用鍵データ(T)は、前述したように、サーバ20が保管する秘密鍵データ(Ks)により暗号化されたデータである。一方、コンテンツID(G)及びノード識別情報(H)は、暗号化されていない平文データである。
【0045】
一方、上流ノードである配信源ノード10Aは、同図(B)に示すように、下流ノード10Bから接続要求メッセージ(CR)を受信すると、内部記憶装置からコンテンツID(G)に対応する公開鍵データ(Kp)を取り出す(ステップS51,S52)。配信源ノード10Aは、取り出した公開鍵データ(Kp)を使用して、接続認証用鍵データ(T)を復号化してコンテンツID(G)とノード識別情報(H)とを復元する(ステップS53)。即ち、サーバ20は、公開鍵データ(Kp)を復号化鍵データとして提供する。
【0046】
次に、配信源ノード10Aは、接続認証用鍵データ(T)から復元したコンテンツID(G)とノード識別情報(H)のそれぞれと、下流ノード10Bから平文データとして受信したコンテンツID(G)とノード識別情報(H)とのそれぞれとを照合する(ステップS54)。この照合処理の結果に従って、配信源ノード10Aは、一致すれば認証成功として、接続要求してきた下流ノード10Bが正当なノード(対価を支払ったユーザ)であると判定する(ステップS55のYES)。認証成功の場合には、配信源ノード10Aは、所定のストリームデータを、接続要求してきた下流ノード10Bに対して送出(提供)する。
【0047】
下流ノード10Bは、認証された場合、即ち接続要求が受理された場合には、配信源ノード10Aから送出されるストリームデータを受信し、表示画面上で再生するなどの処理を実行する(ステップS43のYES)。
【0048】
一方、認証失敗の場合には、配信源ノード10Aは、当該認証失敗を通知するためのメッセージを下流ノード10Bに返信する(ステップS55のNO,S56)。下流ノード10Bは、接続要求が受理されないため、処理終了となる(ステップS43のNO)。この場合には、不正な接続認証用鍵データが使用されているか、あるいは認証処理に誤りなどが発生している可能性がある。このため、下流ノード10Bは、前述の処理を再実行するか、またはサーバ20から接続認証用鍵データの再取得処理を実行することになる。
【0049】
以上のようにして、配信源ノード10Aは、予めサーバ20から取得した公開鍵データ(Kp)を使用して、データ配信サービスを要求してきた下流ノード10Bが正当なユーザであるか否かを認証する。下流ノード10Bが料金決済に伴なって発行された接続認証用鍵データ(T)を取得していれば、正当なノードであると認証されて、所望のコンテンツ情報(ここでは、ストリームデータ)の提供を受けることができる。
【0050】
(中継処理の手順)
同実施形態では、ネットワーク接続された各ノード10(10A,10Bも含む)は、他の上流ノードから受信したデータ(ストリームデータ)を、他の下流ノードに中継する機能を有する。従って、図1に示すように、配信源ノード10Aからデータ配信サービスを提供された下流ノード(中継ノード)10Bは、上流ノードとして他の下流ノード10Cからの要求に応じて、受信したストリームデータを中継する。このようなデータ中継においても、同実施形態の認証機能により、送出先のノード10Cが正当なノードであるか否かを認証できる。以下、図7のフローチャートを参照して説明する。
【0051】
データ中継処理を実行する中継ノード10Bは、配信源ノード10Aから公開鍵データ(Kp)の提供を受ける(ステップS61)。中継ノード10Bは、取得した公開鍵データ(Kp)を、コンテンツIDに関連付けして内部の記憶装置(例えばディスクドライブ)に保存する。
【0052】
中継ノード10Bは、下流ノード10Cから接続要求メッセージ(CR)を受信すると、内部記憶装置から公開鍵データ(Kp)を取り出して、前述の認証処理を実行する(ステップS63)。即ち、下流ノード10Cは、ストリーム配信サービスを受けるために、料金の決済処理に伴なって、接続認証用鍵データ(T)をサーバ20から事前に取得する。中継ノード10Bは、取り出した公開鍵データ(Kp)を使用して、下流ノード10Cから送信された接続認証用鍵データ(T)を復号化してコンテンツID(G)とノード識別情報(H)とを復元する。そして、中継ノード10Bは、接続認証用鍵データ(T)から復元したコンテンツID(G)とノード識別情報(H)のそれぞれと、下流ノード10Cから平文データとして受信したコンテンツID(G)とノード識別情報(H)とのそれぞれとを照合する。
【0053】
中継ノード10Bは、照合処理の結果が一致すれば認証成功として、接続要求してきた下流ノード10Cが正当なノード(対価を支払ったユーザ)であると判定する(ステップS64のYES)。認証が失敗した場合には、接続要求(ストリーム配信要求)が受理できないことを下流ノード10Cに通知する(ステップS64のNO)。
【0054】
ここで、正当なノードであると認証した下流ノード10Cが中継ノードとして動作可能であれば、中継ノード10Bは、前記の公開鍵データ(Kp)を提供する処理を実行してもよい(ステップS65,S66)。中継ノード10Bは、認証成功の場合には、所定のストリームデータを、接続要求してきた下流ノード10Cに対して送出(提供)する(ステップS67)。
【0055】
このようなストリーム中継処理により、配信源ノード10Aは、ストリーム配信を要求する全ての下流ノード10に対してストリームデータを送出することなく、下流ノード(10B)を中継ノードとして、間接的なストリーム配信機能を実現することができる。これにより、配信源ノード10Aのストリーム配信に伴なう負荷を大幅に軽減することができる。この場合、同実施形態の認証機能を利用することにより、中継ノード10Bは、配信源ノード10Aと同様に、ストリーム配信サービスを要求する下流ノード10Cが正当なノード(対価を支払ったユーザ)であるか否かを認証できる。
【0056】
(鍵データの消去手順)
同実施形態では、配信源ノード10Aは、ストリーム配信を行なう前に、認証機能に必要な鍵データの発行をサーバ20に要求して、公開鍵データ(Kp)を取得する。この鍵データ(Kp)は、秘密鍵データ(Ks)とペアであり、配信するストリームコンテンツ(ID情報により識別)に対応付けされたものである。従って、例えば当該ストリームコンテンツの配信を停止して、鍵データ(Kp,Ks)を無効にする場合には、例えば配信源ノード10Aからの要求に応じて、サーバ20が発行した秘密鍵データ(Ks)を登録から消去し、結果として鍵データ(Kp,Ks)を無効にするための手順を用意することが必要である。以下、図8のフローチャートを参照して、鍵データの消去手順を説明する。
【0057】
図8(A)に示すように、ここでは、配信源ノード10Aは、鍵消去要求メッセージをサーバ20に送信する(ステップS71)。当該メッセージには、配信するストリームコンテンツを識別するためのコンテンツIDと、配信源ノード10Aからの要求であることを認証するためのパスワードとを含む。
【0058】
一方、サーバ20は、同図(B)に示すように、配信源ノード10Aから鍵消去要求メッセージを受信すると、予め登録しているコンテンツIDとパスワードとに基づいて、鍵消去要求元のノード10Aが正当なノードであるか否かを判定するための認証処理を実行する(ステップS81,S82)。認証が失敗した場合には、サーバ20は、正当なノードではないと判定し、消去拒否メッセージを要求元のノード10Aに送信する(ステップS83のNO,S84)。
【0059】
認証が成功した場合には、サーバ20は、秘密鍵データベース200からコンテンツIDに対応する秘密鍵データ(Ks)を特定して、登録から消去する処理を実行する(ステップS83のYES,S85)。サーバ20は、消去処理が完了すると、消去完了メッセージを、配信源ノード10Aに返信する(ステップS86)。
【0060】
配信源ノード10Aは、サーバ20から消去完了メッセージを受信すると、当該秘密鍵データ(Ks)に対応する公開鍵データ(Kp)を内部の記憶装置(例えばディスクドライブ)から消去してもよい(ステップS72)。
【0061】
以上のようにして、配信源ノード10Aは、所定のストリームコンテンツの配信サービスを停止して、鍵データ(Kp,Ks)を無効にする場合に、サーバ20に対して発行した秘密鍵データ(Ks)を登録から消去させることができる。従って、配信源ノード10Aは、ストリームコンテンツに対応付けされた秘密鍵データ(Ks)と公開鍵データ(Kp)とのペアからなる鍵データ(Kp,Ks)を無効にすることができる。
【0062】
(セキュリティに関する効果)
同実施形態の認証方法では、コンテンツID(G)及びノード識別情報(H)については、平文データであるため、第三者が容易に取得することができる。しかしながら、接続認証用鍵データ(T)は、サーバ20により保管されている秘密鍵データ(暗号化鍵データ)(Ks)により暗号化されている。従って、第三者には、正当な接続認証用鍵データ(T)を作成することは困難である。換言すれば、同実施形態の認証方法は、秘密鍵データ(Ks)を保管するサーバ20(特定のユーザ端末でもよい)のみが正当な接続認証用鍵データ(T)を発行することを保証できる。
【0063】
また、公開鍵データ(Kp)と接続認証用鍵データ(T)は、ユーザ端末に保持されるため、第三者に漏洩する可能性がある。しかしながら、公開鍵暗号方式では、一般的に、公開鍵データ(Kp)と接続認証用鍵データ(T)との組み合わせから、秘密鍵データ(Ks)を算出することは困難である。この場合、有効な接続認証用鍵データ(T)の配付期間(又は時間)を制限することにより、仮に不正なユーザが接続認証用鍵データ(T)を偽造することを未然に防止することができる。
【0064】
更に、正当な接続認証用鍵データ(T)は、コンテンツID(G)とノード識別情報(H)との正当な組み合わせにおいてのみ有効となる。従って、正当な下流ノードとは異なる下流ノードは、認証されず、データ配信を受けることはできない。また、正当な下流ノードであっても、該当するコンテンツ情報以外のコンテンツ情報の配信を受けることはできない。
【0065】
(本実施形態を適用したビジネスモデル)
以下図9を参照して、本実施形態を適用したビジネスモデルの具体例を説明する。
【0066】
同ビジネスモデルは、特に、ブロードバンド(広帯域で常時接続型)のインターネット上で、ディジタルコンテンツを多数のユーザに対して分散配信するサービス事業を想定する。
【0067】
具体的には、電子チケットの配布サービスを運営する事業者(以下、TSP:Ticket Service Provider)と、電子チケットに基づいてコンテンツを配信するサービスを行う事業者(以下、CSP:Contents Service Provider)とによるコンテンツ配信サービスを想定する。ユーザ(要するに一般消費者)は、TSPから電子チケットを購入することにより、CSPから所望のコンテンツの配信を受けることができる。
【0068】
ここで、電子チケットとは、本実施形態での接続認証用鍵データ(T)に相当する。また、当該モデルでは、電子チケットを認証するための認証マスターキー(以下マスタ鍵データと表記する)が使用される。このマスタ鍵データとは、本実施形態での復号化鍵データ(公開鍵データ)に相当する。
【0069】
図9は、コンテンツ配信サービスを実現するための仕組みを示す。ここでは、電子チケットの配布を行うためのサーバ(以下、DTS:Digital Ticket Server)90、及び複数のノード91〜94がインターネット上に常時接続されている状態を想定する。上流ノードに相当するノード91は、CSPが運営するコンテンツ配信ノード(以下、配信源ノード)である。中継ノード又は下流ノードに相当する各ノード92〜94は、一般ユーザが保有し、操作するパーソナルコンピュータ(PDA等の携帯型情報端末も含む)である。また、DTSは、電子チケットの配布を行うTSPにより運営されている。
【0070】
配信源ノード91は、DTS90から、コンテンツの配信に必要な認証情報として、マスタ鍵データ(Kp)の提供を受ける。また、CSP(コンテンツ配信ノード91)は、TSP(DTS90)からコンテンツ配信の対価を受け取り、また逆にTSP(DTS90)に手数料を支払う。即ち、TSPは、CSPとユーザ(ノード92〜94)間での取引額から一部を手数料として徴収する。ユーザは、コンテンツ配信の対価として、電子チケット料をTSPに支払う。
【0071】
(電子チケット発行準備の手順)
発行準備の手順として、CSP(配信源ノード91)が、ユーザに配布したいコンテンツに関して、DTS90に対してマスタ鍵データ(Kp)の発行を要求する(プロセス91A)。この要求を受けて、DTS90の認証マスターキー発行機能部900は、コンテンツ識別情報(CID:Contents ID。ユニークな番号等)と、暗号化鍵データ(Ks)と復号化鍵データ(Kp)との鍵ペア(公開鍵暗号方式における秘密鍵と公開鍵に相当)を生成し、これら3つのデータの組を鍵データベース903に登録する(プロセス90A)。DTS90は、復号化鍵データ(Kp)を、マスタ鍵データとしてCSP(配信源ノード91)に返信する(プロセス91B)。
【0072】
ここで、TSP(DTS90)は、この鍵データベース903への登録とマスタ鍵データ(Kp)の返信に伴なって、CSP(配信源ノード91)に対して手数料を請求する。具体的には、DTS90に接続された課金・決済システム902との連携により、CSPの銀行口座からの引き落とし手続きなどのオンライン決済処理が実行される。即ち、プロセス90Cは、マスタ鍵データ(Kp)の発行に伴なう料金課金処理である。
【0073】
以上のような準備が完了すると、CSP(配信源ノード91)は、インターネット上において、WWWのホームページ(Webページ)や電子メール、または雑誌などの紙媒体を介して、一般ユーザに対して当該コンテンツの配信サービスについての広告宣伝等を行なうことになる。このとき、通常では、当該コンテンツを特定するためのCIDを掲示することになる。
【0074】
(電子チケット発行の手順)
次に、コンテンツ配信サービスに伴なう電子チケットの発行手順を説明する。
【0075】
ここでは、当該コンテンツの配信を受けたいユーザが操作する各ノード92〜94において、便宜的に、ノード92を中継ノードと呼び、これ以外の各ノード93,94をユーザノードと呼ぶ。中継ノード92は、ユーザノードとして機能すると共に、配信源ノード91からのコンテンツを各ユーザノード93,94に中継する機能を有する。
【0076】
当該コンテンツの配信を受けたいユーザ(中継ノード92及びユーザノード93,94)はそれぞれ、通常では、CSP(配信源ノード91)の広告宣伝(Webページ等)から当該CIDを取得する。ユーザ(ノード92〜94)はそれぞれ、CIDとユーザの識別情報UIDとを含めた電子チケット発行要求をDTS90に送信する(プロセス92D,93B,94A)。UIDは、いわばノード識別情報であり、具体的には例えばユーザが使用しているパーソナルコンピュータのハードウェア識別情報等である。これらのCIDとUIDとの組み合わせ情報は、当該ユーザが当該コンテンツの配信を受けることを特定できる認証用情報である。
【0077】
DTS90の電子チケット発行機能部901は、当該電子チケット発行要求を受信すると、鍵データベース903からCIDに対応した暗号化鍵データ(Ks)を取り出す(プロセス90B)。そして、電子チケット発行機能部901は、この暗号化鍵データ(Ks)を使用して、前記CIDとUIDとを含む認証用情報を暗号化する。この暗号化データを電子チケット(接続認証用鍵データT)として生成し、各ユーザ(ノード92〜94)のそれぞれに返信する(プロセス92E,93C,94C)。
【0078】
このような電子チケットの発行方法であれば、ユーザが電子チケット(T)を不正に生成(偽造)することは困難である。即ち、電子チケット(T)を生成するために必要な暗号化鍵データ(秘密鍵データKs)は、DTS90の内部にのみ存在し、秘匿されているためである。
【0079】
また、電子チケット(T)は、ユーザ固有の情報であるUIDを含めて暗号化されたデータである。従って、同一のコンテンツ(CID)に対応するチケットでありながら、ユーザ(即ち、ノード)ごとに異なるデータ(ビット列)から構成されている。このため、他のユーザが、不正に電子チケットを盗用して、別のパーソナルコンピュータ(ノード)を使用して、当該コンテンツを要求しても、その接続認証の過程で盗用された電子チケットを検出することが可能である。
【0080】
電子チケットの発行に関して、TSP(配信源ノード91)は、ユーザに対して、電子チケットの発行(即ち、コンテンツの配信)の対価を請求する。具体的には、DTS90に接続された課金・決済システム902との連携により、発行に伴なう前記手数料分を差し引いた額をCSPの銀行口座に入金するといったオンライン決済処理が実行される(料金課金のプロセス90D)。この場合、課金・決済システム902は、通常では、電子チケットの発行要求の受付時に、入力されたユーザのクレジットカード番号で決済することになる。
【0081】
(コンテンツ配信の手順)
以上のようにして、CSP(配信源ノード91)はマスタ鍵データ(Kp)を取得し、また各ユーザ(ノード92〜94)はそれぞれ電子チケット(T)を取得する。このような状況を前提として、コンテンツ分散配信の手順を説明する。
【0082】
ここでは、便宜的に、中継ノードとしても機能するユーザノード92が、配信源ノード91に対してコンテンツ(C)の配信要求を実行する(プロセス92C)。このとき、中継ノード92は、電子チケット(T)、及び平文のCIDとUIDとを含む認証用情報を送信する。
【0083】
CSP(配信源ノード91)は、受信した電子チケット(T)をマスタ鍵データ(Kp)で復号化し、認証用情報であるCIDとUIDとを取り出す。そして、配信源ノード91は、復号化した認証用情報と、平文の認証用情報(CIDとUID)とを照合し、照合結果が一致すれば、当該中継ノード92を正当なユーザノードであると認定する。換言すれば、当該ユーザからの電子チケット(T)は、DTS90から正規の手順で取得した正当なものであると認定する。
【0084】
このような認証処理により、正当なユーザノード(中継ノード92)に対して、当該電子チケット(T)に対応するコンテンツ(C)を送信する(プロセス91D)。ここで、CSP(配信源ノード91)は、認証が成功したユーザノードからマスタ鍵データ(Kp)を要求されたときには、コンテンツ(C)と共にマスタ鍵データ(Kp)を提供してもよい(プロセス91C)。
【0085】
要するに、中継ノードとして機能するユーザノード92は、受信したコンテンツ(C)を自身が利用すると共に、他のユーザノード93,94に対して、当該コンテンツ(C)をCSPに代わって配信(中継)する(プロセス92B,92F)。このとき、前記のように、中継ノード92は、マスタ鍵データ(Kp)を取得することにより、CSP(配信源ノード91)と同様に、他のユーザノード93,94を認証できる権限(いわば論理的権限)を備えることになる。具体的には、中継ノード92は、コンテンツ配信を要求する他のユーザノード93,94から電子チケット(T)を受信すると、前記と同様の認証処理を実行する(プロセス93A,94B)。
【0086】
更に、中継ノード92は、コンテンツの中継と共に、要求されたユーザノード93,94に対して、マスタ鍵データ(Kp)を中継する(92A,92G)。従って、各ユーザノード93,94は、単にコンテンツを利用するユーザとしてだけでなく、中継ノードとして機能することができる。
【0087】
以上のように、電子チケットの発行に基づいて、コンテンツを配信するコンテンツ配信サービスの仕組みを実現することができる。この仕組みは、配信源ノード91から複数のユーザノード92〜94に対してコンテンツを配信するだけでなく、多数のユーザノードが相互に連携して、コンテンツの分散配信を実現できる。また、コンテンツ配信に伴なう認証機能を各ユーザノードに分散させることにより、認証処理に関するアクセス処理の集中化を回避することが可能となる。
【0088】
従って、結果的に配信源ノード91を頂点とするコンテンツ配信ツリーを形成し、スケーラブルに限界なく成長させることができる。これにより、各ノードには高い性能が要求されずに、多数のユーザノードに対してコンテンツ配信を行なうサービスを実現できる。また、当該分散配信サービスは、単なるファイル等のコンテンツ配信だけでなく、ライブの音声・ビデオといったストリームデータの配信の場合にも有効である。
【0089】
【発明の効果】
以上詳述したように本発明によれば、インターネットなどのコンピュータネットワーク環境において、特定のサーバに負荷が集中することなく、公開鍵暗号方式を利用した複数のノード間の接続に関する認証機能を、各ノードに分散させることができる。従って、有効な認証機能を含むデータ分散配信方式を適用するビジネスモデルを実現することができる。
【図面の簡単な説明】
【図1】本発明の実施形態に関する認証方法を説明するための概念図。
【図2】同実施形態に関するストリーム分散配信システムの概念を示す図。
【図3】同実施形態に関するシステムの具体的構成の一例を示すブロック図。
【図4】同実施形態に関する公開鍵の発行手順を説明するためのフローチャート。
【図5】同実施形態に関する接続鍵の発行手順を説明するためのフローチャート。
【図6】同実施形態に関する接続鍵による認証手順を説明するためのフローチャート。
【図7】同実施形態に関するストリーム中継処理の手順を説明するためのフローチャート。
【図8】同実施形態に関する鍵データの消去処理の手順を説明するためのフローチャート。
【図9】同実施形態を適用したビジネスモデルを説明するためのブロック図。
【符号の説明】
10…ノード
10A…配信源ノード
10B…下流ノード(中継ノード)
10C…下流ノード
11…パーソナルコンピュータ(PC)
12…ルータ
13…ディジタルビデオカメラ(DVC)
20…サーバ
100…インターネット
200…秘密鍵データベース(DB)[0001]
BACKGROUND OF THE INVENTION
The present invention generally relates to an authentication method in a computer network, and more particularly to a method for distributing an authentication function among a plurality of nodes.
[0002]
[Prior art]
In recent years, in the environment of an information communication network represented by the Internet or a computer network, it has become possible to easily transmit content information mainly of moving images (video) and audio by promoting broadbandization. Broadband network environments include, for example, network environments based on wireless communication systems (mobile communication systems) such as mobile phones, in addition to wired communication systems using ADSL (asymmetric digital subscriber line) transmission systems and CATV (cable television) networks. Is also included.
[0003]
By the way, as a user terminal connected to the Internet, a personal computer, a digital information device, a mobile phone (including PHS), or a portable information terminal (PDA: personal digital assistant) having a wireless communication function is included. Under a broadband network environment, these user terminals can receive, for example, stream data, and reproduce moving image or audio content information without causing the user to feel uncomfortable.
[0004]
Conventionally, text information and still images are mainly used for information services via the Internet and information exchange between individuals, and communication of stream data such as moving images and voices has been limited. Therefore, with the spread of broadband network environments in the future, distribution of stream data will be easier not only in business fields such as the stream distribution service business but also in private fields where personal information is exchanged between users. .
[0005]
[Problems to be solved by the invention]
In general, in a computer network environment, for example, in a business field such as a stream distribution service business that distributes stream data such as video and audio, and in a private field where personal information is exchanged, a valid data transmission / reception destination An authentication function is essential to identify this.
[0006]
Conventionally, various methods for realizing an authentication function in a computer network have been developed or proposed. Conventional authentication methods generally function under the management of a server operated by, for example, a provider or a service provider. For example, on the Internet, an information service for mediating file exchange between user terminals is realized by a mediation server. In this case, the authentication process of each user terminal is executed by the mediation server.
[0007]
On the other hand, in recent years, for example, an overload on a server has become a problem in a stream distribution service business that distributes stream data such as video and audio. As a solution to this problem, attention has been paid to a technique for distributing server functions. Specifically, for example, a distributed distribution method of stream data including a main server and a relay server has been proposed. However, the authentication function is generally a centralized system using a specific server. That is, under a computer network environment, a data distribution and delivery method including an effective authentication function has not been realized at present.
[0008]
SUMMARY OF THE INVENTION An object of the present invention is to provide an authentication method capable of realizing a distributed data distribution method including an effective authentication function in a computer network environment such as the Internet.
[0009]
[Means for Solving the Problems]
An aspect of the present invention relates to an effective authentication method that can be applied to a distributed data distribution method that can distribute, for example, stream data between a plurality of user terminals without using a specific server, for example, in a computer network environment of the Internet. .
[0010]
An authentication method according to an aspect of the present invention realizes an authentication function between a plurality of nodes connected on a computer network, and uses a public key cryptosystem that uses encryption key data and decryption key data as a pair. A method,
Each node is configured to operate as either an upstream node that transmits data, a downstream node that receives data, or a downstream node that also functions as an upstream node,
Providing the decryption key data to the upstream node and encrypting the authentication information including the node identification information for identifying the legitimate downstream node using the encryption key data. Having key data providing means for providing to the node;
The downstream node transmits the connection authentication key data acquired from the key data providing means in a predetermined procedure to the upstream node that is the connection request target, and the upstream node uses the decryption key data acquired from the key data providing means. A step of decrypting the connection authentication key data received from the downstream node and executing authentication processing for the downstream node using the authentication information included in the decrypted connection authentication key data; and a relay node Uses the decryption key data obtained from the other upstream node as the downstream node, decrypts the connection authentication key data from the other downstream node, and performs authentication for the authentication included in the decrypted connection authentication key data. And executing an authentication process for the other downstream node using the information.
[0011]
With an authentication method having such a configuration, an authentication function relating to connection between a plurality of nodes using a public key cryptosystem can be distributed to each node. Therefore, for example, when the distributed distribution of stream data is realized between the nodes, the authentication function applied to the distributed data distribution can also be distributed. Specifically, when stream data is distributed and distributed to the relay node and downstream node using the upstream node, which is a user terminal, as the distribution source, the decryption key data is distributed from the upstream node via the relay node. Can be delivered. Further, the relay node can execute the authentication process for the downstream node requesting the connection, using the decryption key data acquired from the relative upstream node (the most upstream node or the relay node). Therefore, it is possible to realize a distributed data distribution method that can distribute the authentication function instead of a method in which a specific server performs authentication processing in a concentrated manner.
[0012]
Note that the key data providing means normally corresponds to, for example, a key distribution server operated by a service provider. The service provider distributes the decryption key data and the connection authentication key data based on a contract with the user who operates the upstream node serving as the distribution source. Here, the key data providing means may be a storage medium (for example, a CD-ROM) handled by a specific service provider instead of the server. Specifically, a mechanism in which a user who operates each node provides a storage medium storing decryption key data or connection authentication key data from a specific service provider may be used.
[0013]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
[0014]
(Basic system configuration)
FIG. 2 is a diagram showing the concept of the stream distributed delivery system according to this embodiment.
[0015]
This system is configured to distribute, for example, stream data by a plurality of
[0016]
The
[0017]
In this system, for example, the upstream node 10 (A) serving as a distribution source sends stream data to the node 10 (B) serving as a relatively downstream node. The node 10 (B) operates as an upstream node relative to the other
[0018]
In short, in this system, each
[0019]
FIG. 3 is a block diagram showing an example of a specific configuration of the present system.
[0020]
As a specific assumption of this system, a
[0021]
Each
[0022]
A
[0023]
(Node configuration)
With respect to each
[0024]
The
[0025]
This software configuration mainly includes a function unit that realizes a function of configuring a network connection form (topology) that is a logical connection relationship between the
[0026]
In the embodiment, the
[0027]
(Authentication method)
Hereinafter, an authentication method according to the embodiment will be described with reference to FIGS. 1 and 4 to 8.
[0028]
In the embodiment, as shown in FIG. 1, an
[0029]
The
[0030]
As described above, the
[0031]
(Public key issuance procedure)
The authentication method of the embodiment implements an authentication function that uses key data of a public key cryptosystem. The key data issuing procedure of the
[0032]
First, before distributing
[0033]
On the other hand, when the
[0034]
The
[0035]
When receiving the response message from the
[0036]
As described above, the
[0037]
Here, as will be described later, the connection authentication key data (T) is key data encrypted with the secret key data (Ks). On the other hand, the public key data (Kp) is key data for decrypting the connection authentication key data (T). Therefore, the secret key data (Ks) corresponds to the encryption key data. Public key data (Kp) corresponds to decryption key data.
[0038]
(Connection key issuance procedure)
The
[0039]
On the other hand, as shown in FIG. 5B, when the
[0040]
Here, the service provider operating the
[0041]
Next, the
[0042]
When the
[0043]
As described above, the
[0044]
(Authentication procedure using connection key)
As shown in FIG. 6A, the
[0045]
On the other hand, when the
[0046]
Next, the
[0047]
When the
[0048]
On the other hand, in the case of authentication failure, the
[0049]
As described above, the
[0050]
(Relay processing procedure)
In the embodiment, each node 10 (including 10A and 10B) connected to the network has a function of relaying data (stream data) received from other upstream nodes to other downstream nodes. Therefore, as shown in FIG. 1, the downstream node (relay node) 10B provided with the data distribution service from the
[0051]
The
[0052]
When the
[0053]
The
[0054]
Here, if the
[0055]
Through such stream relay processing, the
[0056]
(Key data deletion procedure)
In the embodiment, the
[0057]
As shown in FIG. 8A, here, the
[0058]
On the other hand, as shown in FIG. 5B, when the
[0059]
If the authentication is successful, the
[0060]
When receiving the deletion completion message from the
[0061]
As described above, when the
[0062]
(Security effects)
In the authentication method of the embodiment, the content ID (G) and the node identification information (H) are plain text data and can be easily obtained by a third party. However, the connection authentication key data (T) is encrypted with the secret key data (encryption key data) (Ks) stored by the
[0063]
Further, since the public key data (Kp) and the connection authentication key data (T) are held in the user terminal, there is a possibility that they will be leaked to a third party. However, in the public key cryptosystem, it is generally difficult to calculate the secret key data (Ks) from the combination of the public key data (Kp) and the connection authentication key data (T). In this case, by limiting the distribution period (or time) of the valid connection authentication key data (T), it is possible to prevent an unauthorized user from forging the connection authentication key data (T). it can.
[0064]
Further, the valid connection authentication key data (T) is valid only in a valid combination of the content ID (G) and the node identification information (H). Therefore, a downstream node different from the legitimate downstream node is not authenticated and cannot receive data distribution. Even a legitimate downstream node cannot receive distribution of content information other than the corresponding content information.
[0065]
(Business model to which this embodiment is applied)
Hereinafter, a specific example of a business model to which the present embodiment is applied will be described with reference to FIG.
[0066]
The business model assumes a service business that distributes digital contents to a large number of users over a broadband (broadband, always-on type) Internet.
[0067]
Specifically, an operator that operates an electronic ticket distribution service (hereinafter, TSP: Ticket Service Provider) and an operator that distributes content based on the electronic ticket (hereinafter, CSP: Contents Service Provider) Assume a content distribution service. A user (in short, a general consumer) can receive distribution of desired content from the CSP by purchasing an electronic ticket from the TSP.
[0068]
Here, the electronic ticket corresponds to the connection authentication key data (T) in the present embodiment. In the model, an authentication master key (hereinafter referred to as master key data) for authenticating the electronic ticket is used. This master key data corresponds to the decryption key data (public key data) in this embodiment.
[0069]
FIG. 9 shows a mechanism for realizing the content distribution service. Here, it is assumed that a server (hereinafter referred to as DTS: Digital Ticket Server) 90 for distributing electronic tickets and a plurality of
[0070]
The
[0071]
(Procedure for electronic ticket issuance preparation)
As a procedure for issuance preparation, the CSP (distribution source node 91) requests the
[0072]
Here, the TSP (DTS 90) charges a fee to the CSP (distribution source node 91) with the registration in the
[0073]
When the preparation as described above is completed, the CSP (distribution source node 91) transmits the content to the general user via the WWW homepage (Web page), e-mail, or a paper medium such as a magazine on the Internet. The advertisement for the distribution service will be performed. At this time, normally, a CID for specifying the content is posted.
[0074]
(Procedure for issuing electronic tickets)
Next, an electronic ticket issuing procedure associated with the content distribution service will be described.
[0075]
Here, in each of the
[0076]
Each user (
[0077]
When receiving the electronic ticket issuing request, the electronic ticket issuing
[0078]
With such an electronic ticket issuing method, it is difficult for the user to illegally generate (forge) the electronic ticket (T). That is, the encryption key data (secret key data Ks) necessary for generating the electronic ticket (T) exists only inside the
[0079]
The electronic ticket (T) is encrypted data including a UID that is user-specific information. Therefore, the tickets are corresponding to the same content (CID), but are composed of different data (bit strings) for each user (ie, node). For this reason, even if another user illegally steals an electronic ticket and uses another personal computer (node) to request the content, it detects the stolen electronic ticket during the connection authentication process. Is possible.
[0080]
Regarding issuance of electronic tickets, the TSP (distribution source node 91) charges the user for the issuance of electronic tickets (that is, distribution of content). Specifically, an online payment process is performed in which the amount obtained by subtracting the fee associated with the issuance is credited to the bank account of the CSP in cooperation with the billing /
[0081]
(Content delivery procedure)
As described above, the CSP (distribution source node 91) acquires the master key data (Kp), and each user (
[0082]
Here, for the sake of convenience, the
[0083]
The CSP (distribution source node 91) decrypts the received electronic ticket (T) with the master key data (Kp), and extracts the CID and UID, which are authentication information. Then, the
[0084]
By such authentication processing, the content (C) corresponding to the electronic ticket (T) is transmitted to a legitimate user node (relay node 92) (
[0085]
In short, the
[0086]
Further, the
[0087]
As described above, it is possible to realize a mechanism of a content distribution service that distributes content based on the issue of an electronic ticket. This mechanism not only distributes content from the
[0088]
Therefore, as a result, a content distribution tree having the
[0089]
【The invention's effect】
As described above in detail, according to the present invention, in a computer network environment such as the Internet, an authentication function related to connection between a plurality of nodes using a public key cryptosystem without a load being concentrated on a specific server is provided. Can be distributed to nodes. Therefore, it is possible to realize a business model that applies a data distribution and delivery method including an effective authentication function.
[Brief description of the drawings]
FIG. 1 is a conceptual diagram for explaining an authentication method according to an embodiment of the present invention.
FIG. 2 is an exemplary view showing a concept of a stream distributed delivery system according to the embodiment.
FIG. 3 is a block diagram showing an example of a specific configuration of a system according to the embodiment.
FIG. 4 is a flowchart for explaining a public key issuance procedure according to the embodiment;
FIG. 5 is a flowchart for explaining a connection key issuance procedure according to the embodiment;
FIG. 6 is a flowchart for explaining an authentication procedure using a connection key according to the embodiment;
FIG. 7 is a flowchart for explaining the procedure of stream relay processing according to the embodiment;
FIG. 8 is an exemplary flowchart for explaining a procedure of key data erasure processing according to the embodiment;
FIG. 9 is a block diagram for explaining a business model to which the embodiment is applied.
[Explanation of symbols]
10 ... node
10A ... Distribution source node
10B: Downstream node (relay node)
10C ... downstream node
11 ... Personal computer (PC)
12 ... Router
13. Digital video camera (DVC)
20 ... Server
100 ... Internet
200 ... Secret key database (DB)
Claims (15)
前記各ノードは、データを送信する上流ノード、データを受信する下流ノード、または下流ノードであって、かつ上流ノードとしても機能する中継ノードのいずれかとして動作するように構成されて、
前記復号化鍵データを前記上流ノードに対して提供し、前記暗号化鍵データを使用して正当な下流ノードを識別するノード識別情報を含む認証用情報を暗号化した接続認証用鍵データを前記下流ノードまたは前記中継ノードに対して提供するための鍵データ提供手段を有し、
下流ノードは、前記鍵データ提供手段から所定の手順で取得した前記接続認証用鍵データを接続要求対象の上流ノードに送信するステップと、
上流ノードは、前記鍵データ提供手段から取得した前記復号化鍵データを使用して下流ノードから受信した前記接続認証用鍵データを復号化し、当該復号化された接続認証用鍵データに含まれる認証用情報を使用して当該下流ノードに対する認証処理を実行するステップと、
中継ノードは、下流ノードとして他の上流ノードから取得した前記復号化鍵データを使用して他の下流ノードから取得した前記接続認証用鍵データを復号化し、当該復号化された接続認証用鍵データに含まれる認証用情報を使用して当該他の下流ノードに対する認証処理を実行するステップと
を具備したことを特徴とする認証方法。An authentication method that implements an authentication function between a plurality of nodes connected on a computer network and uses a public key cryptosystem that uses encryption key data and decryption key data as a set,
Each of the nodes is configured to operate as either an upstream node that transmits data, a downstream node that receives data, or a downstream node that also functions as an upstream node,
Providing the decryption key data to the upstream node, and using the encryption key data to encrypt connection authentication key data including authentication information including node identification information for identifying a legitimate downstream node; Key data providing means for providing to the downstream node or the relay node;
A downstream node, transmitting the connection authentication key data acquired from the key data providing means in a predetermined procedure to a connection request target upstream node;
The upstream node decrypts the connection authentication key data received from the downstream node using the decryption key data acquired from the key data providing means, and the authentication included in the decrypted connection authentication key data Performing authentication processing for the downstream node using the business information;
The relay node decrypts the connection authentication key data acquired from another downstream node using the decryption key data acquired from another upstream node as a downstream node, and the decrypted connection authentication key data And performing an authentication process for the other downstream node using the authentication information included in the authentication method.
前記コンピュータネットワークに接続された特定ノードまたは鍵配付用サーバから構成されて、
前記復号化鍵データを前記公開鍵データとして、また前記暗号化鍵データを秘密鍵データとして保管し、
前記上流ノードからの要求に応じて前記復号化鍵データを送信し、
前記下流ノードからの要求に応じて、前記暗号化鍵データにより当該下流ノードのノード識別情報を含む認証用情報を暗号化した前記接続認証用鍵データを生成し提供するように構成されていることを特徴とする請求項1に記載の認証方法。The key data providing means includes
Consists of a specific node or key distribution server connected to the computer network,
Storing the decryption key data as the public key data and the encryption key data as secret key data;
Sending the decryption key data in response to a request from the upstream node;
In response to a request from the downstream node, the connection authentication key data in which the authentication information including the node identification information of the downstream node is encrypted by the encryption key data is generated and provided. The authentication method according to claim 1, wherein:
前記中継ノードは、前記特定の上流ノードから前記復号化鍵データを受信し、さらに相対的に下流ノードとなる他の中継ノードに当該復号化鍵データを送信するように構成されていることを特徴とする請求項1または請求項2のいずれか1項に記載の認証方法。Only a specific upstream node is provided with the decryption key data from the key data providing means,
The relay node is configured to receive the decryption key data from the specific upstream node and further transmit the decryption key data to another relay node that is a relatively downstream node. The authentication method according to any one of claims 1 and 2.
下流ノードからの接続要求に応じて、当該下流ノードから送信された平文の認証用情報と前記接続認証用鍵データとを受信し、
前記鍵データ提供手段あるいは前記上流ノードから予め取得した前記復号化鍵データを使用して前記接続認証用鍵データから復号化した認証用情報と、前記平文の認証用情報との照合結果が一致しているときに、当該下流ノードが正当な下流ノードであると認定することを特徴とする請求項1から請求項4のいずれか1項に記載の認証方法。The upstream node or the relay node is
In response to a connection request from a downstream node, the plaintext authentication information and the connection authentication key data transmitted from the downstream node are received,
The verification result of the authentication information decrypted from the connection authentication key data using the decryption key data acquired in advance from the key data providing means or the upstream node matches the plaintext authentication information. The authentication method according to any one of claims 1 to 4, wherein the downstream node is recognized as a valid downstream node.
前記各ノードは、前記プログラムを実行するコンピュータを有し、データを送信する上流ノード、データを受信する下流ノード、または下流ノードであって、更に上流ノードとしても機能する中継ノードのいずれかとして動作するように構成されて、
所定の手順により前記復号化鍵データを前記上流ノードに対して提供し、前記暗号化鍵データを使用して正当な下流ノードを識別するノード識別情報を含む認証用情報を暗号化した接続認証用鍵データを前記下流ノードまたは前記中継ノードに対して提供するための鍵データ提供手段とのデータ送受信機能と、
下流ノードとしては、前記鍵データ提供手段から所定の手順で取得した前記接続認証用鍵データを接続要求対象の上流ノードに送信する機能と、
上流ノードとしては、前記鍵データ提供手段から取得した前記復号化鍵データを使用して下流ノードから受信した前記接続認証用鍵データを復号化し、当該復号化された接続認証用鍵データに含まれる認証用情報を使用して当該下流ノードに対する認証処理を実行する機能と、
中継ノードとしては、下流ノードとして他の上流ノードから取得した前記復号化鍵データを使用して他の下流ノードからの前記接続認証用鍵データを復号化し、当該復号化された接続認証用鍵データに含まれる認証用情報を使用して当該他の下流ノードに対する認証処理を実行する機能と
を前記コンピュータに実現させるためのプログラム。A program for realizing an authentication function between a plurality of nodes connected on a computer network and using a public key cryptosystem that uses encryption key data and decryption key data as a pair. And
Each node has a computer that executes the program, and operates as either an upstream node that transmits data, a downstream node that receives data, or a relay node that also functions as an upstream node. Is configured to
Connection authentication for providing the decryption key data to the upstream node according to a predetermined procedure and encrypting authentication information including node identification information for identifying a legitimate downstream node using the encryption key data A data transmission / reception function with key data providing means for providing key data to the downstream node or the relay node;
As a downstream node, a function of transmitting the connection authentication key data acquired from the key data providing means in a predetermined procedure to a connection request target upstream node;
The upstream node decrypts the connection authentication key data received from the downstream node using the decryption key data acquired from the key data providing means, and is included in the decrypted connection authentication key data A function of executing authentication processing for the downstream node using authentication information;
The relay node decrypts the connection authentication key data from another downstream node using the decryption key data acquired from another upstream node as a downstream node, and the decrypted connection authentication key data. A program for causing the computer to realize a function of executing authentication processing for the other downstream node using the authentication information included in the computer.
下流ノードからの接続要求に応じて、当該下流ノードから送信された平文の認証用情報と前記接続認証用鍵データとを受信する機能と、
前記鍵データ提供手段あるいは前記上流ノードから予め取得した前記復号化鍵データを使用して前記接続認証用鍵データから復号化した認証用情報と、前記平文の認証用情報との照合結果が一致しているときに、当該下流ノードが正当な下流ノードであると認定する機能とを前記コンピュータに実現させることを特徴とする請求項6に記載のプログラム。As the upstream node or the relay node,
A function of receiving plaintext authentication information and the connection authentication key data transmitted from the downstream node in response to a connection request from the downstream node;
The verification result of the authentication information decrypted from the connection authentication key data using the decryption key data acquired in advance from the key data providing means or the upstream node matches the plaintext authentication information. 7. The program according to claim 6, wherein the computer realizes a function of determining that the downstream node is a valid downstream node.
前記各ノードは、データの配信源となる上流ノード、データを受信する下流ノード、または相対的に下流ノードまたは上流ノードとして機能する中継ノードのいずれかとして動作するように構成されて、
暗号化鍵データと復号化鍵データとを組として使用する公開鍵暗号方式において、所定の手順により前記復号化鍵データを前記上流ノードに対して提供し、前記暗号化鍵データを使用して、正当な下流ノードを識別するノード識別情報及び配信対象のデータを識別するデータ識別情報を含む認証用情報を暗号化した接続認証用鍵データを前記下流ノードまたは前記中継ノードに対して提供するための鍵データ提供手段を有し、
前記上流ノードは、
前記下流ノード又は前記中継ノードからのデータ配信要求に応じて、前記鍵データ提供手段から取得した前記復号化鍵データを使用して、前記下流ノード又は前記中継ノードから受信した前記接続認証用鍵データを復号化するステップと、
前記復号化ステップにより復号化された前記認証用情報と、前記下流ノード又は前記中継ノードから受信した平文の前記認証用情報との照合を実行するステップと、
前記照合ステップにより照合結果が一致したときに、配信要求を行なった下流ノード又は中継ノードを正当なノードであると認定し、前記認証用情報に含まれる前記データ識別情報に対応するデータを当該正当なノードに配信するステップと
を有する処理を実行するように構成されているデータ配信方法。A data distribution method for realizing a data distribution and distribution function involving authentication processing between a plurality of nodes connected on a computer network,
Each of the nodes is configured to operate as either an upstream node serving as a data distribution source, a downstream node that receives data, or a relay node that functions as a relatively downstream node or upstream node,
In a public key cryptosystem using encryption key data and decryption key data as a set, the decryption key data is provided to the upstream node according to a predetermined procedure, and the encryption key data is used. For providing connection authentication key data obtained by encrypting authentication information including node identification information for identifying a legitimate downstream node and data identification information for identifying data to be distributed to the downstream node or the relay node Having key data providing means;
The upstream node is
In response to a data distribution request from the downstream node or the relay node, the connection authentication key data received from the downstream node or the relay node using the decryption key data acquired from the key data providing means. Decrypting
Performing verification of the authentication information decrypted in the decryption step with the plaintext authentication information received from the downstream node or the relay node;
When the collation results match in the collation step, the downstream node or relay node that has made the distribution request is recognized as a valid node, and the data corresponding to the data identification information included in the authentication information is A data distribution method configured to execute a process including a step of distributing to a secure node.
前記中継ノードは、
前記下流ノード又は相対的に下流ノードである他の中継ノードからのデータ配信要求に応じて、前記上流ノードから取得した前記復号化鍵データを使用して、前記下流ノード又は前記他の中継ノードから受信した前記接続認証用鍵データを復号化するステップと、
前記復号化ステップにより復号化された前記認証用情報と、前記下流ノード又は前記他の中継ノードから受信した平文の前記認証用情報との照合を実行するステップと、
前記照合ステップにより照合結果が一致したときに、配信要求を行なった下流ノード又は他の中継ノードを正当なノードであると認定し、前記認証用情報に含まれる前記データ識別情報に対応するデータで、前記上流ノードから配信されたデータを当該正当なノードに配信するステップと
を有する処理を実行するように構成されている請求項8に記載のデータ配信方法。The upstream node performs a step of distributing decryption key data on demand to a relay node that is authorized by the collation step,
The relay node is
In response to a data distribution request from the downstream node or another relay node that is a relatively downstream node, the decryption key data acquired from the upstream node is used to transmit the data from the downstream node or the other relay node. Decrypting the received connection authentication key data;
Performing verification of the authentication information decrypted by the decryption step with the plaintext authentication information received from the downstream node or the other relay node;
When the collation result is matched by the collation step, the downstream node or other relay node that has made the distribution request is recognized as a valid node, and the data corresponding to the data identification information included in the authentication information The data distribution method according to claim 8, wherein the data distribution method is configured to execute a process including a step of distributing data distributed from the upstream node to the legitimate node.
前記各ノードは、前記プログラムを実行するコンピュータを有し、データの配信源となる上流ノード、データを受信する下流ノード、または相対的に下流ノードまたは上流ノードとして機能する中継ノードのいずれかとして動作するように構成されて、
暗号化鍵データと復号化鍵データとを組として使用する公開鍵暗号方式において、所定の手順により前記復号化鍵データを前記上流ノードに対して提供し、前記暗号化鍵データを使用して、正当な下流ノードを識別するノード識別情報及び配信対象のデータを識別するデータ識別情報を含む認証用情報を暗号化した接続認証用鍵データを前記下流ノードまたは前記中継ノードに対して提供するための鍵データ提供手段とのデータ送受信機能と、
前記上流ノードとしては、
前記下流ノード又は前記中継ノードからのデータ配信要求に応じて、前記鍵データ提供手段から取得した前記復号化鍵データを使用して、前記下流ノード又は前記中継ノードから受信した前記接続認証用鍵データを復号化する機能と、
前記復号化機能により復号化された前記認証用情報と、前記下流ノード又は前記中継ノードから受信した平文の前記認証用情報との照合を実行する機能と、
前記照合機能により照合結果が一致したときに、配信要求を行なった下流ノード又は中継ノードを正当なノードであると認定し、前記認証用情報に含まれる前記データ識別情報に対応するデータを当該正当なノードに配信する機能と
を前記コンピュータに実現させるためのプログラム。A program for realizing a data distribution and distribution function involving authentication processing between a plurality of nodes connected on a computer network,
Each node has a computer that executes the program, and operates as either an upstream node that serves as a data distribution source, a downstream node that receives data, or a relay node that functions as a relatively downstream node or upstream node. Is configured to
In a public key cryptosystem using encryption key data and decryption key data as a set, the decryption key data is provided to the upstream node according to a predetermined procedure, and the encryption key data is used. For providing connection authentication key data obtained by encrypting authentication information including node identification information for identifying a legitimate downstream node and data identification information for identifying data to be distributed to the downstream node or the relay node A data transmission / reception function with the key data providing means;
As the upstream node,
In response to a data distribution request from the downstream node or the relay node, the connection authentication key data received from the downstream node or the relay node using the decryption key data acquired from the key data providing means. A function of decrypting
A function of performing verification between the authentication information decrypted by the decryption function and the plaintext authentication information received from the downstream node or the relay node;
When the collation result is matched by the collation function, the downstream node or relay node that has made the distribution request is recognized as a valid node, and the data corresponding to the data identification information included in the authentication information is authorized. A program for causing the computer to realize a function of distributing to a secure node.
前記中継ノードとしては、
前記下流ノード又は相対的に下流ノードである他の中継ノードからのデータ配信要求に応じて、前記上流ノードから取得した前記復号化鍵データを使用して、前記下流ノード又は前記他の中継ノードから受信した前記接続認証用鍵データを復号化する機能と、
前記復号化機能により復号化された前記認証用情報と、前記下流ノード又は前記他の中継ノードから受信した平文の前記認証用情報との照合を実行する機能と、
前記照合機能により照合結果が一致したときに、配信要求を行なった下流ノード又は他の中継ノードを正当なノードであると認定し、前記認証用情報に含まれる前記データ識別情報に対応するデータで、前記上流ノードから配信されたデータを当該正当なノードに配信する機能と
を前記コンピュータに実現させることを特徴とする請求項10に記載のプログラム。As the upstream node, for the relay node certified as valid by the collation function, the computer realizes a function of distributing decryption key data in response to a request,
As the relay node,
In response to a data distribution request from the downstream node or another relay node that is a relatively downstream node, the decryption key data acquired from the upstream node is used to transmit the data from the downstream node or the other relay node. A function of decrypting the received connection authentication key data;
A function of performing verification between the authentication information decrypted by the decryption function and the plaintext authentication information received from the downstream node or the other relay node;
When the collation result is matched by the collation function, the downstream node or other relay node that made the distribution request is recognized as a valid node, and the data corresponding to the data identification information included in the authentication information The program according to claim 10, causing the computer to realize a function of distributing data distributed from the upstream node to the legitimate node.
前記各ノードは、コンテンツ配信サービスを行なう配信源ノード、当該コンテンツ配信サービスを受けるユーザノード、またはコンテンツ配信の中継ノードとして機能する中継ノードのいずれかとして動作するように構成されて、
暗号化鍵データと復号化鍵データとを組として使用する公開鍵暗号方式において、所定の手順により前記復号化鍵データに対応する認証用マスタ鍵データを前記配信源ノードに対して提供し、
かつ前記ユーザノード又は前記中継ノードからの要求に応じて、所定の手順により、前記暗号化鍵データを使用して正当なノードを識別するノード識別情報及び配信対象のコンテンツを識別するコンテンツ識別情報を含む認証用情報を暗号化した電子チケットを前記ユーザノードまたは前記中継ノードに対して提供するための電子チケット提供手段を有し、
前記配信源ノードは、
前記ユーザノード又は前記中継ノードからのコンテンツ配信要求に応じて、前記電子チケット提供手段から取得した前記認証用マスタ鍵データを使用して、前記ユーザノード又は前記中継ノードから受信した前記電子チケットを復号化するステップと、
前記復号化ステップにより復号化された前記認証用情報と、前記ユーザノード又は前記中継ノードから受信した平文の前記認証用情報との照合を実行するステップと、
前記照合ステップにより照合結果が一致したときに、配信要求を行なったユーザノード又は中継ノードを正当なノードであると認定し、前記認証用情報に含まれる前記コンテンツ識別情報に対応するコンテンツを当該正当なノードに配信するステップと
を有する処理を実行するように構成されているコンテンツ配信方法。A content distribution method for realizing a distributed content distribution function involving authentication processing between a plurality of nodes connected on a computer network,
Each of the nodes is configured to operate as either a distribution source node that performs a content distribution service, a user node that receives the content distribution service, or a relay node that functions as a relay node for content distribution .
In the public key cryptosystem that uses the encryption key data and the decryption key data as a set, the authentication source key data corresponding to the decryption key data is provided to the distribution source node by a predetermined procedure,
And in response to a request from the user node or the relay node, node identification information for identifying a legitimate node and content identification information for identifying content to be distributed using the encryption key data according to a predetermined procedure. Electronic ticket providing means for providing the user node or the relay node with an electronic ticket obtained by encrypting the authentication information including:
The distribution source node is:
In response to a content distribution request from the user node or the relay node, the authentication master key data acquired from the electronic ticket providing means is used to decrypt the electronic ticket received from the user node or the relay node. The steps to
Performing verification of the authentication information decrypted by the decryption step with the plaintext authentication information received from the user node or the relay node;
When the collation results match in the collation step, the user node or relay node that has made the distribution request is recognized as a valid node, and the content corresponding to the content identification information included in the authentication information is identified as valid. A content distribution method configured to execute a process including a step of distributing to a secure node.
前記中継ノードとしては、
前記ユーザノードからのコンテンツ配信要求に応じて、前記配信源ノードから取得した前記認証用マスタ鍵データを使用して、前記ユーザノードから受信した前記電子チケットを復号化するステップと、
前記復号化ステップにより復号化された前記認証用情報と、前記ユーザノードから受信した平文の前記認証用情報との照合を実行するステップと、
前記照合ステップにより照合結果が一致したときに、配信要求を行なったユーザノードを正当なノードであると認定し、前記認証用情報に含まれる前記コンテンツ識別情報に対応するコンテンツで、前記配信源ノードから配信されたコンテンツを当該正当なノードに配信するステップと
を有する処理を実行するように構成されている請求項12に記載のコンテンツ配信方法。The distribution source node has a function of distributing the authentication master key data upon request to a relay node that has been certified by the collation step,
As the relay node,
Decrypting the electronic ticket received from the user node using the authentication master key data acquired from the distribution source node in response to a content distribution request from the user node;
Performing verification of the authentication information decrypted by the decryption step and the plaintext authentication information received from the user node;
When the collation result is matched by the collation step, the user node that made the distribution request is recognized as a valid node, and the distribution source node is a content corresponding to the content identification information included in the authentication information. The content distribution method according to claim 12, wherein the content distribution method is configured to execute a process including a step of distributing the content distributed from the network to the legitimate node.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002038928A JP3999527B2 (en) | 2002-02-15 | 2002-02-15 | Computer network authentication method and data distribution method |
| US10/184,415 US20030101253A1 (en) | 2001-11-29 | 2002-06-27 | Method and system for distributing data in a network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002038928A JP3999527B2 (en) | 2002-02-15 | 2002-02-15 | Computer network authentication method and data distribution method |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2003244136A JP2003244136A (en) | 2003-08-29 |
| JP2003244136A5 JP2003244136A5 (en) | 2005-08-25 |
| JP3999527B2 true JP3999527B2 (en) | 2007-10-31 |
Family
ID=27780114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002038928A Expired - Fee Related JP3999527B2 (en) | 2001-11-29 | 2002-02-15 | Computer network authentication method and data distribution method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3999527B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4223058B2 (en) * | 2004-11-29 | 2009-02-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Relay device, relay method, and program |
| JP2006174089A (en) * | 2004-12-15 | 2006-06-29 | Sun Corp | Key management device |
| JP2007235471A (en) | 2006-02-28 | 2007-09-13 | Brother Ind Ltd | System and method for distributing contents, terminal device and program therefor |
| CN101340301B (en) * | 2007-07-03 | 2016-04-06 | 华为技术有限公司 | The method and system of media data are obtained in application layer multicasting network |
| CN103456323B (en) * | 2013-08-15 | 2016-12-28 | 广东南方信息安全产业基地有限公司 | A kind of CD burning and the method licensed |
| JP2022135723A (en) * | 2021-03-05 | 2022-09-15 | 株式会社Free-D | mesh network system |
-
2002
- 2002-02-15 JP JP2002038928A patent/JP3999527B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003244136A (en) | 2003-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8151112B2 (en) | Deliver-upon-request secure electronic message system | |
| US6539093B1 (en) | Key ring organizer for an electronic business using public key infrastructure | |
| US7310732B2 (en) | Content distribution system authenticating a user based on an identification certificate identified in a secure container | |
| CN100477833C (en) | Authentication method | |
| US7100044B2 (en) | Public key certificate using system, public key certificate using method, information processing apparatus, and program providing medium | |
| US7644443B2 (en) | Content distribution system, content distribution method, information processing apparatus, and program providing medium | |
| US7103778B2 (en) | Information processing apparatus, information processing method, and program providing medium | |
| US8019881B2 (en) | Secure cookies | |
| US6990684B2 (en) | Person authentication system, person authentication method and program providing medium | |
| US7293098B2 (en) | System and apparatus for storage and transfer of secure data on web | |
| US7096363B2 (en) | Person identification certificate link system, information processing apparatus, information processing method, and program providing medium | |
| JP3999660B2 (en) | Anonymous access to services | |
| US20080059797A1 (en) | Data Communication System, Agent System Server, Computer Program, and Data Communication Method | |
| TW486902B (en) | Method capable of preventing electronic documents from being illegally copied and its system | |
| KR20080098372A (en) | Account linking with privacy keys | |
| JP4548441B2 (en) | Content utilization system and content utilization method | |
| MXPA05000472A (en) | Method of preventing unauthorized distribution and use of electronic keys using a key seed. | |
| JP2004509398A (en) | System for establishing an audit trail for the protection of objects distributed over a network | |
| US20100043064A1 (en) | Method and system for protecting sensitive information and preventing unauthorized use of identity information | |
| JP2002503354A (en) | How to manage access to devices | |
| US20180076954A1 (en) | Secure key management and peer-to-peer transmission system with a controlled, double-tier cryptographic key structure and corresponding method thereof | |
| US20120089495A1 (en) | Secure and mediated access for e-services | |
| JPH118619A (en) | Electronic certificate publication method and system therefor | |
| JP3896909B2 (en) | Access right management device using electronic ticket | |
| KR100286904B1 (en) | System and method for security management on distributed PC |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050210 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050210 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070724 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070809 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100817 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110817 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110817 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120817 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120817 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130817 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |