JP5027636B2 - 送信装置およびそのプログラム、ならびに、受信装置およびapi実行プログラム - Google Patents
送信装置およびそのプログラム、ならびに、受信装置およびapi実行プログラム Download PDFInfo
- Publication number
- JP5027636B2 JP5027636B2 JP2007325037A JP2007325037A JP5027636B2 JP 5027636 B2 JP5027636 B2 JP 5027636B2 JP 2007325037 A JP2007325037 A JP 2007325037A JP 2007325037 A JP2007325037 A JP 2007325037A JP 5027636 B2 JP5027636 B2 JP 5027636B2
- Authority
- JP
- Japan
- Prior art keywords
- api
- data
- broadcaster
- information
- data broadcasting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Description
本発明は、データ放送を送信する送信装置および受信装置に関し、特に、受信装置の不揮発メモリに対する情報の読み書きを行う際のアクセスを制御する送信装置およびそのプログラム、ならびに、受信装置およびAPI実行プログラムに関する。
従来、データ放送を送信する送信装置およびその受信装置において、受信装置の不揮発メモリ(NVRAM:Non-volatile Random Access Memory)に対する情報の読み書きを行う際のアクセス制御は以下のように行われている(例えば、非特許文献1参照)。
放送局の送信装置は、例えば、MPEG−2 TS(Moving Picture Expert Group-2 Transport Stream)として、映像や音声等のコンテンツと共に多重化する情報として、放送事業者情報を示すBIT(Broadcaster Information Table)を伝送すると共に、データ放送の符号化方式を示すBML(Broadcast Markup Language)文章(データ放送用文章)をデータカルーセルで伝送している。BITは、受信装置において放送中のMPEG−2 TSの放送事業者識別を行うために、放送事業者を識別するための「original_network_id」または系列局を識別するための「affiliation_id」を含んでいる。放送局は、BMLを用いて、受信装置内に設けられている不揮発メモリに対して、不揮発メモリにアクセスするためのBMLのコマンド(Application Programming Interface、以下APIという)を使い個人情報などの情報の読み書きを行う。
放送局の送信装置は、例えば、MPEG−2 TS(Moving Picture Expert Group-2 Transport Stream)として、映像や音声等のコンテンツと共に多重化する情報として、放送事業者情報を示すBIT(Broadcaster Information Table)を伝送すると共に、データ放送の符号化方式を示すBML(Broadcast Markup Language)文章(データ放送用文章)をデータカルーセルで伝送している。BITは、受信装置において放送中のMPEG−2 TSの放送事業者識別を行うために、放送事業者を識別するための「original_network_id」または系列局を識別するための「affiliation_id」を含んでいる。放送局は、BMLを用いて、受信装置内に設けられている不揮発メモリに対して、不揮発メモリにアクセスするためのBMLのコマンド(Application Programming Interface、以下APIという)を使い個人情報などの情報の読み書きを行う。
受信装置内の不揮発メモリには、放送事業者毎に領域(事業者領域)が確保されている。BMLの当該コマンドにおいては、不揮発メモリの事業者領域へアクセスするためのアドレス空間として、「original_network_id」または「affiliation_id」を使い、アクセス対象の前記したいずれかのidで特定される事業者領域に対する情報の読み書きを行う。このように不揮発メモリの事業者領域へアクセスするときに、BITに含まれる「original_network_id」または「affiliation_id」と、BMLの当該コマンドに記載されている「original_network_id」または「affiliation_id」とが一致する場合にのみ、情報の読み書きを許可するように制御される。これにより、不揮発メモリ内の事業者領域へのアクセスは、その事業者領域に該当する放送事業者のみに制限されている。
受信装置内の不揮発メモリに対するアクセス制御に用いられるBITやBMLは、放送波で送られる。一般に、放送波に対する海賊行為は難しい。つまり、放送波のデータを改竄する不正をしたり、正当な放送事業者になりすまして自ら作成した放送データを送信電波として受信装置に受信させたりすることは困難である。したがって、不揮発メモリに記憶されたデータは安全に保護されることになる。
また、受信装置内の不揮発メモリに対する不正な書込みや読み出しを防止しつつ、不揮発メモリに記憶されたデータを、異なる放送局間で相互に共有して利用できるようにした受信装置が知られている(特許文献1参照)。特許文献1に記載された受信装置は、現在受信している放送局のチャンネルの情報に基づいて書込み放送局がどの放送局であるかということを確認し、その放送局に成りすまして不正書込みするものを排除する。また、この受信装置は、共有する不揮発メモリ(NVRAM)の記憶領域からデータを読み出す放送局がどの放送局であるかを確認して、許諾先の放送局にだけデータの読み出しを保証する。
特開2002−305485号公報(段落0038,0044、図1)
技術資料「地上デジタルテレビジョン放送運用規定(ARIB TR−B14)」、社団法人電波産業会、第1分冊(2/2)、pp.3-344〜345
しかしながら、従来の技術は、放送波に対する海賊行為が困難であることを前提として受信装置内の不揮発メモリに対するアクセスを制御しているため、想定されていない状況には対応することができない。例えば、近年、微弱電波を発信する簡易で安価な送信装置が登場してきている。放送事業者以外の者が、不正を目的に、このような送信装置を用いた場合には、全国規模の不正はできないが、微弱な電波に対応して限定された狭小な領域において不正なアクセスができる可能性を否めない。仮に、例えば学校や地下街のような狭小な領域を前提として、その送信装置を扱う者が、BITに含まれる「original_network_id」または「affiliation_id」に対して、放送事業者の割当値を与えて送出すれば、あたかも当該放送事業者であるかのように放送データを送出できてしまう。これは、不揮発メモリの当該放送事業者領域に容易に不正アクセスできてしまうことを意味する。
そこで、データ放送の受信に利用される受信装置が、不正なデータ放送を受信したとしてもその不正を無効にする技術が望まれる。例えば微弱電波で送信される不正な放送データを受信した場合に、受信装置内の不揮発メモリの事業者領域への不正アクセスを防止する技術が必要不可欠である。
また、不正アクセスを防止する技術が、新型の受信装置と既存の受信装置との共存を可能とする互換性を実現するものであることが望まれる。
また、不正アクセスを防止する技術が、新型の受信装置と既存の受信装置との共存を可能とする互換性を実現するものであることが望まれる。
本発明は、以上のような問題点に鑑みてなされたものであり、不正なデータ放送を受信したとしてもその不正を無効にする技術を提供することを目的とする。
本発明は、前記目的を達成するために創案されたものであり、まず、請求項1に記載の送信装置は、データ放送用文章に記述されるAPIのうち放送事業者またはその系列局のデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIが記述されたデータ放送用文章を含む1以上のデータ放送用文章と、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む番組配列情報とを、多重化したストリームとして、前記デジタル署名を検証することで前記高レベル認証APIを実行する受信装置へ送信する送信装置であって、データ放送コンテンツオーサリング手段と、デジタル署名生成手段と、リソースファイル生成手段と、データカルーセル化手段と、多重化手段とを備える構成とした。
かかる構成によれば、送信装置は、データ放送コンテンツオーサリング手段によって、前記高レベル認証APIを少なくとも含むAPIを組み合わせて1以上のデータ放送用文章を生成することで、前記受信装置においてデータ放送の画面構成を少なくとも実現させるデータ放送コンテンツを制作する。ここで、データ放送用文章は、例えば、BML(Broadcast Markup Language)文章、スクリプト文章、スクリプト文章を用いるBML文章等である。また、オーサリングとは、データ放送コンテンツを制作するために、データ放送用文章において、必要なAPIを組み合わせてプログラミングや表示画面の設計等を行うことをいう。そして、送信装置は、デジタル署名生成手段によって、前記放送事業者に予め割り当てられた秘密鍵を用いて、前記データ放送用文章と対応付けたデジタル署名の署名値を生成し、リソースファイル生成手段によって、前記生成された署名値と、前記対応付けられたデータ放送用文章に関するリンク情報とを含む署名値用のリソースファイルを生成する。ここで、リソースファイルは実行時に使用されるデータが格納されたファイルを示す。そして、送信装置は、データカルーセル化手段によって、前記生成されたリソースファイルと、前記データ放送用文章とをデータカルーセル化し、多重化手段によって、前記データカルーセル化されたリソースファイルおよびデータ放送用文章を、前記符号化されたコンテンツおよび前記番組配列情報と共に多重化する。したがって、送信装置が送信する多重化されたストリームには、データカルーセル化されたリソースファイルとして、データ放送用文章と対応付けた署名値が含まれている。これにより、受信側においてデータ放送用文章に記述されたAPIを実行するときに、その署名値が読み出され、秘密鍵に対応した公開鍵証明書で検証することが可能となる。その結果、秘密鍵を持たない者が生成したデータ放送による不正を防止することができる。
また、請求項2に記載の送信装置は、請求項1に記載の送信装置において、前記デジタル署名生成手段が、前記データ放送用文章のうち、前記受信装置の不揮発メモリにアクセスするためのアクセス用の前記高レベル認証APIが記述されたデータ放送用文章に対して前記デジタル署名の署名値を生成することとした。
かかる構成によれば、送信装置は、受信装置の不揮発メモリにアクセスする高レベル認証APIが記述されていないデータ放送用文章に対してはデジタル署名を省略することができる。
また、請求項3に記載の送信装置は、請求項1または請求項2に記載の送信装置において、前記データカルーセル化手段が、前記署名値用のリソースファイルを、当該署名値用のリソースファイルと対応付けられたデータ放送用文章と同じモジュールに入れてパケット化することとした。
かかる構成によれば、送信装置は、署名値用のリソースファイルと、当該署名値用のリソースファイルと対応付けたデータ放送用文章とを同じモジュールに入れてデータカルーセルで伝送することができる。したがって、受信側では、データ放送用文章に記述されたAPIを実行するときに同じモジュール内にある署名値を利用して検証を行うことができる。
また、請求項4に記載の送信装置は、請求項3に記載の送信装置において、前記データカルーセル化手段が、前記秘密鍵に対応して前記放送事業者またはその系列局の識別情報を含んだ公開鍵証明書をリソースファイルとして、前記モジュールにさらに入れることとした。
かかる構成によれば、送信装置は、データカルーセルの同じモジュール内に、署名値用のリソースファイルと、秘密鍵に対応する公開鍵証明書用のリソースファイルとを入れることができる。したがって、受信側では、データ放送用文章を実行するときに同じモジュール内で検証することが可能となる。
また、請求項5に記載の送信装置は、データ放送用文章に記述されるAPIのうち放送事業者またはその系列局のデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIが記述されたデータ放送用文章を含む1以上のデータ放送用文章と、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む番組配列情報とを、多重化したストリームとして、前記デジタル署名を検証することで前記高レベル認証APIを実行する受信装置へ送信する送信装置であって、データ放送コンテンツオーサリング手段と、デジタル署名生成手段と、データカルーセル化手段と、多重化手段とを備えることとした。
かかる構成によれば、送信装置は、データ放送コンテンツオーサリング手段によって、前記高レベル認証APIを少なくとも含むAPIを組み合わせて1以上のデータ放送用文章を生成することで、前記受信装置においてデータ放送の画面構成少なくとも実現させるデータ放送コンテンツを制作する。そして、送信装置は、デジタル署名生成手段によって、前記放送事業者に予め割り当てられた秘密鍵を用いて、前記データ放送用文章と対応付けたデジタル署名の署名値を生成する。そして、送信装置は、データカルーセル化手段によって、前記生成された署名値をDII(Download Info Indication)の記述子として、当該署名値と対応付けられたデータ放送用文章をデータカルーセル化する。そして、送信装置は、多重化手段によって、前記データカルーセル化されたデータ放送用文章を、前記符号化されたコンテンツおよび前記番組配列情報と共に多重化する。したがって、送信装置が送信する多重化されたストリームには、データカルーセルのDIIとして、データ放送用文章と対応付けた署名値が含まれている。これにより、受信側において、データカルーセルの受信時にその署名値が読み出され、秘密鍵に対応した公開鍵証明書で検証することが可能となる。その結果、秘密鍵を持たない者が生成したデータ放送による不正を防止することができる。
また、請求項6に記載の送信装置は、請求項1ないし請求項5のいずれか一項に記載の送信装置において、前記データ放送コンテンツオーサリング手段が、前記受信装置の不揮発メモリにアクセスするためのアクセス用のAPIとして、前記番組配列情報で伝送される放送事業者またはその系列局の識別情報に基づく認証によって実行を可能とする低レベル認証APIを記述したデータ放送用文章と、前記受信装置の不揮発メモリにアクセスするためのアクセス用のAPIとして、前記高レベル認証APIを記述したデータ放送用文章とを生成し、前記デジタル署名生成手段が、前記高レベル認証APIを記述した前記データ放送用文章に対してのみ前記署名値を生成することを特徴とすることとした。
かかる構成によれば、送信装置は、低レベル認証APIを記述したデータ放送用文章を生成することで既存の受信装置に対応させてデータ放送を送信することができる。さらに、送信装置は、高レベル認証APIを記述したデータ放送用文章を生成することで、高レベル認証APIに対応した受信装置内の不揮発メモリの事業者領域への不正アクセスを防止することができる。
また、請求項7に記載の送信装置は、請求項6に記載の送信装置において、前記データ放送コンテンツオーサリング手段が、前記低レベル認証APIと、前記高レベル認証APIとに対して異なる関数名を割り当てることとした。
かかる構成によれば、送信装置は、低レベル認証APIの関数名を既存のものとし、かつ、高レベル認証APIに対して新たな関数名を付与してデータ放送を送信することができる。したがって、既存の受信装置は、低レベル認証APIを実行できる。また、高レベル認証APIに対応した受信装置は、低レベル認証APIと高レベル認証APIとの相違を容易に判別できる。
また、請求項8に記載の送信プログラムは、データ放送用文章に記述されるAPIのうち放送事業者またはその系列局のデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIが記述されたデータ放送用文章を含む1以上のデータ放送用文章と、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む番組配列情報とを、多重化したストリームとして、前記デジタル署名を検証することで前記高レベル認証APIを実行する受信装置へ送信するために、コンピュータを、データ放送コンテンツオーサリング手段、デジタル署名生成手段、リソースファイル生成手段、データカルーセル化手段、多重化手段として機能させることとした。
かかる構成によれば、送信プログラムは、データ放送コンテンツオーサリング手段によって、前記高レベル認証APIを少なくとも含むAPIを組み合わせて1以上のデータ放送用文章を生成することで、前記受信装置においてデータ放送の画面構成を少なくとも実現させるデータ放送コンテンツを制作する。そして、送信プログラムは、デジタル署名生成手段によって、前記放送事業者に予め割り当てられた秘密鍵を用いて、前記データ放送用文章と対応付けたデジタル署名の署名値を生成し、リソースファイル生成手段によって、前記生成された署名値と、前記対応付けられたデータ放送用文章に関するリンク情報とを含む署名値用のリソースファイルを生成する。そして、送信プログラムは、データカルーセル化手段によって、前記生成されたリソースファイルと、前記データ放送用文章とをデータカルーセル化し、多重化手段によって、前記データカルーセル化されたリソースファイルおよびデータ放送用文章を、前記符号化されたコンテンツおよび前記番組配列情報と共に多重化する。したがって、多重化されたストリームには、データカルーセル化されたリソースファイルとして、データ放送用文章と対応付けた署名値が含まれるので、受信側においてデータ放送用文章に記述されたAPIを実行するときに、秘密鍵を持たない者が生成したデータ放送による不正を防止できる。
また、請求項9に記載の受信装置は、データ放送のリソースファイルと、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む事業者情報をセクション形式化した番組配列情報とを受信し、前記リソースファイルとして受信するデータ放送用文章に記述されているAPIを実行するAPI実行手段とを備えた受信装置において、前記API実行手段が、API判定手段と、署名検証手段と、比較判定手段と、データ制御手段とを備えることとした。
かかる構成によれば、受信装置において、API実行手段は、API判定手段によって、不揮発メモリへのアクセス用のAPIの関数名に基づいて、前記アクセス用のAPIが、前記放送事業者に予め割り当てられた秘密鍵を用いて生成されたデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIであるか否かを判定する。そして、API実行手段は、署名検証手段によって、前記高レベル認証APIであると判定された場合に、当該APIの実行時に、当該APIが記述された前記データ放送用文章に対応する署名値を、前記受信したリソースファイルから取得し、前記秘密鍵に対応した公開鍵証明書を用いて前記署名値を検証する。ここで、公開鍵証明書は、署名値用のリソースファイルと共に受信してもよいし、予め受信装置に格納しておいてもよい。そして、API実行手段は、比較判定手段によって、前記署名値の検証に成功した場合に、前記公開鍵証明書に記載された放送事業者またはその系列局の識別情報と、当該APIの引数として指定される前記不揮発メモリへアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定する。そして、API実行手段は、データ制御手段によって、前記公開鍵証明書に記載された情報と当該APIの引数として指定される情報とが一致した場合に、前記不揮発メモリにアクセスすることを許可する。したがって、秘密鍵を持たない者が生成したデータ放送による不正を防止することができる。
また、請求項10に記載の受信装置は、請求項9に記載の受信装置において、前記API実行手段が、同じ前記データ放送用文章を開いている間には、前記署名検証手段によって、前記署名値の検証を1度だけ行い、前記比較判定手段によって、前記公開鍵証明書に記載された情報と前記APIの引数として指定される情報とが一致するか否かの判定を1度だけ行うこととした。
かかる構成によれば、受信装置は、API実行手段が、同じデータ放送用文章を開いている間には、2回目以降のAPI発行時には、1回目のAPI発行時の検証および比較結果を代用することができる。したがって、2回目以降のAPI発行時には、検証処理や比較処理の負荷を軽減できる。
また、請求項11に記載の受信装置は、請求項9または請求項10に記載の受信装置において、前記API実行手段が、前記データ制御手段によって前記不揮発メモリにアクセスすることを許可した場合に、前記不揮発メモリに対してデータの入出力を行う際に、当該受信装置内で暗号復号を行う暗号復号手段をさらに備えることを特徴とする。
かかる構成によれば、受信装置は、APIの検証および比較の結果により高レベル認証APIに対してアクセスを許可して不揮発メモリに対してデータの入出力を行う際に、当該受信装置内で暗号復号を行う。したがって、高レベル認証APIと従来のAPIとに対して不揮発メモリを共用するときに、従来のAPIに対して不揮発メモリへのアクセスを許可したとしても暗号化情報に対しての読み書きをブロックすることができる。
また、請求項12に記載の受信装置は、データ放送のリソースファイルと、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む事業者情報をセクション形式化した番組配列情報とを受信し、前記リソースファイルとして受信するデータ放送用文章に記述されているAPIを実行するAPI実行手段とを備えた受信装置において、前記API実行手段が、API判定手段と、署名検証手段と、比較判定手段と、データ制御手段と、暗号復号手段と、第2比較判定手段と、第2データ制御手段と、暗号化情報判定手段とを備えることとした。
かかる構成によれば、受信装置において、API実行手段は、API判定手段によって、不揮発メモリへのアクセス用のAPIの関数名に基づいて、前記アクセス用のAPIが、前記放送事業者に予め割り当てられた秘密鍵を用いて生成されたデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIであるか、または、前記番組配列情報で伝送される放送事業者またはその系列局の識別情報に基づく認証によって実行を可能とする低レベル認証APIであるかを判定する。そして、API実行手段は、署名検証手段によって、前記高レベル認証APIであると判定された場合に、当該APIの実行時に、当該APIが記述された前記データ放送用文章に対応する署名値を、前記受信したリソースファイルから取得し、前記秘密鍵に対応した公開鍵証明書を用いて前記署名値を検証する。そして、API実行手段は、比較判定手段によって、前記署名値の検証に成功した場合に、前記公開鍵証明書に記載された放送事業者またはその系列局の識別情報と、当該APIの引数として指定される前記不揮発メモリへアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定する。そして、API実行手段は、データ制御手段によって、前記公開鍵証明書に記載された情報と当該APIの引数として指定される情報とが一致した場合に、前記不揮発メモリにアクセスすることを許可し、前記データ制御手段によって前記不揮発メモリにアクセスすることを許可した場合に、前記不揮発メモリに対してデータの入出力を行う際に、暗号復号手段によって、当該受信装置内で暗号復号を行う。
そして、受信装置において、API実行手段は、前記低レベル認証APIであると判定された場合に、第2比較判定手段によって、当該APIの実行時に、前記番組配列情報で伝送される放送事業者またはその系列局の識別情報と、当該APIの引数として指定される不揮発メモリへアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定する。そして、API実行手段は、第2データ制御手段によって、前記番組配列情報で伝送される情報と当該APIの引数として指定される情報とが一致した場合に、前記不揮発メモリにアクセスすることを許可する。そして、API実行手段は、暗号化情報判定手段によって、前記第2データ制御手段によって前記不揮発メモリにアクセスすることを許可した場合に、前記不揮発メモリに対してデータの入出力を行う際に、前記不揮発メモリにおいてアクセスされる前記アドレスに書き込まれたデータが暗号化されているか否かを判定し、暗号化されたデータが書き込まれている場合に、データのアクセスを拒否する。したがって、高レベル認証APIと低レベル認証APIで不揮発メモリを共用するときに、低レベル認証APIに対して不揮発メモリへのアクセスを許可したとしても高レベル認証APIによって書き込まれた暗号化情報に対しての上書きおよび読み出しをブロックすることができる。
また、請求項13に記載のAPI実行プログラムは、データ放送のリソースファイルと、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む事業者情報をセクション形式化した番組配列情報とを受信し、前記リソースファイルとして受信するデータ放送用文章に記述されているAPIを実行するために、コンピュータを、API判定手段、署名検証手段、比較判定手段、データ制御手段として機能させることとした。
かかる構成によれば、API実行プログラムは、API判定手段によって、不揮発メモリへのアクセス用のAPIの関数名に基づいて、前記アクセス用のAPIが、前記放送事業者に予め割り当てられた秘密鍵を用いて生成されたデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIであるか否かを判定する。そして、API実行プログラムは、署名検証手段によって、前記高レベル認証APIであると判定された場合に、当該APIの実行時に、当該APIが記述された前記データ放送用文章に対応する署名値を、前記受信したリソースファイルから取得し、前記秘密鍵に対応した公開鍵証明書を用いて前記署名値を検証する。そして、API実行プログラムは、比較判定手段によって、前記署名値の検証に成功した場合に、前記公開鍵証明書に記載された放送事業者またはその系列局の識別情報と、当該APIの引数として指定される前記不揮発メモリへアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定する。そして、API実行プログラムは、データ制御手段によって、前記公開鍵証明書に記載された情報と当該APIの引数として指定される情報とが一致した場合に、前記不揮発メモリにアクセスすることを許可する。
請求項1または請求項8に記載の発明によれば、受信側において、データ放送用文章に記述されたAPI実行時にデジタル署名を検証することが可能となる。その結果、秘密鍵を持たない者が生成した不正なデータ放送を受信したとしてもその検証によりこの不正なデータ放送による不正を無効化することができる。
請求項2に記載の発明によれば、デジタル署名の生成負荷を軽減できる。
請求項3に記載の発明によれば、受信側では、データ放送用文章に記述されたAPIを実行するときに同じモジュール内にある署名値を利用して検証を行うことができる。
請求項4に記載の発明によれば、デジタル署名の検証用の公開鍵証明書をデータ放送の受信者に配布することができる。また、受信側では、データ放送用文章を実行するときに同じモジュール内で検証することが可能となる。
請求項2に記載の発明によれば、デジタル署名の生成負荷を軽減できる。
請求項3に記載の発明によれば、受信側では、データ放送用文章に記述されたAPIを実行するときに同じモジュール内にある署名値を利用して検証を行うことができる。
請求項4に記載の発明によれば、デジタル署名の検証用の公開鍵証明書をデータ放送の受信者に配布することができる。また、受信側では、データ放送用文章を実行するときに同じモジュール内で検証することが可能となる。
請求項5に記載の発明によれば、受信側において、データカルーセルの受信時にデジタル署名を検証することが可能となる。その結果、秘密鍵を持たない者が生成したデータ放送による不正を防止することができる。
請求項6に記載の発明によれば、新型の受信装置と既存の受信装置との共存を可能とする互換性を実現できる。
請求項7に記載の発明によれば、高レベル認証APIに対応した受信装置は、低レベル認証APIと高レベル認証APIとの相違を容易に判別できる。
請求項6に記載の発明によれば、新型の受信装置と既存の受信装置との共存を可能とする互換性を実現できる。
請求項7に記載の発明によれば、高レベル認証APIに対応した受信装置は、低レベル認証APIと高レベル認証APIとの相違を容易に判別できる。
請求項9または請求項13に記載の発明によれば、秘密鍵を持たない者が、受信装置内の不揮発メモリの事業者領域へ不正にアクセスすることを防止することができる。その結果、不正なデータ放送を受信したとしてもその不正を無効にすることができる。
請求項10に記載の発明によれば、2回目以降のAPI発行時には、検証処理や比較処理の負荷を軽減できる。
請求項11に記載の発明によれば、不揮発メモリを従来のAPIと共用する際に、従来のAPIに対して不揮発メモリに格納された暗号化情報への読み書きをブロックできる。
請求項12に記載の発明によれば、新型の受信装置と既存の受信装置との共存を可能とする互換性を実現できる。また、低レベル認証APIと高レベル認証APIとに対して不揮発メモリを共用するときに、低レベル認証APIに対しては、高レベル認証APIで書き込まれた暗号化情報への上書きおよび読み出しをブロックできる。
請求項10に記載の発明によれば、2回目以降のAPI発行時には、検証処理や比較処理の負荷を軽減できる。
請求項11に記載の発明によれば、不揮発メモリを従来のAPIと共用する際に、従来のAPIに対して不揮発メモリに格納された暗号化情報への読み書きをブロックできる。
請求項12に記載の発明によれば、新型の受信装置と既存の受信装置との共存を可能とする互換性を実現できる。また、低レベル認証APIと高レベル認証APIとに対して不揮発メモリを共用するときに、低レベル認証APIに対しては、高レベル認証APIで書き込まれた暗号化情報への上書きおよび読み出しをブロックできる。
以下、本発明の実施形態に係るデータ放送を送信する送信装置およびその受信装置とを実施するための最良の形態(以下「実施形態」という)について図面を参照して詳細に説明する。以下では、送信装置と受信装置とに分けて順次説明を行う。
(第1実施形態)
[送信装置]
まず、図1を参照して、送信装置について説明する。図1は、本発明の実施形態に係る送信装置の構成を示す機能ブロック図である。送信装置10は、放送事業者またはその系列局のデジタル署名による認証を実行のために必要とするAPI(Application Programming Interface)を示す高レベル認証APIが記述されたデータ放送用文章を含む1以上のデータ放送用文章と、符号化されたコンテンツと、放送事業者またはその系列局の識別情報(original_network_idやaffiliation_id)を含む事業者情報(BIT)をセクション形式化した番組配列情報(SI)とを多重化したストリームを送信するものである。
[送信装置]
まず、図1を参照して、送信装置について説明する。図1は、本発明の実施形態に係る送信装置の構成を示す機能ブロック図である。送信装置10は、放送事業者またはその系列局のデジタル署名による認証を実行のために必要とするAPI(Application Programming Interface)を示す高レベル認証APIが記述されたデータ放送用文章を含む1以上のデータ放送用文章と、符号化されたコンテンツと、放送事業者またはその系列局の識別情報(original_network_idやaffiliation_id)を含む事業者情報(BIT)をセクション形式化した番組配列情報(SI)とを多重化したストリームを送信するものである。
この送信装置10は、図1に示すように、映像音声符号化部11と、番組送出情報生成部12と、データ放送コンテンツオーサリング部13と、利用API判定部14と、デジタル署名生成部15と、DSRリソースファイル生成部16と、マルチパート化部17と、データカルーセル化部18と、多重化部19とを備えている。
映像音声符号化部11は、入力される映像音声をデジタル化し、映像音声ストリーム(Video、Audio)を生成する。映像の符号化処理は、例えば、H.264/AVC符号化より行う。また、音声の符号化処理は、例えば、MPEG−2 AAC(Advanced Audio Coding)符号化等により行う。
番組送出情報生成部12は、放送事業者またはその系列局の識別情報を含む事業者情報(BIT)をセクションと呼ばれる形式にして番組送出情報を生成し、番組配列情報(SI:Service Information)として構成する。例えば、放送事業者の識別子を「original_network_id」で示し、系列局の識別子を「affiliation_id」で示し、BITとして構成する。
データ放送コンテンツオーサリング部(データ放送コンテンツオーサリング手段)13は、高レベル認証APIを少なくとも含むAPIを組み合わせて1以上のデータ放送用文章を生成することで、受信装置においてデータ放送の画面構成を少なくとも実現させるデータ放送コンテンツを制作するものである。ここで、データ放送用文章とは、BML文章、スクリプト文章、CSS(Cascading Style Sheets段階スタイルシート)文章等を指す。また、スクリプト文章には、例えば、ECM(ECMa scripts)文章やJS(JavaScript(登録商標))ファイル等が含まれる。本実施形態では、データ放送コンテンツオーサリング部13は、データ放送のサービスを機能させるために必要なAPIを組み合わせて、プログラミングや表示画面の設計等を行うツール(オーサリングツール)として機能する。制作されるデータ放送コンテンツは、受信装置においてデータ放送の表示に係る画面構成のほか、例えば、双方向サービスに対応して受信装置の不揮発メモリへのアクセスに利用される。
本実施形態では、データ放送コンテンツオーサリング部13は、図5に示す受信装置20の不揮発メモリ28にアクセスするためのアクセス用のAPIとして、SIで伝送される放送事業者またはその系列局の識別情報に基づく認証によって実行を可能とする低レベル認証APIを記述したデータ放送用文章と、より高レベルな認証を必要とする高レベル認証APIを記述したデータ放送用文章とをオーサリングする。また、本実施形態では、データ放送コンテンツオーサリング部13は、低レベル認証APIと、高レベル認証APIとに対して異なる関数名を割り当てることとした。
利用API判定部14は、データ放送コンテンツオーサリング部13でオーサリングされたデータ放送用文章が低レベル認証APIと高レベル認証APIとのうちのいずれを記述したものであるのか判定するものである。利用API判定部14は、高レベル認証APIが用いられている文章を抽出し、デジタル署名生成部15に出力する。本実施形態では、利用API判定部14は、図5に示す受信装置20の不揮発メモリ28にアクセスするためのアクセス用の高レベル認証APIが記述された文章を抽出する。
デジタル署名生成部(デジタル署名生成手段)15は、放送事業者に予め割り当てられた秘密鍵を用いて、データ放送コンテンツオーサリング部13で生成されたデータ放送用文章と対応付けたデジタル署名の署名値を生成するものである。
本実施形態では、デジタル署名生成部15は、利用API判定部14で抽出されたデータ放送用文章、すなわち、アクセス用の高レベル認証APIが記述された文章に対応付けて署名値を生成する。デジタル署名生成部15は、例えば、データ放送用文章にハッシュ関数(例えば、SHA−256)を用いて演算したハッシュ値(ダイジェスト値)を、放送事業者ごとに割り当てられた秘密鍵で暗号化した結果を署名値として生成する。
本実施形態では、デジタル署名生成部15は、利用API判定部14で抽出されたデータ放送用文章、すなわち、アクセス用の高レベル認証APIが記述された文章に対応付けて署名値を生成する。デジタル署名生成部15は、例えば、データ放送用文章にハッシュ関数(例えば、SHA−256)を用いて演算したハッシュ値(ダイジェスト値)を、放送事業者ごとに割り当てられた秘密鍵で暗号化した結果を署名値として生成する。
DSRリソースファイル生成部(リソースファイル生成手段)16は、デジタル署名生成部15で生成された署名値と、対応付けられたデータ放送用文章に関するリンク情報とを含む署名値用のリソースファイルを生成するものである。この署名値用のリソースファイルのことを、以下では、DSR(Digital Signature Resource)ファイル、または、DSRリソースファイルと呼ぶ。その構造の詳細は後記する。DSRリソースファイルは、図5に示す受信装置20の不揮発メモリ28にアクセスする際の認証に用いられる。すなわち、前記した高レベル認証APIとは、この署名値用のDSRリソースファイルに基づく認証(第1の認証)と、放送事業者またはその系列局の識別情報に基づく認証(第2の認証)とによって不揮発メモリ28にアクセスすることを可能とするものである。
マルチパート化部17は、データ放送コンテンツオーサリング部13でオーサリングされたBML文章、スクリプト文章、CSSファイル等と、DSRリソースファイル生成部16で生成されたDSRリソースファイルと、署名に用いた秘密鍵に対応する公開鍵証明書(リソースファイル)とを、1つのファイルとしてパッキングする(マルチパート化する)ものである。
データカルーセル化部(データカルーセル化手段)18は、DSRリソースファイルと、DSRリソースファイルに対応付けられたBML文章やスクリプト文章等のデータ放送用文章とをデータカルーセル化するものである。本実施形態では、データカルーセル化部18は、マルチパート化されたファイルをモジュール化したり(マルチパート形式のモジュール)、それぞれのリソースファイルをモジュール化したりする。また、データカルーセル化部18は、DSRリソースファイルを、当該DSRリソースファイルと対応付けられたデータ放送用文章と同じモジュールに入れてパケット化することとした。データカルーセル化部18は、どのモジュールの何番目のブロックであるかを示すDDB(Download Data Block)と、データカルーセルに含まれているモジュールの個数やモジュールに関する情報を示すDII(Download Info Indication)とによりパケット化を行う。また、本実施形態では、公開鍵証明書をリソースファイルとして、データ放送用文章およびDSRリソースファイルと共にモジュールにさらに入れることとした。このように多数のファイルを同じモジュールとして伝送することで図5に示す受信装置20の処理負担を軽減できる。
多重化部(多重化手段)19は、データカルーセル化されたDSRリソースファイルおよびデータ放送用文章を、コンテンツおよびSIと共に多重化するものである。本実施形態では、多重化部19は、データカルーセル化されたDSRリソースファイル、データ放送用文章および公開鍵証明書を、コンテンツおよびSIと共に多重化する。多重化部19は、それぞれのパケットを多重化し、MPEG−2 Systemsを用いて、MPEG−2 TSファイル(TS)を生成する。
なお、送信装置10は、一般的なコンピュータを、前記した各手段として機能させるプログラムにより動作させることで実現することができる。このプログラム(送信プログラム)は、通信回線を介して配布することも可能であるし、CD−ROM等の記録媒体に書き込んで配布することも可能である。
[リソースファイル]
図2に、リソースファイルの構成例を示す。データカルーセル化部18(図1参照)は、データカルーセル200として、一定周期ごとに繰り返しモジュール210を伝送する。このモジュール210内には、リソースファイル220や、そのリソースファイル220をまとめてマルチパート化したファイルが入っている。ここで、リソースファイル220としては、例えば、BMLファイル221、ECMファイル222、CSSファイル223、CLTファイル224、PNGファイル225、JPGファイル226、DSRファイル(DSRリソースファイル)227、公開鍵証明書228が挙げられる。
図2に、リソースファイルの構成例を示す。データカルーセル化部18(図1参照)は、データカルーセル200として、一定周期ごとに繰り返しモジュール210を伝送する。このモジュール210内には、リソースファイル220や、そのリソースファイル220をまとめてマルチパート化したファイルが入っている。ここで、リソースファイル220としては、例えば、BMLファイル221、ECMファイル222、CSSファイル223、CLTファイル224、PNGファイル225、JPGファイル226、DSRファイル(DSRリソースファイル)227、公開鍵証明書228が挙げられる。
BMLファイル221は、BML文章が記載されたファイル、ECMファイル222は、コマンド(スクリプト文章)が記載されたファイルをそれぞれ示す。
CSSファイル223は、構造(CSS文章)が記載されたファイルを示す。
CLT(Color Lookup Table)ファイル224は、色彩について記載されたファイル、PNG(Portable Network Graphics)ファイル225やJPGファイル226は静止画の規格が記載されたファイルを示す。
CSSファイル223は、構造(CSS文章)が記載されたファイルを示す。
CLT(Color Lookup Table)ファイル224は、色彩について記載されたファイル、PNG(Portable Network Graphics)ファイル225やJPGファイル226は静止画の規格が記載されたファイルを示す。
DSRリソースファイル227は、DSRリソースファイル生成部16で生成されるファイルであり署名値が記述されている。本実施形態では、モジュール210単位でデータを取得するため、DSRリソースファイル227と、その対象となるBML文章が記載されたBMLファイル221またはスクリプト文章(ECMファイル222)とは、同じモジュール210内に配置される。公開鍵証明書228は、図5に示す受信装置20で署名値を検証するために利用される。
図2に示すリソースファイル220のうち、BMLファイル221やECMファイル222には、図5に示す受信装置20の不揮発メモリ28へのアクセス用のAPIとして、低レベル認証API230と高レベル認証API240の双方が記述されている。
低レベル認証API230は、デジタル署名生成部15で生成される署名値についての認証を必要としない従来のAPIである。低レベル認証APIとしては、例えば、リードコマンドを示す関数名「readPersistentArray()」231や、ライトコマンドを示す関数名「writePersistentArray()」232が該当する。
高レベル認証API240は、従来の認証に加えて、デジタル署名生成部15で生成される署名値についての認証も必要とするAPIである。高レベル認証APIの関数名は、従来のAPIの関数名とは別名称で定義されている。例えば、リードコマンドを示す関数名として「ExreadPersistentArray()」241、ライトコマンドを示す関数名として「ExwritePersistentArray()」242を用いることとする。
これらにより、APIの関数名(名称)により、低レベル認証API230と高レベル認証API240とを区別することができる。なお、「readPersistentArray()」231、「writePersistentArray()」232、「ExreadPersistentArray()」241、「ExwritePersistentArray()」242は、少なくとも、放送事業者の識別情報(original_network_id)またはその系列局の識別情報(affiliation_id)から成るアドレスと、図5に示す受信装置20の不揮発メモリ28に対して読み書きするためのデータを引数とする。具体的には、“Array()”のカッコ内に、アドレスと、対象とするデータとが記述される。
[DSRリソースファイル]
図2に示したDSRリソースファイル227の構造例を図3に示す。DSRリソースファイルは、符号301〜303に示すように、該当するBML文章やスクリプト文章に対して生成した署名データ(署名値)を、そのBML文章やスクリプト文章を示すファイル名と共に列挙した構造を有している。例えば、符号301は、BML文章のファイル名(例えば、A)と、その署名データとを示している。同様に、符号302は、BML文章のファイル名(例えば、B)と、その署名データとを示している。さらに、符号303は、スクリプト文章が記載されたECMファイルと、そのスクリプト文章を引用するBMLファイルのファイル名(例えば、A)と、その署名データとを示している。つまり、符号301に示すBMLファイルと、符号303に示すECMファイルとは親子の関係になっている(BMLファイルで使用するコマンドの参照先がECMファイルとなっている)。なお、図3に示す例では、署名データは1024ビットの署名長(データ長)を有している。
図2に示したDSRリソースファイル227の構造例を図3に示す。DSRリソースファイルは、符号301〜303に示すように、該当するBML文章やスクリプト文章に対して生成した署名データ(署名値)を、そのBML文章やスクリプト文章を示すファイル名と共に列挙した構造を有している。例えば、符号301は、BML文章のファイル名(例えば、A)と、その署名データとを示している。同様に、符号302は、BML文章のファイル名(例えば、B)と、その署名データとを示している。さらに、符号303は、スクリプト文章が記載されたECMファイルと、そのスクリプト文章を引用するBMLファイルのファイル名(例えば、A)と、その署名データとを示している。つまり、符号301に示すBMLファイルと、符号303に示すECMファイルとは親子の関係になっている(BMLファイルで使用するコマンドの参照先がECMファイルとなっている)。なお、図3に示す例では、署名データは1024ビットの署名長(データ長)を有している。
第1実施形態の送信装置10によれば、放送事業者に予め割り当てられた秘密鍵を用いて、データ放送用文章と対応付けたデジタル署名の署名値を生成し、生成された署名値用のDSLリソースファイルを生成し、DSLリソースファイルと、対応付けられたデータ放送用文章とをデータカルーセル化して送信する。したがって、受信側においてデータ放送用文章に記述されたAPIを実行するときに、その署名値が読み出され、秘密鍵に対応した公開鍵証明書で検証することが可能となる。その結果、秘密鍵を持たない者が生成したデータ放送による不正を防止することができる。
[送信装置の動作]
次に、図4を参照(適宜図1参照)して、送信装置10の動作について説明する。図4は、図1に示した送信装置の動作を示すフローチャートである。送信装置10は、利用API判定部14によって、データ放送コンテンツオーサリング部13でオーサリングされたデータ放送用文章が、不揮発メモリ28へのアクセス用の高レベル認証APIと低レベル認証APIとのうちのいずれを記述したものであるのか判定する(ステップS1)。高レベル認証APIを記述したものである場合(ステップS1:Yes)、送信装置10は、デジタル署名生成部15によって、アクセス用の高レベル認証APIが記述された文章に対応付けて署名値を生成する(ステップS2)。そして、送信装置10は、DSRリソースファイル生成部16によって、DSRリソースファイルを生成する(ステップS3)。そして、送信装置10は、マルチパート化部17によって、オーサリングされたBML文章等と、DSRリソースファイルと、公開鍵証明書とをマルチパート化する(ステップS4)。そして、送信装置10は、データカルーセル化部18によって、マルチパート化されたファイルや各リソースファイルをモジュールとしてデータカルーセル化する(ステップS5)。そして、送信装置10は、多重化部19によって、データカルーセル化されたDSRリソースファイル、データ放送用文章および公開鍵証明書を、コンテンツおよびSIと共に多重化し、MPEG−2 Systemsを用いて、MPEG−2 TSファイル(TS)を生成する(ステップS6)。前記したステップS1において、オーサリングされたデータ放送用文章が、低レベル認証APIを記述したものである場合(ステップS1:No)、送信装置10は、ステップS2,S3をスキップしてスキップS4に進む。
次に、図4を参照(適宜図1参照)して、送信装置10の動作について説明する。図4は、図1に示した送信装置の動作を示すフローチャートである。送信装置10は、利用API判定部14によって、データ放送コンテンツオーサリング部13でオーサリングされたデータ放送用文章が、不揮発メモリ28へのアクセス用の高レベル認証APIと低レベル認証APIとのうちのいずれを記述したものであるのか判定する(ステップS1)。高レベル認証APIを記述したものである場合(ステップS1:Yes)、送信装置10は、デジタル署名生成部15によって、アクセス用の高レベル認証APIが記述された文章に対応付けて署名値を生成する(ステップS2)。そして、送信装置10は、DSRリソースファイル生成部16によって、DSRリソースファイルを生成する(ステップS3)。そして、送信装置10は、マルチパート化部17によって、オーサリングされたBML文章等と、DSRリソースファイルと、公開鍵証明書とをマルチパート化する(ステップS4)。そして、送信装置10は、データカルーセル化部18によって、マルチパート化されたファイルや各リソースファイルをモジュールとしてデータカルーセル化する(ステップS5)。そして、送信装置10は、多重化部19によって、データカルーセル化されたDSRリソースファイル、データ放送用文章および公開鍵証明書を、コンテンツおよびSIと共に多重化し、MPEG−2 Systemsを用いて、MPEG−2 TSファイル(TS)を生成する(ステップS6)。前記したステップS1において、オーサリングされたデータ放送用文章が、低レベル認証APIを記述したものである場合(ステップS1:No)、送信装置10は、ステップS2,S3をスキップしてスキップS4に進む。
[受信装置]
次に、図5を参照して、図1に示した送信装置10(図1参照)から送信されたストリームを受信する受信装置の構成について説明する。図5は、本発明の実施形態に係る受信装置の構成例を示す機能ブロック図である。ここでは、受信装置20は、図5に示すように、分離部21と、データカルーセルDeMUX部22と、マルチパートDeMUX部23と、BMLブラウザ部24と、番組送出情報解析部25と、映像音声復号部26と、合成部27と、不揮発メモリ28とを備えている。
次に、図5を参照して、図1に示した送信装置10(図1参照)から送信されたストリームを受信する受信装置の構成について説明する。図5は、本発明の実施形態に係る受信装置の構成例を示す機能ブロック図である。ここでは、受信装置20は、図5に示すように、分離部21と、データカルーセルDeMUX部22と、マルチパートDeMUX部23と、BMLブラウザ部24と、番組送出情報解析部25と、映像音声復号部26と、合成部27と、不揮発メモリ28とを備えている。
分離部21は、受信したMPEG−2 TSファイル(TS)から、そのPID(Packet Identification)値を用いてフィルタリングし、映像音声ストリーム(Video、Audio)と、SIと、データカルーセルとに分離するものである。
データカルーセルDeMUX(de-multiplexer)部22は、分離部21で分離されたデータカルーセルから、DIIとDDBを用いて、リソースファイルやマルチパート化したファイルをモジュール毎に取り出すものである。
マルチパートDeMUX部23は、モジュールのうち、マルチパート化されたファイルに含まれるリソースファイル(BMLファイル、スクリプト、DSRリソースファイル等)を取り出すものである。
マルチパートDeMUX部23は、モジュールのうち、マルチパート化されたファイルに含まれるリソースファイル(BMLファイル、スクリプト、DSRリソースファイル等)を取り出すものである。
BMLブラウザ部24は、データカルーセルDeMUX部22およびマルチパートDeMUX部23により取り出されたリソースファイル群(BMLファイル、スクリプト、DSRリソースファイル等)を適宜開いて実行するものである。このBMLブラウザ部24は、API実行部30と、データ放送レンダリング部40とを備えている。
API実行部(API実行手段)30は、スクリプトで記述されるAPIを実行するプログラムモジュールであり、疑似ブラウザオブジェクトとして動作するものである。本実施形態では、API実行部30は、受信したデータ放送用文章(BML、スクリプト)に記述されている不揮発メモリ28へのアクセス用のAPI(以下、NVRAMアクセス用APIという)を実行するために、API判定部50と、高認証API処理部60と、低認証API処理部70とを備えている。
API判定部(API判定手段)50は、NVRAMアクセス用APIの関数名に基づいて、当該APIが、高レベル認証APIであるか、または、低レベル認証APIであるかを判定するものである。NVRAMアクセス用APIの関数名が、例えば、「ExreadPersistentArray()」や「ExwritePersistentArray()」などの場合には、高レベル認証APIであると判定される。API判定部50は、APIを選択し、高レベル認証APIであると判定した場合に、そのAPIと、そのAPIが記述されたBML文章やスクリプト文章とを高認証API処理部60に出力する。
また、NVRAMアクセス用APIの関数名が、例えば、「readPersistentArray()」や「writePersistentArray()」などの場合には、低レベル認証APIであると判定される。API判定部50は、APIを選択し、低レベル認証APIであると判定した場合に、そのAPIを低認証API処理部70に出力する。
高認証API処理部60は、署名検証部61と、比較判定部62と、データ制御部63と、ローカル暗号復号部64と、暗号化情報生成判定部65とを備えている。
署名検証部(署名検証手段)61は、API判定部50で高レベル認証APIであると判定されたAPIの実行時に、当該APIが記述されたデータ放送用文章(BML、スクリプト(ECM))に対応する署名値を、受信した署名値用のDSRリソースファイル(DSR)から取得し、秘密鍵に対応した公開鍵証明書を用いて署名値を検証するものである。これは、NVRAMアクセス用APIにおいて、署名値用のDSRリソースファイルに基づく認証(第1の認証)に相当する。
本実施形態では、署名検証部61は、DSRリソースファイルから取得した署名値を公開鍵証明書を用いて暗号復号したものと、データ放送用文章にハッシュ関数(例えば、SHA−256)を用いて演算したハッシュ値(ダイジェスト値)とを比較し、一致した場合に検証が成功したものとする。一致した場合(検証に成功した場合)、その公開鍵証明書に記述された「original_network_id」で示される放送事業者(または、「affliation_id」で示される系列局)が署名したことを意味する。
比較判定部(比較判定手段)62は、署名検証部61で署名値の検証に成功した場合に、公開鍵証明書に記載された放送事業者またはその系列局の識別情報と、当該APIの引数として指定される不揮発メモリ28へアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定するものである。これは、NVRAMアクセス用APIにおいて、放送事業者またはその系列局の識別情報に基づく認証(第2の認証)に相当する。
データ制御部(データ制御手段)63は、比較判定部62により公開鍵証明書に記載された情報と当該APIの引数として指定される情報とが一致したと判定された場合に、不揮発メモリ28にアクセスすることを許可するものである。
ローカル暗号復号部(暗号復号手段)64は、データ制御部63によって不揮発メモリ28にアクセスすることを許可した場合に、不揮発メモリ28に対してデータの入出力を行う際に、当該受信装置20内で暗号復号を行うものである。具体的には、ローカル暗号復号部64は、書き込み時には、データ制御部63が出力する個人情報などのデータを、メーカ毎や機種別、機器別に異なる鍵で暗号化(ローカル暗号という)して不揮発メモリ28に保持する。同様に、ローカル暗号復号部64は、読み出し時には、不揮発メモリ28に保持された暗号化データを復号(暗号復号)してデータ制御部63に出力する。ここで、ローカル暗号には、共通鍵暗号化方式であるAES(Advanced Encryption Standard)やDES(Data Encryption Standard)等を用いることができる。
暗号化情報生成判定部65は、ローカル暗号復号部64によりローカル暗号復号を行う際に、不揮発メモリ28に記憶されたデータが、ローカル暗号化されている暗号化データであるのか、または平文状態で記憶されている平文データ(非暗号化データ)であるのかを識別するための暗号化情報を付与するものである。本実施形態では、暗号化情報生成判定部65は、暗号化情報として、暗号化データに例えば「1」を付与し、平文データに例えば「0」を付与する。これにより、ローカル暗号復号部64は、読み込み時には、暗号化情報を参照し、暗号化データであれば、ローカル暗号を復号し、平文データであれば、そのままデータを読み出す。
低認証API処理部70は、比較判定部71と、データ制御部72と、暗号化情報判定部73とを備えている。
比較判定部(第2比較判定手段)71は、API判定部50で低レベル認証APIであると判定された場合に、当該APIの実行時に、SIで伝送される放送事業者またはその系列局の識別情報と、当該APIの引数として指定される不揮発メモリ28へアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定するものである。これは、NVRAMアクセス用APIにおいて、放送事業者またはその系列局の識別情報に基づく認証に相当する。なお、SIで伝送される放送事業者またはその系列局の識別情報は、番組送出情報解析部25でBITを解析することで得られる。
比較判定部(第2比較判定手段)71は、API判定部50で低レベル認証APIであると判定された場合に、当該APIの実行時に、SIで伝送される放送事業者またはその系列局の識別情報と、当該APIの引数として指定される不揮発メモリ28へアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定するものである。これは、NVRAMアクセス用APIにおいて、放送事業者またはその系列局の識別情報に基づく認証に相当する。なお、SIで伝送される放送事業者またはその系列局の識別情報は、番組送出情報解析部25でBITを解析することで得られる。
データ制御部(第2データ制御手段)72は、比較判定部71によりSIで伝送される情報と当該APIの引数として指定される情報とが一致したと判定された場合に、不揮発メモリ28にアクセスすることを許可するものである。これにより、一致すれば、データ制御部72で受信した個人情報などのデータを不揮発メモリ28に読み書きすることを許可し、不一致であれば、読み書きを拒否することができる。
暗号化情報判定部73は、不揮発メモリ28にアクセスすることを許可した場合に、不揮発メモリ28に対してデータの入出力を行う際に、不揮発メモリ28においてアクセスされるアドレスに書き込まれたデータが暗号化されているか否かを判定し、暗号化されたデータ(暗号化データ)が書き込まれている場合に、データのアクセスを拒否するものである。本実施形態では、暗号化情報判定部73は、前記した暗号化情報生成判定部65で付与された、不揮発メモリ28の記憶構造における暗号化情報を参照することで、書き込まれたデータが暗号化されているか否かを判定する。例えば、暗号化情報が「1」であれば暗号化されていると判定し、「0」であれば暗号化されていないと判別する。ここで、暗号化情報判定部73は、暗号化されたデータ(暗号化データ)が書き込まれている場合に、暗号化データの読み出しだけではなく書き込みも拒否する。これは、アドレスで指定されたデータが暗号化データである場合には、高レベル認証APIで書き込んであることを意味するので、この大事なデータが消失しないようにするためである。
なお、API実行部30は、一般的なコンピュータを、前記した各手段として機能させるプログラムにより動作させることで実現することができる。このプログラム(API実行プログラム)は、通信回線を介して配布することも可能であるし、CD−ROM等の記録媒体に書き込んで配布することも可能である。
データ放送レンダリング部(レンダリング手段)40は、データカルーセルDeMUX部22およびマルチパートDeMUX部23により取り出されたリソースファイル群(BMLファイル、スクリプト、DSRリソースファイル等)として受信したデータ放送用文章(BML、スクリプト)に基づいてデータ放送の画面構成を行うものである。
番組送出情報解析部25は、分離部21で分離されたSIを解析するものである。番組送出情報解析部25は、SIに含まれるBITを解析した結果得られた「original_network_id(またはaffiliation_id)」を、低認証API処理部70の比較判定部71に出力する。
映像音声復号部26は、分離部21でTSから分離された映像音声ストリーム(Video、Audio)をデコードして合成部27に出力するものである。この映像音声復号部26は、例えば、H.264/AVCにおける一般的なデコーダや、MPEG−2 AACにおける一般的なデコーダから構成される。
合成部27は、映像音声復号部26でデコードした映像音声と、データ放送レンダリング部40でレンダリングしたデータ放送とを合成して図示しない出力装置に出力するものである。なお、出力装置は、任意であり、例えば、液晶ディスプレイ等の表示装置とスピーカ等から構成される。
不揮発メモリ28は、視聴者情報を記憶する事業者領域と、暗号化情報を記憶する暗号化情報領域とを放送事業者(または系列局)毎に有しており、例えば、一般的なNVRAMから構成される。ここで、視聴者情報は、例えば、視聴者の名前や住所等である。また、暗号化情報は、暗号化情報生成判定部65で付与される情報であり、例えば、「1」、「0」である。
[受信装置の動作]
次に、図6を参照(適宜図5参照)して、受信装置20の動作について、API実行部30の動作を中心に説明する。図6は、図5に示した受信装置の動作を示すフローチャートである。受信装置20のAPI実行部30は、API判定部50によって、APIを選択し(ステップS11)、当該APIが、高レベル認証APIであるか(高認証API処理部60を利用するか)、または、低レベル認証APIであるか(低認証API処理部70を利用するか)を判別する(ステップS12)。高レベル認証APIである場合、すなわち、高認証API処理部60を利用する場合(ステップS12:Yes)、API実行部30は、API判定部50によって、当該APIの実行タイミングであるか否かを判別する(ステップS13)。当該APIの実行時ではない場合(ステップS13:No)、API実行部30は、当該APIの実行タイミングがくるまで待機する。
次に、図6を参照(適宜図5参照)して、受信装置20の動作について、API実行部30の動作を中心に説明する。図6は、図5に示した受信装置の動作を示すフローチャートである。受信装置20のAPI実行部30は、API判定部50によって、APIを選択し(ステップS11)、当該APIが、高レベル認証APIであるか(高認証API処理部60を利用するか)、または、低レベル認証APIであるか(低認証API処理部70を利用するか)を判別する(ステップS12)。高レベル認証APIである場合、すなわち、高認証API処理部60を利用する場合(ステップS12:Yes)、API実行部30は、API判定部50によって、当該APIの実行タイミングであるか否かを判別する(ステップS13)。当該APIの実行時ではない場合(ステップS13:No)、API実行部30は、当該APIの実行タイミングがくるまで待機する。
一方、当該APIの実行時である場合(ステップS13:Yes)、高認証API処理部60は、署名検証部61によって、当該APIが記述されたデータ放送用文章に対応する署名値を、DSRリソースファイルを開いて検証することで、署名が正当なものであるか否かを判別する(ステップS14)。署名が正当な場合(ステップS14:Yes)、高認証API処理部60は、比較判定部62によって、当該APIの引数として指定される不揮発メモリ28へアクセスするためのアドレスが、公開鍵証明書に記載された情報と一致するか否かを判別する(ステップS15)。アドレスが一致する場合(ステップS15:Yes)、高認証API処理部60は、データ制御部63によって、不揮発メモリ28へアクセスする動作モードを関数名から判定する(ステップS16)。
ステップS16において、動作モードが「ライト」である場合、高認証API処理部60は、ローカル暗号復号部64によって、データ制御部63が出力する個人情報などのデータをローカル暗号化して(ステップS17)、この暗号化したデータ(暗号化データ)を不揮発メモリ28の所定の事業者領域に書き込む(ステップS18)。このとき、高認証API処理部60は、暗号化情報生成判定部65によって、暗号化情報を付与し、ローカル暗号復号部64によって、個人情報などのデータを書き込む事業者領域に対応付けて暗号化情報を書き込む。
ステップS16において、動作モードが「リード」である場合、高認証API処理部60は、暗号化情報生成判定部65によって、不揮発メモリ28の暗号化情報領域に記憶された暗号化情報を参照することで、読み出し対象のデータが暗号化されているか否かを判別する(ステップS19)。読み出し対象のデータが暗号化されている場合(ステップS19:Yes)、高認証API処理部60は、ローカル暗号復号部64によって、ローカル暗号を復号し(ステップS20)、読み出してデータ制御部63に出力する(ステップS21)。一方、読み出し対象のデータが暗号化されていない場合(ステップS19:No)、高認証API処理部60は、ステップS20をスキップして、ステップS21に進む。
前記したステップS14において、署名が正当なものではない場合やDSRリソースファイルがない場合(ステップS14:No)、高認証API処理部60は、その後の動作をスキップして選択されたAPIについての処理を終了する。また、前記したステップS15において、アドレスが不一致である場合(ステップS15:No)、高認証API処理部60は、その後の動作をスキップして選択されたAPIについての処理を終了する。
前記したステップS12において、低レベル認証APIである場合、すなわち、低認証API処理部70を利用する場合(ステップS12:No)、API実行部30は、API判定部50によって、当該APIの実行タイミングであるか否かを判別する(ステップS22)。当該APIの実行時ではない場合(ステップS22:No)、API実行部30は、当該APIの実行タイミングがくるまで待機する。
一方、当該APIの実行時である場合(ステップS22:Yes)、低認証API処理部70は、比較判定部71によって、番組送出情報解析部25から取得したSIで伝送される情報が、当該APIの引数として指定される不揮発メモリ28へアクセスするためのアドレスと一致するか否かを判別する(ステップS23)。アドレスが一致する場合(ステップS23:Yes)、低認証API処理部70は、データ制御部72によって、不揮発メモリ28への動作モードを関数名から判定する(ステップS24)。
ステップS24において、動作モードが「ライト」である場合、低認証API処理部70は、暗号化情報判定部73によって、不揮発メモリ28においてアクセスされるアドレスに書き込まれたデータが暗号化されているか否かを判定する(ステップS25)。書き込まれたデータが暗号化されていない場合(ステップS25:No)、低認証API処理部70は、暗号化情報判定部73によって、データ制御部72が出力する個人情報などのデータを不揮発メモリ28の所定の事業者領域に書き込む(ステップS26)。一方、書き込まれたデータが暗号化されている場合(ステップS25:Yes)、低認証API処理部70は、暗号化情報判定部73によって、データの書き込みを拒否してその後の処理を終了する。
ステップS24において、動作モードが「リード」である場合、低認証API処理部70は、暗号化情報判定部73によって、不揮発メモリ28においてアクセスされるアドレスに書き込まれたデータが暗号化されているか否かを判定する(ステップS27)。書き込まれたデータが暗号化されていない場合(ステップS27:No)、低認証API処理部70は、暗号化情報判定部73によって、その書き込まれたデータ(読み出し対象のデータ)を読み出す(ステップS28)。一方、書き込まれたデータが暗号化されている場合(ステップS25:Yes)、低認証API処理部70は、暗号化情報判定部73によって、データの読み出しを拒否してその後の処理を終了する。
前記したステップS23において、アドレスが不一致である場合(ステップS23:No)、低認証API処理部70は、その後の動作をスキップして選択されたAPIについての処理を終了する。
本実施形態では、API実行部30は、高認証API処理部60の動作において、同じデータ放送用文章(BML、スクリプト)を開いている間には、署名検証部61によって、署名値の検証を1度だけ行い、比較判定部62によって、公開鍵証明書に記載された情報とAPIの引数として指定される情報とが一致するか否かの判定を1度だけ行うこととした。これにより、同じデータ放送用文章を開いている間には、2回目以降のAPI発行時には、1回目のAPI発行時の検証および比較結果を代用することができる。したがって、2回目以降のAPI発行時には、検証処理や比較処理の負荷を軽減できる。
[不揮発メモリの構成と読み書き方法の具体例]
不揮発メモリの構成と読み書き方法の具体例について図7を参照(適宜図5参照)して説明する。図7に、不揮発メモリの構成と読み書き方法の具体例を示す。図7に示した不揮発メモリの記憶構造600は、事業者領域610と、暗号化情報領域620とを備えている。
事業者領域610は、放送事業者(または系列局)毎に割り当てられている。この事業者領域610として、例えば2kBの記憶領域を確保し、32のブロックに分けて、各ブロックを64バイト(B:Byte)で構成することができる。図7に示した不揮発メモリの記憶構造600は、1つの放送事業者(または系列局)に割り当てられたものを示している。したがって、放送事業者が例えば10局存在するならば、受信装置20の不揮発メモリ28は、同様に10局分の記憶構造600に対応して、全体として20kBの記憶領域を備えることとなる。API実行部30では、例えば、この32のブロックにデータの読み書きを行うために、「original network id、または、affiliation id」と、ブロック番号とを指定する。図7では、ブロック番号を、「0」〜「31」で表示し、「original network id、または、affiliation id」の図示を省略した。
不揮発メモリの構成と読み書き方法の具体例について図7を参照(適宜図5参照)して説明する。図7に、不揮発メモリの構成と読み書き方法の具体例を示す。図7に示した不揮発メモリの記憶構造600は、事業者領域610と、暗号化情報領域620とを備えている。
事業者領域610は、放送事業者(または系列局)毎に割り当てられている。この事業者領域610として、例えば2kBの記憶領域を確保し、32のブロックに分けて、各ブロックを64バイト(B:Byte)で構成することができる。図7に示した不揮発メモリの記憶構造600は、1つの放送事業者(または系列局)に割り当てられたものを示している。したがって、放送事業者が例えば10局存在するならば、受信装置20の不揮発メモリ28は、同様に10局分の記憶構造600に対応して、全体として20kBの記憶領域を備えることとなる。API実行部30では、例えば、この32のブロックにデータの読み書きを行うために、「original network id、または、affiliation id」と、ブロック番号とを指定する。図7では、ブロック番号を、「0」〜「31」で表示し、「original network id、または、affiliation id」の図示を省略した。
暗号化情報領域620は、ブロック毎に、暗号化されているのかどうかを示す暗号化情報を書き込む領域である。書き込まれる暗号化情報は、暗号化情報生成判定部65で付与される情報であり、該当するブロックが暗号化されていれば、「1」の値を持ち、平文データであれば「0」の値を持つこととする。この例では、暗号化情報領域620は、該当するブロックに対応して、符号621,623で示す領域が「0」すなわち平文データを示し、符号622,624,625で示す領域が「1」すなわち暗号化データを示す。この例では、ブロック毎に1ビット必要なので、暗号化情報領域620は、4バイト必要となる。なお、暗号化情報領域620に、予め「0」を付与しておいてもよい。
高認証API処理部60を利用する高レベル認証APIの書き込み(ライト)においては、高認証API処理部60は、ローカル暗号復号部64によってローカル暗号化した暗号化データ631を、事業者領域610においてブロック番号が例えば「1」で識別されるブロックに書き込み、符号622に示すように暗号化情報「1」を付与して、暗号化データ631に対応付けて暗号化情報領域に書き込む。なお、暗号化データ631のハッチングは暗号化されていることを示す。
高認証API処理部60を利用する高レベル認証APIの読み出し(リード)においては、高認証API処理部60は、暗号化情報生成判定部65によって、暗号化情報領域620に記憶された情報として、例えば符号622に示す暗号化情報「1」を参照した場合には、暗号化データ631をローカル暗号復号部64によって復号して読み出す。
一方、高認証API処理部60は、暗号化情報生成判定部65によって、暗号化情報領域620に記憶された情報として、例えば符号621に示す暗号化情報「0」を参照した場合には、ブロック番号が例えば「0」で識別されるブロックから平文データをそのまま読み出す。
一方、高認証API処理部60は、暗号化情報生成判定部65によって、暗号化情報領域620に記憶された情報として、例えば符号621に示す暗号化情報「0」を参照した場合には、ブロック番号が例えば「0」で識別されるブロックから平文データをそのまま読み出す。
低認証API処理部70を利用する低レベル認証APIにおいて、暗号化情報判定部73によって、暗号化情報領域620に記憶された情報として、例えば符号623に示す暗号化情報「0」を参照した場合には、書き込み(ライト)においては、低認証API処理部70は、暗号化情報判定部73によって、非暗号化データ632(平文データ)を、事業者領域610において符号611で示すブロックに書き込む。また、この場合、逆に読み出し(リード)においては、低認証API処理部70は、暗号化情報判定部73によって、例えば符号623に示す暗号化情報「0」を参照した場合には、符号611で示すブロックから非暗号化データ632(平文データ)を読み出す。
また、低認証API処理部70の処理において、暗号化情報判定部73によって、例えば符号624に示す暗号化情報「1」を参照した場合を想定する。この場合には、符号612で示すブロックに既に暗号化データが書き込まれている。なお、符号612で示すブロックのハッチングは暗号化されていることを示す。したがって、低レベル認証APIの書き込み(ライト)においては、低認証API処理部70は、暗号化情報判定部73によって、非暗号化データ633(平文データ)による上書きを拒否することとなる。
また、低認証API処理部70の処理において、暗号化情報判定部73によって、例えば符号625に示す暗号化情報「1」を参照した場合を想定する。この場合には、符号613で示すブロックに既に暗号化データが書き込まれている。なお、符号613で示すブロックのハッチングは暗号化されていることを示す。したがって、低レベル認証APIの読み出し(リード)においては、低認証API処理部70は、暗号化情報判定部73によって、符号613で示すブロックに書き込まれている暗号化データの読み出しを拒否する。
本実施形態の受信装置20によれば、高レベル認証APIの実行時に読み出すデジタル署名の署名値を、その対応する公開鍵証明書を用いて検証し、かつ、該当APIの引数で示されるアドレスと公開鍵証明書に含まれる識別子とが同一である場合に不揮発メモリへのアクセスを許可する。したがって、個人情報などのセキュリティレベルの高い情報を受信装置20の不揮発メモリ28に安全に保存でき、そのデータへのアクセスは該当する放送事業者に限定することができる。また、受信装置20は、高認証APIによる読み書きと、低認証APIによる読み書きとを、同じ不揮発メモリ28上、同じ事業者領域610を共有化したとしても、低認証APIによる読み書きに対して、高認証APIで書き込まれた暗号化データへのアクセスを拒否するため、高いセキュリティレベルを担保できる。そのため、受信装置20は、従来の既存のデータ放送を受信する受信装置との互換性も担保している。
(第2実施形態)
図8は、本発明の第2実施形態に係る送信装置の構成を示す機能ブロック図である。図8に示すように、第2実施形態の送信装置10Aは、図1に示したDSRリソースファイル生成部16を有していない点と、データカルーセル化部18および多重化部19の機能が異なる点を除いて、第1実施形態の送信装置10と同様なので、同じ構成には同じ符号を付して説明を省略する。
図8は、本発明の第2実施形態に係る送信装置の構成を示す機能ブロック図である。図8に示すように、第2実施形態の送信装置10Aは、図1に示したDSRリソースファイル生成部16を有していない点と、データカルーセル化部18および多重化部19の機能が異なる点を除いて、第1実施形態の送信装置10と同様なので、同じ構成には同じ符号を付して説明を省略する。
データカルーセル化部18は、デジタル署名生成部15で生成された署名値をDIIの記述子として、当該署名値と対応付けられたデータ放送用文章をデータカルーセル化する。多重化部19は、データカルーセル化されたデータ放送用文章を、符号化されたコンテンツおよびSIと共に多重化する。したがって、送信装置10Aが送信する多重化されたストリームには、データカルーセルのDIIとして、データ放送用文章と対応付けた署名値が含まれている。これにより、例えば図5に示した受信装置20において、データカルーセルの受信時に(展開前に)その署名値が読み出され、秘密鍵に対応した公開鍵証明書で検証することが可能となる。その結果、秘密鍵を持たない者が生成したデータ放送による不正を防止することができる。
以上、本発明の各実施形態について説明したが、本発明は、これらの実施形態には限定されない。例えば、受信装置20は、API実行部30に高認証API処理部60と低認証API処理部70とを備えるベストモードで説明したが、高認証API処理部60のみを備えるようにしてもよい。この場合には、API判定部50は、アクセス用のAPIが、高レベル認証APIであるか否かを判定し、高レベル認証APIではない場合には、不揮発メモリ28へのアクセスを拒否する。また、対応する送信装置においては、データ放送コンテンツオーサリング部13において、高レベル認証APIのみをオーサリングするようにして、利用API判定部14を省略できる。これにより、送信装置および受信装置の構成を簡略化することができる。
また、各実施形態では、公開鍵証明書をリソースファイルとして伝送することとして説明したが、DIIの記述子として伝送してもよい。また、公開鍵証明書は、受信装置20のユーザによって、図示を省略した入力手段によって、記録媒体を介して入力することとしてもよいし、製品化段階で、対象とするすべての公開鍵証明書(例えば10局分の公開鍵証明書)を予め受信装置20に埋め込むこととしてもよい。
また、各実施形態では、送信装置10のマルチパート化部17は必須ではなく、伝送すべき各々のリソースファイルをマルチパート化せずにデータカルーセル化してもよい。この場合には、受信装置20のマルチパートDeMUX部23も省略できる。したがって、構成を簡略化することができる
また、映像符号化方式をH.264/AVCの例で説明したが、これに限定されるものではなく、MPEG−4やM−PEG2で符号化したコンテンツ(映像)にも適用可能である。
また、映像符号化方式をH.264/AVCの例で説明したが、これに限定されるものではなく、MPEG−4やM−PEG2で符号化したコンテンツ(映像)にも適用可能である。
また、第1実施形態では、送信装置10は、DSRリソースファイルをデータカルーセルで伝送するものとして説明したが、DSRリソースファイルの伝送手段として通信回線を用いる場合は、HTTP(Hypertext Transfer Protocol)やFTP(File Transfer Protocol)を用いてもよい。この場合、対応する受信装置20は、HTTPやFTPで伝送されるDSRリソースファイル(署名値)を受信可能なものとして構成することができる。
10(10A) 送信装置
11 映像音声符号化部
12 番組送出情報生成部
13 データ放送コンテンツオーサリング部(データ放送コンテンツオーサリング手段)
14 利用API判定部
15 デジタル署名生成部(デジタル署名生成手段)
16 DSRリソースファイル生成部(リソースファイル生成手段)
17 マルチパート化部
18 データカルーセル化部(データカルーセル化手段)
19 多重化部(多重化手段)
20 受信装置
21 分離部(分離手段)
22 データカルーセルDeMUX部
23 マルチパートDeMUX部
24 BMLブラウザ部
25 番組送出情報解析部
26 映像音声復号部
27 合成部
28 不揮発メモリ
30 API実行部(API実行手段)
40 データ放送レンダリング部(レンダリング手段)
50 API判定部(API判定手段)
60 高認証API処理部
61 署名検証部(署名検証手段)
62 比較判定部(比較判定手段)
63 データ制御部(データ制御手段)
64 ローカル暗号復号部(暗号復号手段)
65 暗号化情報生成判定部
70 低認証API処理部
71 比較判定部(第2比較判定手段)
72 データ制御部(第2データ制御手段)
73 暗号化情報判定部(暗号化情報判定手段)
11 映像音声符号化部
12 番組送出情報生成部
13 データ放送コンテンツオーサリング部(データ放送コンテンツオーサリング手段)
14 利用API判定部
15 デジタル署名生成部(デジタル署名生成手段)
16 DSRリソースファイル生成部(リソースファイル生成手段)
17 マルチパート化部
18 データカルーセル化部(データカルーセル化手段)
19 多重化部(多重化手段)
20 受信装置
21 分離部(分離手段)
22 データカルーセルDeMUX部
23 マルチパートDeMUX部
24 BMLブラウザ部
25 番組送出情報解析部
26 映像音声復号部
27 合成部
28 不揮発メモリ
30 API実行部(API実行手段)
40 データ放送レンダリング部(レンダリング手段)
50 API判定部(API判定手段)
60 高認証API処理部
61 署名検証部(署名検証手段)
62 比較判定部(比較判定手段)
63 データ制御部(データ制御手段)
64 ローカル暗号復号部(暗号復号手段)
65 暗号化情報生成判定部
70 低認証API処理部
71 比較判定部(第2比較判定手段)
72 データ制御部(第2データ制御手段)
73 暗号化情報判定部(暗号化情報判定手段)
Claims (13)
- データ放送用文章に記述されるAPI(Application Programming Interface)のうち放送事業者またはその系列局のデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIが記述されたデータ放送用文章を含む1以上のデータ放送用文章と、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む番組配列情報とを、多重化したストリームとして、前記デジタル署名を検証することで前記高レベル認証APIを実行する受信装置へ送信する送信装置であって、
前記高レベル認証APIを少なくとも含むAPIを組み合わせて1以上のデータ放送用文章を生成することで、前記受信装置においてデータ放送の画面構成を少なくとも実現させるデータ放送コンテンツを制作するデータ放送コンテンツオーサリング手段と、
前記放送事業者に予め割り当てられた秘密鍵を用いて、前記データ放送用文章と対応付けたデジタル署名の署名値を生成するデジタル署名生成手段と、
前記生成された署名値と、前記対応付けられたデータ放送用文章に関するリンク情報とを含む署名値用のリソースファイルを生成するリソースファイル生成手段と、
前記生成されたリソースファイルと、前記データ放送用文章とをデータカルーセル化するデータカルーセル化手段と、
前記データカルーセル化されたリソースファイルおよびデータ放送用文章を、前記符号化されたコンテンツおよび前記番組配列情報と共に多重化する多重化手段とを備えることを特徴とする送信装置。 - 前記デジタル署名生成手段は、前記データ放送用文章のうち、前記受信装置の不揮発メモリにアクセスするためのアクセス用の前記高レベル認証APIが記述されたデータ放送用文章に対して前記デジタル署名の署名値を生成することを特徴とする請求項1に記載の送信装置。
- 前記データカルーセル化手段は、前記署名値用のリソースファイルを、当該署名値用のリソースファイルと対応付けられたデータ放送用文章と同じモジュールに入れてパケット化することを特徴とする請求項1または請求項2に記載の送信装置。
- 前記データカルーセル化手段は、前記秘密鍵に対応して前記放送事業者またはその系列局の識別情報を含んだ公開鍵証明書をリソースファイルとして、前記モジュールにさらに入れることを特徴とする請求項3に記載の送信装置。
- データ放送用文章に記述されるAPIのうち放送事業者またはその系列局のデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIが記述されたデータ放送用文章を含む1以上のデータ放送用文章と、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む番組配列情報とを、多重化したストリームとして、前記デジタル署名を検証することで前記高レベル認証APIを実行する受信装置へ送信する送信装置であって、
前記高レベル認証APIを少なくとも含むAPIを組み合わせて1以上のデータ放送用文章を生成することで、前記受信装置においてデータ放送の画面構成少なくとも実現させるデータ放送コンテンツを制作するデータ放送コンテンツオーサリング手段と、
前記放送事業者に予め割り当てられた秘密鍵を用いて、前記データ放送用文章と対応付けたデジタル署名の署名値を生成するデジタル署名生成手段と、
前記生成された署名値をDII(Download Info Indication)の記述子として、当該署名値と対応付けられたデータ放送用文章をデータカルーセル化するデータカルーセル化手段と、
前記データカルーセル化されたデータ放送用文章を、前記符号化されたコンテンツおよび前記番組配列情報と共に多重化する多重化手段とを備えることを特徴とする送信装置。 - 前記データ放送コンテンツオーサリング手段は、
前記受信装置の不揮発メモリにアクセスするためのアクセス用のAPIとして、前記番組配列情報で伝送される放送事業者またはその系列局の識別情報に基づく認証によって実行を可能とする低レベル認証APIを記述したデータ放送用文章と、
前記受信装置の不揮発メモリにアクセスするためのアクセス用のAPIとして、前記高レベル認証APIを記述したデータ放送用文章とを生成し、
前記デジタル署名生成手段は、前記高レベル認証APIを記述した前記データ放送用文章に対してのみ前記署名値を生成することを特徴とする請求項1ないし請求項5のいずれか一項に記載の送信装置。 - 前記データ放送コンテンツオーサリング手段は、前記低レベル認証APIと、前記高レベル認証APIとに対して異なる関数名を割り当てることを特徴とする請求項6に記載の送信装置。
- データ放送用文章に記述されるAPIのうち放送事業者またはその系列局のデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIが記述されたデータ放送用文章を含む1以上のデータ放送用文章と、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む番組配列情報とを、多重化したストリームとして、前記デジタル署名を検証することで前記高レベル認証APIを実行する受信装置へ送信するために、コンピュータを、
前記高レベル認証APIを少なくとも含むAPIを組み合わせて1以上のデータ放送用文章を生成することで、前記受信装置においてデータ放送の画面構成を少なくとも実現させるデータ放送コンテンツを制作するデータ放送コンテンツオーサリング手段、
前記放送事業者に予め割り当てられた秘密鍵を用いて、前記データ放送用文章と対応付けたデジタル署名の署名値を生成するデジタル署名生成手段、
前記生成された署名値と、前記対応付けられたデータ放送用文章に関するリンク情報とを含む署名値用のリソースファイルを生成するリソースファイル生成手段、
前記生成されたリソースファイルと、前記データ放送用文章とをデータカルーセル化するデータカルーセル化手段、
前記データカルーセル化されたリソースファイルおよびデータ放送用文章を、前記符号化されたコンテンツおよび前記番組配列情報と共に多重化する多重化手段、
として機能させることを特徴とする送信プログラム。 - データ放送のリソースファイルと、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む事業者情報をセクション形式化した番組配列情報とを受信し、前記リソースファイルとして受信するデータ放送用文章に記述されているAPIを実行するAPI実行手段とを備えた受信装置において、
前記API実行手段は、
不揮発メモリへのアクセス用のAPIの関数名に基づいて、前記アクセス用のAPIが、前記放送事業者に予め割り当てられた秘密鍵を用いて生成されたデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIであるか否かを判定するAPI判定手段と、
前記高レベル認証APIであると判定された場合に、当該APIの実行時に、当該APIが記述された前記データ放送用文章に対応する署名値を、前記受信したリソースファイルから取得し、前記秘密鍵に対応した公開鍵証明書を用いて前記署名値を検証する署名検証手段と、
前記署名値の検証に成功した場合に、前記公開鍵証明書に記載された放送事業者またはその系列局の識別情報と、当該APIの引数として指定される前記不揮発メモリへアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定する比較判定手段と、
前記公開鍵証明書に記載された情報と当該APIの引数として指定される情報とが一致した場合に、前記不揮発メモリにアクセスすることを許可するデータ制御手段とを備えることを特徴とする受信装置。 - 前記API実行手段は、同じ前記データ放送用文章を開いている間には、
前記署名検証手段によって、前記署名値の検証を1度だけ行い、
前記比較判定手段によって、前記公開鍵証明書に記載された情報と前記APIの引数として指定される情報とが一致するか否かの判定を1度だけ行うことを特徴とする請求項9に記載の受信装置。 - 前記API実行手段は、前記データ制御手段によって前記不揮発メモリにアクセスすることを許可した場合に、前記不揮発メモリに対してデータの入出力を行う際に、当該受信装置内で暗号復号を行う暗号復号手段をさらに備えることを特徴とする請求項9または請求項10に記載の受信装置。
- データ放送のリソースファイルと、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む事業者情報をセクション形式化した番組配列情報とを受信し、前記リソースファイルとして受信するデータ放送用文章に記述されているAPIを実行するAPI実行手段とを備えた受信装置において、
前記API実行手段は、
不揮発メモリへのアクセス用のAPIの関数名に基づいて、前記アクセス用のAPIが、前記放送事業者に予め割り当てられた秘密鍵を用いて生成されたデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIであるか、または、前記番組配列情報で伝送される放送事業者またはその系列局の識別情報に基づく認証によって実行を可能とする低レベル認証APIであるかを判定するAPI判定手段と、
前記高レベル認証APIであると判定された場合に、当該APIの実行時に、当該APIが記述された前記データ放送用文章に対応する署名値を、前記受信したリソースファイルから取得し、前記秘密鍵に対応した公開鍵証明書を用いて前記署名値を検証する署名検証手段と、
前記署名値の検証に成功した場合に、前記公開鍵証明書に記載された放送事業者またはその系列局の識別情報と、当該APIの引数として指定される前記不揮発メモリへアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定する比較判定手段と、
前記公開鍵証明書に記載された情報と当該APIの引数として指定される情報とが一致した場合に、前記不揮発メモリにアクセスすることを許可するデータ制御手段と、
前記データ制御手段によって前記不揮発メモリにアクセスすることを許可した場合に、前記不揮発メモリに対してデータの入出力を行う際に、当該受信装置内で暗号復号を行う暗号復号手段と、
前記低レベル認証APIであると判定された場合に、当該APIの実行時に、前記番組配列情報で伝送される放送事業者またはその系列局の識別情報と、当該APIの引数として指定される不揮発メモリへアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定する第2比較判定手段と、
前記番組配列情報で伝送される情報と当該APIの引数として指定される情報とが一致した場合に、前記不揮発メモリにアクセスすることを許可する第2データ制御手段と、
前記第2データ制御手段によって前記不揮発メモリにアクセスすることを許可した場合に、前記不揮発メモリに対してデータの入出力を行う際に、前記不揮発メモリにおいてアクセスされる前記アドレスに書き込まれたデータが暗号化されているか否かを判定し、暗号化されたデータが書き込まれている場合に、データのアクセスを拒否する暗号化情報判定手段とを備えることを特徴とする受信装置。 - データ放送のリソースファイルと、符号化されたコンテンツと、放送事業者またはその系列局の識別情報を含む事業者情報をセクション形式化した番組配列情報とを受信し、前記リソースファイルとして受信するデータ放送用文章に記述されているAPIを実行するために、コンピュータを、
不揮発メモリへのアクセス用のAPIの関数名に基づいて、前記アクセス用のAPIが、前記放送事業者に予め割り当てられた秘密鍵を用いて生成されたデジタル署名による認証を実行のために必要とするAPIを示す高レベル認証APIであるか否かを判定するAPI判定手段、
前記高レベル認証APIであると判定された場合に、当該APIの実行時に、当該APIが記述された前記データ放送用文章に対応する署名値を、前記受信したリソースファイルから取得し、前記秘密鍵に対応した公開鍵証明書を用いて前記署名値を検証する署名検証手段、
前記署名値の検証に成功した場合に、前記公開鍵証明書に記載された放送事業者またはその系列局の識別情報と、当該APIの引数として指定される前記不揮発メモリへアクセスするためのアドレスを示す放送事業者またはその系列局の識別情報とを比較し、一致するか否かを判定する比較判定手段、
前記公開鍵証明書に記載された情報と当該APIの引数として指定される情報とが一致した場合に、前記不揮発メモリにアクセスすることを許可するデータ制御手段、
として機能させることを特徴とするAPI実行プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007325037A JP5027636B2 (ja) | 2007-12-17 | 2007-12-17 | 送信装置およびそのプログラム、ならびに、受信装置およびapi実行プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007325037A JP5027636B2 (ja) | 2007-12-17 | 2007-12-17 | 送信装置およびそのプログラム、ならびに、受信装置およびapi実行プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009147808A JP2009147808A (ja) | 2009-07-02 |
| JP5027636B2 true JP5027636B2 (ja) | 2012-09-19 |
Family
ID=40917866
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007325037A Expired - Fee Related JP5027636B2 (ja) | 2007-12-17 | 2007-12-17 | 送信装置およびそのプログラム、ならびに、受信装置およびapi実行プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5027636B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8500518B2 (en) | 2006-08-01 | 2013-08-06 | Erwin Junker Maschinenfabrik Gmbh | Method of grinding an indexable insert and grinding wheel for carrying out the grinding method |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5597067B2 (ja) * | 2010-08-30 | 2014-10-01 | Necパーソナルコンピュータ株式会社 | 情報処理装置、情報処理システム、情報処理方法、プログラム及び記録媒体 |
| WO2012157698A1 (ja) * | 2011-05-18 | 2012-11-22 | 日本放送協会 | 受信装置、プログラム及び受信方法 |
| JP5965723B2 (ja) * | 2011-05-19 | 2016-08-10 | 日本放送協会 | 受信機 |
| WO2012157767A1 (ja) * | 2011-05-19 | 2012-11-22 | 日本放送協会 | 受信機および受信方法 |
| JP5965722B2 (ja) * | 2011-05-19 | 2016-08-10 | 日本放送協会 | 受信機 |
| US9961409B2 (en) | 2012-04-19 | 2018-05-01 | Sony Corporation | Reception device, reception method, broadcasting device, broadcasting method, and link application control system |
| JP5912175B2 (ja) * | 2012-08-21 | 2016-04-27 | ソニー株式会社 | 情報処理装置、情報処理方法、プログラムおよびサーバ装置 |
| WO2014030283A1 (ja) * | 2012-08-21 | 2014-02-27 | ソニー株式会社 | 署名検証情報の伝送方法、情報処理装置、情報処理方法および放送送出装置 |
| US10433016B2 (en) * | 2015-02-17 | 2019-10-01 | Sony Corporation | Reception apparatus, reception method, transmission apparatus, and transmission method |
| CN106331789B (zh) * | 2016-09-13 | 2019-07-02 | 聚好看科技股份有限公司 | 轮播节目播放控制方法及设备 |
| JP7343455B2 (ja) * | 2020-07-28 | 2023-09-12 | 株式会社東芝 | 受信機、方法およびプログラム |
| JP7386767B2 (ja) * | 2020-07-28 | 2023-11-27 | 株式会社東芝 | 受信機、方法およびプログラム |
| JP7386768B2 (ja) * | 2020-07-28 | 2023-11-27 | 株式会社東芝 | 受信機、方法およびプログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09212457A (ja) * | 1996-01-30 | 1997-08-15 | Mitsubishi Electric Corp | デジタル双方向通信端末における暗号化・復号化装置 |
| JP4438041B2 (ja) * | 2001-02-21 | 2010-03-24 | キヤノン株式会社 | デジタルテレビ装置及びその制御方法 |
| JP2007020066A (ja) * | 2005-07-11 | 2007-01-25 | Sony Corp | 情報処理装置および方法、プログラム、並びに認証システム |
-
2007
- 2007-12-17 JP JP2007325037A patent/JP5027636B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8500518B2 (en) | 2006-08-01 | 2013-08-06 | Erwin Junker Maschinenfabrik Gmbh | Method of grinding an indexable insert and grinding wheel for carrying out the grinding method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009147808A (ja) | 2009-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5027636B2 (ja) | 送信装置およびそのプログラム、ならびに、受信装置およびapi実行プログラム | |
| KR101172093B1 (ko) | 디지털 오디오/비디오 데이터 처리 장치 및 액세스 제어방법 | |
| US7752674B2 (en) | Secure media path methods, systems, and architectures | |
| KR100518094B1 (ko) | 콘텐츠의 배신 및 보호를 실행하는 방법 및 장치 | |
| US20070226448A1 (en) | Information processing apparatus | |
| US7913094B2 (en) | Information reproducing apparatus and secure module | |
| EP1768408A1 (en) | Integrated circuit, method and system restricting use of decryption keys using encrypted digital signatures | |
| KR102653289B1 (ko) | 수신 장치, 송신 장치 및 데이터 처리 방법 | |
| US10269086B2 (en) | Method and system for secure sharing of recorded copies of a multicast audiovisual program using scrambling and watermarking techniques | |
| CN110083550B (zh) | 用于存储内容的方法和装置 | |
| JP2011510532A (ja) | デジタルテレビ限定受信システム及び処理手順 | |
| CN102025490A (zh) | 一种文件分段保护的方法、装置及*** | |
| JP2007133104A (ja) | デジタル放送受信システム及びデジタル放送受信装置 | |
| JP2004205723A (ja) | デジタル情報記録装置、デジタル情報再生装置、デジタル情報記録再生装置、デジタル情報記録方法、デジタル情報再生方法及びデジタル情報記録再生方法 | |
| JP4674751B2 (ja) | 携帯端末装置、サーバ装置およびプログラム | |
| JP5159455B2 (ja) | 放送受信装置及び方法 | |
| JP4409837B2 (ja) | 情報処理装置及び情報処理方法 | |
| KR100817974B1 (ko) | Drm 컨텐츠 제공/재생 방법 및 장치 | |
| CN100556135C (zh) | 内容的传递及保护的方法及装置 | |
| JP2007013427A (ja) | 情報処理装置,情報処理方法,およびコンピュータプログラム | |
| JP2014171215A (ja) | 識別子発行装置、送信装置および受信装置 | |
| JP2009247002A (ja) | 映像情報送受信システム及び映像情報送受信方法 | |
| JP2009165139A (ja) | デジタル放送受信装置 | |
| JP2010283881A (ja) | デジタル放送受信装置 | |
| JP2010220269A (ja) | デジタル放送受信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100310 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120514 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120529 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120622 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150629 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5027636 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |